第八章 风险评估 摸着石头过河
第一节 风险评估的含义 审计模式已从最初的账项审计发展到现在的风险导向审计。 第一节 风险评估的含义 审计模式已从最初的账项审计发展到现在的风险导向审计。 风险导向审计的基本理念,就是审计的实施要以评估风险为切入点,将对审计风险的识别、评估和应对贯穿于整个审计过程,将审计风险降至可接受的水平,为经过审计的财务报表不存在重大错报提供合理保证。
注册会计师审计是一个连续的过程,就象是摸着石头过河,需要根据最新的资料不断的修正某些判断,所以做完每一项工作都需要考虑有两个方面的考虑: 1.如果以前所做的判断仍然正确,继续按照计划进行; 2.如果以前所做的判断出现错误,考虑对以后实施的程序进行修改,从而将风险降至可接受的低水平。 了解------评估风险-------设计程序-------实施程序-------评价获得的证据-----------随时看最初的评估是否依然正确------实施更多的程序或者得出结论。
一、风险评估的意义 1、什么是风险评估 是指以了解被审计单位及其环境为内容,以识别和评估财务报表重大错报风险为目的,在设计和实施进一步审计程序之前实施的程序。 2、了解的程度 应以是否满足识别和评估财务报表重大错报风险为判断标准。
3、意义 (1)重要性水平的确定; (2)考虑被审计单位会计政策的选择和运用是否适当,以及财务报表的列报(包括披露)是否恰当; (3)识别需要特别考虑的领域;如:关联方交易、管理层运用持续经营假设的合理性等。 (4)确定实施分析程序所用的预期值; (5)设计和实施进一步审计程序; (6)评价审计证据的充分性和适当性。
二、风险评估程序和信息来源 (一)询问被审计单位管理层和内部其他相关人员,即询问各个循环所涉及到的工作人员,以及各个级别的人员。 1、管理层所关注的主要问题; 2、被审计单位的财务状况和最近的经营成果及现金流量; 3、可能影响财务报表的交易和事项,或者目前发生的重大会计处理问题; 4、被审计单位发生的其他重要变化。
(二)分析程序 意在发现异常的交易或事项,主要是通过金额、比率和趋势的异常变化。此处包括但不限于财务管理涉及的各种财务指标。
(三)观察和检查 观察和检查可以印证对管理层和其他人员询问的结果,并可提供有关被审计单位及其环境的信息。包括一下五国外方面: 1、观察被审计单位的生产经营活动 2、检查有关书面文件和记录 3、阅读由管理层和治理层编制的报告 4、实地察看被审计单位的生产经营场所和设备 5、穿行测试,即追踪交易在财务信息系统的处理过程,即检查各种凭证上的签字、记录等。
(四)其他审计程序和信息来源 1、其他审计程序 2、其他信息来源 3、项目组的讨论 目的当然是交流信息,相互沟通,参与的人应该是牵扯到的人员,包括专家。 项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式,特别是由于舞弊导致重大错报的可能性。
第二节了解被审计单位及其环境 CPA对被审计单位几乎是从内到外所有的都要了解,具体来说,包括: 1.行业状况、监管环境与法律环境以及其他外部因素; 2.性质; 3.对会计政策的选用; 4.目标、战略以及相关经营风险; 5.财务业绩的衡量和评价; 6.内部控制。 其中,内部控制仍然是重点,因为利用内部控制符合成本效益原则,也是现代审计的特点。
一、行业状况、法律环境和监管环境以及其他外部因素 (一)了解的具体内容 1、行业情况 (1)所处行业的市场供求与竞争; (2)生产经营的季节和周期; (3)产品生产技术的变化; (4)能源供应与成本; (5)行业的关键指标和统计数据。
具体而言,可能需要了解以下情况: (l)被审计单位所处行业的总体发展趋势是什么? (2)处于哪一发展阶段,如起步、快速成长、成熟/产生现金流人或衰退阶段? (3)所处市场的需求、市场容量和价格竞争如何? (4)该行业是否受经济周期波动的影响,以及采取了什么行动使波动产生的影响最小化? (5)该行业受技术发展影响的程度如何? (6)是否开发了新的技术? (7)能源消耗在成本中所占比重,能源价格的变化对成本的影响?
(8)谁是被审计单位最重要的竞争者,他们各自所占的市场份额是多少? (9)被审计单位与其竞争者相比主要的竞争优势是什么? (10)被审计单位业务的增长率和财务业绩与行业的平均水平及主要竞争者相比如何,存在重大差异的原因是什么? (11)竞争者是否采取了某些行动,如购并活动、降低销售价格、开发新技术等,从而对被审计单位的经营活动产生影响?
2、法律环境及监管环境 由于相关法规或监管要求可能对被审计单位经营活动有重大影响;或者规定了被审计单位的责任和义务;或者决定了被审计单位需要遵循的行业惯例或核算要求。 (1)适用的会计准则、会计制度和行业特定惯例; (2)对经营活动产生重大影响的法律法规及监督活动; (3)对开展业务产生重大影响的政府政策,包括货币、财政、税收和贸易等; (4)与被审计单位所处行业和所从事经营活动相关的环保要求。
具体而言,可能需要了解以下情况: (l)国家对某一行业的企业是否有特殊的监管要求(如对银行、保险等行业的特殊监管要求) ; (2)是否存在新出台的法律法规(如新出台的有关产品责任、劳动安全或环境保护的法律法规等),对被审计单位有何影响; (3)国家货币、财政、税收和贸易等方面政策的变化是否会对被审计单位的经营活动产生影响; (4)与被审计单位相关的税务法规是否发生变化。
3、其他外部因素 (1)宏观经济的景气度; (2)利率和资金供求状况; (3)通货膨胀水平及币值变动; (4)国际经济环境和汇率变动。
具体而言,可能需要了解以下情况: (l)当前的宏观经济状况以及未来的发展趋势如何? (2)目前国内或本地区的经济状况(如增长率、通货膨胀、失业率、利率等)怎样影响被审计单位的经营活动? (3)被审计单位的经营活动是否受到汇率波动或全球市场力量的影响。
(二)实施的风险评估程序 1、查阅以前年度的审计工作底稿; 2、询问被审计单位的管理层和员工; 3、查阅内部和外部的信息资料; 4、与项目组成员或熟悉被审计单位所处行业的其他人员讨论; 5、分析程序
二、被审计单位的性质 CPA应当主要从下列方面了解被审计单位的性质: (1)所有权结构; (2)治理结构; (3)组织结构; (4)经营活动; (5)投资活动; (6)筹资活动。 了解被审计单位的性质有助于CPA理解预期在财务报表中反映的各类交易、账户余额、列报。
1、所有权结构 了解所有权结构以及所有者与其他人员或单位之间的关系,考虑关联方关系是否已经得到识别,以及关联方交易是否得到恰当核算。 2、治理结构 了解被审计单位的治理结构,看治理层是否能起到监督作用 。
3、组织结构 了解被审计单位的组织结构,如果太复杂则风险加大。 考虑复杂组织结构可能导致的重大错报风险,包括财务报表合并、商誉摊销和减值、长期股权投资核算以及特殊目的实体核算等问题。
4、经营活动 有助于CPA识别预期将在财务报表中反映的主要交易类别、重要账户余额和列报, 主要包括: (1)主营业务的性质; (2)与生产产品或提供劳务相关的市场信息; (3)业务的开展情况; (4)联盟、合营与外包情况; (5)从事电子商务的情况;
(6)地区与行业分布; (7)生产设施、仓库的地理位置及办公地点; (8)关键客户; (9)重要供应商; (10)劳动用工情况; (11)研究与开发活动及其支出; (12)关联方交易。
5、投资活动 有助于CPA关注被审计单位在经营策略和方针上的重大变化。 主要包括: (1)近期拟实施或已实施的并购活动与资产处置情况; (2)证券投资、委托贷款的发生与处置; (3)资本性投资活动,包括固定资产和无形资产投资,以及近期或计划发生的变动; (4)不纳入合并范围的投资。
