2024年注册会计师《审计》第七章　风险评估 高频考点 预习

2024年注册会计师《审计 》第七章风险评估  

本章考情分析

考题类型	单选题、多选题、简答题、综合题
考试分值	9分左右
高频考点	了解被审计单位及其环境等情况、风险评估程序与项目组讨论、了解被审计单位内部控制、风险评估理论、风险评估实际应用、特别风险、固有风险评估等
复习提示	本章属于考试重点章节，理论知识内容多，需要考试理解和记忆的知识点数量多，此外本章考试时会涉及部分教材之外的联系实务的习题

 

第一节　风险识别和评估概述

一、风险识别和评估的概念

（一）风险导向审计

在风险导向审计模式下，注册会计师以重大错报风险的识别和评估以及应对为审计工作的主线，最终将审计风险控制在可接受的低水平。风险的识别和评估是审计风险控制流程的起点。

（二）风险识别和评估

风险识别和评估，是指注册会计师通过实施风险评估程序，识别和评估财务报表层次和认定层次的重大错报风险。

【提示】风险识别，是指找出财务报表层次和认定层次的重大错报风险；风险评估，是指对重大错报发生的可能性和后果严重程度进行评估。（先找后分析）

二、风险识别和评估的作用

（一）作用

注册会计师应当实施风险评估程序，以了解被审计单位及其环境、适用的财务报告编制基础和内部控制体系各要素，为其在下列关键环节作出职业判断提供重要基础：

1.确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；

2.考虑会计政策的选择和运用是否恰当，以及财务报表的列报是否适当；

3.识别与财务报表中金额或披露相关的需要特别考虑的领域，包括关联方交易、管理层运用持续经营假设的合理性，或交易是否具有合理的商业目的等；

4.确定在实施分析程序时所使用的预期值；

5.设计和实施进一步审计程序，以将审计风险降至可接受的低水平；

6.评价所获取审计证据的充分性和适当性。

（二）了解程度

1.了解被审计单位及其环境、适用的财务报告编制基础和内部控制体系各要素是一个连续和动态地收集、更新与分析信息的过程，贯穿于整个审计过程的始终。注册会计师应当运用职业判断确定需要了解被审计单位及其环境的程度。

2.评价了解程度是否恰当，关键是看注册会计师对被审计单位及其环境的了解是否足以识别和评估财务报表的重大错报风险。

3.注册会计师对被审计单位及其环境等方面情况了解的程度，要低于管理层为经营管理企业而对被审计单位及其环境等方面情况需要了解的程度。

【单选2017】下列有关了解被审计单位及其环境的说法中，正确的是（　　）。

A.注册会计师无须在审计完成阶段了解被审计单位及其环境

B.注册会计师对被审计单位及其环境了解等方面情况的程度，低于管理层为经营管理企业而对被审计单位及其环境等方面情况需要了解的程度

C.对小型被审计单位，注册会计师可以不了解被审计单位及其环境等方面情况

D.注册会计师对被审计单位及其环境等方面情况了解的程度，取决于会计师事务所的质量控制政策

【答案】B

【解析】了解被审计单位及其环境贯穿于整个审计过程，A错误；了解被审计单位及其环境是必要程序，小型被审计单位也需要了解，C错误；对被审计单位的了解程度取决于是否足以识别和评估财务报表的重大错报风险，D错误。

 

第二节　风险评估程序、信息来源以及项目组内部的讨论

一、风险评估程序和信息来源

（一）风险评估程序的含义

风险评估程序，是指注册会计师为识别和评估财务报表层次以及认定层次的重大错报风险，而设计和实施的审计程序。

（二）设计和实施要求

注册会计师在设计和实施风险评估程序时，不应当偏向于获取佐证性的审计证据，也不应当排斥相矛盾的审计证据。（需要客观公正，不带倾向性）

（三）对职业怀疑的影响

不带倾向性地设计和实施风险评估程序以获取支持重大错报风险识别和评估的审计证据，可以帮助注册会计师识别潜在的相矛盾的信息，进而帮助注册会计师在识别和评估重大错报风险时保持职业怀疑。注册会计师保持职业怀疑可能包括：

（1）质疑相矛盾的信息以及文件的可靠性；

（2）考虑管理层和治理层对询问的答复以及从管理层和治理层获取的其他方面的信息；

（3）对可能表明存在由舞弊或错误导致的错报的情况保持警觉；

（4）根据被审计单位的性质和具体情况，考虑获取的审计证据是否支持注册会计师对重大错报风险的识别和评估。

（四）风险评估程序的内容

注册会计师应当实施下列风险评估程序，以了解被审计单位及其环境等方面的情况：

（1）询问管理层和被审计单位内部其他合适人员，包括内部审计人员；

（2）分析程序；

（3）观察和检查。

【提示1】注册会计师在财务报表审计中应当实施上述风险评估程序，但是在了解被审计单位及其环境、适用的财务报告编制基础和内部控制体系各要素的每一方面时无需实施上述所有程序。（比如了解内部控制体系要素时不实施分析程序）

【提示2】在实施风险评估程序时，可以使用自动化工具和技术，如对大批量数据（如总账、明细账或其他经营数据）进行自动化分析，使用远程观察工具（如无人机）观察或检查资产等。

 

风险评估程序中的具体程序如下：

1.询问管理层和被审计单位内部其他合适人员（询问不同人员获取信息，提供不同视角）

询问对象	具体内容
（1）管理层和负责财务报告的人员	①管理层所关注的主要问题（新的竞争对手、主要客户和供应商的流失、新的税收法规的实施以及经营目标或战略的变化等） ②被审计单位最近的财务状况、经营成果和现金流量。 ③可能影响财务报告的交易和事项，或者目前发生的重大会计处理问题（如重大的购并事宜等） ④被审计单位发生的其他重要变化。如所有权结构、组织结构的变化，以及内部控制的变化等
（2）治理层	可能有助于了解治理层对管理层编制财务报表的监督程度
（3）负责生成、处理或记录复杂或异常交易的员工	可能有助于评价被审计单位选择和运用某项会计政策的恰当性
（4）内部法律顾问	可能有助于了解如诉讼、遵守法律法规的情况、影响被审计单位的舞弊或舞弊嫌疑、产品保证、售后责任、与业务合作伙伴的安排（如合营企业）以及合同条款的含义等事项的有关信息
（5）营销人员	可能有助于了解被审计单位营销策略的变化、销售趋势或与客户的合同安排等
（6）风险管理职能部门或人员	可能有助于了解可能影响财务报告的经营和监管风险
（7）信息技术人员	可能有助于了解系统变更、系统或控制失效的情况，或与信息技术相关的其他风险
（8）适当的内部审计人员（如有）	可能有助于注册会计师在识别和评估风险时了解被审计单位及其环境以及内部控制体系

 

2.实施分析程序

（1）含义

分析程序，是指注册会计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系，对财务信息作出评价。

（2）目的

注册会计师将分析程序用作风险评估程序，识别注册会计师未注意到的被审计单位某些方面的情况，或了解固有风险因素（如相关变化）如何影响“相关认定”（即注册会计师识别出存在重大错报风险的交易类别、账户余额和披露的认定）易于发生错报的可能性，可能有助于识别和评估重大错报风险。

（3）方式和结论

注册会计师在将分析程序用作风险评估程序时，可以：

①同时使用财务信息和非财务信息，如分析销售额（财务信息）与卖场的面积（非财务信息）或已出售商品数量（非财务信息）之间的关系；

②使用高度汇总的数据。

因此，实施分析程序的结果可能大体上初步显示发生重大错报的可能性。

 

3.观察和检查

观察和检查程序可以支持对管理层和其他相关人员的询问结果，并可以提供有关被审计单位及其环境等方面情况的信息。注册会计师应当实施下列观察和检查程序：

（1）观察被审计单位的经营活动。

（2）检查文件、记录和内部控制手册。

（3）阅读由管理层和治理层编制的报告。

（4）实地察看被审计单位的生产经营场所和厂房设备。

（5）追踪交易在财务报告信息系统中的处理过程（穿行测试）

这是注册会计师了解被审计单位业务流程及其相关控制时经常使用的审计程序，可以确定被审计单位的交易流程和相关控制是否与之前通过其他程序所获得的了解一致，并确定相关控制是否得到执行。

【多选2016】下列各项程序中，通常用作风险评估程序的有（　　）。

A.检查

B.分析程序

C.重新执行

D.观察

【答案】ABD

【解析】重新执行用于控制测试，不用于风险评估程序，C错误。

 

二、其他审计程序和信息来源

（一）其他审计程序

除了从被审计单位内部获取信息以外，如果根据职业判断认为从被审计单位外部获取的信息有助于识别重大错报风险，注册会计师应当实施其他审计程序以获取这些信息。例如，

①直接或间接从特定外部机构（如监管机构）获取信息。

②获取被审计单位的公开信息，如被审计单位发布的新闻稿、分析师或投资者会议的材料、分析师报告或与交易活动有关的信息。

③询问被审计单位聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等。

 

（二）其他信息来源

1.注册会计师应当考虑在评价客户关系和审计业务的接受或保持过程中获取的信息是否与识别重大错报风险相关。

2.注册会计师应当考虑向被审计单位提供其他服务（如执行中期财务报表审阅业务）所获得的经验是否有助于识别重大错报风险。

3.对于连续审计业务，如果拟利用以往与被审计单位交往的经验和以前审计中实施审计程序获取的信息，注册会计师应当确定被审计单位及其环境等方面情况自以前审计后是否已发生变化，并评价这些经验和信息是否依然相关和可靠。

 

三、项目组内部的讨论

（一）讨论的目的

1.使经验丰富的项目组成员（包括项目合伙人）有机会分享根据对被审计单位的了解形成的见解，共享信息有助于增进所有项目组成员对项目的了解。

2.使项目组成员能够讨论被审计单位面临的经营风险，固有风险因素如何影响各类交易、账户余额和披露易于发生错报的可能性，以及财务报表易于发生由舞弊或错误导致的重大错报的方式和领域。

3.帮助项目组成员更好地了解在各自负责的领域中潜在的财务报表重大错报，并了解各自实施审计程序的结果如何影响审计的其他方面，包括对确定进一步审计程序的性质、时间安排和范围的影响。特别是讨论可以帮助项目组成员基于各自对被审计单位性质和情况的了解，进一步考虑相矛盾的信息。

4.为项目组成员交流和分享在审计过程中获取的、可能影响重大错报风险评估结果或应对这些风险的审计程序的新信息提供基础。

（二）讨论的内容

讨论的内容和范围受项目组成员的职位、经验和所需要的信息的影响。

讨论的目的	讨论的内容
分享了解的信息	1.被审计单位的性质、管理层对内部控制的态度、以往获得的经验、重大经营风险因素； 2.已了解的被审计单位外部和内部舞弊因素； 3.确定财务报表哪些项目易于发生重大错报
分享审计思路和方法	1.管理层可能如何编报和隐藏虚假财务报告； 2.出于个人目的侵占或挪用被审计单位资产行为如何发生
为项目组指明审计方向	1.强调在审计过程中保持职业怀疑态度的重要性。不应将管理层当成完全诚实，也不应将其作为罪犯对待 2.列示表明可能存在舞弊可能性的迹象； 3.决定如何增加审计程序的不可预见性； 4.总体考虑每个成员的工作等，审计时间，审计底稿复核等； 5.强调对表明管理层不诚信的迹象保持警觉的重要性

 

（三）参与讨论的人员

1.项目组的关键成员（包括项目合伙人）应当参与讨论，如果项目组需要拥有信息技术或其他特殊技能的专家，这些专家也可根据需要讨论。

2.参与讨论人员的范围受项目组成员的职责经验和信息需要的影响，不要求所有成员每次都参与项目组的讨论。

3.项目合伙人应当确定向未参与讨论的项目组成员通报哪些事项。

（四）讨论的时间和方式

1.项目组应当根据审计的具体情况，在整个审计过程中持续交换有关财务报表发生重大错报可能性的信息。（随时讨论）

2.项目组在讨论时应当强调在整个审计过程中保持职业怀疑，警惕可能发生重大错报的迹象，并对这些迹象进行严格追踪。

 

第三节　了解被审计单位及其环境和适用的财务报告编制基础

一、总体要求

注册会计师应当实施风险评估程序，以了解下列三个方面：

1.被审计单位及其环境，包括：

（1）组织结构、所有权和治理结构、业务模式（包括该业务模式利用信息技术的程度）；（内部因素）

（2）行业形势、法律环境、监管环境和其他外部因素；（外部因素）

（3）财务业绩的衡量标准，包括内部和外部使用的衡量标准。（外部因素+内部因素）

2.适用的财务报告编制基础、会计政策以及变更会计政策的原因。（内部因素）

3.被审计单位内部控制体系各要素。（内部因素）

【提示】上述了解的各个方面可能会相互影响。因此，注册会计师在对上述各个方面进行了解和评价时，应当考虑各因素之间的相互关系。

 

二、组织结构、所有权和治理结构、业务模式

（一）组织结构

复杂的组织结构通常更有可能导致某些特定的重大错报风险。

注册会计师应当了解被审计单位的组织结构，考虑复杂组织结构可能导致的重大错报风险，包括财务报表合并、商誉以及长期股权投资核算等问题，以及财务报表是否已对这些问题作了充分披露。

（二）所有权结构

1.注册会计师应当了解所有权结构以及所有者与其他人员或实体之间的关系，包括关联方，考虑关联方关系是否已经得到识别，以及关联方交易是否得到恰当会计处理。

2.注册会计师还应当了解所有者、治理层、管理层之间的区别。

（三）治理结构

良好的治理结构可以对被审计单位的经营和财务运作以及财务报告实施有效的监督，从而降低财务报表发生重大错报的风险。

注册会计师应当了解被审计单位的治理结构。注册会计师可以考虑下列事项，以了解治理结构：

（1）治理层人员是否参与对被审计单位的管理；

（2）董事会中的非执行人员（如有）是否与负责执行的管理层相分离；

（3）治理层人员是否在被审计单位法律上的组织结构下的组成部分中任职，例如担任董事；

（4）治理层是否下设专门机构（如审计委员会）以及该专门机构的责任；

（5）治理层监督财务报告的责任，包括批准财务报表。

 

（四）业务模式

1.了解业务模式的目的

（1）注册会计师了解被审计单位的目标、战略和业务模式有助于从战略层面和整体层面了解被审计单位，并了解被审计单位承担和面临的经营风险。

（2）由于多数经营风险最终都会产生财务后果，从而影响财务报表，因此，了解影响财务报表的经营风险有助于注册会计师识别重大错报风险。（线下销售和线上销售的经营风险不同）

【提示】经营风险是指可能对被审计单位实现目标和实施战略的能力产生不利影响的重要状况、事项、情况、作为（或不作为）所导致的风险，或由于制定不恰当的目标和战略而导致的风险。

2.了解业务模式的范围

注册会计师并非需要了解被审计单位业务模式的所有方面。

经营风险比财务报表重大错报风险范围更广，注册会计师没有责任了解或识别所有的经营风险，因为尽管多数经营风险最终都会导致财务后果，从而影响财务报表，但并非所有的经营风险都会导致重大错报风险。

【提示】导致财务报表产生重大错报风险的可能性有所增加的经营风险可能来自下列事项：

（1）目标或战略不恰当，未能有效实施战略，环境的变化或经营的复杂性。

（2）未能认识到变革的必要性也可能导致经营风险。例如：

①开发新产品或服务可能失败；

②即使成功开拓了市场，也不足以支撑产品或服务；

③产品或服务存在瑕疵，可能导致法律责任及声誉方面的风险。

（3）对管理层的激励和压力措施可能导致有意或无意的管理层偏向，并因此影响重大假设以及管理层或治理层预期的合理性。

 

3.了解业务模式的考虑事项

注册会计师在了解可能导致财务报表重大错报风险的业务模式、目标、战略及相关经营风险时，可以考虑下列事项：

（1）行业发展，例如，缺乏足以应对行业变化的人力资源和业务专长；

（2）开发新产品或提供新服务，这可能导致被审计单位的产品责任增加；

（3）被审计单位的业务扩张，被审计单位对市场需求的估计可能不准确；

（4）新的会计政策要求，被审计单位可能对其未完全执行或执行不当；

（5）监管要求，这可能导致法律责任增加；

（6）本期及未来的融资条件，例如被审计单位由于无法满足融资条件而失去融资机会；

（7）信息技术的运用，例如，新的信息技术系统的实施将影响经营和财务报告；

（8）实施战略的影响，特别是由此产生的需要运用新的会计政策要求的影响。

 

4.了解业务模式的内容

（1）经营活动

作用	有助于注册会计师识别预期在财务报表中反映的主要交易类别、重要账户余额和披露
了解内容	①收入来源（包括主营业务的性质）、产品或服务以及市场的性质（包括产品或服务的种类、付款条件、利润率、市场份额、竞争者、出口、定价政策、产品声誉、质量保证、营销策略和目标、电子商务如网上销售和营销活动） ②业务的开展情况（如生产阶段与生产方法，易受环境风险影响的活动） ③联盟、合营与外包情况 ④地区分布与行业细分 ⑤生产设施、仓库和办公室的地理位置，存货存放地点和数量 ⑥关键客户及货物和服务的重要供应商，劳动用工安排（包括是否存在退休金和其他退休福利、股票期权或激励性奖金安排以及与劳动用工事项相关的政府法规） ⑦研究与开发活动及其支出 ⑧关联方交易

（2）投资活动

作用	有助于注册会计师关注被审计单位在经营策略和方向上的重大变化
了解内容	①计划实施或近期已实施的并购或资产处置 ②证券与贷款的投资和处置 ③资本性投资活动 ④对未纳入合并范围的实体的投资，包括非控制合伙企业、合营企业和非控制特殊目的实体

（3）筹资活动

作用	有助于注册会计师评估被审计单位在融资方面的压力，并进一步考虑被审计单位在可预见未来的持续经营能力
了解内容	①主要子公司和联营企业（无论是否纳入合并范围）的所有权结构 ②债务结构和相关条款，包括资产负债表外融资和租赁安排 ③实际受益方（例如，实际受益方来自国内还是国外，其商业声誉和经验可能对被审计单位产生的影响）及关联方 ④衍生金融工具的使用

 

【提示】了解被审计单位的活动特别是经营活动，也有助于注册会计师了解影响财务报告的重要会计政策、交易或事项。

 

【单选2021改】下列有关注册会计师了解组织结构、所有权和治理结构、业务模式的说法中，错误的是（　　）。

A.了解被审计单位筹资活动，有助于注册会计师评估被审计单位在融资方面的压力，并进一步考虑被审计单位在可预见未来的持续经营能力

B.了解被审计单位的目标、战略和业务模式有助于从战略层面和整体层面了解被审计单位，并了解被审计单位承担和面临的经营风险

C.了解被审计单位治理结构，有助于注册会计师关注被审计单位在经营策略和方向上的重大变化

D.了解被审计单位经营活动，有助于注册会计师识别预期在财务报表中反映的主要交易类别、重要账户余额和披露

【答案】C

【解析】了解被审计单位投资活动有助于注册会计师关注被审计单位在经营策略和方向上的重大变化，C错误。

 

三、行业形势、法律环境、监管环境及其他外部因素

（一）行业形势（应当了解）

作用	有助于注册会计师识别与被审计单位所处行业有关的重大错报风险
了解内容	（1）所处行业的市场与竞争，包括市场需求、生产能力和价格竞争 （2）生产经营的季节性和周期性 （3）与被审计单位产品相关的生产技术发展 （4）能源供应与成本

 

（二）法律环境和监管环境（应当了解）

了解原因	（1）某些法律法规或监管要求可能对被审计单位经营活动有重大影响，如不遵守将导致停业等严重后果 （2）某些法律法规或监管要求（如环保法规等）规定了被审计单位某些方面的责任和义务 （3）某些法律法规或监管要求决定了被审计单位需要遵循的行业惯例和核算要求
了解内容	（1）适用的财务报告编制基础 （2）受管制行业的法规框架，包括披露要求 （3）对被审计单位经营活动产生重大影响的法律法规，如劳动法和相关法规 （4）税收相关法律法规 （5）目前对被审计单位开展经营活动产生影响的政府政策，如货币政策（包括外汇管制）、财政政策、财政刺激措施（如政府援助项目）、关税或贸易限制政策等 （6）影响行业和被审计单位经营活动的环保要求

 

（三）其他外部因素

注册会计师应当了解影响被审计单位的其他外部因素，主要包括总体经济情况、利率、融资的可获得性、通货膨胀水平或币值变动等。

（四）了解的重点和程度

1.注册会计师对上述外部因素了解的范围和程度，因被审计单位所处行业、规模以及其他因素(如市场地位)的不同而不同。

2.注册会计师应当考虑被审计单位所在行业的性质或监管程度是否可能导致特定的重大错报风险，并考虑项目组是否配备了具有相关知识和经验的成员。

 

四、被审计单位财务业绩的衡量标准

（一）了解的作用

从内部了解	通过询问管理层等程序，了解用于评价被审计单位财务业绩的衡量标准，有助于注册会计师考虑这些内部或外部的衡量标准，是否会导致被审计单位面临实现业绩目标的压力。这些压力可能促使管理层采取某些措施，从而增加易于发生由管理层偏向或舞弊导致的错报的可能性（如改善经营业绩或有意歪曲财务报表）
从外部了解	外部机构或人员（如分析师或信用机构，新闻和其他媒体，税务机关，监管机构，商会和资金提供方）也可能评价和分析被审计单位的财务业绩。 注册会计师可以考虑获取这些可公开获得的信息，以帮助其进一步了解业务并识别相矛盾的信息

 

（二）了解的要求

1.了解的主要方面

在了解被审计单位财务业绩衡量和评价情况时，注册会计师应当关注的用于评价财务业绩的标准：

（1）关键业绩指标（财务的或非财务的）、关键比率、趋势和经营统计数据；

（2）同期财务业绩比较分析；

（3）预算、预测、差异分析，分部信息与分部、部门或其他不同层次的业绩报告；

（4）员工业绩考核与激励性报酬政策；

（5）被审计单位与竞争对手的业绩比较。

2.关注内部财务业绩衡量的结果

与内部财务业绩衡量相关的信息，可能显示财务报表存在错报风险。

因此，注册会计师应当关注被审计单位内部财务业绩衡量所显示的未预期到的结果或趋势、管理层的调查结果和纠正措施，以及相关信息是否显示财务报表可能存在重大错报。

3.考虑财务业绩衡量指标的可靠性

（1）如果拟利用被审计单位内部信息系统生成的财务业绩衡量指标，注册会计师应当考虑相关信息是否可靠，以及利用这些信息是否足以实现审计目标。

（2）如果注册会计师计划在审计中（如在实施分析程序时）利用财务业绩指标，应当考虑相关信息是否可靠，以及在实施审计程序时利用这些信息是否足以发现重大错报。

4.对小型被审计单位的考虑

小型被审计单位通常没有正式的财务业绩衡量和评价程序，管理层往往依据某些关键指标，作为评价财务业绩和采取适当行动的基础，注册会计师应当了解管理层使用的关键指标。

 

（三）考虑管理层面临的关键指标压力

注册会计师了解被审计单位财务业绩的衡量与评价，是为了考虑管理层是否面临实现某些关键财务业绩指标的压力。此外，了解管理层认为重要的关键业绩指标，有助于注册会计师深入了解被审计单位的目标和战略。

1.压力的来源

这些压力既可能源于需要达到市场分析师或股东的预期，也可能产生于达到获得股票期权或管理层和员工奖金的目标。

2.压力的影响

受压力影响的人员可能是高级管理人员(包括董事会)，也可能是可操纵财务报表的其他经理人员，如子公司或分支机构管理人员可能为达到奖金目标而操纵财务报表。

3.评价管理层是否存在歪曲财务报表的动机和压力时，还应当考虑的其他情形：

（1）企业或企业的一个主要组成部分是否有可能被出售；

（2）管理层是否希望维持或提升企业的股价或盈利走势，而热衷于采用过度激进的会计方法；

（3）基于纳税的考虑，股东或管理层是否有意采取不适当的方法使盈利最小化；

（4）企业是否持续增长和接近财务资源的最大限度；

（5）企业的业绩是否急剧下降，可能存在终止上市的风险；

（6）企业是否具备足够的可分配利润或现金流量，以维持目前的利润分配水平；

（7）如果公布欠佳的财务业绩，对重大未决交易（如企业合并或新业务合同的签订）是否可能产生不利影响；

（8）企业是否过度依赖银行借款，而财务业绩又可能达不到借款合同对财务指标的要求。

 

