审计风险评估与应对课件

1、1、1、1-2审计风险的评价和应对，标准： 1121号标准了解被审计机构及其环境，重大错误报告风险1201号标准计划审计业务1231号标准对评价的重大错误报告风险实施的程序，刘爱松，目录1/2风险主导审计的意义风险评价2.1理解被审计机关及其环境2.2理解被审计机关内部控制的概念2.2.2理解内部控制的发展历史2.2.3评价内部控制的要素2.3评价重大错误报告风险2、2、2、目录2/2应对审计风险3.1报告级别风险3.2应对认证级别风险了解审计机构的情况：另一种想法(阅读资料)，3，4，4，风险导向审计，风险导向审计：执行审计是风险评估风险导向审计的想法可以用下图表示：5，5，接受新客户和继续

2、接受旧客户，制定审计计划，结束审计后发行审计报告。 6、6、理解被审计部门及其环境的重要性，理解被审计部门及其环境是必要的步骤，特别是注册会计师在以下重要环节为职业判断提供了重要基础： (1)确定重要性水平，根据审计流程评价重要性水平的判断是否恰当(二)。 考虑会计政策的选择和运用是否适当，以及财务报表的列信息(包含公开，以下相同)是否适当，识别7、7、(3)应特别考虑的区域。 (4)确定实施分析程序时使用的期望值；(5)进一步设计并实施审计流程，以将审计风险降低到可接受的水平，包括相关交易、管理层运行持续经营假设的合理性，或者交易是否具有合理的商业目的等(6) 概括地说，了解被审计部门的环境

3、和环境，其目的是确定重要性和审计风险水平，决定审计，获得充分合适的审计证据，实现审计目标。 审计的决定包括什么样的取证方法？ 你要选多少样品？样品的选择方法什么时候进行取证？9、9，如何获得必要的信息？ 注册会计师应实施以下风险评估流程，了解被审计机关及其环境(p.57-59):(1)咨询被审计机关的管理层和内部其他相关人员；(2)分析程序(3)观察和检查。 从被审计机关外部取得相关信息。 10，10，应理解的内容(p.59 )，(1)行业状况、法律环境和监督环境及其他外部因素(2)被审计机关的性质(3)被审计机关的会计政策的选择和运用(4)被审计机关的目标、战略及相关经营风险，11，11，(

4、5)被审计机关的财务业绩的测量和评价如何理解被监查机关及其环境，Arens等人的第15版监查教材第8章显示如下图。 具体是p.214-218。 理解被审计机构及其环境，12、内部控制的例子，13、13、员工a、财产的保管，员工b、独立记录、员工c、员工c定期盘点a保管的财产，与b的记录对照，图2 :职务分离图，Question从该图说明职务分离的作用第29页，14，14，内部控制是审计机关为了合理确保财务报告的可靠性、经营效率和效果以及法律法规的遵守，由管理层、管理层和其他人员设计执行的政策和程序(1211号标准第46条)。 这实际上是COSO定义的内部控制。 内部控制制度概念，15，15，C

5、OSO和内部控制研究，COSO : committeeofsponsoringorganization-ions。 20世纪70年代末80年代初，美国许多公司因通货膨胀而破产，伴随着公司做假决算，注册会计师无法履行责任。 美国议会试图通过立法规范会计和审计行为，但没有成功。 因此成立了nationalcommmissiononfraudulentfinancialreporting (虚假财务报告全国委员会)，研究虚假财务报告。该委员会16、16由美国五个会计职业组织(IIA )、AICPA (美国注册会计师协会、总会计师协会(FEI )、美国会计学会(AAA )、管理会计师协会IMA )赞助

6、。 1987年，COSO发表了第一份虚假财务报告研究报告，指出内部控制对预防财务虚假至关重要，呼吁经理层报告内部控制系统的有效性。 报告显示，良好的内部控制环境、道德行为规范、职务和能干的审计委员会和稳健的内部控制是良好内部控制的重要组成部分。 17、17、1992年9月，COSO发表了被称为内部控制整体框架的研究报告书(通常COSO报告书)，提出了定义内部控制、评价内部控制的方法和程序。 2000年，COSO发表了一份名为企业风险模型的研究报告初稿，并扩展了1992年的研究报告。 资料来源： RobertMoeller，2004.sarbance-oxleyandthenewinternal

