综合阶段-审计-笔记001--风险评估.docx

风险评估一、 总体要求财务报表风险导向审计目标：对财务报表不存在由于错误或舞弊导致的重大错报获取合理保证。审计准则1211号了解被审计单位及其环境并评估重大错报风险规定注册会计师应当了解被审计单位及其环境，以充分识别和评估财务报表重大错报风险，设计和实施进一步审计程序。（贯穿于整个审计过程的始终）作用：1、 确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；（什么是重大？）2、 考虑会计政策的选择和运用是否恰当，财务报表列报是否恰当；（错报中的错误）3、 识别需要特别考虑的领域，包括：关联方交易、持续经营假设的合理性、交易是否具有合理的商业目的等；（错报中的舞弊）4、 确定在实施分析程序时所使用的预期值；（经验数据）5、 设计和实施进一步审计程序，以将审计风险降至可接受的低水平；（风险X）6、 评价所获取审计证据的充分性和适当性。（证据）评价对被审计单位及其环境了解的程度是否恰当，关键是注册会计师对被审计单位及其环境的了解是否足以识别和评估财务报表的重大错报风险。二、 了解被审计单位及其环境的内容外部（1个）：行业状况、法律环境、监管环境、其他被审计单位（3个）：性质；目标、战略和经营风险；会计政策财务（2个）：财务业绩的衡量和评价；内部控制三、 行业状况、法律环境与监管环境以及其他外部因素1、行业状况：了解这些“非财务信息”是为了“识别”财务报表的重大错报风险所处行业的市场供求与竞争行业状况生产经营的季节性和周期性行业增长率、毛利率市场份额和竞争优势技术更新与存货并购重组产品生产技术的变化能源供应与成本行业关键指标与统计数据2、法律环境和监管环境：便于们识别财务报表中需要披露的事项，比如需要披露或有事项是否没有披露。货币、财政、税收、贸易、环保、劳动安全、产品责任、特殊监管要求 会计原则和行业特定惯例； 受管制行业的法规框架； 对被审计单位经营活动产生重大影响的法律法规，包括直接的监管活动； 税收政策； 目前对被审计单位开展经营活动产生影响的政府政策，如货币政策、财政政策、财政刺激措施、关税或贸易限制政策等； 影响行业和被审计单位经营活动的环保要求。3、其他外部因素：从被审计单位的行业外部识别财务信息的重大错报风险 总体经济情况； 利率； 融资的可获得性； 通货膨胀水平或币值变动4、总结1注册会计师应当考虑将了解的重点放在对被审计单位的经营活动可能产生重要影响的关键外部因素以及与前期相比发生的重大变化上；2项目组是否配备了具有相关知识和经验的成员 对从事计算机硬件制造的被审计单位，注册会计师可能更关心市场和竞争以及技术进步的情况； 对金融机构，注册会计师可能更关心宏观经济走势以及货币、财政等方面的宏观经济政策； 对化工等产生污染的行业，注册会计师可能更关心相关环保法规。 建筑行业长期合同涉及收入和成本的重大估计，可能导致重大错报风险；2 银行监管机构对商业银行的资本充足率有专门规定，不能满足这一监管要求的商业银行可能有操纵财务报表的动机和压力。2四、 被审计单位的性质所有权结构识别关联方关系；关联方交易是否恰当记录和充分披露良好的治理结构可以对被审计单位的经营和财务运作实施有效的监督，从而降低财务报表发生重大错报的风险 治理结构 控制环境被审计单位的性质 组织结构考虑复杂组织结构可能导致的重大错报风险，包括财务报表合并、商誉减值以及长期股权投资核算等问题识别预期在财务报表中反映的主要交易类别、重要账户余额和列报经营活动关注被审计单位在经营策略和方向上的重大变化投资活动评估被审计单位在融资方面的压力，并进一步考虑被审计单位在可预见未来的持续经营能力筹资活动五、 被审计单位的目标、战略与经营风险目标是企业经营活动的指针；战略是企业管理层为实现经营目标采用的总体层面的策略和方法。经营风险源于对实现目标和战略产生不利影响的重大情况、事项、环境和行动；或源于不恰当的目标和战略。管理层通常制定识别和应对经营风险的策略，注册会计师应当了解被审计单位的经营风险评估过程。多数经营风险最终都会产生财务后果，从而影响财务报表。但并非所有的经营风险都会导致重大错报风险。然而经营风险可能直接影响各类交易、账户余额和披露的认定层次或财务报表层次重大错报风险。举例： 行业发展（潜在的经营风险是被审计单位不具备足以应对行业变化的人力资源和业务专长）； 开发新产品或提供新服务（潜在的经营风险是被审计单位产品责任增加）； 业务扩张（潜在的经营风险是被审计单位对市场需求的估计不准确）； 新的会计要求（潜在的经营风险是被审计单位执行不当或不完整，或会计处理成本增加）； 监管要求（潜在的经营风险是被审计单位法律责任增加）； 本期及未来的融资条件（潜在的经营风险是被审计单位由于无法满足融资条件而失去融资机会）； 信息技术的运用（潜在的经营风险是被审计单位信息系统与业务流程难以融合）； 实施战略的影响，特别是由此产生的需要运用新的会计要求的影响（潜在的经营风险是被审计单位执行新要求不当或不完整）。