第7章_风险评估与风险应对

1、2022-4-301第七章第七章 风险评估与风险应对风险评估与风险应对u学习目的和要求u通过对本章的学习，重点掌握以风险导向审计为主流的审计方法，熟练掌握重大错报风险的识别、评估和应对u了解风险评估的程序、信息来源以及被审计单位的内部控制，了解风险应对的总体措施和进一步审计程序；第一节 内部控制一、内部控制含义与要素内部控制含义与要素二、二、对对内部控制内部控制了解的深度与程序了解的深度与程序三、三、从从整体层面了解和评估内部控制整体层面了解和评估内部控制四、四、从从业务流程层面了解和评估内部控制业务流程层面了解和评估内部控制2022-4-302第一节 内部控制一、内部控制的含义和要素一、内部

2、控制的含义和要素1.含义含义 内部控制是被审计单位为了合理保证合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计与执行的政策及程序。3从以下几个方面正确理解内部控制从以下几个方面正确理解内部控制 ：1.内部控制的目标内部控制的目标内部控制的目标是合理保证：（1）财务报告的可靠性，这一目标与管理层履行财务报告编制责任密切相关；（2）经营的效率和效果，即经济有效地使用企业资源，以最优方式实现企业的目标；（3）遵守适用的法律法规的要求，即在法律法规的框架下从事经营活动。 2.设计和实施内部控制的责任主体设计和实施内部控制的责任主体是是治理层、管理层和其他人

3、员，即组织中的每一个人都对内部控制负有责任。3.实现内部控制目标的手段是实现内部控制目标的手段是设计和执行设计和执行控制控制政策及程序政策及程序。 45内部控制目标与要素内部控制目标与要素内部控制五要素业务单元职能部门与审计相关的控制与审计相关的控制u注册会计师在财务报表审计中注册会计师在财务报表审计中考虑考虑与财务与财务报表编制相关的内部控制，但目的报表编制相关的内部控制，但目的并非并非对被对被审计单位内部审计单位内部控制的有效性控制的有效性发表审计意见。发表审计意见。u注册会计师需要了解和评价的内部控制注册会计师需要了解和评价的内部控制只只是是与财务报表与财务报表审计相关审计相关的内部控制

4、，的内部控制，并非并非被被审计单位审计单位所有所有的内部控制。的内部控制。 （一）为实现财务报告可靠性目标设计和实施的控（一）为实现财务报告可靠性目标设计和实施的控制是否与审计相关，注册会计师应当运用制是否与审计相关，注册会计师应当运用职业职业判判断断，考虑一项控制单独或连同其他控制是否与，考虑一项控制单独或连同其他控制是否与评评估重大错报风险估重大错报风险以及针对评估的风险设计和以及针对评估的风险设计和实施实施进一步审计程序进一步审计程序有关。有关。（二）其他与审计相关的控制（二）其他与审计相关的控制u如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息，针对该信息完整性和准确性的

5、控制可能与审计相关。1.如果与经营和合规目标相关的控制同注册会计师实施审计程序时评价或使用的数据相关，则这些控制也可能与审计相关。u对于某些非财务数据（如生产统计数据）的控制，如果注册会计师对于某些非财务数据（如生产统计数据）的控制，如果注册会计师在实施分析程序时使用这些数据，这些控制就可能与审计相关。在实施分析程序时使用这些数据，这些控制就可能与审计相关。u某些法规（如税法）对财务报表存在直接和重大的影响（影响应交某些法规（如税法）对财务报表存在直接和重大的影响（影响应交税费和所得税费用），为了遵守这些法规，被审计单位可能设计和税费和所得税费用），为了遵守这些法规，被审计单位可能设计和执行相

6、应的控制，这些控制也与注册会计师的审计相关。执行相应的控制，这些控制也与注册会计师的审计相关。u被审计单位通常有一些与非财务报告可靠性目标相关但与审计无关被审计单位通常有一些与非财务报告可靠性目标相关但与审计无关的控制，注册会计师无需对其加以考虑。的控制，注册会计师无需对其加以考虑。 例如，被审计单位可能依靠某一复杂的自动化控制提高经营活动的效率和效果（如航空公司用于维护航班时间表的自动化控制系统），但这些控制通常与审计无关 u用以保护资产的内部控制可能包括与实现财务报告可靠性和经营效用以保护资产的内部控制可能包括与实现财务报告可靠性和经营效率、效果目标相关的控制。注册会计师在了解保护资产的内

7、部控制率、效果目标相关的控制。注册会计师在了解保护资产的内部控制各项要素时，可仅考虑其中与财务报告可靠性目标相关的控制。各项要素时，可仅考虑其中与财务报告可靠性目标相关的控制。 例如，保护存货安全的控制可能与审计相关，但在生产中防止材料浪费的控制通常就与审计不相关，只有所用材料的成本没有在财务报表中如实反映，才会影响财务报表的可靠性。【例题【例题单选题】下列关于了解内部控制的说法中，错误的单选题】下列关于了解内部控制的说法中，错误的是（是（ ）。）。A. 如果认为仅通过实质性程序无法将认定层次的检查风险如果认为仅通过实质性程序无法将认定层次的检查风险降至可接受的低水平，应当了解相关的内部控制降

8、至可接受的低水平，应当了解相关的内部控制 B. 针对特别风险，应当了解与该风险相关的控制针对特别风险，应当了解与该风险相关的控制 C. 当某重要业务流程有显著变化时，应当根据变化的性质当某重要业务流程有显著变化时，应当根据变化的性质及其对相关账户发生重大错报的影响程度，考虑是否需及其对相关账户发生重大错报的影响程度，考虑是否需要对变化前后的业务都执行穿行测试要对变化前后的业务都执行穿行测试 D.仅需要了解与财务报告真实、可靠性相关的控制仅需要了解与财务报告真实、可靠性相关的控制【答案】【答案】D【解析】选项【解析】选项D错误。注册会计师需要了解和评价内部控制错误。注册会计师需要了解和评价内部控

