第九章
&C eG4_Mi 风险评估概述对风险评估的总体要求
j +j2_\ 1、了解被审计单位及其环境。
a1;P2ikuK 2、识别和评估重大错报风险。
/P*mF^Y 3、设计和实施进一步程序。
>^#OtFHuT) 了解被审计单位及其环境能为注册会计师在下列关键环节作出职业判断提供重要基础:
Ex'6 WN~kD (1)确定重要性水平,并随着审计工作的进程评估对重要性水平的判断是否仍然适当;
stDrF1{ (2)考虑会计政策的选择和运用是否恰当,以及财务报表的列报是否适当;
VtX9}<Ch~ (3)识别需要特别考虑的领域;
|sN>/89=/ (4)确定在实施分析程序时所使用的预期值;
oT7= (5)设计和实施进一步审计程序,以将审计风险降至可接受的低水平;
H[ 6L! (6)评价所获取审计证据的充分性和适当性。
4J=6A4O5Z 了解被审计单位及其环境是一个连续和动态的过程。
T~%}(0=m 了解的程度是否恰当,关键看注册会计师对被审计单位及其环境的了解是否足以识别和评估财务报表的重大错报风险。(低于管理层的了解程度)
OW(45
~Qzb<^9] 风险评估程序、信息来源以及项目组内部的讨论
Y<U"}} 一、风险评估程序和信息来源
(U"Ub;[
7 (一)风险评估程序
-2}-;| (1)询问被审计单位管理层和内部其他相关人员。
Ju""i4 (2)分析程序;
j rX.e (3)观察和检查
=yv_i]9AN 1、询问被审计单位管理层和内部其他相关人员
Q:I2\E 注册会计师可以考虑向管理层和财务负责人询问下列事项:
2IgT
B|2 (1)管理层所关注的主要问题。
MS~c
$ (2)被审计单位最近的财务状况、经营成果和现金流量。
L&wJ-}'l (3)可能影响财务报告的交易和事项,或者目前发生的重大会计处理问题。
(f DA (4)被审计单位发生的其他重要变化。
S^,1N4 除此之外,注册会计师还应当考虑询问以下各类人员,以获取对识别重大错报风险有用的信息:
$sDvE~f0n (1)询问治理层,有助于注册会计师理解财务报表编制的环境;
cPh
U qET (2)询问内部审计人员,有助于注册会计师了解其针对被审计单位内部控制设计和运行有效性而实施的工作,以及管理层对内部审计发现的问题是否采取适当的措施;
].f28bY (3)询问参与生成、处理或记录复杂或异常交易的员工,有助于注册会计师评估被审计单位选择和运用某项会计政策的适当性;
I\JJ7/S`t (4)询问内部法律顾问,有助于注册会计师了解有关法律法规的遵循情况、产品保证和售后责任、与业务合作伙伴(如合营企业)的安排、合同条款的含义以及诉讼情况等;
'JR2@W`]] (5)询问营销或销售人员,有助于注册会计师了解被审计单位的营销策略及其变化、销售趋势以及与客户的合同安排;
T:ye2yg (6)询问采购人员和生产人员,有助于注册会计师了解被审计单位的原材料采购和产品生产等情况;
}]1=?:tX% (7)询问仓库人员,有助于注册会计师了解原材料、产成品等存货的进出、保管和盘点等情况。
2BLcun 2、实施分析程序
GE`:bC3 如果使用了高度汇总的数据,实施分析程序的结果仅可能初步显示财务报表存在重大错报风险,注册会计师应当将分析结果连同识别重大错报风险时获取的其他信息一并考虑。
6fvzTd}, 3、观察和检查
Nf0'>`/ 观察被审计单位的生产经营活动
~]HeoQK 检查文件、记录和内部控制手册
*={`
% 阅读由管理层和治理层编制的报告
!xs.[&u8 实地查看被审计单位的生产经营场所和设备
>[ r
TUn; 追踪交易在财务报告信息系统中的处理过程(穿行测试)
o9)pOwk7; (二)其他审计程序和信息来源
v\Zni4
询问被审计单位聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等。
d\aarhD8* ^h+,Kn0@ 二、项目组内部的讨论 2|vArRKt
(一)讨论的目标:了解在各自分工负责的领域中,由于舞弊或错误导致财务报表重大错报的可能性,并了解各自实施审计程序的结果如何影响审计的其他方面,包括对确定进一步审计程序的性质、时间和范围的影响;
