1、 風險評估風險評估 審 計 學Auditing2022-3-41第八章第八章 風險評估風險評估 風險評估風險評估 審 計 學Auditing2022-3-42 總體要求 風險評估程序 了解被審計單位及其環境 內部控制及其評價 重大錯報風險的評估主要內容主要內容 風險評估風險評估 審 計 學Auditing2022-3-43要點要點u 中國注冊會計師審計準則中國注冊會計師審計準則1211號號了解被審計了解被審計單位的環境并評估重大錯報風險單位的環境并評估重大錯報風險u 注冊會計師應當了解被審計單位及其環境，以注冊會計師應當了解被審計單位及其環境，以充分識別和評估財務報表的重大錯報風險，設充分識別

2、和評估財務報表的重大錯報風險，設計和實施進一步的審計程序計和實施進一步的審計程序一、總體要求一、總體要求 風險評估風險評估 審 計 學Auditing2022-3-44要點要點u 了解被審計單位及其環境是一個了解被審計單位及其環境是一個連續連續和和動態動態地地收收集集、更新更新和和分析分析信息的過程，貫穿于整個審計過信息的過程，貫穿于整個審計過程的始終程的始終u 注冊會計師應當運用注冊會計師應當運用職業判斷職業判斷確定需要了解被審確定需要了解被審計單位及其環境的程度計單位及其環境的程度CPACPA是否需要達到管理層對于被是否需要達到管理層對于被審計單位一樣的了解程度審計單位一樣的了解程度? ?

3、一、總體要求一、總體要求 風險評估風險評估 審 計 學Auditing2022-3-45風險評估程序的類型風險評估程序的類型u 詢問被審計單位的管理層和內部其他相關人員詢問被審計單位的管理層和內部其他相關人員u 分析程序分析程序u 觀察和檢查觀察和檢查二、風險評估程序二、風險評估程序 風險評估風險評估 審 計 學Auditing2022-3-46詢問詢問u注冊會計師除了詢問管理層和對財務報告負有責注冊會計師除了詢問管理層和對財務報告負有責任的人員外任的人員外, ,還應考慮詢問內部審計人員、采購人還應考慮詢問內部審計人員、采購人員、生產人員、銷售人員等其他人員，并考慮詢員、生產人員、銷售人員等其

4、他人員，并考慮詢問不同級別的員工，以獲取對識別重大錯報風險問不同級別的員工，以獲取對識別重大錯報風險有用的信息有用的信息二、風險評估程序二、風險評估程序 風險評估風險評估 審 計 學Auditing2022-3-47分析程序分析程序u注冊會計師實施分析程序有助于識別注冊會計師實施分析程序有助于識別異常異常的交易的交易或事項，以及對財務報表和審計產生影響的或事項，以及對財務報表和審計產生影響的金額金額、比率比率和和趨勢趨勢u如果使用了如果使用了高度匯總高度匯總的數據，實施分析程序的結的數據，實施分析程序的結果僅可能果僅可能初步初步顯示財務報表存在重大錯報風險，顯示財務報表存在重大錯報風險，注冊會

5、計師應當將分析結果連同識別重大錯報風注冊會計師應當將分析結果連同識別重大錯報風險時獲取的其他信息一并考慮險時獲取的其他信息一并考慮二、風險評估程序二、風險評估程序 風險評估風險評估 審 計 學Auditing2022-3-48觀察與檢查觀察與檢查u 觀察被審計單位的生產經營活動觀察被審計單位的生產經營活動u 檢查文件、記錄和內部控制手冊檢查文件、記錄和內部控制手冊u 閱讀由管理層和治理層編制的報告閱讀由管理層和治理層編制的報告u 實地察看被審計單位的生產經營場所和設備實地察看被審計單位的生產經營場所和設備u 追蹤交易在財務報告信息系統中的處理過程（穿追蹤交易在財務報告信息系統中的處理過程（穿行