6、筹资活动 有助于评估被审计单位在融资方面的压力,并进一步考虑被审计单位在可以预见的将来的持续经营能力。 主要包括: (1)债务结构和相关条款,包括担保情况及表外融资; (2)固定资产的租赁; (3)关联方融资; (4)实际受益股东; (5)衍生金融工具的运用。
三、被审计单位对会计政策的选择和运用 了解被审计单位对会计政策的选择和运用,是否符合适用的会计准则和相关会计制度,是否符合被审计单位的具体情况。 要点主要是重大的、异常的、新的、没有标准的,自己进行变更的部分。
1、在了解被审计单位对会计政策的选择和运用是否恰当时,关注下列重要事项: (1)重要项目的会计政策和行业惯例; 重要项目的会计政策包括:收入的确认、存货的计价方法、投资的核算、固定资产的折旧、坏账准备、存货跌价准备和其他资产减值准备的确定、借款费用资本化、合并财务报表的编制方法等。 (2)重大和异常交易的会计处理方法;
(3)在新领域和缺乏权威性标准或共识的领域,采用重要会计政策产生的影响; (4)会计政策的变更; (5)被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度。
2、如果被审计单位变更了重要的会计政策,CPA应当考虑会计政策变更的原因及其适当性,确定: (1)变更是否符合法律、法规或者适用的会计准则和相关会计制度的规定; (2)变更能否提供更可靠、更相关的会计信息; (3)变更得到了恰当的披露。
四、被审计单位的目标、战略以及相关经营风险 了解被审计单位的目标和战略,以及可能导致财务报表重大错报的相关经营风险。 经营风险源于对被审计单位实现目标和战略产生不利影响的重大情况、事项、环境和行动,或源于不恰当的目标和战略。 1、CPA应当了解被审计单位是否存在与下列方面有关的目标和战略,并考虑相应的经营风险:
(1)行业发展,及其可能导致的被审计单位不具备足以应对行业变化的人力资源和业务专长等风险; (2)开发新产品或提供新服务,及其可能导致的被审计单位产品责任增加等风险; (3)业务扩张,及其可能导致的被审计单位对市场需求的估计不准确等风险; (4)新颁布的会计法规,及其可能导致的被审计单位执行法规不当或不完整,或会计处理成本增加等风险;
(5)监管要求,及其可能导致的被审计单位法律责任增加等风险; (6)本期及未来的融资条件,及其可能导致的被审计单位由于无法满足融资条件而失去融资机会等风险; (7)信息技术的运用,及其可能导致的被审计单位信息系统与业务流程难以融合等风险。 多数经营风险最终都会产生财务后果,从而影响财务报表。CPA应当根据被审计单位的具体情况考虑经营风险是否可能导致财务报表发生重大错报。
2、被审计单位的风险评估过程 管理层通常制定识别和应对经营风险的策略,CPA应当了解被审计单位的风险评估过程。
五、被审计单位财务业绩的衡量和评价 被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力,促使其采取行动改善财务业绩或歪曲财务报表。 CPA应当了解被审计单位财务业绩的衡量和评价情况,考虑这种压力是否可能导致管理层采取行动,以至于增加财务报表发生重大错报的风险。
在了解被审计单位财务业绩衡量和评价情况时,CPA应当关注下列信息: (1)关键业绩指标; (2)业绩趋势; (3)预测、预算和差异分析; (4)管理层和员工业绩考核与激励性报酬政策; (5)分部信息与不同层次部门的业绩报告; (6)与竞争对手的业绩比较; (7)外部机构提出的报告。
CPA应当关注被审计单位内部财务业绩衡量所显示的未预期到的结果或趋势、管理层的调查结果和纠正措施,以及相关信息是否显示财务报表可能存在重大错报。
第三节 内部控制的内涵 一、内部控制定义 1、什么是控制? 第三节 内部控制的内涵 一、内部控制定义 1、什么是控制? 为驾驭和支配的意义,控制是驾驭经济活动、支配经济资源去实现经营目标而设置的措施和程序。 2、内部控制的产生与发展 (1)内部牵制( Internal check )阶段(20世纪40年代以前) 是以帐目间的相互核对为主要内容并实施岗位分离的一种控制方法。
基于以下两各基本假定: 假定一: 两个或两个以上的人或部门无意识地犯同样的错误的可能性很小。 假定二: 两个或两个以上的人或部门有意识地串通舞弊的可能性大大低于单独的个人或部门舞弊的可能性。 在现代内部控制理论中,内部牵制仍占有重要地位,成为有关组织机构控制、职务分离控制的基础。 一般来说,内部牵制可分为实物牵制、机构牵制、体制牵制和簿记牵制四类。
(2)内部控制制度阶段(20世纪40年代末至70年代末) 会计控制和管理控制 (3)内部控制结构阶段(20世纪80年代至90年代) 控制环境、会计系统和控制结构 (4)内部控制框架阶段(20世纪90年代以后) 1992年提出并于1994年修订,内部控制。它的构成要素是:控制环境、风险评估、信息和交流、控制活动和监督。
(5)企业风险管理阶段(2003年后) 企业风险管理分为内部环境、目标制定(Objective Setting) 、事项识别(Event Identification) 、风险评估、风险反应(Risk Response) 、控制活动、信息和沟通、监控等八个相互关联的要素。
3、内部控制定义: 内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。 内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。 ——《企业内部控制基本规范》
内部控制是指被审计单位为了保证业务活动的有效进行,保证资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。 简言之,内部控制是单位为实现管理目标而形成的自律系统。
4、关于内部控制的概念,应注意以下几点: 内部控制的主体 即内部控制的设置者和执行者。单位经营管理者。 内部控制的客体 即内部控制的实施对像,也就是说在什么范围内对什么内容进行控制。单位内部的生产经营活动。具体包括:单位经营管理者和生产者;单位内部的各组成机构;单位的各项资产、负债和所有者权益;单位的信息载体和信息处理,以及单位的各种经济业务活动。
内部控制的总目标 即制定和实施内部控制要实现的目的或欲达到的效果。内部控制的目标包括: (1)维护财产物资的安全、完整; (2)保证会计信息的真实、可靠; (3)保证生产经营活动的经济节约、有效率、有效果; (4)保证各项法律规范的遵循。 内部控制的手段 各项政策、程序和措施 内部控制的属性 管理活动中的自律系统
补充资料: 美国COSO委员会的定义,内部控制是一种要靠组织的董事会成员、管理层和所有其他员工来共同实现的操作程序,以合理保证:经营的有效和高效;财务报告的可信性;对有关法律和规章的遵循性。 经营的有效和高效指企业能实现其业绩和盈利目标的同时,充分有效地利用资源,杜绝浪费和物资损失,并及时获得各种正确信息。可靠的财务报告指财务报告真实、完整,能及时反映公司资源的掌握拥有与运用,以及股东的价值。法律和规章的遵循性指企业的经营活动符合国家的法律和企业的内部规章,不侵害社会公众和股东的权益。 如果上述三条无法得到合理地保证,那么就会使企业面临一系列地风险。 如:没有有效利用资源可能—— 未能遵守法律法规可能—— 未能提供正确财务报表可能—— 良好地内部控制可以合理地控制上述风险。
5、内部控制按工作范围分类 内部控制按工作范围分类,可以分为内部管理控制和内部会计控制。 (1)内部管理控制。内部管理控制是以提高经营效率、工作效率为目的,用于行政和业务管理方面方法、措施和程序。 如劳动组织、劳动工资、人事内部控制;质量检验内部控制;技术设计内部控制;情报资料内部控制;电子计算机操作内部控制;材料供应、产品生产、产品销售内部控制;等等。
