当前位置:首页 > 常用文档 > 工作总结 > 正文
 

内部控制审计操作手册:企业内部控制审计内容

发布时间:2019-04-15 15:10:30 影响了:

内部控制审计操作手册 目 录 第一章 获取审计业务约定书 1 一、获取审计业务约定书 1 二、内部控制审计业务约定书的内容 1 三、连续审计 2 四、审计业务约定条款的变更 2 五、业务约定书的文档记录 3 第二章 建立审计项目组 3 一、项目小组成员的要求 3 二、组建项目小组的考虑 3 三、管理、指导、并监督项目小组 4 四、项目小组成员的角色及责任 5 第三章 了解被审计单位及其环境 6 一、了解被审计单位及其环境的必要性 6 二、了解被审计单位及其环境的程度 7 三、了解被审计单位及其环境的主要内容 7 3.1行业状况、法律环境与监管环境以及其他外部因素 7 3.1.1行业因素 8 3.1.2 遵守法律法规的规定 8 3.1.3 其他外部因素 8 3.2了解被审计单位的性质 9 3.3被审计单位对会计政策的选择和运用 10 3.4被审计单位的目标、战略以及相关经营风险 10 3.5被审计单位财务业绩的衡量和评价 11 四、了解IT在企业中的角色 12 4.1了解IT复杂程度 12 4.2了解IT对我们审计工作的影响 13 五、如何了解企业及其环境 13 5.1检阅相关信息 13 5.2询问企业管理层及其他人员 14 5.3观察及检查 14 5.4信息来源 14 六、确定重大错报风险 15 七、工作底稿记录 15 第四章 利用专家的工作 15 一、确定是否利用专家的工作 16 1.1确定IT专家的介入程度 17 1.2确定税务专家的介入程度 17 1.3确定相关行业专家的介入程度 18 二、利用管理层专家的工作 18 2.1评价管理层专家的胜任能力、专业素养和客观性 18 2.2 了解管理层专家的工作 19 2.3 评价管理层专家的工作是否足以实现审计目的 20 三、利用事务所的内部专家的工作 21 四、利用事务所外部专家的工作 23 五、记录审计工作 26 第五章 了解企业整体的内部控制 27 一、企业层面控制的内涵 27 二、企业层面控制对其他控制及其测试的影响 28 三、了解和评价企业层面内部控制的主要内容 29 3.1与控制环境(即内部环境)相关的控制 30 3.1.1管理层的理念和经营风格 31 3.1.2诚信和道德价值观念的沟通与落实 31 3.1.3治理层的参与程度 32 3.2针对管理层和治理层凌驾于控制之上的风险而设计的控制 32 3.3被审计单位的风险评估过程 34 3.4对内部信息传递的控制 35 3.5对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价 35 3.5.1管理层是否定期地将会计系统中记录的数额与实物资产进行核对 36 3.5.2管理层是否为保证内部审计活动的有效性而确立了相应的控制 36 3.5.3管理层是否建立了相关的控制以保证自我评价或定期的系统评价的有效 性 36 3.5.4管理层是否建立了相关的控制以保证监督性控制能够在一个集中的地点有效进行(如共享服务中心等) 36 3.6集中化的处理和控制(包括共享的服务环境) 36 3.7监督经营成果的控制 37 四、企业层面控制对其他控制及其测试的影响 38 五、如何了解企业层面控制 39 5.1了解企业层面控制的方法 39 5.2审计证据的考虑和了解企业层面控制的范围 39 六、识别和评估重大错报风险 40 七、工作底稿记录 40 第六章 识别舞弊风险并确定应对措施 40 一、识别舞弊风险的相关要求 40 二、识别舞弊风险的主要程序及考虑因素 41 2.1组织项目组讨论 42 2.2就舞弊风险询问管理层和其他人员 42 2.2.1询问管理层 42 2.2.2询问内部审计人员 43 2.2.3询问内部其他人员 44 2.2.4询问治理层 44 2.3考虑舞弊风险因素 45 2.4考虑异常关系或偏离预期的关系 45 2.5考虑其他信息 45 三、识别由于舞弊而导致的重大错报风险 45 3.1收入确认 46 四、应对舞弊导致的重大错报风险 46 4.1总体应对措施 46 4.2特别措施 46 五、应对管理层凌驾于控制之上的措施 47 六、应对与关联方有关的由于舞弊而导致的重大错报风险的措施 47 七、对审计其他方面的影响 48 第七章 确定重要性水平 48 一、了解确定整体重要性水平需做的考虑 48 1.1确定整体重要性水平时财务报表使用者的展望与预期 49 1.2整体重要性水平的恰当基准 49 1.2.1是否存在特定会计主体的财务报表使用者特别关注的项目 49 1.2.2被审计单位的性质、所处的生命周期阶段以及所处行业和经济环境 49 1.2.3治理层的看法和预期 49 二、了解确定特定类别的交易、账户余额或披露的重要性水平需做的考虑 50 三、了解确定实际执行重要性水平(可容忍误差)需做的考虑 50 四、确定整体重要性水平 50 4.1定义整体重要性水平时确定应用适当百分比的税前利润 51 4.1.1上市企业或重要项目 51 4.1.2非重要项目 51 4.2当税前利润作为计量基准不恰当时确定应用适当百分比的计量基础 51 五、确定特定类别的交易、账户余额或披露的重要性水平 52 六、确定实际执行的重要性水平 52 七、在审计过程中修改重要性水平 53 第八章 识别重大账户、重大列报及相关认定 53 一、识别重大账户、重大列报及其相关认定 53 1.1重大账户或列报 53 1.2确定重大账户或列报的金额标准 53 1.3确定重大账户或列报的性质考虑 54 1.3.1重大账户或列报的性质确定 54 1.3.2考虑已识别的固有风险 54 1.3.3评价财务报表项目及附注的错报风险因素 54 1.4有关账户的其他考虑因素 55 二、确定相关认定 55 2.1利润表科目的重要账户的相关认定 56 2.2资产负债表重要账户的相关认定 56 2.3与列报和披露相关的认定 56 三、更新我们确定的重大账户或列报及相关认定 57 第九章 识别重大业务流程和重大列报流程 57 一、识别业务流程 57 1.1常规的业务流程 58 1.2非常规的业务流程 58 1.3估计的业务流程 58 二、确定重大流程 58 2.1确定重大业务流程 58 2.2对重大估计业务流程的考虑 59 2.3重大列报流程 59 三、识别相关信息系统 60 第十章 关于集团审计的特殊考虑 60 一、了解集团及其环境、集团组成部分及其环境 60 二、了解集团及其组成部分的内部控制 61 三、集团管控风格的影响 62 四、确定重要性水平以及可容忍误差 62 4.1确定集团整体财务报表重要性 63 4.2确定集团实际执行的重要性(可容忍误差) 63 4.3确定组成部分可容忍误差 63 五、确定重要组成部分 64 5.1根据规模确定 65 5.2根据特定性质或情况确定 65 5.3不重要组成部分 65 六、识别重大账户、重大列报及其相关认定 65 七、组成部分内部控制审计策略 66 八、设定组成部分审计策略的标准 66 第十一章 了解企业内部控制自我评价过程以及利用他人的工作 67 一、了解企业内部控制自我评价过程 67 二、利用他人的工作 68 2.1对专业胜任能力和客观性的考虑 68 2.1.1专业胜任能力和客观性对可利用他人工作程度的影响 68 2.2对利用内部审计人员工作的特殊考虑 69 2.2.1评价内部审计人员的专业胜任能力 69 2.2.2评价内部审计人员的客观性 70 2.3利用内部审计人员的工作成果 71 2.4确定利用他人工作的范围 74 2.5测试由他人执行的部分工作 74 三、工作底稿记录 75 第十二章 评价企业层面控制测试 75 一、间接的企业层面控制 75 二、应对舞弊导致的重大错报风险(包括董事会、管理层凌驾于控制之上的风险)的控制 76 三、控制环境 77 四、充当业务层面控制的直接企业层面控制 77 五、工作底稿记录 77 第十三章 了解重大业务流程和重大列报流程 78 一、考虑企业层面控制对重大业务流程和重大列报流程的影响 78 二、识别重大业务流程和重大列报流程的关键流程 78 2.1信息来源 80 2.2询问 80 2.3观察和检查 80 2.4对服务机构的考虑 81 三、在重大业务流程和重大列报流程中识别可能出错项 81 3.1如何识别可能出错项 82 3.2将可能出错项联系到相关认定 83 3.3特别风险和可能出错项 83 3.4 IT方面的可能出错项 83 四、识别与审计相关的控制活动 84 4.1相关的控制的种类 84 4.2如何开始识别相关控制 84 4.3对识别降低特别风险的控制的特殊考虑 84 五、对了解不同性质的重大业务流程的具体考虑 85 5.1重大业务流程的种类 85 5.2相关控制活动 86 5.2.1管理层对专家的利用 87 5.2.2假设 87 5.2.3改变会计估计的方法 87 5.2.4估计的不确定性 88 六、对了解重大列报流程的特殊考虑 88 6.1重大会计账户的列报 88 6.2财务报表决算过程的列报 88 第十四章 执行穿行测试 89 一、执行穿行测试 89 1.1穿行测试的程序 90 1.2与穿行测试过程中进行的询问相关的考虑 90 1.3对穿行测试的结果得出结论 91 1.4对控制有效性的初步评价 91 二、穿行测试的特殊考虑 92 2.1会计估计的流程 92 2.2关于降低重大错报风险的控制的穿行测试的考虑 92 2.3在执行穿行测试时利用他人工作 93 2.4针对自动化程序里的数据和交易信息 93 第十五章 选择、测试内部控制 93 一、选择拟测试的控制的基本要求 94 二、选择拟测试的控制的考虑因素 94 2.1选择适当的控制测试 94 2.1.1控制的目标和分类 95 2.1.1.1预防性控制和检查性控制 95 2.1.1.2手工控制和自动执行的控制 95 2.2确认已选测试的控制与审计相关 97 2.3评估已选测试的控制是否充分敏感 97 三、与控制相关的风险 99 四、控制测试的程序的性质 100 4.1询问 100 4.2观察 100 4.3检查 100 4.4重新执行 101 五、控制测试的时间安排 102 5.1期中测试的两种方法 102 5.2是否测试被取代的控制 103 5.3期中测试和前推程序 103 5.4针对信息技术一般控制(ITGCs)和应用控制的前推程序 104 5.5集团内部控制审计中实施前推程序的考虑 104 六、控制测试的范围 105 6.1影响测试范围的因素 105 6.2抽样方法的一般考虑 105 6.3样本参考量 106 6.3.1测试人工控制的最小样本规模 106 6.3.2测试应用控制的最小样本规模 107 6.4追加控制测试 107 七、执行内部控制测试 108 7.1执行控制测试的一般考虑 108 7.2审计证据质量的额外考虑 108 八、评价控制偏差 108 8.1确认控制偏差 108 8.2确定控制偏差的属性 109 8.3确定审计应对措施 110 九、工作底稿记录 110 第十六章 了解和评价财务报告流程(FSCP) 111 一、了解和评价财务报告流程过程 111 1.1财务报告流程了解程度 111 1.2对财务报告流程进行了解的起点 112 1.3了解和评价财务报告流程的程序 113 1.3.1了解财务报告流程的子过程 113 1.3.1.1编制试算平衡表并进行任何必要的合并 113 1.3.1.2生成、授权和记录记账分录 113 1.3.1.3编制财务报表及相关列报 113 1.4识别可能出错项 114 1.5识别和了解财务报告流程中的控制活动 114 1.6初步评价控制的有效性 115 第十七章 了解、穿行测试、测试和评估IT一般控制 115 一、信息系统审计范围界定 116 二、信息系统环境中的控制测试 116 2.1信息系统审计策略的确定 116 2.2信息系统一般控制测试 117 2.3系统应用控制测试 119 三、控制测试底稿 120 附件一 信息系统环境复杂度判断指引 120 附件二 信息系统环境控制测试底稿 122 第十八章 评价内部控制缺陷 123 一、控制缺陷的分类 123 二、内部控制缺陷评价时的一般考虑 124 2.1衡量缺陷严重性的标准 124 2.2充分考虑缺陷组合 124 2.3补偿性控制 124 2.4考虑企业内部控制自我评价的结果 124 三、财务报告内部控制缺陷评价标准 124 3.1定量标准 125 3.2定性标准 125 四、非财务报告内部控制缺陷评价标准 126 五、内部控制缺陷评价程序 127 六、内部控制缺陷评价的特殊考虑 130 6.1对信息系统一般控制的考虑 130 6.2对企业层面控制缺陷评价的考虑 131 6.3与其他缺陷一同进行评价 131 6.4内部控制缺陷评价的其他关注领域 132 七、内部控制缺陷整改 132 八、工作底稿记录 132 第十九章 完成审计工作 133 一、项目组内部讨论 133 二、取得管理层的书面声明 134 三、与企业沟通控制缺陷 135 四、形成审计意见 136 第二十章 出具审计报告 137 一、出具标准内部控制审计报告 137 二、出具非标准内部控制审计报告 138 2.1带强调事项段的无保留意见内部控制审计报告 138 2.2否定意见内部控制审计报告 139 2.3无法表示意见内部控制审计报告 139 三、非财务报告内部控制存在重大限制 140 四、对期后事项的考虑 140 五、内部控制审计报告与财务报表审计报告的衔接 141 第一章 获取审计业务约定书 在内部控制审计业务开始前,我们应先确定我们已遵循了风险管理委员会拟订的《业务承接制度--客户关系和具体业务的接受与保持操作规程》,评估客户承接/保持程序的结论以确定其对我们审计风险评估及审计策略的影响,确定客户承接/保持决定是适当的。在执行相关程序以评价职业道德(包括独立性)要求的合规性及我们已遵守事务所独立性政策后,我们应当就内部控制审计业务约定条款与客户达成一致意见,并单独签订内部控制审计业务约定书。

一、 获取审计业务约定书 根据《中国注册会计师执业准则》第九条,注册会计师应当就审计业务约定条款与管理层或治理层(如使用)达成一致意见;
第十条,注册会计师应当将达成一致意见的审计业务约定条款记录于审计业务约定书或其他适当形式的书面协议中。

在审计工作开始前,我们应当获取根据我所内部控制审计业务约定书模板的要求编制的业务约定书,并在适用时加入对特定项目的特殊要求。

业务约定书确定了我们与公司的业务条款,是记录项目范围和条款的重要书面文件。业务约定书描述了我们在项目执行过程中的责任,以及客户管理层对内部控制的责任,及其为我们的审计工作提供信息及人员协助的责任。

通常情况下,项目小组应在获取业务约定书之后才开始工作。只有在很特殊的情况下,项目小组才需要在获取业务约定书以前开始展开工作,例如参加盘点。

二、内部控制审计业务约定书的内容 内部控制审计业务约定书应当单独出具。业务约定书的具体内容可能因被审计单位的不同而存在差异,但应当包括下列主要方面:
l 内部控制审计的目标;

l 企业对内部控制的责任;

l 企业建立内部控制所依据的内部控制框架;

l 内部控制审计范围,包括指明注册会计师在执行内部控制审计业务时遵守的《企业内部控制审计指引》和《中国注册会计师执业准则》的相关要求;

l 内部控制的固有局限性及审计的固有限制;

l 管理层为我们提供必要的工作条件和协助;

l 我们不受限制地接触任何与审计有关的记录、文件和所需要的其他信息;

l 企业对其作出的与审计有关的声明予以书面确认;

l 我们对执业过程中获知的信息保密;

l 审计收费,包括收费的计算基础和收费安排;

l 违约责任;

l 解决争议的方法;

l 签约双方法定代表人或其授权代表的签字盖章,以及签约双方加盖的公章。

如果情况需要,内部控制审计业务约定书还可以包括其他条款,例如:
l 在某些方面对利用其他注册会计师和专家工作的安排;

l 计划和执行内部控制审计工作的安排,包括项目组的构成;

l 对审计涉及的其他人员(包括被审计单位的内部审计人员、其他人员以及在管理层或治理层指导下的第三方)工作的安排;

l 我们与被审计单位之间需要达成进一步协议的事项;

l 向其他机构或人员提供审计工作底稿的义务。

我所《内部控制审计工作底稿》模板提供了内部控制审计业务约定书的参考格式。注册会计师可根据业务的具体情况作出必要修改。

三、 连续审计 对于连续审计,我们应当根据具体情况评估是否需要对审计业务约定条款作出修改。下列因素可能导致我们修改审计业务约定条款或提醒被审计单位注意现有的约定条款:
l 有迹象表明被审计单位误解审计目标和范围;

l 需要修改约定条款或增加特别条款;

l 法律法规的规定发生变化。

四、 审计业务约定条款的变更 被审计单位可能由于下列事项要求我们变更审计业务约定条款:
l 环境变化对审计服务的需求产生影响;

l 对原来要求的审计业务的性质存在误解;

l 无论是管理层施加的还是其他情况引起的。

当被审计单位要求变更审计业务约定条款时,我们应当考虑要求变更的理由是否合理,特别是审计范围存在限制的影响。

由于环境变化导致对审计服务的需求产生影响,或对原来要求的审计业务性质存在误解可以认为是被审计单位要求变更审计业务约定条款的合理理由。

相反,如果有迹象表明变更审计业务约定条款的要求与错误的、不完整的或不能令人满意的信息有关,该变更不能认为是合理的。

五、 业务约定书的文档记录 为了满足检查的需要,我们应将业务约定书的一份副本存于工作底稿中,或者在工作底稿中记录该副本的存放位置。

第二章 建立审计项目组 在进行初步业务活动时,项目合伙人需要统筹考虑审计工作,挑选相关领域的人员组建项目小组,同时组织对项目组成员进行培训,以合理安排内部控制审计工作。

一、 项目小组成员的要求 我们期望审计项目小组具有:
l 通过培训或者参与项目而获取的性质和复杂程度类似的审计知识和项目经验;

l 了解企业内部控制相关规范和指引要求;

l 了解《企业内部控制审计指引》、《企业内部控制审计指引实施意见》和《中国注册会计师执业准则》的相关要求;

l 拥有适当的专业知识,包括与项目相关的IT知识;

l 拥有与客户所处行业相关的知识;

l 具有职业判断能力;

l 了解事务所的质量控制政策与程序。

二、 组建项目小组的考虑 组建一个项目小组时,我们需要考虑以下因素:
l 及时确定人员需求;

l 准备项目时间预算以确定所需资源的要求,并安排工作进度;

l 使项目小组具有合适的技巧、经验、能力;

l 项目大小及复杂度;

l 所需专业能力;

l 工作时间;

l 项目小组成员的连续性和定期轮换;

l 项目上的培训机会;

l 可能出现的独立性问题和利益冲突;

l 考虑项目小组成员是否具有与项目复杂度及其他要求相匹配的工作和培训经验;

l 确定项目小组所需要的管理、监控、以及指导;

l 确定负有这些责任的项目小组成员。

我们需要对开展审计工作中需要、但当前项目小组成员不具备的额外所需技能做出评估,并针对此情况制定计划获取相关资源。例如:当项目小组成员不具备与客户公司IT环境相关的知识技能时,我们需要获得IT专业人员的协助以测试与IT系统相关的内部控制。

我们要确定审计现场是否需要使用公司会计与审计专业以外的人员,是否需要从公司外部引入专家。关于利用专家的工作的更多要求与指引,请参见“第四章 利用专家的工作”。

三、 管理、指导、并监督项目小组 项目小组组建完成后,我们应当制定计划,分配工作,确定对项目组成员的指导和监督以及对其工作的复核。

在项目初期阶段,项目小组负责人应当与项目小组成员讨论确定工作分配,这样可以让项目小组成员了解其在项目中的职责、预期工作成果和了解其他项目小组成员的职责。同时,我们要讨论并确定项目小组的目的和目标、责任和交付的成果。

在项目进行的过程中,项目合伙人和项目中负责监督的人应当:
l 监控项目的进展;

l 复核审计工作底稿;

l 评估项目小组成员是否具有执行所分配的工作的技能和能力 ,有充分的时间执行所分配的工作;

l 解决重大的财务及审计问题。

负有指导审计工作的项目小组成员具有需要了解其监督工作质量及进度的责任,包括:
l 对于所分配的工作的成员,给予充分的指导;

l 定期复核工作底稿;

l 对比预算控制实际花费的时间;

l 复核已完成的工作底稿和即将出具的审计报告。

四、 项目小组成员的角色及责任 项目小组各成员的责任如下:
经理级别以下的有经验的审计员和初级审计员 l 直接参与审计工作,编制相关工作底稿。

除项目合伙人以外的项目小组负责人(例如:经理、高级经理) l 如有必要,直接参与审计流程的设计与执行,例如:亲自编制高风险领域的工作底稿。

l 对审计员及高级审计员编制的工作底稿进行详细复核,复核审计报告,确保我们出具的审计报告是适当的;

l 与公司治理层及管理层进行沟通;

l 与项目小组其他成员沟通值得关注的事项。

项目合伙人 l 在项目特定阶段进行复核,确保重大发现及问题在我们的审计报告出具前及时解决 ;

l 如有必要,直接参与审计流程的设计与执行,以便了解高风险领域及其他审计小节中记录的事项;

l 项目合伙人有责任对我们的职业判断、项目中识别的复杂事项、重大风险、及其他项目合伙人认为重要的事项进行复核;

l 对高风险领域进行第二层次复核,以便确信详细复核是充分的,对重大账户、重大列报和相关认定的审计流程是充分的 ;

l 与项目小组其他成员沟通值得关注的事项;

l 复核我们的审计报告,确保我们出具的审计报告是适当的 ;

l 复核我们与公司治理层及管理层的沟通,包括重大缺陷的沟通。

第三章 了解被审计单位及其环境 在了解客户业务时,我们应了解企业及其经营环境。了解程度依赖于我们的职业判断。我们应考虑对于企业及其经营环境,我们是否获取了足够的了解,以支持我们所评估的财务报表及认定层面的重大错报风险(包括舞弊及错误),并为我们设计、执行审计程序应对重大错报风险提供基础。

一、了解被审计单位及其环境的必要性 了解被审计单位及其环境是财务报表审计及内部控制审计的必要程序,特别是为我们在下列关键环节做出职业判断提供重要基础:
l 确定重要性水平,并随着审计工作的进程评估对重要性水平的判断是否仍然适当;

l 确定重大账户、重大列报及相关认定;

l 考虑会计政策的选择和运用是否恰当,以及财务报表的列报包括披露是否适当;

l 识别需要特别考虑的领域,包括关联方交易、管理层运用持续经营假设的合理性,或交易是否具有合理的商业目的等;

l 确定在实施分析程序时所使用的预期值;

l 设计和实施进一步审计程序,以将审计风险降至可接受的低水平;

l 评价所获取审计证据的充分性和适当性。

而按照《企业内部控制审计指引》第七条要求:
“ 在计划审计工作时,注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响:
(一)与企业相关的风险;

(二)相关法律法规和行业概况;

(三)企业组织结构、经营特点和资本结构等相关重要事项;

(四) 企业内部控制最近发生变化的程度;

(五) 与企业沟通过的内部控制缺陷;

(六) 重要性、风险等与确定内部控制重大缺陷相关的因素;

(七)对内部控制有效性的初步判断;

(八)可获取的、与内部控制有效性相关的证据的类型和范围。

” 职业判断贯穿于注册会计师审计的全过程。职业判断只有建立在对被审计单位及其环境了解的基础上,才是恰当的和符合实际的。

二、了解被审计单位及其环境的程度 了解被审计单位及其环境是一个连续和动态地收集、更新与分析信息的过程,贯穿于整个审计过程的始终,涉及被审计单位外部、内部,社会政治、技术经营的方方面面。我们由于时间、成本的限制,应当运用职业判断确定需要了解被审计单位及其环境的程度。

评价对被审计单位及其环境了解的程度是否恰当,关键是看我们对被审计单位及其环境的了解是否足以识别和评估财务报表重大错报风险。如果了解被审计单位及其环境获得的信息足以识别和评估财务报表重大错报风险,设计和实施进一步审计程序,那么了解的程度就是恰当的。当然,我们对被审计单位及其环境了解的程度,要低于管理层为经营管理企业而对被审计单位及其环境需要了解的程度。

三、了解被审计单位及其环境的主要内容 《中国注册会计师执业准则》要求我们必须执行风险识别程序,从下列方面了解被审计单位及其环境:(1)行业状况、法律环境与监管环境以及其他外部因素;
(2)被审计单位的性质;
(3)被审计单位对会计政策的选择和运用;
(4)被审计单位的目标、战略以及相关经营风险;
(5)被审计单位财务业绩的衡量和评价。

上述第(1)项是被审计单位的外部环境,第(2)项至第(4)项是被审计单位的内部因素,第(5)项则既有外部因素也有内部因素。值得注意的是,被审计单位及其环境的各个方面可能会互相影响。因此,我们在对被审计单位及其环境的各个方面进行了解和评估时,应当考虑各因素之间的相互关系。

我们进行企业内部控制审计,针对上述五个方面进行初步了解,在审计实务中,需要了解的被审计单位及其环境各个方面的具体内容,不同行业、企业可能有较大的差别,需要我们根据情况进行判断。

3.1行业状况、法律环境与监管环境以及其他外部因素   了解企业所处行业、法律环境、监管环境及其他外部环境因素可以帮助我们识别与企业所面临的机会与压力相关的风险。

3.1.1行业因素 我们应当了解被审计单位的行业状况,主要包括:
l 所在行业的市场供求与竞争;

l 生产经营的季节性和周期性;

l 产品生产技术的变化;

l 能源供应与成本;

l 行业的关键指标和统计数据。

3.1.2 遵守法律法规的规定 我们应当了解被审计单位所处的法律环境及监管环境,主要包括:
l 适用的会计准则、会计制度和行业特定惯例;

l 对经营活动产生重大影响的法律法规及监管活动;

l 对开展业务产生重大影响的政府政策,包括货币、财政、税收和贸易等政策;

l 与被审计单位所处行业和所从事经营活动相关的环保要求。

我们应了解企业如何遵守这些法律法规,向管理层、治理层询问企业是否遵守了这些法律法规,检查企业与许可证颁发机构或监管机构的往来函件。

一些企业属于严格监管行业(例如:银行、保险企业)。一些企业只需遵守通用法律法规(例如:与职业安全、健康、平等雇佣机会相关的法律法规)。企业违反法律法规的行为可能导致罚款、诉讼及其他可能对企业财务报表产生重大影响的结果。了解法律法规体系可以协助我们识别因违反法律法规行为的事项而导致的重大错报风险。

我们应当就识别出的或怀疑存在的违反法律法规行为的事项,及时与企业管理层、治理层沟通。

3.1.3 其他外部因素 我们应当了解影响被审计单位经营的其他外部因素,主要包括:
l 宏观经济的景气度;

l 利率和资金供求状况;

l 通货膨胀水平及币值变动;

l 国际经济环境和汇率变动。

3.2了解被审计单位的性质 我们应当主要从下列方面了解被审计单位的性质:
(一)所有权结构,了解所有权结构以及所有者与其他人员或单位之间的关系,考虑关联方关系是否已经得到识别,以及关联方交易是否得到恰当核算; (二)治理结构,考虑治理层是否能够在独立于管理层的情况下对被审计单位事务(包括财务报告)做出客观判断;

(三)组织结构,考虑复杂组织结构可能导致的重大错报风险,包括财务报表合并、商誉摊销和减值、长期股权投资核算以及特殊目的实体核算等问题;

(四)经营活动,主要包括:
l 主营业务的性质;

l 与生产产品或提供劳务相关的市场信息;

l 业务的开展情况;

l 联盟、合营与外包情况;

l 从事电子商务的情况;

l 地区与行业分布;

l 生产设施、仓库的地理位置及办公地点;

l 关键客户;

l 重要供应商;

l 劳动用工情况;

l 研究与开发活动及其支出;

l 关联方交易。

(五)投资活动,主要包括:
l 近期拟实施或已实施的并购活动与资产处置情况;

l 证券投资、委托贷款的发生与处置;

l 资本性投资活动,包括固定资产和无形资产投资,以及近期或计划发生的变动;

l 不纳入合并范围的投资。

(六)筹资活动,主要包括:
l 债务结构和相关条款,包括担保情况及表外融资;

l 固定资产的租赁;

l 关联方融资;

l 实际受益股东;

l 衍生金融工具的运用。

3.3被审计单位对会计政策的选择和运用 我们应当了解被审计单位对会计政策的选择和运用,是否符合适用的会计准则和相关会计制度,是否符合被审计单位的具体情况。我们应评估企业的会计政策是否适当,是否与财务报告框架及会计法规的要求相一致。在了解被审计单位对会计政策的选择和运用是否适当时,我们应当关注下列重要事项:
l 重要项目的会计政策和行业惯例;

l 重大和异常交易的会计处理方法;

l 在新领域和缺乏权威性标准或共识的领域,采用重要会计政策产生的影响;

l 会计政策的变更;

l 被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度。

如果被审计单位变更了重要的会计政策,我们应当考虑变更的原因及其适当性,并考虑是否符合适用的会计准则和相关会计制度的规定。我们应当考虑,被审计单位是否按照适用的会计准则和相关会计制度的规定恰当地进行了列报,并披露了重要事项。

当我们了解企业对会计政策的选择及应用时,我们应考虑会计估计的不确定性(也就是会计估计的敏感性及计量准确性的缺乏)。我们应根据我们的职业判断,确定会计估计是否会因为计量不准确而导致特别风险。

3.4被审计单位的目标、战略以及相关经营风险 我们应当了解被审计单位的目标和战略,以及可能导致财务报表重大错报的相关经营风险。经营风险源于对被审计单位实现目标和战略产生不利影响的重大情况、事项、环境和行动,或源于不恰当的目标和战略。我们应当了解被审计单位是否存在与下列方面有关的目标和战略,并考虑相应的经营风险:
l 行业发展,及其可能导致的被审计单位不具备足以应对行业变化的人力资源和业务专长等风险;

l 开发新产品或提供新服务,及其可能导致的被审计单位产品责任增加等风险;

l 业务扩张,及其可能导致的被审计单位对市场需求的估计不准确等风险;

l 新颁布的会计法规,及其可能导致的被审计单位执行法规不当或不完整,或会计处理成本增加等风险;

l 监管要求,及其可能导致的被审计单位法律责任增加等风险;

l 本期及未来的融资条件,及其可能导致的被审计单位由于无法满足融资条件而失去融资机会等风险;

l 信息技术的运用,及其可能导致的被审计单位信息系统与业务流程难以融合等风险。

多数经营风险最终都会产生财务后果,从而影响财务报表。我们应当根据被审计单位的具体情况考虑经营风险是否可能导致财务报表发生重大错报。管理层通常制定识别和应对经营风险的策略,我们应当了解被审计单位的这些风险评估过程。

3.5被审计单位财务业绩的衡量和评价 被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力,促使其采取行动改善财务业绩或歪曲财务报表。

我们应当了解被审计单位财务业绩的衡量和评价情况,考虑这种压力是否可能导致管理层采取行动,以至于增加财务报表发生重大错报的风险,包括由舞弊引起的错报。

在了解被审计单位财务业绩衡量和评价情况时,我们应当关注下列信息:
l 关键业绩指标;

l 业绩趋势;

l 预测、预算和差异分析;

l 管理层和员工业绩考核与激励性报酬政策;

l 分部信息与不同层次部门的业绩报告;

l 与竞争对手的业绩比较;

l 外部机构提出的报告。

我们应当关注被审计单位内部财务业绩衡量所显示的未预期到的结果或趋势、管理层的调查结果和纠正措施,以及相关信息是否显示财务报表可能存在重大错报。如果拟利用被审计单位内部信息系统生成的财务业绩衡量指标,我们应当考虑相关信息是否可靠,以及利用这些信息是否足以实现审计目标。

四、了解IT在企业中的角色 在了解企业及其环境时,我们应了解IT在企业中的角色。我们对IT在企业中的角色的了解,可以协助我们了解IT的复杂程度,识别风险因素,并确定IT对我们的审计工作的影响。

4.1 了解IT复杂程度 了解IT复杂程度是一个定性而非定量的过程。通过了解IT的复杂程度,我们可以确定其对我们审计工作的影响(例如:获取审计证据)以及是否需要邀请IT专家参加我们的审计项目小组。更多指引请参见“第四章 利用专家的工作”、 “第十七章 了解、穿行测试、测试和评估IT一般控制”。

例如:当我们了解IT的复杂程度时,我们应考虑:
l 企业及其环境的性质(例如:上市企业或受监管行业企业通常具有较复杂的IT结构);

l 企业是否依赖IT支持重大交易流程从发生到报告的流程或者重大披露流程;

l 企业每年在IT方面的花费占收入及其他指标的百分比;

l 关键财务系统的用户数量;

l 支持IT环境的员工数量及专业技能;

l 企业是否使用一个或多个系统;

l 企业财务系统之间或与外部系统之间是否存在重要的接口;

l IT环境的架构(集中式的或是非集中式的);

l IT环境中服务器的数量;

l 会计处理软件的性质,包括版本(例如:采购的软件和不能修改的软件);

l 企业自行修改程序的程度;

l 企业IT环境、财务系统环境、IT结构在报告期间的变化程度;

l 外包服务的使用,包括服务的性质,例如是针对IT基础环境或是应用系统;

l 过去的项目经验。

4.2 了解IT对我们审计工作的影响 当我们了解了企业IT的复杂程度后,我们应根据企业对IT的依赖程度,确定IT对我们重大错报风险及审计策略的影响 。IT环境可能影响:我们了解重大交易流程及相关IT系统、可能出错项和控制的程序以及控制测试的设计与执行。通过了解IT的作用、复杂程度以及对我们审计的影响,我们可以确定是否需要邀请IT专家加入审计项目小组。更多指引请参见“第四章 利用专家的工作”。

五、 如何了解企业及其环境 当我们了解企业及其环境时,我们应执行下述风险评估程序:
l 检阅相关信息;

l 询问企业管理层及其他人员;

l 观察及检查;

l 记录信息来源。

我们执行这些程序以获取对企业及其环境的了解,以便识别风险因素。我们了解企业的程序的性质、时间及范围取决于项目本身,例如:企业的规模、复杂程度和我们过去的项目经验。对于规模较大、复杂程度较高的企业,我们应在制定审计策略前,充分的了解企业及其环境。

5.1 检阅相关信息 我们通过检阅相关信息获取对企业及其环境的了解。

检阅相关信息可以协助我们了解企业及其环境并识别风险因素。

我们可以检阅如下信息:
l 我们在执行客户承接/续约程序中获取的关于新客户的信息;

l 企业关于特定行业的知识;

l 外部信息,例如:行业报刊;

l 企业编制的信息,包括预算、预测、差异分析、组织结构图、企业主页及其他市场信息;

l 股东大会会议记录,包括治理层会议、治理层下设的重要委员会会议、管理层与股东会议。

5.2 询问企业管理层及其他人员 我们通过询问企业管理层及其他对财务报表负责的人员获取信息。

询问企业管理层及其他对财务报表负责的人员可以帮助我们通过分析企业的财务信息了解企业的经营活动。我们也可以询问企业其他级别的员工以获取更多不同方面的、与我们所识别的风险因素相关的信息。

我们可以询问如下信息:
l 询问治理层可以协助我们了解企业的经营情况;

l 询问内审人员可以协助我们获取企业及其环境的变化的信息;

l 询问参与复杂或非正常业务的发生、记录、处理、报告流程的人员,可以协助我们评估会计政策的选取及应用是否适当;

l 询问企业法律顾问可以协助我们了解企业的法律、合规性、舞弊、保证金、售后义务、合同条款等事项;

l 询问市场营销人员可以协助我们了解企业市场营销策略、销售趋势及合同条款规定的变化;

5.3 观察及检查 我们应执行观察和检查程序以支持我们通过检阅、询问获得的对企业及其环境的了解。

我们可以参观企业的经营场所和工厂观察企业的经营活动、 检查企业文件,例如:经营计划和策略、文档记录、内部控制手册或检查管理层编制的报告(例如:管理层季度报告、中期财务报告)和治理层编制的报告(例如:董事会会议记录)。

5.4 信息来源 管理层了解企业及其环境。因此,企业管理层是我们获取相关信息或确定信息来源的渠道。

在收集与企业及其环境相关的信息时,我们应将信息来源(例如:我们与之沟通的人员姓名、我们检查的文件名称)进行文档记录。例如:
l 在审计计划阶段,我们应更新对企业及其环境的了解;

l 询问企业管理层及其他相关人员,我们应将询问结果进行工作底稿记录(包括询问对象的姓名);

l 检查企业的文档,例如:组织结构图和相关利益者的会议记录。我们应将与审计工作相关的信息以及信息来源进行文档记录。

六、 确定重大错报风险 在了解企业及其环境时,我们应识别风险因素(包括经营风险),并确定这些风险因素是否可能引起重大错报风险。

通过执行上述程序,我们识别了风险因素(包括经营风险)。然而,不是所有识别出的风险都会影响财务报表。对于我们的审计工作而言,我们只关注可能引起财务报表重大错报风险的风险因素。

