第七章 风险评估
本章考情分析
|
考题类型 |
单选题、多选题、简答题、综合题 |
|
考试分值 |
9分左右 |
|
高频考点 |
了解被审计单位及其环境等情况、风险评估程序与项目组讨论、了解被审计单位内部控制、风险评估理论、风险评估实际应用、特别风险、固有风险评估等 |
|
复习提示 |
本章属于考试重点章节,理论知识内容多,需要考试理解和记忆的知识点数量多,此外本章考试时会涉及部分教材之外的联系实务的习题 |
第四节 了解被审计单位内部控制体系各要素
一、内部控制的概念和要素
(一)含义
|
内部控制 (简称控制) |
是指被审计单位为实现控制目标所制定的政策和程序 【提示】政策是指被审计单位为了实施控制而作出的应当或不应当采取某种措施的规定;程序是指为执行政策而采取的行动。 |
|
内部控制体系 |
是指由治理层、管理层和其他人员(均为被审计单位内部人员)设计、执行和维护的体系,以合理保证被审计单位能够实现财务报告的可靠性,提高经营效率和效果,以及遵守适用的法律法规等目标 |
(二)三目标
|
报告 |
合理保证被审计单位能够实现财务报告的可靠性 |
|
经营 |
合理保证提高经营效率和效果 |
|
合规 |
合理保证遵守适用的法律法规等 |
(三)五要素
内部控制体系包含五个相互关联的要素:
(1)内部环境(控制环境)。
(2)风险评估。
(3)信息与沟通(信息系统与沟通)。
(4)控制活动。
(5)内部监督。
二、直接控制和间接控制
(一)识别与审计相关的控制方法
1.注册会计师审计的目标
是对财务报表是否不存在重大错报发表审计意见,尽管要求注册会计师在财务报表审计中考虑与审计相关的内部控制,但目的并非对被审计单位内部控制的有效性发表意见。
2.注册会计师了解内部控制的要求
(1)注册会计师需要了解和评价的内部控制,只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制。(注册会计师角度)
(2)被审计单位目标与为实现目标提供合理保证的控制之间存在直接关系。被审计单位的目标和控制,与财务报告、经营及合规有关。但这些目标和控制并非都与注册会计师的风险评估相关。(被审计单位角度)
3.与审计相关的内部控制
(1)虽然大部分与审计相关的控制可能与财务报告相关,但并非所有与财务报告相关的控制都与审计相关,确定一项控制单独或连同其他控制是否与审计相关,需要注册会计师作出职业判断。
(2)如果与经营和合规目标相关的控制与注册会计师实施审计程序时评价或使用的数据相关,则这些控制也可能与审计相关。
(3)如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息,针对该信息完整性和准确性的控制可能与审计相关。
(4)用于防止未经授权购买、使用或处置资产的内部控制,可能包括与财务报告和经营目标相关的控制。注册会计师对这些控制的考虑,通常仅限于与财务报告可靠性相关的控制。
(5)被审计单位通常有一些与目标相关但与审计无关的控制,注册会计师无须对其加以考虑。(比如复杂的自动化控制提高经营活动的效率和效果,但通常与审计无关)
(6)与审计相关的控制可分为直接控制和间接控制,这种分类有助于注册会计师识别和评估财务报表层次以及认定层次的重大错报风险。
4.注册会计师在判断一项控制单独或连同其他控制是否与审计相关时,可能考虑下列事项:
(1)重要性;
(2)相关风险的重要程度;
(3)被审计单位的规模;
(4)被审计单位业务的性质,包括组织结构和所有权特征;
(5)被审计单位经营的多样性和复杂性;
(6)适用的法律法规;
(7)内部控制的情况和适用的要素;
(8)作为内部控制组成部分的系统(包括使用服务机构)的性质和复杂性;
(9)一项特定控制(单独或连同其他控制)是否以及如何防止或发现并纠正重大错报。
(二)直接控制和间接控制区分的依据及作用
1.区分依据
与审计相关的控制,按照其对防止、发现或纠正认定层次错报发挥作用的方式,分为直接控制和间接控制。
|
分类 |
含义 |
发挥作用的方式 |
|
直接控制 |
是指足以精准防止、发现或纠正认定层次错报的内部控制 |
对防止、发现或纠正认定层次错报产生直接影响 |
|
间接控制 |
是指不足以精准防止、发现或纠正认定层次错报的内部控制 |
对防止、发现或纠正认定层次错报产生间接影响 |
2.内控五要素中的控制类型
|
内控要素 |
控制类别 |
说明 |
|
信息系统与沟通 控制活动 |
主要为直接控制 |
注册会计师对这些要素的了解和评价更有可能影响其对认定层次重大错报风险的识别和评估 |
|
