《中国注册会计师审计准则第1211号——重大错报风险的识别和评估》应用指南(2022年12月30日修订)
发文信息
- 发文机关: 中国注册会计师协会
- 发布日期: 2022-12-30
- 生效日期: 2023-07-01
- 时效性: 现行有效
- 原文链接:中注协
一、总则(参见本准则第一条至第三条)
1.《中国注册会计师审计准则第1101号——注册会计师的总体目标和审计工作的基本要求》规范了注册会计师执行财务报表审计工作的总体目标,包括获取充分、适当的审计证据,以将审计风险降低到可接受的低水平。审计风险取决于重大错报风险和检查风险。重大错报风险可能存在于财务报表层次以及各类交易、账户余额和披露的认定层次。
2.《中国注册会计师审计准则第1101号——注册会计师的总体目标和审计工作的基本要求》规定,注册会计师在计划和实施审计工作时,应当运用职业判断,保持职业怀疑,识别可能存在导致财务报表发生重大错报的情形。
3.财务报表层次的重大错报风险广泛地影响财务报表整体,并有可能影响多项认定。认定层次的重大错报风险由固有风险和控制风险组成。
4.评估认定层次重大错报风险,是为了确定进一步审计程序的性质、时间安排和范围,以获取充分、适当的审计证据。
5.风险识别和评估是一个不断修正的、动态的过程。
注册会计师了解被审计单位及其环境、适用的财务报告编制基础以及内部控制体系为识别和评估重大错报风险提供了依据,同时,识别和评估重大错报风险也有助于更好地了解上述方面。通过上述了解,注册会计师可以建立对风险的初始预期。随着风险识别和评估过程的开展,这种预期将越来越准确。
此外,本准则和《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》要求注册会计师根据实施进一步审计程序获取的审计证据,或者获取的新信息(如有),修正风险评估结果,并相应调整总体应对措施和进一步审计程序。
6.《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》规定,注册会计师应当针对评估的财务报表层次重大错报风险,设计和实施总体应对措施。该准则进一步指出,注册会计师对内部环境的了解,有助于其对财务报表层次重大错报风险的评估,进而影响所采取的总体应对措施。
该准则还规定,注册会计师应当针对评估的认定层次重大错报风险,设计和实施进一步审计程序,包括审计程序的性质、时间安排和范围。
二、定义
(一)控制(参见本准则第四条)
7.控制包含在被审计单位内部控制体系的各要素中。
8.政策是通过被审计单位人员采取相关行动或限制该人员采取与政策相冲突的行动而得以贯彻的。
9.程序可能是通过正式文件或由管理层或治理层采取其他形式明确规定的,也可能是被审计单位组织文化中约定俗成的。程序还可能通过被审计单位的信息技术应用程序及信息技术环境的其他方面所允许的行动来实施。
10.控制可能是直接的,也可能是间接的。直接控制是指能够精准应对认定层次重大错报风险的控制。间接控制是指为直接控制提供支持的控制。
(二)认定(参见本准则第六条)
11.管理层声明其按照适用的财务报告编制基础编制财务报表,即意味着管理层针对财务报表要素的确认、计量和列报(包括披露)作出一系列明确或暗含的意思表达,管理层所表达的意思就是认定。认定体现于财务报表反映的信息中。
注册会计师在识别、评估和应对重大错报风险的过程中,可以将各种类型的认定用于考虑可能发生的不同类型的错报。本指南第211段提供了各种类型认定的举例。认定不同于注册会计师按照《中国注册会计师审计准则第1341号——书面声明》的规定获取的书面声明,该声明用以确认某些事项或支持其他审计证据。
(三)相关认定(参见本准则第七条)
