注册会计师第七章风险评估

银行风险评估是指，在银行中风险事件发生之前或之后（但还没有结束），该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。

一、以教材为主，掌握基础知识对于注会考试，各科目的特点不一样，同学们要结合各科的特点进行备考。注会《审计》科目的特点就是晦涩难懂，满篇中国字，背后却都是洋人的思维，拿到教材感觉给人一种云山雾罩的感觉。初次接触审计知识，我建议同学们不要好高骛远，踏踏实实的研读教材，最好找到适合自己的老师带着自己学习，先把审计的基础知识弄明白了，明白审计的基础理论、基本逻辑。不要着急去做大量的习题，更不可脱离教材简单看辅导资料。由于2021年注会《审计》教材还没有发行，所以建议各位考生在此期间可以根据2020年注会考试大纲以及注会教材进行备考二、注意知识点的内在逻辑，把握教材逻辑框架审计难，主要难在了很多同学不能理清楚知识点的逻辑关系，审计说白了是一套查找问题的方法和程序。管理层已经编制好了报表，审计师的责任就是用最合理、最有效的方法去证明报表是否没有重大错报，整个教材都是围绕这个基本点展开的。因此，在审计学习中，同学们要注意围绕“一个中心，二个阶段、三个角色”来学习。“一个中心”，审计是围绕“风险”这个中心展开工作的。现代审计属于风险导向审计，也就是审计是以风险为导向的。《审计》教材第一章就介绍了审计风险模型，审计风险来源于管理层编制的报表有重大错报风险以及审计师在审计过程中的检查风险。整个《审计》教材就是紧紧围绕这个风险模型展开的。审计的过程就是如何来识别重大错报风险，如何来降低检查风险，从而最终达到审计师可以接受的低水平的审计风险。“二个阶段”就是风险的识别和评估阶段，以及在风险识别和评估基础上的风险应对。教材第七章是风险评估，详细介绍了如何来识别财务报表的风险以及如何评估这种风险的大小，目的是找到影响报表的重大错报风险。紧接着在教材在第八章就介绍了风险应对，介绍了审计师面对识别出来的重大错报风险如何去应对，也就是去证实重大错报风险是否在财务报表中形成了重大错报。然后，教材为了方便同学们理解风险的识别、评估和应对的过程，在第九章到第十二章的四大业务流程审计以及十三章和十七章的六个特殊项目审计中，具体介绍了如何来识别和评估风险，如何应对识别出来的重大错报风险。“三个角色”指的是在审计过程中涉及到的主要人员。如果我们把审计比喻成一幕话剧，那么在这幕话剧中有三个角色登场，报表使用人、管理层、审计审。报表使用人我们简单理解为投资人，老板投资后当然关心企业的经营和财务状况，因此他们是报表的使用人。管理层就是负责企业日常管理的人员，比如CEO、CFO等，他们的工作就是管理企业并编制报表。第三个角色就是审计师，审计师我们可以理解为注册会计师，他们是取得审计的专业资格从事审计的人员。那么他们三个角色是如何分工的那?首先登场的管理层，管理层拿着编制完成的报表要送给投资人，投资人考虑到报表可能包含重大错报，因此并不会直接接受管理层编制的报表，投资人就会委托注册会计师对这些报表进行审计，检查一下管理层编制的报表是否不包含有重大错报，这时候注册会计师就会隆重登场了，拿人钱财，替人消灾。注册会计师需要按照审计准则和职业道德的要求独立的开展审计，审计之后出具一个审计意见，说明报表是否公允反映，是否有重大错报。因此，审计的过程可以简单总结为：审计师按照审计准则来审计管理层编制报表，查找错报的过程。三、在学习过程中要及时做笔记和总结无论老师讲的有多好，无论你看的有多明白，无论别人总结的体系有多好，都不如自己亲自动手总结的效果好。因此，我提议同学们在第一轮的基础学习中，准备一个笔记本，在跟着老师学习的过程中，及时总结老师讲解的知识点和框架体系。在历年的教学中，凡是亲手自己认认真真做笔记和总结的同学，对审计的理解都相当到位。审计教材是翻译的教材，一定要抽丝剥茧，把自己对审计的理解和总结提炼出来，把前后的知识和体系罗列出来，及时对已混点和易错点做对比分析。第一阶段的基础工作做得越好，到最后的复习越轻松。教材越晦涩，需要自己动手丰衣足食。总结的东西都会深深的记在脑海中，因为这是真正属于你的知识产权。四、在学习过程中留意考试细节，避免犯简单错误审计报表的目的是查找错报，同学们特别需要在学习的时候既要有逻辑、有框架，也不要忽略细节。希望同学们在第一阶段的学习过程中，主要是打基础，要仔细的研读教材，特别是注意一些容易出错的点，比如审计程序是“应当”做还是“可以”做，执行审计的时间到底是“日前”还是“日后”等等。

