风险评估培训教材(PPT 81页).ppt

1、审 计 学 AUDITING,任课老师:吴 敏,课件下载:， 密码：kjx2010 请勿修改！ 问题答疑：,第十三章 风险评估,本章重难点,1.风险评估程序的目的和内容 2.项目组内部讨论的内容 3.了解被审计单位及其环境的六个方面 重点掌握内部控制风险评估的步骤 4.评估重大错报风险 5.特别风险的评估,第一节 风险评估概述,风险 评估 程序,进 一 步 审 计 程 序,1.了解被审计单位及其环境,2.（必要时）控制测试,3.实质性程序,评估报表层和 认定层重大错报风险,测试内控有效性 重新评估认定层 重大错报风险,发现认定层重大错报 降低检查风险,一、审计风险准则,1.1101号注册会计师

2、的总体目标和审计工作的基本要求 2.1301号审计证据 3.1211号通过了解被审计单位及其环境识别和评估重大错报风险 4.1231号针对评估的重大错报风险采取的应对措施,审计风险准则的重大变化,（1）了解被审计单位及其环境是必须程序； （2）在审计所有阶段（不仅是计划阶段）都要实施风险评估程序。不得未经过风险评估，直接将风险设定为高水平； （3）将识别和评估的风险与实施审计程序挂钩； （4）实质性程序是必须程序； （5）记录识别、评估和应对风险的关键程序。,二、风险评估的作用,为职业判断提供重要基础： （1）确定重要性水平； （2）考虑会计政策的选择和运用、财务报表的列报是否适当； （3）识

3、别需要特别考虑的领域 关联方交易、持续经营假设； （4）确定实施分析程序时所使用的预期值； （5）设计和实施进一步审计程序； （6）评价审计证据的充分性和适当性。 CPA了解程度，要低于管理层了解的程度。,第二节 风险评估程序、信息来源以及项目组内部的讨论,一、风险评估程序和信息来源（一）风险评估程序 概念：为了解被审计单位及其环境而实施的程序 目的：识别和评估财务报表重大错报风险。 1.询问管理层和内部其他相关人员 2.分析程序 3.观察和检查,审计程序的类型,检查记录或文件,检查有形资产,重新计算,函证,观察,询问,重新执行,分析程序,8大审计程序,1.询问管理层和内部其他相关人员,（1）

4、管理层所关注的主要问题 （2）最近的财务状况、经营成果和现金流量 （3）可能影响财务报告的交易和事项 （4）其他重要变化,（1）询问治理层：报表编制环境； （2）询问内审人员：内控设计和运行有效性，管理层对内部审计发现的问题是否采取措施； （3）询问参与生成、处理或记录复杂或异常交易的员工：评估选择和运用某项会计政策的适当性； （4）询问法律顾问：法律的遵循情况、产品保证和售后责任、与业务合作伙伴的安排、以及诉讼情况等； （5）询问营销人员：营销策略及其变化、销售趋势以及与客户的合同安排； （6）询问采购人员和生产人员：原材料采购和产品生产等情况； （7）询问仓库人员：存货的进出、保管和盘点等

5、。,2.实施分析程序,预期值：历史数据、行业数据、预算数据 分析程序：风险评估程序 实质性程序 对财务报表的总体复核,3.观察和检查,印证对管理层和其他相关人员的询问结果，并可提供有关信息： （1）观察生产经营活动； （2）检查文件、记录和内部控制手册； （3）阅读由管理层和治理层编制的报告； （4）实地察看生产经营场所和设备； （5）追踪交易在财务报告信息系统中的处理过程（穿行测试），是了解被审计单位业务流程及其相关控制时经常使用的审计程序。,（二）其他审计程序和信息来源,1.其他审计程序外部信息 询问法律顾问、评估师、投资顾问和财务顾问等； 阅读外部信息（行业经济或市场环境等状况的报告、统

6、计数据等）。 2.其他信息来源（1）对新的审计业务，确定是否承接该业务。 （2）对连续审计业务，确定是否续约。 （3）考虑向被审计单位提供其他服务所获得的经验是否有助于识别重大错报风险。,二、项目组内部的讨论,（一）讨论的目标 了解在各自负责的领域中，由于舞弊或错误导致财务报表重大错报的可能性，并了解各自实施审计程序的结果如何影响审计的其他方面，包括对确定进一步审计程序的性质、时间和范围的影响。 （二）讨论的内容1.被审计单位的经营风险；2.财务报表容易发生错报的领域以及错报的方式；3.由于舞弊导致重大错报的可能性。,（三）参与讨论的人员项目合伙人；关键成员；专家 （四）讨论的时间和方式整个审

