上善若水的意思孔子问礼老子上善若..ppt

第3章风险评估与计划审计工作,主讲老师：叶新宇,了解风险评估总流程；掌握如何了解被审计单位及其环境；掌握如何评价企业整体内部控制；掌握经营风险、审计风险及其要素；掌握如何确定计划的重要性水平以及如何运用；熟悉如何制定总体审计策略；掌握具体审计计划与总体审计策略的关系。,学习目的与要求,3.1风险评估概述,实施风险评估程序,3.1.1风险评估总流程了解被审计单位及其环境而实施的程序称为“风险评估程序”。实施风险评估程序的目的为了识别和评估财务报表重大错报风险。,3.1风险评估概述续,3.1.2风险评估程序询问被审计单位管理层和内部其他相关人员；分析程序；观察和检查。可以印证对管理层和其他相关人员的询问结果，并可提供有关被审计单位及其环境的信息。（1）观察被审计单位的生产经营活动。（2）检查文件、记录和内部控制手册。（3）阅读由管理层和治理层编制的报告。（4）实地察看被审计单位的生产经营场所和设备。（5）追踪交易在财务报告信息系统中的处理过程（穿行测试）。,3.1.2风险评估程序,向管理层和财务负责人询问的事项：（1）管理层所关注的主要问题。如新的竞争对手、主要客户和供应商的流失、新的税收法规的实施以及经营目标或战略的变化等。（2）被审计单位最近的财务状况、经营成果和现金流量。（3）可能影响财务报告的交易和事项，或者目前发生的重大会计处理问题。如重大的购并事宜等。（4）被审计单位发生的其他重要变化。如所有权结构、组织结构的变化，以及内部控制的变化等。,3.1.2风险评估程序续,3.1.3风险种类与审计风险模型,企业出现经营失败，可能存在审计失败，也可能不存在审计失败。主要取决于注册会计师在审计过程中是否遵守了审计准则，是否存在过失行为。从理论上来说，有审计风险时，且没有遵守审计准则就会造成审计失败。,（一）经营风险及其对审计的影响经营风险是指企业由于经济或经营条件，比如经济萧条、管理决策失误、或者同行之间的恶性竞争等，导致债权人的借款不能归还或者无法实现投资人的预期收益。,3.1.3风险种类与审计风险模型续,经营风险及其对审计影响举例,3.1.3风险种类与审计风险模型续2,认定层次的错报风险,在既定的审计风险水平下，可接受的检查风险水平与认定层次重大错报风险的评估结果成反向关系。在审计风险模型中，重大错报风险是企业的风险，不受注册会计师的控制。注册会计师只能实施风险评估程序正确评估重大错报风险，并根据评估的两个层次的重大错报风险分别采取措施予以应对。,（二）审计风险模型审计风险是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。数学模型：审计风险=重大错报风险检查风险,3.1.3风险种类与审计风险模型续3,重大错报风险（简称特别风险）是指财务报表在审计前存在重大错报的可能性。确定特别风险时应考虑的事项：（1）风险是否属于舞弊风险；（2）风险是否与近期经济环境、会计处理方法和其他方面的重大变化有关；（3）交易的复杂程度；（4）风险是否涉及重大的关联方交易；（5）财务信息计量的主观程度，特别是对不确定事项的计量存在较大区间；（6）风险是否涉及异常或超出正常经营过程的重大交易,3.1.3风险种类与审计风险模型续4,特别风险通常与重大的非常规交易和判断事项有关非常规交易是指由于金额或性质异常而不经常发生的交易。非常规交易的特征：（1）管理层更多地介入会计处理；（2）数据收集和处理涉及更多的人工成分；（3）复杂的计算或会计处理方法；（4）非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制。判断事项会计估计、收入确认,3.1.3风险种类与审计风险模型续5,存在特别风险的项目主要包括：（1）管理层高度参与的，或错报可能性较大的交易事项或账户余额；（2）非常规的交易事项或账户余额，特别是与关联方有关的交易或余额；（3）长期不变的账户余额，例如滞销的存货余额或账龄较长的应收账款余额；（4）可疑的或非正常的项目，或明显不规范的项目；（5）以前发生过错误的项目；（6）期末人为调整的项目；,3.1.3风险种类与审计风险模型续6,认定层次的重大错报风险分为固有风险和控制风险固有风险是指假设不存在相关的内部控制，某一认定发生重大错报的可能性，无论该错报单独考虑，还是连同其他错报构成重大错报。控制风险是指某项认定发生了重大错报，无论该错报单独考虑，还是连同其他错报构成重大错报，而该错报没有被企业的内部控制及时防止、发现和纠正的可能性。控制的固有局限性，控制风险始终存在。