企业实施风险评估程序培训教材

接受委托签订业务约定书计划审计工作评估审计风险出具审计报告实施审计程序应对审计风险，收集审计证据形成审计工作底稿审计程序2024/8/141第五章

实施风险评估程序2024/8/142本章主要内容第一节

了解被审计单位及其环境第二节

了解被审计单位的内部控制2024/8/143第一节

了解被审计单位及其环境根据风险审计理论，对审计结论的正确性产生影响的风险因素包括重大错报风险和检查风险。其中，重大错报风险是不可控的，这就要求注册会计师以重大错报风险的识别、评估和应对作为审计工作的主要内容，以提高审计效率和效果。2024/8/144第一节

了解被审计单位及其环境一、风险评估总体要求CPA应当了解被审计单位及其环境，以充分识别和评估财务报表重大错报风险，设计和实施进一步审计程序。了解被审计单位及其环境识别和评估重大错报风险确定总体应对措施进一步审计程序

设计和实施2024/8/145了解被审计单位及其环境并评估重大错报风险基本流程图2024/8/146评估重大错报风险基本流程图2024/8/1471．了解被审计单位及其环境是必要程序。特别是为CPA在下列关键环节作出职业判断提供重要基础：(1)确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；(2)考虑会计政策的选择和运用是否恰当，以及财务报表的列报是否适当；(3)识别需要特别考虑的领域；(4)确定在实施分析程序时所使用的预期值；(5)设计和实施进一步审计程序，以将审计风险降至可接受的低水平；(6)评价所获取审计证据的充分性和适当性。第一节

了解被审计单位及其环境2024/8/1482．了解被审计单位及其环境是一个连续和动态地收集、更新与分析信息的过程，贯穿于整个审计过程的始终。CPA应当运用职业判断确定需要了解被审计单位及其环境的程度。3．评价对被审计单位及其环境了解的程度是否恰当，关键是看CPA对被审计单位及其环境的了解是否足以识别和评估财务报表重大错报风险。如果了解被审计单位及其环境获得的信息足以识别和评估财务报表重大错报风险，设计和实施进一步审计程序，那么了解的程度就是恰当的。CPA对被审计单位及其环境了解的程度，要低于管理层为经营管理企业而对被审计单位及其环境需要了解的程度。第一节

了解被审计单位及其环境2024/8/149二、风险评估程序（1）询问被审计单位管理层和内部其他相关人员；（2）分析程序；（3）观察和检查。第一节

了解被审计单位及其环境2024/8/1410(1)询问被审计单位管理层和内部其他相关人员询问管理层和财务负责人管理层所关注的主要问题：如新的竞争对手、主要客户和供应商的流失、新的税收法规的实施以及经营目标或战略的变化等。被审计单位发生的其他重要变化。如所有权结构、组织结构的变化，以及内部控制的变化等。被审计单位最近的财务状况、经营成果和现金流量。可能影响财务报告的交易和事项，或者目前发生的重大会计处理问题。如重大的购并事宜等。2024/8/1411询问内部审计人员、采购人员、生产人员、销售人员等治理层：财务报表编制的环境内部审计人员：内审人员针对内部控制设计和运行的有效性而实施的工作采购人员和生产人员：采购情况和产品生产情况销售人员：营销策略及其变化(1)询问被审计单位管理层和内部其他相关人员2024/8/1412分析程序分析程序是指注册会计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系，对财务信息做出评价。分析程序还包括调查识别出的、与其他相关信息不一致或与预期数据严重偏离的波动和关系。注册会计师实施分析程序有助于识别异常的交易或事项，以及对财务报表和审计产生影响的金额、比率和趋势。分析程序既可用作风险评估，又可用作实质性分析。(2)分析程序2024/8/1413观察和检查：可印证对管理层和有关人员询问的结果，并可提供被审计单位及其环境的信息。观察被审计单位的生产经营活动检查文件、记录和内部控制手册阅读由管理层和治理层编制的报告实地察看被审计单位的生产经营场所和设备追踪交易通过与财务报告相关的信息系统的过程(穿行测试)(3)观察和检查2024/8/1414三、对被审计单位及其环境的了解（必要程序）行业状况、法律环境与监管环境以及其他外部因素被审计单位的性质被审计单位对会计政策的选择和运用被审计单位的目标、战略以及相关经营风险被审计单位财务业绩的衡量和评价被审计单位的内部控制（下一节）第一节

