审计风险与内部控制讲义课件

第七章审计风险及其评估本章要点第一节审计风险第二节风险评估第三节了解内部控制第七章审计风险及其评估本章要点1本章要点1.审计风险的构成要素2.重大错报风险的两个层次3.审计风险模型及其运用4.检查风险的确定和审计程序的设计5.审计风险与审计证据的关系6.风险评估的总体要求7.了解被审计单位及其环境的内容和程序8.评估重大错报风险9.内部控制的构成要素及其了解10.两个层面了解和评价内部控制本章要点1.审计风险的构成要素2

第一节审计风险一、审计风险的含义二、审计风险的构成要素三、审计风险模型及其运用

第一节审计风险一、审计风险的含义3一、审计风险的含义审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。对它的理解，应注意以下两点：1．现代审计是风险基础审计，控制审计风险是注册会计师首要考虑的问题。2．审计风险是相对财务报表中有无重大差错而言的，也就是说，审计风险是一个与重要性相关联的概念。一、审计风险的含义审计风险是指财务报表存在重大错报而注册会计4审计风险的理解（续）3．审计风险并不包含下面这种情况，即财务报表不含有重大错报，而注册会计师错误地发表了财务报表含有重大错报的审计意见的风险。4．合理保证与审计风险互为补数，即合理保证与审计风险之和等于100%。如果注册会计师将审计风险降至可接受的低水平，则对财务报表不存在重大错报获取了合理保证。审计风险的理解（续）3．审计风险并不包含下面这种情况，即财务5二、审计风险的构成要素审计风险包括两大组成要素，即重大错报风险和检查风险。（一）重大错报风险重大错报风险是指财务报表在审计前存在重大错报的可能性。1、两个层次的重大错报风险财务报表层次和各类交易、账户余额、列报认定层次。二、审计风险的构成要素审计风险包括两大组成要素，即重大错报风6（1）财务报表层次的重大错报风险财务报表层次重大错报风险与财务报表整体存在广泛联系，可能影响多项认定。此类风险通常与控制环境有关，但也可能与其他因素有关，如经济萧条。此类风险难以被界定于某类交易、账户余额、列报的具体认定，相反，此类风险增大了一个或多个不同认定发生重大错报的可能性，与由舞弊引起的风险特别相关。（1）财务报表层次的重大错报风险财务报表层次重大错报风险与财7（2）认定层次的重大错报风险注册会计师同时应考虑各类交易、账户余额、列报认定层次的重大错报风险，考虑的结果直接有助于注册会计师确定认定层次上实施的进一步审计程序的性质、时间和范围。（2）认定层次的重大错报风险注册会计师同时应考虑各类交易、账82、固有风险和控制风险认定层次的重大错报风险又可以进一步细分为固有风险和控制风险。（1）

固有风险固有风险是指假设不存在相关的内部控制，某一认定发生重大错报的可能性，无论该错报单独考虑，还是连同其他错报构成重大错报。（2）控制风险控制风险是指某项认定发生了重大错报，无论该错报单独考虑，还是连同其他错报构成重大错报，而该错报没有被企业的内部控制及时防止、发现和纠正的可能性。控制风险取决于财务报表编制有关的内部控制的设计和运行的有效性。由于控制的固有局限性，某种程序的控制风险始终存在。

2、固有风险和控制风险认定层次的重大错报风险又可以进一步细9注意：由于固有风险和控制风险不可分割的交织在一起，有时无法单独进行评估，现行的审计准则通常不再单独提到固有风险和控制风险，而只是将这两者合并称为“重大错报风险”。

注意：由于固有风险和控制风险不可分割的交织在一起，有时无法单10二、审计风险的构成要素（二）检查风险检查风险是指某一认定存在错报，该错报单独或连同其他错报是重大的，但注册会计师未能发现这种错报的可能性。检查风险取决于审计程序设计的合理性和执行的有效性。检查风险不可能降低为零：其原因：（1）由于注册会计师通常并不对所有的交易、账户余额和列报进行检查；（2）注册会计师可能选择了不恰当的审计程序、审计过程执行不当，或者错误解读了审计结论。二、审计风险的构成要素（二）检查风险11注：检查风险是注册会计师唯一可能控制的风险。而重大错报风险是企业的风险，不受注册会计师的控制。注：检查风险是注册会计师唯一可能控制的风险。而重大错报风险是12三、审计风险模型及其运用（一）审计风险模型

审计风险与重大错报风险和检查风险的关系，可以用如下审计风险模型表示：审计风险=重大错报风险×检查风险三、审计风险模型及其运用（一）审计风险模型13审计风险模型的理解应把握以下几点：（1）审计风险是审计风险要素共同作用的结果，但各个风险要素是相互独立的。（2）审计风险可用百分数表示，也可描述为高、中、低等，但在审计风险模型中各种审计风险用百分数表示。（3）审计风险各个要素都不会等于0。即审计风险各要素都客观存在，任何一个要素等于0，则审计风险就不存在，就根本不需要审计，这在现代审计中是不可能。审计风险模型的理解应把握以下几点：14（二）审计风险模型的运用在既定的审计风险下，运用审计风险模型可以计算可接受的检查风险水平：

如注册会计师确定的审计风险可接受水平为3%，重大错报风险估计水平为50%，则检查风险可接受水平为：检查风险可接受水平=3%/50%×100%=6%（二）审计风险模型的运用在既定的审计风险下，运用审计风险模型15审计风险矩阵在审计实务中，将审计风险精确的量化是很难的，通常采用定性认识，用审计风险矩阵的形式反映，如下表所示。审计风险可接受水平重大错报风险的估计水平检查风险的可接受水平一定高低中中低高审计风险及其要素的关系

审计风险矩阵在审计实务中，将审计风险精确的量化是很难的，通常16审计风险与其构成要素的相互关系可表述为：在既定的审计风险水平（可接受的审计风险水平）下，可接受的检查风险水平与认定层次重大错报风险的评估结果成反向关系。评估的重大错报风险越高，可接受的检查风险越低；评估的重大错报风险越低，可接受的检查风险越高。审计风险与其构成要素的相互关系可表述为：在既定的审计风险水平17可接受的检查风险水平对审计程序的影响可接受的检查风险越低时，注册会计师必须扩大审计程序的范围，获取更多的审计证据，从而降低检查风险的实际水平，将实际审计风险控制在可接受的水平，保证审计效果。评估的重大错报风险水平越低，注册会计师可接受的检查风险水平越高，此时可适当缩小审计程序的范围，获取较少的审计证据，以提高审计效率。可接受的检查风险水平对审计程序的影响可接受的检查风险越低时，18例：检查风险水平对审计程序的影响如注册会计师确定的审计风险可接受水平为5%，重大错报风险估计水平为50%，则检查风险可接受水平为：

