注册会计师如何风险管理

结合审计理论和实务成果，重点解决了注册会计师在运用准则时面临的十大问题：一是如何运用审计风险模型；二是如何计划审计工作；三是如何进行风险评估；四是如何实施控制测试；五是如何应对舞弊风险；六是如何编制工作底稿；七是如何运用重要水平；八是如何确定抽样规模；九是如何确定审计意见；十是如何审计新兴和复杂领域。

第十五条 注册会计师应当了解与审计相关的内部控制。虽然大部分与审计相关的控制可能与财务报告相关，但并非所有与财务报告相关的控制都与审计相关。确定一项控制单独或连同其他控制是否与审计相关，需要注册会计师作出职业判断。
第十六条 在了解与审计相关的控制时，注册会计师应当通过将询问被审计单位内部人员和其他程序结合使用，评价这些控制的设计，并确定其是否得到执行。
第十七条 注册会计师应当了解控制环境。作为了解控制环境的一部分，注册会计师应当评价：
（一）层在治理层的下，是否营造并保持了诚实守信和合乎道德的文化；
（二）控制环境总体上的优势是否为内部控制的其他要素提供了适当的基础，以及这些其他要素是否未被控制环境中存在的缺陷所削
4
弱。
第十八条 注册会计师应当了解被审计单位是否已建立风险评估过程，包括：
（一）识别与财务报告目标相关的经营风险；
（二）估计风险的重要；
（三）评估风险发生的可能；
（四）决定应对这些风险的措施。
第十九条 如果被审计单位已建立风险评估过程，注册会计师应当了解风险评估过程及其结果。
如果识别出层未能识别的重大错报风险，注册会计师应当评价是否存在潜在风险，即注册会计师预期被审计单位风险评估过程应当识别出的风险。如果存在这种潜在风险，注册会计师应当了解风险评估过程未能识别出的原因，并评价风险评估过程是否适合具体情况，或者确定与风险评估过程相关的内部控制是否存在重要缺陷。
第二十条 如果被审计单位未建立风险评估过程，或具有非正式的风险评估过程，注册会计师应当与层讨论是否识别出与财务报告目标相关的经营风险以及如何应对这些风险。注册会计师应当评价缺少记录的风险评估过程是否适合具体情况，或确定是否表明存在内部控制重要缺陷。
第二十一条 注册会计师应当从下列方面了解与财务报告相关的信息（包括相关业务流程）：
（一）在被审计单位经营过程中，对财务报表具有重大影响的各类交易；
（二）在信息技术和人工中，对被审计单位的交易生成、记录、处理、必要的更正、结转至总账以及在财务报表中报告的程序；
（三）用以生成、记录、处理和报告（包括纠正不正确的信息以及信息如何结转至总账）被审计单位交易的会计记录、支持信息和财务报表中的特定账户；
（四）被审计单位的信息如何获取除交易以外的对财务报表重大的事项和情况；
（五）用于编制被审计单位财务报表（包括作出的重大会计估计和披露）的财务报告流程；
（六）与会计分录相关的控制，这些分录包括用以记录非经常的、异常的交易或调整的非标准会计分录。
第二十二条 注册会计师应当了解被审计单位如何沟通与财务报告相关的人员的角和职责以及与财务报告相关的重大事项。这种沟通包括：
（一）层与治理层之间的沟通；
（二）外部沟通，如与机构的沟通。
第二十三条 注册会计师应当了解与审计相关的控制活动。与审计相关的控制活动，是注册会计师为评估认定层次重大错报风险并设计进一步审计程序应对评估的风险而认为有必要了解的控制活动。审计并不要求了解与财务报表中每类重大交易、账户余额和披露或与其每项认定相关的所有控制活动。
第二十四条 在了解被审计单位控制活动时，注册会计师应当了解被审计单位如何应对信息技术导致的风险。
第二十五条 注册会计师应当了解被审计单位用于与财务报告相关的内部控制的主要活动，包括了解针对与审计相关的控制活动的，以及被审计单位如何对控制缺陷采取补救措施。
第二十六条 如果被审计单位具有内部审计职能，注册会计师应当了解下列事项，以确定内部审计职能是否可能与审计相关：
（一）内部审计职能责任的质以及内部审计职能如何适合被审计单位的组织结构；
（二）内部审计职能已实施或拟实施的活动。
第二十七条 注册会计师应当了解被审计单位活动所使用信息的来源，以及层认为信息对于实现目的足够可靠的依据。

“深口袋”理论（The Deep Pocket Theory）即任何看上去拥有经济财富的都可能受到起诉，不论其应当受到惩罚的程度如何。又称为“保险理论”。
深口袋理论（the deep pocket theory）即任何看上去拥有经济财富的都可能受到起诉，不论其应当受到惩罚的程度如何。

法庭在受理对注册会计师的诉讼时，较倾向于保护所谓的“弱小群体”，强调均衡损失，运用了“深口袋”理论（注：认为受伤害的一方可向有能力提供补偿的另一方提出诉讼而不问过错为谁。认为会计师事务所和注册会计师盈利丰厚，完全有理由从其丰厚的收入中拿出一小部分来稳定受损方的情绪，以安定团结，稳定经济。法庭的这种判决，使会计师事务所和注册会计师无法摆脱不合理的风险困扰，无形中放大了审计风险。

