风险评估与应对课件

1、第六章 风险评估与应对【本章内容和学习要求】本章重点阐述的是风险评估程序以及对风险的应对措施。本章首先介绍了风险评估程序及其信息来源，包括如何了解被审计单位及其环境、了解被审计单位的内部控制，从而识别和评估重大错报风险；其次，介绍针对财务报表层次重大错报风险的总体应对措施，以及针对认定层次重大错报风险设计和实施的进一步审计程序，目的是将审计风险降至可接受的低水平。第1页，共38页。一、审计风险评估程序(一)确定期望审计风险(二)评估重大错报风险(三)将重大错报风险分配到账户认定层次(四)确定剩余风险(五)综合评估审计风险第2页，共38页。(一)确定期望审计风险期望审计风险是指审计师所愿承担的一

2、种主观确定的审计风险，又称可接受的审计风险，或终极审计风险。期望审计风险是审计师主观预先确认而又客观存在的准备承受的审计风险。一般情况下，审计师要根据会计师事务所的审计手册或根据以往的经验进行确定。大多数审计师会将其确定为5。当然，也有一些风险偏好型的会计师事务所和审计师确定的期望审计风险大于5。近几年审计失败案例层出不穷，一个重要的原因在于企业财务舞弊越来越多，舞弊手段越来越隐蔽。在这样的审计环境下，审计师对于期望审计风险的确定应坚持“宁可低估，不可高估”的原则，将期望审计风险确定在5以下。第3页，共38页。(二)评估重大错报风险 1对客户进行经营分析，包括战略分析和流程分析，以评估战略风险

3、和流程风险所构成了经营风险。首先了解客户的内外部经营环境，包括所处的行业状况、法律环境与监管环境以及其他外部因素，如宏观经济环境和国际经济环境等。了解客户的所有权结构、组织结构以及其所从事的经营活动、投资活动和筹资活动的类型和性质。重点了解客户的经营目标、实现这些目标的战略，并分析对实现目标和战略产生不利影响的因素，因为经营风险常常源于对客户实现目标和战略产生不利影响的重大情况、事项、环境和行动，或源于不恰当的目标和战略，通过以上的了解和分析，初步评估客户的战略风险。其次，了解和分析客户的经营流程。从流程目标、投入、作业、交易类型、威胁流程目标的风险对客户所依赖的关键经营流程进行了解，通过价值

4、链分析客户创造价值的方式，以此评价流程风险。第4页，共38页。(二)评估重大错报风险2了解客户财务业绩的衡量和评价标准以及客户对会计政策的选择和运用，初步评估绩效风险。了解客户财务业绩的衡量和评价情况，考虑这种压力是否可能导致管理层采取行动，以至于增加财务报表发生重大错报的风险。并注意客户对会计政策的选择和运用，是否符合适用的会计准则和相关会计制度，是否符合客户的具体情况。3进行控制测试，评估控制风险。经过对客户经营战略、经营流程、经营绩效的分析，审计师已经对客户的内部控制有了初步的了解。若客户的内部控制是值得信赖的，审计师还要执行控制测试，以取得证据评估控制风险。4综合考虑客户的经营风险、绩

5、效风险利控制风险，评估财务报告的重大错报风险，并依据重大错报风险水平来制定整体审计策略。第5页，共38页。(三)将重大错报风险分配到账户认定层次审计风险评估的目的是指导账户认定层次的实质性测试，因此，只有将重大错报风险与账户认定层次相联系才有实际意义。首先，审计师应考虑形成重大错报风险的某一因素是否会对客户某一个或某几个业务循环产生影响，如何影响，影响程度怎样。即将各风险因素分配到业务循环层次：其次，再深入到该具体业务循环中，分析影响该业务循环的风险因素如何影响循环中的具体账户，即将重大错报风险分配到账户和认定层次；最后，由于某个特定的账户可能受多个业务循环的影响，在前面的风险分配中可能造成了

6、交叉重叠或遗漏，因此，有必要再以各单独账户为对象，综合该账户可能受到的各方面风险因素的影响，从而最终得到账户认定层次上重大错报风险的评估结果。第6页，共38页。(四)确定剩余风险 根据风险模型(审计风险：重大错报风险检查风险)，确定检查风险，并根据检查风险水平来安排实质性测试。(五)综合评估审计风险 在实质性测试完成后，审计师已经掌握了较充分的审计证据。此时，审计师还要综合考虑这些审计证据以及各风险因素，再次评估审计风险，并与期望审计风险比较，以判断审计风险是否控制在期望审计风险之下。第7页，共38页。三、重大错报风险评估的几种基本方法 (一)定性分析法 (二)管理工具分析 (三)分析性复核

