审计学课件第七章风险评估程序.ppt

《审计学课件第七章风险评估程序.ppt》由会员分享，可在线阅读，更多相关《审计学课件第七章风险评估程序.ppt（51页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第七章第七章 风险评估风险评估(内部控制）内部控制）第一节第一节 了解被审计单位了解被审计单位 及其环境及其环境第二节第二节 对被审计单位对被审计单位 内部控制的评审内部控制的评审第一节第一节 了解被审计单位了解被审计单位 及其环境及其环境一、了解被审计单位及其环境的目的一、了解被审计单位及其环境的目的二、了解被审计单位及其环境的内容二、了解被审计单位及其环境的内容 三、风险评估程序三、风险评估程序 四、评估重大错报风险四、评估重大错报风险 一、了解被审计单位及其环境的目的了解被审计单位及其环境是审计风险准则了解被审计单位及其环境是审计风险准则规范的注册会计师对财务报表审计的规范的注册会计师对

2、财务报表审计的必要必要程序程序，特别是为注册会计师在下列关键环，特别是为注册会计师在下列关键环节作出职业判断提供的节作出职业判断提供的重要基础重要基础：(1)确定确定重要性水平重要性水平，并随着审计工作的进，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；程评估对重要性水平的判断是否仍然适当；(2)考虑考虑会计政策的选择和运用会计政策的选择和运用是否恰当，是否恰当，以及财务报表的以及财务报表的列报列报是否适当；是否适当；(3)识别需要识别需要特别特别考虑的考虑的领域领域，包括关联方交易、，包括关联方交易、管理层运用持续经营假设的合理性，或交易是管理层运用持续经营假设的合理性，或交易是否

3、具有合理的商业目的等；否具有合理的商业目的等；(4)确定在实施分析程序时所使用的确定在实施分析程序时所使用的预期值预期值；(5)设计和实施设计和实施进一步审计程序进一步审计程序，以将审计风险，以将审计风险降至可接受的低水平；降至可接受的低水平；(6)评价评价所获取审计证据的充分性和适当性。所获取审计证据的充分性和适当性。评价对被审计单位及其环境了解的程度是评价对被审计单位及其环境了解的程度是否恰当，否恰当，关键是关键是看注册会计师对被审计单看注册会计师对被审计单位及其环境的了解位及其环境的了解是否足以识别和评估财是否足以识别和评估财务报表重大错报风险务报表重大错报风险。如果了解被审计单位及其环

4、境获得的信息如果了解被审计单位及其环境获得的信息足以识别和评估财务报表重大错报风险，足以识别和评估财务报表重大错报风险，设计和实施进一步审计程序，那么了解的设计和实施进一步审计程序，那么了解的程度就是恰当的。程度就是恰当的。二、了解被审计单位及其环境的内容注册会计师应当从下列方面了解被审计单位及其环注册会计师应当从下列方面了解被审计单位及其环境：境：(1)行业状况、法律环境、监管环境及其他外部因素行业状况、法律环境、监管环境及其他外部因素(2)被审计单位的性质；被审计单位的性质；(3)被审计单位对会计政策的选择和运用：被审计单位对会计政策的选择和运用：(4)被审计单位的目标、战略以及相关经营风

5、险；被审计单位的目标、战略以及相关经营风险；(5)被审计单位财务业绩的衡量和评价；被审计单位财务业绩的衡量和评价；(6)被审计单位的内部控制。被审计单位的内部控制。三、风险评估程序1风险评估程序的含义风险评估程序的含义 注册会计师为了解被审计单位及其环境注册会计师为了解被审计单位及其环境而实施的程序称为而实施的程序称为“风险评估程序风险评估程序”。2实施风险评估程序的目的实施风险评估程序的目的注册会计师实施风险评估程序目的是为了注册会计师实施风险评估程序目的是为了识别和评估财务报表重大错报风险识别和评估财务报表重大错报风险。3风险评估程序的内容风险评估程序的内容注册会计师通过实施下列风险评估程

6、序以注册会计师通过实施下列风险评估程序以了解被审计单位及其环境：了解被审计单位及其环境：(1)询问询问被审计单位管理层和内部其他相关被审计单位管理层和内部其他相关人员；人员；(2)分析程序分析程序；(3)观察和检查观察和检查；(4)其他审计程序和信息来源其他审计程序和信息来源 四、评估重大错报风险（一）识别和评估重大错报风险的审计程序（一）识别和评估重大错报风险的审计程序 在识别和评估重大错报风险时，注册会计师在识别和评估重大错报风险时，注册会计师应当实施下列审计程序。应当实施下列审计程序。1.在了解被审计单位及其环境的整个过程中在了解被审计单位及其环境的整个过程中识别风险，并考虑各类交易、账

