风险评估
1、风险评估的作用
1)确定重要性水平,并随着审计工作,并随着审计工作展开判断重要性是否仍然适当。
2)确定在实施分析程序时所使用的预期值。
3)设计和实施进一步审计程序,以将审计风险降至可接受的低水平。
4)考虑会计政策的选择和运用是否恰当。
5)识别需要特别考虑的领域,如关联方、持续经营假设等。
6)评价所获取证据的充分性和适当性。
2、风险评估程序和信息来源+其他审计程序和信息来源
1)风险评估程序
①询问:管理层、内部人员;②分析程序(不适合了解内控和控制测试);③观察;④检查。
注意:询问外部顾问、专业人员就成为了其他审计程序,而非风险评估程序。
2)其他审计程序和信息来源
①其他审计程序:从被审计单位外部获取,如询问外部法律顾问等;②其他信息来源:如给被审计单位提供其他服务时获取的经验。
3、项目组内部讨论
讨论目的:了解各负责领域由于舞弊或错误导致重大错报的可能性;了解各自实施审计程序的结果如何影响审计其他方面,包括对进一步程序的影响。
讨论内容:被审计单位面临的经营风险;容易发生错报的领域及发生错报的方式;由于舞弊导致重大错报的可能性。
参与人员:关键成员参与,拥有特殊技能的专家也可根据需要参与讨论。
讨论时间:审计过程中持续交换有关财报重大错报可能性的信息,是一种专业的工作要求,必须做。
4、了解被审计单位及其环境
1)行业状况、法律环境和监管环境及其他外部因素;
2)被审计单位的性质:所有权结构、治理结构、组织结构、经营活动、投资活动、筹资活动、财务报告 ;
3)被审计单位对会计政策的选择和运用;
4)被审计单位的目标、战略以及相关经营风险;
5)被审计单位的财务业绩的衡量和评价;
6)内部控制。
二、了解内部控制
1、内控含义:被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。
2、内部控制的三目标:财务报告—可靠性;经营的效率和效果—有效性;遵守法律法规的要求—合规性。
3、内部控制要素
1)控制环境;2)风险评估;3)控制活动——认定层(重点);4)信息系统与沟通;5)对控制的监督。
4、了解内控的范围
只是了解内控三目标中与财报审计相关的内控,并非全部内控,与审计无关的控制无需考虑。
5、了解内部控制的深度
1)了解内部控制的方法:
①询问;②观察与检查;③穿行测试。
2)了解内控≠控制测试
①了解内控只强调设计合理否,若合理,是否执行了;②控制测试强调运行的有效性。
注意:除非存在某些可以使控制得到一贯执行的自动化控制,否则CPA对控制的了解并不足以测试控制运行的有效性。
6、内控的人工和自动化成分
1)人工控制的特别风险
①更容易被规避、忽视、凌驾;②不具有一贯性;③更容易产生简单的错误或失误。
2)人工优势(适合人工控制)
①大额、异常、偶发交易;②难以界定、预测的错误;③针对变化需要人工干预时;④监督自动化控制有效性。
3)不适合人工
①大量重复交易;②可预计错误并能通过自动化控制防止、发现并纠正。
7、内控的局限性
1)在决策时人为判断可能出现错误和因人为失误而导致内部控制失效;
2)控制可能由于两个或更多的人员串通或管理层不当地凌驾于内控之上而被规避;
3)内部行驶控制职能的人员素质不适应岗位要求影响内控功能的正常发挥;
4)被审计单位实施内部控制的成本效益问题也会影响其效能;
5)内控一般针对经常和重复出现的,如果出现不经常发生或未预计到的业务,原有控制就可能不适用。
8、整体层面和业务层面了解内控
1)整体层面了解内控
①整体层面了解内控的重点:舞弊;连续审计;关注整体层内控变化的情况;②整体层面了解内控的人员:对被审计单位情况比较了解且有较有经验的成员负责;③整体层内控与控制环境关系:报表层重大错报风险很可能源于薄弱的控制环境。
2)业务层面了解内控:程序如下:
①确定重要交易流程及类别;②了解重要流程;③确定可能错报的环节;④识别和了解相关内控;⑤穿行测试,已证实对交易流程和相关内控的了解;⑥初步评价和风险评估
9、了解内控并评估结果:
1)设计合理,并得到执行(需控制测试);
2)设计合理,但没得到执行(无需控制测试);
3)设计本身不合理(无需控制测试)。
三、评估重大错报风险
1、评估财务报表层次和认定层次的重大错报风险
1)评估两个层次的的重大错报风险;
2)控制环境对评估财务报表层次重大错报风险的影响;
3)控制对评估认定层次重大错报风险的影响;
4)考虑财务报表的可审性。
2、需要特别考虑的重大错报风险
1)舞弊;
2)经济环境、会计处理方法等重大变化;
3)交易复杂;
4)重大关联方交易;
5)会计计量主管程度;
6)超过正常经营过程的重大交易。
3、仅通过实质性程序无法应对的重大错报风险:更多的依赖控制测试程序。
如果认为仅通过实质性程序无法获取充分、适当的审计证据时,CPA应当考虑依赖相关控制的有效性,并对其进行了解、评估和测试。
4、对风险评估的修正
如果通过实施进一步审计程序获取的审计证据与初始评估获取的审计证据相矛盾,应当修正风险评估结果,并相应修改原计划实施的进一步审计程序。
评估重大错报风险并非审计业务的一个孤立阶段,而是一个持续的、不断修正的过程,贯穿于整个审计业务的始终。