第13章风险评估
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
被审计单位内部或外部对财务业绩的衡量和评
价可能对管理层产生压力,促使其采取行动改 善财务业绩或歪曲财务报表
2013-7-13
18
内部控制及其评价
内部控制的定义与目标(COSO,1992)
内部控制(internal control)是被审计单位为 了合理保证财务报告的可靠性、经营的效率和 效果以及对法律法规的遵守,由治理层、管理 层和其他人员设计和执行的政策和程序
2013-7-13
23
内部控制及其评价
风险评估
在评价被审计单位风险评估过程的设计和执行
时,注册会计师应当确定管理层如何识别与财 务报告相关的经营风险,如何估计该风险的重 要性,如何评估风险发生的可能性,以及如何 内部控制与风险管 采取措施管理这些风险 理已更加紧密的结
合在一起,COSO 最新内部控制标准 的名称就是“企业 风险管理框架”
2013-7-13 21
内部控制及其评价
控制环境
2013-7-13
对诚信和道德价值观念的沟通与落实 对胜任能力的重视 治理层的参与程度 管理层的理念和经营风格 组织结构 职权与责任的分配 人力资源政策与实务
22
内部控制及其评价
控制环境
控制环境与财务报表层次重大错报风险有关 控制环境本身并不能防止Leabharlann Baidu发现并纠正各类交 易、账户余额、列报认定层次的重大错报
2013-7-13
26
内部控制及其评价
信息系统与沟通
与财务报告相关的信息系统,包括用以生成、
记录、处理和报告交易、事项和情况,对相关 资产、负债和所有者权益履行经营管理责任的 程序和记录 与财务报告相关的沟通包括使员工了解各自在 与财务报告有关的内部控制方面的角色和职责, 员工之间的工作联系,以及向适当级别的管理 层报告例外事项的方式
2013-7-13 24
内部控制及其评价
控制活动
控制活动是指有助于确保管理层的指令得以执
行的政策和程序,包括与授权、业绩评价、信 息处理、实物控制和职责分离等相关的活动
控制活动应根据 风险评估的结果 而设计,经营风 险越高的领域, 越需要有效的控 制活动
2013-7-13
25
内部控制及其评价
2013-7-13 12
了解被审计单位及其环境
外部环境因素
行业状况 法律及监管环境 其他外部因素
行业专门化 (industry Specialization)
2013-7-13
13
了解被审计单位及其环境
被审计单位的性质
所有权结构 治理结构 组织结构 经营活动 投资活动 筹资活动
2013-7-13
20
内部控制及其评价
控制环境
控制环境包括治理职能和管理职能,以及治理
层和管理层对内部控制及其重要性的态度、认 识和措施 控制环境设定了组织的基调( tone of an organization ),影响着其员工的控制意识 ( control consciousness ),它是所有其他要素 的基础
10
2013-7-13
了解被审计单位及其环境
总体要求
行业状况、法律环境与监管环境以及其他外部
因素( Industry, regulatory, and other external factors, including the applicable financial reporting framework ) 被审计单位的性质( Nature of the entity ) 被审计单位对会计政策的选择和运用( The entity’s selection and application of accounting policies )
2013-7-13
30
内部控制及其评价
对内部控制了解的深度
注册会计师在了解内部控制时,应当评价控制 的设计,并确定其是否得到执行 注册会计师在确定是否考虑控制得到执行时, 应当首先考虑控制的设计 对内部控制的了解并不涉及控制的运行有效性 除非存在某些可以使控制得到一贯运行的自动 化控制,注册会计师对控制的了解并不能够代 替对控制运行有效性的测试
风险评估程序的类型
询问被审计单位的管理层和内部其他相关人员 分析程序 观察和检查
2013-7-13
5
风险评估程序
询问
注册会计师除了询问管理层和对财务报告负有
责任的人员外,还应考虑询问内部审计人员、采 购人员、生产人员、销售人员等其他人员,并 考虑询问不同级别的员工,以获取对识别重大 错报风险有用的信息
讨论的目标(交流信息与分享见解) 讨论的内容(经营风险、错报领域与方式、舞
弊风险) 讨论的人员(关键成员、专家) 讨论的时间和方式(持续交换信息、职业怀疑)
2013-7-13
9
了解被审计单位及其环境
为什么重要?
