《{企业风险管理}第八章了解被审计单位并评估重大错报风险》由会员分享,可在线阅读,更多相关《{企业风险管理}第八章了解被审计单位并评估重大错报风险(54页珍藏版)》请在金锄头文库上搜索。
1、,Auditing,第七章 了解被审计单位并评估重大错报风险,第一节 风险评估概述,一、含义 风险评估,是指以了解被审计单位及其环境为内容,以充分识别和评估财务报表重大错报风险为目的,在设计和实施进一步审计程序之前实施的程序。 总体要求 1.风险评估是必要程序和规定动作;风险导向审计的基本理念。 2.风险评估是一个连续和动态收集、更新和分析信息的过程。(风险评估贯穿于整个审计过程的始终),第一节 风险评估概述,二、风险评估程序( 结合工作底稿) (一)询问 (二)分析程序 (三)观察 (四)检查,第一节 风险评估概述,(五)穿行测试( 结合工作底稿) 1、定义 是指追踪交易在财务报告信息系统中
2、的处理过程,它是一项综合程序,包括询问、观察、检查记录或文件等。(指每类交易循环中选择一笔或几笔业务进行流程测试) 2、目的 证实通过其他审计程序获取的交易流程和相关控制的对设计的了解是否正确,并确定其是否执行。,穿行测试:销售交易 例如:甲注册会计师从接受顾客订单(审批控制)填写销售通知单(审批控制)填写发货单(审核控制)发货(实物控制)开具销售发票(审核控制)记账(职责分离)等交易的整个流程,考虑之前对相关控制的了解是否正确和完整,并确定相关控制是否得到执行。 说明:每一关键业务环节的控制活动并不一定是一种,可能是多种控制活动相结合。,第一节 风险评估概述,三、了解被审单位及其环境(结合工
3、作底稿) (一)行业状况、法律环境与监管环境以及其他外部因素; (二)被审计单位的性质; (三)被审计单位对会计政策的选择和运用; (四)被审计单位的目标、战略以及相关经营风险; (五)被审计单位财务业绩的衡量和评价; (六)被审计单位的内部控制。,第一节 风险评估概述,第二节 了解被审计单位的内部控制,一、内部控制的内涵 内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。 二、与审计相关的内部控制 注册会计师需要了解的内控只是与财务报表审计相关的内控,并非被审计单位的所有内控,而且了解时都要联系到具体的
4、报表的认定。,目标,责任主体,第二节 了解被审计单位的内部控制,三、内部控制的局限性 内控的固有局限性是指,无论如何设计和执行,只能对财务报告的可靠性提供合理的保证,而非绝对的保证。主要包括: 1、在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效; 2、可能两人或更多的人员串通或管理层凌驾于内部控制之上而被规避; 小型被审计单位由于成本效益原则的限制,注册会计师应当考虑一些关键领域是否存在有效的内部控制。,第二节 了解被审计单位的内部控制,四、内部控制的要素 三要素论:控制环境、会计系统、控制程序 五要素论:控制环境、风险评估过程 、信息系统和沟通、控制活动、对控制的监控 COSO
5、委员会(美国的内部控制的专门研究机构)1992年内部控制报告,关注:COSO委员会有关内控的研究与报告,我国的审计准则采用了COSO的内部控制框架对内控要素进行分类。,(一)控制环境,是对内控的设计、执行有影响的因素的统称,它可以增强或削弱具体控制政策和程序的有效性。 对诚信和道德价值观念的沟通与落实 对胜任能力的重视 治理层的参与程度 管理层的理念和经营风格 组织结构与职权和责任的分配 人力资源政策与实务 好的内控:,第二节 了解被审计单位的内部控制,(二)风险评估过程,是指被审计单位识别、评估、管理与财务报告目标有关的各种风险的过程。 风险的来源 识别经营风险 好的内控:专门的评估风险的部