在我们识别风险因素的时候,我们应考虑是否存在可以降低重大错报风险的因素。例如:在较稳定的、销售流程没有重大变化的环境中的企业重大错报风险较小。相反的,处于变化较快的环境或发展较快的市场中的企业重大错报风险较大。

七、工作底稿记录 我们应运用我们的职业判断确定在了解企业及其环境时应记录的事项。我们的工作记录反映了我们了解到的信息以及识别的风险。我们应当将所有了解到的信息、信息来源、识别的重大错报风险记录于审计底稿中。

第四章 利用专家的工作 在了解企业及其环境时,我们应当重新评估项目小组是否具有适当的经验、技能和专业胜任能力,确定是否需要邀请其他专家。

专家,指在除会计或审计之外的某一领域中具有专长的个人或组织,并且其工作被注册会计师利用,以协助注册会计师获取充分、适当的审计证据。

事务所的专家,指在审计项目小组中专于某一特定领域的专家。事务所内部专家是指在除会计、审计之外的某一特定领域中具有专门技能、知识和经验的本所内部的专家。事务所外部专家是来自本事务所以外的在除会计、审计之外的某一特定领域中具有专门技能、知识和经验的专家,不作为审计项目小组的成员。

管理层专家,在会计或审计以外的某一领域具有专长的个人或组织,并且其工作被管理层利用,用以协助管理层编制财务报表。

管理层专家可能是由管理层聘请来完成特定的工作的第三方(如:管理层外部专家),或者更多情况下,该专家为实体的员工。

当我们需要这些专家参与我们的工作以便获取充分适当的审计证据时,我们应考虑是否应利用专家的工作。

一、 确定是否利用专家的工作 根据我们对企业及其环境的了解,我们应确定项目小组中是否需加入IT专家、税务专家或相关行业专家。

我们通过执行以下步骤实现上述目标:
l 确定是否需要邀请IT专家、税务专家或相关行业专家来协助我们的审计工作;

l 确定是否利用会计审计领域以外的专家的工作作为审计证据并考虑:
l 是否利用管理层专家的工作;

l 邀请事务所的内部专家;

l 邀请事务所的外部专家。

我们可以利用以下领域专家的工作:
l 对复杂的金融工具、土地和房屋建筑物、厂房和机器设备、珠宝、艺术品、古董、无形资产、企业合并中收购的资产和承担的负债和可能存在减值的资产进行估值;

l 了解企业经营的技术问题;

l 对与保险合约或员工福利计划相关的负债进行精算;

l 对环境负债和场地清理费用进行估价 ;

l 分析复杂的或异常的纳税问题 ;

l 解释技术要求、现况、法规或条款;

l 复核其他专家的工作。

当企业具有以下特征时,我们应邀请相关专家:
l 具有复杂的IT环境,例如:虽然项目小组可能拥有IT知识,但IT专家可以在企业IT环境较复杂的情况下,协助项目小组完成与IT相关的审计工作;

l 具有复杂的税务环境,例如:虽然项目小组拥有税务知识,但在企业税务环境较复杂或涉及的税务计算较复杂的情况下我们仍应邀请税务专家协助我们的工作;

l 处于特定行业,例如:在对人寿保险企业的审计中,尽管项目小组和项目合伙人对保险行业有一定的了解,但项目小组仍可以邀请精算专家。

当我们在现场使用非会计或审计领域的专家的工作时,我们应:
l 评价专家是否具有实现我们的目的所必需的胜任能力、专业素养和客观性 ;

l 如果企业或者管理层雇佣或邀请了专家,我们应了解他们的工作 ;

l 如果我们邀请xxx内部专家或xxx外部专家参与项目小组工作,我们应就专家工作的范围达成一致意见 ;

l 不管专家类型如何,我们应评价专家的工作以确定专家的工作是否足以实现我们的目的 。

当我们邀请IT专家、税务专家或相关行业专家时,专家的工作应受到监督、指导、复核;
专家应直接参与审计程序的执行。

1.1 确定IT专家的介入程度 通过了解企业使用IT的程度及IT环境的复杂程度,我们应考虑是否需要邀请IT专家。要确定是否需要邀请IT专家,我们应了解:
l IT环境的复杂程度。如果IT环境较复杂,IT专家可以了解IT环境并协助我们确定与IT有关的重大错报风险 ;

l IT如何影响我们的审计策略 ;

l 项目小组成员的IT知识。

IT风险的程度和性质取决于企业使用IT的性质和复杂程度。企业经营环境和IT环境越复杂,我们越需要利用我们对IT的了解以识别重大错报风险、设计控制测试程序。

1.2 确定税务专家的介入程度 根据我们对影响企业的所得税和其他税种性质的了解,在必要时,我们邀请具有专业税收知识的专家加入项目小组。

我们应考虑以下事项,确定是否需要邀请税务专家:
l 会计和税务事项的复杂程度;

l 企业的复杂程度;

l 项目小组成员的专业胜任能力和必要素质。

1.3 确定相关行业专家的介入程度 根据我们对企业所处行业的了解程度,我们应判断是否需要邀请xxx特殊行业专家。

我们期望项目小组对企业所处行业具有充分的了解,以便评估所获得的审计证据是否充分、适当的支持我们的审计意见。然而,在一些情况下,项目小组需要更加深入、专业的知识,这时可以邀请一个或多个具有专业行业知识的专家参加项目小组,协助项目小组执行审计程序并得出结论。当判断是否需要邀请特殊行业专家时,我们应考虑如下事项:
l 行业是否具有特殊经营手法;

l 企业财务报表是否包含行业特殊的重大账户或会计政策;

l 资产或负债的计价是否依赖行业特殊的方法论、模型或假设。

二、 利用管理层专家的工作 如果我们确定利用管理层专家的工作作为审计证据,那么我们应:
l 评价专家的胜任能力、专业素养和客观性;

l 了解管理层专家的工作;

l 评价管理层专家的工作是否足以实现审计目的。

2.1 评价管理层专家的胜任能力、专业素养和客观性 当我们利用管理层专家的工作时,我们应评价专家的胜任能力、专业素养和客观性。

专业素养是指专家的专业技能的性质和水平。胜任能力是指专家将其专业素养应用于具体项目环境的能力。客观性是受到偏见、利益冲突及其他因素影响而对专家的职业判断可能产生的影响。

当我们评价管理层专家的客观性时,我们应讨论管理层与专家的关系以便了解对专家独立性的威胁以及可以降低该威胁的、适用的保障措施。保障措施可能由外部机构建立(例如:专家的职业规范),也可能由专家的工作环境建立(例如:企业的控制环境和质量控制政策和流程) 如果我们对管理层专家的胜任能力、专业素养和客观性存在疑虑,应与管理层讨论并评估专家的工作是否可以获取充分适当的审计证据。

了解管理层专家的胜任能力和专业素养,我们应考虑:
l 专家以前工作的个人经验 。如果管理层外部专家是一个组织时,我们既应考虑委派参与项目的个人的特质,也应考虑组织的管理属性,包括该组织对于专家工作的质量控制程序;

l 专家的职业资格,包括职业团体或者行业协会的会员资格、执业执照或其他形式的外部资格认可;

l 专家发表的论文或书籍;

l 与专家讨论。我们与专家没有直接关系,我们应要求管理层安排专家与我们进行沟通;

l 与熟悉专家工作的其他人员讨论。

如果专家是企业的员工,那么其独立性受到威胁的风险就会加大。我们应考虑专家的结论由谁来复核和质疑,专家在企业中的报告体系是否合适。我们应考虑专家的工作是否存在控制,包括:
l 专家是否得到恰当的管理和指导;

l 专家是否存在不相容的职责而导致职责划分不当(例如:专家负责编制财务报表,同时负责准备关键资产估值,但没有充分的指导和复核);

l 专家是否可以客观的工作,未面临达到特定结论的不当压力 。

随着审计工作的进展,如果我们发现了显示可能存在问题的证据,我们应重新评估我们对管理层专家的胜任能力、专业素养和客观性的初步评价。

2.2 了解管理层专家的工作 当我们利用管理层专家的工作时,我们应了解专家工作的性质。我们应考虑:
l 工作的性质、范围、目标。如果专家是由企业聘请的,则对专家工作的范围可能不会进行书面文档记录,询问专家和企业管理层可能是了解专家工作范围的最适当的方法;

l 管理层对专家工作实施控制的程度或影响的范围;

l 专家是否受到技术性技能标准及其他职业或行业要求的限制;

l 企业内部就专家的工作(例如:质疑/复核专家工作的程序,由治理层或者具有专业技能的内部审计员复核)或专家评估过程中所使用的数据实施控制;

l 根据企业聘请的专家的工作性质,我们可能需要邀请会计师事务所的专家来评估其工作。

如果是管理层聘用的专家,我们应阅读企业与管理层聘用的专家签订的业务约定书,以便了解项目的范围并评估我们利用专家的工作是否适当。

当我们计划利用管理层聘用的专家的工作时,我们应与管理层确定专家已同意我们利用他的工作,他了解我们将在内部控制审计中利用其发现。

2.3 评价管理层专家的工作是否足以实现审计目的 当我们利用管理层专家的工作时,应评估管理层专家的工作作为相关认定的审计证据是否适当。

由于管理层专家对于企业而言不是独立的,因此我们应当利用我们高度的职业怀疑态度,评估专家工作, 特别注意高度依赖专家判断的工作,并考虑潜在的偏见。

当我们评估专家工作作为相关认定的审计证据是否适当时,应考虑如下事项:
l 专家的发现或结论的相关性和合理性与我们的审计证据是否一致;

l 专家提交其工作结果或结论的方式是否符合专家所在的职业或行业标准;

l 专家的工作结果或结论是否得到清楚的表述;

l 专家的工作结果或结论是否基于适当的期间,并考虑期后事项(如相关);

l 专家的工作结果或结论在使用方面是否有任何保留、限制或约束,如有,是否对我们的工作产生影响;

l 专家的工作结果或结论是否适当考虑了专家遇到的错误或偏差情况。

如果专家的工作包括利用重大假设和方法,则应考虑这些假设和方法的相关性和合理性;

如果专家的工作包括使用源数据,则应考虑这些源数据的完整性和准确性。

评估专家工作的充分性的特别步骤可能包括:
l 询问专家;

l 观察专家的工作;

l 确定与第三方相关的事项;

l 测试源数据;

l 复核专家的结论和发现;

l 与管理层讨论专家的发现和结论;

l 利用第二个专家。在很特殊的情况下,我们可能邀请第二个专家,例如:当我们评估了管理层专家的工作并且注意到管理层的发现与我们获取的其他审计证据存在冲突,或者我们不同意专家的发现;

l 复核专家的工作底稿。管理层的专家不是项目小组的成员,因此只有在我们对专家的工作存在疑虑且没有其他方法解决的情况下,我们才需要复核他们的详细工作底稿。

项目负责人对评估和确定专家工作是否充分实现了审计目标负有责任。如果我们利用了会计师事务所的专家协助我们评估管理层专家的工作,我们可以询问其对于管理层专家工作是否充分实现了审计目标的意见。然而,关于管理层专家工作是否充分的最终结论是我们的责任。

在审计过程中发生的重大变化可能对我们利用管理层专家工作是否适当产生影响。

如果我们满意专家的工作并认为专家工作的结果在特定环境下是合理的且能够实现审计目标,那么我们的结论是专家的工作是充分恰当的。

如果我们的结论认为专家的工作对于实现我们的目的不充分,则我们应:
l 与管理层和专家讨论相关事项;

l 与专家就进一步执行的程序的性质和范围达成一致意见;

l 执行与环境相适应的额外审计程序。我们执行的额外审计程序的性质是由所利用的专家的类型和我们所关注事项的性质决定的。

无论是企业外部的还是内部的法律顾问,在某些情况下都被认为是管理层专家。我们利用职业判断确定是否将管理层的法律顾问作为管理层专家,此时应考虑:
l 所考虑事项的复杂程度(事项的性质是复杂的,且要求应用法律专家较高程度的判断);

l 我们追求的审计目标。如果我们利用法律顾问的工作协助我们确定重大未决诉讼的性质、估计潜在的诉讼或确定可能的结果时,我们很可能将法律顾问作为管理层的专家。如果作为函证程序,我们向法律顾问发出律师询证函,那么法律顾问不被视为管理层专家。

三、 利用事务所的内部专家的工作 如果我们决定利用事务所的内部专家(以下简称“内部专家”)的工作,我们应充分了解内部专家的专业领域,以便我们:
l 确定内部专家工作的性质、范围和客观性 ;

l 评估内部专家工作的目标是否充分。

内部专家对其所使用的假设条件、方法和发现负责。然而,尽管我们不能用我们的判断代替内部专家的工作,但我们应确定内部专家是否就其工作取得了适当的审计证据。

我们应评估内部专家的胜任能力、专业素养和客观性。

当我们评估内部专家的胜任能力、专业素养和客观性时,可以依赖事务所的内部政策和流程。内部专家应遵守事务所内部的招聘和培训计划、相关道德要求(包括独立性要求)和监控流程(例如:质量复核程序)。

我们应就内部专家的工作达成一致意见,包括:
l 内部专家工作的性质、范围和客观性;

l 我们的角色及责任,包括由谁负责执行源数据详细测试;

l 与我们沟通的方式、时间和范围,包括内部专家以何种形式提供发现和结论。

我们根据事务所的要求来指示、审查、监督内部专家的工作。对一个内部专家的监督程度取决于工作的复杂性和从事专业工作的资格。在许多情况下,对一个内部专家直接监督,可通过一个更资深的xxx内部的专家进行更详细审查来进行。

在决定内部专家的工作的程序的性质、时间、和范围时,我们评估: l 专家的工作涉及问题的性质和复杂性;

l 专家的工作涉及的重大错报的风险;

l 该专家在审计工作方面的重要意义;

l 我们对专家以前工作的知识和经验。

我们将执行不同的或更广泛的程序,当: l 内部专家的工作未经审核;

l 我们以前没有使用过内部专家的工作,也没有对专家的胜任能力,专业素养和客观性的了解。

如果我们决定对内部专家的工作执行不同或者更加广泛的程序,我们的额外程序包括一个或一个组合: l 源数据的细节测试;

l 其他查询以获取专家的假设和方法更详细的了解;

l 确证专家的工作,例如,通过审查权威发布的数据,观测专家执行程序,重新执行计算或与第三方确认信息 ;

l 与其他专家讨论的相关知识(例如,专家的发现或结论与其他审计证据不一致);

l 与管理层讨论专家的报告;

l 检查专家的底稿。事务所的内部专家准备的文件形成了底稿的一部分。然而,这些文件的性质和范围是不同的,取决于审计程序的性质、时间和范围以及所得到的发现和结果。内部专家工作底稿通常包括: l 项目小组一致同意的工作范围;

l 我们执行的程序;

l 内部专家的发现;

l 调查结果的一个结论。

项目负责人要对评价和总结内部专家的工作是否充分满足审计的目的负责。在决定内部专家的工作是否充分满足我们的目的时,我们要考虑:
l 我们对适用内部控制规范要求的了解;

l 我们对企业及其环境的了解;

l 其他审计程序的结果。

在审计中的重大变化,可能影响我们对内部专家的工作的使用的适当性。如果我们认为内部专家的结果是合理的,那么我们的结论是内部专家的工作对于我们的目的而言是充分的。

如果我们的结论是内部专家的工作不能充分符合我们的目的,我们应: l 同意专家关于进一步将执行的工作的性质和程度;

l 执行复核情况的其他审计程序, 其他审计程序的性质是不同的,主要根据专家使用的类别和我们顾虑的性质;

l 与管理层和专家讨论这个问题。

四、 利用事务所外部专家的工作 如果xxx内部没有相关专家,我们可以邀请外部专家。我们只有在有限的情况下才邀请外部专家,因为在大多数情况下,可以依赖管理层的专家的工作或邀请xxx内部专家。

我们通常只在决定利用专家工作以及以下情况下引入外部专家:
l 专家的工作可以被我们用作审计证据,而管理层没有聘请专家;

l 尽管企业聘请了专家,但我们不能利用该专家的工作 ;

l 我们在xxx没有拥有相关的专业技能的专家。

当我们引入外部专家时,我们要评价外部专家的专业能力、素质以及客观性。当我们评价外部专家的能力和素质时,我们通过询问或其他程序来考虑以下问题:
l 外部专家的工作是否满足技术标准或其他专业或行业要求;

l 外部专家在我们寻找证据领域的经验和信誉 ;

l 外部专家对企业行业的了解和经验;

l 外部专家与企业的关系(如有);

l 外部专家与会计和审计要求相关的能力。

我们通过多种渠道获取与外部专家的专业能力和素质相关的信息,例如:
l 有关外部专家之前工作的经验;

l 对外部专家的职业资格,包括职业团体或者行业协会的会员资格、执业执照或其他形式的外部资格的了解;

l 外部专家撰写的公开论文或书籍;

l 与外部专家的讨论;

l 与其他熟悉外部专家工作人员的讨论。

我们不期望外部专家对于企业和我们保持同样水平的独立性,因为外部专家不受与我们相同的道德标准和专业标准的制约,且不用遵守我们的质量控制政策和程序。然而,我们并不认定外部专家是客观的。

很多情况可能会对客观性产生不利影响,某些防范措施可能会消除或减少这样的不利影响。一些外部制度的安排(如专家所属的职业团体、法律法规的要求),或通过外部专家的工作环境(如:质量控制政策和程序)可以建立这些防范措施。

当评价外部专家的客观性时,可能与以下内容有关:
l 向被审计单位询问是否存在可能影响外部专家客观性的任何已知的利益或关系;

l 与外部专家讨论各种适用的防范措施,包括适用于外部专家的职业规范;
并评价这些防范措施是否足以将不利影响降低至可接受的水平。需要与外部专家讨论的利益和关系包括:
l 经济利益;

l 商业和私人关系;

l 外部专家提供的其他服务。

在某些情况下,针对外部专家已知的、与被审计单位存在的任何利益或关系,我们从外部专家获取书面声明可能是适当的。

我们与事务所的外部专家就其工作范围达成一致意见,包括:
l 外部专家工作的性质、范围和客观性;

l 外部专家和我们各自的角色和责任;

l 外部专家和我们的沟通性质、时间和范围,包括外部专家提供的报告形式;

l 外部专家遵守保密原则的必要性。

当我们引入了外部专家,我们便要获取与外部专家之间的书面协议(即业务约定书),以记录我们对外部专家职责范围的共同了解。

在编制阐明工作范围和与我们计划引入的外部专家的协议条款的业务约定书时,我们要确定:
l 外部专家拟实施的程序的性质和范围;

l 根据与外部专家工作相关的事项的重要性和风险而确定的外部专家的工作目标;

l 外部专家遵守的相关的技术标准、其他职业准则或行业要求;

l 外部专家拟使用的假设和方法(包括适用的模型)及其权威性;

l 外部专家和我们各自的角色和责任,包括测试源数据的责任;

l 外部专家对我们使用其报告的许可,包括任何参考,或对其他人员的披露(例如:我们可能向管理层或企业治理层披露其内容);

l 与保密相关的考虑(例如:外部专家是否同意确保我们向其提供的信息的保密性);

l 外部专家的报告以及任何其他要上交的工作的性质(我们通常希望是书面的报告);

l 我们和外部专家之间的沟通方式和频率;

l 外部专家和企业之间的沟通程序;

l 项目的时间(例如:外部专家完成工作并汇报其发现或结论的时间);

l 外部专家向我们及时汇报的责任:
l 外部专家认为可能与审计相关的信息,包括任何之前沟通过的情况变化;

l 可能威胁到外部专家客观性的情况,以及任何可能消除或降低该威胁至可接受水平的相关防范措施。

当我们评估外部专家的工作时,所要考虑的内容与评估内部专家是相同的。更多指引请参见“第四章 利用专家的工作”。

我们应评估外部专家工作结果的相关性和合理性。

我们应考虑结果是否:
l 以与外部专家职业或行业标准相一致的方式列报;

l 得以清楚地表达,包括对项目业务约定书、执行工作的范围和适用的标准的索引;

l 是基于一段合适的期间,并在相关时将期后事项考虑在内;

l 受到疑虑、限制或限制使用,如果存在,对我们是否存在影响;

l 对错误或偏离经过适当的考虑。

五、 记录审计工作 如果我们使用管理层专家的工作,无论专家是否受聘于该企业,我们都要记录这个专家的才干、能力和客观性。我们也记录我们对该项管理层专家的工作是否充分的评估。

如果我们利用事务所外部专家,我们要记录对外部专家的专业能力、素质和客观性的程序和结论。我们记录与外部专家假设、方法和发现,以及我们对外部专家使用的数据的测试有关的程序和结论。我们同样记录任何针对外部专家的发现/报告的评论和结论,以及我们对外部专家工作充分性的评估。

我们要保存以下审计资料
l 我们与外部专家之间的业务约定书;

l 与外部专家的重要沟通;

l 外部专家的发现和/或报告。

当专家是项目组的成员时,专家的工作底稿是审计工作底稿的一部分。除非协议另作安排,外部专家编制的详细的工作底稿归属于外部专家,不构成审计底稿的一部分。

第五章 了解企业整体的内部控制 按照《企业内部控制审计指引》的要求,我们应当采用自上而下的方法,选择拟测试的控制。了解企业整体的内部控制,即是对企业层面控制初步了解和设计有效性进行评价,并在基础上决定企业层面测试范围和进行测试,关于企业层面控制测试的运行有效性测试请参见 “第十二章 评价企业层面控制测试”。

一、企业层面控制的内涵 企业的内部控制分为企业层面控制和业务流程、应用系统或交易层面的控制两个层面。

业务流程、应用系统或交易层面的控制(即本手册中“业务层面控制”)为应对交易和账户余额认定的重大错报风险而设计,通常在业务流程内的交易或账户余额层面上运行,其作用通常能够对应到具体某类交易和账户余额的具体认定。业务流程、应用系统或交易层面的控制主要针对交易的生成、记录、处理和报告等环节,在内部控制要素中的“控制活动”要素中,除业绩评价控制外的绝大部分控制可归类为业务流程、应用系统或交易层面的控制。

企业层面控制通常为应对企业财务报表整体层面的风险而设计,或作为其他控制运行的“基础设施”,一般在比业务流程更高的层面上乃至整个企业范围内运行,作用比较广泛,通常不局限于某个具体认定。企业层面控制包括下列内容:
(1)与控制环境(即内部环境)相关的控制;

(2)针对管理层和治理层凌驾于控制之上的风险而设计的控制;

(3)被审计单位的风险评估过程;

(4)对内部信息传递和期末财务报告流程的控制;

(5)对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价。

此外,集中化的处理和控制(包括共享的服务环境)、监控经营成果的控制以及针对重大经营控制及风险管理实务的政策也属于企业层面控制。

《企业内部控制基本规范》及配套指引中提及的公司层面控制包括: l 企业内部控制应用指引第1号——组织架构;

l 企业内部控制应用指引第2号——发展战略;

l 企业内部控制应用指引第3号——人力资源;

l 企业内部控制应用指引第4号——社会责任;

l 企业内部控制应用指引第5号——企业文化;

l 企业内部控制应用指引第17号——内部信息传递。

二、企业层面控制对其他控制及其测试的影响 不同的企业层面控制在性质和精确度上存在差异,我们应当从下列方面考虑这些差异对其他控制及其测试的影响:
1.某些企业层面控制,例如某些与控制环境相关的控制,对重大错报是否能够被及时防止或发现的可能性有重要影响,虽然这种影响是间接的,但这些控制可能影响注册会计师拟测试的其他控制及其对其他控制所执行程序的性质、时间安排和范围。

例如,被审计单位是否制定了合适的经营理念以及管理基调对于一个有效的内部控制是非常重要的。虽然这些与控制环境相关的控制与某个财务报表认定没有直接关联,同时这些控制有效并不能取代我们为对财务报表认定相关的内部控制的有效性作出结论而所需获得的证据,但是由于这些控制可能会对其他控制的有效运行,以及我们对财务报表是否存在重大错报的风险评估带来普遍性影响,所以我们可能需要考虑这些控制是否存在缺陷,以制定对其他控制所执行的程序。

2.某些企业层面控制能够监督其他控制的有效性。管理层设计这些控制可能是为了识别其他控制可能出现的失效情况。但是,这些控制本身并不能精确到足以及时防止或发现相关认定的重大错报。当这些控制运行有效时,我们可以减少原本拟对其他控制的有效性进行的测试。

例如:某电子游戏软件开发企业开设有大量的银行账户,企业的会计职员负责根据事先确定时间表(一些账户的截止日期不同)编制账户的银行存款余额调节表。通过询问管理人员,我们得知该企业的财务总监是一位经验丰富的会计师,每月审查该会计职员编制的银行存款余额调节表,以确定是否及时编制了调节表、编制调节表过程中识别的调节项目的性质以及调节项目是否得以及时解决等。财务总监审查的目的是查看会计职员的工作,而不是重新执行该控制。财务总监对调节表的审查的精确度本身不足以发现错报。但是,财务总监的的审查仍然可以影响我们的风险评估。我们通过询问、检查文件获取关于财务总监审查的证据,评价该审查的有效性,并且根据评估的风险水平确定所需直接测试的调节控制的数量。如果认为财务总监审查有效且没有其他风险迹象,注册会计师可以减少对调节控制的直接测试。

3.某些企业层面控制本身能精确到足以及时防止或发现一个或多个相关认定中存在的重大错报。如果一项企业层面控制足以应对评估的重大错报风险,我们可能不必测试与该风险相关的其他控制。一般而言,我们可以分析某个控制是否有足够的精确度以及时防止或发现财务报表重大错报,并考虑以下因素:
l 内部控制对应的重要账户及列报的性质;

l 对于某些比较稳定或具备预期内在关系的账户,管理层实施的分析对发现重大错报具有足够的精确度;

l 管理层分析的细化程度。

一般而言,一个更精确的企业层面控制会对账户按照产品、地区作更细化的分析,并与其他资料进行比较分析,以确定财务报表相关认定的准确性。

例如:甲公司是生产交通运输工具用的替代燃料产品和系统的企业。所有工厂雇员人数大致相同,每周工作六天,每天两班次。其财务总监在公司已有10年,非常了解业务流程,包括工资流程。他审查由会计集中核算部门编制的每周工资汇总报告。由于公司扁平的组织结构和较小的规模,加上财务总监在企业的工作背景、对企业业务淡旺季、生产周期和工作流程十分了解,熟悉预算和报告流程,财务总监能迅速识别工资不当的信号及其内在的缘故,如与某个项目、加班、聘用或临时解聘等情况相关。必要时,财务总监将展开调查以确定是否出现错报或者内部控制运行无效,并采取整改措施。根据对控制环境和针对管理层凌驾于控制之上的风险的控制实施的审计程序,我们发现,该财务总监展示出诚信的品质,并致力于有效的内部控制。

我们评价财务总监审查的有效性,包括其精准度。我们询问了财务总监的审查过程,并且获取了审查的其他证据。我们注意到,财务总监调查确定的临界值(超过该金额的差异作为重大差异进行调查),足以发现导致财务报表重大错报的错报。我们选择了一些财务总监标记的、偏离预期值的重大差异,并确定财务总监是否已恰当调查了差异,以确定这些差异是否由错报导致。我们认为,鉴于财务总监进行审查的方式旨在发现错报,审查工作可以发现工资处理的错报。

但是,我们认为该项控制需要依赖企业IT系统生成的报告,只有当时这些报告的完整性和准确性的控制有效时,财务总监的审查才能有效。在测试了相关计算机控制以后,我们认为财务总监的审查结合针对工资汇总报告的相关控制,能够实现上述工资处理方面的控制目标。

正是由于企业层面控制的上述作用,我们应当识别、了解和测试对内部控制有效性结论有重要影响的企业层面控制。我们对企业层面控制的评价,可能增加或减少本应对其他控制所进行的测试。此外,由于对企业层面控制的评价结果将影响我们测试其他控制的性质、时间安排及范围,所以我们可以考虑在执行业务的早期阶段对企业层面控制进行测试。在完成对企业层面控制的测试后,我们可以根据测试结果评价被审计单位的企业层面控制是否有效,并且计划需要测试的其他控制及对其他控制所执行程序的性质、时间安排和范围。

三、了解和评价企业层面内部控制的主要内容 对企业层面内部控制的了解,主要从以下几个方面展开:
l 了解和评价与控制环境(即内部环境)相关的控制;

l 了解和评价针对管理层和治理层凌驾于控制之上的风险而设计的控制;

l 了解和评价被审计单位风险评估过程;

l 了解和评价对内部信息传递的控制;

l 了解和评价对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价;

l 了解和评价集中化的处理及控制(包括共享的服务环境);

l 了解和评价监控经营成果的控制;

l 了解和评价针对重大经营控制及风险管理实务的政策。

3.1与控制环境(即内部环境)相关的控制 控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和行动。控制环境设定了被审计单位的内部控制基调,影响员工的内部控制意识。良好的控制环境是实施有效内部控制的基础。在了解和评价控制环境时,我们需要考虑与控制环境有关的各个要素及其相互联系。

当控制环境可以预防或检查和更正重大错报时,它为内部控制的其他组成部分提供了适当基础,使得我们认为存在可依赖控制减轻重大错报风险的基础。然而,当我们识别不支持预防或检查和更正重大错报的控制环境因素时,将影响内部控制的其他组成部分,使我们怀疑内部控制的可依赖性,并增加了重大错报风险。特别是,控制环境不支持预防或检查和更正重大错报可能更易引起因舞弊导致的财务报表重大错报风险的发生。

在了解和测试控制环境时,我们需要考虑的方面主要包括:
l 管理层的理念和经营风格是否促进了有效的财务报告内部控制;

l 管理层在治理层的监督下,是否营造并保持了诚实守信和合乎道德的文化;

l 治理层是否了解并监督财务报告过程和内部控制。

在进行内部控制审计时,我们可以首先了解控制环境的各个要素,在此过程中我们应当考虑其是否得到执行。因为管理层可能建立了合理的内部控制,但却未能有效执行。在了解的基础上,我们可以选择那些对财务报告内部控制有效性的结论产生重要影响的企业层面控制进行测试。

《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》及其指南对我们如何了解和评价控制环境给出了相关指引,结合内部控制审计业务的目的和性质,我们还可以特别关注以下方面:
3.1.1管理层的理念和经营风格 在有效的控制环境中,管理层的理念和经营风格可以创造一个积极的氛围,促进业务流程和内部控制的有效运行,同时创造一个减少错报发生可能性的环境。我们可以考虑的主要因素包括(但不限于):
l 对胜任能力的重视。在实务中,我们在了解和测试此方面内部控制有效性时可以考虑的因素包括(但不限于):
l 管理层是否分析一些特定岗位所承担的职责所必需的知识和技能,例如,如果被审计单位从事大量套期交易活动,则需要聘用一些熟悉套期会计的财务人员;

l 管理层是否运用正式或非正式的职位描述定义特定职责所需执行的任务。

l 组织结构及职权与责任的分配。在实务中,我们在了解和测试此方面内部控制有效性时可以考虑的因素包括(但不限于):
l 管理层是否定义职权和责任的关键范围,并建立适当的重要职员报告途径;

l 管理层是否有适当的控制管理承担重要职能(如信息技术、财务和内部审计)的员工离职,如对离职的原因进行分析等;

l 管理层是否将业务授权以及业务执行的责任有效地分离,并且是否已针对授权交易建立适当的政策和程序。

l 人力资源政策与实务。人力资源政策与实务涉及招聘、培训、考核、晋升和薪酬等方面。在实务中,我们在了解和测试其有效性时可以考虑的因素包括(但不限于):
l 被审计单位的人力资源部门是否制定适当的招聘(包括对一些重要员工的背景调查)、培训、考核、晋升、薪酬奖励(包括高级管理人员奖励)、内部调动和辞退员工政策;

l 管理层是否作出适当行动以应对违反公司政策和程序的行为,同时与员工沟通并监控员工对这些公司政策的执行。

了解管理层的经营风格对识别影响管理层对待内部控制态度的因素十分必要。管理层的经营风格也影响我们对管理层如何做出判断和会计估计,以及如何选择会计政策的评估。

3.1.2诚信和道德价值观念的沟通与落实 诚信和道德价值观念是控制环境的重要组成部分,影响到重要业务流程的设计和运行。我们在了解和测试此方面有效性时可以考虑的因素包括(但不限于):
l 被审计单位是否有书面的行为规范并且通过各种方法使之得以贯彻落实;

l 被审计单位是否对新员工人职时进行职业操守培训,以及是否要求员工签署行为规范声明书等;

l 管理层是否对违反相关行为规范的行为采取适当的措施;

l 管理层是否有使得激励员工与设定不切实际业绩目标之间得以平衡的控制。

3.1.3治理层的参与程度 被审计单位治理层(如董事会、监事会等)通常通过其自身的活动,并在审计委员会或类似机构的支持下,监督财务报告政策和程序。我们在了解和测试其有效性时可以考虑的因素包括(但不限于):
l 董事会、审计委员会成员是否独立于管理层,有明确的相关职责,了解并且具备适当的条件执行这些职责。我们可以对审计委员会成员的背景进行了解,井获得他们执行相关职责的证据;

l 董事会、审计委员会是否与我们进行适当的互动并定期沟通,并对我们提出的问题作出反馈;

l 治理层是否充分参与了监督编制财务报告的过程,比如董事会、审计委员会是否与财务高级管理人员和内部审计人员保持高度互动;
定时听取信息汇报并实行有效检查;
对相关事项进行正确的提问,包括对重大会计政策和会计估计的解释等;

l 董事会、审计委员会是否评估在有效监督下管理层和治理层凌驾于内部控制之上的风险。

我们认识到,任一控制环境要素的缺陷都可能破坏其他要素的有效性。但是,我们注重的是控制的实质,而不是形式,因为控制可能在建立后并不实施。

3.2针对管理层和治理层凌驾于控制之上的风险而设计的控制 针对管理层和治理层凌驾于控制之上的风险(以下简称凌驾风险)而设计的控制,对所有企业保持有效的财务报告内部控制都有重要的影响。在不同的企业,管理层和治理层凌驾于控制之上的风险水平不同。由于小企业的高级管理人员更多地参与控制的执行和期末财务报告过程,小企业的凌驾风险可能更大。小企业针对凌驾风险采用的控制,可能与大企业采用的控制不同。

因此,我们可以根据对被审计单位进行的舞弊风险评估作出判断,选择相关的企业层面控制进行测试,并评价这些控制是否能有效应对已识别的可能导致财务报表发生重大错报的凌驾风险。

一般而言,针对凌驾风险采用的控制包括(但不限于):
l 针对重大的异常交易(尤其是导致会计分录延迟或异常的交易)的控制。重大的异常交易一般指不是在被审计单位正常业务过程中产生、并且对被审计单位而言较为重大的交易。我们可以了解被审计单位对于重大的异常交易的会计处理流程以及是否建立了相关的控制,并考虑对这些控制的设计及运行有效性进行测试,以确定这些控制是否能有效降低凌驾风险;

l 针对关联方交易的控制。我们可以关注被审计单位的关联方交易管理及业务流程,了解企业的关联方交易是如何产生、审批以及记录在财务报表中的,在上述过程中是否存在凌驾风险,以及是否有相关的控制降低风险。在了解这些控制之后,我们可以考虑对能降低与关联方交易相关的凌驾风险的控制进行测试;

l 与管理层的重大估计相关的控制。我们可以了解被审计单位的财务报表中是否有对财务报表产生重大影响的会计估计,并了解管理层确定这些会计估计的过程。同时,我们可以关注管理层针对这些重大会计估计的相关控制,是否能防止管理层因操纵这些重大会计估计而导致财务报表出现重大错报的风险。在了解这些控制之后,我们可以考虑对能降低与重大会计估计相关的凌驾风险的控制进行测试;

l 能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制。我们可以关注管理层的薪酬及激励机制,或管理层是否面临较大的业绩压力从而导致被审计单位出现较高的凌驾风险。对于这种情况,我们可以了解被审计单位是否有相应的控制防止管理层因为激励机制及业绩压力而对财务报表作出虚假报告。在了解这些控制之后,我们可以考虑对能降低与管理层动机及压力相关的凌驾风险的控制进行测试。对于能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制,我们一般可以(但不限于)考虑下列流程及相关控制:
l 薪酬委员会(或类似机构)在公司制定薪酬及激励政策中的角色,以及薪酬激励是否通过该委员会的研究及审批,以确保激励部分不会过高从而增加人为错报的风险;

l 管理层每年制定的预算是否是基于实际经营状况,并且通过合理的分析而编制的,以确保年度预算不会过于激进或保守从而增加人为错报的风险;

l 内部审计部门是否会关注因管理层动机或压力而导致的错报风险,并且定期进行检查,查找被审计单位是否存在人为调整财务业绩的情况。

l 建立内部举报投诉制度。我们可以关注被审计单位是否建立了内部举报投诉制度(如举报热线、 电子邮件、举报信箱等)和举报人保护制度,鼓励员工对各类违法或不当行为予以举报,并严禁任何人向善意举报的人或参与调查的人施加报复。我们还可以关注被审计单位对举报投诉的处理程序、办理时限和办理要求,如是否设置了专门机构对投诉内容进行调查处理等。同时,我们还可关注上述相关制度是否已及时传达至全体员工。

