CPA教材审计2024-第八章风险应对
第八章风险应对
《中国[CPA]审计准则第1101号——[CPA]的总体目标和审计工作的基本要求》要求[CPA]在审计过程中贯彻风险导向审计的理念,围绕[重大错报风险]的识别、评估和应对,计划和实施审计工作。《中国[CPA]审计准则第1211号——[重大错报风险]的识别和评估》规范了[CPA]通过实施[风险评估程序],识别和评估[[财务报表]层次]以及各类[交易、账户余额、披露][认定层次]的[重大错报风险]。《中国[CPA]审计准则第1231号——针对评估的[重大错报风险]采取的应对措施》规范了[CPA]针对评估的[重大错报风险]确定[总体应对措施],设计和实施[进一步审计程序]。因此,[CPA]应当针对评估的[重大错报风险]实施程序,即针对评估的[[财务报表]层次][重大错报风险]确定[总体应对措施],并针对评估的[认定层次][重大错报风险]设计和实施[进一步审计程序],以将[审计风险]降至可接受的低水平。
第一节针对[[财务报表]层次][重大错报风险]的[总体应对措施]
一、[[财务报表]层次][重大错报风险]与[总体应对措施]
在[财务报表][重大错报风险]的评估过程中,[CPA]应当确定,识别的[重大错报风险]是与特定的某类[交易、账户余额、披露]的认定相关,还是与[财务报表]整体广泛相关进而影响多项认定。如果是后者,则属于[[财务报表]层次]的[重大错报风险]。
[CPA]应当针对评估的[[财务报表]层次][重大错报风险]确定下列[总体应对措施]:
1.向项目组强调保持职业怀疑的必要性。
2.指派更有经验或具有特殊技能的审计人员,或利用专家的工作。由于各行业在经营业务、经营风险、财务报告、法规要求等方面具有特殊性,审计人员的专业分工细化成为一种趋势。审计项目组成员中应有一定比例的人员曾经参与过被审计单位以前年度的审计,或具有被审计单位所处特定行业的相关审计经验。必要时,要考虑利用信息技术、税务、评估、精算等方面的专家的工作。
3.对指导和监督项目组成员并复核其工作的[性质、时间安排和范围]作出调整。对于[[财务报表]层次][重大错报风险]较高的审计项目,审计项目组的高级别成员,如[项目合伙人]项目经理等经验较丰富的人员,要对其他成员提供更详细、更经常、更及时的指导和监督并加强[项目质量复核]。
4.在选择拟实施的[进一步审计程序]时融入更多的不可预见的因素。被审计单位人员尤其是[管理层],如果熟悉[CPA]的审计套路,就可能采取种种规避手段,掩盖财务报告中的舞弊行为。因此,在设计拟实施审计程序的[性质、时间安排和范围]时,为了避免既定思维对审计方案的限制,避免对审计效果的人为干涉,从而使得针对[重大错报风险]的[进一步审计程序]更加有效,[CPA]要考虑使某些程序不被被审计单位[管理层]预见或事先了解。
在实务中,[CPA]可以通过以下方式提高审计程序的[不可预见性]:(1)对某些未测试过的低于设定的[重要性]水平或风险较小的账户余额和认定实施[实质性程序]:(2)调整实施审计程序的时间,使被审计单位不可预期;(3)采取不同的审计抽样方法使当期抽取的测试样本与以前有所不同;(4)选取不同的地点实施审计程序,或预先不告知被审计单位所选定的测试地点。
5.按照《中国[CPA]审计准则第1201号——计划审计工作》的规定,对[总体审计策略]或对拟实施的审计程序作出调整。[[财务报表]层次]的[重大错报风险]很可能源于薄弱的控制环境。薄弱的控制环境带来的风险可能对[财务报表]产生广泛影响,难以限于某类[交易、账户余额、披露],[CPA]应当采取[总体应对措施]。相应地,[CPA]对控制环境的了解也影响其对[[财务报表]层次][重大错报风险]的评估。有效的控制环境可以使[CPA]增强对[内部控制]和被审计单位内部产生的证据的信赖程度。如果控制环境存在缺陷,[CPA]在对拟实施审计程序的[性质、时间安排和范围]作出总体修改时应当考虑:
(1)在期末而非期中实施更多的审计程序。控制环境的缺陷通常会削弱期中获得的审计证据的可信赖程度。
(2)通过实施[实质性程序]获取更广泛的审计证据。良好的控制环境是其他控制要素发挥作用的基础。控制环境存在缺陷通常会削弱其他控制要素的作用,导致[CPA]可能无法信赖[内部控制],而主要依赖实施[实质性程序]获取审计证据。
(3)增加拟纳入审计范围的经营地点的数量,
二、增加审计程序[不可预见性]的方法
(一)增加审计程序[不可预见性]的思路
[CPA]可以通过以下方法,提高审计程序的[不可预见性]。
1.对某些以前未测试的低于设定的[重要性]水平或风险较小的账户余额和认定实施[实质性程序]。[CPA]可以关注以前未曾关注过的审计领域,尽管这些领域可能重要程度比较低。如果这些领域有可能被用于掩盖舞弊行为,[CPA]就要针对这些领域实施一些具有[不可预见性]的测试。
2.调整实施审计程序的时间,使其超出被审计单位的预期。比如,如果[CPA]在以前年度的大多数审计工作都围绕着12月或在年底前后进行,那么被审计单位就会了解[CPA]这一审计习惯,由此可能会把一些不适当的会计调整放在年度的9月、10月或11月等,以避免引起[CPA]的注意。因此,[CPA]可以考虑调整实施审计程序时测试项目的时间,从测试12月的项目调整到测试9月、10月或11月的项目。
3.采取不同的审计抽样方法,使当年抽取的测试样本与以前有所不同。
4.选取不同的地点实施审计程序,或预先不告知被审计单位所选定的测试地点。例如,在存货监盘程序中,[CPA]可以到未事先通知被审计单位的盘点现场进行监盘使被审计单位没有机会事先安排,隐藏一些不想让[CPA]知道的情况。
(二)增加审计程序[不可预见性]的实施要点
1.[CPA]需要与被审计单位的[管理层]事先沟通,要求实施具有[不可预见性]的审计程序,但不能告知其具体内容。[CPA]可以在签订审计业务约定书时明确提出这一要▽込釆瘠梢琻肌鎭窥留郂。
2.虽然对于[不可预见性]程度没有量化的规定,但审计项目组可根据对[舞弊风险]的评估等确定具有[不可预见性]的审计程序。审计项目组可以汇总那些具有[不可预见性]的审计程序,并记录在[审计工作底稿]中。
3.[项目合伙人]需要安排项目组成员有效地实施具有[不可预见性]的审计程序,但同时要避免使项目组成员处于困难境地。
(三)增加审计程序[不可预见性]的示例
表8-1举例说明了一些具有[不可预见性]的审计程序
表8-1审计程序的[不可预见性]示例
微信截图_20240517100654.png
微信截图_20240517100709.png
三、[总体应对措施]对拟实施[进一步审计程序]的总体审计方案的影响
[[财务报表]层次][重大错报风险]具有难以限于某类[交易、账户余额、披露]的特点,意味着此类风险可能对[财务报表]的多项认定产生广泛影响,并相应增加[CPA]对[认定层次][重大错报风险]的评估难度。因此,[CPA]评估的[[财务报表]层次][重大错报风险]以及采取的[总体应对措施],对拟实施[进一步审计程序]的总体审计方案具有重大影响。