6、门和人员,第二节 了解被审计单位的内部控制,(三)信息系统与沟通,主要是指会计系统生成和传递会计信息。 好的内控:及时、正确的成、记录、处理和报告交易。,第二节 了解被审计单位的内部控制,(四)控制活动(核心),1、授权(审批) 是指保证所有的交易必须在授权的范围内执行。 一般授权:常规交易 例如:100万以下的销售业务有销售经理授权 特别授权:特殊交易或超限额的常规交易(集体决策) 例如:出售子公司;100万以上的销售,第二节 了解被审计单位的内部控制,(四)控制活动(核心),2、职责分离 不相容职责:是指某员工在履行其职责的正常过程中就可能发生错误或舞弊,并且内控又难以发现,这些职责就是不
7、相容的,必须进行职责分离。 职责分离:是指对某交易的涉及的各项职责进行合理划分,使每个人的工作自动检查另一个或更多人的工作。 体现:一项工作由不同的部门,每个部门又由不同的人完成,第二节 了解被审计单位的内部控制,(四)控制活动(核心),3、实物控制 是指限制接近重要的资产和记录。例如: 保险柜 4、业绩评价 将实际业绩与预期业绩比较发现差异,并采取必要措施调查、纠正差异。,第二节 了解被审计单位的内部控制,(四)控制活动(核心),5、信息处理 一般控制:例如: 操作系统(进入口令) 应用控制:例如:电算化软件(记账凭证的输入借贷平衡控制),第二节 了解被审计单位的内部控制,(五)对控制的监督
8、,是指被审计单位评价其内控本身在一段时间内设计的合理性和运行有效性的过程,以及根据情况的变化采取必要纠正措施。 例如:内部审计部门 内控的最后一道屏障 内控的自我修复、自我完善机制,第二节 了解被审计单位的内部控制,五、了解内控,包括确定内控是如何设计以及是否执行两个方面。(了解的内容、了解的方法、了解的步骤) (一)在整体层面了解内控 包括了解控制环境、风险评估过程、信息系统与沟通、对控制的监督四个要素。 (按照复印的工作底稿介绍) 注册会计师在了解内控的各构成要素时,应当对其设计和执行情况做出评价,这一评价过程需要大量的职业判断,并没有固定的公式或指标可供参考。,第二节 了解被审计单位的内
9、部控制,五、了解内控,(二)在业务流程层面了解内控 包括了解按照各个业务流程设计的各项具体控制活动。 业务流程(业务循环) (1)销售与收款循环 P137页 (2)采购与付款循环 (3)生产与储存循环 (4)筹资与投资循环 业务循环的划分不绝对,可以拆分或合并,第二节 了解被审计单位的内部控制,五、了解内控,(二)在业务流程层面了解内控 步骤: 1、确定被审计单位的重要业务流程和重要交易类别; 2、了解重要交易流程,并记录获得的了解;(文字表述、流程图) 3、确定可能发生错报的环节; 4、识别和了解相关控制; 5、执行穿行测试,证实对交易流程和相关控制的了解; 6、进行初步评价和风险评估。(
10、下节介绍),第二节 了解被审计单位的内部控制,第三节 评估重大错报风险,一、评估财务报表层和认定层重大错报风险 评估步骤 P81页 1.在了解被审计单位及其环境的整个过程中,结合对财务报表中各类交易、账户余额和披露的考虑识别风险; 2.结合对拟测试的相关控制的考虑,将识别出的风险与认定层次可能发生错报的领域相联系 ; 3.评估识别出的风险,并评价其是否更广泛地与财务报表转整体相关,进而潜在地影响多项认定; 4.考虑发生错报的可能性。(是否足以导致重大错报) 区分各种重大错报风险,是因为有不同的应对措施,可能表明存在重大错报风险的事项 宏观方面:包括所在地经济稳定性、市场情况、监管环境、行业环境
11、等。,第三节 评估重大错报风险,第三节 评估重大错报风险,企业方面:包括进入新的业务领域、采用新技术、发生收购等重大事项、复杂的合营或联营、复杂的融资形式等。,该交易附加条件主要包括:收购完成后双方须注册成立新公司,总部设在澳大利亚。新公司名称为兖煤澳大利亚有限公司,2012年底前需在澳大利亚证券交易所上市。届时,中国兖州煤业须将其在兖煤澳大利亚有限公司中的持股比例降至70%以下。新公司须启用澳方人员组成的管理和销售团队,公司多数董事会会议须在澳大利亚召开。新公司首席执行官和首席财政官须多数时间居住在澳大利亚。,澳费利克斯资源有限公司,第三节 评估重大错报风险,会计方面:重大会计调整、应用新的