内部环境 风险评估 内部监督 |
主要是间接控制,某些控制也可能是直接控制 |
间接控制虽不足以精准地防止、发现或纠正认定层次的错报,但可以支持其他控制 |
3.内部环境、风险评估和内部监督的作用
(1)内部环境为内部控制体系其他要素的运行奠定了总体基础。内部环境不能直接防止、发现并纠正错报,但其可能影响内部控制体系其他要素中控制的有效性。同样,风险评估和内部监督也旨在支持整个内部控制体系。
(2)由于内部环境、风险评估和内部监督是被审计单位内部控制体系的基础,其运行中的任何缺陷都可能对财务报表的编制产生广泛的影响。因此,注册会计师对这些要素的了解和评价,更有可能影响其对财务报表层次重大错报风险的识别和评估,也可能影响对认定层次重大错报风险的识别和评估。
三、了解内部控制的性质和程度
(一)了解内部控制的性质
1.目的
为了评价控制设计的有效性以及控制是否得到执行。
2.作用
(1)注册会计师了解被审计单位内部控制体系各项要素,有助于其初步了解被审计单位如何识别和应对经营风险。
(2)这些了解也可能以不同方式,影响注册会计师对重大错报风险的识别和评估。这有助于注册会计师设计和实施进一步审计程序,包括计划测试控制运行的有效性。例如:
①注册会计师了解被审计单位的内部环境、风险评估和内部监督要素,更有可能影响财务报表层次重大错报风险的识别和评估;
②注册会计师了解被审计单位的信息系统与沟通以及控制活动要素,更有可能影响认定层次重大错报风险的识别和评估。
(二)了解内部控制的程度
1.含义
对内部控制了解的程度,是指注册会计师在实施风险评估程序时,了解被审计单位内部控制的范围及深度。包括评价控制设计的有效性,并确定其是否得到执行(控制存在且被审计单位正在使用),但不包括对控制是否得到一贯执行的测试(属于控制测试)。
【提示】了解内控≠测试内控。
2.评价控制的设计
(1)评价控制设计的有效性,涉及考虑该控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。
(2)评估一项无效控制的运行没有什么意义,因此,需要首先考虑控制的设计。设计不当的控制可能表明存在值得关注的内部控制缺陷。
3.为了解内部控制实施的程序
注册会计师通常实施下列风险评估程序,以获取有关控制设计有效性和控制是否得到执行的审计证据:
(1)询问被审计单位的人员;
询问本身并不足以评价控制设计的有效性以及确定其是否得到执行,注册会计师应当将询问与其他风险评估程序结合使用。
(2)观察特定控制的运用;
(3)检查文件和报告;
(4)追踪交易在财务报告信息系统中的处理过程(穿行测试)。
【提示】了解内部控制通常不涉及分析程序和重新执行。
4.了解内部控制与测试控制运行有效性的关系
(1)评价设计有效的控制是否得到执行,属于了解内部控制的目的。(属于风险评估程序)
(2)测试控制运行的有效性即控制是否得到一贯执行,属于控制测试的目的。(属于进一步审计程序)
(3)除非存在某些可以使控制得到一贯运行的自动化控制,否则,注册会计师对控制的了解并不足以测试控制运行的有效性。(某时点得到执行,并不能证明其他时点也有效运行)
(4)由于信息技术处理流程的内在一贯性,实施审计程序确定某项自动化控制是否得到执行,也可能实现对控制运行有效性测试的目标,这取决于注册会计师对控制(如针对程序变更的控制)的评估和测试。
四、内部控制的人工和自动化成分
(一)考虑内部控制的人工和自动化特征及其影响
1.大多数被审计单位都需要使用信息技术。然而即使信息技术得到广泛使用,人工因素仍然会存在于这些系统之中。
2.不同的被审计单位采用的控制系统中人工控制和自动化控制的比例是不同的。
3.内部控制可能既包括人工成分,又包括自动化成分,在风险评估以及设计和实施进一步审计程序时,注册会计师应当考虑内部控制的人工和自动化特征及其影响。
4.无论被审计单位的经营环境是以人工为主还是完全自动化,亦或是人工和自动化要素的组合(即人工控制和自动化控制相结合以及被审计单位内部控制体系中使用的其他资源),审计的总体目标和范围都没有区别。
(二)信息技术的优势及相关内部控制风险
1.优势
信息技术通常在下列方面提高被审计单位内部控制的效率和效果:
(1)在处理大量的交易或数据时,一贯运用事先确定的业务规则,并进行复杂运算;
(2)提高信息的及时性、可获得性及准确性;
(3)促进对信息的深入分析;
(4)提高对被审计单位的经营业绩及其政策和程序执行情况进行监督的能力;
(5)降低控制被规避的风险;
(6)通过对应用程序系统、数据库系统和操作系统执行安全控制,提高不兼容职务分离的有效性。
