第七章 风险评估.pptx

《第七章 风险评估.pptx》由会员上传分享，免费在线阅读，更多相关内容在PPT专区-天天文库。

第七章风险评估了解被审计单位及其环境7.2风险评估的含义与程序风险评估的含义与程序7.1风险评估概述识别与评估重大错报风险与特别风险7.3 风险评估与应对的基本框架 第六章风险评估（2）（3）（1）了解被审计单位及其环境对财务报表层次和认定层次重大错报风险进行识别、评估分析错报风险的发生领域、发生的可能性及风险是否重大风险评估是一个持续和动态的过程 第一节风险评估概述2风险评估的含义1风险评估的程序 一、风险评估的含义风险评估是指审计师在了解被审计单位及其环境的基础上，对其财务报表层次以及认定层次重大错报风险的识别、评价和估计过程，以便分析错报风险的发生领域、发生的可能性以及风险是否重大。财务报表层次重大错报风险认定层次重大错报风险风险导向审计的基本理念是以企业经营风险为导向，以系统观和战略观为指导思想，运用“自上而下”和“自下而上”相结合的路线，全面评估重大错报风险，且将风险评估贯穿于整个审计过程，并根据风险评估结果来确定实质性程序的性质、时间和范围。 一、风险评估的含义风险导向审计中的风险评估具有如下特征：风险评估工作量大幅增加而实质性程序工作量相应减少，且风险评估是必需的审计程序；风险评估重点由分别的固有风险评估、控制风险评估向联合风险评估转变，即风险评估的重点转向重大错报风险，并由重大错报风险的评估结果确定剩余风险；风险评估的切入点由直接重大错报风险评估转变为间接的经营风险评估，即从经营风险评估入手，从重大错报风险发生的源头进行风险评估。 风险评估程序的实质风险评估程序是注册会计师了解被审计单位及其环境的手段；风险评估程序内容是几种单项审计程序的有效组合；风险评估程序目的在于获取财务信息和非财务信息，识别和评估财务报表层次和认定层次重大错报风险；风险评估程序是注册会计师审计中必须实施的审计程序，如果未实施风险评估程序就不能评估重大错报风险。 二、风险评估的程序询问管理层和内部其他相关人员分析程序审计师应当对被审计单位财务报表、主要业务实施分析程序，以便识别异常交易或事项，以及对财务报表和审计产生影响的金额、比率和趋势。实施分析程序时，审计师应当预期可能存在的合理关系，并与被审计单位记录的金额、依据记录金额计算的比率或趋势相比较。如果发现异常或未预期到的关系，审计师应当在识别重大错报风险时考虑这些比较结果。观察与检查考虑其他信息 第二节了解被审计单位及其环境了解被审计单位及其环境的目的了解被审计单位及其环境了解被审单位及其环境的主要领域了解被审计单位及其环境是风险评估的基础和前提，是CPA执行财务报表审计的必要程序。 了解被审计单位及其环境的内容 一、行业状况、法律环境和监管环境及其他外部因素行业状况法律环境与监管环境其他外部因素了解的重点和程度注册会计师对行业状况、法律环境与监管环境以及其他外部因素了解的范围和程度会因被审计单位所处行业、规模以及其他因素的不同而不同。 二、被审计单位的性质所有权结构治理结构组织结构经营活动投资活动筹资活动 三、被审计单位对会计政策的选择和运用注册会计师应当根据被审计单位的经营活动，评价采用的会计政策是否适当，与使用的财务报告编制基础、相关行业使用的会计政策是否保持一致。 四、被审计单位的目标、战略以及相关经营风险目标、战略与经营风险经营风险对重大错报风险的影响了解被审计单位的经营风险有助于识别财务报表重大错报风险。并非所有的经营风险都与财务报表相关，注册会计师没有责任识别或评估对财务报表没有影响的经营风险。经营风险可能对各类交易、账户余额和披露的认定层次或财务报表层次产生直接影响。 五、被审计单位财务业绩的衡量和评价被审计单位管理层可能由于对财务业绩的衡量和评价，产生改善财务业绩或歪曲财务报表的动机。通过了解被审计单位的业绩衡量，注册会计师可以了解这些压力是否可能导致管理层采取行动，以致增加财务报表发生重大错报的风险。 