《审计风险评估与应对课件.ppt》由会员分享,可在线阅读,更多相关《审计风险评估与应对课件.ppt(105页珍藏版)》请在三一办公上搜索。
1、1,1-2 审计风险评估与应对,涉及准则:1121号准则1201号准则计划审计工作1231号准则针对评估的重大错报风险实施的程序,目录 1/2,风险导向审计的含义风险评估2.1 了解被审计单位及其环境2.2 了解被审计单位的内部控制2.2.1 内部控制的概念2.2.2 内部控制的发展历史2.2.3 内部控制的要素2.3 评估重大错报风险,2,目录 2/2,审计风险的应对3.1 报表层次风险的应对3.2 认定层次风险的应对了解被审计单位情况:另一种思路(阅读材料),4,风险导向审计,风险导向审计(risk-oriented auditing):即审计的执行以风险评估为基础,审计师将注意力集中于最
2、可能出现错报和舞弊的领域。风险导向审计的思路可以用下图表示:,5,新客户的接纳和老客户的续聘,制定审计计划,终结审计出具审计报告,6,了解被审计单位及其环境的重要性,了解被审计单位及其环境是必要程序,特别是为注册会计师在下列关键环节作出职业判断提供重要基础:(一)确定重要性水平,并随着审计工作的进程评估对重要性水平的判断是否仍然适当;(二)考虑会计政策的选择和运用是否恰当,以及财务报表的列报(包括披露,下同)是否适当;,7,(三)识别需要特别考虑的领域,包括关联方交易、管理层运用持续经营假设的合理性,或交易是否具有合理的商业目的等;(四)确定在实施分析程序时所使用的预期值;(五)设计和实施进一
3、步审计程序,以将审计风险降至可接受的低水平;(六)评价所获取审计证据的充分性和适当性。,8,概括起来,了解被审计单位的环境及其环境,其目的就是为了确定重要性和审计风险水平,进而作出审计决策,以获得充分适当的审计证据,以实现审计目标。审计决策包括:采取什么样的取证方法?选取多大的样本?如何选择样本?何时取证?,9,大家有疑问的,可以询问和交流,可以互相讨论下,但要小声点,10,如何获得所需的信息?,注册会计师应当实施下列风险评估程序以了解被审计单位及其环境(p.57-59):(一)询问被审计单位管理层和内部其他相关人员;(二)分析程序;(三)观察和检查。从被审计单位外部获取相关信息。,11,应了
4、解的内容(p.59),(一)行业状况、法律环境与监管环境以及其他外部因素;(二)被审计单位的性质;(三)被审计单位对会计政策的选择和运用;(四)被审计单位的目标、战略以及相关经营风险;,12,(五)被审计单位财务业绩的衡量和评价;(六)被审计单位的内部控制。如何了解被审计单位及其环境,Arens等的第15版审计教材第八章给出了下面的图,具体在p.214-218。,了解被审计单位及其环境,内部控制举例,14,雇员A,财物的保管,雇员B,独立的记录,雇员C,雇员C定期盘点A保管的财物并与B的记录核对,图2:职责分离示意图,【Question】试从该图说明职责分离有何作用?,往29页,15,内部控制
5、是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序(1211号准则第46条)。这实际上是COSO定义的内部控制。,内部控制制度的概念,16,COSO与内部控制研究,COSO: Committee of Sponsoring Organiz-ations。上世纪70年代末80年代初,美国很多公司因通货膨胀而倒闭,与此相伴随的是公司做假账,注册会计师未能尽到责任。美国国会试图通过立法来规范会计与审计行为,但未能成功。于是成立了一个National Commission on Fraudulent Financial Re
