8第八章风险评估与应对

第八章风险评估与应对教学内容：第一节风险评估第二节风险应对审计方法的演进经历三个阶段：账项审计制度基础审计风险导向审计教学目的与要求：要求学生掌握风险评估程序；风险评估内容；如何进行重大错报风险评估。要求正确理解风险应对的思想；掌握控制测试；实质性程序。教学重点与难点：评估重大错报风险控制测试；实质性程序涉及：第1211号——了解被审计单位及其环境并评估重大错报风险第1231号——针对评估的重大错报风险实施的程序审计风险准则线索：1101号——财务报表审计的目标和一般原则1201号——计划审计工作1211号——了解被审计单位及其环境并评估重大错报风险1231号——针对评估的重大错报风险实施的程序1301号——审计证据1314号——审计抽样和其他选取测试项目的方法1313号——分析程序1131号——审计工作底稿审计风险准则变化：1、加强对被审计单位及其环境的了解。为识别报表层、认定层次重大错报风险提供更好基础。2、所有阶段都要实施风险评估程序。不得未经评估，直接将风险设定为高水平。3、将识别的风险与实施的审计程序挂钩。4、针对重大的各类交易、余额、列报实施实质性程序，无论评估的重大错报风险结果如何。5、形成审计记录，保证执业质量，明确责任。重大错报风险风险评估程序报表层次认定层次总体应对措施控制测试实质性程序实质性分析程序细节测试风险应对进一步审计程序第1211号——了解被审计单位及其环境并评估重大错报风险第一章总则第二章风险评估程序、信息来源以及项目组内部的讨论第三章了解被审计单位及其环境第四章了解被审计单位的内部控制第五章评估重大错报风险第六章与治理层和管理层的沟通第七章审计工作记录第八章附则第一章总则第三条CPA应当了解被审计单位及其环境，以足够识别和评估财务报表重大错报风险，设计和实施进一步审计程序。第四条了解被审计单位及其环境是必要程序，作用：（一）确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；（二）考虑会计政策的选择和运用是否恰当，以及财务报表的列报（包括披露，下同）是否适当；（三）识别需要特别考虑的领域，包括关联方交易、管理层运用持续经营假设的合理性，或交易是否具有合理的商业目的等；（四）确定在实施分析程序时所使用的预期值；（五）设计和实施进一步审计程序，以将审计风险降至可接受的低水平；（六）评价所获取审计证据的充分性和适当性。第二章风险评估程序、信息来源以及项目组内部的讨论第六条CPA应当实施下列风险评估程序，初步了解被审计单位及其环境：（一）询问被审计单位管理层和内部其他相关人员；（二）分析程序；（三）观察和检查。内容：所有权结构、内部控制变化、财务状况、经营成果、重大并购、竞争对手、主要客户…人员：治理层、内部审计人员、员工、内部法律顾问、营销人员、仓库人员…信息来源：第十条如果根据职业判断认为从被审计单位外部获取的信息…。（证券、评估、投资、财务等机构或相关数据信息等）第十一条CPA应当考虑在承接客户或续约过程中获取的信息，以及向被审计单位提供其他服务所获得的经验…。第十二条对于连续审计业务，如果拟利用在以前期间获取的信息，CPA应当确定被审计单位及其环境是否已发生变化，以及该变化是否可能影响以前期间获取的信息在本期审计中的相关性。项目组内部的讨论：第十三条…对财务报表存在重大错报的可能性进行讨论，并运用职业判断确定讨论的目标、内容、人员、时间和方式。第十四条…通过讨论…了解…，由于舞弊或错误导致财务报表重大错报的可能性，并了解各自实施审计程序的结果如何影响审计的其他方面，包括对确定进一步审计程序的性质、时间和范围的影响。第十五条…讨论…面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式，特别是由于舞弊导致重大错报的可能性。第十六条项目组的关键成员应当参与讨论。…专家也应参与讨论。第十七条…在整个审计过程中持续交换有关财务报表发生重大错报可能性的信息。第十八条项目组在讨论时应当强调在整个审计过程中保持职业怀疑态度，警惕可能发生重大错报的迹象，并对这些迹象进行严格追踪。第三章了解被审计单位及其环境第十九条CPA应当从下列方面了解被审计单位及其环境：（一）行业状况、法律环境与监管环境以及其他外部因素；（二）被审计单位的性质；（三）被审计单位对会计政策的选择和运用；（四）被审计单位的目标、战略以及相关经营风险；（五）被审计单位财务业绩的衡量和评价；（六）被审计单位的内部控制。第四章了解被审计单位的内部控制第一节内部控制的内涵和要素第四十六条内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。内控是管理制度，管理为企业目标服务，企业目标是管理的目标也是内控的目标。业务正常进行资产安全信息记录完整真实合法合规合战略经营效率挣钱，挣更多的钱专家系统主管系统决策系统内部信息使用者外部信息使用者管理会计财务会计交易资料非交易资料财务系统营销系统生产系统人力系统AIS不同审计程序的对比表程序目的具体审计程序对其他程序的影响执行成本风险评估估计重大错报风险询问、观察、检查评估报表层次与认定层次重大错报风险的基础每次财务报表审计都必须执行小控制测试内部控制是否合理、有效询问、观察、检查和重新执行确定实质性测试的性质、时间和范围具有选择性大实质性测试评价各项认定是否公允检查、监盘、观察、查询和函证、重新计算和分析性复核每次财务报表审计都必须执行更大内部控制要素第四十七条：（一）控制环境；（二）风险评估过程；（三）信息系统与沟通；（四）控制活动；（五）对控制的监督。两个层面的了解：内部控制要素整体层面业务流程层面控制环境风险评估对控制的监督信息系统沟通控制活动第二节与审计相关的控制第四十五条CPA应当了解与审计相关的内部控制以识别潜在错报的类型，考虑导致重大错报风险的因素，以及设计和实施进一步审计程序的性质、时间和范围。第五十条与审计相关的控制，包括被审计单位为实现财务报告可靠性目标设计和实施的控制。CPA应当运用职业判断，考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序有关。