7、户余额、列识别风险，并考虑各类交易、账户余额、列报报。2.将识别的风险与认定层次可能发生错报的领将识别的风险与认定层次可能发生错报的领域相联系。域相联系。3.考虑识别的风险是否重大。考虑识别的风险是否重大。风险是否重大是指风险造成后果的严重风险是否重大是指风险造成后果的严重程度。程度。4.考虑识别的风险导致财务报表发生重大考虑识别的风险导致财务报表发生重大错报的可能性。错报的可能性。注意：注册会计师应当利用实施风险评估程序注册会计师应当利用实施风险评估程序获取的信息，包括在评价控制设计和确获取的信息，包括在评价控制设计和确定其是否得到执行时获取的审计证据，定其是否得到执行时获取的审计证据，作为

8、支持风险评估结果的审计证据。作为支持风险评估结果的审计证据。注册会计师应当根据风险评估结果，确注册会计师应当根据风险评估结果，确定实施进一步审计程序的性质、时间和定实施进一步审计程序的性质、时间和范围。范围。检查风险检查风险=审计风险审计风险/重大错报风险重大错报风险（二）识别两个层次的重大错报风险（二）识别两个层次的重大错报风险 在对重大错报风险进行识别和评估后，注册在对重大错报风险进行识别和评估后，注册会计师应当确定：会计师应当确定：识别的重大错报风险是与特定的某类交易、识别的重大错报风险是与特定的某类交易、账户余额、列报的认定相关，还是与财务报账户余额、列报的认定相关，还是与财务报表整体

9、广泛相关，进而影响多项认定。表整体广泛相关，进而影响多项认定。报表层报表层认定层认定层（三）重大错报风险评估的修正（三）重大错报风险评估的修正注册会计师对认定层次重大错报风险的评估应以注册会计师对认定层次重大错报风险的评估应以获取的获取的审计证据为基础审计证据为基础，并可能随着不断获取审，并可能随着不断获取审计证据而作出相应的变化。计证据而作出相应的变化。如果通过实施进一步审计程序获取的审计证据与如果通过实施进一步审计程序获取的审计证据与初始评估获取的审计证据相矛盾，注册会计师应初始评估获取的审计证据相矛盾，注册会计师应当修正风险评估结果，并相应修改原计划实施的当修正风险评估结果，并相应修改原

10、计划实施的进一步审计程序。进一步审计程序。因此，评估重大错报风险与了解被审计单位及其因此，评估重大错报风险与了解被审计单位及其环境一样，也是一个环境一样，也是一个连续和动态连续和动态地收集、更新与地收集、更新与分析信息的过程，贯穿于整个审计过程的始终。分析信息的过程，贯穿于整个审计过程的始终。第二节第二节 对被审计单位内部控制的评审对被审计单位内部控制的评审一、内部控制的含义及内容一、内部控制的含义及内容 二、内部控制的局限性二、内部控制的局限性三、对内部控制了解的深度三、对内部控制了解的深度四、内部控制的评审四、内部控制的评审五、对内部控制的记录方法五、对内部控制的记录方法一、内部控制的含义

11、及内容一、内部控制的含义及内容 内部控制：内部控制：是被审计单位为了合理保证财是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他法律法规的遵守，由治理层、管理层和其他人员设计和执行的人员设计和执行的政策和程序政策和程序。可以从以下几方面理解内部控制：可以从以下几方面理解内部控制：（1）内部控制的）内部控制的目标是目标是合理保证：合理保证：（2）设计和实施内部控制的）设计和实施内部控制的责任主体是责任主体是治理治理层、管理层和其他人员，组织中的每一个人层、管理层和其他人员，组织中的每一个人都对内部控制负有责

12、任。都对内部控制负有责任。（3）实现内部控制目标的）实现内部控制目标的手段是手段是设计和执行设计和执行控制政策和程序。控制政策和程序。内部控制的内容内部控制的内容 P138 P138（1）合规、合法性控制。）合规、合法性控制。（2）授权、分权控制。）授权、分权控制。（3）不相容职务控制。）不相容职务控制。（4）业务程序标准化控制。）业务程序标准化控制。（5）复查核对控制。）复查核对控制。（6）人员素质控制。）人员素质控制。内部控制的练习内部控制的练习（1）记录并保管总账。）记录并保管总账。（2）记录并保管应付账款明细账。）记录并保管应付账款明细账。（3）记录并保管应收账款明细账。）记录并保管应

