风险识别是指找出财务报表层次和认定层次重大错报风险;
风险评估是指对重大错报发生的可能性和后果严重程度进行评估。
注册会计师在审计过程中应当实施下列审计程序,但在了解被审计单位及其环境的每一方面时,无须实施下列所有程序。
审计程序
说明
询问
询问对象:管理层、财务负责人、治理层、内部审计人员、内部法律顾问、营销或销售人员、参与生成处理或记录复杂或异常交易的员工;内部法律顾问;营销或销售人员
分析程序
分析程序在风险识别和评估程序中必须采用,但是注册会计师无须在了解被审计单位的每一方面都实施分析程序(例如了解内控)
观察和检查
①观察被审单位的经营活动
②检查文件、记录和内部控制手册
③阅读由管理层和治理层编制的报告
④实地察看被审计单位的生产经营场所和厂房设备
【提示】穿行测试只适用于了解内部控制
【例题1·多选·2016年】下列各项程序中,通常用作风险评估程序的有()。
A.检查
B.分析程序
C.重新执行
D.观察
【答案】ABD
【解析】选项ABD正确,运用于风险评估程序的审计程序有:询问、分析、观察和检查。
选项C错误,重新执行是控制测试的程序。
1.其他审计程序
①询问被审计单位聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等。
①对新的审计业务,注册会计师应在业务承接阶段对被审计单位及其环境有一个初步的了解,以确定是否承接该业务。
②对连续审计业务,也应在每年的续约过程中对上年审计作总体评价,并更新对被审计单位的了解和风险评估结果,以确定是否续约。
③注册会计师还应当考虑向被审计单位提供其他服务(如执行中期财务报表审阅业务),所获得的经验是否有助于识别重大错报风险。
(三)项目组内部的讨论
项目组内部的讨论在所有业务阶段都非常必要,可以保证所有事项得到恰当的考虑。
项目组在讨论时应当强调在整个审计过程中保持职业怀疑,警惕可能发生重大错报的迹象。
讨论的目标
①使成员更好的了解在各自负责的领域中,由于舞弊或错误导致财务报表重大错报的可能性
讨论的内容
①被审计单位面临的经营风险
②财务报表容易发生错报的领域以及发生错报的方式
③特别是由于舞弊导致重大错报的可能性
【提示】记住一个原则:讨论的目的是互通有无,发现风险
参与讨论的人员
①关键成员应当讨论
②拥有信息技术或其他特殊技能的专家根据需要参与讨论
③项目合伙人应当确定向未参与讨论的项目组成员通报哪些事项
在整个审计过程中持续交换有关财务报表发生重大错报可能性的信息
「考点3」了解被审计单位及其环境(★★★)
(一)总体要求
1.必要性
了解被审计单位及其环境是必要程序。
了解被审计单位及其环境是一个连续和动态地收集、更新与分析信息的过程,贯穿于整个审计过程的始终。
注册会计师对被审计单位及其环境了解的程度,要低于管理层为经营管理企业而对被审计单位及其环境需要了解的程度。
2.了解的内容
注册会计师应当从下列方面了解被审计单位及其环境:(由宽到窄,由外到内——由国家到行业再到被审计单位)
了解被审计单位
外部环境
内部因素
(2)被审计单位的性质
(3)被审计单位对会计政策的选择和运用
(5)★被审计单位的内部控制
内外部因素
(6)对被审计单位财务业绩的衡量和评价
【例题2·单选·2017年】下列有关了解被审计单位及其环境的说法中,正确的是()。
A.注册会计师无需在审计完成阶段了解被审计单位及其环境
B.注册会计师对被审计单位及其环境了解的程度,低于管理层为经营管理企业而对被审计单位及其环境需要了解的程度
C.对小型被审计单位,注册会计师可以不了解被审计单位及其环境
D.注册会计师对被审计单位及其环境了解的程度,取决于会计师事务所的质量管理政策
【答案】B
【解析】选项A错误,了解被审计单位及其环境是一个连续和动态地收集、更新和分析信息的过程,贯穿于整个审计过程的始终。
选项B正确,注册会计师对被审计单位及其环境了解的程度,要低于管理层为经营管理企业而对被审计单位及其环境需要了解的程度。
选项C错误,了解被审计单位及其环境是必要程序。
1.行业状况
2.法律环境与监管环境
会计原则和行业特定惯例、受管制行业的法规框架、对被审计单位经营活动产生重大影响的法律法规、目前对被审计单位开展经营活动产生影响的政府政策、影响行业和被审计单位经营活动的环保要求