7、auditingrules，pp.123-124。 18、2006年，COSO发表财务报告管理小型公共公司指南2009年，发表监督内部控制指南2013年，发表了修订版的内部控制整体框架，COSO在1987年、1999年、2010年分别组织了关于虚假财务报告的研究、18、19、COSO系列研究报告、19、20、20、内部控制包括以下要素： (1)控制环境(2)风险评估流程(3)信息和交流(4)控制活动(5)监督活动。 内部控制要素图如下所示。 内部控制制度的要素(p.60 )，21，新框架中的内部控制要素图，21，从上面的图可以看出，内部控制有三个目标，五个要素，在各自的水平上存在，也就是说内部

8、控制应该无处不在。 2013年COSO修订的整体内部统制框架，将5个要素进一步细分为17个原则。22、23、23、控制环境、控制环境：控制环境是对企业内部控制的建立和实施有重大影响(增强或削弱)的要素的总称。 是内部控制的基础。 控制环境： (1)诚信和道德价值观的沟通与执行：通常是决定“顶级基调”的员工的行动动机(严格的惩罚制度、职务区分、内部审计，而不是现实目标)，24、24，(2)重视能干的能力：职场的配置、训练、检查和(3)治理层的参与程度：董事会、审计委员会的独立性、能力和工作方式(是否履行职务)。 (4)管理层的理念和经营风格。 (5)组织结构：组织是一种实际的人员配置方式，是通过

9、人员分工与合作实现组织目标的方法。 “三权分立”制度与美国的伊拉克政策。 控制环境的五个具体原则，25、26、26、风险评估流程，影响企业目标实现的因素是风险。 风险评估的三个步骤：评估风险的严重性，估计风险发生的可能性，考虑应该采取什么样的措施来管理风险。 风险评估的四项原则，27、28、28、控制活动是保证风险控制措施执行的政策和程序。 一般业绩评价：将实际情况与标准进行比较，发现异常情况时采取纠正措施的批准：一般批准和特别批准信息处理(充分记录):保证信息安全，29，29，实物控制：实物包括固定资产、库存、现金和有价证券等。 实物财产的保管制度、实物盘点独立审计：监视是否执行了相关措施的

10、职务分离(图2 ) :不兼容职务分离的目的是减少错误和不正当行为的发生。 控制活动的三项原则，30、31、31，信息与交流，交流是信息的交换。 信息系统和信息通信是两个不同的要素。 COSO为了简化内部控制的内容，将两者统合起来。 信息系统：信息系统既有正式的，也有非正式的，有内部的，也有外部的。 信息质量：高质量的信息是内部控制有效发挥作用的必要条件。32、32、信息交流、信息内部交流：沟通渠道畅通，信息交流双向，包括由上而下的交流和由下而上的交流在内的正式交流和非正式交流33、33、沟通方式、对外沟通(供应商、与顾客的沟通):双向的。 对外交流不仅是宣传性的，如果信息是外部利害关系人需要的

11、真正信息(否则，就和假帐一样)。 交流方式：网站、公告、演讲、视频、手册等多种方式。 信息交流三项原则，34、35、35、监督活动、监督：保证企业所采用的内部控制措施有效执行的程序。 内部审计就是一个例子。 持续评价内部控制的有效性，调整内部控制以适应变化的环境，保持有效性。 内部控制的评价步骤：理解内部控制设计认识采取的内部控制措施，测试内部控制的有效性，得出结论。 与内部控制的评价一致。 监督活动的两个原则，36、如何判断内部控制是否有效？ 有效性的定义：合理保证实现组织目标。 具体来说，存在内部控制的五要素及其原则，发挥作用的五要素有机地关联，共同发挥作用，理解37、38、38、38，内

12、部控制的目的，如果内部控制有效，企业可以合理地保证实现其报告目标，即相关的规则， 意味着根据规定和规范以及企业内部的报告要求制作各种报告，意味着会计报告很有可能根据会计标准的要求作成。 相反，报告书中出现重大误报的可能性很高。 内部控制的评价提供了环境证据。 39、审计风险、审计风险是指会计报告中存在重大误报和遗漏，审计员在审计后可能会发表不恰当的审计意见。 从审计目标的角度来理解的话，报告审计是为了评价会计报告是否满足会计标准。 报告书和规范不一致是误报(和失报)，如果有重大的误报(和失报)，CPA不发现而发表错误的意见是审计风险。 这表明，监查风险的发生，首先存在误报(和漏报)，如果没有误

