《风险评估小结》word版.doc

第十三章风险评估（15分，必考重点，综合，地毯式轰炸）通过了解被审计单位及其环境，识别和评估重大错报风险本章主要关注以下八个方面的问题：1风险评估程序（教材P257）；2了解被审计单位及其环境的内容（教材P262）；3了解内部控制的深度（教材P272）；4了解控制环境（教材P275）；5了解控制活动（教材P283）；6评估两个层次重大错报风险（教材P296）；7特别风险（教材P299）；8仅通过实质性程序无法应对的重大错报风险（教材P300）。第一节 风险评估概述（5句话、6个作用）知识回顾审计风险模型：审计风险重大错报风险检查风险风险导向审计要求注册会计师以重大错报风险的识别、评估和应对审计工作的主线，以提高审计效率和效果。一、【背】审计风险准则对注册会计师财务报表审计测试流程的要求（教材P256，掌握基本观点）审计风险准则的特点： 审计风险准则对注册会计师财务报表审计测试流程的要求，即：审计风险准则的特点：【背】1、要求注册会计师必须了解被审计单位及其环境；（不了解，就不能评估，是必要程序）2、要求注册会计师在审计的所有阶段都要实施风险评估程序；要求注册会计师在审计的所有阶段（不是仅仅只在计划阶段而是全过程更重要）都要实施风险评估程序。不得未经过风险评估，直接将风险设定为高水平。3、要求注册会计师将识别和评估的风险与实施的审计程序挂钩；（基于风险来设定程序）4、要求注册会计师针对重大的各类交易、账户余额和披露实施实质性程序；（对重大认定必须作实质性程序）实质性程序是必须的程序。无论评估的重大错报风险结果如何，注册会计师都应当针对重大的各类交易、账户余额和列报实施实质性程序。5、要求注册会计师将识别、评估和应对风险的关键程序形成审计工作记录，以保证执业质量，明确执业责任。我国出台的审计风险准则，包括：1中国注册会计师审计准则第1101号财务报表审计的目标和一般原则2中国注册会计师审计准则第1301号审计证据3中国注册会计师审计准则第1211号了解被审计单位及其环境并评估重大错报风险4中国注册会计师审计准则第1231号针对评估的重大错报风险实施的程序。风险准则要求：注册会计师必须了解被审计单位及其环境，包括内部控制，以充分识别和评估财务报表重大错报的风险，并针对评估的重大错报风险设计和实施控制测试和实质性程序。步 骤（3步）目 的必要性类别1.了解被审计单位及其环境评估报表层和认定层重大错报风险必要风险评估程序2.控制测试为了测试内控在防止、发现和纠正认定层重大错报方面的有效性，并据此重新评估认定层重大错报风险非必要可以做进一步审计程序3.实质性程序发现认定层重大错报，降低检查风险必要进一步审计程序二、了解被审计单位及其环境是必要审计程序（教材P257，掌握基本观点）1、了解被审计单位及其环境的必要性【背】了解被审计单位及其环境是风险评估的基础和前提，是注册会计师执行财务报表审计的必要程序。2、了解被审计单位及其环境的作用，即：风险评估的作用：【背】为注册会计师在下列关键环节作出职业判断提供了依据：（6个作用）（1）确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；（2）考虑会计政策的选择和运用是否恰当，以及财务报表的列报是否适当；（3）识别需要特别考虑的领域，包括关联方交易、管理层运用持续经营假设的合理性，或交易是否具有合理的商业目的等；（只有了解，才能识别特别风险）（4）确定在实施分析程序时所使用的预期值；（5）设计和实施进一步审计程序，以将审计风险降至可接受的低水平；（6）评价所获取审计证据的充分性和适当性。评价对被审计单位及其环境了解的程度是否恰当，关键是看注册会计师对被审计单位及其环境的了解是否足以识别和评估财务报表重大错报风险。中国注册会计师审计准则第1211号通过了解被审计单位及其环境识别和评估重大错报风险作为专门规范风险评估的准则，规定注册会计师应当了解被审计单位及其环境，以充分识别和评估财务报表重大错报风险，设计和实施进一步审计程序。了解的程度：了解被审计单位及其环境是一个连续和动态的收集、更新与分析信息的过程，贯穿于整个审计过程的始终。第二节 风险评估程序、信息来源以及项目组内部的讨论（3种手段）一、风险评估程序理解风险评估程序的专业知识背景及其实质（补充内容，请理解掌握）风险评估程序是注册会计师了解被审计单位及其环境的手段，其内容是几种单项审计程序的有效组合，其目的在于获取财务信息和非财务信息来识别和评估财务报表层次和认定层次重大错报风险，风险评估程序是注册会计师审计中必须实施的审计程序。（一）风险评估程序的含义：注册会计师为了解被审计单位及其环境而实施的程序称为“风险评估程序”。（二）风险评估程序的目的：注册会计师实施风险评估程序的目的是：为了识别和评估财务报表重大错报风险，包括2个层次：1、财务报表层次的重大错报风险 （P302，第14章第1节的总体应对措施）；2、各类交易、账户余额和披露认定层次的重大错报风险 （P305，第14章第2节的进一步审计程序）。