检查风险可接受水平=5%/50%×100%=10%上例中，其他条件相同，如重大错报风险估计水平为20%，则检查风险可接受水平为：检查风险可接受水平=5%/20%×100%=25%以上两种情况比较，情况1时（检查风险可接受水平较小时）,审计时将要实施的审计程序范围较大，获取审计证据较多，并需要采用成本较高但更有效的审计程序。例：检查风险水平对审计程序的影响如注册会计师确定的审计风险可19第二节风险评估一、风险评估的总体要求二、了解被审计单位及其环境的必要三、了解被审计单位及其环境的内容四、风险评估程序五、评估重大错报风险第二节风险评估一、风险评估的总体要求20一、风险评估的总体要求注册会计师应当了解被审计单位及其环境，以足够识别和评估财务报表重大错报风险，设计和实施进一步审计程序。注意：(1)了解被审计单位及其环境是必须要实施的程序，而不是可选程序；(2)了解的程度应当足够实现了解的目的。

一、风险评估的总体要求注册会计师应当了解被审计单位及其环境，21二、了解被审计单位及其环境的必要性了解被审计单位及其环境为注册会计师在下列关键环节作出职业判断提供重要基础：(1)确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；(2)考虑会计政策的选择和运用是否恰当，以及财务报表的列报是否适当；(3)识别需要特别考虑的领域，包括关联方交易、管理层运用持续经营假设的合理性，或交易是否具有合理的商业目的等；(4)确定在实施分析程序时所使用的预期值；(5)设计和实施进一步审计程序，以将审计风险降至可接受的低水平；(6)评价所获取审计证据的充分性和适当性。二、了解被审计单位及其环境的必要性了解被审计单位及其环境为注22三、了解被审计单位及其环境的内容1．行业状况、法律环境与监管环境以及其他外部因素行业状况:(1)所处行业的市场供求与竞争；(2)生产经营的季节性和周期性；(3)产品生产技术的变化；(4)能源供应与成本；(5)行业的关键指标和统计数据。法律环境及监管环境：(1)适用的会计准则、会计制度和行业特定惯例；(2)对经营活动产生重大影响的法律法规及监管活动；(3)对开展业务产生重大影响的政府政策，包括货币、财政、税收和贸易等政策；(4)与被审计单位所处行业和所从事经营活动相关的环保要求。其他外部因素：(1)宏观经济的景气度；(2)利率和资金供求状况；(3)通货膨胀水平及币值变动；(4)国际经济环境和汇率变动。三、了解被审计单位及其环境的内容1．行业状况、法律环境与监管23二、了解被审计单位及其环境的内容2．被审计单位的性质包括：(1)所有权结构；(2)治理结构；(3)组织结构；(4)经营活动；(5)投资活动；(6)筹资活动。3．被审计单位对会计政策的选择和运用包括：(1)重要项目的会计政策和行业惯例；(2)重大和异常交易的会计处理方法；(3)在新领域和缺乏权威性标准或共识的领域，采用重要会计政策产生的影响；(4)会计政策的变更；(5)被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度。二、了解被审计单位及其环境的内容2．被审计单位的性质24二、了解被审计单位及其环境的内容4．被审计单位的目标、战略以及相关经营风险注册会计师在了解被审计单位的目标、战略与经营风险同时，还应了解被审计单位的经营风险对重大错报风险的影响和被审计单位的风险评估过程。5．被审计单位财务业绩的衡量和评价包括：(1)关键业绩指标；(2)业绩趋势；(3)预测、预算和差异分析；(4)管理层和员工业绩考核与激励性报酬政策；(5)分部信息与不同层次部门的业绩报告；(6)与竞争对手的业绩比较；(7)外部机构提出的报告。同时关注内部财务业绩衡量的结果，考虑财务业绩衡量指标的可靠性。6．被审计单位的内部控制：控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动、对控制的监督。

二、了解被审计单位及其环境的内容4．被审计单位的目标、战略以25四、风险评估程序风险评估程序是指为了解被审计单位及其环境而实施的程序。准则要求：注册会计师应当依据实施风险评估程序所获取的信息，评估重大错报风险。四、风险评估程序风险评估程序是指为了解被审计单位及其环境而实261．询问被审计单位管理层和内部其他相关人员是了解被审计单位及其环境的一个重要信息来源。询问的事项：（1）管理层所关注的主要问题。如新的竞争对手、主要客户和供应商的流失、新的税收法规的实施以及经营目标或战略的变化等。（2）被审计单位最近的财务状况、经营成果和现金流量。（3）可能影响财务报告的交易和事项，或者目前发生的重大会计处理问题。如企业重大的资产重组事项。（4）被审计单位发生的其他重要变化。如组织结构的变化。内部控制的变化等。询问对象：被审计单位管理层和财务负责人及内部审计人员、采购人员、生产人员、销售人员大等其他人员。1．询问被审计单位管理层和内部其他相关人员是了解被审计单位及272．实施分析程序分析程序是指注册会计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系，对财务信息作出评价。分析程序可以在风险评估程序和实质性程序中使用，也可以在总体复核财务报表时使用。注册会计师实施分析程序有助于识别异常的交易和事项，以及对财务报表和审计产生影响的金额、比率和趋势。2．实施分析程序分析程序是指注册会计师通过研究不同财务数据之28分析程序在了解被审计单位及其环境时运用（1）运用分析程序可以评价被审计单位在行业中的经营状况和竞争环境。如：将被审计单位的关键业绩指标与同行业平均数据或同行业中规模相近的其他单位的数据相比较，可以了解被审计单位在市场中的相对表现，并识别存在重大错报风险的迹象。（2）运用分析程序可以评价被审计单位经营活动、投资活动、筹资活动。例如，将被审计单位的财务信息与以前期间的可比数据、被审计单位的预算或注册会计师的预期数据进行比较，对重要财务比率进行分析，以了解被审计单位在经营活动、投资活动、筹资活动等各方面的情况及其重大变化。分析程序在了解被审计单位及其环境时运用（1）运用分析程序可以293．观察和检查观察和检查可以印证对管理层和其他相关人员的询问结果，并且可以提供有关被审计单位及其环境的信息。注册会计师可以实施的观察和检查程序有：（1）观察被审计单位的生产经营活动。（2）检查文件、记录和内部控制手册。（3）阅读管理层和治理层编制的报告。（4）实地察看被审计单位的生产经营场所和设备。（5）追踪交易在财务报告信息系统中的处理过程（穿行测试）。3．观察和检查观察和检查可以印证对管理层和其他相关人员的询30穿行测试是注册会计师了解被审计单位业务流程及其相关控制时经常使用的审计程序。通过追踪某笔或某几笔交易在业务流程中如何生成、记录、处理和报告，以及相关控制如何执行，注册会计师可以确定被审计单位的交易流程和相关控制是否与之前通过其他程序所获得的了解一致，并确定相关控制是否得到执行。穿行测试是注册会计师了解被审计单位业务流程及其相关控制时经31穿行测试举例如审计人员从若干笔购货业务中抽一笔或几笔购货业务，按“请购——订货——验收——入库——核票——付款——登账”的顺序，对购货业务流程的每一个环节进行详查，以证实购货与付款循环的内部控制在各环节的实际执行情况是否与其了解到的情况相一致，并确定相关控制是否得到执行。注意：通过穿行测试，既可以了解内部控制设计情况，也可以测试内部控制执行情况。穿行测试举例如审计人员从若干笔购货业务中抽一笔或几笔购货业务324．其他审计程序和信息来源（1）其他审计程序如注册会计师如果根据职业判断认为从被审计单位外部获取的信息有助于识别重大错报风险，注册会计师还应当实施其他审计程序以获取这些信息。例如，询问被审计单位聘请的外部法律顾问、投资顾问和财务顾问等；阅读由银行、评级机构出具的被审计单位及其所处行业的经济或市场环境等状况的报告等外部信息。4．其他审计程序和信息来源（1）其他审计程序334．其他审计程序和信息来源（2）其他信息来源注册会计师应当考虑在承接客户或续约过程中获取的信息，以及向被审计单位提供其他服务所获得的经验是否有助于识别重大错报风险。通常，对于承接审计业务，注册会计师应当在承接阶段对被审计单位及其环境有个初步的了解，以确定是否承接该业务。4．其他审计程序和信息来源（2）其他信息来源34五、评估重大错报风险（一）识别和评估重大错报风险的审计程序（二）识别两个层次的重大错报风险（三）重大错报风险评估的修订五、评估重大错报风险（一）识别和评估重大错报风险的审计程序35（一）识别和评估重大错报风险的审计程序（1）在了解被审计单位及其环境的整个过程中识别风险，并将识别的风险与各类交易、账户余额和列报相联系。如，竞争者开发的新产品上市→可能导致被审计单位的主要产品在短期内过时→存货跌价和长期资产（如固定资产）的减值。（一）识别和评估重大错报风险的审计程序（1）在了解被审计单位36（一）识别和评估重大错报风险的审计程序（2）将识别的风险与认定层次可能发生错报的领域相联系。如，销售困难→市场价格下降→可能导致年末存货减值→需要计提存货跌价准备→存货的计价认定可能发生错报（一）识别和评估重大错报风险的审计程序（2）将识别的风险与认37（一）识别和评估重大错报风险的审计程序（3）考虑识别的风险是否重大如：产品市场价格下降且幅度大，加之该产品在被审计单位产品中的比重→可能产生的风险对财务报表的影响重大？如果产品市场价格下降的幅度很大，毛利率为负，则年末存货跌价问题严重，存货计价认定发生错报的风险重大。

