风险评估(8).ppt

第十三章风险评估,内容提要,本章介绍风险评估概述，风险评估程序以及内部控制方面知识。,第一节风险评估概述,一、出台审计风险准则的背景审计风险准则项目最早由国际审计与鉴证准则理事会（IAASB）起草，并受到联合工作组（JointWorkingGroup）和美国公共监督理事会（PublicOversightBoard）的审计效率研究工作组（原美国注册会计师协会下设组织）的影响。联合风险评估工作组于2002年10月发布了审计风险准则征求意见稿审计风险准则在2004年12月15日之后正式施行。,二、审计风险准则体现出的重大变化通过修订审计风险模型，要求注册会计师必须了解被审计单位及其环境，包括内部控制，以充分识别和评估财务报表重大错报的风险，针对评估的重大错报风险设计和实施控制测试和实质性程序与现行审计准则相比，审计风险准则的重大变化体现在以下方面要求注册会计师加强对被审计单位及其环境的了解要求注册会计师在审计的所有阶段都要实施风险评估程序,要求注册会计师将识别和评估的风险与实施的审计程序挂钩要求注册会计师针对重大的各类交易、账户余额、列报和披露实施实质性测试要求注册会计师将识别、评估和应对风险的关键程序形成审计工作记录，以保证执业质量，明确执业责任,三、对风险评估的总体要求规定注册会计师应当了解被审计单位及其环境，以足够识别和评估财务报表重大错报风险，设计和实施进一步审计程序了解被审计单位及其环境为下列职业判断提供重要基础确定重要性水平考虑会计政策的选择和运用是否恰当识别需要特别考虑的领域，包括关联方交易、管理层运用持续经营假设的合理性，或交易是否具有合理的商业目的等确定在实施分析程序时所使用的预期值设计和实施进一步审计程序，以将审计风险降至可接受的低水平评价所获取审计证据的充分性和适当性评价对被审计单位及其环境了解的程度是否恰当，关键是看注册会计师对被审计单位及其环境的了解是否足以识别和评估财务报表重大错报风险,第二节风险评估程序、信息来源以及项目组内部的讨论,一、风险评估程序和信息来源为了解被审计单位及其环境而实施的程序称为“风险评估程序”注册会计师应当实施下列风险评估程序，以了解被审计单位及其环境询问被审计单位管理层和内部其他相关人员分析程序观察和检查,询问被审计单位管理层和内部其他相关人员询问被审计单位管理层和内部其他相关人员是注册会计师了解被审计单位及其环境的一个重要信息来源。注册会计师可以考虑向管理层和财务负责人询问下列事项管理层所关注的主要问题被审计单位最近的财务状况、经营成果和现金流量可能影响财务报告的交易和事项，或者目前发生的重大会计处理问题被审计单位发生的其他重要变化,注册会计师除了询问管理层和对财务报告负有责任的人员外，还应当考虑询问内部审计人员、采购人员、生产人员、销售人员等其他人员，并考虑询问不同级别的员工，以获取对识别重大错报风险有用的信息。询问治理层，有助于注册会计师理解财务报表编制的环境询问内部审计人员，有助于注册会计师了解其针对被审计单位内部控制设计和运行有效性而实施的工作，以及管理层对内部审计发现的问题是否采取适当的措施询问参与生成、处理或记录复杂或异常交易的员工，有助于注册会计师评估被审计单位选择和运用某项会计政策的适当性,询问内部法律顾问，有助于注册会计师了解有关法律法规的遵循情况、产品保证和售后责任、与业务合作伙伴的安排（如合营企业）、合同条款的含义以及诉讼情况等询问营销或销售人员，有助于注册会计师了解被审计单位的营销策略及其变化、销售趋势以及与客户的合同安排询问采购人员和生产人员，有助于注册会计师了解被审计单位的原材料采购和产品生产等情况询问仓库人员，有助于注册会计师了解原材料、产成品等存货的进出、保管和盘点等情况,实施分析程序观察和检查观察被审计单位的生产经营活动检查文件、记录和内部控制手册阅读由管理层和治理层编制的报告实地察看被审计单位的生产经营场所和设备追踪交易在财务报告信息系统中的处理过程（穿行测试）,其他审计程序和信息来源询问外部人员阅读外部信息也可能有助于注册会计师了解被审计单位及其环境二、项目组内部的讨论讨论的目标项目组内部的讨论为项目组成员提供了交流信息和分享见解的机会讨论的内容项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式。