06-风险评估

第六章风险评估武汉科技大学管理学院财务会计系周莉第七章风险评估了解被审计单位及其环境7.2风险评估的含义与程序风险评估的含义与程序7.1风险评估概述识别与评估重大错报风险与特别风险7.3风险评估与应对的基本框架第六章风险评估（2）（3）（1）了解被审计单位及其环境对财务报表层次和认定层次重大错报风险进行识别、评估分析错报风险的发生领域、发生的可能性及风险是否重大风险评估是一个持续和动态的过程第一节风险评估概述2风险评估的含义1风险评估的程序一、风险评估的含义风险评估是指审计师在了解被审计单位及其环境的基础上，对其财务报表层次以及认定层次重大错报风险的识别、评价和估计过程，以便分析错报风险的发生领域、发生的可能性以及风险是否重大。财务报表层次重大错报风险认定层次重大错报风险风险导向审计的基本理念是以企业经营风险为导向，以系统观和战略观为指导思想，运用“自上而下”和“自下而上”相结合的路线，全面评估重大错报风险，且将风险评估贯穿于整个审计过程，并根据风险评估结果来确定实质性程序的性质、时间和范围。一、风险评估的含义风险导向审计中的风险评估具有如下特征：风险评估工作量大幅增加而实质性程序工作量相应减少，且风险评估是必需的审计程序；风险评估重点由分别的固有风险评估、控制风险评估向联合风险评估转变，即风险评估的重点转向重大错报风险，并由重大错报风险的评估结果确定剩余风险；风险评估的切入点由直接重大错报风险评估转变为间接的经营风险评估，即从经营风险评估入手，从重大错报风险发生的源头进行风险评估。风险评估程序的实质风险评估程序是注册会计师了解被审计单位及其环境的手段；风险评估程序内容是几种单项审计程序的有效组合；风险评估程序目的在于获取财务信息和非财务信息，识别和评估财务报表层次和认定层次重大错报风险；风险评估程序是注册会计师审计中必须实施的审计程序，如果未实施风险评估程序就不能评估重大错报风险。二、风险评估的程序询问管理层和内部其他相关人员分析程序审计师应当对被审计单位财务报表、主要业务实施分析程序，以便识别异常交易或事项，以及对财务报表和审计产生影响的金额、比率和趋势。实施分析程序时，审计师应当预期可能存在的合理关系，并与被审计单位记录的金额、依据记录金额计算的比率或趋势相比较。如果发现异常或未预期到的关系，审计师应当在识别重大错报风险时考虑这些比较结果。观察与检查考虑其他信息第二节了解被审计单位及其环境了解被审计单位及其环境的目的了解被审计单位及其环境了解被审单位及其环境的主要领域了解被审计单位及其环境是风险评估的基础和前提，是CPA执行财务报表审计的必要程序。了解被审计单位及其环境的内容一、行业状况、法律环境和监管环境及其他外部因素行业状况法律环境与监管环境其他外部因素了解的重点和程度注册会计师对行业状况、法律环境与监管环境以及其他外部因素了解的范围和程度会因被审计单位所处行业、规模以及其他因素的不同而不同。二、被审计单位的性质所有权结构治理结构组织结构经营活动投资活动筹资活动三、被审计单位对会计政策的选择和运用注册会计师应当根据被审计单位的经营活动，评价采用的会计政策是否适当，与使用的财务报告编制基础、相关行业使用的会计政策是否保持一致。四、被审计单位的目标、战略以及相关经营风险目标、战略与经营风险经营风险对重大错报风险的影响了解被审计单位的经营风险有助于识别财务报表重大错报风险。并非所有的经营风险都与财务报表相关，注册会计师没有责任识别或评估对财务报表没有影响的经营风险。经营风险可能对各类交易、账户余额和披露的认定层次或财务报表层次产生直接影响。五、被审计单位财务业绩的衡量和评价被审计单位管理层可能由于对财务业绩的衡量和评价，产生改善财务业绩或歪曲财务报表的动机。通过了解被审计单位的业绩衡量，注册会计师可以了解这些压力是否可能导致管理层采取行动，以致增加财务报表发生重大错报的风险。六、被审计单位的内部控制内部控制概述对内部控制了解的深度和方法了解公司层面的内部控制（一）内部控制概述内部控制的含义与演进内部控制的构成要素内部控制的目标及其局限性内部控制与审计的关系对内部控制的了解与测试1、内部控制的含义与演进内部控制的含义美国虚假财务报告全国委员会的赞助者委员会（COSO）对内部控制的定义我国独立审计准则对内部控制的定义内部控制的发展历程“内部牵制”阶段“内部控制制度”阶段“内部控制结构”阶段“内部控制整体框架”阶段“企业风险管理框架”阶段经营有效率和效果；财务报告可靠；遵守相应的法律和规章。美国虚假财务报告全国委员会的赞助委员会（COSO）对内部控制的定义是：内部控制是一个受董事会、管理人员和其他人员影响的过程，它的作用是为了合理保证达到以下目标：我国独立审计准则对内部控制的定义是：内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计与执行的政策及程序。（1）牵制阶段比如，钱账分管等。（2）“内部控制”阶段1949年，美国注册会计师协会首次提出内部控制的概念，也就是我们所说的内部控制制度。没有考虑控制环境问题（3）“内部控制结构”阶段从20世纪80年代以来，内部控制的理论研究又有了新的发展，会计与审计界研究的重点逐步从一般涵义向具体内容深化。其标志是美国注册会计师协会于1988年5月发布的《审计准则公告第55号——在财务报表审计中对内部控制结构的考虑》。该公告首次以“内部控制结构”的概念取代了“内部控制制度”一词。内部控制结构控制环境会计系统控制程序（3）“内部控制结构”阶段企业的内部控制结构包括企业为实现企业特定目标的提供合理保证而建立的各种政策和程序。内部控制结构这一概念跳出了“制度二分法”的圈子，特别强调了管理者对内部控制的态度、认识和行为等控制环境的重要作用，要求审计师在评估控制风险时不仅要关注会计控制制度与控制程序，还应对企业所面临的内外环境进行评估。