12.重大错报风险可能与多个认定相关,在这种情况下,所有与该风险相关的认定都是相关认定。如果针对某项认定未识别出重大错报风险,则该认定不是相关认定。
(四)固有风险因素(参见本准则第十条)
13.固有风险因素可以是定性的,也可以是定量的,并影响认定易于发生错报的可能性。就按照适用的财务报告编制基础编制财务信息而言,与之相关的定性固有风险因素可能包括:
(1)复杂性;
(2)主观性;
(3)变化;
(4)不确定性;
(5)管理层偏向和其他舞弊风险因素。
14.其他固有风险因素可能包括:
(1)交易类别、账户余额和披露在性质或金额方面的重要程度;
(2)交易类别、账户余额和披露涉及的项目成分众多或缺乏统一性。
15.本指南附录2说明了与了解固有风险因素相关的进一步考虑。
(五)特别风险(参见本准则第十二条)
16.不同的认定以及有关的交易类别、账户余额和披露,其固有风险的高低程度存在差异。本准则将固有风险的高低程度称为“固有风险等级”。
17.特别风险中的“特别”,可以理解为事项的相对重要程度,这种程度是由注册会计师基于对该事项进行考虑的场景作出的判断。针对固有风险,注册会计师可以结合固有风险因素怎样影响错报发生的可能性以及错报发生时其可能的严重程度,判断是否属于特别风险。
(六)信息处理控制(参见本准则第十三条)
18.被审计单位的信息政策明确了被审计单位信息系统中信息的传递、记录和报告流程,这些政策可能无法有效实施,因而产生信息的完整性、准确性和有效性方面的风险。信息处理控制是指为被审计单位信息政策的有效实施提供支持的程序。信息处理控制可能是自动化的(即嵌入信息技术应用程序中),可能是人工的(如输入或输出控制),可能是自动化控制和人工控制的交互(如信息技术应用程序和人工进行的信息处理之间的交互),也可能依赖其他控制,包括其他信息处理控制或信息技术一般控制。
(七)信息技术一般控制(参见本准则第十四条)
19.如果被审计单位使用了信息技术外包服务,则在考虑信息技术一般控制时,既要考虑被审计单位自身设计和实施的信息技术一般控制,也要考虑相关信息技术外包服务中涉及到的信息技术一般控制。
(八)信息技术环境(参见本准则第十五条)
20.如果被审计单位使用了信息技术外包服务,则在考虑信息技术环境时,还需要考虑该信息技术外包服务。
三、目标(参见本准则第十七条)
21.无论财务报表层次和认定层次重大错报风险是舞弊导致的还是错误导致的,注册会计师都要识别和评估这些风险,从而为设计和实施应对措施提供依据。
四、风险评估程序和相关活动(参见本准则第十八条至第二十三条)
(一)风险评估程序
22.重大错报风险既可能是舞弊导致的,也可能是错误导致的,本准则规范了这两类风险的识别和评估。然而,因为舞弊导致的重大错报风险非常重要,为获取识别和评估舞弊导致的重大错报风险所需的信息,《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》及其应用指南专门针对此类风险评估程序和相关活动作出了进一步规定并提供了指引。此外,下列审计准则及其应用指南也针对识别和评估与特定事项和情况相关的重大错报风险作出了进一步规定并提供了指引:
(1)《中国注册会计师审计准则第1321号——会计估计和相关披露的审计》中针对与会计估计相关的重大错报风险;
(2)《中国注册会计师审计准则第1323号——关联方》中针对与关联方关系及其交易相关的重大错报风险;
(3)《中国注册会计师审计准则第1324号——持续经营》中针对与持续经营相关的重大错报风险;
(4)《中国注册会计师审计准则第1401号——对集团财务报表审计的特殊考虑》中针对与集团财务报表相关的重大错报风险。
(二)职业怀疑
