第八章  风险应对

「考点1」针对财务报表层次重大错报风险的总体应对措施（★★）

（一）财务报表层次重大错报风险与总体应对措施

1.注册会计师应当针对评估的财务报表层次重大错报风险确定总体应对措施

总体应对措施	向项目组强调保持职业怀疑的必要性			多怀疑
	指派更有经验或具有特殊技能的审计人员，或利用专家的工作			派高手
	提供更多的督导			要监督
	在选择拟实施的进一步审计程序时融入更多的不可预见的因素	方法	①范围：对某些未测试过的低于设定的重要性水平或风险较小的账户余额和认定实施实质性程序 ②时间：调整实施审计程序的时间，使被审计单位不可预期 ③抽样方法：采取不同的审计抽样方法，使当期抽取的测试样本与以前有所不同 ④地点：选取不同的地点实施审计程序，或预先不告知被审计单位所选定的测试地点	不一样
		思路	①需要与被审计单位的管理层事先沟通，要求实施具有不可预见性的审计程序，但不能告知其具体内容。注册会计师可以在签订审计业务约定书时明确提出这一要求 ②对于不可预见性程度没有量化的规定 ③项目合伙人需要安排项目组成员有效地实施具有不可预见性的审计程序，但同时要避免使项目组成员处于困难境地
	对拟实施审计程序的性质、时间安排或范围作出总体修改	报表层次重大错报风险源于薄弱的控制环境。控制环境存在缺陷，注册会计师在对拟实施审计程序的性质、时间安排和范围作出总体修改时应当考虑∶ ①在期末而非期中实施更多的审计程序 【提示】控制环境的缺陷通常会削弱期中获得的审计证据的可信赖程度 ②通过实施实质性程序获取更广泛的审计证据 【提示】控制环境存在缺陷通常会导致注册会计师可能无法信赖内部控制，而主要依赖实施实质性程序获取审计证据 ③增加拟纳入审计范围的经营地点的数量		更严格

2.增加审计程序不可预见性的示例

审计领域	可能适用的不可预见性审计程序
存货	向以前审计过程中接触不多的员工询问，例如采购、销售、生产人员等
	在不事先通知情况下，选择一些以前未曾到过的盘点地点进行存货监盘
现金和银行存款	多选几个月的银行存款余额调节表进行测试
	对有大量银行账户的，考虑改变抽样方法
销售和应收账款	向以前审计中接触不多或未曾接触过的被审计单位员工询问，例如负责处理大客户账户的销售部人员
	改变实质性分析程序的对象，例如按细类分析收入
	针对销售和销售退回延长截止测试期间
	实施以前未曾考虑过的程序，例如：①函证销售条款或者选定销售额较不重要、以前未曾关注的销售交易；②实施更细致分析程序；③测试以前未曾函证的账户，如金额为负或零的账户或低于以前设定的重要性水平的账户；④改变函证日期，把函证截止日提前或推迟；⑤对关联公司销售和相关账户余额，除函证外，实施其他程序验证
采购和应付账款	如果以前未曾对应付账款余额普遍进行函证，可考虑直接向供应商函证确认余额。如果经常采用函证方式，可考虑改变函证的范围或者时间
	对以前由于低于设定的重要性水平而未曾测试过的采购项目，进行细节测试
	使用计算机辅助审计技术审阅采购和付款账户，以发现特殊项目，如不同供应商使用相同银行账户
固定资产	对以前由于低于设定的重要性水平而未曾测试过的固定资产进行测试，例如考虑实地盘查一些价值较低的固定资产，如汽车和其他设备
集团审计项目	修改组成部分审计工作的范围或者区域（如增加某些不重要的组成部分的审计工作量，或实地去组成部分开展审计工作）

【提示】上述案例考察客观题，首先你要知道什么程序属于常规程序，和常规程序不同就属于具有不可预见性。

（二）总体应对措施对拟实施进一步审计程序的总体审计方案的影响

注册会计师评估的财务报表层次重大错报风险以及采取的总体应对措施，对拟实施的进一步审计程序的总体审计方案具有重大影响。

当重大错报风险很高时（控制风险也很高），控制往往无效，以实质性程序为主。

审计方案的选择：
综合性方案	①内部控制预期有效（前提：符合成本效益原则） ②仅实施实质性程序无法应对重大错报风险
实质性方案	①内部控制预期无效 a.没有控制；b.有内控，但是设计不合理或没有得到执行 ②控制测试不符合成本效益原则 ③评估的重大错报风险很高

