[内部审计]风险评估(powerpoint 220页)(1).pptx

来自中国最大的资料库下载第七章第七章 风风 险险 评评 估估 v 第七章第七章 风风 险险 评评 估估 v教学目的与要求教学目的与要求：通过学习本章，掌握风险导向审计的基本理念，了解审计的实施要以评估风险为切入点，将对审计风险的识别、评估和应对贯穿于整个审计过程，将审计风险降低至可接受的水平，为经审计的财务报表不存在重大错报提供合理保证。v教学重点教学重点：理解并掌握现代审计的一项重要程序即风险评估。v教学难点教学难点：风险评估程序，了解被审计单位的风险评估过程，识别和评估重大错报风险，重大错报风险的两个层次。v教学方法教学方法：运用案例及启发式教学。v本章计划课时本章计划课时：3课时课时。第一节第一节 风险评估概述风险评估概述v风险导向审计的基本理念，就是审计的实施要以评估风险为切入点，将对审计风险的识别、评估和应对贯穿于整个审计过程，将审计风险降低至可接受的水平，为经审计的财务报表不存在重大错报提供合理保证。v因此，风险评估是现代审计的一项重要程序。一、风险评估的总体要求 v风险评估是指以了解被审计单位及其环境为内容，以识别和评估财务报表重大错报风险为目的，在设计和实施进一步审计程序之前实施的程序。v中国注册会汁师审计准则第1211号了解被审计单位及其环境并评估重大错报风险作为专门规范风险评估的准则，规定注册会计师应当了解被审计单位及其环境，以充分识别和评估财务报表重大错报风险，设计和实施进一步审计程序。风险评估的总体要求：v 1、要求审计人员加强对审计单位及其环境的了解。v2、要求审计人员在审计的所有阶段都要实施风险评估程序。v3、要求审计人员将识别和评估的风险与实施的审计程序挂钩。v4、要求审计人员针对重大的各类交易、账户余额和列报实施实质性程序。v5、要求审计人员将识别、评估和应对风险的关键程序形成审计工作记录，以保证执业质量，明确执业责任。了解被审计单位及其环境是必要程序，特别是为审计人员在下列关键环节做出职业判断提供重要基础：（1）确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；（2）考虑会计政策的选择和运用是否恰当，以及财务报表的列报是否适当；（3）识别需要特别考虑的领域，包括关联方交易、管理层运用持续经营假设的合理性，或交易是否具有合理的商业目的等；（4）确定在实施分析程序时所使用的预期值；（5）设计和实施进一步审计程序，以将审计风险降至可接受的低水平；（6）评价所获取审计证据的充分性和适当性。v了解被审计单位及其环境是一个连续和动态地收集、更新与分析信息的过程，贯穿于整个审计过程的始终。审计人员应当运用职业判断确定需要了解被审计单位及其环境的程度，只有这样，才有可能作出恰当的职业判断。v审计人员应当将识别的风险与认定层次可能发生的错报的领域相联系，实施更为严格的风险评估程序，不得未经过风险评估，直接将风险设定为高水平。v在设计和实施进一步审计程序时，审计人员应当将审计程序的性质、时间和范围与识别、评估的风险相联系，以防止机械利用程序表从形式上迎合审计准则对程序的要求。v审计人员对重大错报风险的评估是一种判断，被审计单位内部控制存在固有限制，无论评估的重大错报风险结果如何，审计人员都应当针对重大的各类交易、账户余额和列报实施实质性程序。不得将实质性程序只集中在例外事项上。二、风险评估程序和信息来源v审计人员为了了解被审计单位及其环境应当实施的风险评估程序主要包括询问被审计单位管理层和内部其他相关人员、分析程序、观察和检查、其他审计程序。(一)询问被审计单位管理层和内部其他相关人员v询问被审计单位管理层和内部其他相关人员是审计人员了解被审计单位及其环境的一个重要的程序和重要信息来源。审计人员可以考虑向管理层和财务负责人询问下列事项：(1)管理层所关注的主要问题。如新的竞争对手、主要客户和供应商的流失、新的税收法规的实施以及经营目标或战略的变化等。(2)被审计单位的财务状况和最近的经营成果及现金流量。(3)可能影响财务报告的交易和事项，或者目前发生的重大会计处理问题，如重大的购并事宜等。(4)被审计单位发生的其他重要变化，如所有权结构、组织结构的变化，以及内部控制的变化等。v为了更好地识别和评估风险，审计人员还应当考虑询问内部审计人员、采购人员、生产人员、销售人员等其他人员，并考虑询问不同层次的员工，以便从不同的视角获取对识别重大错报风险有用的信息。