特别是由于舞弊导致重大错报的可能性参与讨论的人员讨论的时间和方式,第三节了解被审计单位及其环境,一、总体要求行业状况、法律环境与监管环境以及其他外部因素被审计单位的性质被审计单位对会计政策的选择和运用被审计单位的目标、战略以及相关经营风险被审计单位财务业绩的衡量和评价被审计单位的内部控制,二、行业状况、法律环境与监管环境以及其他外部因素行业状况识别与被审单位所处行业有关的重大错报风险注册会计师应当了解被审计单位的行业状况，主要包括：所在行业的市场供求与竞争生产经营的季节性和周期性产品生产技术的变化能源供应与成本行业的关键指标和统计数据,法律环境及监管环境适用的会计准则、会计制度和行业特定惯例对经营活动产生重大影响的法律法规及监管活动对开展业务产生重大影响的政府政策，包括货币、财政、税收和贸易等政策与被审计单位所处行业和所从事经营活动相关的环保要求,其他外部因素宏观经济的景气度利率和资金供求状况通货膨胀水平及币值变动国际经济环境和汇率变动,三、被审计单位的性质识别关联方关系并了解被审计单位的决策过程注册会计师应当主要从下列方面了解被审计单位的性质所有权结构治理结构组织结构经营活动投资活动筹资活动,注册会计师应当了解被审计单位的经营活动，主要包括主营业务的性质与生产产品或提供劳务相关的市场信息业务的开展情况联盟、合营与外包情况从事电子商务的情况地区与行业分布生产设施、仓库的地理位置及办公地点关键客户重要供应商劳动用工情况研究与开发活动及其支出关联方交易,注册会计师应当了解被审计单位的投资活动，主要包括近期拟实施或已实施的并购活动与资产处置情况证券投资、委托贷款的发生与处置资本性投资活动，包括固定资产和无形资产投资，以及近期或计划发生的变动不纳入合并范围的投资。,注册会计师应当了解被审计单位的筹资活动，主要包括债务结构和相关条款，包括担保情况及表外融资固定资产的租赁关联方融资实际受益股东衍生金融工具的运用,被审计单位对会计政策的选择和运用重要项目的会计政策和行业惯例重大和异常交易的会计处理方法在新领域和缺乏权威性标准或共识的领域，采用重要会计政策产生的影响会计政策的变更被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度,五、被审计单位的目标、战略以及相关经营风险目标、战略与经营风险注册会计师应当了解被审计单位是否存在与下列方面有关的目标和战略，并考虑相应的经营风险行业发展，及其可能导致的被审计单位不具备足以应对行业变化的人力资源和业务专长等风险开发新产品或提供新服务，及其可能导致的被审计单位产品责任增加等风险业务扩张，及其可能导致的被审计单位对市场需求的估计不准确等风险新颁布的会计法规，及其可能导致的被审计单位执行法规不当或不完整，或会计处理成本增加等风险监管要求，及其可能导致的被审计单位法律责任增加等风险本期及未来的融资条件，及其可能导致的被审计单位由于无法满足融资条件而失去融资机会等风险信息技术的运用，及其可能导致的被审计单位信息系统与业务流程难以融合等风险,六、被审计单位财务业绩的衡量和评价在了解被审计单位财务业绩衡量和评价情况时，注册会计师应当关注下列信息关键业绩指标业绩趋势预测、预算和差异分析管理层和员工业绩考核与激励性报酬政策分部信息与不同层次部门的业绩报告与竞争对手的业绩比较外部机构提出的报告,知识点练习,单项选择题在进行风险评估时，C注册会计师通常采用的审计程序是（）。A、将财务报表与其所依据的会计记录相核对B、实施分析程序以识别异常的交易记录或事项，以及对财务报表和审计产生影响的金额、比率和趋势C、对应收账款进行函证D、以人工方式或使用计算机辅助审计技术，对记录或文件中的数据计算准确性进行核对。答案B,多项选择题按照中国注册会计师审计准则第1121号了解被审计单位及其环境并评估重大错报风险的规定，注册会计师对重大错报风险进行评估的主要工作包括（）。