审计风险评估

1、 风险评估风险评估 审 计 学Auditing2022-3-41第八章第八章 风险评估风险评估 风险评估风险评估 审 计 学Auditing2022-3-42 总体要求 风险评估程序 了解被审计单位及其环境 内部控制及其评价 重大错报风险的评估主要内容主要内容 风险评估风险评估 审 计 学Auditing2022-3-43要点要点u 中国注册会计师审计准则中国注册会计师审计准则1211号号了解被审计了解被审计单位的环境并评估重大错报风险单位的环境并评估重大错报风险u 注册会计师应当了解被审计单位及其环境，以注册会计师应当了解被审计单位及其环境，以充分识别和评估财务报表的重大错报风险，设充分识别

2、和评估财务报表的重大错报风险，设计和实施进一步的审计程序计和实施进一步的审计程序一、总体要求一、总体要求 风险评估风险评估 审 计 学Auditing2022-3-44要点要点u 了解被审计单位及其环境是一个了解被审计单位及其环境是一个连续连续和和动态动态地地收收集集、更新更新和和分析分析信息的过程，贯穿于整个审计过信息的过程，贯穿于整个审计过程的始终程的始终u 注册会计师应当运用注册会计师应当运用职业判断职业判断确定需要了解被审确定需要了解被审计单位及其环境的程度计单位及其环境的程度CPACPA是否需要达到管理层对于被是否需要达到管理层对于被审计单位一样的了解程度审计单位一样的了解程度? ?

3、一、总体要求一、总体要求 风险评估风险评估 审 计 学Auditing2022-3-45风险评估程序的类型风险评估程序的类型u 询问被审计单位的管理层和内部其他相关人员询问被审计单位的管理层和内部其他相关人员u 分析程序分析程序u 观察和检查观察和检查二、风险评估程序二、风险评估程序 风险评估风险评估 审 计 学Auditing2022-3-46询问询问u注册会计师除了询问管理层和对财务报告负有责注册会计师除了询问管理层和对财务报告负有责任的人员外任的人员外, ,还应考虑询问内部审计人员、采购人还应考虑询问内部审计人员、采购人员、生产人员、销售人员等其他人员，并考虑询员、生产人员、销售人员等其

4、他人员，并考虑询问不同级别的员工，以获取对识别重大错报风险问不同级别的员工，以获取对识别重大错报风险有用的信息有用的信息二、风险评估程序二、风险评估程序 风险评估风险评估 审 计 学Auditing2022-3-47分析程序分析程序u注册会计师实施分析程序有助于识别注册会计师实施分析程序有助于识别异常异常的交易的交易或事项，以及对财务报表和审计产生影响的或事项，以及对财务报表和审计产生影响的金额金额、比率比率和和趋势趋势u如果使用了如果使用了高度汇总高度汇总的数据，实施分析程序的结的数据，实施分析程序的结果仅可能果仅可能初步初步显示财务报表存在重大错报风险，显示财务报表存在重大错报风险，注册会

5、计师应当将分析结果连同识别重大错报风注册会计师应当将分析结果连同识别重大错报风险时获取的其他信息一并考虑险时获取的其他信息一并考虑二、风险评估程序二、风险评估程序 风险评估风险评估 审 计 学Auditing2022-3-48观察与检查观察与检查u 观察被审计单位的生产经营活动观察被审计单位的生产经营活动u 检查文件、记录和内部控制手册检查文件、记录和内部控制手册u 阅读由管理层和治理层编制的报告阅读由管理层和治理层编制的报告u 实地察看被审计单位的生产经营场所和设备实地察看被审计单位的生产经营场所和设备u 追踪交易在财务报告信息系统中的处理过程（穿追踪交易在财务报告信息系统中的处理过程（穿行

6、测试）行测试）二、风险评估程序二、风险评估程序 风险评估风险评估 审 计 学Auditing2022-3-49项目组内部讨论项目组内部讨论u讨论的目标（交流信息与分享见解）讨论的目标（交流信息与分享见解）u讨论的内容（经营风险、错报领域与方式、舞弊讨论的内容（经营风险、错报领域与方式、舞弊风险）风险）u讨论的人员（关键成员、专家）讨论的人员（关键成员、专家）u讨论的时间和方式（持续交换信息、职业怀疑）讨论的时间和方式（持续交换信息、职业怀疑）二、风险评估程序二、风险评估程序 风险评估风险评估 审 计 学Auditing2022-3-410为什么重要？为什么重要？u 不深入了解被审计单位及其环境