【提示】除非特别说明，绝大多数情况下，控制测试是符合成本效益原则的。

「考点2」针对认定层次重大错报风险的进一步审计程序（★）

（一）进一步审计程序的含义和要求

1.进一步审计程序的含义

进一步审计程序相对于风险评估程序而言，是指注册会计师针对评估的各类交易、账户余额和披露认定层次重大错报风险实施的审计程序，包括控制测试和实质性程序。

2.要求

注册会计师设计和实施的进一步审计程序的性质、时间安排和范围，应当与评估的认定层次重大错报风险具备明确的对应关系。

3.设计进一步审计程序时的考虑因素

考虑因素	说明	为总体审计方案奠定基础
①风险的重要性（后果）	风险越严重或重大错报发生的可能性越大，越需要注册会计师关注和重视，越需要精心设计有针对性的进一步审计程序	①通常情况下，注册会计师出于成本效益的考虑，可以采用综合性方案设计进一步审计程序 ②风险评估程序未能识别出与认定相关的任何控制，或注册会计师认为控制测试很可能不符合成本效益原则，则可以认为仅实施实质性程序就是适当的 ③如果风险为仅实施实质性程序无法应对的重大错报风险，则必须实施控制测试 ④无论选择何种方案，注册会计师都应当对所有重大类别的交易、账户余额和披露设计和实施实质性程序
②重大错报发生的可能性（概率）
③涉及的各类交易、账户余额和披露的特征（认定）	交易、账户余额和披露不同，程序不同
④被审计单位采用的特定控制的性质（控制的类型）	不同性质的控制(尤其是人工控制或自动化控制)，程序不同
注册会计师是否拟获取审计证据，以确定内部控制在防止或发现并纠正重大错报方面的有效性（控制的评估）	如果注册会计师在风险评估时预期内部控制运行有效，随后拟实施的进一步审计程序就必须包括控制测试，且实质性程序自然会受到之前控制测试结果的影响

（二）进一步审计程序的性质

1.含义

进一步审计程序的性质是指进一步审计程序的目的和类型。

实质性程序	类型	询问、观察、检查、重新执行
	目的	发现认定层次重大错报
	类型	询问、观察、检查、函证、重新计算、分析程序

在应对评估的风险时，合理确定审计程序的性质是最重要的。这是因为不同的审计程序应对特定认定错报风险的效力不同。例如，对于与收入完整性认定相关的重大错报风险，控制测试通常更能有效应对；对于与收入发生认定相关的重大错报风险，实质性程序通常更能有效应对。

2.进一步审计程序性质的选择

①认定层次重大错报风险的评估结果。评估的风险越高，对通过实质性程序获取的审计证据的相关性和可靠性要求越高。

②评估的认定层次重大错报风险产生的原因，包括各类交易、账户余额和披露的具体特征和内部控制。例如，注册会计师可能判断某特定的交易即使不存在相关控制的情况下发生重大错报的风险仍较低，此时注册会计师可能认为仅实施实质性程序就可以获取充分适当的审计证据。

（三）进一步审计程序的时间（重点）

进一步审计程序的时间是指，注册会计师何时实施进一步审计程序，或审计证据适用的期间或时点。

1.当重大错报风险较高时，注册会计师应当考虑在期末或接近期末实施实质性程序，或采用不通知的方式，或在管理层不能预见的时间实施审计程序。

2.注会在确定何时实施审计程序时要考虑的因素：

考虑因素	说明
①控制环境	良好的控制环境可以抵销在期中实施进一步审计程序的一些局限性 【提示】控制环境越好越适宜期中
②何时能得到相关信息	某些信息可能仅在期中或期中以前发生，之后可能难以再被观察到
③错报风险的性质	例如，被审计单位可能在期末以后伪造销售合同以虚增收入，注册会计师可考虑在期末获取所有销售合同及相关资料
④审计证据适用的期间或时点	例如，对存货期末余额，不宜在与资产负债表日间隔过长的期中时点或期末以后的时点实施存货监盘等程序
⑤编制报表的时间，尤其是某些披露的时间

 