(2)内部会计控制。内部会计控制是以保护财产物资和确保会计资料可靠性为目的,用于会计业务和与之相关的其他业务管理方面的方法、措施和程序。 如现金、银行存款内部控制;成本、费用管理内部控制;资产管理内部控制,利润及其分配管理内部控制;记账程序内部控制;会计凭证保管、整理、归档内部控制;会计电算化系统内部控制;等等。
二、与会计报表有关的内部控制目标 建立健全内部控制是被审计单位管理当局的会计责任。与会计系统有关的内部控制应当实现以下目标: (1) 保证业务活动的适当授权(Appropriate Authorization); (2) 保证所有交易和事项(Transactions and Events)以正确的金额在恰当的会计期间及时记录于适当的账户,使会计报表的编制符合会计准则的相关要求;
(3) 保证对资产和记录的接触、处理均经过适当的授权; (4) 保证账面资产与实存资产(Physical Assets)定期核对相符。
三、内部控制的作用 1、保证国家方针、政策和财经法规在企业内部的贯彻执行; 2、保证企业内部经营决策和规章制度的正确实施; 3、保证会计信息的真实性和正确性; 4、保证财务活动的有效性和合法性; 5、维护财产物资的安全和完整; 6、保证各项生产经营活动的正常运转。
四、有关内部控制的几个问题 1、管理当局的责任 建立、修正、和维护控制,监督执行。 2、合理的保证 ①应在成本效益的基础上,建立能为报表的公允表达提供合理保证的内部控制; ②控制程序不应对工作效率或获利能力有不利影响。
3、固有的限制 (1)内部控制的设计和运行受制于成本与效益原则。[合算] (2)内部控制一般仅针对常规业务活动而设计。[非偶然]
(3)即使是设计完整的内部控制,也可能因执行人员的粗心大意、精力分散、判断失误以及对指令的误解而失效。[人员素质] (4)内部控制可能因有关人员相互勾结、内外串通而失效。[一个或两个以上不忠实的员工] (5)内部控制可能因执行人员滥用职权或屈从于外部压力而失效。[执行者] (6)内部控制可能因经营环境、业务性质的改变而削弱或失效。[时过境迁]
案例: 薛某原是农行靖江支行某镇分理处主持工作的副主任,后职务被免,改作金库守库员,掌管单位金库两把钥匙中的一把。2003年元月下旬,薛某趁人不注意偷配了另一把钥匙,伺机盗窃金库。2月3日21时许,薛某乘另一守库员脱岗之机,打开金库门进入外库,直接提取现金115万元,并撬箱窃得38.9余万元,合计153.9余万元。 贪污罪、无期、没收财产5万元。
五、内部控制与审计的关系 (1) 对被审计单位相关的内部控制进行充分的了解是进行审计必不可少的前提; (2) 根据对被审计单位内部控制的了解,确定是否进行控制测试以及将要执行的控制测试的性质、时间和范围; (3) 进行控制测试并非会计报表审计工作的全部内容,即使内部控制良好的单位,只能降低控制风险,但绝不能完全取消实质性测试程序。 返回
六、内部控制测评的程序 1、审计人员在执行会计报表审计业务时,无论被审计单位规模大小,都应对其相关的内部控制进行了解,并做出相应的记录。 2、根据对内部控制了解的结果进行初步评价,确定其内部控制是否可作为实施实质性测试抽样审计的基础。 3、对拟信赖的内部控制进行控制测试,以证实被审计单位内部控制运行的有效性。 4、根据内部控制测试结果,评价内部控制的强弱,既评价控制风险,据此确定实质性测试的性质、时间和范围。
第四节 内部控制的要素 内部控制的要素是构成内部控制内容的基本单位。 第四节 内部控制的要素 内部控制的要素是构成内部控制内容的基本单位。 1992年,美国反对虚假财务报告委员会(又称Treadway委员会)所属的内部控制专门研究机构——发起组织委员会(Committee of Sponsoring Organization of the Treadway Commission,简称 COSO委员会)提出了《内部控制——整体框架(Internal Control——Integrated Framework)》的研究报告,简称COSO报告。 内部控制由五个要素构成。这五个要素是:控制环境、风险评估、控制活动、信息与沟通、监督。
五要素之间的关系: 控制环境是所有员工在其中从事经营活动,履行控制职责的一种气氛, 是其他要素的基础。 在这种气氛下,管理部门评价影响实现企业目标的经营风险。 控制活动的实施是为了确保管理部门针对风险作出的指令得以贯彻执行。 同时,应收集包括财务信息在内的各种相关信息并在全单位进行沟通。 另外,管理当局还要对控制的全部过程进行监督,并根据情况的变化进行修改。
一、控制环境 控制环境(Control environment)是影响、制约企业内部控制建立与执行的各种内部因素的总称。包括:企业高层管理人员和其他管理人员对控制和控制重要性的认识、态度,以及与之相关的各种行为、政策和程序。 它能够提供企业纪律与组织结构、塑造企业文化并影响企业员工的控制意识。 它具体包括以下子要素: 1、诚信原则和道德价值观 是内部控制能否有效运行的基础。
无论是企业最高管理者还是其它成员都应当做到: 严格一致地遵循诚信原则和道德标准; 不盲目追求不切实际的目标,以免形成不必要的压力; 提供道德方面的指导,使所有员工在一般和特定环境下都能够保持正确的判断; 制作书面行为准则和政策声明,将其传达给全体员工。 将诱发人们不诚实、不合规和不道德行为的动机降至最低。
2.董事会和审计委员会 董事会和审计委员会工作的有效性影响着内部控制的执行。 董事会 独立董事 审计委员会
3.管理当局的管理哲学和经营风格 管理当局对内部控制的态度,深刻影响着内部控制;管理人员对风险的态度和追求利润的风格也会影响其对内部控制的态度。 主要考虑管理当局: (1)对待经营风险的态度和控制经营风险的方法;(2)为实现预算、利润和其他财务及经营目标,企业对管理的重视程度;(3)管理当局对财务报告所持的态度和所采取的措施。 如果管理当局使受某一个人或几个人支配,以上这几个方面的影响可能会增大。
管理当局的理念和行为对控制环境将会产生深刻影响, 例如: 小心谨慎、循规蹈矩的管理当局,比粗心大意、滥用职权的管理当局更有可能遵循内部控制的各项规章,更有可能督促下属照章办事; 独断专横的管理当局比开明民主的管理当局更有可能逾越内部控制,更有可能限制职责分工; 好大喜功的管理当局比稳健务实的管理当局更有可能谎报经营业绩; 精打细算的管理当局比挥霍浪费的管理当局更有可能加强预算控制。 不同的经营理念,不同的经营方式和风格,最终将对会计报表及会计记录的可靠性产生影响。
4.组织结构(Organizational Structure) 企业的组织结构是指为企业活动提供计划、执行、控制和监督职能的整体框架。 它包括: 组织单位存在形式和性质; 各组成部分的管理职能、经营职能; 隶属关系和报告程序; 组织内部职责和权利的划分方式。
5.责任的分配(Segregation of Duties)与授权。 在组织内合理有效地分配职责和权限; 为执行任务和承担责任的职员提供和配备所需的资源,并确保他们的经验、知识与职责权限相匹配; 要使所有职员知道他们的工作行为与实现组织目标的联系、他们的职任担负形式和能被认可的方式。 如在书面工作说明书里描述出特定的责任、报告关系和有关限制。 一个有效的控制环境要求明确界定工作人员的责任和权限。
6.人力资源政策与实务。 保证组织成员具有一定水准的诚信、道德观和能力。包括: 具有完善的招聘与选拔方针及操作程序; 对新员工进行企业文化和道德价值观的培训; 对违反行为准则的事项都要指定纪律约束与处罚措施,对业绩良好的员工指定具有奖励作用的报酬计划,根据阶段性的业绩评估结果对员工予以晋升、指导以及奖惩。 人力资源政策与实务包括: 招聘、考核、培训、升迁和奖励等。
