2023年审计风险评估.doc

审计-风险评估 　 风险评估 　第一节 风险评估程序 　注册会计师实施风险导向审计，其目标是对财务报表不存在由于错误或舞弊导致的重大错报获取合理保证。风险导向审计要求注册会计师评估财务报表重大错报风险，设计和实施进一步审计程序以应对评估的错报风险，根据审计结果出具恰当的审计报告。 　一、.审计风险准那么的特点：1.要求注册会计师必须了解被审计单位及其环境。通过了解被审计单位及其环境，包括了解内部控制，为识别财务报表层次及各类交易、账户余额和列报认定层次重大错报风险提供更换的根底。 　2.要求在审计的所有阶段都要实施风险评估程序。CPA应当将识别的风险与认定层次可能发生的重大错报的领域相联系，实施更为严格的风险评估程序，不得未经风险评估程序，直接将风险设定为高水平。 　3.要求将识别的和评估的风险与实施的审计程序挂钩。在设计和实施进一步的审计程序〔控制测试和实质性程序〕时，应当将审计程序的性质、时间和范围与识别、评估的风险相联系，防止机械地利用审计程序表从形式上迎合审计准那么对程序的要求。 　4.要求针对重大的各类交易、账户余额和列报实施实质性程序。 　5.要求将识别、评估和应对风险的关键程序形成审计工作记录，以保证执业质量，明确执业责任。 　二、风险评估的作用： 　了解被审计单位及其环境是必要程序〔从6个方面了解〕，特别是为注册会计师在以下关键环节做出职业判断提供重要根底：1.确定重要性水平，并随着审计工作的进程对重要性水平的判断是否仍然适当； 　2.考虑会计政策的选择和运用是否恰当，以及财务报表的列报是否适当； 　3.识别需要特别考虑的领域； 　4．确定在实施分析程序时所使用的预期值； 　5.设计和实施进一步审计程序，以将审计风险降至可接受的水平； 　6.评价所获取审计证据的充分性和适当性； 　了解被审计单位及其环境是一个连续和动态地收集、更新与分析信息的过程，贯穿于整个审计过程的始终。评价对被审计单位及其环境了解的程度是否恰当，关键是看注册会计师对被审计单位及其环境的了解是否足以识别和评估财务报表的重大错报。 　三、风险评估程序：为了了解被审计单位及其环境而实施的程序称为‘风险评估程序’。 　为了解被审计单位及其环境实施的风险评估程序：询问管理层和内部其它相关人员；分析程序；检查和观察。在审计过程中应当实施上述程序，但是在了解被审计单位及其环境的每一方面时无须实施上述所有程序。 　实施分析程序：分析程序是指通过研究不同财务数据之间及财务数据与非财务数据之间的内在关系，对财务信息做出评价。分析程序还包括调查识别出的、与其他信息不一致或与预期数据严重偏离的波动和关系。分析程序即可用作风险评估程序和实质性程序，也可以用于对财务报表的总体复核。注册会计师实施分析程序有助于识别异常的交易或事项，以及对财务报表和审计产生影响的金额、比率和趋势。在实施分析程序时。应当预期可能存在的合理关系，并与被审计单位记录的金额、依据记录金额计算的比率和趋势相比拟；如果发现异常或未预期到的关系，注册会计师师应当在识别重大错报风险时考虑这些比拟结果。 　如果使用了高度汇总的数据，实施分析程序的结果仅可能初步显示财务报表存在重大错报风险，注册会计师应当将分析结果连同识别重大错报风险时获取的其他信息一并考虑。 　检查和观察：观察被审计单位的生产经营活动；检查文件、记录和内部控制手册；阅读由管理层和治理层编制的报告；实地查看被审计单位的生产经营场所和设备；追踪交易在财务报告系统中的处理过程〔穿行测试〕。这是注册会计师在了解被审计单位业务流程及其相关控制时经常使用的审计程序。 　四、其他审计程序及其信息来源： 　1.其他审计程序：询问被审计单位聘请的外部法律参谋、专业评估师、投资参谋和财务参谋等。阅读外部信息也可能有助于了解被审计单位及其环境。 　2.其他信息来源：应当考虑在承接客户或续约过程中获取的信息，以及向被审计单位提供其他效劳所获得的经验是否有助于识别重大错报风险。通常，对新的审计业务，应在业务承接阶段对被审计单位及其环境有个初步的了解，以确定是否承接业务；对连续审计业务，也应在每年的续约过程中对上年审计做总体评价，并更新对被审计单位的了解和风险评估结果，以确定是否续约。对于连续审计业务，如果拟利用在以前期间获取的信息，CPA应当确定被审计单位及其环境是否发生变化，以及该变化是否可能影响以前期间获取的信息在本期审计中的相关性。在这种情况下，注册会计师需要实施询问和其他适当的审计程序〔如穿行测试〕，以确定该变化是否可能影响此类信息在本期审计中的相关性。 　