13、收账款明细账。（4）记录并保管货币资金日记账。）记录并保管货币资金日记账。（5）保管、填写支票。）保管、填写支票。（6）发出销货退回及折让贷项通知单。）发出销货退回及折让贷项通知单。（7）调节银行存款日记账与银行对账单。）调节银行存款日记账与银行对账单。（8）保管、送存现金）保管、送存现金。6、7略小，其余工作量相当，咨询单位仅有三名会略小，其余工作量相当，咨询单位仅有三名会计人员，请为其进行岗位分工。计人员，请为其进行岗位分工。二、内部控制的局限性二、内部控制的局限性 内部控制存在内部控制存在固有局限性固有局限性，无论如何设计和执行，无论如何设计和执行，只能对财务报告的可靠性提供只能对财务报

14、告的可靠性提供合理的保证合理的保证。1、在决策时人为判断可能出现错误和由于人为失、在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。误而导致内部控制失效。2、可能由于两个或更多的人员进行串通或管理层、可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。凌驾于内部控制之上而被规避。3、行使控制职能的人员素质不适应岗位要求，会、行使控制职能的人员素质不适应岗位要求，会影响内部控制功能的正常发挥。影响内部控制功能的正常发挥。4、被审计单位实施内部控制的成本效益问题也会、被审计单位实施内部控制的成本效益问题也会影响其职能。影响其职能。5、内部控制一般都是针对经常而重复发生的

15、业务、内部控制一般都是针对经常而重复发生的业务而设置的。而设置的。三、对内部控制了解的深度三、对内部控制了解的深度对内部控制了解的深度，是指在了解被审计对内部控制了解的深度，是指在了解被审计单位及其环境时对内部控制单位及其环境时对内部控制了解的程度了解的程度。包。包括：括：（一）评价控制的设计和执行（一）评价控制的设计和执行（二）获取控制设计和执行的审计证据（二）获取控制设计和执行的审计证据（一）评价控制的设计和执行（一）评价控制的设计和执行注册会计师在了解内部控制时，应当评价控制的设计，注册会计师在了解内部控制时，应当评价控制的设计，并确定其是否得到执行。并确定其是否得到执行。评价控制的设计

16、评价控制的设计是指考虑一项控制单独或连同其他控是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。制是否能够有效防止或发现并纠正重大错报。控制得到执行控制得到执行是指某项控制存在且被审计单位正在使是指某项控制存在且被审计单位正在使用。用。设计不当的控制可能表明内部控制存在重大缺陷设计不当的控制可能表明内部控制存在重大缺陷。如果控制设计不当，不需要再考虑控制是否得到执行如果控制设计不当，不需要再考虑控制是否得到执行。（二）获取控制设计和执行的审计证据（二）获取控制设计和执行的审计证据注册会计师通常实施下列风险评估程序，以获取注册会计师通常实施下列风险评估程序，以获取有关控制设

17、计和执行的审计证据：有关控制设计和执行的审计证据：（1）询问）询问被审计单位的人员；被审计单位的人员；（2）观察）观察特定控制的运用；特定控制的运用；（3）检查）检查文件和报告；文件和报告；（4）追踪交易）追踪交易在财务报告信息系统中的处理过程在财务报告信息系统中的处理过程（穿行测试）。（穿行测试）。这些程序是风险评估程序在了解被审计单位内部这些程序是风险评估程序在了解被审计单位内部控制方面的具体运用。控制方面的具体运用。四、内部控制的评审四、内部控制的评审评价内部控制包括下列要素：评价内部控制包括下列要素：（一）控制环境；（一）控制环境；（二）被审计单位风险评估过程；（二）被审计单位风险评估

18、过程；（三）信息系统与沟通；（三）信息系统与沟通；（四）控制活动；（四）控制活动；（五）对控制的监督。（五）对控制的监督。P148 五、内部控制的记录方法五、内部控制的记录方法（一）文字表述法（一）文字表述法（二）调查表法（二）调查表法（三）流程图法（三）流程图法P140 思考题：思考题：1简述内部控制的定义及内容。简述内部控制的定义及内容。2简述风险评估程序有那些？简述风险评估程序有那些？3如何对内部控制进行评审？如何对内部控制进行评审？4三种记录内部控制方法的区别。三种记录内部控制方法的区别。（一）控制环境（一）控制环境1、含义、含义控制环境控制环境包括包括治理职能和管理职能，以及治理治理

19、职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认层和管理层对内部控制及其重要性的态度、认识和措施。识和措施。控制环境设定了被审计单位的内部控制基调，控制环境设定了被审计单位的内部控制基调，影响员工对内部控制的认识和态度。影响员工对内部控制的认识和态度。良好的控制环境是实施有效内部控制的基础。良好的控制环境是实施有效内部控制的基础。防止或发现并纠正舞弊和错误是被审计单位治防止或发现并纠正舞弊和错误是被审计单位治理层和管理层的责任。理层和管理层的责任。2、控制环境的组成要素（1）对诚信和道德价值观念的沟通与落实）对诚信和道德价值观念的沟通与落实内部控制的有效性直接依赖于负责创建、管

