风险评估

第一节　风险评估程序及项目组内部讨论1、风险评估程序CPA了解被审单位及其环境，目的是为了识别和评估财务报表重大错报风险。为了解被审单位及其环境而实施的程序称为“风险评估程序”。注册会计师应当实施下列风险评估程序，以了解被审计单位及其环境：（1）询问被审计单位管理层和内部其他相关人员；（2）分析程序（必须执行）；（3）观察和检查。 风险评估程序 具体内容 要求 (1)询问被审计单位管理层和内部其他相关人员 询问对象 作用 治理层 有助于CPA理解财务报表编制的环境 内部审计人员 有助于CPA了解其针对被审计单位内部控制设计和运行有效性而实施的工作，以及管理层对内部审计发现的问题是否采取适当的行动 参与生成、处理或记录复杂或异常交易的员工 有助于CPA评估被审计单位选择和运用某项会计政策的适当性 必要程序， 内部法律顾问 有助于CPA了解有关诉讼、法律法规的遵循情况，影响被审计单位的舞弊或涉嫌舞弊，产品保证和售后责任，与业务合作伙伴的安排(如合营企业)，以及条款的含义 以获取对识别重大错报风险有用的信息 营销或销售人员 有助于CPA了解被审计单位的营销策略及其变化、销售趋势或与其客户的合同安排 采购人员和生产人员 有助于CPA了解被审计单位的原材料采购和产品生产等情况 仓库人员 有助于CPA了解原材料、产成品等存货的进出、保管和盘点等情况 (2)分析程序 (1)应当预期可能存在的合理关系，并与被审计单位记录的金额、依据记录金额计算的比率或趋势相比较(2)如果发现异常或未预期到的关系，CPA应当在识别重大错报风险时考虑这些比较结果(3)如果使用了高度汇总的数据，实施分析程序的结果仅可能初步显示财务报表存在重大错报风险，CPA应当将分析结果连同识别重大错报风险时获取的其他信息一并考虑 在了解被审计单位及其环境并评估重大错报风险时使用 (3)观察和检查 观察被审计单位的生产经营活动 可以增加CPA对被审计单位人员如何进行生产经营活动及实施内部控制的了解 可以印证对管理层和其他相关人员的询问结果，并可提供有关被审计单位及其环境的信息 检查文件、记录和内部控制手册 了解被审计单位组织结构和内部控制的建立健全情况。 阅读由管理层和治理层编制的报告 了解自上一期审计结束至本期审计期间被审计单位发生的重大事项 实地查看被审计单位的生产经营场所和设备 可以帮助CPA了解被审计单位的性质及其经营活动 追踪交易在财务报告信息系统中的处理过程(穿行测试) 通过追踪某笔或某几笔交易在业务流程中如何生成、记录、处理和报告，以及相关内部控制如何执行，CPA可以确定被审计单位的交易流程和内部控制是否与之前通过其他程序所获得的了解一致，并确定内部控制是否得到执行 　　注意：　　第一，注册会计师在了解被审计单位及其环境过程中，往往将上述程序结合在一起；　　第二，注册会计师并非在了解被审计单位及其环境的每个方面都实施上述风险评估程序。例如，在了解内部控制时通常不用分析程序。　　二、其他审计程序 程序 要求 案例 （1）询问 除了采用上述程序从被审单位内部获得信息以外，如果根据职业判断认为从被审单位外部获取的信息有助于了解被审单位及其环境并识别重大错报风险，CPA应实施其他审计程序以获取这些信息 询问被审单位聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等 （2）阅读 包括证券分析师、银行、评级机构出具的有关被审单位及其所处行业的经济或市场环境等状况的报告，贸易与经济方面的期刊杂志，法规或金融出版物，以及政府部门或民间组织发布的行业报告和统计数据等 阅读外部信息也可能有助于CPA了解被审单位及其环境　　三、项目组内部的讨论　　（一）讨论的目标　　项目组内部的讨论为项目组成员提供了交流信息和分享见解的机会。项目组通过讨论可以使成员更好地了解在各自负责的领域中，由于舞弊或错误导致财务报表重大错报的可能性，并了解各自实施审计程序的结果如何影响审计的其他方面，包括对确定进一步审计程序的性质、时间和范围的影响。　　（二）讨论的内容　　项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式，特别是由于舞弊导致重大错报的可能性。　　（三）参与讨论的人员　　注册会计师应当运用职业判断确定项目组内部参与讨论的成员。项目组的关键成员应当参与讨论，如果项目组需要拥有信息技术或其他特殊技能的专家，这些专家也应参与讨论。参与讨论人员的范围受项目组成员的职责经验和信息需要的影响。　　（四）讨论的时间和方式　　项目组应当根据审计的具体情况，在整个审计过程中持续交换有关财务报表发生重大错报可能性的信息。　【例题2·多选题】应当参与项目组讨论的人员有（　）。　　