学习目的与要求

本章旨在说明风险评估程序的定义、要求以及注册会计师对重大错报风险的评估、沟通和记录。通过本章学习，要求掌握报表审计中风险评估程序含义，了解可能产生风险的事项和情形，以及注册会计师的风险评估要求，并就风险评估中发现的问题尤其是内部控制的缺陷及重大错报风险与管理层和治理层进行沟通，将风险评估的内容加以记录。

第一节 风险评估概述

任何经济组织在经营活动中都会面临各种各样的风险，风险对其生存和竞争能力产生影响。很多风险并不是经济组织能够控制的，管理层应该根据自身能够承受的风险水平，并识别所面临的各种风险，进而采取一定的应对措施。风险评估过程的作用在于识别、评估和管理影响被审计单位实现经营目标能力的各种风险。

可能产生风险的事项和情形包括：①监管及经营环境的变化。②新员工的加入。③新信息系统的使用或对原系统进行升级。④业务快速扩张。⑤新技术采用。⑥新生产型号、产品和业务活动。⑦企业重组。⑧发展海外经营。⑨新会计准则的采用等。

一、审计风险准则的出台

历史地看，审计方法经历了账项基础审计、制度基础审计和风险导向审计三个阶段。在制度基础审计和风险导向审计阶段，对被审计单位的内部控制进行了解、测试和评价都是审计工作中的重要一环。风险评估作为内部控制的一个要素，是注册会计师重点关注的对象，尤其是在风险导向审计成为当今主流审计方法的情况下，注册会计师将财务报表的重大错报风险的识别、评估和应对作为审计工作的主线，以提高审计的效率和效果。

(一)国际审计风险准则的修订

早在1998年，加拿大、英国、美国的准则制定机构就与学者们组成了联合工作组(Joint Working Group)，了解和研究审计实务的发展情况，并为准则制定机构对审计准则做出必要的修订提供建议。2000年5月，联合工作组发表了“大型会计师事务所的审计方法发展”的研究报告。随后的2000年8月，美国公共监督理事会(Public Oversight Board)发布了关于审计效率的研究报告。上述两份报告的主要研究结论是：审计风险基本模型并没有被废弃，但需要做出适当的调整。

理论界的研究也引起了实务界的重视，国际审计与鉴证准则理事会(IAASB)和美国的审计准则委员会(ASB)都确定了有关项目，应对审计环境的变化，并考虑联合工作组和公共监督理事会的研究建议。考虑到大家都面临相似的问题，具有提高审计质量的共同目的，因此两个准则制定机构的项目小组合并成立了联合风险评估工作组，旨在制定共同的审计风险准则，以实现源头上的国际协调。联合风险评估工作组于2002年10月发布了审计准则征求意见稿，包括《财务报表审计的目标和一般原则》、《审计证据》、《了解被审计单位及其环境并评估重大错报风险》和《针对评估的重大错报风险实施的程序》。2003年10月，国际审计与鉴证准则理事会在日本东京的会议上对征求意见稿进行了最后修订，获得委员会通过，审计风险准则在2004年12月15日之后正式实施。

(二)我国审计风险准则的出台

为了应对经济环境的变化和审计实务的发展，尤其是适应审计准则国际趋同的需要，我国的注册会计师协会采取积极措施加快审计准则建设，并于2006年2月发布了 48个审计准则，以推进审计准则国际趋同。在新发布的审计准则中，有关审计风险的准则包括《中国注册会计师审计准则第1101号——财务报表审计的目标和一般原则》、《中国注册会计师审计准则第1301号——审计证据》、《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》和《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》。2010年11月，财政部发布关于印发《中国注册会计师审计准则第1101号——注册会计师的总体目标和审计工作的基本要求》等38项准则的通知(财会[2010]21号)，自2012年1月1日起施行，同时废止了财会[2006]4号文中的35项准则。新的准则通过修订审计风险模型，要求注册会计师通过了解被审计单位及其环境，包括内部控制，以充分识别和评估财务报表层次和认定层次的重大错报风险，并针对评估的重大错报风险设计和实施控制测试和实质性程序。

从内容上看，新的审计准则发生了较大的变化。例如，要求注册会计师加强对被审计单位及其环境的了解，包括了解内部控制，以识别财务报表层次和各类交易、账户余额和列报认定层次的重大错报风险;要求注册会计师在审计的所有阶段都要实施风险评估程序，不得未经评估直接将风险设为高水平;要求注册会计师将识别和评估的风险与实施的审计程序挂钩，并针对重大的各类交易、账户余额和列报实施实质性程序，同时将识别、评估和应对风险的关键程序形成审计工作记录，以保证执业质量，明确执业责任。

二、风险评估的总体要求

首先，风险评估要求注册会计师应当对被审计单位及其环境进行充分、深人的了解，这也是审计的必要程序，可以为注册会计师对下列关键环节做出职业判断提供重要的基础：

(1)确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当。

(2)考虑会计政策的选择和运用是否恰当，以及财务报表的列报是否恰当。

(3)识别需要特别考虑的领域，包括关联方交易、管理层运用持续经营假设的合理性，或交易是否具有合理的商业目的等。

(4)确定在实施分析程序时所使用的预期值。

(5)设计和实施进一步审计程序，以将审计风险降低至可接受的低水平。

(6)评价所获取审计证据的充分性和适当性。

了解被审计单位及其环境是一个连续、动态的过程，注册会计师需要根据信息量的获取及时地更新认识，并运用适当的职业判断来确定需要了解被审计单位其环境的程度。

其次，风险评估要求注册会计师评价对被审计单位及其环境了解的程度是否恰当。这个过程的关键要看注册会计师对被审计单位及其环境的了解是否足以识别和评估财务报表的重大错报风险。一般来说，如果了解的信息足以识别和评估财务报表的重大错报风险，并为设计和实施进一步审计程序提供依据，那么了解的程度就是恰当的，而不需要注册会计师像被审计单位管理层经营企业那样深入地了解。

