审计风险评估程序六个方面

风险评估实施步骤一风评准备1. 确定风险评估的目标2.确定风险评估的范围3.组建适当的评估管理与实施团队4.进行系统调研，采取问卷调查、现场询问等方式，至少包含下列内容：•业务战略及管理制度•要紧的业务功能与要求•网络结构与网络环境，包含内部链接好外部链接•系统边界•要紧的硬件、软件•数据与信息•系统与数据的敏感性•支持与使用系统的人员5.制定方案，为之后的风评实施提供一个总体计划，至少包含：•确定实施评估团队成员•工作计划及时间进度安排6.获得最高管理者对风险评估工作的支持二资产识别资产的价值是按照资产在保密性、完整性与可用性上达到的程度或者者其未达到时造成的影响程度来决定1.资产分类根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类2.资产的赋值（五个等级：可忽略、低、中等、高、极高）•保密性赋值：根据资产在保密性上的不一致要求，对应资产在保密性上应达成的不一致程度或者者密保性缺失时对整个组织的影响，划分为五个不一致的等级•完整性赋值：根据资产在完整性上的不一致要求，对应资产在完整性上缺失时对整个组织的影响，划分为五个不一致的等级•可用性赋值：根据资产在可用性上的不一致要求，对应资产在可用性上应达成的不一致程度，划分为五个不一致的等级•3.资产重要性等级（五个等级：很低、低、中、高、很高）资产价值应根据资产在机密性、完整性与可用性上的赋值等级，通过综合评定得出。

综合评定方法，能够根据组织自身的特点，选择对资产机密性、完整性与可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果，也能够根据资产机密性、完整性与可用性的不一致重要程度对其赋值进行加权计算而得到资产的最终赋值。

加权方法可根据组织的业务特点确定。

三威胁识别威胁是一种对组织及其资产构成潜在破坏的可能性因素，是客观存在的。

1.威胁的分类根据威胁的来源，威胁可分为软硬件故障、物理环境威胁、无作为或者操作失误、管理不到位、恶意代码与病毒、越权或者滥用、黑客攻击技术、物理攻击、泄密、篡改、抵赖2.威胁的赋值（五个等级：很低、低、中、高、很高）推断威胁出现的频率是威胁识别的重要工作，评估者应根据经验与（或者）有关的统计数据来进行推断。

第二部分审计——专题二风险评估与应对一、风险评估（一）风险评估程序1.风险评估程序的具体内容注册会计师应当实施下列风险评估程序，以了解被审计单位及其环境：（1）询问管理层和被审计单位内部其他相关人员；（2）分析程序；（3）观察和检查。

2.项目组内部讨论项目组内部的讨论为项目组成员提供了交流信息和分享见解的机会。

项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式，特别是由于舞弊导致重大错报的可能性。

项目组的关键成员应当参与讨论。

（二）了解被审计单位及其环境（不包括内部控制的五个方面）注意：被审计单位经营风险的分析（三）了解被审计单位的内部控制注册会计师通过询问、观察、检查和穿行测试了解被审计单位的内部控制，以评价内部控制的设计是否合理以及是否得到执行。

在进一步审计程序中，针对设计合理且得到执行的控制，实施控制测试程序，目的是要确定内控的有效性。

注意：第一，如果控制设计不当，不需要再考虑控制是否得到执行，但仍应执行穿行测试；第二，询问本身并不足以评价控制的设计以及确定其是否得到执行，注册会计师应当将询问与其他风险评估程序结合使用；第三，除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解并不能够代替对控制运行有效性的测试。

（四）评估重大错报风险1.评估重大错报风险的审计程序2.需要特别考虑的重大错报风险注意：通常与特别风险相关的重大非常规交易和判断事项3.仅通过实质性程序无法应对的重大错报风险二、风险应对（一）针对财务报表层次重大错报风险的总体应对措施1.总体应对措施注册会计师应当针对评估的财务报表层次重大错报风险确定下列总体应对措施：（1）向项目组强调保持职业怀疑的必要性；（2）指派更有经验或具有特殊技能的审计人员，或利用专家的工作；（3）提供更多的督导；（4）在选择拟实施的进一步审计程序时融入更多的不可预见的因素；（5）对拟实施审计程序的性质、时间安排或范围作出总体修改。

项目六风险评估与风险应对一,风险评估（一）风险评估地概念与作用风险识别与评估,是指注册会计师通过实施风险评估程序,识别与评估财务报表层次与认定层次地重大错报风险。

审计风险准则规定注册会计师应当了解被审计单位与其环境,以足够识别与评估财务报表重大错报风险,设计与实施进一步审计程序。

了解被审计单位与其环境是必要程序。

（二）风险评估程序注册会计师了解被审计单位与其环境,目地是为了识别与评估财务报表重大错报风险。

为了解被审计单位与其环境而实施地程序称为"风险评估程序"。

注册会计师应当依据实施这些程序所获取地信息,评估重大错报风险。

1.风险评估程序注册会计师应当实施下列风险评估程序,以了解被审计单位与其环境:（1）询问被审计单位管理层与内部其它有关员;（2）分析程序;（3）观察与检查。

o2.其它审计程序o例如,询问被审计单位聘请地外部法律顾问,专业评估师,投资顾问与财务顾问等。

o3.项目组内部地讨论（三）了解被审计单位与其环境注册会计师应当从下列方面了解被审计单位与其环境:（1）行业状况,法律环境与监管环境以与其它外部因素;（2）被审计单位地性质;（3）被审计单位对会计政策地选择与运用;（4）被审计单位地目地,战略以与有关经营风险;（5）被审计单位财务业绩地衡量与评价;（6）被审计单位地内部控制。

