《风险评估 》PPT课件.ppt

第十二章风 险 评 估,2,本章内容,一、风险评估概述二、风险评估程序三、了解被审计单位及其环境四、了解被审计单位内部控制五、评估重大错报风险,3,一、风险评估概述,风险评估是指以了解被审计单位及其环境为内容，以识别和评估财务报表重大错报风险为目的，在设计和实施进一步审计程序之前实施的程序。是现代审计的一项重要程序。作用了解被审计单位及其环境是必要程序，特别是为注册会计师在下列关键环节作出职业判断提供重要基础：（一）确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；,4,（二）考虑会计政策的选择和运用是否恰当，以及财务报表的列报（包括披露，下同）是否适当；（三）识别需要特别考虑的领域，包括关联方交易、管理层运用、持续经营假设的合理性，或交易是否具有合理的商业目的等；（四）确定在实施分析程序时所使用的预期值；（五）设计和实施进一步审计程序，以将审计风险降至可接受的低水平；（六）评价所获取审计证据的充分性和适当性。,5,进一步理解,了解被审计单位及其环境是必须要实施的程序而不是可选程序,了解的目的是识别和评估财务报表重大错报风险，设计和实施进一步审计程序,了解的程度应当足够实现了解的目的,了解是一个连续和动态的收集、更新与分析信息的过程，贯穿于整个审计过程,6,二、风险评估程序,为了解被审计单位及其环境而实施的程序称为“风险评估程序”，主要有：询问被审计单位管理层和内部其他相关人员；分析程序；观察和检查,其他审计程序和信息来源 外部,7,8,分析程序,分析程序是指注册会计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系，对财务信息作出评价。注册会计师实施分析程序有助于识别异常的交易或事项，以及对财务报表和审计产生影响的金额、比率和趋势。,9,执行分析程序,分析程序的用途,风险评估程序,进一步审计程序,总体复核,帮助确定其他审计程序的性质、时间及范围,直接作为实质性测试程序，以收集与帐户余额和各类交易相关的特殊认定的证据,用于对被审会计报表的整体合理性做最后的复核,10,风险评估程序执行分析程序的步骤,执行计算/比较,分析数据及确认重大差异,确定对审计计划的影响,调查重大的非预期差异,11,以毛利率分析法为例,确定采用毛利率分析法估计期望值20%上下执行当期(收入-成本)/收入100%=30%分析数据差异为重大询问调查差异修订毛利率为24%确定为审计重点,12,王明如何确定审计重点？,红星公司系公开发行A股的上市公司，主要经营计算机硬件的开发、集成与销售，其主要业务流程通常为：向客户提供技术建议书-签署销售合同-结合库存情况备货-委托货运公司送货-安装验收-根据安装验收报告开具发票并确认收入。公司2002年度的经营形势、管理及经营机构与2001年度比较未发生重大变化，且未发生重大重组行为。资料：一、公司2002年度未审利润表及2001年度已审利润表 二：公司2002年度1-12月份未审主营业务收入、主营业务成本,13,常用的计算及比较,绝对数比较：如将本期金额和预期金额比较共同比会计报表，也称垂直分析：先计算某报表组成部分占有关总额的百分比，再与预期数比较比率分析：计算出各种比率，与预期比率比较趋势分析：比较两个或两个以上会计期间的特定数据，以确定难以由本期和前期比较看出的重大变动,14,估计期望值,在没有反证的情况下，数据之间预计继续存在一定的关系。根据这个假定，注册会计师可以根据各种不同来源的数据估计期望值：根据被审计单位的可比会计信息，并考虑已知的变化估计期望值。根据正式的预算或预测估计期望值。根据本期间内会计要素之间的关系估计期望值。根据同行业资料估计期望值。根据会计信息同相关的非会计信息之间的关系估计期望值。,15,16,17,审计重点领域,主营业务收入：在2001年度的基础上增长了77.08，而2002年度经营形势与2001年度相比并未发生重大变化。应将以下月份主营业务收入和主营业务成本作为重点审计领域：-l月份。该月份毛利率（为3，）远远低于全年平均毛利率和其他各月毛利率。-12月份。该月份主营业务收入占全年主营业务收入比例较高（达18.2）；毛利率相对较高（达19.9）。主营业务成本：在2001年度的基础上增长了71.36,18,管理费用：在机构、人员亦未发生重大变化，且在销售收入大幅增长的情况下，管理费用由3260万元下降到2380万元，下降了 26.99。补贴收入。2001年度公司并未取得补贴收入，2002年度取得大额补贴收入。所得税：占利润总额比例（为10.82，）与33的所得税税率存在较大差异。,19,观察和检查,（一）观察被审计单位的生产经营活动；（二）检查文件、记录和内部控制手册；（三）阅读由管理层和治理层编制的报告；（四）实地察看被审计单位的生产经营场所和设备；（五）追踪交易在财务报告信息系统中的处理过程（穿行测试）。