v询问治理层有助于审计人员了解财务报表编制的环境；v询问内部审计人员有助于审计人员了解被审计单位内部审计针对内部控制设计和运行的有效性所实施的工作，也可以了解管理层对内部审计发现的问题是否采取了适当的行动；v询问参与生成、处理或记录复杂或异常交易的员工有助于审计人员评估被审计单位选择和运用某项会计政策的适当性；v询问内部法律顾问有助于审计人员了解有关诉讼、法律法规的遵循情况，影响被审计单位的舞弊或涉嫌舞弊、产品保证和售后责任，与业务合作伙伴的安排(如合营企业)以及合同条款的含义；v询问营销或销售人员有助于审计人员了解被审计单位的营销策略及其变化、销售趋势或与其客户的合同安排；v询问采购人员和生产人员有助于审计人员了解被审计单位的原材料采购和产品生产等情况；v询问仓库管理人员有助于审计人员了解原材料、产成品等存货的进出、保管和盘点等情况。(二)实施分析程序v分析程序是指审计人员通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系，对财务信息做出评价。v分析程序还包括调查识别出的、与其他相关信息不一致或与预期数据严重偏离的波动和关系。v分析程序既可用作风险评估程序和实质性程序，也可用于对财务报表的总体复核。v审计人员实施分析程序有助于识别异常的交易或事项，以及对财务报表和审计产生影响的金额、比率和趋势。v在实施分析程序时，审计人员应当预期可能存在的合理关系，并与被审计单位记录的金额、依据记录金额计算的比率或趋势相比较；如果发现异常或未预期到的关系，审计人员应当在识别重大错报风险时考虑这些比较结果。例如：v毛利率是销售毛利对销售收入的比率，它体现了销售收入与销售成本之间的内在联系。v如果本期的生产及销售情况没有重要变化，那么本期的毛利率与上期的毛利率也应大体相等。v如果由于原材料价格上升导致产品成本大幅提高而毛利率却没有变化。说明销售成本的列报可能存在重大错报风险，应实施进一步程序加以核实。v另外，如果使用了高度汇总的数据，实施分析程序的结果仅可能初步显示财务报表存在重大错报风险，审计人员应当将分析结果连同识别重大错报风险时获取的其他信息一并考虑。(三)观察和检查v观察和检查程序可以印证对管理层和其他相关人员的询问结果，并可提供有关被审计单位及其环境的信息。审计人员可实施的观察和检查程序包括五个方面：（1）观察被审计单位的生产经营活动（2）检查有关书面文件和记录（3）阅读由管理层和治理层编制的报告（4）实地察看被审计单位的生产经营场所和设备（5）追踪交易在财务报告信息系统中的处理过程(穿行测试)。穿行测试v这是审计人员了解被审计单位业务流程及其相关控制时经常使用的审计程序。v通过追踪某笔或某几笔交易在业务流程中如何生成、记录、处理和报告，以及相关控制如何执行，审计人员可以确定被审计单位的交易流程和相关控制是否与之前通过其他程序所获得的了解一致，并确定相关控制是否得到执行。（四）其他审计程序和信息来源v例如，询问被审计单位聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等；阅读外部的信息，如证券分析师、银行、评级机构出具的有关被审计单位及其所处行业的经济或市场环境等状况的报告，贸易与经济方面的期刊杂志、法规或金融出版物，以及政府部门或民间组织发布的行业报告和统计数据等。v审计人员一般从行业状况、法律环境等外部因素、被审计单位的性质等六个方面了解被审计单位及其环境，审计人员无需在了解每个方面时都实施以上所有的风险评估程序。v但在对被审计单位及其环境获取了解的整个过程中，审计人员通常会综合实施上述风险评估程序。三、项目组内部的讨论v为了有效地实施风险评估程序，准确识别和评估重大错报风险，审计业务项目组成员应就财务报表存在重大错报风险的可能性进行讨论。v讨论的内容包括被审计单位面临的经营风险、财务报表易发生错报的领域和发生错报的方式，尤其要关注由于舞弊导致重大错报风险的可能性。v参与讨论的人员包括项目组的关键成员。如果项目组需要拥有信息技术或其他特殊技能的专家，这些专家也应参加讨论。v讨论的方式可视具体情况而定，在整个审计过程中项目组成员要持续交换有关财务报表发生重大错报可能性的信息。第二节第二节 了解被审单位及其环境了解被审单位及其环境从六个方面了解：(1)行业状况、法律环境与监管环境以及其他外部因素；(2)被审计单位的性质；(3)被审计单位对会计政策的选择和运用；(4)被审计单位的目标战略以及相关经营风险；(5)被审计单位财务业绩的衡量和评价；(6)被审计单位的内部控制。审计人员被审计单位及其环境的各个方面可能会互相影响。