第八章第八章 重大错报风险的评估与应对重大错报风险的评估与应对 本章概要本章概要 1.风险评估概述 2.风险评估程序、信息来源和项组内部讨论 3.了解被审计单位及其环境 4.了解被审计单位的内部控制 5.评估重大错报风险 6.针对报表层次重大错报风险的应对措施 7.针对认定层次重大错报风险的进一步审计程序 8.控制测试 9.实质性程序 10.评价列报的适当性 11.评价审计证据的充分性和适当性 12.审计工作记录风险评估 最新第一节 风险评估概述一、新审计风险准则的重大变化对注册会计师的影响一、新审计风险准则的重大变化对注册会计师的影响（一）审计风险准则的重大变化（一）审计风险准则的重大变化1、明确风险评估程序与信息来源，要求注册会计师在审计过程中组织 审计项目组讨论财务报表存在重大错报的可能性。 2、要求注册会计师加强对被审计单位及其环境的了解。 3、要求注册会计师在审计的所有阶段都要实施风险评估程序。 4、要求注册会计师将识别和评估的风险与实施的审计程序挂钩。 5、要求注册会计师针对重大的各类交易、账户余额、列报和披露实施 实质性程序。 6、要求注册会计师将识别、评估和应对风险的关键程序形成审计工作 记录，以保证执业质量，明确执业责任。 风险评估 最新第一节 风险评估概述（二）新审计风险准则对注册会计师的影响（二）新审计风险准则对注册会计师的影响1、对注册会计师审计理念审计理念的影响。 （1）审计的主线始终是对重大错报风险的识别、评估与应对； （2）必须对财务报表重大错报风险进行评估； （3）实施的审计程序必须做到有的放矢。 2、对注册会计师审计程序审计程序的影响。 风险识别、评估和应对程序包括：（1）实施风险评估程序，了解被审计单位及其环境，包括内部控制；（2）从报表层次和各交易、账户、列报和披露认定层次评估重大错报风险；（3）针对报表层次的重大错报风险采取总体应对措施；（4）针对各交易、账户、列报和披露认定层次实施控制测试和实质性程序； （5）评估获取审计证据的充分性和适当性。 3、对注册会计师审计责任审计责任的影响。 风险评估 最新第一节 风险评估概述二、风险评估的含义与总体要求二、风险评估的含义与总体要求（一）含义（一）含义 风险评估，是指以了解被审计单位及其环境为内容内容，以识别和评估财务报表重大错报风险为目的目的，在设计和实施进一步审计程序之前实施的程序。（二）总体要求（二）总体要求 1.风险评估是必要程序和规定动作; 风险导向审计的基本理念 2.风险评估是一个连续和动态收集、更新和分析信息的过程. 风险评估贯穿于整个审计过程的始终。 审计风险评估的基本框架审计风险评估的基本框架如下图所示。 风险评估 最新第一节 风险评估概述被审计单位自身的风险防御机制被审计单位自身的风险防御机制如公司治理和内部控制如公司治理和内部控制被审计单位的性质被审计单位对会计政策的选择和运用目标、战略与相关经营风险财务业绩的衡量与评价财务报表重大错报风险实施进一步审计程序控制测试与实质性程序（处理好性质、时间和范围）不断接近真实水平相互影响实施总体应对措施了解被审计单位及其环境评估财务报表重大错报风险（项目组讨论）风险评估需要不断修正行业状况、法律与监管环境以及其他外部因素图表8-1 审计风险评估基本框架 风险评估 最新第二节 风险评估程序、信息来源和项目组内部讨论 一、风险评估程序与信息来源一、风险评估程序与信息来源（一）风险评估程序（一）风险评估程序1、询问被审计单位管理层和内部其他相关人员 询问内容：（1）管理层关注的主要问题；（2）被审计单位的财务状况； （3）可能影响财务报告的重大事项；（4）企业的重要变化。2、分析程序 研究不同财务数据之间以及财务数据与非财务数据之间的内在联系，并对发现的异常情况进行调查和分析,对财务信息作出评价。