一、风险评估

1、风险评估的作用

（1）确定重要程度，并与审计一起进行，同时在进行审计时，判断重要性是否适当。

（2）确定执行分析程序时所用到的预期值。

（3）设计并执行进一步的审计程序，使审计风险降低到较低的可接受水平。

（4）考虑选择和采用会计政策是否适当。

（5）确定需要特别考虑的领域，例如关联公司、持续经营假设等。

（6）评价所取得证据是否充分、适当。

2、风险评估程序及资料来源+其他审核程序及资料来源。

（1）风险评估程序

①询问:管理层和内部人员；②分析程序(不适合理解内控和控制测试)；③观察；④检查。

注意：询问外部顾问、专业人员就成为了其他审计程序，而非风险评估程序。

（2）其他审计程序和资料来源。

①其他审计程序：从被审计单位外部获取，如询问外部法律顾问等；②其他信息来源：如给被审计单位提供其他服务时获取的经验。

3、项目组内部讨论

讨论目的:了解各责任领域因欺诈或错误导致重大错报的可能性；了解各自审计程序的结果如何影响审计的其他方面，包括对后续程序的影响。

讨论内容：被审计单位面临的经营风险；容易发生错报的领域及发生错报的方式；由于舞弊导致重大错报的可能性。

参与人员：关键成员参与，拥有特殊技能的专家也可根据需要参与讨论。

在审计期间不断地交换关于收益报告出现重大错误的可能性的信息，这是一项必须完成的职业要求。

4、对被审计单位及其环境有所了解

（1）行业状况、法律环境和监管环境及其他外部因素；

（2）被审计单位的性质：所有权结构、治理结构、组织结构、经营活动、投资活动、筹资活动、财务报告；

（3）被审计单位对会计政策的选择和运用；

（4）被审计单位的目标、战略以及相关经营风险；

（5）被审计单位的财务业绩的衡量和评价；

（6）内部控制。

二、了解内部控制

1、内控含义：被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。

2、内部控制的三目标：财务报告—可靠性；经营的效率和效果—有效性；遵守法律法规的要求—合规性。

3、内部控制要素

①控制环境；②风险评估；③控制活动——认定层（重点）；④信息系统与沟通；⑤对控制的监督。

4、了解内控的范围

只是了解内控三目标中与财报审计相关的内控，并非全部内控，与审计无关的控制无需考虑。

5、了解内部控制的深度

（1）了解内部控制的方法：

①询问；②观察与检查；③穿行测试。

（2）了解内控≠控制测试

①了解内控只强调设计合理否，若合理，是否执行了；②控制测试强调运行的有效性。

注意：除非存在某些可以使控制得到一贯执行的自动化控制，否则CPA对控制的了解并不足以测试控制运行的有效性。

6、内控的人工和自动化成分

（1）人工控制的特别风险

①更容易被规避、忽视、凌驾；②不具有一贯性；③更容易产生简单的错误或失误。

（2）人工优势（适合人工控制）

①大额、异常、偶发交易；②难以界定、预测的错误；③针对变化需要人工干预时；④监督自动化控制有效性。

（3）不适合人工

①大量重复交易；②可预计错误并能通过自动化控制防止、发现并纠正。

7、内控的局限性

（1）在决策时人为判断可能出现错误和因人为失误而导致内部控制失效；

（2）控制可能由于两个或更多的人员串通或管理层不当地凌驾于内控之上而被规避；

（3）内部行驶控制职能的人员素质不适应岗位要求影响内控功能的正常发挥；

（4）被审计单位实施内部控制的成本效益问题也会影响其效能；

（5）内控一般针对经常和重复出现的，如果出现不经常发生或未预计到的业务，原有控制就可能不适用。

8、整体层面和业务层面了解内控

（1）整体层面了解内控

①从整体层面了解内部控制的重点:舞弊；持续审计；关注整体层面内部控制的变化；②对内部控制整体水平了解的人员:对被审计单位了解较深、经验较丰富的成员负责；③内部控制与总体层面控制环境的关系:报告层面的重大错报风险很可能来自控制环境的薄弱。

（2）业务层面了解内控：程序如下：

①确定重要交易流程及类别；②了解重要流程；③确定可能错报的环节；④识别和了解相关内控；⑤穿行测试，已证实对交易流程和相关内控的了解；⑥初步评价和风险评估

9、了解内控并评估结果：

（1）设计合理，并得到执行（需控制测试）；

（2）设计合理，但没得到执行（无需控制测试）；

（3）设计本身不合理（无需控制测试）。

三、评估重大错报风险

1、评估财务报表层次和认定层次的重大错报风险

（1）评估两个层次的的重大错报风险；

（2）控制环境对评估财务报表层次重大错报风险的影响；

（3）控制对评估认定层次重大错报风险的影响；

（4）考虑财务报表的可审性。

2、需要特别考虑的重大错报风险

（1）舞弊；

（2）经济环境、会计处理方法等重大变化；

（3）交易复杂；

（4）重大关联方交易；

（5）会计计量主管程度；

（6）超过正常经营过程的重大交易。

3、仅通过实质性程序无法应对的重大错报风险：更多的依赖控制测试程序。

如认为不能仅通过实质性程序获得充分、适当的审计证据，CPA应考虑依赖相关控制措施的有效性，并了解、评估和测试这些控制措施。

4、对风险评估的修正

若实施进一步审计程序所获得的审计证据与初步评估所获得的审计证据不一致，则应对风险评估结果进行修正，对原计划实施的进一步审计程序进行相应的修改。

评价重大错报风险并不是审计工作中一个孤立的阶段，而是一个持续的、不断修正的过程，它贯穿于审计工作的始终。

想要了解更多关于昆山审计，欢迎关注我们隆奔财税。