9、制只是与财务报表审计相关的内部控制，不是仅仅与财务只是与财务报表审计相关的内部控制，不是仅仅与财务报告相关的控制。报告相关的控制。二、对内部控制了解的深度与程序u (一一)对内部控制了解的深度对内部控制了解的深度u对内部控制了解的深度是指在了解被审计单位及其环境时对内部控制了解的程度。u了解内部控制包括：11u评价控制的设计，是指一项控制单独或连评价控制的设计，是指一项控制单独或连同其他控制是否能够有效防止或发现并纠同其他控制是否能够有效防止或发现并纠正重大错报。正重大错报。u控制得到执行是指某项控制存在且被审计控制得到执行是指某项控制存在且被审计单位正在使用。单位正在使用。u需要首先考虑控制

10、的设计。设计不当的控需要首先考虑控制的设计。设计不当的控制可能表明存在值得关注的内部控制缺陷。制可能表明存在值得关注的内部控制缺陷。了解内部控制与测试内部控制运行有效性的关系了解内部控制与测试内部控制运行有效性的关系1.了解内部控制了解内部控制包括不可分割的两个部分包括不可分割的两个部分,即即“评价内部控制的设计评价内部控制的设计”和和“确定控制是否正确定控制是否正在运行在运行”。2.控制测试控制测试是确定被审计单位内部控制运行的是确定被审计单位内部控制运行的有效性，即被审计单位所实施的内部控制能有效性，即被审计单位所实施的内部控制能否防止或发现并纠正了财务报表重大错报。否防止或发现并纠正了财

11、务报表重大错报。除非除非存在某些可以使控制得到存在某些可以使控制得到一贯运行的一贯运行的自动化控制自动化控制，否则注册会计师对控制的了解，否则注册会计师对控制的了解并不足以测试控制运行的有效性并不足以测试控制运行的有效性。【例题【例题单选题】下列有关内部控制的说法中，错单选题】下列有关内部控制的说法中，错误的是（误的是（ ）。）。A. 注册会计师应当在所有审计项目中了解内部控制注册会计师应当在所有审计项目中了解内部控制 B. 内部控制无论如何有效，都只能为被审计单位实内部控制无论如何有效，都只能为被审计单位实现财务报告目标提供合理保证现财务报告目标提供合理保证 C. 与经营目标和合规目标相关的

12、控制均与审计无关与经营目标和合规目标相关的控制均与审计无关 D. 在某些情况下，控制得到执行，就能为控制运行在某些情况下，控制得到执行，就能为控制运行的有效性提供证据的有效性提供证据【答案】【答案】C【解析】选项【解析】选项C错误。如果与经营目标和合规目标错误。如果与经营目标和合规目标相关的控制同注册会计师实施审计程序时评价或相关的控制同注册会计师实施审计程序时评价或使用的数据相关，则这些控制也可能与审计相关。使用的数据相关，则这些控制也可能与审计相关。（二）获取控制设计和执行的审计证据（二）获取控制设计和执行的审计证据 注册会计师通常实施下列风险评估程序，以获取有关控制设计和执行的审计证据：

13、1询问被审计单位人员；2观察特定控制的运用；3检查文件和报告；4追踪交易在财务报告信息系统中的处理过程（穿行测试）。2022-4-3018u注意：注意：第一，如果控制设计不当，不需要再考虑控第一，如果控制设计不当，不需要再考虑控制是否得到执行；制是否得到执行；第二，询问本身并不足以评价控制的设计以第二，询问本身并不足以评价控制的设计以及确定其是否得到执行，注册会计师应当将及确定其是否得到执行，注册会计师应当将询问与其他风险评估程序结合使用；询问与其他风险评估程序结合使用；第三，第三，除非除非存在某些可以使控制得到存在某些可以使控制得到一贯运一贯运行的自动化控制行的自动化控制，注册会计师对控制的

14、了解，注册会计师对控制的了解并不能够代替对控制运行有效性的测试。并不能够代替对控制运行有效性的测试。u例如，获取某一人工控制在某一时点得到例如，获取某一人工控制在某一时点得到执行的审计证据，并不能证明该控制在所审执行的审计证据，并不能证明该控制在所审计期间内的其他时点也有效运行计期间内的其他时点也有效运行u由于信息技术处理流程的内在一贯性，实由于信息技术处理流程的内在一贯性，实施审计程序确定某项自动控制是否得到执行，施审计程序确定某项自动控制是否得到执行，也也可能可能实现对控制运行有效性测试的目标。实现对控制运行有效性测试的目标。 【例题3单选题】下列审计程序中，注册会计师在了解被审计单位内部

15、控制时通常不采用的是（ ）。A. 询问 B. 观察 C. 分析程序 D. 检查分析程序不适用于了解内部控制。其原因是分析程序是通过分析不同财务数据之间以及财务数据与非财务数据之间的内在关系，从而对财务信息作出评价。 了解内部控制的目的不是为了对财务信息作出评价，了解内部控制的手段既不是通过分析不同财务数据的关系评价财务信息，也不是通过分析财务数据与非财务数据之间的内在关系评价财务信息。因此，了解内部控制的方法不包括风险评估程序的“分析程序”。内部控制的局限性内部控制的局限性（一）基本观点（一）基本观点 内部控制无论如何有效，都只能为被审计单位实现财务报告内部控制无论如何有效，都只能为被审计单位

