《中國註冊會計師審計準則第1211號》應用指南
| 《中國註冊會計師審計準則第1211號 ——通過了解被審計單位及其環境識別和評估重大錯報風險》 應用指南 會協〔2010〕94號 制定機關:中國中國註冊會計師協會 2010年11月1日 有效期:2012年1月1日至今 |
一、風險評估程序和相關活動 編輯 |
〈(參見本準則第八條)〉 |
1.了解被審計單位及其環境(以下簡稱「了解被審計單位」)是一個連續和動態地收集、更新與分析信息的過程,貫穿於整個審計過程的始終。了解被審計單位是必要程序,特別是為下列關鍵環節的職業判斷提供了重要基礎:
(1)評估重大錯報風險;
(2)按照《中國註冊會計師審計準則第1221號——計劃和執行審計工作時的重要性》的規定確定重要性;
(3)考慮選擇和運用會計政策的恰當性和財務報表披露的充分性;
(4)識別需要特別考慮的領域,如關聯方交易、管理層運用持續經營假設的適當性或考慮交易是否具有合理的商業目的;
(5)確定在實施分析程序時使用的預期值;
(6)應對評估的重大錯報風險,包括設計和實施進一步審計程序以獲取充分、適當的審計證據;
(7)評價已獲取審計證據的充分性和適當性,如假設的適當性以及管理層口頭聲明和書面聲明的適當性。
2.註冊會計師可能將實施風險評估程序和相關活動獲取的信息作為審計證據支持對重大錯報風險的評估結果。此外,註冊會計師還可能獲取有關類別的交易、賬戶餘額或披露及相關認定以及控制運行有效性的審計證據,即使這些程序並非作為實質性程序或控制測試而專門計劃實施的。註冊會計師還可以在實施風險評估程序的同時選擇實施實質性程序或控制測試,以使審計工作更有效率。
3.註冊會計師需要運用職業判斷確定所要求了解的程度。註冊會計師的主要考慮是獲取的了解是否足以實現本準則規定的目標。當然,要求註冊會計師對被審計單位獲取的總體了解的程度,要低於管理層在管理被審計單位時所獲取的了解的程度。
4.需要評估的風險包括由於舞弊導致的風險,也包括由於錯誤導致的風險,本準則涉及這兩類風險。但是,由於舞弊非常重大,針對為獲取用於識別由於舞弊導致的重大錯報風險的信息所實施的風險評估程序和相關活動,《中國註冊會計師審計準則第1141號——財務報表審計中與舞弊相關的責仟》及其應用指南提出了進一步要求並提供了指引。
5.雖然註冊會計師在了解被審計單位(參見本準則第十四條至第二十七條)的過程中需要實施本準則第九條規定的所有風險評估程序,但無需在了解每個方面時都實施所有的風險評估程序。當擬獲取的信息有助於識別重大錯報風險時,註冊會計師也可以執行其他程序。這些程序舉例如下:
(1)查閱從外部來源獲取的信息,如貿易與經濟方面的期刊,分析師、銀行或評級機構的報告,法規或金融出版物等;
(2)詢問被審計單位聘請的外部法律顧問或評估專家。
(一)詢問管理層和被審計單位內部其他人員 編輯 |
〈(參見本準則第九條第一款第(一)項)〉 |
6.註冊會計師通過詢問獲取的大部分信息來自於管理層和負責財務報告的人員。註冊會計師也可以通過詢問被審計單位內部的其他不同層級的人員獲取信息,或為識別重大錯報風險提供不同的視角。例如:
(1)直接詢問治理層,可能有助於註冊會計師了解編制財務報表的環境;
(2)直接詢問內部審計人員,可能有助於獲取有關以下事項的信息:本年度針對被審計單位內部控制設計和運行有效性而實施的內部審計程序,以及管理層是否根據實施這些程序的結果採取了適當的應對措施;
(3)詢問參與生成、處理或記錄複雜或異常交易的員工,可能有助於註冊會計師評價被審計單位選擇和運用某項會計政策的恰當性;
(4)直接詢問內部法律顧問,可能有助於註冊會計師了解有關信息,如訴訟、遵守法律法規的情況、影響被審計單位的舞弊或舞弊嫌疑、產品保證、售後責任、與業務合作夥伴的安排(如合營企業)和合同條款的含義等;
(5)直接詢問營銷或銷售人員,可能有助於註冊會計師了解被審計單位營銷策略的變化、銷售趨勢或與客戶的合同安排。
(二)分析程序 編輯 |
〈(參見本準則第九條第一款第(二)項)〉 |
7.註冊會計師將分析程序用作風險評估程序,可能有助於識別未注意到的被審計單位的情況,並可能有助於評估重大錯報風險,以為針對評估的風險設計和實施應對措施提供基礎。註冊會計師實施分析程序可以使用財務信息和非財務信息,如銷售額與賣場的面積或已出售商品數量之間的關係。
8.註冊會計師實施分析程序可能有助於識別異常的交易或事項,以及對審計產生影響的金額、比率和趨勢。識別出的異常或未預期到的關係可以幫助註冊會計師識別重大錯報風險,特別是由於舞弊導致的重大錯報風險。
9.當分析程序使用高度匯總的數據時(作為風險評估程序的分析程序可能存在這種情況),實施分析程序的結果可能僅初步顯示是否存在重大錯報。在這種情況下,將分析程序的結果與識別重大錯報風險時獲取的其他信息一併考慮,可以幫助註冊會計師了解並評價分析程序的結果。
對小型被審計單位的特殊考慮
10.某些小型被審計單位可能沒有可用於實施分析程序的中期或月度財務信息。在這些情況下,雖然註冊會計師可能能夠實施有限的分析程序以計劃審計工作或通過詢問獲取一些信息,但當可以獲得財務報表的草稿時,註冊會計師可能需要計劃並實施分析程序以識別和評估重大錯報風險。
(三)觀察和檢查 編輯 |
〈(參見本準則第九條第一款第(三)項)〉 |
11.觀察和檢查程序可以支持對管理層和其他相關人員的詢問結果,並可以提供有關被審計單位及其環境的信息。這些審計程序的舉例包括觀察或檢查下列事項:
(1)被審計單位的經營活動;
(2)文件(如經營計劃和策略)、記錄和內部控制手冊;
(3)管理層編制的報告(如季度管理層報告和中期財務報告)和治理層編制的報告(如董事會會議紀要);
(4)被審計單位的生產經營場所和廠房設備。
(四)以前期間獲取的信息 編輯 |
〈(參見本準則第十二條)〉 |
12.註冊會計師以往與被審計單位交往的經驗以及以前審計中實施的審計程序可以為註冊會計師提供有關下列事項的信息:
(1)以往的錯報情況以及錯報是否及時得到更正;
(2)被審計單位及其環境的性質、被審計單位的內部控制(包括內部控制缺陷);
(3)自上期以來被審計單位或其經營活動可能發生的重大變化,這些變化可以幫助註冊會計師對被審計單位獲取充分的了解,以識別和評估重大錯報風險。
13.如果擬將以前期間獲取的信息用於本期審計,註冊會計師需要確定這些信息是否仍然相關。這是因為信息的變化(如控制環境的變化)可能影響上期所獲取信息的相關性。為了確定影響這些信息相關性的變化是否已經發生,註冊會計師可以詢問並實施其他恰當的審計程序,如對相關系統進行穿行測試。
(五)項目組內部的討論 編輯 |
〈(參見本準則第十三條)〉 |
14.項目組內部關於財務報表發生重大錯報可能性的討論可以:
(1)使經驗較豐富的項目組成員(包括項目合伙人)有機會分享其根據對被審計單位的了解形成的見解;
(2)使項目組成員能夠討論被審計單位面臨的經營風險、財務報表容易發生錯報的領域以及發生錯報的方式,特別是由於舞弊或錯誤導致重大錯報的可能性;
(3)幫助項目組成員更好地了解在各自負責的領域中潛在的財務報表重大錯報,並了解各自實施的審計程序的結果可能如何影響審計的其他方面,包括對確定進一步審計程序的性質、時間安排和範圍的影響;
(4)為項目組成員交流和分享在審計過程中獲取的、可能影響重大錯報風險評估結果或應對這些風險的審計程序的新信息提供基礎。
《中國註冊會計師審計準則第1141號——財務報表審計中與舞弊相關的責任》及其應用指南對項目組內部關於舞弊風險的討論作出了進一步規定並提供了指引。
15.所有成員都參與到一項討論中,並非總是必要和可行的(如在跨地區審計中、將討論中作出的全部決定告知項目組所有成員也不總是必要的。項目合伙人可以與項目組關鍵成員(包括專家和負責組成部分審計的人員,如認為適當)進行討論,而在考慮整個項目組中必要的溝通範圍後,可以委派代表與其他人員進行討論。在這種情況下,經項目合伙人同意的溝通計劃可能是有用的。