6、測試）行測試）二、風險評估程序二、風險評估程序 風險評估風險評估 審 計 學Auditing2022-3-49項目組內部討論項目組內部討論u討論的目標（交流信息與分享見解）討論的目標（交流信息與分享見解）u討論的內容（經營風險、錯報領域與方式、舞弊討論的內容（經營風險、錯報領域與方式、舞弊風險）風險）u討論的人員（關鍵成員、專家）討論的人員（關鍵成員、專家）u討論的時間和方式（持續交換信息、職業懷疑）討論的時間和方式（持續交換信息、職業懷疑）二、風險評估程序二、風險評估程序 風險評估風險評估 審 計 學Auditing2022-3-410為什么重要？為什么重要？u 不深入了解被審計單位及其環境

7、，根本就不可不深入了解被審計單位及其環境，根本就不可能知道被審計單位的財務報表可能在哪里會出錯，能知道被審計單位的財務報表可能在哪里會出錯，也無法界定什么錯報為也無法界定什么錯報為“重大重大”，更無法設計有，更無法設計有效的審計程序去發現錯報效的審計程序去發現錯報u “戰略系統審計觀戰略系統審計觀” 要求審計人員具有更廣闊要求審計人員具有更廣闊的視野和更發散的思維的視野和更發散的思維 三、了解被審計單位及其環境三、了解被審計單位及其環境 風險評估風險評估 審 計 學Auditing2022-3-411總體要求總體要求u行業狀況、法律環境與監管環境以及其他外部因素行業狀況、法律環境與監管環境以及

8、其他外部因素 u被審計單位的性質被審計單位的性質 u被審計單位對會計政策的選擇和運用被審計單位對會計政策的選擇和運用 三、了解被審計單位及其環境三、了解被審計單位及其環境 風險評估風險評估 審 計 學Auditing2022-3-412總體要求總體要求u被審計單位的目標、戰略以及相關經營風險被審計單位的目標、戰略以及相關經營風險 u被審計單位財務業績的衡量和評價被審計單位財務業績的衡量和評價 u被審計單位的內部控制被審計單位的內部控制 三、了解被審計單位及其環境三、了解被審計單位及其環境 風險評估風險評估 審 計 學Auditing2022-3-413外部環境因素外部環境因素u 行業狀況行業狀

9、況u 法律及監管環境法律及監管環境u 其他外部因素其他外部因素三、了解被審計單位及其環境三、了解被審計單位及其環境 風險評估風險評估 審 計 學Auditing2022-3-414被審計單位的性質被審計單位的性質u 所有權結構所有權結構u 治理結構治理結構u 組織結構組織結構u 經營活動經營活動u 投資活動投資活動u 籌資活動籌資活動l子公司或附屬公司子公司或附屬公司（subsidiary）l合營企業（合營企業（joint ventures）l聯營企業（聯營企業（affiliates or associates）三、了解被審計單位及其環境三、了解被審計單位及其環境 風險評估風險評估 審 計 學

10、Auditing2022-3-415被審計單位對會計政策的選擇和運用被審計單位對會計政策的選擇和運用u 重要項目的會計政策和行業慣例重要項目的會計政策和行業慣例u 重大和異常交易的會計處理方法重大和異常交易的會計處理方法u 在新領域和缺乏權威性標準或共識的領域，采用在新領域和缺乏權威性標準或共識的領域，采用重要會計政策產生的影響重要會計政策產生的影響u會計政策的變更會計政策的變更u被審計單位何時采用以及如何采用新頒布的會計被審計單位何時采用以及如何采用新頒布的會計準則和相關會計制度準則和相關會計制度三、了解被審計單位及其環境三、了解被審計單位及其環境 風險評估風險評估 審 計 學Auditin

