评估及应对审计风险

学习情景4　评估及应对审计风险

【知识目标】

1.理解风险评估的含义。

2.了解风险评估的主要程序。

3.了解被审计单位及其环境和了解被审计单位的内部控制。

4.理解针对财务报表层次重大错报风险的总体应对措施。

5.理解针对认定层次重大错报风险的进一步审计程序。

【技能目标】

1.能复述常用的风险评估程序。

2.能区分控制测试和实质性测试程序。

3.能进行简单的控制测试和实质性测试。

任务一　风险评估程序

【任务引导案例】

ABC公司曾是美国全球领先的塑料制品生产商，产品包括储藏罐和垃圾箱等。在20世纪90年代中期，该公司连续数年的年均增长率超过14%，且连续三年被《财富》杂志评选为“美国最受欢迎的企业”。

注册会计师在对ABC公司进行战略分析后发现，该公司对原油价格的波动非常敏感，因为塑料制品的一个重要原料是树脂，而树脂是通过原油炼制的。但ABC公司没有采取任何控制原材料风险的措施——既没有集中采购，也没有与供应商签订长期购买合同。而实际上，该公司是世界上最大的树脂消费商之一，以其采购规模，完全可以通过谈判获得很优惠的价格。但该公司没有利用集中采购所能赋予它的定价能力，而是在全球12个地方分别采购。当原油价格上涨时，它只能把增加的成本转嫁给客户。

该公司也未能有效管理与最大客户沃尔玛的关系。沃尔玛拒绝接受价格上涨，并把ABC公司的产品放在靠里的货架上，而将ABC公司的低价竞争对手DEF公司的产品置于位置最好的货架上。

该公司另一个战略方面的问题是制定的增长目标太高——试图维持14%的年增长率。实现目标的困难给管理层带来巨大压力，而这一点对于内控环境十分不利。同时，它在欧洲的扩张也遭遇挫折。

基于这些情况，注册会计师可做出合理的财务业绩预期——销售增长放缓、销售毛利收窄、利润降低、研发费用需要增加等。假如出现与预期不一致的情况，如这一年的销售毛利反而比去年增加等，就属于异常变化，要引起注册会计师的高度重视。

同时，注册会计师可能估计它会通过降低产品质量来降低成本，以达到业绩目标，这就需要对成本结构进行分析，看它有没有改变产品配方压缩成本，如果它的产量过大而销售又不利，则其库存应该会增加；还有资本结构方面，它在欧洲投资失败，这些资本是否作为坏账冲销掉，等等。

通过这样一步步的分析评估，注册会计师就可以判断出该公司风险较高的领域。

一、审计风险准则及其特点

（一）出台审计风险准则的背景

审计风险准则项目最早由国际审计与鉴证准则理事会（IAASB）起草，并受到联合工作组和（Joint Working Group）和美国公共监督理事会（Public Over-sight Board）的审计效率研究工作组的影响。1998年，加拿大、英国、美国的准则制定机构与学者组成联合工作组，了解和研究审计实务的发展情况，并为准则制定机构对审计准则做出必要修订提供建议。2000年5月，联合工作组发表了研究报告《大型会计师事务所的审计方法发展》；2000年8月，公共监督理事会发布了关于审计效率的研究报告。这两份报告的主要研究结论是，审计风险基本模型并没有被废弃，但需要做出适当的调整。

国际审计与鉴证准则理事会和美国审计准则委员会（ASB，原美国注册会计师协会下设组织）都确定了有关项目，应对审计环境的变化，并考虑联合工作组和公共监督理事会的研究建议。由于两个准则制定机构面临相似的问题，具有提高审计质量的共同目的，因此两个项目小组合并成立了联合风险评估工作组，制定共同的审计风险准则，从源头上实现国际协调。

联合风险评估工作组于2002年10月发布了审计风险准则征求意见稿，包括《财务报表审计的目标和一般原则》《审计证据》《了解被审计单位及其环境并评估重大错报风险》和《针对评估的重大错报风险实施的程序》。2003年10月，国际审计与鉴证准则理事会在东京的会议上对征求意见稿进行了最后修订，获得委员会通过，审计风险准则在2004年12月15日之后正式施行。我国审计风险准则于2006年2月15日由财政部发布，自2007年1月1日起实施。

（二）审计风险准则的特点

众所周知，财务报表为被审计单位的财务活动提供了一个正式记录。财务活动开始于被审计单位的决策过程，受经营战略、控制活动和经营过程的影响。当决策开始执行后，交易活动随之发生，在会计记录中得以反映，并在财务报表中汇总体现。

在审计风险准则出台之前，注册会计师通常先对被审计单位获取基本了解，然后针对财务报表获取充分、适当的审计证据。审计资源主要集中于管理层做出的决策信息和财务报表。这种方法的缺陷在于，注册会计师可能并没有意识到，或并没有全面理解所记录的关于管理层决策信息的重要性。注册会计师只有通过花时间了解被审计单位的经营性质、经营目标和舞弊因素、经营战略、企业文化和价值观（控制环境）、员工的胜任能力、组织结构和生产过程，以及用于应对风险的内部控制，才能够知道信息系统实际应该记录什么类型的信息。

归纳起来，审计风险准则有以下几个特点：

1.要求注册会计师必须了解被审计单位及其环境

注册会计师通过了解被审计单位及其环境，包括了解内部控制，为识别财务报表层次以及各类交易、账户余额和列报认定层次重大错报风险提供了良好的基础。

2.要求注册会计师在审计的所有阶段都要实施风险评估程序

注册会计师应当将识别的风险与认定层次可能发生的错报的领域相联系，实施更为严格的风险评估程序，不得未经风险评估，直接将风险设定为高水平。

3.要求注册会计师将识别和评估的风险与实施的审计程序挂钩

在设计和实施进一步审计程序（控制测试和实质性程序）时，注册会计师应当将审计程序的性质、时间和范围与识别、评估的风险相联系，以防止机械地利用程序表从形式上迎合审计准则对审计程序的要求。

4.要求注册会计师针对重大的各类交易、账户余额和列报实施实质性程序

注册会计师对重大错报风险的评估是一种判断，被审计单位内部控制存在固有限制，无论评估的重大错报风险结果如何，注册会计师都应当针对重大的各类交易、账户余额和列报实施实质性程序，不得将实质性程序只集中在例外事项上。

5.要求注册会计师将识别、评估和应对风险的关键程序形成审计工作记录

这样可以保证执业质量，明确执业责任。

总之，审计风险准则的出台，有利于降低审计失败发生的概率，增强社会公众对行业的信心；有利于严格审计程序，识别、评估和应对重大错报风险；有利于明确审计责任，实施有效的质量控制；有利于促使注册会计师掌握新知识和新技能，提高整个行业的专业水平。同时，审计风险准则对注册会计师运用风险评估程序，以及依据风险评估结果实施进一步审计程序影响很大，因此，审计风险准则的出台，也会影响到审计工作的各个方面。

二、风险评估的含义及作用

风险评估程序，是指以了解被审计单位及其环境、了解被审计单位的内部控制为内容，以识别和评估财务报表重大错报风险为目的，在设计和实施进一步审计程序之前实施的程序。

了解被审计单位及其环境并评估重大错报风险是必要程序，特别是为注册会计师在下列关键环节作出职业判断提供重要基础：

1.确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当

2.考虑会计政策的选择和运用是否恰当，财务报表的列报（包括披露，下同）是否适当

3.识别需要特别考虑的领域

相关领域包括关联方交易、管理层运用持续经营假设的合理性，或交易是否具有合理的商业目的等。

4.确定在实施分析程序时所使用的预期值

5.设计和实施进一步审计程序，以将审计风险降至可接受的低水平

6.评价所获取审计证据的充分性和适当性

了解被审计单位及其环境是一个连续和动态地收集、更新与分析信息的过程，贯穿于整个审计过程的始终。注册会计师应当运用职业判断确定需要了解被审计单位及其环境的程度。

评价对被审计单位及其环境了解的程度是否恰当，关键是看注册会计师对被审计单位及其环境的了解是否足以识别和评估财务报表的重大错报风险。如果了解被审计单位及其环境获得的信息足以识别和评估财务报表的重大错报风险，设计和实施进一步审计程序，那么了解的程度就是恰当的。当然，要求注册会计师对被审计单位及其环境了解的程度，要低于管理层为经营管理企业而对被审计单位及其环境需要了解的程度。

