《审计》实施风险评估程序

审计风险评估程序六个方面
1.确定审计对象和审计领域。

审计对象是指受审计方的财务报表、财务制度、内部控制等，审计领域则是指审计重点、审计范围和审计深度等。

审计对象和审计领域的明确对于后续的审计工作非常重要。

2. 了解审计对象的业务和环境。

审计师需要了解审计对象所处
的行业、市场、经济环境等因素，以便评估审计对象的风险，并制定相应的审计计划。

3. 评估审计对象的风险。

审计风险包括重大误报风险、重大遗
漏风险和重大欺诈风险。

审计师需要评估审计对象的风险程度，并制定相应的审计程序来降低风险。

4. 制定审计计划和程序。

审计计划和程序是根据审计风险评估
结果制定的，具体包括审计程序的种类、时间表和执行人员等详细内容。

5. 实施审计计划和程序。

审计师需要按照制定的审计计划和程
序进行实施，并对审计过程中发现的问题及时进行记录和处理。

6. 完成审计报告。

审计报告是审计工作的最终成果，应当客观、真实地反映审计对象的财务状况。

审计师需要根据审计发现的问题和审计证据撰写审计报告，并向审计对象提出建议。

- 1 -。

第二部分审计——专题二风险评估与应对一、风险评估（一）风险评估程序1.风险评估程序的具体内容注册会计师应当实施下列风险评估程序，以了解被审计单位及其环境：（1）询问管理层和被审计单位内部其他相关人员；（2）分析程序；（3）观察和检查。

2.项目组内部讨论项目组内部的讨论为项目组成员提供了交流信息和分享见解的机会。

项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式，特别是由于舞弊导致重大错报的可能性。

项目组的关键成员应当参与讨论。

（二）了解被审计单位及其环境（不包括内部控制的五个方面）注意：被审计单位经营风险的分析（三）了解被审计单位的内部控制注册会计师通过询问、观察、检查和穿行测试了解被审计单位的内部控制，以评价内部控制的设计是否合理以及是否得到执行。

在进一步审计程序中，针对设计合理且得到执行的控制，实施控制测试程序，目的是要确定内控的有效性。

注意：第一，如果控制设计不当，不需要再考虑控制是否得到执行，但仍应执行穿行测试；第二，询问本身并不足以评价控制的设计以及确定其是否得到执行，注册会计师应当将询问与其他风险评估程序结合使用；第三，除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解并不能够代替对控制运行有效性的测试。

（四）评估重大错报风险1.评估重大错报风险的审计程序2.需要特别考虑的重大错报风险注意：通常与特别风险相关的重大非常规交易和判断事项3.仅通过实质性程序无法应对的重大错报风险二、风险应对（一）针对财务报表层次重大错报风险的总体应对措施1.总体应对措施注册会计师应当针对评估的财务报表层次重大错报风险确定下列总体应对措施：（1）向项目组强调保持职业怀疑的必要性；（2）指派更有经验或具有特殊技能的审计人员，或利用专家的工作；（3）提供更多的督导；（4）在选择拟实施的进一步审计程序时融入更多的不可预见的因素；（5）对拟实施审计程序的性质、时间安排或范围作出总体修改。

风险评估的实施步骤转载于⼀风评准备1.确定风险评估的⽬标2.确定风险评估的范围3.组建适当的评估管理与实施团队4.进⾏系统调研，采取问卷调查、现场询问等⽅式，⾄少包括以下内容：• 业务战略及管理制度• 主要的业务功能和要求• ⽹络结构与⽹络环境，包括内部链接好外部链接• 系统边界• 主要的硬件、软件• 数据和信息• 系统和数据的敏感性• ⽀持和使⽤系统的⼈员5.制定⽅案，为之后的风评实施提供⼀个总体计划，⾄少包括：• 确定实施评估团队成员• ⼯作计划及时间进度安排6.获得最⾼管理者对风险评估⼯作的⽀持⼆资产识别资产的价值是按照资产在保密性、完整性和可⽤性上达到的程度或者其未达到时造成的影响程度来决定1.资产分类根据资产的表现形式，可将资产分为数据、软件、硬件、⽂档、服务、⼈员等类2.资产的赋值（五个等级：可忽略、低、中等、⾼、极⾼）• 保密性赋值：根据资产在保密性上的不同要求，对应资产在保密性上应达成的不同程度或者密保性缺失时对整个组织的影响，划分为五个不同的等级• 完整性赋值：根据资产在完整性上的不同要求，对应资产在完整性上缺失时对整个组织的影响，划分为五个不同的等级• 可⽤性赋值：根据资产在可⽤性上的不同要求，对应资产在可⽤性上应达成的不同程度，划分为五个不同的等级3.资产重要性等级（五个等级：很低、低、中、⾼、很⾼）资产价值应依据资产在机密性、完整性和可⽤性上的赋值等级，经过综合评定得出。