（三）风险评估程序的内容（P257，修订内容）【背，有顺序】注册会计师通过实施下列风险评估程序，以了解被审计单位及其环境：1、询问管理层和被审计单位内部其他人员；2、分析程序；3、观察和检查。风险评估程序的内容：询问管理层和内部其他人员分析程序观察和检查。注意：（1）注册会计师在了解被审计单位及其环境过程中，往往将上述程序结合在一起；（2）注册会计师并非在了解被审计单位及其环境的每个方面均实施上述风险评估程序。（四）风险评估程序实质（P257，理解基本观点）【背】1、风险评估程序是注册会计师了解被审计单位及其环境的手段；2、风险评估程序内容是几种单项审计程序的有效组合；（第9章第2节的7种审计程序）3、风险评估程序目的在于获取财务信息和非财务信息，识别和评估财务报表层次和认定层次重大错报风险；注册会计师为了识别财务报表重大错报才去了解被审计单位及其环境，在了解被审计单位及其环境的过程中采用“风险评估程序”和“项目组讨论”这两种手段。4、风险评估程序是注册会计师审计中必须实施的审计程序，如果未实施风险评估程序就不能评估重大错报风险。（三）风险评估程序的内容：3种【徐文涛】（第1种）：询问被审计单位管理层和内部其他相关人员：注册会计师可以考虑向管理层和财务负责人（经理层）询问下列事项：（1）管理层所关注的主要问题。如新的竞争对手、主要客户和供应商的流失、新的税收法规的实施以及经营目标或战略的变化等。（2）被审计单位最近的财务状况、经营成果和现金流量。（报表的核心内容）（3）可能影响财务报告的交易和事项，或者目前发生的重大会计处理问题。如重大的购并事宜等。（4）被审计单位发生的其他重要变化。如所有权结构、组织结构的变化，以及内部控制的变化等。注册会计师除了询问管理层和对财务报告负有责任的人员外，还应当考虑询问内部审计人员、采购人员、生产人员、销售人员等其他人员，并考虑询问不同级别的员工，以获取对识别重大错报风险有用的信息。例如：【重点掌握】询问对象（7个）获取信息（询问的作用，有助于CPA）要求(1)治理层了解财务报表编制的环境(2)内部审计人员了解其针对被审计单位内部控制设计和运行有效性而实施的工作，以及管理层对内部审计发现的问题是否采取适当的措施(3)参与生成、处理或记录复杂或异常交易的员工评估被审计单位选择和运用某项会计政策的适当性必要程序(4)内部法律顾问了解有关法律法规的遵循情况、产品保证和售后责任、与业务合作伙伴（如合营企业）的安排、合同条款的含义以及诉讼情况等以获取对识别重大错报风险有用的信息(5)营销或销售人员了解被审计单位的营销策略及其变化、销售趋势以及与客户的合同安排（第2种）：实施分析程序1、 分析程序既可用作风险评估程序和实质性程序，也可用于对财务报表的总体复核。2、 如果使用了高度汇总的数据，实施分析程序的结果仅可能初步显示财务报表存在重大错报风险，注册会计师应当将分析结果连同识别重大错报风险时获取的其他信息一并考虑。3、 分析程序：在了解被审计单位及其环境并评估重大错报风险时使用。（第3种）：观察和检查观察和检查程序可以印证对管理层和其他相关人员的询问结果，并可提供有关被审计单位及其环境的信息，注册会计师应当实施下列观察和检查程序：（1）观察被审计单位的生产经营活动；（2）检查文件、记录和内部控制手册；（3）阅读由管理层和治理层编制的报告；（4）实地察看被审计单位的生产经营场所和设备；（5）追踪交易在财务报告信息系统中的处理过程（穿行测试）。观察和检查程序举 例作 用（1）观察被审计单位的生产经营活动。观察被审计单位人员正在从事的生产活动和内部控制活动，增加注册会计师对被审计单位人员如何进行生产经营活动及实施内部控制的了解。（2）检查文件、记录和内部控制手册。检查被审计单位的章程，与其他单位签订的合同、协议，各业务流程操作指引和内部控制手册等，了解被审计单位组织结构和内部控制制度的建立健全情况。（3）阅读由管理层和治理层编制的报告。阅读被审计单位年度和中期财务报告，股东大会、董事会会议、高级管理层会议的会议记录或纪要，管理层的讨论和分析资料，经营计划和战略，对重要经营环节和外部因素的评价，被审计单位内部管理报告以及其他特殊目的的报告（如新投资项目的可行性分析报告）等，了解自上一期审计结束至本期审计期间被审计单位发生的重大事项。（4）实地察看被审计单位的生产经营场所和设备。1通过现场访问和实地察看被审计单位的生产经营场所和设备，可以帮助注册会计师了解被审计单位的性质及其经营活动。2在实地察看被审计单位的厂房和办公场所的过程中，注册会计师有机会与被审计单位管理层和担任不同职责的员工进行交流，可以增强注册会计师对被审计单位的经营活动及其重大影响因素的了解。（5）追踪交易在财务报告信息系统中的处理过程。（穿行测试）这是注册会计师了解被审计单位业务流程及其相关控制时经常使用的审计程序。