审计第九章风险评估与应对课件.ppt

1、第九章第九章 风险评估与应对风险评估与应对l殷丽丽殷丽丽 电话：电话：13852292864 Email：yinlilinau.edu yinlili122126风险导向审计业务流程和程序l1、了解被审计单位及其环境l2、控制测试l3、实质性程序风险评估程序风险评估程序进一步审计程序或风险应对进一步审计程序或风险应对第一节 了解被审计单位及其环境l1、方法=风险评估程序l询问；l-管理层和内部相关人员l分析；l-识别异常的交易或事项l检查和观察l-实地查看、检查相关文件记录2、内容l（1）行业状况、法律环境与监管环境以及其他外部因素；l-不同企业了解的侧重点不一样。但是应重点关注会对企业的经营

2、活动产生重要影响的关键外部因素。2、内容l（2）被审计单位的性质；l所有权结构；“关联方交易”l治理结构；“独立董事、审计委员会、监事会”l组织结构；l经营活动；l筹资活动；l投资活动。2、内容l（3）被审计单位对会计政策的选择和运用；2、内容l（4）被审计单位的目标、战略以及相关经营风险；l-是否会带来财务后果，考虑对重大错报风险的影响。2、内容l（5）被审计单位财务业绩的衡量和评价；l-考虑企业管理当局面临的压力、激励性报酬l-关键业绩指标、业绩趋势、预算差异分析、业绩考核和激励性报酬、分部业绩、外部机构分析报告、竞争对手业绩等（6）被审计单位的内部控制）被审计单位的内部控制1、CPA审计

3、审计规定：”内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。”2、COSO报告指出：内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。内部控制的演进形成时间形成时间内控理论内控理论主要标志主要标志20世纪以前萌世纪以前萌芽阶段芽阶段内部牵制内部牵制1.内部牵制三要素：内部牵制三要素：职责分工、会计记帐、人员轮换。职责分工、会计记帐、人员轮换。2.内部

4、牵制的执行分为四类：实物牵制、机械牵制、体制牵制、内部牵制的执行分为四类：实物牵制、机械牵制、体制牵制、簿记牵制。簿记牵制。至至20世纪世纪70年年代代发展阶段发展阶段内部控制内部控制制度制度 1958年美国注协审计委重新定义：内部控制分为会计控制和管理年美国注协审计委重新定义：内部控制分为会计控制和管理控制。控制。20世纪世纪70-80年代年代形成阶段形成阶段内部控制内部控制结构论结构论 1988年美国注协审计委审计准则第年美国注协审计委审计准则第55号首次以号首次以“内部控制结构：内部控制结构：取代取代“内部控制内部控制”，指出内部控制结构包括三要素：（，指出内部控制结构包括三要素：（1）

5、控制环境；）控制环境；（2）会计制度；（）会计制度；（3）控制程序）控制程序20世纪世纪90年代年代-21世纪世纪成熟阶段成熟阶段内部控制内部控制框架框架2019年美国注协发布审计准则公告第年美国注协发布审计准则公告第78号，将内部控制定义号，将内部控制定义为：为：“由企业董事长、管理层和其他人员实现的过程，旨在为下由企业董事长、管理层和其他人员实现的过程，旨在为下列目的提供保证：财务报告的可靠性经营效果和效率符合列目的提供保证：财务报告的可靠性经营效果和效率符合法规法规”内部控制分为：（内部控制分为：（1）控制环境（）控制环境（2）风险评估）风险评估 （3）控制活动（）控制活动（四类形式：业

6、绩评价、信息处理、实物控制、职责分离）四类形式：业绩评价、信息处理、实物控制、职责分离）（4）信）信息与沟通息与沟通 （5）监控。）监控。21世纪初至今世纪初至今成熟阶段成熟阶段风险管理风险管理框架框架在内部控制整体框架基础上增加了：（在内部控制整体框架基础上增加了：（1）风险组合观；（）风险组合观；（2）战略目标；（战略目标；（3）两个概念）两个概念风险偏好和风险容忍度；（风险偏好和风险容忍度；（4）三）三个要素个要素目标制定、事项识别和风险反应目标制定、事项识别和风险反应内控系统的整体架构（内控系统的整体架构（1992）企业风险管理企业风险管理-整合框架整合框架(COSO-ERM)-201

7、9年年基本原则：基本原则：l企业是为股东提供价值而生存；企业是为股东提供价值而生存；l每个企业都面临不确定性；每个企业都面临不确定性；l不确定性带来风险（损失）与机遇；不确定性带来风险（损失）与机遇；l管理层必须承受与管理不确定性。管理层必须承受与管理不确定性。COSO-ERM风险管理模型包括：风险管理模型包括：四大目标四大目标八大要素八大要素四个组织层面四个组织层面1控制环境 控制控制环境环境对胜任能力的要求诚信和道德价值观组织结构董事会或审计委员会管理层的理念和经营风格权力和责任的分配人力资源政策和实务2风险评估风险评估 目标设定目标设定识别、评估风险识别、评估风险应对风险应对风险l风险评

