《中国注册会计师审计准则第1211号》应用指南
| 《中国注册会计师审计准则第1211号 ——通过了解被审计单位及其环境识别和评估重大错报风险》 应用指南 会协〔2010〕94号 制定机关:中国中国注册会计师协会 2010年11月1日 有效期:2012年1月1日至今 |
一、风险评估程序和相关活动[编辑] |
〈(参见本准则第八条)〉 |
1.了解被审计单位及其环境(以下简称“了解被审计单位”)是一个连续和动态地收集、更新与分析信息的过程,贯穿于整个审计过程的始终。了解被审计单位是必要程序,特别是为下列关键环节的职业判断提供了重要基础:
(1)评估重大错报风险;
(2)按照《中国注册会计师审计准则第1221号——计划和执行审计工作时的重要性》的规定确定重要性;
(3)考虑选择和运用会计政策的恰当性和财务报表披露的充分性;
(4)识别需要特别考虑的领域,如关联方交易、管理层运用持续经营假设的适当性或考虑交易是否具有合理的商业目的;
(5)确定在实施分析程序时使用的预期值;
(6)应对评估的重大错报风险,包括设计和实施进一步审计程序以获取充分、适当的审计证据;
(7)评价已获取审计证据的充分性和适当性,如假设的适当性以及管理层口头声明和书面声明的适当性。
2.注册会计师可能将实施风险评估程序和相关活动获取的信息作为审计证据支持对重大错报风险的评估结果。此外,注册会计师还可能获取有关类别的交易、账户余额或披露及相关认定以及控制运行有效性的审计证据,即使这些程序并非作为实质性程序或控制测试而专门计划实施的。注册会计师还可以在实施风险评估程序的同时选择实施实质性程序或控制测试,以使审计工作更有效率。
3.注册会计师需要运用职业判断确定所要求了解的程度。注册会计师的主要考虑是获取的了解是否足以实现本准则规定的目标。当然,要求注册会计师对被审计单位获取的总体了解的程度,要低于管理层在管理被审计单位时所获取的了解的程度。
4.需要评估的风险包括由于舞弊导致的风险,也包括由于错误导致的风险,本准则涉及这两类风险。但是,由于舞弊非常重大,针对为获取用于识别由于舞弊导致的重大错报风险的信息所实施的风险评估程序和相关活动,《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责仟》及其应用指南提出了进一步要求并提供了指引。
5.虽然注册会计师在了解被审计单位(参见本准则第十四条至第二十七条)的过程中需要实施本准则第九条规定的所有风险评估程序,但无需在了解每个方面时都实施所有的风险评估程序。当拟获取的信息有助于识别重大错报风险时,注册会计师也可以执行其他程序。这些程序举例如下:
(1)查阅从外部来源获取的信息,如贸易与经济方面的期刊,分析师、银行或评级机构的报告,法规或金融出版物等;
(2)询问被审计单位聘请的外部法律顾问或评估专家。
(一)询问管理层和被审计单位内部其他人员[编辑] |
〈(参见本准则第九条第一款第(一)项)〉 |
6.注册会计师通过询问获取的大部分信息来自于管理层和负责财务报告的人员。注册会计师也可以通过询问被审计单位内部的其他不同层级的人员获取信息,或为识别重大错报风险提供不同的视角。例如:
(1)直接询问治理层,可能有助于注册会计师了解编制财务报表的环境;
(2)直接询问内部审计人员,可能有助于获取有关以下事项的信息:本年度针对被审计单位内部控制设计和运行有效性而实施的内部审计程序,以及管理层是否根据实施这些程序的结果采取了适当的应对措施;
(3)询问参与生成、处理或记录复杂或异常交易的员工,可能有助于注册会计师评价被审计单位选择和运用某项会计政策的恰当性;
(4)直接询问内部法律顾问,可能有助于注册会计师了解有关信息,如诉讼、遵守法律法规的情况、影响被审计单位的舞弊或舞弊嫌疑、产品保证、售后责任、与业务合作伙伴的安排(如合营企业)和合同条款的含义等;
(5)直接询问营销或销售人员,可能有助于注册会计师了解被审计单位营销策略的变化、销售趋势或与客户的合同安排。
(二)分析程序[编辑] |
〈(参见本准则第九条第一款第(二)项)〉 |
7.注册会计师将分析程序用作风险评估程序,可能有助于识别未注意到的被审计单位的情况,并可能有助于评估重大错报风险,以为针对评估的风险设计和实施应对措施提供基础。注册会计师实施分析程序可以使用财务信息和非财务信息,如销售额与卖场的面积或已出售商品数量之间的关系。
8.注册会计师实施分析程序可能有助于识别异常的交易或事项,以及对审计产生影响的金额、比率和趋势。识别出的异常或未预期到的关系可以帮助注册会计师识别重大错报风险,特别是由于舞弊导致的重大错报风险。
9.当分析程序使用高度汇总的数据时(作为风险评估程序的分析程序可能存在这种情况),实施分析程序的结果可能仅初步显示是否存在重大错报。在这种情况下,将分析程序的结果与识别重大错报风险时获取的其他信息一并考虑,可以帮助注册会计师了解并评价分析程序的结果。
对小型被审计单位的特殊考虑
10.某些小型被审计单位可能没有可用于实施分析程序的中期或月度财务信息。在这些情况下,虽然注册会计师可能能够实施有限的分析程序以计划审计工作或通过询问获取一些信息,但当可以获得财务报表的草稿时,注册会计师可能需要计划并实施分析程序以识别和评估重大错报风险。
(三)观察和检查[编辑] |
〈(参见本准则第九条第一款第(三)项)〉 |
11.观察和检查程序可以支持对管理层和其他相关人员的询问结果,并可以提供有关被审计单位及其环境的信息。这些审计程序的举例包括观察或检查下列事项:
(1)被审计单位的经营活动;
(2)文件(如经营计划和策略)、记录和内部控制手册;
(3)管理层编制的报告(如季度管理层报告和中期财务报告)和治理层编制的报告(如董事会会议纪要);
(4)被审计单位的生产经营场所和厂房设备。
(四)以前期间获取的信息[编辑] |
〈(参见本准则第十二条)〉 |
12.注册会计师以往与被审计单位交往的经验以及以前审计中实施的审计程序可以为注册会计师提供有关下列事项的信息:
(1)以往的错报情况以及错报是否及时得到更正;
(2)被审计单位及其环境的性质、被审计单位的内部控制(包括内部控制缺陷);
(3)自上期以来被审计单位或其经营活动可能发生的重大变化,这些变化可以帮助注册会计师对被审计单位获取充分的了解,以识别和评估重大错报风险。
13.如果拟将以前期间获取的信息用于本期审计,注册会计师需要确定这些信息是否仍然相关。这是因为信息的变化(如控制环境的变化)可能影响上期所获取信息的相关性。为了确定影响这些信息相关性的变化是否已经发生,注册会计师可以询问并实施其他恰当的审计程序,如对相关系统进行穿行测试。
(五)项目组内部的讨论[编辑] |
〈(参见本准则第十三条)〉 |
14.项目组内部关于财务报表发生重大错报可能性的讨论可以:
(1)使经验较丰富的项目组成员(包括项目合伙人)有机会分享其根据对被审计单位的了解形成的见解;
(2)使项目组成员能够讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式,特别是由于舞弊或错误导致重大错报的可能性;
(3)帮助项目组成员更好地了解在各自负责的领域中潜在的财务报表重大错报,并了解各自实施的审计程序的结果可能如何影响审计的其他方面,包括对确定进一步审计程序的性质、时间安排和范围的影响;
(4)为项目组成员交流和分享在审计过程中获取的、可能影响重大错报风险评估结果或应对这些风险的审计程序的新信息提供基础。
《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》及其应用指南对项目组内部关于舞弊风险的讨论作出了进一步规定并提供了指引。
15.所有成员都参与到一项讨论中,并非总是必要和可行的(如在跨地区审计中、将讨论中作出的全部决定告知项目组所有成员也不总是必要的。项目合伙人可以与项目组关键成员(包括专家和负责组成部分审计的人员,如认为适当)进行讨论,而在考虑整个项目组中必要的沟通范围后,可以委派代表与其他人员进行讨论。在这种情况下,经项目合伙人同意的沟通计划可能是有用的。
