第七章 风险评估
一、风险识别和评估概述
1.1 概念
风险评估是指注册会计师通过设计、实施风险评估程序,识别和评估重大错报风险(财务报表层次和认定层次)。
1.2 风险评估的作用(6个)
- 确定重要性水平,并随着审计工作的进程评估对重要性水平的判断是否仍然适当
- 考虑会计政策的选择和运用是否恰当,以及财务报表的列报是否恰当
- 识别与财务报表中金额或披露相关的需要特别考虑的领域(包括关联方交易、持续经营假设的合理性、交易是否具有合理的商业目的等)
- 确定在实施分析程序时所使用的预期值
- 设计和实施进一步审计程序,以将审计风险降至可接受的低水平
- 评价所获取审计证据的充分性和适当性
1.3 了解程度的要求
- 贯穿于审计过程的始终
- 了解程度是否恰当:是否足以识别、评估财务报表及认定层次重大错报风险和设计进一步审计程序提供依据
- 了解程度的高低:注册会计师低于管理层
二、风险评估程序和信息来源
2.1 风险评估程序(3种)
- 询问管理层和被审计单位内部其他合适人员,包括内部审计人员
- 实施分析程序
- 观察和检查
2.2 其他审计程序和信息来源
- 除上述以外的审计程序,如询问外部人员、阅读外部信息
2.3 项目组内部的讨论
(1)目的(4个)
- 使经验较丰富的项目组成员(包括项目合伙人)有机会分享其根据对被审计单位的了解形成的见解
- 使项目组成员能够讨论被审计单位面临的经营风险、固有风险因素如何影响各类交易、账户余额和披露易于发生错报的可能性,以及财务报表易于发生舞弊或错误导致的重大错报的方式和领域
- 帮助项目组成员更好地了解在各自负责的领域中潜在的财务报表重大错报,并了解各自实施的审计程序的结果可能如何影响审计的其他方面(特别是有助于考虑相矛盾的信息)
- 为项目组成员交流和分享在审计过程中获取的、可能影响重大错报风险评估结果或应对这些风险的审计程序的新信息提供基础
(2)讨论内容
讨论的内容和范围受项目组成员的职位、经验和所需要的信息的影响。
(3)参与人员
| 人员 | 要求 |
|---|---|
| 项目合伙人 | 应当参加;应确定向未参与讨论的项目组成员通报哪些事项 |
| 关键成员 | 应当参加;跨地区审计中,每个重要地区项目组的关键成员都应参加讨论,但不要求所有成员每次都参与 |
| 专家 | 按需参与(在会计或审计以外的某一领域具有专长的个人或组织) |
(4)时间和方式
项目组应当根据审计的具体情况,在整个审计过程中,保持职业怀疑,持续交换有关财务报表发生重大错报可能性的信息。
三、了解被审计单位及其环境
3.1 组织结构、所有权和治理结构(内部因素)
(1)组织结构
复杂的组织结构通常更可能导致某些特定的重大错报风险。
(2)所有权结构
- 注册会计师应当了解所有权结构以及所有者与其他人员或实体之间的关系,包括关联方,考虑关联方关系是否已经得到识别,以及关联方交易是否得到恰当会计处理
- 注册会计师可能需要对其控股母公司(股东)的情况作进一步的了解
- 注册会计师还应当了解所有者、治理层、管理层之间的区别
(3)治理结构
良好的治理结构可以对被审计单位的经营和财务运作以及财务报告实施有效的监督,从而降低财务报表发生重大错报的风险。
3.2 经营风险与重大错报风险
- 多数经营风险最终都会产生财务后果,了解经营风险有助于注册会计师识别重大错报风险
- 经营风险比财务报表重大错报风险范围更广,注册会计师没有责任了解或识别所有的经营风险
- 并非所有的经营风险都会导致重大错报风险
3.3 业务模式
了解业务模式主要是为了了解和评价被审计单位经营风险可能对财务报表重大错报产生的影响,包括三类活动:
| 活动 | 有助于注册会计师 |
|---|---|
