1-2-审计风险评估与应对

《1-2-审计风险评估与应对》由会员分享，可在线阅读，更多相关《1-2-审计风险评估与应对（104页珍藏版）》请在装配图网上搜索。

1、,,,,,,,,,,,,,,,,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,‹#›,刘爱松,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2016/3/20,2007-11-2,刘爱松,‹#›,,,,,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2016/3/20,,‹#›,1,1,1-2,审计风险评估与应对,涉及准则：,1121,号准则,——,了解被审计单位及其环境并评估重大错报风险,1201,号准则,——,计划审计工作,1231,号准则,——,针对评估的重大错报风险实施的程

2、序,刘爱松,目录,1/2,风险导向审计的含义,风险评估,2.1,了解被审计单位及其环境,2.2,了解被审计单位的内部控制,2.2.1,内部控制的概念,2.2.2,内部控制的发展历史,2.2.3,内部控制的要素,2.3,评估重大错报风险,2,2,目录,2/2,审计风险的,应对,3.1,报表层次风险的应对,3.2,认定层次风险的应对,了解,被审计单位情况：另一种思路,（阅读材料）,,3,4,4,风险导向审计,风险导向审计（,risk-oriented auditing,）：即审计的执行以风险评估为基础，审计师将注意力集中于最可能出现错报和舞弊的领域。,风险导向审计的思路可以用下图表示,：,5,5,

3、新客户的接纳和老客户的续聘,制定审计计划,终结审计出具审计报告,评估风险,,,,了解被审计,单位的情况,评价内部,控制制度,执行初步,分析程序,收集,和评价审计,证据,,,,收入,循环,支出,循环,生产,循环,筹资投,资循环,工资,循环,,6,6,了解被审计单位及其环境的重要性,了解被审计单位及其环境是必要程序，特别是为注册会计师在下列关键环节作出职业判断提供重要基础：,（一）确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；,（二）考虑会计政策的选择和运用是否恰当，以及财务报表的列报（包括披露，下同）是否适当；,7,7,（三）识别需要特别考虑的领域，包括关联方交易、管理

4、层运用持续经营假设的合理性，或交易是否具有合理的商业目的等；,（四）确定在实施分析程序时所使用的预期值；,（五）设计和实施进一步审计程序，以将审计风险降至可接受的低水平；,（六）评价所获取审计证据的充分性和适当性。,8,8,概括起来，了解被审计单位的环境及其环境，其目的就是为了确定重要性和审计风险水平，进而作出审计决策，以获得充分适当的审计证据，以实现审计目标。,审计决策包括：采取什么样的取证方法？选取多大的样本？如何选择样本？何时取证？,9,9,如何获得所需的信息？,注册会计师应当实施下列风险评估程序以了解被审计单位及其环境（,p.57-59,）：,（一）询问被审计单位管理层和内部其他相关人

5、员；,（二）分析程序；,（三）观察和检查。,从被审计单位外部获取相关信息。,10,10,应了解的内容（,p.59,）,（一）行业状况、法律环境与监管环境以及其他外部因素；,（二）被审计单位的性质；,（三）被审计单位对会计政策的选择和运用；,（四）被审计单位的目标、战略以及相关经营风险；,11,11,（五）被审计单位财务业绩的衡量和评价；,（六）被审计单位的内部控制。,如何了解被审计单位及其环境，,Arens,等的第,15,版审计教材第八章给出了下面的图，具体在,p.214-218,。,了解被审计单位及其环境,12,,内部控制举例,13,13,雇员,A,财物的,保管,雇员,B,独立的,记录,雇员

6、,C,雇员,C,定期盘点,A,保管的财物并与,B,的记录核对,图,2,：职责分离示意图,【Question】,试从该图,说明职责分离有何作用？,往,29,页,14,14,内部控制是被审计单位为了,合理保证财务报告的可靠性,、,经营的效率和效果,以及,对法律法规的遵守,，由治理层、管理层和其他人员设计和执行的,政策和程序,（,1211,号准则第,46,条）。这实际上是,COSO,定义的内部控制。,内部控制制度的概念,,15,15,COSO,与内部控制研究,COSO:,C,ommittee,o,f,S,ponsoring,O,rganiz-ations,。上世纪,70,年代末,80,年代初，美国很