A、了解被审计单位及其环境B、了解被审计单位的内部控制C、充分识别和评估财务报表重大错报风险D、设计和实施进一步审计程序答案ACD,多项选择题了解被审计单位及其环境时，注册会计师应当了解被审计单位重要项目的会计政策。一般而言，这些重要性项目的会计政策包括（）。A、收入确认方法，存货计价方法、借款费用资本化方法B、投资的核算，固定资产的折旧方法、合并财务报表的编制方法C、坏账准备、存货跌价准备和其他资产减值准备D、无形资产的摊销政策和摊销方法答案ABCD,第四节了解被审计单位的内部控制,一、内部控制的内涵和要素内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序内部控制的目标设计和实施内部控制的责任主体是治理层、管理层和其他人员实现内部控制目标的手段是设计和执行控制政策及程序,+,=,内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。,为什么控制,控制什么,谁来控制,+,帮助达成组织目标,风险:人，财物，信息,董事会、经理层、员工层,29,内控的作用：舞弊三角理论,机会,借口,压力,内部控制包括下列要素控制环境风险评估过程信息系统与沟通控制活动对控制的监督,31,内控框架五要素的关系,控制环境,风险评估,控制活动,信息沟通,监督,侧重企业层面,侧重业务层面,32,中国的内控发展：主要规范,二、与审计相关的控制仅考虑与财务报表编制相关的内部控制包括为实现财务报告可靠性目标设计和实施的控制其他与审计相关的控制被审计单位有一些与审计无关的控制，注册会计师无须对其加以考虑三、对内部控制了解的深度评价控制的设计评价标准先考虑控制的设计获取控制设计和执行的审计证据询问、观察、检查和穿行测试了解内部控制与测试控制运行有效性的关系除非自动化控制，对控制的了解不能代替对控制有效性的测试,四、内部控制的人工和自动化成分考虑内部控制的人工和自动化特征及其影响内部控制采用人工系统还是自动化系统，将影响交易生产、记录、处理和报告的方式人工为主系统，内部控制一般包括批准和复核业务活动，编制调节表并对调节项目进行跟踪。信息技术的优势及相关内部控制风险人工控制的适用范围及相关内部控制风险相对自动控制，人工控制的可靠性较差不适合人工控制的方面,五、内部控制的局限性内部控制的固有局限性决策时人为判断可能出现错误和由于人为失误而导致内部控制无效串通或凌驾于内部控制之上内部行使控制职能的人员素质不适应岗位要求内部控制一般针对经常而重复发生的业务,六、控制环境控制环境的含义包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施在评价控制环境的设计时，注册会计师应当考虑构成控制环境的下列要素，以及这些要素如何被纳入被审计单位业务流程对诚信和道德价值观念的沟通与落实对胜任能力的重视治理层的参与程度管理层的理念和经营风格组织结构职权与责任的分配人力资源政策与实务,37,COSO立方体：352,38,内部环境,控制环境确定了管理层的基调，并影响人们的控制意识。这是所有其它内控要素的基础，提供了规则和结构。控制环境是防范风险的首要防线。是监控内控有效性的起点。在整个内控的设计中，COSO认为控制环境是最重要的,对诚信和道德价值观念的沟通与落实内部控制有效性直接依赖于负责创建、管理、监控内部控制人员的诚信和道德价值观念对胜任能力的重视考虑主要管理人员和其他相关人员是否能够胜任承担的工作与职责治理层的参与程度关注被审计单位的财务报告监督被审计单位的会计政策以及内部、外部的审计工作和结果监督用于复核内部控制有效性的政策和程序设计是否合理，执行是否有效管理层的理念和经营风格,组织结构及职权与责任的分配组织结构将影响权利、责任和工作任务在组织成员中的分配注册会计师考虑的主要因素人力资源政策与实务涉及招聘、考核、晋升和薪酬等方面注册会计师考虑的主要因素小结在确定构成控制环境的要素是否得到执行时，注册会计师应当考虑将询问与其他风险评估程序相结合以获取审计证据；控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报,七、被审计单位的风险评估过程被审计单位风险评估过程的含义管理层应当确定可以承受的风险水平，识别这些风险并采取一定的应对措施可能产生风险的事项和情形，p280.