导图社区 CPA审计✅第七章风险评估
包含了解被审计单位内部控制体系各要素、风险评估程序信息来源以及项目组内部的讨论等内容。最新,最全 CPA 笔记,希望可以对大家有所帮助!
编辑于2023-12-13 14:54:39第二编- 第七章 风险评估
第一节 风险识别和评估概述
一、风险识别 和评估的概念
1.在风险导向审计模式下,风险的识别和评估是审计风险控制流程的起点。 风险识别和评估,是指注册会计师通过设计、实施风险评估程序,识别和评估重大错报风险(包括财务报表层次和认定层次)
(1)风险识别:找出财务报表层次和认定层次的重大错报风险
(2)风险评估:对重大错报发生的可能性及后果严重程度进行评估
2.了解被审计单位及其环境、适用的财务报告编制基础和内部控制体系各要素是风险识别和评估的基础。
3.CPA 对被审计单位及其 环境等方面情况的了解程度:
(1)【上限】管理层对被审计单位及其环境等方面情况了解的程度 注册会计师对被审计单位及其环境等方面情况了解的程度低于管理层为经营管理企业而对被审计单位及其环境等方面情况需要了解的程度
(2)【下限】注册会计师获得的了解是否足以为识别、评估财务报表层次及认定层次重大错报风险和设计进一步审计程序提供依据
二、风险识别 和评估的作用
1.了解被审计单位及其环境、适用的财务报告编制基础和内部控制体系各要素是必要程序,是一个连续和动态地收集、更新与分析信息的过程, 贯穿于整个审计过程的始终。注册会计师的预期可能随着获得的新信息而发生变化。
2.为 CPA 在下列关键环节 作出职业判断提供重要基础:
(1)确定重要性水平,同时,随着审计工作的进程评估对重要性水平的判断是否仍然适当;
(2)考虑会计政策的选择和运用是否恰当,以及财务报表列报是否适当;
(3)识别与财务报表中金额或披露相关的需要特别考虑的领域,包括关联方交易、管理层运用持续经营假设的合理性,或考虑交易是否具有合理的商业目的等;
(4)确定在实施分析程序时使用的预期值;
(5)设计和实施进一步审计程序,以将审计风险降至可接受的低水平;
(6)评价获取审计证据的充分性和适当性。
第二节 风险评估程序、 信息来源以及项目组内部的讨论
一、风险评估程序 和信息来源
风险评估程序 的含义
是指 CPA 为了解被审计单位及其环境,识别和评估财务报表重大错报风险而实施的程序
CPA 保持职业怀疑 的情况
质疑相矛盾的信息以及文件的可靠性
考虑管理层和治理层对询问的答复以及从管理层和治理层获取的其他方面的信息
对可能表明存在由舞弊或错误导致的错报的情况保持警觉
根据被审计单位的性质和具体情况,考虑获取的审计证据是否支持 CPA 对重大错报风险的识别和评估
风险评估 的各项程序
CPA 应当实施下列风险评估程序,以了解被审计单位及其环境
1.询问管理层和 被审计单位内部其他合适人员
(1)管理层和财务负责人 (可以考虑询问的内容)
(2)询问其他不同层级和职责的适当的人员 (可以询问的人员)
2.分析程序 实施分析程序有助于 CPA 识别不一致的情形、异常的交易或事项,以及可能对审计产生影响的金额、比率和趋势。识别出的异常或未预期到的关系可以帮助 CPA 识别重大错报风险,特别是由舞弊导致的重大错报风险。
(1)异常项目:事实与被审计单位财务数据之间存在矛盾,如存货销路不畅
(2)行业情况:行业情况与被审计单位之间存在不一致,如行业低迷
(3)变动趋势:对比期内的增长率是否存在波动,如收入增长率
(4)关键指标:关键指标是否异常,如毛利率是否与行业及历史情况不一致
(5)结构变化:内部结构是否异常,如差旅费、业务招待费与经营情况是否匹配
3.观察和检查
(1)观察和检查程序可以支持对管理层和其他相关人员的询问结果, 并可以提供有关被审计单位及其环境等方面情况的信息。
(2)注册会计师应当实施下列观察和检查程序:
①.观察被审计单位的生产经营活动
②.检查内部文件(如经营计划和策略)、记录和内部控制手册
③.阅读由管理层和治理层编制的报告(属于检查)
④.实地察看生产经营场所和厂房设备(实物检查)
⑤.追踪交易在财务报告信息系统中的处理过程(穿行测试)
二、其他审计程序和信息来源
1.其他审计程序
含义
如果根据职业判断认为从被审计单位外部获取的信息有助于识别重大错报风险,应当实施其他审计程序以获取这些信息。
应用
询问外部人员
包括被审计单位聘请的外部法律顾问、专业评估师等
阅读外部信息
包括证券分析师、银行等出具的有关被审计单位及其所处行业的经济状况的报告
2.其他信息来源
CPA 应当考虑在评价客户关系和审计业务的接受或保持过程中获取的信息是否有助于识别重大错报风险。
对于连续审计业务,如果拟利用以往与被审计单位交往的经验和以前审计中实施审计程序获取的信息, CPA 应当确定被审计单位及其环境自以前审计后是否已发生变化,进而可能影响这些信息对本期审计的相关性
被审计单位或其环境的变化可能导致此类信息在本期审计中已不具有相关性
三、项目组内部的讨论
1.概述
(1)项目组内部讨论在所有业务阶段都非常必要,可以保证所有事项得到恰当的考虑。