3、观察和检查 观察和检查的内容： （1）观察被审计单位的生产经营活动； （2）检查有关书面文件和记录；（3）阅读由管理层和治理层编制的报告；（4）察看设备及生产经营场地等；（5）追踪交易在财务报告信息系统中的处理过程等观察和检查程序。 风险评估 最新第二节 风险评估程序、信息来源和项目组内部讨论 （二）其他审计程序和信息来源 1被审计单位外部获取的信息 2承接客户或续约获取的信息 3前期获取的信息二、项目组内部的讨论二、项目组内部的讨论（一）（一）要求与目标 讨论的目的目的是互通信息、共享资源、交流意见，使每个人都了解在自己负责的领域发生重大错报风险的可能性，了解各自实施的审计程序对其他人工作的影响以及对确定进一步审计程序的影响，明确在整个审计过程中保持职业怀疑态度的重要性，对可能发生重大错报风险的迹象保持足够的警惕。（二）讨论的内容内容 项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式，特别是由于舞弊导致重大错报的可能性。（三）参与讨论的成员成员：项目组的关键成员及相关专家 风险评估 最新第三节 了解被审计单位及其环境 一、了解的内容一、了解的内容（一）行业状况、法律环境与监管环境以及其他外部因素；（二）被审计单位的性质；（三）被审计单位对会计政策的选择和运用；（四）被审计单位的目标、战略以及相关经营风险；（五）被审计单位财务业绩的衡量和评价；（六）被审计单位的内部控制。风险评估 最新第三节 了解被审计单位及其环境 二、行业状况、法律环境与监管环境以及其他外部因素二、行业状况、法律环境与监管环境以及其他外部因素（一）（一）行业状况主要包括：（1）所在行业的市场供求与竞争；（2）生产经营的季节性和周期性；（3）产品生产技术的变化； （4）能源供应与成本；（5）行业的关键指标和统计数据。 （二）法律环境与监管环境主要包括：（1）适用的会计准则、会计制度和行业特定惯例；（2）对经营活动产生重大影响的法律法规及监管活动；（3）对开展业务产生重大影响的政府政策；（4）与被审计单位所处行业和所从事经营活动相关的环保要求。 （三）其他外部因素 主要包括： （1）宏观经济的景气度； （2）利率和资金供求状况； （3）通货膨胀水平及币值变动；（4）国际经济环境和汇率变动。 风险评估 最新第三节 了解被审计单位及其环境 三、被审计单位的性质三、被审计单位的性质 注册会计师应当主要从所有权结构、治理结构、组织结构、经营活动、投资所有权结构、治理结构、组织结构、经营活动、投资活动活动和筹资活动筹资活动等六个方面了解被审计单位的性质 。四、被审计单位对会计政策的选择和运用四、被审计单位对会计政策的选择和运用 注册会计师应当关注下列重要事项：（1）重要项目的会计政策和行业惯例 （2）重大和异常交易的会计处理方法。 （3）在新领域和缺乏权威性标准或共识的领域，采用重要会计政策产生的影响（4）会计政策的变更。（5）被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度。风险评估 最新第三节 了解被审计单位及其环境 五、被审计单位的目标、战略以及相关经营风险五、被审计单位的目标、战略以及相关经营风险了解是否存在与下列七个方面有关的目标和战略，并考虑相应的经营风险：（1）行业发展，及其可能导致的被审计单位不具备足以应对行业变化的人力资源和业务专长等风险；（2）开发新产品或提供新服务，及可能导致被审计单位产品责任增加等风险；（3）业务扩张，及其可能导致的被审计单位对市场需求的估计不准确等风险；（4）新颁布的会计法规，及其可能导致的被审计单位执行法规不当或不完整，或会计处理成本增加等风险；（5）监管要求，及其可能导致的被审计单位法律责任增加等风险；（6）本期及未来的融资条件，及其可能导致的被审计单位由于无法满足融资条件而失去融资机会等风险；（7）信息技术的运用，及其可能导致的被审计单位信息系统与业务流程难以融合等风险。