第六章重大错报风险的评估与应对Page2本章重点难点通过本章的学习,要求了解被审计单位及其环境的重要性,掌握具体了解途径;了解与被审计单位管理层级治理层的沟通的主要内容;掌握针对财务报表层次重大错报风险采取的总体应对措施;掌握针对认定层次重大错报风险采取的进一步审计程序的含义、性质、时间和范围;掌握控制测试和实质性程序的含义、性质、时间和范围。本章的重点是内部控制,难点是重大错报风险的评估和应对。Page3第一节了解被审计单位及其环境一、了解被审计单位及其环境的目的及风险评估程序(一)了解被审计单位及其环境的目的1)确定重要性水平,并随着审计工作的进程评估对重要性水平的判断是否仍然适当。2)考虑会计政策的选择和运用是否恰当,以及财务报表的列报(包括披露,下同)是否恰当。3)识别需要特别考虑的领域,包括关联方交易、管理层运用持续经营假设的合理性,或交易是否具有合理的商业目的等。Page44)确定在实施分析程序时所使用的预期值。5)设计和实施进一步审计程序,以将审计风险降至可接受的低水平。6)评价所获取审计证据的充分性和适当性。注册会计师对被审计单位及其环境了解的程度,要低于管理层为经营管理企业而对被审计单位及其环境需要了解的程度。Page5(二)风险评估程序1.询问被审计单位管理层和内部其他相关人员2.实施分析程序分析程序是指注册会计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系,对财务信息作出评价。分析程序既可用作风险评估程序和实质性程序,也可用于对财务报表的总体复核。Page63.观察和检查观察和检查程序可以印证对管理层和其他相关人员的询问结果,并可提供有关本身即单位及其环境的信息,注册会计师应当实施下列观察和检查程序:1)观察本身被审计单位的生产经营活动2)检查文件、记录和内部控制手册3)阅读由管理层和治理层编制的报告4)实地察看被审计单位的生产经营场所和设备5)追踪交易在财务报告信息系统中的处理过程(穿行测试)Page7(了解)穿行测试(walkthroughtesting)穿行测试(walkthroughtesting):是指追踪交易在财务报告信息系统中的处理过程。这是注册会计师了解被审计单位业务流程及其相关控制时经常使用的审计程序。在风险管理中,在正常运行条件下,将初始数据输入内控流程,穿越全流程和所有关键环节,把运行结果与设计要求对比,以发现内控流程缺陷的方法。Page81、先将公司规范某项经济业务行为的制度按业务流程的方式描述出来;这表明公司的该项经济业务应该都是按所描述的业务流程运行的。2、抽取某几笔业务样本;3、要求受监察的单位提供所有所抽取业务样本的运行记录;4、按照流程环节,描述样本业务的实际运行情况;5、对照流程环节与要求,比较并记录没有做到位的地方。Page9例如:甲注册会计师针对销售交易,从订单处理一-核准信用状况及赊销条款一-填写订单并准备发货一-编制货运单据一-订单运送/递送追踪至客户或由客户提货-一开具销售发票一-复核发票的准确性并邮寄/送至客户一-生成销售明细账一-汇总销售明细账,并过账至总账和应收账款明细账等交易的整个流程,考虑之前对相关控制的了解是否正确和完整,并确定相关控制是否得到执行,这就是穿行测试。Page10二、了解被审计单位及其环境1、行业状况、法律环境与监管环境以及其他外部因素2、被审计单位的性质3、被审计单位对会计政策的选择和运用4、被审计单位的目标、战略以及相关经营风险5、被审计单位财务业绩的衡量和评价6、被审计单位内部控制评价对被审计单位及其环境了解的程度是否恰当,关键看注册会计师对被审计单位及其环境的了解是否足以识别和评估财务报表重大错报风险。如果了解被审计单位及其环境获得的信息足以识别和评估财务报表重点错报风险,设计和实施进一步审计程序,那么了解的程度就是恰当的。Page11三、了解被审计单位的内部控制1、内部控制的含义内部控制:是被审计单位为了合理保障财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计与执行的政策及程序。可以从以下几个方面理解内部控制:1)内部控制的目标是合理保证第一,财务报告的可靠性第二,经营的效率和效果第三,在所有经营活动中遵守法律法规的要求Page122)设计和实施内部控制的责任主体是治理层、管理层和其他人员,组织中的每一个人员都对内部控制负有责任。3)实现内部控制目标的手段是设计和执行控制政策和程序。内部控制的目标旨在合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守。Page13注册会计师对财务报表审计的目标是对财务报表是否不存在重大错报发表审计意见,尽管要求注册会计师在财务报表审计中考虑与财务报表编制相关的内部控制,但目的并非对被审计单位内部控制的有效性发表意见。注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制。Page142、内部控制的要素1)控制环境控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。良好的控制环境是有效内部控制的基础。防止或发现并纠正舞弊和错误是被审计单位治理层和管理层的责任。在评价控制环境的设计和实施情况时,注册会计师应当了解管理层在治理层的监督下,是否营造并保持了诚实守信和合乎道德的文化,以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。Page152)风险评估过程风险评估过程的作用是:识别、评估和管理影响被审计单位实现经营目标能力的各种风险。针对财务报告的目标的风险评估过程则包括:识别与财务报告相关的经营风险,评估风险的重大性和发生的可能性,以及采取措施管理这些风险。Page163)信息系统与沟通与财务报告相关的信息系统,包括用以生成、记录、处理和报告交易、事项和情况,对相关资产、负债和所有者权益履行经营管理责任的程序和记录。