审计培训陈小刚风险导向审计

1、 风险导向审计 免责声明 本次演讲的所有资料或解释(并不只限于下列投影片)(以下统称为材料)是以一般常用词汇编制而成的，且仅为本次演讲之用。该等材料仅可作为参考之用，而不应视为由演讲者所提供的意见或建议。 此外，由于在编制有关材料时受时间及适用的资料所限，可能并未知悉所有的事实或资料，因此该等材料并不应被视为全面完备的材料。而演讲者亦不会就材料的准确性、完整性或充分性进行任何陈述。就特定情况下使用该等材料时，应根据实际情况而酌情采用。使用者应当自行承担因应用该等材料的内容而产生的风险。演讲者并不会向任何第三方(包括你)承担任何责任(包括但不限于因疏忽所产生的责任)。 本次演讲的内容基于 201

2、0 年生效的国际审计准则，以及演讲者个人制定的拟于 2011 年 1 月 1 日起的 经验和理解。中国注册会计师实施的 新审计准则，目前正在征求意见阶段。其征求与国际审计准则 基本一致，但最终定稿的情况仍存在不确定性。因此本次1 2010 Deloitte Touche Tohmatsu 演讲内容概要 从审计总体目标险导向审计 风险导向审计概述：从业务承接到审计完成 审计业务承接的前提条件 审计业务的承接 签订审计业务约定书 6 审计计划风险导向审计的关键环节 确定重要性水平 了解被审计单位及其环境 识别重大交易、重大账户余额和重大披露项目 10识别和评估重大错报的风险，包括所有重大错报的特别

3、风险 2 2010 Deloitte Touche Tohmatsu 演讲内容概要（续） 1.对整个财务报告层面的重大错报风险，设计和实施相应的总体应对措施 2.对具体认定层面的重大错报风险，设计相应的具体审计程序 13.针对会计估计制订审计程序 4.执行审计计划规定的具体审计程序，必要时根据所发现的情况执行修订审计程序 5. 对经审计的报表执行分析性复核 6. 评估已发现的未更正错报对会计报表的影响 7. 评估审计证据是否充分 8. 执行期后事项复核等程序 3 2010 Deloitte Touche Tohmatsu 演讲内容概要（续） 9. 获取管理声明书 20. 出具审计报告 21.

4、审计工作底稿的归档管理4 2010 Deloitte Touche Tohmatsu 从审计总体目标险导向审计中国注册会计师审计准则第 1101 号（征求）（ 以下简称 1101 号征求） 第二十六条指 出：在执行财务报表审计工作时，注册会计师的 总体 目标是：（一）对财务报表整体是否不存在 错误导致的重大错报获取 合理保由舞弊或证， 1101 号征求第二十一条指出：合理保证是一种高度保证。当注册会计师获取充分、适当的 审计证据将审计风险降至可接受的低水平时，就 获取了合理保证。5 2010 Deloitte Touche Tohmatsu 从审计总体目标险导向审计（续） 1101 号征求第六

5、条指出：审计风险，是指当财务报表存在重大错报时，注册会计师发表不恰当审计意见的风险。审计风险取决于重大错报风险和检查风险。 1101 号征求第六条指出：检查风险，是指 如果某一错报单独或连同其他错报可能是重大 的，在将审计风险降至可接受的低水平时，注册 会计师实施的程序没有发现这种错报的风险。 1101 号征求第十七条指出： 重大错报风险，是指财务报表在审计前存在重大错报的风 险。认定层次的重大错报风险由固有风险和控制 风险两部分组成。6 2010 Deloitte Touche Tohmatsu. 从审计总体目标险导向审计（续） 由此可见，根据新的审计准则，财务报表审计本身就是一个降低审计风

6、险的过程，新审计准则规定的审计方法因此属于风险导向审计。 风险导向审计就是通过识别风险并将审计资源集中使用于存在重大风险的领域，从而达到以最高效率降低审计风险的目的。 7 2010 Deloitte Touche Tohmatsu. 风险导向审计概述：从业务承接到审计完成 风险导向审计，就是在从业务承接开始到出具审计报告的全过程中，不断识别和评估审计风险并针对所发现的风险采取相应措施降低审计风险，最终将风险降低至可接受水平并出具审计报告。 业务承接阶段，就要对所承接业务的总体风险进行评估， 并据此决定是否承接该业务以及该业务的风险水平，并根据初步确定的风险水平确定必须的质量控制程序。 审计计划

