CPA《审计》教材梳理：风险评估(4)

　　第一节　风险评估概述

　　第二节 风险评估程序、信息来源以及项目组内部讨论

　　第三节 了解被审计单位及其环境

　　第四节 了解被审计单位的内部控制

第五节 评估重大错报风险

　　一、内部控制的含义和要素

　　1.含义和目标

　　内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计与执行的政策及程序。

　　内部控制的目标是合理保证：（1）财务报表的可靠性，这一目标与管理层履行财务报告编制责任密切相关；（2）经营的效率和效果，即经济有效地使用企业资源，以最优方式实现企业的目标；（3）在所有经营活动中遵守法律法规的要求，即在法律法规的框架下从事经营活动。

　　2.对内部控制的责任——被审计单位治理层、管理层和其他人员。

　　3.内部控制要素：控制环境、风险评估过程、信息系统与沟通、控制活动、对控制的监督。

　　二、与审计相关的控制

　　内部控制的目标旨在合理保证财务报告的可靠性、经营的效率和效果及对法律的遵守。

　　注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。

内部控制	与审计相关
为实现财务报告可靠性目标设计和实施的控制	包括被审计单位为实现财务报告可靠性目标设计和实施的控制。CPA应当运用职业判断，考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序有关 在运用职业判断时，CPA应当考虑下列因素：(1)注册会计师确定的熏要性水平；(2)被审计单位的性质；(3)被审计单位的规模；(4)被审计单位经营的多样性和复杂性；(5)法律法规和监管要求；(6)作为内部控制组成部分的系统的性质和复杂性
其他与审计相关的控制	CPA以前的经验以及在了解被审计单位及其环境过程中获得的信息，可以帮助CPA识别与审计相关的控制： (1)如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息，CPA应当考虑用以保证该信息完整性和准确性的控制可能与审计相关 (2)如果用以保证经营效率、效果的控制以及对法律法规遵守的控制与实施审计程序时评价或使用的数据相关，CPA应当考虑这些控制可能与审计相关

　　三、对内部控制了解的深度

　　注册会计师通过询问、观察、检查和穿行测试了解被审计单位的内部控制，以评价内部控制设计的是否合理以及是否得到执行。

　　在进一步程序中，针对设计合理且得到执行的控制，实施控制测试程序，目的是要确定内控的有效性。

了解的深度	要 求
1．评价控制的设计	应当评价： (1)控制的设计，评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报 (2)确定其是否得到执行，控制得到执行是指某项控制存在且被审计单位正在使用 (3)设计不当的控制可能表明内部控制存在重大缺陷，CPA在确定是否考虑控制得到执行时，应当首先考虑控制的设计。如果控制设计不当，不需要再考虑控制是否得到执行
2．获取控制设计和执行的审计证据	通常实施下列风险评估程序，以获取有关控制设计和执行的审计证据： (1)询问被审计单位的人员 (2)观察特定控制的运用 (3)检查文件和报告 (4)追踪交易在财务报告信息系统中的处理过程(穿行测试) 注意：这些程序是风险评估程序在了解被审计单位内部控制方面的具体运用。询问本身并不足以评价控制的设计以及确定其是否得到执行，CPA应当将询问与其他风险评估程序结合使用
3.了解内部控制的步骤	了解内部控制包括四个重要的步骤： 1.识别需要降低哪些风险以预防财务报表中发生重大错报。 2.记录相关的内部控制。 3.评估控制的执行，主要是实施穿行测试。 4.评估内部控制的设计。
3．了解内部控制与测试控制运行有效性的关系	除非存在某些可以使控制得到一贯运行的自动化控制，CPA对控制的了解并不能够代替对控制运行有效性的测试。对控制运行有效性的测试称为控制测试

