1-2 审计风险评估与应对

111-2审计风险评估与应对涉及准则：1121号准则——了解被审计单位及其环境并评估重大错报风险1201号准则——计划审计工作1231号准则——针对评估的重大错报风险实施的程序刘爱松刘爱松目录1/21.风险导向审计的含义2.风险评估2.1了解被审计单位及其环境2.2了解被审计单位的内部控制2.2.1内部控制的概念2.2.2内部控制的发展历史2.2.3内部控制的要素2.3评估重大错报风险22刘爱松目录2/23.审计风险的应对3.1报表层次风险的应对3.2认定层次风险的应对4.了解被审计单位情况：另一种思路（阅读材料）3刘爱松44风险导向审计•风险导向审计（risk-orientedauditing）：即审计的执行以风险评估为基础，审计师将注意力集中于最可能出现错报和舞弊的领域。•风险导向审计的思路可以用下图表示：刘爱松55新客户的接纳和老客户的续聘制定审计计划终结审计出具审计报告评估风险了解被审计单位的情况评价内部控制制度执行初步分析程序收集和评价审计证据收入循环支出循环生产循环筹资投资循环工资循环刘爱松66了解被审计单位及其环境的重要性•了解被审计单位及其环境是必要程序，特别是为注册会计师在下列关键环节作出职业判断提供重要基础：•（一）确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；•（二）考虑会计政策的选择和运用是否恰当，以及财务报表的列报（包括披露，下同）是否适当；刘爱松77•（三）识别需要特别考虑的领域，包括关联方交易、管理层运用持续经营假设的合理性，或交易是否具有合理的商业目的等；•（四）确定在实施分析程序时所使用的预期值；•（五）设计和实施进一步审计程序，以将审计风险降至可接受的低水平；•（六）评价所获取审计证据的充分性和适当性。刘爱松88•概括起来，了解被审计单位的环境及其环境，其目的就是为了确定重要性和审计风险水平，进而作出审计决策，以获得充分适当的审计证据，以实现审计目标。•审计决策包括：采取什么样的取证方法？选取多大的样本？如何选择样本？何时取证？刘爱松99如何获得所需的信息？•注册会计师应当实施下列风险评估程序以了解被审计单位及其环境（p.57-59）：•（一）询问被审计单位管理层和内部其他相关人员；•（二）分析程序；•（三）观察和检查。•从被审计单位外部获取相关信息。刘爱松1010应了解的内容（p.59）•（一）行业状况、法律环境与监管环境以及其他外部因素；•（二）被审计单位的性质；•（三）被审计单位对会计政策的选择和运用；•（四）被审计单位的目标、战略以及相关经营风险；刘爱松1111•（五）被审计单位财务业绩的衡量和评价；•（六）被审计单位的内部控制。•如何了解被审计单位及其环境，Arens等的第15版审计教材第八章给出了下面的图，具体在p.214-218。刘爱松了解被审计单位及其环境12刘爱松内部控制举例1313雇员A财物的保管雇员B独立的记录雇员C雇员C定期盘点A保管的财物并与B的记录核对图2：职责分离示意图【Question】试从该图说明职责分离有何作用？往29页刘爱松1414•内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序（1211号准则第46条）。这实际上是COSO定义的内部控制。内部控制制度的概念刘爱松1515COSO与内部控制研究•COSO:CommitteeofSponsoringOrganiz-ations。上世纪70年代末80年代初，美国很多公司因通货膨胀而倒闭，与此相伴随的是公司做假账，注册会计师未能尽到责任。美国国会试图通过立法来规范会计与审计行为，但未能成功。于是成立了一个NationalCommissiononFraudulentFinancialReporting（虚假财务报告全国委员会）对虚假财务报告进行研究。