第8章 风险应对 练习题及答案
第八章风险应对
一、单项选择题
1、以下说法不正确的是()。
A、设计实施进一步审计程序的性质、时间和范围的依据是注册会计师识别的风险是否重大
B、财务报表层次的重大错报风险很可能源于薄弱的控制环境
C、如果多项控制活动能够实现同一目标,注册会计师不必了解与该目标相关的每项控制活动
D、被审计单位通常有一些与审计无关的控制,注册会计师无需对其加以考虑
2、关于控制测试的性质,下列描述不正确的是()。
A、将询问与检查或重新执行结合使用,通常能够比仅实施询问和观察获取更高的保证
B、观察提供的证据限于观察发生的时点,但其也可以测试控制运行的有效性
C、被审计单位针对处理收到的邮政汇款单设计和执行了相关的内部控制,注册会计师通过询问和观察程序往往不足以测试此类控制的运行有效性,还需要检查能够证明此类控制在所审计期间的其他时段有效运行的文件和凭证,以获取充分、适当的审计证据
D、询问本身无法获取控制有效运行的充分、适当的审计证据,需要与其他测试手段结合使用才能发挥作用
3、注册会计师在确定进一步审计程序的时间时应当考虑的因素不包括()。
A、审计意见的类型
B、控制环境
C、错报风险的性质
D、审计证据适用的期间或时点
4、以下说法中不正确的是()。
A、财务报表层次的重大错报风险很可能源于薄弱的控制环境
B、当控制环境存在缺陷,注册会计师通常会选择在期中实施更多的审计程序
C、采用不同的审计抽样方法,使当期抽取的测试样本与以前有所不同,可以提高审计程序的不可预见性
D、控制环境存在缺陷通常会削弱其他控制要素的作用,导致注册会计师可能无法信赖内部控制,而主要依赖实施实质性程序获取审计证据
5、下列关于控制测试的表述中,不正确的是()。
A、如果并不打算依赖内部控制,注册会计师就没有必要进一步了解业务流程层面的控制
B、如果不打算信赖内部控制,注册会计师就没有必要进行穿行测试
C、针对特别风险,注册会计师应当了解和评估相关的控制活动
D、如果认为仅通过实质性程序无法将认定层次的检查风险降至可接受的水平,注册会计师应当了解和评估相关的控制活动
6、注册会计师执行的下列审计程序中,属于细节测试的是()。
A、分析各个月份销售费用总额及主要项目金额占主营业务收入的比率,并与上一年度进行比较,判断变动的合理性
B、观察被审计单位验收入库流程,重点观察验收程序是否规范,验收标准是否明确
C、检查被审计单位的大额费用支出是否经过具有恰当权限的人员审批
D、根据审定的当期应纳营业税的主营业务收入,按规定的税率,分项计算、复核本期应纳营业税税额
7、下列方式无助于提高审计程序不可预见性的是()。
A、对余额低于重要性水平的银行账户执行函证程序
B、调整实施审计程序的时间,使被审计单位不可预期
C、本期采用不同于上期的抽样方法,使当期选取的测试样本与以前有所不同
D、预先不告知被审计单位选定的测试地点
8、下列有关采用总体审计方案的说法中,错误的是()。
A、注册会计师可以针对不同认定采用不同的审计方案
B、注册会计师可以采用综合性方案或实质性方案应对重大错报风险
C、注册会计师应对特别风险,也可以采用综合性方案
D、注册会计师应当采用与前期审计一致的审计方案,除非评估的重大错报风险发生重大变化
9、下列关于实质性程序的说法中,错误的是()。
A、注册会计师实施的实质性程序应当包括检查财务报表编制过程中作出的重大会计分录和其他调整
B、注册会计师实施的实质性程序应当包括将财务报表与其所依据的会计记录进行核对或调节
C、无论评估的重大错报风险结果如何,注册会计师都应当针对所有重大类别的交易、账户余额和披露,设计和实施实质性分析程序
D、实质性程序包括实质性分析程序和细节测试
10、当评估的财务报表层次重大错报风险属于高风险水平(并相应采取更强调审计程序不可预见性,重视调整审计程序的性质、时间和范围等总体应对措施)时,注册会计师通常拟实施进一步审计程序的总体方案更倾向于()。
A、综合性方案
B、实质性方案
C、风险评估程序
D、控制测试方案
11、关于进一步审计程序的总体方案,下列说法正确的是()。
A、针对不同的认定,可以采用不同的总体方案
B、针对特别风险,注册会计师应当采用实质性方案
C、针对收入确认舞弊风险,注册会计师应当采用综合方案
D、当评估的财务报表层次重大错报风险属于高风险水平,通常倾向于采用综合方案
12、下列有关特别风险的相关表述,错误的是()。
A、注册会计师应当了解、评估针对特别风险的控制
B、如果针对特别风险仅实施实质性程序,注册会计师只能使用细节测试
C、注册会计师应当对拟信赖的针对特别风险的控制在本审计期间运行的有效性实施测试
D、如果认为仅通过实质性程序无法将认定层次的检查风险降至可接受的水平,或者针对特别风险,注册会计师应当了解和评估相关的控制活动
13、在确定审计程序的范围时,注册会计师考虑的下列因素中不恰当的是()。
A、评估的重大错报风险越高,注册会计师实施的进一步审计程序的范围越广
B、计划获取的保证程度越高,注册会计师实施的进一步审计程序的范围越广
C、计算机辅助审计技术利用程度越高,注册会计师实施的进一步审计程序的范围越小
D、确定的重要性水平越低,注册会计师实施进一步审计程序的范围越广
二、多项选择题
1、下列关于注册会计师风险应对的相关说法中,正确的有()。
A、对计划获取控制运行的保证程度越高,则需要实施的控制测试的范围越广
B、如果评估的重大错报风险比较低,则可以不实施实质性程序
C、针对评估的报表层次重大错报风险确定总体应对措施
D、针对评估的财务报表层次重大错报风险设计和实施进一步审计程序
2、在对与虚假销售有关的舞弊风险进行评估后,A注册会计师决定增加审计程序的不可预见性。下列审计程序中,通常能够达到这一目的的有()。
A、以往通常是对收入总体进行分析,现决定对收入按细类进行分析
B、对大额应收账款进行函证
C、对销售交易的具体条款进行函证
D、在监盘时对账面金额较小的存货实施检查程序
3、下列关于控制测试的提法中,恰当的有()。
A、如果注册会计师预期内部控制的设计能够防止或发现并纠正财务报表认定层次的重大错报且已执行时,应对控制运行的有效性实施测试
B、注册会计师应对被审计单位的所有内部控制测试其有效性
C、如果被审计单位在所审期间内不同时期使用了不同的控制,注册会计师应当考虑不同时期控制运行的有效性
D、注册会计师可以考虑在评价控制设计和获取其得到执行的审计证据的同时测试控制运行的有效性,以提高审计效率
4、下列属于控制测试采用的审计程序的有()。
A、穿行测试
B、重新计算
C、询问和重新执行
D、观察和检查
5、下列属于注册会计师应当在审计中实施控制测试的情形有()。
A、在评估认定层次重大错报风险时,预期控制的运行是有效的(且执行控制测试符合成本效益原则)
B、在评估认定层次重大错报风险时,预期控制的运行是无效的
C、每次进行财务报表审计均需要执行控制测试
D、仅实施实质性程序并不能够提供认定层次充分、适当的审计证据
6、在测试控制运行的有效性时,注册会计师应当获取关于控制是否有效运行的审计证据的方面有()。
A、控制在所审计期间的不同时点是如何运行的
B、控制是否得到一贯执行
C、控制由谁执行
D、控制以何种方式执行
7、如果被审计单位的控制环境存在缺陷,注册会计师在对拟实施审计程序的性质、时间和范围做出总体修改时应当考虑的有()。
A、主要依赖控制测试获取审计证据
B、在期末而非期中实施更多的审计程序
C、通过实施实质性程序获取更广泛的审计证据
D、增加拟纳入审计范围的经营地点的数量
8、下列做法中,可以提高审计程序的不可预见性的有()。
A、针对销售收入和销售退回延长截止测试期间
B、向以前没有询问过的被审计单位员工询问
C、对以前通常不测试的金额较小的项目实施实质性程序
D、对被审计单位银行存款年末余额实施函证
9、提高审计程序的不可预见性是注册会计师应对财务报表层次重大错报风险的重要措施。在实务中,注册会计师提高审计程序的不可预见性的方式有()。
A、对某些未测试过的低于重要性水平或风险较小的账户余额实施实质性程序
B、调整实施审计程序的人员,由助理人员担任关键项目的审计工作
C、采取不同的审计抽样方法,使当期抽取的测试样本与以前有所不同
