第七章：风险评估

本章属于重点章节。主要以客观题形式考查了解被审计单位的内部控制、重大错报风险的评估等；同时每年都会结合会计基础知识、审计计划、审计程序、风险应对等知识点，以综合题形式进行考查。第一节 风险识别和评估的概念评估重大错报风险（了解被审计单位及其环境→了解被审计单位的内部控制→风险评估及项目组内部讨论）→应对重大错报风险1.1 风险识别和评估的概念指注册会计师通过实施风险评估程序，识别和评估财务报表层次和认定层次的重大错报风险。风险识别：搜寻风险风险评估：发生可能性和后果严重程度1.2 风险识别和评估的作用1. 了解被审计单位及其环境是必要程序，注册会计师应当了解被审计单位及其环境，以充分识别和评估财务报表重大错报风险，设计和实施进一步审计程序。2. 了解被审计单位及其环境贯穿于整个审计过程的始终。3. 注册会计师对被审计单位及其环境的了解程度，低于管理层需要了解的程度。【2011 年 简答题】ABC 会计师事务所接受委托，负责审计上市公司甲公司 2010 年度财务报表，并委派 A注册会计师担任审计项目合伙人。在制定审计计划时，A 注册会计师根据其审计甲公司的多年经验，认为甲公司 2010 年度财务报表不存在重大错报风险，应当直接实施进一步审计程序。要求：针对上述情形，指出存在哪些可能违反审计准则和质量控制准则的情况，并简要说明理由。【答案】注册会计师直接实施进一步审计程序是不恰当的。了解被审计单位及其环境是必要程序，注册会计师应当了解被审计单位及其环境，以充分识别和评估财务报表重大错报风险。【2017 年 单选题】下列有关了解被审计单位及其环境的说法中，正确的是（ ）。A. 注册会计师无需在审计完成阶段了解被审计单位及其环境B. 注册会计师对被审计单位及其环境了解的程度，低于管理层为经营管理企业而对被审计单位及其环境需要了解的程度C. 对小型被审计单位，注册会计师可以不了解被审计单位及其环境D. 注册会计师对被审计单位及其环境了解的程度，取决于会计师事务所的质量控制政策【答案】B第二节 风险评估程序、信息来源以及项目组内部的讨论2.1 风险评估程序和信息来源风险评估程序是指注册会计师为了解被审计单位及其环境，识别和评估财务报表重大错报风险而实施的审计程序。注册会计师实施风险评估程序，其目的是为了识别和评估财务报表重大错报风险，包括财务报表层次的重大错报风险和认定层次（各类交易、账户余额和披露）重大错报风险。风险评估程序是为了了解被审计单位及其环境目的是识别和评估重大错报风险。为了解被审计单位及其环境而实施的程序为风险评估程序，主要程序有：询问→分析程序→观察和检查【2016 年 单选题】下列各项程序中，通常用作风险评估程序的有（ ）。A. 检查B. 分析程序C. 重新执行D. 观察【答案】ABD（一）询问询问对象询问内容重要来源管理层经营情况、战略目标、新的竞争对手、主要客户、供应商的流失、公司结构等负责财务报告的人员最近的财务状况、经营成果、现金流量、重大会计问题（如重大并购）等治理层编制财务报表的环境内部审计人员内部控制的设计、执行和运行有效性内部法律顾问诉讼、舞弊、产品质量保证、售后责任销售人员营销策略的变化、销售趋势、合同安排（二）分析程序分析程序既可用作风险评估程序和实质性程序，也可用于对财务报表的总体复核。分析程序用于风险评估阶段：如果使用了高度汇总的数据，实施分析程序的结果可能仅初步显示财务报表存在重大错报，注册会计师应当将分析结果连同识别重大错报风险时获取的其他信息一并考虑。分析视角： 异常项目、行业状况、关键指标、变动趋势（三）观察和检查（5 项）1. 观察被审计单位的经营活动；2. 实地察看生产经营场所和厂房设备；3. 检查文件、记录和内部控制手册；经营计划、合同协议、业务流程操作指引、内部控制手册、财务报告、会议纪要、分析报告4. 阅读由管理层和治理层编制的报告；5. 追踪交易在财务报告信息系统中的处理过程（穿行测试）。ž   含义：追踪交易在财务报告信息系统中的处理过程ž   操作：追踪交易在业务流程中如何生成、记录、处理和报告，以及相关控制如何执行ž   目的：了解相关控制并确定控制是否得到执行。穿行测试：观察、检查、询问（贯彻所欲环节） ↓                     应收明细客户订单→运输→验收单→记账凭证          坏账↓                    回款通知单了解内部控制→ 设计、是否执行？ž   风险评估程序（不含了解内部控制）：询问、观察、检查；分析程序ž   风险评估程序（了解内部控制）：询问、观察、检查；穿行测试2.2 其他审计程序和信息来源1. 询问外部人员2. 阅读外部信息3. 考虑以往经验4. 