　　四、内部控制的人工和自动化成分

　　自动化控制的优势：可以大幅度的减少由于人工在运行过程中，出现的人为的一些偏差和失误。

内控成分	内部控制	影 响
人工	内部控制一般包括批准和复核业务活动，编制调节表并对调节项目进行跟踪	1．被审计单位的性质和经营的复杂程度 2．内部控制的人工成分在处理下列需要主观判断或酌情处理的情形时可能更为适当：(1)存在大额、异常或偶发的交易；(2)存在难以定义、防范或预见的错误；(3)为应对情况的变化，需要对现有的自动化控制进行调整；(4)监督自动化控制的有效性 3．特定风险：(1)人工控制可能更容易被规避、忽视或凌驾；(2)人工控制可能不具有一贯性；(3)人工控制可能更容易产生简单错误或失误。相对于自动控制，人工控制的可靠性较差 4．人工控制在下列情形中可能是不适当的：(1)存在大量或重复发生的交易；(2)事先可预见的错误能够通过自动化控制得以防范或发现；(3)控制活动可得到适当设计和自动化处理。 5.内部控制风险的程度和性质受被审计单位信息系统的性质和特征的影响。
自动化特征	信息技术系统中的控制可能既有自动(如嵌入计算机程序的控制)，又有人工控制	1．被审计单位的性质和经营的复杂程度 2．信息技术通常在下列方面提高被审计单位内部控制的效率和效果：(1)在处理大量的交易或数据时，一贯运用事先确定的业务规则，并进行复杂运算；(2)提高信息的及时性、可获得性及准确性；(3)有助于对信息的深入分析；(4)加强对被审计单位政策和程序执行情况的监督；(5)降低控制被规避的风险；(6)通过对操作系统、应用程序系统和数据库系统实施安全控制，提高不相容职务分离的有效性 3．信息技术也可能对内部控制产生特定风险：(1)系统或程序未能正确处理数据，或处理了不正确的数据，或两种情况同时并存；(2)在未得到授权情况下访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易；(3)信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工；(4)未经授权改变主文档的数据；(5)未经授权改变系统或程序；(6)未能对系统或程序作出必要的修改；(7)不恰当的人为干预；(8)数据丢失的风险或不能访问所需要的数据

　　注意：自动化控制只适用于处理比较标准的业务，出现异常的、特殊的业务时无法适用。

　　五、内部控制的局限性

　　内部控制存在固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证。内部控制存在的固有局限性包括：

固有局限性	案 例
1．在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效	(1)被审计单位信息技术工作人员没有完全理解系统如何处理销售交易，为使系统能够处理新型产品的销售，可能错误地对系统进行更改 (2)或者对系统的更改是正确的，但是程序员没能把更改转化为正确的程序代码
2．可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避	(1)管理层可能与客户签订背后协议，对标准的销售合同作出变动，从而导致确认收入发生错误 (2)软件中的编辑控制旨在发现和报告超过赊销信用额度的交易，但这一控制可能被逾越或规避
3．对小型被审计单位的考虑	(1)小型被审计单位拥有的员工通常较少，限制了其职责分离的程度 (2)业主凌驾于内部控制之上的可能性较大，CPA应当考虑一些关键领域是否存在有效的内部控制，包括考虑小型被审计单位总体的控制环境，特别是业主对内部控制及其重要性的态度、认识和采取的措施

　　此外，如果被审计单位内部行使控制职能的人员素质不适应岗位要求，也会影响内部控制功能的正常发挥。当实施某项控制的成本大于控制效果而发生损失时，就没有必要设置控制环节或控制措施。

　　六、控制环境

　　控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。良好的控制环境是实施有效内部控制的基础。因此，财务报表层次的重大错报风险通常源自于薄弱的控制环境。