三、风险评估程序

风险评估程序，是指为了解被审计单位及其环境而实施的程序，称为“风险评估程序”。主要包括询问被审计单位管理层和内部其他相关人员；执行分析程序；实施观察和检查程序。风险评估程序如图4.1所示。

注册会计师在审计过程中应当实施上述审计程序，但是在了解被审计单位及其环境的每一个方面时无须实施上述所有程序。

图4.1　风险评估程序

（一）询问被审计单位管理层和内部其他相关人员

询问被审计单位管理层和内部其他相关人员是注册会计师了解被审计单位及其环境的一个重要信息来源。

尽管注册会计师通过询问管理层和财务负责人可获取大部分信息，但是询问被审计单位内部的其他人士可能为注册会计师提供不同的信息，有助于识别重大错报风险。因此，注册会计师除了询问管理层和对财务报告负有责任的人员外，还应当考虑询问内部审计人员、采购人员、生产人员、销售人员等其他人员，并考虑询问不同级别的员工，以获取对识别重大错报风险有用的信息。

（二）执行分析程序

分析程序是指注册会计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系，对财务信息做出评价。分析程序还包括调查识别出的、与其他相关信息不一致或与预期数据严重偏离的波动和关系。

分析程序既可用作风险评估程序和实质性程序，也可用于对财务报表的总体复核。注册会计师实施分析程序有助于识别异常的交易或事项，以及对财务报表和审计产生影响的金额、比率和趋势。在实施分析程序时，注册会计师应当预期可能存在的合理关系，并与被审计单位记录的金额、依据记录金额计算的比率或趋势相比较，如果发现异常或未预期到的关系，注册会计师应当在识别重大错报风险时考虑这些比较结果。

（三）观察和检查程序

观察和检查程序可以印证对管理层和其他相关人员的询问结果，并可提供有关被审计单位及其环境的信息，注册会计师应当实施下列观察和检查程序：

①观察被审计单位的生产经营活动。

②检查文件、记录和内部控制手册。

③阅读由管理层和治理层编制的报告。

④实地察看被审计单位的生产经营场所和设备。

⑤追踪交易在财务报告信息系统中的处理过程（穿行测试）。

这是注册会计师了解被审计单位业务流程及其相关控制时经常使用的审计程序。

四、风险评估的内容

（一）了解被审计单位及其环境

注册会计师应当从下列方面了解被审计单位及其环境：

1.行业状况、法律环境与监管环境以及其他外部因素

2.被审计单位的性质

3.被审计单位对会计政策的选择和运用

4.被审计单位的目标、战略以及相关经营风险

5.被审计单位财务业绩的衡量和评价

6.被审计单位的内部控制

上述第1项是被审计单位的外部环境，第2、3、4、6项属于被审计单位的内部因素，第5项则既有外部因素也有内部因素。值得注意的是，被审计单位及其环境的各个方面可能会相互影响。

（1）了解被审计单位的外部环境

了解被审计单位的外部环境，即了解被审计单位面临的行业状况、法律环境与监管环境以及其他外部因素，这有助于注册会计师识别与被审计单位所处行业、法律环境等有关的重大错报风险。

注册会计师还应当了解影响被审计单位经营的其他外部因素，主要包括：宏观经济的景气度、利率和资金供应状况、通货膨胀水平及币值变动和国际经济环境及汇率变动。

（2）了解被审计单位的内部因素

①了解被审计单位的性质。对被审计单位性质的了解包括了解被审计单位的所有权结构、治理结构、组织结构、经营活动、投资活动和筹资活动。了解被审计单位的性质有助于注册会计师理解预期在财务报表中反映的各类交易、账户余额和列报。

②了解被审计单位对会计政策选择和运用。注册会计师应当关注被审计单位在会计政策选择和运用方面的下列重要事项：

a.了解重要项目的会计政策和行业惯例。重要项目的会计政策包括收入确认方法、存货的计价方法、投资的核算、固定资产的折旧方法、坏账准备、存货跌价准备和其他资产减值准备的确定，借款费用资本化方法、合并财务报表的编制方法等。除会计政策以外，某些行业可能还存在一些行业惯例，注册会计师应当熟悉这些行业惯例。

b.了解重大和异常交易的会计处理方法。

c.了解在新领域和缺乏权威性标准或共识的领域，采用重要会计政策产生的影响。注册会计师应当关注被审计单位选用了哪些会计政策，为什么选用这些会计政策以及选用这些会计政策产生的影响。

d.了解会计政策的变更。如果被审计单位变更了重要的会计政策，注册会计师应当考虑变更的原因及其适当性。

e.了解被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度。

③了解被审计单位的目标、战略以及相关经营风险。注册会计师主要应当了解下列方面有关的目标、战略并考虑相应的经营风险：

a.行业发展变化导致的风险及应对措施。

b.开发新产品和提供新劳务导致的风险及应对措施。

c.业务扩张导致的风险及应对措施。

d.新颁布的会计法规导致的风险及应对措施。

e.监管要求导致的风险及应对措施。

f.融资风险及应对措施。

g.信息技术的风险及应对措施。

④了解被审计单位的业绩的衡量和评价。被审计单位管理层经常会衡量和评价关键业绩指标（包括财务和非财务指标）、预算及差异分析、分部信息和分支机构、部门或其他层次的业绩报告以及与竞争对手的业绩比较。此外，外部机构也会衡量和评价被审计单位的财务业绩，如分析师的报告和信用评级机构的报告。

在了解被审计单位财务业绩衡量和评价情况时，注册会计师应当关注下列信息：

a.被审计单位对管理层进行业绩评价的关键业绩指标。

b.被审计单位的业绩趋势。

c.管理层进行预测、预算和差异分析的方法。

d.被审计单位对管理层和员工业绩考核与激励性报酬政策。

e.被审计单位分部信息与不同层次部门的业绩报告。

f.管理层如何与竞争对手的业绩比较。

g.外部机构提出的报告对被审计单位管理层的影响，等等。

（二）了解被审计单位的内部控制

1.内部控制的含义

内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。

我们可以从以下几方面理解内部控制：

（1）内部控制的目标是合理保证

通过内部控制，被审计单位一般能对以下三个方面提供合理保证：

①合理保证财务报告的可靠性，这一目标与管理层履行财务报告编制责任密切相关。

②合理保证被审计单位经营的效率和效果，即经济有效地使用企业资源，以最优方式实现企业的目标。

③合理保证在所有经营活动中遵守法律法规的要求，即在法律法规的框架下从事经营活动。

（2）设计和实施内部控制的责任主体是治理层、管理层和其他人员，组织中的每一个人都对内部控制负有责任

（3）实现内部控制目标的手段是设计和执行控制政策和程序

内部控制包括下列五个要素：控制环境、风险评估过程、信息系统与沟通、控制活动、对控制的监督。

（4）内部控制的局限性

内部控制存在固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证。内部控制存在的固有局限性包括：

①在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。例如，被审计单位信息技术工作人员没有完全理解系统如何处理销售交易，为使系统能够处理新型产品的销售，可能错误地对系统进行更改；或者对系统的更改是正确的，但是程序员没有把此次更改转化为正确的程序代码。

②可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。例如，管理层可能与客户签订背后协议，对标准的销售合同做出变动，从而导致收入确认发生错误。再如，软件中的编辑控制旨在发现和报告超过赊销信用额度的交易，但这一控制可能被逾越或规避。