在对被审计单位及其环境的各个方面进行了解和评估时，应当考虑各因素之间的相互关系。一、行业状况、法律环境与监管环境以及其他外部因素(一)了解的具体内容 1、行业状况 2、法律环境及监管环境 3、其他外部因素 4、了解的重点和程度 了解行业状况有助于审计人员识别与被审计单位所处行业有关的重大错报风险。审计人员应当了解的行业状况主要包括：(1)所处行业的市场供求与竞争；(2)生产经营的季节性和周期性；(3)产品生产技术的变化：(4)能源供应与成本；(5)行业的关键指标和统计数据。了解的主要内容包括：(1)适用的会计准则、会计制度和行业特定惯例；(2)对经营活动产生重大影响的法律法规及监管活动；(3)对开展业务产生重大影响的政府政策，包括货币、财政、税收和贸易等政策；(4)与被审计单位所处行业和所从事经营活动相关的环保要求。这些因素主要包括：(1)宏观经济的景气度；(2)利率和资金供求状况；(3)通货膨胀水平及币值变动；(4)国际经济环境和汇率变动。v审计人员应当考虑被审计单位所处行业的能导致特定的重大错报风险，考虑项目组是否配备了具有相关知识和经验的成员。(二)实施的风险评估程序v了解被审计单位的行业状况、法律环境与监管环境以及其他外部因素，审计人员可以运用以下风险评估程序：1、查阅以前年度的审计工作底稿 2、询问被审计单位管理层和员工 3、查阅内部与外部的信息资料 4、与项目组成员或熟悉被审计单位所处行业的其他人员讨论 5、分析程序v对于连续审计业务，以前年度的工作底稿，包括审计计划备忘录、审计总结备忘录等，有助于审计人员了解与特定经营活动和行业相关的一些因素。审计人员应根据本年度发生的变化，在适当时对其予以更新并用于本年度的审计工作中。v通过询问被审计单位管理层其权责范围内涉及的重要外部因素及其对被审计单位产生的影响，审计人员可以对管理层作出的重大决策及采取的行动有进一步的了解。v通过询问负责市场和销售的人员所处行业的市场供求和竞争情况，可以增强或更新审计人员对被审计单位所处环境的了解。v对于连续审计业务，审计人员询问的重点通常是以前年度了解到的情况是否在本期发生了变化。v审计人员对最新动态的关注应当贯穿于整个审计过程中。v 内部信息资料主要包括中期财务报告(包括管理层的讨论和分析)、管理报告、其他特殊目的报告以及股东大会、董事会会议、高级管理层会议的会议记录或纪要。v外部信息资料包括外部顾问、代理机构、证券分析师等编制的关于被审计单位及其所处行业的报告，政府部门或民间行业组织发布的行业报告、宏观经济统计数据、行业统计数据以及贸易和商业杂志等信息资料。v与项目组成员特别是经验较多的人员进行讨论，有助于审计人员获知和利用他人积累的有关被审计单位经营活动以及行业状况的经验与知识。与会计师事务所内熟悉被审计单位所处行业的其他人员讨论，也有助于审计人员深入、快捷地了解当前行业面临的外部因素与重大事项及其对被审计单位的影响。v分析程序是审计人员在了解被审计单位及其环境时运用的重要程序之一。v在许多情况下，运用分析程序可以帮助审计人员评价被审计单位在行业中的经营状况和竞争环境。例如：(1)将被审计单位的关键业绩指标与同行业平均数据或同行业中规模相近的其他单位的数据相比较，可以了解被审计单位在市场中的相对表现，并识别存在重大错报风险的迹象；(2)利用从外部获取的市场份额变化趋势信息，可以识别被审计单位竞争能力的重大变化；(3)按业务分部或地区分部分类计算的销售和毛利变动趋势可以揭示经营业绩随时间推移而发生的变化，将这一业绩与以前年度比较，可以获得对经营业绩趋势的了解。综合题vX公司系公开发行上市公司,主要经营计算机硬件的开发.集成与销售,cpa于2003年初对X公司2002年度会计报表进行审计，初步了解该公司2002年度的经营形势.管理及经营机构与2001年度比较未发生重大变化，且未发生重大重组行为。其他相关资料如下：v如资料：x公司0102年度巳审未审利润表如下 项 目02年未审01年已审一、主营业务收入10430058900减：主营业务成本9184553599 主营业务税金及附加560350二、主营业务利润118954951加：其他业务利润4056减：营业费用28001610 管理费用23803260 财务费用180150三、营业利润6575-13加：补贴收入980 营业外收入100150减：营业外支出260300四、利润总额7395-163减：所得税33800五、净利润6595-163资料x公司02年度1-12月份未审主营业务收入、成本列示如下：月份主营业务收入主营业务成本17800756627600676437400651247700676857800698167850694777950711587700683097600683210790071111181007280121890015139合计10430091845v要求：v1.