D、选取不同的地点实施审计程序,或预先不告知被审计单位所选定的测试地点
10、如果注册会计师针对特别风险仅实施实质性程序,则应当采取的进一步审计程序有()。
A、细节测试
B、实质性分析程序
C、将细节测试和实质性分析程序结合使用
D、穿行测试
11、以下有关实质性程序的说法中正确的有()。
A、如果针对特别风险仅实施实质性程序,注册会计师可以单独使用细节测试或实质性分析程序,以获取充分、适当的审计证据
B、如果仅实施实质性程序并不能够提供认定层次充分、适当的审计证据,注册会计师应当实施控制测试,以获取内部控制运行有效性的审计证据
C、无论评估的重大错报风险结果如何,注册会计师均应当针对所有重大的各类交易、账户余额和披露实施实质性程序,以获取充分、适当的审计证据
D、当重大错报风险较高时,注册会计师应当在期中实施实质性程序,或采用不通知的方式,或在管理层不能预见的时间实施审计程序
12、下列说法中,不正确的有()。
A、注册会计师在执行财务报表审计业务时,不论被审计单位规模大小,都应当对相关的内部控制进行控制测试
B、注册会计师评估的认定层次的重大错报风险越高,需要实施实质性程序的范围越小
C、无论选择何种进一步审计程序方案,注册会计师都应当对所有重大的各类交易、账户余额和披露设计和实施实质性程序
D、当针对其他控制获取审计证据的充分性和适当性较低时,测试该控制的范围可适当缩小
13、下列关于“针对认定层次重大错报风险的进一步审计程序”的说法中正确的有()。
A、在执行甲公司2014年度财务报表审计业务时,如果注册会计师A通过了解和实施控制测试程序发现甲公司的内部控制存在重大缺陷,则A应采取综合性方案实施进一步审计程序
B、计划的保证水平越高,对有关控制运行有效性的审计证据的可靠性要求越高。当拟实施的进一步审计程序主要以控制测试为主,尤其是仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受的低水平时,注册会计师应当获取有关控制运行有效性的更高的保证水平
C、在执行甲公司2014年度财务报表审计业务时,如果注册会计师A通过实施了解和控制测试程序发现甲公司的内部控制存在重大缺陷,则A应采取实质性方案实施进一步审计程序
D、薄弱的控制环境带来的风险可能对财务报表产生广泛影响,注册会计师应当采取总体应对措施
答案部分
一、单项选择题
1、
【正确答案】A
【答案解析】
注册会计师在设计进一步审计程序时应当考虑的因素有:风险的重要性;重大错报发生的可能性;涉及的各类交易、账户余额和披露的特征;被审计单位采用的特定控制的性质;注册会计师是否拟获取审计证据,以确定内部控制在防止或发现并纠正重大错报方面的有效性。所以选项A的表述不完整。
【该题针对“实质性程序”知识点进行考核】
【答疑编号10954413】
【查看视频讲解】
2、
【正确答案】B
【答案解析】
观察提供的证据仅限于观察发生的时点,本身不足以测试控制运行的有效性。
【该题针对“控制测试”知识点进行考核】
【答疑编号10954363】
【查看视频讲解】
3、
【正确答案】A
【答案解析】
本题考查的是进一步审计程序。
注册会计师在确定何时实施审计程序时应当考虑的重要因素包括:(1)控制环境;(2)何时能得到相关信息;(3)错报风险的性质;(4)审计证据适用的期间或时点。
【该题针对“控制测试”知识点进行考核】
【答疑编号10954333】
【查看视频讲解】
4、
【正确答案】B
【答案解析】
选项B不正确。控制环境的缺陷通常会削弱期中获得的审计证据的可信赖程度,因此注册会计师会在期末而非期中实施更多的审计程序。
【该题针对“针对财务报表层次重大错报风险的总体应对措施,财务报表层次重大错报风险与总体应对措施”知识点进行考核】
【答疑编号10954263】
【查看视频讲解】
5、
【正确答案】B
【答案解析】
选项B,即使不打算信赖控制,注册会计师仍需要执行穿行测试以确认以前对业务流程及可能发生
错报环节的了解的准确性和完整性。选项A,在某些情况下,注册会计师之前的了解可能表明被审计单位在业务流程层面针对某些重要交易流程所设计的控制是无效的,或者注册会计师并不打算依赖控制,这时注册会计师没有必要进一步了解在业务流程层面的控制。选项C,对特别风险,注册会计师应当了解被审计单位是否针对该特别风险设计和实施了控制。选项D,如果认为仅通过实质性程序无法将认定层次的检查风险降至可接受的水平,或者针对特别风险,注册会计师应当了解和评估相关的控制活动。
【该题针对“控制测试”知识点进行考核】
【答疑编号10910552】
【查看视频讲解】
6、
【正确答案】D
【答案解析】
选项A,属于实质性分析程序,不属于细节测试;选项BC,属于控制测试。
【该题针对“针对认定层次重大错报风险的进一步审计程序”知识点进行考核】
【答疑编号10890892】
【查看视频讲解】
7、
【正确答案】A
【答案解析】
按照审计准则的要求,注册会计师应当对银行存款(包括零余额账户和在本期内注销的账户)、借款及与金融机构往来的其他重要信息实施函证程序,除非有充分证据表明某一银行存款、借款及与金融机构往来的其他重要信息对财务报表不重要且与之相关的重大错报风险很低。如果不对这些项目实施函证程序,注册会计师应当在审计工作底稿中说明理由。所以,选项A无助于提高审计程序的不可预见性。
【该题针对“针对财务报表层次重大错报风险的总体应对措施”知识点进行考核】
【答疑编号10890887】
【查看视频讲解】
8、
【正确答案】D
【答案解析】
选项D,注册会计师所确定的总体审计方案类型依据对被审计单位评估的重大错报风险。
【该题针对“针对财务报表层次重大错报风险的总体应对措施”知识点进行考核】
【答疑编号11064068】
【查看视频讲解】
9、
【正确答案】C
【答案解析】
无论评估的重大错报风险结果如何,注册会计师都应当针对所有重大类别的交易、账户余额和披露,设计和实施实质性程序。实质性分析程序注册会计师根据需要选用,不是必须使用。
【该题针对“实质性程序”知识点进行考核】
【答疑编号10954445】
【查看视频讲解】
10、
【正确答案】B
【答案解析】
当评估的财务报表层次重大错报风险属于高风险水平(并相应采取更强调审计程序不可预见性、重视调整审计程序的性质、时间和范围等总体应对措施)时,拟实施进一步审计程序的总体方案往往更倾向于实质性方案。
【该题针对“实质性程序”知识点进行考核】
【答疑编号10954417】
【查看视频讲解】
11、
【正确答案】A
【答案解析】
选项BC,收入确认舞弊风险,通常是作为特别风险考虑的,而针对特别风险,注册会计师既可以采用综合方案,也可以采用实质性方案;选项D,当评估的财务报表层次重大错报风险属于高风险水平,拟实施的进一步审计程序的总体方案往往更倾向于实质性方案。
【该题针对“针对认定层次重大错报风险的进一步审计程序”知识点进行考核】
【答疑编号10911260】
【查看视频讲解】
12、
【正确答案】B
【答案解析】
如果针对特别风险仅实施实质性程序,注册会计师应当使用细节测试,或将细节测试和实质性分析程序结合使用,以获取充分、适当的审计证据。
【该题针对“实质性程序”知识点进行考核】
【答疑编号10891993】
【查看视频讲解】
13、
【正确答案】C
【答案解析】
利用计算机辅助审计技术程度越高,注册会计师实施的进一步审计程序更广泛。
【该题针对“针对认定层次重大错报风险的进一步审计程序”知识点进行考核】
【答疑编号10890871】
【查看视频讲解】
二、多项选择题
1、
【正确答案】AC
【答案解析】
选项B不恰当,注册会计师针对所有重要的各类交易、账户余额或披露应当实施实质性程序;选项D不恰当,针对评估的财务报表层次重大错报风险制定总体应对措施,评估的财务报表认定层次重大错报风险设计和实施进一步审计程序。
【该题针对“针对财务报表层次重大错报风险的总体应对措施”知识点进行考核】
【答疑编号11064083】
【查看视频讲解】
2、
【正确答案】ACD
【答案解析】
