第六章经营风险导向审计

第六章经营风险导向审计【教学目的】掌握经营风险导向审计的基本流程，了解被审计单位及其环境的内容与方法，评估重大错报风险的审计程序，应对重大错报风险的总体措施和进一步程序，内部控制的五要素，内部控制了解与测试的基本要求；熟悉风险导向审计的重大变化，确定风险性质与特别风险，内部控制的涵义；了解账项基础与制度基础审计，内部控制方式与描述内部控制的方法。【教学难点与重点】教学难点与重点是经营风险导向审计流程，内部控制的了解与测试。一、审计方法的演变一、审计方法的演变（一）账项基础审计（AccountingNumber-BasedAuditApproach）（详细审计）（二）制度基础审计(System-BasedAuditApproach)（以内部控制为基础的抽样审计）（三）传统风险导向审计风险导向审计方法（Risk-OrientedAuditApproach）一、审计方法的演变传统审计风险模型缺陷：忽视固有风险的评估，直接确定为高水平只注重对内部控制的评估（四）“经营风险导向审计”1.《中国注册会计师审计准则第1101号——财务报表审计的目标和一般原则》确立了新的审计模型，即审计风险取决于重大错报风险和检查风险。2、《中国CPA审计准则第1211号――了解被审计单位及其环境并评估重大错报风险》规范了CPA通过实施风险评估程序，识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险。3、《中国CPA审计准则第1231号一一针对评估的重大错报风险实施的程序》规范CPA针对已评估的重大错报风险确定总体应对措施，设计和实施进一步审计程序。第二节经营风险导向审计一、经营风险导向审计的基本流程二、了解被审计单位及其环境1、行业状况、法律环境与监管环境以及其他外部因素；2、被审计单位的性质；3、被审计单位对会计政策的选择和运用；4、被审计单位的目标、战略以及相关经营风险；5、被审计单位财务业绩的衡量和评价；6、被审计单位的内部控制。被审计单位的性质：三个结构三个活动（1）所有权结构：识别出关联方及控股母公司（2）治理结构：治理层是否发挥监督作用（3）组织结构：影响投资核素、商誉核算、报表合并（4）筹资活动：是否影响持续经营能力（5）投资活动：判断经营战略是否发生变化（6）经营活动：影响认定层次重大错报风险被审计单位对会计政策的选择和运用（1）重要项目：收入、存货、固定资产等（2）发生变更的项目①哪些项目会计政策发生了变更②变更的理由是否合理③变更的会计处理是否正确④变更的披露是否充分（3）异常的会计处理方法（4）新领域及缺乏权威性标准的项目被审计单位的目标、战略以及相关经营风险（1）目标是否合理（2）战略是否可行（3）可能存在的经营风险（4）可能存在的重大错报风险目标：进入某一新的海外市场战略：在当地成立合资公司可能的经营风险：企业如何与当地合资方在经营活动、企业文化等各方面协调，如何在合资公司中获得控制权或共同控制权，当地市场情况是否会发生变化，当地对合资公司的税收和外汇管理方面的政策是否稳定，合资公司的利润是否可以汇回，是否存在汇率风险等可能的重大错报风险：对合资公司是属于子公司、合营企业或联营企业的判断问题，投资核算问题，包括是否存在减值问题、对当地税收规定的理解，以及外币折算等问题内部控制的了解与测试一、内部控制概述（一）对内部控制的理解1、相关定义（COSO报告）（1）一系列政策和程序（2）主体：治理层、管理层和其他人员（3）目标：合理保证可靠性、效益性、合规性2、内部控制的局限性：只是一种“合理保证”，而组织目标的达成受制于制度本身的固有限制和执行中的人为限制。（1）制度设计的固有局限（2）制度执行的人为限制3、了解与审计相关的内部控制如财务报表审计，则主要关注为实现可靠性目标的内部控制，若效益性、合规性目标会影响到财务报表，则也可了解相应的内部控制。（二）内部控制五要素1、控制环境（氛围、基础）2、风险评估过程（企业评估经营风险、依据）3、控制活动（重要、手段）4、信息系统与沟通（载体）5、对控制的监督（保证）（1）日常的持续监督活动（2）专门的监督活动二、内部控制的了解1、深度：（1）评价内部控制的设计（是否设计、设计是否合理）（2）确定内部控制是否得到执行2、与审计相关的控制：被审计单位为实现财务报告可靠性目标设计和实施的控制。3、了解的程序：询问被审计单位的人员；观察特定控制的运用；检查文件和报告；追踪交易在财务报告信息系统中的处理过程（穿行测试）。追踪某笔交易从发生到结束整个环节的执行情况，在追踪过程中会运用到询问、观察、检查。4、描述内部控制（1）文字表述法文字表述法是用文字形式简要说明被审计单位的现行内部控制状况（2）调查表法调查表法是指利用预先设计好的标准化调查表格来反映被审计单位内部控制状况的一种方法。（3）流程图法流程图法是指用特定的符号和图形来描述某项业务的整个处理过程，将各种文件与凭证的编制、处理、传递和保存及其相互关系等用图解的形式直观地表达出来的一种方法。