审计风险评估程序六个方面

风险评估实施步骤一风评准备1. 确定风险评估的目标2.确定风险评估的范围3.组建适当的评估管理与实施团队4.进行系统调研，采取问卷调查、现场询问等方式，至少包含下列内容：•业务战略及管理制度•要紧的业务功能与要求•网络结构与网络环境，包含内部链接好外部链接•系统边界•要紧的硬件、软件•数据与信息•系统与数据的敏感性•支持与使用系统的人员5.制定方案，为之后的风评实施提供一个总体计划，至少包含：•确定实施评估团队成员•工作计划及时间进度安排6.获得最高管理者对风险评估工作的支持二资产识别资产的价值是按照资产在保密性、完整性与可用性上达到的程度或者者其未达到时造成的影响程度来决定1.资产分类根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类2.资产的赋值（五个等级：可忽略、低、中等、高、极高）•保密性赋值：根据资产在保密性上的不一致要求，对应资产在保密性上应达成的不一致程度或者者密保性缺失时对整个组织的影响，划分为五个不一致的等级•完整性赋值：根据资产在完整性上的不一致要求，对应资产在完整性上缺失时对整个组织的影响，划分为五个不一致的等级•可用性赋值：根据资产在可用性上的不一致要求，对应资产在可用性上应达成的不一致程度，划分为五个不一致的等级•3.资产重要性等级（五个等级：很低、低、中、高、很高）资产价值应根据资产在机密性、完整性与可用性上的赋值等级，通过综合评定得出。

综合评定方法，能够根据组织自身的特点，选择对资产机密性、完整性与可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果，也能够根据资产机密性、完整性与可用性的不一致重要程度对其赋值进行加权计算而得到资产的最终赋值。

加权方法可根据组织的业务特点确定。

三威胁识别威胁是一种对组织及其资产构成潜在破坏的可能性因素，是客观存在的。

1.威胁的分类根据威胁的来源，威胁可分为软硬件故障、物理环境威胁、无作为或者操作失误、管理不到位、恶意代码与病毒、越权或者滥用、黑客攻击技术、物理攻击、泄密、篡改、抵赖2.威胁的赋值（五个等级：很低、低、中、高、很高）推断威胁出现的频率是威胁识别的重要工作，评估者应根据经验与（或者）有关的统计数据来进行推断。

第二部分审计——专题二风险评估与应对一、风险评估（一）风险评估程序1.风险评估程序的具体内容注册会计师应当实施下列风险评估程序，以了解被审计单位及其环境：（1）询问管理层和被审计单位内部其他相关人员；（2）分析程序；（3）观察和检查。

2.项目组内部讨论项目组内部的讨论为项目组成员提供了交流信息和分享见解的机会。

项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式，特别是由于舞弊导致重大错报的可能性。

项目组的关键成员应当参与讨论。

（二）了解被审计单位及其环境（不包括内部控制的五个方面）注意：被审计单位经营风险的分析（三）了解被审计单位的内部控制注册会计师通过询问、观察、检查和穿行测试了解被审计单位的内部控制，以评价内部控制的设计是否合理以及是否得到执行。

在进一步审计程序中，针对设计合理且得到执行的控制，实施控制测试程序，目的是要确定内控的有效性。

注意：第一，如果控制设计不当，不需要再考虑控制是否得到执行，但仍应执行穿行测试；第二，询问本身并不足以评价控制的设计以及确定其是否得到执行，注册会计师应当将询问与其他风险评估程序结合使用；第三，除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解并不能够代替对控制运行有效性的测试。

（四）评估重大错报风险1.评估重大错报风险的审计程序2.需要特别考虑的重大错报风险注意：通常与特别风险相关的重大非常规交易和判断事项3.仅通过实质性程序无法应对的重大错报风险二、风险应对（一）针对财务报表层次重大错报风险的总体应对措施1.总体应对措施注册会计师应当针对评估的财务报表层次重大错报风险确定下列总体应对措施：（1）向项目组强调保持职业怀疑的必要性；（2）指派更有经验或具有特殊技能的审计人员，或利用专家的工作；（3）提供更多的督导；（4）在选择拟实施的进一步审计程序时融入更多的不可预见的因素；（5）对拟实施审计程序的性质、时间安排或范围作出总体修改。

项目六风险评估与风险应对一,风险评估（一）风险评估地概念与作用风险识别与评估,是指注册会计师通过实施风险评估程序,识别与评估财务报表层次与认定层次地重大错报风险。

