第十三章风险评估课件

1、第十三章风险评估,第十三章 风险评估,第十三章风险评估,内容提要,本章介绍风险评估概述，风险评估程序以及内部控制方面知识。,第十三章风险评估,第一节 风险评估概述,一、 出台审计风险准则的背景 审计风险准则项目最早由国际审计与鉴证准则理事会（IAASB）起草，并受到联合工作组（Joint Working Group）和美国公共监督理事会（Public Oversight Board）的审计效率研究工作组（原美国注册会计师协会下设组织）的影响。 联合风险评估工作组于2002年10月发布了审计风险准则征求意见稿 审计风险准则在2004年12月15日之后正式施行。,第十三章风险评估,二、审计风险准则

2、体现出的重大变化 通过修订审计风险模型，要求注册会计师必须了解被审计单位及其环境，包括内部控制，以充分识别和评估财务报表重大错报的风险，针对评估的重大错报风险设计和实施控制测试和实质性程序 与现行审计准则相比，审计风险准则的重大变化体现在以下方面 要求注册会计师加强对被审计单位及其环境的了解 要求注册会计师在审计的所有阶段都要实施风险评估程序,第十三章风险评估,要求注册会计师将识别和评估的风险与实施的审计程序挂钩 要求注册会计师针对重大的各类交易、账户余额、列报和披露实施实质性测试 要求注册会计师将识别、评估和应对风险的关键程序形成审计工作记录，以保证执业质量，明确执业责任,第十三章风险评估,

3、三、对风险评估的总体要求 规定注册会计师应当了解被审计单位及其环境，以足够识别和评估财务报表重大错报风险，设计和实施进一步审计程序 了解被审计单位及其环境为下列职业判断提供重要基础 确定重要性水平 考虑会计政策的选择和运用是否恰当 识别需要特别考虑的领域，包括关联方交易、管理层运用持续经营假设的合理性，或交易是否具有合理的商业目的等 确定在实施分析程序时所使用的预期值 设计和实施进一步审计程序，以将审计风险降至可接受的低水平 评价所获取审计证据的充分性和适当性 评价对被审计单位及其环境了解的程度是否恰当，关键是看注册会计师对被审计单位及其环境的了解是否足以识别和评估财务报表重大错报风险,第十三

4、章风险评估,第二节 风险评估程序、信息来源以及项目组内部的讨论,一、风险评估程序和信息来源 为了解被审计单位及其环境而实施的程序称为“风险评估程序” 注册会计师应当实施下列风险评估程序，以了解被审计单位及其环境 询问被审计单位管理层和内部其他相关人员 分析程序 观察和检查,第十三章风险评估,询问被审计单位管理层和内部其他相关人员 询问被审计单位管理层和内部其他相关人员是注册会计师了解被审计单位及其环境的一个重要信息来源。注册会计师可以考虑向管理层和财务负责人询问下列事项 管理层所关注的主要问题 被审计单位最近的财务状况、经营成果和现金流量 可能影响财务报告的交易和事项，或者目前发生的重大会计处

5、理问题 被审计单位发生的其他重要变化,第十三章风险评估,注册会计师除了询问管理层和对财务报告负有责任的人员外，还应当考虑询问内部审计人员、采购人员、生产人员、销售人员等其他人员，并考虑询问不同级别的员工，以获取对识别重大错报风险有用的信息。 询问治理层，有助于注册会计师理解财务报表编制的环境 询问内部审计人员，有助于注册会计师了解其针对被审计单位内部控制设计和运行有效性而实施的工作，以及管理层对内部审计发现的问题是否采取适当的措施 询问参与生成、处理或记录复杂或异常交易的员工，有助于注册会计师评估被审计单位选择和运用某项会计政策的适当性,第十三章风险评估,询问内部法律顾问，有助于注册会计师了解

6、有关法律法规的遵循情况、产品保证和售后责任、与业务合作伙伴的安排（如合营企业）、合同条款的含义以及诉讼情况等 询问营销或销售人员，有助于注册会计师了解被审计单位的营销策略及其变化、销售趋势以及与客户的合同安排 询问采购人员和生产人员，有助于注册会计师了解被审计单位的原材料采购和产品生产等情况 询问仓库人员，有助于注册会计师了解原材料、产成品等存货的进出、保管和盘点等情况,第十三章风险评估,实施分析程序 观察和检查 观察被审计单位的生产经营活动 检查文件、记录和内部控制手册 阅读由管理层和治理层编制的报告 实地察看被审计单位的生产经营场所和设备 追踪交易在财务报告信息系统中的处理过程（穿行测试）