考虑承接信息2.3 项目组内部讨论（一）讨论的目标1. 为项目组成员提供交流信息和分享见解的机会；2. 各自负责的领域内，由于舞弊或者错误导致财务报表重大错报的可能性；3. 各自实施审计程序的结果如何影响审计的其他方面，包括对确定进一步审计程序性质、时间安排和范围的影响。【2009 年 多选题】注册会计师组织项目组内部讨论的目标有（ ）。A. 按照时间预算完成审计工作B. 强调遵守职业道德的必要性C. 分享对被审计单位及其环境了解所形成的见解D. 考虑被审计单位由于舞弊导致重大错报的可能性【答案】ACD（二）讨论的内容（多选题）1. 被审计单位面临的经营风险；2. 财务报表容易发生错报的领域以及发生错报的方式；3. 特别是由于舞弊导致重大错报的可能性；2.3 项目组内部讨论（三）讨论的人员1. 项目组关键成员（并非所有成员）2. 专家（如需要）3. 项目合伙人应当确定向未参与讨论的项目组成员通报哪些事项（四）讨论的时间和方式项目组应当根据具体情况，在整个审计过程中持续交换有关财务报表发生重大错报可能性的信息。第三节 了解被审计单位及其环境了解被审计单位及其环境→了解被审计单位的内部控制→风险评估及项目组内部讨论→评估重大错报风险→应对重大错报风险。3.1 总体要求注册会计师应当从下列方面了解被审计单位及其环境：1. 行业状况、法律环境与监管环境以及其他外部因素；2. 被审计单位的性质；3. 被审计单位对会计政策的选择和运用；4. 被审计单位的目标、战略以及相关经营风险；5. 对被审计单位财务业绩的衡量和评价；6. 被审计单位的内部控制。行业环境（1），经营环境（2、4），财务环境（3、5、6）3.2 行业状况、法律环境与监管环境以及其他外部因素（一）行业状况因素（5 项）风险点举例（综合题）所处行业的市场与竞争①   市场：供过于求，行业不景气；②   竞争：竞争对手和新型产品收入下降和存货跌价风险（发生，准、计分）生产经营的季节性和周期性淡季收入不合理增长收入高估风险（发生）相关的生产技术行业技术变革，旧技术落后收入下降、存货跌价、固定资产减值等能源供应与成本原材料成本的上涨成本上升、毛利率下降行业的关键指标和统计数据行业整体状况、平均毛利率、平均利润率或其他行业性指标被审计单位是否存在“逆势增长”（二）法律环境与监管环境因素（6 项）风险点举例1. 会计原则和行业特定惯例企业会计准则的修订、更新和发布被审计单位可能存在运用不当的风险2. 受管制行业的法规框架与被审计单位行业相关的法律法规（如，环保法等）、监管活动（如对银行、保险等行业的特殊监管）被审计单位未进行正确的会计处理3. 对被审计单位经营活动产生重大影响的法律法规，包括直接的监管活动4. 税收政策被审计单位可能未正确执行税务政策，因而未能进行正确的会计处理5. 政府政策货币政策（含外汇管制）外汇折算、政府补助的核算 财政政策财政政策财政刺激措施（如政府援助关税或贸易限制政策6. 影响行业和被审计单位经营活动的环保要求赔款、罚金、营业外支出、或有（预计）负债、披露等（三）其他外部因素注册会计师应当了解影响被审计单位经营的其他外部因素，主要包括：1. 当前的宏观经济状况以及未来的发展趋势如何？2. 目前国内或本地区的经济状况（如增长率、通货膨胀率、失业率、利率等）怎样影响被审计单位的经营活动？3. 被审计单位的经营活动是否受到汇率波动或全球市场力量的影响？3.3 被审计单位的性质（一）所有权结构对被审计单位所有权结构的了解有助于注册会计师识别关联方关系并了解被审计单位的决策过程。了解所有权结构，考虑关联方关系是否已经得到识别，以及关联方交易是否得到恰当核算；了解其控股母公司（股东）与被审计单位在资产、业务、人员、机构、财务等方面是否分开，是否存在占用资金等情况等。【注】了解控股公司并评估相关舞弊风险（二）治理结构注册会计师应当了解被审计单位的治理结构。例如，董事会的构成情况、董事会内部是否有独立董事；治理结构中是否设有审计委员会或监事会及其运作情况。（三）组织结构复杂的组织结构可能导致某些特定的重大错报风险。【注】常见的风险领域：商誉减值、长期股权投资和财务报表合并、对子公司、联营、合营企业的投资（四）经营活动了解被审计单位经营活动有助于注册会计师识别预期在财务报表中反映的主要交易类别、重要账户余额和列报。（五）投资活动了解被审计单位投资活动有助于注册会计师关注被审计单位在经营策略和方向上的重大变化。1. 并购、资产处置、业务重组或终止2. 资本性投资活动3. 证券投资、委托贷款4. 不纳入合并范围的投资（六）筹资活动了解被审计单位筹资活动有助于注册会计师评估被审计单位在融资方面的压力，并进一步考虑被审计单位在可预见未来的持续经营能力。（七）财务报告1. 