一、内部控制的含义和要素
内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计与执行的政策及程序。
可以从以下几方面理解内部控制。
1.内部控制的目标是合理保证:(1)财务报告的可靠性,这一目标与管理层履行财务报告编制责任密切相关;(2)经营的效率和效果,即经济有效地使用企业资源,以最优方式实现企业的目标;(3)在所有经营活动中遵守法律法规的要求,即在法律法规的框架下从事经营活动。
2.设计和实施内部控制的责任主体是治理层、管理层和其他人员,组织中的每一个人都对内部控制负有责任。
3.实现内部控制目标的手段是设计和执行控制政策及程序。
内部控制包括下列要素:(1)控制环境;(2)风险评估过程;(3)信息系统与沟通;(4)控制活动;(5)对控制的监督。内部控制包括上述五项要素;控制包括上述一项或多项要素,或要素表现出的各个方面。上述五要素的内涵以及注册会计师对内部控制要素了解的重点,将在本节六至十中阐述。
值得指出的是,本教材采用了COSO①发布的内部控制框架,被审计单位可能并不一定采用这种分类方式来设计和执行内部控制。对内部控制要素的分类提供了了解内部控制的框架,但无论如何对内部控制要素进行分类,注册会计师都应当重点考虑被审计单位的某项控制,是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。也就是说,在了解和评价内部控制时,采用的具体分析框架及控制要素的分类可能并不唯一,重要的是控制能否实现控制目标。注册会计师可以使用不同的框架和术语描述内部控制的不同方面,但必须涵盖上述内部控制五个要素所涉及的各个方面。
① coso(The Committee of Sponsoring Organizaiions of the Treadway Commlssion)是美国五个职业团体在1985年联合发起设立的一个民间组织,当时成立的主要动机是资助“财务报告舞弊研究全国委员会”。“财务报告舞弊研究全国委员会”负责研究导致财务报告舞弊的因素,并对公众公司、会计师事务所、证监会及其他监督机构提出建议。该委员会的首任主席由James S.Treadway担任,因此,又被称为“Treadway委员会”。这五个职业团体是美国会计学会、美国注册会计师协会、财务总监协会、内部审计师协会和管理会计师协会。现在cOs0致力于通过倡导良好的企业道德和有效的内部控制与公司治理,改进财务报告的质量。
被审计单位设计和执行内部控制的具体方式会因被审计单位的规模和复杂程度的不同而不同。小型被审计单位通常采用非正式和简单的内部控制实现其目标,参与日常经营管理的业主(以下简称业主)可能承担多项职能,内部控制要素没有得到清晰区分,注册会计师应当综合考虑小型被审计单位的内部控制要素能否实现其目标。
二、与审计相关的控制
内部控制的目标旨在合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守。注册会计师审计的目标是对财务报表是否不存在重大错报发表审计意见,尽管要求注册会计师在财务报表审计中考虑与财务报表编制相关的内部控制,但目的并非对被审计单位内部控制的有效性发表意见。因此,注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制。
(一)为实现财务报告可靠性目标设计和实施的控制
与审计相关的控制,包括被审计单位为实现财务报告可靠性目标设计和实施的控制。注册会计师应当运用职业判断,考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序有关。
在运用职业判断时,注册会计师应当考虑下列因素:
1.注册会计师确定的重要性水平;
2.被审计单位的性质,包括组织结构和所有制性质;
3.被审计单位的规模;
4.被审计单位经营的多样性和复杂性;
5.法律法规和监管要求;
6.作为内部控制组成部分的系统(包括利用服务机构)的性质和复杂性。
(二)其他与审计相关的控制
如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息,注册会计师应当考虑用以保证该信息完整性和准确性的控制可能与审计相关。注册会计师以前的经验以及在了解被审计单位及其环境过程中获得的信息,可以帮助注册会计师识别与审计相关的控制。
如果用以保证经营效率、效果的控制以及对法律法规遵守的控制与实施审计程序时评价或使用的数据相关,注册会计师应当考虑这些控制可能与审计相关。例如,对于某些非财务数据(如生产统计数据)的控制,如果注册会计师在实施分析程序时使用这些数据,这些控制就可能与审计相关。又如,某些法规(如税法)对财务报表存在直接和重大的影响(影响应交税费和所得税费用),为了遵守这些法规,被审计单位可能设计和执行相应的控制,这些控制也与注册会计师的审计相关。
被审计单位通常有一些与审计无关的控制,注册会计师无须对其加以考虑。例如,被审计单位可能依靠某一复杂的自动控制系统提高经营活动的效率和效果(如航空公司用于维护航班时间表的自动控制系统),但这些控制通常与审计无关。
用以保护资产的内部控制可能包括与实现财务报告可靠性和经营效率、效果目标相关的控制。注册会计师在了解保护资产的内部控制各项要素时,可仅考虑其中与财务报告可靠性目标相关的控制。例如,保护存货安全的控制可能与审计相关,但在生产中防止材料浪费的控制通常就与审计不相关,只有所用材料的成本没有在财务报表中如实反映,才会影响财务报表的可靠性。
三、对内部控制了解的深度
对内部控制了解的深度,是指在了解被审计单位及其环境时对内部控制了解的程度。包括评价控制的设计,并确定其是否得到执行,但不包括对控制是否得到一贯执行的测试。图13 -2描述了评价过程的关键步骤。
(一)评价控制的设计
注册会计师在了解内部控制时,应当评价控制的设计,并确定其是否得到执行。评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。控制得到执行是指某项控制存在且被审计单位正在使用。设计不当的控制可能表明内部控制存在重大缺陷,注册会计师在确定是否考虑控制得到执行时,应当首先考虑控制的设计。如果控制设计不当,不需要再考虑控制是否得到执行。
(二)获取控制设计和执行的审计证据
注册会计师通常实施下列风险评估程序,以获取有关控制设计和执行的审计证据:
1.报告询问被审计单位的人员;
2.观察特定控制的运用;
3.检查文件和报告;
4.追踪交易在财务报告信息系统中的处理过程(穿行测试)。
这些程序是风险评估程序在了解被审计单位内部控制方面的具体运用。
询问本身并不足以评价控制的设计以及确定其是否得到执行,注册会计师应当将询问与其他风险评估程序结合使用。
(三)了解内部控制的步骤
了解内部控制包括四个重要的步骤:第一步,识别需要降低哪些风险以预防财务报表中发生重大错报。如果某内部控制目标没有实现,风险因素通常被描述为“可能的错误”。第二步,记录相关的内部控制。目的是识别是否存在内部控制降低第一步所列出的风险因素,但没有必要记录和评价与审计无关的内部控制。第三步,评估控制的执行。主要是实施穿行测试,以确信识别的内部控制实际上确实存在。如果存在,注册会计师就可完成对控制设计和执行的评价。第四步,评估内部控制的设计。汇总获得的所有信息,并根据风险因素描绘识别出的(或执行的)控制。完成上述四个步骤之后,注册会计师应当确定内部控制是否存在重大弱点。
(四)了解内部控制与测试控制运行有效性的关系
除非存在某些可以使控制得到一贯运行的自动化控制,注册会计师对控制的了解并不能够代替对控制运行有效性的测试。
例如,获取某一人工控制在某一时点得到执行的审计证据,并不能证明该控制在所审计期间内的其他时点也有效运行。但是,信息技术可以使被审计单位持续一贯地对大量数据进行处理,提高了被审计单位监督控制活动运行情况的能力,信息技术还可以通过对应用软件、数据库、操作系统设置安全控制来实现有效的职责划分。由于信息技术处理流程的内在一贯性,实施审计程序确定某项自动控制是否得到执行,也可能实现对控制运行有效性测试的目标。
四、内部控制的人工和自动化成分
(一)考虑内部控制的人工和自动化特征及其影响
大多数被审计单位出于编制财务报告和实现经营目标的需要使用信息技术。然而,即使信息技术得到广泛使用,人工因素仍然会存在于这些系统之中。不同的被审计单位采用的控制系统中人工控制和自动化控制的比例是不同的。在一些小型的、生产经营不太复杂的被审计单位,可能以人工控制为主;而在另外一些单位,可能以自动化控制为主。内部控制可能既包括人工成分又包括自动化成分,在风险评估以及设计和实施进一步审计程序时,注册会计师应当考虑内部控制的人工和自动化特征及其影响。
内部控制采用人工系统还是自动化系统,将影响交易生成、记录、处理和报告的方式。在以人工为主的系统中,内部控制一般包括批准和复核业务活动,编制调节表并对调节项目进行跟踪。当采用信息技术系统生成、记录、处理和报告交易时,交易的记录形式(如订购单、发票、装运单及相关的会计记录)可能是电子文档而不是纸质文件。信息技术系统中的控制可能既有自动控制(如嵌入计算机程序的控制)又有人工控制。人工控制可能独立于信息技术系统,利用信息技术系统生成的信息,也可能用于监督信息技术系统和自动控制的有效运行或者处理例外事项。如果采用信息技术系统处理交易和其他数据,系统和程序可能包括与财务报表重大账户认定相关的控制或者包括人工控制作用的有效发挥。被审计单位的性质和经营的复杂程度会对采用人工控制和自动控制的成分产生影响。
(二)信息技术的优势及相关内部控制风险
信息技术通常在下列方面提高被审计单位内部控制的效率和效果:
1.在处理大量的交易或数据时,一贯运用事先确定的业务规则,并进行复杂运算;
2.提高信息的及时性、可获得性及准确性;
3.有助于对信息的深入分析;
4.加强对被审计单位政策和程序执行情况的监督;
5.降低控制被规避的风险;
6.通过对操作系统、应用程序系统和数据库系统实施安全控制,提高不相容职务分离的有效性。.
