第一章 总 则
《中国注册会计师审计准则第 1211号——了解被审计单位及其环境并评估重大错报风险》(以下简称本准则)第一章(第一条至第五条),主要说明本准则的制定目的和适用范围,并对注册会计师了解被审计单位及其环境并评估重大错报风险提出总体要求。
一、本准则的制定目的
《中国注册会计师审计准则第 1101号——财务报表审计的目标和一般原则》要求注册会计师在审计过程中贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中,如何识别和评估重大错报风险,构成了注册会计师应对重大错报风险的前提。本准则第一条指出,为了规范注册会计师了解被审计单位及其环境,识别和评估财务报表重大错报风险,制定本准则。
二、本准则的适用范围
本准则第二条指出,本准则适用于注册会计师执行财务报表审计业务。
除了遵守本准则的规定外,注册会计师在识别和评估由舞弊导致的重大错报风险时,还应当遵守《中国注册会计师审计准则第 1141号—— 财务报表审计中对舞弊的考虑》的规定。
注册会计师在针对已评估的重大错报风险确定总体应对措施,设计和实施进一步审计程序时,应当遵守《中国注册会计师审计准则第1231号—— 针对评估的重大错报风险实施的程序》的规定。
三、本准则的总体要求
本准则第三条对注册会计师了解被审计单位及其环境并评估重大错报风险提出了总体要求,规定注册会计师应当了解被审计单位及其环境,以足够识别和评估财务报表重大错报风险,设计和实施进一步审计程序。
对本准则的总体要求可以从以下三方面理解:( 1)了解被审计单位及其环境是必须要实施的程序而不是可选程序;(2)了解的目的是识别和评估财务报表重大错报风险,设计和实施进一步审计程序;(3)了解的程度应当足够实现了解的目的。
四、了解被审计单位及其环境的必要性
本准则第四条指出,了解被审计单位及其环境是必要程序,特别是为注册会计师在下列关键环节作出职业判断提供重要基础:(1)确定重要性水平,并随着审计工作的进程评估对重要性水平的判断是否仍然适当;(2)考虑会计政策的选择和运用是否恰当,以及财务报表的列报(包括披露,下同)是否适当;(3)识别需要特别考虑的领域,包括关联方交易、管理层运用持续经营假设的合理性,或交易是否具有合理的商业目的等;(4)确定在实施分析程序时所使用的预期值;(5)设计和实施进一步审计程序,以将审计风险降至可接受的低水平;(6)评价所获取审计证据的充分性和适当性。
职业判断贯穿于注册会计师审计的全过程。职业判断只有建立在对被审计单位及其环境了解的基础上,才是恰当的和符合实际的。
五、了解被审计单位及其环境的程度
本准则第五条指出,了解被审计单位及其环境是一个连续和动态地收集、更新与分析信息的过程,贯穿于整个审计过程的始终。注册会计师应当运用职业判断确定需要了解被审计单位及其环境的程度。
评价对被审计单位及其环境了解的程度是否恰当,关键是看注册会计师对被审计单位及其环境的了解是否足以识别和评估财务报表重大错报风险。如果了解被审计单位及其环境获得的信息足以识别和评估财务报表重大错报风险,设计和实施进一步审计程序,那么了解的程度就是恰当的。当然,要求注册会计师对被审计单位及其环境了解的程度,要低于管理层为经营管理企业而对被审计单位及其环境需要了解的程度。
第二章 风险评估程序、信息来源以及项目组内部的讨论
本准则第二章(第六条至第十八条),主要规范注册会计师了解被审计单位及其环境时实施的风险评估程序和获取相关信息的来源,并要求注册会计师组织项目组成员对财务报表存在重大错报的可能性进行讨论。
第一节 风险评估程序和信息来源
一、风险评估程序
注册会计师了解被审计单位及其环境,目的是为了识别和评估财务报表重大错报风险。为了解被审计单位及其环境而实施的程序称为“风险评估程序”。注册会计师应当依据实施这些程序所获取的信息 ① ,评估重大错报风险。
本准则第六条规定,注册会计师应当实施下列风险评估程序,以了解被审计单位及其环境:(1)询问被审计单位管理层和内部其他相关人员;(2)分析程序;(3)观察和检查。本准则第七条至第九条分别对上述风险评估程序进行了规范。
(一)询问被审计单位管理层和内部其他相关人员
询问被审计单位管理层和内部其他相关人员是注册会计师了解被审计单位及其环境的一个重要信息来源。注册会计师可以考虑向管理层和财务负责人询问下列事项:
1.管理层所关注的主要问题。如新的竞争对手、主要客户和供应商的流失、新的税收法规的实施以及经营目标或战略的变化等。
2.被审计单位最近的财务状况、经营成果和现金流量。
3.可能影响财务报告的交易和事项,或者目前发生的重大会计处理问题。如重大的购并事宜等。
4.被审计单位发生的其他重要变化。如所有权结构、组织结构的变化,以及内部控制的变化等。
尽管注册会计师通过询问管理层和财务负责人可获取大部分信息,但是询问被审计单位内部的其他人士可能为注册会计师提供不同的信息,有助于识别重大错报风险。因此,本准则第七条规定,注册会计师除了询问管理层和对财务报告
①根据《中国注册会计师审计准则第1301号——审计证据》,注册会计师实施风险评估程序获取的信息构成审计证据的一个组成部分。
负有责任的人员外,还应当考虑询问内部审计人员、采购人员、生产人员、销售人员等其他人员,并考虑询问不同级别的员工,以获取对识别重大错报风险有用的信息。
在确定向被审计单位的哪些人员进行询问以及询问哪些问题时,注册会计师应当考虑何种信息有助于其识别和评估重大错报风险。例如:
(1)询问治理层,有助于注册会计师理解财务报表编制的环境;
(2)询问内部审计人员,有助于注册会计师了解其针对被审计单位内部控制设计和运行有效性而实施的工作,以及管理层对内部审计发现的问题是否采取适当的措施;
(3)询问参与生成、处理或记录复杂或异常交易的员工,有助于注册会计师评估被审计单位选择和运用某项会计政策的适当性;
(4)询问内部法律顾问,有助于注册会计师了解有关法律法规的遵循情况、产品保证和售后责任、与业务合作伙伴的安排(如合营企业)、合同条款的含义以及诉讼情况等;
(5)询问营销或销售人员,有助于注册会计师了解被审计单位的营销策略及其变化、销售趋势以及与客户的合同安排;
(6)询问采购人员和生产人员,有助于注册会计师了解被审计单位的原材料采购和产品生产等情况;
(7)询问仓库人员,有助于注册会计师了解原材料、产成品等存货的进出、保管和盘点等情况。
(二)分析程序
分析程序是指注册会计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系,对财务信息作出评价。分析程序还包括调查识别出的、与其他相关信息不一致或与预期数据严重偏离的波动和关系。
分析程序既可用作风险评估程序和实质性程序,也可用于对财务报表的总体复核。本准则主要说明在了解被审计单位及其环境并评估重大错报风险时使用的分析程序,即将分析程序用作风险评估程序。
本准则第八条第一款规定,注册会计师实施分析程序有助于识别异常的交易或事项,以及对财务报表和审计产生影响的金额、比率和趋势。
本准则第八条第二款规定,在实施分析程序时,注册会计师应当预期可能存在的合理关系,并与被审计单位记录的金额、依据记录金额计算的比率或趋势相比较;如果发现异常或未预期到的关系,注册会计师应当在识别重大错报风险时 考虑这些比较结果。例如,注册会计师通过实施分析程序发现,两个会计期间的毛利率相当。但是,注册会计师通过对被审计单位的了解,获知在生产成本中占较大比例的原材料成本在相关期间内上升,注册会计师预期销售成本也应相应上升,而毛利率应相应下降。上述分析可能使注册会计师得出结论:销售成本可能存在重大错报风险,应对其给予足够的重视。
本准则第八条第三款规定,如果使用了高度汇总的数据,实施分析程序的结果仅可能初步显示财务报表存在重大错报风险,注册会计师应当将分析结果连同识别重大错报风险时获取的其他信息一并考虑。例如,被审计单位存在很多产品 系列,各个产品系列的毛利率存在一定差异。对总体毛利率实施分析程序的结果仅可能初步显示销售成本存在重大错报风险,注册会计师需要实施更为详细的分析程序。例如,对每一产品系列进行毛利率分析,或者将总体毛利率分析的结果连同其他信息一并考虑。
关于分析程序的具体运用,参见《中国注册会计师审计准则第 1313号——分析程序》及其指南。
(三)观察和检查
本准则第九条规定,观察和检查程序可以印证对管理层和其他相关人员的询问结果,并可提供有关被审计单位及其环境的信息,注册会计师应当实施下列观察和检查程序。
1.观察被审计单位的生产经营活动。例如,观察被审计单位人员正在从事的生产活动和内部控制活动,可以增加注册会计师对被审计单位人员如何进行生产经营活动及实施内部控制的了解。
2.检查文件、记录和内部控制手册。例如,检查被审计单位的章程,与其他单位签订的合同、协议,各业务流程操作指引和内部控制手册等,了解被审计单位组织结构和内部控制制度的建立健全情况。
3.阅读由管理层和治理层编制的报告。例如,阅读被审计单位年度和中期财务报告,股东大会、董事会会议、高级管理层会议的会议记录或纪要,管理层的讨论和分析资料,经营计划和战略,对重要经营环节和外部因素的评价,被审计单位内部管理报告以及其他特殊目的报告(如新投资项目的可行性分析报告)等,了解自上一审计结束至本期审计期间被审计单位发生的重大事项。
4.实地察看被审计单位的生产经营场所和设备。通过现场访问和实地察看被审计单位的生产经营场所和设备,可以帮助注册会计师了解被审计单位的性质及其经营活动。在实地察看被审计单位的厂房和办公场所的过程中,注册会计师有机会与被审计单位的管理层和担任不同职责的员工进行交流,可以增强注册会计师对被审计单位的经营活动及其重大影响因素的了解。
5.追踪交易在财务报告信息系统中的处理过程(穿行测试)。这是注册会计师了解被审计单位业务流程及其相关控制时经常使用的审计程序。通过追踪某笔或某几笔交易在业务流程中如何生成、记录、处理和报告,以及相关内部控制如何执行,注册会计师可以确定被审计单位的交易流程和相关控制是否与之前通过其他程序所获得的了解一致,并确定相关控制是否得到执行。