会计政策和行业特定惯例；2. 收入确认惯例；3. 公允价值会计核算；4. 外币资产、负债与交易；5. 异常或复杂交易的会计处理。3.4 被审计单位对会计政策的选择和运用1. 重大和异常交易的会计处理方法；2. 在缺乏权威性标准或共识、有争议的或新兴领域，采用重要会计政策产生的影响；3. 会计政策的变更；4. 新颁布的财务报告准则、法律法规，以及被审计单位何时采用、如何采用这些规定。3.5 被审计单位的目标、战略以及相关经营风险（一） 涉及方面（8 个方面）经营风险行业发展不具备足以应对行业变化的人力资源和业务专长等开发新产品或提供新服务被审计单位产品责任增加等业务扩张对市场需求的估计不准确等新的会计要求执行法规不当，或会计处理成本增加等监管要求被审计单位法律责任增加等本期及未来的融资条件无法满足融资条件而失去融资机会等信息技术的运用信息系统与业务流程难以融合等实施战略的影响需要运用新的会计要求的影响主要为财务报表层次的重大错报风险（二）经营风险对重大错报风险的影响1. 多数经营风险最终都会产生财务后果，从而影响财务报表。但并非所有的经营风险都与财务报表相关并导致重大错报风险；2. 注册会计师没有责任识别或评估不重大影响财务报表的经营风险。（三）被审计单位的风险评估过程管理层通常制定识别和应对经营风险的策略，注册会计师应当了解被审计单位的风险评估过程。【2017 年 单选题】下列有关经营风险对重大错报风险的影响的说法中，错误的是（ ）。A. 多数经营风险最终都会产生财务后果，从而可能导致重大错报风险B. 注册会计师在评估重大错报风险时，没有责任识别或评估对财务报表没有重大影响的经营风险C. 经营风险通常不会对财务报表层次重大错报风险产生直接影响D. 经营风险可能对认定层次重大错报风险产生直接影响【答案】C3.6 被审计单位财务业绩的衡量和评价1. 关键业绩指标（财务或非财务的）、关键比率、趋势和经营统计数据；2. 同期财务业绩比较分析；3. 预算、预测、差异分析，分部信息与分部、部门或其他不同层次的业绩报告；4. 员工业绩考核与激励性报酬政策；5. 被审计单位与竞争对手的业绩比较。【举例】CH公司董事会确定的 2019 年销售收入增长目标为 30%。CH公司管理层实行年薪制，总体薪酬水平根据上述目标的完成情况上下浮动。CH公司所处行业 2019 年的平均销售增长率是 18%。【2013 年 多选题】在了解被审计单位财务业绩的衡量和评价时，下列各项中，注册会计师可以考虑的信息有（ ）。A. 经营统计数据B. 信用评级机构报告C. 新颁布的财务报告准则、法律法规的影响D. 员工业绩考核与激励性报酬政策【答案】ABD第四节 了解被审计单位的内部控制4.1 内部控制的含义和要素（一）含义和目标内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计与执行的政策及程序。（二）内部控制五要素环境控制、风险评估过程、控制活动、与财务报告相关的信息系统和沟通、对控制的监督【2009 年 单选题】在下列各项中，不属于内部控制要素的是（ ）。A. 控制活动B. 控制风险C. 对控制的监督D. 控制环境【答案】B（三）内部控制的人工和自动化成分1. 信息技术的优势：（1）在处理大量的交易或数据时，一贯运用事先确定的业务规则，并进行复杂运算；（2）提高信息的及时性、可获得性及准确性；（3）有助于对信息的深入分析；（4）提高对被审计单位的经营业绩及其政策和程序执行情况进行监督的能力；（5）降低控制被规避的风险；（6）通过实施安全控制，提高不相容职务分离的有效性。【理解】自动化优势通常从成本效益角度考虑2. 信息技术对内部控制产生的特定风险（1）所依赖的系统或程序不能正确处理数据，或处理了不正确的数据，或两种情况同时并存；（2）未经授权访问数据，可能导致数据的毁损或对数据不恰当的修改；（3）信息技术人员可能获得超越职责的数据访问权限，破坏系统应有的职责分工；（4）未经授权改变主文档的数据；（5）未经授权改变系统或程序；（6）未能对系统或程序作出必要的修改；（7）不恰当的人为干预；（8）可能丢失数据或不能访问所需要的数据。【链接】（1）一般控制存在缺陷，导致财务报表层的重大错报风险；（2）应用控制存在缺陷，导致认定层的重大错报风险。3. 适合采用人工控制的情形内部控制的人工成分在处理下列需要主观判断或酌情处理的情形时可能更为适当：（1）存在大额、异常或偶发的交易；（2）存在难以界定、预计或预测的错误的情况；（3）针对变化的情况，需要对现有的自动化控制进行人工干预；（4）监督自动化控制的有效性。4. 