注册会计师应对风险

进一步审计程序相对于风险评估程序而言，是指注册会计师针对评估的各类交易、账户余额、列报认定层次重大错报风险实施的审计程序，包括控制测试和实质程序。注册会计师应当针对评估的认定层次重大错报风险设计和实施进一步审计程序，包括审计程序的质、时间和范围。注册会计师设计和实施的进一步审计程序的质、时间和范围，应当与评估的认定层次重大错报风险具备明确的对应关系。注册会计师实施的审计程序具有目的和针对，有的放矢地配置审计资源，有利于提高审计效率和效果。
在应对评估的认定层次重大错报风险时，拟实施的进一步审计程序的质、时间和范围都应当确保其具有针对，但其中进一步审计程序的质是最重要的。例如，注册会计师评估的重大错报风险越高，实施次
进一步审计程序会议
重大错报风险的评估结果，恰当选用实质方案或综合方案。通常情况下，注册会计师出于成本效益的考虑可以采用综合方案设计进一步审计程序，即将测试控制运行的有效与实质程序结合使用。但在某些情况下(如仅通过实质程序无法应对重大错报风险)注册会计师必须通过实施控制测试，才可能有效应对评估出的某一认定的重大错报风险；而在另一些情况下(如注册会计师的风险评估程序未能识别出与认定相关的任何控制，或注册会计师认为控制测试很可能不符合成本效益原则)，注册会计师可能认为仅实施实质程序就是适当的。
小型被审计单位可能不存在能够被注册会计师识别的控制活动，注册会计师实施的进一步审计程序可能主要是实质程序。但是，注册会计师始终应当考虑在缺乏控制的情况下，仅通过实施实质程序是否能够获取充分、适当的审计证据。
还需要特别说明的是，注册会计师对重大错报风险的评估毕竟是一种主观判断，可能无法充分识别所有的重大错报风险，同时内部控制存在固有局限特别是存在层凌驾于内部控制之上的可能)，因此，无论选择何种方案，注册会计师都应当对所有重大的各类交易、账户余额、列报设计和实施实质程序。

增强社会公众对行业的信心、评估和应对重大错报风险要求注册会计师将识别，有利于降低审计失败发生的概率；有利于严格审计程序，提高整个行业的专业水平、评估和应对风险的关键程序形成审计工作记录；有利于明确审计责任；有利于促使注册会计师掌握新知识和新技能，以保证执业质量，因此，明确执业责任，以及依据风险评估结果实施进一步审计程序的影响很大，审计风险准则对注册会计师风险评估程序。

审计风险准则的出台，识别，也影响到审计工作的各个方面，实施有效的质量控制。同时
　　1、识别风险的关键程序：是指注册会计师采取了哪些关键的审计程序用以识别、发现可能的风险项目，主要包括向被审计单位相关行业资深人士访谈、根据所在行业特点分析、行业期刊里批露的与该行业相关或不分行业普遍存在的、常见的主要风险项目，这些风险可以归纳为固有风险和控制风险两大类；
　　2、评估风险的关键程序：识别的作用主要在于发现具体的风险项目，而评估的目的是了解此风险的大小或严重程度。主要通过分析金额与质来评估风险。通常，与舞弊相关的风险属于高风险，与错误相关的则属于低风险，涉及金额较大的为高风险，较低的则为低风险。注册会计师需要采取一定的审计程序来判断风险的大小。这里提到的风险，也是指固有风险和控制风险。
　　3、应对风险的关键程序：应对，是指已经了解风险项目及其大小，注册会计师应当如何将审计风险控制在可以接受的水平。由于审计风险＝固有风险*控制风险*检查风险，现在已经清楚前两项风险的情况，需要根据这个情况来确定检查风险可以接受的范围。简单的说，就是如果被审计单位的固有风险及控制风险综合水平是高的，那么可以接受的检查风险只能是低，意味着注册会计师需要设计范围更广、更深、更多的审计程序，以防止重大错报或漏报。不过，由于审计程序越复杂、抽查量越大，审计成本（也包括时间成本）也就越大，注册会计师在审计成本高到不可接受时，应当重新考虑审计业务是否可以接受。
　　4、形成审计工作记录。即要求将注册会计师实施的以上关键审计程序记录于审计工作底稿。