3.其他外部因素
主要包括总体经济情况、利率、融资的可获得性、通货膨胀水平或币值变动等。
(三)被审计单位的性质
①所有权结构(识别关联方关系,控股母公司的管理风险,是否占用资金,是否施压);
②治理结构(治理层监督,影响控制环境);
③组织结构(复杂的组织结构可能会导致重大错报风险,如财务报表合并、商誉减值、长期股权投资核算);
④经营活动(主要业务性质、市场情况、业务开展情况、从事电子商务情况、地区与行业分布、生产设施、仓库和办公室的位置,存货存放地点和数量、关键客户、供应商、研发活动、关联方交易);
⑤投资活动;
⑥筹资活动;
⑦财务报告等。
(四)被审计单位对会计政策的选择和运用
1.重大和异常交易的会计处理方法(如医药公司的研发活动等)
3.会计政策的变更。如果被审计单位变更了会计政策,注册会计师应当考虑变更的原因及适当性(例如,有没有舞弊的动机)
4.新颁布的财务报告准则、法律法规,以及被审计单位何时采用、如何采用这些规定
①是否选择激进的会计政策、方法、估计和判断;
②财会人员是否拥有足够的运用会计准则的知识、经验和能力;
③是否拥有足够的资源支持会计政策的运用。
【提示】曾经考过一次客观题,原文考察,熟悉关键词即可。
经营风险对重大错报风险的影响
2.多数经营风险最终都会产生财务后果,从而影响财务报表。但并非所有的经营风险都会导致重大错报风险。
3.经营风险可能对某类交易、账户余额和披露的认定层次重大错报风险或财务报表层次重大错报风险产生直接影响。
【例题3·单选·2017年】下列有关经营风险对重大错报风险的影响的说法中,错误的是()。
A.多数经营风险最终都会产生财务后果,从而可能导致重大错报风险
B.注册会计师在评估重大错报风险时,没有责任识别或评估对财务报表没有重大影响的经营风险
C.经营风险通常不会对财务报表层次重大错报风险产生直接影响
D.经营风险可能对认定层次重大错报风险产生直接影响
【答案】C
【解析】选项C错误,经营风险可能对各类交易、账户余额和披露的认定层次重大错报风险或财务报表层次重大错报风险产生直接影响。
(六)被审计单位财务业绩的衡量和评价
【提示】注册会计师了解被审计单位的业绩衡量和评价,是为了考虑管理层是否面临实现某些关键财务业绩指标的压力(舞弊风险)。
①关键业绩指标(财务的或非财务的)、关键比率、趋势和经营统计数据
②同期财务业绩比较分析
③预算、预测、差异分析、分部信息与分部、部门或其他不同层次的业绩报告
④员工业绩考核与激励性报酬政策
⑤被审计单位与竞争对手的业绩比较
此外,外部机构也会衡量和评价被审计单位的财务业绩,如分析师的报告和信用评级机构的报告。
内部财务业绩衡量可能显示被审计单位与同行业其他单位相比具有异常过快的增长率或盈利水平,此类信息如果与业绩奖金或激励性报酬等因素结合起来考虑,可能显示管理层编制报表时存在某种倾向的错报风险。
(七)了解被审计单位的内部控制(重点)
1.内部控制的含义
内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计与执行的政策及程序。
(1)审计的目标是对财务报表是否不存在重大错报发表审计意见,并非对被审计单位内部控制的有效性发表意见。
①重要性;
③被审计单位的规模;
④被审计单位业务的性质,包括组织结构和所有权特征;
⑤被审计单位经营的多样性和复杂性;
⑥适用的法律法规;
⑦内部控制的情况和适用的要素;
⑧作为内部控制组成部分的系统(包括使用服务机构)的性质和复杂性;
⑨一项特定控制(单独或连同其他控制)是否以及如何防止或发现并纠正重大错报。
【提示】这一考点目前还没有考过,但是有潜在可考性,适当了解。
3.对内部控制了解的深度(非常重要)
(1)含义
对内部控制了解的深度,是指在了解被审计单位及其环境时对内部控制了解的程度。包括评价控制的设计,并确定其是否得到执行,但不包括对控制是否得到一贯执行的测试。
【提示】评价控制的设计,考虑的是该控制单独或连同其他控制是否能够有效防止(事前拦住)或发现(事后发现)并纠正重大错报。
(2)审计程序
询问、观察、检查、穿行测试
【提示】
①“重新执行”是控制测试的程序,不要搞混!
