06-风险评估
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
《独立审计具体准则第9号——内部控制与审计风 险》,认为内部控制是指被审计单位为了保证业务 活动的有效进行,保护资产的安全完整,防止、发 现、纠正错误与舞弊,保证会计资料的真实、合法、 完整而制定和实施的政策和程序。包括控制环境、 会计系统和控制程序。
1997~2005年:会计视角的内部控制规范
风险评估程序的实质
风险评估程序是注册会计师了解被审计单位及 其环境的手段;
风险评估程序内容是几种单项审计程序的有效 组合;
风险评估程序目的在于获取财务信息和非财务 信息,识别和评估财务报表层次和认定层次重 大错报风险;
风险评估程序是注册会计师审计中必须实施的 审计程序,如果未实施风险评估程序就不能评 估重大错报风险。
风险管理框架突出了内部控制的关键在于风险管理。
COSO对内部控制认识的演进
控制环境
控制活动
会计系统
控制活动 风险评估
监控
内部环境 目标设定 风险识别 风险评估 风险应对 控制活动 信息与沟通
监控
信息与沟通
业子 企分务公 业整支机单司 体位 层构 次
控制环境
我国现代内部控制的发展
1996年以前:审计视角的内部控制规范
1、内部控制的含义与演进
内部控制的含义
美国虚假财务报告全国委员会的赞助者委员会(COSO) 对内部控制的定义
我国独立审计准则对内部控制的定义
内部控制的发展历程
“内部牵制”阶段 “内部控制制度”阶段 “内部控制结构”阶段 “内部控制整体框架”阶段 “企业风险管理框架”阶段
三、被审计单位对会计政策的选择和运用
注册会计师应当根据被审计单位的经营活动, 评价采用的会计政策是否适当,与使用的财务 报告编制基础、相关行业使用的会计政策是否 保持一致。
四、被审计单位的目标、战略以及相关经营风险
目标、战略与经营风险 经营风险对重大错报风险的影响
了解被审计单位的经营风险有助于识别财务报表重 大错报风险。
内部控制结构
控制环境
会计系统
控制程序
(3)“内部控制结构”阶段
企业的内部控制结构包括企业为实现企业特定目 标的提供合理保证而建立的各种政策和程序。
内部控制结构这一概念跳出了“制度二分法”的 圈子,特别强调了管理者对内部控制的态度、认 识和行为等控制环境的重要作用,要求审计师在 评估控制风险时不仅要关注会计控制制度与控制 程序,还应对企业所面临的内外环境进行评估。
(3)
分析错报风 险的发生领 域、发生的 可能性及风 险是否重大
第一节 风险评估概述
风险评估的含义
1
风险评估的程序
2
一、风险评估的含义
风险评估是指审计师在了解被审计单位及其环 境的基础上,对其财务报表层次以及认定层次 重大错报风险的识别、评价和估计过程,以便 分析错报风险的发生领域、发生的可能性以及 风险是否重大。
并非所有的经营风险都与财务报表相关,注册会计 师没有责任识别或评估对财务报表没有影响的经营 风险。
经营风险可能对各类交易、账户余额和披露的认定 层次或财务报表层次产生直接影响。
五、被审计单位财务业绩的衡量和评价
被审计单位管理层可能由于对财务业绩的衡量 和评价,产生改善财务业绩或歪曲财务报表的 动机。
二、风险评估的程序
询问管理层和内部其他相关人员 分析程序
审计师应当对被审计单位财务报表、主要业务实施 分析程序,以便识别异常交易或事项,以及对财务 报表和审计产生影响的金额、比率和趋势。
实施分析程序时,审计师应当预期可能存在的合理 关系,并与被审计单位记录的金额、依据记录金额 计算的比率或趋势相比较。如果发现异常或未预期 到的关系,审计师应当在识别重大错报风险时考虑 这些比较结果。
(4)“内部控制整体框架”阶段
1992年2月,美国反虚假财务报告全国 委员会的发起者组织委员会(COSO) 发布了指导内部控制实践的纲领性文 件COSO研究报告——《内部控制—— 整体框架》。该报告对内部控制进行 了更广泛的定义,并提出了内部控制