六、 被审计单位对会计政策的选择和运用如果被审计单位会计政策的选择和运用不符合企业会计准则的规定，则属于“错报”。注册会计师对已经识别的“错报”应当提请被审计单位调整。角度： 重要项目的会计政策和行业惯例：如收入确认方法、存货计价方法、投资核算方法、折旧方法、借款费用资本化方法、合并报表编制方法等； 重大和异常交易的会计处理：如研发活动、企业合并等； 在缺乏权威性标准或共识、有争议的或新兴领域采用重要会计政策产生的影响； 会计政策变更：如是否合规、变更后结果、变更披露等； 新颁布的财务报告准则、法律法规，被审计单位何时采用、如何采用这些规定等。七、 被审计单位财务业绩的衡量和评价：与舞弊相关目的：了解被审计单位管理层是否面临实现某些关键财务业绩指标的压力。延伸阅读：以下情形显示管理层面临重大压力可能发生舞弊：企业或企业的主要组成部分被出售；管理层为维持或增加企业的股价或盈利走势而采取过度激进的会计方法；基于纳税的考虑，股东或管理层有意采取不适当的方法使盈利最小化；企业增长接近财务资源的最大限度；企业业绩急剧下降，面临终止上市的风险；企业不具备足够的可分配利润或现金流量维持目前的利润分配水平；如果公布欠佳的财务业绩，对重大未决交易（如企业合并或新合同签订）产生不利影响；企业过度依赖银行借款，但财务业绩可能达不到借款合同的要求。思路：注册会计应当了解被审计单位的关键业绩指标和趋势，预算、预测和差异分析，分部信息与不同层次部门的业绩报告，员工业绩考核与激励性报酬政策，竞争对手的业绩；关注被审计单位财务业绩衡量显示出来的未预期到的结果或趋势、管理层的调查结果和纠正措施、相关信息是否显示财务报表可能存在重大错报。八、 被审计单位的内部控制内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果、对法律法规的遵守，由治理层、管理层和其他员工设计与执行的政策和程序。构成要素（5个）：控制的环境、风险评估过程、与财务报告相关的信息系统与沟通、控制活动、对控制的监督。1、 要求目的：注册会计师应当重点考虑被审计单位某项控制是否能够防止或发现并纠正各类交易、账户余额、列报存在的重大错报。广度：注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。深度：注册会计师应当评价控制的设计，并确定其是否得到执行，但不包括对控制是否得到一贯执行的测试。 流程：方法： 询问被审计单位人员； 观察特定控制的运用； 检查文件和报告； 追踪交易在财务报告信息系统中的处理过程(穿行测试)。区别：了解内部控制是评价内部控制的设计并确定其是否运行，控制测试是确定企业内部控制运行的有效性（得到一贯执行）。除非存在某些可以使控制得到一贯运行的自动化控制，否则注册会计师对控制的了解并不足以测试控制运行的有效性。2、 内部控制的方式：自动化控制、人工控制自动化控制的特别风险 所依赖的系统或程序不能正确处理数据，或处理了不正确的数据，或两种情况并存； 未经授权访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易，多个同户同时访问同一数据库可能造成特定风险； 信息技术人员可能获得超越其职责范围的数据访问权限，因此破坏了系统应有的职责分工； 未经授权改变主文档的数据； 未经授权改变系统或程序； 未能对系统或程序作出必要的修改； 不恰当的人为干预； 可能丢失数据或不能访问所需要的数据。人工控制的特别风险 人工控制可能更容易被规避、忽视或凌驾； 人工控制可能不具有一贯性； 人工控制可能更容易产生简单错误或失误。3、 内部控制的固有缺陷内部控制无论如何有效，都只能为被审计单位实现财务报告目标提供合理保证。内部控制实现目标的可能性受其固有限制的影响。这些限制包括： 在决策时人为判断可能出现错误和因人为失误而导致内部控制失效。 控制可能由于两个或更多的人员串通或管理层不当地凌驾于内部控制之上而被规避。 内部行使控制职能的人员素质不适应岗位要求也会影响内部控制功能的正常发挥。 被审计单位实施内部控制的成本效益问题也会影响其效能。 内部控制一般都是针对经常而重复发生的业务而设置的，如果出现不经常发生或未预计到的业务，原有控制就可能不适用。