山东大学管理学院 李彬 libin0531@sdu.edu.cn 《审计学》 山东大学管理学院 李彬 libin0531@sdu.edu.cn
第二篇 审计理论与方法 第七章 审计目标 第八章 审计计划 第九章 审计证据 第十二章 审计工作底稿 第十—十一章 审计抽样与计算机审计 第十三—十四章 风险评估与应对 审计理论
章节关系图示 审计目标 审计计划 审 计 工 作 底 稿 抽样审计、计算机审计 风险评估 审计流程 审计证据 风险应对 审计报告 控制测试 审计证据 风险应对 实质性测试 审计报告 交易及账户余额审计
“风险评估与应对”内容总括 这两章针对的是审计测试流程。具体的审计测试流程是围绕重大错报风险的识别、评估与应对来展开,如下图: 了解被审计单位及其环境 识别和评估重大错报风险 应对重大错报风险
具体来说,首先,注册会计师在项目组内部讨论的基础上,通过一系列的风险评估程序来了解被审计单位及其环境(第13章第1-4节);然后,以此为基础,注册会计师评估财务报表层次和认定层次的重大错报风险(第13章第5节);接着,注册会计师针对评估的财务报表层次重大错报风险制定总体的应对措施(第14章第1节),与此同时针对评估的认定层次的重大错报风险实施进一步的审计程序,包括控制测试和实质性测试(第14章第2-4节)。 本部分对重大错报风险的识别、评估和应对,既是风险导向审计准则的要求,也是实际审计工作的要求与思路。是每年审计必考的重要内容。
第十三章 风险评估 本章主要内容 (1)风险评估概述 (2)风险评估程序、信息来源以及项目组内部的讨论 (3)了解被审计单位及其环境(六个方面) (4)评估重大错报风险 思考:风险评估中的“风险”涵义?
13.1 风险评估概述 审计风险准则的出台背景及其特征 风险评估的重要作用:了解被审计单位及其环境是风险评估的基础和前提,是注册会计师执行财务报表审计的必要程序;具体能够为注册会计师在下列关键环节做出恰当的职业判断提供重要基础: (1)确定重要性水平 (2)考虑会计政策的选择和运用是否恰当等 (3)识别需要特别考虑的领域 (4)确定在实施分析程序时所使用的预期值 (5)设计和实施进一步的审计程序 (6)评价所获取的审计证据的充分性和适当性 审计 主体内容
注意: 了解被审计单位及其环境是一个连续和动态地收集、更新与分析信息的过程,贯穿于整个审计过程的始终。 评价对被审计单位及其环境的了解是否恰当,关键是看注册会计师对被审计单位及其环境的了解是否足以识别和评估财务报表的重大错报风险。
13.2 风险评估程序、信息来源及项目组内部讨论 风险评估程序是注册会计师了解被审计单位及其环境的手段,其内容是几种单项审计程序的有机组合,其目的在于获取财务信息和非财务信息来识别和评估财务报表层次和认定层次的重大错报风险;风险评估程序是注册会计师审计过程中必须实施的审计程序。 典型的风险评估程序包括: 询问管理层和 其他相关人员 其他审计程序和信息来源 观察和检查 分析程序
(3)实施分析程序(发现异常时;使用高度汇总的数据时) (1)询问被审计单位管理层和内部其他相关人员。(注意:不同的询问主体所能提供的信息是不同的,在具体使用时要采取针对性的方式) (2)观察和检查(5个方面,穿行测试) (3)实施分析程序(发现异常时;使用高度汇总的数据时) (4)阅读外部信息等
项目组内部讨论 项目组内部讨论是注册会计师了解被审计单位及其环境、评估重大错报风险、制定总体应对措施和设计并实施进一步的审计程序,甚至是评价审计证据、形成审计结论、出具审计报告这整个审计工作过程中的一种专业工作要求。其实质是整合项目组内部资源,保持项目组成员的职业谨慎,在确保审计报告质量的同时提高审计效率。 具体包括以下内容:目标、内容、参与人员、时间与方式等。
13.3 了解被审计单位及其环境(主体) 思考:了解被审计单位及其环境的目的是什么? 了 解 行业状况、法律环境与监管环境等 被 审 计 被审计单位性质 询问 观察 检查 分析程序 被审计单位对会计政策的选用 被审计单位的目标、战略及经营风险 被审计单位财务业绩的衡量和评价 被审计单位的内部控制(重点) 思考分析问题的基本思路:宏观、行业及企业自身?