第十五条注册会计师应当了解与审计相关的内部控制。虽然大部分与审计相关的控制可能与财务报告相关，但并非所有与财务报告相关的控制都与审计相关。确定一项控制单独或连同其他控制是否与审计相关，需要注册会计师作出职业判断。第十六条在了解与审计相关的控制时，注册会计师应当通过将询问被审计单位内部人员和其他程序结合使用，评价这些控制的设计，并确定其是否得到执行。第十七条注册会计师应当了解控制环境。作为了解控制环境的一部分，注册会计师应当评价：（一）层在治理层的下，是否营造并保持了诚实守信和合乎道德的文化；（二）控制环境总体上的优势是否为内部控制的其他要素提供了适当的基础，以及这些其他要素是否未被控制环境中存在的缺陷所削4弱。第十八条注册会计师应当了解被审计单位是否已建立风险评估过程，包括：（一）识别与财务报告目标相关的经营风险；（二）估计风险的重要；（三）评估风险发生的可能；（四）决定应对这些风险的措施。第十九条如果被审计单位已建立风险评估过程，注册会计师应当了解风险评估过程及其结果。如果识别出层未能识别的重大错报风险，注册会计师应当评价是否存在潜在风险，即注册会计师预期被审计单位风险评估过程应当识别出的风险。如果存在这种潜在风险，注册会计师应当了解风险评估过程未能识别出的原因，并评价风险评估过程是否适合具体情况，或者确定与风险评估过程相关的内部控制是否存在重要缺陷。第二十条如果被审计单位未建立风险评估过程，或具有非正式的风险评估过程，注册会计师应当与层讨论是否识别出与财务报告目标相关的经营风险以及如何应对这些风险。注册会计师应当评价缺少记录的风险评估过程是否适合具体情况，或确定是否表明存在内部控制重要缺陷。第二十一条注册会计师应当从下列方面了解与财务报告相关的信息（包括相关业务流程）：（一）在被审计单位经营过程中，对财务报表具有重大影响的各类交易；（二）在信息技术和人工中，对被审计单位的交易生成、记录、处理、必要的更正、结转至总账以及在财务报表中报告的程序；（三）用以生成、记录、处理和报告（包括纠正不正确的信息以及信息如何结转至总账）被审计单位交易的会计记录、支持信息和财务报表中的特定账户；（四）被审计单位的信息如何获取除交易以外的对财务报表重大的事项和情况；（五）用于编制被审计单位财务报表（包括作出的重大会计估计和披露）的财务报告流程；（六）与会计分录相关的控制，这些分录包括用以记录非经常的、异常的交易或调整的非标准会计分录。第二十二条注册会计师应当了解被审计单位如何沟通与财务报告相关的人员的角和职责以及与财务报告相关的重大事项。这种沟通包括：（一）层与治理层之间的沟通；（二）外部沟通，如与机构的沟通。第二十三条注册会计师应当了解与审计相关的控制活动。与审计相关的控制活动，是注册会计师为评估认定层次重大错报风险并设计进一步审计程序应对评估的风险而认为有必要了解的控制活动。审计并不要求了解与财务报表中每类重大交易、账户余额和披露或与其每项认定相关的所有控制活动。第二十四条在了解被审计单位控制活动时，注册会计师应当了解被审计单位如何应对信息技术导致的风险。第二十五条注册会计师应当了解被审计单位用于与财务报告相关的内部控制的主要活动，包括了解针对与审计相关的控制活动的，以及被审计单位如何对控制缺陷采取补救措施。第二十六条如果被审计单位具有内部审计职能，注册会计师应当了解下列事项，以确定内部审计职能是否可能与审计相关：（一）内部审计职能责任的质以及内部审计职能如何适合被审计单位的组织结构；（二）内部审计职能已实施或拟实施的活动。第二十七条注册会计师应当了解被审计单位活动所使用信息的来源，以及层认为信息对于实现目的足够可靠的依据。

重大错报风险=战略风险×经营流程风险×控制风险×会计风险
一、识别重要战略风险
（一）初步了解企业重要战略风险
“中国注册会计师审计准则第1211 号——了解被审计单位及其环境并评估重大错报风险”中强调：注册会计师应当了解被审计单位及其环境，以足够识别和评估财务报表重大错报风险并列举了注册会计师应从哪些方面了解被审计单位及其环境。其中，被审计单位的战略目标及相关的经营风险是注册会计师应该考虑的重要因素之一。
注册会计师在取得一个新客户的背景资料并评估相关的风险因素后，需要决定是否接受委托。如果注册会计师决定接受这一客户，那么就需要签订业务约定书并组织审计程序。在审计开始后的第一阶段，注册会计师需要了解企业的战略目标。
