风险评估
风险识别,识别财务报表层次和认定层次的重大错报风险;风险评估,评估重大错报发生的可能性和严重程度
了解被审计单位及其环境的必要性,为以下提供基础:确定重要性水平、会计政策是否恰当、识别特别的领域、确定分析程序预期值、计划和实施进一步审计程序、审计证据充分和适当性;了解被审计单位及其环境是否恰当,看是否足以识别和评估财务报表的重大错报风险
风险评估程序:为了解被审计单位及其环境的程序;包括,询问管理层和其他内部人员、分析程序、观察和检查
询问管理层和其他内部人员,可以是,管理层关注的主要问题、被审计单位的财务状况经营成果和现金流量、可能影响财务报告的交易和事项、其他重要变化;分析程序,如果发现异常,应当在识别重大错报风险时考虑这些结果;观察和检查,经营活动、文件记录、内部控制手册、责任方编制的报告、厂房设备、穿行测试(追踪某笔或某几笔交易的业务流程、相关内部控制的执行)
其他审计程序,例如询问被审计单位外部相关人员
项目组内部讨论,通过交流更好地了解财务报表重大错报的可能性、审计程序结果的影响和对进一步审计程序的影响,交流的内容包括,被审计单位经营风险、容易错报的领域、方式、可能性
了解被审计单位及其环境:a.相关行业状况、法律环境和其他外部因素;b.被审计单位的性质;c.会计政策的选择和运用;d.目标、战略和相关经营风险;e.财务业绩的衡量和评价(为了了解财务业绩指标对管理层的压力);f.内部控制
d.目标、战略和相关经营风险:目标是经营活动指针,战略是实现目标的方法,经营风险是制定不恰当目标和战略导致的风险、或相关不利事项所导致的风险,例如,开发新产品或提供新服务,潜在的经营风险可能是被审计单位产品责任增加;经营风险可能导致重大错报风险(一般的思路:目标、战略--潜在的经营风险--其中与财务报表相关、可能会导致财务报表出现重大错报风险的风险)
f.内部控制:被审计单位为了合理保证财务报告的可靠性、经营的效率效果以及法律的遵守,由管理层、治理层和其他人员设计、执行的政策和程序
内部控制的要素,控制环境、风险评估过程、与财务报告相关的信息系统、控制活动、对控制的监督
目标和控制并非都与注册会计师的风险评估相关,需要了解和评价的只是与财务报表审计相关的内部控制;对内部控制了解的深度,包括评价控制的设计(能否有效防止发现纠正错报),确定执行情况(询问、观察和检查、穿行测试)(不包括是否得到一贯执行,除非有相关自动化控制)
内部控制的局限性,人为判断错误和失误、人员串通或管理层干预而被规避;当实施控制成本大于控制效果而发生损失时,没有必要实施该控制
控制环境,了解文化是否诚实守信、合乎道德,建立的控制能否有效防止发现纠正错报;具体可以包括:诚信和道德价值观的沟通和落实(有效传达、强调重要性、管理层表率、惩罚措施)、胜任能力、治理层的参与(董事会是否建立审计委员会,两者是否独立于管理层、是否监督被审计单位财务报告政策和程序)、管理层的理念和风格、组织结构和职权与责任的分配(职责是否明确、合理,授权交易是否建立适当的政策和程序)
控制环境,不能防止发现纠正认定层次重大错报风险,要将其与其他内部控制要素结合,评估重大错报风险
风险评估过程,识别财务报告的经营风险、针对经营风险采取措施;了解被审计单位风险评估过程和结果有助于识别财务报表的重大错报风险
信息系统和沟通,与财务报告相关的信息系统应当与业务流程相适应,包括通过生成、记录、处理和报告,对履行经营管理责任的程序的记录;与财务报告相关的沟通,具体有:管理层就员工岗位职责、对不恰当事宜、内部沟通的充分性的有效性、与外部的沟通、是否受到外部监管的约束、外部获知被审计单位行为准则的程度
控制活动,确保管理层指令得以执行的政策和程序,包括授权、业绩评价(管理层对业绩信息的使用,决定了是只用于经营目的还是同时用于财务报告目的)、信息处理(信息胡处理控制分为一般控制和应用控制)、实物控制(资产是否安全影响财务报表可靠性)、职责分离/(控制)
控制活动,注册会计师应当考虑控制活动能否防止发现纠正认定层次(特定交易、账户余额和披露)重大错报,主要考虑一般控制活动、信息技术一般控制;如果多项控制活动能实现同一目标,则不必了解与目标相关的每项控制活动
