《第七章++风险评估与应对+-+副本.ppt》由会员分享,可在线阅读,更多相关《第七章++风险评估与应对+-+副本.ppt(55页珍藏版)》请在金锄头文库上搜索。
1、2006,审计,1,第七章 风险评估与应对,风险评估 风险应对,2006,审计,2,重大错报风险的评估与应对的总体思路:,2006,审计,3,第一节 风险评估,2006,审计,4,一、风险评估程序的概念与种类:,(一)风险评估程序的概念: 为了解被审计单位及其环境而实施的程序称为“风险评估程序”。,2006,审计,5,(二)风险评估程序的种类:,(1)询问被审计单位管理层和内部其他相关人员; (2)分析程序; (3)观察和检查。,2006,审计,6,分析程序: 分析程序是指注册会计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系,对财务信息作出评价。分析程序还包括调查识别出的、
2、与其他相关信息不一致或与预期数据严重偏离的波动和关系。,2006,审计,7,观察和检查: 1.观察被审计单位的生产经营活动。 2.检查文件、记录和内部控制手册。 3.阅读由管理层和治理层编制的报告。 4.实地察看被审计单位的生产经营场所和设备。 5.追踪交易在财务报告信息系统中的处理过程(穿行测试)。 这是注册会计师了解被审计单位业务流程及其内部控制时经常使用的审计程序。通过追踪某笔或某几笔交易在业务流程中如何生成、记录、处理和报告,以及相关内部控制如何执行,注册会计师可以确定被审计单位的交易流程和内部控制是否与之前通过其他程序所获得的了解一致,并确定内部控制是否得到执行。,2006,审计,8
3、,二、了解被审计单位及其环境,(一)了解被审计单位及其环境的总体要求: 注册会计师应当了解被审计单位及其环境,以足够识别和评估财务报表重大错报风险,设计和实施进一步审计程序。 该总体要求可以从以下三方面理解: (1)了解被审计单位及其环境是必要程序; (2)了解的目的是识别和评估财务报表重大错报风险,设计和实施进一步审计程序; (3)了解的程度应当足够实现了解的目的。,2006,审计,9,(二)了解被审计单位及其环境的主要内容 被审计单位及其环境主要包括: (1)行业状况、法律环境与监管环境以及其他外部因素; (2) 被审计单位的性质; (3)被审计单位对会计政策的选择和运用; (4)被审计单
4、位的目标、战略以及相关经营风险; (5)被审计单位财务业绩的衡量和评价; (6)被审计单位的内部控制。 上述第(1)项是被审计单位的外部环境,第(2)项至第(4)项以及第(6)项是被审计单位的内部因素,第(5)项则既有外部因素也有内部因素。值得注意的是,被审计单位及其环境的各个方面可能会互相影响。,2006,审计,10,三、了解被审计单位的内部控制,(一) 内部控制的概念 内部控制是社会经济发展到一定阶段的产物,它随着企业对内强化管理,对外满足社会需要而不断丰富和发展。 内部控制思想的发展经过了一个漫长的历史时期。 1、内部牵制阶段(20世纪40年代前): 定义:以提供有效的组织和经营,并防止
5、错误和其他非法业务发生的业务流程设计。 主要特点:任何个人或部门不能单独控制任何一项或一部分业务权力,必须进行组织上的责任分工。 主要包括:(1)实物牵制;(2)机械牵制;(3)体制牵制;(4)薄记牵制。,2006,审计,11,2、内部控制制度(20世纪40年代70年代): 内部控制制度思想认为内部控制应分为: (1)内部会计控制 (2)内部管理控制(或称内部业务控制) 前者在于保护企业资产、检查会计数据的准确性和可靠性;后者在于提高经营效率、促使有关人员遵守既定的管理方针。,2006,审计,12,3、内部控制结构(1988): 认为“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的
6、各种政策和程序”,并且明确了内部控制结构的内容的三个方面: (1)控制环境(Control environment ) ; (2)会计制度(accounting system ); (3)控制程序(control procedures ) 。,2006,审计,13,4、内部控制整体框架(1992): 1992 年,由美国的COSO 委员会又发表了一个有关内部控制的报告,提出内部控制整体框架思想,并逐步将各界对内部控制的认识统一起来,对内部控制提出了新的定义 :“内部控制被广义地定义为一个过程 ,它受到一个实体(主体)的董事会、管理部门和其它人事部门的影响,它提供有关目标实现的合理保证。这些目标
7、包括:(1 )经营的效率与效果;(2 )财务报告的可靠性;(3 )相关法律与规定的遵循。”同时提出内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。 1 9 9 6 年美国AICPA 颁布第78 号审计准则公告,采用了COSO 所定义的内部控制概念,将内部控制结构的要素(elements ) 改为内部控制成分(omponents ) ,并把它分为五个方面:控制环境、风险评估、控制活动、信息与沟通和监控。,2006,审计,14,5、Sarbanes-Oxley Act of 2002阶段: Section 404: 公司管理层需要对财务报告的内部控制进行报告; 要求
8、公司的审计师对管理层评估进行鉴证和报告。,2006,审计,15,6、企业风险管理综合框架(2004): 八个要素: 内部环境 目标设定 事项识别 风险评估 风险应对 控制活动 信息与沟通 监控 四个目标: 战略目标高层次目标,和组织使命方向一致,并支持使命 运营目标有效且高效地使用资源报告目标报告的可靠性合规目标遵循适用的法律法规 组织内的单位:主体层次、分部、业务单元、子公司。,2006,审计,16,企业内部控制基本规范: 概念:内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。 目标:内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真