3.3被审计单位的风险评估过程 风险评估过程包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施。首先,被审计单位需要有充分的内部控制去识别来自内外部环境的风险,比如监管环境和经营环境的变化、新的或升级的信息系统、新的会计政策等方面。其次,充分、适当的风险评估过程应当包括对重大风险的估计,对风险发生可能性的评定以及应对方法的确定。我们可以首先了解被审计单位及其环境的其他方面信息,以初步了解被审计单位的风险评估过程。

《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》准则及其指南中对注册会计师如何了解和评价被审计单位的风险评估过程提供了相关指引。结合内部控制审计业务的目的和性质,实务中,在了解和测试被审计单位与风险评估过程相关的内部控制时,可以考虑以下因素:
l 被审计单位是否根据设定的控制目标,有计划全面、系统、持续地收集内外部相关信息,并结合实际情况,及时进行风险评估;

l 被审计单位是否在目标设定的基础上,密切关注内外部主要风险因素,通过日常或定期的评估程序与方法对各种主要风险加以识别,并将各类风险进行分类整理,形成企业的风险清单;

l 被审计单位是否在风险识别的基础上,采用定性和定量相结合的方法,按照风险发生的可能性及其影响程度等因素,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。被审计单位在进行风险分析时,是否充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性;

l 被审计单位是否根据内部控制目标,结合风险评估结果和风险应对策略,综合运用控制措施,将风险控制在可承受范围之内。

在了解风险评估流程时,我们重点了解管理层如何设计整个流程,且流程是否足以评估风险和设计恰当的应对措施。我们不要求逐个对风险评估流程中的控制进行评估,因为这些控制不太可能与审计有关。但是,当管理层未能识别及解决相关的财务报告的风险或企业的风险评估流程不适合当时的情况(如性质、规模和企业的复杂性),则我们需确定这是否会对我们对控制环境的了解产生影响。

如果管理层未识别和处理与财务报告有关的风险,或者企业的风险评估流程不符合企业的情况(如性质、规模和企业的复杂性),这可能表明财务报表存在潜在的重大错报风险。此外,这也可能是内部控制缺陷的一个指标。

如果企业没有建立风险评估流程,或只存在一个特设的流程,我们应当询问管理层是否识别和处理了与财务报告目标相关的经营风险,评估正式记录在案的风险评估流程是否适用于企业的情况,并确定缺乏正式记录在案的风险评估流程是否代表内部控制的重大缺陷。

此外,针对重大经营控制及风险管理实务采用相应的内部控制政策也属于企业层面控制的组成部分。在对内部控制进行审计时,我们可以考虑以下因素中与财务报告相关的部分:
l 企业是否建立了重大风险预警机制,明确界定哪些风险是重大风险,哪些事项一旦出现必须启动应急处理机制。应急预案、预警机制等相关的政策和方案应非常明确地传达到相关人员;

l 企业是否建立了突发事件应急处理机制,确保突发事件得到及时妥善处理。

3.4对内部信息传递的控制 在企业中,相关信息需要以适当方式及时识别、保存和传递,并被不同层级的人员使用,以支持财务报告目标的实现。

我们在了解内部信息传递的过程中,至少需要了解企业内部信息传递的主要机制。当内部信息传递的机制与企业环境不相适应时,我们需要考虑此种情况是否会影响其对内部环境的评价。

3.5对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价 管理层的一项重要职责就是持续不断地建立和维护控制。管理层对控制的监督包括考虑控制是否按计划运行,以及是否需要根据情况的变化与控制作出恰当修改。控制监督可以在企业层面或业务流程、应用系统或交易层面上实施。对于企业层面或业务流程、应用系统或交易层面的监督可以通过持续的监督和管理活动、审计委员会或内部审计部门的活动以及自我评价的方式等来实现。

对控制的监督可能包括:对运营报告的复核、与外部人士的沟通、其他未参与控制执行人员的监控活动以及信息系统所记录的数据与实物资产的核对等。

在监督的组成部分中,一个有效的审计委员会可能针对企业财务方面的各项活动提出疑问。例如,审计委员会对管理层提出问题,包括对企业重大会计政策和会计估计提出问题,以获取相关了解。

结合内部控制审计业务的目的和性质,在了解被审计单位对控制有效性的内部监督并对其有效性进行测试时,我们还可以特别考虑以下因素:
3.5.1管理层是否定期地将会计系统中记录的数额与实物资产进行核对 管理层可能进行周期性的存货盘点或者年度的固定资产盘点,将实际盘存资产的数量与相应的明细账记录作比较。通过监盘存货,我们不仅可以获取被审计单位定期盘点的证据,还可以根据实际情况,在必要时对其运行有效性进行测试。

3.5.2.管理层是否为保证内部审计活动的有效性而确立了相应的控制 内部审计部门或者执行类似职能的人员对于有效监督企业活动可能具有重要的意义。很多企业内部都有集中化的内部审计部门,通过对各业务单元或地区进行轮流视察,进行控制复核并跟进前期发现的不足之处,实施有效的监控。某些企业的内部审计部门将工作重点放在评价内部控制的设计和测试其运行的有效性上,从而识别潜在的缺陷,提供有利于管理层作出成本效益分析的信息,并据此提出改进建议。

企业对于内部审计人员的级别、胜任能力和经验应当有适当的控制。内部审计部门在企业组织内部的定位应是适当的,并且内部审计人员应有权向审计委员会或董事会汇报情况。内部审计部门的范围、职责及审计计划应与企业的需求和财务报告内部控制相适应。

3.5.3.管理层是否建立了相关的控制以保证自我评价或定期的系统评价的有效性 我们可以关注被审计单位管理层对内部控制系统的评价是否有适当的范围和频率。管理层需要对内部控制进行评价,并且评价过程需由具备相应技能和了解企业控制设计和运行的人员来执行。评价的范围、覆盖深度以及频率都应是恰当的。

根据控制所应对风险的重要性和控制在降低重大错报风险方面的重要性,管理层可能分别采用不同范围和频率的评价或自我评价措施,以监督财务报告内部控制的有效性。所应对风险越高的控制,以及对于降低特定风险更为关键的控制,可能会被更频繁地测试,并由更有经验、更客观以及更具胜任能力的人员来实施。

3.5.4.管理层是否建立了相关的控制以保证监督性控制能够在一个集中的地点有效进行,如共享服务中心等 在一些被审计单位中,某些重要的监督性控制是在集中处理中心或者共享服务中心以集中化或地区化的方式执行的。这些控制可以有效地监督在分散的地点或业务分部的特定控制。

3.6集中化的处理和控制(包括共享的服务环境) 集中化的处理可以视作企业内部的一种“外包”安排,通过将部分或全部财务报告过程与负责经营的管理层相分离,以改进控制环境并取得规模效益。例如,企业可能设立共享服务中心,向内部的其他下属单位或分部提供日常的会计处理及财务报表编制服务。由于采用集中化管理可以降低各个下属单位或分部负责人对该单位或分部财务报表的影响,并且可以使财务报告内部控制更为有效,所以集中化的财务管理有助于降低财务报表错报的风险。

我们在对共享服务中心执行审计程序时,可以先了解共享服务中心的服务对象以及服务范围,并分析其服务对象的财务报表重大错报风险。针对这些风险,我们可以分析被审计单位是否有相关的内部控制用以降低其下属单位或分部财务报表发生重大错报的风险。

一般而言,特定服务对象单位与财务报表相关的风险越大,我们在进行内部控制测试过程中可能更需要到共享服务中心或其服务对象单位测试与特定服务对象单位相关的内部控制。

如果共享服务中心的内部控制的影响较大,我们可以考虑在内部控制审计工作初期就开始分析其内部控制的性质、对被审计单位的影响等,并且考虑在较早的阶段执行对共享服务中心内部控制的有效性测试,以确定其对进一步审计程序性质、时间安排以及范围的影响。

此外,一般而言,在对共享服务中心的内部控制进行了解或测试时,我们还可以关注共享服务中心与财务报表相关的信息技术系统,特别是系统的复杂程度、使用的软件等因素,以选择合适的内部控制进行测试,其中包括集中处理环境下的信息技术一般控制是否有效。

对于某些被审计单位而言,上级单位可能会定期检查下属单位或分部的财务数据的真实性,以降低下属单位或分部管理层在财务报表上作出不恰当的人为调整的风险。

3.7监督经营成果的控制 监督经营成果的控制可以视为所有监督性内部控制的一种。一般而言,管理层对于各个单位或业务部门经营情况的监控是企业层面控制的重要内容。例如,被审计单位管理层可能将各个下属单位和业务部门上报的实际生产量、销售量和其他资料,与预算或预期的数字作对比分析,并且跟进差异(如有)的原因及其合理性,以确定财务报表上的金额是否有异常变动。此外,下属单位或业务部门的管理人员可能定期复核上报的财务报表的准确性,并在上报的资料上签字确认,同时下属单位或业务部门对财务报表发生的错报承担责任。

我们在了解和测试与监督经营成果相关的企业层面控制时可以考虑的因素包括(但不限于):
l 管理层是否定期将经营成果与预算进行对比分析及复核,以分析财务资料是否存在异常情况;

l 是否定期编制主要经营指标并对这些指标进行审阅及分析,以分析财务资料是否存在异常情况;

l 是否定期更新经营预测,并且与期末的实际经营结果进行对比分析。

在了解监督经营成果的控制时,我们可以从性质上分析这些监督经营成果的控制是否有足够的精确度以取代对业务流程、应用系统或交易层面的控制的测试。

例如,如果管理层对财务报表的定期复核缺乏足够的精确度,我们可能需要对被审计单位的财务报表编制流程中的内部控制进行测试。但是,如果这些监督经营成果的内部控制是有效的,我们可以考虑减少对其他控制的测试。

四、企业层面控制对其他控制及其测试的影响 不同的企业层面控制在性质和精确度上存在差异,我们应当考虑这些差异对其他控制及其测试的影响。

影响控制精确度的因素包括:
l 重要账户或列报的性质;

l 控制本身的目标;

l 控制所利用数据的细化程度;

l 审计中曾经识别的错报;

l 管理层进行调查的标准,包括控制能够防止、发现或纠正潜在重大错报的性质和大小;

l 控制执行的一贯性;

l 在与其他控制程序相关时,所使用数据的可靠性以及数据之间相互印证的程度。

如果某企业层面控制本身精确到足以及时防止或发现并纠正一个或多个相关认定中存在的重大错报,足以应对评估的重大错报风险,我们可以不必测试与该风险相关的其他控制。

例如,被审计单位设立了银行余额调节表的监督审阅流程,并且对下属所有分级机构作出定期检查,以确定所有下属单位已经做好银行余额调节表的编制、审阅及跟踪工作。如果这个监督审阅过程中的程序有足够的精确度以复核各个下属单位的工作是否恰当,那么我们可以考虑测试这个企业层面控制,并且不必对下属每个单位的银行余额调节表相关控制进行测试。

某些企业层面控制能够监督其他控制的有效性。管理层设计这些控制可能是为了识别其他控制出现的失效情况。但是,这些控制本身并不足以精确到及时防止或发现并纠正相关认定的重大错报。当这些控制运行有效时,我们可以减少原本拟对其他控制的有效性进行的测试。

例如,被审计单位的财务总监定期审阅经营收入的详细月度分析报告。由于这个控制没有足够的精确度以及时防止或发现某个财务报表认定的重大错报,所以这个控制不可以完全替代我们对其他控制的测试。但是,如果这个控制有效的话,可以使我们修改其原本拟对其他控制所进行的测试程序。

某些企业层面控制(如某些与控制环境相关的控制)对及时防止或发现并纠正相关认定的错报的可能性有重要影响。虽然这种影响是间接的,但这些控制仍然可能影响我们拟测试的其他控制及其对其他控制所执行程序的性质、时间安排和范围。

我们对企业层面内部控制的评价,可能增加或减少本应对其他控制进行的测试。例如:
l 控制环境的有效性可能影响我们对其他控制测试的性质、时间和范围的安排。在控制环境存在缺陷的情况下,我们可能选择增加执行审计工作的组成部分的数量,将更多的审计程序放在期末而不是中期执行,或在将期中控制测试结果更新至基准日时,改变前推程序的性质以获取更有说服力的审计证据。

l 企业层面控制(特别是监督其他控制的控制)的有效性是影响与某项控制相关的风险因素之一。如果相关企业层面控制无效,我们综合该因素及其他相关因素判断某流程层面控制的相关风险较高,则需要基于对该流程层面控制相关风险较高的判断扩大控制测试的样本规模。

五、如何了解企业层面控制 5.1 了解企业层面控制的方法 我们执行以下程序来了解企业层面控制:
l 询问管理层和我们判断认为可能拥有帮助我们识别重大错报风险的信息的企业内部其他人员;

l 观察运行中的流程和控制;

l 检查文件和报告。

了解企业整体控制实施程序的性质、时间和范围取决于企业的规模和复杂程度、以往对该企业的审计经验和企业控制的性质。鉴于企业整体控制的性质,以及审计证据不存在或不能以文本形式获取的事实,我们经常通过询问和观察来了解企业整体控制。当管理层与其他人员之间的沟通可能非正式时,这种情况在不复杂的企业中更显著。在其他情况下,我们能通过查阅文件和报告(例如:管理层季报、中期财务报表和会议纪要) 来证实管理层的陈述。

5.2 审计证据的考虑和了解企业层面控制的范围 我们预计不会像管理层那样深入和详细地了解业务和内部控制,我们运用职业判断确定了解企业层面控制需要的范围和需要获取的证据。我们对企业层面控制的了解应足以让我们识别重大错报风险和确定应对风险的最恰当的审计策略。

了解企业层面控制所需证据的质量和数量以及证据的说服力与我们对企业复杂程度和机构内部现存已识别风险的认识相匹配。在一个不复杂的业务中,我们可能通过对管理层询问以获取对企业层面控制的了解,并执行详细的程序来证实。在更复杂的企业中,我们就需要与更多的人员 (例如:财务总监、内审主管、总会计师、风险管理总局和董事等) 以了解企业层面控制。我们也可以查阅会议纪要、书面的政策和程序以及其他证据来确认与审计相关的企业层面控制已经得到执行。

六、识别和评估重大错报风险 我们应基于对企业层面控制的了解来识别和评估重大错报风险。当我们识别出重大错报风险时,我们应确定风险的应对措施,并评估风险对审计造成的影响。

在针对企业层面控制的了解中所包括的内部控制的任何组成部分(即:控制环境、风险评估、监控等)中,我们在财务报表层面及认定层面均可能识别出重大错报风险。识别和评估重大错报风险需要运用相当多的判断。因此,应由有经验的项目小组成员来参与识别和评估重大错报风险的过程。在此过程中,项目小组成员应在评估提高重大错报风险可能性的因素时考虑企业的规模、复杂程度和所有制特征。

七、工作底稿记录 我们对以下控制进行记录:与控制环境、风险评估程序、内部信息传递相关的企业层面控制,我们选定测试运行有效性的其他间接的企业层面控制,以及我们选定测试的、充当交易层面控制的其他直接的企业层面控制。

第六章 识别舞弊风险并确定应对措施 一、识别舞弊风险的相关要求 舞弊是一个宽泛的法律概念,但我们关注的是导致财务报表发生重大错报的舞弊。与财务报表审计相关的故意错报,包括编制虚假财务报告导致的错报和侵占资产导致的错报。

由于审计的固有限制,我们无法避免有一些由于舞弊而导致的重大错报没有被检查到的风险。因此,我们计划并实施审计以获得有关财务报表不存在由于舞弊而导致的重大错报的合理保证,而不是绝对保证。

在整个审计过程中,尽管有对企业管理层和治理层诚信的以往经验,我们仍然运用职业的怀疑态度来识别由于舞弊而导致的重大错报。

我们承认任何企业、在任何时间都有可能发生舞弊,并有可能被任何人实施。

从财务报告及内控审计来说,我们的目标是:
(一)识别和评估由于舞弊导致的财务报表重大错报风险;

(二)通过设计和实施恰当的应对措施,针对评估的由于舞弊导致的重大错报风险,获取充分、适当的审计证据;

(三)恰当应对审计过程中识别出的舞弊或舞弊嫌疑。

《企业内部控制审计指引》第十三条规定,注册会计师在测试企业层面控制和业务流程、应用系统或交易层面的控制时,应当评价内部控制是否足以应对舞弊风险。

在识别并测试企业层面控制以及选择其他控制进行测试时,我们应当评价被审计单位的控制是否足以应对已识别的、由于舞弊导致的重大错报风险,并评价为应对管理层凌驾于控制之上的风险而设计的控制。

被审计单位为应对这些风险可能采取的控制包括:
l 针对重大非常规交易的控制,尤其是针对导致会计处理延迟或异常的易的控制;

l 针对期末财务报告流程中编制的分录和作出的调整的控制;

l 针对关联方交易的控制;

l 与管理层的重大估计相关的控制;

l 能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制。

二、识别舞弊风险的主要程序及考虑因素 我们在在识别舞弊风险时,需执行以下程序:
l 组织项目组讨论;

l 就舞弊风险询问管理层和其他人员;

l 考虑舞弊风险因素,包括考虑:
l 与对财务信息作出虚假报告相关的舞弊风险因素;

l 与侵占资产相关的舞弊风险因素。

l 针对管理层和治理层凌驾于控制之上的风险而设计的控制;

l 考虑异常关系或偏离预期的关系;

l 考虑关联方关系和重大关联方交易;

l 考虑违反法律法规的风险;

l 考虑其他信息。

2.1组织项目组讨论 在识别由于舞弊而导致的重大错报风险时,项目小组会讨论企业财务报表为何以及在哪些方面存在重大错报风险,以及舞弊发生的方式,我们应当对此过程中获得的信息进行评价。项目组讨论的内容通常包括:
l 由于舞弊导致财务报表重大错报的可能性,重大错报可能发生的领域及方式;

l 在遇到哪些情形时需要考虑存在舞弊的可能性;

l 已了解的可能产生舞弊动机或压力、提供舞弊机会、营造舞弊行为合理化环境的外部和内部因素;

l 已注意到的对被审计单位舞弊的指控;

l 已注意到的管理层或员工在行为或生活方式上出现的异常或无法解释的变化;

l 管理层凌驾于控制之上的可能性;

l 是否有迹象表明管理层操纵利润,以及采取的可能导致舞弊的操纵利润手段;

l 管理层对接触现金或其他易被侵占资产的员工实施监督的情况;

l 为应对舞弊导致财务报表重大错报可能性而选择的审计程序,以及各种审计程序的有效性;

l 如何使拟实施审计程序的性质、时间和范围不易为被审计单位预见。

2.2就舞弊风险询问管理层和其他人员 2.2.1询问管理层 在了解被审计单位及其环境时,我们应当向管理层询问的事项包括:
l 管理层对舞弊导致的财务报表重大错报风险的评估;

l 管理层对舞弊风险的识别和应对过程;

l 管理层就其对舞弊风险的识别和应对过程与治理层沟通的情况;

l 管理层就其经营理念及道德观念与员工沟通的情况;

l 管理层对任何影响企业的实际或可疑的舞弊行为的了解。

管理层对企业内部控制和财务报表编制负有责任。相应地,我们需要就管理层自己对舞弊风险的评估,以及预防并检查该舞弊的恰当控制进行询问。管理层对该风险评估的性质、范围和频率可能因企业不同而不同。某些企业的管理层可能每年进行详细评估,或将其作为持续监督。另外一些企业的管理层评估可能较不定期或较少。管理层对舞弊风险评估的性质、范围与我们对企业控制环境的了解有关。例如:管理层不进行舞弊风险评估可能意味着管理层不重视内部控制而因此加大了舞弊风险。

我们可以向管理层询问以下问题,来帮助我们了解存在由于舞弊而导致的潜在重大错报风险的方面:
l 你认为企业的哪些领域可能出现舞弊活动? l 有没有你认为个人具有较多机会实施舞弊的特定业务领域?如有,你认为哪些步骤可以减少风险? l 你对可能或已经发生的舞弊有没有特别的考虑? l 你是否在经营中遭遇过舞弊? 在评价管理层对询问作出的答复时,我们应当认识到管理层在被审计单位中通常具备更多的实施舞弊的机会。因此,我们应当保持职业怀疑态度,确定何时有必要通过其他信息对管理层的答复加以印证。如果管理层的答复与其他信息不一致,我们应当采取适当措施予以解决。

虽然我们通过询问管理层可能获取关于员工舞弊导致的财务报表重大错报风险的有用信息,但这种询问难以获取关于管理层舞弊导致的重大错报风险的有用信息,因此在询问的对象方面,除了管理层和对财务报告负有责任的人员,我们还应当运用职业判断,确定拟实施询问的被审计单位内部其他人员以及询问内容,以便从不同于管理层和对财务报告负有责任的人员的角度获取信息,除了变化询问对象,我们还应考虑询问不同级别的人员。

2.2.2询问内部审计人员 如果被审计单位设有内部审计职能,包括内部审计机构或专门的内部审计人员,我们应当向内部审计人员询问,以获取相关信息。向内部审计人员询问的主要内容包括:
l 内部审计人员对被审计单位舞弊风险的认识;

l 内部审计人员在本期是否实施了用以发现舞弊的程序;

l 管理层对通过内部审计程序发现的舞弊是否采取了适当的应对措施;

l 内部审计人员是否了解任何舞弊事实、舞弊嫌疑或舞弊指控。这里,舞弊事实是指已经实际发生的舞弊行为的有关情况;
舞弊嫌疑是指怀疑可能会构成舞弊行为的有关情况;
舞弊指控是指对舞弊行为的举报、投诉等方面的有关情况。

内部审计对业务的经营有很深入的了解,因此可以向我们提供有用的信息以帮助我们识别由于舞弊而导致的重大错报风险。例如:当控制或企业政策和程序发生变化时,我们可以询问内部审计他们是否认为这些变化会导致舞弊风险上升。另外,内审可能认识到由于环境的变化,以前期间有效的控制在本期可能变弱。

2.2.3询问内部其他人员 我们应当考虑向被审计单位内部的其他人员询问是否存在或可能存在舞弊。这些内部其他人员包括:
l 不直接参与财务报告过程的业务人员;

l 负责生成、处理或记录复杂、异常交易的人员及其监督人员;

l 负责法律事务的人员;

l 负责道德事务的人员;

l 负责处理舞弊指控的人员。

这些人员出于各自的相应职责,可能从不同角度、不同侧面了解实际存在的或者可能存在的舞弊行为。

我们运用职业判断和对企业或行业内类似企业的经验来确定我们所要询问的企业其他人员和应该询问的范围。在大多数情况下,这些询问是在审计过程中我们与联系人员讨论的自然延伸。

2.2.4询问治理层 治理层的重要职责之一就是监督管理层对舞弊风险的识别和应对过程,因此,我们应当了解治理层如何监督管理层对舞弊风险的识别和应对过程,以及管理层为降低舞弊风险设计的内部控制。我们可以通过参加相关会议、阅读会议纪要或询问治理层等审计程序了解有关情况。

我们应当询问治理层,以确定其是否知悉任何舞弊事实、舞弊嫌疑或舞弊指控。由于治理层的重要职责在于监督管理层,因而其知悉舞弊事实、舞弊嫌疑以及收到舞弊指控的可能性较大,我们应当就这些内容执行询问程序,以便获取相关信息。

治理层对我们询问的答复可作为管理层答复的佐证信息。如果治理层的答复与管理层的答复不一致,我们应当获取进一步的审计证据予以解决。

这些询问通常由具有充分的知识和经验来询问恰当的后续问题的项目小组成员在早期审计计划阶段进行,通常是高级审计员及以上级别。更有经验的项目成员(即项目负责人),通常要参与询问高级管理层或治理层。

2.3考虑舞弊风险因素 在了解被审计单位及其环境时,我们应当考虑所获取的信息是否表明存在舞弊风险因素。舞弊风险因素是指注册会计师在了解被审计单位及其环境时识别的、可能表明存在舞弊动机或压力、机会的事项或情况,以及被审计单位对可能存在的舞弊行为的合理化解释。

我们识别舞弊风险因素来帮助我们识别由于舞弊而导致的重大错报风险。我们运用职业判断来确定是否存在舞弊风险因素。我们在舞弊发生的三个条件的环境下确定舞弊风险因素(即:诱因/压力、机会和态度/合理性解释)。

舞弊风险因素的存在并不一定表明发生了舞弊,但在舞弊发生时通常存在舞弊风险因素。我们应当考虑舞弊风险因素的存在对其评估重大错报风险可能产生的影响。我们应当运用职业判断,考虑被审计单位的规模、复杂程度、所有权结构及所处行业等,以确定舞弊风险因素的相关性和重要程度。

2.4考虑异常关系或偏离预期的关系 ?在实施分析程序以了解被审计单位及其环境时,我们应当考虑可能表明存在舞弊导致的重大错报风险的异常关系或偏离预期的关系。?我们实施分析程序有助于识别异常的交易或事项,以及对财务报表和审计产生影响的金额、比率和趋势。在实施分析程序时,我们应当预期可能存在的合理关系,并与被审计单位记录的金额、依据记录金额计算的比率或趋势相比较;
如果发现异常关系或偏离预期的关系,我们应当在识别舞弊导致的重大错报风险时考虑这些比较结果。

2.5考虑其他信息? 我们应当考虑在了解被审计单位及其环境时所获取的其他信息,是否表明被审计单位存在舞弊导致的重大错报风险。其他信息可能来源于项目组内部的讨论、客户承接或续约过程以及向被审计单位提供其他服务所获得的经验。

三、 识别由于舞弊而导致的重大错报风险 我们使用审计中不同时点获取的信息,包括舞弊风险因素的识别,来识别由于舞弊而导致的重大错报风险。

舞弊风险因素的存在并不意味着一定有由于舞弊而导致的重大错报风险的存在。识别由于舞弊而导致的重大错报风险同样受我们对控制环境的了解的影响。支持预防或检查和更正与财务报告相关的重大错报的控制环境并不能够绝对抵制舞弊,但是可以帮助我们降低舞弊风险,从而使我们能够增强对内部控制和所收集的审计证据的可靠性的信心。控制环境的消极因素会逐渐破坏控制的有效性并导致使由于舞弊而导致的重大错报风险发生的范围更大。

如果由于舞弊而导致的重大错报风险对于整个财务报表来说是广泛的,那么我们要识别我们认为可能导致潜在错报的账户余额和认定,并将由于舞弊而导致的重大错报风险和相关认定联系起来。当由于舞弊而导致的重大错报风险是针对一个特定账户、认定或交易类别时,我们要确定特定的应对措施并考虑某些形式的总体应对措施。

3.1 收入确认 我们必须将收入确认识别为由于舞弊而导致的重大错报风险。我们评价哪些收入交易会导致由于舞弊而导致的重大错报风险。如果我们不识别有关收入确认的由于舞弊而导致的重大错报风险,我们则要记录支持该结论的理由。

我们假定,将识别一个或多个与收入确认有关的由于舞弊而导致的重大错报风险,因为虚假财务报告通常来自于收入的高估(例如:提早确认收入或记录虚假收入)或低估(例如:不恰当地将收入记录在更晚期间)。

四、应对舞弊导致的重大错报风险  我们应当针对评估的舞弊导致的财务报表层次重大错报风险确定总体应对措施,并针对评估的舞弊导致的认定层次重大错报风险设计和实施进一步审计程序。   舞弊导致的重大错报风险属于特别风险,我们应当专门针对该风险实施特别措施。

为应对评估的舞弊导致的重大错报风险,我们应当保持高度的职业怀疑态度,包括: l 对有关重大交易的文件记录进行检查时,对文件记录的性质和范围的选择保持敏感;

l 就管理层对重大事项作出的解释或声明,有意识地通过其他信息予以验证。

4.1总体应对措施 我们应当针对评估的舞弊导致的财务报表层次重大错报风险确定下列总体应对措施: l 考虑人员的适当分派和督导;

l 考虑被审计单位采用的会计政策,以确定会计政策是否以不正当的方式应用。我们要特别评价那些与主观计量和复杂交易相关的政策(例如:收入确认、资产评估或资本化与费用化),因为这些政策可能意味着由管理层盈余管理导致的虚假财务报告;

l 在选择进一步审计程序的性质、时间和范围时,应当注意使某些程序不为被审计单位预见或事先了解。  4.2 特别措施 我们设计并实施审计程序,或修改现有程序的性质、时间和范围,使其能够应对所识别的由于舞弊而导致的重大错报风险。

我们对收入执行额外的程序,以应对收入确认中推定的由于舞弊而导致的重大错报风险,除非我们得出结论认为该推定在此项目中不适用。

我们在认定层面应对所评估的由于舞弊而导致的重大错报风险的措施可能包括用以下方式改变审计程序的性质、时间和范围:
l 所要实施的审计程序的性质可能改变,以获取更可靠的相关审计证据或获取额外的佐证信息。这可能影响所要执行的审计程序类型,以及他们的组合方式;

l 我们可以设计程序以获取额外的佐证信息;

l 实质性程序的时间可能被修改;

l 程序应用的范围反映了所识别的由于舞弊而导致的重大错报风险。

五、应对管理层凌驾于控制之上的措施 即使我们没有识别由于舞弊而导致的重大错报风险,我们也要认识到管理层凌驾于控制之上的可能性。

我们实施特定的程序来应对管理层凌驾于控制之上的风险。这些程序包括:
l 测试记账分录的恰当性,以及在编制财务报表时所做的其他调整;

l 审核会计估计是否存在管理层偏好;

l 评价重大异常交易的商业合理性。

六、应对与关联方有关的由于舞弊而导致的重大错报风险的措施 当我们识别了因为存在具有重大影响的关联方而产生的由于舞弊而导致的重大错报风险,我们要了解关联方与企业建立的直接或间接的业务关系,以及进一步实质性程序的必要性。

我们执行与具有重大影响的关联方交易有关的程序,以补充我们为了应对由于舞弊而导致的重大错报风险的总体程序、特别措施,以及应对管理层凌驾于控制之上的程序。

一些我们可能执行的与具有重大影响的关联方相关的交易包括:
l 询问管理层和治理层;

l 询问关联方;

l 检查与关联方之间的重大合同。

七、对审计其他方面的影响 在设计我们的程序时,我们意识到所识别的由于舞弊而导致的重大错报风险可能对审计的其他方面具有影响。我们特别需要确定有关承接/续接项目方面的由于舞弊而导致的重大错报风险的影响。我们要确定如果我们原先意识到由于舞弊而导致的重大错报风险的话,其是否会导致我们拒绝该项目。

另外,当我们识别了有关预防和检查舞弊的控制(包括应对管理层凌驾于控制之上的风险的控制)缺陷时,我们要确定这些缺陷可能对控制环境以及最终审计结果的影响。

当我们识别了任何与舞弊预防或检查相关的内部控制的重大缺陷时,我们须将这些内部控制的重大缺陷汇报给治理层,适当时汇报给管理层(有关更多要求和指引,参见“第十八章 评价内部控制缺陷”) 第七章 确定重要性水平 与财务报表审计相同,在计划内部控制审计工作时,我们同样应当确定重要性水平,以识别重大账户、列报及其相关认定、重大业务流程,并根据所识别的控制缺陷对财务报表的影响程度对缺陷进行评价。

整体重要性水平 :财务报表层面的总体重要性水平。

特定类别的交易、账户余额或披露的重要性水平:存在一个或多个特定类别的交易、账户余额或披露,其发生的错报金额虽然低于财务报表整体的重要性,但合理预期将影响财务报表使用者依据财务报表作出的经济决策。

实际执行的重要性水平:即可容忍误差,是注册会计师确定的低于财务报表整体的重要性的一个或多个金额,旨在将未更正和未发现错报的汇总数超过财务报表整体的重要性的可能性降至适当的低水平。

确定整体重要性水平、账户余额或披露的重要性水平和实际执行重要性水平需要运用错误!超链接引用无效。,因而,项目管理者(包括错误!超链接引用无效。)的参与是必要的。

一、了解确定整体重要性水平需做的考虑 整体重要性水平反映了我们对那些对于错误!超链接引用无效。使用者而言重要性的初步判断,以及在形成我们认为财务报表整体不存在重大错报的审计意见时对我们认为重大的金额的初步估计。整体重要性水平可以确定我们审计程序的整体范围。

尽管影响我们确定整体重要性水平的因素有很多,但是主要受下列两个主要因素驱动:
1.1确定整体重要性水平时财务报表使用者的展望与预期 我们基于对企业的了解来确定其预期的财务报表使用者、企业的类型、其所在的行业,以及与其有关的任何特殊的监管报告要求。我们应确定财务报表使用者关注的财务指标和我们认为对其而言重要的错误!超链接引用无效。规模。另外,由于监管部门是财务报表的使用者,我们也应当在确定重要性水平时考虑其可能受到法律法规或其他监管要求的影响,并受到立法机构和与相关的公众对信息需求的影响。

例如:对于一家在上海证券交易所上市的企业——预期财务报表使用者可能包括股东、证券分析师、证监会、行业部门以及政府监管部门(比如税务局)。预期使用者可能还包括债权人,比如银行、优先债权人等;
一家公共部门实体的企业——预期财务报表使用者可以包括立法机构和监管机构。

1.2整体重要性水平的恰当基准 我们应在考虑下列因素后确定整体重要性水平的恰当基准:
1.2.1是否存在特定会计主体的财务报表使用者特别关注的项目 我们关于整体重要性水平最为恰当的基准的判定受到我们认为可能对财务报表使用者而言重要的因素的影响。例如上市企业财务报表使用者往往关注经营成果。我们应运用职业判断,考虑我们对于企业业务、行业,以及我们认为对财务报表使用者而言重要的因素,以确定一个恰当的计划重要性水平基础。

1.2.2 被审计单位的性质、所处的生命周期阶段以及所处行业和经济环境 在确定最恰当的基准时,我们也应考虑企业业务的性质、企业所处行业和经济环境、企业本期的经营情况以及企业所有权结构和融资方式。

例如:如果该企业的连续多期的经营处于或接近盈亏平衡状态或在盈利和亏损之间浮动,在这些情况下,我们可能会考虑将收入或毛利,或者一些其他的经营指标(例如:经营收入、息税前利润)作为计量基础;
如果企业仅通过债务而非权益性进行融资,财务报表使用者可能更关注资产及资产的索偿权,而非企业的收益,我们可能会考虑将资产总额作为计量基础;
如果该企业为小型被审计单位,由于所有者以薪酬的形式拿走了大部分的税前利润,其经常性业务的税前利润可能一直很低,在这种情况下,将扣除薪酬和税金之前的利润作为选定的基准可能更加恰当;
如果该企业是公共部门实体,总成本或净成本(费用减收入或支出减收入)可能是适当的基准;
如果公共部门实体保管公共资产,则资产可能是适当的基准。

1.2.3 治理层的看法和预期 我们也应了解治理层及错误!超链接引用无效。对检查财务报表错报的预期。例如:在某些情况下,如果管理层及治理层的预期导致我们必须执行比原先更多更广的程序,则我们需提供额外的审计服务。管理层及治理层的预期可能会导致我们降低整体重要性的原有水平。

我们应避免将错误!超链接引用无效。和特殊审计程序透露给管理层,以帮助我们执行有效的审计并保持其不可预测性。尽管我们可能有必要与治理层讨论整体重要性水平,但我们应尽量避免与管理层做有关重要性水平的讨论。

二、了解确定特定类别的交易、账户余额或披露的重要性水平需做的考虑 根据企业的特定情况,如果存在一个或多个特定类别的交易、账户余额或披露,其发生的错报金额虽然低于财务报表整体的重要性,但合理预期可能影响财务报表使用者依据财务报表作出的经济决策,我们还应当确定适用于这些交易、账户余额或披露的一个或多个重要性水平。

在根据企业的特定情况考虑是否存在上述交易、账户余额或披露时,我们可能还需要了解治理层和管理层的看法和预期。? 三、了解确定实际执行重要性水平(可容忍误差)需做的考虑 实际执行重要性是将整体重要性用于个别账户或余额。

确定财务报表整体的实际执行的重要性(根据定义可能是一个或多个金额),旨在将财务报表中未更正和未发现错报的汇总数超过财务报表整体的重要性的可能性降至适当的低水平。

确定实际执行的重要性并非简单机械的计算,需要我们运用职业判断,并考虑下列因素的影响:
l 对被审计单位的了解(这些了解在实施风险评估程序的过程中得到更新);

l 前期审计工作中识别出的错报的性质和范围;

l 根据前期识别出的错报对本期错报作出的预期。

四、确定整体重要性水平 一旦确定了整体错误!超链接引用无效。的恰当计量基准后,接着就应确定对该计量基准应采用的百分比。

下列章节中描述的计量基准(即税前利润、收入、息税前利润、毛利、资产总额和所有者权益)是我们用来计算整体重要性水平最为常用的。基于企业的特殊情况以及我们的错误!超链接引用无效。