7、计过程，持续交换有关财务报表发生重大错报可能性的信息。,一、总体要求,了 行业状况、法律环境与监管环境以及其他外部环境 解 被 被审计单位的性质 审 计 被审计单位对会计政策的选择和运用 单 位 被审计单位的目标、战略以及相关经营风险 及 其 被审计单位财务业绩的衡量和评价 环 境 被审计单位的内部控制,第三节 了解被审计单位及其环境,二、行为状况、法律环境与监管环境以及其他外部因素,行业状况 外 部 法律环境和监管环境 环 境 其他外部因素,所在行业的市场供求与竞争 行 生产经营的季节性和周期性 业 产品生产技术的变化 状 能源供应与成本 况 行业的关键指标和统计数据,（一）具体行业状况（1

8、1条） （1）所处行业的总体发展趋势是什么？ （2）处于哪一发展阶段，起步、快速成长、成熟或衰退阶段？ （3）所处市场的需求、市场容量和价格竞争如何？ （4）是否受经济周期波动的影响，以及采取了什么行动使波动产生的影响最小化？ （5）该行业受技术发展影响的程度如何？ （6）是否开发了新的技术？,（7）能源消耗在成本中所占比重，能源价格的变化对成本的影响？ （8）谁是被审计单位最重要的竞争者，他们各自所占的市场份额是多少？ （9）被审计单位与其竞争者相比主要的竞争优势是什么？ （10）被审计单位业务的增长率和财务业绩与行业的平均水平及主要竞争者相比如何？存在重大差异的原因是什么？ （11）竞争者

9、是否采取了某些行动，如购并活动、降低销售价格、开发新技术等，从而对被审计单位的经营活动产生影响。,（二）法律环境及监管环境 原因： （1）某些法律法规或监管要求可能对被审计单位经营活动有重大影响，如不遵守将导致停业； （2）某些法律法规或监管要求（如环保法规）规定了被审计单位某些方面的责任和义务； （3）决定了被审计单位需要遵循的行业惯例和核算要求。 了解内容： （1）适用的会计准则、会计制度和行业特定惯例； （2）对经营活动产生重大影响的法律法规及监管活动； （3）政府政策：货币、财政、税收和贸易等政策； （4）环保要求。,（三）其他外部因素 （1）宏观经济的景气度 （2）利率和资金供求状况

10、 （3）通货膨胀水平及币值变动 （4）国际经济环境和汇率变动 （四）了解的重点和程度 重点放在对被审计单位的经营活动可能产生重要影响的关键外部因素以及与前期相比发生的重大变化上。,被审计单位的性质 所 治 组 经 投 筹 有 理 织 营 资 资 权 结 结 活 活 活 结 构 构 动 动 动 构,三、被审计单位的性质,（一）所有权结构：识别关联方关系并了解决策过程； （二）治理结构：对财务运作实施有效的监督； （三）组织结构：是否复杂，是否合理； （四）经营活动：识别主要交易类别、重要账户余额和列报； （五）投资活动：关注经营策略和方向重大变化； （六）筹资活动：影响持续经营能力。,四、被审计

11、单位对会计政策的选择和运用,（一）重要项目的会计政策和行业惯例； 收入确认方法、存货的计价方法、投资的核算、固定资产的折旧方法、还账准备、存货跌价准备和其他资产减值准备的确定，借款费用资本化方法，合并财务报表的编制方法等。（二）重大和异常交易的会计处理方法； （三）在新领域和缺乏权威性标准或共识的领域，采用重要会计政策产生的影响； （四）会计政策的变更； （五）被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度。,五、被审计单位的目标、战略以及相关经营风险,（一）目标、战略与经营风险 经营风险源于不利影响的重大情况或源于不恰当的目标和战略； 不能随环境的变化而做出相应的调整固然可能产

12、生经营风险。 但是，调整的过程也可能导致经营风险。,（二）经营风险对重大错报风险的影响 注册会计师了解被审计单位的经营风险有助于其识别财务报表重大错报风险； 但并非所有的经营风险都与财务报表相关； 注册会计师没有责任识别或评估对财务报表没有影响的经营风险。,目标,战略,经营风险,重大错报风险,进入海外市场,在当地成立合资公司,汇率风险 税收政策 当地文化 外汇管理 控制权 当地市场,投资核算 税收 外币折算,（三）被审计单位的风险评估过程 1.管理层通常制定识别和应对经营风险的策略； 2.注册会计师应当了解被审计单位的风险评估过程； 3.被审计单位的风险评估过程是被审计单位内部控制的组成部分。