了解被审计单位及其环境 　应当从6个方面了解被审计单位及其环境： ⑴行业状况、法律环境与监管环境以及其他外部因素； ⑵被审计单位的性质； ⑶被审计单位对会计政策的选择和运用； ⑷被审计单位的目标、战略以及相关经营风险； ⑸被审计单位财务业绩的衡量和评价；是为了考虑管理层是否面临实现某些关键财务业绩指标的压力； ⑹被审计单位的内部控制。有4个步骤：识别需要降低哪些风险；记录相关内部控制；评估内部控制的执行；评估控制的设计； 　第三节 了解被审计单位内部控制 　内部控制包括以下因素：控制环境；风险评估程序；信息系统与沟通；控制活动；对控制的监督。 　了解和评价的内部控制只是与财务报表审计相关的内部控制，并非是所有的内部控制。注册会计师无需对与审计无关的控制加以考虑。 　了解内部控制与测试控制运行有效性的关系：除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解并不能够代替对控制运行有效性的测试。 　内部控制的人工和自动化成分：信息技术也可能对内部控制产生特定风险， 　系统或程序未能正确处理数据，或处理了不正确的数据或两者兼而有之； 　在未得到授权的情况下访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易； 　信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工； 　未经授权改变主文档的数据； 　未经授权改变系统或程序做出必要的修改； 　不恰当的人为干预； 　数据丧失的风险或不能访问所需要的数据。 　人工控制的适用范围：存在大额、异常或偶发的交易；存在难以定义、防范或预见的错误；为应对情况的变化，对现有的自动化程序进行调整；监督自动化控制的有效性。 　人工控制在以下情形中可能是不适当的：存在大量或重复发生的交易；事先可预见的错误能够通过自动化控制得以防范或发现；控制活动可以得到适当设计或自动化处理； 　内部控制风险的程度和性质受到被审计单位信息系统的性质和特征的影响，因此，在了解内控制时，注册会计师应当考虑被审计单位是否通过建立有效的控制，以控制应对由于使用信息技术系统或人工系统而产生的风险。 　控制环境：控制环境设定可被审计单位的内部控制基调，影响员工对内部控制的认识和态度。良好的内部控制环境是实施有效内部控制的根底。防止或发现并纠正舞弊和错误是被审计单位管理层和治理层的责任。控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报，注册会计师在评估重大错报风险时，应当将控制环境连同其他内部控制要素产生的影响一并考虑。在小型被审计单位，应当重点了解管理层对内部控制设计的态度、认识和措施。 　控制活动：授权、业绩评价、信息处理、实物控制、职责别离 　授权－包括一般授权和特别授权。授权的目的在于保证交易在管理层授权范围内进行。特别授权也可能用于超过一般授权限制的常规交易。 　信息处理－信息技术一般控制和应用控制。一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行；信息应用控制是指主要在业务流程层面运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通常包括检查数据的准确性、审核账户和试算平衡表、设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。 　需要指出的是，内部控制的某些要素〔如控制环境〕更多地对被审计单位的整体层面产生影响，而其他要素〔如信息系统与沟通、控制活动〕那么可能更多的与特定业务流程相关。在实务中，应当从整体层面和业务流程层面分别了解和评价被审计单位的内部控制。整体层面的控制〔包括管理层凌驾于内部控制之上的控制〕和信息技术一般控制通常在所有业务活动中普遍存在。对被审计单位整体层面的内部控制的设计进行评价并确定其是否得到执行，这一评价过程需要大量的职业判断。被审计单位整体层面的内部控制是否有效将直接影响重要业务流程层面控制的有效性，进而影响注册会计师拟实施的进一步审计程序的性质、时间和范围。 　在业务流程层面了解内部控制：通常将业务流程层面的控制划分为预防性控制和检查性控制。 　预防性控制－通常用于正常业务流程的每一项交易，以防止错报的发生。预防性控制可以是人工的，也可以是自动化的。 　检查性控制－发现流程中可能发生的错报。检查性控制通常是管理层用来监督实现流程目标的控制。通常并不适用业务流程中所有的交易，而适用于一般业务流程以外的已经处理或局部处理的某类交易，可能一年只运行几次，也可能每周运行，甚至一天运行几次。