　　注意：

　　第一，控制环境对重大错报风险的评估具有广泛影响，控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报。

　　第二，在确定构成控制环境的要素是否得到执行时，注册会计师应当考虑将询问与其他风险评估程序相结合以获取审计证据。

　　1.对诚信和道德价值观念的沟通与落实：诚信和道德价值观念是控制环境的重要组成部分，影响到重要业务流程的设计和运行。

　　2.对胜任能力的重视

　　3.治理层的参与程度

　　4.管理层的理念和经营风格

　　注册会计师在了解和评估被审计单位管理层的理念和经营风格时，考虑的主要因素可能包括：

　　（1）管理层是否对内部控制，包括信息技术的控制，给予了适当的关注；

　　（2）管理层是否由一个或几个人所控制，而董事会、审计委员会或类似机构对其是否实施有效监督；

　　（3）管理层在承担和监控经营风险方面是风险偏好者还是风险规避者；

　　（4）管理层在选择会计政策和作出会计估计时是倾向于激进还是保守；

　　（5）管理层对于信息管理人员以及财会人员是否给予了适当关注；

　　（6）对于重大的内部控制和会计事项，管理层是否征询注册会计师的意见，或者经常在这些方面与注册会计师存在不同意见。

　　5.组织结构及职权与责任的分配

　　6.人力资源政策与实务

　　七、被审计单位的风险评估过程

　　风险评估过程的作用是识别、评估和管理影响被审计单位实现经营目标能力的各种风险。

　　注意：

　　第一，注册会计师应当询问管理层识别出的经营风险，并考虑这些风险是否可能导致重大错报。

　　第二，在审计过程中，如果发现与财务报表有关的风险因素，注册会计师可通过向管理层询问和检查有关文件确定被审计单位的风险评估过程是否也发现了该风险。在审计过程中，如果识别出管理层未能识别的重大错报风险，注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险，以及评估过程是否适合于具体环境。

　　八、信息系统与沟通

　　1.与财务报告相关的信息系统

　　与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。

　　注意：

　　第一，与财务报告相关的信息系统应当与业务流程相适应。

　　第二，应当特别关注由于管理层凌驾于账户记录控制之上而产生的重大错报风险。

　　自动化程序和控制可能降低了发生无意错误的风险，但是并没有消除个人凌驾于控制之上的风险。

　　2.与财务报告相关的沟通

　　与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责，员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。

　　注意：

　　注册会计师应当了解被审计单位内部如何对财务报告的岗位职责，以及与财务报告相关的重大事项进行沟通。注册会计师还应当了解管理层与治理层（特别是审计委员会）之间的沟通，以及被审计单位与外部（包括与监管部门）的沟通。

　　九、控制活动

　　控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。

　　1.授权

　　授权的目的在于保证交易在管理层授权范围内进行。

　　2.业绩评价

　　注册会计师应当了解与业绩评价有关的控制活动，主要包括被审计单位分析评价实际业绩与预算的差异，以及对发现的异常差异或关系采取必要的调查与纠正。

　　3.信息处理

　　注册会计师应当了解与信息处理有关的控制活动，包括信息技术的一般控制和应用控制。被审计单位通常执行各种措施，检查各种类型信息处理环境下的交易的准确性、完整性和授权。

　　4.实物控制

　　注册会计师应当了解实物控制，主要包括了解对资产和记录采取适当的安全保护措施，对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对。实物控制的效果影响资产的安全，从而对财务报表的可靠性及审计产生影响。

　　5.职责分离

　　注册会计师应当了解职责分离，主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。当信息技术运用于信息系统时，职责分离可以通过设置安全控制来实现。

　　注意：

　　第一，注册会计师对被审计单位整体层面的控制活动进行的了解和评估，主要是针对被审计单位的一般控制活动，特别是信息技术的一般控制。

　　第二，控制活动主要影响业务流程层面。

　　十、对控制的监督

　　对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。

　　被审计单位通过持续的监督活动、专门的评价活动或两者相结合，实现对控制的监督。

　　注意：内部控制的某些要素（如控制环境）更多地对被审计单位整体层面产生影响，而其他要素（如信息系统与沟通、控制活动）则可能更多地与特定业务流程相关。在实务中，注册会计师应当从被审计单位整体层面和业务流程层面分别了解和评价被审计单位的内部控制。