13、,（一）了解的主要方面 （二）关注内部财务业绩衡量的结果 （三）考虑财务业绩衡量指标的可靠性 （四）对小型被审计单位的考虑,六、被审计单位财务业绩的衡量和评价,（一）了解的主要方面 （1）关键业绩指标； （2）业绩趋势； （3）预测、预算和差异分析： （4）管理层和员工业绩激励性报酬政策； （5）分部信息和不同层次部门业绩报告； （6）与竞争对手的业绩比较； （7）外部机构提出的报告。,（二）关注内部财务业绩衡量的结果 1.关注未预期到的结果或趋势； 2.管理层的调查结果和纠正措施； 3.是否显示财务报表可能存在重大错报。,（三）考虑衡量指标的可靠性 利用财务业绩指标，应当考虑相关信息是否可靠

14、，以及在实施审计程序时利用这些信息是否足以发现重大错报。 了解财务业绩的衡量与评价，是为了考虑管理层是否面临实现某些关键财务业绩指标的压力。如股东的预期，获得股票期权或管理层和员工奖金。,第四节 了解被审计单位的内部控制,一、内部控制的含义和要素 含义：被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。,练 习,理 解,1.目标是合理保证： （1）财务报告的可靠性； （2）提高经营效率、效果； （3）企业遵纪守法。 2.主体是治理层、管理层和其他人员 3.手段是设计和执行,财务 经营 合规 报告 目的 性目 内 目的

15、 的 部 控 控制环境 制 风险评估过程 五 信息系统与沟通 要 控制活动 被审计单位 素 对控制的监督,企业风险管理八要素,1.内部环境： 2.目标制定： 3.事项识别：识别可能有负面影响潜在事项； 4.风险评估：了解风险发生的可能性和如何影响目标的实现； 5.风险反应：规避风险、减少风险、共担风险、接受风险； 6.控制活动：风险反应方案得到执行的政策和程序； 7.信息和沟通： 8.监控：风险管理在管理层面和各部门持续得到执行。持续监控和个别评估,二、与审计相关的控制 审计目标：对财务报表是否不存在重大错报发表审计意见，并非对被审计单位内部控制的有效性发表意见； 需要了解和评价的内部控制只是

16、与财务报表审计相关的内部控制； 与审计无关的控制，无须考虑； 防止材料浪费的控制通常就与审计不相关。,三、对内部控制了解的深度 评价控制的设计，并确定其是否得到执行，但不包括对控制是否得到一贯执行的测试。（一）评价控制的设计：能够有效防止或发现并纠正重大错报；（二）获取控制设计和执行的审计证据；（1）询问；（2）观察特定控制的运用；（3）检查文件和报告；（4）追踪交易在财务报告信息系统中的处理过程（穿行测试）。 （三）了解内部控制与测试控制运行有效性关系 对控制的了解并不能够代替对控制运行有效性的测试。,四、内部控制的人工和自动化成分 （一）考虑内部控制的人工和自动化特征及其影响 内部控制采用

17、人工系统还是自动化系统，将影响交易生成、记录、处理和报告的方式。 在以人工为主的系统中，内部控制一般包括批准和复核业务活动，编制调节表并对调节项目进行跟踪。,（二）信息技术优势及相关内部控制风险 1.优势：可提高内部控制的效率和效果 （1）一贯运用事先确定的业务规则； （2）提高信息的及时性、可获得性及准确性； （3）有助于对信息的深入分析； （4）加强对被审计单位政策和程序执行情况的监督； （5）降低控制被规避的风险； （6）通过对操作系统、应用程序系统和数据库系统实施安全控制，提高不相容职务分离的有效性。,2.风险 （1）未能正确处理数据，或处理不正确的数据； （2）在未得到授权时访问数据

18、 (篡改、毁损数据)； （3）信息技术人员越权访问数据，破坏职责分工； （4）未经授权改变主文档数据； （5）未经授权改变系统或程序； （6）未能对系统或程序做出必要的修改； （7）不恰当的人为干预； （8）数据丢失的风险或不能访问所需要的数据。,（三）人工控制的适用范围及相关内部控制风险 1.优势 （1）存在大额、异常或偶发的交易； （2）存在难以定义、防范或预见的错误； （3）为应对情况的变化，需要对现有的自动化控制进行调整； （4）监督自动化控制的有效性。 2.风险 （1）容易被规避、忽视或凌驾； （2）可能不具有一贯性； （3）更容易产生简单错误。,人工控制使用的限制,在下列情形中可能