7、，根本就不可不深入了解被审计单位及其环境，根本就不可能知道被审计单位的财务报表可能在哪里会出错，能知道被审计单位的财务报表可能在哪里会出错，也无法界定什么错报为也无法界定什么错报为“重大重大”，更无法设计有，更无法设计有效的审计程序去发现错报效的审计程序去发现错报u “战略系统审计观战略系统审计观” 要求审计人员具有更广阔要求审计人员具有更广阔的视野和更发散的思维的视野和更发散的思维 三、了解被审计单位及其环境三、了解被审计单位及其环境 风险评估风险评估 审 计 学Auditing2022-3-411总体要求总体要求u行业状况、法律环境与监管环境以及其他外部因素行业状况、法律环境与监管环境以及

8、其他外部因素 u被审计单位的性质被审计单位的性质 u被审计单位对会计政策的选择和运用被审计单位对会计政策的选择和运用 三、了解被审计单位及其环境三、了解被审计单位及其环境 风险评估风险评估 审 计 学Auditing2022-3-412总体要求总体要求u被审计单位的目标、战略以及相关经营风险被审计单位的目标、战略以及相关经营风险 u被审计单位财务业绩的衡量和评价被审计单位财务业绩的衡量和评价 u被审计单位的内部控制被审计单位的内部控制 三、了解被审计单位及其环境三、了解被审计单位及其环境 风险评估风险评估 审 计 学Auditing2022-3-413外部环境因素外部环境因素u 行业状况行业状

9、况u 法律及监管环境法律及监管环境u 其他外部因素其他外部因素三、了解被审计单位及其环境三、了解被审计单位及其环境 风险评估风险评估 审 计 学Auditing2022-3-414被审计单位的性质被审计单位的性质u 所有权结构所有权结构u 治理结构治理结构u 组织结构组织结构u 经营活动经营活动u 投资活动投资活动u 筹资活动筹资活动l子公司或附属公司子公司或附属公司（subsidiary）l合营企业（合营企业（joint ventures）l联营企业（联营企业（affiliates or associates）三、了解被审计单位及其环境三、了解被审计单位及其环境 风险评估风险评估 审 计 学

10、Auditing2022-3-415被审计单位对会计政策的选择和运用被审计单位对会计政策的选择和运用u 重要项目的会计政策和行业惯例重要项目的会计政策和行业惯例u 重大和异常交易的会计处理方法重大和异常交易的会计处理方法u 在新领域和缺乏权威性标准或共识的领域，采用在新领域和缺乏权威性标准或共识的领域，采用重要会计政策产生的影响重要会计政策产生的影响u会计政策的变更会计政策的变更u被审计单位何时采用以及如何采用新颁布的会计被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度准则和相关会计制度三、了解被审计单位及其环境三、了解被审计单位及其环境 风险评估风险评估 审 计 学Auditin

11、g2022-3-416被审计单位的目标、战略以及相关经营风险被审计单位的目标、战略以及相关经营风险u经营风险源于对被审计单位实现目标和战略产生经营风险源于对被审计单位实现目标和战略产生不利影响的重大情况、事项、环境和行动，或源不利影响的重大情况、事项、环境和行动，或源于不恰当的目标和战略于不恰当的目标和战略u多数经营风险最终都会产生财务后果，从而影响多数经营风险最终都会产生财务后果，从而影响财务报表；注册会计师应当根据被审计单位的具财务报表；注册会计师应当根据被审计单位的具体情况考虑经营风险是否可能导致财务报表发生体情况考虑经营风险是否可能导致财务报表发生重大错报重大错报三、了解被审计单位及其

12、环境三、了解被审计单位及其环境 风险评估风险评估 审 计 学Auditing2022-3-417被审计单位的目标、战略以及相关经营风险被审计单位的目标、战略以及相关经营风险审计风险审计风险= 重大错报风险重大错报风险检查风险检查风险经营风险经营风险剩余风险剩余风险财务报表在审计前财务报表在审计前存在重大错报的可存在重大错报的可能性能性某一认定存在重大错某一认定存在重大错报而报而CPA未能发现的未能发现的可能性可能性三、了解被审计单位及其环境三、了解被审计单位及其环境 风险评估风险评估 审 计 学Auditing2022-3-418被审计单位财务业绩的衡量和评价被审计单位财务业绩的衡量和评价u被