6、porting(虚假财务报告全国委员会)对虚假财务报告进行研究。该委员,17,会由美国五个会计职业团体提供赞助,它们是IIA(内部审计协会)、AICPA(美国注册会计师协会、总会计师协会(FEI)、美国会计学会(AAA)以及管理会计师协IMA)。1987年,COSO发布了第一份虚假财务报告研究报告,指出了内部控制对预防财务造假的重要性,并呼吁经理层报告其内部控制系统的有效性。报告还指出良好的内部控制环境、道德行为规范、尽职且有胜任能力的审计委员会和强健的内部审计是良好内部控制的关键构成要素。,18,1992年9月,COSO发布了名为内部控制整体框架的研究报告(通常称为COSO报告),对内部控制
7、进行了定义并提出了对内部控制进行评价的方法和程序。2000年,COSO发布了一份名为企业风险模型的研究报告的初稿,对1992年的研究报告进行了扩展。资料来源:Robert Moeller, 2004. Sarbance-Oxley and the New Internal Auditing Rules, pp.123-124。,2006年,COSO发布财务报告控制小型公共公司指南;2009年,发布监督内部控制指南;2013年,发布修订版内部控制整体框架;此外,COSO还分别于1987、1999和2010年组织了对虚假财务报告的研究。,19,COSO系列研究报告,20,21,内部控制包括下列要素
8、:(一)控制环境(二)风险评估过程(三)信息与沟通(四)控制活动(五)监督活动。 以下是内部控制要素图。,内部控制制度的要素(p.60),新框架中的内控要素图,22,从上图可以看到,内部控制有三个目标,五个要素,并在各个层次存在,即内部控制应该是无处不在的。2013年COSO修订的内部控制整体框架将五个要素进一步细化为十七条原则。,24,控制环境,控制环境:控制环境是对企业内部控制的建立和实施有重大影响(增强或削弱)的因素的总称。是内部控制的基础。控制环境包括如下方面:(一)对诚信和道德价值观念的沟通与落实:通常决定于“顶层的基调” ;员工的行为动机(不切实际的目标,过于严厉的惩罚制度;职责划
9、分;内部审计),25,(二)对胜任能力的重视:岗位的配备、培训、检查和补救措施。(三)治理层的参与程度:董事会、审计委员会的独立性、胜任能力与工作作风(是否尽职)。(四)管理层的理念和经营风格。(五)组织结构:组织实际上就是人员配置方式,就是如何通过人员的分工与合作达到组织的目标。“三权分立”制度与美国的伊拉克政策。,控制环境的五条具体原则,27,风险评估过程,影响企业达到其目标的因素就是风险。风险评估的三个步骤:评估风险的严重程度;估计风险发生的可能性;考虑应采取哪些措施管理风险。,风险评估的四条原则,29,控制活动,是指那些确保风险控制措施得到执行的政策和程序。一般包括如下方面:业绩评价:
10、将实际情况与标准进行比较,发现异常情况及时采取纠正措施;授权批准:一般授权与特殊授权;信息处理(充分的记录):保证信息安全;,30,实物控制:实物包括固定资产、存货、现金和有价证券等。实物财产的保管制度、实物盘点;独立稽核:即监督有关措施是否得到执行;职责分离(如图2):不相容职务分离的目的在于降低错误或舞弊行为的发生。,控制活动的三条原则,32,信息与沟通,沟通就是信息的交换。信息系统与信息沟通是两个不同的要素。COSO为了使内部控制的内容简洁一点,将二者合并在一起。信息系统:信息系统可以是正式的,也可以是非正式的;既有对内部的,也有对外部的。信息的质量:高质量的信息是内部控制有效发挥作用的
11、必备条件。,33,信息沟通,信息的内部沟通:沟通的渠道要畅通,信息沟通是双向的,包括自上而下的沟通和自下而上的沟通;正式的沟通和非正式的沟通;通过正常渠道进行的沟通与秘密的沟通等。,34,沟通的方式,对外的沟通(与供应商、客户的沟通):也是双向的。对外的沟通不只是公关性质的(宣传自己),而且信息要是外部利益相关者所需要的真实的信息(否则就无异于做假账了)。沟通的方式:网站、布告、演讲、录像、手册等多种方式。,信息与沟通的三条原则,36,监督活动,监督:企业采取的用来保证内部控制措施有效运行的程序。内部审计即是一例。要对内部控制的有效性进行持续的评价,及时对内部控制进行调整,使其适应变化了的环境
