november1985
审计师应如何评估重大错报风险
重大错报风险是指财务报表在审计前存在重大错漏报,而又不被审计发现的可能性。风险导向审计是当今主流的审计方法,它要求注册会计师评估财务报表重大错报风险,设计和实施进一步审计程序以应对评估的错报风险,根据审计结果出具恰当的审计报告。风险导向审计的目标是对财务报表不存在由于错误或舞弊导致的重大错报或取合理保证。
评估重大错报风险
1识别两个层次的重大错报风险
1.财务报表层次;
2.各类交易、账户余额和披露的认定层次。
2特别风险
特别风险是指注册会计师识别和评估的、根据判断认为需要特别考虑的重大错报风险。
(1)风险是否属于舞弊风险;
(2)风险是否与近期经济环境、会计处理方法或其他方面的重大变化相关,需要特别关注;
(3)交易的复杂程度;
(4)风险是否涉及重大的关联方交易;
(5)财务信息计量的主观程度,特别是计量结果是否具有高度不确定性;
(6)风险是否涉及异常或超出正常经营过程的重大交易。
3无法应对的重大错报风险
这些风险可能与对日常和重大类别的交易或账户余额作出的不准确或不完整的记录相关,对这些交易或账户余额通常可以采用高度自动化处理,不存在或存在很少人工干预。在这种情况下,被审计单位针对这类风险建立的控制与审计相关,注册会计师应当了解这些控制。
重大错报风险应对
会计师应当针对评估的重大错报风险实施程序,即针对评估的财务报表层次重大错报风险确定总体应对措施,并针对评估的认定层次重大错报风险设计和实施进一步审计程序,以将审计风险降至可接受的水平。
1财务报表层次应对措施
(1)向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性;
(2)分派更有经验或具有特殊技能的审计人员,或利用专家的工作;
(3)提供更多的督导;
(4)在选择进一步审计程序时,应当注意使某些程序不被管理层预见或事先了解;
(5)对拟实施审计程序的性质、时间和范围作出总体修改。
2 认定层次的进一步审计程序
进一步审计程序是指针对评估的各类交易、账户余额和披露认定层次重大错报风险实施的审计程序,包括控制测试和实质性程序。在设计进一步审计程序时应当考虑风险的重要性、发生重大错报的可能性、涉及的各类交易、账户余额和披露的特征、被审单位采用的特定控制的性质及注册会计师是否拟获取审计证据及确定内部控制在防止或发生并纠正重大错报方面的有效性。
对评估及应对程序的思考
1可能存在重大错报风险的事项
注册会计师应充分关注可能表明被审单位存在重大错报风险的下述事项和情况,并考虑由于这些事项和情况导致的风险是否重大,以及该风险导致财务报表发生重大错报的可能性:
第一,开展业务方面。在经济不稳定的国家或地区、高度波动的市场、严厉、复杂的监管环境中开展业务;
第二,持续经营和资产流动性方面。包括重要客户流失、行业环境、供应链、信息技术环境发生变化、开发新产品或提供新服务,或进入新的业务领域、开辟新的经营场所、安装新的与财务报告有关的重大信息技术系统;融资能力受到限制、运用表外融资、特殊目的实体以及其他复杂的融资协议、发生重大收购、重组、复杂的联营或合资、拟出售分支机构或业务分部、重大的关联方交易或其他非经常性事项、发生重大的非常规交易;
第三,管理层方面。缺乏具备胜任能力的会计人员、关键人员变动、会计计量过程复杂、应用新颁布的会计准则或相关会计制度;内控薄弱、按照管理层特定意图记录的交易;信息技术战略与经营战略不协调;经营活动或财务报告受到监管机构的调查;以往存在重大错报或本期期末出现重大会计调整、事项或交易在计量时存在重大不确定性、存在未决诉讼和或有负债等等。
2进一步审计程序应考虑的因素
(1)确定的重要性水平。重要性水平越低,进一步审计程序的范围越广。
(2)评估的重大错报风险。评估的重大错报风险越高。对拟获取的审计证据的相关性、可靠性的要求越高,因此进一步审计程序的范围也越广。
(3)计划获取的保证程度。计划获取的保证程度是指计划通过所实施的审计程序对测试结果可靠性获取的信心。计划获取的保证程度越高对测试结果可靠性要求越高,进一步审计程序的范围越广。
案例
一、2011年真题案例资料
资料一:
亚新科技股份有限公司(以下简称亚新公司)注册于海州市(地级市)高新技术开发区,主要从事有线电视端到端互动业务设备及相关系统的研发、生产、系统集成、销售和服务。
亚新公司基本情况摘录如下:
1.亚新公司于2007年完成股份制改造,由有限责任公司改制成为股份有限公司。
2008年至2009年,亚新公司的股权结构没有发生变化,具体情况如下:
2.亚新公司向有线电视运营商提供有线电视端到端互动业务的整体解决方案,其产品涉及有线电视端到端的模拟、数字单向、数字双向、数字互动等各种产品系列。按照亚新公司提出的整体解决方案,有线电视运营商可以实现由基本收视业务模式向互动增值业务模式的转变,并且终端电视用户也可以实现由被动收视模式向主动收视模式的转变,从而有助于将有线电视网络打造成传输质量更好、传输容量更大、普及范围更广、价值含量更高的信息交互传输网络。
3.亚新公司的主要客户是国内外有线电视运营商,2009年度出口销售收入约占其当年营业收入(未审数)的30%,国外客户主要来自西班牙、希腊和瑞典等欧洲国家。
4.亚新公司于2009年1月被国家有关部门认定为高新技术企业,享受海州市高新技术开发区相应的税收优惠。
虎呆呆漫步
对重要性水平的评估是审计人员的一种专业判断。审计人员在确定审计步骤的性质、时间和范围以及评价审计结果时,应当合理运用重要性原则。重要性水平的表现形式是金额额度。 审计人员在确定重要性水平时,应当从金额和性质两个方面综合评估总体及总体各组成部分错弊的严重程度。相同性质的小金额错弊的累计可能会对总体或总体有关组成部分的重要性水平产生影响,审计人员对此应当予以关注。 审计人员在判断重要性水平时应当利用专业知识和经验并考虑下列因素的影响:(一)国家有关法律法规的要求;(二)审计目的;(三)信息使用者的要求;(四)被审计单位的性质和业务规模;(五)被审计单位的内部控制和业务风险水平;(六)财政收支、财务收支的性质、金额、项目间的相互关系以及变动趋势等。 审计机关应当根据本机关及所处环境等实际情况,制定有关确定重要性的判断基础和比率的标准。审计人员应当合理选用重要性水平的判断基础和比率。判断基础通常可以采用预算收入或支出总额、投资总额、资产总额、净资产、费用总额、营业收入总额、净利润等指标。审计机关规定重要性比率的范围,审计人员在对审计项目进行分析判断后,在审计机关规定的范围内确定具体的比率。 审计风险是指被审计单位的财政收支、财务收支存在重大错弊而审计人员没有发现,作出不恰当审计结论的可能性。审计风险由固有风险、控制风险和检查风险构成。 评估审计风险的步骤是:(一)在编制审计实施方案时确定可以接受的审计风险水平;(二)通过对被审计单位的调查了解评估固有风险水平;(三)通过对内部控制的测评评估控制风险水平;(四)利用风险模型计算检查风险水平,并据此确定审计测试的范围和工作量。 固有风险是假设在没有内部控制的情况下,被审计单位的业务和相应的会计处理发生差错的可能性。固有风险与被审计单位的管理及其环境,以及该类会计事项或业务的性质有关。审计人员在评估固有风险时应当考虑下列因素:(一)被审计单位的管理水平,包括管理人员的诚信和能力;(二)管理人员和财会人员的异常变动情况;(三)被审计单位的业务性质;(四)与被审计单位有关的法律法规的调整变化情况;(五)影响被审计单位所在部门或行业的环境因素;(六)会计人员进行会计处理时专业判断的幅度范围;(七)需要利用外部专家工作予以佐证的重要交易事项的复杂程度;(八)是否存在容易损失或被挪用的资产;(九)是否属于容易发生差错的业务领域;(十)在会计期间,特别是临近会计期末时,发生的异常或复杂的会计处理情况;(十一)以前年度审计的结果等。 控制风险是指被审计单位的业务和相应的会计处理发生差错不能被内部控制防止或纠正的可能性。审计人员在对内部控制进行初步测评后,应当对各主要业务和会计领域的控制风险作出初步评估。控制风险与内部控制的健全性和有效性有关。评估控制风险应当考虑下列因素:(一)相关的内部控制是否建立;(二)经济业务以及相关控制手续的执行是否及时和有效;(三)经济业务及各控制环节是否由合格的人员执行;(四)业务活动的记录是否完整;(五)业务处理程序是否独立;(六)关键点控制是否存在;(七)控制目标是否满足;(八)控制系统是否有效地运行,各项控制是否充分发挥作用等。 出现下列情况之一时,审计人员应当将控制风险确定为高风险:(一)被审计单位的内部控制薄弱;(二)审计人员无法对内部控制的有效性作出评价;(三)审计人员不准备进行符合性测试。 检查风险是指审计人员进行实质性测试不能发现被审计单位存在的差错的可能性。检查风险水平与实质性测试的工作量直接相关,可接受的检查风险越低,实质性测试的工作量越大。审计人员应当根据所评估的固有风险和控制风险来确定检查风险,并以此决定实质性测试的数量。 本准则自2004年2月1日起施行。
宝贝baby996
审计重要性水平的确定