③此外，如果被审计单位内部行使控制职能的人员素质不适应岗位要求，也会影响内部控制功能的正常发挥。

④被审计单位实施内部控制的成本效益问题也会影响其效能。当实施某项控制成本大于控制效果而发生损失时，就没有必要设置控制环节或控制措施。

⑤内部控制一般都是针对经常而重复发生的业务而设置的，如果出现不经常发生或未预计到的业务，原有控制就可能不适用。

2.内部控制的构成要素

（1）控制环境

内部控制的首要因素是控制环境。控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。控制环境设定了被审计单位的内部控制基调，影响员工对内部控制的认识和态度。良好的控制环境是实施有效内部控制的基础。防止或发现并纠正舞弊和错误是被审计单位治理层和管理层的责任。

控制环境具体包括：

①治理层和管理层对诚信和道德价值观念的沟通与落实。

②治理层和管理层对岗位设置和人员委派时的胜任能力的重视程度。

③治理层在内部控制设计与执行上的参与程度。

④管理层的理念和经营风格。

⑤被审计单位组织结构及职权与责任的分配。

⑥企业人力资源政策与实务等。

注册会计师应当对控制环境的构成要素获取足够的了解，并考虑内部控制的实质及其综合效果，以了解管理层和治理层对内部控制及其重要性的态度、认识及其所采取的措施。

控制环境对重大错报风险的评估具有广泛影响，注册会计师应当考虑控制环境总体优势是否为内部控制的其他要素提供了适当的基础，并且未被控制环境中存在的缺陷所削弱。

注册会计师在评估重大错报风险时，存在令人满意的控制环境是一个积极的因素。虽然令人满意的控制环境并不能绝对防止舞弊，但却有助于降低发生舞弊的风险。有效的控制环境还能为注册会计师相信在以前年度和期中所测试的控制将继续有效运行提供一定基础。相反，控制环境中存在的弱点可能削弱控制的有效性。

控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报，注册会计师在评估重大错报风险时，应当将控制环境连同其他内部控制要素产生的影响一并考虑。

（2）被审计单位的风险评估过程

内部控制的第二个要素是管理层的风险评估过程。风险评估过程是指被审计单位识别、评估和管理影响被审计单位实现经营目标能力的各种风险。而针对财务报告目标的风险评估过程则包括识别与财务报告相关的经营风险，评估风险的重大性和发生的可能性，以及采取措施管理这些风险。注册会计师应当了解被审计单位的风险评估过程和结果。

注册会计师应当确定管理层如何识别与财务报告相关的经营风险，如何估计该风险的重要性，如何评估风险发生的可能性，以及如何采取措施管理这些风险。如果被审计单位的风险评估过程符合其具体情况，了解被审计单位的风险评估过程和结果有助于注册会计师识别财务报表的重大错报风险。

在审计过程中，如果发现与财务报表有关的风险因素，注册会计师可通过向管理层询问和检查有关文件确定被审计单位的风险评估过程是否也发现了该风险；如果识别出管理层未能识别的重大错报风险，注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险，以及评估过程是否适合于具体环境。

（3）被审计单位的信息系统与沟通

与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。

与财务报告相关的信息系统应当与业务流程相适应。业务流程是指被审计单位开发、采购、生产、销售、发送产品和提供服务、保证遵守法律法规、记录信息等一系列活动。与财务报告相关的信息系统所生成信息的质量，对管理层能否做出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。

与财务报告相关的沟通包括使员工了解各自在财务报告有关的内部控制方面的角色和职责，员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。

公开的沟通渠道有助于确保例外情况得到报告和处理。沟通可以采用政策手册、会计和财务报告手册及备忘录等形式进行，也可以通过发送电子邮件、口头沟通和管理层的行动来进行。

（4）控制活动

控制活动是内部控制的核心构成要素。控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。

①授权。注册会计师应当了解与授权有关的控制活动，包括一般授权和特别授权。

授权的目的在于保证交易在管理层授权范围内进行。一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。特别授权是指管理层针对特定类别的交易或活动逐一设置的授权，如重大资本支出和股票发行等。特别授权也可能用于超过一般授权限制的常规交易。例如，因某些特别原因，同意对某个不符合一般信用条件的客户赊销商品。

②业绩评价。注册会计师应当了解与业绩评价有关的控制活动，主要包括被审计单位分析评价实际业绩与预算（或预测、前期业绩）的差异，综合分析财务数据与经营数据的内在关系，将内部数据与外部信息来源相比较，评价职能部门、分支机构或项目活动的业绩，以及对发现的异常差异或关系采取必要的调查与纠正措施。

通过调查非预期的结果和非正常的趋势，管理层可以识别可能影响经营目标实现的情形。管理层对业绩信息的使用（如将这些信息用于经营决策，用于对财务报告系统报告的非预期结果进行追踪），决定了业绩指标的分析是只用于经营目的，还是同时用于财务报告目的。

③信息处理。注册会计师应当了解信息处理有关的控制活动，包括信息技术的一般控制和应用控制。

被审计单位通常执行各种措施，检查各种类型信息处理环境下的交易的准确性、完整性和授权。信息处理控制可以是人工的、自动化的，或是基于自动流程的人工控制，信息处理控制分为两类，即信息技术的一般控制和应用控制。

信息技术的一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行，支持应用控制作用的有效发挥，通常包括数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制。

信息技术应用控制是指主要在业务流程层面运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通常包括检查数据计算的准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。

④实物控制。注册会计师应当了解实物控制，主要包括了解对资产和记录采取适当的安全保护措施，对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对。例如，现金、有价证券和存货的定期盘点控制。实物控制的效果影响资产的安全，从而对财务报表的可靠性及审计产生影响。

⑤职责分离。注册会计师应当了解职责分离，主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。当信息技术运用于信息系统时，职责分离可以通过设置安全控制来实现。

（5）对控制的监督

对控制的监督，是内部控制的关键构成要素。管理层的重要职责之一，就是建立和维护控制并保证其持续有效运行，对控制的监督可以实现这一目标。对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。

通常，被审计单位通过持续的监督活动、专门的评价活动或两者相结合，实现对控制的监督。持续的监督活动通常贯穿于被审计单位的日常经营活动与常规管理工作中。

注册会计师应当了解与被审计单位监督活动相关的信息来源，以及管理层认为信息具有可靠性的依据。如果拟利用被审计单位监督活动使用的信息（包括内部审计报告），注册会计师应当考虑该信息是否具有可靠的基础，是否足以实现审计目标。

3.对内部控制设计合理性的评价

通过对内部控制的了解，注册会计师一般可能得出如下三种结论：

（1）被审计单位内部控制设计合理，并得到执行

（2）被审计单位的内部控制设计合理，但并没有得到执行

（3）被审计单位的某些内部控制缺乏或者设计无效

五、评估重大错报风险

评估重大错报风险是风险评估阶段的最后一个步骤。获取的关于风险因素和抵消控制风险的信息（通过实施风险评估程序），将全部用于对财务报表层次以及各类交易、账户余额和列报认定层次的评估重大错报风险的评估。评估将作为确定进一步审计程序的性质、时间和范围的基础，以应对识别的风险。

（一）评估财务报表层次和认定层次的重大错报风险

1.评估重大错报风险时考虑的因素

表4.1列示了风险评估时需要考虑的部分风险因素。

表4.1　风险评估时需要考虑的部分风险因素

2.评估重大错报风险的审计程序

在评估重大错报风险时，注册会计师应当实施下列审计程序：

（1）在了解被审计单位及其环境的整个过程中识别风险，并考虑各类交易、账户余额、列报

注册会计师应当运用各项风险评估程序，在了解被审计单位及其环境的整个过程中识别风险，并将识别的风险与各类交易、账户余额、列报相联系。

（2）将识别的风险与认定层次可能发生错报的领域相联系

注册会计师应当将识别的风险与认定层次可能发生错报的领域相联系。

（3）考虑识别的风险是否重大

风险是否重大是指风险造成后果的严重程度。

（4）考虑识别的风险导致财务报表发生重大错报的可能性

注册会计师还需要考虑上述识别的风险是否会导致财务报表发生重大错报。

注册会计师应当利用实施风险评估程序获取的信息，包括在评价控制设计和确定其是否得到执行时获取的审计证据，作为支持风险评估结果的审计证据。注册会计师还应当根据风险评估的结果，确定实施进一步审计程序的性质、时间和范围。