16、实现财务报告目标提供合理保证。目标提供合理保证。（二）内部控制的固有限制（二）内部控制的固有限制内部控制实现目标的可能性受其固有限制的影响。这些限制包括：内部控制实现目标的可能性受其固有限制的影响。这些限制包括：1.在决策时在决策时人为判断人为判断可能出现错误和因可能出现错误和因人为失误人为失误而导致内部控制失而导致内部控制失效；效；2.控制可能由于两个或更多的人员控制可能由于两个或更多的人员串通串通或管理层或管理层不当地凌驾不当地凌驾于内部于内部控制之上而被规避；控制之上而被规避；3.内部行使控制职能的内部行使控制职能的人员素质人员素质不适应岗位要求也会影响内部控制不适应岗位要求也会影响内部

17、控制功能的正常发挥；功能的正常发挥；4.被审计单位实施内部控制的被审计单位实施内部控制的成本效益成本效益问题也会影响其效能；问题也会影响其效能；5.内部控制一般都是针对内部控制一般都是针对经常而重复发生经常而重复发生的业务设置的，如果出现的业务设置的，如果出现不经常发生或未预计到的业务，原有控制就可能不适用。不经常发生或未预计到的业务，原有控制就可能不适用。三、了解和评估内部控制u了解内部控制包括：在了解内部控制包括：在整体层面整体层面了解内部控了解内部控制与在制与在业务流程层面业务流程层面了解内部控制。了解内部控制。2022-4-3023整体层面从内部控制要素角度来了解内部控制业务流程层面从

18、业务循环角度来了解内部控制 （一）控制环境的定义（一）控制环境的定义 控制环境包括治理职能和管理职能，以及治理层和控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的管理层对内部控制及其重要性的态度态度、认识认识和和措施措施良好的控制环境是实施有效良好的控制环境是实施有效内部控制的基础内部控制的基础： 24从整体层面了解和评估内部控制从整体层面了解和评估内部控制:u（二）了解控制环境的（二）了解控制环境的要求要求 在评价控制环境的设计和实施情况时，注在评价控制环境的设计和实施情况时，注册会计师应当了解管理层在治理层的监督下，册会计师应当了解管理层在治理层的监督下，是否营造并

19、保持了是否营造并保持了诚实守信诚实守信和和合乎道德合乎道德的文的文化，以及是否建立了化，以及是否建立了防止或发现并纠正舞弊防止或发现并纠正舞弊和错误和错误的恰当控制。的恰当控制。（三）了解控制环境的要素（三）了解控制环境的要素 在评价控制环境的设计时，注册会计师应当考虑在评价控制环境的设计时，注册会计师应当考虑构成控制环境的下列要素：构成控制环境的下列要素：1.对诚信和道德价值观念的沟通与落实；对诚信和道德价值观念的沟通与落实；2.对胜任能力的重视；对胜任能力的重视；3.治理层的参与程度；治理层的参与程度；4.管理层的理念和经营风格；管理层的理念和经营风格；5.组织结构及职权与责任的分配；组织

20、结构及职权与责任的分配；6.人力资源政策与实务。人力资源政策与实务。（四）控制环境具有（四）控制环境具有广泛影响广泛影响（基本观点）（基本观点）1.控制环境设定了被审计单位的控制环境设定了被审计单位的内部控制基调内部控制基调 控制环境设定了一个组织的控制环境设定了一个组织的基调基调，影响着员工的，影响着员工的控制意识控制意识，营造着有利于内部控制有效运行的，营造着有利于内部控制有效运行的氛氛围围，所所以，以，它是内部控制其他构成要素的基础。它是内部控制其他构成要素的基础。2.为其他要素提供了为其他要素提供了适当的基础适当的基础 控制环境对重大错报风险的评估控制环境对重大错报风险的评估具有广泛影

21、具有广泛影响响，注册会计师应当考虑控制环境的总体优，注册会计师应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的势是否为内部控制的其他要素提供了适当的基础，并且未被控制环境中存在的缺陷所削基础，并且未被控制环境中存在的缺陷所削弱。弱。3.有助于有助于降低发生舞弊的风险降低发生舞弊的风险 虽然令人满意的控制环境并不能绝对防止虽然令人满意的控制环境并不能绝对防止舞弊，但却有助于降低发生舞弊的风险。有舞弊，但却有助于降低发生舞弊的风险。有效地控制环境还能为注册会计师相信在以前效地控制环境还能为注册会计师相信在以前年度和期中所测试的控制将继续有效运行提年度和期中所测试的控制将继续有效运行提

22、供一定风险基础。供一定风险基础。4.控制控制环境本身环境本身并并不能不能防止或发现并纠正防止或发现并纠正认定认定层次层次的重大错报，注册会计师在评估重大错的重大错报，注册会计师在评估重大错报风险时，应当将控制环境连同其他内部控报风险时，应当将控制环境连同其他内部控制要素产生的影响一并考虑。制要素产生的影响一并考虑。【例例12014（卷（卷I）、（卷）、（卷II）单选题单选题】（了解控制环境，（了解控制环境，评估重大错报风险）下列有关控制环境的说法中，错误评估重大错报风险）下列有关控制环境的说法中，错误的是（）。的是（）。A.有效的有效的控制环境本身控制环境本身可以防止、发现并纠正各类交易、可以