A.项目负责人　　B.关键审计人员　　C.聘请的特定领域专家　　D.项目质量控制复核人员『正确答案』ABC第二节　了解被审计单位及其环境　一、总体要求　　注册会计师应当从下列方面了解被审计单位及其环境：（1）行业状况、法律环境与监管环境以及其他外部因素；（2）被审计单位的性质；（3）被审计单位对会计政策的选择和运用；（4）被审计单位的目标、战略以及相关经营风险；（5）被审计单位财务业绩的衡量和评价；（6）被审计单位的内部控制。　　注意：第一，（1）为外部因素，（2）、（3）、（4）、（6）为内部因素，（5）既有内部因素也有外部因素。　　第二，各方面的情况可能会互相影响，注册会计师在了解各方面情况时，应当考虑各个因素之间的相互关系。二、行业状况、法律环境与监管环境以及其他外部因素　　影响被审计单位经营活动的外部因素 因素 了解的主要内容 了解的具体情况 (一)行业状况 (1)所处行业的市场供求与竞争：如果钢铁行业供求发生很大变化，随之，价格也会发生很大变化，进而判断该钢铁企业的报表是否合理（收入、存货、利润等）；(2)生产经营的季节性和周期性：(3)产品生产技术的变化：机械制造业生产技术发生了变化，产品的加工能力和加工精度大幅度提高，营业成本就会有所下降。(4)能源供应与成本　　能源供应：如果企业所处城市供电能力不足，不能保证每周开工七天，生产量和销售量就要引起关注；但是企业表示有自备的发电机，注册会计师应调查发电机是否属实，是否正常运转。　　能源成本：钢铁行业的矿石和焦炭供应情况对成本、利润的影响，毛利率是否合理。(5)行业的关键指标和统计数据：企业与整个行业的净资产收益率、成本费用利润率、存货周转率、销售增长率等的变化；主要产品毛利率与行业相比是否合理。 (1)被审计单位所处行业的总体发展趋势是什么(2)处于哪一发展阶段，如起步、快速成长、成熟或衰退阶段(3)所处市场的需求、市场容量和价格竞争如何(4)该行业是否受经济周期波动的影响，以及采取了什么行动使波动产生的影响最小化(5)该行业受技术发展影响的程度如何(6)是否开发了新的技术(7)谁是被审计单位最重要的竞争者，他们所占的市场份额是多少(8)被审计单位及其竞争者主要的竞争优势是什么(9)被审计单位业务的增长率和总体的财务业绩与行业的平均水平及主要竞争者相比如何，存在重大差异的原因是什么(10)竞争者是否采取了某些行动，如购并活动、降低销售价格、开发新技术等，从而对被审计单位的经营活动产生影响 (二)法律环境及监管环境 (1)适用的会计准则、会计制度和行业特定惯例：如审计商业银行的财务报表，注册会计师是否了解银行业的特定惯例和特定要求，银监会的监管要求，新出台的规定、文件等。(2)对经营活动产生重大影响的法律法规及监管活动(3)对开展业务产生重大影响的政府政策，包括货币、财政、税收和贸易等政策(4)与被审计单位所处行业和所从事经营活动相关的环保要求：如审计汽车行业时，就要清楚环保的要求，如果企业生产的汽车达不到某些大城市的环保要求，就会影响到收入、利润等。 (1)国家对于某些行业的企业是否有特殊的监管要求(如对银行、保险等行业的特殊监管要求)(2)是否存在新出台的法律法规(如新出台的有关产品责任、劳动安全或环境保护的法律法规等)，对被审计单位有何影响(3)国家货币、财政、税收和贸易等方面政策的变化是否会对被审计单位的经营活动产生影响(4)与被审计单位相关的税务法规是否发生变化 (三)其他外部因素 (1)宏观经济的景气度(2)利率和资金供求状况(3)通货膨胀水平及币值变动(4)国际经济环境和汇率变动 (1)当前的宏观经济状况以及未来的发展趋势如何(2)目前国内或本地区的经济状况(如增长率、通货膨胀率、失业率、利率等)怎样影响被审计单位的经营活动(3)被审计单位的经营活动是否受到外币汇率波动或全球市场力量的影响 (四)了解的重点和程度 对于不同企业，了解的重点可能不同。例如，对从事计算机硬件制造的被审计单位，CPA可能更关心其市场和竞争以及技术进步的情况；对金融机构，CPA可能更关心宏观经济走势以及货币、财政等方面的宏观经济政策；对化工等产生污染的行业，CPA可能更关心相关环保法规。三、被审计单位的性质 被审计单位的性质 目的 内容 (一)所有权结构 有助于CPA识别关联方关系并了解被审计单位的决策过程 1．所有权结构以及所有者与其他人员或单位之间的关系2．考虑关联方关系是否已经得到识别3．关联方交易是否得到恰当核算 (--)治理结构 良好的治理结构可以对被审计单位的经营和财务运作实施有效的监督，从而降低财务报表发生重大错报的风险 1．董事会的构成情况、董事会内部是否有独立董事；治理结构中是否设有审计委员会或监事会及其运作情况2．