审计第九章风险评估与应对课件

1、第九章 风险评估与应对殷丽丽第九章 风险评估与应对殷丽丽 电话：Email： yinlili122126 电话：险导向审计业务流程和程序1、了解被审计单位及其环境2、控制测试3、实质性程序风险评估程序进一步审计程序或风险应对风险导向审计业务流程和程序1、了解被审计单位及其环境风险评估第一节 了解被审计单位及其环境1、方法=风险评估程序询问；-管理层和内部相关人员分析；-识别异常的交易或事项检查和观察-实地查看、检查相关文件记录第一节 了解被审计单位及其环境1、方法=风险评估程序2、内容（1）行业状况、法律环境与监管

2、环境以及其他外部因素；-不同企业了解的侧重点不一样。但是应重点关注会对企业的经营活动产生重要影响的关键外部因素。2、内容（1）行业状况、法律环境与监管环境以及其他外部因素；2、内容（2）被审计单位的性质；所有权结构；“关联方交易”治理结构；“独立董事、审计委员会、监事会”组织结构；经营活动；筹资活动；投资活动。2、内容（2）被审计单位的性质；2、内容（3）被审计单位对会计政策的选择和运用；2、内容（3）被审计单位对会计政策的选择和运用；2、内容（4）被审计单位的目标、战略以及相关经营风险；-是否会带来财务后果，考虑对重大错报风险的影响。2、内容（4）被审计单位的目标、战略以及相关经营风险；2、

3、内容（5）被审计单位财务业绩的衡量和评价；-考虑企业管理当局面临的压力、激励性报酬-关键业绩指标、业绩趋势、预算差异分析、业绩考核和激励性报酬、分部业绩、外部机构分析报告、竞争对手业绩等2、内容（5）被审计单位财务业绩的衡量和评价；（6）被审计单位的内部控制1、CPA审计规定：”内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。”2、 COSO报告指出：内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由控制环境

4、、风险评估、控制活动、信息与沟通、监督五项要素构成。 （6）被审计单位的内部控制1、CPA审计规定：”内部控制内部控制的演进形成时间内控理论主要标志20世纪以前萌芽阶段内部牵制1. 内部牵制三要素： 职责分工、会计记帐、人员轮换。2. 内部牵制的执行分为四类：实物牵制、机械牵制、体制牵制、簿记牵制。至20世纪70年代发展阶段内部控制制度 1958年美国注协审计委重新定义：内部控制分为会计控制和管理控制。20世纪70-80年代形成阶段内部控制结构论 1988年美国注协审计委审计准则第55号首次以“内部控制结构：取代“内部控制”，指出内部控制结构包括三要素：（1）控制环境；（2）会计制度；（3）控

5、制程序20世纪90年代-21世纪成熟阶段内部控制框架2019年美国注协发布审计准则公告第78号，将内部控制定义为： “由企业董事长、管理层和其他人员实现的过程，旨在为下列目的提供保证：财务报告的可靠性经营效果和效率符合法规”内部控制分为：（1）控制环境（2）风险评估 （3）控制活动（四类形式：业绩评价、信息处理、实物控制、职责分离） （4）信息与沟通 （5）监控。21世纪初至今成熟阶段风险管理框架在内部控制整体框架基础上增加了：（1）风险组合观；（2）战略目标；（3）两个概念风险偏好和风险容忍度；（4）三个要素目标制定、事项识别和风险反应内部控制的演进形成时间内控理论主要标志20世纪以前萌芽阶

6、段内内控系统的整体架构（1992）内控系统的整体架构（1992）企业风险管理-整合框架(COSO-ERM)-2019年基本原则：企业是为股东提供价值而生存；每个企业都面临不确定性；不确定性带来风险（损失）与机遇；管理层必须承受与管理不确定性。COSO-ERM风险管理模型包括：四大目标八大要素四个组织层面企业风险管理-整合框架(COSO-ERM)-2019年1控制环境 控制环境对胜任能力的要求诚信和道德价值观组织结构董事会或审计委员会管理层的理念和经营风格权力和责任的分配人力资源政策和实务1控制环境 控制对胜任能力的要求诚信和道德价值观组织结构董2风险评估 目标设定识别、评估风险应对风险2风险评

