第六章风险评估与风险应对

第六章风险评估与风险应对本章结构第二节风险应对第一节风险评估学习目标：理解内部控制的含义与构成要素掌握控制测试和实质性程序的含义和要求理解内部控制、控制测试和实质性程序之间的关系掌握识别和评估重大错报风险时应当实施的审计程序掌握控制测试和实质性程序的性质、时间和范围第一节风险评估一、风险评估概述（一）风险评估的含义风险评估是指注册会计师在对被审计单位及其环境进行了解的基础上，通过连续和动态地收集、更新与分析被审计单位及其环境的有关信息，对被审计单位财务报表的重大错报风险进行识别和评估，以便于设计和实施进一步审计程序的过程。了解被审计单位及其环境的作用：为注册会计师在下列关键环节作出职业判断提供了依据：1.确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；2.考虑会计政策的选择和运用是否恰当，以及财务报表的列报是否适当；3.识别需要特别考虑的领域，包括关联方交易、管理层运用持续经营假设的合理性，或交易是否具有合理的商业目的等；4.确定在实施分析程序时所使用的预期值；5.设计和实施进一步审计程序，以将审计风险降至可接受的低水平；6.评价所获取审计证据的充分性和适当性。（二）审计风险准则对注册会计师财务报表审计测试流程的要求1.要求注册会计师必须了解被审计单位及其环境；2.要求注册会计师在审计的所有阶段都要实施风险评估程序；3.要求注册会计师将识别和评估的风险与实施的审计程序挂钩；4.要求注册会计师针对重大的各类交易、账户余额和披露实施实质性程序；5.要求注册会计师将识别、评估和应对风险的关键程序形成审计工作记录，以保证执业质量，明确执业责任。二、风险评估程序为了解被审计单位及其环境而实施的程序称为风险评估程序。风险评估程序的目的：注册会计师实施风险评估程序的目的是为了识别和评估财务报表重大错报风险，包括：1.财务报表层次的重大错报风险（对应总体应对措施）；2.各类交易、账户余额和披露认定层次的重大错报风险（对应进一步审计程序）。风险评估程序的内容（包括哪些具体程序）注册会计师通过实施下列风险评估程序，以了解被审计单位及其环境：1.询问管理层和被审计单位内部其他人员；2.分析程序；（财务数据与财务数据，财务数据与非财务数据）3.观察（状态、过程）和检查（文字记录）。（一）询问被审计单位管理层和内部其他相关人员应当向管理层和财务负责人询问下列事项：（1）管理层所关注的主要问题。如新的竞争对手、主要客户和供应商的流失、新的税收法规的实施以及经营目标或战略的变化等。（2）被审计单位最近的财务状况、经营成果和现金流量。（3）可能影响财务报告的交易和事项，或者目前发生的重大会计处理问题。如重大的购并事宜等。（4）被审计单位发生的其他重要变化。如所有权结构、组织结构、内部控制的变化等。其次，还应考虑询问其他人员，并考虑询问不同级别的员工。（1）询问治理层，有助于注册会计师理解财务报表编制的环境；（2）询问内部审计人员，有助于注册会计师了解其针对被审计单位内部控制设计和运行有效性而实施的工作，以及管理层对内部审计发现的问题是否采取适当的措施；（3）询问参与生成、处理或记录复杂或异常交易的员工，有助于注册会计师评估被审计单位选择和运用某项会计政策的适当性；（4）询问内部法律顾问，有助于注册会计师了解有关法律法规的遵循情况、产品保证和售后责任、与业务合作伙伴(如合营企业)的安排、合同条款的含义以及诉讼情况等；（5）询问营销或销售人员，有助于注册会计师了解被审计单位的营销策略及其变化、销售趋势以及与客户的合同安排；（6）询问采购人员和生产人员，有助于注册会计师了解被审计单位的原材料采购和产品生产等情况；（7）询问仓库人员，有助于注册会计师了解原材料、产成品等存货的进出、保管和盘点等情况。（二）实施分析程序含义：实施分析程序的结果仅可能初步显示[不能作为直接证据]财务报表存在重大错报风险，应当连同识别重大错报风险时获取的其他信息一并考虑。