为确定重点审计领域，cpa拟实施分析程序。请对资料一进行分析后，指出利润表中的重点审计领域，并简要说明理由：v对资料二进行分析后，指出主营业务收入和主营业务成本的重点审计领域，并简要说明理由。v参答参答：v对资料一进行分析程序后，确定主营业务收入、主营业务成本、营业费用、管理费用、财务费用、补贴收入、所得税确认为重点审计领域。原因为：从横向分析看，主营业务收入、主营业务成本、营业费用的增长率分别为77.1%、71.4%、73.9%、增长变动大，应确认为重点审计领域。在收入、成本、利润都增长时，02年度的管理费用比01年降低了27%，应确认为重点审计领域。980万补贴收入、800万所得税都是02年新增加的核算内容，应确认为重点审计领域。v对资料二进行分析程序后，确定1月份、12月份的主营业务收入、主营业务成本为重点审计领域。因为全年平均毛利率为11.94%，1月份仅3%、12月份为19.9%，且12月份收入占全年比重达18.12%二、被审计单位的性质 v了解被审计单位的性质有助于审计人员理解预期在财务报表中反映的各类交易、账户余额和列报。（一）主要从六个方面了解被审计单位的性质：(1)所有权结构；(2)治理结构；(3)组织结构；(4)经营活动；(5)投资活动；(6)筹资活动。v审计人员应当了解所有权结构以及所有者与其他人员或单位之间的关系，考虑关联方关系是否已经得到识别，以及关联方交易是否得到恰当核算。v良好的治理结构可以对被审计单位的经营和财务运作实施有效的监督，从而降低财务报表发生重大错报的风险。审计人员应当了解被审计单位的治理结构，考虑治理层是否能够在独立于管理层的情况下对被审计单位事务(包括财务报告)作出客观判断。v审计人员应当了解被审计单位的组织结构，考虑复杂组织结构可能导致的重大错报风险，包括财务报表合并、商誉摊销和减值、长期股权投资核算以及特殊目的实体核算等问题。v了解被审计单位经营活动有助于审计人员识别预期将在财务报表中反映的主要交易类别、重要账户余额和列报。v审计人员应当从以下方面了解被审计单位的经营活动：(1)主营业务的性质；(2)与生产产品或提供劳务相关的市场信息；(3)业务的开展情况；(4)联盟、合营与外包情况；(5)从事电子商务的情况；(6)地区与行业分布；(7)生产设施、仓库的地理位置及办公地点；(8)关键客户；(9)重要供应商；(10)劳动用工情况；(11)研究与开发活动及其支出；(12)关联方交易。v了解被审计单位投资活动有助于审计人员关注被审计单位在经营策略和方向上的重大变化。v审计人员应当了解的被审计单位的投资活动主要包括：(1)近期拟实施或已实施的并购活动与资产处置情况；(2)证券投资、委托贷款的发生与处置；(3)资本性投资活动。包括固定资产和无形资产投资，近期发生或计划发生的变动，以及重大的资本承诺等；(4)不纳入合并范围的投资。v了解被审计单位筹资活动有助于审计人员评估被审计单位在融资方面的压力，并进一步考虑被审计单位在可预见未来的持续经营能力。v审计人员应当了解被审计单位的筹资活动，主要包括：(1)债务结构和相关条款，(2)固定资产的融资租赁；(3)关联方融资；(4)实际受益股东；(5)衍生金融工具的运用。(二)实施的风险评估程序 1、询问被审计单位管理层和内部其他相关人员 审计人员可以就被审计单位性质询问管理层、治理层及被审计单位担任不同职责的人员，以全面了解被审计单位的情况。2、查阅文件和报告 审计人员可以查阅被审计单位的组织结构图、关联方清单、公司章程、对外签订的主要销售、采购、投资、债务合同，以及被审计单位内部的管理报告、财务报告、生产经营情况分析、会议记录或纪要等，了解被审计单位的性质。3、实地察看被审计单位的主要生产经营场所 实地察看被审计单位的主要生产经营场所能增强审计人员对被审计单位性质的了解。实地察看主要经营场所对于了解新承接的审计项目、收购了新业务的被审计单位和跨地区经营的被审计单位尤其重要。通过实地察看被审计单位的厂房和办公场所，可以使审计人员对被审计单位的布局、生产流程以及固定资产和存货的状况获得一定的了解。