不适合采用人工控制的情形注册会计师应当考虑人工控制在下列情形中可能是不适当的：（1）存在大量或重复发生的交易；（2）事先可预计或预测的错误能够通过自动化控制参数得以防止或发现并纠正；（3）用特定方法实施控制的控制活动可得到适当设计和自动化处理。5. 人工控制产生的特定风险（1）人工控制可能更容易被规避、忽视或凌驾；（2）人工控制可能不具有一贯性；（3）人工控制可能更容易产生简单错误或失误。【2010 年 多选题】下列情形中，A 注册会计师认为通常适合采用信息技术控制的有（ ）。A. 存在大量、重复发生的交易B. 存在大额、异常的交易C. 存在难以定义、防范的错误D. 存在事先确定并一贯运用的业务规则【答案】AD（四）内部控制的固有局限性主要原因（1）在决策时人为判断可能出现错误和因人为失误导致内部控制失效（2）可能由于两个或更多的人员串通或管理层不当凌驾于内部控制之上而被规避其他原因（1）人员素质不适应岗位要求（2）实施内部控制的成本效益4.2 识别和了解相关控制的要点（一）与审计相关的控制1. 财务报表审计的目标是对是否不存在重大错报发表审计意见，而不是对内部控制有效性发表审计意见2. 注册会计师应当在所有审计项目中了解内部控制3. 注册会计师需要了解和评价的只是与审计相关的内部控制，并非被审计单位所有的内部控制4. 被审计单位通常有一些与目标相关但与审计无关的控制，注册会计师无须对其加以考虑【2014 年 单选题】下列有关与审计相关的内部控制的说法中，正确的是（ ）。A. 与审计相关的内部控制并非均与财务报告相关B. 与财务报告相关的内部控制均与审计相关C. 与经营目标相关的内部控制与审计无关D. 与合规目标相关的内部控制与审计无关【答案】A【简答题 2016（节选）】ABC 会计师事务所的 A 注册会计师负责审计甲公司 2015 年度财务报表，审计工作底稿中与负债审计相关的部分内容摘录如下：（2）甲公司在 2015 年末与一项未决诉讼相关的预计负债存在特别风险，因其为单一事项，A 注册会计师认为直接实施细节测试更有效率，未了解和测试相关内部控制。要求：指出 A 注册会计师的做法是否恰当，简要说明理由。【答案】不恰当。了解被审计单位内部控制是必要程序。（二）对内部控制了解的深度包括评价控制的设计，并确定其是否得到执行，但不包括对控制是否得到一贯执行的测试。【2009 年 单选题】在了解内部控制时，注册会计师通常不实施的审计程序是（ ）。A. 了解控制活动是否得到执行B. 了解内部控制的设计C. 记录了解的内部控制D. 寻找内部控制运行中的所有缺陷【答案】D（三）了解内部控制的程序（选择题）1. 询问被审计单位的人员，但询问程序本身并不足以评价控制的设计和执行，应当与其他程序相结合；2. 观察特定控制的运用；3. 检查文件和报告；4. 追踪交易在财务报告信息系统中的处理过程，即穿行测试。【2012 年 单选题】下列审计程序中，注册会计师在了解被审计单位内部控制时通常不采用的是（ ）。A. 询问B. 观察C. 分析程序D. 检查【答案】C【2012 年 单选题】在确定控制活动是否能够防止或发现并纠正重大错报时，下列审计程序中可能无法实现这一目的的是（ ）。A. 询问员工执行控制活动的情况B. 使用高度汇总的数据实施分析程序C. 观察员工执行的控制活动D. 检查文件和记录【答案】B（四）了解内部控制与控制测试的区别（简答题）除非存在某些可以使控制得到一贯运行的自动化控制，否则注册会计师对控制的了解并不足以测试控制运行的有效性。ž   了解内部控制n  自动化控制：一贯运行（包括设计与执行和具体有效性）n  其他：设计、执行ž   控制测试：有效性ž   重新执行：控制测试的相关程序【2017 年 多选题】下列有关注册会计师了解内部控制的说法中，正确的有（ ）。A. 注册会计师在了解被审计单位内部控制时，应当确定其是否得到一贯执行B. 注册会计师不需要了解被审计单位所有的内部控制C. 注册会计师对内部控制的了解通常不足以测试控制运行的有效性D. 注册会计师询问被审计单位人员不足以评价内部控制设计的有效性【答案】BCD4.3 内部控制五要素ü  控制环境 ★★★ü  风险评估过程ü  信息系统与沟通ü  控制活动 ★★ü  对控制的监督 ★（一）控制环境1. 含义包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。2. 对注册会计师的要求注册会计师应当了解控制环境，在审计业务承接阶段，就需要对控制环境作出初步了解和评价。3. 