9、实完整,提高经营效率和效果,促进企业实现发展战略。,2006,审计,17,(二)内部控制的固有局限性:,注册会计师在确定内部控制的可信赖程度时,应当保持应有的职业谨慎,充分关注内部控制的以下固有局限性: 1、即使是设计完善的内部控制,在决策时人为判断也可能出现错误和由于人为失误而导致内部控制失效;如执行人员的粗心大意、精力分散、判断失误以及对指令的误解等 2、内部控制可能由于两个或更多的人员进行串通而失效; 3、内部控制可能因管理层凌驾于内部控制之上而被规避; 4、内部控制的设计和运行受制于成本与效益原则; 5、内部控制一般仅针对常规业务活动而设计; 6、内部控制可能因经营环境、业务性质的改变
10、而削弱或失效。,2006,审计,18,(三)内部控制要素:,(一)内部环境: 内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。 公司治理结构:企业应当根据国家有关法律法规和企业章程,建立规范的公司治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。 股东(大)会享有法律法规和企业章程规定的合法权利,依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。 董事会对股东(大)会负责,依法行使企业的经营决策权。 监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。 经理
11、层负责组织实施股东(大)会、董事会决议事项,主持企业的生产经营管理工作。 董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。 企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。 机构设置及权责分配:企业应当结合业务特点和内部控制要求设置内部机构,明确职责权限,将权利与责任落实到各责任单位。,2006,审计,19,(一)内部环境: 内部审计:内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检查
12、中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。 人力资源政策:人力资源政策应当包括下列内容: (1)员工的聘用、培训、辞退与辞职。 (2)员工的薪酬、考核、晋升与奖惩。 (3)关键岗位员工的强制休假制度和定期岗位轮换制度。 (4)掌握国家秘密或重要商业秘密的员工离岗的限制性规定。 (5)有关人力资源管理的其他政策。 企业文化:企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念,强化风险意识。 董事、监事、经理及其他高级管理人员应当在
13、企业文化建设中发挥主导作用。,2006,审计,20,(二)风险评估: 风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。 企业开展风险评估,应当准确识别与实现控制目标相关的内部风险和外部风险,确定相应的风险承受度。 风险承受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。 企业识别内部风险,应当关注下列因素: (1)董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。 (2)组织机构、经营方式、资产管理、业务流程等管理因素。 (3)研究开发、技术投入、信息技术运用等自主创新因素。 (4)财务状况、
14、经营成果、现金流量等财务因素。 (5)营运安全、员工健康、环境保护等安全环保因素。 (6)其他有关内部风险因素。,2006,审计,21,(二)风险评估: 企业识别外部风险,应当关注下列因素: (1)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。 (2)法律法规、监管要求等法律因素。 (3)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。 (4)技术进步、工艺改进等科学技术因素。 (5)自然灾害、环境状况等自然环境因素。 (6)其他有关外部风险因素。,2006,审计,22,风险应对,风险规避是企业对超出 风险承受度的风险,通 过放弃或者停止与该风 险相关的业务活动以避
15、 免和减轻损失的策略。,风险降低是企业在权衡成本效益 之后,准备采取适当的控制措施 降低风险或者减轻损失,将风险 控制在风险承受度之内的策略。,风险分担是企业准备借助 他人力量,采取业务分包、 购买保险等方式和适当的 控制措施,将风险控制在风 险承受度之内的策略。,风险承受是企业对风险承受度之 内的风险,在权衡成本效益之后, 不准备采取控制措施降低风险或者 减轻损失的策略。,2006,审计,23,(三)控制活动: 控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。 企业应当结合风险评估结果,通过手工控制与自动控制、预防性控制与发现性控制相结合的方法,运用相应的控制措
16、施,将风险控制在可承受度之内。 不相容职务分离控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制。 不相容职务是指两种或两种以上的职务如不分开就会发生差错与舞弊的职务 授权审批控制要求企业根据常规授权和特别授权的规定,明确各岗位办理业务和事项的权限范围、审批程序和相应责任。 常规授权是指企业在日常经营管理活动中按照既定的职责和程序进行的授权。一般性常规交易 特别授权是指企业在特殊情况、特定条件下进行的授权。特别授权也可能用于超过常规授权限制的交易。非常规交易与超过常规授权的交易 企业对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。,2006,审计,24,会计系统控制要求企业严格执行国家统一的会计准则制度,加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真实完整。 企业应当依法设置会计机构,配备会计从业人员。从事会计工作的人员,必须取得会计从业资格证书。会计机构负责人应当具备会计师以上专业