4、分析程序 审计人员可以通过分析程序对财务数据之间以及财务数据与非财务数据之间的内在关系进行研究和评价，例如，将被审计单位的财务信息与以前期间的可比数据、被审计单位的预算或审计人员的预期数据进行比较，对重要财务比率进行分析，以了解被审计单位在经营活动、投资活动、筹资活动等各方面的情况及其重大变化。三、被审计单位对会计政策的选择和运用v审计人员应当了解被审计单位对会计政策的选择和运用是否符合适用的会计准则和相关会计制度，是否符合被审计单位的具体情况。(一)了解的具体内容 在了解被审计单位对会计政策的选择和运用是否适当时，审计人员应当关注下列事项：（1）重要项目的会计政策和行业惯例；（2）重大和异常交易的会计处理方法；（3）在新领域和缺乏权威性标准或共识的领域，采用重要会计政策产生的影响；（4）会计政策的变更；（5）被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度。如果被审计单位变更了重要的会计政策，审计人员应当考虑会计政策变更的原因及其适当性，确定：(1)会计政策的变更是否符合法律、行政法规或者适用的会计准则和相关会计制度的规定；(2)会计政策的变更能否提供更可靠、更相关的会计信息；(3)会计政策的变更是否得到了恰当的披露。v此外，审计人员还应当考虑被审计单位是否按照适用的会计准则和相关会计制度的规定恰当地进行了列报，并披露了重要事项。(二)实施的风险评估程序v审计人员实施的风险评估程序包括：查阅以前年度的审计工作底稿、询问被审计单位管理层和员工、查阅被审计单位的财务资料和内部报告(如会计手册和操作指引)等。v审计人员还可结合对被审计单位及其环境等其他方面的了解，考虑被审计单位选用的会计政策是否符合其具体情况。v审计人员应当重点关注被审计单位本期会计政策的选择和运用与前期相比发生的重大变化，包括对本期新发生的交易或事项选用的会计政策，对前期不重大而本期重大的交易或事项选用的会计政策，重要会计政策的变更以及新会计准则发布施行的影响等。四、被审计单位的目标、战略以及相关经营风险 (1)行业发展，及其可能导致的被审计单位不具备足以应对行业变化的人力资源和业务专长等风险；(2)开发新产品或提供新服务，及其可能导致的被审计单位产品责任增加等风险；(3)业务扩张，及其可能导致的被审计单位对市场需求的估计不准确等风险；(4)新颁布的会计法规，及其可能导致的被审计单位执行法规不当或不完整，或会计处理成本增加等风险；(5)监管要求，及其可能导致的被审计单位法律责任增加等风险；(6)本期及未来的融资条件，及其可能导致的被审计单位由于无法满足融资条件而失去融资机会等风险；(7)信息技术的运用，及其可能导致的被审计单位信息系统与业务流程难以融合等风险。v多数经营风险最终都会产生财务后果，从而影响财务报表。审计人员应当根据被审计单位的具体情况考虑经营风险是否可能导致财务报表发生重大错报。(二)实施的风险评估程序v 管理层通常制定识别和应对经营风险的策略。审计人员应当了解被审计单位的风险评估过程。审计人员可通过与管理层沟通、询问被审计单位不同管理层成员以及查阅经营规划相关文件等实施风险评估程序。(三)对小型被审计单位的考虑 v小型被审计单位通常没有正式的计划和程序来确定其目标、战略并管理经营风险。审计人员应当询问管理层或观察小型被审计单位如何应对这些事项，以获取了解，并评估重大错报风险。五、被审计单位财务业绩的衡量与评价五、被审计单位财务业绩的衡量与评价v被审计单位管理层经常会衡量和评价关键业绩指标(包括财务和非财务的)、预算及差异分析、分部信息和分支机构、部门或其他层次的业绩报告以及与竞争对手的业绩比较。此外，外部机构也会衡量和评价被审计单位的财务业绩，如分析师的报告和信用评级机构的报告。(一)了解的主要内容(1)关键业绩指标；(2)业绩趋势；(3)预测、预算和差异分析；(4)管理层和员工业绩考核与激励性报酬政策；(5)分部信息与不同层次部门的业绩报告；(6)与竞争对手的业绩比较；(7)外部机构提出的报告。(二)实施的风险评估程序 审计人员通常通过询问被审计单位管理层，查阅被审计单位的内部报告和外部报告以及实施分析程序，获得对被审计单位财务业绩的衡量和评价的了解。审计人员还可以从管理层那里了解哪些业绩指标是其他关键利益方关注的重点，以及管理层的内部业绩衡量标准如何受这些外部因素的影响。审计人员应当考虑管理层的业绩指标是否与关键利益拥有者的预期相一致，并考虑不一致的情况或管理层应对外部压力的结果，及其对重大错报风险的影响。(三)对小型被审计单位的考虑 小型被审计单位通常没有正式的财务业绩衡量和评价程序，管理层往往依据某些关键指标，作为评价财务业绩和采取适当行动的基础，审计人员应当了解管理层使用的关键指标。