内容要点内容（1）对诚信和道德价值观念的沟通与落实①   书面行为规范并向所有员工传达②   企业文化③   管理人员的表率作用④    惩罚措施（2）对胜任能力的重视①   财务人员以及信息管理人员的胜任能力和培训②   财务人员配备足够③   财务人员的技能（3）治理层的参与程度① 相对于管理层的独立性② 经验和品德③ 参与程度，以及采取措施的适当性④    与内部审计人员和注册会计师的互动等（4）管理层的理念和经营风格① 对内部控制的关注② 是否处于有效的监督下③   经营风格④    对内控缺陷和违规事项的反应（5）组织结构及职权与责任的分配①   授权②   职责划分（6）人力资源政策与实务招聘、培训、考核、咨询、晋升和薪酬等4. 控制环境的影响（选择题）（1）广泛性：控制环境对重大错报风险的评估具有广泛影响，如认为控制环境薄弱，可能导致财务报表层次的重大错报风险，很难认定某一流程的控制是有效的（2）舞弊：不能绝对防止舞弊，但有助于降低舞弊 风险（3）错报：本身并不能防止或发现并纠正认定层次的重大错报。在评估重大错报风险时，应将控制环境连同其他内部控制要素产生的影响一并考虑【2013 年真题】下列各项中，不属于控制环境要素的是（ ）。A. 被审计单位的人力资源政策与实务B. 被审计单位的组织结构C. 被审计单位管理层的理念D. 被审计单位的信息系统【答案】D【2013 年真题】下列有关控制环境的说法中,错误的是（ ）。A. 在审计业务承接阶段，注册会计师无需了解和评价控制环境B. 在实施风险评估程序时，注册会计师需要对控制环境的构成要素获取足够了解，并考虑内部控制的实质及其综合效果C. 在进行风险评估时，如果注册会计师认为被审计单位的控制环境薄弱,则很难认定某一流程的控制是有效的D. 在评估重大错报风险时，注册会计师应当将控制环境连同其他内部控制要素产生的影响一并考虑【答案】A【2014 年真题】下列有关控制环境的说法中，错误的是（ ）。A. 有效的控制环境本身可以防止、发现并纠正各类交易、账户余额和披露认定层次的重大错报B. 控制环境对重大错报风险的评估具有广泛影响C. 有效的控制环境可以降低舞弊发生的风险D. 财务报表层次重大错报风险很可能源于控制环境存在缺陷【答案】A【2016 年真题】下列各项中，不属于控制环境要素的是（ ）。A. 对诚信和道德价值观念的沟通与落实B. 内部审计的职能范围C. 治理层的参与D. 人力资源政策与实务【答案】B（二）风险评估过程1. 含义风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。2. 内容被审计单位是否已建立相关机制，识别和应对会计准则的重大变化、业务操作流程的重大变化以及经营环境的重大变化等。（三）信息系统与沟通1. 信息系统（1）生成、记录、处理和报告（2）与财务报告相关的信息系统应当与业务流程相适应（3）自动化程序和控制降低了发生无意错误的风险，但没有消除个人凌驾于控制之上的风险2. 沟通应当了解如何对财务报告的岗位职责以及相关重大事项进行沟通【举例】CH公司利用 ERP 系统核算生产成本，在以前年度主要利用 Y 软件手工输入相关数据后进行存货账龄的统计和分析。2019 年，信息技术部门在 ERP 系统中开发了存货账龄分析的模块，并于每月末自动生成存货账龄报告。CH公司会计政策规定，应当结合存货账龄等因素确定存货期末可变现净值，计提存货跌价准备。（四）控制活动控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括：1. 授权注册会计师应当了解与授权有关的控制活动，包括一般授权和特别授权。2. 业绩评价注册会计师应当了解与业绩评价有关的控制活动，主要包括被审计单位分析评价实际业绩与预算（或预测、前期业绩）的差异，以及对发现的异常差异或关系采取必要的调查与纠正措施。3. 信息处理（选择题）注册会计师应当了解与信息处理有关的控制活动，包括信息技术的一般控制和应用控制。一般控制信息技术一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行（包括信息的完整性和数据的安全性），支持应用控制作用的有效发挥，通常包括数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制。应用控制信息技术应用控制是指主要在业务流程层面运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通常包括检查数据计算的准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。4. 实物控制实物控制，主要包括了解对资产和记录采取适当的安全保护措施，对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对。