不深入了解被审计单位及其环境,根本就不 可能知道被审计单位的财务报表可能在哪里会 出错,也无法界定什么错报为“重大”,更无 法设计有效的审计程序去发现错报 “战略系统审计观”(Strategic System Audit Approach) 要求审计人员具有更广阔的视野 和更发散的思维
2013-7-13 27
内部控制及其评价
对于控制的监督
对控制的监督是指被审计单位评价内部控制在
一段时间内运行有效性的过程,该过程包括及 时评价控制的设计和运行,以及根据情况的变 化采取必要的纠正措施 注册会计师应当了解被审计单位对控制的持续 监督活动和专门的评价活动
2013-7-13
28
内部控制及其评价
五个要素之间的关系
2013-7-13
29
内部控制及其评价
与审计相关的控制
与审计相关的控制,包括被审计单位为实现财
务报告可靠性目标设计和实施的控制 如果用以保证经营效率、效果的控制以及对法 律法规遵守的控制与实施审计程序时评价或使 用的数据相关,注册会计师应当考虑这些控制 可能与审计相关
2013-7-13 11
了解被审计单位及其环境
总体要求
被审计单位的目标、战略以及相关经营风险
( Objectives and strategies and the related business risks that may result in a material misstatement of the financial statements ) 被审计单位财务业绩的衡量和评价 ( Measurement and review of the entity’s financial performance ) 被审计单位的内部控制( Internal control )
业务流程层面内部控 制的分为两种: 预防性控制 (preventive control) 检查性控制 (detective control)
2013-7-13
34
内部控制及其评价
内部控制的局限性
在决策时人为判断可能出现错误和由于人为失
误而导致内部控制失效 可能由于两个或更多的人员进行串通或管理层 无论内部控制如何健全, 凌驾于内部控制之上而被规避 CPA都必须对认定实施实
2013-7-13 7
风险评估程序
观察与检查
观察被审计单位的生产经营活动 检查文件、记录和内部控制手册 阅读由管理层和治理层编制的报告 实地察看被审计单位的生产经营场所和设备 追踪交易在财务报告信息系统中的处理过程 (穿行测试)
2013-7-13
8
风险评估程序
项目组内部讨论
2013-7-13
15
了解被审计单位及其环境
被审计单位的目标、战略以及相关经营风 险
经营风险源于对被审计单位实现目标和战略产
生不利影响的重大情况、事项、环境和行动, 或源于不恰当的目标和战略 多数经营风险最终都会产生财务后果,从而影 响财务报表;注册会计师应当根据被审计单位 的具体情况考虑经营风险是否可能导致财务报 表发生重大错报
2013-7-13 16
了解被审计单位及其环境
被审计单位的目标、战略以及相关经营风 剩余风险 险 经营风险
审计风险= 重大错报风险×检查风险
财务报表在审 计前存在重大 错报的可能性
某一认定存在重大 错报而CPA未能发 现的可能性
17
2013-7-13
了解被审计单位及其环境
被审计单位财务业绩的衡量和评价
2013-7-13 36
重大错报风险的评估、沟通与记 录 特别风险(significant risk)
2013-7-13
6
风险评估程序
分析程序
注册会计师实施分析程序有助于识别异常的交
易或事项,以及对财务报表和审计产生影响的 金额、比率和趋势 如果使用了高度汇总的数据,实施分析程序的 结果仅可能初步显示财务报表存在重大错报风 险,注册会计师应当将分析结果连同识别重大 错报风险时获取的其他信息一并考虑
2013-7-13
31
内部控制及其评价
控制的人工与自动化成分
内部控制的人工成分在处理下列需要主观判断
或酌情处理的情形时可能更为适当:
存在大额、异常或偶发的交易 存在难以定义、防范或预见的错误 为应对情况的变化,需要对现有的自动化控制进行 调整 监督自动化控制的有效性
2013-7-13
质性程序,不得将实质性 程序仅集中于例外事项上, 也不能未经评估,直接将 重大错报风险设定为最大 值
2013-7-13 35
重大错报风险的评估、沟通与记 录
识别和评估重大错报风险的审计程序
在了解被审计单位及其环境的整个过程中识别
风险,并考虑各类交易、账户余额、列报 将识别的风险与认定层次可能发生错报的领域 相联系 考虑识别的风险是否重大 考虑识别的风险导致财务报表发生重大错报的 可能性
2013-7-13
3
总体要求
要点
了解被审计单位及其环境是一个连续和动态地 收集、更新和分析信息的过程,贯穿于整个审 计过程的始终 注册会计师应当运用职业判断确定需要了解被 CPA是否需要达 审计单位及其环境的程度
到管理层对于被 审计单位一样的 了解程度?