7、多公司因通货膨胀而倒闭，与此相伴随的是公司做假账，注册会计师未能尽到责任。美国国会试图通过立法来规范会计与审计行为，但未能成功。于是成立了一个,National Commission on Fraudulent Financial Reporting,（虚假财务报告全国委员会）对虚假财务报告进行研究。该委员,16,16,会由美国五个会计职业团体提供赞助，它们是,IIA,（内部审计协会）、,AICPA,（美国注册会计师协会、总会计师协会（,FEI,）、美国会计学会（,AAA,）以及管理会计师协,IMA,）。,1987,年，,COSO,发布了第一份虚假财务报告研究报告，指出了内部控制对预防财务造假

8、的重要性，并呼吁经理层报告其内部控制系统的有效性。报告还指出良好的内部控制环境、道德行为规范、尽职且有胜任能力的审计委员会和强健的内部审计是良好内部控制的关键构成要素。,17,17,1992,年,9,月，,COSO,发布了名为,《,内部控制,——,整体框架,》,的研究报告（通常称为,COSO,报告），对内部控制进行了定义并提出了对内部控制进行评价的方法和程序。,2000,年，,COSO,发布了一份名为,《,企业风险模型,》,的研究报告的初稿，对,1992,年的研究报告进行了扩展。,资料来源：,Robert Moeller, 2004. Sarbance-Oxley and the New In

9、ternal Auditing Rules, pp.123-124,。,18,2006,年，,COSO,发布,《,财务报告控制,——,小型公共公司指南,》,；,2009,年，发布,《,监督内部控制指南,》,；,2013,年，发布修订版,《,内部控制,——,整体框架,》,；,此外，,COSO,还分别于,1987,、,1999,和,2010,年组织了对虚假财务报告的研究。,18,19,COSO,系列研究报告,19,,20,20,内部控制包括下列要素：（一）控制环境（二）风险评估过程（三）信息与沟通（四）控制活动（五）监督活动。,以下是内部控制要素图。,内部控制制度的要素（,p.60,）,21,新框

10、架中的内控要素图,21,从上图可以看到，内部控制有三个目标，五个要素，并在各个层次存在，即内部控制应该是无处不在的。,2013,年,COSO,修订的,《,内部控制整体框架,》,将五个要素进一步细化为十七条原则。,22,23,23,控制环境,控制环境：控制环境是对企业内部控制的建立和实施有重大影响（增强或削弱）的因素的总称。是内部控制的基础。,控制环境包括如下方面：,（一）对诚信和道德价值观念的沟通与落实：通常决定于“顶层的基调” ；员工的行为动机（不切实际的目标，过于严厉的惩罚制度；职责划分；内部审计）,,24,24,（二）对胜任能力的重视：岗位的配备、培训、检查和补救措施。,（三）治理层的参

11、与程度：董事会、审计委员会的独立性、胜任能力与工作作风（是否尽职）。,（四）管理层的理念和经营风格。,（五）组织结构：组织实际上就是人员配置方式，就是如何通过人员的分工与合作达到组织的目标。“三权分立”制度与美国的伊拉克政策。,控制环境的五条具体原则,25,26,26,风险评估过程,影响企业达到其目标的因素就是风险。,风险评估的三个步骤：,评估风险的严重程度；,估计风险发生的可能性；,考虑应采取哪些措施管理风险。,风险评估的四条原则,27,28,28,控制活动,是指那些确保风险控制措施得到执行的政策和程序。一般包括如下方面：,业绩评价：将实际情况与标准进行比较，发现异常情况及时采取纠正措施；,