由于企业的战略经营风险和流程经营风险大部分会产生财务后果，从而影响到财务报表，注册会计师只有通过考察识别客户的战略风险，才能够有效地实施其它的审计程序，从而恰当有效地得出审计结论。注册会计师主要是通过分析外部环境中威胁企业成功执行战略的潜在风险因素来识别战略风险的，主要的分析工具有：企业层面的经营模式分析、PEST分析、波特五力分析、资源基础模型、SWOT分析等。
注册会计师需要在综合分析中初步识别出客户所面临的重要战略风险，客户如果想获得成功并达到目标，必须有效地这些风险。层对风险得越有效，注册会计师在业务中期望发现的问题就越少。为了更有效地了解战略风险的质，形成在战略分析阶段对重要战略风险的结论，注册会计师需要了解客户当局如何进行战略以及战略的效果如何。
（二）合理评估企业重要战略风险
注册会计师在利用宏观环境的PEST 分析和行业环境的波特五力分析等分析工具初步识别企业的重要战略风险后，需要关注企业采取了哪些方法避免或减少这些风险的威胁，结果又是如何?企业的层有很多方法来降低外部风险的威胁，从而使外部风险不会对企业造成重大影响。
注册会计师可以通过询问、观察和检查等方法取得对企业所采取行动的了解。具体而言，企业针对战略风险所采取的措施可以从各种会议纪要或决议、内部作手册、企业对外、人事调整、组织机构调整、层所使用的定期报告等渠道获得。在了解企业对战略风险采取的控制措施后，注册会计师要评估这种反应（措施）是不是最佳的反应方式，是否得到执行，执行的效果如何。
对企业采取的战略风险控制措施进行评估后，注册会计师就可以进一步对战略风险进行判断。注册会计师可以根据有效的战略风险控制，将战略风险的严重程度下调，但这种下调必须有足够的证据支持控制是有效的。对战略风险控制的分析与测试可以帮助注册会计师判断初步识别的战略风险是否得到了有效的控制，注册会计师最终需要形成对重要战略风险的结论及其对审计的影响。
二、确定关键流程风险
（一）关键经营流程的识别
⒈通过重要战略风险识别出关键经营流程
在战略分析的最后阶段，注册会计师需要汇总已经识别出的战略风险，对战略风险是否重要作出最终判断。如果这一战略风险比较重要，而且对会计报表的影响也比较重要，那么这一战略风险所指向的经营流程是哪一个，这个经营流程就是关键经营流程,也就是流程风险中必须重点分析的对象。注册会计师一般是通过编制战略风险汇总表的形式完成的。注册会计师在审计工作中所收集的证据都必须记录于工作底稿，作为审计证据。战略风险汇总表也是审计工作底稿的一部分，它是联系战略分析与流程分析的纽带。
⒉通过重要交易类别识别出关键经营流程
在战略分析的最后阶段，注册会计师应该根据对企业经营的了解确定对企业经营业务的重要交易类别的认识，并汇总每一重要交易类别对相关会计报表认定的影响，以及这一影响对会计报表整体是否重要。如果这一影响对会计报表整体重要，那么准备在哪一个经营流程对之进行具体的分析，这一经营流程就是重要交易类别所指向的关键经营流程。
注册会计师通过识别出的重要战略风险和重要交易类别以及它们对会计报表的影响，从而推导出关键经营流程，以便在流程分析中对其进行详细分析。
（二）流程层次经营风险的确定
流程层次的经营风险可能来源于战略风险，也可能从流程内部产生，很多战略风险可能在流程中表现为特定的风险。比如，外部环境中的技术风险将对关键流程中的技术产生直接的影响。流程内部产生的风险只与特定的流程相关，但它们也影响企业经营目标的实现。在流程分析阶段，注册会计师对于战略风险对流程的影响只需要根据对战略风险和流程运营的了解将其成流程经营风险即可。因此，在流程分析阶段，最需要关注的是产生于经营环节的特定风险。
三、合理评估企业重大错报风险
（一）企业环境中重大错报风险的评估
重大错报风险的评估过程是一个由数学模型计算、审计人员经验判断、主观估计相结合的过程。审计人员在分析、评估风险时应先从审计环境入手，全面分析、评估审计环境中引起重大错报风险的因素后，再深入到报表层次，最后重点评估认定层次的重大错报风险。
