导图社区 第7章风险评估
2020年CPA 注册会计师 考试 VIP课程 笔记 【审计】第7章风险评估
编辑于2020-07-17 22:21:25第7章 风险评估
1. 风险识别和风险评估
1.1. 概念
通过实施风险评估程序,识别和评估报表层次和认定层次的重大错报风险
风险识别:找出风险
风险评估:评估发生的可能性和后果严重程度
了解被审单位及其环境是必要程序,以识别和评估财报重大错报风险,设计和实施进一步审计程序
1.2. 风险评估的作用
确定重要性水平
考虑会计政策的选择和运用是否恰当,以及财务报表的列报是否适当
识别需要特别考虑的领域,包括关联方交易等
确定在实施分析程序时所使用的预期值
设计和实施进一步审计程序,以将审计风险降低至可接受的低水平
评价所获取审计证据的充分性和适当性
1.3. 其他
了解被审单位及其环境是一个连续和动态地收集、更新和分析信息的过程,贯穿于整个过程的始终
需要运用职业判断以确定需要了解被审单位及其环境的程度
评估了解的程度是否恰当,关键看了解是否足以识别和评估财报的重大错报风险
如果了解的信息足以识别和评估财报的重大错报风险,设计和实施进一步审计程序,那么,了解的程度就是恰当的
当然,要求CPA对被审单位了解的程度,要低于管理层为经营管理企业需要了解的程度
2. 风险评估程序 信息来源 项目组内部讨论
2.1. 风险评估程序和信息来源
目的
识别和评估财报的重大错报风险,并针对评估的重大错报风险设计和实施控制测试和实质性程序
“小程序”
询问管理层和内部其他相关人员
分析程序
审计准则的强制要求,必须使用
观察和检查
穿行测试
观察和检查的综合运用
属于了解被审单位相关控制的程序
旨在提供了解相关控制和确定相关控制是否得到执行的审计证据,而不能提供控制有效性的审计证据
只能证明控制是否得到执行,不能证明其是否一贯执行
穿行测试与重新执行的区别
2.2. 其他审计程序和信息来源
询问外部人员
聘请的外部法律顾问、专业评估师、投资和财务顾问
阅读外部信息
报告、报纸期刊、出版物、行业报告和统计数据
其他信息来源
应当考虑在客户接受和保持过程中获取的信息是否与识别重大错报相关
还应当考虑向被审单位提供其他服务所获得的经验是否有助于识别重大错报风险
以前期间获取的信息
2.3. 项目组内部讨论
必须由项目合伙人将讨论内容传达到应参加而未参加人员
3. 了解被审单位及其环境
六方面:4内部1外部1内外结合
3.1. 行业状况、法律环境与监管环境以及其他外部因素(外部因素)
其他外部因素:总体经济情况、利率、融资的可获得性、通货膨胀水平或币值变动等
3.2. 被审单位性质(内部因素)
3结构3活动1报告
所有权结构
治理结构
组织结构
企业的三大结构
经营活动
投资活动
筹资活动
财务管理三大企业活动
财务报告
3.3. 被审单位对会计政策的选择和运用(内部因素)
重大或异常交易的会计处理方法
在缺乏权威性标准或共识、有争议的或新兴领域采用重要的会计政策产生的影响
会计政策的变更
新颂布的财务报告准则、法律法规,以及被审单位何时采用、如何采用这些规定等
3.4. 被审单位的目标、战略以及相关经营风险(内部因素)
经营风险与重大错报风险的联系和区别
经营风险范围更广,并且包括重大错报风险
并非所有经营风险都与财务报表相关,CPA没有责任识别和评估对财报没有影响的经营风险
多数经营风险最终都会产生财务后果,从而影响财务报表,但并非所有的经营风险都会导致重大错报风险
经营风险可能对各类交易、账户余额或披露的认定层次的重大错报风险或财务报表层次重大错报风险产生直接影响
经营风险影响两个层次的错报风险
对小型被审单位通过询问管理层或观察被审单位如何应对这些事项,以获取了解,并评估重大错报风险