12、授权批准：一般授权与特殊授权；,信息处理（充分的记录）：保证信息安全；,29,29,实物控制：实物包括固定资产、存货、现金和有价证券等。实物财产的保管制度、实物盘点；,独立稽核：即监督有关措施是否得到执行；,职责分离（如,图,2,）：不相容职务分离的目的在于降低错误或舞弊行为的发生。,控制活动的三条原则,30,31,31,信息与沟通,沟通就是信息的交换。信息系统与信息沟通是两个不同的要素。,COSO,为了使内部控制的内容简洁一点，将二者合并在一起。,信息系统：信息系统可以是正式的，也可以是非正式的；既有对内部的，也有对外部的。,信息的质量：高质量的信息是内部控制有效发挥作用的必备条件。,32,

13、32,信息沟通,信息的内部沟通：沟通的渠道要畅通，信息沟通是双向的，包括自上而下的沟通和自下而上的沟通；正式的沟通和非正式的沟通；通过正常渠道进行的沟通与秘密的沟通等。,33,33,沟通的方式,对外的沟通（与供应商、客户的沟通）：也是双向的。对外的沟通不只是公关性质的（宣传自己），而且信息要是外部利益相关者所需要的真实的信息（否则就无异于做假账了）。,沟通的方式：网站、布告、演讲、录像、手册等多种方式。,信息与沟通的三条原则,34,35,35,监督活动,监督：企业采取的用来保证内部控制措施有效运行的程序。内部审计即是一例。,要对内部控制的有效性进行持续的评价，及时对内部控制进行调整，使其适应变

14、化了的环境，从而保持其有效性。,内部控制的评价步骤：了解内部控制的设计→辨认采取的内部控制措施→测试内部控制的有效性→得出结论。与内部控制的测评是一致的。,监督活动的两条原则,36,如何判断内部控制是否有效？,有效性的定义：合理保证达到组织的目标。具体包括,如下,方面：,内控五要素及其原则存在且发挥,作用,五个要素有机关联，共同发挥,作用,37,38,38,了解内部控制的目的,从报表审计的角度来看,，若内部,控制有效，意味着企业能够合理保证达到其报告目标，即按照有关的规则、规定和准则以及企业内部的报告要求编制各种报告，这意味着,会计报表按照,会计准则的,要求进行编制的可能性比较高。反之，报表出

15、现重大错报的可能性比较高。,对内部控制的评价提供的是环境证据。,,39,审计风险,审计风险是指会计报表存在,重大错报,或,漏报,，而审计人员审计后发表不恰当审计意见的可能性。,从审计目标的角度进行理解：报表审计是为了评价会计报表是否符合会计准则。报表与准则不一致即为错报（和漏报），如果有重大的错报,（和漏报）,，而,CPA,没发现从而发表了错误的意见，就是审计风险。,这说明，审计风险之所以发生，首先要存在错报（和漏报），如果没有错报（和漏报），则不存在审计风险。,错,报（和漏报）存在的可能称为固有风险（,Inherent risk,）。,审计,风险总是与重要性联系在一起的。重要性的概念将在后面

16、介绍，但这里可以举一些例子加以说明,。,40,41,重大错报审计风险与检查风险,42,审计风险的两个层次,两个层次的重大错报风险：财务报表层次的重大错报审计风险和认定层次的重大审计风险。,认定层次的重大错报风险：固有风险和控制风险。,43,新审计风险模型,新准则的审计风险模型,审计风险,=,重大错报风险,×,检查风险,其中，重大错报风险是指财务报表在审计前存在重大错报的可能性。。,检查风险是指某一认定存在错报，该错报单独或连同其他错报是重大的，但注册会计师未能发现这种错报的可能性。,44,旧审计风险模型,审计风险,=,固有风险,×,控制风险,×,检查风险,固有风险（,Inherent Risk

