搜索
风险评估和风险应对目录重大错报风险评估重大错报风险应对第1节针对财务报表层次重大错报风险的总体应对措施第2节针对认定层次重大错报风险的进一步审计程序第3节控制测试第4节实质性程序12ContentsPrincipleofAuditing第1节了解被审计单位及其环境第2节了解被审计单位的内部控制第3节重大错报风险的评估审计原理重大风险的风险评估要求1.理解对被审计单位及其环境进行了解的主要内容及方法;2.掌握内部控制的概念、目的、分类、内部控制要素;3.掌握评估财务报表层和认定层重大错报风险的方法;4.掌握如何去识别、评估财务报表含有的重大错报风险。一、风险识别和评估概述风险识别和评估的概念1.风险识别:是指找出财务报表层次和认定层次的重大错报风险。2.风险评估:是指对重大错报发生的可能性和后果严重程度进行评估。二.了解被审计单位及其环境的方法1、风险评估程序▲(1)风险评估程序为了了解被审计单位及其环境,识别和评估财务报表重大错报风险,而实施的程序称为“风险评估程序”。(2)实施风险评估程序的目的注册会计师实施风险评估程序目的是为了识别和评估财务报表重大错报风险。(3)风险评估程序的内容1)询问被审计单位管理层和内部其他相关人员;2)实施分析程序;3)观察和检查。2.其他审计程序帮助CPA丛被审计单位外部获取信息询问专业评估师、投资顾问等外部人员阅读外部信息,如相关期刊,法规或金融出版物等下列各项程序中,通常用作风险评估程序的有()(多选)A、检查B、分析程序C、重新执行D、观察答案ABD二.了解被审计单位及其环境的方法3、其他信息来源内部获取信息CPA应该考虑在承接客户或续约过程中获取的信息,以及向被审计单位提供其他服务(如执行中期财务报表审阅业务)所获得的经验是否有助于识别重大错报风险。4、项目组内部讨论-审计小组获取信息(1)讨论的目标:一是在各自负责的领域内,由于舞弊或者错误导致财务报表重大错报的可能性(围绕风险)。二是各自实施审计程序的结果如何影响审计的其他方面[相互借鉴],包括对确定进一步审计程序的影响。(2)讨论内容:讨论的内容和范围受项目组成员的职位、经验和所需要的信息的影响。通常包括被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式,特别是由舞弊导致重大错报的可能性。(3)讨论的人员:项目组关键成员应当参与讨论,但不要求所有成员每次都参与讨论。如果需要专家,专家也应参与讨论(需要谁谁参加)。(4)时间和方式(任何时间、任何方式):根据具体情况,在整个审计过程中持续交换有关财务报表发生重大错报可能性的信息。讨论时应保持职业怀疑态度,警惕可能发生重大错报的迹象,并对这些迹象进行严格追踪。三.了解被审计单位及其环境的主要内容1.行业状况、法律环境与监管环境以及其他外部因素行业状况:(1)行业的市场供求与竞争;(2)生产经营的季节性和周期性;(3)产品生产技术的变化;(4)能源供应与成本;(5)行业的关键指标和统计数据。法律及监管环境:(1)会计原则和行业特定惯例(2)受管制行业的法规框架;(3)对被审计单位经营活动产生重大影响的法律法规,包括直接的监管活动;三.了解被审计单位及其环境的主要内容1.行业状况、法律环境与监管环境以及其他外部因素(4)税收政策;(5)目前对被审计单位开展经营活动产生影响的政府政策,如货币政策(包括外汇管制)、财政政策、财政刺激措施(如政府援助项目)、关税或贸易限制政策等;(6)影响行业和被审计单位经营活动的环保要求。其他外部因素:总体经济情况、利率、融资的可获得性、通货膨胀水平或币值变动等三.了解被审计单位及其环境的主要内容2.被审计单位的性质(3活动、3结构、1报告)3.被审单位的目标、战略以及可能导致重大错报相关经营风险三.了解被审计单位及其环境的主要内容4.被审单位对会计政策的选择和运用(1)重大和异常交易的会计处理方法(2)在缺乏权威性标准或共识、有争议的或新兴领域采用重要的会计政策产生的影响(3)会计政策的变更(4)新颁布的财务报告准则、法律法规,以及被审计单位何时采用、如何采用这些规定5.