23、防止、发现并纠正各类交易、账户余额和披露认定层次的重大错报账户余额和披露认定层次的重大错报B.控制环境对重大错报风险的评估具有广泛影响控制环境对重大错报风险的评估具有广泛影响C.有效的控制环境可以降低舞弊发生的风险有效的控制环境可以降低舞弊发生的风险D.财务报表层次重大错报风险很可能源于控制环境存在缺财务报表层次重大错报风险很可能源于控制环境存在缺陷陷【答案答案】A【解析解析】选项选项A错误。控制环境本身并不能防止或发现并错误。控制环境本身并不能防止或发现并纠正各类交易、账户余额和披露认定层次的重大错报。纠正各类交易、账户余额和披露认定层次的重大错报。【例例32013单选题单选题】（了解控制环

24、境，评估重大错报风险）下列（了解控制环境，评估重大错报风险）下列有关控制环境的说法中，错误的是（）。有关控制环境的说法中，错误的是（）。A.在审计业务承接阶段，注册会计师无需了解和评价控制环境在审计业务承接阶段，注册会计师无需了解和评价控制环境B.在实施风险评估程序时，注册会计师需要对控制环境的构成要在实施风险评估程序时，注册会计师需要对控制环境的构成要素获取足够了解，并考虑内部控制的实质及其综合效果素获取足够了解，并考虑内部控制的实质及其综合效果C.在进行风险评估时，如果注册会计师认为被审计单位的控制环在进行风险评估时，如果注册会计师认为被审计单位的控制环境薄弱，则很难认定某一流程的控制是有

25、效的境薄弱，则很难认定某一流程的控制是有效的D.在评估重大错报风险时，注册会计师应当将控制环境连同其他在评估重大错报风险时，注册会计师应当将控制环境连同其他内部控制要素产生的影响一并考虑内部控制要素产生的影响一并考虑【答案答案】A【解析解析】选项选项A错误。注册会计师在承接审计时（初步业务活动），错误。注册会计师在承接审计时（初步业务活动），需要确信需要确信“不存在因管理层诚信问题而可能影响注册会计师保不存在因管理层诚信问题而可能影响注册会计师保持该项业务的意愿和能力持该项业务的意愿和能力”。管理层诚信问题属于控制环境的要素，因此，注册会计师需管理层诚信问题属于控制环境的要素，因此，注册会计师

26、需要对控制环境作出初步了解和评价。要对控制环境作出初步了解和评价。（二）风险评估过程u任何经济组织在经营活动中都会面临各种各样的风险，任何经济组织在经营活动中都会面临各种各样的风险，风险对其生存和竞争能力产生影响。风险对其生存和竞争能力产生影响。u很多风险并不为经济组织所控制，但管理层应当很多风险并不为经济组织所控制，但管理层应当确定可确定可以承受的风险水平以承受的风险水平，识别识别这些风险并采取一定的这些风险并采取一定的应对措应对措施施。u风险评估风险评估是企业是企业及时识别及时识别、系统分析系统分析经营活动中与实现经营活动中与实现内部控制目标相关的风险，合理确定内部控制目标相关的风险，合理

27、确定风险应对风险应对策略。策略。 风险分析风险分析通常包括估计风险的通常包括估计风险的重要性重要性，评估其，评估其发生的概发生的概率率。2022-4-3031可能产生风险的事项和情形包括：可能产生风险的事项和情形包括：1监管及经营环境的变化。监管及经营环境的变化。导致竞争压力的导致竞争压力的变化以及重大的相关风险。变化以及重大的相关风险。2新员工的加入。新员工的加入。对内部控制有不同的认识和对内部控制有不同的认识和关注点。关注点。3新信息系统的使用或对原系统进行升级新信息系统的使用或对原系统进行升级会会改变与内部控制相关的风险。改变与内部控制相关的风险。4业务快速发展。业务快速发展。内部控制难

28、以应对内部控制难以应对5新技术。新技术。可能改变与内部控制相关的风险。可能改变与内部控制相关的风险。6新生产型号、产品和业务活动。新生产型号、产品和业务活动。进入新的进入新的业务领域和发生新的交易可能带来新的与内部控制相关的风业务领域和发生新的交易可能带来新的与内部控制相关的风险。险。7企业重组。企业重组。重组可能带来裁员以及管理职责的重新划分，重组可能带来裁员以及管理职责的重新划分，将影响与内部控制相关的风险。将影响与内部控制相关的风险。8发展海外经营。发展海外经营。海外扩张或收购会带来新的并且海外扩张或收购会带来新的并且往往是特别的风险，进而可能影响内部控制，如外币交易的往往是特别的风险，

29、进而可能影响内部控制，如外币交易的风险。风险。9新的会计准则。新的会计准则。采用新的或变化了的会计准则可采用新的或变化了的会计准则可能会增大财务报告发生重大错报的风险。能会增大财务报告发生重大错报的风险。u被审计单位风险评估过程的作用是被审计单位风险评估过程的作用是识别、评估识别、评估和和管理管理影响被审计单位实现经营目标能力的各影响被审计单位实现经营目标能力的各种种风险。风险。 u注册会计师应当确定管理层注册会计师应当确定管理层如何识别如何识别与财务报与财务报告相关的经营风险，如何告相关的经营风险，如何估计该风险的重要性估计该风险的重要性，如何评估如何评估风险发生的可能性风险发生的可能性，以

30、及，以及如何采取措如何采取措施管理施管理这些风险。这些风险。了解和评估被审计单位风险评估过程时考虑的主要因素：了解和评估被审计单位风险评估过程时考虑的主要因素：1被审计单位是否已建立并沟通其整体目标，并辅以具体策被审计单位是否已建立并沟通其整体目标，并辅以具体策略和业务流程层面的计划；略和业务流程层面的计划；2被审计单位是否已建立风险评估过程，包括识别风险、估被审计单位是否已建立风险评估过程，包括识别风险、估计风险的重大性、评估风险发生的可能性以及确定需要采计风险的重大性、评估风险发生的可能性以及确定需要采取的应对措施；取的应对措施；3被审计单位是否已建立某种机制，识别和应对可能对被审被审计单

