第九章風險評估

字號:

)了解被審計單位及其環(huán)境并識別和評估重大錯報風險的基本流程;
     (2)風險評估程序;
     (3)了解被審計單位及其環(huán)境的總體要求和具體應(yīng)當了解的內(nèi)容;
     (4)如何識別和評估重大錯報風險;
     (5)風險評估中應(yīng)當記錄的事項。
    &&本章難點&
    (1)從整體層面和業(yè)務(wù)流程層面了解被審計單位內(nèi)部控制;
    (2)如何識別和評估重大錯報風險。
    &本章重點內(nèi)容總結(jié)&
    一、對風險評估的總體要求
     (一)總體要求
     《中國注冊會計師審計準則第1211號——了解被審計單位及其環(huán)境并評估重大錯報風險》作為專門規(guī)范風險評估的準則,規(guī)定CPA應(yīng)當了解被審計單位及其環(huán)境,以充分識別和評估財務(wù)報表重大錯報風險,設(shè)計和實施進一步審計程序。
     (二)了解被審計單位及其環(huán)境的意義
     1.了解被審計單位及其環(huán)境是必要程序,特別是為CPA在下列關(guān)鍵環(huán)節(jié)作出職業(yè)判斷提供了重要基礎(chǔ):(1)確定重要性水平,并隨著審計工作的進程評估對重要性水平的判斷是否仍然適當;(2)考慮會計政策的選擇和運用是否恰當,以及財務(wù)報表的列報是否適當;(3)識別需要特別考慮的領(lǐng)域,包括關(guān)聯(lián)方交易、管理層運用持續(xù)經(jīng)營假設(shè)的合理性,或交易是否具有合理的商業(yè)目的等;(4)確定在實施分析程序時所使用的預期值;(5)設(shè)計和實施進一步審計程序,以將審計風險降至可接受的低水平;(6)評價所獲取審計證據(jù)的充分性和適當性。
    二、風險評估程序和信息來源
     (一)風險評估程序
     風險評估程序包括:(1)詢問被審計單位管理層和內(nèi)部其他相關(guān)人員;(2)分析程序;(3)觀察和檢查。
    三、了解被審計單位及其環(huán)境
    (一)、總體要求
     CPA應(yīng)當從以下幾方面了解被審計單位及其環(huán)境:(1)行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素;(2)被審計單位的性質(zhì);(3)被審計單位對會計政策的選擇和運用;(4)被審計單位的目標、戰(zhàn)略以及相關(guān)經(jīng)營風險;(5)被審計單位財務(wù)業(yè)績的衡量和評價;(6)被審計單位的內(nèi)部控制。
    (二)、行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素
    (三)、被審計單位的性質(zhì)
     了解被審計單位的性質(zhì)有助于CPA理解預期在財務(wù)報表中反映的各類交易、賬戶余額和列報。
    (四)、被審計單位對會計政策的選擇和運用
    (五)、被審計單位的目標、戰(zhàn)略以及相關(guān)經(jīng)營風險
    (六)、被審計單位財務(wù)業(yè)績的衡量和評價
     四、了解被審計單位的內(nèi)部控制
     (一)、內(nèi)部控制的含義和要素
     內(nèi)部控制是被審計單位為了合理保證財務(wù)報告的可靠性、經(jīng)營的效率和效果以及對法律法規(guī)的遵守,由
    治理層、管理層和其他人員設(shè)計和執(zhí)行的政策和程序。
    1.內(nèi)部控制的目標是合理保證。
    2.設(shè)計和實施內(nèi)部控制的責任主體是治理層、管理層和其他人員,組織中的每一個人都對內(nèi)部控制負有責任。
    3.實現(xiàn)內(nèi)部控制目標的手段是設(shè)計和執(zhí)行控制政策和程序。
    4.內(nèi)部控制的五要素是:(1)控制環(huán)境;(2)風險評估過程;(3)信息系統(tǒng)與溝通;(4)控制活動;