（三）观察和检查程序可以印证对管理层和其他相关人员的询问结果，并可提供有关被审计单位及其环境的信息。（1）观察被审计单位的生产经营活动；（2）检查文件、记录和内部控制手册；（3）阅读由管理层和治理层编制的报告；（4）实地察看被审计单位的生产经营场所和设备；（5）追踪交易在财务报告信息系统中的处理过程(穿行测试)。【例题·单选题】注册会计师了解被审计单位及其环境的目的是（）。A.为了进行风险评估程序B.收集充分适当的审计证据C.为了识别和评估财务报表重大错报风险D.控制检查风险【答案】C【解析】注册会计师为了识别财务报表重大错报才去了解被审计单位及其环境。三、了解被审计单位及其环境（一）了解行业状况、法律环境和监管环境及其他外部因素1.行业状况2、了解被审计单位所处的法律环境和监管环境①会计原则和行业特定惯例；②受管制行业的法规框架；③对被审计单位经营活动产生重大影响的法律法规，包括直接的监管活动；④税收政策；⑤目前对被审计单位开展经营活动产生影响的政府政策，如货币政策、财政政策、财政刺激措施、关税或贸易限制政策等；⑥影响行业和被审计单位经营活动的环保要求。3、了解其他外部因素的内容①总体经济情况；②利率；③融资的可获得性；④通货膨胀水平或币值变动。识别关联方复杂的组织结构可能导致重大错报（财务报表合并，长期股权投资的核算）识别主要主要交易与账户、披露了解经营策略和方向了解融资压力、持续经营能力被审计单位的监督情况（二）了解被审计单位的性质（三）了解被审计单位对会计政策的选择和运用①重大和异常交易的会计处理方法；②在缺乏权威性标准或共识、有争议的或新兴领域采用重要的会计政策产生的影响；③会计政策的变更；④新颁布的财务报告准则、法律法规，以及被审计单位何时采用、如何采用这些规定等。（四）了解被审计单位的目标、战略以及相关经营风险1、目标、战略与经营风险的含义①目标是企业经营活动的指针；②战略是管理层为实现经营目标采用的方法；③经营风险是指可能对被审计单位实现目标和实施战略的能力产生不利影响的重要状况、事项、情况、作为（或不作为）而导致的风险，或由于制定不恰当的目标和战略而导致的风险。2、在下列方面了解有关目标和战略并考虑相应的经营风险①行业发展；②开发新产品或提供新服务；③业务扩张；④新的会计要求；⑤监管要求；⑥本期及未来的融资条件；⑦信息技术的运用；⑧实施战略的影响，特别是由此产生的需要运用新的会计要求的影响。3、经营风险对重大错报风险的影响①多数经营风险最终都会产生财务后果，从而影响财务报表；②并非所有经营风险都会导致重大错报风险；③经营风险可能对各类交易、账户余额和披露的认定层次或财务报表层次产生直接影响。（五）了解被审计单位对财务业绩的衡量和评价1、在了解被审计单位财务业绩衡量和评价情况时，注册会计师应当关注下列信息：①关键业绩指标、关键比率、趋势和经营统计数据；②同期财务业绩比较分析；③预算、预测、差异分析，分部信息与分部、部门或其他不同层次的业绩报告；④员工业绩考核与激励性报酬政策；⑤被审计单位与竞争对手的业绩比较。2、关注内部财务业绩衡量的结果①关注被审计单位内部财务业绩衡量所显示的未预期到的结果或趋势；②管理层的调查结果和纠正措施；③相关信息是否显示财务报表可能存在重大错报。3、了解被审计单位对财务业绩衡量与评价的目的①考虑管理层是否面临实现某些关键财务业绩指标的压力；②深入了解被审计单位的目标和战略。四、了解被审计单位的内部控制（一）内部控制的含义及要素1、含义：内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策及程序。2、内部控制的目标可以对以下事项提供合理保证：（1）财务报告的可靠性，这一目标与管理层履行财务报告编制责任密切相关；（2）经营的效率和效果，即经济有效地使用企业资源，以最优方式实现企业的目标；（3）遵守适用的法律法规的要求，即在法律法规的框架下从事经营活动。（每天运营遵守法律法规，月末年末的报告要真实可靠，全年的经营要有效果。）