第一方面:行业状况、法律环境与监管环境等 属于外部环境因素 行业状况:有助于注册会计师识别与被审计单位所处行业有关的重大错报风险(固有风险为主);具体包括:所处行业的市场供求与竞争等五个方面。 法律环境与监管环境:适用的会计准则、会计制度和行业特定惯例等四个方面。(审计需要重点关注) 其他外部因素:宏观经济的景气度等四个方面。 注意:注册会计师了解的重点和程度,会因被审计单位所处行业、规模及其他因素的不同而不同;注册会计师应当将重点放在对被审计单位的经营活动可能产生重要影响的关键外部因素以及与前期相比发生的重大变化上;同时要考虑该因素是否可能导致特定重大错报风险以及项目组是否配备了具备相关知识和经营的成员。
第二方面:被审计单位性质 被 审 计 单 位 性 质 所有权结构:有助于识别关联方关系并了解其决策过程 治理结构:治理层能够独立于管理层做出客观判断 组织结构:考虑复杂组织结构可能导致的重大错报风险 经营活动:有助于识别预期在报表中反映的交易账户等 投资活动:有助于关注在经营策略和方向上的重大变化 筹资活动:有助于评估融资压力及可持续经营能力
第三方面:被审计单位对会计政策的选用 重要项目的会计政策和行业惯例 重大和异常交易的会计处理方法 新领域和缺乏权威标准或共识的领域,采用重要会计政策产生的影响 会计政策变更 被审计单位何时采用以及如何采用新颁布的会计准侧和相关会计制度
第四方面:被审计单位的目标、战略及经营风险 目标、战略与经营风险:目标是经营活动的指针;战略使企业为实现经营目标而采用的总体层面的策略和方法,为了实现某一特定目标,企业可能有多个可行战略;经营风险则源自于对被审计单位实现目标和战略产生不利影响的重大情况、事项、环境和行动,或源自于不恰当的目标和战略。 注册会计师应当了解被审计单位是否存在下列方面有关的目标和战略,并考虑相应的经营风险(7种情况) 讨论:如何通过财务报表探究公司战略?
经营风险与重大错报风险的联系: (1)多数经营风险最终都会产生财务后果从而影响财务报表,可能存在错报; (2)并非所有经营风险都会导致中道错报风险; (3)经营风险可能对各类交易、账户余额以及列报认定层次或财务报表层次产生直接影响。 管理层通常都会制定识别和应对经营风险的策略,注册会计师应当了解被审计单位的风险评估过程,该过程也是被审计单位内部控制的组成部分之一。
第五方面:被审计单位财务业绩的衡量与评价 了解被审计单位财务业绩的衡量与评价时,应关注的主要信息:关键业绩指标、业绩趋势等七个方面。 关注内部财务业绩衡量的结果 (1)关注被审计单位内部财务业绩衡量所显示的未预期到的结果或趋势; (2)关注管理层的调查结果和纠正措施; (3)关注相关信息是否显示财务报表可能存在的重大错报。 考虑财务业绩衡量指标的可靠性。 小结:注册会计师了解被审计单位财务业绩的衡量与评价,是为了考虑管理层是 否面临实现某些关键财务业绩指标的压力;此外也有助于注册会计师深入了解被 审计单位的目标和战略。
第六方面:了解被审计单位的内部控制 重点内容 主要针对重大错报风险中的控制风险而言 思考:通过了解被审计单位内部控制得出的控制风险与通过实施控制测试得出的控制风险,两者存在何种内在关系?(重点)
1.内部控制的含义及构成要素 内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计与执行的政策及程序。 (1)内部控制的目标是合理保证:三个具体目标; (2)内部控制设计与实施的责任主体是治理层、管理层和其他人员,组织中每个人都对内部控制负有责任 (3)实现内部控制目标的手段是设计和执行控制政策及程序。
内部控制的五要素 内部牵制 内部控制 内控结构 内控框架 COSO框架 控制环境 风险评估 信息沟通 控制活动 监督 注意:对内部控制要素的分类仅是提供了解内部控制的框架,但无论如 何对内部控制要素进行分类,注册会计师都应当重点考虑被审计单位的某 项控制,是否能够以及如何防止或发现并纠正各类交易、账户余额、列报 存在的重大错报。即重要的是控制能够实现控制目标。
