風險評估概述對風險評估的總體要求
1、了解被審計單位及其環境。
2、識別和評估重大錯報風險。
3、設計和實施進壹步程序。
了解被審計單位及其環境能為註冊會計師在下列關鍵環節作出職業判斷提供重要基礎:
(1)確定重要性水平,並隨著審計工作的進程評估對重要性水平的判斷是否仍然適當;
(2)考慮會計政策的選擇和運用是否恰當,以及財務報表的列報是否適當;
(3)識別需要特別考慮的領域;
(4)確定在實施分析程序時所使用的預期值;
(5)設計和實施進壹步審計程序,以將審計風險降至可接受的低水平;
(6)評價所獲取審計證據的充分性和適當性。
了解被審計單位及其環境是壹個連續和動態的過程。
了解的程度是否恰當,關鍵看註冊會計師對被審計單位及其環境的了解是否足以識別和評估財務報表的重大錯報風險。(低於管理層的了解程度)
風險評估程序、信息來源以及項目組內部的討論
壹、風險評估程序和信息來源
(壹)風險評估程序
(1)詢問被審計單位管理層和內部其他相關人員。
(2)分析程序;
(3)觀察和檢查
1、詢問被審計單位管理層和內部其他相關人員
註冊會計師可以考慮向管理層和財務負責人詢問下列事項:
(1)管理層所關註的主要問題。
(2)被審計單位最近的財務狀況、經營成果和現金流量。
(3)可能影響財務報告的交易和事項,或者目前發生的重大會計處理問題。
(4)被審計單位發生的其他重要變化。
除此之外,註冊會計師還應當考慮詢問以下各類人員,以獲取對識別重大錯報風險有用的信息:
(1)詢問治理層,有助於註冊會計師理解財務報表編制的環境;
(2)詢問內部審計人員,有助於註冊會計師了解其針對被審計單位內部控制設計和運行有效性而實施的工作,以及管理層對內部審計發現的問題是否采取適當的措施;
(3)詢問參與生成、處理或記錄復雜或異常交易的員工,有助於註冊會計師評估被審計單位選擇和運用某項會計政策的適當性;
(4)詢問內部法律顧問,有助於註冊會計師了解有關法律法規的遵循情況、產品保證和售後責任、與業務合作夥伴(如合營企業)的安排、合同條款的含義以及訴訟情況等;
(5)詢問營銷或銷售人員,有助於註冊會計師了解被審計單位的營銷策略及其變化、銷售趨勢以及與客戶的合同安排;
(6)詢問采購人員和生產人員,有助於註冊會計師了解被審計單位的原材料采購和產品生產等情況;
(7)詢問倉庫人員,有助於註冊會計師了解原材料、產成品等存貨的進出、保管和盤點等情況。
2、實施分析程序
如果使用了高度匯總的數據,實施分析程序的結果僅可能初步顯示財務報表存在重大錯報風險,註冊會計師應當將分析結果連同識別重大錯報風險時獲取的其他信息壹並考慮。
3、觀察和檢查
觀察被審計單位的生產經營活動
檢查文件、記錄和內部控制手冊
閱讀由管理層和治理層編制的報告
實地查看被審計單位的生產經營場所和設備
追蹤交易在財務報告信息系統中的處理過程(穿行測試)
(二)其他審計程序和信息來源
詢問被審計單位聘請的外部法律顧問、專業評估師、投資顧問和財務顧問等。
二、項目組內部的討論
(壹)討論的目標:了解在各自分工負責的領域中,由於舞弊或錯誤導致財務報表重大錯報的可能性,並了解各自實施審計程序的結果如何影響審計的其他方面,包括對確定進壹步審計程序的性質、時間和範圍的影響;
(二)討論的內容:項目組應當討論被審計單位面臨的經營風險、財務報表容易發生錯報的領域以及發生錯報的方式。特別是由於舞弊導致重大錯報的可能性;
