中国注册会计师审计准则第1211号——重大错报风险的识别和评估(2022年12月22日修订)
第一章 总则
第一条 为了规范注册会计师识别和评估财务报表重大错报风险,制定本准则。
第二条 重大错报风险可能是错误导致的,也可能是舞弊导致的。除本准则外,《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》针对舞弊导致的重大错报风险的识别、评估和应对作了进一步规定。
第三条 本准则适用于注册会计师对不同规模或复杂程度的被审计单位执行的财务报表审计业务。
第二章 定义
第四条 控制,是指被审计单位为实现控制目标所制定的政策和程序。其中:
(一)政策,是指被审计单位为了实施控制而作出的应当或不应当采取某种措施的规定;
(二)程序,是指为执行政策而采取的行动。
第五条 内部控制体系,是指由治理层、管理层和其他人员设计、执行和维护的体系,以合理保证被审计单位能够实现财务报告的可靠性,提高经营效率和效果,以及遵守适用的法律法规等目标。在本准则的框架下,内部控制体系包含五个相互关联的要素:
(一)内部环境(控制环境);
(二)风险评估;
(三)内部监督;
(四)信息与沟通(信息系统与沟通);
(五)控制活动。
第六条 认定,是指管理层针对财务报表要素的确认、计量和列报(包括披露)作出的一系列明确或暗含的意思表达。
注册会计师在识别、评估和应对重大错报风险的过程中,将管理层的认定用于考虑可能发生的不同类型的错报。
第七条 相关认定,是指注册会计师识别出重大错报风险的交易类别、账户余额和披露的认定。当注册会计师针对交易类别、账户余额和披露的某项认定识别出重大错报风险时,该项认定即为相关认定。注册会计师确定某项认定是否属于相关认定,应当依据其固有风险,而不考虑相关控制的影响。
第八条 相关交易类别、账户余额和披露,是指存在相关认定的交易类别、账户余额和披露。
第九条 风险评估程序,是指注册会计师为识别、评估财务报表层次和认定层次的重大错报风险,而设计和实施的审计程序。
第十条 固有风险因素,是指在不考虑控制的情况下,导致交易类别、账户余额和披露的某一认定易于发生错报(无论该错报是舞弊还是错误导致,下同)的因素。固有风险因素可以是定性的,也可以是定量的。固有风险因素包括事项或情况的复杂性、主观性、变化、不确定性,以及管理层偏向和其他舞弊风险因素。
第十一条 经营风险,是指影响被审计单位实现经营目标的不确定性。这种不确定性可能源于下列两个方面:
(一)被审计单位制定了不恰当的目标和战略;
(二)某些重要事项或情况(包括作为或不作为)对被审计单位实现目标和实施战略的能力产生了不利影响。
第十二条 特别风险,是指注册会计师识别出的符合下列特征之一的重大错报风险:
(一)根据固有风险因素对错报发生的可能性和错报的严重程度的影响,注册会计师将固有风险评估为达到或接近固有风险等级的最高级;
(二)根据其他审计准则的规定,注册会计师应当将其作为特别风险。
第十三条 信息处理控制,是指与被审计单位信息系统中下列两方面相关的控制:
(一)信息技术应用程序进行的信息处理;
(二)人工进行的信息处理。
这些控制直接应对信息(如交易信息等)完整性、准确性和有效性方面的风险。
第十四条 信息技术一般控制,是指为支持被审计单位信息技术环境持续正常运行而实施的控制,包括为支持信息处理控制持续有效运行,以及确保信息系统中信息的完整性、准确性和有效性而实施的控制。
第十五条 信息技术环境,是指被审计单位用于支持其经营战略和经营活动的信息技术应用程序、支持性信息技术基础设施、信息技术流程以及流程中的相关参与人员。
(一)信息技术应用程序,是指用于生成、处理、记录和报告交易或其他方面信息的程序,包括数据仓库和报告生成工具;
(二)信息技术基础设施,包括网络、操作系统、数据库及相关的硬件和软件;
(三)信息技术流程,是指被审计单位用于管理信息技术环境访问权限、程序更改、信息技术环境变化以及信息技术运行的流程。
第十六条 运用信息技术导致的风险,是指由于被审计单位信息技术一般控制的设计无效或运行无效而导致的下列风险:
(一)信息处理控制的设计无效或运行无效;
(二)信息系统中的信息(如交易信息等)在完整性、准确性和有效性方面存在风险。
第三章 目标
第十七条 注册会计师的目标是,识别、评估财务报表层次和认定层次重大错报风险,从而为设计和实施应对措施提供依据。
第四章 要求
第一节 风险评估程序和相关活动
第十八条 注册会计师应当设计和实施风险评估程序,以获取审计证据,为下列方面提供依据:
(一)识别、评估财务报表层次和认定层次重大错报风险,无论该错报是舞弊导致的,还是错误导致的;
(二)按照《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的规定,设计进一步审计程序。