2.可能对内部控制产生的特定风险
(1)所依赖的系统或程序不能正确处理数据,或处理了不正确的数据,或两种情况并存;
(2)未经授权访问数据,可能导致数据的毁损或对数据不恰当的修改,包括记录未经授权或不存在的交易,或不正确地记录了交易;多个用户同时访问同一数据库可能会造成特定风险;
(3)信息技术人员可能获得超越其职责范围的数据访问权限,破坏了系统应有的职责分工;
(4)未经授权改变主文档的数据;
(5)未经授权改变系统或程序;
(6)未能对系统或程序作出必要的修改;
(7)不恰当的人为干预;
(8)可能丢失数据或不能访问所需要的数据。
(三)人工控制的适用范围及相关内部控制风险
1.适用范围
(1)在处理下列需要主观判断或酌情处理的情形时可能更为适当:
①存在大额、异常或偶发的交易;
②存在难以界定、预计或预测的错误的情况;
③针对变化的情况,需要对现有的自动化控制进行人工干预;
④监督自动化控制的有效性。
(2)注册会计师应当考虑人工控制在下列情形中可能是不适当的:
①存在大量或重复发生的交易;
②事先可预见或预测的错误能够通过自动化控制参数得以防止或发现并纠正;
③用特定方法实施控制的控制活动可得到适当设计和自动化处理。
2.特定风险
(1)人工控制可能更容易被规避、忽视或凌驾;
(2)人工控制可能不具有一贯性;
(3)人工控制可能更容易产生简单错误或失误。
【提示】相对于自动化控制,人工控制的可靠性较低。
五、内部控制的局限性
1.内部控制无论如何有效,都只能为被审计单位实现财务报告目标提供合理保证。
2.内部控制实现目标的可能性受其固有限制的影响。这些限制包括:
(1)在决策时人为判断可能出现错误和因人为失误而导致内部控制失效。
(2)控制可能由于两个或更多的人员进行串通或管理层不当地凌驾于内部控制之上而被规避。
此外还包括以下控制:
(1)如果被审计单位内部行使控制职能的人员素质不适应岗位要求,也会影响内部控制功能的正常发挥。
(2)被审计单位实施内部控制的成本效益问题也会影响其职能,当实施某项控制成本大于控制效果而发生损失时,就没有必要设置控制环节或控制措施。
(3)内部控制一般都是针对经常而重复发生的业务而设置的,如果出现不经常发生或未预计到的业务,原有控制就可能不适用。
六、与财务报表编制相关的内部环境(内控五要素之一)
(一)注册会计师应当实施的相关风险评估程序
1.了解涉及下列方面的控制、流程和组织结构
(1)管理层如何履行其管理职责,例如,被审计单位的组织文化,管理层是否重视诚信、道德和价值观;
(2)在治理层与管理层分离的体制下,治理层的独立性以及治理层监督内部控制体系的情况;
(3)被审计单位内部权限和职责的分配情况;
(4)被审计单位如何吸引、培养和留住具有胜任能力的人员;
(5)被审计单位如何使其人员致力于实现内部控制体系的目标。
2.评价下列方面的情况
(1)在治理层的监督下,管理层是否营造并保持了诚实守信和合乎道德的文化;
(2)根据被审计单位的性质和复杂程度,内部环境是否为内部控制体系的其他要素奠定了适当的基础;
(3)识别出的内部环境方面的控制缺陷,是否会削弱被审计单位内部控制体系的其他要素。
3.在信息技术环境下,注册会计师应当重视对被审计单位使用信息技术相关的内部环境的评价,包括:
(1)对信息技术的治理是否与被审计单位及其由信息技术支撑的业务经营的性质和复杂程度相称,包括被审计单位的技术平台或架构的复杂程度或成熟程度,以及被审计单位依赖信息技术应用程序支持财务报告的程度;
(2)与信息技术和资源分配相关的管理层组织结构,例如,被审计单位是否已投资了适当的信息技术环境和必要的升级,或者被审计单位使用商业软件时(未对软件进行修改或仅进行有限修改)是否雇用了充足的具有适当技术的人员。
(二)内部环境的概念和构成要素
1.概念和作用
|
定义 |
内部环境包括治理职能和管理职能,以及治理层和管理层对内部控制体系及其重要性的态度、认识和行动 |
|
作用 |
内部环境设定了被审计单位的内部控制基调,影响员工的内部控制意识,并为被审计单位内部控制体系中其他要素的运行奠定了总体基础 |
2.注册会计师了解内部环境的要求
|
必要性 |
(1)防止或发现并纠正舞弊和错误是被审计单位治理层和管理层的责任 (2)注册会计师应当了解管理层在治理层的监督下,是否营造并保持了诚实守信和合乎道德的文化,以及是否建立了防止或发现并纠正舞弊和错误的恰当控制 |
|
时间 |
在审计业务承接阶段,注册会计师就需要对内部环境作出初步了解和评价 |
(三)了解内部环境的构成要素
1.对诚信和道德价值观念的沟通与落实;
2.对胜任能力的重视;