应当考虑治理层是否能够在独立于管理层的情况下对被审计单位事务(包括财务报告)作出客观判断 (三)组织结构 识别复杂的组织结构可能导致某些特定的重大错报风险 被审计单位的组织结构，考虑复杂组织结构可能导致的重大错报风险，包括财务报表合并、商誉摊销和减值、长期股权投资核算以及特殊目的实体核算等问题 (四)经营活动 有助于CPA识别预期将在财务报表中反映的主要交易类别、重要账户余额和列报 1．主营业务的性质2．与生产产品或提供劳务相关的市场信息3．业务的开展情况4．联盟、合营与外包情况5．从事电子商务的情况6．地区与行业分布7．生产设施、仓库的地理位置及办公地点8．关键客户9．重要供应商10．劳动用工情况11．研究与开发活动及其支出12．关联方交易 (五)投资活动 有助于CPA关注被审计单位在经营策略和方向上的重大变化 1．近期拟实施或已实施的并购活动与资产处置情况，包括业务重组或某些业务的终止2．证券投资、委托贷款的发生与处置3．资本性投资活动，包括固定资产和无形资产投资，近期发生或计划发生的变动，以及重大的资本承诺等 (六)筹资活动 有助于CPA评估被审计单位在融资方面的压力，并进一步考虑被审计单位在可预见未来的持续经营能力 1．债务结构和相关条款，包括担保情况及表外融资2．固定资产的租赁3．关联方融资4．实际受益股东　　四、被审计单位对会计政策的选择和运用 会计政策的选择和运用 案例 (一)重要项目的会计政策和行业惯例 1．重要的会计政策包括收入确认、存货的计价方法、投资的核算、固定资产的折旧方法、坏账准备、存货跌价准备和其他资产减值准备的确定、借款费用资本化方法、合并财务报表的编制方法等2．除会计政策以外，某些行业可能还存在一些行业惯例，CPA应当熟悉这些行业惯例。当被审计单位采用与行业惯例不同的会计处理方法时，CPA应当对此予以重点关注 (二)重大和异常交易的会计处理方法 1．本期发生的企业合并的会计处理方法2．某些企业可能存在与其所处行业相关的重大交易 (三)在新领域和缺乏权威性或共识的领域，采用重要会计政策产生的影响 对于互联网上的收入确认问题，在有关会计处理缺乏权威性的标准或共识时，CPA应当关注被审计单位选用了哪些会计政策，为什么选用这些会计政策以及选用这些会计政策产生的影响 (四)会计政策的变更 1．如果被审计单位变更了重要的会计政策，CPA应当考虑会计政策变更的原因及其适当性，即(1)会计政策的变更是否符合法律、行政法规或者适用的会计准则和相关会计制度的规定；(2)会计政策的变更能否提供更可靠、更相关的会计信息2．CPA还应当关注会计政策的变更是否得到恰当披露 (五)被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度 新的企业会计准则自2007年1月1日起在上市公司施行，并鼓励其他企业执行。CPA应考虑被审计的上市公司是否已按照新会计准则的要求，做好衔接调整工作，并收集执行新会计准则需要的信息资料 　　除上述与会计政策的选择和运用相关的事项外，CPA还应对被审计单位下列与会计政策运用相关的情况予以关注：(1)是否采用激进的会计政策、方法、估计和判断；(2)财会人员是否拥有足够的运用会计准则的知识、经验和能力；(3)是否拥有足够的资源支持会计政策的运用，如人力资源及培训、内部系统、信息技术的采用、数据和信息的采集等。　　五、被审计单位的目标、战略以及相关经营风险　　目标是企业经营活动的指针。企业管理层或治理层一般会根据企业经营面临的外部环境和内部各种因素，制定合理可行的经营目标。战略是企业管理层为实现经营目标采用的总体层面的策略和方法。为了实现某一既定的经营目标，企业可能有多个可行战略。例如，如果目标是在某一特定期间内进入一个新的市场，那么可行的战略可能包括收购该市场内的现有企业、与该市场内的其他企业合资经营或自行开发进入该市场。随着外部环境的变化，企业应对目标和战略做出相应的调整。　　目标、战略、经营风险和重大错报风险之间的相互联系可举一例予以说明。例如，企业当前的目标是在某一特定期间内进入某一新的海外市场，企业选择的战略是在当地成立合资公司。从该战略本身来看，是可以实现这一目标的。但是，成立合资公司可能会带来很多的经营风险，例如，企业如何与当地合资方在经营活动、企业文化等各方面协调，如何在合资公司中获得控制权或共同控制权，当地市场情况是否会发生变化，当地对合资公司的税收和外汇管理方面的政策是否稳定等。这些经营风险反映到财务报表中，可能会因对合资公司是属于子公司、合营企业或联营企业的判断问题，投资核算问题，包括是否存在减值问题、对当地税收规定的理解等问题而导致财务报表出现重大错报风险。多数经营风险最终都会产生财务后果，从而影响财务报表。但并非所有经营风险都会导致重大错报风险。