audit-risk-assessment - SKILL.md Agent Skill

name: audit-risk-assessment description: "基于 ISA 315 (Revised 2019) 框架执行审计计划阶段的风险评估。当用户需要 (1) 制定审计计划 (2) 识别重大错报风险 (3) 评估内部控制 (4) 确定重要性水平 (5) 设计审计策略时使用。输出结构化风险评估文档。"

审计计划与风险评估

基于国际审计准则 ISA 315 (Revised 2019) 框架，执行审计计划阶段的系统性风险评估。

When To Use

用户需要为客户制定审计计划
用户需要识别和评估重大错报风险（RMM）
用户需要了解被审计单位的内部控制
用户需要确定重要性水平
用户需要设计审计策略和审计程序的总体方向

Tools

Tool	Purpose
`update_project_markdown_document`	保存风险评估文档到项目空间
`write_project_office_document`	生成风险评估报告（Word/PDF）

Framework: ISA 315 (Revised 2019)

核心概念

固有风险 (Inherent Risk, IR)：在考虑相关控制之前，某项认定存在重大错报的可能性。ISA 315 要求在认定层面评估固有风险。
控制风险 (Control Risk, CR)：某项重大错报未被实体的内部控制及时防止或发现并纠正的可能性。
检查风险 (Detection Risk, DR)：审计师的程序未能发现存在的重大错报的风险。审计师的责任是控制检查风险。
重大错报风险 (Risk of Material Misstatement, RMM)：固有风险与控制风险的组合。RMM = IR × CR。
重大账户 (Significant Accounts)：存在合理可能性包含重大错报的账户。
认定 (Assertions)：存在/发生、完整性、计价/分摊、权利和义务、列报和披露。

五步风险评估流程

Step 1：了解被审计单位及其环境

维度	了解内容
行业因素	行业竞争格局、监管要求、技术变革、市场趋势
所有权与治理	股权结构、董事会构成、管理层激励机制
经营模式	主要业务流程、收入来源、成本结构、关键资产
会计政策	重大会计估计、会计政策变更、复杂交易处理
财务业绩	收入增长率、毛利率趋势、现金流与利润匹配度

Step 2：了解内部控制（COSO 五要素）

要素	关键问题
控制环境	管理层诚信度、治理监督、权责分配、员工胜任能力
风险评估过程	管理层如何识别和应对经营风险
信息系统与沟通	财务报告相关的信息系统、内部控制沟通机制
控制活动	审批授权、核对复核、资产保护、职责分离
对控制的监督	持续监控、独立评估、缺陷报告机制

Step 3：识别重大账户、披露和相关认定

对每个账户评估以下风险因素：

账户规模和构成
因错误或舞弊导致错报的敏感性
交易量、复杂性和同质性
账户性质
会计和报告复杂性
损失风险
重大或有负债的可能性
关联方交易的存在
与前期的变化

Step 4：识别可能的错报来源（WCGW 分析）

对每个重大账户/认定，回答：

What Could Go Wrong? 在交易的发起、授权、处理、记录环节中，哪些环节可能出现错报？
管理层已实施了哪些控制？
需要执行哪些穿行测试？

Step 5：评估重大错报风险

在认定层面评估每个重大账户的 RMM
确定哪些风险是显著风险（需要特别审计关注）
识别因舞弊导致的重大错报风险（ISA 240 联动）
确定显著风险是否需要测试控制

Workflow

1. 收集   → 获取客户行业、经营、财务、内控基本信息
2. 了解   → 按 Step 1-2 系统了解被审计单位和内控
3. 识别   → 按 Step 3-4 识别重大账户和 WCGW
4. 评估   → 按 Step 5 在认定层面评估 RMM
5. 重要性 → 计算整体重要性和实际执行的重要性
6. 策略   → 基于风险评估设计审计策略
7. 输出   → 生成结构化风险评估文档

Output Format

# 审计计划与风险评估报告

## 一、被审计单位概况

| 项目 | 内容 |
|------|------|
| 客户名称 | [名称] |
| 行业 | [行业] |
| 审计期间 | [期间] |
| 主要业务 | [描述] |

## 二、重要性水平

| 项目 | 金额 | 计算基础 | 比例 |
|------|------|---------|------|
| 整体重要性 | [金额] | [基准] | [比例] |
| 实际执行的重要性 | [金额] | [整体重要性] | 50%-75% |
| 明显微小错报临界值 | [金额] | — | — |

## 三、重大账户与认定识别

| 科目 | 金额 | 占比 | 相关认定 | 是否重大 |
|------|------|------|---------|---------|
| 收入 | ... | ... | 发生/完整性/截止 | ✅ |
| 应收账款 | ... | ... | 存在/计价 | ✅ |
| 存货 | ... | ... | 存在/计价/完整性 | ✅ |
| ... | ... | ... | ... | ... |