所谓不可预见性,应当是出乎被审计单位意料、一般情况下无须执行的程序。选项A满足这一要求;选项B不具有不可预见性,因为通常情况下都要选择大额业务对应收账款实施函证;选项C具有不可预见性,因为通常情况下,函证内容不包括销售交易的具体条款;选项D满足上述特征,因为通常情况下注册会计师愿意选择金额较大的存货实施监盘。
【该题针对“实质性程序”知识点进行考核】
【答疑编号10954418】
【查看视频讲解】
3、
【正确答案】ACD
【答案解析】
注册会计师只有在一定情形下才实施控制测试,并不一定对所有的内部控制均实施控制测试,所以选项B不正确。
【该题针对“控制测试”知识点进行考核】
【答疑编号10954387】
【查看视频讲解】
4、
【正确答案】CD
【答案解析】
控制测试采用审计程序的类型包括询问、观察、检查和重新执行。重新计算用于实质性程序中。【该题针对“控制测试”知识点进行考核】
【答疑编号10954338】
5、
【正确答案】AD
【答案解析】
当存在下列情形之一时,注册会计师应当实施控制测试:(1)在评估认定层次重大错报风险时,预期控制的运行是有效的(且执行控制测试符合成本效益原则);(2)仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。
【该题针对“控制测试”知识点进行考核】
【答疑编号10954334】
6、
【正确答案】ABCD
【答案解析】
在测试控制运行的有效性时,注册会计师应当从下列方面获取关于控制是否有效运行的审计证据:
1.控制在所审计期间的相关时点是如何运行的;
2.控制是否得到一贯执行;
3.控制由谁或以何种方式执行。
【答疑编号10954332】
7、
【正确答案】BCD
【答案解析】
本题考查的是进一步审计程序。如果被审计单位的控制环境存在缺陷,注册会计师应该主要依赖实质性程序获取审计证据而非控制测试。
【该题针对“针对认定层次重大错报风险的进一步审计程序”知识点进行考核】
【答疑编号10954304】
8、
【正确答案】ABC
【答案解析】
对被审计单位银行存款年末余额实施函证是注册会计师通常应当执行的审计程序,该程序不具有不可预见性。
【该题针对“针对财务报表层次重大错报风险的总体应对措施,财务报表层次重大错报风险与总体应对措施”知识点进行考核】
【答疑编号10954292】
9、
【正确答案】ACD
【答案解析】
选项B中的安排无法保证审计质量,违反了专业胜任能力的职业道德要求。
【该题针对“针对财务报表层次重大错报风险的总体应对措施,财务报表层次重大错报风险与总体应对措施”知识点进行考核】
【答疑编号10954267】
10、
【正确答案】AC
【答案解析】
如果针对特别风险仅实施实质性程序,注册会计师应当使用细节测试,或将细节测试和实质性分析程序结合使用,以获取充分适当的审计证据。
【该题针对“实质性程序”知识点进行考核】
【答疑编号11064383】
11、
【正确答案】BC
【答案解析】
选项A,为应对特别风险需要获取具有高度相关性和可靠性的审计证据,仅实施实质性分析程序不足以获取有关特别风险的充分、适当的审计证据;选项D,当重大错报风险较高时,注册会计师应当考虑在期末或接近期末实施实质性程序,或采用不通知的方式,或在管理层不能预见的时间实施审计程序。
【该题针对“实质性程序”知识点进行考核】
【答疑编号10954444】
12、
【正确答案】ABD
【答案解析】
选项A,控制测试并不是财务报表审计中必需的过程,小型被审计单位可能不存在能够被注册会计师识别的控制活动,注册会计师实施的进一步审计程序可能主要是实质性程序;选项B,注册会计师评估的认定层次的重大错报风险越高,需要实施实质性程序的范围越广;选项D,当针对其他控制获取审计证据的充分性和适当性较高时,测试该控制的范围可适当缩小。
【该题针对“实质性程序”知识点进行考核】
【答疑编号10954442】
13、
【正确答案】BC
【答案解析】
本题考查的是进一步审计程序。
选项A,“综合性方案”是指注册会计师在实施进一步审计程序时同时采用控制测试与实质性程序。既然内部控制存在重大缺陷,实施进一步控制测试是不适宜的;选项D,属于总体应对措施,而不是针对认定层次重大错报风险的进一步审计程序,不符合题意。
【该题针对“针对认定层次重大错报风险的进一步审计程序,进一步审计程序总体原则”知识点进行考核】
【答疑编号10954317】
第8章 风险评估与风险应对
第8章风险评估与风险应对 一、学习目标 通过本章的学习,你应当能够: 1.理解内部控制的含义及其目标; 2.理解内部控制的要素; 3. 理解风险评估程序的含义和内容; 4.熟练掌握重大错报风险的评估过程; 5.掌握财务报表层次重大错报风险的总体应对措施; 6.掌握实施进一步审计程序的时间。 二、主要内容 1.内部控制的含义及其目标 内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计与执行的政策及程序。设计和实施内部控制的责任主体是治理层、管理层和其他人员,组织中的每一个人都对内部控制负有责任。 建立健全内部控制可以合理保证:(1)财务报告的可靠性,这一目标与管理层履行财务报告编制责任密切相关;(2)经营的效率和效果,即经济有效地使用企业资源,以最优方式实现企业的目标;(3)在所有经营活动中遵守法律法规的要求,即在法律法规的框架下从事经营活动。实现内部控制上述目标的手段是设计和执行控制政策和程序。 2.内部控制的要素 内部控制主要包括控制环境、风险评估过程、信息系统与沟通、控制活动和对控制的监督五个要素。 (1)控制环境 控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素,包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。良好的控制环境是实施有效内部控制的基础。 (2)风险评估过程 被审计单位的风险评估过程包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施。管理层应当确定可以承受的风险水平,识别这些风险并采取一定的应对措施。风险评估过程的作用是识别、评估和管理影响被审计单位实现经营目标能力的各种风险。 (3)信息系统与沟通 ①与财务报告相关的信息系统 与财务报告相关的信息系统,包括用以生成、记录、处理和报告交易、事项
第八章 风险评估 习题
第八章风险评估习题
第八章风险评估练习 一、单项选择题 1. 注册会计师了解被审计单位及其环境的目的是 ( ) 。 A. 为了进行风险评估程序 B. 收集充分适当的审计证据 C. 为了识别和评估财务报表重大错报风险 D. 控制检查风险 2. 注册会计师对行业状况、法律环境与监管环境以及其他外部因素了解的范围和程度会因被审计单位所处行业、规模以及其他因素的不同而不同,注册会计师应当将了解的重点放在 ( ) 。 A. 风险评估程序 B. 对被审计单位的经营活动可能产生重要影响的关键外部因素以及与前期相比发生的重大变化 C. 重大错报风险 D. 重大错报风险和检查风险 3. 内部控制的目标不包括 ( ) 。
A. 财务报告的可靠性 B. 审计风险处在低水平 C. 经营的效率和效果 D. 在所有经营活动中遵守法律法规的要求 4. 关于控制环境的说法不正确的是 ( ) 。 A.控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施 B. 控制环境设定了被审计单位的内部控制基调,影响员工对内部控制的认识和态度。良好的控制环境是实施有效内部控制的基础 C. 在评价控制环境的设计和实施情况时,注册会计师应当了解管理层在治理层的监督下,是否营造并保持了诚实守信和合乎道德的文化,以及是否建立了防止或发现并纠正舞弊和错误的恰当控制 D.在审计业务承接阶段,注册会计师就需要对控制环境作出最终评价 5. 注册会计师采用风险评估程序了解被审计单位及其环 3
境,了解被审计单位及其环境的时间是( ) 。 A. 在承接客户和续约时 B. 在进行审计计划时 C. 在进行期中审计时 D. 贯穿于整个审计过程的始终 6. 根据审计风险模型,下列有关检查风险的陈述不恰当的是 ( ) 。 A. 检查风险取决于审计程序设计的合理性和执行的有效性 B. 在既定的审计风险水平下,可接受的检查风险水平与认定层次重大错报风险的评估结果成反向关系 C. 注册会计师应当合理设计审计程序的性质、时间和范围,并有效执行审计程序,以控制检查风险 D. 检查风险与注册会计师所需的审诗证据成同向关系 7. 下列关于注册会计师了解内部控制的说法中,不正确的是 ( ) 。 A. 内部控制只能对财务报告的可靠性提供合理的保证, 4
第八章 风险评估 习题
第八章风险评估习题 一、单项选择题 1. 注册会计师了解被审计单位及其环境的目的是 ( ) 。 A. 为了进行风险评估程序 B. 收集充分适当的审计证据 C. 为了识别和评估财务报表重大错报风险 D. 控制检查风险 2. 注册会计师对行业状况、法律环境与监管环境以及其他外部因素了解的范围和程度会因被审计单位所处行 业、规模以及其他因素的不同而不同,注册会计师应当将了解的重点放在 ( ) 。 A. 风险评估程序 B. 对被审计单位的经营活动可能产生重要影响的关键外部因素以及与前期相比发生的重大变化 C. 重大错报风险 D. 重大错报风险和检查风险 3. 内部控制的目标不包括 ( ) 。 A. 财务报告的可靠性 B. 审计风险处在低水平 C. 经营的效率和效果 D. 在所有经营活动中遵守法律法规的要求 4. 关于控制环境的说法不正确的是 ( ) 。 A.控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施 B. 控制环境设定了被审计单位的内部控制基调,影响员工对内部控制的认识和态度。良好的控制环境是实 施有效内部控制的基础 C. 在评价控制环境的设计和实施情况时,注册会计师应当了解管理层在治理层的监督下,是否营造并保持 了诚实守信和合乎道德的文化,以及是否建立了防止或发现并纠正舞弊和错误的恰当控制 D.在审计业务承接阶段,注册会计师就需要对控制环境作出最终评价 5. 注册会计师采用风险评估程序了解被审计单位及其环境,了解被审计单位及其环境的时间是( ) 。 A. 在承接客户和续约时 B. 在进行审计计划时 C. 在进行期中审计时 D. 贯穿于整个审计过程的始终 6. 根据审计风险模型,下列有关检查风险的陈述不恰当的是 ( ) 。 A. 检查风险取决于审计程序设计的合理性和执行的有效性 B. 在既定的审计风险水平下,可接受的检查风险水平与认定层次重大错报风险的评估结果成反向关系 C. 注册会计师应当合理设计审计程序的性质、时间和范围,并有效执行审计程序,以控制检查风险 D. 检查风险与注册会计师所需的审诗证据成同向关系 7. 下列关于注册会计师了解内部控制的说法中,不正确的是 ( ) 。 A. 内部控制只能对财务报告的可靠性提供合理的保证,而非绝对的保证 B. 在了解被审计单位的内部控制时,只需关注控制的设计 C. 特别风险通常与重大的非常规交易和判断事项有关
第八章 风险评估与资本评估-关于压力测试的监管要求
2015年银行业专业人员职业资格考试内部资料 风险管理 第八章 风险评估与资本评估 知识点:关于压力测试的监管要求 ● 定义: 有效的压力监管能够保证资产的安全 ● 详细描述: 1.治理方面的要求 董事会和高管层积极参与与推动,用压力测试来评估银行在极端不利情况下的损失承受能力和测算极端不利的市场条件对资产组合造成的影响 2.组织实施方面的要求 (1)建立全面的、审慎的、前瞻性的资本充足率压力测试工作机制,定量分析为主 (2)建立经董事会或其授权委员会批准的压力测试政策 3.覆盖范围方面的要求 (1)覆盖全行范围内的实质性风险 (2)涵盖商业银行表内外风险暴露的主要资产组合 (3)采用定量或非定量的 (4)建立完善的资本充足率压力测试系统 4、方法论方面要求 (1)不同程度压力情景 (2)根据具体,自主选择方法论 5、应用和报告方面要求 (1)定期或者不定期,一年至少一次 (2)商业银行应编制资本充足率压力测试报告 (3)应对所需持有的附加资本 主要目的是评估银行在极端不利情况下的损失承受能力和测算极端不利的市场条件对资产组合造成的影响 例题:
1.商业银行定期对银行账户和交易账户进行压力测试的主要目的有()。 A.评估银行在极端不利情况下的损失承受能力 B.对市场风险VaR值的准确性进行验证 C.分析资产组合在不同市场条件下可能产生的收益或损失 D.计算资产组合可能产生的最高收益 E.测算极端不利的市场条件对资产组合造成的影响 正确答案:A,E 解析:主要目的是评估银行在极端不利情况下的损失承受能力和测算极端不利的市场条件对资产组合造成的影响 2.商业银行应建立经董事会或其授权委员会批准的压力测试政策,确保压力测试工作的(),并有效融入资本规划、资本应急预案等风险管理和资本管理体系。 A.全面性 B.规范性 C.准确性 D.有效性 E.可靠性 正确答案:A,B,D 解析:基本风险管理常识 3.资本充足率压力测试分为:定期和不定期压力测试,原则上定期压力测试至少()一次。 A.3个月 B.半年 C.9个月 D.1年 正确答案:D 解析:定期压力测试至少每年评估一次 4.商业银行进行资本充足率压力测试应覆盖全行范围内的主要风险,包括() A.银行账户利率风险 B.市场风险
第8章-风险应对-练习题及答案
第八章风险应对 一、单项选择题 1、以下说法不正确的是()。 A、设计实施进一步审计程序的性质、时间和范围的依据是注册会计师识别的风险是否重大 B、财务报表层次的重大错报风险很可能源于薄弱的控制环境 C、如果多项控制活动能够实现同一目标,注册会计师不必了解与该目标相关的每项控制活动 D、被审计单位通常有一些与审计无关的控制,注册会计师无需对其加以考虑 2、关于控制测试的性质,下列描述不正确的是()。 A、将询问与检查或重新执行结合使用,通常能够比仅实施询问和观察获取更高的保证 B、观察提供的证据限于观察发生的时点,但其也可以测试控制运行的有效性 C、被审计单位针对处理收到的邮政汇款单设计和执行了相关的内部控制,注册会计师通过询问和观察程序往往不足以测试此类控制的运行有效性,还需要检查能够证明此类控制在所审计期间的其他时段有效运行的文件和凭证,以获取充分、适当的审计证据 D、询问本身无法获取控制有效运行的充分、适当的审计证据,需要与其他测试手段结合使用才能发挥作用 3、注册会计师在确定进一步审计程序的时间时应当考虑的因素不包括()。 A、审计意见的类型 B、控制环境 C、错报风险的性质 D、审计证据适用的期间或时点 4、以下说法中不正确的是()。 A、财务报表层次的重大错报风险很可能源于薄弱的控制环境 B、当控制环境存在缺陷,注册会计师通常会选择在期中实施更多的审计程序 C、采用不同的审计抽样方法,使当期抽取的测试样本与以前有所不同,可以提高审计程序的不可预见性 D、控制环境存在缺陷通常会削弱其他控制要素的作用,导致注册会计师可能无法信赖内部控制,而主要依赖实施实质性程序获取审计证据 5、下列关于控制测试的表述中,不正确的是()。 A、如果并不打算依赖内部控制,注册会计师就没有必要进一步了解业务流程层面的控制 B、如果不打算信赖内部控制,注册会计师就没有必要进行穿行测试 C、针对特别风险,注册会计师应当了解和评估相关的控制活动 D、如果认为仅通过实质性程序无法将认定层次的检查风险降至可接受的水平,注册会计师应当了解和评估相关的控制活动 6、注册会计师执行的下列审计程序中,属于细节测试的是()。
【VIP专享】第8章风险评估案例分析
根据对正大公司内部控制的了解和测试,请分别指出下列内部控制缺陷与哪些会计报表(财务报表)项目或科目的何种认定相关。 ①会计人员乙同时登记产成品总账和明细账 ②验收单未连续编号 ③付款凭单每月末统一交给会计部 ④会计部根据未附其他单据的付款凭单登记有关账簿 ⑤由证券部直接支取投资款 ⑥证券部的投资协议未经其他部门审核 ⑦在公司章程或有关决议中未载明筹资的权限和批准程序 ⑧银行出纳编制银行存款余额调节表 【答案】 ①会计人员乙同时登记产成品总账和明细账与产成品的“完整性”、“计价和分摊”、“存在”或“发生”认定相关。 ②验收单未连续编号与材料采购(或原材料,或存货,下同)的“完整性”、“存在”认定相关 ③付款凭单月末交给会计部与材料采购的“存在”或“发生”、“计价和分摊”的认定相关 ④会计部根据未附其他单据的付款凭单登记有关账簿与材料采购的“计价和分摊”、“存在”或“发生”认定相关 ⑤由证券部直接支取款项与短期投资(或长期投资,下同)的“完整性”、“存在”或“发生”认定有关 ⑥证券部的投资协议未经其他部门审核与投资的“存在”或“发生”认定有关。由证券部进行会计核算、会计部月末汇总与投资的“计价和分摊”、“完整性”认定有关。由证券部进行会计核算与投资的“存在”或“发生”的认定相关 ⑦在公司章程或有关决议中未载明筹资的权限和批准程序与长期(或短期)借款的“存在”或“发生”的认定相关 ⑧银行出纳编制银行存款余额调节表与银行存款的“计价和分摊”、“存在”或“发生”、“完整性”的认定有关 1.(2007年)W公司主要从事小型电子消费品的生产和销售,产品销售以W公司仓库为交货地点。W公司日常交易采用自动化信息系统(以下简称系统)和手工控制相结合的方式进行。系统自20×6年以来没有发生变化。W公司产品主要销售给国内各主要城市的电子消费品经销商。A和B注册会计师负责审计W公司20×7年度财务报表。 资料一:A和B注册会计师在审计工作底稿中记录了所了解的W公司及其环境的情况,部分内容摘录如下: (1)在20×6年度实现销售收入增长10%的基础上,W公司董事会确定的20×7年销售收入增长目标为20%。W公司管理层实行年薪制,总体薪酬水平根据上述目标的完成情况上下浮动。W公司所处行业20×7年的平均销售增长率是12%。 (2)W公司财务总监已为W公司工作超过6年,于20×7年9月劳动合同到期后被W公司的竞争对手高薪聘请。由于工作压力大,W公司会计部门人员流动频繁,除会计主管服务期超过4年外,其余人员的平均服务期少于2年。 (3)W公司的产品面临快速更新换代的压力,市场竞争激烈。为巩固市场占有率,W公司于 20×7年4月将主要产品(C产品)的销售下调了8%至10%。另外,W公司在20×7年8月推出了D 产品(C产品的改良型号),市场表现良好,计划在20×8年全面扩大产量,并在20×8年1月停止C 产品的生产。为了加快资金流转,W公司于20×8年1月针对C产品开始实施新一轮的降价促销,平均降价幅度达到10%。 (4)W公司销售的产品均由经客户认可的外部运输公司实施运输,运输由W公司承担,但运输途中风险仍由客户自行承担。由于受能源价格上涨影响,20×7年的运输单价比上年平均上升了15%,但运输商同意将运费结算周期从原来的30天延长至60天。 (5)20×7年度W公司主要原料的价格与上年基本持平,供应商也没有大的变化,但由于技术要求发生变化,D产品所耗高档金属材料比C产品略有上升,使得D产品的原材料成本比C产品上升了3%。
风险评估及案例
目录 [隐藏] 1风险评估的定义 2风险评估的内容 3风险评估任务 4风险评估过程注意事项 5风险评估的三种可行途径 5.1基线评估 5.2详细评估 5.3组合评估 6风险评估的常用方法 风险评估(Risk Assessment ) 风险评估的定义 风险评估(Risk Assessment )是指在风险事件发生之后,对于风险事件给人们的生 活、生命、财产等各个方面造成的影响和损失进行量化评估的工作。 风险评估的内容 (1)对风险本身的界定。包括风险发生的可能性;风险强度;风险持续时间;风险发生的区域及关键风险点。 (2)对风险作用方式的界定。包括风险对企业的影响是直接的还是间接的;是否会引发其他的相关风险;风险对企业的作用范围等。 (3)对风险后果的界定。在损失方面:如果风险发生,对企业会造成多大的损失?如 果避免或减少风险,企业需要付出多大的代价?在冒风险的利益方面:如果企业冒了风险, 可能获得多大的利益?如果避免或减少风险,企业得到的利益又是多少? 风险评估任务 风险评估的主要任务包括: *识别组织面临的各种风险 *评估风险概率和可能带来的负面影响 *确定组织承受风险的能力 *确定风险消减和控制的优先等级 *推荐风险消减对策 风险评估过程注意事项
在风险评估过程中,有几个关键的问题需要考虑。 首先,要确定保护的对象(或者资产)是什么?它的直接和间接价值如何? 其次,资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大? 第三,资产中存在哪里弱点可能会被威胁所利用?禾U用的容易程度又如何? 第四,一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?最后,组织应该采取怎 样的安全措施才能将风险带来的损失降低到最低程度?解决以上问题的过程,就是风险评估的过程。 进行风险评估时,有几个对应关系必须考虑: *每项资产可能面临多种威胁 *威胁源(威胁代理)可能不止一个 ?每种威胁可能利用一个或多个弱点 风险评估的三种可行途径 在风险管理的前期准备阶段,组织已经根据安全目标确定了自己的安全战略,其中就包括对风险评估战略的考虑。所谓风险评估战略,其实就是进行风险评估的途径,也就是规定风险评估应该延续的操作过程和方式。 风险评估的操作范围可以是整个组织,也可以是组织中的某一部门,或者独立的信息系统、特定系统组件和服务。影响风险评估进展的某些因素,包括评估时间、力度、展开幅度和深度,都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。目前,实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。 基线评估 如果组织的商业运作不是很复杂,并且组织对信息处理和网络的依赖程度不是很高,或者组织信息系统多采用普遍且标准化的模式,基线风险评估(Baseli ne Risk Assessment )就可以直接而简单地实现基本的安全水平,并且满足组织及其商业环境的所 有要求。 采用基线风险评估,组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。所谓的安全基线,是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一定的安全防护水平。组织可以根据以下资源来选择安全基线: ? 国际标准和国家标准,例如BS 7799-1、ISO 13335-4 ; *行业标准或推荐,例如德国联邦安全局IT基线保护手册; *来自其他有类似商务目标和规模的组织的惯例。 当然,如果环境和商务目标较为典型,组织也可以自行建立基线。 基线评估的优点是需要的资源少,周期短,操作简单,对于环境相似且安全需求相当的诸多组织,基线评估显然是最经济有效的风险评估途径。当然,基线评估也有其难以避免的缺点,比如基线水平的高低难以设定,如果过高,可能导致资源浪费和限制过度,女口果过低,可能难以达到充分的安全,此外,在管理安全相关的变化方面,基线评估比较困难。
第8章 风险评估与风险应对 习题参考答案
第8 章风险评估与风险应对 习题参考答案 【复习思考题】 1.简述风险评估的基本程序与信息来源。 答:风险评估中,审计师应当首先了解被审计单位及其环境,然后实施询问被审计单位管理层和内部其他相关人员、分析程序、观察和检查、考虑其他信息、项目组讨论等程序,以便以识别与评估财务报表层次和认定层次的重大错报风险。 其中:了解被审计单位及其环境,至少应当包括以下方面:①被审计单位所在行业相关状况、法律环境与监管环境以及其他外部因素;②被审计单位的性质;③被审计单位对会计政策的选择和运用;④被审计单位的目标、战略以及相关经营风险;⑤被审计单位财务业绩的衡量和评价;⑥被审计单位的内部控制。这些情况可通过统计年鉴、行业协会、行业网站等途径获得相关资料;与被审计单位管理层交流、审阅其编制的相关资料和报告、审阅其会议资料和决议、实地观察其生产经营场所和活动等;以及项目组内讨论。 询问程序,其信息来源于被审计单位的管理层和对财务报告负有责任的人员、内部审计师、以及负责生成、处理或记录复杂、异常交易的人员及其监督人员、负责法律事务的人员、采购人员、生产人员、销售人员等。 分析程序,其信息来源于被审计单位的不同财务数据以及财务数据与非财务数据,通过对其采用比较分析法、比率分析法、结构分析法和趋势分析法进行评价。其中,比较分析中需要利用到本期未审计数与上期已审计数、本期计划数、预算数、同行业标准或审计人员计算结果等,故而会涉及到相关财务数据的纵向和横向比较、以及与行业内相关标准的比较等。 观察和检查程序,其信息来源于被审计单位相关的文件及记录、内部控制手册、管理层和治理层编制的报告例如中期管理层报告等、实地考察被审计单位的生产经营场所和设备,对交易在财务报告信息系统中的处理进行穿行测试
