审计第9章

第一节风险评估的含义第二节了解被审计单位及其环境第三节了解被审计单位内部控制第四节评估重大错报风险第五节与管理层和治理层的沟通第六节审计工作纪录本节主要内容风险评估的意义风险评估程序和信息来源风险评估是指通过了解被审计单位及其环境（包括内部控制），识别和评估财务报层次和认定层次的重大错报风险（无论该风险由于舞弊或错误导致），从而为设计和实施针对评估的重大错报风险采取的应对措施提供基础。了解被审计单位及其环境是一个连续和动态地收集、更新与分析信息的过程，贯穿于整个审计过程的始终。询问被审计单位管理层和内部其他相关人员运用分析程序观察和检查注意：　　第一，注册会计师在了解被审计单位及其环境过程中，往往将上述程序结合在一起；　　第二，注册会计师并非在了解被审计单位及其环境的每个方面均实施上述所有风险评估程序。其他审计程序和信息来源1.其他审计程序。注册会计师除了采用上述程序从被审计单位内部获取信息以外，如果根据职业判断认为从被审计单位外部获取的信息有助于识别重大错报风险，注册会计师应当实施其他审计程序以获取这些信息。例如，询问被审计单位聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等。阅读外部的信息，如证券分析师、银行、评级机构出具的有关被审计单位及其行业的经济或市场环境等状况的。。。2.其他信息来源。信息来源应从多方面获取（被审计单位内外、承接业务时、以前期间获取的信息等）。注册会计师应当从下列方面了解被审计单位及其环境：（1）行业状况、法律环境与监管环境以及其他外部因素（2）被审计单位的性质（3）被审计单位对会计政策的选择和运用（4）被审计单位的目标、战略以及相关经营风险（5）对被审计单位财务业绩的衡量和评价（6）被审计单位的内部控制注意：　　第一，（1）为外部因素，（2）、（3）、（4）、（6）为内部因素，（5）既有内部也有外部。　　第二，各方面的情况可能会互相影响，注册会计师在了解各方面情况时，应当考虑各个因素之间的相互关系。了解的具体内容行业状况（1）所处行业的市场与竞争，包括市场需求、生产能力和价格竞争；（2）生产经营的季节性和周期性；（3）与被审计单位产品相关的生产技术；（4）能源供应与成本；（5）行业的关键指标和统计数据。实施的风险评估程序查阅以前年度的审计工作底稿询问被审计单位管理层和职工查阅内部与外部的信息资料与项目组成员或熟悉被审计单位所处行业的其他人员讨论分析程序了解的具体内容法律环境及监管环境如审计商业银行的财务报表，注册会计师是否了解银行业的特定惯例和特定，银监会的监管要求，新出台的规定、文件等。如审计汽车行业时，就要清楚环保的要求，如果企业生产的汽车达不到某些大城市的环保要求，就会影响到收入、利润等。实施的风险评估程序查阅以前年度的审计工作底稿询问被审计单位管理层和职工查阅内部与外部的信息资料与项目组成员或熟悉被审计单位所处行业的其他人员讨论分析程序了解的具体内容其他外部因素如金融危机对企业的影响。实施的风险评估程序查阅以前年度的审计工作底稿询问被审计单位管理层和职工查阅内部与外部的信息资料与项目组成员或熟悉被审计单位所处行业的其他人员讨论分析程序了解的具体内容1.所有权结构　　了解企业是上市公司，还是外商投资，还是民营企业。如果是大型上市公司，大股东是谁；关联方交易价格是否合理。2.治理结构　　企业是否有内审部门，高管对内部控制的观念等。3.　　单一公司还是集团公司，如果是集团公司，分子公司的重要性如何；对长期股权投资、财务报表合并、商誉等的影响。实施的风险评估程序询问被审计单位管理层和其他相关人员查阅文件和报告实地察看被审计单位的主要生产经营场所分析程序了解的具体内容4.经营活动　　如某工业企业，开展了房地产业务，应注意企业是否有胜任的人员，业务开展的具体情况如何？5.投资活动　　如企业在被审期间并购了一家新公司，注册会计师应关注公司在境内还是境外；公司采用的会计准则；公司所处的行业等。6.筹资活动　　被审计单位是否存在违反借款条款的情况；如果违反了后果如何；对企业持续经营是否产生影响；企业是否存在为了达到某项条款而虚构等。实施的风险评估程序询问被审计单位管理层和其他相关人员查阅文件和报告实地察看被审计单位的主要生产经营场所分析程序了解的具体内容（1）重要项目的会计政策和行业惯例（2）重大和异常交易的会计处理方法（3）在新领域采用重要会计政策的影响（4）会计政策变更如果被审计单位改变了会计政策，注册会计师应关注变更是否合法？是否合理？是否存在为了达到企业的某些目的而变更？变更的处理是否正确？（5）客户何时、如何采用新的会计政策实施的风险评估程序查阅以前工作底稿询问被审计单位管理层和员工查阅财务资料和内部报告（如会计手册和操作指引）了解的具体内容目标、战略和经营风险被审计单位的风险评估过程管理层通常会制定识别和应对经营风险的策略，注册会计师应该了解被审计单位的风险评估过程，这类风险评估过程是被审计单位内部控制的组成部分。