第二节 风险评估程序、信息来源以及项目组内部讨论

一、风险评估程序信息来源

(一)风险评估程序

注册会计师了解被审计单位及其环境，目的是为了识别和评估财务报表中的重大错报风险。为了解被审计单位及其环境而实施的程序称为“风险评估程序”。注册会计师实施风险评估程序获取的信息是审计证据的一个组成部分，应当依据实施这些审计程序所获取的信息，评估重大错报风险。

注册会计师应当实施下列风险评估程序，以了解被审计单位及其环境。

1.询问被审计单位管理层和内部其他相关人员

注册会计师可以考虑向管理层和财务负责人询问下列事项：

(1)管理层所关注的主要问题，如新的竞争对手、主要客户和供应商的流失、新的税收法规的实施以及经营目标或战略的变化等。

(2)被审计单位最近的财务状况、经营成果和现金流量。

(3)可能影响财务报告的交易和事项，或者目前发生的重大会计处理问题，如重大的购并事宜等。

(4)被审计单位发生的其他重要变化，如所有权结构、组织结构的变化，以及内部控制的变化等。

除了询问管理层和财务负责人之外，注册会计师还可以询问被审计单位内部其他人员，包括内部审计人员、采购人员、生产人员、销售人员等其他人员，并考虑询问不同级别的员工，以获取对识别重大错报风险有用的信息。需要询问的其他人员，是注册会计师根据判断认为可能拥有某些信息的人员，这些信息有助于识别由于舞弊或错误导致的重大错报风险。例如，询问治理层，以了解财务报表编制的环境；询问内部审计人员，以了解其针对被审计单位内部设计和运行有效性而实施的工作，以及管理层对内部审计发现的问题是否采取适当的措施;询问参与生成、处理或记录复杂或异常交易的员工，以帮助评估被审计单位选择和运用某项会计政策的适当性；询问内部法律顾问，以帮助了解有关法律法规的遵循情况、产品保证和售后服务责任、与业务合作伙伴的安排(如合营企业)、合同条款的含义以及诉讼情况等;询问营销或销售人员，以帮助了解被审计单位的营销策略及其变化、销售趋势以及与客户的合同安排；询问采购人员和生产人员，以帮助了解被审计单位原材料采购和产品生产情况等；询问仓库人员，以帮助了解原材料、产成品等存货的进出、保管和盘点情况等。

2.分析程序

分析程序是指注册会计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系，对财务信息做出评价。分析程序还包括调査是别处的、与其他相关信息不一致或与预期数据严重偏离的波动关系。分析程序既可以用作风险评估程序和实质性程序，也可用于对财务报表的总体复核。

注册会计师实施分析程序，有助于识别异常的交易或事项，以及对财务报表和审计产生影响的金额、比率和趋势。在实施分析程序时，注册会计师应当预期可能存在的合理关系，并与被审计单位记录的金额、依据记录金额计算的比率或趋势相比较;如果发现异常或未预期到的关系，注册会计师应当在识别重大错报风险时考虑这些比较结果。如果使用了高度汇总的数据，实施分析程序的结果仅可能初步显示财务报表存在重大错报风险，注册会计师应当将分析结果连同识别重大错报风险时获取的其他信息一并考虑。

3.观察和检查

观察和检查程序可以印证对管理层和其他相关人员的询问结果，并可提供有关被审计单位及其环境的信息,注册会计师应当实施下列观察和检查程序：

(1)观察被审计单位的生产经营活动。例如，观察被审计单位人员正在从事的生产活动和内部控制活动，增加注册会计师对被审计单位如何进行生产经营活动及实施内部控制的了解。

(2)检查文件、记录和内部控制手册。例如，检査被审计单位的章程，与其他单位签订的合同、协议，各业务流程操作指引和内部控制手册等，了解被审计单位的结构和内部控制的建立健全情况。

(3)阅读由管理层和治理层编制的报告，包括年度和中期财务报告，股东大会、董事会会议、髙级管理层会议的会议记录或纪要，管理层的讨论和分析资料，经营计划和战略，对重要经营环节和外部因素的评价，被审计单位内部管理报告以及其他特殊目的的报告等。

(4)实地査看被审计单位的生产经营场所和设备。

(5)追踪交易在财务报告信息系统中的处理过程。

(二)其他审计程序和信息来源

如果根据职业判断认为从被审计单位外部获取的信息有助于识别重大错报风险，注册会计师应当实施其他审计程序以获取这些信息，如询问被审计单位品评的外部法律顾问、专业评估师等。

注册会计师应当考虑在承接客户或保持过程中获取的信息；如果项目合伙人已为被审计单位执行了其他业务，项目合伙人应当考虑所获取的信息是否与识别重大错报风险相关；如果拟利用以往与被审计单位交往的经验和以前审计中实施审计程序获取的信息，注册会计师应当确定被审计单位及其环境自以前审计后是否已发生变化，进而可能影响这些信息对本期审计的相关性。通常，对新的审计业务，注册会计师应当在业务承接阶段对被审计单位及其环境有一个初步的了解，以确定是否承接该业务。而对于连续审计业务，注册会计师也应在每年的续约过程中对上年审计作总体评价，并更新对被审计单位的了解和风险评估结果，以确定是否续约。注册会计师还应当考虑向被审计单位提供其他服务(如执行中期财务报表审阅业务)所获得的经验是否有助于识别重大错报风险。对于连续审计业务，如果拟利用在以前期间获取的信息，注册会计师应当确定被审计单位及其环境是否已经发生变化，以及该变化是否可能影响以前获取的信息在本期审计中的相关性。

二、项目组内部的讨论

注册会计师应当组织项目组成员对财务报表存在重大错报的可能性进行讨论，并运用职业判断确定讨论的目标、内容、人员、时间和方式。

(一)讨论的目标

项目组内部的讨论为项目组成员提供了交流信息和分享见解的机会。通过讨论，项目组成员可以更好地了解在各自负责的领域中，由于舞弊或错误导致财务报表重大错报的可能性，并了解各自实施审计程序的结果如何影响审计的其他方面，包括对确定进一步审计程序的性质、时间和范围的影响。

