30选5开奖结果|30选5中几个才算三等奖|
您的位置品牌?#21592;?#32593; > 知识宝典 > 范文大全 > 内部控制审计操作手册 正文 本文移动端内部控制审计操作手册

内部控制审计操作手册

2019-04-16 09:40:32 来源网站 品牌?#21592;?#32593;

内部控制审计操作手册 本文简介

内部控制审计操作手册目录第一章获取审计业务约定书1一、获取审计业务约定书1二、内部控制审计业务约定书的内容1三、连续审计2四、审计业务约定条款的变更2五、业务约定书的文档记录3第二章建立审计项目组3一、项目小组成员的要求3二、组建项目小组?#30446;?#34385;3三、管理、指导、并监督项目小组4四、项目小组成员的角色

内部控制审计操作手册 本文内容

内部控制审计操作手册目
录第一章
获取审计业务约定书
1
一、获取审计业务约定书
1
二、内部控制审计业务约定书的内容
1
三、连续审计
2
四、审计业务约定条款的变更
2
五、业务约定书的文档记录
3
第二章
建立审计项目组
3
一、项目小组成员的要求
3
二、组建项目小组?#30446;?#34385;
3
三、管理、指导、并监督项目小组
4
四、项目小组成员的角色及责任
5
第三章
了解被审计单位及其环境
6
一、了解被审计单位及其环境的必要性
6
二、了解被审计单位及其环境的程度
7
三、了解被审计单位及其环境的主要内容
7
3.1行业状况、法律环境与监管环境?#32422;?#20854;他外部因素
7
3.1.1行业因素
8
3.1.2
遵守法律法规的规定
8
3.1.3
其他外部因素
8
3.2了解被审计单位的性质
9
3.3被审计单位对会计政策的选择和运用
10
3.4被审计单位的目标、战略?#32422;?#30456;关经营风险
10
3.5被审计单位财务业绩的衡量和评价
11
四、了解IT在企业中的角色
12
4.1了解IT复杂程度
12
4.2了解IT对我们审计工作的影响
13
五、如何了解企业及其环境
13
5.1检阅相关信息
13
5.2询问企业管理层及其他人员
14
5.3观察及检查
14
5.4信息来源
14
六、确定重大错报风险
15
七、工作底稿记录
15

第四章
利用专?#19994;?#24037;作
15
一、确定是否利用专?#19994;?#24037;作
16
1.1确定IT专?#19994;?#20171;入程度
17
1.2确定税务专?#19994;?#20171;入程度
17
1.3确定相关行业专?#19994;?#20171;入程度
18
二、利用管理层专?#19994;?#24037;作
18
2.1评价管理层专?#19994;?#32988;?#25991;?#21147;、专业素养和客观性
18
2.2
了解管理层专?#19994;?#24037;作
19
2.3
评价管理层专?#19994;?#24037;作是否足以实现审计目的
20
三、利用事务所的内部专?#19994;?#24037;作
21
四、利用事务所外部专?#19994;?#24037;作
23
五、记录审计工作
26第五章
了解企业整体的内部控制
27
一、企业层面控制的内涵
27
二、企业层面控制对其他控制及其测试的影响
28
三、了解和评价企业层面内部控制的主要内容
29
3.1与控制环境(即内部环境)相关的控制
30

3.1.1管理层的理念和经营风格
31

3.1.2诚信和道?#24405;?#20540;观念的沟通与落实
31

3.1.3治理层的参与程度
32
3.2针对管理层和治理层凌驾于控制之上的风险而设计的控制
32
3.3被审计单位的风险评估过程
34
3.4对内部信息传递的控制
35
3.5对控制?#34892;?#24615;的内部监督(即监督其他控制的控制)和内部控制评价
35
3.5.1管理层是否定期地将会计系统中记录的数额与实物资产进行核对
36
3.5.2管理层是否为保证内部审计活动的?#34892;?#24615;而确立了相应的控制
36
3.5.3管理层是否建立了相关的控制?#21592;?#35777;自?#31227;?#20215;或定期的系统评价的?#34892;?br>性
36
3.5.4管理层是否建立了相关的控制?#21592;?#35777;监督性控制能够在一个集中的地点?#34892;?#36827;行(如共享服务?#34892;?#31561;)
36
3.6集中化的处理和控制(包括共享的服务环境)
36
3.7监督经营成果的控制
37
四、企业层面控制对其他控制及其测试的影响
38
五、如何了解企业层面控制
39
5.1了解企业层面控制的方法
39
5.2审计证据?#30446;?#34385;和了解企业层面控制的范围
39
六、识别和评估重大错报风险
40
七、工作底稿记录
40
第六章
识别舞弊风险并确定应对措施
40
一、识别舞弊风险的相关要求
40
二、识别舞弊风险的主要程序及考虑因素
41
2.1组织项目组讨论
42
2.2就舞弊风险询问管理层和其他人员
42
2.2.1询问管理层
42
2.2.2询问内部审计人员
43
2.2.3询问内部其他人员
44
2.2.4询?#25163;?#29702;层
44
2.3考虑舞弊风险因素
45
2.4考虑异常关系或偏离预期的关系
45
2.5考虑其他信息
45
三、识别由于舞弊而导致的重大错报风险
45
3.1收入确认
46
四、应对舞弊导致的重大错报风险
46
4.1总体应对措施
46
4.2特别措施
46

五、应对管理层凌驾于控制之上的措施
47
六、应对与关联方有关的由于舞弊而导致的重大错报风险的措施
47
七、对审计其他方面的影响
48
第七章
确定重要性水平
48
一、了解确定整体重要性水平需做?#30446;?#34385;
48
1.1确定整体重要性水平时财务报表使用者的展望与预期
49
1.2整体重要性水平的恰?#34987;?#20934;
49
1.2.1是否存在特定会计主体的财务报表使用者特别关注的项目
49
1.2.2被审计单位的性质、所处的生命周期阶?#25105;约?#25152;处行业和经济环境
49
1.2.3治理层?#30446;?#27861;和预期
49
二、了解确定特定类别的交易、账户余额或披露的重要性水平需做?#30446;?#34385;
50
三、了解确定?#23548;手?#34892;重要性水平可容忍误差需做?#30446;?#34385;
50
四、确定整体重要性水平
50
4.1定义整体重要性水平?#27604;?#23450;应用?#23454;?#30334;分比的税前利润
51
4.1.1上市企业或重要项目
51
4.1.2非重要项目
51
4.2当税前利润作为计量基准不恰当?#27604;?#23450;应用?#23454;?#30334;分比的计量基础
51
五、确定特定类别的交易、账户余额或披露的重要性水平
52
六、确定?#23548;手?#34892;的重要性水平
52
七、在审计过程?#34892;?#25913;重要性水平
53
第八章
识别重大账户、重大列报及相关认定
53
一、识别重大账户、重大列报及其相关认定
53
1.1重大账户或列报
53
1.2确定重大账户或列报的金额标准
53
1.3确定重大账户或列报的性质考虑
54
1.3.1重大账户或列报的性质确定
54
1.3.2考虑已识别的固有风险
54
1.3.3评价财务报表项目及附注的错报风险因素
541.4有关账户的其他考虑因素
55
二、确定相关认定
55
2.1利润表科目的重要账户的相关认定
56
2.2资产负债表重要账户的相关认定
56
2.3与列报和披露相关的认定
56
三、更新我们确定的重大账户或列报及相关认定
57
第九章
识别重大业务流程和重大列报流程
57
一、识别业务流程
57
1.1常规的业务流程
58
1.2非常规的业务流程
58
1.3估计的业务流程
58
二、确定重大流程
58
2.1确定重大业务流程
58
2.2对重大估计业务流程?#30446;?#34385;
59
2.3重大列报流程
59
三、识别相关信息系统
60
第十章
关于集团审计的特殊考虑
60
一、了解集团及其环境、集团组成部分及其环境
60
二、了解集团及其组成部分的内部控制
61
三、集团管控风格的影响
62
四、确定重要性水平?#32422;?#21487;容忍误差
62
4.1确定集团整体财务报表重要性
63
4.2确定集团?#23548;手?#34892;的重要性可容忍误差
63
4.3确定组成部分可容忍误差
63
五、确定重要组成部分
64
5.1根据规模确定
65
5.2根据特定性质或情况确定
65
5.3不重要组成部分
65
六、识别重大账户、重大列报及其相关认定
65
七、组成部分内部控制审计策略
66
八、设定组成部分审计策略的标准
66
第十一章
了解企业内部控制自?#31227;?#20215;过程?#32422;?#21033;用他人的工作
67
一、了解企业内部控制自?#31227;?#20215;过程
67
二、利用他人的工作
68
2.1对专业胜?#25991;?#21147;和客观性?#30446;?#34385;
68
2.1.1专业胜?#25991;?#21147;和客观性对可利用他人工作程度的影响
68
2.2对利用内部审计人员工作的特殊考虑
69
2.2.1评价内部审计人员的专业胜?#25991;?#21147;
69
2.2.2评价内部审计人员?#30446;?#35266;性
70
2.3利用内部审计人员的工作成果
71
2.4确定利用他人工作的范围
74
2.5测?#26434;?#20182;人执行的部分工作
74
三、工作底稿记录
75
第十二章
评价企业层面控制测试
75
一、间接的企业层面控制
75
二、应对舞弊导致的重大错报风险包括董事会、管理层凌驾于控制之上的风险的控制
76
三、控制环境
77
四、充当业务层面控制的直接企业层面控制
77
五、工作底稿记录
77
第十三章
了解重大业务流程和重大列报流程
78
一、考虑企业层面控制对重大业务流程和重大列报流程的影响
78
二、识别重大业务流程和重大列报流程的关键流程
78
2.1信息来源
80
2.2询问
80
2.3观察和检查
80
2.4对服务机?#27807;目?#34385;
81
三、在重大业务流程和重大列报流程中识别可能出错项
81
3.1如何识别可能出错项
82
3.2将可能出错项联?#26723;?#30456;关认定
83
3.3特别风险和可能出错项
83
3.4
IT方面?#30446;?#33021;出错项
83
四、识别与审计相关的控制活动
84
4.1相关的控制的种类
84
4.2如何开始识别相关控制
84
4.3对识别?#26723;?#29305;别风险的控制的特殊考虑
84
五、对了解不同性质的重大业务流程的具体考虑
85
5.1重大业务流程的种类
85
5.2相关控制活动
86
5.2.1管理层对专?#19994;?#21033;用
87
5.2.2假设
87
5.2.3改变会计估计的方法
87
5.2.4估计的不确定性
88
六、对了解重大列报流程的特殊考虑
88
6.1重大会计账户的列报
88
6.2财务报表决算过程的列报
88
第十四章
执行穿行测试
89
一、执行穿行测试
89
1.1穿行测试的程序
90
1.2与穿行测试过程中进行的询问相关?#30446;?#34385;
90
1.3对穿行测试的结果得出结论
91
1.4对控制?#34892;?#24615;的初步评价
91
二、穿行测试的特殊考虑
92
2.1会计估计的流程
92
2.2关于?#26723;?#37325;大错报风险的控制的穿行测试?#30446;?#34385;
92
2.3在执行穿行测试时利用他人工作
93
2.4针对自动化程序里的数据和交易信息
93
第十五章
选择、测试内部控制
93
一、选择拟测试的控制的基本要求
94
二、选择拟测试的控制?#30446;?#34385;因素
94
2.1选择?#23454;?#30340;控制测试
94
2.1.1控制的目标和分类
95
2.1.1.1预防性控制和检查性控制
95
2.1.1.2手工控制和自动执行的控制
95
2.2确认已选测试的控制与审计相关
97
2.3评估已选测试的控制是否充?#32622;?#24863;
97
三、与控制相关的风险
99
四、控制测试的程序的性质
100
4.1询问
100
4.2观察
100
4.3检查
100
4.4重新执行
101
五、控制测试的时间安排
102
5.1期中测试的两种方法
102
5.2是否测?#21592;?#21462;代的控制
103
5.3期中测试和前推程序
103
5.4针对信息?#38469;?#19968;般控制ITGCs和应用控制的前推程序
104
5.5集团内部控制审计中实施前推程序?#30446;?#34385;
104
六、控制测试的范围
105
6.1影响测试范围的因素
105
6.2抽样方法的一般考虑
105
6.3样本参考量
106
6.3.1测试人工控制的最小样本规模
106
6.3.2测?#26434;?#29992;控制的最小样本规模
107
6.4追加控制测试
107
七、执行内部控制测试
108
7.1执行控制测试的一般考虑
108
7.2审计证据质量的额外考虑
108
八、评价控制偏差
108
8.1确认控制偏差
108
8.2确定控制偏差的属性
109
8.3确定审计应对措施
110
九、工作底稿记录
110
第十六章
了解和评价财务报告流程FSCP
111
一、了解和评价财务报告流程过程
111
1.1财务报告流程了解程度
111
1.2对财务报告流程进行了解的起点
112
1.3了解和评价财务报告流程的程序
113
1.3.1了解财务报告流程的子过程
113

1.3.1.1编制?#36816;?#24179;衡表并进行任何必要的合并
113

1.3.1.2生成、授权和记录记账分录
113

1.3.1.3编制财务报表及相关列报
113
1.4识别可能出错项
114
1.5识别和了解财务报告流程中的控制活动
114
1.6初步评价控制的?#34892;?#24615;
115
第十七章
了解、穿行测?#28020;?#27979;试和评估IT一般控制
115
一、信息系统审计范围界定
116
二、信息系统环境中的控制测试
116
2.1信息系统审计策略的确定
116
2.2信息系统一般控制测试
117
2.3系统应用控制测试
119
三、控制测试底稿
120
附件一
信息系统环境复杂度判断指引
120
附件二
信息系统环境控制测试底稿
122
第十八章
评价内部控制缺陷
123
一、控制缺陷的分类
123
二、内部控制缺陷评价时的一般考虑
124
2.1衡量缺陷严重性的标准
124
2.2充分考虑缺陷组合
124
2.3补偿性控制
124
2.4考虑企业内部控制自?#31227;?#20215;的结果
124
三、财务报告内部控制缺陷评价标准
124
3.1定量标准
125
3.2定?#21592;?#20934;
125
四、非财务报告内部控制缺陷评价标准
126
五、内部控制缺陷评价程序
127
六、内部控制缺陷评价的特殊考虑
130
6.1对信息系统一般控制?#30446;?#34385;
130
6.2对企业层面控制缺陷评价?#30446;?#34385;
131
6.3与其他缺陷一同进行评价
131
6.4内部控制缺陷评价的其他关注领域
132
七、内部控制缺陷整改
132
八、工作底稿记录
132
第十九章
完成审计工作
133
一、项目组内部讨论
133
二、取得管理层的书面声明
134
三、与企业沟通控制缺陷
135
四、形成审计意见
136
第二十章
出具审计报告
137
一、出具标准内部控制审计报告
137
二、出具非标准内部控制审计报告
138
2.1带强调事项段的无保留意见内部控制审计报告
138
2.2否定意见内部控制审计报告
139
2.3无法表示意见内部控制审计报告
139
三、非财务报告内部控制存在重大限制
140
四、对期后事项?#30446;?#34385;
140
五、内部控制审计报告与财务报表审计报告的衔接
141第一章
获取审计业务约定书
在内部控制审计业务开?#35760;娃?#25105;们应先确定我们已遵循了风险管理委员会拟订的ゞ业务承接制度--客户关系和具体业务的接受与保持操作规程?#32602;?#35780;估客户承接/保持程序的结论以确定其对我们审计风险评估及审计策略的影响确定客户承接/保持决定是?#23454;?#30340;。在执行相关程序以评价职业道德包括独立性要求的合规?#32422;?#25105;们已遵守事务所独立性政策后我们应?#26412;?#20869;部控制审计业务约定条款与客户达成一致意见并单独签订内部控制审计业务约定书。
一、
获取审计业务约定书
根据ゞ中国注册会计师执业准则〃第九条注册会计师应?#26412;?#23457;计业务约定条款与管理层或治理层如使用达成一致意见第十条注册会计师应当将达成一致意见的审计业务约定条款记录于审计业务约定书或其他?#23454;问?#30340;书面协议?#23567;?br>在审计工作开?#35760;娃?#25105;们应当获取根据我所内部控制审计业务约定书模板的要求编制的业务约定书并在适用时加入对特定项目的特殊要求。
业务约定书确定了我们与公司的业务条款是记录项目范围和条款的重要书面文件。业务约定书描述了我们在项目执行过程中的责任?#32422;?#23458;户管理层对内部控制的责任及其为我们的审计工作提供信息及人员协助的责任。
通常情况下项目小组应在获取业务约定书之后才开始工作。只?#24615;?#24456;特殊的情况下项目小组才需要在获取业务约定书以前开始展开工作例如参加盘点。
二、内部控制审计业务约定书的内容
内部控制审计业务约定书应当单独出具。业务约定书的具体内容可能因被审计单位的不同而存在差异但应当包括?#38109;?#20027;要方面
l
内部控制审计的目标
l
企业对内部控制的责任
l
企业建立内部控制所依据的内部控制框架
l
内部控制审计范围包括指明注册会计师在执行内部控制审计业务时遵守的ゞ企业内部控制审计指引〃和ゞ中国注册会计师执业准则〃的相关要求
l
内部控制的固有局限?#32422;?#23457;计的固有限制
l
管理层为我们提供必要的工作条件和协助
l
我们不受限制地接触任何与审计有关的记录、文件和所需要的其他信息
l
企业对其作出的与审计有关的声明予以书面确认
l
我们对执业过程中获知的信息保密
l
审计收费包括收费的计算基础和收费安排
l
违约责任
l
解决争议的方法
l
签约双方法定代表人或其授权代表的签?#25351;?#31456;?#32422;?#31614;约双方加盖的公章。
如果情况需要内部控制审计业务约定书还可以包括其他条款例如
l
在?#25215;?#26041;面对利用其他注册会计师和专家工作的安排
l
计划和执行内部控制审计工作的安排包括项目组的构成
l
对审计涉及的其他人员包括被审计单位的内部审计人员、其他人员?#32422;?#22312;管理层或治理层指导下的第三方工作的安排
l
我们与被审计单位之间需要达成进一步协议的事项
l
向其他机构或人员提供审计工作底稿的义务。
我所ゞ内部控制审计工作底稿〃模板提供了内部控制审计业务约定书的参考格式。注册会计师可根据业务的具体情况作出必要修改。
三、
连续审计
对于连续审计我们应当根据具体情况评估是否需要对审计业务约定条款作出修改。?#38109;?#22240;素可能导致我们修改审计业务约定条款或提醒被审计单位注意现有的约定条款
l
有迹象表明被审计单位误解审计目标和范围
l
需要修改约定条款或增加特别条款
l
法律法规的规定发生变化。
四、
审计业务约定条款的变更

被审计单位可能由于?#38109;?#20107;项要求我们变更审计业务约定条款
l
环境变化对审计服务的需求产生影响
l
对原来要求的审计业务的性质存在误解
l
无论是管理层施加的还是其他情况引起的。
当被审计单位要求变更审计业务约定条款?#20445;?#25105;们应当考虑要求变更的理由是否合理特别是审计范围存在限制的影响。
由于环境变化导致对审计服务的需求产生影响或对原来要求的审计业务性质存在误解可以认为是被审计单位要求变更审计业务约定条款的合理理由。
相反如果有迹象表明变更审计业务约定条款的要求与错误的、不完整的或不能令人满意的信息有关该变更不能认为是合理的。
五、
业务约定书的文档记录
为了满足检查的需要我们应将业务约定书的一份副本存于工作底稿中或者在工作底稿中记录该副本的存放位置。

第二章
建立审计项目组
在进行初步业务活动?#20445;?#39033;目合伙人需要统筹考虑审计工作挑选相关领域的人员组建项目小组同时组织对项目组成员进行培训以合理安排内部控制审计工作。
一、
项目小组成员的要求
我们期望审计项目小组具有
l
通过培训或者参与项目而获取的性质和复杂程度类似的审计知识和项目经验

l
了解企业内部控制相关规范和指引要求
l
了解ゞ企业内部控制审计指引〃、ゞ企业内部控制审计指引实施意见〃和ゞ中国注册会计师执业准则〃的相关要求

l
拥有?#23454;?#30340;专业知识包括与项目相关的IT知识

l
拥有与客户所处行业相关的知识

l
具有职业判断能力l
了解事务所的质量控制政策与程序。

二、
组建项目小组?#30446;?#34385;
组建一个项目小组?#20445;?#25105;们需要考虑以下因素
l
及?#27604;?#23450;人员需求

l
准备项目时间预算以确定所需资源的要求并安排工作进度

l
使项目小组具有合适的?#35760;?#32463;验、能力

l
项目大小及复杂度

l
所需专业能力

l
工作时间

l
项目小组成员的连续性和定期?#21482;撮?br>
l
项目上的培训机会

l
可能出现的独立性问题和利益冲突
l
考虑项目小组成员是否具有与项目复杂度及其他要求相匹配的工作和培训经验

l
确定项目小组所需要的管理、监控、?#32422;?#25351;导
l
确定负有这些责任的项目小组成员。我们需要对开展审计工作?#34892;?#35201;、但当前项目小组成员不具备的额外所需技能做出评估并针对此情况制定计划获取相关资源。例如当项目小组成员不具备与客户公司IT环境相关的知识技能?#20445;?#25105;们需要获得IT专业人员的协助以测试与IT系统相关的内部控制。
我们要确定审计现场是否需要使用公?#20928;?#35745;与审计专业以外的人员是否需要从公司外部引入专家。关于利用专?#19994;?#24037;作的更多要求与指引请参见^第四章
利用专?#19994;?#24037;作 ̄。
三、
管理、指导、并监督项目小组
项目小组组建完成后我们应当制定计划分配工作确定对项目组成员的指导和监督?#32422;?#23545;其工作的复核。

在项目初期阶段项目小组负责人应当与项目小组成员讨论确定工作分配这样可以让项目小组成员了解其在项目中的职责、预期工作成果和了解其他项目小组成员的职责。同?#20445;?#25105;们要讨论并确定项目小组的目的和目标、责任和交付的成果。
在项目进行的过程中项目合伙人和项目中负责监督的人应?#20445;?br>l
监控项目的进展

l
复核审计工作底稿l
评估项目小组成员是否具有执行所分配的工作的技能和能力
有充分的时间执行所分配的工作

l
解决重大的财务及审计问题。
负有指导审计工作的项目小组成员具?#34892;?#35201;了解其监督工作质?#32771;?#36827;度的责任包括
l
对于所分配的工作的成员给予充分的指导

l
定期复核工作底稿

l
?#21592;?#39044;算控制?#23548;?#33457;费的时间

l
复核已完成的工作底稿和即将出具的审计报告。
四、
项目小组成员的角色及责任
项目小组各成员的责任如下
经理级别以下的有经验的审计员和初级审计员
l
直接参与审计工作编制相关工作底稿。
除项目合伙人以外的项目小组负责人例如经理、高级经理
l
如有必要直接参与审计流程的设计与执行例如亲?#21592;?#21046;高风险领域的工作底稿。
l
对审计员及高级审计员编制的工作底稿进行详细复核复核审计报告确保我们出具的审计报告是?#23454;?#30340;
l
与公司治理层及管理层进行沟通
l
与项目小组其他成员沟通?#26723;?#20851;注的事项。项目合伙人
l
在项目特定阶段进行复核确保重大发现及问题在我们的审计报告出具前及时解决

l
如有必要直接参与审计流程的设计与执行?#21592;?#20102;解高风险领域及其他审计小节中记录的事项
l
项目合伙人有责任对我们的职业判断、项目中识别的复杂事项、重大风险、及其他项目合伙人认为重要的事项进行复核
l
对高风险领域进行第二层次复核?#21592;?#30830;信详细复核是充分的对重大账户、重大列报和相关认定的审计流程是充分的

l
与项目小组其他成员沟通?#26723;?#20851;注的事项

l
复核我们的审计报告确保我们出具的审计报告是?#23454;?#30340;

l
复核我们与公司治理层及管理层的沟通包括重大缺陷的沟通。第三章
了解被审计单位及其环境
在了解客户业务?#20445;?#25105;们应了解企业及其经营环境。了解程度依赖于我们的职业判断。我们应考虑对于企业及其经营环境我们是否获取了足够的了解以支持我们所评估的财务报表及认定层面的重大错报风险包括舞弊及错误并为我们设计、执行审计程序应对重大错报风险提供基础。
一、了解被审计单位及其环境的必要性
了解被审计单位及其环境是财务报表审计及内部控制审计的必要程序特别是为我们在?#38109;?#20851;键环节做出职业判断提供重要基础
l
确定重要性水平并随着审计工作的进程评估对重要性水平的判断是否仍然?#23454;保?br>l
确定重大账户、重大列报及相关认定
l
考虑会计政策的选择和运用是否恰?#20445;约?#36130;务报表的列报包括披露是否?#23454;保?br>l
识别需要特别考虑的领域包括关联方交易、管理层运用持续经营假设的合理性或交易是否具有合理的商业目的等
l
确定在实施?#27835;?#31243;序时所使用的预期值
l
设计和实施进一步审计程序以将审计风?#25112;抵量?#25509;受的低水平
l
评价所获取审计证据的充分性和?#23454;浴?br>而按照ゞ企业内部控制审计指引〃第七条要求

在计划审计工作?#20445;?#27880;册会计师应当评价?#38109;?#20107;项对内部控制、财务报表?#32422;?#23457;计工作的影响?#28023;?#19968;与企业相关的风险
二相关法律法规和行业概况
三企业组织结构、经营特点和资本结?#27807;?#30456;关重要事项


企业内部控制最近发生变化的程度


与企业沟通过的内部控制缺陷


重要?#28020;?#39118;险等与确定内部控制重大缺陷相关的因素

七对内部控制?#34892;?#24615;的初步判断

八可获取的、与内部控制?#34892;?#24615;相关的证据的类型和范围。

职业判断贯穿于注册会计师审计的全过程。职业判?#29616;?#26377;建立在?#21592;?#23457;计单位及其环境了解的基础上才是恰当的和符合?#23548;?#30340;。
二、了解被审计单位及其环境的程度
了解被审计单位及其环境是一个连续和动态地收集、更新与?#27835;?#20449;息的过程贯穿于整个审计过程的始终涉及被审计单位外部、内部社会政治、?#38469;?#32463;营的方方面面。我们由于时间、成本的限制应当运用职业判断确定需要了解被审计单位及其环境的程?#21462;?br>评价?#21592;?#23457;计单位及其环境了解的程度是否恰?#20445;?#20851;键是看我们?#21592;?#23457;计单位及其环境的了解是否足以识别和评估财务报表重大错报风险。如果了解被审计单位及其环境获得的信息足以识别和评估财务报表重大错报风险设计和实施进一步审计程序那么了解的程度就是恰当的。?#27604;撮?#25105;们?#21592;?#23457;计单位及其环境了解的程度要低于管理层为经营管理企业而?#21592;?#23457;计单位及其环境需要了解的程?#21462;?br>三、了解被审计单位及其环境的主要内容

ゞ中国注册会计师执业准则〃要求我们必须执行风险识别程序从?#38109;?#26041;面了解被审计单位及其环境?#28023;?行业状况、法律环境与监管环境?#32422;?#20854;他外部因素撮2被审计单位的性质撮3被审计单位对会计政策的选择和运用撮4被审计单位的目标、战略?#32422;?#30456;关经营风险撮5被审计单位财务业绩的衡量和评价。
上述第1项是被审计单位的外部环境第2项至第4项是被审计单位的内部因素第5项则既有外部因素也有内部因素。?#26723;?#27880;意的是被审计单位及其环境的各个方面可能会互相影响。因此我们在?#21592;?#23457;计单位及其环境的各个方面进行了解和评估?#20445;?#24212;当考虑各因素之间的相互关系。
我们进行企业内部控制审计针对上述五个方面进行初步了解在审计实务中需要了解的被审计单位及其环境各个方面的具体内容不同行业、企业可能有较大的差别需要我们根据情况进行判断。
3.1行业状况、法律环境与监管环境?#32422;?#20854;他外部因素  
了解企业所处行业、法律环境、监管环境及其他外部环境因素可以帮助我们识别与企业所面临的机会与压力相关的风险。
3.1.1行业因素
我们应当了解被审计单位的行业状况主要包括
l
所在行业的市场供求与竞争
l
生产经营的季节性和周期性
l
产品生产?#38469;?#30340;变化
l
能源供应与成本
l
行业的关键指标和统计数据。
3.1.2
遵守法律法规的规定
我们应当了解被审计单位所处的法律环境及监管环境主要包括
l
适用的会计准则、会计制度和行业特定惯例
l
对经营活动产生重大影响的法律法规及监管活动
l
对开展业务产生重大影响的政府政策包括货币、财政、税收和贸易等政策
l
与被审计单位所处行业和所从事经营活动相关的环保要求。
我们应了解企业如何遵守这些法律法规向管理层、治理层询问企业是否遵守了这些法律法规检查企业与许可证颁发机构或监管机构的往来函件。
一些企业属于严格监管行业例如银?#23567;?#20445;险企业。一些企业只需遵守通用法律法规例如与职业安全、健康、平等雇佣机会相关的法律法规。企业违反法律法规的行为可能导致罚款、诉讼及其他可能对企业财务报表产生重大影响的结果。了解法律法规体系可以协助我们识别因违反法律法规行为的事项而导致的重大错报风险。
我们应?#26412;?#35782;别出的或怀疑存在的违反法律法规行为的事项及时与企业管理层、治理层沟通。
3.1.3
其他外部因素
我们应当了解影响被审计单位经营的其他外部因素主要包括
l
宏观经济的景气度
l
利率和资金供求状况
l
通货膨胀水平及币值变动
l
国际经济环境和汇率变动。
3.2了解被审计单位的性质
我们应当主要从?#38109;?#26041;面了解被审计单位的性质
一所有权结构了解所有权结构?#32422;?#25152;有者与其他人员或单位之间的关系考虑关联方关系是否已经得到识别?#32422;?#20851;联方交易是否得?#35282;?#24403;核算;
二治理结构考虑治理层是否能够在独立于管理层的情况?#38706;员?#23457;计单位事务包括财务报告做出客观判断
三组织结构考虑复杂组织结构可能导致的重大错报风险包括财务报表合并、商誉摊销和减值、长期股权投资核算?#32422;?#29305;殊目的实体核算?#20219;?#39064;
四经营活动主要包括
l
主营业务的性质
l
与生产产品或提供劳务相关的市场信息
l
业务?#30446;?#23637;情况
l
联盟、合营与外包情况
l
从事电?#30001;?#21153;的情况
l
地区与行业分?#36857;?br>l
生产设施、仓库的地理位置及办公地点
l
关键客户
l
重要供应商
l
劳动用工情况
l
研究与开发活动及其支出
l
关联方交易。
五投资活动主要包括
l
近期拟实施或已实施的并购活动与资产处置情况
l
证券投资、委托贷款的发生与处置
l
资本性投资活动包括固定资产和无形资产投资?#32422;?#36817;期或计划发生的变动
l
不纳入合并范围的投资。
六筹资活动主要包括
l
债务结构和相关条款包括担保情况及表外融资
l
固定资产的租赁
l
关联方融资
l
?#23548;适?#30410;股东
l
衍生金融工具的运用。
3.3被审计单位对会计政策的选择和运用
我们应当了解被审计单位对会计政策的选择和运用是否符合适用的会计准则和相关会计制度是否符合被审计单位的具体情况。我们应评估企业的会计政策是否?#23454;保?#26159;否与财务报告框架及会计法规的要求相一致。在了解被审计单位对会计政策的选择和运用是否?#23454;笔保?#25105;们应当关注?#38109;?#37325;要事项
l
重要项目的会计政策和行业惯例
l
重大和异常交易的会计处理方法
l
在?#38109;?#22495;和缺乏权威?#21592;?#20934;或共识的领域采用重要会计政策产生的影响
l
会计政策的变更
l
被审计单位何时采用?#32422;?#22914;何采用新颁布的会计准则和相关会计制?#21462;?br>如果被审计单位变更了重要的会计政策我们应当考虑变更的原因及其?#23454;?#24615;并考虑是否符合适用的会计准则和相关会计制度的规定。我们应当考虑被审计单位是否按照适用的会计准则和相关会计制度的规定恰当地进行了列报并披露了重要事项。
当我们了解企业对会计政策的选择及应用?#20445;?#25105;们应考虑会计估计的不确定性也就是会计估计的敏?#34892;约?#35745;量准确性的缺乏。我们应根据我们的职业判断确定会计估计是否会因为计量不准?#33539;?#23548;致特别风险。
3.4被审计单位的目标、战略?#32422;?#30456;关经营风险
我们应当了解被审计单位的目标和战略?#32422;?#21487;能导致财务报表重大错报的相关经营风险。经营风险源于?#21592;?#23457;计单位实现目标和战略产生不利影响的重大情况、事项、环境和行动或源于不恰当的目标和战?#28020;?#25105;们应当了解被审计单位是否存在与?#38109;?#26041;面有关的目标和战略并考虑相应的经营风险
l
行业发展及其可能导致的被审计单位不具备足以应对行业变化的人力资源和业务专长等风险
l
开发新产品或提供新服务及其可能导致的被审计单位产品责任增加等风险
l
业务扩张及其可能导致的被审计单位对市场需求的估计不准确等风险
l
新颁布的会计法规及其可能导致的被审计单位执行法规不?#34987;?#19981;完整或会计处理成本增加等风险
l
监管要求及其可能导致的被审计单位法律责任增加等风险
l
本期及未来的融资条件及其可能导致的被审计单位由于无法满足融资条件而失去融资机会等风险
l
信息?#38469;?#30340;运用及其可能导致的被审计单位信息系统与业务流程难以融?#31995;?#39118;险。
多数经营风险最终都会产生财务后果从而影响财务报表。我们应当根据被审计单位的具体情况考虑经营风险是否可能导致财务报表发生重大错报。管理层通常制定识别和应对经营风险的策略我们应当了解被审计单位的这些风险评估过程。
3.5被审计单位财务业绩的衡量和评价
被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力促使其采取行动改善财务业绩或歪曲财务报表。
我们应当了解被审计单位财务业绩的衡量和评价情况考虑这种压力是否可能导致管理层采取行动以至于增加财务报表发生重大错报的风险包括由舞弊引起的错报。
在了解被审计单位财务业绩衡量和评价情况?#20445;?#25105;们应当关注?#38109;行?#24687;
l
关键业绩指标
l
业绩趋势
l
预测、预算和差异?#27835;z?br>l
管理层和员工业绩考核与激励?#21592;?#37228;政策
l
分部信息与不同层次部门的业绩报告
l
与竞争对手的业绩比较
l
外部机?#22266;?#20986;的报告。
我们应当关注被审计单位内部财务业绩衡量所显示的未预期到的结果或趋势、管理层的调查结果和纠正措施?#32422;?#30456;关信息是否显示财务报表可能存在重大错报。如果拟利用被审计单位内部信息系?#25104;?#25104;的财务业绩衡量指标我们应当考虑相关信息是否可靠?#32422;?#21033;用这些信息是否足以实现审计目标。
四、了解IT在企业中的角色
在了解企业及其环境?#20445;?#25105;们应了解IT在企业中的角色。我们对IT在企业中的角色的了解可以协助我们了解IT的复杂程度识别风险因素并确定IT对我们的审计工作的影响。
4.1
了解IT复杂程度
了解IT复杂程度是一个定性而非定量的过程。通过了解IT的复杂程度我们可以确定其对我们审计工作的影响例如获取审计证据?#32422;?#26159;否需要邀请IT专家参加我们的审计项目小组。更多指引请参见^第四章
利用专?#19994;?#24037;作 ̄、
^第十七章
了解、穿行测?#28020;?#27979;试和评估IT一般控制 ̄。
例如当我们了解IT的复杂程度?#20445;?#25105;们应考虑
l
企业及其环境的性质例如上市企业或受监管行业企业通常具有较复杂的IT结构

l
企业是否依赖IT支持重大交易流程从发生到报告的流程或者重大披露流程l
企业每年在IT方面的花费占收入及其他指标的百分比

l
关键财务系统的用户数量

l
支持IT环境的员工数?#32771;?#19987;业技能

l
企业是否使用一个或多个系统

l
企业财务系统之间或与外部系统之间是否存在重要的接口

l
IT环境的架构集中式的或是非集中式的

l
IT环境中服务器的数量

l
会计处理软件的性质包括版本例如采购的软件和不能修改的软件

l
企业自行修改程序的程度

l
企业IT环境、财务系统环境、IT结构在报告期间的变化程度

l
外包服务的使用包括服务的性质例如是针对IT基础环境或是应用系统

l
过去的项目经验。

4.2
了解IT对我们审计工作的影响
当我们了解了企业IT的复杂程度后我们应根据企业对IT的依赖程度确定IT对我们重大错报风险及审计策略的影响
。IT环境可能影响我们了解重大交易流程及相关IT系统、可能出错项和控制的程序?#32422;?#25511;制测试的设计与执?#23567;?#36890;过了解IT的作用、复杂程度?#32422;?#23545;我们审计的影响我们可以确定是否需要邀请IT专家加入审计项目小组。更多指引请参见^第四章
利用专?#19994;?#24037;作 ̄。
五、
如何了解企业及其环境
当我们了解企业及其环境?#20445;?#25105;们应执行下述风险评估程序

l
检阅相关信息

l
询问企业管理层及其他人员

l
观察及检查l
记录信息来源。
我们执行这些程序以获取对企业及其环境的了解?#21592;?#35782;别风险因素。我们了解企业的程序的性质、时间及范围取决于项目本身例如企业的规模、复杂程度和我们过去的项目经验。对于规模较大、复杂程度较高的企业我们应在制定审计策略前充分的了解企业及其环境。
5.1
检阅相关信息
我们通过检阅相关信息获取对企业及其环境的了解。
检阅相关信息可以协助我们了解企业及其环境并识别风险因素。
我们可?#32422;?#38405;如下信息
l
我们在执行客户承接/续约程序中获取的关于新客户的信息

l
企业关于特定行业的知识

l
外部信息例如行业报刊

l
企业编制的信息包括预算、预测、差异?#27835;?#32452;织结构图、企业主页及其他市场信息

l
股东大会会议记录包括治理层会议、治理层?#24459;?#30340;重要委员会会议、管理层与股东会议。

5.2
询问企业管理层及其他人员
我们通过询问企业管理层及其他对财务报表负责的人员获取信息。
询问企业管理层及其他对财务报表负责的人员可以帮助我们通过?#27835;?#20225;业的财务信息了解企业的经营活动。我们?#37096;?#20197;询问企业其他级别的员工以获取更多不同方面的、与我们所识别的风险因素相关的信息。
我们可以询问如下信息
l
询?#25163;?#29702;层可以协助我们了解企业的经营情况

l
询问内审人员可以协助我们获取企业及其环境的变化的信息

l
询问参与复杂或非正常业务的发生、记录、处理、报告流程的人员可以协助我们评估会计政策的选取及应用是否?#23454;保?br>
l
询问企业法律顾问可以协助我们了解企业的法律、合规?#28020;?#33310;弊、保证金、售后义务、合同条款等事项

l
询问市场营销人员可以协助我们了解企业市场营销策?#28020;?#38144;售趋势及合同条款规定的变化

5.3
观察及检查
我们应执行观察和检查程序以支持我们通过检阅、询问获得的对企业及其环境的了解。

我们可以参观企业的经营场所和工厂观察企业的经营活动、
检查企业文件例如经营计划和策?#28020;?#25991;档记录、内部控制手册或检查管理层编制的报告例如管理层季度报告、中期财务报告和治理层编制的报告例如董事会会议记录。
5.4
信息来源
管理层了解企业及其环境。因此企业管理层是我们获取相关信息或确定信息来源的渠道。
在收集与企业及其环境相关的信息?#20445;?#25105;们应将信息来源例如我们与之沟通的人员姓名、我们检查的文件名称进行文档记录。例如
l
在审计计划阶段我们应更新对企业及其环境的了解
l
询问企业管理层及其他相关人员我们应将询问结果进行工作底稿记录包括询问对象的姓名
l
检查企业的文档例如组织结构图和相关利益者的会议记录。我们应将与审计工作相关的信息?#32422;?#20449;息来源进行文档记录。

六、
确定重大错报风险
在了解企业及其环境?#20445;?#25105;们应识别风险因素包括经营风险并确定这些风险因素是否可能引起重大错报风险。

通过执行上述程序我们识别了风险因素包括经营风险。然而不是所有识别出的风险都会影响财务报表。对于我们的审计工作而言我们只关注可能引起财务报表重大错报风险的风险因素。
在我们识别风险因素的时候我们应考虑是否存在可以?#26723;?#37325;大错报风险的因素。例如在?#34900;?#23450;的、销售流程没有重大变化的环境中的企业重大错报风?#25112;?#23567;。相反的处于变化较快的环境或发展较快的市场中的企业重大错报风?#25112;?#22823;。

七、工作底稿记录
我们应运用我们的职业判断确定在了解企业及其环境时应记录的事项。我们的工作记录反映了我们了解到的信息?#32422;?#35782;别的风险。我们应当将所有了解到的信息、信息来源、识别的重大错报风险记录于审计底稿?#23567;?br>第四章
利用专?#19994;?#24037;作
在了解企业及其环境?#20445;?#25105;们应当重新评估项目小组是否具有?#23454;?#30340;经验、技能和专业胜?#25991;?#21147;确定是否需要邀请其他专家。
专家指在除会计或审计之外的某一领域中具有专长的个人或组织并?#31227;?#24037;作被注册会计师利用以协助注册会计师获取充分、?#23454;?#30340;审计证据。
事务所的专家指在审计项目小组中专于某一特定领域的专家。事务所内部专家是指在除会计、审计之外的某一特定领域中具有专门技能、知识和经验的本所内部的专家。事务所外部专家是来?#21592;?#20107;务所以外的在除会计、审计之外的某一特定领域中具有专门技能、知识和经验的专家不作为审计项目小组的成员。
管理层专家在会计或审计以外的某一领域具有专长的个人或组织并?#31227;?#24037;作被管理层利用用以协助管理层编制财务报表。
管理层专家可能是由管理层?#30422;?#26469;完成特定的工作的第三方如管理层外部专家或者更多情况下该专家为实体的员工。
当我们需要这些专家参与我们的工作?#21592;?#33719;取充?#36136;实?#30340;审计证据?#20445;?#25105;们应考虑是否应利用专?#19994;?#24037;作。
一、
确定是否利用专?#19994;?#24037;作
根据我们对企业及其环境的了解我们应确定项目小组中是否需加入IT专家、税务专?#19968;?#30456;关行业专家。
我们通过执行以下步骤实现上述目标
l
确定是否需要邀请IT专家、税务专?#19968;?#30456;关行业专家来协助我们的审计工作l
确定是否利用会计审计领域以外的专?#19994;?#24037;作作为审计证据并考虑
l
是否利用管理层专?#19994;?#24037;作

l
邀请事务所的内部专家

l
邀请事务所的外部专家。
我们可以利用以?#38109;?#22495;专?#19994;?#24037;作
l
对复杂的金融工具、土地和房屋建筑物、厂房和机器设备、珠宝、艺术品、古董、无形资产、企业合并中收购的资产和承担的负债和可能存在减值的资产进行估值

l
了解企业经营的?#38469;?#38382;题

l
对与保险合约或员工福利计划相关的负债进行精算

l
对环境负债和场地清理费用进行估价

l
?#27835;?#22797;杂的或异常的纳税问题

l
解?#22270;际?#35201;求、现况、法规或条款
l
复核其他专?#19994;?#24037;作。

当企业具有以下特征?#20445;?#25105;们应邀请相关专家
l
具有复杂的IT环境例如?#26680;?#28982;项目小组可能拥有IT知识但IT专家可以在企业IT环境较复杂的情况下协助项目小组完成与IT相关的审计工作
l
具有复杂的税务环境例如?#26680;?#28982;项目小组拥有税务知识但在企业税务环境较复杂或涉及的税务计算较复杂的情况下我们?#26434;?#36992;请税务专家协助我们的工作
l
处于特定行业例如在对人寿保险企业的审计中尽管项目小组和项目合伙人?#21592;?#38505;行业有一定的了解但项目小组仍可以邀请精算专家。
当我们在现场使用非会计或审计领域的专?#19994;?#24037;作?#20445;?#25105;们应
l
评价专家是否具有实现我们的目的所必需的胜?#25991;?#21147;、专业素养和客观性

l
如果企业或者管理层雇佣或邀请了专家我们应了解他们的工作

l
如果我们邀请xxx内部专?#19968;xxx外部专家参与项目小组工作我们应就专家工作的范围达成一致意见


l
不管专家类型如何我们应评价专?#19994;?#24037;作以确定专?#19994;?#24037;作是否足以实现我们的目的

当我们邀请IT专家、税务专?#19968;?#30456;关行业专家?#20445;?#19987;?#19994;?#24037;作应受到监督、指导、复核专家应直接参与审计程序的执?#23567;?br>1.1
确定IT专?#19994;?#20171;入程度
通过了解企业使用IT的程度及IT环境的复杂程度我们应考虑是否需要邀请IT专家。要确定是否需要邀请IT专家我们应了解
l
IT环境的复杂程?#21462;?#22914;果IT环境较复杂IT专家可以了解IT环境并协助我们确定与IT有关的重大错报风险

l
IT如何影响我们的审计策略

l
项目小组成员的IT知识。

IT风险的程度和性质取决于企业使用IT的性质和复杂程?#21462;?#20225;业经营环境和IT环境越复杂我们越需要利用我们对IT的了解以识别重大错报风险、设计控制测试程序。
1.2
确定税务专?#19994;?#20171;入程度
根据我们对影响企业的所得税和其他税种性质的了解在必要?#20445;?#25105;们邀请具有专业税收知识的专家加入项目小组。
我们应考虑以下事项确定是否需要邀请税务专家
l
会计和税务事项的复杂程度

l
企业的复杂程度

l
项目小组成员的专业胜?#25991;?#21147;和必要素质。
1.3
确定相关行业专?#19994;?#20171;入程度
根据我们对企业所处行业的了解程度我们应判断是否需要邀请xxx特殊行业专家。

我们期望项目小组对企业所处行业具有充分的了解?#21592;?#35780;估所获得的审计证据是否充分、?#23454;?#30340;支持我们的审计意见。然而在一些情况下项目小组需要更?#30001;?#20837;、专业的知识这时可以邀请一个或多个具有专业行业知识的专家参加项目小组协助项目小组执行审计程序并得出结论。当判断是否需要邀请特殊行业专家?#20445;?#25105;们应考虑如下事项
l
行业是否具有特殊经营手法

l
企业财务报表是否包含行业特殊的重大账户或会计政策

l
资产或负债的计价是否依赖行业特殊的方法论、模型或假设。
二、
利用管理层专?#19994;?#24037;作
如果我们确定利用管理层专?#19994;?#24037;作作为审计证据那么我们应

l
评价专?#19994;?#32988;?#25991;?#21147;、专业素养和客观性

l
了解管理层专?#19994;?#24037;作

l
评价管理层专?#19994;?#24037;作是否足以实现审计目的。2.1
评价管理层专?#19994;?#32988;?#25991;?#21147;、专业素养和客观性
当我们利用管理层专?#19994;?#24037;作?#20445;?#25105;们应评价专?#19994;?#32988;?#25991;?#21147;、专业素养和客观?#28020;?br>专业素养是指专?#19994;?#19987;业技能的性质和水平。胜?#25991;?#21147;是指专家将其专业素养应用于具体项目环境的能力。客观性是受到偏见、利益冲突及其他因素影响而对专?#19994;?#32844;业判断可能产生的影响。
当我们评价管理层专?#19994;目?#35266;性?#20445;?#25105;们应讨论管理层与专?#19994;?#20851;系?#21592;?#20102;解对专家独立性的威胁?#32422;?#21487;以?#26723;?#35813;威胁的、适用的保障措施。保障措施可能由外部机构建立例如专?#19994;?#32844;业规范?#37096;?#33021;由专?#19994;?#24037;作环境建立例如企业的控制环境和质量控制政策和流程
如果我们对管理层专?#19994;?#32988;?#25991;?#21147;、专业素养和客观?#28304;?#22312;疑虑应与管理层讨论并评估专?#19994;?#24037;作是否可以获取充?#36136;实?#30340;审计证据。

了解管理层专?#19994;?#32988;?#25991;?#21147;和专业素养我们应考虑
l
专家以前工作的个人经验
。如果管理层外部专家是一个组织?#20445;?#25105;们既应考虑委派参与项目的个人的特质也应考虑组织的管理属性包括该组织对于专家工作的质量控制程序
l
专?#19994;?#32844;业资格包括职业团体或者行业协会的会员资格、执业执照或其他?#38382;?#30340;外部资格认可

l
专家发表的论文或书籍

l
与专家讨论。我们与专家没有直接关系我们应要求管理层安排专家与我们进行沟通
l
与熟悉专家工作的其他人员讨论。

如果专家是企业的员工那么其独立性受到威胁的风?#31449;?#20250;加大。我们应考虑专?#19994;?#32467;论由谁来复核和质疑专?#20197;?#20225;业中的报告体系是否合适。我们应考虑专?#19994;?#24037;作是否存在控制包括
l
专家是否得?#35282;?#24403;的管理和指导

l
专家是否存在不相容的职责而导致职责划分不?#20445;?#20363;如专家负责编制财务报表同时负责准备关键资产估值但没有充分的指导和复核

l
专家是否可以客观的工作未面临达到特定结论的不当压力

随着审计工作的进展如果我们发现了显示可能存在问题的证据我们应重新评估我们对管理层专?#19994;?#32988;?#25991;?#21147;、专业素养和客观性的初步评价。
2.2
了解管理层专?#19994;?#24037;作
当我们利用管理层专?#19994;?#24037;作?#20445;?#25105;们应了解专家工作的性质。我们应考虑
l
工作的性质、范围、目标。如果专家是由企业?#30422;?#30340;则对专家工作的范围可能不会进行书面文档记录询?#39318;?#23478;和企业管理层可能是了解专家工作范围的最?#23454;?#30340;方法

l
管理层对专家工作实施控制的程度或影响的范围

l
专家是否受到?#38469;约?#33021;标准及其他职业或行业要求的限制

l
企业内部就专?#19994;?#24037;作例如质疑/复核专家工作的程序由治理层或者具有专业技能的内部审计员复核或专?#31227;?#20272;过程中所使用的数据实施控制

l
根据企业?#30422;?#30340;专?#19994;?#24037;作性质我们可能需要邀请会计师事务所的专家来评估其工作。
如果是管理层聘用的专家我们应阅读企业与管理层聘用的专家签订的业务约定书?#21592;?#20102;解项目的范围并评估我们利用专?#19994;?#24037;作是否?#23454;院?br>当我们计划利用管理层聘用的专?#19994;?#24037;作?#20445;?#25105;们应与管理层确定专家已同意我们利用他的工作他了解我们将在内部控制审计中利用其发现。
2.3
评价管理层专?#19994;?#24037;作是否足以实现审计目的
当我们利用管理层专?#19994;?#24037;作?#20445;?#24212;评估管理层专?#19994;?#24037;作作为相关认定的审计证据是否?#23454;院?br>由于管理层专家对于企业而言不是独立的因此我们应当利用我们高度的职业怀?#21830;?#24230;评估专家工作
特别注意高度依?#24213;?#23478;判断的工作并考虑潜在的偏见。

当我们评估专家工作作为相关认定的审计证据是否?#23454;笔保?#24212;考虑如下事项
l
专?#19994;?#21457;现或结论的相关性和合理性与我们的审计证据是否一致

l
专家提交其工作结果或结论的方式是否符合专家所在的职业或行业标准
l
专?#19994;?#24037;作结果或结论是否得?#35282;?#26970;的表述
l
专?#19994;?#24037;作结果或结论是否基于?#23454;?#30340;期间并考虑期后事项如相关
l
专?#19994;?#24037;作结果或结论在使用方面是否有任何保留、限制或约束如有是否对我们的工作产生影响
l
专?#19994;?#24037;作结果或结论是否?#23454;?#32771;虑了专家遇到的错误或偏差情况。
如果专?#19994;?#24037;作包括利用重大假设和方法则应考虑这些假设和方法的相关性和合理性
如果专?#19994;?#24037;作包括使用源数据则应考虑这些源数据的完整性和准确?#28020;?br>
评估专家工作的充分性的特别步骤可能包括
l
询?#39318;?#23478;

l
观察专?#19994;?#24037;作

l
确定与第三方相关的事项

l
测试源数据

l
复核专?#19994;?#32467;论和发现

l
与管理层讨论专?#19994;?#21457;现和结论

l
利用第二个专家。在很特殊的情况下我们可能邀请第二个专家例如当我们评估了管理层专?#19994;?#24037;作并且注意到管理层的发现与我们获取的其他审计证据存在冲突或者我们不同意专?#19994;?#21457;现

l
复核专?#19994;?#24037;作底稿。管理层的专家不是项目小组的成员因此只?#24615;?#25105;们对专?#19994;?#24037;作存在疑虑且没有其他方法解决的情况下我们才需要复核他们的详细工作底稿。

项目负责人对评估和确定专家工作是否充?#36136;?#29616;了审计目标负有责任。如果我们利用了会计师事务所的专家协助我们评估管理层专?#19994;?#24037;作我们可以询问其对于管理层专家工作是否充?#36136;?#29616;了审计目标的意见。然而关于管理层专家工作是否充分的最?#25112;?#35770;是我们的责任。
在审计过程中发生的重大变化可能对我们利用管理层专家工作是否?#23454;?#20135;生影响。
如果我们满意专?#19994;?#24037;作并认为专家工作的结果在特定环境下是合理的且能够实现审计目标那么我们的结论是专?#19994;?#24037;作是充分恰当的。
如果我们的结论认为专?#19994;?#24037;作对于实现我们的目的不充分则我们应
l
与管理层和专家讨论相关事项

l
与专家就进一步执行的程序的性质和范围达成一致意见

l
执行与环境相适应的额外审计程序。我们执行的额外审计程序的性质是由所利用的专?#19994;?#31867;型和我们所关注事项的性质决定的。

无论是企业外部的还是内部的法律顾问在?#25215;?#24773;况?#38706;?#34987;认为是管理层专家。我们利用职业判断确定是否将管理层的法律顾问作为管理层专家此时应考虑
l
所考虑事项的复杂程度事项的性质是复杂的且要求应用法律专家较高程度的判断

l
我们追求的审计目标。如果我们利用法律顾问的工作协助我们确定重大未决诉讼的性质、估计潜在的诉讼或确定可能的结果?#20445;?#25105;们很可能将法律顾问作为管理层的专家。如果作为函证程序我们向法律顾问发出律师询证函那么法律顾问不被视为管理层专家。

三、
利用事务所的内部专?#19994;?#24037;作
如果我们决定利用事务所的内部专家以?#24405;?#31216;^内部专家?#20445;?#30340;工作我们应充分了解内部专?#19994;?#19987;业领域?#21592;?#25105;们
l
确定内部专家工作的性质、范围和客观性

l
评估内部专家工作的目标是否充分。
内部专家对其所使用的假设条件、方法和发?#25351;?#36131;。然而尽管我们不能用我们的判断代替内部专?#19994;?#24037;作但我们应确定内部专家是否就其工作取得了?#23454;?#30340;审计证据。
我们应评估内部专?#19994;?#32988;?#25991;?#21147;、专业素养和客观?#28020;?br>当我们评估内部专?#19994;?#32988;?#25991;?#21147;、专业素养和客观性?#20445;?#21487;以依赖事务所的内部政策和流程。内部专家应遵守事务所内部的招聘和培训计划、相关道德要求包括独立性要求和监控流程例如质量复核程序。
我们应就内部专?#19994;?#24037;作达成一致意见包括
l
内部专家工作的性质、范围和客观性

l
我们的角色及责任包括由谁负责执行源数据详细测试

l
与我们沟通的方式、时间和范围包括内部专家以何?#20013;问?#25552;供发现和结论。

我们根据事务所的要求来指示、审查、监督内部专?#19994;?#24037;作。对一个内部专?#19994;?#30417;督程度取决于工作的复杂性和从事专业工作的资格。在许多情况下对一个内部专家直接监督可通过一个更资深的xxx内部的专家进行更详细审查来进?#23567;?br>在决定内部专?#19994;?#24037;作的程序的性质、时间、和范围?#20445;?#25105;们评估:
l
专?#19994;?#24037;作涉及问题的性质和复杂性

l
专?#19994;?#24037;作涉及的重大错报的风险l
该专?#20197;?#23457;计工作方面的重要意义

l
我们对专家以前工作的知识和经验。
我们将执行不同的或更广泛的程序当:
l
内部专?#19994;?#24037;作未经审核
l
我们以前没有使用过内部专?#19994;?#24037;作也没有对专?#19994;?#32988;?#25991;?#21147;专业素养和客观性的了解。

如果我们决定对内部专?#19994;?#24037;作执行不同或者更加广泛的程序我们的额外程序包括一个或一个组合:
l
源数据的?#38468;?#27979;试

l
其他查询以获取专?#19994;?#20551;设和方法更详细的了解
l
确证专?#19994;?#24037;作例如通过审查权威发布的数据观测专家执行程序重新执行计算或与第三方确认信息

l
与其他专家讨论的相关知识例如专?#19994;?#21457;现或结论与其他审计证据不一致

l
与管理层讨论专?#19994;?#25253;告

l
检查专?#19994;?#24213;稿。事务所的内部专家准备的文件形成了底稿的一部分。然而这些文件的性质和范围是不同的取决于审计程序的性质、时间和范围?#32422;?#25152;得到的发现和结果。内部专家工作底稿通常包括:

l
项目小组一致同意的工作范围

l
我们执行的程序

l
内部专?#19994;?#21457;现

l
调查结果的一个结论。

项目负责人要对评价和总结内部专?#19994;?#24037;作是否充?#33268;?#36275;审计的目的负责。在决定内部专?#19994;?#24037;作是否充?#33268;?#36275;我们的目的?#20445;?#25105;们要考虑
l
我们对适用内部控制规范要求的了解

l
我们对企业及其环境的了解

l
其他审计程序的结果。

在审计中的重大变化可能影响我们对内部专?#19994;?#24037;作的使用的?#23454;浴?#22914;果我们认为内部专?#19994;?#32467;果是合理的那么我们的结论是内部专?#19994;?#24037;作对于我们的目的而言是充分的。如果我们的结论是内部专?#19994;?#24037;作不能充分符合我们的目的我们应:
l
同意专家关于进一步将执行的工作的性质和程度

l
执行复核情况的其他审计程序
其他审计程序的性质是不同的主要根据专家使用的类别和我们顾虑的性质

l
与管理层和专家讨论这个问题。

四、
利用事务所外部专?#19994;?#24037;作
如果xxx内部没有相关专家我们可以邀请外部专家。我们只?#24615;?#26377;限的情况下才邀请外部专家因为在大多数情况下可以依赖管理层的专?#19994;?#24037;作或邀请xxx内部专家。
我们通常只在决定利用专家工作?#32422;?#20197;?#34385;?#20917;下引入外部专家
l
专?#19994;?#24037;作可?#21592;?#25105;们用作审计证据而管理层没有?#30422;?#19987;家

l
尽管企业?#30422;?#20102;专家但我们不能利用该专?#19994;?#24037;作

l
我们在xxx没有拥有相关的专业技能的专家。
当我们引入外部专家?#20445;?#25105;们要评价外部专?#19994;?#19987;业能力、素质?#32422;?#23458;观?#28020;?#24403;我们评价外部专?#19994;?#33021;力和素质?#20445;?#25105;们通过询问或其他程序来考虑以下问题
l
外部专?#19994;?#24037;作是否满足?#38469;?#26631;准或其他专业或行业要求

l
外部专?#20197;?#25105;们寻找证据领域的经验和信誉

l
外部专家对企业行业的了解和经验

l
外部专家与企业的关系如有

l
外部专家与会计和审计要求相关的能力。
我们通过多种渠道获取与外部专?#19994;?#19987;业能力和素质相关的信息例如
l
有关外部专家之前工作的经验

l
对外部专?#19994;?#32844;业资格包括职业团体或者行业协会的会员资格、执业执照或其他?#38382;?#30340;外部资格的了解

l
外部专家撰写的公开论文或书籍

l
与外部专?#19994;?#35752;论

l
与其他熟悉外部专家工作人员的讨论。

我们不期望外部专家对于企业和我们保持同样水平的独立性因为外部专家不受与我们相同的道德标准和专业标准的制约且不用遵守我们的质量控制政策和程序。然而我们并不认定外部专家是客观的。
很多情况可能会对客观性产生不利影响?#25215;?#38450;范措施可能会消除或减少这样的不利影响。一些外部制度的安排如专家所属的职业团体、法律法规的要求或通过外部专?#19994;?#24037;作环境如质量控制政策和程序可以建立这些防范措施。
当评价外部专?#19994;目?#35266;性?#20445;?#21487;能与以下内容有关
l
向被审计单位询问是否存在可能影响外部专家客观性的任?#25105;?#30693;的利益或关系

l
与外部专家讨论各?#36136;?#29992;的防范措施包括适用于外部专?#19994;?#32844;业规范并评价这些防范措施是否足以将不利影响?#26723;E量?#25509;受的水平。需要与外部专家讨论的利益和关系包括

l
经济利益

l
商业和私人关系

l
外部专家提供的其他服务。
在?#25215;?#24773;况下针对外部专家已知的、与被审计单位存在的任?#21355;?#30410;或关系我们从外部专?#19968;?#21462;书面声明可能是?#23454;?#30340;。
我们与事务所的外部专家就其工作范围达成一致意见包括
l
外部专家工作的性质、范围和客观性

l
外部专家和我们各自的角色和责任

l
外部专家和我们的沟通性质、时间和范围包括外部专家提供的报告?#38382;?br>
l
外部专家遵守保密原则的必要?#28020;?br>
当我们引入了外部专家我们便要获取与外部专家之间的书面协议即业务约定书?#32422;?#24405;我们对外部专家职责范围的共同了解。

在编制阐明工作范围和与我们计划引入的外部专?#19994;?#21327;议条款的业务约定书?#20445;?#25105;们要确定
l
外部专家拟实施的程序的性质和范围

l
根据与外部专家工作相关的事项的重要性和风险而确定的外部专?#19994;?#24037;作目标
l
外部专家遵守的相关的?#38469;?#26631;准、其他职业准则或行业要求
l
外部专家拟使用的假设和方法包括适用的模型及其权威性

l
外部专家和我们各自的角色和责任包括测试源数据的责任
l
外部专家对我们使用其报告的许可包括任何参考或对其他人员的披露例如我们可能向管理层或企业治理层披露其内容
l
与保密相关?#30446;?#34385;例如外部专家是否同意确保我们向其提供的信息的保密性
l
外部专?#19994;?#25253;告?#32422;?#20219;何其他要上交的工作的性质我们通常希望是书面的报告

l
我们和外部专家之间的沟通方式和?#24503;剩?br>
l
外部专家和企业之间的沟通程序

l
项目的时间例如外部专家完成工作并汇报其发现或结论的时间
l
外部专家向我们及?#34987;?#25253;的责任

l
外部专家认为可能与审计相关的信息包括任何之前沟通过的情况变化

l
可能威胁到外部专家客观性的情况?#32422;?#20219;何可能消除或?#26723;?#35813;威?#20179;量?#25509;受水平的相关防范措施。

当我们评估外部专?#19994;?#24037;作?#20445;?#25152;要考虑的内容与评估内部专家是相同的。更多指引请参见^第四章
利用专?#19994;?#24037;作 ̄。
我们应评估外部专家工作结果的相关性和合理?#28020;?br>我们应考虑结果是否
l
以与外部专家职业或行业标准相一致的方式列报

l
得以清楚地表达包括对项目业务约定书、执行工作的范围和适用的标准的索引

l
是基于一段合适的期间并在相关时将期后事项考虑在内

l
受到疑虑、限制或限制使用如果存在对我们是否存在影响

l
对错误或偏离经过?#23454;^目?#34385;。

五、
记录审计工作
如果我们使用管理层专?#19994;?#24037;作无论专家是否受聘于该企业我们都要记录这个专?#19994;?#25165;干、能力和客观?#28020;?#25105;们也记录我们对该项管理层专?#19994;?#24037;作是否充分的评估。
如果我们利用事务所外部专家我们要记录对外部专?#19994;?#19987;业能力、素质和客观性的程序和结论。我们记录与外部专家假设、方法和发现?#32422;?#25105;们对外部专家使用的数据的测?#26434;?#20851;的程序和结论。我们同样记录任何针对外部专?#19994;?#21457;现/报告的评论和结论?#32422;?#25105;们对外部专家工作充分性的评估。
我们要保存以下审计资?#24076;?br>l
我们与外部专家之间的业务约定书

l
与外部专?#19994;?#37325;要沟通

l
外部专?#19994;?#21457;现和/或报告。

当专家是项目组的成员?#20445;?#19987;?#19994;?#24037;作底稿是审计工作底稿的一部分。除非协议另作安排外部专家编制的详细的工作底稿归属于外部专家不构成审计底稿的一部分。

第五章
了解企业整体的内部控制
按照ゞ企业内部控制审计指引〃的要求我们应当采用自上而下的方法选择拟测试的控制。了解企业整体的内部控制即是对企业层面控制初步了解和设计?#34892;?#24615;进行评价并在基础上决定企业层面测试范围和进行测试关于企业层面控制测试的运行?#34892;?#24615;测试请参见
^第十二章
评价企业层面控制测?#28020;院?br>一、企业层面控制的内涵
企业的内部控制?#27835;?#20225;业层面控制和业务流程、应用系统或交易层面的控制两个层面。
业务流程、应用系统或交易层面的控制即本手册?#23567;?#19994;务层面控制?#20445;?#20026;应对交易和账户余额认定的重大错报风险而设计通常在业务流程内的交易或账户余额层面上运行其作用通常能够对应到具体某类交易和账户余额的具体认定。业务流程、应用系统或交易层面的控制主要针对交易的生成、记录、处理和报告等环节在内部控制要素中的^控制活动 ̄要素中除业绩评价控制外的绝大部分控制可归类为业务流程、应用系统或交易层面的控制。
企业层面控制通常为应对企业财务报表整体层面的风险而设计或作为其他控制运行的^基础设施?#20445;?#19968;般在比业务流程更高的层面上乃至整个企业范围内运行作用比较广泛通常不局限于某个具体认定。企业层面控制包括?#38109;?#20869;容
(1)与控制环境(即内部环境)相关的控制
(2)针对管理层和治理层凌驾于控制之上的风险而设计的控制
(3)被审计单位的风险评估过程
(4)对内部信息传递和期末财务报告流程的控制
(5)对控制?#34892;?#24615;的内部监督(即监督其他控制的控制)和内部控制评价。
此外集中化的处理和控制(包括共享的服务环境)、监控经营成果的控制?#32422;?#38024;对重大经营控制及风险管理实务的政策也属于企业层面控制。
ゞ企业内部控制基本规范〃及配套指引中提及的公司层面控制包括:
l
企业内部控制应用指引第1号!!组织架构
l
企业内部控制应用指引第2号!!发展战略
l
企业内部控制应用指引第3号!!人力资源
l
企业内部控制应用指引第4号!!社会责任
l
企业内部控制应用指引第5号!!企业文化
l
企业内部控制应用指引第17号!!内部信息传递。
二、企业层面控制对其他控制及其测试的影响
不同的企业层面控制在性质和精?#33539;?#19978;存在差异我们应当从?#38109;?#26041;面考虑这些差异对其他控制及其测试的影响
1?#25215;?#20225;业层面控制例如?#25215;?#19982;控制环境相关的控制对重大错报是否能够被及时防止或发现?#30446;?#33021;性有重要影响虽然这种影响是间接的但这些控制可能影响注册会计师拟测试的其他控制及其对其他控制所执行程序的性质、时间安排和范围。
例如被审计单位是否制定了合适的经营理念?#32422;?#31649;理基调对于一个?#34892;?#30340;内部控制是非常重要的。虽然这些与控制环境相关的控制与某个财务报表认定没有直接关联同时这些控制?#34892;?#24182;不能取代我们为对财务报表认定相关的内部控制的?#34892;?#24615;作出结论而所需获得的证据但是由于这些控制可能会对其他控制的?#34892;?#36816;行?#32422;?#25105;们对财务报表是否存在重大错报的风险评?#26469;?#26469;普遍性影响所以我们可能需要考虑这些控制是否存在缺陷以制定对其他控制所执行的程序。
2?#25215;?#20225;业层面控制能够监督其他控制的?#34892;浴?#31649;理层设计这些控制可能是为了识别其他控制可能出现的失效情况。但是这些控制本身并不能精确到足?#32422;?#26102;防止或发现相关认定的重大错报。当这些控制运行?#34892;保?#25105;们可?#32422;?#23569;原本拟对其他控制的?#34892;?#24615;进行的测?#28020;?br>例如某电子游戏软件开发企业开设有大量的银行账户企业的会计职员负责根据事先确定时间表(一些账户的截止日期不同)编制账户的银行存款余额调节表。通过询问管理人员我们得知该企业的财务总监是一位经验丰富的会计师每月审查该会计职员编制的银行存款余额调节表以确定是否及时编制了调节表、编制调节表过程中识别的调节项目的性质?#32422;?#35843;节项目是否得?#32422;?#26102;解决?#21462;?#36130;务总监审查的目的是查看会计职员的工作而不是重新执行该控制。财务总监对调节表的审查的精?#33539;?#26412;身不足以发现错报。但是财务总监的的审查仍然可以影响我们的风险评估。我们通过询问、检查文件获取关于财务总监审查的证据评价该审查的?#34892;?#24615;并且根据评估的风险水平确定所需直接测试的调节控制的数量。如果认为财务总监审查?#34892;?#19988;没有其他风险迹象注册会计师可?#32422;?#23569;对调节控制的直接测?#28020;?br>3?#25215;?#20225;业层面控制本身能精确到足?#32422;?#26102;防止或发现一个或多个相关认定中存在的重大错报。如果一项企业层面控制足以应对评估的重大错报风险我们可能不必测试与该风险相关的其他控制。一般而言我们可以?#27835;?#26576;个控制是否有足够的精?#33539;x约?#26102;防止或发现财务报表重大错报并考虑以下因素
l
内部控制对应的重要账户及列报的性质
l
对于?#25215;?#27604;?#34900;?#23450;或具备预期内在关系的账户管理层实施的?#27835;?#23545;发现重大错报具有足够的精?#33539;x?br>l
管理层?#27835;?#30340;细化程?#21462;?br>一般而言一个更精确的企业层面控制会对账户按照产品、地区作更细化的?#27835;z?#24182;与其他资料进行比较?#27835;z?#20197;确定财务报表相关认定的准确?#28020;?br>例如甲公司是生产交通运输工具用的替代燃料产品和系统的企业。所有工厂雇员人数大致相同每周工作六天每天两班次。其财务总监在公司已有10年非常了解业务流程包括工资流程。他审查由会计集中核算部门编制的每周工资汇总报告。由于公司扁平的组织结构和较小的规模加上财务总监在企业的工作背景、对企业业务淡旺季、生产周期和工作流程十分了解熟悉预算和报告流程财务总监能迅速识别工资不当的信号及其内在的缘故如与某个项目、?#24433;燹?#32856;用或临时解聘等情况相关。必要?#20445;?#36130;务总监将展开调查以确定是否出现错报或者内部控制运行无效并采取整改措施。根据对控制环境和针对管理层凌驾于控制之上的风险的控制实施的审计程序我们发现该财务总监展?#22659;?#35802;信的品质并?#38109;?#20110;?#34892;?#30340;内部控制。
我们评价财务总监审查的?#34892;?#24615;包括其精准?#21462;?#25105;们询问了财务总监的审查过程并?#19968;?#21462;了审查的其他证据。我们注意到财务总监调查确定的临界值(超过该金额的差异作为重大差异进行调查)足以发现导致财务报表重大错报的错报。我们选择了一些财务总监标记的、偏离预期值的重大差异并确定财务总监是否已恰当调查了差异以确定这些差异是否由错报导致。我们认为鉴于财务总监进行审查的方式旨在发现错报审查工作可以发现工资处理的错报。
但是我们认为该项控制需要依赖企业IT系?#25104;?#25104;的报告只有当时这些报告的完整性和准确性的控制?#34892;保?#36130;务总监的审查才能?#34892;А?#22312;测试了相关计算机控制以后我们认为财务总监的审查结?#38505;?#23545;工资汇总报告的相关控制能够实现上述工资处理方面的控制目标。
正是由于企业层面控制的上述作用我们应当识别、了解和测试对内部控制?#34892;?#24615;结论有重要影响的企业层面控制。我们对企业层面控制的评价可能增加或减少本应对其他控制所进行的测?#28020;?#27492;外由于对企业层面控制的评价结果将影响我们测试其他控制的性质、时间安排及范围所以我们可以考虑在执行业务的早期阶段对企业层面控制进行测?#28020;?#22312;完成对企业层面控制的测试后我们可以根据测试结果评价被审计单位的企业层面控制是否?#34892;В?#24182;且计划需要测试的其他控制及对其他控制所执行程序的性质、时间安排和范围。
三、了解和评价企业层面内部控制的主要内容
对企业层面内部控制的了解主要从以?#24405;?#20010;方面展开
l
了解和评价与控制环境即内部环境相关的控制
l
了解和评价针对管理层和治理层凌驾于控制之上的风险而设计的控制
l
了解和评价被审计单位风险评估过程
l
了解和评价对内部信息传递的控制
l
了解和评价对控制?#34892;?#24615;的内部监督即监督其他控制的控制和内部控制评价
l
了解和评价集中化的处理及控制包括共享的服务环境
l
了解和评价监控经营成果的控制
l
了解和评价针对重大经营控制及风险管理实务的政策。
3.1与控制环境(即内部环境)相关的控制
控制环境包括治理职能和管理职能?#32422;?#27835;理层和管理层对内部控制及其重要性的态?#21462;?#35748;识和行动。控制环?#25104;?#23450;了被审计单位的内部控制基调影响员工的内部控制意识。良好的控制环境是实施?#34892;?#20869;部控制的基础。在了解和评价控制环境?#20445;?#25105;们需要考虑与控制环境有关的各个要素及其相互联系。
当控制环境可以预防或检查和更正重大错报?#20445;?#23427;为内部控制的其他组成部分提供了?#23454;被?#30784;?#27807;?#25105;们认为存在可依赖控制减轻重大错报风险的基础。然而当我们识别不支持预防或检查和更正重大错报的控制环境因素?#20445;?#23558;影响内部控制的其他组成部分使我们怀疑内部控制?#30446;?#20381;赖性并增加了重大错报风险。特别是控制环境不支持预防或检查和更正重大错报可能更易引起因舞弊导致的财务报表重大错报风险的发生。
在了解和测试控制环境?#20445;?#25105;们需要考虑的方面主要包括
l
管理层的理念和经营风格是否促进了?#34892;?#30340;财务报告内部控制
l
管理层在治理层的监督下是否营造并保持了诚实守信和合乎道德的文化
l
治理层是否了解并监督财务报告过程和内部控制。
在进行内部控制审计?#20445;?#25105;们可以首先了解控制环境的各个要素在此过程中我们应当考虑其是否得到执?#23567;?#22240;为管理层可能建立了合理的内部控制但?#27425;?#33021;?#34892;?#25191;?#23567;?#22312;了解的基础上我们可以选择那些对财务报告内部控制?#34892;?#24615;的结论产生重要影响的企业层面控制进行测?#28020;?br>ゞ中国注册会计师审计准则第1211号!!通过了解被审计单位及其环境识别和评估重大错报风险〃及其指南对我们如何了解和评价控制环境给出了相关指引结合内部控制审计业务的目的和性质我们还可以特别关注以下方面
3.1.1管理层的理念和经营风格

在?#34892;?#30340;控制环境中管理层的理念和经营风格可?#28304;?#36896;一个积极的氛围促进业务流程和内部控制的?#34892;?#36816;行同时创造一个减少错报发生可能性的环境。我们可以考虑的主要因素包括(但不限于)
l
对胜?#25991;?#21147;的重视。在实务中我们在了解和测?#28304;?#26041;面内部控制?#34892;?#24615;时可以考虑的因素包括(但不限于)
l
管理层是否?#27835;?#19968;些特定岗位所承担的职责所必需的知识和技能例如如果被审计单位从事大量套期交易活动则需要聘用一些熟悉套期会计的财务人员
l
管理层是否运用正式或非正式的职位描述定义特定职责所需执行的任务。
l
组织结构及职权与责任的分配。在实务中我们在了解和测?#28304;?#26041;面内部控制?#34892;?#24615;时可以考虑的因素包括(但不限于)
l
管理层是否定义职权和责任的关键范围并建立?#23454;?#30340;重要职员报告途径
l
管理层是否有?#23454;?#30340;控制管理承担重要职能(如信息?#38469;?#36130;务和内部审计)的员工离职如对离职的原因进行?#27835;?#31561;
l
管理层是否将业务授权?#32422;?#19994;务执行的责任?#34892;?#22320;分离并且是否已针对授权交易建立?#23454;?#30340;政策和程序。
l
人力资源政策与实务。人力资源政策与实务涉及招聘、培训、考核、晋升和薪酬?#30830;?#38754;。在实务中我们在了解和测试其?#34892;?#24615;时可以考虑的因素包括(但不限于)
l
被审计单位的人力资源部门是否制定?#23454;?#30340;招聘(包括对一些重要员工的背景调查)、培训、考核、晋升、薪酬奖励(包括高级管理人员奖励)、内部调动和辞退员工政策
l
管理层是否作出?#23454;?#34892;动以应对违反公司政策和程序的行为同时与员工沟通并监控员工对这些公司政策的执?#23567;?br>了解管理层的经营风格对识别影响管理层对待内部控制态度的因素十分必要。管理层的经营风格也影响我们对管理层如何做出判断和会计估计?#32422;?#22914;何选择会计政策的评估。
3.1.2诚信和道?#24405;?#20540;观念的沟通与落实
诚信和道?#24405;?#20540;观念是控制环境的重要组成部分影响到重要业务流程的设计和运?#23567;?#25105;们在了解和测?#28304;?#26041;面?#34892;?#24615;时可以考虑的因素包括(但不限于)
l
被审计单位是否有书面的行为规范并且通过各种方法使之得以贯彻落实
l
被审计单位是否对新员工人职时进行职业操守培训?#32422;?#26159;否要求员工签署行为规范声明书等
l
管理层是否对违反相关行为规范的行为采取?#23454;?#30340;措施
l
管理层是否有?#27807;?#28608;励员工与设定不切?#23548;?#19994;绩目标之间得以平衡的控制。
3.1.3治理层的参与程度
被审计单位治理层(如董事会、监事会等)通常通过其自身的活动并在审计委员会或类似机构的支持下监督财务报告政策和程序。我们在了解和测试其?#34892;?#24615;时可以考虑的因素包括(但不限于)
l
董事会、审计委员会成员是否独立于管理层有明确的相关职责了解并且具备?#23454;?#30340;条件执行这些职责。我们可以对审计委员会成员的背景进行了解井获得他们执行相关职责的证据
l
董事会、审计委员会是否与我们进行?#23454;?#30340;互动并定期沟通并对我们提出的问题作出反馈
l
治理层是否充分参与了监督编制财务报告的过程比如董事会、审计委员会是否与财务高级管理人员和内部审计人员保?#25351;?#24230;互动定时听取信息汇报并实行?#34892;?#26816;查对相关事项进行正确的提问包括对重大会计政策和会计估计的解释等
l
董事会、审计委员会是否评估在?#34892;?#30417;督下管理层和治理层凌驾于内部控制之上的风险。
我们认识到任一控制环境要素的缺陷都可能破坏其他要素的?#34892;浴?#20294;是我们注重的是控制的实质而不是?#38382;?#22240;为控制可能在建立后并不实施。
3.2针对管理层和治理层凌驾于控制之上的风险而设计的控制
针对管理层和治理层凌驾于控制之上的风险(以?#24405;?#31216;凌驾风险)而设计的控制对所有企业保持?#34892;?#30340;财务报告内部控制都有重要的影响。在不同的企业管理层和治理层凌驾于控制之上的风险水平不同。由于小企业的高级管理人员更多地参与控制的执行和期末财务报告过程小企业的凌驾风险可能更大。小企业针对凌驾风险采用的控制可能与大企业采用的控制不同。
因此我们可以根据?#21592;?#23457;计单位进行的舞弊风险评估作出判断选择相关的企业层面控制进行测试并评价这些控制是否能?#34892;?#24212;对已识别?#30446;?#33021;导致财务报表发生重大错报的凌驾风险。
一般而言针对凌驾风险采用的控制包括(但不限于)
l
针对重大的异常交易(尤其是导致会计分录?#26144;?#25110;异常的交易)的控制。重大的异常交易一般指不是在被审计单位正常业务过程中产生、并且?#21592;?#23457;计单位而言较为重大的交易。我们可以了解被审计单位对于重大的异常交易的会计处理流程?#32422;?#26159;否建立了相关的控制并考虑对这些控制的设计及运行?#34892;?#24615;进行测试以确定这些控制是否能?#34892;Ы档?#20940;驾风险
l
针对关联方交易的控制。我们可以关注被审计单位的关联方交易管理及业务流程了解企业的关联方交易是如何产生、审批?#32422;?#35760;录在财务报表中的在上述过程中是否存在凌驾风险?#32422;?#26159;否有相关的控制?#26723;?#39118;险。在了解这些控制之后我们可以考虑对能?#26723;?#19982;关联方交易相关的凌驾风险的控制进行测试
l
与管理层的重大估计相关的控制。我们可以了解被审计单位的财务报表中是否有对财务报表产生重大影响的会计估计并了解管理层确定这些会计估计的过程。同?#20445;?#25105;们可以关注管理层针对这些重大会计估计的相关控制是否能防止管理层因操纵这些重大会计估计而导致财务报表出现重大错报的风险。在了解这些控制之后我们可以考虑对能?#26723;?#19982;重大会计估计相关的凌驾风险的控制进行测试
l
能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制。我们可以关注管理层的薪酬及激励机制或管理层是否面临较大的业绩压力从而导致被审计单位出现较高的凌驾风险。对于这种情况我们可以了解被审计单位是否有相应的控制防止管理层因为激励机制及业绩压力而对财务报表作出虚假报告。在了解这些控制之后我们可以考虑对能?#26723;?#19982;管理层动机及压力相关的凌驾风险的控制进行测?#28020;?#23545;于能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制我们一般可以但不限于考虑?#38109;?#27969;程及相关控制
l
薪酬委员会或类似机构在公司制定薪酬及激励政策中的角色?#32422;?#34218;酬激励是否通过该委员会的研?#32771;?#23457;批以确保激励部分不会过高从而增加人为错报的风险
l
管理层每年制定的预算是否是基于?#23548;?#32463;营状况并且通过合理的?#27835;?#32780;编制的以确保年度预算不会过于激进或保守从而增加人为错报的风险
l
内部审计部门是否会关注因管理层动机或压力而导致的错报风险并且定期进行检查查找被审计单位是否存在人为调整财务业绩的情况。
l
建立内部举报?#31471;?#21046;?#21462;?#25105;们可以关注被审计单位是否建立了内部举报?#31471;?#21046;度(如举报?#35748;漾?br>电子?#22987;?#20030;报信箱等)和举报人保护制度鼓励员工对各类违法或不当行为予以举报并严禁任何人向善意举报的人或参与调查的人施加报复。我们还可以关注被审计单位对举报?#31471;?#30340;处理程序、办理时限和办理要求如是否设置了专门机构对?#31471;?#20869;容进行调查处理?#21462;?#21516;?#20445;?#25105;们还可关注上述相关制度是否已及时传达至全体员工。
3.3被审计单位的风险评估过程
风险评估过程包括识别与财务报告相关的经营风险?#32422;?#38024;对这些风险所采取的措施。首先被审计单位需要有充分的内部控制去识别来自内外部环境的风险比如监管环境和经营环境的变化、新的或升级的信息系统、新的会计政策?#30830;?#38754;。其次充分、?#23454;?#30340;风险评估过程应当包括对重大风险的估计对风险发生可能性的评定?#32422;?#24212;对方法的确定。我们可以首先了解被审计单位及其环境的其他方面信息以初步了解被审计单位的风险评估过程。
ゞ中国注册会计师审计准则第1211号!!通过了解被审计单位及其环境识别和评估重大错报风险〃准则及其指南中对注册会计师如何了解和评价被审计单位的风险评估过程提供了相关指引。结合内部控制审计业务的目的和性质实务中在了解和测?#21592;?#23457;计单位与风险评估过程相关的内部控制?#20445;?#21487;以考虑以下因素
l
被审计单位是否根据设定的控制目标有计划全面、系统、持续地收集内外部相关信息并结合?#23548;是?#20917;及时进行风险评估
l
被审计单位是否在目标设定的基础上密切关注内外部主要风险因素通过日常或定期的评估程序与方法对各种主要风险加以识别并将各类风?#25112;?#34892;分类整理形成企业的风险清单
l
被审计单位是否在风险识别的基础上采用定性和定量相结合的方法按照风险发生?#30446;?#33021;?#32422;?#20854;影响程度等因素对识别的风?#25112;?#34892;?#27835;?#21644;排序确定关注重点和优先控制的风险。被审计单位在进行风险?#27835;保?#26159;否充?#27835;?#25910;专业人员组成风险?#27835;?#22242;队按照严格规范的程序开展工作确保风险?#27835;?#32467;果的准确性
l
被审计单位是否根据内部控制目标结合风险评估结果和风险应对策略综合运用控制措施将风险控制在可承受范围之内。
在了解风险评估流程?#20445;?#25105;们重点了解管理层如何设计整个流程且流程是否足以评估风险和设计恰当的应对措施。我们不要求逐个对风险评估流程中的控制进行评估因为这些控制不太可能与审计有关。但是当管理层未能识别及解决相关的财务报告的风险或企业的风险评估流程不适?#31995;?#26102;的情况如性质、规模和企业的复杂性则我们需确定这是否会对我们对控制环境的了解产生影响。
如果管理层未识别和处理与财务报告有关的风险或者企业的风险评估流程?#29615;?#21512;企业的情况如性质、规模和企业的复杂性这可能表明财务报表存在潜在的重大错报风险。此外这?#37096;?#33021;是内部控制缺陷的一个指标。
如果企业没有建立风险评估流程或只存在一个特设的流程我们应当询问管理层是否识别和处理了与财务报告目标相关的经营风险评估正式记录在案的风险评估流程是否适用于企业的情况并确定缺乏正式记录在案的风险评估流程是否代表内部控制的重大缺陷。
此外针对重大经营控制及风险管理实务采用相应的内部控制政策也属于企业层面控制的组成部分。在对内部控制进行审计?#20445;?#25105;们可以考虑以下因素中与财务报告相关的部分
l
企业是否建立了重大风险预警机制明确界定哪些风险是重大风险哪些事项一旦出现必须启动应急处理机制。应急预案、预警机制等相关的政策和方案应非常明确地传达到相关人员
l
企业是否建立了?#29615;∧录?#24212;急处理机制确保?#29615;∧录?#24471;到及时妥善处理。
3.4对内部信息传递的控制
在企业中相关信息需要以?#23454;?#26041;式及时识别、保存和传递并被不同层级的人员使用以支持财务报告目标的实现。
我们在了解内部信息传递的过程中至少需要了解企业内部信息传递的主要机制。当内部信息传递的机制与企业环境不相适应?#20445;?#25105;们需要考虑此种情况是否会影响其对内部环境的评价。
3.5对控制?#34892;?#24615;的内部监督(即监督其他控制的控制)和内部控制评价
管理层的一项重要职责就是持续不断地建立和维护控制。管理层对控制的监督包括考虑控制是否按计划运行?#32422;?#26159;否需要根据情况的变化与控制作出恰当修改。控制监督可以在企业层面或业务流程、应用系统或交易层面上实施。对于企业层面或业务流程、应用系统或交易层面的监督可以通过持续的监督和管理活动、审计委员会或内部审计部门的活动?#32422;?#33258;?#31227;?#20215;的方式等来实现。
对控制的监督可能包括对运营报告的复核、与外部人士的沟通、其他未参与控制执行人员的监控活动?#32422;?#20449;息系统所记录的数据与实物资产的核对?#21462;?br>在监督的组成部分中一个?#34892;?#30340;审计委员会可能针对企业财务方面的各项活动提出疑问。例如审计委员会对管理层提出问题包括对企业重大会计政策和会计估计提出问题以获取相关了解。
结合内部控制审计业务的目的和性质在了解被审计单位对控制?#34892;?#24615;的内部监督并对其?#34892;?#24615;进行测试?#20445;?#25105;们还可以特别考虑以下因素
3.5.1管理层是否定期地将会计系统中记录的数额与实物资产进行核对
管理层可能进行周期性的存货盘点或者年度的固定资产盘点将?#23548;?#30424;存资产的数量与相应的明细账记录作比较。通过监盘存货我们不仅可以获取被审计单位定期盘点的证据还可以根据?#23548;是?#20917;在必要时对其运行?#34892;?#24615;进行测?#28020;?br>3.5.2.管理层是否为保证内部审计活动的?#34892;?#24615;而确立了相应的控制
内部审计部门或者执行类似职能的人员对于?#34892;?#30417;督企业活动可能具有重要的意义。很多企业内部都有集中化的内部审计部门通过对各业务单元或地区进行轮流视察进行控制复核并跟进前期发现的不足之处实施?#34892;?#30340;监控。?#25215;?#20225;业的内部审计部门将工作重点放在评价内部控制的设计和测试其运行的?#34892;?#24615;上从而识别潜在的缺陷提供有利于管理层作出成本效益?#27835;?#30340;信息并据此提出改进建议。
企业对于内部审计人员的级别、胜?#25991;?#21147;和经验应当有?#23454;?#30340;控制。内部审计部门在企业组织内部的定位应是?#23454;?#30340;并且内部审计人员应有权向审计委员会或董事会汇报情况。内部审计部门的范围、职责及审计计划应与企业的需求和财务报告内部控制相适应。
3.5.3管理层是否建立了相关的控制?#21592;?#35777;自?#31227;?#20215;或定期的系统评价的?#34892;?#24615;
我们可以关注被审计单位管理层对内部控制系统的评价是否有?#23454;?#30340;范围和?#24503;福?#31649;理层需要对内部控制进行评价并?#31227;?#20215;过程需由具备相应技能和了解企业控制设计和运行的人员来执?#23567;?#35780;价的范围、覆盖深度?#32422;案德识?#24212;是恰当的。
根据控制所应对风险的重要性和控制在?#26723;?#37325;大错报风险方面的重要性管理层可能分别采用不同范围和?#24503;?#30340;评价或自?#31227;?#20215;措施?#32422;?#30563;财务报告内部控制的?#34892;浴?#25152;应对风险越高的控制?#32422;?#23545;于?#26723;?#29305;定风险更为关键的控制可能会被更频繁地测试并由更有经验、更客观?#32422;?#26356;具胜?#25991;?#21147;的人员来实施。
3.5.4管理层是否建立了相关的控制?#21592;?#35777;监督性控制能够在一个集中的地点?#34892;?#36827;行如共享服务?#34892;?#31561;
在一些被审计单位中?#25215;?#37325;要的监督性控制是在集中处理?#34892;?#25110;者共享服务?#34892;漬约?#20013;化或地区化的方式执行的。这些控制可以?#34892;?#22320;监督在分散的地点或业务分部的特定控制。
3.6集中化的处理和控制(包括共享的服务环境)
集中化的处理可以视作企业内部的一种^外包 ̄安排通过将部分或全部财务报告过程与负责经营的管理层相分离以改进控制环境并取得规模效益。例如企业可能设立共享服务?#34892;模?#21521;内部的其他下属单位或分部提供日常的会计处理及财务报表编制服务。由于采用集中化管理可以?#26723;?#21508;个下属单位或分部负责人对该单位或分部财务报表的影响并且可以使财务报告内部控制更为?#34892;В?#25152;?#32422;?#20013;化的财务管理有助于?#26723;?#36130;务报表错报的风险。
我们在对共享服务?#34892;?#25191;行审计程序?#20445;?#21487;以先了解共享服务?#34892;?#30340;服务对象?#32422;?#26381;务范围并?#27835;?#20854;服务对象的财务报表重大错报风险。针对这些风险我们可以?#27835;?#34987;审计单位是否有相关的内部控制用以?#26723;?#20854;下属单位或分部财务报表发生重大错报的风险。
一般而言特定服务对象单位与财务报表相关的风险越大我们在进行内部控制测试过程中可能更需要到共享服务?#34892;?#25110;其服务对象单位测试与特定服务对象单位相关的内部控制。
如果共享服务?#34892;?#30340;内部控制的影响较大我们可以考虑在内部控制审计工作初期就开始?#27835;?#20854;内部控制的性质、?#21592;?#23457;计单位的影响等并且考虑在较早的阶段执行对共享服务?#34892;?#20869;部控制的?#34892;?#24615;测试以确定其对进一步审计程序性质、时间安排?#32422;?#33539;围的影响。
此外一般而言在对共享服务?#34892;?#30340;内部控制进行了解或测试?#20445;?#25105;们还可以关注共享服务?#34892;?#19982;财务报表相关的信息?#38469;?#31995;统特别是系统的复杂程?#21462;?#20351;用的软件等因素以选择合适的内部控制进行测试其中包括集中处理环境下的信息?#38469;?#19968;般控制是否?#34892;А?br>对于?#25215;?#34987;审计单位而言上级单位可能会定期检查下属单位或分部的财务数据的真实性以?#26723;?#19979;属单位或分部管理层在财务报表上作出不恰当的人为调整的风险。
3.7监督经营成果的控制
监督经营成果的控制可以视为所有监督性内部控制的一种。一般而言管理层对于各个单位或业务部门经营情况的监控是企业层面控制的重要内容。例如被审计单位管理层可能将各个下属单位和业务部门上报的?#23548;?#29983;产量、销售量和其他资?#24076;?#19982;预算或预期的数字作?#21592;确治z?#24182;且跟进差异(如有)的原因及其合理性以确定财务报表上的金额是否有异常变动。此外下属单位或业务部门的管理人员可能定期复核上报的财务报表的准确性并在上报的资料上签字确认同时下属单位或业务部门对财务报表发生的错报承担责任。
我们在了解和测试与监督经营成果相关的企业层面控制时可以考虑的因素包括(但不限于)
l
管理层是否定期将经营成果与预算进行?#21592;确治?#21450;复核以?#27835;?#36130;务资料是否存在异常情况
l
是否定期编制主要经营指标并对这些指标进行审阅及?#27835;z?#20197;?#27835;?#36130;务资料是否存在异常情况
l
是否定期更新经营预测并且与期末的?#23548;?#32463;营结果进行?#21592;确治?br>在了解监督经营成果的控制?#20445;?#25105;们可?#28304;?#24615;质上?#27835;?#36825;些监督经营成果的控制是否有足够的精?#33539;?#20197;取代对业务流程、应用系统或交易层面的控制的测?#28020;?br>例如如果管理层对财务报表的定期复核缺乏足够的精?#33539;x?#25105;们可能需要?#21592;?#23457;计单位的财务报表编制流程中的内部控制进行测?#28020;?#20294;是如果这些监督经营成果的内部控制是?#34892;?#30340;我们可以考虑减少对其他控制的测?#28020;?br>四、企业层面控制对其他控制及其测试的影响
不同的企业层面控制在性质和精?#33539;?#19978;存在差异我们应当考虑这些差异对其他控制及其测试的影响。
影响控制精?#33539;?#30340;因素包括
l
重要账户或列报的性质
l
控制本身的目标
l
控制所利用数据的细化程度
l
审计?#24615;?#32463;识别的错报
l
管理层进行调查的标准包括控制能?#29615;?#27490;、发现或纠正潜在重大错报的性质和大小
l
控制执行的一贯性
l
在与其他控制程序相关?#20445;?#25152;使用数据?#30446;?#38752;性?#32422;?#25968;据之间相互印证的程?#21462;?br>如果某企业层面控制本身精确到足?#32422;?#26102;防止或发现并纠正一个或多个相关认定中存在的重大错报足以应对评估的重大错报风险我们可以不必测试与该风险相关的其他控制。
例如被审计单位设立了银行余额调节表的监督审阅流程并且对下属所有分级机构作出定期检查以确定所有下属单位已经做好银行余额调节表的编制、审阅及跟踪工作。如果这个监督审阅过程中的程序有足够的精?#33539;?#20197;复核各个下属单位的工作是否恰?#20445;?#37027;么我们可以考虑测试这个企业层面控制并且不必对下属每个单位的银行余额调节表相关控制进行测?#28020;?br>?#25215;?#20225;业层面控制能够监督其他控制的?#34892;浴?#31649;理层设计这些控制可能是为了识别其他控制出现的失效情况。但是这些控制本身并不足以精确到及时防止或发现并纠正相关认定的重大错报。当这些控制运行?#34892;保?#25105;们可?#32422;?#23569;原本拟对其他控制的?#34892;?#24615;进行的测?#28020;?br>例如被审计单位的财务总监定期审?#26408;?#33829;收入的详细月度?#27835;?#25253;告。由于这个控制没有足够的精?#33539;x约?#26102;防止或发现某个财务报表认定的重大错报所以这个控制不可以完全替代我们对其他控制的测?#28020;?#20294;是如果这个控制?#34892;?#30340;话可以使我们修改其原本拟对其他控制所进行的测试程序。
?#25215;?#20225;业层面控制(如?#25215;?#19982;控制环境相关的控制)?#32422;?#26102;防止或发现并纠正相关认定的错报?#30446;?#33021;性有重要影响。虽然这种影响是间接的但这些控制仍然可能影响我们拟测试的其他控制及其对其他控制所执行程序的性质、时间安排和范围。
我们对企业层面内部控制的评价可能增加或减少本应对其他控制进行的测?#28020;?#20363;如
l
控制环境的?#34892;?#24615;可能影响我们对其他控制测试的性质、时间和范围的安排。在控制环境存在缺陷的情况下我们可能选择增加执行审计工作的组成部分的数量将更多的审计程序放在期末而不是中期执行或在将期中控制测试结果更新至基准日?#20445;?#25913;变前推程序的性质以获取更有说服力的审计证据。
l
企业层面控制(特别是监督其他控制的控制)的?#34892;?#24615;是影响与某项控制相关的风险因素之一。如果相关企业层面控制无效我们综合该因素及其他相关因素判断某流程层面控制的相关风?#25112;?#39640;则需要基于对该流程层面控制相关风?#25112;?#39640;的判断扩大控制测试的样本规模。
五、如何了解企业层面控制
5.1
了解企业层面控制的方法
我们执行以下程序来了解企业层面控制
l
询问管理层和我们判断认为可能拥有帮助我们识别重大错报风险的信息的企业内部其他人员l
观察运行中的流程和控制

l
检查文件和报告。

了解企业整体控制实施程序的性质、时间和范围取决于企业的规模和复杂程?#21462;?#20197;往对该企业的审计经验和企业控制的性质。鉴于企业整体控制的性质?#32422;?#23457;计证据不存在或不能以文本?#38382;?#33719;取的事实我们经常通过询问和观察来了解企业整体控制。当管理层与其他人员之间的沟通可能非正式?#20445;?#36825;种情况在不复杂的企业中更显著。在其他情况下我们能通过查阅文件和报告(例如管理层季报、中期财务报表和会议纪要)
来证实管理层的陈述。
5.2
审计证据?#30446;?#34385;和了解企业层面控制的范围
我们预计不会像管理层那样深入和详细地了解业务和内部控制我们运用职业判断确定了解企业层面控制需要的范围和需要获取的证据。我们对企业层面控制的了解应足以让我们识别重大错报风险和确定应对风险的最恰当的审计策?#28020;?br>了解企业层面控制所需证据的质量和数量?#32422;?#35777;据的说服力与我们对企业复杂程度和机构内部现存已识别风险的认识相匹配。在一个不复杂的业务中我们可能通过对管理层询问以获取对企业层面控制的了解并执行详细的程序来证实。在更复杂的企业中我们就需要与更多的人员
(例如财务总监、内审主管、总会计师、风险管理总局和董事等)
以了解企业层面控制。我们?#37096;?#20197;查阅会议纪要、书面的政策和程序?#32422;?#20854;他证据来确认与审计相关的企业层面控制已经得到执?#23567;?br>六、识别和评估重大错报风险
我们应基于对企业层面控制的了解来识别和评估重大错报风险。当我们识别出重大错报风险?#20445;?#25105;们应确定风险的应对措施并评估风险对审计造成的影响。

在针对企业层面控制的了解中所包括的内部控制的任何组成部分(即控制环境、风险评估、监控等)中我们在财务报表层面及认定层面均可能识别出重大错报风险。识别和评估重大错报风险需要运用相当多的判断。因此应由有经验的项目小组成员来参与识别和评估重大错报风险的过程。在此过程中项目小组成员应在评估提高重大错报风险可能性的因素时考虑企业的规模、复杂程度和所有制特征。
七、工作底稿记录
我们对以下控制进行记录与控制环境、风险评估程序、内部信息传递相关的企业层面控制我们选定测试运行?#34892;?#24615;的其他间接的企业层面控制?#32422;?#25105;们选定测试的、充当交易层面控制的其他直接的企业层面控制。
第六章

识别舞弊风险并确定应对措施
一、识别舞弊风险的相关要求
舞弊是一个宽泛的法律概念但我们关注的是导致财务报表发生重大错报的舞弊。与财务报表审计相关的故意错报包括编制虚假财务报告导致的错报和?#32456;?#36164;产导致的错报。

由于审计的固有限制我们无法避免有一些由于舞弊而导致的重大错报没有被检查到的风险。因此我们计划并实施审计以获得有关财务报表不存在由于舞弊而导致的重大错报的合理保证而不是绝?#21592;?#35777;。
在整个审计过程中尽管有对企业管理层和治理层诚信的以往经验我们仍然运用职业的怀?#21830;?#24230;来识别由于舞弊而导致的重大错报。
我们承认任何企业、在任何时间都有可能发生舞弊并有可能被任何人实施。
从财务报告及内控审计来?#25285;?#25105;们的目标是

一识别和评估由于舞弊导致的财务报表重大错报风险

二通过设计和实施恰当的应对措施针对评估的由于舞弊导致的重大错报风险获取充分、?#23454;?#30340;审计证据

三恰当应对审计过程中识别出的舞弊或舞弊嫌疑。

ゞ企业内部控制审计指引〃第十三条规定注册会计师在测试企业层面控制和业务流程、应用系统或交易层面的控制?#20445;?#24212;当评价内部控制是否足以应对舞弊风险。
在识别并测试企业层面控制?#32422;?#36873;择其他控制进行测试?#20445;?#25105;们应当评价被审计单位的控制是否足以应对已识别的、由于舞弊导致的重大错报风险并评价为应对管理层凌驾于控制之上的风险而设计的控制。

被审计单位为应对这些风险可能采取的控制包括
l
针对重大非常规交易的控制尤其是针对导致会计处理?#26144;?#25110;异常的易的控制
l
针对期末财务报告流程中编制的分录和作出的调整的控制
l
针对关联方交易的控制
l
与管理层的重大估计相关的控制
l
能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制。
二、识别舞弊风险的主要程序及考虑因素
我们在在识别舞弊风险?#20445;?#38656;执行以下程序
l
组织项目组讨论l
就舞弊风险询问管理层和其他人员l
考虑舞弊风险因素包括考虑l
与对财务信息作出虚假报告相关的舞弊风险因素l
与?#32456;?#36164;产相关的舞弊风险因素。l
针对管理层和治理层凌驾于控制之上的风险而设计的控制l
考虑异常关系或偏离预期的关系
l
考虑关联方关系和重大关联方交易
l
考虑违反法律法规的风险l
考虑其他信息。

2.1组织项目组讨论
在识别由于舞弊而导致的重大错报风险?#20445;?#39033;目小组会讨论企业财务报表为?#25105;约?#22312;哪些方面存在重大错报风险?#32422;?#33310;弊发生的方式我们应当对此过程中获得的信息进行评价。项目组讨论的内容通常包括
l
由于舞弊导致财务报表重大错报?#30446;?#33021;性重大错报可能发生的领域及方式
l
在遇到哪些情?#38382;?#38656;要考虑存在舞弊?#30446;?#33021;性
l
已了解?#30446;?#33021;产生舞弊动机或压力、提供舞弊机会、营造舞弊行为合理化环境的外部和内部因素
l
已注意到的?#21592;?#23457;计单位舞弊的指控
l
已注意到的管理层或员工在行为或生活方式上出现的异常或无法解释的变化
l
管理层凌驾于控制之上?#30446;?#33021;性
l
是否有迹象表明管理层操纵利润?#32422;安?#21462;?#30446;?#33021;导致舞弊的操纵利润手段
l
管理层对接触现金或其他易被?#32456;?#36164;产的员工实施监督的情况
l
为应对舞弊导致财务报表重大错报可能性而选择的审计程序?#32422;?#21508;种审计程序的?#34892;?#24615;
l
如何使拟实施审计程序的性质、时间和范围不易为被审计单位预见。
2.2就舞弊风险询问管理层和其他人员
2.2.1询问管理层
在了解被审计单位及其环境?#20445;?#25105;们应当向管理层询问的事项包括
l
管理层对舞弊导致的财务报表重大错报风险的评估
l
管理层对舞弊风险的识别和应对过程
l
管理层就其对舞弊风险的识别和应对过程与治理层沟通的情况
l
管理层就其经营理念及道德观念与员工沟通的情况
l
管理层对任何影响企业的?#23548;?#25110;可疑的舞弊行为的了解。
管理层对企业内部控制和财务报表编制负有责任。相应地我们需要就管理层?#32422;?#23545;舞弊风险的评估?#32422;?#39044;防并检查该舞弊的恰当控制进行询问。管理层对该风险评估的性质、范围和?#24503;?#21487;能因企业不同而不同。?#25215;?#20225;业的管理层可能每年进行详细评估或将其作为持续监督。另外一些企业的管理层评估可能较不定期或较少。管理层对舞弊风险评估的性质、范围与我们对企业控制环境的了解有关。例如管理层不进行舞弊风险评估可能意味着管理层不重视内部控制而因此加大了舞弊风险。
我们可以向管理层询问以下问题?#31383;?#21161;我们了解存在由于舞弊而导致的潜在重大错报风险的方面
l
你认为企业的哪些领域可能出现舞弊活动

l
有没有你认为个人具有较多机会实施舞弊的特定业务领域如有你认为哪些步骤可?#32422;?#23569;风险

l
你对可能或已经发生的舞弊有没有特别?#30446;?#34385;

l
你是否在经营?#24615;?#36935;过舞弊

在评价管理层对询问作出的答复?#20445;?#25105;们应?#27604;?#35782;到管理层在被审计单位中通常具备更多的实施舞弊的机会。因此我们应当保?#31181;?#19994;怀?#21830;?#24230;确定何时有必要通过其他信息对管理层的答复加以印证。如果管理层的答复与其他信息不一致我们应当采取?#23454;?#25514;施予以解决。
虽然我们通过询问管理层可能获取关于员工舞弊导致的财务报表重大错报风险的有用信息但这种询问难以获取关于管理层舞弊导致的重大错报风险的有用信息因此在询问的对象方面除了管理层和对财务报告负有责任的人员我们还应当运用职业判断确定拟实施询问的被审计单位内部其他人员?#32422;?#35810;问内容?#21592;?#20174;不同于管理层和对财务报告负有责任的人员的角度获取信息除了变化询问对象我们还应考虑询问不同级别的人员。
2.2.2询问内部审计人员
如果被审计单位设有内部审计职能包括内部审计机构或专门的内部审计人员我们应当向内部审计人员询问以获取相关信息。向内部审计人员询问的主要内容包括
l
内部审计人员?#21592;?#23457;计单位舞弊风险的认识
l
内部审计人员在本期是否实施了用以发现舞弊的程序
l
管理层对通过内部审计程序发现的舞弊是否采取了?#23454;?#30340;应对措施
l
内部审计人员是否了解任何舞弊事实、舞弊嫌疑或舞弊指控。这里舞弊事实是指已经?#23548;?#21457;生的舞弊行为的有关情况舞弊嫌疑是指怀疑可能会构成舞弊行为的有关情况舞弊指控是指对舞弊行为的举报、?#31471;澣确?#38754;的有关情况。
内部审计对业务的经营有很深入的了解因此可以向我们提供有用的信息以帮助我们识别由于舞弊而导致的重大错报风险。例如当控制或企业政策和程序发生变化?#20445;?#25105;们可以询问内部审计他们是否认为这些变化会导致舞弊风险上升。另外内审可能认识到由于环境的变化以前期间?#34892;?#30340;控制在本期可能变弱。
2.2.3询问内部其他人员
我们应当考虑向被审计单位内部的其他人员询问是否存在或可能存在舞弊。这些内部其他人员包括
l
不直接参与财务报告过程的业务人员
l
负责生成、处理或记录复杂、异常交易的人员及其监督人员
l
负责法律事务的人员
l
负责道德事务的人员
l
负责处理舞弊指控的人员。
这些人员出于各自的相应职责可能从不同角?#21462;?#19981;同侧面了解?#23548;?#23384;在的或者可能存在的舞弊行为。
我们运用职业判断和对企业或行业内类似企业的经验来确定我们所要询问的企业其他人员和应该询问的范围。在大多数情况下这些询问是在审计过程中我们与联系人员讨论的自然?#30001;譟?br>2.2.4询?#25163;?#29702;层
治理层的重要职责之一就是监督管理层对舞弊风险的识别和应对过程因此我们应当了解治理层如何监督管理层对舞弊风险的识别和应对过程?#32422;?#31649;理层为?#26723;?#33310;弊风险设计的内部控制。我们可以通过参加相关会议、阅读会议纪要或询?#25163;?#29702;层等审计程序了解有关情况。
我们应当询?#25163;?#29702;层以确定其是否知悉任何舞弊事实、舞弊嫌疑或舞弊指控。由于治理层的重要职责在于监督管理层因而其知悉舞弊事实、舞弊嫌疑?#32422;?#25910;到舞弊指控?#30446;?#33021;性较大我们应?#26412;?#36825;些内容执行询问程序?#21592;?#33719;取相关信息。
治理层对我们询问的答复可作为管理层答复的佐证信息。如果治理层的答复与管理层的答复不一致我们应当获取进一步的审计证据予以解决。
这些询问通常由具有充分的知识和经验来询问恰当的后续问题的项目小组成员在早期审计计划阶段进行通常是高级审计员及以上级别。更有经验的项目成员即项目负责人通常要参与询问高级管理层或治理层。
2.3考虑舞弊风险因素
在了解被审计单位及其环境?#20445;?#25105;们应当考虑所获取的信息是否表明存在舞弊风险因素。舞弊风险因素是指注册会计师在了解被审计单位及其环境时识别的、可能表明存在舞弊动机或压力、机会的事项或情况?#32422;?#34987;审计单位对可能存在的舞弊行为的合理化解释。
我们识别舞弊风险因素?#31383;?#21161;我们识别由于舞弊而导致的重大错报风险。我们运用职业判断来确定是否存在舞弊风险因素。我们在舞弊发生的三个条件的环境下确定舞弊风险因素即诱因/压力、机会和态度/合理性解释。
舞弊风险因素的存在并不一定表明发生了舞弊但在舞弊发生时通常存在舞弊风险因素。我们应当考虑舞弊风险因素的存在对其评估重大错报风险可能产生的影响。我们应当运用职业判断考虑被审计单位的规模、复杂程?#21462;?#25152;有权结构及所处行业等以确定舞弊风险因素的相关性和重要程?#21462;?br>2.4考虑异常关系或偏离预期的关系
?在实施?#27835;?#31243;序以了解被审计单位及其环境?#20445;?#25105;们应当考虑可能表明存在舞弊导致的重大错报风险的异常关系或偏离预期的关系。?我们实施?#27835;?#31243;序有助于识别异常的交易或事项?#32422;?#23545;财务报表和审计产生影响的金额、比率和趋势。在实施?#27835;?#31243;序?#20445;?#25105;们应当预期可能存在的合理关系并与被审计单位记录的金额、依据记录金额计算的比率或趋势相比较如果发现异常关系或偏离预期的关系我们应当在识别舞弊导致的重大错报风险时考虑这些比较结果。
2.5考虑其他信息?
我们应当考虑在了解被审计单位及其环境时所获取的其他信息是否表明被审计单位存在舞弊导致的重大错报风险。其他信息可能来源于项目组内部的讨论、客户承接或续约过程?#32422;?#21521;被审计单位提供其他服务所获得的经验。
三、
识别由于舞弊而导致的重大错报风险
我们使用审计中不同时点获取的信息包括舞弊风险因素的识别来识别由于舞弊而导致的重大错报风险。
舞弊风险因素的存在并不意味着一定有由于舞弊而导致的重大错报风险的存在。识别由于舞弊而导致的重大错报风险同样受我们对控制环境的了解的影响。支持预防或检查和更正与财务报告相关的重大错报的控制环境并不能够绝对抵制舞弊但是可以帮助我们?#26723;?#33310;弊风险从而使我们能够增强对内部控制和所收集的审计证据?#30446;?#38752;性的信心。控制环境的消极因素会逐渐破坏控制的?#34892;?#24615;并导致使由于舞弊而导致的重大错报风险发生的范围更大。
如果由于舞弊而导致的重大错报风险对于整个财务报表来说是广泛的那么我们要识别我们认为可能导?#34385;?#22312;错报的账户余额和认定并将由于舞弊而导致的重大错报风险和相关认定联系起来。当由于舞弊而导致的重大错报风险是针对一个特定账户、认定或交易类别?#20445;?#25105;们要确定特定的应对措施并考虑?#25215;问?#30340;总体应对措施。
3.1
收入确认
我们必须将收入确认识别为由于舞弊而导致的重大错报风险。我们评价哪些收入交易会导致由于舞弊而导致的重大错报风险。如果我们不识别有关收入确认的由于舞弊而导致的重大错报风险我们则要记录支?#25351;?#32467;论的理由。
我们假定将识别一个或多个与收入确认有关的由于舞弊而导致的重大错报风险因为虚假财务报告通常来?#26434;?#25910;入的高估例如提早确认收入或记录虚假收入或低估例如不恰当地将收入记录在更晚期间。
四、应对舞弊导致的重大错报风险 
我们应当针对评估的舞弊导致的财务报表层次重大错报风险确定总体应对措施并针对评估的舞弊导致的认定层次重大错报风险设计和实施进一步审计程序。  

舞弊导致的重大错报风险属于特别风险我们应当专门针对该风险实施特别措施。
为应对评估的舞弊导致的重大错报风险我们应当保?#25351;?#24230;的职业怀?#21830;?#24230;包括:
l
对有关重大交易的文件记录进行检查?#20445;?#23545;文件记录的性质和范围的选择保?#32622;?#24863;
l
就管理层对重大事项作出的解释或声明有意识地通过其他信息予以验证。
4.1总体应对措施
我们应当针对评估的舞弊导致的财务报表层次重大错报风险确定?#38109;?#24635;体应对措施:
l
考虑人员的?#23454;?#20998;派和督导
l
考虑被审计单位采用的会计政策以确定会计政策是否以不正当的方式应用。我们要特别评价那些与主观计量和复杂交易相关的政策例如收入确认、资产评估或资?#20928;?#19982;费用化因为这些政策可能意味着由管理层盈余管理导致的虚假财务报告
l
在选择进一步审计程序的性质、时间和范围?#20445;?#24212;?#24330;?#24847;使?#25215;?#31243;序不为被审计单位预见或事先了解。 
4.2
特别措施
我们设计并实施审计程序或修改现有程序的性质、时间和范围使其能够应对所识别的由于舞弊而导致的重大错报风险。

我们对收入执行额外的程序以应对收入确认中推定的由于舞弊而导致的重大错报风险除非我们得出结论认为该推定在此项目中不适用。
我们在认定层面应对所评估的由于舞弊而导致的重大错报风险的措施可能包括用以下方式改变审计程序的性质、时间和范围
l
所要实施的审计程序的性质可能改变以获取更可靠的相关审计证据或获取额外的佐证信息。这可能影响所要执行的审计程序类型?#32422;?#20182;们的组合方式
l
我们可以设计程序以获取额外的佐证信息
l
实质性程序的时间可能被修改

l
程序应用的范围反映了所识别的由于舞弊而导致的重大错报风险。

五、应对管理层凌驾于控制之上的措施
即使我们没有识别由于舞弊而导致的重大错报风险我们也要认识到管理层凌驾于控制之上?#30446;?#33021;?#28020;?br>我们实施特定的程序来应对管理层凌驾于控制之上的风险。这些程序包括
l
测?#32422;?#36134;分录的恰当性?#32422;?#22312;编制财务报表时所做的其他调整

l
审核会计估计是否存在管理层偏好
l
评价重大异常交易的商业合理?#28020;?br>六、应对与关联方有关的由于舞弊而导致的重大错报风险的措施
当我们识别了因为存在具有重大影响的关联方而产生的由于舞弊而导致的重大错报风险我们要了解关联方与企业建立的直接或间接的业务关系?#32422;?#36827;一步实质性程序的必要?#28020;?br>我们执行与具有重大影响的关联方交易有关的程序以补充我们为了应对由于舞弊而导致的重大错报风险的总体程序、特别措施?#32422;?#24212;对管理层凌驾于控制之上的程序。
一些我们可能执行的与具有重大影响的关联方相关的交易包括
l
询问管理层和治理层

l
询问关联方

l
检查与关联方之间的重大合同。

七、对审计其他方面的影响
在设计我们的程序?#20445;?#25105;们意识到所识别的由于舞弊而导致的重大错报风险可能对审计的其他方面具有影响。我们特别需要确定有关承接/续接项目方面的由于舞弊而导致的重大错报风险的影响。我们要确定如果我们原先意识到由于舞弊而导致的重大错报风险的话其是否会导致我们拒绝该项目。

另外当我们识别了有关预防和检查舞弊的控制包括应对管理层凌驾于控制之上的风险的控制缺陷?#20445;?#25105;们要确定这些缺陷可能对控制环境?#32422;?#26368;终审计结果的影响。
当我们识别了任何与舞?#33258;?#38450;或检查相关的内部控制的重大缺陷?#20445;?#25105;们须将这些内部控制的重大缺陷汇报给治理层?#23454;笔被?#25253;给管理层有关更多要求和指引参见^第十八章
评价内部控制缺陷?#20445;?#31532;七章
确定重要性水平
与财务报表审计相同在计划内部控制审计工作?#20445;?#25105;们同样应?#27604;?#23450;重要性水平以识别重大账户、列报及其相关认定、重大业务流程并根据所识别的控制缺陷对财务报表的影响程度对缺陷进行评价。
整体重要性水平
财务报表层面的总体重要性水平。
特定类别的交易、账户余额或披露的重要性水平存在一个或多个特定类别的交易、账户余额或披露其发生的错报金额虽然低于财务报表整体的重要性但合理预期将影响财务报表使用者依据财务报表作出的经济决策。
?#23548;手?#34892;的重要性水平即可容忍误差是注册会计师确定的低于财务报表整体的重要性的一个或多个金额旨在将未更正和未发现错报的汇总数超过财务报表整体的重要性?#30446;?#33021;性降至?#23454;?#30340;低水平。
确定整体重要性水平、账户余额或披露的重要性水平和?#23548;手?#34892;重要性水平需要运用错误超链接引用无效。因而项目管理者包括错误超链接引用无效。的参与是必要的。
一、了解确定整体重要性水平需做?#30446;?#34385;
整体重要性水平反映了我们对那些对于错误超链接引用无效。使用者而言重要性的初步判断?#32422;?#22312;形成我们认为财务报表整体不存在重大错报的审计意见时对我们认为重大的金额的初步估计。整体重要性水平可以确定我们审计程序的整体范围。
尽管影响我们确定整体重要性水平的因素有很多但是主要受?#38109;?#20004;个主要因素驱动
1.1确定整体重要性水平时财务报表使用者的展望与预期
我们基于对企业的了解来确定其预期的财务报表使用者、企业的类型、其所在的行业?#32422;?#19982;其有关的任何特殊的监管报告要求。我们应确定财务报表使用者关注的财务指标和我们认为对其而言重要的错误超链接引用无效。规模。另外由于监管部门是财务报表的使用者我们也应当在确定重要性水平时考虑其可能受到法律法规或其他监管要求的影响并受到立法机构和与相关的公众对信息需求的影响。
例如对于一?#20197;?#19978;海证券交易所上市的企业!!预期财务报表使用者可能包括股东、证券?#27835;?#24072;、证监会、行业部门?#32422;?#25919;府监管部门比如税务局。预期使用者可能还包括债权人比如银?#23567;?#20248;先债权人等一家公共部门实体的企业!!预期财务报表使用者可以包括立法机构和监管机构。
1.2整体重要性水平的恰?#34987;?#20934;
我们应在考虑?#38109;?#22240;素后确定整体重要性水平的恰?#34987;?#20934;
1.2.1是否存在特定会计主体的财务报表使用者特别关注的项目
我们关于整体重要性水平最为恰当的基准的判定受到我们认为可能对财务报表使用者而言重要的因素的影响。例如上市企业财务报表使用者往往关注经营成果。我们应运用职业判断考虑我们对于企业业务、行业?#32422;?#25105;们认为对财务报表使用者而言重要的因素以确定一个恰当的计划重要性水平基础。
1.2.2
被审计单位的性质、所处的生命周期阶?#25105;约?#25152;处行业和经济环境
在确定最恰当的基准?#20445;?#25105;们也应考虑企业业务的性质、企业所处行业和经济环境、企业本期的经营情况?#32422;?#20225;业所有权结构和融资方式。
例如如果该企业的连续多期的经营处于或接近盈亏平衡状态或在盈利和亏损之间浮动在这些情况下我们可能会考虑将收入或毛利或者一些其他的经营指标例如经营收入、息税前利润作为计量基础如果企业仅通过债务而非权益性进行融资财务报表使用者可能更关注资产及资产的索偿权而非企业的收益我们可能会考虑将资产总额作为计量基础如果该企业为小型被审计单位由于所有者以薪酬的?#38382;?#25343;走了大部分的税前利润其经常性业务的税前利润可能一直很低在这种情况下将扣除薪酬和税金之前的利润作为选定的基准可能更加恰?#20445;?#22914;果该企业是公共部门实体总成?#20928;?#20928;成本费用减收入或支出减收入可能是?#23454;?#30340;基准如果公共部门实体保管公共资产则资产可能是?#23454;?#30340;基准。
1.2.3
治理层?#30446;?#27861;和预期
我们也应了解治理层及错误超链接引用无效。?#32422;?#26597;财务报表错报的预期。例如在?#25215;?#24773;况下如果管理层及治理层的预期导致我们必须执行比原先更多更广的程序则我们需提供额外的审计服务。管理层及治理层的预期可能会导致我们?#26723;?#25972;体重要性的原有水平。
我们应避免将错误超链接引用无效。和特殊审计程序透露给管理层以帮助我们执行?#34892;?#30340;审计并保?#21046;?#19981;可预测?#28020;?#23613;管我们可能有必要与治理层讨论整体重要性水平但我们应尽量避免与管理层做有关重要性水平的讨论。
二、了解确定特定类别的交易、账户余额或披露的重要性水平需做?#30446;?#34385;
根据企业的特定情况如果存在一个或多个特定类别的交易、账户余额或披露其发生的错报金额虽然低于财务报表整体的重要性但合理预期可能影响财务报表使用者依据财务报表作出的经济决策我们还应?#27604;?#23450;适用于这些交易、账户余额或披露的一个或多个重要性水平。
在根据企业的特定情况考虑是否存在上述交易、账户余额或披露?#20445;?#25105;们可能还需要了解治理层和管理层?#30446;?#27861;和预期。?
三、了解确定?#23548;手?#34892;重要性水平可容忍误差需做?#30446;?#34385;
?#23548;手?#34892;重要性是将整体重要性用于个别账户或余额。
确定财务报表整体的?#23548;手?#34892;的重要性根据定义可能是一个或多个金额旨在将财务报表中未更正和未发现错报的汇总数超过财务报表整体的重要性?#30446;?#33021;性降至?#23454;?#30340;低水平。
确定?#23548;手?#34892;的重要性并非简单机械的计算需要我们运用职业判断并考虑?#38109;?#22240;素的影响
l
?#21592;?#23457;计单位的了解这些了解在实施风险评估程序的过程中得到更新l
前期审计工作中识别出的错报的性质和范围
l
根据前期识别出的错报?#21592;?#26399;错报作出的预期。
四、确定整体重要性水平
一旦确定了整体错误超链接引用无效。的恰当计量基准后接着就应确定对该计量基准应采用的百分?#21462;?br>?#38109;?#31456;节中描述的计量基准即税前利润、收入、息税前利润、毛利、资产总额和所有者权益是我们用来计算整体重要性水平最为常用的。基于企业的特殊情况?#32422;?#25105;们的错误超链接引用无效。
可能存在其他更为恰当的计量基准。如果使用其他基准我们应当在工作底稿中记录使用的基?#23478;约?#29702;由。
4.1定义整体重要性水平?#27604;?#23450;应用?#23454;?#30334;分比的税前利润
4.1.1
上市企业或重要项目
对于上市的盈利企业我们一般假定财务报表使用者关注经营成果。我们通常认为当错误超链接引用无效。大于税前利润的5%时为重大。
如果我们将上市企业的整体重要性水平设定为高于税前利润的5%?#20445;?#25105;们应能够?#24471;?#20805;分的理由我们仅因认为该上市企业风?#25112;系?#32780;将整体重要性水平设定为高于税前利润的5%是不恰当的。
将整体重要性水平设定为税前利润的5%并不意味着必须将整体重要性水平计算至最精确的货?#19994;?#20301;例如元。合理的四舍五入无论进位还是舍尾不会过分增加总体错误超链接引用无效。。
4.1.2非重要项目
?#27604;?#23450;非重要项目的整体重要性水平?#20445;?#24403;同时满足?#38109;?#26465;件?#20445;?#25105;们可以将重要性水平设定为税前利润的10%范围的上限:
l
该企业是由少数股东持有并密切关注的
l
该企业没有公开发行的债券即在公认的证券交易所或类似机构上市交易或报价

l
该企业不打算在未来的2年至3年内上?#23567;?br>如果上述条件有任何一条不满足我们应使用税前利润的5%10%作为确定计划重要性水平。
计算首次接受委托业务审计的整体重要性水平?#20445;?#25353;?#25112;?#24910;性原则我们应当使用税前利润的5%或比例范围的下限确定其整体重要性水平。
4.2
当税前利润作为计量基准不恰当?#27604;?#23450;应用?#23454;?#30334;分比的计量基础
由于企业性质的特殊性?#25215;?#38750;营利性组织如学校、慈善机构、研发?#34892;?#31561;或?#24459;?#31435;实体运行初期我们认为将税前利润作为整体重要性水平的计量基准是不恰当的则我们需确定税前利润以外的计量基准如营业收入、资产总额等。
如果我们确定税前利润以外的计量基准更为恰?#20445;?#21017;将下述表格中的范围下限作为上市企业或重要项目的起始设定点。当四、1、2中的所有标准都符合?#20445;?#25105;们可以使用范围的上限作为处于非重要项目的起始设定点。
下表中的计量基础和范围不应被视为具有?#26469;?#36873;择的顺序当我们认为税前利润不是恰当的计量基础时不能默认使用收入。我们应运用职业判断以考虑企业的事实和情况和我们认为对财务报表使用者而言重要的因素。?
我们考虑设定整体重要性水平的范围如下
企业性质
计量基础
范围
非营利性组织
费用总额、营业收入或资产总额
费用总额或营业收入的0.5%--1%
资产总额的0.25%-0.5%
以资产为主体的实体如基金
净资产
净资产的1%-5%?#24459;?#31435;实体运营初期
所有者权益、费用总额或资产总额
所有者权益的1%-5%
费用总额或资产总额的0.5%-1%
对重要性的评估需要职业判断。我们在执行具体审计业务?#20445;?#21487;能认为采用比上述百分比更高或更低的比例是?#23454;?#30340;。当根据不同的基准计算出不同的重要性水平?#20445;?#25105;们应当根据?#23548;是?#20917;决定采用何种计算方法更为恰当。
五、确定特定类别的交易、账户余额或披露的重要性水平
我们应当在计算出的整体重要性水平的基础上根据识别出的特定类别的交易、账户余额或披露的结合一定的经验百分比确定特定类别的交易、账户余额或披露的重要性水平。对特定类别的交易、账户余额或披露的重要性水平的评估需要职业判断通常接近财务报表整体重要性的50%-75%是比较恰当的。
六、确定?#23548;手?#34892;的重要性水平
?#23548;手?#34892;的重要性通常为财务报表整体重要性的50%-75%。
l
对于上市企业设定?#23548;手?#34892;重要性水平的起始点是整体重要性水平的50%。当满足?#25215;?#29305;定条件时我们可以选择设定?#23548;手?#34892;重要性水平为整体重要性水平的75%
l
对于处于非重要项目设定?#23548;手?#34892;重要性水平的起始点为整体重要性水平的75%
但如果不满足?#25215;?#29305;定条件该起始点将被降至整体重要性水平的50%。
接近财务报表整体重要性50%的情况

接近财务报表整体重要性75%的情况
?
以前年度审计调整较多

?
项目总体风?#25112;?#39640;(如处于高风险行业经常面临较大市场压力首次承接的审计项目或者需要出具特殊目的报告等

?
以前年度审计调整较少

?
项目总体风?#25112;系唯?#22914;处于低风险行业市场压力较小

七、在审计过程?#34892;?#25913;重要性水平
在审计执行阶段随着审计过程的推进我们应当及时评价计划阶段确定的重要性是否仍然合理并根据具体环境的变化、审计执行过程中进一步获取的信息或通过进一步审计程序?#21592;?#23457;计单位及其经营的了解发生变化修正整体的重要性水平进而修改进一步审计程序的性质、时间和范围。
在?#26723;?#35745;划重要性水平的情况下我们应考虑之前所执行的审计程序是否充分?#32422;?#26159;否需要执行额外的审计程序。
第八章
识别重大账户、重大列报及相关认定
在计划审计阶段我们在了解了公司的业务、公司整体的内部控制、识别企业风险和确定重要性水平之后应识别财务报表层面的重大账户、重大列报和相关认定。
我们通过?#38109;?#20197;识别重大错报风险:
l
识别重大账户或列报
l
确定相关认定
l
更新我们确定的重大账户、重大列报和相关认定。
一、识别重大账户、重大列报及其相关认定
1.1、重大账户或列报
重大账户或列报如果某账户或列报可能存在一个错报该错报单独或连同其他错报将导致财务报表发生重大错报则该账户或列报为重大账户或列报。
在识别重要账户、列报及其相关认定?#20445;?#25105;们应当从定性和定量两个方面作出评价包括考虑舞弊的影响。
1.2、确定重大账户或列报的金额标准
在?#23548;?#25805;作中我们认为余额接近或超过财务报表整体重要性水平的账户通常情况下被认定为重大账户。
余额小于财务报表整体重要性水平的账户如果个别或整体的错报金额接近或大于财务报表整体重要性水平也被认为是重大账户或列报。我们可根据账户或通过账户处理的交易性质或数量对重大错报的敏感度考虑账户是否为重大账户或列报。
我们应注意不能分解一个账户以使其分部小于财务报表整体重要性水平从而得出每个部分及账户本身或列报是不重大的结论。
1.3、确定重大账户或列报的性质考虑
一个账户或列报的金额超过财务报表整体重要性并不必然表明其属于重大账户或列报因为我们还需要考虑定性的因素。同理定性的因素?#37096;?#33021;导致我们将低于财务报表整体重要性的账户或列报认定为重要账户或列报。
1.3.1重大账户或列报的性质确定
从性质上?#25285;?#25105;们可能因为某账户或列报受固有风险或舞弊风险的影响而将其确定为重大账户或列报因为即使该账户或列报从金额上看并不重大这些固有风险或舞弊风险很有可能导致重大错报该错报单独或连同其他错报将导致财务报表发生重大错报。对于其他账户而言由于财务报表使用者的预期?#37096;?#33021;从性质上来看是重要的。例如某负债类账户很可能被低估则该负债类账户应被确定为重大账户。
1.3.2考虑已识别的固有风险
在决定账户是否重大?#20445;?#25105;们除了考虑账户的金额大小外还应考虑其固有风险因素。我们应确定这些固有风险会如何影响财务报表的不同账户和披露包括
l
如果我们已识别到与某个账户相关的特别风险则表明该账户是重大账户或列报

l
如果我们确定该账户受高度估计不确定性的会计估计影响则表明该账户是重大账户或列报。
例如或有负债账户余额小于财务报表整体重要性水平但在设立该负债时很大程度上运用主观判断因素。在这种情况下我们将其确定为不重大是不恰当的。关联方往来账户可能没有达到确定为重大的金额起点。如果企业的经营分散具?#34892;?#22810;包含重大活动的关联方往来账户并且经验不足的人员参与了这些账户的调节则可能引起特定舞弊或错报风险。在这些情况下尤其在关联方往来账户与其他账户受不同的控制和管理层监督级别的约束?#20445;?#21363;使账户余额小于财务报表整体重要性水平我们?#37096;?#33021;将这些账户视为重大账户。

1.3.3评价财务报表项目及附注的错报风险因素
为识别重大账户、列报及其相关认定我们应当从?#38109;?#26041;面评价财务报表项目及附注的错报风险因素
l
账户的规模和构成
l
易于发生错报的程度
l
账户或列报中反映的交易的业务量、复杂?#32422;?#21516;质性
l
账户或列报的性质
l
与账户或列报相关的会计处理及报告的复杂程度
l
账户中反映的交易或余额遭受损失的风险
l
账户或列报中反映的活动引起重大或有负债?#30446;?#33021;性
l
账户记录中是否涉及关联方交易
l
账户或列报的特征与前期相比发生的变化。
1.4有关账户的其他考虑
我们在确定重大账户?#34987;?#24212;考虑财务报告使用者的预期。如果财务报告使用者非常重视?#25215;?#36134;户即使小于财务报表整体重要性水平的错报金额?#37096;?#33021;在某种程度上影响其决策则这些账户应确定为重大账户。此外若某一账户和其相对应的备抵账户例如资产及其相关减?#24213;?#22791;的固有风险不同、涉及的业务流程不同我们通常将它们单独确定为重大账户。
如果一个重大账户对应了多个单独的业务流程我们应考虑根据不同的风?#25112;?#37325;大账户进行分解然后分别确定各个重大账户。
以前年度审计中了解到的情况影响我们对固有风险的评估因而应当在确定重要账户、列报及其认定时加以考虑。以前年度审计中识别的错报会影响我们对某账户、列报及其认定固有风险的评估。
二、
确定相关认定
在识别重大账户或列报后我们应确定那些与重大账户或列报相关的财务报表认定。并非所有认定对重大账户而言都是相关的。相关认定如果某财务报表认定可能存在一个或多个错报这个或这些错报将导致财务报表发生重大错报则该认定为相关认定。
某认定是否为相关认定因被审计单位和账户而异。例如实体只有以当地货币计价的现金交易那么现金的计价认定就是不相关的。

我们无需识别非重大账户的相关认定。
2.1利润表科目的重要账户的相关认定
对于利润表科目的重大账户例如收入和费用账户我们应考虑?#38109;?#35748;定是否相关
l
发生纪录的交易或事项已发生、且与被审计单位有关
l
完整性所有应当纪录的交易和事项均已纪录
l
准确性与交易和事项有关的金额及其数据已恰当纪录
l
截止交易和事项已纪录于正确的会计期间
l
分类交易和事项已纪录于恰当的账户。
2.2
资产负债表重要账户的相关认定
关于资产负债表的重要账户我们应考虑?#38109;?#35748;定是否相关
l
存在纪录的资产、负债、所有者权益是存在的
l
权利和义务纪录的资产由被审计单位拥有或控制纪录的负债是被审计单位应但履行的偿还义务
l
完整性所有应当纪录的资产、负债和所有者权益均已纪录
l
计价和分摊资产、负债和所有者权益以恰当的金额包括在财务报表中与之相关的计价或分摊调整已恰当纪录。
2.3
与列报和披露相关的认定
对列报和披?#23545;?#29992;的认定通常?#27835;铝?#31867;别
l
发生?#32422;?#26435;利和义务披露的交易、事项和其他情况已发生且与被审计单位有关
l
完整性所有应当包括在财务报表中的披露均已包括
l
分类和可理解性财务信息已被恰当地列报和描述且披露内容表述清楚
l
准确性和计价财务信息和其他信息已公允披露且金额恰当。
三、
更新我们确定的重大账户或列报及相关认定
我们应在整个审计过程中不断对确定的重大账户或列报及相关认定提出质疑由此来应对企业环境的变化和我们执行审计程序之后所获得的新信息。我们应对如?#24405;?#35937;保持警觉
l
原先认为非重大的账户或列报而其?#23548;?#19978;是重大的

l
原先认为重大账户或列报而其?#23548;?#19978;是非重大的
l
原先认为不相关的认定而其?#23548;?#19978;是相关的或反之亦然。
第九章
识别重大业务流程和重大列报流程
企业的业务流程包括生成、记录、处理和报告。重大业务流程是指对某一重大账户和列报及其相关认定产生重大影响的业务流程包括发生、记录、处理、必要时的纠正?#32422;?#22312;财务报告中进行报告的重大常规、非常规和估计交易。重大列报流程是指归集、记录、处理和总结并在财务报表中?#23454;?#25253;告那些按照适用的报告框架需要列报的交易、事项或情况的流程。我们需要识别影响每个重大账户和重大列报、与认定相关的重大业务流程和重大列报流程?#32422;?#30456;关的信息系统。
一、
识别业务流程
我们从一系列导?#30053;?#37325;大账户中记录金额?#32422;?#20026;公司创建权利与义务的交易开始。我们把每个系列的交易称作一个业务流程。
我们把以类?#21697;?#24335;处理并具有相同或类似重大错报风险的业务定义为相同的业务流程。
当发生以?#34385;?#20917;?#20445;?#25105;们将识别另一个单独的业务流程
l
其会计影响与其它交易明显不同例如现金销售和赊销

l
其处理方式和其它业务流程明显不同从而可能导致不同的固有风险和或控制风险例如标准产品的销售和特殊订单产品的销售。

我们通过以下方式识别另一个单独的业务流程
l
我们对公司的了解和经验

l
询问恰当的人员必要时辅以观察和审阅管理层所提供的文件

l
我们?#32422;?#36134;分录的?#27835;?#22312;获得会计分录的数据文件的情况下我们可以通过重大账户?#27835;?#20250;计分录来识别单独的业务流程
l
我们对IT应用程序的确定。在更加复杂的IT环境例如企业资源计划ERP系统中利用IT专?#19994;?#30693;识可能会有助于识别并了解单独的业务流程。

当我们识别影响同一个重大账户的单独的业务流程?#20445;?#25105;们考虑是否能够将重要账户分拆成单独的重大账户以使这些组成账户能够对应不同的风险。
业务流程的种类有
l
常规例如账簿中记录的频?#26412;?#24120;性的财务数据?#32422;?#29992;来管理公司业务的非财务数据或记录
l
非常规例如其它非经常性发生的交易
l
估计例如涉及管理层大量判断、决策和选择的交易。
1.1常规的业务流程
常规的业务流程指经常发生的、常规的或标准的交易。处理这些交易的流程系统化且不太可能引起特别风险。例如一?#31227;?#19994;大量销售低价商品。我们认为该企业的销售收入的业务流程是标准化的收入确认也不复杂所以这个业务流程是常规的业务流程。
1.2非常规的业务流程
非常规的业务流程指金额或性质不寻常且不经常发生的交易这些交易涉及的数据通常不是源于常规的业务流程。例如非常规的业务流程包括
l
待摊费用的摊销
l
所得税的计算
l
折旧费用的计算。
1.3估计的业务流程
估计的业务流程是指因计量有重大的不确定性而需要做出会计估计的交易。这些交易反映了管理层的判断、决策和选择。例如估计的重大业务流程包括
l
为诉讼和索赔计提或有负债l
为质量保证费计提或有负债

l
为?#20889;卫?#32972;的存货计提存货跌价准备。

二、
确定重大流程
2.1
确定重大业务流程
如果一个业务流程由于其复杂?#28020;?#19994;务量或其他固有风险因素可能导致重大错报或受特别风险影响而对重大账户及其相关认定有重要影响我们则确定此业务流程是重大的即重大业务流程。
当发生以?#34385;?#20917;?#20445;?#19968;个业务流程会对重大账户产生重要影响
l
受重大风险影响

l
可能由于性质原因导致重大错报例如交易的复杂?#28020;?#20132;易量或其它固有风险因素。

例如一个公司通过数个渠道如商场、网络、?#32422;使海?#20986;售其产品。与每个销售渠道相关的交易的处理都因他们独特的性?#35782;?#19981;同例如商场销售与?#20351;?网络销售在发生、记录、处理、必要时的纠正和报告方面都不同。因此我们把每个销售渠道都作为一个不同的业务流程。这些不同的交易类型可能有不同的固有风险和或控制风险。如果公司的网络销售只占总销售的5%因为它们的性质每笔交易的单个金额?#31995;唯?#21644;总量只占总销售的5%不太可能使财务报表产生重大错报。因此我们决定不把此类销售认定为重大业务流程。但是如果公司最近开始通过网络进行销售重大错报风险可能由于该新过程的潜在风险而更高。在这种情况下尽管交易的总金额和总量很低我们?#37096;?#20197;将其认定为重大业务流程。
2.2对重大估计业务流程?#30446;?#34385;
在识别重大估计业务流程?#20445;?#24212;考虑以下因素
l
是否影响重大账户
l
是否涉及大量判断。估计业务流程的主观性越大该估计不精确?#30446;?#33021;性就越大例如应收账款坏账准备

l
该交易很复杂并且可能需要利用被审计单位中更有经验人员或外部专?#19994;?#24037;作例如环境责任准备金估计
l
根据对该公司的以往经验该交易可能需要调整。

2.3重大列报流程
由于列报程序通常是在执行财务报告流程时同时进行的我们通常在财务报告流程中识别和记录重大列报流程。财务报告流程将记?#35745;?#19994;会计记录中反映的业务转换为会计报表和相关列报通常作为一个单独的重大业务流程。由于财务报告流程对业务层面的很多流程?#21363;?#22312;联系和影响因此我们应在评估企业层面控制时同时考虑这一流程。有关财务报告流程的更多指引请参见^第十六章
了解和评价财务报告流程 ̄。
三、识别相关信息系统
除了识别重大业务流程和重大列报流程外我们还需要识别相关的信息系统并确定信息系统审计的范围和程?#21462;?br>相关的信息系统是指支持重大业务流程的生成、记录、处理和报告的任?#20301;方?#30340;信息系统。
我们需要评估并记录每个支持重大业务流程的信息系统的关联程度并且针对这些信息系统识别以下信息
l
信息系统的?#38469;?#26500;成
l
信息系统一般控制
l
应用系统控制。
关于信息系统控制?#30446;?#34385;请参见^第十七章
了解、穿行测?#28020;?#27979;试和评估IT一般控制 ̄。
第十章
关于集团审计的特殊考虑
针对具有多个组成部分的企业我们在计划审计工作阶段较单体企业而言除了需要了解整个集团及其环境、集团的内部控制以外在以下方面应当有更多?#30446;?#34385;确定重要性水平?#32422;?#21487;容忍误差识别重大账户、重大列报?#32422;?#30456;关认定确定重要组成部分?#29615;?#21035;确定各组成部分的审计策略关注企业管控风格的影响。本章将就这些方面提供相关指引。
一、了解集团及其环境、集团组成部分及其环境
在执行集团内部控制审计业务?#20445;?#25105;们应采用自上而下的审计方法合理运用职业判断了解集团及其环境、集团组成部分及其环境。我们应考虑对于集团及其经营环境、集团组成部分及其经营环境我们是否获取了足够的了解以支持我们所评估的集团整体财务报表及认定层面的重大错报风险包括舞弊及错误并为我们设计、执行审计程序应对重大错报风险提供基础。
我们应当从?#38109;?#26041;面了解集团及其环境、集团组成部分及其环境以识别企业整体层面的经营风险
l
集团及其组成部分行业状况和法律监管环境等外部因素
l
集团及其组成部分的性质、主要从事经营活动、所有权和组织结?#27807;x?br>l
集团及其组成部分运用的会计政策
l
集团及其组成部分的目标、战略?#32422;?#21487;能导致重大错报风险的相关经营风险
l
集团及其组成部分的财务业绩衡量和评价指标
l
集团管理层下达的指令如财务报告程序手册、报告文件等。集团管理层下达的指令通常包括
l
运用的会计政策
l
适用于集团财务报表的法定和其他披露要求包括分部的确定和报告、关联方关?#23548;?#20854;交易、集团内部交易、未实现内部交易损益?#32422;?#38598;团内部往来余额
l
报告的时间要求。
了解集团及其环境、集团组成部分及其环境的过程及方法类似于了解单体企业及其环境的过程及方法具体内容请参考^第三章
了解被审计单位及其环境 ̄。
二、了解集团及其组成部分的内部控制
集团及其组成部分的内部控制包括集团整体层面内部控制、各组成部?#21046;?#19994;层面内部控制和各组成部分业务流程、应用系统或交易层面的内部控制。对各组成部分内部控制的了解的指引请参考
^第五章
了解企业整体的内部控制 ̄、^第六章
识别舞弊风险并确定应对措施 ̄及第^十三章
了解重大业务流程和重大列报流程 ̄。
我们了解集团整体层面内部控制是因为它?#32422;?#22242;内部控制审计的重要性?#32422;?#22312;以下方面帮助我们:
l
确定和评估集团整体财务报表中重大错报。集团整体控制的不足如:
集团管理层缺乏控制意识或者集团管理层缺乏控制能力可能影响重大错报的风险和审计策略

l
持有?#23454;?#30340;职业的怀?#21830;?#24230;l
确定总体审计策?#28020;?br>
我们?#32422;?#22242;整体层面内部控制的了解?#37096;?#20197;直接影响:
l
集团及其组成部分重要性水平?#32422;?#21487;容忍误差
l
集团重要组成部分l
集团及其组成部分重大账户、重大列报?#32422;?#30456;关认定

l
各组成部分内部控制审计策?#28020;?br>我们?#32422;?#22242;整体层面内部控制的了解包括了解集团控制环境、集团风险评估过程、集团控制监督、集团管理层专为解决由舞弊导致的重大错报风险设计的程序和控制包括应对董事会、管理层凌驾于控制之上的风险而设计的控制。了解集团整体层面内部控制的方法类似于了解单体企业层面内部控制具体指引请参考^第五章
了解企业整体的内部控制 ̄、^第六章
识别舞弊风险并确定应对措施 ̄。
三、集团管控风格的影响
集团对各组成部分的控制风格将影响我们的审计策略和所采用的审计程序。集团对组成部?#36136;?#26045;控制时呈现不同的风格主要涉及以下三个方面
l
集团整体层面控制的力?#21462;?#24403;集团对各组成部分具有很强的控制力?#20445;?#20225;业就可能会存在类似的控制环境。例如使用相同的信息系统、人员由企业主体同意培训并具有类似的专业技能水平、文化氛围相同、控制设计和运行的理念类似?#21462;?#22312;这种情况下我们更容易识别集团存在的风险集中地了解集团整体层面控制
l
企业合并报表流程中相关控制的?#34892;浴?#21512;并报表流程中相关控制的?#34892;?#24615;体现在
l
企业各组成部分采纳一致的会计政策遵循提供详细指引的财务核算手册以统一会计处理尤其是涉及较多判断的会计估计
l
要求各组成部分按时、按质完成单体的合并资?#24076;?br>l
设置专职的合并报表人员对这些资料进行审核并确认所含信息的真实性和完整性
l
对关联交易进行专项审核关注关联方之间的往来?#32422;?#20132;易是否核对相符、关联交易定价是否公?#23454;x?br>l
合并报表人员具有一定的专业知识掌握合并报表的?#35760;稗?#20855;备专业胜?#25991;?#21147;。
l
集团对下属各组成部分的了解程?#21462;?#22914;果集团对各组成部分非常了解那么在集团整体层面就能较为容易地识别存在的特别风险。
综上所述集团的管控风格将会在一定程度上影响我们的工作包括确定各组成部分的审计策?#28020;?#30830;定各组成部分可容忍误差、选择拟测试的控制、确定样本总量?#32422;?#27979;试样本量等很多方面。
四、确定重要性水平?#32422;?#21487;容忍误差
对于集团的内部控制审计我们确定的重要性水平的方法与确定单体的方法一致但所采用的数据基础应来源于包含各组成部分的合并财务报表。我们根据该集团层面重要性水平运用职业判断确定相应的集团层面可容忍误差并根据集团整体可容忍误差的一定比例计算各组成部?#20540;目?#23481;忍误差。
我们应当按照以下步骤确定重要性
4.1确定集团整体财务报表重要性
具体指引见^第七章
确定重要性水平 ̄。
4.2
确定集团?#23548;手?#34892;的重要性可容忍误差
具体指引见^第七章
确定重要性水平 ̄。
集团整体可容忍误差亦用于确定组成部?#20540;目?#23481;忍误差。
4.3确定组成部分可容忍误差
作为集团审计的一部分集团项目组应?#27604;?#23450;组成部分可容忍误差。集团项目组综合考虑各组成部分所占集团的比例?#32422;?#32463;营风险初步评估结果运用职业判断确定其?#23454;^目?#23481;忍误差通常为集团可容忍误差的某一百分比计算确定。组成部?#20540;目?#23481;忍误差应当低于集团可容忍误差但不同组成部分确定?#30446;?#23481;忍误差的汇总数有可能高于集团可容忍误差。
组成部分可容忍误差的基准和比例参照下表执行
组成部分可容忍误差的确定
单个组成部分
经营风险注2
占集团可容忍误差
占集团比例注1
的比例
100%

100%
゛?#23567;?br>60%

75%
60%

75%
゛?#23567;?br>30%

55%
30%

55%
゛?#23567;?br>20%

45%
20%

45%
゛?#23567;?br>10%

30%
10%

30%
゛?#23567;?br>5%

20%
5%或以下20%或以下注1在计算各组成部分占集团比例?#20445;?#38598;团项目组通常应采用与确定集团财务报表整体重要性水平相同的计量基准如税前利润、资产总额或营业收入?#21462;?#24403;使用集团层面整体重要性水平相同的计量基准不恰当?#20445;?#22914;确定集团层面整体重要性水平的计量基准是税前利润但重要子公司本年亏损集团项目组可使用其他?#23454;?#30340;计量基准如资产总额或营业收入评估该组成部分占集团的比例但应在工作底稿中注明选择其他基准的理由。
注2运用职业判断对经营风险的初步判断应当考虑?#38109;?#22240;素的影响
l
前期审计发现的错报金额?#32422;?#26412;期预期的重大错报
l
单个组成部分所属行业的特定事项
l
识别出的单个组成部?#20540;目?#33021;导?#24405;?#22242;财务报表发生重大错报的特别风险
l
单个组成部分过去存在的非常规的复杂的交易
l
单个组成部分经营范围、重要流程、信息系统或内部控制方面发生重大变化
l
集团管理层对单个组成部分的管控程度?#31995;唯?#22914;处于边远地区的子公司。
五、确定重要组成部分
我们应当分别根据单个组成部分的规模?#32422;?#29305;定性质或情况确定重要组成部分。
5.1根据规模确定
我们应当将单个组成部分占集团比例15%作为识别其为重要组成部分的判断依据但?#25215;?#29305;殊情况除外例如頃某集团由三个组成部分组成两个较大规模的组成部分A和B合计占集团税前利润的80%组成部分C其利润总额占税前利润的20%。我们可不将组成部分C确认为重要组成部分。某个集团由14个组成部分组成组成部分A占集团比例
12%其余组成部分占集团比例为2%゛9%。在此情形下组成部分A占集团比例虽然低于15%但我们仍将其确认为重要组成部分。因此在?#25215;?#24773;况下组成部分虽然占比小于15%仍可能被确认为重要组成部分。
5.2根据特定性质或情况确定
根据各组成部分?#32422;?#22242;的规模确认重要组成部分后对于组成部分占比在5%-15%之间的我们?#26434;?#24403;根据特定性质或情况运用职业判断考虑以下因素确定是否将其确认为重要组成部分
l
单个组成部分的某个账户余额大于集团合并层面?#30446;?#23481;忍误差可能导?#24405;?#22242;财务报表重大错报
l
单个组成部分存在可能导?#24405;?#22242;财务报表发生重大错报的特别风险。如某组成部分进行外汇交易虽然其?#32422;?#22242;不具有财务重大性但可能存在导?#24405;?#22242;财务报表发生重大错报的特别风险我们将该组成部分识别为重要组成部分对该组成部分内部控制执行的工作可能仅限于受外汇交易影响的账户、交易和披露的流程
l
单个组成部分在以前审计期间曾发现存在重大的内部控制缺陷或错报
l
单个组成部分的主营业务较为特殊是企业中独特的业务
l
单个组成部分在以前年度存在非正常或复杂的交易
l
单个组成部分的会计处理需要大量职业判断或会计估计
l
单个组成部分经营范围、重要流程、信息系统或内部控制方面发生重大变化
l
集团管理层认为单个组成部分可能存在重大错报风险。
5.3
不重要组成部分
占集团比例5%以下或占集团比例5%-15%但未识别出任何特定性质或情况的组成部?#27835;?#19981;重要的组成部分。
六、识别重大账户、重大列报及其相关认定
集团财务报表整体重要性水平、可容忍误差确定后我们按照与审计单体企业相同的方法识别集团层面重大账户、重大列报及其相关认定。
我们还需识别重要组成部分的重大账户、重大列报及其相关认定。我们按以下方法识别重要组成部分的重大账户、重大列报及其相关认定
l
集团层面识别为重大账户、重大列报及其相关认定的且该账户金额超过该组成部?#20540;目?#23481;忍误差的我们将该账户识别为该组成部分的重大账户、重大列报及其相关认定
l
集团层面未识别为重大账户、重大列报及其相关认定原则上不识别为组成部分的重大账户、重大列报及其相关认定
l
集团层面识别为重大账户、重大列报及其相关认定但该科目金额不超过该组成部分可容忍误差的原则上不识别为该组成部分的重大账户、重大列报及其相关认定。
七、组成部分内部控制审计策略
在财务报告内部控制审计中我们采用与财务报表审计相同的组成部分审计策略即全面审计、审计与特别风险相关的账户余额、交易和披露和集团层面?#27835;?#31243;序。以下为针对三种审计策略分别应当执行的工作
l
全面审计我们执行的程序、取得的审计证据与单体企业的内部控制审计类似。我们应当测试该组成部?#21046;?#19994;层面控制测试与重大账户、重大列报及其相关认定的业务流程、应用系统或交易层面的控制的?#34892;?#24615;
l
审计与特别风险相关的账户余额、交易和披露我们测试该组成部?#21046;?#19994;层面控制?#32422;?#38024;对存在特别风险账户余额、交易和披露执行控制测试
l
集团层面的?#27835;?#31243;序如果我们通过?#32422;牌?#19994;层面执行控制测试获取充?#36136;实?#30340;审计证据则无需对该组成部分单独执行控制测?#28020;?br>八、设定组成部分审计策略的标准
对于按照规模确定的重要组成部分我们应当运用该重要组成部?#20540;目?#23481;忍误差对其内部控制的?#34892;?#24615;执行全面审计。进行全面审计的组成部分合计占集团的比例应至少达到50%。
对由于其特定性质或情况可能存在导?#24405;?#22242;财务报表发生重大错报的特别风险的重要组成部分我们采用审计与特别风险相关的账户余额、交易和披露的审计策略测试该组成部?#21046;?#19994;层面控制?#32422;?#20165;针对特别风险的控制。
对于不重要的组成部分我们仅需在集团层面实施?#27835;?#31243;序不对其单独执行控制测?#28020;?br>在确定各组成部分的审计策略后我们还需要运用职业判断确定这些组成部?#36136;?#20505;已经能合理地保证识别集团层面上的重大错报。如果不能获得合理保证那我们还应考虑将更多组成部分纳入审计范围执行更多审计程序。
第十一章
了解企业内部控制自?#31227;?#20215;过程?#32422;?#21033;用他人的工作
通过了解企业对财务报表内部控制?#34892;?#24615;进行自?#31227;?#20215;的方法我们可以更好地了解客户的业务进行风险评估并识别有关的活动以决定我们是否可以利用他人的工作?#32422;?#25152;利用他人的工作的范围从而使我们能够在整合审计中更好地制定审计策略对内部控制出具报告。
一、了解企业内部控制自?#31227;?#20215;过程
企业内部控制自?#31227;?#20215;的性质和质量会直接影响我们在整合审计?#34892;?#35201;执行测试的工作量。
企业应当根据ゞ企业内部控制基本规范〃、应用指引?#32422;?#20225;业的内部控制制度围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素确定内部控制评价的具体内容对内部控制设计与运行情况进行全面评价。
企业内部控制自?#31227;?#20215;应该包括以?#30053;?#21017;
l
企业应当评价其已施行的控制设计来确定是否存在合理?#30446;?#33021;性不能够及时防止或者发现财务报表的重大错报

l
企业应?#34987;?#20110;对这些控制的风险评估来集中和?#27835;?#26377;关被评价控制的运行情况的证据。

在了解企业内部控制自?#31227;?#20215;?#20445;?#25105;们考虑以下定性因素
l
企业是否承担了自?#31227;?#20215;的责任并且分配了恰当和充足的资源

l
企业是否采用了?#23454;?#30340;内部控制标准例如ゞ企业内部控制基本规范?#32602;?#24182;且明确并落实了该标?#21450;?#21547;的内部控制所有要素

l
企业内部控制自?#31227;?#20272;部门是否计划实施并恰当地记录了充足的程序?#28304;?#26469;评价财务报告内部控制设计和运行的?#34892;?#24615;

l
企业是否确立了一个恰当的流程来汇总和评价控制缺陷并就发?#36136;?#39033;进行沟通

了解企业如何组织并?#31227;?#20215;其财务报告内部控制需要具有经验的审计人员通常是经理和合伙人与企业负责计划、实施和执行财务报告内部控制评价工作的管理人员之间进行充分沟通。
二、利用他人的工作
如果我们计划利用内部审计人员、企业职员内部审计人员除外和经理层或董事会领导下的第三方的工作或接受其直?#26377;?#21161;而这些工作和协助所提供的证据改变了我们控制测试的性质、时间和范围那么我们应
1、
评价执行工作的人员的专业胜?#25991;?#21147;和客观性
2、
确定利用他人工作的范围
3、
测试部分由他人执行的工作以评价其工作的质?#32771;?#25928;果。
2.1、对专业胜?#25991;?#21147;和客观性?#30446;?#34385;
2.1.1专业胜?#25991;?#21147;和客观性对可利用他人工作程度的影响
我们依赖他人工作的程度取决于执行工作人员的专业胜?#25991;?#21147;和客观?#28020;?#22270;1!1演示了他人的角色和我们可能从其工作中获取的审计证据的关系。如果被审计单位人员对执行内部控制负责或对所测试信息的完整性和准确性负责我们不应利用这些人员执行的测试工作因为其不具有足够?#30446;?#35266;?#28020;?#30456;反如果执行测试的人员不对控制的执行或测试信息的完整性和准确性负责则我们可以考虑利用其工作。
被审计单位内部负责监督、稽核或合规工作的人员如内部审计人员通常拥有较高的专业胜?#25991;?#21147;和客观?#28020;?#25105;们可以考虑更多地利用这些人员的相关工作。此外向我们提供直?#24433;?#21161;的人员其工作也比支持管理层测试工作的人员更有利用价值。
在整合审计的内部控制测试中我们不应利用负有会计和财务报表编制职责人员的工作包括负有执行和监督企业财务报告内部控制的特别职责的人员(如首席财务官、公司主管或其他管理层成员)的工作。
表1!1为我们根据他人的专业胜?#25991;?#21147;和客观性评价可利用其工作的程度提供指引。
表1!1

他人工作可利用程度评价表表1!1将所要利用其工作的人员的专业胜?#25991;?#21147;和客观性的评价由高到低分别划?#27835;?#39640;、?#23567;?#20302;三个档次。评估结果和利用该人员的工作程度的关系如下
l
拟利用其工作的人员的专业胜?#25991;?#21147;和客观性?#35282;殖?#25105;们就能越多地利用其工作
l
无论人员的专业胜?#25991;?#21147;如何我们都不应当利用客观程度?#31995;?#30340;人员的工作同样无论人员?#30446;?#35266;程度如何我们都不应当利用专业胜?#25991;?#21147;?#31995;?#30340;人员的工作。
2.2对利用内部审计人员工作的特殊考虑
2.2.1评价内部审计人员的专业胜?#25991;?#21147;
在评价内部审计人员的专业胜?#25991;?#21147;?#20445;?#25105;们不仅要考虑其是否具备职业资格还要评价其工作。在计划审计工作阶段我们需要对内部审计人员的专业胜?#25991;?#21147;进行初步评估评估时可以考虑?#38109;?#22240;素
l
被审计单位雇佣、晋升?#32422;?#36873;派内部审计人员的标准和程序
l
内部审计人员的职业资格(包括专业证书)、教育水平和与其职责相关的专业经验
l
内部审计人员接受培训的深度和广度包括参加正式课程和研讨会的?#24503;福?#22312;职培训的性质和相关工作领域的?#23548;?#32463;验
l
是否存在衡量内部审计人员工作表现的标准被审计单位对内部审计人员工作表现?#30446;?#26680;评价
l
内部审计的计划及程序包括内部审计人员对重要事项的关注、对以前年度审计结果?#30446;?#34385;?#32422;?#22312;内部审计人员的检查下被审计单位经营和发展情况
l
被审计单位对内部审计进行监督的人员对内部审计人员的监督和检查的程度和?#23454;?#24615;包括监督人员对审计计划和程序、工作进度监控?#32422;?#20869;部审计工作结果和报告审阅的参与程度
l
内部审计人员工作底稿的完整性和质量包括支持工作结论的文档的完整?#32422;?#36136;量?#32422;?#26159;否出具工作报告或整改建议。
我们可以通过向管理层和内部审计人员询问、利用以前与内部审计人员的接触和共同工作的体会、审阅员工档案、审阅内部审计人员工作底稿和报告的充分性和?#38469;?#26041;面的准确?#28020;?#19982;其探讨审计方法和问题?#32422;?#26816;查内部审计人员的建议是否被采纳?#30830;?#24335;获得对内部审计人员的专业胜?#25991;?#21147;的评价。
2.2.2评价内部审计人员?#30446;?#35266;性
我们一般应在审计计划阶段考虑或更新对内部审计人员客观性的评价评价时可?#28304;?#20197;下方面来考虑
l
内部审计人员直接汇报对象的级别?#32422;?#27492;人是否独立于被审计的活动
l
内部审计人员直接汇报对象是否具备足够高的地位?#21592;?#35777;内部审计覆盖足够的审计范围并且能够对内部审计人员发现的问题和建议给予充?#20540;目?#34385;和实施
l
内部审计人虽能够接近最高管理层和董事会的程度被审计单位高级管理人员和董事会对内部审计活动的参与程度董事会或审计委虽会对内部审计人员的雇佣决定的影响程度
l
内部审计人员审核被审计单位运营的权力?#32422;?#35813;权力履行的程度
l
内部审计人员相?#21592;?#23457;计单位经营活动而言的独立性(如果内部审计人员在运营方面作出决定或处理之后将要进行审计内部审计人员的判断将不够客观)
l
内部审计人员对测试对象保持客观性的政策规定
l
防止内部审计人员对与?#32422;?#26377;关联关系的人员担任的重要或对内部控制敏感的职位进行审计或执行控制测试的政策规定
l
防止内部审计人员对其近期所从事或将要被指派由其负责内部控制领域进行审计的政策规定
l
内部审计人员报告所有重大审计发现并作出?#23454;?#30340;整改方案的能力。
虽然内部审计人员不能独立于被审计单位但是他们仍然可能公正、客观地履行他们的职责。决定内部审计人员客观性的一个重要因素是他们能否独立于被审计单位行使其职能。此外内部审计人员?#30446;?#35266;性?#37096;?#33021;受到与被审计对象私人关系的影响我们需要予以警惕。
2.3利用内部审计人员的工作成果
无论是否计划利用内部审计人员的工作成果我们都应当在计划审计工作时查阅内部审计发现的问题以
l
识别内部控制的重大变化
l
提供特定控制整改或弱化的证据
l
识别新的交易
l
提供信息以验证我们对企业内部控制的评估包括对内部审计职能本身的评估。
审阅内部审计所发现问题还可协助我们判断内部审计人员的工作是否与我们拟执行的内部控制审计相关从而帮助我们决定是否利用内部审计人员的工作成果。
表1!2举例?#24471;?#20102;在什么情况下我们可以利用内部审计人员的工作或接受他们的直?#26377;?#21161;。总体而言内部审计人员工作?#30446;?#35266;性越高我们就越有可能利用内部审计人员的工作或接受内部审计人员的直?#26377;?#21161;。
表1!2在审计的不同方面是否能够利用内部审计人员的工作示例表
审计目的
是否利用内部审计人员的工作成果
理解服务需求确定审计范围并组建审计团队

完成初步的项目计划

对企业的经营进行初步了解
注册会计师可以利用内部审计人员准备的文档但是要形成?#32422;?#23545;企业经营及风险的理解确定是否需要特定的专家

了解企业层面控制

识别由于舞弊导致的重大错报风险并制定相关审计策略
注册会计师可以与内部审计人员就存在或发现的舞弊或由于舞弊导致的重大错报风?#25112;?#34892;探讨
注册会计师审阅内部审计人员所发现的问题用以判断是否存在内部审计人员知悉的与舞弊相关的问题
注册会计师要对是否存在舞弊风险作出判断并制定相关策?#28020;?br>确定重要性水平

识别重大账户、重大列报及其相关认定

识别重要流程及相关IT系统
注册会计师可以利用内部审计人员准备的文档但是要形成?#32422;?#23545;重要交易流程及相关IT系统的结论
了解重大交易流程和重大列报流程
注册会计师可以请内部审计人员协助就流程、可能出错项?#32422;?#30456;应的控制进行记录或者利用内部审计人员的部分内部审计文档
执行穿行测试
注册会计师可以请内部审计人员在执行穿行测试时提供直接的帮助
如果重大账户或流程比较复杂、风?#25112;?#39640;或者其风险的影响比较广泛则不鼓励注册会计师利用内部审计人员完成穿行测?#28020;?#36890;常利用内部审计人员直?#26377;?#21161;的穿行测试仅限于常规交易流程或简单的非常规交易流程。例如某企业的固定资产流程经注册会计师判断为常规交易流程注册会计师可以请内部审计人员在执行固定资产穿行测试时协助提供一套完整的固定资产穿行测试资料并协助撰写固定资产穿行测试文档但注册会计师需要对内部审计人员获取的穿行测试资料及完成的穿行测试文档进行审阅以确定资料及文档的完整性?#32422;?#22266;定资产穿行测试文档中关键控制识别的准确性)。
了解并评价财务报表结账流程

选择需要测试的控制
注册会计师可以利用内部审计人员选择简单、常
规流程?#34892;?#35201;测试的控制。注册会计师需要基于?#32422;?#23545;这些简单、常规流程的了解审阅内部审计人员的工作以判断所选取的需要测试的控制是否?#23454;保?#24182;与注册会计师可能会选取进行测试的控制相一致
对信息系统一般控制的了解、穿行测?#28020;?#25511;制测?#32422;?#35780;价
评价过程不涉及主观性的信息?#38469;?#19968;般控制注册会计师可以利用内部审计人员协助进行IT一般控制的记录并执行控制测试制定控制测试策略
注册会计师可以利用内部审计人员针?#32422;?#21333;、常规交易的控制制定控制测试策略注册会计师需要审阅内部审计人员的工作并决定其制定的控制测试策略是否?#23454;保?#24182;与注册会计师可能制定的控制测试策略是否一致?#32422;?#36873;取的需要进行测试的控制是否一致
设计会计分录测?#32422;?#21453;舞弊程序

执行控制测试
注册会计师可以利用内部审计人员执行常规交易控制的测试
执行会计分录测?#32422;?#21453;舞弊程序
内部审计人员可以按照注册会计师制定的控制测试策?#32422;?#30830;定的样本总量执行会计分录测试
更新控制测试包括信息系统一般控制
内部审计人员可以更新控制测试
综合评估风险

项目总结

准备审计发现汇总
否尽管部分被注册会计师记录及评估的问题是由内部审计人员发现的进行项目总体审阅及审批

准备并与客户进行沟通

完成审计工作底稿并存档
否注册会计师按照审计工作底稿准则要求保存内部审计人员准备的工作底稿根据ゞ企业内部控制审计指引实施意见?#32602;?#22312;识别、了解和测试企业层面控制?#20445;?#27880;册会计师不得利用他人的工作。除此之外我们对于利用有足够的胜?#25991;?#21147;和客观性的他人工作没有具体限制但是我们?#26434;?#36131;任取得充?#36136;实?#30340;证据来支持我们对内部控制?#34892;?#24615;的意见。同样通过?#32422;?#30452;接获取包括观察、检查和重新执行而取得的证据一般比直接从他人处获得的信息更具有说服力。
2.4、确定利用他人工作的范围
我们利用他人工作的程度还受到与被测试控制相关的风险的影响。图1!2演示了与被测试控制相关的风险和我们利用内部审计人员或其他人员测试工作成果的程度之间的关系?#26680;?#30528;与审计领域相关的风险的增加我们需要更多地依?#24213;约?#30340;工作。在执行财务报告内部控制审计?#20445;?#25105;们通常可以更大程度地利用那些专业胜?#25991;?#21147;和客观性强并且所测试的控制更加客观(如常规交易和相?#32422;?#21333;的非常规交易)的人员的工作。对于重大会计估计等比较主观或者涉及领域比较广泛的控制我们?#37096;?#20197;利用专业胜?#25991;?#21147;和客观性强的人员的工作但是通常会限于较小的程?#21462;?#22312;确定其他人员的工作是否可以利用?#20445;?#25105;们应当运用职业判断。与某项控制相关的风险越高我们应当越多地亲自对该项控制进行测?#28020;?br>此外无论其他人员实施的测试的性质是询问、观察、检查还是重新执行我们在就内部控制设计和执行的?#34892;?#24615;获取审计证据时都可以利用他们的工作。然而其他人员测试的性质不同从利用其工作中获取证据的数量也不同。
2.5
测?#26434;?#20182;人执行的部分工作
我们重新测试的目的是评价他人工作的质量和?#34892;浴?#25105;们的测试策略包括每个控制类别挑选几个控制重新执行?#32422;?#37325;新执行我们利用的每类人员如内部审计人员、第三方顾问等的部分工作。
决定重新执行哪些控制?#32422;?#37325;新执行的范围基于以?#38109;?#26041;面的职业判断
l
对执行程序人员的专业胜?#25991;?#21147;和客观性的评估
l
与某项控制相关的风险。
重新执行的范围与我们对执行程序人员的专业胜?#25991;?#21147;和客观性的评估相匹配。通常当执行程序人员的胜?#25991;?#21147;和客观性的评估结果为中等水平?#20445;?#37325;新执行控制测试的测试量高于评估结果为高水平时的测试量。
三、工作底稿记录
我们需要内部控制审计工作底稿-BE总体审计策略的^了解企业内部控制自?#31227;?#20215;过程及利用他人的工作 ̄中记录以下内容对企业内部控制自?#31227;?#20215;过程的了解和我们所计划的利用他人的工作的策?#32422;?#32467;论
第十二章
评价企业层面控制测试
在内部控制审计中我们有必要对与审计相关的企业层面控制进行评价及测?#28020;?#25105;们还将对企业为了应对舞弊导致的重大错报风险而专门实施的程序及控制包括为了应对董事会、管理层凌驾于控制之上的风险而实施的控制进行评价及测?#28020;?br>我们通常在审计工作中尽早执行企业层面控制测试因为企业层面控制对我们确定业务层面的测试范围有很大影响。此外我们必须在整个审计过程中关注那些与企业层面控制的设计及运行?#34892;?#24615;相关的审计证据并且考虑是否有任何可以引起我们注意的证据将影响我们对公司层面内部控制的测?#28020;?br>在识别哪些企业层面控制需要测试?#20445;?#25105;们考虑那些企业已评估的企业层面控制。我们测?#38405;?#20123;对我们关于公司财务报告内部控制是否?#34892;?#30340;结论重要的企业层面控制。确定哪些?#32422;?#22810;少企业层面控制需要测试涉及大量的职业判断应当由项目组中对客户具备足够经验和了解的人员作相关决定。
和测试交易层?#20301;?#24212;用层次的控制?#34892;?#24615;一样当我们测试企业层面控制?#20445;?#20165;进行询问是不够的。我们除了询问程序外还要结合观察、检查及重新执行等程序。如需了解更多关于控制测试的设计的指导及要求请参见^第十五章
选择、测试内部控制 ̄。例如我们可能确定公司设置员工?#35748;?#26469;应对员工的顾虑或者方便匿名报告舞弊行为。为测试这项控制我们询问负责监督该?#35748;?#30340;人员并查阅支持性文件以确定公司是否采取行动以回应来电我们还可?#32422;?#26597;用于告知员工开设该?#35748;?#30340;文件。
通常通过企业层面控制测试收集到的证据不太具有结论性而且需要更多的主观判断。我们测试这些控制的方法主要是询问结合观察和检查。
一、间接的企业层面控制
间接的企业层面控制与相关认定不存在直接关联也不足以识别出财务报表中特定账户和披露的重大错报风险。间接的企业层面控制在整个企业中很常见作用是防止或发现并纠正重大错报风险故其对我们审计工作?#30446;?#23637;具有广泛的影响。例如:管理层是否制定了正式的行为规范且是否对违反该规范的行为进行处罚。对于间接的企业层面控制我们通常执行以下程序
l
阅读行为守则(如已制定并发布)

l
阅读及评估沟通员工岗位职责的政策及程序

l
评估内部审计职能

l
专门询问那些监督公司行动守则及政策和程序的合规情况的关键管理人员。
二、应对舞弊导致的重大错报风险包括董事会、管理层凌驾于控制之上的风险的控制
我们有必要去了解、评估及测试专门用于识别舞弊导致的重大错报风险的控制和用于应对董事会、管理层凌驾于控制之上的风险的控制的设计和运?#23567;?br>我们认为董事会、管理层通过以下任一方式凌驾于控制之上?#28023;?在交易的处理或记录过程中直接进行干预或者指挥下一级员工以公司正常流程和控制以外的方式处理或报告交易或2操纵财务报告程序。
董事会、管理层凌驾于控制之上的风险可以通过以下控制来防范
l
针对重大的非常规交易的控制尤其是针对导致会计处理?#26144;?#25110;异常的交易的控制

l
针对期末财务报告流程中编制的分录和作出的调整的控制

l
针对关联方交易的控制

l
与管理层的重大估计相关的控制

l
能够减弱管理层和治理层伪造或不恰当操纵财务结果的动机和压力的控制

l
防?#21476;?#29992;公司资产或未经授权使用公司资产的控制

l
职业道德规范及行为守则尤其是和以下事项有关的规范利益冲突、关联方交易和违法行为?#32422;?#31649;理层及审计委员会或董事会对这些规范执行情况的监督

l
公司处理?#31471;?#21450;举报的程序。

如果我们识别出与预防及发现舞弊相关的控制存在缺陷则我们应考虑这些缺陷可能对我们的企业层面控制测试产生什么影响包括这些缺陷是否会单独或连同其他内控缺陷形成重要缺陷或重大缺陷。此外我们会?#23454;?#22320;修改内部控制审计程序的性质、时间及范围来应对这些已识别的舞弊风险包括内部控制中会增加舞弊导致的重大错报风险的缺陷。
三、
控制环境
作为控制环境评估的一部分我们会测试
l
管理层理念及经营风格是否倡导财务报告内部控制的?#34892;?#24615;

l
管理层是否诚信?#32422;?#26159;否具有良好的道?#24405;?#20540;观并被所有员工理解

l
董事会及审计委员会是否了解财务报告内部控制并对其施加?#34892;?#30340;监督。

为了评估及测试控制环境我们可以考虑执行以下程序
l
阅读公司的行为守则并且通过检查交流文档和询问公司内不同成员以确定它是否已被充分地交流

l
审核公司的组织结构确定管理职权是否分配合理并?#31227;?#20272;管理职权的分配是否适合于公司的规模及组织结构

l
询问并且观察公司关于员工雇佣、培训?#32422;?#35780;估的政策及程序

l
通过观察和阅读会议纪要来评估审计委员会对公司对外财务报告程序及财务报告内部控制的监管?#34892;浴?br>四、充当业务层面控制的直接企业层面控制
我们能识别一些对于能?#34892;?#20943;少相关认定的重大错报风险的直接企业层面控制。我们可以充分利用这些控制来减少或剔除与其具有相同控制目标的业务层面控制的测?#28020;?#25105;们将这些直接企业层面控制与相关?#30446;?#33021;出错项联系起来并把这些控制当成业务层面的控制来测试其设计及运行的?#34892;浴?br>
直接企业层面控制通常是高层次的发现控制往往预防及发现控制须相结合以确保财务报告内部控制?#34892;А?#36890;常直接企业层面控制本身不是敏感而能?#34892;?#22320;发现认定层次的错报。但是直接企业层面控制可与其他业务层面的控制一起发现重大错报。

我们考虑直接企业层面控制是否具有充分的敏感性能?#34892;?#38450;止或发现并纠正认定层面的重大错报并?#20197;?#25105;们决定测?#28020;?#29992;以应对可能出错项的最佳控制组合时?#37096;?#34385;这些控制。更多相关的要求及指引请参考^第十五章
选择、测试内部控制 ̄。
五、工作底稿记录
我们记录选中测试的企业层面控制(包括应对舞弊导致的重大错报风险的控制)?#32422;?#25105;们的测试结果。
第十三章
了解重大业务流程和重大列报流程
在测试业务层面控制之前我们首先需要确定控制测试的对象而测试对象的确定?#20013;?#35201;基于对业务层面控制的识别和评估。在计划审计工作阶段我们根据重要性水平和可容忍误差识别了重大账户、重大列报和相关认定进而识别了重大业务流程和重大列报流程包括支持重大业务流程的相关的信息系统。在审计工作阶段我们需要了解重大业务流程和重大列报流程、识别认定层面的重大错报风险并识别和了解针对重大错报风险的业务层面控制。了解重大业务流程和重大列报流程是一个连续和动态的过程。当重大业务流程发生变化或出?#20013;?#30340;重大业务流程?#20445;?#25105;们都需要对其进行了解。
一、考虑企业层面控制对重大业务流程和重大列报流程的影响
我们需要评估、考虑内部控制环境对重大业务流程和重大列报流程的影响。我们需要判断企业营造的控制环境是否足以使重大业务流程、重大列报流程及相关的控制得?#25509;行?#36816;?#23567;?#24403;我们了解企业层面的控制?#20445;?#25105;们可能会识别到控制环境和其他企业层面的控制要素中的缺陷即缺乏控制、控制没有?#34892;?#35774;计或控制没有?#34892;?#36816;行这些缺陷会影响我们对重大业务流程和重大列报流程中相关风险的评价和应对措施。例如
1、管理层的态度可能反映了他们对内部控制的不重视我们询问管理层是否对我们在上一期的审计过程中发现的内部控制的缺陷实施了跟进程序。如果管理层表示他们没有采取措施来应对控制缺陷我们会认为管理层不重视内部控制。

2、企业对授权程序不够重视我们向管理层询问授权程序。如果我们有证据表明管理层没有对授权程序制定恰当的政策则我们需要考虑其对我们的审计策略造成的影响。

3、不相容职责的分工与企业的规模和复杂程度?#29615;?#25105;们向管理层询?#25163;?#36131;划分。如果管理层表示有一名职员同时负责采购、销售和付款我们认为该企业缺乏不相容职责的分工。

二、
识别重大业务流程和重大列报流程的关键流程
在了解重大业务流程和重大列报流程的过程中我们需要了解它们的关键流程包括
l
交易如何开始、记录、处理和报告?#32422;?#38169;误信息如何被更正

l
与重大业务流程和重大列报流程相关的政策和程序。

我们通过了解以下各个步骤来了解重大业务流程和重大列报流程的关键流程
l
发生交易最初进入企业具体运作的环节

l
记录交易被记录于企业账簿和交易记录的环节

l
处理企业账簿和交易记录的数据的任何变化、操作或转变的环节
l
报告交易被记录即过账到总账及报表的环节。

我们通过对关键流程?#32422;?#23545;政策和程序的了解来识别可能出错项并识别相关控制活动。可能出错项是指在重大业务流程中由于错误或舞弊而导致的错报风险。
另外当我们了解关键路径的同?#20445;?#25105;们也了解到被错误处理的信息是如何定期被发现和更正的即贷记凭证、借记凭证或更正记账分录。
例如有关销售的重大交易类别的关键路径包括
l
发生?#21512;?#21806;订单?#30446;?#20855;

l
记录在系统中记录销售订单

l
处理发货凭证和销售发票?#30446;?#20855;?#32422;?#26126;细账的记录

l
报告编制记账分录将销售交易过入总账。

在我们了解有关销售的重大交易类别的同?#20445;?#25105;们也了解了更正被错误处理的销售交易的方法包括编制冲销分录或在总账中过入一笔正确的分录。
尽管重大列报流程可能没有重大交易类别那么正式但我们仍然需要识别重大列报流程的关键路径并?#28304;?#26469;识别可能出错项并在?#23454;?#26102;识别相关控制。总体来?#25285;?#25105;们通过询问管理层在收集和检查财务报表?#34892;?#35201;披露的数据时运用的程序来了解关键路径。
例如对一个重要的披露程序例如股利支付来?#25285;?#20851;键路径包括
l
发生决定?#23454;?#30340;财务报表框架的要求

l
记录准备数据的披露时间表过期日、数量和计划的性质

l
处理从基本程序收集数据并进行?#23454;?#30340;计算

l
报告按照?#23454;?#30340;财务报表框架的要求在财务报表中披露必要的数据并编制记账分录将交易例如股利支付过入总账。

我们需要了解确保财务报表列报的正确性和完整性的核对程序还需要了解管理层对这些核对程序的审核和后续跟进措施即在披露时间表中是如何更正错误的在?#23454;笔保?#22312;总账中是如何更正的。
在了解重大业务流程和重大列报流程?#20445;?#25105;们会使用询问、观察和检查各种方法。

2.1信息来源
在了解重大业务流程和重大列报流程?#20445;?#25105;们需要考虑企业内部的各?#20013;?#24687;来源。企业可能有帮助我们了解重大业务流程和重大列报流程的资?#24076;?#22914;系统描述或流程图?#21462;?br>我们需要阅读相关的书面政策和流程即会计手册、流程图、描述、操作程序和指令。我们之所以这样做是因为我们认为这些书面信息是指?#35745;?#19994;的相关人员进行流程操作的。我们不必阅读那些与审计无关的?#38468;?#20869;容我们仅利用这些信息来全面地了解重大业务流程和重大列报流程。
2.2
询问
我们询问企业的管理层或其他人员以进一步了解重大业务流程和重大列报流程并获取可能帮助我们识别由于舞弊和错误引起重大错报风险的信息。

在构思询问的问题?#20445;?#25105;们可以考虑以?#24405;?#28857;
l
询问是收集更多信息的?#34892;?#36884;径尤其是我们可以通过询问获得对企业的书面手册或其他相关书面信息的完整理解
l
直接向级别较高的人员询问比向操作流程的人员询问更为?#34892;В?#22240;为级别较高的人员可能更熟悉重大业务流程和重大列报流程的关键流程。通过他们对重大业务流程和重大列报流程的描述我们可以了解企业的交易类别并了解流程应?#27604;?#20309;操作?#32422;?#20225;业认为哪些控制更重大
l
在整体地了解了重大业务流程和重大列报流程后我们会询?#25163;?#25509;操作重大业务流程和重大列报流程的关键流程的人员以获得更为详细的信息
l
我们向高层管理人员确认我们了解的详细信息是完整的且与他们对规定的控制的理解一致。

2.3
观察和检查
我们通过观察和检查来了解管理层实施的操作方法和流程。
此外观察和检查可以支持我们询问管理层时获得的信息。
例如我们可以考虑观察和检查如下方面
l
企业的业务文件例如业务计划和战略、记录和内部控制手册

l
由管理层编制的报告例如季度管理报告包括关于内部控制?#34892;?#24615;的报告和中期财务信息

l
企业的生产经营场所和厂房

l
操作交易/控制的人员。

我们可以在执行穿行测试的同时执行观察程序并将观察程序恰当地记录下来。
2.4对服务机?#27807;目?#34385;
当企业聘用第三方服务机构来执行部分交易、全部交易或处理数据?#20445;?#20225;业可能无法控制重大业务流程和重大列报流程的关键流程的?#25215;?#26041;面。然而我们仍需要了解重大业务流程和重大列报流程以识别可能出错项。
我们对重大业务流程和重大列报流程的了解是基于服务机构的服务事实和情况。
我们需要了解企业如何在其业务流程中利用服务机构的服务
l
服务机?#22266;?#20379;的服务的性质?#32422;?#36825;些服务对企业的重要性包括这些服务对企业内部控制的影响

l
受服务机构影响的交易流程和财务报表账户报告流程的性质和重要性

l
企业业务活动和服务机构业务活动之间的关联程度

l
企业和服务机构性质和相互联系包括企业与服务机构签订的与开展业务活动相关的合同条款。在我们了解了服务机构的服务对重大业务流程和重大列报流程的影响后我们需要对利用服务机构的企业执行我们的审计程序。
另一种情况是企业与其它机构共享一个服务?#34892;帖?#25105;们基于共享服务?#34892;?#30340;事实和情况来决定审计程序以充分了解重大业务流程和重大列报流程。
三、在重大业务流程和重大列报流程中识别可能出错项
我们需要识别关键流程中可能会发生错报的业务点若该可能发生的错报的影响是重大的我们就将之视为可能出错项。在识别可能出错项?#20445;?#25105;们也应注意到那些不是与某个重大账户的某个认定相关而是与财务报表整体存在普遍联系的风险。
可能出错项符合以下标准
l
有发生错报?#30446;?#33021;性

l
其可能产生的错误可能导致重大错报。可能出错项的识别有助于我们决定认定层面的审计程序的性质、时间和范围是否能够获得充分、?#23454;?#30340;审计证据。
导致财务报表中重大错报?#30446;?#33021;性增大的因素有
l
不?#23454;?#30340;交?#36164;?#26435;即交易?#31383;?#29031;管理层的一般或具体授权执行

l
不相容的职责的分工不充分

l
缺乏实物控制未经管理层授权就能够接触实物和数据
l
缺乏资产核算未定期将资产的账面金额与实物进行比较当资产的账面金额与实物?#29615;保?#26410;采取?#23454;?#30340;解决措施。

3.1
如何识别可能出错项
我们需要考虑整个重大业务流程来识别可能出错项通常从重大业务流程的终点即报告阶段开始逐?#20132;?#21040;起点。我们设计一系列关于可能出错项的问题并将可能出错项联?#26723;?#30456;关认定。这些问题有助于我们?#39029;?#21487;能发生的错报。
例如对一家特定的企业的货物采购我们可以设计以下可能出错项的问题
1完整性
l
收到的货物是否已全部记录

l
供应商的应付账款是否已全部记录

2存在/发生
l
所有记录的采购是否存在无效的

l
记录的存货数量是否与?#23548;?#30456;符

3计价和分摊/准确性
l
所有的货物采购是否以恰当的金额记录

l
以外币计价的或作为套期保值的交易是否以恰当的金额记录

4权利和义务
l
在采购过程中是否?#20449;?#20102;可能妨碍交易实现的特殊条件例如?#32422;?#21806;方式进行采购
5列报和披露
l
需要在财务报表中列报的信息是否已全部列报

在销售的重大业务流程的关键流程中我们可以设计如下可能出错项的问题
l
销售发票上的数量是否正确

l
销售发票上的销售价格是否正确

l
销售发票上的使用的增值税税率是否正确

l
销售发票上的计算是否正确
可能出错项的数量取决于交易流程的复杂程度?#32422;?#37325;大业务流程和重大列报流程中发生错报的?#27425;?#34987;发现?#30446;?#33021;?#28020;?br>3.2将可能出错项联?#26723;?#30456;关认定
我们将可能出错项联?#26723;?#37325;大账户和列报的相关认定。对于不相关的认定我们不需要识别可能出错项。将可能出错项联?#26723;?#30456;关认定有助于我们识别财务报表层面和认定层面的重大错报风险并设计出恰当的实质性程序。
如果我们在了解重大业务流程时识别出关联到不相关认定的重大错报我们需要重新考虑认定的相关程?#21462;?br>3.3特别风险和可能出错项
当一个特别风险影响重大业务流程和重大列报流程?#20445;?#23558;特别风险与可能出错项联系起来有助于识别和评估设计的与可能出错项相关的控制的设计和执行情况。例如由于经济不景气导致企业的主要客户破产我们认为无法收回的应收账款带来的风险是特别风险。我们可以将这个特别风险与可能出错项联系起来应收账款是否以正确的金额记录然后我们可能会评估与可能出错项相关的控制。
3.4
IT方面?#30446;?#33021;出错项
在我们识别可能出错项?#20445;?#25105;们考虑重大业务流程和重大列报程序中的自动化方面的因素如
l
通过接口传输或发送的数据的完整性即数据从一个应用程序自动传输到另一个应用程序

l
被拒绝处理或不寻常的数据的重新处理?#32422;?#22788;理由其导致的错误文件

l
输入的数据或通过接口发送的数据被重复处理?#30446;?#33021;性特别是被批量处理的数据

l
主文件数据不准确或丢失造成的影响

l
系统误差影响计算?#30446;?#33021;性

l
绕过或改变正常处理流程?#30446;?#33021;?#28020;?br>
识别这些重大错报风险有助于我们设计出应对相应风险的审计程序。使用?#34892;?#30340;信息系统来处理重大业务流程可以?#26723;?#37325;大错报风险。然而为了使信息系统?#34892;?#36816;行经理层需要实施?#34892;?#30340;信息系统控制包括信息系统一般控制和应用系统控制?#21592;?#35777;信息的完整性和数据的安全?#28020;?#26377;关信息系统控制的内容请参见
^第十七章
了解、穿行测?#28020;?#27979;试和评估IT一般控制 ̄。
四、识别与审计相关的控制活动
在我们识别与可能出错项相关的控制活动?#20445;?#25105;们需要
l
了解控制的种类
l
向相关人员询问控制是如何执行的

l
特别考虑识别?#26723;?#29305;别风险的控制。
4.1
相关的控制的种类
相关控制可以按如下标准划分
按类别划分手工控制、应用程序控制、依赖IT的手工控制

按目的划分预防性控制、检查性控制

4.2
如何开始识别相关控制
我们向相关人员询问控制活动是如何运行的
例如我们向相关人员询问如下问题
l
谁执行控制

l
控制是什么时候执行的例如在每月的报告过程中执行、多久执行一次

l
控制中使用?#22235;?#20123;IT应用程序数据、文件或其他材?#24076;?br>
l
如果有的话执行控制产生了怎样的实物证据

l
控制是如何被及时防止或发现和更正错报的

4.3
对识别?#26723;?#29305;别风险的控制的特殊考虑
我们在了解企业是否设计和执行了应对非常规的重大业务流程,、估计的重大业务流程?#32422;?#19968;次性?#24405;?#30340;特别风险?#20445;?#38656;要了解管理层是如何应对特别风险的。

在重大业务流程或重大列报流程中识别?#26723;?#29305;别风险的控制?#20445;?#25105;们知道常规的、正式的控制不足以应对特别风险即非常规的重大业务流程、估计的重大业务流程?#32422;?#19968;次性?#24405;?#23481;易导致特别风险因为他们没有固定的流程。不过管理层可能?#24615;?#29305;别风险出现后立即做出回应。我们需要考虑这些回应是否是针对特别风险的控制并评估管理层是否恰当地设计和实施了这些控制。例如
l
由高级管理人员或专家审核估计使用的假设
l
对于一次性?#24405;?#20363;如收到重大诉讼的法院传?#20445;?#25105;们需要考虑企业是否采取了如下回应?#30422;?#27861;律专家如内部或外部法律顾问、估计该?#24405;?#30340;潜在影响、在财务报表中列报该?#24405;?#30340;提案是如何提出的

l
管理层针对这一特别风险设计一套流程流程中的审核点或文件能够应对该风险例如管理层做出估计的程序

l
管理层回应得到治理层的批准。

在?#25215;?#24773;况下管理层可能没有针对特别风险采取相关控制以应对重大错报风险我们可以认为企业的内部控制存在重要缺陷
并需要和企业的治理层讨论这些问题。
五、对了解不同性质的重大业务流程的具体考虑
5.1重大业务流程的种类
为了更好地了解重大业务流程的关键流程我们将重大业务流程作如下分类
l
常规的重大业务流程指经常发生的、常规的或标准的交易。处理这些交易的流程系统化且不太可能引起特别风险

l
非常规的重大业务流程指金额或性质不寻常且不经常发生的交易这些交易涉及的数据通常不是源于常规的重大业务流程例如非常规的重大交易类别包括待摊费用的摊销、
所得税的计算、
折旧费用的计算
l
估计的重大业务流程因为计量有重大的不确定性而需要做出会计估计的交易。这些交易反映了管理层的判断、决策和选择。例如估计的重大交易类别包括?#20309;?#35785;讼和索赔计提或有负债、为质量保证费计提或有负债、为?#20889;卫?#32972;的存货计提存货跌价准备。
考虑到非常规的和估计的重大业务流程性质我们了解非常规的和估计的重大业务流程的时间可能与了解常规的重大业务流程的时间不同。例如如果管理层仅在资产负债表日确定质量保证费我们就在实行实质性程序时了解确定质量保证费的估计方法。
5.2
相关控制活动
我们应当识别和了解重大业务流程中的相关控制活动。对于不确定性较高、存在特别风险的估计我们需要识别与?#26723;?#29305;别风险相关的控制。对于所有其他估计我们需要充分了解估计流程中的相关控制
。例如如果一?#31227;?#19994;用估计的重大业务流程来估计应收账款的坏账准备那么我们需要了解估计的计算过程并向管理层询问相关的控制措施如审批记录的关键假设和计提的坏账准备金额的程序。如果企业需要计算一项商誉的重大减值由于这个估计过程涉及复杂计算和重大判断因此我们对这个流程的了解可能因其本身的复杂性而变得更详细例如我们需要了解对复杂的计算和假设?#32422;?#22312;财务报表中最终记录的金额的审批程序。
在我们识别和了解估计的重大交易类别?#20445;?#25105;们注意到相关控制和控制文件可能不太正式。例如财务总监可能不会在文件中记录他对坏账准备是否计提充分的审查。由于与估计的重大交易类别相关的控制和控制文件可能不太正式我们需要考虑以下因素
l
负责做出估计和审阅估计的管理人员的经验和知识?#32422;?#20182;们与估计结果的独立性
l
发起并审核与估计相关的控制的?#34892;?#24615;的管理人员的权力

l
经理审查的全面性

l
管理层是否监测了估计的合理性并采取了相应的行动例如管理层采用那些常规的、根据企业业务变化不断改善的关键绩效指标

l
当?#23548;是?#20917;与估计的情况有较大差异?#20445;?#20272;计是否得到改进

l
?#24330;?#20986;的估计需要高度?#38469;?#25110;涉及专业领域?#20445;?#20225;业是否?#30422;?#19987;家参与估计
l
关键假设的基础是否需要记录并能获得相关信息支持

l
其他重大交易流程是否能够为估计的重大交易流程提供相关、可靠的数据
l
管理层是否为负责做出估计的人员提供了使用假设的指引
l
在执行估计的交?#36164;保?#31649;理层的动机和保守程度包括管理层的动机较前一审计期间是否发生变化

l
企业过去的会计估计的准确?#28020;?#36807;去的估计与?#23548;?#32467;果的接近程度将为该企业估计的重大交易类别?#30446;?#38752;性提供依据。了解前期估计与?#23548;是?#20917;的比较结果有助于我们判断管理层做出估计的流程是否恰当。

5.2.1
管理层对专?#19994;?#21033;用
如果管理层或员工不具备做出估计必要的经验和能力企业应当?#30422;?#19987;家做出估计或协助做出估计因为
l
?#34892;录?#30340;特殊性质需要专家参与估计例如采掘业中对矿物或?#25512;?#20648;量的测量

l
模型的?#38469;?#24615;质需要满足相关的、适用的财务报告框架的需要例如按公允价值计量

l
不寻常或不经常发生的条件、交易或?#24405;?#38656;要专家参与会计估计。

如需获得进一步指引请参考^第四章
利用专?#19994;?#24037;作 ̄。
5.2.2
假设
在了解会计估计的假设?#20445;?#25105;们也能了解影响假设的相关因素例如财务计划和经营计划、会计政策的选择、和历?#38750;?#21183;。
在我们了解与假设相关的影响因素?#20445;?#25105;们考虑如下因素
l
假设的性质包括哪些假设很可能是重大假设

l
管理层如何判断假设的相关性和完整性即考虑所有与假设相关的变量
l
管理层是如何确定其使用的假设是彼此一致的如适用。

与假设相关的事项是否

l
在管理层的控制下例如对于维修项目的使用年限的假设可能影响对资产使用年限的估计假设如何与企业的业务计划和外部环境协调

l
在管理层的控制之外例如对利率、?#21171;?#29575;、潜在的司法或监管措施、或未来现金流量的变化和现金流发生时间点的假设

l
相关文件如果有的话的性质和范围是否支?#21046;?#19994;使用的假设

l
信息来源即支持假设的内部和外部信息的相关性和可靠性的变化。

5.2.3
改变会计估计的方法
我们需要了解管理层会计估计的方法与前期相比是否已经改变或者应当改变。
一个具体的估计方法可能随?#29260;?#19994;所处的环境和情况或者适用的财务报告框架要求的变化而变化。如果管理层改变了会计估计的方法管理层应该证明改变后的方法更为合适或者是用于应对企业所处的环境和情况变化或适用的财务报告框架要求变化的措施。
5.2.4
估计的不确定性
估计不确定性会影响估计的重大业务流程和重大列报流程。估计不确定性是指会计估计和相关列报在其计量中固有的、容易出现的不准确程?#21462;?br>我们可以考虑如下问题
l
管理层是否考虑了多种假设或结果例如是否?#27835;?#20102;会计估计?#32422;?#35774;变化的敏感程度如果是的话他们是如何考虑的

l
当管理层的?#27835;?#32467;果表明有多种会计估计?#20445;?#31649;理层是如何选择的即在财务报表中记录的数额

l
管理层是否监测了前期的会计估计结果并针?#32422;?#27979;流程的结果采取了妥善的应对措施。
六、对了解重大列报流程的特殊考虑
我们需要了解重大列报流程?#21592;?#33021;够识别与财务报表列报和披露相关?#30446;?#33021;出错项识别应对可能出错项的控制活动。

6.1
重大会计账户的列报
对于重大会计账户的列报我们在了解重大业务流程的同时也需要了解重大列报流程。
在执行了解重大业务流程的程序?#20445;?#25105;们也能够了解列报产生的过程。我们需要识别可能出错项并识别相关控制活动。例如当我们认为存货及其列报和披露是重大账户?#20445;?#25105;们需要了解与存货相关的重大业务流程?#32422;?#21015;报产生的方式。因此作为了解与存货相关的重大业务流程的一部分我们需要向管理层询问企业在财务报表中对存货是如何分类的识别与存货分类相关?#30446;?#33021;出错项识别相关控制活动。

6.2财务报表决算过程的列报
对于财务报表决算过程中产生的列报我们认为相关的控制是财务报表决算过程的一部分。

对于不太复杂的企业我们可以将各个账户的列报和披?#30563;?#21512;起来而不是对每个重大账户进行单独列报和列报。
如需进一步的指引请参考^第十六章
了解和评价财务报告流程 ̄。
第十四章
执行穿行测试
在内部控制审计中我们应当实施程序以了解被审计单位流程中可能导?#34385;?#22312;错报的来源和识别管理层为应对这些潜在错报风险而执行的控制。
我们应当实现?#38109;?#30446;标以进一步了解潜在错报的来源并为选择拟测试的控制奠定基础

l
了解与相关认定有关的交易的处理流程包括这些交易如何生成、批准、处理及记录
l
验证我们识别出的业务流程中可能发生重大错报包括由于舞弊导致的错报的环节
l
识别被审计单位用于应对这些错报或潜在错报的控制活动。
穿行测试通常是实现上述目标和评价控制设计的?#34892;?#24615;?#32422;?#30830;定控制是否得到执行的?#34892;?#26041;法。穿行测试是指追踪某笔交?#29366;?#21457;生?#38454;?#32456;被反映在财务报表中的整个处理过程。
我们执行穿行测试确认对重大业务流程或重大列报流程的了解和我们所记录的一致同时也确认以下要点诸如信息来源信息是否应该被获取、转换或修改这些也是最可能发生错报的地方。对重大业务流程和重大列报流程的控制?#34892;?#24615;进行初步评价。
一、执行穿行测试
我们应在每个期间对重大业务流程和重大列报流程执行穿行测?#28020;?#25105;们通过询问和观察、查阅相关文件及比?#31995;?#31243;序确认对每个重大业务流程和重大列报流程中的关键流程的了解。
一般而言对每个重要流程选取一笔交易或事项实施穿行测?#32422;?#21487;。我们通过选择一个交易并沿着关键流程追溯下去穿行测试每个重大业务流程和重大列报流程。如果一笔交易不足以确认我们对交易类别的了解我们将选择更多的交易来穿行测?#28020;?br>穿行测试涵盖交易生成、授权、记录、处理和报告的整个过程?#32422;?#35782;别出的重要流程中的控制包括针对舞弊风险的控制。穿行测试还包括确认一旦识别出没有正确处理的信息如何更正它的了解。
我们通过询问企业人员根据其对需要哪些程序的了解来判断有关人员是否如我们所期望的那样执行相关程序。我们对企业人员的进一步询问包括诸如当他们遇到错误会如何处理他们遇到的是什么类型的错误?#29615;?#29616;错误的结果会有什么影响错误如何被解决?#31383;?#21161;识别管理层凌驾于控制之上或舞弊导致的重大错报的风险。
我们评估控制活动是否合理设计达到?#23454;?#30340;职权分离判断企业人员在执行程序时是否有不相容职责的情况发生。
我们评价控制活动是否合理设计?#28304;?#21040;合理授权交易的目的。
我们考虑挑选的穿行测试的交易是否依?#23637;?#21496;的授权政策恰当授权。
1.1穿行测试的程序
穿行测试的程序包括
l
向?#23548;手?#34892;控制的人员进行讯问
l
观察控制的执行
l
查询在执行控制时使用的或由于执行该控制而生成的文件
l
将支持性文件如销售发票、合同和提货单与会计记录进行比较。
我们在实施穿行测试时往往综合运用询问、观察、检查和重新执行穿行测试是一?#21046;?#20272;设计?#34892;?#24615;的?#34892;?#26041;法。
1.2与穿行测试过程中进行的询问相关?#30446;?#34385;
在每个穿行测试中我们询问企业人员根据其对需要哪些程序的了解判断流程程序和控制是否正常运?#23567;?#25105;们利用这些信息来识别我们了解到的和?#23548;?#21457;生的情况之间的差异。当我们识别出差异?#20445;?#25105;们需要修改我们对重大业务流程的关键流程和对重大业务流程控制的初步评价的记录。
我们要求企业人员描述对其?#32422;?#36127;责的流程或控制行为的了解?#32422;?#30001;同一流程中其它方面的人员负责的流程或控制行为的了解要求他们将整个过程演示给我们看?#28304;?#26469;证实我们所获得的信息。
如果被访谈者没有发现任何需要后续跟踪的关注事项则我们需评价这种情?#38382;?#22240;为有良好的预防控制还是该人员缺乏执行控制的必要技能或勤勉。

我们评估我们询问的结果是否有助于识别舞弊导致的重大错报风险或内部控制中的偏差。
我们询问的回应可以协助证实从管理层获取的回答的真实度或提供与管理层凌驾于控制之上?#30446;?#33021;性相关的信息。当我们询问他人的结果表明存在管理层凌驾于控制之上?#30446;?#33021;?#20445;?#25105;们需考虑对他们的知识或舞弊嫌疑进行后续询问。
对企业人员进行后续询问?#20445;?#33021;够帮助识别管理层凌驾于控制之上的现象或舞弊导致的重大错报风险的问话包括以下问题
l
他们是如何判断是否有错误
(而不是仅询问他们是否执行已列明的程序和控制)

l
当他们发现错误?#34987;?#22914;何应对

l
他们发现?#22235;?#20123;类型的差异或曾经发?#36136;?#20040;类型的错误

l
发现差异导致的结果

l
如何解决差异

l
他们是否有过被要求凌驾于流程或控制之上的情况或是否曾被要求忽略或回避该流程或控制如果有对情形进行描述并解释为什么会发生?#20204;?#24418;?#32422;案们蚩问?#22914;何发生的

l
他们是否有被要求操作异常记账分录或调整如果有请描述分录或调整的性质?#32422;?#20026;什么会发生结果如何

1.3
对穿行测试的结果得出结论
我们判断穿行测试是否能确认我们对重大业务流程和重大列报流程的了解?#32422;?#23545;相关控制的设计和执行的了解。
当发现我们对于重大业务流程或重大列报流程包括已识别控制活动的了解和记录有错误并对其进行穿行测试?#20445;?#25105;们需修改流程记录。
1.4对控制?#34892;?#24615;的初步评价
当我们完成穿行测试我们对穿行测试的相关控制的?#34892;?#24615;进行初步评价以评估相关控制设计的?#34892;浴?br>
我们从穿行测试中获取的结果和信息可以为我们提供审计证据?#28304;?#30830;定对于我们识别的每一个相关认定已识别的相关控制是否被恰当设计是否能够?#34892;?#36816;行以预防或发现和更正重大错报。
对于每个已识别控制无论是应用控制、依赖IT的手工控制或手工控制我们将其判断为
?#34892;?#30340;如果我们在穿行测试中发现控制被?#34892;?#35774;计从而减少识别?#30446;?#33021;发生错误控制已被执行且能够按预先设计的方式运行则我们初步评价该控制是?#34892;?#30340;


无效的如果我们在穿行测试中发现控制没有如我们了解那样被执行及/或设计没有能减少识别?#30446;?#33021;发生错误那么我们初步评价该控制是无效的。
当我们初步评价应用控制、依赖IT的手工控制和手工控制的?#34892;?#24615;?#20445;?#25105;们同时考虑穿行测试的结果?#32422;?#20197;?#24405;?#26041;面
l
我们对于企业控制环境得出的结论
l
企业相关授权
、资产保护、资产问责和不相容的职责分工的政策和程序
l
我们对相关ITGCs的评估
(对应用控制和依赖IT的手工控制)
l
控制的设计和敏感?#21462;?br>此外当我们对非常规和重大估计交易类别的相关控制的?#34892;?#24615;作出初步评价?#20445;?#25105;们考虑以下内容
l
已识别控制不能?#26723;?#33310;弊导致的重大错报风险
l
管理层的动机。
二、穿行测试的特殊考虑
2.1会计估计的流程
当我们作出询问以确认我们对管理层作出会计估计的流程和重大估计交易类别的相关控制的了解?#20445;?#25105;们应该考虑以下问题
l
假设是否恰当
(假设是否是建立在当前情况和最可能获取的信息基础上的合理解释)

l
假设与以前年度作出的会计估计是否一致

l
用于制定会计估计的数据是否相关且可靠

l
有没有使用我们需要评估的IT应用程序产生的任何数据

l
用于制定会计估计的模型是否恰?#20445;?#19988;该模型是否被正确应用

2.2关于?#26723;?#37325;大错报风险的控制的穿行测试?#30446;?#34385;
当我们在常规、非常规或重大估计交易类别或重大列报流程中识别出重大风险我们要对?#26723;?#35813;重大风险相关的控制进行穿行测?#28020;?br>
然而在?#25215;?#24773;况下重大风险可能由不属于企业运行的正常程序的事项引起。这样的重大风险根据其性质可能不受常规的、正常的控制约束。举例?#24471;?#37325;大风险可能与一次企业不存在现有流程的偶发?#24405;?#30456;关
(例如企业之前从来没?#24615;?#36935;过的大宗法律索赔的通告)。一旦这些重大风险出现企业的管理层将采取应对措施。我们评价这些应对措施包括管理层对重大风险实施的措施是否?#34892;В?#22914;果?#34892;В?#25105;们将对这些控制进行穿行测试以确认管理层已经执行了控制。
2.3
在执行穿行测试时利用他人工作
在整合审计里如果公司的内部审计人员、其他人员或在管理层或治理层指导下的第三方有足够的胜?#25991;?#21147;或客观性则我们可以考虑让上述人员在我们的直接监督下执行穿行测试程序。直接监督是指他人应我们的要求按照我们的审计计划执行必要的穿行测试程序。
当重大业务流程及重大列报流程越复杂风险越高而且具?#24615;?#26222;遍的影响我们利用公司的内部审计人员及其他人员来完成穿行测试?#30446;?#33021;性越小。通常我们可以利用他人对常规或较简单的非常规重大业务流程执行穿行测?#28020;?#27492;外我们不希望借助以下人员来执行穿行测试
l
公司首席财务官;
l
公司财务总监或者其他一直负责会计工作及财务报告的人员包括那些负责执行和监督公司财务报告内部控制的人员。
2.4针对自动化程序里的数据和交易信息
根据自动化程序里的数据和交易信息穿行测试包括以下程序例如
l
询?#35782;?#31435;的且具有相关业务知识的公司人员
l
参阅使用手册
l
例如在线应用观察使用者在终端操作交易
l
参阅相关文件
(例如输出报告)

当IT环境复杂?#20445;?#25105;们有必要与IT?#38469;?#20154;员合作穿行测试重大业务流程或重大列报流程的自动化方面?#32422;?#30456;关控制如果必要?#20445;?br>当重大业务流程或重大列报流程有重大变化包括IT支持系统的变化在审计期间我们评估变化的性质和在相关账户发生重大错报?#30446;?#33021;结果以决定是否对交易流程在变化前和变化后都执行穿行测?#28020;?br>
第十五章
选择、测试内部控制
在内部控制审计中我们要对我们识别出的所有影响重大账户、重大列报和相关认定的控制的设计及运行?#34892;?#24615;进行测?#28020;?br>一、选择拟测试的控制的基本要求
我们应当针对每一相关认定对应的每个可能出错项选择至少一个相关控制进行测试获取控制在重大交易流程和重大披露流程中?#34892;?#36816;行的审计证据?#21592;?#23545;内部控制整体的?#34892;?#24615;发表意见但我们没有责任对单项控制的?#34892;?#24615;发表意见。
在确定是否测?#38405;?#39033;控制?#20445;?#25105;们应当把握重要性原则选择?#23454;?#30340;控制点进行测?#28020;?#23545;特定的相关认定而言可能有多项控制用以应对评估的错报风险?#29615;?#20043;一项控制?#37096;?#33021;应对评估的多项相关认定的错报风险。我们没有必要测试与某项相关认定有关的所有控制。
我们应当考虑该项控制单独或连同其他控制是否足以应对评估的某项相关认定的错报风险而不论该控制的分类和属性如何。。
由于不同的控制属性会影响到控制测试工作的范围和效果因此我们在选择拟测试的控制?#20445;?#38656;要综合考虑控制的不同属性?#32422;?#25511;制的相关?#28020;?#20805;分性和敏感?#21462;?#24517;要?#20445;?#25105;们?#37096;?#20197;选择?#23454;?#30340;控制组合进行测?#28020;?br>二、
选择拟测试的控制?#30446;?#34385;因素
我们在了解企业的控制环境确定该控制环境是否支持预防或发现和更正重大错报(进一步的指引请参见
^第五章
了解企业整体的内部控制 ̄)?#32422;?#25191;行穿行测试并初步评价控制的?#34892;?#24615;后(为获取进一步指引请参见^第十三章
了解重大业务流程和重大列报流程 ̄)我们通过以下过程挑选控制测试
l
选择?#23454;?#30340;控制测试
l
确认已选测试的控制与审计相关
l
评估已选测试的控制是否充?#32622;小?br>2.1选择?#23454;?#30340;控制测试
我们在选取拟测试的控制?#20445;?#36890;常不会选取整个流程中的所有控制而是选择关键控制即能够为一个或多个重要账户或列报的一个或多个相关认定提供最?#34892;?#21147;证据且测试最?#34892;?#29575;的控制。每个重要账户、认定和重大错报风险至少应当有一个对应的关键控制。举例?#24471;?#31649;理层可能在不同层面上应用多种控制用以预防、发现和更正错报。如果这个控制可以充?#32622;?#24863;地发现和更正错报我们可以决定只选择其中一个控制进行测?#28020;?br>在选择关键控制?#20445;?#25105;们需要考虑
l
哪些控制是不可缺少的
l
哪些控制直接针对相关认定
l
哪些控制可以应对错误或舞弊导致的重大错报风险
l
控制的运行是否足够精确
对于?#25215;?#35748;定我们可能得出结论认为它们不能或不能?#34892;?#22320;选择对应控制测试
(例如一个关键的调整没有保留依据或者测试该控制花费的精力将大大超出设计和执行实质性审计程序所花费的精力。
选择关键控制需要我们作出职业判断。我们无须测?#38405;?#20123;即使有缺陷也合理预期不会导致财务报表重大错报的控制。
2.1.1控制的目标和分类
我们了解控制的目标
(预防、检查)
和每个已识别的控制的分类
(应用控制、手工控制或依赖IT的手工控制)
?#31383;?#21161;我们决定?#23454;?#30340;控制进行测试因为控制的每个目标和类别都具有控制测试上的优势和劣势。
2.1.1.1预防性控制和检查性控制
预防性控制和检查性控制的优缺点见下表
预防性控制和检查性控制的优缺点通常来?#25285;?#23545;于重大业务流程中?#30446;?#33021;出错项我们要考虑同时选择预防性控制和检查性控制进行测?#28020;?#22240;为缺乏?#34892;?#30340;检查性控制会增加发生重大错报的风险而没?#24615;?#38450;性控制、仅有检查性控制可能不足以防止错报的发生或者是在企业发生错报后才发现那时已为时过晚。
2.1.1.2手工控制和自动执行的控制
手工执行的控制是由那些完全由人工操作而不依赖企业的信息系统环境的控制。但是手工执行的控制可能使用来自计算机系?#25104;?#25104;的信息。
自动执行的控制是无需人工干预、由企业的信息系统自动执行的控制与业务或其他财务数据的生成、记录、处理和报告等流程相关用于实现重大业务流程的相关控制目标。自动执行的控制有助于确保发生的业务已被授权?#19994;?#21040;完整、准确的记录和处理。自动执行的控制通常被称为应用控制。关于应用控制的类型?#32422;?#22914;何评价应用控制的更多指引请参见^第十七章
了解、穿行测?#28020;?#27979;试和评估IT一般控制 ̄。
手工控制和应用控制的优点和缺点见下表
手工控制和应用控制的优缺点需要注意的是由于大多数手工控制属于检查性控制可以发现并纠正在重大业务流程中的错报因此在选择该类控制进行测试?#20445;?#25105;们除了考虑预防性控制和检查性控制的优点和缺点外还需要特别考虑
1
执行手工控制的人员的能力和客观性
2
执行手工控制的人员是否在整个期间一贯地执行控制。
因此选择测试一个?#23454;?#30340;控制组合可能包括不同目标不同种类的控制它们各自或和其他控制组合在一起就能充?#32622;?#24863;地解决一个或多个认定对应?#30446;?#33021;出错项。
举例?#24471;?#25105;们可以决定选择一个?#23454;?#30340;控制组合进行测试包括许多应用控制因为应用控制能够提供交易发生、被授权和完整准确记录并最终在系统层面处理的审计证据。应用控制一般不容易导致人为错误或人为介入且我们可以只需测试一个应用程序控制就可获取对于控制?#34892;?#24615;的充?#36136;实?#30340;审计证据。

我们?#37096;?#20197;决定选择测?#26434;?#19968;些检查和更正控制组成的?#23454;?#25511;制组合因为它们能解决多种可能发生错报的环节和认定。检查控制和更正控制测?#21592;?#20154;工预防控制测试更?#34892;?#29575;是因为检查控制和更正控制执行的?#24503;?#19981;高而且经常应用在交易组而不是在单个交易的基础上我们也能够获取更好的直接的关于控制运行?#34892;?#24615;的审计证据。
2.2
确认已选测试的控制与审计相关
在选择需要进行测试的控制?#20445;?#38500;了根据各项认定对应的各可能出错项结合各项控制的目标和类别的优点和缺点进行选择外我们还需确保所选择的控制是恰当的并且与审计工作相关能够达到控制执行的目标。在进行判断?#20445;?#21487;以考虑以?#24405;?#20010;方面
1
控制的属?#28020;?#25511;制能恰当地应对每个相关认定对应?#30446;?#33021;出错的环节来预防或发现和更正错报。
例如设计某个控制来调节进出货的数量可以应对可能出错的环节关于^存在?#28020;?#21644;^完整?#28020;?#30340;认定如发现少许未入账货物
(如确定每个交易均已被记录)。然而毛利的复核不能解决所有相关毛利?#30446;?#33021;出错的环节因为影响毛利的有很多方面的因素。
2
审计证据的相关性和可靠性应当能够为控制执行?#34892;?#24615;的结论提供足够的证据。例如由服务机构或管理层请来的外部专?#20197;?#34892;的控制能够提供更可靠的证据因为?#26723;?#20102;管理层凌驾于控制之上的风险。
3
执行控制人员的独立性性和胜?#25991;?#21147;。一个具有独立性的人员在发现错误时能够保持公正。一个有胜?#25991;?#21147;的人有必要的知识和技能?#34892;?#22320;执行控制。例如财务经理每周复核公司的销售毛利是和审计相关的控制如果财务经理拥有?#23454;?#30340;业务知识去了解偏差执行?#23454;?#30340;后续跟踪并且他没有达到周销售目标的绩效指标的责任。
4
在执行控制时所采用的数据时完整的并且可以信赖的。例如某企业对超过60天账龄的应收账款进行复核并评价其可收回性在应收账款账龄?#27835;?#34920;是完整可靠的前提下该项控制才能实现控制目标。
2.3
评估已选测试的控制是否充?#32622;?#24863;
在选择需要进行测试的控制后我们还需评估已选测试的控制对于防止或发现并纠正认定层面的重大错报是否充?#32622;小?#22914;果我们确认单独的控制可能不充?#32622;?#24863;只是在和其他控制组合时才充?#32622;?#24863;解决某个相关认定?#30446;?#33021;出错项的环节我们要决定是否选择其他控制来测?#28020;?br>对于应用控制控制可能只?#24615;?#21644;相关IT一般控制组合才充?#32622;小?#20363;如我们选择测试依赖IT的手工控制如^复核不匹配的采购发票和货物入库单?#20445;?#35813;控制是建立在IT系统产生的报告基础之上。如果依赖IT的手工控制单独使用时不够充?#32622;?#24863;则我们决定是否也要选择对能确认编制这些报告使用的数据的准确性和完整性的控制进行测?#28020;?br>我们考虑以下方面来评价已选测试的控制是否充?#32622;?#24863;
1
计划重要性水平和可容忍误差。当可容忍误差变小?#20445;?#25105;们选择测试的控制要对预防、发现和更正错报要更?#29992;?#24863;
2
控制应对的风险的重要?#28020;?#22914;果相对应的风险重要程度高我们要选择测试对防止或发现并纠正错报更敏感的控制。例如某企业从事套期保值业务如果与计价认定相关的错报被识别为一项特别风险则我们需要确保识别了足够充?#32622;?#24863;的控制
3
控制执行的详细程?#21462;?#20363;如管理层每月复核公司的毛利这个控制不一定对发现和更正重大错报充?#32622;小?#28982;而每周复?#31246;?#20135;品分类的毛利控制可以考虑其充?#32622;?#24863;
4
控制活动中设定的金额限制。例如要求对变动超过10%的存货采购价进行跟踪关注这一控制可能不充?#32622;?#24863;然而要求对变动超过2%的存货采购价进行跟踪关注控制就变得充?#32622;?#24863;
5
控制执行的期间。控制可以在某一审计期间?#24615;?#34892;或在一个时点运行但是要与那个时点累计的交易相关。对于发生在某一时点的业务来?#25285;?#25511;制在该时点是否得到执行也会影响到控制的充分性和敏感?#21462;?#20363;如如果每年企业进行存货盘点在财务报表日或接近该日那盘点控制就是充?#32622;?#24863;的。然而如果每年的存货盘点在企业财务中期执行那么对整个审计期间而言在发现和纠正错报方面该控制就不一定充?#32622;?#24863;了
6
控制执行的?#24503;福?#20363;如季度的银行余额调节表不充?#32622;小?#28982;而每周或每月的银行余额调节表是充?#32622;?#24863;的
7
控制执行的及时?#28020;?br>例如每月准备和复核银行余额调节表这个控制如果该月末的一个月内复核就不充?#32622;小?#28982;而在月末后的一周内复核是充?#32622;?#24863;的。
在采用自上而下的方法执行内部控制审计?#20445;?#22914;果识别并选取?#22235;?#22815;充分应对重大错报风险的控制则不需要再测试针对同样认定的其他控制。我们在考虑是否有必要测试业务流程、应用系统或交易层面的控制之前首先要考虑测?#38405;?#20123;与重要账户的认定相关的企业层面控制的?#34892;浴?#22914;果企业层面控制是?#34892;?#30340;?#19994;?#21040;精确执行能够及时防止或发现并纠正影响一个或多个认定的重大错报我们可能不必就所有流程、交易或应用层面的控制的运行?#34892;?#24615;获取审计证据。
我们应当选择测?#38405;?#20123;对形成内部控制审计意见具有重大影响的控制。对于与所有重要账户和列报相关的所有相关认定我们都需要取得关于控制设计和运行是否?#34892;?#30340;证据。如果存在多个控制均应对相关认定有关的重大错报风险我们通常会选择那些能够以最?#34892;?#30340;方?#25509;?#20197;测试的控制。
企业管理层在执行内部控制自?#31227;?#20215;时选择测试的控制可能多于我们认为为了评价内部控制的?#34892;?#24615;有必要测试的控制。管理层的这种决定不影响我们会计师的控制测试决策我们只需要测?#38405;?#20123;对形成内部控制审计意见有重大影响的控制。
三、
与控制相关的风险
在测?#36816;?#36873;定控制的?#34892;?#24615;?#20445;?#25105;们应当根据与控制相关的风险确定所需获取的审计证据。
与控制相关的风险包括一项控制可能无效的风险?#32422;?#22914;果该控制无效可能导致重大缺陷的风险。与控制相关的风险越高我们需要获取的审计证据就越多。
?#38109;?#22240;素影响与某项控制相关的风险
l
该项控制拟防止或发现并纠正的错报的性质和重要程度
l
相关账户、列报及其认定的固有风险
l
交易的数量和性质是否发生变化进而可能对该项控制设计或运行的?#34892;?#24615;产生不利影响
l
相关账户或列报是否曾经出现错报
l
企业层面控制特别是监督其他控制的控制的?#34892;?#24615;
l
该项控制的性质及其执行?#24503;剩?br>l
该项控制对其他控制如控制环境或信息?#38469;?#19968;般控制?#34892;?#24615;的依赖程度
l
执行该项控制或监督该项控制执行的人员的专业胜?#25991;?#21147;?#32422;?#20854;中的关键人员是否发生变化
l
该项控制是人工控制还是自动化控制
l
该项控制的复杂程度?#32422;?#36816;行过程中依赖判断的程?#21462;?br>在连续审计中影响与控制相关的风险的因素除上述因素外还包括
l
以前审计所执行的审计程序的性质、时间安排和范围
l
以前审计控制测试的结果
l
自上次审计以来控制或流程是否发生变化。
四、
控制测试的程序的性质
控制测试的审计程序的类型包括询问、观察、检查和重新执?#23567;?#20197;下分别对四种审计程序类型予以?#24471;?br>4.1询问
询问是指我们以书面或口头方式向被审计单位内部或外部的知情人员获取信息并对答复进行评价的过程。作为对其他审计程序的补充询问广泛应用于整个审计过程?#23567;?br>我们通过与被审计单位有关人员进行讨论获取与内部控制相关的信息。在讨论中我们要注意保?#31181;?#19994;怀?#21830;取?#20294;是仅实施询问程序不能为某一特定控制的?#34892;?#24615;提供充分、?#23454;?#30340;证据。我们通常需要获取其他信息以印证询问所取得的信息这些其他信息包括被审计单位其他人员的佐证控制执行时所使用的报告、手册或其他文件?#21462;?#34429;然询问是一种有用的手段但是它必须和其他测试手段结合使用才能发挥作用。在?#25215;?#24773;况下我们应从管理层那里获取书面声明以确认对口头询问的回复。例如我们询问管理层针对异常报告中的发现的跟进程序或纠正措施。
4.2观察
观察是指我们查看相关人员正在从事的活动或实施的程序。
观察是测试运行不留下书面记录的控制的?#34892;?#26041;法。例如对于职责分离相关的控制我们需要获得第一手证据不仅通过询问取得关于责任分工的信息而且通过?#26723;?#35266;察证实责任分工控制是按规定执行的。
观察?#37096;?#36816;用于测试对实物的控制例如查看空?#23383;?#31080;是否妥善保管。通常情况下我们通过观察直接获取的证据比间接获取的证据更可靠。
观察可以提供执行有关过程或程序的审计证据但观察所提供的审计证据仅限于观察发生的时点而且被观察人员的行为可能因受到观察而受到影响这也会使观察提供的审计证据受到限制。例如我们可以通过观察处理现金收款的过程以对现金收款的控制进行测试但是由于观察只针对某一时点因此我们需要结合运用询问?#32422;?#26816;查相关的文件以获得更多对于某一?#38382;?#26399;内控制运行?#34892;?#24615;的证据。
4.3检查
检查是指我们?#21592;?#23457;计单位内部或外部生成的以纸质、电子或其他介质?#38382;?#23384;在的记录和文件进行审查或对资产进行实物审查。
检查通常用于确认控制是否得以执?#23567;?#20363;如对偏差报告进行调查与跟进这一控制负责调查和跟进的人员在变差报告中添加的书面?#24471;?#31649;理人员审核时留下的记号或其他标记都可以作为控制得到执行的证据。我们需要检查显示控制得以执行的可以合理预期其存在的证据。缺乏证据可能表示控制没有按规定运行我们需要执行进一步程序以确定事实上是否存在?#34892;?#30340;控制。
检查记录和文件可以提供可靠程度不同的审计证据审计证据?#30446;?#38752;性取决于记录或文件的性质和来源在检查内部记录和文件?#20445;?#20854;可靠性取决于生成该记录或文件的内部控制的?#34892;浴?#20363;如被审计单位通过定期复核账龄?#27835;?#34920;应对银收账款计价认定错报如果账龄?#27835;?#34920;不准确或不完整就会影响控制的?#34892;浴?br>在?#34892;?#24773;况下存在书面证据不一定表明控制一定?#34892;А?#20363;如凭证审核时一直常见的控制但是看?#35282;?#21517;不一定能证明审核人员?#38505;?#23457;核了凭证审核人员可能只粗略浏览凭证甚至未审核而直接签名。因此通过检查凭证签名获得的审计证据的质量可能不具有说服力。
4.4重新执行
重新执行是指我们独立执?#24615;?#26412;作为被审计单位内部控制组成部分的程序或控制。
通常只有?#24330;?#21512;运用询问、观察和检查证据仍无法获得充分、?#23454;?#30340;证据?#20445;?#25105;们才考虑通过重新执行以证实控制是否?#34892;?#36816;?#23567;?#37325;新执行的目的是评价控制的?#34892;?#24615;而不是测试特定交易或余额的存在或准确性因此一般不必选取大量的项目也不必特意选取金额重大的项目进行测?#28020;?br>对一些简单、常规的控制在控制测试中实施询问、观察或检查程序可能对于测试该控制的运行?#34892;?#24615;而言已经足够。我们不需要机?#26723;?#35748;为对所有的关键控制都需要通过重新执行进行测试而是要根据与控制相关的风险?#23454;?#35843;整控制测试的性质。
我们可能设计以?#24405;?#31181;程序来测?#38405;?#20010;控制例如

如果管理层需要执行发现和纠正控制程序?#28304;?#23558;企业的月度结果和核准预算进行比较则我们可设计以下程序l
询问!询问管理层有关预算的编制、其将?#23548;?#32467;果与预算进行比较的方法?#32422;?#22312;其识别出异常波动或异常金额时所采取的行动
l
观察!观察管理层将月度预算与?#23548;?#32467;果进行比较的过程以确认其执行该控制的流程
l
检查!检查与调查预算与?#23548;?#32467;果之间差异有关的报告。

例如对客户的调节程序的测试可能包括以下内容

l
询问!我们可以询问编制调节的职员如何识别调节项目其产生的原因?#32422;?#24403;需要更正调节项目时所设置的确保会计记录被及时更正的程序。我们还可以询问管理层他们是怎样保证调节被正确和及时地编制的
l
观察!我们可以观察一个调节的编制。然而我们应清楚当职员知道他们被人观察时可能更勤勉地执行程序
l
检查!检查是否存在调节。我们评估数据来源?#30446;?#38752;性并评估调节为手工编制或自动生成。
同?#20445;?#25105;们将通过检查与审计期间相关的时期内编制的调节表以获得其存在的证据进而确定调节表是否发现了错误?#32422;?#36825;些错误是否被及?#26412;?#27491;
l
重新计算!检查手工编制的调节表的数字准确性
l
重新执行测?#28020;?#23558;一个或多个调节表中的?#25215;?#37329;额跟踪至相关记录或其他文档如银行对账单以获取审计证据证明程序已按照预先设计的方式执?#23567;?br>如果需要测试企业的实物存货我们可以设计以下程序并将其作为我们进行存货监盘的一部分

l
询问!询问管理层关于执行实物存货盘点的政策和程序
l
观察!观察管理层关于实物存货盘点的指示是否被执行企业在存货发生变动?#20445;?#21363;?#34385;亜?#20107;中和事后如何进行存货盘点盘点使用的程序?#32422;?#20854;他用于控制存货盘点的活动识别正在进行的工作或?#20889;卫?#32972;存货
l
观察!观察存货以确立存在性并识别?#20889;卫?#32972;存货。
我们同?#34987;?#26816;查工作底稿比如存货盘点?#24471;?#21644;编制的标签。

在执行盘点时我们将通过追踪从那些记录中挑选出来的项目到实物存货和从实物存货中挑选出来的项目到盘点记录中来测试盘点记录的完整性和准确?#28020;?br>五、
控制测试的时间安排
对控制?#34892;?#24615;的测试涵盖的期间越长提供的控制?#34892;?#24615;的审计证据越多。对于内部控制审计业务我们应当获取内部控制在基准日之前一段足够长的期间内?#34892;?#36816;行的审计证据。在整合审计中我们控制测?#36816;?#28085;盖的期间应尽量与财务报表中拟信赖内部控制的期间保持一致。
对控制?#34892;?#24615;测试的实施时间越接近基准日提供的控制?#34892;?#24615;的审计证据越有力。为了获取充分、?#23454;?#30340;审计证据我们应当在?#38109;?#20004;个因素之间作出平衡以确定测试的时间
1
尽量在接近基准日实施测试
2
实施的测试需要涵盖足够长的期间。
5.1期中测试的两种方法
在整合审计中测试控制在整个会计年度的运行?#34892;?#24615;?#20445;?#25105;们可以应当按照本章第六节中提供的样本规模表进行期中测试然后对剩余期间实施前推测试或将样本分成两部分一部分在期中测试剩余部分在临近年末的期间测?#28020;?#22914;果认为所选取的样本规模足以满足内部控制审计的目的上述第二种测试方法可能是更为?#34892;?#30340;审计方法接近年末测试的样本越多可以为财务报表审计和内部控制审计提供越多的审计证据。
与所测试的控制相关的风险?#38477;唯?#25105;们需要对该控制获取的审计证据就越少可能对该控制实施期中测试就可以为其运行?#34892;?#24615;提供充分、?#23454;?#30340;审计证据。相应的如果与所测试的控制相关的风险越高需要获取的证据就越多我们应当取得一部分更接近基准日的证据。
5.2是否测?#21592;?#21462;代的控制
如果被审计单位为了提高控制效果和效率或整改控制缺陷而对控制作出改变我们应当考虑这些变化并?#23454;?#20104;?#32422;?#24405;。如果认为新的控制能够满足控制的相关目标而且新控制已运行足够长的时间足以使我们通过实施控制测试评估其设计和运行的?#34892;?#24615;则我们不再需要测?#21592;?#21462;代的控制的设计和运行?#34892;浴?#20294;是如果被取代的控制的运行?#34892;?#24615;对我们执行财务报表审计时的控制风险评估具有重要影响我们应当?#23454;?#22320;测试这些被取代的控制的设计和运行的?#34892;浴?br>5.3期中测试和前推程序
我们执行内部控制审计业务旨在对基准日内部控制?#34892;?#24615;出具报告。如果已获取有关控制在期中执行?#34892;?#24615;的审计证据我们应?#27604;?#23450;还需要获取哪些补充审计证据以证实剩余期间控制的运行情况。在将期中测试结果前推至基准日?#20445;?#25105;们应当考虑?#38109;?#22240;素以确定需要获取的补充审计证据
l
基准日之前测试的特定控制包括与控制相关的风险、控制的性质和测试的结果
l
期中获取的有关审计证据的充分性和?#23454;?#24615;
l
剩余期间的长短
l
期中测试之后内部控制发生重大变化?#30446;?#33021;性
l
我们基于对控制的依赖程度拟减少进一步实质性程序的程度仅适用于整合审计
l
控制环境。
我们应?#27604;?#23450;针对期中测试过的控制在临近基准日的期间内运行情况需要获得哪些补充证据。根据控制风险的不同我们可以通过询问或其他程序获得补充证据。例如扩大样本对控制在剩余期间的运行?#34892;?#24615;进行测试或测?#21592;?#23457;计单位对控制的监控。
在很多情况下由于我们在期中对控制实施了充分的测试因此仅需实施询问程序或综合运用询问和观察程序就可以对该控制是否继续?#34892;?#36816;行提供充分的证据尤其是那些风险不高的控制。
但是与控制相关的风险越高期中测试的时间与基准日间隔越久我们就剩余期间控制运行的?#34892;?#24615;获取证据而实施的程序越可能不限于询问还要包括观察、检查甚至重新执?#23567;?#22312;这种情况下我们只需对每个控制在剩余期间的运行情况测试1?#20301;鮗复?#36890;常就足够了。
如果由于自期中控制测试之后流程发生了涉及重要控制或重要风险的重大变化导致我们认为与控制相关的风险很高从而决定针对控制在剩余期间的运行?#34892;?#24615;获得重新执行程序能够提供的保证程度我们实施重新执行程序时应执行本章6.3.1规定的最低样本规模。
5.4针对信息?#38469;?#19968;般控制ITGCs和应用控制的前推程序
自动控制一旦被证明运行?#34892;В?#36890;常不会发生运行不一贯的情况前提是存在?#23454;映页?#32493;?#34892;?#30340;信息?#38469;?#19968;般控制。如果信息?#38469;?#19968;般控制?#34892;?#19988;关键的自动化控制未发生任何变化我们不需要对该自动化控制实施前推测?#28020;?#20294;是如果我们在期中对重要的信息?#38469;?#19968;般控制实施了测试则通常还需要对其实施前推测?#28020;?br>如果我们认为一个或一个以上重要的信息?#38469;?#19968;般控制无效我们需要评估其对总体信息?#38469;?#29615;境?#32422;?#23545;任?#25105;?#36182;这些信息?#38469;?#19968;般控制的自动化控制的持续?#34892;?#24615;的影响。如果重要的信息?#38469;?#19968;般控制无效且无法获得其他替代证据以证实关键的自动控制自其上次被测试后未发生变化我们在执行内部控制审计?#20445;?#36890;常需要获取有关该自动控制在接近基准日的期间内是否?#34892;?#36816;行的证据。在确定拟实施的前推测试的性质、时间安排和范围?#20445;?#25105;们需要运用职业判断。根据对控制相关风险的评估结果通过实施询问和观察程序有可能为依赖信息?#38469;?#19968;般控制的关键自动控制的持续?#34892;?#36816;行提供充分的证据。在执行整合审计?#20445;?#25105;们需要评估对于财务报表审计在信息?#38469;?#19968;般控制无效的期间内是否可以依赖这些自动控制。
5.5集团内部控制审计中实施前推程序?#30446;?#34385;
?#34892;?#38598;团设立了对?#25215;?#27969;程或交易进行集中化处理的共享服务?#34892;模?#36825;些服务?#34892;?#23545;交?#29366;?#29702;采取流水线作业风?#25112;系唯?#25105;们选取实施控制测试的样?#20928;?#28041;及多个组成部分在考虑是否?#26723;?#35775;问样本所涉及的组成部?#36136;保?#25105;们需要作出职业判断。在这种环境下组成部分层面的关键控制通常是常规性的我们可以通过电话询问的方式向相关的组成部分管理层了解有关常规控制在期中测试之后的情况无需?#26723;?#35775;问组成部分。如果对风?#25112;?#39640;的控制进行前推测试或对常规控制实施询问以外的程序以验证询问结果我们可以考虑要求被审计单位将相关支持性文件记录报送给我们而无需?#26723;?#32771;察。
如果是在控制非同质化的环境下风?#25112;?#39640;即交?#29366;?#29702;发生在组成部分层面我们就需要实施询问以外的程序因此相当一部分的前推测试可能需要在组成部分的现场实施。
六、
控制测试的范围
我们应当运用职业判断确定内部控制测试的范围。
6.1影响测试范围的因素
影响测试范围的因素很多包括但不限于
l
与控制相对应?#30446;?#33021;出错项的严重程?#21462;?#23545;于那些对财务报告准确性影响重大的控制我们通常应扩大审计范围以确认其运行的?#34892;?#24615;如针对舞弊的控制针对大量业务的手工控制与重大关联交易相关的控制等
l
控制运行的?#24503;福?#25511;制运行的?#24503;试?#39640;所需测试的范围越广泛
l
业务或控制的复杂?#28020;?#34987;控制的业务越复杂或控制的运?#24615;?#22797;杂?#32422;?#19982;控制运行相关的判断具有重大性则我们的测试范围就越广泛
l
相关业务流程处理程序的变化。当相关处理程序发生重大变化?#20445;?#25105;们需了解这些变化并考虑这些变化可能对控制测试造成的影响以确定?#23454;?#30340;审计策略测试范围可能会发生相应的改变
l
当我们计划依赖内部审计人员或他人的测试结果?#20445;?#20869;部审计人员或他人在所审计期间执行类似或相关测试的范围将影响我们测试的范围。
6.2抽样方法的一般考虑
我们需要确定一个足够将抽样风?#25112;档?#21040;可接受水平的样本量?#39029;?#26679;方法应当保证样本总体中的每个项目都有均等的被挑中的机会。
当我们从一个特定的总体中选择要测试的样本?#20445;?#38656;要考虑以下因素
l
审计程序的目标和样本总体的特征。我们需确定控制测试的目标?#32422;?#22914;何测试控制来证明其运行?#34892;В?#24182;确定进行测试的?#23454;?#30340;总体
l
确保所审计期间内与控制运行相关的数据的完整?#28020;?#25105;们通过执行一定的审计程序以确保从中选择样本的总体是完整的
l
选择样本的方法。我们选择样本的方法应使总体中每一个项目都有均等的被挑中的机会如采用一组随机数字进行挑选
l
总体的大小和构成。
6.3样本参考量
我们在测试控制的运行的?#34892;?#24615;?#20445;?#24212;当在考虑与控制相关的风险的基础上确定测试的范围样本规模。我们确定的测试范围应当足以使其能够获取充分、?#23454;?#30340;审计证据为基准日内部控制是否不存在重大缺陷提供合理保证。当控制设计?#34892;保?#31359;行测试样本可以作为控制测试的样本。
6.3.1测试人工控制的最小样本规模
在测试人工控制?#20445;?#22914;果采用检查或重新执行程序我们测试的最小样本规模区间见下表
控制运行?#24503;?br>控制运行总?#38382;?br>测试的最小样本规模区间
每年1次
1
1
?#32771;?次
4
2
每月1次
12
2-5
每周一次
52
5-15
每天一次
250
20-40
每天多次
大于250次
25-60
在运用上表?#20445;?#25105;们应?#24330;?#24847;?#38109;?#20107;项
1
测试的最小样本规模是指所需测试的控制运行?#38382;?br>2
我们应当根据与控制相关的风险基于最小样本规模区间确定具体的样本规模。即如果我们判断与控制相关的风险为低则我们可选取最小样本规模区间的最小值作为控制测试的样本量如果与控制相关的风险为高则我们必须选取最小样本规模区间的最大值作为控制测试的样本量如果与控制相关的风险为中则我们根据职业判断在最小样本规模区间最小值和最大值内选择?#23454;?#30340;样本规模
3
上表假设控制的运行偏差?#35797;?#26399;为零。如果预期偏差率不为零我们应当扩大样本规模
4
如果我们不能确定控制运行的?#24503;剩?#20294;是知道控制运行的总?#38382;?#20173;可根据^控制运行的总?#38382;?#19968;列确定测试的最小样本规模。
在确定控制运行的?#24503;?#25110;控制运行的总?#38382;保?#25105;们要注意拟测试的控制是否是同质的如果控制是同质的我们可将不同的控制作为同一个总体。例如如果由统一的财务主管复核每个人编制的银行余额调节表通过了解和评价财务主管的复核控制可?#21592;?#35777;经复核的控制是同质的则可以将两个人执行的控制作为一个总体。
需要注意的是我们不能将整个集团作为一个总体将我们拟测试的控制的总量分配到集团内各个组成部分。例如对于某个控制我们拟测试40个样本量如果该集团下有8个组成部分我们不能每个组成部分选取5个样本进行测?#28020;?#25105;们应当挑选重要组成部分对每个组成部分选取40个样本量进行测?#28020;?br>6.3.2测?#26434;?#29992;控制的最小样本规模
信息?#38469;?#22788;理具有内在一贯性除非系统包括系统使用的表格、文档或其他永久性数据发生变动一项应用控制应当一贯运?#23567;?#23545;于一项应用控制一旦确定被审计单位正在执行该控制我们通常无须扩大控制测试的范围但需要考虑执行?#38109;?#27979;试以确定该控制持续?#34892;?#36816;行
l
测试与该应用控制有关的一般控制的运行?#34892;?#24615;
l
确定系统是否发生变动如果发生变动是否存在?#23454;?#30340;系统变动控制
l
确定对交易的处理是否使用授权批准的软件版本。例如我们可?#32422;?#26597;信息系统安全控制记录以确定是否存在未经授权的接触系统硬件和软件?#32422;?#31995;统是否发生变动。
在信息?#38469;?#19968;般控制?#34892;?#30340;前提下除非系统发生变动我们只要对应用控制的运行测试一次即可得出所测?#26434;?#29992;控制是否运行?#34892;?#30340;结论。
除非系统发生变动我们通常不需要增加应用控制的测试范围。
6.4追加控制测试
我们执行财务报告内部控制审计业务通常旨在对企业内部控制自?#31227;?#20215;基准日财务报告内部控制的?#34892;?#24615;发表意见。如果已获取有关控制在期?#24615;?#34892;?#34892;?#24615;的证据我们应?#27604;?#23450;还需要获取哪些补充证据、证实在剩余期间剩余期间是指期中测?#36816;?#28085;盖期间与整个所审计期间的差异控制的运行情况以获取充分、?#23454;?#30340;审计证据来确认该项空载在整个所审计期间内运行?#34892;А?br>决定是否执行追加控制测试程序?#32422;?#36861;加控制测试的范围需要我们运用一定的职业判断。与控制相关的风险越大追加测试的范围越大剩余期间越短追加控制测试的范围就越小所需获得的补充审计证据就越少。如果在剩余期间重大业务流程或相关控制发生了重大变化则我们需要考虑对新的控制或补偿性控制追加测?#28020;?br>七、执行内部控制测试
我们通过执行控制测试来评价我们计划依赖的每个与财务报表认定相关的控制。如果我们识别出控制例外情况我们应评估控制例外情况造成的影响并做出?#23454;?#30340;应对措施。
7.1执行控制测试的一般考虑
我们应通过询问、观察、检查、重新执行?#30830;?#27861;执行控制测试并获得充分、?#23454;?#30340;审计证据以确定控制的运行是否?#34892;А?br>我们应对每个选定的样本执行控制测试如果执行控制测试时发现选定的样本不适用则应选取一个替代性样本进行测?#28020;?#20363;如我们在测试付款业务的授权审批控制?#20445;?#36873;到一张已作废的支票。如果我们确定那张支?#27604;?#23454;已作?#24076;?#21017;应选取一个替代性样本进行测试而不认为这是一项控制例外情况。
对于一个选定的样?#20928;?#26367;代性样本如果无法执行我们所设计的控制测试或?#23454;?#30340;替代性测试则我们应认为该样本是一项控制例外情况。例如对于一个选定的样本如果由于企业不能提供支持性文档而无法执行我们所设计的控制测试则我们认为这是一项控制例外情况并需要确定?#23454;?#30340;应对措施。
7.2审计证据质量的额外考虑
执行控制测试?#20445;?#25105;们应评估所获得的审计证据的质量确定这些审计证据是否能够支持我们得出的结论。
如果我们对取得的审计证据所含信息存在疑虑或者我们从一个来源取得的审计证据与从另一个来源获得的审计证据不相符、存在矛盾之处我们应认为这是一个潜在的控制偏差应确定?#23454;?#30340;审计应对措施并评估其影响。
在识别是否可能存在因舞弊引发的重大错报的控制测试中我们应该抱着职业怀?#21830;?#24230;确定所取得的相关审计证据?#30446;?#38752;性必要?#24330;?#35810;专?#19994;?#24847;见。
如果我们有理由相信一份文档是不可信的或者该文档已被故意修改且未告知我们我们应该考虑这是否是一?#27835;?#24330;的迹象。
八、
评价控制偏差
控制偏差是指在内部控制测试中我们选择进行测试的某个控制没有按照控制设计的要求被?#34892;?#25191;行或者没有被执?#23567;?#25105;们对于在执行内部控制测试过程中发现的控制例外情况首先应?#27604;?#35748;其是否构成一项控制偏差。当识别出一项控制偏差后我们应调查控制偏差的属性?#32422;?#24418;成原因并评价该项控制偏差对原定的审计程序和其他方面的影响。
8.1确认控制偏差
内部控制测试中可能会发现一些例外情况我们应当执行进一步的审计程序以确?#38505;?#20123;例外情况是否属于控制偏差。我们应当调查原先对重大业务流程及相关控制的理解是否有误。如果原先的理解有误我们则应?#20445;海?记录对重大业务流程及相关控制的正确理解撮2重新执行穿行测试撮3重新执行控制测?#28020;?br>一般出现以?#34385;?#20917;?#20445;?#25105;们可以认为在控制测试中发现的例外情况不是控制偏差
1
根据进一步评价我们确定识别出的例外情况事实上不是控制预设目标的一项偏差即我们在初步评价时没有对例外情况作出正确的解释
2
基于对控制设计的了解我们能够通过追加执行除询问以外的审计程序获得充分、?#23454;?#30340;审计证据以确认该控制偏差引发的错误在可以接受的水平即小于可容忍误差。
如果我们确定这不是一项控制偏差则可以选取替代性样本以获得证明控制运行?#34892;?#24615;的充分、?#23454;?#30340;审计证据。但也应注意到这种情形可能?#24471;?#20102;相关控制的设计存在缺陷。
8.2确定控制偏差的属性
当控制测试中发现的例外情况被确认为控制偏差我们应当执行进一步的审计程序以确认该项控制偏差是系统性的还是随机性的。系统性偏差是指在相似情形下预计都会发生的错误。随机性偏差是指?#26082;环?#29983;的错误。
当我们遇见一项控制例外情况?#20445;?#24212;当询?#25163;?#34892;该项控制的人员以了解控制例外情况是如何发生的并考虑获得其它相关的信息例如
l
该人员的监督者是否事先识别出了类似的例外情况

l
管理层对于例外情况发生的真实或疑似原因的理解

l
管理层可能意识到的除了识别出的例外情况以外的其他例外情况
(例如一项之前被认为是?#34892;?#30340;ITGC其实是无效的)

l
管理层在发现这些情况后的应对计划。
了解识别出的控制例外情况的性质及发生的原因能帮助我们确定在特定的范围内是否会有类似的潜在错误发生?#32422;?#35813;项控制例外情况是否会上升成为一项重大错报。与重大账户和认定相关的控制导致的重大错报风险是一项特别风险造成的控制例外可能对财务报表产生更重大的影响。
如果我们断定一项控制例外情况是故意造成的则我们需考虑对特定账户及认定、重大交易流程或财务报表整体舞弊方面的影响

在确定一项控制偏差是系统性的还是随机性的时候我们需考虑以?#38109;?#20010;方面?#28023;?控制偏差是否具有共同特征。例如控制偏差发生在?#25215;?#29305;定类型的业务、地点或生产线中或者发生在同样的人员执行该项控制?#20445;?#25233;或是发生在某一特定的时期。2
控制偏差是否是由于基础工作错误造成的。例如控制偏差是由于错误的公式或计算造成的或者是基于不完整或不准确的数据造成的。
如果我们确认控制偏差是系统性的则无需再扩大样本量而是直接将该项控制偏差视作一项内部控制缺陷。
8.3确定审计应对措施
如果我们认为一项控制偏差是随机的则应对确定?#23454;?#30340;审计应对措施。这些措施包括
1
扩大样本量进行测试从而确定测试发现的错误率在可容忍范围内
2
直接将该项控制偏差视作一项内部控制缺陷。
如果决定扩大样本量进行测试我们应当根据控制偏差的数量来确定扩大样本量的范围。当我们选择测试25个样本预期没有控制例外情况并发现了一个随机性的控制例外情况?#20445;?#25105;们应至少增加测试15个样本即一共测试40个样本。同样如果我们选择测试60
个样本预期没有控制例外情况而发现了一个随机性的控制例外情况我们应至少增加测试40个样本即一共测试100个样本。
对于那些不是每天发生一?#20301;?#22810;次的控制例如每周、每月或?#32771;?#24230;发生一次我们应当运用职业判断来确定增加测试的样本量或一项?#23454;?#30340;审计应对措施以得出该项例外情况不具有代表性?#32422;?#19981;会影响其余样本的结论。
如果我们扩大样本量后并没有识别出新的控制偏差则认为尽管存在一项控制偏差但测试范围内的错误率在可容忍范围内且该控制偏差不具有代表?#28020;?#36827;而我们可以得出该项内部控制运行?#34892;?#30340;结论如果我们扩大样本量识别出了新的控制偏差则应得出该项内部控制运行无效的结论。
九、工作底稿记录
在选择、设计内部控制?#20445;?#25105;们需要记录计划测试的控制的性质时间和范围包括:

l
我们的控制测?#36816;?#28085;盖的期间l
我们的控制测?#36816;?#28085;盖的总体

l
我们计划选择样本和样本量的方法。
我们需描述程序将如何被执行以帮助经验不足的小组成员?#34892;?#22320;执行控制测试例如可以?#23500;?#30340;对象包含所需资料的报告名称。
在执行内部控制测试中我们需要记录
l
被测试的样本明细例如发票号码、选取测试的月份等

l
所做程序的结果或发现?#32422;?#24471;出的结论

l
识别出的控制例外情况如果有包括产生的原因和控制例外情况的影响?#32422;?#23457;计应对措施

l
当由于识别出了控制例外情况和缺陷后原始的审计策略不再适用因此须记录审计策略的变更或对计划的实质性程序的修改。

第十六章
了解和评价财务报告流程FSCP
财务报告流程指对各种交易的结果进行汇总、复核、合并、编辑并编制成各种监管及管理财务报告的过程。我们了解和评价企业在编制会计报表时所使用的财务报告流程和相关控制活动的设计和运?#23567;?br>财务报告流程将企业会计记录中反映的业务转换为会计报表和相关列报通常作为一个单独的重大业务流程。由于财务报告流程对业务层面的很多流程?#21363;?#22312;联系和影响因此我们应在评估企业层面控制时同时考虑这一流程。
对于了解、记录和穿行测试财务报告流程的要求在很多方面与针对重大业务流程的的要求相同。因此了解重大业务流程和重大列报流程的穿行测试中的指引通常适用于财务报告流程过程。
在每个审计项目中我们应了解财务报告流程中相关发生授权和记录记账分录的控制活动。
一、了解和评价财务报告流程过程
1.1、财务报告流程了解程度
我们对财务报告流程的理解将有助于我们识别重大错报风险和确定审计策略包括测?#21592;?#21046;?#36816;?#24179;衡表和财务报表的策?#28020;?br>我们应了解财务报告流程从发生点到在财务报表中的报告包括列报。我们了解的程度取决于财务报告流程的复杂性同?#20445;?#25105;们?#37096;?#34385;到以?#24405;?#26041;面
l
管理层凌驾于已识别财务报告流程控制之上的风险评估。管理层由于其特殊位置容易凌驾于已识别控制之上或者导致其他人凌驾于控制之上。财务报告流程为管理层凌驾于控制之上提供了更大的机会是因为它发生在期间结束至财务报表发?#36857;?#28183;透到整个财务报表包括最终调整的编制和过账许多涉及管理层的判断。当我们由于舞弊因素已经确定重大错报风险我们将考虑可能对财务报告流程操作风险的影响尤其是否存在管理层凌驾于财务报告流程之上的更高层次的风险。管理层凌驾的检查风险越大我们对财务报告流程的了解就更为详细以恰当应对那些风险。
财务报告流程中可应对董事会、管理层凌驾于控制?#32422;?#20854;他财务报告目标之上的风险的控制可能包括
l
将会计及财务报告政策及程序标准化

l
将经各级严格复核的合并报告资料标准化

l
要求财务报告人员具有?#23454;?#30340;知识及经验

l
?#34892;?#30340;内审职能

l
对重大及异常交易进行控制尤其是导致期后及异常分录的交易。

我们还会考虑审计委员会所发挥的作用和?#34892;?#24615;减少董事会、管理层凌驾于控制之上的风险或管理层对财务报告流程施加不当影响。
当我们识别出应对董事会、管理层凌驾于控制之上的风险的控制并确认其与审计有关?#20445;?#25105;们将测试这些控制。
l
我们从以往审计中获得的对企业的经验和认识包括在审计中发现错报的数量和性质。
举例?#24471;?#22312;上期审计我们识别许多管理层后来调整的许多错报。在当期我们询问管理层为了防止这些错报再次发生而实施的改变并测试这些改变是否充分。如果我们确定管理层对财务报告流程没有作出充?#25351;?#21464;来防止错报再次发生我们需要设计合理的程序以识别和估计错报对财务报表的影响。
1.2、对财务报告流程进行了解的起点
了解财务报告流程的起点可能因公司而异。但一个重要的原则是确定对财务报告流程进行了解的起点与各重大业务流程进行了解的终点向重合。
1对于常规的重大业务流程财务报告流程的起点通常是业务分录过账到总账

2对于包括会计估计得重大业务流程财务报告流程的起点可能会计估计的整个过程或者从会计估计的中途开始作为了解财务报告流程的起点。例如在计提坏账估计的业务流程里我们识别出一位会计人员基于长账龄的预估比例来估计坏账。基于对已知的?#19979;?#20184;款者和?#34892;?#29992;困难的企业的识别他们根据计算并做出调整来判断。我们将之记录下来作为估计业务流程了解的一部分。在报告阶段的最后财务总监会对坏账的合理性进行复核并基于他们?#32422;?#30340;知识和经验作出最终调整。对于上述整个重大业务流程而言我们可以将财务总监的复核过程作为了解财务报告流程的起点因为在期末结账?#20445;?#36825;个流程与其他重大账户的调整在一起进?#23567;?br>1.3
了解和评价财务报告流程的程序
1.3.1
了解财务报告流程的子过程
我们通过执行穿行测试识别和记?#35745;?#19994;用于编制会计报表所需的数据输入、执行的程序和输出数据来获得对财务报告流程的总体了解。

我们可以借助以下内容对企业的财务报告流程及子流程进行了解
l
使用公司的书面手册或者其他指引结合我们对财务报告流程的现有认识
l
询问企业人员关于发生在每一重要子过程原?#38469;?#20837;数据和最终输出数据之间的活动包括那些可能由计算机执行的活动
l
了解从其他过程转到财务报告流程子过程的信息。
财务报告流程包括三个子流程
l
编制?#36816;?#24179;衡表并进行任何必要的合并
l
发生授权和记录记账分录
l
编制财务报表及相关列报。

1.3.1.1编制?#36816;?#24179;衡表并进行任何必要的合并
在进行财务报表结账之前企业编制?#36816;?#24179;衡表并进行必要的合并。企业在合并财务报表?#34987;?#35760;录合并调整分录和附加抵消分录。如果国外分支机构使用外币作为记账本位币还包括货?#19968;?#31639;程序。
1.3.1.2生成、授权和记录记账分录
在生成、授权和记录会计分录阶段财务报告流程通常包括记录各种类型调整分录。例如更正分录、关联方之间余额和交易的抵消分录、重分类调整。

在手工的、纸制为基础的总账系?#35802;n?#35760;账分录可以通过检查明细账、分录和支持性文件来确认。然而当计算机应用到维护总账和编制财务报表?#20445;?#35760;账分录可能只存在于电子表格有可能更难通过实物检查打印件来确认。
在所有审计项目中我们都需要了解管理层在记账分录的生成、授权和记录上的控制。

1.3.1.3编制财务报表及相关列报
企业可?#28304;?#20197;?#24405;?#26041;面编制财务报表列报
l
重大账户
(例如存货账户的明细分类)
l
财务报告流程所提供的相关信息当我们评估重大列报为财务报告流程的一部?#36136;保?#22312;对企业财务报告流程进行了解和评价?#20445;?#23601;已经包括了这些信息

l
特别摘录信息
(例如资本?#20449;?#21644;或有事项)。当我们决定将特别摘录信息作为一项重大列报我们确认单独的重大事项列报程序并获取对该事项包括特别摘录信息如何发生、记录、处理和报告?#32422;?#25511;制如果适用的了解。例如企业可能需要列报相关资本?#20449;機?#25110;有负债

(例如?#26680;?#35772;长期债务和经营租赁)
和市场风险列报。在这种情况下我们分开了解和记录重大列报流程和控制。
我们需要了解确保财务报表列报的正确性和完整性的核对程序还需要了解经理层对这些核对程序的审核和后续跟进措施。
对于每个审计项目而言在每个会计期间我们都要对财务报告流程上述三个子流程执行穿行测试来确认对其设计的了解并识别相关的控制。
1.4
识别可能出错项
我们在财务报告流程中识别出可能出错项能够对相关财务报表认定有重大影响。

当我们识别财务报告流程?#30446;?#33021;出错项?#20445;?#25105;们通常从处理流程的末端开始
(如财务报表和相关列报)
回到相关子过程的信息来源识别可能潜在发生差错的地方。
以下是识别可能发生错误时可能用到的问题的示例
l
从总账至?#36816;?#24179;衡表的合并是否?#23454;保?#35745;算是否准确

l
是否识别出所有必要的记账分录

l
是否正确及时记录了所有记账分录尤其是非标准记账分录

l
是否识别和?#23454;?#28385;足了相关的列报要求

1.5识别和了解财务报告流程中的控制活动
为了帮助识别相关控制我们可以询问关于可能发生错误的?#38109;?#38382;题
l
是什么证实了已识别所有必要的记账分录

l
是什么证实了所有记账分录尤其是非标准记账分录是被正确及时记录的

l
如何证实从总账至?#36816;?#24179;衡表的合并是?#23454;?#30340;且计算是准确的

l
如何证实已识别并?#23454;?#22320;满足了相关的列报要求

举例?#24471;?#26377;关财务报告流程子过程记账分录的控制包括以下内容
l
管理层复核记账分录尤其是非标准记账分录

l
管理层复核合并分录
l
相关限制发生和授权记账分录权限的逻辑存取应用控制
l
管理层测试输出数据

l
在编制会计报表时对账户合并的应用程序控制

l
管理层复核列报信息包括追踪金额至基础数据

l
与限制访问发生和授权记账分录相关的逻辑存取应用程序控制

l
支持在总账和合并应用程序之间进行完整和准确的信息传递的应用程序控制
l
管理层详细比较?#23548;?#32467;果和预算结果后续追踪较大金额和异常项目。

1.6
初步评价控制的?#34892;?#24615;
在每个会计期间我们都要对财务报告流程执行穿行测试来确认我们对其设计的了解。
当我们识别控制以后我们要对穿行测试过的控制的?#34892;?#24615;作出初步评价。
针对每一个识别出的控制无论是应用程序控制依赖IT的手工控制还是手工控制我们都要得出结论已识别控制是否
?#34892;В?#22914;果我们在穿行测试中发现控制?#34892;?#35774;计?#32422;?#23569;所识别?#30446;?#33021;发生错误控制在执行并如设计般运行那么我们初步评价控制为?#34892;А?br>

无效如果我们在穿行测试中发现控制没有如我们了解那样执行及/或控制设计没能减少所识别?#30446;?#33021;发生错误那么我们初步评价控制为无效。

关于财务报告流程相关控制的测试和评价请参见^第十六章
了解和评价财务报告流程 ̄。
第十七章
了解、穿行测?#28020;?#27979;试和评估IT一般控制
我们在测试业务层面控制?#20445;?#24212;了解信息系统在企业中的使用及其作用考虑信息系统环境及相关信息系统控制对于企业重大业务流程的影响并与信息系统鉴证部门讨论确认对信息系统环境内部控制的了解、测试和评价程序。
一、信息系统审计范围界定
我们在了解重大业务流程的过程中需识别贯穿重大流程的交易的生成、记录、处理和报告全过程中涉及到哪些信息系统并在业务流程的哪个、哪些环节或者全过程中提供了支持。在了解完所有重大业务流程及其相关的信息系统环境后建立重大业务流程和相关信息系统的匹配关系表并填制ゞ信息系统应用规模问卷?#32602;?#32467;合ゞ信息系统环境复杂度判断指引?#32602;?#38468;件一对信息系统环境的复杂程度进行评估。信息系统环境复杂程度被界定为复杂、或者我们根据审计风险评估认为有必要的应当要求信息系统鉴证部门的介入执行信息系统控制测?#28020;?br>信息系统鉴证部门在确定信息系统环境控制测试的范围?#20445;?#38656;考虑信息系统对重大业务流程的影响程?#21462;?#36890;常与被纳入审计范围的重大业务流程相关的信息系统都应纳入审计范围。此外在了解重大业务流程控制的过程中应当了解该流程中电子表格的使用情况并评价电子表格的使用对重大业务流程的影响影响程?#20219;?#22797;杂及以上的一般也应纳入审计范围。
二、信息系统环境中的控制测试
信息系统环境中的控制测试主要包括信息系统一般控制测试和信息系统应用控制测试两部分。信息系统的一般控制是指支?#21046;?#19994;信息?#38469;?#31649;理和系统运作、保障应用控制?#34892;?#25345;续运行的基础性控制。信息系统应用控制是指由应用系统自动运行而无需或几少需要人工干预、与重大业务流程的交易或财务数据的生成、记录、处理和报告等流程相关的、用于业务流程相关控制目标的信息系统控制。信息系统一般控制的?#34892;?#36816;行将为信息系统应用控制的持续运行提供支持。
2.1
信息系统审计策略的确定
在确定信息系统的审计策略?#20445;?#25353;整体审计策略执行以下程序

l
当计划依赖信息系统环境控制?#20445;?#35782;别、了解、穿行测试测试和评价信息系统环境控制
l
如果计划不依赖信息系统一般控制而是计划依赖系统应用控制、依赖信息系统的手工控制或其他电子审计证据则执行直接测试程序。这些程序包括执行测试程序获取影响系统应用控制和依赖信息系统的手工控制在整个审计期间持续?#34892;?#22320;运作并在当期没有重大变化的合理保证并需判断仅靠实质性程序是否能充分确定基础电子数据的准确性和完整性
l
如果不依赖信息系统一般控制且不执行以上描述的直接测试程序则不能依赖系统应用控制、依赖信息系统的手工控制或相关电子审计证据并应当设计和执行其他审计程序。

在确定是否依赖信息系统一般控制前我们需考虑管理层是否设计和实施了?#34892;?#30340;信息系统一般控制?#27807;?#33021;够合理保证当计划对相关重大交易流程和重大披露流程进行依赖控制的策略?#20445;?#20449;息系统一般控制能够有持续?#34892;?#36816;行的基础一旦确认依赖控制策略并在满足测试结果之后便可得出依赖信息系统一般控制的审计结论。?#34892;?#30340;信息系统一般控制有助于为确?#31995;?#23376;审计证据的完整性和准确性提供保障并形成审计证据。
对信息系统一般控制依赖程度的策略取决于对多项因素?#30446;?#34385;和判断包括以下内容
l
每个信息系统中相关应用控制和依赖信息系统的手工控制的数量。被识别和依赖的系统应用控制和依赖信息系统的手工控制的数量越多依赖系统一般控制就越重要
l
每个信息系统应用程序中相关电子审计证据的普遍?#28020;?#22312;评估控制测试和实质性程序中使用的电子审计证据?#20445;?#24212;当考虑需要依赖的电子审计证据程序的范围。赖以形成审计结论电子审计证据越是普遍、大量对系统一般控制的依赖程度越高
l
上期审计执行过程?#34892;?#24687;系统一般控制的测试结果。如果信息系统一般控制在上期审计中被评估为无效且根据我们对管理层的询问表明当期并未实施补救措施则我们可能决定不对相关的信息系统一般控制进行测试而是执行直接测试程序更为?#34892;А?br>2.2
信息系统一般控制测试
信息系统一般控制根据其控制领域可?#27835;?#20449;息部门组织架构管理、系统开发及程序变更管理、系统运营管理和系统安全管理四大类。对于纳入审计范围的信息系统我们和信息系统审计师需识别各领域对应的控制活动并在每一个审计期间执行独立的穿行测?#28020;?br>对信息系统一般控制的审计过程包括1识别信息系统一般控制
2测试信息系统一般控制3评价控制测试的结果。
1识别信息系统一般控制
信息系统一般控制按照实行的手段性质可?#27835;?#33258;动执行的控制和手工执行的控制。我们和信息系统审计师可以通过穿行测试识别基于风险评估而实施的关键一般控制活动。在执行穿行测试的过程中我们和信息系统审计师可以通过访谈?#23454;比?#21592;或者现场观察?#32422;?#24182;通过获取和检查相关系统配置、文件记录获得对信息系统一般控制设计的了解并对控制是否被?#34892;?#35774;计并已付诸实施得出?#34892;?#25110;者无效的结论。
穿行测试可以通过以下方法执行
l
询问企业的相关管理人员和操作被测试控制的执行人员了解信息系统一般控制活动的制度内容和流程程序并依据相应的风险评估识别实现控制目标的控制活动。穿行测试的范围应当与信息系统审计的总体范围相一致
l
根据对信息系统一般控制风险和控制活动的了解选取对该控制活动进行穿行测试的样本
l
评估获取的样本确认该控制设计的?#34892;?#24615;和是否已付诸实施。如果穿行测试确认信息系统一般控制的设计可以支?#20013;?#24687;系统一般控制的目标且通过样本被验证为已经实施那么信息系统一般控制的设计可?#21592;?#35780;价为?#34892;В?#22914;果我们在穿行测试中发?#20013;?#24687;系统一般控制没有被?#34892;?#35774;计无法支持相关信息系统一般控制的目标或?#24418;?#34987;确认已经实施运行那么信息系统一般控制被评价为无效。
穿行测试期间若识别出信息系统一般控制的设计发生重大变化?#20445;?#25105;们和信息系统审计师应当评估变化的性质以判断是否要对变化前和变化后的控制活动都进行穿行测?#28020;?br>2测试信息系统一般控制
对于设计?#34892;?#30340;控制活动我们和信息系统审计师通过执行?#34892;?#24615;测试程序评估测试结果从而得出已识别信息系统一般控制是否在审计期间内持续?#34892;?#36816;行的结论。
信息系统一般控制测试程序的范围、性质、时间的确定依赖我们和信息系统审计师的职业判断综合考虑控制目标、控制性质、控制实施的期间、对一般控制的依赖策?#28020;?#20225;业信息科技运行的?#23548;是?#20917;等因素。
我们和信息系统审计师为信息系统一般控制是否在整个审计期间内持续?#34892;?#36816;行提供合理保证应当根据信息系统审计计划阶段所确定的范围和穿行测试的结果选择那些能够达到一般控制目标的关键控制作为测试范围而不需要测?#36816;?#26377;的一般控制活动。对于不执行控制测试程序的内容需书面?#24471;?#22914;何通过其他补偿性手段验证信息系统一般控制的控制目标得以实现。
信息系统一般控制的测试程序的设计因一般控制的实现手段的性?#35782;?#19981;同。手工执行的控制的?#34892;?#24615;测试通常通过抽样测试的?#38382;?#38656;要通过执行相关程序验证用于选择样本的样本总量的完整性同?#27604;?#35748;测?#36816;?#28085;盖的期间需与整体财务报告内部控制审计所涵盖期间一致。对于信息系统一般控制中自动执行的控制的?#34892;?#24615;测试考虑到其自动性质和样本的特殊性可以在设计?#34892;?#24615;测试中通过审阅系统?#38382;?#35774;置?#30830;g降?#21040;验证。对手工执行的控制?#34892;?#24615;的测试通常没有时间敏感性?#30446;?#37327;但由于自动执行的控制的时点性特征我们和信息系统审计师应当考虑执行测试程序的时间。原则上自动执行的控制应当在审计期间内完成执行而不是在超越审计期间的时间结点上进行测?#28020;?br>?#34892;?#24615;测试可以通过以下方法执行
l
对于设计?#34892;?#30340;系统一般控制活动确定测试涵盖的期间和测试范围。信息系统一般控制应予以测试的期间因其性质、运行?#24503;片约?#20225;业适用的特定政策的不同而有所分别
l
测试期间和范围确定后获取测试期间内的被测试控制运行样本总量。用于选取样本的样本总量和用于支持自动控制的证据应以系统化方式从相关系统和?#38469;?#26469;源直?#30001;?#25104;。如果企业无法产生系?#25104;?#25104;的信息将很有可能需要额外程序来验证所提供信息的完整性和准确性
l
获取并评估抽样样本确认控制活动的执行?#34892;浴?#22914;果?#34892;?#24615;测试确认信息系统一般控制得以?#34892;?#25191;行以支?#20013;?#24687;系统一般控制的目标且经过验证在评价期间内一贯运行那么信息系统一般控制执行被评价为?#34892;В?#22914;果我们在测试中发?#20013;?#24687;系统一般控制没?#24615;?#27979;试期间内?#34892;?#25191;行以支持相关信息系统一般控制的目标那么信息系统一般控制执行被评价为无效。
当通过?#34892;?#24615;测试程序发?#36136;导是?#20917;与穿行测试中的了解和记录存在差异?#20445;?#25105;们和信息系统审计师需补充和修正在了解和穿行测试阶段所作的记录以反映信息系统一般控制的?#23548;是?#20917;。
对测试过程中发现的例外我们和信息系统审计师应当评估该例外的性质、出?#21046;德福?#23545;控制目标达成可能产生的直接影响?#32422;?#20854;他因素判断该例外属于例外还是控制失效的缺陷并设计执行相对应的进一步程序。
3评价控制测试的结果
我们和信息系统审计师通过对信息系统一般控制测试的结果的评价来判断信息系统一般控制的设计和执行?#34892;?#24615;并就所识别的信息系统一般控制缺陷对控制目标的达成所产生的影响进行评估。信息系统一般控制缺陷是指为达到一般控制目标应当?#34892;?#35774;计并执行的控制没有被?#34892;?#35774;计、实施、或在测试期间内?#34892;?#25191;行的控制例外。

在确认和评价信息系统一般控制缺陷的影响?#20445;?#24212;当采取综合评估的方法。首先应当考虑识别和测试信息系统一般控制中的其他补偿性控制。如果补偿性信息系统一般控制经测试验证为?#34892;В?#37027;么同样能够帮助实?#20013;?#24687;系统一般控制的控制目标若补偿性信息系统一般控制经测试验证为无效我们和信息系统审计师需要识别和测试业务流程中的相关控制中的补偿性控制。如果补偿性业务流程控制经测试验证为?#34892;В?#37027;么同样可能帮助实?#20013;?#24687;系统一般控制的控制目标若补偿性业务流程控制经测试验证为无效我们和信息系统审计师需要判断是否需要追加审计程序。如果补偿性控制和其他追加的审计程序仍然无法弥补信息系统一般控制的缺陷以支?#25191;?#21040;控制目标我们和信息系统审计师需要就该缺陷的影响程度对该缺陷的缺陷、重要缺陷或重大缺陷级别判断作出确认和结论。
2.3系统应用控制测试
信息系统应用控制通常嵌套在业务流程控制中但依赖信息系统得以实现借助实时校验/编辑检查、系统配置、系统自动计算、数据接口等表?#20013;问健?#30001;于系统应用控制测试与重大业务流程紧密相关因而应用控制的识别需要我们在了解重大业务流程的过程中进行关注信息系统审计师应当协助进行识别。
关键应用控制的了解识别、测试和评估程序与方法与信息系统一般控制特别是信息系统一般控制中自动执行的控制评价的程序与方法类似或一致。关键应用控制中依赖信息系统的手工执行控制的评价与业务流程中手工执行控制的评价方法一致。
三、控制测试底稿
信息系统内部控制审计工作底稿包括信息系统问卷、ITGC信息系统测试底稿和?#34892;?#24615;测试底稿见附件二
信息系统环境控制测试底稿底稿的内容需包含但不限于以下内容1背景资料信息收集和关键流程描述2风险?#27835;?#25511;制目标、控制点描述3穿行或?#34892;?#24615;测试关键控点的程序描述和支持性证据的?#27835;?#25551;述4控制测试结论。
信息系统审计底稿必须遵循事务所的质量控制规范底稿质量控制遵守?#38109;?#31243;序1信息系统审计底稿外勤人员负责实施程序编制底稿。该外勤人员的信息系统审计主管负责审阅底稿。2根据项目的风险高低和客户敏感程度底稿应?#26412;?#30001;信息系统审计经理、高级经理或合伙人复核。3根据事务所规定信息系统审计底稿应?#26412;?#36807;审核部门复核。审核部授权不必复核信息系统底稿的遵循审核部规定。附件一
信息系统环境复杂度判断指引
评估信息系统的复杂程度?#20445;?#24314;议考虑以下内容作为复杂信息系统的评价依据
1客户?#32422;?#23454;?#20013;?#24687;系统的程序设计和开发
编程或开发包括为满足需求而自行编写?#32422;?#30340;会计软件或者修改打包的系统。编程包括创建或修改会计软件的功能核心逻辑。开发是指修改报告、宏和脚本的应用和增加应用程序的功能。
l
创建`bolt
C
on¨
螺栓程序被认为是编程或开发
l
修改报告或者创建宏被认为是编程或开发和
l
终端用户计算被认为是编程或开发。
客户?#32422;?#23454;?#20013;?#24687;系统编程的或开发的信息系统被认为是复杂的。
2信息系统以高度自动化的方式处理事务很少或没有人为干预
很少或没有人工干预的高自动化情形的情形包括
l
使用IT根据预定义的规则对业务交易的某个或?#25215;?#29615;节进行自动处理比如采购什?#30784;?#37319;购数量、按照系统根据确认的货物接收和支付条件产生的应付账款。这?#36136;?#29992;模式在医院和生产型单位的使用EDI电子数据交换行业运作能够中非常普遍
l
实体通过电?#29992;?#20171;和使用IT给客户提供服务如创建提供的服务日志给客户为服务发起和处理账单自动记录金额。实例可能是ISP(Internet服务提供商)、电信的基于web的服务例如卖订阅去访问或?#30053;web内容
l
实体为产品或服务通过IT提供支付服务如客户通过信用卡或电子支付如PayPal处理并自动记录如金额。这?#36136;道?#21487;能是大学课程注册和支付托管服务在线游戏和通过Internet出售商品
l
用IT提供收取?#30563;?#25110;交易手续费服务。实体的例子可能?#34892;?#29992;卡结算服务转换投资商和在线拍卖
l
实体依赖于IT确保交易获?#23454;?#25480;权
l
实体通过扫描原始源文件如供应商发?#20445;?#23454;现无纸化办公。
高度自动化的处理系统很少或没有人工干预被认为是复杂的。
3不同信息系统间存在各种交易或报告数据的接口
接口是指各相对独立的IT应用或数据库系统互相集成交换和传递业务交易或其他数据运作像是一个系统的系统运行手段和方式。不同IT系统并不是由供应商提供集成但接口已经建立在客户化的基础上或手动执?#23567;?#20363;如在电?#30001;?#21153;环境下重要的是从一个实体的网上商店产生的所有交易都能在实体的内部系统?#23454;?#22788;理如库存管理系统、财务会计系统等通常称为^后台 ̄系统。?#25215;?#32593;络商店通过集成或接口自动实现网络交易系统与内部后台系统的数据对接也有一些实体不是自动与这些内部系统整合和集成或记录交易会计人员可以通过从网络商店完成打印报告后手动记录到其他系统。相应?#30446;?#20197;使用专门为这个目的的应用程序这些应用通常被称为中间件。
当实体使用数据仓库时接口也是相关的。数据仓库是现行的会计系统交易的汇总?#30446;奖苅?#36890;常是每天可以用作管理、销售或其他用途去获取信息。当数据仓库在使用?#20445;?#19968;般提供给我们审计师的数据来从数据仓库而不是生产的系统。因此我们需要确认数据仓库中收到的是正确的来?#26434;?#28304;系统的原始数据。
集成到自动化的或者使用数据仓库的信息系统被认为是复杂的。
4信息系统使?#38376;?#22788;理作业调度
批处理最常见在大型机计算环境。一些?#34892;?#31995;统和基于PC机的系统?#37096;?#33021;利?#38376;?#22788;理。批处理的特征是使用一套规则处理输入数据批于特定的序列下的集中化控制和管理。这种集中化的管理通常由IT人员按照批处理的逻辑顺序监控系统进行执?#23567;?#25209;处理作业通常在没有人工交互的情况下从建立到完成。所有输入数据通常由数据录入员输入作为一个单独的阶段。在大多数情况下批处理需要按照特定的顺序运?#23567;?#22788;理失败的数据常报告在编辑报告上。失败的批处理作业步骤会自动或认为重新提交进行系统处理。常见的使?#38376;?#22788;理操作的行业包括银?#23567;?#20445;险、证券?#21462;?br>使?#38376;?#22788;理作业调度系统操作的被认为是复杂的。
5实施新信息系统或系统转换
实施新系统是指安装、上线全新的软件系统新系统不一定取代现有存在的业务或财务系统。新系统的实施对业务和财务报表一般会产生重要影响被认为是复杂的。
系统转换出现在客户在当年将软件从一个厂商到另一个厂商如从金蝶转到用友或同一个厂商的一个软件产品到另一个产品如从Microsoft
的Great
Plains到
Navision。系统转换被认为是复杂的。
当客户从同一个厂商的同一个生产线的同一个软件升级到新版本?#20445;?#26681;据被升级的版本级数
可能不被认为是复杂的。
6使用单点登录或集中权限管理系统
单点登录?#38469;?#26159;一个用户输入一次密码或其他?#29616;?#26041;式通常当他们登录到网络后哪些密码可以自动登录到其他系统而不必重复提供密码或其他?#29616;?#30340;?#38469;?#38598;中权限管理系统是在该系统内统一设定和配置用户在其他所有被授权使用的应用和数据库系统中的权限的信息系统从而免除了在每个系统中单独为每个用户设立权限的操作任务。

单点登录和集中权限管理系统被认为是复杂的。

7其他考虑
上述的情形不是穷尽的在判断一个系统环境是否复杂?#20445;?#24212;?#24330;?#21512;考虑其他?#23548;?#22240;素。我们可以要求信息系统审计人员协助进行判断。复杂的信息系统环境中的审计应当?#34892;?#24687;系统审计人员的介入和参与。不复杂的信息系统环境中执行的审计处于风险判断和其他因素?#30446;?#34385;我们仍然可以要求信息系统审计人员的介入和参与。
附件二
信息系统环境控制测试底稿第十八章
评价内部控制缺陷
我们基于所执行的审计工作来确定是否识别出了一项或多项内部控制缺陷。如果某项控制的设计、实施或运行不能及时防止或发现并纠正财务报表错报则表明内部控制存在缺陷。如果企业缺少用?#32422;?#26102;防止或发现并纠正财务报表错报的必要控制同样表明存在内部控制缺陷。
一、控制缺陷的分类
内部控制缺陷包括设计缺陷和运行缺陷。
设计缺陷是指缺少为实现控制目标所必需的控制或现有控制设计不?#23454;保?#21363;使正常运行也难以实现预期的控制目标。
存在?#38109;?#24773;况之一的认定为设计缺陷
l
由于缺少控制或控制设计不?#23454;保?#23548;致不能实现既定的控制目标
l
关键控制点缺乏?#34892;?#30340;控制措施。
运行缺陷是指设计?#23454;?#30340;控制没有?#29943;?#35745;意图运行或者执行人员缺乏必要信息或胜?#25991;?#21147;无法?#34892;?#23454;施内部控制。
存在?#38109;?#24773;况之一的认定为运行缺陷

l
未执行有关的控制措施
l
超越授予的权限
l
无法及时提供?#34892;?#23454;施内部控制的证据。
根据内部控制缺陷的影响程度将其?#27835;?#37325;大缺陷、重要缺陷和一般缺陷
重大缺陷是指内部控制中存在?#30446;?#33021;导致企业严重偏离控制目标例如不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。
重要缺陷是内部控制中存在的严重程度低于重大缺陷但?#26434;?#21487;能导致企业偏离控制目标的一项控制缺陷或多项控制缺陷的组合。重要缺陷的严重程度低于重大缺陷不会严重危及内部控制的整体?#34892;?#24615;但也应当引起董事会、经理层的充分关注。
一般缺陷是内部控制中存在的除重大缺陷、重要缺陷之外的其他缺陷。
二、
内部控制缺陷评价时的一般考虑
我们评价所有已识别的控制缺陷的严重性从而就以下方面得出总体结论截至企业内部控制自?#31227;?#20215;基准日这些控制缺陷单独或连同其他缺陷是否构成重要缺陷或重大缺陷。
我们、管理层、内部审计和其他第三方都有可能发现控制缺陷。我们在评价中要考虑所有的控制缺陷无论这些缺陷由哪一方发现。该评价过程要求我们运用大量的职业判断并且需要项目负责人的参与。
我们在评估内部控制缺陷的严重程度?#20445;?#20027;要考虑以下四点

2.1衡量缺陷严重性的标准
以控制不能防止或发现并纠正账户或列报发生错报?#30446;?#33021;性和导?#34385;?#22312;错报金额的大小作为衡量缺陷严重性的标准。内部控制缺陷的严重程度并不取决于是否?#23548;?#21457;生了错报而是取决于是否存在不能及时防止或发现并纠正潜在错报?#30446;?#33021;?#28020;?#25442;句?#20843;担?#22914;果企业财务报表存在错报必然表明该企业的财务报告内部控制存在缺陷但是如果企业的财务报表不存在错报也不一定表明该企业的财务报告内部控制就不存在缺陷。
2.2充分考虑缺陷组合

我们应当关注和?#27835;?#32570;陷组合风险。缺陷与偏离控制目标可能性之间不仅存在着一一对应关系还存在着缺陷组合的风险叠?#26377;?#24212;。内部控制中的一项缺陷本身可能不一定代表一项重大缺陷。然而多项影响同一个重大账户、披露或相关认定的缺陷组合可能增加重大错报风险并造成重大缺陷。
2.3补偿性控制
补偿性控制是其他正式或非正式的控制对某一控制缺陷的遏制或弥补。在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷?#20445;?#25105;们应当评价补偿性控制的影响。在评价补偿性控制是否能够弥补控制缺陷?#20445;?#25105;们应当考虑补偿性控制是否有足够精?#33539;?#20197;防止或发现并纠正可能发生的重大错报。
2.4考虑企业内部控制自?#31227;?#20215;的结果
我们在确定是否存在重要缺陷或重大缺陷?#20445;?#36824;需考虑企业内部控制自?#31227;?#20215;的结果。
我们应当评价企业是否执行了足够的评估工作从而得出是否所识别的缺陷构成重要缺陷或重大缺陷的结论。如果企业没有进行足够的评估工作或未完成该评估我们无法对财务报告内部控制的?#34892;?#24615;发表意见。
三、
财务报告内部控制缺陷评价标准
确定一项内部控制缺陷是否为一项重大缺陷取决于职业判断。在做出这项判断?#20445;?#25105;们应考虑一项财务报表层面的重大错报发生?#30446;?#33021;?#32422;?#38169;报潜在影响程度的大小这不仅取决于一项错报是否已确实发生而?#19968;?#21462;决于一项错报是否很可能会发生。
在评价控制缺陷?#20445;?#25105;们要考虑到不是所有控制缺陷都可?#21592;?#37327;化为某个由于控制缺陷而导致的错报金额因此我们对控制缺陷进行评价时需同时考虑定性和定量的因素。定量标准根据缺陷可能造成潜在错报与被审计单位重要性水平的关系确定定?#21592;?#20934;主要根据缺陷的性质的严重程度等因素确定。
3.1定量标准
根据缺陷可能导致的财务报告错报的重要程度并借鉴了财务报表整体重要性水平来确定缺陷认定标准重大缺陷
重要缺陷
一般缺陷
错报或潜在错报
被审计单位财务报表整体重要性水平+错报或潜在错报

被审计单位财务报表整体重要性水平的50%+错报或潜在错报被审计单位财务报表整体重要性水平
错报或潜在错报被审计单位财务报表整体重要性水平的50%

3.2定?#21592;?#20934;
出现以?#34385;?#24418;的包括但不限于一般应认定为财务报告内部控制重大缺陷
l
重大偏离预算
l
董事、监事和高级管理人员重大舞弊
l
公司审计委员会和内部审计机构对内部控制的监督完全无效
l
因会计差错导致的监管机构处罚
l
出现以?#34385;?#24418;的包括但不限于应当至少被认定为^重要缺陷?#20445;约?#23384;在^重大缺陷 ̄的强烈迹象
l
对以前发表的财务报表进行重报以反映对错误或舞弊导致的错报的纠正
l
注册会计师发现公司当期的财务报表重大错报但该错报没有被公司财务报告的内部控制发现
l
关键岗位人员舞弊
l
合规?#32422;?#31649;职能失效违反法规的行为可能对财务报告?#30446;?#38752;性产生重大影响
l
已向管理层汇报但经过合理期限后管理层仍然没有对重要缺陷进行纠正。
四、
非财务报告内部控制缺陷评价标准
我们采用定性的标准对非财务报告内部控制缺陷进行认定。定?#21592;?#20934;主要根据缺陷潜在负面影响的性质、范围等因素确定。
非财务报告内部控制缺陷定?#21592;?#20934;?#30446;?#34385;因素见下表
缺陷等?#24230;?#23450;标准
影响的严重程度
重大缺陷
严重影响
l
严重违反法律、法规或有重大诉讼
l
重要业务缺乏制度控制或制度系统性失效
l
致使重大资产的安全性无法得到充分保障包括信息与资料安全
l
董事、监事和高级管理人员流失严重
l
公司被媒体频频曝光重大负面新闻波及面广缺陷等?#24230;?#23450;标准
影响的严重程度l
内部控制的重大缺陷未得到整改。
重要缺陷
介于重大缺陷和一般缺陷之间

l
违反法律、法规造成一定影响并造成权威机构检查
l
重要业务制度或系统存在缺陷
l
可能影响资产的安全?#21592;?#38556;
l
关键岗位人员流失严重
l
媒体出?#25351;?#38754;新闻波及局部区域
l
内部控制的重要缺陷未得到整改。
一般缺陷
一般

l
违规影响很小并随时可以纠正
l
一般业务制度或系统存在缺陷
l
整改后可以使业务流程、控制或运营、资产安全保管得到提高的缺陷
l
一般岗位业务人员流失严重
l
媒体出?#25351;?#38754;新闻但影响不大
l
内部控制的一般缺陷未得到整改缺陷等?#24230;?#23450;标准
影响的严重程度l
存在的其他缺陷。
财务报告缺陷和非财务报告缺陷其?#30340;?#20197;做严格的区分例如内部环境、重大安全事?#23454;取?#22240;此在制定标准?#20445;?#24212;本着是否直接影响财务报告的原则来区分。另外重大缺陷、重要缺陷的界定是相对的对于有下属单位的集团公司如果下属单位存在重大缺陷并不能表明集团公司存在重大缺陷但至少应作为重要缺陷向董事会、管理层汇报而下属单位的重要缺陷则应视对整个集团的影响及普遍性程度确定是否属于集团重要缺陷但下属单位重要缺陷至少应该向经理层汇报。
五、
内部控制缺陷评价程序
在评价控制缺陷?#20445;?#25105;们应当运用职业判断考虑衡量定量和定性因素。同时要对整个思考判断过程进行记录尤其是详细记录关键判断和得出结论的理由。
我们采用?#38109;?#27493;骤评价控制缺陷的严重程度
第一步考虑发现的控制缺陷是否与一个或多个财务报表认定直接相关。例如具有广泛性影响的企业层面控制和特定信息?#38469;?#19968;般控制的控制缺陷可能与某一财务报表认定直接相关。一般而言财务报告内部控制与财务报表认定的关系表见下?#36857;?br>与财务报表认定直接相关
l
多为业务层面控制包括人工或自动控制
l
与财务报表认定直接相关的企业层面控制缺陷例如年度财务报告的编制、经营活动?#27835;?#31561;
l
支持一个或多个财务报表认定相关的信息系统一般控制
与财务报表认定间接相关
l
信息系统一般控制
l
与财务报表认定不直接相关的企业层面控制如人力资源企业文化等
一些企业层面控制和信息系统一般控制?#37096;?#33021;与一个或多个财务报表认定直接相关。例如具有一定精?#33539;?#30340;经营业绩复核足以防止或发现重大错报因此被认为与财务报表认定直接相关属于直接的企业层面控制。此外一些信息系统一般控制同时也是应用控制能够直接支持财务报表认定。如在财务报告流程中设置不?#23454;?#30340;访问权限、财务报告流程方面的职责分工不足、对财务数据进行直接访问?#21462;?#25105;们在评价与财务报表认定间接相关的控制缺陷的严重程度?#20445;?#24212;当考虑由该缺陷或同类缺陷的汇总影响导致出?#21046;?#20182;控制缺陷?#30446;?#33021;?#32422;?#20005;重程?#21462;?br>第二步确定一项缺陷或多项缺陷组合是否可能不能防止或发现并纠正财务报表错报。判断内部控制缺陷的严重程度取决于该缺陷是否已经导致的错报金额或可能导致的潜在错报金额。因此我们在?#27835;?#36130;务报告内部控制缺陷的严重程度时需要考虑1内部控制缺陷导致账户余额或列报错报?#30446;?#33021;性2一个或多个内部控制缺陷的组合导?#34385;?#22312;错报的金额大小。
我们需要判断控制缺陷单独或汇总导致的财务报表错报的^合理可能?#28020;保?#24182;在工作底稿中详细记录?#27835;?#30340;过程和判断的依据。对^合理可能?#28020;?#30340;判断可以依据定性?#27835;z?#19981;需要定量计算^可能?#28020;?#30340;大小。
我们在评价一个缺陷或缺陷汇总是否存在合理?#30446;?#33021;性导致财务报表错报?#20445;?#38656;要考虑的因素包括但不限于
l
账户列报和相关认定的性质。比如非常规交易和关联交易可能涉及较大风险。
l
相关资产或负债对损失或舞弊的敏感程度即越敏感风?#31449;?#36234;大。
l
确定涉及金额所需判断的程度及其主观性和复杂性即所需判断越多如与会计估计有关主观复杂性?#35282;殖?#21017;风险也越大。
l
在控制执行?#34892;?#24615;测试中发现的控制偏差的产生原因和?#24503;福?br>步骤三此缺陷或缺陷汇总可能导致的错报是否对财务报告构成重大影响。我们在?#27835;?#20102;内部控制缺陷导致财务报表错报?#30446;?#33021;性后还需要?#27835;?#20854;导致错报的重大程?#21462;?#25105;们需要对控制缺陷或缺陷汇总可能导致的财务报表错报进行估算与财务报表重要性水平比较判断内部控制缺陷导致的错报是否对财务报告构成重大影响。
我们在评估缺陷的严重程度?#20445;?br>我们需要分别从定量、定性的角度考虑相关影响因素。从定量的角度出发考虑是否可能导致财务报表错报该错报在金额上对财务报表具有重大影响且不能被一项控制或多项控制组合所防止或及时发现并纠正。从定性的角度出发考虑一项缺陷或缺陷组合导致财务报表错报的严重程度的相关因素?#32422;?#38024;对依赖该信息进行决策的人员与其需要考虑的因素。
第四步评价是否存在补偿性控制并以一定的精?#33539;飯行?#36816;行足以防止或发现并纠正中期或年度财务报表重大错报。在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷?#20445;?#25105;们应当评价补偿性控制的影响。在评价补偿性控制是否能够弥补控制缺陷?#20445;?#25105;们应当考虑补偿性控制是否有足够的精?#33539;?#20197;防止或发现并纠正可能发生的重大错报。
为了得出补偿性控制?#34892;?#36816;行的结论我们首先应当?#27835;?#35813;补偿性控制是否存在一定程度的精确性其次我们应对补偿性控制开展必要的测试验证工作获取并记录补偿性控制运行?#34892;?#30340;证据。需要注意的是由于?#25215;?#25511;制缺陷发生在企业的组成部分层面而相关的补偿性控制可能存在于集团层面。因此在对补偿性控制进行测试?#20445;?#25105;们应考虑补偿性控制执行的层面及其对测试的影响。集团审计小组应与组成部分审计小组及时开展充分、?#34892;?#30340;沟通及时识别补偿性控制并进行相应的测试?#21592;?#20934;确判断补偿性控制是否可以?#26723;?#36130;务报表错报?#30446;?#33021;性和重要?#28020;?br>第五步评价该缺陷的重要程度是否足以引起负责监督企业财务报告的人员的关注。本步骤中的财务主管负责人是指企业中负责财务报告监督和管理工作的中高层管理人员如财务总监、总会计师、首席财务官等?#32422;?#33891;事会成员和监事会成员。财务主管负责人对内部控制缺陷的关注点一般包括但不限于
l
内部控制缺陷在前期已存在并且被确认为重要缺陷或重大缺陷
l
内部控制缺陷存在于企业新兴业务或高风险业务中
l
内部控制缺陷存在于董事会/经理层高度关注的领域如特殊单位或敏感业务。
在评估财务报告内部控制缺陷的重要程度?#20445;?#25105;们应该确定企业财务主管负责人是否有充分合理的信心认为企业的交易得到?#23454;?#30340;记录、财务报告编制符合企业会计准则和披露要求。如果我们判断一个谨慎的财务主管负责人在企业存在该内部控制缺陷或缺陷汇总?#20445;?#20173;然保持对财务报告和相关信息真?#24213;?#30830;的信心且该信心是充分合理的则我们可以认为该缺陷或缺陷汇总是一般缺陷?#29615;?#20043;我们可以认为该缺陷
(或缺陷汇总)至少构成重要缺陷并进而按照步骤六的要求评价该缺陷或缺陷汇总是否构成重大缺陷。
第六步考虑一个足够知情的、有胜?#25991;?#21147;的、并且客观地管理人员是否会认为该控制缺陷或缺陷组合为重大缺陷。^足够知情的、有胜?#25991;?#21147;的、并且客观地管理人员 ̄是指一个具有一定知识和能力的第三方人员如监管机构人员、投资人在和我们取得同样的内部控制缺陷相关信息?#20445;?#26159;否会认为该控制缺陷或缺陷汇总会导致财务报告的重大错报。如果是则该缺陷构成重大缺陷?#29615;?#20043;则为重要缺陷。
第七步在考虑所以事实情况包括定性因素后判断重大审计调整、更正已经公布的财务报表等情况是否并不表明存在控制缺陷。当企业发生重大审计调整、更正已经公布的财务报表?#20445;?#36890;常会认为控制失效。但是在?#25215;?#24773;况下重大审计调整、更正已经公布的财务报表等事项可能由特殊的背景和环境如会计政策调整引发的而不一定是由控制缺陷导致的。如果存在充分的证据表明企业管理层采取了?#38109;?#25514;施已建立控制收集处理相关信息并按会计准则的要求记录和披露相关信息并且有关控制设计和运行?#34892;В?#21017;我们可以合理地认为该控制并未失效。但是实物中这种不是由于控制缺陷造成的特殊事项极少发生。因此我们对这些特殊事项的评估必须基于?#32771;移?#19994;在特定的环境和时点上作出慎重考虑和?#27835;?br>六、
内部控制缺陷评价的特殊考虑
6.1
对信息系统一般控制?#30446;?#34385;
信息系统一般控制缺陷并不一定直接导致财务报表错报。但是信息系统一般控制缺陷往往会对应用系统层面的控制的?#34892;?#24615;产生负面影响从而增加财务报表错报?#30446;?#33021;?#28020;?#22240;此对信息系统一般控制缺陷的评估应考虑应用系统层面的控制缺陷的情况。如果应用控制的缺陷与信息系统一般控制中的缺陷有关或由它所引起则信息系统一般控制缺陷应与应用控制中的缺陷结合起来评估并且通常与应用控制缺陷的重要性分类是一致的
1如果应用控制中的重大缺陷与信息系统一般控制中的缺陷相关或由它所引起?#24471;?#35813;信息系统一般控制缺陷也是重大缺陷
2如果应用控制中的重要缺陷与信息系统一般控制中的缺陷相关或由它所引起?#24471;?#35813;信息系统一般控制缺陷也是重要缺陷
3如果应用控制缺陷仅是一般缺陷与信息系统一般控制中的缺陷有关或由它所引起通常?#24471;?#35813;信息系统一般控制缺陷也是一般缺陷。
我们在评价信息系统一般控制缺陷导致财务报表错报可能性?#20445;?#24212;考虑的因素包括但不限于
1缺陷的性质和普遍性例如缺陷只与系统开发过程中的某个节点相关还是与整个过程相关
2该控制与应用系统和数据的关联程度
3应用系统和数据中存在缺陷的普遍性
l
与信息系统一般控制缺陷有关或由其引起的应用控制缺陷的数量
l
重大账户及相关业务流程中的控制受信息系统一般控制缺陷影响的程度
l
与信息系统一般控制缺陷相关的应用控制的数量。
4企业系统环境的复杂性和缺陷会负面影响应用控制?#30446;?#33021;性
5信息系统一般控制缺陷是否与那些容?#36164;?#21040;损失或舞弊影响的账户和列报的应用系统和控制相关
6在信息系统总体内部控制运行?#34892;?#24615;方面已知或已发现的控制偏差的原因和?#24503;剩约?#21463;此影响的应用系统产生财务报表错报的风险
7过去年度及当年发生的错报是否与受到信息系统一般控制缺陷影响的应用控制有关。
由于信息系统一般控制支持应用控制的持续?#34892;?#36816;?#23567;?#22240;此当我们发?#20013;?#24687;系统一般控制存在缺陷?#20445;?#24517;须考虑与该信息系统一般控制缺陷相关的应用控制或者依赖于信息系统一般控制的手工控制测试的性质、时间和深度对审计计划进行必要的调整。
6.2
对企业层面控制缺陷评价?#30446;?#34385;
?#25215;?#20225;业层面控制的缺陷并不直接导致财务报表错报但是会增加流程层面错报?#30446;?#33021;?#28020;?#22240;此对于企业层面控制缺陷的评估应基于这些缺陷导致错报?#30446;?#33021;性而不采取量化的方法。
我们在评价企业层面控制缺陷导致财务报表错报可能性?#20445;?#38656;要考虑如下因素
l
缺陷在企业中的普遍性
l
控制缺陷对内部控制要素例如内部环境、风险评估等组成部分的相对重要性
l
过去年度及当年发生的错报是否与广泛性控制缺陷有关
l
是否增加舞弊?#30446;?#33021;性包括管理层越权
l
控制运行?#34892;?#24615;方面已知的或已发现的控制偏差的原因和?#24503;剩?br>l
缺陷可能导致的未来后果。
6.3
与其他缺陷一同进行评价
如果针对某个账户或列报存在多个内部控制缺陷那么即使其中任何一个内部控制缺陷都不会直接导致财务报表重大错报但是这些内部控制缺陷共同发挥作用可能?#27807;?#36130;务报表重大错报没有被及时预防或发现。因此我们在对单个缺陷进行评估后还应该根据其对应的账户、列报?#32422;?#20869;部控制组成要素例如内部环境、风险评估等对缺陷进行汇总?#28304;?#30830;定汇总后的缺陷是否构成重要缺陷或重大缺陷。
6.4
内部控制缺陷评价的其他关注领域
我们只需要对企业财务报告内部控制总体?#34892;?#24615;发表意见因此对于存在多个组成部分的企业我们的缺陷评价应在总部层面统一进?#23567;?#36825;是由于
l
每个组成部分的内部控制缺陷可能导致的财务报表错报对单独的组成部分重要但是在总部层面合并后并不重要
l
每个组成部分的内部控制缺陷可能导致的财务报表错报对单独的组成部分不重要但是在总部层面合并后可能重要。
因此在组成部分层面对发现的内部控制缺陷单独进行评价并不能形成对企业财务报告内部控制总体?#34892;?#24615;的意见。
如果企业的内部控制文档记录不充分缺乏支持内部控制?#34892;?#23454;施的足够的依据应被视为存在内部控制缺陷。我们应当将其与其他的内部控制缺陷放在一起评估其严重程?#21462;?br>七、
内部控制缺陷整改
如果企业在基准日前对存在缺陷的控制进行了整改整改后的控制需要运行足够长的时间才能使我们得出其是否?#34892;?#30340;审计结论。我们应当根据控制的性质和与控制相关的风险合理运用职业判断确定整改后控制运行的最短期间或整改后控制的最少运行?#38382;约?#26368;少测试数量。
整改后控制运行的最短期间或最少运行?#38382;?#21644;最少测试数量表
控制运行?#24503;?br>整改后控制运行的最短期间或最少运行?#38382;?br>最少测试数量
?#32771;?#19968;次
2个季度
2
每月一次
2个月
2
每周一次
5周
5
每天一次
20天
20
每天多次
25次分布于涵盖多天的期间通常不少于15天
25
如果企业在基准日前对存在重大缺陷的内部控制进行了整改但新控制尚没?#24615;?#34892;足够长的时间我们应当将其视为内部控制在基准日存在重大缺陷。
八、工作底稿记录
我们在编制内部控制审计控制缺陷评价底稿?#20445;?#24212;当?#30784;?#20869;部控制审计工作底稿〃模板的要求填列以下底稿1CA-1-1内控缺陷汇总评价表企业层面记录我们发现的企业整体层面内部控制缺陷撮2CA-1-2
内控缺陷汇总评价表业务层面记录各业务流程层面内部控制缺陷。
无论发现的缺陷是否被认为是重大缺陷都应当进行记录。已经得到整改的控制即使通过?#23454;?#30340;测试工作被确认为?#34892;?#25191;行其相关的缺陷也应当进行同样的描述、归档。
第十九章
完成审计工作
在完成评价控制缺陷之后我们需要进行项目小组内部讨论会议讨论审计中发现的重大事项取得企业签署的书面声明与企业沟通控制缺陷?#32422;?#24418;成对内部控制?#34892;?#24615;的意见。
一、
项目组内部讨论
在与企业管理层和治理层沟通内部缺陷前我们应?#26412;?#34892;项目小组内部讨论会议讨论我们在内部控制审计过程中发现的重大事项。我们应根据被审计单位的具体情况判断某一事项是否属于重大事项重大事项主要包括但不限于以下事项:
l
引起特别风险的事项如被审计单位某项内部控制设计存在缺陷可能无法防止、发现并纠正舞弊或被审计单位未建立与超出正常经营过程的重大关联交易有关的政策和程序
l
控制偏离既定评价标准的事项
l
识出别的信息与针对某重大事项得出的最?#25112;?#35770;相矛盾或不一致的事项如在?#21592;?#23457;计单位的收入发生认定的内部控制进行控制测试中表明控制设计合理并?#34892;?#36816;行但是又发现存在提前确认收入而作为会计差错进行的审计调整事项
l
导致注册会计师难以实施必要审计程序的情形
l
导致注册会计师出具非标准审计报告的事项。
所有项目参与人员包括项目负责人包括项目负责合伙人、高级经理、经理和审计员都应当直接参与项目小组讨论会议。
IT及税务专业人士特别是其客户为具有复杂的IT环境或税务问题的公司人员建议参加但?#37096;夫们?#20026;他们举行一个单独的会议。
该讨论由项目负责合伙人主持包括让经验较丰富的项目小组成员根据?#32422;?#23545;客户和其所处行业的了解及?#32422;?#22312;各自负责审计的领域发现的问题来分享他们的见解。此过程中的关键环节是就一些问题来交换小组成员之间的意见包括客户的内部控制缺陷在哪里客户的财务报表在哪些方面产生舞弊或错误管理层存在实施并隐瞒虚假报告的行为?#21462;?#36825;?#20013;?#24687;的互动交流是从"自上而下"即有经验的负责人员包括审计项目负责人和"自下而上"即经验较少的成员的贡献双向进行的。
在完成项目小组讨论会议后我们要在ゞ内部控制审计工作底稿〃CB-4项目组内部讨论记录里记录
l
参加讨论的的项目小组成员
l
项目小组讨论会议的举行日期
l
讨论的内容?#32422;?#36798;成的结论。
二、
取得管理层的书面声明
我们在完成审计工作后应当取得管理层签署的书面声明。内部控制审计的管理层声明书是指企业管理层提供的关于内部控制的各项陈述。我们在执行财务报表审计业务中应当向被审计单位管理层获取?#23454;?#22768;明。在整合审计中我们应当要求企业分别签署财务报表审计的管理层声明书和内部控制审计的管理层声明书。xxx内部控制审计管理层声明书参考格式见ゞ内部控制审计工作底稿〃。
内部控制审计的管理层声明书的内容应当包括但不限于
l
被审计单位董事会认可其对建立健全和?#34892;?#23454;施内部控制负责
l
被审计单位已对内部控制进行了评价并编制了内部控制评价报告
l
被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作为评价的基础
l
被审计单位根据内部控制标?#35745;?#20215;内部控制?#34892;?#24615;得出的结论
l
被审计单位已向注册会计师披露识别出的所有内部控制缺陷并单独披露其中的重大缺陷和重要缺陷
l
被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞弊?#32422;?#20854;他不会导致财务报表发生重大错报但涉及管理层、治理层和其他内在内部控制中具有重要作用的员工的所有舞弊
l
注册会计师在以前年度审计中识别出的且已与被审计单位沟通的重大缺陷和重要缺陷是否已经得到解决?#32422;?#21738;些缺陷?#24418;?#24471;到解决
l
在基准日后内部控制是否发生变化或者是否存在对内部控制产生重要影响的其他因素包括被审计单位针对重大缺陷和重要缺陷采取的所有纠正措施
l
其他需要披露的事项。
管理层声明书应当由企业采用?#32422;?#30340;信笺进行书写并且提供给我们。
我们应编制管理层声明书的草稿。在将其提交给管理层之前需要由项目负责人复核以确认
l
管理层声明书中已包含所有被要求发表的声明

l
管理层声明书中已包含我们所要求的任何额外声明

l
管理层声明书中已指定将签署该声明的合适的管理层成员

l
管理层声明书中已指定合适的出具日期。

我们应该在完成审计之前更早些的时候将管理层声明书的草稿提交给管理层?#21592;?#31649;理层能够理解其目的和内容从而有助于我们及时取得最?#31449;?#31614;署的管理层声明书。
内部控制审计管理层声明书的签署日期通常与内部控制设计报告日一致。
如果企业的内部控制有专门的负责人则内部控制审计管理层声明书应当由法定代表人和内控负责人签署。如果?#29943;?#31435;专门的内控负责人则内部控制审计管理层声明书?#37096;?#20197;由法定代表人和财务负责人签署。管理层声明书中有关董事会对建立健全和?#34892;?#23454;施内部控制负责的陈述我们可以查阅董事会批准的有此陈述的相关文件或由董事会授权管理层声明书签署人员对此声明。
在内部控制审计中管理层声明书中有关内部控制责任及自?#31227;?#20215;责任的陈述是我们发表内部控制审计意见的基础是不可或缺的审计证据。如果企业拒绝提供或以其他不当理由回避书面声明我们应当视其为审计范围受到限制解除业务约定或出具无法表示意见的内部控制审计报告。同?#20445;?#25105;们需要评价企业拒绝提供书面声明对其他声明包括财务报表审计中获取的声明?#30446;?#38752;性产生的影响。

三、与企业沟通控制缺陷
在出具内部控制审计报告之前我们应当以书面?#38382;?#19982;管理层和治理层沟通我们发现的重大缺陷和重要缺陷。
我们与企业沟通控制缺陷的对象包括董事会、经理层?#32422;?#20854;他相关人员。根据ゞ企业内部控制基本规范〃的相关规定董事会负责内部控制的建立健全和?#34892;?#23454;施经理层负责组织领?#35745;?#19994;内部控制的日常运?#23567;?#22240;此董事会和经理层是我们沟通控制缺陷的主要对象。在内部控制审计的执行过程中我们还应当向相关内部控制执行人员?#32422;?#19994;务流程负责人沟通识别的控制缺陷以确认缺陷的存在和推进缺陷的整改。此外我们还应当与内部控制自?#31227;?#20215;人员和内部审计人员沟通审计过程中识别的控制缺陷以协调彼此的工作。
虽然我们不要求执行足以识别所有控制缺陷的审计程序但我们应当将内部控制审计中识别的所有控制缺陷与企业进行沟通对于其中的重大缺陷和重要缺陷应当以书面?#38382;?#19982;董事会和经理层进行沟通。我们可以事?#35748;?#33891;事会和经理层了解其就内部控制审计中识别的一般控制缺陷沟通的范围和?#38382;?#26377;无特别的要求并在沟通时作出相应的安排。我们与企业沟通的内部控制缺陷包括在内部控制审计中识别的所有财务报告内部控制缺陷?#32422;?#27880;意到的非财务报表内部控制缺陷。
如果企业的董?#24405;?#20219;高级管理人员我们不能因已与管理层的沟通替代与董事会的沟通。我们应向所有负有治理责任的人员充分传递应予沟通的控制缺陷。除非治理层全部参与管理否则我们应?#26412;?#20869;部控制缺陷与董事会专门进行沟通。
如果我们认为审计委员会和内部审计机构对内部控制的监督是无效的即认为审计委员会和内部审计机构在公司治理中未起到应有的作用我们应?#26412;?#27492;以书面?#38382;?#30452;接与董事会和经理层沟通。
ゞ内部控制审计工作底稿〃CB-3为我们与企业沟通的书面记录与企业沟通内部控制缺陷的书面记录应当包括以下内容
l
沟通时间
l
沟通地点
l
沟通对象
l
缺陷的描述
l
缺陷的潜在影响
l
缺陷对财务报告内部控制的影响程度即重大缺陷、重要缺陷、一般缺陷
l
管理层已经采取或者拟采取的改进措施及整改期限如有。
四、形成审计意见
我们应当评价从各种来源获取的审计证据包括对控制的测试结果、财务报表审计中发现的错报?#32422;?#24050;识别的所有控制缺陷形成对内部控制?#34892;?#24615;的意见。
在评价审计证据?#20445;?#25105;们应当查阅本年度设计内部控制的内部审计报告或类似报告并评价这些报告中指出的控制缺陷。只?#24615;?#23457;计范围没有受到限制?#20445;?#25105;们才能对内部控制的?#34892;?#24615;形成意见。如果审计范围受到限制我们需要解除业务约定书或出具无法表示意见的内部控制审计报告。
l
在对内部控制的?#34892;?#24615;形成意见后我们应当评价企业内部控制评价报告对相关法律法规规定的要素的列报是否完整和恰当。根据中国证监会ゞ上市公司实施企业内部控制规范体?#23548;?#31649;问题解答〃的规定公开发行证券的公司在年度报告中应披露的财务报告内部控制评价报告应包括以下内容
l
公司董事会关于建立健全和?#34892;?#23454;施财务报告内部控制是公司董事会的责任并就公司财务报告内部控制评价报告真实性作出的声明
l
财务报告内部控制评价的依据
l
根据自?#31227;?#20215;情况认定于评价基准日存在的财务报告内部控制重大缺陷情况
l
对发现的重大缺陷已采取或拟采取的整改措施的?#24471;?br>l
公司董事会对评价基准日财务报告内部控制?#34892;?#24615;的自?#31227;?#20215;结论
l
在财务报告内部控制自?#31227;?#20215;过程中关注到的非财务报告内部控制重大缺陷情况。
第二十章
出具审计报告
在完成内部控制审计工作后我们应当出具内部控制审计报告。我们需要在审计报告中清楚地表达对内部控制?#34892;?#24615;的意见并对出具的审计报告负责。在整合审计中我们在完成内部控制审计和财务报表审计后应当分别对内部控制和财务报表出具审计报告并签署相同的日期。
按意见类型来划分内部控制审计报告可?#27835;?#19977;?#20013;问?#21363;无保留意见、否定意见和无法表示意见的内部控制审计报告。按是否为标?#23478;?#35265;来划分内部控制审计报告可?#27835;?#26631;准内部控制审计报告和非标准内部控制审计报告后者又可?#27835;?#24102;强调事项的无保留意见内部控制审计报告、否定意见内部控制审计报告和无法表示意见内部控制审计报告。
一、出具标准内部控制审计报告
标准内部控制审计报告指我们出具的无保留意见的内部控制审计报告不附加?#24471;?#27573;、强调事项?#20301;?#20219;何修饰性用语。我们对财务报告内部控制出具标准内部控制审计报告的必要前提条件是
l
企业按照ゞ企业内部控制基本规范〃、ゞ企业内部控制应用指引〃、ゞ企业内部控制评价指引〃?#32422;?#20225;业自身内部控制制度的要求在所有重大方面保持了?#34892;?#30340;内部控制
l
我们已经按照ゞ企业内部控制审计指引〃的要求计划和实施审计工作在审计过程中未受到限制
l
企业财务报告内部控制不存在需要提请内部控制审计报告使用者注意的应当在内部控制审计报告?#24615;?#21152;强调事项段予以?#24471;?#30340;事项。
需要注意的是上述^在所有重大方面´´ ̄仅指与财务报告内部控制相关的所有重大方面因此我们即使发现了非财务报告内部控制存在重大缺陷?#37096;?#20197;出具标准内部控制审计报告。
上述^实施审计工作 ̄包含实施审计工作、评价控制缺陷、完成审计工作三个环节我们应该按照审计计划履行审计程序获取相应的审计证据并对获取的审计证据的充分性和?#23454;?#24615;进行评价后形成审计意见出具审计报告。审计工作中受到限制是指我们对于企业的?#25215;?#25110;多项重要内部扣除和控制的测试工作受到了限制即无论通过观察、询问、检查、重新执行等何种测试方法都无法获取相关证据判断其是否存在重大缺陷。我们在考虑审计工作中是否受到限制?#20445;?#38656;要考虑该限制是否导致我们无法取得充分、?#23454;?#30340;审计证据比如某重要流程的相关控制文档部分遗失无法对其进行检查但是通过询问并对?#24418;?#36951;失的文档的检查等程序获得了相关审计证据我们能利用这些证据对该流程的?#34892;?#24615;进行评价则不构成对审计的限制。
二、出具非标准内部控制审计报告
2.1带强调事项段的无保留意见内部控制审计报告
如果我们认为财务报告内部控制虽不存在重大缺陷但?#26434;?#19968;项或多项重大事项需要提请内部控制审计报告使用者注意的应当在内部控制审计报告?#24615;?#21152;强调事项段予以?#24471;?#25105;们应当在强调事项段中指明该段内容仅用于提醒内部控制审计报告使用者关注并不影响对财务报告内部控制发表的审计意见。
强调事项应当同时符合?#38109;?#26465;件
l
对企业财务报告内部控制有重大影响但被审计单位进行了恰当的处理并向我们出具了书面声明书
l
不构成企业财务报告内部控制及非财务报告内部控制重大缺陷不影响审计意见类型。
增加强调事项段的情形主要有
l
以前年度企业内部控制存在重大缺陷。企业上年度内部控制存在重大缺陷被出具了否定意见或在审计报告中进行了披露针对非财务报告内部控制重大缺陷本期通过改进已经消除了缺陷在内部控制自?#31227;?#20215;报告中对此进行了充分的披露并向我们提交了相关书面声明我们应该在审计意见段之后增加强调事项段提醒审计报告使用者主要企业内部控制评价报告中对有关改进事项的披露
l
企业存在重大不确定事项指其结果依赖于未来行动或事项不受被审计单位直接控制但可能影响企业内部控制的事项
l
如果确定企业内部控制评价报告对要素的列报不完整或不恰?#20445;?#25105;们应当在内部控制审计报告?#24615;?#21152;强调事项段?#24471;?#36825;一情况并解释得出该结论的理由
l
考虑财务报表审计报告中强调事项段和其他事项段。如果与内部控制审计报告一同披露的财务报表审计报告中存在强调事项段和其他事项段且这些事项可能涉及内部控制或内部控制?#30446;?#33021;变化我们应该关注并考虑是否在内部控制审计报告中予以相应披露其中对于持续经营相关的事项应该在内部控制审计报告?#24615;?#21152;强调事项段进行披露
l
如果我们知悉在基准日并不存在、但在期后期间发生的事项且这类期后事项对内部控制有重大影响我们应当在内部控制审计报告?#24615;?#21152;强调事项段描述该事项及其影响或提醒内部控制审计报告使用者关注企业内部控制评价报告中披露的该事项及其影响。
2.2否定意见内部控制审计报告
如果认为内部控制存在一项或多项重大缺陷除非审计范围受到限制我们应当对内部控制发表否定意见。
如果知悉对企业内部控制自?#31227;?#20215;基准日内部控制?#34892;?#24615;有重大负面影响的期后事项的我们应当对财务报告内部控制发表否定意见。
我们在发表否定意见?#20445;?#24212;该在意见段之前增加^导致否定意见的事项 ̄描述段描述段中应包括对重大缺陷的定义、重大缺陷的性质?#32422;?#37325;大缺陷对财务报告内部控制的影响程?#21462;?#22312;否定意见的审计报告中我们应披露审计过程中发现的所有重大的内部控制缺陷不能对披露的内容进行选择以帮助内部控制审计报告使用者全面了解企业内部控制存在的缺陷。
如果重大缺陷?#24418;窗?#21547;在企业内部控制评价报告中我们应当在内部控制审计报告中?#24471;?#37325;大缺陷已经识别、但没有包含在企业内部控制评价报告?#23567;?#22914;果企业内部控制评价报告中包含了重大缺陷但我们认为这些重大缺陷未在所有重大方面得到公允反?#24120;?#25105;们应当在内部控制审计报告中?#24471;?#36825;一结论并公?#26102;?#36798;有关重大缺陷的必要信息。此外我们还应?#26412;?#36825;些情况以书面?#38382;?#19982;治理层沟通。
2.3无法表示意见内部控制审计报告
如果审计范围受到限制我们应当解除业务约定或出具无法表示意见的内部控制审计报告如果我们不能确定期后事项对内部控制?#34892;?#24615;的影响程度的应当出具无法表示意见的内部控制审计报告。
我们在出具无法表示意见的内部控制审计报告?#20445;?#38656;要在内部控制审计报告中指明审计范围受到限制无法对内部控制的?#34892;?#24615;发表意见并单设段落?#24471;?#26080;法表示意见的实质性理由。我们不应在内部控制审计报告中指明所执行的程序也不应描述内部控制审计的特征?#21592;?#20813;报告使用者对无法表示意见产生误解。如果在已执行的有限程序中发现内部控制存在重大缺陷我们应当在内部控制审计报告中对重大缺陷作出详细?#24471;?br>只要认为审计范围受到限制将导致无法获取发表审计意见所需的充分、?#23454;?#30340;审计证据我们不必执行任何其他工作即可对内部控制出具无法表示意见的内部控制审计报告。在这种情况下内部控制审计报告的日期应为我们已就该报告中陈述的内容获取充分、?#23454;?#30340;审计证据的日期。
当我们拟出具无法表示意见的审计报告?#20445;?#22914;果已执行的有限程序使其认为内部控制存在重大缺陷则在意见段之后增加^识别的内部控制重大缺陷 ̄段描述和披露以下内容
l
重大缺陷的定义
l
对识别出的重大缺陷的描述该描述应当包括重大缺陷的性质?#32422;?#37325;大缺陷在存在期间对企业编制的财务报表产生的?#23548;?#21644;潜在影响等信息
l
在因审计范围受到限制而无法表示意见?#20445;?#25105;们应?#26412;?#26410;能完成整个内部控制审计工作的情况以书面?#38382;?#19982;管理层和治理层进行沟通。
三、非财务报告内部控制存在重大限制
如果在审计过程中注意到非财务报告内部控制存在重大缺陷我们应当以书面?#38382;?#19982;企业董事会和经理层沟通提醒企业加以改进同时在内部控制审计报告?#24615;?#21152;非财务报告内部控制重大缺陷描述段对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露提示内部控制审计报告使用者注意相关风险但无需对其发表审计意见。
四、对期后事项?#30446;?#34385;在基准日之后至审计报告日之前以?#24405;?#31216;期后期间内部控制可能发生变化或出?#21046;?#20182;可能对内部控制产生重要影响的因素。我们应当讯问是否存在这类变化或因素并获取被审计单位关于这类变化或因素的书面声明。
我们应当针对期后期间讯问并检查?#38109;行?#24687;
1
在期后期间出具的内部审计报告或类似报告
2
其他注册会计师出具的涉及被审计单位内部控制缺陷的报告
3
监管机构发布的涉及被审计单位内部控制的报告
4
我们在执行其他业务中获取的、有关被审计单位内部控制?#34892;?#24615;的信息。
如果我们知悉对企业内部控制自?#31227;?#20215;基准日内部控制?#34892;?#24615;有重大负面影响的期后事项的我们应当对财务报告内部控制发表否定意见。^重大负面影响的期后事项 ̄仅指对企业自?#31227;?#20215;基准日已经存在的情况提供后续证据的事项相当于有证据表明公司财务报告内部控制存在重大缺陷因而我们应该发表否定意见。
若发现了对内部控制有重大负面影响的事项该事项对期后的内部控制产生重大影响但对基准日内部控制并无重大影响我们应该与被审计单位沟通要求其在企业声明书中进行声明。
如果我们不能确定期后事项对内部控制?#34892;?#24615;的影响程度的我们应当出具无法表示已经的内部控制审计报告。上述内部控制是就企业自?#31227;?#20215;基准日的内部控制而言在这种情况下由于无法利用现有证据或进一步审计程序获取证据来证明期后事项对基准日内部控制?#34892;?#24615;的影响则视同审计范围受限我们将出具无法表示已经审计报告。
五、内部控制审计报告与财务报表审计报告的衔接
财务报表审计报告与内部控制审计报告的关系从理论上?#27835;?#21069;者是对财务报告的公允性发表鉴证意见后者是对财务报告内部控制的?#34892;?#24615;发表鉴证意见由于发表意见的对象不同内部控制审计报告的意见类型与财务报表审计的意见类型存在联系但并非一一对应。
在执行财务报表审计的过程中我们发?#21046;?#19994;财务报告存在重大错报企业接受建议对财务报告中的重大错报进行了调整在确认没有其他重大影响财务报告公允性的事项且审计范围没有受到限制的情况下我们应该对企业的财务报告出具标?#23478;?#35265;审计报告但如果该错报是由于企业的财务报告内部控制存在重大缺陷而引起的我们应该对企业财务报告内部控制的?#34892;?#24615;出具否定意见。
如果我们对企业财务报表发表否定意见意味着我们认为财务报告存在重大错报会误导使用者财务报告的编制?#29615;?#21512;适用的会计准则和相关会计制度的规定因此通常情况下企业的财务报告内部控制?#34892;?#24615;也应该被出具否定意见如果我们出具了其他类型的审计报告将使同时阅读两个审计报告的报告使用者产生疑虑。
如果我们对企业财务报表发表无法表示意见意味着对企业财务报告进行审计?#20445;?#22240;为范围受到限制可能产生的影响非常重大和广泛不能获取充分、?#23454;?#30340;审计证据以至于无法对财务报表的公?#24066;浴?#21512;法性发表鉴证意见。我们应?#26412;?#24847;思财务报表审计范围受到重大限制对内部控制审计的影响与被审计单位进行书面沟通并?#27835;?#20197;上限制的形成原因对于客观因素造成的限制我们应进行风险评估考虑对内部控制审计的影响并根据影响程度判断对内部控制审计报告意见类型的影响。对于企业主观因素造成的财务报表审计范围受限我们通常应该考虑解除内部控制审计业务约定或对财务报告内部控制发表无法表示意见。
如果我们对企业财务报表发表保留意见则我们需要对导致出具保留意见的事项进行?#27835;z?#21028;断造成保留事项的原因是否与企业内部控制相关考虑对测试程序和缺陷评价的影响并将该事项与企业进行书面沟通明确对内部控制审计报告意见类型的影响。
如果我们拟对内部控制的?#34892;?#24615;发表否定意见在财务报表审计中我们不应依赖存在重大缺陷的控制需要实施实质性程序确定与该控制相关的账户是否存在重大错报。如果实施实质性程序的结果表明该账户不存在重大错报我们可以对财务报表发表无保留意见。在这种情况下我们应?#27604;?#23450;该意见对财务报表审计意见的影响并在内部控制审计报告中予以?#24471;?#22914;果对财务报表发表的审计意见未受影响我们应当在内部控制审计报告的导致否定意见的事项段?#24615;?#21152;以下类似?#24471;?^在XX公司XX年财务报表审计中我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。本报告并未对我们在XX年X月X日对XX公司XX年度财务报表出具的审计报告产生影响。 ̄这一?#24471;?#23545;于保证审计报告使用者理解我们为何对财务报表发表无保留意见非常重要。如果对财务报表发表的审计意见受到影响我们应当在内部控制审计报告的导致否定意见的事项段?#24615;?#21152;以下类别?#24471;此?#22312;XX公司XX年财务报表审计中我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。 ̄

内部控制审计操作手册 本文关键?#21097;?strong>操作手册内部控制审计

内部控制审计操作手册  来源网络整理

  免责声明本文仅限学习分享如产生版权问题请联系我们及时?#22659;?/span>


内部控制审计操作手册〃出自品牌?#21592;?#32593;
链接地?#32602;http://www.qeaooo.tw/a/81246.html
转载请保留,谢谢!
查看更多相关内容>>内部控制审计操作手册
相关文章
  • 内部控制审计操作手册

    内部控制审计操作手册目录第一章获取审计业务约定书1一、获取审计业务约定书1二、内部控制审计业务约定书的内容1三、连续审计2四、审计业务约定条款的变更2五、业务约定书的文档记...

推荐范文
专题大全
30僉5蝕襲潤惚