二、风险评估 风险是指不能实现组织目标的可能性。 风险评估(Risk Assessment)是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
1、目标 企业的整体目标通常是由企业的经营理念及其所追求的价值所决定的,而与之相配合的是企业各部门的具体目标。 企业的整体目标主要有: 营运目标。包括绩效和获利目标及保障资产的安全使其免受损失的目标; 财务报告目标。防止报送不真实财务报告。 遵循目标,即企业遵循国家的相关法律法规。
2.风险识别 辨识和分析风险的过程是一种持续并反复的过程。 企业的风险一般是由外部因素和内部因素所产生的。外部因素包括:科技发展,顾客需求的改变,竞争,新法律和行政命令的颁布,自然灾害的发生,经济环境的改变等。内部因素包括:信息系统处理的中断,企业活动的性质以及员工可接近资产的程度,董事会或监事会职能未得以充分发挥等。
3.风险评估 评估风险的严重性、其发生的可能性以及决定应采取的行动;环境变化后应采取的措施。 企业管理部门辩识风险之后应针对这些风险作出必要的指令。
三、控制活动 控制活动(Control Activities)是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。 控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
1.目标计划控制 通过制定、实施、检查计划,对其他人的授权使用情况进行直接控制和对整个企业的经济活动实行监督。 将经营活动的结果与预算、计划、前期及竞争对手的业绩相比较,以衡量目标实现的程度并监督计划的执行情况。
2.授权和批准 是指企业各级人员必须经过适当的授权和批准才能执行有关经济业务,未经授权和批准,不得处理有关业务的控制措施。 在职责权限内,可直接处理,避免推委。该控制应明确各级人员应履行的任务和应负的责任。 (1)一般授权。是指对形成一定的规范标准的业务进行的授权; (2)特殊授权。是授予他们处理超出一般授权范围的特殊业务的权限。
3.会计记录控制 是指对企业经济业务进行会计处理时必须采用一系列措施和方法,以确保记录的会计信息真实、可靠。 它包括: (1)复式记账控制 (2)会计记录程序控制 (3)会计凭证控制 企业必须设计和使用适当的凭证和记录( Document and Record ),并连续编号,以确保各种交易和事项得以全面、完整、准确地记录。
凭证和记录要求: 统一格式、一式多联、规定领用和报废程序; 凭证预先连续编号; 凭证经过签名或者盖章; 凭证传递程序和审核制度 ; 制定科目表和会计程序手册; 科目表能接供适当分类的依据; 会计程序同会计部门及时处理凭证有关,会计程序手册包括对交易记录和过账的规定。
(4)会计账簿控制 通过记账、结账和对账的方法对经济业务的会计记录是否真实可靠进行控制。 (5)会计报表控制 通过编制和分析会计报表,对企业生产经营活动及其成果进行总体控制。
4.实物控制; 为保证实物资产安全而采取的各项措施。包括: (1)经济业务发生后必须及时入账,尤其是现金,银行存款等; (2)对财产物资实行永续盘存制; (3)定期或不定期的财产清查制度; (4)对财产物资采取保护措施; (5)财务会计档案保管制度,等等。
5.职责分工 即将不相容职责进行划分后,再指派给不同的员工,以降低错误或不当行为发生的风险。 所谓不相容职务,是指某些相关联的两项或多项职务如果集中由一个人办理会增加错弊的可能性,这样的两个或两个以上的职务被称为不相容职务。
具体说来,职务分离控制主要包括以下内容: 1、授权批准某项业务与执行该业务职责分离; 2、执行某项业务与审核该业务职责分离; 3、执行某项业务与记录该业务职责分离; 4、资产保管与资产记录职责分离; 5、资产保管与资产清查职责分离; 6、记录总账与记录明细账、日记账职责分离; 7、在电子数据处理系统内部,以下各主要职责应可能分离,包括:系统分析员、编程员、计算机操作员、资料保管员、以及数据控制员等。
6. 业务程序控制 制定有关经济业务的处理程序,使业务处理程序化、规范化。
四、信息与沟通 是指将有关信息以及时、有效的方式进行识别、归集,并传递给相关人员,使其有效地履行职责。 信息系统 信息系统处理企业内部信息和外部信息。 会计信息系统(Accounting information system)包括企业为了确认、记录、汇总、分析和报告其经济业务,并维持对相关资产、负债和权益的受托责任而建立的方法和记录。
一个有效的会计信息系统能够: 1.确认和记录所有有效的经济业务; 2.及时并详细地描述经济业务,以便在财务报告中对经济业务进行正确分类; 3.以某种方式计量经济业务的价值,以便在财务报告中以适当的货币价值记录; 4.确定经济业务发生的时期,以便将经济业务记录在适当的会计期间; 5.在财务报告中适当地表达经济业务并披露相关事项。
沟通(Communication) 沟通使单位各部门间对信息实现共享,使员工能够知悉企业整体目标和计划的实现方式。 企业的信息沟通包括内部沟通和外部沟通。 1.内部沟通 让每个人清楚地知道个人所承担的特定任务;了解内部控制的各项规定、它们如何生效以及他(她)在控制系统中所扮演的角色和所承担的责任;员工必须知道他(她)所负责的活动是怎样与他人的工作发生联系的;员工必须拥有在组织中向上沟通重要信息的渠道。
2.外部沟通; 顾客和供应商能经过开放的信息沟通渠道获得重要的信息;与相关的外部团体进行信息沟通,以使它们获悉关于本企业内部控制的重要信息;外部审计人员对企业经营业务情况及内部控制实施审计后,可以提供给管理部门重要的控制信息;通过政府机关的复核或检查的结果来有效地弥补控制的缺失。
五、监督(Monitoring) 监督是指对已记录的经济业务和事项由具体经办人之外的独立人士进行核对和验证,以及对相关内部控制的设置和执行情况经常性地进行评估和检查的活动。 监督活动由持续监督和个别评估组成。 1.持续的监督活动。持续的监督活动发生在营运过程中,它包括例行的管理和监督活动以及其他负有监督职责的员工为履行其职务所采取的行动。
2.个别评估。 企业有时需要组织个别评估以直接监控内部控制的有效性。评估的范围和频率视风险的大小及控制的重要性而定。 3.报告缺陷。 内部控制的缺失应由下向上报告,某些缺失应报告给高层管理人员。
案例:大胆出纳昏了头 挪用公款吃利息 冯某系江苏省兴化市戴窑镇人,在当地某银行任出纳员兼信贷员。“聪明”的他想出一个“借鸡生蛋”的“致富”捷径。1999年10月至2000年2月,他采用无存单质押、假股金证质押的手段,先后冒名贷款11笔计71万余元。款子到手后冯某再向别人放高利贷,许多缺少资金的经营商纷纷趋之若鹜,把冯某当成“财神”。冯某也渐渐飘飘然起来,作案频率越来越高,出手也越来越大方。然而好景不长,一些借贷者因生意亏本而无力还贷,冯某慌了神,整天焦头烂额,拆东墙补西墙,最终东窗事发。案发后,司法机关只追回了24万余元。冯某被判11年有期徒刑。
案例分析: 新华有限责任公司财务科有A、B、C三个会计人员,他们要完成以下几项工作:(1)记录总账;(2)记录应付账款明细账;(3)记录应收账款明细帐;(4)开具支票;(5)开具退货拒付通知书;(6)编制银行存款余额调节表;(7)处理并送存所收入的现金。 现已知这三个会计人员均具有相当的业务处理能力,除了(5)、(6)工作量较小外,其他几项会计工作量基本相等。如何将上述几项工作分配给A、B、C三人,使会计工作起到较好的内部控制作用,并使这三个人的工作量基本相等。
案例分析: 资料:昌运锅炉厂有以下一些工作: l、批准物资采购的工作; 2、执行物资采购的工作; 3、对采购的物资进行验收的工作; 4、物资保管和发放的工作; 5、物资保管账的记录工作; 6、物资明细账的记录工作; 7、物资总分类账的记录工作; 8、物资的定期清查工作; 9、物资的账实核对工作; 10、物资明细账和总账的核对工作。 要求:分析该厂上述工作中,哪些是不相容职务,并说明理由。