7、,第十三章风险评估,其他审计程序和信息来源 询问外部人员 阅读外部信息也可能有助于注册会计师了解被审计单位及其环境 二、项目组内部的讨论 讨论的目标 项目组内部的讨论为项目组成员提供了交流信息和分享见解的机会 讨论的内容 项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式。特别是由于舞弊导致重大错报的可能性 参与讨论的人员 讨论的时间和方式,第十三章风险评估,第三节 了解被审计单位及其环境,一、总体要求 行业状况、法律环境与监管环境以及其他外部因素 被审计单位的性质 被审计单位对会计政策的选择和运用 被审计单位的目标、战略以及相关经营风险 被审计单位财务业绩的

8、衡量和评价 被审计单位的内部控制,第十三章风险评估,二、行业状况、法律环境与监管环境以及其他外部因素 行业状况 识别与被审单位所处行业有关的重大错报风险 注册会计师应当了解被审计单位的行业状况，主要包括： 所在行业的市场供求与竞争 生产经营的季节性和周期性 产品生产技术的变化 能源供应与成本 行业的关键指标和统计数据,第十三章风险评估,法律环境及监管环境 适用的会计准则、会计制度和行业特定惯例 对经营活动产生重大影响的法律法规及监管活动 对开展业务产生重大影响的政府政策，包括货币、财政、税收和贸易等政策 与被审计单位所处行业和所从事经营活动相关的环保要求,第十三章风险评估,其他外部因素 宏观经

9、济的景气度 利率和资金供求状况 通货膨胀水平及币值变动 国际经济环境和汇率变动,第十三章风险评估,三、被审计单位的性质 识别关联方关系并了解被审计单位的决策过程 注册会计师应当主要从下列方面了解被审计单位的性质 所有权结构 治理结构 组织结构 经营活动 投资活动 筹资活动,第十三章风险评估,注册会计师应当了解被审计单位的经营活动，主要包括 主营业务的性质 与生产产品或提供劳务相关的市场信息 业务的开展情况 联盟、合营与外包情况 从事电子商务的情况 地区与行业分布 生产设施、仓库的地理位置及办公地点 关键客户 重要供应商 劳动用工情况 研究与开发活动及其支出 关联方交易,第十三章风险评估,注册会

10、计师应当了解被审计单位的投资活动，主要包括 近期拟实施或已实施的并购活动与资产处置情况 证券投资、委托贷款的发生与处置 资本性投资活动，包括固定资产和无形资产投资，以及近期或计划发生的变动 不纳入合并范围的投资。,第十三章风险评估,注册会计师应当了解被审计单位的筹资活动，主要包括 债务结构和相关条款，包括担保情况及表外融资 固定资产的租赁 关联方融资 实际受益股东 衍生金融工具的运用,第十三章风险评估,被审计单位对会计政策的选择和运用 重要项目的会计政策和行业惯例 重大和异常交易的会计处理方法 在新领域和缺乏权威性标准或共识的领域，采用重要会计政策产生的影响 会计政策的变更 被审计单位何时采用

11、以及如何采用新颁布的会计准则和相关会计制度,第十三章风险评估,五、被审计单位的目标、战略以及相关经营风险 目标、战略与经营风险 注册会计师应当了解被审计单位是否存在与下列方面有关的目标和战略，并考虑相应的经营风险 行业发展，及其可能导致的被审计单位不具备足以应对行业变化的人力资源和业务专长等风险 开发新产品或提供新服务，及其可能导致的被审计单位产品责任增加等风险 业务扩张，及其可能导致的被审计单位对市场需求的估计不准确等风险 新颁布的会计法规，及其可能导致的被审计单位执行法规不当或不完整，或会计处理成本增加等风险 监管要求，及其可能导致的被审计单位法律责任增加等风险 本期及未来的融资条件，及其

12、可能导致的被审计单位由于无法满足融资条件而失去融资机会等风险 信息技术的运用，及其可能导致的被审计单位信息系统与业务流程难以融合等风险,第十三章风险评估,六、被审计单位财务业绩的衡量和评价 在了解被审计单位财务业绩衡量和评价情况时，注册会计师应当关注下列信息 关键业绩指标 业绩趋势 预测、预算和差异分析 管理层和员工业绩考核与激励性报酬政策 分部信息与不同层次部门的业绩报告 与竞争对手的业绩比较 外部机构提出的报告,第十三章风险评估,知识点练习,单项选择题在进行风险评估时，C注册会计师通常采用的审计程序是（ ）。 A、将财务报表与其所依据的会计记录相核对 B、实施分析程序以识别异常的交易记录或

