内部控制审计中的风险评估
中注协 日期:2015-01-16
中注协 日期:2015-01-16
风险导向审计思路是风险管理思想在审计上的运用。风险的识别、评估和应对是风险管理思想的核心内容。将这一思想具体运用到财务报告内部控制审计中,就要求注册会计师将财务报告内部控制重大缺陷风险的识别、评估和应对作为审计工作主线,在风险评估的基础上,将审计资源投放在高风险领域,以提高审计效率和效果。
一、风险评估的基础作用
在财务报告内部控制审计中,审计风险模型可表述为:审计风险=内部控制存在重大缺陷的风险×检查风险。其中,审计风险,是指被审计单位财务报告内部控制存在重大缺陷时,注册会计师发表不恰当审计意见的可能性;内部控制存在重大缺陷的风险,是指被审计单位财务报告内部控制在审计前存在重大缺陷的可能性;检查风险,是指如果被审计单位财务报告内部控制存在重大缺陷,注册会计师实施审计程序后未能发现的可能性。内部控制存在重大缺陷的风险又可以进一步细分为控制无效的风险和无效导致重大缺陷的风险。《企业内部控制审计指引》及其实施意见特别强调了风险导向审计思想,突出了风险评估的基础作用和对审计资源配置的导向作用。内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。
首先,风险评估结果是确定重要账户列报及其相关认定的依据。对于重要账户、列报及其相关认定,注册会计师需要将其纳入审计考虑的范围;对于不重要账户、列报及其不相关认定,注册会计师在审计时可将其剔除。本指南第二章第二节对如何识别重要账户、列报及其相关认定进行阐述。
其次,风险评估是选择拟测试的控制的依据。注册会计师应当以风险评估为基础,选择拟测试的控制。注册会计师应当更多地关注高风险领域,而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。
第三,风险评估是确定针对特定控制所需测试的性质、时间安排和范围的依据。注册会计师应当根据与内部控制相关的风险,确定拟实施审计程序的性质、时间安排和范围,获取充分、适当的证据。审计程序的性质具体是指询问、观察、检查和重新执行等;审计程序的时间安排既包括测试内部控制所针对的期间(时间),也包括何时实施控制测试;审计程序的范围主要指测试的样本量。与内部控制相关的风险越高,注册会计师需要获取的证据应越多,可靠性要求越高。
第四,风险评估结果是确定在多大程度上利用被审计单位自我评价工作的依据。为避免重复劳动,《企业内部控制审计指引》鼓励注册会计师利用被审计单位的自我评价工作。与某项控制相关的风险越高,被审计单位内部审计人员、内部控制评价人员和其他相关人员的工作的可利用程度就越低,注册会计师应当更多地对该项控制亲自进行测试。
最后,当被审计单位具有多个组成部分时,风险评估结果还是确定测试范围的依据。如果某些组成部分单独或连同其他组成部分导致合并财务报表出现重大错报的可能性极小,注册会计师无需进一步考虑这些组成部分。对风险较低的组成部分,注册会计师可以首先评价、测试企业层面控制能否提供充分、适当的证据。如果能提供充分、适当的证据,注册会计师对这些组成部分可以仅测试企业层面控制。如果某项风险导致企业合并财务报表发生重大错报的可能性不是极小,注册会计师应当测试针对该项风险而实施的控制。
二、风险评估程序
在财务报表审计中,注册会计师采用风险导向审计模式,需要首先实施风险评估程序,识别和评估财务报表层次和认定层次的重大错报风险。在此基础上,分别予以应对。
在财务报告内部控制审计中,采用的也是风险导向审计的模式,注册会计师需要首先识别内部控制存在重大缺陷的风险,然后有针对性地应对。内部控制是否存在重大缺陷,说到底,是指财务报告内部控制是否足以应对财务报表层次和认定层次的重大错报风险,包括舞弊引起的重大错报风险。
因此,无论对财务报表审计而言,还是对财务报告内部控制审计而言,在了解被审计单位情况的基础上识别和评估财务报表层次和认定层次的重大错报风险是两种审计共同的起点。可以说,两者对风险的评估方法和结果应当相同。《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》对注册会计师实施风险评估程序进行了规范,这里不再赘述。
在整合审计中,注册会计师实施的风险评估程序应当同时为内部控制审计和财务报表审计服务。针对审计各个阶段识别出的风险,注册会计师都应当考虑该风险导致财务报表重大错报和财务报告内部控制重大缺陷的可能性。
风险评估程序应当在审计工作的各个方面和各个阶段予以综合考虑,贯穿整个审计工作的始终,而不是仅作为确定审计工作范围的一个步骤。在审计过程中,注册会计师应当随时根据内部控制审计和财务报表审计过程中获取的信息调整拟执行的审计程序。
在整合审计中,风险评估部分工作底稿可以共享。关于这部分工作底稿,可参见《财务报表审计工作底稿编制指南》中“了解被审计单位及其环境”部分。
一、风险评估的基础作用
在财务报告内部控制审计中,审计风险模型可表述为:审计风险=内部控制存在重大缺陷的风险×检查风险。其中,审计风险,是指被审计单位财务报告内部控制存在重大缺陷时,注册会计师发表不恰当审计意见的可能性;内部控制存在重大缺陷的风险,是指被审计单位财务报告内部控制在审计前存在重大缺陷的可能性;检查风险,是指如果被审计单位财务报告内部控制存在重大缺陷,注册会计师实施审计程序后未能发现的可能性。内部控制存在重大缺陷的风险又可以进一步细分为控制无效的风险和无效导致重大缺陷的风险。《企业内部控制审计指引》及其实施意见特别强调了风险导向审计思想,突出了风险评估的基础作用和对审计资源配置的导向作用。内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。
首先,风险评估结果是确定重要账户列报及其相关认定的依据。对于重要账户、列报及其相关认定,注册会计师需要将其纳入审计考虑的范围;对于不重要账户、列报及其不相关认定,注册会计师在审计时可将其剔除。本指南第二章第二节对如何识别重要账户、列报及其相关认定进行阐述。
其次,风险评估是选择拟测试的控制的依据。注册会计师应当以风险评估为基础,选择拟测试的控制。注册会计师应当更多地关注高风险领域,而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。
第三,风险评估是确定针对特定控制所需测试的性质、时间安排和范围的依据。注册会计师应当根据与内部控制相关的风险,确定拟实施审计程序的性质、时间安排和范围,获取充分、适当的证据。审计程序的性质具体是指询问、观察、检查和重新执行等;审计程序的时间安排既包括测试内部控制所针对的期间(时间),也包括何时实施控制测试;审计程序的范围主要指测试的样本量。与内部控制相关的风险越高,注册会计师需要获取的证据应越多,可靠性要求越高。
第四,风险评估结果是确定在多大程度上利用被审计单位自我评价工作的依据。为避免重复劳动,《企业内部控制审计指引》鼓励注册会计师利用被审计单位的自我评价工作。与某项控制相关的风险越高,被审计单位内部审计人员、内部控制评价人员和其他相关人员的工作的可利用程度就越低,注册会计师应当更多地对该项控制亲自进行测试。
最后,当被审计单位具有多个组成部分时,风险评估结果还是确定测试范围的依据。如果某些组成部分单独或连同其他组成部分导致合并财务报表出现重大错报的可能性极小,注册会计师无需进一步考虑这些组成部分。对风险较低的组成部分,注册会计师可以首先评价、测试企业层面控制能否提供充分、适当的证据。如果能提供充分、适当的证据,注册会计师对这些组成部分可以仅测试企业层面控制。如果某项风险导致企业合并财务报表发生重大错报的可能性不是极小,注册会计师应当测试针对该项风险而实施的控制。
二、风险评估程序
在财务报表审计中,注册会计师采用风险导向审计模式,需要首先实施风险评估程序,识别和评估财务报表层次和认定层次的重大错报风险。在此基础上,分别予以应对。
在财务报告内部控制审计中,采用的也是风险导向审计的模式,注册会计师需要首先识别内部控制存在重大缺陷的风险,然后有针对性地应对。内部控制是否存在重大缺陷,说到底,是指财务报告内部控制是否足以应对财务报表层次和认定层次的重大错报风险,包括舞弊引起的重大错报风险。
因此,无论对财务报表审计而言,还是对财务报告内部控制审计而言,在了解被审计单位情况的基础上识别和评估财务报表层次和认定层次的重大错报风险是两种审计共同的起点。可以说,两者对风险的评估方法和结果应当相同。《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》对注册会计师实施风险评估程序进行了规范,这里不再赘述。
在整合审计中,注册会计师实施的风险评估程序应当同时为内部控制审计和财务报表审计服务。针对审计各个阶段识别出的风险,注册会计师都应当考虑该风险导致财务报表重大错报和财务报告内部控制重大缺陷的可能性。
风险评估程序应当在审计工作的各个方面和各个阶段予以综合考虑,贯穿整个审计工作的始终,而不是仅作为确定审计工作范围的一个步骤。在审计过程中,注册会计师应当随时根据内部控制审计和财务报表审计过程中获取的信息调整拟执行的审计程序。
在整合审计中,风险评估部分工作底稿可以共享。关于这部分工作底稿,可参见《财务报表审计工作底稿编制指南》中“了解被审计单位及其环境”部分。