[内部审计]风险评估(ppt 220页)

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第七章 风 险 评 估,1,第七章 风 险 评 估,教学目的与要求,：,通过学习本章，掌握风险导向审计的基本理念，了解审计的实施要以评估风险为切入点，将对审计风险的识别、评估和应对贯穿于整个审计过程，将审计风险降低至可接受的水平，为经审计的财务报表不存在重大错报提供合理保证。,教学重点,：,理解并掌握现代审计的一项重要程序即风险评估,。,教学难点,：,风险评估程序，了解被审计单位的风险评估过程，识别和评估重大错报风险，重大错报风险的两个层次。,教学方法,：,运用案例及启发式教学,。,本章计划课时,：,3,课时,。,2,第一节 风险评估概述,风险导向审计的基本理念，就是审计的实施要以评估风险为切入点，将对审计风险的识别、评估和应对贯穿于整个审计过程，将审计风险降低至可接受的水平，为经审计的财务报表不存在重大错报提供合理保证。,因此，风险评估是现代审计的一项重要程序。,3,一、风险评估的总体要求,风险评估是指以了解被审计单位及其环境为内容，以识别和评估财务报表重大错报风险为目的，在设计和实施进一步审计程序之前实施的程序。,4,中国注册会汁师审计准则第1211号了解被审计单位及其环境并评估重大错报风险作为专门规范风险评估的准则，规定注册会计师应当了解被审计单位及其环境，以充分识别和评估财务报表重大错报风险，设计和实施进一步审计程序。,5,风险评估的总体要求 ：,1、要求审计人员加强对审计单位及其环境的了解。,2、要求审计人员在审计的所有阶段都要实施风险评估程序。,3、要求审计人员将识别和评估的风险与实施的审计程序挂钩。,6,4、要求审计人员针对重大的各类交易、账户余额和列报实施实质性程序。,5、要求审计人员将识别、评估和应对风险的关键程序形成审计工作记录，以保证执业质量，明确执业责任。,7,了解被审计单位及其环境是必要程序，特别是为审计人,员在下列关键环节做出职业判断提供重要基础：,（,1,）确定重要性水平，并随着审计工作的进程评估对,重要性水平的判断是否仍然适当；,（,2,）考虑会计政策的选择和运用是否恰当，以及财务,报表的列报是否适当；,（,3,）识别需要特别考虑的领域，包括关联方交易、管,理层运用持续经营假设的合理性，或交易是否具有合理,的商业目的等；,（,4,）确定在实施分析程序时所使用的预期值；,（,5,）设计和实施进一步审计程序，以将审计风险降至,可接受的低水平；,（,6,）评价所获取审计证据的充分性和适当性。,8,了解被审计单位及其环境是一个连续和动态地收集、更新与分析信息的过程，贯穿于整个审计过程的始终。审计人员应当运用职业判断确定需要了解被审计单位及其环境的程度，只有这样，才有可能作出恰当的职业判断。,9,审计人员应当将识别的风险与认定层次可能发生的错报的领域相联系，实施更为严格的风险评估程序，不得未经过风险评估，直接将风险设定为高水平。,10,在设计和实施进一步审计程序时，审计人员应当将审计程序的性质、时间和范围与识别、评估的风险相联系，以防止机械利用程序表从形式上迎合审计准则对程序的要求。,11,审计人员对重大错报风险的评估是一种判断，被审计单位内部控制存在固有限制，无论评估的重大错报风险结果如何，审计人员都应当针对重大的各类交易、账户余额和列报实施实质性程序。不得将实质性程序只集中在例外事项上。,12,二、风险评估程序和信息来源,审计人员为了了解被审计单位及其环境应当实施的风险评估程序主要包括询问被审计单位管理层和内部其他相关人员、分析程序、观察和检查、其他审计程序。,13,(,一,),询问被审计单位管理层和内部其他相关人员,询问被审计单位管理层和内部其他相关人员是审计人员了解被审计单位及其环境的一个重要的程序和重要信息来源。,14,审计人员可以考虑向管理层和财务负责人,询问下列事项：,(1),管理层所关注的主要问题。如新的竞争对,手、主要客户和供应商的流失、新的税收法,规的实施以及经营目标或战略的变化等。,15,(2),被审计单位的财务状况和最近的经营成果,及现金流量。,(3),可能影响财务报告的交易和事项，或者目,前发生的重大会计处理问题，如重大的购并,事宜等。,(4),被审计单位发生的其他重要变化，如所有,权结构、组织结构的变化，以及内部控制的,变化等。,16,为了更好地识别和评估风险，审计人员还应当考虑询问内部审计人员、采购人员、生产人员、销售人员等其他人员，并考虑询问不同层次的员工，以便从不同的视角获取对识别重大错报风险有用的信息。,17,询问治理层有助于审计人员了解财务报表编制的环境；,询问内部审计人员有助于审计人员了解被审计单位内部审计针对内部控制设计和运行的有效性所实施的工作，也可以了解管理层对内部审计发现的问题是否采取了适当的行动；,18,询问参与生成、处理或记录复杂或异常交易的员工有助于审计人员评估被审计单位选择和运用某项会计政策的适当性；,询问内部法律顾问有助于审计人员了解有关诉讼、法律法规的遵循情况，影响被审计单位的舞弊或涉嫌舞弊、产品保证和售后责任，与业务合作伙伴的安排(如合营企业)以及合同条款的含义；,19,询问营销或销售人员有助于审计人员了解被审计单位的营销策略及其变化、销售趋势或与其客户的合同安排；,询问采购人员和生产人员有助于审计人员了解被审计单位的原材料采购和产品生产等情况；,询问仓库管理人员有助于审计人员了解原材料、产成品等存货的进出、保管和盘点等情况。,20,(,二,),实施分析程序,分析程序是指审计人员通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系，对财务信息做出评价。,分析程序还包括调查识别出的、与其他相关信息不一致或与预期数据严重偏离的波动和关系。