,可以印证对管理层和其他相关人员的询问结果,20,穿行测试,指在每一类交易循环中选择一笔或若干笔业务进行测试，以验证内部控制的实际运行是否与了解的一致。如为复查购货循环的内部控制，审计人员可选择一笔或若干笔购货业务，把包括请购、订货、验收、保管、付款、记账在内的整个购货业务流程进行详细检查，以确定购货循环内部控制中各环节的实际执行情况是否与其了解的一致。穿行测试一般只需选择若干重要环节进行验证,21,其他审计程序和信息来源,实施其他审计程序从被审计单位外部获取的相关信息：询问外部专家；阅读外部信息其他信息来源：在承接客户或续约过程中获取的信息，向被审计单位提供其他服务获得的经验等,22,三、了解被审计单位及其环境,注册会计师应当从下列方面了解被审计单位及其环境：（一）行业状况、法律环境与监管环境以及其他外部因素；（二）被审计单位的性质；（三）被审计单位对会计政策的选择和运用；（四）被审计单位的目标、战略以及相关经营风险；（五）被审计单位财务业绩的衡量和评价；（六）被审计单位的内部控制。,23,了解行业状况、法律环境与监管环境,了解行业状况有助于注册会计师识别与被审计单位所处行业有关的重大错报风险：（1）所在行业的市场供求与竞争；（2）生产经营的季节性和周期性；（3）产品生产技术的变化；（4）能源供应与成本；（5）行业的关键指标和统计数据。,24,了解被审计单位所处的法律环境及监管环境，主要包括：,（一）适用的会计准则、会计制度和行业特定惯例；（二）对经营活动产生重大影响的法律法规及监管活动；（三）对开展业务产生重大影响的政府政策，包括货币、财政、税收和贸易等政策；（四）与被审计单位所处行业和所从事经营活动相关的环保要求。,25,注册会计师应当主要从下列方面了解被审计单位的性质：,（一）所有权结构；（二）治理结构；（三）组织结构；（四）经营活动；（五）投资活动；（六）筹资活动。了解被审计单位的性质有助于注册会计师理解预期在财务报表中反映的各类交易、账户余额、列报。,26,在了解被审计单位对会计政策的选择和运用是否适当时，注册会计师应当关注下列重要事项：,（一）重要项目的会计政策和行业惯例；（二）重大和异常交易的会计处理方法；（三）在新领域和缺乏权威性标准或共识的领域，采用重要会计政策产生的影响；（四）会计政策的变更；（五）被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度。,27,注册会计师应当了解被审计单位是否存在与下列方面有关的目标和战略，并考虑相应的经营风险：,（一）行业发展，及其可能导致的被审计单位不具备足以应对行业变化的人力资源和业务专长等风险；（二）开发新产品或提供新服务，及其可能导致的被审计单位产品责任增加等风险；（三）业务扩张，及其可能导致的被审计单位对市场需求的估计不准确等风险；（四）新颁布的会计法规，及其可能导致的被审计单位执行法规不当或不完整，或会计处理成本增加等风险；（五）监管要求，及其可能导致的被审计单位法律责任增加等风险；,28,（六）本期及未来的融资条件，及其可能导致的被审计单位由于无法满足融资条件而失去融资机会等风险；,（七）信息技术的运用，及其可能导致的被审计单位信息系统与业务流程难以融合等风险。多数经营风险最终都会产生财务后果，从而影响财务报表。注册会计师应当根据被审计单位的具体情况考虑经营风险是否可能导致财务报表发生重大错报。管理层通常制定识别和应对经营风险的策略，注册会计师应当了解被审计单位的风险评估过程。,29,被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力，促使其采取行动改善财务业绩或歪曲财务报表。,在了解被审计单位财务业绩衡量和评价情况时，注册会计师应当关注下列信息：（一）关键业绩指标；（二）业绩趋势；（三）预测、预算和差异分析；（四）管理层和员工业绩考核与激励性报酬政策；（五）分部信息与不同层次部门的业绩报告；（六）与竞争对手的业绩比较；（七）外部机构提出的报告。,30,四、了解被审计单位的内部控制,导入案例：1945年，雷创办了美国芝加哥第一证券公司。在经过数十年苦心经营之后，雷确突然于1968年6月4日的早上自杀。在遗书中雷承认，20多年他一直窃取客户们的资金进行证券投机炒作。现因资金周转不灵，使许多客户蒙受巨大损失，因无法交待而不得不自杀。受到损失的投资者们起诉了厄斯特会计师事务所，20多年来，芝加哥第一证券公司一直由他们审计。原告的诉讼理由是：厄斯特会计师事务所帮助和纵容了雷的欺诈，因为他们没有发现和揭露芝加哥第一证券公司的内部控制弱点，以至于,31,雷能长期私自挪用公司资金，欺骗投资者，原告称，如果厄斯特会计师事务所发现了这些内部控制弱点后，就会进行调查，就会发现虚假的投资计划，从而使欺骗终止。