,可能存在其他更为恰当的计量基准。如果使用其他基准,我们应当在工作底稿中记录使用的基准以及理由。

4.1定义整体重要性水平时确定应用适当百分比的税前利润 4.1.1 上市企业或重要项目 对于上市的盈利企业,我们一般假定财务报表使用者关注经营成果。我们通常认为当错误!超链接引用无效。大于税前利润的5%时为重大。

如果我们将上市企业的整体重要性水平设定为高于税前利润的5%时,我们应能够说明充分的理由(我们仅因认为该上市企业风险较低而将整体重要性水平设定为高于税前利润的5%是不恰当的)。

将整体重要性水平设定为税前利润的5%并不意味着必须将整体重要性水平计算至最精确的货币单位(例如元)。合理的四舍五入(无论进位还是舍尾)不会过分增加总体错误!超链接引用无效。。

4.1.2非重要项目 当确定非重要项目的整体重要性水平时,当同时满足下列条件时,我们可以将重要性水平设定为税前利润的10%(范围的上限): l 该企业是由少数股东持有并密切关注的;

l 该企业没有公开发行的债券(即在公认的证券交易所或类似机构上市交易或报价);

l 该企业不打算在未来的2年至3年内上市。

如果上述条件有任何一条不满足,我们应使用税前利润的5%-10%作为确定计划重要性水平。

计算首次接受委托业务审计的整体重要性水平时,按照谨慎性原则,我们应当使用税前利润的5%或比例范围的下限确定其整体重要性水平。

4.2 当税前利润作为计量基准不恰当时确定应用适当百分比的计量基础 由于企业性质的特殊性,某些非营利性组织(如学校、慈善机构、研发中心等)或新设立实体运行初期,我们认为将税前利润作为整体重要性水平的计量基准是不恰当的,则我们需确定税前利润以外的计量基准(如营业收入、资产总额等)。

如果我们确定税前利润以外的计量基准更为恰当,则将下述表格中的范围下限作为上市企业或重要项目的起始设定点。当四、1、(2)中的所有标准都符合时,我们可以使用范围的上限作为处于非重要项目的起始设定点。

下表中的计量基础和范围不应被视为具有依次选择的顺序(当我们认为税前利润不是恰当的计量基础时不能默认使用收入)。我们应运用职业判断以考虑企业的事实和情况和我们认为对财务报表使用者而言重要的因素。? 我们考虑设定整体重要性水平的范围如下:
企业性质 计量基础 范围 非营利性组织 费用总额、营业收入或资产总额 费用总额或营业收入的0.5%--1% 资产总额的0.25%-0.5% 以资产为主体的实体(如基金) 净资产 净资产的1%-5% 新设立实体运营初期 所有者权益、费用总额或资产总额 所有者权益的1%-5% 费用总额或资产总额的0.5%-1% 对重要性的评估需要职业判断。我们在执行具体审计业务时,可能认为采用比上述百分比更高或更低的比例是适当的。当根据不同的基准计算出不同的重要性水平时,我们应当根据实际情况决定采用何种计算方法更为恰当。

五、确定特定类别的交易、账户余额或披露的重要性水平 我们应当在计算出的整体重要性水平的基础上根据识别出的特定类别的交易、账户余额或披露的结合一定的经验百分比确定特定类别的交易、账户余额或披露的重要性水平。对特定类别的交易、账户余额或披露的重要性水平的评估需要职业判断,通常接近财务报表整体重要性的50%-75%是比较恰当的。

六、确定实际执行的重要性水平 实际执行的重要性通常为财务报表整体重要性的50%-75%。

l 对于上市企业,设定实际执行重要性水平的起始点是整体重要性水平的50%。当满足某些特定条件时我们可以选择设定实际执行重要性水平为整体重要性水平的75%;

l 对于处于非重要项目,设定实际执行重要性水平的起始点为整体重要性水平的75% ,但如果不满足某些特定条件,该起始点将被降至整体重要性水平的50%。

接近财务报表整体重要性50%的情况:
接近财务报表整体重要性75%的情况:
? 以前年度审计调整较多 ? 项目总体风险较高(如处于高风险行业,经常面临较大市场压力,首次承接的审计项目或者需要出具特殊目的报告等) ? 以前年度审计调整较少 ? 项目总体风险较低(如处于低风险行业,市场压力较小) 七、在审计过程中修改重要性水平 在审计执行阶段,随着审计过程的推进,我们应当及时评价计划阶段确定的重要性是否仍然合理,并根据具体环境的变化、审计执行过程中进一步获取的信息或通过进一步审计程序对被审计单位及其经营的了解发生变化,修正整体的重要性水平,进而修改进一步审计程序的性质、时间和范围。

在降低计划重要性水平的情况下,我们应考虑之前所执行的审计程序是否充分,以及是否需要执行额外的审计程序。

第八章 识别重大账户、重大列报及相关认定 在计划审计阶段,我们在了解了公司的业务、公司整体的内部控制、识别企业风险和确定重要性水平之后,应识别财务报表层面的重大账户、重大列报和相关认定。

我们通过下列以识别重大错报风险: l 识别重大账户或列报;

l 确定相关认定;

l 更新我们确定的重大账户、重大列报和相关认定。

一、识别重大账户、重大列报及其相关认定 1.1、重大账户或列报 重大账户或列报:如果某账户或列报可能存在一个错报,该错报单独或连同其他错报将导致财务报表发生重大错报,则该账户或列报为重大账户或列报。

在识别重要账户、列报及其相关认定时,我们应当从定性和定量两个方面作出评价,包括考虑舞弊的影响。

1.2、确定重大账户或列报的金额标准 在实际操作中,我们认为余额接近或超过财务报表整体重要性水平的账户通常情况下被认定为重大账户。

余额小于财务报表整体重要性水平的账户如果个别或整体的错报金额接近或大于财务报表整体重要性水平,也被认为是重大账户或列报。我们可根据账户或通过账户处理的交易性质或数量对重大错报的敏感度,考虑账户是否为重大账户或列报。

我们应注意不能分解一个账户以使其分部小于财务报表整体重要性水平,从而得出每个部分,及账户本身或列报是不重大的结论。

1.3、确定重大账户或列报的性质考虑 一个账户或列报的金额超过财务报表整体重要性,并不必然表明其属于重大账户或列报,因为我们还需要考虑定性的因素。同理,定性的因素也可能导致我们将低于财务报表整体重要性的账户或列报认定为重要账户或列报。

1.3.1重大账户或列报的性质确定 从性质上说,我们可能因为某账户或列报受固有风险或舞弊风险的影响而将其确定为重大账户或列报,因为即使该账户或列报从金额上看并不重大,这些固有风险或舞弊风险很有可能导致重大错报(该错报单独或连同其他错报将导致财务报表发生重大错报)。对于其他账户而言,由于财务报表使用者的预期,也可能从性质上来看是重要的。例如,某负债类账户很可能被低估,则该负债类账户应被确定为重大账户。

1.3.2考虑已识别的固有风险 在决定账户是否重大时,我们除了考虑账户的金额大小外,还应考虑其固有风险因素。我们应确定这些固有风险会如何影响财务报表的不同账户和披露,包括:
l 如果我们已识别到与某个账户相关的特别风险,则表明该账户是重大账户或列报;

l 如果我们确定该账户受高度估计不确定性的会计估计影响,则表明该账户是重大账户或列报。

例如:或有负债账户余额小于财务报表整体重要性水平,但在设立该负债时很大程度上运用主观判断因素。在这种情况下,我们将其确定为不重大是不恰当的。

关联方往来账户可能没有达到确定为重大的金额起点。如果企业的经营分散,具有许多包含重大活动的关联方往来账户,并且经验不足的人员参与了这些账户的调节,则可能引起特定舞弊或错报风险。在这些情况下,尤其在关联方往来账户与其他账户受不同的控制和管理层监督级别的约束时,即使账户余额小于财务报表整体重要性水平,我们也可能将这些账户视为重大账户。

1.3.3评价财务报表项目及附注的错报风险因素 为识别重大账户、列报及其相关认定,我们应当从下列方面评价财务报表项目及附注的错报风险因素:
l 账户的规模和构成;

l 易于发生错报的程度;

l 账户或列报中反映的交易的业务量、复杂性及同质性;

l 账户或列报的性质;

l 与账户或列报相关的会计处理及报告的复杂程度;

l 账户中反映的交易或余额遭受损失的风险;

l 账户或列报中反映的活动引起重大或有负债的可能性;

l 账户记录中是否涉及关联方交易;

l 账户或列报的特征与前期相比发生的变化。

1.4有关账户的其他考虑 我们在确定重大账户时还应考虑财务报告使用者的预期。如果财务报告使用者非常重视某些账户,即使小于财务报表整体重要性水平的错报金额也可能在某种程度上影响其决策,则这些账户应确定为重大账户。此外,若某一账户和其相对应的备抵账户(例如,资产及其相关减值准备)的固有风险不同、涉及的业务流程不同,我们通常将它们单独确定为重大账户。

如果一个重大账户对应了多个单独的业务流程,我们应考虑根据不同的风险将重大账户进行分解,然后分别确定各个重大账户。

以前年度审计中了解到的情况影响我们对固有风险的评估,因而应当在确定重要账户、列报及其认定时加以考虑。以前年度审计中识别的错报会影响我们对某账户、列报及其认定固有风险的评估。

二、 确定相关认定 在识别重大账户或列报后,我们应确定那些与重大账户或列报相关的财务报表认定。并非所有认定对重大账户而言都是相关的。

相关认定:如果某财务报表认定可能存在一个或多个错报,这个或这些错报将导致财务报表发生重大错报,则该认定为相关认定。

某认定是否为相关认定,因被审计单位和账户而异。例如:实体只有以当地货币计价的现金交易,那么现金的计价认定就是不相关的。

我们无需识别非重大账户的相关认定。

2.1利润表科目的重要账户的相关认定 对于利润表科目的重大账户(例如:收入和费用账户),我们应考虑下列认定是否相关:
l 发生:纪录的交易或事项已发生、且与被审计单位有关;

l 完整性:所有应当纪录的交易和事项均已纪录;

l 准确性:与交易和事项有关的金额及其数据已恰当纪录;

l 截止:交易和事项已纪录于正确的会计期间;

l 分类:交易和事项已纪录于恰当的账户。

2.2 资产负债表重要账户的相关认定 关于资产负债表的重要账户,我们应考虑下列认定是否相关:
l 存在:纪录的资产、负债、所有者权益是存在的;

l 权利和义务:纪录的资产由被审计单位拥有或控制,纪录的负债是被审计单位应但履行的偿还义务;

l 完整性:所有应当纪录的资产、负债和所有者权益均已纪录;

l 计价和分摊:资产、负债和所有者权益以恰当的金额包括在财务报表中,与之相关的计价或分摊调整已恰当纪录。

2.3 与列报和披露相关的认定 对列报和披露运用的认定通常分为下列类别:
l 发生以及权利和义务:披露的交易、事项和其他情况已发生,且与被审计单位有关;

l 完整性:所有应当包括在财务报表中的披露均已包括;

l 分类和可理解性:财务信息已被恰当地列报和描述,且披露内容表述清楚;

l 准确性和计价:财务信息和其他信息已公允披露,且金额恰当。

三、 更新我们确定的重大账户或列报及相关认定 我们应在整个审计过程中不断对确定的重大账户或列报及相关认定提出质疑,由此来应对企业环境的变化和我们执行审计程序之后所获得的新信息。

我们应对如下迹象保持警觉:
l 原先认为非重大的账户或列报,而其实际上是重大的;

l 原先认为重大账户或列报,而其实际上是非重大的;

l 原先认为不相关的认定,而其实际上是相关的,或反之亦然。

第九章 识别重大业务流程和重大列报流程 企业的业务流程包括生成、记录、处理和报告。重大业务流程是指对某一重大账户和列报及其相关认定产生重大影响的业务流程,包括发生、记录、处理、必要时的纠正,以及在财务报告中进行报告的重大常规、非常规和估计交易。重大列报流程是指归集、记录、处理和总结,并在财务报表中适当报告那些按照适用的报告框架需要列报的交易、事项或情况的流程。我们需要识别影响每个重大账户和重大列报、与认定相关的重大业务流程和重大列报流程,以及相关的信息系统。

一、 识别业务流程 我们从一系列导致在重大账户中记录金额以及为公司创建权利与义务的交易开始。我们把每个系列的交易称作一个业务流程。

我们把以类似方式处理并具有相同或类似重大错报风险的业务定义为相同的业务流程。

当发生以下情况时,我们将识别另一个单独的业务流程:
l 其会计影响与其它交易明显不同(例如:现金销售和赊销);

l 其处理方式和其它业务流程明显不同,从而可能导致不同的固有风险和(或)控制风险(例如:标准产品的销售和特殊订单产品的销售)。

我们通过以下方式识别另一个单独的业务流程:
l 我们对公司的了解和经验;

l 询问恰当的人员,必要时辅以观察和审阅管理层所提供的文件;

l 我们对记账分录的分析。在获得会计分录的数据文件的情况下,我们可以通过重大账户分析会计分录来识别单独的业务流程;

l 我们对IT应用程序的确定。在更加复杂的IT环境(例如:企业资源计划(ERP)系统)中,利用IT专家的知识,可能会有助于识别并了解单独的业务流程。

当我们识别影响同一个重大账户的单独的业务流程时,我们考虑是否能够将重要账户分拆成单独的重大账户,以使这些组成账户能够对应不同的风险。

业务流程的种类有:
l 常规(例如:账簿中记录的频繁经常性的财务数据以及用来管理公司业务的非财务数据或记录);

l 非常规(例如:其它非经常性发生的交易);

l 估计(例如:涉及管理层大量判断、决策和选择的交易)。

1.1常规的业务流程:
常规的业务流程指经常发生的、常规的或标准的交易。处理这些交易的流程系统化,且不太可能引起特别风险。例如:一家企业大量销售低价商品。我们认为该企业的销售收入的业务流程是标准化的,收入确认也不复杂,所以这个业务流程是常规的业务流程。

1.2非常规的业务流程 非常规的业务流程指金额或性质不寻常且不经常发生的交易,这些交易涉及的数据通常不是源于常规的业务流程。例如,非常规的业务流程包括:
l 待摊费用的摊销;

l 所得税的计算;

l 折旧费用的计算。

1.3估计的业务流程 估计的业务流程是指因计量有重大的不确定性而需要做出会计估计的交易。这些交易反映了管理层的判断、决策和选择。例如,估计的重大业务流程包括:
l 为诉讼和索赔计提或有负债;

l 为质量保证费计提或有负债;

l 为残次冷背的存货计提存货跌价准备。

二、 确定重大流程 2.1 确定重大业务流程 如果一个业务流程由于其复杂性、业务量或其他固有风险因素可能导致重大错报,或受特别风险影响而对重大账户及其相关认定有重要影响,我们则确定此业务流程是重大的(即重大业务流程)。

当发生以下情况时,一个业务流程会对重大账户产生重要影响:
l 受重大风险影响;

l 可能由于性质原因导致重大错报(例如:交易的复杂性、交易量或其它固有风险因素)。

例如:一个公司通过数个渠道(如商场、网络、以及邮购)出售其产品。与每个销售渠道相关的交易的处理都因他们独特的性质而不同(例如:商场销售与邮购/网络销售在发生、记录、处理、必要时的纠正和报告方面都不同)。因此,我们把每个销售渠道都作为一个不同的业务流程。这些不同的交易类型可能有不同的固有风险和(或)控制风险。如果公司的网络销售只占总销售的5%,因为它们的性质(每笔交易的单个金额较低)和总量(只占总销售的5%)不太可能使财务报表产生重大错报。因此,我们决定不把此类销售认定为重大业务流程。但是,如果公司最近开始通过网络进行销售,重大错报风险可能由于该新过程的潜在风险而更高。在这种情况下,尽管交易的总金额和总量很低,我们也可以将其认定为重大业务流程。

2.2对重大估计业务流程的考虑 在识别重大估计业务流程时,应考虑以下因素:
l 是否影响重大账户;

l 是否涉及大量判断。估计业务流程的主观性越大,该估计不精确的可能性就越大(例如:应收账款坏账准备) ;

l 该交易很复杂并且可能需要利用被审计单位中更有经验人员或外部专家的工作(例如:环境责任准备金估计);

l 根据对该公司的以往经验,该交易可能需要调整。

2.3重大列报流程 由于列报程序通常是在执行财务报告流程时同时进行的,我们通常在财务报告流程中识别和记录重大列报流程。财务报告流程将记录企业会计记录中反映的业务转换为会计报表和相关列报,通常作为一个单独的重大业务流程。由于财务报告流程对业务层面的很多流程都存在联系和影响,因此我们应在评估企业层面控制时同时考虑这一流程。有关财务报告流程的更多指引,请参见“第十六章 了解和评价财务报告流程”。

三、识别相关信息系统 除了识别重大业务流程和重大列报流程外,我们还需要识别相关的信息系统,并确定信息系统审计的范围和程度。

相关的信息系统是指支持重大业务流程的生成、记录、处理和报告的任何环节的信息系统。

我们需要评估并记录每个支持重大业务流程的信息系统的关联程度,并且针对这些信息系统,识别以下信息:
l 信息系统的技术构成;

l 信息系统一般控制;

l 应用系统控制。

关于信息系统控制的考虑,请参见“第十七章 了解、穿行测试、测试和评估IT一般控制”。

第十章 关于集团审计的特殊考虑 针对具有多个组成部分的企业,我们在计划审计工作阶段较单体企业而言,除了需要了解整个集团及其环境、集团的内部控制以外,在以下方面应当有更多的考虑:确定重要性水平以及可容忍误差;
识别重大账户、重大列报以及相关认定;
确定重要组成部分;
分别确定各组成部分的审计策略;
关注企业管控风格的影响。本章将就这些方面提供相关指引。

一、了解集团及其环境、集团组成部分及其环境 在执行集团内部控制审计业务时,我们应采用自上而下的审计方法,合理运用职业判断,了解集团及其环境、集团组成部分及其环境。我们应考虑对于集团及其经营环境、集团组成部分及其经营环境,我们是否获取了足够的了解,以支持我们所评估的集团整体财务报表及认定层面的重大错报风险(包括舞弊及错误),并为我们设计、执行审计程序应对重大错报风险提供基础。

我们应当从下列方面了解集团及其环境、集团组成部分及其环境,以识别企业整体层面的经营风险:
l 集团及其组成部分行业状况和法律监管环境等外部因素;

l 集团及其组成部分的性质、主要从事经营活动、所有权和组织结构等;

l 集团及其组成部分运用的会计政策;

l 集团及其组成部分的目标、战略以及可能导致重大错报风险的相关经营风险;

l 集团及其组成部分的财务业绩衡量和评价指标;

l 集团管理层下达的指令(如财务报告程序手册、报告文件等)。集团管理层下达的指令通常包括:
l 运用的会计政策;

l 适用于集团财务报表的法定和其他披露要求,包括分部的确定和报告、关联方关系及其交易、集团内部交易、未实现内部交易损益以及集团内部往来余额;

l 报告的时间要求。

了解集团及其环境、集团组成部分及其环境的过程及方法类似于了解单体企业及其环境的过程及方法,具体内容请参考“第三章 了解被审计单位及其环境”。

二、了解集团及其组成部分的内部控制 集团及其组成部分的内部控制包括集团整体层面内部控制、各组成部分企业层面内部控制和各组成部分业务流程、应用系统或交易层面的内部控制。对各组成部分内部控制的了解的指引,请参考 “第五章 了解企业整体的内部控制”、“第六章 识别舞弊风险并确定应对措施”及第“十三章 了解重大业务流程和重大列报流程”。

我们了解集团整体层面内部控制是因为它对集团内部控制审计的重要性以及在以下方面帮助我们: l 确定和评估集团整体财务报表中重大错报。集团整体控制的不足(如: 集团管理层缺乏控制意识或者集团管理层缺乏控制能力)可能影响重大错报的风险和审计策略;

l 持有适当的职业的怀疑态度;

l 确定总体审计策略。

我们对集团整体层面内部控制的了解也可以直接影响: l 集团及其组成部分重要性水平以及可容忍误差;

l 集团重要组成部分;

l 集团及其组成部分重大账户、重大列报以及相关认定;

l 各组成部分内部控制审计策略。

我们对集团整体层面内部控制的了解包括了解集团控制环境、集团风险评估过程、集团控制监督、集团管理层专为解决由舞弊导致的重大错报风险设计的程序和控制,包括应对董事会、管理层凌驾于控制之上的风险而设计的控制。了解集团整体层面内部控制的方法类似于了解单体企业层面内部控制,具体指引请参考“第五章 了解企业整体的内部控制”、“第六章 识别舞弊风险并确定应对措施”。

三、集团管控风格的影响 集团对各组成部分的控制风格将影响我们的审计策略和所采用的审计程序。集团对组成部分实施控制时呈现不同的风格,主要涉及以下三个方面:
l 集团整体层面控制的力度。当集团对各组成部分具有很强的控制力时,企业就可能会存在类似的控制环境。例如,使用相同的信息系统、人员由企业主体同意培训并具有类似的专业技能水平、文化氛围相同、控制设计和运行的理念类似等。在这种情况下,我们更容易识别集团存在的风险,集中地了解集团整体层面控制;

l 企业合并报表流程中相关控制的有效性。合并报表流程中相关控制的有效性体现在:
l 企业各组成部分采纳一致的会计政策,遵循提供详细指引的财务核算手册以统一会计处理,尤其是涉及较多判断的会计估计;

l 要求各组成部分按时、按质完成单体的合并资料;

l 设置专职的合并报表人员对这些资料进行审核,并确认所含信息的真实性和完整性;

l 对关联交易进行专项审核,关注关联方之间的往来以及交易是否核对相符、关联交易定价是否公允等;

l 合并报表人员具有一定的专业知识,掌握合并报表的技巧,具备专业胜任能力。

l 集团对下属各组成部分的了解程度。如果集团对各组成部分非常了解,那么在集团整体层面就能较为容易地识别存在的特别风险。

综上所述,集团的管控风格将会在一定程度上影响我们的工作,包括确定各组成部分的审计策略、确定各组成部分可容忍误差、选择拟测试的控制、确定样本总量以及测试样本量等很多方面。

四、确定重要性水平以及可容忍误差 对于集团的内部控制审计,我们确定的重要性水平的方法与确定单体的方法一致,但所采用的数据基础应来源于包含各组成部分的合并财务报表。我们根据该集团层面重要性水平,运用职业判断确定相应的集团层面可容忍误差,并根据集团整体可容忍误差的一定比例计算各组成部分的可容忍误差。

我们应当按照以下步骤确定重要性:
4.1确定集团整体财务报表重要性 具体指引见“第七章 确定重要性水平”。

4.2 确定集团实际执行的重要性(可容忍误差) 具体指引见“第七章 确定重要性水平”。

集团整体可容忍误差亦用于确定组成部分的可容忍误差。

4.3确定组成部分可容忍误差 作为集团审计的一部分,集团项目组应当确定组成部分可容忍误差。集团项目组综合考虑各组成部分所占集团的比例以及经营风险初步评估结果,运用职业判断确定其适当的可容忍误差(通常为集团可容忍误差的某一百分比计算确定)。组成部分的可容忍误差应当低于集团可容忍误差,但不同组成部分确定的可容忍误差的汇总数,有可能高于集团可容忍误差。

组成部分可容忍误差的基准和比例参照下表执行:
组成部分可容忍误差的确定 单个组成部分 经营风险(注2) 占集团可容忍误差 占集团比例(注1) 的比例 100% 低 100% ~ 中 ~ 60% 高 75% 60% 低 75% ~ 中 ~ 30% 高 55% 30% 低 55% ~ 中 ~ 20% 高 45% 20% 低 45% ~ 中 ~ 10% 高 30% 10% 低 30% ~ 中 ~ 5% 高 20% 5%或以下 20%或以下 注1:在计算各组成部分占集团比例时,集团项目组通常应采用与确定集团财务报表整体重要性水平相同的计量基准,如税前利润、资产总额或营业收入等。当使用集团层面整体重要性水平相同的计量基准不恰当时(如:确定集团层面整体重要性水平的计量基准是税前利润,但重要子公司本年亏损),集团项目组可使用其他适当的计量基准(如:资产总额或营业收入)评估该组成部分占集团的比例,但应在工作底稿中注明选择其他基准的理由。

注2:运用职业判断对经营风险的初步判断,应当考虑下列因素的影响:
l 前期审计发现的错报金额以及本期预期的重大错报;

l 单个组成部分所属行业的特定事项;

l 识别出的单个组成部分的可能导致集团财务报表发生重大错报的特别风险;

l 单个组成部分过去存在的非常规的复杂的交易;

l 单个组成部分经营范围、重要流程、信息系统或内部控制方面发生重大变化;

l 集团管理层对单个组成部分的管控程度较低,如处于边远地区的子公司。

五、确定重要组成部分 我们应当分别根据单个组成部分的规模以及特定性质或情况确定重要组成部分。

5.1根据规模确定 我们应当将单个组成部分占集团比例15%作为识别其为重要组成部分的判断依据,但某些特殊情况除外(例如:①某集团由三个组成部分组成:两个较大规模的组成部分A和B,合计占集团税前利润的80%;
组成部分C,其利润总额占税前利润的20%。我们可不将组成部分C确认为重要组成部分。②某个集团由14个组成部分组成,组成部分A占集团比例 12%,其余组成部分占集团比例为2%~9%。在此情形下,组成部分A占集团比例虽然低于15%,但我们仍将其确认为重要组成部分。),因此,在某些情况下,组成部分虽然占比小于15%,仍可能被确认为重要组成部分。

5.2根据特定性质或情况确定 根据各组成部分对集团的规模确认重要组成部分后,对于组成部分占比在5%-15%之间的,我们仍应当根据特定性质或情况,运用职业判断,考虑以下因素,确定是否将其确认为重要组成部分:
l 单个组成部分的某个账户余额大于集团合并层面的可容忍误差,可能导致集团财务报表重大错报;

l 单个组成部分存在可能导致集团财务报表发生重大错报的特别风险。如某组成部分进行外汇交易,虽然其对集团不具有财务重大性,但可能存在导致集团财务报表发生重大错报的特别风险,我们将该组成部分识别为重要组成部分,对该组成部分内部控制执行的工作可能仅限于受外汇交易影响的账户、交易和披露的流程;

l 单个组成部分在以前审计期间曾发现存在重大的内部控制缺陷或错报;

l 单个组成部分的主营业务较为特殊,是企业中独特的业务;

l 单个组成部分在以前年度存在非正常或复杂的交易;

l 单个组成部分的会计处理需要大量职业判断或会计估计;

l 单个组成部分经营范围、重要流程、信息系统或内部控制方面发生重大变化;

l 集团管理层认为单个组成部分可能存在重大错报风险。

5.3 不重要组成部分 占集团比例5%以下或占集团比例5%-15%但未识别出任何特定性质或情况的组成部分为不重要的组成部分。

六、识别重大账户、重大列报及其相关认定 集团财务报表整体重要性水平、可容忍误差确定后,我们按照与审计单体企业相同的方法,识别集团层面重大账户、重大列报及其相关认定。

我们还需识别重要组成部分的重大账户、重大列报及其相关认定。我们按以下方法识别重要组成部分的重大账户、重大列报及其相关认定:
l 集团层面识别为重大账户、重大列报及其相关认定的,且该账户金额超过该组成部分的可容忍误差的,我们将该账户识别为该组成部分的重大账户、重大列报及其相关认定;

l 集团层面未识别为重大账户、重大列报及其相关认定,原则上不识别为组成部分的重大账户、重大列报及其相关认定;

l 集团层面识别为重大账户、重大列报及其相关认定,但该科目金额不超过该组成部分可容忍误差的,原则上不识别为该组成部分的重大账户、重大列报及其相关认定。

七、组成部分内部控制审计策略 在财务报告内部控制审计中,我们采用与财务报表审计相同的组成部分审计策略,即全面审计、审计与特别风险相关的账户余额、交易和披露和集团层面分析程序。以下为针对三种审计策略分别应当执行的工作:
l 全面审计:我们执行的程序、取得的审计证据与单体企业的内部控制审计类似。我们应当测试该组成部分企业层面控制;
测试与重大账户、重大列报及其相关认定的业务流程、应用系统或交易层面的控制的有效性;

l 审计与特别风险相关的账户余额、交易和披露:我们测试该组成部分企业层面控制以及针对存在特别风险账户余额、交易和披露执行控制测试;

l 集团层面的分析程序:如果我们通过对集团企业层面执行控制测试获取充分适当的审计证据,则无需对该组成部分单独执行控制测试。

八、设定组成部分审计策略的标准 对于按照规模确定的重要组成部分,我们应当运用该重要组成部分的可容忍误差,对其内部控制的有效性执行全面审计。进行全面审计的组成部分合计占集团的比例应至少达到50%。

对由于其特定性质或情况,可能存在导致集团财务报表发生重大错报的特别风险的重要组成部分,我们采用审计与特别风险相关的账户余额、交易和披露的审计策略,测试该组成部分企业层面控制以及仅针对特别风险的控制。

对于不重要的组成部分,我们仅需在集团层面实施分析程序,不对其单独执行控制测试。

在确定各组成部分的审计策略后,我们还需要运用职业判断,确定这些组成部分时候已经能合理地保证识别集团层面上的重大错报。如果不能获得合理保证,那我们还应考虑将更多组成部分纳入审计范围,执行更多审计程序。

第十一章 了解企业内部控制自我评价过程以及利用他人的工作 通过了解企业对财务报表内部控制有效性进行自我评价的方法,我们可以更好地了解客户的业务,进行风险评估,并识别有关的活动以决定我们是否可以利用他人的工作,以及所利用他人的工作的范围,从而使我们能够在整合审计中更好地制定审计策略对内部控制出具报告。

一、了解企业内部控制自我评价过程 企业内部控制自我评价的性质和质量会直接影响我们在整合审计中需要执行测试的工作量。

企业应当根据《企业内部控制基本规范》、应用指引以及企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。

企业内部控制自我评价应该包括以下原则:
l 企业应当评价其已施行的控制设计,来确定是否存在合理的可能性不能够及时防止或者发现财务报表的重大错报;

l 企业应当基于对这些控制的风险评估来集中和分析有关被评价控制的运行情况的证据。

在了解企业内部控制自我评价时,我们考虑以下定性因素:
l 企业是否承担了自我评价的责任并且分配了恰当和充足的资源? l 企业是否采用了适当的内部控制标准(例如《企业内部控制基本规范》)并且明确并落实了该标准包含的内部控制所有要素? l 企业内部控制自我评估部门是否计划实施并恰当地记录了充足的程序,以此来评价财务报告内部控制设计和运行的有效性? l 企业是否确立了一个恰当的流程来汇总和评价控制缺陷并就发现事项进行沟通? 了解企业如何组织并且评价其财务报告内部控制,需要具有经验的审计人员(通常是经理和合伙人)与企业负责计划、实施和执行财务报告内部控制评价工作的管理人员之间进行充分沟通。

二、利用他人的工作 如果我们计划利用内部审计人员、企业职员(内部审计人员除外)和经理层或董事会领导下的第三方的工作或接受其直接协助,而这些工作和协助所提供的证据改变了我们控制测试的性质、时间和范围,那么我们应:
1、 评价执行工作的人员的专业胜任能力和客观性;

2、 确定利用他人工作的范围;

3、 测试部分由他人执行的工作,以评价其工作的质量及效果。

2.1、对专业胜任能力和客观性的考虑 2.1.1专业胜任能力和客观性对可利用他人工作程度的影响 我们依赖他人工作的程度,取决于执行工作人员的专业胜任能力和客观性。图1—1演示了他人的角色和我们可能从其工作中获取的审计证据的关系。

如果被审计单位人员对执行内部控制负责或对所测试信息的完整性和准确性负责,我们不应利用这些人员执行的测试工作,因为其不具有足够的客观性。相反,如果执行测试的人员不对控制的执行或测试信息的完整性和准确性负责,则我们可以考虑利用其工作。

被审计单位内部负责监督、稽核或合规工作的人员,如内部审计人员,通常拥有较高的专业胜任能力和客观性。我们可以考虑更多地利用这些人员的相关工作。此外,向我们提供直接帮助的人员,其工作也比支持管理层测试工作的人员更有利用价值。

在整合审计的内部控制测试中,我们不应利用负有会计和财务报表编制职责人员的工作,包括负有执行和监督企业财务报告内部控制的特别职责的人员(如首席财务官、公司主管或其他管理层成员)的工作。

表1—1为我们根据他人的专业胜任能力和客观性评价可利用其工作的程度提供指引。

表1—1 他人工作可利用程度评价表 表1—1将所要利用其工作的人员的专业胜任能力和客观性的评价由高到低分别划分为高、中、低三个档次。评估结果和利用该人员的工作程度的关系如下:
l 拟利用其工作的人员的专业胜任能力和客观性越强,我们就能越多地利用其工作;

l 无论人员的专业胜任能力如何,我们都不应当利用客观程度较低的人员的工作;
同样,无论人员的客观程度如何,我们都不应当利用专业胜任能力较低的人员的工作。

2.2对利用内部审计人员工作的特殊考虑 2.2.1评价内部审计人员的专业胜任能力 在评价内部审计人员的专业胜任能力时,我们不仅要考虑其是否具备职业资格.还要评价其工作。在计划审计工作阶段,我们需要对内部审计人员的专业胜任能力进行初步评估,评估时可以考虑下列因素:
l 被审计单位雇佣、晋升以及选派内部审计人员的标准和程序;

l 内部审计人员的职业资格(包括专业证书)、教育水平和与其职责相关的专业经验;

l 内部审计人员接受培训的深度和广度,包括参加正式课程和研讨会的频率、在职培训的性质和相关工作领域的实践经验;

l 是否存在衡量内部审计人员工作表现的标准,被审计单位对内部审计人员工作表现的考核评价;

l 内部审计的计划及程序,包括内部审计人员对重要事项的关注、对以前年度审计结果的考虑以及在内部审计人员的检查下被审计单位经营和发展情况;

l 被审计单位对内部审计进行监督的人员对内部审计人员的监督和检查的程度和适当性,包括监督人员对审计计划和程序、工作进度监控以及内部审计工作结果和报告审阅的参与程度;

l 内部审计人员工作底稿的完整性和质量,包括支持工作结论的文档的完整性及质量,以及是否出具工作报告或整改建议。

我们可以通过向管理层和内部审计人员询问、利用以前与内部审计人员的接触和共同工作的体会、审阅员工档案、审阅内部审计人员工作底稿和报告的充分性和技术方面的准确性、与其探讨审计方法和问题以及检查内部审计人员的建议是否被采纳等方式获得对内部审计人员的专业胜任能力的评价。

2.2.2评价内部审计人员的客观性 我们一般应在审计计划阶段考虑或更新对内部审计人员客观性的评价,评价时可以从以下方面来考虑:
l 内部审计人员直接汇报对象的级别,以及此人是否独立于被审计的活动;

l 内部审计人员直接汇报对象是否具备足够高的地位以保证内部审计覆盖足够的审计范围并且能够对内部审计人员发现的问题和建议给予充分的考虑和实施;

l 内部审计人虽能够接近最高管理层和董事会的程度,被审计单位高级管理人员和董事会对内部审计活动的参与程度,董事会或审计委虽会对内部审计人员的雇佣决定的影响程度;

l 内部审计人员审核被审计单位运营的权力以及该权力履行的程度;

l 内部审计人员相对被审计单位经营活动而言的独立性(如果内部审计人员在运营方面作出决定或处理之后将要进行审计,内部审计人员的判断将不够客观);

l 内部审计人员对测试对象保持客观性的政策规定;

l 防止内部审计人员对与自己有关联关系的人员担任的重要或对内部控制敏感的职位进行审计或执行控制测试的政策规定;

l 防止内部审计人员对其近期所从事或将要被指派由其负责内部控制领域进行审计的政策规定;

l 内部审计人员报告所有重大审计发现并作出适当的整改方案的能力。

虽然内部审计人员不能独立于被审计单位,但是他们仍然可能公正、客观地履行他们的职责。决定内部审计人员客观性的一个重要因素是他们能否独立于被审计单位行使其职能。此外,内部审计人员的客观性也可能受到与被审计对象私人关系的影响,我们需要予以警惕。