,21,分析程序既可用作风险评估程序和实质性程序，也可用于对财务报表的总体复核。,审计人员实施分析程序有助于识别异常的交易或事项，以及对财务报表和审计产生影响的金额、比率和趋势。,22,在实施分析程序时，审计人员应当预期可能存在的合理关系，并与被审计单位记录的金额、依据记录金额计算的比率或趋势相比较；如果发现异常或未预期到的关系，审计人员应当在识别重大错报风险时考虑这些比较结果。,23,例如,：,毛利率是销售毛利对销售收入的比率，它体现了销售收入与销售成本之间的内在联系。,如果本期的生产及销售情况没有重要变化，那么本期的毛利率与上期的毛利率也应大体相等。,如果由于原材料价格上升导致产品成本大幅提高而毛利率却没有变化。说明销售成本的列报可能存在重大错报风险，应实施进一步程序加以核实。,24,另外，如果使用了高度汇总的数据，实施分析程序的结果仅可能初步显示财务报表存在重大错报风险，审计人员应当将分析结果连同识别重大错报风险时获取的其他信息一并考虑。,25,(,三,),观察和检查,观察和检查程序可以印证对管理层和其他相关人员的询问结果，并可提供有关被审计单位及其环境的信息。,26,审计人员可实施的观察和检查程序包括五个方面：,（,1,）观察被审计单位的生产经营活动,（,2,）检查有关书面文件和记录,（,3,）阅读由管理层和治理层编制的报告,（,4,）实地察看被审计单位的生产经营场所和,设备,（,5,）追踪交易在财务报告信息系统中的处理,过程,(,穿行测试,),。,27,穿行测试,这是审计人员了解被审计单位业务流程及其相关控制时经常使用的审计程序。,通过追踪某笔或某几笔交易在业务流程中如何生成、记录、处理和报告，以及相关控制如何执行，审计人员可以确定被审计单位的交易流程和相关控制是否与之前通过其他程序所获得的了解一致，并确定相关控制是否得到执行。,28,（四）其他审计程序和信息来源,例如，询问被审计单位聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等；阅读外部的信息，如证券分析师、银行、评级机构出具的有关被审计单位及其所处行业的经济或市场环境等状况的报告，贸易与经济方面的期刊杂志、法规或金融出版物，以及政府部门或民间组织发布的行业报告和统计数据等。,29,审计人员一般从行业状况、法律环境等外部因素、被审计单位的性质等六个方面了解被审计单位及其环境，审计人员无需在了解每个方面时都实施以上所有的风险评估程序。,但在对被审计单位及其环境获取了解的整个过程中，审计人员通常会综合实施上述风险评估程序。,30,三、项目组内部的讨论,为了有效地实施风险评估程序，准确识别和评估重大错报风险，审计业务项目组成员应就财务报表存在重大错报风险的可能性进行讨论。,31,讨论的内容包括被审计单位面临的经营风险、财务报表易发生错报的领域和发生错报的方式，尤其要关注由于舞弊导致重大错报风险的可能性。,32,参与讨论的人员包括项目组的关键成员。如果项目组需要拥有信息技术或其他特殊技能的专家，这些专家也应参加讨论。,讨论的方式可视具体情况而定，在整个审计过程中项目组成员要持续交换有关财务报表发生重大错报可能性的信息。,33,第二节 了解被审单位及其环境,从六个方面了解：,(1),行业状况、法律环境与监管环境以及其他,外部因素；,(2),被审计单位的性质；,(3),被审计单位对会计政策的选择和运用；,(4),被审计单位的目标战略以及相关经营风,险；,(5),被审计单位财务业绩的衡量和评价；,(6),被审计单位的内部控制。,34,审计人员被审计单位及其环境的各个方面可能会互相影响。,在对被审计单位及其环境的各个方面进行了解和评估时，应当考虑各因素之间的相互关系。,35,一、行业状况、法律环境与监管环境以及其他外部因素,(,一,),了解的具体内容,1,、行业状况,2,、法律环境及监管环境,3,、其他外部因素,4,、了解的重点和程度,36,了解行业状况有助于审计人员识别与被审,计单位所处行业有关的重大错报风险。,审计人员应当了解的行业状况主要包括：,(1),所处行业的市场供求与竞争；,(2),生产经营的季节性和周期性；,(3),产品生产技术的变化：,(4),能源供应与成本；,(5),行业的关键指标和统计数据。,37,了解的主要内容包括：,(1),适用的会计准则、会计制度和行业特定惯例；,(2),对经营活动产生重大影响的法律法规及监管活,动；,(3),对开展业务产生重大影响的政府政策，包括货,币、财政、税收和贸易等政策；,(4),与被审计单位所处行业和所从事经营活动相关,的环保要求。,38,这些因素主要包括：,(1),宏观经济的景气度；,(2),利率和资金供求状况；,(3),通货膨胀水平及币值变动；,(4),国际经济环境和汇率变动。,39,审计人员应当考虑被审计单位所处行业的能导致特定的重大错报风险，考虑项目组是否配备了具有相关知识和经验的成员。,40,(,二,),实施的风险评估程序,了解被审计单位的行业状况、法律环境与监管环境以及其他外部因素，审计人员可以运用以下风险评估程序：,1,、查阅以前年度的审计工作底稿,2,、询问被审计单位管理层和员工,3,、查阅内部与外部的信息资料,4,、与项目组成员或熟悉被审计单位所处行,业的其他人员讨论,5,、分析程序,41,对于连续审计业务，以前年度的工作底稿，包括审计计划备忘录、审计总结备忘录等，有助于审计人员了解与特定经营活动和行业相关的一些因素。审计人员应根据本年度发生的变化，在适当时对其予以更新并用于本年度的审计工作中。,42,通过询问被审计单位管理层其权责范围内涉及的重要外部因素及其对被审计单位产生的影响，审计人员可以对管理层作出的重大决策及采取的行动有进一步的了解。