对控制的监督,指被审计单位评价一段时间内内部控制运行的有效性,并采取必要补救措施;包括持续的监督活动、单独的评价活动;外部信息可能显示内部控制存在的问题;监督活动很多信息由被审计单位信息系统产生,应先评价信息的可靠性
整体层面(控制环境)和业务流程层面(信息系统与沟通、控制活动)了解内部控制,整体层面和信息技术一般控制普遍存在所有业务;初步审计工作,确定可能存在重大错报风险的重大账户和相关认定:确定重大业务流程(业务循环)和重要交易类别(重大账户和相关认定)--了解重要交易流程(应注意:输入信息的来源、重要数据档案、重要处理程序、重要输出信息、处理程序责任的划分)--确定可能错报环节(有效控制的前提下)--识别相关控制--穿行测试--风险评估
识别相关控制,分为:预防性控制和检查性控制;通过了解整体层面和重要业务流程,确定是否需要进一步了解业务流程层面控制(是否建立控制、遗漏控制、是否有效);如果发现某些重要交易流程控制无效,没有必要进一步了解业务流程层面控制;如果实质性程序无法将检查风险降至可接受水平,应评估相关控制活动
穿行测试,目的:确认对业务交易流程的了解、所有可能发生错报环节的识别、确认相关控制的准确性和有效性以及是否得到执行、确认记录的准确性
风险评估,识别、了解控制后,评价控制设计的合理性并确定是否得到执行,评价结果可能是:得到执行并能防止发现纠正重大错报、没有得到执行但控制设计合理、设计不合理或缺乏控制;评价控制发生在穿行测试之后、测试控制有效性之前,因此评价结论可能随着实质性程序结果而变化
风险评估,已识别重大错报风险水平较高,则要求相关控制敏感度较高;结合整体层面和业务流程层面,对被审计单位评价;了解并评价控制,不能证明控制有效性(偏整体),除非一贯运行的自动化控制
实务中,还需考虑财务报告流程控制,即信息从业务交易入总账、财务报告及列报的流程控制,其与列报认定直接相关
评估重大错报风险(风险评估最后一步),相关审计程序:结合了解被审计单位及其环境和各类交易账户余额和披露来识别风险、联系识别出的风险和认定层次的可能错报领域、评估识别出的风险及其是否与财务报表广泛相关、考虑是否导致重大错报;风险评估程序获取的信息和评价控制及其执行获取的审计证据,作为风险评估结果的审计证据;根据风险评估结果,来确定进一步审计程序
识别财务报表层次(与财务报表整体广泛相关,例如,管理层风险爱好、与整体层面内部控制和信息技术一般控制相关)和认定层次重大错报风险(与特定交易、账户余额和披露相关);一般思路:识别记录重大错报风险--描述对财务报表的影响和发生重大错报的可能性--列式相关认定--是否是财务报表层次、是否是特别风险、是否仅通过实质性程序无法应对
将控制和特定认定相联系;在了解内部控制后,评价可审计性,是否能获取充分适当的审计证据、管理层是否诚信
特别风险,指需要特别考虑的重大错报风险。由于人工干预、复杂的会计处理、缺乏有效控制,可能导致的对涉及会计估计确认的理解偏差、主观判断和未来假设偏差;如对特别风险未能实施有效控制,则认为内部控制存在重大缺陷,并与治理层沟通
仅通过实质性程序无法应对重大错报风险,评价针对这些风险的设计的控制
风险应对
财务报表层次重大错报风险的总体应对,强调保持职业怀疑、指派有经验审计人员、更多的督导、拟实施的进一步审计程序融入不可预见因素(对风险较小的认定实施实质性程序、调整实施审计程序时间、调整审计抽样方法、预先不告知审计地点)、对拟实施审计程序作出修改(如果控制环境存在缺陷)(在期末实施更多审计程序而非期中、实施实质性程序获取更广泛的审计证据、增加审计范围)
财务报表层次重大错报风险,使得拟实施进一步审计程序(分为实质性方案<:实质性程序为主>和综合性方案<:控制测试和实质性程序结合>)偏向于实质性方案
认定层次重大错报风险的进一步审计程序(两者有明确的对应关系),包括审计程序的性质、时间和范围;应当考虑的因素包括,风险的重要性、重大错报的可能性、交易账户余额和披露的特征、采用控制的性质、是否因内部控制有效而实施控制测试