19、是不适当的： （1）存在大量或重复发生的交易； （2）事先可预见的错误能够通过自动化控制得以防范或发现； （3）控制活动可得到适当设计和自动化处理。,五、内部控制的局限性,1.决策时人为判断可能出错和由于人为失误导致内部控制失效； 2.人员串通或管理层凌驾于内部控制之上； 3.人员素质不高； 4.实施内控的成本效益问题； 5.不适用于不经常发生或未预计的业务。,六、控制环境,（一）控制环境的含义包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施 （二）对诚信和道德价值观念的沟通与落实 （三）对胜任能力的重视 （四）治理层的参与程度 （五）管理层的理念和经营风格 （

20、六）组织结构及职权与责任的分配 （七）人力资源政策与实务,控制环境对重大错报风险的评估具有广泛影响，但控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报。,七、客户风险评估过程,（一）风险评估过程的含义 作用：识别、评估和管理影响实现经营目标能力的各种风险； 风险评估过程包括识别与财务报告相关的经营风险，评估风险、防范风险； 应当了解风险评估过程和结果。,（二）对管理层风险评估过程的了解 1. 识别与财务报告相关的经营风险 2. 风险重要性3. 风险发生可能性 4. 采取措施管理风险,七、了解风险评估过程,（三）对被审计单位的风险评估的利用1. 风险评估过程有助于识别

21、财务报表重大错报风险。2. 评价风险评估过程的有效性。3. 询问管理层识别出的经营风险，并考虑这些风险是否可能导致重大错报。4. 如果发现与财务报表有关的风险因素，确定风险评估过程是否也发现了该风险。,以 银 行 为 例,1. 识别与财务报告相关的经营风险贷款无法收回 2. 风险重要性 3. 风险发生可能性 4. 采取措施管理风险 调查、审批,八、信息系统与沟通,（一）与财务报告相关的信息系统含义包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。,信息系统职能,（1）识别与记录所有的有效交易； （2）及时、详细的描述交易，对交易做出恰当分

22、类； （3）恰当计量交易，准确记录交易金额； （4）恰当确定交易生成的会计期间； （5）在财务报表中恰当列报交易。,八、信息系统与沟通,（二）对与财务报告相关的信息系统的了解 1.各类交易； 2.生成、记录、处理和报告的程序； 3.会计记录、支持性信息和财务报表中特定项目； 4.如何获取交易之外的对财务报表具有重大影响的事项和情况的信息，如应收账款计提坏账准备； 5.编制财务报告的过程，如作出重大会计估计和披露； 6.管理层凌驾于账户记录控制之上的风险。,（三）了解与财务报告相关的沟通,员工各自在内控的角色和职责 员工之间的联系 向适当级别的管理层报告例外事项的方式,九、控制活动,（一）控制活

23、动的含义 有助于确保管理层的指令得以执行的政策和程序（二）对控制活动的了解 重点是识别和了解针对重大错报可能发生的领域的控制活动。对整体层面的控制活动进行的了解和评估，主要是针对一般控制活动。,十、对控制的监督,（一）对控制的监督的含义 对控制监督的作用管理层的职责是建立和维护控制并保证其持续有效运行 对控制的监督的方法：持续的监督活动、专门的评价活动,（二）了解对内部控制的监督 1.是否定期评价内部控制。 2.人员在履行正常职责时，能够在多大程度上获得内部控制是否有效运行的证据。 3.与外部的沟通能够在多大程度上证实内部产生的信息或者指出存在的问题。 4.管理层是否采纳内审人员和以CPA有关

24、的建议。 5.管理层是否及时纠正控制运行中的偏差。 6.管理层根据监管机构建议是否及时采取纠正措施。 7.是否存在协助管理层监督内部控制的职能部门。,十一、在整体层面对内部控制了解和评估的总结,1.了解人员：熟悉情况、有经验的成员负责； 2.了解重点：内部控制的变化和舞弊的可能性； 3.了解方法：询问、观察特定控制的应用、检查文件和报告以及执行穿行测试等； 4.了解内容：整体层面的内部控制的设计和执行； 5.对了解的记录：对了解要点和实施的风险评估程序及其结果等进行记录，并对影响内部控制有效性的因素记录； 6.整体层面的内部控制与控制环境的关系： 7.整体层面的内部控制与业务流程层面控制有效性

