审计- 3- 风险评估:内部控制
1了解被审计单位及其环境
注册会计师应当实施风险评估程序,以了解被审计单位以及环境,从以下几个方面了解:
| 1.行业状况、法律环境与监管环境以及其他外部因素 | |
| 2.被审计单位的性质 | 1 所有权结构; 5 投资活动; |
| 3.被审计单位对会计政策的选择和运用 | (一)重要项目的会计政策和行业惯例; (二)重大和异常交易的会计处理方法; (三)在新领域和缺乏权威性标准或共识的领域,采用重要会计政策产生的影响; (四)会计政策的变更; (五)被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度。 |
| 4.被审计单位的目标、战略以及相关经营风险 | (一)行业发展,及其可能导致的被审计单位不具备足以应对行业变化的人力资源和业务专长等风险; (四)新颁布的会计法规,及其可能导致的被审计单位执行法规不当或不完整,或会计处理成本增加等风险; |
| 5.被审计单位财务业绩的衡量和评价 | (一)关键业绩指标; (二)业绩趋势; (三)预测、预算和差异分析; (四)管理层和员工业绩考核与激励性报酬政策; (五)分部信息与不同层次部门的业绩报告; (六)与竞争对手的业绩比较; (七)外部机构提出的报告。 |
| 6.被审计单位的内部控制 | (一)控制环境; (二)风险评估过程; (三)信息系统与沟通; (四)控制活动; (五)对控制的监督。 |
1.1 风险评估应当实施如下的程序。
(1)询问被审计单位管理层和内部其他相关人员;(2)分析程序;(3)观察和检查。
2.固有风险 VS 控制风险
| 固有风险 | 控制风险 | |
| 定义 | 即在不考虑控制的情况下,某类交易、账户余额或披露的某一认定易于发生错报的可能性。 | 指被审计单位针对某类交易、账户余额或披露的某一认定而设计的内部控制未能有效防止或发现并纠正认定错报的可能性 |
| 产生原因 | 复杂性、主观性、变化、不确定性以及管理层偏向和其他舞弊风险因素 |
3. 内部控制的概念和要素
| 条目 | 内容 |
| 1.内控的目标 | (1)财务报告的可靠性:与管理层对财务报告编制责任的履行有着密切的关系; (2)经营效率效果:使得被审计单位能够经济有效的使用企业资源,以最优的方式实现企业的目标; (3)对法律法规的遵循:依法从事经营活动 |
| 2.内部控制五要素 | 1). 控制环境 2). 风险评估过程 3). 与财务报告有关的信息和沟通 4).控制活动 - 授权、业绩评价、信息处理、实物控制、职责分离 5).对控制的监督 |
| Coso内部控制框架 |  |
4.了解内部控制的目的和深度
目的:评价控制设计的有效性以及控制是否得到执行。但不包括对控制是否得到一贯执行的测试。
手段:询问、观察、检查、穿行测试。
【备注】作为对比,罗列“控制测试”的内容如下
| 控制测试概念 | 控制测试:是指用于评价内部控制在防止或发现并纠正认定层次重大错报方面的运行有效性的审计程序 属于进一步审计程序的范围 |
| 控制测试说明 | 在测试控制运行的有效性时,注册会计师应当从下列方面获取关于控制是否有效运行的审计证据: 1.控制在所审计期间的相关时点是如何运行的 2.控制是否得到一贯执行 3.控制由谁执行或以何种方式执行 |
5. 内部控制的固有局限性
由于内部控制的固有局限性,无论如何设计和执行,只能对财务报告的可靠性提供合理的保证(不是绝对保证):
(一)在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效;
(二)可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。
6.针对财务报表层次重大错报风险的总体应对措施主要有哪些?
(1)向项目组强调保持职业怀疑态度的必要性;
(2)分派更有经验或具有特殊技能的审计人员,或利用专家的工作;
(3)提供更多督导;
(4)在实施进一步审计程序时融入更多不可预见的因素;
(5)对拟实施审计程序的性质、时间和范围作出总体修改