1-2-审计风险评估与应对.pptx

1 1 2审计风险评估与应对 涉及准则 1121号准则 了解被审计单位及其环境并评估重大错报风险1201号准则 计划审计工作1231号准则 针对评估的重大错报风险实施的程序 刘爱松 目录1 2 风险导向审计的含义风险评估2 1了解被审计单位及其环境2 2了解被审计单位的内部控制2 2 1内部控制的概念2 2 2内部控制的发展历史2 2 3内部控制的要素2 3评估重大错报风险 2 目录2 2 审计风险的应对3 1报表层次风险的应对3 2认定层次风险的应对了解被审计单位情况 另一种思路 阅读材料 4 风险导向审计 风险导向审计 risk orientedauditing 即审计的执行以风险评估为基础 审计师将注意力集中于最可能出现错报和舞弊的领域 风险导向审计的思路可以用下图表示 5 新客户的接纳和老客户的续聘 制定审计计划 终结审计出具审计报告 6 了解被审计单位及其环境的重要性 了解被审计单位及其环境是必要程序 特别是为注册会计师在下列关键环节作出职业判断提供重要基础 一 确定重要性水平 并随着审计工作的进程评估对重要性水平的判断是否仍然适当 二 考虑会计政策的选择和运用是否恰当 以及财务报表的列报 包括披露 下同 是否适当 7 三 识别需要特别考虑的领域 包括关联方交易 管理层运用持续经营假设的合理性 或交易是否具有合理的商业目的等 四 确定在实施分析程序时所使用的预期值 五 设计和实施进一步审计程序 以将审计风险降至可接受的低水平 六 评价所获取审计证据的充分性和适当性 8 概括起来 了解被审计单位的环境及其环境 其目的就是为了确定重要性和审计风险水平 进而作出审计决策 以获得充分适当的审计证据 以实现审计目标 审计决策包括 采取什么样的取证方法 选取多大的样本 如何选择样本 何时取证 9 如何获得所需的信息 注册会计师应当实施下列风险评估程序以了解被审计单位及其环境 p 57 59 一 询问被审计单位管理层和内部其他相关人员 二 分析程序 三 观察和检查 从被审计单位外部获取相关信息 10 应了解的内容 p 59 一 行业状况 法律环境与监管环境以及其他外部因素 二 被审计单位的性质 三 被审计单位对会计政策的选择和运用 四 被审计单位的目标 战略以及相关经营风险 11 五 被审计单位财务业绩的衡量和评价 六 被审计单位的内部控制 如何了解被审计单位及其环境 Arens等的第15版审计教材第八章给出了下面的图 具体在p 214 218 了解被审计单位及其环境 内部控制举例 13 雇员A 财物的保管 雇员B 独立的记录 雇员C 雇员C定期盘点A保管的财物并与B的记录核对 图2 职责分离示意图 Question 试从该图说明职责分离有何作用 往29页 14 内部控制是被审计单位为了合理保证财务报告的可靠性 经营的效率和效果以及对法律法规的遵守 由治理层 管理层和其他人员设计和执行的政策和程序 1211号准则第46条 这实际上是COSO定义的内部控制 内部控制制度的概念 15 COSO与内部控制研究 COSO CommitteeofSponsoringOrganiz ations 上世纪70年代末80年代初 美国很多公司因通货膨胀而倒闭 与此相伴随的是公司做假账 注册会计师未能尽到责任 美国国会试图通过立法来规范会计与审计行为 但未能成功 于是成立了一个NationalCommissiononFraudulentFinancialReporting 虚假财务报告全国委员会 对虚假财务报告进行研究 该委员 16 会由美国五个会计职业团体提供赞助 它们是IIA 内部审计协会 AICPA 美国注册会计师协会 总会计师协会 FEI 美国会计学会 AAA 以及管理会计师协IMA 1987年 COSO发布了第一份虚假财务报告研究报告 指出了内部控制对预防财务造假的重要性 并呼吁经理层报告其内部控制系统的有效性 报告还指出良好的内部控制环境 道德行为规范 尽职且有胜任能力的审计委员会和强健的内部审计是良好内部控制的关键构成要素 17 1992年9月 COSO发布了名为 内部控制 整体框架 的研究报告 通常称为COSO报告 