第七章++风险评估与应对+-+副本.ppt

1、2006,审计,1,第七章 风险评估与应对,风险评估 风险应对,2006,审计,2,重大错报风险的评估与应对的总体思路：,2006,审计,3,第一节 风险评估,2006,审计,4,一、风险评估程序的概念与种类：,（一）风险评估程序的概念： 为了解被审计单位及其环境而实施的程序称为“风险评估程序”。,2006,审计,5,（二）风险评估程序的种类：,（1）询问被审计单位管理层和内部其他相关人员； （2）分析程序； （3）观察和检查。,2006,审计,6,分析程序： 分析程序是指注册会计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系，对财务信息作出评价。分析程序还包括调查识别出的、

2、与其他相关信息不一致或与预期数据严重偏离的波动和关系。,2006,审计,7,观察和检查： 1.观察被审计单位的生产经营活动。 2.检查文件、记录和内部控制手册。 3.阅读由管理层和治理层编制的报告。 4.实地察看被审计单位的生产经营场所和设备。 5.追踪交易在财务报告信息系统中的处理过程（穿行测试）。 这是注册会计师了解被审计单位业务流程及其内部控制时经常使用的审计程序。通过追踪某笔或某几笔交易在业务流程中如何生成、记录、处理和报告，以及相关内部控制如何执行，注册会计师可以确定被审计单位的交易流程和内部控制是否与之前通过其他程序所获得的了解一致，并确定内部控制是否得到执行。,2006,审计,8

3、,二、了解被审计单位及其环境,（一）了解被审计单位及其环境的总体要求： 注册会计师应当了解被审计单位及其环境，以足够识别和评估财务报表重大错报风险，设计和实施进一步审计程序。 该总体要求可以从以下三方面理解： （1）了解被审计单位及其环境是必要程序； （2）了解的目的是识别和评估财务报表重大错报风险，设计和实施进一步审计程序； （3）了解的程度应当足够实现了解的目的。,2006,审计,9,（二）了解被审计单位及其环境的主要内容 被审计单位及其环境主要包括： （1）行业状况、法律环境与监管环境以及其他外部因素； （2） 被审计单位的性质； （3）被审计单位对会计政策的选择和运用； （4）被审计单

4、位的目标、战略以及相关经营风险； （5）被审计单位财务业绩的衡量和评价； （6）被审计单位的内部控制。 上述第（1）项是被审计单位的外部环境，第（2）项至第（4）项以及第（6）项是被审计单位的内部因素，第（5）项则既有外部因素也有内部因素。值得注意的是，被审计单位及其环境的各个方面可能会互相影响。,2006,审计,10,三、了解被审计单位的内部控制,（一） 内部控制的概念 内部控制是社会经济发展到一定阶段的产物,它随着企业对内强化管理,对外满足社会需要而不断丰富和发展。 内部控制思想的发展经过了一个漫长的历史时期。 1、内部牵制阶段（20世纪40年代前）： 定义：以提供有效的组织和经营，并防止

5、错误和其他非法业务发生的业务流程设计。 主要特点：任何个人或部门不能单独控制任何一项或一部分业务权力，必须进行组织上的责任分工。 主要包括：（1）实物牵制；（2）机械牵制；（3）体制牵制；（4）薄记牵制。,2006,审计,11,2、内部控制制度（20世纪40年代70年代）： 内部控制制度思想认为内部控制应分为： （1）内部会计控制 （2）内部管理控制(或称内部业务控制) 前者在于保护企业资产、检查会计数据的准确性和可靠性；后者在于提高经营效率、促使有关人员遵守既定的管理方针。,2006,审计,12,3、内部控制结构（1988）： 认为“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的

