搜索
以风险为导向的内部控制审计方法德勤华永会计师事务所企业风险管理服务目录一引言和概述二确定重要性水平和了解主体三确定重大交易类型、账户余额和披露事项四识别和评估重大错报风险五信息技术专家的参与六计划针对重大错报风险的应对措施七与信息技术专家的跟进会议2一引言和概述3一引言和概述4以风险为导向的方法一个基于国际审计准则的以风险为导向的方法。集中关注存在较高风险从而更可能产生重大错报的领域将使审计工作更高效和有效。据此,该审计方法要求我们识别和应对财务报表的重大错报风险。我们通过深入了解主体及其环境的过程来识别重大错报风险,设计和执行进一步审计程序来应对此类已评估的重大错报风险。对于未识别出重大错报风险的领域,无需执行进一步审计程序。**请注意,重大错报风险与重大风险并不相同。一引言和概述5以风险为导向的内部控制审计主要步骤:就审计项目约定条款达成协议确定重要性水平了解主体及环境,包括主体的内部控制确定重大交易类型、账户余额和披露事项识别和评估重大错报风险计划针对重大错报风险的应对措施一引言和概述采用以风险为导向的方法不再使用数学方法确定审计抽样的样本规模和范围对内部控制测试的修改增加职业判断和合伙人参与不再对主体计算机的使用进行分类而是聘请信息技术专家6以风险为导向的内部控制审计方法主要变更包括:一引言和概述提高审计效率更多地运用合理的职业判断优化风险评估程序根据客户自身独特的事实和情况,集中针对风险,更好地设计控制测试7以风险为导向的内部控制审计方法的优点:二确定重要性水平和了解主体8二确定重要性水平和了解主体9(一)确定重要性水平Ø较少关注计算方法,以强调职业判断Ø提供综合指引,而非既定的规则Ø对于上市公司,税前利润仍是推荐采用的基准。Ø对于某些一般风险约定项目允许提高重要性水平的百分比:-全资子公司且我们对母公司实施审计-所有的融资均由母公司提供或担保-母公司确认没有处置子公司的意图二确定重要性水平和了解主体10(二)了解主体Ø了解主体及其环境的关键因素:外部因素•影响主体的外部因素,包括行业问题、一般业务环境及适用的法律法规(包括适用的财务报告框架)内部因素•影响主体的内部因素,包括主体的性质(即,所有权结构、关联方、经营、投资和融资活动、财务报告)、主体的业务目标和策略及可能导致财务报表产生重大错报的经营风险。主体对会计政策的选择和运用•了解主体对会计政策的选择和运用,包括考虑会计政策是否适合主体的经营活动,以及会计政策是否与适用的财务报告框架和相关行业采用的会计政策相符。对主体财务业绩的衡量和复核•在大多数业务中,管理层使用某些比率、财务指标或分析来监督业务的有效运作及整体控制。业绩衡量会对主体造成压力而这些压力可能促使管理层采取措施改善经营业绩或编制错误的财务报表。二确定重要性水平和了解主体11(二)了解主体Ø为了解主体应该执行的审计程序:o我们应当实施风险评估程序,为识别和评估财务报表层次和认定层次的重大错报风险提供基础。然而,风险评估程序本身并不能为形成审计意见提供充分、恰当的审计证据。o风险评估程序应当包括:•询问管理层以及主体内部其他相关人员•初步分析程序•观察和检查二确定重要性水平和了解主体12(二)了解主体Ø需要了解的程度:o我们运用职业判断确定需要了解的程度。我们的主要考虑是已获取的了解是否足以识别和评估重大错报风险从而为对已评估的重大错报风险设计和实施应对措施提供基础。Ø对审计项目的影响:o由于需要作出更多职业判断,所以在约定项目的初始计划阶段需要合伙人和经理的积极参与,以便就考虑“可能出错的地方”识别风险以及制定应对措施向项目组提供指引。o这种以风险为导向的方法增强了对各交易类型、账户余额、或披露事项的了解,它与分层方法中阐述的概念类似(例如,各账户的概况和组成部分、货币和非货币特征——各账户的规模、类型、特定事项的数量)。