注册会计师在设计和实施风险评估程序时,不应当偏向于获取佐证性的审计证据,也不应当排斥相矛盾的审计证据。
第十九条 风险评估程序应当包括下列程序:
(一)询问管理层和被审计单位内部其他合适人员,包括内部审计人员;
(二)分析程序;
(三)观察和检查。
第二十条 在根据本准则第十八条的规定获取审计证据时,注册会计师应当考虑从下列方面获取的信息:
(一)客户关系和审计业务的接受与保持;
(二)项目合伙人为被审计单位执行的其他业务。
第二十一条 注册会计师如果利用以前服务被审计单位的经验,或者利用以前审计时实施审计程序获取的信息,应当评价将这些经验和信息作为审计证据是否仍然相关和可靠。
第二十二条 项目合伙人和项目组其他关键成员应当讨论被审计单位财务报表易于发生重大错报的可能性,并讨论如何根据被审计单位的具体情况运用适用的财务报告编制基础的规定。
第二十三条 对于未参与项目组讨论的项目组成员,项目合伙人应当确定向该成员通报的内容。
第二节 了解被审计单位及其环境、适用的财务报告编制基础
第二十四条 注册会计师应当实施风险评估程序,以了解下列方面:
(一)被审计单位及其环境,包括:
1.组织结构、所有权和治理结构、业务模式(包括该业务模式利用信息技术的程度);
2.行业形势、法律环境、监管环境和其他外部因素;
3.财务业绩的衡量标准,包括内部和外部使用的衡量标准。
(二)适用的财务报告编制基础、会计政策以及变更会计政策的原因。
(三)基于对上述第(一)项和第(二)项的了解,被审计单位在按照适用的财务报告编制基础编制财务报表时,固有风险因素怎样影响各项认定易于发生错报的可能性以及影响的程度。
第二十五条 注册会计师应当评价被审计单位的会计政策是否适当、是否符合适用的财务报告编制基础的规定。
第三节 了解被审计单位内部控制体系各要素
第二十六条 注册会计师为了解与财务报表编制相关的内部环境,应当实施以下风险评估程序:
(一)了解涉及下列方面的控制、流程和组织结构:
1.管理层如何履行其管理职责,例如,被审计单位的组织文化,管理层是否重视诚信、道德和价值观;
2.在治理层与管理层分离的体制下,治理层的独立性以及治理层监督内部控制体系的情况;
3.被审计单位内部权限和职责的分配情况;
4.被审计单位如何吸引、培养和留住具有胜任能力的人员;
5.被审计单位如何使其人员致力于实现内部控制体系的目标。
(二)评价下列方面的情况:
1.在治理层的监督下,管理层是否营造并保持了诚实守信和合乎道德的文化;
2.根据被审计单位的性质和复杂程度,内部环境是否为内部控制体系的其他要素奠定了适当的基础;
3.识别出的内部环境方面的控制缺陷是否会削弱被审计单位内部控制体系的其他要素。
第二十七条 注册会计师为了解被审计单位与财务报表编制相关的风险评估工作,应当实施以下风险评估程序:
(一)了解被审计单位的下列工作:
1.识别与财务报告目标相关的经营风险;
2.评估上述风险的重要程度和发生的可能性;
3.应对上述风险。
(二)根据被审计单位的性质和复杂程度,评价其风险评估工作是否适合其具体情况。
第二十八条 如果注册会计师识别出重大错报风险,而管理层未能识别出这些风险,注册会计师应当:
(一)判断这些风险是否是被审计单位风险评估工作应当识别出的风险。如果注册会计师认为,这些风险是被审计单位风险评估工作应当识别出的风险,则应当了解被审计单位风险评估工作未能识别出这些风险的原因。
(二)考虑对本准则第二十七条第(二)项所规定的注册会计师“评价其风险评估工作是否适合其具体情况”的影响。
第二十九条 注册会计师为了解被审计单位对与财务报表编制相关的内部控制体系的监督工作,应当实施以下风险评估程序:
(一)了解被审计单位实施的持续性评价和单独评价,以及识别出控制缺陷的情况和整改的情况;
(二)了解被审计单位的内部审计,包括内部审计的性质、职责和活动;
(三)了解被审计单位在监督内部控制体系的过程中所使用信息的来源,以及管理层认为这些信息足以信赖的依据;
(四)根据被审计单位的性质和复杂程度,评价被审计单位对内部控制体系的监督是否适合其具体情况。
第三十条 注册会计师为了解被审计单位与财务报表编制相关的信息与沟通,应当实施以下风险评估程序:
(一)了解被审计单位的信息处理活动(包括数据和信息),在这些活动中使用的资源,针对相关交易类别、账户余额和披露的信息处理活动的政策。具体包括:
1.信息在被审计单位信息系统中的传递情况,包括交易如何生成,与交易相关的信息如何进行记录、处理、更正、结转至总账、在财务报表中报告,以及其他方面的相关信息如何获取、处理、在财务报表中披露;
2.与信息传递相关的会计记录、财务报表特定项目以及其他支持性记录;
3.被审计单位的财务报告过程;
4.与上述第1点至第3点相关的被审计单位资源,包括信息技术环境。
(二)了解被审计单位如何沟通与财务报表编制相关的重大事项,以及信息系统和内部控制体系其他要素中的相关报告责任。具体包括:
1.被审计单位内部人员之间的沟通,包括就与财务报告相关的岗位职责和相关人员的角色进行的沟通;
2.管理层与治理层之间的沟通;
3.被审计单位与监管机构等外部各方的沟通。
(三)评价被审计单位的信息与沟通是否能够为被审计单位按照适用的财务报告编制基础编制财务报表提供适当的支持。
第三十一条 注册会计师为了解控制活动,应当实施以下风险评估程序:
(一)识别用于应对认定层次重大错报风险的控制,包括:
1.应对特别风险的控制;
2.与会计分录相关的控制,这些会计分录包括用以记录非经常性的、异常的交易,以及用于调整的非标准会计分录;
3.注册会计师拟测试运行有效性的控制,包括用于应对仅实施实质性程序不能提供充分、适当审计证据的风险的控制;
4.注册会计师根据职业判断认为适当的、能够有助于其实现本准则第十八条中与认定层次重大错报风险有关目标的其他控制。
(二)基于上述第(一)项中识别的控制,识别哪些信息技术应用程序及信息技术环境的其他方面,可能面临运用信息技术导致的风险。
(三)针对上述第(二)项中识别的信息技术应用程序及信息技术环境的其他方面,进一步识别:
1.运用信息技术导致的相关风险;
2.被审计单位用于应对这些风险的信息技术一般控制。
(四)针对上述第(一)项以及第(三)项第2点识别出的每项控制:
1.评价控制的设计是否有效,即这些控制能否应对认定层次重大错报风险或为其他控制的运行提供支持;
2.询问被审计单位内部人员,并实施其他风险评估程序,以确定控制是否得到执行。
第三十二条 注册会计师应当根据对被审计单位内部控制体系各要素的评价,确定是否识别出控制缺陷。
第四节 识别和评估重大错报风险
第三十三条 注册会计师应当识别重大错报风险,并确定其存在于财务报表层次,还是各类交易、账户余额和披露的认定层次。
第三十四条 注册会计师应当确定相关认定,以及相关交易类别、账户余额和披露。
第三十五条 对于识别出的财务报表层次重大错报风险,注册会计师应当从下列两方面对其进行评估:
(一)评价这些风险对财务报表整体产生的影响;
(二)确定这些风险是否影响对认定层次风险的评估结果。
第三十六条 对于识别出的认定层次重大错报风险,注册会计师应当分别评估固有风险和控制风险。
第三十七条 对于识别出的认定层次重大错报风险,注册会计师应当通过评估错报发生的可能性和严重程度来评估固有风险。在评估时,注册会计师应当考虑:
(一)固有风险因素如何以及在何种程度上影响相关认定易于发生错报的可能性;
(二)财务报表层次重大错报风险如何以及在何种程度上影响认定层次重大错报风险中固有风险的评估。
第三十八条 注册会计师应当确定评估的重大错报风险是否为特别风险。
第三十九条 针对某些认定层次重大错报风险,仅实施实质性程序无法为其提供充分、适当的审计证据,注册会计师应当确定评估出的重大错报风险是否属于该类风险。
第四十条 注册会计师拟测试控制运行有效性时,应当评估控制风险;注册会计师不拟测试控制运行有效性时,应当将固有风险的评估结果作为重大错报风险的评估结果。
第四十一条 对于实施风险评估程序获取的审计证据,能否为识别和评估重大错报风险提供适当依据,注册会计师应当作出评价;如果不能提供适当依据,注册会计师应当实施追加的风险评估程序,直至获取的审计证据能够提供这样的依据。在识别和评估重大错报风险时,注册会计师应当考虑通过实施风险评估程序获取的所有审计证据,无论这些证据是佐证性的还是相矛盾的。
第四十二条 如果能够合理预期,某类交易、账户余额和披露中信息的遗漏、错误陈述或含糊表达,可能影响财务报表使用者依据财务报表整体作出的经济决策,则通常认为该类交易、账户余额和披露是重大的。如果重大的交易类别、账户余额和披露未被确定为相关交易类别、账户余额和披露,即注册会计师认为,这些重大的交易类别、账户余额和披露不存在相关认定,则应当评价这样做是否适当。
第四十三条 如果注册会计师新获取的信息与之前识别或评估重大错报风险时所依据的审计证据不一致,注册会计师应当修正之前对重大错报风险的识别或评估结果。
第五节 审计工作底稿
第四十四条 注册会计师应当遵守《中国注册会计师审计准则第1131号——审计工作底稿》的规定,并就下列事项形成审计工作底稿:
(一)项目组内部进行的讨论以及得出的重要结论;
(二)注册会计师根据本准则第二十四条、第二十六条、第二十七条、第二十九条和第三十条的规定了解到的要点和信息来源,以及实施的风险评估程序;
(三)根据本准则第三十一条的规定,对所识别的控制的设计进行的评价,以及如何确定这些控制是否得到执行;
(四)识别、评估的财务报表层次和认定层次重大错报风险,包括特别风险和仅实施实质性程序不能提供充分、适当的审计证据的风险,以及作出有关重大判断的理由。
第五章 附则
第四十五条 本准则自2023年7月1日起施行。