通过追踪某笔或某几笔交易在业务流程中如何生成、记录、处理和报告，以及相关控制如何执行，注册会计师可以确定被审计单位的交易流程和相关控制是否与之前通过其他程序所获得的了解一致，并确定相关控制是否得到执行。二、项目组内部讨论是全过程的，是对审计过程的不断判断和评价，最终目的是为了合理保证，查出财务报表的重大错报。1、讨论的实质（理解基本观点）【背】1、项目组讨论是注册会计师了解被审计单位及其环境、评估重大错报风险、制定总体应对措施和设计并实施进一步审计程序，甚至评价审计证据、形成审计结论、出具审计报告等整个审计工作过程中的一种专业工作要求。2、项目组讨论的实质是：整合项目组内部资源，保持项目组成员的职业谨慎，在确保审计报告质量的同时提高审计效率。2讨论的目标【背】实施项目组讨论的目的在于明确以下方面：1、了解在各自负责的领域中，由于舞弊或错误导致财务报表重大错报的可能性；2、了解各自实施审计程序的结果如何影响审计的其他方面，包括对确定进一步审计程序的性质、时间安排和范围的影响。项目组内部的讨论为项目组成员提供了交流信息和分享见解的机会。项目组内部讨论的主要领域包括：分享了解的信息、分享审计思路和方法（交换意见）、指明方向。3讨论的内容项目组讨论的内容包括：（1） 被审计单位面临的经营风险、（经营风险是舞弊的动力和压力）（2） 财务报表容易发生错报的领域以及发生错报的方式，特别是由于舞弊导致重大错报的可能性。讨论的内容和范围受项目组成员的职位、经验和所需要的信息的影响。4参加讨论的人员（1）项目组的关键成员； （2）信息技术或其他特殊技能的专家；（如果项目组需要拥有信息技术或其他特殊技能的专家，这些专家也应参与讨论）（3）重要区域项目组的关键成员应该参加讨论。（如：参加讨论的人员有：项目合伙人、关键审计人员、聘请的特定领域的专家）注册会计师应当运用职业判断确定项目组内部参与讨论的成员。参与讨论人员的范围受项目组成员的职责经验和信息需要的影响。5讨论的时间在整个审计过程中持续交换有关财务报表发生重大错报可能性的信息。6讨论的方式项目组在讨论时应当强调在整个审计过程中保持职业怀疑，警惕可能发生重大错报的迹象，并对这些迹象进行严格追踪。其他审计程序和信息来源1其他审计程序注册会计师除了采用上述程序从被审计单位内部获取信息以外，如果根据职业判断认为从被审计单位外部获取的信息有助于识别重大错报风险，注册会计师应当实施其他审计程序以获取这些信息。例如，询问被审计单位聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等。（1）询问被审计单位聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等。（询问的人士都是外部的、顾问等，印证匹配信息，不一致说明财务信息有错报）。（2）阅读外部信息也可能有助于注册会计师了解被审计单位及其环境。外部信息包括证券分析师、银行、评级机构出具的有关被审计单位及其所处行业的经济或市场环境等状况的报告，贸易与经济方面的报纸期刊，法规或金融出版物，以及政府部门或民间组织发布的行业报告和统计数据等。2其他信息来源注册会计师应当考虑在承接客户或续约过程中获取的信息，以及向被审计单位提供其他服务所获得的经验是否有助于识别重大错报风险。信息来源应从多方面获取（被审计单位内外、承接业务时、以前期间获取的信息等）。（1）对新的审计业务，注册会计师应在业务承接阶段对被审计单位及其环境有一个初步的了解，以确定是否承接该业务。而对连续审计业务，也应在每年的续约过程中对上年审计做总体评价，并更新对被审计单位的了解和风险评估结果，以确定是否续约。注册会计师还应当考虑向被审计单位提供其他服务（如执行中期财务报表审阅业务）所获得的经验是否有助于识别重大错报风险。（2）对于连续审计业务，如果拟利用在以前期间获取的信息，注册会计师应当确定被审计单位及其环境是否已发生变化，以及该变化是否可能影响以前期间获取的信息在本期审计中的相关性。例如，通过前期审计获取的有关被审计单位组织结构、生产经营活动和内部控制的审计证据，以及有关以往的错报和错报是否得到及时更正的信息，可以帮助注册会计师评估本期财务报表的重大错报风险。但值得注意的是，被审计单位或其环境的变化可能导致此类信息在本期审计中已不具有相关性。例如，注册会计师前期已经了解了内部控制的设计和执行情况，但被审计单位及其环境可能在本期发生变化，导致内部控制也发生相应变化。在这种情况下，注册会计师需要实施询问和其他适当的审计程序（如穿行测试），以确定该变化是否可能影响此类信息在本期审计中的相关性。第三节 了解被审计单位及其环境（6个）一、了解被审计单位及其环境的内容（P262，修订内容）【背】注册会计师应当从下列六个方面了解被审计单位及其环境，如图：图13-2 了解被审计单位及其环境的内容为外部因素。为内部因素。既有内部因素，也有外部因素。各方面的情况可能会互相影响，注册会计师在了解各方面情况时，应当考虑各个因素之间的相互关系。