(二)讨论的内容

项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域、发生重大错报的可能性和方式，以及如何根据被审计单位的具体情况实施适用的财务报告编制基础。项目合伙人应当确定向未参与讨论的项目组成员通报哪些事项。

(三)参与讨论的人员

注册会计师应当运用职业判断确定项目组内部参与讨论的成员，项目组的关键成员应当参与讨论。如果项目组需要拥有信息技术或其他特殊技能的专家，这些专家也应参与讨论。参与讨论人员的范围受到项目组成员的职责、经验和信息需要的影响，比如，在跨地区审计中，每个重要地区项目组的关键成员都应该参加讨论。

(四)讨论的时间和方式

项目组应当根据审计的具体情况，在整个审计过程中持续交换有关财务报表发生重大错报可能性的信息。项目组在讨论时应当强调在整个审计过程中保持职业怀疑态度，警惕可能发生重大错报的迹象，并对这些迹象进行严格跟踪。通过讨论，项目组成员可以交流和分享在整个审计过程中获得的信息，包括可能对重大错报风险评估产生影响的信息或针对这些风险实施审计程序的信息。项目组还可以根据实际情况，讨论其他重要事项。

第三节 了解被审计单位及其环境

一、总体要求

注册会计师应当实施下列风险评估程序，以了解被审计单位及其环境：

(1)相关行业状况、法律环境和监管环境及其他外部因素，包括适用的财务报告编制基础。

(2)被审计单位的性质，包括经营活动、所有权和治理结构、正在实施和计划实施的投资(包括对特殊目的实体的投资)的类型、组织结构和筹资方式。了解被审计单位的性质，可以使注册会计师了解预期在财务报表中反映的各类交易、账户余额和披露。

(3)被审计单位对会计政策的选择和运用，包括变更会计政策的原因。注册会计师应当根据被审计单位的经营活动，评价会计政策是否适当，并与适用的财务报告编制基础、相关行业使用的会计政策保持一致。

(4)被审计单位的目标、战略以及可能导致重大错报风险的相关经营风险。

(5)被审计单位财务业绩的衡量和评价。

(6)被审计单位的内部控制。

针对上述各项确定风险评估程序的性质、时间和范围，注册会计师应当考虑审计业务的具体情况和相关审计经验，并识别前述各项与以前期间相比发生的重大变化。

二、行业状况、法律环境与监管环境及其他外部因素

行业状况、法律环境与监管环境以及其他外部因素会对被审计单位的经营活动乃至财务报表产生影响，因此注埘会计师应当对这些外部因素进行了解。

(一)行业状况

注册会计师应当了解被审计单位的行业状况，主要包括：

(1)所处行业的市场供求与竞争。

(2)生产经营的季节性和周期性。

(3)产品生产技术的变化。

(4)能源供应与成本。

(5)行业的关键指标和统计数据。

(二)法律环境与监管环境

注册会计师应当了解被审计单位所处的法律环境及监管环境,主要包括：

(1)适用的会计准则、会计制度和行业特定惯例。

(2)对经营活动产生重大影响的法律法规及监管活动。

(3)对开展业务产生重大影响的政府政策，包括货币、财政、税收和贸易等政策。

(4)与被审计单位所处行业和所从事经营活动相关的环保要求。

(三)其他外部因素

注册会计师应当了解影响被审计单位经营的其他外部因素，主要包括：

(1)宏观经济的景气程度。

(2)利率和资金供求状况。

(3)通货膨胀水平及币值变动。

(4)国际经济环境和汇率变动。

注册会计师应当考虑被审计单位所在行业的业务性质或监管程度是否可能导致特定的重大错报风险，考虑项目组是否配备了具有相关知识和经验的成员。

(四)实施风险评估程序

针对被审计单位的行业状况、法律环境与监管环境以及其他外部因素，注册会计师具体运用的风险评估程序可能包括下列方面：

(1)査阅以前年度的审计工作底稿。

(2)询问被审计单位管理层和员工。

(3)查阅内部与外部的信息资料。内部信息资料主要包括中期财务报告(包括管理层的讨论和分析)、管理报告、其他特殊目的的报告，以及股东大会、董事会会议、高级管理层会议的记录或纪要;外部信息资料包括外部顾问、代理机构、证券分析师等编制的关于被审计单位及其所处行业的报告，政府部门或民间行业组织发布的行业报告、宏观经济统计数据、行业统计数据以及贸易和商业杂志等信息资料。

(4)与项目组成员或熟悉被审计单位所处行业的其他人员讨论。

(5)实施分析程序。

三、被审计单位的性质

(一)了解被审计单位的性质

了解被审计单位的性质有助于注册会计师理解预期在财务报表中反映的各类交易、账户余额、列报。注册会计师应当主要从下列方面了解被审计单位的性质：

(1)所有权结构。

(2)治理结构。

(3)组织结构。

(4)经营活动。

(5)投资活动。

(6)筹资活动。

(二)实施风险评估程序

在了解被审计单位的性质时，除了査阅以前年度的审计工作底稿、与项目组成员或其他有经验的人员或行业专家讨论、利用业务惩戒和续约过程中获取的信息，注册会计师运用的风险评估程序还包括下列方面：

(1)询问被审计单位管理层和内部其他相关人员。

(2)査阅文件和报告。

(3)实地查看被审计单位的主要生产经营场所。

(4)实施分析程序。

四、被审计单位对会计政策的选择和运用

注册会计师应当了解被审计单位对会计政策的选择和运用，是否符合适用的会计准则和相关会计制度，是否符合被审计单位的具体情况。

(一)了解的具体内容

在了解被审计单位对会计政策的选择和运用是否适当时，注册会计师应当关注下列事项：

(1)重要项目的会计政策和行业惯例。

(2)重大和异常交易的会计处理方法。

(3)在新领域和缺乏权威性标准或共识的领域，采用重要会计政策产生的影响。

(4)会计政策的变更。

(5)被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度。

注册会计师除了需要考虑与会计政策选择和运用相关的事项，还应对被审计单位的下列与会计政策运用相关的情况予以关注：①是否采用激进的会计政策、方法、估计和判断。②财会人员是否拥有足够的运用会计准则的知识、经验和能力。③是否拥有足够的资源支持会计政策的运用，如人力资源及培训、信息技术的采用、数据和信息的采集等。