②了解内部控制是必要程序。
③询问本身不足以评价控制的设计以及确定其是否得到执行,注册会计师应当将询问与其他风险评估程序结合使用。
④“对控制是否得到一贯执行的测试”指的是控制测试。
(3)了解内部控制与测试控制运行有效性的关系
了解内部控制
控制测试
目的
①设计合理吗?——理论上能不能提前拦住或事后发现错报
②得到执行了吗?——有没有按要求去做
评价内部控制有效吗?——内部控制做得怎么样(从事实上判断内部控制到底有没有起作用)
关系
除非存在某些可以使控制得到一贯运行的自动化控制,否则注册会计师对控制的了解并不足以测试控制运行的有效性。
由于信息技术处理流程的内在一贯性,实施审计程序确定某项自动控制能否得到执行,也可能实现对控制运行有效性测试的目标,这取决于注册会计师对控制的评估和测试。
例如,获取某一人工控制在某一时点得到执行的审计证据,并不能证明该控制在所审计期间内的其他时点也有效运行。
A.注册会计师在了解被审计单位内部控制时,应当确定其是否得到一贯执行
B.注册会计师不需要了解被审计单位所有的内部控制
C.注册会计师对内部控制的了解通常不足以测试控制运行的有效性
D.注册会计师询问被审计单位人员不足以评价内部控制设计的有效性
【答案】BCD
【解析】对内部控制了解的深度包括评价控制的设计,并确定其是否得到执行,但不包括对控制是否得到一贯执行的测试,选项A错误。
选项C中,“通常”两个字非常精确。
4.内部控制的人工和自动化成分
(1)信息技术控制
优势
风险
①在处理大量的交易或数据时,一贯运用事先确定的业务规则,并进行复杂运算
②提高信息的及时性、可获得性及准确性
③促进对信息的深入分析
④提高对被审计单位的经营业绩及其政策和程序执行情况进行监督的能力
⑤降低控制被规避的风险
⑥通过对应用程序系统、数据库系统和操作系统执行安全控制,提高不兼容职务分离的有效性
①所依赖的系统或程序不能正确处理数据,或处理了不正确的数据,或两种情况并存
③信息技术人员可能获得超越其职责范围的数据访问权限,因此,破坏了系统应有的职责分工
⑥未能对系统或程序作出必要的修改
⑦不恰当的人为干预
⑧可能丢失数据或不能访问所需要的数据
(2)人工控制
适用范围
①存在大额、异常或偶发的交易
②存在难以界定、预计或预测的错误的情况
③针对变化的情况,需要对现有的自动化控制进行人工干预
④监督自动化控制的有效性
不适用范围
①存在大量或重复发生的交易
②事先可预计或预测的错误能够通过自动化控制参数得以防止或发现并纠正
③用特定方法实施控制的控制活动可得到适当设计和自动化处理
人工控制的风险
①人工控制可能更容易被规避、忽视或凌驾
②人工控制可能不具有一贯性
③人工控制可能更容易产生简单错误或失误
5.内部控制的局限性
内部控制无论如何有效,都只能为被审计单位实现财务报告目标提供合理保证。
内部控制的固有局限性原因
主要原因
①在决策时人为判断可能出现错误和因人为失误而导致内部控制失效
②控制可能由于两个或更多的人员串通或管理层不当地凌驾于内部控制之上而被规避
其他原因
①人员素质不适应岗位要求
②成本效益考虑:当实施某项控制成本大于控制效果而发生损失时,就没有必要设置该控制环节或控制措施
③不经常发生或未预计到的业务:内部控制一般都是针对经常而重复发生的业务设置的,如果出现不经常发生或未预计到的业务,原有控制就可能不适用
【理解】正是因为内部控制存在局限性,所以注册会计师不能仅依赖内部控制获取充分适当的审计证据,必须包括实质性程序。
6.内部控制五要素(重点)
接下来的几个内容就是注册会计师分别从五个要素层面去了解被审计单位的内部控制:
注册会计师应当了解控制环境。实际上,在审计业务承接阶段,注册会计师就需要对控制环境作出初步了解和评价。
说明(了解)
对诚信和道德价值观念的沟通与落实
对行为规范的沟通和落实
对胜任能力的重视
治理层的参与程度
治理层的健全、独立、经验、品德等
管理层的理念和经营风格
——
组织结构及职权与责任的分配
人力资源政策和实务
招聘、培训、考核、咨询、晋升、薪酬等
注册会计师应当对控制环境的构成要素获取足够的了解,并考虑内部控制的实质及其综合效果,以了解管理层和治理层对内部控制及其重要性的态度、认识以及所采用的措施。
控制环境对重大错报风险的评估具有广泛影响,注册会计师应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的基础。
虽然令人满意的控制环境并不能绝对防止舞弊,但却有助于降低发生舞弊的风险。有效的控制环境还能为注册会计师相信在以前年度和期中所测试的控制将继续有效运行提供一定基础。相反,控制环境中存在的弱点可能削弱控制的有效性。例如,注册会计师在进行风险评估时,如果认为被审计单位控制环境薄弱,则很难认定某一流程的控制是有效的。
控制环境本身并不能防止或发现并纠正各类交易、账户余额和披露认定层次的重大错报,注册会计师在评估重大错报风险时,应当将控制环境连同其他内部控制要素产生的影响一并考虑。例如,将控制环境和对控制的监督以及具体的控制活动一并考虑。
【例题5·单选·2012年】下列有关控制环境的说法中,错误的是()。
A.控制环境本身能防止或发现并纠正认定层次的重大错报
B.控制环境的好坏影响注册会计师对财务报表层次重大错报风险的评估
C.控制环境影响被审计单位内部生成的审计证据的可信赖程度
【答案】A
【解析】选项A说法错误,控制环境本身并不能防止或发现并纠正各类交易、账户余额和披露认定层次的重大错报,注册会计师在评估重大错报风险时,应当将控制环境连同其他内部控制要素产生的影响一并考虑。
(2)被审计单位的风险评估过程
注册会计师可以通过了解被审计单位及其环境的其他方面信息,评价被审计单位风险评估过程的有效性。
【提示】曾经考过一次客观题,非重要考点,根据上图梳理清楚逻辑即可。
(3)信息系统与沟通
自动化程序和控制可能降低了发生无意错误的风险,但是并没有消除个人凌驾于控制之上的风险,如某些高级管理人员可能篡改自动过入总分类账和财务报告系统的数据金额。当被审计单位运用信息技术进行数据的传递时,发生篡改可能不会留下痕迹或证据。
(4)控制活动(重点)
控制活动
业绩评价
①被审计单位分析评价实际业绩与预算(或预测、前期业绩)的差异
②综合分析财务数据与经营数据的内在关系
④评价职能部门、分支机构或项目活动的业绩等
信息处理
一般控制
应用控制
实物控制
①对资产和记录采取适当的安全保护措施(安全保护)
③定期盘点并将盘点记录与会计记录核对(定期盘点)
职责分离
注意事项
在了解控制活动时,注册会计师应当重点考虑一项控制活动单独或连同其他控制活动,是否能够以及如何防止或发现并纠正各类交易、账户余额和披露存在的重大错报。
(5)对控制的监督
①持续的监督活动通常贯穿于被审计单位日常重复的活动中,包括常规管理和监督工作。
②单独的评价活动是由内部审计人员或具有类似职能的人员(如外部审计)对内部控制的设计和执行进行的,以找出内部控制的优点和不足,并提出改进建议。
举例:管理层对是否定期编制银行存款余额调节表进行复核;内部审计人员评价销售人员是否遵守公司关于销售合同条款的政策;法律部门定期监控公司的道德规范和商务行为准则是否得以遵守。
【例题6·单选·2017年】下列各项中,属于对控制的监督的是()。
B.职权与责任的分配
C.业绩评价
D.内审部门定期评估控制的有效性
【答案】D
【解析】选项AC都是属于控制活动的内容,选项B属于控制环境,只有选项D属于对控制的监督。
7.在整体层面和业务流程层面了解内部控制
在实务中,注册会计师应当从被审计单位整体层面和业务流程层面分别了解和评价被审计单位的内部控制。
(1)整体层面与业务流程层面的控制的内容
层面
要点
整体层面
②对控制的监督
③考虑舞弊和管理层凌驾于内部控制之上的风险
④信息系统的一般控制
⑤财务报告流程的控制
业务流程层面
②信息系统的应用控制
③控制活动
预防性控制(事前控制,提前防止出错)
检查性控制(事后控制,事后发现错误)
