审计基础与实务项目五风险评估与风险应对

1、2022/9/14项目五 风险评估与风险应对任务一 熟悉审计风险模型任务二 评估重大错报风险任务三 应对重大错报风险2022/9/14 审计风险，是指财务报表存在重大错报时，注册会计师发表不恰当审计意见的可能性。审计风险取决于重大错报风险和检查风险。一、重大错报风险 重大错报风险是指财务报表在审计前存在重大错报的可能性。 （一）两个层次的重大错报风险。财务报表层次重大错报风险与财务报表整体存在广泛联系，可能影响多项认定。此类风险通常与控制环境有关，如管理层缺乏诚信、治理层形同虚设而不能对管理层进行有效监督等；但也可能与其他因素有关，如经济萧条、企业所处行业处于衰退期。 认定层次重大错报风险指与

2、某类交易、事项，期末账户余额或财务报表披露相关的重大错报风险。 任务一 熟悉审计风险模型2022/9/14一、重大错报风险 （二）固有风险和控制风险。认定层次的重大错报风险又可以进一步细分为固有风险和控制风险。 固有风险是指在考虑相关的内部控制之前，某类交易、账户余额或披露的某一认定易于发生错报（该错报单独或连同其他错报可能是重大的）的可能性。 控制风险是指某类交易、账户余额或披露的某一认定发生错报，该错报单独或连同其他错报是重大的，但没有被内部控制及时防止或发现并纠正的可能性。 任务一 熟悉审计风险模型2022/9/14 任务一 熟悉审计风险模型二、检查风险 检查风险是指如果存在某一错报，该

3、错报单独或连同其他错报可能是重大的，注册会计师为将审计风险降至可接受的低水平而实施程序后没有发现这种错报的风险。检查风险取决于审计程序设计的合理性和执行的有效性。三、检查风险与重大错报风险呈反向关系 在既定的审计风险水平下，可接受的检查风险水平与认定层次重大错报风险的评估结果呈反向关系。评估的重大错报风险越高，可接受的检查风险越低；评估的重大错报风险越低，可接受的检查风险越高（见图5-1）。检查风险与重大错报风险的反向关系用数学模型表示如下： 审计风险=重大错报风险检查风险2022/9/14 任务一 熟悉审计风险模型三、检查风险与重大错报风险呈反向关系 注册会计师应当合理设计审计程序的性质、时

4、间安排和范围，并有效执行审计程序，以控制检查风险。 可接受的审计风险的确定，需要考虑会计师事务所对审计风险的态度、审计失败对会计师事务所可能造成损失的大小等因素。但必须注意，审计业务是一种高水平保证的鉴证业务，注册会计师应当获取充分、适当的审计证据将审计风险降至可接受的低水平，以此为所审计的财务报表不含有重大错报提供合理保证。 审计风险与审计目标2022/9/142022/9/14 任务二 评估重大错报风险一、风险识别和评估的概念及作用 （一）风险识别和评估的概念 在风险导向审计模式下，注册会计师以重大错报风险的识别、评估和应对为审计工作的主线，最终将审计风险控制在可接受的低水平。风险识别和评

5、估，是指注册会计师通过实施风险评估程序，识别和评估财务报表层次和认定层次的重大错报风险。 风险识别是指找出财务报表层次和认定层次的重大错报风险；风险评估是指对重大错报发生的可能性和后果严重程度进行评估。2022/9/14 任务二 评估重大错报风险一、风险识别和评估的概念及作用 （二）风险识别和评估的作用 了解被审计单位及其环境是必要程序，特别是为注册会计师在下列关键环节做出职业判断提供重要基础：（1）确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；（2）考虑会计政策的选择和运用是否恰当，以及财务报表的列报是否适当；（3）识别需要特别考虑的领域，包括关联方交易、管理层运用