注册会计师应当考虑，被审计单位是否按照适用的会计准则和相关的会计制度的规定恰当地进行了列报，并披露了重要事项。列报和披露的主要内容包括：财务报表及其附注的格式、结构安排、内容，财务报表项目使用的术语、披露信息的明细程度，项目在财务报表中的分类以及列报信息的来源等。注册会计师应当考虑被审计单位是否已对特定事项作了适当的列报和披露。

(二)实施风险评估程序

在了解被审计单位对会计政策的选择和运用时，注册会计师实施的风险评估程序包括：査阅以前年度的审计工作底稿，询问被审计单位管理层和员工,査阅被审计单位的财务资料和内部报告(如会计工作手册和操作指引)等。注册会计师还可以结合对被审计单位及其环境等方面的了解，考虑被审计单位选用的会计政策是否符合其具体情况。

值得注意的是，注册会计师应当关注被审计单位本期会计政策的选用与前期相比发生的重大变化，包括对本期新发生的交易或事项选用的会计政策，对前期不重大而本期重大的交易或事项选用的会计政策，重要会计政策的变更以及新会计准则发布实施的影响等。

五、被审计单位的目标、战略以及相关经营风险

注册会计师应当了解被审计单位的目标和战略，以及可能导致财务报表重大错报的相关经营风险。

(一)了解的具体内容

(1)目标、战略与经营风险。

(2)经营风险对重大错报风险的影响。

(3)被审计单位的风险评估过程。

(4)对小型被审计单位的考虑。

(二)实施风险评估程序

注册会计师可以通过与管理层沟通，査阅经营规划和其他文件，获取对被审计单位目标和战略的了解;还可以通过询问不同的管理层成员，进一步了解被审计单位的目标和战略、政策和程序，以及管理层期望和关注的事项。同时，注册会计师还可以利用对被审计单位所处外部环境、行业状况以及被审计单位性质的了解，考虑被审计单位的战略是否可以实现该目标以及它们之间的差距或不一致之处。注册会计师还应当考虑被审计单位的目标和战略是否与其各项内部和外部因素相适应，并评估是否存在经营风险和潜在的财务报表重大错报风险。

六、被审计单位财务业绩的衡量和评价

被审计单位管理层经常会衡量和评价关键业绩指标(包括财务和非财务的)、预算及差异分析、分部信息和分支机构、部门或其他层次的业绩报告以及与竞争对手的业绩比较。此外，外部机构也会衡量和评价被审计单位的财务业绩，如分析师的报告和信用评级机构的报告等。

被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力，促使其采取行动改善财务业绩或歪曲财务报表。注册会计师应当了解被审计单位财务业绩的衡量和评价情况，考虑这种压力是否可能导致管理层采取行动，以至于增加财务报表发生重大错报的风险。

(一)了解的主要方面

在了解被审计单位财务业绩衡量和评价情况时,注册会计师应当关注下列信息：

(1)关键业绩指标。

(2)业绩趋势。

(3)预测、预箅和差异分析。

(4)管理层和员工业绩考核与激励性报酬政策。

(5)分部信息与不同层次部门的业绩报告。

(6)与竞争对手的业绩比较。

(7)外部机构提出的报告。

(二)关注内部财务业绩衡量的结果

注册会计师应当关注被审计单位内部财务业绩衡量所显示的未预期到的结果或趋势、管理层的调査结果和纠正措施，以及相关信息是否显示财务报表可能存在重大错报。

(三)考虑財务业绩衡量指标的可靠性

如果拟利用被审计单位内部信息系统生成的财务业绩衡量指标，注册会计师应当考虑相关信息是否可靠，以及利用这些信息是否足以实现审计目标。

许多财务业绩衡量中使用的信息可能由被审计单位的信息系统生成，如果被审计单位管理层在没有合理基础的情况下，认为内部生成的衡量财务业绩的信息是准确的，而实际上信息有误，那么根据有误的信息得出的结论也可能是错误的。如果注册会计师计划在审计中(如实施分析程序时)利用财务业绩指标，应当考虑相关信息是否可靠，以及在实施审计程序时利用这些信息是否足以发现重大错报。

第四节 了解被审计单位的内部控制

一、内部控制的含义和要素

通过内部控制理论研究和实务拓展的历史，我们可以了解到内部控制从早期的内部牵制这一单一要素阶段,逐步过渡到内部会计控制和内部管理控制的两要素阶段，进而过渡到后来的三要素、五要素甚至八要素。而目前普遍接受和使用的仍然是COSO1992年报告中论述的五要素。我国的相关规范也全面借鉴了这个观点，财政部等五部委2008年发布的《企业内部控制基本规范》中将内部控制定义为“由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程”，其中目标包括合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率效果、促进企业实现发展战略。内部控制包括下列五要素。

(一)控制环境

控制环境一般包括治理结构、机构设置和权责分配、内部审计、人力资源政策、企业文化等。良好的内部控制环境是实施有效内部控制的基础。

(二)风险评估

企业应及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。任何经济组织在经营活动中都会面临各种各样的风险，风险对其生存和竞争能力产生影响。很多风险并不是经济组织能够控制的，管理层应该根据自身能够承受的风险水平，并识别所面临的各种风险，进而采取一定的应对措施。可能产生风险的事项和情形包括：①监管及经营环境的变化。②新员工的加入。③新信息系统的使用或对原系统进行升级。④业务快速扩张。⑤新技术采用。⑥新生产型号、产品和业务活动。⑦企业重组。⑧发展海外经营。⑨新会计准则的采用等。