拟实施[进一步审计程序]的总体审计方案包括[实质性方案]和综合性方案。其中,[实质性方案]是指[CPA]实施的[进一步审计程序]以[实质性程序]为主;综合性方案是指[CPA]在实施[进一步审计程序]时,将[控制测试]与[实质性程序]结合使用。当评估的[[财务报表]层次][重大错报风险]属于高风险水平(并相应采取更强调审计程序[不可预见性]以及重视调整审计程序的[性质、时间安排和范围]等[总体应对措施])时,拟实施[进一步审计程序]的总体方案往往更倾向于[实质性方案]。
第二节针对[认定层次][重大错报风险]的[进一步审计程序]
一、[进一步审计程序]的概念和要求
(一)[进一步审计程序]的概念
[进一步审计程序]相对于[风险评估程序]而言,是指[CPA]针对评估的各类交易账户余额和披露[认定层次][重大错报风险]实施的审计程序,包括[控制测试]和[实质性程序]。
[CPA]应当针对评估的[认定层次][重大错报风险]设计和实施[进一步审计程序],包括审计程序的[性质、时间安排和范围]。[CPA]设计和实施的[进一步审计程序]的性质时间安排和范围,应当与评估的[认定层次][重大错报风险]具备明确的对应关系。[CPA]实施的审计程序应具有目的性和针对性,有的放矢地配置审计资源,有利于提高审计效率和效果。
需要说明的是,尽管在应对评估的[认定层次][重大错报风险]时,拟实施的[进一步审计程序]的[性质、时间安排和范围]都应当确保其具有针对性,但其中[进一步审计程序]的性质是最重要的。例如,[CPA]评估的[重大错报风险]越高,实施[进一步审计程序]的范围通常越大;但是只有首先确保[进一步审计程序]的性质与特定风险相关时,扩大审计程序的范围才是有效的。
(二)设计[进一步审计程序]时的考虑因素
在设计[进一步审计程序]时,[CPA]应当考虑下列因素:
1.风险的[重要性]。风险的[重要性]是指风险造成的后果的严重程度。风险的后果越严重,就越需要[CPA]关注和重视,越需要精心设计有针对性的[进一步审计程序]。
2.[重大错报]发生的可能性。[重大错报]发生的可能性越大,同样越需要[CPA]精心设计[进一步审计程序]。
3.涉及的各类[交易、账户余额、披露]的特征。不同的[交易、账户余额、披露],产生的[认定层次]的[重大错报风险]也会存在差异,适用的审计程序也有差别,需要[CPA]区别对待,并设计有针对性的[进一步审计程序]予以应对。
4.被审计单位采用的特定控制的性质。不同性质的控制(尤其是人工控制或[自动化控制])对[CPA]设计[进一步审计程序]具有重要影响。
5.[CPA]是否拟获取审计证据,以确定[内部控制]在防止或发现并纠正[重大错报]方面的[有效性]。如果[CPA]在风险评估时预期[内部控制]运行有效,随后拟实施的进-步审计程序就必须包括[控制测试],且[实质性程序]自然会受到之前[控制测试]结果的影响。
综上所述,[CPA]对[认定层次][重大错报风险]的评估为确定[进一步审计程序]的总体审计方案奠定了基础。因此,[CPA]应当根据对[认定层次][重大错报风险]的评估结果,恰当选用[实质性方案]或综合性方案。通常情况下,[CPA]出于成本效益的考虑可以采用综合性方案设计[进一步审计程序],即将测试控制运行的[有效性]与[实质性程序]结合使用。但在某些情况下(如仅通过[实质性程序]无法应对[重大错报风险]),[CPA]必须通过实施[控制测试],才可能有效应对评估出的某一认定的[重大错报风险];而在另一些情况下(如[CPA]的[风险评估程序]未能识别出与认定相关的任何控制,或[CPA]认为[控制测试]很可能不符合成本效益原则),[CPA]可能认为仅实施[实质性程序]就是适当的。
小型被审计单位可能不存在能够被[CPA]识别的控制活动,[CPA]实施的[进一步审计程序]可能主要是[实质性程序]。但是,[CPA]始终应当考虑在缺乏控制的情况下,仅通过实施[实质性程序]是否能够获取充分、适当的审计证据。
还需要特别说明的是,[CPA]对[重大错报风险]的评估毕竟是一种主观判断,可能无法充分识别所有的[重大错报风险],同时[内部控制]存在固有局限性(特别是存在[管理层]凌驾于[内部控制]之上的可能性),因此,无论选择何种方案,[CPA]都应当对所有重大[交易类别、账户余额和披露]设计和实施[实质性程序]。
二、[进一步审计程序]的性质
(一)[进一步审计程序]的性质的概念
[进一步审计程序]的性质是指[进一步审计程序]的目的和类型。其中,[进一步审计程序]的目的包括通过实施[控制测试]以确定[内部控制]运行的[有效性],通过实施[实质性程序]以发现[认定层次]的[重大错报];[进一步审计程序]的类型包括检查、观察、询问、函证、重新计重新执行和[分析程序]。
如前所述,在应对评估的风险时,合理确定审计程序的性质是最重要的。这是因为不同的审计程序应对特定认定[错报]风险的效力不同。例如,对于与收入完整性认定相关的[重大错报风险],[控制测试]通常更能有效应对;对于与收入发生认定相关的[重大错报风险],[实质性程序]通常更能有效应对。再如,实施应收账款的函证程序可以为应收账款在某一时点存在的认定提供审计证据,但通常不能为应收账款的计价认定提供审计证据。对应收账款的计价认定,[CPA]通常需要实施其他更为有效的审计程序,如检查应收账款账龄和期后收款情况,了解欠款客户的信用情况等。
(二)[进一步审计程序]的性质的选择
在确定[进一步审计程序]的性质时,[CPA]首先需要考虑的是[认定层次][重大错报风险]的评估结果。因此,[CPA]应当根据[认定层次][重大错报风险]的评估结果选择审计程序。评估的[认定层次][重大错报风险]越高,对通过[实质性程序]获取的审计证据的相关性和[可靠性]的要求越高,从而可能影响[进一步审计程序]的类型及其综合运用。例如,当[CPA]判断某类交易协议的完整性存在更高的[重大错报风险]时,除了检查文件以外,[CPA]还可能决定向第三方询问或函证协议条款的完整性。
除了从总体上把握[认定层次][重大错报风险]的评估结果对选择[进一步审计程序]的影响外,在确定拟实施的审计程序时,[CPA]接下来应当考虑评估的[认定层次][重大错报风险]产生的原因,包括考虑各类[交易、账户余额、披露]的具体特征以及[内部控制]。例如,[CPA]可能判断某特定交易类别即使在不存在相关控制的情况下发生[重大错报]的风险仍较低,此时[CPA]可能认为仅实施[实质性程序]就可以获取充分、适当的审计证据。再如,对于经由被审计单位信息系统日常处理和控制的某类交易,如果[CPA]预期此类交易在[内部控制]运行有效的情况下发生[重大错报]的风险较低,且拟在控制运行有效的基础上设计[实质性程序],[CPA]就会决定先实施[控制测试]。
需要说明的是,如果在实施[进一步审计程序]时拟利用被审计单位信息系统生成的信息,[CPA]应当就信息的准确性和完整性获取审计证据。例如,[CPA]在实施[[实质性[分析程序]]]时,使用了被审计单位生成的非财务信息或预算数据。再如,[CPA]在对被审计单位的存货期末余额实施[实质性程序]时,拟利用被审计单位信息系统生成的各个存货存放地点及其余额清单。[CPA]应当获取关于这些信息的准确性和完整性的鑰楞涇凸版召騸溶苯审证檞詻菩孌衷据。
三、[进一步审计程序]的时间
(一)[进一步审计程序]的时间的概念
[进一步审计程序]的时间是指[CPA]何时实施[进一步审计程序],或审计证据适用的期间或时点。因此,当提及[进一步审计程序]的时间时,在某些情况下指的是审计程序的实施时间,在另一些情况下是指需要获取的审计证据适用的期间或时点。
(二)[进一步审计程序]的时间的选择
有关[进一步审计程序]的时间的选择问题:第一个层面是[CPA]选择在何时实施[进一步审计程序]的问题;第二个层面是选择获取什么期间或时点的审计证据的问题。第-个层面的选择问题主要集中在如何权衡期中与期末实施审计程序的关系;第二个层面的选择问题分别集中在如何权衡期中审计证据与期末审计证据的关系、如何权衡以前审计获取的审计证据与本期审计获取的审计证据的关系。这两个层面的最终落脚点都是如何确保获取审计证据的效率和效果。
[CPA]可以在期中或期末实施[控制测试]或[实质性程序]。这就引出了[CPA]应当如何选择实施审计程序的时间的问题。一项基本的考虑因素应当是[CPA]评估的[重大错报风险],当[重大错报风险]较高时,[CPA]应当考虑在期末或接近期末实施[实质性程序],或采用不通知的方式,或在[管理层]不能预见的时间实施审计程序。
虽然在期末实施审计程序在很多情况下非常必要,但仍然不排除[CPA]在期中实施审计程序可能发挥积极作用。在期中实施[进一步审计程序],可能有助于[CPA]在审计工作初期识别重大事项,并在[管理层]的协助下及时解决这些事项;或针对这些事项制定有效的[实质性方案]或综合性方案。当然,在期中实施[进一步审计程序]也存在很大的局限。首先,[CPA]往往难以仅凭在期中实施的[进一步审计程序]获取有关期中以前的充分、适当的审计证据(例如,某些期中以前发生的交易或事项在期中审计结束时尚未完结);其次,即使[CPA]在期中实施的[进一步审计程序]能够获取有关期中以前的充分、适当的审计证据,但从期中到期末这段剩余期间还往往会发生重大的交易或事项(包括期中以前发生的交易、事项的延续,以及期中以后发生的新的交易、事项),从而对所审计期间的各类[交易、账户余额、披露]的认定产生重大影响;最后,被审计单位[管理层]也完全有可能在[CPA]于期中实施了[进一步审计程序]之后对期中以前的相关会计记录作出调整甚至篡改,[CPA]在期中实施了[进一步审计程序]所获取的审计证据已经发生了变化。为此,如果在期中实施了[进一步审计程序],[CPA]还应当针对剩余期间获取审计证据。
影响[CPA]考虑在何时实施审计程序的其他相关因素包括:
1.控制环境。良好的控制环境可以抵销在期中实施[进一步审计程序]的一些局限性使[CPA]在确定实施[进一步审计程序]的时间时有更大的灵活度。
2.何时能得到相关信息。例如,某些控制活动可能仅在期中(或期中以前)发生而之后可能难以再被观察到。再如,某些电子化的交易和账户文档如未能及时取得,可能被覆盖。在这些情况下,[CPA]如果希望获取相关信息,则需要考虑能够获取相关信息的时间。
3.[错报]风险的性质。例如,被审计单位可能为了保证盈利目标的实现,而在会计期末以后伪造销售合同以虚增收入,此时[CPA]需要考虑在期末(即[资产负债表日])这个特定时点获取被审计单位截至期末所能提供的所有销售合同及相关资料,以防范被审计单位在[资产负债表日]后伪造销售合同虚增收入的做法。
4.审计证据适用的期间或时点。[CPA]应当根据需要获取的特定审计证据确定何时实施[进一步审计程序]。例如,为了获取[资产负债表日]的存货余额证据,显然不宜在与[资产负债表日]间隔过长的期中时点或期末以后时点实施存货监盘等相关审计程序。
5.编制[财务报表]的时间,尤其是编制某些披露的时间,这些披露为资产负债表、利润表、所有者权益变动表或现金流量表中记录的金额提供了进一步解释。
需要说明的是,虽然[CPA]在很多情况下可以根据具体情况选择实施[进一步审计程序]的时间,但也存在着一些限制选择的情况。某些审计程序只能在期末或期末以后实施,包括将[财务报表]中的信息与其所依据会计记录相核对或调节,检查[财务报表]编制过程中所作的会计调整等。如果被审计单位在期末或接近期末发生了重大交易,或重大交易在期末尚未完成,[CPA]应当考虑交易的发生或截止等认定可能存在的[重大错报风险],并在期末或期末以后检查此类交易。
四、[进一步审计程序]的范围
(一)[进一步审计程序]的范围的概念
[进一步审计程序]的范围是指实施[进一步审计程序] (含[控制测试]和[实质性程序])所涉及的数量多少,包括抽取的样本量、对某项控制活动的观察次数等。
(二)确定[进一步审计程序]的范围时考虑的因素
在确定[进一步审计程序]的范围时,[CPA]应当考虑下列因素:
1.确定的[重要性]水平。确定的[重要性]水平越低,[CPA]实施[进一步审计程序]的范围越广。
2.评估的[重大错报风险]。评估的[重大错报风险]越高,对拟获取审计证据的相关性[可靠性]的要求越高,因此,[CPA]实施的[进一步审计程序]的范围也越广。
3.计划获取的保证程度。计划获取的保证程度,是指[CPA]计划通过所实施的审计程序对测试结果[可靠性]所获取的信心。计划获取的保证程度越高,对测试结果[可靠性]要求越高,[CPA]实施的[进一步审计程序]的范围越广。例如,[CPA]对[财务报表]是否不存在[重大错报]的信心可能来自[控制测试]和[实质性程序]。如果[CPA]计划从[控制测试]中获取更高的保证程度,则[控制测试]的范围就更广。
需要说明的是,随着[重大错报风险]的增加,[CPA]应当考虑扩大审计程序的范围。但是,只有当审计程序本身与特定风险相关时,扩大审计程序的范围才是有效的。
在考虑确定[进一步审计程序]的范围时,使用计算机辅助审计技术具有积极的作用[CPA]可以使用计算机辅助审计技术对电子化的交易和账户文档进行更广泛的测试包括从主要电子文档中选取交易样本,或按照某一特征对交易进行分类,或对总体而非样本进行测试。
鉴于[进一步审计程序]的范围可以通过一定的抽样方法加以确定,因此,[CPA]需要慎重考虑抽样过程对审计程序范围的影响是否能够有效实现审计目的。[CPA]使用恰当的抽样方法通常可以得出有效结论。但如果存在下列情形,[CPA]依据样本得出的结论可能与对总体实施同样的审计程序得出的结论不同,出现不可接受的风险:(1)从总体中选择的样本量过小;(2)选择的抽样方法对实现特定目标不适当;(3)木对发现的例外事项进行恰当的追查。
此外,[CPA]在综合运用不同审计程序时,除了面临各类审计程序的性质选择问题外,还面临如何权衡各类程序的范围问题。因此,[CPA]在综合运用不同审计程序时,不仅应当考虑各类审计程序的性质,还应当考虑测试的范围是否适当。
第三节控制测试
[控制测试]是为了评价[内部控制]在防止或发现并纠正[认定层次][重大错报]方面的运行[有效性]而实施的审计程序。[CPA]应当选择为相关[交易类别、账户余额和披露]的认定提供证据的[内部控制]进行测试。
一、[控制测试]的概念和要求
(一)[控制测试]的概念
[控制测试]是指用于评价[内部控制]在防止或发现并纠正[认定层次][重大错报]方面的运行[有效性]的审计程序,这一概念需要与“了解[内部控制]”进行区分。“了解[内部控制]”包含两层含义:一是评价控制的设计;二是确定控制是否得到执行。测试控制运行的[有效性]与确定控制是否得到执行所需获取的审计证据是不同的。
在实施[风险评估程序]以获取控制是否得到执行的审计证据时,[CPA]应当确定某项控制是否存在,被审计单位是否正在使用。
在测试控制运行的[有效性]时,[CPA]应当从下列方面获取关于控制是否有效运行的审计证据:
1.控制在所审计期间的相关时点是如何运行的;
2.控制是否得到一贯执行;
3.控制由谁或以何种方式执行。
从这三个方面来看,控制运行[有效性]强调的是控制能够在各个不同时点按照既定设计得以一贯执行。因此,在了解控制是否得到执行时,[CPA]只需抽取少量的交易进行检查或观察某几个时点。但在测试控制运行的[有效性]时,[CPA]需要抽取足够数量的交易进行检查或对多个不同时点进行观察。
下面举例说明两者之间的区别。某被审计单位针对销售收入和销售费用的业绩评价控制如下:财务经理每月审核实际销售收入(按产品细分)和销售费用(按费用项目细分),并与预算数和上年同期数比较,对于差异金额超过5%的项目进行分析并编制分析报告;销售经理审阅该报告并采取适当跟进措施。[CPA]抽查了最近3个月的分析报告,并看到上述管理人员在报告上签字确认,证明该控制已经得到执行。然而,[CPA]在与销售经理的讨论中发现他对分析报告中明显异常的数据并不了解其原因,也无法作出合理解释,从而显示该控制并未得到有效的运行。
测试控制运行的[有效性]与确定控制是否得到执行所需获取的审计证据虽然存在差异,但两者也有联系。为评价控制设计和确定控制是否得到执行而实施的某些[风险评估程序]并非专为[控制测试]而设计,但可能提供有关控制运行[有效性]的审计证据,[CPA]可以考虑在评价控制设计和获取其得到执行的审计证据的同时测试控制运行[有效性],以提高审计效率;同时[CPA]应当考虑这些审计证据是否足以实现[控制测试]的目的。
例如,被审计单位可能采用预算管理制度,以防止或发现并纠正与费用有关的[重大错报风险]。通过询问[管理层]是否编制预算,观察[管理层]对月度预算费用与实际发生费用的比较,并检查预算金额与实际金额之间的差异报告,[CPA]可能获取有关被审计单位费用预算管理制度的设计及其是否得到执行的审计证据,同时也可能获取相关制度运行[有效性]的审计证据。当然,[CPA]需要考虑所实施的[风险评估程序]获取的审计证据是否能够充分、适当地反映被审计单位费用预算管理制度在各个不同时点按照既定设计得以一贯执行。
(二)[控制测试]的要求
作为[进一步审计程序]的类型之一,[控制测试]并非在任何情况下都需要实施。当存在下列情形之一时,[CPA]应当实施[控制测试]:(1)在评估[认定层次][重大错报风险]时预期控制的运行是有效的;(2)仅实施[实质性程序]并不能够提供[认定层次]充分、适当的审计证据。
如果在评估[认定层次][重大错报风险]时预期控制的运行是有效的,[CPA]应当实施[控制测试],就控制在相关期间或时点的运行[有效性]获取充分、适当的审计证据。
[CPA]通过实施[风险评估程序],可能发现某项控制的设计是存在的,也是合理的,同时得到了执行。在这种情况下,出于成本效益的考虑,[CPA]可能预期如果相关控制在不同时点都得到了一贯执行,与该项控制有关的认定发生[重大错报]的可能性就不会很大,也就不需要实施很多的[实质性程序]。为此,[CPA]可能会认为值得对相关控制在不同时点是否得到了一贯执行进行测试,即实施[控制测试]。这种测试主要是出于成本效益的考虑,其前提是[CPA]通过了解[内部控制]以后认为某项控制存在着被信赖和利用的可能。因此,只有认为控制设计合理、能够防止或发现和纠正[认定层次]的[重大错报],[CPA]才有必要对控制运行的[有效性]实施测试。
如果认为仅通过实施[实质性程序]无法获取[认定层次]的充分、适当的审计证据,[CPA]应当实施相关的[控制测试],以获取控制运行[有效性]的审计证据。
有时,对有些[重大错报风险],[CPA]仅通过[实质性程序]无法予以应对。例如在被审计单位对日常交易或与[财务报表]相关的其他数据(包括信息的生成、记录、处理报告)采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,此时审计证据是否充分和适当通常取决于自动化信息系统相关控制的[有效性]。如果信息的生成、记录处理和报告均通过电子格式进行而没有适当有效的控制,则生成不正确信息或信息被不恰当修改的可能性就会大大增加。在认为仅通过实施[实质性程序]不能获取充分、适当的审计证据的情况下,[CPA]必须实施[控制测试],且这种测试已经不再是单纯出于成本效益的考虑,而是必须获取的一类审计证据。
此外,需要说明的是,被审计单位在所审计期间内可能由于技术更新或组织管理变更而更换了信息系统,从而导致在不同时期使用了不同的控制。如果被审计单位在所审计期间内的不同时期使用了不同的控制,[CPA]应当考虑不同时期控制运行的[有效性]。
二、[控制测试]的性质
(一)[控制测试]的性质的概念
[控制测试]的性质是指[控制测试]所使用的审计程序的类型及其组合。
计划从[控制测试]中获取的保证水平是决定[控制测试]性质的主要因素之一。[CPA]应当选择适当类型的审计程序以获取有关控制运行[有效性]的保证。在计划和实施[控制测试]时,对控制[有效性]的信赖程度越高,[CPA]应当获取越有说服力的审计证据。当拟实施的[进一步审计程序]主要以[控制测试]为主,尤其是仅实施[实质性程序]无法或不能获取充分、适当的审计证据时,[CPA]应当获取有关控制运行[有效性]的更高的保证水平。
[控制测试]采用审计程序有询问、观察、检查和重新执行。
1.询问。[CPA]可以向被审计单位适当员工询问,获取与[内部控制]运行情况相关的信息。例如,询问信息系统管理人员有无未经授权接触计算机硬件和软件向负责复核[银行存款余额调节表]的人员询问如何进行复核,包括复核的要点是什么发现不符事项如何处理等。然而,仅仅通过询问不能为控制运行的[有效性]提供充分的证据,[CPA]通常需要印证被询问者的答复,如向其他人员询问和检查执行控制时所使用的报告、手册或其他文件等。因此,虽然询问是一种有用的手段,但它必须和其他测试手段结合使用才能发挥作用。在询问过程中,[CPA]应当保持职业怀疑。
2.观察。观察是测试不留下书面记录的控制(如职责分离)的运行情况的有效方法。例如,观察存货盘点控制的运行情况。观察也可运用于实物控制,如查看仓库门是否锁好,或空白支票是否妥善保管。通常情况下,[CPA]通过观察直接获取的证据比间接获取的证据更可靠。但是,[CPA]还要考虑其所观察到的控制在[CPA]不在场时可能未被执行的情况。
3.检查。对运行情况留有书面证据的控制,检查非常适用。书面说明、复核时留下的记号,或其他记录在偏差报告中的标志,都可以被当作控制运行情况的证据。例如检查销售发票是否有复核人员签字,检查销售发票是否附有客户订购单和出库单等。
4.重新执行。例如,为了合理保证计价认定的准确性,被审计单位的一项控制是由复核人员核对销售发票上的价格与统一价格单上的价格是否一致。但是,要检查复核人员有没有认真执行核对,仅仅检查复核人员是否在相关文件上签字是不够的,[CPA]还需要自己选取一部分销售发票进行核对,这就是重新执行程序。如果需要进行大量的重新执行,[CPA]就要考虑通过实施[控制测试]以缩小[实质性程序]的范围是否有效率。
询问本身并不足以测试控制运行的[有效性]。因此,[CPA]需要将询问与[其他审计程序]结合使用。而观察提供的证据仅限于观察发生的时点,因此,将询问与检查或重新执行结合使用,可能比仅实施询问和观察获取更高水平的保证。例如,被审计单位针对处理收到的邮政汇款单设计和执行了相关的[内部控制],[CPA]通过询问和观察程序往往不足以测试此类控制的运行[有效性],还需要检查能够证明此类控制在所审计期间的其他时段有效运行的文件和凭证,以获取充分、适当的审计证据。
(二)确定[控制测试]的性质时的要求
1.考虑特定控制的性质。[CPA]应当根据特定控制的性质选择所需实施审计程序的类型。例如,某些控制可能存在反映控制运行[有效性]的文件记录,在这种情况下[CPA]可以检查这些文件记录以获取控制运行有效的审计证据;某些控制可能不存在文件记录(如一项自动化的控制活动),或文件记录与能否证实控制运行[有效性]不相关,[CPA]应当考虑实施检查以外的[其他审计程序] (如询问和观察)或借助计算机辅助审计技术,以获取有关控制运行[有效性]的审计证据。
2.考虑测试与认定直接相关和间接相关的控制。在设计[控制测试]时,[CPA]不仅应当考虑与认定直接相关的控制,还应当考虑这些控制所依赖的与认定间接相关的控制,以获取支持控制运行[有效性]的审计证据。例如,被审计单位可能针对超出信用额度的例外赊销交易设置报告和审核制度(与认定直接相关的控制);在测试该项制度的运行[有效性]时,[CPA]不仅应当考虑审核的[有效性],还应当考虑与例外赊销报告中信息准确性有关的控制(与认定间接相关的控制)是否有效运行。
3.如何对一项自动化的[信息处理控制]实施[控制测试]。对于一项自动化的[信息处理控制],由于信息技术处理过程的内在一贯性,[CPA]可以利用该项控制得以执行的审计证据和[信息技术一般控制] (特别是对系统变动的控制)运行[有效性]的审计证据,作为支持该项控制在相关期间运行[有效性]的重要审计证据。
(三)实施[控制测试]时对双重目的的实现
[控制测试]的目的是评价控制是否有效运行;[细节测试]的目的是发现[认定层次]的[重大错报]。尽管两者目的不同,但[CPA]可以考虑针对同一交易同时实施[控制测试]和[细节测试],以实现双重目的。例如,[CPA]通过检查某笔交易的发票可以确定其是否经过适当的授权,也可以获取关于该交易的金额、发生时间等细节证据。当然,如果拟实施双重目的测试,[CPA]应当仔细设计和评价测试程序。
(四)实施[实质性程序]的结果对[控制测试]结果的影响
如果通过实施[实质性程序]未发现某项认定存在[错报],这本身并不能说明与该认定有关的控制是有效运行的;但如果通过实施[实质性程序]发现某项认定存在[错报],[CPA]应当在评价相关控制的运行[有效性]时予以考虑。因此,[CPA]应当考虑实施[实质性程序]发现的[错报]对评价相关控制运行[有效性]的影响(如降低对相关控制的信赖程度调整[实质性程序]的性质、扩大[实质性程序]的范围等)。如果实施[实质性程序]发现被审计单位没有识别出的[重大错报],通常表明[内部控制]存在值得关注的缺陷,[CPA]应当就这些缺陷与[管理层]和[治理层]进行沟通。
三、[控制测试]的时间
(一)[控制测试]的时间的概念
如前所述,[控制测试]的时间包含两层含义:一是何时实施[控制测试];二是测试所针对的控制适用的时点或期间。一个基本的原理是,如果测试特定时点的控制,[CPA]仅得到该时点控制运行[有效性]的审计证据;如果测试某一期间的控制,[CPA]可获取控制在该期间有效运行的审计证据。因此,[CPA]应当根据[控制测试]的目的确定[控制测试]的时间,并确定拟信赖的相关控制的时点或期间。
关于根据[控制测试]的目的确定[控制测试]的时间,如果仅需要测试控制在特定时点的运行[有效性] (如对被审计单位期末存货盘点进行[控制测试]),[CPA]只需要获取该时点的审计证据。如果需要获取控制在某一期间有效运行的审计证据,仅获取与时点相关的审计证据是不充分的,[CPA]应当辅以其他[控制测试],包括测试被审计单位对控制的监督。而所谓的“其他[控制测试]”应当具备的功能是,能提供相关控制在所有相关时点都运行有效的审计证据;被审计单位对控制的监督起到的就是一种检验相关控制在所有相关时点是否都有效运行的作用,因此,[CPA]测试这类活动能够强化控制在某期间运行[有效性]的审计证据效力。
(二)如何考虑期中审计证据
前已述及,[CPA]可能在期中实施[进一步审计程序]。对于[控制测试],[CPA]在期中实施此类程序具有更积极的作用。但需要说明的是,即使[CPA]已获取有关控制在期中运行[有效性]的审计证据,仍然需要考虑如何能够将控制在期中运行[有效性]的审计证据合理延伸至期末,一个基本的考虑是针对期中至期末这段剩余期间获取充分适当的审计证据。因此,如果已获取有关控制在期中运行[有效性]的审计证据,并拟利用该证据,[CPA]应当实施下列审计程序:(1)获取这些控制在剩余期间发生重大变化的审计证据;(2)确定针对剩余期间还需获取的补充审计证据。
上述两项审计程序中,第一项是针对期中已获取审计证据的控制,考察这些控制在剩余期间的变化情况(包括是否发生了变化以及如何变化):如果这些控制在剩余期间没有发生变化,[CPA]可能决定信赖期中获取的审计证据;如果这些控制在剩余期间发生了变化(如信息系统、业务流程或人事管理等方面发生变动),[CPA]需要了解并测试控制的变化对期中审计证据的影响。
上述两项审计程序中,第二项是针对期中证据以外的、剩余期间的补充证据。在执行该项规定时,[CPA]应当考虑下列因素:
1.评估的[认定层次][重大错报风险]的严重程度。评估的[重大错报风险]对[财务报表]的影响越大,[CPA]需要获取的剩余期间的补充证据越多。
2.在期中测试的特定控制,以及自期中测试后发生的重大变动。例如,对自动化运行的控制,[CPA]更可能测试[信息技术一般控制]的运行[有效性],以获取控制在剩余期间运行[有效性]的审计证据。
3.在期中对有关控制运行[有效性]获取的审计证据的程度。如果[CPA]在期中对有关控制运行[有效性]获取的审计证据比较充分,可以考虑适当减少需要获取的剩余期间的补充证据。
4.剩余期间的长度。剩余期间越长,[CPA]需要获取的剩余期间的补充证据越多。
5.在信赖控制的基础上拟缩小[实质性程序]的范围。[CPA]对相关控制的信赖程度越高,通常在信赖控制的基础上拟减少[实质性程序]的范围就越大。在这种情况下,[CPA]需要获取的剩余期间的补充证据越多。
6.控制环境。控制环境越薄弱(或把握程度越低),[CPA]需要获取的剩余期间的补充证据越多。
除了上述的测试剩余期间控制的运行[有效性],测试被审计单位对控制的监督也能够作为一项有益的补充证据,以便更有把握地将控制在期中运行[有效性]的审计证据延伸至期末。如前所述,被审计单位对控制的监督起到的是一种检验相关控制在所有相关时点是否都有效运行的作用,因此,通过测试剩余期间控制的运行[有效性]或测试被审计单位对控制的监督,[CPA]可以获取补充审计证据。
(三)如何考虑以前审计获取的审计证据
[CPA]考虑以前审计获取的有关控制运行[有效性]的审计证据,其意义在于:-方面,[内部控制]中的诸多要素对于被审计单位往往是相对稳定的(相对于具体的交易账户余额和披露),因此,[CPA]在本期审计时还是可以适当考虑利用以前审计获取的有关控制运行[有效性]的审计证据;另一方面,[内部控制]在不同期间可能发生重大变化[CPA]在利用以前审计获取的有关控制运行[有效性]的审计证据时需要格外慎重,充分考虑各种因素。
关于如何考虑以前审计获取的有关控制运行[有效性]的审计证据,基本思路是考虑拟信赖的以前审计中测试的控制在本期是否发生变化,因为考虑与控制变化有关的审计证据有助于[CPA]决定合理调整拟在本期获取的有关控制运行[有效性]的审计证据。
1.基本思路。即考虑拟信赖的以前审计中测试的控制在本期是否发生变化。如果拟信赖以前审计获取的有关控制运行[有效性]的审计证据,[CPA]应当通过实施询问并结合观察或检查程序,获取这些控制是否已经发生变化的审计证据。例如,在以前审计中,[CPA]可能确定被审计单位某项[自动化控制]能够发挥预期作用。那么在本期审计中,[CPA]需要获取审计证据以确定是否发生了影响该[自动化控制]持续有效发挥作用的变化。例如,[CPA]可以通过询问[管理层]或检查日志,确定哪些控制已经发生变化。
[CPA]可能面临两种结果:控制在本期发生变化;控制在本期没有发生变化。
2.当控制在本期发生变化时[CPA]的做法。如果控制在本期发生变化,[CPA]应当考虑以前审计获取的有关控制运行[有效性]的审计证据是否与本期审计相关。例如,如果系统的变化仅仅使被审计单位从中获取新的报告,这种变化通常不影响以前审计所获取证据的相关性;如果系统的变化引起数据累积或计算发生改变,这种变化可能影响以前审计所获取证据的相关性。如果拟信赖的控制自上次测试后已发生实质性变化以致影响以前审计所获取证据的相关性,[CPA]应当在本期审计中测试这些控制的运行[有效性]。
3.当控制在本期未发生变化时[CPA]的做法。如果拟信赖的控制自上次测试后未发生变化,且不属于旨在减轻[特别风险]的控制,[CPA]应当运用[职业判断]确定是否在本期审计中测试其运行[有效性],以及本次测试与上次测试的时间间隔,但每三年至少对諛懵銖橡鍔召璽芭蹻浯淞匭幫讚肮鸉嶨挢擺泡试一次。
如果拟信赖以前审计获取的某些控制运行[有效性]的审计证据,[CPA]应当在每次审计时从中选取足够数量的控制,测试其运行[有效性];不应将所有拟信赖控制的测试集中于某一次审计,而在之后的两次审计中不进行任何测试。这主要是为了尽量降低[审计风险],毕竟[CPA]可能难以充分识别以前审计中测试过的控制在本期是否发生变化。此外,在每一次审计中选取足够数量的部分控制进行测试,除了能够提供这些以前审计中测试过的控制在当期运行[有效性]的审计证据外,还可提供控制环境持续[有效性]的旁证,从而有助于[CPA]判断其信赖以前审计获取的审计证据是否恰当。
在确定利用以前审计获取的有关控制运行[有效性]的审计证据是否适当以及再次测试控制的时间间隔时,[CPA]应当考虑的因素或情况包括:
(1)[内部控制]其他要素的[有效性],包括控制环境、对控制的监督以及被审计单位的风险评估过程。例如,当被审计单位控制环境薄弱或对控制的监督薄弱时,[CPA]应当缩短再次测试控制的时间间隔或完全不信赖以前审计获取的审计证据。
(2)控制特征(是人工控制还是[自动化控制])产生的风险。当相关控制中人工控制的成分较大时,考虑到人工控制一般稳定性较差,[CPA]可能决定在本期审计中继续测试该控制的运行[有效性]。
(3)[信息技术一般控制]的[有效性]。当[信息技术一般控制]薄弱时,[CPA]可能更少地依赖以前审计获取的审计证据。
(4)影响[内部控制]的重大人事变动。例如,当所审计期间发生了对控制运行产生重大影响的人事变动时,[CPA]可能决定在本期审计中不依赖以前审计获取的审计证据。
(5)由于环境发生变化而特定控制缺乏相应变化导致的风险。当环境的变化表明需要对控制作出相应的变动,但控制却没有作出相应变动时,[CPA]应当充分意识到控制不再有效,从而导致本期[财务报表]发生[重大错报]的可能,此时不应再依赖以前审计获取的有关控制运行[有效性]的审计证据。
(6)[重大错报]的风险和对控制的信赖程度。如果[重大错报风险]较大或对控制的信赖程度较高,[CPA]应当缩短再次测试控制的时间间隔或完全不信赖以前审计获取的审计证据。
4.不得依赖以前审计所获取证据的情形。鉴于[特别风险]的特殊性,对于旨在减轻[特别风险]的控制,不论该控制在本期是否发生变化,[CPA]都不应依赖以前审计获取的证据。因此,如果确定评估的[认定层次][重大错报风险]是[特别风险],并拟信赖旨在减轻[特别风险]的控制,[CPA]不应依赖以前审计获取的审计证据,而应在本期审计中测试这些控制的运行[有效性]。也就是说,如果[CPA]拟信赖针对[特别风险]的控制,那么,所有关于该控制运行[有效性]的审计证据必须来自当年的[控制测试]。相应地,[CPA]应当在每次审计中都测试这类控制。
图8-1概括了[CPA]是否需要在本期测试某项控制的决策过程
微信截图_20240517101150.png
图8-1本审计期间测试某项控制的决策
四、[控制测试]的范围
对于[控制测试]的范围,其含义主要是指某项控制活动的测试次数。[CPA]应当设计[控制测试],以获取控制在整个拟信赖的期间有效运行的充分、适当的审计证据。
(一)确定[控制测试]范围的考虑因素
当针对控制运行的[有效性]需要获取更具说服力的审计证据时,可能需要扩大[控制测试]的范围。在确定[控制测试]的范围时,除考虑对控制的信赖程度外,[CPA]还可能考虑以下因素:
1.在拟信赖期间,被审计单位执行控制的频率。执行控制的频率越高,[控制测试]的范围越大。
2.在所审计期间,[CPA]拟信赖控制运行[有效性]的时间长度。拟信赖控制运行[有效性]的时间长度不同,在该时间长度内发生的控制活动次数也不同。[CPA]需要根据拟信赖控制的时间长度确定[控制测试]的范围。拟信赖期间越长,[控制测试]的范围越大。
3.控制的预计偏差。预计偏差可以用控制未得到执行的预计次数占控制应当得到执行次数的比率加以衡量(也可称为预计偏差率)。考虑该因素,是因为在考虑测试结果是否可以得出控制运行[有效性]的结论时,不可能只要出现任何控制运行偏差就认定控制运行无效,所以需要确定一个合理水平的预计偏差率。控制的预计偏差率越高需要实施[控制测试]的范围越大。如果控制的预计偏差率过高,[CPA]应当考虑控制可能不足以将[认定层次]的[重大错报风险]降至可接受的低水平,从而针对某一认定实施的[控制测试]可能是无效的。
4.通过测试与认定相关的其他控制获取的审计证据的范围。针对同一认定,可能存在不同的控制。当针对其他控制获取审计证据的充分性和适当性较高时,测试该控制的范围可适当缩小。
5.拟获取的有关[认定层次]控制运行[有效性]的审计证据的相关性和[可靠性]。如拟获取的有关证据的相关性和[可靠性]较高,测试该控制的范围可适当缩小。
(二)对[自动化控制]的测试范围的特别考虑
除非系统(包括系统使用的表格、文档或其他永久性数据)发生变动,[CPA]通常不需要增加[自动化控制]的测试范围。
信息技术处理具有内在一贯性,除非系统发生变动,一项自动化[信息处理控制]应当一贯运行。对于一项自动化[信息处理控制],一旦确定被审计单位正在执行该控制,[CPA]通常无需扩大[控制测试]的范围,但需要考虑执行下列测试以确定该控制持续有效运行:
1.测试与该[信息处理控制]有关的[信息技术一般控制]的运行[有效性];
2.确定系统是否发生变动,如果发生变动,是否存在适当的系统变动控制;
3.确定对交易的处理是否使用授权批准的软件版本。
例如,[CPA]可以检查信息系统安全控制记录,以确定是否存在未经授权的接触系统硬件和软件,以及系统是否发生变动。
(三)测试两个层面控制时注意的问题
[控制测试]可用于被审计单位不同层面的[内部控制]。[整体层面][控制测试]通常更加主观(如[管理层]对胜任能力的重视)。对[整体层面]控制进行测试,通常比[业务流程层面]控制(如检查付款是否得到授权)更难以记录。因此,[整体层面]控制和[信息技术一般控制]的评价通常记录的是文件备忘录和支持性证据。[CPA]最好在审计的早期测试[整体层面]控制。原因在于对这些[控制测试]的结果会影响其他计划审计程序的性质和范围。
第四节[实质性程序]
一、[实质性程序]的概念和要求
(一)[实质性程序]的概念
[实质性程序]是指用于发现[认定层次][重大错报]的审计程序,包括对各类[交易、账户余额、披露]的[细节测试]以及[[实质性[分析程序]]]。
[CPA]实施的[实质性程序]应当包括下列与[财务报表]编制完成阶段相关的审计程序:
1.将[财务报表]中的信息与其所依据的会计记录进行核对或调节,包括核对或调节披露中的信息,无论该信息是从总账和明细账中获取,还是从总账和明细账之外的其他途径获取。
2.检查[财务报表]编制过程中作出的重大会计分录和其他调整。[CPA]对会计分录和其他会计调整检查的性质和范围,取决于被审计单位财务报告过程的性质和复杂程度以及由此产生的[重大错报风险]。
由于[CPA]对[重大错报风险]的评估是一种判断,可能无法充分识别所有的[重大错报风险],并且由于[内部控制]存在固有局限性,无论评估的[重大错报风险]结果如何,[CPA]都应当针对所有重大[交易类别、账户余额和披露]实施[实质性程序]。
(二)针对[特别风险]实施的[实质性程序]
如果认为评估的[认定层次][重大错报风险]是[特别风险],[CPA]应当专门针对该风险实施[实质性程序]。例如,如果认为[管理层]面临实现盈利指标的压力而可能提前确认收入,[CPA]在设计询证函时不仅应当考虑函证应收账款的账户余额,还应当考虑询证销售协议的细节条款(如交货、结算及退货条款);[CPA]还可考虑在实施函证的基础上针对销售协议及其变动情况询问被审计单位的非财务人员。如果针对[特别风险]实施的程序仅为[实质性程序],这些程序应当包括[细节测试],或将[细节测试]和[[实质性[分析程序]]]结合使用,以获取充分、适当的审计证据。为应对[特别风险]需要获取具有高度相关性和[可靠性]的审计证据,仅实施[[实质性[分析程序]]]不足以获取有关[特别风险]的充分、适当的审计证据。
二、[实质性程序]的性质
(一)[实质性程序]的性质的概念
[实质性程序]的性质,是指[实质性程序]的类型及其组合。[实质性程序]包括[细节测试]和[[实质性[分析程序]]]两类。
[细节测试]是对各类[交易、账户余额、披露]的具体细节进行测试,目的在于直接识别各类[交易、账户余额、披露]的认定是否存在[错报]。[细节测试]被用于获取与某些认定相关的审计证据,如“存在”“准确性、计价和分摊”等认定。
[[实质性[分析程序]]]从技术特征上讲仍然是[分析程序],主要是通过研究数据间关系评价信息,只是将该技术方法用做[实质性程序],即用以识别各类[交易、账户余额、披露]的认定是否存在[错报]。[[实质性[分析程序]]]通常更适用于在一段时间内存在可预期关系的大量交易。
(二)[细节测试]和[[实质性[分析程序]]]的适用性
由于[细节测试]和[[实质性[分析程序]]]的目的和技术手段存在一定差异,因此,各自有不同的适用领域。[CPA]应当根据各类[交易、账户余额、披露]的性质选择[实质性程序]的类型。[细节测试]适用于对各类[交易、账户余额、披露]认定的测试,尤其是对存在或发生、计价认定的测试;对在一段时期内存在可预期关系的大量交易,[CPA]可以考虑实施[[实质性[分析程序]]]。
(三)[细节测试]的方向
对于[细节测试],[CPA]应当针对评估的风险设计[细节测试],获取充分、适当的审计证据,以达到[认定层次]所计划的保证水平。该规定的含义是,[CPA]需要根据不同的[认定层次]的[重大错报风险]设计有针对性的[细节测试]。例如,在针对存在或发生认定设计[细节测试]时,[CPA]应当选择包含在[财务报表]金额中的项目,并获取相关审计证据;又如,在针对完整性认定设计[细节测试]时,[CPA]应当选择有证据表明应包含在[财务报表]金额中的项目,并调查这些项目是否确实包括在内。如为应对被审计单位漏记本期应付账款的风险,[CPA]可以检查期后付款记录。
(四)设计[[实质性[分析程序]]]时考虑的因素