二、（1/6）了解行业状况、法律环境与监管环境以及其他外部因素（P262，修订内容）注册会计师从以下3个方面来了解外部环境的内容：了解的被审计单位外部环境：（一）（第1方面）：了解行业状况的内容了解行业状况有助于注册会计师识别与被审计单位所处行业有关的重大错报风险。1、了解行业状况的主要内容【背】图133了解行业状况的内容与哪些财务信息有关？(1)所处行业的市场与竞争包括市场需求、生产能力和价格竞争；销售收入、毛利率、存货、资产减值损失，供过于求（滞销）、供不应求（畅销）(2)生产经营的季节性和周期性与报表月份挂钩，主营业务收入、主营业务成本在不同月份的绝对额、相对额的变动(3)与被审计单位产品相关的生产技术 存货、资产减值损失、固定资产、无形资产（研发）(4)能源供应与成本存货、产量、收入、成本(5)行业的关键指标和统计数据收入的增长（毛利率、销售增长率）畅销毛利率高；制造业不可能翻番。了解行业状况的主要内容：(1)所处行业的市场与竞争如果钢铁行业供求发生很大变化，随之，价格也会发生很大变化，进而判断该钢铁企业的报表是否合理（收入、存货、利润等）；(2)生产经营的季节性和周期性房地产行业整体价格上涨时，存货跌价准备的风险不大；相反，就应引起注意；(3)与被审计单位产品相关的生产技术机械制造业生产技术发生了变化，产品的加工能力和加工精度大幅度提高，营业成本就会有所下降。(4)能源供应与成本能源供应：如果企业所处城市供电能力不足，不能保证每周开工七天，生产量和销售量就要引起关注；但是企业表示有自备的发电机，注册会计师应调查发电机是否属实，是否正常运转。能源成本：钢铁行业的矿石和焦炭供应情况对成本、利润的影响，毛利率是否合理。(5)行业的关键指标和统计数据企业与整个行业的净资产收益率、成本费用利润率、存货周转率、销售增长率等的变化；主要产品毛利率与行业相比是否合理。2、了解行业状况的具体表现：.CPA可能需要了解行业状况以下情况：（1）被审计单位所处行业的总体发展趋势是什么？（2）处于哪一发展阶段，如起步、快速成长、成熟或衰退阶段？（3）所处市场的需求、市场容量和价格竞争如何？（4）该行业是否受经济周期波动的影响，以及采取了什么行动使波动产生的影响最小化？（5）该行业受技术发展影响的程度如何？（6）是否开发了新的技术？（7）能源消耗在成本中所占比重，能源价格的变化对成本的影响？（8）谁是被审计单位最重要的竞争者，他们各自所占的市场份额是多少？（9）被审计单位与其竞争者相比主要的竞争优势是什么？（10）被审计单位业务的增长率和财务业绩与行业的平均水平及主要竞争者相比如何？存在重大差异的原因是什么？（11）竞争者是否采取了某些行动，如购并活动、降低销售价格、开发新技术等，从而对被审计单位的经营活动产生影响？（二）（第2方面）：了解被审计单位所处的法律环境和监管环境（P263，修订内容）【背】1、会计原则和行业特定惯例；2、受管制行业的法规框架；3、对被审计单位经营活动产生重大影响的法律法规，包括直接的监管活动；4、税收政策；5、目前对被审计单位开展经营活动产生影响的政府政策，如货币政策、财政政策、财政刺激措施、关税或贸易限制政策等；6、影响行业和被审计单位经营活动的环保要求。1了解的主要原因（1）某些法律法规或监管要求可能对被审计单位经营活动有重大影响，如不遵守将导致停业等严重后果；（2）某些法律法规或监管要求（如环保法规等）规定了被审计单位某些方面的责任和义务；（3）某些法律法规或监管要求决定了被审计单位需要遵循的行业惯例和核算要求。2了解的主要内容1、会计原则和行业特定惯例；2、受管制行业的法规框架；3、对被审计单位经营活动产生重大影响的法律法规，包括直接的监管活动；4、税收政策；5、目前对被审计单位开展经营活动产生影响的政府政策，如货币政策、财政政策、财政刺激措施、关税或贸易限制政策等；6、影响行业和被审计单位经营活动的环保要求。3了解的具体表现（1）国家对某一行业的企业是否有特殊的监管要求（如对银行、保险等行业的特殊监管要求）；（2）是否存在新出台的法律法规（如新出台的有关产品责任、劳动安全或环境保护的法律法规等），对被审计单位有何影响；（3）国家货币、财政、税收和贸易等方面政策的变化是否会对被审计单位的经营活动产生影响；（4）与被审计单位相关的税务法规是否发生变化。（三）（第3方面）：了解其他外部因素的内容：（P263，修订内容）【背】（企业只能适应，无法控制的因素）1了解的主要内容【背】（1）总体经济情况；（2）利率；（3）融资的可获得性；（4）通货膨胀水平或币值变动。2了解的具体表现（1）当前的宏观经济状况以及未来的发展趋势如何？（2）目前国内或本地区的经济状况（如增长率、通货膨胀、失业率、利率等）怎样影响被审计单位的经营活动？（3）被审计单位的经营活动是否受到汇率波动或全球市场力量的影响？