2013-7-13
4
风险评估程序
2013-7-13
19
内部控制及其评价
内部控制的要素
控制环境(control
environment) 风险评估( Risk Assessment ) 控制活动( Control Activities ) 信息系统与沟通( Information System and Communication ) 对于控制的监督(Monitoring)
第十三章 风险评 估
2013-7-13
1
【本章教学目的和要求】
总体要求 风险评估程序 了解被审计单位及其环境 内部控制及其评价 重大错报风险的评估、沟通与记录
2013-7-13
2
总体要求
要点
中国注册会计师审计准则1211号《了解被审计 单位的环境并评估重大错报风险》 注册会计师应当了解被审计单位及其环境,以 充分识别和评估财务报表的重大错报风险,设 计和实施进一步的审计程序
控制活动
授权(authorization)(一般授权与特别授权) 业绩评价(performance review) 信息处理(information processing)(一般控制 与应用控制) 实物控制(physical control) 职责分离(separation of duties)
32
内部控制及其评价
控制的人工与自动化成分
注册会计师应当考虑人工控制在下列情形中可
能是不适当的:
存在大量或重复发生的交易 事先可预见的错误能够通过自动化控制得以防范或 发现 控制活动可得到适当设计和自动化处理
2013-7-13
33
内部控制及其评价
对内部控制了解的两个层面
整体层面 业务流程层面
子公司或附属公司 (subsidiary) 合营企业(joint ventures) 联营企业(affiliates or associates)
2013-7-13
14
了解被审计单位及其环境
被审计单位对会计政策的选择和运用
重要项目的会计政策和行业惯例 重大和异常交易的会计处理方法 在新领域和缺乏权威性标准或共识的领域,采 用重要会计政策产生的影响 会计政策的变更 被审计单位何时采用以及如何采用新颁布的会 计准则和相关会计制度
价可能对管理层产生压力,促使其采取行动改 善财务业绩或歪曲财务报表
2013-7-13
18
内部控制及其评价
内部控制的定义与目标(COSO,1992)
内部控制(internal control)是被审计单位为 了合理保证财务报告的可靠性、经营的效率和 效果以及对法律法规的遵守,由治理层、管理 层和其他人员设计和执行的政策和程序
2013-7-13
23
内部控制及其评价
风险评估
在评价被审计单位风险评估过程的设计和执行
时,注册会计师应当确定管理层如何识别与财 务报告相关的经营风险,如何估计该风险的重 要性,如何评估风险发生的可能性,以及如何 内部控制与风险管 采取措施管理这些风险 理已更加紧密的结
合在一起,COSO 最新内部控制标准 的名称就是“企业 风险管理框架”
2013-7-13 21
内部控制及其评价
控制环境
2013-7-13
对诚信和道德价值观念的沟通与落实 对胜任能力的重视 治理层的参与程度 管理层的理念和经营风格 组织结构 职权与责任的分配 人力资源政策与实务
22
内部控制及其评价
控制环境
控制环境与财务报表层次重大错报风险有关 控制环境本身并不能防止Leabharlann Baidu发现并纠正各类交 易、账户余额、列报认定层次的重大错报
2013-7-13
26
内部控制及其评价
信息系统与沟通
与财务报告相关的信息系统,包括用以生成、
记录、处理和报告交易、事项和情况,对相关 资产、负债和所有者权益履行经营管理责任的 程序和记录 与财务报告相关的沟通包括使员工了解各自在 与财务报告有关的内部控制方面的角色和职责, 员工之间的工作联系,以及向适当级别的管理 层报告例外事项的方式
2013-7-13 24
内部控制及其评价
控制活动
控制活动是指有助于确保管理层的指令得以执
行的政策和程序,包括与授权、业绩评价、信 息处理、实物控制和职责分离等相关的活动
控制活动应根据 风险评估的结果 而设计,经营风 险越高的领域, 越需要有效的控 制活动
2013-7-13
25
内部控制及其评价
2013-7-13 12
了解被审计单位及其环境
外部环境因素
行业状况 法律及监管环境 其他外部因素
行业专门化 (industry Specialization)
2013-7-13
13
了解被审计单位及其环境
被审计单位的性质
所有权结构 治理结构 组织结构 经营活动 投资活动 筹资活动
2013-7-13
20