3.5. 被审单位财务业绩的衡量和评价(内部和外部因素)
关键业绩指标(财务或非财务的)、关键比率、趋势和经营统计数据
同期财务业绩比较分析
预算、预测、差异分析,分部信息与分部、部门或其他不同层次的业绩报告
员工业绩考核与激励性报酬政策
被审单位与竞争对手的业绩比较
3.6. 被审单位的内部控制(内部因素)
单独一节学习
4. 了解被审单位的内部控制
重点学习
4.1. 内部控制的含义和要素
含义
合理保证
财务报告的可靠性
经营的效率和效果
对法律法规的遵守
目的
治理层、管理层和其他人员参与
可能与审计相关,也可能无关
内控五要素
控制环境
同“学习环境”,包括治理职能和管理职能,以及治管层对内控及其重要性的态度、认识和措施
设定了内部控制的基调,影响员工对内部控制的意识
在业务承接阶段,就需要对控制环境作出初步了解和评价
控制环境 具体包括
对诚信和道德价值观念的沟通和落实
对胜任能力的重视
如:360公司高层大换血
治理层的参与程度
管理层理念和经营风格
组织结构及职权与责任的分配
人力资源政策和实务
报表层次的重大错报风险通常源自于薄弱的控制环境
令人满意的控制环境并不能绝对防止舞弊,也不能防止、发现和纠正重大错报,但却有助于降低发生舞弊的风险
如果控制环境薄弱,则很难认定某一流程的控制是有效的,因此,如果控制环境薄弱,不拟依赖内控,则不对相关认定做控制测试
在评估重大重错报风险时,应当将控制环境连同其他内部控制要素产生的影响一并考虑
风险评估过程
指管理层对经营活动中面临的风险的识别和针对这些风险所采取的措施
应该了解被审单位的风险评估过程和结果
与财务报告相关的信息系统与沟通
信息系统
一系列程序和记录
与财务报告相关的信息系统应当于业务流程相适应
自动化程序和控制可能降低了无意出错的风险,但没有消除个人凌驾于控制之上的风险
全方面的沟通
员工之间的沟通
内部岗位职责以及重大事项的沟通
管理层与治理层的沟通,以及被审单位与外部的沟通
控制活动
授业 信息 失职
5类
授权
一般授权
特别授权
如:重大资本支出和股票发行
业绩评价
实际和预算差异
财务数据与经营数据的内在关系
内部数据和外部信息比较
职能部门、分支机构或项目活动业绩
对异常差异或关系采取的措施
信息处理
一般控制
限制接触或访问权限控制
应用控制
审核账户和试算平衡表
实物控制
访问计算机程序和数据文件设置授权
职责分离
当信息技术运用信息系统时,职责分离可通过设置安全控制来实现
如果多项控制实现同一目标,不必了解与该目标相关的每项控制活动
对控制的监督
内审部门或类似职能人员进行评价
4.2. 与审计相关的控制(广度)
仅了解与审计相关的内部控制
如果与经营和合规性目标相关的控制与CPA实施审计程序时评价或使用的数据相关,则这些控制也可能与审计相关
通常有一些与目标相关但与审计无关的控制,无需对其加以考虑
4.3. 对内部控制了解的深度(深度)
评价控制的设计,并确定是否得到执行,但不包括是否得到一贯执行的测试
在了解内控时,应当首先评价控制的设计,并确定其是否得到执行
实施的风险评估程序
询问、观察、检查、穿行测试
询问并不足以评价控制的设计以及确定其是否得到执行,应当将询问与其他风险评估程序结合使用
【注意】
如果控制设计不当,不需要再考虑控制是否得到执行
一般情况下了解内控并不能取代控制测试,除非存在某些可以使控制得到一贯运行的自动化控制
CPA对控制的了解并不能够代替对控制有效性的测试
4.4. 内部控制的人工和自动化成分
人工控制适用范围
存在大额、异常或偶发的交易
存在难以界定、预计或预测的错误的情况
针对变化的情况,需要对现有的自动化控制进行人工干预
监督自动化控制的有效性
自动化控制适用范围