如：钢铁行业现在低靡，这个企业却收入增加，就存在重大错报领域（关注：收入、存货、外币折算差额）三、了解被审计单位的性质（P264，修订内容）（一）了解被审计单位性质，包括：以下方面：图135了解被审计单位性质的内容评估报表层次重大错报风险评估认定层次重大错报风险（二）了解被审计单位性质的目的1、了解所有权结构，有助于注册会计师识别关联方关系并了解被审计单位的决策过程；2、了解治理结构，可以对被审计单位的经营和财务运作实施有效的监督，从而降低财务报表发生重大错报的风险；3、了解组织结构，是为了考虑复杂组织结构可能导致的重大错报风险，包括财务报表合并、商誉减值以及长期股权投资核算等问题；4、了解经营活动，有助于注册会计师识别预期在财务报表中反映的主要交易类别、重要账户余额和列报；5、了解投资活动，有助于注册会计师关注被审计单位在经营策略和方向上的重大变化；6、了解筹资活动，有助于注册会计师评估被审计单位在融资方面的压力，并进一步考虑被审计单位在可预见未来的持续经营能力。7、财务报告【新增，背】1、会计政策和行业特定惯例，包括特定行业的重要活动（如银行业的贷款和投资、医药行业的研究与开发活动）；2、收入确认惯例；3、公允价值会计核算；4、外币资产、负债与交易；5、异常或复杂交易的会计处理（包括在有争议的或新兴领域的交易的会计处理，如对以股票为基准的薪酬的会计处理）。了解被审计单位性质的目的：被审计单位的性质目的内容【一般了解】用来评估报表层次重大错报风险(1)了解 所有权结构有助于CPA识别关联方关系并了解被审计单位的决策过程1所有权结构以及所有者与其他人员或单位之间的关系2考虑关联方关系是否已经得到识别3关联方交易是否得到恰当核算(2)了解 治理结构良好的治理结构可以对被审计单位的经营和财务运作实施有效的监督，从而降低财务报表发生重大错报的风险1董事会的构成情况、董事会内部是否有独立董事；治理结构中是否设有审计委员会或监事会及其运作情况2应当考虑治理层是否能够在独立于管理层的情况下对被审计单位事务(包括财务报告)作出客观判断(3)了解 组织结构为了考虑复杂组织结构可能导致的重大错报风险，包括财务报表合并、商誉减值以及长期股权投资核算等问题被审计单位的组织结构，考虑复杂组织结构可能导致的重大错报风险，包括财务报表合并、商誉摊销和减值、长期股权投资核算以及特殊目的实体核算等问题用来评估认定层次重大错报风险(4)了解 经营活动有助于CPA识别预期将在财务报表中反映的主要交易类别、重要账户余额和列报1主营业务的性质2与生产产品或提供劳务相关的市场信息3业务的开展情况4联盟、合营与外包情况5从事电子商务的情况6地区与行业分布7生产设施、仓库的地理位置及办公地点8关键客户（销售）9重要供应商（采购）10劳动用工情况11研究与开发活动及其支出12关联方交易(5)了解 投资活动有助于CPA关注被审计单位在经营策略和方向上的重大变化1近期拟实施或已实施的并购活动与资产处置情况，包括业务重组或某些业务的终止2证券投资、委托贷款的发生与处置3资本性投资活动，包括固定资产和无形资产投资，近期发生或计划发生的变动，以及重大的资本承诺等4不纳入合并范围的投资(6)了解 筹资活动有助于CPA评估被审计单位在融资方面的压力，并进一步考虑被审计单位在可预见未来的持续经营能力1债务结构和相关条款，包括担保情况及表外融资2固定资产的租赁3关联方融资4实际受益股东5衍生金融工具的运用(7) 财务报告1、会计政策和行业特定惯例，包括特定行业的重要活动（如银行业的贷款和投资、医药行业的研究与开发活动）；2、收入确认惯例；3、公允价值会计核算；4、外币资产、负债与交易；5、异常或复杂交易的会计处理（包括在有争议的或新兴领域的交易的会计处理，如对以股票为基准的薪酬的会计处理）。四、了解被审计单位对会计政策的选择和运用（P266）1、重大和异常交易的会计处理方法；2、在缺乏权威性标准或共识、有争议的或新兴领域采用重要的会计政策产生的影响；3、会计政策的变更；4、新颁布的财务报告准则、法律法规，以及被审计单位何时采用、如何采用这些规定等。五、了解被审计单位的目标、战略以及相关经营风险（一）目标、战略与经营风险的含义【背】1、目标是企业经营活动的指针；2、战略是企业管理层为实现经营目标采用的总体层面的策略和方法；3、经营风险是指可能对被审计单位实现目标和实施战略的能力产生不利影响的重要状况、事项、情况、作为（或不作为）而导致的风险，或由于制定不恰当的目标和战略而导致的风险。注册会计师从以下3个方面来了解：图了解目标、战略和相关经营风险目标：是经营目标、方针。战略：为实现目标，采用的策略和方法；（总体层面）经营风险：实现不了目标的可能性，或对目标、战略产生不利影响的可能性。