1、2022-12-9风险基础审计风险基础审计风险基础审计风险基础审计审计方法:风险导向审计概念:风险导向审计是一种有别账项基础审计和制度基础审计的审计模式。它以量化的风险水平为重点,在确定的风险水平基础上,决定实质性测试的程度和范围。所有的实质性测试程序的设计、审计抽样的样本量大小、重要性水平的设定、重要会计科目的确定都是由量化的风险水平来决定的。风险基础审计 审计风险(CRA):是指会计报表存在重大错误或漏报,而注册会计师审计后发表不恰当审计意见的可能性。固有风险(IR):指在不考虑被审计单位相关的内部控制政策或程序的情况下,其会计报表科目的某项认定产生重大错报的可能性。控制风险(CR):是指
2、被审计单位内部控制未能及时防止或发现其会计报表上某项错报或漏报的可能性。风险基础审计CRA(审计风险)=IR(固有风险)*CR(控制风险)CRA(会计科目的审计风险)的评估结果分类:分为四个风险级别:低、较低、中等、高,每一个级别的风险所对应的审计程序和审计抽样的样本量均不一样。风险基础审计审计阶段的划分 审计计划阶段 执行审计阶段 完成审计阶段风险基础审计审计计划阶段 主要工作:1、确定审计目标2、了解客户所在的行业情况、客户的商业模式、客户在行 业中的地位;3、对客户的控制环境做整体评估;4、初步确定审计重要性水平;5、确定重要审计账户(重要会计科目);6、完成审计计划书(audit pl
3、anning memorandum)每一步步骤的结果都会影响下一步骤的工作。风险基础审计1、确定审计目标 主要工作:1、审计类型(IPO or 年审,or 其他审计,准则的适用);2、客户的要求、期望(审计报告的时间要求、是否有内控报告的要求、除审计外是否有要求审阅未审财务资料的要求、其他专项报告的要求);3、根据审计类型、客户要求/期望,结合所里的人力资源情况确定项目小组成员,专家的配备;风险基础审计2、了解客户所在的行业情况、客户的商业模式、客户在行业中的地位;1、对客户所在的行业情况的理解:行业的发展前景、行业景气度、行业存在的主要风险与机遇;2、客户在其所在行业内的地位、市场份额、所面
4、临的主要风险;3、客户的商业模式分析;4、客户的主要供应商与客户的情况分析;5、客户的主要竞争对手分析;最后需要得出客户目前所面临的主要经营风险,以及由此可能影响到的会计报表的科目的风险,从而从整体的方面分析得出可能存在的审计风险。风险基础审计3、对客户的内部控制做初步的整体评估 风险基础审计的在很大程度上依赖于客户的内部控制,因此在审计计划阶段需要对客户的内部控制作出整体的评估:1、管理层的内控意识;2、管理层的经营风格;3、管理层的整体素质的评估(管理层背景);4、组织架构的设置,各项内控制度、规章制度是否健全;由此得出企业整体内部控制是否有效的初步结论,以确定下一步的审计计划风险基础审计
5、4、初步确定重要性水平三个层次的重要性水平:计划重要性水平计划重要性水平(Planning materiality,PM):整体的重要性水平,站在会计报表的整体角度的重要性水平;可容忍误差可容忍误差(Tolerable Error,TE):会计科目角度的重要性水平,为审计调整、审计程序设定的主要标准,所有金额超过TE的审计差异均需要作为调整分录;未调整审计差异未调整审计差异(Summary audit difference,SAD):所有金额超过SAD,但未超过TE的审计差异需列作未调整审计差异,并需要汇总。审计完成后需要将未调整审计差异汇总,若汇总金额超过“可容忍误差”的水平,则需要将部分未
6、调整审计差异改为调整分录过入帐内,以保证未调整审计差异汇总金额不超过“可容忍误差”。风险基础审计4、初步确定重要性水平参照标准的选择:1、税前利润2、收入/毛利3、净资产4、总资产选择标准需要考虑的因素:1、审计报告的使用者的主要关注点;2、如果没有其他特殊要求,税前利润一般作为首选标准,如果企业处于盈亏临界点,则可以考虑其他标准;3、一般需要把所有标准都计算出来,作为选择的参考;风险基础审计4、初步确定重要性水平重要性水平的设定PM:税前利润的税前利润的5%10%;收入的收入的0.5%1%,or 毛利毛利1%2%;净资产的净资产的1%2%;总资产的总资产的0.25%0.5%如果是新客户、上市