13、事项，以及对财务报表和审计产生影响的金额、比率和趋势 C、对应收账款进行函证 D、以人工方式或使用计算机辅助审计技术，对记录或文件中的数据计算准确性进行核对。 答案B,第十三章风险评估,多项选择题 按照中国注册会计师审计准则第1121号了解被审计单位及其环境并评估重大错报风险的规定，注册会计师对重大错报风险进行评估的主要工作包括（ ）。 A、了解被审计单位及其环境 B、了解被审计单位的内部控制 C、充分识别和评估财务报表重大错报风险 D、设计和实施进一步审计程序 答案ACD,第十三章风险评估,多项选择题 了解被审计单位及其环境时，注册会计师应当了解被审计单位重要项目的会计政策。一般而言，这些重

14、要性项目的会计政策包括（ ）。 A、收入确认方法，存货计价方法、借款费用资本化方法 B、投资的核算，固定资产的折旧方法、合并财务报表的编制方法 C、坏账准备、存货跌价准备和其他资产减值准备 D、无形资产的摊销政策和摊销方法 答案ABCD,第十三章风险评估,第四节 了解被审计单位的内部控制,一、内部控制的内涵和要素 内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序 内部控制的目标 设计和实施内部控制的责任主体是治理层、管理层和其他人员 实现内部控制目标的手段是设计和执行控制政策及程序,第十三章风险评估,+,=

15、,内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。 内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。,为什么 控制,控制 什么,谁来控制,+,帮助达成组织目标,风险:人，财物，信息,董事会、经理层、员工层,第十三章风险评估,29,内控的作用：舞弊三角理论,机会,借口,压力,第十三章风险评估,内部控制包括下列要素 控制环境 风险评估过程 信息系统与沟通 控制活动 对控制的监督,第十三章风险评估,31,内控框架五要素的关系,控制环境,风险评估,控制活动,信息沟通,监督,第十三章风险评估,

16、32,中国的内控发展：主要规范,第十三章风险评估,二、与审计相关的控制 仅考虑与财务报表编制相关的内部控制 包括为实现财务报告可靠性目标设计和实施的控制 其他与审计相关的控制 被审计单位有一些与审计无关的控制，注册会计师无须对其加以考虑 三、对内部控制了解的深度 评价控制的设计 评价标准 先考虑控制的设计 获取控制设计和执行的审计证据 询问、观察、检查和穿行测试 了解内部控制与测试控制运行有效性的关系 除非自动化控制，对控制的了解不能代替对控制有效性的测试,第十三章风险评估,四、内部控制的人工和自动化成分 考虑内部控制的人工和自动化特征及其影响 内部控制采用人工系统还是自动化系统，将影响交易生

17、产、记录、处理和报告的方式 人工为主系统，内部控制一般包括批准和复核业务活动，编制调节表并对调节项目进行跟踪。 信息技术的优势及相关内部控制风险 人工控制的适用范围及相关内部控制风险 相对自动控制，人工控制的可靠性较差 不适合人工控制的方面,第十三章风险评估,五、内部控制的局限性 内部控制的固有局限性 决策时人为判断可能出现错误和由于人为失误而导致内部控制无效 串通或凌驾于内部控制之上 内部行使控制职能的人员素质不适应岗位要求 内部控制一般针对经常而重复发生的业务,第十三章风险评估,六、控制环境 控制环境的含义 包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施

18、在评价控制环境的设计时，注册会计师应当考虑构成控制环境的下列要素，以及这些要素如何被纳入被审计单位业务流程 对诚信和道德价值观念的沟通与落实 对胜任能力的重视 治理层的参与程度 管理层的理念和经营风格 组织结构 职权与责任的分配 人力资源政策与实务,第十三章风险评估,37,COSO立方体：352,第十三章风险评估,38,内部环境,控制环境确定了管理层的基调，并影响人们的控制意识。这是所有其它内控要素的基础，提供了规则和结构。 控制环境是防范风险的首要防线。是监控内控有效性的起点。 在整个内控的设计中，COSO认为控制环境是最重要的,第十三章风险评估,对诚信和道德价值观念的沟通与落实 内部控制有