风险评估 最新第三节 了解被审计单位及其环境 六、被审计单位财务业绩的衡量和评价六、被审计单位财务业绩的衡量和评价1、注册会计师应当关注下列信息： 关键业绩指标； 业绩趋势 ； 预测、预算和差异分析； 管理层和员工业绩考核与激励性报酬政策； 分部信息与不同层次部门的业绩报告； 与竞争对手的业绩比较； 外部机构提出的报告。 2、应当关注被审计单位内部财务业绩衡量所显示的未预期到的结果或趋势、管理层的调查结果和纠正措施，以及相关信息是否显示财务报表可能存在重大错报。 风险评估 最新第四节 了解被审计单位的内部控制一、内部控制的内涵一、内部控制的内涵 内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。 注意：1、责任主体：治理层、管理层和相关人员（组织内的每一个人） 2、保证程度：合理保证； 3、目标：三类（可靠性、效益性、合法性）二、内部控制的要素二、内部控制的要素 三要素论：控制环境、会计系统、控制程序 五要素论：控制环境、风险评估、信息系统和沟通、控制活动、监控 COSO委员会1992年内部控制报告关注：关注：COSO委员会有关内控的研究与报告委员会有关内控的研究与报告风险评估 最新第四节 了解被审计单位的内部控制1、控制环境 对企业各项政策和制度的建立及实施有重大影响的因素的统称。主要包括： （1）经营管理观念、方式和风格； （2）组织结构； （3）董事会； （4）授权与分配责任的方法； （5）管理控制方法；（6）内部审计； （7）人力资源政策和实务； （8）外部影响。2、会计系统 会计系统是指企业为了鉴别、综合、分类、分析、记录和报告其交易，并为有关资产和负债保持受托责任而建立的方法和记录。 3、控制程序 控制程序是除控制环境中的具体要素和会计系统的要素之外，管理当局所建立的，用以实现其目标的各项政策程序。三要素论风险评估 最新第四节 了解被审计单位的内部控制 控制程序控制程序可以分为五类，即交易授权、职务分离、凭证与记录控制、资产接触与记录使用、业务的独立稽核。 （1）交易的授权与批准 所有的交易业务都必须经过授权； 授权有一般授权一般授权与特殊授权特殊授权之分。 一般授权一般授权是指管理当局制订整个组织遵循的授权规程，各级管理人员在规定的范围内审批各种业务。 例如：采购部门可根据自动订货点订货； 销售部门在规定的赊销限额内进行赊销业务。 特殊授权特殊授权是指对个别特殊业务进行授权。 例如：当企业遇到重组或发行股票等问题时，企业往往需要董事 会做出决策并交由股东大会审议。 三要素论风险评估 最新第四节 了解被审计单位的内部控制（2）职务分离企业中的不相容职务应该实行职务分离 ；不相容职务不相容职务是指集中在一个人身上办理时产生错误或舞弊的可能性就会增加的两项或两项以上的职务。 企业中的不相容职务包括：记帐与经济业务事项和会计事项的审批、经办、财务保管职务；经济业务事项的授权批准职务和经办职务；经办经济业务事项的职务与审查稽核职务；保管财产物资的职务与清查财产物资的职务；出纳与稽核、会计档案保管和收入、支出、费用、债权债务帐目的登记；重大对外投资、资产处置、资金调度和其他重要经济业务事项的决策和执行 的相互监督、相互制约职务；计算机信息系统环境下的系统分析、程序设计、电脑操作和数据控制等职务 三要素论风险评估 最新第四节 了解被审计单位的内部控制（3）凭证与记录控制对凭证与记录应实行严格的控制措施，包括： 预先连续编号 有经济业务事项发生时应立即编制或发生后尽快编制凭证与记录。 记录应简单明了，能保证清楚地理解。 尽可能按一证多用的原则设计，以减少凭证的种类。 凭证与记录的格式要合理，以利于正确地编制。 （4）资产接触与记录使用限制接近资产和接近重要记录，以保证资产和记录的安全性。保护资产和记录安全的最重要措施就是采用实物防护措施。 （5）独立稽核 独立稽核是对其他四个要素进行细致地、经常地检查、复核。 独立稽核的一个基本特征是执行者必须独立于原来负责提供数据 的人员之外。 