7、阶段，要通过了解被审计单位及其环境，识别财务报表层次的错报风险（如舞弊风险等）并确定总体应对措施。同时还要识别认定层次的错报风险，并据此制订具体计程序（包括内部控制测试程序和实质性测试程序）8 2010 Deloitte Touche Tohmatsu.风险导向审计概述：从业务承接到审计完成 （续） 审计实施阶段，需要根据审计中发现的错报等，重新考虑计划阶段对风险的评估。 审计报告阶段，需要对调整后的报表实施分析性复核，对发现的未更正错报进行汇总并评估其对财务报告整体的影响，最终确定所取得的审计证据是否已将审计风险降低到可接受水平。 9 2010 Deloitte Touche Tohmats

8、u. 审计业务承接的前提条件 1101 号征求第十三条： 执行审计工作的前提，是指管理层（有时涉及治理层）已认可并理解应当承担下列责任，这些责任构成了注册会计师按照审计准则的规定执行审计工作的基础： （一）按照适用的会计准则和相关会计制度的规定编制财务报表； （二）设计和实施内部控制，使得编制的财务报表不存在由舞弊或错误导致的重大错报； （三）向注册会计师提供必要的工作条件。这些必要的工作条件包括允许注册会计师接触与编制财务报表相关的所有信息，向注册会计师提供审计所需的其他信息，允许注册会计师在获取审计证据时不受限制地接触其认为必要的内部人员。 10 2010 Deloitte Touche

9、Tohmatsu. 审计业务承接的前提条件（续） 在中国，审计责任与会计责任划分不清，管理层以至于监管机构以审计责任代替会计责任，是最大的审计风险之一 管理层（及治理层）明确理解了自己的责任，才有可能投入足够资源以编制正确的财务报表，并建立内控制度防范报表错报，从而降低重大错报风险。由于审计风险是由重大错报风险和检查风险两个部分组成，重大错报风险降低就意味着审计风险降低。 如果管理层不能明确理解自己的责任（混淆审计责任和会计责任），或者对审计工作的范围加以限制，则会构成重大风险，影响重大时应拒绝承接审计业务 11 2010 Deloitte Touche Tohmatsu. 审计业务的承接 业

10、务承接是审计风险控制的第一关，拒绝承接风险过高的项目，可以大大降低事务所的审计风险。 在业务承接阶段，需要根据对客户情况的了解审计目的等因素，确定审计项目的整体风险。了解情况的手段，包括现场访问、查阅公开信息、通过信用调查机构进行背景调查等。 通常可以将承接的业务划分为一般风险、较高风险和高风险等不同类别，并针对风险类别选择执行不同的总体审计策略和内部质量控制程序。 业务承接阶段发现的风险，应当成为审计计划阶段风险评估的起点。 12 2010 Deloitte Touche Tohmatsu. 签订审计业务约定书 在决定承接业务后，必须签订审计业务约定书，才能开始审计工作 签订审计业务约定书，

11、除确定审计收费外，主要是以书面形式明确会计责任和审计责任，从而限定审计风险。 特别是在特殊目的审计中，要注意明确对审计报告用途的限制，必要时并可对索赔额设定上限，从而控制注册会计师的法律风险。 13 2010 Deloitte Touche Tohmatsu. 风险导向审计的关键环节审计计划 在审计计划阶段需要完成的工作包括： 确定重要性水平，从而确定重大错报的数量标准识别和评估重大错报风险 针对识别的重大错报风险制订总体应对措施和具体审计程序 审计计划是风险导向审计的关键环节，必须在项目负责合伙人和经理的指导下完成只有在审计计划阶段正确识别了重大错报风险，并制订了适当的应对措施和具体审计程序

12、，才能在审计实施阶段对重大风险领域实施充分适当的审计程序，将审计风险降低到可接受水平 14 2010 Deloitte Touche Tohmatsu. 确定重要性水平 重要性水平是判定重大错报的金额标准。 重要性水平越高，则出现重大错报的风险越低。因此，重要性水平的确定是风险导向审计的重要环节。 确定重要性水平是注册会计师的职业判断，财务报表整体的重要性水平通常按利润或收入的一定比例确定，某些行业（例如房地产）也可采用股东权益的一定比例来确定。 。 15 2010 Deloitte Touche Tohmatsu. 确定重要性水平（续） 在确定财务报表整体重要性水平后，还要确定一个低于该重要

13、性水平的“实际执行的重要性水平”作为确 定审计工作范围（例如：确定抽样测试样本量）的依据，该实际执行的重要性水平可以按财务报表整体重要性水平与预计的未更正错报之间的差额确定 16 2010 Deloitte Touche Tohmatsu. 了解被审计单位及其环境 了解被审计单位及其环境，是识别财务报表重大风险的第一步。 需要了解的内容包括： 被审计单位所在的行业及相关法律法规等外部环境被审计单位主要经营活动和经营战略、经营目标， 股权结构和法人治理结构、组织结构， 对重大会计政策的选择及其理由， 与财务报表重大错报相关的经营风险等。 被审计单位的内部控制情况 17 2010 Deloitte

