审计风险评估与内部控制流程.docxVIP

审计风险评估与内部控制流程

一、审计风险评估：审计决策的导航系统

审计风险评估并非一个孤立的步骤，而是贯穿于整个审计过程的动态活动。它要求审计人员运用专业判断，对被审计单位可能存在的重大错报风险进行前瞻性的识别、分析和评估，为后续审计程序的性质、时间安排和范围确定提供依据。

（一）审计风险的内涵与构成要素

审计风险是指当财务报表存在重大错报时，注册会计师发表不恰当审计意见的可能性。其核心构成要素包括固有风险、控制风险和检查风险。固有风险是指在考虑相关的内部控制之前，某类交易、账户余额或披露的某一认定易于发生错报的可能性。控制风险则是指某类交易、账户余额或披露的某一认定发生错报，该错报单独或连同其他错报是重大的，但没有被内部控制及时防止或发现并纠正的可能性。检查风险是指如果存在某一错报，该错报单独或连同其他错报可能是重大的，注册会计师为将审计风险降至可接受的低水平而实施程序后没有发现这种错报的风险。三者之间的关系可用经典的审计风险模型表示：审计风险=固有风险×控制风险×检查风险。在既定的审计风险水平下，可接受的检查风险水平与评估的认定层次重大错报风险（固有风险与控制风险的综合水平）呈反向关系。

（二）风险评估的流程与方法

1.初步业务活动与风险评估程序的启动：审计工作伊始，注册会计师需通过初步业务活动，评估自身与被审计单位之间的独立性、专业胜任能力以及管理层的诚信度，这是控制审计风险的第一道防线。随后，通过实施风险评估程序，包括询问管理层和内部其他相关人员、分析程序、观察和检查等，全面了解被审计单位及其环境，包括行业状况、法律环境与监管环境以及其他外部因素，被审计单位的性质，会计政策的选择和运用，目标、战略以及相关经营风险，财务业绩的衡量和评价等。

2.识别和评估重大错报风险：在充分了解的基础上，审计人员需识别和评估财务报表层次以及各类交易、账户余额和披露认定层次的重大错报风险。这一过程需要运用职业判断，关注那些可能表明存在重大错报风险的事项和情况，例如复杂的联营或合资、重大的关联方交易、会计计量过程复杂、存在未决诉讼或或有事项等。对于识别出的重大错报风险，审计人员还需评估其发生的可能性和潜在影响程度。

3.确定可接受的检查风险水平：基于对重大错报风险的评估结果，注册会计师需运用审计风险模型，确定可接受的检查风险水平。较高的重大错报风险通常意味着需要较低的可接受检查风险，进而要求实施更广泛、更深入的实质性程序；反之，则可适当调整实质性程序的范围和性质。

二、内部控制流程：企业风险的防御机制与审计的重要依托

内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计与执行的政策及程序。有效的内部控制能够显著降低控制风险，从而为审计工作提供坚实的基础。

（一）内部控制的要素与目标

内部控制体系通常包含五个相互关联的要素：控制环境、风险评估过程、信息系统与沟通、控制活动以及对控制的监督。控制环境设定了被审计单位的内部控制基调，影响员工的控制意识，是其他内部控制要素的基础。风险评估过程旨在识别、分析和管理影响被审计单位实现目标的各种风险。信息系统与沟通则确保与财务报告相关的信息能够被及时、准确地识别、capture、处理和传递。控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括授权、业绩评价、信息处理、实物控制和职责分离等。对控制的监督是指评价内部控制在一段时间内运行有效性的过程，包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。

内部控制的目标主要包括：合理保证经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。其中，与审计工作直接相关的是财务报告的可靠性目标。

（二）了解、评估与测试内部控制

1.了解内部控制：注册会计师应当从整体层面和业务流程层面了解内部控制。了解的深度包括评价控制的设计，并确定其是否得到执行，但不包括对控制是否得到一贯执行的测试。常用的方法包括询问被审计单位人员、观察特定控制的运用、检查文件和报告、追踪交易在财务报告信息系统中的处理过程（穿行测试）。

2.评估内部控制的设计与执行有效性：在了解内部控制的基础上，审计人员需要评估控制设计的合理性和是否得到有效执行。如果控制设计不当，或者虽然设计合理但未得到执行，那么内部控制将无法有效发挥作用，控制风险水平将较高。

3.控制测试：当存在下列情形之一时，注册会计师应当实施控制测试：（1）在评估认定层次重大错报风险时，预期控制的运行是有效的；（2）仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。控制测试的目的是测试控制运行的有效性，以支持计划的重大错报风险评估水平。控制测试的性质、时间安排和范