(2)如作为项目组内部讨论内容,考虑适用的财务报告编制基础中的披露要求,有助于注册会计师在审计工作的早期识别可能存在的与披露相关的重大错报风险领域。
2.讨论的目的
项目组内部就财务报表易于发生重大错报的可能性, 以及如何根据被审计单位的具体情况运用适用的 财务报告编制基础进行的讨论可以达到下列目的:
(1)使经验较丰富的项目组成员(包括项目合伙人)有机会分享其根据对被审计单位的了解形成的见解;
(2)使项目组成员能够讨论被审计单位面临的经营风险,固有风险因素如何影响各类交易、账户余额和披露易于发生错报的可能性,以及财务报表易于发生由舞弊或错误导致的重大错报的方式和领域;
(3)帮助项目组成员更好地了解在各自负责的领域中潜在的财务报表重大错报,并了解各自实施的审计程序的结果可能如何影响审计的其他方面,包括对确定进一步审计程序的性质、时间安排和范围的影响。特别是讨论可以帮助项目组成员基于各自对被审计单位性质和情况的了解,进一步考虑相矛盾的信息;
(4)为项目组成员交流和分享在审计过程中获取的、可能影响重大错报风险评估结果或应对这些风险的审计程序的新信息提供基础。
3.讨论的内容 受项目组成员的职位、经验和所需要的信息的影响。 讨论的三个主要领域:
(1)分享了解的信息
(2)分享审计思路和方法
(3)为项目组指明审计方向
4.参与讨论的人员 应当运用职业判断确定项目组内部参与讨论的成员:
(1)项目组的关键成员应当参与讨论,但不要求所有成员每次都参与项目组的讨论;
(2)如果项目组需要拥有信息技术或其他特殊技能的专家,这些专家可根据需要参与讨论;
(3)参与讨论人员的范围受项目组成员的职责经验和信息需要的影响。
5.讨论的时间和方式
(1)审计项目组应当根据审计的具体情况,在整个审计过程中持续交换有关财务报表发生重大错报可能性的信息。
(2)在讨论时,项目组应当强调在整个审计过程中保持职业怀疑,警惕可能发生重大错报的迹象,并对这些迹象进行严格追踪。
第三节 了解被审计单位及其环境 和适用的财务报告编制基础
一、总体要求
1.CPA 应当实施风险评估程序, 以了解下列三个方面
2. 基本思路
在首次执行某项审计业务时,风险评估程序的性质和范围可能比执行连续审计业务的情况下更为广泛
在后续期间,CPA 可以重点关注自上一期间后发生的变化。识别被审计单位在上述各个方面与以前期间相比发生的重大变化,对于充分了解被审计单位情况、识别和评估重大错报风险尤为重要
CPA 应当运用职业判断来确定为遵守审计准则的要求而需要实施的风险评估程序的性质和范围
3. 被审计单位的行业形势、法律环境、监管环境和其他外部因素可能影响到被审计单位的目标、战略以及相关经营风险。
4. 被审计单位的性质、目标、战略以及相关经营风险可能影响到被审计单位对会计政策的选择和运用,以及内部控制的设计和执行。
二、组织结构、所有权 和治理结构、业务模式
1. 所有权结构
CPA 应当了解所有权结构以及所有者与其他人员或实体之间的关系,包括关联方,考虑关联方关系是否已经得到识别,以及关联方交易是否得到恰当会计处理。
CPA 还应当了解所有者、治理层、管理层之间的区别。例如,在较不复杂的被审计单位中,所有者可能参与管理被审计单位,因此,三者之间只有很小的区别或没有区别
2.治理结构 良好的治理结构可以对被审计单位的经营和财务运作以及财务报告实施有效监督,从而降低财务报表发生重大错报的风险。 注册会计师应当考虑治理层是否能够在独立于管理层的情况下对被审计单位事务包括财务报告作出客观判断。
3.组织结构 复杂的组织结构可能导致某些特定的重大错报风险,包括财务报表合并、商誉减值以及长期股权投资核算等问题,以及财务报表是否已对这些问题作了充分披露。
4.业务模式
(1)了解业务模式主要是为了了解和评价被审计单位经营风险可能对财务报表重大错报产生的影响。
(2)由于多数经营风险最终都会产生财务后果,从而影响财务报表,因此,了解影响财务报表的经营风险有助于注册会计师识别重大错报风险。 尽管多数经营风险最终都会导致财务后果,从而影响财务报表,但并非所有的经营风险都会导致重大错报风险。
(3)注册会计师并非需要了解被审计单位业务模式的所有方面。 经营风险比财务报表重大错报风险范围更广,注册会计师没有责任了解或识别所有的经营风险。
(4)CPA 了解被审计单位的目标、战略和业务模式有助于从战略层面和整体层面了解被审计单位,并了解被审计单位承担和面临的经营风险
(4)注册会计师在了解可能导致财务报表重大错报风险的业务模式、 目标、战略及相关经营风险时,可以考虑下列事项:
(5)CPA 在了解被审计单位业务 模式时,包括了解下列活动:
①.经营活动 有助于注册会计师识别预期在财务报表中反映的主要交易类别、重要账户余额和披露。主要包括: 收入来源(包括主营业务的性质);产品或服务以及市场的性质;业务的开展情况;联盟、合营与外包情况;地区分布与行业细分;生产设施、仓库和办公室的地理位置,存货存放地点和数量;关键客户及货物和服务的重要供应商,劳动用工安排;研究与开发活动及其支出;关联方交易。