,通过询问负责市场和销售的人员所处行业的市场供求和竞争情况，可以增强或更新审计人员对被审计单位所处环境的了解。,对于连续审计业务，审计人员询问的重点通常是以前年度了解到的情况是否在本期发生了变化。,审计人员对最新动态的关注应当贯穿于整个审计过程中。,43,内部信息资料主要包括中期财务报告(包括管理层的讨论和分析)、管理报告、其他特殊目的报告以及股东大会、董事会会议、高级管理层会议的会议记录或纪要。,外部信息资料包括外部顾问、代理机构、证券分析师等编制的关于被审计单位及其所处行业的报告，政府部门或民间行业组织发布的行业报告、宏观经济统计数据、行业统计数据以及贸易和商业杂志等信息资料。,44,与项目组成员特别是经验较多的人员进行讨论，有助于审计人员获知和利用他人积累的有关被审计单位经营活动以及行业状况的经验与知识。与会计师事务所内熟悉被审计单位所处行业的其他人员讨论，也有助于审计人员深入、快捷地了解当前行业面临的外部因素与重大事项及其对被审计单位的影响。,45,分析程序是审计人员在了解被审计单位及其环境时运用的重要程序之一。,在许多情况下，运用分析程序可以帮助审计人员评价被审计单位在行业中的经营状况和竞争环境。,46,例如,：,(1),将被审计单位的关键业绩指标与同,行业平均数据或同行业中规模相近的其,他单位的数据相比较，可以了解被审计,单位在市场中的相对表现，并识别存在,重大错报风险的迹象；,47,(2),利用从外部获取的市场份额变化趋势信,息，可以识别被审计单位竞争能力的重大变,化；,(3),按业务分部或地区分部分类计算的销售和,毛利变动趋势可以揭示经营业绩随时间推移,而发生的变化，将这一业绩与以前年度比,较，可以获得对经营业绩趋势的了解。,48,综合题,X,公司系公开发行上市公司,主要经营计算机硬件的开发,.,集成与销售,cpa,于,2003,年初对,X,公司,2002,年度会计报表进行审计，初步了解该公司,2002,年度的经营形势,.,管理及经营机构与,2001,年度比较未发生重大变化，且未发生重大重组行为。其他相关资料如下：,如资料：,x,公司,01,02,年度巳审未审利润表如下,49,50,资料,x,公司,02,年度,1-12,月份未审主营业务收入、成本列示如下：,月份,主营业务收入,主营业务成本,1,7800,7566,2,7600,6764,3,7400,6512,4,7700,6768,5,7800,6981,6,7850,6947,7,7950,7115,8,7700,6830,9,7600,6832,10,7900,7111,11,8100,7280,12,18900,15139,合计,104300,91845,51,要求：,1.为确定重点审计领域，cpa拟实施分析程序。请对资料一进行分析后，指出利润表中的重点审计领域，并简要说明理由：,对资料二进行分析后，指出主营业务收入和主营业务成本的重点审计领域，并简要说明理由。,52,参答,：,对资料一进行分析程序后，确定主营业务收入、主营业务成本、营业费用、管理费用、财务费用、补贴收入、所得税确认为重点审计领域。原因为：从横向分析看，主营业务收入、主营业务成本、营业费用的增长率分别为,77.1%,、,71.4%,、,73.9%,、增长变动大，应确认为重点审计领域。在收入、成本、利润都增长时，,02,年度的管理费用比,01,年降低了,27%,，应确认为重点审计领域。,980,万补贴收入、,800,万所得税都是,02,年新增加的核算内容，应确认为重点审计领域。,对资料二进行分析程序后，确定,1,月份、,12,月份的主营业务收入、主营业务成本为重点审计领域。因为全年平均毛利率为,11.94%,，,1,月份仅,3%,、,12,月份为,19.9%,，且,12,月份收入占全年比重达,18.12%,53,二、被审计单位的性质,了解被审计单位的性质有助于审计人员理,解预期在财务报表中反映的各类交易、账户,余额和列报。,54,（一）主要从六个方面了解被审计单位的性质：,(1),所有权结构；,(2),治理结构；,(3),组织结构；,(4),经营活动；,(5),投资活动；,(6),筹资活动。,55,审计人员应当了解所有权结构以及所有者与其他人员或单位之间的关系，考虑关联方关系是否已经得到识别，以及关联方交易是否得到恰当核算。,56,良好的治理结构可以对被审计单位的经营和财务运作实施有效的监督，从而降低财务报表发生重大错报的风险。审计人员应当了解被审计单位的治理结构，考虑治理层是否能够在独立于管理层的情况下对被审计单位事务(包括财务报告)作出客观判断。,57,审计人员应当了解被审计单位的组织结构，考虑复杂组织结构可能导致的重大错报风险，包括财务报表合并、商誉摊销和减值、长期股权投资核算以及特殊目的实体核算等问题。,58,了解被审计单位经营活动有助于审计人员识别预期将在财务报表中反映的主要交易类别、重要账户余额和列报。,审计人员应当从以下方面了解被审计单位的经营活动：,(1),主营业务的性质；,(2),与生产产品或提供劳务相关的市场信息；,(3),业务的开展情况；,(4),联盟、合营与外包情况；,59,(5),从事电子商务的情况；,(6),地区与行业分布；,(7),生产设施、仓库的地理位置及办公地点；,(8),关键客户；,(9),重要供应商；,(10),劳动用工情况；,(11),研究与开发活动及其支出；,(12),关联方交易。,60,了解被审计单位投资活动有助于审计人员关注被审计单位在经营策略和方向上的重大变化。,审计人员应当了解的被审计单位的投资活动主要包括：,(1),近期拟实施或已实施的并购活动与资产处置情况；,(2),证券投资、委托贷款的发生与处置；,(3),资本性投资活动。包括固定资产和无形资产投,资，近期发生或计划发生的变动，以及重大的资本,承诺等；,(4),不纳入合并范围的投资。