第九章风险评估
)了解被审计单位及其环境并识别和评估重大错报风险的基本流程;
(2)风险评估程序;
(3)了解被审计单位及其环境的总体要求和具体应当了解的内容;
(4)如何识别和评估重大错报风险;
(5)风险评估中应当记录的事项。
&&本章难点&
(1)从整体层面和业务流程层面了解被审计单位内部控制;
(2)如何识别和评估重大错报风险。
&本章重点内容总结&
一、对风险评估的总体要求
(一)总体要求
《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》作为专门规范风险评估的准则,规定CPA应当了解被审计单位及其环境,以充分识别和评估财务报表重大错报风险,设计和实施进一步审计程序。
(二)了解被审计单位及其环境的意义
1.了解被审计单位及其环境是必要程序,特别是为CPA在下列关键环节作出职业判断提供了重要基础:(1)确定重要性水平,并随着审计工作的进程评估对重要性水平的判断是否仍然适当;(2)考虑会计政策的选择和运用是否恰当,以及财务报表的列报是否适当;(3)识别需要特别考虑的领域,包括关联方交易、管理层运用持续经营假设的合理性,或交易是否具有合理的商业目的等;(4)确定在实施分析程序时所使用的预期值;(5)设计和实施进一步审计程序,以将审计风险降至可接受的低水平;(6)评价所获取审计证据的充分性和适当性。
二、风险评估程序和信息来源
(一)风险评估程序
风险评估程序包括:(1)询问被审计单位管理层和内部其他相关人员;(2)分析程序;(3)观察和检查。
三、了解被审计单位及其环境
(一)、总体要求
CPA应当从以下几方面了解被审计单位及其环境:(1)行业状况、法律环境与监管环境以及其他外部因素;(2)被审计单位的性质;(3)被审计单位对会计政策的选择和运用;(4)被审计单位的目标、战略以及相关经营风险;(5)被审计单位财务业绩的衡量和评价;(6)被审计单位的内部控制。
(二)、行业状况、法律环境与监管环境以及其他外部因素
(三)、被审计单位的性质
了解被审计单位的性质有助于CPA理解预期在财务报表中反映的各类交易、账户余额和列报。
(四)、被审计单位对会计政策的选择和运用
(五)、被审计单位的目标、战略以及相关经营风险
(六)、被审计单位财务业绩的衡量和评价
四、了解被审计单位的内部控制
(一)、内部控制的含义和要素
内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由
治理层、管理层和其他人员设计和执行的政策和程序。
1.内部控制的目标是合理保证。
2.设计和实施内部控制的责任主体是治理层、管理层和其他人员,组织中的每一个人都对内部控制负有责任。
3.实现内部控制目标的手段是设计和执行控制政策和程序。
4.内部控制的五要素是:(1)控制环境;(2)风险评估过程;(3)信息系统与沟通;(4)控制活动;
(5)对控制的监督。
(二)、与审计相关的控制
内部控制的目标旨在合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守。CPA审计的目标是对财务报表是否存在重大错报发表审计意见,CPA考虑与财务报表编制相关的内部控制,但目的并非对被审计单位内部控制的有效性发表意见。CPA需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制。
(三)、内部控制的局限性
内部控制存在固有局限性,无论如何设计和执行,只能对财务报告的可靠性提供合理的保证。
五、控制环境
(一)控制环境的含义
控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和所采取的措施。
在评价控制环境的设计和实施情况时,注册会计师应当了解管理层在治理层的监督下,是否营造并保持了诚实守信和合乎道德的文化,以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。
六、被审计单位的风险评估过程
风险评估过程包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施。CPA在对被审计单位整体层面的风险评估过程进行了解和评估时,考虑的主要因素可能包括:(1)被审计单位是否已建立并沟通其整体目标,并辅以具体策略和业务流程层面的计划;(2)被审计单位是否已建立风险评估过程,包括识别风险,估计风险的重大性,评估风险发生的可能性以及确定需要采取的应对措施;(3)被审计单位是否已建立某种机制,识别和应对可能对被审计单位产生重大且普遍影响的变化,如在金融机构中建立资产负债管理委员会,在制造型企业中建立期货交易风险管理组等;(4)会计部门是否建立了某种流程,以
识别会计准则的重大变化;(5)当被审计单位业务操作发生变化并影响交易记录的流程时,是否存在沟通渠道以通知会计部门;(6)风险管理部门是否建立了某种流程,以识别经营环境包括监管环境发生的重大变化。
八、控制活动
控制活动是指有助于确保管理层的指令得以执行的政策和程序,包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。
对控制活动的了解
在了解控制活动时,注册会计师应当重点考虑一项控制活动单独或连同其他控制活动,是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。注册会计师的工作重点是识别和了解针对重大错报可能发生的领域的控制活动。如果多项控制活动能够实现同一目标,注册会计师不必了解与该目标相关的每项控制活动。
九、对控制的监督
对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程,该过程包括及时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施。
十、在整体层面上对内部控制了解和评估的总结
在整体层面上对被审计单位内部控制的了解和评估,通常由项目组中对被审计单位情况比较了解且较有经验的成员负责,同时需要项目组其他成员的参与和配合。对于连续审计,CPA可以重点关注整体层面的内部控制的变化情况,包括由于被审计单位及其环境的变化而导致内部控制发生的变化以及采取的对策。
CPA还需要特别考虑因舞弊而导致重大错报的可能性及其影响。 .
CPA可以考虑将询问被审计单位人员、观察特定控制的应用、检查文件和报告以及执行穿行测试等风险评估程序相结合,以获取审计证据。在了解上述内部控制的构成要素时,CPA需要特别注意这些要素在实际中是否得到执行。例如,通过询问管理层和员工,了解管理层对内部控制的态度和道德价值观念,以及如何就此与员工进行沟通;通过检查文件、内部程序手册、流程图等,了解管理层是否建立了正式的行为守则;通过询问和观察,了解行为守则在Et常工作中是否得到遵守,以及管理层如何处理违反行为守则的情形;通过询问被审计单位管理层,了解其风险评估过程,并复核记录风险评估过程的文件;通过检查和复核
内部审计部门的工作程序以及报告等,确定管理层和员工是否执行既定的政策和程序。
十一、在业务流程层面了解内部控制
(一)确定重要业务流程和重要交易类别
(二)了解重要交易流程,并记录获得的了解
(三)确定可能发生错报的环节
(四)识别和了解相关控制
通过对被审计单位的了解,包括在被审计单位整体层面对内部控制各要素的了解,以及在上述程序中对重要业务流程的了解,CPA可以确定是否有必要进一步了解在业务流程层面的控制。在某些情况下,CPA之前的了解可能表明被审计单位在业务流程层面针对某些重要交易流程所设计的控制是无效的,或者CPA并不打算依赖控制,这时CPA没有必要进一步了解在业务流程层面的控制。特别需要注意的是,如果认为仅通过实质性程序无法将认定层次的检查风险降至可接受的水平,或者针对特别风险,CPA应当了解和评估相关的控制活动。
如果CPA计划对业务流程层面的有关控制进行进一步的了解和评价,那么针对业务流程中容易发生错报的环节,CPA应当确定:(1)被审计单位是否建立了有效的控制,防止或发现并纠正这些错报;(2)被审计单位是否遗漏了必要的控制;(3)是否识别了可以最有效测试的控制。
(五)执行穿行测试,证实对交易流程和相关控制的了解
(六)初步评价和风险评估
(七)对财务报告流程的了解和评估
十三、评估重大错报风险
一、识别和评估财务报表层次和认定层次的重大错报风险
CPA应当识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险。
在识别和评估重大错报风险时,注册会计师应当实施下列审计程序。
1.在了解被审计单位及其环境的整个过程中识别风险,并考虑各类交易、账户余额、列报。注册会计师应当运用各项风险评估程序,在了解被审计单位及其环境的整个过程中识别风险,并将识别的风险与各类交易、账户余额和列报相联系。
2.将识别的风险与认定层次可能发生错报的领域相联系。
3.考虑识别的风险是否重大。风险是否重大是指风险造成后果的严重程度。
4.考虑识别的风险导致财务报表发生重大错报的可能性。
注册会计师应当利用实施风险评估程序获取的信息,包括在评价控制设计和确定其是否得到执行时获取的审计证据,作为支持风险评估结果的审计证据。注册会计师应当根据风险评估结果,确定实施进一步审计程序的性质、时间和范围。
(二)可能表明被审计单位存在重大错报风险的事项和情况
注册会计师应当充分关注可能表明被审计单位存在重大错报风险的事项和情况,并考虑由于上述事项和情况导致的风险是否重大,以及该风险导致财务报表发生重大错报的可能性。
(三)识别两个层次的重大错报风险
在对重大错报风险进行识别和评估后,注册会计师应当确定,识别的重大错报风险是与特定的某类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定。
某些重大错报风险可能与特定的某类交易、账户余额、列报的认定相关。
某些重大错报风险可能与财务报表整体广泛相关,进而影响多项认定。