6、各种政策和程序”，并且明确了内部控制结构的内容的三个方面： （1）控制环境（Control environment ) ； （2）会计制度（accounting system ）； （3）控制程序（control procedures ） 。,2006,审计,13,4、内部控制整体框架（1992）： 1992 年，由美国的COSO 委员会又发表了一个有关内部控制的报告，提出内部控制整体框架思想，并逐步将各界对内部控制的认识统一起来，对内部控制提出了新的定义 ：“内部控制被广义地定义为一个过程 ，它受到一个实体（主体）的董事会、管理部门和其它人事部门的影响，它提供有关目标实现的合理保证。这些目标

7、包括：（1 ）经营的效率与效果；（2 ）财务报告的可靠性；（3 ）相关法律与规定的遵循。”同时提出内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。 1 9 9 6 年美国AICPA 颁布第78 号审计准则公告，采用了COSO 所定义的内部控制概念，将内部控制结构的要素（elements ) 改为内部控制成分（omponents ) ，并把它分为五个方面：控制环境、风险评估、控制活动、信息与沟通和监控。,2006,审计,14,5、Sarbanes-Oxley Act of 2002阶段：Section 404: 公司管理层需要对财务报告的内部控制进行报告； 要求公

8、司的审计师对管理层评估进行鉴证和报告。,2006,审计,15,6、企业风险管理综合框架（2004）： 八个要素： 内部环境 目标设定 事项识别 风险评估 风险应对 控制活动 信息与沟通 监控 四个目标： 战略目标高层次目标，和组织使命方向一致，并支持使命 运营目标有效且高效地使用资源 报告目标报告的可靠性 合规目标遵循适用的法律法规 组织内的单位：主体层次、分部、业务单元、子公司。,2006,审计,16,企业内部控制基本规范： 概念：内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。目标：内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真

9、实完整，提高经营效率和效果，促进企业实现发展战略。,2006,审计,17,(二)内部控制的固有局限性：,注册会计师在确定内部控制的可信赖程度时，应当保持应有的职业谨慎，充分关注内部控制的以下固有局限性： 1、即使是设计完善的内部控制，在决策时人为判断也可能出现错误和由于人为失误而导致内部控制失效；如执行人员的粗心大意、精力分散、判断失误以及对指令的误解等 2、内部控制可能由于两个或更多的人员进行串通而失效； 3、内部控制可能因管理层凌驾于内部控制之上而被规避； 4、内部控制的设计和运行受制于成本与效益原则； 5、内部控制一般仅针对常规业务活动而设计； 6、内部控制可能因经营环境、业务性质的改变

10、而削弱或失效。,2006,审计,18,（三）内部控制要素：,(一)内部环境： 内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。 公司治理结构：企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。 股东（大）会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。 董事会对股东（大）会负责，依法行使企业的经营决策权。 监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。 经理

11、层负责组织实施股东（大）会、董事会决议事项，主持企业的生产经营管理工作。 董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。 企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。 机构设置及权责分配：企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。,2006,审计,19,(一)内部环境： 内部审计：内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查

12、中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。 人力资源政策：人力资源政策应当包括下列内容： （1）员工的聘用、培训、辞退与辞职。 （2）员工的薪酬、考核、晋升与奖惩。 （3）关键岗位员工的强制休假制度和定期岗位轮换制度。 （4）掌握国家秘密或重要商业秘密的员工离岗的限制性规定。 （5）有关人力资源管理的其他政策。 企业文化：企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识。 董事、监事、经理及其他高级管理人员应当在

13、企业文化建设中发挥主导作用。,2006,审计,20,(二)风险评估： 风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。 风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。 企业识别内部风险，应当关注下列因素： （1）董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。 （2）组织机构、经营方式、资产管理、业务流程等管理因素。 （3）研究开发、技术投入、信息技术运用等自主创新因素。 （4）财务状况、经

14、营成果、现金流量等财务因素。 （5）营运安全、员工健康、环境保护等安全环保因素。 （6）其他有关内部风险因素。,2006,审计,21,(二)风险评估：企业识别外部风险，应当关注下列因素： （1）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。 （2）法律法规、监管要求等法律因素。 （3）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。 （4）技术进步、工艺改进等科学技术因素。 （5）自然灾害、环境状况等自然环境因素。 （6）其他有关外部风险因素。,2006,审计,22,风险应对,风险规避是企业对超出 风险承受度的风险，通 过放弃或者停止与该风 险相关的业务活动以避 免

15、和减轻损失的策略。,风险降低是企业在权衡成本效益 之后，准备采取适当的控制措施 降低风险或者减轻损失，将风险 控制在风险承受度之内的策略。,风险分担是企业准备借助 他人力量，采取业务分包、 购买保险等方式和适当的 控制措施，将风险控制在风 险承受度之内的策略。,风险承受是企业对风险承受度之 内的风险，在权衡成本效益之后， 不准备采取控制措施降低风险或者 减轻损失的策略。,2006,审计,23,(三)控制活动： 控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。 企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，

16、将风险控制在可承受度之内。 不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。 不相容职务是指两种或两种以上的职务如不分开就会发生差错与舞弊的职务 授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。 常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。一般性常规交易 特别授权是指企业在特殊情况、特定条件下进行的授权。特别授权也可能用于超过常规授权限制的交易。非常规交易与超过常规授权的交易 企业对于重大的业务和事项，应当实行集体决策审批

17、或者联签制度，任何个人不得单独进行决策或者擅自改变集体决策。,2006,审计,24,会计系统控制要求企业严格执行国家统一的会计准则制度，加强会计基础工作，明确会计凭证、会计账簿和财务会计报告的处理程序，保证会计资料真实完整。 企业应当依法设置会计机构，配备会计从业人员。从事会计工作的人员，必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业技术职务资格。 大中型企业应当设置总会计师。设置总会计师的企业，不得设置与其职权重叠的副职。 财产保护控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。 企业应当严格限制未经授权的人员接

18、触和处置财产。 预算控制要求企业实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。,2006,审计,25,运营分析控制要求企业建立运营情况分析制度，经理层应当综合运用生产、购销、投资、筹资、财务等方面的信息，通过因素分析、对比分析、趋势分析等方法，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进。 绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。 企业应当根据内部控制目标，

19、结合风险应对策略，综合运用控制措施，对各种业务和事项实施有效控制。 企业应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。,2006,审计,26,(四)信息与沟通： 信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。 建立信息与沟通制度 明确内部控制相关信息的收集、处理和传递程序 确保信息及时沟通，促进内部控制有效运行。 企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息

20、。 企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。 企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。,2006,审计,27,(五) 内部监督： 内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。 （1）制定内部控制监督制度 （2）明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的

21、职责权限 （3）规范内部监督的程序、方法和要求。,2006,审计,28,内部监督分为日常监督和专项监督： 日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查； 专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。 专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。 企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。 企业应当结合内部监督情况，定期对

22、内部控制的有效性进行自我评价，出具内部控制自我评价报告。,2006,审计,29,（四）内部控制的类型： 1、预防性控制 预防性控制通常用于正常业务流程的每一项交易，以防止错报的发生。在流程中防止错报是信息系统的重要目标。 2、检查性控制 检查性控制通常是管理层用来监督实现流程目标的控制。建立检查性控制的目的是发现流程中可能发生的错报（尽管有预防性控制还是会发生的错报）。,2006,审计,30,（五）记录对内部控制的了解： 当审计人员取得对内部控制的了解后，他们必须在工作底稿中记录这些信息。记录的形式和范围受被审计单位性质、规模、复杂程度、内部控制、被审计单位信息的可获得性以及审计过程中使用的具

23、体审计方法和技术的影响。 记录的方法： （1）调查表法 （2）文字表述法 （3）流程图法 （4）核对表法,2006,审计,31,1、 调查表 ：调查表也称调查问卷表，是审计人员根据被审计单位的业务类别、业务循环和内部控制等，将内部控制的必要事项，特别是与确保会计记录的准确性和可靠性以及资产的安全、完整有关的主要事项作为调查项目，并系统地加以罗列的表格。针对内部控制可能存在不当方面提出问题，用“是”、“否”、“不适用”来回答 。 2、 文字表述 文字叙述是审计人员对被审计单位内部控制的设计和执行情况的书面叙述 。在表述时，审计人员应根据各业务循环，围绕各环节由谁负责、经办人应履行的工作、办理业务