12、,从而保持其有效性。内部控制的评价步骤:了解内部控制的设计辨认采取的内部控制措施测试内部控制的有效性得出结论。与内部控制的测评是一致的。,监督活动的两条原则,如何判断内部控制是否有效?,有效性的定义:合理保证达到组织的目标。具体包括如下方面:内控五要素及其原则存在且发挥作用五个要素有机关联,共同发挥作用,39,了解内部控制的目的,从报表审计的角度来看,若内部控制有效,意味着企业能够合理保证达到其报告目标,即按照有关的规则、规定和准则以及企业内部的报告要求编制各种报告,这意味着会计报表按照会计准则的要求进行编制的可能性比较高。反之,报表出现重大错报的可能性比较高。对内部控制的评价提供的是环境证据
13、。,审计风险,审计风险是指会计报表存在重大错报或漏报,而审计人员审计后发表不恰当审计意见的可能性。从审计目标的角度进行理解:报表审计是为了评价会计报表是否符合会计准则。报表与准则不一致即为错报(和漏报),如果有重大的错报(和漏报),而CPA没发现从而发表了错误的意见,就是审计风险。,这说明,审计风险之所以发生,首先要存在错报(和漏报),如果没有错报(和漏报),则不存在审计风险。错报(和漏报)存在的可能称为固有风险(Inherent risk)。审计风险总是与重要性联系在一起的。重要性的概念将在后面介绍,但这里可以举一些例子加以说明。,重大错报审计风险与检查风险,审计风险的两个层次,两个层次的重
14、大错报风险:财务报表层次的重大错报审计风险和认定层次的重大审计风险。认定层次的重大错报风险:固有风险和控制风险。,新审计风险模型,新准则的审计风险模型审计风险=重大错报风险检查风险其中,重大错报风险是指财务报表在审计前存在重大错报的可能性。检查风险是指某一认定存在错报,该错报单独或连同其他错报是重大的,但注册会计师未能发现这种错报的可能性。,旧审计风险模型,审计风险=固有风险控制风险检查风险固有风险(Inherent Risk):假设有关被审计项目的内部控制制度完全不存在的情况下,该项目发生差错的可能性(IR);注册会计师不能控制,但要进行估计。控制风险(Control Risk):某项目发生
15、差错的情况下,未被相关内部控制制度发现的可能性(CR);注册会计师不能控制,但要合理进行估计。,检查风险(Detection Risk):发生差错,未被内部控制制度发现,又未被审计人员发现的可能性(DR)。是审计风险模型三要素中唯一能为注册会计师控制的。原风险模型在认定层次仍然适用。,2013年注师考试审计教材p.110,审计风险模型示意图,新审计风险模型的提出可能由于以下原因:固有风险和控制风险的评估无法区分。Mark E. Haskins, Mark W. Dirsmith. Control and Inherent Risk Assessment in Client Engagement
16、s: An Examination of Their Interdependencies. Journal of Accounting and Public Policy,1993(14):6383,检查风险与重大错报风险的关系,识别和评估重大错报风险的审计程序,1211号审计准则第九十六条 注册会计师应当识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险。在识别和评估重大错报风险时,注册会计师应当实施下列审计程序:(一)在了解被审计单位及其环境的整个过程中识别风险,并考虑各类交易、账户余额、列报;,识别和评估重大错报风险的审计程序,(二)将识别的风险与认定层次可能发生错