6、持续经营假设的合理性，或交易是否具有合理的商业目的等；（4）确定在实施分析程序时所使用的预期值；（5）设计和实施进一步审计程序，以将审计风险降至可接受的低水平；（6）评价所获取审计证据的充分性和适当性。2022/9/14 任务二 评估重大错报风险二、风险评估程序 风险评估程序，是指注册会计师为了解被审计单位及其环境（包括内部控制），以识别和评估财务报表层次和认定层次的重大错报风险（无论该错报由于舞弊或错误导致）而实施的审计程序。注册会计师应当实施下列风险评估程序，以了解被审计单位及其环境： 询问管理层和被审计单位内部其他人员； 分析程序； 观察和检查。 用作风险评估程序的分析程序2022/9/

7、142022/9/14 任务二 评估重大错报风险三、了解被审计单位及其环境 注册会计师应当从下列方面了解被审计单位及其环境：（一）行业状况、法律环境和监管环境及其他外部因素 1.行业状况。了解行业状况有助于注册会计师识别与被审计单位所处行业有关的重大错报风险。注册会计师应当了解被审计单位的行业状况，主要包括：所处行业的市场与竞争，包括市场需求、生产能力和价格竞争；生产经营的季节性和周期性；与被审计单位产品相关的生产技术；能源供应与成本；行业的关键指标和统计数据。2022/9/14 任务二 评估重大错报风险三、了解被审计单位及其环境（一）行业状况、法律环境和监管环境及其他外部因素 2.法律环境与

8、监管环境。注册会计师应当了解被审计单位所处的法律环境与监管环境，主要包括：会计原则和行业特定惯例；受管制行业的法规框架；对被审计单位经营活动产生重大影响的法律法规，包括直接的监管活动；税收政策（关于企业所得税和其他税种的政策）；目前对被审计单位开展经营活动产生影响的政府政策，如货币政策（包括外汇管制）、财政政策、财政刺激措施（如政府援助项目）、关税或贸易限制政策等；影响行业和被审计单位经营活动的环保要求。2022/9/14 任务二 评估重大错报风险三、了解被审计单位及其环境（一）行业状况、法律环境和监管环境及其他外部因素 3.其他外部因素。注册会计师应当了解影响被审计单位经营的其他外部因素，主

9、要包括总体经济情况、利率、融资的可获得性、通货膨胀水平或币值变动等。 4.了解的重点和程度。注册会计师对行业状况、法律环境与监管环境以及其他外部因素了解的范围和程度会因被审计单位所处行业、规模以及其他因素（如在市场中的地位）的不同而不同。注册会计师应当考虑被审计单位所在行业的业务性质或监管程度是否可能导致特定的重大错报风险，考虑项目组是否配备了具有相关知识和经验的成员。2022/9/14 任务二 评估重大错报风险三、了解被审计单位及其环境（二）被审计单位的性质 1.所有权结构。 2.治理结构。 3.组织结构。 4.经营活动。 5.投资活动。 6.筹资活动。 7.财务报告。2022/9/14 任

10、务二 评估重大错报风险三、了解被审计单位及其环境（三）被审计单位对会计政策的选择和运用 1.重大和异常交易的会计处理方法。 2.在缺乏权威性标准或共识、有争议的或新兴领域采用重要会计政策产生的影响。 3.会计政策的变更。 4.新颁布的财务报告准则、法律法规，以及被审计单位何时采用、如何采用这些规定。2022/9/14 任务二 评估重大错报风险三、了解被审计单位及其环境（四）被审计单位的目标、战略以及相关经营风险 注册会计师应当了解被审计单位是否存在与下列方面有关的目标和战略，并考虑相应的经营风险： 行业发展（例如，被审计单位不具备足以应对行业变化的人力资源和业务专长）； 开发新产品或提供新服务

11、（例如，被审计单位产品责任增加）； 业务扩张（例如，对市场需求的估计不准确）； 新的会计要求（例如，不当执行相关会计要求，或会计处理成本增加）； 监管要求（例如，法律责任增加）； 本期及未来的融资条件（例如，由于无法满足融资条件而失去融资机会）； 信息技术的运用（例如，信息系统与业务流程难以融合）； 实施战略的影响，特别是由此产生的需要运用新的会计要求的影响。2022/9/14 任务二 评估重大错报风险三、了解被审计单位及其环境（五）被审计单位财务业绩的衡量和评价 1.了解的主要方面。在了解被审计单位财务业绩衡量和评价情况时，注册会计师应当关注下列信息：关键业绩指标（财务或非财务的）、关键比率

