风险评估程序的运用
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
风险评估程序的运用
新的审计准则强调“风险导向”的审计理念。所以07年考试的综合题就考了一个20分的综合题。从07年开始,考试的出题方式发生了一些变化形成了三分天下的局面:审计的基础理论、方法(6-12章)占30%的分值、风险导向的审计理论(9-11章)占30%的分值,审计实务(13-17章)占30%的分值。其他的占10%左右的分值。当然审计报告是必考的,会结合审计实务一起考。
学习审计,要先有一个正确的思路。这非常关键,就是假设你是一个CPA,让你去审计,要知道先干啥,再干啥。如果没有一个整体的思路,可能不知道审计在讲啥。像盖楼,你要先有一个图纸,比如要盖30层,然后再计算一下每一层要用多少砖、多少水泥,最后算一下整栋楼要用多少砖、水泥等,工程造价是多少钱,也就是要有一个计划。
审计的过程大体上是:
1、先了解一下被审计单位的环境(看看能不能审,对方是否诚信,自己是不是具备专业胜任能力,知彼知已)
2、签订业务约定书(正式接手审计业务)
3、了解被审计单位及其环境(也就是运用风险评估程序,看看哪里可能出错)
4、实施进一步的审计程序,包括控制测试和实施性程序。
也就是针对第3步评估出来的重大错报风险,有针对性的采取最恰当的审计程序,找出具体的错报。这实际上也就是风险应对
5、汇总错报,判断意见类型,出具报告。
大体上的过程是这样的,写得不够细。
第九章内容挺多,考试估计太多不会考死记硬背的东西,看一下07年的考题就知道了,会结合第13-17章的内控等考实务方面的题,这种机率比较高。
风险评估的思路也就是:先从总体上估计一下哪里可能出错(评估),根据评估结果采取针对性的程序(风险应对)。风险评估理念的好处是避免了审计的盲目性,提高了效率,降低了成本。
一、必须记记的内容(书上都有,指出来的是第9章的重点)
(一)风险评估需运用的三大程序
1、询问(被审计单位管理层和内部其他相关人员)
2、实施分析程序(考实务可能要大量地用到分析)
3、观察和检查
(二)了解被审计单位及其环境的6个方面(注意简答题)
ⅰ行业状况、法律环境与监管环境以及其他外部因素;(外部环境)ⅱ被审计单位的性质;(内部环境)
ⅲ被审计单位对会计政策的选择与运用;(内部环境)
ⅳ被审计单位的目标、战略以及相关经营风险(内部环境)
ⅴ被审计单位财务业绩的衡量和评价;(内、外部环境)
ⅵ被审计单位的的内部控制(内部环境)
识别被审计单位及其环境在上述各方面与以前各期相比发生的“重大变化”,对于充分了解被审计单位及其环境、识别和评估重大错报风
险尤为重要。
对于每一个方面的具体解释应当了解。
(三)可能产生风险的情况:教材P184
1、监管环境及经营环境的变化
2、新员工的加入
3、新信息系统的使用或对原系统进行升级
4、业务快速发展
5、新技术
6、新生产型号、产品和业务活动
7、企业重组
8、发展海外经营
9、新会计准则
这里没有必要去背,但是考试时遇到以上几种情况时要知道,可能会出现重大错报。另外建议大家要好好研究一下教材P244页的表,07年的考题的素材就来自这里!!!
(四)内部控制的五个要素
控制环境:环境不好,影响的是报表层次的错报
风险评估过程:
信息系统与沟通:
控制活动:影响的是认定层次的错报
对控制的监督:
(五)了解内部控制的程序: 4大程序
CPA通过实施下列风险评估程序。获取证据:
ⅰ询问被审计单位的人员;
ⅱ观察特定控制的运用;
ⅲ检查文件与报告;
ⅳ追踪交易在财务报告信息系统中的处理过程(穿行测试)
(六)自动化的优缺点:以后可能考自动化的控制的内容越来越多,才人工控制的成分可能少一点。教材P178
原则:
大量、重复发生的:由计算机控制比较合适;
偶而发生的、不规范的由人控制比较合适。
考虑内部控制的人工和自动化特征及其影响
※信息技术的优势及相关内控风险
1、优势
A、处理大量交易或数据时,运用事先确定的业务规则,进行复杂运算;
B、提高信息的及时性。可获得性及准确性;
C、有助于对住息进行深入分析
D、加强对被审计单位政策和程序执行情况的监督;
E、降低控制被规避的风险;
F、通过对操作系统、应用程序、数据库系统的安全控制,提高不相容职务分离的有效性。
2、信息技术对内控产生特定风险的方面:
A、系统或程序未能正确处理数据,或处理了不正确的数据或两种情况同时存在;
B、在未得到授权的情况下访问数据,可能导致数据的毁损或对数据不恰当的修改
C、信息技术人员可能获得超越其履行职责以外的数据访问权限,破坏了系统应有的职责分工
D、未经授权改变主文档的数据
E、未经授权改变系统和程序
F、未能对系统和程序做出必要的修改
G、不恰当的人为干预
H、数据丢失的风险或不能访问所需要的数据
※人工控制的适用范围及相关内部控制风险
1、适用范围4方面
存在大额、异常或偶发的交易;
存在难以定义、防范或预见的错误;
为应对情况的变化,需要对现有的自动化控制进行调整;
监督自动化控制的有效性。
2、人工控制的特定风险:
人工控制可能更容易被规避、忽视或凌驾;
人工控制可能不具有一贯性;
人工控制可能更容易产生简单错误或失误。
相对于自动控制,人工控制可靠性较差。CPA应当考虑人工控制在下