风险评估程序运用

风险评估程序的运用

新的审计准则强调“风险导向”的审计理念。所以07年考试的综合题就考了一个20分的综合题。从07年开始，考试的出题方式发生了一些变化形成了三分天下的局面：审计的基础理论、方法（6-12章）占30%的分值、风险导向的审计理论（9-11章）占30%的分值，审计实务（13-17章）占30%的分值。其他的占10%左右的分值。当然审计报告是必考的，会结合审计实务一起考。

学习审计，要先有一个正确的思路。这非常关键，就是假设你是一个CPA，让你去审计，要知道先干啥，再干啥。如果没有一个整体的思路，可能不知道审计在讲啥。像盖楼，你要先有一个图纸，比如要盖30层，然后再计算一下每一层要用多少砖、多少水泥，最后算一下整栋楼要用多少砖、水泥等，工程造价是多少钱，也就是要有一个计划。

审计的过程大体上是：

1、先了解一下被审计单位的环境（看看能不能审，对方是否诚信，自己是不是具备专业胜任能力，知彼知已）

2、签订业务约定书（正式接手审计业务）

3、了解被审计单位及其环境（也就是运用风险评估程序，看看哪里可能出错）

4、实施进一步的审计程序，包括控制测试和实施性程序。

也就是针对第3步评估出来的重大错报风险，有针对性的采取最恰当的审计程序，找出具体的错报。这实际上也就是风险应对

5、汇总错报，判断意见类型，出具报告。

大体上的过程是这样的，写得不够细。

第九章内容挺多，考试估计太多不会考死记硬背的东西，看一下07年的考题就知道了，会结合第13-17章的内控等考实务方面的题，这种机率比较高。

风险评估的思路也就是：先从总体上估计一下哪里可能出错（评估），根据评估结果采取针对性的程序（风险应对）。风险评估理念的好处是避免了审计的盲目性，提高了效率，降低了成本。

一、必须记记的内容（书上都有，指出来的是第9章的重点）

（一）风险评估需运用的三大程序

1、询问（被审计单位管理层和内部其他相关人员）

2、实施分析程序（考实务可能要大量地用到分析）

3、观察和检查

（二）了解被审计单位及其环境的6个方面（注意简答题）

ⅰ行业状况、法律环境与监管环境以及其他外部因素；（外部环境）ⅱ被审计单位的性质；（内部环境）

ⅲ被审计单位对会计政策的选择与运用；（内部环境）

ⅳ被审计单位的目标、战略以及相关经营风险（内部环境）

ⅴ被审计单位财务业绩的衡量和评价；（内、外部环境）

ⅵ被审计单位的的内部控制（内部环境）

识别被审计单位及其环境在上述各方面与以前各期相比发生的“重大变化”，对于充分了解被审计单位及其环境、识别和评估重大错报风

险尤为重要。

对于每一个方面的具体解释应当了解。

（三）可能产生风险的情况：教材P184

1、监管环境及经营环境的变化

2、新员工的加入

3、新信息系统的使用或对原系统进行升级

4、业务快速发展

5、新技术

6、新生产型号、产品和业务活动

7、企业重组

8、发展海外经营

9、新会计准则

这里没有必要去背，但是考试时遇到以上几种情况时要知道，可能会出现重大错报。另外建议大家要好好研究一下教材P244页的表，07年的考题的素材就来自这里！！！

（四）内部控制的五个要素

控制环境：环境不好，影响的是报表层次的错报

风险评估过程：

信息系统与沟通：

控制活动：影响的是认定层次的错报

对控制的监督：

（五）了解内部控制的程序： 4大程序

CPA通过实施下列风险评估程序。获取证据：

ⅰ询问被审计单位的人员；

ⅱ观察特定控制的运用；

ⅲ检查文件与报告；

ⅳ追踪交易在财务报告信息系统中的处理过程（穿行测试）

（六）自动化的优缺点：以后可能考自动化的控制的内容越来越多，才人工控制的成分可能少一点。教材P178

原则：

大量、重复发生的：由计算机控制比较合适；

偶而发生的、不规范的由人控制比较合适。

考虑内部控制的人工和自动化特征及其影响

※信息技术的优势及相关内控风险

1、优势

A、处理大量交易或数据时，运用事先确定的业务规则，进行复杂运算；

B、提高信息的及时性。可获得性及准确性；

C、有助于对住息进行深入分析

D、加强对被审计单位政策和程序执行情况的监督；

E、降低控制被规避的风险；

F、通过对操作系统、应用程序、数据库系统的安全控制，提高不相容职务分离的有效性。

2、信息技术对内控产生特定风险的方面：

A、系统或程序未能正确处理数据，或处理了不正确的数据或两种情况同时存在；

B、在未得到授权的情况下访问数据，可能导致数据的毁损或对数据不恰当的修改

C、信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工

D、未经授权改变主文档的数据

E、未经授权改变系统和程序

F、未能对系统和程序做出必要的修改

G、不恰当的人为干预

H、数据丢失的风险或不能访问所需要的数据

※人工控制的适用范围及相关内部控制风险

1、适用范围4方面

存在大额、异常或偶发的交易；

存在难以定义、防范或预见的错误；

为应对情况的变化，需要对现有的自动化控制进行调整；

监督自动化控制的有效性。

2、人工控制的特定风险：

人工控制可能更容易被规避、忽视或凌驾；

人工控制可能不具有一贯性；

人工控制可能更容易产生简单错误或失误。

相对于自动控制，人工控制可靠性较差。CPA应当考虑人工控制在下