内部控制及其评价
控制环境
控制环境包括治理职能和管理职能,以及治理
层和管理层对内部控制及其重要性的态度、认 识和措施 控制环境设定了组织的基调( tone of an organization ),影响着其员工的控制意识 ( control consciousness ),它是所有其他要素 的基础
10
2013-7-13
了解被审计单位及其环境
总体要求
行业状况、法律环境与监管环境以及其他外部
因素( Industry, regulatory, and other external factors, including the applicable financial reporting framework ) 被审计单位的性质( Nature of the entity ) 被审计单位对会计政策的选择和运用( The entity’s selection and application of accounting policies )
2013-7-13
30
内部控制及其评价
对内部控制了解的深度
注册会计师在了解内部控制时,应当评价控制 的设计,并确定其是否得到执行 注册会计师在确定是否考虑控制得到执行时, 应当首先考虑控制的设计 对内部控制的了解并不涉及控制的运行有效性 除非存在某些可以使控制得到一贯运行的自动 化控制,注册会计师对控制的了解并不能够代 替对控制运行有效性的测试
风险评估程序的类型
询问被审计单位的管理层和内部其他相关人员 分析程序 观察和检查
2013-7-13
5
风险评估程序
询问
注册会计师除了询问管理层和对财务报告负有
责任的人员外,还应考虑询问内部审计人员、采 购人员、生产人员、销售人员等其他人员,并 考虑询问不同级别的员工,以获取对识别重大 错报风险有用的信息
讨论的目标(交流信息与分享见解) 讨论的内容(经营风险、错报领域与方式、舞
弊风险) 讨论的人员(关键成员、专家) 讨论的时间和方式(持续交换信息、职业怀疑)
2013-7-13
9
了解被审计单位及其环境
为什么重要?
不深入了解被审计单位及其环境,根本就不 可能知道被审计单位的财务报表可能在哪里会 出错,也无法界定什么错报为“重大”,更无 法设计有效的审计程序去发现错报 “战略系统审计观”(Strategic System Audit Approach) 要求审计人员具有更广阔的视野 和更发散的思维
2013-7-13 27
内部控制及其评价
对于控制的监督
对控制的监督是指被审计单位评价内部控制在
一段时间内运行有效性的过程,该过程包括及 时评价控制的设计和运行,以及根据情况的变 化采取必要的纠正措施 注册会计师应当了解被审计单位对控制的持续 监督活动和专门的评价活动
2013-7-13
28
内部控制及其评价
五个要素之间的关系
2013-7-13
29
内部控制及其评价
与审计相关的控制
与审计相关的控制,包括被审计单位为实现财
务报告可靠性目标设计和实施的控制 如果用以保证经营效率、效果的控制以及对法 律法规遵守的控制与实施审计程序时评价或使 用的数据相关,注册会计师应当考虑这些控制 可能与审计相关
2013-7-13 11
了解被审计单位及其环境
总体要求
被审计单位的目标、战略以及相关经营风险
( Objectives and strategies and the related business risks that may result in a material misstatement of the financial statements ) 被审计单位财务业绩的衡量和评价 ( Measurement and review of the entity’s financial performance ) 被审计单位的内部控制( Internal control )
业务流程层面内部控 制的分为两种: 预防性控制 (preventive control) 检查性控制 (detective control)
2013-7-13
34
内部控制及其评价
内部控制的局限性
在决策时人为判断可能出现错误和由于人为失
误而导致内部控制失效 可能由于两个或更多的人员进行串通或管理层 无论内部控制如何健全, 凌驾于内部控制之上而被规避 CPA都必须对认定实施实
2013-7-13 7
风险评估程序
观察与检查
观察被审计单位的生产经营活动 检查文件、记录和内部控制手册 阅读由管理层和治理层编制的报告 实地察看被审计单位的生产经营场所和设备 追踪交易在财务报告信息系统中的处理过程 (穿行测试)
2013-7-13
8