(2)业务流程层面了解内部控制
①确定重要业务流程和重要交易类别(了解)
②了解重要交易类别,并进行记录(了解)
③确定可能发生错报的环节(了解)
通常将业务流程中的控制分为预防性控制和检查性控制。
概念
举例
预防性控制
预防性控制通常用于正常业务流程的每一项交易,以防止错报的发生(事前预防)
①计算机程序自动生成收货报告,同时也更新采购档案
②在更新采购档案之前必须先有收货报告
③销货发票上的价格根据价格清单上的信息确定
④计算机将各凭证上的账户号码与会计科目表对比,然后进行一系列的逻辑测试
检查性控制
检查性控制的目的是发现流程中可能发生的错报(事后检查)
①定期编制银行存款余额调节表,跟踪调查挂账的项目
②将预算与实际费用间的差异列入计算机编制的报告中并由部门经理复核
③计算机每天比较运出货物的数量和开票数量
④每季度复核应收账款贷方余额并找出原因
【提示】预防性控制和检查性控制考频非常高,但是不用记忆上述表格,通过做真题掌握规律即可。
执行穿行测试的目的:
①确认对业务流程的了解;
③确认所获取的有关流程中的预防性控制和检查性控制信息的准确性;
④评估控制设计的有效性;
⑤确认控制是否得到执行;
⑥确认之前所做的书面记录的准确性。
【记忆面包】通过了解(流程、交易、控制)→评价控制(控制设计的合理性、是否得到执行)
需要注意的是,如果不打算信赖控制,注册会计师仍需要执行穿行测试以确认以前对业务流程及可能发生错报环节了解的准确性和完整性。
⑥初步评价和风险评估(了解)
⑦对财务报告流程的了解(了解)
【例题6·单选·2017年】下列各项中,属于预防性控制的是()。
A.财务主管定期盘点现金和有价证券
B.管理层分析评价实际业绩与预算的差异,并针对超过规定金额的差异调查原因
C.董事会复核并批准由管理层编制的财务报表
D.由不同的员工负责职工薪酬档案的维护和职工薪酬的计算
【解析】选项ABC属于检查性控制。
「考点4」评估重大错报风险(★★★)
(一)评估财务报表层次和认定层次的重大错报风险
1.评估重大错报风险的审计程序
④考虑发生错报的可能性(包括发生多项错报的可能性),以及潜在错报的重大程度是否足以导致重大错报。
2.识别两个层次的重大错报风险(重点)
财务报表层次
①可能导致注册会计师对被审计单位的持续经营能力产生重大疑虑的事项,包括:在经济不稳定的国家和地区开展业务、资产的流动性出现问题、重要客户流失、融资能力受到限制等
②管理层缺乏诚信或承受异常的压力可能引发舞弊风险
③财务报表层次的重大错报风险很可能源于薄弱的控制环境,包括:被审计单位治理层、管理层对内部控制的重要性缺乏认识,没有建立必要的制度和程序;或管理层经营理念偏于激进,又缺乏实现激进目标的人力资源等
认定层次重大错报风险
被审计单位存在复杂的联营或合营(长投的认定可能存在重大错报风险)
被审计单位存在重大的关联方交易(关联方及关联方交易的披露认定可能存在重大错报风险)
控制对评估认定层次重大错报风险的影响
(总结一句话:考虑控制对风险的影响)
注册会计师应当将所了解的控制与特定认定相联系,以评估重大错报风险
控制有助于防止或发现并纠正认定层次的重大错报。在评估重大错报发生的可能性时,除了考虑可能的风险外,还要考虑控制对风险的抵销和遏制作用。有效的控制会减少错报发生的可能性,而控制不当或缺乏控制,错报就会有可能变成现实
【提示】考生在区分报表层次和认定层次的重大错报时,最好采用排除法,一般认定层次风险是很好识别的。
【例题7·多选·2019年】下列情形中,通常表明可能存在财务报表层次重大错报风险的有()。
A.被审计单位财务人员不熟悉会计准则
B.被审计单位频繁更换财务负责人
C.被审计单位内部控制环境薄弱
D.被审计单位投资了多家联营企业
【答案】ABC
【解析】选项D错误,被审计单位存在复杂的联营或合资,这一事项表明长期股权投资账户的认定可能存在重大错报风险。
3.评估重大错报风险时考虑的因素
①原因(性质):已识别的风险是什么原因导致的?