3.治理层的参与程度;
4.管理层的理念和经营风格;
5.职权与责任的分配;
6.人力资源政策与实务。
(四)评价内部环境
1.在评价内部环境各个要素时,注册会计师应当考虑内部环境各个要素的控制是否得到执行。
2.在确定构成内部环境的要素是否得到执行时,注册会计师应当考虑将询问与其他风险评估程序相结合以获取审计证据。
(五)内部环境的影响
1.内部环境对重大错报风险的评估具有广泛影响。
2.有助于降低发生舞弊的风险
(1)虽然令人满意的控制环境并不能绝对防止舞弊,但却有助于降低发生舞弊的风险。
(2)有效的内部环境还能为注册会计师相信在以前年度和期中所测试的控制将继续有效运行提供一定基础。相反,内部环境中存在的弱点可能削弱控制的有效性。
3.内部环境本身并不能防止或发现并纠正各类交易、账户余额和披露认定层次的重大错报,注册会计师在评估重大错报风险时,应当将内部环境连同其他内部控制要素产生的影响一并考虑。
七、与财务报表编制相关的风险评估工作(内控五要素之二)
(一)注册会计师应当实施的相关风险评估程序
1.了解被审计单位的下列工作
(1)识别与财务报告目标相关的经营风险;
(2)评估上述风险的重要程度和发生的可能性;
(3)应对上述风险。
2.根据被审计单位的性质和复杂程度,评价其风险评估工作是否适合其具体情况。
3.如果注册会计师识别出重大错报风险,而管理层未能识别出这些风险,注册会计师应当:
(1)判断这些风险是否是被审计单位风险评估工作应当识别出的风险。如果注册会计师认为,这些风险是被审计单位风险评估工作应当识别出的风险,则应当了解被审计单位风险评估工作未能识别出这些风险的原因。
(2)考虑对前述的注册会计师“评价其风险评估工作是否适合其具体情况”的影响。
(二)被审计单位风险评估的概念
1.含义和作用
|
含义 |
被审计单位的风险评估过程包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施 |
|
作用 |
识别、评估和管理影响被审计单位实现经营目标能力的各种风险 而针对财务报告目标的风险评估则包括识别与财务报告相关的经营风险,评估风险的重大性和发生的可能性,以及采取措施管理这些风险 |
2.可能产生风险的事项和情况包括:(新+变)
(1)监管及经营环境的变化。
(2)新员工的加入。
(3)新信息系统的使用或对原系统进行升级。
(4)业务快速发展。
(5)新技术。
(6)新业务模式、产品和活动。
(7)企业重组。重组可能带来裁员以及管理职责的重新划分,将影响与内部控制相关的风险。
(8)发展海外经营。
(9)新的会计政策。
(10)使用信息技术。包括与下列事项相关的风险:
①维护处理的数据和信息的完整性、准确性和有效性;
②如果被审计单位的信息技术战略不能有效地支持其经营战略,则会产生经营战略风险;
③被审计单位的信息技术环境的变化或中断,信息技术人员的流动,或被审计单位未对信息技术环境进行必要的更新或更新不及时。
(三)对风险评估的了解
1.对风险评估的评价
(1)在评价被审计单位风险评估过程的设计和执行时,注册会计师应当确定管理层如何识别与财务报告相关的经营风险,如何估计该风险的重要性,如何评估风险发生的可能性,以及如何采取措施管理这些风险。
(2)如果被审计单位的风险评估符合其具体情况,了解被审计单位的风险评估工作有助于注册会计师识别财务报表的重大错报风险。
2.对风险评估的了解
(1)注册会计师对被审计单位整体层面的风险评估工作进行了解和评估时,考虑的主要因素可能包括:
①被审计单位是否已建立并沟通其整体目标,并辅以具体策略和业务流程层面的计划;
②被审计单位是否已建立风险评估,包括识别风险、估计风险的重大性、评估风险发生的可能性以及确定需要采取的应对措施;
③被审计单位是否已建立某种机制,识别和应对可能对被审计单位产生重大且普遍影响的变化,如在金融机构中建立资产负债管理委员会,在制造型企业中建立期货交易风险管理组等;
④会计部门是否建立了某种流程,以识别会计政策的重大变化;
⑤当被审计单位业务操作发生变化并影响交易记录的流程时,是否存在沟通渠道以通知会计部门;
⑥风险管理部门是否建立了某种流程,以识别经营环境包括监管环境发生的重大变化。
(2)注册会计师可以通过了解被审计单位及其环境的其他方面信息,评价被审计单位风险评估工作的有效性。
3.注册会计师对风险的评估
(1)注册会计师应当询问管理层识别出的经营风险,并考虑这些风险是否可能导致重大错报。
(2)在审计过程中,如果发现与财务报表有关的风险因素,注册会计师可通过向管理层询问和检查有关文件确定被审计单位的风险评估工作是否也发现了该风险;
