第十三章 风险评估.pptVIP

监督 控制 活动 风险 评估 控制环境 信息与沟通 信息与沟通 COSO内部控制-整合框架： 另一种诠释 COSO-风险管理框架 二、与审计相关的控制 （一）为实现财务报告可靠性目标设计和实施的控制 与审计相关的控制，包括被审计单位为实现财务报告可靠性目标设计和实施的控制。 注册会计师应当运用职业判断，考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序有关。 在运用职业判断时，注册会计师应当考虑下列因素： 1.重要性； 2.相关风险的重要程度； 3.被审计单位的规模； 4.被审计单位业务的性质，包括组织结构和所有权特征； 5.被审计单位经营的多样性和复杂性； 6.使用的法律法规； 7.内部控制的情况和适用的要素； 8.作为内部控制组成部分的系统的性质和复杂性； 9.一项特定控制是否以及如何防止或发现并纠正重大错报。 （二）其他与审计相关的控制 如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息，针对该信息完整性和准确性的控制可能与审计相关。 例如，对于某些非财务数据（如生产统计数据）的控制，如果注册会计师在实施分析程序时使用这些数据，这些控制就可能与审计相关。又如，某些法规（如税法）对财务报表存在直接和重大的影响（影响应交税费和所得税费用），为了遵守这些法规，被审计单位可能设计和执行相应的控制，这些控制也与注册会计师的审计相关。 被审计单位通常有一些与目标相关但与审计无关的控制，注册会计师无需对其加以考虑。 例如，被审计单位可能依靠某一复杂的自动化控制提高经营活动的效率和效果（如航空公司用于维护航班时间表的自动化控制系统），但这些控制通常与审计无关。进一步讲，虽然内部控制应用于整个被审计单位或所有经营部门或业务流程，但是，了解与每个经营部门和业务流程相关的内部控制、可能与审计无关。 用以保护资产的内部控制可能包括与实现财务报告可靠性和经营效率、效果目标相关的控制。注册会计师在了解保护资产的内部控制各项要素时，可仅考虑其中与财务报告可靠性目标相关的控制。 例如，保护存货安全的控制可能与审计相关，但在生产中防止材料浪费的控制通常就与审计不相关，只有所用材料的成本没有在财务报表中如实反映，才会影响财务报表的可靠性。 三、对内部控制了解的深度 评价控制的设计 是否得到执行、 不包括对控制是否得到一贯执行的测试。 评价控制的设计 控制是否得到执行？ 控制中存在重大弱点 向管理层和治理层报告 评估风险并针对评估的风险设计适当的审计方法 记录发现和结论 控制能否有效地防止或发现问题并纠正重大错报？ 控制是否存在以及是否得到被审计单位使用？ 是 否 是 否 （一）评价控制的设计 注册会计师在了解内部控制时，应当评价控制的设计，并确定其是否得到执行。 1.评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。　　 2.控制得到执行是指某项控制存在且被审计单位正在使用。 （二）获取控制设计和执行的审计证据 　注册会计师通常实施下列风险评估程序，以获取有关控制设计和执行的审计证据：　　 （1）询问被审计单位的人员；（有局限性）　　 （2）观察特定控制的运用；（有局限性）　 （3）检查文件和报告；（最好的一种方法）　　 （4）追踪交易在财务报告信息系统中的处理过程（穿行测试）。 （三）了解内部控制的步骤 1.识别需要降低哪些风险以预防财务报表中发生重大错报。 2.记录相关的内部控制。目的是识别是否存在内部控制降低第一步所列出的风险因素。 3.评估控制的执行。主要是实施穿行测试，已确信识别的内部控制实际上确实存在。 4.评估内部控制的设计。 （四）了解内部控制与测试控制运行有效性的关系　除非存在某些可以使控制得到一贯运行的自动化控制，否则注册会计师对控制的了解并不足以测试控制运行的有效性。 了解内控 控制测试 设计、执行 有效性 　四、内部控制的人工和自动化成分 （一）考虑内部控制的人工和自动化特征及其影响 内部控制可能既包括人工成分又包括自动化成分，在风险评估以及设计和实施进一步审计程序时，注册会计师应当考虑内部控制的人工和自动化特征及其影响。　　 内部控制采用人工系统还是自动化系统，将影响交易生成、记录、处理和报告的方式。　 在以人工为主的系统中，内部控制一般包括批准和复核业务活动，编制调节表并对调节项目进行跟踪。 （二）信息技术的优势及相关内部控制风险 （三）人工控制的适用范围及相关内部控制风险 五、内部控制的局限性(Limitation) （一）内部控制存在固有局限性　　 1.在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。(human errors or mistak