（一）识别和评估重大错报风险的审计程序（3）考虑识别的风险是38（一）识别和评估重大错报风险的审计程序（4）考虑识别的风险导致财务报表发生重大错报的可能性。如，被审计单位对于存货跌价准备的计提实施了比较有效的内部控制，管理层已根据存货的可变现净值，计提了相应的跌价准备。此时，财务报表发生重大错报的可能性将相应降低。（一）识别和评估重大错报风险的审计程序（4）考虑识别的风险导39（二）识别两个层次的重大错报风险如果识别的重大错报风险是与特定的某类交易、账户余额、列报的认定有关，则作为认定层次的重大错报风险；如果识别的重大错报风险是与财务报表整体广泛相关，进而影响多项认定，则作为报表层次的重大错报风险。（二）识别两个层次的重大错报风险如果识别的重大错报风险是与40（三）重大错报风险评估的修订注册会计师对认定层次重大错报的评估应以获取的审计证据为基础，并可能随着不断获取审计证据而做出相应的变化。评估重大错报风险是一个连续和动态地收集、更新与分析信息的过程，贯穿于整个审计过程的始终。（三）重大错报风险评估的修订注册会计师对认定层次重大错报的评41实施风险评估程序后→证据表明：被审计单位与存货“存在”认定的相关控制设计合理，并得到执行→

存货“存在”认定的重大错报风险估计水平为低水平→以此计划审计程序→实施控制测试（测试执行的有效性）→证据表明：存货“存在”认定的相关控制未有效运行→存货“存在”认定重新估计的重大错报风险为高水平→修改实质性程序计划→实施实质性程序→重新估计存货“存在”认定的重大错报风险水平→评估实施的审计程序是否充分→如不充分，追加实施额外的审计程序，以降低审计风险至可接受水平。实施风险评估程序后→证据表明：被审计单位与存货“存在”认42第三节了解被审计单位的内部控制一、了解内部控制的总体要求二、内部控制的含义三、内部控制的局限性四、对内部控制了解的程度五、内部控制的构成要素六、两个层面了解和评价内部控制第三节了解被审计单位的内部控制一、了解内部控制的总体要求43一、了解内部控制的总体要求了解被审计单位的内部控制是识别和评估重大错报风险、设计和实施进一步审计程序的基础。准则要求：注册会计师应当了解与审计相关的内部控制，以识别潜在错报的类型，考虑导致重大错报风险的因素，设计和实施进一步审计程序的性质、时间和范围。一、了解内部控制的总体要求了解被审计单位的内部控制是识别和评44二、内部控制的含义内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。对内部控制概念的理解，应把握以下几点：1．内部控制的目标是合理保证：（1）财务报告的可靠性；（2）经营的效果和效率，（3）在所有经营活动中遵守法律法规的要求。2．实现内部控制目标的手段是设计和执行控制政策和程序。3．内部控制贯穿于企业经营管理活动的各个方面，只要存在企业经营管理活动，就需要有相应的内部控制。二、内部控制的含义内部控制是被审计单位为了合理保证财务报告的45三、内部控制的局限性(1)在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。(2)可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。(3)如果被审计单位内部行使控制职能的人员素质不适应岗位要求，也会影响内部控制功能的正常发挥。三、内部控制的局限性(1)在决策时人为判断可能出现错误和由于46三、内部控制的局限性(4)被审计单位实施内部控制的成本效益问题也会影响其职能，当实施某项控制成本大于控制效果而发生损失时，就没有必要设置控制环节或控制措施。(5)内部控制一般都是针对经常而重复发生的业务而设置的，如果出现不经常发生或未预计到的业务，原有控制就可能不适用。三、内部控制的局限性(4)被审计单位实施内部控制的成本效益问47四、对内部控制了解的程度对内部控制了解的深度，是指在了解被审计单位及其环境时对内部控制了解的程度。包括：评价控制的设计，并确定其是否得到执行，但不包括对控制是否得到一贯执行的测试。

