第十一章 风险评估.ppt

《第十一章 风险评估.ppt》由会员分享，可在线阅读，更多相关《第十一章 风险评估.ppt（50页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第十一章第十一章 风险评估风险评估 本章内容本章内容 1.1.风险评估概述风险评估概述2.2.风险评估程序、信息来源以及项目风险评估程序、信息来源以及项目组内部的讨论组内部的讨论3.3.了解被审计单位及其环境了解被审计单位及其环境4.4.了解被审计单位内部控制了解被审计单位内部控制5.5.评估重大错报的风险评估重大错报的风险含义含义 风险评估，是指以了解被审计单位及其环境为风险评估，是指以了解被审计单位及其环境为内容，以识别和评估财务报表重大错报风险为目内容，以识别和评估财务报表重大错报风险为目的而实施的程序。的而实施的程序。注册会计师应当依据实施风险评估程序所获取的注册会计师应当依据实施风险

2、评估程序所获取的信息，评估重大错报风险。信息，评估重大错报风险。风险评估程序风险评估程序 包括：包括：询问被审计单位管理层和内部其他相关询问被审计单位管理层和内部其他相关人员，分析程序，观察和检查。人员，分析程序，观察和检查。第一节第一节 风险评估概述风险评估概述第二节第二节 风险评估程序、信息来源以及项目组风险评估程序、信息来源以及项目组内部的讨论内部的讨论一、风险评估程序和信息来源一、风险评估程序和信息来源二、其他审计程序和信息来源二、其他审计程序和信息来源三、项目组内部的讨论三、项目组内部的讨论一、风险评估程序和信息来源一、风险评估程序和信息来源注册会计师应当实施下列风险评估程序，以了解

3、被注册会计师应当实施下列风险评估程序，以了解被审计单位及其环境：审计单位及其环境：(1)(1)询问管理层和被审计单位内询问管理层和被审计单位内部其他相关人员部其他相关人员;(2);(2)分析程序分析程序;(3);(3)观察和检查观察和检查。注意：注意：第一，注册会计师在了解被审计单位及其环境过程第一，注册会计师在了解被审计单位及其环境过程中，往往将上述程序结合在一起中，往往将上述程序结合在一起;第二，注册会计师并非在了解被审计单位及其环境第二，注册会计师并非在了解被审计单位及其环境的每个方面均实施上述所有风险评估程序。的每个方面均实施上述所有风险评估程序。1、询问管理层和被审计单位内部其他相关

4、、询问管理层和被审计单位内部其他相关人员人员（1 1）管理层关注的主要问题。如新的竞争对手、主）管理层关注的主要问题。如新的竞争对手、主要客户和供应商的流失、新税法的实施、经营战要客户和供应商的流失、新税法的实施、经营战略或目标的变化等。略或目标的变化等。（2 2）被审计单位的财务状况、经营成果和现金流动；）被审计单位的财务状况、经营成果和现金流动；（3 3）可能影响财务报告的交易和事项，或者目前发）可能影响财务报告的交易和事项，或者目前发生的重大会计处理问题。生的重大会计处理问题。如重大的购并事项；如重大的购并事项；（4 4）被审计单位的其他重要变化。如所有权结构、）被审计单位的其他重要变化

5、。如所有权结构、组织结构的变化，以及内部控制的变化等。组织结构的变化，以及内部控制的变化等。询问询问治理层治理层，有助于了解财务报表编制的环境；，有助于了解财务报表编制的环境；询问询问内部审计师内部审计师，有助于了解内部审计针对内部控制设计，有助于了解内部审计针对内部控制设计和运行所实施的工作，以及管理层对内部审计发现的问题和运行所实施的工作，以及管理层对内部审计发现的问题是否采取了适当的措施；是否采取了适当的措施；询问参与生成、处理或记录复杂或异常交易的询问参与生成、处理或记录复杂或异常交易的员工员工，有助，有助于评估被审计单位选择和运用某项会计政策的适当性；于评估被审计单位选择和运用某项会

6、计政策的适当性；询问询问内部法律顾问内部法律顾问，有助于了解有关法律法规的遵循情况、，有助于了解有关法律法规的遵循情况、产品保证和售后责任、与合作伙伴的安排（如合营企业）产品保证和售后责任、与合作伙伴的安排（如合营企业）以及诉讼情况等；以及诉讼情况等；询问询问营销或销售人员营销或销售人员，有助于了解被审计单位的营销策略，有助于了解被审计单位的营销策略及其变化、销售趋势或与其客户的合同安排；及其变化、销售趋势或与其客户的合同安排；询问询问采购人员和生产人员采购人员和生产人员，有助于了解被审计单位的原材，有助于了解被审计单位的原材料采购和产品生产等情况；料采购和产品生产等情况；询问询问仓库管理人员