    (5)對控制的監(jiān)督。
    (二)、與審計相關(guān)的控制
     內(nèi)部控制的目標旨在合理保證財務(wù)報告的可靠性、經(jīng)營的效率和效果以及對法律法規(guī)的遵守。CPA審計的目標是對財務(wù)報表是否存在重大錯報發(fā)表審計意見,CPA考慮與財務(wù)報表編制相關(guān)的內(nèi)部控制,但目的并非對被審計單位內(nèi)部控制的有效性發(fā)表意見。CPA需要了解和評價的內(nèi)部控制只是與財務(wù)報表審計相關(guān)的內(nèi)部控制,并非被審計單位所有的內(nèi)部控制。
    (三)、內(nèi)部控制的局限性
     內(nèi)部控制存在固有局限性,無論如何設(shè)計和執(zhí)行,只能對財務(wù)報告的可靠性提供合理的保證。
    五、控制環(huán)境
     (一)控制環(huán)境的含義
     控制環(huán)境包括治理職能和管理職能,以及治理層和管理層對內(nèi)部控制及其重要性的態(tài)度、認識和所采取的措施。
     在評價控制環(huán)境的設(shè)計和實施情況時,注冊會計師應(yīng)當了解管理層在治理層的監(jiān)督下,是否營造并保持了誠實守信和合乎道德的文化,以及是否建立了防止或發(fā)現(xiàn)并糾正舞弊和錯誤的恰當控制。
    六、被審計單位的風險評估過程
     風險評估過程包括識別與財務(wù)報告相關(guān)的經(jīng)營風險,以及針對這些風險所采取的措施。CPA在對被審計單位整體層面的風險評估過程進行了解和評估時,考慮的主要因素可能包括:(1)被審計單位是否已建立并溝通其整體目標,并輔以具體策略和業(yè)務(wù)流程層面的計劃;(2)被審計單位是否已建立風險評估過程,包括識別風險,估計風險的重大性,評估風險發(fā)生的可能性以及確定需要采取的應(yīng)對措施;(3)被審計單位是否已建立某種機制,識別和應(yīng)對可能對被審計單位產(chǎn)生重大且普遍影響的變化,如在金融機構(gòu)中建立資產(chǎn)負債管理委員會,在制造型企業(yè)中建立期貨交易風險管理組等;(4)會計部門是否建立了某種流程,以
    識別會計準則的重大變化;(5)當被審計單位業(yè)務(wù)操作發(fā)生變化并影響交易記錄的流程時,是否存在溝通渠道以通知會計部門;(6)風險管理部門是否建立了某種流程,以識別經(jīng)營環(huán)境包括監(jiān)管環(huán)境發(fā)生的重大變化。
    八、控制活動
     控制活動是指有助于確保管理層的指令得以執(zhí)行的政策和程序,包括與授權(quán)、業(yè)績評價、信息處理、實物控制和職責分離等相關(guān)的活動。
     對控制活動的了解
     在了解控制活動時,注冊會計師應(yīng)當重點考慮一項控制活動單獨或連同其他控制活動,是否能夠以及如何防止或發(fā)現(xiàn)并糾正各類交易、賬戶余額、列報存在的重大錯報。注冊會計師的工作重點是識別和了解針對重大錯報可能發(fā)生的領(lǐng)域的控制活動。如果多項控制活動能夠?qū)崿F(xiàn)同一目標,注冊會計師不必了解與該目標相關(guān)的每項控制活動。
    九、對控制的監(jiān)督
     對控制的監(jiān)督是指被審計單位評價內(nèi)部控制在一段時間內(nèi)運行有效性的過程,該過程包括及時評價控制的設(shè)計和運行,以及根據(jù)情況的變化采取必要的糾正措施。
    十、在整體層面上對內(nèi)部控制了解和評估的總結(jié)
    在整體層面上對被審計單位內(nèi)部控制的了解和評估,通常由項目組中對被審計單位情況比較了解且較有經(jīng)驗的成員負責,同時需要項目組其他成員的參與和配合。對于連續(xù)審計,CPA可以重點關(guān)注整體層面的內(nèi)部控制的變化情況,包括由于被審計單位及其環(huán)境的變化而導致內(nèi)部控制發(fā)生的變化以及采取的對策。
    CPA還需要特別考慮因舞弊而導致重大錯報的可能性及其影響。 .