二、其他审计程序和信息来源
(一)其他审计程序
除了采用上述程序从被审计单位内部获取信息以外,按照本准则第十条的规定,如果根据职业判断认为从被审计单位外部获取的信息有助于识别重大错报风险,注册会计师应当实施其他审计程序以获取这些信息。例如,询问被审计单位聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等。
阅读外部信息也可能有助于注册会计师了解被审计单位及其环境。外部信息包括证券分析师、银行、评级机构出具的有关被审计单位及其所处行业的经济或市场环境等状况的报告,贸易与经济方面的期刊杂志,法规或金融出版物,以及政府部门或民间组织发布的行业报告和统计数据等。
(二)其他信息来源
本准则第十一条规定,注册会计师应当考虑在承接客户或续约过程中获取的信息,以及向被审计单位提供其他服务所获得的经验是否有助于识别重大错报风险。通常,对新的审计业务,注册会计师应在业务承接阶段对被审计单位及其环境有一个初步的了解,以确定是否承接该业务。而对连续审计业务,也应在每年的续约过程中对上年审计作总体评价,并更新对被审计单位的了解和风险评估结果,以确定是否续约。注册会计师还应当考虑向被审计单位提供其他服务(如执行中期财务报表审阅业务)所获得的经验是否有助于识别重大错报风险。
本准则第十二条规定,对于连续审计业务,如果拟利用在以前期间获取的信息,注册会计师应当确定被审计单位及其环境是否已发生变化,以及该变化是否可能影响以前期间获取的信息在本期审计中的相关性。例如,通过前期审计获取的有关被审计单位组织结构、生产经营活动和内部控制的审计证据,以及有关以往的错报和错报是否得到及时更正的信息,可以帮助注册会计师评估本期财务报表的重大错报风险。但值得注意的是,被审计单位或其环境的变化可能导致此类信息在本期审计中已不具有相关性。例如,注册会计师前期已经了解了内部控制的设计和执行情况,但被审计单位及其环境可能在本期发生变化,导致内部控制 也发生相应变化。在这种情况下,注册会计师需要实施询问和其他适当的审计程序(如穿行测试),以确定该变化是否可能影响此类信息在本期审计中的相关性。
需要说明的是,本准则第十九条要求注册会计师从六个方面了解被审计单位及其环境,但注册会计师无需在了解每个方面时都实施以上所有的风险评估程序。例如,在了解内部控制时通常不用分析程序。但是,在按照本准则的要求对被审计单位及其环境获取了解的整个过程中,注册会计师通常会实施上述所有的风险评估程序。
第二节 项目组内部的讨论
一、总体要求
本准则第十三条规定,注册会计师应当组织项目组成员对财务报表存在重大错报的可能性进行讨论,并运用职业判断确定讨论的目标、内容、人员、时间和方式。本准则第十四条至第十八条分别对此作了具体说明。
二、讨论的目标
项目组内部的讨论为项目组成员提供了交流信息和分享见解的机会。本准则第十四条指出,项目组通过讨论可以使成员更好地了解在各自分工负责的领域中,由于舞弊或错误导致财务报表重大错报的可能性,并了解各自实施审计程序的结果如何影响审计的其他方面,包括对确定进一步审计程序的性质、时间和范围的影响。
三、讨论的内容
本准则第十五条规定,项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式。特别是由于舞弊导致重大错报的可能性。
四、参与讨论的人员
注册会计师应当运用职业判断确定项目组内部参与讨论的成员。本准则第十六条规定,项目组的关键成员应当参与讨论,如果项目组需要拥有信息技术或其他特殊技能的专家,这些专家也应参与讨论。参与讨论人员的范围受项目组成员的职责经验和信息需要的影响。例如,在跨地区审计中,每个重要地区项目组的关键成员应该参加讨论。不要求所有成员每次都参与项目组的讨论。
五、讨论的时间和方式
本准则第十七条规定,项目组应当根据审计的具体情况,在整个审计过程中持续交换有关财务报表发生重大错报可能性的信息。
根据《中国注册会计师审计准则第 1101号——财务报表审计的目标和一般原则》的规定,注册会计师应当在计划和实施审计工作时保持职业怀疑态度,充分考虑可能存在导致财务报表发生重大错报的情形。本准则第十八条规定,项目组在讨论时应当强调在整个审计过程中保持职业怀疑态度,警惕可能发生重大错报的迹象,并对这些迹象进行严格追踪。通过讨论,项目组成员可以交流和分享在整个审计过程中获得的信息,包括可能对重大错报风险评估产生影响的信息或针对这些风险实施审计程序的信息。
项目组还可以根据实际情况,讨论其他重要事项。
第三章 了解被审计单位及其环境
本准则第三章(第十九条至第四十四条),主要规范注册会计师应当从哪些方面了解被审计单位及其环境,以作为识别和评估重大错报风险的基础。
第一节 总体要求
一、了解被审计单位及其环境的主要内容
本准则第十九条第一款规定,注册会计师应当从下列方面了解被审计单位及其环境:(1)行业状况、法律环境与监管环境以及其他外部因素;(2)被审计单位的性质;(3)被审计单位对会计政策的选择和运用;(4)被审计单位的目标、战略以及相关经营风险;(5)被审计单位财务业绩的衡量和评价;(6)被审计单位的内部控制。
上述第(1)项是被审计单位的外部环境,第(2)项至第(4)项以及第(6)项是被审计单位的内部因素,第(5)项则既有外部因素也有内部因素。值得注意的是,被审计单位及其环境的各个方面可能会互相影响。例如,被审计单位的行业状况、法律环境与监管环境以及其他外部因素可能影响到被审计单位的目标、战略以及相关经营风险,而被审计单位的性质、目标、战略以及相关经营风险可能影响到被审计单位对会计政策的选择和运用,以及内部控制的设计和执行。因此,注册会计师在对被审计单位及其环境的各个方面进行了解和评估时,应当考虑各因素之间的相互关系。
二、风险评估程序
本准则第十九条第二款规定,在针对本条第一款各项确定风险评估程序的性质、时间和范围时,注册会计师应当考虑审计业务的具体情况和相关审计经验,并识别本条第一款各项与以前期间相比发生的重大变化。
注册会计师针对上述六个方面实施的风险评估程序的性质、时间和范围取决于审计业务的具体情况,如被审计单位的规模和复杂程度,以及注册会计师的相关审计经验,包括以前对被审计单位提供审计和相关服务的经验和对类似行业、类似企业的审计经验。此外,识别被审计单位及其环境在上述各方面与以前期间相比发生的重大变化,对于充分了解被审计单位及其环境、识别和评估重大错报风险尤为重要。
为了更好地指导实务,本章第二节至第六节在对需要了解的各个方面进行解释时,将具体说明如何运用本指南第二章所述的各项风险评估程序。由于了解各个方面时运用的程序具有一定的相似性,因此,在说明时,将视情况作适当简化。
第二节 行业状况、法律环境与监管环境以及其他外部因素
行业状况、法律环境与监管环境以及其他外部因素对被审计单位的经营活动乃至财务报表产生影响。因此,注册会计师应当对这些外部因素进行了解。本准则第二十条至第二十三条对了解的具体内容以及应注意的事项作出了规定。
一、了解的具体内容
(一)行业状况
了解行业状况有助于注册会计师识别与被审计单位所处行业有关的重大错报风险。
本准则第二十条规定,注册会计师应当了解被审计单位的行业状况,主要包括:(1)所处行业的市场供求与竞争;(2)生产经营的季节性和周期性;(3)产品生产技术的变化;(4)能源供应与成本;(5)行业的关键指标和统计数据。
具体而言,注册会计师可能需要了解以下情况:
(1)被审计单位所处行业的总体发展趋势是什么?
(2)处于哪一发展阶段,如起步、快速成长、成熟/产生现金流入或衰退阶段?
(3)所处市场的需求、市场容量和价格竞争如何?
(4)该行业是否受经济周期波动的影响,以及采取了什么行动使波动产生的影响最小化?
(5)该行业受技术发展影响的程度如何?
(6)是否开发了新的技术?
(7)能源消耗在成本中所占比重,能源价格的变化对成本的影响?
(8)谁是被审计单位最重要的竞争者,他们各自所占的市场份额是多少?之(9)被审计单位与其竞争者相比主要的竞争优势是什么?
(10)被审计单位业务的增长率和财务业绩与行业的平均水平及主要竞争者相比如何,存在重大差异的原因是什么?
(11)竞争者是否采取了某些行动,如购并活动、降低销售价格、开发新技术等,从而对被审计单位的经营活动产生影响?
(二)法律环境及监管环境
了解法律环境及监管环境的主要原因在于:(1)某些法律法规或监管要求可能对被审计单位经营活动有重大影响,如不遵守将导致停业等严重后果;(2)某些法律法规或监管要求(如环保法规等)规定了被审计单位某些方面的责任和义务;(3)某些法律法规或监管要求决定了被审计单位需要遵循的行业惯例和核算要求。
本准则第二十一条规定,注册会计师应当了解被审计单位所处的法律环境及监管环境,主要包括:(1)适用的会计准则、会计制度和行业特定惯例;(2)对经营活动产生重大影响的法律法规及监管活动;(3)对开展业务产生重大影响的政府政策,包括货币、财政、税收和贸易等政策;(4)与被审计单位所处行业和所从事经营活动相关的环保要求。
具体而言,注册会计师可能需要了解以下情况:
(1)国家对某一行业的企业是否有特殊的监管要求(如对银行、保险等行业的特殊监管要求);
(2)是否存在新出台的法律法规(如新出台的有关产品责任、劳动安全或环境保护的法律法规等),对被审计单位有何影响;
(3)国家货币、财政、税收和贸易等方面政策的变化是否会对被审计单位的经营活动产生影响;
(4)与被审计单位相关的税务法规是否发生变化;
(三)其他外部因素
本准则第二十二条规定,注册会计师应当了解影响被审计单位经营的其他外部因素,主要包括:(1)宏观经济的景气度;(2)利率和资金供求状况;(3)通货膨胀水平及币值变动;(4)国际经济环境和汇率变动。
具体而言,注册会计师可能需要了解以下情况:
(1)当前的宏观经济状况以及未来的发展趋势如何?