第五节 了解和记录内部控制 审计人员为了编制审计计划,应当充分了解企业的内部控制情况。 了解内部控制的设计和是否得到执行。 第五节 了解和记录内部控制 审计人员为了编制审计计划,应当充分了解企业的内部控制情况。 了解内部控制的设计和是否得到执行。 这种了解有助于判断潜在的错报类型,考虑导致重大错报风险的因素及设计实质性测试。 具体说来,有以下作用:
内部控制测试与评价的作用: 1、评价被审计单位内部控制是否健全,据以确定会计和其他经济信息的可靠性。 2、确定实质性测试的范围和重点。 3、决定审计抽样的数量和抽样方法,为制定和修改审计方案提供科学依据。 4、减少审计工作量,节约审计成本,保证审计质量。 5、向被审计单位提出健全和加强内部控制的建议,帮助其提高经济效益。
一、了解内部控制 了解内部控制又称健全性测试,即审计人员通过各种方法了解被审计单位有哪些内部控制,内部控制是否健全、合理,并以适当的方法在审计工作底稿中进行描述和记录。 (一)了解内部控制的方法 1、利用以前年度审计中获得的内部控制信息,并根据情况做适当更新。
2、询问被审计单位有关人员。 3、查阅被审计单位的政策和规章制度手册。与被审计单位主管人员和员工进行讨论,从而判断他们对文件中的有关规定的解释和理解是否恰当。 4、检查内部控制生成的文件和记录; 5、观察被审计单位的业务活动和内部控制的运行情况; 6、选择若干具有代表性的交易和事项进行穿行测试(Walk-through Test)。
穿行测试是指在每一类业务循环中选择一笔或几笔交易和事项,沿着整个业务流程和会计处理过程对他们进行检查,以验证内部控制的实际运行是否与相关内部控制相一致。
二、了解控制环境 了解管理层在治理层的监督下,是否营造并保持了诚实守信和合乎道德的文化,以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。 (一)了解的具体内容 1、对诚实和道德价值观念的沟通与落实 考虑的主要因素一般包括:
(l)被审计单位是否有书面的行为规范并向所有员工传达; (2)被审计单位的企业文化是否强调诚信和道德价值观念的重要性,如果违反,是否会受到惩罚; (3)管理层是否身体力行,高级管理人员是否起表率作用; (4)对违反有关政策和行为规范的情况,管理层是否采取适当的行动。
2、对胜任能力的重视 对重视情况进行了解和评估时,考虑的主要因素一般包括: (l)财会人员以及信息管理人员是否具备与被审计单位业务性质和复杂程度相称的足够的胜任能力和培训,在发生错误时,是否通过调整人员或系统来加以处理; (2)管理层是否配备了足够的财会人员以适应业务发展和有关方面的需要; (3)财会人员是否具备理解和运用会计准则所需的技能。
3、治理层的参与程度 了解和评估时,考虑的主要因素一般包括: (l)董事会是否建立了审计委员会或类似机构; (2)董事会、审计委员会或类似机构是否与内部注册会计师以及注册会计师有联系和沟通,联系和沟通的性质以及频率是否与被审计单位的规模和业务复杂程度相匹配; (3)董事会、审计委员会或类似机构的成员是否具备适当的经验和资历; (4)董事会、审计委员会或类似机构是否独立于管理层; (5)审计委员会或类似机构会议的数量和时间是否与被审计单位的规模和业务复杂程相匹配;
(6)董事会、审计委员会或类似机构是否充分地参与了财务报告的过程; (7)董事会、审计委员会或类似机构是否对经营风险的监控有足够的关注,进而影响被计单位和管理层的风险评估进程(包括舞弊风险); (8)董事会成员是否有很高的流动性。
4、管理层的理念和经营风格 考虑的主要因素通常包括: (1)管理层是否对内部控制,包括信息技术的控制,给予了适当的关注; (2)管理层是否由一个或几个人所控制,而董事会、审计委员会或类似机构对其是否实施有效监督; (3)管理层在承担和监控经营风险方面是风险偏好者还是风险规避者; (4)管理层在选择会计政策和作出会计估计时是倾向于激进还是保守; (5)管理层对于信息流程以及会计职能部门和人员是否给予了适当关注; (6)对于重大的内部控制和会计事项,管理层是否征询注册会计师的意见,或者经常吐些方面与注册会计师存在不同意见。
5、组织结构与职权和责任的分配 了解和评估时,考虑的主要因素一般包括: (1)在被审计单位内部是否有明确的职责划分,是否将业务授权、业务记录、资产保管和维护,以及业务执行的责任尽可能地分离; (2)是否有适当的结构来划分数据的所有权; (3)是否已针对授权交易建立适当的政策和程序。
6、人力资源政策与实务 了解和评估时,考虑的主要因素一般包括: (1)被审计单位是否在招聘、培训、考核、晋升、薪酬、调动和辞退员工方面都有适当政策和程序(特别是在会计、财务和信息系统方面); (2)是否有书面的员工岗位职责手册,或者在没有书面文件的情况下,对于工作职责和希望是否作了适当的沟通和交流; (3)人力资源政策与程序是否清晰,并且定期发布和更新; (4)是否设定了适当的程序对分散在各地区和海外的经营人员建立和沟通人力资源政策与程序。
(二)控制环境的评估 在评价控制环境各要素时,CPA应当考虑控制环境各要素是否得到执行。 控制环境对重大错报风险的评估具有广泛影响,CPA应当考虑控制环境的总体上是否为内部控制的其他要素提供了适当的基础。
三、了解风险评估过程 (一)风险的来源 公司的风险可能来自内部因素,也可能来自外部因素。 就外部因素而言,技术的发展会影响研究与开发的性质及时间,或导致采购方式的改变;顾客需求的变化会影响产品的开发、价格、保证及服务;新的法律法规会强迫经营者改变政策及战略;经济环境的改变部响到财务、资本支出及扩张的决策。 内部的风险因素包括:信息处理程序的崩溃、员工的素质及培训、管理层职责的改变、由于公司活动的性质及员工对资产接触而产生的不当机会或无效的审计委员会。
此外,某些情况会增加风险。这些情况包括:监管及经营环境的变化、新员工的加入、采用新信息系统或对原系统进行升级、业务快速发展、新技术、新生产型号产品和业务活动、企业重组、发展海外经营、新的会计准则等。
(二)识别经营风险 识别经营风险识别常规经营风险的方法有很多。该过程的重点是识别高风险的活动,并对其进行排序。比如采取以下步骤: ① 识别企业必需的资源,并确定哪种风险最大; ② 识别可能引起的负债; ③ 考虑以前有过的风险; ④ 考虑由于新的目标或新的外部因素引起的额外风险; ⑤ 在持续经营的基础上考虑挑战和机会,从而预测变化。
(三)评价风险评估过程的设计与执行 CPA应当确定管理层如何识别与财务报告相关的经营风险,如何评估该风险的重要性,如何评估风险发生的可能性,以及如何采取措施管理这些风险。 了解和评估时,考虑的主要因素可能包括: (l)被审计单位是否已建立并沟通其整体目标,并辅以具体策略和业务流程层面的计划; (2)被审计单位是否已建立风险评估过程,包括识别风险、估计风险的重大性、评估风险发生的可能性以及确定需要采取的应对措施; (3)被审计单位是否已建立某种机制,识别和应对可能对被审计单位产生重大且影响泛的变化; 例如,在金融机构中建立资产负债管理委员会,在制造型企业中建立期货交易险管理组;
( 4 )会计部门是否建立了某种流程,以识别会计准则的重大变化; ( 5 )当被审计单位业务操作发生变化并影响交易记录的流程时,是否存在沟通渠道通知会计部门; ( 6 )风险管理部门是否建立了某种流程,以识别经营环境(包括监管环境)发生的重变化。 CPA应当询问管理层识别出的经营风险,并考虑这些风险是否可能导致重大错报。在审计过程中,如果识别出管理层未能识别的重大错报风险,CPA应当考虑被审单位的风险评估过程为何没有识别出这些风险,以及评估过程是否适合于具体环境。