7、仓库管理人员，有助于了解原材料、产成品等存货的，有助于了解原材料、产成品等存货的进出、保管和盘点等情况。进出、保管和盘点等情况。2、分析程序分析程序分析程序是指注册会计师通过研究分析程序是指注册会计师通过研究不同财务数不同财务数据之间以及财务数据与非财务数据之间的内在据之间以及财务数据与非财务数据之间的内在关系关系，对财务信息作出评价。分析程序还包括，对财务信息作出评价。分析程序还包括调查识别出的、与其他相关信息不一致或与预调查识别出的、与其他相关信息不一致或与预期数据严重偏离的波动和关系期数据严重偏离的波动和关系。分析程序有助于识别异常的交易或事项，以及分析程序有助于识别异常的交易或事项，以

8、及对财务报表和审计产生影响的金额、比率和趋对财务报表和审计产生影响的金额、比率和趋势，确定重点审计领域，以较低的成本实现审势，确定重点审计领域，以较低的成本实现审计目标。计目标。在实施分析程序时，注册会计师应当在实施分析程序时，注册会计师应当预期可能存预期可能存在的合理关系在的合理关系，并与被审计单位记录的金额、依，并与被审计单位记录的金额、依据记录金额计算的比率或趋势相据记录金额计算的比率或趋势相比较比较；如果发现；如果发现异常或未预期到的关系，注册会计师应当在识别异常或未预期到的关系，注册会计师应当在识别重大错报风险时考虑这些比较结果。重大错报风险时考虑这些比较结果。汇总数据与明细数据相结

9、合汇总数据与明细数据相结合 例如，被审计单位存在很多产品系列，各个产品例如，被审计单位存在很多产品系列，各个产品系列的毛利率存在一定差异。对总体毛利率实施系列的毛利率存在一定差异。对总体毛利率实施分析程序的结果仅可能初步显示销售成本存在重分析程序的结果仅可能初步显示销售成本存在重大错报风险，注册会计师需要实施更为详细的分大错报风险，注册会计师需要实施更为详细的分析程序。例如，对每一产品系列进行毛利率分析，析程序。例如，对每一产品系列进行毛利率分析，或者将总体毛利率分析的结果连同其他信息一并或者将总体毛利率分析的结果连同其他信息一并考虑。考虑。3、观察和检查观察和检查（1 1）观察被审计单位的生

10、产经营活动；）观察被审计单位的生产经营活动；（2 2）检查文件、记录和内部控制手册；）检查文件、记录和内部控制手册；（3 3）阅读由管理层和治理层编制的报告；）阅读由管理层和治理层编制的报告；（4 4）实地察看生产经营场所和设备；）实地察看生产经营场所和设备；（5 5）追踪交易在财务报告信息系统中的处理）追踪交易在财务报告信息系统中的处理过程（穿行测试）。过程（穿行测试）。二、二、其他审计程序和信息来源其他审计程序和信息来源1.1.其他审计程序其他审计程序 如果根据职业判断认为如果根据职业判断认为从被审计单位外从被审计单位外部获取的信息部获取的信息有助于识别重大错报风险，有助于识别重大错报风险

11、，注册会计师应当实施其他审计程序以获取注册会计师应当实施其他审计程序以获取这些信息。这些信息。例如例如：询问被审计单位聘请的外部法律顾：询问被审计单位聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等。问、专业评估师、投资顾问和财务顾问等。阅读外部信息也可能有助于注册会计师了阅读外部信息也可能有助于注册会计师了解被审计单位及其环境。解被审计单位及其环境。2.2.其他信息来源其他信息来源注册会计师应当考虑在注册会计师应当考虑在承接承接客户或客户或续约续约过过程中获取的信息，以及向被审计单位提供程中获取的信息，以及向被审计单位提供其他服务所获得的经验是否有助于识别重其他服务所获得的经验是否有助于

12、识别重大错报风险。大错报风险。对于对于连续审计连续审计业务，如果拟利用在以前期业务，如果拟利用在以前期间获取的信息，注册会计师应当确定被审间获取的信息，注册会计师应当确定被审计单位及其环境是否已发生变化，以及该计单位及其环境是否已发生变化，以及该变化是否可能影响以前期间获取的信息在变化是否可能影响以前期间获取的信息在本期审计中的相关性。本期审计中的相关性。三、项目组内部的讨论三、项目组内部的讨论1、讨论的目标讨论的目标2 2、讨论的内容讨论的内容3 3、参与讨论的人员、参与讨论的人员4 4、讨论的时间和方式、讨论的时间和方式第三节第三节 了解被审计单位及其环境了解被审计单位及其环境 一、总体要