进一步审计程序,有时必须使用控制测试(仅通过实质性程序无法应对重大错报风险),有时仅实施实质性程序(风险评估程序未能识别认定相关控制);无论何种方案,都应对所有重大类别的交易、账户余额和披露设计和实施实质性程序
进一步审计程序的性质,包括目的(实施控制测试确定内部控制有效性、实施实质性程序识别认定层次重大错报)和类型(检查、观察、询问、函证、重新计算、重新执行、分析程序);进一步审计程序的时间(为确保审计证据的效率和效果),权衡期中与期末实施审计程序的关系,重大错报风险较高时考虑在期末实施实质性程序,如果在期中实施,还应针对剩余时间获取审计证据;进一步审计程序的范围,重要性水平越低、重大错报风险越高、计划获取的保证程度越高,范围越广
控制测试,为了获取控制有效性而实施的测试,强调在不同时点控制按照既定设计一贯执行,需要检查抽取足够数量的交易或不同时点观察;(与了解控制的差异),了解控制,为了评价控制的设计和控制的执行,强调存在和被使用(非一贯执行性),需要抽取少量交易或几个时点
实施控制测试条件,评价认定层次重大错报风险时预期控制有效、仅实施实质性程序不能提供认定层次充分适当的审计证据(例如审计证据的有效性依赖信息系统控制的有效性,但没有适当有效控制)
计划获取的保证水平,决定控制测试的性质(类型和组合);控制测试采用的审计程序包括:询问、观察、检查、重新执行;确定控制测试的性质的要求,考虑控制的性质、与认定直接和间接相关的控制、对自动化的应用控制(信息技术有内在一惯性,利用该控制的执行和信息技术一般控制的有效性的审计证据,支持该控制有效)
实质性程序未发现认定错报,不能说明与该认定相关的控制有效;发现错报,评价对相关控制运行有效性的影响;发现重大错报且没有被被审计单位识别,表明内部控制存在重大缺陷,与管理层和治理层沟通
控制测试时间,包括测试某一时点的控制(获取该时点的审计证据)、测试某一期间的控制(获取时点的审计证据、其他控制程序、测试被审计单位对控制的监督);对于期中实施控制测试,实施以下审计程序:获取控制在剩余期间重大变化的审计证据、确定还需补充的审计证据(考虑评估的认定层次重大错报风险、控制环境、剩余时间、相关控制的重大变动、已获取相关控制的审计证据的有效性、对相关控制的信赖程度);考虑以前获取的审计证据,看拟信赖的以前测试的控制在本期是否发生变化,如果发生变化,考虑以前获取控制运行有效性的审计证据是否与本期有关,如果没有发生变化(特别风险除外),也要至少三年测试一次,且每次审计从中选取部分控制,测试其有效性;特别风险的控制测试必须来自当年
控制测试的范围,指测试某项控制活动的次数,自动化控制由于信息技术的内在一贯性,在确定执行下,只需要考虑:信息系统一般控制的有效性、是否变动、使用是否合理;整体层次的控制测试通常在审计早起进行
实质性程序(细节测试、实质性分析程序),指为发现认定层次重大错报的审计程序,包括:核对财务报表和会计记录或调节、检查重大会计记录和调整;重大类别的交易、账户余额和披露必须实施实质性程序,特别风险必须实施实质性程序
实质性程序的性质,包括细节测试(针对各类交易账户余额和披露的认定的测试,直接识别财务报表认定错报)和实质性分析程序(针对可预期关系的大量交易、数据间关系,识别各类交易账户余额和披露的认定的错报)
实质性程序的时间,对于期中的考虑,与控制测试类似,但更需要考虑成本效益(审计资源),一些宜在期末实施实质性程序的情况:期中和延至期末两部分占用审计资源不能显著小于期末实施所需审计资源、控制薄弱、重大错报风险较高、没有特别对期中实施的必要、等;若,期中发现因舞弊导致的重大错报(特别风险),应在期末实施实质性程序;考虑以前获取的审计证据,看是否发生重大变动,即便没有,确定审计证据是否持续相关
实质性程序的范围,重要考虑:评估的认定层次重大错报风险和控制测试结果,细节测试注意选取大额或异常项目,实质性分析程序考虑各类交易、账户余额和披露的相关认定的重要性和计划保证水平,确定可接受差异
