6风险评估

第五章风险评估与风险应对（测试流程）本章概要风险评估风险应对第一节风险评估•一、风险评估概述•二、风险评估程序和信息来源•三、了解被审单位及其环境•四、了解被审单位内部控制•五、评估重大错报风险一、风险评估概述1.风险评估的含义与总体要求含义风险评估，是指以了解被审计单位及其环境为内容，以充分识别和评估财务报表重大错报风险为目的，在设计和实施进一步审计程序之前实施的程序。总体要求风险评估是必要程序和规定动作;风险导向审计的基本理念要求CPA了解被审计单位及其环境，目的是为了识别和评估财务报表重大错报风险风险评估是一个连续和动态收集、更新和分析信息的过程.风险评估贯穿于整个审计过程的始终。一、风险评估概述2.了解被审计单位及其环境的重要性：确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当考虑会计政策的选择和运用是否恰当，以及财务报表的列报是否适当；识别需要特别考虑的领域；确定在实施分析程序时所使用的预期值；设计和实施进一步审计程序，将审计风险降至可接受的低水平；评价所获取审计证据的充分性和适当性。45中国注册会计师协会执业准则培训班风险评估思路了解内部控制•控制环境；•被审计单位的风险评估过程•信息系统与沟通•控制活动•对控制的监督了解被审计单位及其环境(不包括内部控制)•了解被审计单位的行业状况、法律环境与监管环境以及其他外部因素•性质•对会计政策的选择和运用•目标、战略以及相关经营风险•财务业绩的衡量和评价评估重大错报风险实施风险评估程序财务报表层次认定层次（各类交易、账户余额、列报（包括披露）实施进一步审计程序二、风险评估程序、信息来源1.风险评估程序和信息来源风险评估程序涵义：CPA为了了解被审计单位及其环境应而实施的程序称为风险评估程序。基本程序主要包括：询问分析程序观察和检查询问（询问被审计单位管理层治理层和内部其他相关人员）注册会计师可以考虑向管理层和财务负责人询问下列事项：管理层所关注的主要问题。被审计单位最近的财务状况、经营成果和现金流量。可能影响财务报告的交易和事项，或者目前发生的重大会计处理问题。被审计单位发生的其他重要变化。询问对象询问事项及其作用内部法律顾问询问与被审计单位相关的法律事项，了解有关诉讼、遵守法律法规的情况，影响被审计单位的舞弊或舞弊嫌疑、产品保证、售后责任、与业务合作伙伴的安排（如合营企业）和合同条款的含义等。询问销售政策、销售状况等，了解被审计单位营销策略的变化、销售趋势或与客户的合同安排。询问采购和生产情况，了解原材料采购和生产数量及管理相关情况。营销或销售人员采购和生产人员库管人员询问仓库管理及库存情况，了解存货的收发、保管及盘点询问分析程序是指注册会计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系，对财务信息做出评价。分析程序还包括调查识别出的、与其他相关信息不一致或与预期数据严重偏离的波动和关系。分析程序既可用于风险评估程序也可用于实质性程。（2）分析程序3.其他审计程序和信息来源询问被审计单位聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等。阅读外部的信息，如证券分析师、银行、评级机构出具的有关被审计单位及其所处行业的经济或市场环境等状况的报告，贸易与经济方面的期刊杂志、法规或金融出版物，以及政府部门或民间组织发布的行业报告和统计数据等。2.项目组内部的讨论为了有效地实施风险评估程序，准确识别和评估重大错报风险，审计业务项目组成员应就财务报表存在重大错报风险的可能性进行讨论。三、了解被审计单位及其环境了解的内容（一）行业状况、法律环境与监管环境以及其他外部因（二）被审计单位的性质（三）被审计单位对会计政策的选择和运用（四）被审计单位的目标、战略以及相关经营风险（五）被审计单位财务业绩的衡量和评价（六）被审计单位的内部控制。行业状况、法律环境与监管环境以及其他外部因素行业状况、法律环境与监管环境以及其他外部因素。