第8章-风险评估.ppt

第八章风险评估,本章内容主要有三个方面：了解被审计单位及其环境了解被审计单位的内部控制评估重大错报风险,审计过程,实施控制测试和实质性程序,实施风险评估程序,计划审计工作,接受业务委托,完成审计工作和编制审计报告,CPA在审计过程中，以重大错报风险的识别、评估和应对作为工作主线,中国注册会计师审计准则第1211号通过了解被审计单位及其环境识别和评估重大错报风险规定：注册会计师应当了解被审计单位及其环境，以充分识别和评估财务报表重大错报风险，设计和实施进一步审计程序。1行业状况、法律环境与监管环境以及其他外部因素；2被审计单位的性质；3被审计单位对会计政策的选择和运用；4被审计单位的目标、战略以及相关经营风险；5被审计单位财务业绩的衡量和评价；6被审计单位的内部控制。,风险评估程序：了解被审计单位及其环境,了解被审计单位及其环境：一、侧重外部因素的宏观分析二、侧重内部因素的微观分析三、被审计单位的内部控制,一、侧重外部因素的宏观分析了解行业状况、法律监管环境和其他外部因素,行业因素导致的风险:农业类上市公司造假的高风险区域,Why?1、税收优惠:造成虚增收入的造假成本低2、终端分散：3、存货量大，但定价、盘点困难,农业类上市公司舞弊案例：银广夏、蓝田股份、ST金鳗，紫鑫药业、绿大地、新大地、獐子岛、万福生科以蓝田股份为例，蓝田总经理瞿兆玉曾公开说：洪湖有100万亩水面可以开发，蓝田股份现在只开发了30万亩，而高产值的特种养殖鱼塘面积只有1万亩，这种精养鱼塘每亩产值可达3万元，是粗放经营的10倍，开发潜力还大着哩。,案例：,法律监管环境带来的风险：2005年初，宝洁收购了吉列公司，成为世界上最大的快消品牌公司。此次收购被大多数分析师认为是不错的举动。但此次交易在受到审批前收到了严格的反托拉斯调查，并且也可能受到进一步的政治审查。使宝洁的此次收购面临巨大的监管风险。,1、了解行业状况的内容,具体而言，注册会计师可能需要了解以下情况：（1）被审计单位所处行业的总体发展趋势是什么？（2）处于哪一发展阶段，如起步、快速成长、成熟或衰退阶段？（3）所处市场的需求、市场容量和价格竞争如何？（4）该行业是否受经济周期波动的影响，以及采取了什么行动使波动产生的影响最小化？（5）该行业受技术发展影响的程度如何？（6）是否开发了新的技术？（7）能源消耗在成本中所占比重，能源价格的变化对成本的影响？（8）谁是被审计单位最重要的竞争者，他们各自所占的市场份额是多少？（9）被审计单位与其竞争者相比主要的竞争优势是什么？（10）被审计单位业务的增长率和财务业绩与行业的平均水平及主要竞争者相比如何？存在重大差异的原因是什么？（11）竞争者是否采取了某些行动，如购并活动、降低销售价格、开发新技术等，从而对被审计单位的经营活动产生影响？,分析以下环境变化为被审计单位带来的审计风险（1）企业主要客户所在行业不景气审计风险：应收账款可能不能全额收回，坏账备抵上存在潜在风险（2）外汇波动挤压了企业国际销售利润审计风险：恰当处理汇兑损益、金融资产的会计处理（3）由于产地气候恶劣，优质原材料严重缺货审计风险：被审计单位面临为满足客户需求而走捷径的压力，可能存在与采购承诺相关的计价压力（4）新进入市场的产品，在技术上优于企业现有产品审计风险：存货库存过多，存货过时，计价上存在潜在风险,2法律环境及监管环境（1）适用的会计准则、会计制度和行业特定惯例；（2）对经营活动产生重大影响的法律法规及监管活动；（3）对开展业务产生重大影响的政府政策，包括货币、财政、税收和贸易等政策；（4）与被审计单位所处行业和所从事经营活动相关的环保要求。,了解的重点和程度（1）对被审计单位的经营活动可能产生重要影响的关键外部因素以及与前期相比发生的重大变化上。（2）被审计单位所在行业的业务性质或监管程度是否可能导致特定的重大错报风险，考虑项目组是否配备了具有相关知识和经验的成员。