（二）在下列方面了解有关目标和战略并考虑相应的经营风险（经营风险的具体表现）：（P267-268，修订内容）【掌握】注册会计师应当了解被审计单位是否存在与下列方面有关的目标和战略，并考虑相应的经营风险：（熟悉）1、行业发展；例如，潜在的相关经营风险可能是被审计单位不具备足以应对行业变化的人力资源和业务专长；2、开发新产品或提供新服务；例如，潜在的相关经营风险可能是被审计单位产品责任增加）；3、业务扩张；例如，潜在的相关经营风险可能是被审计单位对市场需求的估计不准确4、新的会计要求；例如，潜在的相关经营风险可能是被审计单位执行不当或不完整，或会计处理成本增加5、监管要求；例如，潜在的相关经营风险可能被审计单位法律责任增加6、本期及未来的融资条件；例如，潜在的相关经营风险可能是被审计单位由于无法满足融资条件而失去融资机会7、信息技术的运用；例如，潜在的相关经营风险可能是被审计单位信息系统与业务流程难以融合8、实施战略的影响，特别是由此产生的需要运用新的会计要求的影响。例如，潜在的相关经营风险可能是被审计单位执行新要求不当或不完整。（三）经营风险对重大错报风险的影响（P268）【背】 经营风险与财务报表错报之间的关系：1、多数经营风险最终都会产生财务后果，从而影响财务报表；2、并非所有经营风险都会导致重大错报风险；3、经营风险可能对各类交易、账户余额和披露的认定层次或财务报表层次产生直接影响。注册会计师了解被审计单位的经营风险有助于其识别财务报表重大错报风险。但并非所有的经营风险都与财务报表相关，注册会计师没有责任识别或评估对财务报表没有影响的经营风险。六、了解被审计单位对财务业绩的衡量和评价（P268，修订内容）（一）在了解被审计单位财务业绩衡量和评价情况时，注册会计师应当关注下列信息：【熟悉】1、关键业绩指标（财务或非财务的）、关键比率、趋势和经营统计数据；2、同期财务业绩比较分析；3、预算、预测、差异分析，分部信息与分部、部门或其他不同层次的业绩报告；4、员工业绩考核与激励性报酬政策；5、被审计单位与竞争对手的业绩比较。（二）关注内部财务业绩衡量的结果（1）关注被审计单位内部财务业绩衡量所显示的未预期到的结果或趋势；（2）管理层的调查结果和纠正措施；（3）相关信息是否显示财务报表可能存在重大错报。（三）了解被审计单位对财务业绩衡量与评价的目的（1）考虑管理层是否面临实现某些关键财务业绩指标的压力（舞弊三因素的动机或压力）；（2）深入了解被审计单位的目标和战略。（四）考虑财务业绩衡量指标的可靠性 如果拟利用被审计单位内部信息系统生成的财务业绩衡量指标，注册会计师应当考虑相关信息是否可靠，以及利用这些信息是否足以实现审计目标。第四节 了解被审计单位的内部控制一、了解内部控制的含义、目标和要素（3目标+5要素）（P270，修订内容）：概念内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。目标内部控制的3目标；合理保证：（1）财务报告的可靠性，这一目标与管理层履行财务报告编制责任密切相关；（2）经营的效率和效果，即经济有效地使用企业资源，以最优方式实现企业的目标；（3）遵守适用的法律法规的要求，即在法律法规的框架下从事经营活动。要素5要素：（1）控制环境；与评估报表层次重大错报有关，职能部门。（2）风险评估过程；（3）与财务报告相关的信息系统与沟通；（修订）（4）控制活动；与评估认定层次重大错报有关。（5）对控制的监督。管理层凌驾与内部控制之上，叫特别控制风险。内部控制3目标、5要素责任设计和实施内部控制的责任主体是：治理层、管理层和其他人员，组织中的每一个人都对内部控制负有责任。手段实现内部控制目标的手段是：设计和执行控制政策及程序注册会计师应了解与审计相关的控制1、内部控制的目标：合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守。2、注册会计师审计的目标：对财务报表是否不存在重大错报发表审计意见。3、了解控制的范围：注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。二、财务报表审计中对内部控制了解的定位（P271）注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。【背】内部控制的目标：旨在合理保证财务报告的可靠性、经营的效率和效果及对法律的遵守。（一）为实现财务报告可靠性目标设计和实施的控制1、与审计相关的控制，包括被审计单位为实现财务报告可靠性目标设计和实施的控制。2、注册会计师应当运用职业判断，考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序有关。（二）在运用职业判断时，注册会计师应当考虑下列因素：（评估控制风险）1、重要性；2、相关风险的重要程度；3、被审计单位的规模；4、被审计单位业务的性质，包括组织结构和所有权特征；5、被审计单位经营的多样性和复杂性；6、适用的法律法规；7、内部控制的情况和适用的要素；8、作为内部控制组成部分的系统（包括使用服务机构）的性质和复杂性；9、一项特定控制（单独或连同其他控制）是否以及如何防止或发现并纠正重大错报。（三）其他与审计相关的控制1、如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息，该信息完整性和准确性的控制可能与审计相关。