（四）了解被审计单位内部控制o内部控制是被审计单位为了合理保证财务报告地可靠性,经营地效率与效果以与对法律法规地遵守（目地）,由治理层,管理层与其它员设计与执行地政策与程序。

可以从以下几方面理解内部控制:o1．内部控制地目地是合理保证:（1）财务报告地可靠性,这一目地与管理层履行财务报告编制责任密切有关;（2）经营地效率与效果,即经济有效地使用企业资源,以最优方式实现企业地目地;（3）在所有经营活动遵守法律法规地要求,即在法律法规地框架下从事经营活动。

o2．设计与实施内部控制地责任主体是治理层,管理层与其它员,组织地每一个都对内部控制负有责任。

审计风险评估程序六个方面
审计风险评估程序的六个方面包括：
1. 确定审计目标和范围：确定审计的目标，明确需要评估的风险范围，包括审计对象、审计时间段和审计范围等。

2. 收集相关信息：收集与审计对象相关的内外部信息，包括财务报表、业务文档、历史审计报告、行业分析等，以了解审计对象的背景和风险情况。

3. 识别潜在风险：通过分析收集到的信息，识别可能存在的风险，包括财务风险、合规风险、操作风险等。

同时，需要对风险进行分类和评估，确定其重要性和概率。

4. 评估风险影响：对识别到的潜在风险进行评估，分析其可能对审计目标的影响程度和潜在损失，包括经济影响、声誉影响等。

5. 制定应对策略：根据评估结果，制定相应的风险应对策略，包括风险控制措施、监测和报告机制等，以减轻潜在风险对审计目标的影响。

6. 监测和追踪风险：建立监测和追踪机制，对风险应对策略的执行情况进行监测，并及时调整和更新风险评估和应对策略，以保证审计目标的实现。

第七章 风险评估
PART1 考点框架速览
PART2 风险评估程序
风险评估程序
询问 分析程序 观察
检查 穿行测试
项目组内部讨论
实施
评估
风险评估程序
了解被审计单位及其环境
行业状况、法律环境和监管环境及其他外部因素
内部控制 重大错报风险
性质
会计政策的选择和运用 目标、战略和经营风
财务业绩的衡量与评价
PART3 了解被审计单位及其环境（三层六点）
行业状况、法律环境和监管环境及其他外部因素
性质 目标、战略 和经营风险
内部控制
会计政策的 选择和运用
财务业绩的 衡量与评价
外部环境
经营环境
财务环境
3
PART4 了解被审计单位内部控制
1.了解什么？
（1）内部控制是由治理层、
管理层和其他人员设计与执行的政策及程序，用以合理保证财务报告[目标①]的可靠性、经营[目标②]的效率和效果以及对法律法规[目标③]的遵守。

（2）内部控制五要素
了解什么
相关要求
怎么了解（方法）
内部控制五要素
对控制的监督
风险评估过程
控制活动 与财务报表相关的信息系统和沟通
控制环境
2.相关要求
3.怎么了解？
（1）询问、观察、检查、穿行测试。

【小斯批注】
需要了解和评价
与审计相关的内部控制（并非所有）
与目标相关但与审计无关的控制
注册会计师应当
在所有审计项目中了解内部控制
无需考虑
（2）从整体层面和业务流程层面了解内部控制
PART5 评估重大错报风险
评估重大错报风险
财务报表层次和认定层次特别风险。

风险评估实施步骤一风评准备1. 确定风险评估的目标2.确定风险评估的范围3.组建适当的评估管理与实施团队4.进行系统调研，采取问卷调查、现场询问等方式，至少包括以下内容：•业务战略及管理制度•主要的业务功能和要求•网络结构与网络环境，包括内部链接好外部链接•系统边界•主要的硬件、软件•数据和信息•系统和数据的敏感性•支持和使用系统的人员5.制定方案，为之后的风评实施提供一个总体计划，至少包括：•确定实施评估团队成员•工作计划及时间进度安排6.获得最高管理者对风险评估工作的支持二资产识别资产的价值是按照资产在保密性、完整性和可用性上达到的程度或者其未达到时造成的影响程度来决定1.资产分类根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类2.资产的赋值（五个等级：可忽略、低、中等、高、极高）•保密性赋值：根据资产在保密性上的不同要求，对应资产在保密性上应达成的不同程度或者密保性缺失时对整个组织的影响，划分为五个不同的等级•完整性赋值：根据资产在完整性上的不同要求，对应资产在完整性上缺失时对整个组织的影响，划分为五个不同的等级•可用性赋值：根据资产在可用性上的不同要求，对应资产在可用性上应达成的不同程度，划分为五个不同的等级3.资产重要性等级（五个等级：很低、低、中、高、很高）资产价值应依据资产在机密性、完整性和可用性上的赋值等级，经过综合评定得出。

综合评定方法，可以根据组织自身的特点，选择对资产机密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果，也可以根据资产机密性、完整性和可用性的不同重要程度对其赋值进行加权计算而得到资产的最终赋值。

加权方法可根据组织的业务特点确定。

三威胁识别威胁是一种对组织及其资产构成潜在破坏的可能性因素，是客观存在的。

1.威胁的分类根据威胁的来源，威胁可分为软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改、抵赖2.威胁的赋值（五个等级：很低、低、中、高、很高）判断威胁出现的频率是威胁识别的重要工作，评估者应根据经验和（或）有关的统计数据来进行判断。