3、内部控制要素（1）控制环境；（2）风险评估过程；（3）信息系统与沟通（4）控制活动；（5）对控制的监督。控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。控制环境设定了被审计单位的内部控制基调，影响员工对内部控制的意识。控制环境薄弱往往意味着被审计单位财务报表层次的重大错报风险。控制环境控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动：（1）授权。授权的目的在于保证交易在管理层授权范围内进行。一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。特别授权是指管理层针对特定类别的交易或活动逐一设置的授权。控制活动（2）业绩评价（3）信息处理（信息技术的一般控制与应用控制）（4）实物控制（5）职责分离了解职责分离主要是了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。【单项选择题】职责分离要求将不相容的职责分配给不同员工。下列职责分离做法中正确的是（）。A.交易授权、交易执行、交易付款分离B.交易授权、交易记录、资产保管分离C.资产保管、交易执行、交易报告分离D.交易授权、交易付款、交易记录分离【答案】B【解析】注册会计师了解控制活动的职责分离主要是了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工，目的是为了防范同一员工在履行多项职责时可能发生的舞弊或错误，选项B正确。（二）内部控制的固有局限性内部控制无论如何有效，都只能为被审计单位实现财务报告目标提供合理保证。内部控制实现目标的可能性受其固有限制的影响。这些限制包括：1.在决策时人为判断可能出现错误和因人为失误而导致内部控制失效；2.控制可能由于两个或更多的人员串通或管理层不当地凌驾于内部控制之上而被规避；3.内部行使控制职能的人员素质不适应岗位要求也会影响内部控制功能的正常发挥；4.被审计单位实施内部控制的成本效益问题也会影响其效能；5.内部控制一般都是针对经常而重复发生的业务而设置的，如果出现不经常发生或未预计到的业务，原有控制就可能不适用。（三）内部控制的了解与初步评估财务报表审计中对内部控制了解的定位：注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。目的并非对被审计单位内部控制的有效性发表意见。1、对内部控制了解的深度对内部控制了解的深度，是指在了解被审计单位及其环境时对内部控制了解的程度。包括评价控制的设计，并确定其是否得到执行，但不包括对控制是否得到一贯执行的测试。（1）评价控制的设计评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。（2）确定控制得到执行控制得到执行是指某项控制存在且被审计单位正在使用。注意：首先考虑控制的设计评估一项无效控制运行没有什么意义，因此需要首先考虑控制的设计；设计不当的控制可能表明存在值得关注的内部控制缺陷。2、了解内部控制实施的审计程序。注册会计师通常实施下列风险评估程序，以获取有关控制设计和执行的审计证据：（了解内控的程序）1、询问被审计单位的人员；2、观察特定控制的运用；3、检查文件和报告；4、追踪交易在财务报告信息系统中的处理过程(穿行测试)。3、了解与评价内部控制注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。在实务中注册会计师对内部控制的了解和评价应该从整体和业务流程两个层面进行：（1）在整体层面了解和评估内部控制对整体层面内部控制的了解由项目组中对被审计单位情况比较了解且较有经验的成员负责，同时需要项目组其他成员的参与和配合。对于连续审计，注册会计师可以重点关注整体层面内部控制的变化情况。核心主要针对控制环境、道德价值观念、被