25、的关系。,十二、在业务流程层面了解内部控制,1.了解时间：在初步计划审计工作时，确定财务报表中可能存在重大错报风险的重大账户及其相关认定。 2.了解步骤：（1）确定重要业务流程和重要交易类别；（2）了解重要交易流程，并记录获得的了解；（3）确定可能发生错报的环节；（4）识别和了解相关控制；（5）执行穿行测试，证实对交易流程和相关控制的了解；（6）进行初步评价和风险评估。,（一）确定重要业务流程和重要交易类别,将经营活动划分为几个重要的业务循环。 制造业企业：销售与收款循环、采购与付款循环、生产与存货循环、人力资源与工薪循环、筹资与投资循环等。 重要交易类别是指可能对财务报表产生重大影响的各类交

26、易。 重要交易类别应与相关账户及其认定相联系。,（二）了解重要交易流程，并进行记录,1.该类交易影响的重大账户及其认定； 2.已经识别的经营风险和财务报表重大错报风险； 3.交易类别生成、记录、处理和报告所涉及的业务流程。 记录：每一年的变化。 1.输入信息的来源； 2.所使用的重要数据档案； 3.重要的处理程序； 4.重要的输出文件、报告和记录； 5.基本的职责划分。 方法：（1）检查手册；（2）询问有关人员；（3）观察业务处理流程；（4）穿行测试。 以采购为例,（三）确定可能发生错报的环节,对于每一个环节要考虑是否有漏洞，控制措施是否完备？,（四）识别和了解相关控制,1.控制类型（1）预防

27、性控制：防患未然。会计、出纳（2）检查性控制：及时发现。余额调节表 2.识别和了解相关控制 识别控制，了解各种控制如何执行、由谁执行，以及执行中所使用的数据报告、文件和其他材料。 方法： “从高到低”询问各级别的负责人员,（五）执行穿行测试，证实对交易流程和相关控制的了解,执行穿行测试可获得下列方面的证据：（1）确认对业务流程的了解；（2）确认对重要交易的了解是完整的；（3）确认预防性控制和检查性控制信息准确性；（4）评估控制设计的有效性；（5）确认控制是否得到执行；（6）确认之前所做的书面记录的准确性。如果不打算信赖控制，仍需要执行穿行测试以确认以前对业务流程了解的准确性和完整性。记录于工作

28、底稿的内容：查阅的文件，穿行测试的程序以及结论。,（六）初步评价和风险评估,1.对控制的初步评价三个结论 设计、执行是良好，为低风险； 设计良好，但没得到执行，为中风险； 设计本身无效，不管是否执行，为高风险。 由于评价是在穿行测试完成后，在测试控制运行有效性之前进行的，因此，只是初步结论。,2.风险评估需考虑的因素（1）账户特征及已识别的重大错报风险。（2）对被审计单位整体层面控制的评价。 3.评价决策 （1）控制本身的设计是否合理。（2）控制是否得到执行。（3）是否更多地信赖控制并拟实施控制测试，从而减少拟实施的实质性程序。 对控制的了解和评价并不能够代替对控制运行有效性的测试。,（七）对

29、财务报告流程的了解,财务报告流程： （1）将业务数据汇总记入总账的程序； （2）在总账中生成、记录和处理会计分录的程序； （3）记录对财务报表常规和非常规调整的程序，如合并调整、重分类等； （4）草拟财务报表和相关披露的程序。 编制试算平衡表；汇总、编制、复核和过入会计分录；编制管理层对财务报表的内部分析等。,第五节 评估重大错报风险,一、识别和评估财务报表层次和认定层次的重大错报风险（一）识别和评估重大错报风险的审计程序1.识别风险，并考虑各类交易、账户余额、列报。2.识别的风险与认定层次可能发生错报的领域关系。3.识别的风险是否重大。4.风险导致财务报表发生重大错报的可能性。,（二）可能表明存在重大错报风险的事项和情况： （三）识别两个层次的重大错报风险 交易、账户余额、列报层次 财务报表层次,（四）控制环境对评估财务报表层次重大错报风险的影响控制环境对财务报表产生广泛影响，应当采取总体应对措施。 （五）控制对评估认定层次重大错报风险的影响控制可能与某一认定直接相关，也可能与某一认定间接相关。 （六）考虑财务报表的可审计性