六、被审计单位财务业绩的衡量和评价CPA了解被审计单位财务业绩衡量和评价，是为了考虑管理层是否面临实现某些关键财务业绩指标的压力，此外，了解管理层认为重要的关键业绩指标，有助于CPA深入了解被审计单位的目标和战略。注意：应根据所了解到的被审计单位的信息分析识别可能存在重大错报是影响财务报表整体，还是影响具体交易、账户及相关认定。【例题3·综合题】W公司主要从事小型电子消费品的生产和销售，产品销售以W公司仓库为交货地点。W公司日常交易采用自动化信息系统（以下简称系统）和手工控制相结合的方式进行。系统自20×6年以来没有发生变化。W公司产品主要销售给国内各主要城市的电子消费品经销商。A和B注册会计师负责审计W公司20×7年度财务报表。　　资料一：A和B注册会计师在审计工作底稿中记录了所了解的W公司及其环境的情况，部分内容摘录如下：　　资料二：A和B注册会计师在审计工作底稿中记录了所获取的W公司财务数据，部分内容摘录如下：金额　　　单位：万元 20×7 20×6 C产品 D产品 C产品 D产品 产成品 2000 1800 2500 0 存货跌价准备 0 0 主营业务收入 18500 8000 20000 0 主营业务成本 17000 5600 16800 0 销售费用－运输费 1200 1150 利息支出 300 25 减：利息资本化 250 25 净利息支出 50 0要求：针对资料一（1）至（6）项，结合资料二，假定不考虑其他条件，请逐项指出资料一所列事项是否可能表明存在重大错报风险。如果认为存在，请简要说明理由，并分别说明该风险是属于财务报表层次还是认定层次。如果认为属于认定层次，请指出相关事项与何种交易或账户的何种认定相关。请将答案直接填入相应表格内。　　（1）在20×6年度实现销售收入增长10%的基础上，W公司董事会确定的20×7年销售收入增长目标为20%。W公司管理层实行年薪制，总体薪酬水平根据上述目标的完成情况上下浮动。W公司所处行业20×7年的平均销售增长率是12%。　　『正确答案』 事项序号 是否可能表明存在重大错报风险（是/否） 理　由 重大错报风险属于财务报表层次还是认定层次（财务报表层次/认定层次） 交易或账户名称和认定 （1） 是 Ｗ公司管理层为了达到治理层确定的高于行业平均增长率8%的销售增长率，且管理层的薪酬与销售增长目标挂钩，所以有可能会虚增收入 认定层次 ①营业收入/发生②应收账款/存在（2）W公司财务总监已为W公司工作超过6年，于20×7年9月到期后被W公司的竞争对手高薪聘请。由于工作压力大，W公司会计部门人员流动频繁，除会计主管服务期超过4年外，其余人员的平均服务期少于2年。　　『正确答案』 事项序号 是否可能表明存在重大错报风险（是/否） 理　由 重大错报风险属于财务报表层次还是认定层次（财务报表层次/认定层次） 交易或账户名称和认定 （2） 是 Ｗ公司关键人员的变动，以及由于会计人员频繁变动，缺乏具有胜任能力的会计人员，均可能存在重大错报风险 财务报表层次 （3）W公司的产品面临快速更新换代的压力，市场竞争激烈。为巩固市场占有率，W公司于20×7年4月将主要产品（C产品）的销售下调了8%至10%。另外，W公司在20×7年8月推出了D产品（C产品的改良型号），市场表现良好，计划在20×8年全面扩大产量，并在20×8年1月停止C产品的生产。为了加快资金流转，W公司于20×8年1月针对C产品开始实施新一轮的降价促销，平均降价幅度达到10%。　　『正确答案』 事项序号 是否可能表明存在重大错报风险（是/否） 理　由 重大错报风险属于财务报表层次还是认定层次（财务报表层次/认定层次） 交易或账户名称和认定 （3） 是 C产品在20×7年的毛利率为%[（）/18500×100%]，但是在20×8年1月将价格下调了10%后，C产品的可变现净值将小于其成本，很有可能存在高估存货成本的风险 认定层次 ①存货/计价和分摊②资产减值损失/完整性　　（4）W公司销售的产品均由经客户认可的外部运输公司实施运输，运输费由W公司承担，但运输途中风险仍由客户自行承担。由于受能源价格上涨影响，20×7年的运输单价比上年平均上升了15%，但运输商同意将运输费用结算周期从原来的30天延长至60天。 事项序号 是否可能表明存在重大错报风险（是/否） 理　由 重大错报风险属于财务报表层次还是认定层次（财务报表层次/认定层次） 交易或账户名称和认定 （4） 是 ①20×7年的产品总销量大于20×6年，并且运输单价平均上升了15%，但是运输费只上升了%[（1200-1150）/1150×100%]，可能存在低估20×7年运输费用的风险。