的五个构成要素。
定义
内部控制是由企业董事会、经理层及其他员工实 施的,为财务报告的可靠性、经营活动的效率和 效果、相关法律法规的遵循性等目标的实现提供 合理保证的过程。
该框架明确提出企业风险管理是由企业董事会、管 理层和其他员工共同参与的,应用于企业战略制定 和企业内部各层次和部门的,用于识别可能对企业 造成影响的事项,并在其风险偏好范围内管理风险, 为企业目标的实现提供合理保证的过程。
指出,企业风险管理框架由内部环境、目标制定、 事项识别、风险评估、风险反应、控制活动、信息 和沟通、监控八个相互关联的要素构成。
内部控制的构成要素
ቤተ መጻሕፍቲ ባይዱ内部控制
控制环境 风险评估 控制活动 信息和沟通
监督
与以往的内控理论及研究成果相比,COSO报告 强调:
内部控制的对象是企业运行过程中的所有要素;
内部控制的好坏完全取决于执行控制政策和程序的人 的素质和观念,同时内部控制也影响着人的行动;
企业的内部控制并非只是一个机械的规定或一项制度, 而是一个发现问题、解决问题、发现新问题、解决新 问题的循环往复的“动态过程”;
注册会计师应当了解被审计单位内部如何对财 务报告的岗位职责以及与财务报告相关的重大 事项进行沟通。
(4)控制活动
控制活动是指确保管理层指令 得以实施的政策和程序。
控制活动具体包括以下内容:
授权审批控制 业绩评价控制 信息处理控制 实物控制 职责分离控制
实物控制
实物控制是指通过对有关实物资产和记录实 施特定保护措施以保证其安全和完整的一种 控制方式,具体又分为接触控制和盘点控制。
两个人或两个部门(以上)同时发生错误的可能 性小于单独一个人或部门发生错误的可能性;
两个或两个以上部门或人员伙同舞弊的可能性小 于单独一个人或部门舞弊的可能性。
内部
牵制
至少两双眼睛同时看住一件交易. ---四眼原则 防止错误、监督和发现资产管理中的滥用行 为
没有一个人可以同时承担如下工作: 提议 授权 记录 执行 审核 实物控制
与执行的政策及程序。
(1)牵制阶段
± È Èç £¬ Ç® ËÕ · Ö ¹Ü µÈ ¡£
(2)“内部控制”阶段
1949年,美国注册会计师协会 首次提出内部控制的概念,也 就是我们所说的内部控制制度。
没有考虑控 制环境问题
(3)“内部控制结构”阶段
从20世纪80年代以来,内部控制的理论研究又有了新 的发展,会计与审计界研究的重点逐步从一般涵义向 具体内容深化。其标志是美国注册会计师协会于1988 年5月发布的《审计准则公告第55号——在财务报表 审计中对内部控制结构的考虑》。该公告首次以“内 部控制结构”的概念取代了“内部控制制度”一词。
行业状况 法律环境与监管环境 其他外部因素 了解的重点和程度
注册会计师对行业状况、法律环境与监管环境以及 其他外部因素了解的范围和程度会因被审计单位所 处行业、规模以及其他因素的不同而不同。
二、被审计单位的性质
所有权结构 治理结构 组织结构 经营活动 投资活动 筹资活动
险所采取的措施。
CPA应当确定管理层如何识别与财 务报告相关的经营风险,如何估计 该风险的重要性,如何评估风险发 生的可能性,以及如何采取措施管
理这些风险。
(3)信息系统与沟通
与财务报告相关的信息系统,包括可以生成、 记录、处理和报告交易、事项和情况,对相关 资产、负债和所有者权益履行经营管理责任的 程序和记录。注册会计师应当了解与财务报告 相关的信息系统(包括相关业务流程)。
管理者必须及时对各种可能的风险加以反映和评估, 采取适当的措施,以保证内部控制的效率和效果;
不管内部控制的设计、执行如何完善,它也只能为管 理者实现组织目标提供合理保证;
内部控制本身不是目的,而是实现组织目标的一种手 段和工具。
(5)企业风险管理框架阶段