②.投资活动 有助于注册会计师关注被审计单位在经营策略和方向上的重大变化。 主要包括:并购或资产处置;证券与贷款的投资和处置;资本性投资活动;对未纳入合并范围的实体的投资。
③.筹资活动 有助于注册会计师评估被审计单位在融资方面的压力,并进一步考虑被审计单位在可预见未来的持续经营能力。 主要包括:主要子公司和联营企业的所有权结构;债务结构和相关条款;重要融资安排;实际受益方及关联方;衍生金融工具的使用。
三、行业形势、法律环境 和监管环境及其他外部因素
1.行业形式
了解行业形势有助于 CPA 识别与被审计单位所处行业有关的重大错报风险
被审计单位经营所处的行业可能由于其经营性质或监管程度导致产生特定的重大错报风险
CPA 应当了解被审计单位 的行业形势,主要包括:
(1)所处行业的市场与竞争,包括市场需求、生成能力和价格竞争
(2)生产经营的季节性和周期性
(3)与被审计单位产品相关的生产技术发展
(4)能源供应与成本
2.法律环境与监管环境
CPA 了解被审计单位法律环境 与监管环境的主要原因有:
某些法律法规或监管要求可能对被审计单位经营活动有重大影响,如不遵守将导致停业等严重后果
某些法律法规或监管要求(如环保法等)规定了被审计单位某些方面的责任和义务
某些法律法规或监管要求决定了被审计单位需要遵循的行业惯例和核算要求
CPA 应当了解被审计单位所处的 法律环境与监管环境,主要包括:
(1)适用的财务报告编制基础
(2)受管制行业的法规框架,包括披露要求
(3)对被审计单位经营活动产生重大影响的法律法规,如劳动法
(4)税收相关法律法规
(5)目前对被审计单位开展经营活动产生影响的政府政策,如货币政策、财政政策等
(6)影响行业和被审计单位经营活动的环保要求
3.其他外部因素
(1)宏观经济状况及未来发展趋势
(2)目前国内或本地区的经济状况(如增长率、失业率、利率)怎样影响被审计单位的经营活动
(3)被审计单位的经营活动是否受到汇率波动或全球市场力量的影响
4.了解的重点和程度
(1)注册会计师可以考虑将了解的重点放在对被审计单位的经营活动可能产生重要影响的关键外部因素及与前期相比发生的重大变化上。
(2)注册会计师应当考虑被审计单位所在行业的业务性质或者监管程度是否可能导致特定的重大错报风险,考虑项目组是否配备了具有相关知识和经验的成员。
(3)建筑行业长期合同设计收入和成本的重大估计,可能导致重大错报风险
(4)银行监管机构对商业银行的资本充足率有专门规定,不能满足这一监管要求的商业银行可能有操纵财务报表的动机和压力
四、被审计单位 财务业绩的衡量标准
通过询问管理层等程序,了解用于评价被审计单位财务业绩的衡量标准, 有助于 CPA 考虑这些内部或外部的衡量标准, 是否会导致被审计单位面临实现业绩目标的压力
1.了解的主要方面
(1)关键业绩指标(财务或非财务的)、关键比率、趋势和经营统计数据;
(2)同期财务业绩比较分析;
(3)预算、预测、差异分析,分部信息与分部、部门或其他不同层次的业绩报告;
(4)员工业绩考核与激励性报酬政策;
(5)被审计单位与竞争对手的业绩比较;
(6)外部机构或人员也会衡量和评价被审计单位的业绩,如分析师或信用机构,新闻和其他媒体,税务机关,监管机构,商会和资金提供方;
(7)外部机构或人员也会衡量和评价被审计单位的业绩,如分析师或信用机构,新闻和其他媒体,税务机关,监管机构,商会和资金提供方。
2.财务业绩衡量的结果 及可靠性的考虑
(1)实现业绩目标的压力可能促使管理层采取某些措施,从而增加易于发生由管理层偏向或舞弊导致的错报的可能性。
(2)注册会计师可以通过询问管理层或外部机构或人员了解被审计单位业绩信息或相关评价事宜。
(3)注册会计师应当关注被审计单位内部财务业绩衡量所显示的未预期到的结果或趋势、管理层的调查结果和纠正措施,以及相关信息是否显示财务报表可能存在重大错报。
(4)如果拟利用被审计单位内部信息系统生成的财务业绩衡量指标,注册会计师应当考虑相关信息是否可靠,以及利用这些信息是否足以实现审计目标。
五、适用的财务报告编制基础、 会计政策及变更会计政策的原因
1.概述
注册会计师应当了解适用的财务报告编制基础、会计政策及变更会计政策的原因,并评价被审计单位的会计政策是否适当、是否与适用的财务报告编制基础一致。
2.了解时 需要考虑的事项
3.了解固有风险因素如何影响 认定易于发生错报的可能性(2023新增)
(1)固有风险因素的概念 固有风险因素指在不考虑内部控制的情况下,导致交易类别、账户余额和披露的某一认定易于发生错报(无论该错报是由舞弊还是错误导致)的因素。 注册会计师应当了解被审计单位在按照适用的财务报告编制基础编制财务报表时,固有风险因素如何影响各项认定易于发生错报的可能性。
(2)与适用的财务报告编制基础要求的信息编制相关的固有风险因素 固有风险因素可能是定性或定量的,包括复杂性、主观性、变化、不确定性 以及由影响固有风险的管理层偏向或其他舞弊风险因素导致易于发生错报的其他因素。
①.