(3)如果识别出管理层未能识别的重大错报风险,注册会计师应当考虑被审计单位的风险评估工作为何没有识别出这些风险,以及评估过程是否适合于具体环境,或者确定与风险评估相关的内部控制是否存在值得关注的内部控制缺陷。
八、与财务报表编制相关的信息系统与沟通(内控五要素之三)
(一)注册会计师应当实施的相关风险评估程序
1.了解被审计单位的信息处理活动(包括数据和信息),在这些活动中使用的资源,针对相关交易类别、账户余额和披露的信息处理活动的政策。具体包括:
(1)信息在被审计单位信息系统中的传递情况,包括交易如何生成,与交易相关的信息如何进行记录、处理、更正、结转至总账、在财务报表中报告,以及其他方面的相关信息如何获取、处理、在财务报表中披露;
(2)与信息传递相关的会计记录、财务报表特定项目以及其他支持性记录;
(3)被审计单位的财务报告过程;
(4)与上述第1点至第3点相关的被审计单位资源,包括信息技术环境。
2.了解被审计单位如何沟通与财务报表编制相关的重大事项,以及信息系统和内部控制体系其他要素中的相关报告责任。具体包括:
(1)被审计单位内部人员之间的沟通,包括就与财务报告相关的岗位职责和相关人员的角色进行的沟通;
(2)管理层与治理层之间的沟通;
(3)被审计单位与监管机构等外部各方的沟通。
3.评价被审计单位的信息系统与沟通是否能够为被审计单位按照适用的财务报告编制基础编制财务报表提供适当的支持。
(二)与财务报表编制相关的信息系统的概念
1.与财务报表编制相关的信息系统由一系列的活动和政策、会计记录和支持性记录组成。被审计单位设计和建立这些活动、政策和记录旨在:
(1)生成、记录和处理交易(以及获取、处理和披露与交易以外的事项和情况相关的信息),以及为相关资产、负债和所有者权益明确受托责任;
(2)解决不正确处理交易的问题,如自动生成暂记账户文件,以及及时按照程序清理暂记项目;
(3)处理并解释凌驾于控制之上或规避控制的情况;
(4)将从交易处理系统中获取的信息过入总账(例如,将明细账中的累计交易过入总账);
(5)针对除交易以外的事项和情况获取并处理与财务报表编制相关的信息,如资产的折旧和摊销、可回收性的改变等;
(6)确保适用的财务报告编制基础规定披露的信息得到收集、记录、处理和汇总,并适当包含在财务报表中。
2.与财务报告相关的信息系统应当与业务流程相适应。
3.与财务报告相关的信息系统所生成信息的质量,对管理层能否做出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。
(三)对与财务报表编制相关的信息系统的了解
1.基本要求
(1)注册会计师在了解被审计单位的信息系统时,应了解被审计单位如何生成交易和获取信息,这其中可能包括与被审计单位为应对合规目标和经营目标而设置的系统(被审计单位的政策)相关的信息,因为这类信息可能与财务报表编制相关。
【提示】某些被审计单位的信息系统可能是高度集成的,控制的设计可以同时实现财务报告、合规和经营这三个控制目标。
(2)了解被审计单位的信息系统,还包括了解信息处理活动中使用的资源。
与了解信息系统完整性、准确性和有效性风险相关的人力资源信息包括:①从事相关工作人员的胜任能力;②资源是否充分;③职责分离是否适当。
2.注册会计师在了解信息与沟通要素中针对相关交易类别、账户余额和披露的信息处理活动的政策时,可以考虑以下事项:
(1)与需要处理的交易、其他事项和情况相关的数据或信息;
(2)为维护数据或信息的完整性、准确性和有效性而进行的信息处理;
(3)信息处理过程中使用的信息流程、人员和其他资源。
了解被审计单位的业务流程(包括交易产生的方式),有助于注册会计师以适合被审计单位具体情况的方式了解信息系统。
3.了解信息系统可以实施的程序
(1)向相关人员询问用于生成、记录、处理和报告交易的程序或被审计单位的财务报告过程;
(2)检查有关被审计单位信息系统的政策、流程手册或其他文件;
(3)观察被审计单位人员对政策或程序的执行情况;
(4)选取交易并追踪交易在信息系统中的处理过程(即实施穿行测试)。
(四)与财务报表编制相关的沟通的概念
|
含义 |
与财务报表编制相关的沟通,包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责,员工之间的工作联系,以及向适当级别的管理层报告例外事项的方式 |
|
沟通方式 |
(1)公开的沟通渠道有助于确保例外情况得到报告和处理 (2)沟通可以采用政策手册、会计和财务报告手册及备忘录等形式进行,也可以采用电子方式或口头方式和通过管理层的行动来实现 |