14、 Touche Tohmatsu. 了解被审计单位及其环境（续） 通过了解被审计单位及其环境，可以对被审计单位的经营活动有初步了解，同时可能发现一些财务报表层次的重大错报风险。 通过了解被审计单位及其环境，还可以了解被审计单位的内部控制环境，对内部控制是否有助于会计报表的正确编制形成初步结论。 在了解被审计单位及其环境时，需要对舞弊引起重大错报的风险进行评估 18 2010 Deloitte Touche Tohmatsu. 识别重大交易、重大账户余额和重大披露项目 这里的重大交易、重大账户余额和重大披露项目， 是指可能会产生重大错报的交易、账户余额和披露项目。判断的标准包括定量因素和定性因素

15、，例如：项目金额、交易复杂程度、项目的经济性质、项目的交易数量。 应对管理层编制的未审计财务报表的项目和附注披露项目逐个进行分析评估，以识别哪些项目属于重大交易、重大账户余额和重大披露项目。 19 2010 Deloitte Touche Tohmatsu. 识别重大交易、重大账户余额和重大披露项目 金额超过计划重要性水平的项目，也可能因为不存在重大错报风险而不被列入重大交易、重大账户余额和重大披露项目（例如：实收资本，资本公积等 ） 金额小于计划重要性水平的项目，也可能由于其性质（例如：长短期借款、衍生金融工具等）重要或者存在重大低估风险（例如：预计负债）而需要列入重大交易、重大账户余额和重

16、大披露项目。 20 2010 Deloitte Touche Tohmatsu. 识别和评估重大错报的风险，包括所有重大错报的特别风险 需要识别两个层面的重大错报风险：整个财务报告层面的重大错报风险和具体认定层面的重大错报风险，以为审计程序的设计建立基础。 整个财务报告层面的重大错报风险，是指广泛影响整个财务财务报告各项目的风险，例如：管理层舞弊风险、管理层凌驾内部控制风险、外部经济环境压力导致的粉饰报表倾向等。 具体认定层面的重大错报风险，是指财务报表余额、交易类型和披露的具体认定层面的重大错报风险，例如：应收账款真实性认定的错报风险、销售收入完整性认定的错报风险，等等 21 2010 De

17、loitte Touche Tohmatsu. 识别和评估重大错报的风险，包括所有重大错报的特别风险（续） 计划阶段可以通过了解被审计单位及其环境，以及对未审计财务报表实施分析性复核，来识别财务报告的重大错报风险，并将这些风险区分为整个财务报告层面的错报风险和具体认定层面的错报风险 可以分析评估已确认的重大交易、重大账户余额和重大披露项目可能会由于哪些问题而发生差错，然后评估这些问题与哪些具体认定有关，从而识别出具体认定的错报风险， 计划阶段也可以逐项分析重大交易、重大账户余额和重大披露项目有哪些认定，每一个认定可能会因为什么原因发生错报，从而识别出具体认定的错报风险 22 2010 Delo

18、itte Touche Tohmatsu. 识别和评估重大错报的风险，包括所有重大错报的特别风险（续） 对于识别出的错报风险，还需要考虑其发生的可能性，以及其所导致的错报是否重大，只有发生的可能性较大并且会引起重大错报的风险，才是我们审计时需要予以考虑的。 对于识别出的重大错报风险，还要评估该风险本身是否重大，如果该风险是重大的，则属于重大错报的特别风险，是审计过程中重点关注的 在审计工作底稿中，应具体描述发现的重大错报风险及其所影响的认定，例如：销售分公司管理层的报酬与销售收入挂钩，因此存在夸大销售收入和提前确认收入的动机，影响到销售收入的真实性认定和截止性认定 23 2010 Deloit

19、te Touche Tohmatsu. 对整个财务报告层面的重大错报风险，设计和实施相应的总体应对措施 整个财务报告层面的重大风险，往往不能与具体的认定相联系，例如：管理层舞弊风险，对财务报告的所有项目的所有认定都会有影响。 对于整个财务报告层面的重大风险，需要有总体性的应对措施，包括： 保持高度的职业谨慎 派出有经验的审计人员，必要时咨询专家 合伙人与经理强化督导 在实施审计时更多采取突击检查等手段 强化质量保证复核程序 24 2010 Deloitte Touche Tohmatsu.对整个财务报告层面的重大错报风险，设计和实施相应的总体应对措施（续） 技术部门的积极介入 拒绝接受客户对报