（4）“内部控制整体框架”阶段1992年2月，美国反虚假财务报告全国委员会的发起者组织委员会（COSO）发布了指导内部控制实践的纲领性文件COSO研究报告——《内部控制——整体框架》。该报告对内部控制进行了更广泛的定义，并提出了内部控制的五个构成要素。定义内部控制是由企业董事会、经理层及其他员工实施的，为财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性等目标的实现提供合理保证的过程。内部控制的构成要素内部控制控制环境风险评估控制活动信息和沟通监督与以往的内控理论及研究成果相比，COSO报告强调：内部控制的对象是企业运行过程中的所有要素；内部控制的好坏完全取决于执行控制政策和程序的人的素质和观念，同时内部控制也影响着人的行动；企业的内部控制并非只是一个机械的规定或一项制度，而是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的“动态过程”；管理者必须及时对各种可能的风险加以反映和评估，采取适当的措施，以保证内部控制的效率和效果；不管内部控制的设计、执行如何完善，它也只能为管理者实现组织目标提供合理保证；内部控制本身不是目的，而是实现组织目标的一种手段和工具。（5）企业风险管理框架阶段2004年9月，COSO发布了《企业风险管理框架》（EnterpriseRiskManagementFramework）。该框架明确提出企业风险管理是由企业董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各层次和部门的，用于识别可能对企业造成影响的事项，并在其风险偏好范围内管理风险，为企业目标的实现提供合理保证的过程。指出，企业风险管理框架由内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控八个相互关联的要素构成。风险管理框架突出了内部控制的关键在于风险管理。COSO对内部控制认识的演进控制环境控制活动会计系统控制环境风险评估控制活动监控信息与沟通内部环境目标设定风险识别风险评估风险应对控制活动信息与沟通监控子公司业务单位分支机构企业整体层次我国现代内部控制的发展1996年以前：审计视角的内部控制规范《独立审计具体准则第9号——内部控制与审计风险》，认为内部控制是指被审计单位为了保证业务活动的有效进行，保护资产的安全完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策和程序。包括控制环境、会计系统和控制程序。1997~2005年：会计视角的内部控制规范《内部会计控制——基本规范》；《上市公司内部控制指引》等。2006年至今：管理视角的内部控制规范《企业内部控制配套指引》，包括《企业内部控制审计指引》内部控制的内容有三种提法（我国）：1.内部控制包括控制环境、会计系统和控制程序；2.内部控制包括内部会计控制和内部管理控制；3.COSO报告：控制环境、风险评估、控制活动、信息与沟通、监督。（√）2、内部控制的构成要素内部控制的构成要素控制环境风险评估控制活动信息和沟通监督（1）控制环境控制环境是对企业内部控制的建立和实施有重大影响的因素的总称。控制环境通过影响人们的控制意识而影响一个组织的气氛，是内部控制其他部分的基础。控制环境包括：（2）风险评估过程被审计单位的风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。CPA应当确定管理层如何识别与财务报告相关的经营风险，如何估计该风险的重要性，如何评估风险发生的可能性，以及如何采取措施管理这些风险。（3）信息系统与沟通与财务报告相关的信息系统，包括可以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。注册会计师应当了解与财务报告相关的信息系统（包括相关业务流程）。注册会计师应当了解被审计单位内部如何对财务报告的岗位职责以及与财务报告相关的重大事项进行沟通。（4）控制活动授权审批控制业绩评价控制信息处理控制实物控制职责分离控制控制活动是指确保管理层指令得以实施的政策和程序。控制活动具体包括以下内容：实物控制实物控制是指通过对有关实物资产和记录实施特定保护措施以保证其安全和完整的一种控制方式，具体又分为接触控制和盘点控制。接触控制：是指针对有关重要的资产和文件记录，明确其可以接触和接近的人员以及接触和接近人员的职责范围，限制其他人员接触或接近以保护资产和记录的安全完整。盘点控制：是指通过对企业的资产实施定期盘点清查，并将盘点结果与会计记录进行比较以确定其是否账实相符的一种控制方式。不相容职务分离的前提两个人或两个部门（以上）同时发生错误的可能性小于单独一个人或部门发生错误的可能性；两个或两个以上部门或人员伙同舞弊的可能性小于单独一个人或部门舞弊的可能性。至少两双眼睛同时看住一件交易.---四眼原则防止错误、监督和发现资产管理中的滥用行为没有一个人可以同时承担如下工作:提议授权记录执行审核实物控制内部牵制分离的主要不相容职务授权和执行的职务要分离；执行与审核的职务要分离；执行与记录的职务要分离；保管与记录的职务要分离。保管与财产清查的职务分离；会计工作中，总账、明细账、日记账相分离。（5）监督日常监督专项监督监督是指由企业对内部控制建立和实施情况进行监督检查，评价内部控制的有效性，对于发现的内部控制缺陷，及时加以改进。包括：3、内部控制的目标及其局限性《企业内部控制基本规范》指出：内部控制是由企业董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。3、内部控制的目标及其局限性内部控制的局限性无论设计多么完善的内部控制都只能为实现既定目标提供合理保证而非绝对保证。内部控制的局限性通常表现为以下几方面：成本效益限制例外事件限制人员素质限制滥用职权限制串通舞弊限制