对小型被审计单位的特殊考虑
16.许多小型被审计单位的审计全部由项目合伙人实施。在这种情况下,亲自计划审计工作的项目合伙人将负责考虑财务报表发生由于舞弊或错误导致的重大错报的可能性。
二、被审计单位及其环境(内部控制在本指南第三部分阐述)[编辑]
(一)行业状况、法律环境和监管环境及其他外部因素[编辑] |
〈(参见本准则第十四条第一款第(一)项)〉 |
行业因素
17.相关行业因素包括行业状况,如竞争环境、供应商和客户关系、技术发展情况等。注册会计师可能需要考虑的事项举例如下:
(1)市场与竞争,包括市场需求、生产能力和价格竞争;
(2)生产经营的季节性和周期性;
(3)与被审计单位产品相关的生产技术;
(4)能源供应与成本。
18.被审计单位经营所处的行业可能产生由于经营性质或监管程度导致的特定重大错报风险。例如,长期合同可能涉及对收入和费用作出重大估计而导致重大错报风险。在这种情况下,项目组包括具有足够相关知识和经验的成员是很重要的。
法律和监管因素
19.相关法律和监管因素包括法律环境和监管环境。法律环境和监管环境包括适用的财务报告编制基础、法律和政治环境等。注册会计师可能需要考虑的事项举例如下:
(1)会计原则和行业特定惯例;
(2)受管制行业的法规框架;
(3))对被审计单位经营活动产生重大影响的法律法规,包括直接的监管活动;
(4)税收政策(关于企业所得税和其他税种的政策);
(5)目前对被审计单位开展经营活动产生影响的政府政策,如货币政策(包括外汇管制)、财政政策、财政刺激措施(如政府援助项目)、关税或贸易限制政策等;
(6)影响行业和被审计单位经营活动的环保要求。
20.《中国注册会计师审计准则第1142号——财务报表审计中对法律法规的考虑》包含了与适用于被审计单位及其所在行业或领域的法律法规框架相关的特定要求。
对公共部门实体的特殊考虑
21.对于公共部门实体的审计,法律法规或其他监管要求可能影响被审计单位的经营活动。在了解被审计单位时考虑这些因素是必要的。
其他外部因素
22.注册会计师考虑的影响被审计单位的其他外部因素可能包括总体经济情况、利率、融资的可获得性、通货膨胀水平或币值变动等。
(二)被审计单位的性质[编辑] |
〈(参见本准则第十四条第一款第(二)项)〉 |
23.了解被审计单位的性质使注册会计师能够了解如下事项:
(1)被审计单位的组织结构是否复杂。例如,是否在多个地区拥有子公司或其他组成部分。复杂的组织结构通常产生可能导致重大错报风险的问题。这些问题可能包括对商誉、合营企业、投资或特殊目的实体的会计处理是否恰当;
(2)所有权结构,所有者与其他人员或实体之间的关系。了解这些方面有助于确定关联方交易是否已得到识别和恰当处理。《中国注册会计师审计准则第1323号——关联方》及其应用指南对注册会计师与关联方相关的考虑作出了规定并提供了指引。
24.在了解被审计单位的性质时,注册会计师可能需要考虑的事项举例如下:
(1)经营活动,例如:
① 收入来源、产品或服务以及市场的性质(包括电子商务,如网上销售和营销活动);
② 业务的开展情况(如生产阶段与生产方法,易受环境风险影响的活动);
③ 联盟、合营与外包情况;
④ 地区分布与行业细分;
⑤ 生产设施、仓库和办公室的地理位置,存货存放地点和数量;
⑥ 关键客户及货物和服务的重要供应商,劳动用工安排(包括是否存在工会合同、退休金和其他退休福利、股票期权或激励性奖金安排以及与劳动用工事项相关的政府法规);
⑦ 研究与开发活动及其支出;
⑧ 关联方交易。
(2)投资与投资活动,例如:
① 计划实施或近期已实施的并购或资产处置;
② 证券与贷款的投资和处置;
③ 资本性投资活动;
④ 对未纳入合并范围的实体的投资,包括合伙企业、合营企业和特殊目的实体。
(3)筹资与筹资活动,例如:
① 主要子公司和联营企业(无论是否处于合并范围内);
② 债务结构和相关条款,包括资产负债表外融资和租赁安排;
③ 实际受益方(实际受益方是国内的,还是国外的,其商业声誉和经验可能对被审计单位产生的影响)及关联方;
④ 衍生金融工具的使用。
(4)财务报告,例如:
① 会计政策和行业特定惯例,包括特定行业的重要活动(如银行业的贷款和投资、医药行业的研究与开发活动);
② 收入确认惯例;
③ 公允价值会计核算;
④ 外币资产、负债与交易;
⑤ 异常或复杂交易(包括在有争议或新兴领域的交易)的会计处理(如对以股票为基准的薪酬的会计处理)。
25.被审计单位自以前期间以来发生的重大变化可能导致或改变重大错报风险。
特殊目的实体的性质
26.特殊目的实体(有时也称特殊目的工具)是指为实现界定清楚的某个具体目标(如进行租赁、金融资产证券化或开展研究与开发活动)而设立的实体。特殊目的实体可能以公司、信托、合伙企业或非公司实体的形式存在。在以某实体的名义建立特殊目的实体的情况下,该实体通常可能将资产转移至特殊目的实体(如作为终止确认涉及金融资产的交易的一部分),获得使用特殊目的实体资产的权利或向其提供服务,而其他方可能为特殊目的实体提供资金。《〈中国注册会计师审计准则第1323号——关联方〉应用指南》指出,在某些情况下,特殊目的实体可能是被审计单位的关联方。
27.财务报告编制基础通常详细规定了可视为“控制”的条件,或在编制合并报表时应当考虑特殊目的实体的情况。理解这些编制基础的要求通常需要详细了解涉及特殊目的实体的相关协议。
(三)对会计政策的选择和运用[编辑] |
〈(参见本准则第十四条第一款第(三)项)〉 |
28.了解被审计单位对会计政策的选择和运用可能包括如下事项:
(1)被审计单位对重大和异常交易的会计处理方法;
(2)在缺乏权威性标准或共识、有争议的或新兴领域采用重要会计政策产生的影响;
(3)会计政策的变更;
(4)新颁布的财务报告准则、法律法规,以及被审计单位何时采用、如何采用这些规定。
(四)目标、战略以及相关经营风险[编辑] |
〈(参见本准则第十四条第一款第(四)项)〉 |
29.被审计单位在行业状况、法律环境和监管环境及其他内部和外部因素的背景下开展经营活动。为应对这些因素,管理层或治理层需要确定目标,作为被审计单位的总体规划。战略是管理层为实现目标而采用的方法。被审计单位的目标和战略可能会随着时间而变化。30.经营风险比财务报表重大错报风险范围更广,并且包括重大错报风险。经营风险可能产生于环境变化或经营的复杂性。未能认识到根据环境的变化作出改变也可能导致经营风险。例如,下列事项可能产生经营风险:
(1)开发新产品或服务可能失败;
(2)即使成功开拓了市场,也不足以支持产品或服务;
(3)产品或服务存在瑕疵,可能导致负债及声誉风险。
31.由于多数经营风险最终都会产生财务后果,从而影响财务报表,因此了解被审计单位面临的经营风险可以提高识别出重大错报风险的可能性。然而,注册会计师没有责任识别或评估所有的经营风险,因为并非所有的经营风险都会导致重大错报风险。
32.注册会计师在了解可能导致财务报表重大错报风险的目标、战略及相关经营风险时,可以考虑以下事项:
(1)行业发展(例如,潜在的相关经营风险可能是被审计单位不具备足以应对行业变化的人力资源和业务专长);
(2)开发新产品或提供新服务(例如,潜在的相关经营风险可能是被审计单位产品责任增加);
(3)业务扩张(例如,潜在的相关经营风险可能是被审计单位对市场需求的估计不准确);
(4)新的会计要求(例如,潜在的相关经营风险可能是被审计单位执行不当或不完整,或会计处理成本增加);
(5)监管要求(例如,潜在的相关经营风险可能是被审计单位法律责任增加);
(6)本期及未来的融资条件(例如,潜在的相关经营风险可能是被审计单位由于无法满足融资条件而失去融资机会);
(7)信息技术的运用(例如,潜在的相关经营风险可能是被审计单位信息系统与业务流程难以融合);
(8)实施战略的影响,特别是由此产生的需要运用新的会计要求的影响(例如,潜在的相关经营风险可能是被审计单位执行新要求不当或不完整)。