但是,信息技术也可能对内部控制产生特定风险。注册会计师应当从下列方面了解信息技术对内部控制产生的特定风险:
1.系统或程序未能正确处理数据,或处理了不正确的数据,或两种情况同时并存;
2.在未得到授权情况下访问数据,可能导致数据的毁损或对数据不恰当的修改,包括记录未经授权或不存在的交易,或不正确地记录了交易;
3.信息技术人员可能获得超越其履行职责以外的数据访问权限,破坏了系统应有的职责分工;
4.未经授权改变主文档的数据;
5.未经授权改变系统或程序;
6.未能对系统或程序做出必要的修改;
7.不恰当的人为干预;
8.数据丢失的风险或不能访问所需要的数据。
(三)人工控制的适用范围及相关内部控制风险
内部控制的人工成分在处理下列需要主观判断或酌情处理的情形时可能更为适当:
1.存在大额、异常或偶发的交易;
2.存在难以定义、防范或预见的错误;
3.为应对情况的变化,需要对现有的自动化控制进行调整;
4.监督自动化控制的有效性。
但是,由于人工控制由人执行,受人为因素的影响,也产生了特定风险,注册会计师应当从下列方面了解人工控制产生的特定风险:
1.人工控制可能更容易被规避、忽视或凌驾;
2.人工控制可能不具有一贯性;
3.人工控制可能更容易产生简单错误或失误。相对于自动控制,人工控制的可靠性较差。为此,注册会计师应当考虑人工控制在下列情形中可能是不适当的:(1)存在大量或重复发生的交易;(2)事先可预见的错误能够通过自动化控制得以防范或发现;(3)控制活动可得到适当设计和自动化处理。
内部控制风险的程度和性质受被审计单位信息系统的性质和特征的影响,因此,在了解内部控制时,注册会计师应当考虑被审计单位是否通过建立有效的控制,以恰当应对由于使用信息技术系统或人工系统而产生的风险。
五、内部控制的局限性
(一)内部控制的固有局限性
内部控制存在固有局限性,无论如何设计和执行,只能对财务报告的可靠性提供合理的保证。内部控制存在的固有局限性包括:
1.在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。例如,被审计单位信息技术工作人员没有完全理解系统如何处理销售交易,为使系统能够处理新型产品的销售,可能错误地对系统进行更改;或者对系统的更改是正确的,但是程序员没能把此次更改转化为正确的程序代码。
2.可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。例如,管理层可能与客户签订背后协议,对标准的销售合同做出变动,从而导致收入确认发生错误。再如,软件中的编辑控制旨在发现和报告超过赊销信用额度的交易,但这一控制可能被逾越或规避。
此外,如果被审计单位内部行使控制职能的人员素质不适应岗位要求,也会影响内部控制功能的正常发挥。被审计单位实施内部控制的成本效益问题也会影响其效能,当实施某项控制成本大于控制效果而发生损失时,就没有必要设置控制环节或控制措施。内部控制一般都是针对经常而重复发生的业务而设置的,如果出现不经常发生或未预计到的业务,原有控制就可能不适用。
(二)对小型被审计单位的考虑
小型被审计单位拥有的员工通常较少,限制了其职责分离的程度。业主凌驾于内部控制之上的可能性较大。注册会计师应当考虑一些关键领域是否存在有效的内部控制。
六、控制环境
(一)控制环境的含义
控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。控制环境设定了被审计单位的内部控制基调,影响员工对内部控制的认识和态度。良好的控制环境是实施有效内部控制的基础。防止或发现并纠正舞弊和错误是被审计单位治理层和管理层的责任。在评价控制环境的设计和实施情况时,注册会计师应当了解管理层在治理层的监督下,是否营造并保持了诚实守信和合乎道德的文化,以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。实际上,在审计业务承接阶段,注册会计师就需要对控制环境做出初步了解和评价。
(二)对诚信和道德价值观念的沟通与落实
诚信和道德价值观念是控制环境的重要组成部分,影响到重要业务流程的设计和运行。内部控制的有效性直接依赖于负责创建、管理和监控内部控制的人员的诚信和道德价值观念。被审计单位是否存在道德行为规范,以及这些规范如何在被审计单位内部得到沟通和落实,决定了是否能产生诚信和道德的行为。对诚信和道德价值观念的沟通与落实,既包括管理层如何处理不诚实、非法或不道德行为,也包括在被审计单位内部通过行为规范以及高层管理人员的身体力行.对诚信和道德价值观念的营造和保持。
例如,管理层在行为规范中指出,员工不允许从供货商那里获得超过一定金额的礼品,超过部分都须报告和退回。尽管该行为规范本身并不能绝对保证员工都照此执行,但至少意味着管理层已对此进行明示,它连同其他程序,可能构成一个有效的预防机制。
注册会计师在了解和评估被审计单位诚信和道德价值观念的沟通与落实时,考虑的主要因素可能包括:(1)被审计单位是否有书面的行为规范并向所有员工传达;(2)被审计单位的企业文化是否强调诚信和道德价值观念的重要性;(3)管理层是否身体力行,高级管理人员是否起表率作用;(4)对违反有关政策和行为规范的情况,管理层是否采取适当的惩罚措施。
(三)对胜任能力的重视
胜任能力是指具备完成某一职位的工作所应有的知识和能力。管理层对胜任能力的重视包括对于特定工作所需的胜任能力水平的设定,以及对达到该水平所必需的知识和能力的要求。注册会计师应当考虑主要管理人员和其他相关人员是否能够胜任承担的工作和职责,例如,财会人员是否对编报财务报表所适用的会计准则和相关会计制度有足够的了解并能正确运用。
注册会计师在就被审计单位对胜任能力的重视情况进行了解和评估时,考虑的主要因素可能包括:
1.财会人员以及信息管理人员是否具备与被审计单位业务性质和复杂程度相称的足够的胜任能力和培训,在发生错误时,是否通过调整人员或系统来加以处理;
2.管理层是否配备足够的财会人员以适应业务发展和有关方面的需要;
3.财会人员是否具备理解和运用会计准则所需的技能。
(四)治理层的参与程度
被审计单位的控制环境在很大程度上受治理层的影响。治理层的职责应在被审计单位的章程和政策中予以规定。治理层(董事会)通常通过其自身的活动,并在审计委员会或类似机构的支持下,监督被审计单位的财务报告政策和程序。因此,董事会、审计委员会或类似机构应关注被审计单位的财务报告,并监督被审计单位的会计政策以及内部、外部的审计工作和结果。治理层的职责还包括监督用于复核内部控制有效性的政策和程序设计是否合理,执行是否有效。
治理层对控制环境影响的要素有:治理层相对于管理层的独立性、成员的经验和品德、对被审计单位业务活动的参与程度、治理层行为的适当性、治理层所获得的信息、管理层对治理层所提出问题的追踪程度,以及治理层与内部审计人员和注册会计师的联系程度等。
注册会计师在对被审计单位治理层的参与程度进行了解和评估时,考虑的主要因素可能包括:
1.董事会是否建立了审计委员会或类似机构;
2.董事会、审计委员会或类似机构是否与内部审计人员以及注册会计师有联系和沟通,联系和沟通的性质以及频率是否与被审计单位的规模和业务复杂程度相匹配;
3.董事会、审计委员会或类似机构的成员是否具备适当的经验和资历;
4.董事会、审计委员会或类似机构是否独立于管理层;
5.审计委员会或类似机构会议的数量和时间是否与被审计单位的规模和业务复杂程度相匹配;
6.董事会、审计委员会或类似机构是否充分地参与了财务报告的过程;
7.董事会、审计委员会或类似机构是否对经营风险的监控有足够的关注,进而影响被审计单位和管理层的风险评估进程(包括舞弊风险);
8.董事会成员是否保持相对的稳定性。
(五)管理层的理念和经营风格
管理层负责企业的运作以及经营策略和程序的制定、执行与监督。控制环境的每个方面在很大程度上都受管理层采取的措施和作出决策的影响,或在某些情况下受管理层不采取某些措施或不作出某种决策的影响。在有效的控制环境中,管理层的理念和经营风格可以创造一个积极的氛围,促进业务流程和内部控制的有效运行,同时创造一个减少错报发生可能性的环境。在管理层以一个或少数几个人为主时,管理层的理念和经营风格对内部控制的影响尤为突出。
管理层的理念包括管理层对内部控制的理念,即管理层对内部控制以及对具体控制实施环境的重视程度。管理层对内部控制的重视,将有助于控制的有效执行,并减少特定控制被忽视或规避的可能性。控制理念反映在管理层制定的政策、程序及所采取的措施中,而不是反映在形式上。因此,要使控制理念成为控制环境的一个重要特质,管理层必须告知员工内部控制的重要性。同时,只有建立适当的管理层控制机制,控制理念才能产生预期的效果。
衡量管理层对内部控制重视程度的重要标准,是管理层收到有关内部控制缺陷及违规事件的报告时是否做出适当反应。管理层及时下达纠弊措施,,表明他们对内部控制的重视,也有利于加强企业内部的控制意识。