17、),：假设有关被审计项目的内部控制制度完全不存在的情况下，该项目发生差错的可能性,(IR),；注册会计师不能控制，但要进行估计。,控制风险,(Control Risk),：某项目发生差错的情况下，未被相关内部控制制度发现的可能性,(CR),；注册会计师不能控制，但要合理进行估计。,45,检查风险,(Detection Risk),：发生差错，未被内部控制制度发现，又未被审计人员发现的可能性,(DR),。是审计风险模型三要素中唯一能为注册会计师控制的。,原风险模型在认定层次仍然适用。,2013,年注师考试审计教材,p.110,46,47,审计风险模型示意图,48,新审计风险模型的提出可能由于以下

18、原因：固有风险和控制风险的评估无法区分。,Mark E. Haskins,，,Mark W. Dirsmith. Control and Inherent Risk Assessment in Client Engagements: An Examination of Their Interdependencies. Journal of Accounting and Public Policy,，,1993,（,14,）：,63~83,检查风险与重大错报风险的关系,49,50,识别和评估重大错报风险的审计程序,1211,号审计准则第九十六条,注册会计师应当识别和评估财务报表层次以及各类交易、

19、账户余额、列报认定层次的重大错报风险。,在识别和评估重大错报风险时，注册会计师应当实施下列审计程序：,（一）在了解被审计单位及其环境的整个过程中识别风险，并考虑各类交易、账户余额、列报；,51,识别和评估重大错报风险的审计程序,（二）将识别的风险与,认定层次,可能发生错报的领域相联系；,（三）考虑识别的风险是否重大；,（四）考虑识别的风险导致财务报表发生重大错报的可能性。,52,可能表明被审计单位存在重大错报风险的事项和情况（,28,种情况）,1211,号审计准则第九十八条,注册会计师应当关注下列事项和情况可能表明被审计单位存在重大错报风险：（一）在经济不稳定的国家或地区开展业务；（二）在高度

20、波动的市场开展业务；（三）在严厉、复杂的监管环境中开展业务；（四）持续经营和资产流动性出现问题，包括重要客户流失；（五）融资能力受到限制；（六）行业环境发生变化；,53,（七）供应链发生变化；（八）开发新产品或提供新服务，或进入新的业务领域；（九）开辟新的经营场所；（十）发生重大收购、重组或其他非经常性事项；（十一）拟出售分支机构或业务分部；（十二）复杂的联营或合资； （十三）运用表外融资、特殊目的实体以及其他复杂的融资协议；（十四）重大的关联方交易；（十五）缺乏具备胜任能力的会计人员；,54,（十六）关键人员变动；（十七）内部控制薄弱；（十八）信息技术战略与经营战略不协调；（十九）信息技术环

21、境发生变化；（二十）安装新的与财务报告有关的重大信息技术系统；（二十一）经营活动或财务报告受到监管机构的调查；（二十二）以往存在重大错报或本期期末出现重大会计调整；（二十三）发生重大的非常规交易；（二十四）按照管理层特定意图记录的交易；（二十五）应用新颁布的会计准则或相关会计制度；（二十六）会计计量过程复杂；（二十七）事项或交易在计量时存在重大不确定性；（二十八）存在未决诉讼和或有负债。,,55,55,重大错报风险的应对,56,56,风险应对措施,1231,号准则第三条规定：“注册会计师应当针对评估的财务报表层次重大错报风险确定总体应对措施，并针对评估的认定层次重大错报风险设计和实施进一步审计

22、程序，以将审计风险降至可接受的低水平。”,,57,57,报表层次风险的应对（教材没有）,注册会计师应当针对评估的财务报表层次重大错报风险确定下列总体应对措施：,（一）向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性；,（二）分派更有经验或具有特殊技能的审计人员，或利用专家的工作；,（三）提供更多的督导；,58,58,（四）在选择进一步审计程序时，应当注意使某些程序不被管理层预见或事先了解；,（五）对拟实施审计程序的,性质,、,时间,和,范围,（范围就是样本大小和具体的样本项目的选择）,作出总体修改（审计证据决策的四个问题）。,,59,59,认定层次的风险应对（,p.63,）,12