二确定重要性水平和了解主体13(三)了解内部控制Ø内部控制的五项要素控制环境主体的风险评估程序对活动的监督控制活动与财务报告相关的信息系统内部控制五项要素二确定重要性水平和了解主体14控制环境主体的风险评估程序对活动的监督控制活动与财务报告相关的信息系统内部控制五项要素作为获取上述了解的一部分,我们应当评价:q管理层在治理层的监督下,是否营造并保持了诚实守信和合乎道德的文化。q控制环境要素的总体优势是否为内部控制的其他要素提供了适当的基础,并且,这些其他要素是否未被控制环境中存在的缺陷所削弱。在了解与审计相关的控制时,我们应当评价相关控制的设计并确定其是否得到执行。因此,对于构成控制环境要素的控制,且我们认为其与审计相关,我们必须评价这些控制的设计并确定其是否得到执行。描述控制环境二确定重要性水平和了解主体15控制环境主体的风险评估程序对活动的监督控制活动与财务报告相关的信息系统内部控制五项要素我们应当了解主体是否具有处理以下事项的程序:q识别与财务报告目标相关的经营风险q估计这些风险的重要性q评估这些风险发生的可能性q决定应对这些风险的措施如果主体已建立风险评估程序,我们应当了解该程序及其结果。如果主体未建立风险评估程序或这一程序只是因应个别事件进行的,我们应当与管理层讨论是否已识别出与财务报告目标相关的经营风险以及如何应对这些风险。描述主体的风险评估程序二确定重要性水平和了解主体16控制环境主体的风险评估程序对活动的监督控制活动与财务报告相关的信息系统内部控制五项要素o我们应当了解与财务报告相关的信息系统(包括相关业务流程)o对于与财务报告相关的信息系统的控制,且我们认为其与审计相关,我们必须评价这些控制的设计并确定其是否得到执行。o我们应当了解主体如何对财务报告的角色与职责,以及与财务报告相关的重大事项进行沟通,包括管理层与治理层的沟通和外部沟通(如与监管机构的沟通)。o我们也必须对主体用于沟通财务报告职责以及与财务报告相关的重大事项的程序的设计进行评价,并确定该程序是否得到执行。描述与财务报告相关的信息系统二确定重要性水平和了解主体17控制环境主体的风险评估程序对活动的监督控制活动与财务报告相关的信息系统内部控制五项要素o我们应当了解与审计相关的控制活动。与审计相关的控制活动,是我们为评估认定层次重大错报风险,以及为应对评估出的风险设计进一步审计程序而认为有必要了解的控制活动。审计并不要求了解与财务报表中每类重大交易、账户余额和披露事项或相关的每项认定有关的所有控制活动。o在了解与审计相关的控制时,我们必须评价相关控制的设计并确定其是否得到执行。o在了解主体控制活动时,我们应当了解主体如何应对信息技术导致的风险。描述控制活动二确定重要性水平和了解主体18控制环境主体的风险评估程序对活动的监督控制活动与财务报告相关的信息系统内部控制五项要素o我们应当了解主体用于监督与财务报告相关的内部控制的主要活动,包括针对与审计相关的控制活动的监督,并了解对控制中的缺陷如何采取纠正措施。o对于构成监督要素的控制,且我们认为其与审计相关,我们必须评价这些控制的设计并确定其是否得到执行。o如果主体设有内部审计职能,我们应当了解下列事项,以确定内部审计职能是否可能与审计相关:内部审计职能的性质,以及内部审计职能适应主体组织结构的方式,和内部审计职能已经实施或拟实施的活动。o我们应当了解与主体监督活动所使用信息的来源,以及管理层认为信息对于实现其目的足够可靠的依据。描述对控制的监督二确定重要性水平和了解主体19(二)了解内部控制Ø用于识别相关控制的方法:o运用由上而下的方法,可能有助于了解内部控制并识别相关控制。Ø必须执行的工作:o在了解与审计相关的控制时,我们应当通过将询问主体内部人员和其他程序结合使用,评价这些控制的设计,并确定其是否得到执行。二确定重要性水平和了解主体20(二)了解内部控制Ø对审计项目的意义:o为我们在整个审计过程中计划审计工作、进行职业判断确立了参考框架,有助于我们识别重大错报风险,且识别出的风险协助我们识别相关控制。o需要运用职业判断,合伙人和经理更多及更早地参与识别相关控制。