2004年9月,COSO发布了《企业风险管理框架》 (Enterprise Risk Management Framework)。
财务报表层次重大错报风险 认定层次重大错报风险
风险导向审计的基本理念是以企业经营风险为 导向,以系统观和战略观为指导思想,运用 “自上而下”和“自下而上”相结合的路线, 全面评估重大错报风险,且将风险评估贯穿于 整个审计过程,并根据风险评估结果来确定实 质性程序的性质、时间和范围。
一、风险评估的含义
观察与检查 考虑其他信息
第二节 了解被审计单位及其环境
了解被审计单位 及其环境
了解被审计 单位及其环 境的目的
了解被审单 位及其环境 的主要领域
了解被审计单位及其环境是风险评估的基础和 前提,是CPA执行财务报表审计的必要程序。
了解被审计单位及其环境的内容
一、行业状况、法律环境和监管环境及其他外部因素
美国虚假财务报 告全国委员会的 赞助委员会 (COSO)对内部 控制的定义是:
内部控制是一个受董事会、 管理人员和其他人员影响的 过程,它的作用是为了合理
保证达到以下目标:
经营有效率和效果; 财务报告可靠; 遵守相应的法律和规章。
我国独立审计准则对内部控制的定 义是:
内部控制是指被审计单位为了合理 保证财务报告的可靠性、经营的效 率和效果以及对法律法规的遵守, 由治理层、管理层和其他人员设计
通过了解被审计单位的业绩衡量,注册会计师 可以了解这些压力是否可能导致管理层采取行 动,以致增加财务报表发生重大错报的风险。
六、被审计单位的内部控制
内部控制概述 对内部控制了解的深度和方法 了解公司层面的内部控制
(一)内部控制概述
内部控制的含义与演进 内部控制的构成要素 内部控制的目标及其局限性 内部控制与审计的关系 对内部控制的了解与测试
风险导向审计中的风险评估具有如下特征:
风险评估工作量大幅增加而实质性程序工作量相应 减少,且风险评估是必需的审计程序;
风险评估重点由分别的固有风险评估、控制风险评 估向联合风险评估转变,即风险评估的重点转向重 大错报风险,并由重大错报风险的评估结果确定剩 余风险;
风险评估的切入点由直接重大错报风险评估转变为 间接的经营风险评估,即从经营风险评估入手,从 重大错报风险发生的源头进行风险评估。
接触控制:是指针对有关重要的资产和文件记录, 明确其可以接触和接近的人员以及接触和接近人 员的职责范围,限制其他人员接触或接近以保护 资产和记录的安全完整。
盘点控制:是指通过对企业的资产实施定期盘点 清查,并将盘点结果与会计记录进行比较以确定 其是否账实相符的一种控制方式。
不相容职务分离的前提
分离的主要不相容职务
授权和执行的职务要分离; 执行与审核的职务要分离; 执行与记录的职务要分离; 保管与记录的职务要分离。 保管与财产清查的职务分离; 会计工作中,总账、明细账、日记账相分离。
第六章 风险评估
武汉科技大学管理学院财务会计系
周莉
第七章 风险评估
7.1 风险评估的概含述义与程序
7.2 了解被审计单位及其环境
7.3
识别与评估重大错报风险 与特别风险
风险评估与应对的基本框架
第六章 风险评估
风险评估是一个持续和动态的过程
(1)
了解被审 计单位及 其环境
(2)
对财务报表 层次和认定 层次重大错 报风险进行 识别、评估
息与沟通、监督。(√)
内部控制的构成要素
控制环境
风险 评估
控制 活动
信息和 沟通
监督
(1)控制环境
控制环境是对企业内部 控制的建立和实施有重 大影响的因素的总称。
控制环境通过影响人们的控制意识而影响一 个组织的气氛,是内部控制其他部分的基础。
控制环境包括:
(2)风险评估过程
被审计单位的风险评估过程 包括识别与财务报告相关的 经营风险,以及针对这些风
《内部会计控制——基本规范》;《上市公司内部 控制指引》等。
2006年至今:管理视角的内部控制规范
《企业内部控制配套指引》,包括《企业内部控制 审计指引》
2、内部控制的构成要素