,61,了解被审计单位筹资活动有助于审计人员评估被审计单位在融资方面的压力，并进一步考虑被审计单位在可预见未来的持续经营能力。,审计人员应当了解被审计单位的筹资活动，主要包括：,(1),债务结构和相关条款，,(2),固定资产的融资租赁；,(3),关联方融资；,(4),实际受益股东；,(5),衍生金融工具的运用。,62,(,二,),实施的风险评估程序,1,、询问被审计单位管理层和内部其他相关,人员,审计人员可以就被审计单位性质询问管理,层、治理层及被审计单位担任不同职责的人,员，以全面了解被审计单位的情况。,63,2,、查阅文件和报告,审计人员可以查阅被审计单位的组织结构图、,关联方清单、公司章程、对外签订的主要销,售、采购、投资、债务合同，以及被审计单位,内部的管理报告、财务报告、生产经营情况分,析、会议记录或纪要等，了解被审计单位的性,质。,64,3,、实地察看被审计单位的主要生产经,营场所,实地察看被审计单位的主要生产经营场所能增强,审计人员对被审计单位性质的了解。实地察看主要,经营场所对于了解新承接的审计项目、收购了新业,务的被审计单位和跨地区经营的被审计单位尤其重,要。通过实地察看被审计单位的厂房和办公场所，,可以使审计人员对被审计单位的布局、生产流程以,及固定资产和存货的状况获得一定的了解。,65,4,、分析程序,审计人员可以通过分析程序对财务数据之,间以及财务数据与非财务数据之间的内在关,系进行研究和评价，例如，将被审计单位的,财务信息与以前期间的可比数据、被审计单,位的预算或审计人员的预期数据进行比较，,对重要财务比率进行分析，以了解被审计单,位在经营活动、投资活动、筹资活动等各方,面的情况及其重大变化。,66,三、被审计单位对会计政策的选择和运用,审计人员应当了解被审计单位对会计政策的选择和运用是否符合适用的会计准则和相关会计制度，是否符合被审计单位的具体情况。,67,(,一,),了解的具体内容,在了解被审计单位对会计政策的选择和运用是否适,当时，审计人员应当关注下列事项：,（,1,）重要项目的会计政策和行业惯例；,（,2,）重大和异常交易的会计处理方法；,（,3,）在新领域和缺乏权威性标准或共识的领域，采,用重要会计政策产生的影响；,（,4,）会计政策的变更；,（,5,）被审计单位何时采用以及如何采用新颁布的,会计准则和相关会计制度。,68,如果被审计单位变更了重要的会计政策，审计人员应当考虑会计政策变更的原因及其适当性，确定：,(1),会计政策的变更是否符合法律、行政法规或者适用的会计准则和相关会计制度的规定；,(2),会计政策的变更能否提供更可靠、更相关的会计信息；,(3),会计政策的变更是否得到了恰当的披露。,69,此外，审计人员还应当考虑被审计单位是否按照适用的会计准则和相关会计制度的规定恰当地进行了列报，并披露了重要事项。,70,(,二,),实施的风险评估程序,审计人员实施的风险评估程序包括：查阅以前年度的审计工作底稿、询问被审计单位管理层和员工、查阅被审计单位的财务资料和内部报告(如会计手册和操作指引)等。,审计人员还可结合对被审计单位及其环境等其他方面的了解，考虑被审计单位选用的会计政策是否符合其具体情况。,71,审计人员应当重点关注被审计单位本期会计政策的选择和运用与前期相比发生的重大变化，包括对本期新发生的交易或事项选用的会计政策，对前期不重大而本期重大的交易或事项选用的会计政策，重要会计政策的变更以及新会计准则发布施行的影响等。,72,四、被审计单位的目标、战略以及相关经营风险,(1),行业发展，及其可能导致的被审计单位,不具备足以应对行业变化的人力资源和业务,专长等风险；,(2),开发新产品或提供新服务，及其可能导,致的被审计单位产品责任增加等风险；,(3),业务扩张，及其可能导致的被审计单位,对市场需求的估计不准确等风险；,73,(4),新颁布的会计法规，及其可能导致的被审计单,位执行法规不当或不完整，或会计处理成本增加等,风险；,(5),监管要求，及其可能导致的被审计单位法律责,任增加等风险；,(6),本期及未来的融资条件，及其可能导致的被审,计单位由于无法满足融资条件而失去融资机会等风,险；,(7),信息技术的运用，及其可能导致的被审计单位,信息系统与业务流程难以融合等风险。,74,多数经营风险最终都会产生财务后,果，从而影响财务报表。审计人员,应当根据被审计单位的具体情况考,虑经营风险是否可能导致财务报表,发生重大错报。,75,(,二,),实施的风险评估程序,管理层通常制定识别和应对经营风险的策,略。审计人员应当了解被审计单位的风险评,估过程。审计人员可通过与管理层沟通、询,问被审计单位不同管理层成员以及查阅经营,规划相关文件等实施风险评估程序。,76,(,三,),对小型被审计单位的考虑,小型被审计单位通常没有正式的计划和程序来确定其目标、战略并管理经营风险。审计人员应当询问管理层或观察小型被审计单位如何应对这些事项，以获取了解，并评估重大错报风险。,77,五、被审计单位财务业绩的衡量与评价,被审计单位管理层经常会衡量和评价关键,业绩指标,(,包括财务和非财务的,),、预算及差异,分析、分部信息和分支机构、部门或其他层,次的业绩报告以及与竞争对手的业绩比较。,此外，外部机构也会衡量和评价被审计单,位的财务业绩，如分析师的报告和信用评级,机构的报告。,78,(,一,),了解的主要内容,(1),关键业绩指标；,(2),业绩趋势；,(3),预测、预算和差异分析；,(4),管理层和员工业绩考核与激励性报酬政,策；,(5),分部信息与不同层次部门的业绩报告；,(6),与竞争对手的业绩比较；,(7),外部机构提出的报告。,79,(,二,),实施的风险评估程序,审计人员通常通过询问被审计单位管理层，查阅,被审计单位的内部报告和外部报告以及实施分析程,序，获得对被审计单位财务业绩的衡量和评价的了,解。