风险评估与应对.ppt

2012-5-1,1,第六章风险评估与应对,2,2012-5-1,审计过程与审计目标的实现基本流程：接受业务委托计划审计工作实施风险评估程序（必做）实施控制测试（选做）和实质性测试（必做）完成审计工作和编制审计报告,3,2012-5-1,主要内容风险评估总体要求风险评估程序了解被审计单位及其环境内部控制及其评价重大错报风险的评估、沟通与记录风险应对总体应对措施进一步审计程序控制测试实质性程序,4,2012-5-1,风险评估总体要求风险评估，是指以了解被审计单位及其环境为内容，以识别和评估财务报表重大错报风险为目的，在设计和实施进一步审计程序之前实施的程序。总体要求注册会计师应当了解被审计单位及其环境，以充分识别和评估财务报表的重大错报风险，设计和实施进一步的审计程序。（规定动作）审计准则1211号了解被审计单位及其环境并评估重大错报风险了解被审计单位及其环境是一个连续和动态地收集、更新和分析信息的过程，贯穿于整个审计过程的始终。注册会计师应当运用职业判断确定需要了解被审计单位及其环境的程度。CPA是否需要达到管理层对于被审,计单位一样的了解程度?,5,2012-5-1,风险评估程序为了解被审计单位及其环境而实施的程序称为“风险评估程序”。风险评估程序的类型询问被审计单位的管理层和内部其他相关人员（P258）询问管理层和财务负责人询问内部其他相关人员（1）询问治理层（2）询问内部审计人员（3）询问参与生成、处理或记录复杂或异常交易的员工（4）询问内部法律顾问（5）询问营销或销售人员（6）询问采购人员和生产人员（7）询问仓库人员,6,2012-5-1,风险评估程序为了解被审计单位及其环境而实施的程序称为“风险评估程序”。风险评估程序的类型询问被审计单位的管理层和内部其他相关人员分析程序观察和检查（可以印证对管理层和其他相关人员的询问结果）观察被审计单位的生产经营活动检查文件、记录和内部控制手册阅读由管理层和治理层编制的报告实地察看被审计单位的生产经营场所和设备追踪交易在财务报告信息系统中的处理过程（穿行测试）,7,2012-5-1,了解内部控制控制环境；被审计单位的风险评估过程信息系统与沟通控制活动对控制的监督,了解被审计单位及其环境(不包括内部控制)了解被审计单位的行业状况、法律环境与监管环境以及其他外部因素被审计单位的性质对会计政策的选择和运用目标、战略以及相关经营风险财务业绩的衡量和评价,实施风险评估程序,评估重大错报风险财务报表层次认定层次（各类交易、账户余额、列报）,风险评估思路,对风险评估及审计计划的讨论被审计单位面临的经营风险财务报表容易发生错报的领域错报的方式，特别是由于舞弊导致重大错报的可能性,8,2012-5-1,了解被审计单位及其环境为什么重要？不深入了解被审计单位及其环境，根本就不可能知道被审计单位的财务报表可能在哪里会出错，也无法界定什么错报为“重大”，更无法设计有效的审计程序去发现错报为注册会计师在关键环节作出职业判断提供重要基础确定和评价重要性水平考虑会计政策的选择和运用是否恰当，以及财务报表的列报是否适当；识别需要特别考虑的领域：如关联交易、交易是否具有合理的商业目的确定在实施分析程序时所使用的预期值设计和实施进一步审计程序，以将审计风险降至可接受的低水平；评价所获取审计证据的充分性和适当性。,9,2012-5-1,了解被审计单位及其环境应当从下列六个方面了解被审计单位及其环境行业状况、法律环境与监管环境以及其他外部因素（P262）被审计单位的性质（P264）被审计单位对会计政策的选择和运用（P266）被审计单位的目标、战略以及相关经营风险（P267）被审计单位财务业绩的衡量和评价（P268）被审计单位的内部控制（P270）,10,2012-5-1,了解被审计单位及其环境了解外部环境因素行业状况（P262）法律环境与监管环境（P263）其他外部因素了解外部环境的重点和程度CPA应当考虑将了解的重点放在对被审计单位的经营活动可能产生重要影响的关键外部因素以及与前期相比发生的重大变化上。CPA应当考虑被审计单位所在行业的业务性质或监管程度是否可能导致特定的重大错报风险，考虑项目组是否配备了具有相关知识和经验的成员。,11,2012-5-1,了解被审计单位及其环境了解被审计单位的性质（P264）所有权结构：有助于注册会计师识别关联方关系并了解被审计单位的决策过程治理结构：可以对被审计单位的经营和财务运作实施有效的监督组织结构：复杂组织结构可能导致的重大错报风险经营活动：有助于注册会计师识别预期在财务报表中反映的主要交易类别、重要账户余额和列报；投资活动：有助于注册会计师关注被审计单位在经营策略和方向上的重大变化筹资活动：有助于注册会计师评估被审计单位在融资方面的压力，并进一步考虑被审计单位在可预见未来的持续经营能力。