重大错报风险评估案例以及答案审批稿
重大错报风险评估案例 以及答案 YKK standardization office【 YKK5AB- YKK08- YKK2C- YKK18】
【案例6-1】 重大错报风险评估 大华公司主要从事小型电子消费品的生产和销售,产品销售以大华公司仓库为交货地点。大华公司日常交易采用自动化信息系统(以下简称系统)和手工控制相结合的方式进行。系统自20×6年以来没有发生变化。大华公司产品主要销售给国内各主要城市的电子消费品经销商。A和B两位注册会计师负责审计大华公司20×7年度财务报表。 【资料一】 A和B两位注册会计师在审计工作底稿中记录了所了解的大华公司及其环境的情况,部分内容摘录如下: (1)在20×6年度实现销售收入增长10%的基础上,大华公司董事会确定20×7年销售收入增长目标为20%。大华公司管理层实行年薪制,总体薪酬水平根据上述目标的完成情况上下浮动。大华公司所处行业20×7年的平均销售增长率是12%。 (2)大华公司财务总监已为该公司工作超过6年,于20×7年9月劳动合同到期后被大华公司的竞争对手高薪聘请。由于工作压力大,大华公司会计部门人员流动频繁,除会计主管服务超过4年外,其余人员的平均服务期少于2年。 (3)大华公司的产品面临快速更新换代的压力,市场竞争激烈。为巩固市场占有率,大华公司于20×7年4月将主要产品(C产品)的销售价格下调了8%至10%。另外,大华公司在20×7年8月推出了D产品(C产品的改良型号),市场表现良好,计划在20×8年全面扩大产量,并在20×8年1月停止C产品的生产。为了加快资金流转,大华公司于20×8年1月针对C产品开始实施新一轮的降价促销,平均降价幅度达到10%。 (4)大华公司销售的产品均由经客户认可的外部运输公司实施运输,运费由大华公司承担,但运输途中风险仍由客户自行承担。由于受能源价格上涨影响,20×7年的运输单价比上一年平均上升了15%,但运输商同意将运费结算周期从原来的30天延长至60天。 (5)20×7年度大华公司主要原料的价格于上年基本持平,供应商也没有大的变化,但由于技术要求发生变化,D产品所耗高档金属材料比C产品略有上升,使得D产品的原材料成本比C产品上升了3%. (6)除了于20×6年12月借入的2年期、年利率6%的银行贷款5000万元外,大华公司没有其他借款。上述长期借款专门用于扩建现有的一条生产线,以满足D产品的生产需要。该生产线总投资6500万元,20×6年12月开工,20×7年7月完工并投入使用(假设不考虑利息收入)。 【资料二】 A和B在审计工作底稿中记录了所获取的大华公司财务数据,部分内容摘录如下:
第八章 风险应对
第八章风险应对 考情分析 一、历年考情概况 本章属于审计测试流程的内容,在考试中比较重要,虽然在风险评估题中要求将评估出的重大错报风险设计相应的风险应对措施,但风险应对措施主要与财务报表循环审计相关。本章主要围绕控制测试和实质性程序进行考核,考试时以客观题为主。 二、本章考点直击 三、学习方法与应试技巧 针对“财务报表层次重大错报风险的总体应对措施”知识点应记忆,包括增加审计程序不可预见性的方法,以及控制环境存在缺陷时的应对措施也常在选择题中出现。 着重理解“针对认定层次重大错报风险的进一步审计程序”、“控制测试”、“实质性程序”等知识点,这三个知识点的内容有所重叠,可结合学习,掌握在确定进一步审计程序的性质、时间安排、范围时,注册会计师应当考虑的主要因素。 “控制测试”是本章的重点,理解控制测试的性质、时间安排、范围的内涵,熟悉控制测试的程序,如何考虑期中或以前审计所获取的审计证据,控制测试的范围与哪些因素相关。 “实质性程序”应理解其性质、时间安排、范围的内涵,掌握特别风险的应对措施。 四、2014年教材主要变化 由原先的第12章调整至第8章,内容总体上没有发生实质性变化。针对“特别风险实施的实质性程序”这个知识点,删除“特别风险应对措施………对审计方案造成的影响。”这部分内容。
重点、难点讲解及典型例题 重点、难点讲解及典型例题 一、针对财务报表层次重大错报风险的总体应对措施 (一)注册会计师应当针对评估的财务报表层次重大错报风险确定总体应对措施 (1)向项目组强调保持职业怀疑的必要性。 (2)指派更有经验或具有特殊技能的审计人员,或利用专家的工作。 (3)提供更多的督导。 (4)在选择拟实施的进一步审计程序时融入更多的不可预见的因素。
ISO9001风险评估程序实例
1.0 范围 适用于公司生产制造过程中影响产品交付和产品质量的风险识别和控制因素策划及实施。 2.0 目的 为了控制可能会影响产品交付和产品质量有关的风险,为风险识别、评估和降低 确定技术、工具和对其应用,特制定本程序。 3.0 设备要求 不适用 4.0 职责 4.1 设备部负责对生产过程中产生质量风险、检验文件的制定和更改以及设 备设施的可利用性、可维护性的风险进行评估和控制; 4.2 营销主料采购和供应链辅料采购部负责对原辅材料采购、外包方和供方 业绩进行评估和控制;负责供方变化及其质量管理体系变化产生的风险 进行评估和控制; 4.3 销售/客服部和工程部负责不合格产品交付产生的风险进行评估和控制 4.4 质量安全部负责产品的检验与试验过程、检测设备的使用和维修 可能产生的质量风险进行评估和控制; 4.5 人事行政部负责对人员能力、专项技能的符合性、组织机构变更以及关 键或重要人员的改变产生的风险进行评估和风险控制。 5.0 程序 5.1 定义 5.1.1风险:有可能发生并有潜在负面结果的局面或境况 5.1.2 风险评估 评估来自可能发生的风险,考虑现有控制的适当性和决定该风险是否可接 受的过程。 5.2 风险辨识和风险评估过程 1)评估准备----收集资料,制定计划 2)风险识别----事故类型,影响因数及机制 3)风险评估----事故发生的可能性,事故的严重程度,风险值的确定,风险分级 4)风险控制----制定方案,落实风险防范措施 5)登记重大风险项目 6)定期检查提出整改方案 5.3 风险源的识别 5.3.1 风险源的识别应考虑以下方面: 5.3.1.1与产品交付相关的风险评估应包括: 1)设施/设备的可用性和可维护性 2)供应商绩效以及材料的可用性/供应
风险评估管理制度
风险评估管理制度 第一章总则 第一条为加强***(以下简称“公司”)的风险管理,及时识别、系统分析经营活动中与实现部控制目标相关的风险,合理确定风险承受度和风险应对策略,根据有关法律法规和《企业部控制基本规》等的有关规定,结合公司实际情况,制订本制度。 第二条本制度所称风险是指公司经营活动中与公司实现部控制目标相关的风险,包括战略风险、财务风险、市场风险、运营风险和法律风险等。 本制度所称风险评估是指通过对基于事实的信息进行分析,就如何处理特定风险以及如何选择风险应对策略进行科学决策。 第二章组织机构及职责 第三条各部门为公司风险评估管理工作的责任机构,具体职责: (一)对公司经营活动中的风险进行识别; (二) 对识别的风险进行评估,辨识评估出风险等级并将中、高风险以书面形式上报公司管理层,上报容应包括:风险发生地、发生原因、可能造成的损失和影响、拟采取的应对措施等。 (三) 执行审批后的风险应对预案,并及时反馈风险的应对、解决结果;