(三)參與討論的人員:項目組的關鍵成員應當參與討論,如果項目組需要擁有信息技術或其他特殊技能的專家,這些專家也應參與討論;
(四)討論的時間和方式:在整個審計過程中持續交換有關財務報表發生重大錯報可能性的信息;項目組在討論時應當強調在整個審計過程中保持職業懷疑態度,警惕可能發生重大錯報的跡象,並對這些跡象進行嚴格追蹤
了解被審計單位及其環境
壹、總體要求
註冊會計師應當從下列方面了解被審計單位及其環境:
(1)行業狀況、法律環境與監管環境以及其他外部因素;
(2)被審計單位的性質;
(3)被審計單位對會計政策的選擇和運用;
(4)被審計單位的目標、戰略以及相關經營風險;
(5)被審計單位財務業績的衡量和評價;
(6)被審計單位的內部控制。
二、行業狀況、法律環境與監管環境以及其他外部因素
(壹)行業狀況
註冊會計師應當了解被審計單位的行業狀況,主要包括:
(1)所處行業的市場供求與競爭;
(2)生產經營的季節性和周期性;
(3)產品生產技術的變化;
(4)能源供應與成本;
(5)行業的關鍵指標和統計數據。
(二)法律環境及監管環境
註冊會計師應當了解被審計單位所處的法律環境及監管環境,主要包括:
(1)適用的會計準則、會計制度和行業特定慣例;
(2)對經營活動產生重大影響的法律法規及監管活動;
(3)對開展業務產生重大影響的政府政策,包括貨幣、財政、稅收和貿易等政策;
(4)與被審計單位所處行業和所從事經營活動相關的環保要求。
(三)其他外部因素
(1)宏觀經濟的景氣度;
(2)利率和資金供求狀況;
(3)通貨膨脹水平及幣值變動;
(4)國際經濟環境和匯率變動。
(四)了解的重點和程度
1、CPA對行業狀況、法律環境與監管環境以及其他外部因素了解的範圍和程度會因為被審計單位所處行業、規模以及其他因素的不同而不同。
2、CPA應當考慮了解的重點放在對被審計單位的經營活動可能產生重要影響的關鍵外部因素以及與前期相比發生的重大變化上。
3、CPA應當考慮被審計單位所在行業的業務性質或監管程度是否可能導致特定的重大錯報風險,考慮項目組是否配備了具有相關知識和經驗的成員。
三、被審計單位的性質
(壹)所有權結構:對被審計單位所有權結構的了解有助於CPA識別關聯方關系並了解被審計單位的決策過程。
(二)治理結構:良好的智力結構可以對被審計單位的經營和財務運做實施有效的監督,從而降低財務報表發生重大錯報風險
(三)組織結構:CPA應當了解被審計單位的組織結構,考慮復雜的組織結構導致的重大錯報風險,包括財務報表合並、商譽減值以及長期股權投資核算等問題
(四)經營活動:了解被審計單位經營活動有助於CPA識別預期在財務報表中反映的主要交易類別、重要帳戶余額和列報。
—主營業務的性質
-與生產產品或提供勞務相關的市場信息
-業務的開展情況
-聯盟、合營與外包情況
-從事電子商務的情況
-地區與行業分布
-生產設施、倉庫的地理位置及辦公地點
-關鍵客戶
-重要供應商
-勞動用工情況
-研究與開發活動及其支出
-關聯方交易
(五)投資活動:了解被審計單位投資活動有助於CPA關註被審計單位在經營策略和方向上的重大變化
-近期擬實施或已實施的並購活動與資產處置情況
-證券投資、委托貸款的發生與處置
-資本性投資活動,包括固定資產和無形資產投資,以及近期或計劃發生的變動
-不納入合並範圍的投資
(六)籌資活動:了解被審計單位籌資活動有助於CPA評估被審計單位在融資方面的壓力。並進壹步考慮被審計單位在可預見未來的持續經營能力。