8、估指管理层分析、评价风险评估指管理层分析、评价和估计对战略、经营、报告、合和估计对战略、经营、报告、合规目标有影响的内部或外部风险规目标有影响的内部或外部风险的过程。的过程。l风险评估涉及估计风险的重大风险评估涉及估计风险的重大程度、评价风险发生的可能性、程度、评价风险发生的可能性、考虑如何管理风险等。考虑如何管理风险等。3、控制活动、控制活动项目内 容授权控制为了保证重要经济业务的有效处理，对于关键的控制点需执行授权与批准控制程序。对经济业务的授权分一般授权和特殊授权。职务分离控制是指对处理某种经济业务所涉及的职责分派给不同的人员，使每个人的工作都是对其他有关人员的一种自动检查。对于不相容职

9、务应该进行适当分离，并进行检查，不相容职务的分离包括在部门间分离和部门内部的分离。业绩评价包括被审计单位分析评价实际业绩与预算（或预期、前期业绩）的差异，职能部门、分支机构或项目活动的业绩分析，对发现的异常差异或关系采取必要的调查与纠正措施。资产接触、使用与记录控制为了限制非授权人随意接近资产和记录，以保证资产和记录的安全完整。其主要内容包括：（1）限制非授权人接触某项资产及有关记录；（2）建立必要的防护措施，确保资产的安全完整。如签批手续、密码、防火墙等设置。信息处理信息技术的一般控制：与多个应用系统相关的政策与程序，包括系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开

10、发与维护等。应用控制：主要是在业务流程层面运行的人工或自动化程序，包括检查数据计算的正确性，审核账表，设置自动检查。4信息与沟通l企业定期获取及交流内、外部的信息，帮助员工履行职责，包括：l信息的识别和获取l信息加工和报告l内部沟通和外部沟通l相关信息必须采用恰当的形式并在恰当的时间内沟通，以便相关人员能有效履行职责，采取适当行动5监督监督 监督监督内部审计机构实内部审计机构实施的独立的监督施的独立的监督内部控制的自我评估内部控制的自我评估、持续监督、持续监督对内部控制了解的深度P147l1、评价控制的设计l2、控制是否得到执行l3、获取控制设计和执行的审计证据控制风险及其来源控制风险及其来源

11、 控制风险控制风险风险来源风险来源内控设计内控设计失效风险失效风险应有的控制不存在或不完善应有的控制不存在或不完善不相容职务未分离不相容职务未分离已有控制没有要求必要的实施证据已有控制没有要求必要的实施证据已有控制缺乏必要的制度和执行程序或制度文件和已有控制缺乏必要的制度和执行程序或制度文件和执行程序不完善执行程序不完善有控制未有控制未执行风险执行风险已有控制在实际中没有执行已有控制在实际中没有执行未按授权规定的授权执行控制未按授权规定的授权执行控制作业步骤不完整作业步骤不完整错误执行错误执行风险风险由于不了解如何实施控制造成控制仅仅是例行手续由于不了解如何实施控制造成控制仅仅是例行手续未按授

12、权规定的授权执行控制未按授权规定的授权执行控制其他原因造成的控制失败其他原因造成的控制失败第二节 识别与评估重大错报风险l1、了解被审单位及环境的目的：识别和评估两个层次的重大错报风险l（1）财务报表层次l（2）认定层次l2、审计程序P127l3、可能表明被审计单位存在重大错报风险的事项和情况4、特别风险P129l涵义l确定特别风险时应考虑的事项l非常规交易和判断事项导致的特别风险l考虑与特别风险相关的控制第三节第三节 针对重大错报风险的应对措施针对重大错报风险的应对措施l一、针对报表层次重大错报风险的总体应对措施l1、项目组应在收集和评价审计证据中保持职业怀疑l2、分派更有经验或有特殊技能的

13、审计人员，或利用专家的工作l3、提供更多的督导l4、进一步审计程序应使管理层不可预见或事先了解l5、对拟实施审计程序的性质、时间和范围作出整体修改-薄弱的控制环境下二、针对认定层次重大错报风险的进一步审二、针对认定层次重大错报风险的进一步审计程序计程序l1、考虑因素考虑因素：风险的重要性、重大错报风险发生的可能性、认定的特征、控制的性质、审计证据的获取l2、性质性质：目的和类型（方法）l控制测试：内控有效性l实质性程序：发现认定层次的重大错报二、针对认定层次重大错报风险的进一步审二、针对认定层次重大错报风险的进一步审计程序计程序l3、时间时间：两个层面的考虑（重大错报风险）l 选择何时实施进一