23、31,号审计准则第八条,,注册会计师应当针对评估的认定层次重大错报风险设计和实施进一步审计程序，包括审计程序的,性质、时间和范围,。,进一步审计程序,是指注册会计师针对评估的各类交易、账户余额、列报（包括披露，下同）认定层次重大错报风险实施的审计程序，包括,控制测试,和,实质性程序,。,注册会计师设计和实施的进一步审计程序的性质、时间和范围，应当与评估的认定层次重大错报风险具备明确的对应关系。,60,60,进一步审计程序的,性质,是指进一步审计程序的目的和类型。,进一步审计程序的目的包括通过实施控制测试以确定内部控制运行的有效性，通过实施实质性程序以发现认定层次的重大错报。进一步审计程序的类型

24、包括检查、观察、询问、函证、重新计算、重新执行和分析程序。不同的审计程序应对特定认定错报风险的效力不同。,61,61,注册会计师应当根据认定层次重大错报风险的评估结果选择审计程序。评估的认定层次重大错报风险越高，对通过实质性程序获取的,审计证据的相关性和可靠性,（,即审计证据的质量,）的要求越高。,62,62,测试的时间,注册会计师可以在期中或期末实施控制测试或实质性程序。,当重大错报风险较高时，注册会计师应当考虑在期末或接近期末实施实质性程序；或采用不通知的方式，或在管理层不能预见的时间实施审计程序。,63,63,在期中实施进一步审计程序，可能有助于注册会计师在审计工作初期识别重大事项，并在

25、管理层的协助下及时解决这些事项；或针对这些事项制定有效的实质性方案或综合性方案。,如果在期中实施了进一步审计程序，注册会计师还应当针对剩余期间获取审计证据。,在确定何时实施审计程序时，注册会计师应当考虑下列因素：（一）控制环境；（二）何时能得到相关信息；（三）错报风险的性质；（四）审计证据适用的期间或时点。,64,64,一步审计程序的范围是指实施进一步审计程序的,数量,，包括抽取的样本量，对某项控制活动的观察次数等。在确定审计程序的范围时，注册会计师应当考虑下列因素：（一）确定的重要性水平；（二）评估的重大错报风险；（三）计划获取的保证程度。随着重大错报风险的增加，注册会计师应当考虑扩大审计程

26、序的范围。但是，只有当审计程序本身与特定风险,相关,时，扩大审计程序的范围才是有效的。,65,总结一下：,归根结底，进一步审计程序的性质、时间和范围影响的是审计证据的数量和质量，即审计证据的说服力。正如前面所强调的，审计的基本问题之一是如何做审计，而如何做审计不过是定标准、找证据和下结论的三步骤。但进一步的，找证据又涉及到找多少审计证据（审计证据的数量）和找什么样的审计证据（审计证据的质量）这样的问题，这又取决于审计程序的性质、时间和范围。,它们是一连串纠结在一起无法分开的问题,。,66,66,审计测试与审计风险,审计风险,模型,审计测试,的类型,了解企业的,内部控制,控制测试,(TOC),实

27、质性,交易测试,(STOC),+,+,AAR,= PDR,IR × CR,,,,,67,67,审计测试与审计风险,审计风险,模型,审计测试,的种类,分析程序,(AP),实质性,余额测试,(TDP),充分足够,的审计证据,,GASS,+,=,AAR,= PDR,IR × CR,,,68,68,术语解释,AAR,：,a,cceptable,a,udit,r,isk,（可接受的审计风险）,PDR,：,p,lanned,d,etection,r,isk,（计划的检查风险）,IR,：,i,nherent,r,isk,（固有风险）,CR,：,c,ontrol,r,isk,（控制风险）,69,69,术语解释