3.识别两个层次的重大错报风险

在对重大错报风险进行识别和评估后，注册会计师应当确定，识别的重大错报风险是与特定的某类交易、账户余额、列报的认定相关，还是与财务报表整体广泛相关，进而影响多项认定。

某些重大错报风险可能与财务报表整体广泛相关，进而影响多项认定。财务报表层次的重大错报风险很可能源于薄弱的控制环境。薄弱的控制环境带来的风险可能对财务报表产生广泛影响，难以限于某类交易、账户余额、列报，注册会计师应当采取总体应对措施。

某些重大错报风险可能与特定的某类交易、账户余额、列报的认定相关。在评估重大错报风险时，注册会计师应当将所了解的控制与特定的认定相联系。控制与认定直接或间接相关，关系越间接，控制对防止或发现并纠正认定错报的效果越小；反之，则控制对防止或发现并纠正错报的效果越大。

（二）需要特别考虑的重大错报风险

1.特别风险的含义

作为风险评估的一部分，注册会计师应当运用职业判断，确定识别的风险哪些是需要特别考虑的重大错报风险（以下简称特别风险）。

2.非常规交易和判断事项导致的特别风险

日常的、不复杂的、经正规处理的交易不太可能产生特别风险。特别风险通常与重大的非常规交易和判断事项有关。

非常规交易是指由于金额或性质异常而不经常发生的交易。例如，企业购并、债务重组、重大或有事项等。由于非常规交易具有下列特征，与重大非常规交易相关的特别风险可能导致更高的重大错报风险：①管理层更多地介入会计处理。②数据收集和处理涉及更多的人工成分。③复杂的计算或会计处理方法。④非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制。

判断事项通常包括做出的会计估计。如资产减值准备金额的估计、需要运用复杂估值技术确定的公允价值计量等。由于下列原因，与重大判断事项相关的特别风险可能导致更高的重大错报风险：①对涉及会计估计、收入确认等方面的会计原则存在不同的理解。②所要求的判断可能是主观的复杂的，或需要对未来事项做出假设。

3.考虑与特别风险相关的控制

了解与特别风险相关的控制，有助于注册会计师制定有效的审计方案予以应对。对特别风险，注册会计师应当评价相关控制的设计情况，并确定其是否已经得到执行。由于与重大非常规交易或判断事项相关的风险很少受到日常控制的约束，注册会计师应当了解被审计单位是否针对该特别风险设计和实施了特别的控制。

（三）对评估风险的记录

1.注册会计师应当就下列内容形成审计工作记录

①项目组对由于舞弊或错误导致财务报表发生重大错报的可能性进行的讨论，以及得出的重要结论。

②注册会计师对被审计单位及其环境各个方面的了解要点、信息来源以及实施的风险评估程序。

③注册会计师在财务报表层次和认定层次识别、评估出的重大错报风险。

④注册会计师识别出的特别风险和仅通过实质性程序无法应对的重大错报风险，以及相关控制的评估。

2.记录的方式

注册会计师需要运用职业判断，确定对上述事项进行记录的方式。常见的记录方式包括文字描述、调查表和流程图等。记录的方式和范围受被审计单位的性质、规模、业务复杂程度、内部控制、被审计单位信息的可获得性，以及审计过程中使用的具体审计方法和技术的影响。

3.对被审计单位重大错报风险的初步评价

注册会计师通过了解被审计单位及其环境和被审计单位的内部控制，能够对被审计单位财务报表的重大错报风险给出初步评价结论，通常的初步风险评估结论有低风险、中等风险和高风险等级三个级次。

（四）对风险评估的修正

注册会计师对认定层次重大错报风险的评估应以获取的审计证据为基础，并可能随着不断获取审计证据而做出相应的变化。

例如，注册会计师对重大错报风险的评估可能基于预期控制运行有效性这一判断，即相关控制可以防止或发现并纠正认定层次的重大错报，因而重大错报风险评估为低风险等级，但在测试控制运行的有效性时，注册会计师获取的审计证据可能表明相关控制在被审计期间并未有效运行。同样，在实施实质性程序后，注册会计师可能发现错报的金额和频率比在风险评估时预计的金额和频率要高。当然，也可能原先评估的某些认定层次的重大错报风险为中等或高风险等级，但是，经过控制测试和实质性程序，发现内部控制执行相当有效，实质性程序收集的证据也表明重大错报风险没有评估的那么高。因此，如果通过实施进一步审计程序获取的审计证据与初始评估获取的审计证据相矛盾，注册会计师应当修正风险评估结果，并相应修改原计划实施的进一步审计程序。

因此，评估重大错报风险与了解被审计单位及其环境一样，也是一个连续和动态地收集、更新与分析信息的过程，贯穿于整个审计过程的始终。

【任务案例】

D公司2011年1～12月份未审主营业务收入、主营业务成本见表4.2。

表4.2　D公司2011年1～12月份未审主营业务收入、主营业务成本

试对D公司的主营业务收入和主营业务成本发生重大错报的风险进行分析。

【任务分析及处理】

审计人员可以选用毛利率和主营业务收入占全年主营业务收入的比重这两个指标来进行分析。

我们知道，销售毛利率=（当月主营业务收入-当月主营业务成本）÷当月主营业务收入×100%。经过计算，D公司2011年1～12月份的毛利率分别为：3%、11%、12%、12.1%、10.5%、11.5%、10.5%、11.3%、10.1%、10.0%、10.1%、19.9%，全年毛利率为11.9%。

D公司1～12月份主营业务收入占全年主营业务收入的比重分别为：7.5%、7.3%、7.1%、7.4%、7.4%、7.5%、7.6%、7.4%、7.3%、7.6%、7.8%、18.1%。

（1）1月份：该月毛利率3%，远远低于全年毛利率11.9%，也远远低于全年内其他各月份毛利率，属于异常情况。

（2）12月份：该月毛利率19.9%，也远远高于全年毛利率11.9%和其他各月份毛利率。并且，该月份主营业务收入占全年主营业务收入比例较高（高达18.1%），也属于异常情况。

根据上述分析，审计人员认为，D公司2011年1～12月份的未审主营业务收入和主营业务成本中，1月份和12月份的主营业务收入和主营业务成本应该成为审计重点，应通过制订相应的细节测试进一步收集审计证据。

任务二　风险应对

【任务引导案例】

KH会计师事务所自2008年开始接受RL公司董事会委托，对RL公司进行年度会计报表审计。双方已签订审计业务约定书。KH会计师事务所派出以李杰为项目组长，以张立、王菁、李玉为组员的项目组，于2011年3月1日至3月25日对该公司2010年度的会计报表进行了审计。

进驻RL公司后，该公里交来了2010年全部会计凭证、会计账簿和会计报表等会计资料。在审计过程中，审计人员向RL公司索取了该公司一年来的购货、销售、租赁合同、企业制度汇编等文件，通过了解、调查、描述、测试与评价等方法进行内部控制的符合性测试。审计人员详细审阅了2010年度的资产负债表、利润表、现金流量表等相关报表，并复算了会计凭证、账簿和报表相关数字，核对了有关明细账和总账。审计人员对该公司部分固定资产、原材料、低值易耗品、包装物和全部产成品、在产品进行了盘点与查询。同时，对销售收入执行了分析程序，发现销售收入可能存在虚记，因为该公司2010年度未发生购并、分立和债务重组行为，供产销形势与上年相当，但毛利率2010年比2009年呈现较高增长，且应收账款近两年呈增长趋势，于是，审计人员将审计重点放在销售收入和应收账款项目上。根据销售明细账的记录，审计人员分别抽取了1月份到12月份的记账凭证进行审查，对11月份和12月份进行重点抽查，在凭证抽查中将记账凭证与销售发票、出库单、货运凭证、运费单据及销售合同分别进行核对，发现不符单据两张。同时还对这些单据不符及金额较大，有一定疑问的应收账款执行了肯定式函证程序。

