风险评估与应对_2

21任务一表示商品的品名和品质任务三设计商品的包装了解风险评估的含义及程序；了解内部控制在审计中的应用；掌握评估重大错报风险的方法；了解风险应对的含义及内容；熟悉控制测试与实质性程序要求、性质、时间及范围。能够在审计实务中正确进行风险评估；熟练掌握控制测试与实质性程序的应用。随着经济的飞速发展及企业经营环境的巨大变化，审计行业面临着许多挑战，尤其是其所面临的审计风险有日益增大的趋势。近几年发生了一些知名公司财务舞弊丑闻，严重损害了社会公众对审计的信心。因此，如何提高审计工作效率与质量，已是审计界亟待解决的问题。为了防止审计失败再次出现，要求注册会计师在审计过程中调整审计思路，合理、科学地评估财务报表中的重大错报风险，并采取积极应对措施，将审计风险降低至可以接受的水平，达到提高审计效率与质量的目的。风险评估是指在设计和实施进一步审计程序前所进行的、通过了解被审计单位及其环境而识别和评估财务报表重大错报风险的程序。一、风险评估的含义（一）风险评估的含义及目的风险评估是开展审计工作的必要程序，其目的在于充分识别和评价财务会计报表的重大错报风险，为注册会计师在下列关键环节作出职业判断提供重要基础。(1)确定重要性水平，并即时评估对重要性水平的判断是否仍然适当。(2)考虑会计政策的选择和运用是否恰当，以及财务报表的列报是否适当。(3)识别需要特别考虑的领域，包括关联交易、管理层运用持续经营假设的合理性。(4)确定在实施分析程序时所使用的预期值。(5)设计和实施进一步审计程序，以将审计风险降至可接受的低水平。(6)评价所获取审计证据的充分性和适当性。其他审计程序1.2.3.4.实施分析过程观察和检查询问被审计管理层和内部其他相关人员（二）风险评估程序二、内部控制内部控制由一系列政策和程序组成，这些政策和程序为管理层实现企业目标提供了合理保证。2008年6月，财政部、审计署、证监会、中国银行业监督管理委员会（以下简称银监会）和中国保险监督管理委员会（以下简称保监会）五部委联合发布了我国第一部《企业内部控制基本规范》，指出：“本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。（一）内部控制的含义及要素内部控制的要素内部环境12345风险评估控制活动信息与沟通信息与沟通（二）内部控制的分类（1）主导性控制（2）补偿性控制1.按控制地位分类（2）管理控制（1）战略控制（3）作业控制2.按控制层次分类战略控制是指由企业治理层（董事会、监事会等）实施的，为了确保组织目标实现而设置战略目标、形成战略规则并监督战略实施的过程。管理控制与企业经理层和中级管理层相联系，其目的是将战略目标进一步分析和落实为部门目标和日常任务，确保企业内部经营方针、政策的贯彻执行。作业控制与操作管理层和员工相联系，其目的是确保作业和业务可靠执行，它是针对具体业务和事项而实施的程序和措施。（2）侦查型控制（1）预防性控制3.按控制功能分类预防性控制是指为防止错误和舞弊、经营和财务风险的发生或尽量减少其发生机会而实施的控制。侦察性控制是指为了及时查明并纠正已经发生的错误和舞弊而实施的控制措施。这类控制属于事后控制，但在缺乏完善可行的预防性控制措施的情况下，其对发现或纠正错误和舞弊具有重要作用。（四）内部控制的描述1.文字表述法文字表述法又称文字说明法，是指注册会计师对被审计单位内部控制健全程度和执行情况以文字叙述的方式加以记录和说明的描述方法。2.调查表法调查表法是指注册会计师根据被审计单位的业务类型、业务循环、内部控制等审计领域，针对内部控制事项作为调查项目，事先拟订一系列的问题并列于表上，而后向被审计单位的有关人员提出一系列问题，并系统地以表格形式加以罗列，借以检查某项控制事项是否存在及适用，并以此作为识别内部控制制度是否健全有效的一种方法。3.流程图法流程图法是指用一系列特定的符号和图形，将被审计单位各种经济业务处理手续和各种文件、凭证在组织机构内部的有序流转，以图解的形式直观地表现出来，以反映其内部控制的实际情况。