o不是从预先编制的列表或数据库中选出控制活动的描述。三确定重大交易类型、账户余额和披露事项21三确定重大交易类型、账户余额和披露事项22什么是重大交易类型、账户余额和披露事项?定义:如果存在某交易类型、账户余额或披露事项包含单独或与其他错报相结合而言对财务报表有重大影响的错报的合理可能性(同时考虑高估和低估风险的可能性),则该交易类型、账户余额或披露事项是重大交易类型、账户余额或披露事项。确定某交易类型、账户余额或披露事项是否重大需要运用职业判断,应考虑定量和定性因素,但不应考虑控制的有效性。三确定重大交易类型、账户余额和披露事项23如何识别重大交易类型、账户余额和披露事项?第4步:运用职业判断作出决定第3步:考虑定性因素第2步:考虑定量因素第1步:通常从财务报表层次着手三确定重大交易类型、账户余额和披露事项24确定重大交易类型、账户余额和披露事项的示例三确定重大交易类型、账户余额和披露事项25三确定重大交易类型、账户余额和披露事项26三确定重大交易类型、账户余额和披露事项27Ø对审计项目的影响:o对于所识别的重大交易类型、账户余额和披露事项,我们必须识别认定层次的重大错报风险,以便为进一步审计程序的设计和执行提供基础。如果某一交易类型、账户余额或披露事项并不重大,则无需执行进一步审计程序(实质性程序或控制程序)。o对于某一重大交易类型、账户余额、或披露事项,我们没有识别出任何重大错报风险的情况可能表明此前评估为重大的交易类型、账户余额、或披露事项并不属于重大;或者在风险评估过程中,没有适当识别有关风险。因此,我们可以重新考虑我们初步的风险评估是否恰当,或者将相关的交易类型、账户余额、或披露事项识别为重大是否适当。o合伙人和经理尽早和尽量多地参与审计项目的计划阶段是十分必要的,以便通过考虑“哪些方面可能出现问题”及制定相关的应对措施,就重大错报风险的识别为项目组提供指引,从而使我们的审计工作集中关注重大的事项并避免对不重要的项目实施工作。三确定重大交易类型、账户余额和披露事项28要点提示:Ø在需要作出判断(包括决定何谓重大)时,合伙人的参与十分重要。Ø“重大”不等于“重要性水平”。在确定某一交易类型/账户余额/披露事项是否重大时,应当同时考虑定性和定量因素。Ø如果大于重要性水平的交易类型/账户余额/披露事项被确定为并非重大,我们需要记录相关理由。Ø如果小于重要性水平的交易类型/账户余额/披露事项被确定为并非重大,则无需记录相关理由。Ø对于非重大交易类型/账户余额/披露事项,我们无需实施进一步审计工作。四识别和评估重大错报风险29四识别和评估重大错报风险30Ø重大错报风险包含二个层次:认定层次财务报表层次固有风险控制风险普遍相关多项认定舞弊四识别和评估重大错报风险31Ø识别和评估重大错报风险的步骤:‒考虑可能出现的错误‒将认定作为框架‒考虑发生的可能性和严重程度‒考虑风险是否对财务报表整体构成广泛影响‒与账户/交易/披露事项和认定相联系了解主体及其环境(包括内部控制)识别重大错报风险评估财务报表层次或认定层次的重大错报风险评估哪些重大错报风险属于重大风险‒确定哪些风险是“重大”四识别和评估重大错报风险32Ø判断重大风险:是否重大超出正常经营的交易交易量相关重大进展风险的性质关联方交易复杂程度舞弊风险主观程度我们还应当应对以下假定存在的重大风险:•收入确认•管理层凌驾控制四识别和评估重大错报风险33Ø我们无需识别与某一重大交易类型/账户余额/披露事项的各项认定相关的风险o但是,在许多情况下,我们可能识别出针对某一重大交易类型/账户余额/披露事项的各项认定的风险。o在有些情况下,某一风险可能涵盖与该重大交易类型/账户余额/披露事项相关的多项认定。Ø特定风险并不一定是重大风险:o重大风险是指需要进行“特殊审计考虑”的风险。o特定风险往往在该客户的特定状况下产生——现在识别出的所有风险均是特定于该客户的风险,即并非该行业或环境中的“标准”风险。o上年度的某些特定风险在新审计方法下可能仍被视