| 经营活动 | 识别预期在财务报表中反映的主要交易类别、重要账户余额和披露 |
| 投资活动 | 关注被审计单位在经营策略和方向上的重大变化 |
| 筹资活动 | 评估被审计单位在融资方面的压力,并进一步考虑在可预见未来的持续经营能力 |
3.4 行业形势、法律环境和监管环境及其他外部因素
| 外部因素 | 说明 |
|---|---|
| 行业形势 | 被审计单位所处行业可能由于经营性质或监管程度导致特定的重大错报风险 |
| 法律环境与监管环境 | 注册会计师应当了解被审计单位所处的法律环境与监管环境 |
| 其他外部因素 | 总体经济情况、利率、融资的可获得性、通货膨胀水平或币值变动等 |
注意
- 注册会计师对外部因素了解的范围和程度,因行业、规模及其他因素(如市场地位)而不同
- 应当考虑所处行业的性质或监管程度是否可能导致特定的重大错报风险,并考虑项目组是否配备了具有相关知识和经验的成员
四、财务业绩衡量标准(内部因素+外部因素)
4.1 了解的主要方面
- 关键业绩指标(财务或非财务的)、关键比率、趋势和经营统计数据
- 同期财务业绩比较分析
- 预算、预测、差异分析、分部信息与分部或不同层次的业绩报告
- 员工业绩考核与激励性报酬政策
- 被审计单位与竞争对手的业绩比较
4.2 关注要点
- 关注内部财务业绩衡量的结果:注册会计师可以关注未预期到的结果或趋势、管理层的调查结果和纠正措施,以及相关信息是否显示财务报表可能存在重大错报
- 考虑财务业绩衡量指标的可靠性:如果注册会计师计划在审计中(如实施分析程序时)利用财务业绩指标,应当考虑相关信息是否可靠
五、适用的财务报告编制基础、会计政策及变更(内部因素)
5.1 与财务报告编制基础相关的财务报告实务
- 会计政策和行业特定惯例(包括特定行业财务报表中的相关交易类别、账户余额和披露)
- 收入确认
- 金融工具以及相关信用损失的会计处理
- 外币资产、负债与交易
- 异常或复杂交易的会计处理(包括在有争议或新兴领域的交易,如对加密货币的会计处理)
5.2 对会计政策选择和运用的了解
- 被审计单位用于确认、计量和列报(包括披露)重大和异常交易的方法
- 在缺乏权威性标准或共识的争议或新兴领域采用重要会计政策产生的影响
- 环境变化(例如适用的财务报告编制基础的变化或税制改革)可能导致的会计政策变化
- 新颁布的会计准则、法律法规,被审计单位采用的时间以及如何采用或遵守
六、固有风险因素
6.1 概念
固有风险因素是指在不考虑内部控制的情况下,导致交易类别、账户余额和披露的某一认定易于发生错报(无论该错报是由舞弊还是错误导致)的因素。
6.2 五个固有风险因素
| 因素 | 含义 |
|---|---|
| 复杂性 | 由信息的性质或编制所需信息的方式导致,包括编制过程本身较为复杂的情况 |
| 主观性 | 知识或信息的可获得性受限,客观编制所需信息的能力存在固有局限性,管理层可能需要作出选择或主观判断 |
| 变化 | 随时间的变化,经营、经济环境、会计、监管、行业或经营环境中的事项或情况也会产生变化 |
| 不确定性 | 不能仅通过直接观察可验证的充分精确和全面的数据编制所需信息 |
| 管理层偏向或其他舞弊风险因素 | 管理层有意或无意地在信息编制过程中未保持中立 |
6.3 固有风险因素的重要作用
- 了解固有风险因素如何影响认定易于发生错报的可能性,有助于注册会计师初步了解错报发生的可能性和重要程度,帮助识别认定层次的重大错报风险
- 了解固有风险因素在何种程度上影响认定易于发生错报的可能性,有助于注册会计师评估错报发生的可能性和重要程度
- 了解固有风险因素也有助于注册会计师设计和实施进一步审计程序
6.4 固有风险因素对交易类别、账户余额和披露的影响
