审计学第7章 企业风险评估与审计风险防范

第七章企业风险评估与审计风险防范主讲：叶陈刚教授本章提要 案例法国兴业银行内控失效导致49亿欧元巨额诈骗案 第一节风险评估的要求与程序 第二节了解被审计单位内部控制 第三节重大错报风险评估 第四节审计风险防范措施与程序 关键术语 思考题 练习题本章学习目标 1．理解风险评估的要求与程序； 2．了解被审计单位及其环境； 3．了解被审计单位的内部控制的内容与要素 4．熟悉识别和评估重大错报风险的方法与步骤 5．了解针对财务报表层次的重大错报风险实施的总体应对措施； 6．掌握针对认定层次的重大错报风险实施的进一步审计程序； 7．理解控制测试和实质性程序的内涵。法国兴业银行内控失效导致49亿欧元巨额诈骗案 法国第二大上市银行——法国兴业银行(SocieteGenerale)2008年1月24日宣布，该行发现其内部的一名交易员有诈骗行为，给银行造成了49亿欧元(71.6亿美元)的损失。该行还宣布因全球信贷危机而减记20.5亿欧元，并表示将增资55亿欧元，以维持收支平衡。法国兴业银行称，其董事会已经拒绝了董事长兼首席执行官DanielBouton的辞职请求。该银行称，被发现有诈骗行为的巴黎交易员正处在解聘过程中，他的经理也将离开公司。第一节 风险评估的要求与程序一、风险评估及其总体要求 1.风险评估（riskevaluation） 目的：降低审计风险、提高审计质量和效率、得出公允的审计结论 内容：在审计实施阶段通过了解被审计单位及相关环境与评价内部控制状况等内容，从而准确地评估审计工作所面临风险水平或程度，以便于采取针对性的风险应对措施所设计的一系列必经程序和活动。二、风险评估的总体要求了解被审计单位及其环境，以充分识别和评估财务报表重大错报风险1设计和实施进一步审计程序，以将审计风险2降至可接受的低水平；评价所获取审计证据的充分性和适当性。审计策划的内容总体审计策略具体审计 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 审计策划审计范围审计目标审计方向风险评估程序计划实施的进一步审计程序其他审计程序总体 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 具体审计程序二、风险评估的程序了解被审计单位及其环境风险评估程序风险评估基本程序风险评估其他程序法律和财务咨询询问被审计单位管理层和内部其他相关人员实施分析程序观察和检查（一）风险评估基本审计程序基本程序之一：询问被审计单位管理层和内部其他相关人员基本程序之二：实施分析程序分析程序（analysisprocedures）是指注册会计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系，对财务信息做出评价过程。分析程序还包括调查识别出的、与其他相关信息不一致或与预期数据严重偏离的波动和关系。基本程序之三：观察和检查(1)观察——被审计单位的生产经营活动(2)检查——文件、记录和内部控制手册(3)阅读——由管理层和治理层编制的 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 (4)察看——被审计单位的生产经营场所和设备（现场访问和实地察看）(5)追踪——交易在财务报告信息系统中的处理过程(穿行测试)（二）风险评估的其他审计程序1.其他审计程序除了采用上述程序从被审计单位内部获取信息以外，如果根据职业判断认为从被审计单位外部获取的信息有助于识别重大错报风险，注册会计师应当实施其他审计程序以获取这些信息2.其他信息来源新的审计业务连续审计业务三、被审计单位及其环境信息的了解第二节了解被审计单位内部控制一、内部控制的基础理论 （一）内部控制的概念内部控制的概念很多，但都大同小异。国际审计准则定义：管理当局为了确保以有序和有效的方式实现其管理目标，包括遵循 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 、保护资产的安全、防范和发现错误与舞弊、确保会计记录的准确和完整、及时编制可信的财务信息而制定和实施的管理政策和控制程序。 （二）内部控制的目标 当具体到与会计系统有关的内部控制时，其设计和运行一般应当能够实现以下目标： 1．保证业务活动按照适当的授权进行。 2．保证所有交易和事项被恰当记录。 3．保证对资产和记录的接触、处理均经过适当的授权。 4．保证账面资产与实存资产定期核对相符。一、内部控制的基础理论 （三）内部控制的责任主体 治理层、管理层和其他关键人员，因为他们是企业内部控制的关键职责的承担者。 （四）内部控制的分类 按要素，工作内容，控制目标，控制方式不同而分类。一、内部控制的基础理论 （五）内部控制的的作用和局限性作用：（1）保护财产物资的安全完整和有效使用（2）保证会计资料的真实可靠及财务活动的合法有效（3）保证国家的各项政策和财经法规的贯彻执行（4）保证企业经营决策和规章 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 的正确落实（5）保证企业经营目标的实现 一、内部控制的基础理论 （五）内部控制的的作用和局限性局限性：（1）内部控制的设计和运行受制于成本与效益原则。（2）内部控制一般仅针对常规业务活动而设计。（3）内部控制可能因有关人员相互勾结、内外串通而失效，等等。 一、内部控制的基础理论内部控制的要素二、内部控制的要素之一——控制环境 1.控制环境的含义与作用含义：控制环境是对企业控制的建立和实施有重大影响的多种因素的统称。作用：控制环境是企业内部控制系统中的前提要素，它设定了被审计单位的内部控制基调，影响着员工对内部控制的认识和态度。 三、内部控制的要素之二——被审计单位的风险评估 1.风险评估的含义与作用 注：此处的风险评估与第一节中提到的风险评估不同，它强调的是企业内部管理层在生产经营过程中对风险的评估。 2.对风险评估过程的了解 四、内部控制的要素之三——与财务报告相关的信息系统与沟通1.与财务报告相关的信息系统的含义与功能含义，作用和职能2.对与财务报告相关的信息系统的了解3.与财务报告相关的沟通的含义与功能4.对与财务报告相关的沟通的了解 五、内部控制的要素之四——控制活动1.相关的控制活动的含义：控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。 2.对控制活动的了解 六、内部控制的要素之五——对控制的监督1.对控制的监督的含义与功能： 监督是由适当的人员，在适当、及时的基础上，评估控制的设计和运行情况的过程。 2.对内部控制监督的了解 七、对内部控制了解和评估角度之一——整体层面 （1）责任主体：通常由项目组中对被审计单位情况比较了解且较有经验的成员负责，同时需要项目组其他成员的参与和配合。 （2）了解方式与要求。八、对内部控制的了解角度之二——业务流程层面(一)确定重要业务流程和重要交易类别(二)了解重要交易流程，并进行记录(三)确定可能发生错报的环节 业务流程层面 (四)识别和了解相关控制 (五)执行穿行测试，证实对交易流程和相关控制的了解（1）穿行测试的含义在每一类业务循环中选择一笔或若干笔交易或事项进行测试，以验证内部控制的实际运行是否与审计工作底稿上所描述的内部控制相一致。 (五)执行穿行测试，证实对交易流程和相关控制的了解（2）穿行测试的作用。穿行测试可以确认业务流程及可能发生错报环节的准确性和完整性。（3）穿行测试中应注意的问题。 (六)初步评价和风险评估（1）对控制的初步评价。（2）风险评估需考虑的因素。（3）评价决策。(七)对财务报告流程的了解即了解财务报告流程的作用，内容和要求。 第三节重大错报风险评估 一、财务报表层次和认定层次重大错报风险的识别和评估 (一)重大错报风险识别和评估的审计程序 (二)识别重大错报风险的性质 (三)控制环境对评估财务报表层次重大错报风险的影响二、需要特别考虑的重大错报风险在确定风险的性质时，注册会计师应当考虑下列事项三、只通过实质性程序无法应对的重大错报风险四、对风险评估的修正 审计人员对认定层次重大错报风险的评估应以获取的审计证据为基础，并可能随着不断获取审计证据而做出相应的变化。 