第七章++风险评估和应对+-+副本.ppt

2006 审计 第七章 风险评估与应对 风险评估 风险应对 重大错报风险的评估与应对的总体思路： 第一节 风险评估 一、风险评估程序的概念与种类： （一）风险评估程序的概念： 为了解被审计单位及其环境而实施的程序称为“风险评估程序”。 （二）风险评估程序的种类： （1）询问被审计单位管理层和内部其他相关人员； （2）分析程序； （3）观察和检查。 分析程序： 分析程序是指注册会计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系，对财务信息作出评价。分析程序还包括调查识别出的、与其他相关信息不一致或与预期数据严重偏离的波动和关系。 观察和检查： 1.观察被审计单位的生产经营活动。 2.检查文件、记录和内部控制手册。 3.阅读由管理层和治理层编制的报告。 4.实地察看被审计单位的生产经营场所和设备。 5.追踪交易在财务报告信息系统中的处理过程（穿行测试）。 这是注册会计师了解被审计单位业务流程及其内部控制时经常使用的审计程序。通过追踪某笔或某几笔交易在业务流程中如何生成、记录、处理和报告，以及相关内部控制如何执行，注册会计师可以确定被审计单位的交易流程和内部控制是否与之前通过其他程序所获得的了解一致，并确定内部控制是否得到执行。 二、了解被审计单位及其环境 （一）了解被审计单位及其环境的总体要求： 注册会计师应当了解被审计单位及其环境，以足够识别和评估财务报表重大错报风险，设计和实施进一步审计程序。 该总体要求可以从以下三方面理解： （1）了解被审计单位及其环境是必要程序； （2）了解的目的是识别和评估财务报表重大错报风险，设计和实施进一步审计程序； （3）了解的程度应当足够实现了解的目的。 （二）了解被审计单位及其环境的主要内容 被审计单位及其环境主要包括： （1）行业状况、法律环境与监管环境以及其他外部因素； （2） 被审计单位的性质； （3）被审计单位对会计政策的选择和运用； （4）被审计单位的目标、战略以及相关经营风险； （5）被审计单位财务业绩的衡量和评价； （6）被审计单位的内部控制。 上述第（1）项是被审计单位的外部环境，第（2）项至第（4）项以及第（6）项是被审计单位的内部因素，第（5）项则既有外部因素也有内部因素。值得注意的是，被审计单位及其环境的各个方面可能会互相影响。 三、了解被审计单位的内部控制 （一） 内部控制的概念 内部控制是社会经济发展到一定阶段的产物,它随着企业对内强化管理,对外满足社会需要而不断丰富和发展。 内部控制思想的发展经过了一个漫长的历史时期。 1、内部牵制阶段（20世纪40年代前）： 定义：以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。 主要特点：任何个人或部门不能单独控制任何一项或一部分业务权力，必须进行组织上的责任分工。 主要包括：（1）实物牵制；（2）机械牵制；（3）体制牵制；（4）薄记牵制。 2、内部控制制度（20世纪40年代－70年代）： 内部控制制度思想认为内部控制应分为： （1）内部会计控制 （2）内部管理控制(或称内部业务控制) 前者在于保护企业资产、检查会计数据的准确性和可靠性；后者在于提高经营效率、促使有关人员遵守既定的管理方针。 3、内部控制结构（1988）： 认为“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”，并且明确了内部控制结构的内容的三个方面： （1）控制环境（Control environment ) ； （2）会计制度（accounting system ）； （3）控制程序（control procedures ） 。? ?4、内部控制整体框架（1992）： 1992 年，由美国的COSO 委员会又发表了一个有关内部控制的报告，提出内部控制整体框架思想，并逐步将各界对内部控制的认识统一起来，对内部控制提出了新的定义 ：“内部控制被广义地定义为一个过程 ，它受到一个实体（主体）的董事会、管理部门和其它人事部门的影响，它提供有关目标实现的合理保证。这些目标包括：（1 ）经营的效率与效果；（2 ）财务报告的可靠性；（3 ）相关法律与规定的遵循。”同时提出内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。 1 9 9 6 年美国AICPA 颁布第78 号《审计准则公告》，采用了COSO 所定义的内部控制概念，将内部控制结构的要素（elements ) 改为内部控制成分（Ｃomponents ) ，并把它分为五个方面：控制环境、风险评估、控制活动、信息与沟通和监控。 ? ?5、Sarbanes-Oxley Act of 2002阶段： Section 404: 公司管理层需要对财务报告的内部控制进行