②20×7年运输费用没有较大的变化，可能表明销售量变化不大，高估销售收入 认定层次 ①销售费用/完整性②应付账款/完整性　③营业收入/发生④应收账款/存在（5）20×7年度W公司主要原料的价格与上年基本持平，供应商也没有大的变化，但由于技术要求发生变化，D产品所耗高档金属材料比C产品略有上升，使得D产品的原材料成本比C产品上升了3%。　　『正确答案』 事项序号 是否可能表明存在重大错报风险（是/否） 理　由 重大错报风险属于财务报表层次还是认定层次（财务报表层次/认定层次） 交易或账户名称和认定 （5） 否 　（6）W公司除了于20×6年12月借入的2年期、年利率6%的银行借款5000万元外，W公司没有其他借款。上述长期借款专门用于扩建现有的一条生产线，以满足D产品的生产需要。该生产线总投资6500万元，20×6年12月开工，20×7年7月完工投入使用。（假设不考虑利息收入）　　【答案】 事项序号 是否可能表明存在重大错报风险（是/否） 理　由 重大错报风险属于财务报表层次还是认定层次（财务报表层次/认定层次） 交易或账户名称和认定 （6） 是 工程在7月份已经完工，但是资本化了10个月[250/（300/12）]的利息，很有可能高估了固定资产的成本、低估了20×7年的财务费用 认定层次 ①固定资产/计价和分摊②财务费用/完整性第三节　了解被审计单位的内部控制　　一、内部控制的含义和要素　　1.含义和目标　　内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计与执行的政策及程序。　　内部控制的目标是合理保证：（1）财务报表的可靠性，这一目标与管理层履行财务报告编制责任密切相关；（2）经营的效率和效果，即经济有效地使用企业资源，以最优方式实现企业的目标；（3）在所有经营活动中遵守法律法规的要求，即在法律法规的框架下从事经营活动。　　2.对内部控制的责任——被审计单位治理层、管理层和其他人员。　　3.内部控制要素：控制环境、风险评估过程、信息系统与沟通、控制活动、对控制的监督。　　二、与审计相关的控制　　内部控制的目标旨在合理保证财务报告的可靠性、经营的效率和效果及对法律的遵守。注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。 内部控制 与审计相关 为实现财务报告可靠性目标设计和实施的控制 包括被审计单位为实现财务报告可靠性目标设计和实施的控制。CPA应当运用职业判断，考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序有关在运用职业判断时，CPA应当考虑下列因素：(1)被审计单位的性质；(2)被审计单位的规模；(3)被审计单位经营的多样性和复杂性；(4)法律法规和监管要求；(5)作为内部控制组成部分的系统的性质和复杂性 其他与审计相关的控制 CPA以前的经验以及在了解被审计单位及其环境过程中获得的信息，可以帮助CPA识别与审计相关的控制：(1)如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息，CPA应当考虑用以保证该信息完整性和准确性的控制可能与审计相关(2)如果用以保证经营效率、效果的控制以及对法律法规遵守的控制与实施审计程序时评价或使用的数据相关，CPA应当考虑这些控制可能与审计相关三、对内部控制了解的深度注册会计师通过询问、观察、检查和穿行测试了解被审计单位的内部控制，以评价内部控制设计的是否合理以及是否得到执行。　　在进一步程序中，针对设计合理且得到执行的控制，实施控制测试程序，目的是要确定内控的有效性。 了解的深度 要求 1．评价控制的设计 应当评价：(1)控制的设计，评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报(2)确定其是否得到执行，控制得到执行是指某项控制存在且被审计单位正在使用(3)设计不当的控制可能表明内部控制存在重大缺陷，CPA在确定是否考虑控制得到执行时，应当首先考虑控制的设计。如果控制设计不当，不需要再考虑控制是否得到执行 2．获取控制设计和执行的审计证据 通常实施下列风险评估程序，以获取有关控制设计和执行的审计证据：(1)询问被审计单位的人员(2)观察特定控制的运用(3)检查文件和报告(4)追踪交易在财务报告信息系统中的处理过程(穿行测试)注意：这些程序是风险评估程序在了解被审计单位内部控制方面的具体运用。询问本身并不足以评价控制的设计以及确定其是否得到执行，CPA应当将询问与其他风险评估程序结合使用 3.了解内部控制的步骤 了解内部控制包括四个重要的步骤：1.识别需要降低哪些风险以预防财务报表中发生重大错报。2.记录相关的内部控制。3.评估控制的执行，主要是实施穿行测试。