四、对内部控制了解的程度对内部控制了解的深度，是指在了解被审48五、内部控制的构成要素（一）控制环境控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。良好的控制环境是实施有效内部控制的基础。要素：（1）对诚信和道德价值观念的沟通与落实；（2）对胜任能力的重视；（3）治理层的参与程度；（4）管理层的理念和经营风格；（5）组织结构及职权与责任的分配；（6）人力资源政策与实务（涉及招聘、培训、考核、晋升和薪酬等方面）。五、内部控制的构成要素（一）控制环境49（二）被审计单位的风险评估过程任何经济组织在经营活动中都会面临各种各样的风险，风险对其生存和竞争能力产生影响。很多风险并不为经济组织所控制，但管理层应当确定可以承受的风险水平，识别这些风险并采取一定的应对措施。可能产生风险的事项和情形包括：1.监管及经营环境的变化。监管和经营环境的变化会导致竞争压力的变化以及重大的相关风险。2.新员工的加入。新员工可能对内部控制有不同的认识和关注点。3.新信息系统的使用或对原系统进行升级。信息系统的重大变化会改变与内部控制相关的风险。（二）被审计单位的风险评估过程任何经济组织在经营活动中都会面50（二）被审计单位的风险评估过程4.业务快速发展。快速的业务扩张可能会使内部控制难以应对，从而增加内部控制失效的可能性。5.新技术。将新技术运用于生产过程和信息系统可能改变与内部控制相关的风险。6.新生产型号、产品和业务活动。进入新的业务领域和发生新的交易可能带来新的与内部控制相关的风险。7.企业重组。重组可能带来裁员以及管理职责的重新划分，将影响与内部控制相关的风险。8.发展海外经营。海外扩张或收购会带来新的并且往往是特别的风险，进而可能影响内部控制，如外币交易的风险。9.新的会计准则。采用新的或变化了的会计准则可能会增大财务报告发生重大错报的风险。

（二）被审计单位的风险评估过程4.业务快速发展。快速的业务扩51（二）被审计单位的风险评估过程针对财务报告目标的风险评估过程则包括：（1）识别与财务报告相关的经营风险；（2）评估风险的重大性和发生的可能性（3）采取措施管理这些风险（应对措施）。注册会计师应当对被审计单位的风险评估过程进行了解和评估。例如，在了解被审计单位的业务情况时，发现了某些经营风险，注册会计师应当了解管理层是否也意识到这些风险以及如何应对。例如，在销售循环中，如果发现了销售的截止性错报的风险，注册会计师应当考虑管理层是否也识别了该错报风险以及如何应对该风险。

（二）被审计单位的风险评估过程针对财务报告目标的风险评估过程52（三）与财务报告相关的信息系统和沟通信息系统与沟通是指收集与交换被审计单位执行、管理和控制业务活动所需信息的过程，包括收集和提供信息(特别是为履行内部控制岗位职责所需的信息)给适当人员，使之能够履行职责。与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。与财务报告相关的沟通，包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责、员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。沟通可以采用政策手册、会计和财务报告手册和备忘录等形式进行，也可以通过发送电子邮件、口头沟通和管理层的行动来进行。

（三）与财务报告相关的信息系统和沟通信息系统与沟通是指收集与53（四）控制活动控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。（四）控制活动控制活动是指有助于确保管理层的指令得以执行的政54（四）控制活动1.授权主要目的：保证交易是管理人员在其授权范围内授权产生的。授权有一般授权和特别授权两种：一般授权是指处理常规性交易的授权，如销售人员对符合企业一般信用标准的顾客赊销商品。特别授权是指处理非常规性交易的授权，如重大资本支出、债券和股票发行等。特别授权也可能用于超过一般授权限制的常规交易，如授权处理特殊情况下对某个不符合企业一般信用标准的顾客赊购商品等。（四）控制活动1.授权55（四）控制活动2、业绩评价控制内容：（1）被审计单位分析评价实际业绩与预算(或预测、前期业绩)的差异；（2）综合分析财务数据与经营数据的内在关系；（3）将内部数据与外部信息来源相比较；（4）评价职能部门、分支机构或项目活动的业绩，（5）对发现的异常差异或关系采取必要的调查与纠正措施。（四）控制活动2、业绩评价控制56（四）控制活动3.信息处理控制被审计单位通常执行各种措施，检查各种类型信息处理环境下的交易的准确性、完整性和授权。注册会计师应了解与信息处理有关的控制活动。信息处理控制分为两类：信息技术一般控制；信息技术应用控制。（四）控制活动3.信息处理控制57（四）控制活动（1）信息技术一般控制含义：是指与多个应用系统有关的政策和程序。目的：保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性)，支持应用控制作用的有效发挥。通常包括：数据中心和网络运行控制；系统软件的购置、修改及维护控制；接触或访问权限控制；应用系统的购置、开发及维护控制。（2）信息技术应用控制含义：是指主要在业务流程层次运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关。通常包括：检查数据计算的准确性；审核账户和试算平衡表；设置对输入数据和数字序号的自动检查；以及对例外报告进行人工干预。（四）控制活动（1）信息技术一般控制58（四）控制活动4、实物控制主要目的是限制接近资产和重要的记录，以保证资产与记录的完全和完整。实物控制的效果影响资产的安全，从而对财务报表的可靠性及审计产生影响。实物控制包括：（1）对资产和记录采取适当的安全保护措施，如将存货存入仓库、现金放入保险柜等都是实物保护措施。（2）对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对。（3）对现金、有价证券和存货的定期盘点控制。（四）控制活动4、实物控制59（四）控制活动5.职责分离主要目的是避免任何职员担任不相容的职务。不相容的职务是指经营业务的授权、批准、执行和记录等完全由一个部门或一个人办理时，发生错弊的可能性就会增大的两项或两项以上的职务。不相容的职务必须分离，这是建立内部控制最基本的要求。不相容职务应当分离控制有以下几项内容：*授权批准职务与执行业务职务相分离；

*执行业务职务与监督审核职务相分离；

*执行业务职务与会计记录职务相分离；

*财产保管职务与会计记录职务相分离；

*执行业务职务与财产保管职务相分离。（四）控制活动5.职责分离60案例1某公司财会科有三名会计人员，他们要完成以下十项工作:(1)登记总账，处理账务管理日常工作；(2)登记应收账款明细账;(3)登记现金日记账;(4)登记银行存款日记账；(5)开具退货支付通知书；(6)调节银行对账单；(7)处理并送存所收入的现金;(8)登记应付账款明细账；(9)登记库存商品明细账；(10)编制会计报表。要求:现已知三人均有相当的会计工作能力，请问如何将以上几项工作分配给三名会计人员，使会计工作起到较好的内控作用，并使三人的工作量基本相等。参考答案:会计A:(1)(10)(6)；会计B:(3)(4)(7)会计；C:(2)(5)(8)(9)。案例1某公司财会科有三名会计人员，他们要完成以下十项工作:61案例22006年4月，审计人员对某单位进行审计，他们从账户审计入手，通过对单位经费支出和银行对账单逐笔核对，一举查出该单位会计何某200年利用职务之便通过虚列支出、偷开支票方式贪污公款120万元违法事实，将一个原本风华正茂的“小会计”送进了大牢。