12、、趋势和经营统计数据；同期财务业绩比较分析；预算、预测、差异分析，分部信息与分部、部门或其他不同层次的业绩报告；员工业绩考核与激励性报酬政策；被审计单位与竞争对手的业绩比较。 2.关注内部财务业绩衡量的结果。例如，内部财务业绩衡量可能显示被审计单位与同行业其他单位相比具有异常快的增长率或盈利水平，此类信息如果与业绩奖金或激励性报酬等因素结合起来考虑，可能显示管理层在编制财务报表时存在某种倾向的错报风险。 3.考虑财务业绩衡量指标的可靠性。 4.考虑管理层是否面临业绩指标的压力。2022/9/14 任务二 评估重大错报风险四、了解被审计单位的内部控制（一）内部控制的含义、目标、原则 内部控制，是

13、由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。 内部控制的目标是合理保证：企业经营管理合法合规内控的底线；资产安全内控的警戒线；财务报告及相关信息真实完整内控的主线；提高经营效率和效果内控的生命线；促进企业实现发展战略内控的愿景线。 内部控制的原则：全面性原则；重要性原则；制衡性原则；适应性原则；成本效益原则。2022/9/14 任务二 评估重大错报风险四、了解被审计单位的内部控制（二）内部控制的局限性 内部控制只能为被审计单位实现财务报告目标提供合理保证。内部控制实现目标的可能性受其固有限制的影响，包括：在决策时人为判断可能出现错误和因人为失误而导致内部控制失效；控制

14、可能由于两个或更多的人员串通或管理层不当地凌驾于内部控制之上而被规避。此外，如果被审计单位内部行使控制职能的人员素质不适应岗位要求，也会影响内部控制功能的正常发挥。当实施某项控制成本大于控制效果而发生损失时，就没有必要设置控制环节或控制措施，从而影响其效能。内部控制一般都是针对经常而重复发生的业务设置的，如果出现不经常发生或未预计到的业务，原有控制就可能不适用。2022/9/14 任务二 评估重大错报风险四、了解被审计单位的内部控制（三）对内部控制了解的深度 注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。了解内部控制，包括评价控制的设计，并确

15、定其是否得到执行，但不包括对控制是否得到一贯执行的测试。（四）内部控制的要素 企业建立与实施有效的内部控制，应当包括控制环境、风险评估、控制活动、信息与沟通、对控制的监督等要素。2022/9/14 任务二 评估重大错报风险四、了解被审计单位的内部控制（四）内部控制的要素 1.控制环境。控制环境是企业内部控制的重要基础。控制环境一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。 2.风险评估。风险评估是企业内部控制的重要环节，是指企业应及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。 企业应当根据风险分析的结果，结合风险承受度，权衡风险与收

16、益，综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。2022/9/14 任务二 评估重大错报风险四、了解被审计单位的内部控制（四）内部控制的要素 3.控制活动。控制活动是企业内部控制的重要手段。控制措施一般包括：（1）不相容职务分离控制；（2）授权审批控制；（3）会计系统控制；（4）财产保护控制；（5）预算控制；（6）运营分析控制；（7）绩效考评控制。 企业应当根据内部控制目标，结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。 4.信息与沟通。信息与沟通是企业内部控制的重要条件。 5.对控制的监督。对控制的监督是企业内部控制的重要保证，是指

