第9章风险评估

主要内容总体要求风险评价程序了解被审计单位及其环境内部控制及其评价艰苦错报风险的评价、沟通与记录第九章风险评价2/4/20241总体要求要点中国注册会计师审计准那么1211号<了解被审计单位的环境并评价艰苦错报风险>注册会计师该当了解被审计单位及其环境，以充分识别和评价财务报表的艰苦错报风险，设计和实施进一步的审计程序2/4/20242总体要求要点了解被审计单位及其环境是一个延续和动态地搜集、更新和分析信息的过程，贯穿于整个审计过程的一直注册会计师该当运用职业判别确定需求了解被审计单位及其环境的程度CPA能否需求到达管理层对于被审计单位一样的了解程度?2/4/20243风险评价程序风险评价程序的类型讯问被审计单位的管理层和内部其他相关人员分析程序察看和检查2/4/20244风险评价程序讯问注册会计师除了讯问管理层和对财务报告负有责任的人员外,还应思索讯问内部审计人员、采购人员、消费人员、销售人员等其他人员，并思索讯问不同级别的员工，以获取对识别艰苦错报风险有用的信息2/4/20245风险评价程序分析程序注册会计师实施分析程序有助于识别异常的买卖或事项，以及对财务报表和审计产生影响的金额、比率和趋势假设运用了高度汇总的数据，实施分析程序的结果仅能够初步显示财务报表存在艰苦错报风险，注册会计师该当将分析结果连同识别艰苦错报风险时获取的其他信息一并思索2/4/20246风险评价程序察看与检查察看被审计单位的消费运营活动检查文件、记录和内部控制手册阅读由管理层和治理层编制的报告实地察看被审计单位的消费运营场所和设备追踪买卖在财务报告信息系统中的处置过程〔穿行测试〕2/4/20247风险评价程序工程组内部讨论讨论的目的〔交流信息与分享见解〕讨论的内容〔运营风险、错报领域与方式、舞弊风险〕讨论的人员〔关键成员、专家〕讨论的时间和方式〔继续交换信息、职业疑心〕2/4/20248了解被审计单位及其环境为什么重要？不深化了解被审计单位及其环境，根本就不能够知道被审计单位的财务报表能够在哪里会出错，也无法界定什么错报为“艰苦〞，更无法设计有效的审计程序去发现错报“战略系统审计观〞〔StrategicSystemAuditApproach〕要求审计人员具有更宽广的视野和更发散的思想2/4/20249了解被审计单位及其环境总体要求行业情况、法律环境与监管环境以及其他外部要素〔Industry,regulatory,andotherexternalfactors,includingtheapplicablefinancialreportingframework〕被审计单位的性质〔Natureoftheentity〕被审计单位对会计政策的选择和运用〔Theentity’sselectionandapplicationofaccountingpolicies〕2/4/202410了解被审计单位及其环境总体要求被审计单位的目的、战略以及相关运营风险〔Objectivesandstrategiesandtherelatedbusinessrisksthatmayresultinamaterialmisstatementofthefinancialstatements〕被审计单位财务业绩的衡量和评价〔Measurementandreviewoftheentity’sfinancialperformance〕被审计单位的内部控制〔Internalcontrol〕2/4/202411了解被审计单位及其环境外部环境要素行业情况法律及监管环境其他外部要素行业专门化〔industrySpecialization〕2/4/202412了解被审计单位及其环境被审计单位的性质一切权构造治理构造组织构造运营活动投资活动筹资活动子公司或附属公司〔subsidiary〕合营企业〔jointventures〕联营企业〔affiliatesorassociates〕2/4/202413了解被审计单位及其环境被审计单位对会计政策的选择和运用重要工程的会计政策和行业惯例艰苦和异常买卖的会计处置方法在新领域和缺乏权威性规范或共识的领域，采用重要会计政策产生的影响会计政策的变卦被审计单位何时采用以及如何采用新公布的会计准那么和相关会计制度2/4/202414了解被审计单位及其环境被审计单位的目的、战略以及相关运营风险运营风险源于对被审计单位实现目的和战略产生不利影响的艰苦情况、事项、环境和行动，或源于不恰当的目的和战略多数运营风险最终都会产生财务后果，从而影响财务报表；注册会计师该当根据被审计单位的详细情况思索运营风险能否能够导致财务报表发生艰苦错报2/4/202415了解被审计单位及其环境被审计单位的目的、战略以及相关运营风险审计风险=艰苦错报风险×检查风险运营风险剩余风险财务报表在审计前存在艰苦错报的能够性某一认定存在艰苦错报而CPA未能发现的能够性2/4/202416了解被审计单位及其环境被审计单位财务业绩的衡量和评价被审计单位内部或外部对财务业绩的衡量和评价能够对管理层产生压力，促使其采取行动改善财务业绩或歪曲财务报表2/4/202417内部控制及其评价内部控制的定义与目的〔COSO，1992〕内部控制〔internalcontrol〕是被审计单位为了合理保证财务报告的可靠性、运营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序2/4/202418内部控制及其评价内部控制的要素控制环境〔controlenvironment〕风险评价〔RiskAssessment〕控制活动〔ControlActivities〕信息系统与沟通〔InformationSystemandCommunication〕对于控制的监视〔Monitoring〕2/4/202419内部控制及其评价控制环境控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施控制环境设定了组织的基调〔toneofanorganization〕，影响着其员工的控制认识〔controlconsciousness〕，它是一切其他要素的根底2/4/202420内部控制及其评价控制环境对诚信和品德价值观念的沟通与落实对胜任才干的注重治理层的参与程度管理层的理念和运营风格组织构造职权与责任的分配人力资源政策与实务2/4/202421内部控制及其评价控制环境控制环境与财务报表层次艰苦错报风险有关控制环境本身并不能防止或发现并纠正各类买卖、账户余额、列报认定层次的艰苦错报2/4/202422内部控制及其评价风险评价在评价被审计单位风险评价过程的设计和执行时，注册会计师该当确定管理层如何识别与财务报告相关的运营风险，如何估计该风险的重要性，如何评价风险发生的能够性，以及如何采取措施管理这些风险内部控制与风险管理已更加严密的结合在一同，COSO最新内部控制规范的称号就是“企业风险管理框架〞2/4/202423内部控制及其评价控制活动控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括与授权、业绩评价、信息处置、实物控制和职责分别等相关的活动控制活动应根据风险评价的结果而设计，运营风险越高的领域，越需求有效的控制活动2/4/202424内部控制及其评价控制活动授权〔authorization〕〔普通授权与特别授权〕业绩评价〔performancereview〕信息处置〔informationprocessing〕〔普通控制与运用控制〕实物控制〔physicalcontrol〕职责分别〔separationofduties〕2/4/202425内部控制及其评价信息系统与沟通与财务报告相关的信息系统，包括用以生成、记录、处置和报告买卖、事项和情况，对相关资产、负债和一切者权益履行运营管理责任的程序和记录与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责，员工之间的任务联络，以及向适当级别的管理层报告例外事项的方式2/4/202426内部控制及其评价对于控制的监视对控制的监视是指被审计单位评价内部控制在一段时间内运转有效性的过程，该过程包括及时评价控制的设计和运转，以及根据情况的变化采取必要的纠正措施注册会计师该当了解被审计单位对控制的继续监视活动和专门的评价活动2/4/202427内部控制及其评价五个要素之间的关系2/4/202428内部控制及其评价与审计相关的控制与审计相关的控制，包括被审计单位为实现财务报告可靠性目的设计和实施的控制假设用以保证运营效率、效果的控制以及对法律法规遵守的控制与实施审计程序时评价或运用的数据相关，注册会计师该当思索这些控制能够与审计相关2/4/202429内部控制及其评价对内部控制了解的深度注册会计师在了解内部控制时，该当评价控制的设计，并确定其能否得到执行注册会计师在确定能否思索控制得到执行时，该当首先思索控制的设计对内部控制的了解并不涉及控制的运转有效性除非存在某些可以使控制得到一向运转的自动化控制，注册会计师对控制的了解并不可以替代对控制运转有效性的测试2/4/202430内部控制及其评价控制的人工与自动化成分内部控制的人工成分在处置以下需求客观判别或酌情处置的情形时能够更为适当：存在大额、异常或偶发的买卖存在难以定义、防备或预见的错误为应对情况的变化，需求对现有的自动化控制进展调整监视自动化控制的有效性2/4/202431内部控制及其评价控制的人工与自动化成分注册会计师该当思索人工控制在以下情形中能够是不适当的：存在大量或反复发生的买卖事先可预见的错误可以经过自动化控制得以防备或发现控制活动可得到适当设计和自动化处置2/4/202432内部控制及其评价对内部控制了解的两个层面整体层面业务流程层面业务流程层面内部控制的分为两种：预防性控制〔preventivecontrol〕检查性控制〔detectivecontrol〕2/4/202433内部控制及其评价内部控制的局限性在决策时人为判别能够出现错误和由于人为失误而导致内部控制失效能够由于两个或更多的人员进展串通或管理层凌驾于内部控制之上而被躲避无论内部控制如何健全，CPA都必需对认定实施本质性程序，不得将本质性程序仅集中于例外事项上，也不能未经评价，直接将艰苦错报风险设定为最大值2/4/202434艰苦错报风险的评价、沟通与记录识别和评价艰苦错报风险的审计程序在了解被审计单位及其环境的整个过程中识别风险，并思索各类买卖、账户余额、列报将识别的风险与认定层次能够发生错报的领域相联络思索识别的风险能否艰苦思索识别的风险导致财务报表发生艰苦错报的能够性2/4/202435艰苦错报风险的评价、沟通与记录特别风险〔significantrisk〕风险能否属于舞弊风险风险能否与近期经济环境、会计处置方法和其他方面的艰苦变化有关买卖的复杂程度风险能否涉及艰苦的关联方买卖财务信息计量的客观程度，特别是对不确定事项的计量存在较大区间风险能否涉及异常或超出正常运营过程的艰苦买卖2/4/202436艰苦错报风险的评价、沟通与记录特别风险〔significantrisk〕特别风险通常与艰苦的非常规买卖和判别事项有关非常规买卖是指由于金额或性质异常而不经常发生的买卖判别事项通常包括作出的会计估计2/4/202437艰苦错报风险的评价、沟通与记录财务报表的可审性〔auditability〕假设经过对内部控制的了解发现以下情况，并对财务报表部分或整体的可审计性产生疑问，注册会计师该当思索出具保管意见或无法表表示见的审计报告被审计单位会计记录的情况和可靠性存在艰苦问题，不能获取充分、适当的审计证据以发表无保管意见对管理层的诚信存在严重疑虑必要时，注册会计师该当思索解除业务商定2/4/202438艰苦错报风险的评价、沟通与记录仅经过本质性程序无法应对的艰苦错报风险在被审计单位对日常买卖采用高度自动化处置的情况下，审计证据能够仅以电子方式存在，其充分性和适当性通常取决于自动化信息系统相关控制的有效性，注册会计师该当思索仅经过实施本质性程序不能获取充分、适当审计证据的能够性2/4/202439艰苦错报风险的评价、沟通与记录与治理层和管理层的沟通注册会计师该当及时将留意到的内部控制设计或执行方面的艰苦缺陷告知适当层次的管