,审计人员还可以从管理层那里了解哪些业绩指标是,其他关键利益方关注的重点，以及管理层的内部业,绩衡量标准如何受这些外部因素的影响。审计人员,应当考虑管理层的业绩指标是否与关键利益拥有者,的预期相一致，并考虑不一致的情况或管理层应对,外部压力的结果，及其对重大错报风险的影响。,80,(,三,),对小型被审计单位的考虑,小型被审计单位通常没有正式的财务业绩,衡量和评价程序，管理层往往依据某些关键,指标，作为评价财务业绩和采取适当行动的,基础，审计人员应当了解管理层使用的关键,指标。,81,第三节 了解被审单位的内部控制,审计人员应当了解与审计相关的内部控制以识别潜在错报的类型，考虑导致重大错报风险的因素，以及设计和实施进一步审计程序的性质、时间和范围。,82,一、内部控制的基本理论,(,一,),内部控制的概念及要素,1,、内部控制的概念,内部控制是被审计单位为了合理保证财务报,告的可靠性、经营的效率和效果以及对法律法,规的遵守，由治理层、管理层和其他人员设计,和执行的政策和程序。,83,（,1,）内部控制的目标是合理保证：,财务报告的可靠性，这一目标与管理层履行财务报告编制责任密切相关；,经营的效率和效果，即经济有效地使用企业资源，以最优方式实现企业的目标；,在所有经营活动中遵守法律法规的要求，即在法律法规的框架下从事经营活动。,（,2,）设计和实施内部控制的责任主体是治理层、管,理层和其他人员，组织中的每一个人都对内部控制,负有责任。,84,2,、内部控制的要素,内部控制主要包括控制环境、风险评估过程、信息系统与沟通、控制活动、对控制的监督五个要素。,85,（二）与审计相关的控制,内部控制的目标既包括财务报告的可靠,性，也包括经营的效率和效果以及对法律法,规的遵守，,但审计人员审计的目标是对财务,报表是否存在重大错报发表审计意见,，所,以，审计人员考虑的并非是被审计单位整体,的内部控制，而,只是与财务报表审计相关的,内部控制，即与审计相关的控制。,86,与审计相关的控制，包括被审计单位为实现财务报告可靠性目标设计和实施的控制。,审计人员应当运用职业判断，考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序有关。,87,在运用职业判断时，审计人员应当考虑下列因素,：,(1),审计人员确定的重要性水平；,(2),被审计单位的性质；,(3),被审计单位的规模；,(4),被审计单位经营的多样性和复杂性；,(5),法律法规和监管要求；,(6),作为内部控制组成部分的系统的性质和复,杂性。,88,如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息，审计人员还应当考虑用以保证该信息完整性和准确性的控制可能与审计相关；,如果用以保证经营效率、效果的控制以及对法律法规遵守的控制与实施审计程序时评价或使用的数据相关，审计人员也应当考虑这些控制可能与审计相关；,89,另外，用以保护资产的内部控制可能包括与实现财务报告可靠性和经营效率、效果目标相关的控制，审计人员在了解保护资产的内部控制各项要素时，可仅考虑其中与财务报告可靠性目标相关的控制。,90,(,三,),对内部控制了解的深度,内部控制了解的深度，是指在了解被审计单位及其环境时对内部控制了解的程度，包括评价控制的设计，并确定其是否得到执行。,但不包括对控制是否得到一贯执行的测试。,91,1,、评价控制的设计,审计人员在了解内部控制时，应当评价控制的设计，并确定其是否得到执行。,设计不当的控制可能表明内部控制存在重大缺陷。,审计人员在确定是否考虑控制得到执行时，应当首先考虑控制的设计。,92,评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。,控制得到执行是指某项控制存在且被审计单位正在使用。,93,2,、获取控制设计和执行的审计证据,(1),询问被审计单位的人员；,(2),观察特定控制的运用；,(3),检查文件和报告；,(4),追踪交易在财务报告信息系统中的处理过程,(,穿行测试,),。,94,其中，询问本身并不足以评价控制的设计以及确定其是否得到执行，审计人员应当将询问与其他风险评估程序结合使用。,95,3,、了解内部控制与测试控制运行有效性的关系,除非存在某些可以使控制得到一贯运行的自动化控制，审计人员对控制的了解并不能够代替对控制运行有效性的测试。,信息技术可以使被审计单位持续一贯地对大量数据进行处理，提高了被审计单位监督控制活动运行情况的能力，信息技术还可以通过对应用软件、数据库、操作系统设置安全控制来实现有效的职责划分。由于信息技术处理流程的内在一贯性，实施审计程序确定某项自动控制是否得到执行，也可能实现对控制运行有效性测试的目标。,96,(,四,),内部控制的人工和自动化成分,内部控制可能既包括人工成分又包括自动化成分，在风险评估以及设计和实施进一步审计程序时，审计人员应当考虑内部控制的人工和自动化特征及其影响。,97,1,、内部控制的人工成分的优势和风险因素,内部控制的人工成分在处理下列需要主观,判断或酌情处理的情形时可能更为适当：,(1),存在大额、异常或偶发的交易；,(2),存在难以定义、防范或预见的错误；,(3),为应对情况的变化，需要对现有的自动,化控制进行调整；,(4),监督自动化控制的有效性。,98,由于人工控制由人执行，受人为因素的影响较大，所以，也产生了特定风险。,(1),人工控制可能更容易被规避、忽视或凌,驾；,(2),人工控制可能不具有一贯性；,(3),人工控制可能更容易产生筒单错误或失,误。