4.评估内部控制的设计。 3．了解内部控制与测试控制运行有效性的关系 除非存在某些可以使控制得到一贯运行的自动化控制，CPA对控制的了解并不能够代替对控制运行有效性的测试。对控制运行有效性的测试称为控制测试四、内部控制的人工和自动化成分　　自动化控制的优势：可以大幅度的减少由于人工在运行过程中，出现的人为的一些偏差和失误。 内控成分 内部控制 影响 人工 内部控制一般包括批准和复核业务活动 1．被审计单位的性质和经营的复杂程度2．内部控制的人工成分在处理下列需要主观判断或酌情处理的情形时可能更为适当：(1)存在大额、异常或偶发的交易；(2)存在难以定义、防范或预见的错误；(3)为应对情况的变化，需要对现有的自动化控制进行调整；(4)监督自动化控制的有效性3．特定风险：(1)人工控制可能更容易被规避、忽视或凌驾；(2)人工控制可能不具有一贯性；(3)人工控制可能更容易产生简单错误或失误。相对于自动控制，人工控制的可靠性较差4．人工控制在下列情形中可能是不适当的：(1)存在大量或重复发生的交易；(2)事先可预见的错误能够通过自动化控制得以防范或发现；(3)控制活动可得到适当设计和自动化处理。 自动化特征 信息技术系统中的控制可能既有自动(如嵌入计算机程序的控制)，又有人工控制 1．被审计单位的性质和经营的复杂程度2．信息技术通常在下列方面提高被审计单位内部控制的效率和效果：(1)在处理大量的交易或数据时，一贯运用事先确定的业务规则，并进行复杂运算；(2)提高信息的及时性、可获得性及准确性；(3)有助于对信息的深入分析；(4)加强对被审计单位政策和程序执行情况的监督；(5)降低控制被规避的风险；(6)通过对操作系统、应用程序系统和数据库系统实施安全控制，提高不相容职务分离的有效性3．信息技术也可能对内部控制产生特定风险：(1)系统或程序未能正确处理数据，或处理了不正确的数据，或两种情况同时并存；(2)在未得到授权情况下访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易；(3)信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工；(4)未经授权改变主文档的数据；(5)未经授权改变系统或程序；(6)未能对系统或程序作出必要的修改；(7)不恰当的人为干预；(8)数据丢失的风险或不能访问所需要的数据注意：自动化控制只适用于处理比较标准的业务，出现异常的、特殊的业务时无法适用。　　五、内部控制的局限性　　内部控制存在固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证。内部控制存在的固有局限性包括： 固有局限性 案例 1．在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效 (1)被审计单位信息技术工作人员没有完全理解系统如何处理销售交易，为使系统能够处理新型产品的销售，可能错误地对系统进行更改(2)或者对系统的更改是正确的，但是程序员没能把此次更改转化为正确的程序代码 2．可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避 (1)管理层可能与客户签订背后协议，对标准的销售合同作出变动，从而导致确认收入发生错误(2)软件中的编辑控制旨在发现和报告超过赊销信用额度的交易，但这一控制可能被逾越或规避 3．对小型被审计单位的考虑 (1)小型被审计单位拥有的员工通常较少，限制了其职责分离的程度(2)业主凌驾于内部控制之上的可能性较大，CPA应当考虑一些关键领域是否存在有效的内部控制，包括考虑小型被审计单位总体的控制环境，特别是业主对内部控制及其重要性的态度、认识和采取的措施【例】【2008单选题5】C注册会计师负责对丙公司20×8年度财务报表进行审计。在了解内部控制时，C注册会计师遇到下列事项，请代为做出正确的专业判断。　　5.内部控制无论如何设计和执行只能对财务报告的可行性提供合理保证，其原因是（　）。　　A.建立和维护内部控制是丙公司管理层的职责　　B.内部控制的成本不应超过预期带来的收益　　C.在决策时人为判断可能出现错误　　D.对资产和记录采取适当的安全保护措施是丙公司管理层应当履行的经管责任六、控制环境　　控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。良好的控制环境是实施有效内部控制的基础。因此，财务报表层次的重大错报风险通常源自于薄弱的控制环境。　　注意：　　第一，控制环境对重大错报风险的评估具有广泛影响，控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报。　　