17、报的领域相联系;(三)考虑识别的风险是否重大;(四)考虑识别的风险导致财务报表发生重大错报的可能性。,可能表明被审计单位存在重大错报风险的事项和情况(28种情况),1211号审计准则第九十八条 注册会计师应当关注下列事项和情况可能表明被审计单位存在重大错报风险:(一)在经济不稳定的国家或地区开展业务;(二)在高度波动的市场开展业务;(三)在严厉、复杂的监管环境中开展业务;(四)持续经营和资产流动性出现问题,包括重要客户流失;(五)融资能力受到限制;(六)行业环境发生变化;,(七)供应链发生变化;(八)开发新产品或提供新服务,或进入新的业务领域;(九)开辟新的经营场所;(十)发生重大收购、重组或
18、其他非经常性事项;(十一)拟出售分支机构或业务分部;(十二)复杂的联营或合资; (十三)运用表外融资、特殊目的实体以及其他复杂的融资协议;(十四)重大的关联方交易;(十五)缺乏具备胜任能力的会计人员;,(十六)关键人员变动;(十七)内部控制薄弱;(十八)信息技术战略与经营战略不协调;(十九)信息技术环境发生变化;(二十)安装新的与财务报告有关的重大信息技术系统;(二十一)经营活动或财务报告受到监管机构的调查;(二十二)以往存在重大错报或本期期末出现重大会计调整;(二十三)发生重大的非常规交易;(二十四)按照管理层特定意图记录的交易;(二十五)应用新颁布的会计准则或相关会计制度;(二十六)会计计
19、量过程复杂;(二十七)事项或交易在计量时存在重大不确定性;(二十八)存在未决诉讼和或有负债。,56,重大错报风险的应对,57,风险应对措施,1231号准则第三条规定:“注册会计师应当针对评估的财务报表层次重大错报风险确定总体应对措施,并针对评估的认定层次重大错报风险设计和实施进一步审计程序,以将审计风险降至可接受的低水平。”,58,报表层次风险的应对(教材没有),注册会计师应当针对评估的财务报表层次重大错报风险确定下列总体应对措施:(一)向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;(二)分派更有经验或具有特殊技能的审计人员,或利用专家的工作;(三)提供更多的督导;,59,(
20、四)在选择进一步审计程序时,应当注意使某些程序不被管理层预见或事先了解;(五)对拟实施审计程序的性质、时间和范围(范围就是样本大小和具体的样本项目的选择)作出总体修改(审计证据决策的四个问题)。,60,认定层次的风险应对(p.63),1231号审计准则第八条 注册会计师应当针对评估的认定层次重大错报风险设计和实施进一步审计程序,包括审计程序的性质、时间和范围。进一步审计程序是指注册会计师针对评估的各类交易、账户余额、列报(包括披露,下同)认定层次重大错报风险实施的审计程序,包括控制测试和实质性程序。注册会计师设计和实施的进一步审计程序的性质、时间和范围,应当与评估的认定层次重大错报风险具备明确
21、的对应关系。,61,进一步审计程序的性质是指进一步审计程序的目的和类型。进一步审计程序的目的包括通过实施控制测试以确定内部控制运行的有效性,通过实施实质性程序以发现认定层次的重大错报。进一步审计程序的类型包括检查、观察、询问、函证、重新计算、重新执行和分析程序。不同的审计程序应对特定认定错报风险的效力不同。,62,注册会计师应当根据认定层次重大错报风险的评估结果选择审计程序。评估的认定层次重大错报风险越高,对通过实质性程序获取的审计证据的相关性和可靠性(即审计证据的质量)的要求越高。,63,测试的时间,注册会计师可以在期中或期末实施控制测试或实质性程序。当重大错报风险较高时,注册会计师应当考虑
22、在期末或接近期末实施实质性程序;或采用不通知的方式,或在管理层不能预见的时间实施审计程序。,64,在期中实施进一步审计程序,可能有助于注册会计师在审计工作初期识别重大事项,并在管理层的协助下及时解决这些事项;或针对这些事项制定有效的实质性方案或综合性方案。如果在期中实施了进一步审计程序,注册会计师还应当针对剩余期间获取审计证据。在确定何时实施审计程序时,注册会计师应当考虑下列因素:(一)控制环境;(二)何时能得到相关信息;(三)错报风险的性质;(四)审计证据适用的期间或时点。,65,一步审计程序的范围是指实施进一步审计程序的数量,包括抽取的样本量,对某项控制活动的观察次数等。在确定审计程序的范