审计风险是指存在重大误报、漏报的财务报表中，审计人员不恰当地发布审计意见而造成损失的可能。审计风险的内涵可以从三个方面来理解：一是审计风险产生的主体。审计会计业务的注册会计师和所在的会计师事务所是产生风险的主体。二是审计风险产生的原因。审计程序、审计方法、误判等是导致审计风险的原因。三是审计风险程度。注册会计师发布的审计意见与财务报表之间实际差异的大小。审计风险具有客观、普遍、潜在、不可避免和可控的特征。
1审计风险的客观
审计风险不随人的主观意志而转移。注册会计师在执业过程中，不仅需要通过专业知识和专业经验来判断企业财务活动的问题，而且常常还要通过观察和直觉来判断财务问题。注册会计师的判断结果受其知识和能力的影响。每个人的知识和能力存在一定的差异，注册会计师难免会出现判断失误，从而产生审计风险。
2审计风险的普遍
审计风险是审计结论和实际财务之间的差异。在审计过程中，注册会计对每一个会计环节和会计过程都可能产生错误的判断，任何一个审计环节都可能产生审计风险，会计师事务所普遍存在审计风险。
3审计风险的潜在
审计风险存在于整个审计过程中，审计判断失误存在潜在的风险。如果注册会计师判断失误，又没有追究责任，这还只是潜在的风险，没有转换为现实的风险。很多审计风险不是以单一的形式存在，而是与其他潜在的审计风险共存，固有风险和控制风险互为联动，这种风险涉及面广、影响大。
4审计风险的不可避免
无论注册会计师如何小心谨慎和努力，审计风险都不可避免。究其原因，审计风险客观存在。比如审计成本的问题，降低审计风险要投入较大的人力和物力资源，当风险降低到一定程度时，进一步降低审计风险会得不偿失。
5审计风险的可控
注册会计师必须对审计结论承担责任，注册会计师有控制风险的主观意愿。注册会计师主动做好审计工作，降低审计风险，也能减轻自己的责任。

审计师应当从以下方面了解被审计单位整体层面内部控制:

应当通过将询问被审计单位内部人员和其他程序结合使用，评价这些控制的设计，并确定其是否得到执行。

应当了解控制环境。作为了解控制环境的一部分，注册会计师应当评价：
（一）层在治理层的下，是否营造并保持了诚实守信和合乎道德的文化；
（二）控制环境总体上的优势是否为内部控制的其他要素提供了适当的基础，以及这些其他要素是否未被控制环境中存在的缺陷所削弱。

应当了解被审计单位是否已建立风险评估过程，包括：
（一）识别与财务报告目标相关的经营风险；
（二）估计风险的重要；
（三）评估风险发生的可能；
（四）决定应对这些风险的措施。

如果被审计单位已建立风险评估过程，注册会计师应当了解风险评估过程及其结果。

如果识别出层未能识别的重大错报风险，注册会计师应当评价是否存在潜在风险，即注册会计师预期被审计单位风险评估过程应当识别出的风险。如果存在这种潜在风险，注册会计师应当了解风险评估过程未能识别出的原因，并评价风险评估过程是否适合具体情况，或者确定与风险评估过程相关的内部控制是否存在重要缺陷。

如果被审计单位未建立风险评估过程，或具有非正式的风险评估过程，应当与层讨论是否识别出与财务报告目标相关的经营风险以及如何应对这些风险。注册会计师应当评价缺少记录的风险评估过程是否适合具体情况，或确定是否表明存在内部控制重要缺陷。

应当从下列方面了解与财务报告相关的信息（包括相关业务流程）：
（一）在被审计单位经营过程中，对财务报表具有重大影响的各类交易；
（二）在信息技术和人工中，对被审计单位的交易生成、记录、处理、必要的更正、结转至总账以及在财务报表中报告的程序；
（三）用以生成、记录、处理和报告（包括纠正不正确的信息以及信息如何结转至总账）被审计单位交易的会计记录、支持信息和财务报表中的特定账户；
（四）被审计单位的信息如何获取除交易以外的对财务报表重大的事项和情况；
（五）用于编制被审计单位财务报表（包括作出的重大会计估计和披露）的财务报告流程；
（六）与会计分录相关的控制，这些分录包括用以记录非经常的、异常的交易或调整的非标准会计分录。

应当了解被审计单位如何沟通与财务报告相关的人员的角和职责以及与财务报告相关的重大事项。这种沟通包括：
（一）层与治理层之间的沟通；
（二）外部沟通，如与机构的沟通。

应当了解与审计相关的控制活动。与审计相关的控制活动，是注册会计师为评估认定层次重大错报风险并设计进一步审计程序应对评估的风险而认为有必要了解的控制活动。审计并不要求了解与财务报表中每类重大交易、账户余额和披露或与其每项认定相关的所有控制活动。
在了解被审计单位控制活动时，应当了解被审计单位如何应对信息技术导致的风险。

应当了解被审计单位用于与财务报告相关的内部控制的主要活动，包括了解针对与审计相关的控制活动的，以及被审计单位如何对控制缺陷采取补救措施。

如果被审计单位具有内部审计职能，应当了解下列事项，以确定内部审计职能是否可能与审计相关：
（一）内部审计职能责任的质以及内部审计职能如何适合被审计单位的组织结构；
（二）内部审计职能已实施或拟实施的活动。

应当了解被审计单位活动所使用信息的来源，以及层认为信息对于实现目的足够可靠的依据。