注册会计师了解被审计单位及其环境，目的是为了识别和评估财务报表重大错报风险。为了解被审计单位及其环境而实施的程序称为“风险评估程序”。注册会计师应当依据实施这些程序所获取的信息，评估重大错报风险。

注册会计师应当实施下列风险评估程序，以了解被审计单位及其环境：

（1）询问管理层和被审计单位内部其他人员；

（2）分析程序；

（3）观察和检查注册会计师在审计过程中应当实施上述审计程序，但是在了解被审计单位及其环境的每一方面时无须实施上述所有程序。

1. 询问管理层和被审计单位内部其他人员。 询问管理层和被审计单位内部其他人员是注册会计师了解被审计单位及其环境的一个重要信息来源。注册会计师可以考虑向管理层和财务负责人询问下列事项：

（1）管理层所关注的主要问题。如新的竞争对手、主要客户和供应商的流失、新的税收法规的实施以及经营目标或战略的变化等。

（2）被审计单位最近的财务状况、经营成果和现金流量。

（3）可能影响财务报告的交易和事项，或者目前发生的重大会计处理问题。如重大的购并事宜等。

（4）被审计单位发生的其他重要变化。如所有权结构、组织结构的变化，以及内部控制的变化等。

注册会计师通过询问获取的大部分信息来自管理层和负责财务报告的人员。注册会计师也可以通过询问被审计单位内部的其他不同层级的人员获取信息，或为识别重大错报风险提供不同的视角。例如：

（1）直接询问治理层，可能有助于注册会计师了解编制财务报表的环境。

（2）直接询问内部审计人员，可能有助于注册会计师了解本年度针对被审计单位内部控制设计和运行有效性而实施的内部审计程序，以及管理层是否根据实施这些程序的结果采取了适当的应对措施。

（3）询问参与生成、处理或记录复杂或异常交易的员工，可能有助于注册会计师评价被审计单位选择和运用某项会计政策的恰当性。

（4）直接询问内部法律顾问，可能有助于注册会计师了解有关信息，如诉讼、遵守法律法规的情况、影响被审计单位的舞弊或舞弊嫌疑、产品保证、售后责任、与业务合作伙伴的安排（如合营企业）和合同条款的含义等。

（5）直接询问营销或销售人员，可能有助于注册会计师了解被审计单位营销策略的变化、销售趋势或与客户的合同安排。

2. 实施分析程序。 分析程序是指注册会计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系，对财务信息作出评价。分析程序还包括调查识别出的、与其他相关信息不一致或与预期数据严重偏离的波动和关系。

分析程序既可用于风险评估程序和实质性程序，也可用于对财务报表的总体复核。

注册会计师实施分析程序有助于识别异常的交易或事项，以及对财务报表和审计产生影响的金额、比率和趋势。在实施分析程序时，注册会计师应当预期可能存在的合理关系，并与被审计单位记录的金额、依据记录金额计算的比率或趋势相比较；如果发现异常或未预期到的关系，注册会计师应当在识别重大错报风险时考虑这些比较结果。