该委员刘爱松1616•会由美国五个会计职业团体提供赞助，它们是IIA（内部审计协会）、AICPA（美国注册会计师协会、总会计师协会（FEI）、美国会计学会（AAA）以及管理会计师协IMA）。•1987年，COSO发布了第一份虚假财务报告研究报告，指出了内部控制对预防财务造假的重要性，并呼吁经理层报告其内部控制系统的有效性。报告还指出良好的内部控制环境、道德行为规范、尽职且有胜任能力的审计委员会和强健的内部审计是良好内部控制的关键构成要素。刘爱松1717•1992年9月，COSO发布了名为《内部控制——整体框架》的研究报告（通常称为COSO报告），对内部控制进行了定义并提出了对内部控制进行评价的方法和程序。•2000年，COSO发布了一份名为《企业风险模型》的研究报告的初稿，对1992年的研究报告进行了扩展。•资料来源：RobertMoeller,2004.Sarbance-OxleyandtheNewInternalAuditingRules,pp.123-124。刘爱松18•2006年，COSO发布《财务报告控制——小型公共公司指南》；•2009年，发布《监督内部控制指南》；•2013年，发布修订版《内部控制——整体框架》；•此外，COSO还分别于1987、1999和2010年组织了对虚假财务报告的研究。18刘爱松19COSO系列研究报告19刘爱松2020•内部控制包括下列要素：（一）控制环境（二）风险评估过程（三）信息与沟通（四）控制活动（五）监督活动。•以下是内部控制要素图。内部控制制度的要素（p.60）刘爱松21新框架中的内控要素图21刘爱松•从上图可以看到，内部控制有三个目标，五个要素，并在各个层次存在，即内部控制应该是无处不在的。•2013年COSO修订的《内部控制整体框架》将五个要素进一步细化为十七条原则。22刘爱松2323控制环境•控制环境：控制环境是对企业内部控制的建立和实施有重大影响（增强或削弱）的因素的总称。是内部控制的基础。•控制环境包括如下方面：（一）对诚信和道德价值观念的沟通与落实：通常决定于“顶层的基调”；员工的行为动机（不切实际的目标，过于严厉的惩罚制度；职责划分；内部审计）刘爱松2424（二）对胜任能力的重视：岗位的配备、培训、检查和补救措施。（三）治理层的参与程度：董事会、审计委员会的独立性、胜任能力与工作作风（是否尽职）。（四）管理层的理念和经营风格。（五）组织结构：组织实际上就是人员配置方式，就是如何通过人员的分工与合作达到组织的目标。“三权分立”制度与美国的伊拉克政策。刘爱松控制环境的五条具体原则25刘爱松2626风险评估过程•影响企业达到其目标的因素就是风险。•风险评估的三个步骤：1.评估风险的严重程度；2.估计风险发生的可能性；3.考虑应采取哪些措施管理风险。刘爱松风险评估的四条原则27刘爱松2828控制活动•是指那些确保风险控制措施得到执行的政策和程序。一般包括如下方面：业绩评价：将实际情况与标准进行比较，发现异常情况及时采取纠正措施；授权批准：一般授权与特殊授权；信息处理（充分的记录）：保证信息安全；刘爱松2929实物控制：实物包括固定资产、存货、现金和有价证券等。实物财产的保管制度、实物盘点；独立稽核：即监督有关措施是否得到执行；职责分离（如图2）：不相容职务分离的目的在于降低错误或舞弊行为的发生。刘爱松控制活动的三条原则30刘爱松3131信息与沟通•沟通就是信息的交换。信息系统与信息沟通是两个不同的要素。COSO为了使内部控制的内容简洁一点，将二者合并在一起。•信息系统：信息系统可以是正式的，也可以是非正式的；既有对内部的，也有对外部的。•信息的质量：高质量的信息是内部控制有效发挥作用的必备条件。刘爱松3232信息沟通•信息的内部沟通：沟通的渠道要畅通，信息沟通是双向的，包括自上而下的沟通和自下而上的沟通；正式的沟通和非正式的沟通；通过正常渠道进行的沟通与秘密的沟通等。刘爱松3333沟通的方式•对外的沟通（与供应商、客户的沟通）：也是双向的。对外的沟通不只是公关性质的（宣传自己），而且信息要是外部利益相关者所需要的真实的信息（否则就无异于做假账了）。