第八章风险评估2011模板

第八章风险评估学习目标：掌握风险评估的程序和主要内容；熟悉注册会计师了解被审计单位及其环境的重点；掌握内部控制的含义、目标和要素；了解从整体层面和业务流程层面评价被审计单位内部控制的主要过程；掌握识别和评估重大错报风险的审计程序；熟悉被审计单位可能存在重大错报风险的事项和情况。一、为什么要实施风险导向审计二、风险评估程序及主要内容三、了解被审计单位及其环境四、了解被审计单位的内部控制五、评估重大错报风险一、为什么要实施风险导向审计？•案例1《风险导向审计的必要性》《美国财务舞弊症结探究》讨论：•熟读黄教授的论文《美国财务舞弊症结探究》，谈谈你的认识。•结合两篇文章和你的分析，你认为审计失败是由风险导向审计本身造成的，还是因为没有很好地实施风险导向审计造成的？•风险导向审计有没有缺点？如果有的话应当如何防范？2、审计风险准则的特点•出台审计风险准则的背景2003年10月，国际审计与鉴证准则理事会对审计风险准则征求意见稿进行了最后修订，在2004年12月15日之后正式施行。•审计风险准则的特点p256•风险评估的作用p257二、风险评估程序及风险评估的主要内容1、风险评估程序（了解被审计单位及其环境的方法）风险评估程序，是指为了解被审计单位及其环境而实施的程序，它包括（1）询问被审计单位管理层及内部其他相关人员；（2）分析程序；（3）观察和检查。第一，询问被审计单位管理层及内部其他相关人员p258第二，分析程序第三，观察和检查2、其他审计程序和信息来源（1）其他审计程序。如果根据职业判断认为从被审计单位外部获取的信息有助于识别重大错报风险，注册会计师应当实施其他审计程序以获取这些信息。例如，询问被审计单位聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等。阅读外部信息也可能有助于注册会计师了解被审计单位及其环境。包括证券分析师、银行、评级机构出具的有关被审计单位及其所处行业的经济或市场环境等状况的报告，贸易与经济方面的期刊杂志，法规或金融出版物，以及政府部门或民间组织发布的行业状况和统计数据等。（2）其他信息来源。注册会计师应当考虑在承接客户或续约过程中获取的信息，以及向被审计单位提供其他服务所获得的经验是否有助于识别重大错报风险。3、风险评估的主要内容注册会计师应当从下列方面了解被审计单位及其环境：（1）行业状况、法律环境与监管环境以及其他外部因素；（2）被审计单位的性质；（3）被审计单位对会计政策的选择和运用；（4）被审计单位的目标、战略以及相关经营风险；（5）被审计单位财务业绩的衡量和评价；（6）被审计单位的内部控制三、了解被审计单位及其环境（内部控制除外）p262-2701、行业状况、法律环境与监管环境以及其他外部因素2、被审计单位的性质3、被审计单位对会计政策的选择和运用4、被审计单位的目标、战略以及相关经营风险5、被审计单位财务业绩的衡量和评价四、了解被审计单位的内部控制1、内部控制的含义、目标与要素巴林银行倒闭案：几乎每个人在年轻的时候都或多或少的犯过一点错误，但如果是在1995年的话，全世界犯了一个最大错误的年轻人非尼克.里森莫属了。正是这位当时年仅28岁的交易员，将有着202年历史的全球最古老的商业银行——巴林银行输掉13.8亿美元而倒闭，被迫以1英镑的价格卖给了荷兰国际集团。位于英国伦敦商业区的巴林银行总部大楼尼克.里森在法兰克福被捕•巴林银行创建于1793年，最初从事贸易活动，后涉足证券业，19世纪初，成为英国政府证券的首席发行商。•1994年税前利润高达1.5亿英镑。该行管理着300亿英镑的基金资产，15亿英镑的非银行存款和10亿英镑的银行存款。•尼克·里森于1989年7月10日正式到巴林银行工作，被派到印尼分部工作。由于工作成绩突出，1992年，巴林总部任命他为新加坡巴林期货有限公司的总经理兼首席交易员，负责该行在新加坡的期货交易。•里森于1992年在新加坡任期货交易员时，巴林银行原来有一个账号为“88888”的“错误账户”，专门处理交易过程中因疏忽所造成的错误。