《审计第九章风险评估与应对.ppt》由会员分享,可在线阅读,更多相关《审计第九章风险评估与应对.ppt(35页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第九章第九章 风险评估与应对风险评估与应对殷丽丽殷丽丽 电话:电话:13852292864 Email: 风险导向审计业务流程和程序1、了解被审计单位及其环境2、控制测试3、实质性程序风险评估程序风险评估程序进一步审计程序或风险应对进一步审计程序或风险应对第一节了解被审计单位及其环境1、方法=风险评估程序询问;-管理层和内部相关人员分析;-识别异常的交易或事项检查和观察-实地查看、检查相关文件记录2、内容(1)行业状况、法律环境与监管环境以及其他外部因素;-不同企业了解的侧重点不一样。但是应重点关注会对企业的经营活动产生重要影响的关键外部因素。2、内容(2)被审计单位的性质;所有权结构;“关联
2、方交易”治理结构;“独立董事、审计委员会、监事会”组织结构;经营活动;筹资活动;投资活动。2、内容(3)被审计单位对会计政策的选择和运用;2、内容(4)被审计单位的目标、战略以及相关经营风险;-是否会带来财务后果,考虑对重大错报风险的影响。2、内容(5)被审计单位财务业绩的衡量和评价;-考虑企业管理当局面临的压力、激励性报酬-关键业绩指标、业绩趋势、预算差异分析、业绩考核和激励性报酬、分部业绩、外部机构分析报告、竞争对手业绩等(6)被审计单位的内部控制)被审计单位的内部控制1、CPA审计审计规定:”内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层
3、、管理层和其他人员设计和执行的政策和程序。”2、COSO报告指出:内部控制是一个过程,受企业董事会、管理当局和其他员工影响,旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。内部控制的演进形成形成时间时间内控理内控理论论主要主要标标志志20世世纪纪以前萌以前萌芽芽阶阶段段内部内部牵牵制制1.内部内部牵牵制三要素:制三要素:职责职责分工、会分工、会计记帐计记帐、人、人员轮换员轮换。2.内部内部牵牵制的制的执执行分行分为为四四类类:实实物物牵牵制、机械制、机械牵牵制、体制制、体制牵牵制、簿制、簿记牵
4、记牵制。制。至至20世世纪纪70年年代代发发展展阶阶段段内部控制内部控制制度制度 1958年美国注年美国注协审计协审计委重新定委重新定义义:内部控制分:内部控制分为为会会计计控制和管理控控制和管理控制。制。20世世纪纪70-80年代年代形成形成阶阶段段内部控制内部控制结结构构论论 1988年美国注年美国注协审计协审计委委审计审计准准则则第第55号号首次以首次以“内部控制内部控制结结构:构:取代取代“内部控制内部控制”,指出内部控制,指出内部控制结结构包括三要素:(构包括三要素:(1)控制)控制环环境;境;(2)会)会计计制度;(制度;(3)控制程序)控制程序20世世纪纪90年代年代-21世世纪
5、纪成熟成熟阶阶段段内部控制内部控制框架框架1996年美国注年美国注协发协发布布审计审计准准则则公告第公告第78号号,将内部控制定,将内部控制定义为义为:“由企由企业业董事董事长长、管理、管理层层和其他人和其他人员实现员实现的的过过程,旨在程,旨在为为下列目的下列目的提供保提供保证证:财务报财务报告的可靠性告的可靠性经营经营效果和效率效果和效率符合法符合法规规”内部控制分内部控制分为为:(:(1)控制)控制环环境(境(2)风险评风险评估估 (3)控制活)控制活动动(四(四类类形式:形式:业绩评业绩评价、信息价、信息处处理、理、实实物控制、物控制、职责职责分离)分离)(4)信息)信息与沟通与沟通
6、(5)监监控。控。21世世纪纪初至今初至今成熟成熟阶阶段段风险风险管理管理框架框架在在内部控制整体框架内部控制整体框架基基础础上增加了:(上增加了:(1)风险组风险组合合观观;(;(2)战战略目略目标标;(;(3)两个概念)两个概念风险风险偏好和偏好和风险风险容忍度;(容忍度;(4)三个)三个要素要素目目标标制定、事制定、事项识别项识别和和风险风险反反应应内控系统的整体架构(内控系统的整体架构(1992)企业风险管理企业风险管理-整合框架整合框架(COSO-ERM)-2004年年基本原则:基本原则:企业是为股东提供价值而生存;企业是为股东提供价值而生存;每个企业都面临不确定性;每个企业都面临不