3.要注意，某些审计程序只能在期末或期末以后实施

例如：①将财务报表与会计记录相核对，检查财务报表编制过程中所作的会计调整等。

②如果被审计单位在期末或接近期末发生了重大交易，或重大交易在期末尚未完成，注册会计师应当考虑交易的发生或截止等认定可能存在的重大错报风险，并在期末或期末以后检查此类交易。

（四）进一步审计程序的范围

进一步审计程序的范围，是指实施进一步审计程序的数量，包括抽取的样本量、对某项控制活动的观察次数等。

确定进一步审计程序的范围时，注册会计师应当考虑下列因素：

①确定的重要性水平。（反向）

②评估的重大错报风险。（同向）

③计划获取的保证程度。（同向）

【提示】只有当审计程序本身与特定风险相关时，扩大审计程序的范围才是有效的。
 

「考点3」控制测试（★★★）

（一）控制测试的含义和要求

1.控制测试的含义

控制测试是指用于评价内部控制在防止或发现并纠正认定层次重大错报方面的运行有效性的审计程序。

在测试控制运行的有效性时，注册会计师应当从下列方面获取关于控制是否有效运行的证据：

①控制在所审计期间的相关时点是如何运行的；

②控制是否得到一贯执行；

③控制由谁或以何种方式执行。

从这三个方面来看，控制运行有效性强调的是控制能够在各个不同的时点按照既定设计得以一贯执行。

控制运行有效性和了解控制是否得到执行的异同
	控制运行有效性（控制测试）	了解控制是否得到执行（了解内部控制）
强调不同	控制能够在各个不同时点按照既定设计得以一贯执行（运行有效）	①评价控制设计的合理性 ②确定控制是否得到执行
程序不同	询问、观察、检查、重新执行	询问、观察、检查、穿行测试
所需证据不同	抽取足够数量的交易进行检查或观察多个不同时点	只需抽取少量的交易进行检查或观察某几个时点
相同点	为评价控制设计和确定控制是否得到执行而实施的某些风险评估程序并非为控制测试而设计，但可能提供有关控制运行有效性的审计证据，注册会计师可以考虑在评价控制设计和获取其得到执行的审计证据的同时测试控制运行有效性

举例说明：控制得到执行和控制有效的区别

某被审计单位针对销售收入和销售费用的业绩评价控制如下：财务经理每月审核实际销售收入（按产品细分）和销售费用（按费用项目细分），并与预算数和上年同期数比较，对于差异金额超过5%的项目进行分析并编制分析报告；销售经理审阅报告并采取适当措施跟进。

注册会计师抽查了最近3个月的分析报告，并看到上述管理人员在报告上签字确认，证明该控制已经得到执行。然而注册会计师在与销售经理讨论中发现他对分析报告中明显异常的数据并不了解其原因，也无法做出合理解释，从而显示该控制并未得到有效的运行。

2.控制测试的要求

控制测试并非在任何情况下都需要实施，但注册会计师应当实施控制测试的情形有：

①在评估认定层次重大错报风险时，预期控制的运行是有效的；

②仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。

（二）控制测试的性质

1.控制测试的性质的含义

控制测试的性质，是指控制测试所使用的审计程序的类型及其组合。

审计程序	说明
询问	询问本身并不足以测试控制运行的有效性，注册会计师需要将询问与其他审计程序结合使用
观察	观察是测试不留下书面记录的控制（如职责分离）的运行情况的有效方法 观察的证据仅限于观察发生的时点
检查	对运行情况留有书面证据的控制，检查非常适用
重新执行	通常重新执行程序适用于对人工控制的测试 如果需要大量的重新执行，注册会计师就要考虑通过实施控制测试以缩小实质性程序的范围是否有效 通常只有当询问、观察和检查程序结合在一起仍无法获得充分的证据时，注册会计师才考虑通过重新执行来证实控制是否有效运行。

