5).要求注册会计师将识别、评估和应对风险的关键程序形成审计工作记录,以保证执业质量,明确执业责任。
了解被审计单位及其环境的作用,为CPA在下列关键环节作判断提供基础 P257
1.确定重要性水平,并随着审计工作的进程评估对重要性水平的判断是否仍然适当; 2.考虑会计政策的选择和运用是否恰当,以及财务报表的列报是否适当;
3.识别需要特别考虑的领域,包括关联方交易、管理层运用持续经营假设的合理性,或交易是否具有合理的商业目的等;
4.确定在实施分析程序时所使用的预期值;
5.设计和实施进一步审计程序,以将审计风险降至可接受的低水平; 6.评价所获取审计证据的充分性和适当性。
风险评估程序: ▲ P257
含义:风险评估程序是指CPA为了了解被审计单位及其环境而实施的程序。 目的:风险评估程序的目的是为了识别和评估财务报表重大错报风险。
内容:注册会计师应当实施下列风险评估程序,以了解被审计单位及其环境:A询问被审计单位管理层和内部其他相关人员、B分析程序、C观察和检查。
风险评估程序实质(教材P257,理解基本观点,刘圣妮讲义)
1.风险评估程序是注册会计师了解被审计单位及其环境的手段;
2.风险评估程序内容是几种单项审计程序(P175-176七种程序)的有效组合;
3.风险评估程序目的在于获取财务信息和非财务信息,识别和评估财务报表层次和认定层次重大错报风险;
4.风险评估程序是注册会计师审计中必须实施的审计程序,如果未实施风险评估程序就不能评估重大错报风险。
风险评估程序应当向管理层和财务负责人询问下列事项 ◆ P258
(1)管理层所关注的主要问题。如新的竞争对手、主要客户和供应商的流失、新的税收法规的实施以及经营目标或战略的变化等[经营环境]。
(2)被审计单位最近的财务状况、经营成果和现金流量[财务报表]。
(3)可能影响财务报告的[重大]交易和事项,或者目前发生的重大会计处理问题。如重大的购并事宜等。
(4)被审计单位发生的其他重要变化。如所有权结构、组织结构、内部控制的变化等。
了解被审计单位及其环境,应实施以下观察和检查程序◆P259
(1)观察被审计单位的生产经营活动。 (2)检查文件、记录和内部控制手册。 (3)阅读由管理层和治理层编制的报告。
(4)实地察看被审计单位的生产经营场所和设备。
(5)追踪交易在财务报告信息系统中的处理过程(穿行测试:由点到线)。
项目级内部讨论示例 P261 表13-1
了解被审计单位及其环境的内容 ▲ P262 *
1)相关行业状况、法律环境和监管环境及其他外部因素;
2)被审计单位的性质;
3)被审计单位对会计政策的选择和运用;
4)被审计单位的目标、战略以及可能导致重大风险的相关经营风险; 5)对被审计单位财务业绩的衡量和评价; 6)被审计单位的内部控制。
CPA应当了解的被审计单位的行业状况,主要包括:▲P262
1)所处行业的市场与竞争,包括市场需求、生产能力和价格竞争; 2)生产经营的季节性和周期性; 3)被审计单位产品的相关生产技术。 4)能源供应与成本;
5)行业的关键指标和统计数据
了解被审计单位所处的法律环境和监管环境▲(P263,修订内容)
1).会计原则和行业特定惯例; 2).受管制行业的法规框架;
3).对被审计单位经营活动产生重大影响的法律法规,包括直接的监管活动; 4).税收政策;
5).目前对被审计单位开展经营活动产生影响的政府政策,如货币政策、财政政策、财政刺激措施、关税或贸易限制政策等;
6).影响行业和被审计单位经营活动的环保要求。
了解其他外部因素的内容▲(教材P263,修订内容)
1.总体经济情况; 2.利率;
3.融资的可获得性; 4.通货膨胀水平或币值变动。
了解被审计单位性质中的财务报告 P266
1)会计政策和行业特定惯例,包括特定行业的重要活动(借贷,投资) 2)收入确认惯例; 3)公允价值会计核算; 4)外币资产;
5)异常或复杂交易(在有争议或新兴领域的交易)的会计处理(例股票薪酬)。
对内部控制了解的深度 P272
对内部控制了解的深度,是指在了解被审计单位及其环境时对内部控制了解的程度。包括评价控制的设计,并确定其是否得到执行,但不包括对控制是否得到一贯执行的测试。
获取控制设计和执行的审计证据(教材P273,修订内容,重点掌握)
1).询问被审计单位人员; 2).观察特定控制的运用; 3).检查文件和报告;
4).追踪交易在财务报告信息系统中的处理过程(穿行测试)。
获取内部控制设计和执行的审计证据的风险评估程序(PP273,修订内容)
1).询问被审计单位人员;
2).观察特定控制的运用; 3).检查文件和报告;
4).追踪交易在财务报告信息系统中的处理过程(穿行测试)。
信息技术对内部控制产生的特定风险 P274
人工控制产生的特定风险: P275
1).人工控制可能更容易被规避、忽视或凌驾; 2).人工控制可能不具有一贯性;