33.经营风险可能对某类交易、账户余额和披露的认定层次重大错报风险或财务报表层次重大错报风险产生直接影响。例如,因客户群减少产生的经营风险可能增加与应收款项计价相关的重大错报风险。但是,同样的风险,尤其是在经济紧缩时,可能具有更为长期的后果,注册会计师需要在评价运用持续经营假设的适当性时予以考虑。因此,考虑经营风险是否可能导致重大错报风险,要视被审计单位的具体情况而定。本指南附录2列示了可能表明存在重大错报风险的情况和事项的示例。
34.管理层通常识别经营风险并制定应对风险的方法。这种风险评估过程是内部控制的一部分,本准则第十八条、本指南第79段和第80段对此进行了讨论。
对公共部门实体的特殊考虑
35.对于公共部门实体审计,管理层的目标可能受到对公共受托责任考虑的影响,这一目标包括法律法规或其他监管机构的相关要求。
(五)被审计单位财务业绩的衡量和评价[编辑] |
〈(参见本准则第十四条第一款第(五)项)〉 |
36.管理层及其他人员经常衡量和评价其认为重要的事项。无论是内部的还是外部的业绩衡量,都会对被审计单位产生压力。这些压力反过来可能促使管理层采取措施改善经营业绩或歪曲财务报表。因此,了解被审计单位的业绩衡量,有助于注册会计师考虑实现业绩目标的压力是否可能导致管理层采取行动,以致増加财务报表发生重大错报的风险(包括由于舞弊导致的风险)。《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》及其应用指南对舞弊风险作出了规定并提供了指引。
37.对财务业绩的衡量和评价不同于对控制的监督(在本指南第98段至第104段内部控制要素中讨论),即:
(1)对财务业绩的衡量和评价,针对的是被审计单位的业绩是否达到管理层(或第三方)设定的目标;
(2)对控制的监督重点关注内部控制的有效运行。
但两者的目标可能有重叠,在某些情况下,业绩指标也可以为管理层识别内部控制缺陷提供信息。
38.注册会计师可以考虑的、管理层在衡量和评价财务业绩时使用的内部生成信息举例如下:
(1)关键业绩指标(财务或非财务的)、关键比率、趋势和经营统计数据;
(2)同期财务业绩比较分析;
(3)预算、预测、差异分析,分部信息与分部、部门或其他不同层次的业绩报告;
(4)员工业绩考核与激励性报酬政策;
(5)被审计单位与竞争对手的业绩比较。
39.外部机构或人员也可能衡量和评价被审计单位的财务业绩。例如,外部信息可能为注册会计师提供有用信息,如分析师报告和信用评级机构报告,这些报告通常可以从被审计单位获取。
40.内部业绩衡量可能显示未预期到的结果或趋势,需要管理层确定原因并采取纠正措施(包括在某些情况下及时发现并纠正错报)。业绩衡量还可能向注册会计师表明,相关财务报表信息存在错报风险。例如,业绩衡量可能表明,被审计单位与同行业其他实体相比具有异常快速的增长率或盈利水平。这些信息,特别是如果将其与基于业绩的奖金或激励性报酬等其他因素结合考虑,可能表明管理层在编制财务报表时存在偏向的潜在风险。
对小型被审计单位的特殊考虑
41.小型被审计单位通常没有建立衡量和评价财务业绩的流程。注册会计师询问管理层后可能发现,管理层依据特定关键指标评价财务业绩和采取适当行动。如果询问结果表明被审计单位不存在业绩衡量和评价,则尚未发现和更正的错报风险可能增加。
三、被审计单位的内部控制[编辑] |
〈(参见本准则第十五条)〉 |
42.了解内部控制有助于注册会计师识别潜在错报的类型和影响重大错报风险的因素,以及设计进一步审计程序的性质、时间安排和范围。
43.下文将从四个部分讲述内部控制:
(1)内部控制的一般性质和特征;
(2)与审计相关的控制;
(3)对相关控制了解的性质和程度;
(4)内部控制的要素。
(一)内部控制的一般性质和特征[编辑]
内部控制的目标
44.设计、执行和维护内部控制,目的是应对识别出的对被审计单位实现下列目标产生不利影响的经营风险:
(1)财务报告的可靠性;
(2)经营的效果和效率;
(3)遵守适用的法律法规。
内部控制设计、执行和维护的方式因被审计单位的规模与复杂程度的不同而不同。
对小型被审计单位的特殊考虑
45.小型被审计单位可能采用非正式和简单的流程和程序实现内部控制的目标。
内部控制的固有限制
46.内部控制无论如何有效,都只能为被审计单位实现财务报告目标提供合理保证。内部控制实现目标的可能性受其固有限制的影响。这些限制包括在决策时人为判断可能出现错误和因人为失误而导致内部控制失效。例如,控制的设计和修改可能存在失误。同样地,控制的运行可能无效,例如,由于负责复核信息的人员不了解复核的目的或没有采取适当的措施,内部控制生成的信息(如例外报告)没有得到有效使用。
47.控制可能由于两个或更多的人员串通或管理层不当地凌驾于内部控制之上而被规避。例如,管理层可能与客户签订“背后协议”,修改标准的销售合同条款和条件,从而导致不适当的收入确认。再如,软件中的编辑控制旨在识别和报告超过赊销信用额度的交易,但这一控制可能被凌驾或不能得到执行。
48.在设计和执行控制时,管理层可能会对选择执行的控制的性质和范围以及选择承担的风险的性质和程度作出判断。
对小型被审计单位的特殊考虑
49.小型被审计单位拥有的员工通常较少,限制了其职责分离的程度。但是,在业主管理的小型被审计单位,业主兼经理可以实施比大型被审计单位'更有效的监督。这种监督可以弥补职责分离有限的局限性。
50.另一方面,由于内部控制系统较为简单,业主兼经理更有可能凌驾于控制之上。注册会计师在识别由于舞弊导致的重大错报风险时需要考虑这一问题。
对内部控制要素的划分
51.审计准则将内部控制划分为以下五个要素,为注册会计师考虑内部控制的不同方面如何影响审计提供有用的框架:
(1)控制环境;
(2)风险评估过程;
(3)与财务报告相关的信息系统(包括相关业务流程)与沟通;
(4)控制活动;
(5)对控制的监督。
被审计单位并不一定按照这种划分方法设计、执行和维护内部控制以及划分特定要素。注册会计师也可以使用不同于本准则方法的术语或框架说明内部控制的不同方面及其对审计的影响,只要能够涵盖本准则所述的所有要素。
52.由于内部控制五项要素与财务报表审计相关,本指南第69段至第104段对其进行了说明。本指南附录1进一步解释了这些内部控制要素。
与注册会计师风险评估相关的内部控制的人工和自动化成分的特征
53.被审计单位的内部控制系统包含人工成分,通常也包含自动化成分。人工或自动化成分的特征,与注册会计师的风险评估以及在此基础上实施的进一步审计程序相关。
54.内部控制中采用的人工成分和自动化成分,将影响交易生成、记录、处理和报告的方式。
(1)人工系统的控制可能包括对交易的批准和复核,编制调节表并对调节项目进行跟进。被审计单位也可能采用自动化程序生成、记录、处理和报告交易,在这。种情况下以电子文档取代纸质文件。
(2)信息技术系统中的控制是自动化控制(如嵌入计算机程序的控制)和人工控制的组合。人工控制可能独立于信息技术,可能利用信息技术生成的信息,或可能只限用于监督信息技术和自动化控制的有效运行或者处理例外事项。如果采用信息技术生成、记录、处理和报告交易和财务报表中包含的其他财务数据,系统和程序可能包括与财务报表重大账户认定相关的控制,或可能对依赖于信息技术的人工控制的有效运行非常关键。
内部控制中人工成分和自动化成分的组合,因被审计单位使用信息技术的性质和复杂程度而异。
55.一般而言,信息技术对被审计单位内部控制的作用在于使被审计单位能够:
(1)在处理大量的交易或数据时,一贯运用事先确定的业务规则,并进行复杂运算;
(2)提高信息的及时性、可获得性及准确性;
(3)促进对信息的深入分析;
(4)提高对被审计单位的经营业绩及其政策和程序执行情况进行监督的能力;
(5)降低控制被规避的风险;
(6)通过对应用程序系统、数据库系统和操作系统执行安全控制,提高不兼容职务分离的有效性。