對小型被審計單位的特殊考慮
16.許多小型被審計單位的審計全部由項目合伙人實施。在這種情況下,親自計劃審計工作的項目合伙人將負責考慮財務報表發生由於舞弊或錯誤導致的重大錯報的可能性。
二、被審計單位及其環境(內部控制在本指南第三部分闡述) 編輯
(一)行業狀況、法律環境和監管環境及其他外部因素 編輯 |
〈(參見本準則第十四條第一款第(一)項)〉 |
行業因素
17.相關行業因素包括行業狀況,如競爭環境、供應商和客戶關係、技術發展情況等。註冊會計師可能需要考慮的事項舉例如下:
(1)市場與競爭,包括市場需求、生產能力和價格競爭;
(2)生產經營的季節性和周期性;
(3)與被審計單位產品相關的生產技術;
(4)能源供應與成本。
18.被審計單位經營所處的行業可能產生由於經營性質或監管程度導致的特定重大錯報風險。例如,長期合同可能涉及對收入和費用作出重大估計而導致重大錯報風險。在這種情況下,項目組包括具有足夠相關知識和經驗的成員是很重要的。
法律和監管因素
19.相關法律和監管因素包括法律環境和監管環境。法律環境和監管環境包括適用的財務報告編制基礎、法律和政治環境等。註冊會計師可能需要考慮的事項舉例如下:
(1)會計原則和行業特定慣例;
(2)受管制行業的法規框架;
(3))對被審計單位經營活動產生重大影響的法律法規,包括直接的監管活動;
(4)稅收政策(關於企業所得稅和其他稅種的政策);
(5)目前對被審計單位開展經營活動產生影響的政府政策,如貨幣政策(包括外匯管制)、財政政策、財政刺激措施(如政府援助項目)、關稅或貿易限制政策等;
(6)影響行業和被審計單位經營活動的環保要求。
20.《中國註冊會計師審計準則第1142號——財務報表審計中對法律法規的考慮》包含了與適用於被審計單位及其所在行業或領域的法律法規框架相關的特定要求。
對公共部門實體的特殊考慮
21.對於公共部門實體的審計,法律法規或其他監管要求可能影響被審計單位的經營活動。在了解被審計單位時考慮這些因素是必要的。
其他外部因素
22.註冊會計師考慮的影響被審計單位的其他外部因素可能包括總體經濟情況、利率、融資的可獲得性、通貨膨脹水平或幣值變動等。
(二)被審計單位的性質 編輯 |
〈(參見本準則第十四條第一款第(二)項)〉 |
23.了解被審計單位的性質使註冊會計師能夠了解如下事項:
(1)被審計單位的組織結構是否複雜。例如,是否在多個地區擁有子公司或其他組成部分。複雜的組織結構通常產生可能導致重大錯報風險的問題。這些問題可能包括對商譽、合營企業、投資或特殊目的實體的會計處理是否恰當;
(2)所有權結構,所有者與其他人員或實體之間的關係。了解這些方面有助於確定關聯方交易是否已得到識別和恰當處理。《中國註冊會計師審計準則第1323號——關聯方》及其應用指南對註冊會計師與關聯方相關的考慮作出了規定並提供了指引。
24.在了解被審計單位的性質時,註冊會計師可能需要考慮的事項舉例如下:
(1)經營活動,例如:
① 收入來源、產品或服務以及市場的性質(包括電子商務,如網上銷售和營銷活動);
② 業務的開展情況(如生產階段與生產方法,易受環境風險影響的活動);
③ 聯盟、合營與外包情況;
④ 地區分布與行業細分;
⑤ 生產設施、倉庫和辦公室的地理位置,存貨存放地點和數量;
⑥ 關鍵客戶及貨物和服務的重要供應商,勞動用工安排(包括是否存在工會合同、退休金和其他退休福利、股票期權或激勵性獎金安排以及與勞動用工事項相關的政府法規);
⑦ 研究與開發活動及其支出;
⑧ 關聯方交易。
(2)投資與投資活動,例如:
① 計劃實施或近期已實施的併購或資產處置;
② 證券與貸款的投資和處置;
③ 資本性投資活動;
④ 對未納入合併範圍的實體的投資,包括合夥企業、合營企業和特殊目的實體。
(3)籌資與籌資活動,例如:
① 主要子公司和聯營企業(無論是否處於合併範圍內);
② 債務結構和相關條款,包括資產負債表外融資和租賃安排;
③ 實際受益方(實際受益方是國內的,還是國外的,其商業聲譽和經驗可能對被審計單位產生的影響)及關聯方;
④ 衍生金融工具的使用。
(4)財務報告,例如:
① 會計政策和行業特定慣例,包括特定行業的重要活動(如銀行業的貸款和投資、醫藥行業的研究與開發活動);
② 收入確認慣例;
③ 公允價值會計核算;
④ 外幣資產、負債與交易;
⑤ 異常或複雜交易(包括在有爭議或新興領域的交易)的會計處理(如對以股票為基準的薪酬的會計處理)。
25.被審計單位自以前期間以來發生的重大變化可能導致或改變重大錯報風險。
特殊目的實體的性質
26.特殊目的實體(有時也稱特殊目的工具)是指為實現界定清楚的某個具體目標(如進行租賃、金融資產證券化或開展研究與開發活動)而設立的實體。特殊目的實體可能以公司、信託、合夥企業或非公司實體的形式存在。在以某實體的名義建立特殊目的實體的情況下,該實體通常可能將資產轉移至特殊目的實體(如作為終止確認涉及金融資產的交易的一部分),獲得使用特殊目的實體資產的權利或向其提供服務,而其他方可能為特殊目的實體提供資金。《〈中國註冊會計師審計準則第1323號——關聯方〉應用指南》指出,在某些情況下,特殊目的實體可能是被審計單位的關聯方。
27.財務報告編制基礎通常詳細規定了可視為「控制」的條件,或在編制合併報表時應當考慮特殊目的實體的情況。理解這些編制基礎的要求通常需要詳細了解涉及特殊目的實體的相關協議。
(三)對會計政策的選擇和運用 編輯 |
〈(參見本準則第十四條第一款第(三)項)〉 |
28.了解被審計單位對會計政策的選擇和運用可能包括如下事項:
(1)被審計單位對重大和異常交易的會計處理方法;
(2)在缺乏權威性標準或共識、有爭議的或新興領域採用重要會計政策產生的影響;
(3)會計政策的變更;
(4)新頒布的財務報告準則、法律法規,以及被審計單位何時採用、如何採用這些規定。
(四)目標、戰略以及相關經營風險 編輯 |
〈(參見本準則第十四條第一款第(四)項)〉 |
29.被審計單位在行業狀況、法律環境和監管環境及其他內部和外部因素的背景下開展經營活動。為應對這些因素,管理層或治理層需要確定目標,作為被審計單位的總體規劃。戰略是管理層為實現目標而採用的方法。被審計單位的目標和戰略可能會隨着時間而變化。30.經營風險比財務報表重大錯報風險範圍更廣,並且包括重大錯報風險。經營風險可能產生於環境變化或經營的複雜性。未能認識到根據環境的變化作出改變也可能導致經營風險。例如,下列事項可能產生經營風險:
(1)開發新產品或服務可能失敗;
(2)即使成功開拓了市場,也不足以支持產品或服務;
(3)產品或服務存在瑕疵,可能導致負債及聲譽風險。
31.由於多數經營風險最終都會產生財務後果,從而影響財務報表,因此了解被審計單位面臨的經營風險可以提高識別出重大錯報風險的可能性。然而,註冊會計師沒有責任識別或評估所有的經營風險,因為並非所有的經營風險都會導致重大錯報風險。
32.註冊會計師在了解可能導致財務報表重大錯報風險的目標、戰略及相關經營風險時,可以考慮以下事項:
(1)行業發展(例如,潛在的相關經營風險可能是被審計單位不具備足以應對行業變化的人力資源和業務專長);
(2)開發新產品或提供新服務(例如,潛在的相關經營風險可能是被審計單位產品責任增加);
(3)業務擴張(例如,潛在的相關經營風險可能是被審計單位對市場需求的估計不準確);
(4)新的會計要求(例如,潛在的相關經營風險可能是被審計單位執行不當或不完整,或會計處理成本增加);
(5)監管要求(例如,潛在的相關經營風險可能是被審計單位法律責任增加);
(6)本期及未來的融資條件(例如,潛在的相關經營風險可能是被審計單位由於無法滿足融資條件而失去融資機會);
(7)信息技術的運用(例如,潛在的相關經營風險可能是被審計單位信息系統與業務流程難以融合);
(8)實施戰略的影響,特別是由此產生的需要運用新的會計要求的影響(例如,潛在的相關經營風險可能是被審計單位執行新要求不當或不完整)。