实施的风险评估程序询问查阅文件了解被审计单位所处的外部环境和行业状况，判断与企业的目标有何差异了解的具体内容关键业绩指标业绩趋势预测、预算和差异分析管理层和员工业绩考核与激励性报酬政策分部信息与不同层次部门的业绩报告与竞争对手的业绩比较外部机构提出的报告实施的风险评估程序询问查阅文件分析程序1999-2001年上市公司净资产收益率分布（Liu，2007）**本节主要内容内部控制的基本理论了解控制环境了解风险评估过程了解信息系统与沟通了解控制活动了解对控制的监督内部控制的内涵及要素1.含义和目标　　内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计与执行的政策及程序。2.对内部控制的责任—被审计单位治理层、管理层和其他人员。3.内部控制要素：控制环境、风险评估过程、与财务报告相关的信息系统与沟通、控制活动、对控制的监督。与审计相关的控制内部控制的目标旨在合理保证财务报告的可靠性、经营的效率和效果及对法律的遵守。注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。对内部控制了解的程度注册会计师通过询问、观察、检查和穿行测试了解被审计单位的内部控制，以评价内部控制设计的是否合理以及是否得到执行。在进一步程序中，针对设计合理且得到执行的控制，实施控制测试程序，目的是要确定内控的有效性。对内部控制了解的程度注意：　　第一，如果控制设计不当，不需要再考虑控制是否得到执行；　　第二，询问本身并不足以评价控制的设计以及确定其是否得到执行，注册会计师应当将询问与其他风险评估程序结合使用；　　第三，除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解并不能够代替对控制运行有效性的测试。内部控制的人工和自动化成分信息技术在一些方面能够提高被审计单位内部控制的效率和效果，但也可能对内部控制产生特定风险。　人工控制在处理需要主观判断或酌情处理的情形时可能更为适当，但其受人为因素影响，也产生了特定风险。内部控制的局限性1.在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。2.可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。此外，如果被审计单位内部行使控制职能的人员素质不适应岗位要求，也会影响内部控制功能的正常发挥。当实施某项控制的成本大于控制效果而发生损失时，就没有必要设置控制环节或控制措施。控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。良好的控制环境是实施有效内部控制的基础。财务报表层次的重大错报风险通常源自于薄弱的控制环境。　　注意：　　第一，控制环境对重大错报风险的评估具有广泛影响，控制环境本身并不能防止或发现并纠正各类交易、账户余额、披露认定层次的重大错报。　　第二，在确定构成控制环境的要素是否得到执行时，注册会计师应当考虑将询问与其他风险评估程序相结合以获取审计证据。在评价控制环境的设计时，注册会计师应当考虑构成控制环境的以下各要素：　　1.对诚信和道德价值观念的沟通与落实　　2.对胜任能力的重视　　3.治理层的参与程度　　4.管理层的理念和经营风格　　5.组织结构及职权与责任的分配　　6.人力资源政策与实务风险评估过程的作用是识别、评估和管理影响被审计单位实现经营目标能力的各种风险。　　注意：　　第一，注册会计师应当询问管理层识别出的经营风险，并考虑这些风险是否可能导致重大错报。　　第二，在审计过程中，如果发现与财务报表有关的风险因素，注册会计师可通过向管理层询问和检查有关文件确定被审计单位的风险评估过程是否也发现了该风险。在审计过程中，如果识别出管理层未能识别的重大错报风险，注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险，以及评估过程是否适合于具体环境。1.与财务报告相关的信息系统　　与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。　　注意：　　第一，与财务报告相关的信息系统应当与业务流程相适应。　　第二，应当特别关注由于管理层凌驾于账户记录之上而产生的重大错报风险。　　自动化程序和控制可能降低了发生无意错误的风险，但是并没有消除个人凌驾于控制之上的风险。2.与财务报告相关的沟通　　与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责，员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。　　注意：　　注册会计师应当了解被审计单位内部如何对财务报告的岗位职责，以及与财务报告相关的重大事项进行沟通。