56.信息技术也可能对被审计单位内部控制产生特定风险,这些风险包括:
(1)所依赖的系统或程序不能正确处理数据,或处理了不正确的数据,或两种情况并存;
(2)未经授权访问数据,可能导致数据的毁损或对数据不恰当的修改,包括记录未经授权或不存在的交易,或不正确地记录了交易。多个用户同时访问同一数据库可能会造成特定风险;
(3)信息技术人员可能获得超越其职责范围的数据访问权限,因此破坏了系统应有的职责分工;
(4)未经授权改变主文档的数据;
(5)未经授权改变系统或程序;
(6)未能对系统或程序作出必要的修改;
(7)不恰当的人为干预;
(8)可能丢失数据或不能访问所需要的数据。
57.在处理下列需要主观判断或酌情处理的情形时,内部控制的人工成分可能更为适当:
(1)存在大额、异常或偶发的交易;
(2)存在难以界定、预计或预测的错误的情况;
(3)针对变化的情况,需要对现有的自动化控制进行人工干预;
(4)监督自动化控制的有效性。
58.内部控制中的人工成分可能比自动化成分的可靠性低,原因是人工成分可能更容易被规避、忽视或凌驾,以及更容易产生简单错误和失误。因此,不能假定人工控制能够一贯运用。人工控制在下列情形中可能是不适当的:
(1)存在大量或重复发生的交易,或者事先可预计或预测的错误能够通过自动化控制参数得以防止或发现并纠正;
(2)用特定方法实施控制的控制活动可得到适当设计和自动化处理。
59.内部控制风险的程度和性质取决于被审计单位信息系统的性质和特征。考虑到信息系统的特征,被审计单位可以通过建立有效的控制,应对由于采用信息技术或人工成分而产生的风险。
(二)与审计相关的控制[编辑]
60.被审计单位的目标与为实现目标提供合理保证的控制之间存在直接关系。被审计单位的目标和控制,与财务报告、经营及合规有关。但这些目标和控制并非都与注册会计师的风险评估相关。
61.注册会计师在判断一项控制单独或连同其他控制是否与审计相关时可能考虑下列事项:
(1)重要性;
(2)相关风险的重要程度;
(3)被审计单位的规模;
(4)被审计单位业务的性质,包括组织结构和所有权特征;
(5)被审计单位经营的多样性和复杂性;
(6)适用的法律法规;
(7)内部控制的情况和适用的要素;
(8)作为内部控制组成部分的系统(包括使用服务机构)的性质和复杂性;
(9)一项特定控制(单独或连同其他控制)是否以及如何防止或发现并纠正重大错报。
62.如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息,针对该信息完整性和准确性的控制可能与审计相关。如果与经营和合规目标相关的控制与注册会计师实施审计程序时评价或使用的数据相关,则这些控制也可能与审计相关。
63.用以防止未经授权购买、使用或处置资产的内部控制,可能包括与财务报告和经营目标相关的控制。注册会计师对这些控制的考虑通常仅限于与财务报告可靠性相关的控制。
64.被审计单位通常有一些与目标相关但与审计无关的控制,注册会计师无需对其加以考虑。例如,被审计单位可能依靠某一复杂的自动化控制提高经营活动的效率和效果(如航空公司用于维护航班时间表的自动化控制系统),但这些控制通常与审计无关。进一步讲,虽然内部控制应用于整个被审计单位或所有经营部门或业务流程,但是了解与每个经营部门和业务流程相关的内部控制,可能与审计无关。
对公共部门实体的特殊考虑
65.对公共部门实体进行审计的注册会计师通常对内部控制负有额外责任,如报告被审计单位对既定操作守则的遵守情况。注册会计师可能也有责任报告被审计单位对法律法规及其他监管要求的遵守情况。因此,注册会计师对内部控制的评价可能更广泛、更详细。
(三)对相关控制了解的性质和程度[编辑] |
〈(参见本准则第十六条)〉 |
66.评价控制的设计,涉及考虑该控制单独或连同其他控制,是否能够有效防止或发现并纠正重大错报。控制得到执行是指某项控制存在且被审计单位正在使用。评估一项无效控制的运行没有什么意义,因此需要首先考虑控制的设计。设计不当的控制可能表明存在值得关注的内部控制缺陷。
67.用以获取有关控制设计和执行的审计证据的风险评估程序可能包括:
(1)询问被审计单位人员;
(2)观察特定控制的运用;
(3)检查文件和报告;
(4)追踪交易在财务报告信息系统中的处理过程(穿行测试)。但是,询问本身并不足以实现这些目标。
68.除非存在某些可以使控制得到一贯运行的自动化控制,否则注册会计师对控制的了解并不足以测试控制运行的有效性。例如,某一人工控制在某一时点得到执行的审计证据,并不能提供该控制在所审计期间内的其他时点也有效运行的证据。但是,由于信息技术处理流程的内在一贯性(见本指南第55段),实施审计程序确定某项自动化控制是否得到执行,也可以实现对控制运行有效性测试的目标,这取决于注册会计师对控制(如针对程序变更的控制)的评估和测试。《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》及其应用指南对控制运行有效性的测试作出了规定并提供了指引。
(四)内部控制要素一一控制环境[编辑] |
〈(参见本准则第十七条)〉 |
69.控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和行动。控制环境设定了被审计单位的内部控制基调,影响员工的内部控制意识。
70.在了解控制环境时,与控制环境相关的要素可能包括下列方面:
(1)对诚信和道德价值观的沟通与落实,这是影响控制的设计、执行和监督有效性的重要因素;
(2)对胜任能力的重视,包括管理层对特定工作胜任能力的考虑以及这些能力如何转化为必要的技能和知识;
(3)治理层的参与,与这方面相关的因素举例如下:
① 治理层相对于管理层的独立性;
② 治理层的经验与品德;
③ 治理层参与被审计单位经营的程度和收到的信息及其对经营活动的详细检查;
④ 治理层采取措施的适当性,包括提出问题的难度和对问题的跟进程度,以及治理层与内部审计人员和注册会计师的互动;
(4)管理层的理念和经营风格,与这方面相关的因素举例如下:
① 承担和管理经营风险的方法;
② 对财务报告的态度和措施;
③ 对信息处理、会计职能及人员的态度;
(5)组织结构,即被审计单位为实现目标而计划、执行、控制及评价其活动的框架;
(6)职权与责任的分配,包括如何分配经营活动的职权与责任,如何建立报告关系和职权等级;
(7)人力资源政策与实务,包括与招聘、培训、考核、咨询、晋升、薪酬和补救措施等相关的政策与实务。
与控制环境要素相关的审计证据
71.通过将询问和其他风险评估程序相结合(如通过观察或检查文件证实询问、注册会计师可以获取相关审计证据。例如,通过询问管理层和员工,注册会计师可以了解管理层如何向员工传达商业行为惯例和道德行为价值观念。注册会计师可以通过考虑管理层是否建立了书面行为守则以及管理层是否按照支持该守则的方式行事,来确定相关控制是否已得到执行。
控制环境对重大错报风险评估的影响
72.控制环境的某些要素对重大错报风险评估具有广泛影响。例如,被审计单位的控制意识在很大程度上受治理层影响,因为治理层的职责之一就是平衡管理层面临的与财务报告相关、源于市场需求或薪酬方案的压力。与治理层参与相关的控制环境的设计有效性受下列事项的影响:
(1)治理层相对于管理层的独立性及评价管理层措施的能力;
(2)治理层是否了解被审计单位从事的交易;
(3)治理层对财务报表是否按照适用的财务报告编制基础编制进行评价的程度。
73.活跃而独立的董事会可能影响高级管理人员的理念和经营风格,其他因素对高级管理人员的影响可能有限。例如,人力资源政策和实务规定招聘具有胜任能力的财务、会计和信息系统人员,这可能降低处理财务信息时出现错误的风险,但是却不能抵消最高管理层高估收益的强烈倾向。