33.經營風險可能對某類交易、賬戶餘額和披露的認定層次重大錯報風險或財務報表層次重大錯報風險產生直接影響。例如,因客戶群減少產生的經營風險可能增加與應收款項計價相關的重大錯報風險。但是,同樣的風險,尤其是在經濟緊縮時,可能具有更為長期的後果,註冊會計師需要在評價運用持續經營假設的適當性時予以考慮。因此,考慮經營風險是否可能導致重大錯報風險,要視被審計單位的具體情況而定。本指南附錄2列示了可能表明存在重大錯報風險的情況和事項的示例。
34.管理層通常識別經營風險並制定應對風險的方法。這種風險評估過程是內部控制的一部分,本準則第十八條、本指南第79段和第80段對此進行了討論。
對公共部門實體的特殊考慮
35.對於公共部門實體審計,管理層的目標可能受到對公共受託責任考慮的影響,這一目標包括法律法規或其他監管機構的相關要求。
(五)被審計單位財務業績的衡量和評價 編輯 |
〈(參見本準則第十四條第一款第(五)項)〉 |
36.管理層及其他人員經常衡量和評價其認為重要的事項。無論是內部的還是外部的業績衡量,都會對被審計單位產生壓力。這些壓力反過來可能促使管理層採取措施改善經營業績或歪曲財務報表。因此,了解被審計單位的業績衡量,有助於註冊會計師考慮實現業績目標的壓力是否可能導致管理層採取行動,以致増加財務報表發生重大錯報的風險(包括由於舞弊導致的風險)。《中國註冊會計師審計準則第1141號——財務報表審計中與舞弊相關的責任》及其應用指南對舞弊風險作出了規定並提供了指引。
37.對財務業績的衡量和評價不同於對控制的監督(在本指南第98段至第104段內部控制要素中討論),即:
(1)對財務業績的衡量和評價,針對的是被審計單位的業績是否達到管理層(或第三方)設定的目標;
(2)對控制的監督重點關注內部控制的有效運行。
但兩者的目標可能有重疊,在某些情況下,業績指標也可以為管理層識別內部控制缺陷提供信息。
38.註冊會計師可以考慮的、管理層在衡量和評價財務業績時使用的內部生成信息舉例如下:
(1)關鍵業績指標(財務或非財務的)、關鍵比率、趨勢和經營統計數據;
(2)同期財務業績比較分析;
(3)預算、預測、差異分析,分部信息與分部、部門或其他不同層次的業績報告;
(4)員工業績考核與激勵性報酬政策;
(5)被審計單位與競爭對手的業績比較。
39.外部機構或人員也可能衡量和評價被審計單位的財務業績。例如,外部信息可能為註冊會計師提供有用信息,如分析師報告和信用評級機構報告,這些報告通常可以從被審計單位獲取。
40.內部業績衡量可能顯示未預期到的結果或趨勢,需要管理層確定原因並採取糾正措施(包括在某些情況下及時發現並糾正錯報)。業績衡量還可能向註冊會計師表明,相關財務報表信息存在錯報風險。例如,業績衡量可能表明,被審計單位與同行業其他實體相比具有異常快速的增長率或盈利水平。這些信息,特別是如果將其與基於業績的獎金或激勵性報酬等其他因素結合考慮,可能表明管理層在編制財務報表時存在偏向的潛在風險。
對小型被審計單位的特殊考慮
41.小型被審計單位通常沒有建立衡量和評價財務業績的流程。註冊會計師詢問管理層後可能發現,管理層依據特定關鍵指標評價財務業績和採取適當行動。如果詢問結果表明被審計單位不存在業績衡量和評價,則尚未發現和更正的錯報風險可能增加。
三、被審計單位的內部控制 編輯 |
〈(參見本準則第十五條)〉 |
42.了解內部控制有助於註冊會計師識別潛在錯報的類型和影響重大錯報風險的因素,以及設計進一步審計程序的性質、時間安排和範圍。
43.下文將從四個部分講述內部控制:
(1)內部控制的一般性質和特徵;
(2)與審計相關的控制;
(3)對相關控制了解的性質和程度;
(4)內部控制的要素。
(一)內部控制的一般性質和特徵 編輯
內部控制的目標
44.設計、執行和維護內部控制,目的是應對識別出的對被審計單位實現下列目標產生不利影響的經營風險:
(1)財務報告的可靠性;
(2)經營的效果和效率;
(3)遵守適用的法律法規。
內部控制設計、執行和維護的方式因被審計單位的規模與複雜程度的不同而不同。
對小型被審計單位的特殊考慮
45.小型被審計單位可能採用非正式和簡單的流程和程序實現內部控制的目標。
內部控制的固有限制
46.內部控制無論如何有效,都只能為被審計單位實現財務報告目標提供合理保證。內部控制實現目標的可能性受其固有限制的影響。這些限制包括在決策時人為判斷可能出現錯誤和因人為失誤而導致內部控制失效。例如,控制的設計和修改可能存在失誤。同樣地,控制的運行可能無效,例如,由於負責覆核信息的人員不了解覆核的目的或沒有採取適當的措施,內部控制生成的信息(如例外報告)沒有得到有效使用。
47.控制可能由於兩個或更多的人員串通或管理層不當地凌駕於內部控制之上而被規避。例如,管理層可能與客戶簽訂「背後協議」,修改標準的銷售合同條款和條件,從而導致不適當的收入確認。再如,軟件中的編輯控制旨在識別和報告超過賒銷信用額度的交易,但這一控制可能被凌駕或不能得到執行。
48.在設計和執行控制時,管理層可能會對選擇執行的控制的性質和範圍以及選擇承擔的風險的性質和程度作出判斷。
對小型被審計單位的特殊考慮
49.小型被審計單位擁有的員工通常較少,限制了其職責分離的程度。但是,在業主管理的小型被審計單位,業主兼經理可以實施比大型被審計單位'更有效的監督。這種監督可以彌補職責分離有限的局限性。
50.另一方面,由於內部控制系統較為簡單,業主兼經理更有可能凌駕於控制之上。註冊會計師在識別由於舞弊導致的重大錯報風險時需要考慮這一問題。
對內部控制要素的劃分
51.審計準則將內部控制劃分為以下五個要素,為註冊會計師考慮內部控制的不同方面如何影響審計提供有用的框架:
(1)控制環境;
(2)風險評估過程;
(3)與財務報告相關的信息系統(包括相關業務流程)與溝通;
(4)控制活動;
(5)對控制的監督。
被審計單位並不一定按照這種劃分方法設計、執行和維護內部控制以及劃分特定要素。註冊會計師也可以使用不同於本準則方法的術語或框架說明內部控制的不同方面及其對審計的影響,只要能夠涵蓋本準則所述的所有要素。
52.由於內部控制五項要素與財務報表審計相關,本指南第69段至第104段對其進行了說明。本指南附錄1進一步解釋了這些內部控制要素。
與註冊會計師風險評估相關的內部控制的人工和自動化成分的特徵
53.被審計單位的內部控制系統包含人工成分,通常也包含自動化成分。人工或自動化成分的特徵,與註冊會計師的風險評估以及在此基礎上實施的進一步審計程序相關。
54.內部控制中採用的人工成分和自動化成分,將影響交易生成、記錄、處理和報告的方式。
(1)人工系統的控制可能包括對交易的批准和覆核,編制調節表並對調節項目進行跟進。被審計單位也可能採用自動化程序生成、記錄、處理和報告交易,在這。種情況下以電子文檔取代紙質文件。
(2)信息技術系統中的控制是自動化控制(如嵌入計算機程序的控制)和人工控制的組合。人工控制可能獨立於信息技術,可能利用信息技術生成的信息,或可能只限用於監督信息技術和自動化控制的有效運行或者處理例外事項。如果採用信息技術生成、記錄、處理和報告交易和財務報表中包含的其他財務數據,系統和程序可能包括與財務報表重大賬戶認定相關的控制,或可能對依賴於信息技術的人工控制的有效運行非常關鍵。
內部控制中人工成分和自動化成分的組合,因被審計單位使用信息技術的性質和複雜程度而異。
55.一般而言,信息技術對被審計單位內部控制的作用在於使被審計單位能夠:
(1)在處理大量的交易或數據時,一貫運用事先確定的業務規則,並進行複雜運算;
(2)提高信息的及時性、可獲得性及準確性;
(3)促進對信息的深入分析;
(4)提高對被審計單位的經營業績及其政策和程序執行情況進行監督的能力;
(5)降低控制被規避的風險;
(6)通過對應用程序系統、數據庫系統和操作系統執行安全控制,提高不兼容職務分離的有效性。