按照我国《会计法》规定，会计一人是开不出支票的，何某何以得手呢？案例22006年4月，审计人员对某单位进行审计，他们从账户62案例2（续）从审计的情况看，该单位内控制度不严，支票管理混乱，是何某得手的重要原因。

审计人员在审计中发现，空白支票有时在何某手上，有时在财务科长手上，而出纳不管存款，只管现金。所以，单位在银行的存款游离了出纳，实际上由何某掌管。按规定要开出支票，需要单位财务章、财务科长章、法人代表章。这些印章虽然大多时在财务科长手上，但有时也放在何某手里。所以，何某要偷开单位支票，易如反掌。120万元巨款已被贪污，为何在近3年的时间内没有被单位内任何人发现呢？审计人员发现，该单位内部没有实行钱账分开，何某既管账，又管银行存款；财务科长、会计、出纳互相监督失灵；单位内部审计工作又是何某负责，自己审计自己当然审计不出问题。案例2（续）从审计的情况看，该单位内控制度不严，支票管理混63（五）对控制的监督管理层的重要职责之一就是建立和维护控制并保证其持续有效运行，对控制的监督可以实现这一目标。例如，管理层对银行存款余额调节表是否得到及时和准确的编制进行监督，可以保证该项控制得到持续的执行。监督是由适当的人员，在适当、及时的基础上，评估控制的设计和运行情况的过程。例如，管理层对是否定期编制银行存款余额调节表进行复核，内部审计人员评价销售人员是否遵守公司关于销售合同条款的政策。（五）对控制的监督管理层的重要职责之一就是建立和维护控制并64六、两个层面了解和评价内部控制(一)整体层面了解和评价内部控制注册会计师应当了解和评价对被审计单位有普遍影响的内部控制，即在被审计单位整体层面了解内部控制，并评估财务报表重大错报风险。在了解内部控制的各构成要素时，注册会计师应当对被审计单位整体层面的内部控制的设计进行评价，并确定其是否得到执行。财务报表层次的重大错报风险很可能源于薄弱的控制环境。六、两个层面了解和评价内部控制(一)整体层面了解和评价内部控65六、两个层面了解和评价内部控制(二)业务层面了解和评价内部控制由于内部控制的各个要素，尤其是信息系统和控制活动更多地体现在业务流程层面，因此，注册会计师应当从被审计单位重要业务流程层面了解内部控制，并据此评估认定层次的重大错报风险，进而针对评估的风险设计和实施进一步审计程序。六、两个层面了解和评价内部控制(二)业务层面了解和评价内部控66完谢谢大家完67第七章审计风险及其评估本章要点第一节审计风险第二节风险评估第三节了解内部控制第七章审计风险及其评估本章要点68本章要点1.审计风险的构成要素2.重大错报风险的两个层次3.审计风险模型及其运用4.检查风险的确定和审计程序的设计5.审计风险与审计证据的关系6.风险评估的总体要求7.了解被审计单位及其环境的内容和程序8.评估重大错报风险9.内部控制的构成要素及其了解10.两个层面了解和评价内部控制本章要点1.审计风险的构成要素69

第一节审计风险一、审计风险的含义二、审计风险的构成要素三、审计风险模型及其运用

第一节审计风险一、审计风险的含义70一、审计风险的含义审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。对它的理解，应注意以下两点：1．现代审计是风险基础审计，控制审计风险是注册会计师首要考虑的问题。2．审计风险是相对财务报表中有无重大差错而言的，也就是说，审计风险是一个与重要性相关联的概念。一、审计风险的含义审计风险是指财务报表存在重大错报而注册会计71审计风险的理解（续）3．审计风险并不包含下面这种情况，即财务报表不含有重大错报，而注册会计师错误地发表了财务报表含有重大错报的审计意见的风险。4．合理保证与审计风险互为补数，即合理保证与审计风险之和等于100%。如果注册会计师将审计风险降至可接受的低水平，则对财务报表不存在重大错报获取了合理保证。审计风险的理解（续）3．审计风险并不包含下面这种情况，即财务72二、审计风险的构成要素审计风险包括两大组成要素，即重大错报风险和检查风险。（一）重大错报风险重大错报风险是指财务报表在审计前存在重大错报的可能性。1、两个层次的重大错报风险财务报表层次和各类交易、账户余额、列报认定层次。二、审计风险的构成要素审计风险包括两大组成要素，即重大错报风73（1）财务报表层次的重大错报风险财务报表层次重大错报风险与财务报表整体存在广泛联系，可能影响多项认定。此类风险通常与控制环境有关，但也可能与其他因素有关，如经济萧条。此类风险难以被界定于某类交易、账户余额、列报的具体认定，相反，此类风险增大了一个或多个不同认定发生重大错报的可能性，与由舞弊引起的风险特别相关。（1）财务报表层次的重大错报风险财务报表层次重大错报风险与财74（2）认定层次的重大错报风险注册会计师同时应考虑各类交易、账户余额、列报认定层次的重大错报风险，考虑的结果直接有助于注册会计师确定认定层次上实施的进一步审计程序的性质、时间和范围。（2）认定层次的重大错报风险注册会计师同时应考虑各类交易、账752、固有风险和控制风险认定层次的重大错报风险又可以进一步细分为固有风险和控制风险。（1）

固有风险固有风险是指假设不存在相关的内部控制，某一认定发生重大错报的可能性，无论该错报单独考虑，还是连同其他错报构成重大错报。（2）控制风险控制风险是指某项认定发生了重大错报，无论该错报单独考虑，还是连同其他错报构成重大错报，而该错报没有被企业的内部控制及时防止、发现和纠正的可能性。控制风险取决于财务报表编制有关的内部控制的设计和运行的有效性。由于控制的固有局限性，某种程序的控制风险始终存在。

2、固有风险和控制风险认定层次的重大错报风险又可以进一步细76注意：由于固有风险和控制风险不可分割的交织在一起，有时无法单独进行评估，现行的审计准则通常不再单独提到固有风险和控制风险，而只是将这两者合并称为“重大错报风险”。