内部控制的内容有三种提法(我国): 1.内部控制包括控制环境、会计系统和控制程序; 2.内部控制包括内部会计控制和内部管理控制; 3.COSO报告:控制环境、风险评估、控制活动、信
1997~2005年:会计视角的内部控制规范
风险评估程序的实质
风险评估程序是注册会计师了解被审计单位及 其环境的手段;
风险评估程序内容是几种单项审计程序的有效 组合;
风险评估程序目的在于获取财务信息和非财务 信息,识别和评估财务报表层次和认定层次重 大错报风险;
风险评估程序是注册会计师审计中必须实施的 审计程序,如果未实施风险评估程序就不能评 估重大错报风险。
风险管理框架突出了内部控制的关键在于风险管理。
COSO对内部控制认识的演进
控制环境
控制活动
会计系统
控制活动 风险评估
监控
内部环境 目标设定 风险识别 风险评估 风险应对 控制活动 信息与沟通
监控
信息与沟通
业子 企分务公 业整支机单司 体位 层构 次
控制环境
我国现代内部控制的发展
1996年以前:审计视角的内部控制规范
1、内部控制的含义与演进
内部控制的含义
美国虚假财务报告全国委员会的赞助者委员会(COSO) 对内部控制的定义
我国独立审计准则对内部控制的定义
内部控制的发展历程
“内部牵制”阶段 “内部控制制度”阶段 “内部控制结构”阶段 “内部控制整体框架”阶段 “企业风险管理框架”阶段
三、被审计单位对会计政策的选择和运用
注册会计师应当根据被审计单位的经营活动, 评价采用的会计政策是否适当,与使用的财务 报告编制基础、相关行业使用的会计政策是否 保持一致。
四、被审计单位的目标、战略以及相关经营风险
目标、战略与经营风险 经营风险对重大错报风险的影响
了解被审计单位的经营风险有助于识别财务报表重 大错报风险。
内部控制结构
控制环境
会计系统
控制程序
(3)“内部控制结构”阶段
企业的内部控制结构包括企业为实现企业特定目 标的提供合理保证而建立的各种政策和程序。
内部控制结构这一概念跳出了“制度二分法”的 圈子,特别强调了管理者对内部控制的态度、认 识和行为等控制环境的重要作用,要求审计师在 评估控制风险时不仅要关注会计控制制度与控制 程序,还应对企业所面临的内外环境进行评估。
(3)
分析错报风 险的发生领 域、发生的 可能性及风 险是否重大
第一节 风险评估概述
风险评估的含义
1
风险评估的程序
2
一、风险评估的含义
风险评估是指审计师在了解被审计单位及其环 境的基础上,对其财务报表层次以及认定层次 重大错报风险的识别、评价和估计过程,以便 分析错报风险的发生领域、发生的可能性以及 风险是否重大。
并非所有的经营风险都与财务报表相关,注册会计 师没有责任识别或评估对财务报表没有影响的经营 风险。
经营风险可能对各类交易、账户余额和披露的认定 层次或财务报表层次产生直接影响。
五、被审计单位财务业绩的衡量和评价
被审计单位管理层可能由于对财务业绩的衡量 和评价,产生改善财务业绩或歪曲财务报表的 动机。
二、风险评估的程序
询问管理层和内部其他相关人员 分析程序
审计师应当对被审计单位财务报表、主要业务实施 分析程序,以便识别异常交易或事项,以及对财务 报表和审计产生影响的金额、比率和趋势。
实施分析程序时,审计师应当预期可能存在的合理 关系,并与被审计单位记录的金额、依据记录金额 计算的比率或趋势相比较。如果发现异常或未预期 到的关系,审计师应当在识别重大错报风险时考虑 这些比较结果。
(4)“内部控制整体框架”阶段
1992年2月,美国反虚假财务报告全国 委员会的发起者组织委员会(COSO) 发布了指导内部控制实践的纲领性文 件COSO研究报告——《内部控制—— 整体框架》。该报告对内部控制进行 了更广泛的定义,并提出了内部控制
的五个构成要素。
定义
内部控制是由企业董事会、经理层及其他员工实 施的,为财务报告的可靠性、经营活动的效率和 效果、相关法律法规的遵循性等目标的实现提供 合理保证的过程。