13、求一、总体要求二、行业状况、法律环境和监管环境以及二、行业状况、法律环境和监管环境以及其他外部因素其他外部因素三、被审计单位的性质三、被审计单位的性质四、被审计单位对会计政策的选择和运用四、被审计单位对会计政策的选择和运用五、被审计单位的目标、战略以及相关经五、被审计单位的目标、战略以及相关经营风险营风险六、被审计单位财务业绩的衡量和评价六、被审计单位财务业绩的衡量和评价一、总体要求一、总体要求（1 1）行业状况、法律环境与监管环境以及其他外部因素；）行业状况、法律环境与监管环境以及其他外部因素；（2 2）被审计单位的性质；）被审计单位的性质；（3 3）被审计单位对会计政策的选择和运用；）被审

14、计单位对会计政策的选择和运用；（4 4）被审计单位的目标、战略以及相关经营风险；）被审计单位的目标、战略以及相关经营风险；（5 5）被审计单位财务业绩的衡量和评价；）被审计单位财务业绩的衡量和评价；（6 6）被审计单位的内部控制。）被审计单位的内部控制。（一）行业状况（一）行业状况（1）所在行业市场供求与竞争）所在行业市场供求与竞争 （2）生产经营季节性和周期性）生产经营季节性和周期性（3）产品生产技术的变化）产品生产技术的变化 （4）能源供应与成本）能源供应与成本（5）行业的关键指标和统计数据）行业的关键指标和统计数据（二）法律环境与监管环境（二）法律环境与监管环境（1）适用的会计准则、会计

15、制度和行业特定惯例；）适用的会计准则、会计制度和行业特定惯例；（2）对经营活动产生重大影响的法律法规及监管活动；）对经营活动产生重大影响的法律法规及监管活动；（3）对开展业务产生重大影响的政府政策；）对开展业务产生重大影响的政府政策；（4）与被审计单位所处行业和所从事经营活动相关的环保要求。）与被审计单位所处行业和所从事经营活动相关的环保要求。（三）其他外部因素（三）其他外部因素（1）宏观经济的景气度）宏观经济的景气度 （2）利率和资金供求状况）利率和资金供求状况（3）通货膨胀水平及币值变动）通货膨胀水平及币值变动 （4）国际经济环境和汇率变动）国际经济环境和汇率变动 二、行业状况、法律环境与

16、监管环境以及其他外部因素二、行业状况、法律环境与监管环境以及其他外部因素二、行业状况、法律环境与监管环境以及其他外部因素二、行业状况、法律环境与监管环境以及其他外部因素（一）所有权结构（一）所有权结构。有助于识别关联方关系并了解企业的有助于识别关联方关系并了解企业的决策过程、财务报表合并范围、长期股权投资核算方法等。决策过程、财务报表合并范围、长期股权投资核算方法等。（二）治理结构（二）治理结构。良好的治理结构可以对企业的经营和财。良好的治理结构可以对企业的经营和财务实施有效的监督，从而降低财务报表发生重大错报的风务实施有效的监督，从而降低财务报表发生重大错报的风险。险。（三）组织结构（三）组

17、织结构。复杂的组织结构可能导致重大错报风险。复杂的组织结构可能导致重大错报风险。（四）经营活动（四）经营活动。有助于识别预期在财务报表中反映的主。有助于识别预期在财务报表中反映的主要交易类别、重要账户余额和列报。要交易类别、重要账户余额和列报。（五）投资活动（五）投资活动。有助于关注企业在经营策略和方向上的。有助于关注企业在经营策略和方向上的重大变化。重大变化。（六）筹资活动（六）筹资活动。有助于评估企业在融资方面的压力，并。有助于评估企业在融资方面的压力，并进一步考虑企业在可预见未来的持续经营能力。进一步考虑企业在可预见未来的持续经营能力。三、三、被审计单位的性质被审计单位的性质（1 1）重

18、要项目的会计政策（选择、变更、运用等）重要项目的会计政策（选择、变更、运用等）影响：影响：企业可能利用会计政策或会计估计及其变企业可能利用会计政策或会计估计及其变 更操纵利润更操纵利润（2 2）行业惯例）行业惯例 （与行业惯例不同的原因等）（与行业惯例不同的原因等）（3 3）列报是否恰当并披露了重要事项）列报是否恰当并披露了重要事项 是否符合适用的会计准则和相关会计制度是否符合适用的会计准则和相关会计制度 是否符合被审计单位的具体情况是否符合被审计单位的具体情况四、四、被审计单位对会计政策的选择和运用被审计单位对会计政策的选择和运用五、被审计单位的目标、战略以及相关经营风险五、被审计单位的目标