(2)目前国内或本地区的经济状况(如增长率、通货膨胀、失业率、利率等)怎样影响被审计单位的经营活动?
(3)被审计单位的经营活动是否受到外币汇率波动或全球市场力量的影响?
(四)了解的重点和程度
注册会计师对行业状况、法律环境与监管环境以及其他外部因素了解的范围和程度会因被审计单位所处行业、规模以及其他因素(如在市场中的地位)的不同而不同。例如,对从事计算机硬件制造的被审计单位,注册会计师可能更关心市场和竞争以及技术进步的情况;对金融机构,注册会计师可能更关心宏观经济走势以及货币、财政等方面的宏观经济政策;对化工等产生污染的行业,注册会计师可能更关心相关环保法规。注册会计师应当考虑将了解的重点放在对被审计单位的经营活动可能产生重要影响的关键外部因素以及与前期相比发生的重大变化上。
本准则第二十三条的规定,注册会计师应当考虑被审计单位所在行业的业务性质或监管程度是否可能导致特定的重大错报风险,考虑项目组是否配备了具有相关知识和经验的成员。
例如,建筑行业长期合同涉及收入和成本的重大估计,可能导致重大错报风险; 银行监管机构对商业银行的资本充足率有专门规定,不能满足这一监管要求的商业银行可能有操纵财务报表的动机和压力。
二、实施风险评估程序
本指南第二章第一节已说明在了解被审计单位及其环境时实施的风险评估程序。针对被审计单位的行业状况、法律环境与监管环境以及其他外部因素,注册会计师具体运用的风险评估程序可能包括下列方面。
(一)查阅以前年度的审计工作底稿
对于连续审计业务,以前年度的审计工作底稿有助于注册会计师了解与特定经营活动和行业相关的一些因素。例如,以前年度审计中了解被审计单位及其环境时编制的审计工作底稿可能提供与被审计单位行业状况、法律环境与监管环境以及其他外部因素相关的信息。注册会计师应当根据本年度发生的变化,在适当 时对其予以更新并用于本年度的审计工作中。
(二)询问被审计单位管理层和员工
通过向被审计单位管理层询问其权责范围内涉及的重要外部因素及其对被审计单位产生的影响,注册会计师可以对管理层作出的重大决策及采取的行动有进一步的了解。通过向负责市场和销售的人员询问所处行业的市场供求及竞争情况,可以增强或更新注册会计师对被审计单位所处环境的了解。
对于连续审计业务,注册会计师询问的重点通常是以前年度了解到的情况是否在本期发生了变化。注册会计师对最新动态的关注应当贯穿于整个审计过程中。
(三)查阅内部与外部的信息资料
内部信息资料主要包括中期财务报告(包括管理层的讨论和分析)、管理报告、其他特殊目的报告,以及股东大会、董事会会议、高级管理层会议的会议记录或纪要。外部信息资料包括外部顾问、代理机构、证券分析师等编制的关于被审计单位及其所处行业的报告,政府部门或民间行业组织发布的行业报告、宏观经济统计数据、行业统计数据,以及贸易和商业杂志等信息资料。
通常,被审计单位管理层基于经营管理需要会保存上述信息资料,或自己编写有关说明材料和分析材料。为了提高工作效率,注册会计师可以将询问管理层作为查找此类信息及确定信息来源的起点,考虑尽可能利用被审计单位保存的这些资料。注册会计师可以向被审计单位管理层和员工了解他们认为重要的外部信息来源,以及被审计单位如何收集、编制和保存这类信息。值得注意的是,注册会计师需要核实被审计单位提供的资料。此外,通过互联网查阅相关信息也能提高资料收集工作的效率。
在可行的情况下,更好的做法是注册会计师在平时就对宏观经济、行业和市场情况的最新动态,以及其他与被审计单位相关的信息加以关注,并留意收集这方面的信息。
(四)与项目组成员或熟悉被审计单位所处行业的其他人员讨论
与项目组成员特别是经验较多的人员进行讨论,有助于注册会计师获知和利用他人积累的有关被审计单位经营活动以及行业状况的经验与知识。与会计师事务所内熟悉被审计单位所处行业的其他人员讨论,也有助于注册会计师深入、快捷地了解该行业当前面临的外部因素与重大事项,及其对被审计单位的影响。
(五)分析程序
分析程序是注册会计师在了解被审计单位及其环境时运用的重要程序之一。在许多情况下,运用分析程序可以帮助注册会计师评价被审计单位在行业中的经营状况和竞争环境。例如:(1)将被审计单位的关键业绩指标与同行业平均数据或同行业中规模相近的其他单位的数据相比较,可以了解被审计单位在市场中的相对表现,并识别存在重大错报风险的迹象;(2)利用从外部获取的市场份额变化趋势信息,可以识别被审计单位竞争能力的重大变化;(3)按业务分部或地区分部分类计算的销售和毛利变动趋势,可以揭示经营业绩随时间推移而发生的变化,将这一业绩与以前年度比较,可以获得对经营业绩趋势的了解。
第三节 被审计单位的性质
本准则第二十四条规定,了解被审计单位的性质有助于注册会计师理解预期在财务报表中反映的各类交易、账户余额和列报。
本准则第二十四条还规定,注册会计师应当主要从下列方面了解被审计单位的性质:(1)所有权结构;(2)治理结构;(3)组织结构;(4)经营活动;(5)投资活动;(6)筹资活动。本准则第二十五条至第三十条分别对了解上述各方面提出了具体要求。
一、了解的具体内容
(一)所有权结构
对被审计单位所有权结构的了解有助于注册会计师识别关联方关系并了解被审计单位的决策过程。
本准则第二十五条规定,注册会计师应当了解所有权结构以及所有者与其他人员或单位之间的关系,考虑关联方关系是否已经得到识别,以及关联方交易是否得到恰当核算。例如,注册会计师应当了解被审计单位是属于国有企业、外商投资企业、民营企业,还是属于其他类型的企业,还应当了解其直接控股母公司、间接控股母公司、最终控股母公司和其他股东的构成,以及所有者与其他人员或单位(如控股母公司控制的其他企业)之间的关系。注册会计师应当按照《中国注册会计师审计准则第1323号——关联方》的规定,了解被审计单位识别关联方的程序,获取被审计单位提供的所有关联方信息,并考虑关联方关系是否已经得到识别,关联方交易是否得到恰当记录和充分披露。
同时,注册会计师可能需要对其控股母公司(股东)的情况作进一步的了解,包括控股母公司的所有权性质,管理风格及其对被审计单位经营活动及财务报表可能产生的影响;控股母公司与被审计单位在资产、业务、人员、机构、财务等方面是否分开,是否存在占用资金等情况;控股母公司是否施加压力,要求被审计单位达到其设定的财务业绩目标。
(二)治理结构
良好的治理结构可以对被审计单位的经营和财务运作实施有效的监督,从而降低财务报表发生重大错报的风险。
本准则第二十六条规定,注册会计师应当了解被审计单位的治理结构。例如,董事会的构成情况、董事会内部是否有独立董事;治理结构中是否设有审计委员会或监事会及其运作情况。第二十六条还规定,注册会计师应当考虑治理层是否能够在独立于管理层的情况下对被审计单位事务(包括财务报告)作出客观判断。
(三)组织结构
复杂的组织结构可能导致某些特定的重大错报风险。
本准则第二十七条规定,注册会计师应当了解被审计单位的组织结构,考虑复杂组织结构可能导致的重大错报风险,包括财务报表合并、商誉摊销和减值、长期股权投资核算以及特殊目的实体核算等问题。
例如,对于在多个地区拥有子公司、合营企业、联营企业或其他成员机构,或者存在多个业务分部和地区分部的被审计单位,不仅编制合并财务报表的难度增加,还存在其他可能导致重大错报风险的复杂事项,包括:对于子公司、合营企业、联营企业和其他股权投资类别的判断及其会计处理;商誉在不同业务分部间的摊销及减值;对特殊目的实体是否进行了适当的会计处理等。
(四)经营活动
了解被审计单位经营活动有助于注册会计师识别预期在财务报表中反映的主要交易类别、重要账户余额和列报。
本准则第二十八条规定,注册会计师应当了解被审计单位的经营活动。主要包括:
1.主营业务的性质。例如,主营业务是制造业还是商品批发与零售;是银行、保险还是其他金融服务;是公用事业、交通运输还是提供技术产品和服务等。
2.与生产产品或提供劳务相关的市场信息。例如,主要客户和合同、付款条件、利润率、市场份额、竞争者、出口、定价政策、产品声誉、质量保证、营销策略和目标等。
3.业务的开展情况。例如,业务分部的设立情况、产品和服务的交付、衰退或扩展的经营活动的详情等。
4.联盟、合营与外包情况。
5.从事电子商务的情况。例如,是否通过互联网销售产品和提供服务以及从事营销活动。
6.地区与行业分布。例如,是否涉及跨地区经营和多种经营,各个地区和各行业分布的相对规模以及相互之间是否存在依赖关系。
7.生产设施、仓库的地理位置及办公地点。
8.关键客户。例如,销售对象是少量的大客户还是众多的小客户;是否有被审计单位高度依赖的特定客户(如超过销售总额的10%的顾客); 是否有造成高回收性风险的若干客户或客户类别(如正处在一个衰退市场中的客户);是否与某些客户订立了不寻常的销售条款或条件。
9.重要供应商。例如,是否签订长期供应合同;原材料供应的可靠性和稳定性;付款条件;以及原材料是否受重大价格变动的影响。
10.劳动用工情况。例如,分地区用工情况、劳动力供应情况、工资水平、退休金和其他福利、股权激励或其他奖金安排以及与劳动用工事项相关的政府法规。
11.研究与开发活动及其支出。
12.关联方交易。例如,有些客户或供应商是否为关联方;对关联方和非关联方是否采用不同的销售和采购条款。此外,还存在哪些关联方交易,这些交易采用怎样的定价政策。
(五)投资活动
了解被审计单位投资活动有助于注册会计师关注被审计单位在经营策略和方向上的重大变化。
本准则第二十九条规定,注册会计师应当了解被审计单位的投资活动。主要包括:
1.近期拟实施或已实施的并购活动与资产处置情况,包括业务重组或某些业务的终止。注册会计师应当了解并购活动如何与被审计单位目前的经营业务相协调,并考虑他们是否会引发进一步的经营风险。例如,被审计单位并购了一个新的业务部门,注册会计师需要了解管理层如何管理这一新业务,而新业务又如何与现有业务相结合,发挥协同优势,如何解决原有经营业务与新业务在信息系统、企业文化等各方面的不一致。