该框架明确提出企业风险管理是由企业董事会、管 理层和其他员工共同参与的,应用于企业战略制定 和企业内部各层次和部门的,用于识别可能对企业 造成影响的事项,并在其风险偏好范围内管理风险, 为企业目标的实现提供合理保证的过程。
指出,企业风险管理框架由内部环境、目标制定、 事项识别、风险评估、风险反应、控制活动、信息 和沟通、监控八个相互关联的要素构成。
内部控制的构成要素
ቤተ መጻሕፍቲ ባይዱ内部控制
控制环境 风险评估 控制活动 信息和沟通
监督
与以往的内控理论及研究成果相比,COSO报告 强调:
内部控制的对象是企业运行过程中的所有要素;
内部控制的好坏完全取决于执行控制政策和程序的人 的素质和观念,同时内部控制也影响着人的行动;
企业的内部控制并非只是一个机械的规定或一项制度, 而是一个发现问题、解决问题、发现新问题、解决新 问题的循环往复的“动态过程”;
注册会计师应当了解被审计单位内部如何对财 务报告的岗位职责以及与财务报告相关的重大 事项进行沟通。
(4)控制活动
控制活动是指确保管理层指令 得以实施的政策和程序。
控制活动具体包括以下内容:
授权审批控制 业绩评价控制 信息处理控制 实物控制 职责分离控制
实物控制
实物控制是指通过对有关实物资产和记录实 施特定保护措施以保证其安全和完整的一种 控制方式,具体又分为接触控制和盘点控制。
两个人或两个部门(以上)同时发生错误的可能 性小于单独一个人或部门发生错误的可能性;
两个或两个以上部门或人员伙同舞弊的可能性小 于单独一个人或部门舞弊的可能性。
内部
牵制
至少两双眼睛同时看住一件交易. ---四眼原则 防止错误、监督和发现资产管理中的滥用行 为
没有一个人可以同时承担如下工作: 提议 授权 记录 执行 审核 实物控制
与执行的政策及程序。
(1)牵制阶段
± È Èç £¬ Ç® ËÕ · Ö ¹Ü µÈ ¡£
(2)“内部控制”阶段
1949年,美国注册会计师协会 首次提出内部控制的概念,也 就是我们所说的内部控制制度。
没有考虑控 制环境问题
(3)“内部控制结构”阶段
从20世纪80年代以来,内部控制的理论研究又有了新 的发展,会计与审计界研究的重点逐步从一般涵义向 具体内容深化。其标志是美国注册会计师协会于1988 年5月发布的《审计准则公告第55号——在财务报表 审计中对内部控制结构的考虑》。该公告首次以“内 部控制结构”的概念取代了“内部控制制度”一词。
行业状况 法律环境与监管环境 其他外部因素 了解的重点和程度
注册会计师对行业状况、法律环境与监管环境以及 其他外部因素了解的范围和程度会因被审计单位所 处行业、规模以及其他因素的不同而不同。
二、被审计单位的性质
所有权结构 治理结构 组织结构 经营活动 投资活动 筹资活动
险所采取的措施。
CPA应当确定管理层如何识别与财 务报告相关的经营风险,如何估计 该风险的重要性,如何评估风险发 生的可能性,以及如何采取措施管
理这些风险。
(3)信息系统与沟通
与财务报告相关的信息系统,包括可以生成、 记录、处理和报告交易、事项和情况,对相关 资产、负债和所有者权益履行经营管理责任的 程序和记录。注册会计师应当了解与财务报告 相关的信息系统(包括相关业务流程)。
管理者必须及时对各种可能的风险加以反映和评估, 采取适当的措施,以保证内部控制的效率和效果;
不管内部控制的设计、执行如何完善,它也只能为管 理者实现组织目标提供合理保证;
内部控制本身不是目的,而是实现组织目标的一种手 段和工具。
(5)企业风险管理框架阶段
2004年9月,COSO发布了《企业风险管理框架》 (Enterprise Risk Management Framework)。
财务报表层次重大错报风险 认定层次重大错报风险