28、,控制测试：,T,ests,o,f,c,ontrol,实质性测试：用于直接检验金额的审计程序。具体包括：,分析程序：,A,nalytical,p,rocedures,实质性交易测试：,S,ubstantive,t,ests,o,f,t,ransactions,实质性余额测试：,T,ests,o,f,d,etails of,b,alances,70,70,上图中审计风险与审计测试的关系说明，通过了解被审计单位的内部控制和控制测试，可以评估控制风险。,通过分析程序和实质性余额测试，可以将检查风险控制在可接受的水平。,实质性交易测试既可以用于评估控制风险，也可以用于控制检查风险。,71,教材,p.6

29、4,表,1-3,，了解内部控制与控制测试的比较；,p.66,表,1-4,控制测试与实质性测试（程序）的比较。,任务实践：,p.67-72,，阅读时将其与,1211,号审计准则进行对照，就是将比较抽象的审计准则具体化的过程。,,72,72,了解被审计单位的情况,价值系统分析（,Value System Analysis,）,目的：识别被审计单位在行业中的地位及其与外部有关方面的关系，辨别可能威胁到被审计单位取得成功的因素。,价值链分析（,Value Chain Analysis,）,目的：识别公司为达到目标而从事的活动,73,73,风险分析（,Threat Analysis,）,目的：识别可能影

30、响组织取得成功的威胁和风险。,管理层控制分析,（,Management Control Analysis,）,目的：识别管理层实施的可缓解上述威胁和风险的控制措施,分析对审计的影响,（,Analysis of Audit Implications,）,目的：分析上述风险因素和内部控制对审计计划和审计程序的影响。,74,74,价值系统分析：了解被审计单位在行业中的位置,供应商,1,供应商,2,供应商,3,供应商,,竞争对手,1,被审计单位,竞争对手,2,,买家,1,买家,2,买家,3,买家,4,竞争对手,客户,图,7-3,：被审计单位的行业关系示意图,75,75,价值系统分析的作用：可以将被审计

31、单位所处经营环境中的关键参与者描述出来，便于在审计中考虑这些因素。,被审计单位的会计都与价值系统中要素相联系。例如：销售收入、应收账款、产品销售成本（和相应的存货的减少）、货款的收回、坏账均与和客户（买家）发生的业务相联系；而固定资产（购入）、应付账款、应急负债均与和供应商发生的业务相关。,76,76,这也意味着当与供应商或客户的关系发生问题的时候，相关的账户（科目）也会受到影响。,77,77,价值链分析：了解被审计单位的业务过程和经营活动,主要业务（,Primary activities,）：直接与产品的生产或服务的提供相关的活动，这些业务直接创造价值。,辅助业务（,Support acti

32、vities,）：组织的正常运转少不了，但又不直接创造价值的业务活动。例如，会计工作。,78,78,基础设施（融资活动、租赁业务、套期保值,业务等）,,,,,采购（采购承诺、存货腐烂等对其计量的影,响等）,,,,,人力资源开发（人工费用的分摊、或有债务、期权等）,,,,,研究与开发（软件开发成本的资本化与摊销）,,,,,供应业务,(,存货计量、费用的截止,),生产,(,成本配比与分配,),营销与销售,(,收入的确认、应收款的计量）,配送,(,收入确认、销售退回,),售后服务,(,保修成本、收入确认,),主要业务,辅助业务,M,A,R,G,I,N,79,79,主要业务,供应：获取生产所需的投入物

33、资并对其进行储存和管理。例如，原材料的采购、储存和退货等。,与供应相关的审计问题包括存货的完整性和计量（,valuation,），费用和负债的确认。,80,80,生产：将投入转化成产出（产成品或劳务）的过程。,与生产相关的审计问题包括产成品或劳务成本的核算。,与营销相关的审计问题：收入的确认和应收账款的回收。,与配送相关的审计问题：销售的截止，收入的确认时间，销售退回。,81,81,辅助活动,基础设施：如行政管理、会计核算、公司治理、融资和战略的制定，均属于基础设施，是公司顺利运行的基础条件。这些活动影响大，因此要特别关注。例如，融资、长期租赁合同、并购、投资和套期保值等均有长期而重要的影响，

