CPA教材审计2024-第七章风险评估
第七章风险评估
[CPA]实施审计的目的是对[财务报表]整体是否不存在舞弊或错误导致的[重大错报]获取合理保证。风险导向审计模式是当今主流的审计方法,它要求[CPA]实施[风险评估程序],了解[被审计单位及其环境]、适用的[财务报告编制基础]和[内部控制]体系各要素,并识别和评估[[财务报表]层次]及[认定层次]的[重大错报风险],为设计和实施[总体应对措施]和[进一步审计程序],应对评估的[重大错报风险]提供依据。本章和第八章分别介绍如何对[重大错报风险]进行识别和评估及应对,并最终将[审计风险]降至可接受的低水平。
第一节风险识别和评估概述
一、风险识别和评估的概念
在风险导向审计模式下,[CPA]以[重大错报风险]的识别和评估以及应对为审计工作的主线,最终将[审计风险]降至可接受的低水平。风险的识别和评估是[审计风险]控制流程的起点。风险识别和评估,是指[CPA]通过设计、实施[风险评估程序],识别和评估[[财务报表]层次]及[认定层次]的[重大错报风险]。其中,风险识别是指找出[[财务报表]层次]和[认定层次]的[重大错报风险];风险评估是指对[重大错报]发生的可能性和后果严重程度进行评估。
二、风险识别和评估的作用
《中国[CPA]审计准则第1211号——[重大错报风险]的识别和评估》规定,[CPA]应当设计和实施[风险评估程序],以获取审计证据,为识别和评估[[财务报表]层次]及[认定层次][重大错报风险],设计[进一步审计程序]提供依据。
[CPA]应当实施[风险评估程序],以了解[被审计单位及其环境]、适用的[财务报告编制基础]和[内部控制]体系各要素。获得的了解具有重要作用,特别是为[CPA]在下列关键环节作出[职业判断]提供重要基础:
1.确定[重要性]水平,并随着审计工作的进程评估对[重要性]水平的判断是否仍然适当:
2.考虑会计政策的选择和运用是否恰当,以及[财务报表]的列报是否适当;
3.识别与[财务报表]中金额或披露相关的需要特别考虑的领域,包括关联方交易、[管理层]运用[持续经营假设]的合理性,或交易是否具有合理的商业目的等;
4.确定在实施[分析程序]时所使用的预期值;
5.设计和实施[进一步审计程序],以将[审计风险]降至可接受的低水平;
6.评价所获取审计证据的充分性和适当性。
了解[被审计单位及其环境]、适用的[财务报告编制基础]和[内部控制]体系各要素是一个连续和动态地收集、更新与分析信息的过程,贯穿于整个审计过程的始终。[CPA]应当运用[职业判断]确定需要了解的程度。因此,[CPA]的预期可能随着获得的新信息而发生变化。
评价了解的程度是否恰当,关键是看[CPA]获得的了解是否足以为识别、评估[[财务报表]层次]及[认定层次][重大错报风险]和设计[进一步审计程序]提供依据。如果足以为之提供依据,那么,了解的程度就是恰当的。当然,要求[CPA]对[被审计单位及其环境]等方面情况了解的程度,要低于[管理层]为经营管理企业而对[被审计单位及其环境]等方面情况需要了解的程度。
第二节[风险评估程序]、信息来源以及项目组内部的讨论
一、[风险评估程序]和信息来源
[风险评估程序],是指[CPA]为识别和评估[[财务报表]层次]以及[认定层次]的[重大错报风险],而设计和实施的审计程序。[CPA]应当依据实施这些程序所获取的信息,识别和评估[重大错报风险]。
[CPA]在设计和实施[风险评估程序]时,不应当偏向于获取佐证性的审计证据也不应当排斥相矛盾的审计证据。不带倾向性地设计和实施[风险评估程序]以获取支持[重大错报风险]识别和评估的审计证据,可以帮助[CPA]识别潜在的相矛盾的信息,进而帮助[CPA]在识别和评估[重大错报风险]时保持职业怀疑。[CPA]保持职业怀疑可能包括:
(1)质疑相矛盾的信息以及文件的[可靠性];
(2)考虑[管理层]和[治理层]对询问的答复以及从[管理层]和[治理层]获取的其他方面的信息:
(3)对可能表明存在舞弊或错误导致的[错报]的情况保持警觉;
(4)根据被审计单位的性质和具体情况,考虑获取的审计证据是否支持[CPA]对[重大错报风险]的识别和评估。
[CPA]应当实施下列[风险评估程序],以了解[被审计单位及其环境]等方面的情况:(1)询问[管理层]和被审计单位内部其他合适人员,包括内部审计人员;(2)[分析程序]:
(3)观察和检查。
[CPA]在[财务报表]审计中应当实施上述[风险评估程序],但是在了解[被审计单位及其环境]、适用的[财务报告编制基础]和[内部控制]体系各要素的每一方面时无需实施上述所有程序。
[CPA]在实施[风险评估程序]时,可以使用自动化工具和技术,如对大批量数据(如总账、明细账或其他经营数据)进行自动化分析,使用远程观察工具(如无人机)观察或检查资产等。
1.询问[管理层]和被审计单位内部其他合适人员。
这是[CPA]了解[被审计单位及其环境]等方面情况的一个重要信息来源。[CPA]可以考虑向[管理层]和负责财务报告的人员询问下列事项:
(1)[管理层]所关注的主要问题。如新的竞争对手、主要客户和供应商的流失、新的税收法规的实施以及经营目标或战略的变化等;
(2)被审计单位最近的财务状况、经营成果和现金流量;
(3)可能影响财务报告的交易和事项,或者目前发生的重大会计处理问题。如重大的购并事宜等;
(4)被审计单位发生的其他重要变化。如所有权结构、组织结构的变化,以及[内部控制]的变化等。
[CPA]通过询问获取的大部分信息来自[管理层]和负责财务报告的人员。[CPA]也可以通过询问被审计单位内部其他不同层级和职责的适当人员获取信息,这可能为识别和评估[重大错报风险]提供不同的视角。例如:
(1)直接询问[治理层],可能有助于[CPA]了解[治理层]对[管理层]编制[财务报表]的监督程度;
(2)直接询问负责生成、处理或记录复杂或异常交易的员工,可能有助于[CPA]评价被审计单位选择和运用某项会计政策的恰当性;
(3)直接询问内部法律顾问,可能有助于[CPA]了解如诉讼、遵守法律法规的情况、影响被审计单位的舞弊或舞弊嫌疑、产品保证、售后责任、与业务合作伙伴的安排(如合营企业)以及合同条款的含义等事项的有关信息;
(4)直接询问营销人员,可能有助于[CPA]了解被审计单位营销策略的变化销售趋势或与客户的合同安排等;
(5)直接询问风险管理职能部门或人员,可能有助于[CPA]了解可能影响财务报告的经营和监管风险;
(6)直接询问信息技术人员,可能有助于[CPA]了解系统变更、系统或控制失效的情况,或与信息技术相关的其他风险;
(7)直接询问适当的内部审计人员(如有),可能有助于[CPA]在识别和评估风险时了解[被审计单位及其环境]以及[内部控制]体系。
2.实施[分析程序]。
[分析程序]是指[CPA]通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系,对财务信息作出评价。实施[分析程序]有助于[CPA]识别不一致的情形、异常的交易或事项,以及可能对审计产生影响的金额、比率和趋势。识别出的异常或未预期到的关系可以帮助[CPA]识别[重大错报风险],特别是舞弊导致的[重大错报风险]。
[CPA]将[分析程序]用作[风险评估程序],识别[CPA]未注意到的被审计单位某些方面的情况,或了解[固有风险]因素(如相关变化)如何影响“相关认定”(即[CPA]识别出存在[重大错报风险]的[交易类别、账户余额和披露]的认定)易于发生[错报]的可能性,可能有助于识别和评估[重大错报风险]。
[CPA]在将[分析程序]用作[风险评估程序]时,可以:
(1)同时使用财务信息和非财务信息,如分析销售额(财务信息)与卖场的面积(非财务信息)或已出售商品数量(非财务信息)之间的关系;
(2)使用高度汇总的数据。
因此,实施[分析程序]的结果可能大体上初步显示发生[重大错报]的可能性。例如,在对许多被审计单位(包括业务模式、流程和信息系统较不复杂的被审计单位)进行审计时,[CPA]可以对相关信息进行简单的比较,如中期账户余额或月度账户余额与以前期间的余额相比发生的变化,以发现潜在的较高风险领域。
3.观察和检查。
观察和检查程序可以支持对[管理层]和其他相关人员的询问结果,并可以提供有关[被审计单位及其环境]等方面情况的信息,[CPA]应当实施下列观察和检查程序:
(1)观察被审计单位的经营活动。例如,观察被审计单位人员正在从事的生产活动和[内部控制]活动,增加[CPA]对被审计单位人员如何进行生产经营活动及实施[内部控制]的了解。
(2)检查内部文件、记录和[内部控制]手册。例如,检查被审计单位的经营计划、策略、章程,与其他单位签订的合同、协议,各业务流程操作指引和[内部控制]手册等,了解被审计单位组织结构和[内部控制]制度的建立健全情况。
(3)阅读由[管理层]和[治理层]编制的报告。例如,阅读被审计单位年度和中期财务报告,股东大会、董事会会议、高级[管理层]会议的会议记录或纪要,[管理层]的讨论和分析资料,对重要经营环节和外部因素的评价,被审计单位内部管理报告以及其他特殊目的的报告(如新投资项目的可行性分析报告)等,了解自上一期审计结束至本期审计期间被审计单位发生的重大事项。
(4)实地察看被审计单位的生产经营场所和厂房设备。通过现场访问和实地察看被审计单位的生产经营场所和厂房设备,可以帮助[CPA]了解被审计单位的性质及其经营活动。在实地察看被审计单位的厂房和办公场所的过程中,[CPA]有机会与被审计单位[管理层]和担任不同职责的员工进行交流,可以增强[CPA]对被审计单位的经营活动及其重大影响因素的了解。
(5)追踪交易在财务报告信息系统中的处理过程([穿行测试])。这是[CPA]了解被审计单位业务流程及其相关控制时经常使用的审计程序。通过追踪某笔或某几笔交易在业务流程中如何生成、记录、处理和报告,以及相关控制如何执行,[CPA]可以确定被审计单位的交易流程和相关控制是否与之前通过其他程序所获得的了解一致,并确定相关控制是否得到执行。
(6)检查外部来源的信息
二、[其他审计程序]和信息来源
1.[其他审计程序]。
除了采用上述程序从被审计单位内部获取信息以外,如果根据[职业判断]认为从被审计单位外部获取的信息有助于识别[重大错报风险],[CPA]应当实施[其他审计程序]以获取这些信息。例如,直接或间接从特定外部机构(如监管机构)获取;获取被审计单位的公开信息,如被审计单位发布的新闻稿、分析师或投资者会议的材料、分析师报告或与交易活动有关的信息;询问被审计单位聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等。不论内部和外部信息的来源如何,[CPA]都需要考虑用作审计证据的信息的相关性和[可靠性]。
2.[其他信息]来源。
[CPA]应当考虑在评价客户关系和审计业务的接受或保持过程中获取的信息是否与识别[重大错报风险]相关。通常,对新的审计业务,[CPA]应在业务承接阶段对[被审计单位及其环境]等方面情况有一个初步的了解,以确定是否承接该业务。而对连续审计业务,也应在每年的续约过程中对上年审计作总体评价,并更新对被审计单位的了解和风险评估结果,以确定是否续约。[CPA]还应当考虑向被审计单位提供其他服务(如执行中期[财务报表]审阅业务)所获得的经验是否有助于识别[重大错报风险]。
对于连续审计业务,如果拟利用以往与被审计单位交往的经验和以前审计中实施审计程序获取的信息,[CPA]应当确定[被审计单位及其环境]等方面情况自以前审计后是否已发生变化,并评价这些经验和信息是否依然相关和可靠。例如,通过前期审计获取的有关被审计单位组织结构、生产经营活动和[内部控制]的审计证据,以及有关以往的[错报]和[错报]是否得到及时更正的信息,可以帮助[CPA]评估本期[财务报表]的[重大错报风险]。但值得注意的是,[被审计单位及其环境]等方面情况的变化可能导致此类信息在本期审计中已不具有相关性。例如,[CPA]前期已经了解了[内部控制]的设计和执行情况,但[被审计单位及其环境]等方面的情况可能在本期发生变化,导致[内部控制]也发生相应变化。在这种情况下,[CPA]需要实施询问和其他适当的审计程序(如[穿行测试]),以确定该变化是否可能影响此类信息在本期审计中的相关性。
三、项目组内部的讨论
项目组内部的讨论在所有业务阶段都非常必要,可以保证所有事项得到恰当的考虑。通过安排具有较丰富经验的成员(如[项目合伙人])参与项目组内部的讨论,其他成员可以分享其见解和以往获取的被审计单位的经验。《中国[CPA]审计准则第1211号——[重大错报风险]的识别和评估》要求,[项目合伙人]和项目组其他关键成员应当讨论被审计单位[财务报表]易于发生[重大错报]的可能性,以及如何根据被审计单位的具体情况运用适用的[财务报告编制基础]。[项目合伙人]应当确定向未参与讨论的项目组成员通报哪些事项。作为项目组内部讨论的一部分,考虑适用的[财务报告编制基础]中的披露要求有助于[CPA]在审计工作的早期识别可能存在的与披露相关的[重大错报风险]领域。
(一)讨论的目的
项目组内部进行的上述讨论可以达到下列目的:(1)使经验较丰富的项目组成员(包括[项目合伙人])有机会分享其根据对被审计单位的了解形成的见解,共享信息有助于增进所有项目组成员对项目的了解;(2)使项目组成员能够讨论被审计单位面临的经营风险,[固有风险]因素如何影响各类[交易、账户余额、披露]易于发生[错报]的可能性,以及[财务报表]易于发生舞弊或错误导致的[重大错报]的方式和领域;(3)帮助项目组成员更好地了解在各自负责的领域中潜在的[财务报表][重大错报],并了解各自实施的审计程序的结果可能如何影响审计的其他方面,包括对确定[进一步审计程序]的[性质、时间安排和范围]的影响。特别是讨论可以帮助项目组成员基于各自对被审计单位性质和情况的了解,进一步考虑相矛盾的信息;(4)为项目组成员交流和分享在审计过程中获取的、可能影响[重大错报风险]评估结果或应对这些风险的审计程序的新信息提供基础。
(二)讨论的内容
讨论的内容和范围受项目组成员的职位、经验和所需要的信息的影响。表7-1列示了讨论的三个主要领域和可能涉及的信息。
表7-1项目组讨论内容例示
微信截图_20240517093753.png
(三)参与讨论的人员
[CPA]应当运用[职业判断]确定项目组内部参与讨论的成员。项目组的关键成员应当参与讨论,如果项目组需要拥有信息技术或其他特殊技能的专家,这些专家也可根据需要参与讨论。参与讨论人员的范围受项目组成员的职责经验和信息需要的影响,例如,在跨地区审计中,每个重要地区项目组的关键成员都应该参加讨论,但不要求所有成员每次都参与项目组的讨论。
(四)讨论的时间和方式
项目组应当根据审计的具体情况,在整个审计过程中持续交换有关[财务报表]发生[重大错报]可能性的信息。
按照《中国[CPA]审计准则第1101号——[CPA]的总体目标和审计工作的基本要求》的规定,在计划和实施审计工作时,[CPA]应当保持职业怀疑,认识到可能存在导致[财务报表]发生[重大错报]的情形。项目组在讨论时应当强调在整个审计过程中保持职业怀疑,警惕可能发生[重大错报]的迹象,并对这些迹象进行严格追踪。通过讨论,项目组成员可以交流和分享在整个审计过程中获得的信息,包括可能对[重大错报风险]评估产生影响的信息或针对这些风险实施审计程序的信息。
项目组还可以根据实际情况讨论其他重要事项。
第三节了解[被审计单位及其环境]和适用的[财务报告编制基础]
一、总体要求
[CPA]应当实施[风险评估程序],以了解下列三个方面:
1.[被审计单位及其环境],包括:
(1)组织结构、所有权和治理结构、业务模式(包括该业务模式利用信息技术的程度);
(2)行业形势、法律环境、监管环境和其他外部因素;
(3)财务业绩的衡量标准,包括内部和外部使用的衡量标准。
2.适用的[财务报告编制基础]、会计政策以及变更会计政策的原因
基于对上述第1项和第2项的了解,被审计单位在按照适用的[财务报告编制基础]编制[财务报表]时,[固有风险]因素怎样影响各项认定易于发生[错报]的可能性以及影响的程度。
3.被审计单位[内部控制]体系各要素。
上述了解的第1项中第(2)点是被审计单位的外部环境,第1项中第(1)点、第2项、第3项是被审计单位的内部因素,第1项中第(3)点则既有外部因素也有内部因素。值得注意的是,上述了解的各个方面可能会互相影响。例如,被审计单位的行业形势、法律环境、监管环境和其他外部因素可能影响到被审计单位的目标、战略以及相关经营风险,而被审计单位的性质、目标、战略以及相关经营风险可能影响到被审计单位对会计政策的选择和运用,以及[内部控制]的设计和执行。因此,[CPA]在对上述各个方面进行了解和评价时,应当考虑各因素之间的相互关系。
实施[风险评估程序]进行了解的性质和范围,取决于被审计单位的性质和具体情况,如被审计单位的规模和复杂程度(包括信息技术环境),被审计单位政策和程序、业务流程和体系的标准化程度,[CPA]以往与被审计单位或类似行业、类似企业交往的经验,被审计单位文件记录的性质和形式等。在首次执行某项审计业务时,[风险评估程序]的性质和范围可能比执行连续审计业务的情况下更为广泛;在后续期间,[CPA]可以重点关注自上一期间后发生的变化。识别被审计单位在上述各个方面与以前期间相比发生的重大变化,对于充分了解被审计单位情况、识别和评估[重大错报风险]尤为重要[CPA]应当运用[职业判断]来确定为遵守审计准则的要求而需要实施的[风险评估程序]的性质和范围。
本节阐述如何了解[被审计单位及其环境]和适用的[财务报告编制基础],第四节阐述如何了解被审计单位[内部控制]体系各要素。
二、组织结构、所有权和治理结构、业务模式
(一)组织结构
复杂的组织结构通常更有可能导致某些特定的[重大错报风险]。[CPA]应当了解被审计单位的组织结构,考虑复杂组织结构可能导致的[重大错报风险],包括[财务报表]合并、商誉以及长期股权投资核算等问题,以及[财务报表]是否已对这些问题作了充分披露。
例如,对于在多个地区拥有子公司、合营企业、联营企业或其他成员机构,或者存在多个业务分部和地区分部的被审计单位,不仅编制合并[财务报表]的难度增加,还存在其他可能导致[重大错报风险]的复杂事项,包括对于子公司、合营企业、联营企业和其他股权投资类别的判断及其会计处理等。
(二)所有权结构
[CPA]应当了解所有权结构以及所有者与其他人员或实体之间的关系,包括关联方,考虑关联方关系是否已经得到识别,以及关联方交易是否得到恰当会计处理。例如,[CPA]应当了解被审计单位是属于国有企业、外商投资企业、民营企业,还是属于其他类型的企业,还应当了解其直接控股母公司、间接控股母公司、最终控股母公司和其他股东的构成,以及所有者与其他人员或实体(如控股母公司控制的其他企业)之间的关系。同时,[CPA]可能需要对其控股母公司(股东)的情况作进一步的了解,包括控股母公司的所有权性质、管理风格及其对被审计单位经营活动及[财务报表]可能产生的影响;控股母公司与被审计单位在资产、业务、人员、机构、财务等方面是否分开,是否存在占用资金等情况;控股母公司是否施加压力,要求被审计单位达到其设定的财务业绩目标。
[CPA]还应当了解所有者、[治理层]、[管理层]之间的区别。例如,在较不复杂的被审计单位中,所有者可能参与管理被审计单位,因此,所有者、[治理层]、[管理层]之间只有很小的区别或没有区别。相反,在某些上市实体中,三者之间可能存在明确的区分。
(三)治理结构
良好的治理结构可以对被审计单位的经营和财务运作以及财务报告实施有效的监督从而降低[财务报表]发生[重大错报]的风险。[CPA]应当了解被审计单位的治理结构。
[CPA]可以考虑下列事项,以了解治理结构:(1)[治理层]人员是否参与对被审计单位的管理:(2)董事会中的非执行人员(如有)是否与负责执行的[管理层]相分离;(3)[治理层]人员是否在被审计单位法律上的组织结构下的[组成部分]中任职,例如担任董事;(4)[治理层]是否下设专门机构(如审计委员会)以及该专门机构的责任;(5)[治理层]监督财务报告的责任,包括批准[财务报表]。[CPA]应当考虑[治理层]是否能够在独立于[管理层]的情况下对被审计单位事务包括财务报告作出客观判断。
(四)业务模式
了解业务模式主要是为了了解和评价被审计单位经营风险可能对[财务报表][重大错报风险]产生的影响。
[CPA]了解被审计单位的目标、战略和业务模式有助于从战略层面和[整体层面]了解被审计单位,并了解被审计单位承担和面临的经营风险。由于多数经营风险最终都会产生财务后果,从而影响[财务报表],因此,了解影响[财务报表]的经营风险有助于[CPA]识别[重大错报风险]。例如,不同业务模式的被审计单位可能以不同方式依赖对信息技术的使用:
(1)被审计单位在实体店销售A产品,并使用先进的库存和销售终端系统记录产品的销售;
(2)被审计单位在线销售A产品,所有销售交易均在信息技术环境中处理,包括通过网站发起交易。
对于以上两类被审计单位,尽管二者都从事A产品销售,但由于业务模式明显不同,因此产生的经营风险也有显著差异。
[CPA]并非需要了解被审计单位业务模式的所有方面。经营风险比[财务报表][重大错报风险]范围更广,[CPA]没有责任了解或识别所有的经营风险,因为尽管多数经营风险最终都会导致财务后果,从而影响[财务报表],但并非所有的经营风险都会导致[重大错报风险]。
所谓经营风险是指可能对被审计单位实现目标和实施战略的能力产生不利影响的重要状况、事项、情况、作为(或不作为)所导致的风险,或由于制定不恰当的目标和战略而导致的风险。不同的企业可能面临不同的经营风险,这取决于企业经营的性质、所处行业、外部监管环境、企业的规模和复杂程度。[管理层]有责任识别和应对这些风险。
导致[财务报表]产生[重大错报风险]的可能性有所增加的经营风险可能来自下列事项:
(1)目标或战略不恰当,未能有效实施战略,环境的变化或经营的复杂性。
(2)未能认识到变革的必要性也可能导致经营风险。例如:
①开发新产品或服务可能失败;
②即使成功开拓了市场,也不足以支撑产品或服务;
③产品或服务存在瑕疵,可能导致法律责任及声誉方面的风险。
(3)对[管理层]的激励和压力措施可能导致有意或无意的[管理层]偏向,并因此影响重大假设以及[管理层]或[治理层]预期的合理性。
[CPA]在了解可能导致[财务报表][重大错报风险]的业务模式、目标、战略及相关经营风险时,可以考虑下列事项:
(1)行业发展,例如,缺乏足以应对行业变化的人力资源和业务专长;
(2)开发新产品或提供新服务,这可能导致被审计单位的产品责任增加;
(3)被审计单位的业务扩张,被审计单位对市场需求的估计可能不准确;
(4)新的会计政策要求,被审计单位可能对其未完全执行或执行不当;
(5)监管要求,这可能导致法律责任增加;
(6)本期及未来的融资条件,例如被审计单位由于无法满足融资条件而失去融资机会;
(7)信息技术的运用,例如,新的信息技术系统的实施将影响经营和财务报告
(8)实施战略的影响,特别是由此产生的需要运用新的会计政策要求的影响。
[CPA]在了解被审计单位业务模式时,包括了解下列活动:
(1)经营活动。了解被审计单位经营活动有助于[CPA]识别预期在[财务报表]中反映的主要交易类别、重要账户余额和披露。[CPA]可能需要考虑从下列方面了解经营活动:
①收入来源(包括主营业务的性质)、产品或服务以及市场的性质(包括产品或服务的种类、付款条件、利润率、市场份额、竞争者、出口、定价政策、产品声誉、质量保证、营销策略和目标、电子商务如网上销售和营销活动);
②业务的开展情况(如生产阶段与生产方法,易受环境风险影响的活动);
③联盟、合营与外包情况;
④地区分布与行业细分;
⑤生产设施、仓库和办公室的地理位置,存货存放地点和数量;
⑥关键客户及货物和服务的重要供应商,劳动用工安排(包括是否存在退休金和其他退休福利、股票期权或激励性奖金安排以及与劳动用工事项相关的政府法规);
⑦研究与开发活动及其支出;
⑧关联方交易。
(2)投资活动。了解被审计单位投资活动有助于[CPA]关注被审计单位在经营策略和方向上的重大变化。[CPA]可能需要考虑从下列方面了解投资活动:
①计划实施或近期已实施的并购或资产处置:
②证券与贷款的投资和处置;
③资本性投资活动;
④对未纳入合并范围的实体的投资,包括非控制合伙企业、合营企业和非控制特殊目的实体。
(3)筹资活动。了解被审计单位筹资活动有助于[CPA]评估被审计单位在融资方面的压力,并进一步考虑被审计单位在可预见未来的持续经营能力。[CPA]可能需要考虑从下列方面了解筹资活动:
①主要子公司和联营企业(无论是否纳人合并范围)的所有权结构;
②债务结构和相关条款,包括资产负债表外融资和租赁安排;
③实际受益方(例如,实际受益方来自国内还是国外,其商业声誉和经验可能对被审计单位产生的影响)及关联方;
④衍生金融工具的使用。
了解被审计单位的活动特别是经营活动,也有助于[CPA]了解影响财务报告的重要会计政策、交易或事项。
三、行业形势、法律环境、监管环境及其他外部因素
(一)行业形势
了解行业形势有助于[CPA]识别与被审计单位所处行业有关的[重大错报风险]。被审计单位经营所处的行业可能由于其经营性质或监管程度导致产生特定的[重大错报风险]。例如,在建造行业中,长期合同可能涉及对收入和费用作出重要估计,从而导致[重大错报风险]。在这种情况下,项目组中包括具有适当胜任能力的成员是很重要的。
[CPA]应当了解被审计单位的行业形势,主要包括:(1)所处行业的市场与竞争,包括市场需求、生产能力和价格竞争;(2)生产经营的季节性和周期性;(3)与被审计单位产品相关的生产技术发展;(4)能源供应与成本,
具体而言,[CPA]可能需要了解以下情况:
(1)被审计单位所处行业的总体发展趋势是什么?
(2)处于哪一发展阶段,如起步、快速成长、成熟或衰退阶段?
(3)所处市场的需求、市场容量和价格竞争如何?
(4)该行业是否受经济周期波动的影响,以及采取了什么行动使波动产生的影响最小化?
(5)该行业受技术发展影响的程度如何?
(6)是否开发了新的技术?
(7)能源消耗在成本中所占比重,能源价格的变化对成本的影响。
(8)谁是被审计单位最重要的竞争者,它们各自所占的市场份额是多少?
(9)被审计单位与其竞争者相比主要的竞争优势是什么?
(10)被审计单位业务的增长率和财务业绩与行业的平均水平及主要竞争者相比如何?存在重大差异的原因是什么?
(11)竞争者是否采取了某些行动,如购并活动、降低销售价格、开发新技术等,从而对被审计单位的经营活动产生影响?
(12)供应商和客户关系;
(13)行业关键指标和统计数据。
(二)法律环境与监管环境
被审计单位在日常经营管理活动中应当遵守相关法律法规和监管要求。[CPA]了解被审计单位法律环境与监管环境的主要原因有:(1)某些法律法规或监管要求可能对被审计单位经营活动有重大影响,如不遵守将导致停业等严重后果:(2)某些法律法规或监管要求(如环保法规等)规定了被审计单位某些方面的责任和义务;(3)某些法律法规或监管要求决定了被审计单位需要遵循的行业惯例和核算要求。
[CPA]应当了解被审计单位所处的法律环境与监管环境,主要包括:(1)适用的[财务报告编制基础];(2)受管制行业的法规框架,包括披露要求;(3)对被审计单位经营活动产生重大影响的法律法规,如劳动法和相关法规;(4)税收相关法律法规:(5)目前对被审计单位开展经营活动产生影响的政府政策,如货币政策(包括外汇管制)、财政政策、财政刺激措施(如政府援助项目)、关税或贸易限制政策等;(6)影响行业和被审计单位经营活动的环保要求。
《中国[CPA]审计准则第1142号——[财务报表]审计中对法律法规的考虑》包含了与适用于被审计单位及其所在行业或领域的法律法规框架相关的特定要求。
(三)其他外部因素
[CPA]应当了解影响被审计单位的其他外部因素,主要包括总体经济情况、利融资的可获得性、通货膨胀水平或币值变动等。
具体而言,[CPA]可能需要了解以下情况:
1.当前的宏观经济状况以及未来的发展趋势如何?
2.目前国内或本地区的经济状况(如增长率、通货膨胀率、失业率、利率等)怎样影响被审计单位的经营活动?
3.被审计单位的经营活动是否受到汇率波动或全球市场力量的影响?
(四)了解的重点和程度
[CPA]对上述外部因素了解的范围和程度,因被审计单位所处行业、规模以及其他因素(如市场地位)的不同而不同。例如,对从事计算机硬件制造的被审计单位,[CPA]可能更关心市场和竞争以及技术进步的情况;对金融企业,[CPA]可能更关心宏观经济走势以及货币、财政等方面的宏观经济政策;对化工等产生污染的行业[CPA]可能更关心相关环保法规。[CPA]可以考虑将了解的重点,放在对被审计单位的经营活动可能产生重要影响的关键外部因素,以及与前期相比发生的重大变化上。
[CPA]应当考虑被审计单位所在行业的性质或监管程度是否可能导致特定的[重大错报风险],并考虑项目组是否配备了具有相关知识和经验的成员。例如,建筑行业长期合同涉及收入和成本的重大估计,可能导致[重大错报风险];银行监管机构对商业银行的资本充足率有专门规定,不能满足这一监管要求的商业银行可能有操纵[财务报表]的动机和压力。
四、被审计单位财务业绩的衡量标准
被审计单位[管理层]经常会衡量和评价关键业绩指标(包括财务的和非财务的)完成情况、预算及差异分析报告、分部信息和分支机构、部门或其他层次的业绩报告以及与竞争对手的业绩[比较信息]等。通过询问[管理层]等程序,了解用于评价被审计单位财务业绩的衡量标准,有助于[CPA]考虑这些内部或外部的衡量标准,是否会导致被审计单位面临实现业绩目标的压力。这些压力可能促使[管理层]采取某些措施,从而增加易于发生由[管理层]偏向或舞弊导致的[错报]的可能性(如改善经营业绩或有意歪曲[财务报表])。
此外,外部机构或人员(如分析师或信用机构,新闻和其他媒体,税务机关,监管机构,商会和资金提供方)也可能评价和分析被审计单位的财务业绩。[CPA]可以考虑获取这些可公开获得的信息,以帮助其进一步了解业务并识别相矛盾的信息。
(一)了解的主要方面
在了解被审计单位财务业绩衡量和评价情况时,[CPA]可关注下列用于评价财务业绩的标准:
1.关键业绩指标(财务的或非财务的)、关键比率、趋势和经营统计数据:
2.同期财务业绩比较分析;
3.预算、预测、差异分析,分部信息与分部、部门或其他不同层次的业绩报告;
4.员工业绩考核与激励性报酬政策;
5.被审计单位与竞争对手的业绩比较,
(二)关注内部财务业绩衡量的结果
内部财务业绩衡量可能显示未预期到的结果或趋势。在这种情况下,[管理层]通常会进行调查并采取纠正措施。与内部财务业绩衡量相关的信息,可能显示[财务报表]存在[错报]风险,例如,内部财务业绩衡量可能显示,被审计单位与同行业其他单位相比,具有异常的增长率或盈利水平,此类信息如果与业绩奖金或激励性报酬等因素结合起来考虑可能显示[管理层]在编制[财务报表]时存在某种倾向的[错报]风险。因此,[CPA]可以关注被审计单位内部财务业绩衡量所显示的未预期到的结果或趋势、[管理层]的调查结果和纠正措施,以及相关信息是否显示[财务报表]可能存在[重大错报]。
(三)考虑财务业绩衡量指标的[可靠性]
如果拟利用被审计单位内部信息系统生成的财务业绩衡量指标,[CPA]应当考虑相关信息是否可靠,以及利用这些信息是否足以实现审计目标。许多财务业绩衡量中使用的信息可能由被审计单位的信息系统生成。如果被审计单位[管理层]在没有合理基础的情况下,认为内部生成的衡量财务业绩的信息是准确的,而实际上信息有误,那么根据有误的信息得出的结论也可能是错误的。如果[CPA]计划在审计中(如在实施[分析程序]时)利用财务业绩指标,应当考虑相关信息是否可靠,以及在实施审计程序时利用这些信息是否足以发现[重大错报]。
(四)对小型被审计单位的考虑
小型被审计单位通常没有正式的财务业绩衡量和评价程序,[管理层]往往依据某些关键指标,作为评价财务业绩和采取适当行动的基础,[CPA]可以了解[管理层]使用的关键指标。
需要强调的是,[CPA]了解被审计单位财务业绩的衡量与评价,是为了考虑[管理层]是否面临实现某些关键财务业绩指标的压力。此外,了解[管理层]认为重要的关键业绩指标,有助于[CPA]深入了解被审计单位的目标和战略。这些压力既可能源于需要达到市场分析师或股东的预期,也可能产生于达到获得股票期权或[管理层]和员工奖金的目标。受压力影响的人员可能是高级管理人员(包括董事会),也可能是可操纵[财务报表]的其他经理人员,如子公司或分支机构管理人员可能为达到奖金目标而操纵[财务报表]。
在评价[管理层]是否存在歪曲[财务报表]的动机和压力时,[CPA]还可以考虑可能存在的其他情形。例如,企业或企业的一个主要[组成部分]是否有可能被出售;[管理层]是否希望维持或提升企业的股价或盈利走势,而热衷于采用过度激进的会计方法;基于纳税的考虑,股东或[管理层]是否有意采取不适当的方法使盈利最小化;企业是否持续增长和接近财务资源的最大限度;企业的业绩是否急剧下降,可能存在终止上市的风险;企业是否具备足够的可分配利润或现金流量,以维持目前的利润分配水平;如果公布欠佳的财务业绩,对重大未决交易(如企业合并或新业务合同的签订)是否可能产生不利影响;企业是否过度依赖银行借款,而财务业绩又可能达不到借款合同对财务指标的要求,这些情况都显示,[管理层]在面临重大压力时,可能粉饰财务业绩,发生[舞弊风险]。
五、适用的[财务报告编制基础]、会计政策及变更会计政策的原因
[CPA]应当了解适用的[财务报告编制基础]、会计政策及变更会计政策的原因并评价被审计单位的会计政策是否适当、是否与适用的[财务报告编制基础]一致。
在了解被审计单位适用的[财务报告编制基础],以及如何根据[被审计单位及其环境]的性质和情况运用该编制基础时,[CPA]可能需要考虑的事项包括:
1.被审计单位与适用的[财务报告编制基础]相关的财务报告实务,例如:
(1)会计政策和行业特定惯例,包括特定行业[财务报表]中的“相关[交易类别、账户余额和披露]”(如银行业的贷款和投资、医药行业的研究与开发活动);
(2)收入确认;
(3)金融工具以及相关信用损失的会计处理!
(4)外币资产、负债与交易;
(5)异常或复杂交易(包括在有争议或新兴领域的交易)的会计处理(如对加密货币的会计处理);
2.就被审计单位对会计政策的选择和运用(包括发生的变化以及变化的原因)获得的了解,可能包括下列事项:
(1)被审计单位用于确认、计量和列报(包括披露)重大和异常交易的方法;
(2)在缺乏权威性标准或共识的争议或新兴领域采用重要会计政策产生的影响;
(3)环境变化,例如适用的[财务报告编制基础]的变化或税制改革可能导致被审计单位的会计政策变更;
(4)新颁布的会计准则、法律法规,被审计单位采用的时间以及如何采用或遵守这些规定。
值得注意的是,这里的“相关[交易类别、账户余额和披露]”,是指存在“相关认定的[交易类别、账户余额和披露]。
了解[被审计单位及其环境],可能有助于[CPA]考虑被审计单位财务报告预期发生变化(如相比以前期间)的领域。例如,如果被审计单位在本期发生重大企业合并则[CPA]可以预期与该企业合并相关的各类[交易、账户余额、披露]发生变化。相反如果[财务报告编制基础]在本期未发生重大变化,则[CPA]的了解可能有助于其确认上期获取的了解仍然适用。
六、了解[固有风险]因素如何影响认定易于发生[错报]的可能性
(一)[固有风险]因素的概念
[固有风险]因素,是指在不考虑[内部控制]的情况下,导致[交易类别、账户余额和披露]的某一认定易于发生[错报] (无论该[错报]是舞弊还是错误导致)的因素。[固有风险]因素可能是定性或定量的,包括复杂性、主观性、变化、不确定性以及[管理层]偏向和其他[舞弊风险]因素。在了解[被审计单位及其环境]和适用的[财务报告编制基础]时,[CPA]还应当了解被审计单位在按照适用的[财务报告编制基础]编制[财务报表]时,[固有风险]因素如何影响各项认定易于发生[错报]的可能性。
(二)了解[固有风险]因素的重要作用
了解[被审计单位及其环境]和适用的[财务报告编制基础],有助于[CPA]识别可能导致各类[交易、账户余额、披露]的认定易于发生[错报]的[固有风险]因素。[固有风险]因素可能通过影响:(1)[错报]发生的可能性;以及(2)[错报]发生时其可能的严重程度,来影响认定易于发生[错报]的可能性。
了解[固有风险]因素如何影响认定易于发生[错报]的可能性,有助于[CPA]初步了解[错报]发生的可能性和严重程度,并帮助[CPA]按照审计准则的规定识别[认定层次]的[重大错报风险]。了解[固有风险]因素在何种程度上影响认定易于发生[错报]的可能性,还有助于[CPA]在按照审计准则的规定评估[固有风险]时,评估[错报]发生的可能性和严重程度。因此,了解[固有风险]因素也可以帮助[CPA]按照《中国[CPA]审计准则第1231号——针对评估的[重大错报风险]采取的应对措施》的规定设计和实施[进一步审计程序]。
值得注意的是,[CPA]对[认定层次][重大错报风险]的识别和对[固有风险]的评估也可能受到其从实施的其他[风险评估程序]、[进一步审计程序]或为满足相关审计准则的其他要求而实施的审计程序中获取的审计证据的影响。
(三)与适用的[财务报告编制基础]要求的信息编制相关的[固有风险]因素
与适用的[财务报告编制基础]要求的信息(以下简称所需信息)编制相关的[固有风险]因素包括:
1.复杂性。
这是由信息的性质或编制所需信息的方式导致的,包括编制过程本身较为复杂的情况。例如,下列情况可能导致较高的复杂性:
(1)计算供应商返利准备。这是因为计算供应商返利准备可能有必要考虑与很多不同供应商签订的不同商业条款,或与计算到期返利相关的很多相互关联的商业条款;
(2)如果在作出会计估计时存在许多具有不同特征的潜在数据来源,那么,该数据的处理涉及很多相互关联的步骤,因此,这些数据本身较难识别、获取、访问、了解或处理。
2.主观性。
由于知识或信息的可获得性受到限制,客观编制所需信息的能力存在固有局限性因此,[管理层]可能需要对采取的适当方法和[财务报表]中的相关信息作出选择或主观判断。由于编制所需信息的方法不同,适当地运用适用的[财务报告编制基础]可能也会导致不同结果。随着知识或数据受到更多的限制,具有适当知识和独立性的人员作出判断的主观性以及可能的判断结果的多样性也将有所增加。
3.变化。
随着时间的变化,被审计单位的经营、经济环境、会计、监管、所处行业或经营环境中其他方面的事项或情况也会产生变化,其影响反映在所需信息中。这些事项或情况的变化可能在财务报告期间内或不同期间之间发生。例如,变化可能是由于适用的[财务报告编制基础]的要求、被审计单位及其业务模式或经营环境的变化导致的。这些变化可能影响[管理层]的假设和判断,包括[管理层]对会计政策的选择、如何作出会计估计或如何确定相关披露。
4.不确定性。
不能仅通过直接观察可验证的充分精确和全面的数据编制所需信息时,会导致不确定性。在这种情况下,可能需要运用具备的知识并采用适当的方法,尽可能使用充分精确和全面的可观察数据以及能够被最适当的可用数据所支持的合理假设来编制信息。获取知识或数据的能力受到限制,且[管理层]不能控制这些限制(包括受到成本的限制),是产生不确定性的原因。该不确定性对编制所需信息的影响无法消除。例如,如果无法精确确定所需的货币金额并且在[财务报表]完成日之前无法确定估计的结果,则会导致估计不确定性。
5.[管理层]偏向和其他[舞弊风险]因素。
[管理层]偏向的可能性,是由于[管理层]有意或无意地在信息编制过程中未保持中立而导致的。[管理层]偏向通常与特定情况相关,这些情况可能导致[管理层]在作出判断时未保持中立(潜在[管理层]偏向的迹象),从而导致信息产生[重大错报],如果[管理层]是故意的,则导致舞弊。这些迹象包括影响[固有风险]的使[管理层]不保持中立的动机或压力(例如,追求实现预期结果,如预期利润目标或资本比率)以及机会。《(中国[CPA]审计准则第1141号——[财务报表]审计中与舞弊相关的责任)应用指南》说明了与易于发生由编制虚假财务报告或侵占资产等形式的舞弊导致的[错报]的可能性相关的因素。
如果复杂性是[固有风险]因素,那么信息编制可能固有地需要较复杂的过程,并且这些过程本身可能难以执行。因此,执行这些过程可能需要专业技术或知识,并可能需要利用[管理层]的专家。
如果[管理层]的判断主观性较高,则由[管理层]偏向(无论无意或故意)导致易于发生[错报]的可能性也可能有所提升。例如,在作出具有高度估计不确定性的会计估计时,可能涉及[管理层]的重大判断,与方法、数据和假设相关的结论可能反映出无意或故意的[管理层]偏向。
(四)[固有风险]因素对某类[交易、账户余额、披露]的影响
某类[交易、账户余额、披露]由于其复杂性或主观性而导致易于发生[错报]的可能性通常与其变化或不确定性的程度密切相关。例如,如果被审计单位存在一项基于假设的会计估计,其选择涉及重大判断,则这项会计估计的计量可能受到主观性和不确定性的影响。
某类[交易、账户余额、披露]由于其复杂性或主观性而导致易于发生[错报]的可能性越大,[CPA]越有必要保持职业怀疑。此外,如果某类[交易、账户余额、披露]由于其复杂性、主观性、变化或不确定性而导致易于发生[错报],这些[固有风险]因素可能为[管理层]偏向(无论无意或有意)创造了机会,并影响由[管理层]偏向导致的易于发生[错报]的可能性。[CPA]对[重大错报风险]的识别和[认定层次][固有风险]的评估,也受到[固有风险]因素之间相互关系的影响。
某些事项或情况影响由[管理层]偏向因素导致易于发生[错报]的可能性,这些事项也可能影响由其他[舞弊风险]因素导致易于发生[错报]的可能性。因此,这些信息可能与《中国[CPA]审计准则第1141号——[财务报表]审计中与舞弊相关的责任》相关,该准则要求[CPA]评价通过其他[风险评估程序]和相关活动获取的信息,是否表明存在[舞弊风险]因素。
(五)可能表明[财务报表]存在[重大错报风险]的事项和情况
以下是按照[固有风险]因素分类,说明可能导致[财务报表]存在[[财务报表]层次]或[认定层次][重大错报风险]的事项和情况(包括交易)的示例。这些事项和情况涵盖范围广泛,但不一定完整,且并非所有的事项和情况都与每项审计业务相关。这些事项和情况按照对相关情形影响最大的[固有风险]因素分类列示。需要注意的是,由于[固有风险]因素之间的相互关系,以下事项和情况的示例也可能在不同程度上受到其他[固有风险]因素的影响:
1.复杂性。
监管:
(1)在高度复杂的监管环境中开展业务;
业务模式:
(2)存在复杂的联营或合资企业;
适用的[财务报告编制基础]:
(3)涉及复杂过程的会计计量;
交易:
(4)使用表外融资、特殊目的实体以及其他复杂的融资安排。
2.主观性。
适用的[财务报告编制基础]:
(5)某项会计估计具有多种可能的衡量标准。例如,[管理层]确认折旧费用或建造收入和费用:
(6)[管理层]对非流动资产(如投资性房地产)的估值技术或模型的选择
3.变化。
经济情况:
(7)在经济不稳定(如货币发生重大贬值或经济发生严重通货膨胀)的国家或地区开展业务;
市场:
(8)在不稳定的市场开展业务(如期货交易):
客户流失:
(9)持续经营和资产流动性出现问题,包括重要客户流失;
行业模式:
(10)被审计单位经营所处的行业发生变化;
业务模式:
(11)供应链发生变化;
(12)开发新产品或提供新服务,或进入新的业务领域;
地理:
(13)开辟新的经营场所;
被审计单位组织结构:
(14)被审计单位发生变化,如发生重大收购、重组或其他非常规事项;
(15)拟出售分支机构或业务分部;
人力资源的胜任能力:
(16)关键人员变动(包括核心执行人员的离职);
信息技术:
(17)信息技术环境发生变化;
(18)安装新的与财务报告相关的重大信息技术系统;
适用的[财务报告编制基础]:
(19)采用新的会计准则;
资本:
(20)获取资本或借款的能力受到新的限制;
监管:
(21)经营活动或财务业绩受到监管机构或政府机构的调查;
(22)与环境保护相关的新立法的影响。
4.不确定性。
报告:
(23)涉及重大计量不确定性(包括会计估计)的事项或交易及相关披露:
(24)存在未决诉讼和或有负债(如售后质量保证、财务担保和环境补救),
5.[管理层]偏向和其他[舞弊风险]因素。
报告:
(25)[管理层]和员工编制虚假财务报告的机会,包括遗披露应包含的重大信息或信息晦涩难懂;
交易:
(26)从事重大的关联方交易;
(27)发生大额非常规或非系统性交易(包括公司间的交易和在期末发生大量收入的交易);
(28)按照[管理层]特定意图记录的交易(如债务重组、资产出售和交易性债券的分类),
其他可能表明存在[[财务报表]层次][重大错报风险]的事项或情况包括:
(1)缺乏具备会计和财务报告技能的员工;
(2)控制缺陷,尤其是内部环境、风险评估和内部监督中的控制缺陷和[管理层]未处理的[内部控制]缺陷;
(3)以往发生的[错报]或错误,或者在本期期末出现重大会计调整。
第四节了解被审计单位[内部控制]体系各要素
一、[内部控制]的概念和要素
[内部控制] (以下简称控制),是指被审计单位为实现控制目标所制定的政策和程序。
其中:
(1)政策,是指被审计单位为了实施控制而作出的应当或不应当采取某种措施的规定。政策是通过被审计单位人员采取相关行动或限制该人员采取与政策相冲突的行动而得以贯彻的。
(2)程序,是指为执行政策而采取的行动。程序可能是通过正式文件或由[管理层]采取其他形式明确规定的,也可能是被审计单位组织文化中约定俗成的。程序还可能通过被审计单位的信息技术应用程序及信息技术环境的其他方面所允许的行动来实施。
[内部控制]体系,是指由[治理层]、[管理层]和其他人员设计、执行和维护的体系,以合理保证被审计单位能够实现财务报告的[可靠性],提高经营效率和效果,以及遵守适用的法律法规等目标。该体系包含以下五个相互关联的要素:
(1)内部环境(控制环境);
(2)风险评估;
(3)信息与沟通(信息系统与沟通);
(4)控制活动;
(5)内部监督。
上述五要素的内涵以及[CPA]对各要素了解的要点,将在本节六至十中阐述。
值得指出的是,本教材采用了COSO发布的[内部控制]框架。被审计单位可能并不定采用这种分类方式设计和执行[内部控制]。对[内部控制]要素的分类提供了了解[内部控制]体系的框架,但无论如何对[内部控制]要素进行分类,[CPA]都应当重点考虑,被审计单位的某项控制是否能够以及如何防止或发现并纠正各类[交易、账户余额、披露]存在的[重大错报]。也就是说,在了解和评价[内部控制]时,采用的具体分析框架及控制要素的分类可能并不唯一,重要的是控制能否实现控制目标。[CPA]可以使用不同的框架和术语描述[内部控制]的不同方面,但必须涵盖上述[内部控制]五个要素所涉及的各个方面。
被审计单位设计、执行和维护[内部控制]的方式,因其规模和复杂程度的不同而不同。小型被审计单位可能采用非正式和简单的流程与程序,实现控制目标,参与日常经营管理的业主(以下简称业主)可能承担多项职能,[内部控制]要素未得到清晰区分,[CPA]可以综合考虑小型被审计单位的[内部控制]要素能否实现其目标。
二、直接控制和间接控制
从[内部控制]概念可看出,被审计单位的[内部控制]目标相当广泛。针对[财务报表]审计的目的和需要,[CPA]只应当了解与审计相关的控制。与审计相关的控制,按照其对防止、发现或纠正[认定层次][错报]发挥作用的方式,分为直接控制和间接控制。
(一)识别与审计相关的控制的方法
前已述及,[内部控制]的目标旨在合理保证财务报告的[可靠性]、经营的效率和效果以及对法律法规的遵守。[CPA]审计的目标是对[财务报表]是否不存在[重大错报]发表审计意见,尽管要求[CPA]在[财务报表]审计中考虑与审计相关的[内部控制],但目的并非对被审计单位[内部控制]的[有效性]发表意见。因此,[CPA]需要了解和评价的[内部控制],只是与[财务报表]审计相关的[内部控制],并非被审计单位所有的[内部控制]。虽然大部分与审计相关的控制可能与财务报告相关,但并非所有与财务报告相关的控制都与审计相关,确定一项控制单独或连同其他控制是否与审计相关,需要[CPA]作出[职业判断]。
被审计单位的目标与为实现目标提供合理保证的控制之间存在直接关系。被审计单位的目标和控制,与财务报告、经营及合规有关。但这些目标和控制并非都与[CPA]的风险评估相关。
[CPA]在判断一项控制单独或连同其他控制是否与审计相关时,可能考虑下列事项:
1.[重要性];
2.相关风险的严重程度;
3.被审计单位的规模;
4.被审计单位业务的性质,包括组织结构和所有权特征:
5.被审计单位经营的多样性和复杂性;
6.适用的法律法规;
7.[内部控制]的情况和适用的要素;
8.作为[内部控制][组成部分]的系统(包括使用服务机构)的性质和复杂性;
9.一项特定控制(单独或连同其他控制)是否以及如何防止或发现并纠正[重大错报]
如果在设计和实施[进一步审计程序]时拟利用被审计单位内部生成的信息,针对该信息完整性和准确性的控制可能与审计相关。如果与经营和合规目标相关的控制与[CPA]实施审计程序时评价或使用的数据相关,则这些控制也可能与审计相关。
用于防止未经授权购买、使用或处置资产的[内部控制],可能包括与财务报告和经营目标相关的控制。[CPA]对这些控制的考虑,通常仅限于与财务报告[可靠性]相关的控制。
被审计单位通常有一些与目标相关但与审计无关的控制,[CPA]无需对其加以考虑。例如,被审计单位可能依靠某一复杂的[自动化控制]提高经营活动的效率和效果(如航空公司用于维护航班时间表的[自动化控制]系统),但这些控制通常与审计无关。进-步讲,虽然[内部控制]应用于整个被审计单位或所有经营部门或业务流程,但是并非每个经营部门和业务流程的[内部控制],都与审计相关。
与审计相关的控制可分为直接控制和间接控制,这种分类有助于[CPA]识别和评估[[财务报表]层次]以及[认定层次]的[重大错报风险]。
(二)直接控制和间接控制区分的依据及作用
直接控制是指足以精准防止、发现或纠正[认定层次][错报]的[内部控制],间接控制是指不足以精准防止、发现或纠正[认定层次][错报]的[内部控制]。也就是说,直接控制和间接控制对防止、发现或纠正[认定层次][错报]分别产生直接影响和间接影响。
信息系统与沟通以及控制活动要素中的控制主要为直接控制。因此,[CPA]对这些要素的了解和评价更有可能影响其对[认定层次][重大错报风险]的识别和评估。实务中[CPA]需要投入充足的资源对这类要素中的控制进行了解和评价。
内部环境、风险评估和内部监督中的控制主要是间接控制,该类控制虽不足以精准地防止、发现或纠正[认定层次]的[错报],但可以支持其他控制,因此,该类控制可能间接影响及时发现或防止[错报]发生的可能性。值得说明的是,这些要素中的某些控制也可能是直接控制。
内部环境为[内部控制]体系其他要素的运行奠定了总体基础。内部环境不能直接防止发现并纠正[错报],但可能影响[内部控制]体系其他要素中控制的[有效性]。同样,风险评估和内部监督也旨在支持整个[内部控制]体系。
由于内部环境、风险评估和内部监督是被审计单位[内部控制]体系的基础,其运行中的任何缺陷都可能对[财务报表]的编制产生广泛的影响。因此,[CPA]对这些要素的了解和评价,更有可能影响其对[[财务报表]层次][重大错报风险]的识别和评估,也可能影响对[认定层次][重大错报风险]的识别和评估。如《中国[CPA]审计准则第1231号——针对评估的[重大错报风险]采取的应对措施》所述,[[财务报表]层次][重大错报风险]影响[CPA]设计[总体应对措施],并影响[进一步审计程序]的[性质、时间安排和范围]。
三、了解[内部控制]的性质和程度
(一)了解[内部控制]的性质
[CPA]了解[内部控制]的目的,就是为了评价控制设计的[有效性]以及控制是否得到执行。在评价控制设计的[有效性]以及控制是否得到执行时,[CPA]了解被审计单位[内部控制]体系各项要素,有助于其初步了解被审计单位如何识别和应对经营风险。这些了解也可能以不同方式,影响[CPA]对[重大错报风险]的识别和评估。这有助于[CPA]设计和实施[进一步审计程序],包括计划测试控制运行的[有效性]。例如:
1.[CPA]了解被审计单位的内部环境、风险评估和内部监督要素,更有可能影响[[财务报表]层次][重大错报风险]的识别和评估;
2.[CPA]了解被审计单位的信息系统与沟通以及控制活动要素,更有可能影响[认定层次][重大错报风险]的识别和评估。
(二)了解[内部控制]的程度
对[内部控制]了解的程度,是指[CPA]在实施[风险评估程序]时,了解被审计单位[内部控制]的范围及深度。包括评价控制设计的[有效性],并确定其是否得到执行,但不包括对控制是否得到一贯执行的测试。
1.评价控制设计的[有效性]以及控制是否得到执行。[CPA]在了解[内部控制]时应当评价控制设计的[有效性],并确定其是否得到执行。评价控制设计的[有效性],涉及考虑该控制单独或连同其他控制是否能够有效防止或发现并纠正[重大错报]。控制得到执行是指某项控制存在且被审计单位正在使用。评估一项无效控制的运行没有什么意义,因此,需要首先考虑控制的设计。设计不当的控制可能表明存在值得关注的[内部控制]缺陷。
2.为了解[内部控制]实施的程序。[CPA]通常实施下列[风险评估程序],以获取有关控制设计[有效性]和控制是否得到执行的审计证据:
(1)询问被审计单位人员;
(2)观察特定控制的运用;
(3)检查文件和报告;
(4)追踪交易在财务报告信息系统中的处理过程([穿行测试])。
这些程序是[风险评估程序]在了解被审计单位[内部控制]方面的具体运用。
询问本身并不足以评价控制设计的[有效性]以及确定其是否得到执行,[CPA]应当将询问与其他[风险评估程序]结合使用。
3.了解[内部控制]与测试控制运行[有效性]的关系。值得注意的是,评价设计有效的控制是否得到执行,与测试控制运行的[有效性]即控制是否得到一贯执行,是有区别的。前者是了解[内部控制]的目的,后者是[控制测试]的目的。
除非存在某些可以使控制得到一贯运行的[自动化控制],否则,[CPA]对控制的了解并不足以测试控制运行的[有效性]。例如,获取某一人工控制在某一时点得到执行的审计证据,并不能证明该控制在所审计期间内的其他时点也有效运行。但是,信息技术可以使被审计单位持续一贯地对大量数据进行处理,提高被审计单位监督控制活动运行情况的能力,信息技术还可以通过对应用软件、数据库、操作系统设置安全控制来实现有效的职责划分。由于信息技术处理流程的内在一贯性,实施审计程序确定某项[自动化控制]是否得到执行,也可能实现对控制运行[有效性]测试的目标,这取决于[CPA]对控制(如针对程序变更的控制)的评估和测试。
四、[内部控制]的人工和自动化成分
(一)考虑[内部控制]的人工和自动化特征及其影响
大多数被审计单位出于编制财务报告和实现经营目标的需要使用信息技术。然而,即使信息技术得到广泛使用,人工因素仍然会存在于这些系统之中。不同的被审计单位采用的控制系统中人工控制和[自动化控制]的比例是不同的。在一些小型的、生产经营不太复杂的被审计单位,可能以人工控制为主;而在另外一些单位,可能以[自动化控制]为主。[内部控制]可能既包括人工成分,又包括自动化成分,在风险评估以及设计和实施进-步审计程序时,[CPA]应当考虑[内部控制]的人工和自动化特征及其影响。
[内部控制]采用人工系统还是自动化系统,将影响交易生成、记录、处理和报告的方式。在以人工为主的系统中,[内部控制]一般包括批准和复核业务活动,编制调节表并对调节项目进行跟踪。当采用信息技术系统生成、记录、处理和报告交易时,交易的记录形式(如订购单、发票、装运单及相关的会计记录)可能是电子文档而不是纸质文件。信息技术系统中的控制可能既有[自动化控制] (如嵌入计算机程序的控制),又有人工控制。人工控制可能独立于信息技术系统,利用信息技术系统生成的信息,也可能用于监督信息技术系统和[自动化控制]的有效运行或者处理例外事项。如果采用信息技术系统处理交易和其他数据,系统和程序可能包括与[财务报表]重大账户认定相关的控制,或可能对依赖于信息技术的人工控制的有效运行非常关键。被审计单位的性质和经营的复杂程度会对采用人工控制和[自动化控制]的成分组合产生影响。
值得注意的是,无论被审计单位的经营环境是以人工为主还是完全自动化,抑或是人工和自动化要素的组合(即人工控制和[自动化控制]相结合以及被审计单位[内部控制]体系中使用的其他资源),审计的总体目标和范围都没有区别。
中国[CPA]协会发布的相关应用指南提供了有关了解被审计单位[内部控制]体系各要素中对信息技术的使用的进一步指引。
(二)信息技术的优势及相关内部[控制风险]
信息技术通常在下列方面提高被审计单位[内部控制]的效率和效果:
1.在处理大量的交易或数据时,一贯运用事先确定的业务规则,并进行复杂运算:
2.提高信息的及时性、可获得性及准确性;
3.促进对信息的深入分析;
4.提高对被审计单位的经营业绩及其政策和程序执行情况进行监督的能力;
5.降低控制被规避的风险;
6.通过对信息技术应用程序、数据库系统和操作系统执行安全控制,提高职责分离的[有效性]。
但是,信息技术也可能对[内部控制]产生特定风险。[CPA]可从下列方面了解信息技术对[内部控制]产生的特定风险:
1.所依赖的系统或程序不能正确处理数据,或处理了不正确的数据,或两种情况并存;
2.未经授权访问数据,可能导致数据的毁损或对数据不恰当的修改,包括记录未经授权或不存在的交易,或不正确地记录了交易,多个用户同时访问同一数据库可能会造成特定风险;
3.信息技术人员可能获得超越其职责范围的数据访问权限,因此破坏了系统应有的职责分工;
4.未经授权改变主文档的数据;
5.未经授权改变信息技术应用程序和信息技术环境的其他方面;
6.未能对信息技术应用程序和信息技术环境的其他方面作出必要的修改;
7.不恰当的人为干预;
8.可能丢失数据或不能访问所需要的数据。
(三)人工控制的适用范围及相关内部[控制风险]
[内部控制]的人工成分在处理下列需要主观判断或酌情处理的情形时可能更为适当:
1.存在大额、异常或偶发的交易;
2.存在难以界定、预计或预测的错误的情况;
3.针对变化的情况,需要对现有的[自动化控制]进行人工干预;
4.监督[自动化控制]的[有效性]。
但是,由于人工控制由人执行,受人为因素的影响,也产生了特定风险,[CPA]可从下列方面了解人工控制产生的特定风险:
1.人工控制可能更容易被规避、忽视或凌驾:
2.人工控制可能不具有一贯性;
3.人工控制可能更容易产生简单错误或失误
相对于[自动化控制],人工控制的[可靠性]较低。为此,[CPA]应当考虑人工控制在下列情形中可能是不适当的:(1)存在大量或重复发生的交易;(2)事先可预计或预测的错误能够通过自动化处理得以防止或发现并纠正;(3)用特定方法实施的控制可得到适当设计和自动化处理。
内部[控制风险]的程度和性质取决于被审计单位信息系统的性质和特征。考虑到信息系统的特征,被审计单位可以通过建立有效的控制,应对由于采用信息技术或人工成分而产生的风险。
五、[内部控制]的局限性
(一)[内部控制]的固有局限性
[内部控制]无论如何有效,都只能为被审计单位实现财务报告目标提供合理保证。[内部控制]实现目标的可能性受其[固有限制]的影响。这些限制包括:
1.在决策时人为判断可能出现错误和因人为失误而导致[内部控制]失效。例如,控制的设计和修改可能存在失误。同样地,控制的运行可能无效,例如,由于负责复核信息的人员不了解复核的目的或没有采取适当的措施,[内部控制]生成的信息(如例外报告)没有得到有效使用。
2.控制可能由于两个或更多的人员串通或[管理层]不当地凌驾于[内部控制]之上而被规避。例如,[管理层]可能与客户签订“背后协议”,修改标准的销售合同条款和条件,从而导致不适当的收入确认。再如,信息技术应用程序中的编辑控制旨在识别和报告超过赊销信用额度的交易,但这一控制可能被凌驾或不能得到执行。
此外,如果被审计单位内部行使控制职能的人员素质不适应岗位要求,也会影响[内部控制]功能的正常发挥。被审计单位实施[内部控制]的成本效益问题也会影响其效能,当实施某项控制成本大于控制效果而发生损失时,就没有必要设置该控制环节或控制措施。[内部控制]一般都是针对经常而重复发生的业务设置的,如果出现不经常发生或未预计到的业务,原有控制就可能不适用。
(二)对小型被审计单位的考虑
小型被审计单位拥有的员工通常较少,限制了其职责分离的程度。但是,在业主管理的小型被审计单位,业主兼经理可以实施比大型被审计单位更有效的监督。这种监督可以弥补职责分离有限的局限性。另外,由于[内部控制]系统较为简单,业主兼经理更有可能凌驾于控制之上。[CPA]在识别舞弊导致的[重大错报风险]时需要考虑这一问题。
六、与[财务报表]编制相关的内部环境
审计准则规定,[CPA]为了解与[财务报表]编制相关的内部环境,应当实施以下[风险评估程序]:
1.了解涉及下列方面的控制、流程和组织结构:
(1)[管理层]如何履行其管理职责,例如,被审计单位的组织文化,[管理层]是否重视诚信、道德和价值观;
(2)在[治理层]与[管理层]分离的体制下,[治理层]的独立性以及[治理层]监督[内部控制]体系的情况;
(3)被审计单位内部权限和职责的分配情况;
(4)被审计单位如何吸引、培养和留住具有胜任能力的人员;
(5)被审计单位如何使其人员致力于实现[内部控制]体系的目标。
2.评价下列方面的情况:
(1)在[治理层]的监督下,[管理层]是否营造并保持了诚实守信和合乎道德的文化;
(2)根据被审计单位的性质和复杂程度,内部环境是否为[内部控制]体系的其他要素奠定了适当的基础;
(3)识别出的内部环境方面的控制缺陷,是否会削弱被审计单位[内部控制]体系的其他要素。
此外,在信息技术环境下,[CPA]应当重视对与被审计单位使用信息技术相关的内部环境的评价,包括:(1)对信息技术的治理是否与被审计单位及其由信息技术支撑的业务经营的性质和复杂程度相称,包括被审计单位的技术平台或架构的复杂程度或成熟程度,以及被审计单位依赖信息技术应用程序支持财务报告的程度;(2)与信息技术和资源分配相关的[管理层]组织结构,例如,被审计单位是否已投资了适当的信息技术环境和必要的升级,或者被审计单位使用商业软件时(未对软件进行修改或仅进行有限修改)是否雇用了充足的具有适当技术的人员。
(一)内部环境的概念
内部环境包括治理职能和管理职能,以及[治理层]和[管理层]对[内部控制]体系及其[重要性]的态度、认识和行动。内部环境设定了被审计单位的[内部控制]基调,影响员工的[内部控制]意识,并为被审计单位[内部控制]体系中其他要素的运行奠定了总体基础。良好的内部环境是实施有效[内部控制]的基础。防止或发现并纠正舞弊和错误是被审计单位[治理层]和[管理层]的责任。在评价内部环境的设计和实施情况时,[CPA]应当了解[管理层]在[治理层]的监督下,是否营造并保持了诚实守信和合乎道德的文化,以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。实际上,在审计业务承接阶段,[CPA]就需要对内部环境作出初步了解和评价。
(二)对诚信和道德价值观念的沟通与落实
诚信和道德价值观念是内部环境的[重要组成部分],影响到重要业务流程的[内部控制]设计和运行。[内部控制]的[有效性]直接依赖于负责创建、管理和监控[内部控制]的人员的诚信和道德价值观念。被审计单位是否存在道德行为规范,以及这些规范如何在被审计单位内部得到沟通和落实,决定了是否能产生诚信和道德的行为。对诚信和道德价值观念的沟通与落实,既包括[管理层]如何处理不诚实、非法或不道德行为,也包括在被审计单位内部,通过行为规范以及高层管理人员的身体力行,对诚信和道德价值观念的营造和保持。
例如,[管理层]在行为规范中指出,员工不允许从供货商那里获得超过一定金额的礼品,超过部分都须报告和退回。尽管该行为规范本身并不能绝对保证员工都照此执行但至少意味着[管理层]已对此进行明示,它连同其他程序,可能构成一个有效的预防机制
[CPA]可以通过询问[管理层]和员工,观察和检查,并考虑外部来源的信息,了解和评价被审计单位诚信和道德价值观念的沟通与落实。了解和评价时,可考虑关注下列因素:(1)被审计单位是否有书面的行为规范并向所有员工传达:(2)被审计单位的企业文化是否强调诚信和道德价值观念的[重要性];(3)[管理层]是否身体力行,高级管理人员是否起表率作用;(4)对违反有关政策和行为规范的情况,[管理层]是否采取适当的惩罚措施。
某些被审计单位可能被能够行使广泛裁决权的个人所控制。该个人的行为和态度可能对被审计单位的组织文化产生广泛的影响,进而对内部环境也产生广泛影响。这种影响可能是正面的,也可能是负面的。例如,个人的直接参与可能是被审计单位能够实现增长目标和其他目标的关键,同时也对有效的[内部控制]体系起着重要作用。另一方面信息和权限的集中也可能增加由[管理层凌驾于控制之上]导致的[错报]发生的可能性。
(三)对胜任能力的重视
胜任能力是指具备完成某一职位的工作所应有的知识和能力。[管理层]对胜任能力的重视包括对于特定工作所需的胜任能力水平的设定,以及对达到该水平所必需的知识和能力的要求。[CPA]应当考虑主要管理人员和其他相关人员是否能够胜任承担的工作和职责,例如,财务人员是否对编制[财务报表]所适用的会计准则和相关会计制度有足够的了解并能正确运用。
[CPA]在就被审计单位对胜任能力的重视情况进行了解和评估时,考虑的主要因素可能包括:
1.财务人员以及信息管理人员是否具备与被审计单位业务性质和复杂程度相称的足够的胜任能力和培训,在发生错误时,是否通过调整人员或系统来加以处理;
2.[管理层]是否配备足够的财务人员以适应业务发展和有关方面的需要;
3.财务人员是否具备理解和运用会计准则所需的技能。
(四)[治理层]的参与程度
被审计单位的内部环境在很大程度上受[治理层]的影响。[治理层]的职责应在被审计单位的章程和政策中予以规定。[治理层] (董事会)通常通过其自身的活动,并在审计委员会或类似机构的支持下,监督被审计单位的财务报告政策和程序。因此,董事会、审计委员会或类似机构应关注被审计单位的财务报告,并监督被审计单位的会计政策以及内部、外部的审计工作和结果。[治理层]的职责还包括监督用于复核[内部控制][有效性]的政策和程序设计是否合理,执行是否有效。
[治理层]对内部环境影响的要素有:[治理层]相对于[管理层]的独立性、决策的客观性成员的经验和品德、[治理层]参与被审计单位经营的程度和收到的信息及其对经营活动的详细检查、[治理层]采取措施的适当性,包括提出问题的难度和对问题的跟进程度,以及[治理层]与内部审计人员和[CPA]的互动等。
[CPA]在对被审计单位[治理层]的参与程度进行了解和评估时,考虑的主要因素可能包括:
1.董事会是否建立了审计委员会或类似机构;
2.董事会、审计委员会或类似机构是否与内部审计人员以及[CPA]有联系和沟通,联系和沟通的性质以及频率是否与被审计单位的规模和业务复杂程度相匹配:
3.董事会、审计委员会或类似机构的成员是否具备适当的经验和资历;
4.董事会、审计委员会或类似机构是否独立于[管理层];
5.审计委员会或类似机构举行会议的数量和时间是否与被审计单位的规模和业务复杂程度相匹配:
6.董事会、审计委员会或类似机构是否充分地参与了监督编制财务报告的过程;
7.董事会、审计委员会或类似机构是否对经营风险的监控有足够的关注,进而影响被审计单位和[管理层]的风险评估工作;
8.董事会成员是否保持相对的稳定性。
(五)[管理层]的理念和经营风格
[管理层]负责企业的运作以及经营策略和程序的制定、执行与监督。内部环境的每个方面在很大程度上都受[管理层]采取的措施和作出决策的影响,或在某些情况下受[管理层]不采取某些措施或不作出某种决策的影响。在有效的内部环境中,[管理层]的理念和经营风格可以创造一个积极的氛围,促进业务流程和[内部控制]的有效运行,同时创造一个减少[错报]发生可能性的环境。在[管理层]以一个或少数几个人为主时,[管理层]的理念和经营风格对[内部控制]的影响尤为突出。
[管理层]的理念包括[管理层]对[内部控制]的理念,即[管理层]对[内部控制]以及对具体控制实施环境的重视程度。[管理层]对[内部控制]的重视,有助于控制的有效执行,并减少特定控制被忽视或规避的可能性。控制理念反映在[管理层]制定的政策、程序及所采取的措施中,而不是反映在形式上。因此,要使控制理念成为内部环境的一个重要特质,[管理层]必须告知员工[内部控制]的[重要性]。同时,只有建立适当的[管理层]控制机制,控制理念才能产生预期的效果。
衡量[管理层]对[内部控制]重视程度的重要标准,是[管理层]收到有关[内部控制]缺陷及违规事件的报告时是否作出适当反应。[管理层]及时下达纠弊措施,表明他们对[内部控制]的重视,也有利于加强企业内部的控制意识。
此外,了解[管理层]的经营风格也很有必要,[管理层]的经营风格可以表明[管理层]所能接受的业务风险的性质。例如,[管理层]是否经常投资于风险特别高的领域或者在接受风险方面极为保守,不敢越雷池一步。[CPA]应考虑的问题包括:[管理层]是否谨慎从事,只有在对方案的风险和潜在利益进行仔细研究分析后才能进一步采取措施。了解[管理层]的经营风格有助于[CPA]判断哪些因素影响[管理层]对待[内部控制]的态度,哪些因素影响在编制[财务报表]时所做的判断,特别是在作出会计估计以及选用会计政策时。这种了解也有助于[CPA]进一步认识[管理层]的能力和经营动机。[CPA]对[管理层]的能力和诚信越有信心,就越有理由信赖[管理层]提供的信息和作出的解释及声明。相反,如果对[管理层]经营风格的了解加重了[CPA]的怀疑,[CPA]就会加大职业怀疑的程度,从而对[管理层]的各种声明产生疑问。因此,了解[管理层]的经营风格对[CPA]评估[重大错报风险]有着重要的意义。
[CPA]在了解和评估被审计单位[管理层]的理念和经营风格时,考虑的主要因素可能包括:
1.[管理层]是否对[内部控制],包括信息技术的控制,给予了适当的关注;
2.[管理层]是否由一个或几个人所控制,董事会、审计委员会或类似机构对其是否实施了有效监督;
3.[管理层]在承担和监控经营风险方面是风险偏好者还是风险规避者;
4.[管理层]在选择会计政策和作出会计估计时是倾向于激进还是保守;
5.[管理层]对于信息管理人员以及财会人员是否给予了适当关注;
6.对于重大的[内部控制]和会计事项,[管理层]是否征询[CPA]的意见,或者经常在这些方面与[CPA]存在不同意见。
(六)职权与责任的分配
被审计单位的组织结构为计划、运作、控制及监督经营活动提供了一个整体框架。通过集权或分权决策,可在不同部门间进行适当的职责划分,建立适当层次的报告体系。组织结构将影响权利、责任和工作任务在组织成员中的分配。被审计单位的组织结构在定程度上取决于被审计单位的规模和经营活动的性质。
[CPA]应当考虑被审计单位组织结构中是否采用向个人或小组分配控制职责的方法,是否建立了执行特定职能(包括交易授权)的授权机制,是否确保每个人都清楚地了解报告关系和责任。[CPA]还需审查对分散经营活动的监督是否充分。有效的权责分配制度有助于形成整体的控制意识。
[CPA]应当关注组织结构及权责分配方法的实质而不是仅关注其形式。相应地[CPA]应当考虑相关人员对政策与程序的整体认识水平和遵守程度,以及[管理层]对其实施监督的程度。
[CPA]对组织结构的了解,有助于其确定被审计单位的职责划分达到何种程度也有助于其评价被审计单位在这方面的不足会对整体审计策略产生的影响。
信息系统处理环境是[CPA]对组织结构及权责分配方法进行了解的一个重要方面。[CPA]应当考虑信息系统职能部门的结构安排是否明确了职责分配,授权和批准系统变化的职责分配,以及是否明确程序开发、运行及使用者之间的职责划分。
[CPA]在对被审计单位组织结构和职权与责任的分配进行了解和评估时,考虑的主要因素可能包括:
1.在被审计单位内部是否有明确的职责划分,是否将业务授权、业务记录、资产保管和维护以及业务执行的责任尽可能地分离;
2.数据处理和管理的职责划分是否合理;
3.是否已针对授权交易建立适当的政策和程序。
(七)人力资源政策与实务
政策与程序(包括[内部控制])的[有效性],通常取决于执行人。因此,被审计单位员工的能力与诚信是内部环境中不可缺少的因素。人力资源政策与实务涉及招聘、培训、考核、咨询、晋升和薪酬等方面。被审计单位是否有能力雇用并保留一定数量既有能力又有责任心的员工在很大程度上取决于其人事政策与实务。例如,如果招聘录用标准要求录用最合适的员工,包括强调员工的学历、经验、诚信和道德,这表明被审计单位希望录用有能力并值得信赖的人员。被审计单位有关培训方面的政策应显示员工应达到的工作表现和业绩水准,通过定期考核的晋升政策表明被审计单位希望具备相应资格的人员承兲担更多的职责。
[CPA]在对被审计单位人力资源政策与实务进行了解和评估时,考虑的主要因素可能包括:
1.被审计单位在招聘、培训、考核、咨询、晋升、薪酬、补救措施等方面是否都有适当的政策和实务(特别是在会计、财务和信息系统方面);
2.是否有书面的员工岗位职责手册,或者在没有书面文件的情况下,对于工作职责和期望是否做了适当的沟通和交流;
3.人力资源政策与实务是否清晰,并且定期发布和更新;
4.是否设定适当的程序,对分散在各地区和海外的经营人员建立和沟通人力资源政策与程序。
综上所述,[CPA]应当对内部环境的构成要素获取足够的了解,并考虑[内部控制]的实质及其综合效果,以了解[管理层]和[治理层]对[内部控制]及其[重要性]的态度、认识以及采取的行动。
在评价内部环境各个要素时,[CPA]应当考虑内部环境各要素的控制是否得到执行。因为[管理层]也许建立了合理的[内部控制],但却未有效执行。例如,[管理层]已建立正式的行为守则,但实际操作中却没有对不遵守该守则的行为采取措施。又如,[管理层]要求信息系统建立安全措施,但却没有提供足够的资源。
在确定构成内部环境的要素是否得到执行时,[CPA]需要考虑将询问与其他[风险评估程序]相结合以获取审计证据。通过询问[管理层]和员工,[CPA]可能了解[管理层]如何就业务规程和道德价值观念与员工进行沟通;通过观察和检查,[CPA]可能了解[管理层]是否建立了正式的行为守则,在日常工作中行为守则是否得到遵守,以及[管理层]如何处理违反行为守则的情形。
内部环境对[重大错报风险]的评估具有广泛影响。[CPA]需要考虑,内部环境的总体优势,是否为[内部控制]的其他要素提供了适当基础,并且未被内部环境中存在的缺陷所削弱。
[CPA]在评估[重大错报风险]时,存在令人满意的内部环境是一个积极的因素。虽然令人满意的内部环境并不能绝对防止舞弊,但却有助于降低发生舞弊的风险。有效的内部环境还能为[CPA]相信在以前年度和期中所测试的控制将继续有效运行提供一定基础。相反,内部环境中存在的弱点可能削弱控制的[有效性]。例如,[CPA]在进行风险评估时,如果认为被审计单位内部环境薄弱,则很难认定某一流程的控制是有效的。
内部环境本身并不能防止或发现并纠正各类[交易、账户余额、披露][认定层次]的[重大错报],[CPA]在评估[重大错报风险]时,应当将内部环境连同其他[内部控制]要素产生的影响一并考虑。例如,将内部环境与对[内部控制]体系的监督和具体控制活动一并考虑。
在较不复杂被审计单位,可能无法获取以文件形式存在的有关内部环境要素的审计证据,特别是在[管理层]与其他人员的沟通不够正式但却有效的情况下。例如,小型被审计单位可能没有书面的行为守则,但却通过口头沟通和[管理层]的示范作用形成了强调诚信和道德行为[重要性]的文化。因此,[管理层]或业主兼经理的态度、认识和行动对[CPA]了解小型被审计单位的内部环境非常重要。
七、与[财务报表]编制相关的风险评估工作
审计准则规定,[CPA]为了解被审计单位与[财务报表]编制相关的风险评估工作应当实施以下[风险评估程序]:
1.了解被审计单位的下列工作:
(1)识别与财务报告目标相关的经营风险;
(2)评估上述风险的严重程度和发生的可能性;
(3)应对上述风险。
2.根据被审计单位的性质和复杂程度,评价其风险评估工作是否适合其具体情况。
审计准则还规定,如果[CPA]识别出[重大错报风险],而[管理层]未能识别出这些风险,[CPA]应当:
1.判断这些风险是否是被审计单位风险评估工作应当识别出的风险。如果[CPA]认为,这些风险是被审计单位风险评估工作应当识别出的风险,则应当了解被审计单位风险评估工作未能识别出这些风险的原因。
2.考虑对前述的[CPA]“评价其风险评估工作是否适合其具体情况”的影响。
(一)被审计单位风险评估的概念
任何经济组织在经营活动中都会面临各种各样的风险,风险对其生存和竞争能力产生影响。很多风险并不为经济组织所控制,但[管理层]应当确定可以承受的风险水平,识别这些风险并采取一定的应对措施。
可能产生风险的事项和情况包括:
1.监管及经营环境的变化。监管和经营环境的变化会导致竞争压力的变化,并产生显著不同的风险。
2.新员工的加人。新员工可能对[内部控制]有不同的认识和关注点。
3.新信息系统的使用或对原系统进行升级。信息系统重大、快速的变化会改变与[内部控制]相关的风险。
4.业务快速发展。快速的业务扩张可能会使[内部控制]难以应对,从而增加[内部控制]失效的风险。
5.新技术。将新技术运用于生产过程和信息系统可能改变与[内部控制]相关的风险。
6.新业务模式、产品和活动。进入新的业务领域和发生新的交易可能带来新的与[内部控制]相关的风险。
7.企业重组。重组可能带来裁员和监督及职责分离方面的变化,将影响与[内部控制]相关的风险。
8.发展海外经营。海外扩张或收购会带来新的且往往是独特的风险,进而可能影响[内部控制],如外币交易的风险。
9.新的会计政策。采用新的会计政策或变更会计政策可能增加[财务报表]编制过程中的风险。
10.使用信息技术。包括与下列事项相关的风险:
(1)维护处理的数据和信息的完整性、准确性和[有效性];
(2)如果被审计单位的信息技术战略不能有效地支持其经营战略,则会产生经营战略风险;
(3)被审计单位的信息技术环境的变化或中断,信息技术人员的流动,或被审计单位未对信息技术环境进行必要的更新或更新不及时。
被审计单位风险评估工作的作用是识别、评估和管理影响其实现经营目标能力的名种风险。而针对财务报告目标的风险评估则包括识别与财务报告相关的经营风险,评估风险的重大性和发生的可能性,以及采取措施管理这些风险。例如,风险评估可能会涉及被审计单位如何考虑对某些交易未予记录的可能性,或者识别和分析财务报告中的重大会计估计发生[错报]的可能性。与财务报告相关的风险也可能与特定事项和交易有关。
由于被审计单位风险评估包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施,[CPA]应当了解被审计单位的风险评估工作,
(二)对风险评估的了解
在评价被审计单位风险评估的设计和执行时,[CPA]应当确定[管理层]如何识别与财务报告相关的经营风险,如何估计该风险的[重要性]即严重程度,如何评估风险发生的可能性,以及如何采取措施管理这些风险。如果被审计单位的风险评估符合其具体情况,了解被审计单位的风险评估工作有助于[CPA]识别[财务报表]的[重大错报风险]。
[CPA]在对被审计单位[整体层面]的风险评估工作进行了解和评估时,考虑的主要因素可能包括:
1.被审计单位是否已建立并沟通其整体目标,并辅以具体策略和[业务流程层面]的计划;
2.被审计单位是否已建立风险评估,包括识别风险、估计风险的重大性、评估风险发生的可能性以及确定需要采取的应对措施;
3.被审计单位是否已建立某种机制,识别和应对可能对被审计单位产生重大且普遍影响的变化,如在金融机构中建立资产负债管理委员会,在制造型企业中建立期货交易风险管理组等;
4.会计部门是否建立了某种流程,以识别会计政策的重大变化;
5.当被审计单位业务操作发生变化并影响交易记录的流程时,是否存在沟通渠道以通知会计部门;
6.风险管理部门是否建立了某种流程,以识别经营环境包括监管环境发生的重大变化。
[CPA]可以通过了解[被审计单位及其环境]的其他方面信息,评价被审计单位风险评估工作的[有效性]。例如,在了解被审计单位的业务情况时,发现了某些经营风险,[CPA]应当了解[管理层]是否也意识到这些风险以及如何应对。在对业务流程的了解中,[CPA]还可能进一步获得被审计单位有关业务流程的风险评估的信息。例如在销售循环中,如果发现了销售的截止性[错报]的风险,[CPA]应当考虑[管理层]是否也识别了该[错报]风险以及如何应对该风险。
[CPA]应当询问[管理层]识别出的经营风险,并考虑这些风险是否可能导致[重大错报]。
在审计过程中,如果发现与[财务报表]有关的风险因素,[CPA]可通过向[管理层]询问和检查有关文件确定被审计单位的风险评估工作是否也发现了该风险;如果识别出[管理层]未能识别的[重大错报风险],[CPA]应当考虑被审计单位的风险评估工作为何没有识别出这些风险,以及评估过程是否适合于具体环境,或者确定与风险评估相关的[内部控制]是否存在值得关注的[内部控制]缺陷。
(三)对较不复杂被审计单位的考虑
较不复杂被审计单位可能没有正式的风险评估。在这种情况下,[管理层]很可能通过亲自参与经营来识别风险。无论情况如何,[CPA]询问识别出的风险以及[管理层]如何应对这些风险,仍是必要的。
八、与[财务报表]编制相关的信息系统与沟通
审计准则规定,[CPA]为了解被审计单位与[财务报表]编制相关的信息系统与沟通,应当实施以下[风险评估程序]:
1.了解被审计单位的信息处理活动(包括数据和信息),在这些活动中使用的资源针对相关[交易类别、账户余额和披露]的信息处理活动的政策。具体包括:
(1)信息在被审计单位信息系统中的传递情况,包括交易如何生成,与交易相关的信息如何进行记录、处理、更正、结转至总账、在[财务报表]中报告,以及其他方面的相关信息如何获取、处理、在[财务报表]中披露;
(2)与信息传递相关的会计记录、[财务报表]特定项目以及其他支持性记录;
(3)被审计单位的财务报告过程;
(4)与上述第(1)点至第(3)点相关的被审计单位资源,包括信息技术环境。
2.了解被审计单位如何沟通与[财务报表]编制相关的重大事项,以及信息系统和[内部控制]体系其他要素中的相关报告责任。具体包括:
(1)被审计单位内部人员之间的沟通,包括就与财务报告相关的岗位职责和相关人员的角色进行的沟通;
(2)[管理层]与[治理层]之间的沟通;
(3)被审计单位与监管机构等外部各方的沟通。
3.评价被审计单位的信息系统与沟通是否能够为被审计单位按照适用的[财务报告编制基础]编制[财务报表]提供适当的支持。
(一)与[财务报表]编制相关的信息系统的概念
与[财务报表]编制相关的信息系统由一系列的活动和政策、会计记录和支持性记录组成。被审计单位设计和建立这些活动、政策和记录旨在:
1.生成、记录和处理交易(以及获取、处理和披露与交易以外的事项和情况相关的信息),以及为相关资产、负债和所有者权益明确受托责任;
2.解决不正确处理交易的问题,如自动生成暂记账户文件,以及及时按照程序清理暂记项目;
3.处理并解释凌驾于控制之上或规避控制的情况;
4.将从交易处理系统中获取的信息过入总账(例如,将明细账中的累计交易过入总账);
5.针对除交易以外的事项和情况获取并处理与[财务报表]编制相关的信息,如资产的折旧和摊销、可回收性的改变等;
6.确保适用的[财务报告编制基础]规定披露的信息得到收集、记录、处理和汇总,并适当包含在[财务报表]中。
上述的交易可能通过人工或自动化程序生成。记录包括识别和收集与交易、事项有关的信息。处理包括编辑、核对、计量、估价、汇总和调节活动,可能由人工或自动化程序来执行。报告是指用电子或书面形式编制[财务报表]和[其他信息],供被审计单位用于衡量和考核财务及其他方面的业绩。
与[财务报表]编制相关的信息系统应当与业务流程相适应。业务流程是指被审计单位开发、采购、生产、销售、发送产品和提供服务、保证遵守法律法规、记录信息(包括会计和财务报告信息)等一系列活动。
与[财务报表]编制相关的信息系统所生成信息的质量,对[管理层]能否作出恰当的经营管理决策以及编制可靠的财务报告的能力具有重大影响。
(二)对与[财务报表]编制相关的信息系统的了解
被审计单位的[内部控制]体系包括与其报告目标(包括财务报告目标)相关的方面但也可能包括与财务报告有关的经营目标或合规目标相关的方面。[CPA]在了解被审计单位的信息系统时,应了解被审计单位如何生成交易和获取信息,这其中可能包括与被审计单位为应对合规目标和经营目标而设置的系统(被审计单位的政策)相关的信息,因为这类信息可能与[财务报表]编制相关。此外,某些被审计单位的信息系统可能是高度集成的,控制的设计可以同时实现财务报告、合规和经营这三个控制目标。
了解被审计单位的信息系统,还包括了解信息处理活动中使用的资源。与了解信息系统完整性、准确性和[有效性]风险相关的人力资源信息包括:(1)从事相关工作人员的胜任能力;(2)资源是否充分;(3)职责分离是否适当。
[CPA]在了解信息与沟通要素中针对相关[交易类别、账户余额和披露]的信息处理活动的政策时,可以考虑以下事项:(1)与需要处理的交易、其他事项和情况相关的数据或信息;(2)为维护数据或信息的完整性、准确性和[有效性]而进行的信息处理:(3)信息处理过程中使用的信息流程、人员和其他资源。
了解被审计单位的业务流程(包括交易产生的方式),有助于[CPA]以适合被审计单位具体情况的方式了解信息系统。
[CPA]可实施多种程序了解信息系统,包括:
1.向相关人员询问用于生成、记录、处理和报告交易的程序或被审计单位的财务报告过程;
2.检查有关被审计单位信息系统的政策、流程手册或其他文件;
3.观察被审计单位人员对政策或程序的执行情况;
4.选取交易并追踪交易在信息系统中的处理过程(即实施[穿行测试])
(三)与[财务报表]编制相关的沟通的概念
与[财务报表]编制相关的沟通,包括使员工了解各自在与财务报告有关的[内部控制]方面的角色和职责,员工之间的工作联系,以及向适当级别的[管理层]报告例外事项的方式。
公开的沟通渠道有助于确保例外情况得到报告和处理。沟通可以采用政策手册、会计和财务报告手册及备忘录等形式进行,也可以采用电子方式或口头方式和通过[管理层]的行动来实现。
(四)对与[财务报表]编制相关的沟通的了解
[CPA]应当了解被审计单位内部,如何对财务报告的岗位职责以及与[财务报表]编制相关的重大事项进行沟通。[CPA]还应当了解[管理层]与[治理层] (特别是审计委员会)之间的沟通,以及被审计单位与外部(包括与监管部门)的沟通。具体包括:
1.[管理层]就员工的职责和控制责任是否进行了有效沟通;
2.针对可疑的不恰当事项和行为是否建立了沟通渠道;
3.组织内部沟通的充分性是否能够使人员有效地履行职责;
4.对于与客户、供应商、监管者和其他外部人士的沟通,[管理层]是否及时采取适当的进一步行动;
5.被审计单位是否受到某些监管机构发布的监管要求的约束;
6.外部人士如客户和供应商在多大程度上获知被审计单位的行为守则。
(五)对小型被审计单位的考虑
在小型被审计单位,与[财务报表]编制相关的信息系统和沟通可能不如大型被审计单位正式和复杂。[管理层]可能会更多地参与日常经营管理活动和财务报告活动,不需要很多书面的政策和程序指引,也没有复杂的信息系统和会计流程。由于小型被审计单位的规模较小、报告层次较少,因此,小型被审计单位可能比大型被审计单位更容易实现有效的沟通。[CPA]需要考虑这些特征对评估[重大错报风险]的影响。
九、与[财务报表]编制相关的控制活动
审计准则规定,[CPA]为了解与[财务报表]编制相关的控制活动,应当实施以下[风险评估程序]:
1.识别用于应对[认定层次][重大错报风险]的控制,包括:
(1)应对[特别风险]的控制;
(2)与会计分录相关的控制,这些会计分录包括用以记录非经常性的、异常的交易以及用于调整的非标准会计分录;
(3)[CPA]拟测试运行[有效性]的控制,包括用于应对仅实施[实质性程序]不能提供充分、适当审计证据的[重大错报风险]的控制;
(4)[CPA]根据[职业判断]认为适当的、能够有助于其实现与[认定层次][重大错报风险]有关日标的其他控制。
2.基于上述第1项中识别的控制,识别哪些信息技术应用程序及信息技术环境的其他方面,可能面临运用信息技术导致的风险。
3.针对上述第2项中识别的信息技术应用程序及信息技术环境的其他方面,进一步识别:
(1)运用信息技术导致的相关风险;
(2)被审计单位用于应对这些风险的[信息技术一般控制]。
4.针对上述第1项以及第3项第(2)点识别出的每项控制:
(1)评价控制的设计是否有效,即这些控制能否应对[认定层次][重大错报风险]或为其他控制的运行提供支持;
(2)询问被审计单位内部人员,并运用其他[风险评估程序],以确定控制是否得到执行。
(一)与[财务报表]编制相关的控制活动的概念
控制活动是指有助于确保[管理层]的指令得以执行的政策和程序。[CPA]应当按照审计准则的规定识别控制活动要素中的控制。这些控制包括[信息处理控制]和[信息技术一般控制],两类控制均可能属于人工控制或[自动化控制]。[管理层]利用和依赖的与财务报告相关的[自动化控制]或涉及自动化方面的控制的程度越高,被审计单位执行[信息技术一般控制] (应对[信息处理控制]自动化方面的持续运行)可能就越重要。控制活动要素中的控制可能与下列事项相关:
1.授权和批准。
有了授权才能确认交易是有效的(即交易具有经济实质或符合被审计单位的政策)。授权的形式通常为较高级别的[管理层]批准或验证并确定交易是否有效。例如,主管在复核某项费用是否合理且符合政策后批准该费用报告单。自动批准的一个举例是自动将发票单位成本与相关的采购订单单位成本(在预先确定的可容忍范围内)进行比较,单位成本在可容忍范围内的发票将自动批准付款,对单位成本超出可容忍范围的发票将进行标记以执行进一步调查。
2.调节。
即将两项或多项数据要素进行比较。如果发现差异,则采取措施使数据相致。调节通常应对所处理交易的完整性或准确性。
3.验证。
即将两个或多个项目互相进行比较,或将某个项目与政策进行比较,如果两个项目不匹配或者某个项目与政策不一致,则可能对其执行跟进措施。验证通常应对所处理交易的完整性、准确性或[有效性]。
4.实物或逻辑控制。
这包括应对资产安全的控制,以防止未经授权的访问、获取使用或处置资产。实物或逻辑控制包括下列控制。
(1)保证资产的实物安全,包括恰当的安全保护措施,如针对接触资产和记录的安全设施;
(2)对接触计算机程序和数据文档设置授权(即逻辑访问权限);
(3)定期盘点并将盘点记录与控制记录相核对(如将会计记录与现金、有价证券和存货的定期盘点结果相比较)。旨在防止资产盗窃的实物控制,其与[财务报表]编制的[可靠性]相关,相关的程度取决于资产被侵占的风险。
5.职责分离。
即将交易授权、交易记录以及资产保管等不相容职责分配给不同员工职责分离旨在降低同一员工在正常履行职责过程中实施并隐瞒舞弊或错误的可能性。例如,授权赊销的经理不负责维护应收账款记录或处理现金收入。如果某个员工能够执行上述所有活动,则该员工可以创建难以被发现的虚假销售。类似地,销售人员也不应具有修改产品价格文件或佣金比率的权限。
在某些情况下,职责分离可能不切实际、成本效益低下或不可行。例如,小型和较不复杂被审计单位可能缺乏充分的资源以实现理想的职责分离,并且雇用额外员工的成本可能很高。在这种情况下,[管理层]可以设置替代控制。在前述示例中,如果销售人员可以修改产品价格文件,则可以设置发现性的控制活动,让与销售职能无关的员工定期复核销售人员是否对价格进行修改以及修改价格的情形。
实务中,某些控制可能取决于[管理层]或[治理层]是否制定了适当的监督控制。例如,可能按照既定的指导方针(如[治理层]制定的投资标准)进行授权控制;或者非常规交易(如重大收购或撤资)可能需要特定的高级别人员的批准,包括在某些情况下由股东批准。
(二)对控制活动的了解
在了解控制活动时,[CPA]应当重点考虑一项控制活动单独或连同其他控制活动,是否能够以及如何防止或发现并纠正各类[交易、账户余额、披露]认定存在的[重大错报]。[CPA]的工作重点是,识别和了解针对[重大错报风险]更高的领域的控制活动。如果多项控制活动能够实现同一目标,[CPA]不必了解与该目标相关的每项控制活动。
在了解和评估控制活动时考虑的主要因素可能包括:
1.被审计单位的主要经营活动是否都有必要的控制政策和程序;
2.[管理层]在预算、利润和其他财务及经营业绩方面是否都有清晰的目标,在被审计单位内部,是否对这些目标都加以清晰的记录和沟通,并且积极地对其进行监控;
3.是否存在计划和报告系统,以识别与目标业绩的差异,并向适当层次的[管理层]报告该差异;
4.是否由适当层次的[管理层]对差异进行调查,并及时采取适当的纠正措施;
5.不同人员的职责应在何种程度上相分离,以降低舞弊和不当行为发生的风险;
6.会计系统中的数据是否与实物资产定期核对;
7.是否建立了适当的保护措施,以防止未经授权接触文件、记录和资产;
8.是否存在信息安全职能部门负责监控信息安全政策和程序。
(三)对小型被审计单位的考虑
小型被审计单位控制活动依据的理念与较大型被审计单位可能相似,但是它们运行的正式程度可能不同。进一步讲,在小型被审计单位中,由于某些控制活动由[管理层]执行,特定类型的控制活动可能变得并不相关。例如,只有[管理层]拥有批准销、重大采购的权力,才可以对重要账户余额和交易实施有力控制,降低或消除实施更具体的控制活动的必要性。
小型被审计单位通常难以实施适当的职责分离,[CPA]应当考虑小型被审计单位采取的控制活动(特别是职责分离)能否有效实现控制目标。
十、对与[财务报表]编制相关的[内部控制]体系的监督
审计准则规定,[CPA]为了解被审计单位对与[财务报表]编制相关的[内部控制]体系的监督工作,应当实施以下[风险评估程序]:
1.了解被审计单位实施的持续性评价和单独评价,以及识别控制缺陷的情况和整改的情况;
2.了解被审计单位的内部审计,包括内部审计的性质、职责和活动;
3.了解被审计单位在监督[内部控制]体系的过程中所使用信息的来源,以及[管理层]认为这些信息足以信赖的依据;
4.根据被审计单位的性质和复杂程度,评价被审计单位对[内部控制]体系的监督是否适合其具体情况。
(一)对与[财务报表]编制相关的[内部控制]体系的监督的概念
[管理层]的重要职责之一就是建立和维护[内部控制]体系并保证其持续有效运行,对[内部控制]体系的监督可以实现这一目标。监督是由适当的人员,在适当、及时的基础上评估控制的设计和运行情况的过程。对[内部控制]体系的监督是指被审计单位评价[内部控制]在一段时间内运行[有效性]的过程。对[内部控制]体系的监督涉及及时评估控制的[有效性]并采取必要的补救措施。例如,[管理层]对是否定期编制[银行存款余额调节表]进行复核内部审计人员评价销售人员是否遵守公司关于销售合同条款的政策,法律部门定期监控公司的道德规范和商务行为准则是否得以遵循等。监督对控制的持续有效运行十分重要假如没有对[银行存款余额调节表]是否得到及时和准确的编制进行监督,该项控制可能无法得到持续的执行。
通常,[管理层]通过持续的监督活动、单独的评价活动或两者相结合实现对[内部控制]体系的监督。持续的监督活动通常贯穿于被审计单位日常重复的活动中,包括常规管理和监督工作。例如,[管理层]在履行其日常管理活动时,取得[内部控制]持续发挥功能的信息。当业务报告、财务报告与他们获取的信息有较大差异时,会对有重大差异的报告提出疑问,并做必要的追踪调查和处理。
被审计单位可能使用内部审计人员或具有类似职能的人员,对[内部控制]的设计和执行进行专门的评价,以找出[内部控制]的优点和不足,并提出改进建议。被审计单位也可能利用与外部有关各方沟通或交流获取的信息,监督相关的控制活动。在某些情况下外部信息可能显示[内部控制]存在的问题和需要改进之处。例如,客户通过付款来表示其同意发票金额,或者认为发票金额有误而不付款。监管机构(如银行监管机构)可能会对影响[内部控制]运行的问题与被审计单位沟通。[管理层]可能也会考虑与[CPA]就[内部控制]进行沟通,通过与外部信息的沟通,可以发现[内部控制]存在的问题,以便采取纠正措施。
值得注意的是,上述用于监督活动的很多信息都由被审计单位的信息系统产生,这些信息可能会存在[错报],从而导致[管理层]从监督活动中得出错误的结论。因此,[CPA]应当了解与被审计单位监督活动相关的信息来源,包括[管理层]在与外部有关各方沟通时获取的信息(如顾客的投诉和监管机构提出的意见),以及[管理层]认为信息具有相关性和[可靠性]的依据。如果拟利用被审计单位监督活动使用的信息(包括内部[审计报告])[CPA]应当考虑该信息是否相关和可靠,是否足以实现审计目标。
(二)了解对[内部控制]体系的监督
[CPA]在了解被审计单位如何监督[内部控制]体系时,需要考虑的相关事项包括:
1.监督活动的设计,如监督是定期的还是持续的;
2.监督活动的实施情况和频率;
3.对监督活动结果的定期评价,以确定控制是否有效;
4.如何通过适当的整改措施应对识别的缺陷,包括与负责采取整改措施的人员及时沟通缺陷。
[CPA]可以考虑被审计单位监督[内部控制]体系的过程如何实现对涉及使用信息技术的[信息处理控制]的监督。这些控制包括:
1.监督以下复杂信息技术环境的控制:
(1)评价[信息处理控制]的持续设计[有效性],根据情况的变化对其进行适当修改:
(2)评价[信息处理控制]运行的[有效性];
2.监督权限的控制,这些权限应用于实施职责分离的自动化[信息处理控制]中;
3.监督如何识别和应对与财务报告自动化相关的错误或控制缺陷的控制。
询问适当的内部审计人员,有助于[CPA]了解内部审计职责的性质。如果认为内部审计的职责与被审计单位的财务报告相关,[CPA]可以复核内部审计相关期间的审计计划(如有),并与适当的内部审计人员讨论该计划,以进一步了解内部审计已执行或拟执行的活动。这一了解,连同[CPA]通过询问获取的了解,也可能为[CPA]识别和评估[重大错报风险]提供直接相关的信息。如果基于对被审计单位内部审计的初步了解,[CPA]预期将利用内部审计的工作,从而计划修改拟实施的审计程序的性质、时间安排,或缩小其范围,则应当遵守《中国[CPA]审计准则第1411号-利用内部审计人员的工作》的规定。《〈中国[CPA]审计准则第1211号——[重大错报风险]的识别和评估)应用指南》说明了了解被审计单位内部审计的进一步考虑因素
(三)对小型被审计单位的考虑
小型被审计单位通常没有正式的持续监督活动,且持续的监督活动与日常管理工作难以明确区分,业主往往通过其对经营活动的密切参与来识别财务数据中的重大差异和[错报],并对控制活动采取纠正措施,[CPA]应当考虑业主对经营活动的密切参与能否有效实现其对[内部控制]体系的监督目标。
[CPA]应当根据对被审计单位[内部控制]体系各要素的评价,确定是否识别出控制缺陷。
十一、在[整体层面]和[业务流程层面]了解[内部控制]
[内部控制]的某些要素(如内部环境)更多地对被审计单位[整体层面]产生影响,而其他要素(如信息系统与沟通、控制活动)则可能更多地与特定业务流程相关。在实务中[CPA]应当从被审计单位[整体层面]和[业务流程层面]分别了解和评价被审计单位的[内部控制]。[整体层面]的控制(包括对[管理层]凌驾于[内部控制]之上的控制)和[信息技术一般控制]通常在所有业务活动中普遍存在。[业务流程层面]控制主要是对工薪、销售和采购等交易的控制。[整体层面]的控制对[内部控制]在所有业务流程中得到严格的设计和执行具有重要影响。[整体层面]的控制较差甚至可能使最好的[业务流程层面]控制失效。例如,被审计单位可能有一个有效的采购系统,但如果会计人员不胜任,仍然会发生大量错误,且其中一些错误可能导致[财务报表]存在[重大错报]。而且,[管理层]凌驾于[内部控制]之上(它们经常在企业[整体层面]出现)也是不好的公司行为中的普遍问题。
在初步计划审计工作时,[CPA]需要确定在被审计单位[财务报表]中存在[重大错报风险]的相关[交易类别、账户余额和披露]及相关认定。为实现此目的,通常采取下列步骤:(1)确定被审计单位的重要业务流程和相关交易类别;(2)了解相关交易类别的流程,并记录获得的了解;(3)确定可能发生[错报]的环节;(4)识别和了解相关控制:(5)执行[穿行测试],证实对交易流程和相关控制的了解;(6)进行初步评价和风险评估。
在实务中,上述步骤可能同时进行,例如,在询问相关人员的过程中,同时了解相关交易类别的流程和相关控制。
(一)确定重要业务流程和相关交易类别
在实务中,将被审计单位的整个经营活动划分为几个重要的业务循环,有助于[CPA]更有效地了解和评估重要业务流程及相关控制。通常,对制造业企业,可以划分为销售与收款循环、采购与付款循环、生产与存货循环、人力资源与工薪循环、投资与筹资循环等。相关交易类别是指可能存在[重大错报风险]的各类交易。相关交易类别应与相关账户及其相关认定相联系,例如,对于一般制造业企业,销售收入和应收账款通常是相关账户,销售和收款都是相关交易类别。除了一般所理解的交易以外,对[财务报表]具有重大影响的事项和情况也应包括在内,例如,计提资产的折旧或摊销,考虑应收款项的可回收性和计提坏账准备等。
(二)了解相关交易流程,并进行记录
在确定重要的业务流程和相关交易类别后,[CPA]便可着手了解每一类相关交易类别在信息技术或人工系统中生成、记录、处理及在[财务报表]中报告的程序,即相关交易流程。这是确定在哪个环节或哪些环节可能发生[错报]的基础。
交易流程通常包括一系列工作:输入数据的核准与修订,数据的分类与合并,进行计算、更新账簿资料和客户信息记录,生成新的交易,归集数据,列报数据。而与[CPA]了解相关交易有关的流程通常包括生成、记录、处理和报告交易等活动。例如,在销售循环中,这些活动包括输入销售订购单、编制货运单据和发票、更新应收账款信息记录等。相关的处理程序包括通过编制调整分录,修改并再次处理以前被拒绝的交易以及修改被错误记录的交易。
[CPA]要注意记录以下信息:(1)输入信息的来源;(2)所使用的重要数据档案,如客户清单及价格信息记录;(3)重要的处理程序,包括在线输入和更新处理:(4)重要的输出文件、报告和记录;(5)基本的职责划分,即列示各部门所负责的处理程序。
[CPA]通常只针对每年的变化修改记录流程的工作底稿,除非被审计单位的交易流程发生重大改变。然而,无论交易流程与以前年度相比是否有变化,[CPA]每年都需要考虑上述注意事项,以确保对被审计单位的了解是最新的,并已包括被审计单位交易流程中相关的重大变化。
(三)确定可能发生[错报]的环节
[CPA]需要确认和了解被审计单位应在哪些环节设置控制,以防止或发现并纠正各相关交易流程可能发生的[错报]。[CPA]所关注的控制,是那些能通过防止[错报]的发生,或者通过发现和纠正已有[错报],从而确保各个相关交易流程中的具体活动(从交易的发生到记录于账目)能够顺利运转的人工或[自动化控制]程序。
尽管不同的被审计单位为确保会计信息的[可靠性]而对相关交易流程设计和实施不同的控制,但设计控制的目的是为实现某些控制目标(见表7-2)。实际上,这些控制目标与[财务报表]相关账户及相关认定相联系。但[CPA]在此时通常不考虑列报认定,而在审计财务报告流程时再考虑该认定
表7控制目标释义
微信截图_20240517095421.png
(四)识别和了解相关控制
通过对被审计单位的了解,包括在被审计单位[整体层面]对[内部控制]体系各要素的了解,以及在上述程序中对重要业务流程的了解,[CPA]可以确定是否有必要进一步了解在[业务流程层面]的控制。在某些情况下,[CPA]之前的了解可能表明被审计单位在[业务流程层面]针对某些相关交易流程所设计的控制是无效的,或者[CPA]并不打算信赖控制,这时[CPA]没有必要进一步了解在[业务流程层面]的控制。
如果[CPA]计划对[业务流程层面]的有关控制,进行进一步的了解和评价,那么针对业务流程中容易发生[错报]的环节,[CPA]应当确定:(1)被审计单位是否建立了有效的控制,以防止或发现并纠正这些[错报];(2)被审计单位是否遗漏了必要的控制;(3)是否识别了可以最有效测试的控制。
通常将业务流程中的控制划分为预防性控制和检查性控制,下面分别予以说明。
(1)预防性控制。预防性控制通常用于正常业务流程的每一项交易,以防止[错报]的发生。在流程中防止[错报]是信息系统的重要目标。
预防性控制可能是人工的,也可能是自动化的。表7-3是预防性控制及其能防止[错报]的举例。
表7-3预防性控制示例
微信截图_20240517095447.png
(2)检查性控制。建立检查性控制的目的是发现流程中可能发生的[错报] (尽管有预防性控制还是会发生的[错报])。被审计单位通过检查性控制,监督其流程和相应的预防性控制能否有效地发挥作用。检查性控制通常是[管理层]用来监督实现流程目标的控制。检查性控制可以由人工执行,也可以由信息系统自动执行。
表7-4是检查性控制及其可能查出的[错报]的举例。
表7-4检查性控制示例
微信截图_20240517095502.png
如果确信存在以下情况,那么就可以将检查性控制作为一个主要手段,来合理保证某特定认定发生[重大错报]的可能性较小:(1)控制所检查的数据是完整、可靠的;(2)控制对于发现[重大错报]足够敏感;(3)发现的所有[重大错报]都将被纠正。
前已提及,业务流程中对相关交易类别的有效控制,通常同时包括预防性控制和检查性控制。缺乏有效的预防性控制增加了发生[错报]的风险,因此,需要建立更为敏感的检查性控制。通常,[CPA]在识别检查性控制的同时,也记录重要的预防性控制。
需要指出的是,[CPA]并不需要了解与每一控制目标相关的所有控制活动。在了解控制活动时,[CPA]应当重点考虑一项控制活动单独或连同其他控制活动,是否能够以及如何防止或发现并纠正相关[交易、账户余额、披露]可能存在的[重大错报]。如果多项控制活动能够实现同一目标,[CPA]不必了解与该目标相关的每项控制活动。
当然,如果在之后的[穿行测试]和评价中,[CPA]发现已识别的控制实际并未得到执行,则应当重新针对该项控制目标识别是否存在其他的控制。
(五)执行[穿行测试],证实对交易流程和相关控制的了解
为了解各类相关交易在业务流程中发生、处理和记录的过程,[CPA]通常会执行[穿行测试]。执行[穿行测试]可获得下列方面的证据:(1)确认对业务流程的了解;(2)确认对相关交易的了解是完整的,即在交易流程中所有与[财务报表]认定相关的可能发生[错报]的环节都已识别;(3)确认所获取的有关流程中的预防性控制和检查性控制信息的准确性;(4)评估控制设计的[有效性];(5)确认控制是否得到执行;(6)确认之前所作书面记录的准确性。
需要注意的是,如果拟不信赖控制,[CPA]仍需要执行适当的审计程序,以确认以前对业务流程及可能发生[错报]环节了解的准确性和完整性。
[CPA]将[穿行测试]的情况记录于工作底稿时,记录的内容包括[穿行测试]中查阅的文件、[穿行测试]的程序以及[CPA]的发现和结论。
(六)初步评价和风险评估
1.对控制的初步评价。在识别和了解控制后,根据执行上述程序及获取的审计证据[CPA]需要评价控制设计的合理性并确定其是否得到执行。
[CPA]对控制的评价结论可能是:(1)所设计的控制单独或连同其他控制能够防止或发现并纠正[重大错报],并得到执行;(2)控制本身的设计是合理的,但没有得到执行;(3)控制本身的设计就是无效的或缺乏必要的控制。
由于对控制的了解和评价是在[穿行测试]完成后但又在测试控制运行[有效性]之前进行的,因此,上述评价结论只是初步结论,仍可能随[控制测试]或实施[实质性程序]的结果而发生变化。
2.风险评估需考虑的因素。[CPA]对控制的评价,进而对[重大错报风险]的评估需考虑以下因素:
(1)账户特征及已识别的[重大错报风险]。如果已识别的[重大错报风险]水平为高(例如,复杂的发票计算或计价过程增加了开票[错报]的风险;经营的季节性特征增加了在旺季发生[错报]的风险),相关的控制应有较高的敏感度,即在[错报]率较低的情况下也能防止或发现并纠正[错报]。
(2)对被审计单位[整体层面]控制的评价。[CPA]应将对[整体层面]获得的了解和结论,同在[业务流程层面]获得的有关相关交易流程及其控制的证据结合起来考虑。
在评价[业务流程层面]的控制要素时,考虑的影响因素可能包括:(1)[管理层]及执行控制的员工表现出来的胜任能力及诚信度;(2)员工受监督的程度及员工流动的频繁程度;(3)[管理层凌驾于控制之上]的潜在可能性;(4)缺乏职责分离,包括信息技术系统中自动化的职责分离的情况;(5)被审计期间内部审计人员或其他监督人员测试控制运行情况的程度;(6)业务流程变更产生的影响,如变更期间控制程序的[有效性]是否受到了削弱;(7)在被审计单位的风险评估工作中,所识别的与某项控制运行相关的风险以及对该控制是否有进一步的监督。[CPA]同时也要考虑其识别出针对某控制的风险,被审计单位是否也识别出该风险,并采取了适当的措施降低该风险。
除非存在某些可以使控制得到一贯运行的[自动化控制],[CPA]对控制的了解和评价并不能够代替对控制运行[有效性]的测试。例如,[CPA]获得了某一人工控制在某一时点得到执行的审计证据,但这并不能证明该控制在被审计期间内的其他时点也得到有效执行。
有关对控制运行[有效性]实施的测试(即[控制测试]),见本教材第八章。
(七)对财务报告流程的了解
以上讨论了[CPA]如何在重要[业务流程层面]了解相关交易生成、处理和记录的流程,并评估在可能发生[错报]的环节控制的设计及其是否得到执行。在实务中,[CPA]还需要进一步了解有关信息从具体交易的业务流程过人总账、[财务报表]以及相关列报的流程,即财务报告流程及其控制。这一流程和控制与[财务报表]的列报认定直接相关。
财务报告流程包括:(1)将业务数据汇总记入总账的程序,即如何将重要业务流程的信息与总账和财务报告系统相连接;(2)在总账中生成、记录和处理会计分录的程序:(3)记录对[财务报表]常规和非常规调整的程序,如合并调整、重分类等;(4)草拟[财务报表]和相关披露的程序。
被审计单位的财务报告流程包括相关的控制程序,以确保按照适用的会计准则和相关会计制度的规定收集、记录、处理、汇总所需要的信息,并在财务报告中予以充分披露。例如,关联方交易、分部报告等。
在了解财务报告流程的过程中,[CPA]应当考虑对以下方面作出评估:(1)主要的输入信息、执行的程序、主要的输出信息;(2)每一财务报告流程要素中涉及信息技术的程度;(3)[管理层]的哪些人员参与其中;(4)记账分录的主要类型,如标准分录非标准分录等;(5)适当人员(包括[管理层]和[治理层])对流程实施监督的性质和范围。
第五节识别和评估[重大错报风险]
识别和评估[重大错报风险]是风险评估阶段的最后步骤。本章第三节和第四节,阐述了[CPA]在[财务报表]审计中,应当如何实施[风险评估程序]获取对[被审计单位及其环境]等方面情况的了解。获取这些了解的目的是为了使用通过了解获得的、可能导致[财务报表]发生[重大错报]的风险因素(事项或情况)以及[内部控制]对相关风险的抵销信息,识别和评估[[财务报表]层次]以及各类[交易、账户余额、披露][认定层次]的[重大错报风险]。对[重大错报风险]的识别和评估结果是[CPA]设计和实施应对措施的依据。
[CPA]在识别、评估和应对[重大错报风险]的过程中,应当将[管理层]的认定用于考虑可能发生的不同类型的[错报]。
一、识别和评估[[财务报表]层次]以及[认定层次]的[重大错报风险]
(一)识别和评估[重大错报风险]的作用和步骤
1.识别和评估[重大错报风险]的作用。[CPA]识别和评估[重大错报风险]能为风险应对提供方向性指引,有助于[CPA]确定[总体应对措施]和用于获取充分、适当的审计证据的[进一步审计程序]的[性质、时间安排和范围],这些证据使其最终能够以可接受的低[审计风险]水平对[财务报表]发表审计意见。
2.识别和评估[重大错报风险]的步骤。包括:
(1)利用实施[风险评估程序]所了解的信息。通过实施[风险评估程序]收集的信息可以作为审计证据,为[CPA]识别和评估[重大错报风险]提供基础。例如,在评价识别的控制活动要素中的控制的设计并确定这些控制是否得到执行时获取的审计证据,可以作为支持风险评估的审计证据。这些证据还可以为[CPA]按照《中国[CPA]审计准则第1231号——针对评估的[重大错报风险]采取的应对措施》的规定,采取用于应对评估的[[财务报表]层次][重大错报风险]的[总体应对措施],以及设计和实施用于应对评估的[认定层次][重大错报风险]的[进一步审计程序]的[性质、时间安排和范围]奠定基础。[CPA]还需要考虑利用执行有关客户关系和具体业务接受与保持的程序、以前审计以及通过其他途径所获取的与本期[财务报表]发生[错报]相关的信息。
(2)识别两个层次的[重大错报风险]。包括:
①要求分成两个层次识别。尽管两个层次的[重大错报风险]相互影响,但审计准则规定,[CPA]应当识别[重大错报风险],并确定其存在于[[财务报表]层次],还是各类[交易、账户余额、披露]的[认定层次]。[CPA]应当利用了解获得的信息,判断确定某风险是与[财务报表]整体存在广泛的联系,并可能影响多项认定,进而识别该风险属于[[财务报表]层次][重大错报风险],还是与[财务报表]整体不存在广泛联系,进而识别该风险为[认定层次][重大错报风险]。
②要求考虑的风险因素。[CPA]应当在考虑相关控制之前识别[重大错报风险] (即[固有风险]),并以[CPA]对[错报]的初步考虑为基础,即[错报]的发生、[错报]如果发生将是重大的,均具有合理可能性。
(3)评估两个层次的[重大错报风险]。由于[重大错报风险]是[固有风险]和[控制风险]共同作用的结果,因此,[CPA]在评估[重大错报风险]时,应当考虑相关控制的影响(即[控制风险])。
[重大错报风险]的识别和评估是紧密联系又有区别的两项工作。由于[[财务报表]层次]和[认定层次]的[重大错报风险]各自的性质特征以及对[财务报表]及其审计产生影响的具体方式存在差异,因此,尽管两个层次[重大错报风险]的识别和评估遵守的基本原理相同,但运用的具体方法及要求存在差异。比如,审计准则规定,对于识别出的[认定层次][重大错报风险],[CPA]应当分别评估[固有风险]和[控制风险]。对于识别出的[[财务报表]层次][重大错报风险],审计准则未明确规定,是应当分别评估[固有风险]和[控制风险],还是合并评估。[CPA]识别和评估[[财务报表]层次][重大错报风险]采用的具体方法,取决于其偏好的审计技术方法以及实务上的考虑。
(4)评价审计证据的适当性。对于实施[风险评估程序]获取的审计证据,能否为识别和评估[重大错报风险]提供适当依据,[CPA]应当作出评价。如果不能提供适当依据[CPA]应当实施追加的[风险评估程序],直至获取的审计证据能够提供这样的依据。在识别和评估[重大错报风险]时,[CPA]应当考虑通过实施[风险评估程序]获取的所有审计证据,无论这些证据是佐证性的还是相矛盾的。也就是说,[CPA]不应当偏向于获取、使用佐证性的审计证据,而排斥、舍弃相矛盾的审计证据。审慎评价审计证据是保持职业怀疑的需要。
(5)修正识别或评估的结果。随着审计过程的推进,如果[CPA]获取新信息(例如,执行[控制测试]或[实质性程序]后获得的新信息),与之前识别或评估[重大错报风险]时所依据的审计证据不一致,[CPA]应当修正之前对[重大错报风险]的识别或评估结果,并考虑对风险应对的影响。
值得注意的是,本章第三节在阐述[CPA]如何获得对[被审计单位及其环境]和适用的[财务报告编制基础]的了解的同时,举例说明了可能导致[财务报表]发生[错报]的一些[固有风险]因素(事项或情况)。第四节在阐述如何了解被审计单位[内部控制]体系各要素的同时,举例说明了相关控制对两个层次的[重大错报风险]的抵销作用。这些阐述(包括示例)对[CPA]识别和评估[重大错报风险]有直接帮助和参考意义。
(二)识别和评估[[财务报表]层次][重大错报风险]
1.识别。
如果判断某风险与[财务报表]整体存在广泛联系,并可能影响多项认定,[CPA]应当将其识别为[[财务报表]层次][重大错报风险]。例如,在经济不稳定的国家和地区开展业务、资产的流动性出现问题、重要客户流失、融资能力受限等,可能导致[CPA]对被审计单位的持续经营能力产生重大疑虑。又如,[管理层]缺乏诚信,或承受异常的压力,或[管理层]凌驾于[内部控制]之上可能引发[舞弊风险],这些风险与[财务报表]整体相关。
2.评估。
对于识别出的[[财务报表]层次][重大错报风险],[CPA]应当从下列两方面对其进行评估:
(1)评价这些风险对[财务报表]整体产生的影响;
(2)确定这些风险是否影响对[认定层次]风险的评估结果。
[CPA]应当评价,识别的风险是否与[财务报表]存在广泛联系,能够支持其对[[财务报表]层次][重大错报风险]的评估。在其他情况下,[CPA]可能识别出多个易于发生[错报]的认定,并因此影响[CPA]对[认定层次][重大错报风险]的识别和评估。例如,被审计单位面临经营亏损且资产流动性出现问题,并依赖于尚未获得保证的资金。在这种情况下,[CPA]可能确定[持续经营假设]产生了[[财务报表]层次][重大错报风险],可能需要使用[财务报告编制基础]中的清算基础,这可能对所有认定产生广泛影响。
[CPA]对[[财务报表]层次][重大错报风险]的识别和评估,受到其对被审计单位[内部控制]体系各要素的了解的影响,特别是对内部环境、风险评估和内部监督(这三要素主要属于间接控制)的了解,以及按照《中国[CPA]审计准则第1211号——[重大错报风险]的识别和评估》相关规定实施相关评价的结果和按照该准则规定识别的控制缺陷的影响。此外,[[财务报表]层次]的[重大错报风险]还可能源于内部环境存在的缺陷或某些外部事项或情况(如经济下滑)。
舞弊导致的[重大错报风险]可能与[CPA]对[[财务报表]层次][重大错报风险]的考虑尤其相关。例如,[CPA]通过询问[管理层]了解到,被审计单位的[财务报表]将用于申请贷款,从而确保被审计单位获得进一步融资以维持营运资本。[CPA]可能因此认为影响[固有风险]的[舞弊风险]因素导致易于发生[错报]的可能性(即虚假财务报告风险导致的[财务报表]易于发生[错报]的可能性)更高,如为了确保被审计单位能够获得融资,多计资产和收入以及少计负债和费用。
[CPA]识别和评估[[财务报表]层次][重大错报风险],以确定风险是否对[财务报表]具有广泛的影响,有助于其决定是否需要按照《中国[CPA]审计准则第1231号——针对评估的[重大错报风险]采取的应对措施》的规定采取[总体应对措施]。由于[[财务报表]层次][重大错报风险]还可能影响个别认定,因此,识别和评估这些风险,还可以帮助[CPA]评估[认定层次][重大错报风险],并设计[进一步审计程序],以应对该风险。
(三)识别和评估[认定层次][重大错报风险]
1.识别。
如果判断某[固有风险]因素可能导致某项认定发生[重大错报],但与[财务报表]整体不存在广泛联系,[CPA]应当将其识别为[认定层次]的[重大错报风险]。例如,被审计单位存在复杂的联营或合资,这一事项表明长期股权投资账户的认定可能存在[重大错报风险]。又如,被审计单位存在重大的关联方交易,该事项表明关联方及关联方交易的披露认定可能存在[重大错报风险]。
审计准则规定,[CPA]应当识别确定哪些认定是“相关认定”,进而确定哪些[交易类别、账户余额和披露]是“相关[交易类别、账户余额和披露]”。根据审计准则的定义,如果[CPA]识别出[交易类别、账户余额和披露]的某项认定存在[重大错报风险],那么该项认定是“相关认定”。存在相关认定的[交易类别、账户余额和披露]则被称为“相关[交易类别、账户余额和披露]”。确定相关认定和相关[交易类别、账户余额和披露],为[CPA]确定按照审计准则的要求了解被审计单位信息系统的范围提供了基础,这些了解可以进一步帮助[CPA]识别和评估[重大错报风险]。
值得注意的是,[CPA]识别确定某项认定是否属于相关认定,应当依据其[固有风险],而不考虑相关控制的影响。[CPA]识别出相关认定后,在评估[认定层次][重大错报风险]时,才应当考虑相关控制的影响。审计准则规定,对于识别出的[认定层次][重大错报风险],[CPA]应当分别评估[固有风险]和[控制风险]。这里强调针对[认定层次]先依据[固有风险]识别出相关认定及相关[交易类别、账户余额和披露],有利于全面了解[财务报表] (由被审计单位[管理层]认定组成)可能存在的所有[重大错报风险],从源头上解决[CPA]在审计中可能遗漏某些[重大错报风险]点,或对[重大错报风险]的识别和评估可能过于简单化和模糊化或模板化和经验化的问题。
表7-5列示了识别[重大错报风险]时考虑的部分风险因素。
表7-5识别[重大错报风险]时考虑的部分风险因素
微信截图_20240517095704.png
微信截图_20240517095719.png
2.评估。
评估的要求及工作事项包括:
(1)总体要求。对于识别出的[认定层次][重大错报风险],[CPA]应当分别评估[固有风险]和[控制风险]。这样有利于[CPA]把[认定层次][重大错报风险]的评估工作做细做实(可为设计和实施[进一步审计程序]提供适当依据),进而倒逼其按照审计准则要求把实施[风险评估程序]获取有关了解的基础工作做细做实,避免在[认定层次]将[固有风险]和[控制风险]简单混合起来作出粗略的、不适当的风险评估。
(2)评估[固有风险]。对于识别出的[认定层次][重大错报风险],[CPA]应当通过评估[错报]发生的可能性和严重程度来评估[固有风险]。在评估时,[CPA]应当考虑:
①[固有风险]因素如何以及在何种程度上影响相关认定易于发生[错报]的可能性;
②[[财务报表]层次][重大错报风险]如何以及在何种程度上影响[认定层次][重大错报风险]中[固有风险]的评估。
[CPA]在评估[错报]发生的可能性和严重程度时,应当根据[错报]发生的可能性和严重程度综合起来的影响程度确定所评估风险的[固有风险]等级,以帮助其设计[进一步审计程序],应对[重大错报风险]。[固有风险]等级的评估在本节稍后作专门说明。
评估识别的[重大错报风险]的[固有风险]还有助于[CPA]识别和确定[特别风险]。
对于识别的[认定层次][重大错报风险],[固有风险]因素会影响[CPA]评估[错报]发生的可能性和严重程度。某类[交易、账户余额、披露]越易于发生[错报],评估的[固有风险]可能越高。[CPA]考虑[固有风险]因素在何种程度上影响认定易于发生[错报]的可能性有助于其适当评估[认定层次][重大错报风险]的[固有风险],并设计更精确的应对措施。
[CPA]在识别和评估[认定层次][重大错报风险]时应当考虑的[固有风险]因素及其影响事项或情况的示例,参见本章第三节中“六、了解[固有风险]因素如何影响认定易于发生[错报]的可能性”相关部分的说明。
(3)评估[控制风险]。[CPA]在拟测试控制运行[有效性]的情况下,应当评估[控制风险]。如果拟不测试控制运行的[有效性],则应当将[固有风险]的评估结果作为[重大错报风险]的评估结果。《〈中国[CPA]审计准则第1211号——[重大错报风险]的识别和评估》应用指南》为如何初步评估[控制风险]提供了指引。
(4)确定[特别风险]。[CPA]应当确定评估的[重大错报风险]是否为[特别风险]。确定[特别风险]可以使[CPA]通过实施特定应对措施,更专注于那些位于[固有风险]等级上限的风险。按照《中国[CPA]审计准则第1211号——[重大错报风险]的识别和评估》的定义,[特别风险],是指[CPA]识别出的符合下列特征之一的[重大错报风险]:
①根据[固有风险]因素对[错报]发生的可能性和[错报]的严重程度的影响,[CPA]将[固有风险]评估为达到或接近[固有风险]等级的最高级(上限);
②根据其他审计准则的规定,[CPA]应当将其作为[特别风险],
在确定[特别风险]时,[CPA]可能首先识别评估的[固有风险]等级较高的[重大错报风险],作为考虑哪些风险可能达到或接近[固有风险]等级上限的基础。不同被审计单位以及同一被审计单位在不同期间的[固有风险]等级上限可能不同,这取决于被审计单位的性质和具体情况(如规模和复杂程度等)。[固有风险]等级的评估需要[CPA]作出[职业判断],除非该风险是其他审计准则规定应当作为[特别风险]处理的风险类型。其他审计准则及其应用指南为[CPA]确定[特别风险]提供了进一步指引。《中国[CPA]审计准则第1141号——[财务报表]审计中与舞弊相关的责任》及其应用指南对识别和评估舞弊导致的[重大错报风险]提供了指引。例如:
①对于超市零售商的现金,通常确定[错报]发生的可能性较高(由于现金易被盗用的风险),但是严重程度通常非常低(由于商店中处理的实物现金较少)。这两个因素的组合在[固有风险]等级中不太可能导致现金的存在性被确定为[特别风险];
②)被审计单位正在洽谈出售业务分部。[CPA]在考虑该事项对商誉减值的影响时,可能认为由于主观性、不确定性、[管理层]偏向和其他[舞弊风险]因素等[固有风险]因素产生的影响,[错报]发生的可能性和严重程度均较高。这可能导致[CPA]将商誉减值确定为[特别风险]。
(5)两种特殊情形的处理。包括:
①仅实施[实质性程序]无法应对的[重大错报风险]。
针对某些[认定层次][重大错报风险],仅实施[实质性程序]无法为其提供充分、适当的审计证据,[CPA]应当确定评估出的[重大错报风险]是否属于该类风险。对这类风险[CPA]应当根据相关审计准则的规定,对相关控制的设计和执行进行了解和测试。
②)对重大[交易类别、账户余额和披露]的考虑。
按照《中国[CPA]审计准则第1221号——计划和执行审计工作时的[重要性]》的要求,识别并评估各类[交易、账户余额、披露]中存在的[重大错报风险]时需要考虑[重要性]和[审计风险]。[CPA]对[重要性]的确定属于[职业判断],受到[CPA]关于[财务报表]使用者对财务信息需求的认识的影响。如果能够合理预期,某类[交易、账户余额、披露]中信息的遗漏、错误陈述或含糊表达,可能影响[财务报表]使用者依据[财务报表]整体作出的经济决策,则通常认为该类[交易、账户余额、披露]是重大的。如果[CPA]未将重大[交易类别、账户余额和披露]确定为“相关[交易类别、账户余额和披露]”(例如,[CPA]可能确定被审计单位披露的高管薪酬是重大披露,但对该披露未识别出[重大错报风险]即未识别出相关认定),则应当评价这样做是否适当。
《中国[CPA]审计准则第1231号——针对评估的[重大错报风险]采取的应对措施》规定了对未被确定为相关[交易类别、账户余额和披露]的重大[交易类别、账户余额和披露]实施的审计程序。如果[CPA]确定某类[交易、账户余额、披露]是相关[交易类别、账户余额和披露],那么,按照《中国[CPA]审计准则第1231号——-针对评估的[重大错报风险]采取的应对措施》的规定,该类[交易、账户余额、披露]也是重大的。
(6)两个层次间相互影响的处理。包括:
①在评估识别的[认定层次][重大错报风险]时[CPA]可能认为某些[重大错报风险]与[财务报表]整体存在广泛联系,可能影响多项认定,在这种情况下,[CPA]可能更新对[[财务报表]层次][重大错报风险]的识别。
②如果[重大错报风险]由于广泛影响多项认定而被识别为[[财务报表]层次][重大错报风险],并可以识别出受影响的特定认定,[CPA]应当在评估[认定层次][重大错报风险]的[固有风险]时考虑这些风险。
[CPA]应当考虑对识别出的各类[交易、账户余额、披露][认定层次]的[重大错报风险]予以汇总和评估,以便确定[进一步审计程序]的[性质、时间安排和范围]。表7-6给出了评估[认定层次][重大错报风险]汇总表示例。
表7-6评估[认定层次][重大错报风险]汇总表
微信截图_20240517100200.png
(四)考虑[财务报表]的可审计性
[CPA]在了解被审计单位[内部控制]后,可能对被审计单位[财务报表]的可审计性产生怀疑。例如,对被审计单位会计记录的[可靠性]和状况的担心可能会使[CPA]认为可能很难获取充分、适当的审计证据,以支持对[财务报表]发表审计意见。再如,[管理层]严重缺乏诚信,[CPA]认为[管理层]在[财务报表]中作出虚假陈述的风险高到无法进行审计的程度。因此,如果通过对[内部控制]的了解发现下列情况,并对[财务报表]局部或整体的可审计性产生疑问,[CPA]应当考虑出具[保留意见]或[无法表示意见]的[审计报告]:(1)被审计单位会计记录的状况和[可靠性]存在重大问题,不能获取充分、适当的审计证据以发表[无[保留意见]];(2)对[管理层]的诚信存在严重疑虑。必要时,[CPA]应当考虑解除业务约定
二、评估[固有风险]等级
在评估与特定[认定层次][重大错报风险]相关的[固有风险]等级时,[CPA]应当运用[职业判断],确定[错报]发生的可能性和严重程度综合起来的影响程度。
[固有风险]等级是指[CPA]对[固有风险]水平在一个范围内作出的从低到高的判断。作出该判断应当考虑被审计单位的性质和具体情况,并考虑评估的[错报]发生的可能性和严重程度以及[固有风险]因素。
在考虑[错报]发生的可能性时,[CPA]应当基于对[固有风险]因素的考虑,评估[错报]发生的概率。
在考虑[错报]的严重程度时,[CPA]应当考虑[错报]的定性和定量两个方面(即[CPA]可能根据[错报]的金额大小、性质或情况,判断各类[交易、账户余额、披露]在[认定层次]的[错报]是重大的)。
[CPA]应使用[错报]发生的可能性和严重程度综合起来的影响程度,确定[固有风险]等级。综合起来的影响程度越高,评估的[固有风险]等级越高,反之亦然。
评估的[固有风险]等级较高,并不意味着评估的[错报]发生的可能性和严重程度都较高[错报]发生的可能性和严重程度在[固有风险]等级上的交集确定了评估的[固有风险]在[固有风险]等级中是较高还是较低。评估的[固有风险]等级较高也可能是[错报]发生的可能性和严重程度的不同组合导致的,例如,较低的[错报]发生的可能性和极高的严重程度可能导致评估的[固有风险]等级较高。
为制定适当的应对策略,[CPA]可以基于其对[固有风险]的评估,将[重大错报风险]按[固有风险]等级的类别进行划分。[CPA]可以以不同的方式描述这些等级类别(如区分最高、较高、中、低等进行定性描述)。不管使用的分类方法如何,如果旨在应对识别的[认定层次][重大错报风险]的[进一步审计程序]的设计和实施能够适当应对[固有风险]的评估结果和形成该评估结果的依据,则[CPA]对[固有风险]等级的评估就是适当的。
三、需要特别考虑的[重大错报风险]
(一)确定[特别风险]时考虑的事项
哪些风险是[特别风险],通常需要[CPA]运用[职业判断]。[CPA]在评估[固有风险]等级时,应当考虑[固有风险]因素的相对影响。[固有风险]因素的影响越低,评估的风险等级可能也越低。以下事项可能导致[CPA]评估认为[重大错报风险]具有较高的[固有风险]等级,进而将其确定为[特别风险]:
(1)交易具有多种可接受的会计处理,因此涉及主观性;
(2)会计估计具有高度不确定性或模型复杂;
(3)支持账户余额的数据收集和处理较为复杂;
(4)账户余额或定量披露涉及复杂的计算;
(5)对会计政策存在不同的理解;
(6)被审计单位业务的变化涉及会计处理发生变化,如合并和收购。
在判断哪些风险是[特别风险]时,[CPA]不应考虑识别出的控制对相关风险的抵销效果。
(二)非常规交易和判断事项导致的[特别风险]
日常的、不复杂的、经正规处理的交易不太可能产生[特别风险]。[特别风险]通常与重大的非常规交易和判断事项有关。
非常规交易是指由于金额或性质异常而不经常发生的交易。例如,企业购并、债务重组、重大或有事项等。由于非常规交易具有下列特征,与重大非常规交易相关的[特别风险]可能导致更高的[重大错报风险]:(1)[管理层]更多地干预会计处理;(2)数据收集和处理受到更多的人工干预;(3)复杂的计算或会计处理方法;(4)非常规交易的性质可能使被审计单位难以对由此产生的[特别风险]实施有效控制。
判断事项通常包括作出的会计估计(具有计量的重大不确定性)。如资产减值准备金额的估计、需要运用复杂估值技术确定的公允价值计量等。由于下列原因,与重大判断事项相关的[特别风险]可能导致更高的[重大错报风险]:(1)对涉及会计估计、收入确认等方面的会计原则存在不同理解;(2)所要求的判断可能是主观和复杂的,或需要对未来事项作出假设。
(三)考虑与[特别风险]相关的控制
了解与[特别风险]相关的控制,有助于[CPA]制定有效的审计应对方案。对[特别风险],[CPA]应当评价相关控制的设计情况,并确定其是否已经得到执行。由于与重大非常规交易或判断事项相关的风险很少受到日常控制的约束,[CPA]应当了解被审计单位是否针对该[特别风险]设计和实施了控制。
例如,作出会计估计所依据的假设是否由[管理层]或专家进行复核,是否建立作出会计估计的正规程序,重大会计估计结果是否由[治理层]批准等。再如,[管理层]在收到重大诉讼事项的通知时采取的措施,包括这类事项是否提交适当的专家(如内部或外部的法律顾问)处理、是否对该事项的潜在影响作出评估、是否确定该事项在[财务报表]中的披露问题以及如何确定等。
如果[管理层]未能实施控制以恰当应对[特别风险],[CPA]应当认为[内部控制]存在值得关注的[内部控制]缺陷,并考虑其对风险评估的影响。在此情况下,[CPA]应当就此类事项与[治理层]沟通,
四、仅实施[实质性程序]无法应对的[重大错报风险]
作为风险评估的一部分,如果认为仅实施[实质性程序]获取的审计证据无法应对[认定层次]的[重大错报风险],[CPA]应当评价被审计单位针对这些风险设计的控制,并确定其执行情况。
在被审计单位对日常交易采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的[有效性],[CPA]应当考虑仅实施[实质性程序]不能获取充分、适当审计证据的可能性。
例如,某企业通过高度自动化的系统确定采购品种和数量,生成采购订购单,并通过系统中设定的收货确认和付款条件进行付款。除了系统中的相关信息以外,该企业没有其他有关订购单和收货的记录。在这种情况下,如果认为仅实施[实质性程序]不能获取充分、适当的审计证据,[CPA]应当考虑依赖的相关控制的[有效性],并对其进行了解、评估和测试。
在实务中,[CPA]可以用表7-7汇总识别的[重大错报风险]。
表-7识别的[重大错报风险]汇总
微信截图_20240517100305.png
五、修正风险识别或评估结果
[CPA]对[认定层次][重大错报风险]的识别或评估,可能随着审计过程中不断获取审计证据而作出相应的变化。
例如,[CPA]对[重大错报风险]的识别或评估可能基于预期控制运行有效这一判断,即相关控制可以防止或发现并纠正[认定层次]的[重大错报]。但在测试控制运行的[有效性]时,[CPA]获取的证据可能表明相关控制在被审计期间并未得到有效运行。同样,在实施[实质性程序]后,[CPA]可能发现[错报]的金额和频率比在风险识别或评估时预计的金额和频率要高。因此,如果通过实施[进一步审计程序]获取的审计证据与初始识别或评估获取的审计证据相矛盾,[CPA]应当修正风险识别或评估结果,并相应修改原计划实施的[进一步审计程序]。
因此,识别或评估[重大错报风险]与了解[被审计单位及其环境]等方面情况一样,也是一个连续和动态地收集、更新与分析信息的过程,贯穿于整个审计过程的始终。
六、[审计工作底稿]
[CPA]应当遵守《中国[CPA]审计准则第1131号——[审计工作底稿]》的规定,并就下列事项形成[审计工作底稿]:
1.项目组内部进行的讨论以及得出的重要结论;
2.[CPA]根据《中国[CPA]审计准则第1211号——[重大错报风险]的识别和评估》的规定,对[被审计单位及其环境]、适用的[财务报表]编制基础和[内部控制]体系各要素等所了解到的要点和信息来源,以及实施的[风险评估程序];
3.根据《中国[CPA]审计准则第1211号——[重大错报风险]的识别和评估》的规定,对所识别的控制的设计进行的评价,以及如何确定这些控制是否得到执行的;
4.识别、评估的[[财务报表]层次]和[认定层次][重大错报风险],包括:[特别风险],仅实施[实质性程序]不能提供充分、适当的审计证据的风险,以及作出有关重大判断的理由。
End
|
微信扫码,自愿捐赠。天涯同道,共谱新篇。
微信捐赠不显示捐赠者个人信息,如需要,请注明联系方式。 |