31、位是否已建立某种机制，识别和应对可能对被审计单位产生重大且普遍影响的变化计单位产生重大且普遍影响的变化.-如在金融机构中建立资产负债管理委员会，在制造型企业如在金融机构中建立资产负债管理委员会，在制造型企业中建立期货交易风险管理组等中建立期货交易风险管理组等；4会计部门是否建立了某种流程以识别会计准则重大变化会计部门是否建立了某种流程以识别会计准则重大变化5当被审计单位业务操作发生变化并影响交易记录的流程时，当被审计单位业务操作发生变化并影响交易记录的流程时，是否存在沟通渠道以通知会计部门；是否存在沟通渠道以通知会计部门；6风险管理部门是否建立了某种流程，以识别经营环境包括风险管理部门是否建立

32、了某种流程，以识别经营环境包括监管环境发生的重大变化。监管环境发生的重大变化。 （三）信息系统与沟通u信息与沟通是企业及时、准确地收集、信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。业内部、企业与外部之间进行有效沟通。u与财务报告相关的信息系统的含义与财务报告相关的信息系统的含义 与财务报告相关的信息系统，包括可以生成、与财务报告相关的信息系统，包括可以生成、记录、处理和报告交易、事项和情况，对相记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责关资产、负债和所有者权益

33、履行经营管理责任的程序和记录。任的程序和记录。u与财务报告相关的信息系统应当与业务流与财务报告相关的信息系统应当与业务流程相适应。程相适应。业务流程业务流程是指被审计单位开发、采购、生产、销售、发送是指被审计单位开发、采购、生产、销售、发送产品和提供服务、保证遵守法律法规、记录信息等一系列活产品和提供服务、保证遵守法律法规、记录信息等一系列活动。动。u与财务报告相关的信息系统所生成与财务报告相关的信息系统所生成信息的信息的质量质量，对管理层能否做出恰当的经营管理决，对管理层能否做出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。策以及编制可靠的财务报告具有重大影响。与财务报告相关的信息系

34、统通常包括下列职能：与财务报告相关的信息系统通常包括下列职能：1识别与记录所有的识别与记录所有的有效交易有效交易；2及时、详细地及时、详细地描述交易描述交易，以便在财务报告，以便在财务报告中对交易做出中对交易做出怡当分类怡当分类；3恰当计量交易，以便在财务报告中对交易恰当计量交易，以便在财务报告中对交易的金额做出的金额做出准确记录准确记录；4恰当确定交易生成的恰当确定交易生成的会计期间会计期间；5在财务报表中在财务报表中恰当列报恰当列报交易。交易。（二）从下列方面了解财务报告相关的信息系统：（二）从下列方面了解财务报告相关的信息系统：1.在被审计单位经营过程中对财务报表具有重大影响的各在被审计

35、单位经营过程中对财务报表具有重大影响的各类交易；类交易；2.在信息技术和人工系统中，被审计单位的交易生成、记在信息技术和人工系统中，被审计单位的交易生成、记录、处理、和报告的程序；录、处理、和报告的程序；3.与交易生成、记录、处理和报告有关会计记录、支持性与交易生成、记录、处理和报告有关会计记录、支持性信息和财务报表中的特定项目信息和财务报表中的特定项目4.被审计单位的信息系统如何获取除交易以外的对财务报被审计单位的信息系统如何获取除交易以外的对财务报表具有重大影响的事项和情况信息；表具有重大影响的事项和情况信息；5. 被审计单位编制财务报告过程；被审计单位编制财务报告过程；6.管理层凌驾于账

36、户记录控制之上的风险管理层凌驾于账户记录控制之上的风险u自动化程序和控制可能降低了发生无意错自动化程序和控制可能降低了发生无意错误的风险，但是并没有消除个人凌驾于控制误的风险，但是并没有消除个人凌驾于控制之上的风险之上的风险.-如某些高级管理人员可能篡改自动过如某些高级管理人员可能篡改自动过入总分类账和财务报告系统的数据金额。当入总分类账和财务报告系统的数据金额。当被审计单位运用信息技术进行数据的传递时，被审计单位运用信息技术进行数据的传递时，发生篡改可能不会留下痕迹或证据。发生篡改可能不会留下痕迹或证据。（三）与财务报告相关的沟通的含义（三）与财务报告相关的沟通的含义u与财务报告相关的沟通与

37、财务报告相关的沟通包括使员工了解各自在与财包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责，员工之间务报告有关的内部控制方面的角色和职责，员工之间的工作联系，以及向适当级别的管理层报告例外事项的工作联系，以及向适当级别的管理层报告例外事项的方式。的方式。u公开的沟通渠道有助于确保例外情况得到报告和处公开的沟通渠道有助于确保例外情况得到报告和处理。理。u沟通可以沟通可以采用政策手册采用政策手册、会计和财务报告手册会计和财务报告手册及及备备忘录忘录等形式进行，也可以通过发送等形式进行，也可以通过发送电子邮件、口头沟电子邮件、口头沟通和管理层的行动通和管理层的行动来进行。来进行。（四）对

38、与财务报告相关的沟通的了解（四）对与财务报告相关的沟通的了解u注册会计师应当了解被审计单位注册会计师应当了解被审计单位内部内部如何对财务报告的如何对财务报告的岗岗位职责位职责以及与财务报告相关的以及与财务报告相关的重大事项重大事项进行沟通进行沟通;u注册会计师还应当了解注册会计师还应当了解管理层与治理层管理层与治理层（特别是审计委员（特别是审计委员会之间的沟通，以及被审计单位会之间的沟通，以及被审计单位与外部与外部（包括与监管部（包括与监管部门）的沟通。门）的沟通。u具体包括：具体包括：1管理层就员工的职责和控制责任是否进行了有效沟通；管理层就员工的职责和控制责任是否进行了有效沟通；2针对可疑