固有风险和控制风险不可分割地交织在一起，有时无法单独进行评估，可以对两者进行单独评估，也可以对两者进行合并评估。,3.1.3风险种类与审计风险模型续7,检查风险检查风险是指某一认定存在错报，该错报单独或连同其他错报是重大的，但未能发现这种错报的可能性。检查风险取决于审计程序设计的合理性和执行的有效性。检查风险不可能降低为零：通常并不对所有的认定进行检查（抽样审计）；可能选择了不恰当的审计程序；审计过程执行不当；或者错误解读了审计结论。,3.2了解被审计单位及其环境,3.2.1了解被审计单位及其环境的内容行业状况、法律环境与监管环境以及其他外部因素所处行业的市场供求与竟争；客户的性质（所有权结构、治理结构、组织结构、经营活动、投资活动、筹资活动）；客户对会计政策的选择和运用：客户的目标、战略以及相关经营风险；客户财务业绩的衡量和评价；客户的内部控制。,3.2.1了解被审计单位及其环境的内容,（一）行业状况、法律环境与监管环境以及其他外部因素1.行业状况所处行业的市场供求与竟争；生产经营的季节性和周期性；产品生产技术的变化；能源供应与成本；行业的关键指标和统计数据。,3.2.1了解被审计单位及其环境的内容续,具体而言，需要了解：（1）被审计单位所处行业的总体发展趋势是什么？（2）处于哪一发展阶段？（3）所处市场的需求、市场容量和价格竞争如何？（4）该行业是否受经济周期波动的影响，以及采取了什么行动使波动产生的影响最小化？（5）该行业受技术发展影响的程度如何？（6）是否开发了新的技术？（7）能源消耗在成本中所占比重，能源价格的变化对成本的影响？（8）谁是客户最重要的竞争者，他们各自所占的市场份额是多少？（9）客户与其竞争者相比主要的竞争优势是什么？（10）客户业务的增长率和财务业绩与行业的平均水平及主要竞争者相比如何，存在重大差异的原因是什么？（11）竞争者是否采取了某些行动，如购并活动、降低销售价格、开发新技术等，对客户的经营活动产生影响？,3.2.1了解被审计单位及其环境的内容续2,2.法律环境及监管环境主要包括：适用的会计准则、会计制度和行业特定惯例；对经营活动产生重大影响的法律法规及监管活动；对开展业务产生重大影响的政府政策，包括赏币、财政、税收和贸易等政策；相关的环保要求。具体需要了解：（1）国家对某一行业的企业是否有特殊的监管要求（如对银行、保险等行业的特殊监管要求）；（2）是否存在新出台的法律法规（如新出台的有关产品责任、劳动安全或环境保护等），对客户有何影响；（3）国家货币、财政、税收和贸易等方面政策的变化是否会对客户的经营活动产生影响；（4）与客户相关的税务法规是否发生变化。,3.2.1了解被审计单位及其环境的内容续3,3.其他外部因素主要包括：宏观经济的景气度；利率和资金供求状况；通货膨胀水平及币值变动；国际经济环境和汇率变动。具体而言，需要了解：（1）当前的宏观经济状况以及未来的发展趋势如何？（2）目前国内或本地区的经济状况（如增长率、通货膨胀、失业率、利率等）怎样影响客户的经营活动？（3）客户的经营活动是否受到汇率波动或全球市场力量的影响。,3.2.1了解被审计单位及其环境的内容续4,(二)被审计单位的性质1了解所有权结构有助于识别关联方关系并了解被审计单位的决策过程；2了解治理结构可以对客户的经营和财务运作实施有效的监督；3了解组织结构是为了考虑复杂组织结构可能导致的重大错报风险，包括财务报表合并、商誉减值以及长期股权投资核算等问题4了解经营活动有助于识别预期在财务报表中反映的主要交易类别、重要账户余额和列报；5了解投资活动有助于关注客户在经营策略和方向上的重大变化；6了解筹资活动有助于评估客户在融资方面的压力，并进一步考虑被审计单位在可预见未来的持续经营能力。,3.2.1了解被审计单位及其环境的内容续5,(三)被审计单位对会计政策的选择和运用1）重要项目的会计政策和行业惯例2）重大和异常交易的会计处理方法3）在新领域和缺乏权威性标准或共识的领域，采用重要会计政策产生的影响4）会计政策的变更5）被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度关注：（1）是否采用激进的会计政策、方法、估计和判断；（2）财会人员是否拥有足够的运用会计准则的知识、经验和能力；（3）是否拥有足够的资源支持会计政策的运用，如人力资源及培训、信息技术的采用、数据和信息的采集等。