从回函结果来看，其中有两个经销商经两次函证均未回函，且无法查到对方电话号码，审计人员对这两个客户资料进行进一步整理，发现RL公司的这两个客户为新的销售对象，均为赊销，款项未曾收回，经审计人员将相关信息与会计人员沟通后，会计人员承认对这两个客户的销售为虚构，客户根本不存在，合同也系伪造；对其他经常供货的客户进行函证后，发现有两家客户回函称RL公司记录的债权数高于对方的记录。同时，审计人员对存货明细账和期末结转主营业务成本的资料进行分析，发现成本结转的数量与销售有较大差距，11月份到12月份的销售额明显高于前几个月，但成本结转数却无明显变化，可能存在虚假出库单。经与该公司财务人员和销售人员调查核实，确实存在销售虚记，但该部分成本并未结转，使本期销售毛利较上年有较大增幅，并影响当期利润额。

对此，审计人员提出了调整意见，RL公司按照审计意见调整了2010年度会计报表的有关项目。

最后，审计人员形成了意见一致的审计报告和管理建议书。

对于审计中识别的风险，注册会计师到底该采取哪些审计方法和审计程序去应对呢？

一、财务报表层次重大错报风险与总体应对措施

（一）总体应对措施

在财务报表重大错报风险的评估过程中，注册会计师应当确定，识别的重大错报风险是与特定的某类交易、账户余额、列报的认定相关，还是与财务报表整体广泛相关，进而影响多项认定。如果是后者，则属于财务报表层次的重大错报风险。

注册会计师应当针对评估的财务报表层次的重大错报风险确定下列总体应对措施：

1.向审计项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性

2.分配更有经验或具有特殊技能的注册会计师，或利用专家的工作

由于各行业在经营业务、经营风险、财务报告、法规要求等方面具有特殊性，审计人员的专业分工细化成为一种趋势。审计项目组成员中应有一定比例的人员曾经参与过被审计单位以前年度的审计，或具有被审计单位所处特定行业的相关审计经验。必要时，要考虑利用信息技术、税务、评估、精算等方面的专家工作。

3.提供更多的督导

对于财务报表层次重大错报风险较高的审计项目，审计项目组的高级别成员，如项目负责人、项目经理等经验较丰富的人员，要对其他成员提供更详细、更经常、更及时地指导和监督并加强项目质量复核。

4.在选择进一步审计程序时，应当注意使某些程序不被管理层预见或事先了解

被审计单位人员，尤其是管理层，如果熟悉注册会计师的审计套路，就可能采取种种规避手段，掩盖财务报告中的舞弊行为。因此，在设计拟实施审计程序的性质、时间和范围时，为了避免既定思维对审计方案的限制，避免对审计效果的人为干涉，从而使得针对重大错报风险的进一步审计程序更加有效，注册会计师要考虑使某些程序不被审计单位管理层预见或事先了解。

5.对拟实施审计程序的性质、时间和范围做出总体修改

财务报表层次的重大错报风险很可能源于薄弱的控制环境。薄弱的控制环境带来的风险可能对财务报表产生广泛影响，难以限于某类交易、账户余额、列报，注册会计师应当采取总体应对措施。相应地，注册会计师对控制环境的了解也影响其对财务报表层次重大错报风险的评估。有效的控制环境可以使注册会计师增强对内部控制和被审计单位内部产生的证据的信赖程度。如果控制环境存在缺陷，注册会计师对拟实施审计程序的性质、时间和范围做出总体修改时应当考虑：

（1）在期末而非期中实施更多的审计程序

控制环境的缺陷通常会削弱期中获得的审计证据的可信赖程度。

（2）主要依赖实质性程序获取审计证据

良好的控制环境是其他控制要素发挥作用的基础。控制环境存在缺陷通常会削弱其他控制要素的作用，导致注册会计师可能无法信赖内部控制，而主要依赖实施实质性程序获取审计证据。

（3）修改审计程序的性质，获取更具有说服力的审计证据

修改审计程序的性质主要是指调整拟实施审计程序的类别及其组合，比如原先可能主要限于检查某项资产的账面记录或相关文件，而调整审计程序的性质可能意味着更加重视实地检查该项资产。

（4）扩大审计程序的范围

例如，扩大样本规模，或采用更详细的数据实施分析程序。

（二）增加审计程序不可预见性的方法

1.增加审计程序不可预见性的思路

注册会计师可以通过增加审计程序提高审计程序的不可预见性，例如：

（1）对某些以前未测试的低于设定的重要性水平或风险较小的账户余额和认定实施实质性程序

注册会计师可以关注以前未曾关注过的审计领域，尽管这些领域可能重要程度比较低。如果这些领域有可能被用于掩盖舞弊行为，注册会计师就要针对这些领域实施一些具有不可预见性的测试。

（2）调整审计程序的时间，使其超出被审计单位的预期

比如，如果注册会计师在以前年度的大多数审计工作都围绕着12月或在年底前后进行，那么被审计单位就会了解注册会计师这一审计习惯，由此可能会把一些不适当的会计调整放在年度的9月、10月或11月等，以避免引起注册会计师的注意。因此，注册会计师可以考虑调整实施审计程序时测试项目的时间，从测试12月的项目调整到测试9月、10月、11月的项目。

（3）采取不同的审计抽样方法，使当年抽取的测试样本与以前有所不同

（4）选取不同的地点实施审计程序，或预先不告知被审计单位所选定的测试地点

例如，在存货监盘程序中，注册会计师可以到未事先通知被审计单位的盘点现场进行监盘，使被审计单位没有机会事先清理现场，隐藏一些不想让注册会计师知道的情况。

2.增加审计程序不可预见性的实施要点

①注册会计师需要与被审计单位的高层管理人员事先沟通，要求实施具有不可预见性的审计程序，但不能告知其具体内容。注册会计师可以在签订审计业务约定书时明确提出这一要求。

②虽然对于不可预见性程度没有量化的规定，但审计项目组可根据对舞弊风险的评估等确定具有不可预见性的审计程序。审计项目组可以汇总那些具有不可预见性的审计程序，并记录在审计工作底稿中。

③项目负责人需要安排项目组成员在有效地实施具有不可预见性的审计程序，但同时避免使项目组成员处于困难境地。

3.增加审计程序不可预见性的审计程序示例（见表4.3）

表4.3　审计程序的不可预见性示例

续表

（三）总体应对措施对拟实施进一步审计程序的总体方案的影响

财务报表层次重大错报风险难以限于某类交易、账户余额、列报的特点，意味着此类风险可能对财务报表的多项认定产生广泛影响，并相应增加注册会计师对认定层次重大错报风险的评估难度。因此，注册会计师评估的财务报表层次重大错报风险以及采取的总体应对措施，对拟实施进一步审计程序的总体方案具有重大影响。

拟实施进一步审计程序的总体方案包括实质性程序方案和综合性方案。其中，实质性程序方案是指注册会计师实施的进一步审计程序以实质性程序为主；综合性方案是指注册会计师在实施进一步审计程序时，将控制测试与实质性程序结合使用。当评估的财务报表层次重大错报风险属于高风险水平（并相应采取更强调审计程序不可预见性、重视调整审计程序的性质、时间和范围等总体应对措施）时，拟实施进一步审计程序的总体方案往往更倾向于实质性方案）。

二、针对认定层次重大错报风险的进一步审计程序

（一）进一步审计程序及其性质、时间和范围

1.进一步审计程序的含义

进一步审计程序相对于风险评估程序而言，是指注册会计师针对评估的各类交易、账户余额、列报认定层次重大错报风险实施的审计程序，包括控制测试和实质性程序。

注册会计师应当针对评估的认定层次重大错报风险设计和实施进一步审计程序，包括审计程序的性质、时间和范围。注册会计师设计和实施进一步审计程序的性质、时间和范围，应当与评估的认定层次重大错报风险具备明确的对应关系。注册会计师实施的审计程序应具备目的性和针对性，有的放矢地配置审计资源，有利于提高审计效率和效果。

