第七章风险评估第一节了解被审计单位及其环境注册会计师为了解被审单位及其环境而实施的程序称为风险评估程序。

注师了解被审单位及其环境目的、方法、内容目的识别和评估重大错报风险。

（必要程序）方法1、询问；2、分析程序；（比较）3、观察（活动或程序）和检查（文件记录，实物），（看）；穿行测试项目组内部讨论。

内容1、行业状况、法律环境与监管环境及其它；2、被审性质（内）包括所有权结构、治理结构、组织结构、经营活动、投资活动和筹资活动。

3、被审对会计政策选择和运用。

4、被审目标、战略及相关经营风险5、被审财务业绩的衡量和评价6、被审内部控制。

（内）第二节了解被审计单位内部控制一、内部控制的含义是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。

理解本概念包括：1、内部控制：一系列政策和程序（制度）2、责任主体：被审计单位治理层、管理层和其他人员（被审计单位）3、实现手段：设计和执行4、内部控制的目标：（合理不是绝对保证）①财务报告的可靠性，这一目标与管理层履行财务报告编制责任密切相关；②经营的效率和效果；③在所有经营活动中遵守法律法规。

二、内部控制的一般考虑（一）注册会计师需要关注的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。

（二）内部控制存在的固有局限性 (只是合理保证，不是绝对)1、设计受制于成本效益原则，针对常规业务设计（成本﹥效益时可能会放弃）2、执行由于执行人员素质不高、人为失误而导致内部控制失效。

（无意）可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。

（有意）内部控制只能对财务报告的可靠性提供合理的保证，而不是绝对保证。

（不管内部控制设计和执行的多完善，控制风险永远﹥0，内部控制不能防止发现所有的错误）三、内部控制要素的分述内部控制五要素（内部控制框架，COSO报告）内部牵制（1要素）→内部会计控制系统（会计、管理2要素）→内部控制结构（控制环境、会计系统和控制程序3要素）→内部控制框架，2003，COSO报告，5要素）1、控制环境；2、风险评估过程；3、信息系统与沟通；4、控制活动；5、对控制的监督。

（一）控制环境控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。

控制环境设定了被审内部控制的基调。

薄弱控制环境→报表层次重大错报风险（二）被审计单位的风险评估过程1、含义：管理层对经营过程中面临的各项风险识别评估，并针对这些风险所采用的一定的应对措施。

（管理层对风险的识别评估和应对措施）2、可能产生风险的事项（环境、人员、业务技术、经营、准则等各类变化）(三)信息系统与沟通1、与财务报告相关的信息系统的含义包括用以生成、记录、处理和报告交易、事项和情况，对相关资产负债所有者权益履行经济管理责任的程序和记录。

2、与财务报告相关的沟通包括使员工了解各自在与财务报表有关的内部控制方面的角色和职责，员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。

是否存在沟通渠道，是否进行有效沟通（四）控制活动1、含义：控制活动是指有助于确保管理层的指令得以执行的政策和程序。

2、包括的内容与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。

（1）授权：保证交易在管理层授权范围内进行。

包括一般授权和特别授权。

（2）业绩评价：业绩差异的原因及其采取的措施。

（3）信息处理：一般控制和应用控制。

（4）实物控制：对资产和记录采取适当的安全保护措施。

包括定期盘点，账实核对等（5）职责分离：将授权执行、交易记录和资产保管等职责分配给不同员工。

（五）对控制的监督1、含义：是指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。

控制环境、风险评估、对控制的监督与整体层面控制相关。

整体层面控制与报表层次重大错报风险有联系。

控制活动和信息系统与沟通与业务流程层面控制相关。

业务流程层面控制与认定层次重大错报风险有联系。

2008单选5.内部控制无论如何设计和执行只能对财务报告的可行性提供合理保证，其原因是（）。

A.建立和维护内部控制是丙公司管理层的职责B.内部控制的成本不应超过预期带来的收益C.在决策时人为判断可能出现错误D.对资产和记录采取适当的安全保护措施是丙公司管理层应当履行的经管责任答案：C7.在了解控制环境时，C注册会计师通常考虑的因素是（）。

A.内部控制的人工成分B.内部控制的自动化成分C.丙公司董事会对内部控制重要性的态度和认识D.会计信息系统答案：C9.注册会计师没有义务实施的程序是（）。

A.查找丙公司内部控制运行中的所有重大缺陷B.了解丙公司情况及其环境C.实施审计程序，以了解丙公司内部控制的设计D.实施穿行测试，以确定丙公司相关控制活动是否得到执行答案：A2009单选8.持续监督活动应当贯穿于日常经营活动与常规管理工作。

下列活动中属于持续监督活动的是( )。

A审计委员会定期了解财务数据B相应级别的员工复核采购业务流程中控制的执行情况C注册会计师对年度财务报表进行审计D内部审计人员对控制实施风险评估答案：B（见监督含义P141）【答案】B9.在下列各项中不属于内部控制要素的是( )。

A控制风险 B控制活动C对控制的监督 D控制环境【答案】A10.在确定控制活动是否能够防止或发现并纠正重大错报时，下列审计程序中可能无法实现这一目的的是( )。

A询问员工执行控制活动的情况B使用高度汇总的数据实施分析程序C观察员工执行的控制活动D检查文件和记录【答案】B四、对内部控制的了解、评估（一）整体层面对内部控制了解和评估人员项目组中有经验的成员负责重点连续审计，重点关注变化情况。