2.3利用内部审计人员的工作成果 无论是否计划利用内部审计人员的工作成果,我们都应当在计划审计工作时查阅内部审计发现的问题,以:
l 识别内部控制的重大变化;

l 提供特定控制整改或弱化的证据;

l 识别新的交易;

l 提供信息以验证我们对企业内部控制的评估,包括对内部审计职能本身的评估。

审阅内部审计所发现问题还可协助我们判断内部审计人员的工作是否与我们拟执行的内部控制审计相关,从而帮助我们决定是否利用内部审计人员的工作成果。

表1—2举例说明了在什么情况下我们可以利用内部审计人员的工作或接受他们的直接协助。总体而言,内部审计人员工作的客观性越高,我们就越有可能利用内部审计人员的工作或接受内部审计人员的直接协助。

表1—2 在审计的不同方面是否能够利用内部审计人员的工作示例表 审计目的 是否利用内部审计人员的工作成果 理解服务需求,确定审计范围并组建审计团队 否 完成初步的项目计划 否 对企业的经营进行初步了解 注册会计师可以利用内部审计人员准备的文档,但是要形成自己对企业经营及风险的理解;

确定是否需要特定的专家 否 了解企业层面控制 否 识别由于舞弊导致的重大错报风险并制定相关审计策略 注册会计师可以与内部审计人员就存在或发现的舞弊或由于舞弊导致的重大错报风险进行探讨;

注册会计师审阅内部审计人员所发现的问题,用以判断是否存在内部审计人员知悉的与舞弊相关的问题;

注册会计师要对是否存在舞弊风险作出判断并制定相关策略。

确定重要性水平 否 识别重大账户、重大列报及其相关认定 否 识别重要流程及相关IT系统 注册会计师可以利用内部审计人员准备的文档,但是要形成自己对重要交易流程及相关IT系统的结论;

了解重大交易流程和重大列报流程 注册会计师可以请内部审计人员协助就流程、可能出错项以及相应的控制进行记录,或者利用内部审计人员的部分内部审计文档;

执行穿行测试 注册会计师可以请内部审计人员在执行穿行测试时提供直接的帮助;

如果重大账户或流程比较复杂、风险较高或者其风险的影响比较广泛,则不鼓励注册会计师利用内部审计人员完成穿行测试。通常利用内部审计人员直接协助的穿行测试仅限于常规交易流程或简单的非常规交易流程。(例如,某企业的固定资产流程经注册会计师判断为常规交易流程,注册会计师可以请内部审计人员在执行固定资产穿行测试时协助提供一套完整的固定资产穿行测试资料并协助撰写固定资产穿行测试文档,但注册会计师需要对内部审计人员获取的穿行测试资料及完成的穿行测试文档进行审阅,以确定资料及文档的完整性,以及固定资产穿行测试文档中关键控制识别的准确性)。

了解并评价财务报表结账流程 否 选择需要测试的控制 注册会计师可以利用内部审计人员选择简单、常 规流程中需要测试的控制。注册会计师需要基于自己对这些简单、常规流程的了解,审阅内部审计人员的工作以判断所选取的需要测试的控制是否适当,并与注册会计师可能会选取进行测试的控制相一致;

对信息系统一般控制的了解、穿行测试、控制测试及评价 评价过程不涉及主观性的信息技术一般控制,注册会计师可以利用内部审计人员协助进行IT一般控制的记录并执行控制测试;

制定控制测试策略 注册会计师可以利用内部审计人员针对简单、常规交易的控制制定控制测试策略,注册会计师需要审阅内部审计人员的工作并决定其制定的控制测试策略是否适当,并与注册会计师可能制定的控制测试策略是否一致,以及选取的需要进行测试的控制是否一致;

设计会计分录测试及反舞弊程序 否 执行控制测试 注册会计师可以利用内部审计人员执行常规交易控制的测试;

执行会计分录测试及反舞弊程序 内部审计人员可以按照注册会计师制定的控制测试策略及确定的样本总量,执行会计分录测试;

更新控制测试,包括信息系统一般控制 内部审计人员可以更新控制测试;

综合评估风险 否 项目总结 否 准备审计发现汇总 否,尽管部分被注册会计师记录及评估的问题是由内部审计人员发现的;

进行项目总体审阅及审批 否 准备并与客户进行沟通 否 完成审计工作底稿并存档 否,注册会计师按照审计工作底稿准则要求保存内部审计人员准备的工作底稿;

根据《企业内部控制审计指引实施意见》,在识别、了解和测试企业层面控制时,注册会计师不得利用他人的工作。除此之外,我们对于利用有足够的胜任能力和客观性的他人工作没有具体限制,但是我们仍有责任取得充分适当的证据来支持我们对内部控制有效性的意见。同样,通过自己直接获取,包括观察、检查和重新执行而取得的证据,一般比直接从他人处获得的信息更具有说服力。

2.4、确定利用他人工作的范围 我们利用他人工作的程度还受到与被测试控制相关的风险的影响。图1—2演示了与被测试控制相关的风险和我们利用内部审计人员或其他人员测试工作成果的程度之间的关系:
随着与审计领域相关的风险的增加,我们需要更多地依赖自己的工作。在执行财务报告内部控制审计时,我们通常可以更大程度地利用那些专业胜任能力和客观性强并且所测试的控制更加客观(如常规交易和相对简单的非常规交易)的人员的工作。对于重大会计估计等比较主观或者涉及领域比较广泛的控制,我们也可以利用专业胜任能力和客观性强的人员的工作,但是通常会限于较小的程度。在确定其他人员的工作是否可以利用时,我们应当运用职业判断。与某项控制相关的风险越高,我们应当越多地亲自对该项控制进行测试。

此外,无论其他人员实施的测试的性质是询问、观察、检查还是重新执行,我们在就内部控制设计和执行的有效性获取审计证据时都可以利用他们的工作。然而,其他人员测试的性质不同,从利用其工作中获取证据的数量也不同。

2.5 测试由他人执行的部分工作 我们重新测试的目的是评价他人工作的质量和有效性。我们的测试策略包括每个控制类别挑选几个控制重新执行,以及重新执行我们利用的每类人员(如内部审计人员、第三方顾问等)的部分工作。

决定重新执行哪些控制以及重新执行的范围基于以下两方面的职业判断:
l 对执行程序人员的专业胜任能力和客观性的评估;

l 与某项控制相关的风险。

重新执行的范围与我们对执行程序人员的专业胜任能力和客观性的评估相匹配。通常,当执行程序人员的胜任能力和客观性的评估结果为中等水平时,重新执行控制测试的测试量高于评估结果为高水平时的测试量。

三、工作底稿记录 我们需要内部控制审计工作底稿-BE总体审计策略的“了解企业内部控制自我评价过程及利用他人的工作”中记录以下内容:对企业内部控制自我评价过程的了解和我们所计划的利用他人的工作的策略及结论 第十二章 评价企业层面控制测试 在内部控制审计中,我们有必要对与审计相关的企业层面控制进行评价及测试。我们还将对企业为了应对舞弊导致的重大错报风险而专门实施的程序及控制,包括为了应对董事会、管理层凌驾于控制之上的风险而实施的控制进行评价及测试。

我们通常在审计工作中尽早执行企业层面控制测试,因为企业层面控制对我们确定业务层面的测试范围有很大影响。此外,我们必须在整个审计过程中关注那些与企业层面控制的设计及运行有效性相关的审计证据,并且考虑是否有任何可以引起我们注意的证据将影响我们对公司层面内部控制的测试。

在识别哪些企业层面控制需要测试时,我们考虑那些企业已评估的企业层面控制。我们测试那些对我们关于公司财务报告内部控制是否有效的结论重要的企业层面控制。确定哪些以及多少企业层面控制需要测试涉及大量的职业判断,应当由项目组中对客户具备足够经验和了解的人员作相关决定。

和测试交易层次或应用层次的控制有效性一样,当我们测试企业层面控制时,仅进行询问是不够的。我们除了询问程序外,还要结合观察、检查及重新执行等程序。如需了解更多关于控制测试的设计的指导及要求,请参见“第十五章 选择、测试内部控制”。例如,我们可能确定公司设置员工热线来应对员工的顾虑或者方便匿名报告舞弊行为。为测试这项控制,我们询问负责监督该热线的人员并查阅支持性文件以确定公司是否采取行动以回应来电,我们还可以检查用于告知员工开设该热线的文件。

通常,通过企业层面控制测试收集到的证据不太具有结论性而且需要更多的主观判断。我们测试这些控制的方法主要是询问结合观察和检查。

一、间接的企业层面控制 间接的企业层面控制与相关认定不存在直接关联,也不足以识别出财务报表中特定账户和披露的重大错报风险。间接的企业层面控制在整个企业中很常见,作用是防止或发现并纠正重大错报风险,故其对我们审计工作的开展具有广泛的影响。例如:管理层是否制定了正式的行为规范,且是否对违反该规范的行为进行处罚。对于间接的企业层面控制,我们通常执行以下程序:
l 阅读行为守则(如已制定并发布);

l 阅读及评估沟通员工岗位职责的政策及程序;

l 评估内部审计职能;

l 专门询问那些监督公司行动守则及政策和程序的合规情况的关键管理人员。

二、应对舞弊导致的重大错报风险(包括董事会、管理层凌驾于控制之上的风险)的控制 我们有必要去了解、评估及测试专门用于识别舞弊导致的重大错报风险的控制和用于应对董事会、管理层凌驾于控制之上的风险的控制的设计和运行。

我们认为董事会、管理层通过以下任一方式凌驾于控制之上:(1)在交易的处理或记录过程中直接进行干预,或者指挥下一级员工以公司正常流程和控制以外的方式处理或报告交易;
或(2)操纵财务报告程序。

董事会、管理层凌驾于控制之上的风险可以通过以下控制来防范:
l 针对重大的非常规交易的控制,尤其是针对导致会计处理延迟或异常的交易的控制;

l 针对期末财务报告流程中编制的分录和作出的调整的控制;

l 针对关联方交易的控制;

l 与管理层的重大估计相关的控制;

l 能够减弱管理层和治理层伪造或不恰当操纵财务结果的动机和压力的控制;

l 防止挪用公司资产或未经授权使用公司资产的控制;

l 职业道德规范及行为守则,尤其是和以下事项有关的规范:利益冲突、关联方交易和违法行为,以及管理层及审计委员会或董事会对这些规范执行情况的监督;

l 公司处理投诉及举报的程序。

如果我们识别出与预防及发现舞弊相关的控制存在缺陷,则我们应考虑这些缺陷可能对我们的企业层面控制测试产生什么影响,包括这些缺陷是否会单独或连同其他内控缺陷形成重要缺陷或重大缺陷。此外,我们会适当地修改内部控制审计程序的性质、时间及范围来应对这些已识别的舞弊风险,包括内部控制中会增加舞弊导致的重大错报风险的缺陷。

三、 控制环境 作为控制环境评估的一部分,我们会测试:
l 管理层理念及经营风格是否倡导财务报告内部控制的有效性;

l 管理层是否诚信以及是否具有良好的道德价值观并被所有员工理解;

l 董事会及审计委员会是否了解财务报告内部控制并对其施加有效的监督。

为了评估及测试控制环境,我们可以考虑执行以下程序:
l 阅读公司的行为守则,并且通过检查交流文档和询问公司内不同成员以确定它是否已被充分地交流;

l 审核公司的组织结构确定管理职权是否分配合理并且评估管理职权的分配是否适合于公司的规模及组织结构;

l 询问并且观察公司关于员工雇佣、培训以及评估的政策及程序;

l 通过观察和阅读会议纪要来评估审计委员会对公司对外财务报告程序及财务报告内部控制的监管有效性。

四、充当业务层面控制的直接企业层面控制 我们能识别一些对于能有效减少相关认定的重大错报风险的直接企业层面控制。我们可以充分利用这些控制来减少或剔除与其具有相同控制目标的业务层面控制的测试。我们将这些直接企业层面控制与相关的可能出错项联系起来并把这些控制当成业务层面的控制来测试其设计及运行的有效性。

直接企业层面控制通常是高层次的发现控制,往往预防及发现控制须相结合以确保财务报告内部控制有效。通常,直接企业层面控制本身不是敏感而能有效地发现认定层次的错报。但是,直接企业层面控制可与其他业务层面的控制一起发现重大错报。

我们考虑直接企业层面控制是否具有充分的敏感性能有效防止或发现并纠正认定层面的重大错报,并且在我们决定测试、用以应对可能出错项的最佳控制组合时也考虑这些控制。更多相关的要求及指引,请参考“第十五章 选择、测试内部控制”。

五、工作底稿记录 我们记录选中测试的企业层面控制(包括应对舞弊导致的重大错报风险的控制),以及我们的测试结果。

第十三章 了解重大业务流程和重大列报流程 在测试业务层面控制之前,我们首先需要确定控制测试的对象,而测试对象的确定又需要基于对业务层面控制的识别和评估。在计划审计工作阶段,我们根据重要性水平和可容忍误差,识别了重大账户、重大列报和相关认定,进而识别了重大业务流程和重大列报流程,包括支持重大业务流程的相关的信息系统。在审计工作阶段,我们需要了解重大业务流程和重大列报流程、识别认定层面的重大错报风险,并识别和了解针对重大错报风险的业务层面控制。了解重大业务流程和重大列报流程是一个连续和动态的过程。当重大业务流程发生变化,或出现新的重大业务流程时,我们都需要对其进行了解。

一、考虑企业层面控制对重大业务流程和重大列报流程的影响 我们需要评估、考虑内部控制环境对重大业务流程和重大列报流程的影响。我们需要判断企业营造的控制环境是否足以使重大业务流程、重大列报流程及相关的控制得到有效运行。

当我们了解企业层面的控制时,我们可能会识别到控制环境和其他企业层面的控制要素中的缺陷(即缺乏控制、控制没有有效设计或控制没有有效运行),这些缺陷会影响我们对重大业务流程和重大列报流程中相关风险的评价和应对措施。例如:
1、管理层的态度可能反映了他们对内部控制的不重视:我们询问管理层是否对我们在上一期的审计过程中发现的内部控制的缺陷实施了跟进程序。如果管理层表示他们没有采取措施来应对控制缺陷,我们会认为管理层不重视内部控制。

2、企业对授权程序不够重视:我们向管理层询问授权程序。如果我们有证据表明管理层没有对授权程序制定恰当的政策,则我们需要考虑其对我们的审计策略造成的影响。

3、不相容职责的分工与企业的规模和复杂程度不符:我们向管理层询问职责划分。如果管理层表示有一名职员同时负责采购、销售和付款,我们认为该企业缺乏不相容职责的分工。

二、 识别重大业务流程和重大列报流程的关键流程 在了解重大业务流程和重大列报流程的过程中,我们需要了解它们的关键流程,包括:
l 交易如何开始、记录、处理和报告,以及错误信息如何被更正;

l 与重大业务流程和重大列报流程相关的政策和程序。

我们通过了解以下各个步骤来了解重大业务流程和重大列报流程的关键流程:
l 发生:交易最初进入企业,具体运作的环节;

l 记录:交易被记录于企业账簿和交易记录的环节;

l 处理:企业账簿和交易记录的数据的任何变化、操作或转变的环节;

l 报告:交易被记录(即过账)到总账及报表的环节。

我们通过对关键流程以及对政策和程序的了解来识别可能出错项,并识别相关控制活动。可能出错项是指在重大业务流程中由于错误或舞弊而导致的错报风险。

另外,当我们了解关键路径的同时,我们也了解到被错误处理的信息是如何定期被发现和更正的(即贷记凭证、借记凭证或更正记账分录)。

例如:有关销售的重大交易类别的关键路径包括:
l 发生:销售订单的开具;

l 记录:在系统中记录销售订单;

l 处理:发货凭证和销售发票的开具,以及明细账的记录;

l 报告:编制记账分录,将销售交易过入总账。

在我们了解有关销售的重大交易类别的同时,我们也了解了更正被错误处理的销售交易的方法,包括编制冲销分录或在总账中过入一笔正确的分录。

尽管重大列报流程可能没有重大交易类别那么正式,但我们仍然需要识别重大列报流程的关键路径,并以此来识别可能出错项并在适当时识别相关控制。总体来说,我们通过询问管理层在收集和检查财务报表中需要披露的数据时运用的程序来了解关键路径。

例如:对一个重要的披露程序(例如:股利支付)来说,关键路径包括:
l 发生:决定适当的财务报表框架的要求;

l 记录:准备数据的披露时间表(过期日、数量和计划的性质);

l 处理:从基本程序收集数据,并进行适当的计算;

l 报告:按照适当的财务报表框架的要求,在财务报表中披露必要的数据,并编制记账分录,将交易(例如:股利支付)过入总账。

我们需要了解确保财务报表列报的正确性和完整性的核对程序,还需要了解管理层对这些核对程序的审核和后续跟进措施(即在披露时间表中是如何更正错误的,在适当时,在总账中是如何更正的)。

在了解重大业务流程和重大列报流程时,我们会使用询问、观察和检查各种方法。

2.1信息来源 在了解重大业务流程和重大列报流程时,我们需要考虑企业内部的各种信息来源。企业可能有帮助我们了解重大业务流程和重大列报流程的资料,如系统描述或流程图等。

我们需要阅读相关的书面政策和流程(即会计手册、流程图、描述、操作程序和指令)。我们之所以这样做是因为我们认为这些书面信息是指导企业的相关人员进行流程操作的。我们不必阅读那些与审计无关的细节内容,我们仅利用这些信息来全面地了解重大业务流程和重大列报流程。

2.2 询问 我们询问企业的管理层或其他人员,以进一步了解重大业务流程和重大列报流程,并获取可能帮助我们识别由于舞弊和错误引起重大错报风险的信息。

在构思询问的问题时,我们可以考虑以下几点:
l 询问是收集更多信息的有效途径,尤其是我们可以通过询问获得对企业的书面手册或其他相关书面信息的完整理解;

l 直接向级别较高的人员询问比向操作流程的人员询问更为有效,因为级别较高的人员可能更熟悉重大业务流程和重大列报流程的关键流程。通过他们对重大业务流程和重大列报流程的描述,我们可以了解企业的交易类别,并了解流程应当如何操作,以及企业认为哪些控制更重大;

l 在整体地了解了重大业务流程和重大列报流程后,我们会询问直接操作重大业务流程和重大列报流程的关键流程的人员,以获得更为详细的信息;

l 我们向高层管理人员确认我们了解的详细信息是完整的,且与他们对规定的控制的理解一致。

2.3 观察和检查 我们通过观察和检查来了解管理层实施的操作方法和流程。

此外,观察和检查可以支持我们询问管理层时获得的信息。

例如,我们可以考虑观察和检查如下方面:
l 企业的业务文件(例如:业务计划和战略)、记录和内部控制手册;

l 由管理层编制的报告(例如:季度管理报告,包括关于内部控制有效性的报告和中期财务信息);

l 企业的生产经营场所和厂房;

l 操作交易/控制的人员。

我们可以在执行穿行测试的同时执行观察程序,并将观察程序恰当地记录下来。

2.4对服务机构的考虑 当企业聘用第三方服务机构来执行部分交易、全部交易或处理数据时,企业可能无法控制重大业务流程和重大列报流程的关键流程的某些方面。然而,我们仍需要了解重大业务流程和重大列报流程以识别可能出错项。

我们对重大业务流程和重大列报流程的了解是基于服务机构的服务事实和情况。

我们需要了解企业如何在其业务流程中利用服务机构的服务:
l 服务机构提供的服务的性质以及这些服务对企业的重要性,包括这些服务对企业内部控制的影响;

l 受服务机构影响的交易流程和财务报表账户报告流程的性质和重要性;

l 企业业务活动和服务机构业务活动之间的关联程度;

l 企业和服务机构性质和相互联系,包括企业与服务机构签订的与开展业务活动相关的合同条款。

在我们了解了服务机构的服务对重大业务流程和重大列报流程的影响后,我们需要对利用服务机构的企业执行我们的审计程序。

另一种情况是企业与其它机构共享一个服务中心。我们基于共享服务中心的事实和情况来决定审计程序,以充分了解重大业务流程和重大列报流程。

三、在重大业务流程和重大列报流程中识别可能出错项 我们需要识别关键流程中可能会发生错报的业务点,若该可能发生的错报的影响是重大的,我们就将之视为可能出错项。在识别可能出错项时,我们也应注意到那些不是与某个重大账户的某个认定相关,而是与财务报表整体存在普遍联系的风险。

可能出错项符合以下标准:
l 有发生错报的可能性;

l 其可能产生的错误可能导致重大错报。

可能出错项的识别有助于我们决定认定层面的审计程序的性质、时间和范围是否能够获得充分、适当的审计证据。

导致财务报表中重大错报的可能性增大的因素有:
l 不适当的交易授权,即交易未按照管理层的一般或具体授权执行;

l 不相容的职责的分工不充分;

l 缺乏实物控制,未经管理层授权就能够接触实物和数据;

l 缺乏资产核算,未定期将资产的账面金额与实物进行比较,当资产的账面金额与实物不符时,未采取适当的解决措施。

3.1 如何识别可能出错项? 我们需要考虑整个重大业务流程来识别可能出错项,通常从重大业务流程的终点(即报告阶段)开始,逐步回到起点。我们设计一系列关于可能出错项的问题,并将可能出错项联系到相关认定。这些问题有助于我们找出可能发生的错报。

例如,对一家特定的企业的货物采购,我们可以设计以下可能出错项的问题:
(1)完整性 l 收到的货物是否已全部记录? l 供应商的应付账款是否已全部记录? (2)存在/发生 l 所有记录的采购是否存在无效的? l 记录的存货数量是否与实际相符? (3)计价和分摊/准确性 l 所有的货物采购是否以恰当的金额记录? l 以外币计价的或作为套期保值的交易是否以恰当的金额记录? (4)权利和义务 l 在采购过程中是否承诺了可能妨碍交易实现的特殊条件(例如:以寄售方式进行采购)? (5)列报和披露 l 需要在财务报表中列报的信息是否已全部列报? 在销售的重大业务流程的关键流程中,我们可以设计如下可能出错项的问题:
l 销售发票上的数量是否正确? l 销售发票上的销售价格是否正确? l 销售发票上的使用的增值税税率是否正确? l 销售发票上的计算是否正确? 可能出错项的数量取决于交易流程的复杂程度以及重大业务流程和重大列报流程中发生错报的却未被发现的可能性。

3.2将可能出错项联系到相关认定 我们将可能出错项联系到重大账户和列报的相关认定。对于不相关的认定,我们不需要识别可能出错项。将可能出错项联系到相关认定有助于我们识别财务报表层面和认定层面的重大错报风险,并设计出恰当的实质性程序。

如果我们在了解重大业务流程时识别出关联到不相关认定的重大错报,我们需要重新考虑认定的相关程度。

3.3特别风险和可能出错项 当一个特别风险影响重大业务流程和重大列报流程时,将特别风险与可能出错项联系起来有助于识别和评估设计的与可能出错项相关的控制的设计和执行情况。例如,由于经济不景气导致企业的主要客户破产,我们认为无法收回的应收账款带来的风险是特别风险。我们可以将这个特别风险与可能出错项联系起来:应收账款是否以正确的金额记录?然后我们可能会评估与可能出错项相关的控制。

3.4 IT方面的可能出错项 在我们识别可能出错项时,我们考虑重大业务流程和重大列报程序中的自动化方面的因素,如:
l 通过接口传输或发送的数据的完整性(即:数据从一个应用程序自动传输到另一个应用程序);

l 被拒绝处理或不寻常的数据的重新处理,以及处理(由其导致的)错误文件;

l 输入的数据或通过接口发送的数据被重复处理的可能性,特别是被批量处理的数据;

l 主文件数据不准确或丢失造成的影响;

l 系统误差影响计算的可能性;

l 绕过或改变正常处理流程的可能性。

识别这些重大错报风险有助于我们设计出应对相应风险的审计程序。使用有效的信息系统来处理重大业务流程可以降低重大错报风险。然而,为了使信息系统有效运行,经理层需要实施有效的信息系统控制,包括信息系统一般控制和应用系统控制,以保证信息的完整性和数据的安全性。有关信息系统控制的内容,请参见 “第十七章 了解、穿行测试、测试和评估IT一般控制”。

四、识别与审计相关的控制活动 在我们识别与可能出错项相关的控制活动时,我们需要:
l 了解控制的种类;

l 向相关人员询问控制是如何执行的;

l 特别考虑识别降低特别风险的控制。

4.1 相关的控制的种类 相关控制可以按如下标准划分:
按类别划分:手工控制、应用程序控制、依赖IT的手工控制 按目的划分:预防性控制、检查性控制 4.2 如何开始识别相关控制 我们向相关人员询问控制活动是如何运行的:
例如:我们向相关人员询问如下问题:
l 谁执行控制? l 控制是什么时候执行的(例如:在每月的报告过程中执行)、多久执行一次? l 控制中使用了哪些IT应用程序数据、文件或其他材料? l 如果有的话,执行控制产生了怎样的实物证据? l 控制是如何被及时防止或发现和更正错报的? 4.3 对识别降低特别风险的控制的特殊考虑 我们在了解企业是否设计和执行了应对非常规的重大业务流程,、估计的重大业务流程以及一次性事件的特别风险时,需要了解管理层是如何应对特别风险的。

在重大业务流程或重大列报流程中识别降低特别风险的控制时,我们知道常规的、正式的控制不足以应对特别风险(即非常规的重大业务流程、估计的重大业务流程以及一次性事件容易导致特别风险,因为他们没有固定的流程)。不过,管理层可能有在特别风险出现后立即做出回应。我们需要考虑这些回应是否是针对特别风险的控制,并评估管理层是否恰当地设计和实施了这些控制。例如:
l 由高级管理人员或专家审核估计使用的假设;

l 对于一次性事件(例如:收到重大诉讼的法院传票),我们需要考虑企业是否采取了如下回应:聘请法律专家(如内部或外部法律顾问)、估计该事件的潜在影响、在财务报表中列报该事件的提案是如何提出的;

l 管理层针对这一特别风险设计一套流程,流程中的审核点或文件能够应对该风险(例如管理层做出估计的程序);

l 管理层回应得到治理层的批准。

在某些情况下,管理层可能没有针对特别风险采取相关控制以应对重大错报风险,我们可以认为企业的内部控制存在重要缺陷 ,并需要和企业的治理层讨论这些问题。

五、对了解不同性质的重大业务流程的具体考虑 5.1重大业务流程的种类 为了更好地了解重大业务流程的关键流程,我们将重大业务流程作如下分类:
l 常规的重大业务流程,指经常发生的、常规的或标准的交易。处理这些交易的流程系统化,且不太可能引起特别风险;

l 非常规的重大业务流程,指金额或性质不寻常且不经常发生的交易,这些交易涉及的数据通常不是源于常规的重大业务流程;
例如,非常规的重大交易类别包括:待摊费用的摊销、 所得税的计算、 折旧费用的计算;

l 估计的重大业务流程,因为计量有重大的不确定性而需要做出会计估计的交易。这些交易反映了管理层的判断、决策和选择。例如,估计的重大交易类别包括:为诉讼和索赔计提或有负债、为质量保证费计提或有负债、为残次冷背的存货计提存货跌价准备。

考虑到非常规的和估计的重大业务流程性质,我们了解非常规的和估计的重大业务流程的时间可能与了解常规的重大业务流程的时间不同。例如:如果管理层仅在资产负债表日确定质量保证费,我们就在实行实质性程序时了解确定质量保证费的估计方法。

5.2 相关控制活动 我们应当识别和了解重大业务流程中的相关控制活动。对于不确定性较高、存在特别风险的估计,我们需要识别与降低特别风险相关的控制。对于所有其他估计,我们需要充分了解估计流程中的相关控制 。例如:如果一家企业用估计的重大业务流程来估计应收账款的坏账准备,那么我们需要了解估计的计算过程并向管理层询问相关的控制措施,如审批记录的关键假设和计提的坏账准备金额的程序。如果企业需要计算一项商誉的重大减值,由于这个估计过程涉及复杂计算和重大判断,因此我们对这个流程的了解可能因其本身的复杂性而变得更详细(例如:我们需要了解对复杂的计算和假设,以及在财务报表中最终记录的金额的审批程序)。

在我们识别和了解估计的重大交易类别时,我们注意到相关控制和控制文件可能不太正式。例如:财务总监可能不会在文件中记录他对坏账准备是否计提充分的审查。由于与估计的重大交易类别相关的控制和控制文件可能不太正式,我们需要考虑以下因素:
l 负责做出估计和审阅估计的管理人员的经验和知识,以及他们与估计结果的独立性;

l 发起并审核与估计相关的控制的有效性的管理人员的权力;

l 经理审查的全面性;

l 管理层是否监测了估计的合理性并采取了相应的行动(例如:管理层采用那些常规的、根据企业业务变化不断改善的关键绩效指标);

l 当实际情况与估计的情况有较大差异时,估计是否得到改进;

l 当做出的估计需要高度技术或涉及专业领域时,企业是否聘请专家参与估计;

l 关键假设的基础是否需要记录,并能获得相关信息支持;

l 其他重大交易流程是否能够为估计的重大交易流程提供相关、可靠的数据;

l 管理层是否为负责做出估计的人员提供了使用假设的指引;

l 在执行估计的交易时,管理层的动机和保守程度(包括管理层的动机较前一审计期间是否发生变化);

l 企业过去的会计估计的准确性。过去的估计与实际结果的接近程度将为该企业估计的重大交易类别的可靠性提供依据。了解前期估计与实际情况的比较结果有助于我们判断管理层做出估计的流程是否恰当。

5.2.1 管理层对专家的利用 如果管理层或员工不具备做出估计必要的经验和能力,企业应当聘请专家做出估计或协助做出估计,因为:
l 有些事件的特殊性质需要专家参与估计(例如:采掘业中对矿物或油气储量的测量);

l 模型的技术性质需要满足相关的、适用的财务报告框架的需要(例如:按公允价值计量);

l 不寻常或不经常发生的条件、交易或事件需要专家参与会计估计。

如需获得进一步指引,请参考“第四章 利用专家的工作”。

5.2.2 假设 在了解会计估计的假设时,我们也能了解影响假设的相关因素(例如:财务计划和经营计划、会计政策的选择、和历史趋势)。

在我们了解与假设相关的影响因素时,我们考虑如下因素:
l 假设的性质,包括哪些假设很可能是重大假设;

l 管理层如何判断假设的相关性和完整性(即考虑所有与假设相关的变量);

l 管理层是如何确定其使用的假设是彼此一致的(如适用)。

与假设相关的事项是否:
l 在管理层的控制下(例如:对于维修项目的使用年限的假设可能影响对资产使用年限的估计,假设如何与企业的业务计划和外部环境协调);

l 在管理层的控制之外(例如:对利率、死亡率、潜在的司法或监管措施、或未来现金流量的变化和现金流发生时间点的假设);

l 相关文件(如果有的话)的性质和范围是否支持企业使用的假设;

l 信息来源(即支持假设的内部和外部信息)的相关性和可靠性的变化。

5.2.3 改变会计估计的方法 我们需要了解管理层会计估计的方法与前期相比是否已经改变或者应当改变。

一个具体的估计方法可能随着企业所处的环境和情况或者适用的财务报告框架要求的变化而变化。如果管理层改变了会计估计的方法,管理层应该证明改变后的方法更为合适,或者是用于应对企业所处的环境和情况变化或适用的财务报告框架要求变化的措施。

5.2.4 估计的不确定性 估计不确定性会影响估计的重大业务流程和重大列报流程。估计不确定性是指会计估计和相关列报在其计量中固有的、容易出现的不准确程度。

我们可以考虑如下问题:
l 管理层是否考虑了多种假设或结果(例如:是否分析了会计估计对假设变化的敏感程度),如果是的话,他们是如何考虑的;

l 当管理层的分析结果表明有多种会计估计时,管理层是如何选择的(即在财务报表中记录的数额);

l 管理层是否监测了前期的会计估计结果,并针对监测流程的结果采取了妥善的应对措施。

六、对了解重大列报流程的特殊考虑 我们需要了解重大列报流程,以便能够识别与财务报表列报和披露相关的可能出错项,识别应对可能出错项的控制活动。

6.1 重大会计账户的列报 对于重大会计账户的列报,我们在了解重大业务流程的同时也需要了解重大列报流程。

在执行了解重大业务流程的程序时,我们也能够了解列报产生的过程。我们需要识别可能出错项,并识别相关控制活动。例如,当我们认为存货及其列报和披露是重大账户时,我们需要了解与存货相关的重大业务流程以及列报产生的方式。因此,作为了解与存货相关的重大业务流程的一部分,我们需要向管理层询问企业在财务报表中对存货是如何分类的,识别与存货分类相关的可能出错项,识别相关控制活动。

6.2财务报表决算过程的列报 对于财务报表决算过程中产生的列报,我们认为相关的控制是财务报表决算过程的一部分。

对于不太复杂的企业,我们可以将各个账户的列报和披露结合起来,而不是对每个重大账户进行单独列报和列报。

如需进一步的指引,请参考“第十六章 了解和评价财务报告流程”。

第十四章 执行穿行测试 在内部控制审计中,我们应当实施程序以了解被审计单位流程中可能导致潜在错报的来源和识别管理层为应对这些潜在错报风险而执行的控制。

我们应当实现下列目标,以进一步了解潜在错报的来源,并为选择拟测试的控制奠定基础:
l 了解与相关认定有关的交易的处理流程,包括这些交易如何生成、批准、处理及记录;

l 验证我们识别出的业务流程中可能发生重大错报(包括由于舞弊导致的错报)的环节;

l 识别被审计单位用于应对这些错报或潜在错报的控制活动。

穿行测试通常是实现上述目标和评价控制设计的有效性以及确定控制是否得到执行的有效方法。穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程。

我们执行穿行测试,确认对重大业务流程或重大列报流程的了解和我们所记录的一致,同时也确认以下要点,诸如信息来源,信息是否应该被获取、转换或修改,这些也是最可能发生错报的地方。对重大业务流程和重大列报流程的控制有效性进行初步评价。

一、执行穿行测试 我们应在每个期间对重大业务流程和重大列报流程执行穿行测试。我们通过询问和观察、查阅相关文件及比较等程序确认对每个重大业务流程和重大列报流程中的关键流程的了解。

一般而言,对每个重要流程,选取一笔交易或事项实施穿行测试即可。我们通过选择一个交易,并沿着关键流程追溯下去,穿行测试每个重大业务流程和重大列报流程。如果一笔交易不足以确认我们对交易类别的了解,我们将选择更多的交易来穿行测试。

穿行测试涵盖交易生成、授权、记录、处理和报告的整个过程,以及识别出的重要流程中的控制,包括针对舞弊风险的控制。穿行测试还包括确认一旦识别出没有正确处理的信息,如何更正它的了解。

我们通过询问企业人员,根据其对需要哪些程序的了解来判断有关人员是否如我们所期望的那样执行相关程序。我们对企业人员的进一步询问包括诸如当他们遇到错误会如何处理;
他们遇到的是什么类型的错误;
发现错误的结果会有什么影响;
错误如何被解决来帮助识别管理层凌驾于控制之上或舞弊导致的重大错报的风险。

我们评估控制活动是否合理设计达到适当的职权分离,判断企业人员在执行程序时是否有不相容职责的情况发生。

我们评价控制活动是否合理设计以达到合理授权交易的目的。

我们考虑挑选的穿行测试的交易是否依照公司的授权政策恰当授权。

1.1穿行测试的程序 穿行测试的程序包括:
l 向实际执行控制的人员进行讯问;

l 观察控制的执行;

l 查询在执行控制时使用的或由于执行该控制而生成的文件;

l 将支持性文件(如销售发票、合同和提货单)与会计记录进行比较。

我们在实施穿行测试时往往综合运用询问、观察、检查和重新执行,穿行测试是一种评估设计有效性的有效方法。

1.2与穿行测试过程中进行的询问相关的考虑 在每个穿行测试中,我们询问企业人员,根据其对需要哪些程序的了解,判断流程程序和控制是否正常运行。我们利用这些信息来识别我们了解到的和实际发生的情况之间的差异。当我们识别出差异时,我们需要修改我们对重大业务流程的关键流程和对重大业务流程控制的初步评价的记录。

我们要求企业人员描述对其自己负责的流程或控制行为的了解,以及由同一流程中其它方面的人员负责的流程或控制行为的了解,要求他们将整个过程演示给我们看,以此来证实我们所获得的信息。

如果被访谈者没有发现任何需要后续跟踪的关注事项,则我们需评价这种情形是因为有良好的预防控制,还是该人员缺乏执行控制的必要技能或勤勉。

我们评估我们询问的结果是否有助于识别舞弊导致的重大错报风险或内部控制中的偏差。

我们询问的回应可以协助证实从管理层获取的回答的真实度,或提供与管理层凌驾于控制之上的可能性相关的信息。当我们询问他人的结果表明存在管理层凌驾于控制之上的可能时,我们需考虑对他们的知识或舞弊嫌疑进行后续询问。