     CPA可以考慮將詢問被審計單位人員、觀察特定控制的應(yīng)用、檢查文件和報告以及執(zhí)行穿行測試等風險評估程序相結(jié)合,以獲取審計證據(jù)。在了解上述內(nèi)部控制的構(gòu)成要素時,CPA需要特別注意這些要素在實際中是否得到執(zhí)行。例如,通過詢問管理層和員工,了解管理層對內(nèi)部控制的態(tài)度和道德價值觀念,以及如何就此與員工進行溝通;通過檢查文件、內(nèi)部程序手冊、流程圖等,了解管理層是否建立了正式的行為守則;通過詢問和觀察,了解行為守則在Et常工作中是否得到遵守,以及管理層如何處理違反行為守則的情形;通過詢問被審計單位管理層,了解其風險評估過程,并復核記錄風險評估過程的文件;通過檢查和復核
    內(nèi)部審計部門的工作程序以及報告等,確定管理層和員工是否執(zhí)行既定的政策和程序。
    十一、在業(yè)務(wù)流程層面了解內(nèi)部控制
    (一)確定重要業(yè)務(wù)流程和重要交易類別
    (二)了解重要交易流程,并記錄獲得的了解
    (三)確定可能發(fā)生錯報的環(huán)節(jié)
    (四)識別和了解相關(guān)控制
     通過對被審計單位的了解,包括在被審計單位整體層面對內(nèi)部控制各要素的了解,以及在上述程序中對重要業(yè)務(wù)流程的了解,CPA可以確定是否有必要進一步了解在業(yè)務(wù)流程層面的控制。在某些情況下,CPA之前的了解可能表明被審計單位在業(yè)務(wù)流程層面針對某些重要交易流程所設(shè)計的控制是無效的,或者CPA并不打算依賴控制,這時CPA沒有必要進一步了解在業(yè)務(wù)流程層面的控制。特別需要注意的是,如果認為僅通過實質(zhì)性程序無法將認定層次的檢查風險降至可接受的水平,或者針對特別風險,CPA應(yīng)當了解和評估相關(guān)的控制活動。
     如果CPA計劃對業(yè)務(wù)流程層面的有關(guān)控制進行進一步的了解和評價,那么針對業(yè)務(wù)流程中容易發(fā)生錯報的環(huán)節(jié),CPA應(yīng)當確定:(1)被審計單位是否建立了有效的控制,防止或發(fā)現(xiàn)并糾正這些錯報;(2)被審計單位是否遺漏了必要的控制;(3)是否識別了可以測試的控制。
    (五)執(zhí)行穿行測試,證實對交易流程和相關(guān)控制的了解
    (六)初步評價和風險評估
    (七)對財務(wù)報告流程的了解和評估
    十三、評估重大錯報風險
     一、識別和評估財務(wù)報表層次和認定層次的重大錯報風險
     CPA應(yīng)當識別和評估財務(wù)報表層次以及各類交易、賬戶余額、列報認定層次的重大錯報風險。
    在識別和評估重大錯報風險時,注冊會計師應(yīng)當實施下列審計程序。
    1.在了解被審計單位及其環(huán)境的整個過程中識別風險,并考慮各類交易、賬戶余額、列報。注冊會計師應(yīng)當運用各項風險評估程序,在了解被審計單位及其環(huán)境的整個過程中識別風險,并將識別的風險與各類交易、賬戶余額和列報相聯(lián)系。
    2.將識別的風險與認定層次可能發(fā)生錯報的領(lǐng)域相聯(lián)系。
    3.考慮識別的風險是否重大。風險是否重大是指風險造成后果的嚴重程度。
    4.考慮識別的風險導致財務(wù)報表發(fā)生重大錯報的可能性。
    注冊會計師應(yīng)當利用實施風險評估程序獲取的信息,包括在評價控制設(shè)計和確定其是否得到執(zhí)行時獲取的審計證據(jù),作為支持風險評估結(jié)果的審計證據(jù)。注冊會計師應(yīng)當根據(jù)風險評估結(jié)果,確定實施進一步審計程序的性質(zhì)、時間和范圍。
    (二)可能表明被審計單位存在重大錯報風險的事項和情況
    注冊會計師應(yīng)當充分關(guān)注可能表明被審計單位存在重大錯報風險的事項和情況,并考慮由于上述事項和情況導致的風險是否重大,以及該風險導致財務(wù)報表發(fā)生重大錯報的可能性。
    (三)識別兩個層次的重大錯報風險
    在對重大錯報風險進行識別和評估后,注冊會計師應(yīng)當確定,識別的重大錯報風險是與特定的某類交易、賬戶余額、列報的認定相關(guān),還是與財務(wù)報表整體廣泛相關(guān),進而影響多項認定。
    某些重大錯報風險可能與特定的某類交易、賬戶余額、列報的認定相關(guān)。
    某些重大錯報風險可能與財務(wù)報表整體廣泛相關(guān),進而影響多項認定。
    (四)控制環(huán)境對評估財務(wù)報表層次重大錯報風險的影響
