2010年注册会计师《审计》讲义第十三章

考易网年注册会计师《审计》讲义第十三章风险评估本章考情分析：本章是重点章节，主要内容是如何评估重大错报风险。本章是风险导向审计中的核心内容，在考试时更多的会以综合题的形式考核，并可与认定、审计程序、风险应对、舞弊应对的内容结合，出题方式灵活分值在10分左右，分值较高，需高度重视。本章大纲的知识要求和能力等级：知识要求能力等级1.风险评估概述22.风险评估程序、信息来源以及项目组内部的讨论23.了解被审计单位及其环境34.了解被审计单位的内部控制35.评估重大错报风险3本章具体要求：1.熟悉审计风险准则的特点2.掌握风险评估的作用3.掌握风险评估程序4.熟悉项目组内部的讨论5.掌握了解内部控制的内容6.熟悉在整体层面和业务流程层面了解内部控制7.掌握对控制初步评价和风险评估8.掌握评估重大错报风险的审计程序9.掌握考虑财务报表的可审计性10.掌握需要特别考虑的重大错报风险11.掌握仅通过实质性程序无法应对的重大错报风险12.掌握对风险评估的修正一、审计风险准则的特点（熟悉）1.要求注册会计师加强对被审计单位及其环境的了解。2.要求注册会计师在审计的所有阶段都要实施风险评估程序。3.要求注册会计师将识别和评估的风险与实施的审计程序挂钩。4.要求注册会计师针对重大的各类交易、账户余额、列报和披露实施实质性测试。5.要求注册会计师将识别、评估和应对风险的关键程序形成审计工作记录，以保证执业质量，明确执业责任。二、风险评估的作用（掌握）风险准则要求注册会计师必须了解被审计单位及其环境，包括内部控制，以充分识别和评估财务报表重大错报的风险，并针对评估的重大错报风险设计和实施控制测试和实质性程序。了解被审计单位及其环境是必要的程序，特别是为注册会计师在下列关键环节作出职业判断提供重要基础：1.确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；2.考虑会计政策的选择和运用是否恰当，以及财务报表的列报是否适当；3.识别需要特别考虑的领域，包括关联方交易、管理层运用持续经营假设的合理性，或交易是否具有合理的商业目的等；4.确定在实施分析程序时所使用的预期值；5.设计和实施进一步审计程序，以将审计风险降至可接受的低水平；6.评价所获取审计证据的充分性和适当性。考易网让考试更容易评价对被审计单位及其环境了解的程度是否恰当，关键是看注册会计师对被审计单位及其环境的了解是否足以识别和评估财务报表重大错报风险。三、风险评估程序（掌握）知识点内容1.风险评估程序的含义为了解被审计单位及其环境而实施的程序称为“风险评估程序”。2.风险评估程序的目的注册会计师了解被审计单位及其环境，目的是为了识别和评估财务报表的重大错报风险。3.风险评估程序的程序(1)询问被审计单位管理层和内部其他相关人员；(2)分析程序；(3)观察和检查；（4）实施穿行测试。穿行测试即追踪交易在财务报告信息系统中的处理过程。通过追踪某笔或某几笔交易在业务流程中如何生成、记录、处理和报告，以及相关内部控制如何执行。4.风险评估程序的了解的内容1.行业状况、法律环境与监管环境以及其他外部因素；2.被审计单位的性质；3.被审计单位对会计政策的选择和运用；4.被审计单位的目标、战略以及相关经营风险；5.被审计单位财务业绩的衡量和评价；6.被审计单位的内部控制。四、项目组内部的讨论（熟悉）知识点内容1.讨论的目标项目组内部的讨论为项目组成员提供了交流信息和分享见解的机会。使项目组成员更好的了解在各自负责的领域，由于舞弊或错误导致财务报表重大错报的可能性，并了解各自实施的审计程序的结果如何影响审计的其他方面，包括对确定进一步审计程序的性质、时间和范围的影响。2.讨论的内容1.被审计单位面临的经营风险；2.财务报表容易发生错报的领域以及发生错报的方式；3.由于舞弊导致重大错报的可能性。3.参与讨论的人员1.项目组的关键成员；2.信息技术或其他特殊技能的专家。五、了解内部控制（掌握）知识点内容1.内部控制的含义内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。2.内部控制的要素控制环境、风险评估过程、信息系统与沟通、控制活动（授权、业绩评价、信息处理、实物控制和职责分离）、对控制的监督。控制环境包括以下内容:1.对诚信和道德价值观念的沟通与落实。2.对胜任能力的重视。3.治理层的参与程度。4.管理层的理念和经营风格。5.组织结构及职权与责任的分配。6.人力资源政策与实务。3.了解内部控制的广度注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。如果用以保证经营效率、效果的控制以及对法律法规遵守的控制与实施审计程序时评价或使考易网让考试更容易用的数据相关，注册会计师应当考虑这些控制可能与审计相关。4.了解内部控制的深度对内部控制了解的深度，包括评价控制的设计，并确定其是否得到执行，但不包括对控制是否得到一贯执行的测试。5.了解内部控制的程序1.询问被审计单位的人员；2.观察特定控制的运用；3.检查文件和报告；4.追踪交易在财务报告信息系统中的处理过程(穿行测试)。6.内部控制的局限性内部控制存在固有局限性，只能对财务报告的可靠性提供合理的保证。内部控制存在的固有局限性包括：1.在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。2.可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。3.被审计单位内部行使控制职能的人员素质不适应岗位要求，也会影响内部控制功能的正常发挥。4.被审计单位实施内部控制的成本效益问题也会影响其职能。当实施某项控制的成本大于控制效果而发生损失时，就没有必要设置控制环节或控制措施。7.了解内部控制与测试控制运行有效性的关系了解内部控制与控制测试是不同的，了解内部控制在于确定内部控制设计是否合理和是否得到执行，从而确定是否依赖内部控制及控制测试。