2.证券投资、委托贷款的发生与处置。
3.资本性投资活动,包括固定资产和无形资产投资,近期或计划发生的变动,以及重大的资本承诺等。
4.不纳入合并范围的投资。例如,联营、合营或其他投资,包括近期计划的投资项目。
(六)筹资活动
了解被审计单位筹资活动有助于注册会计师评估被审计单位在融资方面的压力,并进一步考虑被审计单位在可预见未来的持续经营能力。
本准则第三十条规定,注册会计师应当了解被审计单位的筹资活动。主要包括:
1.债务结构和相关条款,包括担保情况及表外融资。例如,获得的信贷额度是否可以满足营运需要;得到的融资条件及利率是否与竞争对手相似,如不相似,原因何在;是否存在违反借款合同中限制性条款的情况;是否承受重大的汇率与利率风险。
2.固定资产的租赁,包括通过融资租赁方式进行的筹资活动。
3.关联方融资。例如,关联方融资的特殊条款。
4.实际受益股东。例如,实际受益股东是国内的,还是国外的,其商业声誉和经验可能对被审计单位产生的影响。
5.衍生金融工具的运用。例如,衍生金融工具是用于交易目的还是套期目的,以及运用的种类、范围和交易对手等。
二、实施风险评估程序
在了解被审计单位的性质时,除查阅以前年度的审计工作底稿、与项目组成员或其他有经验的人员和行业专家讨论、利用业务承接和续约过程中获取的信息外,注册会计师运用的风险评估程序还包括下列方面。
(一)询问被审计单位管理层和内部其他相关人员
注册会计师可以就被审计单位性质的六个方面询问管理层、治理层及被审计单位担任不同职责的人员,以全面了解被审计单位的情况。
(二)查阅文件和报告
注册会计师可以查阅被审计单位的组织结构图、关联方清单、公司章程、对外签订的主要销售、采购、投资、债务合同等,以及被审计单位内部的管理报告、财务报告、生产经营情况分析、会议记录或纪要等,了解被审计单位的性质。
(三)实地察看被审计单位的主要生产经营场所
实地察看被审计单位的主要生产经营场所能增强注册会计师对被审计单位性质的了解。实地察看主要经营场所对于了解新承接的审计项目、收购了新业务的被审计单位和跨地区经营的被审计单位尤其重要。通过实地察看被审计单位的厂房和办公场所,可以使注册会计师对被审计单位的布局、生产流程以及固定资产和存货的状况获得一定的了解。在实地察看时,注册会计师应当对存在问题的迹象保持警惕。例如,生产设备上的锈迹可能表示该设备是闲置的,原材料和产成品上布满灰尘可能说明其积压已久。在实地察看过程中,注册会计师还可以向被审计单位管理层和担任不同职责的员工询问,以了解更多的情况。
(四)分析程序
例如,将被审计单位的财务信息与以前期间的可比数据、被审计单位的预算或注册会计师的预期数据进行比较,对重要财务比率进行分析,以了解被审计单位在经营活动、 投资活动、筹资活动等各方面的情况及其重大变化。
第四节 被审计单位对会计政策的选择和运用
本准则第三十一条规定,注册会计师应当了解被审计单位对会计政策的选择和运用,是否符合适用的会计准则和相关会计制度,是否符合被审计单位的具体情况。本准则第三十二条至三十四条对此作了具体说明。
一、了解的具体内容
本准则第三十二条规定,在了解被审计单位对会计政策的选择和运用是否适当时,注册会计师应当关注的下列事项。
(一)重要项目的会计政策和行业惯例
重要项目的会计政策包括,收入确认、存货的计价方法、投资的核算、固定资产的折旧方法、坏账准备、存货跌价准备和其他资产减值准备的确定、借款费用资本化方法、合并财务报表的编制方法等。除会计政策以外,某些行业可能还存在一些行业惯例,注册会计师应当熟悉这些行业惯例。当被审计单位采用与行业惯例不同的会计处理方法时,注册会计师应当了解其原因,并考虑采用与行业惯例不同的会计处理方法是否适当。
(二)重大和异常交易的会计处理方法
例如,本期发生的企业合并的会计处理方法。某些被审计单位可能存在与其所处行业相关的重大交易。例如,银行向客户发放贷款、证券公司对外投资、医药企业的研究与开发活动等,注册会计师应当考虑对重大的和不经常发生的交易的会计处理方法是否适当。
(三)在新领域和缺乏权威性标准或共识的领域,采用重要会计政策产生的影响
在新领域和缺乏权威性标准或共识的领域,注册会计师应当关注被审计单位选用了哪些会计政策,为什么选用这些会计政策以及选用这些会计政策产生的影响。
(四)会计政策的变更
本准则第三十三条规定,如果被审计单位变更了重要的会计政策,注册会计师应当考虑变更的原因及其适当性,即考虑:(1)会计政策的变更是否是法律、行政法规或者适用的会计准则和相关会计制度要求的变更;(2)会计政策变更是否能够提供更可靠、更相关的会计信息。除此之外,注册会计师还应当关注会计政策的变更是否得到充分披露。
(五)被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度
例如,新的企业会计准则自2007年 1月 1日起在上市公司施行,并鼓励其他企业执行。注册会计师应考虑被审计的上市公司是否已按照新会计准则的要求,做好衔接调整工作,并收集执行新会计准则需要的信息资料。
除上述与会计政策的选择和运用相关的事项外,注册会计师还应对被审计单位下列与会计政策运用相关的情况予以关注:(1)是否采用激进的会计政策、方法、估计和判断;(2)财会人员是否拥有足够的运用会计准则的知识、经验和能力;(3)是否拥有足够的资源支持会计政策的运用,如人力资源及培训、信息技术的采用、数据和信息的采集等。
本准则第三十四条规定,注册会计师应当考虑,被审计单位是否按照适用的会计准则和相关会计制度的规定恰当地进行了列报,并披露了重要事项。列报和披露的主要内容包括:财务报表及其附注的格式、结构安排、内容、财务报表项目使用的术语、披露信息的明细程度、项目在财务报表中的分类以及列报信息的来源等。注册会计师应当考虑被审计单位是否已对特定事项作了适当的列报和披露。
二、实施风险评估程序
在了解被审计单位对会计政策的选择和运用时,注册会计师实施的风险评估程序包括:查阅以前年度的审计工作底稿,询问被审计单位管理层和员工,查阅被审计单位的财务资料和内部报告(如会计工作手册和操作指引)等。注册会计师还可结合对被审计单位及其环境其他方面的了解,考虑被审计单位选用的会计政策是否符合其具体情况。
需要强调的是,注册会计师应当关注被审计单位本期会计政策的选用与前期相比发生的重大变化,包括对本期新发生的交易或事项选用的会计政策,对前期不重大而本期重大的交易或事项选用的会计政策,重要会计政策的变更以及新会计准则发布施行的影响等。
第五节 被审计单位的目标、战略以及相关经营风险
本准则第三十五条规定,注册会计师应当了解被审计单位的目标和战略,以
及可能导致财务报表重大错报的相关经营风险。本准则第三十六条至第三十九条对此作了具体规定。
一、了解的具体内容
(一)目标、战略与经营风险
目标是企业经营活动的指针。企业管理层或治理层一般会根据企业经营面临的外部环境和内部各种因素,制定合理可行的经营目标。战略是企业管理层为实现经营目标采用的总体层面的策略和方法。为了实现某一既定的经营目标,企业可能有多个可行战略。例如,如果目标是在某一特定期间内进入一个新的市场,那么可行的战略可能包括收购该市场内的现有企业、与该市场内的其他企业合资经营、或自行开发进入该市场。随着外部环境的变化,企业应对目标和战略作出相应的调整。
本准则第三十六条第一款指出,经营风险源于对被审计单位实现目标和战略产生不利影响的重大情况、事项、环境和行动,或源于不恰当的目标和战略。不同的企业可能面临不同的经营风险,这取决于企业经营的性质、所处行业、外部监管环境、企业的规模和复杂程度。管理层有责任识别和应对这些风险。
不能随环境的变化而作出相应的调整固然可能产生经营风险。但是,在调整的过程中也可能导致经营风险。例如,为应对消费者需求的变化,企业开发了新产品。但是,开发的新产品可能会产生开发失败的风险;即使开发成功,市场需求可能没有充分开发,而导致产品营销风险;产品的缺陷还可能导致企业遭受声誉风险和承担产品赔偿责任的风险。
本准则第三十六条第二款指出,注册会计师应当了解被审计单位是否存在与下列方面有关的目标和战略,并考虑相应的经营风险:(1)行业发展,及其可能导致的被审计单位不具备足以应对行业变化的人力资源和业务专长等风险;(2)开发新产品或提供新服务,及其可能导致的被审计单位产品责任增加等风险;(3)业务扩张,及其可能导致的被审计单位对市场需求的估计不准确等风险;(4)新颁布的会计法规,及其可能导致的被审计单位执行法规不当或不完整,或会计处理成本增加等风险;(5)监管要求,及其可能导致的被审计单位法律责任增加等风险;(6)本期及未来的融资条件,及其可能导致的被审计单位由于无法满足融资条件而失去融资机会等风险;(7)信息技术的运用,及其可能导致的被审计单位信息系统与业务流程难以融合等风险。
(二)经营风险对重大错报风险的影响
经营风险与财务报表重大错报风险是既有联系又相互区别的两个概念。前者比后者范围更广。注册会计师了解被审计单位的经营风险有助于其识别财务报表重大错报风险。但并非所有的经营风险都与财务报表相关,注册会计师没有责任识别或评估对财务报表没有影响的经营风险。
本准则第三十七条指出,多数经营风险最终都会产生财务后果,从而影响财务报表。但并非所有经营风险都会导致重大错报风险。经营风险可能对各类交易、账户余额以及列报认定层次或财务报表层次产生直接影响。例如,企业合并导致银行客户群减少,使银行信贷风险集中,由此产生的经营风险可能增加与贷款计价认定有关的重大错报风险。同样的风险,尤其是在经济紧缩时,可能具有更为长期的后果,注册会计师在评估持续经营假设的适当性时需要考虑这一问题。为此,本准则第三十七条还规定,注册会计师应当根据被审计单位的具体情况考虑经营风险是否可能导致财务报表发生重大错报。