- 某类交易由于其复杂性或主观性而导致易于发生错报的可能性,通常与其变化或不确定性的程度密切相关
- 易于发生错报的可能性越大,注册会计师越有必要保持职业怀疑
- 复杂性、主观性、变化或不确定性可能为管理层偏向(无论无意或有意)创造机会
- 注册会计师对重大错报风险的识别和评估也受到固有风险因素之间相互关系的影响
七、被审计单位内部控制体系
7.1 内部控制的概念
内部控制(简称控制),是指被审计单位为实现控制目标所制定的政策和程序:
- 政策:应当或不应当采取某种措施的规定
- 程序:为执行政策而采取的行动(正式文件规定/约定俗成/信息技术实施)
内部控制体系:由治理层、管理层和其他人员设计、执行和维护的体系,以合理保证能够实现财务报告的可靠性、经营效率和效果、遵守适用的法律法规等目标。
7.2 内部控制体系五要素
(1)内部环境(控制环境)
构成要素(6个):
- 对诚信和道德价值观念的沟通与落实
- 对胜任能力的重视
- 治理层的参与程度
- 管理层的理念和经营风格
- 职权与责任的分配
- 人力资源政策与实务
关于内部环境的评价要求
- 应当获取足够的了解,考虑内部控制的实质及其综合效果
- 应当考虑各要素的控制是否得到执行(将询问与其他风险评估程序——观察和检查——相结合)
- 内部环境对重大错报风险的评估具有广泛影响(考虑总体优势是否为其他要素提供适当基础)
- 令人满意的内部环境有助于降低舞弊风险,但并不能绝对防止舞弊
- 内部环境本身不能防止或发现并纠正认定层次的重大错报,应当连同其他内部控制要素一并考虑
(2)风险评估
(3)信息与沟通(信息系统与沟通)
(4)控制活动
| 控制活动 | 说明 |
|---|---|
| 授权和批准 | 例如主管复核并批准费用报告 |
| 调节 | 将两项或多项数据要素进行比较,发现差异则采取措施使数据相一致;通常应对所处理交易的完整性或准确性 |
| 验证 | 将两个或多个项目互相或与政策比较,不匹配则执行跟进措施;通常应对所处理交易的完整性、准确性或有效性 |
| 实物或逻辑控制 | 包括应对资产安全的控制(如会计记录与现金、有价证券和存货的定期盘点结果相比较) |
| 职责分离 | 将交易授权、交易记录以及资产保管等职责分配给不同员工 |
(5)内部监督
对内部控制体系的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程。通常通过持续的监督活动、单独的评价活动或两者相结合实现。
7.3 直接控制与间接控制
| 类型 | 要素 | 特点 |
|---|---|---|
| 直接控制 | 信息系统与沟通、控制活动 | 足以精准防止、发现或纠正认定层次错报;更可能影响认定层次重大错报风险的识别和评估 |
| 间接控制 | 内部环境、风险评估、内部监督 | 不足以精准地防止、发现或纠正认定层次的错报,但可以支持其他控制,间接影响发现或防止错报发生的可能性 |
INFO
间接控制要素中的某些控制也可能是直接控制。
7.4 了解内部控制的性质和程度
- 目的:评价控制设计的有效性以及控制是否得到执行
- 程度:包括评价控制设计的有效性,并确定其是否得到执行,但不包括对控制是否得到一贯执行的测试
了解内部控制的程序:
- 询问被审计单位人员
- 观察特定控制的运用
- 检查文件和报告
- 追踪交易在财务报告信息系统中的处理过程(穿行测试)
7.5 人工控制与自动化控制
| 人工控制适用(自动化不适用) | 自动化控制适用(人工不适用) |
|---|---|
| 存在大额、异常或偶发的交易 | 存在大量或重复发生的交易 |
| 存在难以界定、预计或预测的错误 | 事先可预见的错误能通过自动化控制防范或发现并纠正 |