56.信息技術也可能對被審計單位內部控制產生特定風險,這些風險包括:
(1)所依賴的系統或程序不能正確處理數據,或處理了不正確的數據,或兩種情況並存;
(2)未經授權訪問數據,可能導致數據的毀損或對數據不恰當的修改,包括記錄未經授權或不存在的交易,或不正確地記錄了交易。多個用戶同時訪問同一數據庫可能會造成特定風險;
(3)信息技術人員可能獲得超越其職責範圍的數據訪問權限,因此破壞了系統應有的職責分工;
(4)未經授權改變主文檔的數據;
(5)未經授權改變系統或程序;
(6)未能對系統或程序作出必要的修改;
(7)不恰當的人為干預;
(8)可能丟失數據或不能訪問所需要的數據。
57.在處理下列需要主觀判斷或酌情處理的情形時,內部控制的人工成分可能更為適當:
(1)存在大額、異常或偶發的交易;
(2)存在難以界定、預計或預測的錯誤的情況;
(3)針對變化的情況,需要對現有的自動化控制進行人工干預;
(4)監督自動化控制的有效性。
58.內部控制中的人工成分可能比自動化成分的可靠性低,原因是人工成分可能更容易被規避、忽視或凌駕,以及更容易產生簡單錯誤和失誤。因此,不能假定人工控制能夠一貫運用。人工控制在下列情形中可能是不適當的:
(1)存在大量或重複發生的交易,或者事先可預計或預測的錯誤能夠通過自動化控制參數得以防止或發現並糾正;
(2)用特定方法實施控制的控制活動可得到適當設計和自動化處理。
59.內部控制風險的程度和性質取決於被審計單位信息系統的性質和特徵。考慮到信息系統的特徵,被審計單位可以通過建立有效的控制,應對由於採用信息技術或人工成分而產生的風險。
(二)與審計相關的控制 編輯
60.被審計單位的目標與為實現目標提供合理保證的控制之間存在直接關係。被審計單位的目標和控制,與財務報告、經營及合規有關。但這些目標和控制並非都與註冊會計師的風險評估相關。
61.註冊會計師在判斷一項控制單獨或連同其他控制是否與審計相關時可能考慮下列事項:
(1)重要性;
(2)相關風險的重要程度;
(3)被審計單位的規模;
(4)被審計單位業務的性質,包括組織結構和所有權特徵;
(5)被審計單位經營的多樣性和複雜性;
(6)適用的法律法規;
(7)內部控制的情況和適用的要素;
(8)作為內部控制組成部分的系統(包括使用服務機構)的性質和複雜性;
(9)一項特定控制(單獨或連同其他控制)是否以及如何防止或發現並糾正重大錯報。
62.如果在設計和實施進一步審計程序時擬利用被審計單位內部生成的信息,針對該信息完整性和準確性的控制可能與審計相關。如果與經營和合規目標相關的控制與註冊會計師實施審計程序時評價或使用的數據相關,則這些控制也可能與審計相關。
63.用以防止未經授權購買、使用或處置資產的內部控制,可能包括與財務報告和經營目標相關的控制。註冊會計師對這些控制的考慮通常僅限於與財務報告可靠性相關的控制。
64.被審計單位通常有一些與目標相關但與審計無關的控制,註冊會計師無需對其加以考慮。例如,被審計單位可能依靠某一複雜的自動化控制提髙經營活動的效率和效果(如航空公司用於維護航班時間表的自動化控制系統),但這些控制通常與審計無關。進一步講,雖然內部控制應用於整個被審計單位或所有經營部門或業務流程,但是了解與每個經營部門和業務流程相關的內部控制,可能與審計無關。
對公共部門實體的特殊考慮
65.對公共部門實體進行審計的註冊會計師通常對內部控制負有額外責任,如報告被審計單位對既定操作守則的遵守情況。註冊會計師可能也有責任報告被審計單位對法律法規及其他監管要求的遵守情況。因此,註冊會計師對內部控制的評價可能更廣泛、更詳細。
(三)對相關控制了解的性質和程度 編輯 |
〈(參見本準則第十六條)〉 |
66.評價控制的設計,涉及考慮該控制單獨或連同其他控制,是否能夠有效防止或發現並糾正重大錯報。控制得到執行是指某項控制存在且被審計單位正在使用。評估一項無效控制的運行沒有什麼意義,因此需要首先考慮控制的設計。設計不當的控制可能表明存在值得關注的內部控制缺陷。
67.用以獲取有關控制設計和執行的審計證據的風險評估程序可能包括:
(1)詢問被審計單位人員;
(2)觀察特定控制的運用;
(3)檢查文件和報告;
(4)追蹤交易在財務報告信息系統中的處理過程(穿行測試)。但是,詢問本身並不足以實現這些目標。
68.除非存在某些可以使控制得到一貫運行的自動化控制,否則註冊會計師對控制的了解並不足以測試控制運行的有效性。例如,某一人工控制在某一時點得到執行的審計證據,並不能提供該控制在所審計期間內的其他時點也有效運行的證據。但是,由於信息技術處理流程的內在一貫性(見本指南第55段),實施審計程序確定某項自動化控制是否得到執行,也可以實現對控制運行有效性測試的目標,這取決於註冊會計師對控制(如針對程序變更的控制)的評估和測試。《中國註冊會計師審計準則第1231號——針對評估的重大錯報風險採取的應對措施》及其應用指南對控制運行有效性的測試作出了規定並提供了指引。
(四)內部控制要素一一控制環境 編輯 |
〈(參見本準則第十七條)〉 |
69.控制環境包括治理職能和管理職能,以及治理層和管理層對內部控制及其重要性的態度、認識和行動。控制環境設定了被審計單位的內部控制基調,影響員工的內部控制意識。
70.在了解控制環境時,與控制環境相關的要素可能包括下列方面:
(1)對誠信和道德價值觀的溝通與落實,這是影響控制的設計、執行和監督有效性的重要因素;
(2)對勝任能力的重視,包括管理層對特定工作勝任能力的考慮以及這些能力如何轉化為必要的技能和知識;
(3)治理層的參與,與這方面相關的因素舉例如下:
① 治理層相對於管理層的獨立性;
② 治理層的經驗與品德;
③ 治理層參與被審計單位經營的程度和收到的信息及其對經營活動的詳細檢查;
④ 治理層採取措施的適當性,包括提出問題的難度和對問題的跟進程度,以及治理層與內部審計人員和註冊會計師的互動;
(4)管理層的理念和經營風格,與這方面相關的因素舉例如下:
① 承擔和管理經營風險的方法;
② 對財務報告的態度和措施;
③ 對信息處理、會計職能及人員的態度;
(5)組織結構,即被審計單位為實現目標而計劃、執行、控制及評價其活動的框架;
(6)職權與責任的分配,包括如何分配經營活動的職權與責任,如何建立報告關係和職權等級;
(7)人力資源政策與實務,包括與招聘、培訓、考核、諮詢、晉升、薪酬和補救措施等相關的政策與實務。
與控制環境要素相關的審計證據
71.通過將詢問和其他風險評估程序相結合(如通過觀察或檢查文件證實詢問、註冊會計師可以獲取相關審計證據。例如,通過詢問管理層和員工,註冊會計師可以了解管理層如何向員工傳達商業行為慣例和道德行為價值觀念。註冊會計師可以通過考慮管理層是否建立了書面行為守則以及管理層是否按照支持該守則的方式行事,來確定相關控制是否已得到執行。
控制環境對重大錯報風險評估的影響
72.控制環境的某些要素對重大錯報風險評估具有廣泛影響。例如,被審計單位的控制意識在很大程度上受治理層影響,因為治理層的職責之一就是平衡管理層面臨的與財務報告相關、源於市場需求或薪酬方案的壓力。與治理層參與相關的控制環境的設計有效性受下列事項的影響:
(1)治理層相對於管理層的獨立性及評價管理層措施的能力;
(2)治理層是否了解被審計單位從事的交易;
(3)治理層對財務報表是否按照適用的財務報告編制基礎編制進行評價的程度。
73.活躍而獨立的董事會可能影響高級管理人員的理念和經營風格,其他因素對高級管理人員的影響可能有限。例如,人力資源政策和實務規定招聘具有勝任能力的財務、會計和信息系統人員,這可能降低處理財務信息時出現錯誤的風險,但是卻不能抵消最高管理層高估收益的強烈傾向。