这个被人忽视的账号就成为里森造假的工具。他频频利用“88888”账户吸收下属及自己的差错。•1994年下半年起，里森在东京市场上做了一种十分复杂、期望值很高、风险也极大的衍生金融商品交易——日本日经指数期货。•1995年2月23日，由于日经股价指数急剧下跌，造成的损失激增到86000万英镑，使得巴林银行最终垮台，里森被迫仓皇出逃。英国巴林银行倒闭，百年基业毁于一旦。该案例给我们的教训是：（1）放松了职员的品质控制。巴林银行派尼克·里森担任新加坡期货公司的首席交易员和结算主管之前，是知道他有隐瞒法院不利判决的品行问题的，也清楚他缺乏进行衍生产品交易的适当经验，但仍然将他委以重任，酿成大错。（2）忽视了不相容职务分离控制。交易和结算属于不相容职务，由一人担任容易发生错弊，并增加错弊的以掩盖的机会，但巴林银行却偏偏对交易和结算这两个重要岗位没有予以分离，导致重大亏损得以转移到误差账户进行隐藏。（3）缺少有效的内部审计。有效的内部审计至少可以在事后及时发现问题，但巴林银行的内部审计部门居然在几年的时间里始终未能发现尼克·里森的越权违规交易和交易的实际亏损状况，使局面终至不可收拾。（4）授权控制形同虚设。尼克·里森开立的误差账户“88888”，未经授权不能进行交易，但巴林银行放松了账户的授权控制，使尼克·里森得以利用这一关键性的棋子将败局延续下去。内部控制的沿革•人类社会发展史中，早已存在着内部控制的基本思想和初级形式，这就是内部牵制（internalcheck）。内部牵制基本是以差错防弊为目的，以职务分离和账目核对为手法，以钱、账、物等会计事项为主要控制对象。•1934年美国《证券交易法》首先提出“内部会计控制”的概念，要求证券发行人应设计并维护一套内部会计控制系统；•1936年和1947年美国注册会计师协会出于改进审计方式的需要，提出了以内部控制为基础的审计程序；•1958年10月，AICPA的审计程序委员会将内部控制划分为会计控制和管理控制。1972年审计准则委员会在第1号《审计准则公告》中正式定义了内部会计控制和内部管理控制。•1988年4月AICPA发布的《审计准则公告第55号》,首次以“内部控制结构”取代了“内部控制”一词，内部控制结构的内容为：控制环境、会计系统、控制程序。•1992年，美国“反虚假财务报告委员会”（NationalCommissiononFraudulentReporting），所属的内部控制专门研究委员会发起机构委员会（CommitteeofSponsoringOrganizationsoftheTread-wayCommission，简称COSO委员会），在专门研究后提出报告“InternalControlIntegratedFramework”也称COSO报告。扩大了内部控制涵盖的内容，得到了美国审计署的认可，AICPA业全面接受了COSO报告内容，于1995年据以发布了审计准则公告第78号》。内部控制的含义可以理解为：内部控制是为了合理保障财务报表的可靠性、经营的效率和效果以及对法律的遵循，由治理当局、管理当局和其他人员设计和执行的政策和程序。内部控制的目标（1）提高经营效率，取得好的经营效果；（2）合理保证财务报告的可靠性；（3）遵循有关的法规制度。内部控制的要素（1）控制环境：包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。控制环境设定了被审计单位的内部控制基调，影响员工对内部控制的认识和态度。良好的控制环境是实施有效内部控制的基础。（2）风险评估：是识别、评估和管理影响被审计单位实现经营目标能力的各种风险的过程。针对财务报告目标的风险评估过程包括识别与财务报告相关的经营风险，评估风险的重大性和发生的可能性，以及采取措施管理这些风险。（3）控制活动：是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。