第三节第三节 了解被审单位的内部控制了解被审单位的内部控制v审计人员应当了解与审计相关的内部控制以识别潜在错报的类型，考虑导致重大错报风险的因素，以及设计和实施进一步审计程序的性质、时间和范围。一、内部控制的基本理论(一)内部控制的概念及要素1、内部控制的概念 内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。（1）内部控制的目标是合理保证：财务报告的可靠性，这一目标与管理层履行财务报告编制责任密切相关；经营的效率和效果，即经济有效地使用企业资源，以最优方式实现企业的目标；在所有经营活动中遵守法律法规的要求，即在法律法规的框架下从事经营活动。（2）设计和实施内部控制的责任主体是治理层、管理层和其他人员，组织中的每一个人都对内部控制负有责任。2、内部控制的要素 内部控制主要包括控制环境、风险评估过程、信息系统与沟通、控制活动、对控制的监督五个要素。（二）与审计相关的控制 v 内部控制的目标既包括财务报告的可靠性，也包括经营的效率和效果以及对法律法规的遵守，但审计人员审计的目标是对财务但审计人员审计的目标是对财务报表是否存在重大错报发表审计意见报表是否存在重大错报发表审计意见，所以，审计人员考虑的并非是被审计单位整体的内部控制，而只是与财务报表审计相关的只是与财务报表审计相关的内部控制，即与审计相关的控制。内部控制，即与审计相关的控制。v与审计相关的控制，包括被审计单位为实现财务报告可靠性目标设计和实施的控制。v审计人员应当运用职业判断，考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序有关。在运用职业判断时，审计人员应当考虑下列因素：(1)审计人员确定的重要性水平；(2)被审计单位的性质；(3)被审计单位的规模；(4)被审计单位经营的多样性和复杂性；(5)法律法规和监管要求；(6)作为内部控制组成部分的系统的性质和复杂性。v如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息，审计人员还应当考虑用以保证该信息完整性和准确性的控制可能与审计相关；v如果用以保证经营效率、效果的控制以及对法律法规遵守的控制与实施审计程序时评价或使用的数据相关，审计人员也应当考虑这些控制可能与审计相关；v另外，用以保护资产的内部控制可能包括与实现财务报告可靠性和经营效率、效果目标相关的控制，审计人员在了解保护资产的内部控制各项要素时，可仅考虑其中与财务报告可靠性目标相关的控制。(三)对内部控制了解的深度v内部控制了解的深度，是指在了解被审计单位及其环境时对内部控制了解的程度，包括评价控制的设计，并确定其是否得到执行。v但不包括对控制是否得到一贯执行的测试。1、评价控制的设计 v审计人员在了解内部控制时，应当评价控制的设计，并确定其是否得到执行。v设计不当的控制可能表明内部控制存在重大缺陷。v审计人员在确定是否考虑控制得到执行时，应当首先考虑控制的设计。v评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。v控制得到执行是指某项控制存在且被审计单位正在使用。2、获取控制设计和执行的审计证据(1)询问被审计单位的人员；(2)观察特定控制的运用；(3)检查文件和报告；(4)追踪交易在财务报告信息系统中的处理过程(穿行测试)。v其中，询问本身并不足以评价控制的设计以及确定其是否得到执行，审计人员应当将询问与其他风险评估程序结合使用。3、了解内部控制与测试控制运行有效性的关系 v除非存在某些可以使控制得到一贯运行的自动化控制，审计人员对控制的了解并不能够代替对控制运行有效性的测试。v信息技术可以使被审计单位持续一贯地对大量数据进行处理，提高了被审计单位监督控制活动运行情况的能力，信息技术还可以通过对应用软件、数据库、操作系统设置安全控制来实现有效的职责划分。由于信息技术处理流程的内在一贯性，实施审计程序确定某项自动控制是否得到执行，也可能实现对控制运行有效性测试的目标。(四)内部控制的人工和自动化成分v内部控制可能既包括人工成分又包括自动化成分，在风险评估以及设计和实施进一步审计程序时，审计人员应当考虑内部控制的人工和自动化特征及其影响。1、内部控制的人工成分的优势和风险因素 内部控制的人工成分在处理下列需要主观判断或酌情处理的情形时可能更为适当：(1)存在大额、异常或偶发的交易；(2)存在难以定义、防范或预见的错误；(3)为应对情况的变化，需要对现有的自动化控制进行调整；(4)监督自动化控制的有效性。