搜索
风险导向审计实务与案例研究2009年12月财务报表审计的目标和一般原则•财务报表审计的目标–合法性–公允性•一般原则合理保证的概念–“合理保证”系相对于“绝对保证”而言–为什么是合理保证–合理保证意味着审计风险始终存在审计准则重塑了审计流程,体现了风险导向审计的最新发展•要求注册会计师在审计实务中切实贯彻风险导向审计理念,以重大错报风险的识别、评估和应对作为审计工作的主线。•审计风险模型审计风险=重大错报风险x检查风险风险导向审计概述审计工作流程•了解被审计单位及其环境•评估重大错报风险•实施进一步审计程序•完成审计风险导向审计概述•通过对被审计单位及其环境的了解,识别并评估重大错报风险;•从而集中资源和力量,针对高风险的审计领域实施相应的审计程序,从而降低审计的检查风险,使审计风险降至可接受的低水平;•保持较高审计效率及效果审计风险何为审计风险?•是指财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性;•每个审计项目都存在一定的审计风险,问题只是有关风险是否达到不能接受的程度;•注册会计师需保持应有的职业谨慎态度,合理地运用职业判断,评估审计风险所涉及的范围及程度,制定并实施相应的审计程序,以将审计风险降低至可接受的水平审计风险审计风险取决于重大错报风险和检查风险•重大错报风险是指财务报表在审计前存在重大错报的可能性,分为以下两个层次:--财务报表层次;--各类交易、账户余额、列报(包括披露,下同)认定层次•借鉴国际审计准则的阐述(中国准则并未明确规定),认定层次的重大错报风险包括两方面:--固有风险;--控制风险•检查风险是指某一认定存在错报,该错报单独或连同其他错报是重大的,但注册会计师未能发现这种错报的可能性审计风险何谓固有风险?•固有风险是指假定没有相关的内部控制,某一认定(即某类交易、帐户余额或列报)单独或连同其它认定出现重大错报的可能性•固有风险是审计风险中重要的组成部分,原因是固有风险主要反映被审计单位的:--管理层及治理层的诚信度:--背景、业务性质、行业特性和变化、经营风险及财务状况等对固有风险的评估是注册会计师决定是否接受审计委托的最关键的因素控制风险控制风险•指某一认定(即某类交易、帐户余额或列报)单独或连同其他认定产生重大错报,但没有被内部控制及时防止、发现或纠正的可能性•注册会计师一般会将审计风险设定在某一水平。在既定的审计风险水平下,当评估的认定层次的重大错报风险的水平较高时,意味着注册会计师需要扩大审计范围,以便将检查风险尽量降低,使审计风险降低至可接受的水平。重要性审计风险和重要性•重要性取决于在具体环境下对错报金额和性质的判断•如果一项错报单独或连同其他错报可能影响财务报表使用者依据财务报表作出的经济决策,则该项错报是重大的•重要性与审计风险之间存在反向关系,即重要性水平越高(低),审计风险越低(高)审计工作流程了解被审计单位及其环境•注册会计师考虑的因素主要包括(特别是在承接新客户):--企业背景、业务性质、行业特性和变化、经营风险及财务状况等;--管理层及治理层的诚信度,是否有信息表明其缺乏诚信;--项目组是否具有执行业务必要的素质、专业胜任能力、时间和资源;--事务所和项目组是否能够满足职业道德规范的要求,如是否存在独立性问题等?了解被审计单位及其环境是控制及降低审计风险的第一道、也是非常重要的屏障项目承接阶段的风险控制首次接受委托和连续审计的项目评估考虑企业背景、业务性质、行业特性和变化、经营风险及财务状况等,如,•是否为上市公司;•企业的声誉;•受监管程度;•所处行业的稳定性及波动性,如高科技及互联网行业由于技术不断创新或市场因素多变化,故所承受的风险比传统企业高;•管理人员的变动情况;•将盈利水平与同行业的其它企业相比较,并分析盈利水平过高或过低的原因;•负债情况项目承接阶段的风险控制•管理层或治理层的诚信度:--注册会计师在整个审计过程都需要依赖管理层提供资料及各项声明;--由于管理层或治理层的诚信直接影响财务报表的真实程度,因此构成了影响审计风险的一个重要