注意：由于固有风险和控制风险不可分割的交织在一起，有时无法单77二、审计风险的构成要素（二）检查风险检查风险是指某一认定存在错报，该错报单独或连同其他错报是重大的，但注册会计师未能发现这种错报的可能性。检查风险取决于审计程序设计的合理性和执行的有效性。检查风险不可能降低为零：其原因：（1）由于注册会计师通常并不对所有的交易、账户余额和列报进行检查；（2）注册会计师可能选择了不恰当的审计程序、审计过程执行不当，或者错误解读了审计结论。二、审计风险的构成要素（二）检查风险78注：检查风险是注册会计师唯一可能控制的风险。而重大错报风险是企业的风险，不受注册会计师的控制。注：检查风险是注册会计师唯一可能控制的风险。而重大错报风险是79三、审计风险模型及其运用（一）审计风险模型

审计风险与重大错报风险和检查风险的关系，可以用如下审计风险模型表示：审计风险=重大错报风险×检查风险三、审计风险模型及其运用（一）审计风险模型80审计风险模型的理解应把握以下几点：（1）审计风险是审计风险要素共同作用的结果，但各个风险要素是相互独立的。（2）审计风险可用百分数表示，也可描述为高、中、低等，但在审计风险模型中各种审计风险用百分数表示。（3）审计风险各个要素都不会等于0。即审计风险各要素都客观存在，任何一个要素等于0，则审计风险就不存在，就根本不需要审计，这在现代审计中是不可能。审计风险模型的理解应把握以下几点：81（二）审计风险模型的运用在既定的审计风险下，运用审计风险模型可以计算可接受的检查风险水平：

如注册会计师确定的审计风险可接受水平为3%，重大错报风险估计水平为50%，则检查风险可接受水平为：检查风险可接受水平=3%/50%×100%=6%（二）审计风险模型的运用在既定的审计风险下，运用审计风险模型82审计风险矩阵在审计实务中，将审计风险精确的量化是很难的，通常采用定性认识，用审计风险矩阵的形式反映，如下表所示。审计风险可接受水平重大错报风险的估计水平检查风险的可接受水平一定高低中中低高审计风险及其要素的关系

审计风险矩阵在审计实务中，将审计风险精确的量化是很难的，通常83审计风险与其构成要素的相互关系可表述为：在既定的审计风险水平（可接受的审计风险水平）下，可接受的检查风险水平与认定层次重大错报风险的评估结果成反向关系。评估的重大错报风险越高，可接受的检查风险越低；评估的重大错报风险越低，可接受的检查风险越高。审计风险与其构成要素的相互关系可表述为：在既定的审计风险水平84可接受的检查风险水平对审计程序的影响可接受的检查风险越低时，注册会计师必须扩大审计程序的范围，获取更多的审计证据，从而降低检查风险的实际水平，将实际审计风险控制在可接受的水平，保证审计效果。评估的重大错报风险水平越低，注册会计师可接受的检查风险水平越高，此时可适当缩小审计程序的范围，获取较少的审计证据，以提高审计效率。可接受的检查风险水平对审计程序的影响可接受的检查风险越低时，85例：检查风险水平对审计程序的影响如注册会计师确定的审计风险可接受水平为5%，重大错报风险估计水平为50%，则检查风险可接受水平为：

检查风险可接受水平=5%/50%×100%=10%上例中，其他条件相同，如重大错报风险估计水平为20%，则检查风险可接受水平为：检查风险可接受水平=5%/20%×100%=25%以上两种情况比较，情况1时（检查风险可接受水平较小时）,审计时将要实施的审计程序范围较大，获取审计证据较多，并需要采用成本较高但更有效的审计程序。例：检查风险水平对审计程序的影响如注册会计师确定的审计风险可86第二节风险评估一、风险评估的总体要求二、了解被审计单位及其环境的必要三、了解被审计单位及其环境的内容四、风险评估程序五、评估重大错报风险第二节风险评估一、风险评估的总体要求87一、风险评估的总体要求注册会计师应当了解被审计单位及其环境，以足够识别和评估财务报表重大错报风险，设计和实施进一步审计程序。注意：(1)了解被审计单位及其环境是必须要实施的程序，而不是可选程序；(2)了解的程度应当足够实现了解的目的。

一、风险评估的总体要求注册会计师应当了解被审计单位及其环境，88二、了解被审计单位及其环境的必要性了解被审计单位及其环境为注册会计师在下列关键环节作出职业判断提供重要基础：(1)确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；(2)考虑会计政策的选择和运用是否恰当，以及财务报表的列报是否适当；(3)识别需要特别考虑的领域，包括关联方交易、管理层运用持续经营假设的合理性，或交易是否具有合理的商业目的等；(4)确定在实施分析程序时所使用的预期值；(5)设计和实施进一步审计程序，以将审计风险降至可接受的低水平；(6)评价所获取审计证据的充分性和适当性。二、了解被审计单位及其环境的必要性了解被审计单位及其环境为注89三、了解被审计单位及其环境的内容1．行业状况、法律环境与监管环境以及其他外部因素行业状况:(1)所处行业的市场供求与竞争；(2)生产经营的季节性和周期性；(3)产品生产技术的变化；(4)能源供应与成本；(5)行业的关键指标和统计数据。法律环境及监管环境：(1)适用的会计准则、会计制度和行业特定惯例；(2)对经营活动产生重大影响的法律法规及监管活动；(3)对开展业务产生重大影响的政府政策，包括货币、财政、税收和贸易等政策；(4)与被审计单位所处行业和所从事经营活动相关的环保要求。其他外部因素：(1)宏观经济的景气度；(2)利率和资金供求状况；(3)通货膨胀水平及币值变动；(4)国际经济环境和汇率变动。三、了解被审计单位及其环境的内容1．行业状况、法律环境与监管90二、了解被审计单位及其环境的内容2．被审计单位的性质包括：(1)所有权结构；(2)治理结构；(3)组织结构；(4)经营活动；(5)投资活动；(6)筹资活动。3．被审计单位对会计政策的选择和运用包括：(1)重要项目的会计政策和行业惯例；(2)重大和异常交易的会计处理方法；(3)在新领域和缺乏权威性标准或共识的领域，采用重要会计政策产生的影响；(4)会计政策的变更；(5)被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度。二、了解被审计单位及其环境的内容2．被审计单位的性质91二、了解被审计单位及其环境的内容4．被审计单位的目标、战略以及相关经营风险注册会计师在了解被审计单位的目标、战略与经营风险同时，还应了解被审计单位的经营风险对重大错报风险的影响和被审计单位的风险评估过程。5．被审计单位财务业绩的衡量和评价包括：(1)关键业绩指标；(2)业绩趋势；(3)预测、预算和差异分析；(4)管理层和员工业绩考核与激励性报酬政策；(5)分部信息与不同层次部门的业绩报告；(6)与竞争对手的业绩比较；(7)外部机构提出的报告。同时关注内部财务业绩衡量的结果，考虑财务业绩衡量指标的可靠性。6．被审计单位的内部控制：控制环境、被审计单位的风险评估过程、与财务报告相关的信息系统和沟通、控制活动、对控制的监督。