v由于人工控制由人执行，受人为因素的影响较大，所以，也产生了特定风险。(1)人工控制可能更容易被规避、忽视或凌驾；(2)人工控制可能不具有一贯性；(3)人工控制可能更容易产生筒单错误或失误。相对于自动化控制，人工控制的可靠性较差，审计人员应当考虑人工控制在下列情形中可能是不适当的：(1)存在大量或重复发生的交易；(2)事先可预见的错误能够通过自动化控制得以防范或发现；(3)控制活动可得到适当设计和自动化处理2、内部控制的自动化成分的优势和风险因素 信息技术通常在下列方面提高被审计单位内部控制的效率和效果：(1)在处理大量的交易或数据时，一贯运用事先确定的业务规则；(2)提高信息的及时性、可获得性及准确性；(3)有助于对信息的深入分析；(4)加强对被审计单位政策和程序执行情况的监督；(5)降低控制被规避的风险；(6)通过对操作系统、应用程序系统和数据库系统实施安全控制，提高不相容职务分离的有效性。信息技术也可能对内部控制产生特定风险：(1)系统或程序未能正确处理数据，或处理了不正确的数据，或两种情况同时并存；(2)在未得到授权情况下访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易；(3)信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工；(4)未经授权改变主文档的数据；(5)未经授权改变系统或程序；(6)未能对系统或程序作出必要的修改；(7)不恰当的人为干预；(8)数据丢失的风险或不能访问所需要的数据。v内部控制风险的程度和性质受被审计单位信息系统的性质和特征的影响，因此，在了解内部控制时，审计人员应当考虑被审计单位是否通过建立有效的控制，以恰当应对由于使用信息技术系统或人工系统而产生的风险。（五）内部控制的局限性 1、内部控制的固有局限性 内部控制存在固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证。内部控制存在的固有局限性包括：（1）在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。（2）可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。v例如，被审计单位信息技术工作人员没有完全理解系统如何处理销售交易，为使系统能够处理新型产品的销售，可能错误地对系统进行更改；或者对系统的更改是正确的，但是程序员没能把此次更改转化为正确的程序代码。v例如，管理层可能与客户签订背后协议，对标准的销售合同做出变动，从而导致收入确认发生错误。v再如，软件中的编辑控制旨在发现和报告超过赊销信用额度的交易，但这一控制可能被逾越或规避。v此外，如果被审计单位内部行使控制职能的人员素质不适应岗位要求，也会影响内部控制功能的正常发挥。v被审计单位实施内部控制的成本效益问题也会影响其效能，当实施某项控制成本大于控制效果而发生损失时，就没有必要设置控制环节或控制措施。2、对小型被审计单位的考虑v 小型被审计单位拥有的员工通常较少，限制了其职责分离的程度。业主凌驾于内部控制之上的可能性较大。审计人员应当考虑一些关键领域是否存在有效的内部控制。二、了解控制环境（一）控制环境的概念 控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。控制环境设定了被审计单位的内部控制基调，影响员工对内部控制的认识和态度。良好的控制环境是实施有效内部控制的基础。v在评价控制环境的设计和实施情况时，审计人员应当了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化，以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。（二）了解的具体内容1、对诚信和道德价值观念的沟通与落实2、对胜任能力的重视3、治理层的参与程度 4、管理层的理念和经营风格5、组织结构与职权和责任的分配6、人力资源政策与实务了解和评估被审计单位诚信和道德价值观念的沟通与落实时，主要考虑：(1)被审计单位是否有书面的行为规范并向所有员工传达；(2)被审计单位的企业文化是否强调诚信和道德价值观念的重要性，如果违反，是否会受到惩罚；(3)管理层是否身体力行，高级管理人员是否起表率作用；(4)对违反有关政策和行为规范的情况，管理层是否采取适当的行动。