20、理和内部控制的有效性直接依赖于负责创建、管理和监控内部控制的人员的诚信和道德价值观念。监控内部控制的人员的诚信和道德价值观念。注册会计师在了解和评估被审计单位诚信和道德注册会计师在了解和评估被审计单位诚信和道德价值观念的沟通与落实时，考虑的主要因素可能价值观念的沟通与落实时，考虑的主要因素可能包括：包括：被审计单位是否有书面的行为规范并向被审计单位是否有书面的行为规范并向所有员工传达；所有员工传达；被审计单位的企业文化是否强被审计单位的企业文化是否强调诚信和道德价值观念的重要性；调诚信和道德价值观念的重要性；管理层管理层是否身体力行，高级管理人员是否起表率作用；是否身体力行，高级管理人员是否起

21、表率作用；对违反有关政策和行为规范的情况，管理层是对违反有关政策和行为规范的情况，管理层是否采取适当的惩罚措施。否采取适当的惩罚措施。（2）对胜任能力的重视）对胜任能力的重视胜任能力胜任能力是指具备完成某一职位的工作所应有的知识和是指具备完成某一职位的工作所应有的知识和能力。能力。管理层对胜任能力的重视包括对于特定工作所需的胜任管理层对胜任能力的重视包括对于特定工作所需的胜任能力水平的设定，以及对达到该水平所必需的知识和能能力水平的设定，以及对达到该水平所必需的知识和能力的要求。力的要求。注册会计师在就被审计单位对胜任能力的重视情况进行注册会计师在就被审计单位对胜任能力的重视情况进行了解和评估

22、时，考虑的主要因素可能包括：了解和评估时，考虑的主要因素可能包括：财会人员以及信息管理人员是否具备与被审计单位业财会人员以及信息管理人员是否具备与被审计单位业务性质和复杂程度相称的足够的胜任能力和培训，在发务性质和复杂程度相称的足够的胜任能力和培训，在发生错误时，是否通过调整人员或系统来加以处理；生错误时，是否通过调整人员或系统来加以处理；管理层是否配备足够的财会人员以适应业务发展和有管理层是否配备足够的财会人员以适应业务发展和有关方面的需要；关方面的需要；财会人员是否具备理解和运用会计准则所需的技能。财会人员是否具备理解和运用会计准则所需的技能。（3）治理层的参与程度）治理层的参与程度被审计

23、单位的控制环境在很大程度上受治理层的影响。被审计单位的控制环境在很大程度上受治理层的影响。治理层的职责应在被审计单位的章程和政策中予以规定。治理层的职责应在被审计单位的章程和政策中予以规定。治理层（董事会）通常通过其自身的活动，并在审计委治理层（董事会）通常通过其自身的活动，并在审计委员会或类似机构的支持下，监督被审计单位的财务报告员会或类似机构的支持下，监督被审计单位的财务报告政策和程序。政策和程序。治理层的职责还包括监督用于复核内部控制有效性的政治理层的职责还包括监督用于复核内部控制有效性的政策和程序设计是否合理，执行是否有效。策和程序设计是否合理，执行是否有效。治理层对控制环境影响的要素

24、有：治理层对控制环境影响的要素有：治理层相对于管理层治理层相对于管理层的独立性、成员的经验和品德、对被审计单位业务活动的独立性、成员的经验和品德、对被审计单位业务活动的参与程度、治理层行为的适当性、治理层所获得的信的参与程度、治理层行为的适当性、治理层所获得的信息、管理层对治理层所提出问题的追踪程度，以及治理息、管理层对治理层所提出问题的追踪程度，以及治理层与内部审计人员和注册会计师的联系程度等。层与内部审计人员和注册会计师的联系程度等。注册会计师在对被审计单位治理层的参与程度进行了解和注册会计师在对被审计单位治理层的参与程度进行了解和评估时，考虑的主要因素可能包括：评估时，考虑的主要因素可能

25、包括：董事会是否建立了审计委员会或类似机构；董事会是否建立了审计委员会或类似机构；董事会、审计委员会或类似机构是否与内部审计人员以董事会、审计委员会或类似机构是否与内部审计人员以及注册会计师有联系和沟通，联系和沟通的性质以及频率及注册会计师有联系和沟通，联系和沟通的性质以及频率是否与被审计单位的规模和业务复杂程度相匹配；是否与被审计单位的规模和业务复杂程度相匹配；董事会、审计委员会或类似机构的成员是否具备适当的董事会、审计委员会或类似机构的成员是否具备适当的经验和资历经验和资历董事会、审计委员会或类似机构是否独立于管理层；董事会、审计委员会或类似机构是否独立于管理层；审计委员会或类似机构会议的