四、了解信息系统与沟通 (一)了解与财务报告相关的信息系统 1、与财务报告相关的信息系统及其职能 与财务报告相关的信息系统,包括用以生成、记录、处理和报告交易、事项和情况,对相关资产、负债和所有者权益履行经营管理责任的程序和记录。 与财务报告相关的信息系统应当与业务流程相适应。业务流程是指被审计单位开发、采购、生产、销售、发送产品和提供服务、保证遵守法律法规、记录信息等一系列活动。 与财务报告相关的信息系统所生成信息的质量,对管理层能否作出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。
与财务报告相关的信息系统通常包括下列职能: (l)识别与记录所有的有效交易; (2)及时、详细地描述交易,以便在财务报告中对交易作出恰当分类; (3)恰当计量交易,以便在财务报告中对交易的金额作出准确记录; (4)恰当确定交易生成的会计期间; (5)在财务报表中恰当列报交易。
2、了解与财务报告相关的信息系统 应当从下列方面了解与财务报告相关的信息系统: (l)在被审计单位经营过程中,对财务报表具有重大影响的各类交易。 (2)在信息技术和人工系统中,对交易生成、记录、处理和报告的程序; (3)与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目。 (4)信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况的信息。 (5)被审计单位编制财务报告的过程,包括作出的重大会计估计和披露。
在对与财务报告相关的信息系统进行了解和评估时,考虑的主要问题通常包括: (l)信息系统是否能够向管理层提供有关被审计单位业绩的报告,包括相关的外部和内部信息; (2)向适当人员提供的信息是否充分、具体和及时,使之能够有效地履行职责; (3)信息系统的开发及变更在多大程度上与被审计单位的战略计划相适应以及如何内被审计单位整体层面和业务流程层面的目标相适应; (4)管理层是否提供适当的人力和财力以开发必需的信息系统;
(5)管理层是如何监督程序开发、变更和测试工作的; (6)对于主要的数据中心,是否建立了重大灾难数据恢复计划。 在了解与财务报告相关的信息系统时,CPA应当特别关注由于管理层凌驾于账户记录控制之上,或规避控制行为而产生的重大错报风险,并考虑被审计单位如何纠正不正确的交易处理。
(二)与财务报告相关的沟通 与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责,员工之间的工作联系,以及向适当级别的管理层报告例外事项的方式。 从了解的内容来看,注册会计师应当了解被审计单位内部如何对财务报告的岗位职责,以及与财务报告相关的重大事项进行沟通。注册会计师还应当了解管理层与治理层(特别是审计委员会)之间的沟通,以及被审计单位与外部(包括与监管部门)的沟通。
在对沟通进行了解和评估时,考虑的主要问题一般包括: (l)管理层对于员工的职责和控制责任是否进行了有效沟通; (2)对于可疑的不恰当事项和行为是否建立了沟通渠道; (3)组织内部沟通的充分性是否能够使人员有效地履行职责; (4)对于与客户、供应商、监管者和其他外部人士的沟通,管理层是否及时采取适当的进一步行动; (5)被审计单位是否受到某些监管机构发布的监管要求的约束; (6)外部人士;如客户和供应商在多大程度上了解被审计单位的行为守则。
五、了解控制活动 控制活动是指有助于确保管理层的指令得以执行的政策和程序,包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。
(一)了解与授权有关的控制活动 了解与授权有关的控制活动,包括一般授权和特别授权。 (二)了解与业绩评价有关的控制活动 了解与业绩评价有关的控制活动,主要包括被审计单位分析评价实际业绩与预算(或预测、前期业绩)的差异,综合分析财务数据与经营数据的内在关系,将内种据与外部信息来源相比较,评价职能部门、分支机构或项目活动的业绩,以及对发现的异常差异或关系采取必要的调查与纠正措施。
(三)了解与信息处理有关的控制活动 了解与信息处理有关的控制活动,包括信息技术一般控制和应用控制。 信息技术一般控制是指与多个应用系统有关的政策和程序,有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性),支持应用控制作用的有效发挥,通常包括数据中心和网络运行控制,系统软件的购置、修改及维护控制,接触或访问权限控制,应用系统的购置、开发及维护控制。
信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序,与用于生成、记录、处理、报告交易或其他财务数据的程序相关,通常包括检查数据计算准确性,审核账户和试算平衡表,设置对输入数据和数字序号的自动检查,以及对例外报告进行人工干预。
(四)了解实物控制 了解对资产和记录采取适当的安全保护措施,对访问计算机程序和数据文件设置授权,以及定期盘点并将盘点记录与会计记录相核对。 实物控制的效果将影响资产的安全,从而对财务报表的可靠性及审计产生影响。
(五)了解职责分离 了解职责分离,主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工,以防范同一员工在履行多项职责时可能发生的舞弊或错误。
在了解控制活动时,注册会计师应当重点考虑一项控制活动单独或连同其他控制活动,是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。注册会计师的工作主要是识别和了解针对重大错报可能发生领域的控制活动,了解与每类重大交易、账户余额和披露及其认定相关的所有控制活动。所以,如果多项控制活动能够实现同一标,注册会计师不必了解与该目标相关的每项控制活动。 在了解其他内部控制要素时,如果获取了控制活动是否存在的信息,注册会计师应当确定是否有必要进一步了解这些控制活动。
(六)了解和评估控制活动应考虑的主要问题 (1)对主要经营活动是否都有必要的控制政策和程序; (2)管理层对预算、利润和其他财务与经营业绩方面是否都有清晰的目标,被审计位内部是否对这些目标加以清晰地记录和沟通,并且积极地对其进行监控; (3)是否存在计划和报告系统以识别与计划业绩的差异,并向适当层次的管理层报产生的差异; (4)是否由适当层次的管理层对差异进行调查,并及时采取适当的纠正措施;
(5)不同人员的职责应在何种程度上相分离,以降低舞弊和不当行为发生的风险; (6)会计系统中的数据是否与实物资产定期核对; (7)是否建立了适当的保护措施,以防止未经授权接触文件、记录和资产; (8)是否控制对数据和程序的接触; (9)是否存在信息安全职能部门负责建立和实施监控信息安全的政策和程序。
六、了解对控制的监督 对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程,该过程包括及时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施。
(一)了解对控制的持续监督和专门评价活动 通常情况下,被审计单位会通过持续的监督活动和专门的评价活动或两者相结合,来实现对控制的监督。 持续的监督活动通常贯穿于被审计单位的日常经营活动与常规管理工作中。被审计单位可能使用内部注册会计师或具有类似职能的人员对内部控制的设计和执行进行专门的评价,以找出内部控制的优点和不足,并提出改进建议。