综合评定⽅法，可以根据组织⾃⾝的特点，选择对资产机密性、完整性和可⽤性最为重要的⼀个属性的赋值等级作为资产的最终赋值结果，也可以根据资产机密性、完整性和可⽤性的不同重要程度对其赋值进⾏加权计算⽽得到资产的最终赋值。

加权⽅法可根据组织的业务特点确定。

三威胁识别威胁是⼀种对组织及其资产构成潜在破坏的可能性因素，是客观存在的。

1.威胁的分类根据威胁的来源，威胁可分为软硬件故障、物理环境威胁、⽆作为或操作失误、管理不到位、恶意代码和病毒、越权或滥⽤、⿊客攻击技术、物理攻击、泄密、篡改、抵赖2.威胁的赋值（五个等级：很低、低、中、⾼、很⾼）判断威胁出现的频率是威胁识别的重要⼯作，评估者应根据经验和（或）有关的统计数据来进⾏判断。

了解被审计单位及其环境(不包括内部控制)审计目标从以下方面了解被审计单位及其环境，并评估相应重大错报风险：1．行业状况、法律环境与监管环境以及其他外部因素；2．被审计单位的性质；3．被审计单位对会计政策的选择和运用；4．被审计单位的目标、战略以及相关经营风险；5．被审计单位财务业绩的衡量和评价。

二、行业状况、法律环境与监管环境以及其他外部因素（一）实施的风险评估程序（二）了解的内容和评估出的风险21．行业状况（1）所在行业的市场供求与竞争（2）生产经营的季节性和周期性（3）产品生产技术的变化1此处应详细记录了解被审计单位及其环境时实施的风险评估程序，包括询问、观察、检查和分析程序。

记录的内容应包括实施审计程序的性质、时间和范围。

2此处评估出的风险，最终应汇总至风险评估结果汇总表。

2．法律环境及监管环境（2）对经营活动产生重大影响的法律法规及监管活动（3）对开展业务产生重大影响的政府政策，包括货币、财政、税收和贸易等政策（4）与被审计单位所处行业和所从事经营活动相关的环保要求3．其他外部因素（1）宏观经济的景气度 （2）利率和资金供求状况 （3）通货膨胀水平及币值变动 （4）国际经济环境和汇率变动三、被审计单位的性质（一）实施的风险评估程序（二）了解的内容和评估出的风险1．所有权结构（1）所有权性质（属于国有企业、外商投资企业、民营企业还是其他类型）：民营企业（2）所有者和其他人员或单位的名称，以及与被审计单位之间的关系（3）控股母公司2．治理结构（1）获取或编制被审计单位治理结构图（2）对图示内容作出详细解释说明3．组织结构4．经营活动（1）主营业务的性质：开发、制造、销售纸张。