需要说明的是，尽管在应对评估的认定层次重大错报风险时，拟实施的进一步审计程序的性质、时间和范围都应当确保其具有针对性，但其中进一步审计程序的性质是最重要的。例如，注册会计师评估的重大错报风险越高，实施进一步审计程序的范围通常越大；但是，只有首先确保进一步审计程序的性质与特定风险相关时，扩大审计程序的范围才是有效的。

2.进一步审计程序的性质

进一步审计程序的性质是指进一步审计程序的目的和类型。其中，进一步审计程序的目的包括通过实施控制测试以确定内部控制运行的有效性，通过实施实质性程序以发现认定层次的重大错报；进一步审计程序的类型包括检查、观察、询问、函证、重新计算、重新执行和分析程序。

3.进一步审计程序的时间

进一步审计程序的时间是指注册会计师何时实施进一步审计程序，或审计证据适用的期间或时点。因此，当提及进一步审计程序的时间时，在某些情况下指的是审计程序的实施时间，在另一些情况下是指需要获取的审计证据适用的期间或时点。

4.进一步审计程序的范围

进一步审计程序的范围是指实施进一步审计程序的数量，包括抽取的样本量、对某项控制活动的观察次数等。

（二）控制测试

1.控制测试的含义及要求

（1）控制测试的含义及要求

控制测试是为了获取关于内部控制防止或发现并纠正认定层次重大错报的有效性而实施的测试。注册会计师应当选择为相关认定提供证据的控制进行测试。

控制测试指的是测试控制运行的有效性，这一概念需要与“了解内部控制”进行区分。“了解内部控制”包含两层含义：一是评价内部控制的设计；二是确定控制是否得到执行。测试控制运行的有效性与确定控制是否得到执行所需获取的审计证据是不同的。

在实施风险评估程序以获取控制是否得到执行的审计证据时，注册会计师应当确定某项控制是否存在，被审计单位是否正在使用。

在测试控制运行有效性时，注册会计师应当从下列方面获取关于控制是否有效运行的审计证据：

①控制在所审计期间的不同时点是如何运行的。

②控制是否得到一贯执行。

③控制由谁执行。

④控制以何种方式运行（如人工控制或自动化控制）。

从这四个方面来看，控制运行有效性强调的是控制能够在各个不同时点按照既定设计得以一贯执行。因此，在了解控制是否得到执行时，注册会计师只需抽取少量的交易进行检查或观察某几个时点。但在测试控制运行的有效性时，注册会计师需要抽取足够数量的交易进行检查或对多个不同时点进行观察。

（2）控制测试的要求

作为进一步审计程序的类型之一，控制测试并非在任何情况下都需要实施。当存在下列情形之一时，注册会计师应当实施控制测试：

①在评估认定层次重大错报风险时，预期控制的运行是有效的。

②仅实施实质性程序不足以提供认定层次充分、适当的审计证据。

如果在评估认定层次重大错报风险时预期控制的运行是有效的，注册会计师应当实施控制测试，就控制在相关期间或时点的运行有效性获取充分、适当的审计证据。

如果认为仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受的低水平，注册会计师应当实施控制测试，以获取控制运行有效性的审计证据。

此外，需要说明的是，被审计单位在所审计期间由于技术更新或组织管理变更而更换了信息系统，从而导致在不同期间使用了不同的控制。如果被审计单位在所审计期间内的不同时期使用了不同的控制，注册会计师应当考虑不同时期控制运行的有效性。

2.控制测试的性质

控制测试的性质是指控制测试所使用的审计程序的类型及其组合。

计划从控制测试中获取的保证水平是决定控制测试性质的主要因素之一。注册会计师应当选择适当类型的审计程序以获取有关控制运行有效性的保证。计划的保证水平越高，对有关控制运行有效性的审计证据的可靠性要求越高。当拟实施的进一步审计程序主要以控制测试为主，尤其是仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受的低水平时，注册会计师应当获取有关控制运行有效性的更高的保证水平。

虽然控制测试与了解内部控制的目的不同，但两者采用审计程序的类型通常相同，包括询问、观察、检查和重新执行。

（1）询问

注册会计师可以向被审计单位适当人员询问，获取与内部控制运行情况有关的信息。例如，询问信息系统管理人员有无未经授权接触计算机硬件和软件，向负责复核银行存款余额调节表的人员询问如何进行复核，包括复核的要点是什么，发现不符事项如何处理等。然而，仅仅通过询问不能为控制运行的有效性提供充分的证据，注册会计师通常需要印证被询问者的答复，如向其他人员询问和检查执行控制时所使用的报告、手册或其他文件等。因此，虽然询问是一种有用的手段，它必须和其他测试手段结合使用才能发挥作用。在询问过程中，注册会计师应当保持职业怀疑态度。

（2）观察

观察是测试不留下书面记录的控制（如职责分离）的运行情况的有效方法。例如，观察存货盘点控制的执行情况。观察也可运用于实物控制，如查看仓库门是否锁好，或空白支票是否妥善保管。通常情况下，注册会计师通过观察直接获取的证据比间接获取证据更可靠。但是，注册会计师还要考虑其所观察到的控制在注册会计师不在场时可能未被执行的情况。

（3）检查

对运行情况留有书面证据的控制，检查程序非常适用。书面说明、复核时留下的记号，或其他记录在偏差报告中的标志都可以被当做控制运行情况的证据。例如，检查销售发票是否有复核人员签字，检查销售发票是否附有订购单和出库单等。

（4）重新执行

通常只有当询问、观察和检查程序结合在一起仍无法获得充分的证据时，注册会计师才考虑通过重新执行来证实控制是否有效运行。例如，为了合理保证计价认定的准确性，被审计单位的一项控制是由复核人员核对销售发票上的价格与统一价格单上的价格是否一致。但是，要检查复核人员有没有认真执行核对，仅仅检查复核人员是否在相关文件上签字是不够的，注册会计师还需要自己选取一部分销售发票进行核对，这就是重新执行程序。如果需要进行大量的重新执行，注册会计师就要考虑通过实施控制测试以缩小实质性程序的范围是否有效。

询问本身并不足以测试控制运行的有效性，注册会计师应当将询问与其他审计程序综合使用，以获取有关控制运行有效性的审计证据。观察提供的证据仅限于观察的时点，本身也不足以测试控制运行的有效性；将询问与检查或重新执行结合使用，通常能够比仅实施询问和观察获取更高的保证。例如，被审计单位针对处理收到的邮政汇款单设计和执行了相关的内部控制，注册会计师通过询问和观察程序往往不足以测试此类控制运行的有效性，还需要检查能够证明此类控制在所审计期间的其他时段有效运行的文件和凭证，以获取充分、适当的审计证据。

3.控制测试的时间

控制测试的时间包括两层含义：一是何时实施控制测试；二是测试所针对的控制适用的时点或期间。一个基本的原理是：如果测试特定时点的控制，注册会计师仅得到该时点控制运行有效性的审计证据；如果测试某一期间的控制，注册会计师可获取控制在该期间有效运行的审计证据。因此，注册会计师应当根据控制测试的目的确定控制测试的时间，并确定拟信赖的相关控制的时点或期间。

4.控制测试的范围

对于控制测试的范围，其含义主要是指某项控制活动的测试次数。注册会计师应当设计控制测试，以获取控制在整个拟信赖的期间有效运行的充分、适当的审计证据。

（三）实质性程序

1.实质性程序的含义和要求

实质性程序是指注册会计师针对评估的重大错报风险实施的直接用以发现认定层次重大错报的审计程序。因此，注册会计师应当针对评估的重大错报风险设计和实施实质性程序，以发现认定层次的重大错报。实质性程序包括对各类交易、账户余额、列报的细节测试以及实质性分析程序。

注册会计师实施的实质性程序应当包括下列与财务报表编制完成阶段相关的审计程序：

①将财务报表与其所依据的会计记录相核对。

②检查财务报表编制过程中作出的重大会计分录和其他会计调整，检查的性质和范围，取决于被审计单位财务报告过程的性质和复杂程度以及由此产生的重大错报风险。

由于注册会计师对重大错报风险的评估是一种判断，可能无法充分识别所有的重大错报风险，并且由于内部控制存在固有局限性，无论评估的重大错报风险结果如何，注册会计师都应当针对所有重大的各类交易、账户余额、列报实施实质性程序。