注册会计师以前的经验以及在了解被审计单位及其环境过程中获得的信息，可以帮助注册会计师识别与审计相关的控制。2、如果用以保证经营效率、效果的控制以及对法律法规遵守的控制与实施审计程序时评价或使用的数据相关，注册会计师应当考虑这些控制可能与审计相关。3、被审计单位通常有一些与目标相关但与审计无关的控制，注册会计师无须对其加以考虑。例如，被审计单位可能依靠某一复杂的自动控制系统提高经营活动的效率和效果（如航空公司用于维护航班时间表的自动控制系统），但这些控制通常与审计无关。4、用以保护资产的内部控制可能包括与实现财务报告可靠性和经营效率、效果目标相关的控制。注册会计师在了解保护资产的内部控制各项要素时，可仅考虑其中与财务报告可靠性目标相关的控制。例如，保护存货安全的控制可能与审计相关，但在生产中防止材料浪费的控制通常就与审计不相关，只有所用材料的成本没有在财务报表中如实反映，才会影响财务报表的可靠性。【区别】：控制测试：解决获取证据表明控制运行是否有效。了解内控：评价控制的设计，确定其是否得到执行。三、对内部控制了解的深度【必考，重点】对内部控制了解的深度是指在了解被审计单位及其环境时对内部控制了解的程度。包括：评价控制的设计，并确定其是否得到执行，但不包括对控制是否得到一贯执行的测试。了解内部控制，就是了解与财务报表审计相关的内部控制，达到能够初步评估控制风险的高、中、低。注册会计师通过询问、观察、检查和穿行测试了解被审计单位的内部控制，以评价内部控制设计的是否合理以及是否得到执行。在进一步程序中，针对设计合理且得到执行的控制，实施控制测试程序，目的是要确定内控的有效性。注意：第一， 如果控制设计不当，不需要再考虑控制是否得到执行；第二， 询问本身并不足以评价控制的设计以及确定其是否得到执行，注册会计师应当将询问与其他风险评估程序结合使用；第三， 除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解并不能够代替对控制运行有效性的测试。（一）评价控制的设计（修订内容，重点掌握）【背】注册会计师在了解内部控制时，应当评价控制的设计，并确定其是否得到执行。【背】（1）评价控制的设计。评价控制的设计，涉及考虑该控制单独或连同其他控制，是否能够有效防止或发现并纠正重大错报。（2）确定控制得到执行。控制得到执行是指某项控制存在且被审计单位正在使用。（3）首先考虑控制的设计。评估一项无效控制运行没有什么意义，因此需要首先考虑控制的设计；设计不当的控制可能表明存在值得关注的内部控制缺陷。（4）设计不当的控制可能表明内部控制存在重大缺陷，注册会计师在确定是否考虑控制得到执行时，应当首先考虑控制的设计。如果控制设计不当，不需要再考虑控制是否得到执行。（二）获取控制设计和执行的审计证据（P273，修订内容，重点掌握）【背】注册会计师通常实施下列风险评估程序，以获取有关控制设计和执行的审计证据：（没有分析程序）（1）询问被审计单位的人员；（2）观察特定控制的运用；（3）检查文件和报告；（4）追踪交易在财务报告信息系统中的处理过程（穿行测试）。（三）了解内部控制的步骤：第一步识别需要降低哪些风险以预防财务报表中发生重大错报如果某内部控制目标没有实现，风险因素通常被描述为“可能的错误”；第二步了解并记录相关的内部控制其目的是识别是否存在内部控制降低第一步所列出的风险因素，但没有必要记录和评价与审计无关的内部控制；第三步评估控制的执行主要是实施（穿行测试），以确信识别的内部控制实际上确实存在，如果存在，注册会计师就可完成对控制设计和执行的评价；第四步评估内部控制的设计汇总获得的所有信息，并根据风险因素描绘识别出的(或执行的)控制。了解内部控制的步骤：(P273，如图13-6)图13-6 内部控制了解流程（四）了解内部控制不同于控制测试：（P273，修订内容，重点掌握）【背】1、了解内部控制是评价内部控制的设计并确定其是否运行，控制测试是确定企业内部控制运行的有效性即实施的内部控制能否防止、发现并纠正财务报表重大错报风险。2、对于一项自动化控制，除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解并不足以测试控制运行的有效性。理解：（1）如果是自动化控制，今年年报期间未修改，使控制得到一贯运行的自动化控制，了解内控，可以达到/代替控制测试的功能。（了解自动化控制控制测试（穿行测试）（2）如果不是或是自动化控制，今年年报期间变动了，了解并不足以达到控制测试的功能。（五）了解内部控制与测试控制运行有效性的关系（请100%掌握）1、了解内部控制在于确定内部控制设计是否合理和是否得到执行，从而确定是否依赖内部控制及控制测试。2、控制测试是确定内部控制运行是否有效，从而确定实质性程序的性质时间范围。