5. 职责分离职责分离，主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。当信息技术运用于信息系统时，职责分离可以通过设置安全控制来实现。6. 对注册会计师的要求（1）注册会计师应当重点考虑一项控制活动单独或连同其他控制话动，是否能够以及如何防止或发现并纠正各类交易、账户余额和披露存在的重大错报。（2）如果多项控制活动能够实现同一目标，注册会计师不必了解与该目标相关的每项控制活动。（五）对控制的监督1. 持续的监督活动贯穿于日常重复的活动中，包括常规管理和监督工作。2. 单独的评价由内部审计人员对内部控制的设计和执行进行专门评价。【2009 年 单选题】持续监督活动应当贯穿于日常经营活动与常规管理工作。下列活动中属于持续监督活动的是（ ）。A. 审计委员会定期了解财务数据B. 相应级别的员工复核采购业务流程中控制的执行情况C. 注册会计师对年度财务报表进行审计D. 内部审计人员对控制实施风险评估【答案】B【2017 年 单选题】下列各项中，属于对控制的监督的是（ ）。A. 授权与批准B. 职权与责任的分配C. 业绩评价D. 内审部门定期评估控制的有效性【答案】D4.4 在整体层面和业务流程层面了解内部控制（一）两个层面层次相关内容整体层面：财务报表层次1、 主要与控制环境相关2、 与被审计单位整体相关3、 考虑舞弊和管理层凌驾于内部控制之上的风险4、 信息系统的一般控制5、 财务报告流程的控制业务流程层面：认定层次1、 与业务流程和认定相关2、 信息系统的应用控制3、 控制活动【2014 年 单选题】下列各项中，通常属于业务流程层面控制的是（ ）。A. 信息技术一般控制B. 应对管理层凌驾于控制之上的控制C. 信息技术应用控制D. 对期末财务报告流程的控制【答案】C（二）了解步骤（4 个）1. 确定重要业务流程和重要交易类别2. 了解重要交易流程，并进行记录（1）注册会计师通常针对每一年的变化修改记录流程的工作底稿，除非存在重大变化；（2）无论业务流程与以前年度相比是否有变化，注册会计师每年都需要重新考虑和了解3. 确定可能发生错报的环节4. 识别和了解相关控制（多选题）重要流程--→记录--→识别环节--→控制销售与收款订单----→批准---→发货----→验收----→收入↑                           ↑（1）预防性控制预防性控制通常用于正常业务流程的每一项交易，以防止错报的发生。预防性控制示例对控制的描述控制用来防止的错报计算机程序自动生成收货报告，同时也更新采购档案防止出现购货漏记账的情况在更新采购档案之前必须先有收货报告防止记录了未收到购货的情况销货发票上的价格根据价格清单上的信息确定防止销货计价错误计算机将各凭证上的账户号码与会计科目表对比，然后进行一系列的逻辑测试防止出现分类错报（2）检查性控制建立检查性控制的目的是发现流程中可能发生的错报（尽管有预防性控制还是会发生的错报）。检查性控制示例对控制的描述控制预期查出的错报定期编制银行存款余额调节表，跟踪调查挂账的项目在对其他项目进行审核的同时，查找存入银行但没有记入日记账的现金收入，未记录的银行现金支付或虚构入账的不真实的银行现金收入或支付，未及时入账或未正确汇总分类的银行现金收入或支付将预算与实际费用间的差异列入计算机编制的报告中并由部门经理复核。记录所有超过预算 2%的差异情况和解决措施在对其他项目进行审核的同时，查找本月发生的重大分类错报或没有记录及没有发生的大笔收入、支出以及相关联的资产和负债项目计算机每天比较运出货物的数量和开票数量。如果发现差异，产生报告，由开票主管复核和追查查找没有开票和记录的出库货物，以及与真实发货无关的发票每季度复核应收账款贷方余额并找出原因查找未予入账的发票和销售与现金收入中的分类错误【提示】1. 审批、授权、职责分离通常属于预防性控制；2. 复核、对账、盘点通常属于检查性控制。【2014 年 单选题】下列控制活动中，属于检查性控制的是（ ）。A. 仓库管理员根据经批准的发货单办理出库B. 信息技术部根据人事部提供的员工岗位职责表在系统中设定用户权限C. 采购部对新增供应商执行背景调查D. 财务人员每月末与客户对账，并调查差异【答案】D【2017 年 单选题】下列各项中，属于预防性控制的是（ ）。A. 财务主管定期盘点现金和有价证券B. 管理层分析评价实际业绩与预算的差异，并针对超过规定金额的差异调查原因C. 董事会复核并批准由管理层编制的财务报表D. 由不同的员工负责职工薪酬档案的维护和职工薪酬的计算【答案】D【2018 年 单选题】下列各项控制中，属于检查性控制的是（ ）。A. 出纳不能兼任收入或支出的记账工作B. 财务总监复核并批准财务经理提出的撤销银行账号的申请C. 财务经理根据其权限复核并批准相关付款D. 财务经理复核会计编制的银行存款余额调节表【答案】D5. 执行穿行测试，证实对交易流程和相关控制的了解（1）执行穿行测试的目的① 确认对业务流程的了解② 确认对重要交易的了解是完整的，即所有与认定相关的可能错报环节都已识别③ 确认所获取的有关流程中的预防性控制和检查性控制信息的准确性④ 评估控制设计的有效性⑤ 确认控制是否得到执行⑥ 确认之前所做的书面记录的准确性6. 初步评价和风险评估内控测试了解内控情形1无设计×有设计、无执行×有设计、有执行√情形2高度自动化的信息系统√初步评价结论设计       执行                    结论√          √      （1）所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报，并得到执行√          ×      （2）控制的设计是合理的，但没有得到执行×           -      （3）控制设计无效或缺乏必要控制【2010 年 多选题】在对内部控制进行初步评价并进行风险评估后，注册会计师通常需要在审计工作底稿中形成结论的有（ ）。A. 控制本身的设计是否有效B. 控制是否得到执行C. 是否信赖控制并实施控制测试D. 是否实施实质性程序【答案】ABC7. 对财务报告流程的了解第五节 评估重大错报风险【提示】“特别风险”需要继续学习第 9、13、17 章之后才完整，注意归纳，浑然一体。审计导游图了解被审计单位及其环境了解被审计单位的内部控制风险评估及项目组内部讨论评估重大错报风险应对重大错报风险行业、法律、监管单位性质会计政策目标、战略、经管风险财务业绩衡量评价目标、含义自动、人工局限性五要素穿行测试预防、检查询问、观察和检查分析程序、穿行测试5.1 评估财务报表层次和认定层次的重大错报风险（一）评估重大错报风险的考虑因素1. 风险的性质；2. 错报的规模；3. 发生的可能性。（二）评估重大错报风险的程序1. 在了解被审计单位及其环境的整个过程中，结合对各类交易、账户余额和披露的考虑，识别风险。2. 将识别的风险与认定层次可能发生错报的领域相联系。3. 评估识别出的风险，评价其是否更广泛地与财务报表整体相关，进而潜在地影响多项认定。4. 考虑发生错报的可能性，以及潜在错报的重大程度是否足以导致重大错报。（三）识别两个层次的重大错报风险财务报表层次重大错报风险：某些重大错报风险可能与财务报表整体广泛相关，进而影响多项认定。认定层次重大错报风险：某些重大错报风险可能与特定的某类交易、账户余额、披露的认定相关。在对重大错报风险进行识别和评估后，注册会计师应当确定，识别的重大错报风险是与特定的某类交易、账户余额和披露的认定相关，还是与财务报表整体广泛相关，进而影响多项认定。层次情形案例财务报表层次1. 重大经营风险2. 薄弱的控制环境3. 频繁更换关键岗位人员4. 信息技术一般控制缺陷5. 管理层凌驾于内部控制之上6. 舞弊风险7. 持续经营能力的重大疑虑行业信息：夕阳产业性质和业务活动：黑白电视机管理层不诚信认定层次通常对应具体的财务报表项目等存货跌价收入高估成本低估商誉减值【2017 年 多选题】下列各项中，通常可能导致财务报表层次重大错报风险的有（ ）。A. 被审计单位新聘任的财务总监缺乏必要的胜任能力B. 被审计单位的长期资产减值准备存在高度的估计不确定性C. 被审计单位管理层缺乏诚信D. 被审计单位的某项销售交易涉及复杂的安排【答案】AC【2012 年 单选题】下列各项中，属于认定层次重大错报风险的是（ ）。A. 被审计单位治理层和管理层不重视内部控制B. 被审计单位管理层凌驾于内部控制之上C. 被审计单位大额应收账款可收回性具有高度不确定性D. 被审计单位所处行业陷入严重衰退【答案】C（四）控制环境对评估财务报表层次重大错报风险的影响财务报表层次的重大错报风险很可能源于薄弱的控制环境。薄弱的控制环境带来的风险可能对财务报表产生广泛影响，难以限于某类交易、账户余额和披露，注册会计师应当采取总体应对措施。（五）控制（活动）对评估认定层次重大错报风险的影响在评估重大错报风险时，注册会计师应当将所了解的控制与特定认定相联系。注册会计师应当考虑对识别的各类交易、账户余额和披露认定层次的重大错报风险予以汇总和评估，以确定进一步审计程序的性质、时间和范围。（六）考虑财务报表的可审计性可审计性疑虑的情形（1） 会计记录的状况和可靠性存在重大问题，不能获取充分、适当的审计证据以发表无保留意见（2） 对管理层的诚信存在严重疑虑应对措施（1） 考虑发表保留或无法表示意见（2） 必要时，应当考虑解除业务约定【2009 年 单选题】被审计单位存在的下列事项中，最可能导致注册会计师解除业务约定的是（ ）。A. 被审计单位没有书面的内部控制B. 管理层诚信存在严重问题C. 管理层凌驾于内部控制之上D. 管理层没有及时完善内部控制存在的缺陷【答案】B5.2 需要特别考虑的重大错报风险（一）特别风险的含义作为风险评估的一部分，注册会计师应当运用职业判断，确定识别的风险哪些是需要特别考虑的重大错报风险（以下简称特别风险）。（二）确定特别风险时应考虑的事项在确定风险的性质时，注册会计师应当考虑下列事项：1. 风险是否属于舞弊风险；2. 风险是否与近期经济环境、会计处理方法和其他方面的重大变化有关；3. 交易的复杂程度；4. 风险是否涉及重大的关联方交易；5. 财务信息计量的主观程度，特别是对不确定事项的计量存在较大区间；6. 风险是否涉及异常或超出正常经营过程的重大交易。注册会计师在判断哪些风险是特别风险时，不应考虑识别出的控制对相关风险的抵消效果。（三）非常规交易和判断事项导致的特别风险（“来源”）1. 非常规交易是指由于金额或性质异常而不经常发生的交易；① 管理层更多地干预会计处理② 数据收集和处理进行更多的人工干预；③ 复杂的计算或会计处理方法；④ 非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制。2. 判断事项通常包括作出的会计估计。① 对涉及会计估计、收入确认等方面的会计原则存在不同的理解；② 所要求的判断可能是主观和复杂的，或需要对未来事项作出假设。（四）考虑与特别风险相关的控制对特别风险，注册会计师应当评价相关控制的设计情况，并确定其是否已经得到执行。如果管理层未能实施控制以恰当应对特别风险，注册会计师应当认为内部控制存在值得关注的内部控制缺陷，并考虑其对风险评估的影响。注册会计师应当就此类事项与治理层沟通。解析：风险评估      是否是？重大错报风险------------→ 特别风险-------------→了解内控↓      需要考虑：非常规交易，判断事项    ↓ 应当↓     （复杂、关联方、舞弊、会计估计） ↓ 设计/执行↓   无需考虑：控制抵消                           ↓ 未能实施值得关注的内部控制缺陷如果计划测试旨在减轻特别风险的控制运行的有效性，注册会计师不应依赖以前审计获取的关于内部控制运行有效性的审计证据。注册会计师应当专门针对识别的特别风险实施实质性程序。注册会计师实施细节测试，或将实质性分析程序与细节测试相结合。（第八章）【2014 年 单选题】下列各项中，注册会计师在确定特别风险时不需要考虑的是（ ）。A. 潜在错报的重大程度B. 控制对相关风险的抵销效果C. 错报发生的可能性D. 风险的性质【答案】B【2018 年 单选题】下列各项中，注册会计师在确定某项重大错报风险是否为特别风险时，通常无需考虑的是（ ）。A. 交易的复杂程度B. 风险是否涉及重大的关联方交易C. 被审计单位财务人员的胜任能力D. 财务信息计量的主观程度【答案】C【2012 年 单选题（改）】下列关于特别风险的说法中，错误的是（ ）。A. 在判断哪些风险是特别风险时，注册会计师不应考虑识别出的控制对相关风险的抵消效果B. 特别风险通常与重大的非常规交易和判断事项相关C. 管理层未能实施控制以恰当应对特别风险，并不一定表明内部控制存在值得关注的内部控制缺陷的迹象D. 如果针对特别风险实施的程序仅为实质性程序，这些程序应当包括细节测试【答案】C5.3 仅通过实质性程序无法应对的重大错报风险1. 当日常交易采用高度自动化处理时，审计证据可能仅以电子形式存在，其充分性和适当性通常取决于自动化信息系统相关控制的有效性，注册会计师仅通过实施实质性程序可能难以获取充分、适当审计证据。2. 对注册会计师的要求（1）评价被审计单位针对这些风险设计的控制，并确定其执行情况；（2）注册会计师应当考虑依赖的相关控制的有效性，并对其进行了解、评估和测试。识别的重大错报风险汇总识别的重大错报风险对财务报表的影响相关的各类交易类别、账户余额和披露认定是否与财务报表整体广泛相关是否属于特别风险是否属于仅通过实质性程序无法应对的重大错报风险记录识别的重大错报风险描述对财务报表的影响和导致财务报表发生重大错报的可能性列示相关的各类交易、账户余额及其认定考虑是否属于财务报表层次的重大错报风险考虑是否属于特别风险考虑是否属于仅通过实质性程序无法应对的重大错报风险5.4 对风险评估的修正评估重大错报风险与了解被审计单位及其环境一样，也是一个连续和动态地收集、更新与分析信息的过程，贯穿于整个审计过程的始终。