【提示】将询问与检查或重新执行结合使用，可能比仅实施询问和观察获取更高水平的保证。

2.确定控制测试的性质时的要求

要求	说明	举例
①考虑特定控制的性质	注册会计师应当根据特定控制的性质选择所需实施审计程序的类型	例如，存在反映控制运行有效性的文件记录，可实施检查程序；否则应考虑询问、观察，或借助计算机辅助审计技术
②考虑测试与认定直接相关和间接相关的控制	在设计控制测试时，注册会计师不仅应当考虑与认定直接相关的控制，还应当考虑这些控制所依赖的与认定间接相关的控制	例如，被审计单位可能针对超出信用额度的例外赊销交易设置报告和审核制度（与认定直接相关的控制）；在测试该项制度的运行有效性时，注册会计师不仅应当考虑审核的有效性，还应当考虑与例外赊销报告中信息准确性有关的控制（与认定间接相关的控制）是否有效运行
③如何对一项自动化的应用控制实施控制测试	对于一项自动化的应用控制，由于信息技术处理过程的内在一贯性，注册会计师可以利用该项控制得以执行的审计证据和信息技术一般控制运行有效性的审计证据，作为支持该项控制在相关期间运行有效性的重要审计证据 【记忆面包】一般控制运行有效+应用控制得到执行=应用控制运行有效

3.实施控制测试时对双重目的的实现

例如，注册会计师通过检查某笔交易的发票可以确定其是否经过适当的授权，也可以获取关于该交易的金额、发生时间等细节证据。

（三）控制测试的时间

控制测试的时间所考虑的两个关键性问题是：

①在期中还是在期末进行控制测试；

②是否可以利用以前期间证据，本期不进行测试。

1.在期中开展控制测试

对于控制测试，注册会计师在期中实施此类程序具有更积极的作用！

但需要说明的是，即使注册会计师已获取有关控制在期中运行有效性的审计证据，仍然需要考虑如何能够将控制在期中运行有效性的审计证据合理延伸到期末（往后延伸，证明全年有效）。

如果已获取有关控制在期中运行有效性的审计证据，并拟利用该证据，注册会计师应当实施下列审计程序。

（1）获取这些控制在剩余期间发生重大变化的审计证据

（2）确定针对剩余期间还需要获取的补充审计证据

考虑因素	说明
①评估的认定层次重大错报风险的重要程度	同向
②在期中测试的特定控制，以及自期中测试后发生的重大变动	例如，对自动化运行的控制，可以通过测试信息系统一般控制的有效性获取控制在剩余期间运行有效的审计证据 【提示】自动化控制一贯性很强
③在期中对有关控制运行有效性获取审计证据的程度	反向 【提示】前期做得多，后期补充少
④剩余期间的长度	同向
⑤在信赖控制的基础上拟缩小实质性程序的范围	同向 【提示】对相关控制的信赖程度越高，需要补充的证据越多
⑥控制环境	反向 在注册会计师总体上拟信赖控制的前提下，控制环境越薄弱，需要的补充证据越多 【提示】如果已经薄弱到不能接受，就不需要测试了
⑦对控制的监督	测试被审计单位对控制的监督也能够作为一项有益的补充证据，以便更有把握地将控制在期中运行有效性的审计证据延伸至期末

2.如何考虑以前审计获取的审计证据

（1）如何考虑以前期间获取的审计证据

“相关”举例：如果系统变化仅仅使被审计单位从中获取新的报告，这种变化通常不影响以前审计所获取证据的相关性。

【提示】

①如果拟信赖以前审计获取的某些控制运行有效性的审计证据，注册会计师应当在每次审计时选取足够数量的控制，测试其运行的有效性。

②特别风险年年测的前提条件是注册会计师“拟信赖该控制”。

【考点收纳盒】本期必须实施控制测试的情形（不能依赖以前年度审计证据）：

①旨在减轻特别风险的控制；

②控制在本期变化，且与本期不相关；

③控制在本期没有变化，或变化但是与本期相关，同时近两年均未实施控制测试。

（2）在确定利用以前审计获取的有关控制运行有效性的审计证据是否适当以及再次测试控制的时间间隔时，注册会计师应当考虑的因素或情况包括：

因素	说明
①内部控制其他要素的有效性，包括控制环境、对控制的监督以及被审计单位的风险评估过程。	反向 例如，当被审计单位控制环境薄弱或对控制的监督薄弱时，注册会计师应当缩短再次测试控制的时间间隔或完全不信赖以前审计获取的审计证据
②控制特征（是人工控制还是自动化控制）产生的风险	当相关控制中人工成分较大时，可能在本期测试控制的有效性（稳定性差）
③信息技术一般控制的有效性	一般控制薄弱时可能更少地依赖以前获取的证据
④影响内部控制的重大人事变动	发生重大变动，可能决定在本期审计中不依赖以前审计获取的证据
⑤由于环境发生变化而特定控制缺乏相应变化导致的风险	当环境变化表明需要对控制做出相应变化，但控制却没有作出相应变动时，应当充分意识到控制不再有效，此时不应再依赖以前获取的有关控制运行有效性的审计证据
⑥重大错报的风险和对控制的信赖程度	风险较大或拟信赖程度较高，应当缩短时间间隔或完全不依赖以前的证据