26、数量和时间是否与被审计审计委员会或类似机构会议的数量和时间是否与被审计单位的规模和业务复杂程度相匹配；单位的规模和业务复杂程度相匹配；董事会、审计委员会或类似机构是否充分地参与了财务董事会、审计委员会或类似机构是否充分地参与了财务报告的过程；报告的过程；董事会、审计委员会或类似机构是否对经营风险的监控董事会、审计委员会或类似机构是否对经营风险的监控有足够的关注，进而影响被审计单位和管理层的风险评估有足够的关注，进而影响被审计单位和管理层的风险评估进程（包括舞弊风险）；进程（包括舞弊风险）；董事会成员是否保持相对的稳定性。董事会成员是否保持相对的稳定性。（4）管理层的理念和经营风格）管理层的理念

27、和经营风格管理层负责企业的运作以及经营策略和程序的制管理层负责企业的运作以及经营策略和程序的制定、执行与监督。定、执行与监督。控制环境的每个方面在很大程度上都受管理层采控制环境的每个方面在很大程度上都受管理层采取的措施和作出决策的影响，或在某些情况下受取的措施和作出决策的影响，或在某些情况下受管理层不采取某些措施或不作出某种决策的影响。管理层不采取某些措施或不作出某种决策的影响。在有效的控制环境中，管理层的理念和经营风格在有效的控制环境中，管理层的理念和经营风格可以创造一个积极的氛围，促进业务流程和内部可以创造一个积极的氛围，促进业务流程和内部控制的有效运行，同时创造一个减少错报发生可控制的有

28、效运行，同时创造一个减少错报发生可能性的环境。能性的环境。在管理层以一个或少数几个人为主时，管理层的在管理层以一个或少数几个人为主时，管理层的理念和经营风格对内部控制的影响尤为突出理念和经营风格对内部控制的影响尤为突出。注册会计师在了解和评估被审计单位管理层的理念和经营风注册会计师在了解和评估被审计单位管理层的理念和经营风格时，考虑的主要因素可能包括：格时，考虑的主要因素可能包括：管理层是否对内部控制，包括信息技术的控制，给予了适管理层是否对内部控制，包括信息技术的控制，给予了适当的关注；当的关注；管理层是否由一个或几个人所控制，而董事会、审计委员管理层是否由一个或几个人所控制，而董事会、审计

29、委员会或类似机构对其是否实施有效监督；会或类似机构对其是否实施有效监督；管理层在承担和监控经营风险方面是风险偏好者还是风险管理层在承担和监控经营风险方面是风险偏好者还是风险规避者；规避者；管理层在选择会计政策和作出会计估计时是倾向于激进还管理层在选择会计政策和作出会计估计时是倾向于激进还是保守；是保守；管理层对于信息管理人员以及财会人员是否给予了适当关管理层对于信息管理人员以及财会人员是否给予了适当关注；注；对于重大的内部控制和会计事项，管理层是否征询注册会对于重大的内部控制和会计事项，管理层是否征询注册会计师的意见，或者经常在这些方面与注册会计师存在不同意计师的意见，或者经常在这些方面与注册

30、会计师存在不同意见。见。（5）组织结构及职权与责任的分配）组织结构及职权与责任的分配被审计单位的组织结构为计划、运作、控制及监督经营活被审计单位的组织结构为计划、运作、控制及监督经营活动提供了一个整体框架。动提供了一个整体框架。通过集权或分权决策，可在不同部门间进行适当的职责划通过集权或分权决策，可在不同部门间进行适当的职责划分、建立适当层次的报告体系。组织结构将影响权利、责分、建立适当层次的报告体系。组织结构将影响权利、责任和工作任务在组织成员中的分配。任和工作任务在组织成员中的分配。注册会计师应当考虑被审计单位组织结构中是否采用向个注册会计师应当考虑被审计单位组织结构中是否采用向个人或小组

31、分配控制职责的方法，是否建立了执行特定职能人或小组分配控制职责的方法，是否建立了执行特定职能（包括交易授权）的授权机制，是否确保每个人都清楚地（包括交易授权）的授权机制，是否确保每个人都清楚地了解报告关系和责任。了解报告关系和责任。注册会计师还需审查对分散经营活动的监督是否充分。有注册会计师还需审查对分散经营活动的监督是否充分。有效的权责分配制度有助于形成整体的控制意识。效的权责分配制度有助于形成整体的控制意识。注册会计师在对被审计单位组织结构和职权与注册会计师在对被审计单位组织结构和职权与责任的分配进行了解和评估时，考虑的主要因责任的分配进行了解和评估时，考虑的主要因素可能包括：素可能包括：