对企业人员进行后续询问时,能够帮助识别管理层凌驾于控制之上的现象或舞弊导致的重大错报风险的问话包括以下问题:
l 他们是如何判断是否有错误 (而不是仅询问他们是否执行已列明的程序和控制)? l 当他们发现错误时会如何应对? l 他们发现了哪些类型的差异(或曾经发现什么类型的错误)? l 发现差异导致的结果? l 如何解决差异? l 他们是否有过被要求凌驾于流程或控制之上的情况(或是否曾被要求忽略或回避该流程或控制)?如果有,对情形进行描述,并解释为什么会发生该情形,以及该情形是如何发生的? l 他们是否有被要求操作异常记账分录或调整?如果有,请描述分录或调整的性质,以及为什么会发生?结果如何? 1.3 对穿行测试的结果得出结论 我们判断穿行测试是否能确认我们对重大业务流程和重大列报流程的了解,以及对相关控制的设计和执行的了解。

当发现我们对于重大业务流程或重大列报流程,包括已识别控制活动的了解和记录有错误,并对其进行穿行测试时,我们需修改流程记录。

1.4对控制有效性的初步评价 当我们完成穿行测试,我们对穿行测试的相关控制的有效性进行初步评价,以评估相关控制设计的有效性。

我们从穿行测试中获取的结果和信息可以为我们提供审计证据,以此确定对于我们识别的每一个相关认定,已识别的相关控制是否被恰当设计,是否能够有效运行以预防或发现和更正重大错报。

对于每个已识别控制,无论是应用控制、依赖IT的手工控制或手工控制,我们将其判断为:
有效的:如果我们在穿行测试中发现控制被有效设计从而减少识别的可能发生错误,控制已被执行且能够按预先设计的方式运行,则我们初步评价该控制是有效的;

或 无效的:如果我们在穿行测试中发现控制没有如我们了解那样被执行及/或设计,没有能减少识别的可能发生错误,那么我们初步评价该控制是无效的。

当我们初步评价应用控制、依赖IT的手工控制和手工控制的有效性时,我们同时考虑穿行测试的结果以及以下几方面:
l 我们对于企业控制环境得出的结论;

l 企业相关授权 、资产保护、资产问责和不相容的职责分工的政策和程序;

l 我们对相关ITGCs的评估 (对应用控制和依赖IT的手工控制);

l 控制的设计和敏感度。

此外,当我们对非常规和重大估计交易类别的相关控制的有效性作出初步评价时,我们考虑以下内容:
l 已识别控制不能降低舞弊导致的重大错报风险;

l 管理层的动机。

二、穿行测试的特殊考虑 2.1会计估计的流程 当我们作出询问,以确认我们对管理层作出会计估计的流程和重大估计交易类别的相关控制的了解时,我们应该考虑以下问题:
l 假设是否恰当 (假设是否是建立在当前情况和最可能获取的信息基础上的合理解释)? l 假设与以前年度作出的会计估计是否一致? l 用于制定会计估计的数据是否相关且可靠? l 有没有使用我们需要评估的IT应用程序产生的任何数据? l 用于制定会计估计的模型是否恰当,且该模型是否被正确应用? 2.2关于降低重大错报风险的控制的穿行测试的考虑 当我们在常规、非常规或重大估计交易类别,或重大列报流程中识别出重大风险,我们要对降低该重大风险相关的控制进行穿行测试。

然而,在某些情况下,重大风险可能由不属于企业运行的正常程序的事项引起。这样的重大风险,根据其性质,可能不受常规的、正常的控制约束。举例说明,重大风险可能与一次企业不存在现有流程的偶发事件相关 (例如:企业之前从来没有遭遇过的大宗法律索赔的通告)。一旦这些重大风险出现,企业的管理层将采取应对措施。我们评价这些应对措施(包括管理层对重大风险实施的措施)是否有效,如果有效,我们将对这些控制进行穿行测试,以确认管理层已经执行了控制。

2.3 在执行穿行测试时利用他人工作 在整合审计里,如果公司的内部审计人员、其他人员或在管理层或治理层指导下的第三方有足够的胜任能力或客观性,则我们可以考虑让上述人员在我们的直接监督下执行穿行测试程序。直接监督是指他人应我们的要求按照我们的审计计划执行必要的穿行测试程序。

当重大业务流程及重大列报流程越复杂,风险越高,而且具有越普遍的影响,我们利用公司的内部审计人员及其他人员来完成穿行测试的可能性越小。通常,我们可以利用他人对常规或较简单的非常规重大业务流程执行穿行测试。此外,我们不希望借助以下人员来执行穿行测试:
l 公司首席财务官; l 公司财务总监或者其他一直负责会计工作及财务报告的人员,包括那些负责执行和监督公司财务报告内部控制的人员。

2.4针对自动化程序里的数据和交易信息 根据自动化程序里的数据和交易信息,穿行测试包括以下程序,例如:
l 询问独立的且具有相关业务知识的公司人员;

l 参阅使用手册;

l 例如在线应用,观察使用者在终端操作交易;

l 参阅相关文件 (例如:输出报告) 。

当IT环境复杂时,我们有必要与IT技术人员合作,穿行测试重大业务流程或重大列报流程的自动化方面以及相关控制(如果必要时)。

当重大业务流程或重大列报流程有重大变化(包括IT支持系统的变化),在审计期间,我们评估变化的性质和在相关账户发生重大错报的可能结果,以决定是否对交易流程在变化前和变化后都执行穿行测试。

第十五章 选择、测试内部控制 在内部控制审计中,我们要对我们识别出的所有影响重大账户、重大列报和相关认定的控制的设计及运行有效性进行测试。

一、选择拟测试的控制的基本要求 我们应当针对每一相关认定对应的每个可能出错项,选择至少一个相关控制进行测试,获取控制在重大交易流程和重大披露流程中有效运行的审计证据,以便对内部控制整体的有效性发表意见,但我们没有责任对单项控制的有效性发表意见。

在确定是否测试某项控制时,我们应当把握重要性原则,选择适当的控制点进行测试。对特定的相关认定而言,可能有多项控制用以应对评估的错报风险;
反之,一项控制也可能应对评估的多项相关认定的错报风险。我们没有必要测试与某项相关认定有关的所有控制。

我们应当考虑该项控制单独或连同其他控制,是否足以应对评估的某项相关认定的错报风险,而不论该控制的分类和属性如何。。

由于不同的控制属性会影响到控制测试工作的范围和效果,因此我们在选择拟测试的控制时,需要综合考虑控制的不同属性,以及控制的相关性、充分性和敏感度。必要时,我们也可以选择适当的控制组合进行测试。

二、 选择拟测试的控制的考虑因素 我们在了解企业的控制环境,确定该控制环境是否支持预防或发现和更正重大错报(进一步的指引请参见 “第五章 了解企业整体的内部控制”)以及执行穿行测试,并初步评价控制的有效性后(为获取进一步指引请参见“第十三章 了解重大业务流程和重大列报流程”),我们通过以下过程挑选控制测试:
l 选择适当的控制测试;

l 确认已选测试的控制与审计相关;

l 评估已选测试的控制是否充分敏感。

2.1选择适当的控制测试 我们在选取拟测试的控制时,通常不会选取整个流程中的所有控制,而是选择关键控制,即能够为一个或多个重要账户或列报的一个或多个相关认定提供最有效力证据且测试最有效率的控制。每个重要账户、认定和重大错报风险至少应当有一个对应的关键控制。举例说明,管理层可能在不同层面上应用多种控制,用以预防、发现和更正错报。如果这个控制可以充分敏感地发现和更正错报,我们可以决定只选择其中一个控制进行测试。

在选择关键控制时,我们需要考虑:
l 哪些控制是不可缺少的? l 哪些控制直接针对相关认定? l 哪些控制可以应对错误或舞弊导致的重大错报风险? l 控制的运行是否足够精确? 对于某些认定,我们可能得出结论,认为它们不能或不能有效地选择对应控制测试 (例如:一个关键的调整没有保留依据,或者测试该控制花费的精力将大大超出设计和执行实质性审计程序所花费的精力。

选择关键控制需要我们作出职业判断。我们无须测试那些即使有缺陷也合理预期不会导致财务报表重大错报的控制。

2.1.1控制的目标和分类 我们了解控制的目标 (预防、检查) 和每个已识别的控制的分类 (应用控制、手工控制或依赖IT的手工控制) ,来帮助我们决定适当的控制进行测试,因为控制的每个目标和类别都具有控制测试上的优势和劣势。

2.1.1.1预防性控制和检查性控制 预防性控制和检查性控制的优缺点见下表:
预防性控制和检查性控制的优缺点 通常来说,对于重大业务流程中的可能出错项,我们要考虑同时选择预防性控制和检查性控制进行测试。因为缺乏有效的检查性控制,会增加发生重大错报的风险;
而没有预防性控制、仅有检查性控制可能不足以防止错报的发生,或者是在企业发生错报后才发现,那时已为时过晚。

2.1.1.2手工控制和自动执行的控制 手工执行的控制是由那些完全由人工操作而不依赖企业的信息系统环境的控制。但是,手工执行的控制可能使用来自计算机系统生成的信息。

自动执行的控制是无需人工干预、由企业的信息系统自动执行的控制,与业务或其他财务数据的生成、记录、处理和报告等流程相关,用于实现重大业务流程的相关控制目标。自动执行的控制有助于确保发生的业务已被授权且得到完整、准确的记录和处理。自动执行的控制通常被称为应用控制。关于应用控制的类型以及如何评价应用控制的更多指引,请参见“第十七章 了解、穿行测试、测试和评估IT一般控制”。

手工控制和应用控制的优点和缺点见下表:
手工控制和应用控制的优缺点 需要注意的是,由于大多数手工控制属于检查性控制,可以发现并纠正在重大业务流程中的错报,因此在选择该类控制进行测试时,我们除了考虑预防性控制和检查性控制的优点和缺点外,还需要特别考虑:
(1) 执行手工控制的人员的能力和客观性;

(2) 执行手工控制的人员是否在整个期间一贯地执行控制。

因此,选择测试一个适当的控制组合可能包括不同目标不同种类的控制,它们各自或和其他控制组合在一起就能充分敏感地解决一个或多个认定对应的可能出错项。

举例说明,我们可以决定选择一个适当的控制组合进行测试,包括许多应用控制,因为应用控制能够提供交易发生、被授权和完整准确记录并最终在系统层面处理的审计证据。应用控制一般不容易导致人为错误或人为介入,且我们可以只需测试一个应用程序控制就可获取对于控制有效性的充分适当的审计证据。

我们也可以决定选择测试由一些检查和更正控制组成的适当控制组合,因为它们能解决多种可能发生错报的环节和认定。检查控制和更正控制测试比人工预防控制测试更有效率,是因为检查控制和更正控制执行的频率不高,而且经常应用在交易组,而不是在单个交易的基础上,我们也能够获取更好的直接的关于控制运行有效性的审计证据。

2.2 确认已选测试的控制与审计相关 在选择需要进行测试的控制时,除了根据各项认定对应的各可能出错项,结合各项控制的目标和类别的优点和缺点进行选择外,我们还需确保所选择的控制是恰当的并且与审计工作相关,能够达到控制执行的目标。在进行判断时,可以考虑以下几个方面:
(1) 控制的属性。控制能恰当地应对每个相关认定对应的可能出错的环节,来预防或发现和更正错报。

例如,设计某个控制来调节进出货的数量可以应对可能出错的环节关于“存在性”和“完整性”的认定,如发现少许未入账货物 (如:确定每个交易均已被记录)。然而,毛利的复核不能解决所有相关毛利的可能出错的环节,因为影响毛利的有很多方面的因素。

(2) 审计证据的相关性和可靠性应当能够为控制执行有效性的结论提供足够的证据。例如,由服务机构或管理层请来的外部专家运行的控制能够提供更可靠的证据,因为降低了管理层凌驾于控制之上的风险。

(3) 执行控制人员的独立性性和胜任能力。一个具有独立性的人员在发现错误时能够保持公正。一个有胜任能力的人有必要的知识和技能有效地执行控制。例如,财务经理每周复核公司的销售毛利是和审计相关的控制,如果财务经理拥有适当的业务知识去了解偏差,执行适当的后续跟踪,并且他没有达到周销售目标的绩效指标的责任。

(4) 在执行控制时所采用的数据时完整的并且可以信赖的。例如,某企业对超过60天账龄的应收账款进行复核并评价其可收回性,在应收账款账龄分析表是完整可靠的前提下,该项控制才能实现控制目标。

2.3 评估已选测试的控制是否充分敏感 在选择需要进行测试的控制后,我们还需评估已选测试的控制对于防止或发现并纠正认定层面的重大错报是否充分敏感。如果我们确认单独的控制可能不充分敏感,只是在和其他控制组合时才充分敏感解决某个相关认定的可能出错项的环节,我们要决定是否选择其他控制来测试。

对于应用控制,控制可能只有在和相关IT一般控制组合才充分敏感。例如,我们选择测试依赖IT的手工控制,如“复核不匹配的采购发票和货物入库单”,该控制是建立在IT系统产生的报告基础之上。如果依赖IT的手工控制单独使用时不够充分敏感,则我们决定是否也要选择对能确认编制这些报告使用的数据的准确性和完整性的控制进行测试。

我们考虑以下方面来评价已选测试的控制是否充分敏感:
(1) 计划重要性水平和可容忍误差。当可容忍误差变小时,我们选择测试的控制要对预防、发现和更正错报要更加敏感;

(2) 控制应对的风险的重要性。如果相对应的风险重要程度高,我们要选择测试对防止或发现并纠正错报更敏感的控制。例如,某企业从事套期保值业务,如果与计价认定相关的错报被识别为一项特别风险,则我们需要确保识别了足够充分敏感的控制;

(3) 控制执行的详细程度。例如,管理层每月复核公司的毛利这个控制不一定对发现和更正重大错报充分敏感。然而,每周复核按产品分类的毛利控制可以考虑其充分敏感;

(4) 控制活动中设定的金额限制。例如,要求对变动超过10%的存货采购价进行跟踪关注这一控制可能不充分敏感,然而,要求对变动超过2%的存货采购价进行跟踪关注,控制就变得充分敏感;

(5) 控制执行的期间。控制可以在某一审计期间中运行或在一个时点运行,但是要与那个时点累计的交易相关。对于发生在某一时点的业务来说,控制在该时点是否得到执行,也会影响到控制的充分性和敏感度。例如,如果每年企业进行存货盘点在财务报表日或接近该日,那盘点控制就是充分敏感的。然而,如果每年的存货盘点在企业财务中期执行,那么对整个审计期间而言,在发现和纠正错报方面该控制就不一定充分敏感了;

(6) 控制执行的频率。例如,季度的银行余额调节表不充分敏感。然而,每周或每月的银行余额调节表是充分敏感的;

(7) 控制执行的及时性。

例如,每月准备和复核银行余额调节表这个控制,如果该月末的一个月内复核就不充分敏感。然而,在月末后的一周内复核是充分敏感的。

在采用自上而下的方法执行内部控制审计时,如果识别并选取了能够充分应对重大错报风险的控制,则不需要再测试针对同样认定的其他控制。我们在考虑是否有必要测试业务流程、应用系统或交易层面的控制之前,首先要考虑测试那些与重要账户的认定相关的企业层面控制的有效性。如果企业层面控制是有效的且得到精确执行,能够及时防止或发现并纠正影响一个或多个认定的重大错报,我们可能不必就所有流程、交易或应用层面的控制的运行有效性获取审计证据。

我们应当选择测试那些对形成内部控制审计意见具有重大影响的控制。对于与所有重要账户和列报相关的所有相关认定,我们都需要取得关于控制设计和运行是否有效的证据。如果存在多个控制均应对相关认定有关的重大错报风险,我们通常会选择那些能够以最有效的方式予以测试的控制。

企业管理层在执行内部控制自我评价时选择测试的控制,可能多于我们认为为了评价内部控制的有效性有必要测试的控制。管理层的这种决定,不影响我们会计师的控制测试决策,我们只需要测试那些对形成内部控制审计意见有重大影响的控制。

三、 与控制相关的风险 在测试所选定控制的有效性时,我们应当根据与控制相关的风险,确定所需获取的审计证据。

与控制相关的风险包括一项控制可能无效的风险,以及如果该控制无效,可能导致重大缺陷的风险。与控制相关的风险越高,我们需要获取的审计证据就越多。

下列因素影响与某项控制相关的风险:
l 该项控制拟防止或发现并纠正的错报的性质和重要程度;

l 相关账户、列报及其认定的固有风险;

l 交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的有效性产生不利影响;

l 相关账户或列报是否曾经出现错报;

l 企业层面控制(特别是监督其他控制的控制)的有效性;

l 该项控制的性质及其执行频率;

l 该项控制对其他控制(如控制环境或信息技术一般控制)有效性的依赖程度;

l 执行该项控制或监督该项控制执行的人员的专业胜任能力,以及其中的关键人员是否发生变化;

l 该项控制是人工控制还是自动化控制;

l 该项控制的复杂程度,以及运行过程中依赖判断的程度。

在连续审计中,影响与控制相关的风险的因素除上述因素外,还包括:
l 以前审计所执行的审计程序的性质、时间安排和范围;

l 以前审计控制测试的结果;

l 自上次审计以来控制或流程是否发生变化。

四、 控制测试的程序的性质 控制测试的审计程序的类型包括询问、观察、检查和重新执行。以下分别对四种审计程序类型予以说明:
4.1询问 询问是指我们以书面或口头方式,向被审计单位内部或外部的知情人员获取信息,并对答复进行评价的过程。作为对其他审计程序的补充,询问广泛应用于整个审计过程中。

我们通过与被审计单位有关人员进行讨论获取与内部控制相关的信息。在讨论中我们要注意保持职业怀疑态度。但是,仅实施询问程序不能为某一特定控制的有效性提供充分、适当的证据。我们通常需要获取其他信息以印证询问所取得的信息,这些其他信息包括被审计单位其他人员的佐证,控制执行时所使用的报告、手册或其他文件等。虽然询问是一种有用的手段,但是它必须和其他测试手段结合使用才能发挥作用。在某些情况下,我们应从管理层那里获取书面声明,以确认对口头询问的回复。例如,我们询问管理层针对异常报告中的发现的跟进程序或纠正措施。

4.2观察 观察,是指我们查看相关人员正在从事的活动或实施的程序。

观察是测试运行不留下书面记录的控制的有效方法。例如,对于职责分离相关的控制,我们需要获得第一手证据,不仅通过询问取得关于责任分工的信息,而且通过实地观察,证实责任分工控制是按规定执行的。

观察也可运用于测试对实物的控制,例如,查看空白支票是否妥善保管。通常情况下,我们通过观察直接获取的证据比间接获取的证据更可靠。

观察可以提供执行有关过程或程序的审计证据,但观察所提供的审计证据仅限于观察发生的时点,而且被观察人员的行为可能因受到观察而受到影响,这也会使观察提供的审计证据受到限制。例如,我们可以通过观察处理现金收款的过程以对现金收款的控制进行测试,但是由于观察只针对某一时点,因此我们需要结合运用询问以及检查相关的文件,以获得更多对于某一段时期内控制运行有效性的证据。

4.3检查 检查是指我们对被审计单位内部或外部生成的,以纸质、电子或其他介质形式存在的记录和文件进行审查,或对资产进行实物审查。

检查通常用于确认控制是否得以执行。例如,对偏差报告进行调查与跟进这一控制,负责调查和跟进的人员在变差报告中添加的书面说明、管理人员审核时留下的记号,或其他标记都可以作为控制得到执行的证据。我们需要检查显示控制得以执行的,可以合理预期其存在的证据。缺乏证据可能表示控制没有按规定运行,我们需要执行进一步程序以确定事实上是否存在有效的控制。

检查记录和文件可以提供可靠程度不同的审计证据,审计证据的可靠性取决于记录或文件的性质和来源,在检查内部记录和文件时,其可靠性取决于生成该记录或文件的内部控制的有效性。例如,被审计单位通过定期复核账龄分析表应对银收账款计价认定错报,如果账龄分析表不准确或不完整,就会影响控制的有效性。

在有些情况下,存在书面证据不一定表明控制一定有效。例如,凭证审核时一直常见的控制,但是看到签名不一定能证明审核人员认真审核了凭证,审核人员可能只粗略浏览凭证,甚至未审核而直接签名。因此通过检查凭证签名获得的审计证据的质量可能不具有说服力。

4.4重新执行 重新执行是指我们独立执行原本作为被审计单位内部控制组成部分的程序或控制。

通常只有当综合运用询问、观察和检查证据仍无法获得充分、适当的证据时,我们才考虑通过重新执行以证实控制是否有效运行。重新执行的目的是评价控制的有效性而不是测试特定交易或余额的存在或准确性,因此一般不必选取大量的项目,也不必特意选取金额重大的项目进行测试。

对一些简单、常规的控制,在控制测试中实施询问、观察或检查程序可能对于测试该控制的运行有效性而言已经足够。我们不需要机械地认为对所有的关键控制都需要通过重新执行进行测试,而是要根据与控制相关的风险,适当调整控制测试的性质。

我们可能设计以下几种程序来测试某个控制,例如:
如果管理层需要执行发现和纠正控制程序,以此将企业的月度结果和核准预算进行比较,则我们可设计以下程序:
l 询问—询问管理层有关预算的编制、其将实际结果与预算进行比较的方法,以及在其识别出异常波动或异常金额时所采取的行动;

l 观察—观察管理层将月度预算与实际结果进行比较的过程,以确认其执行该控制的流程;

l 检查—检查与调查预算与实际结果之间差异有关的报告。

例如,对客户的调节程序的测试可能包括以下内容:
l 询问—我们可以询问编制调节的职员如何识别调节项目,其产生的原因,以及当需要更正调节项目时所设置的确保会计记录被及时更正的程序。我们还可以询问管理层他们是怎样保证调节被正确和及时地编制的;

l 观察—我们可以观察一个调节的编制。然而,我们应清楚当职员知道他们被人观察时可能更勤勉地执行程序;

l 检查—检查是否存在调节。我们评估数据来源的可靠性,并评估调节为手工编制或自动生成。

同时,我们将通过检查与审计期间相关的时期内编制的调节表,以获得其存在的证据,进而确定调节表是否发现了错误,以及这些错误是否被及时纠正;

l 重新计算—检查手工编制的调节表的数字准确性;

l 重新执行测试—将一个或多个调节表中的某些金额跟踪至相关记录或其他文档(如银行对账单),以获取审计证据,证明程序已按照预先设计的方式执行。

如果需要测试企业的实物存货,我们可以设计以下程序,并将其作为我们进行存货监盘的一部分:
l 询问—询问管理层关于执行实物存货盘点的政策和程序;

l 观察—观察管理层关于实物存货盘点的指示是否被执行,企业在存货发生变动时(即:事前、事中和事后)如何进行存货盘点,盘点使用的程序,以及其他用于控制存货盘点的活动(识别正在进行的工作或残次冷背存货);

l 观察—观察存货以确立存在性,并识别残次冷背存货。

我们同时还检查工作底稿,比如存货盘点说明和编制的标签。

在执行盘点时我们将通过追踪从那些记录中挑选出来的项目到实物存货和从实物存货中挑选出来的项目到盘点记录中来测试盘点记录的完整性和准确性。

五、 控制测试的时间安排 对控制有效性的测试涵盖的期间越长,提供的控制有效性的审计证据越多。对于内部控制审计业务,我们应当获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据。在整合审计中,我们控制测试所涵盖的期间应尽量与财务报表中拟信赖内部控制的期间保持一致。

对控制有效性测试的实施时间越接近基准日,提供的控制有效性的审计证据越有力。为了获取充分、适当的审计证据,我们应当在下列两个因素之间作出平衡,以确定测试的时间:
(1) 尽量在接近基准日实施测试;

(2) 实施的测试需要涵盖足够长的期间。

5.1期中测试的两种方法 在整合审计中测试控制在整个会计年度的运行有效性时,我们可以应当按照本章第六节中提供的样本规模表进行期中测试,然后对剩余期间实施前推测试,或将样本分成两部分,一部分在期中测试,剩余部分在临近年末的期间测试。如果认为所选取的样本规模足以满足内部控制审计的目的,上述第二种测试方法可能是更为有效的审计方法,接近年末测试的样本越多,可以为财务报表审计和内部控制审计提供越多的审计证据。

与所测试的控制相关的风险越低,我们需要对该控制获取的审计证据就越少,可能对该控制实施期中测试就可以为其运行有效性提供充分、适当的审计证据。相应的,如果与所测试的控制相关的风险越高,需要获取的证据就越多,我们应当取得一部分更接近基准日的证据。

5.2是否测试被取代的控制 如果被审计单位为了提高控制效果和效率或整改控制缺陷而对控制作出改变,我们应当考虑这些变化并适当予以记录。如果认为新的控制能够满足控制的相关目标,而且新控制已运行足够长的时间,足以使我们通过实施控制测试评估其设计和运行的有效性,则我们不再需要测试被取代的控制的设计和运行有效性。但是如果被取代的控制的运行有效性对我们执行财务报表审计时的控制风险评估具有重要影响,我们应当适当地测试这些被取代的控制的设计和运行的有效性。

5.3期中测试和前推程序 我们执行内部控制审计业务旨在对基准日内部控制有效性出具报告。如果已获取有关控制在期中执行有效性的审计证据,我们应当确定还需要获取哪些补充审计证据,以证实剩余期间控制的运行情况。在将期中测试结果前推至基准日时,我们应当考虑下列因素以确定需要获取的补充审计证据:
l 基准日之前测试的特定控制,包括与控制相关的风险、控制的性质和测试的结果;

l 期中获取的有关审计证据的充分性和适当性;

l 剩余期间的长短;

l 期中测试之后,内部控制发生重大变化的可能性;

l 我们基于对控制的依赖程度拟减少进一步实质性程序的程度(仅适用于整合审计);

l 控制环境。

我们应当确定针对期中测试过的控制在临近基准日的期间内运行情况需要获得哪些补充证据。根据控制风险的不同,我们可以通过询问或其他程序获得补充证据。例如,扩大样本对控制在剩余期间的运行有效性进行测试,或测试被审计单位对控制的监控。

在很多情况下,由于我们在期中对控制实施了充分的测试,因此仅需实施询问程序或综合运用询问和观察程序就可以对该控制是否继续有效运行提供充分的证据,尤其是那些风险不高的控制。

但是,与控制相关的风险越高,期中测试的时间与基准日间隔越久,我们就剩余期间控制运行的有效性获取证据而实施的程序越可能不限于询问,还要包括观察、检查,甚至重新执行。在这种情况下,我们只需对每个控制在剩余期间的运行情况测试1次或几次通常就足够了。

如果由于自期中控制测试之后流程发生了涉及重要控制或重要风险的重大变化,导致我们认为与控制相关的风险很高,从而决定针对控制在剩余期间的运行有效性获得重新执行程序能够提供的保证程度,我们实施重新执行程序时应执行本章6.3.1规定的最低样本规模。

5.4针对信息技术一般控制(ITGCs)和应用控制的前推程序 自动控制一旦被证明运行有效,通常不会发生运行不一贯的情况,前提是存在适当且持续有效的信息技术一般控制。如果信息技术一般控制有效且关键的自动化控制未发生任何变化,我们不需要对该自动化控制实施前推测试。但是,如果我们在期中对重要的信息技术一般控制实施了测试,则通常还需要对其实施前推测试。

如果我们认为一个或一个以上重要的信息技术一般控制无效,我们需要评估其对总体信息技术环境以及对任何依赖这些信息技术一般控制的自动化控制的持续有效性的影响。如果重要的信息技术一般控制无效,且无法获得其他替代证据以证实关键的自动控制自其上次被测试后未发生变化,我们在执行内部控制审计时,通常需要获取有关该自动控制在接近基准日的期间内是否有效运行的证据。在确定拟实施的前推测试的性质、时间安排和范围时,我们需要运用职业判断。根据对控制相关风险的评估结果,通过实施询问和观察程序有可能为依赖信息技术一般控制的关键自动控制的持续有效运行提供充分的证据。在执行整合审计时,我们需要评估对于财务报表审计,在信息技术一般控制无效的期间内是否可以依赖这些自动控制。

5.5集团内部控制审计中实施前推程序的考虑 有些集团设立了对某些流程或交易进行集中化处理的共享服务中心,这些服务中心对交易处理采取流水线作业(风险较低)。我们选取实施控制测试的样本会涉及多个组成部分,在考虑是否实地访问样本所涉及的组成部分时,我们需要作出职业判断。在这种环境下,组成部分层面的关键控制通常是常规性的,我们可以通过电话询问的方式向相关的组成部分管理层了解有关常规控制在期中测试之后的情况,无需实地访问组成部分。如果对风险较高的控制进行前推测试,或对常规控制实施询问以外的程序以验证询问结果,我们可以考虑要求被审计单位将相关支持性文件记录报送给我们,而无需实地考察。

如果是在控制非同质化的环境下(风险较高),即交易处理发生在组成部分层面,我们就需要实施询问以外的程序,因此相当一部分的前推测试可能需要在组成部分的现场实施。

六、 控制测试的范围 我们应当运用职业判断确定内部控制测试的范围。

6.1影响测试范围的因素 影响测试范围的因素很多,包括但不限于:
l 与控制相对应的可能出错项的严重程度。对于那些对财务报告准确性影响重大的控制,我们通常应扩大审计范围以确认其运行的有效性,如针对舞弊的控制,针对大量业务的手工控制,与重大关联交易相关的控制等;

l 控制运行的频率。控制运行的频率越高,所需测试的范围越广泛;

l 业务或控制的复杂性。被控制的业务越复杂,或控制的运行越复杂,以及与控制运行相关的判断具有重大性,则我们的测试范围就越广泛;

l 相关业务流程处理程序的变化。当相关处理程序发生重大变化时,我们需了解这些变化,并考虑这些变化可能对控制测试造成的影响,以确定适当的审计策略,测试范围可能会发生相应的改变;

l 当我们计划依赖内部审计人员或他人的测试结果时,内部审计人员或他人在所审计期间执行类似或相关测试的范围将影响我们测试的范围。

6.2抽样方法的一般考虑 我们需要确定一个足够将抽样风险降低到可接受水平的样本量,且抽样方法应当保证样本总体中的每个项目都有均等的被挑中的机会。

当我们从一个特定的总体中选择要测试的样本时,需要考虑以下因素:
l 审计程序的目标和样本总体的特征。我们需确定控制测试的目标,以及如何测试控制来证明其运行有效,并确定进行测试的适当的总体;

l 确保所审计期间内与控制运行相关的数据的完整性。我们通过执行一定的审计程序,以确保从中选择样本的总体是完整的;

l 选择样本的方法。我们选择样本的方法应使总体中每一个项目都有均等的被挑中的机会,如采用一组随机数字进行挑选;

l 总体的大小和构成。

6.3样本参考量 我们在测试控制的运行的有效性时,应当在考虑与控制相关的风险的基础上,确定测试的范围(样本规模)。我们确定的测试范围,应当足以使其能够获取充分、适当的审计证据,为基准日内部控制是否不存在重大缺陷提供合理保证。当控制设计有效时,穿行测试样本可以作为控制测试的样本。

6.3.1测试人工控制的最小样本规模 在测试人工控制时,如果采用检查或重新执行程序,我们测试的最小样本规模区间见下表:
控制运行频率 控制运行总次数 测试的最小样本规模区间 每年1次 1 1 每季1次 4 2 每月1次 12 2-5 每周一次 52 5-15 每天一次 250 20-40 每天多次 大于250次 25-60 在运用上表时,我们应当注意下列事项:
(1) 测试的最小样本规模是指所需测试的控制运行次数;

(2) 我们应当根据与控制相关的风险,基于最小样本规模区间确定具体的样本规模。即如果我们判断与控制相关的风险为低,则我们可选取最小样本规模区间的最小值作为控制测试的样本量;
如果与控制相关的风险为高,则我们必须选取最小样本规模区间的最大值作为控制测试的样本量;
如果与控制相关的风险为中,则我们根据职业判断在最小样本规模区间最小值和最大值内选择适当的样本规模;

(3) 上表假设控制的运行偏差率预期为零。如果预期偏差率不为零,我们应当扩大样本规模;

(4) 如果我们不能确定控制运行的频率,但是知道控制运行的总次数,仍可根据“控制运行的总次数”一列确定测试的最小样本规模。

在确定控制运行的频率或控制运行的总次数时,我们要注意拟测试的控制是否是同质的,如果控制是同质的,我们可将不同的控制作为同一个总体。例如,如果由统一的财务主管复核每个人编制的银行余额调节表,通过了解和评价财务主管的复核控制,可以保证经复核的控制是同质的,则可以将两个人执行的控制作为一个总体。

需要注意的是,我们不能将整个集团作为一个总体,将我们拟测试的控制的总量分配到集团内各个组成部分。例如,对于某个控制,我们拟测试40个样本量,如果该集团下有8个组成部分,我们不能每个组成部分选取5个样本进行测试。我们应当挑选重要组成部分,对每个组成部分选取40个样本量进行测试。

6.3.2测试应用控制的最小样本规模 信息技术处理具有内在一贯性,除非系统(包括系统使用的表格、文档或其他永久性数据)发生变动,一项应用控制应当一贯运行。对于一项应用控制,一旦确定被审计单位正在执行该控制,我们通常无须扩大控制测试的范围,但需要考虑执行下列测试以确定该控制持续有效运行:
l 测试与该应用控制有关的一般控制的运行有效性;

l 确定系统是否发生变动,如果发生变动,是否存在适当的系统变动控制;

l 确定对交易的处理是否使用授权批准的软件版本。例如,我们可以检查信息系统安全控制记录,以确定是否存在未经授权的接触系统硬件和软件,以及系统是否发生变动。

在信息技术一般控制有效的前提下,除非系统发生变动,我们只要对应用控制的运行测试一次,即可得出所测试应用控制是否运行有效的结论。

除非系统发生变动,我们通常不需要增加应用控制的测试范围。

6.4追加控制测试 我们执行财务报告内部控制审计业务通常旨在对企业内部控制自我评价基准日财务报告内部控制的有效性发表意见。如果已获取有关控制在期中运行有效性的证据,我们应当确定还需要获取哪些补充证据、证实在剩余期间(剩余期间是指期中测试所涵盖期间与整个所审计期间的差异)控制的运行情况,以获取充分、适当的审计证据来确认该项空载在整个所审计期间内运行有效。

决定是否执行追加控制测试程序以及追加控制测试的范围需要我们运用一定的职业判断。与控制相关的风险越大,追加测试的范围越大;
剩余期间越短,追加控制测试的范围就越小,所需获得的补充审计证据就越少。如果在剩余期间重大业务流程或相关控制发生了重大变化,则我们需要考虑对新的控制或补偿性控制追加测试。

七、执行内部控制测试 我们通过执行控制测试来评价我们计划依赖的每个与财务报表认定相关的控制。如果我们识别出控制例外情况,我们应评估控制例外情况造成的影响并做出适当的应对措施。

7.1执行控制测试的一般考虑 我们应通过询问、观察、检查、重新执行等方法执行控制测试,并获得充分、适当的审计证据,以确定控制的运行是否有效。

我们应对每个选定的样本执行控制测试,如果执行控制测试时发现选定的样本不适用,则应选取一个替代性样本进行测试。例如,我们在测试付款业务的授权审批控制时,选到一张已作废的支票。如果我们确定那张支票确实已作废,则应选取一个替代性样本进行测试,而不认为这是一项控制例外情况。

对于一个选定的样本或替代性样本,如果无法执行我们所设计的控制测试或适当的替代性测试,则我们应认为该样本是一项控制例外情况。例如,对于一个选定的样本,如果由于企业不能提供支持性文档而无法执行我们所设计的控制测试,则我们认为这是一项控制例外情况并需要确定适当的应对措施。

7.2审计证据质量的额外考虑 执行控制测试时,我们应评估所获得的审计证据的质量,确定这些审计证据是否能够支持我们得出的结论。

如果我们对取得的审计证据所含信息存在疑虑,或者我们从一个来源取得的审计证据与从另一个来源获得的审计证据不相符、存在矛盾之处,我们应认为这是一个潜在的控制偏差,应确定适当的审计应对措施并评估其影响。

在识别是否可能存在因舞弊引发的重大错报的控制测试中,我们应该抱着职业怀疑态度确定所取得的相关审计证据的可靠性,必要时咨询专家的意见。

如果我们有理由相信一份文档是不可信的,或者该文档已被故意修改且未告知我们,我们应该考虑这是否是一种舞弊的迹象。

八、 评价控制偏差 控制偏差是指在内部控制测试中,我们选择进行测试的某个控制没有按照控制设计的要求被有效执行或者没有被执行。我们对于在执行内部控制测试过程中发现的控制例外情况,首先应当确认其是否构成一项控制偏差。当识别出一项控制偏差后,我们应调查控制偏差的属性以及形成原因,并评价该项控制偏差对原定的审计程序和其他方面的影响。