（四）控制测试的范围

1.确定控制测试范围的考虑因素

因素	影响
①在拟信赖期间，被审计单位执行控制的频率	同向
②在所审计期间，注册会计师拟信赖控制运行有效性的时间长度	同向
③控制的预期偏差	同向/无效
④通过测试与认定相关的其他控制获取的审计证据的范围	反向
⑤拟获取的有关认定层次控制运行有效性的审计证据的相关性和可靠性	反向
⑥对控制的信赖程度	同向

【提示】控制测试中影响样本规模的因素也属于控制测试范围的考虑因素。

2.对自动化控制的测试范围的特别考虑

对于一项自动化应用控制，一旦确定被审计单位正在执行该控制，注册会计师通常无需扩大控制测试的范围。

3.测试两个层次控制时注意的问题（整体层次、业务流程层次）

注册会计师最好在审计的早期测试整体层次控制。原因在于这些控制测试的结果会影响其他计划审计程序的性质和范围。

「考点4」实质性审计程序（★★★）

（一）实质性程序的含义和要求

1.实质性程序的含义

实质性程序是指用于发现认定层次重大错报的审计程序。

实质性程序包括：

实质性程序	①对各类交易、账户余额和披露的细节测试和实质性分析程序；
	②将财务报表与其所依据的会计记录进行核对或调节，包括核对或调节披露中的信息，无论该信息是从总账和明细账中获取，还是从总账和明细账之外的其他途径获取；
	③检查财务报表编制过程中作出的重大会计分录和其他调整。

 

2.实质性程序的要求

（1）无论评估的重大错报风险如何，注册会计师都应当针对所有重大类别的交易、账户余额和披露实施实质性程序。

思考：这里说的“重大”是达到什么程度算作重大？

（2）针对特别风险的要求

如果认为评估的认定层次重大错报风险是特别风险，注册会计师应当专门针对该风险实施实质性程序。

如果针对特别风险实施的程序仅为实质性程序，这些程序应当包括细节测试，或将细节测试和实质性分析程序结合使用。换句话说，针对特别风险，仅实施实质性分析程序不足以获取有关特别风险的充分、适当的审计证据。

特别风险	控制测试+实质性程序（综合性方案）	控制测试+细节测试	√
		控制测试+实质性分析程序	√
		控制测试+细节测试+实质性分析程序	√
	仅实施实质性程序 （实质性方案）	细节测试	√
		细节测试+实质性分析程序	√
		实质性分析程序	×

【提示】必须包括细节测试是有前提条件的，即针对特别风险实施的程序仅为实质性程序，否则没有这一要求。

（二）实质性程序的性质

实质性程序的性质，是指实质性程序的类型及其组合。

类型		适用程序
实质性程序	细节测试	检查、询问、观察、函证、重新计算
	实质性分析程序	分析程序
	还包括	①将财务报表与其依据的会计记录进行核对或调节；
		②检查财务报表编制过程中作出的重大分录和其他调整。

（三）实质性程序的时间

实质性程序的时间所考虑的两个关键性问题是：

①在期中还是在期末进行控制测试；

②是否可以利用以前期间证据。

 

1.如何考虑是否在期中实施实质性程序

考虑因素	是否在期中实施实质性程序
①控制环境和其他相关的控制	控制越薄弱，越不宜在期中实施实质性程序
②实施审计程序所需信息在期中之后的可获得性	在期中之后可能难以获取，应考虑在期中实施实质性程序
③实质性程序的目的	目的就包括获取该认定的期中审计证据（从而与期末比较），应在期中实施实质性程序
④评估的重大错报风险	评估的某项认定的重大错报风险越高，越应当考虑将实质性程序集中于期末（或接近期末）实施
⑤特定类别交易或账户余额以及相关认定的性质	某些交易或账户余额以及相关认定的特殊性质（如收入截止认定、未决诉讼）决定了必须在期末（或接近期末）实施实质性程序
⑥针对剩余期间，能否通过实施实质性程序或将实质性程序与控制测试相结合，降低期末存在错报而未被发现的风险	如果较有把握降低期末存在错报而未被发现的风险，可以考虑在期中实施实质性程序

2.将期中审计结论合理延伸至期末

①一般：如果在期中实施了实质性程序，注册会计师应当针对剩余期间实施进一步的实质性程序，或将实质性程序和控制测试结合使用。

【记忆面包】实质性程序or控制测试+实质性程序

②特例：由于舞弊导致的重大错报风险（特别风险）

为将期中得出的结论延伸至期末而实施的审计程序通常是无效的，注册会计师应当考虑在期末或者接近期末实施实质性程序。

【提示】不能说是期末以后

3.如何考虑以前审计获取的审计证据

①在以前审计中实施实质性程序获取的审计证据，通常对本期只有很弱的证据效力或没有证据效力，不足以应对本期的重大错报风险。

②只有当以前获取的审计证据及其相关事项未发生重大变动时（例如，以前审计通过实质性程序测试过的某项诉讼在本期没有任何实质性进展），以前获取的审计证据才可能用做本期的有效审计证据。

③如果拟利用以前审计中实施实质性程序获取的审计证据，注册会计师应当在本期实施审计程序，以确定这些审计证据是否具有持续相关性。

【记忆面包】未发生重大变化+具有持续相关性=可以利用以前年度的审计证据，非常重要，原文背诵。

（四）实质性程序的范围

在确定实质性程序的范围时，注册会计师应当考虑如下因素。

综合来看	评估的认定层次重大错报风险	同向 【理解】联系风险和审计证据充分性的关系
	实施控制测试的结果	反向 如果对控制测试结果不满意，注册会计师应当考虑扩大实质性程序的范围
详细来看	细节测试	①样本量（第四章审计抽样样本规模的影响因素） ②选样方法的有效性
	实质性分析程序	①分析什么层次的数据 例如，按不同的产品线、不同的季节或月份、不同的经营地点或存货存放地点等实施实质性分析 ②需要对什么幅度或性质的偏差展开进一步调查（可接受差异额） 可接受差异额越大，作为实质性分析程序一部分的进一步调查范围就越小

（五）实施实质性程序的结果对控制测试结果的影响

情形		影响
通过实施实质性程序	未发现某项认定存在错报	并不能说明与该认定有关的控制是有效运行的
	发现某项认定存在错报	注册会计师应当考虑其对评价控制运行有效性的影响： ①降低对相关控制的信赖程度 ②调整实质性程序的性质 ③扩大实质性程序的范围
	发现被审计单位没有识别出的重大错报	通常表明内部控制存在值得关注的缺陷，注册会计师应当就这些缺陷与管理层和治理层进行沟通（链接第十四章审计沟通）

【考点收纳盒】特别风险总结

风险评估程序	确定特别风险时 考虑的因素	（1）风险是否属于舞弊风险; （2）风险是否与近期经济环境、会计处理方法或其他方面的重大变化相关，因而需要特别关注; （3）交易的复杂程度; （4）风险是否涉及重大的关联方交易; （5）财务信息计量的主观程度，特别是计量结果是否具有高度不确定性; （6）风险是否涉及异常或超出正常经营过程的重大交易。
	确定特别风险时 不考虑的因素	不应考虑识别出的控制对相关风险的抵销效果
	了解内控吗	应当了解
	确定的特别风险 种类	舞弊、管理层凌驾于内部控制之上、超出正常经营过程的重大关联方交易
风险应对程序	控制测试	针对旨在减轻特别风险的控制，不论本期是否发生变化，注册会计师都不应依赖以前年度的审计证据
	实质性程序	如果认为评估的认定层次重大错报风险是特别风险，注册会计师应当专门针对该风险实施实质性程序。如果针对特别风险实施的程序仅为实质性程序，这些程序应当包括细节测试，或将细节测试和实质性分析程序结合使用。针对特别风险，仅实施实质性分析程序不足以获取有关特别风险的充分、适当的审计证据。