（2）主要产品及描述（3）与生产产品或提供劳务相关的市场信息（4）业务的开展情况（5）联盟、合营与外包情况（6）从事电子商务的情况（7）地区与行业分布（10）重要供应商（11）劳动用工情况（12）研究与开发活动及其支出5．投资活动（1）近期拟实施或已实施的并购活动与资产处置情况（3）资本性投资活动 （4）不纳入合并范围的投资6．筹资活动（1）债务结构和相关条款，包括担保情况及表外融资 （2）固定资产的租赁（4）实际受益股东（5）衍生金融工具的运用四、被审计单位对会计政策的选择和运用（一）实施的风险评估程序（二）了解的内容和评估出的风险1．被审计单位选择和运用的会计政策3．披露五、被审计单位的目标、战略以及相关经营风险（一）实施的风险评估程序（二）了解的内容和评估出的风险 1．目标、战略3．被审计单位的风险评估过程六、被审计单位财务业绩的衡量和评价 （一）实施的风险评估程序（二）了解的内容和评估出的风险1．关键业绩指标 2．业绩趋势 3．预测、预算和差异分析4．管理层和员工业绩考核与激励性报酬政策5．与竞争对手的业绩比较。

项目六风险评估和风险应对一、风险评估（一）风险评估的概念和作用风险识别和评估，是指注册会计师通过实施风险评估程序，识别和评估财务报表层次和认定层次的重大错报风险。

审计风险准则规定注册会计师应当了解被审计单位及其环境，以足够识别和评估财务报表重大错报风险，设计和实施进一步审计程序。

了解被审计单位及其环境是必要程序。

（二）风险评估程序注册会计师了解被审计单位及其环境，目的是为了识别和评估财务报表重大错报风险。

为了解被审计单位及其环境而实施的程序称为“风险评估程序”。

注册会计师应当依据实施这些程序所获取的信息，评估重大错报风险。

1.风险评估程序注册会计师应当实施下列风险评估程序，以了解被审计单位及其环境：（1）询问被审计单位管理层和内部其他相关人员；（2）分析程序；（3）观察和检查。

o2.其他审计程序例如，询问被审计单位聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等。

o3.项目组内部的讨论（三）了解被审计单位及其环境注册会计师应当从下列方面了解被审计单位及其环境：（1）行业状况、法律环境与监管环境以及其他外部因素；（2）被审计单位的性质；（3）被审计单位对会计政策的选择和运用；（4）被审计单位的目标、战略以及相关经营风险；（5）被审计单位财务业绩的衡量和评价；（6）被审计单位的内部控制。

（四）了解被审计单位内部控制o内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守（目标），由治理层、管理层和其他人员设计和执行的政策和程序。

可以从以下几方面理解内部控制：o1．内部控制的目标是合理保证：（1）财务报告的可靠性，这一目标与管理层履行财务报告编制责任密切相关；（2）经营的效率和效果，即经济有效地使用企业资源，以最优方式实现企业的目标；（3）在所有经营活动中遵守法律法规的要求，即在法律法规的框架下从事经营活动。

o2．设计和实施内部控制的责任主体是治理层、管理层和其他人员，组织中的每一个人都对内部控制负有责任。

2012年注会《审计》重点：认定与具体审计目标一、认定（一）认定的含义1.认定（assertion）是指管理层在财务报表中作出的明确或隐含的表达，注册会计师将其用于考虑可能发生的不同类型的潜在错报。

认定与审计目标密切相关，注册会计师的基本职责就是确定被审计单位管理层对其财务报表的认定是否恰当。

认定的重要意义在于：（1）认定反映了财务报表中数据完整的经济涵义。

（2）认定反映了管理层所承担的全面的财务报告责任。

（3）认定是确定具体审计目标的基础。

（4）认定决定了错报的性质和类型，财务报表错报都是因为违反了管理层的一项或多项认定而造成的。

2.管理层在财务报表上的认定有些是明确表达的，有些则是隐含表达的。

例如，管理层在资产负债表中列报存货及其金额，意味着作出了下列明确的认定：（1）记录的存货是存在的；（2）存货以恰当的金额包括在财务报表中，与之相关的计价或分摊调整已恰当记录。

同时，管理层也作出下列隐含的认定：（1）所有应当记录的存货均已记录；（2）记录的存货都由被审计单位拥有。

3.管理层对财务报表各组成要素均作出了认定，注册会计师的审计工作就是要确定管理层的认定是否恰当。

（二）与所审计期间各类交易和事项相关的认定【案例】注册会计师陈某在对某上市公司审计中发现，该上市公司2011年年末以分期收款方式销售一批商品，合同总价款为840万元，分四年于每年的年末收款。