(五)对与财务报表编制相关的沟通的了解
1.注册会计师应当了解被审计单位内部,如何对财务报告的岗位职责以及与财务报表编制相关的重大事项进行沟通。
2.注册会计师还应当了解管理层与治理层(特别是审计委员会)之间的沟通,以及被审计单位与外部(包括与监管部门)的沟通。具体包括:
(1)管理层就员工的职责和控制责任是否进行了有效沟通;
(2)针对可疑的不恰当事项和行为是否建立了沟通渠道;
(3)组织内部沟通的充分性是否能够使人员有效地履行职责;
(4)对于与客户、供应商、监管者和其他外部人士的沟通,管理层是否及时采取适当的进一步行动;
(5)被审计单位是否受到某些监管机构发布的监管要求的约束;
(6)外部人士如客户和供应商在多大程度上获知被审计单位的行为守则。
九、与财务报表编制相关的控制活动(内控五要素之四)
(一)注册会计师应当实施的相关风险评估程序
1.识别用于应对认定层次重大错报风险的控制包括的内容
(1)应对特别风险的控制;
(2)与会计分录相关的控制,这些会计分录包括用以记录非经常性的、异常的交易,以及用于调整的非标准会计分录;
(3)注册会计师拟测试运行有效性的控制,包括用于应对仅实施实质性程序不能提供充分、适当审计证据的重大错报风险的控制;
(4)注册会计师根据职业判断认为适当的、能够有助于其实现与认定层次重大错报风险有关目标的其他控制。
2.基于上述第1项中识别的控制,识别哪些信息技术应用程序及信息技术环境的其他方面,可能面临运用信息技术导致的风险。
3.针对上述第2项中识别的信息技术应用程序及信息技术环境的其他方面,进一步识别:
(1)运用信息技术导致的相关风险;
(2)被审计单位用于应对这些风险的信息技术一般控制。
4.针对上述第1项以及第3项第2点识别出的每项控制
(1)评价控制的设计是否有效,即这些控制能否应对认定层次重大错报风险或为其他控制的运行提供支持;
(2)询问被审计单位内部人员,并运用其他风险评估程序,以确定控制是否得到执行。
(二)与财务报表编制相关的控制活动的概念
1.含义
控制活动是指有助于确保管理层的指令得以执行的政策和程序。
2.对注册会计师的要求
注册会计师应当按照审计准则的规定识别控制活动要素中的控制。这些控制包括信息处理控制和信息技术一般控制,两类控制均可能属于人工控制或自动化控制。管理层利用和依赖的与财务报告相关的自动化控制或涉及自动化方面的控制的程度越高,被审计单位执行信息技术一般控制(应对信息处理控制自动化方面的持续运行)可能就越重要。
3.控制活动要素中的具体控制
|
授权和批准 |
(1)有了授权才能确认交易是有效的(即交易具有经济实质或符合被审计单位的政策) (2)授权的形式通常为较高级别的管理层批准或验证并确定交易是否有效 |
|
调节 |
(1)即将两项或多项数据要素进行比较。如果发现差异,则采取措施使数据相一致 (2)调节通常应对所处理交易的完整性或准确性 |
|
验证 |
(1)即将两个或多个项目互相进行比较,或将某个项目与政策进行比较,如果两个项目不匹配或者某个项目与政策不一致,则可能对其执行跟进措施 (2)验证通常应对所处理交易的完整性、准确性或有效性 |
|
实物或逻辑控制 |
包括下列控制: (1)保证资产的实物安全,包括恰当的安全保护措施,如针对接触资产和记录的安全设施 (2)对接触计算机程序和数据文档设置授权(即逻辑访问权限) (3)定期盘点并将盘点记录与控制记录相核对(如将会计记录与现金、有价证券和存货的定期盘点结果相比较)。旨在防止资产盗窃的实物控制,其与财务报表编制的可靠性相关,相关的程度取决于资产被侵占的风险 |
|
职责分离 |
(1)即将交易授权、交易记录以及资产保管等不相容职责分配给不同员工 (2)职责分离旨在降低同一员工在正常履行职责过程中实施并隐瞒舞弊或错误的可能性 (3)在某些情况下,职责分离可能不切实际、成本效益低下或不可行,在这种情况下,管理层可以设置替代控制 |
(二)对控制活动的了解
1.在了解控制活动时,注册会计师应当重点考虑一项控制活动单独或连同其他控制活动,是否能够以及如何防止或发现并纠正各类交易、账户余额和披露存在的重大错报。
2.注册会计师的工作重点是,识别和了解针对重大错报风险更高的领域的控制活动。如果多项控制活动能够实现同一目标,注册会计师不必了解与该目标相关的每项控制活动。
3.在了解和评估控制活动时考虑的主要因素可能包括:
(1)被审计单位的主要经营活动是否都有必要的控制政策和程序;
(2)管理层在预算、利润和其他财务及经营业绩方面是否都有清晰的目标,在被审计单位内部,是否对这些目标都加以清晰的记录和沟通,并且积极地对其进行监控;