7、公司或者是IPO等高风险的项目,重要性水平都要求取上述范围的最低点;如果是多年的老项目,且以前年度审计中出现错报的情况较少,则可以适当提高比例。风险基础审计4、初步确定重要性水平重要性水平的设定TE:TE=50%PM75%PM 一般情况下均设置TE为PM的50%,只有以前年度的经验表明客户的内控是有效的,以前年度的审计调整较少、审计风险较低的情况下,才会设定为75%的PM。重要性水平的设定SAD:SAD=5%的PM,也就是10%的TE。风险基础审计4、初步确定重要性水平设定重要性水平时的其他需考虑因素:1、集团公司审计时的考虑:若只出具一份合并的审计报告,下属单家公司不需要出单独的具审计报告,
8、则重要性水平根据集团的合并数据来计算,集团内所有的公司均共用一个重要性水平;若该集团下属子公司/分支机构非常多,而且在分布在不同的地域,则需要考虑将集团的重要性水平适当降低以分配到各个子公司,分配的时候应考虑每个子公司的规模在合并报表中所占的份额。若集团除了合并的审计报告外,下属单家公司也需要单独的审计报告,则单家公司的重要性水平需根据该公司的报表数据来确定;一般都会远远小于集团的重要性水平。2、重要性水平需按年设定,原因是每年的会计数据都需要披露,若是做3年+1期的审计,则1期的重要性水平也需根据该期的数据来设定 风险基础审计风险基础审计5、确定重要审计账户 把会计报表的科目分为重要账户和非
9、重要账户,所有内控的测试、会计科目审计风险(CRA)的评估,均是针对重要账户而言的,对于非重要账户,审计程序相对简单,一般直接进行实质性测试。确定重要账户需要考虑的因素:1、重要性水平:若账户金额超过或接近TE(可容忍误差),则一般情况下该账户为重要账户;若未认定为重要账户,需要特别解释原因;2、某些单个账户虽然金额较小,但几个性质类似的账户加起来超过TE,则需要考虑是否将改等账户也认定为重要账户;3、某些账户虽然金额较小,但由于其特殊性或交易的频繁性,也需要将其确定为重要账户,如:现金风险基础审计6、完成审计计划书 审计计划书的完成时间:一般在中期审计结束后提交(若没有中期审计,则需要在进场
10、后一段时间完成,视项目大小不同而不同)审计计划书的内容(包括上述计划阶段的所有内容):1、审计业务类型的描述;2、对客户业务的整体阐述,包括行业、商业模式等;3、内部控制整体有效性的初步评估、审计策略的确定(是否依赖内控);4、重要性水平的确定;5、重要帐户的确定;6、对会计报表的分析性复核;7、重要会计、审计问题的分析;8、项目成本预算、项目小组人员分工表、项目时间表;风险基础审计6、完成审计计划书审计计划书的内容:9、重要帐户审计风险(CRA)的评估结果;审计计划书一般是由项目现场负责人完成、由审计经理审核、最终交由项目合伙人批准,是每个审计项目所必须完成的工作,是整个审计计划阶段工作的浓
11、缩,是审计经理、合伙人对项目的复核的主要内容。风险基础审计审计执行阶段1、内部控制测试及重要帐户审计风险评估;2、根据重要帐户审计风险评估的结果设计实质性测试的程序、审计抽样的样本量;3、完成会计报表科目的(重要帐户和非重要帐户)的实质性测试程序;风险基础审计1、内部控制测试及重要帐户审计风险评估内部控制的主要流程分类:1、销售及收款流程;2、采购及付款流程;3、成本及存货核算流程;4、固定资产采购、处置、管理流程;5、人力资源管理流程;6、费用报销流程(销售费用、管理费用);7、银行借款管理流程;8、银行存款、现金管理流程;9、增值税管理流程;10、财务结账管理流程。风险基础审计1、内部控制