3、一般情况下了解内部控制并不能取代控制测试，除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解并不能够代替对控制运行有效性的测试。意思是：（1）人工控制中，了解内部控制，绝对不能取代控制测试。（2）自动化控制一贯运行，了解时就可以得到控制运行是否有效的结果。四、了解内部控制的方式（一）考虑内部控制的人工和自动化特征及其影响内部控制可能既包括人工成分又包括自动化成分，在风险评估以及设计和实施进一步审计程序时，注册会计师应当考虑内部控制的人工和自动化特征及其影响。内部控制可能采用人工系统或自动化系统结合，不同方式将影响被审计单位各项交易生成、记录、处理和报告的方式。自动化控制的优势：可以大幅度的减少由于人工在运行过程中，出现的人为的一些偏差和失误。内部控制可能采用人工系统或自动化系统结合，不同方式将影响被审计单位各项交易生成、记录、处理和报告的方式。自动化控制的特别风险（一）自动化控制的特别风险（P274，修订内容，重点掌握）注册会计师应当从下列方面了解信息技术对内部控制产生的特定风险：1、所依赖的系统或程序不能正确处理数据，或处理了不正确的数据，或两种情况并存；2、未经授权访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易；3、信息技术人员可能获得超越其职责范围的数据访问权限，因此破坏了系统应有的职责分工；4、未经授权改变主文档的数据；5、未经授权改变系统或程序；6、未能对系统或程序作出必要的修改；7、不恰当的人为干预；8、可能丢失数据或不能访问所需要的数据。人工控制的特别风险（二）人工控制的特别风险（P274，修订内容，重点掌握）注册会计师应当从下列方面了解人工控制产生的特定风险：1、人工控制可能更容易被规避、忽视或凌驾；2、人工控制可能不具有一贯性；3、人工控制可能更容易产生简单错误或失误。注册会计师应当考虑人工控制在下列情形中可能是不适当的：（1）存在大量或重复发生的交易；（2）事先可预见的错误能够通过自动化控制参数得以防范或发现并纠正；（3）用特定方法实施控制的控制活动可得到适当设计和自动化处理。注意：自动化控制只适用于处理比较标准的业务，出现异常的、特殊的业务时无法适用。五、了解内部控制的固有局限性（P275，修订内容，重点掌握）内部控制无论如何有效，都只能为被审计单位实现财务报告目标提供合理保证。内部控制实现目标的可能性受其固有限制的影响。这些限制包括：1、在决策时人为判断可能出现错误和因人为失误而导致内部控制失效；【背】2、控制可能由于两个或更多的人员串通或管理层不当地凌驾于内部控制之上而被规避；【背】此外，3、如果被审计单位内部行使控制职能的人员素质不适应岗位要求，也会影响内部控制功能的正常发挥。4、被审计单位实施内部控制的成本效益问题也会影响其效能，当实施某项控制成本大于控制效果而发生损失时，就没有必要设置控制环节或控制措施。5、内部控制一般都是针对经常而重复发生的业务而设置的，如果出现不经常发生或未预计到的业务，原有控制就可能不适用。内控不适用：不经常发生的、未预计到的业务。六、（内部控制要素1）：了解控制环境（P275-279，难点内容，重点掌握）内部控制的要素：（1）控制环境；（2）风险评估过程；（3）信息系统与沟通；（4）控制活动；（5）对控制的监督。1、控制环境的含义控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。良好的控制环境是实施有效内部控制的基础。因此，财务报表层次的重大错报风险通常源自于薄弱的控制环境。2、了解控制环境的要求【背】在评价控制环境的设计和实施情况时，注册会计师应当了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化，以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。3、了解控制环境的要素【背】（请100%掌握）在评价控制环境的设计时，注册会计师应当考虑构成控制环境的下列要素，以及这些要素如何被纳入被审计单位业务流程：(1) 了解对诚信和道德价值观念的沟通与落实；(2) 了解对胜任能力的重视；(3) 了解治理层的参与程度；(4) 了解管理层的理念和经营风格；(5) 了解组织结构、职权与责任的分配；(6) 了解人力资源政策与实务。4、请关注教材具体内容控制环境对重大错报风险的评估具有广泛影响，控制环境本身并不能防止或发现并纠正各类交易、账户余额、披露认定层次的重大错报。(1)注册会计师应当对控制环境的构成要素获取足够的了解，并考虑内部控制的实质及其综合效果，以了解管理层和治理层对内部控制及其重要性的态度、认识以及所采取的措施。(2)在评价控制环境各个要素时，注册会计师应当考虑控制环境的各个要素是否得到执行。因为管理层也许建立了合理的内部控制，但却未有效执行。例如，管理层已建立正式的行为守则，但实际操作中却没有对不遵守该守则的行为采