| 针对变化的情况,需要人工干预 | 控制活动可得到适当设计和自动化处理 |
| 监督自动化控制的有效性 | — |
7.6 内部控制的局限性
- 在决策时人为判断可能出现错误和因人为失误而导致内部控制失效
- 控制可能由于两个或更多的人员串通或管理层不当地凌驾于内部控制之上而被规避
- 内部行使控制职能的人员素质不适应岗位要求
- 实施某项控制的成本大于控制效果(成本效益原则)
- 对不经常发生或未预计到的业务,原有控制可能不适用
7.7 业务流程中的控制分类
| 分类 | 举例 |
|---|---|
| 预防性控制(事前控制) | ①程序自动生成收货报告并更新采购档案;②更新前要求有收货报告;③销货发票价格根据价格清单确定;④系统将凭证账户号码与会计科目表对比并进行逻辑测试 |
| 检查性控制(事后控制) | ①定期编制银行存款余额调节表;②记录所有超过预算2%的差异情况和解决措施;③比较运出货物数量和开票数量;④每季度复核应收账款贷方余额 |
7.8 穿行测试
在整体层面和业务流程层面了解内部控制时执行穿行测试的作用(6个):
- 确认对业务流程的了解
- 确认对相关交易的了解是完整的(流程中所有与财务报表认定相关的可能发生错报的环节都已识别)
- 确认所获取的有关预防性控制和检查性控制信息的准确性
- 评估控制设计的有效性
- 确认控制是否得到执行
- 确认之前所做的书面记录的准确性
TIP
即使不拟信赖控制,注册会计师仍需要执行适当的审计程序,以确认以前对业务流程及可能发生错报环节了解的准确性和完整性。
八、初步评价与对控制的评估
8.1 初步评价
| 情形 | 后续处理 |
|---|---|
| 所设计的控制能够防止或发现并纠正重大错报,并得到执行 | 预期控制有效→应当实施控制测试 |
| 控制设计合理但没有得到执行 | 不进行控制测试,直接实施实质性程序 |
| 控制设计就是无效的或缺乏必要的控制 | 不进行控制测试,直接实施实质性程序 |
8.2 风险评估需考虑的因素
- 账户特征及已识别的重大错报风险
- 对被审计单位整体层面控制的评价
- 对财务报告流程的了解(财务报告流程与控制与财务报表的列报认定直接相关)
九、识别和评估重大错报风险
9.1 步骤(5个)
- 利用实施风险评估程序所了解的信息
- 识别两个层次的重大错报风险
- 评估两个层次的重大错报风险
- 评价审计证据的适当性
- 修正识别或评估的结果
9.2 财务报表层次重大错报风险
识别:判断某风险因素是否与财务报表整体存在广泛的联系,并可能影响多项认定。
评估要点:
- 注册会计师应当评价识别的风险是否与财务报表存在广泛联系
- 受到对内部控制体系各要素了解的影响,特别是对内部环境、风险评估和内部监督(三要素主要属于间接控制)的了解
- 财务报表层次的风险还可能源于内部环境存在的缺陷或某些外部事项或情况(如经济下滑)
- 由舞弊导致的重大错报风险,与财务报表层次重大错报风险的考虑尤其相关
9.3 认定层次重大错报风险
识别:与财务报表整体不存在广泛联系的风险。
评估要点:
- 总体要求:对于识别出的认定层次重大错报风险,注册会计师应当分别评估固有风险和控制风险
- 评估固有风险:通过评估错报发生的可能性和重要程度来评估固有风险
- 评估控制风险:在拟测试控制运行有效性的情况下,应当评估控制风险。如果拟不测试控制运行的有效性,则应当将固有风险的评估结果作为重大错报风险的评估结果
- 确定特别风险:应当确定评估的重大错报风险是否为特别风险
- 仅实施实质性程序无法应对的重大错报风险:应当确定是否属于该类风险
- 对重大交易类别、账户余额和披露的考虑:对重要性的确定属于职业判断