3).人工控制可能更容易产生简单错误或失误。
了解内部控制固有局限性(教材P275,修订内容,重点掌握)**
内部控制无论如何有效,都只能为被审计单位实现财务报告目标提供合理保证。内部控制实现目标的可能性受其固有限制的影响。这些限制包括:
1.在决策时人为判断可能出现错误和因人为失误而导致内部控制失效;
2.控制可能由于两个或更多的人员串通或管理层不当地凌驾于内部控制之上而被规避;
另外:行使控制职能的人员素质,实施内部控制的成本效益,非经常发生的内控(内控一般针对经常而重复发生的业务)不适用。
在评价控制环境的设计时,注册会计师应当考虑构成控制环境的下列要素,以及这些要素如何被纳入被审计单位业务流程: P276-278
(1)对诚信和道德价值观念的沟通与落实; (2)对胜任能力的重视; (3)治理层的参与程度;
(4)管理层的理念和经营风格;
(5)组织结构及职权与责任的分配; (6)人力资源政策与实务。
控制活动是指有助于确保管理层的指令得以执行的政策和程序,包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。 P286
对业务流程层面内部控制了解的六大步骤 P287 (结合15-20章实务)
1).确定被审计单位的重要业务流程和重要交易类别(十五至二十章易);
2).了解重要交易流程,并记录获得的了解(例:第15章P339表15-6的第1列); 3).确定可能发生错报的环节;
4).识别和了解相关控制 (比如第十五章教材P339表15-6的第2-3列) ;
5).执行穿行测试,证实对交易流程和相关控制的了解(P339表15-6的第4列); 6).进行初步评价和风险评估(P294)。** (决定了CR X Y 程序 证据)
(1)所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报,并得到执行; (2)控制本身的设计是合理的,但没有得到执行; (3)控制本身的设计就是无效的或缺乏必要的控制。
评估重大错报风险的四个审计程序(要求)(P297-P298,修订后,是准则要求)
1.在了解被审计单位及其环境(包括与风险相关的控制)的整个过程中,结合对财务报表中各类交易、账户余额和披露的考虑,识别风险;
2.结合对拟测试的相关控制的考虑,将识别出的风险与认定层次可能发生错报的领域相联系; 3.评估识别出的风险,并评价其是否更广泛地与财务报表整体相关,进而潜在地影响多项认定; 4.考虑发生错报的可能性(包括发生多项错报的可能性),以及潜在错报的重大程度是否足以导致重大错报。
考虑财务报表的可审计性(教材P299)*
如果通过对内部控制的了解发现下列情况,并对财务报表局部或整体的可审计性产生疑问,注册会计师应当考虑出具保留意见或无法表示意见的审计报告:
1).被审计单位会计记录的状况和可靠性存在重大问题,不能获取充分、适当的审计证据以发表无保留意见;
2).对管理层的诚信存在严重疑虑。必要时注册会计师应当考虑解除业务约定。
确定特别风险时的考虑因素 P299-230
在确定哪些风险是特别风险时,注册会计师应当在考虑识别出的控制对相关风险的抵消效果前,根据以下因素考虑其是否属于特别风险:
1)风险的性质;
2)潜在错报的重要程度; 3)发生的可能性。
在确定风险的性质时,注册会计师应当考虑下列事项: P300
1)风险是否属于舞弊风险;
2)风险是否与近期经济环境、会计处理方法和其他方面的重大变化有关,因而需要特别关注; 3)交易的复杂程度;
4)风险是否涉及重大的关联方交易;
5)财务信息计量的主观程度,特别是计量结果是否具有高度不确定性; 6)风险是否涉及异常或超出正常经营过程的重大交易。
非常规交易导致特别风险的原因 P300
1)管理层更多地干预会计处理;
2)数据收集和处理进行更多的人工干预; 3)复杂的计算或会计处理方法;
4)非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制。
仅通过实质性程序无法应对的重大错报风险 P301
1).作为风险评估的一部分,如果认为仅通过实质性程序获取的审计证据并不能够将认定层次的重大错报风险降至可接受的低水平,注册会计师应当评价被审计单位针对这些风险设计的控制,并确定其执行情况。
2).在被审计单位对日常交易采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的有效性,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。
3).如果认为仅通过实施实质性程序不能获取充分、适当的审计证据,注册会计师应当考虑依赖的相关控制的有效性,并对其进行了解、评估和测试。
―――――――――――――――――――――――――――― 第十四章 风险应对