一、财务报表层次重大错报风险的总体应对措施在收集和评价审计证据过程中保持职业怀疑态度职业态度分派更有经验或具有特殊技能的审计人员，或利用专家工作，专业分工细化；专业特长对于风险较高的审计项目，由项目组的高级别成员对其他成员提供更详细、更经常、更及时的指导和监督并加强项目质量复核；在设计拟实施审计程序时，为了避免既定思维对审计方案的限制，避免对审计效果的人为干涉，而采用某些不被审计单位管理层遇见或事先了解的更有效的审计程序；对拟实施审计程序的性质、时间和范围作出总体修改。指导监督程序非预见性程序的弹性*程序的弹性1、时间：在期末而非期中实施更多的审计程序3、性质：修改审计程序的性质，获取更具说服力的审计证据4、范围：扩到审计程序范围2、证据：主要依赖实质性程序获得的审计证据控制环境缺陷削弱期中审计证据的可信赖度1、时间：在期末而非期中实施更多的审计程序2、证据：主要依赖实质性程序获得的审计证据当内部控制存在缺陷时3、性质：修改审计程序的性质，获取更具说服力的审计证据调整拟实施审计程序的类别及组合。由账面记录到实地检查资产4、范围：扩到审计程序范围扩大样本规模、采用更详细的数据分析程序。二、认定层次重大错报风险的进一步审计程序控制测试VS了解内部控制:控制测试：是指控制测试运行的有效性。了解内部控制：一是评价控制的设计；二是确定控制是否得到执行在测试控制运行的有效性，应从下面获取关于控制是否有效运行的审计证据（1）控制在所审计期间的不同时点是如何运行的（2）控制是得到一贯执行（3）控制是由谁执行（4）控制以何种方式运行（如人工控制或自动化控制（一）控制测试的含义1.控制测试的适用条件（1）在评估认定层次重大错报风险时，预期控制的运行是有效的；（2）仅实施实质性程序不足以获取认定层次充分、适当的审计证据。控制测试的性质是指控制测试所使用的审计程序的类型及其组合。计划获取的保证水平越高，对有关控制运行有效性的审计证据的可靠性要求越高1.询问注册会计师可以向被审计单位适当员工询问，获取与内部控制运行相关的信息。2.控制测试的审计程序2.观察观察是测试不留下书面记录的控制（如权责分离）的运行情况的有效方法。3.检查对于运行情况留有书面证据的控制，检查非常适用。4.重新执行只有当询问、观察和检查程序结合在一起仍无法获得充分证据时，才会考虑通过重新执行来证实控制是否有效运行；若需进行大量的重新执行，就要考虑通过控制测试以缩小实质性程序的范围是否有效率5.穿行测试穿行测试是将多种程序按特定审计需要进行结合运用的方法。开始在本年度测试该控制考虑是否在本年度测试该控制：1、控制是否有变化；2、显示需要测试的因素，如复杂的人工测试3、为满足每年测试一部分控制的要求而测试该控制是否针对特别风险该控制在最近两年是否被测试过否是否是*XXXXXXXXXXXXXXXXXX一、实质性程序的内涵和要求 （二）实质性程序实质性程序是指注册会计师针对评估的重大错报风险实施的直接用以发现认定层次重大错报的审计程序。*XXXXXXXXXXXXXXXXXX一、实质性程序的内涵和要求　　1.针对特别风险实施的实质性程序*XXXXXXXXXXXXXXXXX一、实质性程序内涵和要求：特别风险应对措施及结果汇总*XXXXXXXXXXXXXXXXX2、实质性程序的类型实质性程序包括两种基本类型：细节测试和实质性分析程序。细节测试是对各类交易、账户余额、列报的具体细节进行测试，目的在于直接识别财务报表认定是否存在错报。关键术语 1．风险评估（RiskEvaluation） 2．内部控制（InternalControls） 3．穿行测试（Walk-ThroughTest） 4．控制环境（ControlEnvironment） 5．风险应对（RiskResponse）思考题 1．注册会计师应当从哪些方面了解被审计单位及其环境？ 2．一个单位内部控制系统的建立会受哪些因素的影响? 3．审计人员应当如何进行重大错报风险的评估工作? 4．针对评估的财务报表层次重大错报风险注册会计师应该采取的总体应对措施包括哪些内容?谢谢大家*