第二，在了解和评价控制环境时（影响控制环境的因素），注册会计师应当考虑将询问与其他风险评估程序相结合以获取审计证据。　　1.对诚信和道德价值观念的沟通与落实：诚信和道德价值观念是控制环境的重要组成部分，影响到重要业务流程的设计和运行。　　2.对胜任能力的重视　　3.治理层的参与程度　　4.管理层的理念和经营风格　　注册会计师在了解和评估被审计单位管理层的理念和经营风格时，考虑的主要因素可能包括：　　（1）管理层是否对内部控制，包括信息技术的控制，给予了适当的关注；　　（2）管理层是否由一个或几个人所控制，而董事会、审计委员会或类似机构对其是否实施有效监督；　　（3）管理层在承担和监控经营风险方面是风险偏好者还是风险规避者；　　（4）管理层在选择会计政策和作出会计估计时是倾向于激进还是保守；　　（5）管理层对于信息管理人员以及财会人员是否给予了适当关注；　　（6）对于重大的内部控制和会计事项，管理层是否征询注册会计师的意见，或者经常在这些方面与注册会计师存在不同意见。　　5.组织结构及职权与责任的分配（1）在被审计单位内部是否有明确的职责划分（2）是否有适当的结构来划分数据的所有权（3）是否已针对授权交易建立适当的政策和程序　　6.人力资源政策与实务在被审计单位是否在招聘、培训、考核、晋升、薪酬、调动和辞退员工方面都有适当的政策和程序（特别是在会计、财务和信息系统方面）。　　七、被审计单位的风险评估过程　　1．目的。在评价被审单位风险评估过程的设计和执行时，CPA应确定管理层如何识别与财务报告相关的经营风险，如何估计该风险的重要性，如何评估风险发生的可能性，以及如何采取措施管理这些风险。如果被审单位的风险评估过程符合其具体情况，了解被审单位的风险评估过程和结果有助于CPA识别财务报表重大错报的风险。2．整体层面的风险评估过程考虑因素。CPA在对被审单位整体层面的风险评估过程进行了解和评估时，考虑的主要因素可能包括：（1）是否已建立并沟通其整体目标，并辅以具体策略和业务流程层面的计划；（2）是否已建立风险评估过程；（3）是否已建立某种机制，识别和应对可能对被审单位产生重大且普遍影响的变化；（4）会计部门是否建立了某种流程，以识别会计准则的重大变化；（5）当被审单位业务操作发生变化并影响交易记录的流程时，是否存在沟通渠道以通知会计部门；（6）风险管理部门是否建立了某种流程，以识别经营环境包括监管环境发生的重大变化。　　3．对风险评估过程的了解方法。　　（1）CPA可以通过了解被审单位及其环境的其他方面信息，评价被审单位风险评估过程的有效性。在对业务流程的了解中，CPA还可能进一步地获得被审单位有关业务流程的风险评估过程的信息。　　（2）CPA应询问管理层识别出的经营风险，并考虑这些风险是否可能导致重大错报。　　在审计过程中，如果发现与财务报表有关的风险因素，CPA可通过向管理层询问和检查有关文件确定被审单位的风险评估过程是否也发现了该风险。在审计过程中，如果识别出管理层未能识别的重大错报风险，CPA应考虑被审单位的风险评估过程为何没有识别出这些风险，以及评估过程是否适合于具体环境。　　八、信息系统与沟通　　1.与财务报告相关的信息系统　　与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。　　注意：　　第一，与财务报告相关的信息系统应当与业务流程相适应。　　第二，应当特别关注由于管理层凌驾于账户记录控制之上而产生的重大错报风险。　　自动化程序和控制可能降低了发生无意错误的风险，但是并没有消除个人凌驾于控制之上的风险。　　2.与财务报告相关的沟通　　与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责，员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。　　注意：　　注册会计师应当了解被审计单位内部如何对财务报告的，以及与财务报告相关的重大事项进行沟通。注册会计师还应当了解管理层与治理层（特别是审计委员会）之间的沟通，以及被审计单位与外部（包括与监管部门）的沟通。　　九、控制活动　　控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。　　1.授权　　授权的目的在于保证交易在管理层授权范围内进行。　　2.业绩评价　　注册会计师应当了解与业绩评价有关的控制活动，主要包括被审计单位分析评价实际业绩与预算的差异，以及对发现的异常差异或关系采取必要的调查与纠正。　　3.信息处理　　注册会计师应当了解与信息处理有关的控制活动。