如果使用了高度汇总的数据，实施分析程序的结果可能仅初步显示财务报表存在重大错报，将分析程序的结果与识别重大错报风险时获取的其他信息一并考虑，可以帮助注册会计师了解并评价分析程序的结果。例如被审计单位存在很多产品系列，各个产品系列的毛利率存在一定差异。对总体毛利率实施分析程序的结果可能仅初步显示销售成本存在重大错报，注册会计师需要实施更为详细的分析程序。例如，对每一产品系列进行毛利率分析，或者将总体毛利率分析的结果连同其他信息一并考虑。

3. 观察和检查。 观察和检查程序可以支持对管理层和其他相关人员的询问结果，并可以提供有关被审计单位及其环境的信息，注册会计师应当实施下列观察和检查程序：

（1）观察被审计单位的经营活动。 例如，观察被审计单位人员正在从事的生产活动和内部控制活动，增加注册会计师对被审计单位人员如何进行生产经营活动及实施内部控制的了解。

（2）检查文件、记录和内部控制手册。 例如，检查被审计单位的经营计划、策略、章程，与其他单位签订的合同、协议，各业务流程操作指引和内部控制手册等，了解被审计单位组织结构和内部控制制度的建立健全情况。

（3）阅读由管理层和治理层编制的报告。 例如，阅读被审计单位年度和中期财务报告，股东大会、董事会会议、高级管理层会议的会议记录或纪要，管理层的讨论和分析资料，对重要经营环节和外部因素的评价，被审计单位内部管理报告以及其他特殊目的的报告（如新投资项目的可行性分析报告）等，了解自上一期审计结束至本期审计期间被审计单位发生的重大事项。

（4）实地察看被审计单位的生产经营场所和厂房设备。 通过现场访问和实地察看被审计单位的生产经营场所和厂房设备，可以帮助注册会计师了解被审计单位的性质及其经营活动。在实地察看被审计单位的厂房和办公场所的过程中，注册会计师有机会与被审计单位管理层和担任不同职责的员工进行交流可以增强注册会计师对被审计单位的经营活动及其重大影响因素的了解。

（5）追踪交易在财务报告信息系统中的处理过程（穿行测试）。 这是注册会计师了解被审计单位业务流程及其相关控制时经常使用的审计程序。通过追踪某笔或某几笔交易在业务流程中如何生成、记录、处理和报告以及相关控制如何执行，注册会计师可以确定被审计单位的交易流程和相关控制是否与之前通过其他程序所获得的了解一致，并确定相关控制是否得到执行。

1. 其他审计程序。 除了采用上述程序从被审计单位内部获取信息以外，如果根据职业判断认为从被审计单位外部获取的信息有助于识别重大错报风险，注册会计师应当实施其他审计程序以获取这些信息。例如，询问被审计单位聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等。

阅读外部信息也可能有助于注册会计师了解被审计单位及其环境。外部信息包括证券分析师、银行、评级机构出具的有关被审计单位及其所处行业的经济或市场环境等状况的报告，贸易与经济方面的报纸期刊，法规或金融出版物，以及政府部门或民间组织发布的行业报告和统计数据等。

2. 其他信息来源。 注册会计师应当考虑在客户接受或保持过程中获取的信息是否与识别重大错报风险相关。通常，对新的审计业务，注册会计师应在业务承接阶段对被审计单位及其环境有一个初步的了解，以确定是否承接该业务。而对连续审计业务，也应在每年的续约过程中对上年审计作总体评价，并更新对被审计单位的了解和风险评估结果，以确定是否续约。注册会计师还应当考虑向被审计单位提供其他服务（如执行中期财务报表审阅业务）所获得的经验是否有助于识别重大错报风险。

对于连续审计业务，如果拟利用以往与被审计单位交往的经验和以前审计中实施审计程序获取的信息，注册会计师应当确定被审计单位及其环境自以前审计后是否已发生变化，进而可能影响这些信息对本期审计的相关性。例如，通过前期审计获取的有关被审计单位组织结构、生产经营活动和内部控制的审计证据，以及有关以往的错报和错报是否得到及时更正的信息，可以帮助注册会计师评估本期财务报表的重大错报风险。但值得注意的是，被审计单位或其环境的变化可能导致此类信息在本期审计中已不具有相关性。例如，注册会计师前期已经了解了内部控制的设计和执行情况，但被审计单位及其环境可能在本期发生变化，导致内部控制也发生相应变化。在这种情况下，注册会计师需要实施询问和其他适当的审计程序（如穿行测试），以确定该变化是否可能影响此类信息在本期审计中的相关性。