(3)是否存在计划和报告系统,以识别与目标业绩的差异,并向适当层次的管理层报告该差异;
(4)是否由适当层次的管理层对差异进行调查,并及时采取适当的纠正措施;
(5)不同人员的职责应在何种程度上相分离,以降低舞弊和不当行为发生的风险;
(6)会计系统中的数据是否与实物资产定期核对;
(7)是否建立了适当的保护措施,以防止未经授权接触文件、记录和资产;
(8)是否存在信息安全职能部门负责监控信息安全政策和程序。
十、对与财务报表编制相关的内部控制体系的监督(内控五要素之五)
(一)注册会计师应当实施的相关风险评估程序
1.了解被审计单位实施的持续性评价和单独评价,以及识别控制缺陷的情况和整改的情况;
2.了解被审计单位的内部审计,包括内部审计的性质、职责和活动;
3.了解被审计单位在监督内部控制体系的过程中所使用信息的来源,以及管理层认为这些信息足以信赖的依据;
4.根据被审计单位的性质和复杂程度,评价被审计单位对内部控制体系的监督是否适合其具体情况。
(二)对与财务报表编制相关的内部控制体系的监督的概念
1.含义
对内部控制体系的监督,是指被审计单位评价内部控制在一段时间内运行有效性的过程,还涉及及时评估控制的有效性并采取必要的补救措施。
2.方式
通常管理层通过持续的监督活动、单独的评价活动或两者相结合实现对内部控制体系的监督。
(1)持续的监督活动通常贯穿于被审计单位日常重复的活动中,包括常规管理和监督工作。
(2)被审计单位可能使用内部审计人员或具有类似职能的人员,对内部控制的设计和执行进行专门的评价,以找出内部控制的优点和不足,并提出改进建议。
(3)被审计单位也可能利用与外部有关各方沟通或交流获取的信息,监督相关的控制活动。
3.与被审计单位监督活动相关的信息来源
(1)上述用于监督活动的很多信息都由被审计单位的信息系统产生,这些信息可能会存在错报,从而导致管理层从监督活动中得出错误的结论。
(2)注册会计师应当了解与被审计单位监督活动相关的信息来源,包括管理层在与外部有关各方沟通时获取的信息(如顾客的投诉和监管机构提出的意见),以及管理层认为信息具有相关性和可靠性的依据。如果拟利用被审计单位监督活动使用的信息(包括内部审计报告),注册会计师应当考虑该信息是否相关和可靠,是否足以实现审计目标。
(三)了解对内部控制体系的监督
1.注册会计师在了解被审计单位如何监督内部控制体系时,可以考虑的相关事项包括:
(1)监督活动的设计,如监督是定期的还是持续的;
(2)监督活动的实施情况和频率;
(3)对监督活动结果的定期评价,以确定控制是否有效;
(4)如何通过适当的整改措施应对识别的缺陷,包括与负责采取整改措施的人员及时沟通缺陷。
2.注册会计师可以考虑被审计单位监督内部控制体系的过程如何实现对涉及使用信息技术的信息处理控制的监督。这些控制包括:
(1)监督以下复杂信息技术环境的控制:
①评价信息处理控制的持续设计有效性,根据情况的变化对其进行适当修改;
②评价信息处理控制运行的有效性。
(2)监督权限的控制,这些权限应用于实施职责分离的自动化信息处理控制中。
(3)监督如何识别和应对与财务报告自动化相关的错误或控制缺陷的控制。
十一、在整体层面和业务流程层面了解内部控制
(一)整体层面控制和业务流程层面控制的分类
内部控制的某些要素(如内部环境)更多的对被审计单位整体层面产生影响,而其他要素(如信息系统与沟通、控制活动)则可能更多的与特定业务流程相关。
|
整体层面控制 |
(1)与整体层面相关的内控要素包括内部环境、风险评估、内部监督、信息技术一般控制 (2)也包括对下列事项的控制: ①管理层凌驾于内部控制之上; ②集中处理; ③期末财务报告流程; ④针对关键经营风险的政策 |
|
业务流程层面控制 |
包括控制活动、信息系统与沟通、信息处理控制 |
【提示】整体层面的控制对内部控制在所有业务流程中得到严格的设计和执行具有重要影响,整体层面的控制较差甚至可能使最好的业务流程层面控制失效。
(二)了解和评价业务流程层面的内部控制的步骤
(1)确定被审计单位的重要业务流程和相关交易类别;
(2)了解相关交易类别的流程,并记录获得的了解;
(3)确定可能发生错报的环节;
(4)识别和了解相关控制;
(5)执行穿行测试,证实对交易流程和相关控制的了解;
(6)进行初步评价和风险评估。
【提示】实务中,上述步骤可能同时进行。
(三)识别和了解相关控制
1.是否了解业务流程层面的控制
(1)在对被审计单位的了解,包括在被审计单位整体层面对内部控制体系各要素的了解,以及在上述程序中对重要业务流程的了解,注册会计师可以确定是否有必要进一步了解在业务流程层面的控制。