五、适用的财务报告编制基础、会计政策以及变更会计政策的原因

注册会计师应当了解适用的财务报告编制基础、会计政策及变更会计政策的原因，并评价被审计单位的会计政策是否适当、是否与适用的财务报告编制基础一致。

（一）了解时可能需要考虑的事项

被审计单位与适用的财务报告编制基础相关的财务报告实务	（1）会计政策和行业特定惯例，包括特定行业财务报表中的“相关交易类别、账户余额和披露”（如银行业的贷款和投资、医药行业的研究与开发活动） （2）收入确认 （3）金融工具以及相关信用损失的会计处理 （4）外币资产、负债与交易 （5）异常或复杂交易（包括在有争议或新兴领域的交易）的会计处理（如对加密货币的会计处理）
就被审计单位对会计政策的选择和运用（包括变更及原因）获得的了解	（1）被审计单位用于确认、计量和列报（包括披露）重大和异常交易的方法 （2）在缺乏权威性标准或共识的争议或新兴领域采用重要会计政策产生的影响 （3）环境变化，例如适用的财务报告编制基础的变化或税制改革可能导致被审计单位的会计政策变更 （4）新颁布的会计准则、法律法规，被审计单位采用的时间以及如何采用或遵守这些规定

 

（二）了解固有风险因素如何影响认定易于发生错报的可能性

1.固有风险因素的概念

含义	是指在不考虑内部控制的情况下，导致交易类别、账户余额和披露的某一认定易于发生错报（无论该错报是由舞弊还是错误导致）的因素
性质与内容	固有风险因素可能是定性或定量的，包括复杂性、主观性、变化、不确定性以及由影响固有风险的管理层偏向或其他舞弊风险因素导致易于发生错报的其他因素
了解的要求	应当了解被审计单位在按照适用的财务报告编制基础编制财务报表时，固有风险因素如何影响各项认定易于发生错报的可能性

 

2.了解固有风险因素的重要作用

（1）有助于注册会计师初步了解错报发生的可能性和重要程度，并帮助注册会计师识别认定层次的重大错报风险。

（2）有助于注册会计师在按照审计准则的规定评估固有风险时，评估错报发生的可能性和重要程度。

 

3.与适用的财务报告编制基础要求的信息（以下简称“所需信息”）编制相关的固有风险因素

因素	相关说明
复杂性	是由于信息的性质或编制所需信息的方式导致的，包括编制过程本身较为复杂的情况。下列情况可能导致较高的复杂性： （1）计算供应商返利准备。这是因为计算供应商返利准备可能有必要考虑与很多不同供应商签订的不同商业条款，或与计算到期返利相关的很多相互关联的商业条款 （2）如果在作出会计估计时存在许多具有不同特征的潜在数据来源，那么，该数据的处理涉及很多相互关联的步骤，因此，这些数据本身较难识别、获取、访问、了解或处理 【提示】如果复杂性是固有风险因素，那么信息编制可能固有地需要较复杂的过程，并且这些过程本身可能难以执行。因此，执行这些过程可能需要专业技术或知识，并可能需要利用管理层的专家
主观性	（1）由于知识或信息的可获得性受到限制，客观编制所需信息的能力存在固有局限性，因此，管理层可能需要对采取的适当方法等作出选择或主观判断 （2）由于编制所需信息的方法不同，适当地运用适用的财务报告编制基础可能也会导致不同的结果 （3）随着知识或数据受到更多的限制，具有适当知识和独立性的人员作出判断的主观性以及可能的判断结果的多样性也将有所增加 【提示】如果管理层的判断主观性较高，则由管理层偏向（无论无意或故意）导致易于发生错报的可能性也可能有所提升。例如，在作出具有高度估计不确定性的会计估计时，可能涉及管理层的重大判断，与方法、数据和假设相关的结论可能反映出无意或故意的管理层偏向
变化	随着时间的变化，被审计单位的经营、经济环境、会计、监管、所处行业或经营环境中其他方面的事项或情况也会产生变化，其影响反映在所需信息中
不确定性	不能仅通过直接观察可验证的充分精确和全面的数据编制所需信息时，会导致不确定性。例如，如果无法精确确定所需的货币金额并且在财务报表完成日之前无法确定估计的结果，则会导致估计不确定性
其他因素（管理层偏向或其他舞弊风险因素）	管理层偏向通常与特定情况相关，这些情况可能导致管理层在作出判断时未保持中立（潜在管理层偏向的迹象），从而导致信息产生重大错报，如果管理层是故意的，则导致舞弊

 

4.固有风险因素对某类交易、账户余额和披露的影响

（1）某类交易、账户余额和披露由于其复杂性或主观性而导致易于发生错报的可能性，通常与其变化或不确定性的程度密切相关。

例如，如果被审计单位存在一项基于假设的会计估计，其选择涉及重大判断，则这项会计估计的计量可能受到主观性和不确定性的影响。

（2）某类交易、账户余额和披露由于其复杂性或主观性而导致易于发生错报的可能性越大，注册会计师越有必要保持职业怀疑。

（3）如果某类交易、账户余额和披露由于其复杂性、主观性、变化或不确定性而导致易于发生错报，这些固有风险因素可能为管理层偏向（无论无意或有意）创造了机会，并影响由管理层偏向导致的易于发生错报的可能性。

（4）某些事项或情况影响由管理层偏向因素导致易于发生错报的可能性，这些事项也可能影响由其他舞弊风险因素导致易于发生错报的可能性。

 

（三）可能表明财务报表存在重大错报风险的事项和情况

以下是按照固有风险因素分类，说明可能导致财务报表存在财务报表层次或认定层次重大错报风险的事项和情况(包括交易)的示例。这些事项和情况涵盖范围广泛，但不一定完整，且并非所有的事实和情况都与每项审计业务相关。

固有风险因素	事项和情况	具体示例
复杂性	监管	（1）在高度复杂的监管环境中开展业务
	业务模式	（2）存在复杂的联营或合资企业
	适用的财务报告编制基础	（3）涉及复杂过程的会计计量
	交易	（4）使用表外融资、特殊目的实体以及其他复杂的融资安排
主观性	适用的财务报告编制基础	（5）某项会计估计具有多种可能的衡量标准。例如，管理层确认折旧费用或建造收入和费用 （6）管理层对非流动资产（如投资性房地产）的估值技术或模型的选择
变化	经济情况	（7）在经济不稳定（如货币发生重大贬值或经济发生严重通货膨胀）的国家或地区开展业务
	市场	（8）在不稳定的市场开展业务（如期货交易）
	客户流失	（9）持续经营和资产流动性出现问题，包括重要客户流失
	行业模式	（10）被审计单位经营所处的行业发生变化
	业务模式	（11）供应链发生变化 （12）开发新产品或提供新服务，或进入新的业务领域
	地理	（13）开辟新的经营场所
	被审计单位组织结构	（14）被审计单位发生变化，如发生重大收购、重组或其他非常规事项 （15）拟出售分支机构或业务分部
	人力资源的胜任能力	（16）关键人员变动（包括核心执行人员的离职）
	信息技术	（17）信息技术环境发生变化 （18）安装新的与财务报告相关的重大信息技术系统
	适用的财务报告编制基础	（19）采用新的会计准则
	资本	（20）获取资本或借款的能力受到新的限制
	监管	（21）经营活动或财务业绩受到监管机构或政府机构的调查 （22）与环境保护相关的新立法的影响
不确定性	报告	（23）涉及重大计量不确定性（包括会计估计）的事项或交易及相关披露 （24）存在未决诉讼和或有负债（如售后质量保证、财务担保和环境补救）
其他因素	报告	（25）管理层和员工编制虚假财务报告的机会，包括遗漏披露应包含的重大信息或信息晦涩难懂
	交易	（26）从事重大的关联方交易 （27）发生大额非常规或非系统性交易（包括公司间的交易和在期末发生大量收入的交易） （28）按照管理层特定意图记录的交易（如债务重组、资产出售和交易性债券的分类）
	其他可能表明存在财务报表层次重大错报风险的事项或情况	（1）缺乏具备会计和财务报告技能的员工 （2）控制缺陷，尤其是内部环境、风险评估和内部监督中的控制缺陷和管理层未处理的内部控制缺陷 （3）以往发生的错报或错误，或者在本期期末出现重大会计调整

 

【综合2018】上市公司甲公司是ABC会计师事务所的常年审计客户，主要从事汽车的生产和销售。A注册会计师负责审计甲公司2017年度财务报表，确定财务报表整体的重要性为1 000万元，明显微小错报的临界值为30万元。

资料一：

A注册会计师在审计工作底稿中记录了所了解的甲公司情况及其环境，部分内容摘录如下：

（1）2017年在钢材价格及劳动力成本大幅上涨的情况下，甲公司通过调低主打车型的价格，保持了良好的竞争力和市场占有率。

（2）2017年，甲公司首款互联网汽车研发项目取得突破性进展，于2017年末开始量产，甲公司因此获得研发补助1 800万元，并于2017年12月将相关开发支出转入无形资产。

（3）自2017年1月起，甲公司将产品质量保证金的计提比例由营业收入的3%调整为2%。

（4）2017年12月31日，甲公司以1亿元购入丙公司40%股权，根据约定，甲公司按持股比例享有丙公司自评估基准日2017年6月30日至购买日的净利润。

（5）2017年12月，甲公司与非关联方丁公司签订意向书，以3 000万元价格向其转让一批旧设备，2018年1月，该交易获得批准并完成交付。

资料二：

A注册会计师在审计工作底稿中记录了甲公司的财务数据，部分内容摘录如下：

金额单位：万元

项目	未审数	已审数
	2017年	2016年
营业收入	100 000	95 000
营业成本	89 000	84 500
其他收益——互联网汽车项目补助	1 800	0
无形资产——互联网汽车开发项目	4 000	0
销售费用——产品质量保证	2 000	2 850
投资收益——权益法核算（丙公司）	1 200	0
长期股权投资——丙公司	11 200	0
持有待售资产——拟销售给丁公司的设备	4 200	0

要求：

针对资料一第（1）至（5）项，结合资料二，假定不考虑其他条件，逐项指出资料一所列事项是否可能表明存在重大错报风险。如果认为可能表明存在重大错报风险，简要说明理由，并说明该风险主要与哪些财务报表项目的哪些认定相关（不考虑税务影响）。

【答案】

事项序号	是否可能表明存在重大错报风险（是/否）	理由	财务报表项目名称及认定
（1）	是	在原材料和人工成本上涨，而主要产品价格下降的情况下，毛利率仍与上年相当，可能存在多计收入、少计成本的风险	营业收入（发生） 营业成本（完整性/准确性）
（2）	是	互联网汽车开发资本化形成无形资产，相关补助可能是与资产相关的政府补助，可能存在多计其他收益的风险	其他收益（发生） 递延收益（完整性）无形资产（准确性、计价和分摊）
（3）	是	该事项涉及会计估计变更且金额重大，可能存在少计预计负债和销售费用的风险	销售费用（准确性） 预计负债（准确性、计价和分摊）
（4）	是	长期股权投资购入之后才能采用权益法核算/权益法确认的投资收益不应包括购买前的损益，可能存在多计投资收益和长期股权投资的风险	长期股权投资（准确性、计价和分摊） 投资收益（准确性）
（5）	是	截至2017年末，转让交易未经批准，尚不满足划分为持有待售资产的条件，可能存在多计持有待售资产的风险；转让价格低于账面价值，可能存在少计资产减值准备的风险	持有待售资产（存在） 固定资产（完整性） 固定资产（准确性、计价和分摊） 资产减值损失（准确性）

 

第四节　了解被审计单位内部控制体系各要素

一、内部控制的概念和要素

（一）含义

内部控制 （简称控制）	是指被审计单位为实现控制目标所制定的政策和程序 【提示】政策是指被审计单位为了实施控制而作出的应当或不应当采取某种措施的规定；程序是指为执行政策而采取的行动。
内部控制体系	是指由治理层、管理层和其他人员（均为被审计单位内部人员）设计、执行和维护的体系，以合理保证被审计单位能够实现财务报告的可靠性，提高经营效率和效果，以及遵守适用的法律法规等目标

 

【多选2017】下列各方中，属于被审计单位设计和实施内部控制的责任主体的有（　　）。

A.被审计单位的管理层

B.被审计单位的普通员工

C.负责被审计单位内部控制审计的注册会计师

D.被审计单位的治理层

【答案】ABD

【解析】被审计单位设计和实施内部控制的责任主体是被审计单位的人员，不包括注册会计师，C错误。

 

（二）三目标

报告	合理保证被审计单位能够实现财务报告的可靠性
经营	合理保证提高经营效率和效果
合规	合理保证遵守适用的法律法规等

（三）五要素

内部控制体系包含五个相互关联的要素：

（1）内部环境（控制环境）。

（2）风险评估。

（3）信息与沟通（信息系统与沟通）。

（4）控制活动。

（5）内部监督。

 