23、围时,注册会计师应当考虑下列因素:(一)确定的重要性水平;(二)评估的重大错报风险;(三)计划获取的保证程度。随着重大错报风险的增加,注册会计师应当考虑扩大审计程序的范围。但是,只有当审计程序本身与特定风险相关时,扩大审计程序的范围才是有效的。,总结一下:归根结底,进一步审计程序的性质、时间和范围影响的是审计证据的数量和质量,即审计证据的说服力。正如前面所强调的,审计的基本问题之一是如何做审计,而如何做审计不过是定标准、找证据和下结论的三步骤。但进一步的,找证据又涉及到找多少审计证据(审计证据的数量)和找什么样的审计证据(审计证据的质量)这样的问题,这又取决于审计程序的性质、时间和范围。它们是
24、一连串纠结在一起无法分开的问题。,67,审计测试与审计风险,68,审计测试与审计风险,69,术语解释,AAR:acceptable audit risk(可接受的审计风险)PDR:planned detection risk(计划的检查风险)IR:inherent risk(固有风险)CR:control risk(控制风险),70,术语解释,控制测试:Tests of control实质性测试:用于直接检验金额的审计程序。具体包括:分析程序:Analytical procedures实质性交易测试:Substantive tests of transactions实质性余额测试:Tests
25、of details of balances,71,上图中审计风险与审计测试的关系说明,通过了解被审计单位的内部控制和控制测试,可以评估控制风险。通过分析程序和实质性余额测试,可以将检查风险控制在可接受的水平。实质性交易测试既可以用于评估控制风险,也可以用于控制检查风险。,教材p.64表1-3,了解内部控制与控制测试的比较;p.66表1-4控制测试与实质性测试(程序)的比较。任务实践:p.67-72,阅读时将其与1211号审计准则进行对照,就是将比较抽象的审计准则具体化的过程。,73,了解被审计单位的情况,价值系统分析(Value System Analysis)目的:识别被审计单位在行业中的
26、地位及其与外部有关方面的关系,辨别可能威胁到被审计单位取得成功的因素。,74,风险分析(Threat Analysis)目的:识别可能影响组织取得成功的威胁和风险。,75,价值系统分析:了解被审计单位在行业中的位置,供应商,竞争对手,客户,图7-3:被审计单位的行业关系示意图,76,价值系统分析的作用:可以将被审计单位所处经营环境中的关键参与者描述出来,便于在审计中考虑这些因素。被审计单位的会计都与价值系统中要素相联系。例如:销售收入、应收账款、产品销售成本(和相应的存货的减少)、货款的收回、坏账均与和客户(买家)发生的业务相联系;而固定资产(购入)、应付账款、应急负债均与和供应商发生的业务相
27、关。,77,这也意味着当与供应商或客户的关系发生问题的时候,相关的账户(科目)也会受到影响。,78,价值链分析:了解被审计单位的业务过程和经营活动,主要业务(Primary activities):直接与产品的生产或服务的提供相关的活动,这些业务直接创造价值。辅助业务(Support activities):组织的正常运转少不了,但又不直接创造价值的业务活动。例如,会计工作。,79,主要业务,辅助业务,MARGIN,80,主要业务,供应:获取生产所需的投入物资并对其进行储存和管理。例如,原材料的采购、储存和退货等。与供应相关的审计问题包括存货的完整性和计量(valuation),费用和负债的确