会计师事务所对此进行了抗辩，认为会计师事务所的责任是审核财务报表，而不是设计内部控制制度。美国法庭经过一审、二审、三审，均得出不同的裁判结果，此案至今还存有不同争议。,32,思考？,1、你认为在这个案件中，企业应该负有什么责任？2、什么是内部控制制度？注册会计师审计时需不需要考虑被审单位的内部控制？3、你从这个案件中得到的启示是什么？,33,（一）内部控制的概念,内部控制的由来内部牵制内部控制的含义 内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。内部控制的目标,具体来说有助于管理层保证业务活动的有效进行；保护资产的安全和完整；防止、发现、纠正错误和舞弊；保证会计资料的真实、合法、完整。,34,1、建立内部控制是谁的责任？2、应当建立什么样的内部控制？3、在了解被审单位及其环境时应对内部控制了解的程度,（二）有关内部控制的考虑,管理当局的责任,能为会计报表公允表达提供合理保证的内部控制制度；,评价控制的设计，并确定其是否得到执行，但不包括对控制是否得到一贯执行的测试,35,注册会计师通常实施下列风险评估程序，以获取有关控制设计和执行的审计证据：（1）询问被审计单位的人员；（2）观察特定控制的运用；（3）检查文件和报告；（4）追踪交易在财务报告信息系统中的处理过程（穿行测试）。除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解并不能够代替对控制运行有效性的测试。,36,了解内控的步骤：（1）识别需要降低那些风险以预防财务报表中发生重大错报（2）记录相关的内部控制（3）评估控制的执行（4）评估内部控制的设计,37,4、内部控制完全能防止和发现错弊的产生吗？5、内部控制与审计有何关系？,与审计相关的控制，包括被审计单位为实现财务报告可靠性目标设计和实施的控制。即注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。,38,执行人员的素质和工作质量串通舞弊内部控制的设计和运行受制于成本与效益原则内部控制一般仅针对常规业务活动而设计执行人员滥用职权或屈从于外部压力经营环境和业务性质的变化,内部控制对会计报表的公允性只能提供合理保证，重大错报风险始终大于零,39,CPA执行报表审计时，都应当对内控进行充分了解CPA根据对被审单位的内控的了解，确定是否进行控制测试及控制测试的性质、时间和范围对被审单位内控的了解和测试，不能代替实质性程序,（必须执行）,（选择执行）,（必须执行）,40,（三）内部控制的框架,41,控制环境,控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。良好的控制环境是实施有效内部控制的基础在业务承接阶段，注册会计师就需要对控制环境做出初步了解和评价,42,控制环境反映了管理当局和董事会关于控制对公司的重要性的态度,43,被审计单位的风险评估过程,风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。注册会计师应当了解被审计单位的风险评估过程和结果。注册会计师应当确定管理层如何识别与财务报告相关的经营风险、如何估计该风险的重要性、如何评估风险发生的可能性，以及如何采取措施管理这些风险,44,如果被审计单位的风险评估过程符合其具体情况，了解被审计单位的风险评估过程和结果有助于注册会计师识别财务报表的重大错报风险。在审计过程中，如果识别出管理层未能识别的重大错报风险，注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险，以及评估过程是否适合于具体环境。,45,信息系统与沟通,与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。与财务报告相关的信息系统应当与业务流程相适应。,46,在了解与财务报告相关的信息系统时，注册会计师应当特别关注由于管理层凌驾于账户记录控制之上，或规避控制行为而产生的重大错报风险，并考虑被审计单位如何纠正不正确的交易处理。与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责，员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。注册会计师应当了解被审计单位内部如何对财务报告的岗位职责，以及与财务报告相关的重大事项进行沟通。,47,控制活动,控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动授权：目的是保证交易在管理层授权范围内进行。