19、、战略以及相关经营风险（一）了解是否存在以下七个方面的目标和战略，并考虑（一）了解是否存在以下七个方面的目标和战略，并考虑 相应的经营风险：相应的经营风险：（1 1）行业发展，可能导致的被审计单位不具备足以应对行业变化）行业发展，可能导致的被审计单位不具备足以应对行业变化的人力资源和业务专长等风险；的人力资源和业务专长等风险；（2 2）开发新产品或提供新服务，可能导致被审计单位产品责任增）开发新产品或提供新服务，可能导致被审计单位产品责任增加等风险；加等风险；（3 3）业务扩张，可能导致的被审计单位对市场需求的估计不准确）业务扩张，可能导致的被审计单位对市场需求的估计不准确等风险；等风险；（4

20、 4）新颁布的会计法规，可能导致的被审计单位执行法规不当或）新颁布的会计法规，可能导致的被审计单位执行法规不当或不完整，或会计处理成本增加等风险；不完整，或会计处理成本增加等风险；（5 5）监管要求，可能导致的被审计单位法律责任增加等风险；）监管要求，可能导致的被审计单位法律责任增加等风险；（6 6）本期及未来的融资条件，可能导致的被审计单位由于无法满）本期及未来的融资条件，可能导致的被审计单位由于无法满足融资条件而失去融资机会等风险；足融资条件而失去融资机会等风险；（7 7）信息技术的运用，可能导致的被审计单位信息系统与业务流）信息技术的运用，可能导致的被审计单位信息系统与业务流程难以融合等

21、风险。程难以融合等风险。（二）经营风险对重大错报风险的影响（二）经营风险对重大错报风险的影响 多数经营风险最终都会产生财务后果，从多数经营风险最终都会产生财务后果，从而影响财务报表。但并非所有经营风险都会导而影响财务报表。但并非所有经营风险都会导致重大错报风险，注册会计师没有责任识别或致重大错报风险，注册会计师没有责任识别或评估对财务报表没有影响的经营风险。评估对财务报表没有影响的经营风险。经营风险可能对各类交易、账户余额以及经营风险可能对各类交易、账户余额以及列报认定层次或财务报表层次产生直接影响。列报认定层次或财务报表层次产生直接影响。（一）（一）审计师应当关注下列信息：审计师应当关注下列

22、信息：关键业绩指标；关键业绩指标；业绩趋势业绩趋势；预测、预算和差异分析；预测、预算和差异分析；管理层和员工业绩考核与激励性报酬政策；管理层和员工业绩考核与激励性报酬政策；分部信息与不同层次部门的业绩报告；分部信息与不同层次部门的业绩报告；与竞争对手的业绩比较；与竞争对手的业绩比较；外部机构提出的报告。外部机构提出的报告。（二）应当关注被审计单位内部财务业绩衡量所显示的未预期到（二）应当关注被审计单位内部财务业绩衡量所显示的未预期到的结果或趋势、管理层的调查结果和纠正措施，以及相关信息是的结果或趋势、管理层的调查结果和纠正措施，以及相关信息是否显示财务报表可能存在重大错报。否显示财务报表可能存

23、在重大错报。六、六、被审计单位财务业绩的衡量和评价被审计单位财务业绩的衡量和评价第四节第四节 了解被审计单位内部控制了解被审计单位内部控制一、内部控制的含义和要素一、内部控制的含义和要素二、与审计相关的控制二、与审计相关的控制三、内部控制的人工和自动化成分三、内部控制的人工和自动化成分四、四、内部控制的局限性内部控制的局限性五、控制环境五、控制环境六、被审计单位的风险评估过程六、被审计单位的风险评估过程七、信息系统与沟通七、信息系统与沟通八、控制活动八、控制活动九、对控制的监督九、对控制的监督一、内部控制的含义一、内部控制的含义 内部控制是：被审计单位为了合理保证内部控制是：被审计单位为了合理

24、保证 财务报告的可靠性，财务报告的可靠性，经营的效率和效果，经营的效率和效果，对法律法规的遵守，对法律法规的遵守，由治理层、管理层和其他人员设计和执由治理层、管理层和其他人员设计和执行的政策和程序。行的政策和程序。注册会计师需要了解和评价的内部控制并非被审计注册会计师需要了解和评价的内部控制并非被审计单位所有的内部控制，只是单位所有的内部控制，只是与财务报表审计相关的与财务报表审计相关的内部控制内部控制，包括，包括为实现财务报告可靠性目标设计和为实现财务报告可靠性目标设计和实施的控制实施的控制 。如果在设计和实施进一步审计程序时拟利用被审计如果在设计和实施进一步审计程序时拟利用被审计单位内部生