第五十三条用以保护资产的内部控制可能包括与实现财务报告可靠性和经营效率、效果目标相关的控制。CPA在了解保护资产的内部控制各项要素时，可仅考虑其中与财务报告可靠性目标相关的控制。第三节对内部控制了解的深度第五十四条cpa在了解内部控制时，应当评价控制的设计，并确定其是否得到执行。是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。是指某项控制存在且被审计单位正在使用。cpa在确定是否考虑控制得到执行时，应当首先考虑控制的设计。第五十五条CPA通常实施下列风险评估程序，以获取有关控制设计和执行的审计证据：（一）询问被审计单位的人员；（二）观察特定控制的运用；（三）检查文件和报告；（四）追踪交易在财务报告信息系统中的处理过程（穿行测试）。第五节内部控制的局限性第六十四条内部控制存在下列固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证：（一）在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效；（二）可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。等！第六节控制环境第六十六条CPA应当了解控制环境。控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。第六十七条在评价控制环境的设计和实施情况时，CPA应当了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化，以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。第六十八条在评价控制环境的设计时，CPA应当考虑构成控制环境的下列要素，以及这些要素如何被纳入被审计单位业务流程：（一）对诚信和道德价值观念的沟通与落实；（二）对胜任能力的重视；（三）治理层的参与程度；（四）管理层的理念和经营风格；（五）组织结构；（六）职权与责任的分配；（七）人力资源政策与实务。两个层面的了解：内部控制要素整体层面业务流程层面控制环境风险评估对控制的监督与财务报告的信息系统控制活动第七十条控制环境对重大错报风险的评估具有广泛影响，CPA应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的基础，并且未被控制环境中存在的缺陷所削弱。第七十一条控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报，CPA在评估重大错报风险时应当将控制环境连同其他内部控制要素产生的影响一并考虑。第七节被审计单位的风险评估过程第七十三条CPA应当了解被审计单位的风险评估过程和结果。（1）风险评估过程包括识别与财务报告相关的经营风险，（2）以及针对这些风险所采取的措施。第八节信息系统与沟通第七十七条与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。与财务报告相关的信息系统应当与业务流程相适应。第七十八条与财务报告相关的信息系统所生成信息的质量，对管理层能否作出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。第九节控制活动第八十三条CPA应当了解控制活动，以足够评估认定层次的重大错报风险和针对评估的风险设计进一步审计程序。控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括：与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。概念内容及目的实务认定交易授权保证交易是管理人员在其授权范围内授权才产生的一般授权和特别授权存在或发生估价或分摊职责划分（核心）某交易涉及的各项职责进行合理划分，能自动地相互检查工作。预防和及时发现在执行所分配的职责时所产生的错误或舞弊行为①交易职责执行/记录、维护/保管资产应指派给不同的个人或部门②交易各步骤应指派给不同的个人或部门③某些会计工作的职责应划分④CIS职责划分存在或发生估价或分摊完整性凭证与记录控制①凭证：经过签名或盖章可作为交易执行和记录职责的依据②记录：同相应的每日分录独立比较，以确定所有交易是否均已记录（1）适当保持的记录：如永续存货记录、应收账款记录（2）原始凭证：如销售发票或支票等，提供了交易记录的金额（3）使用预先编号的凭证并按其编号进行会计处理存在或发生估价或分摊完整性资产接触与记录使用指限制接近资产和接近重要记录保证资产和记录的安全实物防护措施存在或发生估价或分摊完整性独立稽核验证由另一个人或部门执行的工作和验证所记录金额估价的正确性①人工计算稽核②资产记录的比较③管理当局对报告的复核。存在或发生估价或分摊完整性常见的不相容职务包括：(1)某项经济业务的授权职务和执行职务。如销售商品的审批人员不能兼任发货职务。(2)某项经济业务的执行职务与记录职务。如材料采购人员不能兼任材料记账工作。(3)财产的保管职务与记录职务。如材料保管人员不能兼记材料明纫账。(4)记录总账职务与记录明细账职务。如记录现金日记账的人员不能兼任记录现金总账工作，应收账款总账和明细账应由不同的人来记录等。(5)财产的保管职务与财产的核对职务。如财产清查核实工作不能单独由材料保管员负责。第十节对控制的监督第九十二条CPA应当了解被审计单位对与财务报告相关的内部控制的监督活动，并了解如何采取纠正措施。对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。第九十三条CPA应当了解被审计单位对控制的持续监督活动和专门的评价活动。持续的监督活动通常贯穿于被审计单位的日常经营活动与常规管理工作中。被审计单位可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价。被审计单位