    財務(wù)報表層次的重大錯報風險很可能源于薄弱的控制環(huán)境。薄弱的控制環(huán)境帶來的風險可能對財務(wù)報表產(chǎn)生廣泛影響,難以限于某類交易、賬戶余額、列報,注冊會計師應(yīng)當采取總體應(yīng)對措施。
    (五)控制對評估認定層次重大錯報風險的影響
    在評估重大錯報風險時,注冊會計師應(yīng)當將所了解的控制與特定認定相聯(lián)系。
    控制可能與某一認定直接相關(guān),也可能與某一認定間接相關(guān)。關(guān)系越間接,控制在防止或發(fā)現(xiàn)并糾正認定中錯報的作用越小。
    注冊會計師應(yīng)當考慮對識別的各類交易、賬戶余額和列報認定層次的重大錯報風險予以匯總和評估,以確定進一步審計程序的性質(zhì)、時間和范圍。
    (六)考慮財務(wù)報表的可審計性
    注冊會計師在了解被審計單位內(nèi)部控制后,可能對被審計單位財務(wù)報表的可審計性產(chǎn)生懷疑。如果通過對內(nèi)部控制的了解發(fā)現(xiàn)下列情況,并對財務(wù)報表局部或整體的可審計性產(chǎn)生疑問,注冊會計師應(yīng)當考慮出具保留意見或無法表示意見的審計報告:(1)被審計單位會計記錄的狀況和可靠性存在重大問題,不能獲取充分、適當?shù)膶徲嬜C據(jù)以發(fā)表無保留意見;(2)對管理層的誠信存在嚴重疑慮。必要時,注冊會計師應(yīng)當考慮解除業(yè)務(wù)約定。
    二、需要特別考慮的重大錯報風險
    (一)特別風險的含義
    作為風險評估的一部分,注冊會計師應(yīng)當運用職業(yè)判斷,確定識別的風險哪些是需要特別考慮的重大錯報風險(以下簡稱特別風險)。
    (二)確定特別風險時應(yīng)考慮的事項
    (三)非常規(guī)交易和判斷事項導致的特別風險
    日常的、不復雜的、經(jīng)正規(guī)處理的交易不太可能產(chǎn)生特別風險。特別風險通常與重大的非常規(guī)交易和判斷事項有關(guān)。
    非常規(guī)交易是指由于金額或性質(zhì)異常而不經(jīng)常發(fā)生的交易。判斷事項通常包括做出的會計估計。
    (四)考慮與特別風險相關(guān)的控制
    了解與特別風險相關(guān)的控制,有助于注冊會計師制定有效的審計方案予以應(yīng)對。對特別風險,注冊會計師應(yīng)當評價相關(guān)控制的設(shè)計情況,并確定其是否已經(jīng)得到執(zhí)行。由于與重大非常規(guī)交易或判斷事項相關(guān)的風險很少受到日常控制的約束,注冊會計師應(yīng)當了解被審計單位是否針對該特別風險設(shè)計和實施了控制。
    如果管理層未能實施控制以恰當應(yīng)對特別風險,注冊會計師應(yīng)當認為內(nèi)部控制存在重大缺陷,并考慮其對風險評估的影響。在此情況下,注冊會計師應(yīng)當就此類事項與治理層溝通。
    三、僅通過實質(zhì)性程序無法應(yīng)對的重大錯報風險
    作為風險評估的一部分,如果認為僅通過實質(zhì)性程序獲取的審計證據(jù)無法將認定層次的重大錯報風險降至可接受的低水平,注冊會計師應(yīng)當評價被審計單位針對這些風險設(shè)計的控制,并確定其執(zhí)行情況。
    在被審計單位對日常交易采用高度自動化處理的情況下,審計證據(jù)可能僅以電子形式存在,其充分性和適當性通常取決于自動化信息系統(tǒng)相關(guān)控制的有效性,注冊會計師應(yīng)當考慮僅通過實施實質(zhì)性程序不能獲取充分、適當審計證據(jù)的可能性。
    十四、與治理層和管理層的溝通
    (一)、就內(nèi)部控制重大缺陷與治理層和管理層溝通
    注冊會計師在了解和測試內(nèi)部控制的過程中可能會注意到內(nèi)部控制存在的重大缺陷。注冊會計師將其告知適當層次的管理層或治理層,將有助于管理層和治理層履行其在內(nèi)部控制方面的職責。因此,注冊會計師應(yīng)當及時將注意到的內(nèi)部控制設(shè)計或執(zhí)行方面的重大缺陷,告知適當層次的管理層或治理層。
    下列情況通常表明內(nèi)部控制存在重大缺陷:
    1.注冊會計師在審計工作中發(fā)現(xiàn)了重大錯報,而被審計單位的內(nèi)部控制沒有發(fā)現(xiàn)這些重大錯報;
    2.控制環(huán)境薄弱;
    3.存在高層管理人員舞弊跡象(無論涉及金額大?。?BR>    二、就重大錯報風險的控制與治理層溝通
    如果識別出被審計單位未加控制或控制不當?shù)闹卮箦e報風險,或認為被審計單位的風險評估過程存在重大缺陷,注冊會計師應(yīng)當就此類內(nèi)部控制缺陷與治理層溝通。