二、了解被审计单位及其环境的内容4．被审计单位的目标、战略以92四、风险评估程序风险评估程序是指为了解被审计单位及其环境而实施的程序。准则要求：注册会计师应当依据实施风险评估程序所获取的信息，评估重大错报风险。四、风险评估程序风险评估程序是指为了解被审计单位及其环境而实931．询问被审计单位管理层和内部其他相关人员是了解被审计单位及其环境的一个重要信息来源。询问的事项：（1）管理层所关注的主要问题。如新的竞争对手、主要客户和供应商的流失、新的税收法规的实施以及经营目标或战略的变化等。（2）被审计单位最近的财务状况、经营成果和现金流量。（3）可能影响财务报告的交易和事项，或者目前发生的重大会计处理问题。如企业重大的资产重组事项。（4）被审计单位发生的其他重要变化。如组织结构的变化。内部控制的变化等。询问对象：被审计单位管理层和财务负责人及内部审计人员、采购人员、生产人员、销售人员大等其他人员。1．询问被审计单位管理层和内部其他相关人员是了解被审计单位及942．实施分析程序分析程序是指注册会计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系，对财务信息作出评价。分析程序可以在风险评估程序和实质性程序中使用，也可以在总体复核财务报表时使用。注册会计师实施分析程序有助于识别异常的交易和事项，以及对财务报表和审计产生影响的金额、比率和趋势。2．实施分析程序分析程序是指注册会计师通过研究不同财务数据之95分析程序在了解被审计单位及其环境时运用（1）运用分析程序可以评价被审计单位在行业中的经营状况和竞争环境。如：将被审计单位的关键业绩指标与同行业平均数据或同行业中规模相近的其他单位的数据相比较，可以了解被审计单位在市场中的相对表现，并识别存在重大错报风险的迹象。（2）运用分析程序可以评价被审计单位经营活动、投资活动、筹资活动。例如，将被审计单位的财务信息与以前期间的可比数据、被审计单位的预算或注册会计师的预期数据进行比较，对重要财务比率进行分析，以了解被审计单位在经营活动、投资活动、筹资活动等各方面的情况及其重大变化。分析程序在了解被审计单位及其环境时运用（1）运用分析程序可以963．观察和检查观察和检查可以印证对管理层和其他相关人员的询问结果，并且可以提供有关被审计单位及其环境的信息。注册会计师可以实施的观察和检查程序有：（1）观察被审计单位的生产经营活动。（2）检查文件、记录和内部控制手册。（3）阅读管理层和治理层编制的报告。（4）实地察看被审计单位的生产经营场所和设备。（5）追踪交易在财务报告信息系统中的处理过程（穿行测试）。3．观察和检查观察和检查可以印证对管理层和其他相关人员的询97穿行测试是注册会计师了解被审计单位业务流程及其相关控制时经常使用的审计程序。通过追踪某笔或某几笔交易在业务流程中如何生成、记录、处理和报告，以及相关控制如何执行，注册会计师可以确定被审计单位的交易流程和相关控制是否与之前通过其他程序所获得的了解一致，并确定相关控制是否得到执行。穿行测试是注册会计师了解被审计单位业务流程及其相关控制时经98穿行测试举例如审计人员从若干笔购货业务中抽一笔或几笔购货业务，按“请购——订货——验收——入库——核票——付款——登账”的顺序，对购货业务流程的每一个环节进行详查，以证实购货与付款循环的内部控制在各环节的实际执行情况是否与其了解到的情况相一致，并确定相关控制是否得到执行。注意：通过穿行测试，既可以了解内部控制设计情况，也可以测试内部控制执行情况。穿行测试举例如审计人员从若干笔购货业务中抽一笔或几笔购货业务994．其他审计程序和信息来源（1）其他审计程序如注册会计师如果根据职业判断认为从被审计单位外部获取的信息有助于识别重大错报风险，注册会计师还应当实施其他审计程序以获取这些信息。例如，询问被审计单位聘请的外部法律顾问、投资顾问和财务顾问等；阅读由银行、评级机构出具的被审计单位及其所处行业的经济或市场环境等状况的报告等外部信息。4．其他审计程序和信息来源（1）其他审计程序1004．其他审计程序和信息来源（2）其他信息来源注册会计师应当考虑在承接客户或续约过程中获取的信息，以及向被审计单位提供其他服务所获得的经验是否有助于识别重大错报风险。通常，对于承接审计业务，注册会计师应当在承接阶段对被审计单位及其环境有个初步的了解，以确定是否承接该业务。4．其他审计程序和信息来源（2）其他信息来源101五、评估重大错报风险（一）识别和评估重大错报风险的审计程序（二）识别两个层次的重大错报风险（三）重大错报风险评估的修订五、评估重大错报风险（一）识别和评估重大错报风险的审计程序102（一）识别和评估重大错报风险的审计程序（1）在了解被审计单位及其环境的整个过程中识别风险，并将识别的风险与各类交易、账户余额和列报相联系。如，竞争者开发的新产品上市→可能导致被审计单位的主要产品在短期内过时→存货跌价和长期资产（如固定资产）的减值。（一）识别和评估重大错报风险的审计程序（1）在了解被审计单位103（一）识别和评估重大错报风险的审计程序（2）将识别的风险与认定层次可能发生错报的领域相联系。如，销售困难→市场价格下降→可能导致年末存货减值→需要计提存货跌价准备→存货的计价认定可能发生错报（一）识别和评估重大错报风险的审计程序（2）将识别的风险与认104（一）识别和评估重大错报风险的审计程序（3）考虑识别的风险是否重大如：产品市场价格下降且幅度大，加之该产品在被审计单位产品中的比重→可能产生的风险对财务报表的影响重大？如果产品市场价格下降的幅度很大，毛利率为负，则年末存货跌价问题严重，存货计价认定发生错报的风险重大。

（一）识别和评估重大错报风险的审计程序（3）考虑识别的风险是105（一）识别和评估重大错报风险的审计程序（4）考虑识别的风险导致财务报表发生重大错报的可能性。如，被审计单位对于存货跌价准备的计提实施了比较有效的内部控制，管理层已根据存货的可变现净值，计提了相应的跌价准备。此时，财务报表发生重大错报的可能性将相应降低。（一）识别和评估重大错报风险的审计程序（4）考虑识别的风险导106（二）识别两个层次的重大错报风险如果识别的重大错报风险是与特定的某类交易、账户余额、列报的认定有关，则作为认定层次的重大错报风险；如果识别的重大错报风险是与财务报表整体广泛相关，进而影响多项认定，则作为报表层次的重大错报风险。（二）识别两个层次的重大错报风险如果识别的重大错报风险是与107（三）重大错报风险评估的修订注册会计师对认定层次重大错报的评估应以获取的审计证据为基础，并可能随着不断获取审计证据而做出相应的变化。评估重大错报风险是一个连续和动态地收集、更新与分析信息的过程，贯穿于整个审计过程的始终。（三）重大错报风险评估的修订注册会计师对认定层次重大错报的评108实施风险评估程序后→证据表明：被审计单位与存货“存在”认定的相关控制设计合理，并得到执行→