74.当注册会计师评估重大错报风险时,存在令人满意的控制环境是一个积极的因素。虽然令人满意的控制环境有助于降低舞弊风险,但并不能绝对遏制舞弊。相反,控制环境中存在的缺陷(特别是与舞弊相关的缺陷)可能削弱控制的有效性。例如,管理层没有针对信息系统安全风险投人足够资源,而是允许对系统程序或数据作出不当修改,或允许处理未经授权的交易,这可能对内部控制产生不利影响。如《〈中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施〉应用指南》所述,控制环境也影响进一步审计程序的性质、时间安排和范围。
75.控制环境本身并不能防止或发现并纠正重大错报。然而,它可能影响注册会计师对其他控制(如对控制的监督和特定控制活动的运行)有效性的评价,进而影响注册会计师对重大错报风险的评估。
对小型被审计单位的特殊考虑
76.小型被审计单位的控制环境通常与较大型被审计单位的不同。例如,小型被审计单位的治理层可能不包括独立的或外部的成员,如果没有其他所有者,治理层的职能通常直接由业主兼经理承担。控制环境的性质也可能影响其他控制的重要性或缺乏这些控制所造成的后果。例如,在小型被审计单位,业主兼经理的积极参与可能抵消由于缺乏职责分离导致的特定风险,但也会增加其他风险,如凌驾于控制之上的风险。
77.在小型被审计单位,可能无法获取以文件形式存在的有关控制环境要素的审计证据,特别是在管理层与其他人员的沟通不够正式但却有效的情况下。例如,小型被审计单位可能没有书面的行为守则,但却通过口头沟通和管理层的示范作用形成了强调诚信和道德行为重要性的文化。
78.因此,管理层或业主兼经理的态度、认识和措施对注册会计师了解小型被审计单位的控制环境非常重要。
(五)内部控制要素一一被审计单位的风险评估过程[编辑] |
〈(参见本准则第十八条)〉 |
79.被审计单位的风险评估过程为管理层确定需要管理的风险提供了基础。如果这一过程对于具体情况(包括被审计单位的性质、规模和复杂程度)是适当的,则有助于注册会计师识别重大错报风险。被审计单位的风险评估过程对于具体情况是否适当属于职业判断。
对小型被审计单位的特殊考虑〈(参见本准则第二十条)〉
80.小型被审计单位可能没有正式的风险评估过程。在这种情况下,管理层很可能通过直接亲自参与经营来识别风险。无论情况如何,注册会计师询问识别出的风险以及管理层如何应对这些风险,仍是必要的。
(六)内部控制要素一一与财务报告相关的信息系统(包括相关业务流程)与沟通[编辑]
与财务报告相关的信息系统(包括相关业务流程)〈(参见本准则第二十一条)〉
81.与财务报告目标相关的信息系统(包括会计系统)由一系列的程序和记录组成。被审计单位设计和建立这些程序和记录旨在:
(1)生成、记录、处理和报告交易(以及事项和情况),以及为相关资产、负债和所有者权益明确受托责任;
(2)解决不正确处理交易的问题,如自动生成暂记账户文件,以及及时按照程序清理暂记项目;
(3)处理并解释凌驾于控制之上或规避控制的情况;
(4)将信息从交易处理系统过人总分类账;
(5)针对除交易以外的事项和情况获取与财务报告相关的信息,如资产的折旧和摊销、应收账款可回收性的改变等;
(6)确保适用的财务报告编制基础规定披露的信息得到收集、记录、处理和汇总,并在财务报表中进行了适当报告。
会计分录
82.被审计单位的信息系统通常包括使用标准会计分录记录重复发生的交易。例如,在总分类账中记录销售、采购和现金付款,或记录管理层定期作出的会计估计,如对无法收回的应收账款的估计的改变。
83.被审计单位的财务报告过程还包括使用非标准的会计分录,以记录不重复发生的、异常的交易或调整事项,包括合并调整、业务合并或处置,或非重复发生的估计(如资产减值)。在人工系统的总分类账中,注册会计师可以通过检查分类账、日记账和支持性记录来识别非标准的会计分录。但是,当运用自动化程序记录总分类账和编制财务报表时,这些分录可能只以电子形式存在,因此使用计算机辅助审计技术更易于识别。
相关业务流程
84.被审计单位的业务流程是指旨在实现下列目的的活动:
(1)开发、采购、生产、销售、配送产品和提供服务;
(2)确保遵守法律法规;
(3)记录信息,包括会计和财务报告信息。
业务流程产生的交易由信息系统记录、处理和报告。了解被审计单位的业务流程(包括交易产生的方式),有助于注册会计师以适合被审计单位具体情况的方式了解与财务报告相关的信息系统。
对小型被审计单位的特殊考虑
85.在小型被审计单位,与财务报告相关的信息系统和相关业务流程可能不如较大型被审计单位复杂,但其作用同样重要。管理层积极参与经营管理的小型被审计单位,可能不需要详细描述会计流程、复杂的会计记录或书面政策。因此,在对小型被审计单位进行审计时,了解其系统和流程就较为容易,也更依赖于询问而不是对文件的检查。但是,了解与财务报告相关的信息系统和相关业务流程仍然重要。
沟通〈(参见本准则第二十二条)〉
86.被审计单位就财务报告的角色与职责以及与财务报告相关的重大事项的沟通,涉及到使员工了解在财务报告内部控制方面各自的角色和职责。这包括使员工了解其在财务报告信息系统中的活动与其他员工工作联系的程度,以及向适当的更高层级的管理层报告例外事项的方式。沟通可以采用政策手册、财务报告手册等形式。公开的沟通渠道有助于确保例外事项得到报告并有应对措施。
对小型被审计单位的特殊考虑
87.由于职责层级较少,更容易接触到管理层,小型被审计单位的沟通可能比大型被审计单位更简单、更容易实现。
(七)内部控制要素一一控制活动[编辑] |
〈(参见本准则第二十三条)〉 |
88.控制活动是指有助于确保管理层的指令得以执行的政策和程序。控制活动(不管存在于信息系统还是人工系统中)具有各种不同的目标,运用于各种不同的组织和职能层级中。控制活动包括与下列相关的活动:
(1)授权;
(2)业绩评价;
(3)信息处理;
(4)实物控制;
(5)职责分离。
89.与审计相关的控制活动包括:
(1)与特别风险相关的控制活动,以及与仅通过实质性程序无法获取充分、适当的审计证据的风险相关的控制活动(参见本准则第三十二条和第三十三条);
(2)注册会计师运用职业判断认为相关的控制活动。
90.注册会计师判断一项控制活动是否与审计相关,受以下两个因素的影响:
(1)注册会计师识别出的可能导致重大错报的风险;
(2)在确定实质性程序的范围时,注册会计师认为测试控制运行的有效性是否适当。
91.注册会计师的工作重点是识别和了解重大错报风险更高的领域的控制活动。如果多项控制活动能够实现同一目标,注册会计师不必了解与该目标相关的每项控制活动。
92.注册会计师通过了解内部控制其他要素获取的关于控制活动是否存在的信息,有助于其确定是否有必要对控制活动进行更多的了解。
对小型被审计单位的特殊考虑
93.小型被审计单位控制活动依据的理念与较大型被审计单位可能相似,但是它们运行的正式程度可能不同。进一步讲,在小型被审计单位中,由于某些控制活动由管理层执行,特定类型的控制活动可能变得并不相关。例如,只有管理层拥有批准赊销、重大采购的权力,这可以对重要账户余额和交易实施有力控制,降低或消除实施更具体的控制活动的必要性。
94.与小型被审计单位审计相关的控制活动可能与主要交易循环(如收入、采购和薪酬)相关。
信息技术导致的风险〈(参见本准则第二十四条)〉
95.信息技术的采用影响被审计单位执行控制活动的方式。从注册会计师的角度看,如果针对信息系统的控制能够保证系统所处理信息和数据的完整性和安全性,则控制是有效的。针对信息系统的控制包括信息技术一般控制和应用控制。
96.信息技术一般控制是与多个程序相关且支持应用控制有效运行的政策或程序,应用于主机、小型机和终端用户环境。保证信息完整性和数据安全性的信息技术一般控制通常包括:
(1)数据中心和网络运行控制;
(2)系统软件的购置、修改及维护控制;
(3)程序修改控制;
(4)接触或访问权限控制;
(5)应用系统的购置、开发及维护控制。
这些控制通常用于应对本指南第56段列示的风险。