23.职业怀疑对于审慎评价实施风险评估程序所收集到的审计证据是必要的,并有助于注册会计师对那些不偏向于佐证风险存在或与风险存在相矛盾的审计证据保持警觉。职业怀疑是注册会计师在作出职业判断时采取的态度,而该判断为注册会计师的行为奠定基础。注册会计师运用职业判断确定其是否已经获取了能为风险评估提供适当依据的审计证据。
24.注册会计师保持职业怀疑可能包括:
(1)质疑相矛盾的信息以及文件的可靠性;
(2)考虑管理层和治理层对询问的答复以及从管理层和治理层获取的其他方面的信息;
(3)对可能表明存在舞弊或错误导致的错报的情况保持警觉;
(4)根据被审计单位的性质和具体情况,考虑获取的审计证据是否支持注册会计师对重大错报风险的识别和评估。
(三)不偏向于获取佐证性的审计证据或排斥相矛盾的审计证据(参见本准则第十八条)
25.不带偏向性地设计和实施风险评估程序以获取支持重大错报风险识别和评估的审计证据,可以帮助注册会计师识别潜在的相矛盾的信息,从而帮助注册会计师在识别和评估重大错报风险时保持职业怀疑。
(四)审计证据的来源(参见本准则第十八条)
26.不带偏向性地设计和实施风险评估程序以获取审计证据,可能涉及从被审计单位内部和外部多个来源获取证据。然而,本准则并不要求注册会计师穷尽一切办法来进行搜索,以识别审计证据的所有可能来源。风险评估程序的信息来源可能包括:
(1)与管理层、治理层、被审计单位其他关键人员(如内部审计人员)的沟通;
(2)直接或间接从特定外部机构(如监管机构)获取;
(3)被审计单位的公开信息,如被审计单位发布的新闻稿、分析师或投资者会议的材料、分析师报告或与交易活动有关的信息;
(4)其他来源。
无论信息的来源如何,注册会计师都需要按照《中国注册会计师审计准则第1301号——审计证据》的要求,考虑用作审计证据的信息的相关性和可靠性。
(五)针对不同情形运用本准则的规定(参见本准则第十八条)
27.风险评估程序的性质和范围因被审计单位的性质和具体情况(如被审计单位的政策和程序、流程和体系的正规化程度)而异。注册会计师运用职业判断来确定为遵守本准则的要求而需要实施的风险评估程序的性质和范围。
28.尽管被审计单位的政策和程序、流程和体系的正规化程度可能有所不同,注册会计师仍然需要根据本准则第二十四条、第二十六条、第二十七条、第二十九条、第三十条和第三十一条的规定了解相关方面。举例来说,某些类型的被审计单位,包括较不复杂的被审计单位,特别是由业主管理的被审计单位,可能未建立结构化的流程和体系(如风险评估流程或内部监督的流程),或者虽然建立了这些流程和体系,但其文档记录有限或实施缺乏一致性。如果这些流程和体系的正规化程度较低,注册会计师仍然可以通过观察和询问实施风险评估程序。对于其他类型的被审计单位,通常是较为复杂的被审计单位,一般具有更为正式的书面政策和程序。注册会计师在实施风险评估程序时,可以利用这些书面文件。
29.在首次执行某项审计业务时,风险评估程序的性质和范围可能比执行连续审计业务的情况下更为广泛。在后续执行连续审计业务时,注册会计师可以重点关注自上一期间后发生的变化。
(六)风险评估程序的类型(参见本准则第十九条)
30.《〈中国注册会计师审计准则第1301号——审计证据〉应用指南》阐述了注册会计师从风险评估程序和进一步审计程序中获取审计证据可以实施的审计程序的类型。某些会计数据或其他证据可能只以电子形式存在,或只能在某些特定时点获取,这可能影响审计程序的性质、时间安排和范围。如果注册会计师认为更高效,可以在实施风险评估程序的同时,按照《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的规定实施实质性程序或控制测试。注册会计师为识别和评估重大错报风险而获取的审计证据也可以用来支持在认定层次发现错报和评价控制运行的有效性。