4、 控制环境：报表层次的重大错报风险控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的认识、态度和措施。注册会计师应当了解：在治理层的监督下，管理层是否营造并保持了诚实守信和合乎道德的文化，是否建立了防止或发现并纠正舞弊和错误的恰当控制。角度： 对诚信和道德价值观念的沟通和落实（企业文化、书面的行为规范、惩罚措施、身体力行） 治理层的参与程度（董事会的稳定性、相对管理层的独立性、经验和资历、会议数量、对经营风险和财务报告的监督） 管理层的理念和经营风格（对经营风险和会计政策的态度、对信息人员和财务人员的关注） 组织结构及职权与责任的分配（业务授权、业务执行、业务记录、资产保管的分离） 人力资源政策与实务（招聘、培训、考核、晋升、薪酬、调动、辞退的政策） 对胜任能力的重视（人员数量、专业技能）方法：询问与其他风险评估程序相结合（如：观察和检查）结论：有效的控制环境不能绝对防止舞弊，却有助于降低发生舞弊的风险。控制环境本身也不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报，故应当将控制环境与其他内部控制要素一并考虑。5、 被审计单位的风险评估过程被审计单位的风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。注册会计师应当了解被审计单位的风险评估过程和结果。书上所列9中风险监管和经营环境的变化、业务快速发展、企业重组、海外经营、新技术、新产品和业务、新信息系统、新员工、新会计准则6、 信息系统和沟通与财务报告相关的信息系统包括用以生成、记录、处理和报告交易、事项和情况。对相关资产、负债和所有者权益履行经营管理责任的程序和记录。 识别与记录所有的有效交易 及时、详细地描述交易，以便在财务报告中对交易做出恰当分类 恰当计量交易，以便在财务报告中对交易的金额做出准确的记录 恰当确定交易生成的会计期间 在财务报表中恰当列报交易注册会计师应当特别关注由于管理层凌驾于账户记录控制之上或规避控制的行为所产生的重大错报风险，并考虑被审计单位如何纠正不正确的交易处理。7、 控制活动：认定层次的重大错报风险控制活动是指有助于确保管理层的指令得以执行的政策和程序。注册会计师应当重点考虑一项控制活动单独或连同其它控制活动，是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。工作重点是识别和了解针对重大错报可能发生的领域的控制活动。 授 权：对主要的经营活动制定控制政策和程序 业绩评价：制定目标、报告差异、调查差异并采取措施 职责分离：授权、执行、记录、保管分离 实物控制：定期盘点、资产保护措施、数据文件保密措施 信息处理：监控信息安全一般控制与应用控制8、 对控制的监督对控制的监督是指被审计单位评价在一定时期内部控制有效性的过程，包括及时评价内部控制的设计和运行，以及采取必要的纠正措施。设置相关职能部门、定期评价、对有效性的充分证据、及时采取纠正措施内部控制要素与重大错报风险的关系9、 在整体层面了解内部控制在了解内部控制各构成要素时，注册会计师应当评价被审计单位整体层面的内部控制的设计，并确定其是否得到执行。参与人员：项目组中对被审计单位比较了解且较有经验的成员负责，其他成员参与配合重点领域：对于连续审计，注册会计师可以重点关注整体层面内部控制的变化情况，包括由于被审计单位及其环境的变化而导致内部控制发生的变化以及采取的对策。特别考虑因舞弊而导致重大错报的可能性及其影响。方 法：询问、观察和检查、穿行测试结 论：财务报表层次的重大错报风险很可能源于薄弱的控制环境，因此，注册会计师在评估财务报表层次的重大错报风险时，应当将被审计单位整体层面的内部控制状况和了解到的被审计单位及其环境其他方面的情况结合起来考虑。10、 在业务层面了解内部控制注册会计师之前的了解可能表明被审计单位在业务流程层面针对某些重要交易流程所设计的控制是无效的，或者注册会计师并不打算信赖控制，则没有必要进一步了解在业务流程层面的控制。但注册会计师仍有需要执行穿行测试以确认以前对业务流程及可能发生错报环节的了解是否准确和完整。如果认为仅通过实质性程序无法将认定层次的检查风险降至可接受的水平，或者针对特别风险，注册会计师应当了解和评估相关的控制活动。步骤： 确定被审计单位的重要业务流程和重要交易类别 了解重要交易流程并记录 确定可能发生错报的环节 识别和了解相关控制活动 执行穿行测试，证实对交易流程和相关控制的了解 进行初步评价和风险评估结论：所设计的控制单独或连同其它控制能够防止或发现并纠正重大错报（进行控制测试的条件） 控制本身的设计是合理的，但没有得到执行控制是否得到执行控制测试实质性程序控制本身设计是否合理 控制本身的设计就是无效的或者缺乏必要的控制 否 是 否 是 有效则可减少九、 评估重大错报风险：对认定层次的重大错报风险的评估应以审计证据为基础做出修正。