97.应用控制通常是指在业务流程层面运行的人工或自动化程序,运用于由单个程序处理的交易。从性质上讲,应用控制可以是预防性的或检查性的,旨在保证会计记录的完整性。因此,应用控制与用于生成、记录、处理、报告交易或其他财务数据的程序相关。这些控制有助于保证发生的交易经过授权,并得到全面而准确的记录和处理。应用控制的举例包括对输入数据的编辑性检查,序号检查和报告例外事项的人工跟进,以及在数据录入时进行纠正。
(八)内部控制要素一对控制的监督[编辑] |
〈(参见本准则第二十五条)〉 |
98.对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程。对控制的监督涉及及时评估控制的有效性并采取必要的补救措施。管理层通过持续的监督活动、单独的评价活动或两者相结合实现对控制的监督。持续的监督活动通常贯穿于被审计单位日常重复的活动中,包括常规管理和监督工作。
99.管理层的监督活动可能包括利用与外部有关各方沟通所获取的信息(如可能表明存在问题或需要改进的领域的顾客投诉和监管机构的意见)。
对小型被审计单位的特殊考虑
100.管理层对控制的监督经常通过管理层或业主兼经理对经营活动的密切参与来实现。通过密切参与经营活动,可以识别出与预期不同的重大差异和不准确的财务数据,从而可以对控制采取补救措施。
内部审计〈(参见本准则第二十六条)〉
101.如果被审计单位内部审计的职责和活动与财务报告相关,并且注册会计师预期利用内部审计人员的工作,以修改拟实施审计程序的性质或时间安排或者缩小拟实施审计程序的范围,则内部审计可能与审计相关。如果注册会计师确定内部审计与审计相关,则《中国注册会计师审计准则第1411号——利用内部审计人员的工作》适用。
102.各种实体内部审计的目标及其职责的性质和在组织中的地位都各不相同,取决于实体的规模和结构、管理层和适当的治理层(如适用)的要求。例如,内部审计的职责可能包括监督内部控制、风险管理、检查对法律法规的遵守情况。另一方面,内部审计的职责可能仅限于检查经营活动的经济性、效率性和有效性,因此可能与财务报告无关。
103.如果内部审计职责的性质与财务报告相关,注册会计师在考虑内部审计已实施或拟实施的活动时,可以检查内部审计在本期的审计计划(如存在)并与内部审计人员讨论该计划。
信息来源〈(参见本准则第二十七条)〉
104.监督活动中使用的很多信息可能由被审计单位的信息系统产生。如果管理层假定用于监督的数据是准确的而这一假定没有依据,则这些信息可能存在错误,导致管理层从监督活动中得出不正确的结论。因此,注册会计师需要了解以下事项,并将其作为了解被审计单位监督活动(内部控制要素)的一部分:
(1)与被审计单位监督活动相关的信息来源;
(2)管理层认为信息对于信息的使用目的足够可靠的依据。四、识别和评估重大错报风险
(一)评估财务报表层次重大错报风险[编辑] |
〈(参见本准则第二十八条第(一)项)〉 |
105.财务报表层次重大错报风险是指与财务报表整体广泛相关,并潜在地影响多项认定的风险。这种性质的风险不一定限定于某类交易、账户余额或披露层次的特定认定的风险,而在一定程度上代表了可能增加认定层次重大错报风险的情况,如管理层凌驾于内部控制之上。财务报表层次的风险可能与注册会计师考虑由于舞弊导致的重大错报风险尤其相关。
106.财务报表层次的风险很可能源于控制环境存在缺陷(虽然这些风险还可能与其他因素相关,如经济下滑)。例如,管理层缺乏胜任能力等缺陷可能对财务报表具有更广泛的影响,可能需要注册会计师采取总体应对措施。
107.注册会计师在了解被审计单位内部控制后,可能对被审计单位财务报表的可审计性产生怀疑。例如:
(1)对管理层的诚信产生严重疑虑,以致注册会计师认为管理层在财务报表中作出虚假陈述的风险非常大而无法进行审计;
(2)对被审计单位会计记录的状况和可靠性的疑虑,可能使注册会计师认为可能很难获取充分、适当的审计证据,以支持对财务报表发表无保留意见。
108.《中国注册会计师审计准则第1502号——在审计报告中发表非无保留意见》及其应用指南为注册会计师确定是否有必要出具保留意见、无法表示意见或在某些情况下解除业务约定(在适用的法律法规允许解除约定的情况下)作出了规定并提供了指引。
(二)评估认定层次重大错报风险[编辑] |
〈(参见本准则第二十八条第(二)项)〉 |
109.注册会计师需要考虑各类交易、账户余额和披露认定层次的重大错报风险,因为这些考虑直接有助于确定用于获取充分、适当的审计证据而在认定层次实施的进一步审计程序的性质、时间安排和范围。在识别和评估认定层次重大错报风险时,注册会计师可能认为识别出的风险与财务报表整体广泛相关,进而潜在地影响多项认定。
对认定的运用
110.在声明财务报表按照适用的财务报告编制基础编制时,管理层对财务报表各种要素及相关披露的确认、计量、列报与披露作出明确或隐含的认定。
111.注册会计师在考虑可能发生的潜在错报的不同类型时运用的认定,分为以下三类并可能采取以下形式:
(1)关于所审计期间各类交易和事项的认定:
① 发生——记录的交易或事项已发生,且与被审计单位有关;
② 完整性一一所有应当记录的交易和事项均已记录;
③ 准确性一一与交易和事项有关的金额及其他数据已恰当记录;
④ 截止——交易和事项已记录于正确的会计期间;
⑤ 分类一一交易和事项已记录于恰当的账户;
(2)关于期末账户余额的认定:
① 存在——记录的资产、负债和所有者权益是存在的;
② 权利和义务——记录的资产由被审计单位拥有或控制,记录的负债是被审计单位应当履行的偿还义务;
③ 完整性——所有应当记录的资产、负债和所有者权益均已记录;
④ 计价和分摊——资产、负债和所有者权益以恰当的金额包括在财务报表中,与之相关的计价或分摊调整已恰当记录;
(3)与列报和披露相关的认定:
① 发生以及权利和义务——披露的交易、事项和其他情况已发生,且与被审计单位有关;
② 完整性——所有应当包括在财务报表中的披露均已包括;
③ 分类和可理解性一一财务信息已被恰当地列报和描述,且披露内容表述清楚;
④ 准确性和计价一一财务信息和其他信息已公允披露,且金额恰当。
112.注册会计师可以使用上述认定,或在能够涵盖上述所有方面的前提下以其他不同的方式表述。例如,注册会计师可以将与交易和事项相关的认定和与账户余额相关的认定结合使用。
对公共部门实体的特殊考虑
113.当管理层对公共部门实体的财务报表作出认定时,除本指南第111段提及的认定外,管理层通常声明交易和事项已按照法律法规或其他监管要求执行。这些认定可以纳入财务报表审计的范畴。
(三)识别重大错报风险的过程[编辑] |
〈(参见本准则第二十九条第(一)项)〉 |
114.通过实施风险评估程序收集的信息,包括在评价控制的设计及确定其是否得到执行时获取的审计证据,可以作为支持风险评估结果的审计证据。风险评估结果决定了拟实施的进一步审计程序的性质、时间安排和范围。
115.本指南附录2列示了可能表明存在重大错报风险的情况和事项。
(四)将控制与认定相联系[编辑] |
〈(参见本准则第二十九条第(三)项)〉 |
116.在进行风险评估时,注册会计师可能识别出可以防止或发现并纠正特定认定的重大错报的控制。一般而言,了解这些控制,并在控制所在的流程和系统中将这些控制与认定相联系,是很有帮助的,因为单个控制活动本身往往并不足以应对风险。通常只有多个控制活动,连同内部控制的其他要素,才能足以应对风险。
117.相反地,某些控制活动可能对特定类别的交易或账户余额所包含的个别认定具有特定影响。例如,被审计单位建立的用以确保员工能够适当地盘点和记录年度实物存货的控制活动,与存货账户余额的存在和完整性认定直接相关。
118.控制可能与某一认定直接相关,也可能与某一认定间接相关。关系越间接,控制在防止或发现并纠正该认定中错报的有效性越小。例如,销售经理对分地区的销售网点的销售汇总情况进行复核,与销售收入完整性的认定只是间接相关。相应地,该项控制在降低销售收入完整性认定中的错报风险方面的效果,要比与该认定直接相关的控制(例如,将发货单与开具的销售发票相核对)的效果差。
(五)特别风险[编辑]