②.
③.
④.
(3)固有风险因素对某类交易、 账户余额和披露的影响
某类交易、账户余额和披露由于其复杂性或主观性而导致易于发生错报的可能性,通常与其变化或不确定性的程度密切相关。 例如,如果被审计单位存在一项基于假设的会计估计,其选择涉及重大判断,则这项会计估计的计量可能受到主观性和不确定性的影响。
某类交易、账户余额和披露由于其复杂性或主观性而导致易于发生错报的可能性越大,CPA 越有必要保持职业怀疑
第四节 了解被审计单位内部控制体系各要素
一、内部控制的概念和要素
1.内部控制是“规章制度”(是指被审计单位为实现控制目标所制定的政策和程序)。
2.内部控制体系,是指由治理层、管理层和其他人员设计、执行和维护的体系,以合理保证被审计单位能够实现财务报告的可靠性,提高经营效率和效果,以及遵守适用的法律法规等目标。
3.无论如何对内部控制要素进行分类,CPA 都应当重点考虑,被审计单位的某项控制是否能够以及如何防止或发现并纠正各类交易、账户余额和披露存在的重大错报。
二、直接控制和间接控制
1.识别与审计相关的控制的方法 针对财务报表审计的目的和需要, CPA 只应当了解与审计相关的控制。
(1)
(2)应当了解与审计相关的控制,不是与财务报表相关的内部控制; 虽然大部分与审计相关的控制可能与财务报告相关,但并非所有与财务报告相关的控制都与审计相关,确定一项控制单独或连同其他控制是否与审计相关,需要 CPA 作出职业判断
(3)财务报表审计的目标是对是否不存在重大错报发表审计意见,而不是对内部控制有效性发表审计意见;
(4)注册会计师需要了解和评价的只是与审计相关的内部控制,并非被审计单位所有的内部控制;
(5)被审计单位通常有一些与目标相关但与审计无关的控制,注册会计师无须对其加以考虑;
(6)如果多项控制活动能够实现同一目标,不必了解与该目标相关的每项控制活动。
2.直接控制和间接控制区分的依据及作用 与审计相关的控制,按照其对防止、发现或纠正认定层次错报发挥作用的方式,分为直接控制和间接控制。 这种分类有助于注册会计师识别和评估财务报表层次以及认定层次的重大错报风险。
(1)
(2)信息系统与沟通以及控制活动要素中的控制主要为直接控制。(更有可能影响认定层次重大错报风险的识别和评估)
(3)内部环境、风险评估和内部监督中的控制主要是间接控制,该类控制虽不足以精准地防止、发现或纠正认定层次的错报,但可以支持其他控制,因此,该类控制可能间接影响及时发现或防止错报发生的可能性。这些要素中的某些控制也可能是直接控制。(更有可能影响财务报表层次重大错报风险的识别和评估)
(4)内部环境为内部控制体系其他要素的运行奠定了总体基础。内部环境不能直接防止、发现并纠正错报,但其可能影响内部控制体系其他要素中控制的有效性。同样,风险评估和内部监督也旨在支持整个内部控制体系。
三、了解内部控制的性质和程度
1.了解内部控制的性质
(1)注册会计师了解内部控制的目的,就是为了评价控制设计的有效性以及控制是否得到执行。
(2)这有助于注册会计师设计和实施进一步审计程序,包括计划测试控制运行的有效性。
2.了解内部控制的程度
(1)对内部控制了解的程度,是指注册会计师在实施风险评估程序时,了解被审计单位内部控制的范围及深度。
(2)
3.了解内部控制的程序
(1)询问被审计单位人员
(2)观察特定控制的运用
(3)检查文件和报告
(4)追踪交易在财务报告信息系统中的处理过程(穿行测试)
4.了解内部控制与测试控制运行有效性的关系
(1)
(2)除非存在某些可以使控制得到一贯运行的自动化控制(一般控制),否则对控制的了解并不足以测试控制运行的有效性。
四、内部控制的人工和自动化成分 (特征及其影响)
1.概述
2.人工控制的适用范围 内部控制的人工成分在处理下列需要主观判断或酌情处理的情形时可能更适当:
(1)存在大额、异常或偶发的交易
(2)存在难以界定、预计或预测的错误的情况
(3)针对变化的情况,需要对现有的自动化控制进行人工干预
(4)监督自动化控制的有效性
3.不适合采用人工控制的情形 相对于自动化控制,人工控制的可靠性较低。
(1)存在大量或重复发生的交易
(2)事先可预计或预测的错误能够通过自动化处理得以防止或发现并纠正
(3)用特定方法实施控制的控制可得到适当设计和自动化处理
4.人工控制的特定风险
(1)人工控制可能更容易被规避、忽视或凌驾(人情世故)
(2)人工控制可能不具有一贯性(情绪/生病)
(3)人工控制可能更容易产生简单错误或失误(忙中出错)
