第七章 风险评估(记忆版)

第七章 风险评估（记忆版）

第二节 风评程序、其他程序及项目组讨论

三、项目组讨论

（一）讨论的目标

1.在各自负责的领域内，由于舞弊或者错误导致财务报表重大错报的可能性；

2.各自实施审计程序的结果如何影响审计的其他方面，包括对确定进一步程序的影响。 （二）讨论的内容

受项目组成员的职位、经验和所需要的信息的影响。通常包括被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式，特别是由舞弊导致重大错报的可能性。

（三）参与讨论的人员

项目组关键成员应当参与讨论，但不要求所有成员每次都参与讨论。如需要专家，专家也应参与讨论。项目合伙人应当确定向未参与讨论的项目组成员通报哪些事项。

（四）讨论的时间和方式

根据需要，在整个审计过程中持续交换有关财务报表发生重大错报可能性的信息。讨论时应强调在保持职业怀疑态度，警惕可能发生重大错报的迹象，并对这些迹象进行严格追踪。

第三节 了解被审计单位及其环境

一、行业状况、法律与监管环境和其他外部因素

注册会计师应当考虑将了解的重点放在对被审计单位的经营活动可能产生重要影响的关键外部因素以及与前期相比发生的重大变化上。

二、被审计单位的性质

（二）治理结构

良好的治理结构可以对被审计单位的经营和财务运作实施有效的监督，从而降低财务报表发生重大错报的风险。

（三）组织结构

复杂的组织结构可能导致某些特定的重大错报风险。注册会计师应当了解被审计单位的财务报表合并、商誉减值以及长期股权投资核算等。

（四）经营活动

了解经营活动有助于发现被审计单位的经营风险，而经营风险是重大错报风险的前奏。 （五）投资活动

了解投资活动有助于注册会计师关注被审计单位在经营策略和方向上的重大变化。

三、经营目标、战略以及相关经营风险

（二）经营风险对重大错报风险的影响

注册会计师没有责任识别或评估不影响报表的经营风险。 并非所有经营风险都与财务报表相关并导致重大错报风险。多数经营风险最终都会产生财务后果，从而影响财务报表。

第四节 了解被审计单位的内部控制

一、内部控制的要素

无论怎样划分内部控制要素，注册会计师都应重点考虑某项控制是否能够以及如何防止或发现并纠正各类交易、账户余额和披露存在的重大错报[不看广告看疗效]。

二、只了解与审计相关的控制

了解内部控制是必要的审计程序。注册会计师应当了解被审计单位的内部控制。 注册会计师需要了解和评价的只是与审计相关的内部控制，并非所有的内部控制。 被审计单位通常有一些与目标相关但与审计无关的控制，注册会计师无须对其加以考虑。

如果多项控制活动能够实现同一目标，不必了解与该目标相关的每项控制活动。

三、了解内部控制了解的深度[目的/程序/局限]

（一）了解内部控制的目的[多深为宜] 1.评价控制设计是否合理

设计不当的控制可能表明内部控制存在重大缺陷，不需要再考虑控制是否得到执行。 2.确定控制是否得到执行

确定内部控制是否得到执行，不包括对控制是否得到一贯执行的测试。 （二）了解内部控制的程序 1.询问被审计单位的人员； 2.观察特定控制的运用； 3.检查文件和报告；

4.追踪交易在财务报告信息系统中的处理过程[穿行测试]。 （三）了解内控能否代替控制测试

除非存在某些可以使控制得到一贯运行的自动化控制[一般控制],否则对控制的了解并不足以代替测试控制。

1.人工控制在某一时点得到执行，并不能表明在其他时点也有效运行。对人工控制的了解不能代替控制测试。

2.信息技术具有内在一贯性，一旦确定(哪怕一次)其正在有效执行，就可能确定其一贯有效执行。

四、内部控制的人工和自动化方式

（一）自动控制范围、优势与风险[见D5.1.三] 1.适用范围

适用于通过电子文档生成、记录、处理和报告交易。如订购单、发票、装运单及相关的会计记录。不适用于难以防范、需要灵活变通的控制。

3.控制风险

1.一般控制存在缺陷，导致财务报表层的重大错报风险； 2.应用控制存在缺陷，直接导致认定层的重大错报风险。 （二）人工控制的范围、优势与风险

尽管信息技术得到了广泛使用，但人工因素仍然会存在于这些系统之中。每项自动控制都有一个人工控制相对应,且人工控制往往针对例外情况，属于关键控制点。自动控制要与对应的人工控制一起测试，才能得到控制是否可信赖的结论。

五、内部控制的固有局限性[爱考]

（二）固有局限性的影响

1.无论如何设计和执行，只能对财务报告可靠性提供合理保证，不能提供绝对保证。 2.无论评估的控制风险多低，都不能仅依赖内部控制而不实施实质性程序。

六、控制环境

（二）要素

1.对诚信和道德价值观念的沟通与落实； 2.对胜任能力的重视； 3.治理层的参与程度；

4.管理层的理念和经营风格； 5.组织结构及职权与责任的分配； 6.人力资源政策与实务。 （三）要点

4.认定有害无益

控制环境不仅不能防止或发现并纠正认定层次的重大错报，控制环境存在的弱点反而可能削弱控制的有效性：如认为控制环境薄弱，很难认定某一流程的控制是有效的。

七、风险评估过程

（一）风险评估过程的含义

如果风险评估过程存在缺陷，注册会计师就难以将重大错报风险评估为低水平。 （三）对风险评估过程的了解与评价

2.如果识别出管理层未能识别的重大错报风险，应考虑被审计单位的风险评估过程为何没有识别出这些风险，以及评估过程是否适合于具体环境。

八、信息系统与沟通

1.与财务报告相关的信息系统应当与业务流程相适应。

2.自动化程序和控制可能降低无意错误的风险，但不能消除个人凌驾于控制的风险。

九、控制活动

控制活动包括交易授权、业绩评价、信息处理、事务控制和职责分离5个方面。了解控制活动的重点是识别和了解针对重大错报可能发生的领域的控制活动。

十、对控制的监督

对控制的监督是指评价内部控制在一段时间内运行有效性的过程，包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。

对控制的监督，需要持续的监督活动、专门的评价活动或两者相结合。其中持续的监督活动通常贯穿于日常经营活动与常规管理工作中，专门的评价活动可由内部审计人员或具有类似职能的人员对内部控制的设计和执行进行定期评价。

十一、了解两个层面的内部控制

（五）执行穿行测试，证实对交易流程和相关控制的了解

穿行测试用少量事实验证了解所形成的结论，目的是确认各类重要交易在业务流程中发生、处理和记录的过程，即确认对业务流程及可能发生错报环节了解的准确性和完整性。

如拟信赖内部控制，穿行测试可以提供支持性证据；

即使不打算信赖控制，仍需要执行穿行测试，以获得内部控制是否执行的证据，以决定实质性程序的力度。

（六）初步评价和风险评估 初步评价[初评]在穿行测试后、控制测试前进行，评价结论可能随控制测试[再评]和实施实质性程序的结果[终评]而发生变化。

初评需要考虑：账户特征及已识别的重大错报风险，对被审计单位整体层面控制的评