•沟通的方式：网站、布告、演讲、录像、手册等多种方式。刘爱松信息与沟通的三条原则34刘爱松3535监督活动•监督：企业采取的用来保证内部控制措施有效运行的程序。内部审计即是一例。•要对内部控制的有效性进行持续的评价，及时对内部控制进行调整，使其适应变化了的环境，从而保持其有效性。•内部控制的评价步骤：了解内部控制的设计→辨认采取的内部控制措施→测试内部控制的有效性→得出结论。与内部控制的测评是一致的。刘爱松监督活动的两条原则36刘爱松如何判断内部控制是否有效？•有效性的定义：合理保证达到组织的目标。具体包括如下方面：1.内控五要素及其原则存在且发挥作用2.五个要素有机关联，共同发挥作用37刘爱松3838了解内部控制的目的•从报表审计的角度来看，若内部控制有效，意味着企业能够合理保证达到其报告目标，即按照有关的规则、规定和准则以及企业内部的报告要求编制各种报告，这意味着会计报表按照会计准则的要求进行编制的可能性比较高。反之，报表出现重大错报的可能性比较高。•对内部控制的评价提供的是环境证据。刘爱松39审计风险•审计风险是指会计报表存在重大错报或漏报，而审计人员审计后发表不恰当审计意见的可能性。•从审计目标的角度进行理解：报表审计是为了评价会计报表是否符合会计准则。报表与准则不一致即为错报（和漏报），如果有重大的错报（和漏报），而CPA没发现从而发表了错误的意见，就是审计风险。刘爱松•这说明，审计风险之所以发生，首先要存在错报（和漏报），如果没有错报（和漏报），则不存在审计风险。•错报（和漏报）存在的可能称为固有风险（Inherentrisk）。•审计风险总是与重要性联系在一起的。重要性的概念将在后面介绍，但这里可以举一些例子加以说明。4041重大错报审计风险与检查风险审计后财务报表中存在重大错报客户CPA审计前财务报表中存在重大错报审计查不出的可能性重大错报风险检查风险图5-2：重大错报风险与检查风险刘爱松42审计风险的两个层次•两个层次的重大错报风险：财务报表层次的重大错报审计风险和认定层次的重大审计风险。•认定层次的重大错报风险：固有风险和控制风险。刘爱松43新审计风险模型•新准则的审计风险模型审计风险=重大错报风险×检查风险•其中，重大错报风险是指财务报表在审计前存在重大错报的可能性。。•检查风险是指某一认定存在错报，该错报单独或连同其他错报是重大的，但注册会计师未能发现这种错报的可能性。刘爱松44旧审计风险模型审计风险=固有风险×控制风险×检查风险固有风险（InherentRisk)：假设有关被审计项目的内部控制制度完全不存在的情况下，该项目发生差错的可能性(IR)；注册会计师不能控制，但要进行估计。控制风险(ControlRisk)：某项目发生差错的情况下，未被相关内部控制制度发现的可能性(CR)；注册会计师不能控制，但要合理进行估计。刘爱松45检查风险(DetectionRisk)：发生差错，未被内部控制制度发现，又未被审计人员发现的可能性(DR)。是审计风险模型三要素中唯一能为注册会计师控制的。原风险模型在认定层次仍然适用。刘爱松2013年注师考试审计教材p.11046刘爱松47审计风险模型示意图刘爱松48•新审计风险模型的提出可能由于以下原因：固有风险和控制风险的评估无法区分。•MarkE.Haskins，MarkW.Dirsmith.ControlandInherentRiskAssessmentinClientEngagements:AnExaminationofTheirInterdependencies.JournalofAccountingandPublicPolicy，1993（14）：63~83刘爱松检查风险与重大错报风险的关系49刘爱松50识别和评估重大错报风险的审计程序•1211号审计准则第九十六条注册会计师应当识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错