39、的不恰当事项和行为是否建立了沟通渠道；针对可疑的不恰当事项和行为是否建立了沟通渠道；3组织内部沟通的充分性是否能够使人员有效地履行职责；组织内部沟通的充分性是否能够使人员有效地履行职责；4对于与客户、供应商、监管者和其他外部人士的沟通，管理对于与客户、供应商、监管者和其他外部人士的沟通，管理层是否及时采取适当的进一步行动；层是否及时采取适当的进一步行动；5被审计单位是否受到某些监管机构发布的监管要求的约束；被审计单位是否受到某些监管机构发布的监管要求的约束；6外部人士如客户和供应商在多大程度上获知被审计单位的行外部人士如客户和供应商在多大程度上获知被审计单位的行为守则。为守则。（四）控制活动

40、（一）控制活动的定义u企业管理层应根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内u控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。2022-4-3043控制活动的具体内容控制活动的具体内容1、授权控制 授授权权的目的在于保的目的在于保证证交易在管理交易在管理层层授授权权范范围内进围内进行行, ,授授权权分分为为“一般授权”和“特殊授权”。其中：（1）一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策；（2）特别授权是指管理层针对特定类别的交易或活动逐一设置的授权，如重大资本支出和股票发

41、行等。2022-4-30第第七七章章 风险评估与风险应对风险评估与风险应对442.业绩评价业绩评价u注册会计师应当了解与业绩评价有关的控制活动，主要包注册会计师应当了解与业绩评价有关的控制活动，主要包括被审计单位分析评价实际业绩与预算的差异，以及对发括被审计单位分析评价实际业绩与预算的差异，以及对发现的异常差异或关系采取必要的调查与纠正措施现的异常差异或关系采取必要的调查与纠正措施 ,通过调通过调查非预期的结果和非正常的趋势，管理层可以识别可能影查非预期的结果和非正常的趋势，管理层可以识别可能影响经营目标实现的情形响经营目标实现的情形。u具体包括具体包括:与业绩评价有关的控制活动主要包括：与业

42、绩评价有关的控制活动主要包括：（1）被审计单位分析评价实际业绩）被审计单位分析评价实际业绩与预算（或预测、前期业绩）的与预算（或预测、前期业绩）的差异；差异；（2）综合分析财务数据与经营数据的内在关系；）综合分析财务数据与经营数据的内在关系；（3）将内部数据与外部信息来源相比较；）将内部数据与外部信息来源相比较；（4）评价职能部门、分支机构或项目活动的业绩）评价职能部门、分支机构或项目活动的业绩（如银行客户信贷（如银行客户信贷经理复核各分行、地区和各种贷款类型的审批和收回）；经理复核各分行、地区和各种贷款类型的审批和收回）；（5）对发现的异常差异或关系采取必要的）对发现的异常差异或关系采取必要

43、的调查与纠正措施调查与纠正措施。3.信息处理信息处理u注册会计师应当了解与信息处理有关的注册会计师应当了解与信息处理有关的控制活动，包括信息技术的一般控制和应控制活动，包括信息技术的一般控制和应用控制。用控制。u信息处理控制可以是人工的、自动化的，信息处理控制可以是人工的、自动化的，或是基于自动流程的人工控制。或是基于自动流程的人工控制。u信息处理控制分为两类，即信息技术一信息处理控制分为两类，即信息技术一般控制和应用控制般控制和应用控制信息技术一般控制和应用控制怎么区分：信息技术一般控制和应用控制怎么区分：u以开车为例：以开车为例：u一般控制就是要求车辆状况良好，包括一般控制就是要求车辆状况

44、良好，包括定期维护保养、换机油、换轮胎、加油等定期维护保养、换机油、换轮胎、加油等;u应用控制就是要求开车人遵守交通规则、应用控制就是要求开车人遵守交通规则、不超速、不超载、不撞人。不超速、不超载、不撞人。4.实物控制实物控制u注册会计师应当了解实物控制，主要包括：注册会计师应当了解实物控制，主要包括：（1）了解对）了解对资产和记录资产和记录采取适当的安全保护措采取适当的安全保护措施；施；（2）对）对访问计算机程序和数据文件访问计算机程序和数据文件设置授权；设置授权；（3）定期盘点定期盘点并将盘点记录与会计记录相核对。并将盘点记录与会计记录相核对。u实物控制的效果影响实物控制的效果影响资产的安

45、全资产的安全，从而对，从而对财务报表的可靠性及审计产生影响。财务报表的可靠性及审计产生影响。5.职责分离职责分离u注册会计师应当了解职责分离，主要包括注册会计师应当了解职责分离，主要包括了解被审计单位如何将了解被审计单位如何将交易授权、交易记录交易授权、交易记录以及资产保管等以及资产保管等职责分配给不同员工，以防职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞范同一员工在履行多项职责时可能发生的舞弊或错误。弊或错误。【例例2010多选题多选题】下列活动中，注册会计师认为下列活动中，注册会计师认为属于控制活动的有（）。属于控制活动的有（）。A.授权授权B.业绩评价业绩评价C.风险评