业绩评价：包括被审计单位分析评价实际业绩与预算（或预测、前期业绩）的差异，综合分析财务数据与经营数据的内在关系，将内部数据与外部信息来源相比较，评价职能部门、分支机构或项目活动的业绩，以及对发现的异常差异或关系采取必要的调查与纠正措施。,48,信息处理：被审计单位通常执行各种措施，检查各种类型信息处理环境下的交易的准确性、完整性和授权。信息处理系统可以是人工的，自动化的，或是基于自动流程的人工控制实物控制：包括了解对资产和记录采取适当的安全保护措施，对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对 实物控制的效果影响资产的安全，从而对财务报表的可靠性及审计产生影响。,49,权责分离：包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误 在了解控制活动时，注册会计师应当重点考虑一项控制活动单独或连同其他控制活动，是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。,50,不相容职责分离,交易的授权、执行、记录、保管职责由不同部门或人员完成会计的应收账款的总账与明细账、记录现金账与调节银行账户、现金支出与调节银行账户、付款凭单的批准与支票签发等应分离计算机信息系统内的程序设计、电脑操作、数据控制、系统分析应分开,51,讨论：,远大公司有三位员工必须分担以下工作：(1)记录并保管总账；(2)记录并保管应付账款明细账；(3)记录并保管应收账款明细账；(4)记录货币资金日记账；(5)记录、填写支票；(6)发出销货退回及折让的贷项通知单；(7)调节银行存款日记账与银行存款对账单；(8)保管并送存现金收入。,52,如果你是该公司的会计主管，请问应如何将这8项工作分配给三位职员，既使得工作量相当，又能达到内部控制制度的要求。,你分对了吗？,2、3,1、6、7,4、5、8,53,对控制的监督,对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。被审计单位可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价。被审计单位也可能利用与外部有关各方沟通或交流所获取的信息监督相关的控制活动。注册会计师应当了解与被审计单位监督活动相关的信息来源，以及管理层认为信息具有可靠性的依据。,54,（四）了解和评价内部控制,实务中，注册会计师应当从被审计单位整体层面和业务流程层面分别了解和评价被审计单位的内部控制。整体层面：拟采用的审计程序：询问、观察、检查和穿行测 试重点关注：内控各组成要素是否得到执行（运用 职业判断），考虑控制环境加以记录：形成审计工作记录,整体层面的内控是否有效将直接影响重要业务流程层面控制的有效性,55,在业务流程层面了解内部控制,确定重要业务流程和重要交易类别,了解重要交易流程并进行记录,确定可能发生错报的环节,识别和了解相关控制,执行穿行测试，证实对控制的了解,进行初步评价和风险评估,交易生成、记录、处理及报告的程序,检查、观察、询问、穿行测试,控制的目标就是为了防止错报的发生，或发现并纠正错报,进一步了解和评价,询问,56,57,对业务流程层面的有关控制进行进一步的了解和评价,针对易发生错报的环节，CPA应确定：被审单位是否建立了有效的控制，以防止或发现并纠正这些错报；被审单位是否遗漏了必要的控制；是否识别了可以最有效测试的控制,预防性控制,检查性控制,用于正常业务流程的每一项交易，以防止错报的发生,管理层用来监督实现流程目标的控制，以发现可能发生的错报,58,CPA应进一步判断控制是否有效（控制如何执行、由谁执行、怎样运行？）在了解控制活动时，注册会计师应当重点考虑一项控制活动单独或连同其他控制活动，是否能够以及如何防止或发现并纠正各类交易、帐户余额、列报存在的重大错报,59,对控制进行初步评价,评价结论：所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报，并得到执行控制本身的设计是合理的,但没有得到执行控制本身的设计是无效的或缺乏必要控制,上述评价结论只是初步结论，仍可能随控制测试后实施实质性程序的结果而发生变化。,60,控制设计是否合理,控制是否得到执行,是否依赖控制，并实施控制测试,控制测试,评估的重大错报风险低，实质性程序的范围减少,实质性程序,考虑重大错报风险对财务报表的影响,否,否,否,对控制的了解和评价不能代替对控制运行有效性的测试,61,对财务流程的了解,注册会计师还需要进一步了解有关信息从具体交易的业务流程过如总账、财务报表以及相关列报的流程，即财务报告流程及其控制这一流程及其控制与财务报表的列报认定直接相关步骤与重要业务流程类似,62,五、评估重大错报风险,识别、评估重大错报风险需要特别考虑的重大错报风险仅通过实质性程序无法应对的重大错报风险对风险评估的修正,63,识别和评估风险,注册会计师应当识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险。