此外,了解管理层的经营风格也很有必要,管理层的经营风格可以表明管理层所能接受的业务风险的性质。例如,管理层是否经常投资于风险特别高的领域,或者在接受风险方面极为保守,不敢越雷池一步。注册会计师应考虑的问题包括:管理层是否谨慎从事,只有在对方案的风险和潜在利益进行仔细研究分析后才进一步采取措施。了解管理层的经营风格有助于注册会计师判断哪些因素影响管理层对待内部控制的态度,哪些因素影响在编制财务报表时所作的判断,特别是在做出会计估计以及选用会计政策时。这种了解也有助于注册会计师进一步认识管理层的能力和经营动机。注册会计师对管理层的能力和诚信越有信心,就越有理由信赖管理层提供的信息和做出的解释及声明。相反,如果对管理层经营风格的了解加重了注册会计师的怀疑,注册会计师就会加大职业怀疑的程度,从而对管理层的各种声明产生疑问。因此,了解管理层的经营风格对注册会计师评估重大错报风险有着重要的意义。
注册会计师在了解和评估被审计单位管理层的理念和经营风格时,考虑的主要因素可能包括:
1.管理层是否对内部控制,包括信息技术的控制,给予了适当的关注;
2.管理层是否由一个或几个人所控制,董事会、审计委员会或类似机构对其是否实施有效监督;
3.管理层在承担和监控经营风险方面是风险偏好者还是风险规避者;
4.管理层在选择会计政策和做出会计估计时是倾向于激进还是保守;
5.管理层对于信息管理人员以及财会人员是否给予了适当关注;
6.对于重大的内部控制和会计事项,管理层是否征询注册会计师的意见,或者经常在这些方面与注册会计师存在不同意见。
(六)组织结构及职权与责任的分配
被审计单位的组织结构为计划、运作、控制及监督经营活动提供了一个整体框架。通过集权或分权决策,可在不同部门间进行适当的职责划分,建立适当层次的报告体系。组织结构将影响权利、责任和工作任务在组织成员中的分配。被审计单位的组织结构在一定程度上取决于被审计单位的规模和经营活动的性质。
注册会计师应当考虑被审计单位组织结构中是否采用向个人或小组分配控制职责的方法,是否建立了执行特定职能(包括交易授权)的授权机制,是否确保每个人都清楚地了解报告关系和责任。注册会计师还需审查对分散经营活动的监督是否充分。有效的权责分配制度有助于形成整体的控制意识。注册会计师应当关注组织结构及权责分配方法的实质而不是仅仅关注其形式。相应地,注册会计师应当考虑相关人员对政策与程序的整体认识水平和遵守程度,以及管理层对其实施监督的程度。
注册会计师对组织结构的审查,有助于其确定被审计单位的职责划分应该达到何种程度,也有助于其评价被审计单位在这方面的不足会对整体审计策略产生的影响。
信息系统处理环境是注册会计师对组织结构及权责分配方法进行审查的一个重要方面。注册会计师应当考虑信息系统职能部门的结构安排是否明确了职责分配,授权和批准系统变化的职责分配,以及是否明确程序开发、运行及使用者之间的职责划分。
注册会计师在对被审计单位组织结构和职权与责任的分配进行了解和评估时,考虑的主要因素可能包括:
1.在被审计单位内部是否有明确的职责划分,是否将业务授权、业务记录、资产保管和维护以及业务执行的责任尽可能地分离;
2.数据的所有权划分是否合理;
3.是否已针对授权交易建立适当的政策和程序。
(七)人力资源政策与实务
政策与程序(包括内部控制)的有效性,通常取决于执行人。因此,被审计单位员工的能力与诚信是控制环境中不可缺少的因素。人力资源政策与实务涉及雇用、培训、考核、晋升和工薪等方面。被审计单位是否有能力雇用并保留一定数量既有能力又有责任心的员工在很大程度上取决于其人力资源政策与实务。例如,如果雇用录用标准要求录用最合适的员工,包括强调员工的学历、经验、诚信和道德,这表明被审计单位希望录用有能力并值得信赖的人员。被审计单位有关培训方面的政策应显示员工应达到的工作表现和业绩水准,通过定期考核的晋升政策表明被审计单位希望具备相应资格的人员承担更多的职责。
注册会计师在对被审计单位人力资源政策与实务进行了解和评估时,考虑的主要因素可能包括:
1.被审计单位在雇用、培训、考核、晋升、工薪、调动和辞退员工方面是否都有适当的政策和程序(特别是在会计、财务和信息系统方面);
2.是否有书面的员工岗位职责手册,或者在没有书面文件的情况下,对于工作职责和期望是否作了适当的沟通和交流;
3.人力资源政策与程序是否清晰,并且定期发布和更新;
4.是否设定适当的程序,对分散在各地区和海外的经营人员建立和沟通人力资源政策与程序。
综上所述,注册会计师应当对控制环境的构成要素获取足够的了解,并考虑内部控制的实质及其综合效果,以了解管理层和治理层对内部控制及其重要性的态度、认识以及所采取的措施。
在评价控制环境的各个要素时,注册会计师应当考虑控制环境的各个要素是否得到执行。因为管理层也许建立了合理的内部控制,但却未有效执行。例如,管理层已建立正式的行为守则,但实际操作中却没有对不遵守该守则的行为采取措施。又如,管理层要求信息系统建立安全措施,但却没有提供足够的资源。
在确定构成控制环境的要素是否得到执行时,注册会计师应当考虑将询问与其他风险评估程序相结合以获取审计证据。通过询问管理层和员工,注册会计师可能了解管理层如何就业务规程和道德价值观念与员工进行沟通;通过观察和检查,注册会计师可能了解管理层是否建立了正式的行为守则,在日常工作中行为守则是否得到遵守,以及管理层如何处理违反行为守则的情形。
控制环境对重大错报风险的评估具有广泛影响,注册会计师应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的基础,并且未被控制环境中存在的缺陷所削弱。
注册会计师在评估重大错报风险时,存在令人满意的控制环境是一个积极的因素。虽然令人满意的控制环境并不能绝对防止舞弊,但却有助于降低发生舞弊的风险。有效的控制环境还能为注册会计师相信在以前年度和期中所测试的控制将继续有效运行提供一定的基础。相反,控制环境中存在的弱点可能削弱控制的有效性。例如,注册会计师在进行风险评估时,如果认为被审计单位控制环境薄弱,则很难认定某一流程的控制是有效的。
控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报,注册会计师在评估重大错报风险时,应当将控制环境连同其他内部控制要素产生的影响一并考虑。例如,将控制环境与对控制的监督和具体控制活动一并考虑。
在小型被审计单位,可能无法获取以文件形式存在的有关控制环境要素的审计证据。例如,小型被审计单位可能没有书面的行为守则,管理层对道德价值和专业胜任能力的推崇,通常是通过管理层在经营管理过程中展示的行为和态度得到体现。因此,注册会计师应当重点了解管理层对内部控制设计的态度、认识和措施。
七、被审计单位的风险评估过程
(一)被审计单位风险评估过程的含义
任何经济组织在经营活动中都会面临各种各样的风险,风险对其生存和竞争能力产生影响。很多风险并不为经济组织所控制,但管理层应当确定可以承受的风险水平,识别这些风险并采取一定的应对措施。
可能产生风险的事项和情形包括:
1.监管和经营环境的变化。监管和经营环境的变化会导致竞争压力的变化以及重大的相关风险。
2.新员工的加入。新员工可能对内部控制有不同的认识和关注点。
3.新信息系统的使用或对原系统进行升级。信息系统的重大变化会改变与内部控制相关的风险。
4.业务快速发展。快速的业务扩张可能会使内部控制难以应对,从而增加内部控制失效的可能性。
5.新技术。将新技术运用于生产过程和信息系统可能改变与内部控制相关的风险。
6.新生产型号、产品和业务活动。进入新的业务领域和发生新的交易可能带来新的与内部控制相关的风险。
7.企业重组。重组可能带来裁员以及管理职责的重新划分,将影响与内部控制相关的风险。
8.发展海外经营。海外扩张或收购会带来新的并且往往是特别的风险,进而可能影响内部控制,如外币交易的风险。
9.新的会计准则。采用新的或变化了的会计准则可能会增大财务报告发生重大错报的风险。
风险评估过程的作用是识别、评估和管理影响被审计单位实现经营目标能力的各种风险。而针对财务报告目标的风险评估过程则包括识别与财务报告相关的经营风险,评估风险的重大性和发生的可能性,以及采取措施管理这些风险。例如,风险评估可能会涉及被审计单位如何考虑对某些交易未予记录的可能性,或者识别和分析财务报告中的重大会计估计发生错报的可能性。与财务报告相关的风险也可能与特定事项和交易有关。
被审计单位的风险评估过程包括识别与财务报告相关的经营风险.以及针对这些风险所采取的措施。注册会计师应当了解被审计单位的风险评估过程和结果。
(二)对风险评估过程的了解
在评价被审计单位风险评估过程的设计和执行时,注册会计师应当确定管理层如何识别与财务报告相关的经营风险,如何估计该风险的重要性,如何评估风险发生的可能性,以及如何采取措施管理这些风险。如果被审计单位的风险评估过程符合其具体情况,了解被审计单位的风险评估过程和结果有助于注册会计师识别财务报表的重大错报风险。
注册会计师在对被审计单位整体层面的风险评估过程进行了解和评估时,考虑的主要因素可能包括:
1.被审计单位是否已建立并沟通其整体目标,并辅以具体策略和业务流程层面的计划:
2.被审计单位是否已建立风险评估过程,包括识别风险、估计风险的重大性、评估风险发生的可能性以及确定需要采取的应对措施;
3.被审计单位是否已建立某种机制,识别和应对可能对被审计单位产生重大且普遍影响的变化,如在金融机构中建立资产负债管理委员会,在制造型企业中建立期货交易风险管理组等;
4.会计部门是否建立了某种流程,以识别会计准则的重大变化;
5.当被审计单位业务操作发生变化并影响交易记录的流程时,是否存在沟通渠道以通知会计部门;
6.风险管理部门是否建立了某种流程,以识别经营环境包括监管环境发生的重大变化。
注册会计师可以通过了解被审计单位及其环境的其他方面信息,评价被审计单位风险评估过程的有效性。例如,在了解被审计单位的业务情况时,发现了某些经营风险,注册会计师应当了解管理层是否也意识到这些风险以及如何应对。在对业务流程的了解中,注册会计师还可能进一步地获得被审计单位有关业务流程的风险评估过程的信息。例如,在销售循环中,如果发现了销售的截止性错报的风险,注册会计师应当考虑管理层是否也识别了该错报风险以及如何应对该风险。
注册会计师应当询问管理层识别出的经营风险,并考虑这些风险是否可能导致重大错报。
在审计过程中,如果发现与财务报表有关的风险因素,注册会计师可通过向管理层询问和检查有关文件确定被审计单位的风险评估过程是否也发现了该风险;如果识别出管理层未能识别的重大错报风险,注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险,以及评估过程是否适合于具体环境。
(三)对小型被审计单位的考虑
在小型被审计单位,管理层可能没有正式的风险评估过程,注册会计师应当与管理层讨论其如何识别经营风险以及如何应对这些风险。
八、信息系统与沟通
(一)与财务报告相关的信息系统的含义
与财务报告相关的信息系统,包括用以生成、记录、处理和报告交易、事项和情况,对相关资产、负债和所有者权益履行经营管理责任的程序和记录。交易可能通过人工或自动化程序生成。记录包括识别和收集与交易、事项有关的信息。处理包括编辑、核对、计量、估价、汇总和调节活动,可能由人工或自动化程序来执行。报告是指用电子或书面形式编制财务报告和其他信息,供被审计单位用于衡量和考核财务及其他方面的业绩。
与财务报告相关的信息系统应当与业务流程相适应。业务流程是指被审计单位开发、采购、生产、销售、发送产品和提供服务、保证遵守法律法规、记录信息等一系列活动。与财务报告相关的信息系统所生成信息的质量,对管理层能否做出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。
与财务报告相关的信息系统通常包括下列职能:
1.识别与记录所有的有效交易;
2.及时、详细地描述交易,以便在财务报告中对交易做出恰当分类;
3.恰当计量交易,以便在财务报告中对交易的金额做出准确记录;
4.恰当确定交易生成的会计期间;
5.在财务报告中恰当列报交易。
(二)对与财务报告相关的信息系统的了解
注册会计师应当从下列方面了解与财务报告相关的信息系统:
1.在被审计单位经营过程中,对财务报表具有重大影响的各类交易。
2.在信息技术和人工系统中,交易生成、记录、处理和报告的程序。在了解时,注册会计师应当同时考虑被审计单位将交易处理系统中的数据过人总分类账和财务报告的程序。
3.与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目。企业信息系统通常包括使用标准的会计分录,以记录销售、购货和现金付款等重复发生的交易,或记录管理层定期做出的会计估计,如应收账款可回收金额的变化。信息系统还包括使用非标准的分录,以记录不重复发生的、异常的交易或调整事项,如企业合并、资产减值等。
4.信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况的信息,如对固定资产和长期资产计提折旧或摊销、对应收账款计提坏账准备等。
5.被审计单位编制财务报告的过程,包括做出的重大会计估计和披露。编制财务报告的程序应当同时确保适用的会计准则和相关会计制度要求披露的信息得以收集、记录、处理和汇总,并在财务报告中得到充分披露。
6.管理层凌驾于账户记录控制之上的风险。
在了解与财务报告相关的信息系统时,注册会计师应当特别关注由于管理层凌驾于账户记录控制之上或规避控制行为而产生的重大错报风险,并考虑被审计单位如何纠正不正确的交易处理。
自动化程序和控制可能降低了发生无意错误的风险,但是并没有消除个人凌驾于控制之上的风险,如某些高级管理人员可能篡改自动过人总分类账和财务报告系统的数据金额。当被审计单位运用信息技术进行数据的传递时,发生篡改可能不会留下痕迹或证据。
(三)与财务报告相关的沟通的含义
与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责,员工之间的工作联系,以及向适当级别的管理层报告例外事项的方式。
公开的沟通渠道有助于确保例外情况得到报告和处理。沟通可以采用政策手册、会计和财务报告手册及备忘录等形式进行,也可以通过发送电子邮件、口头沟通和管理层的行动来进行。
(四)对与财务报告相关的沟通的了解
注册会计师应当了解被审计单位内部如何对财务报告的岗位职责以及与财务报告相关的重大事项进行沟通。注册会计师还应当了解管理层与治理层(特别是审计委员会)之间的沟通,以及被审计单位与外部(包括与监管部门)的沟通。具体包括:
1.管理层就员工的职责和控制责任是否进行了有效沟通;
2.针对可疑的不恰当事项和行为是否建立了沟通渠道;
3.组织内部沟通的充分性是否能够使员工有效地履行职责;
4.对于与客户、供应商、监管者和其他外部人士的沟通,管理层是否及时采取适当的进一步行动;
5.被审计单位是否受到某些监管机构发布的监管要求的约束;
6.外部人士如客户和供应商在多大程度上获知被审计单位的行为守则。
(五)对小型被审计单位的考虑
在小型被审计单位,与财务报告相关的信息系统和沟通可能不如大型被审计单位正式和复杂。管理层可能会更多地参与日常经营管理活动和财务报告活动,不需要很多书面的政策和程序指引,也没有复杂的信息系统和会计流程。由于小型被审计单位的规模较小、报告层次较少,因此,小型被审计单位可能比大型被审计单位更容易实现有效的沟通。注册会计师应当考虑这些特征对评估重大错报风险的影响。
九、控制活动
(一)相关的控制活动的含义
控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。
1.授权。注册会计师应当了解与授权有关的控制活动,包括一般授权和特别授权。
授权的目的在于保证交易在管理层授权范围内进行。一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。特别授权是指管理层针对特定类别的交易或活动逐一设置的授权,如重大资本支出和股票发行等。特别授权也可能用于超过一般授权限制的常规交易。例如,因某些特别原因,同意对某个不符合一般信用条件的客户赊销商品。
2.业绩评价。注册会计师应当了解与业绩评价有关的控制活动,主要包括被审计单位分析评价实际业绩与预算(或预测、前期业绩)的差异,综合分析财务数据与经营数据的内在关系,将内部数据与外部信息来源相比较,评价职能部门、分支机构或项目活动的业绩(如银行客户信贷经理复核各分行、地区和各种贷款类型的审批和收回),以及对发现的异常差异或关系采取必要的调查与纠正措施。
通过调查非预期的结果和非正常的趋势,管理层可以识别可能影响经营目标实现的情形。管理层对业绩信息的使用(如将这些信息用于经营决策,用于对财务报告系统报告的非预期结果进行追踪),决定了业绩指标的分析是只用于经营目的还是同时用于财务报告目的。
3.信息处理。注册会计师应当了解与信息处理有关的控制活动,包括信息技术一般控制和信息技术应用控制。
被审计单位通常执行各种措施,检查各种类型信息处理环境下的交易的准确性、完整性和授权。信息处理控制可以是人工的、自动化的,或是基于自动流程的人工控制。信息处理控制分为两类,即信息技术一般控制和信息技术应用控制。
信息技术一般控制是指与多个应用系统有关的政策和程序,有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性),支持应用控制作用的有效发挥,通常包括数据中心和网络运行控制,系统软件的购置、修改及维护控制,接触或访问权限控制,应用系统的购置、开发及维护控制。例如,程序改变的控制、限制接触程序和数据的控制、与新版应用软件包实施有关的控制等都属于信息技术一般控制。
信息技术应用控制是指主要在业务流程层面运行的人工或自动化程序,与用于生成、记录、处理、报告交易或其他财务数据的程序相关,通常包括检查数据计算的准确性,审核账户和试算平衡表,设置对输入数据和数字序号的自动检查,以及对例外报告进行人工干预。
4.实物控制。注册会计师应当了解实物控制,主要包括了解对资产和记录采取适当的安全保护措施,对访问计算机程序和数据文件设置授权,以及定期盘点并将盘点记录与会计记录相核对。例如,现金、有价证券和存货的定期盘点控制。实物控制的效果影响资产的安全,从而对财务报表的可靠性及审计产生影响。