28、认。,81,生产:将投入转化成产出(产成品或劳务)的过程。与生产相关的审计问题包括产成品或劳务成本的核算。与营销相关的审计问题:收入的确认和应收账款的回收。与配送相关的审计问题:销售的截止,收入的确认时间,销售退回。,82,辅助活动,基础设施:如行政管理、会计核算、公司治理、融资和战略的制定,均属于基础设施,是公司顺利运行的基础条件。这些活动影响大,因此要特别关注。例如,融资、长期租赁合同、并购、投资和套期保值等均有长期而重要的影响,审计时自然不能等闲视之。,83,采购:获取供整个企业(而不只是生产部门)使用的材料和其他有形资产。例如,办公用品之类的。与采购相关的审计问题包括采购承诺、采购退回
29、、存货的计量等。人力资源开发:企业的人力资源管理方式可以透露很多信息,例如,对诚实的商业行为、会计信息的可靠性、产品或服务的质量等都息息相关。与人力资源相关的审计问题包括人工费用的分配等。,84,技术开发:包括新产品的研发、应用于主要业务的研发(如自动化生产线)、应用于辅助业务的研发(如决策数据库的研发)。,85,风险分析,威胁通常可以从五个方面考虑:供应商、客户、竞争者、替代品和市场新进入者。竞争者:竞争直接影响到被审计单位的市场,在会计上面影响到收入和成本。潜在的进入者:高利润高成长的行业通常会有新手的加入。这将影响被审计单位的营销和销售行为。从审计的角度看,这可能影响到存货的计价、生产用
30、固定资产的计价等。,86,替代品:例如,电话的兴起导致电报的衰落。影响企业的销售、营销和技术开发等。对审计而言,资产和存货的价值计量问题值得关注。供应商:例如,咖啡生产商的生产受到咖啡豆生产者的影响。影响供应和采购活动。客户:影响营销、销售和配送服务。从更宽广一点的角度看,以上来自各方面的威胁都影响到人力资源开发。,87,分析管理层的应对措施,在分析了被审计单位面临的风险后,审计师应当了解被审计单位采取了哪些技术、程序和控制措施来管理和减轻这些风险的影响。管理层通常清楚其所面临的风险,并会采取各种应对措施。对审计师而言,这种应对措施可能会降低相应的审计风险。因此,审计师有必要弄清楚管理层所采取
31、的风险应对措施,以制定合理的审计计划。,88,以上所说的风险应对措施实际上就是内部控制。内部控制有三个方面的目标,包括五个要素。其中,控制措施可以划分为管理层控制(management controls)和程序性控制(process controls)。管理层控制是指由管理层采取的用以减轻战略风险、改进决策效果并提升经营效率的措施。程序性控制主要以保证会计信息的可靠性和遵守有关的法律法规为目标。,89,管理层控制的目标通常不是针对具体的业务,而在于为确保整个内部控制系统和经营活动顺利运行提供一定的保证,并为企业能及时对各种风险采取应对措施提供一个基础。对于上市公司而言,最常见的管理层控制就是董
32、事会定期举行的会议,或者其下属的审计委员会的活动。对审计师而言,以下管理层控制需要引起注意:高层管理者对经营成果进行审阅;,90,基层管理者;将业绩指标与业绩标杆进行比较;独立的评估程序。高层管理者的审阅:高管定期浏览经营成果,并与预测或预算进行比较,发现有问题迅速采取跟进措施。这种审阅的频率越高、在洞察力方面越有深度,则面临巨大风险的可能性就越低。因为风险得到了及时的解决。,91,基层管理者:基层管理者通常处于发现潜在风险的最佳位置,如果应对得当,可以将问题消灭在萌芽状态。例如,一个负责信贷的主管可能最先识别出威胁到贷款的可收回性的因素。将业绩指标与标杆指标进行比较:通过这种比较也能及时发现问题;独立的评估程序:执行评估的人员独立于被评估者。,92,当然,管理层控制的有效进行必须以信息的及时提供为前提,并且,这种信息必须相关、可靠。这就是内部控制的另一个要素信息与沟通。接下来的步骤是分析对审计的影响。整个逻辑如下图所示:,93,见下表,94,分析对审计的影响,95,风险、控制和对审计的影响:例子,96,97,98,99,100,101,102,103,104,105,复习思考题,何为风险导向审计?如何评价风险?如何应对风险?什么是内部控制制度?它包括哪些内容?,