## 四、内部控制了解与评估

### 4.1 控制环境评价

| 维度 | 评价 | 风险等级 |
|------|------|---------|
| 管理层诚信 | [描述] | 🟢/🟡/🔴 |
| 治理监督 | [描述] | 🟢/🟡/🔴 |
| 权责分配 | [描述] | 🟢/🟡/🔴 |
| 员工胜任能力 | [描述] | 🟢/🟡/🔴 |

### 4.2 关键业务流程控制

| 流程 | 关键控制点 | 设计评价 | 是否需测试运行有效性 |
|------|-----------|---------|-------------------|
| 销售到收款 | [控制点] | 有效/缺陷 | 是/否 |
| 采购到付款 | [控制点] | 有效/缺陷 | 是/否 |
| ... | ... | ... | ... |

## 五、WCGW 分析与风险评估矩阵

| 科目 | 认定 | WCGW（可能的错报） | 固有风险 | 控制风险 | RMM | 是否显著风险 |
|------|------|-------------------|---------|---------|-----|------------|
| 收入 | 发生 | 虚构销售交易 | 高 | 中 | 高 | ✅ |
| 收入 | 截止 | 收入确认时点错误 | 中 | 中 | 中 | ❌ |
| 应收账款 | 计价 | 坏账准备计提不足 | 高 | 中 | 高 | ✅ |
| 存货 | 存在 | 虚构存货或数量高估 | 中 | 低 | 低 | ❌ |
| ... | ... | ... | ... | ... | ... | ... |

## 六、舞弊风险评估

| 舞弊风险 | 驱动因素 | 影响科目 | 应对措施 |
|---------|---------|---------|---------|
| 收入虚增 | 业绩压力/对赌 | 收入/应收账款 | [措施] |
| 费用资本化 | 利润目标 | 固定资产/开发支出 | [措施] |
| ... | ... | ... | ... |

## 七、审计策略

| 风险领域 | 审计策略 | 审计程序类型 | 时间安排 |
|---------|---------|------------|---------|
| 收入确认 | 增加实质性程序 | 细节测试+分析性复核 | 期末+期后 |
| 关联方交易 | 扩大测试范围 | 函证+细节测试 | 期末 |
| ... | ... | ... | ... |

## 八、未解决事项

| 事项 | 影响 | 待补充资料 | 责任人 |
|------|------|-----------|--------|
| ... | ... | ... | ... |

Diagnostic Questions

当用户提供的信息不完整时，按以下优先级追问：

行业与监管: "客户所在行业有哪些特殊的会计处理或监管要求？"
经营模式: "客户的主要收入来源和商业模式是什么？"
内控环境: "客户的内控环境如何？是否有已知的内控缺陷？"
**历史问题": "上年审计有哪些发现或保留事项？"
管理层关注: "管理层或治理层特别关注哪些领域？"

Verification

重要性水平已计算，且基准选择有合理依据
所有重大账户已识别，且认定已映射
WCGW 分析覆盖每个重大账户/认定
显著风险已单独标识
舞弊风险已按 ISA 240 要求评估
审计策略与风险评估结果匹配
内部控制五要素均已了解和评价

Saving

生成风险评估文档后，建议保存：

作为 Markdown：update_project_markdown_document
作为 Word：write_project_office_document（file_type=docx）

Capability Upgrade

Mode Selection

Quick: 输出重大错报风险清单和初步审计响应。
Standard: 形成风险评估矩阵、账户认定映射、控制了解和审计策略。
Deep: 结合行业、财务波动、前期错报、舞弊风险、IT 环境和控制测试计划，形成完整计划阶段底稿。

Assertion Mapping Model

每项风险必须映射到财务报表项目和认定：存在、完整性、准确性、截止、计价、权利义务、列报。没有认定映射的风险不能直接转化为审计程序。

Quality Gates

风险来源包含行业、企业、账户、交易和舞弊维度。
每项重大风险都有认定、理由、证据和响应。
高风险账户与实质性程序设计相衔接。
内控了解结论没有被误写成控制有效性结论。
数据缺口和管理层假设已单独披露。

Deliverable Catalog

Deliverable	When to use	Minimum content	Format
Risk assessment memo	审计计划阶段	行业风险、企业风险、账户风险、舞弊风险和审计响应	Word / Markdown
Risk and assertion matrix	设计审计程序前	风险、账户、认定、固有风险、控制风险、响应程序	Excel
Fraud risk assessment	必须评估舞弊风险	压力、机会、合理化、红旗信号和应对程序	Markdown / Excel
Internal control understanding note	了解内控	流程、控制点、设计评价、资料来源和缺口	Word
Planning meeting pack	项目组计划会	关键风险、重大性、审计策略、资源和时间安排	PPT
Data request list	信息缺口明显	财务、流程、合同、系统、访谈和管理层说明清单	Markdown / Excel