32、在被审计单位内部是否有明确的职责划分，在被审计单位内部是否有明确的职责划分，是否将业务授权、业务记录、资产保管和维护，是否将业务授权、业务记录、资产保管和维护，以及业务执行的责任尽可能地分离；以及业务执行的责任尽可能地分离；数据的所有权划分是否合理；数据的所有权划分是否合理；是否已针对授权交易建立适当的政策和程序。是否已针对授权交易建立适当的政策和程序。（6）人力资源政策与实务）人力资源政策与实务政策与程序（包括内部控制）的有效性，通政策与程序（包括内部控制）的有效性，通常取决于执行人。常取决于执行人。因此，被审计单位员工的能力与诚信是控制因此，被审计单位员工的能力与诚信是控制环境中不可缺少的

33、因素。环境中不可缺少的因素。人力资源政策与实务涉及招聘、培训、考核、人力资源政策与实务涉及招聘、培训、考核、晋升和薪酬等方面。晋升和薪酬等方面。被审计单位是否有能力招聘并保留一定数量被审计单位是否有能力招聘并保留一定数量既有能力又有责任心的员工在很大程度上取既有能力又有责任心的员工在很大程度上取决于其人事政策与实务。决于其人事政策与实务。注册会计师在对被审计单位人力资源政策与实务进行注册会计师在对被审计单位人力资源政策与实务进行了解和评估时，考虑的主要因素可能包括：了解和评估时，考虑的主要因素可能包括：被审计单位是否在招聘、培训、考核、晋升、薪酬、被审计单位是否在招聘、培训、考核、晋升、薪酬、

34、调动和辞退员工方面是否都有适当的政策和程序（特调动和辞退员工方面是否都有适当的政策和程序（特别是在会计、财务和信息系统方面）；别是在会计、财务和信息系统方面）；是否有书面的员工岗位职责手册，或者在没有书面是否有书面的员工岗位职责手册，或者在没有书面文件的情况下，对于工作职责和期望是否作了适当的文件的情况下，对于工作职责和期望是否作了适当的沟通和交流；沟通和交流；人力资源政策与程序是否清晰，并且定期发布和更人力资源政策与程序是否清晰，并且定期发布和更新；新；是否设定适当的程序，对分散在各地区和海外的经是否设定适当的程序，对分散在各地区和海外的经营人员建立和沟通人力资源政策与程序。营人员建立和沟通

35、人力资源政策与程序。3、了解控制环境在评价控制环境各个要素时，注册会计师应当在评价控制环境各个要素时，注册会计师应当考虑控制环境各个要素是否得到执行。考虑控制环境各个要素是否得到执行。在确定构成控制环境的要素是否得到执行时，在确定构成控制环境的要素是否得到执行时，注册会计师应当考虑将询问与其他风险评估程注册会计师应当考虑将询问与其他风险评估程序相结合以获取审计证据。序相结合以获取审计证据。控制环境对重大错报风险的评估具有广泛影响，控制环境对重大错报风险的评估具有广泛影响，注册会计师应当考虑控制环境的总体优势是否注册会计师应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的基础，并为内

36、部控制的其他要素提供了适当的基础，并且未被控制环境中存在的缺陷所削弱。且未被控制环境中存在的缺陷所削弱。控制环境本身并不能防止或发现并纠正各类交控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报，易、账户余额、列报认定层次的重大错报，（二）风险评估过程1、含义、含义任何经济组织在经营活动中都会面临各种任何经济组织在经营活动中都会面临各种各样的风险，风险对其生存和竞争能力产各样的风险，风险对其生存和竞争能力产生影响。生影响。很多风险并不为经济组织所控制，但管理很多风险并不为经济组织所控制，但管理层应当确定可以承受的风险水平，识别这层应当确定可以承受的风险水平，识别这些风

37、险并采取一定的应对措施。些风险并采取一定的应对措施。风险评估过程风险评估过程就是识别、评估和管理影响就是识别、评估和管理影响被审计单位实现经营目标能力的各种风险。被审计单位实现经营目标能力的各种风险。2、可能产生风险的事项和情形包括（1）监管及经营环境的变化。）监管及经营环境的变化。（2）新员工的加入。）新员工的加入。（3）新信息系统的使用或对原系统进行升级。）新信息系统的使用或对原系统进行升级。（4）业务快速发展。）业务快速发展。（5）新技术。）新技术。（6）新生产型号、产品和业务活动。）新生产型号、产品和业务活动。（7）企业重组。）企业重组。（8）发展海外经营。）发展海外经营。（9）新的会