,二、侧重内部因素的微观分析,1、被审计单位性质2、被审计单位会计政策3、被审计单位业绩评价,所有权结构：识别关联方关系并了解被审计单位的决策过程；治理结构：经营和财务运作实施有效的监督组织结构：复杂组织结构可能导致的重大错报风险，经营活动：识别在财务报表中反映的主要交易类别、重要账户余额和列报；投资活动：关注被审计单位在经营策略和方向上的重大变化；筹资活动：评估被审计单位在融资方面的压力，并进一步考虑被审计单位在可预见未来的持续经营能力。,案例：科龙复杂所有权结构背后隐藏的巨大风险,从2001年10月1日至2005年7月31日间，科龙及其29家主要附属公司，与格林柯尔系公司或疑似格林柯尔系公司进行的不正常重大现金流出和流入达75亿元，科龙电器与格林柯尔系公司或怀疑与该有关联公司之间进行的不正常现金流出总额约为人民币40.71亿元。其中，与前者的不正常现金流出为21.69亿元，与后者的不正常现金流入为19.02亿元。此外，还有总额约为34.79亿元的不正常现金流入，包括与格林柯尔系公司有关的24.62亿元以及与怀疑和格林柯尔系公司有关的10.17亿元。2006年11与7日，顾雏军等9名原科龙高管案首次在广东佛山市中级人民法院开庭审理，其涉嫌虚假出资、提供虚假财会报告、挪用资产、职务侵占等4项罪名,2、了解被审计单位对会计政策的选择和运用,重要项目的会计政策和行业惯例重大和异常交易的会计处理方法在新领域和缺乏权威性标准或共识的领域，采用重要会计政策产生的影响会计政策的变更,3、CPA要了解被审计单位财务业绩的衡量和评价（识别舞弊动机）需要强调的是：注册会计师了解被审计单位财务业绩衡量和评价，是为了考虑管理层是否面临实现某些关键财务业绩指标的压力，从而发现管理层舞弊的动机。,在了解被审计单位财务业绩衡量和评价情况时，注册会计师应当关注下列信息：1关键业绩指标；2业绩趋势；3预测、预算和差异分析；4管理层和员工业绩考核与激励性报酬政策；5分部信息与不同层次部门的业绩报告；6与竞争对手的业绩比较；7外部机构提出的报告。,三、了解被审计单位的内部控制,1、内部控制概念2、内部控制目标3、内部控制要素4、对内部控制了解的程度5、了解内部控制的步骤,三、了解被审计单位的内部控制,1内部控制：一种方法和措施，它所要达到的目的是，保证资产的完全完整、保证财务资料的可靠性、保证规章制度的执行。2内部控制的目标：（1）财务报告的可靠性；（2）经营的效率和效果；（3）在所有经营活动中遵守法律法规的要求。内部控制的核心作用：帮助企业达成其目标，同时在运营过程中避免各种错误和意外引发的风险。,3内部控制要素,（1）控制环境；（2）风险评估；（3）控制活动；（4）信息与沟通；（5）监督。,（1）控制环境：控制环境的含义包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。被认为是组织的“高层基调”控制环境是其他四个要素的保护伞，如果没有一个有效的控制环境，其他四个要素不论质量如何，都不可能形成有效的内部控制一项针对美国10年内会计舞弊的研究表明，84%的舞弊案涉及企业高层,控制环境包括：对诚信和道德价值观念的沟通与落实；对胜任能力的重视；治理层的参与程度；管理层的理念和经营风格；组织结构、职权与责任的分配；人力资源政策与实务。,组织内部一些因素可表明控制环境的效果：明确的授权、责任和业绩考评、对管理层使用有效的监督方法业务能力强且独立的内部审计部门明确阐述和以文件形式记录的人事政策按时召开董事会和审计委员会会议,（2）风险评估,风险评估：企业内部应建立一套：确定目标确认事项评估风险应对风险的良好风险评估机制，有利于企业规避风险例如：经营海外业务的公司，是否采取了有效措施规避汇率波动风险中航油失败：根据中航油的风险管理手册，每名交易员亏损20万美元时，交易员要向风险管理委员会汇报；亏损达37.5万美元时，向CEO汇报；亏损至50万美元时，则必须斩仓。但当时在中航油发生的情况是，交易员没有报，交易员所在的部门没有报，风险管理部门也没有报，财务部也没有监管。