资源描述
,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第九章 风险评估与应对,殷丽丽,第九章 风险评估与应对殷丽丽,电话:13852292864,Email:,yinlilinau.edu,yinlili122126,电话:13852292864,2,风险导向审计业务流程和程序,1、了解被审计单位及其环境,2、控制测试,3、实质性程序,风险评估程序,进一步审计程序或风险应对,风险导向审计业务流程和程序1、了解被审计单位及其环境风险评估,3,第一节 了解被审计单位及其环境,1、方法=风险评估程序,询问;,-管理层和内部相关人员,分析;,-识别异常的交易或事项,检查和观察,-实地查看、检查相关文件记录,第一节 了解被审计单位及其环境1、方法=风险评估程序,4,2、内容,(1)行业状况、法律环境与监管环境以及其他外部因素;,-不同企业了解的侧重点不一样。但是应重点关注会对企业的经营活动产生重要影响的关键外部因素。,2、内容(1)行业状况、法律环境与监管环境以及其他外部因素;,5,2、内容,(2)被审计单位的性质;,所有权结构;“关联方交易”,治理结构;“独立董事、审计委员会、监事会”,组织结构;,经营活动;,筹资活动;,投资活动。,2、内容(2)被审计单位的性质;,6,2、内容,(3)被审计单位对会计政策的选择和运用;,2、内容(3)被审计单位对会计政策的选择和运用;,7,2、内容,(4)被审计单位的目标、战略以及相关经营风险;,-是否会带来财务后果,考虑对重大错报风险的影响。,2、内容(4)被审计单位的目标、战略以及相关经营风险;,8,2、内容,(5)被审计单位财务业绩的衡量和评价;,-考虑企业管理当局面临的压力、激励性报酬,-关键业绩指标、业绩趋势、预算差异分析、业绩考核和激励性报酬、分部业绩、外部机构分析报告、竞争对手业绩等,2、内容(5)被审计单位财务业绩的衡量和评价;,9,(6)被审计单位的内部控制,1、CPA审计,规定:”内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。”,2、,COSO报告指出:内部控制是一个过程,受企业董事会、管理当局和其他员工影响,旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。,(6)被审计单位的内部控制1、CPA审计规定:”内部控制,10,内部控制的演进,形成时间,内控理论,主要标志,20世纪以前萌芽阶段,内部牵制,1.内部牵制三要素:职责分工、会计记帐、人员轮换。,2.内部牵制的执行分为四类:实物牵制、机械牵制、体制牵制、簿记牵制。,至20世纪70年代,发展阶段,内部控制制度,1958年美国注协审计委重新定义:内部控制分为会计控制和管理控制。,20世纪70-80年代,形成阶段,内部控制结构论,1988年美国注协审计委审计准则第55号首次以“内部控制结构:取代“内部控制”,指出内部控制结构包括三要素:(1)控制环境;(2)会计制度;(3)控制程序,20世纪90年代-21世纪,成熟阶段,内部控制框架,2019年美国注协发布审计准则公告第78号,将内部控制定义为:“由企业董事长、管理层和其他人员实现的过程,旨在为下列目的提供保证:财务报告的可靠性经营效果和效率符合法规”,内部控制分为:(1)控制环境(2)风险评估 (3)控制活动(四类形式:业绩评价、信息处理、实物控制、职责分离)(4)信息与沟通 (5)监控。,21世纪初至今,成熟阶段,风险管理框架,在内部控制整体框架基础上增加了:(1)风险组合观;(2)战略目标;(3)两个概念风险偏好和风险容忍度;(4)三个要素目标制定、事项识别和风险反应,内部控制的演进形成时间内控理论主要标志20世纪以前萌芽阶段内,11,内控系统的整体架构(1992),内控系统的整体架构(1992),12,企业风险管理-整合框架(COSO-ERM)-2019年,基本原则:,企业是为股东提供价值而生存;,每个企业都面临不确定性;,不确定性带来风险(损失)与机遇;,管理层必须承受与管理不确定性。,COSO-ERM风险管理模型包括:,四大目标,八大要素,四个组织层面,企业风险管理-整合框架(COSO-ERM)-2019年,13,1控制环境,控制,环境,对胜任能力的要求,诚信和道德价值观,组织结构,董事会或审计委员会,管理层的理念和经营风格,权力和责任的分配,人力资源政策和实务,1控制环境 控制对胜任能力的要求诚信和道德价值观组织结构董,14,2风险评估,目标设定,识别、评估风险,应对风险,2风险评估 目标设定识别、评估风险应对风险,15,风险评估指管理层分析、评价和估计对战略、经营、报告、合规目标有影响的内部或外部风险的过程。,风险评估涉及估计风险的重大程度、评价风险发生的可能性、考虑如何管理风险等。,风险评估指管理层分析、评价和估计对战略、经营、报告、合规目标,16,3、控制活动,项目,内 容,授权控制,为了保证重要经济业务的有效处理,对于关键的控制点需执行授权与批准控制程序。对经济业务的授权分一般授权和特殊授权。,职务分离控制,是指对处理某种经济业务所涉及的职责分派给不同的人员,使每个人的工作都是对其他有关人员的一种自动检查。对于不相容职务应该进行适当分离,并进行检查,不相容职务的分离包括在部门间分离和部门内部的分离。,业绩评价,包括被审计单位分析评价实际业绩与预算(或预期、前期业绩)的差异,职能部门、分支机构或项目活动的业绩分析,对发现的异常差异或关系采取必要的调查与纠正措施。,资产接触、使用与记录控制,为了限制非授权人随意接近资产和记录,以保证资产和记录的安全完整。其主要内容包括:(1)限制非授权人接触某项资产及有关记录;(2)建立必要的防护措施,确保资产的安全完整。如签批手续、密码、防火墙等设置。,信息处理,信息技术的一般控制:与多个应用系统相关的政策与程序,包括系统软件的购置、修改及维护控制,接触或访问权限控制,应用系统的购置、开发与维护等。,应用控制:主要是在业务流程层面运行的人工或自动化程序,包括检查数据计算的正确性,审核账表,设置自动检查。,3、控制活动项目内 容授权控制为了保证重要经济业务的有效处理,4信息与沟通,企业定期获取及交流内、外部的信息,帮助员工履行职责,包括:,信息的识别和获取,信息加工和报告,内部沟通和外部沟通,相关信息必须采用恰当的形式并在恰当的时间内沟通,以便相关人员能有效履行职责,采取适当行动,4信息与沟通企业定期获取及交流内、外部的信息,帮助员工履行,18,5监督,监督,内部审计机构实施的独立的监督,内部控制的自我评估、持续监督,5监督 监督内部审计机构实施的独立的监督内部控制的自我评估,19,对内部控制了解的深度P147,1、评价控制的设计,2、控制是否得到执行,3、获取控制设计和执行的审计证据,对内部控制了解的深度P1471、评价控制的设计,20,审计第九章风险评估与应对课件,21,控制风险及其来源,控制风险,风险来源,内控设计失效风险,应有的控制不存在或不完善,不相容职务未分离,已有控制没有要求必要的实施证据,已有控制缺乏必要的制度和执行程序或制度文件和执行程序不完善,有控制未执行风险,已有控制在实际中没有执行,未按授权规定的授权执行控制,作业步骤不完整,错误执行风险,由于不了解如何实施控制造成控制仅仅是例行手续,未按授权规定的授权执行控制,其他原因造成的控制失败,控制风险及其来源 控制风险风险来源内控设计失效风险应有的控制,22,第二节 识别与评估重大错报风险,1、了解被审单位及环境的目的:识别和评估两个层次的重大错报风险,(1)财务报表层次,(2)认定层次,2、审计程序P127,3、可能表明被审计单位存在重大错报风险的事项和情况,第二节 识别与评估重大错报风险1、了解被审单位及环境的目的:,23,4、特别风险P129,涵义,确定特别风险时应考虑的事项,非常规交易和判断事项导致的特别风险,考虑与特别风险相关的控制,4、特别风险P129涵义,24,第三节 针对重大错报风险的应对措施,一、针对报表层次重大错报风险的总体应对措施,1、项目组应在收集和评价审计证据中保持职业怀疑,2、分派更有经验或有特殊技能的审计人员,或利用专家的工作,3、提供更多的督导,4、进一步审计程序应使管理层不可预见或事先了解,5、对拟实施审计程序的性质、时间和范围作出整体修改-薄弱的控制环境下,第三节 针对重大错报风险的应对措施一、针对报表层次重大错,25,二、针对认定层次重大错报风险的进一步审计程序,1、,考虑因素,:风险的重要性、重大错报风险发生的可能性、认定的特征、控制的性质、审计证据的获取,2、,性质,:目的和类型(方法),控制测试:内控有效性,实质性程序:发现认定层次的重大错报,二、针对认定层次重大错报风险的进一步审计程序1、考虑因素:风,26,二、针对认定层次重大错报风险的进一步审计程序,3、,时间,:两个层面的考虑(重大错报风险),选择何时实施进一步审计程序:期中或期末,选择获取什么期间或时点的审计证据,4、,范围,:实施进一步审计程序的数量,抽样的考虑-重要性水平(可容忍错报)、评估的重大错报风险(预计的总体错误率)、计划获取的保证程度(可接受的抽样风险),二、针对认定层次重大错报风险的进一步审计程序3、时间:两个层,27,三、控制测试,控制测试的涵义:控制运行的有效性,与“了解内部控制”的区别:设计和执行,控制测试的非必要性:P152,三、控制测试控制测试的涵义:控制运行的有效性,28,知识点辨析:控制的执行与执行的有效性,某单位针对销售收入和费用的,业绩评价控制,如下:财务经理每月审核实际销售收入和费用,并与预算数和上年同期数比较,对于差异金额超过5%的项目进行分析并编制分析报告,销售经理审阅该报告并采取适当跟进措施。,CPA抽查最近三个月的分析报告,并看到上述管理人员在报告上签字确认,证明该,控制已经得到执行。,然而,CPA在与销售经理的讨论中,发现他对分析报告中明显异常的数据并不了解其原因,也无法作出合理解释,从而显示该控制,并未得到有效地运行,。,知识点辨析:控制的执行与执行的有效性某单位针对销售收入和费用,29,控制测试中关注以下方面来获取有效性的审计证据:,1、控制在所审计期间的不同时点是如何运行的;,2、控制是否得到一贯执行;,3、控制由谁执行;,4、控制以何种方式运行(人工、自动化),-控制能否在各个不同时点按照既定设计得以一贯执行,控制测试中关注以下方面来获取有效性的审计证据:,30,控制测试的性质:可选用的测试方法,询问:,是指通过对控制负责人的访谈了解控制点实施的过程,从而决定控制的有效性。,观察:,是指通过对被测试单位的有关业务活动及其内部控制的执行情况等进行实地察看,从而评价控制的有效性。,审阅与检查:,是指通过审阅和检查控制文档确认管理层或实施监督人员对重要报告或差异分析的审阅和批准,穿行测试,:追踪交易在财务报告系统中的处理过程。,重新执行:,是指根据控制文档记录,通过重新执行相关的控制或是重要步骤来评价其是否运行并能够发现问题。重新执行的重点是关注数据来源的准确性、数据范围的完整性、重要计算公式的正确性及关键数据计算的准确性。,控制测试的性质:可选用的测试方法询问:是指通过对控制负责,31,举例-重新执行,某项控制为:,复核人员核对销售发票上的价格与统一价格单上的价格是否一致。,-检查复核人员有没有认真执行核对,1、检查复核人员是否在相关文件上签字,2、需要选取部分销售发票进行核对,举例-重新执行某项控制为:,32,四、实质性程序,1、涵义:直接用以发现认定层次的重大错报的审计程序。,2、性质,细节测试:对各类交易、帐户余额、列报的具体细节进行测试,目的在于直接识别财务报表认定(主要是存在或发生、计价)是否存在错报。,实质性分析程序:研究数据间关系评价信息,识别各类账户余额、
展开阅读全文