控制测试是确定内部控制运行是否有效，从而确定实质性程序的性质时间范围。一般情况下了解内部控制并不能取代控制测试，除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解并不能够代替对控制运行有效性的测试。六、内部控制的要素的主要内容（了解）知识点内容1.控制环境控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。控制环境设定了被审计单位的内部控制基调，良好的控制环境是实施有效内部控制的基础。控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报，令人满意的控制环境并不能绝对防止舞弊，但却有助于降低发生舞弊的风险。相反，控制环境中存在的弱点可能削弱控制的有效性。【注意】控制环境对重大错报风险的评估具有广泛影响。2.风险评估过程风险评估过程的作用是识别、评估和管理影响被审计单位实现经营目标能力的各种风险以及针对这些风险所采取的措施。注册会计师应当了解被审计单位的风险评估过程和结果，了解被审计单位的风险评估过程和结果有助于注册会计师识别财务报表重大错报的风险。【注意】第一，注册会计师应当询问管理层识别出的经营风险，并考虑这些风险是否可能导致重大错报。第二，在审计过程中，如果发现与财务报表有关的风险因素，注册会计师可通过向管理层询问和检查有关文件确定被审计单位的风险评估过程是否也发现了该风险。在审计过程中，如果识别出管理层未能识别的重大错报风险，注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险，以及评估过程是否适合于具体环境。3.信息系统与沟通与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。（1）与财务报告相关的信息系统的职能①记录和识别所有的交易；②及时、详细的描述交易，以便在财务报表中对交易做出恰当的分类；③恰当计量交易，以便在财务报表中对交易的金额做出准确记录；④恰当确定交易生成的会计期间；⑤在财务报表中恰当列报交易。考易网让考试更容易【注意】应当特别关注由于管理层凌驾于账户记录控制之上、规避控制行为而产生的重大错报风险。（2）与财务报告相关的沟通与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责，员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。【注意】注册会计师应当了解被审计单位内部如何对财务报告的岗位职责，以及与财务报告相关的重大事项进行沟通。注册会计师还应当了解管理层与治理层（特别是审计委员会）之间的沟通，以及被审计单位与外部（包括与监管部门）的沟通。4.控制活动控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。（1）授权授权的目的在于保证交易在管理层授权范围内进行。注册会计师应当了解与授权有关的控制活动，包括一般授权和特别授权。（2）业绩评价注册会计师应当了解与业绩评价有关的控制活动，主要包括被审计单位分析评价实际业绩与预算的差异，以及对发现的异常差异或关系采取必要的调查与纠正。（3）信息处理注册会计师应当了解与信息处理有关的控制活动，包括信息技术的一般控制和应用控制。①信息技术一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性)，支持应用控制作用的有效发挥，通常包括数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制。②信息技术应用控制是指主要在业务流程层面运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通常包括检查数据计算的准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。（4）实物控制实物控制，主要包括了解对资产和记录采取适当的安全保护措施，对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对。（5）职责分离职责分离，主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。当信息技术运用于信息系统时，职责分离可以通过设置安全控制来实现。【注意】了解控制活动一般用于识别与各类交易、账户余额、列报相关的重大错报风险。在了解控制活动时，注册会计师应当重点考虑一项控制活动单独或连同其他控制活动，是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。5.对控制的监督对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。被审计单位通过持续的监督活动、专门的评价活动或两者相结合，实现对控制的监督。【注意】内部控制的某些要素（如控制环境）更多地对被审计单位整体层面产生影响，而其他要素（如信息系统与沟通、控制活动）则可能更多地与特定业务流程相关。在实务中，注册会计师应当从被审计单位整体层面和业务流程层面分别了解和评价被审计单位的内部控制。七、考虑内部控制的人工和自动化成分（了解）内部控制可能既包括人工成分又包括自动化成分，在风险评估以及设计和实施进一步审计程序时，注考易网让考试更容易册会计师应当考虑内部控制的人工和自动化特征及其影响。知识点内容自动控制的弱点(1)系统或程序未能正确处理数据，或处理了不正确的数据，或两种情况同时并存；(2)在未得到授权情况下访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易；(3)信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工；(4)未经授权改变主文档的数据；(5)未经授权改变系统或程序；(6)未能对系统或程序