7、(四)控制测试 (五)模糊综合评价法 第8页，共38页。 (一)定性分析法 定性风险评价是指通过观察、检查、询问、函证、穿行测试等多种取证手段收集审计证据，借助于经验、专业标准、专业判断等对审计证据进行定性分析，特别是针对导致重大错报风险产生的相关因素进行分析，再将各因素进行综合后评估重大错报风险。定性风险评价法由于它不需要统计资料和复杂的数学模型，具有成本低廉、操作简单、易于掌握等优点，但是它容易受审计师经验和判断能力的影响。 (二)管理工具分析 审计师可以利用一些管理工具对经营风险进行评估。例如用PEST方法进行宏观分析，用POPTER进行行业分析，客户如果涉及多元化经营，还要运用PEST

8、和POTER方法进行分业分析：通过价值链分析(VCA)，将客户的资源及流程融合在一起，分析客户的竞争优势及劣势，并运用波士顿矩阵(BCG)分析客户的主业盈利能力；运用SWOT、KSF方法综合分客户的核心竞争力：运用管理信息系统(MIS)、平衡记分卡方法和最佳实践的标杆比较等工具进行绩效分析，从而对客户的经营风险进行全方位的评估。第9页，共38页。 (三)分析性复核 分析性复核是以财务资料及非财务资料之间的表面关系或可预测关系，评估财务信息，分析财务信息中包含的审计风险。分析性复核程序通常经历几个步骤：确定要执行的计算及比较估计合理预期值执行计算及比较实际数据与合理预期分析数据及确认异常评估重大

9、错报风险。其中，关键的一步是估计合理预期值。通常，可以采用四种方法估计合理预期值：一是进行同业分析，找到行业平均数和竞争者数据；第10页，共38页。二是进行纵向分析，将被审计会计期间前后若干年度的；财务数据进行比较；三是财务数据与非财务数据进行比较分析；四是财务数据之间的比较分析。在估计预期值方面，国外采用一些了更加先进的方法以提高预期值的合理性。如进行纵向分析时，采用简单移动平均法、指数平滑法、差分自回归移动平均模型(ARIMA模型)；在进行财务数据与非财务数据的比较分析时，采用结构化分析性程序，在利用非财务数据进行分析性；测试方面，国外还采用了Benford定律分析法。第11页，共38页。

10、【案例6-1】甲会计师事务所对乙公司2008年度的财务报表进行审计。注册会计师汪洋列举下列审计程序，要求其助手李红判断在进行风险评估时，通常采用以下哪些审计程序? （1）将财务报表与其所依据的会计记录相核对； (2)实施分析程序以识别异常的交易或事项，以及对财务报表和审计产生影响的金额、比率和趋势； (3)对应收账款进行函证； (4)以人工方式或使用计算机辅助审计技术，对记录或文件中的数据计算准确性进行核对。要求：请代李红作出判断，并说明理由。第12页，共38页。【案例分析】就以上列举的程序而言，李红判断在进行风险评估时通常采用的审计程序是（2）。因为风险评估的程序包括：询问被审计单位管理层和

11、内部其他相关人员、分析程序、观察和检查。分析程序即可用作风险评估程序和实质性程序，也可用于对财务报表的总体复核。注册会计师实施分析程序有助于识别异常的交易或事项，以及对财务报表和审计产生影响的金额、比率和趋势。其他程序均属于细节测试程序。第13页，共38页。(四)控制测试 控制测试是指对客户内部控制的设计与运行的有效性进行测试。控制测试是在审计师通过了解，打算信赖客户的内部控制时进行的。测试的方法包括询问、审阅证据、实地观察、重复执行等。通过控制测试，审计师据以评估因内部控制产生的相关风险。第14页，共38页。内部控制的涵义（几个阶段）以内部牵制原则作为主要内容，强调职务分工 和账户核对；发展