审计人员在接受委托时应全面了解企业的环境控制业务承接过程中的审计风险，包括初步了解行业背景、国家对企业的特殊政策、组织结构、经营方式、企业近期业务发展状况、企业目前面临的机遇和挑战、将要进行的重大决策、高层人员的意图、对审计人员的期望及要求等，然后作出详细调查分析表。根据审计人员的经验初步评估审计风险，利用风险矩阵等方法决定是否接受委托。
（二）财务报表层次重大错报风险的评估
⒈资产负债表
通过测算年末流动比率、资产负债率、速动比率、应收账款周转率、流动资产比例、固定资产比例、净资产比例、资产负债表各项目占总资产的比例、资产负债表各项目增长率等，进行分析复核。将上述指标与同行业平均指标、企业近三年的同类指标相比较，掌握其变动趋势，分析变动原因。一般来说，若企业各项指标高于或低于平均指标20%以上，而且没有合理解释则重大错报风险较高；若偏离幅度在10%至20%之间，重大错报风险可评估为中级；若偏离幅度在10%以下则风险可评估为低级。（将20%作为临界点的原因：根据审计经验和人们普遍对风险的心理承受能力)
⒉利润及利润分配表
通过测算毛利率，各项费用与主营业务收入的比例，其他业务收入、营业外收入、投资收益与主营业务收入的比例，近三年同类指标变动率,进行分析复核。将上述指标与同行业平均指标相比较，掌握其变动趋势，分析变动原因。一般来说，若企业各项指标高于或低于平均指标20%以上，而且没有合理解释，则重大错报风险较高；若偏离幅度在10%至20%之间，重大错报风险可评估为中级；若偏离幅度在10%以下则风险可评估为低级。
⒊流量表
流量表中重大错报风险的评估应结合资产负债表和损益表的重大错报风险的评估进行。资产负债表和损益表中的重大错报一般会在流量表上反映出来，审计人员可根据对上述两个报表的风险评估大致估计流量表的风险水平。
四、制定具体审计程序
（一）一般审计程序
注册会计师评估的财务报表整体层次重大错报风险以及所采取的总体应对措施，对拟实施进一步审计程序的整体审计策略具有重大影响。注册会计师根据财务报告整体层次的重大错报风险制订总体应对策略，在总体应对策略的指导下制订和实施针对认定层次重大错报风险的进一步审计程序，整体策略对多个认定的审计策略都有直接影响。拟实施进一步审计程序的整体审计策略包括实质策略和综合策略。实质策略是指注册会计师实施的进一步审计程序以实质程序为主；综合策略是指注册会计师在实施进一步审计程序时同时采用控制测试与实质程序。
与认定层次相比，注册会计师在财务报表整体层次运用风险模型时只是针对评估的财务报表层次的重大错报风险，更侧重于从整体上采取应对措施和考虑对拟实施进一步审计程序的整体审计策略的重大影响。由于财务报表整体层次的重大错报风险会影响多个认定，只有将风险模型运用于这两个层次，使二者很好地配合，才可能最终将审计风险降至可接受的低水平。注册会计师对报表层次重大错报风险的评估和对总体应对措施及其对整体审计策略重大影响的考虑的失当，将对认定层次重大错报风险的评估和检查产生广泛的决定的不利后果。因此，不能轻视新风险模型在财务报表整体层次的运用问题。
（二）进一步审计程序
基于重大错报风险的审计风险模型，要求注册会计师针对评估的认定层次重大错报风险设计和实施进一步审计程序，包括审计程序的质、时间和范围，并应当以对认定层次的重大错报风险的相关评估结果为基础，同时考虑既定的审计风险水平。
进一步审计程序是指注册会计师针对评估的各类交易、账户余额及列报与披露的认定层次的重大错报风险所实施的审计程序，包括控制测试和实质测试。注册会计师设计和实施进一步审计程序，既包括审计程序的目的（控制测试或实质程序）、类型（检查、观察、询问、函证、重新计算、重新执行或分析程序），也包括进一步审计的时间（指审计对象的发生时点或期间）和范围（指实施某项审计程序的数量及样本）。如果注册会计师对重大错报风险的评估认为预期控制运行是有效的，就必须执行控制测试以支持该评估结果。另外，注册会计师还应当以认定层次重大错报风险的评估结果为基础，考虑既定的审计风险水平，确定可接受的检查风险水平，再据此计划和实施实质测试程序。
