搜索
第六章风险评估教学内容:审计风险的含义与审计风险模型;内部控制理论;重大错报风险的评估。教学重点:审计风险模型,重大错报风险的评估,内部控制理论教学难点:重大错报风险的理解与评估。教学方法:理论讲解+案例分析教学课时:6课时(一)基本概念审计风险有广义和狭义之分。广义的审计风险是指审计的职业风险或行业风险。这里讨论的是狭义的审计风险(项目审计风险)。1、(项目)审计风险:指会计报表存在重大错报,而审计人员审计后发表不恰当审计意见的可能性。一、审计风险及其模型错报:指某一财务报表项目的金额、分类、列报与披露,与按照适用的财务报表编制基础应当劣势的金额、分类、列报或披露之间存在的差异;或者根据审计师的判断,为使财务报表在所有重大方面实现公允反映,需要对金额、分类、列报或披露做出的必要调整。2、审计风险模型审计人员审计后发表不恰当审计意见的可能性由两方面风险构成:一是财务报表本身存在重大错报的风险,这是一种客观风险;二是审计人员所实施的审计程序没有发现重大错报的风险,这是一种主观风险。而总体审计风险就是客观风险和主观风险共同作用的结果。用模型表示即为:审计风险=重大错报风险×检查风险(1)重大错报风险指财务报表在审计前存在重大错报的可能性。它只与被审计对象直接相关,是客观存在的,审计人员不可能改变它,只能通过对被审计单位的充分了解,合理评估其高低,作为确定测试范围的依据。包括两个层次:1)报表层次的重大错报风险这常与控制环境有关,并与报表整体存在广泛联系,可能影响多项认定,且难以界定与某类交易、帐户余额、列报有关的具体认定。审计师应评估它,并确定总体应对措施。2)认定层次的重大错报风险。审计师应评估认定层次的重大错报风险,并根据风险模型确定可接受的检查风险DR的水平。认定层次的重大错报风险包括固有风险(IR)和控制风险(CR)。理解固有风险:P158理解控制风险:P158(2)检查风险(detectionrisk)指某一帐户或交易类别单独或连同其他帐户、交易类别产生重大错报,而未能被审计师发现的可能性。它是与审计人员的检查直接相关的风险,与审计人员的经验、判断能力、审计抽样方法的使用等有关。审计师应当实施审计程序,评估重大错报风险,并根据评估结果设计和实施进一步审计程序,以控制检查风险。二、风险评估—风险识别风险评估是指审计师了解被审单位及其环境,以识别和评估其财务报表的重大错报风险。风险评估有助于(P257):确定重要性水平;考虑会计政策的选用以及财务报表的列报是否恰当;识别特别需要考虑的领域;确定使用分析程序时的预期值;设计和实施进一步审计程序;评价获取的审计证据的充分性与适当性。风险评估:①可以通过实施风险评估程序获取信息,②也可以通过其他审计程序获取信息,③项目组内部的讨论也有助于风险评估。风险评估程序是指审计师为了解被审单位及其环境而实施的审计程序。其具体程序包括询问、观察与检查、分析程序。目的在于识别和评估重大错报风险。(P258-262)主要内容包括:(一)了解被审单位及其环境注意从以下方面了解被审计单位及其环境:A、行业状况、法律环境与监管环境以及其他外部因素;B、被审计单位的性质;C、被审计单位对会计政策的选择和运用;D、被审计单位的目标、战略以及相关经营风险;E、被审计单位财务业绩的衡量和评价。案例一:审计师在对甲股份有限公司进行风险评估时发现存在下列情况:1、甲公司的竞争者开始延长其产品的保证期间;2、竞争者提高了关键财务和管理人员的薪酬;3、原材料产地气候恶劣导致上等原材料发生短缺;4、顾客所处行业正处于衰退期;5、顾客的需求发生变化,需要改进产品的功能和质量;6、销售渠道发生改变,从零售店销售向网上销售转型;7、产品的关键专利即将到期,没有重大的可申请新专利的技术进步;8、进入市场的新竞争者技术上领先。要求:针对上述情况,识别其风险来源,并分析其对审计可能带来的影响。可以列表回答。表式见下页。.事项编号风险来源对审计可能的影响12345678.事项编号风险来源对审计可能的影响1竞争者延长保证承诺可能要求增加预提保证费用2竞争者决策和信息处理的可靠性可能下降;人工成本的分配可能需要调整;应计职工福利可能需要增加3供应商在标准成本计算公式中废料率和损耗率可能上升;可能产生与购买承诺有关的计价问题4购买者应收账款可能不能以原账面净值收回;可能需要增加坏账准备5购买者库存存货可能陈旧和过时,导致可变现净值下降6购买者现存的销售渠道可能需要关闭,带来重组成本(资产处置、员工解雇成本)7进入市场的新竞争者对于生产产品的资产的投资可能无法收回;企业可能无法持续经营8进入市场的新竞争者投资需要计提减值准备(二)了解被审单位的内部控制内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。1、了解与审计相关的内部控制(P271)与审计相关的控制——指被审计单位为实现财务报告可靠性目标设计和实施的控制。审计师应当运用职业判断,考虑一项控制单独或连同其他控制是否与评估重大错报风险及针对评估的风险设计和实施进一步审计程序有关。2、了解的深度(P272-273):(包括评价控制的设计、以及确定是否得到执行,不包括针对是否得到一贯执行的测试)3、人工与自动化条件下的内部控制(P273)4、内部控制的目标:一般应当实现以下目标:(1)保证业务活动按照适当的授权进行;(2)保证所有交易和事项以正确的金额,在恰当的会计期间及时记录于适当的帐户,使会计报表的编制符合会计准则的相关要求;(3)保证对资产和记录的接触、处理均经过适当的授权;(4)保证账面资产与实存资产定期核对相符。5、内部控制有其固有的局限性原因在于:(1)内部控制的设计和运行受制于成本与效益原则;(2)内部控制一般仅针对常规业务活动而设计;(3)执行人员的素质和工作质量;(4)串通舞弊;(5)执行人员滥用职权或屈从于外部压力;(6)经营环境和业务性质的变化。故内部控制对会计报表的公允性只能提供合保证,即控制风险始终大于零。(三)内部控制的构成要素内部控制的历史演变“内部牵制”阶段(20世纪40年代以前)“内部控制”阶段(20世纪40年代——70年代,两分法)“内部控制结构”阶段(80年代以后,三要素)“内部控制整体框架”阶段(90年代后,COSO,五要素)“企业风险管理框架”阶段(财务丑闻增多,2004,八要素)按要素划分,包括:控制环境(ControlEnvironment)、风险评估过程、控制活动、信息系统和沟通、对控制的监督。A、控制环境控制环境是指对被审计单位控制的建立和实施有重大影响的一组因素的统称。控制环境包括治理职能与管理职能,以及管理层和治理层对内部控制及其重要性的态度、认识和措施。控制环境包含的因素主要有:对诚信和道德价值观念的沟通与落实;对人员胜任能力的重视;治理层的参与程度;管理层的理念和经营风格(管理哲学和经营方式等);组织结构及职权与责任的分配;人力资源管理(政策与实务)。B、风险评估1、指与提供符合公认会计原则的财务报告有关的风险的确认、分析和管理,即管理层确认可以承受的风险水平,识别这些风险,并采取一定的应对措施。2、管理当局应制定计划、程序和行动来避免具体风险或出于成本和其他因素接受这一风险。3、引起风险的环境因素:(1)监管及经营环境的改变;(2)新职员的引入;(3)新技术的引进;(4)新生产线或新经营活动的出现(新经营领域);(5)信息系统的更新;(6)公司的快速成长;(7)会计准则、会计政策的变更。C、控制活动指确保管理层指令得以实施的政策和程序。(1)交易授权(Transactionauthorization)交易授权程序的主要目标在于保证交易是管理人员在其授权范围内授权才产生的。一般授权是指授权处理一般性的交易;如购买办公用品。特别授权则指授权处理非常规性的交易,如重大资本性支出和发行股票。交易授权程序通常对“存在或发生”认定,以及某些“估价或分摊”认定的控制风险有直接影响。(2)职责分离(Segregationofduties)不相容职务:集中于一个人办理时发生差错或舞弊的可能性会增加的两项或几项职务。不相容的职责包括:授权——执行;执行——审查;执行——记录;保管——记录;保管——检查;记录总账与记录明细账、日记账职务分离。职责划分:是指对某交易涉及的各项职责进行合理划分,使每一个人的工作能自动地相互检查另一个人或更多人的工作。职责划分的主要目标:是为了预防和及时发现在执行所分配的职责时所产生的错误或舞弊行为。职责划分通常对“存在或发生”认定、“完整性”认定以及某些“评价与分摊”认定的控制风险有直接影响。案例:巴林银行倒闭案1992年7月到1995年2月,巴林银行(世界首家商业银行)新加坡交易员Lesson未经授权进行日经指数期货交易,并刻意隐瞒日经指数期货交易产生的约14亿美元损失,最终导致这家有一百多年历史的银行宣布破产,被荷兰银行以象征性的1美元收购。其后,英格兰银行提交的调查报告中指出巴林银行倒闭的主要原因是管理层不了解衍生金融商业的特性;缺乏风险管理;缺乏内部稽核。巴林银行缺乏有效的职责划分和内部稽核机制,Lesson身兼巴林新加坡分行的交易员和结算员,这使他有机会伪造存款和其他凭证,把期货交易带来的损失瞒天过海。而巴林银行的高层对Lesson在新加坡的业务并不了解,在事发3年内居然无人真正看出Lesson的问题。最终造成了不可收拾的局面。思考题:从内部控制的角度来看,上述案例中巴林银行内控有何缺陷?(3)实物控制:是指通过对有关资产和记录实施特定保护措施以保证其安全和完整的一种控制方式,具体又可分为接触控制和盘点控制。接触控制:针对有关重要的资产和文件记录,明确其可以接触和接近的人员以及接触和接近人员的职责范围,并限制其他人员接触或接近以保证安全。盘点控制:对企业的资产实施定期盘点清查,并将盘点结果与会计记录进行比较以确定其帐实是否相符的一种方法。(4)信息处理:信息传递过程中,管理人员会采取一系列的控制活动来保证信息的准确性、完整性、安全性。信息处理可分两个层次:①管理文件控制:以书面文件形式明确企业各部门和人员任务、职责、企业方针政策。如:通过系统流程图、组织图、岗位工作说明等来制约和协调企业内部各部门和岗位之间、某项业务各步骤之间关系的一种控制方式。②会计记录控制:通过预先编号、签名盖章、复式记帐、控制帐户等运用,以确保交易信息真实、完整的一种控制方式。(5)业绩独立检查独立检查是指由独立人员验证与复核另一个人或部门执行工作的正确性。包括:复算各会计记录计算的准确性、核对各相关会计资料记录上的一致性,定期将实际业务活动与预算计划或前期业务活动进行比较,计算各种财务比率等。独立检查同“估价或分摊”认定“存在或发生”、“完整性”认定有关。D、信息系统(与财务报告有关)与沟通信息——企业的内部控制系统必须有一个完善的信息传递、沟通和反馈的系统。沟通——让每一个员工对于其在内控及财务报告中的作用和责任有一个充分的了解。包括个人对于其行为对他人造成的影响的认识及各部门之间业务活动的相互协调。纵横方向的信息流——组织结构设计不但要有助于部门和雇员之间的沟通,还要有助于消除部门之间的障碍及为员工合作提供机会。沟通形式——设立联络员或专职整合员,成立任务组,引入第三方顾问,进行成员轮换,增加团队间的培训,强调共同使命,进行对话与谈判,编制政策指南,财务报告手册及备忘录等。E、对控制的监督——由管理当局对内部控制的效果进行持续或定期的评估,以确保其按预定的目标发挥作用及根据情况变化而适时修正、完善。——包括日常的管理监督活动,也包括内部审计及与单位外部团体进行信息交流的监控。——旨在评估内部控制。——内部审计是控制环境中的一个特殊因素,一方面为内控的组成部分,另一方面又监督内控的运行。审计师在对甲公司的内部控制进行了解和测试时发现:1、甲公司产成品发出时,销