被审计单位财务业绩的衡量和评价(1)了解的主要方面关键业绩指标(财务或非财务的)、关键比率、趋势和经营统计数据;同期财务业绩比较分析;预算、预测、差异分析,分部信息与分部、部门或其他不同层次的业绩报告;员工业绩考核与激励性报酬政策;被审计单位与竞争对手的业绩比较。(2)关注内部财务业务衡量的结果内部财务业绩衡量可能显示被审计单位与同行业其他单位相比具有异常快的增长率或盈利水平,如果与业绩奖金或激励性报酬等因素结合起来考虑,可能显示管理层编制财务报表时存在某种倾向的错报风险。(3)考虑财务业绩衡量指标的可靠性如果注册会计师计划在审计中(如实施分析程序时)利用财务业绩指标,应当虑相关信息是否可靠,以及在实施审计程序时利用这些信息是否足以发现重大错报。第二节了解被审计单位的内部控制一、内部控制的定义与目标二、对内部控制了解的深度三、内部控制的人工和自动化成分四、内部控制的局限性五、内部控制的要素六、内部控制的评价标准和记录方法一、内部控制的定义与目标▲财务报告的可靠性经营的效率和效果在经营活动中不违反法律法规的要求1231.内部控制的定义内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。2.目标——合理保证3个方面3.设计和实施内部控制的责任主体是治理层、管理层和其他人员,组织中的每一个人都对内部控制负有责任。4.实现内部控制目标的手段是设计和执行控制政策和程序。5.内部控制五要素:控制环境、风险评估过程、与财务报告相关的信息系统和沟通、控制活动、对控制的监督6.(1)注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制。被审计单位通常有一些与目标相关,但与审计无关的控制,注册会计师无需对其加以考虑。(2)被审计单位的目标与为实现目标提供合理保证的控制之间存在直接关系。(3)被审计单位的目标和控制,与财务报告、经营合规有关。但这些目标和控制并非都与注册会计师的风险评估相关。(4)判断控制是否与审计相关可考虑:重要性、相关风险的重要程度、被审计单位的规模、被审计单位业务的性质、被审计单位经营的多样性和复杂性等。二、对内部控制了解的深度(1)概念:是指在了解被审计单位及其环境时对内部控制了解的程度。包括评价控制的设计,并确定其是否得到执行,但不包括对控制是否得到一贯执行的测试。(2)对内部控制了解的深度包括:①评价控制的设计②确定其是否得到执行(3)获取控制设计和执行的审计程序(了解内部控制的方法)①询问被审计单位的人员②观察特定控制的运用③检查文件和报告④追踪交易在财务报告信息系统中的处理过程(穿行测试)初步业务活动总体审计策略具体审计计划风险评估程序进一步审计程序其他程序计划审计工作了解内部控制设计的合理性(防止或发现并纠正重大错报风险)是否得到执行(穿行测试)控制测试(内部控制运行的有效性)实质性程序出具报告能否代替?(多选)下列有关注册会计师了解内部控制的说法中,正确的有()。A.注册会计师在了解被审计单位内部控制时,应当确定其是否得到一贯执行B.注册会计师不需要了解被审计单位所有的内部控制C.注册会计师对内部控制的了解通常不足以测试控制运行的有效性D.注册会计师询问被审计单位人员不足以评价内部控制设计的有效性答案:BCD(单选)下列审计程序中,注册会计师在了解被审计单位内部控制时通常不采用的是()。A.询问B.观察C.分析程序D.检查答案:C三、内部控制的人工和自动化成分(一)信息技术的优势及相关内部控制风险1.信息技术的优势:通常表现在提高被审计单位内部控制的效率和效果。(1)在处理大量的交易或数据时,一贯运用事先确定的业务规则,并进行复杂运算;(2)提高信息的及时性、可获得性及准确性;(3)促进对信息的深入分析;(4)提高对被审计单位的经营业绩及其政策和程序执行情况进行监督的能力;(5)降低控制被规避的风险;(6)通过对应用程序系统、数据库系统和操作系统执行安全控制,提高不兼容职务分离的有效性。