-債務結構和相關條款,包括擔保情況及表外融資
-固定資產的租賃
-關聯方融資
-實際受益股東
-衍生金融工具的運用
四、被審計單位對會計政策的選擇和運用
(壹)重要項目的會計政策和行業慣例
重要項目的會計政策包括收入確認方法,存貨的計價方法,投資的核算,固定資產的折舊方法,壞賬準備、存貨跌價準備和其他資產減值準備的確定,借款費用資本化方法,合並財務報表的編制方法等
(二)重大的異常交易的會計處理方法
(三)在新領域和缺乏權威性標準或***識的領域,采用重要會計政策產生的影響
(四)會計政策的變更
(五)被審計單位何時采用以及如何采用新頒布的會計準則和相關會計制度
五、被審計單位的目標、戰略以及相關經營風險
經營風險源於對被審計單位實現目標和戰略產生不利影響的重大情況、事項、環境和行動,或源於不恰當的目標和戰略。
不能隨環境變化而做出相應的調整固然可能產生經營風險。但是調整的過程也可能導致經營風險。
(壹)CPA應當了解被審計單位是否存在與下列方面有關的目標和戰略,並考慮相應的經營風險:
-行業發展
-開發新產品或提供新服務
-業務擴張
-新頒布的會計法規
-監管要求
-本期及未來的融資條件
-信息技術的運用
(二)經營風險對重大錯報風險的影響
經營風險與重大錯報風險多數經營風險最終都會產生財務後果,從而影響財務報表。但並非所有經營風險都會導致重大錯報風險。經營風險可能對各類交易、賬產余額以及列報認定層次或財務報表層次產生直接影響。
六、被審計單位財務業績的衡量和評價
(壹)了解的主要方面
(1)關鍵業績指標;
(2)業績趨勢
(3)預測、預算和差異分析;
(4)管理層和員工業績考核與激勵性報酬政策;
(5)分部信息與不同層次部門的業績報告;
(6)與競爭對手的業績比較;
(7)外部機構提出的報告。
了解被審計單位的內部控制
壹、內部控制的含義和要素
含義:指被審計單位為了合理保證財務報告的可靠性、經營的效率和效果以及對法律法規的遵守,由治理層、管理層和其他人員設計和執行的政策和程序
1、內部控制的目標是合理保證:
(1)財務報告的可靠性,
(2)經營的效率和效果
(3)在所有經營活動中遵守法律法規的要求;
2、設計和實施內部控制的責任主體是治理層、管理層和其他人員,組織中的每壹個人都對內部控制負有責任;
3、實現內部控制目標的手段是設計和執行控制政策和程序。
內部控制的要素:
(1)控制環境;
(2)風險評估過程;
(3)信息系統與溝通;
(4)控制活動;
(5)對控制的監督。
二、與審計相關的控制
1、為實現財務報告可靠性目標設計和實施的控制。
2、其他與審計相關的控制。
三、對內部控制了解的深度
評價控制的設計,並確定其是否得到執行,但不包括對控制是否得到壹貫執行的測試。
(壹)評價控制的設計
了解的程度比較淺,再深入就是控制測試了。
(二)獲取控制設計和執行的審計證據
(1)詢問被審計單位的人員;
(2)觀察特定控制的運用;
(3)檢查文件和報告;
(4)追蹤交易在財務報告信息系統中的處理過程(穿行測試)。
四、內部控制的人工和自動化成分
(壹)考慮內部控制的人工和自動化特征及其影響
(二)信息技術的優勢及相關內部控制風險
信息技術可能對內部控制產生特定風險:
(1)統或程序未能正確處理數據,或處理了不正確的數據,或兩種情況同時並存;
(2)在未得到授權情況下訪問數據,可能導致數據的毀損或對數據不恰當的修改,包括記錄未經授權或不存在的交易,或不正確地記錄了交易;