c}iVBN6~.< (二)讨论的内容:项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式。特别是由于舞弊导致重大错报的可能性;
\Q+9sV
5,[ (三)参与讨论的人员:项目组的关键成员应当参与讨论,如果项目组需要拥有信息技术或其他特殊技能的专家,这些专家也应参与讨论;
}."3&u't (四)讨论的时间和方式:在整个审计过程中持续交换有关财务报表发生重大错报可能性的信息;项目组在讨论时应当强调在整个审计过程中保持职业怀疑态度,警惕可能发生重大错报的迹象,并对这些迹象进行严格追踪
@5n
!t1( 了解被审计单位及其环境
TrxZS_ 一、总体要求
<3dmY= 注册会计师应当从下列方面了解被审计单位及其环境:
(pBOv:6 (1)行业状况、法律环境与监管环境以及其他外部因素;
nQuiRTU< (2)被审计单位的性质;
mQmn &
:R (3)被审计单位对会计政策的选择和运用;
Ri]7=.QI` (4)被审计单位的目标、战略以及相关经营风险;
ZMmaM "9 (5)被审计单位财务业绩的衡量和评价;
`UFRv
(6)被审计单位的内部控制。
p[BF4h{E 二、行业状况、法律环境与监管环境以及其他外部因素
%liu[6_ (一)行业状况
NET?Ep 注册会计师应当了解被审计单位的行业状况,主要包括:
~b+TkPU (1)所处行业的市场供求与竞争;
+0U
{CmH (2)生产经营的季节性和周期性;
TRwlUC3hQ (3)产品生产技术的变化;
L8K=Q (4)能源供应与成本;
%c%0pGn8- (5)行业的关键指标和统计数据。
/\L|F?+@
(二)法律环境及监管环境
k9j_#\E[ 注册会计师应当了解被审计单位所处的法律环境及监管环境,主要包括:
hC ^| (1)适用的会计准则、会计制度和行业特定惯例;
uU v yZ (2)对经营活动产生重大影响的法律法规及监管活动;
v. ,|#}0 o (3)对开展业务产生重大影响的政府政策,包括货币、财政、税收和贸易等政策;
Qmxe*@{` (4)与被审计单位所处行业和所从事经营活动相关的环保要求。
ta]B9&c (三)其他外部因素
5mB%Xh;bg (1)宏观经济的景气度;
y9d[-j
;w (2)利率和资金供求状况;
Ju3-ZFUS4 (3)通货膨胀水平及币值变动;
%4#,y(dO (4)国际经济环境和汇率变动。
_{CMWo"l (四)了解的重点和程度
-<kl d+ 1、CPA对行业状况、法律环境与监管环境以及其他外部因素了解的范围和程度会因为被审计单位所处行业、规模以及其他因素的不同而不同。
sS 5 ]d8
2、CPA应当考虑了解的重点放在对被审计单位的经营活动可能产生重要影响的关键外部因素以及与前期相比发生的重大变化上。
-x~h.s, 3、CPA应当考虑被审计单位所在行业的业务性质或监管程度是否可能导致特定的重大错报风险,考虑项目组是否配备了具有相关知识和经验的成员。
ji(W+tQ2Y' 三、被审计单位的性质
zoXCMBg[ (一)所有权结构:对被审计单位所有权结构的了解有助于CPA识别关联方关系并了解被审计单位的决策过程。
E~?0Yrm F (二)治理结构:良好的智力结构可以对被审计单位的经营和财务运做实施有效的监督,从而降低财务报表发生重大错报风险
?!>B}e&, (三)组织结构:CPA应当了解被审计单位的组织结构,考虑复杂的组织结构导致的重大错报风险,包括财务报表合并、商誉减值以及长期股权投资核算等问题
\F]X!#&+ (四)经营活动:了解被审计单位经营活动有助于CPA识别预期在财务报表中反映的主要交易类别、重要帐户余额和列报。
jR-`ee}y2 —主营业务的性质
1@Dp<Q -与生产产品或提供劳务相关的市场信息
\u@4eBAV -业务的开展情况
K;jV"R<9 -联盟、合营与外包情况
GOJ*>GpS -从事电子商务的情况
v3|-eWet^ -地区与行业分布
85;
BS' -生产设施、仓库的地理位置及办公地点
}:u" ?v=|j -关键客户