2.内部控制在审计过程中需要强调的几点 第一,与审计相关的内部控制:注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,而并非被审计单位所有的内部控制。 (1)为实现财务报告可靠性目标设计和实施的控制:注册会计师应当运用职业判断,考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序有关。 (2)其他与审计相关的控制:如果注册会计师拟利用被审计单位内部生成的信息,则应考虑用以保证该信息完整性和准确性的控制可能与审计相关。
评估风险并针对评估的风险设计适当的审计方法 第二,对内部控制了解的深度:具体是指了解被审计单位及其环境时对内部控制了解的程度,包括评价控制的设计,并确定其是否得到执行,但不包括对控制是否得到一贯执行的测试。 评价控制的设计(控制能够有效地防止 或发现并纠正重大错报?) 否 是 控制是否得到执行(控制是否存 在以及是否得到被审计单位使用) 否 控制中存在重大弱点 是 记录发现和结论 向管理层和治理层报告 评估风险并针对评估的风险设计适当的审计方法
了解内部控制的步骤(如上图) 了解内部控制的方法 (1)识别需要降低哪些风险以预防财务报表中发生的重大错报; (2)记录相关内部控制,目的是识别时候存在内部控制降低第一步所列出的风险因素; (3)实施穿行测试以评估控制的执行; (4)评估内部控制的设计,确定内部控制是否存在重大弱点。 了解内部控制的方法 (1)报告询问被审计单位人员 (2)观察特定控制的运用 (3)检查文件和报告 (4)追踪交易在财务报告信息系统中的处理过程(穿行测试)
了解内部控制不同于控制测试(重点理解) (1)了解内部控制是评价内部控制设计并确定其是否运行,控制测试时确定企业内部控制运行的有效性即实施的内部控制能够防止、发现并纠正财务报表重大错报风险; (2)对于一项自动化控制,除非存在某些可以使控制得到一贯运行的自动化控制,注册会计师对控制的了解并不能够代替对控制运行有效性的测试。
第三,内部控制的人工与自动化成分 内部控制可能采用人工系统或自动化系统生成,不同方式将会影响被审计单位各项交易生成、记录、处理和报告的方式。 (1)信息技术的优势及相关内部控制风险 (2)人工控制的使用范围及相关内部控制风险 内部控制风险的程度和性质受到被审计单位信息系统的性质和特征的影响,因此,在了解内部控制时,注册会计师应当考虑被审计单位是否通过建立有效的控制,以恰当应对由于使用信息技术系统或人工系统而产生的风险。
第四,内部控制的局限性 无论如何设计和执行,内部控制只能对财务报表的可靠性提供合理保证,其固有局限性包括: (1)在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效; (2)可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避; (3)行使内部控制职能的人员素质不适合岗位需求; (4)成本效益的考虑等。
3.内部控制五要素的具体解析 第一,控制环境 (1)含义:包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。 (2)要求:注册会计师在评价控制环境的设计和实施情况时,应当了解管理层在治理层的监督下,是否营造并保持了诚实守信和合乎道德的文化,以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。在业务承接阶段,注册会计师就需要对控制环境作出初步了解和评价。 (3)关键要素:对诚信和道德价值观念的沟通和落实、对胜任能力的重视、治理层的参与程度、管理层的理念和经营风格、组织结构及职权与责任的分配以及人力资源政策与实务。
注意:控制环境的核心—组织文化与战略 组织环境(组织氛围)如何描述、测评与改进? 影响组织环境(组织氛围)的关键要素?