13、审计单位内部或外部对财务业绩的衡量和评价被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力，促使其采取行动改善财可能对管理层产生压力，促使其采取行动改善财务业绩或歪曲财务报表务业绩或歪曲财务报表三、了解被审计单位及其环境三、了解被审计单位及其环境 风险评估风险评估 审 计 学Auditing2022-3-419内部控制的定义与目标（内部控制的定义与目标（COSOCOSO，19921992）u 内部控制（内部控制（internal controlinternal control）是被审计单位）是被审计单位为了合理保证为了合理保证财务报告的可靠性财务报告的可靠性、经营的效率和经营的效率

14、和效果效果以及对以及对法律法规的遵守法律法规的遵守，由治理层、管理层，由治理层、管理层和其他人员设计和执行的政策和程序和其他人员设计和执行的政策和程序四、内部控制及其评价四、内部控制及其评价 风险评估风险评估 审 计 学Auditing2022-3-420内部控制的要素内部控制的要素u控制环境（控制环境（control environmentcontrol environment）u风险评估（风险评估（ Risk Assessment Risk Assessment ）u控制活动（控制活动（ Control Activities Control Activities ）u信息系统与沟通（信息系

15、统与沟通（ Information System and Information System and Communication Communication ）u对于控制的监督（对于控制的监督（MonitoringMonitoring）四、内部控制及其评价四、内部控制及其评价 风险评估风险评估 审 计 学Auditing2022-3-421控制环境控制环境u控制环境包括治理职能和管理职能，以及治理层控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和和管理层对内部控制及其重要性的态度、认识和措施措施u控制环境设定了组织的基调，影响着其员工的控控制环境设定了组织

16、的基调，影响着其员工的控制意识制意识 ，它是所有其他要素的基础，它是所有其他要素的基础四、内部控制及其评价四、内部控制及其评价 风险评估风险评估 审 计 学Auditing2022-3-422控制环境控制环境u 对诚信和道德价值观念的沟通与落实对诚信和道德价值观念的沟通与落实u 对胜任能力的重视对胜任能力的重视u 治理层的参与程度治理层的参与程度u 管理层的理念和经营风格管理层的理念和经营风格u 组织结构组织结构u 职权与责任的分配职权与责任的分配u 人力资源政策与实务人力资源政策与实务四、内部控制及其评价四、内部控制及其评价 风险评估风险评估 审 计 学Auditing2022-3-423控

17、制环境控制环境u 控制环境与财务报表层次重大错报风险有关控制环境与财务报表层次重大错报风险有关u 控制环境控制环境本身本身并不能防止或发现并纠正各类交易、并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报账户余额、列报认定层次的重大错报四、内部控制及其评价四、内部控制及其评价 风险评估风险评估 审 计 学Auditing2022-3-424风险评估风险评估u在评价被审计单位风险评估过程的设计和执行时，在评价被审计单位风险评估过程的设计和执行时，注册会计师应当确定管理层如何注册会计师应当确定管理层如何识别识别与财务报告相与财务报告相关的经营风险，如何估计该风险的关的经营风险，如何估

18、计该风险的重要性重要性，如何评，如何评估风险发生的估风险发生的可能性可能性，以及如何采取措施，以及如何采取措施管理管理这些这些风险风险内部控制与风险管理已更加紧密的结合在一内部控制与风险管理已更加紧密的结合在一起，起，COSO最新内部控制标准的名称就是最新内部控制标准的名称就是“企业风险管理框架企业风险管理框架”四、内部控制及其评价四、内部控制及其评价 风险评估风险评估 审 计 学Auditing2022-3-425控制活动控制活动u控制活动是指有助于确保管理层的指令得以执行控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括与授权、业绩评价、信息处的政策和程序，包括与授权、业绩评价、

19、信息处理、实物控制和职责分离等相关的活动理、实物控制和职责分离等相关的活动控制活动应根据风险评估的结果控制活动应根据风险评估的结果而设计，经营风险越高的领域，而设计，经营风险越高的领域，越需要有效的控制活动越需要有效的控制活动四、内部控制及其评价四、内部控制及其评价 风险评估风险评估 审 计 学Auditing2022-3-426控制活动控制活动u 授权（授权（authorizationauthorization）（一般授权与特别授权）（一般授权与特别授权）u 业绩评价（业绩评价（performance reviewperformance review）u 信息处理（信息处理（informat

20、ion processinginformation processing）（一般控）（一般控制与应用控制）制与应用控制）u 实物控制（实物控制（physical controlphysical control）u 职责分离（职责分离（separation of dutiesseparation of duties）四、内部控制及其评价四、内部控制及其评价 风险评估风险评估 审 计 学Auditing2022-3-427信息系统与沟通信息系统与沟通u与财务报告相关的信息系统，包括用以生成、记录、与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债处理和报告交

