审计第07章风险评估

1、第7章 风险评估学习目标与内容学习目标了解风险评估的总体要求、风险评估程序、内部控制要素；掌握如何了解被审计单位及其环境，尤其是被审计单位的内部控制；掌握评估重大错报风险的基本方法。 学习内容风险评估概述了解被审计单位及其环境了解被审计单位的内部控制重大错报风险的评估7.1风险评估概述一、风险评估的总要求审计风险准则要求注册会计师必须实施以下程序： 对被审计单位及其环境的了解 全程实施风险评估程序 实质性程序的实施 二、风险评估程序1. 询问被审计单位管理层和内部其他相关人员 注册会计师可以考虑就以下事项向管理层和财务负责人询问： 管理层所关注的主要问题 ；被审计单位最近的财务状况、经营成果和

2、现金流量； 可能影响财务报告的交易和事项，或者目前发生的重大会计处理问题 ；被审计单位发生的其他重要变化。 2. 分析程序分析程序是指注册会计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系，对财务信息做出评价。 3. 观察和检查注册会计师应当实施的观察和检查程序包括： 观察被审计单位的生产经营活动 ；检查文件、记录和内部控制手册 ；阅读由管理层和治理层编制的报告 ；实地察看被审计单位的生产经营场所和设备 ；追踪交易在财务报告信息系统中的处理过程（即穿行测试）。 7.2了解被审计单位及其环境一、了解被审计单位及其环境的基本内容对被审计单位及其环境的了解包括以下方面： 行业状况、

3、法律环境与监管环境以及其他外部因素；被审计单位的性质； 被审计单位对会计政策的选择和运用；被审计单位的目标、战略以及相关经营风险；被审计单位财务业绩的衡量和评价；被审计单位的内部控制。 二、行业状况、法律环境与监管环境以及其他外部因素行业状况、法律环境与监管环境以及其他外部因素共同构成了被审计单位的外部环境。对外部环境的了解有助于注册会计师识别与被审计单位所处的外部环境有关的重大错报风险。 了解被审计单位所处的行业状况，包括：市场供求与竞争；生产经营的季节性和周期性；产品生产技术的变化；能源供应与成本；行业的关键指标和统计数据等。 注册会计师了解法律环境及监管环境的原因在于：某些法律法规或监管

4、要求可能对被审计单位经营活动有重大影响，如不遵守将导致停业等严重后果；某些法律法规或监管要求（如环保法规等）规定了被审计单位某些方面的责任和义务；某些法律法规或监管要求决定了被审计单位需要遵循的行业惯例和核算要求。 注册会计师应当了解的被审计单位所处的法律法规及监管环境，主要包括：适用的会计准则、会计制度和行业特定惯例；对经营活动产生重大影响的法律法规及监管活动；对开展业务产生重大影响的政府政策，包括货币、财政、税收和贸易等政策；与被审计单位所处行业和所从事经营活动相关的环保要求。 三、被审计单位的性质了解被审计单位的性质，是指注册会计师对被审计单位所有权结构、治理结构、组织结构、经营活动、投

5、资活动及融资活动等方面的了解。对被审计单位所有权结构的了解有助于注册会计师识别关联方关系并了解被审计单位的决策过程。良好的治理结构可以对被投资单位的经营和财务运作实施有效的监督，从而降低财务报表发生重大错报风险。 一般而言，复杂的组织结构可能导致某些特定的重大错报风险。 了解被审计单位经营活动有助于注册会计师识别预期在财务报表中反映的主要交易类别、重要账户余额和列报。 对投资活动的了解，有助于注册会计师关注被审计单位在经营策略和方向上的重大变化。对融资活动的了解则有助于注册会计师评估被审计单位在融资方面的压力，并进一步考虑被审计单位在可预见未来的持续经营能力。 四、被审计单位对会计政策的选择和

6、运用了解被审计单位会计政策的选择和运用，是指注册会计师应当了解被审计单位对重要项目的会计政策和行业惯例的选择、重大和异常交易的会计处理方法、在新领域和缺乏权威性标准或共识的领域所采用的重要会计政策及其所产生的影响、会计政策变更、被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度等。 如果被审计单位变更了重要的会计政策，注册会计师应当考虑变更的原因及其是否适当，具体包括：会计政策变更是否是法律、行政法规或者适用的会计准则和相关会计制度要求的变更；会计政策变更是否能够提供更可靠、更相关的会计信息；会计政策的变更是否得到充分披露。除了关注上述会计政策的选择和应用外，注册会计师还应当关注以下

7、情况：被审计单位是否采用激进的会计政策、方法、估计和判断；会计人员是否拥有足够的运用会计准则的知识、经验和能力；被审计单位是否拥有足够的资源支持会计政策的运用，如人力资源及培训、信息技术的采用、数据和信息的采集等；被审计单位是否按照适用的会计准则和相关会计制度的规定恰当地进行了列报，并披露了重要事项，是否适当地列报了特定事项。五、被审计单位的目标、战略以及相关经营风险注册会计师应当了解并考虑的企业经营目标和战略，及其导致的经营风险包括：行业发展及其可能导致的被审计单位不具备足以应对行业变化的人力资源和业务专业等风险；开发新产品或提供新服务及其可能导致的被审计单位产品责任增加等风险；业务扩张及其

8、可能导致的被审计单位对市场需求的评估不准确等风险；新颁布的会计法规及其可能导致的被审计单位执行法规不当或不完整，或会计处理成本增加等风险；监管要求及其可能导致的被审计单位法律责任增加等风险；本期及未来的融资条件及其可能导致的被审计单位由于无法满足融资条件而失去融资机会等风险；信息技术的运用及其可能导致的被审计单位信息系统与业务流程难以融合等风险。 六、被审计单位财务业绩的衡量和评价注册会计师需要综合各方面的因素，关注以下信息，了解被审计单位财务业绩衡量和评价情况：关键业绩指标；业绩趋势；预测、预算和差异分析；管理层和员工业绩考核与激励性报酬政策；分部信息与不同层次部门的业绩报告；与竞争对手的业