风险评估程序
项目组内部讨论
2013-7-13
15
了解被审计单位及其环境
被审计单位的目标、战略以及相关经营风 险
经营风险源于对被审计单位实现目标和战略产
生不利影响的重大情况、事项、环境和行动, 或源于不恰当的目标和战略 多数经营风险最终都会产生财务后果,从而影 响财务报表;注册会计师应当根据被审计单位 的具体情况考虑经营风险是否可能导致财务报 表发生重大错报
2013-7-13 16
了解被审计单位及其环境
被审计单位的目标、战略以及相关经营风 剩余风险 险 经营风险
审计风险= 重大错报风险×检查风险
财务报表在审 计前存在重大 错报的可能性
某一认定存在重大 错报而CPA未能发 现的可能性
17
2013-7-13
了解被审计单位及其环境
被审计单位财务业绩的衡量和评价
2013-7-13 36
重大错报风险的评估、沟通与记 录 特别风险(significant risk)
2013-7-13
6
风险评估程序
分析程序
注册会计师实施分析程序有助于识别异常的交
易或事项,以及对财务报表和审计产生影响的 金额、比率和趋势 如果使用了高度汇总的数据,实施分析程序的 结果仅可能初步显示财务报表存在重大错报风 险,注册会计师应当将分析结果连同识别重大 错报风险时获取的其他信息一并考虑
2013-7-13
31
内部控制及其评价
控制的人工与自动化成分
内部控制的人工成分在处理下列需要主观判断
或酌情处理的情形时可能更为适当:
存在大额、异常或偶发的交易 存在难以定义、防范或预见的错误 为应对情况的变化,需要对现有的自动化控制进行 调整 监督自动化控制的有效性
2013-7-13
质性程序,不得将实质性 程序仅集中于例外事项上, 也不能未经评估,直接将 重大错报风险设定为最大 值
2013-7-13 35
重大错报风险的评估、沟通与记 录
识别和评估重大错报风险的审计程序
在了解被审计单位及其环境的整个过程中识别
风险,并考虑各类交易、账户余额、列报 将识别的风险与认定层次可能发生错报的领域 相联系 考虑识别的风险是否重大 考虑识别的风险导致财务报表发生重大错报的 可能性
2013-7-13
3
总体要求
要点
了解被审计单位及其环境是一个连续和动态地 收集、更新和分析信息的过程,贯穿于整个审 计过程的始终 注册会计师应当运用职业判断确定需要了解被 CPA是否需要达 审计单位及其环境的程度
到管理层对于被 审计单位一样的 了解程度?
2013-7-13
4
风险评估程序
2013-7-13
19
内部控制及其评价
内部控制的要素
控制环境(control
environment) 风险评估( Risk Assessment ) 控制活动( Control Activities ) 信息系统与沟通( Information System and Communication ) 对于控制的监督(Monitoring)
第十三章 风险评 估
2013-7-13
1
【本章教学目的和要求】
总体要求 风险评估程序 了解被审计单位及其环境 内部控制及其评价 重大错报风险的评估、沟通与记录
2013-7-13
2
总体要求
要点
中国注册会计师审计准则1211号《了解被审计 单位的环境并评估重大错报风险》 注册会计师应当了解被审计单位及其环境,以 充分识别和评估财务报表的重大错报风险,设 计和实施进一步的审计程序
控制活动
授权(authorization)(一般授权与特别授权) 业绩评价(performance review) 信息处理(information processing)(一般控制 与应用控制) 实物控制(physical control) 职责分离(separation of duties)
32
内部控制及其评价
控制的人工与自动化成分
注册会计师应当考虑人工控制在下列情形中可
能是不适当的:
存在大量或重复发生的交易 事先可预见的错误能够通过自动化控制得以防范或 发现 控制活动可得到适当设计和自动化处理
2013-7-13
33
内部控制及其评价
对内部控制了解的两个层面
整体层面 业务流程层面
子公司或附属公司 (subsidiary) 合营企业(joint ventures) 联营企业(affiliates or associates)
2013-7-13
14
了解被审计单位及其环境
被审计单位对会计政策的选择和运用
重要项目的会计政策和行业惯例 重大和异常交易的会计处理方法 在新领域和缺乏权威性标准或共识的领域,采 用重要会计政策产生的影响 会计政策的变更 被审计单位何时采用以及如何采用新颁布的会 计准则和相关会计制度