(3)信息技術人員可能獲得超越其履行職責以外的數據訪問權限,破壞了系統應有的職責分工;
(4)未經授權改變主文檔的數據;
(5)未經授權改變系統或程序;
(6)未能對系統或程序作出必要的修改;
(7)不恰當的人為幹預;
(8)數據丟失的風險或不能訪問所需要的數據。
(三)人工控制的適用範圍及相關內部控制風險
風險:
(1)人工控制可能更容易被規避、忽視或淩駕;
(2)人工控制可能不具有壹貫性;
(3)人工控制可能更容易產生簡單錯誤或失誤。
人工控制在下列情形中可能是不適當的:
(1)存在大量或重復發生的交易;
(2)事先可預見的錯誤能夠通過自動化控制得以防範或發現;
(3)控制活動可得到適當設計和自動化處理。
五、內部控制的局限性
內部控制的固有局限性:
1、在決策時人為判斷可能出現錯誤和由於人為失誤而導致內部控制失效;
2、可能由於兩個或更多的人員進行串通或管理層淩駕於內部控制之上而被規避;
3、行使控制職能的人員素質不適應崗位要求;
4、被審計單位實施內部控制的成本效益問題;
5、內部控制壹般都是針對經常而重復發生的業務而設置的,如果出現不經常發生或未預計到的業務,原有控制就可能不適用。
六、控制環境
(壹)控制環境的含義
控制環境包括治理職能和管理職能,以及治理層和管理層對內部控制及其重要性的態度、認識和措施。
(二)對誠信和道德價值觀念的溝通與落實
(三)對勝任能力的重視
(四)治理層的參與程度
(五)管理層的理念和經營風格
(六)組織結構及職權與責任的分配
(七)人力資源政策與實務
控制環境本身並不能防止或發現並糾正各類交易、賬戶余額、列報認定層次的重大錯報,註冊會計師在評估重大錯報風險時,應當將控制環境連同其他內部控制要素產生的影響壹並考慮。
七、被審計單位的風險評估過程
管理層應當確定可以承受的風險水平,識別這些風險並采取壹定的應對措施。
可能產生風險的事項和情形包括:
(1)監管及經營環境的變化;
(2)新員工的加入;
(3)新信息系統的使用或對原系統進行升級;
(4)業務快速發展;
(5)新技術;
(6)新生產型號、產品和業務活動;
(7)企業重組;
(8)發展海外經營;
(9)新的會計準則。
註冊會計師在對被審計單位整體層面的風險評估過程進行了解和評估時,考慮的主要因素包括:-被審計單位是否已建立和溝通其整體目標,並輔以具體策略和業務流程和層面的計劃
-被審計單位是否已建立風險評估過程,包括識別風險,估計風險的重大性,評估風險發生的可能性,以及確定需要采取的措施
-被審計單位是否已建立某種機制,來預計、識別和應對可能會被審計單位產生重大的普遍影響的變化
-會計部門是否建立了某種流程來識別相關部門發布的會計準則等的重大變化
-當被審計單位業務操作發生變化影響交易記錄的流程時,是否存在溝通渠道來通知會計部門
-風險管理部門是否建立了某種流程來識別經營環境發生的重大變化
八、信息系統與溝通
(壹)與財務報告相關的信息系統的含義
理想的信息系統的特征:
(1)識別與記錄所有的有效交易;
(2)及時、詳細地描述交易,以便在財務報告中對交易做出恰當分類;
(3)恰當計量交易,以便在財務報告中對交易的金額做出準確記錄;
(4)恰當確定交易生成的會計期間;
(5)在財務報表中恰當列報交易。
(二)對與財務報告相關的信息系統的了解
1、在被審計單位經營過程中,對財務報表具有重大影響的各類交易。
2、在信息技術和人工系統中,交易生成、記錄、處理和報告的程序。