24、的基本要求等逐一记录。 优缺点及适用范围,2006,审计,32,3、 流程图 流程图流程图是审计人员用符号和图形来表示被审计单位业务和文件在组织机构内部流动的方法。 它将一笔业务从发生到终止的整个过程，用事先规定的具有一定代表意义的符号如实地绘制出来。既是企业管理的有效工具，也是审计人员评价内部控制的重要手段。 优缺点及适用范围 流程图的绘制方式一般有两种：横式和直式 流程图必须满足以下要求： （1）注明业务处理流程经过的部门和经办人姓名； (2)注明凭证、报表名称和份数，并用流程线反映其传递和业务流程； (3)反映业务处理记账情况及凭证归档保存情况； (4)标出关键控制点和核对情况,2006

25、,审计,33,四、重大错报风险的评估,（一）识别和评估重大错报风险的审计程序： 识别和评估重大错报风险是指识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险。 在识别和评估重大错报风险时，应当实施下列审计程序： （一）在了解被审计单位及其环境的整个过程中识别风险，并考虑各类交易、账户余额、列报； （二）将识别的风险与认定层次可能发生错报的领域相联系； （三）考虑识别的风险是否重大； （四）考虑识别的风险导致财务报表发生重大错报的可能性。,2006,审计,34,（三）识别两个层次的重大错报风险 在对重大错报风险进行识别和评估后 ，注册会计师应当确定 ，识别的重大错报风险是与

26、特定的某类交易 、账户余额 、列报的认定相关 ，还是与财务报表整体广泛相关 ，进而影响多项认定。,2006,审计,35,第二节 风险应对,2006,审计,36,应对重大错报风险,应对重大错报风险,针对财务报表层次重大错报风险的总体应对措施,针对认定层次重大错报风险的进一步审计程序,2006,审计,37,一、针对财务报表层次重大错报风险的总体应对措施,（1）向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性； （2）分派更有经验或具有特殊技能的审计人员，或利用专家的工作； （3）提供更多的督导； （4）在选择进一步审计程序时，应当注意使某些程序不被管理层预见或事先了解； （5）对拟实

27、施审计程序的性质、时间和范围作出总体修改。,2006,审计,38,二、针对认定层次重大错报风险的进一步审计程序,2006,审计,39,根据对被审计单位及其环境的了解，通过实施风险评估程序， 从而识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险。针对已评估的重大错报风险既可确定总体应对措施，设计和实施进一步审计程序。1、进一步审计程序的含义 进一步审计程序相对于风险评估程序而言，是指注册会计师针对评估的各类交易、账户余额、列报（包括披露）认定层次重大错报风险实施的审计程序，包括控制测试和实质性程序。 注册会计师评估的重大错报风险越高，实施进一步审计程序的范围通常越大；但是

28、只有首先确保进一步审计程序的性质与特定风险相关时，扩大审计程序的范围才是有效的。,2006,审计,40,注册会计师对重大错报风险的评估毕竟是一种主观判断，可能无法充分识别所有的重大错报风险，同时内部控制存在固有局限性（特别是存在管理层凌驾于内部控制之上的可能性），因此，无论选择何种方案，注册会计师都应当对所有重大的各类交易、账户余额、列报设计和实施实质性程序。,2006,审计,41,三、控制测试 （一）控制测试的含义和要求：1、控制测试的含义 控制测试指测试控制运行的有效性。 控制测试与了解内部控制不同： “了解内部控制”包含两层含义：一是评价控制的设计；二是确定控制是否得到执行。 在概念上容