,3.2.1了解被审计单位及其环境的内容续6,(四)被审计单位的目标、战略以及相关经营风险行业发展，及其可能导致的被审计单位不具备足以应对行业变化的人力资源和业务专长等风险；开发新产品或提供新服务，及其可能导致的被审计单位产品责任增加等风险；业务扩张，及其可能导致的被审计单位对市场需求的估计不准确等风险；新颁布的会计法规，及其可能导致的被审计单位执行法规不当或不完整，或会计处理成本增加等风险；监管要求，及其可能导致的彼事社单位法律责任增加等风险；本期及未来的融资条件，及其可能导致的被审计单位由于尧法满足融资条件而失去融资机会等风险；信息技术的运用，及其可能导致的被审计单位信息系统与业务流程难以融合等风险。,3.2.1了解被审计单位及其环境的内容续7,(五)被审计单位财务业绩的衡量和评价关注信息（1）关键业绩指标；（2）业绩趋势；（3）预测、预算和差异分析；（4）管理层和员工业绩考核与激励性报酬政策；（5）分部信息与不同层次部门的业绩报告；（6）与竞争对手的业绩比较；（7）外部机构提出的报告。关注内部财务业绩衡量的结果（1）关注被审计单位内部财务业绩衡量所显示的未预期到的结果或趋势；（2）管理层的调查结果和纠正措施；（3）相关信息是否显示财务报表可能存在重大错报。,1992年9月，COSO发布了知道内部控制实践的纲领性文件内部控制-整体框架指出：内部控制是由企业董事会、经理阶层及其他员工实施的，为财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性的目标的实现而提供合理保证的过程。,控制环境风险评估控制活动信息沟通信息监督,5个构成要素：,3.2.2内部控制整体框架,3.2.2内部控制整体框架续,COSO报告提出内部控制是用以促进效率，减少资产损失风险，帮助保证财务报告的可靠性和对法律法规的遵从。COSO报告认为内部控制有如下目标：1）经营的效率和效果（基本经济目标，包括绩效、利润目标和资源、安全），2）财务报告的可靠性（与对外公布的财务报表编制相关的，包括中期报告、合并财务报表中选取的数据的可靠性）3）符合相应的法律法规。,3.2.2内部控制整体框架续2,COSO报告中内部控制的职责管理层CEO最终负责整个控制系统。对大公司，CEO可把权限分配给高级经理，并评价其控制活动，然后，高级经理具体制定控制的程序和人员责任；对小公司，一切可更为直接，由最高经理具体执行。董事会管理层对董事会负责，由董事会设计治理结构，指导监管的进行。有效的董事会应掌握有效的上下沟通渠道，设立财务、内部审计等职能，防止管理层超越控制，有意歪曲事实来掩盖管理的缺陷。内部审计师内审对评价控制系统的有效性具有重要作用，对公司的治理结构行使者监管的职能。内部其他人员明确各自的职责，提供系统所需的信息，实现相应的控制；对经营中出现的问题，对不合法、违规行为有责任与上级沟通。外部人员公司的外部人员也有助于控制目标的实现，如外部审计可提供客观独立的评价，通过财务报表审计直接向管理阶层提供有用信息；另如法律部门、监管部门、客户、其他往来单位、财务分析师、信用评级公司、新闻媒体等也都有助于内部控制的有效执行。,3.2.2内部控制整体框架续3,自1992年美国COSO委员会发布COSO内部控制整合框架以来，该框架已在全球获得广泛的认可和应用，但理论界和实务界一直不断对其提出一些改进建议，强调内部控制整合框架的建立应与企业风险管理相结合。2002年颁布的萨班斯法案也要求上市公司全面关注风险，加强风险管理，在客观上也推动了内部控制整体框架的进一步发展。2003年7月，美国COSO委员根据萨班斯法案的相关要求，颁布了“企业风险管理整合框架”的讨论稿，该讨论稿是在内部控制整合框架的基础上进行了扩展而得来的，2004年9月正式颁布了企业风险管理整合框架（COSO-ERM），标志COSO委员会最新的内部控制研究成果面世。COSO企业风险管理的定义：“企业风险管理是一个过程，受企业董事会、管理层和其他员工的影响，包括内部控制及其在战略和整个公司的应用，旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。”在内部控制整合框架五个要素的基础上，COSO企业风险管理的构成要素增加到八个：（1）内部环境；（2）目标设定：（3）事项识别；（4）风险评估；（5）风险应对；（6）控制活动；（7）信息与沟通；（8）监控。八个要素相互关联，贯穿于企业风险管理的过程中。,COSO对内部控制认识的演进,3.2.3内部控制的固有限制,内部控制无论如何设计和执行，只能对财务报告的可靠性提供合理的保证。固有限制：（1）在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效；（2）可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。