（4）信息和沟通：针对内部和外部的事件或活动有关的各种信息所进行的信息识别、搜集、处理、储存以及向决策层的传递。与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。与财务报告相关的沟通包括使员工了解各自在财务报告有关的内部控制方面的角色和职责，员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。（5）监督：监督是由适当的人员，在适当、及时的基础上，评估控制的设计和运行情况的过程。对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。2、内部控制的固有限制其一，由于人为判断和人为失误导致内控失效；其二，由于两个或更多的人串通舞弊或管理层凌驾于内控之上而被规避。•由于固有限制的存在，企业建立内部控制只能为会计报表的公允性提供合理保证，因此，会计报表审计总存在一定的控制风险；•不管被审计单位内部控制的设计和运行多么有效，注册会计师都应对重要账户余额或交易类别进行实质性测试。①注册会计师在执行会计报表审计业务时，不论被审计单位规模大小，都应当对相关的内部控制进行充分的了解；②注册会计师应根据其对被审计单位内部控制的了解，确定是否进行控制测试以及将要执行的控制测试的性质、时间和范围；③对被审计单位内部控制的了解和控制测试，并非会计报表审计工作的全部内容。内部控制良好的单位，注册会计师可能评估其控制风险较低而减少实质性测试程序，但绝对不能完全取消实质性测试程序。3、了解内部控制的程序在内部控制整体层面的了解与评价时，注册会计师可以考虑综合采用询问企业相关员工、观察特定控制的应用、检查文件和报告以及执行穿行测试等风险评估程序，以获取支持内部控制测试结果的证据。4、在整体层面了解和评价内部控制•内部控制整体层面的了解与评价是指注册会计师根据企业的具体情况和职业判断，了解和评价对企业有普遍影响的内部控制的过程。•其主要目的是评价企业的整体层面内部控制的设计的合理性，并确定内部控制是否得到执行。•内部控制整体层面的了解与评价，可以帮助注册会计师形成对企业内部控制的初步判断，同时也为业务层面的内部控制了解与评价提供依据。•内部控制整体层面的了解与评价，主要包括内部控制五要素的了解和评价，每一方面又包括对若干具体要素的了解。•P275-286在整体层面对内部控制了解和评估的总结•注册会计师应当将对被审计单位整体层面内部控制各要素的了解要点和实施的风险评估程序及其结果等形成审计工作记录。•财务报表层次的重大错报风险很可能源于薄弱的控制环境，因此，注册会计师应当将被审计单位整体层面的内部控制状况和了解到的被审计单位及其环境其他方面的情况结合起来考虑。•被审计单位整体层面的内部控制是否有效将直接影响重要业务流程层面控制的有效性，进而影响注册会计师拟实施的进一步审计程序的性质、时间和范围。5、在业务流程层面了解和评价内部控制在业务流程层面上了解和评价内部控制的步骤是：•确定重要业务流程和重要交易类别•了解重要交易流程，并进行记录•确定可能发生错报的环节•识别和了解相关控制•执行穿行测试，证实对交易流程和相关控制的了解•初步评价和风险评估注册会计师对控制的评价结论可能是：（1）所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报，并得到执行；（2）控制本身的设计是合理的，但没有得到执行；（3）控制本身的设计就是无效的或缺乏必要的控制。五、评估重大错报风险1、识别和评估重大错报风险的审计流程在识别和评估重大错报风险时，注册会计师的考虑的因素和审计流程包括：p2972、可能表明被审计单位存在重大错报风险的事项和情况•在经济不稳定的国家或地区开展业务；•在高度波动的市场开展业务；•在严厉、复杂的监管环境中开展业务；•持续经营和资产流动性出现问题，包括重要客户流失；•融资能力受到限制；•行业环境发生变化；•供应链发生变化；•开发新产品或提供新服务，或进入新的业务领域