经对比发现，同样的商品如果是正常销售，售价总额为720万元。

年末，该公司处置一栋原用来出租的房屋，处置时账面价值为350万元，实际收到价款为400万元，该公司确认营业外收入50万元。

此外，注册会计师陈某在询问中了解到，该公司年末实际的结账日为12月29日，对于30、31两日发生的销售商品收入35万元，均记在2012年1月的账簿中。

（假定均不考虑增值税、营业税等相关税费）认定各类认定的含义举例发生occurrence 记录的交易和事项已发生，且与被审计单位有关被审计单位2011年度记录的销货交易确实均已发生。

2020年注册会计师考试《审计》备考练习：风险评估含答案一、单项选择题1.注册会计师通常要求参与项目组讨论的人员不包括的是()。

A.项目合伙人B.关键审计人员C.聘请的特定领域专家D.项目质量控制复核人员2.下列关于了解被审计单位性质的说法中，正确的是()。

A.对被审计单位组织结构的了解，有助于注册会计师识别关联方关系并了解被审计单位的决策过程B.注册会计师应当了解被审计单位组织结构，考虑复杂组织结构可能导致的重大错报风险，包括财务报表合并、商誉减值以及长期股权投资核算等问题C.了解被审计单位投资活动，有助于注册会计师识别预期在财务报表中反映的主要交易类别、重要账户余额和列报D.了解被审计单位经营活动，有助于注册会计师关注被审计单位在经营策略和方向上的重大变化3.在进行风险评估时，注册会计师通常采用的审计程序是()。

A.将财务报表与其所依据的会计记录相核对B.实施分析程序以识别异常的交易或事项，以及对财务报表和审计产生影响的金额、比率和趋势C.对应收账款进行函证D.以人工方式或使用计算机辅助审计技术，对记录或文件中的数据计算准确性进行核对4.阅读外部信息可能有助于注册会计师了解被审计单位及其环境，下列各项不属于外部信息的是()。

A.贸易与经济方面的报纸期刊B.证券分析师分析的行业经济情况报告C.银行对被审计单位出具的信用评价报告D.被审计单位签订的销售合同5.下列各项中，不属于项目组内部讨论的内容的是()。

A.项目组成员是否保持了独立性B.被审计单位面临的经营风险C.财务报表容易发生错报的领域以及发生错报的方式D.由于舞弊导致重大错报的可能性6.注册会计师了解的被审计单位及其环境的各项因素中，既涉及内部因素也涉及外部因素的是()。

A.对被审计单位财务业绩的衡量和评价B.被审计单位的内部控制C.被审计单位的性质D.相关行业状况、法律环境和监管环境及其他外部因素7.下列有关注册会计师对被审计单位了解程度的说法中，错误的是()。

第七章 风险评估
PART1 考点框架速览
PART2 风险评估程序
风险评估程序
询问 分析程序 观察
检查 穿行测试
项目组内部讨论
实施
评估
风险评估程序
了解被审计单位及其环境
行业状况、法律环境和监管环境及其他外部因素
内部控制 重大错报风险
性质
会计政策的选择和运用 目标、战略和经营风
财务业绩的衡量与评价
PART3 了解被审计单位及其环境（三层六点）
行业状况、法律环境和监管环境及其他外部因素
性质 目标、战略 和经营风险
内部控制
会计政策的 选择和运用
财务业绩的 衡量与评价
外部环境
经营环境
财务环境
3
PART4 了解被审计单位内部控制
1.了解什么？
（1）内部控制是由治理层、
管理层和其他人员设计与执行的政策及程序，用以合理保证财务报告[目标①]的可靠性、经营[目标②]的效率和效果以及对法律法规[目标③]的遵守。

（2）内部控制五要素
了解什么
相关要求
怎么了解（方法）
内部控制五要素
对控制的监督
风险评估过程
控制活动 与财务报表相关的信息系统和沟通
控制环境
2.相关要求
3.怎么了解？
（1）询问、观察、检查、穿行测试。

【小斯批注】
需要了解和评价
与审计相关的内部控制（并非所有）
与目标相关但与审计无关的控制
注册会计师应当
在所有审计项目中了解内部控制
无需考虑
（2）从整体层面和业务流程层面了解内部控制
PART5 评估重大错报风险
评估重大错报风险
财务报表层次和认定层次特别风险。

CPA《审计》教材梳理：风险评估审计是企业金融管理中至关重要的一部分，它可以帮助企业发现并解决潜在的风险和问题。

在《审计》教材中，风险评估是一个不可或缺的环节，它涉及到对企业的内部控制和风险管理体系进行全面的评估和分析。

下面将对《审计》教材中风险评估的内容进行梳理。

首先，风险评估的核心概念是风险管理。

风险管理是指企业通过识别、评估、控制和监控风险，以确保企业能够实现其目标和使命。

风险评估是风险管理的第一步，它主要通过对企业内部控制和风险管理体系的评估，确定企业面临的潜在风险，为后续的审计工作提供依据。

其次，风险评估的过程包括风险识别、风险评估和风险应对三个步骤。

风险识别是指对企业内外部环境进行分析，确定企业可能面临的各种风险。

在风险评估阶段，审计师需要对已识别的风险进行评估，确定其潜在的影响程度和发生概率。

最后，审计师需要制定风险应对策略，即确定如何应对不同风险的控制措施和监控机制。

然后，风险评估的方法包括定性评估和定量评估。

定性评估主要是基于经验和专业判断，通过对风险的描述和分析，评估其潜在影响和发生概率。

定量评估则是基于数据和数学模型，通过统计分析和模拟计算等方法，量化风险的影响程度和发生概率。

一般情况下，定性评估和定量评估相结合，可以更准确地确定企业面临的风险和其应对措施。

最后，风险评估需要关注的重点包括核心风险、关键控制点和风险影响评估。

核心风险是指对企业能否实现其目标产生重大威胁的风险，需要特别关注和重点评估。

关键控制点是指对核心风险具有关键作用的内部控制点，对其进行评估可以帮助识别和解决风险。

风险影响评估是指对风险发生后可能产生的影响进行评估，包括财务影响、声誉影响和法律风险等。

综上所述，风险评估是《审计》教材中重要的内容之一，它需要对企业的内部控制和风险管理体系进行全面的评估和分析，以识别并解决潜在的风险和问题。

风险评估的过程包括风险识别、风险评估和风险应对，方法包括定性评估和定量评估，重点关注核心风险、关键控制点和风险影响评估。

第七章第一部分风险评估01.风险评估程序概述（一）风险评估的总体要求：风险评估具体理解根据《指南》，注册会计师应当了解被审计单位及其环境，以足够识别和评估财务报表重大错报风险，设计和实施进一步审计程序。

不得未经过风险评估，直接将风险设定为高水平。

这是风险评估的总体要求。

（二）风险评估具体理解：风险评估的总体要求可以从以下三个方面进行理解：了解被审计单位及其环境是必要程序；了解的目的是识别和评估财务报表重大错报风险，设计和实施进一步审计程序；了解的程度应当足够实现了解的目的（三）风险识别和评估的概述：风险识别和评估，是指注册会计师通过实施风险评估程序，识别和评估财务报表层次和认定层次的重大错报风险。

其中，风险识别是指找出财务报表层次和认定层次的重大错报风险；风险评估是指对重大错报发生的可能性和后果严重程度进行评估风险评估程序（五）风险评估的作用：1.确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；2.考虑会计政策的选择和运用是否恰当，以及财务报表的列报是否适当;3.识别需要特别考虑的领域，包括关联方交易、管理层运用持续经营假设的合理性，或交易是否具有合理的商业目的等4.确定在实施分析程序时所使用的预期值；5.设计和实施进一步审计程序，以将审计风险降至可接受的低水平；6.评价所获取审计证据的充分性和适当性.（六）风险评估的目的：注册会计师了解被审计单位及其环境，目的是为了识别和评估财务报表的重大错报风险。