3、與交易生成、記錄、處理和報告有關的會計記錄、支持性信息和財務報表中的特定項目。
4、信息系統如何獲取除各類交易之外的對財務報表具有重大影響的事項和情況的信息。
5、被審計單位編制財務報告的過程,包括做出的重大會計估計和披露。
6、管理層淩駕於賬戶記錄控制之上的風險。
九、控制活動
(壹)相關的控制活動的含義
控制活動是指有助於確保管理層的指令得以執行的政策和程序。包括與授權、業績評價、信息處理、實物控制和職責分離等相關的活動。
1、授權
2、業績評價
3、信息處理
4、實物控制
5、職責分離
(二)對控制活動的了解
(1)被審計單位的主要經營活動是否都有必要的控制政策和程序;
(2)管理層在預算、利潤和其他財務和經營業績方面是否都有清晰的目標,在被審計單位內部,是否對這些目標加以清晰的記錄和溝通,並且積極地對其進行監控;
(3)是否存在計劃和報告系統,以識別與目標業績的差異,並向適當層次的管理層報告該差異;
(4)是否由適當層次的管理層對差異進行調查,並及時采取適當的糾正措施;
(5)不同人員的職責應在何種程度上相分離,以降低舞弊和不當行為發生的風險;
(6)會計系統中的數據是否與實物資產定期核對;
(7)是否建立了適當的保護措施,以防止未經授權接觸文件、記錄和資產;
(8)是否存在信息安全職能部門負責監控信息安全政策和程序。
十、對控制的監督
指被審計單位評價內部控制在壹段時間內運行有效性的過程,該過程包括及時評價控制的設計和運行以及根據情況的變化采取必要的糾正措施。
CPA在對被審計單位整體層面的監督進行了解和評估時,考慮的主要因素包括:
1、
被審計單位是否定期評價內部控制
2、
審計單位人員在履行正常職責時能夠在多大程度上獲得內部控制是否有效運行的證據
3、
與外部的溝通能夠在多大程度上證實內部產生的信息或者指出存在的問題
4、
管理層是否采納內部審計人員和CPA有關內部控制的建議
5、
管理層根據監管機構的報告及建議是否即使采取糾正措施
6、
管理層是否及時糾正控制運行中的 偏差
7、
是否存在協助管理層監督內部控制的職能部門。
十壹、在整體層面對內部控制了解和評估的總結
通常由項目組中對被審計單位情況比較了解且較有經驗的成員負責。
了解內部控制是否得到執行。
十二、在業務流程層面了解內部控制
確定被審計單位財務報表中可能存在重大錯報風險的重大賬戶及其相關認定的步驟:
(1)確定被審計單位的重要業務流程和重要交易類別;
(2)了解重要交易流程,並記錄獲得的了解;
(3)確定可能發生錯報的環節;
控制目標
解釋
1.完整性:所有的有效交易都已記錄
必須有程序確保沒有漏記實際發生的交易。
2.存在和發生:每項已記錄的交易均真實
必須有程序確保會計記錄中沒有虛構的或重復入賬的項目。
3.適當計量交易
必須有程序確保交易以適當的金額入賬。
4.恰當確定交易生成的會計期間(截止性)
必須有程序確保交易在適當的會計期間內入賬(如,月、季度、年等)。
5.恰當分類
必須有程序確保將交易記入正確的部分類賬,必要時,記入相應的明細賬內。
6.匯總和過賬
必須有程序確保所有作為財務記錄中的供貨方余額都正確地歸集(加總)。確保加總後的金融正確過入總賬,必要時,過入明細分類賬
控制目標是否達到的問題
有關認定
怎樣確保沒有記錄虛構或重復的銷售?
怎樣確保所有的銷售和收款均已記錄?
怎樣保證貨物運送給正確的收貨人?
怎樣保證發貨單據只有在實際發貨時才開具?
怎樣保證發票正確反映了發貨的數量?