方法询问、观察、检查、穿行测试内容内部控制的设计和执行记录对了解的形成审计工作记录（一）在业务流程层面了解内部控制采取步骤：1、确定重要业务流程和重要交易类别并记录将经营活动划分为几个重要的业务循环，了解每个业务循环中重要交易流程，并进行记录2、确定可能发生错报环节，是否设置控制控制目标表(P144, )控制目标控制目标解释1.每项已记录的交易均真实（发生）必须有程序确保会计记录中没有虚构的或重复入账的项目。

2.所有的有效交易都已记录（完整性）必须有程序确保没有漏记实际发生的交易。

3.适当计量交易（金额正确）必须有程序确保交易以适当的金额入账。

4.恰当确定交易生成的会计期间（截止正确）必须有程序确保交易在适当的会计期间内入账（如，月、季度、年等）。

5.恰当分类（分类正确）必须有程序确保将交易记入正确的部分类账，必要时，记入相应的明细账内。

6.汇总和过账（金额正确）必须有程序确保所有作为财务记录中的供货方余额都正确地归集（加总）。

确保加总后的金额正确过入总账和明细分类账3、识别和了解相关控制；执行穿行测试，证实对交易流程和相关控制的了解（实际设置控制及执行情况）4、初步评价控制和重大错报风险评估。

初步评价控制的设计和执行情况；并对重大错报风险进行评估。

决定是否信赖控制并进一步控制测试。

信赖内部控制（设计合理并认真执行），重大错报风险较低，进行控制测试，控制测试结果证实内部控制有效，对相关认定的实质性程序范围减少。

（范围小，方法简略，期中）。

不信赖内部控制（设计不合理或未认真执行），不进行控制测试，直接进行实质性程序（范围大，方法详细，期末）第三节评估重大错报风险一、评估财务报表层次和认定层次的重大错报风险（一）识别评估重大错报风险的审计程序1、在了解被审计单位及其环境过程中识别风险；（有无）2、将识别的风险与认定层次可能发生错报的领域相联系；3、考虑识别的风险是否重大；4、考虑识别的风险导致财务报表发生重大错报的可能性。

（二）识别二个层次的重大错报风险识别-评估-哪个层次P327某些重大错报风险与会计报表整体广泛相关，从而影响多项认定的为报表层次的重大错报风险。

某些重大错报风险与特定的交易、账户余额、列报的认定相关，为认定层次的重大错报风险。

1、薄弱的控制环境→财务报表层次的重大错报风险→总体应对措施。

2、某项控制活动→某一特定认定层次重大错报风险→进一步审计程序二、需要特别考虑的重大错报风险（一）特别风险的含义需要特别考虑的重大错报风险（二）确定特别风险时应考虑的事项在确定风险的性质时，注册会计师应当考虑下列事项：（1）风险是否属于舞弊风险；（2）风险是否与近期经济环境、会计处理方法和其他方面的重大变化有关；（3）交易的复杂程度；（4）风险是否涉及重大的关联方交易；（5）财务信息计量的主观程度，特别是对不确定事项的计量存在较大区间；（6）风险是否涉及异常或超出正常经营过程的重大交易。

（三）考虑与特别风险相关的控制对特别风险，注册会计师应当评价相关控制的设计情况，并确定其是否已经得到执行。

如果管理层未能实施控制以恰当应对特别风险，注册会计师应当认为内部控制存在重大缺陷，并考虑其对风险评估的影响。

在此情况下，注册会计师应当就此类事项与治理层沟通。

2008多选5．在了解和测试与特别风险相关的内部控制时，C注册会计师的下列做法正确的有（）。

A．评价相关控制的设计情况，并确定其是否已经得到执行B．如果拟信赖相关控制，每年测试控制的有效性C．如果拟信赖相关控制，且相关控制自上次测试后未发生变化，每两年测试一次控制的有效性D．如果相关控制不能恰当应对特别风险，应当就该事项与丙公司治理层沟通答案：D三、仅通过实质性程序无法应对的重大错报风险考虑控制测试（控制测试和实质性程序同时进行）四、对风险评估的修正评估重大错报风险与了解被审计单位及其环境一样，贯穿整个审计过程的始终。

本章小结：1、了解被审计单位及其环境（目的、方法和内容）2、内部控制的含义、一般考虑、要素和评估3、评估重大错报风险的程序、特别风险一、本章作业（一）单项选择题1．注册会计师了解被审计单位及其环境的目的是（）。

A．为了进行风险评估程序B．收集充分适当的审计证据C．为了识别和评估财务报表重大错报风险D．控制检查风险2．内部控制的目标不包括（）。

A．财务报告的可靠性B．审计风险处在低水平C．经营的效率和效果D．在所有经营活动中遵守法律法规的要求3．关于控制环境的说法不正确的是（）。

A．控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施B．控制环境设定了被审计单位的内部控制基调，影响员工对内部控制的认识和态度。

良好的控制环境是实施有效内部控制的基础C．在评价控制环境的设计和实施情况时，注册会计师应当了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化，以及是否建立了防止或发现并纠正舞弊和错误的恰当控制D．在审计业务承接阶段，注册会计师就需要对控制环境作出最终评价4.了解被审计单位及其环境一般在（）阶段进行。