五、内部控制的局限性 固有局限性是指,内部控制(设计与运行)无论如何有效,都只能为被审计单位实现财务报告目标提供合理保证。
1.固有局限性的原因
(1)在决策时人为判断可能出现错误、人为失误导致内部控制失效
(2)可能由于两个或更多的人员串通或管理层不当地凌驾于内部控制之上而被规避
(3)其他原因:人员素质,成本效益及异常情况
2.固有限制的影响
(1)内部控制不论如何有效,只能对财务报告可靠性提供合理保证,不能提供绝对保证。
(2)(重要交易、流程、领域方面)无论评估的控制风险多低,都不能仅依赖内部控制而不实施实质性程序。
六、与财务报表编制相关的内部环境
1.审计准则规定,CPA 为了解与财务报表编制 相关的内部环境,应当实施以下风险评估程序:
(1)了解相关的控制、 流程和组织结构:
①.管理层如何履行其管理职责,例如管理层是否重视诚信、道德和价值观等;
②.在治理层与管理层分离的体制下,治理层的独立性以及治理层监督内部控制体系的情况;
③.被审计单位内部权限和职责的分配情况;
④.被审计单位如何吸引、培养和留住具有胜任能力的人员;
⑤.被审计单位如何使其人员致力于实现内部控制体系的目标。
(2)评价下列方面:
①.在治理层的监督下,管理层是否营造并保持了诚实守信和合乎道德的文化;
②.根据被审计单位的性质和复杂程度,内部环境是否为内部控制体系的其他要素奠定了适当的基础;
③.识别出的内部环境方面的控制缺陷,是否会削弱被审计单位内部控制体系的其他要素。
2.内部环境的概念
(1)内部环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和行动。
(2)内部环境设定了被审计单位的内部控制基调,影响员工的内部控制意识, 并为被审计单位内部控制体系中其他要素的运行奠定了总体基础。
(3)在审计业务承接阶段,注册会计师就要对内部环境作出初步了解和评价。
3.内部环境的内容(6要素)
(1)对诚信和道德价值观念的沟通与落实
(2)对胜任能力的重视
(3)治理层的参与程度
(4)管理层的理念和经营风格
(5)职权与责任的分配
(6)人力资源政策与实务
4.内部环境的影响
(1)在评估重大错报风险时,应将内部环境连同其他内部控制要素产生的影响一并考虑。
(2)令人满意的内部环境有助于降低发生舞弊的风险,但不能绝对防止舞弊。
(3)有效的内部环境还能为注册会计师相信以前年度和期中测试过的控制将继续有效运行提供一定基础。
(4)内部环境对重大错报风险的影响
七、与财务报表编制相关的风险评估工作
1.审计准则规定,注册会计师为了解被审计单位与财务报表编制相关的风险评估工作,应当实施以下风险评估程序:
(1)了解被审计单位的下列工作:
①.识别与财务报告目标相关的经营风险;
②.评估上述风险的重要程度和发生的可能性;
③.应对上述风险。
(2)根据被审计单位的性质和复杂程度,评价其风险评估工作是否适合其具体情况。
2.风险评估工作概念 被审计单位风险评估工作的作用是识别、评估和管理影响其实现经营目标能力的各种风险。而针对财务报告目标的风险评估则包括识别与财务报告相关的经营风险,评估风险的重大性和发生的可能性,以及采取措施管理这些风险。
3.可能产生风险的事项和情况
(1)监管和经营环境的变化;
(2)新员工的加入;
(3)新信息系统的使用或者对原系统进行升级;
(4)业务快速发展;
(5)新技术;
(6)新业务模式、产品和活动;
(7)企业重组;
(8)发展海外经营;
(9)新的会计政策;
(10)使用信息技术,例如信息技术战略不能有效地支持其经营战略。
4.对风险评估工作的了解与评价
(1)注册会计师可以通过了解被审计单位及其环境的其他方面信息,评价被审计单位风险评估过程的有效性。
(2)如果被审计单位的风险评估符合其具体情况,了解被审计单位的风险评估工作有助于 CPA 识别财务报表的重大错报风险。
(3)
八、与财务报表编制相关的信息系统与沟通
1.CPA 为了解被审计单位与财务报表编制相关 的信息系统与沟通,应当实施以下风险评估程序:
(1)了解被审计单位的信息处理活动(包括数据和信息),在这些活动中使用的资源,针对相关交易类别、账户余额和披露的信息处理活动的政策。
(2)了解被审计单位如何沟通(内部人员之间、管理层与治理层之间、被审计单位与监管机构等外部各方的沟通)与财务报表编制相关的重大事项,以及信息系统和内部控制体系其他要素中的相关报告责任。