六、被审计单位的内部控制内部控制概述对内部控制了解的深度和方法了解公司层面的内部控制 （一）内部控制概述内部控制的含义与演进内部控制的构成要素内部控制的目标及其局限性内部控制与审计的关系对内部控制的了解与测试 1、内部控制的含义与演进内部控制的含义美国虚假财务报告全国委员会的赞助者委员会（COSO）对内部控制的定义我国独立审计准则对内部控制的定义内部控制的发展历程“内部牵制”阶段“内部控制制度”阶段“内部控制结构”阶段“内部控制整体框架”阶段“企业风险管理框架”阶段 经营有效率和效果；财务报告可靠；遵守相应的法律和规章。美国虚假财务报告全国委员会的赞助委员会（COSO）对内部控制的定义是：内部控制是一个受董事会、管理人员和其他人员影响的过程，它的作用是为了合理保证达到以下目标： 我国独立审计准则对内部控制的定义是：内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计与执行的政策及程序。 （1）牵制阶段 （2）“内部控制”阶段1949年，美国注册会计师协会首次提出内部控制的概念，也就是我们所说的内部控制制度。没有考虑控制环境问题 （3）“内部控制结构”阶段从20世纪80年代以来，内部控制的理论研究又有了新的发展，会计与审计界研究的重点逐步从一般涵义向具体内容深化。其标志是美国注册会计师协会于1988年5月发布的《审计准则公告第55号——在财务报表审计中对内部控制结构的考虑》。该公告首次以“内部控制结构”的概念取代了“内部控制制度”一词。内部控制结构控制环境会计系统控制程序 （3）“内部控制结构”阶段企业的内部控制结构包括企业为实现企业特定目标的提供合理保证而建立的各种政策和程序。内部控制结构这一概念跳出了“制度二分法”的圈子，特别强调了管理者对内部控制的态度、认识和行为等控制环境的重要作用，要求审计师在评估控制风险时不仅要关注会计控制制度与控制程序，还应对企业所面临的内外环境进行评估。 （4）“内部控制整体框架”阶段1992年2月，美国反虚假财务报告全国委员会的发起者组织委员会（COSO）发布了指导内部控制实践的纲领性文件COSO研究报告——《内部控制——整体框架》。该报告对内部控制进行了更广泛的定义，并提出了内部控制的五个构成要素。 定义内部控制是由企业董事会、经理层及其他员工实施的，为财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性等目标的实现提供合理保证的过程。 内部控制的构成要素内部控制控制环境风险评估控制活动信息和沟通监督 与以往的内控理论及研究成果相比，COSO报告强调：内部控制的对象是企业运行过程中的所有要素；内部控制的好坏完全取决于执行控制政策和程序的人的素质和观念，同时内部控制也影响着人的行动；企业的内部控制并非只是一个机械的规定或一项制度，而是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的“动态过程”；管理者必须及时对各种可能的风险加以反映和评估，采取适当的措施，以保证内部控制的效率和效果；不管内部控制的设计、执行如何完善，它也只能为管理者实现组织目标提供合理保证；内部控制本身不是目的，而是实现组织目标的一种手段和工具。 （5）企业风险管理框架阶段2004年9月，COSO发布了《企业风险管理框架》（EnterpriseRiskManagementFramework）。该框架明确提出企业风险管理是由企业董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各层次和部门的，用于识别可能对企业造成影响的事项，并在其风险偏好范围内管理风险，为企业目标的实现提供合理保证的过程。指出，企业风险管理框架由内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控八个相互关联的要素构成。风险管理框架突出了内部控制的关键在于风险管理。 COSO对内部控制认识的演进控制环境控制活动会计系统控制环境风险评估控制活动监控信息与沟通内部环境战略目标设定风险识别风险评估风险应对控制活动信息与沟通监控经营报告遵循子公司业务单位分支机构企业整体层次 我国现代内部控制的发展1996年以前：审计视角的内部控制规范《独立审计具体准则第9号——内部控制与审计风险》，认为内部控制是指被审计单位为了保证业务活动的有效进行，保护资产的安全完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策和程序。包括控制环境、会计系统和控制程序。1997~2005年：会计视角的内部控制规范《内部会计控制——基本规范》；《上市公司内部控制指引》等。2006年至今：管理视角的内部控制规范《企业内部控制配套指引》，包括《企业内部控制审计指引》 内部控制的内容有三种提法（我国）：1.内部控制包括控制环境、会计系统和控制程序；2.内部控制包括内部会计控制和内部管理控制；3.COSO报告：控制环境、风险评估、控制活动、信息与沟通、监督。（√）2、内部控制的构成要素 内部控制的构成要素控制环境风险评估控制活动信息和沟通监督 （1）控制环境控制环境是对企业内部控制的建立和实施有重大影响的因素的总称。控制环境通过影响人们的控制意识而影响一个组织的气氛，是内部控制其他部分的基础。控制环境包括： （2）风险评估过程被审计单位的风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。CPA应当确定管理层如何识别与财务报告相关的经营风险，如何估计该风险的重要性，如何评估风险发生的可能性，以及如何采取措施管理这些风险。 （3）信息系统与沟通与财务报告相关的信息系统，包括可以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。注册会计师应当了解与财务报告相关的信息系统（包括相关业务流程）。注册会计师应当了解被审计单位内部如何对财务报告的岗位职责以及与财务报告相关的重大事项进行沟通。 （4）控制活动授权审批控制业绩评价控制信息处理控制实物控制职责分离控制控制活动是指确保管理层指令得以实施的政策和程序。控制活动具体包括以下内容： 实物控制实物控制是指通过对有关实物资产和记录实施特定保护措施以保证其安全和完整的一种控制方式，具体又分为接触控制和盘点控制。接触控制：是指针对有关重要的资产和文件记录，明确其可以接触和接近的人员以及接触和接近人员的职责范围，限制其他人员接触或接近以保护资产和记录的安全完整。盘点控制：是指通过对企业的资产实施定期盘点清查，并将盘点结果与会计记录进行比较以确定其是否账实相符的一种控制方式。 不相容职务分离的前提两个人或两个部门（以上）同时发生错误的可能性小于单独一个人或部门发生错误的可能性；两个或两个以上部门或人员伙同舞弊的可能性小于单独一个人或部门舞弊的可能性。 至少两双眼睛同时看住一件交易.---四眼原则防止错误、监督和发现资产管理中的滥用行为没有一个人可以同时承担如下工作:提议授权记录执行审核实物控制内部牵制 分离的主要不相容职务授权和执行的职务要分离；执行与审核的职务要分离；执行与记录的职务要分离；保管与记录的职务要分离。保管与财产清查的职务分离；会计工作中，总账、明细账、日记账相分离。 （5）监督日常监督专项监督监督是指由企业对内部控制建立和实施情况进行监督检查，评价内部控制的有效性，对于发现的内部控制缺陷，及时加以改进。包括： 3、内部控制的目标及其局限性《企业内部控制基本规范》指出：内部控制是由企业董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。 3、内部控制的目标及其局限性内部控制的局限性无论设计多么完善的内部控制都只能为实现既定目标提供合理保证而非绝对保证。内部控制的局限性通常表现为以下几方面：成本效益限制例外事件限制人员素质限制滥用职权限制串通舞弊限制时间效用限制 4、内部控制与审计的关系当内部控制设计合理和执行有效时，会计数据出现错、弊的可能性就小；反之，错、弊的可能性就大。正是基于这一点，在审计中引入了内部控制的概念。在会计报表审计中，评价内部控制的强弱不是CPA的真正目的，而是把内部控制作为一种审计的工具，来确定查账（实质性测试）的重点和数量。 4、内部控制与审计的关系在确定内部控制与审计的关系时，应注意以下几点：注册会计师在执行财务报表审计业务时，不论被审计单位规模大小，都应当对相关的内部控制进行充分的了解。注册会计师应根据其对被审计单位内部控制的了解，确定是否进行符合性控制测试以及准备进行的符合性控制测试的性质、时间和范围。对被审计单位内部控制的了解和符合性测试，并非财务报表审计工作的全部内容。也就是说，对于内部控制良好额单位，注册会计师可能评估其控制风险较低而减少实质性测试程序，但决不能完全取消实质性测试程序。 5、对内部控制的了解与测试对被审计单位内部控制设计与执行情况的了解与测试，其目的有两个：确定被审计单位内部控制设计的合理性和健全性、执行的有效性，进而帮助被审计单位健全和完善内部控制；评估被审计单位重大错报风险的基础上，确定进一步审计程序的性质、时间和范围。 内部控制评审的基本步骤：内部控制的了解与描述评价内部控制设计的合理性和是否得到执行测试内部控制执行的有效性 （二）对内部控制了解的深度和方法注册会计师应当了解与审计相关的内部控制以识别潜在错报的类型，考虑导致重大错报风险的因素，以及设计和实施进一步审计程序的性质、时间和范围。对内部控制了解的深度，是指在了解被审计单位及其环境时对内部控制了解的程度。包括评价控制的设计，并确定其是否得到执行，但不包括对控制是否得到一贯执行的测试。了解内部控制的基本步骤（见教材P117） （二）对内部控制了解的深度和方法对内部控制的了解的方法查阅相关内部控制文件利用以往的审计经验观察和询问穿行测试 穿行测试穿行测试是指审计人员在每一类交易循环中选择一笔或若干笔通过了会计系统的业务进行追踪审核，以验证内部控制的实际运行是否与文件所述的内部控制相一致。穿行测试的特点：笔数不多；每一笔都通过了会计系统。 穿行测试例如，为了检查购货与付款循环的内部控制，CPA可以选取一笔或若干笔材料采购业务，从请购→订货→验收入库→仓库保管→核准发票→付款→登帐，对整个采购程序进行检查。注意：穿行测试有助于CPA了解整个业务系统的实际流程，但由于笔数不多这样的特点，决定了穿行测试实际上不是一个深入细致的测试，那么这样的测试不能足以把CR评估为的水平，不能为其提供充分的证据。 （三）了解公司层面的内部控制注册会计师应当对公司层面的内部控制进行了解，包括控制环境、风险评估过程、信息系统与沟通、控制活动以及对控制的监督。 需要特别考虑的重大错报风险评估重大错报风险的审计程序第三节识别和评估重大错报风险与特别风险2财务报表层次和认定层次的重大错报风险13 一、评估重大错报风险的审计程序审计师应当识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险。在评估重大错报风险时，审计师应当实施下列审计程序：在了解被审计单位及其环境（包括与风险相关的控制）的整个过程中，结合对财务报表中各类交易、账户余额和披露的考虑，识别风险；结合对拟测试的相关控制的考虑，将识别出的风险与认定层次可能发生错报的领域相联系；评估识别出的风险，并评价其是否更广泛地与财务报表整体相关，进而潜在地影响多项认定；考虑发生错报的可能性（包括发生多项错报的可能性），以及潜在错报的重大程度是否足以导致重大错报。审计师应利用实施风险评估程序获取的信息，包括在评价控制设计和确定其是否得到执行时获取的审计证据，作为支持风险评估结果的审计证据。审计师应当根据风险评估结果，确定实施进一步审计程序的性质、时间安排和范围。 考虑内部控制对重大错报风险的影响考虑控制环境对评估财务报表层次重大错报风险的影响财务报表层次的重大错报风险很可能源于薄弱的控制环境；薄弱的控制环境带来的风险可能对财务报表产生广泛影响，难以限于某类交易、账户余额和披露，审计师应采取总体应对措施。考虑控制活动对评估认定层次重大错报风险的影响在评估重大错报风险时，审计师应当将所了解的控制与特定认定相联系；控制可能与某一认定直接相关，也可能与某一认定间接相关，关系越间接，控制在防止或发现并纠正认定中错报的作用越小。考虑财务报表的可审计性如果通过对内部控制的了解发现下列情况，并对财务报表局部或整体的可审计性产生疑问，审计师应当考虑出具保留意见或无法表示意见的审计报告：被审计单位会计记录的状况和可靠性存在重大问题，不能获取充分、适当的审计证据以发表无保留意见；对管理层的诚信存在严重疑虑。