了解被审计单位及其环境2024/8/1415第一节了解被审计单位及其环境（一）行业状况、法律与监管环境以及其他外部因素

1、了解的行业状况主要包括:所在行业的需求与竞争（钢铁生产、房地产）生产经营的季节性和周期性（空调）产品生产技术的变化（手机）能源供应与成本（停电）行业的关键指标和统计数据（药品毛利率30%和5%）2024/8/1416第一节了解被审计单位及其环境2、了解法律环境及监管环境适用的会计准则、会计制度和行业特定惯例；对经营活动产生重大影响的法律法规及监管活动对开展业务产生重大影响的政府政策，包括货币、财政、税收和贸易等政策；与被审计单位所处行业和所从事经营活动相关的环保要求。2024/8/1417第一节了解被审计单位及其环境3、了解影响被审计单位经营的其他外部因素宏观经济的景气度（不景气，房子卖不出去）利率和资金供求状况通货膨胀水平及币值变动国际经济环境和汇率变动2024/8/1418第一节了解被审计单位及其环境注

意注册会计师应当考虑被审计单位所在行业的业务性质或监管程度是否可能导致特定的重大错报风险，考虑项目组是否配备了具有相关知识和经验的成员。注册会计师对行业状况、法律环境与监管环境以及其他外部因素了解的范围和程度会因被审计单位所处行业、规模以及其他因素（如在市场中的地位）的不同而不同。（关注重点和程度要因人而异）注册会计师应将了解的重点放在对被审计单位经营活动可能产生重要影响的关键外部因素以及前期相比发生的重大变化上（主要关注重点影响和重大变化）2024/8/1419第一节了解被审计单位及其环境（二）被审计单位的性质所有权结构治理结构组织结构经营活动投资活动筹资活动注册会计师了解被审计单位的性质有助于注册会计师理解预期在财务报表中反映的各类交易、账户余额、列报。2024/8/1420第一节了解被审计单位及其环境1、所有权结构（关联方有哪个公司）2、治理结构（董事会的构成、有没有审计委员会、内审的隶属）3、组织结构（如单个公司与集团公司）2024/8/1421第一节了解被审计单位及其环境4、经营活动主要包括：（1）主营业务的性质（2）与生产产品或提供劳务相关的市场信息（3）业务的开展情况（4）联盟、合营与外包情况（5）从事电子商务的情况（6）地区与行业分布（7）生产设施、仓库的地理位置及办公地点（8）关键客户（9）重要供应商（10）劳动用工情况（11）研究与开发活动及其支出（12）关联方交易2024/8/1422第一节了解被审计单位及其环境5、投资活动主要包括：近期拟实施或已实施的并购活动与资产处置情况证券投资、委托贷款的发生与处置资本性投资活动，包括固定资产和无形资产投资，以及近期或计划发生的变动不纳入合并范围的投资2024/8/1423第一节了解被审计单位及其环境6、筹资活动主要包括：债务结构和相关条款，包括担保情况及表外融资固定资产的租赁关联方融资实际受益股东衍生金融工具的运用2024/8/1424第一节了解被审计单位及其环境（三）被审计单位对会计政策的选择和运用注册会计师应当关注下列重要事项：重要项目的会计政策和行业惯例

重大和异常交易的会计处理方法在新领域和缺乏权威性标准或共识的领域，采用重要会计政策产生的影响会计政策的变更被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度2024/8/1425第一节了解被审计单位及其环境（四）被审计单位的目标、战略以及相关经营风险