(3)评价被审计单位的信息系统与沟通是否能够为被审计单位按照适用的财务报告编制基础编制财务报表提供适当的支持。
2.拓展
(1)与财务报表编制相关的信息系统应当与业务流程相适应。
(2)与财务报表编制相关的信息系统所生成信息的质量,对管理层能否作出恰当的经营管理决策以及编制可靠的财务报告的能力具有重大影响。
九、与财务报表编制相关的控制活动
1.识别用于应对认定层次重大错报风险的控制(2023新增)
(1)应对特别风险的控制;
(2)与会计分录相关的控制,这些会计分录包括用以记录非经常性的、异常的交易,以及用于调整的非标准会计分录;
(3)注册会计师拟测试运行有效性的控制,包括用于应对仅实施实质性程序不能提供充分、适当审计证据的重大错报风险的控制;
(4)注册会计师根据职业判断认为适当的、能够有助于其实现与认定层次重大错报风险有关目标的其他控制。
2.注册会计师为了解与财务报表编制相关的控制活动,应当实施以下风险评估程序: (2023新增)
3.与财务报表编制相关的控制活动
(1)控制活动是指有助于确保管理层的指令得以执行的政策和程序。CPA 应当按照审计准则规定识别控制活动要素中的控制。这些控制包括信息处理控制和信息技术一般控制,两类控制均可能属于人工控制或自动化控制。
(2)管理层利用和依赖的与财务报告相关的自动化控制涉及自动化方面的控制的程度越高,被审计单位执行信息技术一般控制(应对信息处理控制自动化方面的持续运行)可能就越重要。
(3)控制活动要素中的控制可能与下列事项相关:
十、对与财务报表编制相关的内部控制体系的监督
1.概述
(1)对内部控制体系的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程。
(2)对内部控制体系的监督涉及及时评估控制的有效性并采取必要的补救措施。
2.CPA 在了解被审计单位如何监督 内部控制体系时,可以考虑的相关事项包括:
(1)监督活动的设计,如监督是定期的还是持续的;
(2)监督活动的实施情况和频率;
(3)监督活动结果的定期评价,以确定控制是否有效;
(4)如何通过适当的整改措施应对识别的缺陷,包括与负责采取整改措施的人员及时沟通缺陷。
3.CPA 为了解被审计单位对与财务报表编制相关的内部控制体系 的监督工作,应当实施以下风险评估程序: (2023新增)
(1)了解被审计单位实施的持续性评价和单独评价,以及识别控制缺陷的情况和整改的情况;
(2)了解被审计单位的内部审计,包括内部审计的性质、职责和活动;
(3)了解被审计单位在监督内部控制体系的过程中所使用信息的来源,以及管理层认为这些信息足以信赖的依据;
(4)根据被审计单位的性质和复杂程度,评价被审计单位对内部控制体系的监督是否适合其具体情况。
十一、在整体和业务流程层面了解内部控制
1.概述
(1)注册会计师应当从整体层面和业务流程层面分别了解和评价被审计单位的内部控制。
(2)整体层面的控制和信息技术一般控制通常在所有业务活动中普遍存在,业务流程层面控制主要是对工薪、销售和采购等交易的控制。
2.整体层面控制
(1)整体层面的控制主要包括与内部环境相关的控制;针对管理层和治理层凌驾于控制之上的风险而设计的内部控制等。
(2)整体层面的控制对内部控制在所有业务流程中得到严格的设计和执行具有重要影响。
(3)整体层面控制较差甚至可能使最好的业务流程层面控制失效。
3.业务流程层面控制
(1)了解业务流程层面内部控制, 通常采取下列步骤:
①.确定重要业务流程和相关交易类别;
②.了解相关交易类别的流程,并记录获得的了解(生成、记录、处理及在财务报表中报告的流程);
③.确定可能发生错报的环节;
④.识别和了解相关控制(预防性控制、检查性控制);
⑤.执行穿行测试,证实对交易流程和相关控制的了解;
⑥.进行初步评价和风险评估(评价控制设计的合理性并确定其是否得到执行);
⑦.对财务报告流程的了解(从具体交易的业务流程到过入总账、财务报表以及相关列报的流程)。
(2)扩展
①.【提示1】识别和了解相关控制 (预防性控制、检查性控制)
A.通过对被审计单位的了解,包括在被审计单位整体层面对内部控制各要素的了解,以及在上述程序中对重要业务流程的了解,CPA 可以确定是否有必要进一步了解在业务流程层面的控制。
B.在某些情况下,CPA 之前的了解可能表明被审计单位在业务流程层面针对某些重要交易流程所设计的控制是无效的,或者 CPA 并不打算信赖控制,这时 CPA 没有必要进一步了解在业务流程层面的控制。
C.