21、易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录和所有者权益履行经营管理责任的程序和记录u与财务报告相关的沟通包括使员工了解各自在与财与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的务报告有关的内部控制方面的角色角色和和职责职责，员工之，员工之间的间的工作联系工作联系，以及向适当级别的管理层报告，以及向适当级别的管理层报告例外例外事项事项的方式的方式四、内部控制及其评价四、内部控制及其评价 风险评估风险评估 审 计 学Auditing2022-3-428对于控制的监督对于控制的监督u对控制的监督是指被审计单位评价内部控制在一对控制的监督是指被审计单

22、位评价内部控制在一段时间内段时间内运行有效性运行有效性的过程，该过程包括及时评的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取价控制的设计和运行，以及根据情况的变化采取必要的纠正措施必要的纠正措施u注册会计师应当了解被审计单位对控制的注册会计师应当了解被审计单位对控制的持续持续监监督活动和督活动和专门专门的评价活动的评价活动四、内部控制及其评价四、内部控制及其评价 风险评估风险评估 审 计 学Auditing2022-3-429五个要素之间的关系五个要素之间的关系四、内部控制及其评价四、内部控制及其评价 风险评估风险评估 审 计 学Auditing2022-3-430与审计相

23、关的控制与审计相关的控制u与审计相关的控制，与审计相关的控制，包括包括被审计单位为实现财务被审计单位为实现财务报告可靠性目标设计和实施的控制报告可靠性目标设计和实施的控制u如果用以保证经营效率、效果的控制以及对法律如果用以保证经营效率、效果的控制以及对法律法规遵守的控制与实施审计程序时评价或使用的法规遵守的控制与实施审计程序时评价或使用的数据相关数据相关，注册会计师应当考虑这些控制可能与，注册会计师应当考虑这些控制可能与审计相关审计相关四、内部控制及其评价四、内部控制及其评价 风险评估风险评估 审 计 学Auditing2022-3-431对内部控制了解的深度对内部控制了解的深度u 注册会计师

24、在了解内部控制时，应当评价控制的设注册会计师在了解内部控制时，应当评价控制的设计，并确定其是否得到执行计，并确定其是否得到执行u注册会计师在确定是否考虑控制得到执行时，应当注册会计师在确定是否考虑控制得到执行时，应当首首先考虑控制的设计先考虑控制的设计u 对内部控制的了解并不涉及控制的运行有效性对内部控制的了解并不涉及控制的运行有效性u除非存在某些可以使控制得到一贯运行的自动化控制，除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解并不能够代替对控制运行有注册会计师对控制的了解并不能够代替对控制运行有效性的测试效性的测试四、内部控制及其评价四、内部控制及其评价 风险评估风险

25、评估 审 计 学Auditing2022-3-432控制的人工与自动化成分控制的人工与自动化成分u内部控制的人工成分在处理下列需要内部控制的人工成分在处理下列需要主观判断主观判断或或酌情酌情处理处理的情形时可能更为适当：的情形时可能更为适当：存在大额、异常或偶发的交易存在大额、异常或偶发的交易存在难以定义、防范或预见的错误存在难以定义、防范或预见的错误为应对情况的变化，需要对现有的自动化控制进行为应对情况的变化，需要对现有的自动化控制进行调整调整监督自动化控制的有效性监督自动化控制的有效性四、内部控制及其评价四、内部控制及其评价 风险评估风险评估 审 计 学Auditing2022-3-433

26、控制的人工与自动化成分控制的人工与自动化成分u注册会计师应当考虑人工控制在下列情形中注册会计师应当考虑人工控制在下列情形中可能是不适当的：可能是不适当的： 存在大量或重复发生的交易存在大量或重复发生的交易 事先可预见的错误能够通过自动化控制得事先可预见的错误能够通过自动化控制得以防范或发现以防范或发现 控制活动可得到适当设计和自动化处理控制活动可得到适当设计和自动化处理四、内部控制及其评价四、内部控制及其评价 风险评估风险评估 审 计 学Auditing2022-3-434对内部控制了解的两个层面对内部控制了解的两个层面u 整体层面整体层面u 业务流程层面业务流程层面业务流程层面内部控制的分为