风险评估过程作用是识别、评估和管理影响被审计单位实现经营目标能力的各种风险对风险评估过程的了解考虑的主要因素目的是评价被审计单位风险评估过程的有效性,42,风险评估,风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。,八、信息系统与沟通与财务报告相关的信息系统的含义与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。与财务报告相关的信息系统应当与业务流程相适应对与财务报告相关的信息系统的了解注册会计师应当特别关注由于管理层凌驾于账户记录控制之上，或规避控制行为而产生的重大错报风险，并考虑被审计单位如何纠正不正确的交易处理,与财务报告相关的沟通的含义与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责，员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。对与财务报告相关的沟通的了解,45,信息与沟通,信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通,控制活动相关的控制活动的含义控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动授权注册会计师应当了解与授权有关的控制活动，包括一般授权和特别授权。业绩评价注册会计师应当了解与业绩评价有关的控制活动，主要包括被审计单位分析评价实际业绩与预算（或预测、前期业绩）的差异，综合分析财务数据与经营数据的内在关系,信息处理注册会计师应当了解与信息处理有关的控制活动，包括信息技术一般控制和应用控制。实物控制注册会计师应当了解实物控制，主要包括了解对资产和记录采取适当的安全保护措施，对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对职责分离注册会计师应当了解职责分离，主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。对控制活动的了解在了解控制活动时，注册会计师应当重点考虑一项控制活动单独或连同其他控制活动，是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。了解和评估一般控制活动时考虑的主要因素,48,控制活动,控制活动是企业根据风险评估结果，采用相应的控制措施，设计控制政策和控制程序，将风险控制在可承受度之内。控制活动是指那些用来帮助保证管理指令有效执行的政策和流程。,不相容职务分离授权审批控制会计系统控制财产保护控制限制接近；财产清查；保险；对账,49,控制活动概述,预算控制合同管理运营分析控制绩效考评控制危机管理：风险预警和突发事件应急处理机制,核心是分权、牵制和透明,应用指引第15、16号,50,控制活动的类型,十、对控制的监督对控制的监督的含义对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。注册会计师应当了解被审计单位对控制的持续监督活动和专门的评价活动。持续的监督活动通常贯穿于被审计单位的日常经营活动与常规管理工作中被审计单位可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价了解对内部控制的监督了解和评估考虑的主要因素,52,内部监督,内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，是通过识别控制的缺陷和漏洞并持续改进，以创造效率。,53,构成内部监督的三个要素,内部监督的方式,日常监督是基础,专项监督是补充,获得内控执行的证据内外信息印证账实对比内、外审计响应管理层监督内控执行定期考核员工内部审计,高风险项目重要的项目内控环境的变化,54,55,内控缺陷分类,按影响程度分：重大(实质)缺陷重要缺陷一般缺陷。