②.【提示2】执行穿行测试, 证实对交易流程和相关控制的了解
A.穿行测试用少量事实验证了解所形成的结论,目的是确认各类重要交易在业务流程中发生、处理和记录的过程。
B.如拟信赖内部控制,穿行测试可以提供支持性证据;
C.如果不拟信赖控制,注册会计师仍需要执行适当的审计程序,以确认以前对业务流程及可能发生错报环节了解的准确性和完整性。
D.执行穿行测试可获得以下方面的证据:
a.确认对业务流程的了解;
b.确认对重要交易的了解是完整的,即所有与认定相关的可能错报环节都已识别;
c.确认所获取的有关流程中的预防性控制和检查性控制信息的准确性;
d.评估控制设计的有效性;
e.确认控制是否得到执行;
f.确认之前所做的书面记录的准确性。
E.【对比】穿行测试vs重新执行
第五节 识别和评估重大错报风险
一、概述
1.识别和评估重大错报风险是风险评估阶段的最后步骤。
2.注册会计师了解被审计单位及其环境等方面情况的目的是为了使用通过了解获得的、可能导致财务报表发生重大错报的风险因素(事项或情况)以及内部控制对相关风险的抵销信息,识别和评估财务报表层次以及各类交易、账户余额和披露认定层次的重大错报风险。
3.对重大错报风险的识别和评估结果是注册会计师设计和实施应对措施的依据。
二、识别和评估财务报表层次以及认定层次的重大错报风险
1.识别重大错报风险时考虑的风险因素
2.识别和评估重大错报风险的步骤
(1)概述
(2)识别和评估两个层次的重大错报风险
(3)【对比】财务报表层次重大错报风险vs认定层次重大错报风险
①.财务报表层次重大错报风险
A.在经济不稳定的国家和地区开展业务、资产的流动性出现问题、重要客户流失、融资能力受限等,可能对被审计单位的持续经营能力产生重大疑虑
B.管理层缺乏诚信,或承受异常的压力,或管理层凌驾于控制之上可能引发舞弊风险,这些风险与财务报表整体相关
②.认定层次重大错报风险
A.被审计单位存在复杂的联营或合资,表明长期股权投资账户的认定可能存在重大错报风险
B.被审计单位存在重大的关联方交易,表明关联方及关联方交易的披露认定可能存在重大错报风险
3.识别和评估财务报表层次重大错报风险 对于识别出的财务报表层次重大错报风险,注册会计师应当从下列两方面对其进行评估:
(1)评价这些风险对财务报表整体产生的影响;
(2)确定这些风险是否影响对认定层次风险的评估结果。
4.识别和评估认定层次重大错报风险
(1)相关认定
①.注册会计师应当识别确定哪些认定是“相关认定”,进而确定哪些交易类别、账户余额和披露是“相关交易类别、账户余额和披露”。
②.相关认定:如果注册会计师识别出交易类别、账户余额和披露的某项认定存在重大错报风险,那么,该项认定是相关认定
③.相关交易类别、账户余额和披露:存在相关认定的交易类别、账户余额和披露则被称为相关交易类别、账户余额和披露
④.【提示】注册会计师识别确定某项认定是否属于相关认定,应当依据其固有风险,而不考虑相关控制的影响。
⑤.注册会计师识别出相关认定后,在评估认定层次重大错报风险时,才应当考虑相关控制的影响。
(2)评估
①.总体要求。对于识别出的认定层次重大错报风险,注册会计师应当分别评估固有风险和控制风险。
②.评估固有风险 对于识别出的认定层次重大错报风险,注册会计师应当通过评估错报发生的可能性和重要程度来评估固有风险。在评估时,注册会计师应当考虑:
A.固有风险因素如何以及在何种程度上影响相关认定易于发生错报的可能性;
B.财务报表层次重大错报风险如何以及在何种程度上影响认定层次重大错报风险中固有风险的评估。
③.评估控制风险 注册会计师在拟测试控制运行有效性的情况下,应当评估控制风险。 如果拟不测试控制运行的有效性,则应当将固有风险的评估结果作为重大错报风险的评估结果。
④.确定特别风险 注册会计师应当确定评估的重大错报风险是否为特别风险。 确定特别风险可以使注册会计师通过实施特定应对措施,更专注于那些位于固有风险等级上限的风险。
⑤.两种特殊情形的处理
A.仅实施实质性程序无法应对的重大错报风险 针对某些认定层次重大错报风险,仅实施实质性程序无法为其提供充分、适当的审计证据,注册会计师应当对相关控制的设计和执行进行了解和测试
B.对重大交易类别、账户余额和披露的考虑 如果能够合理预期,某类交易、账户余额和披露中信息的遗漏、错误陈述或含糊表达,可能影响财务报表使用者依据财务报表整体作出的经济决策,则通常认为该类交易、账户余额和披露是重大的。如果注册会计师未将重大交易类别、账户余额和披露确定为“相关交易类别、账户余额和披露”,则应当评价这样做是否适当