　　十一、在整体层面对内部控制了解和评估的总结

　　在了解内部控制的各构成要素时，注册会计师应当对被审计单位整体层面的内部控制的设计进行评价，并确定其是否得到执行。

　　控制环境更多的影响整体层面的，对报表层次的重大错报风险有影响，而控制活动更多的影响流程层面。

　　注意：

　　第一，对于连续审计，注册会计师可以重点关注整体层面内部控制的变化情况，包括由于被审计单位及其环境的变化而导致内部控制发生的变化以及采取的对策。注册会计师还需要特别考虑因舞弊而导致重大错报的可能性及其影响。

　　第二，财务报表层次的重大错报风险很可能源于薄弱的控制环境。

　　第三，被审计单位整体层面的内部控制是否有效将直接影响重要业务流程层面控制的有效性，进而影响注册会计师拟实施的进一步审计程序的性质、时间和范围。

　　十二、在业务流程层面了解内部控制

　　在业务流程层面了解内部控制，通常采取下列步骤：

　　1.确定重要业务流程和重要交易类别

　　在实务中，将被审计单位的整个经营活动划分为几个重要的业务循环，有助于注册会计师更有效地了解和评估重要业务流程及相关控制。

　　2.了解重要交易流程，并进行记录

　　在确定重要的业务流程和交易类别后，注册会计师便可着手了解每一类重要交易在信息技术或人工系统中生成、记录、处理及在财务报表中报告的程序，即重要交易流程。

　　注意：

　　第一，注册会计师可以通过检查被审计单位的手册和其他书面指引获得有关信息，还可以通过询问和观察来获得全面的了解。向适当人员询问通常是比较有效的方法。并生成记录。

　　第二，注册会计师通常只是针对每一年的变化修改记录流程的工作底稿，除非被审计单位的交易流程发生重大改变。

　　3.确定可能发生错报的环节

　　注册会计师需要确认和了解被审计单位应在哪些环节设置控制，以防止或发现并纠正各重要业务流程可能发生的错报。

　　注意：

　　对于每个重要交易流程，注册会计师都会考虑这些控制目标。评价是否实现这些目标的重要标志是，是否存在控制来防止错报的发生，或发现并纠正错报。

　　4.识别和了解相关控制

　　如果注册会计师计划对业务流程层面的有关控制进行进一步的了解和评价，那么针对业务流程中容易发生错报的环节，注册会计师应当确定：（1）被审计单位是否建立了有效的控制，以防止或发现并纠正这些错报；（2）被审计单位是否遗漏了必要的控制；（3）是否识别了可以最有效测试的控制。

　　注意：

　　第一，注册会计师之前的了解可能表明被审计单位在业务流程层面针对某些重要交易流程所设计的控制是无效的，或者注册会计师并不打算信赖控制，这时注册会计师没有必要进一步了解在业务流程层面的控制。

　　第二，可以采用询问程序，从级别较高的人员到级别较低的人员进行询问，或者反过来。

　　5.执行穿行测试，证实对交易流程和相关控制的了解

　　为了解各类重要交易在业务流程中发生、处理和记录的过程，注册会计师通常会每年执行穿行测试。

　　注意：

　　第一，如果不打算信赖控制，注册会计师仍需要执行穿行测试以确认以前对业务流程及可能发生错报环节的了解的准确性和完整性。

　　第二，对于重要的业务流程，不管是人工控制还是自动化控制，注册会计师都要对整个流程执行穿行测试，涵盖交易从发生到记账的整个过程。

　　6.初步评价和风险评估

　　（1）对控制的初步评价

　　注册会计师需要评价控制设计的合理性并确定其是否得到执行。

　　注册会计师对控制的评价结论可能是：①所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报，并得到执行；②控制本身的设计是合理的，但没有得到执行；③控制本身的设计就是无效的或缺乏必要的控制。

　　注意：

　　上述评价结论只是初步结沦，仍可能随控制测试后实施实质性程序的结果而发生变化。

　　（2）风险评估需考虑的因素（P323）

　　（3）评价决策

　　在对控制进行初步评价及风险评估后，注册会计师需要利用实施上述程序获得的信息，回答以下问题：①控制本身的设计是否合理；②控制是否得到执行；③是否更多地信赖控制并拟实施控制测试。

　　如果拟更多地信赖这些控制，需要确信所信赖的控制在整个拟信赖期间都有效地发挥了作用，即注册会计师应对这些控制在该期间内是否得到一贯运行进行测试。

　　注册会计师也可能认为控制是无效的，包括控制本身设计不合理，不能实现控制目标，或者尽管控制设计合理，但没有得到执行。在这种情况下，注册会计师不需要测试控制运行的有效性，而直接实施实质性程序。但在评估重大错报风险时，需要考虑控制失效对财务报表及其审计的影响。

　　注册会计师应当将认定层次的控制因素和其他因素相结合，评估认定层次的重大错报风险，以确定进一步审计程序的性质、时间和范围。

　　【例题4·单选题】A注册会计师负责对甲公司20×9年度财务报表进行审计，在了解内部控制时，A注册会计师遇到下列事项，请代为做出正确的专业判断。

　　（1）在了解甲公司内部控制时，A注册会计师最应当关注的是（ ）。

　　A.内部控制是否按照管理层的意图，实现了经营效率

　　B.内部控制是否能够防止或发现并纠正错误或舞弊

　　C.内部控制是否明确区分控制要素

　　D.内部控制是否没有因串通而失效

　　【正确答案】B

　　【答案解析】注册会计师应当重点考虑被审计单位某项控制，是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。

　　（2）在了解内部控制时，A注册会计师通常不实施的审计程序是（ ）。

　　A.了解控制活动是否得到执行

　　B.了解内部控制的设计

　　C.记录了解的内部控制

　　D.寻找内部控制运行中的缺陷

　　【正确答案】D

　　【答案解析】选项D属于控制测试中测试控制执行有效性需要考虑的。

　　【例题5·简答题】W公司主要从事小型电子消费品的生产和销售，产品销售以W公司仓库为交货地点。W公司日常交易采用自动化信息系统（以下简称系统）和手工控制相结合的方式进行。系统自20×6年以来没有发生变化。W公司产品主要销售给国内各主要城市的电子消费品经销商。A和B注册会计师负责审计W公司20×7年度财务报表。

　　资料：A和B注册会计师在审计工作底稿中记录了所了解的有关销售与收款循环的控制，部分内容摘录如下：

　　（1）仓库人员在系统中根据经销售部门批准的客户订单生成连续编号的发货单，并在将产品交运输商发运后，将发货单设置为“已执行”状态并提交结算部门。结算部门根据系统中的“已执行”发货单记录、订单及相关客户基础资料，在系统中生成并打印销售发票，系统在月末根据发货单和发票信息自动汇总主营业务收入，并据此过入应收账款和主营业务收入账薄。

　　（2）每月末，系统自动匹配发货单、订单、发票和入账的主营业务收入，并可以生成一个专门报告反映未匹配项目的清单。系统授权可以生成和阅读该报告的人员是W公司销售部经理和总经理。

　　要求：

　　（1）针对资料（1）至（2）项，请逐项指出上述控制与何种交易或账户的何种认定相关。请将答案直接填入相应表格内。

　　（2）针对资料（1）至（2）项，假定不考虑其他条件，请逐项判断上述控制在设计上是否存在缺陷。如果存在缺陷，请分别予以指出，并简要说明理由，提出改进建议。请将答案直接填入相应表格内。

　　【正确答案】（1）

事项序号	交易或账户名称	认　定
（1）	营业收入、应收账款	存在、发生
（2）	营业收入、应收账款	完整性、发生

　　（2）

事项序号	是否存在缺陷（是/否）	缺陷描述	理　由	改进建议
（1）	否
（2）	是	会计部门人员没有生成和阅读专门报告的权限	如果会计部门人员不拥有生成和阅读报告的权限，则无法及时识别可能存在的差异并及时进行账务处理	建议给会计部门人员授权，给予其生成和阅读专门报告的权限