第十一章 风险评估 Final version

《审计与认证业务 审计与认证业务》 》 第十一章 风险评估
授课教师：廖飞博士
提醒
注意：请结合审计工作底稿示例与案例 来理解！
第十一章 风险评估
2
1

教学目标
? 理解风险评估过程； ? 理解经营风险与重大错报风险之间的关系 ； ? 理解内部控制五要素； ? 掌握如何运用内部控制五要素以评价内部 控制； 控制 ? 理解重大错报风险的评估；
3
第十一章 风险评估
思维导图
AAR = RMM IR
风险评估 控制测试
×
PDR
CR
实质性 分析程序 细节测试
有说服力 ( 充分、适当 ) 的审计证据
第十一章 风险评估 4
2

内容
? 第一节 风险评估概述 ? 第二节 风险评估程序、信息来源以及项目 息来 组内部的讨论 ? 第三节 了解被审计单位及其环境 ? 第四节 了解被审计单位的内部控制 ? 第五节 评估重大错报风险
第十一章 风险评估
5
第一节 风险评估概述
? 一、出台审计风险准则项目的背景 ? 二、审计风险准则的特点 特 ? 三、风险评估的作用
第十一章 风险评估
6
3

三、风险评估的作用
? 《中国注册会计师审计准则第1211号——通 过了解被审计单位及其环境识别和评估重 大错报风险》作为专门规范风险评估的准 则，规定注册会计师应当了解被审计单位 及其环境，以充分识别和评估财务报表重 大错报风险，设计和实施进一步审计程序 。
第十一章 风险评估
7
三、风险评估的作用
? 了解被审计单位及其环境是一个连续和动 态地收集 更新与分析信息的过程 贯穿 态地收集、更新与分析信息的过程，贯穿 于整个审计过程的始终。 ? 注册会计师应当运用职业判断确定需要了 解被审计单位及其环境的程度。
第十一章 风险评估
8
4

第二节 风险评估程序、信息来源 以及项目组内部的讨论
? 一、风险评估程序和信息来源 ? 二、其他审计程序和信息来源 其他 息来 ? 三、项目组内部的讨论
第十一章 风险评估
9
一、风险评估程序和信息来源
? 注册会计师了解被审计单位及其环境，目 的是为了识别和评估财务报表重大错报风 险。为了解被审计单位及其环境而实施的 程序称为“风险评估程序”。 ? 注册会计师应当依据实施这些程序所获取 的信息，评估重大错报风险。
第十一章 风险评估
10
5

一、风险评估程序和信息来源
? 注册会计师应当实施下列风险评估程序， 以了解被审计单位及其环境 （1）询问管 以了解被审计单位及其环境：（ 理层和被审计单位内部其他人员；（2）分 析程序；（3）观察和检查。 ? 信息来源：证据三角，EBS/MII/MBR
第十一章 风险评估
11
问题
? 为了识别“利文”、“克莉丝汀”等烘焙 食品连锁企业的财务报表重大错报风险， 食品连锁企业的财务报表重大错报风险 注册会计师应如何了解上述企业及其环境 ？ ? 请结合审计工作底稿示例，查询“克莉丝 汀 公司财务报告以及经营资料，对该企 汀”公司财务报告以及经营资料，对该企 业所面临的经营风险进行分析。
第十一章 风险评估
12
6

二、其他审计程序和信息来源
? 1.其他审计程序。 ? 2.其他信息来源。 ? 总结：采用任何适当方式以获取有说服力 的证据。如咨询外部专家，如律师、投资 分析师、行业专家等。还可以购买专业数 据库 专业分析服务等 据库、专业分析服务等。
第十一章 风险评估
13
三、项目组内部的讨论
? 《中国注册会计师审计准则第1211号——通 过了解被审计单位及其环境识别和评估重 大错报风险》要求项目合伙人和项目组其 他关键成员应当讨论被审计单位财务报表 存在重大错报的可能性，以及如何根据被 审计单位的具体情况运用适用的财务报表 编制基础。 ? 注意：请结合在完成小组报告过程中的小 组讨论来思考。
第十一章 风险评估 14
7