7、估 目标设定识别、评估风险应对风险风险评估指管理层分析、评价和估计对战略、经营、报告、合规目标有影响的内部或外部风险的过程。风险评估涉及估计风险的重大程度、评价风险发生的可能性、考虑如何管理风险等。 风险评估指管理层分析、评价和估计对战略、经营、报告、合规目标3、控制活动项目内 容授权控制为了保证重要经济业务的有效处理，对于关键的控制点需执行授权与批准控制程序。对经济业务的授权分一般授权和特殊授权。职务分离控制是指对处理某种经济业务所涉及的职责分派给不同的人员，使每个人的工作都是对其他有关人员的一种自动检查。对于不相容职务应该进行适当分离，并进行检查，不相容职务的分离包括在部门间分离和部门内部

8、的分离。 业绩评价包括被审计单位分析评价实际业绩与预算（或预期、前期业绩）的差异，职能部门、分支机构或项目活动的业绩分析，对发现的异常差异或关系采取必要的调查与纠正措施。资产接触、使用与记录控制为了限制非授权人随意接近资产和记录，以保证资产和记录的安全完整。其主要内容包括：（1）限制非授权人接触某项资产及有关记录；（2）建立必要的防护措施，确保资产的安全完整。如签批手续、密码、防火墙等设置。信息处理信息技术的一般控制：与多个应用系统相关的政策与程序，包括系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发与维护等。应用控制：主要是在业务流程层面运行的人工或自动化程序，包括检

9、查数据计算的正确性，审核账表，设置自动检查。3、控制活动项目内 容授权控制为了保证重要经济业务的有效处理4信息与沟通企业定期获取及交流内、外部的信息，帮助员工履行职责，包括：信息的识别和获取信息加工和报告内部沟通和外部沟通相关信息必须采用恰当的形式并在恰当的时间内沟通，以便相关人员能有效履行职责，采取适当行动4信息与沟通企业定期获取及交流内、外部的信息，帮助员工履行5监督 监督内部审计机构实施的独立的监督内部控制的自我评估 、持续监督5监督 监督内部审计机构实施的独立的监督内部控制的自我评估对内部控制了解的深度P1471、评价控制的设计2、控制是否得到执行3、获取控制设计和执行的审计证据对内部

10、控制了解的深度P1471、评价控制的设计审计第九章风险评估与应对课件控制风险及其来源 控制风险风险来源内控设计失效风险应有的控制不存在或不完善不相容职务未分离已有控制没有要求必要的实施证据已有控制缺乏必要的制度和执行程序或制度文件和执行程序不完善有控制未执行风险已有控制在实际中没有执行未按授权规定的授权执行控制作业步骤不完整错误执行风险由于不了解如何实施控制造成控制仅仅是例行手续未按授权规定的授权执行控制其他原因造成的控制失败控制风险及其来源 控制风险风险来源内控设计失效风险应有的控制第二节 识别与评估重大错报风险1、了解被审单位及环境的目的：识别和评估两个层次的重大错报风险（1）财务报表层次

11、（2）认定层次2、审计程序P1273、可能表明被审计单位存在重大错报风险的事项和情况第二节 识别与评估重大错报风险1、了解被审单位及环境的目的：4、特别风险P129涵义确定特别风险时应考虑的事项非常规交易和判断事项导致的特别风险考虑与特别风险相关的控制4、特别风险P129涵义第三节 针对重大错报风险的应对措施一、针对报表层次重大错报风险的总体应对措施1、项目组应在收集和评价审计证据中保持职业怀疑2、分派更有经验或有特殊技能的审计人员，或利用专家的工作3、提供更多的督导4、进一步审计程序应使管理层不可预见或事先了解5、对拟实施审计程序的性质、时间和范围作出整体修改-薄弱的控制环境下第三节 针对重