例如:更换赊销审批人员。
②规模(金额):错报一旦发生,规模多大?
例如,新的审批人员共审批了100万元赊销业务。
③可能性:风险事件发生的可能性有多大?
例如,客户偿债能力很强。
4.考虑财务报表的可审计性
如果通过对内部控制的了解发现下列情况,并对财务报表局部或整体的可审计性产生疑问。
产生疑问的情形
应对措施
①被审计单位会计记录的状况和可靠性存在重大问题,不能获取充分、适当的审计证据以发表无保留意见;
②对管理层的诚信存在严重疑虑。
①注册会计师应当考虑出具保留意见或无法表示意见的审计报告:
②必要时,注册会计师应当考虑解除业务约定。
【例题8·单选·2019年】下列情形中,通常可能导致注册会计师对财务报表整体的可审计性产生疑问的是()。
A注册会计师对管理层的诚信存在重大疑虑
B.注册会计师对被审计单位的持续经营能力产生重大疑虑
D.注册会计师识别出被审计单位严重违反税收法规的行为
【解析】如果通过对内部控制的了解发现下列情况,并对财务报表局部或整体的可审计性产生疑问:①被审计单位会计记录的状况和可靠性存在重大问题,不能获取充分、适当的审计证据以发表无保留意见;②对管理层的诚信存在严重疑虑(选项A正确)。
(二)需要特别考虑的重大错报风险
1.特别风险
特别风险,是指注册会计师识别和评估的、根据判断认为需要特别考虑的重大错报风险。
2.确定特别风险时考虑的因素
在判断哪些风险是特别风险时,注册会计师应当至少考虑下列事项∶
①风险是否属于舞弊风险;
③交易的复杂程度;
④风险是否涉及重大的关联方交易;
⑤财务信息计量的主观程度,特别是计量结果是否具有高度不确定性;
⑥风险是否涉及异常或超出正常经营过程的重大交易。
【关联贴纸】
三种确定的特别风险:舞弊风险;管理层凌驾于内部控制之上的风险(也是舞弊之一);超出正常经营过程的重大关联方交易。
特别风险通常与重大的非常规交易和判断事项有关。日常的、不复杂的、经正规处理的交易不太可能产生特别风险。
非常规交易特征
重大判断事项
①管理层更多地干预会计处理
②数据收集和处理进行更多的人工干预
③复杂的计算或会计处理方法
④非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制
①对涉及会计估计、收入确认等方面的会计原则存在不同的理解
②所要求的判断可能是主观和复杂的,或需要对未来事项作出假设
【例题9·单选·2018年】下列各项中,注册会计师在确定某项重大错报风险是否为特别风险时,通常无需考虑的是()。
A.风险是否涉及重大的关联方交易
B.交易的复杂程度
C.被审计单位财务人员的胜任能力
D.财务信息计量的主观程度
(三)仅通过实质性程序无法应对的重大错报风险
作为风险评估的一部分,如果认为仅通过实质性程序获取的审计证据无法应对认定层次的重大错报风险,注册会计师应当评价被审计单位针对这些风险设计的控制,并确认执行的情况(必须执行控制测试)。
(四)对风险评估的修正
评估重大错报风险与了解被审计单位及其环境一样,也是一个连续和动态地收集、更新与分析信息的过程,贯穿于整个审计过程的始终。