三、项目组内部的讨论
? ? ? ? （一）讨论的目标 （二）讨论的内容 内容 （三）参与讨论的人员 （四）讨论的时间和方式
第十一章 风险评估
15
三、项目组内部的讨论
讨论的主 要领域 目的：了解被审计单位，进行公开的讨论 分享了解 包括但不局限于： 的信息， 1．被审计单位的性质、管理层对内部控制的态度，从以往审 计业务中获得的经验、重大经营风险因素。 促进思考， 激发灵感 2．已了解的影响被审计单位的外部和内部舞弊因素，可能为 管理 层或其他人员实施下列行为提供动机或压力： （1）实施舞弊； （2）为实施构成犯罪的舞弊提供机会； ）为实施构成犯罪的舞弊提供机会 （3）利用企业文化或环境，寻找使舞弊行为合理化的理由； （4）考虑管理层对接触现金或其他被侵占资产的员工实施监 督的情况。 3．确定财务报表哪些项目易于发生重大错报，表明管理层倾 向于高估或低估收入的迹象
第十一章 风险评估 16
8

三、项目组内部的讨论
目的：对审计意见和方法实施头脑风暴法
分享审 计思路 和方法
1.?管理层可能如何编报和隐藏虚假财务报告，例如管理 层凌驾于内部控制之上。根据对识别的舞弊风险因素的 评估，设想可能的舞弊场景对审计很有帮助。例如，销 售经理可能通过高估收入实现达到奖励水平的目的。这 可能通过修改收入确认政策或进行不恰当的收入截止来 实现。 2．出于个人目的侵占或挪用被审计单位的资产行为如 何发生。 何发生 3．考虑： （1）管理层时行高估/低估账目的方法，包括对准备和 估计进行操纵以及变更会计政策等； （2）用于应对评估风险可能的审计程序/方法
第十一章 风险评估 17
三、项目组内部的讨论
目的：为项目组指明审计方向
指明方 向
1．强调在审计过程中保持职业怀疑态度的重要性。不 应将管理层当成完全诚实，也不应将其作为罪犯对待。 2．列示表明可能存在在舞弊可能性的迹象。例如： （1）识别警示信号（红旗），并予以追踪； （2）一个不重要的金额（例如，增长的费用）可能表 明存在很大的问题，例如管理层诚信。 3．决定如何增加拟实施审计的程序的性质、时间安排 和范围的不可预见性。 和范围的不可预见性 4．总体考虑：每个项目组成员拟执行的审计工作部分， 需要的审计方法、特殊考虑、时间，记录要求，如果出 现问题应联系的人员，审计工作底稿复核，以及其其他 预期事项。 5．强调对表明管理层不诚实的迹象保持警觉的重要性
第十一章 风险评估 18
9

第三节 了解被审计单位及其环境
? 一、总体要求 ? 二、行业状况、法律环境和监管环境及其 他外部因素 ? 三、被审计单位的性质 ? 四、被审计单位对会计政策的运用 ? 五、被审计单位的目标、战略以及相关经 被审计单位的 标 战略以 相关经 营风险 ? 六、被审计单位财务绩效的衡量与评价；
第十一章 风险评估 19
企业经营风险与审计风险之间的关系
在制定总体审计 策略阶段，要确 定可接受的审计 风险水平，其核 心是评估重大错 报风险，进而确 定检查风险
Source: Messier et al.(2010)
第十一章 风险评估 20
10

企业经营风险与审计风险之间的关系
在制定具体审计计 划阶段，以及执行 审计业务阶段，要 持续地更新对重大 错报风险的评估， 进而评估检查风险， 以 将检查风险控制 可以接受的水平。
Source: Messier et al.(2010)
第十一章 风险评估 21
制定审计计划
接受客户和作出初步审计计划 理解被审计单位的业务和行业 评价被审计单位的经营风险 执行初步分析程序 确定重要性水平，并评估可接受审计风险和固有风险 理解内部控制和评估控制风险 收集信息评估舞弊风险 制定总体审计计划和具体审计计划
第十一章 风险评估
22
11

了解被审计单位的业务和行业
行业和外部环境 经营业务和处理过程 了解被审计 单位的业务 和行业 管理层和公司治理 目标和战略 评价和业绩 了解被审计单位的业务和行业
第十一章 风险评估 23
了解被审计单位的业务和行业、被审计 单位的经营风险和重大错报风险
行业和外部环境 了解被审计单位的业务和行 业 评价被审计单位的经营风险 评价重大错报风险 经营业务和处理过程 管理层和公司治理 目标和战略 评价和业绩 了解被审计单位的业务和行业、被审计单位的经营风险和重 大错报风险
第十一章 风险评估 24
12