必要时，应考虑解除业务约定。 二、财务报表层次和认定层次的重大错报风险财务报表层次的重大错报风险财务报表层次的重大错报风险是指与财务报表整体广泛相关，并潜在的影响多项认定的风险财务报表层次的重大错报风险很可能源于薄弱的控制环境。薄弱的控制环境带来的风险可能对财务报表产生广泛影响，难以限于某类交易、账户余额和披露，注册会计师应当采取总体应对措施。认定层次的重大错报风险 二、财务报表层次和认定层次的重大错报风险财务报表层次的重大错报风险认定层次的重大错报风险某些重大错报风险可能与特定的某类交易、账户余额和披露的认定相关。注册会计师应当考虑对识别的各类交易、账户余额和披露认定层次的重大错报风险予以汇总和评估，以确定进一步审计程序的性质、时间安排和范围。 三、需要特别考虑的重大错报风险特别风险的含义确定特别风险时应考虑的事项非常规交易和判断事项导致的特别风险舞弊导致的特别风险考虑与特别风险相关的控制 （一）特别风险的含义难以识别和评估，通常属于财务报表层次，影响多个认定特别风险需审计师运用职业判断，确定识别的风险哪些是特别风险是指注册会计师识别和评估的、根据职业判断需要特别考虑的重大错报风险。定义 （二）确定特别风险时应考虑的事项在确定哪些风险是特别风险时，审计师应当在考虑识别出的控制对相关风险的抵消效果前，根据以下因素考虑其是否属于特别风险：（1）风险的性质；（2）潜在错报的重要程度；（3）发生的可能性。 （1）风险的性质在确定风险的性质时，注册会计师应当考虑下列事项：（1）风险是否属于舞弊风险；（2）风险是否与近期经济环境、会计处理方法和其他方面的重大变化有关，因而需要特别关注；（3）交易的复杂程度；（4）风险是否涉及重大的关联方交易；（5）财务信息计量的主观程度，特别是计量结果是否具有高度不确定性；（6）风险是否涉及异常或超出正常经营过程的重大交易。 （三）非常规交易和判断事项导致的特别风险非常规交易：是指由于金额或性质异常而不经常发生的交易。特别风险判断事项：通常包括作出的会计估计。特别风险通常与重大的非常规交易和判断事项有关 （四）舞弊导致的特别风险舞弊是指被审计单位的管理层、治理层、员工或第三方使用欺骗手段获取不当或非法利益的故意行为。在财务报表审计中，注册会计师关注的是导致财务报表发生重大错报的舞弊，包括编制虚假财务报告导致的错报和侵占资产导致的错报。根据舞弊存在时通常伴随着的三种情况，风险因素可以分为以下三类：实施舞弊的动机或压力实施舞弊的机会为舞弊行为寻找借口 （五）考虑与特别风险相关的控制了解与特别风险相关的控制有助于注册会计师制定有效的审计方案予以应对；如果识别的风险是特别风险时，注册会计师应评价相关控制的设计情况，并确定其是否已经得到执行；由于与重大非常规交易或判断事项相关的风险很少受到日常控制的约束，注册会计师应当了解被审计单位是否针对该特别风险设计和实施了控制。如果管理层未能实施控制以恰当应对特别风险，注册会计师应当认为内部控制存在重大缺陷，并考虑其对风险评估的影响。 对风险评估的修正注册会计师对认定层次重大错报风险的评估应以获取的审计证据为基础，并可能随着不断获取审计证据而作出相应的变化。评估重大错报风险与了解被审计单位及其环境一样，也是一个连续和动态地收集、更新与分析信息的过程，贯穿于整个审计过程的始终。1．如果通过实施进一步审计程序获取的审计证据与初始评估获取的审计证据相矛盾，注册会计师应当修正风险评估结果，并相应修改原计划实施的进一步审计程序。2．计划审计工作并非审计业务的一个孤立阶段，而是一个持续的、不断修正的过程，贯穿于整个审计业务的始终。3．由于某些原因，注册会计师可能需要修改财务报表整体的重要性和特定类别的交易、账户余额或披露的重要性水平。 总结 延伸阅读《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》（2010）《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》（2010）