被审计单位通常执行各种措施，检查各种类型信息处理环境下的交易的准确性、完整性和授权。　　4.实物控制　　注册会计师应当了解实物控制，主要包括了解对资产和记录采取适当的安全保护措施，对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对。实物控制的效果影响资产的安全，从而对财务报表的可靠性及审计产生影响。　　5.职责分离　　注册会计师应当了解职责分离，主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。当信息技术运用于信息系统时，职责分离可以通过设置安全控制来实现。　　注意：　　第一，注册会计师对被审计单位整体层面的控制活动进行的了解和评估，主要是针对被审计单位的一般控制活动，特别是信息技术的一般控制。　　第二，控制活动主要影响业务流程层面。　　十、对控制的监督　　对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。　　被审计单位通过持续的监督活动、专门的评价活动或两者相结合，实现对控制的监督。　　　【例题4·单选题】A注册会计师负责对甲公司20×9年度财务报表进行审计，在了解内部控制时，A注册会计师遇到下列事项，请代为做出正确的专业判断。　　（1）在了解甲公司内部控制时，A注册会计师最应当关注的是（　）。　　A.内部控制是否按照管理层的意图，实现了经营效率　　B.内部控制是否能够防止或发现并纠正错误或舞弊　　C.内部控制是否明确区分控制要素　　D.内部控制是否没有因串通而失效　　『正确答案』B　　『答案解析』注册会计师应当重点考虑被审计单位某项控制，是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。　（2）在了解内部控制时，A注册会计师通常不实施的审计程序是（　）。　　A.了解控制活动是否得到执行　　B.了解内部控制的设计　　C.记录了解的内部控制　　D.寻找内部控制运行中的缺陷　　『正确答案』D　　『答案解析』选项D属于控制测试中测试控制执行有效性需要考虑的。第四节　评估重大错报风险　　一、评估财务报表层次和认定层次的重大错报风险　　（一）评估重大错报风险的审计程序　　在评估重大错报风险时，注册会计师应当实施下列审计程序： 审计程序 案例 1．在了解被审计单位及其环境的整个过程中识别风险，并考虑各类交易、账户余额、列报。CPA应当在了解被审计单位及其环境的整个过程中识别风险，并将识别的风险与各类交易、账户余额和列报相联系 被审计单位因相关环境法规的实施需要更新设备，将导致对原有设备提取减值准备；宏观经济的低迷可能预示应收账款的回收存在问题；竞争者开发的新产品上市，可能导致被审计单位的主要产品在短期内过时，预示将出现存货跌价和长期资产(如固定资产等)的减值 2．将识别的风险与认定层次可能发生错报的领域相联系 销售困难使产品的市场价格下降，可能导致年末存货减值而需要计提存货跌价准备，这显示存货的计价认定可能发生错报 3．考虑识别的风险是否重大(重大吗？) 上例中，除考虑产品市场价格下降因素外，CPA还应当考虑产品市场价格下降的幅度、该产品在被审计单位产品中的比重等，以确定识别的风险对财务报表的影响是否重大。假如产品市场价格大幅下降，导致产品销售收入不能抵偿成本，毛利率为负，那么年末存货跌价问题严重，存货计价认定发生错报的风险重大；假如价格下降的产品在被审计单位销售收入中所占比例很小，被审计单位其他产品销售毛利率很高，尽管该产品的毛利率为负，但可能不会出现年末存货发生重大跌价问题 4．考虑识别的风险导致财务报表发生重大错报的可能性（可能吗？） 考虑存货的账面余额是否重大，是否已适当计提存货跌价准备等。在某些情况下，尽管识别的风险重大，但仍不至于导致财务报表发生重大错报风险。例如，期末财务报表中存货的余额较低，尽管识别的风险重大，但不至于导致存货的计价认定发生重大错报风险。又如，被审计单位对于存货跌价准备的计提实施了比较有效的内部控制，管理层已根据存货的可变现净值，计提了相应的跌价准备。在这种情况下，财务报表发生重大错报的可能性将相应降低　　（二）识别两个层次的重大错报风险在对重大错报风险进行识别和评估后，注册会计师应当确定，识别的重大错报风险是与特定的某类交易、账户余额、列报的认定相关，还是与财务报表整体广泛相关，进而影响多项认定。　二、对风险评估的修正（略）如果通过实施进一步审计程序获取的审计证据与初始评估重大错报风险时获取的审计证据相矛盾，CPA应当修正风险评估结果，并相应修改原计划实施的进一步审计程序。因此，评估重大错报风险是一个连续和动态的收集、更新与分析信息的过程，贯穿于整个审计过程的始终。