在识别和评估重大错报风险时，注册会计师应当实施下列审计程序：（一）在了解被审计单位及其环境的整个过程中识别风险,并考虑各类交易、账户余额、列报；（二）将识别的风险与认定层次可能发生错报的领域相联系；（三）考虑识别的风险是否重大；（四）考虑识别的风险导致财务报表发生重大错报的可能性。,64,财务报表层次的重大错报风险,控制环境,各认定层次的重大错报风险,注册会计师应当将所了解的控制与特定认定相联系。控制与认定直接或间接相关；关系越间接，控制对防止或发现并纠正认定错报的效果越小。,考虑对识别的各类交易、账户余额、列报认定层次的重大错报风险予以汇总和评估，以确定进一步审计程序的性质、时间和范围,65,如果通过对内部控制的了解发现下列情况，并对财务报表局部或整体的可审计性产生疑问，注册会计师应当考虑出具保留意见或无法表示意见的审计报告：（1）被审计单位会计记录的状况和可靠性存在重大问题，不能获取充分、适当的审计证据以发表无保留意见；（2）对管理层的诚信存在严重疑虑。必要时，注册会计师应当考虑解除业务约定。,考虑财务报表的可审计性,66,需要特别考虑的重大错报风险(特别风险),特别风险注册会计师应当运用职业判断，确定识别的风险哪些是需要特别考虑的重大错报风险。,在确定哪些风险是特别风险时，注册会计师应当在考虑识别出的控制对相关风险的抵消效果前，根据风险的性质、潜在错报的重要程度和发生的可能性，判断风险是否属于特别风险。,67,特别风险通常与重大的非常规交易和判断事项有关。非常规交易是指由于金额或性质异常而不经常发生的交易。判断事项通常包括作出的会计估计。,对特别风险，注册会计师应当评价相关控制的设计情况，并确定其是否已经得到执行。,68,如果管理层未能实施控制以恰当应对特别风险，注册会计师应当认为内部控制存在重大缺陷，并考虑其对风险评估的影响。并且注册会计师应当就此类事项与治理层沟通。,作为风险评估的一部分，如果认为仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平，注册会计师应当评价被审计单位针对这些风险设计的控制，并确定其执行情况。,仅通过实质性程序无法应对的重大错报风险,69,在被审计单位对日常交易采用高度自动化处理的情况下，审计证据可能仅以电子形式存在，其充分性和适当性通常取决于自动化信息系统相关控制的有效性，注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。如果认为仅通过实施实质性程序不能获取充分、适当的审计证据，注册会计师应当考虑依赖的相关控制的有效性。,70,对风险评估的修正,如果通过实施进一步审计程序获取的审计证据与初始评估获取的审计证据相矛盾，注册会计师应当修正风险评估结果，并相应修改原计划实施的进一步审计程序。评估重大错报风险与了解被审计单位及其环境一样，也是一个连续和动态的收集、更新与分析信息的过程，贯穿于整个审计过程的始终,71,思考：不论被审计单位的内部控制多么健全，注册会计师都不能过分地依赖其内部自制的书面证据，对吗?,【答】是的。因为健全的内部控制并不代表其已得到了有效的执行。同时，由于内部控制制度存在固有的局限性，即便得到了有效执行，也可能存在差错。因此，不能过分地依赖被审计单位自制的书面证据。,72,1、注册会计师应根据其对被审计单位内部控制的了解，确定()。A.是否进行控制性测试B.是否进行实质性测试C.将要执行的控制测试的性质、时间和范围D.将要执行的实质性测试的性质、时间和范围,73,2、下列关于财务报表层次重大错报风险的说法不正确的是()。A.通常与控制环境有关B.于财务报表整体存在广泛联系C.可能影响多项认定D.直接界定与某类交易、帐户余额、列报的具体认定（2007注会考题）,74,3、注册会计师在进行风险评估时，通常采用的审计程序是()。A.将财务报表与其所依据的会计记录相核对B.实施分析程序以识别异常的交易或事项，以及对财务报表和审计产生影响的金额、比率和趋势C.对应收帐款进行函证D.以人工方式或使用计算机辅助审计技术，对记录或文件中的数据计算准确性进行核对（2007注会考题）,75,4、在了解控制环境时，注册会计师应当关注的内容有()。A.公司治理层相对于管理层的独立性B.公司管理层的理念和经营风格C.公司员工整体的道德价值观D.公司对控制的监督（2007注会考题）,76,本章小结,77,本章复习思考题,1、何为风险评估程序？具体包括哪些内容？2、何为内部控制制度？其包括哪些内容？3、如何对内控进行初步评价？,