法律环境及监管环境注册会计师应当了解被审计单位所处的法律环境及监管环境，主要包括：适用的会计准则、会计制度和行业特定惯例；对经营活动产生重大影响的法律法规及监管活动对开展业务产生重大影响的政府政策，包括货币、财政、税收和贸易等政策；与被审计单位所处行业和所从事经营活动相关的环保要求。其他外部因素宏观经济的景气度；利率和资金供求状况；通货膨胀水平及币值变动；国际经济环境和汇率变动。被审计单位的性质了解被审计单位的性质有助于审计人员理解预期在财务报表中反映的各类交易、账户余额和列报。了解的具体内容：所有权结构：对被审计单位所有权结构的了解有助于CPA识别关联方关系并了解被审计单位的决策过程。治理结构：良好的智力结构可以对被审计单位的经营和财务运做实施有效的监督，从而降低财务报表发生重大错报风险组织结构：CPA应当了解被审计单位的组织结构，考虑复杂的组织结构导致的重大错报风险，包括财务报表合并、商誉减值以及长期股权投资核算等问题经营活动了解被审计单位经营活动有助于CPA识别预期在财务报表中反映的主要交易类别、重要帐户余额和列报投资活动：有助于CPA关注被审计单位在经营策略和方向上的重大变化。筹资活动：了解被审计单位筹资活动有助于CPA评估被审计单位在融资方面的压力。并进一步考虑被审计单位在可预见未来的持续经营能力。注册会计师应当关注下列重要事项：重要项目的会计政策和行业惯例重大和异常交易的会计处理方法。在新领域和缺乏权威性标准或共识的领域，采用重要会计政策产生的影响会计政策的变更。被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度。被审计单位对会计政策的选择和运用被审计单位的目标、战略以及相关经营风险了解与以下有关的目标和战略并考虑经营风险行业发展—风险开发新产品或提供新服务——风险业务扩张——风险新颁布的会计法规——风险监管要求——风险本期及未来的融资条件——风险信息技术的运用——风险注册会计师应当了解的信息关键业绩指标业绩趋势预测、预算和差异分析管理层和员工业绩考核与激励性报酬政策分部信息与不同层次部门的业绩报告与竞争对手的业绩比较被审计单位财务业绩的衡量和评价四、了解被审计单位的内部控制1.内部控制的内涵、局限、构成内涵：内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。理解：内部控制的目标是合理保证：财务报告的可靠性，经营的效率和效果在所有经营活动中遵守法律法规的要求；设计和实施内部控制的责任主体是治理层、管理层和其他人员，组织中的每一个人都对内部控制负有责任实现内部控制目标的手段是设计和执行控制政策和程序构成：内部控制主要包括五个要素控制环境风险评估过程信息系统与沟通控制活动对控制的监督2.内部控制了解的范围内部控制的目标既包括财务报告的可靠性，也包括经营的效率和效果以及对法律法规的遵守，但审计人员审计的目标是对财务报表是否存在重大错报发表审计意见，所以，审计人员考虑的并非是被审计单位整体的内部控制，而只是与财务报表审计相关的内部控制，即与审计相关的控制3.对内部控制了解的深度内部控制了解的深度，是指在了解被审计单位及其环境时对内部控制了解的程度，包括评价控制的设计评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。并确定其是否得到执行控制得到执行是指某项控制存在且被审计单位正在使用。内部控制了解流程评价内部控制的设计：控制能否有效防止或发现并纠正重大错报控制中存在重大弱点向管理层治理层报告控制是否得到执行评估风险并设计适当的审计方法否是否是记录发现和结论4.获取控制设计和执行的审计证据询问被审计单位的人员；观察特定控制的运用；检查文件和报告追踪交易在财务报告信息系统中的处理过程（穿行测试）。穿行测试举例•审计人员从若干笔购货业务活动中抽取一笔或若干笔业务•按请购—订货—验收—入库—核票—付款—登帐顺序，对购货业务的流程每一个环节进行详查，以证实该循环的内部控制在各环节的实际执行情况是否与了解到的情况一致，并确定相关控制是否得到执行。