發生
完整性
發生
發生
準確性
(4)識別和了解相關控制;
預防性控制
檢查性控制
預防性控制示例
對控制的描述
設計控制用來防止的錯報
·生成收貨報告的計算機程序,同時也更新采購情況檔案
·防止出現購貨漏記賬的情況
·在更新采購情況檔案之前必須先有收貨報告
·防止記錄了未收到的購貨的情況
·銷貨發票上的價格根據價格信息檔案上的信息確定
·防止對銷貨不正確的計價
·計算機將各憑證上的賬戶號碼與會計科目表對比,然後進行壹系列的邏輯測試
·防止出現分類錯報
檢查性控制示例
對控制的描述
設計控制預計查也的錯報
·定期編制銀行調節表,跟蹤調查掛賬的項目
·在對其他項目進行審核的同時,查找存入銀行但沒有記入日記賬的現金收入,未記錄的現金支付或虛構入賬的不真實的現金收入或支付,未及時入賬或未正確匯總分類現金收入或支付
·將預算與實際費用間的差異列入計算機編制的報告中並由部門經理復核。記錄所有超過預算2%的差異情況和解決措施
·在對其他項目進行審核的同時,查找本月發生的重大分類錯報或沒有記錄及沒有發生的大筆收入、支出以及相關聯的資產和負債項目
對控制的描述
設計控制預計查也的錯報
·計算機每天比較運出貨物的數量和開票數量,如果發現差異,產生報告,由開票主管復核和遍查
·查找沒有開票和記錄的出庫貨物,以及與真實發貨無關的發票
·每季度復核應收賬款貨方余額並找出原因
·查找沒有記錄的發票和銷售與現金收入中的分類錯誤
(5)執行穿行測試,證實對交易流程和相關控制的了解;
穿行測試:追蹤交易通過與財務報告相關的信息系統的過程
執行穿行測試可獲得下列方面的證據:
-確認對業務流程的了解
-確認對重要交易的了解是完整的,在流程中所有與財務報表認定相關的可能發生錯報的環節都已識別
-確認所獲得的有關流程中的預防性和檢查性控制信息的準確性
-評估控制設計的有效性
-確認控制實際是否得到執行並正常運行
-確認之前所作的書面記錄的準確性
(6)進行初步評價和風險評估。
評價控制的設計並確定其是否得到執行
1、對控制的初步評價
-內部控制本身的設計可以單獨或連同其他控制能夠有效防止或發現並糾正重大錯報,並得到執行。
-控制本身的設計是合理的,但沒有得到執行。
-控制本身的設計無效或缺乏必要的控制。
2、風險評估需考慮的因素
帳戶特征及已識別的重大錯報風險,識別的重大錯報風險水平為高,則相關的控制應有較高的敏感度
對被審計單位整體層面控制的評價。CPA應將對整體層面獲得的了解和結論,同在業務流程層面獲得的有關重大交易流程及其控制的證據結合起來考慮。在評價業務流程層面的控制要素時,考慮的影響因素可能包括:
·管理層及執行控制的員工表現出來的勝任能力及誠信,員工受監督的程度及員工流動的頻繁程度
·管理層淩駕於控制之上的潛在可能性
·缺乏職責劃分
·所內內部審計人員或其他監督人員測試控制動作的程度
·業務流程變更所產生的的影響
·被審計單位本身的風險評估過程針對某控制所識別的風險,以及對於該控制是否有進壹步的監督
3、評價決策
·根據以上的考慮因素,控制本身的設計是否有效?
·控制是否得到執行?
·是否更多地依賴控制並進壹步測試控制
(7)對財務報告流程的了解和評估
財務報告流程:有關信息從具體交易的業務流程到總賬和財務報表以及相關列報和披露的流程,這壹流程與財務報表的列報認定直接有關
財務報告流程包括:
-將業務加總記入總賬的程序,即如何將重要業務流程的信息與總賬和財務報告系統相連接的過程
-在總賬中產生、授權、記錄和處理記賬分錄的程序
-其他用於記錄財務報常規和非常規調整的程序,例如合並調整,報告匯總、重分類等
-用於起草財務報表和相關披露的程序