8.1确认控制偏差 内部控制测试中可能会发现一些例外情况,我们应当执行进一步的审计程序以确认这些例外情况是否属于控制偏差。我们应当调查原先对重大业务流程及相关控制的理解是否有误。如果原先的理解有误,我们则应当:(1)记录对重大业务流程及相关控制的正确理解;
(2)重新执行穿行测试;
(3)重新执行控制测试。

一般出现以下情况时,我们可以认为在控制测试中发现的例外情况不是控制偏差:
(1) 根据进一步评价,我们确定识别出的例外情况事实上不是控制预设目标的一项偏差,即我们在初步评价时没有对例外情况作出正确的解释;

(2) 基于对控制设计的了解,我们能够通过追加执行除询问以外的审计程序获得充分、适当的审计证据,以确认该控制偏差引发的错误在可以接受的水平,即小于可容忍误差。

如果我们确定这不是一项控制偏差,则可以选取替代性样本以获得证明控制运行有效性的充分、适当的审计证据。但也应注意到,这种情形可能说明了相关控制的设计存在缺陷。

8.2确定控制偏差的属性 当控制测试中发现的例外情况被确认为控制偏差,我们应当执行进一步的审计程序以确认该项控制偏差是系统性的还是随机性的。系统性偏差是指在相似情形下,预计都会发生的错误。随机性偏差是指偶然发生的错误。

当我们遇见一项控制例外情况时,应当询问执行该项控制的人员以了解控制例外情况是如何发生的,并考虑获得其它相关的信息,例如:
l 该人员的监督者是否事先识别出了类似的例外情况;

l 管理层对于例外情况发生的真实或疑似原因的理解;

l 管理层可能意识到的除了识别出的例外情况以外的其他例外情况 (例如:一项之前被认为是有效的ITGC其实是无效的);

l 管理层在发现这些情况后的应对计划。

了解识别出的控制例外情况的性质及发生的原因能帮助我们确定在特定的范围内是否会有类似的潜在错误发生以及该项控制例外情况是否会上升成为一项重大错报。与重大账户和认定相关的控制导致的重大错报风险是一项特别风险,造成的控制例外可能对财务报表产生更重大的影响。

如果我们断定一项控制例外情况是故意造成的,则我们需考虑对特定账户及认定、重大交易流程或财务报表整体舞弊方面的影响 。

在确定一项控制偏差是系统性的还是随机性的时候,我们需考虑以下两个方面:(1)控制偏差是否具有共同特征。例如,控制偏差发生在某些特定类型的业务、地点或生产线中,或者发生在同样的人员执行该项控制时,抑或是发生在某一特定的时期。(2) 控制偏差是否是由于基础工作错误造成的。例如,控制偏差是由于错误的公式或计算造成的,或者是基于不完整或不准确的数据造成的。

如果我们确认控制偏差是系统性的,则无需再扩大样本量,而是直接将该项控制偏差视作一项内部控制缺陷。

8.3确定审计应对措施 如果我们认为一项控制偏差是随机的,则应对确定适当的审计应对措施。这些措施包括:
(1) 扩大样本量进行测试,从而确定测试发现的错误率在可容忍范围内;

(2) 直接将该项控制偏差视作一项内部控制缺陷。

如果决定扩大样本量进行测试,我们应当根据控制偏差的数量来确定扩大样本量的范围。当我们选择测试25个样本(预期没有控制例外情况)并发现了一个随机性的控制例外情况时,我们应至少增加测试15个样本(即一共测试40个样本)。同样,如果我们选择测试60 个样本(预期没有控制例外情况)而发现了一个随机性的控制例外情况,我们应至少增加测试40个样本(即一共测试100个样本)。

对于那些不是每天发生一次或多次的控制(例如,每周、每月或每季度发生一次),我们应当运用职业判断来确定增加测试的样本量或一项适当的审计应对措施以得出该项例外情况不具有代表性以及不会影响其余样本的结论。

如果我们扩大样本量后并没有识别出新的控制偏差,则认为尽管存在一项控制偏差,但测试范围内的错误率在可容忍范围内且该控制偏差不具有代表性。进而,我们可以得出该项内部控制运行有效的结论;
如果我们扩大样本量识别出了新的控制偏差,则应得出该项内部控制运行无效的结论。

九、工作底稿记录 在选择、设计内部控制时,我们需要记录计划测试的控制的性质,时间和范围,包括: l 我们的控制测试所涵盖的期间;

l 我们的控制测试所涵盖的总体;

l 我们计划选择样本和样本量的方法。

我们需描述程序将如何被执行,以帮助经验不足的小组成员有效地执行控制测试(例如,可以谈话的对象,包含所需资料的报告名称)。

在执行内部控制测试中,我们需要记录:
l 被测试的样本明细(例如:发票号码、选取测试的月份等);

l 所做程序的结果或发现以及得出的结论;

l 识别出的控制例外情况(如果有),包括产生的原因和控制例外情况的影响,以及审计应对措施;

l 当由于识别出了控制例外情况和缺陷后,原始的审计策略不再适用,因此须记录审计策略的变更或对计划的实质性程序的修改。

第十六章 了解和评价财务报告流程(FSCP) 财务报告流程,指对各种交易的结果进行汇总、复核、合并、编辑并编制成各种监管及管理财务报告的过程。我们了解和评价企业在编制会计报表时所使用的财务报告流程和相关控制活动的设计和运行。

财务报告流程将企业会计记录中反映的业务转换为会计报表和相关列报,通常作为一个单独的重大业务流程。由于财务报告流程对业务层面的很多流程都存在联系和影响,因此我们应在评估企业层面控制时同时考虑这一流程。

对于了解、记录和穿行测试财务报告流程的要求在很多方面与针对重大业务流程的的要求相同。因此,了解重大业务流程和重大列报流程的穿行测试中的指引通常适用于财务报告流程过程。

在每个审计项目中,我们应了解财务报告流程中相关发生,授权和记录记账分录的控制活动。

一、了解和评价财务报告流程过程 1.1、财务报告流程了解程度 我们对财务报告流程的理解将有助于我们识别重大错报风险和确定审计策略,包括测试编制试算平衡表和财务报表的策略。

我们应了解财务报告流程从发生点到在财务报表中的报告,包括列报。我们了解的程度取决于财务报告流程的复杂性,同时,我们也考虑到以下几方面:
l 管理层凌驾于已识别财务报告流程控制之上的风险评估。管理层由于其特殊位置,容易凌驾于已识别控制之上或者导致其他人凌驾于控制之上。财务报告流程为管理层凌驾于控制之上提供了更大的机会是因为它发生在期间结束至财务报表发布,渗透到整个财务报表,包括最终调整的编制和过账,许多涉及管理层的判断。当我们由于舞弊因素已经确定重大错报风险,我们将考虑可能对财务报告流程操作风险的影响,尤其,是否存在管理层凌驾于财务报告流程之上的更高层次的风险。管理层凌驾的检查风险越大,我们对财务报告流程的了解就更为详细,以恰当应对那些风险。

财务报告流程中可应对董事会、管理层凌驾于控制以及其他财务报告目标之上的风险的控制可能包括:
l 将会计及财务报告政策及程序标准化;

l 将经各级严格复核的合并报告资料标准化;

l 要求财务报告人员具有适当的知识及经验;

l 有效的内审职能;

l 对重大及异常交易进行控制,尤其是导致期后及异常分录的交易。

我们还会考虑审计委员会所发挥的作用和有效性,减少董事会、管理层凌驾于控制之上的风险或管理层对财务报告流程施加不当影响。

当我们识别出应对董事会、管理层凌驾于控制之上的风险的控制并确认其与审计有关时,我们将测试这些控制。

l 我们从以往审计中获得的对企业的经验和认识,包括在审计中发现错报的数量和性质。

举例说明,在上期审计我们识别许多管理层后来调整的许多错报。在当期,我们询问管理层为了防止这些错报再次发生而实施的改变,并测试这些改变是否充分。如果我们确定管理层对财务报告流程没有作出充分改变来防止错报再次发生,我们需要设计合理的程序以识别和估计错报对财务报表的影响。

1.2、对财务报告流程进行了解的起点 了解财务报告流程的起点可能因公司而异。但一个重要的原则是确定对财务报告流程进行了解的起点与各重大业务流程进行了解的终点向重合。

(1)对于常规的重大业务流程,财务报告流程的起点通常是业务分录过账到总账;

(2)对于包括会计估计得重大业务流程,财务报告流程的起点可能会计估计的整个过程,或者从会计估计的中途开始,作为了解财务报告流程的起点。例如,在计提坏账估计的业务流程里,我们识别出一位会计人员基于长账龄的预估比例来估计坏账。基于对已知的较慢付款者和有信用困难的企业的识别,他们根据计算并做出调整来判断。我们将之记录下来作为估计业务流程了解的一部分。在报告阶段的最后,财务总监会对坏账的合理性进行复核,并基于他们自己的知识和经验作出最终调整。对于上述整个重大业务流程而言,我们可以将财务总监的复核过程作为了解财务报告流程的起点,因为在期末结账时,这个流程与其他重大账户的调整在一起进行。

1.3 了解和评价财务报告流程的程序 1.3.1 了解财务报告流程的子过程 我们通过执行穿行测试,识别和记录企业用于编制会计报表所需的数据输入、执行的程序和输出数据来获得对财务报告流程的总体了解。

我们可以借助以下内容对企业的财务报告流程及子流程进行了解:
l 使用公司的书面手册或者其他指引,结合我们对财务报告流程的现有认识;

l 询问企业人员关于发生在每一重要子过程原始输入数据和最终输出数据之间的活动(包括那些可能由计算机执行的活动);

l 了解从其他过程转到财务报告流程子过程的信息。

财务报告流程包括三个子流程:
l 编制试算平衡表并进行任何必要的合并;

l 发生,授权和记录记账分录;

l 编制财务报表及相关列报。

1.3.1.1编制试算平衡表并进行任何必要的合并 在进行财务报表结账之前,企业编制试算平衡表并进行必要的合并。企业在合并财务报表时会记录合并调整分录和附加抵消分录。如果国外分支机构使用外币作为记账本位币,还包括货币换算程序。

1.3.1.2生成、授权和记录记账分录 在生成、授权和记录会计分录阶段,财务报告流程通常包括记录各种类型调整分录。例如:更正分录、关联方之间余额和交易的抵消分录、重分类调整。

在手工的、纸制为基础的总账系统下,记账分录可以通过检查明细账、分录和支持性文件来确认。然而,当计算机应用到维护总账和编制财务报表时,记账分录可能只存在于电子表格,有可能更难通过实物检查打印件来确认。

在所有审计项目中,我们都需要了解管理层在记账分录的生成、授权和记录上的控制。

1.3.1.3编制财务报表及相关列报 企业可以从以下几方面编制财务报表列报:
l 重大账户 (例如:存货账户的明细分类);

l 财务报告流程所提供的相关信息,当我们评估重大列报为财务报告流程的一部分时,在对企业财务报告流程进行了解和评价时,就已经包括了这些信息 ;

l 特别摘录信息 (例如:资本承诺和或有事项)。当我们决定将特别摘录信息作为一项重大列报,我们确认单独的重大事项列报程序,并获取对该事项(包括特别摘录信息)如何发生、记录、处理和报告,以及控制(如果适用)的了解。例如,企业可能需要列报相关资本承诺、或有负债 (例如:诉讼,长期债务和经营租赁) 和市场风险列报。在这种情况下,我们分开了解和记录重大列报流程和控制。

我们需要了解确保财务报表列报的正确性和完整性的核对程序,还需要了解经理层对这些核对程序的审核和后续跟进措施。

对于每个审计项目而言,在每个会计期间,我们都要对财务报告流程上述三个子流程执行穿行测试,来确认对其设计的了解,并识别相关的控制。

1.4 识别可能出错项 我们在财务报告流程中识别出可能出错项能够对相关财务报表认定有重大影响。

当我们识别财务报告流程的可能出错项时,我们通常从处理流程的末端开始 (如,财务报表和相关列报) 回到相关子过程的信息来源,识别可能潜在发生差错的地方。

以下是识别可能发生错误时可能用到的问题的示例:
l 从总账至试算平衡表的合并是否适当?计算是否准确? l 是否识别出所有必要的记账分录? l 是否正确及时记录了所有记账分录(尤其是非标准记账分录)? l 是否识别和适当满足了相关的列报要求? 1.5识别和了解财务报告流程中的控制活动 为了帮助识别相关控制,我们可以询问关于可能发生错误的下列问题:
l 是什么证实了已识别所有必要的记账分录? l 是什么证实了所有记账分录(尤其是非标准记账分录)是被正确及时记录的? l 如何证实从总账至试算平衡表的合并是适当的且计算是准确的? l 如何证实已识别并适当地满足了相关的列报要求? 举例说明,有关财务报告流程子过程记账分录的控制包括以下内容:
l 管理层复核记账分录(尤其是非标准记账分录);

l 管理层复核合并分录;

l 相关限制发生和授权记账分录权限的逻辑存取应用控制;

l 管理层测试输出数据;

l 在编制会计报表时对账户合并的应用程序控制;

l 管理层复核列报信息,包括追踪金额至基础数据;

l 与限制访问发生和授权记账分录相关的逻辑存取应用程序控制;

l 支持在总账和合并应用程序之间进行完整和准确的信息传递的应用程序控制;

l 管理层详细比较实际结果和预算结果,后续追踪较大金额和异常项目。

1.6 初步评价控制的有效性 在每个会计期间,我们都要对财务报告流程执行穿行测试,来确认我们对其设计的了解。

当我们识别控制以后,我们要对穿行测试过的控制的有效性作出初步评价。

针对每一个识别出的控制,无论是应用程序控制,依赖IT的手工控制还是手工控制,我们都要得出结论已识别控制是否:
有效:如果我们在穿行测试中发现,控制有效设计以减少所识别的可能发生错误,控制在执行并如设计般运行,那么我们初步评价控制为有效。

或 无效:如果我们在穿行测试中发现控制没有如我们了解那样执行及/或控制设计没能减少所识别的可能发生错误,那么我们初步评价控制为无效。

关于财务报告流程相关控制的测试和评价,请参见“第十六章 了解和评价财务报告流程”。

第十七章 了解、穿行测试、测试和评估IT一般控制 我们在测试业务层面控制时,应了解信息系统在企业中的使用及其作用,考虑信息系统环境及相关信息系统控制对于企业重大业务流程的影响,并与信息系统鉴证部门讨论确认对信息系统环境内部控制的了解、测试和评价程序。

一、信息系统审计范围界定 我们在了解重大业务流程的过程中,需识别贯穿重大流程的交易的生成、记录、处理和报告全过程中涉及到哪些信息系统,并在业务流程的哪个、哪些环节或者全过程中提供了支持。在了解完所有重大业务流程及其相关的信息系统环境后,建立重大业务流程和相关信息系统的匹配关系表,并填制《信息系统应用规模问卷》,结合《信息系统环境复杂度判断指引》(附件一)对信息系统环境的复杂程度进行评估。信息系统环境复杂程度被界定为复杂、或者我们根据审计风险评估认为有必要的,应当要求信息系统鉴证部门的介入,执行信息系统控制测试。

信息系统鉴证部门在确定信息系统环境控制测试的范围时,需考虑信息系统对重大业务流程的影响程度。通常,与被纳入审计范围的重大业务流程相关的信息系统都应纳入审计范围。此外,在了解重大业务流程控制的过程中,应当了解该流程中电子表格的使用情况,并评价电子表格的使用对重大业务流程的影响,影响程度为复杂及以上的一般也应纳入审计范围。

二、信息系统环境中的控制测试 信息系统环境中的控制测试主要包括信息系统一般控制测试和信息系统应用控制测试两部分。信息系统的一般控制是指支持企业信息技术管理和系统运作、保障应用控制有效持续运行的基础性控制。信息系统应用控制是指由应用系统自动运行而无需或几少需要人工干预、与重大业务流程的交易或财务数据的生成、记录、处理和报告等流程相关的、用于业务流程相关控制目标的信息系统控制。信息系统一般控制的有效运行将为信息系统应用控制的持续运行提供支持。

2.1 信息系统审计策略的确定 在确定信息系统的审计策略时,按整体审计策略执行以下程序:
l 当计划依赖信息系统环境控制时,识别、了解、穿行测试,测试和评价信息系统环境控制;

l 如果计划不依赖信息系统一般控制,而是计划依赖系统应用控制、依赖信息系统的手工控制或其他电子审计证据,则执行直接测试程序。这些程序包括:执行测试程序,获取影响系统应用控制和依赖信息系统的手工控制在整个审计期间持续有效地运作,并在当期没有重大变化的合理保证,并需判断仅靠实质性程序是否能充分确定基础电子数据的准确性和完整性;

l 如果不依赖信息系统一般控制,且不执行以上描述的直接测试程序,则不能依赖系统应用控制、依赖信息系统的手工控制或相关电子审计证据,并应当设计和执行其他审计程序。

在确定是否依赖信息系统一般控制前,我们需考虑管理层是否设计和实施了有效的信息系统一般控制,使得能够合理保证当计划对相关重大交易流程和重大披露流程进行依赖控制的策略时,信息系统一般控制能够有持续有效运行的基础;
一旦确认依赖控制策略并在满足测试结果之后,便可得出依赖信息系统一般控制的审计结论。有效的信息系统一般控制有助于为确认电子审计证据的完整性和准确性提供保障,并形成审计证据。

对信息系统一般控制依赖程度的策略取决于对多项因素的考虑和判断,包括以下内容:
l 每个信息系统中相关应用控制和依赖信息系统的手工控制的数量。被识别和依赖的系统应用控制和依赖信息系统的手工控制的数量越多,依赖系统一般控制就越重要;

l 每个信息系统应用程序中相关电子审计证据的普遍性。在评估控制测试和实质性程序中使用的电子审计证据时,应当考虑需要依赖的电子审计证据程序的范围。赖以形成审计结论电子审计证据越是普遍、大量,对系统一般控制的依赖程度越高;

l 上期审计执行过程中信息系统一般控制的测试结果。如果信息系统一般控制在上期审计中被评估为无效,且根据我们对管理层的询问,表明当期并未实施补救措施,则我们可能决定不对相关的信息系统一般控制进行测试,而是执行直接测试程序更为有效。

2.2 信息系统一般控制测试 信息系统一般控制根据其控制领域,可分为信息部门组织架构管理、系统开发及程序变更管理、系统运营管理和系统安全管理四大类。对于纳入审计范围的信息系统,我们和信息系统审计师需识别各领域对应的控制活动,并在每一个审计期间执行独立的穿行测试。

对信息系统一般控制的审计过程包括:1)识别信息系统一般控制;

2)测试信息系统一般控制;
3)评价控制测试的结果。

1)识别信息系统一般控制 信息系统一般控制按照实行的手段性质,可分为自动执行的控制和手工执行的控制。我们和信息系统审计师可以通过穿行测试识别基于风险评估而实施的关键一般控制活动。在执行穿行测试的过程中,我们和信息系统审计师可以通过访谈适当人员或者现场观察,以及并通过获取和检查相关系统配置、文件记录获得对信息系统一般控制设计的了解,并对控制是否被有效设计并已付诸实施得出有效或者无效的结论。

穿行测试可以通过以下方法执行:
l 询问企业的相关管理人员和操作被测试控制的执行人员,了解信息系统一般控制活动的制度内容和流程程序,并依据相应的风险评估识别实现控制目标的控制活动。穿行测试的范围应当与信息系统审计的总体范围相一致;

l 根据对信息系统一般控制风险和控制活动的了解,选取对该控制活动进行穿行测试的样本;

l 评估获取的样本,确认该控制设计的有效性和是否已付诸实施。如果穿行测试确认信息系统一般控制的设计可以支持信息系统一般控制的目标,且通过样本被验证为已经实施,那么信息系统一般控制的设计可以被评价为有效;
如果我们在穿行测试中发现信息系统一般控制没有被有效设计,无法支持相关信息系统一般控制的目标,或尚未被确认已经实施运行,那么信息系统一般控制被评价为无效。

穿行测试期间若识别出信息系统一般控制的设计发生重大变化时,我们和信息系统审计师应当评估变化的性质,以判断是否要对变化前和变化后的控制活动都进行穿行测试。

2)测试信息系统一般控制 对于设计有效的控制活动,我们和信息系统审计师通过执行有效性测试程序,评估测试结果,从而得出已识别信息系统一般控制是否在审计期间内持续有效运行的结论。

信息系统一般控制测试程序的范围、性质、时间的确定依赖我们和信息系统审计师的职业判断,综合考虑控制目标、控制性质、控制实施的期间、对一般控制的依赖策略、企业信息科技运行的实际情况等因素。

我们和信息系统审计师为信息系统一般控制是否在整个审计期间内持续有效运行提供合理保证,应当根据信息系统审计计划阶段所确定的范围和穿行测试的结果,选择那些能够达到一般控制目标的关键控制作为测试范围,而不需要测试所有的一般控制活动。对于不执行控制测试程序的内容,需书面说明如何通过其他补偿性手段验证信息系统一般控制的控制目标得以实现。

信息系统一般控制的测试程序的设计因一般控制的实现手段的性质而不同。手工执行的控制的有效性测试通常通过抽样测试的形式,需要通过执行相关程序验证用于选择样本的样本总量的完整性,同时确认测试所涵盖的期间需与整体财务报告内部控制审计所涵盖期间一致。对于信息系统一般控制中自动执行的控制的有效性测试,考虑到其自动性质和样本的特殊性,可以在设计有效性测试中通过审阅系统参数设置等方式得到验证。对手工执行的控制有效性的测试通常没有时间敏感性的靠量,但由于自动执行的控制的时点性特征,我们和信息系统审计师应当考虑执行测试程序的时间。原则上,自动执行的控制应当在审计期间内完成执行,而不是在超越审计期间的时间结点上进行测试。

有效性测试可以通过以下方法执行:
l 对于设计有效的系统一般控制活动,确定测试涵盖的期间和测试范围。信息系统一般控制应予以测试的期间因其性质、运行频率以及企业适用的特定政策的不同而有所分别;

l 测试期间和范围确定后,获取测试期间内的被测试控制运行样本总量。用于选取样本的样本总量和用于支持自动控制的证据应以系统化方式从相关系统和技术来源直接生成。如果企业无法产生系统生成的信息,将很有可能需要额外程序来验证所提供信息的完整性和准确性;

l 获取并评估抽样样本,确认控制活动的执行有效性。如果有效性测试确认信息系统一般控制得以有效执行,以支持信息系统一般控制的目标,且经过验证在评价期间内一贯运行,那么信息系统一般控制执行被评价为有效;
如果我们在测试中发现信息系统一般控制没有在测试期间内有效执行,以支持相关信息系统一般控制的目标,那么信息系统一般控制执行被评价为无效。

当通过有效性测试程序发现实际情况与穿行测试中的了解和记录存在差异时,我们和信息系统审计师需补充和修正在了解和穿行测试阶段所作的记录,以反映信息系统一般控制的实际情况。

对测试过程中发现的例外,我们和信息系统审计师应当评估该例外的性质、出现频率、对控制目标达成可能产生的直接影响以及其他因素判断该例外属于例外还是控制失效的缺陷,并设计执行相对应的进一步程序。

3)评价控制测试的结果 我们和信息系统审计师通过对信息系统一般控制测试的结果的评价,来判断信息系统一般控制的设计和执行有效性,并就所识别的信息系统一般控制缺陷对控制目标的达成所产生的影响进行评估。信息系统一般控制缺陷是指为达到一般控制目标应当有效设计并执行的控制没有被有效设计、实施、或在测试期间内有效执行的控制例外。

在确认和评价信息系统一般控制缺陷的影响时,应当采取综合评估的方法。首先应当考虑识别和测试信息系统一般控制中的其他补偿性控制。如果补偿性信息系统一般控制经测试验证为有效,那么同样能够帮助实现信息系统一般控制的控制目标;
若补偿性信息系统一般控制经测试验证为无效,我们和信息系统审计师需要识别和测试业务流程中的相关控制中的补偿性控制。如果补偿性业务流程控制经测试验证为有效,那么同样可能帮助实现信息系统一般控制的控制目标;
若补偿性业务流程控制经测试验证为无效,我们和信息系统审计师需要判断是否需要追加审计程序。如果补偿性控制和其他追加的审计程序仍然无法弥补信息系统一般控制的缺陷,以支持达到控制目标,我们和信息系统审计师需要就该缺陷的影响程度对该缺陷的缺陷、重要缺陷或重大缺陷级别判断作出确认和结论。

2.3系统应用控制测试 信息系统应用控制通常嵌套在业务流程控制中,但依赖信息系统得以实现,借助实时校验/编辑检查、系统配置、系统自动计算、数据接口等表现形式。由于系统应用控制测试与重大业务流程紧密相关,因而应用控制的识别需要我们在了解重大业务流程的过程中进行关注,信息系统审计师应当协助进行识别。

关键应用控制的了解识别、测试和评估程序与方法与信息系统一般控制,特别是信息系统一般控制中自动执行的控制评价的程序与方法类似或一致。关键应用控制中依赖信息系统的手工执行控制的评价与业务流程中手工执行控制的评价方法一致。

三、控制测试底稿 信息系统内部控制审计工作底稿包括信息系统问卷、ITGC信息系统测试底稿和有效性测试底稿(见附件二 信息系统环境控制测试底稿),底稿的内容需包含但不限于以下内容:1)背景资料信息收集和关键流程描述;
2)风险分析、控制目标、控制点描述;
3)穿行或有效性测试关键控点的程序描述和支持性证据的分析描述;
4)控制测试结论。

信息系统审计底稿必须遵循事务所的质量控制规范,底稿质量控制遵守下列程序:1)信息系统审计底稿,外勤人员负责实施程序,编制底稿。该外勤人员的信息系统审计主管负责审阅底稿。2)根据项目的风险高低和客户敏感程度,底稿应当经由信息系统审计经理、高级经理或合伙人复核。3)根据事务所规定,信息系统审计底稿应当经过审核部门复核。审核部授权不必复核信息系统底稿的,遵循审核部规定。

附件一 信息系统环境复杂度判断指引 评估信息系统的复杂程度时,建议考虑以下内容作为复杂信息系统的评价依据:
(1)客户自己实现信息系统的程序设计和开发 编程或开发包括为满足需求而自行编写自己的会计软件或者修改打包的系统。编程包括创建或修改会计软件的功能(核心逻辑)。开发是指修改报告、宏和脚本的应用和增加应用程序的功能。

l 创建‘bolt – on’ (螺栓)程序被认为是编程或开发;

l 修改报告或者创建宏被认为是编程或开发;
和 l 终端用户计算被认为是编程或开发。

客户自己实现信息系统编程的或开发的信息系统被认为是复杂的。

(2)信息系统以高度自动化的方式处理事务,很少或没有人为干预 很少或没有人工干预的高自动化情形的情形包括:
l 使用IT根据预定义的规则对业务交易的某个或某些环节进行自动处理,比如采购什么、采购数量、按照系统根据确认的货物接收和支付条件产生的应付账款。这种使用模式在医院和生产型单位的使用EDI(电子数据交换)行业运作能够中非常普遍;

l 实体通过电子媒介和使用IT给客户提供服务,如:创建提供的服务日志给客户;
为服务发起和处理账单;
自动记录金额。实例可能是ISP(Internet服务提供商)、电信的基于web的服务(例如卖订阅去访问或下载web内容);

l 实体为产品或服务通过IT提供支付服务,如客户通过信用卡或电子支付(如PayPal),处理并自动记录如金额。这种实例可能是大学(课程注册和支付),托管服务,在线游戏和通过Internet出售商品;

l 用IT提供收取佣金或交易手续费服务。实体的例子可能有信用卡结算服务(转换),投资商和在线拍卖;

l 实体依赖于IT确保交易获适当授权;

l 实体通过扫描原始源文件(如供应商发票)实现无纸化办公。

高度自动化的处理系统很少或没有人工干预被认为是复杂的。

(3)不同信息系统间存在各种交易或报告数据的接口 接口是指各相对独立的IT应用或数据库系统互相集成,交换和传递业务交易或其他数据,运作像是一个系统的系统运行手段和方式。不同IT系统并不是由供应商提供集成,但接口已经建立在客户化的基础上或手动执行。例如,在电子商务环境下,重要的是从一个实体的网上商店产生的所有交易都能在实体的内部系统适当处理,如库存管理系统、财务会计系统等(通常称为“后台”系统)。某些网络商店通过集成或接口自动实现网络交易系统与内部后台系统的数据对接,也有一些实体不是自动与这些内部系统整合和集成,或记录交易,会计人员可以通过从网络商店完成打印报告后手动记录到其他系统。相应的可以使用专门为这个目的的应用程序,这些应用通常被称为中间件。

当实体使用数据仓库时接口也是相关的。数据仓库是现行的会计系统交易的汇总的拷贝(通常是每天),可以用作管理、销售或其他用途去获取信息。当数据仓库在使用时,一般提供给我们审计师的数据来从数据仓库而不是生产的系统。因此我们需要确认数据仓库中收到的是正确的来自于源系统的原始数据。

集成到自动化的或者使用数据仓库的信息系统被认为是复杂的。

(4)信息系统使用批处理作业调度 批处理最常见在大型机计算环境。一些中型系统和基于PC机的系统也可能利用批处理。批处理的特征是使用一套规则处理输入数据(批)于特定的序列下的集中化控制和管理。这种集中化的管理通常由IT人员按照批处理的逻辑顺序监控系统进行执行。批处理作业通常在没有人工交互的情况下从建立到完成。所有输入数据通常由数据录入员输入作为一个单独的阶段。在大多数情况下,批处理需要按照特定的顺序运行。处理失败的数据常报告在编辑报告上。失败的批处理作业步骤会自动或认为重新提交进行系统处理。常见的使用批处理操作的行业包括银行、保险、证券等。

使用批处理作业调度系统操作的被认为是复杂的。

(5)实施新信息系统或系统转换 实施新系统是指安装、上线全新的软件系统,新系统不一定取代现有存在的业务或财务系统。新系统的实施,对业务和财务报表一般会产生重要影响,被认为是复杂的。

系统转换出现在客户在当年将软件从一个厂商到另一个厂商(如从金蝶转到用友),或同一个厂商的一个软件产品到另一个产品(如从Microsoft 的Great Plains到 Navision)。系统转换被认为是复杂的。

当客户从同一个厂商的同一个生产线的同一个软件升级到新版本时,根据被升级的版本级数 可能不被认为是复杂的。

(6)使用单点登录或集中权限管理系统 单点登录技术是一个用户输入一次密码或其他认证方式,通常当他们登录到网络后,哪些密码可以自动登录到其他系统,而不必重复提供密码或其他认证的技术。集中权限管理系统是在该系统内统一设定和配置用户在其他所有被授权使用的应用和数据库系统中的权限的信息系统,从而免除了在每个系统中单独为每个用户设立权限的操作任务。

单点登录和集中权限管理系统被认为是复杂的。

(7)其他考虑 上述的情形不是穷尽的,在判断一个系统环境是否复杂时,应当综合考虑其他实际因素。我们可以要求信息系统审计人员协助进行判断。复杂的信息系统环境中的审计应当有信息系统审计人员的介入和参与。不复杂的信息系统环境中执行的审计,处于风险判断和其他因素的考虑,我们仍然可以要求信息系统审计人员的介入和参与。

附件二 信息系统环境控制测试底稿 第十八章 评价内部控制缺陷 我们基于所执行的审计工作来确定是否识别出了一项或多项内部控制缺陷。如果某项控制的设计、实施或运行不能及时防止或发现并纠正财务报表错报,则表明内部控制存在缺陷。如果企业缺少用以及时防止或发现并纠正财务报表错报的必要控制,同样表明存在内部控制缺陷。

一、控制缺陷的分类 内部控制缺陷包括设计缺陷和运行缺陷。

设计缺陷是指缺少为实现控制目标所必需的控制,或现有控制设计不适当,即使正常运行也难以实现预期的控制目标。

存在下列情况之一的,认定为设计缺陷:
l 由于缺少控制或控制设计不适当,导致不能实现既定的控制目标;

l 关键控制点缺乏有效的控制措施。

运行缺陷是指设计适当的控制没有按设计意图运行,或者执行人员缺乏必要信息或胜任能力,无法有效实施内部控制。

存在下列情况之一的,认定为运行缺陷:
l 未执行有关的控制措施;

l 超越授予的权限;

l 无法及时提供有效实施内部控制的证据。

根据内部控制缺陷的影响程度将其分为重大缺陷、重要缺陷和一般缺陷:
重大缺陷,是指内部控制中存在的可能导致企业严重偏离控制目标(例如不能及时防止或发现并纠正财务报表出现重大错报)的一项控制缺陷或多项控制缺陷的组合。

重要缺陷,是内部控制中存在的,严重程度低于重大缺陷但仍有可能导致企业偏离控制目标的一项控制缺陷或多项控制缺陷的组合。重要缺陷的严重程度低于重大缺陷,不会严重危及内部控制的整体有效性,但也应当引起董事会、经理层的充分关注。

一般缺陷,是内部控制中存在的除重大缺陷、重要缺陷之外的其他缺陷。

二、 内部控制缺陷评价时的一般考虑 我们评价所有已识别的控制缺陷的严重性,从而就以下方面得出总体结论:截至企业内部控制自我评价基准日,这些控制缺陷单独或连同其他缺陷是否构成重要缺陷或重大缺陷。

我们、管理层、内部审计和其他第三方都有可能发现控制缺陷。我们在评价中要考虑所有的控制缺陷,无论这些缺陷由哪一方发现。该评价过程要求我们运用大量的职业判断并且需要项目负责人的参与。

我们在评估内部控制缺陷的严重程度时,主要考虑以下四点:
2.1衡量缺陷严重性的标准 以控制不能防止或发现并纠正账户或列报发生错报的可能性和导致潜在错报金额的大小作为衡量缺陷严重性的标准。内部控制缺陷的严重程度并不取决于是否实际发生了错报,而是取决于是否存在不能及时防止或发现并纠正潜在错报的可能性。换句话说,如果企业财务报表存在错报,必然表明该企业的财务报告内部控制存在缺陷;
但是,如果企业的财务报表不存在错报,也不一定表明该企业的财务报告内部控制就不存在缺陷。

2.2充分考虑缺陷组合 我们应当关注和分析缺陷组合风险。缺陷与偏离控制目标可能性之间不仅存在着一一对应关系,还存在着缺陷组合的风险叠加效应。内部控制中的一项缺陷本身可能不一定代表一项重大缺陷。然而,多项影响同一个重大账户、披露或相关认定的缺陷组合可能增加重大错报风险并造成重大缺陷。

2.3补偿性控制 补偿性控制是其他正式或非正式的控制对某一控制缺陷的遏制或弥补。在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时,我们应当评价补偿性控制的影响。在评价补偿性控制是否能够弥补控制缺陷时,我们应当考虑补偿性控制是否有足够精确度以防止或发现并纠正可能发生的重大错报。

2.4考虑企业内部控制自我评价的结果 我们在确定是否存在重要缺陷或重大缺陷时,还需考虑企业内部控制自我评价的结果。

我们应当评价企业是否执行了足够的评估工作从而得出是否所识别的缺陷构成重要缺陷或重大缺陷的结论。如果企业没有进行足够的评估工作或未完成该评估,我们无法对财务报告内部控制的有效性发表意见。

三、 财务报告内部控制缺陷评价标准 确定一项内部控制缺陷是否为一项重大缺陷取决于职业判断。在做出这项判断时,我们应考虑一项财务报表层面的重大错报发生的可能性及错报潜在影响程度的大小,这不仅取决于一项错报是否已确实发生,而且还取决于一项错报是否很可能会发生。

在评价控制缺陷时,我们要考虑到不是所有控制缺陷都可以被量化为某个由于控制缺陷而导致的错报金额,因此我们对控制缺陷进行评价时需同时考虑定性和定量的因素。定量标准根据缺陷可能造成潜在错报与被审计单位重要性水平的关系确定;
定性标准主要根据缺陷的性质的严重程度等因素确定。

3.1定量标准 根据缺陷可能导致的财务报告错报的重要程度,并借鉴了财务报表整体重要性水平来确定缺陷认定标准:
重大缺陷 重要缺陷 一般缺陷 错报或潜在错报 被审计单位财务报表整体重要性水平≤错报或潜在错报 被审计单位财务报表整体重要性水平的50%≤错报或潜在错报<被审计单位财务报表整体重要性水平 错报或潜在错报<被审计单位财务报表整体重要性水平的50% 3.2定性标准 出现以下情形的(包括但不限于),一般应认定为财务报告内部控制重大缺陷:
l 重大偏离预算;

l 董事、监事和高级管理人员重大舞弊;

l 公司审计委员会和内部审计机构对内部控制的监督完全无效;

l 因会计差错导致的监管机构处罚;

l 出现以下情形的(包括但不限于),应当至少被认定为“重要缺陷”,以及存在“重大缺陷”的强烈迹象:
l 对以前发表的财务报表进行重报,以反映对错误或舞弊导致的错报的纠正;

l 注册会计师发现公司当期的财务报表重大错报,但该错报没有被公司财务报告的内部控制发现;

l 关键岗位人员舞弊;

l 合规性监管职能失效,违反法规的行为可能对财务报告的可靠性产生重大影响;

l 已向管理层汇报但经过合理期限后,管理层仍然没有对重要缺陷进行纠正。

四、 非财务报告内部控制缺陷评价标准 我们采用定性的标准对非财务报告内部控制缺陷进行认定。定性标准主要根据缺陷潜在负面影响的性质、范围等因素确定。

非财务报告内部控制缺陷定性标准的考虑因素见下表:
缺陷等级认定标准 影响的严重程度 重大缺陷 严重影响 l 严重违反法律、法规或有重大诉讼;

l 重要业务缺乏制度控制或制度系统性失效;

l 致使重大资产的安全性无法得到充分保障(包括信息与资料安全);

l 董事、监事和高级管理人员流失严重;

l 公司被媒体频频曝光重大负面新闻,波及面广;