薄弱的控制环境；特别风险；舞弊或凌驾于控制之上日常交易采用高度自动化处理非常规交易；判断事项识别的重大错报风险是否属于特别风险？是否与财务报表整体广泛相关？相关的各类交易类别、账户余额和披露认定是否属于仅通过实质性程序无法应对的重大错报风险？注册会计师应当将了解的控制活动与特定认定相联系。控制可能与某一认定直接相关，也可能与某一认定间接相关，关系越间接，控制在防止或发现并纠正认定中错报的作用越小。注册会计师应当评价针对这些风险设计的控制，并确定其执行情况注册会计师应当采取总体应对措施。如果管理层未能实施控制以恰当地应对特别风险，注册会计师应当认为内部控制存在重大缺陷，考虑其对风险评估的影响；并与治理层沟通。在测试针对特别风险的控制运行是否有效时，注册会计师不应信赖以前审计获取的关于内部控制运行有效性的审计证据，应当针对性地实施实质性程序（细节测试或实质性分析程序与细节测试相结合）如果通过对内部控制的了解发现下列情况，并对财务报表局部或整体的可审计性产生疑问，注册会计师应当考虑出具保留意见或无法表示意见的审计报告：1）被审计单位会计记录的状况和可靠性存在重大问题，不能获取充分、适当的审计证据以发表无保留意见；2）对管理层的诚信存在严重疑虑。必要时注册会计师应当考虑解除业务约定。在确定哪些风险是特别风险时，注册会计师应当在考虑识别出的控制对相关风险的抵销效果前，根据以下因素考虑其是否属于特别风险： 风险的性质； 潜在错报的重要程度（包括该风险是否可能导致多项错报）； 发生的可能性。在确定风险的性质时，注册会计师应当考虑下列事项： 风险是否属于舞弊风险； 风险是否与近期经济环境、会计处理方法和其他方面的重大变化有关，因而需要特别关注； 交易的复杂程度； 风险是否涉及重大的关联方交易； 财务信息计量的主观程度，特别是计量结果是否具有高度不确定性； 风险是否涉及异常或超出正常经营过程的重大交易。非常规交易导致特别风险的原因 管理层更多地干预会计处理； 数据收集和处理进行更多的人工干预； 复杂的计算或会计处理方法； 非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制。判断事项导致特别风险的原因： 对涉及会计估计、收入确认等方面的会计原则存在不同的理解； 所要求的判断可能是主观和复杂的，或需要对未来事项做出假设十、 风险评估程序、信息来源以及项目内部讨论1、 风险评估程序 风险评估程序是指注册会计师为了解被审计单位及其环境，获取财务信息和非财务信息以识别和评估财务报表层次和认定层次的重大错报风险（无论错报由于舞弊或错误导致）而实施的审计程序。 实施风险评估程序是注册会计师审计中必须程序，注册会计师如果未实施风险评估程序就不能评估重大错报风险（收入确认舞弊假设除外）。内容：询问对象内容治理层了解编制财务报表的环境管理层和财务负责人1) 管理层所关注的主要问题。如新的竞争对手、主要客户和供应商的流失、新的税收法规的实施以及经营目标或战略的变化等。2) 被审计单位最近的财务状况、经营成果和现金流量。3) 可能影响财务报告的交易和事项，或者目前发生的重大会计处理问题。如重大的购并事宜等。4) 被审计单位发生的其他重要变化。如所有权结构、组织结构的变化，以及内部控制的变化等。内部审计人员了解内部控制设计和运行有效性而实施的内部审计程序，以及管理层是否根据实施这些程序的结果采取了适当的应对措施直接员工评价被审计单位选择和运用某项会计政策的恰当性内部法律顾问了解比如诉讼、遵守法律法规的情况、影响被审计单位的舞弊或舞弊嫌疑、产品保证、售后责任、与业务合作伙伴的安排和合同条款的含义等营销或销售人员了解被审计单位营销策略的变化、销售趋势或与客户的合同安排分析程序在实施分析程序时，注册会计师应当预期可能存在的合理关系，并与被审计单位记录的金额，依据记录金额计算的比率或趋势相比较；如果发现异常或未预期到的关系，注册会计师应当在识别重大错报风险时考虑这些比较结果。观察和检查对象目的经营活动了解被审计单位人员如何进行生产经营活动及实施内部控制文件、记录和内部控制手册了解被审计单位组织结构和内部控制制度建立健全情况管理层和治理层编制的报告了解自上一期审计结束至本期审计期间被审计单位发生的重大事项生产经营场所和厂房设备了解被审计单位的性质及其经营活动及其重大影响因素追踪交易在财务报告信息系统中处理过程（穿行测试）2、 其他审计程序和信息来源其