會計師事務所質量控制制度 四 風險評估制度

會計師事務所質量控制制度

四  風險評估制度

第一條   為保證執業質量，有效防范執業風險，提高審計鑒證業務的效率與效果，根據《會計師事務所質量控制準則第5101號——業務質量控制》的規定，制定本制度。

第二條   本所制定必要的審計程序，規范注冊會計師識別、評估、控制審計風險。

第三條   審計風險是指財務表存在重大錯報而注冊會計師發表不恰當審計意見的可能性。審計風險通常體現為重大錯報風險和檢查風險。

重大錯報風險是指財務報表在審計前存在重大錯報的可能性。

檢查風險是指某一鑒定對象信息存在錯報，該錯報單獨或連同其他錯報是重大的，但注冊會計師未能發現這種錯報的可能性。

第四條   注冊會計師應當實施審計程序，評估重大錯報風險，并根據評估結果設計和實施進一步審計程序，以控制檢查風險。

第五條   注冊會計師應當了解被審計單位及其環境，以足夠識別和評估財務報表重大錯報風險，設計和實施進一步審計程序。

第六條   注冊會計師應當實施下列風險評估程序以了解被審計單位及其環境：

（一）詢問被審計單位管理層和內部其他相關人員；

（二）分析程序；

（三）觀察和檢查。

第七條   注冊會計師除了詢問管理層和對財務報告負有責任的人員外，還應當考慮詢問內部審計人員、采購人員、生產人員、銷售人員等其他人員，并考慮詢問不同級別的員工，以獲取對識別重大錯報風險有用的信息。

第八條   注冊會計師實施分析程序有助于識別異常的交易或事項，以及對財務報表和審計產生影響的金額、比率和趨勢。

在實施分析程序時，注冊會計師應當預期可能存在的合理關系，并與被審計單位記錄的金額、依據記錄金額計算的比率或趨勢相比較；如果發現異?；蛭搭A期到的關系，注冊會計師應當在識別重大錯報風險時考慮這些比較結果。

如果使用了高度匯總的數據，實施分析程序的結果僅可能初步顯示財務報表存在重大錯報風險，注冊會計師應當將分析結果連同識別重大錯報風險時獲取的其他信息一并考慮。

第九條   觀察和檢查程序可以印證對管理層和其他相關人員的詢問結果，并可提供有關被審計單位及其環境的信息，注冊會計師應當實施下列觀察和檢查程序：

（一）觀察被審計單位的生產經營活動；

（二）檢查文件、記錄和內部控制手冊；

（三）閱讀由管理層和治理層編制的報告；

（四）實地察看被審計單位的生產經營場所和設備；

（五）追蹤交易在財務報告信息系統中的處理過程（穿行測試）。

第十條   如果根據職業判斷認為從被審計單位外部獲取的信息有助于識別重大錯報風險，注冊會計師應當實施其他審計程序以獲取這些信息。

第十一條   注冊會計師應當考慮在承接客戶或續約過程中獲取的信息，以及向被審計單位提供其他服務所獲得的經驗是否有助于識別重大錯報風險。

第十二條   對于連續審計業務，如果擬利用在以前期間獲取的信息，注冊會計師應當確定被審計單位及其環境是否已發生變化，以及該變化是否可能影響以前期間獲取的信息在本期審計中的相關性。

第十三條   注冊會計師應當組織項目組成員對財務報表存在重大錯報的可能性進行討論，并運用職業判斷確定討論的目標、內容、人員、時間和方式。

第十四條   項目組通過討論可以使成員更好地了解在各自負責的領域中，由于舞弊或錯誤導致財務報表重大錯報的可能性，并了解各自實施審計程序的結果如何影響審計的其他方面，包括對確定進一步審計程序的性質、時間和范圍的影響。

第十五條   項目組應當討論被審計單位面臨的經營風險、財務報表容易發生錯報的領域以及發生錯報的方式，特別是由于舞弊導致重大錯報的可能性。

第十六條   項目組的關鍵成員應當參與討論。如果項目組需要擁有信息技術或其他特殊技能的專家，這些專家也應參與討論。

第十七條   項目組應當根據審計的具體情況，在整個審計過程中持續交換有關財務報表發生重大錯報可能性的信息。

第十八條   項目組在討論時應當強調在整個審計過程中保持職業懷疑態度，警惕可能發生重大錯報的跡象，并對這些跡象進行嚴格追蹤。

第十九條   注冊會計師應當從下列方面了解被審計單位及其環境：

（一）行業狀況、法律環境與監管環境以及其他外部因素；

（二）被審計單位的性質；

（三）被審計單位對會計政策的選擇和運用；

（四）被審計單位的目標、戰略以及相關經營風險；

（五）被審計單位財務業績的衡量和評價；

（六）被審計單位的內部控制。

在針對本條第一款各項確定風險評估程序的性質、時間和范圍時，注冊會計師應當考慮審計業務的具體情況和相關審計經驗，并識別本條第一款各項與以前期間相比發生的重大變化。

第二十條   注冊會計師應當了解被審計單位的行業狀況，主要包括:

（一）所在行業的市場供求與競爭；

（二）生產經營的季節性和周期性；

（三）產品生產技術的變化；

（四）能源供應與成本；

（五）行業的關鍵指標和統計數據。

第二十一條   注冊會計師應當了解被審計單位所處的法律環境及監管環境，主要包括：

（一）適用的會計準則、會計制度和行業特定慣例；

（二）對經營活動產生重大影響的法律法規及監管活動；

（三）對開展業務產生重大影響的政府政策，包括貨幣、財政、稅收和貿易等政策；

（四）與被審計單位所處行業和所從事經營活動相關的環保要求。

第二十二條   注冊會計師應當了解影響被審計單位經營的其他外部因素，主要包括：

（一）宏觀經濟的景氣度；

（二）利率和資金供求狀況；

（三）通貨膨脹水平及幣值變動；

（四）國際經濟環境和匯率變動。

第二十三條    注冊會計師應當考慮被審計單位所在行業的業務性質或監管程度是否可能導致特定的重大錯報風險，考慮項目組是否配備了具有相關知識和經驗的成員。

第二十四條    注冊會計師應當主要從下列方面了解被審計單位的性質：

（一）所有權結構；

（二）治理結構；

（三）組織結構；

（四）經營活動；

（五）投資活動；

（六）籌資活動。

了解被審計單位的性質有助于注冊會計師理解預期在財務報表中反映的各類交易、賬戶余額、列報。

第二十五條   注冊會計師應當了解所有權結構以及所有者與其他人員或單位之間的關系，考慮關聯方關系是否已經得到識別，以及關聯方交易是否得到恰當核算。

第二十六條   注冊會計師應當了解被審計單位的治理結構，考慮治理層是否能夠在獨立于管理層的情況下對被審計單位事務（包括財務報告）做出客觀判斷。

第二十七條   注冊會計師應當了解被審計單位的組織結構，考慮復雜組織結構可能導致的重大錯報風險，包括財務報表合并、商譽攤銷和減值、長期股權投資核算以及特殊目的實體核算等問題。

第二十八條   注冊會計師應當了解被審計單位的經營活動，主要包括：

（一）主營業務的性質；

（二）與生產產品或提供勞務相關的市場信息；

（三）業務的開展情況；

（四）聯盟、合營與外包情況；

（五）從事電子商務的情況；

（六）地區與行業分布；

（七）生產設施、倉庫的地理位置及辦公地點；

（八）關鍵客戶；

（九）重要供應商；

（十）勞動用工情況；

（十一）研究與開發活動及其支出；

（十二）關聯方交易。

第二十九條   注冊會計師應當了解被審計單位的投資活動，主要包括：

（一）近期擬實施或已實施的并購活動與資產處置情況；

（二）證券投資、委托貸款的發生與處置；

（三）資本性投資活動，包括固定資產和無形資產投資，以及近期或計劃發生的變動；

（四）不納入合并范圍的投資。

第三十條   注冊會計師應當了解被審計單位的籌資活動，主要包括：

（一）債務結構和相關條款，包括擔保情況及表外融資；

（二）固定資產的租賃；

（三）關聯方融資；

（四）實際受益股東；

（五）衍生金融工具的運用。

第三十一條   注冊會計師應當了解被審計單位對會計政策的選擇和運用，是否符合適用的會計準則和相關會計制度，是否符合被審計單位的具體情況。

第三十二條   在了解被審計單位對會計政策的選擇和運用是否適當時，注冊會計師應當關注下列重要事項：

（一）重要項目的會計政策和行業慣例；

（二）重大和異常交易的會計處理方法；

（三）在新領域和缺乏權威性標準或共識的領域，采用重要會計政策產生的影響；

（四）會計政策的變更；

（五）被審計單位何時采用以及如何采用新頒布的會計準則和相關會計制度。

第三十三條   如果被審計單位變更了重要的會計政策，注冊會計師應當考慮變更的原因及其適當性，并考慮是否符合適用的會計準則和相關會計制度的規定。

第三十四條   注冊會計師應當考慮，被審計單位是否按照適用的會計準則和相關會計制度的規定恰當地進行了列報，并披露了重要事項。

第三十五條   注冊會計師應當了解被審計單位的目標和戰略，以及可能導致財務報表重大錯報的相關經營風險。

第三十六條   經營風險源于對被審計單位實現目標和戰略產生不利影響的重大情況、事項、環境和行動，或源于不恰當的目標和戰略。注冊會計師應當了解被審計單位是否存在與下列方面有關的目標和戰略，并考慮相應的經營風險：

（一）行業發展，及其可能導致的被審計單位不具備足以應對行業變化的人力資源和業務專長等風險；

（二）開發新產品或提供新服務，及其可能導致的被審計單位產品責任增加等風險；

（三）業務擴張，及其可能導致的被審計單位對市場需求的估計不準確等風險；

（四）新頒布的會計法規，及其可能導致的被審計單位執行法規不當或不完整，或會計處理成本增加等風險；

（五）監管要求，及其可能導致的被審計單位法律責任增加等風險；

（六）本期及未來的融資條件，及其可能導致的被審計單位由于無法滿足融資條件而失去融資機會等風險；

（七）信息技術的運用，及其可能導致的被審計單位信息系統與業務流程難以融合等風險。

第三十七條   多數經營風險最終都會產生財務后果，從而影響財務報表。注冊會計師應當根據被審計單位的具體情況考慮經營風險是否可能導致財務報表發生重大錯報。

第三十八條   管理層通常制定識別和應對經營風險的策略，注冊會計師應當了解被審計單位的風險評估過程。

第三十九條   小型被審計單位通常沒有正式的計劃和程序來確定其目標、戰略并管理經營風險。注冊會計師應當詢問管理層或觀察小型被審計單位如何應對這些事項。

第四十條   被審計單位內部或外部對財務業績的衡量和評價可能對管理層產生壓力，促使其采取行動改善財務業績或歪曲財務報表。

注冊會計師應當了解被審計單位財務業績的衡量和評價情況，考慮這種壓力是否可能導致管理層采取行動，以至于增加財務報表發生重大錯報的風險。

第四十一條   在了解被審計單位財務業績衡量和評價情況時，

注冊會計師應當關注下列信息：

（一）關鍵業績指標；

（二）業績趨勢；

（三）預測、預算和差異分析；

（四）管理層和員工業績考核與激勵性報酬政策；

（五）分部信息與不同層次部門的業績報告；

（六）與競爭對手的業績比較；

（七）外部機構提出的報告。

第四十二條   注冊會計師應當關注被審計單位內部財務業績衡量所顯示的未預期到的結果或趨勢、管理層的調查結果和糾正措施，以及相關信息是否顯示財務報表可能存在重大錯報。

第四十三條   如果擬利用被審計單位內部信息系統生成的財務業績衡量指標，注冊會計師應當考慮相關信息是否可靠，以及利用這些信息是否足以實現審計目標。

第四十四條   小型被審計單位通常沒有正式的財務業績衡量和評價程序，管理層往往依據某些關鍵指標，作為評價財務業績和采取適當行動的基礎，注冊會計師應當了解管理層使用的關鍵指標。

第四十五條   注冊會計師應當了解與審計相關的內部控制以識別潛在錯報的類型，考慮導致重大錯報風險的因素，以及設計和實施進一步審計程序的性質、時間和范圍。

第四十六條   內部控制是被審計單位為了合理保證財務報告的可靠性、經營的效率和效果以及對法律法規的遵守，由治理層、管理層和其他人員設計和執行的政策和程序。

第四十七條   內部控制包括下列要素：

（一）控制環境；

（二）風險評估過程；

（三）信息系統與溝通；

（四）控制活動；

（五）對控制的監督。

第四十八條   以下對內部控制要素的分類提供了了解內部控制的框架，但無論對內部控制要素如何進行分類，注冊會計師都應當重點考慮被審計單位某項控制，是否能夠以及如何防止或發現并糾正各類交易、賬戶余額、列報存在的重大錯報。

第四十九條   小型被審計單位通常采用非正式和簡單的內部控制實現其目標，參與日常經營管理的業主（以下簡稱業主）可能承擔多項職能，內部控制要素沒有得到清晰區分，注冊會計師應當綜合考慮小型被審計單位內部控制要素能否實現其目標。

第五十條   與審計相關的控制，包括被審計單位為實現財務報告可靠性目標設計和實施的控制。注冊會計師應當運用職業判斷，考慮一項控制單獨或連同其他控制是否與評估重大錯報風險以及針對評估的風險設計和實施進一步審計程序有關。

在運用職業判斷時，注冊會計師應當考慮下列因素：

（一）注冊會計師確定的重要性水平；

（二）被審計單位的性質；

（三）被審計單位的規模；

（四）被審計單位經營的多樣性和復雜性；

（五）法律法規和監管要求；

（六）作為內部控制組成部分的系統的性質和復雜性。

第五十一條   如果在設計和實施進一步審計程序時擬利用被審計單位內部生成的信息，注冊會計師應當考慮用以保證該信息完整性和準確性的控制可能與審計相關。

第五十二條   如果用以保證經營效率、效果的控制以及對法律法規遵守的控制與實施審計程序時評價或使用的數據相關，注冊會計師應當考慮這些控制可能與審計相關。

第五十三條   用以保護資產的內部控制可能包括與實現財務報告可靠性和經營效率、效果目標相關的控制。注冊會計師在了解保護資產的內部控制各項要素時，可僅考慮其中與財務報告可靠性目標相關的控制。

第五十四條   注冊會計師在了解內部控制時，應當評價控制的設計，并確定其是否得到執行。評價控制的設計是指考慮一項控制單獨或連同其他控制是否能夠有效防止或發現并糾正重大錯報?？刂频玫綀绦惺侵改稠椏刂拼嬖谇冶粚徲媶挝徽谑褂?。設計不當的控制可能表明內部控制存在重大缺陷，注冊會計師在確定是否考慮控制得到執行時，應當首先考慮控制的設計。

第五十五條   注冊會計師通常實施下列風險評估程序，以獲取有關控制設計和執行的審計證據：

（一）詢問被審計單位的人員；

（二）觀察特定控制的運用；

（三）檢查文件和報告；

（四）追蹤交易在財務報告信息系統中的處理過程（穿行測試）。

詢問本身并不足以評價控制的設計以及確定其是否得到執行，注冊會計師應當將詢問與其他風險評估程序結合使用。

第五十六條   除非存在某些可以使控制得到一貫運行的自動化控制，注冊會計師對控制的了解并不能夠代替對控制運行有效性的測試。

第五十七條   內部控制可能既包括人工成分又包括自動化成分，在風險評估以及設計和實施進一步審計程序時，注冊會計師應當考慮內部控制的人工和自動化特征及其影響。

第五十八條   信息技術通常在下列方面提高被審計單位內部控制的效率和效果：

（一）在處理大量的交易或數據時，一貫運用事先確定的業務規則，并進行復雜運算；

（二）提高信息的及時性、可獲得性及準確性；

（三）有助于對信息的深入分析；

（四）加強對被審計單位政策和程序執行情況的監督；

（五）降低控制被規避的風險；

（六）通過對操作系統、應用程序系統和數據庫系統實施安全控制，提高不相容職務分離的有效性。

第五十九條   注冊會計師應當從下列方面了解信息技術對內部控制產生的特定風險：

（一）系統或程序未能正確處理數據，或處理了不正確的數據，或兩種情況同時并存；

（二）在未得到授權情況下訪問數據，可能導致數據的毀損或對數據不恰當的修改，包括記錄未經授權或不存在的交易，或不正確地記錄了交易；

（三）信息技術人員可能獲得超越其履行職責以外的數據訪問權限，破壞了系統應有的職責分工；

（四）未經授權改變主文檔的數據；

（五）未經授權改變系統或程序；

（六）未能對系統或程序作出必要的修改；

（七）不恰當的人為干預；

（八）數據丟失的風險或不能訪問所需要的數據。

第六十條   內部控制的人工成分在處理下列需要主觀判斷或酌情處理的情形時可能更為適當：

（一）存在大額、異?；蚺及l的交易；

（二）存在難以定義、防范或預見的錯誤；

（三）為應對情況的變化，需要對現有的自動化控制進行調整；

（四）監督自動化控制的有效性。

第六十一條   注冊會計師應當從下列方面了解人工控制產生的特定風險：

（一）人工控制可能更容易被規避、忽視或凌駕；

（二）人工控制可能不具有一貫性；

（三）人工控制可能更容易產生簡單錯誤或失誤。

第六十二條   注冊會計師應當考慮人工控制在下列情形中可能是不適當的：

（一）存在大量或重復發生的交易；

（二）事先可預見的錯誤能夠通過自動化控制得以防范或發現；

（三）控制活動可得到適當設計和自動化處理。

第六十三條   在了解內部控制時，注冊會計師應當考慮被審計單位是否通過建立有效的控制，以恰當應對由于使用信息技術系統或人工系統而產生的風險。

第六十四條   內部控制存在下列固有局限性，無論如何設計和執行，只能對財務報告的可靠性提供合理的保證：

（一）在決策時人為判斷可能出現錯誤和由于人為失誤而導致內部控制失效；

（二）可能由于兩個或更多的人員進行串通或管理層凌駕于內部控制之上而被規避。

第六十五條   小型被審計單位擁有的員工通常較少，限制了其職責分離的程度，業主凌駕于內部控制之上的可能性較大，注冊會計師應當考慮一些關鍵領域是否存在有效的內部控制。

第六十六條   注冊會計師應當了解控制環境。

控制環境包括治理職能和管理職能，以及治理層和管理層對內部控制及其重要性的態度、認識和措施。

第六十七條   在評價控制環境的設計和實施情況時，注冊會計師應當了解管理層在治理層的監督下，是否營造并保持了誠實守信和合乎道德的文化，以及是否建立了防止或發現并糾正舞弊和錯誤的恰當控制。

第六十八條   在評價控制環境的設計時，注冊會計師應當考慮構成控制環境的下列要素，以及這些要素如何被納入被審計單位業務流程：

（一）對誠信和道德價值觀念的溝通與落實；

（二）對勝任能力的重視；

（三）治理層的參與程度；

（四）管理層的理念和經營風格；

（五）組織結構；

（六）職權與責任的分配；

（七）人力資源政策與實務。

第六十九條   在確定構成控制環境的要素是否得到執行時，注冊會計師應當考慮將詢問與其他風險評估程序相結合以獲取審計證據。

通過詢問管理層和員工，注冊會計師可能了解管理層如何就業務規程和道德價值觀念與員工進行溝通。

通過觀察和檢查，注冊會計師可能了解管理層是否建立了正式的行為守則，在日常工作中行為守則是否得到遵守，以及管理層如何處理違反行為守則的情形。

第七十條   控制環境對重大錯報風險的評估具有廣泛影響，注冊會計師應當考慮控制環境的總體優勢是否為內部控制的其他要素提供了適當的基礎，并且未被控制環境中存在的缺陷所削弱。

第七十一條   控制環境本身并不能防止或發現并糾正各類交易、賬戶余額、列報認定層次的重大錯報，注冊會計師在評估重大錯報風險時應當將控制環境連同其他內部控制要素產生的影響一并考慮。

第七十二條   在小型被審計單位，可能無法獲取以文件形式存在的有關控制環境要素的審計證據，注冊會計師應當重點了解管理層對內部控制設計的態度、認識和措施。

第七十三條   注冊會計師應當了解被審計單位的風險評估過程和結果。

風險評估過程包括識別與財務報告相關的經營風險，以及針對這些風險所采取的措施。

第七十四條   在評價被審計單位風險評估過程的設計和執行時，注冊會計師應當確定管理層如何識別與財務報告相關的經營風險，如何估計該風險的重要性，如何評估風險發生的可能性，以及如何采取措施管理這些風險。

第七十五條   注冊會計師應當詢問管理層識別出的經營風險，并考慮這些風險是否可能導致重大錯報。

在審計過程中，如果識別出管理層未能識別的重大錯報風險，注冊會計師應當考慮被審計單位的風險評估過程為何沒有識別出這些風險，以及評估過程是否適合于具體環境。

第七十六條   在小型被審計單位，管理層可能沒有正式的風險評估過程，注冊會計師應當與管理層討論其如何識別經營風險以及如何應對這些風險。

第七十七條   與財務報告相關的信息系統，包括用以生成、記錄、處理和報告交易、事項和情況，對相關資產、負債和所有者權益履行經營管理責任的程序和記錄。

與財務報告相關的信息系統應當與業務流程相適應。

第七十八條   與財務報告相關的信息系統所生成信息的質量，對管理層能否作出恰當的經營管理決策以及編制可靠的財務報告具有重大影響。

與財務報告相關的信息系統通常包括下列職能：

（一）識別與記錄所有的有效交易；

（二）及時、詳細地描述交易，以便在財務報告中對交易作出恰當分類；

（三）恰當計量交易，以便在財務報告中對交易的金額作出準確記錄；

（四）恰當確定交易生成的會計期間；

（五）在財務報表中恰當列報交易。

第七十九條   注冊會計師應當從下列方面了解與財務報告相關的信息系統：

（一）在被審計單位經營過程中，對財務報表具有重大影響的各類交易；

（二）在信息技術和人工系統中，對交易生成、記錄、處理和報告的程序；

（三）與交易生成、記錄、處理和報告有關的會計記錄、支持性信息和財務報表中的特定項目；

（四）信息系統如何獲取除各類交易之外的對財務報表具有重大影響的事項和情況；

（五）被審計單位編制財務報告的過程，包括作出的重大會計估計和披露。

第八十條   在了解與財務報告相關的信息系統時，注冊會計師應當特別關注由于管理層凌駕于賬戶記錄控制之上，或規避控制行為而產生的重大錯報風險，并考慮被審計單位如何糾正不正確的交易處理。

第八十一條   與財務報告相關的溝通包括使員工了解各自在與財務報告有關的內部控制方面的角色和職責，員工之間的工作聯系，以及向適當級別的管理層報告例外事項的方式。

注冊會計師應當了解被審計單位內部如何對財務報告的崗位職責，以及與財務報告相關的重大事項進行溝通。注冊會計師還應當了解管理層與治理層之間的溝通，以及被審計單位與外部的溝通。

第八十二條   在小型被審計單位，與財務報告相關的信息系統和溝通可能不如大型被審計單位正式和復雜，注冊會計師應當考慮這種特征對評估重大錯報風險的影響。

第八十三條   注冊會計師應當了解控制活動，以足夠評估認定層次的重大錯報風險和針對評估的風險設計進一步審計程序。

控制活動是指有助于確保管理層的指令得以執行的政策和程序，包括與授權、業績評價、信息處理、實物控制和職責分離等相關的活動。

第八十四條   注冊會計師應當了解與授權有關的控制活動，包括一般授權和特別授權。

一般授權是指管理層制定的要求組織內部遵守的普遍適用于某類交易或活動的政策。

特別授權是指管理層針對特定類別的交易或活動逐一設置的授權。

第八十五條   注冊會計師應當了解與業績評價有關的控制活動，主要包括被審計單位分析評價實際業績與預算（或預測、前期業績）的差異，綜合分析財務數據與經營數據的內在關系，將內部數據與外部信息來源相比較，評價職能部門、分支機構或項目活動的業績，以及對發現的異常差異或關系采取必要的調查與糾正措施。

第八十六條   注冊會計師應當了解與信息處理有關的控制活動，包括信息技術一般控制和應用控制。

信息技術一般控制是指與多個應用系統有關的政策和程序，有助于保證信息系統持續恰當地運行（包括信息的完整性和數據的安全性），支持應用控制作用的有效發揮，通常包括數據中心和網絡運行控制，系統軟件的購置、修改及維護控制，接觸或訪問權限控制，應用系統的購置、開發及維護控制。

信息技術應用控制是指主要在業務流程層次運行的人工或自動化程序，與用于生成、記錄、處理、報告交易或其他財務數據的程序相關，通常包括檢查數據計算準確性，審核賬戶和試算平衡表，設置對輸入數據和數字序號的自動檢查，以及對例外報告進行人工干預。

第八十七條   注冊會計師應當了解實物控制，主要包括了解對資產和記錄采取適當的安全保護措施，對訪問計算機程序和數據文件設置授權，以及定期盤點并將盤點記錄與會計記錄相核對。

實物控制的效果影響資產的安全，從而對財務報表的可靠性及審計產生影響。

第八十八條   注冊會計師應當了解職責分離，主要包括了解被審計單位如何將交易授權、交易記錄以及資產保管等職責分配給不同員工，以防范同一員工在履行多項職責時可能發生的舞弊或錯誤。

第八十九條   在了解控制活動時，注冊會計師應當重點考慮一項控制活動單獨或連同其他控制活動，是否能夠以及如何防止或發現并糾正各類交易、賬戶余額、列報存在的重大錯報。

如果多項控制活動能夠實現同一目標，注冊會計師不必了解與該目標相關的每項控制活動。

第九十條   在了解其他內部控制要素時，如果獲取了控制活動是否存在的信息，注冊會計師應當確定是否有必要進一步了解這些控制活動。

第九十一條   小型被審計單位通常難以實施適當的職責分離，注冊會計師應當考慮小型被審計單位采取的控制活動能否有效實現控制目標。

第九十二條   注冊會計師應當了解被審計單位對與財務報告相關的內部控制的監督活動，并了解如何采取糾正措施。

對控制的監督是指被審計單位評價內部控制在一段時間內運行有效性的過程，該過程包括及時評價控制的設計和運行，以及根據情況的變化采取必要的糾正措施。

第九十三條   注冊會計師應當了解被審計單位對控制的持續監督活動和專門的評價活動。

持續的監督活動通常貫穿于被審計單位的日常經營活動與常規管理工作中。

被審計單位可能使用內部審計人員或具有類似職能的人員對內部控制的設計和執行進行專門的評價。

被審計單位也可能利用與外部有關各方溝通或交流所獲取的信息監督相關的控制活動。

第九十四條   注冊會計師應當了解與被審計單位監督活動相關的信息來源，以及管理層認為信息具有可靠性的依據。

如果擬利用被審計單位監督活動使用的信息（包括內部審計報告），注冊會計師應當考慮該信息是否具有可靠的基礎，是否足以實現審計目標。

第九十五條   小型被審計單位通常沒有正式的持續監督活動，且持續的監督活動與日常管理工作難以明確區分，注冊會計師應當考慮業主對經營活動的密切參與能否有效實現其對控制的監督目標。

第九十六條   注冊會計師應當識別和評估財務報表層次以及各類交易、賬戶余額、列報認定層次的重大錯報風險。在識別和評估重大錯報風險時，注冊會計師應當實施下列審計程序：

（一）在了解被審計單位及其環境的整個過程中識別風險，并考慮各類交易、賬戶余額、列報；

（二）將識別的風險與認定層次可能發生錯報的領域相聯系；

（三）考慮識別的風險是否重大；

（四）考慮識別的風險導致財務報表發生重大錯報的可能性。

第九十七條   注冊會計師應當利用實施風險評估程序獲取的信息，包括在評價控制設計和確定其是否得到執行時獲取的審計證據，作為支持風險評估結果的審計證據。注冊會計師應當根據風險評估結果，確定實施進一步審計程序的性質、時間和范圍。

第九十八條  下列事項和情況可能表明被審計單位存在重大錯報風險, 注冊會計師應當予以關注：

（一）在經濟不穩定的國家或地區開展業務；

（二）在高度波動的市場開展業務；

（三）在嚴厲、復雜的監管環境中開展業務；

（四）持續經營和資產流動性出現問題，包括重要客戶流失；

（五）融資能力受到限制；

（六）行業環境發生變化；

（七）供應鏈發生變化；

（八）開發新產品或提供新服務，或進入新的業務領域；

（九）開辟新的經營場所；

（十）發生重大收購、重組或其他非經常性事項；

（十一）擬出售分支機構或業務分部；

（十二）復雜的聯營或合資；

（十三）運用表外融資、特殊目的實體以及其他復雜的融資協議；

（十四）重大的關聯方交易；

（十五）缺乏具備勝任能力的會計人員；

（十六）關鍵人員變動；

（十七）內部控制薄弱；

（十八）信息技術戰略與經營戰略不協調；

（十九）信息技術環境發生變化；

（二十）安裝新的與財務報告有關的重大信息技術系統；

（二十一）經營活動或財務報告受到監管機構的調查；

（二十二）以往存在重大錯報或本期期末出現重大會計調整；

（二十三）發生重大的非常規交易；

（二十四）按照管理層特定意圖記錄的交易；

（二十五）應用新頒布的會計準則或相關會計制度；

（二十六）會計計量過程復雜；

（二十七）事項或交易在計量時存在重大不確定性；

（二十八）存在未決訴訟和或有負債。

第九十九條   注冊會計師應當確定，識別的重大錯報風險是與特定的某類交易、賬戶余額、列報的認定相關，還是與財務報表整體廣泛相關，進而影響多項認定。

第一百條   財務報表層次的重大錯報風險很可能源于薄弱的控制環境。薄弱的控制環境帶來的風險可能對財務報表產生廣泛影響，難以限于某類交易、賬戶余額、列報，注冊會計師應當采取總體應對措施。

第一百零一條    在評估重大錯報風險時，注冊會計師應當將所了解的控制與特定認定相聯系?？刂婆c認定直接或間接相關；關系越間接，控制對防止或發現并糾正認定錯報的效果越小。

注冊會計師可能識別出有助于防止或發現并糾正特定認定發生重大錯報的控制。在確定這些控制是否能夠實現上述目標時，注冊會計師應當將控制活動和其他要素綜合考慮。

第一百零二條    如果通過對內部控制的了解發現下列情況，并對財務報表局部或整體的可審計性產生疑問，注冊會計師應當考慮出具保留意見或無法表示意見的審計報告：

（一）被審計單位會計記錄的狀況和可靠性存在重大問題，不能獲取充分、適當的審計證據以發表無保留意見；

（二）對管理層的誠信存在嚴重疑慮。必要時，注冊會計師應當考慮解除業務約定。

第一百零三條    作為風險評估的一部分，注冊會計師應當運用職業判斷，確定識別的風險哪些是需要特別考慮的重大錯報風險（以下簡稱特別風險）。

第一百零四條    在確定哪些風險是特別風險時，注冊會計師應當在考慮識別出的控制對相關風險的抵消效果前，根據風險的性質、潛在錯報的重要程度和發生的可能性，判斷風險是否屬于特別風險。

第一百零五條    在確定風險的性質時，注冊會計師應當考慮下列事項：

（一）風險是否屬于舞弊風險；

（二）風險是否與近期經濟環境、會計處理方法和其他方面的重大變化有關；

（三）交易的復雜程度；

（四）風險是否涉及重大的關聯方交易；

（五）財務信息計量的主觀程度，特別是對不確定事項的計量存在較大區間；

（六）風險是否涉及異?；虺稣＝洜I過程的重大交易。

第一百零六條    特別風險通常與重大的非常規交易和判斷事項有關。非常規交易是指由于金額或性質異常而不經常發生的交易。判斷事項通常包括作出的會計估計。

第一百零七條    由于非常規交易具有下列特征，與重大非常規交易相關的特別風險可能導致更高的重大錯報風險：

（一）管理層更多地介入會計處理；

（二）數據收集和處理涉及更多的人工成分；

（三）復雜的計算或會計處理方法；

（四）非常規交易的性質可能使被審計單位難以對由此產生的特別風險實施有效控制。

第一百零八條    由于下列原因，與重大判斷事項相關的特別風險可能導致更高的重大錯報風險：

（一）對涉及會計估計、收入確認等方面的會計原則存在不同的理解；

（二）所要求的判斷可能是主觀和復雜的，或需要對未來事項作出假設。

第一百零九條    對特別風險，注冊會計師應當評價相關控制的設計情況，并確定其是否已經得到執行。

與重大非常規交易或判斷事項相關的風險很少受到日?？刂频募s束，注冊會計師應當了解被審計單位是否針對該特別風險設計和實施了控制。

第一百一十條    如果管理層未能實施控制以恰當應對特別風險，注冊會計師應當認為內部控制存在重大缺陷，并考慮其對風險評估的影響。

第一百一十一條  作為風險評估的一部分，如果認為僅通過實質性程序獲取的審計證據無法將認定層次的重大錯報風險降至可接受的低水平，注冊會計師應當評價被審計單位針對這些風險設計的控制，并確定其執行情況。

第一百一十二條  在被審計單位對日常交易采用高度自動化處理的情況下，審計證據可能僅以電子形式存在，其充分性和適當性通常取決于自動化信息系統相關控制的有效性，注冊會計師應當考慮僅通過實施實質性程序不能獲取充分、適當審計證據的可能性。

如果認為僅通過實施實質性程序不能獲取充分、適當的審計證據，注冊會計師應當考慮依賴的相關控制的有效性。

第一百一十三條  注冊會計師對認定層次重大錯報風險的評估應以獲取的審計證據為基礎，并可能隨著不斷獲取審計證據而作出相應的變化。

如果通過實施進一步審計程序獲取的審計證據與初始評估獲取的審計證據相矛盾，注冊會計師應當修正風險評估結果，并相應修改原計劃實施的進一步審計程序。

第一百一十四條  注冊會計師應當及時將注意到的內部控制設計或執行方面的重大缺陷告知適當層次的管理層或治理層。

第一百一十五條  如果識別出被審計單位未加控制或控制不當的重大錯報風險，或認為被審計單位的風險評估過程存在重大缺陷，注冊會計師應當就此類內部控制缺陷與治理層溝通。

第一百一十六條  注冊會計師應當就下列內容形成審計工作記錄：

（一）項目組對由于舞弊或錯誤導致財務報表發生重大錯報的可能性進行的討論，以及得出的重要結論；

（二）對被審計單位及其環境各個方面的了解要點、信息來源以及實施的風險評估程序；

（三）在財務報表層次和認定層次識別、評估出的重大錯報風險；

（四）識別出的特別風險和僅通過實質性程序無法應對的重大錯報風險，以及對相關控制的評估。

第一百一十七條  本制度對事務所全體從業人員具有約束力。

第一百一十八條  本制度自發布日施行。