O9OD[VZk -重要供应商
yM$@*od -劳动用工情况
2N_8ahc -研究与开发活动及其支出
`>CHE'_ -关联方交易
cW B
> (五)投资活动:了解被审计单位投资活动有助于CPA关注被审计单位在经营策略和方向上的重大变化
;V(- ;O -近期拟实施或已实施的并购活动与资产处置情况
Z;kRQ -证券投资、委托贷款的发生与处置
^'EeJN -资本性投资活动,包括固定资产和无形资产投资,以及近期或计划发生的变动
&$yC+cf -不纳入合并范围的投资
Uc,D&Og (六)筹资活动:了解被审计单位筹资活动有助于CPA评估被审计单位在融资方面的压力。并进一步考虑被审计单位在可预见未来的持续经营能力。
>|%dN
jf@Q L[\m{gN -债务结构和相关条款,包括担保情况及表外融资
q{v:T}Q|A -固定资产的租赁
PI{;3X}9$, -关联方融资
6<sd6SM -实际受益股东
utIR\e#:B -衍生金融工具的运用
ConXP\M- 四、被审计单位对会计政策的选择和运用
f49pIcAq (一)重要项目的会计政策和行业惯例
dQ6:c7hp>D 重要项目的会计政策包括收入确认方法,存货的计价方法,投资的核算,固定资产的折旧方法,坏账准备、存货跌价准备和其他资产减值准备的确定,借款费用资本化方法,合并财务报表的编制方法等
C/Vs+aW
n (二)重大的异常交易的会计处理方法
+We_[Re`< (三)在新领域和缺乏权威性标准或共识的领域,采用重要会计政策产生的影响
E(DNK (四)会计政策的变更
5W/!o&x~7 (五)被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度
hE>ux"_2/ 五、被审计单位的目标、战略以及相关经营风险
m~;fklX S 经营风险源于对被审计单位实现目标和战略产生不利影响的重大情况、事项、环境和行动,或源于不恰当的目标和战略。
+_Nr a 不能随环境变化而做出相应的调整固然可能产生经营风险。但是调整的过程也可能导致经营风险。
<a/TDW (一)CPA应当了解被审计单位是否存在与下列方面有关的目标和战略,并考虑相应的经营风险:
<<#-IsT -行业发展
4W7 -开发新产品或提供新服务
O~t]:p9_ -业务扩张
x]
[/9e -新颁布的会计法规
oej5bAi -监管要求
6"@+Jz -本期及未来的融资条件
Xup rl2+ -信息技术的运用
^z&eD, (二)经营风险对重大错报风险的影响
P:GAJ->;]> 经营风险与重大错报风险多数经营风险最终都会产生财务后果,从而影响财务报表。但并非所有经营风险都会导致重大错报风险。经营风险可能对各类交易、账产余额以及列报认定层次或财务报表层次产生直接影响。
$OI 6^ 六、被审计单位财务业绩的衡量和评价
e~#;ux (一)了解的主要方面
-#0(Jm' (1)关键业绩指标;
+<5q8{]Pk (2)业绩趋势
8bQ\7jb (3)预测、预算和差异分析;
Vfkm{*t) (4)管理层和员工业绩考核与激励性报酬政策;
3IXai)6U (5)分部信息与不同层次部门的业绩报告;
+"8 [E~Bih (6)与竞争对手的业绩比较;
N$1ZA)M (7)外部机构提出的报告。
AF ,*bb 了解被审计单位的内部控制
zTtn`j$ 一、内部控制的含义和要素
u{#}Lo>B # 含义:指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序
gO>XNXN{ 1、内部控制的目标是合理保证:
v&t~0jX, (1)财务报告的可靠性,
EfxW^zm) (2)经营的效率和效果
I'p
OB (3)在所有经营活动中遵守法律法规的要求;
2aQR#lcv 2、设计和实施内部控制的责任主体是治理层、管理层和其他人员,组织中的每一个人都对内部控制负有责任;
!cP2,l'f 3、实现内部控制目标的手段是设计和执行控制政策和程序。
DONXq]f:," 内部控制的要素:
&)UZ9r`z (1)控制环境;
8K: R
oR (2)风险评估过程;
}DH3_M!
(3)信息系统与沟通;
uw'>tb@ (4)控制活动;
USF9sF0l (5)对控制的监督。
,;3#}OGg 二、与审计相关的控制
Hh^EMQk 1、为实现财务报告可靠性目标设计和实施的控制。
W+HiH`Qb] 2、其他与审计相关的控制。
j\W"P_ dpd 三、对内部控制了解的深度
|wF_CZ*1 评价控制的设计,并确定其是否得到执行,但不包括对控制是否得到一贯执行的测试。
>R9Q| (一)评价控制的设计
w>-@h>Ln 了解的程度比较浅,再深入就是控制测试了。
iuxI$
(二)获取控制设计和执行的审计证据
VaYL#\;c< (1)询问被审计单位的人员;
tC;LA 4 (2)观察特定控制的运用;
ZJL8"(/R (3)检查文件和报告;
?HD(EGdx (4)追踪交易在财务报告信息系统中的处理过程(穿行测试)。
Gn*cphb 四、内部控制的人工和自动化成分
yVF1*#" (一)考虑内部控制的人工和自动化特征及其影响
-Ky<P<@ezm (二)信息技术的优势及相关内部控制风险
zNAID-5K; 信息技术可能对内部控制产生特定风险:
<( "M;C3y (1)统或程序未能正确处理数据,或处理了不正确的数据,或两种情况同时并存;
9o)sSaTx= (2)在未得到授权情况下访问数据,可能导致数据的毁损或对数据不恰当的修改,包括记录未经授权或不存在的交易,或不正确地记录了交易;
:bBLP7eyV (3)信息技术人员可能获得超越其履行职责以外的数据访问权限,破坏了系统应有的职责分工;
9W^sq<tR (4)未经授权改变主文档的数据;
GnAG'.t-Z (5)未经授权改变系统或程序;
'G] P09`*) (6)未能对系统或程序作出必要的修改;
/j7e
q (7)不恰当的人为干预;
T@K=
*p (8)数据丢失的风险或不能访问所需要的数据。
<x&0a$I (三)人工控制的适用范围及相关内部控制风险
:P,g, 风险:
z{wW6sgPr (1)人工控制可能更容易被规避、忽视或凌驾;
x/BtB"e*5 (2)人工控制可能不具有一贯性;
zL8Z8eh"> (3)人工控制可能更容易产生简单错误或失误。
w&c6iFMd0 人工控制在下列情形中可能是不适当的:
n6A N (1)存在大量或重复发生的交易;
U}#3LFr.? (2)事先可预见的错误能够通过自动化控制得以防范或发现;
ALcin))+B (3)控制活动可得到适当设计和自动化处理。
_*&I[%I5 五、内部控制的局限性
z@bq*':~J 内部控制的固有局限性:
qq
Vjx?bKe 1、在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效;
IP?15l w 2、可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避;
rcq^mPdQ 3、行使控制职能的人员素质不适应岗位要求;
Iax-~{B3AY 4、被审计单位实施内部控制的成本效益问题;
@wv
gMu 5、内部控制一般都是针对经常而重复发生的业务而设置的,如果出现不经常发生或未预计到的业务,原有控制就可能不适用。
DIqM\ >< 六、控制环境
BZJ\tPSR (一)控制环境的含义
ko-3`hX` 控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。
;$a+ > (二)对诚信和道德价值观念的沟通与落实
{oXU)9vj (三)对胜任能力的重视
0B}O&DC%| (四)治理层的参与程度
fAEgrw%Ti (五)管理层的理念和经营风格
+ 6noQYe (六)组织结构及职权与责任的分配
PpXzWWU": (七)人力资源政策与实务
7pllzy 控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报,注册会计师在评估重大错报风险时,应当将控制环境连同其他内部控制要素产生的影响一并考虑。
uez"{ _I 七、被审计单位的风险评估过程
XAb%V' 管理层应当确定可以承受的风险水平,识别这些风险并采取一定的应对措施。
PL/g@a^tY 可能产生风险的事项和情形包括:
z6IOVQ*r (1)监管及经营环境的变化;
.j
et0w (2)新员工的加入;
!+UU[uM (3)新信息系统的使用或对原系统进行升级;
t4;eabZK (4)业务快速发展;
nrBpq (5)新技术;
[c^!;YBp) (6)新生产型号、产品和业务活动;
XC(:O(jdA2 (7)企业重组;
MZ2/ks (8)发展海外经营;
\T'.b93~B (9)新的会计准则。