(四) 对识别的风险进行监控,发生变化时重新评估,并根据新辨识评估的风险等级进行相应的处理; (五) 年中、年度对风险评估管理工作进行总结。 第四条公司企划部门为公司风险评估管理工作的组织机构,具体职责: (一)负责制定公司的风险评估方案; (二)负责组建风险评估工作小组; (三)负责审核风险清单、应对预案; (四)拟定公司风险评估报告,上报公司管理层。 (五)负责建立经营环境监控体系,切实监控并记录、外部经营环境和条件的变化,以修正风险识别与评估。 (六)负责建立风险预警指标体系,要求各具体部门定期提供数据,进行指标分析;对于超过风险预警值的指标,应确定相应的整改措施。 第五条财务部门的风险评估 (一)负责建立流程识别和应对会计法规、准则、制度的变化,评估对会计信息的影响。 (二)负责建立沟通渠道和流程参与公司业务操作流程的变化,评估对会计核算的影响。 第六条公司管理层主要职责为: (一)审定公司各部门风险管理工作职责; (二)批准风险应对预案; (三)研究、确定公司重大风险事项及应对预案; (四)审定部审计部门提交的公司风险管理方面的报告,并报董事会审议。
信息系统安全风险评估案例分析
信息系统安全风险评估案例分析
信息系统安全风险评估案例分析 某公司信息系统风险评估项目案例介绍 介绍内容:项目相关信息、项目实施、项目结论及安全建议。 一、项目相关信息 项目背景:随着某公司信息化建设的迅速发展,特别是面向全国、面向社会公众服务的业务系统陆续投入使用,对该公司的网络和信息系统安全防护都提出了新的要求。为满足上述安全需求,需对该公司的网络和信息系统的安全进行一次系统全面的评估,以便更加有效保护该公司各项目业务应用的安全。 项目目标:第一通过对该公司的网络和信息系统进行全面的信息安全风险评估,找出系统目前存在的安全风险,提供风险评估报告。并依据该报告,实现对信息系统进行新的安全建设规划。构建安全的信息化应用平台,提高企业的信息安全技术保障能力。第二通过本次风险评估,找出公司内信息安全管理制度的缺陷,并需协助该公司建立完善的信息安全管理制度、安全事件处置流程、应急服务机制等。提高核心系统的信息安全管理保障能力。 项目评估范围:总部数据中心、分公司、灾备中心。项目业务系统:核心业务系统、财务系统、销售管理统计系统、内部信息门户、外部信息门户、邮件系统、辅助办公系统等。灾备中心,应急响应体系,应急演练核查。
评估对象:网络系统:17个设备,抽样率40%。主机系统:9 台,抽样率50%。数据库系统:4个业务数据库,抽样率100%。 应用系统:3个(核心业务、财务、内部信息门户)安全管理:11个安全管理目标。 二、评估项目实施 评估实施流程图:
威胁统计分析:3大类威胁(环境、系统、人为),7子类获取威胁统计,7子类,34项;4级威胁2子类2项;3级威胁6子类16项;2级威胁5子类16项。 威胁统计分析列表(1):
第八章风险评估习题
第八章风险评估练习 一、单项选择题 1. 注册会计师了解被审计单位及其环境的目的是 ( ) 。 A. 为了进行风险评估程序 B. 收集充分适当的审计证据 C. 为了识别和评估财务报表重大错报风险 D. 控制检查风险 2. 注册会计师对行业状况、法律环境与监管环境以及其他外部因素了解的范围和程度会因被审计单位所处行 业、规模以及其他因素的不同而不同,注册会计师应当将了解的重点放在 ( ) 。 A. 风险评估程序 B. 对被审计单位的经营活动可能产生重要影响的关键外部因素以及与前期相比发生的重大变化 C. 重大错报风险 D. 重大错报风险和检查风险 3. 内部控制的目标不包括 ( ) 。 A. 财务报告的可靠性 B. 审计风险处在低水平 C. 经营的效率和效果 D. 在所有经营活动中遵守法律法规的要求 4. 关于控制环境的说法不正确的是 ( ) 。 A.控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施 B. 控制环境设定了被审计单位的内部控制基调,影响员工对内部控制的认识和态度。良好的控制环境是实 施有效内部控制的基础 C. 在评价控制环境的设计和实施情况时,注册会计师应当了解管理层在治理层的监督下,是否营造并保持 了诚实守信和合乎道德的文化,以及是否建立了防止或发现并纠正舞弊和错误的恰当控制 D.在审计业务承接阶段,注册会计师就需要对控制环境作出最终评价 5. 注册会计师采用风险评估程序了解被审计单位及其环境,了解被审计单位及其环境的时间是( ) 。 A. 在承接客户和续约时 B. 在进行审计计划时 C. 在进行期中审计时 D. 贯穿于整个审计过程的始终 6. 根据审计风险模型,下列有关检查风险的陈述不恰当的是 ( ) 。 A. 检查风险取决于审计程序设计的合理性和执行的有效性 B. 在既定的审计风险水平下,可接受的检查风险水平与认定层次重大错报风险的评估结果成反向关系 C. 注册会计师应当合理设计审计程序的性质、时间和范围,并有效执行审计程序,以控制检查风险 D. 检查风险与注册会计师所需的审诗证据成同向关系 7. 下列关于注册会计师了解内部控制的说法中,不正确的是 ( ) 。 A. 内部控制只能对财务报告的可靠性提供合理的保证,而非绝对的保证 B. 在了解被审计单位的内部控制时,只需关注控制的设计 C. 特别风险通常与重大的非常规交易和判断事项有关
风险评估案例精选文档
风险评估案例精选文档 TTMS system office room 【TTMS16H-TTMS2A-TTMS8Q8-
1.甲公司是ABC会计师事务所的常年审计客户,主要从事医疗机械设备的生产和销售。A类产品为大中型医疗器械设备,主要销往医院;B类产品为小型医疗器械设备,主要通过经销商销往药店。X注册会计师负责审计甲公司2010年度财务报表。 资料一: X注册会计师在审计工作底稿中记录了所了解甲公司情况及环境,部分内容摘录如下: (1)2010年初,甲公司在5个城市增设了销售服务处,销售服务处数量由原来的6个增加到11个,销售服务人员数量比上年末增加50%。 (2)对于A类产品,甲公司负责将设备运送到医院并安装调试,医院验收合格后签署设备验收单,甲公司根据设备验收单确认销售收入。甲公司自2010年起向医院提供1个月的免费试用期,医院在试用期结束后签署设备验收单。 (3)由于市场上B类产品竞争激烈,甲公司在2010年初将B类产品的价格平均下调10%。 (4)甲公司从2009年起推出针对经销商的返利计划。根据经销商已付款的采购额的3%到6%的比例,在年度终了后12个月内向经销商支付返利。甲公司未与经销商就返利计划签订书面协议,而由销售人员口头传达。
(5)2010年12月,一名已离职员工向甲董事会举报,称销售总监有虚报销售费用的行为。甲公司已对此事展开调查,目前尚无结论 (6)甲公司的生产设备使用的备件的购买和领用不频繁,但各类备件的种类繁多。为减轻年末存货盘点的工作量,甲公司管理层决定于2010年11月30日对备件进行盘点,其余存货在2010年12月31日进行盘点。 资料二: X注册会计师在审计工作底稿中记录了所获取的甲公司财务数据,部分内容摘录如下: (金额单位:万元)
(朱锦余)审计学(第四版)章后习题参考答案:第8章 风险评估与风险应对 习题参考答案
第8章风险评估与风险应对 习题参考答案 【复习思考题】 1.简述风险评估的基本程序与信息来源。 答:风险评估中,审计师应当首先了解被审计单位及其环境,然后实施询问被审计单位管理层和内部其他相关人员、分析程序、观察和检查、考虑其他信息、项目组讨论等程序,以便以识别与评估财务报表层次和认定层次的重大错报风险。 其中:了解被审计单位及其环境,至少应当包括以下方面:①被审计单位所在行业相关状况、法律环境与监管环境以及其他外部因素;②被审计单位的性质; ③被审计单位对会计政策的选择和运用;④被审计单位的目标、战略以及相关经营风险;⑤被审计单位财务业绩的衡量和评价;⑥被审计单位的内部控制。这些情况可通过统计年鉴、行业协会、行业网站等途径获得相关资料;与被审计单位管理层交流、审阅其编制的相关资料和报告、审阅其会议资料和决议、实地观察其生产经营场所和活动等;以及项目组内讨论。 1