25、成的信息，注册会计师应当考虑用以保单位内部生成的信息，注册会计师应当考虑用以保证该信息完整性和准确性的控制是否与审计相关。证该信息完整性和准确性的控制是否与审计相关。例如例如，对于某些非财务数据（如生产统计数据）的，对于某些非财务数据（如生产统计数据）的控制，如果注册会计师在实施分析程序时使用这些控制，如果注册会计师在实施分析程序时使用这些数据，这些控制就可能与审计相关。数据，这些控制就可能与审计相关。二、二、与审计相关的内部控制与审计相关的内部控制用以保护资产的内部控制可能包括与实现财务报告可用以保护资产的内部控制可能包括与实现财务报告可靠性和经营效率、效果目标相关的控制。靠性和经营效率、效

26、果目标相关的控制。注册会计师在了解保护资产的内部控制各项要素时，注册会计师在了解保护资产的内部控制各项要素时，可仅考虑其中可仅考虑其中与财务报告可靠性目标相关的控制与财务报告可靠性目标相关的控制。例如例如，保护存货安全的控制可能与审计相关，但在生，保护存货安全的控制可能与审计相关，但在生产中防止材料浪费的控制通常就与审计不相关，只有产中防止材料浪费的控制通常就与审计不相关，只有所用材料的成本没有在财务报表中如实反映，才会影所用材料的成本没有在财务报表中如实反映，才会影响财务报表的可靠性。响财务报表的可靠性。审计师应当运用职业判断，考虑一项控制审计师应当运用职业判断，考虑一项控制单独或单独或连同

27、连同其他控制是否与评估重大错报风险有关，是其他控制是否与评估重大错报风险有关，是否与针对评估的风险设计和实施进一步审计程序否与针对评估的风险设计和实施进一步审计程序有关。有关。内部控制采用人工系统还是自动化系统，将影响内部控制采用人工系统还是自动化系统，将影响交易生成、记录、交易生成、记录、处理和报告的方式处理和报告的方式。在风险评估以及设计和实施进一步审计程序时，注册会计师应当在风险评估以及设计和实施进一步审计程序时，注册会计师应当考虑内部控制的人工和自动化特征及其影响。考虑内部控制的人工和自动化特征及其影响。信息技术对内部控制产生的特定风险：信息技术对内部控制产生的特定风险：（1）系统或程

28、序未能正确处理数据，或处理了不正确的数据，或两种情）系统或程序未能正确处理数据，或处理了不正确的数据，或两种情况同时并存；况同时并存；（2）在未得到授权情况下访问数据，可能导致数据的毁损或对数据不恰）在未得到授权情况下访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易；当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易；（3）信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏）信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工；了系统应有的职责分工；（4）未经授权改变主文档的数据；（）未经授权改

29、变主文档的数据；（5）未经授权改变系统或程序；）未经授权改变系统或程序；（6）未能对系统或程序作出必要的修改；（）未能对系统或程序作出必要的修改；（7）不恰当的人为干预；）不恰当的人为干预；（8）数据丢失的风险或不能访问所需要的数据。）数据丢失的风险或不能访问所需要的数据。三、三、内部控制的人工和自动化成分内部控制的人工和自动化成分人工控制产生的特定风险：人工控制产生的特定风险：（1）人工控制可能更容易被规避、忽视或凌驾；）人工控制可能更容易被规避、忽视或凌驾；（2）人工控制可能不具有一贯性；）人工控制可能不具有一贯性；（3）人工控制可能更容易产生简单错误或失误。）人工控制可能更容易产生简单错

30、误或失误。人工成分在处理需要主观判断或酌情处理的情形时更适当：人工成分在处理需要主观判断或酌情处理的情形时更适当：（1 1）存在大额、异常或偶发的交易；）存在大额、异常或偶发的交易；（2 2）存在难以定义、防范或预见的错误；）存在难以定义、防范或预见的错误；（3 3）为应对情况的变化，需要对现有的自动化控制进行调整；）为应对情况的变化，需要对现有的自动化控制进行调整；（4 4）监督自动化控制的有效性。）监督自动化控制的有效性。人工控制在下列三种情形中可能是不适当的：人工控制在下列三种情形中可能是不适当的：（1 1）存在大量或重复发生的交易；）存在大量或重复发生的交易；（2 2）事先可预见的错误