46、估风险评估D.职责分离职责分离【答案答案】ABD【解析解析】控制活动是指有助于确保管理层的指令得控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括以下五个要素：（以执行的政策和程序，包括以下五个要素：（1）授权；（授权；（2）业绩评价；（）业绩评价；（3）信息处理；（）信息处理；（4）实物控制；（实物控制；（5）职责分离等相关的活动。）职责分离等相关的活动。 【例例2009单选题单选题】职责分离要求将不相容的职责职责分离要求将不相容的职责分配给不同员工。下列职责分离做法中正确的是分配给不同员工。下列职责分离做法中正确的是（）。（）。A.交易授权、交易执行、交易付款分离交易授权、交易执

47、行、交易付款分离B.交易授权、交易记录、资产保管分离交易授权、交易记录、资产保管分离C.资产保管、交易执行、交易报告分离资产保管、交易执行、交易报告分离D.交易授权、交易付款、交易记录分离交易授权、交易付款、交易记录分离【答案答案】B【解析解析】选项选项B正确。为了防范同一员工在履行多正确。为了防范同一员工在履行多项职责时可能发生的舞弊或错误，控制活动的职项职责时可能发生的舞弊或错误，控制活动的职责分离应当将交易授权、交易记录以及资产保管责分离应当将交易授权、交易记录以及资产保管等职责分配给不同员工。等职责分配给不同员工。5对控制的监督对控制的监督u管理层的重要职责之一就是管理层的重要职责之一

48、就是建立建立和和维护维护必要的必要的内部控制内部控制并保证其持续有效运行并保证其持续有效运行，对控制的监，对控制的监督可以实现这一目标。督可以实现这一目标。u对控制的监督是指被审计单位对控制的监督是指被审计单位评价内部控制评价内部控制在在一段时间内一段时间内运行有效性的过程运行有效性的过程，该过程包括：，该过程包括：u及时评价控制的设计和运行及时评价控制的设计和运行u根据情况的变化采取必要的纠正措施。根据情况的变化采取必要的纠正措施。1.被审计单位通过被审计单位通过持续的监督活动持续的监督活动、和对内部控、和对内部控制的制的专门的评价活动专门的评价活动或两者相结合，实现对控或两者相结合，实现对

49、控制的监督。其中制的监督。其中持续监督持续监督活动应当贯穿于活动应当贯穿于日常日常经营经营活动活动与与常规管理常规管理工作工作 u【例例2009选题选题】持续监督活动应当贯穿于日常经营活持续监督活动应当贯穿于日常经营活动与常规管理工作。下列活动中属于持续监督活动的是动与常规管理工作。下列活动中属于持续监督活动的是（）。（）。 A.审计委员会定期了解财务数据审计委员会定期了解财务数据 B.相应级别的员工复核采购业务流程中控制的执行情况相应级别的员工复核采购业务流程中控制的执行情况 C.注册会计师对年度财务报表进行审计注册会计师对年度财务报表进行审计 D.内部审计人员对控制实施风险评估内部审计人员

50、对控制实施风险评估【答案答案】B【解析解析】选项选项B正确。正确。“对控制的监督对控制的监督”分为持续的监督分为持续的监督活动和对内部控制的专门评价活动，其中持续监督活动活动和对内部控制的专门评价活动，其中持续监督活动应当贯穿于日常经营活动与常规管理工作。选项应当贯穿于日常经营活动与常规管理工作。选项A、D均均属于专门评价活动，选项属于专门评价活动，选项C属于对财务报表的外部审计。属于对财务报表的外部审计。四、业务流程层面了解内部控制u步骤：1.确定被审计单位的重要业务流程和重要交易类别2.了解重要交易流程，并记录获得的了解3.确定可能发生错报的环节；4.识别和了解相关控制5.执行穿行测试，证

51、实对交易流程和相关控制的了解6.进行初步评价和风险评估。2022-4-30第第七七章章 风险评估与风险应对风险评估与风险应对54u1.确定重要确定重要业务流程业务流程和重要和重要交易类别交易类别在实务中，将被审计单位的整个经营活在实务中，将被审计单位的整个经营活动划分为几个重要的业务循环，有助于注册动划分为几个重要的业务循环，有助于注册会计师更有效地了解和评估重要业务流程及会计师更有效地了解和评估重要业务流程及相关控制。相关控制。 例如，重要业务流程如例如，重要业务流程如销售与收款循环、采购与付款循环、生产销售与收款循环、采购与付款循环、生产与存货循环、人力资源与工薪循环、投资与筹资循环等。与

52、存货循环、人力资源与工薪循环、投资与筹资循环等。重要交易类别重要交易类别是指可能对被审计单位财务报表产生重大影响的各是指可能对被审计单位财务报表产生重大影响的各类交易，重要交易类别应与相关账户及其认定相联系，例如，类交易，重要交易类别应与相关账户及其认定相联系，例如，销售和收款都是重要交易类别，销售收入和应收账款通常是销售和收款都是重要交易类别，销售收入和应收账款通常是重大账户重大账户u2.了解重要了解重要交易流程交易流程，并，并记录记录获得的了解获得的了解在确定重要的业务流程和交易类别后，在确定重要的业务流程和交易类别后，注册会计师便可着手了解每一类重要交易注册会计师便可着手了解每一类重要交

53、易在信息技术或人工系统中在信息技术或人工系统中生成、记录、处生成、记录、处理理及在财务报表中及在财务报表中报告报告的程序，即重要交的程序，即重要交易流程。易流程。u举例：销售，新顾客举例：销售，新顾客如果是新顾客，他们需要先填写如果是新顾客，他们需要先填写“顾客申请表顾客申请表”，销售经理，销售经理将进行顾客背景调查，获取包括信用评审机构对顾客信将进行顾客背景调查，获取包括信用评审机构对顾客信用等级的评定报告等，填写用等级的评定报告等，填写“新顾客基本情况表新顾客基本情况表”，并附相关资，并附相关资料交至信用管理经理审批。料交至信用管理经理审批。信用管理经理在信用管理经理在“新顾客基本情况表新