风险导向审计的基本理念是以企业经营风险为 导向,以系统观和战略观为指导思想,运用 “自上而下”和“自下而上”相结合的路线, 全面评估重大错报风险,且将风险评估贯穿于 整个审计过程,并根据风险评估结果来确定实 质性程序的性质、时间和范围。
一、风险评估的含义
观察与检查 考虑其他信息
第二节 了解被审计单位及其环境
了解被审计单位 及其环境
了解被审计 单位及其环 境的目的
了解被审单 位及其环境 的主要领域
了解被审计单位及其环境是风险评估的基础和 前提,是CPA执行财务报表审计的必要程序。
了解被审计单位及其环境的内容
一、行业状况、法律环境和监管环境及其他外部因素
美国虚假财务报 告全国委员会的 赞助委员会 (COSO)对内部 控制的定义是:
内部控制是一个受董事会、 管理人员和其他人员影响的 过程,它的作用是为了合理
保证达到以下目标:
经营有效率和效果; 财务报告可靠; 遵守相应的法律和规章。
我国独立审计准则对内部控制的定 义是:
内部控制是指被审计单位为了合理 保证财务报告的可靠性、经营的效 率和效果以及对法律法规的遵守, 由治理层、管理层和其他人员设计
通过了解被审计单位的业绩衡量,注册会计师 可以了解这些压力是否可能导致管理层采取行 动,以致增加财务报表发生重大错报的风险。
六、被审计单位的内部控制
内部控制概述 对内部控制了解的深度和方法 了解公司层面的内部控制
(一)内部控制概述
内部控制的含义与演进 内部控制的构成要素 内部控制的目标及其局限性 内部控制与审计的关系 对内部控制的了解与测试
风险导向审计中的风险评估具有如下特征:
风险评估工作量大幅增加而实质性程序工作量相应 减少,且风险评估是必需的审计程序;
风险评估重点由分别的固有风险评估、控制风险评 估向联合风险评估转变,即风险评估的重点转向重 大错报风险,并由重大错报风险的评估结果确定剩 余风险;
风险评估的切入点由直接重大错报风险评估转变为 间接的经营风险评估,即从经营风险评估入手,从 重大错报风险发生的源头进行风险评估。
接触控制:是指针对有关重要的资产和文件记录, 明确其可以接触和接近的人员以及接触和接近人 员的职责范围,限制其他人员接触或接近以保护 资产和记录的安全完整。
盘点控制:是指通过对企业的资产实施定期盘点 清查,并将盘点结果与会计记录进行比较以确定 其是否账实相符的一种控制方式。
不相容职务分离的前提
分离的主要不相容职务
授权和执行的职务要分离; 执行与审核的职务要分离; 执行与记录的职务要分离; 保管与记录的职务要分离。 保管与财产清查的职务分离; 会计工作中,总账、明细账、日记账相分离。
第六章 风险评估
武汉科技大学管理学院财务会计系
周莉
第七章 风险评估
7.1 风险评估的概含述义与程序
7.2 了解被审计单位及其环境
7.3
识别与评估重大错报风险 与特别风险
风险评估与应对的基本框架
第六章 风险评估
风险评估是一个持续和动态的过程
(1)
了解被审 计单位及 其环境
(2)
对财务报表 层次和认定 层次重大错 报风险进行 识别、评估
息与沟通、监督。(√)
内部控制的构成要素
控制环境
风险 评估
控制 活动
信息和 沟通
监督
(1)控制环境
控制环境是对企业内部 控制的建立和实施有重 大影响的因素的总称。
控制环境通过影响人们的控制意识而影响一 个组织的气氛,是内部控制其他部分的基础。
控制环境包括:
(2)风险评估过程
被审计单位的风险评估过程 包括识别与财务报告相关的 经营风险,以及针对这些风
《内部会计控制——基本规范》;《上市公司内部 控制指引》等。
2006年至今:管理视角的内部控制规范
《企业内部控制配套指引》,包括《企业内部控制 审计指引》
2、内部控制的构成要素
内部控制的内容有三种提法(我国): 1.内部控制包括控制环境、会计系统和控制程序; 2.内部控制包括内部会计控制和内部管理控制; 3.COSO报告:控制环境、风险评估、控制活动、信