二、直接控制和间接控制

（一）识别与审计相关的控制方法

1.注册会计师审计的目标

是对财务报表是否不存在重大错报发表审计意见，尽管要求注册会计师在财务报表审计中考虑与审计相关的内部控制，但目的并非对被审计单位内部控制的有效性发表意见。

2.注册会计师了解内部控制的要求

（1）注册会计师需要了解和评价的内部控制，只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。（注册会计师角度）

（2）被审计单位目标与为实现目标提供合理保证的控制之间存在直接关系。被审计单位的目标和控制，与财务报告、经营及合规有关。但这些目标和控制并非都与注册会计师的风险评估相关。（被审计单位角度）

3.与审计相关的内部控制

（1）虽然大部分与审计相关的控制可能与财务报告相关，但并非所有与财务报告相关的控制都与审计相关，确定一项控制单独或连同其他控制是否与审计相关，需要注册会计师作出职业判断。

（2）如果与经营和合规目标相关的控制与注册会计师实施审计程序时评价或使用的数据相关，则这些控制也可能与审计相关。

（3）如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息，针对该信息完整性和准确性的控制可能与审计相关。

（4）用于防止未经授权购买、使用或处置资产的内部控制，可能包括与财务报告和经营目标相关的控制。注册会计师对这些控制的考虑，通常仅限于与财务报告可靠性相关的控制。

（5）被审计单位通常有一些与目标相关但与审计无关的控制，注册会计师无须对其加以考虑。（比如复杂的自动化控制提高经营活动的效率和效果，但通常与审计无关）

（6）与审计相关的控制可分为直接控制和间接控制，这种分类有助于注册会计师识别和评估财务报表层次以及认定层次的重大错报风险。

 

4.注册会计师在判断一项控制单独或连同其他控制是否与审计相关时，可能考虑下列事项：

（1）重要性；

（2）相关风险的重要程度；

（3）被审计单位的规模；

（4）被审计单位业务的性质，包括组织结构和所有权特征；

（5）被审计单位经营的多样性和复杂性；

（6）适用的法律法规；

（7）内部控制的情况和适用的要素；

（8）作为内部控制组成部分的系统（包括使用服务机构）的性质和复杂性；

（9）一项特定控制（单独或连同其他控制）是否以及如何防止或发现并纠正重大错报。

 

【单选2019】下列有关注册会计师了解内部控制的说法中，错误的是（　　）。

A.注册会计师应当了解与特别风险相关的控制

B.注册会计师应当了解与会计估计相关的控制

C.注册会计师应当了解与超出被审计单位正常经营过程的重大关联方交易相关的控制

D.注册会计师应当了解与会计差错更正相关的控制

【答案】D

【解析】注册会计师应当了解与审计相关的内部控制，特别风险与审计相关，AC正确；对于会计估计，注册会计师应当判断其是否属于特别风险，因此需要了解相关控制，B正确；如果被审计单位存在会计差错，此时会计差错相关的控制可能与审计相关，如果不存在，则与审计不相关，因此无需了解，D错误。

【单选2014】下列有关与审计相关的内部控制的说法中，正确的是（　　）。

A.与财务报告相关的内部控制均与审计相关

B.与审计相关的内部控制并非均与财务报告相关

C.与经营目标相关的内部控制与审计无关

D.与合规目标相关的内部控制与审计无关

【答案】B

【解析】被审计单位的目标和控制，与财务报告、经营及合规有关。但这些目标和控制并非都与注册会计师的风险评估相关。与财务报告相关的内部控制大多数与审计有关，但是并不是都与审计相关，A说法过于绝对，A错误；如果与经营和合规相关的控制与注册会计师实施审计程序时评价或使用的数据相关，则这些控制也可能与审计相关，B正确，CD错误。

 

（二）直接控制和间接控制区分的依据及作用

1.区分依据

与审计相关的控制，按照其对防止、发现或纠正认定层次错报发挥作用的方式，分为直接控制和间接控制。

分类	含义	发挥作用的方式
直接控制	是指足以精准防止、发现或纠正认定层次错报的内部控制	对防止、发现或纠正认定层次错报产生直接影响
间接控制	是指不足以精准防止、发现或纠正认定层次错报的内部控制	对防止、发现或纠正认定层次错报产生间接影响

 

2.内控五要素中的控制类型

内控要素	控制类别	说明
信息系统与沟通 控制活动	主要为直接控制	注册会计师对这些要素的了解和评价更有可能影响其对认定层次重大错报风险的识别和评估
内部环境 风险评估 内部监督	主要是间接控制，某些控制也可能是直接控制	间接控制虽不足以精准地防止、发现或纠正认定层次的错报，但可以支持其他控制

 

3.内部环境、风险评估和内部监督的作用

（1）内部环境为内部控制体系其他要素的运行奠定了总体基础。内部环境不能直接防止、发现并纠正错报，但其可能影响内部控制体系其他要素中控制的有效性。同样，风险评估和内部监督也旨在支持整个内部控制体系。

（2）由于内部环境、风险评估和内部监督是被审计单位内部控制体系的基础，其运行中的任何缺陷都可能对财务报表的编制产生广泛的影响。因此，注册会计师对这些要素的了解和评价，更有可能影响其对财务报表层次重大错报风险的识别和评估，也可能影响对认定层次重大错报风险的识别和评估。

 

三、了解内部控制的性质和程度

（一）了解内部控制的性质

1.目的

为了评价控制设计的有效性以及控制是否得到执行。

2.作用

（1）注册会计师了解被审计单位内部控制体系各项要素，有助于其初步了解被审计单位如何识别和应对经营风险。

（2）这些了解也可能以不同方式，影响注册会计师对重大错报风险的识别和评估。这有助于注册会计师设计和实施进一步审计程序，包括计划测试控制运行的有效性。例如：

①注册会计师了解被审计单位的内部环境、风险评估和内部监督要素，更有可能影响财务报表层次重大错报风险的识别和评估；

②注册会计师了解被审计单位的信息系统与沟通以及控制活动要素，更有可能影响认定层次重大错报风险的识别和评估。

 

（二）了解内部控制的程度

1.含义

对内部控制了解的程度，是指注册会计师在实施风险评估程序时，了解被审计单位内部控制的范围及深度。包括评价控制设计的有效性，并确定其是否得到执行（控制存在且被审计单位正在使用），但不包括对控制是否得到一贯执行的测试（属于控制测试）。

【提示】了解内控≠测试内控。

2.评价控制的设计

（1）评价控制设计的有效性，涉及考虑该控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。

（2）评估一项无效控制的运行没有什么意义，因此，需要首先考虑控制的设计。设计不当的控制可能表明存在值得关注的内部控制缺陷。

 

3.为了解内部控制实施的程序

注册会计师通常实施下列风险评估程序，以获取有关控制设计有效性和控制是否得到执行的审计证据：

（1）询问被审计单位的人员；

询问本身并不足以评价控制设计的有效性以及确定其是否得到执行，注册会计师应当将询问与其他风险评估程序结合使用。

（2）观察特定控制的运用； 

（3）检查文件和报告；

（4）追踪交易在财务报告信息系统中的处理过程（穿行测试）。

【提示】了解内部控制通常不涉及分析程序和重新执行。

【单选2012】下列审计程序中，注册会计师在了解被审计单位内部控制时通常不采用的是（　　）。

A.询问

B.观察

C.分析程序

D.检查

【答案】C

【解析】了解内部控制通常不涉及大量数据，分析程序会涉及大量数据，因此分析程序在了解内控时一般不采用，选择C。

 

4.了解内部控制与测试控制运行有效性的关系

（1）评价设计有效的控制是否得到执行，属于了解内部控制的目的。（属于风险评估程序）

（2）测试控制运行的有效性即控制是否得到一贯执行，属于控制测试的目的。（属于进一步审计程序）

（3）除非存在某些可以使控制得到一贯运行的自动化控制，否则，注册会计师对控制的了解并不足以测试控制运行的有效性。（某时点得到执行，并不能证明其他时点也有效运行）

（4）由于信息技术处理流程的内在一贯性，实施审计程序确定某项自动化控制是否得到执行，也可能实现对控制运行有效性测试的目标，这取决于注册会计师对控制（如针对程序变更的控制）的评估和测试。

【多选2017】下列有关注册会计师了解内部控制的说法中，正确的有（　　）。

A.注册会计师在了解被审计单位内部控制时，应当确定其是否得到一贯执行

B.注册会计师不需要了解被审计单位所有的内部控制

C.注册会计师对内部控制的了解通常不足以测试控制运行的有效性

D.注册会计师询问被审计单位人员不足以评价内部控制设计的有效性

【答案】BCD

【解析】确定控制是否得到执行属于了解内部控制时的工作，确定其是否得到一贯执行属于控制测试内容，因此A错误。

 

四、内部控制的人工和自动化成分

（一）考虑内部控制的人工和自动化特征及其影响

1.大多数被审计单位都需要使用信息技术。然而即使信息技术得到广泛使用，人工因素仍然会存在于这些系统之中。

2.不同的被审计单位采用的控制系统中人工控制和自动化控制的比例是不同的。

3.内部控制可能既包括人工成分，又包括自动化成分，在风险评估以及设计和实施进一步审计程序时，注册会计师应当考虑内部控制的人工和自动化特征及其影响。

4.无论被审计单位的经营环境是以人工为主还是完全自动化，亦或是人工和自动化要素的组合（即人工控制和自动化控制相结合以及被审计单位内部控制体系中使用的其他资源），审计的总体目标和范围都没有区别。

 

（二）信息技术的优势及相关内部控制风险

1.优势

信息技术通常在下列方面提高被审计单位内部控制的效率和效果：

（1）在处理大量的交易或数据时，一贯运用事先确定的业务规则，并进行复杂运算；

（2）提高信息的及时性、可获得性及准确性；

（3）促进对信息的深入分析；

（4）提高对被审计单位的经营业绩及其政策和程序执行情况进行监督的能力；

（5）降低控制被规避的风险；

（6）通过对应用程序系统、数据库系统和操作系统执行安全控制，提高不兼容职务分离的有效性。

2.可能对内部控制产生的特定风险

（1）所依赖的系统或程序不能正确处理数据，或处理了不正确的数据，或两种情况并存；

（2）未经授权访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易；多个用户同时访问同一数据库可能会造成特定风险；

（3）信息技术人员可能获得超越其职责范围的数据访问权限，破坏了系统应有的职责分工；

（4）未经授权改变主文档的数据；

（5）未经授权改变系统或程序；

（6）未能对系统或程序作出必要的修改；

（7）不恰当的人为干预；

（8）可能丢失数据或不能访问所需要的数据。

 

（三）人工控制的适用范围及相关内部控制风险

1.适用范围

（1）在处理下列需要主观判断或酌情处理的情形时可能更为适当：

①存在大额、异常或偶发的交易；

②存在难以界定、预计或预测的错误的情况；

③针对变化的情况，需要对现有的自动化控制进行人工干预；

④监督自动化控制的有效性。

（2）注册会计师应当考虑人工控制在下列情形中可能是不适当的：

①存在大量或重复发生的交易；

②事先可预见或预测的错误能够通过自动化控制参数得以防止或发现并纠正；

③用特定方法实施控制的控制活动可得到适当设计和自动化处理。

2.特定风险

（1）人工控制可能更容易被规避、忽视或凌驾；

（2）人工控制可能不具有一贯性；

（3）人工控制可能更容易产生简单错误或失误。

【提示】相对于自动化控制，人工控制的可靠性较低。

 

【多选2010】下列情形中，注册会计师认为通常适合采用信息技术控制的有（　　）。

A.存在大量、重复发生的交易

B.存在大额、异常的交易

C.存在难以定义、防范的错误

D.存在事先确定并一贯运用的业务规则

【答案】AD

【解析】大额异常，难以定义、防范的错误需要主管判断，因此不适合用信息技术，BC错误。

 

五、内部控制的局限性

1.内部控制无论如何有效，都只能为被审计单位实现财务报告目标提供合理保证。

2.内部控制实现目标的可能性受其固有限制的影响。这些限制包括：

（1）在决策时人为判断可能出现错误和因人为失误而导致内部控制失效。

（2）控制可能由于两个或更多的人员进行串通或管理层不当地凌驾于内部控制之上而被规避。

此外还包括以下控制：

（1）如果被审计单位内部行使控制职能的人员素质不适应岗位要求，也会影响内部控制功能的正常发挥。

（2）被审计单位实施内部控制的成本效益问题也会影响其职能，当实施某项控制成本大于控制效果而发生损失时，就没有必要设置控制环节或控制措施。

（3）内部控制一般都是针对经常而重复发生的业务而设置的，如果出现不经常发生或未预计到的业务，原有控制就可能不适用。

 