14、步审计程序：期中或期末l 选择获取什么期间或时点的审计证据l4、范围范围：实施进一步审计程序的数量，抽样的考虑-重要性水平（可容忍错报）、评估的重大错报风险（预计的总体错误率）、计划获取的保证程度（可接受的抽样风险）三、控制测试三、控制测试l控制测试的涵义：控制运行的有效性l与“了解内部控制”的区别：设计和执行l控制测试的非必要性：P152知识点辨析：控制的执行与执行的有效知识点辨析：控制的执行与执行的有效性性l某单位针对销售收入和费用的业绩评价控制业绩评价控制如下：财务经理每月审核实际销售收入和费用，并与预算数和上年同期数比较，对于差异金额超过5%的项目进行分析并编制分析报告，销售经理审阅该

15、报告并采取适当跟进措施。lCPA抽查最近三个月的分析报告，并看到上述管理人员在报告上签字确认，证明该控制已经得到执行。控制已经得到执行。l然而，CPA在与销售经理的讨论中，发现他对分析报告中明显异常的数据并不了解其原因，也无法作出合理解释，从而显示该控制并未得到有效地运行并未得到有效地运行。控制测试中关注以下方面来获取有效控制测试中关注以下方面来获取有效性的审计证据：性的审计证据：l1、控制在所审计期间的不同时点是如何运行的；l2、控制是否得到一贯执行；l3、控制由谁执行；l4、控制以何种方式运行（人工、自动化）l-控制能否在各个不同时点按照既定设计得以一贯执行控制测试的性质：可选用的测试方法

16、控制测试的性质：可选用的测试方法ll询问：询问：是指通过对控制负责人的访谈了解控制点实施的过程，从而决定控制的有效性。ll观察：观察：是指通过对被测试单位的有关业务活动及其内部控制的执行情况等进行实地察看，从而评价控制的有效性。ll审阅与检查：审阅与检查：是指通过审阅和检查控制文档确认管理层或实施监督人员对重要报告或差异分析的审阅和批准l 穿行测试穿行测试：追踪交易在财务报告系统中的处理过程。l 重新执行：重新执行：是指根据控制文档记录，通过重新执行相关的控制或是重要步骤来评价其是否运行并能够发现问题。重新执行的重点是关注数据来源的准确性、数据范围的完整性、重要计算公式的正确性及关键数据计算的

17、准确性。举例-重新执行l某项控制为：l复核人员核对销售发票上的价格与统一价格单上的价格是否一致。l-检查复核人员有没有认真执行核对l1、检查复核人员是否在相关文件上签字l2、需要选取部分销售发票进行核对四、实质性程序l1、涵义：直接用以发现认定层次的重大错报的审、涵义：直接用以发现认定层次的重大错报的审计程序。计程序。l2、性质、性质l细节测试：对各类交易、帐户余额、列报的具体细细节测试：对各类交易、帐户余额、列报的具体细节进行测试，目的在于直接识别财务报表认定（主节进行测试，目的在于直接识别财务报表认定（主要是存在或发生、计价）是否存在错报。要是存在或发生、计价）是否存在错报。l实质性分析程

18、序：研究数据间关系评价信息，识别实质性分析程序：研究数据间关系评价信息，识别各类账户余额、列报及相关认定是否存在错报。各类账户余额、列报及相关认定是否存在错报。-对一段时期内存在可预期关系的大量交易对一段时期内存在可预期关系的大量交易光有流程没有控制点是危险的！光有流程没有控制点是危险的！每个责任人都应认真履行自己的职责每个责任人都应认真履行自己的职责,但每个责任人又不能机械地履行自己的职责但每个责任人又不能机械地履行自己的职责!如何考虑授予责任人特别风险处置权！如何考虑授予责任人特别风险处置权！如何建立应对突发风险的内控应急机制如何建立应对突发风险的内控应急机制!“德国最愚蠢银行德国最愚蠢银

19、行”的启的启示示 妈妈新开了个淘宝店，欢迎前来捧场妈妈新开了个淘宝店，欢迎前来捧场 妈妈的淘宝点开了快半年了，主要卖的是毛绒玩具、坐垫、抱枕之类的，妈妈的淘宝点开了快半年了，主要卖的是毛绒玩具、坐垫、抱枕之类的，但生意一直不是很好，感觉妈妈还是很用心的，花了不少功夫，但是就是没但生意一直不是很好，感觉妈妈还是很用心的，花了不少功夫，但是就是没有人气，所以我也来出自己的一份力，帮忙宣传一下。有人气，所以我也来出自己的一份力，帮忙宣传一下。并且妈妈总是去五亭龙挑最好的玩具整理、发货，质量绝对有保证。并且妈妈总是去五亭龙挑最好的玩具整理、发货，质量绝对有保证。另外我家就在扬州五亭龙玩具城旁边，货源丰富，质量可靠，价格便宜。另外我家就在扬州五亭龙玩具城旁边，货源丰富，质量可靠，价格便宜。欢迎大家来逛逛欢迎大家来逛逛【扬州五亭龙玩具总动员扬州五亭龙玩具总动员】99toy.taobao个人小广告：个人小广告：