识别特别风险〈(参见本准则第三十一条)〉
119.特别风险通常与重大的非常规交易和判断事项有关。非常规交易是指由于金额或性质异常而不经常发生的交易。判断事项可能包括作出的会计估计(具有计量的重大不确定性)。经过系统处理的日常、简单的交易不太可能产生特别风险。
120.对由于如下事项导致的重大非常规交易,重大错报风险可能更高:
(1)管理层更多地干预会计处理;
(2)对数据的收集和处理进行更多的人工干预;
(3)复杂的计算或会计处理方法;
(4)非常规交易的性质可能使被审计单位难以对由此产生的风险实施有效控制。
121.对由于如下事项导致的需要作出会计估计的重大判断事项,重大错报风险可能更高:
(1)对涉及会计估计、收入确认等方面的会计原则存在不同的理解;
(2)所要求的判断可能是主观或复杂的,或需要对未来事项的影响作出假设,如对公允价值的判断。
122.《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》说明了识别特别风险对进一步审计程序的影响。
与由于舞弊导致的重大错报风险相关的特别风险
123.《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》对识别和评估由于舞弊导致的重大错报风险作出了规定。
了解与特别风险相关的控制〈(参见本准则第三十二条)〉
124.虽然与重大非常规交易或判断事项相关的风险通常很少受到日常控制的约束,管理层可能采取其他措施应对此类风险。相应地,注册会计师在了解被审计单位是否设计和执行了针对非常规交易或判断事项导致的特别风险的控制时,通常了解管理层是否以及如何应对这些风险。管理层采取的应对措施可能包括:
(1)控制活动,如高级管理人员或专家对假设进行检查;
(2)对估计流程作出记录;
(3)治理层作出批准。
125.如果发生诸如收到重大诉讼事项的通知等一次性事件,注册会计师在考虑被审计单位的应对措施时,关注的事项包括:被审计单位是否已将这类事项提交适当的专家(如内部或外部的法律顾问)处理,是否已对该事项的潜在影响作出评估,如何建议将该情况在财务报表中进行披露。
126.在某些情况下,管理层可能未能通过实施针对特别风险的控制恰当应对特别风险。管理层未能实施这些控制表明存在值得关注的内部控制缺陷。
(六)仅实施实质性程序不能获取充分、适当的审计证据的风险[编辑] |
〈(参见本准则第三十三条)〉 |
127.重大错报风险可能与记录日常交易或账户余额以及编制可靠的财务报表直接相关。这些风险可能包括对日常和重大类别的交易(如被审计单位的收入、采购、现金收入或现金支出)处理不准确或不完整的风险。
128.如果日常交易由高度自动化处理,不存在或存在很少人工干预,针对风险仅实施实质性程序可能不可行。例如,如果被审计单位大量信息在一体化的系统中仅以电子方式生成、记录、处理或报告,注册会计师可能认为会出现以上情况。在这种情况下:
(1)获取的审计证据可能仅以电子形式存在,其充分性和适当性通常取决于针对准确性和完整性的控制的有效性;
(2)如果适当的控制没有正在有效运行,信息不当生成或对信息进行不当修改而没有被发现的可能性会增加。
129.《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》说明了识别出这些风险对进一步审计程序的影响。
(七)对风险评估的修正[编辑] |
〈(参见本准则第三十四条)〉 |
130.在审计过程中,注册会计师可能注意到某些信息,其明显不同于风险评估所依据的信息。例如,风险评估可能基于预期特定控制运行有效这一判断,但在测试控制运行的有效性时,注册会计师获取的证据可能表明这些控制在被审计期间的相关时点并未有效运行。类似地,在实施实质性程序时,注册会计师可能发现错报的金额或频率高于在风险评估时预计的金额或频率。在这种情况下,风险评估可能没有恰当地反映被审计单位的真实状况,原计划的进一步审计程序对于发现重大错报可能无效。《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》及其应用指南对此作出了进一步规定并提供了进一步指引。
五、审计工作底稿[编辑] |
〈(参见本准则第三十五条)〉 |
131.注册会计师需要运用职业判断,确定对本准则第三十五条规定的事项进行记录的方式。例如,在小型被审计单位的审计中,这些事项的工作底稿可能包含在总体审计策略和具体审计计划的工作底稿中。类似地,风险评估的结果可以单独予以记录,也可作为注册会计师对进一步审计程序记录的一部分。审计工作底稿的形式和范围受被审计单位性质、规模、复杂程度、内部控制、被审计单位信息的可获得性,以及审计过程中使用的审计方法和技术的影响。
132.对于与财务报告相关的业务和流程不太复杂的被审计单位,审计工作底稿可以形式简单,内容相对概括。注册会计师没有必要记录对被审计单位及相关事项了解的所有内容。注册会计师记录的了解的关键要素包括在重大错报风险评估时所依据的内容。
133.记录的范围也能反映审计项目组成员的经验与胜任能力。只要能够满足《中国注册会计师审计准则第1131号——审计工作底稿》的要求,由经验较少的成员组成的项目组执行审计时,可能需要比成员经验较多的项目组作出更加详细的记录,以帮助经验较少的成员恰当了解被审计单位。
134.对于连续审计,某些工作底稿在必要时可能需要结转、吏新,以反映被审计单位业务或流程的变化。
附录[编辑]
附录1:〈(参见本准则第二条、第十七条至第二十七条、本指南第69段至第104段)〉
内部控制要素[编辑]
1.本准则第二条、第十七条至第二十七条、本指南第69段至第104段列示的内部控制要素与财务报表审计相关,本附录作出进一步说明。
一、控制环境[编辑]
2.控制环境包括以下要素:
(1)对诚信和道德价值观的沟通与落实。控制的有效性受负责创建、管理和监控内部控制的人员的诚信和道德价值观的影响。被审计单位的道德行为规范,以及这些规范如何在被审计单位内部得到沟通和落实,决定了是否能产生诚信和道德的行为。例如,对诚信和道德价值观的落实包括管理层釆取措施消除或减少可能导致员工不诚实、不守法或不道德行为的动机或诱因。被审计单位对诚信和道德价值观方面政策的沟通包括通过政策规定、行为规范和示范向员工沟通行为准则。
(2)对胜任能力的重视。胜任能力是指具备完成某一职位的工作所应有的知识和技能。
(3)治理层的参与程度。被审计单位的控制意识在很大程度上受治理层的影响。治理层职责的重要性在被审计单位的行为守则、其他法律法规或在为治理层制定的指引中予以规定。治理层的职责还包括监督以下程序的设计和有效执行:内部举报不恰当行为的程序和用于复核内部控制有效性的程序。
(4)管理层的理念和经营风格。管理层的理念和经营风格具有广泛的特点。例如,管理层对财务报告的态度及行为,可以通过其选择保守还是激进的会计原则以及作出会计估计时的谨慎和保守态度得到体现。
(5)组织结构。建立相关的组织结构包括考虑职权和责任的关键领域,以及适当的报告层级。被审计单位组织结构是否恰当部分取决于被审计单位的规模和经营活动的性质。
(6)职权与责任的分配。职权与责任的分配可能包括与适当的经营惯例、关键员工的知识和经验、履行职责时提供的资源相关的政策。此外,还可能包括一些政策及交流活动,用于保证所有员工均了解被审计单位目标、相互之间的工作联系以及个人的工作对实现目标的作用,认识到如何以及对什么承担责任。
(7)人力资源政策与实务。人力资源政策与实务通常能显示与被审计单位控制意识相关的重要事项。例如,如果招聘录用标准要求录用最胜任的员工(即强调教育背景、以前的工作经验、以前取得的成就、诚信和道德行为的证明),则表明被审计单位希望录用有胜任能力并值得信赖的人员。被审计单位的培训政策可以传达预期角色及职责,并包括实务性培训(如培训学校和研讨会),这表明了员工预期的工作表现和行为方式。通过定期业绩考核予以晋升的政策表明被审计单位希望具备相应资格的员工承担更高级别的职责。