三要素论风险评估 最新第四节 了解被审计单位的内部控制1、控制环境 同三要素论2、风险评估 企业必须设立可辨认、分析和管理相关风险的机制，以了解自身所面临的风险，并适时加以处理。 3、信息系统与沟通 自上而下的传递；自下而上的反馈；相互间的沟通。4、控制活动 类似于前面的“控制程序”5、监督。 整个内控的过程必须以恰当的监督，通过监督活动在必要时对其加以修正。 企业可以通过内部审计及控制自我评估等方式实现对内部控制过程的监督。 五要素论我国的审计准则采用了我国的审计准则采用了COSO的内部控制框架对内控要素进行分类。的内部控制框架对内控要素进行分类。风险评估 最新第四节 了解被审计单位的内部控制三、与审计相关的内部控制三、与审计相关的内部控制 注册会计师考虑的并非是被审计单位整体的内部控制，而只是与财务报表审计相关的内部控制，即与审计相关的控制。 （一）为实现财务报告可靠性目标设计和实施的控制 注册会计师应当运用职业判断，考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序有关。 （二）其他与审计相关的控制 （1）被审计单位内部生成的信息。 （2）经营效率、效果的及对法律法规遵守的控制。 （3）保护资产的内部控制。 风险评估 最新第四节 了解被审计单位的内部控制四、对内部控制了解的深度四、对内部控制了解的深度 对内部控制了解的深度，是指在了解被审计单位及其环境时对内部控制了解的程度，包括评价控制的设计，并确定其是否得到执行。（一）评价控制的设计 注册会计师在了解内部控制时，应当评价控制的设计，并确定其是否得到执行。 评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。 （二）评价控制设计的风险评估程序 （三）了解内部控制与测试控制运行有效性的关系五、内部控制的人工和自动化成分五、内部控制的人工和自动化成分 在了解内部控制时，注册会计师应当考虑被审计单位是否通过建 立有效的控制，以恰当应对由于使用信息技术系统或人工系统而 产生的风险。 风险评估 最新第四节 了解被审计单位的内部控制六、内部控制的局限性六、内部控制的局限性 内控的固有局限性内控的固有局限性是指，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证，而非绝对的保证。主要包括： 1、在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效； 2、可能两人或更多的人员串通或管理层凌驾于内部控制之上而被规避； 小型被审计单位小型被审计单位由于成本效益原则的限制，注册会计师应当考虑一些关键领域是否存在有效的内部控制。 七、对被审计单位内部控制的评价：从五要素论出发七、对被审计单位内部控制的评价：从五要素论出发（一）控制环境1、控制环境的设计的评价 注册会计师应当考虑构成控制环境的七个要素，以及这些要素如何被纳入被 审计单位业务流程。 2、控制环境的实施的评价 风险评估 最新第四节 了解被审计单位的内部控制（二）风险评估 在评价被审计单位风险评估过程的设计和执行时，注册会计师应当确定管管理层如何识别与财务报告相关的经营风险理层如何识别与财务报告相关的经营风险，如何估计该风险的重要性如何估计该风险的重要性，如何评如何评估风险发生的可能性估风险发生的可能性，以及如何采取措施管理这些风险以及如何采取措施管理这些风险。 （三）信息系统与沟通 注册会计师应当了解与财务报告相关的信息系统； 注册会计师应当了解被审计单位内部如何对财务报告的岗位职责，以及与财务报告相关的重大事项进行沟通。 注册会计师还应当了解管理层与治理层之间的沟通，以及被审计单位与外部的沟通。 （四）控制活动 注册会计师应当重点考虑一项控制活动单独或连同其他控制活动，是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。 