,99,相对于自动化控制，人工控制的可靠性较,差，审计人员应当考虑人工控制在下列情形,中可能是不适当的：,(1),存在大量或重复发生的交易；,(2),事先可预见的错误能够通过自动化控制,得以防范或发现；,(3),控制活动可得到适当设计和自动化处理,100,2,、内部控制的自动化成分的优势和风险因素,信息技术通常在下列方面提高被审计单位内部控,制的效率和效果：,(1),在处理大量的交易或数据时，一贯运用事先确,定的业务规则；,(2),提高信息的及时性、可获得性及准确性；,(3),有助于对信息的深入分析；,(4),加强对被审计单位政策和程序执行情况的监,督；,(5),降低控制被规避的风险；,(6),通过对操作系统、应用程序系统和数据库系统,实施安全控制，提高不相容职务分离的有效性。,101,信息技术也可能对内部控制产生特定风险：,(1),系统或程序未能正确处理数据，或处理,了不正确的数据，或两种情况同时并存；,(2),在未得到授权情况下访问数据，可能导,致数据的毁损或对数据不恰当的修改，包括,记录未经授权或不存在的交易，或不正确地,记录了交易；,(3),信息技术人员可能获得超越其履行职责,以外的数据访问权限，破坏了系统应有的职,责分工；,102,(4),未经授权改变主文档的数据；,(5),未经授权改变系统或程序；,(6),未能对系统或程序作出必要的修改；,(7),不恰当的人为干预；,(8),数据丢失的风险或不能访问所需要的数,据。,103,内部控制风险的程度和性质受被审计单位信息系统的性质和特征的影响，因此，在了解内部控制时，审计人员应当考虑被审计单位是否通过建立有效的控制，以恰当应对由于使用信息技术系统或人工系统而产生的风险。,104,（五）内部控制的局限性,1,、 内部控制的固有局限性,内部控制存在固有局限性，无论如何设计,和执行，只能对财务报告的可靠性提供合理,的保证。,105,内部控制存在的固有局限性包括：,（,1,）,在决策时人为判断可能出现错误和由于,人为失误而导致内部控制失效。,（,2,）,可能由于两个或更多的人员进行串通,或管理层凌驾于内部控制之上而被规避,。,106,例如，被审计单位信息技术工作人员没有完全理解系统如何处理销售交易，为使系统能够处理新型产品的销售，可能错误地对系统进行更改；或者对系统的更改是正确的，但是程序员没能把此次更改转化为正确的程序代码。,107,例如，管理层可能与客户签订背后协议，对标准的销售合同做出变动，从而导致收入确认发生错误。,再如，软件中的编辑控制旨在发现和报告超过赊销信用额度的交易，但这一控制可能被逾越或规避。,108,此外，如果被审计单位内部行使控制职能的人员素质不适应岗位要求，也会影响内部控制功能的正常发挥。,被审计单位实施内部控制的成本效益问题也会影响其效能，当实施某项控制成本大于控制效果而发生损失时，就没有必要设置控制环节或控制措施。,109,2,、 对小型被审计单位的考虑,小型被审计单位拥有的员工通常较少，限,制了其职责分离的程度。业主凌驾于内部控,制之上的可能性较大。审计人员应当考虑一,些关键领域是否存在有效的内部控制。,110,二、了解控制环境,（一）控制环境的概念,控制环境包括治理职能和管理职能，以及,治理层和管理层对内部控制及其重要性的态,度、认识和措施。,控制环境设定了被审计单位的内部控制基,调，影响员工对内部控制的认识和态度。良,好的控制环境是实施有效内部控制的基础。,111,在评价控制环境的设计和实施情况时，审计人员应当了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化，以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。,112,（二）了解的具体内容,1,、,对诚信和道德价值观念的沟通与落实,2,、,对胜任能力的重视,3,、,治理层的参与程度,4,、,管理层的理念和经营风格,5,、,组织结构与职权和责任的分配,6,、,人力资源政策与实务,113,了解和评估被审计单位诚信和道德价值观念的沟通与落实时，主要考虑：,(1),被审计单位是否有书面的行为规范并向所,有员工传达；,(2),被审计单位的企业文化是否强调诚信和道,德价值观念的重要性，如果违反，是否会受到,惩罚；,(3),管理层是否身体力行，高级管理人员是否,起表率作用；,(4),对违反有关政策和行为规范的情况，管理,层是否采取适当的行动。,114,胜任能力是指具备完成某一职位的工作所应有的知识和能力。管理层对胜任能力的重视包括对于特定工作所需的胜任能力水平的设定，以及对达到该水平所必需的知识和能力的要求。,115,对胜任能力的重视情况进行了解和评估时，主要考虑：,(1),财会人员以及信息管理人员是否具备与被,审计单位业务性质和复杂程度相称的足够的,胜任能力和培训，在发生错误时，是否通过,调整人员或系统来加以处理：,(2),管理层是否配备了足够的财会人员以适应,业务发展和有关方面的需要；,(3),财会人员是否具备理解和运用会计准则所,需的技能。,116,治理层对控制环境影响的要素有：治理层相对于管理层的独立性、成员的经验和品德、对被审计单位业务活动的参与程度、治理层行为的适当性、治理层所获得的信息、管理层对治理层所提出问题的追踪程度，以及治理层与内部审计人员和外部审计人员的联系程度等。,117,对被审计单位治理层的参与程度进行了解和评估时，主要考虑：,(1),董事会是否建立了审计委员会或类似机构；,(2),董事会、审计委员会或类似机构是否与内部审,计人员以及外部审计人员有联系和沟通，联系和沟,通的性质以及频率是否与被审计单位的规模和业务,复杂程度相匹配；,(3),董事会、审计委员会或类似机构的成员是否具,备适当的经验和资历；,(4),董事会、审计委员会或类似机构是否独立于管,理层；,118,(5),审计委员会或类似机构会议的数量和时间是否,与被审计单位的规模和业务复杂程度相匹配；,(6),董事会、审计委员会或类似机构是否充分地参,与了财务报告的过程；,(7),董事会、审计委员会或类似机构是否对经营风,险的监控有足够的关注，进而影响被审计单位和管,理层的风险评估进程,(,包括舞弊风险,),；,(8),董事会成员是否有很高的流动性。