控制环境小结 注册会计师应当对控制环境的六大构成要素获取足够的了解,并考虑内部控制的实质及其综合效果,以了解管理层和治理层对内部控制及其重要性的态度、认识以及所采取的措施。 在评价控制环境各个要素时,注册会计师应当考虑将询问和其他风险评估程序相结合以获取审计证据,从而确定各个要素是否得到执行。 控制环境对重大错报风险的评估具有广泛影响,注册会计师应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当基础,并且未被控制环境中存在的缺陷所削弱。 虽然控制环境本身并不能防止或发现并纠正各类交易、账户余额以及列报认定层次的重大错报,但控制环境存在弱点可能会削弱控制的有效性。
第二,风险评估 (1)含义:风险评估的作用是识别、评估和管理影响被审计单位实现经营目标能力的各种风险;针对财务报告目标的风险评估过程则包括识别与财务报告相关的经营风险、评估风险的重大性和发生的可能性以及采取措施管理这些风险。 (2)对风险评估过程的了解(注册会计师如何了解) 在评价被审计单位风险评估过程的设计和执行时,注册会计师应当确定管理层如何识别与财务报告相关的经营风险、如何估计风险的重要性、如何评价风险发生的可能性以及如何采取措施管理这些风险。
第三,信息与沟通 (1)与财务报告相关的信息系统的含义及具体了解 信息系统包括用以生成、记录、处理和报告交易、事项和情况,对相关资产、负债和所有者权益履行经营管理责任的程序和记录。 注册会计师可以从6个方面进行具体了解。 (2)与财务报告相关的沟通的含义及具体了解 沟通包括使员工了解各在在与财务报告有关的内部控制方面的角色和职责,员工之间的工作联系,以及向适当级别的管理层报告例外事项的方式。
第四,被审计单位所采用控制活动(重点) (1)含义:有助于确保管理层的指令得以执行的政策和程序,包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。 (2)注册会计师对控制活动的了解 注册会计师应当重点考虑一项控制活动单独或连同其他控制活动,是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。 注册会计师的工作重点是识别和了解针对重大错报可能发生的领域的控制活动。 (3)了解控制活动所需考虑的8个因素
第五,监督 (1)含义:对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程,该过程包括即时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施。 (2)了解被审计单位对内部控制的监督情况(7个影响因素)
内部控制五要素小结 内部控制的某些要素(如控制环境和监督)更多的对被审计单位整体层面产生影响,而其他要素(信息系统、沟通及控制活动)则可能更多的与特定业务流程相关。因此,在实务中,注册会计师应当从被审计单位整体层面和业务流程层面分别了解和评价被审计单位的内部控制。 这是注册会计师了解被审计单位内部控制的实务视角,与理论视角的五要素相区别。其中,整体层面的控制和信息技术一般控制通常在所有业务活动中普遍存在;业务流程层面控制主要是对工薪、销售和财务等交易的控制。整体层面的控制对内部控制在所有业务流程中得到严格的设计和执行具有重要影响,整体层面的控制较差甚至可能使最好的业务流程层面的控制失效。
4.内部控制整体层面与业务流程层面的了解 第一,在整体层面了解被审计单位内部控制 (1)了解的人员:通常由项目组中对被审计单位情况比较了解且较有经验的成员负责,其他成员参与和配合。 (2)了解的重点:注册会计师可以重点关注整体层面内部控制的变化情况,包括由于被审计单位及其环境的变化而导致内部控制发生的变化以及采取的对策;还需要特别考虑因舞弊而导致重大错报的可能性及其影响。 (3)了解的方法:询问被审计单位人员、观察特定控制的应用、检查文件和报告以及执行穿行测试等。