,按形成原因分：设计缺陷：指缺失必要的控制或者现有控制设计不当，致使即使按照设计执行了内控也不能达到目标。例：中信银行网银系统现重大漏洞，2009年运行缺陷：指某一恰当设计的控制要么没有按照设计运行，要么实施该控制的人员不具备有效实施控制的必要授权或资格。,56,内控缺陷分类,十一、在整体层面对内部控制了解和评估的总结通常由项目组中对被审单位情况比较了解且较有经验的成员负责了解内部控制的各构成要素时，注册会计师应当对被审计单位整体层面的内部控制的设计进行评价，并确定是否得到执行财务报表层次的重大错报风险很可能源于薄弱的控制环境应将整体层面内部控制状况与环境结合起来考虑,十二、在业务流程层面了解内部控制确定重要业务流程和重要交易类别被审计单位经营活动的性质不同，所划分的业务流程也不同重要交易类别与相关账户及其认定相联系了解重要交易流程并进行记录交易流程包括的工作通过询问、检查、观察和穿行测试了解向负责处理具体业务人员的上级进行询问通常更有效了解交易流程，用流程图或文字表述确定可能发生错报的环节设计控制的目标是为实现某些控制目标，控制目标与财务报表重大账户的相关认定相联系,识别和了解相关控制是否有必要进一步了解业务流程层面的控制注册会计师对业务流程层面有关控制的了解和评价控制的类型有效控制应与错报发生的环节相关，并能降低错报风险预防性控制与检查性控制识别和了解相关控制询问被审计单位各级别的负责人员采取“由高到低”的询问方法记录相关控制评价重要业务流程记录充分性的标准,执行穿行测试穿行测试可以获取的证据如果不打算信赖控制，注册会计师仍需要执行穿行测试确认以前对业务流程及可能发生错报环节的了解的准确性和完整性初步评价和风险评估对控制的初步评价评价的可能结论风险评估需考虑的因素账户特征及已识别的重大错报风险对被审计单位整体层面控制的评价评价决策对财务报告流程的了解财务报告流程包括内容,补充知识：穿行测试,穿行测试（walkthroughtesting）：是指追踪交易在财务报告信息系统中的处理过程。这是注册会计师了解被审计单位业务流程及其相关控制时经常使用的审计程序。在风险管理中,在正常运行条件下，将初始数据输入内控流程，穿越全流程和所有关键环节，把运行结果与设计要求对比，以发现内控流程缺陷的方法。,注册会计师在了解内部控制时，可以观察被审计单位的生产经营活动，检查文件、记录和内部控制手册，阅读由管理层和治理层编制的报告，实地察看被审计单位的生产经营场所和设备，追踪交易在财务报告信息系统中的处理过程(穿行测试)。1、先将公司规范某项经济业务行为的制度按业务流程的方式描述出来；这表明公司的该项经济业务应该都是按所描述的业务流程运行的。2、抽取某几笔业务样本；3、要求受监察的单位提供所有所抽取业务样本的运行记录；4、按照流程环节，描述样本业务的实际运行情况；5、对照流程环节与要求，比较并记录没有做到位的地方。例如甲注册会计师针对销售交易，从订单处理一核准信用状况及赊销条款一填写订单并准备发货一编制货运单据一订单运送/递送追踪至客户或由客户提货一开具销售发票一复核发票的准确性并邮寄/送至客户一生成销售明细账一汇总销售明细账，并过账至总账和应收账款明细账等交易的整个流程，考虑之前对相关控制的了解是否正确和完整，并确定相关控制是否得到执行，这就是穿行测试。,知识点练习,多项选择题因为内部控制存在下列（）固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证而不能提供绝对保证。A、在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效B、因为采用信息技术而记录未经授权或不存在的交易，或不正确地记录交易C、可能因多个人员进行串通或管理层凌驾于内部控制之上而被规避D、信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工。答案AC,判断题如果不拟信赖内部控制，注册会计师就无须对内部控制进行了解、测试和评价