,12,2012-5-1,了解被审计单位及其环境了解被审计单位对会计政策的选择和运用（P266）重大和异常交易的会计处理方法在新领域和缺乏权威性标准或共识的领域，采用重要会计政策产生的影响会计政策的变更被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度,13,2012-5-1,了解被审计单位及其环境了解被审计单位的目标、战略以及相关经营风险（P267）经营风险源于对被审计单位实现目标和战略产生不利影响的重大情况、事项、环境和行动，或源于不恰当的目标和战略多数经营风险最终都会产生财务后果，从而影响财务报表；注册会计师应当根据被审计单位的具体情况考虑经营风险是否可能导致财务报表发生重大错报,14,2012-5-1,了解被审计单位及其环境被审计单位财务业绩的衡量和评价（P268）被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力，促使其采取行动改善财务业绩或歪曲财务报表,15,2012-5-1,了解内部控制控制环境；被审计单位的风险评估过程信息系统与沟通控制活动对控制的监督,了解被审计单位及其环境(不包括内部控制)了解被审计单位的行业状况、法律环境与监管环境以及其他外部因素被审计单位的性质对会计政策的选择和运用目标、战略以及相关经营风险财务业绩的衡量和评价,实施风险评估程序,评估重大错报风险财务报表层次认定层次（各类交易、账户余额、列报）,风险评估思路,对风险评估及审计计划的讨论被审计单位面临的经营风险财务报表容易发生错报的领域错报的方式，特别是由于舞弊导致重大错报的可能性,16,2012-5-1,内部控制概述内部控制的定义与目标内部控制（internalcontrol）是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策及程序。（P270）内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。（企业内部控制规范第三条）,17,2012-5-1,内部控制概述内部控制的要素控制环境（controlenvironment）风险评估（RiskAssessment）信息系统与沟通（InformationSystemandCommunication）控制活动（ControlActivities）对于控制的监督（Monitoring）,18,2012-5-1,内部控制要素五个要素之间的关系持续监控信息及沟通控制活动风险评估控制环境,19,2012-5-1,了解被审计单位的内部控制财务报表审计中对内部控制了解的定位注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。了解与审计相关的内部控制目的：以识别潜在错报的类型，考虑导致重大错报风险的因素，以及设计和实施进一步审计程序的性质、时间和范围。与审计相关的控制（P271）与审计相关的控制，包括被审计单位为实现财务报告可靠性目标设计和实施的控制如果用以保证经营效率、效果的控制以及对法律法规遵守的控制与实施审计程序时评价或使用的数据相关，注册会计师应当考虑这些控制可能与审计相关,20,2012-5-1,了解被审计单位的内部控制对内部控制了解的程度（深度）注册会计师在了解内部控制时，应当评价控制的设计，并确定其是否得到执行评价内部控制的设计获取控制设计和执行的审计证据对内部控制的了解并不涉及控制的运行有效性除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解并不能够代替对控制运行有效性的测试,21,2012-5-1,了解被审计单位的内部控制获取控制设计和执行的审计证据的程序（方法）询问被审计单位有人员，并查阅相关内部控制文件检查内部控制生成的凭证和记录观察被审计单位的业务活动和内部控制的运行情况选择若干具有代表性的交易和事项进行穿行测试穿行测试概念追踪交易在财务报告信息系统中的处理过程（P273）穿行测试不是单独的一种程序，而是将多种程序按特定审计需要进行结合运用的方法。穿行测试目的通过可以观察到各环节的控制是否达到规定标准要求，并可以发现那些低效或控制较弱的环节；可以检查审计人员对内部控制的理解程度和记载所得信息的能力。,22,2012-5-1,了解被审计单位的内部控制对内部控制了解的两个层面整体层面（P286）业务流程层面（P287）六大步骤：确定被审计单位的重要业务流程和重要交易类别了解重要交易流程，并记录获得的了解确定可能发生错报的环节识别和了解相关控制预防性控制（P290）与检查性控制（P291）执行穿行测试，证实对交易流程和相关控制的了解进行初步评价和风险评估,23,2012-5-1,内部控制的初步评价了解内部控制的目的，意在回答以下问题控制本身的设计是否合理控制是否得到执行是否更多地信赖控制并拟实施控制测试初步评价可能的结论：（1）所设计的控制单独或连同其他控制能够有效地防止或发现并纠正重大错报，并得到执行；（2）控制本身的设计是合理的，但没有得到执行；（3）控制本身的设计就是无效的或缺乏必要的控制。