这几个管理机制都失灵了。,对财务报表的风险评估：管理层对于报表按照适当的会计准则编制有关的风险识别与分析例如：某公司由于技术的迅猛发展，常以低于存货成本的价格出售产品，公司应该设置适当的控制应对存货高估的风险。一旦确认风险，管理层要估计该风险的重要性，评价风险发生可能性，采取必要措施将风险降低至可接受水平审计师：通过调查表和与管理层的讨论获得对管理层风险评估过程的了解，以确定管理层如何识别与财务报告相关的风险、评价风险的重要性及发生可能性，及对应对风险可能采取的措施,（3）控制活动,控制活动：确保管理层指令得到贯彻执行以保证单位目标得以实现的政策和程序。五种类型：授权职责分离业绩评价实物控制信息处理,（4）信息与沟通,有关信息以某种形式在某个时段被识别、获得和沟通，促使员工采取一定的措施或行动来履行自己的职责。有效实施内控的保障。例如：股东、董事、监事履行职责时，必须适当得到充分的相关信息；股东分散、不参与企业的经营管理，董事会按规定适时披露相关信息，保障所有股东的合法权益。,与财务报表相关的信息系统：用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。包括人工和自动化程序。审计人员了解：被审计单位交易的主要类别这些交易是如何发生的现有会计记录及其性质交易从发生到完成是如何处理的，包括运用计算机的程度和性质财务报告编制的细节和性质，包括进入交易及其调整的总账的程序,与财务报表相关的信息系统应当与业务流程相适应举例：在美国，大多数汽油都是自助出售，这种全自动的方法对加油站而言，会产生多种财务结果：加油站将该项交易确认为销售，自动记入计算机控制的销售日记账汽油库存根据客户的加油量自动更新加油站确认应收信用卡公司的账款,（5）监督,管理层评估内部控制系统在一定时期内运行质量的过程。包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。包括：管理控制方法：被审计单位是否定期评价内部控制；管理层是否及时纠正控制运行中的偏差管理层是否定期编制银行存款余额调节表进行复核内部审计：是否存在协助管理层监督内部控制的职能部门；管理层是否采纳内部审计人员和注册会计师有关内部控制的建议,内部控制总结：,内控目标：3个内控要素：5个有效的内部控制必须具备全部5个要素在设计、执行内部控制和评价其有效性的过程中，判断仍然起重要作用,2020/5/1,36,2020/5/1,37,三、了解被审计单位的内部控制,1、内部控制概念2、内部控制目标3、内部控制要素4、对内部控制了解的程度5、了解内部控制的步骤,4、对内部控制了解的程度,审计准则要求：注册会计师仅需要了解与评价与财务报表审计相关的内部控制，并非被审计单位所有内部控制了解内部控制的内容：评价内部控制的设计获取控制设计、执行的审计证据,评价控制的设计控制能否有效地防止或发现并纠正重大错报？,控制是否得到执行？控制是否存在以及是否得到被审计单位使用,是,否,控制中存在重大缺陷/弱点,向管理层和治理层报告,评估风险并针对评估的风险设计适当的审计方法,记录发现和结论,是,否,内部控制和评价控制风险的过程,第一阶段：获得和记录对内部控制的了解：设计和运行第二阶段：评价控制风险第三阶段：设计、执行和评价控制测试第四阶段：确定计划检查风险和实质性测试,5、了解内部控制的步骤,了解内部控制的步骤：第一步，识别重要业务流程和重要交易类别；第二步，识别和了解相关控制；第三步，执行穿行测试，证实对交易流程和相关控制的了解；第四步，进行初步评价和风险评估。,第一步识别重要业务流程和重要交易类别（1）将被审计单位经营活动划分为几个重要的业务循环（2）了解被审计单位及其环境基础上，确定重要交易类别、相关账户与相关认定（3）了解重要交易流程：交易在信息系统或人工系统中生成、记录、处理以及在财务报表中报告的程序。并进行记录,举例：对于一般制造业企业，销售收入和应收账款通常都是重要交易类别。