风险评估 最新第四节 了解被审计单位的内部控制（五）对控制的监督 注册会计师应当了解：（1）被审计单位对与财务报告相关的内控的监督活动，及如何采取纠正措施；（2）被审计单位对控制的持续监督活动和专门的评价活动。（3）与被审计单位监督活动相关的信息来源，以及管理层认为信息具有可靠性的依据。 八、与治理层和管理层的沟通八、与治理层和管理层的沟通 注册会计师应当及时将注意到的内部控制设计或执行方面的重大缺陷告知适当层次的管理层或治理层。如果识别出被审计单位未加控制或控制不当的重大错报风险，或认为被审计单位的风险评估过程存在重大缺陷，注册会计师应当就此类内部控制缺陷与治理层沟通。 风险评估 最新第五节 评估重大错报风险一、识别和评估重大错报风险一、识别和评估重大错报风险（一）审计程序 1、在了解被审计单位及其环境的过程中识别风险，并考虑各项列报； 2、将识别的风险与可能发生的错报领域相联系； 3、考虑识别的风险是否重大； 4、考虑识别的风险导致财务报表存在重大错报的可能性。（二）可能表明被审计单位存在重大错报风险的事项或情况（三）重大错报风险的层次 1、财务报表层次； 2、特定的交易、账户、列报层次（四）内部控制对财务报表可审计性的影响 风险评估 最新第五节 评估重大错报风险二、需要特别考虑的重大错报风险二、需要特别考虑的重大错报风险 特别风险：需要特别考虑的重大错报风险。（一）特别风险的判定 1、风险是否属于舞弊风险； 2、风险是否与近期经济环境、会计处理方法和其他方面的重大变化有关； 3、交易的复杂程度； 4、风险是否涉及重大的关联方交易； 5、财务信息计量的主观程度； 6、风险是否涉及异常或超出正常经营过程的重大交易。（二）特别风险的处理 若管理层没有实施控制以恰当应对特别风险，注册会计师应当认为内部控制存在重大缺陷，并考虑其对风险评估的影响。同时，应当考虑就此类事项与治理层沟通。 风险评估 最新第五节 评估重大错报风险三、风险评估程序与实质性测试的采用三、风险评估程序与实质性测试的采用了解客户的内控实质性测试初步评价风险最终评价风险控制测试进一步评价风险 若认为仅通过实质性测试程序不能获取充分、适当的审计证据，注册会计师应当考虑依赖对内部控制的评估和测试。 评估重大风险是一个连续和动态地收集、更新和分析信息的过程，注册会计师应该在审计业务实施过程中对其进行修正。风险评估 最新第六节 针对报表层次重大错报风险的应对措施一、总体应对措施一、总体应对措施1、态度上态度上：审计过程中保持充足的职业怀疑；2、技能上技能上：分派更有经验或具有特殊技能的审计人员，或利用专家的工作；3、管理上管理上：提供更多的督导；4、技术上技术上： 1）注意使某些程序不被管理层预见或事先了解； 2）对拟实施审计程序的性质、时间和范围作出总体修改。 对源于控制环境的错报的考虑 若控制环境存在缺陷，注册会计师在对审计程序作出修改时应当考虑：1、审计程序时间审计程序时间：在期末而非期中期末而非期中实施更多的审计程序；2、审计程序性质审计程序性质：主要依赖实质性测试程序实质性测试程序，获取更具说服力更具说服力的审计证据；3、审计程序范围审计程序范围：扩大审计程序的范围。风险评估 最新第六节 针对报表层次重大错报风险的应对措施二、增加审计程序的不可预见性二、增加审计程序的不可预见性（一）增加审计程序不可预见性不可预见性的方法方法1对某些以前未测试的低于设定的重要性水平或风险较小的账户余额和认定实施实质性程序；2.调整实施审计程序的时间，使其超出被审计单位的预期 ；3.采取不同的审计抽样方法，使当年抽取的测试样本与以前有所不同；4.选取不同的地点实施审计程序，或预先不告知被审计单位所选定的测试地点。（二）增加审计程序不可预见性不可预见性的实施要点实施要点1. 