27、两种：业务流程层面内部控制的分为两种：l预防性控制（预防性控制（preventive control）l检查性控制（检查性控制（detective control）四、内部控制及其评价四、内部控制及其评价 风险评估风险评估 审 计 学Auditing2022-3-435内部控制的局限性内部控制的局限性u在决策时人为在决策时人为判断判断可能出现错误和由于人为可能出现错误和由于人为失失误误而导致内部控制失效而导致内部控制失效u可能由于两个或更多的人员进行可能由于两个或更多的人员进行串通串通或管理层或管理层凌驾于内部控制之上而被规避凌驾于内部控制之上而被规避无论内部控制如何健全，无论内部控制如何健全

28、，CPA都必须对认定实施实质性程都必须对认定实施实质性程序，不得将实质性程序仅集中于例外事项上，也不能未经序，不得将实质性程序仅集中于例外事项上，也不能未经评估，直接将重大错报风险设定为最大值评估，直接将重大错报风险设定为最大值四、内部控制及其评价四、内部控制及其评价 风险评估风险评估 审 计 学Auditing2022-3-436识别和评估重大错报风险的审计程序识别和评估重大错报风险的审计程序u在了解被审计单位及其环境的整个过程中识别在了解被审计单位及其环境的整个过程中识别风险，并考虑与交易、账户余额、列报的关系风险，并考虑与交易、账户余额、列报的关系u将识别的风险与认定层次可能发生错报的领

29、域将识别的风险与认定层次可能发生错报的领域相联系相联系u考虑识别的风险是否重大考虑识别的风险是否重大u考虑识别风险导致报表发生重大错报的可能性考虑识别风险导致报表发生重大错报的可能性五、重大错报风险的评估、沟通五、重大错报风险的评估、沟通 风险评估风险评估 审 计 学Auditing2022-3-437可能存在重大错报风险的情况可能存在重大错报风险的情况u在经济不稳定的地方开展业务在经济不稳定的地方开展业务 u持续经营和资产流动性出现问题持续经营和资产流动性出现问题u融资能力受到限制融资能力受到限制u发生重大收购、重组事项发生重大收购、重组事项u重大关联方交易重大关联方交易u关键人员变动关键人

30、员变动u发生重大非常规交易发生重大非常规交易五、重大错报风险的评估、沟通五、重大错报风险的评估、沟通 风险评估风险评估 审 计 学Auditing2022-3-438识别两个层次的重大错报风险识别两个层次的重大错报风险u与报表整体相关的风险与报表整体相关的风险( (广泛广泛) )u与认定相关的风险与认定相关的风险五、重大错报风险的评估、沟通五、重大错报风险的评估、沟通 风险评估风险评估 审 计 学Auditing2022-3-439控制环境对评估报表层次重大错报风险的影响控制环境对评估报表层次重大错报风险的影响u对报表整体产生广泛影响对报表整体产生广泛影响u采取总体应对措施采取总体应对措施五、

31、重大错报风险的评估、沟通五、重大错报风险的评估、沟通 风险评估风险评估 审 计 学Auditing2022-3-440控制对评估认定层次重大错报风险的影响控制对评估认定层次重大错报风险的影响u控制有助于防止或发现、纠正认定层次重大错报控制有助于防止或发现、纠正认定层次重大错报u控制与认定的关系控制与认定的关系( (直接、间接直接、间接) )u控制的整体影响作用控制的整体影响作用五、重大错报风险的评估、沟通五、重大错报风险的评估、沟通 风险评估风险评估 审 计 学Auditing2022-3-441考虑财务报表的可审性考虑财务报表的可审性（auditabilityauditability）u内部

32、控制恶化致使会计信息存在重大问题内部控制恶化致使会计信息存在重大问题u对管理层诚信产生重大疑虑对管理层诚信产生重大疑虑u处理：保留意见或无法表示意见或解除约定处理：保留意见或无法表示意见或解除约定五、重大错报风险的评估、沟通五、重大错报风险的评估、沟通 风险评估风险评估 审 计 学Auditing2022-3-442特别风险（特别风险（significant risksignificant risk）u风险是否属于舞弊风险风险是否属于舞弊风险u风险是否与近期经济环境、会计处理方法和风险是否与近期经济环境、会计处理方法和其他方面的重大变化有关其他方面的重大变化有关u交易的复杂程度交易的复杂程度u风险是否涉及重大的关联方交易风险是否涉及重大的关联方交易五、重大错报风险的评估、沟通五、重大错报风险的评估、沟通 风险评估风险评估 审 计 学Auditing2022-3-443特别风险（特别风险（significant risksignificant risk）u财务信息计量的主观程度，特别是对不确定事项财务信息计量的主观程度，特别是对不确定事项的计量存在较大区间的计量存在较大区间u风险是