审计风险准则规定注册会计师应当了解被审计单位与其环境,以足够识别与评估财务报表重大错报风险,设计与实施进一步审计程序。

了解被审计单位与其环境是必要程序。

（二）风险评估程序注册会计师了解被审计单位与其环境,目地是为了识别与评估财务报表重大错报风险。

为了解被审计单位与其环境而实施地程序称为"风险评估程序"。

注册会计师应当依据实施这些程序所获取地信息,评估重大错报风险。

1.风险评估程序注册会计师应当实施下列风险评估程序,以了解被审计单位与其环境:（1）询问被审计单位管理层与内部其它有关员;（2）分析程序;（3）观察与检查。

o2.其它审计程序o例如,询问被审计单位聘请地外部法律顾问,专业评估师,投资顾问与财务顾问等。

o3.项目组内部地讨论（三）了解被审计单位与其环境注册会计师应当从下列方面了解被审计单位与其环境:（1）行业状况,法律环境与监管环境以与其它外部因素;（2）被审计单位地性质;（3）被审计单位对会计政策地选择与运用;（4）被审计单位地目地,战略以与有关经营风险;（5）被审计单位财务业绩地衡量与评价;（6）被审计单位地内部控制。

（四）了解被审计单位内部控制o内部控制是被审计单位为了合理保证财务报告地可靠性,经营地效率与效果以与对法律法规地遵守（目地）,由治理层,管理层与其它员设计与执行地政策与程序。

可以从以下几方面理解内部控制:o1．内部控制地目地是合理保证:（1）财务报告地可靠性,这一目地与管理层履行财务报告编制责任密切有关;（2）经营地效率与效果,即经济有效地使用企业资源,以最优方式实现企业地目地;（3）在所有经营活动遵守法律法规地要求,即在法律法规地框架下从事经营活动。

o2．设计与实施内部控制地责任主体是治理层,管理层与其它员,组织地每一个都对内部控制负有责任。

审计风险评估程序六个方面
审计风险评估程序的六个方面包括：
1. 确定审计目标和范围：确定审计的目标，明确需要评估的风险范围，包括审计对象、审计时间段和审计范围等。

2. 收集相关信息：收集与审计对象相关的内外部信息，包括财务报表、业务文档、历史审计报告、行业分析等，以了解审计对象的背景和风险情况。

3. 识别潜在风险：通过分析收集到的信息，识别可能存在的风险，包括财务风险、合规风险、操作风险等。

同时，需要对风险进行分类和评估，确定其重要性和概率。

4. 评估风险影响：对识别到的潜在风险进行评估，分析其可能对审计目标的影响程度和潜在损失，包括经济影响、声誉影响等。

5. 制定应对策略：根据评估结果，制定相应的风险应对策略，包括风险控制措施、监测和报告机制等，以减轻潜在风险对审计目标的影响。

6. 监测和追踪风险：建立监测和追踪机制，对风险应对策略的执行情况进行监测，并及时调整和更新风险评估和应对策略，以保证审计目标的实现。

第七章 风险评估
PART1 考点框架速览
PART2 风险评估程序
风险评估程序
询问 分析程序 观察
检查 穿行测试
项目组内部讨论
实施
评估
风险评估程序
了解被审计单位及其环境
行业状况、法律环境和监管环境及其他外部因素
内部控制 重大错报风险
性质
会计政策的选择和运用 目标、战略和经营风
财务业绩的衡量与评价
PART3 了解被审计单位及其环境（三层六点）
行业状况、法律环境和监管环境及其他外部因素
性质 目标、战略 和经营风险
内部控制
会计政策的 选择和运用
财务业绩的 衡量与评价
外部环境
经营环境
财务环境
3
PART4 了解被审计单位内部控制
1.了解什么？
（1）内部控制是由治理层、
管理层和其他人员设计与执行的政策及程序，用以合理保证财务报告[目标①]的可靠性、经营[目标②]的效率和效果以及对法律法规[目标③]的遵守。

（2）内部控制五要素
了解什么
相关要求
怎么了解（方法）
内部控制五要素
对控制的监督
风险评估过程
控制活动 与财务报表相关的信息系统和沟通
控制环境
2.相关要求
3.怎么了解？
（1）询问、观察、检查、穿行测试。