74.當註冊會計師評估重大錯報風險時,存在令人滿意的控制環境是一個積極的因素。雖然令人滿意的控制環境有助於降低舞弊風險,但並不能絕對遏制舞弊。相反,控制環境中存在的缺陷(特別是與舞弊相關的缺陷)可能削弱控制的有效性。例如,管理層沒有針對信息系統安全風險投人足夠資源,而是允許對系統程序或數據作出不當修改,或允許處理未經授權的交易,這可能對內部控制產生不利影響。如《〈中國註冊會計師審計準則第1231號——針對評估的重大錯報風險採取的應對措施〉應用指南》所述,控制環境也影響進一步審計程序的性質、時間安排和範圍。
75.控制環境本身並不能防止或發現並糾正重大錯報。然而,它可能影響註冊會計師對其他控制(如對控制的監督和特定控制活動的運行)有效性的評價,進而影響註冊會計師對重大錯報風險的評估。
對小型被審計單位的特殊考慮
76.小型被審計單位的控制環境通常與較大型被審計單位的不同。例如,小型被審計單位的治理層可能不包括獨立的或外部的成員,如果沒有其他所有者,治理層的職能通常直接由業主兼經理承擔。控制環境的性質也可能影響其他控制的重要性或缺乏這些控制所造成的後果。例如,在小型被審計單位,業主兼經理的積極參與可能抵消由於缺乏職責分離導致的特定風險,但也會增加其他風險,如凌駕於控制之上的風險。
77.在小型被審計單位,可能無法獲取以文件形式存在的有關控制環境要素的審計證據,特別是在管理層與其他人員的溝通不夠正式但卻有效的情況下。例如,小型被審計單位可能沒有書面的行為守則,但卻通過口頭溝通和管理層的示範作用形成了強調誠信和道德行為重要性的文化。
78.因此,管理層或業主兼經理的態度、認識和措施對註冊會計師了解小型被審計單位的控制環境非常重要。
(五)內部控制要素一一被審計單位的風險評估過程 編輯 |
〈(參見本準則第十八條)〉 |
79.被審計單位的風險評估過程為管理層確定需要管理的風險提供了基礎。如果這一過程對於具體情況(包括被審計單位的性質、規模和複雜程度)是適當的,則有助於註冊會計師識別重大錯報風險。被審計單位的風險評估過程對於具體情況是否適當屬於職業判斷。
對小型被審計單位的特殊考慮〈(參見本準則第二十條)〉
80.小型被審計單位可能沒有正式的風險評估過程。在這種情況下,管理層很可能通過直接親自參與經營來識別風險。無論情況如何,註冊會計師詢問識別出的風險以及管理層如何應對這些風險,仍是必要的。
(六)內部控制要素一一與財務報告相關的信息系統(包括相關業務流程)與溝通 編輯
與財務報告相關的信息系統(包括相關業務流程)〈(參見本準則第二十一條)〉
81.與財務報告目標相關的信息系統(包括會計系統)由一系列的程序和記錄組成。被審計單位設計和建立這些程序和記錄旨在:
(1)生成、記錄、處理和報告交易(以及事項和情況),以及為相關資產、負債和所有者權益明確受託責任;
(2)解決不正確處理交易的問題,如自動生成暫記賬戶文件,以及及時按照程序清理暫記項目;
(3)處理並解釋凌駕於控制之上或規避控制的情況;
(4)將信息從交易處理系統過人總分類賬;
(5)針對除交易以外的事項和情況獲取與財務報告相關的信息,如資產的折舊和攤銷、應收賬款可回收性的改變等;
(6)確保適用的財務報告編制基礎規定披露的信息得到收集、記錄、處理和匯總,並在財務報表中進行了適當報告。
會計分錄
82.被審計單位的信息系統通常包括使用標準會計分錄記錄重複發生的交易。例如,在總分類賬中記錄銷售、採購和現金付款,或記錄管理層定期作出的會計估計,如對無法收回的應收賬款的估計的改變。
83.被審計單位的財務報告過程還包括使用非標準的會計分錄,以記錄不重複發生的、異常的交易或調整事項,包括合併調整、業務合併或處置,或非重複發生的估計(如資產減值)。在人工系統的總分類賬中,註冊會計師可以通過檢查分類賬、日記賬和支持性記錄來識別非標準的會計分錄。但是,當運用自動化程序記錄總分類賬和編制財務報表時,這些分錄可能只以電子形式存在,因此使用計算機輔助審計技術更易於識別。
相關業務流程
84.被審計單位的業務流程是指旨在實現下列目的的活動:
(1)開發、採購、生產、銷售、配送產品和提供服務;
(2)確保遵守法律法規;
(3)記錄信息,包括會計和財務報告信息。
業務流程產生的交易由信息系統記錄、處理和報告。了解被審計單位的業務流程(包括交易產生的方式),有助於註冊會計師以適合被審計單位具體情況的方式了解與財務報告相關的信息系統。
對小型被審計單位的特殊考慮
85.在小型被審計單位,與財務報告相關的信息系統和相關業務流程可能不如較大型被審計單位複雜,但其作用同樣重要。管理層積極參與經營管理的小型被審計單位,可能不需要詳細描述會計流程、複雜的會計記錄或書面政策。因此,在對小型被審計單位進行審計時,了解其系統和流程就較為容易,也更依賴於詢問而不是對文件的檢查。但是,了解與財務報告相關的信息系統和相關業務流程仍然重要。
溝通〈(參見本準則第二十二條)〉
86.被審計單位就財務報告的角色與職責以及與財務報告相關的重大事項的溝通,涉及到使員工了解在財務報告內部控制方面各自的角色和職責。這包括使員工了解其在財務報告信息系統中的活動與其他員工工作聯繫的程度,以及向適當的更高層級的管理層報告例外事項的方式。溝通可以採用政策手冊、財務報告手冊等形式。公開的溝通渠道有助於確保例外事項得到報告並有應對措施。
對小型被審計單位的特殊考慮
87.由於職責層級較少,更容易接觸到管理層,小型被審計單位的溝通可能比大型被審計單位更簡單、更容易實現。
(七)內部控制要素一一控制活動 編輯 |
〈(參見本準則第二十三條)〉 |
88.控制活動是指有助於確保管理層的指令得以執行的政策和程序。控制活動(不管存在於信息系統還是人工系統中)具有各種不同的目標,運用於各種不同的組織和職能層級中。控制活動包括與下列相關的活動:
(1)授權;
(2)業績評價;
(3)信息處理;
(4)實物控制;
(5)職責分離。
89.與審計相關的控制活動包括:
(1)與特別風險相關的控制活動,以及與僅通過實質性程序無法獲取充分、適當的審計證據的風險相關的控制活動(參見本準則第三十二條和第三十三條);
(2)註冊會計師運用職業判斷認為相關的控制活動。
90.註冊會計師判斷一項控制活動是否與審計相關,受以下兩個因素的影響:
(1)註冊會計師識別出的可能導致重大錯報的風險;
(2)在確定實質性程序的範圍時,註冊會計師認為測試控制運行的有效性是否適當。
91.註冊會計師的工作重點是識別和了解重大錯報風險更高的領域的控制活動。如果多項控制活動能夠實現同一目標,註冊會計師不必了解與該目標相關的每項控制活動。
92.註冊會計師通過了解內部控制其他要素獲取的關於控制活動是否存在的信息,有助於其確定是否有必要對控制活動進行更多的了解。
對小型被審計單位的特殊考慮
93.小型被審計單位控制活動依據的理念與較大型被審計單位可能相似,但是它們運行的正式程度可能不同。進一步講,在小型被審計單位中,由於某些控制活動由管理層執行,特定類型的控制活動可能變得並不相關。例如,只有管理層擁有批准賒銷、重大採購的權力,這可以對重要賬戶餘額和交易實施有力控制,降低或消除實施更具體的控制活動的必要性。
94.與小型被審計單位審計相關的控制活動可能與主要交易循環(如收入、採購和薪酬)相關。
信息技術導致的風險〈(參見本準則第二十四條)〉
95.信息技術的採用影響被審計單位執行控制活動的方式。從註冊會計師的角度看,如果針對信息系統的控制能夠保證系統所處理信息和數據的完整性和安全性,則控制是有效的。針對信息系統的控制包括信息技術一般控制和應用控制。
96.信息技術一般控制是與多個程序相關且支持應用控制有效運行的政策或程序,應用於主機、小型機和終端用戶環境。保證信息完整性和數據安全性的信息技術一般控制通常包括:
(1)數據中心和網絡運行控制;
(2)系統軟件的購置、修改及維護控制;
(3)程序修改控制;
(4)接觸或訪問權限控制;
(5)應用系統的購置、開發及維護控制。
這些控制通常用於應對本指南第56段列示的風險。