9、绩比较；外部机构提出的报告等。 7.3了解被审计单位的内部控制一、内部控制的含义和要素内部控制的含义内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。 7.3了解被审计单位的内部控制内部控制的目标是合理保证：财务报告的可靠性。这一目标与管理层履行财务报告编制责任密切相关；经营的效率和效果。即经济有效地使用企业资源，以最优方式实现企业的目标；在所有经营活动中遵守法律法规的要求。即在法律法规的框架下从事经营活动。 内部控制要素根据COSO发布的内部控制框架，内部控制要素主要包括：控制环境风险评估过程信息系统与沟

10、通控制活动对控制的监督与审计相关的控制 与审计相关的控制包括： 为实现财务报告可靠性目标设计和实施的控制；其他与审计相关的控制。 内部控制的局限性内部控制存在固有局限性，主要包括：在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效；可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避；如果被审计单位内部行使控制职能的人员素质不适应岗位要求，也会影响内部控制功能的正常发挥；内部控制的设计与执行还受制于成本效益，当实施某项控制成本大于控制效果而发生损失时，就没有必要设置控制环节或控制措施；内部控制一般都是针对经常而重复发生的业务而设置的，如果出现不经常发生或未预计到的业务，

11、原有控制就可能不适用。二、了解控制环境注册会计师应当了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化，以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。具体内容包括：对诚信和道德价值观念的沟通与落实；对胜任能力的重视；治理层的参与程度；管理层的理念和经营风格；组织结构及职权与责任的分配；人力资源政策与实务。 三、了解风险评估过程在评价被审计单位风险评估过程的设计和执行时，注册会计师应当考虑以下主要因素：被审计单位是否已建立并沟通其整体目标，并辅以具体策略和业务流程层面的计划；被审计单位是否已建立风险评估过程，包括识别风险、估计风险的重大性、评估风险发生的可能性以及确定需要

12、采取的应对措施；被审计单位是否已建立某种机制，识别和应对可能对被审计单位产生重大且普遍影响的变化，如在金融机构中建立资产负债管理委员会，在制造型企业中建立期货交易风险管理组等；会计部门是否建立了某种流程，以识别会计准则的重大变化；当被审计单位业务操作发生变化并影响交易记录的流程时，是否存在沟通渠道以通知会计部门；风险管理部门是否建立了某种流程，以识别经营环境包括监管环境发生的重大变化。 四、了解信息系统与沟通注册会计师应当从以下方面了解与财务报告相关的信息系统：在被审计单位经营过程中，对财务报表具有重大影响的各类交易；在信息技术和人工系统中，交易生成、记录、处理和报告的程序。同时应考虑被审计单

13、位将交易处理系统中的数据过入总分类账和财务报告的程序；与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目；信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况的信息；被审计单位编制财务报告的过程，包括做出的重大会计估计和披露；管理层凌驾于账户记录控制之上的风险。 五、了解控制活动在了解和评估控制活动时，注册会计师应考虑的主要因素可能包括：被审计单位的主要经营活动是否都有必要的控制政策和程序；管理层在预算、利润和其他财务及经营业绩方面是否都有清晰的目标，在被审计单位内部，是否对这些目标加以清晰的记录和沟通，并且积极地对其进行监控；是否存在计划和报告系统，以

14、识别与目标业绩的差异，并向适当层次的管理层报告该差异；是否由适当层次的管理层对差异进行调查，并及时采取适当的纠正措施；不同人员的职责应在何种程度上相分离，以降低舞弊和不当行为发生的风险；会计系统中的数据是否与实物资产定期核对；是否建立了适当的保护措施，以防止未经授权接触文件、记录和资产；是否存在信息安全职能部门监控信息安全政策和程序。 六、了解对控制的监督注册会计师应当从整体层面上了解和评估被审计单位对内部控制的监督，并考虑以下主要因素：被审计单位是否定期评价内部控制；被审计单位人员在履行正常职责时，能够在多大程度上获得内部控制是否有效运行的证据；与外部的沟通能够在多大程度上证实内部产生的信息

15、或者指出存在的问题；管理层是否采纳内部审计人员和注册会计师有关内部控制的建议；管理层是否及时纠正控制运行中的偏差；管理层根据监管机构的报告及建议是否及时采取纠正措施；是否存在协助管理层监督内部控制的职能部门，如内部审计部门等。 7.4重大错报风险的评估一、识别和评估财务报表层次和认定层次的重大错报风险 1.识别和评估重大错报风险的审计程序 在了解被审计单位及其环境的整个过程中，注册会计师应当运用各项风险评估程序识别风险，并与各类交易、账户余额、列报相联系；将识别的风险与认定层次可能发生错报的领域相联系；考虑识别的风险是否重大；考虑识别的风险导致财务报表发生重大错报的可能性。2. 识别两个层次的重大错报风险 3. 考虑财务报表的可审计性 二、需要特别考虑的重大错报风险特别风险是指注册会计师需要特别考虑的重大错报风险。 1. 确定特别风险时应考虑的事项在确定风险的性质时，注册会计师应当考虑下列事项：风险是否属于舞弊风险；风险是否与近期经济环境、会计处理方法和其他方面的重大变化有关；交易的复杂程度；风险是否涉及重大的关联方交易；财务信息计量的主观程度，特别是对不确定事项的计量存在较大区间；风险是否涉及异常或超出正常经营过程的重大交易。2. 非常规交易和判断事项导致的