4)控制活动控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。Page175)对控制的监督对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程,该过程包括及时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施。Page18(二)对内部控制了解的深度对内部控制了解的深度,是指在了解被审计单位及其环境时对内部控制了解的程度。1、评价控制的设计评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。Page192、获取控制设计和执行的审计证据1)询问被审计单位的人员2)观察特定控制的运用3)检查文件和报告4)追踪交易在财务报告信息系统中的处理过程(穿行测试)3、了解内部控制与测试控制运行有效性的关系除非存在某些可以使控制得到一贯运行的自动化控制,注册会计师对控制的了解并不能够代替对控制运行有效性的测试。Page20(三)内部控制的局限性1、在决策时人为判断可能出现错误和由于人为错误而导致内部控制失效。2、可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。Page21第二节评估重大错报风险一、识别和评估财务报表层次以及认定层次的重大错报风险(一)识别和评估重大错报风险的审计程序(1-4点)注册会计师应当利用实施风险评估程序获取的信息,包括在评价控制设计和确定是否得到执行时获取的审计证据,作为支持风险评估结果的审计证据。(二)可能表明被审计单位存在重大错报风险的事项和情况1-28点注册会计师应当充分关注上述事项和情况,并考虑由于上述事项和情况导致的风险是否重大,以及该风险导致财务报表发生重大错报的可能性。Page22(三)识别两个层次的重大错报风险在对汇总大错报风险进行识别和评估后,注册会计师应当确定,识别的重大错报分先是与特定的某类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定。Page23(四)控制环境对评估财务报表层次重大错报风险的影响财务报表层次的重大错报风险很可能源于薄弱的控制环境。(五)控制对对评估认定层次重大错报风险的影响在评估重大错报风险时,注册会计师应当将所了解的控制与特定认定相联系。这是由于控制有助于防止或发现并纠正认定层次的重大错报。Page24(六)考虑财务报表的可审计性如果通过对内部控制的了解发现下列情况,并对财务报表局部或整体中可审计性产生疑问,注册会计师应当考虑出具保留意见或无法表示意见的审计报告:1.被审计单位会计记录的状况和可靠性存在重大问题,不能获取充分、适当的审计证据以发表无保留意见2.对管理层的诚信存在严重疑虑。必要时,注册会计师应当考虑解除业务约定。Page25二、特别风险(一)特别风险的含义特别风险:作为风险评估的一部分,注册会计师应当运用职业判断,确定识别的风险哪些是需要特别考虑的重大错报风险,这些风险通常简称特别风险。1、确定特别风险时应考虑的事项1)风险是否属于舞弊风险。2)风险是否属与近期经济环境、会计处理方法和其他方面的重大变化有关。3)交易的复杂成度。4)风险是否涉及重大的关联方交易。5)财务信息计量的主观程度。6)风险是否涉及异常或超出正常经营过程的重大交易。Page26(二)非常规交易和判断事项导致的特别风险1.非常规交易非常规交易是指由于金额或性质异常而不经常发生的交易。非常规交易会导致特别风险,因为:(1)管理层更多地介入会计处理(2)数据收集和处理涉及更多的人工成分(3)复杂的计算或会计处理方法(4)非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制。Page272、判断事项判断事项可能会导致的特别风险:判断事项通常包括作出的会计估计。如资产减值准备金额的估计、需要运用复杂估值技术确定的公允价值计量等。(1)对涉及会计估计、收入确认等方面的会计原则存在不同的理解。(2)所要求的判断可能是主观和复杂的,或需要对未来事项作出假设。Page28(三)考虑与特别风险相关的控制对特别风险,注册会计师应当评价相关控制的设计情况,并确定其是否已经得到执行。如果管理层未能实施控制以恰当应对特别风险,注册会计师应当认为内部控制存在重大缺陷,并考虑其对风险评估的影响。Page29三、仅通过实质性程序无法应对的重大错报风险1.作为风险评估的一部分,如果认为仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册会计师应当评价被审计单位针对这些风险设计的控制,并确定其执行情况。2.在被审计单位对日常交易采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的有效性,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。Page30四、沟通(一)就内部控制重大缺陷与治理层和管理层沟通下列情况通常表明内部控制存在重大缺陷:(1)注册会计师在审计工作中发现了重大错报,而被审计单位的内部控制没有发现这些重大错报。(2)控制环境薄弱(3)存在高层管理人员舞弊迹象(无论涉及金额大小)(二)就重大错报风险的控制与治理层沟通如果识别出被审计单位未加控制或控制不当的重大错报风险,或认为被审计单位的风险评估过程存在重大缺陷,注册会计师应当就此类内部控制缺陷与治理层沟通。Page31第三节针对重大错报风险的应对措施一、针对财务报表层次重大错报风险的总体应对措施1.向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;2.分派更有经验或具有特殊技能的审计人员,或利用专家的工作;3.提供更多的督导;4.在选择进一步审计程序时,应当注意使某些程序不被管理层预见或事先了解;5.对拟实施审计程序的性质、时间和范围作出总体修改。总体方案包括实质性方案和综