(三)控制活动

控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制活动有助于确保贯彻管理层的指令得以执行的政策和程序，包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。

(四)信息与沟通

信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。信息与沟通的质量直接影响到管理层对经营活动做出正确决策和编制可靠财务报告的能力。

与财务报告相关的信息包括用以生成、记录、处理和报告交易或者事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。

与财务报告相关的信息通常包括下列职能：①识别与记录所有的有效交易。②及时、详细地描述交易，以便在财务报告中对交易做出恰当分类。③恰当计量交易，以便在财务报告中对交易的金额做出准确记录。④恰当确定交易生成的会计期间。⑤在财务报表中恰当列报交易。

与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责、员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。

公开的沟通渠道有助于确保例外情况得到报告和处理。沟通的方式多种多样，既可以采用政策手册、会计和财务报告手册和备忘录等形式进行,也可以通过电子邮件、口头沟通和管理层的行动来进行。

(五)内部监督

内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。管理层的重要职责之一就是建立和维护控制并保证其持续有效运行，内部监督就是实现这一目标的途径。监督是由适当的人员，在适当、及时的基础上，评估控制的设计和运行情况的过程。例如，管理层对是否定期编制银行存款余额调节表进行复核、内部审计人员评价销售人员是否遵守公司关于销售合同条款的政策、法律部门定期监控公司的道德规范和商务行为准则是否得以遵循等都属于监督控制的内容。

二、了解内部控制

注册会计师应当了解与审计相关的内部控制。需要说明的是，虽然大部分与审计相关的控制可能与财务报告相关，但并非所有与财务报告相关的控制都与审计相关。因此，在确定一项控制单独或连同其他控制是否与审计相关时，需要注册会计师做出职业判断。2002年SOX法案颁布之后，美国监管部门要求公众公司在年报中披露管理层对财务报告内部控制的声明，并要求注册会计师对其进行审计，这与年报审计中对内部控制的了解并不相同;我国自2012年起在主板上市公司中实施内部控制基本规范和配套指引，其要求与审计中对内部控制的关注也不相同。为节约审计资源并提高审计的效率效果,注册会计师可以将年报审计与财务报告内部控制审计整合起来进行。

在年报审计中，注册会计师在了解与审计相关的控制时应综合运用询问被审计单位内部人员和其他程序，以评价这些控制的设计并确定其是否得到执行。

审计人员可以调阅企业有关方针政策和规章制度，了解企业组织结构系统和各级管理人员的业务范围和素质状况；了解会计凭证的填制和传递程序；可以对企业管理层和业务人员进行询问；可以对经济业务的处理程序进行实地观察;还可以参考以前的审计报告和审计档案，从而对企业的内部控制有一定的认识。

对内部控制的了解通常是在了解被审计单位及其环境时展开的。除了对内部控制的设计进行评价外，还需要初步确定其是否得到执行。评价控制在设计时只考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。控制得到执行是指某项控制存在且正在被审计单位使用。设计不当的控制可能表明内部控制存在重大缺陷。注册会计师在确定是否考虑控制得到执行时，应当首先考虑控制的设计；如果控制设计不当，就不需要再考虑控制是否得到执行。在对被审计单位的内部控制进行了解和评价时，注册会计师需要从被审计单位整体层面、业务流程层面两个角度展开。

(一)在整体层面对内部控制了解和评估

1.控制环境的了解

注册会计师应当了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化，控制环境总体上的优势是否为内部控制的其他要素奠定了适当的基础，以及这些其他要素是否未被控制环境中存在的缺陷所削弱。在评价控制环境的各个要素时，注册会计师应当考虑控制环境各个要素是否得到执行。在确定构成控制环境的要素是否得到执行时，注册会计师应当考虑将询问和其他风险评估程序结合起来以获取有关证据。通过询问管理层和员工，注册会计师可能了解管理层如何就业务程序和道德价值观念与员工进行沟通；通过观察和检查，注册会计师可能了解管理层是否建立了正式的行为守则，并在日常工作中严格遵守这些行为手册，以及管理层如何处理违反行为守则的情形。

由于控制环境对审计风险的评估具有广泛影响，因此注册会计师应当考虑被审计单位控制环境的整体情况，并判断控制环境的总体优势是否为内部控制的其他要素提供了适当的基础，而且该基础未被控制环境中存在的缺陷所削弱。显然，如果被审计单位存在令人满意的控制环境，虽不能绝对防止舞弊，但却有助于降低发生舞弊的风险。需要说明的是，控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报，注册会计师还需要将控制环境连同其他内部控制要素(如监督和具体控制活动)产生的影响一并考虑。

2.了解风险评估过程

被审计单位的风险评估过程包括识别与财务报告有关的经营风险，以及针对这些风险采取的措施。任何经济组织在经营活动中都会面临各种各样的风险，如监管或经营环境的变化、新信息系统的使用、新员工加入、新技术的采纳、企业重组或海外经营等。注册会计师应当了解被审计单位的风险评估过程，包括识别与财务报告目标相关的经营风险，估计风险的重要性，评估风险发生的可能性，并决定应对这些风险的措施。

对识别出的经营风险，注册会计师应当询问管理层，并考虑这些风险是否可能导致重大错报风险。此外，还可以检査有关文件，以确定被审计单位的风险评估过程是否也发现了该风险。如果预期被审计单位风险评估过程应当识别出而未识别的风险，注册会计师应当了解风险评估过程未能识别出的原因，并评价风险评估过程是否适合具体情况，或者确定与风险评估过程相关的内部控制是否存在值得关注的内部控制缺陷。如在销售循环中，如果发现了销售的截止性错报的风险，注册会计师应当考虑管理层是否也识别了该错报风险，以及管理层如何应对该风险。