12、准则或制度、会计计量过程复杂、经济业务有重大不确定性等。,重大错报风险的层次,某些重大错报风险可能与特定的某类交易、账户余额、列报的认定相关。 某些重大错报风险可能余财务报表整体广泛相关,进而影响多项认定。,控制环境对评估财务报表层次重大错报风险的影响 。 控制活动对评估认定层次重大错报风险的影响 。,第三节 评估重大错报风险,在下列两种情况下,应考虑出具保留意见或无法表示意见的审计报告: 会计记录的状况和可靠性存在重大问题,不能获取充分适当的审计证据; 对管理层的诚信存在严重疑虑。,第三节 评估重大错报风险,内部控制对财务报表可审计性的影响,应考虑风险是否属于舞弊风险、是否与近期经济环境、会
13、计处理方法等发生重大变化有关、交易的复杂程度、是否涉及重大的关联方交易、需要主观判断的程度、是否涉及异常的重大交易,了解被审计单位与特别风险相关的控制,评价其设计和执行情况。,特别风险 的判定,特别风险 的处理,二、需要特别考虑的重大错报风险 特别风险:需要特别考虑的重大错报风险。,非常规交易判断事项,第三节 评估重大错报风险,例如:在被审计单位对日常交易采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的有效性。,第三节 评估重大错报风险,三、仅通过实质性程序无法应对的重大错报风险,三、仅通过实质性程序无法应对的重大错报风险,了解客户的
14、内控,实质性程序,初步评价风险,最终评价风险,如果注册会计师认为仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册会计师应当评价被审计单位针对这些风险设计的控制,并确定其执行情况。,第三节 评估重大错报风险,四、对风险评估的修正,注册会计师对认定层次重大错报风险的评估应以获取的审计证据为基础,并可能随着不断获取审计证据而做出相应的变化。 评估重大错报风险与了解被审计单位及其环境一样,也是一个连续和动态地收集、更新与分析信息的过程,贯穿于整个审计过程的始终。,第三节 评估重大错报风险,第四节与治理层和管理层的沟通,注册会计师应将注意到的内部控制重大缺陷告知适当层次
15、的管理层或治理层。 下列情况通常表明内控存在重大缺陷: 审计人员发现了重大错报,而内控没有发现 控制环境薄弱 存在高层管理人员舞弊迹象 如果识别出被审计单位未加控制或控制不当的重大错报风险,或认为被审计单位的风险评估过程存在重大缺陷,注册会计师应当就此类内部控制缺陷与治理层沟通。,我国内部控制规范体系,2008年5月22日财政部会同证监会、审计署、银监会、保监会制定了企业内部控制基本规范,自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部
16、控制的有效性进行审计。,企业内部控制配套指引,我国内部控制规范体系,2010年4月26日,财政部、证监会、等联合发布了企业内部控制配套指引。自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行。,萨班斯-奥克斯利法案:出台背景,系列证券市场舞弊丑闻引发的信任危机 (上市公司、中介机构、监管当局) 安然事件(2001):号称“全球最大的能源企业”,曾经排名美国第七大公司,“世界500强”第16位。2001年12月2日申请破产保护,当时美国历史上最大的破产案。虚报盈余5.88亿美元,掩盖约10亿美元债务。 世界通信公司事件(2002):著名的全球数据通信供应商,列美国第42位,全球500强第90位。 2002年7月17日申请破产保护。1999年至2001年,虚构营业收益达90多亿美元 。 安达信会计师事务所:全球第五大会计师事务所(2001年财政年度其全球营业额为93.4亿美元),美国国内市场老大,最早进入中国市场并保持领先。被SEC勒令在
