在财务报表审计中应如何进行风险评估？

基本原理为了解被审计单位及其环境，识别和评估财务报表重大风险而实施的程序。在风险导向审计模式下，CPA以重大错报风险的识别、评估和应对为审计工作的主线，最终将审计风险控制在可接受水平；风险的识别和评估是审计风险控制流程的起点。通过风险识别找出财务报表层次和认定层次的重大错报风险；通过风险评估对重大错报发生的可能性和严重程度进行评估。作用：确定重要性水平，并评估是否仍适当；考虑会计政策的选择和运用、财报的列报是否恰当、识别需要特别考虑的领域（关联方交易、持续经营假设的合理性或交易是否具有商业目的）、确定在实施分析程序时所用的预期值、设计和实施进一步审计程序将审计风险降至可接受水平、评价所获取审计证据的充分性和适当性。了解被审计单位及其环境是一个动态的过程，低于管理层为经营管理企业的了解程度。内容：询问被审计单位管理层和内部其他相关人员：询问管理层和财务负责人所关注的主要问题，单位最近的财务状况、经营成果、现金流量，可能影响财报的交易或事项或目前发生的重大会计处理问题，单位的其他重要变化；询问治理层了解财报编制的环境；询问内部审计人员了解对内控设计和运行有效性实施的内部审计程序以及管理层发现内部审计问题是否采取适当的措施；对参与生成、处理或记录复杂或异常交易的员工评价单位选择和运用某项会计政策的恰当性；询问内部法律顾问合规情况；询问营销和销售人员了解单位的销售策略、趋势与客户的合同安排。分析程序 通过研究不同财务数据及财务数据与非财务数据之间的内在关系，对财 务信息作出评价，有助于识别异常的交易或事项，以及对财报和审计产 生影响的金额、比率和趋势。观察和检查观察单位的经营活动、检查文件记录和内部控制手册、阅读管理层和治理层编制的报告、实地查看单位的生产经营场所和厂房设备、追踪交易在财报信息系统中的处理过程（穿行测试）。其他审计程序和信息来源向询问单位聘请的法律顾问、投资顾问、财务顾问、专业评估师信息来源：接受和保持客户关系中获取的信息，向被审计单位提供其他服务获取的信息，联系审计业务获取的信息，单位变化及环境变化导致信息不具有相关性项目组内部的讨论：关键成员参与讨论，目标在于更好地了解由于错误或舞弊导致财报重大错报的可能性、实施审计程序的结果如何影响审计的其他方面，应当讨论被审计单位面临的风险、财报容易发生错报的领域及错报方式，特别是由于舞弊发生重大错报的可能性，根据情况在整个审计过程中持续交流。具体步骤一、了解被审计单位及其环境行业状况、法律监管环境及其他外部因素行业状况：市场供求与竞争、生产经营的季节性和周期性、与产品相关的成产技术、能源供应与成本、行业的关键指标和统计数据法律监管：会计原则和行业惯例，产生重大影响的法规监管、税收政策、政府政策、环保要求其他外部因素：总体经济情况、利率、融资的可获得性、通货膨胀水平或币值变动等被审计单位的性质 所有权结构、治理结构、经营活动、投资活动（投资并购）、筹资活动、财务报告被审计单位对会计政策的选择和运用 重大或异常交易的处理办法、有争议或新兴领域采用重要会计政策产生的影响、会计政策的变更、新准则的适用；还应特别关注是否采用激进的会计政策、方法、估计和判断，财会人员的知识、经验和能力、足够的人力资源支持会计政策的适用被审计单位的目标、战略以及相关经营风险 举例：行业发展面对不具备足以应对行业变化的人力资源和业务专长、开发新产品和服务面对产品责任增加、业务扩张面对市场需求的估计不准确、新的会计要求面对不当执行要求或会计处理成本增加、监管要求面对法律责任增加、本期及未来的融资条件面对由于无法满足融资条件而失去融资成本、信息技术的运用面对信息系统与业务流程难以融合、实施战略的影响面对执行新要求不当或不完整经营风险比财报重大错报风险范围更广，并非所有经营风险与财报相关，可能直接影响财报或认定层次重大错报风险被审计单位的财务业绩的衡量和评价 关注衡量结果和衡量指标可靠性二、了解被审计单位的内部控制内控为被审计单位为了合理保证财报的可靠性、经营的效率和效果、对法律法规的遵守，由治理层、管理层和其他人员设计与执行的政策与程序内控要素：控制环境、风险评估过程、与财报相关的信息系统和沟通、控制活动、对控制的监督与审计相关的控制：只了解与财报审计相关的内控，单位目标与为实现目标提供的合理保证的控制之间存在直接关系判断内控是否与审计相关时考虑事项：重要性、相关风险的重要程度、单位规模、性质、经营的多样性复杂性、适用的法律法规、内控情况和适用的要素、内控组成部门的性质和复杂性、一项特定控制是否以及如何防止或发现并纠正错报对内控了解的深度评价内控的设计确定是否得到执行，不包括对内控是否得到一贯执行的测试获取内控设计和执行的审计证据：询问单位人员、观察特定控制的运用 检查文件和报告、穿行测试追踪交易在财报信息系统中的处理过程，了解内控程序不包括分析和重新执行 除非存在某些使得控制一贯运行的自动化控制，否则对控制的了解不足以测试内控运行的有效性内控人工和自动化成分内控的局限性 在决策时人为判断可能错误和人为失误导致内控失效，可能由于两个或更多的人员串通或管理层不当地凌驾于内控之上被规避、内控人员素质不适应、成本效益问题、出现不经常发生或未预计到的业务控制环境具有广泛影响 了解要素：对诚信和道德价值观念的沟通与落实、对胜任能力的重视、治理层的参与程度、管理层的理念和经营风格、组织结构及职权责任的分配、人力资源政策与实务 指治理层管理层职能及对内控及其重要性的态度、认识和措施被审计单位的风险评估过程即识别与财报相关的经营风险以及所采取的措施信息系统（与财报相关的信息系统的职能：识别与记录所有的有效交易、及时详细地描述交易以便在财报中对交易的金额作出恰当分类、恰当计量交易以便在财报中对交易的金额作出准确性记录、恰当确定交易生成的会计期间、在财报中恰当列报交易及相关披露控制活动（授权、信息处理、业绩评价、实务控制、职责分离）对控制的监督 通常管理层通过持续的监督、单独的评价或者两者结合实现对控制的监督在整体层面和业务流程面了解内部控制整体层面（对内控所有业务流程中得到严格的设计和执行具有重要影响）：控制环境、风险评估、对控制的监督、信息技术的一般控制、管理层凌驾于内控之上集中处理、期末财报流程、针对关键经营风险的政策业务流程：控制活动、信息系统与沟通、信息技术应用控制三、评估重大错报风险财报层次、认定层次、需要特别考虑的、仅实施实质性程序无法应对的重大错报风险（应评价内控并确定执行情况，对内控进行了解、评估和测试），对风险评估的修正（动态持续过程）确定特别风险应考虑的因素：风险是否属于舞弊风险，是否与近期经济环境、会计处理方法和其他方面的重大变化有关，交易的复杂程度，是否涉及重大关联方交易，财务信息计量的主管程度计量结果是否存在高度不确定事项；对特别风险应评价针对该风险的内控设计及执行有效性。