如果被审计单位未建立风险评估过程，或具有非正式的风险评估过程，注册会计师应当与管理层讨论是否识别出与财务报告目标相关的经营风险以及如何应对这些风险。注册会计师应当评价缺少记录的风险评估过程是否适合具体情况，或确定是否表明存在值得关注的内部控制缺陷。

3.对控制活动的了解

注册会计师应当了解与审计相关的控制活动。与审计相关的控制活动，是注册会计师为评估认定层次重大错报风险并设计进一步审计程序应对评估的风险而认为有必要了解的控制活动。审计并不要求了解与财务报表中每类重大交易、账户余额和披露或与其每项认定相关的所有控制活动。

注册会计师应当了解的控制活动包括：与授权有关的控制活动；与业绩评价有关的控制活动；与信息处理有关的内部控制；实物控制(主要包括了解对资产和记录采取适当的安全保护措施、对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对)；职责分离(主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工)。

在了解被审计单位控制活动时，注册会计师应当了解被审计单位如何应对信息技术导致的风险。

4.信息系统与沟通

首先，注册会计师应当从下列方面了解与财务报告相关的信息系统：

(1)在被审计单位经营过程中，对财务报表具有重大影响的各类交易。

(2)在信息技术和人工系统中，交易生成、记录、处理、必要的更正、结账至总长以及在财务报表中报告的程序。

(3)用以生成、记录、处理和报告(包括纠正不正确的信息以及信息如何结转至总账)交易的会计记录、支持性信息和财务报表中的特定账户。企业信息系统通常包括使用标准的会计分录，以记录销售、采购和现金付款等重复发生的交易，或记录管理层定期做出的会计估计，如应收账款可回收金额的变化。信息系统还包括使用非标准的分录，以记录不重复发生的、异常的交易或调整事项，如企业合并、资产减值等。

(4)信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况的信息，如对固定资产和无形资产计提折旧或摊销、对应收账款计提坏账准备等。

(5)用于编制被审计单位财务报表的财务报告过程,包括做出的重大会计估计和披露。编制财务报告的程序应当同时确保适用的会计准则和相关会计制度要求披露的信息得以收集、记录、处理和汇总，并在财务报告中得到充分披露。

(6)与会计分录相关的控制，这些分录包括用以记录非经常性的、异常的交易或调整的非标准会计分录。

在了解与财务报告相关的信息系统时，注册会计师应当特别关注由于管理层凌驾于账户记录控制之上，或规避控制行为而产生的重大错报风险，并考虑被审计单位如何纠正不正确的交易处理。

其次，注册会计师应当了解被审计单位如何沟通与财务报告相关的人员的角色和职责以及与财务报告相关的重大事项。

注册会计师还应当了解管理层与治理层(特别是审计委员会)之间的沟通，以及被审计单位与外部(包括与监管部门)的沟通。

5.内部监督

注册会计师应当了解被审计单位对与财务报告相关的内部控制的监督活动，并了解如何采取纠正措施。

如果被审计单位设有内部审计，注册会计师则需要了解内部审计的职能范围及其在被审计单位组织结构中的地位和作用，并了解内部审计已经实施或准备实施的活动，以确定其是否可能与审计相关。

审计人员对被审计单位整体层面的内部控制进行了解和评估，通常由项目组中对被审计单位情况比较了解且较有经验的成员负责，同时需要项目组其他成员的参与和配合。对于连续审计，注册会计师可以重点关注整体层面内部控制的变化情况，包括由于被审计单位及其环境的变化而导致内部控制发生的变化以及采取的对策。注册会计师还需要特别考虑因舞弊而导致重大错报的可能性及其影响。在方法上，注册会计师可以考虑与询问、观察、检查、执行穿行测试等方式相结合，来获取相关的审计证据，并将对被审计单位整体层面内部控制的各要素的了解要点和实施的风险评估程序及其结果等形成工作记录，并对影响注册会计师对整体层面内部控制有效性进行判断的因素加以详细记录。需要指出的是，被审计单位整体层面的内部控制是否有效将直接影响重要业务流程层面控制的有效性。

(二)在业务层面了解和评价内部控制

根据我国审计准则的规定，注册会计师应当从被审计单位重要业务流程层面了解内部控制，并据此评估认定层次的重大错报风险,进而针对评估的风险设计和实施进一步的审计程序。

在业务流程层面对内部控制的了解和评价程序则包括如下六个步骤：

(1)确定被审计单位的重要业务流程和重要交易类别。

(2)了解重要交易流程,并记录获得的了解。

(3)确定可能发生错报的环节。

(4)识别和了解相关控制。

(5)执行穿行测试，证实对交易流程和相关控制的了解。

(6)进行初步评价和风险评估。

第五节 评估重大错报风险

注册会计师应当识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险。

一、识别和评估重大错报风险的审计程序

在识别和评估重大错报风险时，注册会计师应当实施下列审计程序：

(1)在了解被审计单位及其环境的整个过程中识别风险，并考虑各类交易、账户余额、列报。例如，被审计单位因为相关环境法规的实施需要更新设备，可能面临原有设备闲置或贬值的风险；宏观经济的低迷可能预示应收账款的回收存在问题；竞争者开发的新产品上市，可能导致被审计单位的主要产品在短期内过时，预示将出现存货跌价和长期资产(如固定资产)的减值。

(2)将识别的风险与认定层次可能发生错报的领域相联系。例如，销售困难使产品的市场价格下降，可能导致年末存货成本高于其可变现净值而需要计提存货跌价，准备，这显示存货的计价认定可能产生错报。

(3)考虑识别的风险是否重大。例如，销售困难使产品面临市场价格下降的风险，注册会计师除考虑产品市场价格下降因素外，还应当考虑产品市场价格下降的幅度、该产品在被审计单位产品中的比重等，以确定识别的风险对财务报表的影响是否重大。假如产品市场价格大幅下降，导致产品销售收入不能补偿成本，毛利率为负，那么年末存货跌价问题严重，存货计价认定发生错报的风险重大；假如价格下降的产品在被审计单位销售收入中所占比重很小，被审计单位其他产品销售毛利率很高，尽管该产品的毛利率为负，但可能不会使年末存货发生重大跌价问题。