31、能够通过自动化控制得以防或发现；）事先可预见的错误能够通过自动化控制得以防或发现；（3 3）控制活动可得到适当设计和自动化处理。）控制活动可得到适当设计和自动化处理。内部控制存在固有局限性，无论如何设计和执行，内部控制存在固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供只能对财务报告的可靠性提供合理的保证合理的保证。内部控制存在的固有局限性包括：内部控制存在的固有局限性包括：（1 1）决策时的人为判断可能出现错误或失误，导致内部控制失效；）决策时的人为判断可能出现错误或失误，导致内部控制失效；（2 2）可能两人或更多的人员串通而被规避；）可能两人或更多的人员串通而被规避；（3 3）管

32、理层凌驾于内部控制之上而被规避；）管理层凌驾于内部控制之上而被规避；（4 4）成本）成本效益原则的限制；效益原则的限制；（5 5）内控通常针对经常而重复发生的业务，对不经常发生或未预计）内控通常针对经常而重复发生的业务，对不经常发生或未预计业务，原有控制可能不适用。业务，原有控制可能不适用。小型被审计单位小型被审计单位由于员工较少，业主由于员工较少，业主凌驾于内部控制之上的可凌驾于内部控制之上的可 能性较大，审计师应当考虑一些关键领域是否存在有效的内部能性较大，审计师应当考虑一些关键领域是否存在有效的内部 控制。控制。四、四、内部控制的局限性内部控制的局限性五、控制环境五、控制环境控制环境控制

33、环境控制环境包括控制环境包括治理职能和管理职能治理职能和管理职能，以及治理，以及治理层和管理层对内部控制及其重要性的层和管理层对内部控制及其重要性的态度、认态度、认识和措施。识和措施。控制环境设定了被审计单位的控制环境设定了被审计单位的内部控制基调内部控制基调，影响员工对内部控制的认识和态度。影响员工对内部控制的认识和态度。良好的控良好的控制环境是实施有效内部控制的基础。制环境是实施有效内部控制的基础。评价控制环境评价控制环境 在审计业务承接阶段，注册会计师就需要对控制环境在审计业务承接阶段，注册会计师就需要对控制环境作出初步了解和评价。作出初步了解和评价。（控制环境本身并不能防止或发现并纠正

34、各类交易、（控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报，注册会计师在账户余额、列报认定层次的重大错报，注册会计师在评估重大错报风险时，应当将控制环境连同其他内部评估重大错报风险时，应当将控制环境连同其他内部控制要素产生的影响一并考虑。）控制要素产生的影响一并考虑。）在评价控制环境时，审计师应当了解管理层在治理在评价控制环境时，审计师应当了解管理层在治理层的监督下，是否营造并保持了层的监督下，是否营造并保持了诚实守信和合乎道德诚实守信和合乎道德的文化的文化，以及是否建立了防止或发现并纠正舞弊和错，以及是否建立了防止或发现并纠正舞弊和错误的误的恰当控制恰当控制。六

35、、被审计单位的风险评估过程六、被审计单位的风险评估过程风险评估过程：识别、评估和管理影响企业经风险评估过程：识别、评估和管理影响企业经营目标实现能力的各种风险。营目标实现能力的各种风险。针对财务报告目标的风险评估过程则包括识别与针对财务报告目标的风险评估过程则包括识别与财务报告相关的经营风险，评估风险的重大性和财务报告相关的经营风险，评估风险的重大性和发生的可能性，以及采取何种措施管理这些风险发生的可能性，以及采取何种措施管理这些风险。在评价被审计单位风险评估过程的设计和执行时，在评价被审计单位风险评估过程的设计和执行时，注册会计师应当确定管理层注册会计师应当确定管理层如何识别如何识别与财务报

36、告与财务报告相关的经营风险，如何评估该风险的相关的经营风险，如何评估该风险的重要性重要性，如，如何评估风险发生的何评估风险发生的可能性可能性，以及如何，以及如何采取措施采取措施管管理这些风险。理这些风险。注册会计师应当了解被审计单位的风险评注册会计师应当了解被审计单位的风险评估过程和结果，估过程和结果，如果被审计单位的风险评估如果被审计单位的风险评估过程符合其具体情况，有助于注册会计师识别过程符合其具体情况，有助于注册会计师识别重大错报的风险。重大错报的风险。注册会计师应当注册会计师应当询问询问管理层识别出的经营风险，管理层识别出的经营风险，并考虑这些风险是否可能导致重大错报。并考虑这些风险是

37、否可能导致重大错报。在审计过程中，如果识别出管理层未能识别的在审计过程中，如果识别出管理层未能识别的重大错报风险，注册会计师应当考虑被审计单重大错报风险，注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险，位的风险评估过程为何没有识别出这些风险，以及评估过程是否适合于具体环境。以及评估过程是否适合于具体环境。七、信息系统与沟通七、信息系统与沟通 （一）与财务报告相关的信息系统（一）与财务报告相关的信息系统包括用以生成、记录、处理和报告交易和事项，对相关资产、包括用以生成、记录、处理和报告交易和事项，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。负债和所有者权益履行经营