1、基本概念目标：企业经营活动的指针。企业管理层或治理层一般会根据企业经营面临的外部环境和内部各种因素，制定合理可行的经营目标战略：是企业管理层为实现经营目标采用的总体层面的策略和方法。为实现某一个既定目标，企业可能有多个可行战略。经营风险：源于对被审计单位实现目标和战略产生不利影响的重大情况、事项、环境和行动，或源于不恰当的目标和战略。2024/8/1426第一节了解被审计单位及其环境2、经营风险示例行业发展开发新产品或提供新服务业务扩张新颁布的会计法规监管要求本期及未来的融资条件信息技术的运用2024/8/1427第一节了解被审计单位及其环境3、经营风险与重大错报风险两者既有区别又有联系区别：前者范围比后者要广，多数经营风险最终都会产生财务后果，从而影响财务报表，但不是所有的经营风险都会导致重大错报风险联系：了解经营风险有助于注册会计师识别财务报表重大错报风险2024/8/1428第一节了解被审计单位及其环境3、经营风险与重大错报风险案例：企业当前的目标是在某一特定期间内进入某一新的海外市场，企业选择的战略是在当地成立合资公司。从该战略本身来看，是可以实现这一目标的。但是，成立合资公司可能会带来很多的经营风险，例如，企业如何与当地合资方在经营活动、企业文化等各方面协调，如何在合资公司中获得控制权或共同控制权，当地市场情况是否会发生变化，当地对合资公司的税收和外汇管理方面的政策是否稳定，合资公司的利润是否可以汇回，是否存在外汇风险等。这些经营风险反映到财务报表中，可能会因对合资公司是属于子公司、合营企业或联营企业的判断问题，投资核算问题，包括是否存在减值问题，以及外币折算等问题而导致财务报表的重大错报风险。2024/8/1429第一节了解被审计单位及其环境（五）被审计单位财务业绩衡量和评价注册会计师应当关注下列信息：关键业绩指标业绩趋势预测、预算和差异分析管理层和员工业绩考核与激励性报酬政策

分部信息与不同层次部门的业绩报告与竞争对手的业绩比较外部机构提出的报告可能对管理层产生压力，促使其采取行动改善财务业绩或歪曲财务报表。2024/8/1430第二节了解被审计单位的内部控制一、内部控制的内涵与目标内部控制经历了五个阶段内部牵制（上世纪40年代前）内部控制制度（40-70年代）内部控制结构（80-90年代）内部控制框架（90年代-本世纪初）内部控制框架——风险管理（2004年后）

基本假设是:两个或两个以上的部门或个人无意识犯同样错误的机会很小;两个或两个以上的部门或个人有意识地合伙舞弊的可能性也大大低于单独一个人或一个部门舞弊的可能性2024/8/14311992年9月，美国COSO委员会颁布了指导内部控制实践的纲领性文件——《内部控制——整体框架》即COSO报告，并于1994年进行了增补，1996年，AICPA所属的审计程序委员会又以第78号说明书的方式对《审计准则公告第55号》中内部控制的定义和描述进行了确认并作了重要修订。COSO第二节了解被审计单位的内部控制CommitteeofSponsoringOrganizationsoftheTreadwayCommission全美反舞弊性财务报告委员会发起组织2024/8/1432（一）内部控制的内涵：内部控制是由企业董事会、经理阶层以及其他员工实施的，为财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性等目标的实现而提供合理保证的过程。内部控制划分为五要素：控制环境、风险评估、控制活动、信息系统与沟通、监督。第二节了解被审计单位的内部控制2024/8/1433（二）内部控制的目标：三个方面2024/8/1434（三）内部控制的固有局限性（合理保证非绝对保证）在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效；可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。被审计单位人员素质不适应岗位要求实施内部控制的成本效益问题内控一般针对常规业务而设计，突发业务不适用第二节了解被审计单位的内部控制2024/8/1435二、内部控制的要素内部控制包括控制环境风险评估过程信息系统与沟通控制活动对控制的监督第二节了解被审计单位的内部控制2024/8/14361、控制环境：包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施控制环境是一种基础性氛围，能增强或弱化企业各种方针政策的作用，直接影响其它内部控制成分。涉及七个方面：对诚信和道德价值观念的沟通与落实；对胜任能力的重视；治理层的参与程度；管理层的理念和经营风格；组织结构；职权与责任的分配；人力资源政策与实务第二节了解被审计单位的内部控制2024/8/14372、风险评估：被审计单位的风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。风险评估过程步骤前提条件是设立目标识别与上述目标相关的风险评估上述被识别风险的后果和可能性最后，针对风险的结果，考虑适当的控制活动