(二)应了解的主要问题 在对被审计单位整体层面的监督进行了解和评估时,主要考虑的问题一般包括: (l)被审计单位是否定期评价内部控制; (2)被审计单位人员在履行正常职责时,能够在多大程度上获得内部控制是否有效运行的证据; (3)与外部的沟通能够在多大程度上证实内部产生的信息或者指出存在的问题; (4)管理层是否会采纳内部注册会计师和注册会计师有关内部控制的建议;
(5)管理层及时纠正控制运行偏差情况的方法; (6)管理层处理监督机构的报告及建议的方法; (7)是否存在协助管理层监督内部控制的职能部门。
(三)了解与监督活动相关的信息来源 CPA应当了解与被审计单位监督活动相关的信息来源,以及管理层认为信息具有可靠性的依据。 如果拟利用被审计单位监督活动使用的信息(包括内部审计报告),CPA应当考虑该信息是否具有可靠的基础,是否足以实现审计目标。
第六节 评估重大错报风险 一、识别和评估财务报表层次和认定层次的重大错报风险 第六节 评估重大错报风险 一、识别和评估财务报表层次和认定层次的重大错报风险 了解的目的之一就是评估重大错报风险。CPA应当识别和评估财务报表层次以及各类交易、帐户余额、列报层次的重大错报风险。 (一)识别和评估重大错报风险的程序
1、在了解被审计单位及其环境的整个过程中识别风险,并将识别的风险与各类交易、帐户余额、列报联系起来。 例如: 被审计单位因相关环境法规的实施需要更新设备,将导致对原设备提取减值准备; 宏观经济的低迷可能预示 应收账款的回收存在问题; 竞争者开发的新产品上市,可能导致被审计单位的主要产品在短期内过时,预示将出现 存货跌价和长期资产(如固定资产等)的减值。
2、将识别的风险与认定层次可能发生错报的领域相联系 例如: 销售困难使产品的市场价格下降,可能导致年末存货成本高于其可变现净值而需要计提存货跌价准备,这表明存货的计价认定可能发生错报。
3、考虑识别的风险是否重大 风险是否重大是指风险造成的后果的严重程度。 例如:续前例,除考虑产品市场价格下降外,CPA还应当考虑产品的市场价格下降的幅度、该产品在被审计单位产品中的比重等,以确定识别的风险对财务报表的影响是否重大。例如: 下降幅度大,所占比重大,~~~~ 下降幅度大,所占比重小,~~~~
4、考虑识别的风险导致财务报表发生重大错报的可能性 例如,考虑存货的账面余额是否重大,是否已适当计提了存货跌价准备等。 在某些情况下,尽管识别风险重大,但仍不至于导致财务报表发生重大错报风险。如期末财务报表中存货的余额低,尽管识别的风险重大,但不至于导致存货的计价认定发生重大错报风险。又如,被审单位对存货跌价准备的计提实施了比较有效的内部控制,管理层已根据存货的可变现净值,计提了相应的跌价准备。在这种情况下,财务报表发生重大错报的可能性将相应降低。
(二)可能表明被审计单位存在重大错报风险的事项和情况: (l)在经济不稳定的国家或地区开展业务; (2)在高度波动的市场开展业务; (3)在严厉、复杂的监管环境中开展业务; (4)持续经营和资洲流动性出现问题,包括重要客户流失; (5)融资能力受到限制;
(6)行业环境发生变化; (7)供应链发生变化; (8)开发新产品或提供新服务,或进人新的业务领域; (9)开辟新的经营场所; (10)发生重大收购、重组或其他非经常性事项; (11)拟出售分支机构或业务分部; (12)复杂的联营或合资;
(13)运用表外融资、特殊目的实体以及其他复杂的融资协议; (14)重大的关联方交易; (15)缺乏具备胜任能力的会计人员; (16)关键人员变动; (17)内部控制薄弱; (18)信息技术战略与经营战略不协调; (19)信息技术环境发生变化;
( 20 )安装新的与财务报告有关的重大信息技术系统; ( 21 )经营活动或财务报告受到监管机构的调查; ( 22 )以往存在重大错报或本期期末出现重大会计调整; ( 23 )发生重大的非常规交易; ( 24 )按照管理层特定意图记录的交易; ( 25 )应用新颁布的会计准则或相关会计制度; ( 26 )会计计量过程复杂; (27)事项或交易在计量时存在重大不确定性; (28)存在未决诉讼或或有负债。
(三)两个层次的重大错报风险 识别和评估财务报表层次和认定层次的重大错报风险。 应当确定,识别的重大错报风险是与特定的某类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定。 财务报表层次的重大错报风险很可能源于薄弱的控制环境。
评估认定层次的重大错报风险汇总表 重要账户 认定 识别的重大错报风险 风险评估结果 列示重要账户,如,应收账款 列示相关认定,如,存在、完整、计价等 汇总识别出的与该帐户某项认定相关的重大错报风险 评估该项认定的重大错报风险水平 主营业务收入 发生 虚构销售收入 高风险
二、需要特别考虑的重大错报风险
三、仅通过实质性程序无法应对的重大错报风险
四、对风险评估的修正
(二)了解内部控制要素 1、了解控制环境: 审计人员应当充分了解控制环境各子要素,关键是被审计单位管理当局对内部控制的认识、态度和所采取的措施。 2、了解风险评估 调查管理者如何确认风险、评估风险发生的重要性、可能性以及采取的相应措施。 3、了解会计信息系统和沟通系统
应了解会计系统以下事项: (1)被审计单位交易和事项的主要类别; (2)各主要交易和事项的发生过程; (3)重要的会计凭证、帐簿种类及会计报表项目; (4)重大交易和事项的会计处理过程。
4、了解控制活动 控制程序对于防止、发现或更正会计报表中的重要错报或漏报更为有效。着重了解: (1)交易授权;(2)职责划分;(3)凭证与记录控制;(4)资产接触与记录使用。 5、了解监督 了解被审计单位监督机构的设置和日常的监督检查方法及程序。 从以下几方面了解评价内部审计工作: a. 内审人员的独立性;b. 内审人员的经验和能力; c. 内审程序的性质、时间和范围;d. 内审获取证据的充分性、适当性;e. 管理当局对内审工作的重视程度。 以确定是否利用内部审计的工作结果。
二、对内部控制进行初步评价 对内部控制的健全行、合理性等做出初步评价,初步评估出控制风险水平,确定下一步的审计策略 。 (一)初步评价内部控制的健全性及合理性 健全性是指被审计单位在各主要业务程序和高风险领域建立起完整、系统的内部控制。 合理性是指被审计单位建立的内部控制符合自身具体情况,符合成本效益原则。
(二)初步评估控制风险水平 控制风险评价表 调查了解内部控制的结果 评价 控制风险 量化的控制风险水平 非常满意——内部控制健全有效 很好 低 15%——20% 满意或善可——缺少某些控制环节或有少量的控制失效 好或一般 中 20%——30% 不满意——关键控制点不存在或许多领域控制失效 差 高 30%以上
通常,出现以下情况之一时,审计人员应将重要帐户或交易类别的某些或全部认定的控制风险评估为高水平: (1) 企业内部控制失效; (2) 难以对内部控制的有效性作出评价; (3) 对内部控制进行符合性测试的工作量可能大于进行符合性测试所能减少的实质性测试工作量。 对某项会计报表认定而言,如果同时出现以下情况,审计人员则不应评价其控制风险处于高水平: (1) 相关的内部控制可能防止或发现和纠正重大错报或漏报; (2) 审计人员拟进行控制测试。
(三)确定是否采取信赖内部控制的审计策略 1、如果审计人员认为内部控制较为健全、合理,可以作为实质性测试的基础,就可以采用依赖内部控制的审计策略,实施符合性测试,验证内部控制的有效性,并通过有效的内部控制来缩小实质性测试的范围,确定实质性测试的程序和重点。
2、如果在进行了健全性和合理性评价后审计人员认为被审计单位的内部控制不够健全,弱点较多,不能作为实质性测试中抽样检查的基础,那么审计人员就不对内部控制加以依赖,从而不必对内部控制进行进一步测评,而直接进入实质性测试。