注：由于了解内部控制执行的审计程序有限，上述结论只是初步结论。,24,2012-5-1,了解内部控制控制环境；被审计单位的风险评估过程信息系统与沟通控制活动对控制的监督,了解被审计单位及其环境(不包括内部控制)了解被审计单位的行业状况、法律环境与监管环境以及其他外部因素被审计单位的性质对会计政策的选择和运用目标、战略以及相关经营风险财务业绩的衡量和评价,实施风险评估程序,评估重大错报风险财务报表层次认定层次（各类交易、账户余额、列报）,风险评估思路,对风险评估及审计计划的讨论被审计单位面临的经营风险财务报表容易发生错报的领域错报的方式，特别是由于舞弊导致重大错报的可能性,25,2012-5-1,评估重大错报风险评估重大错报风险的审计程序在了解被审计单位及其环境的整个过程中识别风险，并考虑各类交易、账户余额、列报将识别的风险与认定层次可能发生错报的领域相联系考虑识别的风险是否重大考虑识别的风险导致财务报表发生重大错报的可能性,26,2012-5-1,评估重大错报风险特别风险（significantrisk）特别风险是指需要特别考虑的重大错报风险。判断特别风险的因素根据风险的性质；潜在错报的重要程度；错报发生的可能性。特别风险通常与重大的非常规交易和判断事项有关非常规交易是指由于金额或性质异常而不经常发生的交易，如企业购并，债务重组等判断事项通常包括作出的会计估计，如资产减值准备金额的估计等,27,2012-5-1,评估重大错报风险特别风险（significantrisk）考虑与特别风险相关的控制对特别风险，注册会计师应当评价相关控制的设计情况，并确定其是否已经得到执行。如果管理层未能实施控制以恰当应对特别风险，注册会计师应当认为内部控制存在重大缺陷，并考虑其对风险评估的影响。在此情况下，注册会计师应当就此类事项与治理层沟通。,28,2012-5-1,评估重大错报风险识别的重大错报风险汇总（P331）,29,风险应对,应对重大错报风险2012-5-1,针对财务报表层次重大错报风险的总体应对措施针对认定层次重大错报风险的进一步审计程序,30,2012-5-1,总体应对措施针对财务报表层次重大错报风险的总体应对措施收集和评价审计证据过程中保持职业怀疑态度分派更有经验或具有特殊技能的审计人员，或利用专家的工作提供更多的督导增加审计程序的不可预见性对拟实施的审计程序的性质、时间和范围作出总体修改,31,2012-5-1,总体应对措施增加审计程序不可预见性的方法对某些未测试过的低于设定的重要性水平或风险较小的账户余额和认定实施实质性程序调整实施审计程序的时间,使被审计单位不可预期采取不同的抽样方法,使当期抽取的测试样本与以前有所不同选取不同的地点实施审计程序,或预先不告知被审计单位所选定的测试地点,32,2012-5-1,进一步审计程序进一步审计程序是指注册会计师针对评估的各类交易、账户余额、列报（包括披露，下同）认定层次重大错报风险实施的审计程序，包括控制测试和实质性程序注册会计师应当根据对认定层次重大错报风险的评估结果，恰当选用进一步审计程序的总体方案综合性方案（控制测试+实质性程序）实质性方案（实质性程序为主）无论选择何种方案，注册会计师都应当对所有重大的各类交易、账户余额、列报设计和实施实质性程序,33,2012-5-1,控制测试内部控制与审计注册会计师在审计过程进行的与内部控制相关的工作主要包括以下三个方面：,(1)了解内部控制(2)测试内部控制（控制测试）(3)利用内部控制,风险评估风险应对,34,2012-5-1,控制测试控制测试的含义控制测试是指测试控制运行的有效性。即为了确定内部控制运行是否有效而实施的审计程序。控制测试并不是审计的一个必经程序，当存在下列情形之一时，CPA应当实施控制测试：在评估认定层次重大错报风险时，预期控制的运行是有效的CPA认为控制设计合理、能够防止或发现和纠正认定层次的重大错报。符合成本效益原则，即通过控制测试而减少实质性程序的工作量大于控制测试的工作量。仅实施实质性程序不足以提供认定层次充分、适当的审计证据。,35,2012-5-1,控制测试控制测试与了解内部控制“了解内部控制”的两层含义：一是评价控制的设计；二是确定控制是否行到执行；控制运行的有效性vs.控制是否得到执行控制运行有效性强调的是控制能够在各个不同时点按照既定设计得以一贯执行。为此，CPA应抽取足够数量的交易进行检查或观察多个不同时点。获取下列四方面的审计证据：控制在所审计期间的不同时点是如何运行的；控制是否得到一贯执行；控制由谁执行；控制以何种方式运行(如人工控制或自动化控制)；了解控制是否行到执行时，注册会计师只需抽取少量的交易进行检查或观察某几个时点。