7、确定性;不确定性带来风险(损失)与机遇;不确定性带来风险(损失)与机遇;管理层必须承受与管理不确定性。管理层必须承受与管理不确定性。COSO-ERM风险管理模型包括:风险管理模型包括:四大目标四大目标八大要素八大要素四个组织层面四个组织层面1控制环境控制控制控制控制环境环境环境环境对胜任能力的要求对胜任能力的要求诚信和道德价值观诚信和道德价值观组织结构组织结构董事会或审计委员会董事会或审计委员会管理层的理念和经营风格管理层的理念和经营风格权力和责任的分配权力和责任的分配人力资源政策和实务人力资源政策和实务2风险评估风险评估目标设定目标设定目标设定目标设定识别、评估风险识别、评估风险识别、评估风
8、险识别、评估风险应对风险应对风险应对风险应对风险风险评估指管理层分析、评价风险评估指管理层分析、评价和估计对战略、经营、报告、合和估计对战略、经营、报告、合规目标有影响的内部或外部风险规目标有影响的内部或外部风险的过程。的过程。风险评估涉及估计风险的重大风险评估涉及估计风险的重大程度、评价风险发生的可能性、程度、评价风险发生的可能性、考虑如何管理风险考虑如何管理风险等。等。3、控制活动、控制活动项目内容授权控制为了保证重要经济业务的有效处理,对于关键的控制点需执行授权与批准控制程序。对经济业务的授权分一般授权和特殊授权。职务分离控制是指对处理某种经济业务所涉及的职责分派给不同的人员,使每个人的
9、工作都是对其他有关人员的一种自动检查。对于不相容职务应该进行适当分离,并进行检查,不相容职务的分离包括在部门间分离和部门内部的分离。业绩评价包括被审计单位分析评价实际业绩与预算(或预期、前期业绩)的差异,职能部门、分支机构或项目活动的业绩分析,对发现的异常差异或关系采取必要的调查与纠正措施。资产接触、使用与记录控制为了限制非授权人随意接近资产和记录,以保证资产和记录的安全完整。其主要内容包括:(1)限制非授权人接触某项资产及有关记录;(2)建立必要的防护措施,确保资产的安全完整。如签批手续、密码、防火墙等设置。信息处理信息技术的一般控制:与多个应用系统相关的政策与程序,包括系统软件的购置、修改
10、及维护控制,接触或访问权限控制,应用系统的购置、开发与维护等。应用控制:主要是在业务流程层面运行的人工或自动化程序,包括检查数据计算的正确性,审核账表,设置自动检查。4信息与沟通企业定期获取及交流内、外部的信息,帮助员工履行职责,包括:信息的识别和获取信息加工和报告内部沟通和外部沟通相关信息必须采用恰当的形式并在恰当的时间内沟通,以便相关人员能有效履行职责,采取适当行动5监督监督 监督监督监督监督内部审计机构实内部审计机构实内部审计机构实内部审计机构实施的独立的监督施的独立的监督施的独立的监督施的独立的监督内部控制的自我评估内部控制的自我评估内部控制的自我评估内部控制的自我评估 、持续监督、持
11、续监督、持续监督、持续监督对内部控制了解的深度P1471、评价控制的设计2、控制是否得到执行3、获取控制设计和执行的审计证据控制风险及其来源控制风险及其来源控制风险控制风险风险来源风险来源内控设计内控设计失效风险失效风险应有的控制不存在或不完善应有的控制不存在或不完善不相容职务未分离不相容职务未分离已有控制没有要求必要的实施证据已有控制没有要求必要的实施证据已有控制缺乏必要的制度和执行程序或制度文件和已有控制缺乏必要的制度和执行程序或制度文件和执行程序不完善执行程序不完善有控制未有控制未执行风险执行风险已有控制在实际中没有执行已有控制在实际中没有执行未按授权规定的授权执行控制未按授权规定的授权
12、执行控制作业步骤不完整作业步骤不完整错误执行错误执行风险风险由于不了解如何实施控制造成控制仅仅是例行手续由于不了解如何实施控制造成控制仅仅是例行手续未按授权规定的授权执行控制未按授权规定的授权执行控制其他原因造成的控制失败其他原因造成的控制失败第二节识别与评估重大错报风险1、了解被审单位及环境的目的:识别和评估两个层次的重大错报风险(1)财务报表层次(2)认定层次2、审计程序P1273、可能表明被审计单位存在重大错报风险的事项和情况4、特别风险P129涵义确定特别风险时应考虑的事项非常规交易和判断事项导致的特别风险考虑与特别风险相关的控制第三节第三节 针对重大错报风险的应对措施针对重大错报风险
13、的应对措施一、针对报表层次重大错报风险的总体应对措施1、项目组应在收集和评价审计证据中保持职业怀疑2、分派更有经验或有特殊技能的审计人员,或利用专家的工作3、提供更多的督导4、进一步审计程序应使管理层不可预见或事先了解5、对拟实施审计程序的性质、时间和范围作出整体修改-薄弱的控制环境下二、针对认定层次重大错报风险的进一步审二、针对认定层次重大错报风险的进一步审计程序计程序1、考虑因素考虑因素:风险的重要性、重大错报风险发生的可能性、认定的特征、控制的性质、审计证据的获取2、性质性质:目的和类型(方法)控制测试:内控有效性实质性程序:发现认定层次的重大错报二、针对认定层次重大错报风险的进一步审二