(四)控制环境对评估财务报表层次重大错报风险的影响
财务报表层次的重大错报风险很可能源于薄弱的控制环境。薄弱的控制环境带来的风险可能对财务报表产生广泛影响,难以限于某类交易、账户余额、列报,注册会计师应当采取总体应对措施。
(五)控制对评估认定层次重大错报风险的影响
在评估重大错报风险时,注册会计师应当将所了解的控制与特定认定相联系。
控制可能与某一认定直接相关,也可能与某一认定间接相关。关系越间接,控制在防止或发现并纠正认定中错报的作用越小。
注册会计师应当考虑对识别的各类交易、账户余额和列报认定层次的重大错报风险予以汇总和评估,以确定进一步审计程序的性质、时间和范围。
(六)考虑财务报表的可审计性
注册会计师在了解被审计单位内部控制后,可能对被审计单位财务报表的可审计性产生怀疑。如果通过对内部控制的了解发现下列情况,并对财务报表局部或整体的可审计性产生疑问,注册会计师应当考虑出具保留意见或无法表示意见的审计报告:(1)被审计单位会计记录的状况和可靠性存在重大问题,不能获取充分、适当的审计证据以发表无保留意见;(2)对管理层的诚信存在严重疑虑。必要时,注册会计师应当考虑解除业务约定。
二、需要特别考虑的重大错报风险
(一)特别风险的含义
作为风险评估的一部分,注册会计师应当运用职业判断,确定识别的风险哪些是需要特别考虑的重大错报风险(以下简称特别风险)。
(二)确定特别风险时应考虑的事项
(三)非常规交易和判断事项导致的特别风险
日常的、不复杂的、经正规处理的交易不太可能产生特别风险。特别风险通常与重大的非常规交易和判断事项有关。
非常规交易是指由于金额或性质异常而不经常发生的交易。判断事项通常包括做出的会计估计。
(四)考虑与特别风险相关的控制
了解与特别风险相关的控制,有助于注册会计师制定有效的审计方案予以应对。对特别风险,注册会计师应当评价相关控制的设计情况,并确定其是否已经得到执行。由于与重大非常规交易或判断事项相关的风险很少受到日常控制的约束,注册会计师应当了解被审计单位是否针对该特别风险设计和实施了控制。
如果管理层未能实施控制以恰当应对特别风险,注册会计师应当认为内部控制存在重大缺陷,并考虑其对风险评估的影响。在此情况下,注册会计师应当就此类事项与治理层沟通。
三、仅通过实质性程序无法应对的重大错报风险
作为风险评估的一部分,如果认为仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册会计师应当评价被审计单位针对这些风险设计的控制,并确定其执行情况。
在被审计单位对日常交易采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的有效性,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。
十四、与治理层和管理层的沟通
(一)、就内部控制重大缺陷与治理层和管理层沟通
注册会计师在了解和测试内部控制的过程中可能会注意到内部控制存在的重大缺陷。注册会计师将其告知适当层次的管理层或治理层,将有助于管理层和治理层履行其在内部控制方面的职责。因此,注册会计师应当及时将注意到的内部控制设计或执行方面的重大缺陷,告知适当层次的管理层或治理层。
下列情况通常表明内部控制存在重大缺陷:
1.注册会计师在审计工作中发现了重大错报,而被审计单位的内部控制没有发现这些重大错报;
2.控制环境薄弱;
3.存在高层管理人员舞弊迹象(无论涉及金额大小)。
二、就重大错报风险的控制与治理层沟通
如果识别出被审计单位未加控制或控制不当的重大错报风险,或认为被审计单位的风险评估过程存在重大缺陷,注册会计师应当就此类内部控制缺陷与治理层沟通。