,119,管理层的理念包括管理层对内部控制的理念，即管理层对内部控制以及对具体控制实施环境的重视程度。管理层对内部控制的重视，有助于控制的有效执行，并减少特定控制被忽视或规避的可能性。,管理层的经营风格是指管理层所能接受的业务风险的性质。,120,了解和评估被审计单位管理层的理念和经营风格时，主要考虑：,(1),管理层是否对内部控制，包括信息技术,的控制，给予了适当的关注；,(2),管理层是否由一个或几个人所控制，而,董事会、审计委员会或类似机构对其是否实,施有效监督；,(3),管理层在承担和监控经营风险方面是风,险偏好者还是风险规避者；,121,(4),管理层在选择会计政策和作出会计估计,时是倾向于激进还是保守；,(5),管理层对于信息流程以及会计职能部门,和人员是否给予了适当关注；,(6),对于重大的内部控制和会计事项，管理,层是否征询审计人员的意见，或者经常在这,些方面与审计人员存在不同意见。,122,被审计单位的组织结构为计划、运作、控,制及监督经营活动提供了一个整体框架。通,过集权或分权决策，可在不同部门间进行适,当的职责划分，建立适当层次的报告体系。,组织结构将影响权利、责任和工作任务在,组织成员中的分配。被审计单位的组织结构,在一定程度上取决于被审计单位的规模和经,营活动的性质。,123,在对被审计单位组织结构和职权与责任的分配进行了解和评估时，主要考虑：,(1),在被审计单位内部是否有明确的职责划,分，是否将业务授权、业务记录、资产保管,和维护，以及业务执行的责任尽可能地分,离；,(2),是否有适当的结构来划分数据的所有权；,(3),是否已针对授权交易建立适当的政策和程,序。,124,人力资源政策与实务涉及招聘、培训、考核、晋升和薪酬等方面。政策与程序(包括内部控制)的有效性通常取决于执行人。,125,在对被审计单位人力资源政策与实务进行了解和评估时，主要考虑：,(1),被审计单位是否在招聘、培训、考核、晋升、,薪酬、调动和辞退员工方面都有适当的政策和程序,(,特别是在会计、财务和信息系统方面,),；,(2),是否有书面的员工岗位职责手册，或者在没有,书面文件的情况下，对于工作职责和期望是否作了,适当的沟通和交流；,126,(3),人力资源政策与程序是否清晰，并且定期发布和更新；,(4),是否设定了适当的程序对分散在各地区和海外的经营人员建立和沟通人力资源政策与程序。,127,（三）对控制环境的评估的考虑,在评价控制环境各个要素时，审计人员应当考虑控制环境各个要素是否得到执行。,在确定构成控制环境的要素是否得到执行时，审计人员应当考虑将询问与观察和检查等风险评估程序结合运用以获取审计证据。,通过询问管理层和员工，审计人员可能了解管理层如何就业务规程和道德价值观念与员工进行沟通；通过观察和检查，可能了解管理层是否建立了正式的行为守则，在日常工作中行为守则是否得到遵守，以及管理层如何处理违反行为守则的情形。,128,控制环境对重大错报风险的评估具有广泛影响，审计人员应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的基础，并且未被控制环境中存在的缺陷所削弱。因为控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报，所以审计人员在评估重大错报风险时应当将控制环境连同其他内部控制要素产生的影响一并考虑。,129,三、,了解被审计单位的风险评估过程,(,一,),被审计单位的风险评估过程的概念,被审计单位的风险评估过程包括识别与财,务报告相关的经营风险，以及针对这些风险,所采取的措施。,130,审计人员应当了解被审计单位的风险评估过程和结果。如果管理层对风险进行了有效的评估和应对，那么，审计人员就可以因为控制风险较低而减少收集审计证据的数量。,131,风险评估过程的作用是识别、评估和管理影响其经营目标实现能力的各种风险。,而针对财务报告目标的风险评估过程则包括识别与财务报告相关的经营风险，评估风险的重大性和发生的可能性，以及采取措施管理这些风险。,132,例如，风险评估可能会涉及被审计单位如何考虑对某些交易未予记录的可能性，或者识别和分析财务报告中的重大会计估计发生错报的可能性。,133,(二) 风险的来源,(三) 识别经营风险,审计人员应当确定管理层如何识别与财务报告相关的经营风险，如何估计该风险的重要性，如何评估风险发生的可能性，以及如何采取措施管理这些风险。,如果被审计单位的风险评估过程符合其具体情况，了解被审计单位的风险评估过程和结果有助于审计人员识别财务报表重大错报风险。,134,(,四,),评价风险评估过程的设计与执行,1,、被审计单位是否已建立并沟通其整体目,标，并辅以具体策略和业务流程层面的计,划；,2,、被审计单位是否已建立风险评估过程，,包括识别风险，估计风险的重大性，评估风,险发生的可能性以及确定需要采取的应对措,施；,135,3,、被审计单位是否已建立某种机制，识别和应对,可能对被审计单位产生重大且普遍影响的变化，如,在金融机构中建立资产负债管理委员会，在制造型,企业中建立期货交易风险管理组等；,4,、会计部门是否建立了某种流程，以识别会计准,则的重大变化；,5,、当被审计单位业务操作发生变化并影响交易记,录的流程时，是否存在沟通渠道以通知会计部门；,6,、风险管理部门是否建立了某种流程，以识别经,营环境包括监管环境发生的重大变化。