二、被审计单位的风险评估过程[编辑]
3.就财务报告的目的而言,被审计单位的风险评估过程包括管理层如何识别与按照适用的财务报告编制基础编制财务报表相关的经营风险,估计其重要性,评估其发生的可能性,针对这些风险采取措施应对和管理风险及其结果。例如,被审计单位的风险评估过程可能针对被审计单位如何考虑交易未被记录的可能性,或识别并分析财务报表中记录的重大估计。
4.与可靠的财务报告相关的风险包括可能发生的外部和内部事项、交易或情况,这些事项、交易或情况会对被审计单位生成、记录、处理和报告财务报表中与管理层认定相一致的财务数据产生不利影响。管理层可能会制定计划、执行程序或采取措施以解决特定风险,或者出于成本或其他考虑决定接受风险。以下情况可能会产生或改变风险:
(1)监管环境和经营环境的变化。监管环境和经营环境的变化会导致竞争压力的变化以及显著不同的风险。
(2)新员工。新员工可能对内部控制有不同的关注点或认识。
(3)新的或升级的信息系统。信息系统重大、快速的变化会改变与内部控制有关的风险。
(4)快速增长。重要、快速的业务扩张可能使控制难以应对,从而增加了控制失效的风险。
(5)新技术。将新技术运用于生产过程或信息系统可能改变与内部控制相关的风险。
(6)新业务模式、产品或活动。进入新的业务领域和发生新的交易,可能因被审计单位具有较少的经验而带来新的与内部控制相关的风险。
(7)公司重组。重组可能带来裁员和监督及职责分离的变化,可能改变与内部控制相关的风险。
(8)扩张海外经营。在海外扩张或收购海外企业会产生新的并且往往是独特的风险,进而可能影响内部控制,如由于外币交易产生的额外或已变化的风险。
(9)新的会计政策。采用新的会计政策或变更会计政策可能影响财务报表编制过程中的风险。
三、与财务报告相关的信息系统(包括相关业务流程)与沟通[编辑]
5.信息系统包括基础设施(实物或硬件部分)、软件、人员、程序及数据。很多信息系统都广泛使用信息技术。
6.与财务报告目标相关的信息系统(包括财务报告系统)包括关于下列事项的方法和记录:
(1)识别与记录所有的有效交易;
(2)以充分详细的方式及时地描述交易,以便在财务报告中对交易作出恰当分类;
(3)以在财务报表中正确记录交易的货币价值的方式计量交易的价值;
(4)确定交易发生的期间,以便将交易计入恰当的会计期间;
(5)在财务报表中恰当列报交易及相关披露。
7.信息系统生成信息的质量,影响管理层在管理和控制被审计单位活动时作出恰当的决策以及编制可靠的财务报告的能力。
8.沟通,涉及使员工了解各自在财务报告内部控制方面的角色和职责,可以采用政策手册、会计和财务报告手册以及备忘录等形式。沟通也可以采用电子方式或口头方式,以及通过管理层的行动来实现。
四、控制活动[编辑]
9.通常情况下,可能与审计相关的控制活动可以分为与下列事项相关的政策和程序:
(1)业绩评价。这些控制活动包括被审计单位分析及评价实际业绩与预算、预测和前期业绩的差异,将不同类别的数据(经营或财务数据)联系起来,分析之间的关系,进行调查并采取纠正措施;将内部数据与外部信息相比较;评价职能部门、项目活动的业绩。
(2)信息处理。信息系统控制活动的两大类是应用控制和信息技术一般控制。应用控制运用于处理单个应用程序,信息技术一般控制是与多个应用程序相关的政策和程序,通过保证信息系统持续恰当地运行,支持应用控制作用的有效发挥。应用控制的举例包括对记录计算准确性的检查,对账户和试算平衡表的维护和审核,自动控制(如设置对输入数据和数字序号的自动检查),以及对例外报告的人工跟进调查。信息技术一般控制的举例包括程序变动控制,限制接触程序或数据的控制,对实施新发布的软件包应用程序的控制,针对限制接触或监督使用系统应用程序的系统软件的控制,使用这些系统应用程序可能更改财务数据或记录而不留下审计轨迹。
(3)实物控制。实物控制包括下列控制:
① 保证资产的实物安全,包括恰当的安全保护措施,如针对接触资产和记录的安全设施;
② 对接触计算机程序和数据文档设置授权;
③ 定期盘点并将盘点记录与控制记录相核对(如将会计记录与现金、有价证券和存货的定期盘点结果相比较)。
旨在防止资产盗窃的实物控制,与财务报表编制的可靠性及审计相关,相关的程度取决于资产被侵占的风险。
(4)职责分离。即将交易授权、记录交易以及资产保管等职责分配给不同员工。职责分离旨在降低同一员工在正常履行职责过程中实施并隐瞒舞弊或错误的可能性。
10.某些控制活动可能取决于是否存在由管理层或治理层制定的、恰当的高层次政策。例如,可能按照既定的指导方针(如治理层制定的投资标准)进行授权控制;或省非常规交易(如重大收购或撤资)可能需要特定的高级别的批准,包括在某些情况下由股东批准。
五、对控制的监督[编辑]
11.管理层的一项重要职责就是持续不断地建立和维护控制。管理层对控制的监督包括考虑控制是否按计划运行,以及控制是否根据情况的变化作出恰当修改。例如,对控制的监督可能包括管理层对是否及时编制银行存款余额调节表进行复核,内部审计人员评价销售人员是否遵守被审计单位关于销售合同条款的政策,法律部门监控被审计单位的道德规范和商业行为政策是否得到遵守等。监督也用于保证控制持续有效运行。例如,如果没有对编制银行存款余额调节表的及时性和准确性进行监督,相关人员可能停止编制该表。
12.内部审计人员或具有类似职责的人员可以通过单独评价促成对被审计单位控制的监督。他们通常定期提供关于内部控制职能的信息(着力于评价内部控制的有效性\就内部控制的优势和缺陷进行沟通,并提出改进建议。
13.监督活动可能包括利用与外部有关机构或人员沟通所获取的信息,这些外部信息可能显示内部控制存在的问题或需要改进的领域。例如,客户通过付款来间接表示其同意发票金额,或者对发票金额提出异议。此外,监管机构可能会对影响内部控制运行的问题与被审计单位沟通(例如,银行监管机构针对检查所作的沟通)。在执行监督活动时,管理层也可能考虑与注册会计师就内部控制进行沟通。
附录2:〈(参见本指南第33段和第115段)〉
可能表明存在重大错报风险的情况和事项[编辑]
以下是可能表明存在重大错报风险的情况和事项的示例。这些情况和事项涵盖范围广泛,然而,并非所有的情况和事项都与每项审计业务相关,下面所列情况和事项也不一定完整。
1.在经济不稳定(如货币发生重大贬值或经济发生严重通货膨胀)的国家或地区开展业务;
2.在高度波动的市场开展业务(如期货交易);
3.在高度复杂的监管环境中开展业务;
4.持续经营和资产流动性出现问题,包括重要客户流失;
5.获取资本或借款的能力受到限制;
6.被审计单位经营所处的行业发生变化;
7.供应链发生变化;
8.开发新产品或提供新服务,或进入新的业务领域;
9.开辟新的经营场所;
10.被审计单位发生变化,如发生重大收购、重组或其他异常的事项;
11.拟出售分支机构或业务分部;
12.存在复杂的联营或合资企业;
13.运用表外融资、特殊目的实体以及其他复杂的融资安排;
14.从事重大的关联方交易;
15.缺乏具备会计和财务报告技能的员工;
16.关键人员变动(包括核心执行人员的离职);
17.内部控制存在缺陷,尤其是管理层未处理的内部控制缺陷;
18.信息技术战略与经营战略不协调;
19.信息技术环境发生变化;
20.安装新的与财务报告有关的重大信息技术系统;
21.经营活动或财务业绩受到监管机构或政府机构的调查;
22.以往发生的错报或错误,或者在本期期末出现重大会计调整;
23.发生大额非常规或非系统性交易(包括公司间的交易和在期末发生大量收入的交易);
24.按照管理层特定意图记录的交易(如债务重组、资产出售,交易性债券的分类);
25.采用新的会计准则;
26.涉及复杂过程的会计计量;
27.涉及重大计量不确定性(包括会计估计)的事项或交易;
28.存在未决诉讼和或有负债(如售后质量保证、财务担保和环境补救)。
参见[编辑]
Public domainPublic domainfalsefalse