存在大量或重复发生的交易
事先可预见或预测的错误能够通过自动化控制参数得到防止或发现并纠正
用特定方法实施控制的控制活动可得到适当设计和自动化处理
4.5. 内部控制的局限性
三人为+成本+重复
与审计的局限性比较
报表
程序
时间与成本
人的判断失误(无意)
人员串通或凌驾(故意)
人员素质不适应(素质)
三个人为因素
实施控制的成本大于控制效果,没必要设控制,但不是不能
原有控制针对重复业务,如果出现不经常或未预料业务,可能不适用
4.6. 在整体层面和业务流程层面了解内部控制
整体层面控制影响所有业务流程
业务层面控制影响认定层次重大错报风险
了解业务流程内控的步骤
预防性控制和检查性控制
预防性
事前,防止错报发生。通常持续运行
检查性
事后,发现错报
穿行测试可获得的证据
确认对业务流程的了解
确认对重要交易的了解是完整的,即所有与报表认定相关的可能发生错报的环节都已识别
确认所获取的有关流程中的预防性和检查性控制信息的准确性
评估控制设计的有效性
确认控制是否得到执行
确认之前所作记录的准确性
【注意】
如果不打算依赖内控,仍需要执行适当程序以确认以前对业务流程及可能发生错报环节的准确性和完整性
4.7. 初步评价与风险评估
评估结论
设计好,并得到执行
设计合理,但未执行
设计无效或缺乏必要控制
只是初步结论,可能随着控制测试和实施实质性程序结果发生改变
5. 评估重大错报风险
5.1. 识别报表层次和认定层次的重大错报风险
评估重大错报风险是风险评估的最后一个步骤,在此基础上确定进一步审计程序的性质、时间安排和范围
识别和评估重大错报风险的审计程序
在了解被审单位及其环境的整个过程中,结合对财务报表各类交易、账户余额和披露的考虑,识别风险
结合对拟测试的相关控制的考虑,将识别出的风险与认定层次可能发生错报的领域相联系
评价识别出的风险,并评价其是否更广泛的与财务报表整体相关,进而潜在的影响多项认定
考虑发生错报的可能性,以及潜在错报的重大程度是否足以导致重大错报
识别两个层次的重大错报风险
应当识别和评估两个层次的重大错报风险
识别和评估后,应当确定,识别的重大错报风险是与认定层次相关,还是与报表整体相关,进而影响多项认定
报表层次的重大错报风险可能源于薄弱的控制环境
5.2. 考虑报表的可审计性
情形
被审单位会计记录和可靠性存在重大问题,不能获取充分、适当的审计证据以发表无保留意见
诚信问题
审计意见
保留或无法表示意见,必要时,解除业务约定
5.3. 特别风险
舞弊 凌驾 超重
考虑事项
舞弊
重大变化
交易复杂程度
重大关联方交易
主观程度
异常或超出正常经营过程的重大交易
特别风险通常与重大的非常规交易和判断事项相关
特别要求
特别风险,不考虑控制的抵销效果;且应当评价相关控制的设计情况,并确定其是否得到执行
必须了解与特别风险相关的内部控制
如果管理层未能实施控制以恰当应对特别风险,应当认为内控存在值得关注的内部控制缺陷
如果计划测试旨在减轻特别风险的控制运行的有效性,不应依赖以前审计获取的关于内控运行有效性的审计证据
如果评估的认定层次重大错报风险是特别风险,应当专门针对该风险实施实质性程序
必须做实质性程序,不允许只作控制测试
针对特别风险仅实施实质性程序,这些程序应当包括细节测试,或将实质性分析程序和细节测试相结合
不允许只做实质性分析程序
对特别风险,为将期中得出的结论延申至期末而实施的审计程序通常是无效的,应当考虑在期末或接近期末实施实质性程序
特别风险属审计工作底稿重大事项,属于工作底稿的内容
5.4. 仅通过实质性程序无法应对重大错报风险
被审单位对日常交易采用高度自动化控制
必须做控制测试
老三不行喊老二来
是必须实施控制测试的条件之一
5.5. 对风险评估的修正