5.职责分离。注册会计师应当了解职责分离,主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工,以防范同一员工在履行多项职责时可能发生的舞弊或错误。当信息技术运用于信息系统时,职责分离可以通过设置安全控制来实现。
(二)对控制活动的了解
在了解控制活动时,注册会计师应当重点考虑一项控制活动单独或连同其他控制活动,是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。注册会计师的工作重点是识别和了解针对重大错报可能发生的领域的控制活动。如果多项控制活动能够实现同一目标,注册会计师不必了解与该目标相关的每项控制活动。
注册会计师对被审计单位整体层面的控制活动进行的了解和评估,主要是针对被审计单位的一般控制活动,特别是信息技术的一般控制。在了解和评估一般控制活动时考虑的主要因素可能包括:
1.被审计单位的主要经营活动是否都有必要的控制政策和程序;
2.管理层在预算、利润和其他财务及经营业绩方面是否都有清晰的目标,在被审计单位内部,是否对这些目标都加以清晰的记录和沟通,并且积极地对其进行监控;
3.是否存在计划和报告系统,以识别与目标业绩的差异,并向适当层次的管理层报告该差异;
4.是否由适当层次的管理层对差异进行调查,并及时采取适当的纠正措施;
5.不同人员的职责应在何种程度上相分离,以降低舞弊和不当行为发生的风险;
6.会计系统中的数据是否与实物资产定期核对;
7.是否建立了适当的保护措施,以防止未经授权接触文件、记录和资产;
8.是否存在信息安全职能部门负责监控信息安全政策和程序。
(三)对小型被审计单位的考虑
小型被审计单位的控制活动可能没有大型被审计单位那样正式和复杂,并且某些控制活动可能直接由小型被审计单位中的管理层执行。例如,由管理层批准销售的信用额度、重大的采购等,可能就不再需要更具体的控制活动。小型被审计单位通常难以实施适当的职责分离,注册会计师应当考虑小型被审计单位采取的控制活动(特别是职责分离)能否有效实现控制目标。
十、对控制的监督
(一)对控制的监督的含义
管理层的重要职责之一就是建立和维护控制并保证其持续有效运行,对控制的监督可以实现这一目标。监督是由适当的人员,在适当、及时的基础上,评估控制的设计和运行情况的过程。对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程,该过程包括及时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施。例如,管理层对是否定期编制银行存款余额调节表进行复核,内部审计人员评价销售人员是否遵守公司关于销售合同条款的政策,法律部门定期监控公司的道德规范和商务行为准则是否得以遵循等。监督对控制的持续有效运行十分重要。假如没有对银行存款余额调节表是否得到及时和准确的编制进行监督,该项控制可能无法得到持续的执行。
通常,被审计单位通过持续的监督活动、专门的评价活动或两者相结合,实现对控制的监督。持续的监督活动通常贯穿于被审计单位的日常经营活动与常规管理工作中。例如,管理层在履行其日常管理活动时,取得内部控制持续发挥功能的信息。当业务报告、财务报告与他们获取的信息有较大差异时,会对有重大差异的报告提出疑问,并作必要的追踪调查和处理。
被审计单位可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价,以找出内部控制的优点和不足,并提出改进建议。关于内部审计人员在内部控制方面的职责,被审计单位也可能利用与外部有关各方沟通或交流所获取的信息监督相关的控制活动。在某些情况下,外部信息可能显示内部控制存在的问题和需要改进之处。例如,客户通过付款来表示其同意发票金额,或者认为发票金额有误而不付款。监管机构(如银行监管机构)可能会对影响内部控制运行的问题与被审计单位沟通。管理层可能也会考虑与注册会计师就内部控制进行沟通,通过与外部信息的沟通,可以发现内部控制存在的问题,以便采取纠正措施。
值得注意的是,上述用于监督活动的很多信息都由被审计单位的信息系统产生,这些信息可能会存在错报,从而导致管理层从监督活动中得出错误的结论。因此,注册会计师应当了解与被审计单位监督活动相关的信息来源,以及管理层认为信息具有可靠性的依据。如果拟利用被审计单位监督活动使用的信息(包括内部审计报告),注册会计师应当考虑该信息是否具有可靠的基础,是否足以实现审计目标。
(二)了解对内部控制的监督
注册会计师在对被审计单位整体层面的监督进行了解和评估时,考虑的主要因素可能包括:
1.被审计单位是否定期评价内部控制。
2.被审计单位人员在履行正常职责时,能够在多大程度上获得内部控制是否有效运行的证据。
3.与外部的沟通能够在多大程度上证实内部产生的信息或者指出存在的问题。
4.管理层是否采纳内部审计人员和注册会计师有关内部控制的建议。
5.管理层是否及时纠正控制运行中的偏差。
6.管理层根据监管机构的报告及建议是否及时采取纠正措施。
7.是否存在协助管理层监督内部控制的职能部门(如内部审计部门)。如存在,对内部审计职能需进一步考虑的因素包括:(1)独立性和权威性;(2)向谁报告,例如,直接向董事会、审计委员会或类似机构报告,对接触董事会、审计委员会或类似机构是否有限制;(3)是否有足够的人员、培训和特殊技能,例如,对于复杂的高度自动化的环境应使用有经验的信息系统审计人员;(4)是否坚持适用的专业准则;(5)活动的范围,例如,财务审计和经营审计工作的平衡,在分散经营情况下内部审计的覆盖程度和轮换程度;(6)计划、风险评估和执行工作的记录及形成结论的适当性;(7)是否不承担经营管理责任。
(三)对小型被审计单位的考虑
小型被审计单位通常没有正式的持续监督活动,且持续的监督活动与日常管理工作难以明确区分,业主往往通过其对经营活动的密切参与来识别财务数据中的重大差异和错报,并对控制活动采取纠正措施,注册会计师应当考虑业主对经营活动的密切参与能否有效实现其对控制的监督目标。
需要指出的是,内部控制的某些要素(如控制环境)更多地对被审计单位整体层面产生影响,而其他要素(如信息系统与沟通、控制活动)则可能更多地与特定业务流程相关。在实务中,注册会计师应当从被审计单位整体层面和业务流程层面分别了解和评价被审计单位的内部控制。整体层面的控制(包括对管理层凌驾于内部控制之上的控制)和信息技术一般控制通常在所有业务活动中普遍存在。业务流程层面控制主要是对工薪、销售和采购等交易的控制。两者的相互关系如图13 -3所示。整体层面的控制对内部控制在所有业务流程中得到严格的设计和执行具有重要影响。整体层面的控制较差甚至可能使最好的业务流程层面控制失效。例如,被审计单位可能有一个有效的采购系统,但如果会计人员不胜任,仍然会发生大量错误,且其中一些错误可能导致财务报表存在重大错报。而且,管理层凌驾于内部控制之上(它们经常在企业层次出现)也是不好的公司行为中的普遍问题。
十一、在整体层面了解内部控制
在整体层面对被审计单位内部控制的了解和评估,通常由项目组中对被审计单位情况比较了解且较有经验的成员负责,同时需要项目组其他成员的参与可能更多地参与日常经营管理活动和财务报告活动。但这些并不一定会影响注册会计师对于被审计单位整体层面的内部控制是否有效的判断。注册会计师应当考虑管理层本身的理念和态度、实际设计和执行的控制,以及对经营活动的密切参与是否能够实现控制的目标。
注册会计师应当将对被审计单位整体层面内部控制各要素的了解要点和实施的风险评估程序及其结果等形成审计工作记录,并对影响注册会计师对整体层面内部控制有效性进行判断的因素加以详细记录。
财务报表层次的重大错报风险很可能源于薄弱的控制环境,因此,注册会计师在评估财务报表层次的重大错报风险时,应当将被审计单位整体层面的内部控制状况和了解到的被审计单位及其环境其他方面的情况结合起来考虑。
被审计单位整体层面的内部控制是否有效将直接影响重要业务流程层面控制的有效性,进而影响注册会计师拟实施的进一步审计程序的性质、时间和范围。
十二、在业务流程层面了解内部控制
在初步计划审计工作时,注册会计师需要确定在被审计单位财务报表中可能存在重大错报风险的重大账户及其相关认定。为实现此目的,通常采取下列步骤:(1)确定被审计单位的重要业务流程和重要交易类别;(2)了解重要交易流程,并记录获得的了解;(3)确定可能发生错报的环节;(4)识别和了解相关控制;(5)执行穿行测试,证实对交易流程和相关控制的了解;(6)进行初步评价和风险评估。
在实务中,上述步骤可能同时进行,例如,在询问相关人员的过程中,同时了解重要交易的流程和相关控制。
(一)确定重要业务流程和重要交易类别