29、易引起混淆的是“测试控制运行的有效性”与“确定控制是否得到执行”。,2006,审计,42,测试控制运行的有效性与确定控制是否得到执行所需获取的审计证据是不同的。 在实施风险评估程序以获取控制是否得到执行的审计证据时，注册会计师应当确定某项控制是否存在，被审计单位是否正在使用。 在测试控制运行的有效性时，注册会计师应当从下列方面获取关于控制是否有效运行的审计证据： （1）控制在所审计期间的不同时点是如何运行的； （2）控制是否得到一贯执行； （3）控制由谁执行； （4）控制以何种方式运行。 如果被审计单位在所审计期间内的不同时期使用了不同的控制，注册会计师应当考虑不同时期控制运行的有效性。,20

30、06,审计,43,“测试控制运行的有效性”与“确定控制是否得到执行”的区别举例： 某被审计单位针对销售收入和销售费用的业绩评价控制如下：财务经理每月审核实际销售收入（按产品细分）和销售费用（按费用项目细分），并与预算数和上年同期数比较，对于差异金额超过 5%的项目进行分析并编制分析报告，销售经理审阅该报告并采取适当跟进措施（相关认定：发生、 准确性和完整性)。注册会计师抽查了最近三个月的分析报告，并看到上述管理人员在报告上签字确认，证明该控制已经得到执行。 然而，注册会计师在与销售经理的讨论中，发现他对分析报告中明显异常的数据并不了解其原因，也无法作出合理解释，从而显示该控制并未得到有效地运行

31、。,2006,审计,44,2、 控制测试的要求：当存在下列情形之一时，注册会计师应当实施控制测试： （1）在评估认定层次重大错报风险时，预期控制的运行是有效的； （2）仅实施实质性程序不足以提供认定层次充分、适当的审计证据。,2006,审计,45,（二）控制测试的性质： 控制测试的性质是指控制测试所使用的审计程序的类型及其组合。 计划从控制测试中获取的保证水平是决定控制测试性质的主要因素之一。 注册会计师应当选择适当类型的审计程序以获取有关控制运行有效性的保证。 计划的保证水平越高，对有关控制运行有效性的审计证据的可靠性要求越高。当拟实施的进一步审计程序主要以控制测试为主，尤其是仅实施实质性程

32、序获取的审计证据无法将认定层次重大错报风险降至可接受的低水平时，注册会计师应当获取有关控制运行有效性的更高的保证水平。,2006,审计,46,控制测试与了解内部控制的目的不同，但两者采用审计程序的类型通常相同，包括询问、观察、检查和穿行测试。此外，控制测试的程序还包括重新执行。 穿行测试不是单独的一种程序，而是将多种程序按特定审计需要进行结合运用的方法。穿行测试是通过追踪交易在财务报告信息系统中的处理过程，来证实注册会计师对控制的了解、评价控制设计的有效性以及确定控制是否得到执行。可见，穿行测试更多地在了解内部控制时运用。但在执行穿行测试时，注册会计师可能获取部分控制运行有效性的审计证据。,2

33、006,审计,47,关于重新执行 什么时候使用？通常只有当询问、观察和检查程序结合在一起仍无法获得充分的证据时，注册会计师才考虑通过重新执行来证实控制是否有效运行。 例如，为了合理保证计价认定的准确性，被审计单位的一项控制是由复核人员核对销售发票上的价格与统一价格单上的价格是否一致。但是，要检查复核人员有没有认真执行核对，仅仅检查复核人员是否在相关文件上签字是不够的，注册会计师还需要自己选取一部分销售发票进行核对，这就是重新执行程序。 但是，如果需要进行大量的重新执行，注册会计师就要考虑通过实施控制测试以缩小实质性程序的范围是否有效率。,2006,审计,48,（三）控制测试的时间： 控制测试的

34、时间包含两层含义： 一是何时实施控制测试； 二是测试所针对的控制适用的时点或期间。,2006,审计,49,如果仅需要测试控制在特定时点的运行有效性（如对被审计单位期末存货盘点进行控制测试），注册会计师只需要获取该时点的审计证据。 如果需要获取控制在某一期间有效运行的审计证据，仅获取与时点相关的审计证据是不充分的，注册会计师应当辅以其他控制测试，包括测试被审计单位对控制的监督 。换言之，关于控制在多个不同时点的运行有效性的审计证据的简单累加并不能构成控制在某期间的运行有效性的充分、适当的审计证据；而所谓的“其他控制测试”应当具备的功能是，能提供相关控制在所有相关时点都运行有效的审计证据；被审计单

35、位对控制的监督起到的就是一种检验相关控制在所有相关时点是否都有效运行的作用，因此注册会计师测试这类活动能够强化控制在某期间运行有效性的审计证据效力。,2006,审计,50,（四）控制测试的范围： 控制测试范围是指实施控制测试的数量，包括抽取的样本量，对某项控制活动的观察次数等。 确定控制测试范围的一般考虑因素： 1在整个拟信赖的期间，被审计单位执行控制的频率。控制执行的频率越高，控制测试的范围越大。 同向 2在所审计期间，注册会计师拟信赖控制运行有效性的时间长度。拟信赖控制运行有效性的时间长度不同，在该时间长度内发生的控制活动次数也不同。注册会计师需要根据拟信赖控制的时间长度确定控制测试的范围

36、。拟信赖期间越长，控制测试的范围越大。 同向 3为证实控制能够防止或发现并纠正认定层次重大错报，所需获取审计证据的相关性和可靠性。对审计证据的相关性和可靠性要求越高，控制测试的范围越大。 同向,2006,审计,51,五、实质性程序 1、实质性程序的含义： 实质性程序是指注册会计师针对评估的重大错报风险实施的直接用以发现认定层次重大错报的审计程序。 实质性程序包括 对各类交易、账户余额、列报的细节测试 实质性分析程序。 由于注册会计师对重大错报风险的评估是一种判断，可能无法充分识别所有的重大错报风险，并且由于内部控制存在固有局限性，无论评估的重大错报风险结果如何，注册会计师都应当针对所有重大的各

37、类交易、账户余额、列报实施实质性程序。,2006,审计,52,2、实质性程序的性质： （1）实质性程序的性质的含义： 实质性程序的性质，是指实质性程序的类型及其组合。 实质性程序的两种基本类型：细节测试是对各类交易、账户余额、列报的具体细节进行测试，目的在于直接识别财务报表认定是否存在错报。 实质性分析程序从技术特征上仍然是分析程序，主要是通过研究数据间关系评价信息，只是将该技术方法用作实质性程序，即用以识别各类交易、账户余额、列报及相关认定是否存在错报。,2006,审计,53,（2）细节测试和实质性分析程序的适用性： 细节测试和实质性分析程序的目的和技术手段存在一定差异，各自有不同的适用领域

38、。 细节测试适用于对各类交易、账户余额、列报认定的测试，尤其是对存在或发生、计价认定的测试； 对在一段时期内存在可预期关系的大量交易，注册会计师可以考虑实施实质性分析程序。,2006,审计,54,3、实质性程序的时间： 实质性程序的时间选择与控制测试的时间选择有共同点，也有很大差异。 共同点在于，两类程序都面临着对期中审计证据和对以前审计获取的审计证据的考虑。 两者的差异在于：（1）在控制测试中，期中实施控制测试并获取期中关于控制运行有效性审计证据的做法更具有一种“常态”；而由于实质性程序的目的在于更直接地发现重大错报，在期中实施实质性程序时更需要考虑其成本效益的权衡；（2）在本期控制测试中拟信赖以前审计获取的有关控制运行有效性的审计证据，已经受到了很大的限制；而对于以前审计中通过实质性程序获取的审计证据，应采取更加慎重的态度和更严格的限制。,2006,审计,55,4、实质性程序的范围： 在确定实质性程序的范围时，注册会计师应当考虑评估的认定层次重大错报风险和实施控制测试的结果。 注册会计师评估的认定层次的重大错报风险越高，需要实施实质性程序的范围越广。 如果对控制测试结果不满意，注册会计师应当考虑扩大实质性程序的范围。,