v胜任能力是指具备完成某一职位的工作所应有的知识和能力。管理层对胜任能力的重视包括对于特定工作所需的胜任能力水平的设定，以及对达到该水平所必需的知识和能力的要求。对胜任能力的重视情况进行了解和评估时，主要考虑：(1)财会人员以及信息管理人员是否具备与被审计单位业务性质和复杂程度相称的足够的胜任能力和培训，在发生错误时，是否通过调整人员或系统来加以处理：(2)管理层是否配备了足够的财会人员以适应业务发展和有关方面的需要；(3)财会人员是否具备理解和运用会计准则所需的技能。v治理层对控制环境影响的要素有：治理层相对于管理层的独立性、成员的经验和品德、对被审计单位业务活动的参与程度、治理层行为的适当性、治理层所获得的信息、管理层对治理层所提出问题的追踪程度，以及治理层与内部审计人员和外部审计人员的联系程度等。对被审计单位治理层的参与程度进行了解和评估时，主要考虑：(1)董事会是否建立了审计委员会或类似机构；(2)董事会、审计委员会或类似机构是否与内部审计人员以及外部审计人员有联系和沟通，联系和沟通的性质以及频率是否与被审计单位的规模和业务复杂程度相匹配；(3)董事会、审计委员会或类似机构的成员是否具备适当的经验和资历；(4)董事会、审计委员会或类似机构是否独立于管理层；(5)审计委员会或类似机构会议的数量和时间是否与被审计单位的规模和业务复杂程度相匹配；(6)董事会、审计委员会或类似机构是否充分地参与了财务报告的过程；(7)董事会、审计委员会或类似机构是否对经营风险的监控有足够的关注，进而影响被审计单位和管理层的风险评估进程(包括舞弊风险)；(8)董事会成员是否有很高的流动性。v管理层的理念包括管理层对内部控制的理念，即管理层对内部控制以及对具体控制实施环境的重视程度。管理层对内部控制的重视，有助于控制的有效执行，并减少特定控制被忽视或规避的可能性。v管理层的经营风格是指管理层所能接受的业务风险的性质。了解和评估被审计单位管理层的理念和经营风格时，主要考虑：(1)管理层是否对内部控制，包括信息技术的控制，给予了适当的关注；(2)管理层是否由一个或几个人所控制，而董事会、审计委员会或类似机构对其是否实施有效监督；(3)管理层在承担和监控经营风险方面是风险偏好者还是风险规避者；(4)管理层在选择会计政策和作出会计估计时是倾向于激进还是保守；(5)管理层对于信息流程以及会计职能部门和人员是否给予了适当关注；(6)对于重大的内部控制和会计事项，管理层是否征询审计人员的意见，或者经常在这些方面与审计人员存在不同意见。v被审计单位的组织结构为计划、运作、控制及监督经营活动提供了一个整体框架。通过集权或分权决策，可在不同部门间进行适当的职责划分，建立适当层次的报告体系。v组织结构将影响权利、责任和工作任务在组织成员中的分配。被审计单位的组织结构在一定程度上取决于被审计单位的规模和经营活动的性质。在对被审计单位组织结构和职权与责任的分配进行了解和评估时，主要考虑：(1)在被审计单位内部是否有明确的职责划分，是否将业务授权、业务记录、资产保管和维护，以及业务执行的责任尽可能地分离；(2)是否有适当的结构来划分数据的所有权；(3)是否已针对授权交易建立适当的政策和程序。v人力资源政策与实务涉及招聘、培训、考核、晋升和薪酬等方面。政策与程序(包括内部控制)的有效性通常取决于执行人。在对被审计单位人力资源政策与实务进行了解和评估时，主要考虑：(1)被审计单位是否在招聘、培训、考核、晋升、薪酬、调动和辞退员工方面都有适当的政策和程序(特别是在会计、财务和信息系统方面)；(2)是否有书面的员工岗位职责手册，或者在没有书面文件的情况下，对于工作职责和期望是否作了适当的沟通和交流；(3)人力资源政策与程序是否清晰，并且定期发布和更新；(4)是否设定了适当的程序对分散在各地区和海外的经营人员建立和沟通人力资源政策与程序。（三）对控制环境的评估的考虑v在评价控制环境各个要素时，审计人员应当考虑控制环境各个要素是否得到执行。v在确定构成控制环境的要素是否得到执行时，审计人员应当考虑将询问与观察和检查等风险评估程序结合运用以获取审计证据。v通过询问管理层和员工，审计人员可能了解管理层如何就业务规程和道德价值观念与员工进行沟通；通过观察和检查，可能了解管理层是否建立了正式的行为守则，在日常工作中行为守则是否得到遵守，以及管理层如何处理违反行为守则的情形。v控制环境对重大错报风险的评估具有广泛影响，审计人员应当考虑控制环境的总体优势