54、顾客基本情况表”上签字注明是否同上签字注明是否同意赊销。通常情况下，给予新顾客的信用额度不超过人民币意赊销。通常情况下，给予新顾客的信用额度不超过人民币元；若高于该标准，应经总经理审批。元；若高于该标准，应经总经理审批。根据经恰当审批的新顾客基本情况表，信息管理员将有根据经恰当审批的新顾客基本情况表，信息管理员将有关信息输入关信息输入Y系统，系统将自动建立新顾客档案。系统，系统将自动建立新顾客档案。 完成上述流程后，新顾客即可与完成上述流程后，新顾客即可与s公司进行业务往来，向公司发公司进行业务往来，向公司发出采购订单。对于新顾客的初次订单，不允许超过经审批的信出采购订单。对于新顾客的初次订单

55、，不允许超过经审批的信用额度。如新顾客能够及时支付货款，信用良好，则可视同用额度。如新顾客能够及时支付货款，信用良好，则可视同“现现有顾客有顾客”进行交易。进行交易。控制目标：控制目标：仅接受在信用额度内的订单；仅接受在信用额度内的订单；认定：认定：应收账款计价分摊；应收账款计价分摊；常用的控制：常用的控制：由管理层审批信用额度。由管理层审批信用额度。u3.确定可能发生错报的环节确定可能发生错报的环节注册会计师需要确认和了解被审计单位注册会计师需要确认和了解被审计单位应在哪些环节设置控制应在哪些环节设置控制，以防止或发现并纠，以防止或发现并纠正各重要业务流程可能发生的错报。正各重要业务流程可能

56、发生的错报。4.识别和了解相关控制识别和了解相关控制重要交易类别的有效控制应同时包括重要交易类别的有效控制应同时包括预防性控制预防性控制检查性控制检查性控制有效内部控制有效内部控制1.预防性控制预防性控制 预防性控制通常用于正常业务流程的每一项预防性控制通常用于正常业务流程的每一项交易，以防止错报的发生。预防性控制可能交易，以防止错报的发生。预防性控制可能是人工的，也可能是自动化的。是人工的，也可能是自动化的。 2.检查性控制检查性控制 建立检查性控制的目的是发现流程中可能发建立检查性控制的目的是发现流程中可能发生的错报生的错报（尽管有预防性控制还是会发生的（尽管有预防性控制还是会发生的错报）

57、。错报）。检查性控制通常是检查性控制通常是管理层管理层用来用来监督监督其流程和相应预防性控制能否有效地发挥作其流程和相应预防性控制能否有效地发挥作用用。可以由人工执行，也可以由信息系统自。可以由人工执行，也可以由信息系统自动执行。动执行。【例例22014（卷（卷I）多选题多选题】（预防性控制和检查性控制）（预防性控制和检查性控制）下列各项中，属于预防性控制的有（）。下列各项中，属于预防性控制的有（）。A.负责业务收入和应收账款记账的财务人员不得经手货币负责业务收入和应收账款记账的财务人员不得经手货币资金资金B.采购固定资产需要经适当级别的人员批准采购固定资产需要经适当级别的人员批准C.会计主管

58、每月末将银行账户余额与银行对账单进行核对，会计主管每月末将银行账户余额与银行对账单进行核对，并编制银行存款余额调节表并编制银行存款余额调节表D.管理层定期执行存货盘点，以确定永续盘存制的可靠性管理层定期执行存货盘点，以确定永续盘存制的可靠性【答案答案】AB【解析解析】选项选项A、B涉及业务流程的职责分离控制，属于预涉及业务流程的职责分离控制，属于预防性控制；选项防性控制；选项C、D控制活动是为了发现流程中可能发控制活动是为了发现流程中可能发生的错报，属于检查性控制。生的错报，属于检查性控制。【例例32014（卷（卷II）单选题单选题】（预防性控制和检查（预防性控制和检查性控制）下列控制活动中，

59、属于检查性控制的是性控制）下列控制活动中，属于检查性控制的是（）。（）。A.仓库管理员根据经批准的发货单办理出库仓库管理员根据经批准的发货单办理出库B.信息技术部根据人事部提供的员工岗位职责表在信息技术部根据人事部提供的员工岗位职责表在系统中设定用户权限系统中设定用户权限C.采购部对新增供应商执行背景调查采购部对新增供应商执行背景调查D.财务人员每月月末与客户对账，并调查差异财务人员每月月末与客户对账，并调查差异【答案答案】D【解析解析】选项选项D正确。检查性控制的目的是发现流正确。检查性控制的目的是发现流程中可能发生的错报。选项程中可能发生的错报。选项A、B、C属于预防性属于预防性控制。控制

60、。【例题【例题多选题】（多选题】（2013年）下列各项控制活年）下列各项控制活动中，属于检查性控制的有（）。动中，属于检查性控制的有（）。A.定期编制银行存款余额调节表，并追查调定期编制银行存款余额调节表，并追查调节项目或异常项目节项目或异常项目B.对接触计算机程序和数据文档设置访问和对接触计算机程序和数据文档设置访问和修改权限修改权限C.财务人员每季度复核应收账款贷方余额并财务人员每季度复核应收账款贷方余额并找出原因找出原因D.财务总监复核月度毛利率的合理性财务总监复核月度毛利率的合理性 正确答案正确答案ACD答案解析选项答案解析选项B属于预防性控制。属于预防性控制。 （五）执行穿行测试（五