【小斯批注】
需要了解和评价
与审计相关的内部控制（并非所有）
与目标相关但与审计无关的控制
注册会计师应当
在所有审计项目中了解内部控制
无需考虑
（2）从整体层面和业务流程层面了解内部控制
PART5 评估重大错报风险
评估重大错报风险
财务报表层次和认定层次特别风险。

风险评估实施步骤一风评准备1. 确定风险评估的目标2.确定风险评估的范围3.组建适当的评估管理与实施团队4.进行系统调研，采取问卷调查、现场询问等方式，至少包括以下内容：•业务战略及管理制度•主要的业务功能和要求•网络结构与网络环境，包括内部链接好外部链接•系统边界•主要的硬件、软件•数据和信息•系统和数据的敏感性•支持和使用系统的人员5.制定方案，为之后的风评实施提供一个总体计划，至少包括：•确定实施评估团队成员•工作计划及时间进度安排6.获得最高管理者对风险评估工作的支持二资产识别资产的价值是按照资产在保密性、完整性和可用性上达到的程度或者其未达到时造成的影响程度来决定1.资产分类根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类2.资产的赋值（五个等级：可忽略、低、中等、高、极高）•保密性赋值：根据资产在保密性上的不同要求，对应资产在保密性上应达成的不同程度或者密保性缺失时对整个组织的影响，划分为五个不同的等级•完整性赋值：根据资产在完整性上的不同要求，对应资产在完整性上缺失时对整个组织的影响，划分为五个不同的等级•可用性赋值：根据资产在可用性上的不同要求，对应资产在可用性上应达成的不同程度，划分为五个不同的等级3.资产重要性等级（五个等级：很低、低、中、高、很高）资产价值应依据资产在机密性、完整性和可用性上的赋值等级，经过综合评定得出。

综合评定方法，可以根据组织自身的特点，选择对资产机密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果，也可以根据资产机密性、完整性和可用性的不同重要程度对其赋值进行加权计算而得到资产的最终赋值。

加权方法可根据组织的业务特点确定。

三威胁识别威胁是一种对组织及其资产构成潜在破坏的可能性因素，是客观存在的。

1.威胁的分类根据威胁的来源，威胁可分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改、抵赖2.威胁的赋值（五个等级：很低、低、中、高、很高）判断威胁出现的频率是威胁识别的重要工作，评估者应根据经验和（或）有关的统计数据来进行判断。

审计风险评估主要内容审计风险评估是审计过程中的一个重要组成部分，它是审计师对审计工作的一种风险评估，也是审计工作的基础。

它是审计师在审计实践中了解特定业务和评估其可能收到的影响，并且要求审计师应使用适当的审计技术、审计程序以及审核时间表，从而确定该审计工作的风险水平。

因此，审计风险评估是审计中最重要的审计程序，它是审计工作效率和完成质量的重要保障。

审计风险评估的主要内容主要是：一、审计范围的识别。

审计师要根据审计师的审计任务确定审计范围，以便审计师可以在限定的时间和费用内完成该审计任务，也就是说，审计师要根据审计的原因和对象，界定审计的范围。

二、审计风险的识别。

审计风险是审计工作中产生的不利结果，它可能使审计实践中出现偏差，从而影响审计服务的质量。

审计师要了解审计任务存在的一些因素，并进行风险分析，以确定实施审计工作可能引起的风险。

三、审计计划的制定。

审计计划确定了审计实践的内容和时间，从而将审计活动有条不紊地进行，以达到安全、高效的审计目的。

审计师要根据审计范围的大小，制定适当的审计计划，并制定审计中使用的审计技术、审计程序以及审计时间表，以便在审计过程中有效地实施每一步。

四、审计报告的编制。

审计报告是审计工作的最后产物，它是审计师对审计过程和结果的综合性报告。

审计师要结合审计活动的结果，编制审计报告，用于给审计主管提供重要的审计决策和决策依据。

审计风险评估是审计工作的基础，它是审计师在审计实践中的一种风险管理活动，是审计工作的前提，它的主要内容包括审计范围的识别、审计风险的识别、审计计划的制定以及审计报告的编制。

审计风险评估是审计工作效率和完成质量的重要保障，因此，审计师要针对审计任务和审计范围，正确、准确、完整地进行审计风险评估，以确保审计工作的顺利进行与安全完成。

审计风险评估是审计实践中重要的审计程序，审计师要确立完善的审计程序，以便有效地进行审计工作，同时也要加强审计管理，以防止审计工作过程中出现的问题，有效地降低审计工作的风险，为被审计单位实现审计目标提供保障，使审计工作高效、安全地完成。

第七章第一部分风险评估01.风险评估程序概述（一）风险评估的总体要求：风险评估具体理解根据《指南》，注册会计师应当了解被审计单位及其环境，以足够识别和评估财务报表重大错报风险，设计和实施进一步审计程序。

不得未经过风险评估，直接将风险设定为高水平。

这是风险评估的总体要求。

（二）风险评估具体理解：风险评估的总体要求可以从以下三个方面进行理解：了解被审计单位及其环境是必要程序；了解的目的是识别和评估财务报表重大错报风险，设计和实施进一步审计程序；了解的程度应当足够实现了解的目的（三）风险识别和评估的概述：风险识别和评估，是指注册会计师通过实施风险评估程序，识别和评估财务报表层次和认定层次的重大错报风险。

其中，风险识别是指找出财务报表层次和认定层次的重大错报风险；风险评估是指对重大错报发生的可能性和后果严重程度进行评估风险评估程序（五）风险评估的作用：1.确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；2.考虑会计政策的选择和运用是否恰当，以及财务报表的列报是否适当;3.识别需要特别考虑的领域，包括关联方交易、管理层运用持续经营假设的合理性，或交易是否具有合理的商业目的等4.确定在实施分析程序时所使用的预期值；5.设计和实施进一步审计程序，以将审计风险降至可接受的低水平；6.评价所获取审计证据的充分性和适当性.（六）风险评估的目的：注册会计师了解被审计单位及其环境，目的是为了识别和评估财务报表的重大错报风险。

为了解被审计单位及其环境而实施的程序称为“风险评估程序”（七）风险评估程序：A询问被审计单位管理层和内部其他相关人员；B分析程序C观察和检查A询问：询问管理层：①管理层所关注的主要问题。

②被审计单位的财务状况和最近的经营成果、现金流量。

③可能影响财务报告的交易和事项，或者目前发生的重大会计处理问题。

④被审计单位发生的其他重要变化。

如所有权结构、组织结构的变化等。

询问治理层：有助于注册会计师理解财务报表编制的环境询问内部审计人员：了解本年度针对被审计单位内部控制设计和运行有效性而实施的内部审计程序，以及管理层是否根据实施这些程序的结果采取了适当的应对措施。

风险评估程序及审计计划指引一、风险评估程序的内容二、风险评估程序实施指引（一）了解被审计单位及其环境（不含内部控制）并评估重大错报风险记录（二）了解和评价被审计单位内部控制三、总体审计策略与具体审计计划实施指引（含重要性水平确定）风险评估程序的内容注册会计师应当实施以下风险评估程序，以了解被审计单位及其环境，进而识别异常的交易或事项，据此初步获取识别重大错报风险的信息，明确被审计单位的审计风险领域，针对性地设计进一步审计程序：1、询问被审计单位管理层和对财务报告负有责任的人员。

根据具体情况，考虑是否询问内部审计人员、采购人员、生产人员、销售人员等，以获取对识别重大错报风险有用的信息。

同时，对于舞弊事项、持续经营、相关法律法规、被审计单位关联方、或有事项、期初余额等相关事项，注册会计师可以通过询问被审计单位管理层，更直接地获取初步信息。

2、实施分析程序。

分析程序是了解企业整体变化和趋势的重要手段。

通过分析程序，发现被审计单位可能存在的异常交易或事项，或者对财务报表和审计产生影响的金额、比率和趋势。

常见的分析程序包括：（1）对财务报表进行结构分析、比率分析；（2）经营结果与预算比较；(3)多年报表对比分析（趋势分析）。

3、观察和检查程序。

常见的观察和检查程序包括：（1）观察被审计单位的生产经营活动；（2）检查文件、记录和内部控制手册；（3）阅读由管理层和治理层编制的报告；（4）实地察看被审计单位的生产经营场所和设备；（5）追踪交易在财务报告信息系统中的处理过程（穿行测试）。

通过观察和检查，可以印证对管理层和其他相关人员的询问结果，并且可以提供被审计单位业务、经营环境、内部控制等有关信息。

风险评估程序实施指引一、了解被审计单位及其环境（不含内部控制）并评估重大错报风险记录注册会计师通过实施风险评估程序，记录对被审计单位重大错报风险的初步评估结果。

在此基础上，注册会计师应当根据评估结果，决定更深入的风险评估程序，即了解被审计单位及其环境、了解内部控制。

审计程序与风险评估随着全球经济的发展和企业规模的扩大，审计程序和风险评估在保障企业经营的合法性和规范性方面扮演着至关重要的角色。

审计程序是指审计师在进行审计工作时所采取的一系列步骤和方法，而风险评估则是评估企业面临的各种风险和可能的影响程度。

本文将探讨审计程序与风险评估的关系以及它们在企业管理中的重要性。

首先，审计程序是确保企业财务报告真实可靠的重要手段。

审计程序的目的是通过对企业的财务状况、经营成果和现金流量等方面的审查，评估企业财务报告的准确性和合规性。

审计程序通常包括了解企业的内部控制制度、获取相关的财务信息和文件、进行核实和分析、进行实地检查等步骤。

通过这些程序，审计师能够发现财务报告中的错误、遗漏和欺诈行为，从而保护投资者和利益相关者的权益。

其次，风险评估是帮助企业识别和管理风险的重要工具。

企业面临各种各样的风险，包括市场风险、信用风险、操作风险等。

风险评估的目的是通过对企业内外部环境的分析，识别潜在的风险因素，并评估其对企业经营的影响程度。

风险评估通常包括了解企业的经营环境、评估内部控制的有效性、分析潜在的风险因素和制定相应的风险管理策略等步骤。

通过这些评估，企业能够及时发现和应对风险，降低经营风险对企业的不利影响。

审计程序和风险评估之间存在密切的联系。

审计程序通常是在对企业的风险评估的基础上进行的。

审计师需要了解企业的经营环境和内部控制制度，评估其对财务报告的影响。

同时，审计程序也可以帮助企业进行风险评估。

通过审计程序，审计师可以发现企业内部控制的不足和潜在的风险因素，为企业提供改进和管理风险的建议。

审计程序和风险评估在企业管理中的重要性不可忽视。

审计程序可以帮助企业确保财务报告的准确性和合规性，增强投资者和利益相关者的信任，提高企业的声誉和竞争力。

风险评估可以帮助企业识别和管理风险，降低经营风险对企业的不利影响，提高企业的盈利能力和可持续发展能力。

因此，企业应当重视审计程序和风险评估，建立健全的内部控制制度，加强对财务报告和风险管理的监督和管理。

风险评估程序风险评估程序包括以下几点：询问管理层和被审计单位内部其他人员；实施分析程序；观察和检査程序可以支持对管理层和其他相关人员的询问结果，并可以提供有关被审计单位及其环境的信息。

风险评估程序是指注册会计师为了解被审计单位及其环境，以识别和评估财务报表层次和认定层次的重大错报风险(无论错报由于舞弊或错误导致)而实施的审计程序。

注册会计师应当考虑计划实施的风险评估程序的性质、时间和范围。

目的是为了识别和评估财务报表的重大错报风险1、查问管理层和被审计工作单位内部其他人员询问管理层和被审计单位内部其他人员是注册会计师了解被审计单位及其环境的一个重要信息来源。

2、实行分析程序分析程序是指注册会计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系，对财务信息作出评价。

分析程序还包括调查识别出的、与其他相关信息不一致或与预期数据严重偏离的波动和关系。

分析程序既可以用做风险评估程序和实质性程序，也可以用作对财务报表的总体核查。

本准则主要表明在介绍被审计工作单位及其环境并评估关键性错报风险时采用的分析程序，即将分析程序用做风险评估程序。

3、观察和检查。

观察和检査程序可以支持对管理层和其他相关人员的询问结果，并可以提供有关被审计单位及其环境的信息。

在实行分析程序时，登记注册会计师应预期可能将存有的合理关系，并与被审计工作单位记录的金额、依据记录金额排序的比率或趋势相比较；如果发现异常或未预期至的关系，登记注册会计师应在辨识关键性错报风险时考量这些比较结果。

如果使用了高度汇总的数据，实施分析程序的结果仅可能初步显示财务报表存在重大错报风险，注册会计师应当将分析结果连同识别重大错报风险时获取的其他信息一并考虑。

比如，被审计工作单位存有很多产品系列，各个产品系列的毛利率存有一定差异。

对总体毛利率实行分析程序的结果仅可能将初步表明销售成本存有关键性错报风险。

注册会计师需要实施更为详细的分析程序。

例如，对每一产品系列进行毛利率分析，或者将总体毛利率分析的结果连同其他信息一并考虑。