‎询问、观察、检查

‎程序 ‎分析程序（应当用）

‎穿行测试

‎谁来开会 ‎项目合伙人，但并非项目组所有成员
‎项目组内部讨论
‎谁来确定通报事项 ‎项目合伙人

‎组织结构、所有权和治理结构、业务模式（三个结构一个模式） ‎内部

‎被审计单位及其环境（单位环境） ‎行业形势、法律环境、监管环境和其他外部因素（行法监） ‎外部

‎财务业绩的衡量标准，包括内部和外部使用的衡量标准（业绩标准） ‎内部和外部

‎“复杂变化主观性，偏向舞弊不确定”

‎复杂性 ‎难编

‎主观性 ‎难选难定
‎ 解固有风险因素如何影响认定易于发生错报的
了
‎ 用的财务报告编制基础、会计政策以
适
‎可能性，有助于注册会计师初步了解错报发生的 ‎变化 ‎易变
‎及变更会计政策的原因（准则政策）
‎可能性和重要程度。
‎不确定性 ‎难懂

‎ 影响固有风险的管理层偏向或其他舞弊
由
‎难做人
‎风险因素导致易于发生错报的其他因素

‎诚信和道德价值观念的沟通与落实

‎对胜任能力的重视

‎治理层的参与程度
‎内部环境/控制环境 ‎内容
‎管理层的理念和经营风格

‎职权与责任的分配

‎人力资源政策与实务

‎了解
‎风险评估 ‎识别、评估和管理影响其实现经营目标能力的各种风险
‎评价

‎财务适应业务
‎ 解被审计单位及其环境、适用的财务
了 ‎信息与沟通/信息系统与沟通
‎既有内部沟通，又有外部沟通
‎报告编制基础和内部控制体系各要素
‎COSO内部控制框架
‎评价：设计是否有效&是否得到执行

‎授权和批准

‎调节

‎控制活动 ‎验证

‎实物或逻辑控制

‎职责分离

‎持续的监督活动

‎第七章 风险评估 ‎内部监督

‎单独的评价活动

‎信息系统与沟通、控制活动中的控制主要是
‎直接控制 ‎精准控制
‎更有可能影响认定层次重大错报风险

‎直接控制和间接控制
‎ 部环境、风险评估和内部监督主要是，也是内
内
‎部控制体系的基础
‎间接控制 ‎不足以精准
‎ 可能影响财务报表层次重大错报风险的识别和
更
‎评估

‎分类 ‎整体层面和业务流程层面控制

‎自动化控制 ‎大量、重复、复杂

‎人工和自动化控制
‎大额、异常或偶发；难以界定、预计或预测的错误情况
‎ 部控制体系，是指由治理层、管理层和其他人
内 ‎人工控制
‎员设计、执行和维护的体系，以合理保证被审计 ‎更容易被规避、忽视或凌驾；不具有一贯性
‎被审计单位内部控制体系各要素（内控要素）
‎单位能够实现财务报告的可靠性、提高经营效率
‎和效果，以及遵守适用的法律法规等目标。 ‎预防性和检查性控制 ‎事前和事后

‎财务报告的可靠性 ‎可能与审计有关，也可能与审计无关（归档）

‎ 能与审计有关（诉讼案件的处理流程），也可
可
‎控制范围 ‎目标 ‎经营的效率和效果
‎能与审计无关（航空公司维护航班时间表）

‎遵守适用的法律法规的要求

‎性质 ‎了解目的 ‎为了评价控制设计的有效性以及控制是否得到执行。 ‎not 一贯/有效 执行

‎询问、观察、检查

‎ 重新执行的区别：一笔或很少几笔交易；集询问、观察和检查等综合性程序、了解交易的
与
‎生成、记录、处理和报告过程；了解被审计单位的内部控制

‎程序 ‎确认对业务流程的了解

‎ 认对相关交易的了解是完整的，即所有与认定
确
‎相关的可能错报环节都已识别

‎ 认所获取的有关流程中的预防性控制和检查性
确
‎穿行测试 ‎目标和可获得的审计证据
‎控制信息的准确性

‎评估控制设计的有效性

‎确认控制是否得到执行

‎确认之前所作书面记录的准确性

‎设计的有效性√+是否执行√→预期运行有效

‎初步评价结论 ‎设计的有效性√+是否执行×

‎设计的有效性×+是否执行 N/A

‎报表层

‎固有风险评估为达到或接近固有风险等级的最高级（上限）

‎特别风险 ‎准则的规定

‎识别和评估两个层次的重大错报风险 ‎不应考虑识别出的控制对相关风险的抵销效果

‎固有风险
‎综合起来的影响程度越高，评估的固有风险等级越高，可定性+定量

‎可能性
‎仅实施实质性程序无法应对的重大错报风险 ‎认定层 ‎评估固有风险等级
‎er 高度自动化控制 ‎重要程度
‎对这类风险，CPA应当根据相关审计准则的规
‎定，对相关控制的设计和执行进行了解和测试。
‎控制风险