97.應用控制通常是指在業務流程層面運行的人工或自動化程序,運用於由單個程序處理的交易。從性質上講,應用控制可以是預防性的或檢查性的,旨在保證會計記錄的完整性。因此,應用控制與用於生成、記錄、處理、報告交易或其他財務數據的程序相關。這些控制有助於保證發生的交易經過授權,並得到全面而準確的記錄和處理。應用控制的舉例包括對輸入數據的編輯性檢查,序號檢查和報告例外事項的人工跟進,以及在數據錄入時進行糾正。
(八)內部控制要素一對控制的監督 編輯 |
〈(參見本準則第二十五條)〉 |
98.對控制的監督是指被審計單位評價內部控制在一段時間內運行有效性的過程。對控制的監督涉及及時評估控制的有效性並採取必要的補救措施。管理層通過持續的監督活動、單獨的評價活動或兩者相結合實現對控制的監督。持續的監督活動通常貫穿於被審計單位日常重複的活動中,包括常規管理和監督工作。
99.管理層的監督活動可能包括利用與外部有關各方溝通所獲取的信息(如可能表明存在問題或需要改進的領域的顧客投訴和監管機構的意見)。
對小型被審計單位的特殊考慮
100.管理層對控制的監督經常通過管理層或業主兼經理對經營活動的密切參與來實現。通過密切參與經營活動,可以識別出與預期不同的重大差異和不準確的財務數據,從而可以對控制採取補救措施。
內部審計〈(參見本準則第二十六條)〉
101.如果被審計單位內部審計的職責和活動與財務報告相關,並且註冊會計師預期利用內部審計人員的工作,以修改擬實施審計程序的性質或時間安排或者縮小擬實施審計程序的範圍,則內部審計可能與審計相關。如果註冊會計師確定內部審計與審計相關,則《中國註冊會計師審計準則第1411號——利用內部審計人員的工作》適用。
102.各種實體內部審計的目標及其職責的性質和在組織中的地位都各不相同,取決於實體的規模和結構、管理層和適當的治理層(如適用)的要求。例如,內部審計的職責可能包括監督內部控制、風險管理、檢查對法律法規的遵守情況。另一方面,內部審計的職責可能僅限於檢查經營活動的經濟性、效率性和有效性,因此可能與財務報告無關。
103.如果內部審計職責的性質與財務報告相關,註冊會計師在考慮內部審計已實施或擬實施的活動時,可以檢查內部審計在本期的審計計劃(如存在)並與內部審計人員討論該計劃。
信息來源〈(參見本準則第二十七條)〉
104.監督活動中使用的很多信息可能由被審計單位的信息系統產生。如果管理層假定用於監督的數據是準確的而這一假定沒有依據,則這些信息可能存在錯誤,導致管理層從監督活動中得出不正確的結論。因此,註冊會計師需要了解以下事項,並將其作為了解被審計單位監督活動(內部控制要素)的一部分:
(1)與被審計單位監督活動相關的信息來源;
(2)管理層認為信息對於信息的使用目的足夠可靠的依據。四、識別和評估重大錯報風險
(一)評估財務報表層次重大錯報風險 編輯 |
〈(參見本準則第二十八條第(一)項)〉 |
105.財務報表層次重大錯報風險是指與財務報表整體廣泛相關,並潛在地影響多項認定的風險。這種性質的風險不一定限定於某類交易、賬戶餘額或披露層次的特定認定的風險,而在一定程度上代表了可能增加認定層次重大錯報風險的情況,如管理層凌駕於內部控制之上。財務報表層次的風險可能與註冊會計師考慮由於舞弊導致的重大錯報風險尤其相關。
106.財務報表層次的風險很可能源於控制環境存在缺陷(雖然這些風險還可能與其他因素相關,如經濟下滑)。例如,管理層缺乏勝任能力等缺陷可能對財務報表具有更廣泛的影響,可能需要註冊會計師採取總體應對措施。
107.註冊會計師在了解被審計單位內部控制後,可能對被審計單位財務報表的可審計性產生懷疑。例如:
(1)對管理層的誠信產生嚴重疑慮,以致註冊會計師認為管理層在財務報表中作出虛假陳述的風險非常大而無法進行審計;
(2)對被審計單位會計記錄的狀況和可靠性的疑慮,可能使註冊會計師認為可能很難獲取充分、適當的審計證據,以支持對財務報表發表無保留意見。
108.《中國註冊會計師審計準則第1502號——在審計報告中發表非無保留意見》及其應用指南為註冊會計師確定是否有必要出具保留意見、無法表示意見或在某些情況下解除業務約定(在適用的法律法規允許解除約定的情況下)作出了規定並提供了指引。
(二)評估認定層次重大錯報風險 編輯 |
〈(參見本準則第二十八條第(二)項)〉 |
109.註冊會計師需要考慮各類交易、賬戶餘額和披露認定層次的重大錯報風險,因為這些考慮直接有助於確定用於獲取充分、適當的審計證據而在認定層次實施的進一步審計程序的性質、時間安排和範圍。在識別和評估認定層次重大錯報風險時,註冊會計師可能認為識別出的風險與財務報表整體廣泛相關,進而潛在地影響多項認定。
對認定的運用
110.在聲明財務報表按照適用的財務報告編制基礎編制時,管理層對財務報表各種要素及相關披露的確認、計量、列報與披露作出明確或隱含的認定。
111.註冊會計師在考慮可能發生的潛在錯報的不同類型時運用的認定,分為以下三類並可能採取以下形式:
(1)關於所審計期間各類交易和事項的認定:
① 發生——記錄的交易或事項已發生,且與被審計單位有關;
② 完整性一一所有應當記錄的交易和事項均已記錄;
③ 準確性一一與交易和事項有關的金額及其他數據已恰當記錄;
④ 截止——交易和事項已記錄於正確的會計期間;
⑤ 分類一一交易和事項已記錄於恰當的賬戶;
(2)關於期末賬戶餘額的認定:
① 存在——記錄的資產、負債和所有者權益是存在的;
② 權利和義務——記錄的資產由被審計單位擁有或控制,記錄的負債是被審計單位應當履行的償還義務;
③ 完整性——所有應當記錄的資產、負債和所有者權益均已記錄;
④ 計價和分攤——資產、負債和所有者權益以恰當的金額包括在財務報表中,與之相關的計價或分攤調整已恰當記錄;
(3)與列報和披露相關的認定:
① 發生以及權利和義務——披露的交易、事項和其他情況已發生,且與被審計單位有關;
② 完整性——所有應當包括在財務報表中的披露均已包括;
③ 分類和可理解性一一財務信息已被恰當地列報和描述,且披露內容表述清楚;
④ 準確性和計價一一財務信息和其他信息已公允披露,且金額恰當。
112.註冊會計師可以使用上述認定,或在能夠涵蓋上述所有方面的前提下以其他不同的方式表述。例如,註冊會計師可以將與交易和事項相關的認定和與賬戶餘額相關的認定結合使用。
對公共部門實體的特殊考慮
113.當管理層對公共部門實體的財務報表作出認定時,除本指南第111段提及的認定外,管理層通常聲明交易和事項已按照法律法規或其他監管要求執行。這些認定可以納入財務報表審計的範疇。
(三)識別重大錯報風險的過程 編輯 |
〈(參見本準則第二十九條第(一)項)〉 |
114.通過實施風險評估程序收集的信息,包括在評價控制的設計及確定其是否得到執行時獲取的審計證據,可以作為支持風險評估結果的審計證據。風險評估結果決定了擬實施的進一步審計程序的性質、時間安排和範圍。
115.本指南附錄2列示了可能表明存在重大錯報風險的情況和事項。
(四)將控制與認定相聯繫 編輯 |
〈(參見本準則第二十九條第(三)項)〉 |
116.在進行風險評估時,註冊會計師可能識別出可以防止或發現並糾正特定認定的重大錯報的控制。一般而言,了解這些控制,並在控制所在的流程和系統中將這些控制與認定相聯繫,是很有幫助的,因為單個控制活動本身往往並不足以應對風險。通常只有多個控制活動,連同內部控制的其他要素,才能足以應對風險。
117.相反地,某些控制活動可能對特定類別的交易或賬戶餘額所包含的個別認定具有特定影響。例如,被審計單位建立的用以確保員工能夠適當地盤點和記錄年度實物存貨的控制活動,與存貨賬戶餘額的存在和完整性認定直接相關。
118.控制可能與某一認定直接相關,也可能與某一認定間接相關。關係越間接,控制在防止或發現並糾正該認定中錯報的有效性越小。例如,銷售經理對分地區的銷售網點的銷售匯總情況進行覆核,與銷售收入完整性的認定只是間接相關。相應地,該項控制在降低銷售收入完整性認定中的錯報風險方面的效果,要比與該認定直接相關的控制(例如,將發貨單與開具的銷售發票相核對)的效果差。