小型被审计单位拥有的员工通常较少，业主凌驾于内部控制之上的可能性较大，考虑一些关键领域是否存在有效的内部控制。,3.2.3内部控制的固有限制续,3.2.4对风险评估的项目组讨论,讨论容易发生财务报表舞弊的可能性与未参加讨论的小组成员进行沟通,头脑风暴,3.2.4对风险评估的项目组讨论续,3.3.1重要性的定义,3.3重要性水平的确定与运用,重要性取决于在具体环境下对错报金额和性质的判断。如果一项错报单独或连同其他错报可能影响财务报表使用者依据财务报表作出的经济决策，则该项错报是重大的。重要性概念中的错报包含漏报；财务报表错报包括财务报表金额的错报和财务报表披露的错报。重要性包括对数量和性质两个方面的考虑；重要性概念是针对财务报表使用者决策的信息需求而言的；重要性的确定离不开具体环境；对重要性的评估需要运用职业判断。,3.3重要性水平的确定与运用续,3.3.2重要性与审计风险的关系反向关系重要性水平越高，审计风险（客观风险）越低；重要性水平越低，审计风险越高。,3.3.3确定计划的重要性水平,（一）从数量方面考虑重要性两个层次的重要性财务报表层次的重要性交易、账户余额、列报认定层次的重要性。1、财务报表层次重要性水平目的：对报表发表意见时确定报表是否公允反映。方法：选择一个恰当的基准，乘以适当的百分比。,销售收入和总资产具有相对稳定性，经常将其用作确定计划重要性水平的基准。,3.3.3确定计划的重要性水平续,3.3.3确定计划的重要性水平续2,选择百分比：通常运用职业判断合理选择以盈利为目的的企业，来自经常性业务的税前利润或税后净利润的5%，或总收入的0.5%；收益不稳定的或非盈利组织，费用总额或总收入的0.5%；共同基金公司（资产管理公司），净资产的0.5%。财务报表层次水平的确定：涉及多个重要性水平时，选择最低的。,3.3.3确定计划的重要性水平续3,重要性标准初步估计表被审计单位：编制人：XXX26/1/2008索引号：单位：万元会计期间或截止日：2007、12、31复核人：XXX26/1/2008页次：,3.3.3确定计划的重要性水平续4,2、认定层次重要性水平确定（1）可容忍错报认定层次的重要性水平称为“可容忍错报”，是认定层次可接受的最大错报。（2）确定认定层次重要性水平时要考虑的因素各类交易、账户余额、列报的性质及错报的可能性；各类交易、账户余额、列报的重要性水平与报表层次重要性水平的关系。,3.3.3确定计划的重要性水平续5,（3）方法,3.3.3确定计划的重要性水平续6,分配方法,重要性水平的分配单位：万元,3.3.3确定计划的重要性水平续7,账户（交易）重要性水平分配被审计单位：编制人：XXX26/1/2008索引号：单位：万元会计期间或截止日：2007、12、31复核人：XXX26/1/2008页次：,不分配的方法,3.3.3确定计划的重要性水平续8,一是假设报表层次的重要性水平为100万，则可根据各账户或交易的性质及错报或漏报的可能性，将各账户或交易的重要性水平确定为会计报表层次重要性水平的20%-50%。审计时，只要发现该账户或交易的错报或漏报超过这一水平，就建议被审计单位调整。最后，编制未调整事项汇总表，若未调整的错报或漏报超过100万，就建议被审计单位调整。二是各账户或交易的重要性水平为会计报表层次重要性水平的1/61/3。假设会计报表层次的重要性水平为90万，应收账款的重要性水平为这一金额的1/4，存货为1/5，应付账款为1/5，则其重要性水平的金额分别为22、5万、18万和18万。,3.3.3确定计划的重要性水平续9,（二）从性质方面考虑重要性1.涉及到舞弊与违法的错报或漏报；2.可能引起履行合同义务的错报或漏报；3.影响收益趋势或其他趋势变化的错报或漏报(联系宏观经济背景和行业状况进行考虑)。4.影响对用于评价被审计单位财务状况、经营成果或现金流量的有关比率。5.影响对增加管理层的报酬。6.不期望出现的错报或漏报（比较敏感的项目，比如现金、银行存款、营业收入等的错报或漏报，很可能意味着有贪污盗窃行为）。7.小金额错报或漏报的累计，可能会对报表产生重大影响，对此应当关注。,审计重要性从金额和性质的考虑,3.3.3确定计划的重要性水平续10,【案例分析】,【资料】W公司主要从事小型电子消费品的生产和销售，产品销售以W公司仓库为交货地点。W公司日常交易采用自动化信息系统（以下简称系统）和手工控制相结合的方式，B注册会计师负责审计W公司2008年度财务报表。资料一：B注册会计师在审计工作底稿中记录了所了解的W公司情况及其环境，部分内容摘录如下：（1）由于2007年销售业绩未达到董事会制定的目标，W公司于2008年2月更换了公司负责销售的副总经理