11、g2022-3-416被審計單位的目標、戰略以及相關經營風險被審計單位的目標、戰略以及相關經營風險u經營風險源于對被審計單位實現目標和戰略產生經營風險源于對被審計單位實現目標和戰略產生不利影響的重大情況、事項、環境和行動，或源不利影響的重大情況、事項、環境和行動，或源于不恰當的目標和戰略于不恰當的目標和戰略u多數經營風險最終都會產生財務后果，從而影響多數經營風險最終都會產生財務后果，從而影響財務報表；注冊會計師應當根據被審計單位的具財務報表；注冊會計師應當根據被審計單位的具體情況考慮經營風險是否可能導致財務報表發生體情況考慮經營風險是否可能導致財務報表發生重大錯報重大錯報三、了解被審計單位及其

12、環境三、了解被審計單位及其環境 風險評估風險評估 審 計 學Auditing2022-3-417被審計單位的目標、戰略以及相關經營風險被審計單位的目標、戰略以及相關經營風險審計風險審計風險= 重大錯報風險重大錯報風險檢查風險檢查風險經營風險經營風險剩余風險剩余風險財務報表在審計前財務報表在審計前存在重大錯報的可存在重大錯報的可能性能性某一認定存在重大錯某一認定存在重大錯報而報而CPA未能發現的未能發現的可能性可能性三、了解被審計單位及其環境三、了解被審計單位及其環境 風險評估風險評估 審 計 學Auditing2022-3-418被審計單位財務業績的衡量和評價被審計單位財務業績的衡量和評價u被

13、審計單位內部或外部對財務業績的衡量和評價被審計單位內部或外部對財務業績的衡量和評價可能對管理層產生壓力，促使其采取行動改善財可能對管理層產生壓力，促使其采取行動改善財務業績或歪曲財務報表務業績或歪曲財務報表三、了解被審計單位及其環境三、了解被審計單位及其環境 風險評估風險評估 審 計 學Auditing2022-3-419內部控制的定義與目標（內部控制的定義與目標（COSOCOSO，19921992）u 內部控制（內部控制（internal controlinternal control）是被審計單位）是被審計單位為了合理保證為了合理保證財務報告的可靠性財務報告的可靠性、經營的效率和經營的效率

14、和效果效果以及對以及對法律法規的遵守法律法規的遵守，由治理層、管理層，由治理層、管理層和其他人員設計和執行的政策和程序和其他人員設計和執行的政策和程序四、內部控制及其評價四、內部控制及其評價 風險評估風險評估 審 計 學Auditing2022-3-420內部控制的要素內部控制的要素u控制環境（控制環境（control environmentcontrol environment）u風險評估（風險評估（ Risk Assessment Risk Assessment ）u控制活動（控制活動（ Control Activities Control Activities ）u信息系統與溝通（信息系

15、統與溝通（ Information System and Information System and Communication Communication ）u對于控制的監督（對于控制的監督（MonitoringMonitoring）四、內部控制及其評價四、內部控制及其評價 風險評估風險評估 審 計 學Auditing2022-3-421控制環境控制環境u控制環境包括治理職能和管理職能，以及治理層控制環境包括治理職能和管理職能，以及治理層和管理層對內部控制及其重要性的態度、認識和和管理層對內部控制及其重要性的態度、認識和措施措施u控制環境設定了組織的基調，影響著其員工的控控制環境設定了組織

16、的基調，影響著其員工的控制意識制意識 ，它是所有其他要素的基礎，它是所有其他要素的基礎四、內部控制及其評價四、內部控制及其評價 風險評估風險評估 審 計 學Auditing2022-3-422控制環境控制環境u 對誠信和道德價值觀念的溝通與落實對誠信和道德價值觀念的溝通與落實u 對勝任能力的重視對勝任能力的重視u 治理層的參與程度治理層的參與程度u 管理層的理念和經營風格管理層的理念和經營風格u 組織結構組織結構u 職權與責任的分配職權與責任的分配u 人力資源政策與實務人力資源政策與實務四、內部控制及其評價四、內部控制及其評價 風險評估風險評估 審 計 學Auditing2022-3-423控

17、制環境控制環境u 控制環境與財務報表層次重大錯報風險有關控制環境與財務報表層次重大錯報風險有關u 控制環境控制環境本身本身并不能防止或發現并糾正各類交易、并不能防止或發現并糾正各類交易、賬戶余額、列報認定層次的重大錯報賬戶余額、列報認定層次的重大錯報四、內部控制及其評價四、內部控制及其評價 風險評估風險評估 審 計 學Auditing2022-3-424風險評估風險評估u在評價被審計單位風險評估過程的設計和執行時，在評價被審計單位風險評估過程的設計和執行時，注冊會計師應當確定管理層如何注冊會計師應當確定管理層如何識別識別與財務報告相與財務報告相關的經營風險，如何估計該風險的關的經營風險，如何估

18、計該風險的重要性重要性，如何評，如何評估風險發生的估風險發生的可能性可能性，以及如何采取措施，以及如何采取措施管理管理這些這些風險風險內部控制與風險管理已更加緊密的結合在一內部控制與風險管理已更加緊密的結合在一起，起，COSO最新內部控制標準的名稱就是最新內部控制標準的名稱就是“企業風險管理框架企業風險管理框架”四、內部控制及其評價四、內部控制及其評價 風險評估風險評估 審 計 學Auditing2022-3-425控制活動控制活動u控制活動是指有助于確保管理層的指令得以執行控制活動是指有助于確保管理層的指令得以執行的政策和程序，包括與授權、業績評價、信息處的政策和程序，包括與授權、業績評價、

19、信息處理、實物控制和職責分離等相關的活動理、實物控制和職責分離等相關的活動控制活動應根據風險評估的結果控制活動應根據風險評估的結果而設計，經營風險越高的領域，而設計，經營風險越高的領域，越需要有效的控制活動越需要有效的控制活動四、內部控制及其評價四、內部控制及其評價 風險評估風險評估 審 計 學Auditing2022-3-426控制活動控制活動u 授權（授權（authorizationauthorization）（一般授權與特別授權）（一般授權與特別授權）u 業績評價（業績評價（performance reviewperformance review）u 信息處理（信息處理（informat

20、ion processinginformation processing）（一般控）（一般控制與應用控制）制與應用控制）u 實物控制（實物控制（physical controlphysical control）u 職責分離（職責分離（separation of dutiesseparation of duties）四、內部控制及其評價四、內部控制及其評價 風險評估風險評估 審 計 學Auditing2022-3-427信息系統與溝通信息系統與溝通u與財務報告相關的信息系統，包括用以生成、記錄、與財務報告相關的信息系統，包括用以生成、記錄、處理和報告交易、事項和情況，對相關資產、負債處理和報告交

21、易、事項和情況，對相關資產、負債和所有者權益履行經營管理責任的程序和記錄和所有者權益履行經營管理責任的程序和記錄u與財務報告相關的溝通包括使員工了解各自在與財與財務報告相關的溝通包括使員工了解各自在與財務報告有關的內部控制方面的務報告有關的內部控制方面的角色角色和和職責職責，員工之，員工之間的間的工作聯系工作聯系，以及向適當級別的管理層報告，以及向適當級別的管理層報告例外例外事項事項的方式的方式四、內部控制及其評價四、內部控制及其評價 風險評估風險評估 審 計 學Auditing2022-3-428對于控制的監督對于控制的監督u對控制的監督是指被審計單位評價內部控制在一對控制的監督是指被審計單

22、位評價內部控制在一段時間內段時間內運行有效性運行有效性的過程，該過程包括及時評的過程，該過程包括及時評價控制的設計和運行，以及根據情況的變化采取價控制的設計和運行，以及根據情況的變化采取必要的糾正措施必要的糾正措施u注冊會計師應當了解被審計單位對控制的注冊會計師應當了解被審計單位對控制的持續持續監監督活動和督活動和專門專門的評價活動的評價活動四、內部控制及其評價四、內部控制及其評價 風險評估風險評估 審 計 學Auditing2022-3-429五個要素之間的關系五個要素之間的關系四、內部控制及其評價四、內部控制及其評價 風險評估風險評估 審 計 學Auditing2022-3-430與審計相

23、關的控制與審計相關的控制u與審計相關的控制，與審計相關的控制，包括包括被審計單位為實現財務被審計單位為實現財務報告可靠性目標設計和實施的控制報告可靠性目標設計和實施的控制u如果用以保證經營效率、效果的控制以及對法律如果用以保證經營效率、效果的控制以及對法律法規遵守的控制與實施審計程序時評價或使用的法規遵守的控制與實施審計程序時評價或使用的數據相關數據相關，注冊會計師應當考慮這些控制可能與，注冊會計師應當考慮這些控制可能與審計相關審計相關四、內部控制及其評價四、內部控制及其評價 風險評估風險評估 審 計 學Auditing2022-3-431對內部控制了解的深度對內部控制了解的深度u 注冊會計師

24、在了解內部控制時，應當評價控制的設注冊會計師在了解內部控制時，應當評價控制的設計，并確定其是否得到執行計，并確定其是否得到執行u注冊會計師在確定是否考慮控制得到執行時，應當注冊會計師在確定是否考慮控制得到執行時，應當首首先考慮控制的設計先考慮控制的設計u 對內部控制的了解并不涉及控制的運行有效性對內部控制的了解并不涉及控制的運行有效性u除非存在某些可以使控制得到一貫運行的自動化控制，除非存在某些可以使控制得到一貫運行的自動化控制，注冊會計師對控制的了解并不能夠代替對控制運行有注冊會計師對控制的了解并不能夠代替對控制運行有效性的測試效性的測試四、內部控制及其評價四、內部控制及其評價 風險評估風險

25、評估 審 計 學Auditing2022-3-432控制的人工與自動化成分控制的人工與自動化成分u內部控制的人工成分在處理下列需要內部控制的人工成分在處理下列需要主觀判斷主觀判斷或或酌情酌情處理處理的情形時可能更為適當：的情形時可能更為適當：存在大額、異常或偶發的交易存在大額、異常或偶發的交易存在難以定義、防范或預見的錯誤存在難以定義、防范或預見的錯誤為應對情況的變化，需要對現有的自動化控制進行為應對情況的變化，需要對現有的自動化控制進行調整調整監督自動化控制的有效性監督自動化控制的有效性四、內部控制及其評價四、內部控制及其評價 風險評估風險評估 審 計 學Auditing2022-3-433

26、控制的人工與自動化成分控制的人工與自動化成分u注冊會計師應當考慮人工控制在下列情形中注冊會計師應當考慮人工控制在下列情形中可能是不適當的：可能是不適當的： 存在大量或重復發生的交易存在大量或重復發生的交易 事先可預見的錯誤能夠通過自動化控制得事先可預見的錯誤能夠通過自動化控制得以防范或發現以防范或發現 控制活動可得到適當設計和自動化處理控制活動可得到適當設計和自動化處理四、內部控制及其評價四、內部控制及其評價 風險評估風險評估 審 計 學Auditing2022-3-434對內部控制了解的兩個層面對內部控制了解的兩個層面u 整體層面整體層面u 業務流程層面業務流程層面業務流程層面內部控制的分為

27、兩種：業務流程層面內部控制的分為兩種：l預防性控制（預防性控制（preventive control）l檢查性控制（檢查性控制（detective control）四、內部控制及其評價四、內部控制及其評價 風險評估風險評估 審 計 學Auditing2022-3-435內部控制的局限性內部控制的局限性u在決策時人為在決策時人為判斷判斷可能出現錯誤和由于人為可能出現錯誤和由于人為失失誤誤而導致內部控制失效而導致內部控制失效u可能由于兩個或更多的人員進行可能由于兩個或更多的人員進行串通串通或管理層或管理層凌駕于內部控制之上而被規避凌駕于內部控制之上而被規避無論內部控制如何健全，無論內部控制如何健全

28、，CPA都必須對認定實施實質性程都必須對認定實施實質性程序，不得將實質性程序僅集中于例外事項上，也不能未經序，不得將實質性程序僅集中于例外事項上，也不能未經評估，直接將重大錯報風險設定為最大值評估，直接將重大錯報風險設定為最大值四、內部控制及其評價四、內部控制及其評價 風險評估風險評估 審 計 學Auditing2022-3-436識別和評估重大錯報風險的審計程序識別和評估重大錯報風險的審計程序u在了解被審計單位及其環境的整個過程中識別在了解被審計單位及其環境的整個過程中識別風險，并考慮與交易、賬戶余額、列報的關系風險，并考慮與交易、賬戶余額、列報的關系u將識別的風險與認定層次可能發生錯報的領

29、域將識別的風險與認定層次可能發生錯報的領域相聯系相聯系u考慮識別的風險是否重大考慮識別的風險是否重大u考慮識別風險導致報表發生重大錯報的可能性考慮識別風險導致報表發生重大錯報的可能性五、重大錯報風險的評估、溝通五、重大錯報風險的評估、溝通 風險評估風險評估 審 計 學Auditing2022-3-437可能存在重大錯報風險的情況可能存在重大錯報風險的情況u在經濟不穩定的地方開展業務在經濟不穩定的地方開展業務 u持續經營和資產流動性出現問題持續經營和資產流動性出現問題u融資能力受到限制融資能力受到限制u發生重大收購、重組事項發生重大收購、重組事項u重大關聯方交易重大關聯方交易u關鍵人員變動關鍵人

30、員變動u發生重大非常規交易發生重大非常規交易五、重大錯報風險的評估、溝通五、重大錯報風險的評估、溝通 風險評估風險評估 審 計 學Auditing2022-3-438識別兩個層次的重大錯報風險識別兩個層次的重大錯報風險u與報表整體相關的風險與報表整體相關的風險( (廣泛廣泛) )u與認定相關的風險與認定相關的風險五、重大錯報風險的評估、溝通五、重大錯報風險的評估、溝通 風險評估風險評估 審 計 學Auditing2022-3-439控制環境對評估報表層次重大錯報風險的影響控制環境對評估報表層次重大錯報風險的影響u對報表整體產生廣泛影響對報表整體產生廣泛影響u采取總體應對措施采取總體應對措施五、

31、重大錯報風險的評估、溝通五、重大錯報風險的評估、溝通 風險評估風險評估 審 計 學Auditing2022-3-440控制對評估認定層次重大錯報風險的影響控制對評估認定層次重大錯報風險的影響u控制有助于防止或發現、糾正認定層次重大錯報控制有助于防止或發現、糾正認定層次重大錯報u控制與認定的關系控制與認定的關系( (直接、間接直接、間接) )u控制的整體影響作用控制的整體影響作用五、重大錯報風險的評估、溝通五、重大錯報風險的評估、溝通 風險評估風險評估 審 計 學Auditing2022-3-441考慮財務報表的可審性考慮財務報表的可審性（auditabilityauditability）u內部

32、控制惡化致使會計信息存在重大問題內部控制惡化致使會計信息存在重大問題u對管理層誠信產生重大疑慮對管理層誠信產生重大疑慮u處理：保留意見或無法表示意見或解除約定處理：保留意見或無法表示意見或解除約定五、重大錯報風險的評估、溝通五、重大錯報風險的評估、溝通 風險評估風險評估 審 計 學Auditing2022-3-442特別風險（特別風險（significant risksignificant risk）u風險是否屬于舞弊風險風險是否屬于舞弊風險u風險是否與近期經濟環境、會計處理方法和風險是否與近期經濟環境、會計處理方法和其他方面的重大變化有關其他方面的重大變化有關u交易的復雜程度交易的復雜程度u風險是否涉及重大的關聯方交易風險是否涉及重大的關聯方交易五、重大錯報風險的評估、溝通五、重大錯報風險的評估、溝通 風險評估風險評估 審 計 學Auditing2022-3-443特別風險（特別風險（significant risksignificant risk）u財務信息計量的主觀程度，特別是對不確定事項財務信息計量的主觀程度，特別是對不確定事項的計量存在較大區間的計量存在較大區間u風險是