第二节了解被审计单位的内部控制2024/8/14383、信息系统与沟通与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责，员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。信息系统是沟通的基础，沟通必须要满足各部门和个人的要求，已是他们能够有效地履行其职责。第二节了解被审计单位的内部控制2024/8/14394、控制活动控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。授权：包括一般授权和特别授权（岗位责任制）业绩评价：被审计单位分析评价实际业绩与预算（或预测、前期业绩）的差异，综合分析财务数据与经营数据的内在关系，将内部数据与外部信息来源相比较，评价职能部门、分支机构或项目活动的业绩，以及对发现的异常差异或关系采取必要的调查与纠正措施。第二节了解被审计单位的内部控制2024/8/1440信息处理：包括信息技术一般控制和应用控制。（如凭证连续编号、与交易同步编制、备份）实物控制：了解对资产和记录采取适当的安全保护措施（严格限制接触实物），对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对职责分离：了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。第二节了解被审计单位的内部控制2024/8/1441职责分离的具体表现授权与执行执行与审核执行与记录保管财产与记录财产保管财产与清查财产总账、明细账、日记账相分离IT职能与关键用户分离第二节了解被审计单位的内部控制2024/8/14425、对控制的监督对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。监控可通过以下两种方式：持续监督：通常贯穿于被审计单位的日常经营活动与常规管理工作中。专门评价：被审计单位可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价。第二节了解被审计单位的内部控制2024/8/1443内部控制五要素之间的逻辑关系控制环境（基础）信息与沟通（载体）控制活动（手段）风险评估（依据）监控（监督）（保证）2024/8/1444第二节了解被审计单位的内部控制三、在整体层面了解内部控制在整体层面对被审计单位内部控制的了解和评估，通常由项目组中对被审计单位情况比较了解且较有经验的成员负责，同时需要项目组其他成员的参与和配合。对于连续审计，CPA可以重点关注整体层面的内部控制的变化情况，包括由于被审计单位及其环境的变化而导致内部控制发生的变化以及采取的对策。CPA还需要特别考虑因舞弊而导致重大错报的可能性及其影响。被审计单位整体层面的内部控制是否有效将直接影响重要业务流程层面控制的有效性，进而影响CPA拟实施的进一步审计程序的性质、时间和范围。2024/8/1445四、在业务层面了解内部控制（一）确定重要业务流程和重要交易类别

在实务中，将被审计单位的整个经营活动划分为几个重要的业务循环。所谓“业务循环”也称切块审计法，是指将密切相关的交易种类或账户余额划为同一块，作为一个业务循环，来组织安排审计工作的方法第二节了解被审计单位的内部控制2024/8/1446制造业可划分为下列业务循环来进行研究和评价：销售与收款循环购货与付款循环生产循环人力资源与工薪循环筹资与投资循环如何划分业务循环，应视企业的业务性质和规模而定第二节了解被审计单位的内部控制2024/8/1447资金运动图采购业务生产业务销售业务筹资与投资业务筹资与投资业务2024/8/1448（二）了解重要交易流程，并进行记录询问被审计单位的人员观察特定控制的运用检查文件和报告追踪交易在财务报告信息系统中的处理过程(穿行测试)第二节了解被审计单位的内部控制2024/8/1449对业务流程描述的方法1、文字表述法2、调查表法3、流程图法第二节了解被审计单位的内部控制2024/8/14501、文字叙述法(P62)文字叙述法，也称为文字说明法，是指注册会计师用文字叙述的方式描述被审计单位内部控制的方法。

优点是比较灵活，论述内容可详可略，不受任何限制。缺点是文字描述显得较为冗赘，重点不突出，难以揭示出控制弱点，不利于为有效地进行内部控制评价和控制风险评价提供直接的依据。适用于任何类型、任何规模的企业，特别适用于内部控制不很健全且内部控制程序简单、比较容易描述的中小企业。第二节了解被审计单位的内部控制2024/8/14512.