CPA了解销售交易从交易从订单处理到形成销售明细账中信息生成、记录、处理以及在财务报表中报告的程序。由于销售交易涉及多个部门，CPA需询问销售部门、会计部门、仓库及物流部门相关人员,三种记录方式：文字说明法：用文字说明表达顾客订单的来源以及销售发票产生的方式流程图法：内部控制调查表法：,第二步识别和了解相关控制主要方法（1）询问被审计单位各级别负责人员“从高到低”询问方法（2）设置控制调查问卷：快速确认组织的关键流程中实施的控制程序（3）与被审计单位讨论：了解确保信息系统生成数据的完整性与准确性的控制。,第三步执行穿行测试，证实对交易流程和相关控制的了解穿行测试：全程测试，了解性测试。在对企业内部控制进行了解、复核时，在每一类交易循环中选择一笔或者若干比具有典型代表性业务进行测试，以验证企业内部控制的有效性的审计方法。审计师选取一张或几张反映交易类型的原始凭证，然后沿着整个会计处理过程对它们进行跟踪。在会计处理过程中的每一个阶段，审计师要询问、观察活动并检查已完成的凭证和记录。,举例：甲注册会计师针对销售交易，检查一笔交易从订单处理核准信用状况及赊销条款填写订单并准备发货编制货运单据订单运送递送追踪至客户或由客户提货开具销售发票复核发票的准确性并邮寄送至客户生成销售明细账汇总销售明细账过账至总账和应收账款明细账等交易的整个流程考虑之前对相关控制的了解是否正确和完整，并确定相关控制是否得到执行，这就是穿行测试。,作用1、帮助审计人员评估内部控制是否得以执行的有效手段。2、发现内部控制中存在的问题，评估控制风险,穿行测试法怎么去做?1、先将公司规范某项经济业务行为的制度按业务流程的方式描述出来；这表明公司的该项经济业务应该都是按所描述的业务流程运行的。2、抽取某几笔业务样本；3、要求受监察的单位提供所有所抽取业务样本的运行记录；4、按照流程环节，描述样本业务的实际运行情况；5、对照流程环节与要求，比较并记录没有做到位的地方。,注意：在执行穿行测试的过程中，注册会计师应当在每一个要执行处理程序或控制的环节上，询问被审计单位的员工，以了解他们对岗位职责的理解，并设法判断处理程序和控制是否得到执行更重要的是，注册会计师应当询问该员工，如果复核过程中发现了文件中的错误或其他差异，按规定他应该怎么做。如果可能，注册会计师可以检查发现过错误或其他差异的文件。,举例：在考核被审计单位对银行存款余额调节表的内部控制上，CPA执行穿行测试可以（1）复核一份或几份调节表，以确保所有相关的数据已准确及时地包括在调节表中（2）关注对异常事项的处理（3）询问当调节表揭示确实存在或可能存在错误时，应采取什么行动（4）询问错误是怎么发生的（5）获取在调节表过程中发现的错误得到改正的证据,第四步对控制风险的初步评价,控制风险矩阵：识别审计目标：销售的发生目标、完整性目标识别现有控制：是否存在职责分离、授权审批等将控制与相关审计目标相联系：确定和评价控制缺陷、重大缺陷和重大弱点举例：西波尔公司销售交易的控制风险矩阵,第四步对控制风险的初步评价,注册会计师对控制的评价结论可能是：（1）所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报，并得到执行；（2）控制本身的设计是合理的，但没有得到执行；（3）控制本身的设计就是无效的或缺乏必要的控制。注意：上述评价结论只是初步结论，仍可能随控制测试后实施实质性程序的结果而发生变化。,总结：,在了解和评价内部控制时，重要的是控制是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报，能否实现控制目标,笑傲香府为一大型饮食企业，因人员流动性强，公司每周核发上周的员工工资，员工工资按计时工资制，并通过工时卡登记工作时间。计时员小王每周末将员工的工时卡和工资卡收集起来，交给财务中心计算机录入人员小刘。因采用先进的计算机处理系统，小刘录入的数据无法更改。小刘录入数据后，由财务中心会计员老张根据所输入数据核算应付工