14、、针对认定层次重大错报风险的进一步审计程序计程序3、时间时间:两个层面的考虑(重大错报风险)选择何时实施进一步审计程序:期中或期末选择获取什么期间或时点的审计证据4、范围范围:实施进一步审计程序的数量,抽样的考虑-重要性水平(可容忍错报)、评估的重大错报风险(预计的总体错误率)、计划获取的保证程度(可接受的抽样风险)三、控制测试三、控制测试控制测试的涵义:控制运行的有效性与“了解内部控制”的区别:设计和执行控制测试的非必要性:P152知识点辨析:控制的执行与执行的有效性知识点辨析:控制的执行与执行的有效性某单位针对销售收入和费用的业绩评价控制业绩评价控制如下:财务经理每月审核实际销售收入和费用
15、,并与预算数和上年同期数比较,对于差异金额超过5%的项目进行分析并编制分析报告,销售经理审阅该报告并采取适当跟进措施。CPA抽查最近三个月的分析报告,并看到上述管理人员在报告上签字确认,证明该控制已经得到执行。控制已经得到执行。然而,CPA在与销售经理的讨论中,发现他对分析报告中明显异常的数据并不了解其原因,也无法作出合理解释,从而显示该控制并未得到有效地运行并未得到有效地运行。控制测试中关注以下方面来获取有效控制测试中关注以下方面来获取有效性的审计证据:性的审计证据:1、控制在所审计期间的不同时点是如何运行的;2、控制是否得到一贯执行;3、控制由谁执行;4、控制以何种方式运行(人工、自动化)
16、-控制能否在各个不同时点按照既定设计得以一贯执行控制测试的性质:可选用的测试方法控制测试的性质:可选用的测试方法询问:询问:是指通过对控制负责人的访谈了解控制点实施的过程,从而决定控制的有效性。观察:观察:是指通过对被测试单位的有关业务活动及其内部控制的执行情况等进行实地察看,从而评价控制的有效性。审阅与检查:审阅与检查:是指通过审阅和检查控制文档确认管理层或实施监督人员对重要报告或差异分析的审阅和批准穿行测试穿行测试:追踪交易在财务报告系统中的处理过程。重新执行:重新执行:是指根据控制文档记录,通过重新执行相关的控制或是重要步骤来评价其是否运行并能够发现问题。重新执行的重点是关注数据来源的准
17、确性、数据范围的完整性、重要计算公式的正确性及关键数据计算的准确性。举例-重新执行某项控制为:复核人员核对销售发票上的价格与统一价格单上的价格是否一致。-检查复核人员有没有认真执行核对1、检查复核人员是否在相关文件上签字2、需要选取部分销售发票进行核对四、实质性程序1、涵义:直接用以发现认定层次的重大错报的审计、涵义:直接用以发现认定层次的重大错报的审计程序。程序。2、性质、性质细节测试:对各类交易、帐户余额、列报的具体细细节测试:对各类交易、帐户余额、列报的具体细节进行测试,目的在于直接识别财务报表认定(主节进行测试,目的在于直接识别财务报表认定(主要是存在或发生、计价)是否存在错报。要是存
18、在或发生、计价)是否存在错报。实质性分析程序:研究数据间关系评价信息,识别实质性分析程序:研究数据间关系评价信息,识别各类账户余额、列报及相关认定是否存在错报。各类账户余额、列报及相关认定是否存在错报。-对一段时期内存在可预期关系的大量交易对一段时期内存在可预期关系的大量交易光有流程没有控制点是危险的!光有流程没有控制点是危险的!每个责任人都应认真履行自己的职责每个责任人都应认真履行自己的职责,但每个责任人又不能机械地履行自己的职责但每个责任人又不能机械地履行自己的职责!如何考虑授予责任人特别风险处置权!如何考虑授予责任人特别风险处置权!如何建立应对突发风险的内控应急机制如何建立应对突发风险的
19、内控应急机制!“德国最愚蠢银行德国最愚蠢银行”的启的启示示 妈妈新开了个淘宝店,欢迎前来捧场妈妈新开了个淘宝店,欢迎前来捧场妈妈的淘宝点开了快半年了,主要卖的是毛绒玩具、坐垫、抱枕之类的,妈妈的淘宝点开了快半年了,主要卖的是毛绒玩具、坐垫、抱枕之类的,但生意一直不是很好,感觉妈妈还是很用心的,花了不少功夫,但是就是没但生意一直不是很好,感觉妈妈还是很用心的,花了不少功夫,但是就是没有人气,所以我也来出自己的一份力,帮忙宣传一下。有人气,所以我也来出自己的一份力,帮忙宣传一下。并且妈妈总是去五亭龙挑最好的玩具整理、发货,质量绝对有保证。并且妈妈总是去五亭龙挑最好的玩具整理、发货,质量绝对有保证。另外我家就在扬州五亭龙玩具城旁边,货源丰富,质量可靠,价格便宜。另外我家就在扬州五亭龙玩具城旁边,货源丰富,质量可靠,价格便宜。欢迎大家来逛逛欢迎大家来逛逛【扬州五亭龙玩具总动员扬州五亭龙玩具总动员】个人小广告:个人小广告: