（1）风险识别：找出财务报表层次和认定层次的重大错报风险

（2）风险评估：对重大错报发生的可能性及后果严重程度进行评估

（1）【上限】管理层对被审计单位及其环境等方面情况了解的程度 　　注册会计师对被审计单位及其环境等方面情况了解的程度低于管理层为经营管理企业而对被审计单位及其环境等方面情况需要了解的程度

（2）【下限】注册会计师获得的了解是否足以为识别、评估财务报表层次及认定层次重大错报风险和设计进一步审计程序提供依据

（1）确定重要性水平，同时，随着审计工作的进程评估对重要性水平的判断是否仍然适当；

（2）考虑会计政策的选择和运用是否恰当，以及财务报表列报是否适当；

（3）识别与财务报表中金额或披露相关的需要特别考虑的领域，包括关联方交易、管理层运用持续经营假设的合理性，或考虑交易是否具有合理的商业目的等；

（4）确定在实施分析程序时使用的预期值；

（5）设计和实施进一步审计程序，以将审计风险降至可接受的低水平；

（6）评价获取审计证据的充分性和适当性。

（1）管理层和财务负责人（可以考虑询问的内容）

（2）询问其他不同层级和职责的适当的人员（可以询问的人员）

（1）异常项目：事实与被审计单位财务数据之间存在矛盾，如存货销路不畅

（2）行业情况：行业情况与被审计单位之间存在不一致，如行业低迷

（3）变动趋势：对比期内的增长率是否存在波动，如收入增长率

（4）关键指标：关键指标是否异常，如毛利率是否与行业及历史情况不一致

（5）结构变化：内部结构是否异常，如差旅费、业务招待费与经营情况是否匹配

（1）观察和检查程序可以支持对管理层和其他相关人员的询问结果，并可以提供有关被审计单位及其环境等方面情况的信息。

（2）注册会计师应当实施下列观察和检查程序：

（1）项目组内部讨论在所有业务阶段都非常必要，可以保证所有事项得到恰当的考虑。

（2）如作为项目组内部讨论内容，考虑适用的财务报告编制基础中的披露要求，有助于注册会计师在审计工作的早期识别可能存在的与披露相关的重大错报风险领域。

（1）使经验较丰富的项目组成员(包括项目合伙人)有机会分享其根据对被审计单位的了解形成的见解；

（2）使项目组成员能够讨论被审计单位面临的经营风险，固有风险因素如何影响各类交易、账户余额和披露易于发生错报的可能性，以及财务报表易于发生由舞弊或错误导致的重大错报的方式和领域；

（3）帮助项目组成员更好地了解在各自负责的领域中潜在的财务报表重大错报，并了解各自实施的审计程序的结果可能如何影响审计的其他方面，包括对确定进一步审计程序的性质、时间安排和范围的影响。特别是讨论可以帮助项目组成员基于各自对被审计单位性质和情况的了解，进一步考虑相矛盾的信息；

（4）为项目组成员交流和分享在审计过程中获取的、可能影响重大错报风险评估结果或应对这些风险的审计程序的新信息提供基础。

（1）分享了解的信息

（2）分享审计思路和方法

（3）为项目组指明审计方向

（1）项目组的关键成员应当参与讨论，但不要求所有成员每次都参与项目组的讨论；

（2）如果项目组需要拥有信息技术或其他特殊技能的专家，这些专家可根据需要参与讨论；

（3）参与讨论人员的范围受项目组成员的职责经验和信息需要的影响。

（1）审计项目组应当根据审计的具体情况，在整个审计过程中持续交换有关财务报表发生重大错报可能性的信息。

（2）在讨论时，项目组应当强调在整个审计过程中保持职业怀疑，警惕可能发生重大错报的迹象，并对这些迹象进行严格追踪。

（1）了解业务模式主要是为了了解和评价被审计单位经营风险可能对财务报表重大错报产生的影响。

（2）由于多数经营风险最终都会产生财务后果，从而影响财务报表，因此，了解影响财务报表的经营风险有助于注册会计师识别重大错报风险。 尽管多数经营风险最终都会导致财务后果，从而影响财务报表，但并非所有的经营风险都会导致重大错报风险。

（3）注册会计师并非需要了解被审计单位业务模式的所有方面。 　　经营风险比财务报表重大错报风险范围更广，注册会计师没有责任了解或识别所有的经营风险。

（4）注册会计师在了解可能导致财务报表重大错报风险的业务模式、目标、战略及相关经营风险时，可以考虑下列事项：

（5）注册会计师在了解被审计单位业务模式时，包括了解下列活动：

（1）所处行业的市场与竞争

（2）生产经营的季节性和周期性

（3）与被审计单位产品相关的生产技术发展

（4）能源供应与成本

（1）适用的财务报告编制基础

（2）受管制行业的法规框架，包括披露要求

（3）对被审计单位经营活动产生重大影响的法律法规，如劳动法

（4）税收相关法律法规

（5）政府政策，如货币政策、财政政策等

（6）影响行业和被审计单位经营活动的环保要求

（1）宏观经济状况及未来发展趋势

（2）目前国内或本地区的经济状况（如增长率、失业率、利率）怎样影响被审计单位的经营活动

（3）被审计单位的经营活动是否受到汇率波动或全球市场力量的影响

（1）注册会计师可以考虑将了解的重点放在对被审计单位的经营活动可能产生重要影响的关键外部因素及与前期相比发生的重大变化上。

（2）注册会计师应当考虑被审计单位所在行业的业务性质或者监管程度是否可能导致特定的重大错报风险，考虑项目组是否配备了具有相关知识和经验的成员。

（1）关键业绩指标（财务或非财务的）、关键比率、趋势和经营统计数据；

（2）同期财务业绩比较分析；

（3）预算、预测、差异分析，分部信息与分部、部门或其他不同层次的业绩报告；

（4）员工业绩考核与激励性报酬政策；

（5）被审计单位与竞争对手的业绩比较；

（6）外部机构或人员也会衡量和评价被审计单位的业绩，如分析师或信用机构，新闻和其他媒体，税务机关，监管机构，商会和资金提供方；

（7）外部机构或人员也会衡量和评价被审计单位的业绩，如分析师或信用机构，新闻和其他媒体，税务机关，监管机构，商会和资金提供方。

（1）实现业绩目标的压力可能促使管理层采取某些措施，从而增加易于发生由管理层偏向或舞弊导致的错报的可能性。

（2）注册会计师可以通过询问管理层或外部机构或人员了解被审计单位业绩信息或相关评价事宜。

（3）注册会计师应当关注被审计单位内部财务业绩衡量所显示的未预期到的结果或趋势、管理层的调查结果和纠正措施，以及相关信息是否显示财务报表可能存在重大错报。

（4）如果拟利用被审计单位内部信息系统生成的财务业绩衡量指标，注册会计师应当考虑相关信息是否可靠，以及利用这些信息是否足以实现审计目标。

注册会计师应当了解适用的财务报告编制基础、会计政策及变更会计政策的原因，并评价被审计单位的会计政策是否适当、是否与适用的财务报告编制基础一致。

（1）固有风险因素的概念 　　固有风险因素指在不考虑内部控制的情况下，导致交易类别、账户余额和披露的某一认定易于发生错报（无论该错报是由舞弊还是错误导致）的因素。 　　注册会计师应当了解被审计单位在按照适用的财务报告编制基础编制财务报表时，固有风险因素如何影响各项认定易于发生错报的可能性。

（2）与适用的财务报告编制基础要求的信息编制相关的固有风险因素 　　固有风险因素可能是定性或定量的，包括复杂性、主观性、变化、不确定性以及由影响固有风险的管理层偏向或其他舞弊风险因素导致易于发生错报的其他因素。

（3）固有风险因素对某类交易、账户余额和披露的影响 　　某类交易、账户余额和披露由于其复杂性或主观性而导致易于发生错报的可能性，通常与其变化或不确定性的程度密切相关。 　　例如，如果被审计单位存在一项基于假设的会计估计，其选择涉及重大判断，则这项会计估计的计量可能受到主观性和不确定性的影响。

（1）

（2）应当了解与审计相关的控制，不是与财务报表相关的内部控制；

（3）财务报表审计的目标是对是否不存在重大错报发表审计意见，而不是对内部控制有效性发表审计意见；

（4）注册会计师需要了解和评价的只是与审计相关的内部控制，并非被审计单位所有的内部控制；

（5）被审计单位通常有一些与目标相关但与审计无关的控制，注册会计师无须对其加以考虑；

（6）如果多项控制活动能够实现同一目标，不必了解与该目标相关的每项控制活动。

（1）

（2）信息系统与沟通以及控制活动要素中的控制主要为直接控制。（更有可能影响认定层次重大错报风险的识别和评估）

（3）内部环境、风险评估和内部监督中的控制主要是间接控制，该类控制虽不足以精准地防止、发现或纠正认定层次的错报，但可以支持其他控制，因此，该类控制可能间接影响及时发现或防止错报发生的可能性。这些要素中的某些控制也可能是直接控制。（更有可能影响财务报表层次重大错报风险的识别和评估）

（4）内部环境为内部控制体系其他要素的运行奠定了总体基础。内部环境不能直接防止、发现并纠正错报，但其可能影响内部控制体系其他要素中控制的有效性。同样，风险评估和内部监督也旨在支持整个内部控制体系。

（1）注册会计师了解内部控制的目的，就是为了评价控制设计的有效性以及控制是否得到执行。

（2）这有助于注册会计师设计和实施进一步审计程序，包括计划测试控制运行的有效性。

（1）对内部控制了解的程度，是指注册会计师在实施风险评估程序时，了解被审计单位内部控制的范围及深度。

（2）

（1）询问被审计单位人员

（2）观察特定控制的运用

（3）检查文件和报告

（4）追踪交易在财务报告信息系统中的处理过程（穿行测试）

（1）

（2）除非存在某些可以使控制得到一贯运行的自动化控制（一般控制），否则对控制的了解并不足以测试控制运行的有效性。

（1）存在大额、异常或偶发的交易

（2）存在难以界定、预计或预测的错误的情况

（3）针对变化的情况，需要对现有的自动化控制进行人工干预

（4）监督自动化控制的有效性

（1）存在大量或重复发生的交易

（2）事先可预计或预测的错误能够通过自动化处理得以防止或发现并纠正

（3）用特定方法实施控制的控制可得到适当设计和自动化处理

（1）人工控制可能更容易被规避、忽视或凌驾（人情世故）

（2）人工控制可能不具有一贯性（情绪/生病）

（3）人工控制可能更容易产生简单错误或失误（忙中出错）

（1）在决策时人为判断可能出现错误、人为失误导致内部控制失效

（2）可能由于两个或更多的人员串通或管理层不当地凌驾于内部控制之上而被规避

（3）其他原因：人员素质，成本效益及异常情况

（1）内部控制不论如何有效，只能对财务报告可靠性提供合理保证，不能提供绝对保证。

（2）（重要交易、流程、领域方面）无论评估的控制风险多低，都不能仅依赖内部控制而不实施实质性程序。

（1）了解相关的控制、流程和组织结构：

（2）评价下列方面：

（1）内部环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和行动。

（2）良好的内部环境是实施有效的内部控制的基础。

（3）在审计业务承接阶段，注册会计师就要对内部环境作出初步了解和评价。

（1）对诚信和道德价值观念的沟通与落实

（2）对胜任能力的重视

（3）治理层的参与程度

（4）管理层的理念和经营风格

（5）职权与责任的分配

（6）人力资源政策与实务

（1）在评估重大错报风险时，应将内部环境连同其他内部控制要素产生的影响一并考虑。

（2）令人满意的内部环境有助于降低发生舞弊的风险，但不能绝对防止舞弊。

（3）有效的内部环境还能为注册会计师相信以前年度和期中测试过的控制将继续有效运行提供一定基础。

（4）内部环境对重大错报风险的影响

（1）了解被审计单位的下列工作：

（2）根据被审计单位的性质和复杂程度，评价其风险评估工作是否适合其具体情况。

（1）监管和经营环境的变化；

（2）新员工的加入；

（3）新信息系统的使用或者对原系统进行升级；

（4）业务快速发展；

（5）新技术；

（6）新业务模式、产品和活动；

（7）企业重组；

（8）发展海外经营；

（9）新的会计政策；

（10）使用信息技术，例如信息技术战略不能有效地支持其经营战略。

（1）注册会计师可以通过了解被审计单位及其环境的其他方面信息，评价被审计单位风险评估过程的有效性。

（2）如果被审计单位的风险评估符合其具体情况，了解被审计单位的风险评估工作有助于注册会计师识别财务报表的重大错报风险。

（3）

（1）了解被审计单位的信息处理活动（包括数据和信息），在这些活动中使用的资源，针对相关交易类别、账户余额和披露的信息处理活动的政策。

（2）了解被审计单位如何沟通（内部人员之间、管理层与治理层之间、被审计单位与监管机构等外部各方的沟通）与财务报表编制相关的重大事项，以及信息系统和内部控制体系其他要素中的相关报告责任。

（3）评价被审计单位的信息系统与沟通是否能够为被审计单位按照适用的财务报告编制基础编制财务报表提供适当的支持。

（1）与财务报表编制相关的信息系统应当与业务流程相适应。

（2）与财务报表编制相关的信息系统所生成信息的质量，对管理层能否作出恰当的经营管理决策以及编制可靠的财务报告的能力具有重大影响。

（1）应对特别风险的控制；

（2）与会计分录相关的控制，这些会计分录包括用以记录非经常性的、异常的交易，以及用于调整的非标准会计分录；

（3）注册会计师拟测试运行有效性的控制，包括用于应对仅实施实质性程序不能提供充分、适当审计证据的重大错报风险的控制；

（4）注册会计师根据职业判断认为适当的、能够有助于其实现与认定层次重大错报风险有关目标的其他控制。

（1）控制活动是指有助于确保管理层的指令得以执行的政策和程序。注册会计师应当按照审计准则规定识别控制活动要素中的控制。这些控制包括信息处理控制和信息技术一般控制，两类控制均可能属于人工控制或自动化控制。

（2）管理层利用和依赖的与财务报告相关的自动化控制涉及自动化方面的控制的程度越高，被审计单位执行信息技术一般控制（应对信息处理控制自动化方面的持续运行）可能就越重要。

（3）控制活动要素中的控制可能与下列事项相关：

（1）对内部控制体系的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程。

（2）对内部控制体系的监督涉及及时评估控制的有效性并采取必要的补救措施。

（1）监督活动的设计，如监督是定期的还是持续的；

（2）监督活动的实施情况和频率；

（3）监督活动结果的定期评价，以确定控制是否有效；

（4）如何通过适当的整改措施应对识别的缺陷，包括与负责采取整改措施的人员及时沟通缺陷。

（1）了解被审计单位实施的持续性评价和单独评价，以及识别控制缺陷的情况和整改的情况；

（2）了解被审计单位的内部审计，包括内部审计的性质、职责和活动；

（3）了解被审计单位在监督内部控制体系的过程中所使用信息的来源，以及管理层认为这些信息足以信赖的依据；

（4）根据被审计单位的性质和复杂程度，评价被审计单位对内部控制体系的监督是否适合其具体情况。

（1）注册会计师应当从整体层面和业务流程层面分别了解和评价被审计单位的内部控制。

（2）整体层面的控制和信息技术一般控制通常在所有业务活动中普遍存在，业务流程层面控制主要是对工薪、销售和采购等交易的控制。

（1）整体层面的控制主要包括与内部环境相关的控制；针对管理层和治理层凌驾于控制之上的风险而设计的内部控制等。

（2）整体层面的控制对内部控制在所有业务流程中得到严格的设计和执行具有重要影响。

（3）整体层面控制较差甚至可能使最好的业务流程层面控制失效。

（1）了解业务流程层面内部控制，通常采取下列步骤：

（2）扩展

（1）概述

（2）识别和评估两个层次的重大错报风险

（3）【对比】财务报表层次重大错报风险vs认定层次重大错报风险

（1）评价这些风险对财务报表整体产生的影响；

（2）确定这些风险是否影响对认定层次风险的评估结果。

（1）相关认定

（2）评估

（1）会计记录的状况和可靠性存在重大问题，不能获取充分、适当的审计证据以出具无保留意见的审计报告

（2）对管理层诚信存在严重疑虑

（3）【提示】必要时，注册会计师应当考虑解除业务约定

（1）根据固有风险因素对错报发生的可能性和错报的严重程度的影响，注册会计师将固有风险评估为达到或接近固有风险等级的最高级（上限）；

（2）根据其他审计准则的规定，注册会计师应当将其作为特别风险。 　　在判断哪些风险是特别风险时，注册会计师是否需要考虑识别出的控制对相关风险的抵销效果？ 　　在判断哪些风险是特别风险时，注册会计师不应考虑识别出的控制对相关风险的抵销效果。

（1）交易具有多种可接受的会计处理，因此涉及主观性；

（2）会计估计具有高度不确定性或模型复杂；

（3）支持账户余额的数据收集和处理较为复杂；

（4）账户余额或定量披露涉及复杂的计算；

（5）对会计政策存在不同的理解；

（6）被审计单位业务的变化涉及会计处理发生变化，如合并和收购。

（1）

（2）

（1）对特别风险，注册会计师应当评价相关控制的设计情况，并确定其是否已经得到执行。 　　与重大非常规交易或判断事项相关的风险很少受日常控制的约束，应了解被审计单位是否针对特别风险设计和实施了（专门）控制。

（2）如果管理层未能实施控制以恰当应对特别风险，注册会计师应当认为内部控制存在值得关注的内部控制缺陷，并考虑其对风险评估的影响。同时，应当就此类事项与治理层沟通。

（3）【对比】是否存在值得关注的内部控制缺陷