因素;--可通过与前任会计师沟通来评估;--若发现管理层或治理层的诚信出现问题,应考虑立即解除约定项目承接阶段的风险控制获取信息的来源:•通过向客户询问与沟通,获取的财务及其他信息,如财务报表、年度报告等•从第三方获取的信息,如银行、监管机构等•公开信息,如有关政府部门、有影响力的媒体等公布的、按某些指标进行的企业排名等•向工商管理部门查询•与前任注册会计师的沟通•基于对被审计单位所在行业的了解,与其他同行业企业所做的对比及评估•利用外部调查机构,特别是对于高风险的行业及客户项目承接阶段的风险控制•针对连续审计的情况,由于具有以往审计或其他业务经验,注册会计师可能执行的程序比接受新客户相对少一些,但是仍然需要关注所列因素。注册会计师只有在对上述方面获取合理保证的情况下,才能保持客户及审计业务关系。•针对接受新审计客户,注册会计师应考虑是否导致现实或潜在的利益冲突。项目承接阶段的风险控制•通常,连续审计时重点关注被审计单位的重大变化,如在以下方面:-企业的性质、规模、组织结构和所有权结构变化;--财务业绩的波动;--主要股东、董事及关键管理人员等的变化,以及在发生变化的情况下,目前主要股东、董事及关键管理人员等的诚信度;--法律、监管要求等的变化对审计的影响。内部控制内部控制是被审计单位由治理层、管理层和其他人员设计和执行的政策和程序•目的:--合理保证财务报告的可靠性--经营的效率和效果--对法律法规的遵守•并非所有的内部控制均与审计工作直接相关(比如员工需在每天上班时签到/打卡的控制),注册会计师应当运用职业判断,考虑一项控制单独或连同其他控制是否与审计工作相关。内部控制内部控制要素•内部控制要素中的某些要素在企业整体层面发挥作用,有些在认定层面发挥作用,有些则兼而有之,因此内部控制要素也可以进一步划分为:--对内部控制了解的深度--评价控制的设计,并确定其是否得到执行。风险评估•风险评估程序:--询问被审计单位的人员。询问本身并不足以评价控制的设计以及确定其是否得到执行,注册会计师应当将询问与其他风险评估程序结合使用--观察特定控制的运用--检查文件和报告--追踪交易在财务报告信息系统中的处理过程(穿行测试)控制环境•控制环境的要素:--对诚信和道德价值观念的沟通与落实;--对胜任能力的重视;--治理层的参与程度;--管理层的理念和经营风格;--组织结构;--职权与责任的分配;--人力资源政策与实务--控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报注册会计师一般通过询问、观察及检查程序获取审计证据。风险评估风险评估过程•注册会计师应当了解被审计单位的风险评估过程和结果•风险评估过程包括:--识别与财务报告相关的经营风险;--针对这些风险所采取的措施信息系统与沟通(1)应当从下列方面了解与财务报告相关的信息系统:--经营中对财务报表具有重大影响的各类交易;--在信息技术和人工系统中,对交易生成、记录处理和报告的程序;--与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目;信息系统与沟通(2)•从下列方面了解与财务报告相关的信息系统(续):--信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况(指除业务交易类别之外的会计估计、会计调整等事项和情况--被审计单位编制财务报告的过程(包括作出的重大会计估计和披露等)信息系统与沟通(3)了解与财务报告相关的沟通:•被审计单位内部如何对财务报告的岗位职责,以及与财务报告相关的重大事项进行沟通;•管理层与治理层之间的沟通;及被审计单位与外部的沟通控制活动控制活动包括:•授权•业绩评价•信息处理•实物控制•职责分离控制活动控制活动-授权•一般授权:--指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策--各部门通过在政策规定的权限内批准各项交易例如:顾客信用限额、费用报销批准权限•特别授权--指管