目标、战略、经营风险和重大错报风险之间的的相互联系可举一例予以说明。例如,企业当前的目标是在某一特定期间内进入某一新的海外市场,企业选择的战略是在当地成立合资公司。从该战略本身来看,是可以实现这一目标的。但是,成立合资公司可能会带来很多的经营风险,例如,企业如何与当地合资方在经营活动、企业文化等各方面协调,如何在合资公司中获得控制权或共同控制权,当地市场情况是否会发生变化,当地对合资公司的税收和外汇管理方面的政策是否稳定,合资公司的利润是否可以汇回,是否存在汇率风险等。这些经营风险反映到财务报表中,可能会因对合资公司是属于子公司、合营企业或联营企业的判断问题,投资核算问题,包括是否存在减值问题、对当地税收规定的理解,以及外币折算等问题而导致财务报表出现重大错报风险。
(三)被审计单位的风险评估过程
本准则第三十八条规定,管理层通常制定识别和应对经营风险的策略,注册会计师应当了解被审计单位的风险评估过程。此类风险评估过程是被审计单位内部控制的组成部分,本指南第四章将对其作具体说明。
(四)对小型被审计单位的考虑
本准则第三十九条对考虑小型被审计单位的情况提出了要求,指出小型被审计单位通常没有正式的计划和程序来确定其目标、战略并管理经营风险。注册会计师应当询问管理层或观察小型被审计单位如何应对这些事项,以获取了解,并评估重大错报风险。
二、实施风险评估程序
注册会计师可通过与管理层沟通,查阅经营规划和其他文件,获取对被审计单位目标和战略的了解;还可以通过询问不同的管理层成员,进一步了解被审计单位目标和战略、政策和程序,以及管理层期望和关注的事项。
同时,注册会计师还可以利用对被审计单位所处外部环境、行业状况以及被审计单位性质的了解,考虑被审计单位的战略是否可以实现该目标以及它们之间的差距或不一致之处。注册会计师还应当考虑被审计单位的目标和战略是否与其各项内部和外部因素相适应。例如,被审计单位的外部因素发生变化,对目标和战略是否作了相应调整;目标和战略是否与企业利益相关者,包括股东、客户、 债权人、管理层、员工以及政府相关部门等的要求和预期相符合;是否与被审计 单位的经营和财务运作系统相适应。如果答案是否定的,可能显示存在经营风险和潜在的财务报表重大错报风险。
第六节 被审计单位财务业绩的衡量和评价
被审计单位管理层经常会衡量和评价关键业绩指标 (包括财务和非财务的)、预算及差异分析、分部信息和分支机构、部门或其他层次的业绩报告以及与竞争对手的业绩比较。此外,外部机构也会衡量和评价被审计单位的财务业绩,如分析师的报告和信用评级机构的报告。
本准则第四十条第一款指出,被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力,促使其采取行动改善财务业绩或歪曲财务报表。因此,第四十条第二款规定,注册会计师应当了解被审计单位财务业绩的衡量和评价情况,考虑这种压力是否可能导致管理层采取行动,以至于增加财务报表发生重大错报的风险。本准则第四十一条至第四十四条对了解被审计单位财务业绩的衡量和评价作出了具体规定。
一、了解的具体内容
(一)了解的主要方面
本准则第四十一条规定,在了解被审计单位财务业绩衡量和评价情况时,注册会计师应当关注下列信息:(1)关键业绩指标;(2)业绩趋势;(3)预测、预算和差异分析;(4)管理层和员工业绩考核与激励性报酬政策;(5)分部信息与不同层次部门的业绩报告;(6)与竞争对手的业绩比较;(7)外部机构提出的报告。
(二)关注内部财务业绩衡量的结果
内部财务业绩衡量可能显示未预期到的结果或趋势。在这种情况下,管理层通常会进行调查并采取纠正措施。与内部财务业绩衡量相关的信息可能显示财务报表存在错报风险,例如,内部财务业绩衡量可能显示被审计单位与同行业其他单位相比具有异常快的增长率或盈利水平,此类信息如果与业绩奖金或激励性报酬等其他因素结合起来考虑,可能显示管理层在编制财务报表时存在某种倾向的错报风险。因此,本准则第四十二条规定,注册会计师应当关注被审计单位内部财务业绩衡量所显示的未预期到的结果或趋势、管理层的调查结果和纠正措施,以及相关信息是否显示财务报表可能存在重大错报。
(三)考虑财务业绩衡量指标的可靠性
本准则第四十三条规定,如果拟利用被审计单位内部信息系统生成的财务业绩衡量指标,注册会计师应当考虑相关信息是否可靠,以及利用这些信息是否足以实现审计目标。许多财务业绩衡量中使用的信息可能由被审计单位的信息系统生成。如果被审计单位管理层在没有合理基础的情况下,认为内部生成的衡量财务业绩的信息是准确的,而实际上信息有误,那么根据有误的信息得出的结论也可能是错误的。如果注册会计师计划在审计中(如在实施分析程序时)利用财务业绩指标,应当考虑相关信息是否可靠,以及在实施审计程序时利用这些信息是否足以发现重大错报。
(四)对小型被审计单位的考虑
本准则第四十四条规定,小型被审计单位通常没有正式的财务业绩衡量和评价程序,管理层往往依据某些关键指标,作为评价财务业绩和采取适当行动的基础,注册会计师应当了解管理层使用的关键指标。
需要强调的是,注册会计师了解被审计单位财务业绩的衡量与评价,是为了考虑管理层是否面临实现某些关键财务业绩指标的压力 ① 。这些压力既可能源于需要达到市场分析师或股东的预期,也可能产生于达到获得股票期权或管理层和员工奖金的目标。受压力影响的人员可能是高级管理人员(包括董事会)也可能是可以操纵财务报表的其他经理人员,如子公司或分支机构管理层可能为达到 奖金目标操纵财务报表。
①此外,了解管理层认为重要的关键业绩指标,有助于注册会计师深入了解被审计单位目标和战略。
在评价管理层是否存在歪曲财务报表的动机和压力时,注册会计师还应当考虑可能存在的其他情形。例如,企业或企业的一个主要组成部分是否有可能被出售;管理层是否希望维持或增加企业的股价或盈利走势而热衷于采用过度激进的会计方法;基于纳税的考虑,股东或管理层是否有意采取不适当的方法使盈利最小化;企业是否持续增长和接近财务资源的最大限度;企业的业绩是否急剧下降,可能存在终止上市的风险;企业是否具备足够的可分配利润或现金流量以维持目前的利润分配水平;如果公布欠佳的财务业绩,对重大未决交易(如企业合并或新业务合同的签订)是否可能产生不利影响;企业是否过度依赖银行借款,而财务业绩又可能达不到借款合同对财务指标的要求。这些情况都显示管理层在面临重大压力下时可能粉饰财务业绩,发生舞弊风险。
二、实施风险评估程序
注册会计师通常通过询问被审计单位管理层,查阅被审计单位的内部报告和外部报告,以及实施分析程序,获得对被审计单位财务业绩的衡量和评价的了解。
注册会计师还可以从管理层那里了解哪些业绩指标是其他关键利益拥有者关注的重点,以及管理层的内部业绩衡量标准如何受这些外部因素的影响。注册会计师应当考虑管理层的业绩指标是否与关键利益拥有者的预期相一致,并考虑不一致的情况或管理层应对外部的压力,及其对重大错报风险的影响。
第四章 了解被审计单位的内部控制
本准则第四章(第四十五条至第九十五条),主要说明注册会计师应当如何了解被审计单位的内部控制,包括说明内部控制的内涵和要素、与审计相关的内部控制、对内部控制了解的深度、内部控制的人工和自动化成分、内部控制的局限性,以及对内部控制各个具体要素的了解。
第一节 内部控制的内涵和要素
一、对了解内部控制的总体要求
了解被审计单位的内部控制是识别和评估重大错报风险、设计和实施进一步审计程序的基础。
本准则第四十五条规定,注册会计师应当了解与审计相关的内部控制以识别潜在错报的类型,考虑导致重大错报风险的因素,以及设计和实施进一步审计程序的性质、时间和范围。
二、内部控制的内涵
本准则第四十六条指出,内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。
可以从以下几方面理解内部控制:
1.内部控制的目标是合理保证:(1)财务报告的可靠性,这一目标与管理层履行财务报告编制责任密切相关;(2)经营的效率和效果,即经济有效地使用企业资源,以最优方式实现企业的目标;(3)在所有经营活动中遵守法律法规的要求,即在法律法规的框架下从事经营活动。之所以是合理保证而不是绝对保证,参见本准则第四章第五节对内部控制局限性的说明。
2.设计和实施内部控制的责任主体是治理层、管理层和其他人员,组织中的每一个人都对内部控制负有责任。
3.实现内部控制目标的手段是设计和执行控制政策和程序。
三、内部控制的要素
本准则第四十七条指出,内部控制包括下列要素:
(1)控制环境;
(2)风险评估过程;
(3)信息系统与沟通;
(4)控制活动。
(5)对控制的监督。
本准则所称的内部控制包括本条前款所述的五项要素;本准则所称的控制包括本条前款所述的一项或多项要素,或要素表现出的各个方面。
上述五要素的含义,将分别在本章第六节至第十节予以说明。
值得指出的是,本准则采用了 COSO ( Committee of Sponsoring
Organization of the Theadway Commission,简称COSO)发布的内部控制框架,被审计单位可能并不一定采用这种分类方式来设计和执行内部控制。本准则第四十八条指出,本准则对内部控制要素的分类提供了了解内部控制的框架,但无论对内部控制要素如何进行分类,注册会计师都应当重点考虑被审计单位某项控制,是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。也就是说,在了解和评价内部控制时,采用的具体分析框架及控制要素的分类可能并不唯一,重要的是控制能否实现控制目标。注册会计师可以使用不同的框架和术语描述内部控制的不同方面,但必须涵盖上述内部控制五个要素所涉及的各个方面。
四、对小型被审计单位的考虑
被审计单位设计和执行内部控制的具体方式会因被审计单位的规模和复杂程度的不同而不同。本准则第四十九条指出,小型被审计单位通常采用非正式和简单的内部控制实现其目标,参与日常经营管理的业主(以下简称业主)可能承担多项职能,内部控制要素没有得到清晰区分,注册会计师应当综合考虑小型被审计单位内部控制要素能否实现其目标。
第二节 与审计相关的控制
内部控制的目标旨在合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守。注册会计师审计的目标是对财务报表是否不存在重大错报发表审计意见,尽管要求注册会计师在财务报表审计中考虑与财务报表编制相关的内 部控制,但目的并非对被审计单位内部控制的有效性发表意见。注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制。本准则第五十条至第五十三条界定了与审计相关的控制。
一、为实现财务报告可靠性目标设计和实施的控制
本准则第五十条规定,与审计相关的控制,包括被审计单位为实现财务报告可靠性目标设计和实施的控制。注册会计师应当运用职业判断,考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序有关。
在运用职业判断时,注册会计师应当考虑下列因素:(1)注册会计师确定的重要性水平;(2)被审计单位的性质,包括组织结构和所有制性质;(3)被审计单位的规模;(4)被审计单位经营的多样性和复杂性;(5)法律法规和监管要求;(6)作为内部控制组成部分的系统( 包括利用服务机构)的性质和复杂性。
二、其他与审计相关的控制
本准则第五十一条至第五十三条对注册会计师应当考虑的其他与审计相关的控制进行了说明。
本准则第五十一条规定,如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息,注册会计师应当考虑用以保证该信息完整性和准确性的控制可能与审计相关。注册会计师以前的经验以及在了解被审计单位及其环境过程中获得的信息,可以帮助注册会计师识别与审计相关的控制。
本准则第五十二条规定,如果用以保证经营效率、效果的控制以及对法律法规遵守的控制与实施审计程序时评价或使用的数据相关,注册会计师应当考虑这些控制可能与审计相关。例如,对于某些非财务数据(如生产统计数据)的控制,如果注册会计师在实施分析程序时使用这些数据,这些控制就可能与审计相关。又如,某些法规(如税法)对财务报表存在直接和重大的影响(影响应交税金和所得税费用)。为了遵守这些法规,被审计单位可能设计和执行相应的控制,这些控制也与注册会计师的审计相关。
被审计单位通常有一些与审计无关的控制,注册会计师无需对其加以考虑。例如,被审计单位可能依靠某一复杂的自动控制系统提高经营活动的效率和效果(如航空公司用于维护航班时间表的自动控制系统),但这些控制通常与审计无关。
第五十三条指出,用以保护资产的内部控制可能包括与实现财务报告可靠性和经营效率、效果目标相关的控制。注册会计师在了解保护资产的内部控制各项要素时,可仅考虑其中与财务报告可靠性目标相关的控制。例如,保护存货安全的控制可能与审计相关,但在生产中防止材料浪费的控制通常就与审计不相关,只有所用材料的成本没有在财务报表中如实反映,才会影响财务报表的可靠性。
因此,下文所称的内部控制都是指与注册会计师审计相关的内部控制。
第三节 对内部控制了解的深度
对内部控制了解的深度,是指在了解被审计单位及其环境时对内部控制了解的程度。包括评价控制的设计,并确定其是否得到执行,但不包括对控制是否得到一贯执行的测试。
一、 评价控制的设计
本准则第五十四条规定,注册会计师在了解内部控制时,应当评价控制的设计,并确定其是否得到执行。评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。控制得到执行是指某项控制存在且被审计单位正在使用。设计不当的控制可能表明内部控制存在重大缺陷,注册会计师在确定是否考虑控制得到执行时,应当首先考虑控制的设计。如果控制设计不当,不需要再考虑控制是否得到执行。
二、获取控制设计和执行的审计证据
本准则第五十五条第一款规定,注册会计师通常实施下列风险评估程序,以获取有关控制设计和执行的审计证据:(1)询问被审计单位的人员;(2)观察特定控制的运用;(3)检查文件和报告;(4)追踪交易在财务报告信息系统中的处理过程(穿行测试)。这些程序是风险评估程序在了解被审计单位内部控制方面的具体运用。
第五十五条第二款进一步规定,询问本身并不足以评价控制的设计以及确定其是否得到执行,注册会计师应当将询问与其他风险评估程序结合使用。
三、了解内部控制与测试控制运行有效性的关系
本准则第五十六条指出,除非存在某些可以使控制得到一贯运行的自动化控制,注册会计师对控制的了解并不能够代替对控制运行有效性的测试。
例如,获取某一人工控制在某一时点得到执行的审计证据,并不能证明该控制在所审计期间内的其他时点也有效运行。但是,信息技术可以使被审计单位持续一贯地对大量数据进行处理,提高了被审计单位监督控制活动运行情况的能力,信息技术还可以通过对应用软件、数据库、操作系统设置安全控制来实现有效的职责划分。由于信息技术处理流程的内在一贯性,实施审计程序确定某项自动控制是否得到执行,也可能实现对控制运行有效性测试的目标。对控制运行有效性的测试称为控制测试,《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》第四章对此作出了具体规定。
第四节 内部控制的人工和自动化成分
一、考虑内部控制的人工和自动化特征及其影响
大多数被审计单位出于编制财务报告和实现经营目标的需要使用信息技术。然而,即使信息技术得到广泛使用,人工因素仍然会存于这些系统之中。不同的被审计单位采用的控制系统中人工控制和自动化控制的比例是不同的。在一些小型的生产经营不太复杂的被审计单位,可能以人工控制为主;而在另外一些被审计单位,可能以自动化控制为主。本准则第五十七条规定,内部控制可能既包括人工成分又包括自动化成分,在风险评估以及设计和实施进一步审计程序时,注册会计师应当考虑内部控制的人工和自动化特征及其影响。
内部控制采用人工系统还是自动化系统,将影响交易生成、记录、处理和报告的方式。在以人工为主的系统中,内部控制一般包括批准和复核业务活动,编制调节表并对调节项目进行跟踪。当采用信息技术系统生成、记录、处理和报告交易时,交易的记录形式(如订购单、发票、装运单及相关的会计记录)可能是电子文档而不是纸质文件。信息技术系统中的控制可能既有自动控制(如嵌入计算机程序的控制)又有人工控制。人工控制可能独立于信息技术系统,利用信息技术系统生成的信息,也可能限于监督信息技术系统和自动控制的有效运行或者处理例外事项。如果采用信息技术系统处理交易和其他数据,系统和程序可能包括与财务报表重大账户认定相关的控制或者包括人工控制作用的有效发挥。被审计单位的性质和经营的复杂程度会对采用人工控制和自动控制的成分产生影响。
二、信息技术的适用范围及相关内部控制风险
本准则第五十八条指出,信息技术通常在下列方面提高被审计单位内部控制的效率和效果:(1)在处理大量的交易或数据时,一贯运用事先确定的业务规则,并进行复杂运算;(2)提高信息的及时性、可获得性及准确性;(3)有助于对信息的深入分析;(4)加强对被审计单位政策和程序执行情况的监督;(5)降低控制被规避的风险;(6)通过对操作系统、应用程序系统和数据库系统实施安全控制,提高不相容职务分离的有效性。
但是,信息技术也可能对内部控制产生特定风险。本准则第五十九条指出,注册会计师应当从下列方面了解信息技术对内部控制产生的特定风险:(1)系统或程序未能正确处理数据,或处理了不正确的数据,或两种情况同时并存;(2)在未得到授权情况下访问数据,可能导致数据的毁损或对数据不恰当的修改,包括记录未经授权或不存在的交易,或不正确地记录了交易;(3)信息技术人员可能获得超越其履行职责以外的数据访问权限,破坏了系统应有的职责分工;(4)未经授权改变主文档的数据;(5)未经授权改变系统或程序;(6)未能对系统或程序作出必要的修改;(7)不恰当的人为干预;(8)数据丢失的风险或不能访问所需要的数据。
三、人工控制的适用范围及相关内部控制风险
本准则第六十条指出,内部控制的人工成分在处理下列需要主观判断或酌情处理的情形时可能更为适当:(1)存在大额、异常或偶发的交易;(2)存在难以定义、防范或预见的错误;(3)为应对情况的变化,需要对现有的自动化控制进行调整;(4)监督自动化控制的有效性。
但是,由于人工控制由人执行,受人为因素的影响,也产生了特定风险,本准则第六十一条指出,注册会计师应当从下列方面了解人工控制产生的特定风险:(1)人工控制可能更容易被规避、忽视或凌驾;(2)人工控制可能不具有一贯性 ;(3) 人工控制可能更容易产生简单错误或失误。相对于自动控制,人工控制的可靠性较差。为此,本准则第六十二条指出,注册会计师应当考虑人工控制在下列情形中可能是不适当的:(1)存在大量或重复发生的交易;(2)事先可预见的错误能够通过自动化控制得以防范或发现;(3)控制活动可得到适当设计和自动化处理。
内部控制风险的程度和性质受被审计单位信息系统的性质和特征的影响。因此,本准则第六十三条规定,在了解内部控制时,注册会计师应当考虑被审计单位是否通过建立有效的控制,以恰当应对由于使用信息技术系统或人工系统而产生的风险。
第五节 内部控制的局限性
一、内部控制的固有局限性
本准则第六十四条指出,内部控制存在固有局限性,无论如何设计和执行,只能对财务报告的可靠性提供合理的保证。内部控制存在的固有局限性包括:
1.在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。例如,被审计单位信息技术工作人员没有完全理解系统如何处理销售交易,为使系统能够处理新型产品的销售,可能错误地对系统进行更改;或者对系统的更改是正确的,但是程序员没能把此次更改转化为正确的程序代码。
2.可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。例如,管理层可能与客户签订背后协议,对标准的销售合同作出变动,从而导致收入确认发生错误。再如,软件中的编辑控制旨在发现和报告超过赊销信用额度的交易,但这一控制可能被逾越或规避。
此外,如果被审计单位内部行使控制职能的人员素质不适应岗位要求,也会影响内部控制功能的正常发挥。被审计单位实施内部控制的成本效益问题也会影响其职能,当实施某项控制成本大于控制效果而发生损失时,就没有必要设置控制环节或控制措施。内部控制一般都是针对经常而重复发生的业务而设置的,如果出现不经常发生或未预计到的业务,原有控制就可能不适用。
二、 对小型被审计单位的考虑
本准则第六十五条规范了注册会计师如何考虑小型被审计单位内部控制的特征及其影响。小型被审计单位拥有的员工通常较少,限制了其职责分离的程度。业主凌驾于内部控制之上的可能性较大。注册会计师应当考虑一些关键领域是否存在有效的内部控制。
第六节 控制环境
一、控制环境的含义和了解控制环境的总体要求
控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。控制环境设定了被审计单位的内部控制基调,影响员工对内部控制的认识和态度。良好的控制环境是实施有效内部控制的基础。本准则第六十六条规定,注册会计师应当了解控制环境。
防止或发现并纠正舞弊和错误是被审计单位治理层和管理层的责任。本准则第六十七条规定,在评价控制环境的设计和实施情况时,注册会计师应当了解管理层在治理层的监督下,是否营造并保持了诚实守信和合乎道德的文化,以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。实际上,在审计业务承接阶段,注册会计师就需要对控制环境作出初步了解和评价。
二、控制环境的构成要素
本准则第六十八条规定,在评价控制环境的设计时,注册会计师应当考虑构成控制环境的下列要素,以及这些要素如何被纳入被审计单位业务流程:(1)对诚信和道德价值观念的沟通与落实;(2)对胜任能力的重视;(3)治理层的参与程度;(4)管理层的理念和经营风格;(5)组织结构;(6)职权与责任的分配;(7)人力资源政策与实务。
本指南附录1211-1将对控制环境构成要素的具体含义以及如何在被审计单位整体层面对其进行了解作进一步的说明。
三、了解控制环境的程序
在评价控制环境各个要素时,注册会计师应当考虑控制环境各个要素是否得到执行。因为管理层也许建立了一个合理的内部控制,但却未有效执行。例如,管理层已建立正式的行为准则,但实际操作中却没有对不遵守该守则的行为采取措施。又如,管理层要求信息系统建立安全措施,但却没有提供足够的资源。
本准则第六十九条规定,在确定构成控制环境的要素是否得到执行时,注册会计师应当考虑将询问与其他风险评估程序相结合以获取审计证据。通过询问管理层和员工,注册会计师可能了解管理层如何就业务规程和道德价值观念与员工进行沟通;通过观察和检查,注册会计师可能了解管理层是否建立了正式的行为守则,在日常工作中行为守则是否得到遵守,以及管理层如何处理违反行为守则的情形。
四、考虑控制环境的总体优势及缺陷
本准则第七十条指出,控制环境对重大错报风险的评估具有广泛影响,注册会计师应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的基础,并且未被控制环境中存在的缺陷所削弱。
注册会计师在评估重大错报风险时,存在令人满意的控制环境是一个积极的因素。虽然令人满意的控制环境并不能绝对防止舞弊,但却有助于降低发生舞弊的风险。有效的控制环境还为注册会计师相信在以前年度和期中所测试的控制将继续有效运行提供一定基础。相反,控制环境中存在的弱点可能削弱控制的有效性。例如,注册会计师在进行风险评估时,如果认为被审计单位控制环境薄弱,则很难认定某一流程的控制是有效的。
五、考虑控制环境与其他控制要素的综合作用
本准则第七十一条指出,控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报,注册会计师在评估重大错报风险时,应当将控制环境连同其他内部控制要素产生的影响一并考虑。例如,将控制环境与对控制的监督和具体控制活动一并考虑。
六、对小型被审计单位的考虑
本准则第七十二条指出,在小型被审计单位,可能无法获取以文件形式存在的有关控制环境要素的审计证据。例如,小型被审计单位可能没有书面的行为守则,管理层对道德价值和专业胜任能力的推崇,通常是通过管理层在经营管理过程中展示的行为和态度得到体现。因此,第七十二条还规定,注册会计师应当重点了解管理层对内部控制设计的态度、认识和措施。
第七节 被审计单位的风险评估过程
一、被审计单位面临的风险及风险评估过程
任何经济组织在经营活动中都会面临各种各样的风险,风险对其生存和竞争能力产生影响。很多风险并不为经济组织所控制,但管理层应当确定可以承受的风险水平,识别这些风险并采取一定的应对措施。
可能产生风险的事项和情形包括:
1.监管及经营环境的变化。监管和经营环境的变化会导致竞争压力的变化以及重大的相关风险。
2.新员工的加入。新员工可能对内部控制有不同的认识和关注点。
3.新信息系统的使用或对原系统进行升级。信息系统的重大变化会改变与内部控制相关的风险。
4.业务快速发展。快速的业务扩张可能会使内部控制难以应对,从而增加内部控制失效的可能性。
5.新技术。将新技术运用于生产过程和信息系统可能改变与内部控制相关的风险。
6.新生产型号、产品和业务活动。进入新的业务领域和发生新的交易可能带来新的与内部控制相关的风险。
7.企业重组。重组可能带来裁员以及管理职责的重新划分,将影响与内部控制相关的风险。
8.发展海外经营。海外扩张或收购会带来新的并且往往是特别的风险,进而可能影响内部控制,如外币交易的风险。
9.新的会计准则。采用新的或变化了的会计准则可能会增大财务报告发生重大错报的风险。
风险评估过程的作用是,识别、评估和管理影响被审计单位实现经营目标能力的各种风险。而针对财务报告目标的风险评估过程则包括识别与财务报告相关的经营风险,评估风险的重大性和发生的可能性,以及采取措施管理这些风险。例如,风险评估可能会涉及被审计单位如何考虑对某些交易未予记录的可能性,或者识别和分析财务报告中的重大会计估计发生错报的可能性。与财务报告相关的风险也可能与特定事项和交易有关。
本准则第七十三条指出,被审计单位的风险评估过程包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施。注册会计师应当了解被审计单位的风险评估过程和结果。
二、评价风险评估过程的设计与执行
本准则第七十四条规定,在评价被审计单位风险评估过程的设计和执行时,注册会计师应当确定管理层如何识别与财务报告相关的经营风险,如何估计该风险的重要性,如何评估风险发生的可能性,以及如何采取措施管理这些风险。如果被审计单位的风险评估过程符合其具体情况,了解被审计单位的风险评估过程和结果有助于注册会计师识别财务报表重大错报的风险。
三、向管理层询问识别出的经营风险
本准则第七十五条第一款规定,注册会计师应当询问管理层识别出的经营风险,并考虑这些风险是否可能导致重大错报。
在审计过程中,如果发现与财务报表有关的风险因素,注册会计师可通过向管理层询问和检查有关文件确定被审计单位的风险评估过程是否也发现了该风险。本准则第七十五条第二款规定,在审计过程中,如果识别出管理层未能识别的重大错报风险,注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险,以及评估过程是否适合于具体环境。例如,在销售循环中,如果发现了销售的截止性错报的风险,注册会计师应当考虑管理层是否也识别了该错报风险,以及管理层如何应对该风险。
四、对小型被审计单位的考虑
本准则第七十六条指出,在小型被审计单位,管理层可能没有正式的风险评估过程。注册会计师应当与管理层讨论其如何识别经营风险以及如何应对这些风险。
第八节 信息系统与沟通
信息系统与沟通是收集与交换被审计单位执行、管理和控制业务活动所需信息的过程,包括收集和提供信息(特别是履行内部控制岗位职责所需的信息)给适当人员,使之能够履行职责。信息系统与沟通的质量直接影响到管理层对经营活动作出正确决策和编制可靠的财务报告的能力。本准则第七十七条至第八十二条对了解信息系统与沟通作出了规定。
一、与财务报告相关的信息系统
本准则第七十七条指出,与财务报告相关的信息系统,包括用以生成、记录、处理和报告交易、事项和情况,对相关资产、负债和所有者权益履行经营管理责任的程序和记录。
交易可能通过人工或自动化程序生成。记录包括识别和收集与交易、事项有关的信息。处理包括编辑、核对、计量、估价、汇总和调节活动,可能由人工或自动化程序来执行。报告是指用电子或书面形式编制财务报告和其他信息,供被审计单位用于衡量和考核财务及其他方面的业绩。
第七十七条第二款指出,与财务报告相关的信息系统应当与业务流程相适应。业务流程是指被审计单位开发、采购、生产、销售、发送产品和提供服务、保证遵守法律法规、记录信息等一系列活动。
二、与财务报告相关的信息系统的职能
本准则第七十八条第一款指出,与财务报告相关的信息系统所生成信息的质量,对管理层能否作出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。
第七十八条第二款指出,与财务报告相关的信息系统通常包括下列职能:(1)识别与记录所有的有效交易;(2)及时、详细地描述交易,以便在财务报告中对交易作出恰当分类;(3)恰当计量交易,以便在财务报告中对交易的金额作出准确记录;(4)恰当确定交易生成的会计期间;(5)在财务报表中恰当列报交易。
三、了解与财务报告相关的信息系统
本准则第七十九条规定,注册会计师应当从下列方面了解与财务报告相关的信息系统:
1.在被审计单位经营过程中,对财务报表具有重大影响的各类交易。
2.在信息技术和人工系统中,交易生成、记录、处理和报告的程序。在获取了解时,注册会计师应当同时考虑被审计单位将交易处理系统中的数据过入总分类账和财务报告的程序。
3.与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目。企业信息系统通常包括使用标准的会计分录,以记录销售、购货和现金付款等重复发生的交易,或记录管理层定期作出的会计估计,如应收账款可回收金额的变化。信息系统还包括使用非标准的分录,以记录不重复发生的、异常的交易或调整事项,如企业合并、资产减值等。
4.信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况,如对固定资产和长期资产计提折旧或摊销、对应收账款计提坏账准备等。
5.被审计单位编制财务报告的过程,包括作出的重大会计估计和披露。编制财务报告的程序应当同时确保适用的会计准则和相关会计制度要求披露的信息得以收集、记录、处理和汇总,并在财务报告中得到充分披露。
四、管理层凌驾于账户记录控制之上的风险
本准则第八十条规定,在了解与财务报告相关的信息系统时,注册会计师应当特别关注由于管理层凌驾于账户记录控制之上,或规避控制行为而产生的重大错报风险,并考虑被审计单位如何纠正不正确的交易处理。
自动化程序和控制可能降低了发生无意错误的风险,但是并没有消除个人凌驾于控制之上的风险,如,某些高级管理人员可能篡改自动过入总分类账和财务报告系统的数据金额。当被审计单位运用信息技术进行数据的传递时,发生篡改可能不会留下痕迹或证据。
五、与财务报告相关的沟通
本准则第八十一条第一款指出,与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责、员工之间的工作联系,以及向适当级别的管理层报告例外事项的方式。
公开的沟通渠道有助于确保例外情况得到报告和处理。沟通可以采用政策手册、会计和财务报告手册和备忘录等形式进行,也可以通过发送电子邮件、口头沟通和管理层的行动来进行。
第八十一条第二款、第三款指出,注册会计师应当了解被审计单位内部如何对财务报告的岗位职责,以及与财务报告相关的重大事项进行沟通。注册会计师还应当了解管理层与治理层(特别是审计委员会)之间的沟通,以及被审计单位与外部(包括与监管部门)的沟通。
本指南附录1211-1、 1211-2将分别说明如何在被审计单位整体层面和业务流程层面对信息系统与沟通进行了解和评估。
六、对小型被审计单位的考虑
本准则第八十二条指出,在小型被审计单位,与财务报告相关的信息系统和沟通可能不如大型被审计单位正式和复杂。管理层可能会更多地参与日常经营管理活动和财务报告活动,不需要很多书面的政策和程序指引,也没有复杂的信息系统和会计流程。由于小型被审计单位的规模较小、报告层次较少,因此,小型被审计单位可能比大型被审计单位更容易实现有效的沟通。注册会计师应当考虑这种特征对评估重大错报风险的影响。
第九节 控制活动
一、了解控制活动的总体要求
本准则第八十三条第一款规定 ,注册会计师应当了解控制活动,以足够评估认定层次的重大错报风险和针对评估的风险设计进一步审计程序。
二、相关的控制活动
本准则第八十三条第二款指出,控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。本准则第八十四条至第八十八条分别对此进行了说明。
(一)授权
本准则第八十四条第一款指出,注册会计师应当了解与授权有关的控制活动,包括一般授权和特别授权。
授权的目的在于保证交易在管理层授权范围内进行。第八十四条第二款、第三款分别指出,一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。特别授权是指管理层针对特定类别的交易或活动逐一设置的授权,如重大资本支出和股票发行等。特别授权也可能用于超过一般授权限制的常规交易。例如,同意因某些特别原因,对某个不符合一般信用条件的客户赊购商品。
(二)业绩评价
本准则第八十五条规定,注册会计师应当了解与业绩评价有关的控制活动,主要包括被审计单位分析评价实际业绩与预算(或预测、前期业绩)的差异,综合分析财务数据与经营数据的内在关系,将内部数据与外部信息来源相比较,评价职能部门、分支机构或项目活动的业绩(如银行客户信贷经理复核各分行、地区和各种贷款类型的审批和收回),以及对发现的异常差异或关系采取必要的调查与纠正措施。
通过调查非预期的结果和非正常的趋势,管理层可以识别可能影响经营目标实现的情形。管理层对业绩信息的使用(如将这些信息用于经营决策,还是同时用于对财务报告系统报告的非预期结果进行追踪),决定了业绩指标的分析是只用于经营目的,还是同时用于财务报告目的。
(三)信息处理
本准则第八十六条第一款指出,注册会计师应当了解与信息处理有关的控制活动,包括信息技术的一般控制和应用控制。
被审计单位通常执行各种措施,检查各种类型信息处理环境下的交易的准确性、完整性和授权。信息处理控制可以是人工的、自动化的,或是基于自动流程的人工控制。信息处理控制分为两类,即信息技术的一般控制和应用控制。
第八十六条第二款指出,信息技术一般控制是指与多个应用系统有关的政策和程序,有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性),支持应用控制作用的有效发挥,通常包括数据中心和网络运行控制,系统软件的购置、修改及维护控制,接触或访问权限控制,应用系统的购置、开发及维护控制。例如,程序改变的控制、限制接触程序和数据的控制、与新版应用软件包实施有关的控制等都属于信息系统一般控制。
第八十六条第三款指出,信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序,与用于生成、记录、处理、报告交易或其他财务数据的程序相关,通常包括检查数据计算的准确性,审核账户和试算平衡表,设置对输入数据和数字序号的自动检查,以及对例外报告进行人工干预。
(四)实物控制
本准则第八十七条指出,注册会计师应当了解实物控制,主要包括了解对资产和记录采取适当的安全保护措施,对访问计算机程序和数据文件设置授权,以及定期盘点并将盘点记录与会计记录相核对。例如,现金、有价证券和存货的定期盘点控制。实物控制的效果影响资产的安全,从而对财务报表的可靠性及审计产生影响。
(五)职责分离
本准则第八十七条指出,注册会计师应当了解职责分离,主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工,以防范同一员工在履行多项职责时可能发生的舞弊或错误。当信息技术运用于信息系统时,职责分离可以通过设置安全控制来实现。
三、考虑多项控制活动
本准则第八十九条规定,在了解控制活动时,注册会计师应当重点考虑一项控制活动单独或连同其他控制活动,是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。注册会计师的工作重点是识别和了解针对重大错报可能发生的领域的控制活动。如果多项控制活动能够实现同一目标,注册会计师不必了解与该目标相关的每项控制活动。
本准则第九十条规定,在了解其他内部控制要素时,如果获取了控制活动是否存在的信息,注册会计师应当确定是否有必要进一步了解这些控制活动。
本指南附录1211-1、 1211-2将 分别说明如何在被审计单位整体层面和业务流程层面对控制活动进行了解和评估。
四、对小型被审计单位的考虑
小型被审计单位的控制活动可能没有大型被审计单位那样正式和复杂。并且某些控制活动可能直接由小型被审计单位中的管理层执行。例如,由管理层批准销售的信用额度、重大的采购等,可能就不再需要更具体的控制活动。因此,本准则第九十一条指出,小型被审计单位通常难以实施适当的职责分离,注册会计师应当考虑小型被审计单位采取的控制活动(特别是职责分离)能否有效实现控制目标。
第十节 对控制的监督
一、了解对控制的监督的总体要求
本准则第九十二条第一款规定,注册会计师应当了解被审计单位对与财务报
告相关的内部控制的监督活动,并了解如何采取纠正措施。
二、对控制的监督的含义
管理层的重要职责之一就是建立和维护控制并保证其持续有效运行,对控制
的监督可以实现这一目标。监督是由适当的人员,在适当、及时的基础上,评估控制的设计和运行情况的过程。本准则第九十二条第二款指出,对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程,该过程包括及时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施。例如,管理层对是否定期编制银行存款余额调节表进行复核,内部审计人员评价销售人员是否遵守公司关于销售合同条款的政策,法律部门定期监控公司的道德规范和商务行为准则是否得以遵循等。监督对控制的持续有效运行十分重要。例如没有对银行存款余额调节表是否得到及时和准确的编制进行监督,该项控制可能无法得到持续的执行。
三、了解对控制的持续监督和专门评价
本准则第九十三条第一款规定,注册会计师应当了解被审计单位对控制的持
续监督活