(4)考虑识别的风险导致财务报表发生重大错报的可能性。注册会计师应当利用实施风险评估程序获取的信息，包括在评价控制涉及和确定是否得到执行时获取的审计证据，作为支持风险评估结果的审计证据。注册会计师应当根据风险评估结果，确定实施进一步审计程序的性质、时间和范围。

二、可能表明被审计单位存在重大错报风险的事项和情况

下列事项和情况可能表明被审计单位存在重大错报风险，注册会计师应当予以关注：

(1)在经济不稳定的国家或地区开展业务。

(2)在高度波动的市场开展业务。

(3)在严厉、复杂的监管环境中开展业务。

(4)持续经营和资产流动性出现问题，包括重要客户流失。

(5)融资能力受到限制。

(6)行业环境发生变化。

(7)供应链发生变化。

(8)开发新产品或提供新服务，或进人新的业务领域。

(9)开辟新的经营场所。

(10)发生重大收购、重组或其他非经常性事项。

(11)拟出售分支机构或业务分部。

(12)复杂的联营或合资。

(13)运用表外融资、特殊目的实体以及其他复杂的融资协议。

(14)重大的关联方交易。

(15)缺乏具备胜任能力的会计人员。

(16)关键人员变动。

(17)内部控制薄弱。

(18)信息技术战略与经营战略不协调。

(19)信息技术环境发生变化。

(20)安装新的与财务报告有关的重大信息技术系统。

(21)经营活动或财务报告受到监管机构的调査。

(22)以往存在重大错报或本期期末出现重大会计调整。

(23)发生重大的非常规交易。

(24)按照管理层特定意图记录的交易。

(25)应用新颁布的会计准则或相关会计师制度。

(26)会计计量过程复杂。

(27)事项或交易在计量时存在重大不确定性。

(28)存在未决诉讼和或有负债。

注册会计师应当充分关注可能表明被审计单位存在重大错报风险的上述事项和情况，并考虑由于上述事项和情况导致的风险是否重大，以及该风险导致财务报表发生重大错报的可能性。

三、两个层次的重大错报风险

在对重大错报风险进行识别和评估后，注册会计师应当确定，识别的重大错报风险是与特定的某类交易、账户余额、列报的认定相关，还是与财务报表整体广泛相关，进而影响多项认定。

某些重大错报风险可能与特定的某类交易、账户余额、列报的认定相关，如被审计单位存在复杂的联营或合资，这一事项表明长期股权投资账户的认定可能存在重大错报风险。某些重大错报风险可能与财务报表整体广泛相关，进而影响多项认定，如在经济不稳定的国家和地区开展业务、资产的流动性出现问题、重要客户流失、融资能力受到限制等，可能导致注册会计师对被审计单位的持续经营能力产生重大疑虑。

四、控制环境对评估财务报表层次重大错报风险的影响

财务报表层次的重大错报风险很可能源于薄弱的控制环境。薄弱的控制环境带来的风险可能对财务报表产生广泛影响，难以限于某类交易、账户余额、列报，注册会计师应当采取总体应对措施。例如，被审计单位治理层、管理层对内部控制的重要性缺乏认识，没有建立必要的制度和程序；或管理层经营理念过于激进，又缺乏实现激进目标的人力资源等，这些缺陷可能对财务报表产生广泛的影响。

五、控制对评估认定层次重大错报风险的影响

在评估重大错报风险时，注册会计师应当将所了解的控制与特定认定相联系。这是由于控制有助于防止或发现并纠正认定层次的重大错报。在评估重大错报发生的可能性时，除了考虑可能的风险外，还要考虑控制对风险的抵消和遏制作用。控制与认定直接或间接相关，关系越间接，控制对防止或发现并纠正认定错报的效果越小。注册会计师可能识别出有助于防止或发现并纠正特定认定发生重大错报的控制，在确定这些控制是否能够实现上述目标时，注册会计师应当将控制活动和其他要素综合考虑。

注册会计师应当考虑对识别的各类交易、账户余额和列报认定层次的重大错报风险，以确定进一步审计程序的性质、时间和范围。

六、考虑财务报表的可审计性

注册会计师在了解被审计单位的内部控制后，可能对被审计单位财务报表的可审计性产生怀疑。如果通过对内部控制的了解发现下列情况，并对财务报表局部或整体的可审计性产生怀疑，注册会计师应当考虑出具保留意见或无法表示意见的审计报告：

(1)被审计单位会计记录的状况和可靠性存在重大问题，不能获取充分、适当的审计证据以发表无保留意见。

(2)对管理层的诚信存在重大疑虑。

必要时，注册会计师应当考虑解除业务约定。

七、需要特别考虑的重大错报风险

注册会计师应当运用职业判断，确定哪些识别的风险是需要特别考虑的重大错报风险。

(一)确定特别风险时需要考虑的事项

在确定哪些风险是特别风险时，注册会计师应当在考虑识别出的控制对相关风险的抵消效果前，根据风险的性质、潜在错报的重要程度(包括该风险是否可能导致多项错报)和发生的可能性，判断风险是否属于特别风险。

在确定风险的性质时，注册会计师应当考虑下列事项：

(1)风险是否属于舞弊风险。

(2)风险是否与近期经济环境、会计处理方法和其他方面的重大变化相关，因而需要特别关注。

(3)交易的复杂程度。

(4)风险是否涉及重大的关联方交易。

(5)财务信息计量的主观程度，特别是对计量结果是否具有高度不确定性。

(6)风险是否涉及异常或超出正常经营过程的重大交易。

如果认为存在特别风险，注册会计师应当了解被审计单位与该风险相关的控制(包括控制活动)。

(二)非常规交易和判断事项导致的特别风险

日常的、不复杂的、经正规处理的交易不太可能产生特别风险。特别风险通常与重大的非常规交易和判断事项有关。

非常规交易是指由于金额或性质异常而不经常发生的交易，如企业购并、债务重组、重大或有事项等。由于非常规交易具有下列特征，与重大非常规交易相关的特别风险可能导致更高的重大错报风险：①管理层更多地介入会计处理。②数据收集和处理涉及更多的人工成分。③复杂的计算或会计处理方法。④非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制。