(4)了解的具体内容:在了解内部控制各构成要素时,注册会计师应当对被审计单位整体层面的内部控制的设计进行评价,并确定其是否得到执行。 (5)整体层面内部控制与控制环境之间的关系:财务报表层次的重大错报风险很可能源自于薄弱的控制环境,因此,注册会计师在评估财务报表层次的重大错报风险时,应当将被审计单位整体层面的内部控制状况和了解到的被审计单位及其环境其他方面的情况综合起来考虑。被审计单位整体层面的内部控制是否有效将直接影响重要业务流程层面控制的有效性,进而影响注册会计师拟实施的进一步审计程序的性质、时间和范围。 (6)形成工作记录,并对影响注册会计师对整体层面内部控制有效性进行判断的因素加以详细记录。
第二,在业务流程层面了解被审计单位内部控制(重点) (1)了解的时间:初步计划审计工作时 (2)六大步骤: 一,确定被审计单位的重要业务流程和重要交易类别,(如第15-20章的第一节); 二,了解重要交易流程(如PP374,表6),并记录获得的了解; 三,确定可能发生错报的环节; 四,识别和了解相关内部控制(如PP374,表6); 五,执行穿行测试,证实对交易流程和相关控制的了解; 六,进行初步评价和风险评估。 本节内容实质上就是审计实务操作的第一节与第二节内容的 总括性、理论化的分析。
作业 试着梳理上述六个步骤的具体内容,并和审计实务操作部分相联系。 注意:最终得出的评价结论是在穿行测试完成后、但又在测试控制运行有效性(即控制测试)之前进行的,因此这只是初步结论,仍可能随控制测试后实施实质性程序的结果而发生变化。
13.4 评估重大错报风险 风险评估阶段的最后一步;评估将作为确定进一步审计程序的性质、范围和时间的基础,以应对识别的风险。 两层次的重大错报风险(重要) (1)评估的财务报表层次重大错报风险水平与总体审计策略相关,影响多项认定; (2)评估的认定层次的重大错报风险决定了注册会计师设计和实施的进一步审计程序,影响某一认定。
评估重大错报风险的四个审计程序(重点) (1)在了解被审计单位及其环境的整个过程中识别风险,并考虑各类交易、账户余额及列报; (2)将识别的风险与认定层次可能发生错报的领域相联系; (3)考虑识别的风险是否重大; (4)考虑识别的风险导致财务报表发生重大错报的可能性。
考虑控制环境对评估财务报表层次重大错报风险的影响:财务报表层次的重大错报风险很可能源于薄弱的控制环境;薄弱的控制环境带来的风险可能对财务报表产生广泛影响,难以限于某类交易、账户余额、列报,注册会计师应当采取中提应对措施。 考虑控制活动对评估认定层次的重大错报风险的影响:在评估重大错报风险时,注册会计师应当将所了解的控制与特定认定相联系;关系越间接,控制活动在防止或发现并纠正认定中错报的作用越小。 考虑财务报表的可审计性。
注意:识别和评估特别风险 特别风险的含义 确定特别风险需要考虑6个因素 非常规交易和判断事项引发特别风险及其原因 考虑与特别风险相关的控制
总结之一:为何要进行重大错报风险评估? 正如医生开处方之前要对病人进行会诊一样,先通过项目组内部讨论观察被审计单位会计报表在哪些区域可能存在错漏报(即病因在哪及其诱发机理如何),进而为下一步审计方案的确立提供前期准备。
总结之二:如何进行重大错报风险评估? 核心技术路径:哪些因素可能会诱发财务报表重大错报风险?即被审计单位是否存在盈余管理动机,其又可能采用的手段如何?注册会计师可以从“利益相关者”的多视角分析被审计单位粉饰报表的诱发因素,如企业与政府(节税动机、政治升迁动机等)、企业与供应分销商(两头吃能力培养的动机等)等等。由此可知,要评估被审计单位的重大错报风险,需要了解被审计单位自身情况及其与利益相关者的关系属性,即通过“了解被审计单位及其环境”来进行。