三、内部控制的人工和自动化成分2.信息技术可能对内部控制产生的特定风险:(1)所依赖的系统或程序不能正确处理数据,或处理了不正确的数据,或两种情况并存。(2)未经授权访问数据,可能导致数据的毁损或对数据不恰当的修改,包括记录未经授权或不存在的交易,或不正确地记录了交易;多个用户同时访问同一数据库可能会造成特定风险;(3)信息技术人员可能获得超越其职责范围的数据访问权限,破坏了系统应有的职责分工;(4)未经授权改变主文档的数据;(5)未经授权改变系统或程序;(6)未能对系统或程序作出必要的修改;(7)不恰当的人为干预;(8)可能丢失数据或不能访问所需要的数据。三、内部控制的人工和自动化成分(二)人工控制的适用范围及相关内部控制风险内部控制的人工成分在处理下列需要主观判断或酌情处理的情形时可能更为适当:1.存在大额、异常或偶发的交易;2.存在难以界定、预计或预测的错误的情况;3.针对变化的情况,需要对现有的自动化控制进行人工干预:4.监督自动化控制的有效性。(四)人工控制的特定风险注册会计师应当从下列方面了解人工控制产生的特定风险:1.人工控制可能更容易被规避、忽视或凌驾;2.人工控制可能不具有一贯性;3.人工控制可能更容易产生简单错误或失误。(多选)下列情形中,注册会计师认为通常适合采用信息技术控制的有()。A.存在大量、重复发生的交易B.存在大额、异常的交易C.存在难以定义、防范的错误D.存在事先确定并一贯运用的业务规则答案:AD四、内部控制的局限性内部控制存在固有局限性,无论如何设计和执行,只能对财务报告的可靠性提供合理保证。内部控制存在的固有局限性包括:(1)在决策时人为判断可能出现错误和因人为失误而导致内部控制失效。(2)控制可能由于两个或更多的人员进行串通或管理层不当地凌驾于内部控制之上而被规避。五、内控要素控制环境(与报表层的重大错报风险有关)1.控制环境的含义控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。2.了解控制环境的要求(1)防止或发现并纠正舞弊和错误是被审计单位治理层和管理层的责任。(2)注册会计师应当了解管理层在治理层的监督下,是否营造并保持了诚实守信和合乎道德的文化,以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。(3)在审计业务承接阶段,注册会计师就需要对控制环境作出初步了解和评价。3.了解控制环境的要素在评价控制环境的设计时,注册会计师应当考虑构成控制环境的下列要素,以及这些要素如何被纳入被审计单位业务流程:(1)对诚信和道德价值观念的沟通与落实;(2)对胜任能力的重视;(3)治理层的参与程度;(4)管理层的理念和经营风格;(5)组织结构;(6)职权与责任的分配;(7)人力资源政策与实务。(单选)下列各项中,丕属于控制环境要素的是()。A.被审计单位的人力资源政策与实务B.被审计单位的组织结构C.被审计单位管理层的理念D.被审计单位的信息系统答案:D五、内控要素控制活动(与认定层的重大错报风险有关)1.控制活动的含义控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。2.了解控制活动的重点在了解控制活动时,注册会计师应当重点考虑一项控制活动单独或连同其他控制活动,是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。五、内控要素对控制的监督1.对控制的监督:是指被审计单位评价内部控制在一段时间内运行有效性的过程,涉及及时评估控制的设计和运行(有效性),并采取必要的补救措施。(及时评估+采取措施)通常管理层通过持续的监督活动、单独的评价活动或两者相结合,实现对控制的监督。其中:①持续监督活动通常贯穿于被审计单位日常重复的活动中。②被审计单位可能使用内部审计人员或具有类似职能