确定审计项目的重要性水平,首先要按照国家有关法律法规的要求,其次要符合审计目的,信息使用者的要求,再次要区别被审计单位的性质和业务规模、被审计单位的内部控制和业务风险水平、财政财务收支的性质和金额、收支项目间的相互关系及变动趋势等。
确定审计项目的重要性水平,实际上就是根据被审计单位性质确定基数和比例进行计算的过程,重要性水平是基数和比例的乘积,其表现形式是金额额度。通常可以采取以下数据计算:(1)对于按收付实现制核算的预算单位和非盈利性的事业单位,按收入或支出总额的确定;(2)对于按权责发生制核算的企事业单位,可按资产总额的确定,或者按流动资产或净资产的1%--2%确定,也可按营业收入的确定,还可按净利润的5%--10%确定。
审计风险的评估
审计风险由固有风险、控制风险、检查风险构成。
评估审计风险,首先在编制审计方案时确定可以接受的审计风险水平,一般为5%,也可确定为3%、1%,但不可能为0。其次通过对被审计单位的调查了解评估固有风险水平,在审前调查后,审计人员根据被审计单位领导及财务人员的诚信和能力、财务人员的变动及其素质、业务性质、会计期间(特别是期末)的异常变动和复杂的会计处理、以前年度的审计结果等情况确定评估固有风险水平。实际工作中一般分为高、中、低三个档次,固有风险水平分别为60%、50%、40%,也就是即使在各种情况较好,出现重要错误可能性较小情况下,固有风险的水平也应高于40%,相反只要有某种迹象表明可能存在重大错弊,就应当将固有风险确定为100%。再次通过对内部控制的测评,根据被审计单位相关的内部控制是否建立、经济业务以及相关控制手续的执行是否及时和有效、业务活动的记录是否完整、关键点控制是否存在、控制目标是否满足、控制系统是否有效运行、各项控制是否发挥作用等因素评估控制风险水平。实际工作中一般分为低(内控健全有效)、中(缺少某些控制环节或有少量的控制失效)、高(内控失效)、零(不可依赖)四个档次,控制风险水平分别为20%、50%、80%和100%。应当注意的是,内部控制与内部控制制度不同,内部控制是管理的过程,而内部控制制度则是书面或约定的管理制度。最后利用风险模型计算检查风险水平,检查风险的计算公式为:检查风险=审计风险/(固有风险×控制风险)。
yukisnowfox
信息系统审计师须了解规划、执行及完成审计工作的步骤与技术,并尽量遵守国际信息系统审计与控制协会的一般公认信息系统审计准则、控制目标和其他法律与规定。
包括职业准则、ISACA公告和职业道德规范。职业准则可归类为:审计规章、独立性、职业道德及规范、专业能力、规划、审计工作的执行、报告、期后审计。ISACA公告是信息系统审计与控制协会对信息系统审计一般准则所做的说明。ISACA职业道德及规范提供针对协会会员或信息系统审计认证(Certified Information System Auditor,CISA)持有者有关职业上及个人的指导规范。
信息系统审计与控制协会在1 996年公布的COBIT被国际上公认是最先进、昂权威的安全与信息技术管理和控制的标准,目前已经更新至第3版。它在商业风险、控制霈要和技术问题之间架起了一座桥梁,以满足管理的多方面需要。面向业务是COBIT的主题。它不仅设计用于用户和审计师,而且更重要的是可用于全面指导管理者与业务过程的所有者。商业实践中越来越多地包含了对业务过程所有者的全面授权,因此他们承担着业务过程所有方面的全部责任。特别地,这其中包含着要提供足够的控制。COBIT框架为业务过程所有者提供了一个工具,以方便他们承担责任。其框架包括四大部分:架构、控制目标、审计指南及执行概要。COBIT架构着重各项处理的高层次控制,控制目标则着重于各项IT处理或对该架构所包括的34项IT处理的特定详细控制目标,每一项IT处理都有5~25个详细控制目标,控制目标使整体架构和详细控制目标密切对应,相互一致。详细控制目标有18种主要来源,涵盖现行的及法定有关IT的国际性准则与规定。这包括对各项IT工作所建置的控制程序拟达到的预期结果或目标的叙述,以提供全球所有的产业有关IT控制的明确方针及实际最佳的应用。
每个组织不论规模大小或属于何种产业,都需要遵守政府或外部对与电脑系统运作、控制,及电脑、程序、信息的使用情况等有关的规定或要求,对于一向受严格管制的行业,尤其要注悫遵守。以国际性银行为例,若因不良备份及复原程序而无法提供适当的服务水准,其公司及员工将受严重处罚。此外,由于对EDP及信息系统的依赖性加重,许多国家极力建立更多有关信息系统审计的规定。这些规定内容是关于建置、组织、责任与财务及业务操作审计功能的关联性。有关的管理阶层人员必须考虑与组织目标、计划及与信息服务部门/职能/工作的责任及工作等有关的外部规定或要求。
优质审计师问答知识库
