《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》指南
发布时间:2010年01月07日 来源:
第一章 总 则
《中国注册会计师审计准则第 1211号——了解被审计单位及其环境并评估重大错报风险》(以下简称本准则)第一章(第一条至第五条),主要说明本准则的制定目的和适用范围,并对注册会计师了解被审计单位及其环境并评估重大错报风险提出总体要求。
一、本准则的制定目的
《中国注册会计师审计准则第 1101号——财务报表审计的目标和一般原则》要求注册会计师在审计过程中贯彻风险导向审计的理念,围绕重大错报风险的识别、评估和应对,计划和实施审计工作。其中,如何识别和评估重大错报风险,构成了注册会计师应对重大错报风险的前提。本准则第一条指出,为了规范注册会计师了解被审计单位及其环境,识别和评估财务报表重大错报风险,制定本准则。
二、本准则的适用范围
本准则第二条指出,本准则适用于注册会计师执行财务报表审计业务。
除了遵守本准则的规定外,注册会计师在识别和评估由舞弊导致的重大错报风险时,还应当遵守《中国注册会计师审计准则第 1141号—— 财务报表审计中对舞弊的考虑》的规定。
注册会计师在针对已评估的重大错报风险确定总体应对措施,设计和实施进一步审计程序时,应当遵守《中国注册会计师审计准则第1231号—— 针对评估的重大错报风险实施的程序》的规定。
三、本准则的总体要求
本准则第三条对注册会计师了解被审计单位及其环境并评估重大错报风险提出了总体要求,规定注册会计师应当了解被审计单位及其环境,以足够识别和评估财务报表重大错报风险,设计和实施进一步审计程序。
对本准则的总体要求可以从以下三方面理解:( 1)了解被审计单位及其环境是必须要实施的程序而不是可选程序;(2)了解的目的是识别和评估财务报表重大错报风险,设计和实施进一步审计程序;(3)了解的程度应当足够实现了解的目的。
四、了解被审计单位及其环境的必要性
本准则第四条指出,了解被审计单位及其环境是必要程序,特别是为注册会计师在下列关键环节作出职业判断提供重要基础:(1)确定重要性水平,并随着审计工作的进程评估对重要性水平的判断是否仍然适当;(2)考虑会计政策的选择和运用是否恰当,以及财务报表的列报(包括披露,下同)是否适当;(3)识别需要特别考虑的领域,包括关联方交易、管理层运用持续经营假设的合理性,或交易是否具有合理的商业目的等;(4)确定在实施分析程序时所使用的预期值;(5)设计和实施进一步审计程序,以将审计风险降至可接受的低水平;(6)评价所获取审计证据的充分性和适当性。
职业判断贯穿于注册会计师审计的全过程。职业判断只有建立在对被审计单位及其环境了解的基础上,才是恰当的和符合实际的。
五、了解被审计单位及其环境的程度
本准则第五条指出,了解被审计单位及其环境是一个连续和动态地收集、更新与分析信息的过程,贯穿于整个审计过程的始终。注册会计师应当运用职业判断确定需要了解被审计单位及其环境的程度。
评价对被审计单位及其环境了解的程度是否恰当,关键是看注册会计师对被审计单位及其环境的了解是否足以识别和评估财务报表重大错报风险。如果了解被审计单位及其环境获得的信息足以识别和评估财务报表重大错报风险,设计和实施进一步审计程序,那么了解的程度就是恰当的。当然,要求注册会计师对被审计单位及其环境了解的程度,要低于管理层为经营管理企业而对被审计单位及其环境需要了解的程度。
第二章 风险评估程序、信息来源以及项目组内部的讨论
本准则第二章(第六条至第十八条),主要规范注册会计师了解被审计单位及其环境时实施的风险评估程序和获取相关信息的来源,并要求注册会计师组织项目组成员对财务报表存在重大错报的可能性进行讨论。
第一节 风险评估程序和信息来源
一、风险评估程序
注册会计师了解被审计单位及其环境,目的是为了识别和评估财务报表重大错报风险。为了解被审计单位及其环境而实施的程序称为“风险评估程序”。注册会计师应当依据实施这些程序所获取的信息 ① ,评估重大错报风险。
本准则第六条规定,注册会计师应当实施下列风险评估程序,以了解被审计单位及其环境:(1)询问被审计单位管理层和内部其他相关人员;(2)分析程序;(3)观察和检查。本准则第七条至第九条分别对上述风险评估程序进行了规范。
(一)询问被审计单位管理层和内部其他相关人员
询问被审计单位管理层和内部其他相关人员是注册会计师了解被审计单位及其环境的一个重要信息来源。注册会计师可以考虑向管理层和财务负责人询问下列事项:
1.管理层所关注的主要问题。如新的竞争对手、主要客户和供应商的流失、新的税收法规的实施以及经营目标或战略的变化等。
2.被审计单位最近的财务状况、经营成果和现金流量。
3.可能影响财务报告的交易和事项,或者目前发生的重大会计处理问题。如重大的购并事宜等。
4.被审计单位发生的其他重要变化。如所有权结构、组织结构的变化,以及内部控制的变化等。
尽管注册会计师通过询问管理层和财务负责人可获取大部分信息,但是询问被审计单位内部的其他人士可能为注册会计师提供不同的信息,有助于识别重大错报风险。因此,本准则第七条规定,注册会计师除了询问管理层和对财务报告
①根据《中国注册会计师审计准则第1301号——审计证据》,注册会计师实施风险评估程序获取的信息构成审计证据的一个组成部分。
负有责任的人员外,还应当考虑询问内部审计人员、采购人员、生产人员、销售人员等其他人员,并考虑询问不同级别的员工,以获取对识别重大错报风险有用的信息。
在确定向被审计单位的哪些人员进行询问以及询问哪些问题时,注册会计师应当考虑何种信息有助于其识别和评估重大错报风险。例如:
(1)询问治理层,有助于注册会计师理解财务报表编制的环境;
(2)询问内部审计人员,有助于注册会计师了解其针对被审计单位内部控制设计和运行有效性而实施的工作,以及管理层对内部审计发现的问题是否采取适当的措施;
(3)询问参与生成、处理或记录复杂或异常交易的员工,有助于注册会计师评估被审计单位选择和运用某项会计政策的适当性;
(4)询问内部法律顾问,有助于注册会计师了解有关法律法规的遵循情况、产品保证和售后责任、与业务合作伙伴的安排(如合营企业)、合同条款的含义以及诉讼情况等;
(5)询问营销或销售人员,有助于注册会计师了解被审计单位的营销策略及其变化、销售趋势以及与客户的合同安排;
(6)询问采购人员和生产人员,有助于注册会计师了解被审计单位的原材料采购和产品生产等情况;
(7)询问仓库人员,有助于注册会计师了解原材料、产成品等存货的进出、保管和盘点等情况。
(二)分析程序
分析程序是指注册会计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系,对财务信息作出评价。分析程序还包括调查识别出的、与其他相关信息不一致或与预期数据严重偏离的波动和关系。
分析程序既可用作风险评估程序和实质性程序,也可用于对财务报表的总体复核。本准则主要说明在了解被审计单位及其环境并评估重大错报风险时使用的分析程序,即将分析程序用作风险评估程序。
本准则第八条第一款规定,注册会计师实施分析程序有助于识别异常的交易或事项,以及对财务报表和审计产生影响的金额、比率和趋势。
本准则第八条第二款规定,在实施分析程序时,注册会计师应当预期可能存在的合理关系,并与被审计单位记录的金额、依据记录金额计算的比率或趋势相比较;如果发现异常或未预期到的关系,注册会计师应当在识别重大错报风险时 考虑这些比较结果。例如,注册会计师通过实施分析程序发现,两个会计期间的毛利率相当。但是,注册会计师通过对被审计单位的了解,获知在生产成本中占较大比例的原材料成本在相关期间内上升,注册会计师预期销售成本也应相应上升,而毛利率应相应下降。上述分析可能使注册会计师得出结论:销售成本可能存在重大错报风险,应对其给予足够的重视。
本准则第八条第三款规定,如果使用了高度汇总的数据,实施分析程序的结果仅可能初步显示财务报表存在重大错报风险,注册会计师应当将分析结果连同识别重大错报风险时获取的其他信息一并考虑。例如,被审计单位存在很多产品 系列,各个产品系列的毛利率存在一定差异。对总体毛利率实施分析程序的结果仅可能初步显示销售成本存在重大错报风险,注册会计师需要实施更为详细的分析程序。例如,对每一产品系列进行毛利率分析,或者将总体毛利率分析的结果连同其他信息一并考虑。
关于分析程序的具体运用,参见《中国注册会计师审计准则第 1313号——分析程序》及其指南。
(三)观察和检查
本准则第九条规定,观察和检查程序可以印证对管理层和其他相关人员的询问结果,并可提供有关被审计单位及其环境的信息,注册会计师应当实施下列观察和检查程序。
1.观察被审计单位的生产经营活动。例如,观察被审计单位人员正在从事的生产活动和内部控制活动,可以增加注册会计师对被审计单位人员如何进行生产经营活动及实施内部控制的了解。
2.检查文件、记录和内部控制手册。例如,检查被审计单位的章程,与其他单位签订的合同、协议,各业务流程操作指引和内部控制手册等,了解被审计单位组织结构和内部控制制度的建立健全情况。
3.阅读由管理层和治理层编制的报告。例如,阅读被审计单位年度和中期财务报告,股东大会、董事会会议、高级管理层会议的会议记录或纪要,管理层的讨论和分析资料,经营计划和战略,对重要经营环节和外部因素的评价,被审计单位内部管理报告以及其他特殊目的报告(如新投资项目的可行性分析报告)等,了解自上一审计结束至本期审计期间被审计单位发生的重大事项。
4.实地察看被审计单位的生产经营场所和设备。通过现场访问和实地察看被审计单位的生产经营场所和设备,可以帮助注册会计师了解被审计单位的性质及其经营活动。在实地察看被审计单位的厂房和办公场所的过程中,注册会计师有机会与被审计单位的管理层和担任不同职责的员工进行交流,可以增强注册会计师对被审计单位的经营活动及其重大影响因素的了解。
5.追踪交易在财务报告信息系统中的处理过程(穿行测试)。这是注册会计师了解被审计单位业务流程及其相关控制时经常使用的审计程序。通过追踪某笔或某几笔交易在业务流程中如何生成、记录、处理和报告,以及相关内部控制如何执行,注册会计师可以确定被审计单位的交易流程和相关控制是否与之前通过其他程序所获得的了解一致,并确定相关控制是否得到执行。
二、其他审计程序和信息来源
(一)其他审计程序
除了采用上述程序从被审计单位内部获取信息以外,按照本准则第十条的规定,如果根据职业判断认为从被审计单位外部获取的信息有助于识别重大错报风险,注册会计师应当实施其他审计程序以获取这些信息。例如,询问被审计单位聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等。
阅读外部信息也可能有助于注册会计师了解被审计单位及其环境。外部信息包括证券分析师、银行、评级机构出具的有关被审计单位及其所处行业的经济或市场环境等状况的报告,贸易与经济方面的期刊杂志,法规或金融出版物,以及政府部门或民间组织发布的行业报告和统计数据等。
(二)其他信息来源
本准则第十一条规定,注册会计师应当考虑在承接客户或续约过程中获取的信息,以及向被审计单位提供其他服务所获得的经验是否有助于识别重大错报风险。通常,对新的审计业务,注册会计师应在业务承接阶段对被审计单位及其环境有一个初步的了解,以确定是否承接该业务。而对连续审计业务,也应在每年的续约过程中对上年审计作总体评价,并更新对被审计单位的了解和风险评估结果,以确定是否续约。注册会计师还应当考虑向被审计单位提供其他服务(如执行中期财务报表审阅业务)所获得的经验是否有助于识别重大错报风险。
本准则第十二条规定,对于连续审计业务,如果拟利用在以前期间获取的信息,注册会计师应当确定被审计单位及其环境是否已发生变化,以及该变化是否可能影响以前期间获取的信息在本期审计中的相关性。例如,通过前期审计获取的有关被审计单位组织结构、生产经营活动和内部控制的审计证据,以及有关以往的错报和错报是否得到及时更正的信息,可以帮助注册会计师评估本期财务报表的重大错报风险。但值得注意的是,被审计单位或其环境的变化可能导致此类信息在本期审计中已不具有相关性。例如,注册会计师前期已经了解了内部控制的设计和执行情况,但被审计单位及其环境可能在本期发生变化,导致内部控制 也发生相应变化。在这种情况下,注册会计师需要实施询问和其他适当的审计程序(如穿行测试),以确定该变化是否可能影响此类信息在本期审计中的相关性。
需要说明的是,本准则第十九条要求注册会计师从六个方面了解被审计单位及其环境,但注册会计师无需在了解每个方面时都实施以上所有的风险评估程序。例如,在了解内部控制时通常不用分析程序。但是,在按照本准则的要求对被审计单位及其环境获取了解的整个过程中,注册会计师通常会实施上述所有的风险评估程序。
第二节 项目组内部的讨论
一、总体要求
本准则第十三条规定,注册会计师应当组织项目组成员对财务报表存在重大错报的可能性进行讨论,并运用职业判断确定讨论的目标、内容、人员、时间和方式。本准则第十四条至第十八条分别对此作了具体说明。
二、讨论的目标
项目组内部的讨论为项目组成员提供了交流信息和分享见解的机会。本准则第十四条指出,项目组通过讨论可以使成员更好地了解在各自分工负责的领域中,由于舞弊或错误导致财务报表重大错报的可能性,并了解各自实施审计程序的结果如何影响审计的其他方面,包括对确定进一步审计程序的性质、时间和范围的影响。
三、讨论的内容
本准则第十五条规定,项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式。特别是由于舞弊导致重大错报的可能性。
四、参与讨论的人员
注册会计师应当运用职业判断确定项目组内部参与讨论的成员。本准则第十六条规定,项目组的关键成员应当参与讨论,如果项目组需要拥有信息技术或其他特殊技能的专家,这些专家也应参与讨论。参与讨论人员的范围受项目组成员的职责经验和信息需要的影响。例如,在跨地区审计中,每个重要地区项目组的关键成员应该参加讨论。不要求所有成员每次都参与项目组的讨论。
五、讨论的时间和方式
本准则第十七条规定,项目组应当根据审计的具体情况,在整个审计过程中持续交换有关财务报表发生重大错报可能性的信息。
根据《中国注册会计师审计准则第 1101号——财务报表审计的目标和一般原则》的规定,注册会计师应当在计划和实施审计工作时保持职业怀疑态度,充分考虑可能存在导致财务报表发生重大错报的情形。本准则第十八条规定,项目组在讨论时应当强调在整个审计过程中保持职业怀疑态度,警惕可能发生重大错报的迹象,并对这些迹象进行严格追踪。通过讨论,项目组成员可以交流和分享在整个审计过程中获得的信息,包括可能对重大错报风险评估产生影响的信息或针对这些风险实施审计程序的信息。
项目组还可以根据实际情况,讨论其他重要事项。
第三章 了解被审计单位及其环境
本准则第三章(第十九条至第四十四条),主要规范注册会计师应当从哪些方面了解被审计单位及其环境,以作为识别和评估重大错报风险的基础。
第一节 总体要求
一、了解被审计单位及其环境的主要内容
本准则第十九条第一款规定,注册会计师应当从下列方面了解被审计单位及其环境:(1)行业状况、法律环境与监管环境以及其他外部因素;(2)被审计单位的性质;(3)被审计单位对会计政策的选择和运用;(4)被审计单位的目标、战略以及相关经营风险;(5)被审计单位财务业绩的衡量和评价;(6)被审计单位的内部控制。
上述第(1)项是被审计单位的外部环境,第(2)项至第(4)项以及第(6)项是被审计单位的内部因素,第(5)项则既有外部因素也有内部因素。值得注意的是,被审计单位及其环境的各个方面可能会互相影响。例如,被审计单位的行业状况、法律环境与监管环境以及其他外部因素可能影响到被审计单位的目标、战略以及相关经营风险,而被审计单位的性质、目标、战略以及相关经营风险可能影响到被审计单位对会计政策的选择和运用,以及内部控制的设计和执行。因此,注册会计师在对被审计单位及其环境的各个方面进行了解和评估时,应当考虑各因素之间的相互关系。
二、风险评估程序
本准则第十九条第二款规定,在针对本条第一款各项确定风险评估程序的性质、时间和范围时,注册会计师应当考虑审计业务的具体情况和相关审计经验,并识别本条第一款各项与以前期间相比发生的重大变化。
注册会计师针对上述六个方面实施的风险评估程序的性质、时间和范围取决于审计业务的具体情况,如被审计单位的规模和复杂程度,以及注册会计师的相关审计经验,包括以前对被审计单位提供审计和相关服务的经验和对类似行业、类似企业的审计经验。此外,识别被审计单位及其环境在上述各方面与以前期间相比发生的重大变化,对于充分了解被审计单位及其环境、识别和评估重大错报风险尤为重要。
为了更好地指导实务,本章第二节至第六节在对需要了解的各个方面进行解释时,将具体说明如何运用本指南第二章所述的各项风险评估程序。由于了解各个方面时运用的程序具有一定的相似性,因此,在说明时,将视情况作适当简化。
第二节 行业状况、法律环境与监管环境以及其他外部因素
行业状况、法律环境与监管环境以及其他外部因素对被审计单位的经营活动乃至财务报表产生影响。因此,注册会计师应当对这些外部因素进行了解。本准则第二十条至第二十三条对了解的具体内容以及应注意的事项作出了规定。
一、了解的具体内容
(一)行业状况
了解行业状况有助于注册会计师识别与被审计单位所处行业有关的重大错报风险。
本准则第二十条规定,注册会计师应当了解被审计单位的行业状况,主要包括:(1)所处行业的市场供求与竞争;(2)生产经营的季节性和周期性;(3)产品生产技术的变化;(4)能源供应与成本;(5)行业的关键指标和统计数据。
具体而言,注册会计师可能需要了解以下情况:
(1)被审计单位所处行业的总体发展趋势是什么?
(2)处于哪一发展阶段,如起步、快速成长、成熟/产生现金流入或衰退阶段?
(3)所处市场的需求、市场容量和价格竞争如何?
(4)该行业是否受经济周期波动的影响,以及采取了什么行动使波动产生的影响最小化?
(5)该行业受技术发展影响的程度如何?
(6)是否开发了新的技术?
(7)能源消耗在成本中所占比重,能源价格的变化对成本的影响?
(8)谁是被审计单位最重要的竞争者,他们各自所占的市场份额是多少?之(9)被审计单位与其竞争者相比主要的竞争优势是什么?
(10)被审计单位业务的增长率和财务业绩与行业的平均水平及主要竞争者相比如何,存在重大差异的原因是什么?
(11)竞争者是否采取了某些行动,如购并活动、降低销售价格、开发新技术等,从而对被审计单位的经营活动产生影响?
(二)法律环境及监管环境
了解法律环境及监管环境的主要原因在于:(1)某些法律法规或监管要求可能对被审计单位经营活动有重大影响,如不遵守将导致停业等严重后果;(2)某些法律法规或监管要求(如环保法规等)规定了被审计单位某些方面的责任和义务;(3)某些法律法规或监管要求决定了被审计单位需要遵循的行业惯例和核算要求。
本准则第二十一条规定,注册会计师应当了解被审计单位所处的法律环境及监管环境,主要包括:(1)适用的会计准则、会计制度和行业特定惯例;(2)对经营活动产生重大影响的法律法规及监管活动;(3)对开展业务产生重大影响的政府政策,包括货币、财政、税收和贸易等政策;(4)与被审计单位所处行业和所从事经营活动相关的环保要求。
具体而言,注册会计师可能需要了解以下情况:
(1)国家对某一行业的企业是否有特殊的监管要求(如对银行、保险等行业的特殊监管要求);
(2)是否存在新出台的法律法规(如新出台的有关产品责任、劳动安全或环境保护的法律法规等),对被审计单位有何影响;
(3)国家货币、财政、税收和贸易等方面政策的变化是否会对被审计单位的经营活动产生影响;
(4)与被审计单位相关的税务法规是否发生变化;
(三)其他外部因素
本准则第二十二条规定,注册会计师应当了解影响被审计单位经营的其他外部因素,主要包括:(1)宏观经济的景气度;(2)利率和资金供求状况;(3)通货膨胀水平及币值变动;(4)国际经济环境和汇率变动。
具体而言,注册会计师可能需要了解以下情况:
(1)当前的宏观经济状况以及未来的发展趋势如何?
(2)目前国内或本地区的经济状况(如增长率、通货膨胀、失业率、利率等)怎样影响被审计单位的经营活动?
(3)被审计单位的经营活动是否受到外币汇率波动或全球市场力量的影响?
(四)了解的重点和程度
注册会计师对行业状况、法律环境与监管环境以及其他外部因素了解的范围和程度会因被审计单位所处行业、规模以及其他因素(如在市场中的地位)的不同而不同。例如,对从事计算机硬件制造的被审计单位,注册会计师可能更关心市场和竞争以及技术进步的情况;对金融机构,注册会计师可能更关心宏观经济走势以及货币、财政等方面的宏观经济政策;对化工等产生污染的行业,注册会计师可能更关心相关环保法规。注册会计师应当考虑将了解的重点放在对被审计单位的经营活动可能产生重要影响的关键外部因素以及与前期相比发生的重大变化上。
本准则第二十三条的规定,注册会计师应当考虑被审计单位所在行业的业务性质或监管程度是否可能导致特定的重大错报风险,考虑项目组是否配备了具有相关知识和经验的成员。
例如,建筑行业长期合同涉及收入和成本的重大估计,可能导致重大错报风险; 银行监管机构对商业银行的资本充足率有专门规定,不能满足这一监管要求的商业银行可能有操纵财务报表的动机和压力。
二、实施风险评估程序
本指南第二章第一节已说明在了解被审计单位及其环境时实施的风险评估程序。针对被审计单位的行业状况、法律环境与监管环境以及其他外部因素,注册会计师具体运用的风险评估程序可能包括下列方面。
(一)查阅以前年度的审计工作底稿
对于连续审计业务,以前年度的审计工作底稿有助于注册会计师了解与特定经营活动和行业相关的一些因素。例如,以前年度审计中了解被审计单位及其环境时编制的审计工作底稿可能提供与被审计单位行业状况、法律环境与监管环境以及其他外部因素相关的信息。注册会计师应当根据本年度发生的变化,在适当 时对其予以更新并用于本年度的审计工作中。
(二)询问被审计单位管理层和员工
通过向被审计单位管理层询问其权责范围内涉及的重要外部因素及其对被审计单位产生的影响,注册会计师可以对管理层作出的重大决策及采取的行动有进一步的了解。通过向负责市场和销售的人员询问所处行业的市场供求及竞争情况,可以增强或更新注册会计师对被审计单位所处环境的了解。
对于连续审计业务,注册会计师询问的重点通常是以前年度了解到的情况是否在本期发生了变化。注册会计师对最新动态的关注应当贯穿于整个审计过程中。
(三)查阅内部与外部的信息资料
内部信息资料主要包括中期财务报告(包括管理层的讨论和分析)、管理报告、其他特殊目的报告,以及股东大会、董事会会议、高级管理层会议的会议记录或纪要。外部信息资料包括外部顾问、代理机构、证券分析师等编制的关于被审计单位及其所处行业的报告,政府部门或民间行业组织发布的行业报告、宏观经济统计数据、行业统计数据,以及贸易和商业杂志等信息资料。
通常,被审计单位管理层基于经营管理需要会保存上述信息资料,或自己编写有关说明材料和分析材料。为了提高工作效率,注册会计师可以将询问管理层作为查找此类信息及确定信息来源的起点,考虑尽可能利用被审计单位保存的这些资料。注册会计师可以向被审计单位管理层和员工了解他们认为重要的外部信息来源,以及被审计单位如何收集、编制和保存这类信息。值得注意的是,注册会计师需要核实被审计单位提供的资料。此外,通过互联网查阅相关信息也能提高资料收集工作的效率。
在可行的情况下,更好的做法是注册会计师在平时就对宏观经济、行业和市场情况的最新动态,以及其他与被审计单位相关的信息加以关注,并留意收集这方面的信息。
(四)与项目组成员或熟悉被审计单位所处行业的其他人员讨论
与项目组成员特别是经验较多的人员进行讨论,有助于注册会计师获知和利用他人积累的有关被审计单位经营活动以及行业状况的经验与知识。与会计师事务所内熟悉被审计单位所处行业的其他人员讨论,也有助于注册会计师深入、快捷地了解该行业当前面临的外部因素与重大事项,及其对被审计单位的影响。
(五)分析程序
分析程序是注册会计师在了解被审计单位及其环境时运用的重要程序之一。在许多情况下,运用分析程序可以帮助注册会计师评价被审计单位在行业中的经营状况和竞争环境。例如:(1)将被审计单位的关键业绩指标与同行业平均数据或同行业中规模相近的其他单位的数据相比较,可以了解被审计单位在市场中的相对表现,并识别存在重大错报风险的迹象;(2)利用从外部获取的市场份额变化趋势信息,可以识别被审计单位竞争能力的重大变化;(3)按业务分部或地区分部分类计算的销售和毛利变动趋势,可以揭示经营业绩随时间推移而发生的变化,将这一业绩与以前年度比较,可以获得对经营业绩趋势的了解。
第三节 被审计单位的性质
本准则第二十四条规定,了解被审计单位的性质有助于注册会计师理解预期在财务报表中反映的各类交易、账户余额和列报。
本准则第二十四条还规定,注册会计师应当主要从下列方面了解被审计单位的性质:(1)所有权结构;(2)治理结构;(3)组织结构;(4)经营活动;(5)投资活动;(6)筹资活动。本准则第二十五条至第三十条分别对了解上述各方面提出了具体要求。
一、了解的具体内容
(一)所有权结构
对被审计单位所有权结构的了解有助于注册会计师识别关联方关系并了解被审计单位的决策过程。
本准则第二十五条规定,注册会计师应当了解所有权结构以及所有者与其他人员或单位之间的关系,考虑关联方关系是否已经得到识别,以及关联方交易是否得到恰当核算。例如,注册会计师应当了解被审计单位是属于国有企业、外商投资企业、民营企业,还是属于其他类型的企业,还应当了解其直接控股母公司、间接控股母公司、最终控股母公司和其他股东的构成,以及所有者与其他人员或单位(如控股母公司控制的其他企业)之间的关系。注册会计师应当按照《中国注册会计师审计准则第1323号——关联方》的规定,了解被审计单位识别关联方的程序,获取被审计单位提供的所有关联方信息,并考虑关联方关系是否已经得到识别,关联方交易是否得到恰当记录和充分披露。
同时,注册会计师可能需要对其控股母公司(股东)的情况作进一步的了解,包括控股母公司的所有权性质,管理风格及其对被审计单位经营活动及财务报表可能产生的影响;控股母公司与被审计单位在资产、业务、人员、机构、财务等方面是否分开,是否存在占用资金等情况;控股母公司是否施加压力,要求被审计单位达到其设定的财务业绩目标。
(二)治理结构
良好的治理结构可以对被审计单位的经营和财务运作实施有效的监督,从而降低财务报表发生重大错报的风险。
本准则第二十六条规定,注册会计师应当了解被审计单位的治理结构。例如,董事会的构成情况、董事会内部是否有独立董事;治理结构中是否设有审计委员会或监事会及其运作情况。第二十六条还规定,注册会计师应当考虑治理层是否能够在独立于管理层的情况下对被审计单位事务(包括财务报告)作出客观判断。
(三)组织结构
复杂的组织结构可能导致某些特定的重大错报风险。
本准则第二十七条规定,注册会计师应当了解被审计单位的组织结构,考虑复杂组织结构可能导致的重大错报风险,包括财务报表合并、商誉摊销和减值、长期股权投资核算以及特殊目的实体核算等问题。
例如,对于在多个地区拥有子公司、合营企业、联营企业或其他成员机构,或者存在多个业务分部和地区分部的被审计单位,不仅编制合并财务报表的难度增加,还存在其他可能导致重大错报风险的复杂事项,包括:对于子公司、合营企业、联营企业和其他股权投资类别的判断及其会计处理;商誉在不同业务分部间的摊销及减值;对特殊目的实体是否进行了适当的会计处理等。
(四)经营活动
了解被审计单位经营活动有助于注册会计师识别预期在财务报表中反映的主要交易类别、重要账户余额和列报。
本准则第二十八条规定,注册会计师应当了解被审计单位的经营活动。主要包括:
1.主营业务的性质。例如,主营业务是制造业还是商品批发与零售;是银行、保险还是其他金融服务;是公用事业、交通运输还是提供技术产品和服务等。
2.与生产产品或提供劳务相关的市场信息。例如,主要客户和合同、付款条件、利润率、市场份额、竞争者、出口、定价政策、产品声誉、质量保证、营销策略和目标等。
3.业务的开展情况。例如,业务分部的设立情况、产品和服务的交付、衰退或扩展的经营活动的详情等。
4.联盟、合营与外包情况。
5.从事电子商务的情况。例如,是否通过互联网销售产品和提供服务以及从事营销活动。
6.地区与行业分布。例如,是否涉及跨地区经营和多种经营,各个地区和各行业分布的相对规模以及相互之间是否存在依赖关系。
7.生产设施、仓库的地理位置及办公地点。
8.关键客户。例如,销售对象是少量的大客户还是众多的小客户;是否有被审计单位高度依赖的特定客户(如超过销售总额的10%的顾客); 是否有造成高回收性风险的若干客户或客户类别(如正处在一个衰退市场中的客户);是否与某些客户订立了不寻常的销售条款或条件。
9.重要供应商。例如,是否签订长期供应合同;原材料供应的可靠性和稳定性;付款条件;以及原材料是否受重大价格变动的影响。
10.劳动用工情况。例如,分地区用工情况、劳动力供应情况、工资水平、退休金和其他福利、股权激励或其他奖金安排以及与劳动用工事项相关的政府法规。
11.研究与开发活动及其支出。
12.关联方交易。例如,有些客户或供应商是否为关联方;对关联方和非关联方是否采用不同的销售和采购条款。此外,还存在哪些关联方交易,这些交易采用怎样的定价政策。
(五)投资活动
了解被审计单位投资活动有助于注册会计师关注被审计单位在经营策略和方向上的重大变化。
本准则第二十九条规定,注册会计师应当了解被审计单位的投资活动。主要包括:
1.近期拟实施或已实施的并购活动与资产处置情况,包括业务重组或某些业务的终止。注册会计师应当了解并购活动如何与被审计单位目前的经营业务相协调,并考虑他们是否会引发进一步的经营风险。例如,被审计单位并购了一个新的业务部门,注册会计师需要了解管理层如何管理这一新业务,而新业务又如何与现有业务相结合,发挥协同优势,如何解决原有经营业务与新业务在信息系统、企业文化等各方面的不一致。
2.证券投资、委托贷款的发生与处置。
3.资本性投资活动,包括固定资产和无形资产投资,近期或计划发生的变动,以及重大的资本承诺等。
4.不纳入合并范围的投资。例如,联营、合营或其他投资,包括近期计划的投资项目。
(六)筹资活动
了解被审计单位筹资活动有助于注册会计师评估被审计单位在融资方面的压力,并进一步考虑被审计单位在可预见未来的持续经营能力。
本准则第三十条规定,注册会计师应当了解被审计单位的筹资活动。主要包括:
1.债务结构和相关条款,包括担保情况及表外融资。例如,获得的信贷额度是否可以满足营运需要;得到的融资条件及利率是否与竞争对手相似,如不相似,原因何在;是否存在违反借款合同中限制性条款的情况;是否承受重大的汇率与利率风险。
2.固定资产的租赁,包括通过融资租赁方式进行的筹资活动。
3.关联方融资。例如,关联方融资的特殊条款。
4.实际受益股东。例如,实际受益股东是国内的,还是国外的,其商业声誉和经验可能对被审计单位产生的影响。
5.衍生金融工具的运用。例如,衍生金融工具是用于交易目的还是套期目的,以及运用的种类、范围和交易对手等。
二、实施风险评估程序
在了解被审计单位的性质时,除查阅以前年度的审计工作底稿、与项目组成员或其他有经验的人员和行业专家讨论、利用业务承接和续约过程中获取的信息外,注册会计师运用的风险评估程序还包括下列方面。
(一)询问被审计单位管理层和内部其他相关人员
注册会计师可以就被审计单位性质的六个方面询问管理层、治理层及被审计单位担任不同职责的人员,以全面了解被审计单位的情况。
(二)查阅文件和报告
注册会计师可以查阅被审计单位的组织结构图、关联方清单、公司章程、对外签订的主要销售、采购、投资、债务合同等,以及被审计单位内部的管理报告、财务报告、生产经营情况分析、会议记录或纪要等,了解被审计单位的性质。
(三)实地察看被审计单位的主要生产经营场所
实地察看被审计单位的主要生产经营场所能增强注册会计师对被审计单位性质的了解。实地察看主要经营场所对于了解新承接的审计项目、收购了新业务的被审计单位和跨地区经营的被审计单位尤其重要。通过实地察看被审计单位的厂房和办公场所,可以使注册会计师对被审计单位的布局、生产流程以及固定资产和存货的状况获得一定的了解。在实地察看时,注册会计师应当对存在问题的迹象保持警惕。例如,生产设备上的锈迹可能表示该设备是闲置的,原材料和产成品上布满灰尘可能说明其积压已久。在实地察看过程中,注册会计师还可以向被审计单位管理层和担任不同职责的员工询问,以了解更多的情况。
(四)分析程序
例如,将被审计单位的财务信息与以前期间的可比数据、被审计单位的预算或注册会计师的预期数据进行比较,对重要财务比率进行分析,以了解被审计单位在经营活动、 投资活动、筹资活动等各方面的情况及其重大变化。
第四节 被审计单位对会计政策的选择和运用
本准则第三十一条规定,注册会计师应当了解被审计单位对会计政策的选择和运用,是否符合适用的会计准则和相关会计制度,是否符合被审计单位的具体情况。本准则第三十二条至三十四条对此作了具体说明。
一、了解的具体内容
本准则第三十二条规定,在了解被审计单位对会计政策的选择和运用是否适当时,注册会计师应当关注的下列事项。
(一)重要项目的会计政策和行业惯例
重要项目的会计政策包括,收入确认、存货的计价方法、投资的核算、固定资产的折旧方法、坏账准备、存货跌价准备和其他资产减值准备的确定、借款费用资本化方法、合并财务报表的编制方法等。除会计政策以外,某些行业可能还存在一些行业惯例,注册会计师应当熟悉这些行业惯例。当被审计单位采用与行业惯例不同的会计处理方法时,注册会计师应当了解其原因,并考虑采用与行业惯例不同的会计处理方法是否适当。
(二)重大和异常交易的会计处理方法
例如,本期发生的企业合并的会计处理方法。某些被审计单位可能存在与其所处行业相关的重大交易。例如,银行向客户发放贷款、证券公司对外投资、医药企业的研究与开发活动等,注册会计师应当考虑对重大的和不经常发生的交易的会计处理方法是否适当。
(三)在新领域和缺乏权威性标准或共识的领域,采用重要会计政策产生的影响
在新领域和缺乏权威性标准或共识的领域,注册会计师应当关注被审计单位选用了哪些会计政策,为什么选用这些会计政策以及选用这些会计政策产生的影响。
(四)会计政策的变更
本准则第三十三条规定,如果被审计单位变更了重要的会计政策,注册会计师应当考虑变更的原因及其适当性,即考虑:(1)会计政策的变更是否是法律、行政法规或者适用的会计准则和相关会计制度要求的变更;(2)会计政策变更是否能够提供更可靠、更相关的会计信息。除此之外,注册会计师还应当关注会计政策的变更是否得到充分披露。
(五)被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度
例如,新的企业会计准则自2007年 1月 1日起在上市公司施行,并鼓励其他企业执行。注册会计师应考虑被审计的上市公司是否已按照新会计准则的要求,做好衔接调整工作,并收集执行新会计准则需要的信息资料。
除上述与会计政策的选择和运用相关的事项外,注册会计师还应对被审计单位下列与会计政策运用相关的情况予以关注:(1)是否采用激进的会计政策、方法、估计和判断;(2)财会人员是否拥有足够的运用会计准则的知识、经验和能力;(3)是否拥有足够的资源支持会计政策的运用,如人力资源及培训、信息技术的采用、数据和信息的采集等。
本准则第三十四条规定,注册会计师应当考虑,被审计单位是否按照适用的会计准则和相关会计制度的规定恰当地进行了列报,并披露了重要事项。列报和披露的主要内容包括:财务报表及其附注的格式、结构安排、内容、财务报表项目使用的术语、披露信息的明细程度、项目在财务报表中的分类以及列报信息的来源等。注册会计师应当考虑被审计单位是否已对特定事项作了适当的列报和披露。
二、实施风险评估程序
在了解被审计单位对会计政策的选择和运用时,注册会计师实施的风险评估程序包括:查阅以前年度的审计工作底稿,询问被审计单位管理层和员工,查阅被审计单位的财务资料和内部报告(如会计工作手册和操作指引)等。注册会计师还可结合对被审计单位及其环境其他方面的了解,考虑被审计单位选用的会计政策是否符合其具体情况。
需要强调的是,注册会计师应当关注被审计单位本期会计政策的选用与前期相比发生的重大变化,包括对本期新发生的交易或事项选用的会计政策,对前期不重大而本期重大的交易或事项选用的会计政策,重要会计政策的变更以及新会计准则发布施行的影响等。
第五节 被审计单位的目标、战略以及相关经营风险
本准则第三十五条规定,注册会计师应当了解被审计单位的目标和战略,以
及可能导致财务报表重大错报的相关经营风险。本准则第三十六条至第三十九条对此作了具体规定。
一、了解的具体内容
(一)目标、战略与经营风险
目标是企业经营活动的指针。企业管理层或治理层一般会根据企业经营面临的外部环境和内部各种因素,制定合理可行的经营目标。战略是企业管理层为实现经营目标采用的总体层面的策略和方法。为了实现某一既定的经营目标,企业可能有多个可行战略。例如,如果目标是在某一特定期间内进入一个新的市场,那么可行的战略可能包括收购该市场内的现有企业、与该市场内的其他企业合资经营、或自行开发进入该市场。随着外部环境的变化,企业应对目标和战略作出相应的调整。
本准则第三十六条第一款指出,经营风险源于对被审计单位实现目标和战略产生不利影响的重大情况、事项、环境和行动,或源于不恰当的目标和战略。不同的企业可能面临不同的经营风险,这取决于企业经营的性质、所处行业、外部监管环境、企业的规模和复杂程度。管理层有责任识别和应对这些风险。
不能随环境的变化而作出相应的调整固然可能产生经营风险。但是,在调整的过程中也可能导致经营风险。例如,为应对消费者需求的变化,企业开发了新产品。但是,开发的新产品可能会产生开发失败的风险;即使开发成功,市场需求可能没有充分开发,而导致产品营销风险;产品的缺陷还可能导致企业遭受声誉风险和承担产品赔偿责任的风险。
本准则第三十六条第二款指出,注册会计师应当了解被审计单位是否存在与下列方面有关的目标和战略,并考虑相应的经营风险:(1)行业发展,及其可能导致的被审计单位不具备足以应对行业变化的人力资源和业务专长等风险;(2)开发新产品或提供新服务,及其可能导致的被审计单位产品责任增加等风险;(3)业务扩张,及其可能导致的被审计单位对市场需求的估计不准确等风险;(4)新颁布的会计法规,及其可能导致的被审计单位执行法规不当或不完整,或会计处理成本增加等风险;(5)监管要求,及其可能导致的被审计单位法律责任增加等风险;(6)本期及未来的融资条件,及其可能导致的被审计单位由于无法满足融资条件而失去融资机会等风险;(7)信息技术的运用,及其可能导致的被审计单位信息系统与业务流程难以融合等风险。
(二)经营风险对重大错报风险的影响
经营风险与财务报表重大错报风险是既有联系又相互区别的两个概念。前者比后者范围更广。注册会计师了解被审计单位的经营风险有助于其识别财务报表重大错报风险。但并非所有的经营风险都与财务报表相关,注册会计师没有责任识别或评估对财务报表没有影响的经营风险。
本准则第三十七条指出,多数经营风险最终都会产生财务后果,从而影响财务报表。但并非所有经营风险都会导致重大错报风险。经营风险可能对各类交易、账户余额以及列报认定层次或财务报表层次产生直接影响。例如,企业合并导致银行客户群减少,使银行信贷风险集中,由此产生的经营风险可能增加与贷款计价认定有关的重大错报风险。同样的风险,尤其是在经济紧缩时,可能具有更为长期的后果,注册会计师在评估持续经营假设的适当性时需要考虑这一问题。为此,本准则第三十七条还规定,注册会计师应当根据被审计单位的具体情况考虑经营风险是否可能导致财务报表发生重大错报。
目标、战略、经营风险和重大错报风险之间的的相互联系可举一例予以说明。例如,企业当前的目标是在某一特定期间内进入某一新的海外市场,企业选择的战略是在当地成立合资公司。从该战略本身来看,是可以实现这一目标的。但是,成立合资公司可能会带来很多的经营风险,例如,企业如何与当地合资方在经营活动、企业文化等各方面协调,如何在合资公司中获得控制权或共同控制权,当地市场情况是否会发生变化,当地对合资公司的税收和外汇管理方面的政策是否稳定,合资公司的利润是否可以汇回,是否存在汇率风险等。这些经营风险反映到财务报表中,可能会因对合资公司是属于子公司、合营企业或联营企业的判断问题,投资核算问题,包括是否存在减值问题、对当地税收规定的理解,以及外币折算等问题而导致财务报表出现重大错报风险。
(三)被审计单位的风险评估过程
本准则第三十八条规定,管理层通常制定识别和应对经营风险的策略,注册会计师应当了解被审计单位的风险评估过程。此类风险评估过程是被审计单位内部控制的组成部分,本指南第四章将对其作具体说明。
(四)对小型被审计单位的考虑
本准则第三十九条对考虑小型被审计单位的情况提出了要求,指出小型被审计单位通常没有正式的计划和程序来确定其目标、战略并管理经营风险。注册会计师应当询问管理层或观察小型被审计单位如何应对这些事项,以获取了解,并评估重大错报风险。
二、实施风险评估程序
注册会计师可通过与管理层沟通,查阅经营规划和其他文件,获取对被审计单位目标和战略的了解;还可以通过询问不同的管理层成员,进一步了解被审计单位目标和战略、政策和程序,以及管理层期望和关注的事项。
同时,注册会计师还可以利用对被审计单位所处外部环境、行业状况以及被审计单位性质的了解,考虑被审计单位的战略是否可以实现该目标以及它们之间的差距或不一致之处。注册会计师还应当考虑被审计单位的目标和战略是否与其各项内部和外部因素相适应。例如,被审计单位的外部因素发生变化,对目标和战略是否作了相应调整;目标和战略是否与企业利益相关者,包括股东、客户、 债权人、管理层、员工以及政府相关部门等的要求和预期相符合;是否与被审计 单位的经营和财务运作系统相适应。如果答案是否定的,可能显示存在经营风险和潜在的财务报表重大错报风险。
第六节 被审计单位财务业绩的衡量和评价
被审计单位管理层经常会衡量和评价关键业绩指标 (包括财务和非财务的)、预算及差异分析、分部信息和分支机构、部门或其他层次的业绩报告以及与竞争对手的业绩比较。此外,外部机构也会衡量和评价被审计单位的财务业绩,如分析师的报告和信用评级机构的报告。
本准则第四十条第一款指出,被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力,促使其采取行动改善财务业绩或歪曲财务报表。因此,第四十条第二款规定,注册会计师应当了解被审计单位财务业绩的衡量和评价情况,考虑这种压力是否可能导致管理层采取行动,以至于增加财务报表发生重大错报的风险。本准则第四十一条至第四十四条对了解被审计单位财务业绩的衡量和评价作出了具体规定。
一、了解的具体内容
(一)了解的主要方面
本准则第四十一条规定,在了解被审计单位财务业绩衡量和评价情况时,注册会计师应当关注下列信息:(1)关键业绩指标;(2)业绩趋势;(3)预测、预算和差异分析;(4)管理层和员工业绩考核与激励性报酬政策;(5)分部信息与不同层次部门的业绩报告;(6)与竞争对手的业绩比较;(7)外部机构提出的报告。
(二)关注内部财务业绩衡量的结果
内部财务业绩衡量可能显示未预期到的结果或趋势。在这种情况下,管理层通常会进行调查并采取纠正措施。与内部财务业绩衡量相关的信息可能显示财务报表存在错报风险,例如,内部财务业绩衡量可能显示被审计单位与同行业其他单位相比具有异常快的增长率或盈利水平,此类信息如果与业绩奖金或激励性报酬等其他因素结合起来考虑,可能显示管理层在编制财务报表时存在某种倾向的错报风险。因此,本准则第四十二条规定,注册会计师应当关注被审计单位内部财务业绩衡量所显示的未预期到的结果或趋势、管理层的调查结果和纠正措施,以及相关信息是否显示财务报表可能存在重大错报。
(三)考虑财务业绩衡量指标的可靠性
本准则第四十三条规定,如果拟利用被审计单位内部信息系统生成的财务业绩衡量指标,注册会计师应当考虑相关信息是否可靠,以及利用这些信息是否足以实现审计目标。许多财务业绩衡量中使用的信息可能由被审计单位的信息系统生成。如果被审计单位管理层在没有合理基础的情况下,认为内部生成的衡量财务业绩的信息是准确的,而实际上信息有误,那么根据有误的信息得出的结论也可能是错误的。如果注册会计师计划在审计中(如在实施分析程序时)利用财务业绩指标,应当考虑相关信息是否可靠,以及在实施审计程序时利用这些信息是否足以发现重大错报。
(四)对小型被审计单位的考虑
本准则第四十四条规定,小型被审计单位通常没有正式的财务业绩衡量和评价程序,管理层往往依据某些关键指标,作为评价财务业绩和采取适当行动的基础,注册会计师应当了解管理层使用的关键指标。
需要强调的是,注册会计师了解被审计单位财务业绩的衡量与评价,是为了考虑管理层是否面临实现某些关键财务业绩指标的压力 ① 。这些压力既可能源于需要达到市场分析师或股东的预期,也可能产生于达到获得股票期权或管理层和员工奖金的目标。受压力影响的人员可能是高级管理人员(包括董事会)也可能是可以操纵财务报表的其他经理人员,如子公司或分支机构管理层可能为达到 奖金目标操纵财务报表。
①此外,了解管理层认为重要的关键业绩指标,有助于注册会计师深入了解被审计单位目标和战略。
在评价管理层是否存在歪曲财务报表的动机和压力时,注册会计师还应当考虑可能存在的其他情形。例如,企业或企业的一个主要组成部分是否有可能被出售;管理层是否希望维持或增加企业的股价或盈利走势而热衷于采用过度激进的会计方法;基于纳税的考虑,股东或管理层是否有意采取不适当的方法使盈利最小化;企业是否持续增长和接近财务资源的最大限度;企业的业绩是否急剧下降,可能存在终止上市的风险;企业是否具备足够的可分配利润或现金流量以维持目前的利润分配水平;如果公布欠佳的财务业绩,对重大未决交易(如企业合并或新业务合同的签订)是否可能产生不利影响;企业是否过度依赖银行借款,而财务业绩又可能达不到借款合同对财务指标的要求。这些情况都显示管理层在面临重大压力下时可能粉饰财务业绩,发生舞弊风险。
二、实施风险评估程序
注册会计师通常通过询问被审计单位管理层,查阅被审计单位的内部报告和外部报告,以及实施分析程序,获得对被审计单位财务业绩的衡量和评价的了解。
注册会计师还可以从管理层那里了解哪些业绩指标是其他关键利益拥有者关注的重点,以及管理层的内部业绩衡量标准如何受这些外部因素的影响。注册会计师应当考虑管理层的业绩指标是否与关键利益拥有者的预期相一致,并考虑不一致的情况或管理层应对外部的压力,及其对重大错报风险的影响。
第四章 了解被审计单位的内部控制
本准则第四章(第四十五条至第九十五条),主要说明注册会计师应当如何了解被审计单位的内部控制,包括说明内部控制的内涵和要素、与审计相关的内部控制、对内部控制了解的深度、内部控制的人工和自动化成分、内部控制的局限性,以及对内部控制各个具体要素的了解。
第一节 内部控制的内涵和要素
一、对了解内部控制的总体要求
了解被审计单位的内部控制是识别和评估重大错报风险、设计和实施进一步审计程序的基础。
本准则第四十五条规定,注册会计师应当了解与审计相关的内部控制以识别潜在错报的类型,考虑导致重大错报风险的因素,以及设计和实施进一步审计程序的性质、时间和范围。
二、内部控制的内涵
本准则第四十六条指出,内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。
可以从以下几方面理解内部控制:
1.内部控制的目标是合理保证:(1)财务报告的可靠性,这一目标与管理层履行财务报告编制责任密切相关;(2)经营的效率和效果,即经济有效地使用企业资源,以最优方式实现企业的目标;(3)在所有经营活动中遵守法律法规的要求,即在法律法规的框架下从事经营活动。之所以是合理保证而不是绝对保证,参见本准则第四章第五节对内部控制局限性的说明。
2.设计和实施内部控制的责任主体是治理层、管理层和其他人员,组织中的每一个人都对内部控制负有责任。
3.实现内部控制目标的手段是设计和执行控制政策和程序。
三、内部控制的要素
本准则第四十七条指出,内部控制包括下列要素:
(1)控制环境;
(2)风险评估过程;
(3)信息系统与沟通;
(4)控制活动。
(5)对控制的监督。
本准则所称的内部控制包括本条前款所述的五项要素;本准则所称的控制包括本条前款所述的一项或多项要素,或要素表现出的各个方面。
上述五要素的含义,将分别在本章第六节至第十节予以说明。
值得指出的是,本准则采用了 COSO ( Committee of Sponsoring
Organization of the Theadway Commission,简称COSO)发布的内部控制框架,被审计单位可能并不一定采用这种分类方式来设计和执行内部控制。本准则第四十八条指出,本准则对内部控制要素的分类提供了了解内部控制的框架,但无论对内部控制要素如何进行分类,注册会计师都应当重点考虑被审计单位某项控制,是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。也就是说,在了解和评价内部控制时,采用的具体分析框架及控制要素的分类可能并不唯一,重要的是控制能否实现控制目标。注册会计师可以使用不同的框架和术语描述内部控制的不同方面,但必须涵盖上述内部控制五个要素所涉及的各个方面。
四、对小型被审计单位的考虑
被审计单位设计和执行内部控制的具体方式会因被审计单位的规模和复杂程度的不同而不同。本准则第四十九条指出,小型被审计单位通常采用非正式和简单的内部控制实现其目标,参与日常经营管理的业主(以下简称业主)可能承担多项职能,内部控制要素没有得到清晰区分,注册会计师应当综合考虑小型被审计单位内部控制要素能否实现其目标。
第二节 与审计相关的控制
内部控制的目标旨在合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守。注册会计师审计的目标是对财务报表是否不存在重大错报发表审计意见,尽管要求注册会计师在财务报表审计中考虑与财务报表编制相关的内 部控制,但目的并非对被审计单位内部控制的有效性发表意见。注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制。本准则第五十条至第五十三条界定了与审计相关的控制。
一、为实现财务报告可靠性目标设计和实施的控制
本准则第五十条规定,与审计相关的控制,包括被审计单位为实现财务报告可靠性目标设计和实施的控制。注册会计师应当运用职业判断,考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序有关。
在运用职业判断时,注册会计师应当考虑下列因素:(1)注册会计师确定的重要性水平;(2)被审计单位的性质,包括组织结构和所有制性质;(3)被审计单位的规模;(4)被审计单位经营的多样性和复杂性;(5)法律法规和监管要求;(6)作为内部控制组成部分的系统( 包括利用服务机构)的性质和复杂性。
二、其他与审计相关的控制
本准则第五十一条至第五十三条对注册会计师应当考虑的其他与审计相关的控制进行了说明。
本准则第五十一条规定,如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息,注册会计师应当考虑用以保证该信息完整性和准确性的控制可能与审计相关。注册会计师以前的经验以及在了解被审计单位及其环境过程中获得的信息,可以帮助注册会计师识别与审计相关的控制。
本准则第五十二条规定,如果用以保证经营效率、效果的控制以及对法律法规遵守的控制与实施审计程序时评价或使用的数据相关,注册会计师应当考虑这些控制可能与审计相关。例如,对于某些非财务数据(如生产统计数据)的控制,如果注册会计师在实施分析程序时使用这些数据,这些控制就可能与审计相关。又如,某些法规(如税法)对财务报表存在直接和重大的影响(影响应交税金和所得税费用)。为了遵守这些法规,被审计单位可能设计和执行相应的控制,这些控制也与注册会计师的审计相关。
被审计单位通常有一些与审计无关的控制,注册会计师无需对其加以考虑。例如,被审计单位可能依靠某一复杂的自动控制系统提高经营活动的效率和效果(如航空公司用于维护航班时间表的自动控制系统),但这些控制通常与审计无关。
第五十三条指出,用以保护资产的内部控制可能包括与实现财务报告可靠性和经营效率、效果目标相关的控制。注册会计师在了解保护资产的内部控制各项要素时,可仅考虑其中与财务报告可靠性目标相关的控制。例如,保护存货安全的控制可能与审计相关,但在生产中防止材料浪费的控制通常就与审计不相关,只有所用材料的成本没有在财务报表中如实反映,才会影响财务报表的可靠性。
因此,下文所称的内部控制都是指与注册会计师审计相关的内部控制。
第三节 对内部控制了解的深度
对内部控制了解的深度,是指在了解被审计单位及其环境时对内部控制了解的程度。包括评价控制的设计,并确定其是否得到执行,但不包括对控制是否得到一贯执行的测试。
一、 评价控制的设计
本准则第五十四条规定,注册会计师在了解内部控制时,应当评价控制的设计,并确定其是否得到执行。评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。控制得到执行是指某项控制存在且被审计单位正在使用。设计不当的控制可能表明内部控制存在重大缺陷,注册会计师在确定是否考虑控制得到执行时,应当首先考虑控制的设计。如果控制设计不当,不需要再考虑控制是否得到执行。
二、获取控制设计和执行的审计证据
本准则第五十五条第一款规定,注册会计师通常实施下列风险评估程序,以获取有关控制设计和执行的审计证据:(1)询问被审计单位的人员;(2)观察特定控制的运用;(3)检查文件和报告;(4)追踪交易在财务报告信息系统中的处理过程(穿行测试)。这些程序是风险评估程序在了解被审计单位内部控制方面的具体运用。
第五十五条第二款进一步规定,询问本身并不足以评价控制的设计以及确定其是否得到执行,注册会计师应当将询问与其他风险评估程序结合使用。
三、了解内部控制与测试控制运行有效性的关系
本准则第五十六条指出,除非存在某些可以使控制得到一贯运行的自动化控制,注册会计师对控制的了解并不能够代替对控制运行有效性的测试。
例如,获取某一人工控制在某一时点得到执行的审计证据,并不能证明该控制在所审计期间内的其他时点也有效运行。但是,信息技术可以使被审计单位持续一贯地对大量数据进行处理,提高了被审计单位监督控制活动运行情况的能力,信息技术还可以通过对应用软件、数据库、操作系统设置安全控制来实现有效的职责划分。由于信息技术处理流程的内在一贯性,实施审计程序确定某项自动控制是否得到执行,也可能实现对控制运行有效性测试的目标。对控制运行有效性的测试称为控制测试,《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》第四章对此作出了具体规定。
第四节 内部控制的人工和自动化成分
一、考虑内部控制的人工和自动化特征及其影响
大多数被审计单位出于编制财务报告和实现经营目标的需要使用信息技术。然而,即使信息技术得到广泛使用,人工因素仍然会存于这些系统之中。不同的被审计单位采用的控制系统中人工控制和自动化控制的比例是不同的。在一些小型的生产经营不太复杂的被审计单位,可能以人工控制为主;而在另外一些被审计单位,可能以自动化控制为主。本准则第五十七条规定,内部控制可能既包括人工成分又包括自动化成分,在风险评估以及设计和实施进一步审计程序时,注册会计师应当考虑内部控制的人工和自动化特征及其影响。
内部控制采用人工系统还是自动化系统,将影响交易生成、记录、处理和报告的方式。在以人工为主的系统中,内部控制一般包括批准和复核业务活动,编制调节表并对调节项目进行跟踪。当采用信息技术系统生成、记录、处理和报告交易时,交易的记录形式(如订购单、发票、装运单及相关的会计记录)可能是电子文档而不是纸质文件。信息技术系统中的控制可能既有自动控制(如嵌入计算机程序的控制)又有人工控制。人工控制可能独立于信息技术系统,利用信息技术系统生成的信息,也可能限于监督信息技术系统和自动控制的有效运行或者处理例外事项。如果采用信息技术系统处理交易和其他数据,系统和程序可能包括与财务报表重大账户认定相关的控制或者包括人工控制作用的有效发挥。被审计单位的性质和经营的复杂程度会对采用人工控制和自动控制的成分产生影响。
二、信息技术的适用范围及相关内部控制风险
本准则第五十八条指出,信息技术通常在下列方面提高被审计单位内部控制的效率和效果:(1)在处理大量的交易或数据时,一贯运用事先确定的业务规则,并进行复杂运算;(2)提高信息的及时性、可获得性及准确性;(3)有助于对信息的深入分析;(4)加强对被审计单位政策和程序执行情况的监督;(5)降低控制被规避的风险;(6)通过对操作系统、应用程序系统和数据库系统实施安全控制,提高不相容职务分离的有效性。
但是,信息技术也可能对内部控制产生特定风险。本准则第五十九条指出,注册会计师应当从下列方面了解信息技术对内部控制产生的特定风险:(1)系统或程序未能正确处理数据,或处理了不正确的数据,或两种情况同时并存;(2)在未得到授权情况下访问数据,可能导致数据的毁损或对数据不恰当的修改,包括记录未经授权或不存在的交易,或不正确地记录了交易;(3)信息技术人员可能获得超越其履行职责以外的数据访问权限,破坏了系统应有的职责分工;(4)未经授权改变主文档的数据;(5)未经授权改变系统或程序;(6)未能对系统或程序作出必要的修改;(7)不恰当的人为干预;(8)数据丢失的风险或不能访问所需要的数据。
三、人工控制的适用范围及相关内部控制风险
本准则第六十条指出,内部控制的人工成分在处理下列需要主观判断或酌情处理的情形时可能更为适当:(1)存在大额、异常或偶发的交易;(2)存在难以定义、防范或预见的错误;(3)为应对情况的变化,需要对现有的自动化控制进行调整;(4)监督自动化控制的有效性。
但是,由于人工控制由人执行,受人为因素的影响,也产生了特定风险,本准则第六十一条指出,注册会计师应当从下列方面了解人工控制产生的特定风险:(1)人工控制可能更容易被规避、忽视或凌驾;(2)人工控制可能不具有一贯性 ;(3) 人工控制可能更容易产生简单错误或失误。相对于自动控制,人工控制的可靠性较差。为此,本准则第六十二条指出,注册会计师应当考虑人工控制在下列情形中可能是不适当的:(1)存在大量或重复发生的交易;(2)事先可预见的错误能够通过自动化控制得以防范或发现;(3)控制活动可得到适当设计和自动化处理。
内部控制风险的程度和性质受被审计单位信息系统的性质和特征的影响。因此,本准则第六十三条规定,在了解内部控制时,注册会计师应当考虑被审计单位是否通过建立有效的控制,以恰当应对由于使用信息技术系统或人工系统而产生的风险。
第五节 内部控制的局限性
一、内部控制的固有局限性
本准则第六十四条指出,内部控制存在固有局限性,无论如何设计和执行,只能对财务报告的可靠性提供合理的保证。内部控制存在的固有局限性包括:
1.在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。例如,被审计单位信息技术工作人员没有完全理解系统如何处理销售交易,为使系统能够处理新型产品的销售,可能错误地对系统进行更改;或者对系统的更改是正确的,但是程序员没能把此次更改转化为正确的程序代码。
2.可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。例如,管理层可能与客户签订背后协议,对标准的销售合同作出变动,从而导致收入确认发生错误。再如,软件中的编辑控制旨在发现和报告超过赊销信用额度的交易,但这一控制可能被逾越或规避。
此外,如果被审计单位内部行使控制职能的人员素质不适应岗位要求,也会影响内部控制功能的正常发挥。被审计单位实施内部控制的成本效益问题也会影响其职能,当实施某项控制成本大于控制效果而发生损失时,就没有必要设置控制环节或控制措施。内部控制一般都是针对经常而重复发生的业务而设置的,如果出现不经常发生或未预计到的业务,原有控制就可能不适用。
二、 对小型被审计单位的考虑
本准则第六十五条规范了注册会计师如何考虑小型被审计单位内部控制的特征及其影响。小型被审计单位拥有的员工通常较少,限制了其职责分离的程度。业主凌驾于内部控制之上的可能性较大。注册会计师应当考虑一些关键领域是否存在有效的内部控制。
第六节 控制环境
一、控制环境的含义和了解控制环境的总体要求
控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。控制环境设定了被审计单位的内部控制基调,影响员工对内部控制的认识和态度。良好的控制环境是实施有效内部控制的基础。本准则第六十六条规定,注册会计师应当了解控制环境。
防止或发现并纠正舞弊和错误是被审计单位治理层和管理层的责任。本准则第六十七条规定,在评价控制环境的设计和实施情况时,注册会计师应当了解管理层在治理层的监督下,是否营造并保持了诚实守信和合乎道德的文化,以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。实际上,在审计业务承接阶段,注册会计师就需要对控制环境作出初步了解和评价。
二、控制环境的构成要素
本准则第六十八条规定,在评价控制环境的设计时,注册会计师应当考虑构成控制环境的下列要素,以及这些要素如何被纳入被审计单位业务流程:(1)对诚信和道德价值观念的沟通与落实;(2)对胜任能力的重视;(3)治理层的参与程度;(4)管理层的理念和经营风格;(5)组织结构;(6)职权与责任的分配;(7)人力资源政策与实务。
本指南附录1211-1将对控制环境构成要素的具体含义以及如何在被审计单位整体层面对其进行了解作进一步的说明。
三、了解控制环境的程序
在评价控制环境各个要素时,注册会计师应当考虑控制环境各个要素是否得到执行。因为管理层也许建立了一个合理的内部控制,但却未有效执行。例如,管理层已建立正式的行为准则,但实际操作中却没有对不遵守该守则的行为采取措施。又如,管理层要求信息系统建立安全措施,但却没有提供足够的资源。
本准则第六十九条规定,在确定构成控制环境的要素是否得到执行时,注册会计师应当考虑将询问与其他风险评估程序相结合以获取审计证据。通过询问管理层和员工,注册会计师可能了解管理层如何就业务规程和道德价值观念与员工进行沟通;通过观察和检查,注册会计师可能了解管理层是否建立了正式的行为守则,在日常工作中行为守则是否得到遵守,以及管理层如何处理违反行为守则的情形。
四、考虑控制环境的总体优势及缺陷
本准则第七十条指出,控制环境对重大错报风险的评估具有广泛影响,注册会计师应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的基础,并且未被控制环境中存在的缺陷所削弱。
注册会计师在评估重大错报风险时,存在令人满意的控制环境是一个积极的因素。虽然令人满意的控制环境并不能绝对防止舞弊,但却有助于降低发生舞弊的风险。有效的控制环境还为注册会计师相信在以前年度和期中所测试的控制将继续有效运行提供一定基础。相反,控制环境中存在的弱点可能削弱控制的有效性。例如,注册会计师在进行风险评估时,如果认为被审计单位控制环境薄弱,则很难认定某一流程的控制是有效的。
五、考虑控制环境与其他控制要素的综合作用
本准则第七十一条指出,控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报,注册会计师在评估重大错报风险时,应当将控制环境连同其他内部控制要素产生的影响一并考虑。例如,将控制环境与对控制的监督和具体控制活动一并考虑。
六、对小型被审计单位的考虑
本准则第七十二条指出,在小型被审计单位,可能无法获取以文件形式存在的有关控制环境要素的审计证据。例如,小型被审计单位可能没有书面的行为守则,管理层对道德价值和专业胜任能力的推崇,通常是通过管理层在经营管理过程中展示的行为和态度得到体现。因此,第七十二条还规定,注册会计师应当重点了解管理层对内部控制设计的态度、认识和措施。
第七节 被审计单位的风险评估过程
一、被审计单位面临的风险及风险评估过程
任何经济组织在经营活动中都会面临各种各样的风险,风险对其生存和竞争能力产生影响。很多风险并不为经济组织所控制,但管理层应当确定可以承受的风险水平,识别这些风险并采取一定的应对措施。
可能产生风险的事项和情形包括:
1.监管及经营环境的变化。监管和经营环境的变化会导致竞争压力的变化以及重大的相关风险。
2.新员工的加入。新员工可能对内部控制有不同的认识和关注点。
3.新信息系统的使用或对原系统进行升级。信息系统的重大变化会改变与内部控制相关的风险。
4.业务快速发展。快速的业务扩张可能会使内部控制难以应对,从而增加内部控制失效的可能性。
5.新技术。将新技术运用于生产过程和信息系统可能改变与内部控制相关的风险。
6.新生产型号、产品和业务活动。进入新的业务领域和发生新的交易可能带来新的与内部控制相关的风险。
7.企业重组。重组可能带来裁员以及管理职责的重新划分,将影响与内部控制相关的风险。
8.发展海外经营。海外扩张或收购会带来新的并且往往是特别的风险,进而可能影响内部控制,如外币交易的风险。
9.新的会计准则。采用新的或变化了的会计准则可能会增大财务报告发生重大错报的风险。
风险评估过程的作用是,识别、评估和管理影响被审计单位实现经营目标能力的各种风险。而针对财务报告目标的风险评估过程则包括识别与财务报告相关的经营风险,评估风险的重大性和发生的可能性,以及采取措施管理这些风险。例如,风险评估可能会涉及被审计单位如何考虑对某些交易未予记录的可能性,或者识别和分析财务报告中的重大会计估计发生错报的可能性。与财务报告相关的风险也可能与特定事项和交易有关。
本准则第七十三条指出,被审计单位的风险评估过程包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施。注册会计师应当了解被审计单位的风险评估过程和结果。
二、评价风险评估过程的设计与执行
本准则第七十四条规定,在评价被审计单位风险评估过程的设计和执行时,注册会计师应当确定管理层如何识别与财务报告相关的经营风险,如何估计该风险的重要性,如何评估风险发生的可能性,以及如何采取措施管理这些风险。如果被审计单位的风险评估过程符合其具体情况,了解被审计单位的风险评估过程和结果有助于注册会计师识别财务报表重大错报的风险。
三、向管理层询问识别出的经营风险
本准则第七十五条第一款规定,注册会计师应当询问管理层识别出的经营风险,并考虑这些风险是否可能导致重大错报。
在审计过程中,如果发现与财务报表有关的风险因素,注册会计师可通过向管理层询问和检查有关文件确定被审计单位的风险评估过程是否也发现了该风险。本准则第七十五条第二款规定,在审计过程中,如果识别出管理层未能识别的重大错报风险,注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险,以及评估过程是否适合于具体环境。例如,在销售循环中,如果发现了销售的截止性错报的风险,注册会计师应当考虑管理层是否也识别了该错报风险,以及管理层如何应对该风险。
四、对小型被审计单位的考虑
本准则第七十六条指出,在小型被审计单位,管理层可能没有正式的风险评估过程。注册会计师应当与管理层讨论其如何识别经营风险以及如何应对这些风险。
第八节 信息系统与沟通
信息系统与沟通是收集与交换被审计单位执行、管理和控制业务活动所需信息的过程,包括收集和提供信息(特别是履行内部控制岗位职责所需的信息)给适当人员,使之能够履行职责。信息系统与沟通的质量直接影响到管理层对经营活动作出正确决策和编制可靠的财务报告的能力。本准则第七十七条至第八十二条对了解信息系统与沟通作出了规定。
一、与财务报告相关的信息系统
本准则第七十七条指出,与财务报告相关的信息系统,包括用以生成、记录、处理和报告交易、事项和情况,对相关资产、负债和所有者权益履行经营管理责任的程序和记录。
交易可能通过人工或自动化程序生成。记录包括识别和收集与交易、事项有关的信息。处理包括编辑、核对、计量、估价、汇总和调节活动,可能由人工或自动化程序来执行。报告是指用电子或书面形式编制财务报告和其他信息,供被审计单位用于衡量和考核财务及其他方面的业绩。
第七十七条第二款指出,与财务报告相关的信息系统应当与业务流程相适应。业务流程是指被审计单位开发、采购、生产、销售、发送产品和提供服务、保证遵守法律法规、记录信息等一系列活动。
二、与财务报告相关的信息系统的职能
本准则第七十八条第一款指出,与财务报告相关的信息系统所生成信息的质量,对管理层能否作出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。
第七十八条第二款指出,与财务报告相关的信息系统通常包括下列职能:(1)识别与记录所有的有效交易;(2)及时、详细地描述交易,以便在财务报告中对交易作出恰当分类;(3)恰当计量交易,以便在财务报告中对交易的金额作出准确记录;(4)恰当确定交易生成的会计期间;(5)在财务报表中恰当列报交易。
三、了解与财务报告相关的信息系统
本准则第七十九条规定,注册会计师应当从下列方面了解与财务报告相关的信息系统:
1.在被审计单位经营过程中,对财务报表具有重大影响的各类交易。
2.在信息技术和人工系统中,交易生成、记录、处理和报告的程序。在获取了解时,注册会计师应当同时考虑被审计单位将交易处理系统中的数据过入总分类账和财务报告的程序。
3.与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目。企业信息系统通常包括使用标准的会计分录,以记录销售、购货和现金付款等重复发生的交易,或记录管理层定期作出的会计估计,如应收账款可回收金额的变化。信息系统还包括使用非标准的分录,以记录不重复发生的、异常的交易或调整事项,如企业合并、资产减值等。
4.信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况,如对固定资产和长期资产计提折旧或摊销、对应收账款计提坏账准备等。
5.被审计单位编制财务报告的过程,包括作出的重大会计估计和披露。编制财务报告的程序应当同时确保适用的会计准则和相关会计制度要求披露的信息得以收集、记录、处理和汇总,并在财务报告中得到充分披露。
四、管理层凌驾于账户记录控制之上的风险
本准则第八十条规定,在了解与财务报告相关的信息系统时,注册会计师应当特别关注由于管理层凌驾于账户记录控制之上,或规避控制行为而产生的重大错报风险,并考虑被审计单位如何纠正不正确的交易处理。
自动化程序和控制可能降低了发生无意错误的风险,但是并没有消除个人凌驾于控制之上的风险,如,某些高级管理人员可能篡改自动过入总分类账和财务报告系统的数据金额。当被审计单位运用信息技术进行数据的传递时,发生篡改可能不会留下痕迹或证据。
五、与财务报告相关的沟通
本准则第八十一条第一款指出,与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责、员工之间的工作联系,以及向适当级别的管理层报告例外事项的方式。
公开的沟通渠道有助于确保例外情况得到报告和处理。沟通可以采用政策手册、会计和财务报告手册和备忘录等形式进行,也可以通过发送电子邮件、口头沟通和管理层的行动来进行。
第八十一条第二款、第三款指出,注册会计师应当了解被审计单位内部如何对财务报告的岗位职责,以及与财务报告相关的重大事项进行沟通。注册会计师还应当了解管理层与治理层(特别是审计委员会)之间的沟通,以及被审计单位与外部(包括与监管部门)的沟通。
本指南附录1211-1、 1211-2将分别说明如何在被审计单位整体层面和业务流程层面对信息系统与沟通进行了解和评估。
六、对小型被审计单位的考虑
本准则第八十二条指出,在小型被审计单位,与财务报告相关的信息系统和沟通可能不如大型被审计单位正式和复杂。管理层可能会更多地参与日常经营管理活动和财务报告活动,不需要很多书面的政策和程序指引,也没有复杂的信息系统和会计流程。由于小型被审计单位的规模较小、报告层次较少,因此,小型被审计单位可能比大型被审计单位更容易实现有效的沟通。注册会计师应当考虑这种特征对评估重大错报风险的影响。
第九节 控制活动
一、了解控制活动的总体要求
本准则第八十三条第一款规定 ,注册会计师应当了解控制活动,以足够评估认定层次的重大错报风险和针对评估的风险设计进一步审计程序。
二、相关的控制活动
本准则第八十三条第二款指出,控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。本准则第八十四条至第八十八条分别对此进行了说明。
(一)授权
本准则第八十四条第一款指出,注册会计师应当了解与授权有关的控制活动,包括一般授权和特别授权。
授权的目的在于保证交易在管理层授权范围内进行。第八十四条第二款、第三款分别指出,一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。特别授权是指管理层针对特定类别的交易或活动逐一设置的授权,如重大资本支出和股票发行等。特别授权也可能用于超过一般授权限制的常规交易。例如,同意因某些特别原因,对某个不符合一般信用条件的客户赊购商品。
(二)业绩评价
本准则第八十五条规定,注册会计师应当了解与业绩评价有关的控制活动,主要包括被审计单位分析评价实际业绩与预算(或预测、前期业绩)的差异,综合分析财务数据与经营数据的内在关系,将内部数据与外部信息来源相比较,评价职能部门、分支机构或项目活动的业绩(如银行客户信贷经理复核各分行、地区和各种贷款类型的审批和收回),以及对发现的异常差异或关系采取必要的调查与纠正措施。
通过调查非预期的结果和非正常的趋势,管理层可以识别可能影响经营目标实现的情形。管理层对业绩信息的使用(如将这些信息用于经营决策,还是同时用于对财务报告系统报告的非预期结果进行追踪),决定了业绩指标的分析是只用于经营目的,还是同时用于财务报告目的。
(三)信息处理
本准则第八十六条第一款指出,注册会计师应当了解与信息处理有关的控制活动,包括信息技术的一般控制和应用控制。
被审计单位通常执行各种措施,检查各种类型信息处理环境下的交易的准确性、完整性和授权。信息处理控制可以是人工的、自动化的,或是基于自动流程的人工控制。信息处理控制分为两类,即信息技术的一般控制和应用控制。
第八十六条第二款指出,信息技术一般控制是指与多个应用系统有关的政策和程序,有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性),支持应用控制作用的有效发挥,通常包括数据中心和网络运行控制,系统软件的购置、修改及维护控制,接触或访问权限控制,应用系统的购置、开发及维护控制。例如,程序改变的控制、限制接触程序和数据的控制、与新版应用软件包实施有关的控制等都属于信息系统一般控制。
第八十六条第三款指出,信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序,与用于生成、记录、处理、报告交易或其他财务数据的程序相关,通常包括检查数据计算的准确性,审核账户和试算平衡表,设置对输入数据和数字序号的自动检查,以及对例外报告进行人工干预。
(四)实物控制
本准则第八十七条指出,注册会计师应当了解实物控制,主要包括了解对资产和记录采取适当的安全保护措施,对访问计算机程序和数据文件设置授权,以及定期盘点并将盘点记录与会计记录相核对。例如,现金、有价证券和存货的定期盘点控制。实物控制的效果影响资产的安全,从而对财务报表的可靠性及审计产生影响。
(五)职责分离
本准则第八十七条指出,注册会计师应当了解职责分离,主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工,以防范同一员工在履行多项职责时可能发生的舞弊或错误。当信息技术运用于信息系统时,职责分离可以通过设置安全控制来实现。
三、考虑多项控制活动
本准则第八十九条规定,在了解控制活动时,注册会计师应当重点考虑一项控制活动单独或连同其他控制活动,是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。注册会计师的工作重点是识别和了解针对重大错报可能发生的领域的控制活动。如果多项控制活动能够实现同一目标,注册会计师不必了解与该目标相关的每项控制活动。
本准则第九十条规定,在了解其他内部控制要素时,如果获取了控制活动是否存在的信息,注册会计师应当确定是否有必要进一步了解这些控制活动。
本指南附录1211-1、 1211-2将 分别说明如何在被审计单位整体层面和业务流程层面对控制活动进行了解和评估。
四、对小型被审计单位的考虑
小型被审计单位的控制活动可能没有大型被审计单位那样正式和复杂。并且某些控制活动可能直接由小型被审计单位中的管理层执行。例如,由管理层批准销售的信用额度、重大的采购等,可能就不再需要更具体的控制活动。因此,本准则第九十一条指出,小型被审计单位通常难以实施适当的职责分离,注册会计师应当考虑小型被审计单位采取的控制活动(特别是职责分离)能否有效实现控制目标。
第十节 对控制的监督
一、了解对控制的监督的总体要求
本准则第九十二条第一款规定,注册会计师应当了解被审计单位对与财务报
告相关的内部控制的监督活动,并了解如何采取纠正措施。
二、对控制的监督的含义
管理层的重要职责之一就是建立和维护控制并保证其持续有效运行,对控制
的监督可以实现这一目标。监督是由适当的人员,在适当、及时的基础上,评估控制的设计和运行情况的过程。本准则第九十二条第二款指出,对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程,该过程包括及时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施。例如,管理层对是否定期编制银行存款余额调节表进行复核,内部审计人员评价销售人员是否遵守公司关于销售合同条款的政策,法律部门定期监控公司的道德规范和商务行为准则是否得以遵循等。监督对控制的持续有效运行十分重要。例如没有对银行存款余额调节表是否得到及时和准确的编制进行监督,该项控制可能无法得到持续的执行。
三、了解对控制的持续监督和专门评价
本准则第九十三条第一款规定,注册会计师应当了解被审计单位对控制的持
续监督活动和专门的评价活动。通常,被审计单位通过持续的监督活动、专门的
评价活动或两者相结合,来实现对控制的监督。
第九十三条第二款指出,持续的监督活动通常贯穿于被审计单位的日常经营活动与常规管理工作中。例如,管理层在履行其日常管理活动时,取得内部控制持续发挥功能的信息。当业务报告、财务报告与他们获取的信息有较大差异时,会对有重大差异的报告提出疑问,并作必要的追踪调查和处理。
第九十三条第三款指出,被审计单位可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价,以找出内部控制的优点和不足,并提出改进建议。关于内部审计人员在内部控制方面的职责,参见《中国注册会计师审计准则第1411号——考虑内部审计工作》及其指南。
第九十三条第四款指出,被审计单位也可能利用与外部有关各方沟通或交流所获取的信息监督相关的控制活动。在某些情况下,外部信息可能显示内部控制存在的问题和需要改进之处。例如,客户通过付款来表示其同意发票金额,或者认为发票金额有误而不付款。监管机构(如银行监管机构)可能会对影响内部控制运行的问题与被审计单位沟通。管理层可能也会考虑与注册会计师就内部控制问题进行沟通,通过与外部信息的沟通,可以发现内部控制存在的问题,以便采取纠正措施。
四、与监督活动相关的信息来源
值得注意的是,上述用于监督活动的很多信息都由被审计单位的信息系统产生,这些信息可能会存在错报,从而导致管理层从监督活动中得出错误的结论。因此,本准则第九十四条规定,注册会计师应当了解与被审计单位监督活动相关的信息来源,以及管理层认为信息具有可靠性的依据。如果拟利用被审计单位监督活动使用的信息(包括内部审计报告),注册会计师应当考虑该信息是否具有可靠的基础,是否足以实现审计目标。
注册会计师通常会在被审计单位整体层面了解对控制的监督,同时,也会在业务流程层面了解有关业务流程的具体监督活动。本指南附录1211-1、1211-2将分别对其加以具体说明。
五、对小型被审计单位的考虑
本准则第九十五条指出,小型被审计单位通常没有正式的持续监督活动,且持续的监督活动与日常管理工作难以明确区分,业主往往通过其对经营活动的密切参与来识别财务数据中的重大差异和错报,并对控制活动采取纠正措施,注册会计师应当考虑业主对经营活动的密切参与能否有效实现其对控制的监督目标。
需要指出的是,内部控制的某些要素(如控制环境)更多地对被审计单位整体层面产生影响,而其他要素(如信息系统和沟通、控制活动) 则可能更多地与特定业务流程相关。在实务中,注册会计师往往从被审计单位整体层面和业务流程层面分别了解和评价被审计单位的内部控制。
第五章 评估重大错报风险
本准则第五章(第九十六条至第一百一十三条),主要说明注册会计师如何识别和评估财务报表层次和认定层次的重大错报风险,如何确定需要特别考虑的重大错报风险和仅通过实质性程序无法应对的重大错报风险,以及对风险评估的结果作出修正。
第一节 识别和评估财务报表层次和认定层次的重大错报风险
一、总体要求
本准则第九十六条第一款规定,注册会计师应当识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险。
二、识别和评估重大错报风险的审计程序
本准则第九十六条第二款规定,在识别和评估重大错报风险时,注册会计师应当实施下列审计程序。
(一)在了解被审计单位及其环境的整个过程中识别风险,并考虑各类交易、账户余额、列报
注册会计师应当运用各项风险评估程序,在了解被审计单位及其环境的整个过程中识别风险,并将识别的风险与各类交易、账户余额和列报相联系。例如,被审计单位因相关环境法规的实施需要更新设备,可能面临原有设备闲置或贬值的风险;宏观经济的低迷可能预示应收账款的回收存在问题;竞争者开发的新产品上市,可能导致被审计单位的主要产品在短期内过时,预示将出现存货跌价和长期资产(如固定资产等)的减值。
(二)将识别的风险与认定层次可能发生错报的领域相联系
注册会计师应当将识别的风险与认定层次可能发生错报的领域相联系。例如,销售困难使产品的市场价格下降,可能导致年末存货成本高于其可变现净值而需要计提存货跌价准备,这显示存货的计价认定可能发生错报。
(三)考虑识别的风险是否重大
风险是否重大是指风险造成后果的严重程度。上例中,除考虑产品市场价格下降因素外,注册会计师还应当考虑产品市场价格下降的幅度、该产品在被审计单位产品中的比重等,以确定识别的风险对财务报表的影响是否重大。假如产品市场价格大幅下降,导致产品销售收入不能补偿成本,毛利率为负,那么年末存货跌价问题严重,存货计价认定发生错报的风险重大;假如价格下降的产品在被审计单位销售收入中所占比例很小,被审计单位其他产品销售毛利率很高,尽管该产品的毛利率为负,但可能不会使年末存货发生重大跌价问题。
(四)考虑识别的风险导致财务报表发生重大错报的可能性
注册会计师还需要考虑上述识别的风险是否会导致财务报表发生重大错报。例如,考虑存货的账面余额是否重大,是否已适当计提存货跌价准备等。在某些情况下,尽管识别的风险重大,但仍不至于导致财务报表发生重大错报。例如,期末财务报表中存货的余额较低,尽管识别的风险重大,但不至于导致存货的计价认定发生重大错报风险。又如,被审计单位对于存货跌价准备的计提实施了比较有效的内部控制,管理层已根据存货的可变现净值,计提了相应的跌价准备。在这种情况下,财务报表发生重大错报的可能性将相应降低。
本准则第九十七条规定,注册会计师应当利用实施风险评估程序获取的信息,包括在评价控制设计和确定其是否得到执行时获取的审计证据,作为支持风险评估结果的审计证据。注册会计师应当根据风险评估结果,确定实施进一步审计程序的性质、时间和范围。
三、可能表明被审计单位存在重大错报风险的事项和情况
本准则第九十八条指出,注册会计师应当关注下列事项和情况可能表明被审计单位存在重大错报风险:(1)在经济不稳定的国家或地区开展业务;(2)在高度波动的市场开展业务;(3)在严厉、复杂的监管环境中开展业务;(4)持续经营和资产流动性出现问题,包括重要客户流失;(5)融资能力受到限制;(6)行业环境发生变化;(7)供应链发生变化;(8)开发新产品或提供新服务,或进入新的业务领域;(9)开辟新的经营场所;(10)发生重大收购、重组或其他非经常性事项;(11) 拟出售分支机构或业务分部;(12)复杂的联营或合资;(13)运用表外融资、特殊目的实体以及其他复杂的融资协议;(14)重大的关联方交易;(15)缺乏具备胜任能力的会计人员;(16)关键人员变动;(17)内部控制薄弱;(18)信息技术战略与经营战略不协调;(19)信息技术环境发生变化;(20)安装新的与财务报告有关的重大信息技术系统;(21) 经营活动或财务报告受到监管机构的调查;(22)以往存在重大错报或本期期末出现重大会计调整;(23)发生重大的非常规交易;(24)按照管理层特定意图记录的交易;(25)应用新颁布的会计准则或相关会计制度;(26)会计计量过程复杂;(27)事项或交易在计量时存在重大不确定性;(28)存在未决诉讼和或有负债。
注册会计师应当充分关注可能表明被审计单位存在重大错报风险的上述事项和情况,并考虑由于上述事项和情况导致的风险是否重大,以及该风险导致财务报表发生重大错报的可能性。
四、两个层次的重大错报风险
本准则第九十九规定,在对重大错报风险进行识别和评估后,注册会计师应当确定,识别的重大错报风险是与特定的某类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定。
某些重大错报风险可能与特定的各类交易、账户余额、列报的认定相关。例如,被审计单位存在复杂的联营或合资,这一事项表明长期股权投资账户的认定可能存在重大错报风险。又如,被审计单位存在重大的关联方交易,该事项表明关联方及关联方交易的披露认定可能存在重大错报风险。
某些重大错报风险可能与财务报表整体广泛相关,进而影响多项认定。例如,在经济不稳定的国家和地区开展业务、资产的流动性出现问题、重要客户流失、融资能力受到限制等,可能导致注册会计师对被审计单位的持续经营能力产生重大疑虑。又如,管理层缺乏诚信或承受异常的压力可能引发舞弊风险,这些风险与财务报表整体相关。
五、控制环境对评估财务报表层次重大错报风险的影响
本准则第一百条指出,财务报表层次的重大错报风险很可能源于薄弱的控制环境。薄弱的控制环境带来的风险可能对财务报表产生广泛影响,难以限于某类交易、账户余额、列报,注册会计师应当采取总体应对措施。
例如,被审计单位治理层、管理层对内部控制的重要性缺乏认识,没有建立必要的制度和程序;或管理层经营理念偏于激进,又缺乏实现激进目标的人力资源等,这些缺陷源于薄弱的控制环境,可能对财务报表产生广泛影响,需要注册会计师采取总体应对措施。
六、控制对评估认定层次重大错报风险的影响
本准则第一百零一条第一款规定,在评估重大错报风险时,注册会计师应当将所了解的控制与特定认定相联系。
这是由于控制有助于防止或发现并纠正认定层次的重大错报。在评估重大错报发生的可能性时,除了考虑可能的风险外,还要考虑控制对风险的抵消和遏制作用。有效的控制会减少错报发生的可能性,而控制不当或缺乏控制,错报就会由可能变成现实。
控制可能与某一认定直接相关,也可能与某一认定间接相关。关系越间接,控制在防止或发现并纠正认定中错报的作用越小。例如,销售经理对分地区的销售网点的销售情况进行复核,与销售收入完整性的认定只是间接相关。相应地,该项控制在降低销售收入完整性认定中的错报风险方面的效果,要比与该认定直接相关的控制(例如,将发货单与开具的销售发票相核对)的效果差。因此,本准则第一百零一条第二款指出,控制与认定直接或间接相关;关系越间接,控制对防止或发现并纠正认定错报的效果越小。
第一百零一条第三款指出,注册会计师可能识别出有助于防止或发现并纠正特定认定发生重大错报的控制。在确定这些控制是否能够实现上述目标时,注册会计师应当将控制活动和其他要素综合考虑。如将销售和收款的控制置身于其所在的流程和系统中考虑,以确定其能否实现控制目标。因为单个的控制活动(如将发货单与销售发票相核对)本身并不足以控制重大错报风险。只有多种控制活动和内部控制的其他要素综合作用才足以控制重大错报风险。
当然,也有某些控制活动可能专门针对某类交易或账户余额的个别认定。例如,被审计单位建立的、以确保盘点工作人员能够正确地盘点和记录存货的控制活动,直接与存货账户余额的存在性和完整性认定相关。注册会计师只需要对盘点过程和程序进行了解,就可以确定控制是否能够实现目标。
注册会计师应当考虑对识别的各类交易、账户余额和列报认定层次的重大错报风险予以汇总和评估,以确定进一步审计程序的性质、时间和范围。表1211-1给出了评估认定层次重大错报风险汇总表示例。
表1211-1 评估认定层次的重大错报风险汇总表
注:注册会计师也可以在该表中记录针对评估的认定层次重大错报风险而相应制定的审计方案。
七、考虑财务报表的可审计性
注册会计师在了解被审计单位内部控制后,可能对被审计单位财务报表的可审计性产生怀疑。例如,对被审计单位会计记录的可靠性和状况的担心可能会使注册会计师认为可能很难获取充分、适当的审计证据,以支持对财务报表发表意见。再如,管理层严重缺乏诚信,注册会计师认为管理层在财务报表中作出虚假陈述的风险高到无法进行审计的程度。因此,本准则第一百零二条规定,如果通过对内部控制的了解发现下列情况,并对财务报表局部或整体的可审计性产生疑问,注册会计师应当考虑出具保留意见或无法表示意见的审计报告:(1)被审计单位会计记录的状况和可靠性存在重大问题,不能获取充分、适当的审计证据以发表无保留意见;(2)对管理层的诚信存在严重疑虑。必要时,注册会计师应当考虑解除业务约定。
第二节 需要特别考虑的重大错报风险
一、特别风险的含义
本准则第一百零三条规定,作为风险评估的一部分,注册会计师应当运用职业判断,确定识别的风险哪些是需要特别考虑的重大错报风险(以下简称特别风险)。
二、确定特别风险时应考虑的事项
本准则第一百零四条规定,在确定哪些风险是特别风险时,注册会计师应当在考虑识别出的控制对相关风险的抵消效果前,根据风险的性质、潜在错报的重要程度(包括该风险是否可能导致多项错报)和发生的可能性,判断风险是否属于特别风险。
本准则第一百零五条规定,在确定风险的性质时,注册会计师应当考虑下列事项:(1)风险是否属于舞弊风险;(2)风险是否与近期经济环境、会计处理方法和其他方面的重大变化有关;(3)交易的复杂程度;(4)风险是否涉及重大的关联方交易;(5)财务信息计量的主观程度,特别是对不确定事项的计量存在较大区间;(6)风险是否涉及异常或超出正常经营过程的重大交易。
三、非常规交易和判断事项导致的特别风险
日常的、不复杂的、经正规处理的交易不太可能产生特别风险。本准则第一百零六条指出,特别风险通常与重大的非常规交易和判断事项有关。本准则第一百零七条和第一百零八条进一步说明了非常规交易和判断事项的特征。
非常规交易是指由于金额或性质异常而不经常发生的交易。例如,企业购并、债务重组、重大或有事项等。本准则第一百零七条指出,由于非常规交易具有下列特征,与重大非常规交易相关的特别风险可能导致更高的重大错报风险:(1)管理层更多地介入会计处理;(2)数据收集和处理涉及更多的人工成分;(3)复杂的计算或会计处理方法;(4)非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制。
判断事项通常包括作出的会计估计。如资产减值准备金额的估计、需要运用复杂估值技术确定的公允价值计量等。本准则第一百零八条指出,由于下列原因,与重大判断事项相关的特别风险可能导致更高的重大错报风险:(1)对涉及会计估计、收入确认等方面的会计原则存在不同的理解;(2)所要求的判断可能是主观和复杂的,或需要对未来事项作出假设。
四、考虑与特别风险相关的控制
了解与特别风险相关的控制,有助于注册会计师制定有效的审计方案予以应对。本准则第一百零九条第一款规定,对特别风险,注册会计师应当评价相关控制的设计情况,并确定其是否已经得到执行。第一百零九条第二款指出,由于与重大非常规交易或判断事项相关的风险很少受到日常控制的约束,注册会计师应当了解被审计单位是否针对该特别风险设计和实施了控制。
例如,作出会计估计所依据的假设是否由管理层或专家进行复核,是否建立作出会计估计的正规程序,重大会计估计结果是否由治理层批准等。再如,管理层在收到重大诉讼事项的通知时采取的措施,包括这类事项是否提交适当的专家(如内部或外部的法律顾问)处理、是否对该事项的潜在影响作出评估、是否确定该事项在财务报表中的披露问题以及如何确定等。
本准则第一百一十条规定,如果管理层未能实施控制以恰当应对特别风险,注册会计师应当认为内部控制存在重大缺陷,并考虑其对风险评估的影响。在此情况下,注册会计师应当考虑按照本准则第一百一十五条的规定,就此类事项与治理层沟通。
第三节 仅通过实质性程序无法应对的重大错报风险
本准则第一百一十一条指出,作为风险评估的一部分,如果认为仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册会计师应当评价被审计单位针对这些风险设计的控制,并确定其执行情况。
本准则第一百一十二条第一款指出,在被审计单位对日常交易采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的有效性,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。
例如,某企业通过高度自动化的系统确定采购品种和数量,生成采购订单,并通过系统中设定的收货确认和付款条件进行付款。除了系统中的相关信息以外,该企业没有其他有关订单和收货的记录。在这种情况下,本准则第一百一十二条第二款指出,如果认为仅通过实施实质性程序不能获取充分、适当的审计证据,注册会计师应当考虑依赖的相关控制的有效性,并对其进行了解、评估和测试。
在实务中,注册会计师可以用一张表(如表1211-2所示)汇总识别的重大错报风险。
表1211-2 识别的重大错报风险汇总表
第四节 对风险评估的修正
本准则第一百一十三条第一款规定,注册会计师对认定层次重大错报风险的评估应以获取的审计证据为基础,并可能随着不断获取审计证据而作出相应的变化。
例如 ,注册会计师对重大错报风险的评估可能基于预期控制运行有效这一判断,即相关控制可以防止或发现并纠正认定层次的重大错报。但在测试控制运行的有效性时,注册会计师获取的证据可能表明相关控制在被审计期间并未有效运 行。同样,在实施实质性程序后,注册会计师可能发现错报的金额和频率比在风险评估时预计的金额和频率要高。因此,本准则第一百一十三条第二款指出,如 果通过实施进一步审计程序获取的审计证据与初始评估获取的审计证据相矛盾,注册会计师应当修正风险评估结果,并相应修改原计划实施的进一步审计程序。
因此,评估重大错报风险与了解被审计单位及其环境一样,也是一个连续和动态地收集、更新与分析信息的过程 ,贯穿于整个审计过程的始终。
第六章 与治理层和管理层的沟通
本准则第六章(第一百一十四条至第一百一十五条),主要说明注册会计师就内部控制重大缺陷与治理层和管理层的沟通。
一、就内部控制重大缺陷与治理层和管理层沟通
被审计单位管理层有责任在治理层的监督下,建立、执行和维护有效的内部控制,以合理保证企业经营目标的实现。注册会计师在了解和测试内部控制的过程中可能会注意到内部控制存在的重大缺陷。注册会计师将其告知适当层次的管理层或治理层,将有助于管理层和治理层履行其在内部控制方面的职责。因此,本准则第一百一十四条规定,注册会计师应当及时将注意到的内部控制设计或执行方面的重大缺陷,告知适当层次的管理层或治理层。
内部控制的重大缺陷是指内部控制设计或执行存在的严重不足,使被审计单位管理层或员工无法在正常行使职能的过程中,及时发现和纠正错误或舞弊引起的财务报表重大错报。内部控制五个要素中都可能存在控制缺陷。
在了解和测试内部控制的过程中可能会发现偏差,偏差是否构成重大缺陷,取决于偏差的性质、频率和后果。在作出职业判断时,注册会计师通常考虑以下因素:
(1)偏差的性质和原因是什么?
(2)偏差数量和控制执行频率的比例是多少?
(3)偏差涉及的账户、披露和认定的性质是怎样的?
(4)缺陷可能影响到哪些财务报表金额或交易事项?
(5)相关资产或负债是否容易遭受损失或产生舞弊?
(6)控制的目的是什么?
(7)该控制对数据可靠性的影响程度如何?
(8)控制的影响是否具有广泛性 (例如,该控制属于控制五个要素中的哪项,影响力如何)?
(9)所测试的信息处理目标的重要程度?
(10)控制是预防性的还是检查性的?
(11)控制设计或控制运行的文件记录是否足够?
(12)是否存在行业性或法规所要求的控制实施标准?
(13)是否存在针对同一风险或认定的补偿性的控制或程序?
(14)谁完成控制程序?
(15)偏差是否导致财务报表的重大错报?
(16)如果存在因错误或舞弊导致的重大错报,是否可能尚未得到更正?
下列情况通常表明内部控制存在重大缺陷:
(1)注册会计师在审计工作中发现了重大错报,而被审计单位的内部控制没有发现这些重大错报;
(2)控制环境薄弱;
(3)存在高层管理人员舞弊迹象(无论涉及金额大小)。
二、就重大错报风险的控制与治理层沟通
本准则第一百一十五条规定,如果识别出被审计单位未加控制或控制不当的重大错报风险,或认为被审计单位的风险评估过程存在重大缺陷,注册会计师应当就此类内部控制缺陷与治理层沟通。
关于注册会计师与治理层沟通的具体规定,参见《中国注册会计师审计准则第1151号——与治理层的沟通》。
第七章 审计工作记录
本准则第七章(第一百一十六条),主要说明对审计工作记录的要求。
一、记录的内容
本准则第一百一十六条规定了审计工作记录的内容,指出注册会计师应当就下列内容形成审计工作记录:(1)项目组对由于舞弊或错误导致财务报表发生重大错报的可能性进行的讨论,以及得出的重要结论;(2)注册会计师对被审计单位及其环境各个方面的了解要点(包括对内部控制各项要素的了解要点)、信息来源以及实施的风险评估程序;(3)注册会计师在财务报表层次和认定层次识别、评估出的重大错报风险;(4)注册会计师识别出的特别风险和仅通过实质性程序无法应对的重大错报风险,以及对相关控制的评估。
二、记录的方式
注册会计师需要运用职业判断,确定对上述事项进行记录的方式。常见的记录方式包括文字叙述、问卷、核对表和流程图等。
记录的方式和范围受被审计单位性质、规模、复杂程度、内部控制、被审计单位信息的可获得性,以及审计过程中使用的具体审计方法和技术的影响。例如,被审计单位通过复杂的信息系统,生成、记录、处理和报告大量交易,注册会计师在了解该信息系统后,可能采用的记录方式包括流程图、问卷或决策表。对于很少使用或不使用信息技术的信息系统,或者只处理少量交易(如长期借款)的信息系统,注册会计师仅以备忘录的形式对其进行记录就已足够。通常被审计单位经营活动越复杂,注册会计师实施审计程序的范围越广,审计工作记录也就越复杂。
关于审计工作记录和工作底稿编制的具体规定,参见《中国注册会计师审计准则第1131号——审计工作底稿》及其指南。
附录 1211-1:
在被审计单位整体层面了解和评价内部控制
本附录结合内部控制五要素的内容,具体说明注册会计师如何了解和评价对被审计单位有普遍影响的内部控制,即在被审计单位整体层面了解内部控制,并评估财务报表重大错报风险。本附录仅供参考,在实际工作中,注册会计师应当根据被审计单位的具体情况和职业判断,了解和评价被审计单位整体层面的内部控制。
一、控制环境
在了解和评价控制环境时,注册会计师需要考虑与控制环境有关的各个要素及其相互联系,尤其是要注意,控制环境任一构成要素存在重大缺陷,都会影响其他要素的有效性。下面对各个要素分别进行说明。
(一)对诚信和道德价值观念的沟通与落实
诚信和道德价值观念是控制环境的重要组成部分,影响到重要业务流程的设计和运行。内部控制的有效性直接依赖于负责创建、管理和监控内部控制的人员的诚信和道德价值观念。被审计单位是否存在道德行为规范,以及这些规范如何在被审计单位内部得到沟通和落实,决定了是否能产生诚信和道德的行为。对诚信和道德价值观念的沟通与落实既包括管理层如何处理不诚实、非法或不道德行为,也包括在被审计单位内部,通过行为规范以及高层管理人员的身体力行,对诚信和道德价值观念的营造和保持。
例如,管理层在行为规范中指出,员工不允许从供货商那里获得超过一定金额的礼品,超过部分都须报告和退回。尽管该行为规范本身并不能绝对保证员工都照此执行,但至少意味着管理层已对此进行明示,它连同其他程序,可能构成一个有效的预防机制。
注册会计师在了解和评估被审计单位诚信和道德价值观念的沟通与落实时,考虑的主要因素可能包括:(1)被审计单位是否有书面的行为规范并向所有员工传达;(2)被审计单位的企业文化是否强调诚信和道德价值观念的重要性;(3)管理层是否身体力行,高级管理人员是否起表率作用;(4)对违反有关政策和行为规范的情况,管理层是否采取适当的惩罚措施。
(二)对胜任能力的重视
胜任能力是指具备完成某一职位的工作所应有的知识和能力。管理层对胜任能力的重视包括对于特定工作所需的胜任能力水平的设定,以及对达到该水平所必需的知识和能力的要求。注册会计师应当考虑主要管理人员和其他相关人员是否能够胜任承担的工作和职责,例如,财会人员是否对编报财务报表所适用的会计准则和相关会计制度有足够的了解并能正确运用。
注册会计师在就被审计单位对胜任能力的重视情况进行了解和评估时,考虑的主要因素可能包括:
(1)财会人员以及信息管理人员是否具备与被审计单位业务性质和复杂程度相称的足够的胜任能力和培训,在发生错误时,是否通过调整人员或系统来加以处理;
(2)管理层是否配备足够的财会人员以适应业务发展和有关方面的需要;
(3)财会人员是否具备理解和运用会计准则所需的技能。
(三)治理层的参与程度
被审计单位的控制环境在很大程度上受治理层的影响。治理层的职责应在被审计单位的章程和政策中予以规定。治理层(董事会)通常通过其自身的活动,并在审计委员会或类似机构的支持下,监督被审计单位的财务报告政策和程序。因此,董事会、审计委员会或类似机构应关注被审计单位的财务报告,并监督被审计单位的会计政策以及内部、外部的审计工作和结果。治理层的职责还包括监督用于复核内部控制有效性的政策和程序设计是否合理,执行是否有效。
治理层对控制环境影响的要素有:治理层相对于管理层的独立性、成员的经验和品德、对被审计单位业务活动的参与程度、治理层行为的适当性、治理层所获得的信息、管理层对治理层所提出问题的追踪程度,以及治理层与内部审计人员和注册会计师的联系程度等。
注册会计师在对被审计单位治理层的参与程度进行了解和评估时,考虑的主要因素可能包括:
(1)董事会是否建立了审计委员会或类似机构;
(2)董事会、审计委员会或类似机构是否与内部审计人员以及注册会计师有联系和沟通,联系和沟通的性质以及频率是否与被审计单位的规模和业务复杂程度相匹配;
(3)董事会、审计委员会或类似机构的成员是否具备适当的经验和资历(4)董事会、审计委员会或类似机构是否独立于管理层;
(5)审计委员会或类似机构会议的数量和时间是否与被审计单位的规模和业务复杂程度相匹配;
(6)董事会、审计委员会或类似机构是否充分地参与了财务报告的过程;
(7)董事会、审计委员会或类似机构是否对经营风险的监控有足够的关注,进而影响被审计单位和管理层的风险评估进程(包括舞弊风险);
(8)董事会成员是否保持相对的稳定性。
(四)管理层的理念和经营风格
管理层负责企业的运作以及经营策略和程序的制定、执行与监督。控制环境的每个方面在很大程度上都受管理层采取的措施和作出决策的影响,或在某些情况下受管理层不采取某些措施或不作出某种决策的影响。在有效的控制环境中,管理层的理念和经营风格可以创造一个积极的氛围,促进业务流程和内部控制的有效运行,同时创造一个减少错报发生可能性的环境。在管理层以一个或少数几个人为主时,管理层的理念和经营风格对内部控制的影响尤为突出。
管理层的理念包括管理层对内部控制的理念,即管理层对内部控制以及对
具体控制实施环境的重视程度。管理层对内部控制的重视,将有助于控制的有
效执行,并减少特定控制被忽视或规避的可能性。控制理念反映在管理层制定
的政策、程序及所采取的措施中,而不是反映在形式上。因此,要使控制理念
成为控制环境的一个重要特质,管理层必须告知员工内部控制的重要性。同时,只有建立适当的管理层控制机制,控制理念才能产生预期的效果。
衡量管理层对内部控制重视程度的重要标准,是管理层收到有关内部控制
弱点及违规事件的报告时是否作出适当反应。管理层及时地下达纠弊措施,表
明他们对内部控制的重视,也有利于加强企业内部的控制意识。
此外,了解管理层的经营风格也很有必要,管理层的经营风格是指管理层所能接受的业务风险的性质。例如,管理层是否经常投资于风险特别高的领域或者在接受风险方面极为保守,不敢越雷池一步。注册会计师应考虑的问题包括:管理层是否谨慎从事,只有在对方案的风险和潜在利益进行仔细研究分析后才进一步采取措施。了解管理层的经营风格有助于注册会计师判断哪些因素影响管理层对待内部控制的态度,哪些因素影响在编制财务报表时所作的判断,特别是在作出会计估计以及选用会计政策时。这种了解也有助于注册会计师进一步认识管理层的能力和经营动机。注册会计师对管理层的能力和诚信越有信心,就越有理由依赖管理层提供的信息和作出的解释及声明。相反,如果对管理层经营风格的了解加重了注册会计师的怀疑,注册会计师就会加大职业怀疑的程度,从而对管理层各种声明产生怀疑。因此,了解管理层的经营风格对注册会计师评估重大错报风险有着重要的意义。
注册会计师在了解和评估被审计单位管理层的理念和经营风格时,考虑的主要因素可能包括:
(1)管理层是否对内部控制,包括信息技术的控制,给予了适当的关注;
(2)管理层是否由一个或几个人所控制,而董事会、审计委员会或类似机构对其是否实施有效监督;
(3)管理层在承担和监控经营风险方面是风险偏好者还是风险规避者;(4)管理层在选择会计政策和作出会计估计时是倾向于激进还是保守;(5)管理层对于信息管理人员以及财会人员是否给予了适当关注;
(6)对于重大的内部控制和会计事项,管理层是否征询注册会计师的意见,或者经常在这些方面与注册会计师存在不同意见。
(五)组织结构及职权与责任的分配
被审计单位的组织结构为计划、运作、控制及监督经营活动提供了一个整体框架。通过集权或分权决策,可在不同部门间进行适当的职责划分、建立适当层次的报告体系。组织结构将影响权利、责任和工作任务在组织成员中的分配。被审计单位的组织结构将在一定程度上取决于被审计单位的规模和经营活动的性质。
注册会计师应当考虑被审计单位组织结构中是否采用向个人或小组分配控制职责的方法,是否建立了执行特定职能(包括交易授权)的授权机制,是否确保每个人都清楚地了解报告关系和责任。注册会计师还需审查对分散经营活动的监督是否充分。有效的权责分配制度有助于形成整体的控制意识。
注册会计师应当关注组织结构及权责分配方法的实质而不是仅仅关注其形式。相应地,注册会计师应当考虑相关人员对政策与程序的整体认识水平和遵守程度,以及管理层对其实施监督的程度。
注册会计师对组织结构的审查,有助于其确定被审计单位的职责划分应该达到何种程度,也有助于其评价被审计单位在这方面的不足会对整体审计策略产生的影响。
信息系统处理环境是注册会计师对组织结构及权责分配方法进行审查的一个重要方面。注册会计师应当考虑信息系统职能部门的结构安排是否明确了责任分配,授权和批准系统变化的职责分配,以及是否明确程序开发、运行及使用者之间的职责划分。
注册会计师在对被审计单位组织结构和职权与责任的分配进行了解和评估时,考虑的主要因素可能包括:
(1)在被审计单位内部是否有明确的职责划分,是否将业务授权、业务记录、资产保管和维护,以及业务执行的责任尽可能地分离;
(2)数据的所有权划分是否合理;
(3)是否已针对授权交易建立适当的政策和程序。
(六)人力资源政策与实务
政策与程序(包括内部控制)的有效性,通常取决于执行人。因此,被审计单位员工的能力与诚信是控制环境中不可缺少的因素。人力资源政策与实务涉及招聘、培训、考核、晋升和薪酬等方面。被审计单位是否有能力招聘并保留一定数量既有能力又有责任心的员工在很大程度上取决于其人事政策与实务。例如,如果招聘录用标准要求录用最合适的员工,包括强调员工的学历、经验、诚信和道德,这表明被审计单位希望录用有能力并值得信赖的人员。被审计单位有关培训方面的政策应显示员工应达到的工作表现和业绩水准。通过定期考核的晋升政策表明被审计单位希望具备相应资格的人员承担更多的职责。
注册会计师在对被审计单位人力资源政策与实务进行了解和评估时,考虑的主要因素可能包括:
(1)被审计单位是否在招聘、培训、考核、晋升、薪酬、调动和辞退员工方面是否都有适当的政策和程序(特别是在会计、财务和信息系统方面);
(2)是否有书面的员工岗位职责手册,或者在没有书面文件的情况下,对于工作职责和期望是否作了适当的沟通和交流;
(3)人力资源政策与程序是否清晰,并且定期发布和更新;
(4)是否设定适当的程序,对分散在各地区和海外的经营人员建立和沟通人力资源政策与程序。
综上所述,注册会计师应当对控制环境的构成要素获取足够的了解,并考虑内部控制的实质及其综合效果,以了解管理层和治理层对内部控制及其重要性的态度、认识以及所采取的措施。
二、被审计单位的风险评估过程
风险评估过程包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施。注册会计师在对被审计单位整体层面的风险评估过程进行了解和评 估时,考虑的主要因素可能包括:
(1)被审计单位是否已建立并沟通其整体目标,并辅以具体策略和业务流程层面的计划;
(2)被审计单位是否已建立风险评估过程,包括识别风险,估计风险的重大性,评估风险发生的可能性以及确定需要采取的应对措施;
(3)被审计单位是否已建立某种机制,识别和应对可能对被审计单位产生重大且普遍影响的变化,如在金融机构中建立资产负债管理委员会,在制造型企业中建立期货交易风险管理组等;
(4)会计部门是否建立了某种流程,以识别会计准则的重大变化;
(5)当被审计单位业务操作发生变化并影响交易记录的流程时,是否存在沟通渠道以通知会计部门;
(6)风险管理部门是否建立了某种流程,以识别经营环境包括监管环境发生的重大变化。
注册会计师可以通过了解被审计单位及其环境的其他方面信息,评价被审计单位风险评估过程的有效性。例如,在了解被审计单位的业务情况时,发现了某些经营风险,注册会计师应当了解管理层是否也意识到这些风险以及如何应对。在对业务流程的了解中,注册会计师还可能进一步地获得被审计单位有关业务流程的风险评估过程的信息。例如,在销售循环中,如果发现了销售的截止性错报的风险,注册会计师应当考虑管理层是否也识别了该错报风险以及如何应对该风险。
三、与财务报告相关的信息系统和沟通
注册会计师在对被审计单位整体层面的信息系统与沟通进行了解和评估时,考虑的主要因素可能包括:
(一)与财务报告相关的信息系统
(1)信息系统是否能够向管理层提供有关被审计单位业绩的报告,包括相关的外部和内部信息;
(2)向适当人员提供的信息是否充分、具体和及时,使其能够有效地履行职责;
(3)信息系统的开发及变更在多大程度上与被审计单位的战略计划相适应,以及如何与被审计单位整体层面和业务流程层面的目标相适应;
(4)管理层是否提供适当的人力和财力,以开发必需的信息系统;
(5)管理层是如何监督程序开发、变更和测试工作的;
(6)对于主要的数据中心,是否建立了重大灾难数据恢复计划。
(二)沟通
(1)管理层就员工的职责和控制责任是否进行了有效沟通;
(2)针对可疑的不恰当事项和行为是否建立了沟通渠道;
(3)组织内部沟通的充分性是否能够使人员有效地履行职责;
(4)对于与客户、供应商、监管者和其他外部人士的沟通,管理层是否及时采取适当的进一步行动;
(5)被审计单位是否受到某些监管机构发布的监管要求的约束;
(6)外部人士如客户和供应商在多大程度上获知被审计单位的行为守则。
与财务报告相关的信息系统应当与业务流程相适应,其职能更多地体现在业务流程层面,因此,注册会计师应当更进一步地在业务流程层面了解业务流程和相关信息系统。本指南附录1211-2将对此加以详述。
四、控制活动
控制活动是指有助于确保管理层的指令得以执行的政策和程序。注册会计师对被审计单位整体层面的控制活动进行的了解和评估,主要是针对被审计单位的一般控制活动,特别是信息技术的一般控制。在了解和评估一般控制活动时考虑的主要因素可能包括:
(1)对被审计单位的主要经营活动是否都有必要的控制政策和程序;
(2)管理层对预算、利润和其他财务和经营业绩方面是否都有清晰的目标,在被审计单位内部,是否对这些目标加以清晰的记录和沟通,并且积极地对其进行监控;
(3)是否存在计划和报告系统,以识别与目标业绩的差异,并向适当层次的管理层报告该差异;
(4)是否由适当层次的管理层对差异进行调查,并及时采取适当的纠正措施;
(5)不同人员的职责应在何种程度上相分离,以降低舞弊和不当行为发生的风险;
(6)会计系统中的数据是否与实物资产定期核对;
(7)是否建立了适当的保护措施,以防止未经授权接触文件、记录和资产;(8)是否存在信息安全职能部门负责监控信息安全政策和程序。
五、对控制的监督
注册会计师在对被审计单位整体层面的监督进行了解和评估时,考虑的主要因素可能包括:
(1)被审计单位是否定期评价内部控制;
(2)被审计单位人员在履行正常职责时,能够在多大程度上获得内部控制是否有效运行的证据;
(3)与外部的沟通能够在多大程度上证实内部产生的信息或者指出存在的问题;
(4)管理层是否采纳内部审计人员和注册会计师有关内部控制的建议;
(5)管理层是否及时纠正控制运行中偏差;
(6)管理层根据监管机构的报告及建议是否及时采取纠正措施;
(7)是否存在协助管理层监督内部控制的职能部门(如内部审计部门)。如存在,对内部审计职能需进一步考虑的因素包括:①独立性和权威性;②向谁报告,例如,直接向董事会、审计委员会或类似机构报告,对接触董事会、审计委员会或类似机构是否有限制;③是否有足够的人员、培训和特殊技能,例如,对于复杂的高度自动化的环境应使用有经验的信息系统审计人员;④是否坚持适用的专业准则;⑤活动的范围,例如,财务审计和经营审计工作的平衡,在分散经营情况下,内部审计的覆盖程度和轮换程度;⑥计划、风险评估和执行工作的记录和形成结论的适当性;⑦是否不承担经营管理责任。
六、在整体层面对内部控制了解和评估的总结
在整体层面对被审计单位内部控制的了解和评估,通常由项目组中对被审计单位情况比较了解且较有经验的成员负责,同时需要项目组其他成员的参与和配合。对于连续审计,注册会计师可以重点关注整体层面的内部控制的变化情况,包括由于被审计单位及其环境的变化而导致内部控制发生的变化以及采取的对策。注册会计师还需要特别考虑因舞弊而导致重大错报的可能性及其影响。
注册会计师可以考虑将询问被审计单位人员、观察特定控制的应用、检查文件和报告以及执行穿行测试等风险评估程序相结合,以获取审计证据。在了解上述内部控制的构成要素时,注册会计师需要特别注意这些要素在实际中是否得到执行。例如,通过询问管理层和员工,了解管理层对内部控制的态度和道德价值观念,以及如何就此与员工进行沟通;通过检查文件、内部程序手册、流程图等,了解管理层是否建立了正式的行为守则;通过询问和观察,了解行为守则在日常工作中是否得到遵守,以及管理层如何处理违反行为守则的情形;通过询问被审计单位管理层,了解其风险评估过程,并复核记录风险评估过程的文件。通过检查和复核内部审计部门的工作程序以及报告等,确定管理层和员工是否执行既定的政策和程序。
在了解上述内部控制的各构成要素时,注册会计师应当对被审计单位整体层面的内部控制的设计进行评价,并确定其是否得到执行。实际上,这一评价过程需要大量的职业判断,并没有固定的公式或指标可供参考。例如,小型被审计单位在实现内部控制的目标中可能会较少采用正式的书面的措施和方法,业主可能更多地参与日常经营管理活动和财务报告活动。但这些并不一定会影响注册会计师对于被审计单位整体层面的内部控制是否有效的判断。注册会计师应当考虑管理层本身的理念和态度、实际设计和执行的控制,以及对经营活动的密切参与是否能够实现控制的目标。
注册会计师应当将对被审计单位整体层面的内部控制各要素的了解要点和实施的风险评估程序及其结果等形成审计工作记录,并对影响注册会计师对整体层面内部控制有效性进行判断的因素加以详细记录。
财务报表层次的重大错报风险很可能源于薄弱的控制环境,因此,注册会计师在评估财务报表层次的重大错报风险时,应当将被审计单位整体层面的内部控制状况和了解到的被审计单位及其环境其他方面的情况结合起来考虑。
被审计单位整体层面的内部控制是否有效将直接影响重要业务流程层面控制的有效性,进而影响注册会计师拟实施的进一步审计程序的性质、时间和范围。本指南附录1211-2将详细说明在重要业务流程层面对内部控制的了解和评价。
附录 1211-2:
在业务流程层面了解和评价内部控制
由于内部控制的各个要素,尤其是信息系统和控制活动更多地体现在业务流程层面,因此,注册会计师应当从被审计单位重要业务流程层面了解内部控制,并据此评估认定层次的重大错报风险,进而针对评估的风险设计和实施进一步审计程序。本附录说明如何在被审计单位业务流程层面对内部控制进行了解和评估。本附录仅供参考。在实际工作中,注册会计师应当根据被审计单位实际情况对被审计单位重要业务流程层面的内部控制作出了解和评估。
一、在重要业务流程层面了解和评估内部控制的一般步骤
在初步计划审计工作时,注册会计师需要确定在被审计单位财务报表中可能存在重大错报风险的重大账户及其相关认定。为实现此目的,通常采取下列步骤:(1)确定被审计单位的重要业务流程和重要交易类别;(2)了解重要交易流程,并记录获得的了解;(3)确定可能发生错报的环节;(4)识别和了解相关控制;(5)执行穿行测试,证实对交易流程和相关控制的了解;(6)进行初步评价和风险评估。
在实务中,上述步骤可能同时进行,例如,在询问相关人员的过程中,同时了解重要交易的流程和相关控制。
(一)确定重要业务流程和重要交易类别
在实务中,将被审计单位的整个经营活动划分为几个重要的业务循环,有助于注册会计师更有效地了解和评估重要业务流程及相关控制。通常,对制造业企业,可以划分为销售与收款循环、采购与付款循环、存货与生产循环、工资与人员循环、筹资与投资循环等。被审计单位经营活动的性质不同,所划分的业务循环也不同。例如,对于银行,就没有存货与生产循环,而有发放贷款循环、吸收存款循环。又如,某些被审计单位出口销售与国内销售的流程完全不同,可将销售与收款循环进一步划分为外销和内销两个子循环。对于某些被审计单位,固定资产的采购和维护可能很重要,也可以将固定资产单独作为一个业务循环。重要交易类别是指可能对被审计单位财务报表产生重大影响的各类交易。重要交易应与重大账户及其认定相联系,例如,对于一般制造业企业,销售收入和应收账款通常是重大账户,销售和收款都是重要交易类别。除了一般所理解的交易以外,对财务报表具有重大影响的事项和情况也应包括在内,例如,计提资产的折旧或摊销,考虑应收款项的可回收性和计提坏账准备等。
(二)了解重要交易流程,并记录获得的了解
在确定重要的业务流程和交易类别后,注册会计师便可着手了解每一类重要交易在信息技术或人工系统中生成、记录、处理及在财务报表中报告的程序,即重要交易流程。这是确定在哪个环节或哪些环节可能发生错报的基础。
交易流程通常包括一系列工作:输入数据的核准与修订、数据的分类与合并、进行计算、更新账簿资料和客户信息记录、生成新的交易、归集数据、列报数据。而与注册会计师了解重要交易相关的流程通常包括生成、记录、处理和报告交易等活动。例如,在销售循环中,这些活动包括输入销售订单、编制货运单据和发票、更新应收账款信息记录等。相关的处理程序包括通过编制调整分录,修改并再次处理以前被拒绝的交易,以及修改被错误记录的交易。
注册会计师可以通过下列方法获得对重要交易流程的了解:( 1)检查被审计单位的手册和其他书面指引;(2)询问被审计单位的适当人员;(3)观察所运用的处理方法和程序;(4)穿行测试。
在执行上述步骤之前,注册会计师需要考虑以下事项:( 1)该类交易影响的重大账户及其认定;(2)注册会计师已经识别的有关这些重大账户及其认定的经营风险和财务报表重大错报风险;(3)重要交易类别生成、记录、处理和报告所涉及的业务流程以及相关的信息技术处理系统。考虑上述事项可以帮助注册会计师确定询问对象,包括流程管理人员和信息技术人员。
注册会计师可以通过检查被审计单位的手册和其他书面指引获得有关信 息,还可以通过询问和观察来获得全面的了解。向适当人员询问通常是比较有效的方法。需要注意的是,很多重要交易的流程涉及被审计单位的多个部门。例如,销售业务可能涉及到销售部门(负责订单处理和开票)、会计部门(负责账务处理)和仓库(负责发货)等。因此,注册会计师需要考虑分别向不同部门的适当人员询问。
向负责处理具体业务人员的上级进行询问通常更加有效,因为这些人员很可能对分管的整个业务流程十分熟悉。对一些简单的业务,被审计单位的财会人员可以向注册会计师提供足够的信息。然而,注册会计师如要了解关于一项复杂的业务是如何发生、处理、记录和报告的信息,通常需要和信息技术处理人员进行讨论。
在了解过程中,注册会计师通常还能注意到许多正在执行的控制。虽然这个阶段的工作重点不是确定控制是否存在,注册会计师仍需留意可能存在缺乏控制的情况,以及可能发生错报而需要控制的环节。注册会计师也可能发现在识别和评估控制时需要进一步审查的常规程序和数据档案。
在询问过程中,注册会计师可以检查并在适当的情况下保存部分被审计单位文件(如流程图、程序手册、职责描述、文件、表格等)的复印件,以帮助其了解交易流程。通常,注册会计师会获得某些信息系统的文件资料。如系统的文字说明、系统图表以及流程图。为了有助于理解,注册会计师应当考虑在图表及流程图上加入自己的文字表述,归纳总结被审计单位提供的有关资料。
如果可行的话,流程图或文字表述应反映所有相关的处理程序,无论这些处理程序是人工还是自动完成的。流程图或文字表述应足够详细,以帮助注册会计师确定在什么环节可能会发生重大错报。因此,流程图或文字表述通常会反映业务流程中数据发生、入账或修改的活动。在较为复杂的环境中,一份流程图可能需要其他的流程图和文字表述予以支持。
由于获取此类资料的最根本目的是帮助注册会计师确定哪个环节可能发生错报,因此,注册会计师要注意记录以下信息:(1)输入信息的来源;(2)所使用的重要数据档案,如客户清单及价格信息记录;(3)重要的处理程序,包括在线输入和更新处理;(4)重要的输出文件、报告和记录;(5)基本的职责划分,即列示各部门所负责的处理程序。
注册会计师通常只是针对每一年的变化修改记录流程的工作底稿,除非被审计单位的交易流程发生重大改变。然而,无论业务流程与以前年度相比是否有变化,注册会计师每年都需要考虑上述注意事项,以确保对被审计单位的了解是最新的,并已包括被审计单位交易流程中相关的重大变化。
(三)确定可能发生错报的环节
注册会计师需要确认和了解被审计单位应在哪些环节设置控制,以防止或发现并纠正各重要业务流程可能发生的错报。注册会计师所关注的控制,是那些能通过防止错报的发生,或者通过发现和纠正已有错报,从而确保每个流程中业务活动具体流程(从交易的发生到记录于账目)能够顺利运转的人工或自动化控制程序。
尽管不同的被审计单位为确保会计信息的可靠性而对业务流程设计和实施不同的控制,但设计控制的目的是为实现某些控制目标(见表1211-3)。实际上,这些控制目标与财务报表重大账户的相关认定相联系。但注册会计师在此时通常不考虑列报认定,在本附录后述财务报告流程时将考虑该认定。
表1211-3 控制目标表
对于每个重要交易流程,注册会计师都会考虑这些控制目标。评价是否实现这些目标的重要标志是,是否存在控制来防止错报的发生,或发现并纠正错报,然后重新提交到业务流程处理程序中进行处理。
注册会计师通过设计一系列关于控制目标是否实现的问题,从而确认某项业务流程中需要加以控制的环节。这些问题针对的是业务流程中数据生成、转移或被转换的环节。以下列举了部分在销售交易中的控制目标是否实现的问题(见表1211-4)。
表1211-4 销售交易中的控制目标示例表
为实现某项审计目标而设计问题的数量,取决于下列因素:
(1)业务流程的复杂程度;
(2)业务流程中发生错报而未能被发现的概率;
(3)是否存在一种具有实效的总体控制来实现控制目标。例如,将仓库的发货日志中记录的发货数量与销售日记账中登记的数量定期进行核对调节,这一控制可以同时实现发生、完整性、截止等多个控制目标。
注册会计师应将这些问题记录于工作底稿。
(四)识别和了解相关控制
通过对被审计单位的了解,包括在被审计单位整体层面对内部控制各要素的了解,以及在上述程序中对重要业务流程的了解,注册会计师可以确定是否有必要进一步了解在业务流程层面的控制。在某些情况下,注册会计师之前的了解可能表明被审计单位在业务流程层面针对某些重要交易流程所设计的控制是无效的,或者注册会计师并不打算依赖控制,这时注册会计师没有必要进一步了解在业务流程层面的控制。特别需要注意的是,如果认为仅通过实质性程序无法将认定层次的检查风险降至可接受的水平,或者针对特别风险,注册会计师应当了解和评估相关的控制活动。
如果注册会计师计划对业务流程层面的有关控制进行进一步的了解和评价,那么针对业务流程中容易发生错报的环节,注册会计师应当确定:(1)被审计单位是否建立了有效的控制,防止或发现并纠正这些错报;(2)被审计单位是否遗漏了必要的控制;(3)是否识别了可以最有效测试的控制。
1.控制的类型。控制包括被审计单位使用并依赖的、用以在交易流程中防止错报的发生或在发生错报后发现与纠正错报的所有政策和程序。有效的控制应与错报发生的环节相关,并能降低错报风险。通常将业务流程中的控制划分为预防性控制和检查性控制,下面分别予以说明。
(1)预防性控制。预防性控制通常用于正常业务流程的每一项交易中,以防止错报的发生。在流程中防止错报是信息系统的重要目标。缺少有效的预防性控制增加了数据发生错报的可能性,特别是在相关账户及其认定存在较高重大错报风险时,更是如此。
预防性控制可能是人工的,也可能是自动化的。表1211-5是预防性控制及其能防止错报的例子。
表1211-5 预防性控制示例表
与简单的业务流程相比,对于较复杂的业务流程,被审计单位通常更依赖自动控制。例如,对于一个简单的业务流程,发运货物的计价控制包括人工对销货发票的复核,以确定发票采用了正确的价格和折扣。但在一个较复杂的业务流程中,被审计单位可能依赖数据录入控制判别那些不符合要求的价格和折扣,以及通过访问控制来控制对价格信息记录的访问。
对于处理大量业务的复杂业务流程,被审计单位通常使用对程序修改的控制和访问控制,来确保自动控制的持续有效。
实施针对程序修改的控制,是为了确保所有对计算机程序的修改在实施前都经过适当的授权、测试以及核准。
实施访问控制,是为了确保只有经过授权的人员和程序才有权访问数据,且只能在预先授权情况下才能处理数据(如查询、执行和更新)。
程序修改的控制和访问控制通常不直接防止错报,但对于确保自动控制在整个拟信赖期间内的有效性有着十分重要的作用。
(2)检查性控制。建立检查性控制的目的是发现流程中可能发生的错报(尽管有预防性控制还是会发生的错报)。被审计单位通过检查性控制,监督其流程和相应的预防性控制能否有效地发挥作用。检查性控制通常是管理层用来监督实现流程目标的控制。检查性控制可以由人工执行也可以由信息系统自动执行。
检查性控制通常并不适用于业务流程中的所有交易,而适用于一般业务流程以外的已经处理或部分处理的某类交易,可能一年只运行几次,如每月将应收账款明细账与总账比较;也可能每周运行,甚至一天运行几次。
与预防性控制相比,不同被审计单位之间检查性控制差别很大。许多检查性控制取决于被审计单位的性质、执行人员的能力、习惯和偏好。检查性控制可能是正式建立的程序,如编制银行存款余额调节表,并追查调节项目或异常项目,也可能是非正式的程序。
有些检查性控制虽然并没有正式地设定,但员工会有规律地执行并作记录,这些控制也是被审计单位内部控制的有机组成部分。例如,财务总监复核月度毛利率的合理性;信用管理部经理可能有一本记录每月到期应收款的备查簿,以确定这些应收款是否收到,并追查挂账的项目;财务总监实施特定的分析程序来确定某些费用与销售的关系是否与经验数据相符,如果不符,调查不符的原因并纠正其中的错报等。
以下是检查性控制及其可能查出的错报的例子(见表1211-6)。
表1211-6 检查性控制示例表
如果确信存在以下情况,那么就可以将检查性控制作为一个主要的手段,来合理保证某特定认定发生重大错报的可能性较小:(1)控制所检查的数据是完整、可靠的;(2)控制对于发现重大错报足够敏感;(3)发现的所有重大错报都将被纠正。
需要注意的是,对控制的分类取决于控制运用的目的和方式,以及被审计单位和注册会计师对控制的认识。从根本上看,控制被归为哪类并不重要,重要的是它是否有效,以及注册会计师能否测试其有效性。业务流程中重要交易类别的有效控制应同时包括预防性控制和检查性控制,因为没有相应的预防性控制,检查性控制也不能充分发挥作用。
2.识别和了解相关控制。前已提及,对于业务流程中重要交易类别的有效控制通常同时包括预防性控制和检查性控制。缺乏有效的预防性控制增加了错报的风险,因此需要建立更为敏感的检查性控制。通常,注册会计师在识别检查性控制的同时,也记录重要的预防性控制。
注册会计师在判断对控制的了解是否足以制定一个有效的审计策略时,考虑的因素包括:重要交易类别的复杂性、信息技术应用环境的复杂性和一体化程度、错报发生的可能性和在业务流程中未被发现的可能性,以及该重要交易影响重大账户的程度。
注册会计师应当获取有关控制的足够信息,以使其能够识别控制,了解各种控制如何执行、由谁执行,以及执行中所使用的数据报告、文件和其他材料。此外,注册会计师也需要确认,执行控制之后所形成的实物证据是什么,以及该控制是否足够敏感,能够及时防止或发现并纠正重大错报。
识别和了解控制采用的主要方法是,询问被审计单位各级别的负责人员。业务流程越复杂,注册会计师越有必要询问信息系统人员,以辨别有关的控制。通常,应首先询问那些级别较高的人员,再询问级别较低的人员,以确定他们认为应该运行哪些控制,以及哪些控制是重要的。这种“从高到低”的询问方法使注册会计师能迅速地辨别被审计单位重要的控制,特别是检查性控制。如果注册会计师打算信赖控制,就需要实施控制测试。
从级别较低人员处获取的信息,应向级别较高的人员核实其完整性,以确定他们是否与级别较高的人员所理解的预定控制相符。这一步骤不仅向注册会计师提供有关实际执行的控制的信息,而且可以使注册会计师了解管理层对控制运行情况的熟悉程度。
在询问过程中,注册会计师还应当了解各层次监督和管理人员如何确认预定的预防性控制和检查性控制正在按计划运行。此时,注册会计师可询问:“你们是怎样防止或发现某项错报的?”然后问:“你们采取什么措施来确保这些控制按设想的方式运行?”注册会计师应当重点关注被审计单位相关控制的运行情况,包括预防性控制和检查性控制。从内部控制要素来看,还包括了对控制的监督活动。
在许多情况下,注册会计师可以通过与被审计单位讨论,了解确保信息系统生成数据的完整性与准确性的控制。这些检查性控制可能包括对输入与输出的数据进行比较,定期复核信息记录的数据,或监督生成数据与预期数据的差异。这些控制可能是正式制定的,也可能是非正式的程序。对生成数据与预期数据的差异,注册会计师应当了解控制如何识别和判断这些差异,如何追查这些差异以及纠正发现的错报。在评价这些控制时,应重点看其是否足够敏感,是否能查出所 有重要的错报,包括那些在自动化信息系统中可能发生的错报。
需要指出的是,注册会计师并不需要了解与每一控制目标相关的所有控制活动。本准则第八十九条规定,在了解控制活动时,注册会计师应当重点考虑一项控制活动单独或连同其他控制活动,是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。如果多项控制活动能够实现同一目标,注册会计师不必了解与该目标相关的每项控制活动。
例如,防止或发现某一特定的错报可能需要有多重控制,或者一项特别的控制目标是为了发现一种以上的潜在错报,为了实现该目标需要设置多项控制。例如,为实现销售的“存在性”这一控制目标,注册会计师可能要识别一种控制,该项控制的作用是保证出库单只为已经发出的货物编制。然而,注册会计师可能还要识别这样一种控制,其作用是保证销售发票只有在与一张出库单相匹配时才能开出并登记入账。而另一方面,注册会计师也可能认定不管存在多少种的潜在错报,某一特定的控制(如一个设计合理的检查性控制)自身可以足够有效地实现控制目标。例如,对实际发货数量与开票数量进行定期核对调节的程序本身就足以对销售流程中“存在性”这一目标提供合理保证,并且也能对销售流程中“完整性”这一目标提供合理保证。因此,在这种情况下,注册会计师只需了解对实际发货数量与开票数量进行定期核对调节的控制即可。
在实务中,注册会计师还会特别考虑一项检查性控制发现和纠正错报的能力。例如,将实际发货数量与开票数量进行核对调节的程序,比复核毛利率或进行实际销售和预算销售的比较更能发现未开票的发货,因为进行上述复核或比较的主要目的不是为了查出未开票的发货,也就是说,控制与认定直接或间接相 关;关系越间接,控制对防止或发现并纠正认定错报的效果越小。注册会计师应考虑识别和了解与认定关系更直接、更有效的控制。
当然,如果在之后的穿行测试和评价中,注册会计师发现已识别的控制实际并未得到执行,则应当重新针对该项控制目标识别是否存在其他的控制。
3.记录相关控制。在被审计单位已设置的控制中,如果有可以对应“哪个环节需设置控制”问题的,注册会计师应将其记录于工作底稿,同时记录由谁执行该控制。注册会计师可以通过备忘录、笔记或复印被审计单位相关资料而逐步使信息趋于完整。
如果注册会计师对重要业务流程的记录符合下列条件,可以认为其是充分的:(1)该记录识别了所有重要交易类别;(2)该记录指出在业务处理流程中“在什么环节可能出错”,即在什么环节需要控制;(3)该记录描述了针对“在什么环节可能出错”建立的预防性控制与检查性控制,而且指出这些控制由谁执行以及如何执行。
(五)执行穿行测试,证实对交易流程和相关控制的了解
为了解各类重要交易在业务流程中发生、处理和记录的过程,注册会计师通常会每年执行穿行测试。执行穿行测试可获得下列方面的证据:(1)确认对业务流程的了解;(2)确认对重要交易的了解是完整的,即在交易流程中所有与财务报表认定相关的可能发生错报的环节都已识别;( 3)确认所获取的有关流程中的预防性控制和检查性控制信息的准确性;(4)评估控制设计的有效性;(5)确认控制是否得到执行;(6)确认之前所作的书面记录的准确性。
需要注意的是,如果不打算信赖控制,注册会计师仍需要执行穿行测试以确认以前对业务流程及可能发生错报环节的了解的准确性和完整性。
对于重要的业务流程,不管是人工控制还是自动化控制,注册会计师都要对整个流程执行穿行测试,涵盖交易从发生到记账的过程。当某重要业务流程有显著变化时,注册会计师应当根据变化的性质,及其对相关账户发生重大错报的影响程度,考虑是否需要对变化前后的业务都执行穿行测试。
在执行穿行测试的过程中,注册会计师应当在每一个规定要执行处理程序或控制的环节上,询问被审计单位的员工,以了解他们对岗位职责的理解,并设法判断处理程序和控制是否得到执行。
例如,如果某项控制要求某一员工(复核人)在文件上签名以证明他复核过该份文件,注册会计师应当向其询问复核的性质,即对什么进行复核,复核的要点是什么,并确认注册会计师执行穿行测试时查阅的文件是否签过字,以及签字人是否为被询问的员工。更重要的是,注册会计师应当询问该员工,如果复核过程中发现了文件中的错误或其他差异,按规定他应怎么做。如果可能,注册会计师可以检查发现过错误或其他差异的文件。
如果控制包括定期编制和分析调节表,比如银行存款余额调节表,注册会计师可以考虑:(1)复核一份或几份调节表,以确保所有相关的数据已准确及时地包括在调节表中;(2)关注对异常事项的处理;(3)询问当调节表揭示确实存在或可能存在错误时,应采取什么行动;(4)询问错误是怎么发生的;(5)如果可行的话,获取在调节过程中发现的错误得到改正的证据。
除了追踪文件和表格的实物流转外,注册会计师也会追踪信息系统中的数据和档案信息的流转程序。这种追踪可能包括以下程序:询问了解情况的被审计单位人员;查阅用户手册;在处理业务的终端现场观察处理客户的交易;以及复核输出报告文件的记录。
注册会计师应将对业务流程和相关控制的穿行测试情况,记录于工作底稿。记录的内容包括穿行测试中查阅的文件,穿行测试的程序以及注册会计师的发现和结论。
(六)初步评价和风险评估
1.对控制的初步评价
在识别和了解控制后,根据执行上述程序和获取的审计证据,注册会计师需要评价控制设计的合理性并确定其是否得到执行。
注册会计师对控制的评价结论可能是:(1)所设计的内部控制单独或连同其他控制能够防止或发现并纠正重大错报,并得到执行;(2)控制本身的设计是合理的,但没有得到执行;(3)控制本身的设计就是无效的或缺乏必要的控制。
由于对控制的了解和评价是在穿行测试完成后,但又在测试控制运行有效性之前进行的,因此,上述评价结论只是初步结论,仍可能随控制测试后实施实质性程序的结果而发生变化。
2.风险评估需考虑的因素。
注册会计师对控制的评价,进而对重大错报风险的评估,需考虑以下因素:
(1)账户特征及已识别的重大错报风险。如果已识别的重大错报风险水平为高(例如,复杂的发票计算或计价过程增加了开票错报的风险;经营的季节性特征增加了在旺季发生错报的风险),相关的控制应有较高的敏感度,即在错报率较低的情况下也能防止或发现并纠正错报。相反,如果已发现的重大错报风险水平为低(例如,在一个较小的、劳动力相对稳定的公司中职工薪酬的会计处理未能实现恰当准确性目标的风险),相关的控制就无需具有像重大错报风险较高时那样的敏感性。
(2)对被审计单位整体层面控制的评价。附录1211-1已讨论了注册会计师如何在被审计单位整体层面对控制进行了解和评价。注册会计师应将对整体层面获得的了解和结论,同在业务流程层面获得的有关重大交易流程及其控制的证据结合起来考虑。
在评价业务流程层面的控制要素时,考虑的影响因素可能包括:管理层及执行控制的员工表现出来的胜任能力及诚信度,员工受监督的程度及员工流动的频繁程度;管理层凌驾于控制之上的潜在可能性;缺乏职责划分,包括信息技术系统中自动化的职责划分的情况;所审计期间内部审计人员或其他监督人员测试控制运行情况的程度;业务流程变更所产生的影响,如变更期间控制程序的有效性是否受到了削弱;在被审计单位本身的风险评估过程中,所识别的与某项控制运行相关的风险,以及对于该控制是否有进一步的监督。注册会计师同时也要考虑其识别出针对某控制的风险,被审计单位是否也识别出该风险,并采取了适当的措施来降低该风险。
3.评价决策。
在对控制进行初步评价及风险评估后,注册会计师需要利用实施上述程序获得的信息,回答以下问题:
(1)控制本身的设计是否合理。注册会计师需要根据上述的考虑因素判断,如果识别的控制设计合理,该控制在重要业务流程中单独或连同其他控制能否有效地实现特定控制目标。
(2)控制是否得到执行。如果设计合理的控制没有得到执行,该控制也不会发挥应有的作用。因此,注册会计师需要获取审计证据,评价这类控制是否确实存在,且正在被使用。
(3)是否更多地信赖控制并拟实施控制测试。如果认为被审计单位控制设计合理并得到执行,能够有效防止或发现并纠正重大错报,那么,注册会计师通常可以信赖这些控制,减少拟实施的实质性程序。如果拟更多地信赖这些控制,需要确信所信赖的控制在整个拟信赖期间都有效地发挥了作用,即注册会计师应对这些控制在该期间内是否得到一贯运行进行测试。拟信赖该控制的期间可能是整个年度,也可能是其中某一时段。如果控制测试的结果进一步证实内部控制是有效的,注册会计师可以认为相关账户及认定发生重大错报的可能性较低,对相关账户及认定实施实质性程序的范围也将减少。
有时,注册会计师也可能认为控制是无效的,包括控制本身设计不合理,不能实现控制目标,或者尽管控制设计合理,但没有得到执行。注册会计师不需要测试控制运行的有效性,而直接实施实质性程序。但在评估重大错报风险时,需要考虑控制失效对财务报表及其审计的影响。
需要再次指出的是,除非存在某些可以使控制得到一贯运行的自动化控制,注册会计师对控制的了解和评价并不能够代替对控制运行有效性的测试。例如,注册会计师获得了某一人工控制在某一时点得到执行的审计证据,但这并不能证明该控制在被审计期间内的其他时点也得到有效执行。
有关对控制运行有效性实施的测试(即控制测试),以及如何针对认定层次评估的重大错报风险确定进一步审计程序的性质、时间和范围,参见《中国注册会计师审计准则第 1231号——针对评估的重大错报风险实施的程序》及其指南。
二、对财务报告流程的了解和评估
以上讨论了注册会计师如何在重要业务流程层面了解重大交易生成、处理和记录的流程,并评估在可能发生错报的环节控制的设计和是否得到执行。在实务中,注册会计师还需要进一步了解有关信息从具体交易的业务流程过入总账、财务报表以及相关列报的流程,即财务报告流程及其控制。这一流程和控制与财务报表的列报认定直接相关。
由于财务报告流程将直接影响财务报告,因此,注册会计师应重视对这一重要流程的了解。注册会计师对该流程以及该流程如何与其他重要流程相链接的了解,有助于其识别和评估与财务报表重大错报风险相关的控制。
财务报告流程包括:(1)将业务数据汇总记入总账的程序,即如何将重要业务流程的信息与总账和财务报告系统相连接;(2)在总账中生成、记录和处理会计分录的程序;(3)记录对财务报表常规和非常规调整的程序,如合并调整、重分类等;(4)草拟财务报表和相关披露的程序。
因此,财务报告流程可能包括若干个子流程。例如,编制试算平衡表,汇总、编制、复核和过入会计分录;草拟财务报表和相关披露;编制管理层对财务报表的内部分析等。
被审计单位的财务报告流程也应包括相关的控制程序,以确保按照适用的会计准则和相关会计制度的规定收集、记录、处理、汇总所需要的信息,并在财务报告中予以充分披露。例如,关联方交易、分部报告等。
了解和评估财务报告流程的控制采取的步骤与重要业务流程类似,也包括了解流程(包括上述的子流程,并考虑各个子流程之间如何链接),确定可能发生错报的环节,识别和了解用于防止或发现并纠正错报的控制,执行穿行测试,对控制的设计及是否得到执行进行评估等。
在了解和评估财务报告流程的过程中,注册会计师应当考虑对以下方面作出评估:(1)主要的输入信息,执行的程序,主要的输出信息;(2)每一财务报告流程要素中涉及信息技术的程度;(3)管理层的哪些人员参与其中;(4)记账分录的主要类型,如标准分录、非标准分录;(5)适当人员(包括管理层和治理层)对流程实施监督的性质和范围。
三、在被审计单位重要业务流程层面了解和评价相关控制示例
下面以销售和收款业务流程为例,说明如何在被审计单位重要业务流程层面了解和评价相关控制。需要注意的是,被审计单位的情况千差万别,本示例不可能涵盖所有的情况,在执行财务报表审计业务时,注册会计师应当结合被审计单位实际情况,对示例的流程作出相应的调整和取舍。
(一)了解销售与收款循环业务流程的主要步骤
销售和收款循环在制造企业通常属于重要业务流程,销售收入、应收账款等一般也被确定为存在较高重大错报风险的重大账户,销售和收款通常都是重要交易类别。对某些企业来说,销售退回的处理可能也是重要的交易类别。
销售的交易流程通常可能包括下列主要步骤:
(1)客户下订单及将订单输入系统;
(2)核准信用状况及赊销条款;
(3)填写订单并准备发货;
(4)编制货运单据;
(5)订单运送/递送至客户处或由客户提货;
(6)开具销售发票;
(7)复核发票的准确性并邮寄/送至客户处;
(8)生成销售日记账;
(9)汇总销售日记账,并过账至总账和应收账款明细账。
收款的交易流程通常可能包括下列主要步骤:
(1)对方以现金、支票或银行转账方式结算;
(2)记录所收款项;
(3)将收款存入银行;
(4)更新应收账款账户。
销售退回的交易流程通常可能包括下列主要步骤:
(1)处理销售退回的请求;
(2)批准请求;
(3)收到退货;
(4)编制贷项通知单,即销售方同意贷记购买方应收账款的凭证;
(5)记录销售退回;
(6)更新应收账款账户。
注册会计师应当对上述销售、收款和销售退回的交易流程进行了解。了解的程序包括检查被审计单位相关控制手册和其他书面指引,询问各部门的相关人员,观察操作流程等。例如,注册会计师可能询问销售部门的人员,了解订单处理和开票的流程;也可能询问仓库人员,了解发货的流程;还可能询问会计部门的人员,了解有关账务处理的流程。询问对象包括具体业务人员和主管人员。注册会计师可能考虑流程在各部门之间如何衔接,如单据的流转和核对,以及各部门人员的职责分工等。
注册会计师可以通过文字叙述、流程图等方式记录上述交易流程。
(二)确定错报在什么环节发生
注册会计师应当结合上述了解的结果,确定被审计单位需要在哪些环节设置控制,以防止或发现并纠正交易流程中的错报,即确定错报在什么环节发生。下面将以销售与收款循环为例,列举销售、收款以及销售退回的交易流程 中“错报在什么环节发生 ”的部分问题 ,确定控制目标是否实现(见表1211-7)。
表 1211-7 “错报在什么环节发生”的问题示例表
| “错报在什么环节发生”的问题示例 | 有关重大账户的认定 账户:销售收入/应收账款 |
| 怎样确保所有的销售均已入账? | 完整性 |
| 怎样确保贷项通知单为销售退回开具/记录? | 完整性 |
| 怎样确保发货在正确的期间予以记录? | 完整性/截止 |
| 怎样确保发票和发货单据在发货时开具? | 完整性 |
| 怎样确保销售(包括销售折扣)正确过入销售账簿和客户往来账? | 完整性 |
| 怎样避免记录虚假或重复的销售? | 存在/发生 |
| 怎样确保将货物发运给正确的客户? | 存在/发生 |
| 怎样确保不在发货前开具和记录发票? | 存在/发生 |
| 怎样确保发货单据只在发货时开具? | 存在/发生 |
| 怎样确保发票正确反映发货数量? | 准确性/计价 |
| 怎样确保发票反映正确的价格、折扣和税款? | 准确性/计价 |
| 怎样确保在销售货物或提供服务时及时开具发票? | 完整性/截止 |
| 怎样确保收款来自与产品销售对应的客户? | 存在/发生 |
| 怎样确保款项在收到时予以记录? | 完整性、存在/发生 |
| 怎样确保现金收款/转账在正确的期间入账? | 完整性/截止 |
| 怎样确保收款的编码正确? | 完整性 |
| 怎样确保现金收款不重复入账? | 存在/发生 |
| 怎样确保外币收款正确计价? | 准确性/计价 |
| 怎样确保不记录没有实际收到的现金收入? | 存在/发生 |
| 怎样确保将客户往来账的累计发生数正确过入总账? | 完整性 |
| 怎样确保将所有的贷记通知单均记录于贷记通知单登记簿和客户往来账? | 完整性 |
| 怎样确保贷记通知单上销售退回数量的正确性? | 准确性/计价 |
| 怎样确保贷记通知单上销售退回价格的正确性? | 准确性/计价 |
上述问题不一定适用于所有被审计单位,某些被审计单位的业务流程可能存在其他容易发生错报的环节。注册会计师应根据被审计单位有关交易流程的具体情况设计这些问题。
(三)了解和识别相关控制
附表针对上述“错报在什么环节发生”的问题,给出了可以防止或发现并纠正可能发生错报的相关控制的部分示例。这些控制包括预防性控制和检查性控制。
值得注意的是,某些“错报在什么环节发生”的问题可能涉及几项控制。例如,“怎样确保所有的销售均已入账”这一控制目标可能涉及“总账和明细账根据发货自动更新”、“每月将销售货物的开票数和发运数调节一致”以及“分不同产品/服务和客户对销售进行复核”等多项控制。其中,第一项为预防性控制,后两项为检查性控制。注册会计师应重点考虑某项控制活动单独或连同其他控制活动,是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。例如,“分不同产品/服务和客户对销售进行复核”这一控制的主要目的可能并不是查出未开票的发货,注册会计师应将该项控制与“每月将销售货物的开票数和发运数调节一致”等控制结合起来考虑。
另一方面,某些控制可能涉及多项控制目标。例如,“每月与客户对账”这一控制能够涉及“怎样确保销售(包括销售折扣)正确过入销售账簿和客户往来账”、“怎样避免记录虚假或重复的销售”、“怎样确保将货物发运给正确的客户”以及“怎样确保收款来自与产品销售对应的客户”等多项控制目标。因此,在实务中,为提高审计效率,注册会计师应当考虑了解和识别能针对多项控制目标的控制。
类似地,注册会计师还可以通过询问、观察等审计程序,了解和识别涉及“错报在什么环节发生”的相关控制,并对其结果形成审计工作记录,包括记录控制由谁执行以及如何执行。
需要注意的是,由于被审计单位可能存在容易发生错报的其他环节,或者不存在某些控制,表1211-8中的控制示例不一定适用于所有被审计单位。另一方面,被审计单位也可能存在更多涉及“可能发生错报的环节”的相关控制。注册会计师应当根据被审计单位的实际情况,了解和识别相关的控制。
(四)执行穿行测试,证实对重要交易流程和相关控制的了解,并确定相关控制是否得到执行
注册会计师应当选择一笔或几笔交易进行穿行测试。例如,针对销售交易,追踪从订单处理→核准信用状况及赊销条款→填写订单并准备发货→编制货运单据→订单运送 /递送至客户或由客户提货→开具销售发票→复核发票的准确性并邮寄 /送至客户→生成销售日记账→汇总销售日记账,并过账至总账和应收账款明细账等交易的整个流程,考虑之前对相关控制的了解是否正确和完整,并确定相关控制是否得到执行。
在执行穿行测试时,注册会计师应当询问执行交易流程和控制的相关人员,并根据需要检查有关单据和文件,询问其对已发现的错报的处理。需要注意的是,如果不打算信赖控制,注册会计师仍应执行穿行测试,以确定之前对业务流程及可能发生错报环节的了解是否准确和完整。
最后,注册会计师应当按照本准则的规定,对相关控制的设计和是否得到执行进行评价,以确定进一步审计程序。
表1211-7: 确定错报会在什么环节发生的问题及相关的内部控制示例
行业: 一般制造业 所影响重大账户示例:
销售和收款循环: 销售、收款和销售退回交易流程 销售收入、应收账款,以及现金和银行存款 类型: 常规交易
确定错报会在什么环节发生并且识别出相关的内部控制:
