第九章 風險評估
     本章屬于審計基本理論中最重要的章節(jié)。在2007年和08年考試中都得到了充分的說明，平均考試分值18分，預計2009年本章內容涉及的考試分值也會在16分左右。對于第二節(jié)至第五節(jié)的內容，不僅是重點和難點，更重要的是處處都是考點，需要大家“地毯式”掌握。
    ★本章重點
    （1）了解被審計單位及其環(huán)境并識別和評估重大錯報風險的基本流程；
    （2）風險評估程序；
    （3）了解被審計單位及其環(huán)境的總體要求和具體應當了解的內容；
    （4）如何識別和評估重大錯報風險；
    （5）風險評估中應當記錄的事項。
    ▲本章難點
    （1）從整體層面和業(yè)務流程層面了解被審計單位內部控制；
    （2）如何識別和評估重大錯報風險。
    一、對風險評估的總體要求
    （一）總體要求
    《中國注冊會計師審計準則第1211號——了解被審計單位及其環(huán)境并評估重大錯報風險》作為專門規(guī)范風險評估的準則，規(guī)定CPA應當了解被審計單位及其環(huán)境，以充分識別和評估財務報表重大錯報風險，設計和實施進一步審計程序。
    （二）了解被審計單位及其環(huán)境的意義
    1．了解被審計單位及其環(huán)境是必要程序，特別是為CPA在下列關鍵環(huán)節(jié)作出職業(yè)判斷提供了重要基礎：（1）確定重要性水平，并隨著審計工作的進程評估對重要性水平的判斷是否仍然適當；（2）考慮會計政策的選擇和運用是否恰當，以及財務報表的列報是否適當；（3）識別需要特別考慮的領域，包括關聯(lián)方交易、管理層運用持續(xù)經(jīng)營假設的合理性，或交易是否具有合理的商業(yè)目的等；（4）確定在實施分析程序時所使用的預期值；（5）設計和實施進一步審計程序，以將審計風險降至可接受的低水平；（6）評價所獲取審計證據(jù)的充分性和適當性。
    二、風險評估程序和信息來源
    （一）風險評估程序
     風險評估程序包括：（1）詢問被審計單位管理層和內部其他相關人員；（2）分析程序；（3）觀察和檢查。
    三、了解被審計單位及其環(huán)境
    （一）、總體要求
    CPA應當從以下幾方面了解被審計單位及其環(huán)境：（1）行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素；（2）被審計單位的性質；（3）被審計單位對會計政策的選擇和運用；（4）被審計單位的目標、戰(zhàn)略以及相關經(jīng)營風險；（5）被審計單位財務業(yè)績的衡量和評價；（6）被審計單位的內部控制。
    （二）、行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素
    （三）、被審計單位的性質
     了解被審計單位的性質有助于CPA理解預期在財務報表中反映的各類交易、賬戶余額和列報。
    （四）、被審計單位對會計政策的選擇和運用
    （五）、被審計單位的目標、戰(zhàn)略以及相關經(jīng)營風險
    （六）、被審計單位財務業(yè)績的衡量和評價
    四、了解被審計單位的內部控制
     （一）、內部控制的含義和要素
    內部控制是被審計單位為了合理保證財務報告的可靠性、經(jīng)營的效率和效果以及對法律法規(guī)的遵守，由治理層、管理層和其他人員設計和執(zhí)行的政策和程序。
    1．內部控制的目標是合理保證。
    2.設計和實施內部控制的責任主體是治理層、管理層和其他人員，組織中的每一個人都對內部控制負有責任。
    3．實現(xiàn)內部控制目標的手段是設計和執(zhí)行控制政策和程序。
    4．內部控制的五要素是：（1）控制環(huán)境；（2）風險評估過程；（3）信息系統(tǒng)與溝通；（4）控制活動；
    （5）對控制的監(jiān)督。
    （二）、與審計相關的控制
     內部控制的目標旨在合理保證財務報告的可靠性、經(jīng)營的效率和效果以及對法律法規(guī)的遵守。CPA審計的目標是對財務報表是否存在重大錯報發(fā)表審計意見，CPA考慮與財務報表編制相關的內部控制，但目的并非對被審計單位內部控制的有效性發(fā)表意見。CPA需要了解和評價的內部控制只是與財務報表審計相關的內部控制，并非被審計單位所有的內部控制。
    （三）、內部控制的局限性
    內部控制存在固有局限性，無論如何設計和執(zhí)行，只能對財務報告的可靠性提供合理的保證。
    五、控制環(huán)境
    （一）控制環(huán)境的含義
    控制環(huán)境包括治理職能和管理職能，以及治理層和管理層對內部控制及其重要性的態(tài)度、認識和所采取的措施。
    在評價控制環(huán)境的設計和實施情況時，注冊會計師應當了解管理層在治理層的監(jiān)督下，是否營造并保持了誠實守信和合乎道德的文化，以及是否建立了防止或發(fā)現(xiàn)并糾正舞弊和錯誤的恰當控制。
    六、被審計單位的風險評估過程
    風險評估過程包括識別與財務報告相關的經(jīng)營風險，以及針對這些風險所采取的措施。CPA在對被審計單位整體層面的風險評估過程進行了解和評估時，考慮的主要因素可能包括：（1）被審計單位是否已建立并溝通其整體目標，并輔以具體策略和業(yè)務流程層面的計劃；（2）被審計單位是否已建立風險評估過程，包括識別風險，估計風險的重大性，評估風險發(fā)生的可能性以及確定需要采取的應對措施；（3）被審計單位是否已建立某種機制，識別和應對可能對被審計單位產(chǎn)生重大且普遍影響的變化，如在金融機構中建立資產(chǎn)負債管理委員會，在制造型企業(yè)中建立期貨交易風險管理組等；（4）會計部門是否建立了某種流程，以識別會計準則的重大變化；（5）當被審計單位業(yè)務操作發(fā)生變化并影響交易記錄的流程時，是否存在溝通渠道以通知會計部門；（6）風險管理部門是否建立了某種流程，以識別經(jīng)營環(huán)境包括監(jiān)管環(huán)境發(fā)生的重大變化。
    八、控制活動
    控制活動是指有助于確保管理層的指令得以執(zhí)行的政策和程序，包括與授權、業(yè)績評價、信息處理、實物控制和職責分離等相關的活動。
    對控制活動的了解
     在了解控制活動時，注冊會計師應當重點考慮一項控制活動單獨或連同其他控制活動，是否能夠以及如何防止或發(fā)現(xiàn)并糾正各類交易、賬戶余額、列報存在的重大錯報。注冊會計師的工作重點是識別和了解針對重大錯報可能發(fā)生的領域的控制活動。如果多項控制活動能夠實現(xiàn)同一目標，注冊會計師不必了解與該目標相關的每項控制活動。
    九、對控制的監(jiān)督
    對控制的監(jiān)督是指被審計單位評價內部控制在一段時間內運行有效性的過程，該過程包括及時評價控制的設計和運行，以及根據(jù)情況的變化采取必要的糾正措施。
    十、在整體層面上對內部控制了解和評估的總結
    在整體層面上對被審計單位內部控制的了解和評估，通常由項目組中對被審計單位情況比較了解且較有經(jīng)驗的成員負責，同時需要項目組其他成員的參與和配合。對于連續(xù)審計，CPA可以重點關注整體層面的內部控制的變化情況，包括由于被審計單位及其環(huán)境的變化而導致內部控制發(fā)生的變化以及采取的對策。
    CPA還需要特別考慮因舞弊而導致重大錯報的可能性及其影響。
    CPA可以考慮將詢問被審計單位人員、觀察特定控制的應用、檢查文件和報告以及執(zhí)行穿行測試等風險評估程序相結合，以獲取審計證據(jù)。在了解上述內部控制的構成要素時，CPA需要特別注意這些要素在實際中是否得到執(zhí)行。例如，通過詢問管理層和員工，了解管理層對內部控制的態(tài)度和道德價值觀念，以及如何就此與員工進行溝通；通過檢查文件、內部程序手冊、流程圖等，了解管理層是否建立了正式的行為守則；通過詢問和觀察，了解行為守則在Et常工作中是否得到遵守，以及管理層如何處理違反行為守則的情形；通過詢問被審計單位管理層，了解其風險評估過程，并復核記錄風險評估過程的文件；通過檢查和復核
    內部審計部門的工作程序以及報告等，確定管理層和員工是否執(zhí)行既定的政策和程序。
    十一、在業(yè)務流程層面了解內部控制
    （一）確定重要業(yè)務流程和重要交易類別
    （二）了解重要交易流程，并記錄獲得的了解
    （三）確定可能發(fā)生錯報的環(huán)節(jié)
    （四）識別和了解相關控制
     通過對被審計單位的了解，包括在被審計單位整體層面對內部控制各要素的了解，以及在上述程序中對重要業(yè)務流程的了解，CPA可以確定是否有必要進一步了解在業(yè)務流程層面的控制。在某些情況下，CPA之前的了解可能表明被審計單位在業(yè)務流程層面針對某些重要交易流程所設計的控制是無效的，或者CPA并不打算依賴控制，這時CPA沒有必要進一步了解在業(yè)務流程層面的控制。特別需要注意的是，如果認為僅通過實質性程序無法將認定層次的檢查風險降至可接受的水平，或者針對特別風險，CPA應當了解和評估相關的控制活動。
    如果CPA計劃對業(yè)務流程層面的有關控制進行進一步的了解和評價，那么針對業(yè)務流程中容易發(fā)生錯報的環(huán)節(jié)，CPA應當確定：（1）被審計單位是否建立了有效的控制，防止或發(fā)現(xiàn)并糾正這些錯報；（2）被審計單位是否遺漏了必要的控制；（3）是否識別了可以測試的控制。
    （五）執(zhí)行穿行測試，證實對交易流程和相關控制的了解
    （六）初步評價和風險評估
    （七）對財務報告流程的了解和評估
    十二、評估重大錯報風險
    一、識別和評估財務報表層次和認定層次的重大錯報風險
    （一）、識別和評估財務報表層次和認定層次的重大錯報風險
    CPA應當識別和評估財務報表層次以及各類交易、賬戶余額、列報認定層次的重大錯報風險。
    在識別和評估重大錯報風險時，注冊會計師應當實施下列審計程序。
    1.在了解被審計單位及其環(huán)境的整個過程中識別風險，并考慮各類交易、賬戶余額、列報。注冊會計師應當運用各項風險評估程序，在了解被審計單位及其環(huán)境的整個過程中識別風險，并將識別的風險與各類交易、賬戶余額和列報相聯(lián)系。
    2.將識別的風險與認定層次可能發(fā)生錯報的領域相聯(lián)系。
    3.考慮識別的風險是否重大。風險是否重大是指風險造成后果的嚴重程度。
    4.考慮識別的風險導致財務報表發(fā)生重大錯報的可能性。
    注冊會計師應當利用實施風險評估程序獲取的信息，包括在評價控制設計和確定其是否得到執(zhí)行時獲取的審計證據(jù)，作為支持風險評估結果的審計證據(jù)。注冊會計師應當根據(jù)風險評估結果，確定實施進一步審計程序的性質、時間和范圍。
    （二）可能表明被審計單位存在重大錯報風險的事項和情況
    注冊會計師應當充分關注可能表明被審計單位存在重大錯報風險的事項和情況，并考慮由于上述事項和情況導致的風險是否重大，以及該風險導致財務報表發(fā)生重大錯報的可能性。
    （三）識別兩個層次的重大錯報風險
    在對重大錯報風險進行識別和評估后，注冊會計師應當確定，識別的重大錯報風險是與特定的某類交易、賬戶余額、列報的認定相關，還是與財務報表整體廣泛相關，進而影響多項認定。
    某些重大錯報風險可能與特定的某類交易、賬戶余額、列報的認定相關。
    某些重大錯報風險可能與財務報表整體廣泛相關，進而影響多項認定。
    （四）控制環(huán)境對評估財務報表層次重大錯報風險的影響
    財務報表層次的重大錯報風險很可能源于薄弱的控制環(huán)境。薄弱的控制環(huán)境帶來的風險可能對財務報表產(chǎn)生廣泛影響，難以限于某類交易、賬戶余額、列報，注冊會計師應當采取總體應對措施。
    （五）控制對評估認定層次重大錯報風險的影響
    在評估重大錯報風險時，注冊會計師應當將所了解的控制與特定認定相聯(lián)系。
    控制可能與某一認定直接相關，也可能與某一認定間接相關。關系越間接，控制在防止或發(fā)現(xiàn)并糾正認定中錯報的作用越小。
    注冊會計師應當考慮對識別的各類交易、賬戶余額和列報認定層次的重大錯報風險予以匯總和評估，以確定進一步審計程序的性質、時間和范圍。
    （六）考慮財務報表的可審計性
    注冊會計師在了解被審計單位內部控制后，可能對被審計單位財務報表的可審計性產(chǎn)生懷疑。如果通過對內部控制的了解發(fā)現(xiàn)下列情況，并對財務報表局部或整體的可審計性產(chǎn)生疑問，注冊會計師應當考慮出具保留意見或無法表示意見的審計報告：（1）被審計單位會計記錄的狀況和可靠性存在重大問題，不能獲取充分、適當?shù)膶徲嬜C據(jù)以發(fā)表無保留意見；（2）對管理層的誠信存在嚴重疑慮。必要時，注冊會計師應當考慮解除業(yè)務約定。
    二、需要特別考慮的重大錯報風險
    （一）特別風險的含義
    作為風險評估的一部分，注冊會計師應當運用職業(yè)判斷，確定識別的風險哪些是需要特別考慮的重大錯報風險（以下簡稱特別風險）。
    （二）確定特別風險時應考慮的事項
    （三）非常規(guī)交易和判斷事項導致的特別風險
    日常的、不復雜的、經(jīng)正規(guī)處理的交易不太可能產(chǎn)生特別風險。特別風險通常與重大的非常規(guī)交易和判斷事項有關。
    非常規(guī)交易是指由于金額或性質異常而不經(jīng)常發(fā)生的交易。判斷事項通常包括做出的會計估計。
    （四）考慮與特別風險相關的控制
    了解與特別風險相關的控制，有助于注冊會計師制定有效的審計方案予以應對。對特別風險，注冊會計師應當評價相關控制的設計情況，并確定其是否已經(jīng)得到執(zhí)行。由于與重大非常規(guī)交易或判斷事項相關的風險很少受到日?？刂频募s束，注冊會計師應當了解被審計單位是否針對該特別風險設計和實施了控制。
    如果管理層未能實施控制以恰當應對特別風險，注冊會計師應當認為內部控制存在重大缺陷，并考慮其對風險評估的影響。在此情況下，注冊會計師應當就此類事項與治理層溝通。
    三、僅通過實質性程序無法應對的重大錯報風險
    作為風險評估的一部分，如果認為僅通過實質性程序獲取的審計證據(jù)無法將認定層次的重大錯報風險降至可接受的低水平，注冊會計師應當評價被審計單位針對這些風險設計的控制，并確定其執(zhí)行情況。
    在被審計單位對日常交易采用高度自動化處理的情況下，審計證據(jù)可能僅以電子形式存在，其充分性和適當性通常取決于自動化信息系統(tǒng)相關控制的有效性，注冊會計師應當考慮僅通過實施實質性程序不能獲取充分、適當審計證據(jù)的可能性。
    十三、與治理層和管理層的溝通
    （一）、就內部控制重大缺陷與治理層和管理層溝通
    注冊會計師在了解和測試內部控制的過程中可能會注意到內部控制存在的重大缺陷。注冊會計師將其告知適當層次的管理層或治理層，將有助于管理層和治理層履行其在內部控制方面的職責。因此，注冊會計師應當及時將注意到的內部控制設計或執(zhí)行方面的重大缺陷，告知適當層次的管理層或治理層。
    下列情況通常表明內部控制存在重大缺陷：
    1.注冊會計師在審計工作中發(fā)現(xiàn)了重大錯報，而被審計單位的內部控制沒有發(fā)現(xiàn)這些重大錯報；
    2.控制環(huán)境薄弱；
    3.存在高層管理人員舞弊跡象（無論涉及金額大?。?。
    （二）、就重大錯報風險的控制與治理層溝通
    如果識別出被審計單位未加控制或控制不當?shù)闹卮箦e報風險，或認為被審計單位的風險評估過程存在重大缺陷，注冊會計師應當就此類內部控制缺陷與治理層溝通。
    習題
    單選【例題】在進行風險評估時，C 注冊會計師通常采用的審計程序是（ ）。
    A. 將財務報表與其所依據(jù)的會計記錄相核對
    B. 實施分析程序以識別異常的交易或事項，以及對財務報表和審計產(chǎn)生影響的金額、比率和趨勢
    C. 對應收賬款進行函證
    D. 以人工方式或使用計算機輔助審計技術，對記錄或文件中的數(shù)據(jù)計算準確性進行核對
    【答案】B
    【解析】注冊會計師實施風險評估程序的目的是為了評估重大錯報風險，選項A、C、D的審計程序都是為了獲取認定層次是否存在重大錯報的審計證據(jù)，選項B中所實施的分析程序主要是為了評估重大錯報風險，故選項B正確。
     單選【例題】下列有關項目組內部討論說法錯誤的是（　?。?BR>    Ａ.項目組成員應當在整個審計過程中持續(xù)交換有關財務報表發(fā)生重大錯報可能性的信息
    Ｂ.項目組成員應當討論財務報表容易發(fā)生錯報的領域以及發(fā)生錯報的方式
    Ｃ.項目組內部討論有助于確定進一步審計程序的性質、時間和范圍的影響
    Ｄ.擁有信息技術或其他特殊技能的專家也應當參與項目組討論
    【答案】D
    【解析】 如果項目組需要擁有信息技術或其他特殊技能的專家，這些專家也應參與討論。如果不需要，則這些專家不應當參與項目組討論。
    單選 【例題】注冊會計師了解被審計單位及其環(huán)境的目的是（ ）。
    A．為了進行風險評估程序
    B．收集充分適當?shù)膶徲嬜C據(jù)
    C．為了識別和評估財務報表重大錯報風險
    D．控制檢查風險
    【答案】C
    【解析】注冊會計師就是為了恰當?shù)淖R別出財務報表重大錯報才去了解被審計單位及其環(huán)境。
    多選【例題】 戊公司下列控制活動中，屬于經(jīng)營業(yè)績評價方面的有（?。?。
    A. 由內部審計部門定期對內部控制的設計和執(zhí)行效果進行評價
    B. 定期與客戶對賬并發(fā)現(xiàn)的差異進行調查
    C. 對照預算、預測和前期實際結果，對公司的業(yè)績復核和評價
    D. 綜合分析財務數(shù)據(jù)和經(jīng)營數(shù)據(jù)之間的內在關系
    【答案】CD