(五)特別風險 編輯
識別特別風險〈(參見本準則第三十一條)〉
119.特別風險通常與重大的非常規交易和判斷事項有關。非常規交易是指由於金額或性質異常而不經常發生的交易。判斷事項可能包括作出的會計估計(具有計量的重大不確定性)。經過系統處理的日常、簡單的交易不太可能產生特別風險。
120.對由於如下事項導致的重大非常規交易,重大錯報風險可能更高:
(1)管理層更多地干預會計處理;
(2)對數據的收集和處理進行更多的人工干預;
(3)複雜的計算或會計處理方法;
(4)非常規交易的性質可能使被審計單位難以對由此產生的風險實施有效控制。
121.對由於如下事項導致的需要作出會計估計的重大判斷事項,重大錯報風險可能更高:
(1)對涉及會計估計、收入確認等方面的會計原則存在不同的理解;
(2)所要求的判斷可能是主觀或複雜的,或需要對未來事項的影響作出假設,如對公允價值的判斷。
122.《中國註冊會計師審計準則第1231號——針對評估的重大錯報風險採取的應對措施》說明了識別特別風險對進一步審計程序的影響。
與由於舞弊導致的重大錯報風險相關的特別風險
123.《中國註冊會計師審計準則第1141號——財務報表審計中與舞弊相關的責任》對識別和評估由於舞弊導致的重大錯報風險作出了規定。
了解與特別風險相關的控制〈(參見本準則第三十二條)〉
124.雖然與重大非常規交易或判斷事項相關的風險通常很少受到日常控制的約束,管理層可能採取其他措施應對此類風險。相應地,註冊會計師在了解被審計單位是否設計和執行了針對非常規交易或判斷事項導致的特別風險的控制時,通常了解管理層是否以及如何應對這些風險。管理層採取的應對措施可能包括:
(1)控制活動,如高級管理人員或專家對假設進行檢查;
(2)對估計流程作出記錄;
(3)治理層作出批准。
125.如果發生諸如收到重大訴訟事項的通知等一次性事件,註冊會計師在考慮被審計單位的應對措施時,關注的事項包括:被審計單位是否已將這類事項提交適當的專家(如內部或外部的法律顧問)處理,是否已對該事項的潛在影響作出評估,如何建議將該情況在財務報表中進行披露。
126.在某些情況下,管理層可能未能通過實施針對特別風險的控制恰當應對特別風險。管理層未能實施這些控制表明存在值得關注的內部控制缺陷。
(六)僅實施實質性程序不能獲取充分、適當的審計證據的風險 編輯 |
〈(參見本準則第三十三條)〉 |
127.重大錯報風險可能與記錄日常交易或賬戶餘額以及編制可靠的財務報表直接相關。這些風險可能包括對日常和重大類別的交易(如被審計單位的收入、採購、現金收入或現金支出)處理不準確或不完整的風險。
128.如果日常交易由高度自動化處理,不存在或存在很少人工干預,針對風險僅實施實質性程序可能不可行。例如,如果被審計單位大量信息在一體化的系統中僅以電子方式生成、記錄、處理或報告,註冊會計師可能認為會出現以上情況。在這種情況下:
(1)獲取的審計證據可能僅以電子形式存在,其充分性和適當性通常取決於針對準確性和完整性的控制的有效性;
(2)如果適當的控制沒有正在有效運行,信息不當生成或對信息進行不當修改而沒有被發現的可能性會增加。
129.《中國註冊會計師審計準則第1231號——針對評估的重大錯報風險採取的應對措施》說明了識別出這些風險對進一步審計程序的影響。
(七)對風險評估的修正 編輯 |
〈(參見本準則第三十四條)〉 |
130.在審計過程中,註冊會計師可能注意到某些信息,其明顯不同於風險評估所依據的信息。例如,風險評估可能基於預期特定控制運行有效這一判斷,但在測試控制運行的有效性時,註冊會計師獲取的證據可能表明這些控制在被審計期間的相關時點並未有效運行。類似地,在實施實質性程序時,註冊會計師可能發現錯報的金額或頻率髙於在風險評估時預計的金額或頻率。在這種情況下,風險評估可能沒有恰當地反映被審計單位的真實狀況,原計劃的進一步審計程序對於發現重大錯報可能無效。《中國註冊會計師審計準則第1231號——針對評估的重大錯報風險採取的應對措施》及其應用指南對此作出了進一步規定並提供了進一步指引。
五、審計工作底稿 編輯 |
〈(參見本準則第三十五條)〉 |
131.註冊會計師需要運用職業判斷,確定對本準則第三十五條規定的事項進行記錄的方式。例如,在小型被審計單位的審計中,這些事項的工作底稿可能包含在總體審計策略和具體審計計劃的工作底稿中。類似地,風險評估的結果可以單獨予以記錄,也可作為註冊會計師對進一步審計程序記錄的一部分。審計工作底稿的形式和範圍受被審計單位性質、規模、複雜程度、內部控制、被審計單位信息的可獲得性,以及審計過程中使用的審計方法和技術的影響。
132.對於與財務報告相關的業務和流程不太複雜的被審計單位,審計工作底稿可以形式簡單,內容相對概括。註冊會計師沒有必要記錄對被審計單位及相關事項了解的所有內容。註冊會計師記錄的了解的關鍵要素包括在重大錯報風險評估時所依據的內容。
133.記錄的範圍也能反映審計項目組成員的經驗與勝任能力。只要能夠滿足《中國註冊會計師審計準則第1131號——審計工作底稿》的要求,由經驗較少的成員組成的項目組執行審計時,可能需要比成員經驗較多的項目組作出更加詳細的記錄,以幫助經驗較少的成員恰當了解被審計單位。
134.對於連續審計,某些工作底稿在必要時可能需要結轉、吏新,以反映被審計單位業務或流程的變化。
附錄 編輯
附錄1:〈(參見本準則第二條、第十七條至第二十七條、本指南第69段至第104段)〉
內部控制要素 編輯
1.本準則第二條、第十七條至第二十七條、本指南第69段至第104段列示的內部控制要素與財務報表審計相關,本附錄作出進一步說明。
一、控制環境 編輯
2.控制環境包括以下要素:
(1)對誠信和道德價值觀的溝通與落實。控制的有效性受負責創建、管理和監控內部控制的人員的誠信和道德價值觀的影響。被審計單位的道德行為規範,以及這些規範如何在被審計單位內部得到溝通和落實,決定了是否能產生誠信和道德的行為。例如,對誠信和道德價值觀的落實包括管理層釆取措施消除或減少可能導致員工不誠實、不守法或不道德行為的動機或誘因。被審計單位對誠信和道德價值觀方面政策的溝通包括通過政策規定、行為規範和示範向員工溝通行為準則。
(2)對勝任能力的重視。勝任能力是指具備完成某一職位的工作所應有的知識和技能。
(3)治理層的參與程度。被審計單位的控制意識在很大程度上受治理層的影響。治理層職責的重要性在被審計單位的行為守則、其他法律法規或在為治理層制定的指引中予以規定。治理層的職責還包括監督以下程序的設計和有效執行:內部舉報不恰當行為的程序和用於覆核內部控制有效性的程序。
(4)管理層的理念和經營風格。管理層的理念和經營風格具有廣泛的特點。例如,管理層對財務報告的態度及行為,可以通過其選擇保守還是激進的會計原則以及作出會計估計時的謹慎和保守態度得到體現。
(5)組織結構。建立相關的組織結構包括考慮職權和責任的關鍵領域,以及適當的報告層級。被審計單位組織結構是否恰當部分取決於被審計單位的規模和經營活動的性質。
(6)職權與責任的分配。職權與責任的分配可能包括與適當的經營慣例、關鍵員工的知識和經驗、履行職責時提供的資源相關的政策。此外,還可能包括一些政策及交流活動,用於保證所有員工均了解被審計單位目標、相互之間的工作聯繫以及個人的工作對實現目標的作用,認識到如何以及對什麼承擔責任。
(7)人力資源政策與實務。人力資源政策與實務通常能顯示與被審計單位控制意識相關的重要事項。例如,如果招聘錄用標準要求錄用最勝任的員工(即強調教育背景、以前的工作經驗、以前取得的成就、誠信和道德行為的證明),則表明被審計單位希望錄用有勝任能力並值得信賴的人員。被審計單位的培訓政策可以傳達預期角色及職責,並包括實務性培訓(如培訓學校和研討會),這表明了員工預期的工作表現和行為方式。通過定期業績考核予以晉升的政策表明被審計單位希望具備相應資格的員工承擔更高級別的職責。
二、被審計單位的風險評估過程 編輯