12、测试及重要帐户审计风险评估流程所影响到的会计科目及其认定:1、销售及收款流程:应收账款、应收票据、预收账款、银行存款、主营业务收入2、采购及付款流程:存货、应付账款、应付票据、预付账款、银行存款3、成本及存货核算流程:存货、主营业务成本4、固定资产采购、处置、管理流程:固定资产、在建工程、投资性房地产、应付款项、累计折旧、成本费用-折旧、营业外收支5、人力资源管理流程:应付职工薪酬、成本费用-工资、社保及其他人工费用6、费用报销流程:管理费用、销售费用、现金、银行存款风险基础审计1、内部控制测试及重要帐户审计风险评估流程所影响到的会计科目及其认定:7、银行借款管理流程:长期借款、短期借款、应付
13、利息、财务费用8、银行存款、现金管理流程:银行存款、现金、其他货币资金9、增值税管理流程:应交税费-增值税10、财务结账流程:预提费用、预计负责、递延所得税资产/负债、所得税费用、各项准备、摊销对于一个一般的工业企业,以上的这些流程基本上可以涵盖绝大部分重要帐户。风险基础审计1、内部控制测试及重要帐户审计风险评估内控测试的三个步骤:1、通过访谈、查阅客户的内控制度等方式了解各个流程及每个流程内可能存在的控制点,并完成流程描述、流程图(关键在于识别出可能存在的控制点);2、执行穿行测试,取一套具有代表性的样本,最好能贯穿整个流程,涵盖大部分的控制点,进一步证实第一步的了解是否正确、控制点是否真的
14、存在;3、内控测试,对所识别出来的控制点进行测试。风险基础审计1、内部控制测试及重要帐户审计风险评估内部控制的分类:预防性控制(prevent control):控制存在于某项业务事项之前,如各类事前的审核签字,留下的轨迹多是表示该类控制被执行过,但无法判别该等控制是否被有效执行;检查性控制(detect control):控制存在于某项业务事项之后,如各类月度调节表的编制,该类控制所留下的轨迹往往能表明控制曾被有效的执行过。风险基础审计1、内部控制测试及重要帐户审计风险评估内控测试的方法:1、询问:通过访谈了解银行存款调节表的编制流程;2、观察:观察客户如何编制调节表;3、检查内控所留下的轨
15、迹:检查是否每月都有调节表存在;4、重新执行该内部控制:抽查部分调节表,检查其编制结果是否正确。风险基础审计1、内部控制测试及重要帐户审计风险评估内控测试的程度(样本量的确定):指多少样本量的测试才能认为该内控是有效的?主要看该内控的发生频率:日常性的控制:每天发生多次 全年25个样本每天发生一次 全年25个样本每月发生几次 全年12个样本每月发生一次 全年3-6个样本 非日常性的控制:一般根据实际情况来做出判断,由于次数不多,一般都检查大部分风险基础审计1、内部控制测试及重要帐户审计风险评估内控测试的执行时间:从审计的效率上来讲,一般内控测试会被安排在中期审计的时候执行(11月、12月,客户
16、结账之前),因此,存在一个从中期到年底期间的内控是否继续有效的问题:年底审计的时候需要对内控测试所做的补充工作:1、了解、评估控制环境是否发生重大变化;2、通过询问、观察程序来确定内部控制是否发生重大变化;如果中期内控测试所涵盖的期间为1-10月,则如果上述两个程序的结果令人满意,则可以认为内控在全年内有效;如果中期内控测试所涵盖的期间较短,如只有1-6月,则在年底审计的时候需要重新补充一定的样本量来证实内控确实在全年内均为有效的。一风险基础审计1、内部控制测试及重要帐户审计风险评估会计科目审计风险的评估控制风险的评估在内控测试完成后,根据每个流程里的内控测试结果表明该等内控是否有效,来确定该
17、流程所影响到的会计科目的控制风险:内控风险的分类:内控风险的分类:低、中等、高低、中等、高对某流程内所有的内部控制执行了内控测试,且结果为有效该流程所影响到的会计科目的控制风险:低;对某流程内的内部控制执行了内控测试,但结果为无效该流程所影响到的会计科目的控制风险:高;对某流程内的内部控制没有执行内控测试该流程所影响到的会计科目的控制风险:高;对某流程内的内部控制执行了有限的内控测试,且结果为有效该流程所影响到的会计科目的控制风险:中等;风险基础审计1、内部控制测试及重要帐户审计风险评估会计科目审计风险的评估固有风险的评估固有风险:指在不考虑内部控制的前提下,由于内部因素和客观环境的影响,会计