17、被审计单位评价内部控制在一段时间内运行有效性的过程。对控制的监督涉及及时评估控制的有效性并采取必要的补救措施。2022/9/14 任务二 评估重大错报风险四、了解被审计单位的内部控制（五）在整体层面和业务流程层面了解内部控制 在了解内部控制的各构成要素时，注册会计师应当对被审计单位整体层面的内部控制的设计进行评价，并确定其是否得到执行。 1.确定重要业务流程和重要交易类别； 2.了解重要交易流程，并进行记录； 3.确定可能发生错报的环节； 4.识别和了解相关控制； 5.执行穿行测试，证实对交易流程和相关控制的了解；2022/9/14 任务二 评估重大错报风险四、了解被审计单位的内部控制（五）在

18、整体层面和业务流程层面了解内部控制 6.初步评价和风险评估； 在识别和了解控制后，根据执行上述程序及获取审计证据，注册会计师对控制的评价结论可能是： 所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报，并得到执行； 控制本身的设计是合理的，但没有得到执行； 控制本身的设计就是无效的或缺乏必要的控制。 7.对财务报告流程的了解。 内控存在重大缺陷的迹象2022/9/142022/9/14 任务二 评估重大错报风险五、评估重大错报风险（一）评估财务报表层次和认定层次的重大错报风险1.评估重大错报风险时考虑的因素。2022/9/14 任务二 评估重大错报风险五、评估重大错报风险（一）评估财务

19、报表层次和认定层次的重大错报风险 2.评估重大错报风险的审计程序： （1）在了解被审计单位及其环境（包括与风险相关的控制）的整个过程中，结合对财务报表中各类交易、账户余额和披露的考虑，识别风险； （2）结合对拟测试的相关控制的考虑，将识别出的风险与认定层次可能发生错报的领域相联系； （3）评估识别出的风险，并评价其是否更广泛地与财务报表整体相关，进而潜在地影响多项认定； （4）考虑发生错报的可能性（包括发生多项错报的可能性），以及潜在错报的重大程度是否足以导致重大错报。2022/9/14 任务二 评估重大错报风险五、评估重大错报风险（一）评估财务报表层次和认定层次的重大错报风险 3.识别两个层

20、次的重大错报风险。在对重大错报风险进行识别和评估后，注册会计师应当确定，识别的重大错报风险是与特定的某类交易、账户余额和披露的认定相关，还是与财务报表整体广泛相关，进而影响多项认定。 4.控制环境对评估财务报表层次重大错报风险的影响。 5.控制对评估认定层次重大错报风险的影响。 6.考虑财务报表的可审计性。2022/9/14 任务二 评估重大错报风险五、评估重大错报风险（二）需要特别考虑的重大错报风险 1.特别风险的含义。特别风险，是指注册会计师识别和评估的、根据判断认为需要特别考虑的重大错报风险。 2.确定特别风险时应考虑的事项。 3.非常规交易和判断事项导致的特别风险。 4.考虑与特别风险

21、相关的控制。（三）仅通过实质性程序无法应对的重大错报风险（四）对风险评估的修正2022/9/14 任务三 应对重大错报风险一、财务报表层次重大错报风险的总体应对措施 注册会计师应当针对评估的财务报表层次重大错报风险确定下列总体应对措施： 1.向项目组强调保持职业怀疑的必要性。 2.指派更有经验或具有特殊技能的审计人员，或利用专家的工作。 3.提供更多的指导。 4.增加审计程序的不可预见性。 5对拟实施审计程序的性质、时间安排或范围作总体修改。 6.总体应对措施对拟实施进一步审计程序的总体审计方案的影响。2022/9/14 任务三 应对重大错报风险二、认定层次重大错报风险的进一步审计程序 （一）

22、进一步审计程序的含义和要求 1.含义。进一步审计程序相对于风险评估程序而言，是指注册会计师针对评估的各类交易、账户余额和披露认定层次重大错报风险实施的审计程序，包括控制测试和实质性程序。 2.要求。在设计进一步审计程序时，注册会计师应当考虑下列因素： （1）风险的重要性；（2）重大错报发生的可能性；（3）涉及的各类交易、账户余额和披露的特征；（4）被审计单位采用的特定控制的性质；（5）注册会计师是否拟获取审计证据，以确定内部控制在防止或发现并纠正重大错报方面的有效性。2022/9/14 任务三 应对重大错报风险二、认定层次重大错报风险的进一步审计程序 （一）进一步审计程序的含义和要求 3.方案

23、类型。注册会计师应当根据对认定层次重大错报风险的评估结果，恰当选用实质性方案或综合性方案。 通常情况下，注册会计师出于成本效益的考虑可以采用综合性方案设计进一步审计程序，即将测试控制运行的有效性与实质性程序结合使用。但在某些情况下（如仅通过实质性程序无法应对重大错报风险），注册会计师必须通过实施控制测试，才可能有效应对评估出的某一认定的重大错报风险；而在另一些情况下（如注册会计师的风险评估程序未能识别出与认定相关的任何控制，或注册会计师认为控制测试很可能不符合成本效益原则），注册会计师可能认为仅实施实质性程序就是适当的。 小型被审计单位可能不存在能够被注册会计师识别的控制活动，注册会计师实施的

24、进一步审计程序可能主要是实质性程序。2022/9/14 任务三 应对重大错报风险二、认定层次重大错报风险的进一步审计程序 （二）进一步审计程序的性质 进一步审计程序的性质是指进一步审计程序的目的和类型。其中，进一步审计程序的目的包括通过实施控制测试以确定内部控制运行的有效性，通过实施实质性程序以发现认定层次的重大错报；进一步审计程序的类型包括检查、观察、询问、函证、重新计算、重新执行和分析程序。 在确定进一步审计程序的性质时，注册会计师首先需要考虑的是认定层次重大错报风险的评估结果。因此，注册会计师应当根据认定层次重大错报风险的评估结果选择审计程序。2022/9/14 任务三 应对重大错报风险

25、二、认定层次重大错报风险的进一步审计程序 （三）进一步审计程序的时间 进一步审计程序的时间是指注册会计师何时实施进一步审计程序，或审计证据适用的期间或时点。 当评估的重大错报风险较高时，注册会计师应当考虑在期末或接近期末实施实质性程序，或采用不通知的方式，或在管理层不能预见的时间实施审计程序。 注册会计师在确定何时实施审计程序时应当考虑的几项重要因素包括：（1）控制环境；（2）何时能得到相关信息；（3）错报风险的性质；（4）审计证据适用的期间或时点。2022/9/14 任务三 应对重大错报风险二、认定层次重大错报风险的进一步审计程序 （四）进一步审计程序的范围 进一步审计程序的范围是指实施进一

26、步审计程序的数量，包括抽取的样本量、对某项控制活动的观察次数等。 在确定进一步审计程序的范围时，注册会计师应当考虑下列因素： （1）确定的重要性水平； （2）评估的重大错报风险； （3）计划获取的保证程度。如果注册会计师计划从控制测试中获取更高的保证程度，则控制测试的范围就更广。2022/9/14 任务三 应对重大错报风险三、控制测试 1.控制测试的含义。控制测试是指用于评价内部控制在防止或发现并纠正认定层次重大错报方面的运行有效性的审计程序。 在测试控制运行的有效性时，注册会计师应当从下列方面获取关于控制是否有效运行的审计证据：控制在所审计期间的相关时点是如何运行的；控制是否得到一贯执行；控

27、制由谁或以何种方式执行。 2.控制测试的要求。作为进一步审计程序的类型之一，控制测试并非在任何情况下都需要实施。当存在下列情形之一时，注册会计师应当实施控制测试：（1）在评估认定层次重大错报风险时，预期控制的运行是有效的；（2）仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。2022/9/14 任务三 应对重大错报风险三、控制测试 3.控制测试的性质。控制测试的性质是指控制测试所使用的审计程序的类型及其组合。控制测试常用的审计程序有询问、观察、检查和重新执行。 确定控制测试的性质时的要求：（1）考虑特定控制的性质；（2）考虑测试与认定直接相关和间接相关的控制；（3）如何对一项自动化的应用控制实施控制测试；（4）实施实