为了解被审计单位及其环境而实施的程序称为“风险评估程序”（七）风险评估程序：A询问被审计单位管理层和内部其他相关人员；B分析程序C观察和检查A询问：询问管理层：①管理层所关注的主要问题。

②被审计单位的财务状况和最近的经营成果、现金流量。

③可能影响财务报告的交易和事项，或者目前发生的重大会计处理问题。

④被审计单位发生的其他重要变化。

如所有权结构、组织结构的变化等。

询问治理层：有助于注册会计师理解财务报表编制的环境询问内部审计人员：了解本年度针对被审计单位内部控制设计和运行有效性而实施的内部审计程序，以及管理层是否根据实施这些程序的结果采取了适当的应对措施。

审计风险评估程序六个方面
审计风险评估程序通常包括以下六个方面：
1. 确定审计对象：确定需要进行风险评估的审计对象，例如特定项目、业务流程或整个组织。

2. 收集信息：收集与审计对象相关的各种信息，包括财务报表、业务数据、内部控制文件和政策文件等。

3. 识别潜在风险：根据收集到的信息，识别可能存在的潜在风险。

这些风险可能包括审计对象的内部控制不足、财务报表错误或失实、法规遵从问题等。

4. 评估风险程度：对识别出的潜在风险进行评估，确定其对审计目标的影响程度和可能性。

通常使用一些定性和定量的方法来进行评估，例如风险矩阵或统计分析。

5. 制定应对策略：根据风险评估结果，制定相应的应对策略。

这些策略可能包括增加审计测试的范围和深度、加强对内部控制的关注、增加审计资源等。

6. 监督和追踪：在整个审计过程中，需要监督和追踪已识别的风险，确保相应的应对策略得以有效执行，并及时调整策略以应对新出现的风险。

以上是一般性的审计风险评估程序，实际的程序可能会根据具体情
况进行调整和补充。

一、单项选择题1．注册会计师了解被审计单位及其环境的目的是〔C〕。

A．为了进行风险评估程序B．收集充分适当的审计证据C．为了识别和评估财务报表重大错报风险D．控制检查风险2．注册会计师对行业状况、法律环境与监管环境以及其他外部因素了解的范围和程度会因被审计单位所处行业、规模以及其他因素的不同而不同，注册会计师应当将了解的重点放在〔B 〕。

A．风险评估程序B．对被审计单位的经营活动可能产生重要影响的关键外部因素以及与前期相比发生的重大变化C．重大错报风险D．重大错报风险和检查风险3．内部控制的目标不包括〔B 〕。

A．财务报告的可靠性B．审计风险处在低水平C．经营的效率和效果D．在所有经营活动中遵守法律法规的要求4．注册会计师通常不实施以下风险评估程序，以获取有关控制设计和执行的审计证据〔D〕。

A．询问被审计单位的人员B．观察特定控制的运用C．检查文件和报告D．分析程序5．关于控制环境的说法不正确的选项是〔D〕。

A．控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施B．控制环境设定了被审计单位的内部控制基调，影响员工对内部控制的认识和态度。

良好的控制环境是实旖有效内部控制的根底C．在评价控制环境的设计和实施情况时，注册会计师应当了解管理层在治理层的监督下，是否营造并保持了老实守信和符合道德的文化，以及是否建立了防止或发现并纠正舞弊和错误的恰当控制D．在审计业务承接阶段，注册会计师就需要对控制环境作出最终评价二、多项选择题1．风险评估程序包括〔ABCD〕。

A．询问被审计单位管理层和内部其他相关人员B．分析程序C．观察和检查D．穿行测试2．注册会计师在风险评估程序中询问审计单位管理层和财务人员以下方面的问题〔ABCD〕。

A．管理层所关注的主要问题B．可能影响财务报告的交易和事项，或者目前发生的重大会计处理问题C．被审计单位最近的财务状况、经营成果和现金流量D．被审计单位发生的其他重要变化3．注册会计师了解被审计单位及其环境时应当实施以下观察和检查程序〔ABCD〕。