18、科目发生重大错报的可能性。固有风险的分类:高、低在确定固有风险时需考虑的因素:1、会计科目的本身属性所核算的内容的复杂程度2、会计科目的所核算内容的交易量的大小、发生的频率3、会计科目所核算内容的敏感性现金4、企业所处的经营环境、管理层的压力等外部因素的考虑可能会导致部分帐户出现舞弊、错误的机会比较大风险基础审计1、内部控制测试及重要帐户审计风险评估会计科目审计风险的评估审计风险的评估审计风险的评估结果:低、较低、中等、高,每一个级别的风险所对应的审计程序和审计抽样的样本量均不一样。风险基础审计2、根据重要帐户审计风险评估的结果设计实质性测试的程序、审计抽样的样本量实质性测试程序的分类:1、分
19、析性复核;2、主要项目的测试;3、代表性样本的测试(审计抽样);4、交易、数据的测试;如何确定主要项目的金额:审计风险低:超过75%TE的项目;审计风险较低:超过50%TE的项目;审计风险中等:超过25%TE的项目;审计风险高:超过10%TE的项目。不同的会计报表科目所对应的实质性测试程序的要求不同风险基础审计2、根据重要帐户审计风险评估的结果设计实质性测试的程序、审计抽样的样本量审计风险评估为:低,所对应的审计程序一般为:1、分析性复核2、主要项目的测试:超过75%TE的项目的检查 风险基础审计2、根据重要帐户审计风险评估的结果设计实质性测试的程序、审计抽样的样本量审计风险评估为:较低,所对
20、应的审计程序一般为:1、分析性复核2、主要项目的测试:超过50%TE的项目的检查 风险基础审计2、根据重要帐户审计风险评估的结果设计实质性测试的程序、审计抽样的样本量审计风险评估为:中等,所对应的审计程序一般为:1、分析性复核2、主要项目的测试:超过25%TE的项目的检查3、代表性样本的测试:除了主要项目的测试而外,还需随机抽取其一定数量的其他样本来进行测试;至于样本量的大小,和随机抽样的方法,有专门的软件来辅助完成。风险基础审计2、根据重要帐户审计风险评估的结果设计实质性测试的程序、审计抽样的样本量审计风险评估为:高,所对应的审计程序一般为:1、分析性复核2、主要项目的测试:超过10%TE的
21、项目的检查3、代表性样本的测试:除了主要项目的测试而外,还需随机抽取其一定数量的其他样本来进行测试;至于样本量的大小,和随机抽样的方法,有专门的软件来辅助完成;4、交易和数据的测试:更详细的对交易进行复核,可能不仅限于会计核算方面的测试,需要关注与交易有关的其他数据。5、其他辅助审计程序。风险基础审计完成审计阶段1、对审计计划中确定的重要性水平进行复核2、将未调整审计差异(SAD)汇总,并综合考虑其汇总后对会计报表风险的影响3、完成审计总结 风险基础审计1、对审计计划中确定的重要性水平进行复核 审计计划阶段确定的重要性水平(PMTESAD)是根据客户报表的未审数据确定的,在审计进行中可能会有调
22、整分录出现。因此,在审计完成阶段需要以过了调整分录后的报表数据来重新复核之前确定的重要性水平是否出现重大偏差,是否因此需要追加补充审计程序。风险基础审计2、将未调整审计差异(SAD)汇总,并综合考虑其汇总后对会计报表风险的影响 未调整审计差异(SAD)单个是小于可容忍误差(TE)的,但在完成审计阶段需要将审计过程中出现的未调整审计差异予以汇总,若汇总后金额超过了TE,则需要考虑将汇总表中的部分SAD做为调整分录过入已审报表中去,已保证SAD无论是单独还是汇总后都在可容忍误差范围(TE)之内。风险基础审计2、完成审计总结 审计总结是对审计计划阶段识别的审计风险重评估、风险应对措施的执行情况、重大会计审计事项的处理意见、审计报告的意见类型等进行的全面总结。审计总结应由审计现场负责人负责编制、审计经理复核、合伙人批准审计总结是非常重要的一项工作,是三级复核中的第二、三级复核的主要复核内容 2022-12-9风险基础审计