注册会计师决定信赖被审计单位的内部控制时，需要执行控制测试，其目的是测试内部控制在防止、发现和纠正认定层次重大错报风险方面的有效,并据此再评估认定层次的重大错报风险。当注册会计师认为风险评估程序所识别的风险是需要特别考虑的重大风险，或是仅通过实质程序不能提供认定层次充分、适当的审计证据时，注册会计师就应当针对此类风险设计实施控制测试。同时，新准则又强调注册会计师应保持职业怀疑态度，即使评估的认定层次的重大错报风险较低，说明预期内部控制较好，也必须执行控制测试，以支持该评估结果。因此，大多数情况册会计师都要进行控制测试。
无论内部控制是否有效，都要对各类重大交易、账户余额及列表与披露实施实质测试。注册会计师通过实质测试检查认定层次的重大错报风险，发现认定层次的重大错报，降低检查风险至可接受水平。按照基于重大错报风险的审计风险模型的要求，注册会计师应当以对认定层次的重大错报风险的评估结果为基础，并考虑既定的审计风险水平，来确定可接受的检查风险水平，再据此计划和实施实质程序。在既定的审计风险水平下，可接受检查风险水平与认定层次重大错报风险的评估结果呈反向关系。检查风险取决于实质测试设计和执行的有效，注册会计师应当合理设计实质测试的质、时间和范围并有效执行，将检查风险降至可接受的水平。

需要特别考虑的重大错报风险

需要特别考虑的重大错报风险
（一）特别风险的含义
作为风险评估的一部分，注册会计师应当运用职业判断，确定识别的风险哪些是需要特别考虑的重大错报风险（以下简称特别风险）。
（二）确定特别风险时应考虑的事项
在确定哪些风险是特别风险时，注册会计师应当在考虑识别出的控制对相关风险的抵消效果前，根据风险的质、潜在错报的重要程度（包括诙风险是否可能导致多项错报）和发生的可能，判断风险是否属于特别风险。
在确定风险的质时，注册会计师应当考虑下列事项：(1)风险是否属于舞弊风险；(2)风险是否与近期经济环境、会计处理方法和其他方面的重大变化有关；(3)交易的复杂程度；(4)风险是否涉及重大的关联方交易；(5)财务信息计量的主观程度，特别是对不确定事项的计量存在较大区间；(6)风险是否涉及异常或超出正常经营过程的重大交易。
（三）非常规交易和判断事项导致的特别风险
日常的、不复杂的、经正规处理的交易不太可能产生特别风险。特别风险通常与重大的非常规交易和判断事项有关。
非常规交易是指由于金额或质异常而不经常发生的交易。例如，企业购并、债务重组、重大或有事项等。由于非常规交易具有下列特征，与重大非常规交易相关的特别风险可能导致更高的重大错报风险：(1)层更多地介入会计处理；(2)数据收集和处理涉及更多的人工成分；(3)复杂的计算或会计处理方法；(4)非常规交易的质可能使被审计单位难以对由此产生的特别风险实施有效控制。
判断事项通常包括做出的会计估计。如资产减值准备金额的估计、需要运用复杂估值技术确定的公允价值计量等。由于下到原因，与重大判断事项相关的特别风险可能导致更高的重大错报风险：(1)对涉及会计估计、收入确认等方面的会计原则存在不同的理解；(2)所要求的判断可能是主观和复杂的，或需要对未来事项做出假设。
（四）考虑与特别风险相关的控制
了解与特别风险相关的控制，有助于注册会计师制定有效的审计方案予以应对。对特别风险，注册会计师应当评价相关控制的设计情况，并确定其是否已经得到执行。由于与重大非常规交易或判断事项相关的风险很少受到日常控制的约束，注册会计师应当了解被审计单位是否针对该特别风险设计和实施了控制。
例如，做出会计估计所依据的假设是否由层或专家进行复核，是否建立了做出会计估计的正规程序，重大会计估计结果是否由治理层批准等。再如，层在收到重大诉讼事项的时采取的措施，包括这类事项是否提交适当的专家（如内部或外部的法律顾问）处理、是否对该事项的潜在影响做出评估、是否确定该事项在财务报表中的披露问题以及如何确定等。
如果层未能实施控制以恰当应对特别风险，注册会计师应当认为内部控制存在重大缺陷，并考虑其对风险评估的影响。在此情况下，注册会计师应当就此类事项与治理层沟通。
此外，如果计划测试旨在减轻特别风险的控制运行的有效，注册会计师不应依赖以前审计获取的关于内部控制运行有效的审计证据。注册会计师应当专门针对识别的风险实施实质程序，由于实质分析程序单独并不足以应对特剔风险，注册会计师应当实施细节测试，或将实质分析程序与细节测试结合运用。