2.针对特别风险实施的实质性程序

如果认为评估的认定层次重大错报风险是特别风险，注册会计师应当专门针对该风险实施实质性程序。例如，如果认为管理层面临实现盈利指标的压力而可能提前确认收入，注册会计师在设计询证函时不仅应当考虑函证应收账款的账户余额，还应当考虑询证销售协议的细节条款（如交货、结算及退货条款）；注册会计师还可考虑在实施函证的基础上针对销售协议及其变动情况询问被审计单位的非财务人员。如果针对特别风险仅实施实质性程序，注册会计师应当使用细节测试，或将细节测试和实质性程序结合使用，以获取充分、适当的审计证据。作此规定的考虑是，为应对特别风险需要获取具有高度相关性和可靠性的审计证据，仅实施实质性分析程序不足以获取有关特别风险的充分、适当的审计证据。

特别风险应对措施及结果汇总示例见表4.4。

表4.4　特别风险应对措施及结果汇总表

3.实质性程序的性质

（1）实质性程序性质的含义

实质性程序的性质，是指实质性程序的类型及其组合。前已述及，实质性程序的两种基本类型包括细节测试和实质性分析程序。

细节测试是对各类交易、账户余额、列报的具体细节进行测试，目的在于直接识别财务报表认定是否存在错报。细节测试被用于获取与某些认定相关的审计证据，如存在、准确性、计价等。

实质性分析程序从技术特征上讲仍然是分析程序，主要是通过研究数据间关系评价信息，只是将该技术方法用作实质性程序，即用以识别各类交易、账户余额、列报及相关认定是否存在错报。实质性分析程序通常更适用于在一段时间内存在可预期关系的大量交易。

（2）细节测试和实质性分析程序的适用性

由于细节测试和实质性分析程序的目的和技术手段存在一定差异，因此各自有不同的适用领域。注册会计师应当根据各类交易、账户余额、列报的性质选择实质性程序的类型。细节测试适用于对各类交易、账户余额、列报认定的测试，尤其是对存在或发生、计价认定的测试；对在一段时期内存在可预期关系的大量交易，注册会计师可以考虑实施实质性分析程序。

（3）细节测试的方向

对于细节测试，注册会计师应当针对评估的风险设计细节测试，获取充分、适当的审计证据，以达到认定层次所计划的保证水平。该规定的含义是，注册会计师需要根据不同的认定层次的重大错报风险设计有针对性的细节测试。例如，在针对存在或发生认定设计细节测试时，注册会计师应当选择包含在财务报表金额中的项目，并获取相关的审计证据；又如，在针对完整性认定设计细节测试时，注册会计师应当选择有证据表明应包含在财务报表金额中的项目，并调查这些项目是否确实包括在内。如为应对被审计单位漏记本期应付账款的风险，注册会计师可以检查期后付款记录。

（4）设计实质性分析程序时考虑的因素

注册会计师在设计实质性分析程序时应考虑的因素包括：

①对特定认定使用实质性分析程序的适当性。

②对已记录的金额或比率做出预期时，所依据的内部或外部数据的可靠性。

③做出预期的准确程度是否足以在计划的保证水平上识别重大错报。

④已记录金额与预期值之间可接受的差异额。

考虑到数据及分析的可靠性，当实施实质性分析程序时，如果使用被审计单位编制的信息，注册会计师应当考虑测试与信息编制相关的控制，以及这些信息是否在本期或前期经过审计。

4.实质性程序的时间

实质性程序的时间选择与控制测试的时间选择有共同点，也有很大差异。共同点在于，两类程序都面临着对期中审计证据和对以前审计获取的审计证据的考虑。两者的差异在于：

①在控制测试中，期中实施控制测试并获取期中关于控制运行有效性审计证据的做法更具有一种“常态”。而由于实质性程序的目的在于更直接地发现重大错报，在期中实施实质性程序时更需要考虑其成本效益的权衡。

②在本期控制测试中拟信赖以前审计获取的有关控制运行有效性的审计证据，已经受到了很大的限制；而对于以前审计中通过实质性程序获取的审计证据，则采取了更加慎重的态度和更严格的限制。

5.实质性程序的范围

评估的认定层次重大错报风险和实施控制测试的结果是注册会计师在确定实质性程序的范围时的重要考虑因素。因此，在确定实质性程序的范围时，注册会计师应当考虑评估的认定层次重大错报风险和实施控制测试的结果。注册会计师评估的认定层次重大错报风险越高，需要实施实质性程序的范围越广。如果对控制测试结果不满意，注册会计师应当考虑扩大实质性程序的范围。

在设计细节测试时，注册会计师除了从样本量的角度考虑测试范围外，还要考虑选样方法的有效性等因素。例如，从总体中选取大额或异常项目，而不是进行代表性抽样或分层抽样。

实质性程序的范围有两层含义：第一层含义是对什么层次上的数据进行分析，注册会计师可以选择在高度汇总的财务数据层次进行分析，也可以根据重大错报风险的性质和水平调整分析层次。例如，按照不同产品线、不同季节或月份、不同经营地点或存货存放地点等实施实质性分析程序。第二层含义是需要对什么幅度或性质的偏差展开进一步调查。实施分析程序可能发现偏差，但并非所有的偏差都值得展开进一步调查。可容忍或可接受的偏差（即预期偏差）越大，作为实质性分析程序一部分的进一步调查的范围就越小。于是确定适当的预期偏差幅度同样属于实质性分析程序的范畴。因此，在设计实质性分析程序时，注册会计师应当确定已记录金额与预期值之间可接受的差异额。在确定该差异额时，注册会计师应当主要考虑各类交易、账户余额、列报及相关认定的重要性和计划的保证水平。

【任务案例】

Y股份有限公司（以下简称Y公司）主要经营中、小型机电类产品的生产和销售，采用手工会计系统，产品销售以Y公司仓库为交货地点。C和D注册会计师负责审计Y公司2009年度财务报表，于2009年12月1日至12月15日对Y公司的购货与付款循环、销售与收款循环的内部控制进行了解、测试与评价。

资料一：C和D注册会计师计划实施以下程序以了解相关内部控制：

（1）询问Y公司有关人员，并查阅相关内部控制文件。

（2）检查内部控制生成的文件和记录。C和D注册会计师拟订的总体审计计划中关于控制测试和评价的部分内容摘录如下：

①在了解内部控制后，如认为Y公司内部控制设计合理且得到执行，则对相关内部控制进行测试。

②选择2009年1月1日至2009年11月30日作为控制测试样本总体的所属期间。

③在控制测试的基础上，形成对Y公司2009年度内部控制有效性的最终评价。

要求：

（1）针对资料一，假定不考虑其他条件，请指出C和D注册会计师还可以选择实施哪些审计程序以了解相关内部控制。

（2）针对资料一，假定不考虑其他条件，请指出C和D注册会计师拟订的总体审计计划中关于控制测试和评价的内容存在什么缺陷，并提出改进建议。

【任务分析及处理】

（1）C和D注册会计师还可以实施下列审计程序：

观察Y公司的业务活动和内部控制的运行情况；选择若干具有代表性的交易和事项进行“穿行测试”。

（2）缺陷和改进建议如下：

摘录①中所述的进行控制测试的条件不充分，建议增加“信赖内部控制而减少的实质性程序的工作量大于控制测试的工作量”这一条件。

摘录②中对相关内部控制的测试期间没有涵盖被审计财务报表的整个年度，不能形成对Y公司2009年度内部控制有效性的最终评价。建议对2009年12月的相关内部控制实施追加测试，并在此基础上形成对Y公司2009年度内部控制有效性的最终评价。

学习情景小结

本学习情景解决风险评估和风险应对问题。介绍了风险评估的概念和主要的风险评估方法和程序。重点阐释了在风险评估基础上，如何针对财务报表整体层次的重大错报风险，制订总体应对措施。如何针对识别的认定层次的重大错报风险，制定进一步审计程序。