38、管理责任的程序和记录。与财务报告相关的信息系统所生成信息的质量，对管理层能与财务报告相关的信息系统所生成信息的质量，对管理层能否作出恰当的经营管理决策以及编制可靠的财务报告具有重否作出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。大影响。与财务报告相关的信息系统通常包括五项职能：与财务报告相关的信息系统通常包括五项职能：（1 1）识别与记录识别与记录所有的有效交易；所有的有效交易；（2 2）及时、详细地描述及时、详细地描述交易，以便在财务报告中对交交易，以便在财务报告中对交易作出易作出恰当分类恰当分类；（3 3）恰当计量恰当计量交易，以便在财务报告中对交易的金额交易，以便在财务报告中对

39、交易的金额作出准确记录；作出准确记录；（4 4）恰当确定恰当确定交易生成的交易生成的会计期间会计期间；（5 5）在财务报表中）在财务报表中恰当列报恰当列报交易。交易。（二）与财务报告相关的沟通（二）与财务报告相关的沟通与财务报告相关的沟通包括使员工了解：与财务报告相关的沟通包括使员工了解：各自在与财务报告有关的内部控制方面的职责；各自在与财务报告有关的内部控制方面的职责；员工之间的工作联系；员工之间的工作联系；向适当级别的管理层报告例外事项的方式。向适当级别的管理层报告例外事项的方式。沟通可以采用沟通可以采用政策手册、会计和财务报告手册和备忘录政策手册、会计和财务报告手册和备忘录等形式等形式进

40、行，也可以通过进行，也可以通过发送电子邮件、口头沟通和管理层的行动发送电子邮件、口头沟通和管理层的行动来来进行。进行。注册会计师应当了解：注册会计师应当了解：被审计单位内部被审计单位内部如何如何对财务报告的岗位职责，以及与财对财务报告的岗位职责，以及与财务报告相关的重大事项进行务报告相关的重大事项进行沟通沟通。管理层管理层与治理层与治理层(特别是审计委员会）之间的沟通。特别是审计委员会）之间的沟通。被审计单位被审计单位与外部与外部（包括与监管部门）的沟通。（包括与监管部门）的沟通。八、控制活动八、控制活动控制活动，是指有助于确保管理层的指令得以控制活动，是指有助于确保管理层的指令得以执行的政策

41、和程序。包括与授权、业绩评价、执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。信息处理、实物控制和职责分离等相关的活动。1.授权授权 授权包括授权包括一般授权和特别授权一般授权和特别授权。一般授权是指管理。一般授权是指管理层制定的要求组织内部遵守的层制定的要求组织内部遵守的普遍普遍适用于某类交易或适用于某类交易或活动的政策。特别授权是指管理层针对活动的政策。特别授权是指管理层针对特定类别的交特定类别的交易或活动逐一设置易或活动逐一设置的授权。的授权。2.业绩评价业绩评价 包括：分析评价实际业绩与预算（或预测、前期业包括：分析评价实际业绩与预算（或预测、前期业绩

42、）的差异，综合分析财务数据与经营数据的内在关绩）的差异，综合分析财务数据与经营数据的内在关系，将内部数据与外部信息来源相比较，从而评价职系，将内部数据与外部信息来源相比较，从而评价职能部门、分支机构或项目活动的业绩，以及对发现的能部门、分支机构或项目活动的业绩，以及对发现的异常差异或关系采取必要的调查与纠正措施。异常差异或关系采取必要的调查与纠正措施。3.信息处理信息处理 与信息处理有关的控制活动，包括信息技术一般控制与信息处理有关的控制活动，包括信息技术一般控制和应用控制。和应用控制。一般控制是指与多个应用系统有关的政策和程序，有助一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系

43、统持续恰当地运行，支持应用控制作用的于保证信息系统持续恰当地运行，支持应用控制作用的有效发挥。通常包括：数据中心和网络运行控制，系统有效发挥。通常包括：数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制，软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制。应用系统的购置、开发及维护控制。应用控制是指主要在业务流程层次运行的人工或自动化应用控制是指主要在业务流程层次运行的人工或自动化程序，与生成、记录、处理、报告交易或其他财务数据程序，与生成、记录、处理、报告交易或其他财务数据的程序相关。通常包括：检查数据计算准确性，审核账的程序相关。通常包括