注册会计师需要与被审计单位的高层管理人员事先沟通，要求实施具有不可预见性的审计程序，但不能告知其具体内容；2. 虽然对于不可预见性程度没有量化的规定，但项目组可根据对舞弊风险的评估等确定具有不可预见性的审计程序；3. 项目负责人需要安排项目组成员有效地实施具有不可预见性的审计程序，但同时要避免使项目组成员处于困难境地。风险评估 最新第七节 针对认定层次重大错报风险的进一步审计程序一、进一步审计程序的内涵和要求一、进一步审计程序的内涵和要求（一）内涵 相对于风险评估程序而言，指控制性测试和实质性测试；（二）设计 评估的重大错报风险越高，实施进一步审计程序的范围也就越大。 在设计进一步审计程序时，注册会计师应当考虑下列因素： 1、风险的重要性； 2、重大错报发生的可能性； 3、涉及的各类交易、账户余额和列报的特征； 4、被审计单位采用的特定控制的性质； 5、注册会计师是否拟获取审计证据，以确定内部控制在防止或发现并纠正 重大错报方面的有效性。风险评估 最新第七节 针对认定层次重大错报风险的进一步审计程序（三）审计方案的选择 实质性方案：以实质性程序为主； 综合性方案：控制测试与实质性测试结合 当评估的重大错报风险属于高水平时，更倾向于采用实质性方案。 对于小型审计单位，若其缺乏控制，CPA应考虑采用实质性方案。二、进一步审计程序的性质、时间和范围二、进一步审计程序的性质、时间和范围（一）性质 目的：实施控制测试确定内控运行的有效性； 实施实质性程序以发现认定层次的重大错报。 类型：检查、观察、询问、函证、重新计算、分析程序等。 注册会计师应当根据认定层次重大错报风险的评估结果认定层次重大错报风险的评估结果选择审计程序。风险评估 最新第二节 针对认定层次重大错报风险的进一步审计程序（二）时间 注册会计师可以在期中期中或期末期末实施控制测试或实质性程序。 当重大错报风险较高重大错报风险较高时，注册会计师应当考虑在期末或接近期末在期末或接近期末实施实质性程序，或采用不通知的方式，或在管理层不能预见的时间实施审计程序。 若程序在期中已实施，注册会计师应当针对剩余期间获取审计证据 。 注册会计师在确定何时实施审计程序时应当考虑的几项重要因素： 1控制环境 2何时能得到相关信息 3错报风险的性质 4审计证据适用的期间或时点 （三）范围 在确定审计程序的范围时，注册会计师应当考虑下列三个因素：1确定的重要性水平： 反向变化。 2评估的重大错报风险 ：同向变化。3计划获取的保证程度：同向变化。 风险评估 最新第八节 控制测试一、控制测试的涵义和要求一、控制测试的涵义和要求（一）涵义 控制测试指的是测试内部控制运行的有效性。 与“了解内部控制”是两个不同的概念。 注册会计师应当以下方面获取关于控制是否有效运行的审计证据： （1）控制在所审计期间的不同时点是如何运行的； （2）控制是否得到一贯执行； （3）控制由谁执行； （4）控制以何种方式运行。 （二）要求 并非任何情况下均需要实施控制测试，当存在以下情况时，应当实施： 1、预期控制的运行是有效时； 2、仅实施实质性程序不足以提供认定层次充分、适当的审计证据时。风险评估 最新第八节 控制测试二、控制测试的性质二、控制测试的性质 指控制测试所使用的审计程序的类型及其组合。 控制测试的程序，包括： （1）询问； （2）观察； （3）检查； （4）穿行测试； （5）重新执行。 确定控制测试的性质时的要求：1考虑特定控制的性质。 2考虑测试与认定直接相关和间接相关的控制。 3考虑对于一项自动化的应用控制。 CPA可以考虑针对同一交易同时实施控制测试和细节测试，以实现双重目的双重目的。 控制测试的目的是评价控制是否有效运行；控制测试的目的是评价控制是否有效运行； 细节测试的目的是发现认定层次的重大错报。细节测试的目的是发现认定层次的重大错报。风险评估 最新第八节 控制测试三、控制测试的时间三、控制测试的时间 控制测试的时间包括两层含义： 一是什么时间实施控制测试； 二是测试所针对的控制适用的时点或期间。 