(2)在某些情况下,注册会计师之前的了解可能表明被审计单位在业务流程层面针对某些相关交易流程所设计的控制是无效的,或者注册会计师并不打算信赖控制,这时注册会计师没有必要进一步了解在业务流程层面的控制。
2.业务流程层面内部控制的内容
(1)预防性控制
|
含义 |
通常用于正常业务流程的每一项交易中,以防止错报的发生(如授权、审批、背景调查、职责分离等) |
|
示例 |
预防性控制可能是人工的,也可能是自动化的 (1)计算机程序自动生成收货报告,同时也更新采购档案 (2)在更新采购档案之前要有收货报告 (3)销货发票上的价格根据价格清单上的信息确定 (4)系统将各凭证上的账户号码与会计科目表对比,然后进行一系列的逻辑测试 |
(2)检查性控制
|
含义 |
发现流程中可能发生的错报(如复核、定期编制、定期盘点) 检查性控制通常是管理层用来监督实现流程目标的控制 |
|
示例 |
检查性控制可以由人工执行,也可以由信息系统自动执行 (1)定期编制银行存款余额调节表,跟踪调查挂账的项目 (2)将预算与实际费用间的差异列入计算机编制的报告中并由部门经理复核。记录所有超过预算2%的差异情况和解决措施 (3)系统每天比较运出货物的数量和开票数量。如果发现差异,产生报告,由开票主管复核和追查 (4)每季度复核应收账款贷方余额并找出原因 |
(四)执行穿行测试,证实对交易流程和相关控制的了解
1.穿行测试的目的
为了解各类相关交易在业务流程中发生、处理和记录的过程,注册会计师通常会执行穿行测试。
2.执行穿行测试可获得下列方面的证据:
(1)确认对业务流程的了解;
(2)确认对重要交易的了解是完整的,即在交易流程中所有与财务报表认定相关的可能发生错报的环节都已识别;
(3)确认所获取的有关流程中的预防性控制和检查性控制信息的准确性;
(4)评估控制设计的有效性;
(5)确认控制是否得到执行;
(6)确认之前所作的书面记录的准确性。
3.穿行测试的必要性
如果拟不信赖控制,注册会计师仍需要执行适当的审计程序,以确认以前对业务流程及可能发生错报环节了解的准确性和完整性。
4.工作底稿的记录
注册会计师将穿行测试的情况记录于工作底稿时,记录的内容包括穿行测试中查阅的文件、穿行测试的程序以及注册会计师的发现和结论。
(五)初步评价和风险评估
1.对控制的初步评价
在识别和了解控制后,注册会计师需要评价控制设计的合理性并确定其是否得到执行。
注册会计师对控制的评价结论可能是:
(1)所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报,并得到执行;
(2)控制本身的设计是合理的,但没有得到执行;
(3)控制本身的设计就是无效的或缺乏必要的控制。
【提示】上述评价结论只是初步结论,仍可能随控制测试或实施实质性程序的结果而发生变化。
2.风险评估需考虑的因素
注册会计师对控制的评价,进而对重大错报风险的评估,需考虑以下因素:
(1)账户特征及已识别的重大错报风险。(已识别的重大错报风险越高,相关的控制应有较高的敏感度)
(2)对被审计单位整体层面控制的评价。(应将对整体层面获得的了解和结论与业务流程层面的证据结合起来考虑)
【提示】除非存在某些可以使控制得到一贯运行的自动化控制,注册会计师对控制的了解和评价并不能够代替对控制运行有效性的测试(即控制测试)。
(六)对财务报告流程的了解
1.基本要求
注册会计师还需要进一步了解有关信息从具体交易的业务流程过入总账、财务报表以及相关列报的流程,即财务报告流程及其控制。这一流程和控制与财务报表的列报认定直接相关。
2.财务报告流程包括
(1)将业务数据汇总记入总账的程序,即如何将重要业务流程的信息与总账和财务报告系统相连接;
(2)在总账中生成、记录和处理会计分录的程序;
(3)记录对财务报表常规和非常规调整的程序,如合并调整、重分类等;
(4)草拟财务报表和相关披露的程序。
3.在了解财务报告流程的过程中,注册会计师应当考虑对以下方面作出评估:
(1)主要的输入信息、执行的程序、主要的输出信息;
(2)每一财务报告流程要素中涉及信息技术的程度;
(3)管理层的哪些人员参与其中;
(4)记账分录的主要类型,如标准分录、非标准分录等;
(5)适当人员(包括管理层和治理层)对流程实施监督的性质和范围。
注册会计师考试将于8月23日至25日举行,请各位考生精心规划备考进度,合理安排学习时间。在此,我们预祝所有考生都能以优异的成绩顺利通过注册会计师考试!点击了解更多课程>>
(本文为北京财科学校原创文章,仅供考生学习使用)