•注意：控制测试既可以了解内控的设计情况，也可以测试内控的执行情况5.了解被审计单位的内部控制的内容控制环境控制环境的含义：包括治理职能和管理职能，以及治理层和管理层对内控及其重要性的态度、认识和措施。作用：设定了被审单位的内控基调，影响员工对内控的认识和态度。良好的控制环境是实施有效内控的基础，CPA应了解控制环境。对审计的影响：防止或发现并纠正舞弊和错误是被审单位治理层和管理层的责任。在评价控制环境的设计和实施情况时，CPA应了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化，以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。•控制环境风险评估控制活动信息与沟通内部控制有效率且有效果的使用公司资源财务报告的可靠性遵循适用的法律、法规目标监控了解的具体内容对诚信和道德价值观念的沟通与落实对胜任能力的重视治理层的参与程度管理层的理念和经营风格组织结构与职权和责任的分配人力资源政策与实务控制环境风险评估过程含义:任何经济组织在经营活动中都会面临各种各样的风险，风险对其生存和竞争能力产生影响。很多风险并不为经济组织所控制，但管理层应确定可以承受的风险水平，识别这些风险并采取一定的应对措施。可能产生风险的事项和情形包括：监管及经营环境的变化;新员工的加入;新信息系统的使用或对原系统进行升级;业务快速发展;新技术;新生产型号、产品和业务活动;企业重组;发展海外经营;新的会计准则等风险评估过程风险评估过程的作用是：识别、评估和管理影响被审单位实现经营目标能力的各种风险。针对财务报告目标的风险评估过程则包括：（1）识别与财务报告相关的经营风险，（2）评估风险的重大性和发生的可能性（3）以及采取措施管理这些风险。了解的具体内容（略）信息系统与沟通涵义与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内控方面的角色和职责、员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。了解的内容：☆注册会计师应当了解与财务报告相关的信息系统；☆注册会计师应当了解被审计单位内部如何对财务报告的岗位职责，以及与财务报告相关的重大事项进行沟通。☆注册会计师还应当了解管理层与治理层之间的沟通，以及被审计单位与外部的沟通。控制活动涵义：控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。不相容职责不相容职责授权执行授权记录授权保管执行记录执行保管记录保管总账明细账总账日记账开支票编制银行存款调节表授权核对执行核对记录核对保管核对…………不相容职责分离对控制的监督涵义:监督是由适当的人员，在适当、及时的基础上，评估控制的设计和运行情况的过程实现方法：通过对控制持续的监督和专门评价活动内部评价。内部审计人员或具有类似职能的人员对内控的设计和执行进行专门的评价，以找出内控的优点和不足，并提出改进建议对控制的监督了解的内容：是否定期评价内控人员在履行正常职责时，能够在多大程度上获得内控是否有效运行的证据与外部的沟通能够在多大程度上证实内部产生的信息或者指出存在的问题管理层是否采纳内部审计人员和CPA有关内控的建议管理层是否及时纠正控制运行中偏差管理层根据监管机构的报告及建议是否及时采取纠正措施是否存在协助管理层监督内控的职能部门过对控制持续的监督和专门评价活动五、评估重大错报风险（一）评估财务报表层次和认定层次的重大错报风险1.评估重大错报风险时考虑的因素已识别的风险是什么？错报（金额影响）可能发生的规模有多大？事件（风险）发生的可能性有多大？五、评估重大错报风险（二）评估重大错报风险的审计程序如下图所示识别和评估重大错报风险在了解被审计单位及其环境过程中识别风险，并考虑各类交易、账户余额、列报（识别风险）将识别的风险与认定层次