总体要求
? 注册会计师应当从下列方面了解被审计单 位及其环境： 位及其环境 ? （1）相关行业状况、法律环境和监管环境 及其他外部因素； ? （2）被审计单位的性质； ? （3）被审计单位对会计政策的选择和运用 ；
第十一章 风险评估
25
总体要求
? （4）被审计单位的目标、战略以及可能导 致重大错报风险的相关经营风险； 致重大错报风险的相关经营风险 ? （5）对被审计单位财务业绩的衡量和评价 ； ? （6）被审计单位的内部控制。
第十一章 风险评估
26
13

经营风险对重大错报风险的影响 (p.216)
? 经营风险可能对各类交易、账户余额和披 露的认定层次或财务报表层次产生直接影 响。 ? 注册会计师应当根据被审计单位的具体情 况考虑经营风险是否可能导致财务报表发 生重大错报。 ? 比如：“利文”面包连锁企业没有能力保 持高质量的客户体验(Customer Experience) ，这会对财务报表产生直接影响。
第十一章 风险评估 27
第四节 了解被审计单位的内部控 制
? ? ? ? ? ? 一、内部控制的含义和要素 二、与审计相关的控制 三、对内部控制了解的深度 四、内部控制的人工和自动化成分 五、内部控制的局限性 六、控制环境
第十一章 风险评估
28
14

第四节 了解被审计单位的内部控 制
? ? ? ? ? ? 七、被审计单位的风险评估过程 八、信息系统和沟通 息系 九、控制活动 十、对控制的监督 十一、在整体层面了解内部控制 十二、在业务层面了解内部控制
第十一章 风险评估
29
定义
? 内部控制是被审计单位为了合理保证财务 报告的可靠性 经营的效率和效果以及对 报告的可靠性、经营的效率和效果以及对 法律法规的遵守，由治理层、管理层和其 他人员设计与执行的政策及程序。
第十一章 风险评估
30
15

内涵
? 可以从以下几方面理解内部控制。 ? 1．内部控制的目标是合理保证： (1)财务报告的可靠性，这一目标与管理层 履行财务报告编制责任密切相关； (2)经营的效率和效果，即经济有效地使用 企业资源，以最优方式实现企业的目标； (3)遵守适用的法律法规的要求，即在法律 法规的框架下从事经营活动。
第十一章 风险评估 31
内涵
? 2．设计和实施内部控制的责任主体是治理 层 管理层和其他人员 组织中的每 个 层、管理层和其他人员，组织中的每一个 人都对内部控制负有责任。
第十一章 风险评估
32
16

内涵
? 3．实现内部控制目标的手段是设计和执行 控制政策及程序。 控制政策及程序 ? 内部控制包括下列要素：(1)控制环境；(2) 风险评估过程；(3)与财务报告相关的信息 系统和沟通；(4)控制活动；(5)对控制的监 督。 ? 内部控制包括上述五项要素；控制包括上 述一项或多项要素，或要素表现出的各个 方面。
第十一章 风险评估 33
内部控制五要素
控制环境
风险评估
信息系统与 沟通
控制活动
监督
第十一章 风险评估
34
17

内部控制目的与要素
第十一章 风险评估
35
合理设计并 有效运行的 内部控制能 预防或消除 错报以及错 报累积之后 报 形成的重大 错报。
审计师需要做的检查工 作就相对较少一些
第六章 审计计划 36
18

任何错报，都 是由人无意或 有意造成的
实现有效的内 部控制，是管 理层的责任
审计师设计和 执行实质性程 序
重大错报
审计师要评估 内部控制的有 效性
第六章 审计计划 37
对内部控制了解的深度
? 对内部控制了解的深度，是指在了解被审 计单位及其环境时对内部控制了解的程度 。 ? 包括评价控制的设计，并确定其是否得到 执行，但不包括对控制是否得到一贯执行 不包括对控制是否得到一贯执行 的测试。 的测试
第十一章 风险评估
38
19

对内部控制了解的深度: 内部控制了解流程
第十一章 风险评估
39
对内部控制了解的深度
? （一）评价控制的设计 ? 注册会计师在了解内部控制时，应当评价 控制的设计，并确定其是否得到执行。 ? 评价控制的设计，涉及考虑该控制单独或 连同其他控制是否能够有效防止或发现并 纠正重大错报。 纠正重大错报 ? 控制得到执行是指某项控制存在且被审计 单位正在使用。
第十一章 风险评估 40
20