缺陷等级认定标准 影响的严重程度 l 内部控制的重大缺陷未得到整改。

重要缺陷 介于重大缺陷和一般缺陷之间 l 违反法律、法规造成一定影响,并造成权威机构检查;

l 重要业务制度或系统存在缺陷;

l 可能影响资产的安全性保障;

l 关键岗位人员流失严重;

l 媒体出现负面新闻,波及局部区域;

l 内部控制的重要缺陷未得到整改。

一般缺陷 一般 l 违规影响很小,并随时可以纠正;

l 一般业务制度或系统存在缺陷;

l 整改后可以使业务流程、控制或运营、资产安全保管得到提高的缺陷;

l 一般岗位业务人员流失严重;

l 媒体出现负面新闻,但影响不大;

l 内部控制的一般缺陷未得到整改;

缺陷等级认定标准 影响的严重程度 l 存在的其他缺陷。

财务报告缺陷和非财务报告缺陷其实难以做严格的区分,例如内部环境、重大安全事故等。因此,在制定标准时,应本着是否直接影响财务报告的原则来区分。另外,重大缺陷、重要缺陷的界定是相对的,对于有下属单位的集团公司,如果下属单位存在重大缺陷,并不能表明集团公司存在重大缺陷,但至少应作为重要缺陷向董事会、管理层汇报,而下属单位的重要缺陷则应视对整个集团的影响及普遍性程度确定是否属于集团重要缺陷,但下属单位重要缺陷至少应该向经理层汇报。

五、 内部控制缺陷评价程序 在评价控制缺陷时,我们应当运用职业判断,考虑衡量定量和定性因素。同时要对整个思考判断过程进行记录,尤其是详细记录关键判断和得出结论的理由。

我们采用下列步骤评价控制缺陷的严重程度:
第一步:考虑发现的控制缺陷是否与一个或多个财务报表认定直接相关。(例如,具有广泛性影响的企业层面控制和特定信息技术一般控制的控制缺陷可能与某一财务报表认定直接相关)。一般而言,财务报告内部控制与财务报表认定的关系表见下图:
与财务报表认定直接相关 l 多为业务层面控制,包括人工或自动控制 l 与财务报表认定直接相关的企业层面控制缺陷,例如,年度财务报告的编制、经营活动分析等;

l 支持一个或多个财务报表认定相关的信息系统一般控制 与财务报表认定间接相关 l 信息系统一般控制 l 与财务报表认定不直接相关的企业层面控制,如人力资源,企业文化等 一些企业层面控制和信息系统一般控制也可能与一个或多个财务报表认定直接相关。例如,具有一定精确度的经营业绩复核足以防止或发现重大错报,因此被认为与财务报表认定直接相关,属于直接的企业层面控制。此外,一些信息系统一般控制同时也是应用控制,能够直接支持财务报表认定。如在财务报告流程中设置不适当的访问权限、财务报告流程方面的职责分工不足、对财务数据进行直接访问等。我们在评价与财务报表认定间接相关的控制缺陷的严重程度时,应当考虑由该缺陷(或同类缺陷的汇总影响)导致出现其他控制缺陷的可能性及严重程度。

第二步:确定一项缺陷或多项缺陷组合是否可能不能防止或发现并纠正财务报表错报。判断内部控制缺陷的严重程度取决于该缺陷是否已经导致的错报金额或可能导致的潜在错报金额。因此,我们在分析财务报告内部控制缺陷的严重程度时需要考虑:1)内部控制缺陷导致账户余额或列报错报的可能性;
2)一个或多个内部控制缺陷的组合导致潜在错报的金额大小。

我们需要判断控制缺陷(单独或汇总)导致的财务报表错报的“合理可能性”,并在工作底稿中详细记录分析的过程和判断的依据。对“合理可能性”的判断可以依据定性分析,不需要定量计算“可能性”的大小。

我们在评价一个缺陷或缺陷汇总是否存在合理的可能性导致财务报表错报时,需要考虑的因素包括但不限于:
l 账户,列报和相关认定的性质。比如,非常规交易和关联交易可能涉及较大风险。

l 相关资产或负债对损失或舞弊的敏感程度,即越敏感,风险就越大。

l 确定涉及金额所需判断的程度及其主观性和复杂性,即所需判断越多(如与会计估计有关),主观复杂性越强,则风险也越大。

l 在控制执行有效性测试中发现的控制偏差的产生原因和频率。

步骤三:此缺陷(或缺陷汇总)可能导致的错报是否对财务报告构成重大影响。我们在分析了内部控制缺陷导致财务报表错报的可能性后,还需要分析其导致错报的重大程度。我们需要对控制缺陷或缺陷汇总可能导致的财务报表错报进行估算,与财务报表重要性水平比较,判断内部控制缺陷导致的错报是否对财务报告构成重大影响。

我们在评估缺陷的严重程度时, 我们需要分别从定量、定性的角度考虑相关影响因素。从定量的角度出发,考虑是否可能导致财务报表错报,该错报在金额上对财务报表具有重大影响,且不能被一项控制或多项控制组合所防止或及时发现并纠正。从定性的角度出发,考虑一项缺陷或缺陷组合导致财务报表错报的严重程度的相关因素,以及针对依赖该信息进行决策的人员与其需要考虑的因素。

第四步:评价是否存在补偿性控制并以一定的精确度有效运行,足以防止或发现并纠正中期或年度财务报表重大错报。在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时,我们应当评价补偿性控制的影响。在评价补偿性控制是否能够弥补控制缺陷时,我们应当考虑补偿性控制是否有足够的精确度以防止或发现并纠正可能发生的重大错报。

为了得出补偿性控制有效运行的结论,我们首先应当分析该补偿性控制是否存在一定程度的精确性,其次,我们应对补偿性控制开展必要的测试验证工作,获取并记录补偿性控制运行有效的证据。需要注意的是,由于某些控制缺陷发生在企业的组成部分层面,而相关的补偿性控制可能存在于集团层面。因此,在对补偿性控制进行测试时,我们应考虑补偿性控制执行的层面及其对测试的影响。集团审计小组应与组成部分审计小组及时开展充分、有效的沟通,及时识别补偿性控制并进行相应的测试,以便准确判断补偿性控制是否可以降低财务报表错报的可能性和重要性。

第五步:评价该缺陷的重要程度是否足以引起负责监督企业财务报告的人员的关注。本步骤中的财务主管负责人是指企业中负责财务报告监督和管理工作的中高层管理人员(如财务总监、总会计师、首席财务官等)以及董事会成员和监事会成员。财务主管负责人对内部控制缺陷的关注点一般包括但不限于:
l 内部控制缺陷在前期已存在,并且被确认为重要缺陷或重大缺陷;

l 内部控制缺陷存在于企业新兴业务或高风险业务中;

l 内部控制缺陷存在于董事会/经理层高度关注的领域,如特殊单位或敏感业务。

在评估财务报告内部控制缺陷的重要程度时,我们应该确定企业财务主管负责人是否有充分合理的信心认为企业的交易得到适当的记录、财务报告编制符合企业会计准则和披露要求。如果我们判断一个谨慎的财务主管负责人在企业存在该内部控制缺陷(或缺陷汇总)时,仍然保持对财务报告和相关信息真实准确的信心,且该信心是充分合理的,则我们可以认为该缺陷(或缺陷汇总)是一般缺陷;
反之,我们可以认为该缺陷 (或缺陷汇总)至少构成重要缺陷,并进而按照步骤六的要求评价该缺陷(或缺陷汇总)是否构成重大缺陷。

第六步:考虑一个足够知情的、有胜任能力的、并且客观地管理人员是否会认为该控制缺陷(或缺陷组合)为重大缺陷。“足够知情的、有胜任能力的、并且客观地管理人员”是指一个具有一定知识和能力的第三方人员(如监管机构人员、投资人)在和我们取得同样的内部控制缺陷相关信息时,是否会认为该控制缺陷(或缺陷汇总)会导致财务报告的重大错报。如果是,则该缺陷构成重大缺陷;
反之,则为重要缺陷。

第七步:在考虑所以事实情况(包括定性因素)后,判断重大审计调整、更正已经公布的财务报表等情况是否并不表明存在控制缺陷。当企业发生重大审计调整、更正已经公布的财务报表时,通常会认为控制失效。但是,在某些情况下,重大审计调整、更正已经公布的财务报表等事项可能由特殊的背景和环境(如会计政策调整)引发的,而不一定是由控制缺陷导致的。如果存在充分的证据表明企业管理层采取了下列措施:已建立控制收集处理相关信息并按会计准则的要求记录和披露相关信息,并且有关控制设计和运行有效,则我们可以合理地认为该控制并未失效。但是,实物中这种不是由于控制缺陷造成的特殊事项极少发生。因此,我们对这些特殊事项的评估必须基于每家企业在特定的环境和时点上作出慎重考虑和分析。

六、 内部控制缺陷评价的特殊考虑 6.1 对信息系统一般控制的考虑 信息系统一般控制缺陷并不一定直接导致财务报表错报。但是信息系统一般控制缺陷往往会对应用系统层面的控制的有效性产生负面影响,从而增加财务报表错报的可能性。因此,对信息系统一般控制缺陷的评估应考虑应用系统层面的控制缺陷的情况。如果应用控制的缺陷与信息系统一般控制中的缺陷有关或由它所引起,则信息系统一般控制缺陷应与应用控制中的缺陷结合起来评估,并且通常与应用控制缺陷的重要性分类是一致的:
(1)如果应用控制中的重大缺陷与信息系统一般控制中的缺陷相关或由它所引起,说明该信息系统一般控制缺陷也是重大缺陷;

(2)如果应用控制中的重要缺陷与信息系统一般控制中的缺陷相关或由它所引起,说明该信息系统一般控制缺陷也是重要缺陷;

(3)如果应用控制缺陷(仅是一般缺陷)与信息系统一般控制中的缺陷有关或由它所引起,通常说明该信息系统一般控制缺陷也是一般缺陷。

我们在评价信息系统一般控制缺陷导致财务报表错报可能性时,应考虑的因素包括但不限于:
(1)缺陷的性质和普遍性,例如,缺陷只与系统开发过程中的某个节点相关还是与整个过程相关;

(2)该控制与应用系统和数据的关联程度;

(3)应用系统和数据中存在缺陷的普遍性:
l 与信息系统一般控制缺陷有关或由其引起的应用控制缺陷的数量;

l 重大账户及相关业务流程中的控制受信息系统一般控制缺陷影响的程度;

l 与信息系统一般控制缺陷相关的应用控制的数量。

(4)企业系统环境的复杂性和缺陷会负面影响应用控制的可能性;

(5)信息系统一般控制缺陷是否与那些容易受到损失或舞弊影响的账户和列报的应用系统和控制相关;

(6)在信息系统总体内部控制运行有效性方面已知或已发现的控制偏差的原因和频率,以及受此影响的应用系统产生财务报表错报的风险;

(7)过去年度及当年发生的错报是否与受到信息系统一般控制缺陷影响的应用控制有关。

由于信息系统一般控制支持应用控制的持续有效运行。因此,当我们发现信息系统一般控制存在缺陷时,必须考虑与该信息系统一般控制缺陷相关的应用控制或者依赖于信息系统一般控制的手工控制测试的性质、时间和深度,对审计计划进行必要的调整。

6.2 对企业层面控制缺陷评价的考虑 某些企业层面控制的缺陷并不直接导致财务报表错报,但是会增加流程层面错报的可能性。因此,对于企业层面控制缺陷的评估应基于这些缺陷导致错报的可能性,而不采取量化的方法。

我们在评价企业层面控制缺陷导致财务报表错报可能性时,需要考虑如下因素:
l 缺陷在企业中的普遍性;

l 控制缺陷对内部控制要素(例如,内部环境、风险评估等)组成部分的相对重要性;

l 过去年度及当年发生的错报是否与广泛性控制缺陷有关;

l 是否增加舞弊的可能性(包括管理层越权);

l 控制运行有效性方面已知的或已发现的控制偏差的原因和频率;

l 缺陷可能导致的未来后果。

6.3 与其他缺陷一同进行评价 如果针对某个账户或列报存在多个内部控制缺陷,那么即使其中任何一个内部控制缺陷都不会直接导致财务报表重大错报,但是这些内部控制缺陷共同发挥作用,可能使得财务报表重大错报没有被及时预防或发现。因此,我们在对单个缺陷进行评估后,还应该根据其对应的账户、列报以及内部控制组成要素(例如内部环境、风险评估等)对缺陷进行汇总,以此确定汇总后的缺陷是否构成重要缺陷或重大缺陷。

6.4 内部控制缺陷评价的其他关注领域 我们只需要对企业财务报告内部控制总体有效性发表意见,因此,对于存在多个组成部分的企业,我们的缺陷评价应在总部层面统一进行。这是由于:
l 每个组成部分的内部控制缺陷可能导致的财务报表错报对单独的组成部分重要,但是在总部层面合并后并不重要;

l 每个组成部分的内部控制缺陷可能导致的财务报表错报对单独的组成部分不重要,但是在总部层面合并后可能重要。

因此,在组成部分层面对发现的内部控制缺陷单独进行评价并不能形成对企业财务报告内部控制总体有效性的意见。

如果企业的内部控制文档记录不充分,缺乏支持内部控制有效实施的足够的依据,应被视为存在内部控制缺陷。我们应当将其与其他的内部控制缺陷放在一起,评估其严重程度。

七、 内部控制缺陷整改 如果企业在基准日前对存在缺陷的控制进行了整改,整改后的控制需要运行足够长的时间,才能使我们得出其是否有效的审计结论。我们应当根据控制的性质和与控制相关的风险,合理运用职业判断,确定整改后控制运行的最短期间(或整改后控制的最少运行次数)以及最少测试数量。

整改后控制运行的最短期间(或最少运行次数)和最少测试数量表 控制运行频率 整改后控制运行的最短期间(或最少运行次数) 最少测试数量 每季一次 2个季度 2 每月一次 2个月 2 每周一次 5周 5 每天一次 20天 20 每天多次 25次(分布于涵盖多天的期间,通常不少于15天) 25 如果企业在基准日前对存在重大缺陷的内部控制进行了整改,但新控制尚没有运行足够长的时间,我们应当将其视为内部控制在基准日存在重大缺陷。

八、工作底稿记录 我们在编制内部控制审计控制缺陷评价底稿时,应当按《内部控制审计工作底稿》模板的要求填列以下底稿(1)CA-1-1内控缺陷汇总评价表(企业层面),记录我们发现的企业整体层面内部控制缺陷;
(2)CA-1-2 内控缺陷汇总评价表(业务层面),记录各业务流程层面内部控制缺陷。

无论发现的缺陷是否被认为是重大缺陷,都应当进行记录。已经得到整改的控制,即使通过适当的测试工作被确认为有效执行,其相关的缺陷也应当进行同样的描述、归档。

第十九章 完成审计工作 在完成评价控制缺陷之后,我们需要进行项目小组内部讨论会议,讨论审计中发现的重大事项,取得企业签署的书面声明,与企业沟通控制缺陷以及形成对内部控制有效性的意见。

一、 项目组内部讨论 在与企业管理层和治理层沟通内部缺陷前,我们应当举行项目小组内部讨论会议,讨论我们在内部控制审计过程中发现的重大事项。我们应根据被审计单位的具体情况判断某一事项是否属于重大事项,重大事项主要包括但不限于以下事项: l 引起特别风险的事项:如被审计单位某项内部控制设计存在缺陷,可能无法防止、发现并纠正舞弊;
或被审计单位未建立与超出正常经营过程的重大关联交易有关的政策和程序;

l 控制偏离既定评价标准的事项;

l 识出别的信息与针对某重大事项得出的最终结论相矛盾或不一致的事项:如在对被审计单位的收入发生认定的内部控制进行控制测试中表明,控制设计合理并有效运行,但是又发现存在提前确认收入而作为会计差错进行的审计调整事项;

l 导致注册会计师难以实施必要审计程序的情形;

l 导致注册会计师出具非标准审计报告的事项。

所有项目参与人员,包括项目负责人(包括项目负责合伙人)、高级经理、经理和审计员,都应当直接参与项目小组讨论会议。

IT及税务专业人士(特别是其客户为具有复杂的IT环境或税务问题的公司人员)建议参加,但也可酌情为他们举行一个单独的会议。

该讨论由项目负责合伙人主持,包括让经验较丰富的项目小组成员根据自己对客户和其所处行业的了解及自己在各自负责审计的领域发现的问题来分享他们的见解。此过程中的关键环节是就一些问题来交换小组成员之间的意见,包括客户的内部控制缺陷在哪里,客户的财务报表在哪些方面产生舞弊或错误,管理层存在实施并隐瞒虚假报告的行为等。这种信息的互动交流是从"自上而下"(即有经验的负责人员,包括审计项目负责人)和"自下而上"(即经验较少的成员的贡献)双向进行的。

在完成项目小组讨论会议后,我们要在《内部控制审计工作底稿》CB-4项目组内部讨论记录里记录:
l 参加讨论的的项目小组成员;

l 项目小组讨论会议的举行日期;

l 讨论的内容以及达成的结论。

二、 取得管理层的书面声明 我们在完成审计工作后,应当取得管理层签署的书面声明。内部控制审计的管理层声明书是指企业管理层提供的关于内部控制的各项陈述。我们在执行财务报表审计业务中,应当向被审计单位管理层获取适当声明。在整合审计中,我们应当要求企业分别签署财务报表审计的管理层声明书和内部控制审计的管理层声明书。xxx内部控制审计管理层声明书参考格式见《内部控制审计工作底稿》。

内部控制审计的管理层声明书的内容应当包括但不限于:
l 被审计单位董事会认可其对建立健全和有效实施内部控制负责;

l 被审计单位已对内部控制进行了评价,并编制了内部控制评价报告;

l 被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作为评价的基础;

l 被审计单位根据内部控制标准评价内部控制有效性得出的结论;

l 被审计单位已向注册会计师披露识别出的所有内部控制缺陷,并单独披露其中的重大缺陷和重要缺陷;

l 被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞弊,以及其他不会导致财务报表发生重大错报,但涉及管理层、治理层和其他内在内部控制中具有重要作用的员工的所有舞弊;

l 注册会计师在以前年度审计中识别出的且已与被审计单位沟通的重大缺陷和重要缺陷是否已经得到解决,以及哪些缺陷尚未得到解决;

l 在基准日后,内部控制是否发生变化,或者是否存在对内部控制产生重要影响的其他因素,包括被审计单位针对重大缺陷和重要缺陷采取的所有纠正措施;

l 其他需要披露的事项。

管理层声明书应当由企业采用自己的信笺进行书写并且提供给我们。

我们应编制管理层声明书的草稿。在将其提交给管理层之前,需要由项目负责人复核以确认:
l 管理层声明书中已包含所有被要求发表的声明;

l 管理层声明书中已包含我们所要求的任何额外声明;

l 管理层声明书中已指定将签署该声明的合适的管理层成员;

l 管理层声明书中已指定合适的出具日期。

我们应该在完成审计之前更早些的时候将管理层声明书的草稿提交给管理层,以便管理层能够理解其目的和内容,从而有助于我们及时取得最终经签署的管理层声明书。

内部控制审计管理层声明书的签署日期通常与内部控制设计报告日一致。

如果企业的内部控制有专门的负责人,则内部控制审计管理层声明书应当由法定代表人和内控负责人签署。如果未设立专门的内控负责人,则内部控制审计管理层声明书也可以由法定代表人和财务负责人签署。管理层声明书中有关董事会对建立健全和有效实施内部控制负责的陈述,我们可以查阅董事会批准的有此陈述的相关文件或由董事会授权管理层声明书签署人员对此声明。

在内部控制审计中,管理层声明书中有关内部控制责任及自我评价责任的陈述是我们发表内部控制审计意见的基础,是不可或缺的审计证据。如果企业拒绝提供或以其他不当理由回避书面声明,我们应当视其为审计范围受到限制,解除业务约定或出具无法表示意见的内部控制审计报告。同时,我们需要评价,企业拒绝提供书面声明对其他声明(包括财务报表审计中获取的声明)的可靠性产生的影响。

三、与企业沟通控制缺陷 在出具内部控制审计报告之前,我们应当以书面形式与管理层和治理层沟通我们发现的重大缺陷和重要缺陷。

我们与企业沟通控制缺陷的对象包括董事会、经理层以及其他相关人员。根据《企业内部控制基本规范》的相关规定,董事会负责内部控制的建立健全和有效实施;
经理层负责组织领导企业内部控制的日常运行。因此,董事会和经理层是我们沟通控制缺陷的主要对象。在内部控制审计的执行过程中,我们还应当向相关内部控制执行人员以及业务流程负责人沟通识别的控制缺陷,以确认缺陷的存在和推进缺陷的整改。此外,我们还应当与内部控制自我评价人员和内部审计人员沟通审计过程中识别的控制缺陷,以协调彼此的工作。

虽然我们不要求执行足以识别所有控制缺陷的审计程序,但我们应当将内部控制审计中识别的所有控制缺陷与企业进行沟通,对于其中的重大缺陷和重要缺陷,应当以书面形式与董事会和经理层进行沟通。我们可以事先向董事会和经理层了解其就内部控制审计中识别的一般控制缺陷沟通的范围和形式有无特别的要求,并在沟通时作出相应的安排。我们与企业沟通的内部控制缺陷包括在内部控制审计中识别的所有财务报告内部控制缺陷以及注意到的非财务报表内部控制缺陷。

如果企业的董事兼任高级管理人员,我们不能因已与管理层的沟通替代与董事会的沟通。我们应向所有负有治理责任的人员充分传递应予沟通的控制缺陷。除非治理层全部参与管理,否则我们应当就内部控制缺陷与董事会专门进行沟通。

如果我们认为审计委员会和内部审计机构对内部控制的监督是无效的,即认为审计委员会和内部审计机构在公司治理中未起到应有的作用,我们应当就此以书面形式直接与董事会和经理层沟通。

《内部控制审计工作底稿》CB-3为我们与企业沟通的书面记录,与企业沟通内部控制缺陷的书面记录应当包括以下内容:
l 沟通时间;

l 沟通地点;

l 沟通对象;

l 缺陷的描述;

l 缺陷的潜在影响;

l 缺陷对财务报告内部控制的影响程度,即重大缺陷、重要缺陷、一般缺陷;

l 管理层已经采取或者拟采取的改进措施及整改期限(如有)。

四、形成审计意见 我们应当评价从各种来源获取的审计证据,包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷,形成对内部控制有效性的意见。

在评价审计证据时,我们应当查阅本年度设计内部控制的内部审计报告或类似报告,并评价这些报告中指出的控制缺陷。只有在审计范围没有受到限制时,我们才能对内部控制的有效性形成意见。如果审计范围受到限制,我们需要解除业务约定书或出具无法表示意见的内部控制审计报告。

l 在对内部控制的有效性形成意见后,我们应当评价企业内部控制评价报告对相关法律法规规定的要素的列报是否完整和恰当。根据中国证监会《上市公司实施企业内部控制规范体系监管问题解答》的规定,公开发行证券的公司在年度报告中应披露的财务报告内部控制评价报告应包括以下内容;

l 公司董事会关于建立健全和有效实施财务报告内部控制是公司董事会的责任,并就公司财务报告内部控制评价报告真实性作出的声明;

l 财务报告内部控制评价的依据;

l 根据自我评价情况,认定于评价基准日存在的财务报告内部控制重大缺陷情况;

l 对发现的重大缺陷已采取或拟采取的整改措施的说明;

l 公司董事会对评价基准日财务报告内部控制有效性的自我评价结论;

l 在财务报告内部控制自我评价过程中关注到的非财务报告内部控制重大缺陷情况。

第二十章 出具审计报告 在完成内部控制审计工作后,我们应当出具内部控制审计报告。我们需要在审计报告中清楚地表达对内部控制有效性的意见,并对出具的审计报告负责。在整合审计中,我们在完成内部控制审计和财务报表审计后,应当分别对内部控制和财务报表出具审计报告,并签署相同的日期。

按意见类型来划分,内部控制审计报告可分为三种形式,即无保留意见、否定意见和无法表示意见的内部控制审计报告。按是否为标准意见来划分,内部控制审计报告可分为标准内部控制审计报告和非标准内部控制审计报告,后者又可分为带强调事项的无保留意见内部控制审计报告、否定意见内部控制审计报告和无法表示意见内部控制审计报告。

一、出具标准内部控制审计报告 标准内部控制审计报告指我们出具的无保留意见的内部控制审计报告不附加说明段、强调事项段或任何修饰性用语。我们对财务报告内部控制出具标准内部控制审计报告的必要前提条件是:
l 企业按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及企业自身内部控制制度的要求,在所有重大方面保持了有效的内部控制;

l 我们已经按照《企业内部控制审计指引》的要求计划和实施审计工作,在审计过程中未受到限制;

l 企业财务报告内部控制不存在需要提请内部控制审计报告使用者注意的,应当在内部控制审计报告中增加强调事项段予以说明的事项。

需要注意的是,上述“在所有重大方面……”仅指与财务报告内部控制相关的所有重大方面,因此,我们即使发现了非财务报告内部控制存在重大缺陷,也可以出具标准内部控制审计报告。

上述“实施审计工作”包含实施审计工作、评价控制缺陷、完成审计工作三个环节,我们应该按照审计计划履行审计程序获取相应的审计证据并对获取的审计证据的充分性和适当性进行评价后,形成审计意见,出具审计报告。审计工作中受到限制是指:我们对于企业的某些或多项重要内部扣除和控制的测试工作受到了限制,即无论通过观察、询问、检查、重新执行等何种测试方法都无法获取相关证据,判断其是否存在重大缺陷。我们在考虑审计工作中是否受到限制时,需要考虑该限制是否导致我们无法取得充分、适当的审计证据,比如,某重要流程的相关控制文档部分遗失,无法对其进行检查,但是通过询问并对尚未遗失的文档的检查等程序获得了相关审计证据,我们能利用这些证据对该流程的有效性进行评价,则不构成对审计的限制。

二、出具非标准内部控制审计报告 2.1带强调事项段的无保留意见内部控制审计报告 如果我们认为财务报告内部控制虽不存在重大缺陷,但仍有一项或多项重大事项需要提请内部控制审计报告使用者注意的,应当在内部控制审计报告中增加强调事项段予以说明。我们应当在强调事项段中指明,该段内容仅用于提醒内部控制审计报告使用者关注,并不影响对财务报告内部控制发表的审计意见。

强调事项应当同时符合下列条件:
l 对企业财务报告内部控制有重大影响,但被审计单位进行了恰当的处理,并向我们出具了书面声明书;

l 不构成企业财务报告内部控制及非财务报告内部控制重大缺陷,不影响审计意见类型。

增加强调事项段的情形主要有:
l 以前年度企业内部控制存在重大缺陷。企业上年度内部控制存在重大缺陷,被出具了否定意见或在审计报告中进行了披露(针对非财务报告内部控制重大缺陷),本期通过改进已经消除了缺陷,在内部控制自我评价报告中对此进行了充分的披露,并向我们提交了相关书面声明,我们应该在审计意见段之后增加强调事项段,提醒审计报告使用者主要企业内部控制评价报告中对有关改进事项的披露;

l 企业存在重大不确定事项,指其结果依赖于未来行动或事项,不受被审计单位直接控制,但可能影响企业内部控制的事项;

l 如果确定企业内部控制评价报告对要素的列报不完整或不恰当,我们应当在内部控制审计报告中增加强调事项段,说明这一情况并解释得出该结论的理由;

l 考虑财务报表审计报告中强调事项段和其他事项段。如果与内部控制审计报告一同披露的财务报表审计报告中存在强调事项段和其他事项段,且这些事项可能涉及内部控制或内部控制的可能变化,我们应该关注并考虑是否在内部控制审计报告中予以相应披露,其中对于持续经营相关的事项应该在内部控制审计报告中增加强调事项段进行披露;

l 如果我们知悉在基准日并不存在、但在期后期间发生的事项,且这类期后事项对内部控制有重大影响,我们应当在内部控制审计报告中增加强调事项段,描述该事项及其影响,或提醒内部控制审计报告使用者关注企业内部控制评价报告中披露的该事项及其影响。

2.2否定意见内部控制审计报告 如果认为内部控制存在一项或多项重大缺陷,除非审计范围受到限制,我们应当对内部控制发表否定意见。

如果知悉对企业内部控制自我评价基准日内部控制有效性有重大负面影响的期后事项的,我们应当对财务报告内部控制发表否定意见。

我们在发表否定意见时,应该在意见段之前增加“导致否定意见的事项”描述段,描述段中应包括对重大缺陷的定义、重大缺陷的性质以及重大缺陷对财务报告内部控制的影响程度。在否定意见的审计报告中,我们应披露审计过程中发现的所有重大的内部控制缺陷,不能对披露的内容进行选择,以帮助内部控制审计报告使用者全面了解企业内部控制存在的缺陷。

如果重大缺陷尚未包含在企业内部控制评价报告中,我们应当在内部控制审计报告中说明重大缺陷已经识别、但没有包含在企业内部控制评价报告中。如果企业内部控制评价报告中包含了重大缺陷,但我们认为这些重大缺陷未在所有重大方面得到公允反映,我们应当在内部控制审计报告中说明这一结论,并公允表达有关重大缺陷的必要信息。此外,我们还应当就这些情况以书面形式与治理层沟通。

2.3无法表示意见内部控制审计报告 如果审计范围受到限制,我们应当解除业务约定或出具无法表示意见的内部控制审计报告;
如果我们不能确定期后事项对内部控制有效性的影响程度的,应当出具无法表示意见的内部控制审计报告。

我们在出具无法表示意见的内部控制审计报告时,需要在内部控制审计报告中指明审计范围受到限制,无法对内部控制的有效性发表意见,并单设段落说明无法表示意见的实质性理由。我们不应在内部控制审计报告中指明所执行的程序,也不应描述内部控制审计的特征,以避免报告使用者对无法表示意见产生误解。如果在已执行的有限程序中发现内部控制存在重大缺陷,我们应当在内部控制审计报告中对重大缺陷作出详细说明。

只要认为审计范围受到限制将导致无法获取发表审计意见所需的充分、适当的审计证据,我们不必执行任何其他工作即可对内部控制出具无法表示意见的内部控制审计报告。在这种情况下,内部控制审计报告的日期应为我们已就该报告中陈述的内容获取充分、适当的审计证据的日期。

当我们拟出具无法表示意见的审计报告时,如果已执行的有限程序使其认为内部控制存在重大缺陷,则在意见段之后增加“识别的内部控制重大缺陷”段描述和披露以下内容:
l 重大缺陷的定义;

l 对识别出的重大缺陷的描述,该描述应当包括重大缺陷的性质,以及重大缺陷在存在期间对企业编制的财务报表产生的实际和潜在影响等信息;

l 在因审计范围受到限制而无法表示意见时,我们应当就未能完成整个内部控制审计工作的情况,以书面形式与管理层和治理层进行沟通。

三、非财务报告内部控制存在重大限制 如果在审计过程中注意到非财务报告内部控制存在重大缺陷,我们应当以书面形式与企业董事会和经理层沟通,提醒企业加以改进;
同时在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露,提示内部控制审计报告使用者注意相关风险,但无需对其发表审计意见。

四、对期后事项的考虑 在基准日之后至审计报告日之前(以下简称期后期间),内部控制可能发生变化,或出现其他可能对内部控制产生重要影响的因素。我们应当讯问是否存在这类变化或因素,并获取被审计单位关于这类变化或因素的书面声明。

我们应当针对期后期间,讯问并检查下列信息:
(1) 在期后期间出具的内部审计报告或类似报告;

(2) 其他注册会计师出具的涉及被审计单位内部控制缺陷的报告;

(3) 监管机构发布的涉及被审计单位内部控制的报告;

(4) 我们在执行其他业务中获取的、有关被审计单位内部控制有效性的信息。

如果我们知悉对企业内部控制自我评价基准日内部控制有效性有重大负面影响的期后事项的,我们应当对财务报告内部控制发表否定意见。“重大负面影响的期后事项”仅指对企业自我评价基准日已经存在的情况提供后续证据的事项,相当于有证据表明公司财务报告内部控制存在重大缺陷,因而我们应该发表否定意见。

若发现了对内部控制有重大负面影响的事项,该事项对期后的内部控制产生重大影响,但对基准日内部控制并无重大影响,我们应该与被审计单位沟通,要求其在企业声明书中进行声明。

如果我们不能确定期后事项对内部控制有效性的影响程度的,我们应当出具无法表示已经的内部控制审计报告。上述内部控制是就企业自我评价基准日的内部控制而言,在这种情况下,由于无法利用现有证据或进一步审计程序获取证据来证明期后事项对基准日内部控制有效性的影响,则视同审计范围受限,我们将出具无法表示已经审计报告。

五、内部控制审计报告与财务报表审计报告的衔接 财务报表审计报告与内部控制审计报告的关系,从理论上分析前者是对财务报告的公允性发表鉴证意见,后者是对财务报告内部控制的有效性发表鉴证意见,由于发表意见的对象不同,内部控制审计报告的意见类型与财务报表审计的意见类型存在联系,但并非一一对应。

在执行财务报表审计的过程中,我们发现企业财务报告存在重大错报,企业接受建议对财务报告中的重大错报进行了调整,在确认没有其他重大影响财务报告公允性的事项且审计范围没有受到限制的情况下,我们应该对企业的财务报告出具标准意见审计报告;
但如果该错报是由于企业的财务报告内部控制存在重大缺陷而引起的,我们应该对企业财务报告内部控制的有效性出具否定意见。

如果我们对企业财务报表发表否定意见,意味着我们认为财务报告存在重大错报会误导使用者,财务报告的编制不符合适用的会计准则和相关会计制度的规定,因此,通常情况下企业的财务报告内部控制有效性也应该被出具否定意见,如果我们出具了其他类型的审计报告,将使同时阅读两个审计报告的报告使用者产生疑虑。

如果我们对企业财务报表发表无法表示意见,意味着对企业财务报告进行审计时,因为范围受到限制可能产生的影响非常重大和广泛,不能获取充分、适当的审计证据,以至于无法对财务报表的公允性、合法性发表鉴证意见。我们应当就意思财务报表审计范围受到重大限制对内部控制审计的影响与被审计单位进行书面沟通,并分析以上限制的形成原因,对于客观因素造成的限制,我们应进行风险评估,考虑对内部控制审计的影响,并根据影响程度判断对内部控制审计报告意见类型的影响。对于企业主观因素造成的财务报表审计范围受限,我们通常应该考虑解除内部控制审计业务约定或对财务报告内部控制发表无法表示意见。

如果我们对企业财务报表发表保留意见,则我们需要对导致出具保留意见的事项进行分析,判断造成保留事项的原因是否与企业内部控制相关,考虑对测试程序和缺陷评价的影响,并将该事项与企业进行书面沟通,明确对内部控制审计报告意见类型的影响。

如果我们拟对内部控制的有效性发表否定意见,在财务报表审计中,我们不应依赖存在重大缺陷的控制,需要实施实质性程序确定与该控制相关的账户是否存在重大错报。如果实施实质性程序的结果表明该账户不存在重大错报,我们可以对财务报表发表无保留意见。在这种情况下,我们应当确定该意见对财务报表审计意见的影响,并在内部控制审计报告中予以说明。如果对财务报表发表的审计意见未受影响,我们应当在内部控制审计报告的导致否定意见的事项段中增加以下类似说明:“在XX公司XX年财务报表审计中,我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。本报告并未对我们在XX年X月X日对XX公司XX年度财务报表出具的审计报告产生影响。”这一说明对于保证审计报告使用者理解我们为何对财务报表发表无保留意见非常重要。如果对财务报表发表的审计意见受到影响,我们应当在内部控制审计报告的导致否定意见的事项段中增加以下类别说明:“在XX公司XX年财务报表审计中,我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。”

相关热词搜索:操作手册 内部控制 审计 内部控制审计操作手册 内部控制审计报告 内部控制审计案例

相关文章
最新文章

Copyright © 2008 - 2018 版权所有 湖南人事网

工业和信息化部 湘ICP备11019447号-52