,36,2012-5-1,控制测试控制测试的程序：询问询问本身并不足以测试控制运行的有效性，应当将询问与其他审计程序结合使用。观察观察提供的证据仅限于观察发生的时点，本身也不足以测试控制运行的有效性；。检查重新执行了解内部控制的程序？询问、观察、检查和穿行测试,37,2012-5-1,控制测试控制测试的时间控制测试的时间包含两层含义：一是何时实施控制测试；二是测试所针对的控制适用的时点或期间。注册会计师应当根据控制测试的目的确定控制测试的时间，并确定拟信赖的相关控制的时点或期间。如果已获取有关控制在期中运行有效性的审计证据，并拟利用该证据，注册会计师应当实施下列审计程序：获取这些控制在剩余期间变化情况的审计证据；确定针对剩余期间还需获取的补充审计证据。,38,2012-5-1,控制测试对以前审计获取的审计证据的考虑开始,为满足每年测试一部分控制的要求而测试,是考虑是否在本年度测试该控制：控制是否有变化显示需要测试的因素，如复杂的人工控制,该控制是否针对特别风险否该控制在近二年是否被测试过,是在本年度测试该控制否,39,2012-5-1,控制测试控制测试的范围主要是指某些控制活动的测试次数。在确定某项控制的测试范围时，注册会计师通常考虑下列因素：在整个拟信赖的期间，被审计单位执行控制的频率；在所审计期间，注册会计师拟信赖控制运行有效性的时间长度；为证实控制能够防止或发现并纠正认定层次重大错报，所需获取审计证据的相关性和可靠性；通过测试与认定相关的其他控制获取的审计证据的范围；在风险评估时拟信赖控制运行有效性的程度；控制的预期偏差,40,2012-5-1,控制测试控制测试的基本思路第一步：针对了解的被审计单位某循环（以采购付款为例）的控制活动，确定拟进行测试的控制活动。第二步：从以下几个方面测试采购付款循环控制运行的有效性，记录测试过程和结论：材料采购的控制记录应付帐款的控制付款的控制供应商档案维护的控制就上述几方面抽取会计凭证进行测试，并编制相应的测试表,41,2012-5-1,控制测试控制测试的基本思路第一步：针对了解的被审计单位某循环（以采购付款为例）的控制活动，确定拟进行测试的控制活动。第二步：从以下几个方面测试采购付款循环控制运行的有效性，记录测试过程和结论第三步：对测试控制形成结论注册会计师对控制的评价结论可能是：（1）控制设计合理，并得到执行；（2）控制设计合理，未得到执行；（3）控制设计无效或缺乏必要的控制,42,2012-5-1,控制测试控制测试的基本思路第一步：针对了解的被审计单位某循环（以采购付款为例）的控制活动，确定拟进行测试的控制活动。第二步：从以下几个方面测试采购付款循环控制运行的有效性，记录测试过程和结论第三步：对测试控制形成结论第四步：就控制测试的结论制定相关帐户和交易余额的审计方案第五步：确定需沟通事项包括需要与管理层沟通的事项和需要与治理层沟通的事项,43,2012-5-1,利用内部控制控制测试结果对实质性程序的影响如果通过执行控制测试程序，注册会计师评价被审计单位内部控制为高信赖程度（内部控制设计合理，执行有效），注册会计师就可以适当减少实质性程序（执行越有限的实质性程序）。如果评价被审计单位内部控制为低信赖程度，注册会计师只有依靠执行更多的实质性程序，才能控制检查风险处于低水平，以降低审计风险。由此可见：内部控制目标与审计目标相关联，无效的内部控制必然导致注册会计师增加实质性程序的工作量。但不论控制风险的评估结果如何，注册会计师均应对各重要账户或交易类别实施实质性程序。,44,2012-5-1,实质性程序实质性程序的内涵和要求是指注册会计师针对评估的重大错报风险实施的直接用以发现认定层次重大错报的审计程序注册会计师对重大错报风险的评估是一种判断，可能无法充分识别所有的重大错报风险，并且由于内部控制存在固有局限性，无论评估的重大错报风险结果如何，注册会计师都应当针对所有重大的各类交易、账户余额、列报实施实质性程序,45,2012-5-1,实质性程序实质性程序的性质按照实质性程序的目的和方法细节测试（testofdetails）实质性分析程序（substantiveanalyticalprocedure）按照实质性程序应用的对象针对账户余额的实质性程序针对交易类别的实质性程序（针对交易类别的细节测试经常和控制测试一起进行，构成双重目的测试）针对列报的实质性程序,46,2012-5-1,实质性程序实质性程序的性质细节测试适用于对各类交易、账户余额、列报认定的测试，尤其是对存在或发生、计价认定的测试对在一段时期内存在可预期关系的大量交易，注册会计师可以考虑实施实质性分析程序,47,2012-5-1,实质性程序实质性程序的时间如果在期中实施了实质性程序，注册会计师