关于"交叉"的情形
如果重大错报风险由于广泛影响多项认定而被识别为财务报表层次重大错报风险,并可以识别出受影响的特定认定,注册会计师应当在评估认定层次重大错报风险的固有风险时考虑这些风险。
十、固有风险等级
10.1 概念
固有风险等级是指注册会计师对固有风险水平在一个范围内作出的从低到高的判断,应考虑被审计单位的性质和具体情况以及评估的错报发生的可能性和重要程度以及固有风险因素。
10.2 考虑错报发生的可能性和重要程度
- 考虑可能性时:应基于对固有风险因素的考虑,评估错报发生的概率
- 考虑重要程度时:应考虑错报的定性和定量两个方面
10.3 确定固有风险等级
- 使用错报发生的可能性和重要程度综合起来的影响程度确定固有风险等级
- 综合影响程度越高,评估的固有风险等级越高
- 评估的固有风险等级较高,并不意味着可能性和重要程度都较高
- 较低的错报发生的可能性和极高的重要程度也可能导致评估的固有风险等级较高
十一、需要特别考虑的重大错报风险(特别风险)
11.1 特别风险的确定标准
符合下列特征之一:
- 根据固有风险因素对错报发生的可能性和错报的严重程度的影响,注册会计师将固有风险评估为达到或接近固有风险等级的最高级
- 根据审计准则的规定,注册会计师应当将其作为特别风险
11.2 确定特别风险时应考虑的事项
- 交易具有多种可接受的会计处理,因此涉及主观性
- 会计估计具有高度不确定性或模型复杂
- 支持账户余额的数据收集和处理较为复杂
- 账户余额或定量披露涉及复杂的计算
- 对会计政策存在不同的理解
- 被审计单位业务的变化涉及会计处理发生变化(如合并和收购)
11.3 直接认定为特别风险的情形
- 舞弊(第13章)
- 管理层凌驾于内部控制之上(第13章)
- 超出正常经营过程的重大关联方交易(第17章)
- 达到或接近固有风险等级最高级(上限)的风险
11.4 与特别风险相关的控制(6个要点)
- 对特别风险,注册会计师应当评价相关控制的设计情况,并确定其是否已经得到执行
- 如果管理层未能实施控制以恰当应对特别风险,注册会计师应当认为存在值得关注的内部控制缺陷,并考虑其对风险评估的影响并与治理层沟通
- 如果计划测试旨在减轻特别风险的控制运行有效性,注册会计师不应依赖以前审计获取的关于控制运行有效性的审计证据
- 注册会计师在判断哪些风险是特别风险时,不应考虑识别出的控制对相关风险的抵销效果
- 如果针对特别风险实施的审计程序仅为实质性程序,应当包括细节测试,或将实质性分析程序与细节测试相结合
- 如果针对特别风险实施的审计程序除了实质性程序外还包括控制测试,则不一定要实施细节测试(控制测试和实质性分析程序一并使用也可以应对)
十二、仅实施实质性程序无法应对的重大错报风险
- 应当考虑依赖相关控制的有效性,并对其进行了解、评估和测试
- 日常交易采用高度自动化处理
十三、修正风险识别或评估结果
识别和评估重大错报风险贯穿于整个审计过程的始终。
十四、审计工作底稿
应当记录的内容:
- 项目组内部进行的讨论以及得出的重要结论
- 对被审计单位及其环境、适用的财务报表编制基础和内部控制体系各要素等所了解到的要点和信息来源,以及实施的风险评估程序
- 对所识别的控制设计进行的评价,以及如何确定控制是否得到执行的
- 识别、评估的财务报表层次和认定层次重大错报风险,包括:特别风险、仅实施实质性程序不能提供充分适当审计证据的风险,以及作出有关重大判断的理由
考虑审计的可审计性
- 被审计单位会计记录的状况和可靠性存在重大问题,不能获取充分、适当的审计证据以发表无保留意见 → 考虑出具保留意见或无法表示意见的审计报告
- 对管理层的诚信存在严重疑虑 → 必要时,注册会计师应当考虑解除业务约定