    【解析】選項A是注冊會計師了解被審計單位對內部控制監(jiān)督的內容；選項B主要是確保銷售業(yè)務發(fā)生和準確性的控制活動；選項C和D是管理層為了進行衡量和評價經(jīng)營業(yè)績的控制活動，故選項C和D正確。
    歷年考題
    單項選擇題
    C注冊會計師負責對丙公司20×7年度財務報表進行審計。在考慮重要性和審計風險時，C注冊會計師遇到下列事項，請代為做出正確的專業(yè)判斷。
    1．在進行風險評估時，C注冊會計師通常采用的審計程序是（?。?。
    A．將財務報表與其所依據(jù)的會計記錄相核對
    B．實施分析程序以識別異常的交易或事項，以及對財務報表和審計產(chǎn)生影響的金額、比率和趨勢
    C．對應收賬款進行函證
    D．以人工方式或使用計算機輔助審計技術，對記錄或文件中的數(shù)據(jù)計算準確性進行核對
    【答案】B
    【解析】在風險評估時，審計人員常用的審計程序有詢問被審計管理層和內部其他相關人員、實施分析程序、觀察和檢查。選項A是實質性程序；選項B是在風險評估程序時運用的分析程序；選項C是實質性程序；選項D是實質性程序，所以正確的答案是選項B。
    多項選擇題
    E注冊會計師負責對戊公司20×7年度財務報表進行審計。在了解戊公司內部控制時，E注冊會計師遇到下列事項，請代為做出正確的專業(yè)判斷。
    1．在了解控制環(huán)境時，E注冊會計師應當關注的內容有（?。?。
    A．戊公司治理層相對于管理層的獨立性
    B．戊公司管理層的理念和經(jīng)營風格
    C．戊公司員工整體的道德價值觀
    D．戊公司對控制的監(jiān)督
    【答案】ABC
    【解析】選項A，要考慮治理層的參與程度，治理層對控制環(huán)境的影響要素包括有治理層相對于管理層的獨立性；選項B，管理層負責企業(yè)的運作以及經(jīng)營策略和程序的制定、執(zhí)行與監(jiān)督，管理層的理念包括管理層對內部控制的理念；選項C，在確定控制環(huán)境的要素是否得到執(zhí)行時，通過詢問管理層和員工，注冊會計師可能了解管理層如何就業(yè)務規(guī)程和道德價值觀念與員工進行溝通；選項D，對控制的監(jiān)督和控制環(huán)境都屬于內部控制所包括的要素，所以對控制的監(jiān)督并不是了解控制環(huán)境時應該關注的內容。
    2．戊公司下列控制活動中，屬于經(jīng)營業(yè)績評價方面的有（?。?BR>    A．由內部審計部門定期對內部控制的設計和執(zhí)行效果進行評價
    B．定期與客戶對賬并發(fā)現(xiàn)的差異進行調查
    C．對照預算、預測和前期實際結果，對公司的業(yè)績復核和評價
    D．綜合分析財務數(shù)據(jù)和經(jīng)營數(shù)據(jù)之間的內在關系
    【答案】CD
    【解析】注冊會計師應當了解和業(yè)績評價有關的控制活動，主要包括被審計單位分析評價實際業(yè)績與預算（或預測、前期業(yè)績）的差異，綜合分析財務數(shù)據(jù)與經(jīng)營數(shù)據(jù)的內在關系，將內部證據(jù)與外部信息來源相比較，評價職能部門分支機構或項目活動的業(yè)績，以及對發(fā)現(xiàn)的異常差異或關系采取必要的調查與糾正措施。
    3．在了解戊公司內部控制時，E注冊會計師通常采用的程序有（?。?BR>    A．查閱內部控制手冊
    B．追蹤交易在財務報告信息系統(tǒng)中的處理過程
    C．重新執(zhí)行某項控制
    D．現(xiàn)場觀察某項控制的運行
    【答案】ABD
    【解析】重新執(zhí)行用于控制測試，并不是用于了解內部控制，所以選項C是錯誤的。