存货“存在”认定的重大错报风险估计水平为低水平→以此计划审计程序→实施控制测试（测试执行的有效性）→证据表明：存货“存在”认定的相关控制未有效运行→存货“存在”认定重新估计的重大错报风险为高水平→修改实质性程序计划→实施实质性程序→重新估计存货“存在”认定的重大错报风险水平→评估实施的审计程序是否充分→如不充分，追加实施额外的审计程序，以降低审计风险至可接受水平。实施风险评估程序后→证据表明：被审计单位与存货“存在”认109第三节了解被审计单位的内部控制一、了解内部控制的总体要求二、内部控制的含义三、内部控制的局限性四、对内部控制了解的程度五、内部控制的构成要素六、两个层面了解和评价内部控制第三节了解被审计单位的内部控制一、了解内部控制的总体要求110一、了解内部控制的总体要求了解被审计单位的内部控制是识别和评估重大错报风险、设计和实施进一步审计程序的基础。准则要求：注册会计师应当了解与审计相关的内部控制，以识别潜在错报的类型，考虑导致重大错报风险的因素，设计和实施进一步审计程序的性质、时间和范围。一、了解内部控制的总体要求了解被审计单位的内部控制是识别和评111二、内部控制的含义内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。对内部控制概念的理解，应把握以下几点：1．内部控制的目标是合理保证：（1）财务报告的可靠性；（2）经营的效果和效率，（3）在所有经营活动中遵守法律法规的要求。2．实现内部控制目标的手段是设计和执行控制政策和程序。3．内部控制贯穿于企业经营管理活动的各个方面，只要存在企业经营管理活动，就需要有相应的内部控制。二、内部控制的含义内部控制是被审计单位为了合理保证财务报告的112三、内部控制的局限性(1)在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。(2)可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。(3)如果被审计单位内部行使控制职能的人员素质不适应岗位要求，也会影响内部控制功能的正常发挥。三、内部控制的局限性(1)在决策时人为判断可能出现错误和由于113三、内部控制的局限性(4)被审计单位实施内部控制的成本效益问题也会影响其职能，当实施某项控制成本大于控制效果而发生损失时，就没有必要设置控制环节或控制措施。(5)内部控制一般都是针对经常而重复发生的业务而设置的，如果出现不经常发生或未预计到的业务，原有控制就可能不适用。三、内部控制的局限性(4)被审计单位实施内部控制的成本效益问114四、对内部控制了解的程度对内部控制了解的深度，是指在了解被审计单位及其环境时对内部控制了解的程度。包括：评价控制的设计，并确定其是否得到执行，但不包括对控制是否得到一贯执行的测试。

四、对内部控制了解的程度对内部控制了解的深度，是指在了解被审115五、内部控制的构成要素（一）控制环境控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。良好的控制环境是实施有效内部控制的基础。要素：（1）对诚信和道德价值观念的沟通与落实；（2）对胜任能力的重视；（3）治理层的参与程度；（4）管理层的理念和经营风格；（5）组织结构及职权与责任的分配；（6）人力资源政策与实务（涉及招聘、培训、考核、晋升和薪酬等方面）。五、内部控制的构成要素（一）控制环境116（二）被审计单位的风险评估过程任何经济组织在经营活动中都会面临各种各样的风险，风险对其生存和竞争能力产生影响。很多风险并不为经济组织所控制，但管理层应当确定可以承受的风险水平，识别这些风险并采取一定的应对措施。可能产生风险的事项和情形包括：1.监管及经营环境的变化。监管和经营环境的变化会导致竞争压力的变化以及重大的相关风险。2.新员工的加入。新员工可能对内部控制有不同的认识和关注点。3.新信息系统的使用或对原系统进行升级。信息系统的重大变化会改变与内部控制相关的风险。（二）被审计单位的风险评估过程任何经济组织在经营活动中都会面117（二）被审计单位的风险评估过程4.业务快速发展。快速的业务扩张可能会使内部控制难以应对，从而增加内部控制失效的可能性。5.新技术。将新技术运用于生产过程和信息系统可能改变与内部控制相关的风险。6.新生产型号、产品和业务活动。进入新的业务领域和发生新的交易可能带来新的与内部控制相关的风险。7.企业重组。重组可能带来裁员以及管理职责的重新划分，将影响与内部控制相关的风险。8.发展海外经营。海外扩张或收购会带来新的并且往往是特别的风险，进而可能影响内部控制，如外币交易的风险。9.新的会计准则。采用新的或变化了的会计准则可能会增大财务报告发生重大错报的风险。

（二）被审计单位的风险评估过程4.业务快速发展。快速的业务扩118（二）被审计单位的风险评估过程针对财务报告目标的风险评估过程则包括：（1）识别与财务报告相关的经营风险；（2）评估风险的重大性和发生的可能性（3）采取措施管理这些风险（应对措施）。注册会计师应当对被审计单位的风险评估过程进行了解和评估。例如，在了解被审计单位的业务情况时，发现了某些经营风险，注册会计师应当了解管理层是否也意识到这些风险以及如何应对。例如，在销售循环中，如果发现了销售的截止性错报的风险，注册会计师应当考虑管理层是否也识别了该错报风险以及如何应对该风险。

（二）被审计单位的风险评估过程针对财务报告目标的风险评估过程119（三）与财务报告相关的信息系统和沟通信息系统与沟通是指收集与交换被审计单位执行、管理和控制业务活动所需信息的过程，包括收集和提供信息(特别是为履行内部控制岗位职责所需的信息)给适当人员，使之能够履行职责。与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。与财务报告相关的沟通，包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责、员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。沟通可以采用政策手册、会计和财务报告手册和备忘录等形式进行，也可以通过发送电子邮件、口头沟通和管理层的行动来进行。

（三）与财务报告相关的信息系统和沟通信息系统与沟通是指收集与120（四）控制活动控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。（四）控制活动控制活动是指有助于确保管理层的指令得以执行的政121（四）控制活动1.授权主要目的：保证交易是管理人员在其授权范围内授权产生的。授权有一般授权和特别授权两种：一般授权是指处理常规性交易的授权，如销售人员对符合企业一般信用标准的顾客赊销商品。特别授权是指处理非常规性交易的授权，如重大资本支出、债券和股票发行等。特别授权也可能用于超过一般授权限制的常规交易，如授权处理特殊情况下对某个不符合企业一般信用标准的顾客赊购商品等。（四