在实务中,将被审计单位的整个经营活动划分为几个重要的业务循环,有助于注册会计师更有效地了解和评估重要业务流程及相关控制。通常,对制造业企业,可以划分为销售与收款循环、采购与付款循环、生产与存货循环、人力资源与工薪循环、投资与筹资循环等。经营活动的性质不同,所划分的业务循环也不同。例如,对于银行,就没有生产与存货循环,而有发放贷款循环、吸收存款循环。又如,某些被审计单位出口销售与国内销售的流程完全不同,可将销售与收款循环进一步划分为外销和内销两个子循环。对于某些被审计单位,固定资产的采购和维护可能很重要,也可以将固定资产单独作为一个业务循环。重要交易类别是指可能对被审计单位财务报表产生重大影响的各类交易。重要交易类别应与相关账户及其认定相联系,例如,对于一般制造业企业,销售收入和应收账款通常是重大账户,销售和收款都是重要交易类别。除了一般所理解的交易以外,对财务报表具有重大影响的事项和情况也应包括在内,例如,计提资产的折旧或摊销,考虑应收款项的可回收性和计提坏账准备等。
(二)了解重要交易流程,并进行记录
在确定重要的业务流程和交易类别后,注册会计师便可着手了解每一类重要交易在信息技术或人工系统中生成、记录、处理及在财务报表中报告的程序,即重要交易流程。这是确定在哪个环节或哪些环节可能发生错报的基础。
交易流程通常包括一系列工作:输人数据的核准与修订,数据的分类与合并,进行计算、更新账簿资料和客户信息记录,生成新的交易,归集数据,列报数据。而与注册会计师了解重要交易相关的流程通常包括生成、记录、处理和报告交易等活动。例如,在销售循环中,这些活动包括输入销售订购单、编制货运单据和发票、更新应收账款信息记录等。相关的处理程序包括,通过编制调整分录,修改并再次处理以前被拒绝的交易,以及修改被错误记录的交易。
注册会计师可以通过下列方法获得对重要交易流程的了解:(1)检查被审计单位的手册和其他书面指引;(2)询问被审计单位的适当人员;(3)观察所运用的处理方法和程序;(4)穿行测试。
在执行上述步骤之前,注册会计师需要考虑以下事项:(1)该类交易影响的重大账户及其认定;(2)注册会计师已经识别的有关这些重大账户及其认定的经营风险和财务报表重大错报风险; (3)重要交易类别生成、记录、处理和报告所涉及的业务流程以及相关的信息技术处理系统。考虑上述事项可以帮助注册会计师确定询问对象,包括流程管理人员和信息技术人员。
注册会计师可以通过检查被审计单位的手册和其他书面指引获得有关信息,还可以通过询问和观察来获得全面的了解。向适当人员询问通常是比较有效的方法。需要注意的是,很多重要交易的流程涉及被审计单位的多个部门。例如,销售业务可能涉及销售部门(负责订购单处理和开票)、会计部门(负责账务处理)和仓库(负责发货)等。因此,注册会计师需要考虑分别向不同部门的适当人员询问。
向负责处理具体业务人员的上级进行询问通常更加有效,因为这些人员很可能对分管的整个业务流程十分熟悉。对一些简单的业务,被审计单位的财会人员可以向注册会计师提供足够的信息。然而,注册会计师如要了解关于一项复杂的业务是如何发生、处理、记录和报告的信息,通常需要和信息技术处理人员进行讨论。
在了解过程中,注册会计师通常还能注意到许多正在执行的控制。虽然这个阶段的工作重点不是确定控制是否存在,注册会计师仍需留意可能存在缺乏控制的情况,以及可能发生错报而需要控制的环节。注册会计师也可能发现在识别和评估控制时需要进一步审查的常规程序和数据档案。
在询问过程中,注册会计师可以检查并在适当的情况下保存部分被审计单位文件(如流程图、程序手册、职责描述、文件、表格等)的复印件,以帮助其了解交易流程。通常,注册会计师会获得某些信息系统的文件资料,如系统的文字说明、系统图表以及流程图。为了有助于理解,注册会计师应当考虑在图表及流程图上加入自己的文字表述,归纳总结被审计单位提供的有关资料。
如果可行的话,流程图或文字表述应反映所有相关的处理程序,无论这些处理程序是人工还是自动完成的。流程图或文字表述应足够详细,以帮助注册会计师确定在什么环节可能会发生重大错报。因此,流程图或文字表述通常会反映业务流程中数据发生、入账或修改的活动。在较为复杂的环境中,一份流程图可能需要其他的流程图和文字表述予以支持。
由于获取此类资料的最根本目的是帮助注册会计师确定哪个环节可能发生错报,因此,注册会计师要注意记录以下信息:(1)输入信息的来源;(2)所使用的重要数据档案,如客户清单及价格信息记录;(3)重要的处理程序,包括在线输入和更新处理;(4)重要的输出文件、报告和记录;(5)基本的职责划分,即列示各部门所负责的处理程序。
注册会计师通常只是针对每一年的变化修改记录流程的工作底稿,除非被审计单位的交易流程发生重大改变。然而,无论业务流程与以前年度相比是否有变化,注册会计师每年都需要考虑上述注意事项,以确保对被审计单位的了解是最新的,并已包括被审计单位交易流程中相关的重大变化。
(三)确定可能发生错报的环节
注册会计师需要确认和了解被审计单位应在哪些环节设置控制,以防止或发现并纠正各重要业务流程可能发生的错报。注册会计师所关注的控制,是那些能通过防止错报的发生,或者通过发现和纠正已有错报,从而确保每个流程中业务活动的具体流程(从交易的发生到记录于账目)能够顺利运转的人工或自动化控制程序。
尽管不同的被审计单位会为确保会计信息的可靠性而对业务流程设计和实施不同的控制,但设计控制的目的是为实现某些控制目标(见表13 -2)。实际上,这些控制目标与财务报表重大账户的相关认定相联系。但注册会计师在此时通常不考虑列报认定,而在审计财务报告流程时将考虑该认定。
表13 -2 控制目标
|
控制目标 |
解 释 |
|
1.完整性:所有的有效交易都已记录。 |
必须有程序确保没有漏记实际发生的交易。 |
|
2.存在和发生:每项已记录的交易均真实。 |
必须有程序确保会计记录中没有虚构的或重复入账的项目。 |
|
3.适当计量交易。 |
必须有程序确保交易以适当的金额入账。 |
|
4.恰当确定交易生成的会计期间(截止性)。 |
必须有程序确保交易在适当的会计期间内入账(例如,月、季度、年等)。 |
|
5.恰当分类。 |
必须有程序确保将交易记入正确的总分类账,必要时,记入相应的明细账内。 |
|
6.正确汇总和过账。 |
必须有程序确保所有作为账簿记录中的借贷方余额都正确地归集(加总),确保加总后的金额正确过入总账,必要时,过入明细分类账。 |
对于每个重要交易流程,注册会计师都会考虑这些控制目标。评价是否实现这些目标的重要标志是,是否存在控制来防止错报的发生,或发现并纠正错报,然后重新提交到业务流程处理程序中进行处理。
注册会计师通过设计一系列关于控制目标是否实现的问题,从而确认某项业务流程中需要加以控制的环节。这些问题针对的是业务流程中数据生成、转移或被转换的环节。以下列举了部分在销售交易中的控制目标是否实现的问题(见表13 -3)。
表13 -3 销售交易中的控制目标示例
|
控制目标是否实现的问题 |
有关认定 |
|
怎样确保没有记录虚构或重复的销售? 怎样确保所有的销售和收款均已记录? 怎样保证货物运送给正确的收货人? 怎样保证发货单据只有在实际发货时才开具? 怎样保证发票正确反映了发货的数量? |
发生 完整性 发生 发生 准确性 |
为实现某项审计目标而设计问题的数量,取决于下列因素:
1.业务流程的复杂程度。
2.业务流程中发生错报而未能被发现的概率。
3.是否存在一种具有实效的总体控制来实现控制目标。例如,将仓库的发货日志中记录的发货数量与销售日记账中登记的数量定期进行核对调节,这一控制可以同时实现发生、完整性、截止等多个控制目标。
注册会计师应将这些问题记录于工作底稿。
(四)识别和了解相关控制
通过对被审计单位的了解,包括在被审计单位整体层面对内部控制各要素的了解,以及在上述程序中对重要业务流程的了解,注册会计师可以确定是否有必要进一步了解在业务流程层面的控制。在某些情况下,注册会计师之前的了解可能表明被审计单位在业务流程层面针对某些重要交易流程所设计的控制是无效的,或者注册会计师并不打算信赖控制,这时注册会计师没有必要进一步了解在业务流程层面的控制。特别需要注意的是,如果认为仅通过实质性程序无法将认定层次的检查风险降至可接受的水平,或者针对特别风险,注册会计师应当了解和评估相关的控制活动。
如果注册会计师计划对业务流程层面的有关控制进行进一步的了解和评价,那么针对业务流程中容易发生错报的环节,注册会计师应当确定:(1)被审计单位是否建立了有效的控制,以防止或发现并纠正这些错报;(2)被审计单位是否遗漏了必要的控制;(3)是否识别了可以最有效测试的控制。
1.控制的类型。控制包括被审计单位使用并依赖的、用以在交易流程中防止错报的发生或在发生错报后发现与纠正错报的所有政策和程序。有效的控制应与错报发生的环节相关,并能降低错报风险。通常将业务流程中的控制划分为预防性控制和检查性控制,下面分别予以说明。
(1)预防性控制。预防性控制通常用于正常业务流程的每一项交易,以防止错报的发生。在流程中防止错报是信息系统的重要目标。缺少有效的预防性控制增加了数据发生错报的可能性,特别是在相关账户及其认定存在较高重大错报风险时,更是如此。
预防性控制可能是人工的,也可能是自动化的。表13 -4是预防性控制及其能防止错报的例子。
表13 -4 预防性控制示例
|