根据审计准则的要求，注册会计师应当从六个方面了解被审计单位及其环境。需要说明的是，注册会计师无须在了解每个方面时都实施以上所有的风险评估程序。例如，在了解内部控制时通常不用分析程序。但是，对被审计单位及其环境获取了解的整个过程中，注册会计师通常会实施上述所有的风险评估程序。

项目组内部的讨论在所有业务阶段都非常必要，可以保证所有事项得到恰当的考虑。通过安排具有较多经验的成员（如项目合伙人参与项目组内部的讨论，其他成员可以分享其见解和以往获取的被审计单位的经验。《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》要求项目合伙人和项目组其他关键成员应当讨论被审计单位财务报表存在重大错报的可能性，以及如何根据被审计单位的具体情况运用适用的财务报告编制基础。项目合伙人应当确定向未参与讨论的项目组成员通报哪些事项。作为项目组内部讨论的一部分，考虑适用的财务报告编制基础中的披露要求，有助于注册会计师在审计工作的早期识别可能存在的与披露相关的重大错报风险领域。

项目组内部的讨论为项目组成员提供了交流信息和分享见解的机会。项目组通过讨论可以使成员更好地了解在各自负责的领域中由于舞弊或错误导致财务报表重大错报的可能性，并了解各自实施审计程序的结果如何影响审计的其他方面，包括对确定进一步审计程序的性质、时间安排和范围的影响。

项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式，特别是由于舞弊导致重大错报的可能性。

讨论的内容和范围受项目组成员的职位、经验和所需要的信息的影响。表7-1列示了讨论的三个主要领域和可能涉及的信息。

表7-1 项目组讨论内容例示

注册会计师应当运用职业判断确定项目组内部参与讨论的成员。项目组的关键成员应当参与讨论，如果项目组需要拥有信息技术或其他特殊技能的专家，这些专家也可根据需要参与讨论。参与讨论人员的范围受项目组成员的职责经验和信息需要的影响，例如，在跨地区审计中，每个重要地区项目组的关键成员都应该参加讨论，但不要求所有成员每次都参与项目组的讨论。

项目组应当根据审计的具体情况，在整个审计过程中持续交换有关财务报表发生重大错报可能性的信息。

按照《中国注册会计师审计准则第1101号——注册会计师的总体目标和审计工作的基本要求》的规定，在计划和实施审计工作时，注册会计师应当保持职业怀疑，认识到可能存在导致财务报表发生重大错报的情形。项目组在讨论时应当强调在整个审计过程中保持职业怀疑，警惕可能发生重大错报的迹象，并对这些迹象进行严格追踪。通过讨论，项目组成员可以交流和分享在整个审计过程中获得的信息，包括可能对重大错报风险评估产生影响的信息或针对这些风险实施审计程序的信息。项目组还可以根据实际情况讨论其他重要事项。

从信息安全的角度来讲，风险评估是对信息资产（即某事件或事物所具有的信息集）所面临的威胁、存在的弱点、造成的影响，以及三者综合作用所带来风险的可能性的评估。作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。

风险评估（Risk Assessment） 是指，在风险事件发生之前或之后（但还没有结束），该事件给人们的生活、生命、财产等各个方面造成的影响和损失的可能性进行量化评估的工作。即，风险评估就是量化测评某一事件或事物带来的影响或损失的可能程度。

注意事项

风险评估过程注意事项

在风险评估过程中，有几个关键的问题需要考虑。

首先，要确定保护的对象（或者资产）是什么？它的直接和间接价值如何？

其次，资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？

第三，资产中存在哪些弱点可能会被威胁所利用？利用的容易程度又如何？

第四，一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？

最后，组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度？