34、审计时自然不能等闲视之。,82,82,采购：获取供整个企业（而不只是生产部门）使用的材料和其他有形资产。例如，办公用品之类的。与采购相关的审计问题包括采购承诺、采购退回、存货的计量等。,人力资源开发：企业的人力资源管理方式可以透露很多信息，例如，对诚实的商业行为、会计信息的可靠性、产品或服务的质量等都息息相关。与人力资源相关的审计问题包括人工费用的分配等。,83,83,技术开发：包括新产品的研发、应用于主要业务的研发（如自动化生产线）、应用于辅助业务的研发（如决策数据库的研发）。,84,84,风险分析,威胁通常可以从五个方面考虑：供应商、客户、竞争者、替代品和市场新进入者。,竞争者：竞争直接影

35、响到被审计单位的市场，在会计上面影响到收入和成本。,潜在的进入者：高利润高成长的行业通常会有新手的加入。这将影响被审计单位的营销和销售行为。从审计的角度看，这可能影响到存货的计价、生产用固定资产的计价等。,85,85,替代品：例如，电话的兴起导致电报的衰落。影响企业的销售、营销和技术开发等。对审计而言，资产和存货的价值计量问题值得关注。,供应商：例如，咖啡生产商的生产受到咖啡豆生产者的影响。影响供应和采购活动。,客户：影响营销、销售和配送服务。,从更宽广一点的角度看，以上来自各方面的威胁都影响到人力资源开发。,86,86,分析管理层的应对措施,在分析了被审计单位面临的风险后，审计师应当了解被审

36、计单位采取了哪些技术、程序和控制措施来管理和减轻这些风险的影响。管理层通常清楚其所面临的风险，并会采取各种应对措施。对审计师而言，这种应对措施可能会降低相应的审计风险。因此，审计师有必要弄清楚管理层所采取的风险应对措施，以制定合理的审计计划。,87,87,以上所说的风险应对措施实际上就是内部控制。内部控制有三个方面的目标，包括五个要素。,其中，控制措施可以划分为管理层控制（,management controls,）和程序性控制（,process controls,）。管理层控制是指由管理层采取的用以减轻战略风险、改进决策效果并提升经营效率的措施。,程序性控制主要以保证会计信息的可靠性和遵守有

37、关的法律法规为目标。,88,88,管理层控制的目标通常不是针对具体的业务，而在于为确保整个内部控制系统和经营活动顺利运行提供一定的保证，并为企业能及时对各种风险采取应对措施提供一个基础。对于上市公司而言，最常见的管理层控制就是董事会定期举行的会议，或者其下属的审计委员会的活动。,对审计师而言，以下管理层控制需要引起注意：,高层管理者对经营成果进行审阅；,89,89,基层管理者；,将业绩指标与业绩标杆进行比较；,独立的评估程序。,高层管理者的审阅：高管定期浏览经营成果，并与预测或预算进行比较，发现有问题迅速采取跟进措施。这种审阅的频率越高、在洞察力方面越有深度，则面临巨大风险的可能性就越低。因为

38、风险得到了及时的解决。,90,90,基层管理者：基层管理者通常处于发现潜在风险的最佳位置，如果应对得当，可以将问题消灭在萌芽状态。例如，一个负责信贷的主管可能最先识别出威胁到贷款的可收回性的因素。,将业绩指标与标杆指标进行比较：通过这种比较也能及时发现问题；,独立的评估程序：执行评估的人员独立于被评估者。,91,91,当然，管理层控制的有效进行必须以信息的及时提供为前提，并且，这种信息必须相关、可靠。这就是内部控制的另一个要素,——,信息与沟通。,接下来的步骤是分析对审计的影响。整个逻辑如下图所示：,92,92,见下表,93,93,分析对审计的影响,审计分析,,,,,风险,风险来源,可能的影响