12、大错报风险的应对措施一、针对报表层次重大错二、针对认定层次重大错报风险的进一步审计程序1、考虑因素：风险的重要性、重大错报风险发生的可能性、认定的特征、控制的性质、审计证据的获取2、性质：目的和类型（方法）控制测试：内控有效性实质性程序：发现认定层次的重大错报二、针对认定层次重大错报风险的进一步审计程序1、考虑因素：风二、针对认定层次重大错报风险的进一步审计程序3、时间：两个层面的考虑（重大错报风险） 选择何时实施进一步审计程序：期中或期末 选择获取什么期间或时点的审计证据4、范围：实施进一步审计程序的数量，抽样的考虑-重要性水平（可容忍错报）、评估的重大错报风险（预计的总体错误率）、计划获取

13、的保证程度（可接受的抽样风险）二、针对认定层次重大错报风险的进一步审计程序3、时间：两个层三、控制测试控制测试的涵义：控制运行的有效性与“了解内部控制”的区别：设计和执行控制测试的非必要性：P152三、控制测试控制测试的涵义：控制运行的有效性知识点辨析：控制的执行与执行的有效性某单位针对销售收入和费用的业绩评价控制如下：财务经理每月审核实际销售收入和费用，并与预算数和上年同期数比较，对于差异金额超过5%的项目进行分析并编制分析报告，销售经理审阅该报告并采取适当跟进措施。CPA抽查最近三个月的分析报告，并看到上述管理人员在报告上签字确认，证明该控制已经得到执行。然而，CPA在与销售经理的讨论中，

14、发现他对分析报告中明显异常的数据并不了解其原因，也无法作出合理解释，从而显示该控制并未得到有效地运行。 知识点辨析：控制的执行与执行的有效性某单位针对销售收入和费用控制测试中关注以下方面来获取有效性的审计证据：1、控制在所审计期间的不同时点是如何运行的；2、控制是否得到一贯执行；3、控制由谁执行；4、控制以何种方式运行（人工、自动化）-控制能否在各个不同时点按照既定设计得以一贯执行控制测试中关注以下方面来获取有效性的审计证据：控制测试的性质：可选用的测试方法询问：是指通过对控制负责人的访谈了解控制点实施的过程，从而决定控制的有效性。观察：是指通过对被测试单位的有关业务活动及其内部控制的执行情况

15、等进行实地察看，从而评价控制的有效性。审阅与检查：是指通过审阅和检查控制文档确认管理层或实施监督人员对重要报告或差异分析的审阅和批准 穿行测试：追踪交易在财务报告系统中的处理过程。 重新执行：是指根据控制文档记录，通过重新执行相关的控制或是重要步骤来评价其是否运行并能够发现问题。重新执行的重点是关注数据来源的准确性、数据范围的完整性、重要计算公式的正确性及关键数据计算的准确性。控制测试的性质：可选用的测试方法询问：是指通过对控制负责举例-重新执行某项控制为：复核人员核对销售发票上的价格与统一价格单上的价格是否一致。-检查复核人员有没有认真执行核对1、检查复核人员是否在相关文件上签字2、需要选取

16、部分销售发票进行核对举例-重新执行某项控制为：四、实质性程序1、涵义：直接用以发现认定层次的重大错报的审计程序。2、性质细节测试：对各类交易、帐户余额、列报的具体细节进行测试，目的在于直接识别财务报表认定（主要是存在或发生、计价）是否存在错报。实质性分析程序：研究数据间关系评价信息，识别各类账户余额、列报及相关认定是否存在错报。-对一段时期内存在可预期关系的大量交易四、实质性程序1、涵义：直接用以发现认定层次的重大错报的审计十分钟的悲剧光有流程没有控制点是危险的！每个责任人都应认真履行自己的职责,但每个责任人又不能机械地履行自己的职责!如何考虑授予责任人特别风险处置权！如何建立应对突发风险的内控应急机制!“德国最愚