[CPA]在设计[[实质性[分析程序]]]时应当考虑的因素包括:(1)对特定认定使用[[实质性[分析程序]]]的适当性;(2)对已记录的金额或比率作出预期时,所依据的内部或外部数据的[可靠性];(3)作出预期的准确程度是否足以在计划的保证水平上识别[重大错报]:(4)已记录金额与预期值之间可接受的差异额。考虑到数据及分析的[可靠性],在实施[[实质性[分析程序]]]时,如果使用被审计单位编制的信息,[CPA]应当考虑测试与信息编制相关的控制,以及这些信息是否在本期或前期经过审计。
三、[实质性程序]的时间
[实质性程序]的时间选择与[控制测试]的时间选择有共同点,也有很大差异。共同点在于:两类程序都面临着对期中审计证据和对以前审计获取的审计证据的考虑。两者的差异在于:(1)在[控制测试]中,期中实施[控制测试]并获取期中关于控制运行[有效性]审计证据的做法更具有一种“常态”;而由于[实质性程序]的目的在于更直接地发现[重大错报],在期中实施[实质性程序]时更需要考虑其成本效益的权衡。(2)在本期[控制测试]中拟信赖以前审计获取的有关控制运行[有效性]的审计证据,已经受到了很大的限制;而对于以前审计中通过[实质性程序]获取的审计证据,则采取了更加慎重的态度和更严格的限制。
(一)如何考虑是否在期中实施[实质性程序]
如前所述,在期中实施[实质性程序],一方面消耗了审计资源,另一方面期中实施[实质性程序]获取的审计证据又不能直接作为期末[财务报表]认定的审计证据,[CPA]仍然需要消耗进一步的审计资源,使期中审计证据能够合理延伸至期末。于是这两部分审计资源的总和是否能够显著小于完全在期末实施[实质性程序]所需消耗的审计资源,是[CPA]需要权衡的。下列因素可能对是否在期中实施[实质性程序]产生影响:
1.控制环境和其他相关的控制。控制环境和其他相关的控制越薄弱,[CPA]越不宜在期中实施[实质性程序]。
2.实施审计程序所需信息在期中之后的可获得性。如果实施[实质性程序]所需信息在期中之后可能难以获取(如系统变动导致某类交易记录难以获取),[CPA]应考虑在期中实施[实质性程序];但如果实施[实质性程序]所需信息在期中之后的获取并不存在明显困难,该因素不应成为[CPA]在期中实施[实质性程序]的重要影响因素。
3.[实质性程序]的目的。如果针对某项认定实施[实质性程序]的目的就包括获取该认定的期中审计证据(从而与期末比较),[CPA]应在期中实施[实质性程序]。
4.评估的[重大错报风险]。[CPA]评估的某项认定的[重大错报风险]越高,针对该认定所需获取的审计证据的相关性和[可靠性]要求也就越高,[CPA]越应当考虑将[实质性程序]集中于期末(或接近期末)实施。
5.特定[交易类别、账户余额和披露]认定的性质。例如,某些[交易、账户余额、披露]认定的特殊性质(如收入“截止”认定、未决诉讼)决定了[CPA]必须在期末(或接近期末)实施[实质性程序]。
6.针对剩余期间,能否通过实施[实质性程序]或将[实质性程序]与[控制测试]相结合,降低期末存在[错报]而未被发现的风险。如果针对剩余期间[CPA]可以通过实施[实质性程序]或将[实质性程序]与[控制测试]相结合,较有把握地降低期末存在[错报]而未被发现的风险(如[CPA]在10月实施预审时考虑是否使用一定的审计资源实施[实质性程序],从而形成的剩余期间不是很长),[CPA]可以考虑在期中实施[实质性程序];但如果针对剩余期间[CPA]认为还需要消耗大量审计资源才有可能降低期末存在[错报]而未被发现的风险,甚至没有把握通过适当的[进一步审计程序]降低期末存在[错报]而未被发现的风险(如被审计单位于8月发生[管理层]变更,[CPA]接受后任[管理层]邀请实施预审时考虑是否使用一定的审计资源实施[实质性程序]),[CPA]就不宜在期中实施[实质性程序]。
(二)如何考虑期中审计证据
如果在期中实施了[实质性程序],[CPA]应当针对剩余期间实施进一步的[实质性程序],或将[实质性程序]和[控制测试]结合使用,以将期中测试得出的结论合理延伸至期末。在将期中实施的[实质性程序]得出的结论合理延伸至期末时,[CPA]有两种选择:其一是针对剩余期间实施进一步的[实质性程序];其二是将[实质性程序]和[控制测试]结合使用。
如果拟将期中测试得出的结论延伸至期末,[CPA]应当考虑针对剩余期间仅实施[实质性程序]是否足够。如果认为实施[实质性程序]本身不充分,[CPA]还应测试剩余期间相关控制运行的[有效性]或针对期末实施[实质性程序]。
对于舞弊导致的[重大错报风险] (作为一类重要的[特别风险]),被审计单位存在故意[错报]或操纵的可能性,那么[CPA]更应慎重考虑能否将期中测试得出的结论延伸至期末。因此,如果已识别出舞弊导致的[重大错报风险],为将期中得出的结论延伸至期末而实施的审计程序通常是无效的,[CPA]应当考虑在期末或者接近期末实施[实质性程序]。
(三)如何考虑以前审计获取的审计证据
在以前审计中实施[实质性程序]获取的审计证据,通常对本期只有很弱的证据效力或没有证据效力,不足以应对本期的[重大错报风险]。只有当以前获取的审计证据及其相关事项未发生重大变动时(例如,以前审计通过[实质性程序]测试过的某项诉讼在本期没有任何实质性进展),以前获取的审计证据才可能用做本期的有效审计证据。但即便如此如果拟利用以前审计中实施[实质性程序]获取的审计证据,[CPA]应当在本期实施审计程序,以确定这些审计证据是否具有持续相关性。
四、[实质性程序]的范围
评估的[认定层次][重大错报风险]和实施[控制测试]的结果是[CPA]在确定[实质性程序]的范围时的重要考虑因素。因此,在确定[实质性程序]的范围时,[CPA]应当考虑评估的[认定层次][重大错报风险]和实施[控制测试]的结果。[CPA]评估的[认定层次]的[重大错报风险]越高,需要实施[实质性程序]的范围越广。如果对[控制测试]结果不满意,[CPA]可能需要考虑扩大[实质性程序]的范围。
在设计[细节测试]时,[CPA]除了从样本量的角度考虑测试范围外,还要考虑选样方法的[有效性]等因素。例如,从总体中选取大额或异常项目,而不是进行代表性抽样或分层抽样。
[[实质性[分析程序]]]的范围有两层含义:第一层含义是对什么层次上的数据进行分析,[CPA]可以选择在高度汇总的财务数据层次进行分析,也可以根据[重大错报风险]的性质和水平调整分析层次。例如,按照不同产品线、不同季节或月份、不同经营地点或存货存放地点等实施[[实质性[分析程序]]]。第二层含义是需要对什么幅度或性质的差异展开进一步调查。实施[分析程序]可能发现差异,但并非所有的差异都值得展开进一步调查可容忍或可接受的差异额(即预期差异额)越大,作为[[实质性[分析程序]]]一部分的进一步调查的范围就越小。于是确定适当的预期差异额同样属于[[实质性[分析程序]]]的范畴。因此,在设计[[实质性[分析程序]]]时,[CPA]应当确定已记录金额与预期值之间可接受的差异额。在确定该差异额时,[CPA]应当主要考虑各类[交易、账户余额、披露]认定的[重要性]和计划的保证水平。
End
|
微信扫码,自愿捐赠。天涯同道,共谱新篇。
微信捐赠不显示捐赠者个人信息,如需要,请注明联系方式。 |