六、与财务报表编制相关的内部环境（内控五要素之一）

（一）注册会计师应当实施的相关风险评估程序

1.了解涉及下列方面的控制、流程和组织结构

（1）管理层如何履行其管理职责，例如，被审计单位的组织文化，管理层是否重视诚信、道德和价值观；

（2）在治理层与管理层分离的体制下，治理层的独立性以及治理层监督内部控制体系的情况；

（3）被审计单位内部权限和职责的分配情况；

（4）被审计单位如何吸引、培养和留住具有胜任能力的人员；

（5）被审计单位如何使其人员致力于实现内部控制体系的目标。

2.评价下列方面的情况

（1）在治理层的监督下，管理层是否营造并保持了诚实守信和合乎道德的文化；

（2）根据被审计单位的性质和复杂程度，内部环境是否为内部控制体系的其他要素奠定了适当的基础；

（3）识别出的内部环境方面的控制缺陷，是否会削弱被审计单位内部控制体系的其他要素。

3.在信息技术环境下，注册会计师应当重视对被审计单位使用信息技术相关的内部环境的评价，包括：

（1）对信息技术的治理是否与被审计单位及其由信息技术支撑的业务经营的性质和复杂程度相称，包括被审计单位的技术平台或架构的复杂程度或成熟程度，以及被审计单位依赖信息技术应用程序支持财务报告的程度；

（2）与信息技术和资源分配相关的管理层组织结构，例如，被审计单位是否已投资了适当的信息技术环境和必要的升级，或者被审计单位使用商业软件时（未对软件进行修改或仅进行有限修改）是否雇用了充足的具有适当技术的人员。

 

（二）内部环境的概念和构成要素

1.概念和作用

定义	内部环境包括治理职能和管理职能，以及治理层和管理层对内部控制体系及其重要性的态度、认识和行动
作用	内部环境设定了被审计单位的内部控制基调，影响员工的内部控制意识，并为被审计单位内部控制体系中其他要素的运行奠定了总体基础

 

2.注册会计师了解内部环境的要求

必要性	（1）防止或发现并纠正舞弊和错误是被审计单位治理层和管理层的责任 （2）注册会计师应当了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化，以及是否建立了防止或发现并纠正舞弊和错误的恰当控制
时间	在审计业务承接阶段，注册会计师就需要对内部环境作出初步了解和评价

 

（三）了解内部环境的构成要素

1.对诚信和道德价值观念的沟通与落实；

2.对胜任能力的重视；

3.治理层的参与程度；

4.管理层的理念和经营风格；

5.职权与责任的分配；

6.人力资源政策与实务。

 

【单选2022】下列各项中，通常不属于与财务报表编制相关的内部环境要素的是（　　）。

A.管理层对胜任能力的重视

B.管理层如何识别和评估与财务报告相关的经营风险

C.管理层的理念和经营风格

D.被审计单位的人力资源政策与实务

【答案】B

【解析】选项B属于内部控制体系中的与财务报表编制相关的风险评估工作的要素。

【多选2017】下列各项因素中，注册会计师在评估被审计单位控制环境时应当考虑的有（　　）。

A.管理层的理念和经营风格

B.人力资源政策与实务

C.对胜任能力的重视

D.对诚信和道德价值观念的沟通与落实

【答案】ABCD

【解析】以上均正确。

 

（四）评价内部环境

1.在评价内部环境各个要素时，注册会计师应当考虑内部环境各个要素的控制是否得到执行。

2.在确定构成内部环境的要素是否得到执行时，注册会计师应当考虑将询问与其他风险评估程序相结合以获取审计证据。

（五）内部环境的影响

1.内部环境对重大错报风险的评估具有广泛影响。

2.有助于降低发生舞弊的风险

（1）虽然令人满意的控制环境并不能绝对防止舞弊，但却有助于降低发生舞弊的风险。

（2）有效的内部环境还能为注册会计师相信在以前年度和期中所测试的控制将继续有效运行提供一定基础。相反，内部环境中存在的弱点可能削弱控制的有效性。

3.内部环境本身并不能防止或发现并纠正各类交易、账户余额和披露认定层次的重大错报，注册会计师在评估重大错报风险时，应当将内部环境连同其他内部控制要素产生的影响一并考虑。

【单选2022】下列有关注册会计师考虑被审计单位与财务报表编制相关的内部环境对重大错报风险评估的影响的说法中，错误的是（　　）。

A.有效的内部环境有助于降低发生舞弊的风险

B.有效的内部环境可以防止或发现并纠正认定层次的重大错报

C.有效的内部环境可以增强注册会计师对内部控制的信赖程度

D.薄弱的内部环境带来的风险可能对财务报表产生广泛影响

【答案】B

【解析】内部环境本身并不能防止或发现并纠正各类交易、账户余额和披露认定层次的重大错报，B错误。

 

七、与财务报表编制相关的风险评估工作（内控五要素之二）

（一）注册会计师应当实施的相关风险评估程序

1.了解被审计单位的下列工作

（1）识别与财务报告目标相关的经营风险；

（2）评估上述风险的重要程度和发生的可能性；

（3）应对上述风险。

2.根据被审计单位的性质和复杂程度，评价其风险评估工作是否适合其具体情况。

3.如果注册会计师识别出重大错报风险，而管理层未能识别出这些风险，注册会计师应当：

（1）判断这些风险是否是被审计单位风险评估工作应当识别出的风险。如果注册会计师认为，这些风险是被审计单位风险评估工作应当识别出的风险，则应当了解被审计单位风险评估工作未能识别出这些风险的原因。

（2）考虑对前述的注册会计师“评价其风险评估工作是否适合其具体情况”的影响。

 

（二）被审计单位风险评估的概念

1.含义和作用

含义	被审计单位的风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施
作用	识别、评估和管理影响被审计单位实现经营目标能力的各种风险 而针对财务报告目标的风险评估则包括识别与财务报告相关的经营风险，评估风险的重大性和发生的可能性，以及采取措施管理这些风险

 

2.可能产生风险的事项和情况包括：（新+变）

（1）监管及经营环境的变化。

（2）新员工的加入。

（3）新信息系统的使用或对原系统进行升级。

（4）业务快速发展。

（5）新技术。

（6）新业务模式、产品和活动。

（7）企业重组。重组可能带来裁员以及管理职责的重新划分，将影响与内部控制相关的风险。

（8）发展海外经营。

（9）新的会计政策。

（10）使用信息技术。包括与下列事项相关的风险：

①维护处理的数据和信息的完整性、准确性和有效性；

②如果被审计单位的信息技术战略不能有效地支持其经营战略，则会产生经营战略风险；

③被审计单位的信息技术环境的变化或中断，信息技术人员的流动，或被审计单位未对信息技术环境进行必要的更新或更新不及时。

 

（三）对风险评估的了解

1.对风险评估的评价

（1）在评价被审计单位风险评估过程的设计和执行时，注册会计师应当确定管理层如何识别与财务报告相关的经营风险，如何估计该风险的重要性，如何评估风险发生的可能性，以及如何采取措施管理这些风险。

（2）如果被审计单位的风险评估符合其具体情况，了解被审计单位的风险评估工作有助于注册会计师识别财务报表的重大错报风险。

 

2.对风险评估的了解

（1）注册会计师对被审计单位整体层面的风险评估工作进行了解和评估时，考虑的主要因素可能包括：

①被审计单位是否已建立并沟通其整体目标，并辅以具体策略和业务流程层面的计划；

②被审计单位是否已建立风险评估，包括识别风险、估计风险的重大性、评估风险发生的可能性以及确定需要采取的应对措施；

③被审计单位是否已建立某种机制，识别和应对可能对被审计单位产生重大且普遍影响的变化，如在金融机构中建立资产负债管理委员会，在制造型企业中建立期货交易风险管理组等；

④会计部门是否建立了某种流程，以识别会计政策的重大变化；

⑤当被审计单位业务操作发生变化并影响交易记录的流程时，是否存在沟通渠道以通知会计部门；

⑥风险管理部门是否建立了某种流程，以识别经营环境包括监管环境发生的重大变化。

（2）注册会计师可以通过了解被审计单位及其环境的其他方面信息，评价被审计单位风险评估工作的有效性。

 

3.注册会计师对风险的评估

（1）注册会计师应当询问管理层识别出的经营风险，并考虑这些风险是否可能导致重大错报。

（2）在审计过程中，如果发现与财务报表有关的风险因素，注册会计师可通过向管理层询问和检查有关文件确定被审计单位的风险评估工作是否也发现了该风险；

（3）如果识别出管理层未能识别的重大错报风险，注册会计师应当考虑被审计单位的风险评估工作为何没有识别出这些风险，以及评估过程是否适合于具体环境，或者确定与风险评估相关的内部控制是否存在值得关注的内部控制缺陷。

 

【多选2019】下列有关注册会计师了解被审计单位的风险评估过程的说法中，正确的有（　　）。

A.如果被审计单位的风险评估符合其具体情况，了解风险评估工作有助于注册会计师识别财务报表重大错报风险

B.在评价被审计单位的风险评估过程的设计和执行时，注册会计师应当了解管理层如何估计风险的重要性

C.注册会计师可以通过了解被审计单位及其环境的其他方面获取的信息，评价被审计单位风险评估工作的有效性

D.如果注册会计师识别出管理层未能识别出的重大错报风险，应当将与风险评估工作相关的内部控制评估为存在值得关注的内部控制缺陷

【答案】ABC

【解析】如果识别出管理层未能识别的重大错报风险，应当考虑被审计单位的风险评估工作为何没有识别出这些风险，以及评估过程是否适合于具体环境，而非将其相关控制评估为值得关注的内部控制缺陷，D错误。

 

八、与财务报表编制相关的信息系统与沟通（内控五要素之三）

（一）注册会计师应当实施的相关风险评估程序

1.了解被审计单位的信息处理活动（包括数据和信息），在这些活动中使用的资源，针对相关交易类别、账户余额和披露的信息处理活动的政策。具体包括：

（1）信息在被审计单位信息系统中的传递情况，包括交易如何生成，与交易相关的信息如何进行记录、处理、更正、结转至总账、在财务报表中报告，以及其他方面的相关信息如何获取、处理、在财务报表中披露；

（2）与信息传递相关的会计记录、财务报表特定项目以及其他支持性记录；

（3）被审计单位的财务报告过程；

（4）与上述第1点至第3点相关的被审计单位资源，包括信息技术环境。

2.了解被审计单位如何沟通与财务报表编制相关的重大事项，以及信息系统和内部控制体系其他要素中的相关报告责任。具体包括：

（1）被审计单位内部人员之间的沟通，包括就与财务报告相关的岗位职责和相关人员的角色进行的沟通；

（2）管理层与治理层之间的沟通；

（3）被审计单位与监管机构等外部各方的沟通。

3.评价被审计单位的信息系统与沟通是否能够为被审计单位按照适用的财务报告编制基础编制财务报表提供适当的支持。

 

（二）与财务报表编制相关的信息系统的概念

1.与财务报表编制相关的信息系统由一系列的活动和政策、会计记录和支持性记录组成。被审计单位设计和建立这些活动、政策和记录旨在：

（1）生成、记录和处理交易（以及获取、处理和披露与交易以外的事项和情况相关的信息），以及为相关资产、负债和所有者权益明确受托责任；

（2）解决不正确处理交易的问题，如自动生成暂记账户文件，以及及时按照程序清理暂记项目；

（3）处理并解释凌驾于控制之上或规避控制的情况；

（4）将从交易处理系统中获取的信息过入总账（例如，将明细账中的累计交易过入总账）；

（5）针对除交易以外的事项和情况获取并处理与财务报表编制相关的信息，如资产的折旧和摊销、可回收性的改变等；

（6）确保适用的财务报告编制基础规定披露的信息得到收集、记录、处理和汇总，并适当包含在财务报表中。

2.与财务报告相关的信息系统应当与业务流程相适应。

3.与财务报告相关的信息系统所生成信息的质量，对管理层能否做出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。

 

（三）对与财务报表编制相关的信息系统的了解

1.基本要求

（1）注册会计师在了解被审计单位的信息系统时，应了解被审计单位如何生成交易和获取信息，这其中可能包括与被审计单位为应对合规目标和经营目标而设置的系统（被审计单位的政策）相关的信息，因为这类信息可能与财务报表编制相关。

【提示】某些被审计单位的信息系统可能是高度集成的，控制的设计可以同时实现财务报告、合规和经营这三个控制目标。

（2）了解被审计单位的信息系统，还包括了解信息处理活动中使用的资源。

与了解信息系统完整性、准确性和有效性风险相关的人力资源信息包括：①从事相关工作人员的胜任能力；②资源是否充分；③职责分离是否适当。

 

2.注册会计师在了解信息与沟通要素中针对相关交易类别、账户余额和披露的信息处理活动的政策时，可以考虑以下事项：

（1）与需要处理的交易、其他事项和情况相关的数据或信息；

（2）为维护数据或信息的完整性、准确性和有效性而进行的信息处理；

（3）信息处理过程中使用的信息流程、人员和其他资源。

了解被审计单位的业务流程（包括交易产生的方式），有助于注册会计师以适合被审计单位具体情况的方式了解信息系统。

3.了解信息系统可以实施的程序

（1）向相关人员询问用于生成、记录、处理和报告交易的程序或被审计单位的财务报告过程；

（2）检查有关被审计单位信息系统的政策、流程手册或其他文件；

（3）观察被审计单位人员对政策或程序的执行情况；

（4）选取交易并追踪交易在信息系统中的处理过程（即实施穿行测试）。

 

（四）与财务报表编制相关的沟通的概念

含义	与财务报表编制相关的沟通，包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责，员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式
沟通方式	（1）公开的沟通渠道有助于确保例外情况得到报告和处理 （2）沟通可以采用政策手册、会计和财务报告手册及备忘录等形式进行，也可以采用电子方式或口头方式和通过管理层的行动来实现

 

（五）对与财务报表编制相关的沟通的了解

1.注册会计师应当了解被审计单位内部，如何对财务报告的岗位职责以及与财务报表编制相关的重大事项进行沟通。

2.注册会计师还应当了解管理层与治理层（特别是审计委员会）之间的沟通，以及被审计单位与外部（包括与监管部门）的沟通。具体包括：

（1）管理层就员工的职责和控制责任是否进行了有效沟通；

（2）针对可疑的不恰当事项和行为是否建立了沟通渠道；

（3）组织内部沟通的充分性是否能够使人员有效地履行职责；

（4）对于与客户、供应商、监管者和其他外部人士的沟通，管理层是否及时采取适当的进一步行动；

（5）被审计单位是否受到某些监管机构发布的监管要求的约束；

（6）外部人士如客户和供应商在多大程度上获知被审计单位的行为守则。

 

九、与财务报表编制相关的控制活动（内控五要素之四）

（一）注册会计师应当实施的相关风险评估程序

1.识别用于应对认定层次重大错报风险的控制包括的内容

（1）应对特别风险的控制；

（2）与会计分录相关的控制，这些会计分录包括用以记录非经常性的、异常的交易，以及用于调整的非标准会计分录；

（3）注册会计师拟测试运行有效性的控制，包括用于应对仅实施实质性程序不能提供充分、适当审计证据的重大错报风险的控制；

（4）注册会计师根据职业判断认为适当的、能够有助于其实现与认定层次重大错报风险有关目标的其他控制。

2.基于上述第1项中识别的控制，识别哪些信息技术应用程序及信息技术环境的其他方面，可能面临运用信息技术导致的风险。

3.针对上述第2项中识别的信息技术应用程序及信息技术环境的其他方面，进一步识别：

（1）运用信息技术导致的相关风险；

（2）被审计单位用于应对这些风险的信息技术一般控制。

4.针对上述第1项以及第3项第2点识别出的每项控制

（1）评价控制的设计是否有效，即这些控制能否应对认定层次重大错报风险或为其他控制的运行提供支持；

（2）询问被审计单位内部人员，并运用其他风险评估程序，以确定控制是否得到执行。

 

（二）与财务报表编制相关的控制活动的概念

1.含义

控制活动是指有助于确保管理层的指令得以执行的政策和程序。

2.对注册会计师的要求

注册会计师应当按照审计准则的规定识别控制活动要素中的控制。这些控制包括信息处理控制和信息技术一般控制，两类控制均可能属于人工控制或自动化控制。管理层利用和依赖的与财务报告相关的自动化控制或涉及自动化方面的控制的程度越高，被审计单位执行信息技术一般控制（应对信息处理控制自动化方面的持续运行）可能就越重要。

3.控制活动要素中的具体控制

授权和批准	（1）有了授权才能确认交易是有效的（即交易具有经济实质或符合被审计单位的政策） （2）授权的形式通常为较高级别的管理层批准或验证并确定交易是否有效
调节	（1）即将两项或多项数据要素进行比较。如果发现差异，则采取措施使数据相一致 （2）调节通常应对所处理交易的完整性或准确性
验证	（1）即将两个或多个项目互相进行比较，或将某个项目与政策进行比较，如果两个项目不匹配或者某个项目与政策不一致，则可能对其执行跟进措施 （2）验证通常应对所处理交易的完整性、准确性或有效性
实物或逻辑控制	包括下列控制： （1）保证资产的实物安全，包括恰当的安全保护措施，如针对接触资产和记录的安全设施 （2）对接触计算机程序和数据文档设置授权（即逻辑访问权限） （3）定期盘点并将盘点记录与控制记录相核对（如将会计记录与现金、有价证券和存货的定期盘点结果相比较）。旨在防止资产盗窃的实物控制，其与财务报表编制的可靠性相关，相关的程度取决于资产被侵占的风险
职责分离	（1）即将交易授权、交易记录以及资产保管等不相容职责分配给不同员工 （2）职责分离旨在降低同一员工在正常履行职责过程中实施并隐瞒舞弊或错误的可能性 （3）在某些情况下，职责分离可能不切实际、成本效益低下或不可行，在这种情况下，管理层可以设置替代控制

 

（二）对控制活动的了解

1.在了解控制活动时，注册会计师应当重点考虑一项控制活动单独或连同其他控制活动，是否能够以及如何防止或发现并纠正各类交易、账户余额和披露存在的重大错报。

2.注册会计师的工作重点是，识别和了解针对重大错报风险更高的领域的控制活动。如果多项控制活动能够实现同一目标，注册会计师不必了解与该目标相关的每项控制活动。

3.在了解和评估控制活动时考虑的主要因素可能包括：

（1）被审计单位的主要经营活动是否都有必要的控制政策和程序；

（2）管理层在预算、利润和其他财务及经营业绩方面是否都有清晰的目标，在被审计单位内部，是否对这些目标都加以清晰的记录和沟通，并且积极地对其进行监控；

（3）是否存在计划和报告系统，以识别与目标业绩的差异，并向适当层次的管理层报告该差异；

（4）是否由适当层次的管理层对差异进行调查，并及时采取适当的纠正措施；

（5）不同人员的职责应在何种程度上相分离，以降低舞弊和不当行为发生的风险；

（6）会计系统中的数据是否与实物资产定期核对；

（7）是否建立了适当的保护措施，以防止未经授权接触文件、记录和资产；

（8）是否存在信息安全职能部门负责监控信息安全政策和程序。

 

十、对与财务报表编制相关的内部控制体系的监督（内控五要素之五）

（一）注册会计师应当实施的相关风险评估程序

1.了解被审计单位实施的持续性评价和单独评价，以及识别控制缺陷的情况和整改的情况；

2.了解被审计单位的内部审计，包括内部审计的性质、职责和活动；

3.了解被审计单位在监督内部控制体系的过程中所使用信息的来源，以及管理层认为这些信息足以信赖的依据；

4.根据被审计单位的性质和复杂程度，评价被审计单位对内部控制体系的监督是否适合其具体情况。

 

（二）对与财务报表编制相关的内部控制体系的监督的概念

1.含义

对内部控制体系的监督，是指被审计单位评价内部控制在一段时间内运行有效性的过程，还涉及及时评估控制的有效性并采取必要的补救措施。

2.方式

通常管理层通过持续的监督活动、单独的评价活动或两者相结合实现对内部控制体系的监督。

（1）持续的监督活动通常贯穿于被审计单位日常重复的活动中，包括常规管理和监督工作。

（2）被审计单位可能使用内部审计人员或具有类似职能的人员，对内部控制的设计和执行进行专门的评价，以找出内部控制的优点和不足，并提出改进建议。

（3）被审计单位也可能利用与外部有关各方沟通或交流获取的信息，监督相关的控制活动。

3.与被审计单位监督活动相关的信息来源

（1）上述用于监督活动的很多信息都由被审计单位的信息系统产生，这些信息可能会存在错报，从而导致管理层从监督活动中得出错误的结论。

（2）注册会计师应当了解与被审计单位监督活动相关的信息来源，包括管理层在与外部有关各方沟通时获取的信息（如顾客的投诉和监管机构提出的意见），以及管理层认为信息具有相关性和可靠性的依据。如果拟利用被审计单位监督活动使用的信息（包括内部审计报告），注册会计师应当考虑该信息是否相关和可靠，是否足以实现审计目标。

 

（三）了解对内部控制体系的监督

1.注册会计师在了解被审计单位如何监督内部控制体系时，可以考虑的相关事项包括：

（1）监督活动的设计，如监督是定期的还是持续的；

（2）监督活动的实施情况和频率；

（3）对监督活动结果的定期评价，以确定控制是否有效；

（4）如何通过适当的整改措施应对识别的缺陷，包括与负责采取整改措施的人员及时沟通缺陷。

2.注册会计师可以考虑被审计单位监督内部控制体系的过程如何实现对涉及使用信息技术的信息处理控制的监督。这些控制包括：

（1）监督以下复杂信息技术环境的控制：

①评价信息处理控制的持续设计有效性，根据情况的变化对其进行适当修改；

②评价信息处理控制运行的有效性。

（2）监督权限的控制，这些权限应用于实施职责分离的自动化信息处理控制中。

（3）监督如何识别和应对与财务报告自动化相关的错误或控制缺陷的控制。

 

十一、在整体层面和业务流程层面了解内部控制

（一）整体层面控制和业务流程层面控制的分类

内部控制的某些要素（如内部环境）更多的对被审计单位整体层面产生影响，而其他要素（如信息系统与沟通、控制活动）则可能更多的与特定业务流程相关。

整体层面控制	（1）与整体层面相关的内控要素包括内部环境、风险评估、内部监督、信息技术一般控制 （2）也包括对下列事项的控制： ①管理层凌驾于内部控制之上； ②集中处理； ③期末财务报告流程； ④针对关键经营风险的政策
业务流程层面控制	包括控制活动、信息系统与沟通、信息处理控制

 

【提示】整体层面的控制对内部控制在所有业务流程中得到严格的设计和执行具有重要影响，整体层面的控制较差甚至可能使最好的业务流程层面控制失效。

 

【单选2014】下列各项通过业务流程层面控制的是（　　）。

A.应对管理层凌驾于控制之上控制

B.信息技术的一般控制

C.对期末财务报告流程的控制

D.信息处理控制

【答案】D

【解析】应对管理层凌驾于控制之上的控制，信息技术的一般控制，对期末财务报告流程的控制均属于整体层面的控制。ABC错误。

 

（二）了解和评价业务流程层面的内部控制的步骤

（1）确定被审计单位的重要业务流程和相关交易类别；

（2）了解相关交易类别的流程，并记录获得的了解；

（3）确定可能发生错报的环节；

（4）识别和了解相关控制；

（5）执行穿行测试，证实对交易流程和相关控制的了解；

（6）进行初步评价和风险评估。

【提示】实务中，上述步骤可能同时进行。

 

（三）识别和了解相关控制

1.是否了解业务流程层面的控制

（1）在对被审计单位的了解，包括在被审计单位整体层面对内部控制体系各要素的了解，以及在上述程序中对重要业务流程的了解，注册会计师可以确定是否有必要进一步了解在业务流程层面的控制。

（2）在某些情况下，注册会计师之前的了解可能表明被审计单位在业务流程层面针对某些相关交易流程所设计的控制是无效的，或者注册会计师并不打算信赖控制，这时注册会计师没有必要进一步了解在业务流程层面的控制。

 

2.业务流程层面内部控制的内容

（1）预防性控制

含义	通常用于正常业务流程的每一项交易中，以防止错报的发生（如授权、审批、背景调查、职责分离等）
示例	预防性控制可能是人工的，也可能是自动化的 （1）计算机程序自动生成收货报告，同时也更新采购档案 （2）在更新采购档案之前要有收货报告 （3）销货发票上的价格根据价格清单上的信息确定 （4）系统将各凭证上的账户号码与会计科目表对比，然后进行一系列的逻辑测试

 

（2）检查性控制

含义	发现流程中可能发生的错报（如复核、定期编制、定期盘点） 检查性控制通常是管理层用来监督实现流程目标的控制
示例	检查性控制可以由人工执行，也可以由信息系统自动执行 （1）定期编制银行存款余额调节表，跟踪调查挂账的项目 （2）将预算与实际费用间的差异列入计算机编制的报告中并由部门经理复核。记录所有超过预算2%的差异情况和解决措施 （3）系统每天比较运出货物的数量和开票数量。如果发现差异，产生报告，由开票主管复核和追查 （4）每季度复核应收账款贷方余额并找出原因

 

【单选2018】下列各项控制中，属于检查性控制的是（　　）。

A.出纳不能兼任收入或支出的记账工作

B.财务总监复核并批准财务经理提出的撤销银行账号的申请

C.财务经理根据其权限复核并批准相关付款

D.财务经理复核会计编制的银行存款余额调节表

【答案】D

【解析】ABC均属于为了防止错报发生，均属于预防性控制。复核银行存款余额调节表是为了检查错报，属于检查性控制，因此D正确。

【单选2017】下列各项中，属于预防性控制的是（　　）。

A.财务主管定期盘点现金和有价证券

B.管理层分析评价实际业绩与预算的差异，并针对超过规定金额的差异调查原因

C.董事会复核并批准由管理层编制的财务报表

D.由不同的员工负责职工薪酬档案的维护和职工薪酬的计算

【答案】D

【解析】选项ABC属于检查性控制。

 

（四）执行穿行测试，证实对交易流程和相关控制的了解

1.穿行测试的目的

为了解各类相关交易在业务流程中发生、处理和记录的过程，注册会计师通常会执行穿行测试。

2.执行穿行测试可获得下列方面的证据：

（1）确认对业务流程的了解；

（2）确认对重要交易的了解是完整的，即在交易流程中所有与财务报表认定相关的可能发生错报的环节都已识别；

（3）确认所获取的有关流程中的预防性控制和检查性控制信息的准确性；

（4）评估控制设计的有效性；

（5）确认控制是否得到执行；

（6）确认之前所作的书面记录的准确性。

3.穿行测试的必要性

如果拟不信赖控制，注册会计师仍需要执行适当的审计程序，以确认以前对业务流程及可能发生错报环节了解的准确性和完整性。

4.工作底稿的记录

注册会计师将穿行测试的情况记录于工作底稿时，记录的内容包括穿行测试中查阅的文件、穿行测试的程序以及注册会计师的发现和结论。

【多选2019】下列各项中，属于注册会计师通过实施穿行测试可以实现的目的的有（　　）。

A.确认对业务流程的了解

B.评价控制设计的有效性

C.确认控制是否得到执行

D.确认对重要交易的了解是否完整

【答案】ABCD

【解析】ABCD均属于穿行测试可以实现的目的。

 

（五）初步评价和风险评估

1.对控制的初步评价

在识别和了解控制后，注册会计师需要评价控制设计的合理性并确定其是否得到执行。

注册会计师对控制的评价结论可能是：

（1）所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报，并得到执行；

（2）控制本身的设计是合理的，但没有得到执行；

（3）控制本身的设计就是无效的或缺乏必要的控制。

【提示】上述评价结论只是初步结论，仍可能随控制测试或实施实质性程序的结果而发生变化。

2.风险评估需考虑的因素

注册会计师对控制的评价，进而对重大错报风险的评估，需考虑以下因素： 

（1）账户特征及已识别的重大错报风险。（已识别的重大错报风险越高，相关的控制应有较高的敏感度）

（2）对被审计单位整体层面控制的评价。（应将对整体层面获得的了解和结论与业务流程层面的证据结合起来考虑）

【提示】除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解和评价并不能够代替对控制运行有效性的测试（即控制测试）。

 

（六）对财务报告流程的了解

1.基本要求

注册会计师还需要进一步了解有关信息从具体交易的业务流程过入总账、财务报表以及相关列报的流程，即财务报告流程及其控制。这一流程和控制与财务报表的列报认定直接相关。

2.财务报告流程包括

（1）将业务数据汇总记入总账的程序，即如何将重要业务流程的信息与总账和财务报告系统相连接；

（2）在总账中生成、记录和处理会计分录的程序；

（3）记录对财务报表常规和非常规调整的程序，如合并调整、重分类等；

（4）草拟财务报表和相关披露的程序。

3.在了解财务报告流程的过程中，注册会计师应当考虑对以下方面作出评估：

（1）主要的输入信息、执行的程序、主要的输出信息；

（2）每一财务报告流程要素中涉及信息技术的程度；

（3）管理层的哪些人员参与其中；

（4）记账分录的主要类型，如标准分录、非标准分录等；

（5）适当人员（包括管理层和治理层）对流程实施监督的性质和范围。

 

第五节　识别和评估重大错报风险

一、识别和评估财务报表层次以及认定层次的重大错报风险

（一）识别和评估重大错报风险的作用和步骤

1.识别和评估重大错报风险的作用

注册会计师识别和评估重大错报风险能为风险应对提供方向性指引，有助于注册会计师确定总体应对措施和用于获取充分、适当的审计证据的进一步审计程序的性质、时间安排和范围，这些证据使其最终能够以可接受的低审计风险水平对财务报表发表审计意见。

2.识别和评估重大错报风险的步骤（五方面）

（1）利用实施风险评估程序所了解的信息。

①通过实施风险评估程序收集的信息可以作为审计证据，为注册会计师识别和评估重大错报风险提供基础。

②注册会计师还需要考虑利用执行有关客户关系和具体业务接受与保持的程序、以前审计以及通过其他途径所获取的与本期财务报表发生错报相关的信息。

（2）识别两个层次的重大错报风险。包括：

①要求分成两个层次识别。注册会计师应当利用了解获得的信息，判断确定某风险因素是与财务报表整体存在广泛的联系，并可能影响多项认定，进而识别该风险属于财务报表层次重大错报风险，还是与财务报表整体不存在广泛联系，进而识别该风险为认定层次重大错报风险。

②要求考虑的风险因素。注册会计师应当在考虑相关控制之前识别重大错报风险（即固有风险），并以注册会计师对错报的初步考虑为基础，即错报的发生、错报如果发生将是重大的，均具有合理可能性。

（3）评估两个层次的重大错报风险。

①注册会计师在评估重大错报风险时，应当考虑相关控制的影响（即控制风险）。

②尽管两个层次重大错报风险的识别和评估遵守的基本原理相同，但运用的具体方法及要求存在差异。比如，在识别和评估两个层次的重大错报风险时，都应当考虑固有风险和控制风险两个因素的影响，但审计准则要求针对识别出的认定层次重大错报风险，注册会计师应当分别评估固有风险和控制风险。

（4）评价审计证据的适当性。

①对于实施风险评估程序获取的审计证据，能否为识别和评估重大错报风险提供适当依据，注册会计师应当作出评价。

②如果不能提供适当依据，注册会计师应当实施追加的风险评估程序，直至获取的审计证据能够提供这样的依据。

③在识别和评估重大错报风险时，注册会计师应当考虑通过实施风险评估程序获取的所有审计证据，无论这些证据是佐证性的还是相矛盾的。也就是说，注册会计师不应当偏向于获取、使用佐证性的审计证据，而排斥、舍弃相矛盾的审计证据。审慎评价审计证据是保持职业怀疑的需要。

（5）修正识别或评估的结果。

随着审计过程的推进，如果注册会计师获取新信息（例如，执行控制测试或实质性程序后获得的新信息），与之前识别或评估重大错报风险时所依据的审计证据不一致，注册会计师应当修正之前对重大错报风险的识别或评估结果，并考虑对风险应对的影响。

 

（二）识别和评估财务报表层次重大错报风险

1.识别

如果判断某风险因素对财务报表整体存在广泛联系，并可能影响多项认定，注册会计师应当将其识别为财务报表层次重大错报风险。

例如，在经济不稳定的国家和地区开展业务、资产的流动性出现问题、重要客户流失、融资能力受限等，可能导致注册会计师对被审计单位的持续经营能力产生重大疑虑。

又如，管理层缺乏诚信，或承受异常的压力，或管理层凌驾于控制之上可能引发舞弊风险，这些风险与财务报表整体相关。

2.评估

对于识别出的财务报表层次重大错报风险，注册会计师应当从下列两方面进行评估：

（1）评价这些风险对财务报表整体产生的影响；

（2）确定这些风险是否影响对认定层次风险的评估结果。

【提示】注册会计师应当评价，识别的风险是否与财务报表存在广泛联系，能够支持其对财务报表层次重大错报风险的评估。在其他情况下，注册会计师可能识别出多个易于发生错报的认定，并因此影响注册会计师对认定层次重大错报风险的识别和评估。

例如，被审计单位面临经营亏损且资产流动性出现问题，并依赖于尚未获得保证的资金。在这种情况下，注册会计师可能确定持续经营假设产生了财务报表层次重大错报风险，可能需要使用财务报告编制基础中的清算基础，这可能对所有认定产生广泛影响。

3.评估财务报表风险的考虑事项

①注册会计师对财务报表层次重大错报风险的识别和评估，受到其对被审计单位内部控制体系各要素的了解的影响，特别是对内部环境、风险评估和内部监督（这三要素主要属于间接控制）的了解，以及按照《重大错报风险的识别和评估》相关规定实施相关评价的结果和按照该准则规定识别的控制缺陷的影响。

②财务报表层次的风险还可能源于内部环境存在的缺陷或某些外部事项或情况（如经济下滑）。

③由舞弊导致的重大错报风险，可能与注册会计师对财务报表层次重大错报风险的考虑尤其相关。

例如，注册会计师通过询问管理层了解到，被审计单位的财务报表将用于申请贷款，从而确保被审计单位获得进一步融资以维持营运资本。注册会计师可能因此认为，影响固有风险的舞弊风险因素导致易于发生错报的可能性（即虚假财务报告风险导致的财务报表易于发生错报的可能性）更高，如为了确保被审计单位能够获得融资，多计资产和收入以及少计负债和费用。

4.对风险应对的考虑

①注册会计师识别和评估财务报表层次重大错报风险，以确定风险是否对财务报表具有广泛的影响，有助于其决定是否需要按照《针对评估的重大错报风险采取的应对措施》的规定采取总体应对措施。

②由于财务报表层次重大错报风险还可能影响个别认定，因此，识别和评估这些风险，还可以帮助注册会计师评估认定层次重大错报风险，并设计进一步审计程序，以应对该风险。

 

（三）识别和评估认定层次重大错报风险

1.识别

（1）如果判断某固有风险因素可能导致某项认定发生重大错报，但与财务报表整体不存在广泛联系，注册会计师应当将其识别为认定层次的重大错报风险。

例如，被审计单位存在复杂的联营或合资，这一事项表明长期股权投资账户的认定可能存在重大错报风险。

又如，被审计单位存在重大的关联方交易，该事项表明关联方及关联方交易的披露认定可能存在重大错报风险。

（2）注册会计师应当识别确定哪些认定是“相关认定”，进而确定哪些交易类别、账户余额和披露是“相关交易类别、账户余额和披露”。

相关认定	如果注册会计师识别出交易类别、账户余额和披露的某项认定存在重大错报风险，那么，该项认定是相关认定
相关交易类别、账户余额和披露	存在相关认定的交易类别、账户余额和披露被称为相关交易类别、账户余额和披露

 

（3）确定相关认定和相关交易类别、账户余额和披露，为注册会计师确定按照审计准则的要求了解被审计单位信息系统的范围提供了基础，这些了解可以进一步帮助注册会计师识别和评估重大错报风险。

（4）是否考虑控制的影响

①注册会计师识别确定某项认定是否属于相关认定，应当依据其固有风险，而不考虑相关控制的影响。

②注册会计师识别出相关认定后，在评估认定层次重大错报风险时，才应当考虑相关控制的影响。

（5）对于识别出的认定层次重大错报风险，注册会计师应当分别评估固有风险和控制风险。

针对认定层次先依据固有风险识别出相关认定及相关交易类别、账户余额和披露，有利于全面了解财务报表（由被审计单位管理层认定组成）可能存在的所有重大错报风险，从源头上解决注册会计师在审计中可能遗漏某些重大错报风险点，或对重大错报风险的识别和评估可能过于简单化和模糊化或模板化和经验化的问题。

 

2.评估

（1）总体要求

对于识别出的认定层次重大错报风险，注册会计师应当分别评估固有风险和控制风险。这样有利于注册会计师把认定层次重大错报风险的评估工作做细做实（可为设计和实施进一步审计程序提供适当依据），避免在认定层次将固有风险和控制风险简单混合起来作出粗略的、不适当的风险评估。

（2）评估固有风险

①评估方法与考虑因素

对于识别出的认定层次重大错报风险，注册会计师应当通过评估错报发生的可能性和重要程度来评估固有风险。在评估时，注册会计师应当考虑：

（a）固有风险因素如何以及在何种程度上影响相关认定易于发生错报的可能性；

（b）财务报表层次重大错报风险如何以及在何种程度上影响认定层次重大错报风险中固有风险的评估。

②具体评估

（a）注册会计师在评估错报发生的可能性和重要程度时，应当根据错报发生的可能性和重要程度综合起来的影响程度确定所评估风险的固有风险等级，以帮助其设计进一步审计程序，应对重大错报风险。

【提示】评估识别的重大错报风险的固有风险还有助于注册会计师识别和确定特别风险。

（b）某类交易、账户余额和披露越易于发生错报，评估的固有风险可能越高。注册会计师考虑固有风险因素在何种程度上影响认定易于发生错报的可能性有助于其适当评估认定层次重大错报风险的固有风险，并设计更精确的应对措施。

（3）评估控制风险

①注册会计师在拟测试控制运行有效性的情况下，应当评估控制风险。

②如果拟不测试控制运行的有效性，则应当将固有风险的评估结果作为重大错报风险的评估结果。

（4）确定特别风险

特别风险，是指注册会计师识别出的符合下列特征之一的重大错报风险：

①根据固有风险因素对错报发生的可能性和错报的严重程度的影响，注册会计师将固有风险评估为达到或接近固有风险等级的最高级（上限）；

②根据其他审计准则的规定，注册会计师应当将其作为特别风险。

【提示】在确定特别风险时，注册会计师可能首先识别评估的固有风险等级较高的重大错报风险，作为考虑哪些风险可能达到或接近固有风险等级上限的基础。

（5）两种特殊情形的处理。

①仅实施实质性程序无法应对的重大错报风险。

针对某些认定层次重大错报风险，仅实施实质性程序无法为其提供充分、适当的审计证据，注册会计师应当确定评估出的重大错报风险是否属于该类风险。对这类风险，注册会计师应当对相关控制的设计和执行进行了解和测试。

②对重大交易类别、账户余额和披露的考虑。

（a）按照《计划和执行审计工作时的重要性》准则的要求，识别并评估各类交易、账户余额和披露中存在的重大错报风险时需要考虑重要性和审计风险。

（b）如果能够合理预期，某类交易、账户余额和披露中信息的遗漏、错误陈述或含糊表达，可能影响财务报表使用者依据财务报表整体作出的经济决策，则通常认为该类交易、账户余额和披露是重大的。

（c）如果注册会计师未将重大交易类别、账户余额和披露确定为“相关交易类别、账户余额和披露”（例如，注册会计师可能确定被审计单位披露的高管薪酬是重大披露，但对该披露未识别出重大错报风险即未识别出相关认定），则应当评价这样做是否适当。

 

（6）两个层次间相互影响的处理。

①在评估识别的认定层次重大错报风险时，注册会计师可能认为某些重大错报风险与财务报表整体存在广泛联系，可能影响多项认定，在这种情况下，注册会计师可能更新对财务报表层次重大错报风险的识别。

②如果重大错报风险由于广泛影响多项认定而被识别为财务报表层次重大错报风险，并可以识别出受影响的特定认定，注册会计师应当在评估认定层次重大错报风险的固有风险时考虑这些风险。

【提示】注册会计师应当考虑对识别出的各类交易、账户余额和披露认定层次的重大错报风险予以汇总和评估，以便确定进一步审计程序的性质、时间安排和范围。

 

（四）考虑财务报表的可审计性

如果通过对内部控制的了解发现下列情况，并对财务报表局部或整体的可审计性产生疑问，注册会计师应当考虑出具保留意见或无法表示意见的审计报告：

（1）被审计单位会计记录的状况和可靠性存在重大问题，不能获取充分、适当的审计证据以发表无保留意见；

（2）对管理层的诚信存在严重疑虑。必要时，注册会计师应当考虑解除业务约定。

【单选2019】下列情形中，通常可能导致注册会计师对财务报表整体的可审计性产生疑问的是（　　）。

A.注册会计师对管理层的诚信存在重大疑虑

B.注册会计师对被审计单位的持续经营能力产生重大疑虑

C.注册会计师识别出与员工侵占资产相关的舞弊风险

D.注册会计师识别出被审计单位严重违反税收法规的行为 

【答案】A

【解析】导致对财务报表的可审计性产生怀疑的情况仅有两种，BCD均不属于。

 

二、评估固有风险等级

（一）总体评估原则

在评估与特定认定层次重大错报风险相关的固有风险等级时，注册会计师应当运用职业判断，确定错报发生的可能性和重要程度综合起来的影响程度。

（二）定义

固有风险等级，是指注册会计师对固有风险水平在一个范围内作出的从低到高的判断。

（三）考虑因素

作出判断应当考虑被审计单位的性质和具体情况，并考虑评估的错报发生的可能性和重要程度以及固有风险因素。

1.在考虑错报发生的可能性时，注册会计师应当基于对固有风险因素的考虑，评估错报发生的概率。

2.在考虑错报的重要程度时，注册会计师应当考虑错报的定性和定量两个方面（即注册会计师可能根据错报的金额大小、性质或情况，判断各类交易、账户余额和披露在认定层次的错报是重大的）。

3.考虑综合起来的影响程度

（1）注册会计师应使用错报发生的可能性和重要程度综合起来的影响程度，确定固有风险等级。综合起来的影响程度越高，评估的固有风险等级越高，反之亦然。

（2）评估的固有风险等级较高，并不意味着评估的错报发生的可能性和重要程度都较高。

①错报发生的可能性和重要程度在固有风险等级上的交集确定了评估的固有风险在固有风险等级中是较高还是较低。

②评估的固有风险等级较高也可能是错报发生的可能性和重要程度的不同组合导致的，例如，较低的错报发生的可能性和极高的重要程度可能导致评估的固有风险等级较高。

 

（四）将重大错报风险按固有风险等级的类别进行划分

1.为制定适当的应对策略，注册会计师可以基于其对固有风险的评估，将重大错报风险按固有风险等级的类别进行划分。

2.注册会计师可以以不同的方式描述这些等级类别（如区分最高、较高、中、低等进行定性描述）。

3.不管使用的分类方法如何，如果旨在应对识别的认定层次重大错报风险的进一步审计程序的设计和实施能够适当应对固有风险的评估结果和形成该评估结果的依据，则注册会计师对固有风险等级的评估就是适当的。

 

三、需要特别考虑的重大错报风险

（一）特别风险的概念

特别风险，是指注册会计师识别出的符合下列特征之一的重大错报风险：

（1）根据固有风险因素对错报发生的可能性和错报的严重程度的影响，注册会计师将固有风险评估为达到或接近固有风险等级的最高级；

（2）根据审计准则的规定，注册会计师应当将其作为特别风险。

【提示】应当评估为特别风险的事项包括：舞弊、凌驾、超重关交易。

（二）确定特别风险时考虑的事项

1.哪些风险是特别风险，通常需要注册会计师运用职业判断。以下事项可能导致注册会计师评估认为重大错报风险具有较高的固有风险等级，进而将其确定为特别风险：

（1）交易具有多种可接受的会计处理，因此涉及主观性；

（2）会计估计具有高度不确定性或模型复杂；

（3）支持账户余额的数据收集和处理较为复杂；

（4）账户余额或定量披露涉及复杂的计算；

（5）对会计政策存在不同的理解；

（6）被审计单位业务的变化涉及会计处理发生变化，如合并和收购。

2.在判断哪些风险是特别风险时，注册会计师不应考虑识别出的控制对相关风险的抵销效果。

 

（三）非常规交易和判断事项引起的特别风险

日常的、不复杂的、经正规处理的交易不太可能产生特别风险，特别风险通常与重大的非常规交易和判断事项有关。

1.非常规交易

含义	是指由于金额或性质异常而不经常发生的交易，例如企业购并、债务重组、重大或有事项等
特征	由于非常规交易具有下列特征，与重大非常规交易相关的特别风险可能导致更高的重大错报风险： （1）管理层更多地干预会计处理； （2）数据收集和处理进行更多的人工干预； （3）复杂的计算或会计处理方法； （4）非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制

 

2.判断事项

含义	通常包括作出的会计估计（具有计量的重大不确定性）。如资产减值准备金额的估计、需要运用复杂估值技术确定的公允价值计量等
原因	由于下列原因，与重大判断事项相关的特别风险可能导致更高的重大错报风险： （1）对涉及会计估计、收入确认等方面的会计原则存在不同的理解； （2）所要求的判断可能是主观和复杂的，或需要对未来事项作出假设

 

【单选2019】下列有关注册会计师评估特别风险的说法中，正确的是（　　）。

A.注册会计师应当将具有高度估计不确定性的会计估计评估为存在特别风险

B.注册会计师应当将涉及重大管理层判断和重大审计判断的事项评估为存在特别风险

C.注册会计师应当将管理层凌驾于控制之上的风险作为特别风险

D.注册会计师应当将重大非常规交易评估为存在特别风险 

【答案】C

【解析】应当评估为特别风险的事项，只有舞弊、管理层凌驾、和超出被审计单位正常经营过程的重大关联方交易导致的重大错报风险，其余均为可能评估，而非应当评估，C正确。

 

（四）考虑与特别风险相关的控制

1.了解与特别风险相关的控制，有助于注册会计师制定有效的审计应对方案。

2.注册会计师应当评价相关控制的设计情况，并确定其是否已经得到执行。（应当了解）

3.由于与重大非常规交易或判断事项相关的风险很少受到日常控制的约束，注册会计师应当了解被审计单位是否针对该特别风险设计和实施了控制。

4.如果管理层未能实施控制以恰当应对特别风险，注册会计师应当认为内部控制存在值得关注的内部控制缺陷，并考虑其对风险评估的影响。在此情况下，注册会计师应当就此类事项与治理层沟通。

【单选2015】下列有关特别风险的说法中，正确的是（　　）。

A.注册会计师应当将管理层凌驾于控制之上的风险评估为特别风险

B.注册会计师应当了解并测试与特别风险相关的控制

C.注册会计师应当对特别风险实施细节测试

D.注册会计师在判断重大错报风险是否为特别风险时，应当考虑识别出的控制对于相关风险的抵销效果

【答案】A

【解析】对特别风险进行控制测试不是必须，B错误；对特别风险可以实施综合方案应对，采取控制测试和实质性分析程序，此时细节测试也不是必须，C错误；注册会计师在判断重大错报风险是否为特别风险时，不应考虑识别出的控制对于相关风险的抵销效果，D错误。

 

四、仅通过实质性程序无法应对的重大错报风险

1.作为风险评估的一部分，如果认为仅实施实质性程序获取的审计证据无法应对认定层次的重大错报风险，注册会计师应当评价被审计单位针对这些风险设计的控制，并确定其执行情况。

2.在被审计单位对日常交易采用高度自动化处理的情况下，审计证据可能仅以电子形式存在，其充分性和适当性通常取决于自动化信息系统相关控制的有效性，注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。

3.如果认为仅实施实质性程序不能获取充分、适当的审计证据，注册会计师应当考虑依赖的相关控制的有效性，并对其进行了解、评估和测试。

 

五、修正风险识别或评估结果

1.注册会计师对认定层次重大错报风险的评估，可能随着审计过程中不断获取审计证据而作出相应的变化。

2.如果通过实施进一步审计程序获取的审计证据与初始识别或评估获取的审计证据相矛盾，注册会计师应当修正风险识别或评估结果，并相应修改原计划实施的进一步审计程序。

3.识别或评估重大错报风险与了解被审计单位及其环境等方面情况一样，也是一个连续和动态地收集、更新与分析信息的过程，贯穿于整个审计过程的始终。

 

六、审计工作底稿

注册会计师应当遵守《审计工作底稿》的规定，并就下列事项形成审计工作底稿：

（1）项目组内部进行的讨论以及得出的重要结论；

（2）注册会计师根据相关审计准则的规定，对被审计单位及其环境、适用的财务报告编制基础和内部控制体系各要素等所了解到的要点和信息来源，以及实施的风险评估程序；

（3）根据相关审计准则的规定，对所识别的控制的设计进行的评价，以及如何确定这些控制是否得到执行的；

（4）识别、评估的财务报表层次和认定层次重大错报风险，包括：特别风险，仅实施实质性程序不能提供充分、适当的审计证据的风险，以及作出有关重大判断的理由。