[经济学]第九章 风险评估与应对.pptVIP

第九章 风险评估与应对 殷丽丽 电话： Email：yinlili@ yinlili122@126.com 风险导向审计业务流程和程序 1、了解被审计单位及其环境 2、控制测试 3、实质性程序 第一节 了解被审计单位及其环境 1、方法=风险评估程序 询问； ---管理层和内部相关人员 分析； ---识别异常的交易或事项 检查和观察 ---实地查看、检查相关文件记录 2、内容 （1）行业状况、法律环境与监管环境以及其他外部因素； -----不同企业了解的侧重点不一样。但是应重点关注会对企业的经营活动产生重要影响的关键外部因素。 2、内容 （2）被审计单位的性质； 所有权结构；“关联方交易” 治理结构；“独立董事、审计委员会、监事会” 组织结构； 经营活动； 筹资活动； 投资活动。 2、内容 （3）被审计单位对会计政策的选择和运用； 2、内容 （4）被审计单位的目标、战略以及相关经营风险； ----是否会带来财务后果，考虑对重大错报风险的影响。 2、内容 （5）被审计单位财务业绩的衡量和评价； ---考虑企业管理当局面临的压力、激励性报酬 ---关键业绩指标、业绩趋势、预算差异分析、业绩考核和激励性报酬、分部业绩、外部机构分析报告、竞争对手业绩等 （6）被审计单位的内部控制 1、CPA《审计》规定：”内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。” 2、 COSO报告指出：内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。 内部控制的演进 内控系统的整体架构（1992） 企业风险管理-整合框架(COSO-ERM)----2004年 基本原则： 企业是为股东提供价值而生存； 每个企业都面临不确定性； 不确定性带来风险（损失）与机遇； 管理层必须承受与管理不确定性。 1．控制环境 2．风险评估 风险评估指管理层分析、评价和估计对战略、经营、报告、合规目标有影响的内部或外部风险的过程。 风险评估涉及估计风险的重大程度、评价风险发生的可能性、考虑如何管理风险等。 3、控制活动 4．信息与沟通 企业定期获取及交流内、外部的信息，帮助员工履行职责，包括： 信息的识别和获取 信息加工和报告 内部沟通和外部沟通 相关信息必须采用恰当的形式并在恰当的时间内沟通，以便相关人员能有效履行职责，采取适当行动 5．监督 对内部控制了解的深度P147 1、评价控制的设计 2、控制是否得到执行 3、获取控制设计和执行的审计证据 控制风险及其来源 第二节 识别与评估重大错报风险 1、了解被审单位及环境的目的：识别和评估两个层次的重大错报风险 （1）财务报表层次 （2）认定层次 2、审计程序P127 3、可能表明被审计单位存在重大错报风险的事项和情况 4、特别风险P129 涵义 确定特别风险时应考虑的事项 非常规交易和判断事项导致的特别风险 考虑与特别风险相关的控制 第三节 针对重大错报风险的应对措施 一、针对报表层次重大错报风险的总体应对措施 1、项目组应在收集和评价审计证据中保持职业怀疑 2、分派更有经验或有特殊技能的审计人员，或利用专家的工作 3、提供更多的督导 4、进一步审计程序应使管理层不可预见或事先了解 5、对拟实施审计程序的性质、时间和范围作出整体修改---薄弱的控制环境下 二、针对认定层次重大错报风险的进一步审计程序 1、考虑因素：风险的重要性、重大错报风险发生的可能性、认定的特征、控制的性质、审计证据的获取 2、性质：目的和类型（方法） 控制测试：内控有效性 实质性程序：发现认定层次的重大错报 二、针对认定层次重大错报风险的进一步审计程序 3、时间：两个层面的考虑（重大错报风险） 选择何时实施进一步审计程序：期中或期末 选择获取什么期间或时点的审计证据 4、范围：实施进一步审计程序的数量，抽样的考虑---重要性水平（可容忍错报）、评估的重大错报风险（预计的总体错误率）、计划获取的保证程度（可接受的抽样风险） 三、控制测试 控制测试的涵义：控制运行的有效性 与“了解内部控制”的区别：设计和执行 控制测试的非必要性：P152 知识点辨析：控制的执行与执行的有效性 某单位针对销售收入和费用的业绩评价控制如下：财务经理每月审核实际销售收入和费用，并与预算数和上年同期数比较，对于差异金额超过5%的项目进行分析并编制分析报告，销售经理审阅该报告并采取适当跟进措施。 CPA抽查最近三个月的分析报告