学习情景4技能自训

一、单项选择题

1.注册会计师在了解内部控制时通常不用（　）。

A.风险评估程序

B.询问 　

C.穿行测试 　

D.分析程序

2.在确定向被审计单位的哪些人员进行询问以及询问哪些问题时，注册会计师应当考虑何种信息有助于其识别和评估重大错报风险。询问（　），有助于注册会计师理解财务报表编制的环境。

A.内部审计人员

B.治理层

C.参与生成、处理或记录复杂或异常交易的员工

D.内部法律顾问

3.下列通常与重大的非常规交易无关的可能导致更高的重大错报风险特别风险的原因的是（　）。

A.管理层更多地介入会计处理

B.数据收集和处理涉及更多的人工成分

C.复杂的计算或会计处理方法

D.对涉及会计估计、收入确认等方面的会计原则存在不同的理解

4.在被审计单位设定的以下控制目标中，与发生认定无关的是（　）。

A.确保没有记录虚构或重复的销售

B.保证货物运送给正确的收货人

C.保证发货单据只有在实际发货时才开具

D.保证发票正确反映了发货的数量

5.在财务报表重大错报风险的评估过程中，注册会计师识别的重大错报风险与财务报表整体层次广泛相关，进而影响多项认定，则属于（　）的重大错报风险。

A.某类交易、账户余额的认定层次 　

B.财务报表层次

C.认定层次 　

D.列报层次

6.只有认为控制设计合理、能够防止或发现并纠正认定层次的重大错报，注册会计师才有必要进行（　）。

A.细节测试 　

B.实质性测试 　

C.了解内部控制

D.控制测试

7.通常情况下，注册会计师出于成本效益的考虑，可以采用（　）设计进一步审计程序，即将测试控制运行的有效性与实质性测试结合使用。

A.控制测试 　

B.综合性方案 　

C.实质性程序 　

D.实质性方案

8.诚信和道德价值观念是（　）的重要组成部分。

A.控制环境 　

B.控制活动 　

C.信息系统与沟通

D.对控制的监督

9.控制测试与了解内部控制的目的不同，但两者采用审计程序的类型通常是相同的，但（　）程序是个例外，它属于控制测试程序而不属于了解内部控制的程序。

A.询问、观察 　

B.检查文件记录

C.重新执行 　

D.穿行测试

10.保管某项财产物资的职务和该项财产物资的记录职务应予分离属于（　）。

A.财产管理控制

B.授权批准制度

C.职务分离制度

D.内部审计控制

二、多项选择题

1.按照《审计准则——了解被审计单位及其环境并评估重大错报风险》的规定，注册会计师对重大错报风险进行评估的主要工作包括（　）。

A.了解被审计单位及其环境

B.了解被审计单位的内部控制

C.充分认识和评估财务报表重大错报风险

D.设计和实施进一步审计程序

2.在识别和评估重大错报风险时，注册会计师应当实施下列（　）审计程序。

A.在了解被审计单位及其环境的整个过程中识别风险，并考虑各类交易、账户余额、列报

B.将识别的风险与认定层次可能发生错报的领域相联系

C.考虑识别的风险是否重大

D.考虑识别的风险导致财务报表发生重大错报的可能性

3.实质性程序包括（　）。

A.对各类交易、账户余额、列报的细节测试

B.实质性方案

C.实质性分析程序

D.分析程序

4.评估被审计单位的重大错报风险是注册会计师执行财务报表审计业务时的重要步骤。下列（　）事项和情况可能表明被审计单位存在重大错报风险。

A.关键人员发生变动

B.具备适当会计核算与财务报告技能的人员缺乏

C.开发新产品、提供新服务或进入新的业务领域

D.开辟新的经营场所

5.注册会计师应根据其对被审计单位内部控制的了解，确定（　）。

A.是否进行控制性测试

B.是否进行实质性测试

C.将要执行的控制测试的性质、时间和范围

D.将要执行的实质性测试的性质、时间和范围

三、判断题

1.审计人员必须询问被审计单位聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等，以获取有助于识别重大错报风险的信息。（　）

2.了解被审计单位及其环境是一个连续和动态地收集、更新与分析信息的过程，贯穿了整个审计过程的始终。（　）

3.内部控制存在固有的局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证。（　）

4.审计人员了解内部控制的目的是对被审计单位的内部控制执行的有效性发表意见。（　）

5.审计人员在评价被审计单位风险评估过程的设计和执行时，应当确定管理层如何识别与财务报告相关的经营风险。（　）

6.穿行测试不是单独的一种程序，而是将多种程序按特定审计需要进行结合运用的方法。（　）

7.如果识别出被审计单位未加控制或控制不当的重大错报风险，或认为被审计单位的风险评估过程存在重大缺陷，审计人员应当就此类内部控制缺陷与治理层沟通。（　）

8.审计人员应当指明，管理建议书仅供被审计单位管理当局内部参考。因使用不当造成的后果，审计人员及其所在的会计师事务所只负一定责任。（　）

9.实质性程序是指审计人员针对评估的重大错报风险实施的直接用以发现内部控制重大缺陷的审计程序。（　）

10.审计人员评估的重大错报风险越高，需要实施的控制测试的范围就越广。（　）

四、实务题

注册会计师小陈受事务所的委派，于2010年12月1日～5日对其客户A公司2009年度内部控制进行了解，并评价了内部控制设计的合理性，编制了相关的工作底稿。工作底稿中记载的有关A公司内部控制设计和运行的部分内容摘录如下：（以采购与付款循环业务为例）

（1）A公司的材料采购需要经授权批准后方可进行，采购部根据经批准的请购单发出订购单。

（2）货物到达后，验收部门根据订购单的要求验收货物，并编制一式多联的未连续编号的验收单。仓储部门根据验收单验收货物，在验收单上签字后，将货物移入仓库加以保管。验收单的一联交采购部门登记采购明细账和编制付款凭单，付款凭单经批准后，月末交会计部门；一联交会计部门登记材料明细账；一联由仓库保留并登记材料明细账。会计部门根据只附验收单的付款凭单登记有关账簿。

（3）应付凭单部门核对供应商发票、验收单和订购单，并编制预先连续编号的付款凭单。在付款凭单经授权人员批准后，应付凭单部门将付款凭单连同供应商发票及时送交会计部门，并将未付款凭单副联保存在未付款凭单档案中。会计部门收到附有供应商发票的付款凭单后应及时编制有关的记账凭证，并登记原材料和应付账款账簿。

（4）会计部门审核付款凭单后，支付采购款项。公司授权会计部门的经理签署支票，经理将其授权给会计人员赵某负责，但保留了支票印章。赵某根据已批准的凭单，在确定支票收款人名称与凭单内容一致后签署支票，并在凭单上加盖“已支付”的印章。

要求：

（1）根据上述摘录，假定未描述的其他内部控制不存在缺陷，请指出A公司的内部控制在设计方面存在哪些缺陷。

（2）针对上述有缺陷的内部控制，提出改进意见。

学习情景引导案例5

信勇会计师事务所的业务承接与人员委派

2012年2月4日，信勇会计师事务所的注册会计师张丰接到妻子的电话，说她弟弟李华开办的西南高科技公司2008年度的会计报表拟委托会计师事务所审计，正在寻找合适的会计师事务所。李华希望张丰能够承接对西南高科技公司会计报表的审计。张丰听了，一方面受妻弟委托，另一方面也认为是开拓了一个新客户，于是非常爽快地答应了，并于2009年2月6日亲自带领审计小组直接到西南高科技公司实施审计。

西南高科技公司属于民营企业，主营计算机软件开发，兼营计算机硬件、配件等，自开业5年以来发展良好，但从未委托过注册会计师审计。这次委托审计主要是考虑到银行贷款需要。

注册会计师张丰是信勇会计师事务所的出资人之一，业务专长是对工业企业，尤其是对国有工业企业进行会计报表审计。

请分析：

会计师事务所在接受审计委托并分派任务给注册会计师时，应考虑哪些因素？注册会计师在收集审计证据和编制审计工作底稿时，又需要考虑哪些因素呢？