3.就財務報告的目的而言,被審計單位的風險評估過程包括管理層如何識別與按照適用的財務報告編制基礎編制財務報表相關的經營風險,估計其重要性,評估其發生的可能性,針對這些風險採取措施應對和管理風險及其結果。例如,被審計單位的風險評估過程可能針對被審計單位如何考慮交易未被記錄的可能性,或識別並分析財務報表中記錄的重大估計。
4.與可靠的財務報告相關的風險包括可能發生的外部和內部事項、交易或情況,這些事項、交易或情況會對被審計單位生成、記錄、處理和報告財務報表中與管理層認定相一致的財務數據產生不利影響。管理層可能會制定計劃、執行程序或採取措施以解決特定風險,或者出於成本或其他考慮決定接受風險。以下情況可能會產生或改變風險:
(1)監管環境和經營環境的變化。監管環境和經營環境的變化會導致競爭壓力的變化以及顯著不同的風險。
(2)新員工。新員工可能對內部控制有不同的關注點或認識。
(3)新的或升級的信息系統。信息系統重大、快速的變化會改變與內部控制有關的風險。
(4)快速增長。重要、快速的業務擴張可能使控制難以應對,從而增加了控制失效的風險。
(5)新技術。將新技術運用於生產過程或信息系統可能改變與內部控制相關的風險。
(6)新業務模式、產品或活動。進入新的業務領域和發生新的交易,可能因被審計單位具有較少的經驗而帶來新的與內部控制相關的風險。
(7)公司重組。重組可能帶來裁員和監督及職責分離的變化,可能改變與內部控制相關的風險。
(8)擴張海外經營。在海外擴張或收購海外企業會產生新的並且往往是獨特的風險,進而可能影響內部控制,如由於外幣交易產生的額外或已變化的風險。
(9)新的會計政策。採用新的會計政策或變更會計政策可能影響財務報表編制過程中的風險。
三、與財務報告相關的信息系統(包括相關業務流程)與溝通 編輯
5.信息系統包括基礎設施(實物或硬件部分)、軟件、人員、程序及數據。很多信息系統都廣泛使用信息技術。
6.與財務報告目標相關的信息系統(包括財務報告系統)包括關於下列事項的方法和記錄:
(1)識別與記錄所有的有效交易;
(2)以充分詳細的方式及時地描述交易,以便在財務報告中對交易作出恰當分類;
(3)以在財務報表中正確記錄交易的貨幣價值的方式計量交易的價值;
(4)確定交易發生的期間,以便將交易計入恰當的會計期間;
(5)在財務報表中恰當列報交易及相關披露。
7.信息系統生成信息的質量,影響管理層在管理和控制被審計單位活動時作出恰當的決策以及編制可靠的財務報告的能力。
8.溝通,涉及使員工了解各自在財務報告內部控制方面的角色和職責,可以採用政策手冊、會計和財務報告手冊以及備忘錄等形式。溝通也可以採用電子方式或口頭方式,以及通過管理層的行動來實現。
四、控制活動 編輯
9.通常情況下,可能與審計相關的控制活動可以分為與下列事項相關的政策和程序:
(1)業績評價。這些控制活動包括被審計單位分析及評價實際業績與預算、預測和前期業績的差異,將不同類別的數據(經營或財務數據)聯繫起來,分析之間的關係,進行調查並採取糾正措施;將內部數據與外部信息相比較;評價職能部門、項目活動的業績。
(2)信息處理。信息系統控制活動的兩大類是應用控制和信息技術一般控制。應用控制運用於處理單個應用程序,信息技術一般控制是與多個應用程序相關的政策和程序,通過保證信息系統持續恰當地運行,支持應用控制作用的有效發揮。應用控制的舉例包括對記錄計算準確性的檢查,對賬戶和試算平衡表的維護和審核,自動控制(如設置對輸入數據和數字序號的自動檢查),以及對例外報告的人工跟進調查。信息技術一般控制的舉例包括程序變動控制,限制接觸程序或數據的控制,對實施新發布的軟件包應用程序的控制,針對限制接觸或監督使用系統應用程序的系統軟件的控制,使用這些系統應用程序可能更改財務數據或記錄而不留下審計軌跡。
(3)實物控制。實物控制包括下列控制:
① 保證資產的實物安全,包括恰當的安全保護措施,如針對接觸資產和記錄的安全設施;
② 對接觸計算機程序和數據文檔設置授權;
③ 定期盤點並將盤點記錄與控制記錄相核對(如將會計記錄與現金、有價證券和存貨的定期盤點結果相比較)。
旨在防止資產盜竊的實物控制,與財務報表編制的可靠性及審計相關,相關的程度取決於資產被侵占的風險。
(4)職責分離。即將交易授權、記錄交易以及資產保管等職責分配給不同員工。職責分離旨在降低同一員工在正常履行職責過程中實施並隱瞞舞弊或錯誤的可能性。
10.某些控制活動可能取決於是否存在由管理層或治理層制定的、恰當的高層次政策。例如,可能按照既定的指導方針(如治理層制定的投資標準)進行授權控制;或省非常規交易(如重大收購或撤資)可能需要特定的高級別的批准,包括在某些情況下由股東批准。
五、對控制的監督 編輯
11.管理層的一項重要職責就是持續不斷地建立和維護控制。管理層對控制的監督包括考慮控制是否按計劃運行,以及控制是否根據情況的變化作出恰當修改。例如,對控制的監督可能包括管理層對是否及時編制銀行存款餘額調節表進行覆核,內部審計人員評價銷售人員是否遵守被審計單位關於銷售合同條款的政策,法律部門監控被審計單位的道德規範和商業行為政策是否得到遵守等。監督也用於保證控制持續有效運行。例如,如果沒有對編制銀行存款餘額調節表的及時性和準確性進行監督,相關人員可能停止編制該表。
12.內部審計人員或具有類似職責的人員可以通過單獨評價促成對被審計單位控制的監督。他們通常定期提供關於內部控制職能的信息(着力於評價內部控制的有效性\就內部控制的優勢和缺陷進行溝通,並提出改進建議。
13.監督活動可能包括利用與外部有關機構或人員溝通所獲取的信息,這些外部信息可能顯示內部控制存在的問題或需要改進的領域。例如,客戶通過付款來間接表示其同意發票金額,或者對發票金額提出異議。此外,監管機構可能會對影響內部控制運行的問題與被審計單位溝通(例如,銀行監管機構針對檢查所作的溝通)。在執行監督活動時,管理層也可能考慮與註冊會計師就內部控制進行溝通。
附錄2:〈(參見本指南第33段和第115段)〉
可能表明存在重大錯報風險的情況和事項 編輯
以下是可能表明存在重大錯報風險的情況和事項的示例。這些情況和事項涵蓋範圍廣泛,然而,並非所有的情況和事項都與每項審計業務相關,下面所列情況和事項也不一定完整。
1.在經濟不穩定(如貨幣發生重大貶值或經濟發生嚴重通貨膨脹)的國家或地區開展業務;
2.在高度波動的市場開展業務(如期貨交易);
3.在高度複雜的監管環境中開展業務;
4.持續經營和資產流動性出現問題,包括重要客戶流失;
5.獲取資本或借款的能力受到限制;
6.被審計單位經營所處的行業發生變化;
7.供應鏈發生變化;
8.開發新產品或提供新服務,或進入新的業務領域;
9.開闢新的經營場所;
10.被審計單位發生變化,如發生重大收購、重組或其他異常的事項;
11.擬出售分支機構或業務分部;
12.存在複雜的聯營或合資企業;
13.運用表外融資、特殊目的實體以及其他複雜的融資安排;
14.從事重大的關聯方交易;
15.缺乏具備會計和財務報告技能的員工;
16.關鍵人員變動(包括核心執行人員的離職);
17.內部控制存在缺陷,尤其是管理層未處理的內部控制缺陷;
18.信息技術戰略與經營戰略不協調;
19.信息技術環境發生變化;
20.安裝新的與財務報告有關的重大信息技術系統;
21.經營活動或財務業績受到監管機構或政府機構的調查;
22.以往發生的錯報或錯誤,或者在本期期末出現重大會計調整;
23.發生大額非常規或非系統性交易(包括公司間的交易和在期末發生大量收入的交易);
24.按照管理層特定意圖記錄的交易(如債務重組、資產出售,交易性債券的分類);
25.採用新的會計準則;
26.涉及複雜過程的會計計量;
27.涉及重大計量不確定性(包括會計估計)的事項或交易;
28.存在未決訴訟和或有負債(如售後質量保證、財務擔保和環境補救)。
參見 編輯
Public domainPublic domainfalsefalse