询问程序,其信息来源于被审计单位的管理层和对财务报告负有责任的人员、内部审计师、以及负责生成、处理或记录复杂、异常交易的人员及其监督人员、负责法律事务的人员、采购人员、生产人员、销售人员等。 分析程序,其信息来源于被审计单位的不同财务数据以及财务数据与非财务数据,通过对其采用比较分析法、比率分析法、结构分析法和趋势分析法进行评价。其中,比较分析中需要利用到本期未审计数与上期已审计数、本期计划数、预算数、同行业标准或审计人员计算结果等,故而会涉及到相关财务数据的纵向和横向比较、以及与行业内相关标准的比较等。 观察和检查程序,其信息来源于被审计单位相关的文件及记录、内部控制手册、管理层和治理层编制的报告例如中期管理层报告等、实地考察被审计单位的生产经营场所和设备,对交易在财务报告信息系统中的处理进行穿行测试等。 考虑其他信息,其信息来源于项目组内部的讨论、客户承接或续约过程以及向被审计单位提供其他服务所获得的经验、询问被审计单位外部法律顾问、证券分析师或信用评价机构的报告、财经报纸或杂志的相关文章等。 项目组讨论,其信息来源受项目组成员的职位、经验和所需要信息的影响,一般主要涉及到成员分享了解到的信息、审计思路和方法、项目组的审计方向等。 2.如何了解被审计单位及其环境,这对识别与评估被审计单位财务报表重大错报风险有什么作用? 2
风险评估与应对案例分析
风险评估与应对案例分析 玉风公司为我国江西景德镇地区的一家大型企业,主要业务为生产和销售青花瓷器。 该公司2006 年末未经审计的财务报表显示的资产总额为35543万元,销售收入为12560 万元,利润总额为2300 万元。 自2003 年以来,玉风公司历年的财务报表均由中天华正会计师事务所审计。 2006年3月,在执行完玉风公司2005年度财务报表审计业务、提交了无保留意见审计报告后,中天华正会计师事务所与玉风公司签订了其2006 年度财务报表的审计业务约定书,并委派执行2005年度财务报表审计的A和B注册会计师继续负责该项审计业务。 基于玉风公司2006年度的经营计划,该公司在本年度将进行全方位的改革。 新的管理层上任时,向公司治理层及股东代表大会做出了将本年度销售收入比上年增加20%,否则将扣发全体高层管理人员全年奖金的承诺。 中天华正事务所的业务负责人意识到这些情况将全面影响玉风公司的环 境,故特别要求A和B注册会计师对玉风公司及其环境进行全面、深入的了解,并根据了解的情况于2006 年末制订玉风公司2006 年度财务报表的审计计划。 资料一: 在了解玉风公司及其环境、评估重大的错报风险时,A和B注册会计师发 现玉风公司2006 年度主要发生了下列事项和情况: (1)2005年以来,玉风公司所在地用于生产优质瓷器所需的特殊泥土初步显现出枯竭的迹象。 为维持正常的经营,玉风公司自2005年8月起派出专家在全国各地寻找该种特殊泥土。 2006 年2 月,经专家建议,并经董事会决定,玉风公司出资5000万元在 四川省广远地区设立分公司,利用当地泥土生产瓷器。
(2)2006 年初,为提高存货管理水平,玉风公司出资200万元为各个仓储部门配置了计算机信息系统,该系统使玉风公司各仓库之间实现了内部联网,出库单、入库单由原先的人工填写改为计算机打印。 (3)为寻找新的生产原料,玉风公司决定出资1000万元建立F研究基地,用于研究在当地泥土中添加化学原料,以改善泥土的品质的试验。 该基地已于2006 年4 月份开始运行。 (4)2006年5月,为开展多种经营,玉风公司与L、G两家上市公司签订合作协议,联合开发新型卫浴产品。 协议规定L公司出资8000万元作为研发及宣传经费、G公司出资3000万 元建立营销网络,而玉风公司则以其拥有专利权的高薪技术使用权出资,并派 出5 名工程师作为研发的主要人员。 这5 名工程师的工资仍由玉风公司负责。 开发成功后,玉风公司应获得税后利润的30%。 ( 5) 2006 年6 月,为充分利用闲置资金,降低公司的经营风险,玉风公司向新疆和田地区某玉石开采企业投资4000 万元,开展和田玉开采与收藏与销售业务。 ( 6)为提高会计核算质量,预防重大差错的发生,2006 年6 月30 日,财 务部门按公司分管财务的副总经理的指示在财务部门内部进行了定期的人员轮换,此次轮换变更了所有财务人员的工作内容。 为配合此次财务人员内部轮换,内部审计在轮换后的连续三个月内加大了复核与核查的力度。 ( 7)玉风公司设在香港的销售分公司连续多年来业绩不佳,2005 年全年亏损达到125 万元。 2006 年第一季度亏损额达到82万元 2006 年5 月,公司董事会决定出售该分公司。 9月,已同当地T公司办理出售该分公司的全部手续,由此取得的3500万
风险评估及案例
目录 [隐藏] 1 风险评估的定义 2 风险评估的内容 3 风险评估任务 4 风险评估过程注意事项 5 风险评估的三种可行途径 5.1 基线评估 5.2 详细评估 5.3 组合评估 6 风险评估的常用方法 风险评估(Risk Assessment) 风险评估的定义 风险评估(Risk Assessment)是指在风险事件发生之后,对于风险事件给人们的生活、生命、财产等各个方面造成的影响和损失进行量化评估的工作。 风险评估的内容 (1)对风险本身的界定。包括风险发生的可能性;风险强度;风险持续时间;风险发生的区域及关键风险点。 (2)对风险作用方式的界定。包括风险对企业的影响是直接的还是间接的;是否会引发其他的相关风险;风险对企业的作用范围等。 (3)对风险后果的界定。在损失方面:如果风险发生,对企业会造成多大的损失?如果避免或减少风险,企业需要付出多大的代价?在冒风险的利益方面:如果企业冒了风险,可能获得多大的利益?如果避免或减少风险,企业得到的利益又是多少? 风险评估任务 风险评估的主要任务包括: ?识别组织面临的各种风险 ?评估风险概率和可能带来的负面影响 ?确定组织承受风险的能力 ?确定风险消减和控制的优先等级 ?推荐风险消减对策
风险评估过程注意事项 在风险评估过程中,有几个关键的问题需要考虑。 首先,要确定保护的对象(或者资产)是什么?它的直接和间接价值如何? 其次,资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大? 第三,资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何? 第四,一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响? 最后,组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程度? 解决以上问题的过程,就是风险评估的过程。 进行风险评估时,有几个对应关系必须考虑: ?每项资产可能面临多种威胁 ?威胁源(威胁代理)可能不止一个 ?每种威胁可能利用一个或多个弱点 风险评估的三种可行途径 在风险管理的前期准备阶段,组织已经根据安全目标确定了自己的安全战略,其中就包括对风险评估战略的考虑。所谓风险评估战略,其实就是进行风险评估的途径,也就是规定风险评估应该延续的操作过程和方式。 风险评估的操作范围可以是整个组织,也可以是组织中的某一部门,或者独立的信息系统、特定系统组件和服务。影响风险评估进展的某些因素,包括评估时间、力度、展开幅度和深度,都应与组织的环境和安全要求相符合。组织应该针对不同的情况来选择恰当的风险评估途径。目前,实际工作中经常使用的风险评估途径包括基线评估、详细评估和组合评估三种。 基线评估 如果组织的商业运作不是很复杂,并且组织对信息处理和网络的依赖程度不是很高,或者组织信息系统多采用普遍且标准化的模式,基线风险评估(Baseline Risk Assessment)就可以直接而简单地实现基本的安全水平,并且满足组织及其商业环境的所有要求。 采用基线风险评估,组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查(拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距),得出基本的安全需求,通过选择并实施标准的安全措施来消减和控制风险。 所谓的安全基线,是在诸多标准规范中规定的一组安全控制措施或者惯例,这些措施和惯例适用于特定环境下的所有系统,可以满足基本的安全需求,能使系统达到一定的安全防护水平。组织可以根据以下资源来选择安全基线: ?国际标准和国家标准,例如BS 7799-1、ISO 13335-4; ?行业标准或推荐,例如德国联邦安全局IT 基线保护手册; ?来自其他有类似商务目标和规模的组织的惯例。 当然,如果环境和商务目标较为典型,组织也可以自行建立基线。