12、到内部控制系统，组织结构、职务分离、业务程序、处理手续；强调会计控制和管理控制保证实现企业目标的各种政策和程序；“内部控制是一个控制系统，包括控制环境、会计系统和控制程序”；内部控制的几个要素：控制环境、风险评估、控制活动、信息和传递、监督第15页，共38页。1958年，美国审计程序委员会在内部控制的定义上指出，内部控制在广义上包括会计控制和管理控制。会计控制包括组织计划和一切有关并且直接目的在于保护财产和会计资料的可靠性的程序和方法。管理控制包括组织控制和一切有关营运效率、管理政策的遵循和那些间接影响会计资料的方法和程序。第16页，共38页。内部会计控制：会计凭证、会计帐簿、会计报表、会计分

13、析。内部管理控制：组织机构控制，劳动工资控制，员工教育控制，计划预算控制，合同执行控制，生产经营控制，质量检验控制，环境监测控制。第17页，共38页。内部控制是指被审计单位为了保证业务活动有效进行，保护资产的安全完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策和程序。包括控制环境、会计系统、控制程序。第18页，共38页。内部牵制的含义在于职责分离，通过职责分离，任何一个人很难进行舞弊或类似行为而不被发现，这有助于减少舞弊行为。同时，手工进行的会计操作，不可避免会发生一些错误，通过内部牵制，可以有效地防止错误的发生。因此，内部牵制基本是以查错防弊为目的，以职务分

14、离和账目核对为方法，以钱、账、物等会计事项为主要控制对象。第19页，共38页。内部牵制按其功能、执行的对象及其方式，可分为实物牵制机械牵制体制牵制簿记牵制四类。即使是在现代内部控制理论中，内部牵制仍然占有重要的地位，它是有关组织机构控制和职务分离控制的基础。第20页，共38页。【案例6-2】甲注册会计师负责对乙公司2008年度财务报表进行审计。在了解乙公司内部控制时，甲注册会计师遇到下列事项需要考虑，请代为做出正确的专业判断。 事项一，在了解控制环境时，应当关注以下哪些方面？ (1)乙公司治理层相对于管理层的独立性； (2) 乙公司管理层的理念和经营风格； (3) 乙公司员工整体的道德价值观；

15、 (4) 乙公司对控制的监督。第21页，共38页。事项二，为保证所有的产品销售均已入账，乙公司下列控制活动中与这一控制目标直接相关的有哪些？ (1)对销售发票进行顺序编号并复核当月开具的销售发票是否均已登记入账； (2) 检查销售发票是否经适当的授权批准； (3)将每月产品发运数量与销售入账数量相核对； (4) 定期与客户核对应收账款余额。 事项三，乙公司下列控制活动中，属于经营业绩评价方面的有哪些？ (1)由内部审计部门定期对内部控制的设计和执行效果进行评价； (2) 定期与客户对账并对发现的差异进行调查； (3) 对照预算、预测和前期实际结果，对公司的业绩复核和评价； (4)综合分析财务数

16、据和经营数据之间的内在关系。第22页，共38页。 事项四，在了解乙公司内部控制时，通常采用以下哪些程序？ （1）查阅内部控制手册； （2）追踪交易在财务报告信息系统中的处理过程； (3) 重新执行某项控制； (4) 现场观察某项控制的运行。第23页，共38页。【案例分析】事项一，在了解控制环境时，甲注册会计师应当关注（1）、（2）、（3）方面。(1)治理层对控制环境的影响要素包括治理层相对于管理层的独立性，要考虑治理层的参与程度；(2)管理层负责企业的运作以及经营策略和程序的制定、执行与监督，管理层的理念包括管理层对内部控制的理念；(3)在确定控制环境的要素是否得到执行时，通过询问管理层和员工

17、，注册会计师可能了解管理层如何就业务规程和道德价值观念与员工进行沟通；第(4)方面，内部控制的要素包括对控制的监督，但是其并不属于了解内部控制环境需要关注的内容。第24页，共38页。事项二，乙公司的控制活动(1)和（3）与所有的产品销售均已入账控制目标相关。乙公司的控制活动（2）与发生认定相关；控制活动（4）与发生和准确性认定相关事项三，乙公司控制活动(3)和（4）属于经营业绩评价方面的。因为注册会计师了解和业绩评价有关的控制活动主要包括被审计单位分析评价实际业绩与预算（或预测、前期业绩）的差异、综合分析财务数据与经营数据的内在关系、将内部证据与外部信息来源相比较、评价职能部门分支机构或项目活