对内部控制进行了定义并提出了对内部控制进行评价的方法和程序 2000年 COSO发布了一份名为 企业风险模型 的研究报告的初稿 对1992年的研究报告进行了扩展 资料来源 RobertMoeller 2004 Sarbance OxleyandtheNewInternalAuditingRules pp 123 124 2006年 COSO发布 财务报告控制 小型公共公司指南 2009年 发布 监督内部控制指南 2013年 发布修订版 内部控制 整体框架 此外 COSO还分别于1987 1999和2010年组织了对虚假财务报告的研究 18 COSO系列研究报告 19 20 内部控制包括下列要素 一 控制环境 二 风险评估过程 三 信息与沟通 四 控制活动 五 监督活动 以下是内部控制要素图 内部控制制度的要素 p 60 新框架中的内控要素图 21 从上图可以看到 内部控制有三个目标 五个要素 并在各个层次存在 即内部控制应该是无处不在的 2013年COSO修订的 内部控制整体框架 将五个要素进一步细化为十七条原则 23 控制环境 控制环境 控制环境是对企业内部控制的建立和实施有重大影响 增强或削弱 的因素的总称 是内部控制的基础 控制环境包括如下方面 一 对诚信和道德价值观念的沟通与落实 通常决定于 顶层的基调 员工的行为动机 不切实际的目标 过于严厉的惩罚制度 职责划分 内部审计 24 二 对胜任能力的重视 岗位的配备 培训 检查和补救措施 三 治理层的参与程度 董事会 审计委员会的独立性 胜任能力与工作作风 是否尽职 四 管理层的理念和经营风格 五 组织结构 组织实际上就是人员配置方式 就是如何通过人员的分工与合作达到组织的目标 三权分立 制度与美国的伊拉克政策 控制环境的五条具体原则 26 风险评估过程 影响企业达到其目标的因素就是风险 风险评估的三个步骤 评估风险的严重程度 估计风险发生的可能性 考虑应采取哪些措施管理风险 风险评估的四条原则 28 控制活动 是指那些确保风险控制措施得到执行的政策和程序 一般包括如下方面 业绩评价 将实际情况与标准进行比较 发现异常情况及时采取纠正措施 授权批准 一般授权与特殊授权 信息处理 充分的记录 保证信息安全 29 实物控制 实物包括固定资产 存货 现金和有价证券等 实物财产的保管制度 实物盘点 独立稽核 即监督有关措施是否得到执行 职责分离 如图2 不相容职务分离的目的在于降低错误或舞弊行为的发生 控制活动的三条原则 31 信息与沟通 沟通就是信息的交换 信息系统与信息沟通是两个不同的要素 COSO为了使内部控制的内容简洁一点 将二者合并在一起 信息系统 信息系统可以是正式的 也可以是非正式的 既有对内部的 也有对外部的 信息的质量 高质量的信息是内部控制有效发挥作用的必备条件 32 信息沟通 信息的内部沟通 沟通的渠道要畅通 信息沟通是双向的 包括自上而下的沟通和自下而上的沟通 正式的沟通和非正式的沟通 通过正常渠道进行的沟通与秘密的沟通等 33 沟通的方式 对外的沟通 与供应商 客户的沟通 也是双向的 对外的沟通不只是公关性质的 宣传自己 而且信息要是外部利益相关者所需要的真实的信息 否则就无异于做假账了 沟通的方式 网站 布告 演讲 录像 手册等多种方式 信息与沟通的三条原则 35 监督活动 监督 企业采取的用来保证内部控制措施有效运行的程序 内部审计即是一例 要对内部控制的有效性进行持续的评价 及时对内部控制进行调整 使其适应变化了的环境 从而保持其有效性 内部控制的评价步骤 了解内部控制的设计 辨认采取的内部控制措施 测试内部控制的有效性 得出结论 与内部控制的测评是一致的 监督活动的两条原则 如何判断内部控制是否有效 有效性的定义 合理保证达到组织的目标 具体包括如下方面 内控五要素及其原则存在且发挥作用五个要素有机关联 共同发挥作用 38 了解内部控制的目的 从报表审计的角度来看 若内部控制有效 意味着企业能够合理保证达到其报告目标 即按照有关的规则 规定和准则以及企业内部的报告要求编制各种报告 这意味着会计报表按照会计准则的要求进行编制的可能性比较高 反之 报表出现重大错报的可能性比较高 对内部控制的评价提供的是环境证据 审计风险 审计风险是指会计报表存在重大错报或漏报 而审计人员审计后发表不恰当审计意见的可能性 从审计目标的角度进行理解 报表审计是为了评价会计报表是否符合会计准则 报表与准则不一致即为错报 和漏报 如果有重大的错报 和漏报 而CPA没发现从而发表了错误的意见 就是审计风险 这说明 审计风险之所以发生 首先要存在错报 和漏报 如果没有错报 和漏报 则不存在审计风险 错报 和漏报 存在的可能称为固有风险 Inherentrisk 审计风险总是与重要性联系在一起的 重要性的概念将在后面介绍 但这里可以举一些例子加以说明 重大错报审计风险与检查风险 审计风险的两个层次 两个层次的重大错报风险 财务报表层次的重大错报审计风险和认定层次的重大审计风险 认定层次的重大错报风险 固有风险和控制风险 新审计风险模型 新准则的审计风险模型审计风险 重大错报风险 检查风险其中 重大错报风险是指财务报表在审计前存在重大错报的可能性 检查风险是指某一认定存在错报 该错报单独或连同其他错报是重大的 但注册会计师未能发现这种错报的可能性 旧审计风险模型 审计风险 固有风险 控制风险 检查风险固有风险 InherentRisk 假设有关被审计项目的内部控制制度完全不存在的情况下 该项目发生差错的可能性 IR 注册会计师不能控制 但要进行估计 控制风险 ControlRisk 某项目发生差错的情况下 未被相关内部控制制度发现的可能性 CR 注册会计师不能控制 但要合理进行估计 检查风险 DetectionRisk 发生差错 未被内部控制制度发现 又未被审计人员发现的可能性 DR 是审计风险模型三要素中唯一能为注册会计师控制的 原风险模型在认定层次仍然适用 2013年注师考试审计教材p 110 审计风险模型示意图 新审计风险模型的提出可能由于以下原因 固有风险和控制风险的评估无法区分 MarkE Haskins MarkW Dirsmith ControlandInherentRiskAssessmentinClientEngagements AnExaminationofTheirInterdependencies JournalofAccountingandPublicPolicy 1993 14 63 83 检查风险与重大错报风险的关系 识别和评估重大错报风险的审计程序 1211号审计准则第九十六条注册会计师应当识别和评估财务报表层次以及各类交易 账户余额 列报认定层次的重大错报风险 在识别和评估重大错报风险时 注册会计师应当实施下列审计程序 一 在了解被审计单位及其环境的整个过程中识别风险 并考虑各类交易 账户余额 列报 识别和评估重大错报风险的审计程序 二 将识别的风险与认定层次可能发生错报的领域相联系 三 考虑识别的风险是否重大 四 考虑识别的风险导致财务报表发生重大错报的可能性 可能表明被审计单位存在重大错报风险的事项和情况 28种情况 1211号审计准则第九十八条注册会计师应当关注下列事项和情况可能表明被审计单位存在重大错报风险 一 在经济不稳定的国家或地区开展业务 二 在高度波动的市场开展业务 三 在严厉 复杂的监管环境中开展业务 四 持续经营和资产流动性出现问题 包括重要客户流失 五 融资能力受到限制 六 行业环境发生变化 七 供应链发生变化 八 开发新产品或提供新服务 或进入新的业务领域 九 开辟新的经营场所 十 发生重大收购 重组或其他非经常性事项 十一 拟出售分支机构或业务分部 十二 复杂的联营或合资 十三 运用表外融资 特殊目的实体以及其他复杂的融资协议 十四 重大的关联方交易 十五 缺乏具备胜任能力的会计人员 十六 关键人员变动 十七 内部控制薄弱 十八 信息技术战略与经营战略不协调 十九 信息技术环境发生变化 二十 安装新的与财务报告有关的重大信息技术系统 二十一 经营活动或财务报告受到监管机构的调查 二十二 以往存在重大错报或本期期末出现重大会计调整 二十三 发生重大的非常规交易 二十四 按照管理层特定意图记录的交易 二十五 应用新颁布的会计准则或相关会计制度 二十六 会计计量过程复杂 二十七 事项或交易在计量时存在重大不确定性 二十八 存在未决诉讼和或有负债 55 重大错报风险的应对 56 风险应对措施 1231号准则第三条规定 注册会计师应当针对评估的财务报表层次重大错报风险确定总体应对措施 并针对评估的认定层次重大错报风险设计和实施进一步审计程序 以将审计风险降至可接受的低水平 57 报表层次风险的应对 教材没有 注册会计师应当针对评估的财务报表层次重大错报风险确定下列总体应对措施 一 向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性 二 分派更有经验或具有特殊技能的审计人员 或利用专家的工作 三 提供更多的督导 58 四 在选择进一步审计程序时 应当注意使某些程序不被管理层预见或事先了解 五 对拟实施审计程序的性质 时间和范围 范围就是样本大小和具体的样本项目的选择 作出总体修改 审计证据决策的四个问题 59 认定层次的风险应对 p 63 1231号审计准则第八条注册会计师应当针对评估的认定层次重大错报风险设计和实施进一步审计程序 包括审计程序的性质 时间和范围 进一步审计程序是指注册会计师针对评估的各类交易 账户余额 列报 包括披露 下同 认定层次重大错报风险实施的审计程序 包括控制测试和实质性程序 注册会计师设计和实施的进一步审计程序的性质 时间和范围 应当与评估的认定层次重大错报风险具备明确的对应关系 60 进一步审计程序的性质是指进一步审计程序的目的和类型 进一步审计程序的目的包括通过实施控制测试以确定内部控制运行的有效性 通过实施实质性程序以发现认定层次的重大错报 进一步审计程序的类型包括检查 观察 询问 函证 重新计算 重新执行和分析程序 不同的审计程序应对特定认定错报风险的效力不同 61 注册会计师应当根据认定层次重大错报风险的评估结果选择审计程序 评估的认定层次重大错报风险越高 对通过实质性程序获取的审计证据的相关性和可靠性 即审计证据的质量 的要求越高 62 测试的时间 注册会计师可以在期中或期末实施控制测试或实质性程序 当重大错报风险较高时 注册会计师应当考虑在期末或接近期末实施实质性程序 或采用不通知的方式 或在管理层不能预见的时间实施审计程序 63 在期中实施进一步审计程序 可能有助于注册会计师在审计工作初期识别重大事项 并在管理层的协助下及时解决这些事项 或针对这些事项制定有效的实质性方案或综合性方案 如果在期中实施了进一步审计程序 注册会计师还应当针对剩余期间获取审计证据 在确定何时实施审计程序时 注册会计师应当考虑下列因素 一 控制环境 二 何时能得到相关信息 三 错报风险的性质 四 审计证据适用的期间或时点 64 一步审计程序的范围是指实施进一步审计程序的数量 包括抽取的样本量 对某项控制活动的观察次数等 在确定审计程序的范围时 注册会计师应当考虑下列因素 一 确定的重要性水平 二 评估的重大错报风险 三 计划获取的保证程度 随着重大错报风险的增加 注册会计师应当考虑扩大审计程序的范围 但是 只有当审计程序本身与特定风险相关时 扩大审计程序的范围才是有效的 总结一下 归根结底 进一步审计程序的性质 时间和范围影响的是审计证据的数量和质量 即审计证据的说服力 正如前面所强调的 审计的基本问题之一是如何做审计 而如何做审计不过是定标准 找证据和下结论的三步骤 但进一步的 找证据又涉及到找多少审计证据 审计证据的数量 和找什么样的审计证据 审计证据的质量 这样的问题 这又取决于审计程序的性质 时间和范围 它们是一连串纠结在一起无法分开的问题 66 审计测试与审计风险 67 审计测试与审计风险 68 术语解释 AAR acceptableauditrisk 可接受的审计风险 PDR planneddetectionrisk 计划的检查风险 IR inherentrisk 固有风险 CR controlrisk 控制风险 69 术语解释 控制测试 Testsofcontrol实质性测试 用于直接检验金额的审计程序 具体包括 分析程序 Analyticalprocedures实质性交易测试 Substantivetestsoftransactions实质性余额测试 Testsofdetailsofbalances 70 上图中审计风险与审计测试的关系说明 通过了解被审计单位的内部控制和控制测试 可以评估控制风险 通过分析程序和实质性余额测试 可以将检查风险控制在可接受的水平 实质性交易测试既可以用于评估控制风险 也可以用于控制检查风险 教材p 64表1 3 了解内部控制与控制测试的比较 p 66表1 4控制测试与实质性测试 程序 的比较 任务实践 p 67 72 阅读时将其与1211号审计准则进行对照 就是将比较抽象的审计准则具体化的过程 72 了解被审计单位的情况 价值系统分析 ValueSystemAnalysis 目的 识别被审计单位在行业中的地位及其与外部有关方面的关系 辨别可能威胁到被审计单位取得成功的因素 价值链分析 ValueChainAnalysis 目的 识别公司为达到目标而从事的活动 73 风险分析 ThreatAnalysis 目的 识别可能影响组织取得成功的威胁和风险 管理层控制分析 ManagementControlAnalysis 目的 识别管理层实施的可缓解上述威胁和风险的控制措施 分析对审计的影响 AnalysisofAuditImplications 目的 分析上述风险因素和内部控制对审计计划和审计程序的影响 74 价值系统分析 了解被审计单位在行业中的位置 供应商 竞争对手 客户 图7 3 被审计单位的行业关系示意图 75 价值系统分析的作用 可以将被审计单位所处经营环境中的关键参与者描述出来 便于在审计中考虑这些因素 被审计单位的会计都与价值系统中要素相联系 例如 销售收入 应收账款 产品销售成本 和相应的存货的减少 货款的收回 坏账均与和客户 买家 发生的业务相联系 而固定资产 购入 应付账款 应急负债均与和供应商发生的业务相关 76 这也意味着当与供应商或客户的关系发生问题的时候 相关的账户 科目 也会受到影响 77 价值链分析 了解被审计单位的业务过程和经营活动 主要业务 Primaryactivities 直接与产品的生产或服务的提供相关的活动 这些业务直接创造价值 辅助业务 Supportactivities 组织的正常运转少不了 但又不直接创造价值的业务活动 例如 会计工作 78 主要业务 辅助业务 MARGIN 79 主要业务 供应 获取生产所需的投入物资并对其进行储存和管理 例如 原材料的采购 储存和退货等 与供应相关的审计问题包括存货的完整性和计量 valuation 费用和负债的确认 80 生产 将投入转化成产出 产成品或劳务 的过程 与生产相关的审计问题包括产成品或劳务成本的核算 与营销相关的审计问题 收入的确认和应收账款的回收 与配送相关的审计问题 销售的截止 收入的确认时间 销售退回 81 辅助活动 基础设施 如行政管理 会计核算 公司治理 融资和战略的制定 均属于基础设施 是公司顺利运行的基础条件 这些活动影响大 因此要特别关注 例如 融资 长期租赁合同 并购 投资和套期保值等均有长期而重要的影响 审计时自然不能等闲视之 82 采购 获取供整个企业 而不只是生产部门 使用的材料和其他有形资产 例如 办公用品之类的 与采购相关的审计问题包括采购承诺 采购退回 存货的计量等 人力资源开发 企业的人力资源管理方式可以透露很多信息 例如 对诚实的商业行为 会计信息的可靠性 产品或服务的质量等都息息相关 与人力资源相关的审计问题包括人工费用的分配等 83 技术开发 包括新产品的研发 应用于主要业务的研发 如自动化生产线 应用于辅助业务的研发 如决策数据库的研发 84 风险分析 威胁通常可以从五个方面考虑 供应商 客户 竞争者 替代品和市场新进入者 竞争者 竞争直接影响到被审计单位的市场 在会计上面影响到收入和成本 潜在的进入者 高利润高成长的行业通常会有新手的加入 这将影响被审计单位的营销和销售行为 从审计的角度看 这可能影响到存货的计价 生产用固定资产的计价等 85 替代品 例如 电话的兴起导致电报的衰落 影响企业的销售 营销和技术开发等 对审计而言 资产和存货的价值计量问题值得关注 供应商 例如 咖啡生产商的生产受到咖啡豆生产者的影响 影响供应和采购活动 客户 影响营销 销售和配送服务 从更宽广一点的角度看 以上来自各方面的威胁都影响到人力