对期中审计证据的考虑 ： 如果已获取有关控制在期中运行有效性的审计证据，并拟利用该证据，注册会计师应当实施下列审计程序： （1）获取这些控制在剩余期间变化情况的审计证据； （2）确定针对剩余期间还需获取的补充审计证据。 对以前审计证据的考虑 ： 注册会计师如果拟信赖以前审计获取的有关控制运行有效性的审计证据，应当通过实施询问并结合观察或检查程序，获取这些控制是否已经发生变化的审计证据。风险评估 最新第八节 控制测试四、控制测试的范围四、控制测试的范围 主要是指某项控制活动的测试次数 确定控制测试范围的考虑因素 在确定某项控制的测试范围时，注册会计师通常考虑下列六个因素： 1在整个拟信赖的期间，被审计单位执行控制的频率。 2在所审计期间，注册会计师拟信赖控制运行有效性的时间长度。 3为证实控制能够防止或发现并纠正认定层次重大错报，所需获取审计证据的相关性和可靠性。 4通过测试与认定相关的其他控制获取的审计证据的范围。 5在风险评估时拟信赖控制运行有效性的程度。 注册会计师在风险评估时对控制运行有效性的拟信赖程度越高，需要实施控制测试的范围越大。 6控制的预期偏差。 风险评估 最新第九节 实质性程序一、实质性程序的内涵和要求一、实质性程序的内涵和要求（一）内涵 针对评估的重大错报风险实施的直接用以发现认定层次重大错报的审计程序。 （二）要求 无论评估出的重大错报风险处于何种水平，注册会计师必须必须实施实质性程序。 如果认为评估的认定层次重大错报风险是特别风险，注册会计师应当专门针对该风险实施实质性程序。 二、实质性程序的性质二、实质性程序的性质 指实质性程序的类型及其组合，包括细节测试细节测试和实质性分析程序实质性分析程序。 在设计实质性分析程序时，注册会计师应当考虑下列四个因素： 1对特定认定使用实质性分析程序的适当性； 2对已记录的金额或比率作出预期时，所依据的内部或外部数据的可靠性； 3作出预期的准确程度是否足以在计划的保证水平上识别重大错报； 4已记录金额与预期值之间可接受的差异额。 风险评估 最新第九节 实质性程序三、实质性程序的时间三、实质性程序的时间 一般不宜不宜在期中实施实质性程序。 如果在期中实施了实质性程序，注册会计师应当针对剩余期间实施进一步的实质性程序，或将实质性程序和控制测试结合使用，以将期中测试得出的结论合理延伸至期末。 考虑期中审计证据 考虑以前的审计证据 在以前审计中实施实质性程序获取的审计证据，通常对本期只有很弱的证据效力或没有证据效力，不足以应对本期的重大错报风险。 如果拟利用以前审计中实施实质性程序获取的审计证据，注册会计师应当在本期实施审计程序，以确定这些审计证据是否具有持续相关性。 风险评估 最新第九节 实质性程序四、实质性程序的范围四、实质性程序的范围 在确定实质性程序的范围时，注册会计师应当考虑评估的认定层次重大错报认定层次重大错报风险风险和实施控制测试的结果实施控制测试的结果。 评估的认定层次的重大错报风险越高，需要实施实质性程序的范围越广。 如果对控制测试结果不满意，注册会计师应当考虑扩大实质性程序的范围。风险评估 最新第十节 评价列报的适当性 注册会计师应当实施审计程序，以评价财务报表总体列报是否符合适用的会计准则和相关会计制度的规定。在评价财务报表总体列报时，注册会计师应当考虑评估的认定层次重大错报风险。同时，注册会计师应当考虑财务报表是否正确反映财务信息及其分类，以及对重大事项的披露是否充分。 风险评估 最新第十一节 评价审计证据的充分性和适当性 在评价审计证据的充分性和适当性时，注册会计师应当运用职业判断，并考虑下列七个方面因素的影响：（1）认定发生潜在错报的重要程度，以及潜在错报单独或连同其他潜在错报对财务报表产生重大影响的可能性；（2）管理层应对和控制风险的有效性；（3）在以前审计中获取的关于类似潜在错报的经验；（4）实施审计程序的结果，包括审计程序是否识别出舞弊或错误；（5）可获得信息的来源和可靠性；（6）审计证据的说服力；（7）对被审计单位及其环境的了解。 