39、,相关的管理层控制,对审计的可能影响,识别风险的性质,识别风险的来源,识别风险可能影响的环节,识别能减轻风险的管理层控制,考虑内部控制的作用后，判断风险对审计的影响,94,94,风险、控制和对审计的影响：例子,风险,风险来源,可能的影响,相关的管理层控制,对审计的可能影响,(1),竞争者延长产品保修期,竞争者,售后服务,高管对可能的应对措施进行审阅；市场研究部门发出早期预警；准确及时的保修成本数据,保修服务相关的或有负债应高于历史水平,95,95,风险,风险来源,可能的影响,相关的管理层控制,对审计的可能影响,(2),竞争者大幅提高了关键会计人员和管理者的报酬,竞争者,人力资源开发,高管对人力

40、资源政策进行审阅；公平的招聘、晋升和报酬系统，并能根据市场情况进行调整；准确及时的薪酬成本数据,决策的有效性和信息的可靠性可能下降；（若工资发生变动）人工成本的分配可能需要进行调整；,96,96,风险,风险来源,可能的影响,相关的管理层控制,对审计的可能影响,(3),受恶劣天气的影响，原材料供应商的产品减产严重，导致高端原材料极度短缺,供应商,供应,生产,采购,对长期供货渠道进行及时的监督；及时可靠的投入品成本数据；建立良好的长期供应关系和承诺,废品率可能会上升；采购的计量问题,97,97,风险,风险来源,可能的影响,相关的管理层控制,对审计的可能影响,(4),工人罢工要求提高工资，导致产品生

41、产成本大幅度上升,供应商,供应,人力资源开发,管理层与工人之间良好的互动关系；根据竞争对手的情况对工资进行调整,人工成本的分配可能需要进行调整；人工费用的核算受到影响,98,98,风险,风险来源,可能的影响,相关的管理层控制,对审计的可能影响,(5),客户所在的行业不景气,客户,营销与销售,配送,应收款的直接管理；及时可靠的收款纪录和问题账户记录；将货款呆滞率与同行业进行比较,应收账款的回收可能低于历史水平，可能应增加计提坏账准备,99,99,风险,风险来源,可能的影响,相关的管理层控制,对审计的可能影响,(6),客户的口味发生改变，使得公司必须改进产品的质量和功能,客户,生产,技术开发,营销

42、与销售,市场研究；研发人员总是保持向前看的进取心；客户研究,存货可能会过期或不受欢迎，需要计提减值准备,100,100,风险,风险来源,可能的影响,相关的管理层控制,对审计的可能影响,(7),客户不再喜欢零售配送方式，而喜欢电话订货并送货哦上门,客户,营销与销售,售后服务,配送,采购,技术开发,市场研究；对技术开发进行监督；管理层的创新性思维,现有配送渠道可能需要关闭，并导致重组成本的发生（下岗和资产处置等）；为开发新技术和建立新的配送模式突入巨额资金,101,101,风险,风险来源,可能的影响,相关的管理层控制,对审计的可能影响,(8),关键的产品专利到期，又没有取得新的替代物,市场新进入者

43、,技术开发,营销与销售,人力资源,高管的战略计划；对研发进行直接的管理，培养科学家精神并具有向前看的视野,在相关产品的生产设施上进行的投资可能无法收回；企业有可能要推出相应行业营销与销售,,102,102,风险,风险来源,可能的影响,相关的管理层控制,对审计的可能影响,(9),市场新进入者的技术优于现有的生产技术,市场新进入者,营销与销售,高级市场管理人员对市场走势进行审阅；市场调研；对竞争者的产品进行研究,存货贬值，按照成本与市价孰低规则要计提减值准备,103,103,风险,风险来源,可能的影响,相关的管理层控制,对审计的可能影响,(10),中介公司提供现金账户，客户可以开支票进行支付，从而提供了银行业务的替代品,替代品,经营活动,营销与销售,客户服务,及时可靠的开户和销户数据；能对市场情况作出及时反应的产品开发程序；市场研究,可能要给客户提供更多的服务以留住客户,104,104,复习思考题,何为风险导向审计？,如何评价风险？如何应对风险？,什么是内部控制制度？它包括哪些内容,?,