20、告日期的不合理要求 了解和测试相关的内部控制 某些整个财务报告层面的重大错报风险，例如舞弊风险或者财务报告系统的重大缺陷，可能导致财务报告无法审计，则应出具无法表示意见报告或者辞聘 25 2010 Deloitte Touche Tohmatsu. 对具体认定层面的重大错报风险，设计相应的具体审计程序 对于具体认定层面的重大错报风险，应考虑针对相关的内部控制实施符合性测试，同时实施实质性测试（可以是实质性分析复核程序或细节测试程序） 对于具体认定层面的重大错报的特别风险，实施内部控制符合性测试的同时，必须实施细节测试程序 （如凭证抽查、函证等） 实质性测试如果是抽查，抽查样本量要根据是否存在重

21、大错报的特别风险、符合性测试的结果等因素来确定 26 2010 Deloitte Touche Tohmatsu. 对具体认定层面的重大错报风险，设计相应的具体审计程序（续） 实质性分析复核程序，关键是建立对账户金额的合理预期，该合理预期所依据数据的可靠性必须经过评估，简单的波动分析并不构成实质性分析复核程序 对凭证的细节测试程序，如果采用抽查的方法，则必须实施随机抽样，所测试的样本才具备代表性。 所设计的审计程序必须是针对相关的重大错报风险的，否则就是无效程序。例如:对于完整性认定的风险，仅从账面记录抽取样本进行检查，就不能实现审计目的。 审计计划完成后，必须经过审计经理和合伙人的复核批准

22、27 2010 Deloitte Touche Tohmatsu. 针对会计估计制订审计程序 会计估计的定义包括所有近似值（包括存在估计不 确定性时以公允价值计量的项目） 我们必须了解下列事项： 会计估计会计框架的要求 管理层如何识别可能导致会计估计的交易、事项和 情况 28 2010 Deloitte Touche Tohmatsu. 针对会计估计制订审计程序（续） 管理层如何作出会计估计，包括：o 其采用的模型或方法o 自上年度以来发生的任何方法变更o 针对会计估计的相关控制o 管理层是否已利用专家假设 o 会计估计的基础o 管理层是否已评估估计不确定性，如是，其如何评估 29 2010

23、Deloitte Touche Tohmatsu. 执行审计计划规定的具体审计程序，必要时根据所发现的情况执行修订审计程序 审计计划完成后，现场审计阶段应执行审计计划规定的具体审计程序 现场审计阶段，应根据实施审计程序的结果重新评估审计风险，主要包括 根据内部控制符合性测试的结果，调整实质性测试程序及其样本量 审计中如果发现计划阶段未识别的重大错报风险，则需要重新制订具体审计程序 审计中发现预料之外的错报，需要考虑原来对重大错报风险的评估是否适当 30 2010 Deloitte Touche Tohmatsu. 执行审计计划规定的具体审计程序，必要时根据所发现的情况执行修订审计程序（续） 整

24、个现场审计的过程，是对计划审计阶段的审计风险评估予以验证和修订的过程。对实施阶段发现的问题都应考虑其对审计风险的影响，而不仅仅是简单地提出调整建议。 31 2010 Deloitte Touche Tohmatsu. 对经审计的财务报表执行分析性复核等程序 审计工作完成后，还需要对经审计的财务报告执行分析性复核，以识别不正常的报表项目，发现可能存在的重大错报风险 该分析性复核程序与计划阶段的分析性复核程序基本类似，主要是分析是否存在不正常的趋势变化， 了解已发现的异常变化是否存在合理解释 32 2010 Deloitte Touche Tohmatsu. 评估已发现的未更正错报对财务报表的影响

25、 应编制工作底稿，汇总所有已发现的未更正错报，包括已知错报和可能错报 对所有未更正错当评估其对财务报表的整体影响，评估分为定量和定性两个方面 定量评估，就是分析总体错报金额是否超过重要性根据审计后的报表予以重新评估 定性评估，则是分析错报的性质是否重大，是否会对报表使用人产生误导。 33 2010 Deloitte Touche Tohmatsu. 评估审计证据是否充分 出具审计报告前，需要评估审计程序是否足够，取得的审计证据是否足以将审计风险降低到可接受水平 计划阶段确定的实际执行的重要性水平，是与预期错报金额相关的。如果实际错报金额超过预期错报金额，则实际执行的重要性水平需要相应调整。而实际执行的重要性水平与抽样测试样本量相关，因此可能导致需要调整样本量，追加实施审计程序。 如果报告阶段发现审计证据不充分，需要追加程序 。否则应出具保留意见或无法表示意见审计报告。34 2010 Deloitte Touche Tohmatsu. 执行期后事项复