38、计准则。）新的会计准则。3、对风险评估过程的了解对风险评估过程的了解 在评价被审计单位风险评估过程的设计和在评价被审计单位风险评估过程的设计和执行时，注册会计师应当确定管理层如何执行时，注册会计师应当确定管理层如何识别与财务报告相关的经营风险，如何估识别与财务报告相关的经营风险，如何估计该风险的重要性，如何评估风险发生的计该风险的重要性，如何评估风险发生的可能性，以及如何采取措施管理这些风险。可能性，以及如何采取措施管理这些风险。如果被审计单位的风险评估过程符合其具如果被审计单位的风险评估过程符合其具体情况，了解被审计单位的风险评估过程体情况，了解被审计单位的风险评估过程和结果有助于注册会计师

39、识别财务报表重和结果有助于注册会计师识别财务报表重大错报的风险。大错报的风险。注册会计师在对被审计单位整体层面的风险评估过程进行注册会计师在对被审计单位整体层面的风险评估过程进行了解和评估时，考虑的主要因素可能包括：了解和评估时，考虑的主要因素可能包括：被审计单位是否已建立并沟通其整体目标，并辅以具体被审计单位是否已建立并沟通其整体目标，并辅以具体策略和业务流程层面的计划；策略和业务流程层面的计划；被审计单位是否已建立风险评估过程，包括识别风险，被审计单位是否已建立风险评估过程，包括识别风险，估计风险的重大性，评估风险发生的可能性以及确定需要估计风险的重大性，评估风险发生的可能性以及确定需要采

40、取的应对措施；采取的应对措施；被审计单位是否已建立某种机制，识别和应对可能对被被审计单位是否已建立某种机制，识别和应对可能对被审计单位产生重大且普遍影响的变化，如在金融机构中建审计单位产生重大且普遍影响的变化，如在金融机构中建立资产负债管理委员会，在制造型企业中建立期货交易风立资产负债管理委员会，在制造型企业中建立期货交易风险管理组等；险管理组等；会计部门是否建立了某种流程，以识别会计准则的重大会计部门是否建立了某种流程，以识别会计准则的重大变化；变化；当被审计单位业务操作发生变化并影响交易记录的流程当被审计单位业务操作发生变化并影响交易记录的流程时，是否存在沟通渠道以通知会计部门；时，是否存

41、在沟通渠道以通知会计部门；风险管理部门是否建立了某种流程，以识别经营环境包风险管理部门是否建立了某种流程，以识别经营环境包括监管环境发生的重大变化。括监管环境发生的重大变化。注册会计师可以通过了解被审计单位及其环境的其他方面注册会计师可以通过了解被审计单位及其环境的其他方面信息，评价被审计单位风险评估过程的有效性。信息，评价被审计单位风险评估过程的有效性。注册会计师应当询问管理层识别出的经营风险，并考虑这注册会计师应当询问管理层识别出的经营风险，并考虑这些风险是否可能导致重大错报。些风险是否可能导致重大错报。在审计过程中，如果发现与财务报表有关的风险因素，注在审计过程中，如果发现与财务报表有关

42、的风险因素，注册会计师可通过向管理层询问和检查有关文件确定被审计册会计师可通过向管理层询问和检查有关文件确定被审计单位的风险评估过程是否也发现了该风险。单位的风险评估过程是否也发现了该风险。在审计过程中，如果识别出管理层未能识别的重大错报风在审计过程中，如果识别出管理层未能识别的重大错报风险，注册会计师应当考虑被审计单位的风险评估过程为何险，注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险，以及评估过程是否适合于具体环境。没有识别出这些风险，以及评估过程是否适合于具体环境。（三）信息系统与沟通 1、与财务报告相关的信息系统的含义、与财务报告相关的信息系统的含义与财务报告相关的信

43、息系统与财务报告相关的信息系统，包括用以生成、记，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记负债和所有者权益履行经营管理责任的程序和记录。录。交易交易可能通过人工或自动化程序生成。可能通过人工或自动化程序生成。记录记录包括识别和收集与交易、事项有关的信息。包括识别和收集与交易、事项有关的信息。处理处理包括编辑、核对、计量、估价、汇总和调节包括编辑、核对、计量、估价、汇总和调节活动，可能由人工或自动化程序来执行。活动，可能由人工或自动化程序来执行。报告报告是指用电子或书面形式编制财务报告和其他

44、是指用电子或书面形式编制财务报告和其他信息，供被审计单位用于衡量和考核财务及其他信息，供被审计单位用于衡量和考核财务及其他方面的业绩。方面的业绩。与财务报告相关的信息系统应当与业务流程与财务报告相关的信息系统应当与业务流程相适应。相适应。业务流程业务流程是指被审计单位开发、采购、生产、是指被审计单位开发、采购、生产、销售、发送产品和提供服务、保证遵守法律销售、发送产品和提供服务、保证遵守法律法规、记录信息等一系列活动。法规、记录信息等一系列活动。与财务报告相关的信息系统所生成信息的质与财务报告相关的信息系统所生成信息的质量，对管理层能否作出恰当的经营管理决策量，对管理层能否作出恰当的经营管理决