,136,此外，在小型被审计单位，管理层可能没有正式的风险评估过程，审计人员应当与管理层讨论其如何识别经营风险以及如何应对这些风险。,137,四、了解信息系统与沟通,（一）与财务报告相关的信息系统的概念,信息系统与沟通是收集与交换被审计单位,执行、管理和控制业务活动所需信息的过,程，包括收集和提供信息,(,特别是为履行内部,控制岗位职责所需的信息,),给适当人员，使之,能够履行职责。信息系统与沟通的质量直接,影响到管理层对经营活动作出正确决策和编,制可靠的财务报告的能力。,138,与财务报告相关的信息系统，包括用以生,成、记录、处理和报告交易、事项和情况，,对相关资产、负债和所有者权益履行经营管,理责任的程序和记录。与财务报告相关的信,息系统应当与业务流程相适应。业务流程是,指被审计单位开发、采购、生产、销售、发,送产品和提供服务、保证遵守法律法规、记,录信息等一系列活动。,139,与财务报告相关的信息系统通常包括下列职能：,(1)识别与记录所有的有效交易；,(2)及时、详细地描述交易，以便在财务报告中对交易做出恰当分类；,(3)恰当计量交易，以便在财务报告中对交易的金额做出准确记录；,(4)恰当确定交易生成的会计期间；,(5)在财务报表中恰当列报交易。,140,（二）对与财务报告相关的信息系统的了解,1、在被审计单位经营过程中，对财务报表具有重大影响的各类交易。,2、在信息技术和人工系统中，对交易生成、记录、处理和报告的程序。,3、与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目。,141,4、信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况的信息，如对固定资产和长期资产计提折旧或摊销、对应收账款计提坏账准备等。,5、被审计单位编制财务报告的过程，包括做出的重大会计估计和披露。,6管理层凌驾于账户记录控制之上的风险。,142,（三）与财务报告相关的沟通的概念,与财务报告相关的沟通包括使员工了解各,自在与财务报告有关的内部控制方面的角色,和职责，员工之间的工作联系，以及向适当,级别的管理层报告例外事项的方式。,143,公开的沟通渠道有助于确保例外情况得到,报告和处理。沟通可以采用政策手册、会计,和财务报告手册及备忘录等形式进行，也可,以通过发送电子邮件、口头沟通和管理层的,行动来进行。,144,(,四,),对与财务报告相关的沟通的了解,审计人员应当了解被审计单位内部如何对,财务报告的岗位职责，以及与财务报告相关,的重大事项进行沟通。审计人员还应当了解,管理层与治理层,(,特别是审计委员会,),之间的沟,通，以及被审计单位与外部,(,包括与监管部门,),的沟通。,145,具体包括：,1、管理层就员工的职责和控制责任是否进行了有效沟通；,2、针对可疑的不恰当事项和行为是否建立了沟通渠道；,3、组织内部沟通的充分性是否能够使人员有效地履行职责；,146,4、对于与客户、供应商、监管者和其他外部人士的沟通，管理层是否及时采取适当的进一步行动；,5、被审计单位是否受到某些监管机构发布的监管要求的约束；,6、外部人士如客户和供应商在多大程度上获知被审计单位的行为守则。,147,由于小型被审计单位的规模较小、报告层次较少。因此，小型被审计单位可能比大型被审计单位更容易实现有效的沟通。审计人员应当考虑这些特征对评估重大错报风险的影响。,148,五、了解控制活动,（一）相关的控制活动的概念,控制活动是指有助于确保管理层的指令得,以执行的政策和程序，包括与授权、业绩评,价、信息处理、实物控制和职责分离等相关,的活动。审计人员应当了解控制活动，以足,够评估认定层次的重大错报风险和针对评估,的风险设计进一步的审计程序。,149,(,二,),了解与授权有关的控制活动,审计人员应当了解与授权有关的控制活动，包括一般授权和特别授权。,一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。,特别授权是指管理层针对特定类别的交易或活动逐一设置的授权，如重大资本支出和股票发行等。特别授权也可能用于超过一般授权限制的常规交易。,150,例如，因某些特别原因，同意对某个不符合一般信用条件的客户赊销商品。,151,(,三,),了解与业绩评价有关的控制活动,审计人员应当了解与业绩评价有关的控制活动，主要包括被审计单位分析评价实际业绩与预算(或预测、前期业绩)的差异，综合分析财务数据与经营数据的内在关系，将内部数据与外部信息来源相比较，评价职能部门、分支机构或项目活动的业绩以及对发现的异常差异或关系采取必要的调查与纠正措施。,152,(,四,),了解与信息处理有关的控制活动,审计人员应当了解与信息处理有关的控制活动，,包括信息技术一般控制和应用控制。,信息技术一般控制是指与多个应用系统有关的政,策和程序，有助于保证信息系统持续恰当地运行,(,包,括信息的完整性和数据的安全性,),，支持应用控制作,用的有效发挥，通常包括数据中心和网络运行控,制，系统软件的购置、修改及维护控制，接触或访,问权限控制，应用系统的购置、开发及维护控制。,153,信息技术应用控制是指主要在业务流程层,次运行的人工或自动化程序，与用于生成、,记录、处理、报告交易或其他财务数据的程,序相关，通常包括检查数据计算准确性、审,核账户和试算平衡表，设置对输入数据和数,字序号的自动检查等。,154,(,五,),了解实物控制,审计人员应当了解实物控制，主要包括了解对资产和记录采取适当的安全保护措施，对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对。 实物控制的效果将影响资产的安全，从而对财务报表的可靠性及审计产生影响。,155,(,六,),了解职