19、效性直接依赖于负责创建、管理、监控内部控制人员的诚信和道德价值观念 对胜任能力的重视 考虑主要管理人员和其他相关人员是否能够胜任承担的工作与职责 治理层的参与程度 关注被审计单位的财务报告 监督被审计单位的会计政策以及内部、外部的审计工作和结果 监督用于复核内部控制有效性的政策和程序设计是否合理，执行是否有效 管理层的理念和经营风格,第十三章风险评估,组织结构及职权与责任的分配 组织结构将影响权利、责任和工作任务在组织成员中的分配 注册会计师考虑的主要因素 人力资源政策与实务 涉及招聘、考核、晋升和薪酬等方面 注册会计师考虑的主要因素 小结 在确定构成控制环境的要素是否得到执行时，注册会计师应

20、当考虑将询问与其他风险评估程序相结合以获取审计证据； 控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报,第十三章风险评估,七、被审计单位的风险评估过程 被审计单位风险评估过程的含义 管理层应当确定可以承受的风险水平，识别这些风险并采取一定的应对措施 可能产生风险的事项和情形，p280. 风险评估过程作用是识别、评估和管理影响被审计单位实现经营目标能力的各种风险 对风险评估过程的了解 考虑的主要因素 目的是评价被审计单位风险评估过程的有效性,第十三章风险评估,42,风险评估,风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

21、,第十三章风险评估,八、信息系统与沟通 与财务报告相关的信息系统的含义 与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。 与财务报告相关的信息系统应当与业务流程相适应 对与财务报告相关的信息系统的了解 注册会计师应当特别关注由于管理层凌驾于账户记录控制之上，或规避控制行为而产生的重大错报风险，并考虑被审计单位如何纠正不正确的交易处理,第十三章风险评估,与财务报告相关的沟通的含义 与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责，员工之间的工作联系，以及向适当级别的管理层报告例外事

22、项的方式。 对与财务报告相关的沟通的了解,第十三章风险评估,45,信息与沟通,信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息， 确保信息在企业内部、企业与外部之间进行有效沟通,第十三章风险评估,控制活动 相关的控制活动的含义 控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动 授权 注册会计师应当了解与授权有关的控制活动，包括一般授权和特别授权。 业绩评价 注册会计师应当了解与业绩评价有关的控制活动，主要包括被审计单位分析评价实际业绩与预算（或预测、前期业绩）的差异，综合分析财务数据与经营数据的内在关系,第十三章风

23、险评估,信息处理 注册会计师应当了解与信息处理有关的控制活动，包括信息技术一般控制和应用控制。 实物控制 注册会计师应当了解实物控制，主要包括了解对资产和记录采取适当的安全保护措施，对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对 职责分离 注册会计师应当了解职责分离，主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。 对控制活动的了解 在了解控制活动时，注册会计师应当重点考虑一项控制活动单独或连同其他控制活动，是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。

24、了解和评估一般控制活动时考虑的主要因素,第十三章风险评估,48,控制活动,控制活动是企业根据风险评估结果，采用相应的控制措施，设计控制政策和控制程序，将风险控制在可承受度之内。 控制活动是指那些用来帮助保证管理指令有效执行的政策和流程。,第十三章风险评估,49,不相容职务分离 授权审批控制 会计系统控制 财产保护控制 限制接近； 财产清查； 保险；对账,控制活动概述,预算控制 合同管理 运营分析控制 绩效考评控制 危机管理：风险预警和突发事件应急处理机制,核心是分权、牵制和透明,应用指引第15、16号,第十三章风险评估,50,控制活动的类型,第十三章风险评估,十、对控制的监督 对控制的监督的含

25、义 对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。 注册会计师应当了解被审计单位对控制的持续监督活动和专门的评价活动。 持续的监督活动通常贯穿于被审计单位的日常经营活动与常规管理工作中 被审计单位可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价 了解对内部控制的监督 了解和评估考虑的主要因素,第十三章风险评估,52,内部监督,内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性， 是通过识别控制的缺陷和漏洞并持续改进，以创造效率。,第十三章风险评估,5