三、初步评价1、初步评价：评价控制的设计，并确定其是否得到执行。2、评价结论：（1）设计是合理的，并得到执行；（实施控制测试）（2）控制本身的设计是合理的，但没有得到执行；（3）控制本身的设计就是无效的活缺乏必要的控制。（2）、（3）不实施控制测试，识别出MMR。3、评价决策：（1）识别出存在MMR的领域（2）是否更多的信赖，并实施控制测试二、了解被审计单位及其环境的方法1、从内部获取信息——风险评估程序（1）询问（目的、对象、内容、时间、技巧）（2）观察和检查（3）分析程序2、从外部获取信息——其他审计程序（1）询问法律顾问、专业评估师、投资顾问和财务顾问。（2）阅读外部信息，比如证券分析师的分析报告，报纸杂志的报道等。二、了解被审计单位及其环境的方法风险评估程序（1）询问：获取对识别重大错报风险有用的信息。（2）分析程序：识别异常的交易或事项，以及对财务报表和审计产生影响的金额、比率和趋势。（3）观察和检查：印证对管理层和其他相关人员的询问结果，并可提供有关被审计单位及其环境的信息。二、了解被审计单位及其环境的方法观察和检查：A观察被审计单位的生产经营活动B检查文件、记录和内部控制手册C阅读由管理层和治理层编制的报告D实地察看被审计单位的生产经营场所和设备E追踪交易在财务报告信息系统中的处理过程（穿行测试）1、评估的基本思路：（1）在了解被审计单位及其环境的整个过程中识别风险，并考虑各类交易、账户余额、列报；（2）将识别的风险与认定层次可能发生错报的领域相联系；（3）考虑识别的风险是否重大；（4）考虑识别的风险导致财务报表发生重大错报的可能性。三、识别和评估重大错报风险三、识别和评估重大错报风险2、两个层次的重大错报风险（1）财务报表层次（2）各类交易、账户余额、列报认定层次注册会计师应当确定，识别的重大错报风险是与特定的某类交易、账户余额、列报的认定相关，还是与财务报表整体广泛相关，进而影响多项认定。3、需要特别考虑的重大错报风险（特别风险）（1）非常规交易：由于金额或性质异常而不经常发生的交易A、管理层更多地介入会计处理；B、数据收集和处理涉及更多的人工成分；C、复杂的计算或会计处理方法；D、非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制（2）判断事项：通常包括作出的会计估计A、对涉及会计估计、收入确认等方面的会计原则存在不同的理解；B、所要求的判断可能是主观和复杂的，或需要对未来事项作出假设。三、识别和评估重大错报风险4、仅通过实质性程序无法应对的错报风险如果认为仅通过实施实质性程序不能获取充分、适当的审计证据，注册会计师应当考虑依赖的相关控制的有效性。1、内容（1）针对评估的财务报表层次重大错报风险：确定总体应对措施（2）针对评估的认定层次重大错报风险：设计和实施进一步审计程序，以将审计风险降至可接受的低水平。四、应对重大错报风险2、总体应对措施（1）向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性；（2）分派更有经验或具有特殊技能的审计人员，或利用专家的工作；（3）提供更多的督导；（4）在选择进一步审计程序时，应当注意使某些程序不被管理层预见或事先了解；3、进一步审计程序指注册会计师针对评估的各类交易、账户余额、列报（包括披露）认定层次重大错报风险实施的审计程序，包括控制测试和实质性程序。（1）控制测试：针对内部控制的运行进行的测试--确定内部控制运行的有效性（2）实质性程序：对各类交易、账户余额、列报的细节测试以及实质性分析程序--发现认定层次的重大错报。无论评估的重大错报风险结果如何，注册会计师都应当针对所有重大的各类交易、账户余额、列报实施实质性程序。控制测试包括检查、观察、询问、重新执行。实质性程序包括检查、函证、重新计算和分析程序。控制测试1.控制测试的要求当存在下列情形之一时，注册会计师应当实施控制测试：（1）在评估认定层次重大错报风险时，预期控制的运行是有效的。（2）仅实施实质性程序不足以提供认定层次充分、适当的审计证据。2.控制测试的性质控制测试的性质是指控制测试所使用的审计程序的类型及其组合。虽然控制测试与了解内部控制的目的不同，但两者采用审计程序的类型基本相同，包括：询问、观察、检查。此外，控制测试的程序还包括重新执行。3、控制测试证据控制在所审计期间的不同时点是如何运行的；控制是否得到一贯执行；控制由谁执行；控制以何种方式运行。了解内部控制和控制测试1、联系：（1）控制测试需要根据了解内部控制的评估结果考虑是否实施。（2）当一项控制是自动化运行时，对内部控制的了解可以代替对控制运行有效性的测试。2、区别（1）目的不同。前者是评价控制的设计以及确定是否得到执行；后者是针对内部控制运行的有效性进行测试（是否一贯执行）。（2）方法不同。后者多了个“重新执行”。（3）证据不同。后者需要的证据远远多于前者。（4）实施的时间不同。前者在风险评估阶段实施，后者在风险应对阶段实施。