调查问卷法

(P63)调查问卷法，也称调查表法，是指注册会计师通过预先设计好的标准化各式的调查表，像被审计单位管理层或当事人调查了解其内部控制设置情况并加以记录的方法。调查表分为封闭式和开放式（前者只能回答是、否、不适用等，后者可自由回答）第二节了解被审计单位的内部控制2024/8/1452优点：(1)简便易行，即使没有较高的专业知识和专业技能的人员也能操作；(2)调查范围明确、问题突出(3)省时省力，有利于审计成本的节约；(4)直观：注册会计师能从调查表中“否”栏的信息很容易找出内部控制存在的问题，有利于抓住审计重点，减少注册会计师忽略重要控制的可能性。

第二节了解被审计单位的内部控制2024/8/1453缺点：(1)因其调查内容、格式的固定性，缺乏弹性，没有充分考虑不同被审计单位的特殊情况（如不同行业的企业或者小企业）(2)调查表一般是按项目考查被审计单位的内部控制情况的，调查内容只限于明确的调查事项，而不易了解其他方面的有关信息，往往不能提供一个完整的、系统的、全面的分析评价。适用：了解内部控制系统中各项具体的控制点和控制措施。

第二节了解被审计单位的内部控制2024/8/14543、流程图法(64)流程图法是指用特定的符号、线条和图形将被审计单位内部控制中各种业务处理手续以及各种文件或凭证的传递流程，用图解的形式辅助以简要的文字或数字，直观地表现内部控制的一种方法。使用规定符号三种方法结合使用效果更佳第二节了解被审计单位的内部控制2024/8/1455优点：(1)形象直观，它可以清晰地反映出被审计单位的组织结构、职责分工、权限范围、各种业务处理流程、各种文件或凭证的编制及传递流程、会计档案的种类及存放地点等情况，直观地表现内部控制实际情况。(2)突出控制点和关键点。缺点：(1)需要技术、费时(2)无法直接反映控制流程之外的控制措施(如实物控制等)，也不能明显地标出内部控制中的薄弱环节。

2024/8/1456（三）初步评价和风险评估1、对控制的初步评价评价结论有三种情况所设计的控制单独或连同其他控制能够有效防止或发现并纠正重大错报，且得到执行控制本身的设计是合理的，但并没有得到执行控制本身的设计是无效或没有必要的控制第二节了解被审计单位的内部控制2024/8/14572、风险评估需要考虑的因素(p64)账户特征及已识别的重大错报风险对被审计单位整体层面控制的评价第二节了解被审计单位的内部控制2024/8/14583、评价决策控制本身的设计是否合理控制是否得到执行是否更多地信赖控制并拟实施控制测试第二节了解被审计单位的内部控制2024/8/1459五、评估重大错报风险识别和评估财务报表层次和认定层次的重大错报风险目的:根据风险评估结果，确定实施进一步审计程序的性质、时间和范围。第二节了解被审计单位的内部控制2024/8/14601、实施的审计程序（1）在了解被审计单位及其环境的整个过程中识别风险，并考虑各类交易、账户余额、列报；（2）将识别的风险与认定层次可能发生错报的领域相联系；（3）考虑识别的风险是否重大；（4）考虑识别的风险导致财务报表发生重大错报的可能性。第二节了解被审计单位的内部控制2024/8/1461可能表明被审计单位存在重大错报风险的事项和情况（1）在经济不稳定的国家或地