对控制的描述 |
控制用来防止的错报 |
|
生成收货报告的计算机程序,同时也更新采购档案 |
防止出现购货漏记账的情况 |
|
在更新采购档案之前必须先有收货报告 |
防止记录了未收到购货的情况 |
|
销货发票上的价格根据价格清单上的信息确定 |
防止销货计价错误 |
|
计算机将各凭证上的账户号码与会计科目表对比,然后进行一系列的逻辑测试 |
防止出现分类错报 |
与简单的业务流程相比,对于较复杂的业务流程,被审计单位通常更依赖自动控制。例如,对于一个简单的业务流程,发运货物的计价控制包括人工对销货发票的复核,以确定发票采用了正确的价格和折扣。但在一个较复杂的业务流程中,被审计单位可能依赖数据录入控制判别那些不符合要求的价格和折扣,以及通过访问控制来控制对价格信息记录的访问。
对于处理大量业务的复杂业务流程,被审计单位通常使用对程序修改的控制和访问控制,来确保自动控制的持续有效。
实施针对程序修改的控制,是为了确保所有对计算机程序的修改在实施前都经过适当的授权、测试以及核准。
实施访问控制,是为了确保只有经过授权的人员和程序才有权访问数据,且只能在预先授权情况下才能处理数据(如查询、执行和更新)。
程序修改的控制和访问控制通常不能直接防止错报,但对于确保自动控制在整个拟信赖期间内的有效性有着十分重要的作用。
(2)检查性控制。建立检查性控制的目的是发现流程中可能发生的错报(尽管有预防性控制还是会发生的错报)。被审计单位通过检查性控制,监督其流程和相应的预防性控制能否有效地发挥作用。检查性控制通常是管理层用来监督实现流程目标的控制。检查性控制可以由人工执行,也可以由信息系统自动执行。
检查性控制通常并不适用于业务流程中的所有交易,而适用于一般业务流程以外的已经处理或部分处理的某类交易,可能一年只运行几次,如每月将应收账款明细账与总账比较;也可能每周运行,甚至一天运行几次。
与预防性控制相比,不同被审计单位之间检查性控制差别很大。许多检查性控制取决于被审计单位的性质及执行人员的能力、习惯和偏好。检查性控制可能是正式建立的程序,如编制银行存款余额调节表,并追查调节项目或异常项目,也可能是非正式的程序。
有些检查性控制虽然并没有正式设定,但员工会有规律地执行并作记录,这些控制也是被审计单位内部控制的有机组成部分。例如,财务总监复核月度毛利率的合理性;信用管理部经理可能有一本记录每月到期应收款的备查簿,以确定这些应收款是否收到,并追查挂账的项目;财务总监实施特定的分析程序来确定某些费用与销售的关系是否与经验数据相符,如果不符,调查不符的原因并纠正其中的错报等。
表13 -5是检查性控制及其可能查出的错报的例子。
表13 -5 检查性控制示例
|
对控制的描述 |
设计控制预期查出的错报 |
|
●定期编制银行存款余额调节表,跟踪调查挂账的项目。 |
●在对其他项目进行审核的同时,查找存入银行但没有记入日记账的现金收入,未记录的现金支付或虚构入账的不真实的银行现金收入或支付,未及时入账或未正确汇总分类的银行现金收入或支付。 |
|
●将预算与实际费用间的差异列入计算机编制的报告中并由部门经理复核。记录所有超过预算2%的差异情况和解决措施。 ●计算机每天比较运出货物的数量和开票数量。如果发现差异,产生报告,由开票主管复核和追查。 ●每季度复核应收账款贷方余额并找出原因。 |
●在对其他项目进行审核的同时,查找本月发生的重大分类错报或没有记录及没有发生的大笔收入、支出以及相关联的资产和负债项目。 ●查找没有开票和记录的出库货物,以及与真实发货无关的发票。 ●查找没有记录的发票和销售与现金收入中的分类错误。 |
如果确信存在以下情况,那么就可以将检查性控制作为一个主要的手段,来合理保证某特定认定发生重大错报的可能性较小:(1)控制所检查的数据是完整、可靠的;(2)控制对于发现重大错报足够敏感;(3)发现的所有重大错报都将被纠正。
需要注意的是,对控制的分类取决于控制运用的目的和方式,以及被审计单位和注册会计师对控制的认识。从根本上看,控制被归为哪类并不重要,重要的是它是否有效,以及注册会计师能否测试其有效性。业务流程中重要交易类别的有效控制应同时包括预防性控制和检查性控制,因为没有相应的预防性控制,检查性控制也不能充分发挥作用。
2.识别和了解相关控制。前已提及,业务流程中对重要交易类别的有效控制通常同时包括预防性控制和检查性控制。缺乏有效的预防性控制增加了错报的风险,因此,需要建立更为敏感的检查性控制。通常,注册会计师在识别检查性控制的同时,也记录重要的预防性控制。
注册会计师在判断对控制的了解是否足以制定一个有效的审计策略时,考虑的因素包括:重要交易类别的复杂性、信息技术应用环境的复杂性和一体化程度、错报发生的可能性和在业务流程中未被发现的可能性,以及该重要交易影响重大账户的程度。
注册会计师应当获取有关控制的足够信息,以使其能够识别控制,了解各种控制如何执行、由谁执行,以及执行中所使用的数据报告、文件和其他材料。此外,注册会计师也需要确认,执行控制之后所形成的实物证据是什么,以及该控制是否足够敏感,能够及时防止或发现并纠正重大错报。
识别和了解控制采用的主要方法是,询问被审计单位各级别的负责人员。业务流程越复杂,注册会计师越有必要询问信息系统人员,以辨别有关的控制。通常,应首先询问那些级别较高的人员,再询问级别较低的人员,以确定他们认为应该运行哪些控制,以及哪些控制是重要的。这种“从高到低”的询问方法使注册会计师能迅速地辨别被审计单位重要的控制,特别是检查性控制。如果注册会计师打算信赖控制,就需要实施控制测试。
从级别较低人员处获取的信息,应向级别较高的人员核实其完整性,以确定他们是否与级别较高的人员所理解的预定控制相符。这一步骤不仅可以向注册会计师提供有关实际执行的控制信息,而且可以使注册会计师了解管理层对控制运行情况的熟悉程度。
在询问过程中,注册会计师还应当了解各层次监督和管理人员如何确认预定的预防性控制和检查性控制正在按计划运行。此时,注册会计师可询问:“你们是怎样防止或发现某项错报的?”然后问:“你们采取什么措施来确保这些控制按设想的方式运行?”注册会计师应当重点关注被审计单位相关控制的运行情况,包括预防性控制和检查性控制的运行情况。从内部控制要素来看,还包括了对控制的监督活动。
在许多情况下,注册会计师可以通过与被审计单位讨论,了解确保信息系统生成数据的完整性与准确性的控制。这些检查性控制可能包括对输入与输出的数据进行比较,定期复核信息记录的数据,或监督生成数据与预期数据的差异。这些控制可能是正式制定的,也可能是非正式的程序。对生成数据与预期数据的差异,注册会计师应当了解控制如何识别和判断这些差异,如何追查这些差异以及纠正发现的错报。在评价这些控制时,应重点看其是否足够敏感,是否能查出所有重要的错报,包括那些在自动化信息系统中可能发生的错报。
需要指出的是,注册会计师并不需要了解与每一控制目标相关的所有控制活动。在了解控制活动时,注册会计师应当重点考虑一项控制活动单独或连同其他控制活动,是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。如果多项控制活动能够实现同一目标,注册会计师不必了解与该目标相关的每项控制活动。
例如,防止或发现某一特定的错报可能需要有多重控制,或者一项特别的控制目标是为了发现一种以上的潜在错报,为了实现该目标需要设置多项控制。例如,为实现销售的“存在性”这一控制目标,注册会计师可能要识别一种控制,该项控制的作用是保证出库单只为已经发出的货物编制。然而,注册会计师可能还要识别这样一种控制,其作用是保证销售发票只有在与一张出库单相匹配时才能开出并登记人账。而且,注册会计师也可能认定不管存在多少种潜在错报,某一特定的控制(如一个设计合理的检查性控制)自身可以足够有效地实现控制目标。例如,对实际发货数量与开票数量进行定期核对调节的程序本身就足以对销售流程中“存在性”这一目标提供合理保证,并且也能对销售流程中“完整性”这一目标提供合理保证。因此,在这种情况下,注册会计师只需了解对实际发货数量与开票数量进行定期核对调节的控制即可。
在实务中,注册会计师还会特别考虑一项检查性控制发现和纠正错报的能力。例如,将实际发货数量与开票数量进行核对调节的程序,比复核毛利率或进行实际销售和预算销售的比较更能发现未开票的发货,因为进行上述复核或比较的主要目的不是为了查出未开票的发货,也就是说,控制与认定直接或间接相关;关系越间接,控制对防止或发现并纠正认定错报的效果越小。注册会计师应考虑识别和了解与认定关系更直接、更有效的控制。
当然,如果在之后的穿行测试和评价中,注册会计师发现已识别的控制实际并未得到执行,则应当重新针对该项控制目标识别是否存在其他的控制。
3.记录相关控制。在被审计单位已设置的控制中,如果有可以对应“哪个环节需设置控制”问题的,注册会计师应将其记录于工作底稿,同时记录由谁执行该控制。注册会计师可以通过备忘录、笔记或复印被审计单位相关资料而逐步使信息趋于完整。