注册会计师还应当了解管理层与治理层（特别是审计委员会）之间的沟通，以及被审计单位与外部（包括与监管部门）的沟通。控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。　　1.授权　　授权的目的在于保证交易在管理层授权范围内进行。　　2.业绩评价　　注册会计师应当了解与业绩评价有关的控制活动，主要包括被审计单位分析评价实际业绩与预算的差异，以及对发现的异常差异或关系采取必要的调查与纠正。　　3.信息处理　　注册会计师应当了解与信息处理有关的控制活动，包括信息技术的一般控制和应用控制。被审计单位通常执行各种措施，检查各种类型信息处理环境下的交易的准确性、完整性和授权。4.实物控制　　注册会计师应当了解实物控制，主要包括了解对资产和记录采取适当的安全保护措施，对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对。实物控制的效果影响资产的安全，从而对财务报表的可靠性及审计产生影响。　　5.职责分离　　注册会计师应当了解职责分离，主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。当信息技术运用于信息系统时，职责分离可以通过设置安全控制来实现。　　对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。　　被审计单位通过持续的监督活动、专门的评价活动或两者相结合，实现对控制的监督。　　注意：内部控制的某些要素（如控制环境）更多地对被审计单位整体层面产生影响，而其他要素（如信息系统与沟通、控制活动）则可能更多地与特定业务流程相关。在实务中，注册会计师应当从被审计单位整体层面和业务流程层面分别了解和评价被审计单位的内部控制。本节主要内容识别和评估财务报表层次和认定层次的重大错报风险需要特别考虑的重大错报风险仅通过实质性程序无法应对的重大错报风险对风险评估的修正（一）识别和评估重大错报风险的审计程序1.在了解被审计单位及其环境（包括与风险相关的控制）的整个过程中，结合对财务报表中各类交易、账户余额和披露的考虑，识别风险。2.评估识别出的风险，并评价其是否更广泛地与财务报表整体相关，进而潜在地影响多项认定。3.结合对拟测试的相关控制的考虑，将识别出的风险与认定层次可能发生错报的领域相联系。4.考虑发生错报的可能性（包括发生多项错报的可能性），以及潜在错报的重大程度是否足以导致重大错报。（二）可能表明存在重大错报风险的事项和情况宏观方面：包括所在地经济稳定性、市场情况、监管环境、行业环境等。企业方面：包括进入新的业务领域、采用新技术、发生收购等重大事项、复杂的合营或联营、复杂的融资形式等。会计方面：重大会计调整、应用新的准则或制度、会计计量过程复杂、经济业务有重大不确定性等。（三）重大错报风险的层次某些重大错报风险可能与特定的某类交易、账户余额、列报的认定相关。某些重大错报风险可能余财务报表整体广泛相关，进而影响多项认定。财务报表层次的重大错报风险很可能源于薄弱的控制环境。（四）内部控制对财务报表可审计性的影响在下列两种情况下，应考虑出具保留意见或无法表示意见的审计报告：会计纪录的状况和可靠性存在重大问，不能获取充分适当的审计证据对管理层的诚信存在严重疑虑特别风险的判定：应考虑风险是否属于舞弊风险；是否与近期经济环境、会计处理方法等发生重大变化有关；交易的复杂程度；是否涉及重大的关联方交易；财务信息计量的主观程度；是否涉及异常的重大交易。特别风险通常与重大的非常规交易和判断事项相关，而日常的、简单的、常规处理的交易不大可能产生特别风险。非常规交易是指由于金额或性质异常而不经常发生的交易。判断事项通常是指做出的会计估计。特别风险的处理：了解被审计单位与特别风险相关的控制，评价其设计和执行情况如果注册会计师认为仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平，注册会计师应当评价被审计单位针对这些风险设计的控制，并确定其执行情况。在被审计单位对日常交易采用高度自动化处理的情况下，审计证据可能仅以电子形式存在，其充分性和适当性通常取决于自动化信息系统相关控制的有效性，注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。注册会计师对认定层次重大错报风险的评估，可能随着审计过程中不断获取审计证据而做出相应的变化。评估重大错报风险与了解被审计单位及其环境一样，也是一个连续和动态地收集、更新与分析信息的过程，贯穿于整个审计过程的始终。注册会计师应将注意到的内部控制重大缺陷告知适当层次的管理层或治理层。确定注意到内控偏差是否属于重大缺陷需要运用专业判断。下列情况通常表明内控存在重大缺陷：审计人员发现了重大错报，而内控没有发现控制环境薄弱存在高层管理人员舞弊迹象记录的内容记录的方式