44、：检查数据计算准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检户和试算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。查，以及对例外报告进行人工干预。4 .实物控制实物控制 实物控制主要包括：实物控制主要包括：对资产和记录采取适当的安全保护措施，如限制对资产和记录采取适当的安全保护措施，如限制接近。接近。对访问计算机程序和数据文件设置授权。对访问计算机程序和数据文件设置授权。定期盘点并将盘点记录与会计记录相核对。定期盘点并将盘点记录与会计记录相核对。实物控制的效果影响实物控制的效果影响资产资产的安全，从而对财务报表的的安全，从而对财务报表的可靠性及审计产生

45、影响。可靠性及审计产生影响。5 .职责分离职责分离 注册会计师应当了解职责分离，主要包括了解被审注册会计师应当了解职责分离，主要包括了解被审计单位如何将计单位如何将交易授权交易授权、交易记录交易记录以及以及资产保管等职资产保管等职责责分配给不同员工，以防范同一员工在履行多项职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。时可能发生的舞弊或错误。企业需要分离的职务（不相容职务）通常包括：企业需要分离的职务（不相容职务）通常包括：记账与经济业务事项和会计事项的审批、经办、财务记账与经济业务事项和会计事项的审批、经办、财务保管职务；保管职务；经济业务事项的授权批准职务和经办职

46、务；经济业务事项的授权批准职务和经办职务；经办经济业务事项的职务与审查稽核职务；经办经济业务事项的职务与审查稽核职务；保管财产物资的职务与清查财产物资的职务；保管财产物资的职务与清查财产物资的职务；出纳与稽核、会计档案保管和收入、支出、费用、债出纳与稽核、会计档案保管和收入、支出、费用、债权债务账目的登记；权债务账目的登记；重大对外投资、资产处置、资金调度和其他重要经济重大对外投资、资产处置、资金调度和其他重要经济业务事项的决策和执行的相互监督、相互制约职务；业务事项的决策和执行的相互监督、相互制约职务；计算机信息系统环境下的系统分析、程序设计、电脑计算机信息系统环境下的系统分析、程序设计、电

47、脑操作和数据控制等职务。操作和数据控制等职务。在了解控制活动时，注册会计师应当重点在了解控制活动时，注册会计师应当重点考虑一项控制活动考虑一项控制活动单独或连同单独或连同其他控制活其他控制活动，是否能够以及如何防止或发现并纠正动，是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错各类交易、账户余额、列报存在的重大错报。报。注册会计师的工作重点是识别和了解针对注册会计师的工作重点是识别和了解针对可能发生重大错报的领域可能发生重大错报的领域的控制活动（与的控制活动（与授权、业绩评价、信息处理、实物控制和授权、业绩评价、信息处理、实物控制和职责分离等相关的活动职责分离等相关的活动)

48、。九、九、对控制的监督对控制的监督对控制的监督，是指被审计单位评价内部控制在一对控制的监督，是指被审计单位评价内部控制在一段时间内段时间内运行有效性运行有效性的过程。该过程包括及时评价的过程。该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要控制的设计和运行，以及根据情况的变化采取必要的纠正措施。的纠正措施。例如，管理层对是否定期编制银行存款余额调节表进行例如，管理层对是否定期编制银行存款余额调节表进行复核，内部审计评价销售人员是否遵守公司关于销售合复核，内部审计评价销售人员是否遵守公司关于销售合同条款的政策，法律部门定期监控公司的道德规范和商同条款的政策，法律部门定期监控公司的道

49、德规范和商务行为准则是否得以遵循等。务行为准则是否得以遵循等。监督对监督对控制的持续有效运行控制的持续有效运行十分重要。十分重要。例如，如果没有对银行存款余额调节表是否及时、准确例如，如果没有对银行存款余额调节表是否及时、准确编制进行监督，该项控制可能无法得到持续的执行。编制进行监督，该项控制可能无法得到持续的执行。通常，被审计单位通过通常，被审计单位通过持续持续的监督活动（如部的监督活动（如部门经理的监控）、专门的评价活动（如内部审门经理的监控）、专门的评价活动（如内部审计）或两者相结合，来实现对控制的监督。计）或两者相结合，来实现对控制的监督。被审计单位可能使用内部审计人员或具有类似被审计

50、单位可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门职能的人员对内部控制的设计和执行进行专门的评价，以找出内部控制的优点和不足，并提的评价，以找出内部控制的优点和不足，并提出改进建议。出改进建议。注册会计师应当考虑的主要因素：注册会计师应当考虑的主要因素：（1）被审计单位是否）被审计单位是否定期定期评价内部控制；评价内部控制；（2）被审计单位人员在履行正常职责时，能够在）被审计单位人员在履行正常职责时，能够在多大多大程度上获得程度上获得内部控制是否有效运行的证据；内部控制是否有效运行的证据；（3）与外部的沟通能够在）与外部的沟通能够在多大程度上证实多大程度上证实内部产生的