判断事项通常包括做出的会计估计，如资产减值金额的估计、需要运用复杂估值技术确定的公允价值计量等。由于下列原因，与重大判断事项相关的特别风险可能导致更高的重大错报风险：①对涉及会计估计、收入确认等方面的会计原则存在不同的理解。②所要求的判断可能是主观和复杂的，或需要对未来事项做出假设。

(三)考虑与特别风险相关的控制

了解与特别风险相关的控制，有助于注册会计师制定有效的审计方案。对特别风险，注册会计师应当评价相关控制的设计情况，并确定其是否已经得到执行。由于与重大非常规交易或判断事项相关的风险很少受到日常控制的约束，注册会计师应当了解被审计单位是否针对该特别风险设计和实施了控制。

如果管理层未能实施控制以恰当应对特别风险，注册会计师应当认为内部控制存在重大缺陷，并考虑其对风险评估的影响，并就此类事项与治理层沟通。

八、仅通过实质性程序无法应对的重大错报风险

作为风险评估的一部分，如果认为仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平，注册会计师应当评价被审计单位针对这些风险设计的控制，并确定其执行情况。

在被审计单位对日常交易采用高度自动化处理的情况下，审计证据可能仅以电子形式存在，其充分性和适当性通常取决于自动化信息系统相关控制的有效性，注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。如果认为仅通过实施实质性程序不能获取充分、适当的审计证据，注册会计师应当考虑依赖的相关控制的有效性，并对其进行了解、评估和测试。

九、对风险评估的修正

注册会计师对认定层次重大错报风险的评估应以获取的审计证据为基础，并可能随着不断获取审计证据而作出相应的变化。

如果通过实施进一步审计程序获取的审计证据与初始的评估获取的审计证据相矛盾时，注册会计师应当修正风险评估结果,并相应修改原审计计划实施的进一步审计程序。

第六节 与治理层和管理层沟通并记录审计工作

一、就内部控制重大缺陷与治理层和管理层沟通

被审计单位管理层有责任在治理层的监督下，建立、执行和维护有效的内部控制，以合理保证企业各项目标的实现。注册会计师在了解和测试内部控制的过程中，可能会注意到内部控制存在重大缺陷，注册会计师应当将其告知适当层次的管理层或治理层，这将有助于管理层和治理层履行其在内部控制方面的职责。因此，注册会计师应当及时将注意到的内部控制设计或执行方面的重大缺陷，告知适当层次的管理层或治理层。

根据我国财政部发布的《内部控制审计指引实施意见》，内部控制存在的缺陷按其严重程度分为重大缺陷、重要缺陷和一般缺陷。重大缺陷是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。尽管国内外监管部门对内部控制缺陷的定义并不完全一致，但基本都采取了列举方式说明内部控制可能存在重大缺陷的迹象，如注册会计师发现董事(监事)和髙管人员舞弊、被审计单位重述以前发布的财务报表，以更正由于舞弊或错误导致的重大错报、注册会计师发现当期财务报表存在重大错报，而被审计单位内部控制在运行过程中未能发现该错报，以及审计委员会和内部审计机构对内部控制的监督无效等。

在了解和测试内部控制的过程中可能发现偏差，偏差是否构成重大缺陷，取决于偏差的性质、频率和后果，注册会计师需要做出职业判断。

二、就重大错报风险的控制与治理层沟通

如果识别出被审计单位未加控制或控制不当的重大错报风险，或认为被审计单位的风险评估过程存在重大缺陷，注册会计师应当就此类内部控制缺陷与治理层沟通。

目前，包括美国、日本、中国在内的诸多经济体中，监管部门均要求上市公司管理层建立健全并维护有效的内部控制，并要求审计师出具相应的审计报告。因此,读者应了解公司所处的外部环境和监管要求，并适当关注相应的审计准则或法律法规的要求。以中国为例，在新的审计准则《向治理层和管理层通报内部控制缺陷》中，要求注册会计师根据已经执行的审计工作，确定是否识别出内部控制缺陷，如果存在缺陷，则需要注册会计师确定该缺陷单独或连同其他缺陷是否构成值得关注的内部控制缺陷，并以书面形式及时向治理层通报识别出的值得关注的内部控制缺陷。

三、审计工作记录

(一)记录的内容

注册会计师应当就下列内容形成工作记录：

(1)项目组对由于舞弊或错误导致财务报表发生重大错报的可能性进行的讨论，以及得出的重要结论。

(2)注册会计师对被审计单位及其环境各个方面的了解要点(包括对内部控制各项要素的了解要点)、信息来源以及实施的风险评估程序。

(3)注册会计师在财务报表层次和认定层次识别、评估出的重大错报风险。

(4)注册会计师识别出的特别风险和仅通过实质性程序无法应对的重大错报风险，以及对相关控制的评估。

(二)记录的方式

注册会计师需要运用职业判断，确定对上述事项记录的方式，常见的记录方式包括文字叙述、问卷、核对表和流程图等。

记录的方式和范围受被审计单位性质、规模、复杂程度、内部控制、被审计单位信息的可获得性以及审计过程中使用的具体审计方法和技术的影响。例如，被审计单位通过复杂的信息系统，生成、记录、处理和报告大量交易，注册会计师在了解该信息系统后，可能采用的记录方式包括流程图、问卷或决策表。对于很少使用或不使用信息技术的信息系统，或者只处理少量交易(如长期借款)的信息系统，注册会计师仅以备忘录的形式对其进行记录就已足够。通常被审计单位经营活动越复杂，注册会计师实施审计程序的范围越广，审计工作记录也就越复杂。