如果对重大的财务报表认定没有获取充分、适当的审计证据没有获取充分、适当的审计证据，注册会计师应当尽可能获取进一步的审计证据。 如果不能获取充分、适当的审计证据不能获取充分、适当的审计证据，注册会计师应当出具保留意见或无法表示意见的审计报告。 风险评估 最新第十二节 审计工作记录 一、了解被审计单位其环境并评估重大错报风险一、了解被审计单位其环境并评估重大错报风险 审计工作记录的内容 1项目组对由于舞弊或错误导致财务报表发生重大错报的可能性进行的讨论，以及得出的重要结论； 2对被审计单位及其环境各个方面以及内部控制各项要素的了解要点、信息来源以及实施的风险评估程序； 3在财务报表层次和认定层次识别、评估出的重大错报风险； 4识别出的特别风险和仅通过实质性程序无法应对的重大错报风险，以及对相关控制的评估。 审计工作记录的方式 常见的记录方式包括文字叙述、问卷、核对表和流程图等。 风险评估 最新第十二节 审计工作记录 二、针对评估的重大错报风险实施的程序二、针对评估的重大错报风险实施的程序 注册会计师应当就四个方面的事项形成审计工作记录： 1对评估的财务报表层次重大错报风险采取的总体应对措施； 2实施进一步审计程序的性质、时间和范围； 3实施的进一步审计程序与评估的认定层次重大错报风险的联系； 4实施进一步审计程序的结果。风险评估 最新关注：关注：COSOCOSO委员会有关内控的研究与报告委员会有关内控的研究与报告COSO委员会委员会 1985年，由美国注册会计师协会（AICPA）、美国审计总署（GAO）、美国财务经理人员协会（FEI）、美国内部审计师协会（IIA）及管理会计师协会（IMA）共同赞助成立了全国舞弊性财务报告委员会（National commission on Fraudulent Reporting），即Treadway 委员会，其后基于Treadway委员会的建议，其赞助机构又组成了一个专门研究内部控制问题的委员会COSO委员会（Committee Of Sponsoring Organizations Of The Treadway Commission）。 有关内控的主要成果：(1) 1992年发表，并于1994年修订的内部控制整体框架报告；(2) 2004年10月发布企业风险管理（Enterprise Risk Management，ERM）框架：在92年报告的基础上，结合萨奥法案（SarbanesOxley Act）的相关要求扩展研究而提出。风险评估 最新关注：关注：COSOCOSO委员会有关内控的研究与报告委员会有关内控的研究与报告1992年内部控制年内部控制整体框架报告整体框架报告1、对内部控制内涵的定义： “内部控制是一个受到董事会、经理层和其他人员影响的过程，该过程的设计是为了提供实现以下三类目标的合理保证：经营的效果和效率、财务报告的可靠性、法律法规的遵循性。”2、三个目标： 经营的效果和效率、财务报告的可靠性和法律法规的遵循性3、五个要素： 控制环境、风险评估、控制活动、信息和沟通、监督 企业目标控制过程实施者内部控制控制环境风险评估控制活动信息与沟通监督风险评估 最新关注：关注：COSOCOSO委员会有关内控的研究与报告委员会有关内控的研究与报告2004年年10月企业风险管理（月企业风险管理（ERM）框架）框架1、对内部控制内涵的扩展： ERM框架明确了对保护资产概念的运用；将纠正错误的管理行为明确地列为控制活动之一；提出了风险偏好、风险容忍度等概念。 2、对内控目标的扩展： 将“财务报告的可靠性”发展为“报告的可靠性”；提出了一类新的目标战略目标 3、对内控要素的扩展： 演变为八个要素：内部环境、目标设定、事件识别、风险评估、风险回应、控制活动、信息与沟通、监督 4、实施者角色和任务的变化。风险评估 最新