理层针对特定类别的交易或活动逐一设置的授权例如:董事会授权董事长对一定金额以上的坏账确认的审批控制活动控制活动-业绩评价•主要包括被审计单位分析评价:--实际业绩与预算(或预测、前期业绩)的差异;--综合分析财务数据与经营数据的内在关系;--将内部数据与外部信息来源相比较,评价职能部门、分支机构或项目活动的业绩;--对发现的异常差异或关系采取必要的调查与纠正措施控制活动控制活动-信息处理•一般控制--指与多个应用系统有关的政策和程序,有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性),支持应用控制作用的有效发挥•应用控制--主要在业务流程层次运行的人工或自动化程序,与用于生成、记录、处理、报告交易或其他财务数据的程序相关控制活动控制活动-实物控制•对资产和记录采取适当的安全保护措施--对访问计算机程序和数据文件设置授权--定期盘点并将盘点记录与会计记录相核对控制活动控制活动-职责分离•主要包括对以下职责的相互分离:--交易授权--交易记录--资产保管--以防范同一员工在履行多项职责时可能发生的舞弊或错误监督监督•指被审计单位评价内部控制在一段时间内运行有效性的过程,该过程包括:--及时评价控制的设计和运行;--根据情况的变化采取必要的纠正措施评价内部控制评价内部控制-企业整体层面•评价控制的设计,并确定其是否得到执行。•企业整体层面的控制通常会对认定层面的控制活动产生影响,因此也影响对认定层次的重大错报风险的评估。例如:--企业缺乏明确的政策及程序,对各业务部门负有的相关财务报告责任未予以届定,同时亦不强调定期与财务部门的沟通,由此可能导致业务部门对财务报告责任的忽视。--由此,注册会计师在针对某一认定层次评估风险时,通常考虑由此产生的重大错报风险(如已完工的在建工程未能及时转入固定资产)。评价内部控制评价内部控制----认定层面•评价控制的设计,并确定其是否得到执行。•出于提高审计效率的考虑,也可以将评价控制设计和得到执行和测试控制运行有效性相结合进行。•准则要求应当重点考虑某项控制是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报,即重点考虑认定层面的内部控制。•一般的,交易类别可以划分为:销售与收款交易、采购与付款交易、存货与生产交易、工资与人员交易及筹资与融资交易等。项目组内部讨论对风险评估及审计计划的讨论•内容包括讨论被审计单位的:--经营风险--财务报表容易发生错报的领域--发生错报的方式,特别是由于舞弊导致重大错报的可能性。项目组的关键成员及专家(如有)均应参加讨论•强调保持职业怀疑态度评估重大错报风险评估财务报表层次的重大错报风险(1)可能导致财务报表层次的重大错报风险的因素:企业本身的业务、经营及其环境,例如:--持续经营和资产流动性出现问题,包括重要客户流失;--开发新产品或提供新服务,或进入新的业务领域;--开辟新的经营场所;--运用表外融资、特殊目的实体以及其他复杂的融资协议。评估重大错报风险评估财务报表层次的重大错报风险(2)•可能导致财务报表层次的重大错报风险的因素(续):--对企业整体层面的控制的评估可能会影响对财务报表层次的重大错报风险的评估(特别的,通常与控制环境有关)。例如:--缺乏具备胜任能力的会计人员;--管理人员受到异常或不合理的业绩压力(如股东/董事会作出与行业发展不相符的业绩增长目标,如销售额每年增长20%以上),由此可能导致其为达到业绩目标采取编制虚假财务报告等手段;--信息技术战略与经营战略不协调;--信息技术环境发生变化;•舞弊风险,例如管理层凌驾于内部控制之上确定总体应对措施确定总体应对措施•与财务报表整体存在广泛联系•可能影响多项认定,但难以界定于某类交易、账户余额、列报的具体认定•确定总体应对措施确定总体应对措施•评估的财务报表层次的重大错报风险包括:--被审计单位的某些高层管理人员拥有直接在会计系统中更改会计记录的权限。确定总体应对措施可能导致认定层次的重大错报风险的因素(1)•本身的业务、经