三、记录对内部控制的了解: 1、在工作底稿中记录对内部控制的评价的基本要求是: (1)当控制风险评价为最高水平时,只需记录这一结论; (2)当控制风险评价低于最高水平时,还必须记录评价的依据。 2、记录的方法通常有以下三种: 文字表述(Narrative Description): 调查表(Questionnaire): 流程图(Flow Chart):
流程图是指用特定的符号和图形,将被审计单位内部控制中各经营环节的业务处理程序,以及各种文件或凭证的传递流程,以图解的形式直观地描述出来的图形。 流程图的绘制应遵循下列技术要点: 1、确定流程图特定符号; 2、选定流程图控制主线; 贯穿某项业务活动始终的基本业务处理流程线。 3、决定控制点; 重点反映业务处理的控制点、关键控制点及相关控制措施。 4、注明每张文件凭证的流向;
5、选择流程图绘制方式 绘制流程图通常有两种方式: 纵向流程图; 纵向流程图是将业务的处理过程按照业务发生的先后次序,用确定的控制主线垂直地串连起来,并将每一步业务处理时产生的凭证编制、传递、记账等用图形符号从上到下地加以描绘,纵向表示其内部控制情况。
横向流程图。 横向流程图是以业务处理过程中各职能部门的控制范围及各职能部门之间的联系为基础,把业务处理过程横向地串联起来,按业务部门设置若干竖栏,并用图形符号自左至右地加以描绘,横向表示其内部控制情况。 6、附加注释
流程图内的符号或线条往往可代表不同的凭证、账册或业务活动,或者某些控制措施难以用图例显示,因而要附上一定的注释或文字说明,以便于理解。 在具体绘制流程图时,还应注意以下几点: (1)讲究次序,即从上到下,自左至右,先干后支,依次描绘; (2)来去分明,力求清晰,避免拥挤,注意整洁; (3)统一符号,合乎逻辑,少用文字,加注图例。
第四节 内部控制的控制测试 一、初步审计策略(Preliminary Audit Strategies) 初步审计策略的组成要素: 第四节 内部控制的控制测试 一、初步审计策略(Preliminary Audit Strategies) 初步审计策略的组成要素: (1)控制风险的计划估计水平; (2)须了解内部控制的范围; (3)估计控制风险时须执行的符合性测试; (4)为使审计风险降低到一个适当的低水平所须执行的实质性测试的计划水平。
1、主要证实法(Primarily Substantive Approach) 在主要证实法下,审计人员设定上述四要素的状况如下: (1)控制风险的计划估计水平设为最高(或稍低于最高)。 (2)计划最少的了解内部控制的相关部分。 (3)计划最少的符合性测试(如要符合性测试的话)。 (4)根据低的计划可接受检查风险水平,安排执行扩大的实质性测试。
2、较低控制风险估计水平法(Lower Assessed Level of Control Risk Approach) 在较低的控制风险估计水平法下,审计人员设定上述四要素的状况如下: (1)控制风险计划估计水平设为中等或低。 (2)计划扩大了解内部控制的相关部分。 (3)计划扩大符合性测试。 (4)根据中等或高的计划可接受检查风险水平,安排执行有限的实质性测试。
二、符合性测试的概念 1、概念 符合性测试是为了确定内部控制的设计是否合理和执行是否有效而实施的审计程序。 它是在了解内部控制的基础上,对那些准备信赖的内部控制执行符合性测试。 2、符合性测试的目的 一是为了查明被审计单位的各项控制措施是否真实地存在于业务经营和财务活动之中;二是查明各工作人员在实际执行过程中是否确实遵守了控制制度的规定;三是要查明制度本身是否能发挥既定的控制作用,有无不完善和不合理之处。
3、符合性测试的方式 主要有以下两种: (1)业务程序测试。即选择若干笔具体的典型业务,沿着其所规定的业务处理程序进行检查,考察有关控制点是否符合规定并得到了认真执行,以判断控制措施的遵循情况。 (2)功能测试。即针对某项控制的某个控制环节,选择若干时期的同类经济业务进行检查,以检查该环节的控制措施是否正在发挥作用。
4、控制测试的两个基本对象 (1)内部控制设计测试(Tests of the Control Design): 控制设计测试所要解决的问题是,被审计单位的控制政策和程序是否设计合理、适当,能不能防止或发现和纠正特定会计报表认定的重大错报或漏报;
(2)控制执行测试(Tests of the Control Operation): 所要解决的问题是,被审计单位的控制政策和程序是否实际发挥作用。具体应查清三个问题: A、 这项控制是怎样应用的?B、 是否在年度中一贯应用?C、 由谁来应用? 一般习惯把控制执行失效或不当称为“误差”(Error)、“偏差”(Deviation)或“例外”(Exception),而不称为“错报”。
三、控制测试的种类 在主要证实法下: 1、同步控制测试(Concurrent Compliance Test) 是在CPA取得对内部控制的了解时,同时进行的测试。(不是必需,是有选择的进行) 2、追加控制测试(Additional Compliance Test) 是在外勤工作中执行的,为进一步降低CPA对控制风险的估计水平而进行的测试。
在较低的控制风险估计水平法下: 3、计划控制测试(Planned Compliance Test) 是在外勤工作中必须执行的,为取得支持评价某些认定的控制风险为中等或低水平的证据而进行的测试。
四、控制测试的方法 1、检查交易和事项的凭证。 2、询问并实地观察内部控制的运行情况。 3、重新执行相关内部控制程序。 五、控制测试的范围、时间 从理论上讲,范围越大越好。 在审计实务,审计人员从最经济有效地实现审计目标地总体要求出发,合理确定测试地范围。主要考虑: 1、计划控制风险估计水平(高或低) 2、以前年度控制测试结果
第五节 内部控制评价
一、控制风险评价的概念 是评价内部控制不能有效防止或发现和更正会计报表的重要错报或漏报的过程度。 控制风险的评价是为认定而进行的。实际上,就是评价与会计报表的某项认定相关的内部控制的合理性和有效性。
二、控制风险评价的过程 1、必须遵循以下步骤: (1)确认该项认定可能发生哪些潜在的错报或漏报; (2)确认哪些控制可以防止或者发现和更正这些错报或漏报; (3)执行控制测试,获取这些控制是否适当设计和有效执行的证据; (4)评价所获得的证据; (5)评价该项认定的控制风险。
2、应注意以下几点: (1)必须以通过了解内部控制和执行控制测试所获得的证据,作为评价的依据; (2)充分运用专业判断; (3)必须注意到内部控制的三个要素对某项特定会计报表认定的相互影响。 3、审计人员只有在确认以下事项的情况下,才能将控制风险评价为高水平: (1) 控制政策和程序与认定不相关; (2) 控制政策和程序无效; (3) 取得证据来评价控制政策和程序显得不经济。
4、审计人员只有在确认以下事项的情况下,才能评价控制风险低水平: (1) 控制政策和程序与认定相关; (2) 通过控制测试已获得证据证明控制有效。 评价控制风险适当与否,直接影响到实质性测试的适当性。 三、对控制风险再评价的记录 基本要求同初步评价
四、根据内部控制评价结果确定实质性测试范围、重点和方法 在评价出固有风险和控制风险后,通过控制检查风险,将审计风险降低至可接受的水平。 五、根据内部控制测评结果,提出改进内部管理的建议 如:《管理建议书》、《内部控制评价报告》、《审计意见书》等。
思考题 1、什么是风险评估?它有哪几个程序? 2、CPA应从哪几个方面了解被审计单位及其环境?
收入 明细账 收现 核收 销售卡 现金 总账 点现 发票 现金 日记帐 解缴 现金收 款凭证 记账凭证 银行存款 日记帐 N N 营业员 收款员 出纳员 记账员 业务 收入 明细账 收现 核收 销售卡 现金 总账 点现 发票 现金 日记帐 解缴 销售汇 总凭证 现金收 款凭证 记账凭证 银行存款 日记帐 N N