如果注册会计师对重要业务流程的记录符合下列条件,可以认为其是充分的:(1)该记录识别了所有重要交易类别;(2)该记录指出在业务处理流程中“在什么环节可能出错”,即在什么环节需要控制;(3)该记录描述了针对“在什么环节可能出错”建立的预防性控制与检查性控制,而且指出这些控制由准执行以及如何执行。
(五)执行穿行测试,证实对交易流程和相关控制的了解
为了解各类重要交易在业务流程中发生、处理和记录的过程,注册会计师通常会每年执行穿行测试。执行穿行测试可获得下列方面的证据:(l)确认对业务流程的了解;(2)确认对重要交易的了解是完整的,即在交易流程中所有与财务报表认定相关的可能发生错报的环节都已识别;(3)确认所获取的有关流程中的预防性控制和检查性控制信息的准确性;(4)评估控制设计的有效性;(5)确认控制是否得到执行;(6)确认之前所作的书面记录的准确性。
需要注意的是,如果不打算信赖控制,注册会计师仍需要执行穿行测试以确认以前对业务流程及可能发生错报环节了解的准确性和完整性。
对于重要的业务流程,不管是人工控制还是自动化控制,注册会计师都要对整个流程执行穿行测试,涵盖交易从发生到记账的整个过程。当某重要业务流程有显著变化时,注册会计师应当根据变化的性质,及其对相关账户发生重大错报的影响程度,考虑是否需要对变化前后的业务都执行穿行测试。
在执行穿行测试的过程中,注册会计师应当在每一个要执行处理程序或控制的环节上,询问被审计单位的员工,以了解他们对岗位职责的理解,并设法判断处理程序和控制是否得到执行。
例如,如果某项控制要求某一员工(复核人)在文件上签名以证明他复核过该份文件,注册会计师应当向其询问复核的性质,即对什么进行复核,复核的要点是什么,并确认注册会计师执行穿行测试时查阅的文件是否签过字,以及签字人是否为被询问的员工。更重要的是,注册会计师应当询问该员工,如果复核过程中发现了文件中的错误或其他差异,按规定他应该怎么做。如果可能,注册会计师可以检查发现过错误或其他差异的文件。
如果控制包括定期编制和分析调节表,比如银行存款余额调节表,注册会计师可以考虑:(1)复核一份或几份调节表,以确保所有相关的数据已准确及时地包括在调节表中;(2)关注对异常事项的处理;(3)询问当调节表揭示确实存在或可能存在错误时,应采取什么行动;(4)询问错误是怎么发生的;(5)如果可行的话,获取在调节过程中发现的错误得到改正的证据。
除了追踪文件和表格的实物流转外,注册会计师也会追踪信息系统中的数据和档案信息的流转程序。这种追踪可能包括以下程序:询问了解情况的被审计单位人员;查阅用户手册;在处理业务的终端现场观察处理客户的交易;以及复核输出报告文件的记录。
注册会计师应将对业务流程和相关控制的穿行测试情况,记录于工作底稿。记录的内容包括穿行测试中查阅的文件、穿行测试的程序以及注册会计师的发现和结论。
(六)进行初步评价和风险评估
1.对控制的初步评价。在识别和了解控制后,根据执行上述程序及获取的审计证据,注册会计师需要评价控制设计的合理性并确定其是否得到执行。
注册会计师对控制的评价结论可能是:(1)所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报,并得到执行;(2)控制本身的设计是合理的,但没有得到执行;(3)控制本身的设计就是无效的或缺乏必要的控制。
由于对控制的了解和评价是在穿行测试完成后但又在测试控制运行有效性之前进行的,因此,上述评价结论只是初步结沦,仍可能随控制测试后实施实质性程序的结果而发生变化。
2.风险评估需考虑的因素。注册会计师对控制的评价,进而对重大错报风险的评估,需考虑以下因素:
(1)账户特征及已识别的重大错报风险。如果已识别的重大错报风险水平为高(例如,复杂的发票计算或计价过程增加了开票错报的风险;经营的季节性特征增加了在旺季发生错报的风险),相关的控制应有较高的敏感度,即在错报率较低的情况下也能防止或发现并纠正错报。相反,如果已发现的重大错报风险水平为低(例如,在一个较小的、劳动力相对稳定的公司中员工工薪的会计处理未能实现恰当准确性目标的风险),相关的控制就无须具有像重大错报风险较高时那样的敏感性。
(2)对被审计单位整体层面控制的评价。注册会计师应将对整体层面获得的了解和结论,同在业务流程层面获得的有关重大交易流程及其控制的证据结合起来考虑。
在评价业务流程层面的控制要素时,考虑的影响因素可能包括:管理层及执行控制的员工表现出来的胜任能力及诚信度;员工受监督的程度及员工流动的频繁程度;管理层凌驾于控制之上的潜在可能性;缺乏职责划分,包括信息技术系统中自动化的职责划分的情况;所审计期间内部审计人员或其他监督人员测试控制运行情况的程度;业务流程变更产生的影响,如变更期间控制程序的有效性是否受到了削弱;在被审计单位的风险评估过程中,所识别的与某项控制运行相关的风险,以及对于该控制是否有进一步的监督。注册会计师同时也要考虑其识别出针对某控制的风险,被审计单位是否也识别出该风险,并采取了适当的措施来降低该风险。
3.评价决策。在对控制进行初步评价及风险评估后,注册会计师需要利用实施上述程序获得的信息,回答以下问题:
(1)控制本身的设计是否合理。注册会计师需要根据上述的考虑因素判断,如果识别的控制设计合理,该控制在重要业务流程中单独或连同其他控制能否有效地实现特定控制目标。
(2)控制是否得到执行。如果设计合理的控制没有得到执行,该控制也不会发挥应有的作用。因此,注册会计师需要获取审计证据,评价这类控制是否确实存在,且正在被使用。
(3)是否更多地信赖控制并拟实施控制测试。如果认为被审计单位控制设计合理并得到执行,能够有效防止或发现并纠正重大错报,那么,注册会计师通常可以信赖这些控制,减少拟实施的实质性程序。如果拟更多地信赖这些控制,需要确信所信赖的控制在整个拟信赖期间都有效地发挥了作用,即注册会计师应对这些控制在该期间内是否得到一贯运行进行测试。拟信赖该控制的期间可能是整个年度,也可能是其中某一时段。如果控制测试的结果进一步证实内部控制是有效的,注册会计师可以认为相关账户及认定发生重大错报的可能性较低,对相关账户及认定实施实质性程序的范围也将减少。
有时,注册会计师也可能认为控制是无效的,包括控制本身设计不合理,不能实现控制目标,或者尽管控制设计合理,但没有得到执行。在这种情况下,注册会计师不需要测试控制运行的有效性,而直接实施实质性程序。但在评估重大错报风险时,需要考虑控制失效对财务报表及其审计的影响。
注册会计师应当将认定层次的控制因素和其他因素相结合,评估认定层次的重大错报风险,以确定进一步审计程序的性质、时间和范围。
需要再次指出的是,除非存在某些可以使控制得到一贯运行的自动化控制,注册会计师对控制的了解和评价并不能够代替对控制运行有效性的测试。例如,注册会计师获得了某一人工控制在某一时点得到执行的审计证据,但这并不能证明该控制在被审计期间内的其他时点也得到有效执行。
有关对控制运行有效性实施的测试(即控制测试),以及如何针对认定层次评估的重大错报风险确定进一步审计程序的性质、时间和范围,参见《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》及其指南。
(七)对财务报告流程的了解
以上讨论了注册会计师如何在重要业务流程层面了解重大交易生成、处理和记录的流程,并评估在可能发生错报的环节控制的设计及其是否得到执行。在实务中,注册会计师还需要进一步了解有关信息从具体交易的业务流程过人总账、财务报表以及相关列报的流程,即财务报告流程及其控制。这一流程和控制与财务报表的列报认定直接相关。
由于财务报告流程将直接影响财务报告,因此,注册会计师应重视对这一重要流程的了解。注册会计师对该流程以及该流程如何与其他重要流程相连接的了解,有助于其识别和评估与财务报表重大错报风险相关的控制。
财务报告流程包括:(1)将业务数据汇总记人总账的程序,即如何将重要业务流程的信息与总账和财务报告系统相连接;(2)在总账中生成、记录和处理会计分录的程序;(3)记录对财务报表常规和非常规调整的程序,如合并调整、重分类等;(4)草拟财务报表和相关披露的程序。
因此,财务报告流程可能包括若干个子流程。例如,编制试算平衡表;汇总、编制、复核和过入会计分录;草拟财务报表和相关披露;编制管理层对财务报表的内部分析等。
被审计单位的财务报告流程包括相关的控制程序,以确保按照适用的会计准则和相关会计制度的规定收集、记录、处理、汇总所需要的信息,并在财务报告中予以充分披露。例如,关联方交易、分部报告等。
了解财务报告流程的控制采取的步骤与重要业务流程类似,也包括了解流程(包括上述的子流程,并考虑各个子流程之间如何连接),确定可能发生错报的环节,识别和了解用于防止或发现并纠正错报的控制,执行穿行测试,对控制的设计及是否得到执行进行评估等:
在了解和评估财务报告流程的过程中,注册会计师应当考虑对以下方面作出评估:(1)主要的输入信息,执行的程序,主要的输出信息;(2)每一财务报告流程要素中涉及信息技术的程度;(3)管理层的哪些人员参与其中;(4)记账分录的主要类型,如标准分录、非标准分录;(5)适当人员(包括管理层和治理层)对流程实施监
 |
以上信息有错误 |  |
 |