13、报(和漏报)就不存在监查风险。 存在误报(和泄露)的可能性被称为固有风险(Inherentrisk )。 审计风险总是与重要性相关联的。 重要的概念将在后面叙述，这里举几个例子来说明。40、41、重大误报审计风险和检查风险、42、审计风险两个级别、两个级别的重大误报风险：财务报表级别的重大误报审计风险和认定级别的重大审计风险。 认证级别的重大错误报告风险：固有风险和控制风险。 43、新审计风险模型、新标准审计风险模型审计风险=重大错误报告风险检查风险中，重大错误报告风险指财务报告在审计前可能存在重大错误报告。 的双曲正切值。 检查风险是指某个认定有错误，该错误单独或与其他错误一起严重，但注册会

14、计师可能无法发现该错误。44、旧的审计风险模型、审计风险=固有风险控制风险检查风险固有风险(InherentRisk ) :如果完全不存在与审计对象项目相关的内部控制制度，则该项目发生错误的可能性(IR )注册会计师无法控制，但必须进行估计控制风险(ControlRisk ) :某项目发生错误时，相关的内部控制制度中没有发现的可能性(CR )注册会计师虽然无法控制，但需要合理估计。 45、风险检查(detectrisk ) :发生错误，内部控制制度中没有发现，审计员没有发现的可能性(DR )。 审计风险模型的三个要素中，唯一能为注册会计师控制的。 原来的风险模型在认证水平上还在应用。2013年

15、应试审计教材p.110、46、47、审计风险模型形象、48、提出新的审计风险模型，可能是无法区分固有风险和控制风险评价的原因。 marke.ha skins markw.dir Smith.controntrandinerrentiscassessintecusessintitysessingsmentationoftheirinterdependencies . 6383、检查风险与重大错误报告风险的关系49、50、识别和评价重大错误报告风险的审计程序、1211号审计标准第96条注册会计师应当识别和评价财务报告水平和各种交易、账户馀额、报纸认定水平的重大错误报告风险。 在识别和评价重大错误报

16、告风险时，注册会计师必须实施以下审计程序： (1)在理解被审计机构及其环境的过程中识别风险，并考虑各种交易、账户馀额、报告，51、识别和评价重大错误信息风险的审计流程，以及将识别的风险与在认证级别可能发生误报的领域相关联(3)考虑识别的风险是否重大(4)考虑到识别的风险，财务报表有可能发生重大的误报。 52、可能表明被监察机构有重大误报风险和情况(28种情况)。 1211号审计标准第九十八条注册会计师应当关注以下事项和情况。 有可能表明被审计机构存在重大误报风险。 (1)在经济不稳定的国家和地区开展业务；(2)在高度变动的市场上开展业务；(3)在复杂的监督环境下开展业务；(4)持续经营和资产流

17、动性发生问题，包括重要客户的流失；(5)融资能力受到限制；(6)行业环境发生变化；53、(7) 供应链发生变化(8)开发新产品、提供新服务、进入新的业务领域(9)开拓新的经营场所(10 )发生重大收购、重组或其他非经常事项的情况(11 )计划销售分店或业务部门(12 ) 运用表外融资、特殊目的实体及其他复杂融资协议(14 )重大的相关人员交易(15 )缺乏能力的会计师，54，(16 )重要人员变动(17 )内部控制弱(18 )信息技术战略和经营战略不协调(19 )信息技术环境变化(20 )。 建立与新财务报告相关的重大信息技术系统(21 )经营活动或财务报告接受监督机构的调查(22 )过去有重大错误或本期末出现重大会计调整(23 )发生重大非常规则的交易的情况(24 )按照管理层特定意图记录的交易(25 ) 适用新公布的会计标准或相关会计制度(26 )会计计量过程复杂(27 )事项或交易在计量时有重大的不确定性(28 )未解决诉讼和负债。55、55、重大错误报告风险的应对、56、56、风险应对措施、1231号指南第三条规定：“注册会计师对评价的财务报告级别的重大错误报告风险决定综合应对措施，对评价的认证级别的重大错误报告风险进一步审计应该将审计风险降低到可接受的水平”，57，57，报告级风险的应对(没有教材)，注册会计师必须