导图社区 2021CPA审计风险评估
2021CPA审计风险评估思维导图。该导图介绍了风险识别和评估概述、风险评估程序、项目组内部讨论、了解被审计单位及其环境等。
编辑于2021-06-24 14:41:00第七章 风险评估★★★
一、 风险识别和评估概述
概念:通过实施风险评估程序,识别和评估财报层次和认定层次的重大错报风险
发现风险,评估风险的严重性
要求:了解被审计单位及其环境是必要程序
二、 风险评估程序
1. 询问
2. 分析(应当运用)
3. 观察
4. 检查
链接第三章
5. 穿行测试
含义:追踪交易在财务报告信息系统中的处理过程
若干程序的组合运用:询问、观察、检查
操作:追踪一笔或几笔交易在业务流程中如何生成→记录→处理→报告,及相关内控如何执行
设计如何?是否执行?
目的:了解相关控制并确定控制是否得到执行
穿行测试运用于风险评估,→相关控制是否执行?
坑:执行有效
重新执行运用于控制测试,→相关控制运行的有效性
1、3、4、5可用于了解内控,2不用于了解内控
三、 项目组内部讨论
专业术语
目标
交流信息和分享见解、确定进一步审计程序等
内容
与经营风险、舞弊、错报等相关、职业怀疑重要性
紧紧围绕“风险评估和应对”
人员
关键人员(包项目合伙人)不应缺席、专家(如适用)
项目合伙人向未与加者告知
时间和方式
四、 了解被审计单位及其环境
从“三层六点”上了解
1. 行业状况、法律环境和监管环境及其他外部因素
供过于求、行业不景气:收入下降→收入高估风险
出现强势竞争对手和新型产品:收入下降、存货跌价→收入高估、存货减值风险
会计准则修订更新:存在运用不当风险
违章建筑、责令拆除:未进行正确处理风险
未正确执行税务政策:未确认递延所得税资产或负债的风险
货币政策、财政刺激政策等、赔款罚金、因诉讼产生的预计负债或营业外支出等
其他:融资的课获得性、通货膨胀、币值变动等
外部环境
CPA了解重点:经营活动可能产生重要影响的关键外部因素及重大变化
2. 性质
(1) 所有权结构
识别关联方关系和交易、了解控股公司并评估相关舞弊风险(如:一股独大)
(2) 治理结构
董事会构成、独立董事的履职、审计委员会和监事会
(3) 组织结构
长投和财报合并、商誉减值、对子公司、联营、合营企业的投资
(4) 经营活动
市场信息、劳动用工安排、研发活动、关联方交易
(5) 投资活动
并购和重组、资本性投资活动
(6) 筹资活动
评估持续经营能力、债务结构
(7) 财务报告
收入确认惯例、公允价值会计核算
三结构三活动一报告
3. 目标、战略和经营风险
(1) 行业发展
(2) 开发新产品或提供新服务
(3) 行业扩张
(4) 新的会计要求
(5) 监管要求
(6) 本期及未来的融资条件
(7) 信息技术的运用
(8) 实施战略的影响
经营的风险对重大错报的影响
多数经营风险最终都会产生财务后果
经营风险可能对认定层或报表层重大错报风险产生直接影响
CPA没有责任识别和评估对财报没重大影响的经营风险
4. 内部控制
经营环境
5. 会计政策的选择和运用
财会人员的胜任能力
新颁布的财务报告准则
重大和异常交易的会计处理
会计政策变更
6. 财务业绩的衡量和评价
员工业绩考核与激励性报酬政策
关键业绩指标、关键比率、趋势和经营统计数据
外部机构报告
与竞争对手的业绩比较
为了考虑管理层是否面临业绩指标压力而舞弊
财务环境
五、 了解被审计单位的内部控制
1. 内控的基本概念