（四）与审计相关的内部控制与审计相关的控制，包括被审计单位为实现财务报告可靠性目标设计和实施的控制。（五）对内部控制了解的深度2.获取有关控制设计和执行审计证据3.了解内部控制与测试控制运行有效性的关系1.评价控制的设计（五）对内部控制了解的深度注册会计师在了解内部控制时，应当评价控制的设计，并确定其是否得到执行。评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。控制得到执行是指某项控制存在且被审计单位正在使用。设计不当的控制可能表明内部控制存在重大缺陷，注册会计师在确定是否考虑控制得到执行时，应当首先考虑控制的设计。如果被审计单位控制设计不当，则注册会计师不需要再考虑控制是否得到执行。1.评价控制的设计（五）对内部控制了解的深度为了获取有关控制设计和执行的审计证据，注册会计师通常实施以下风险评估程序。(1)询问被审计单位的人员。(2)观察特定控制的运用。(3)检查文件和报告。(4)追踪交易在财务报告信息系统中的处理过程（穿行测试）。2.获取有关控制设计和执行的审计证据（五）对内部控制了解的深度除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解并不能够代替对控制运行有效性的测试。例如，获取某人工控制在某时点得到执行的审计证据，并不能证明该控制在所审计期间内的其他时点也能够有效运行。3.了解内部控制与测试控制运行有效性的关系（六）内部控制的局限性在审计中，注册会计师应当充分认识到被审计单位的内部控制存在固有局限性，无论如何设计和执行，内部控制只能对财务报告的可靠性提供合理的保证。通常，内部控制存在的固有局限性包括两点。一是在决策时，人为判断可能出现错误和由于人为失误而导致内部控制失效。二是可能由于两个或更多的人员进行串通，以及管理层凌驾于内部控制之上而被规避。三、评估重大错报风险1.评估重大错报风险的程序(1)在了解被审计单位及其环境的整个过程中识别风险，并考虑各类交易、账户余额、列报。(2)将识别的风险与认定层次可能发生错报的领域相联系。(3)考虑识别的风险是否重大。(4)考虑识别的风险导致财务报表发生重大错报的可能性。2.需要特别考虑的重大错报风险非常规交易是指由于金额或性质异常而不经常发生的交易，如企业购并、债务重组、重大或有事项等。由于非常规交易具有以下特征：管理层更多地介入会计处理，数据收集和处理涉及更多的人工成分，复杂的计算或会计处理方法，非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制。因此，与重大非常规交易相关的特别风险可能导致更高的重大错报风险。判断事项通常包括作出的会计估计，如资产减值准备金额的估计、需要运用复杂估值技术确定的公允价值计量等。由于在实务中存在对涉及会计估计、收入确认等方面的会计原则不同的理解，所要求的判断可能是主观和复杂的或需要对未来事项作出假设等。因此，与重大判断事项相关的特别风险可能导致更高的重大错报风险。3.仅通过实质性程序无法应对的重大错报风险作为风险评估的一部分，如果认为仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平，注册会计师应当评价被审计单位针对这些风险设计的控制，并确定其执行情况。在被审计单位对日常交易采用高度自动化处理的情况下，审计证据可能仅以电子形式存在，其充分性和适当性通常取决于自动化信息系统相关控制的有效性，注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。4.对风险评估的修正注册会计师对认定层次重大错报风险的评估应以获取的审计证据为基础，并可能随着不断获取审计证据而作出相应的变化。一、风险应对概述根据审计准则的相关规定，注册会计师应当针对评估的财务报表层次重大错报风险确定总体应对措施，并针对评估的认定层次重大错报风险设计和实施进一步审计程序，以将审计风险降至可接受的低水平。