了解客户的经营状况:战略风险管理一、管理当局应对风险的措施:内部控制二、管理控制三、用于应对战略风险的业务流程四、管理控制对审计的影响一、管理当局应对风险的措施:内部控制1内部控制的定义2内部控制的组成3控制层次经营风险是否重大可以从两个角度进行评价:(1)风险给组织带来负面结果的可能性;(2)如果问题确实发生,负面后果的大小。风险2风险4风险5风险1风险3可能错报的影响大小错报的可能性低高高1内部控制的定义内部控制是管理当局为了合理保证组织的目标得以实现而设计的过程。有三类目标与内部控制相关:提高管理当局决策制定的有效性和业务流程的效率。提高信息(包括财务报告)的可靠性。促使企业遵守法律、规章和契约性义务。2内部控制的组成内部控制由五个部分组成。每个要素对有效的风险管理来说都很重要。对内部控制的完整了解,通常会让审计人员确定风险是否已有效降低。监测信息沟通控制活动风险评估控制环境和3控制层次在组织中,内部控制可以在不同的层次上实施。(1)管理控制;(2)流程控制。(1)管理控制管理控制是高层管理部门用来降低组织战略风险,并提高决策制定有效性和业务活动效率的活动。一般而言,管理控制与内部控制组成要素的设计、执行和监测有关。(2)流程控制流程控制是指在组织中作为各种业务流程的一部分而实施的控制活动,通常由员工和下级管理部门实施。着重于流程中的内部风险流程控制还要从根本上保证会计信息的可靠性和对规章的遵循。二、管理控制1管理控制的形式2评价管理控制3管理控制的潜在局限性1管理控制的形式管理控制可以采用多种形式,不一定总表现为正式的程序。重要的管理控制形式包括:(1)最高层的检查(2)直接的业务活动管理(3)绩效测评指标和基准指标(4)独立评价(1)最高层的检查高层管理部门定期将经营成果与预测和预算比较,快速调查出潜在的问题。最高层检查的质量和有效性取决于检查过程中使用信息的及时性、可靠性和相关性。(2)直接的业务活动管理直接负责管理具体业务流程的各个层次的管理人员(行政部门的、职能部门的和业务方面的)往往最容易在问题刚出现,通常当问题还很小时迅速发现问题。那么,管理当局的有效性就取决于其发现问题存在的领域并对早期预警信号作出恰当反应的能力。(3)绩效测评指标和基准指标一套以经营和财务数据为基础的诊断指标是监测组织状况的强有力的工具。如果能运用相关的基准指标,这个工具就更加强大了。基准指标只是目标水平或与相关绩效指标进行比较的标准,例如,应收账款的拖欠比率。(4)独立评价如果执行控制的人员不参与相应的经营或业务活动,即与其保持独立,那么控制最为有效。在组织中,管理当局通常最适于对大多数业务活动执行独立监督。2评价管理控制(1)了解管理当局采取的政策和措施(2)管理控制对审计及风险评估的影响(3)控制测试(1)了解管理当局采取的政策和措施对于审计人员已识别出的每个重要风险,都应当考虑所有可能降低风险的现有管理控制。审计人员可以检查程序手册、定期报告和内部审计测试,以评价管理当局监测和控制风险的有效性。最佳途径——与负责管理重要风险的关键员工面谈(2)管理控制对审计及风险评估的影响——具体例子竞争对手可能会在事先没有任何征兆的情况下推出新产品、降低价格或改善服务,并获得竞争优势,给企业带来风险。那么,在管理风险时,监测竞争对手的行动就很重要。审计人员也有必要考虑这种风险,因为它可以影响收入水平、利润、存货估价、服务成本和销售费用。为了评价管理控制是否有效,审计人员可以检查管理当局使用的定期报告,并评价管理当局采取应对措施的性质和及时性。而且,从审计人员的角度来看,这些报告可以提供相关信息,直接用于评估存货的估价,或评估营销和广告方面的无形资产。管理控制对风险评估的影响风险2风险4风险5风险1风险3可能错报的影响大小错报的可能性低高高(3)控制测试审计人员不能仅凭大概直觉就降低对风险的评估水平。单靠管理当局声明书来降低风险也不能接受。审计人员需要获得证据来证明风险的重要性低于最初认定。控制测试方法客户调查观察文件检查3管理控制的潜在局限性传达任务和目标失败不准确或过时的假定过分强调当前情况僵化的组织结构未落实经管责任制沟通障碍如果审计人员认为有些情况在当前存在或所有情况都存在,那么管理控制的质量将被严重削弱。三用于应对战略风险的业务流程设计良好的流程可以帮助组织达到目标,并且,通过规范组织应对外部风险的措施,可以大大降低战略风险的潜在影响。价值链就是组织以有效和可控的方式开展经营活动的流程的集合。1基本业务活动入库物流生产经营活动营销和销售活动出库物流活动客户服务(1)入库物流入库物流活动是指组织获得、储存和管理生产流程所需投入的实物活动。入库物流活动的复杂性取决于:生产所需投入的数量和范围;资源运送的方式和时间安排;对收到资源的控制等。入库物流产生的审计问题与进货的完整性和估计、费用和负债的截止有关。(2)生产经营活动公司将投入转化为可以销售给客户的产品或服务所进行的活动称为生产经营活动。经营活动的复杂性取决于:资源改造要求的程度;控制和管理存货水平的需要;产品成本计算的复杂性(例如大量制造费用的分配)。生产经营活动产生的审计问题主要是产品和服务的成本计算,这又取决于各种成本的分配(诸如间接人工、服务部门、折旧和摊销)。(3)营销和销售活动这是指为公司的产品和服务创造需求并管理客户关系的活动。营销和销售活动的复杂性取决于:广告活动的性质;与客户联络销售的类别;分销渠道的选择。营销和销售产生的审计问题主要是受销售条件(比如退货权力)影响的收入确认问题和应收账款的可收回性问题。(4)出库物流活动这是指将产品和服务运送给客户的活动。它们包括与订单处理相关的活动。出库物流活动的复杂性取决于:被运送的产品或服务的性质;运送方式;与客户的合约安排。出库物流活动产生的审计问题包括销售截至、收入确认的时间安排和销售退回的规模。(5)客户服务指公司向客户运送商品和服务之后还要进行的安装、培训客户员工和修理等活动。服务活动的复杂性取决于:产品安装和使用的复杂性;质量保证的范围和程度;是否存在与产品捆绑在一起的售后服务合同;进行修理和零件更换的方式。客户服务活动产生的审计问题包括:与质量担保有关的或有成本,根据售后服务合同或与产品捆绑在一起的服务合同确认收入的时间安排问题。2支持性业务活动(1)基础财务管理;(2)采购和供应链管理;(3)人力资源管理;(4)技术和信息管理(1)基础财务管理包括:会计、公司治理、财务和战略规划。审计人员主要关心融资、长期租赁、收购其他公司、进行投资和套期保值业务。(2)采购和供应链管理这些活动是指为获取整个组织使用的原材料、用品和其它有形原料而做出的安排。(3)人力资源管理主要是获得组织所需要的人力资源,包括雇员的招聘、雇用、培训、留用、绩效评价和报酬。与人力资源活动相关的审计问题包括:由不恰当的员工政策和程序产生的不同类型的或有负债,直接和间接人工成本的分配,与报酬和福利有关的负债。(4)技术和信息管理技术和信息管理活动涉及到技术和知识资源的获取。新产品的技术开发或支持基础业务活动的技术开发产生的审计问题主要是合理地确认和分摊相关成本。四管理控制对审计方面的影响即将已确定的风险与具体业务流程和管理控制结合起来进行分析。(1)各种来源的经营风险和受风险影响的内部活动之间的关系可以预测比如,供应商方面的威胁最可能影响企业的入库物流和采购活动。客户方面的风险最可能影响企业的出库物流、销售营销以及服务活动。替代品和新进入者方面的威胁最可能影响销售营销或者技术。最后,虽然竞争对手影响公司的最显著领域可能是销售营销和服务,但竞争对手方面的风险还会影响公司的其他领域。(2)管理控制对审计的影响下表列出的审计影响与上一章的表格相同。但是,由于增加了业务流程和管理控制方面的信息,审计人员能够对单个风险的重要性做出明智判断。如果存在有效的管理控制,风险已经不太重要,就应该采取方法测试相关的控制,从而证实对风险的判断。在获得了必要审计证据后,审计人员就可以确定哪些风险对组织产生持续和重大的威胁。这些风险同样会影响到审计的执行,并可能影响随后审计人员对财务报表认定的测试。