26、3,构成内部监督的三个要素,第十三章风险评估,54,内部监督的方式,日常监督是基础,专项监督是补充,获得内控执行的证据 内外信息印证 账实对比 内、外审计响应 管理层监督内控执行 定期考核员工 内部审计,高风险项目 重要的项目 内控环境的变化,第十三章风险评估,55,内控缺陷分类,按影响程度分： 重大(实质)缺陷 重要缺陷 一般缺陷。,第十三章风险评估,56,按形成原因分： 设计缺陷：指缺失必要的控制或者现有控制设计不当，致使即使按照设计执行了内控也不能达到目标。 例：中信银行网银系统现重大漏洞，2009年 运行缺陷：指某一恰当设计的控制要么没有按照设计运行，要么实施该控制的人员不具备有效实施

27、控制的必要授权或资格。,内控缺陷分类,第十三章风险评估,十一、在整体层面对内部控制了解和评估的总结 通常由项目组中对被审单位情况比较了解且较有经验的成员负责 了解内部控制的各构成要素时，注册会计师应当对被审计单位整体层面的内部控制的设计进行评价，并确定是否得到执行 财务报表层次的重大错报风险很可能源于薄弱的控制环境 应将整体层面内部控制状况与环境结合起来考虑,第十三章风险评估,十二、在业务流程层面了解内部控制 确定重要业务流程和重要交易类别 被审计单位经营活动的性质不同，所划分的业务流程也不同 重要交易类别与相关账户及其认定相联系 了解重要交易流程并进行记录 交易流程包括的工作 通过询问、检查

28、、观察和穿行测试了解 向负责处理具体业务人员的上级进行询问通常更有效 了解交易流程，用流程图或文字表述 确定可能发生错报的环节 设计控制的目标是为实现某些控制目标，控制目标与财务报表重大账户的相关认定相联系,第十三章风险评估,识别和了解相关控制 是否有必要进一步了解业务流程层面的控制 注册会计师对业务流程层面有关控制的了解和评价 控制的类型 有效控制应与错报发生的环节相关，并能降低错报风险 预防性控制与检查性控制 识别和了解相关控制 询问被审计单位各级别的负责人员 采取“由高到低”的询问方法 记录相关控制 评价重要业务流程记录充分性的标准,第十三章风险评估,执行穿行测试 穿行测试可以获取的证据

29、 如果不打算信赖控制，注册会计师仍需要执行穿行测试 确认以前对业务流程及可能发生错报环节的了解的准确性和完整性 初步评价和风险评估 对控制的初步评价 评价的可能结论 风险评估需考虑的因素 账户特征及已识别的重大错报风险 对被审计单位整体层面控制的评价 评价决策 对财务报告流程的了解 财务报告流程包括内容,第十三章风险评估,补充知识：穿行测试,穿行测试（walk through testing）：是指追踪交易在财务报告信息系统中的处理过程。这是注册会计师了解被审计单位业务流程及其相关控制时经常使用的审计程序。 在风险管理中,在正常运行条件下，将初始数据输入内控流程，穿越全流程和所有关键环节，把运

30、行结果与设计要求对比，以发现内控流程缺陷的方法。,第十三章风险评估,注册会计师在了解内部控制时，可以观察被审计单位的生产经营活动，检查文件、记录和内部控制手册，阅读由管理层和治理层编制的报告，实地察看被审计单位的生产经营场所和设备，追踪交易在财务报告信息系统中的处理过程(穿行测试)。 1、先将公司规范某项经济业务行为的制度按业务流程的方式描述出来；这表明公司的该项经济业务应该都是按所描述的业务流程运行的。 2、抽取某几笔业务样本； 3、要求受监察的单位提供所有所抽取业务样本的运行记录； 4、按照流程环节，描述样本业务的实际运行情况； 5、对照流程环节与要求，比较并记录没有做到位的地方。 例如甲

31、注册会计师针对销售交易，从订单处理一核准信用状况及赊销条款一填写订单并准备发货一编制货运单据一订单运送/递送追踪至客户或由客户提货一开具销售发票一复核发票的准确性并邮寄/送至客户一生成销售明细账一汇总销售明细账，并过账至总账和应收账款明细账等交易的整个流程，考虑之前对相关控制的了解是否正确和完整，并确定相关控制是否得到执行，这就是穿行测试。,第十三章风险评估,知识点练习,多项选择题因为内部控制存在下列（ ）固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证而不能提供绝对保证。 A、在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效 B、因为采用信息技术而记录未经授权或不存在的交易，或不正确地记录交易 C、可能因多个人员进行串通或管理层凌驾于内部控制之上而被规避 D、信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工。 答案AC,第十三章风险评估,判断题如果不拟信赖内部控制，注册会计师就无须对内部控制进行了解、测试和评价。 答案错误 判断题无论内部控制