（一）针对财务报表层次重大错报风险的总体应对措施1.加强执业过程中的职业怀疑态度2.分派专业胜任能更强的注册会计师或利用专家辅助工作3.加大对整个审计过程的监督、指导与复核4.注意进一步审计程序的保密性（一）针对财务报表层次重大错报风险的总体应对措施（一）针对财务报表层次重大错报风险的总体应对措施（一）针对财务报表层次重大错报风险的总体应对措施（一）针对财务报表层次重大错报风险的总体应对措施（二）针对认定层次重大错报风险的进一步审计程序进一步审计程序的设计12345进一步审计程序总体方案的选择进一步审计程序的性质进一步审计程序的范围进一步审计程序的时间（二）针对认定层次重大错报风险的进一步审计程序1.进一步审计程序的设计（二）针对认定层次重大错报风险的进一步审计程序2.进一步审计程序总体方案的选择（二）针对认定层次重大错报风险的进一步审计程序3.进一步审计程序的性质（二）针对认定层次重大错报风险的进一步审计程序4.进一步审计程序的时间（二）针对认定层次重大错报风险的进一步审计程序5.进一步审计程序的范围二、控制测试1.控制测试的要求控制测试的实施需要具备一定的条件，并非在任何情况下都需要实施控制测试。如果在评估认定层次重大错报风险时预期控制的运行是有效的或者仅实施实质性程序不足以提供认定层次充分、适当的审计证据，注册会计师应实施控制测试，并就控制的相关期间或时点的运行有效性获取充分、适当的审计证据。2.控制测试的性质控制测试的性质是指控制测试所使用的审计程序的类型及其组合。计划从控制测试中获取的保证水平，是决定控制测试性质的主要因素之一。计划的保证水平越高，对有关控制运行有效性的审计证据的可靠性要求越高。控制测试采用审计程序的类型，通常包括询问、观察、检查、穿行测试与重新执行。注册会计师在确定控制测试的性质时，通常应考虑特定控制的性质、测试与认定直接相关和间接相关的控制，以及如何对自动化的应用控制实施控制测试等。3.控制测试的时间控制测试的时间包含两层含义：一是何时实施控制测试，二是测试所针对的控制适用的时点或期间。控制测试的时间直接关系到通过测试获取的审计证据的时间问题。如果测试特定时点的控制，只需获取该时点的审计证据；如果测试某一期间的控制，仅获取与时点相关的审计证据是不充分的，还应获取控制在该期间有效运行的审计证据。三、实质性程序1.实施实质性程序的总体要求(1)核对财务报表与其所依据的会计记录。(2)检查财务报表编制过程中作出的重大会计分录和其他会计调整。2.实质性程序的性质实质性程序的性质是指实质性程序的类型及其组合。实质性程序有两种基本类型：细节测试和实质性分析程序。其中，细节测试是指对各类交易、账户余额、列报的具体细节进行测试，以便直接识别财务报表认定是否存在错报；而实质性分析程序主要是通过研究数据间关系来评价信息，并将该技术方法用做实质性程序，据此识别各类交易、账户余额、列报及相关认定是否存在错报。3.实质性程序的设计（2）对特定认定使用实质性分析程序的适当性。对已记录的金额或比率作出预期时，所依据的内部或外部数据的可靠性。作出预期的准确程度是否足以在计划的保证水平上识别重大错报。已记录金额与预期值之间可接受的差异额。（1）（3）（4）4.实质性程序的时间对期中实施实质性程序的考虑。对期中审计证据的考虑。对以前审计获取的审计证据的考虑。4.实质性程序的时间对期中实施实质性程序的考虑①控制环境和其他相关的控制。②实施审计程序所需信息在期中之后的可获得性。③实质性程序的目标。④评估的重大错报风险。⑤各类交易或账户余额以及相关认定的性质。⑥针对剩余期间，能否通过实施实质性程序或将实质性程序与控制测试相结合，降低期末存在错报而未被发现的风险。4.实质性程序的时间对期中审计证据的考虑如果在期中实施了实质性程序，注册会计师应针对剩余期间实施进一步的实质性程序，也可以将实质性程序和控制测试结合使用，以将期中测试得出的结论合理延伸至期末；如果注册会计师拟将期中测试得出的结论延伸至期末，应考虑针对剩余期间仅实施实质性程序是否足够；如果认为实施实质性程序