内部控制是被审计单位为了①合理保证财务报告的可靠性、②经营的效率和效果以及③对法律法规的遵守,由管理层或治理层和其他人员设计与执行的政策及程序
内控三目标:财报、经营、合规
2. 了解内控的要求
CPA应当在所有审计项目中了解内部控制
了解和评价的只是与审计相关的内控
深度:评价控制的设计并确定其是否得到执行,但不包括对控制是否得到一贯执行的测试
CPA对内控的了解不足以测试控制运行的有效性,除非某些可以使控制得到一贯运行的自动化控制
程序:询问、检查、观察、穿行测试
坑:分析×
3. 控制五要素(COSO框架)
(1) 控制环境p135
治理职能和管理职能
CPA应当了解内控环境,在承接阶段就需要对其作出初步了解和评价
内容
1||| 诚信和道德价值观念的沟通与落实
2||| 对胜任能力的重视
3||| 治理层的参与程度
4||| 管理层的理念和经营风险
5||| 组织结构及职权与责任的分配
6||| 人力资源政策与实务
影响
广泛性
舞弊
错报
强调整个企业,宏观
(2) 风险评估过程
指被审计单位的管理层对公司的风险评估
(3) 信息系统与沟通
财务系统适应业务流程
(4) 控制活动
内容
授权
一般授权和特别授权
业绩评价
分析财务数据与经营数据、评价实际业绩与预算、比较内部数据与外部信息等
信息处理
应当了解信息技术的一般控制与应用控制
实务控制
安全保护、访问授权、定期盘点
职责分离
交易授权、交易记录以及资产保管应当职责分离
对CPA的要求
如何防止或发现并纠正各类认定的错报
预防性或检查性
不必了解每一项控制活动
强调规章制度本身,具体
(5) 对控制的监督
持续的监督
贯穿于日常经营活动与常规管理工作中 (日常,员工)
单独的评价
内部审计人员对内部控制的设计和执行进行专门评价 (定期,内审)
4. 在整体层面和业务流程层面了解内控
如何了解?
(1) 两个层面
1||| 整体层面
与控制环境、被审计单位整体有关
考虑舞弊和管理层凌驾于内控之上的风险
信息技术的一般控制
财务报告流程的控制
宏观
2||| 业务流程层面
与业务流程和认定相关
信息系统的应用控制
控制活动
微观
(2) 步骤
1. 确定重要业务流程和重要交易类别
2. 了解重要交易流程,并进行记录
3. 确定可能发生错报的环节
4. 识别和了解相关控制
1||| 预防性控制:强调事先预防/前置规则
审批、授权、职责分离
2||| 检查性控制:强调事后复核
复核、对账、盘点
5. 执行穿行测试以证实交易流程和相关控制的了解
穿行测试的目的:设计如何?是否执行?
确认对业务流程的了解
确认对重要交易的了解是完整的
确认预防性和检查性控制信息的准确性
识别可能发生错报的环节
评估设计的有效性
确认控制是否执行
坑:执行的有效性×
6. 初步评价和风险评估
控制的设计√执行√→内控预期有效
5. 评估重大错报风险
链接第一章
考虑因素
风险的性质、错报的规模、发生的可能性
财务报表层次
对应COSO的“控制环境”,都是公司整体的概念
与财务报表整体广泛相关,影响多项认定(宏观)
重大经营风险、持续经营能力的重大疑虑
薄弱的控制环境
频繁更换关键岗位人员
信息技术一般控制缺陷
管理层凌驾于内控之上
舞弊风险
认定层次
大部分对应的是COSO的”信息系统与沟通“、“控制活动”,具体
与特定的交易、账户余额和披露相关(微观)
通常对应具体的财报项目
考虑特别风险
报表层和认定层都有可能有特别风险
需考虑因素:舞弊、重大关联方交易、异常重大交易、财务信息计量的主管程度(会计估计)等
不考虑:控制对相关风险的抵销效果(即控制风险)
针对固有风险