⑥.两个层次间相互影响的处理
A.在评估识别的认定层次重大错报风险时,注册会计师可能认为某些重大错报风险与财务报表整体存在广泛联系,可能影响多项认定,在这种情况下,注册会计师可能更新对财务报表层次重大错报风险的识别。
B.如果重大错报风险由于广泛影响多项认定而被识别为财务报表层次重大错报风险,并可以识别出受影响的特定认定,注册会计师应当在评估认定层次重大错报风险的固有风险时考虑这些风险。
5.考虑财务报表的可审计性 如果通过对内部控制的了解发现下列情况,并对财务报表局部或整体的可审计性产生疑问,注册会计师应当考虑出具保留意见或者无法表示意见的审计报告:
(1)会计记录的状况和可靠性存在重大问题,不能获取充分、适当的审计证据以出具无保留意见的审计报告
(2)对管理层诚信存在严重疑虑
(3)【提示】必要时,注册会计师应当考虑解除业务约定
三、评估固有风险等级
1.固有风险等级是指注册会计师对固有风险水平在一个范围内作出的从低到高的判断。
2.注册会计师应使用错报发生的可能性和重要程度综合起来的影响程度,确定固有风险等级。综合起来的影响程度越高,评估的固有风险等级越高,反之亦然。
3.【提示】评估的固有风险等级较高,并不意味着评估的错报发生的可能性和重要程度都较高。
4.错报发生的可能性和重要程度在固有风险等级上的交集确定了评估的固有风险在固有风险等级中是较高还是较低。
5.评估的固有风险等级较高也可能是错报发生的可能性和重要程度的不同组合导致的,例如,较低的错报发生的可能性和极高的重要程度可能导致评估的固有风险等级较髙。
四、需要特别考虑的重大错报风险
1.特别风险的概念 特别风险,是指注册会计师识别出的符合下列特征之一的重大错报风险:
(1)根据固有风险因素对错报发生的可能性和错报的严重程度的影响,注册会计师将固有风险评估为达到或接近固有风险等级的最高级(上限);
(2)根据其他审计准则的规定,注册会计师应当将其作为特别风险。 在判断哪些风险是特别风险时,注册会计师是否需要考虑识别出的控制对相关风险的抵销效果? 在判断哪些风险是特别风险时,注册会计师不应考虑识别出的控制对相关风险的抵销效果。
2.确定特别风险时考虑的事项 以下事项可能导致注册会计师评估认为重大错报风险具有较高的固有风险等级,进而将其确定为特别风险:
(1)交易具有多种可接受的会计处理,因此涉及主观性;
(2)会计估计具有高度不确定性或模型复杂;
(3)支持账户余额的数据收集和处理较为复杂;
(4)账户余额或定量披露涉及复杂的计算;
(5)对会计政策存在不同的理解;
(6)被审计单位业务的变化涉及会计处理发生变化,如合并和收购。
3.非常规交易和判断事项导致的特别风险 特别风险的产生:
(1)
(2)
4.考虑与特别风险相关的控制
(1)对特别风险,注册会计师应当评价相关控制的设计情况,并确定其是否已经得到执行。 与重大非常规交易或判断事项相关的风险很少受日常控制的约束,应了解被审计单位是否针对特别风险设计和实施了(专门)控制。
(2)如果管理层未能实施控制以恰当应对特别风险,注册会计师应当认为内部控制存在值得关注的内部控制缺陷,并考虑其对风险评估的影响。同时,应当就此类事项与治理层沟通。
(3)【对比】是否存在值得关注的内部控制缺陷
五、仅实施实质性程序无法应对的重大错报风险
1.原因 被审计单位对日常交易采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的有效性,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性
2.应对 ·如果认为仅通过实施实质性程序获取的审计证据无法应对认定层次的重大错报风险 ·注册会计师应当评价被审计单位针对这些风险设计的控制,并确定其执行情况 ·注册会计师应当考虑依赖的相关控制的有效性,并对其进行了解、评估和测试
六、修正风险识别或评估结果
评估重大错报风险与了解被审计单位及其环境一样,也是一个连续和动态地收集、更新与分析信息的过程,贯穿于整个审计过程的始终。
七、审计工作底稿 注册会计师应当就下列事项形成审计工作底稿:
1.项目组内部进行的讨论以及得出的重要结论;
2.注册会计师根据对被审计单位及其环境、适用的财务报表编制基础和内部控制体系各要素等所了解到的要点和信息来源,以及实施的风险评估程序。
3.对所识别的控制的设计进行的评价,以及如何确定这些控制是否得到执行的;
4.识别、评估的财务报表层次和认定层次重大错报风险,包括:特别风险,仅实施实质性程序不能提供充分、适当的审计证据的风险,以及作出有关重大判断的理由。