45、策以及编制可靠的财务报告具有重大影响。以及编制可靠的财务报告具有重大影响。与财务报告相关的信息系统通常包括下列职能：与财务报告相关的信息系统通常包括下列职能：（1）识别与记录所有的有效交易；）识别与记录所有的有效交易；（2）及时、详细地描述交易，以便在财务报）及时、详细地描述交易，以便在财务报告中对交易作出恰当分类；告中对交易作出恰当分类；（3）恰当计量交易，以便在财务报告中对交）恰当计量交易，以便在财务报告中对交易的金额作出准确记录；易的金额作出准确记录；（4）恰当确定交易生成的会计期间；）恰当确定交易生成的会计期间；（5）在财务报表中恰当列报交易。）在财务报表中恰当列报交易。2、对与财务报

46、告相关的信息系统的了解、对与财务报告相关的信息系统的了解注册会计师应当从下列方面了解与财务报告相关的信息系统：注册会计师应当从下列方面了解与财务报告相关的信息系统：在被审计单位经营过程中，对财务报表具有重大影响的各在被审计单位经营过程中，对财务报表具有重大影响的各类交易。类交易。在信息技术和人工系统中，交易生成、记录、处理和报告在信息技术和人工系统中，交易生成、记录、处理和报告的程序。的程序。与交易生成、记录、处理和报告有关的会计记录、支持性与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目。信息和财务报表中的特定项目。信息系统如何获取除各类交易之外的对财务报表具有重

47、大信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况。影响的事项和情况。被审计单位编制财务报告的过程，包括作出的重大会计估被审计单位编制财务报告的过程，包括作出的重大会计估计和披露。计和披露。管理层凌驾于账户记录控制之上的风险管理层凌驾于账户记录控制之上的风险 3、与财务报告相关的沟通的含义、与财务报告相关的沟通的含义与财务报告相关的沟通与财务报告相关的沟通包括使员工了解各包括使员工了解各自在与财务报告有关的内部控制方面的角自在与财务报告有关的内部控制方面的角色和职责、员工之间的工作联系，以及向色和职责、员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。适当级别的管

48、理层报告例外事项的方式。公开的沟通渠道有助于确保例外情况得到公开的沟通渠道有助于确保例外情况得到报告和处理。报告和处理。沟通可以采用政策手册、会计和财务报告沟通可以采用政策手册、会计和财务报告手册和备忘录等形式进行，也可以通过发手册和备忘录等形式进行，也可以通过发送电子邮件、口头沟通和管理层的行动来送电子邮件、口头沟通和管理层的行动来进行。进行。4、对与财务报告相关的沟通的了解、对与财务报告相关的沟通的了解CPA应当了解被审计单位内部如何对财务报告的应当了解被审计单位内部如何对财务报告的岗位职责，以及与财务报告相关的重大事项进行岗位职责，以及与财务报告相关的重大事项进行沟通。还应了解管理层与治

49、理层（特别是审计委沟通。还应了解管理层与治理层（特别是审计委员会）之间的沟通，以及被审计单位与外部（包员会）之间的沟通，以及被审计单位与外部（包括与监管部门）的沟通。具体包括：括与监管部门）的沟通。具体包括：（1）管理层就员工的职责和控制责任是否进行）管理层就员工的职责和控制责任是否进行了有效沟通；了有效沟通；（2）针对可疑的不恰当事项和行为是否建立了）针对可疑的不恰当事项和行为是否建立了沟通渠道；沟通渠道；（3）组织内部沟通的充分性是否能够）组织内部沟通的充分性是否能够使人员有效地履行职责；使人员有效地履行职责；（4）对于与客户、供应商、监管者和）对于与客户、供应商、监管者和其他外部人士的沟

50、通，管理层是否及其他外部人士的沟通，管理层是否及时采取适当的进一步行动；时采取适当的进一步行动；（5）被审计单位是否受到某些监管机）被审计单位是否受到某些监管机构发布的监管要求的约束；构发布的监管要求的约束；（6）外部人士如客户和供应商在多大）外部人士如客户和供应商在多大程度上获知被审计单位的行为守则。程度上获知被审计单位的行为守则。（四）控制活动1、控制活动的含义、控制活动的含义控制活动控制活动是指有助于确保管理层的指令得以执行是指有助于确保管理层的指令得以执行的政策和程序。的政策和程序。包括与授权、业绩评价、信息处理、实物控制和包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动