18、动的业绩以及对发现的异常差异或关系采取必要的调查与纠正措施。事项四，在了解乙公司内部控制时，甲注册会计师通常采用的了解程序有(1)、（2）和（4）。因为注册会计师在了解乙公司内部控制时，可以实施的程序包括：了解被审计单位及其环境：询问、分析程序、观察和检查。程序(3)属于控制测试程序。 第25页，共38页。(五)模糊综合评价法 在审计风险评估中，绝大部分风险是无法精确描述的，这类事件就属于模糊事件。模糊综合评价的步骤是：第一步，根据这两点选定评价因素，构成评价因素集第二步，根据评价的要求，划分等级，构造评语第三步，通过实地调查，对各风险因素进行独立评价，建立评价矩阵第四步，根据各风险因素影响程

19、度确定其相应的权重第五步，运用模糊数学运算方法，计算出评价结果。 上述方法的使用，既可以是审计师手工完成，也可以借助计算机信息系统来实现风险的评估，如设计审计风险评估专家系统，利用专家的经验，模仿专家思维作出判断和决策。无论那种方法，都需要通过审计风险模型来确定检查风险，从而确定实质性测试的性质、时间和范围。第26页，共38页。第二节 风险应对一、财务报表层次重大错报风险的总体应对措施（一）向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性。（二）分派更有经验或具有特殊技能的审计人员，或利用专家的工作。（三）提供更多的指导。(四)在选择进一步审计程序时，应当注意使某些程序不被管理层

20、预见或事先了解 (五)对拟实施审计程序的性质、时间和范围作出总体修改。 注册会计师针对财务报表层次重大错报风险拟实施的进一步审计程序的总体方案包括实质性方案和综合性方案。 第27页，共38页。二、针对认定层次重大错报风险的进一步审计程序进一步审计程序是相对风险评估程序而言，是指注册会计师针对评估的各类交易、账户余额、列报认定层次重大错报风险实施的审计程序，包括控制测试和实质性程序。实质性程序包括对各类交易、账户余额、列报的细节测试和实质性分析程序。(一)进一步审计程序的性质是指进一步审计程序的目的和类型。 (二)进一步审计程序的时间是指注册会计师何时实施进一步审计程序，或审计证据适用的期间或时

21、点。 第28页，共38页。（三）进一步审计程序的范围是指实施进一步审计程序的数量，包括抽取的样本量、对某项控制活动的观察次数等。 随着重大错报风险的增加，注册会计师应当考虑扩大审计程序的范围。但是，只有当审计程序本身与特定风险相关时，扩大审计程序的范围才是有效的。 第29页，共38页。三、控制测试控制测试并非在任何情况下都需要实施。当存在下列情形之一时，注册会计师应当实施控制测试：1.在评估认定层次重大错报风险时，预期控制的运行是有效的2.仅实施实质性程序不足以提供认定层次充分、适当的审计证据第30页，共38页。【案例6-3】甲会计事务所对乙公司2008年度财务报表进行审计时，在对乙公司内部控

22、制进行测试时，助理人员询问注册会计师张浩下述问题，请代为回答其正确性。 (1)如果控制设计不合理，则不必实施控制测试？ (2)如果在评估认定层次重大错报风险时预期控制的运行是有效的，则应当实施控制测试？ (3)如果认为仅实施实质性程序不足以提供认定层次充分、适当的证据，则应当实施控制测试？ (4)对特别风险，即使拟信赖的相关控制没有发生变化，也应当在本次审计中实施控制测试？第31页，共38页。【案例分析】问题（1）正确。因为控制设计不合理，不能防止或发现和纠正财务报表重大错报，因此，不必测试内部控制；问题（2）正确。因为预期控制的运行是有效的,注册会计师为减少审计工作量考虑，拟信赖内部控制，所

23、以应当进行控制测试；问题（3）正确。因为仅实施实质性程序不足以提供认定层次充分、适当的审计证据；需要借助控制测试；问题（4）正确。因为对于特别风险，即使拟信赖的相关控制没有发生变化，也需要进行控制测试，以获取控制运行有效性的审计证据。第32页，共38页。 (一)控制测试的性质控制测试的性质是指控制测试所使用的审计程序的类型及其组合。控制测试的目的是评价控制是否有效运行；细节测试的目的是发现认定层次的重大错报。注册会计师可以考虑针对同一交易同时实施控制测试和细节测试，以实现双重目的。 (二)控制测试的时间控制测试的时间包含两层含义:一是何时实施控制测试；二是测试所针对的控制适用的时点或期间。 第33页，共38页。当出现下列情况时，注册会计师应当缩短再次测试控制的时间间隔或完全不信赖以前审计获取的审计证据： (1)控制环境薄弱。 (2)对控制的监