31.尽管注册会计师在了解被审计单位及其环境、适用的财务报告编制基础,以及被审计单位的内部控制体系(参见本准则第二十四条至第三十二条)的过程中需要实施本准则第十九条规定的所有风险评估程序,但无需在了解每个方面时都实施所有的风险评估程序。如果实施其他审计程序获取的信息有助于识别重大错报风险,注册会计师也可以实施这些程序。例如,询问被审计单位的外部法律顾问、相关监管机构或被审计单位利用的评估专家等。
自动化工具和技术
32.注册会计师可以使用自动化工具和技术对大批量数据(如总账、明细账或其他经营性数据)实施风险评估程序,包括分析、重新计算、重新执行或编制调节表等。
(七)询问管理层和被审计单位内部其他人员(参见本准则第十九条第(一)项)
为什么要询问管理层和被审计单位内部其他人员
33.注册会计师可以通过询问管理层和负责财务报告的人员来获取相关信息,以为识别和评估重大错报风险以及设计进一步审计程序提供依据。
34.注册会计师在识别和评估重大错报风险时,可以询问管理层和负责财务报告的人员,也可以询问被审计单位内部其他合适人员,或者询问不同层级的员工。询问不同的人员可能为注册会计师提供不同的视角。例如:
(1)直接询问治理层,可能有助于注册会计师了解治理层对管理层编制财务报表的监督程度。《中国注册会计师审计准则第1151号——与治理层的沟通》指出,有效的双向沟通对于帮助注册会计师从治理层获取信息十分重要;
(2)询问负责生成、处理或记录复杂或异常交易的员工,可能有助于注册会计师评价被审计单位选择和运用某项会计政策的恰当性;
(3)直接询问内部法律顾问,可能有助于注册会计师了解诉讼、遵守法律法规的情况、影响被审计单位的舞弊或舞弊嫌疑、产品保证、售后责任、与业务合作伙伴的安排(如合营企业)以及合同条款的含义等事项的有关信息;
(4)直接询问营销人员,可能有助于注册会计师了解被审计单位营销策略的变化、销售趋势或与客户的合同安排等;
(5)直接询问风险管理职能部门或人员,可能有助于注册会计师了解可能影响财务报告的运营和监管风险;
(6)直接询问信息技术人员,可能有助于注册会计师了解系统变更、系统或控制失效的情况,或与信息技术相关的其他风险。
对公共部门实体的特殊考虑
35.执行公共部门实体审计的注册会计师,在询问可能拥有有助于其识别重大错报风险的信息的人员时,还可能从其他来源获取信息,如参与被审计单位的绩效审计或其他审计活动的注册会计师。
询问内部审计人员
36.如果被审计单位设有内部审计部门、岗位或人员,询问合适的内部审计人员,可能有助于注册会计师在识别和评估风险时,了解被审计单位及其环境以及被审计单位的内部控制体系。
37.本指南附录4说明了注册会计师在了解被审计单位的内部审计时需要考虑的因素。
对公共部门实体的特殊考虑
38.执行公共部门实体审计的注册会计师,通常需要对公共部门实体的内部控制以及遵守适用的法律法规的情况承担额外的责任。询问合适的内部审计人员可能有助于注册会计师识别严重违反适用的法律法规的风险,以及与财务报告相关的控制存在缺陷的风险。
(八)分析程序(参见本准则第十九条第(二)项)
为什么将分析程序用作风险评估程序
39.实施分析程序有助于注册会计师识别不一致的情形、异常的交易或事项,以及可能对审计产生影响的金额、比率和趋势。识别出的异常或未预期到的关系可以帮助注册会计师识别重大错报风险,特别是舞弊导致的重大错报风险。
40.注册会计师将分析程序用作风险评估程序,来识别注册会计师未注意到的被审计单位某些方面的情况,或了解固有风险因素(如相关变化)如何影响相关认定易于发生错报的可能性,可能有助于识别和评估重大错报风险。
分析程序的类型
41.注册会计师在将分析程序用作风险评估程序时,可以:
(1)同时使用财务信息和非财务信息,如分析销售额(财务信息)与卖场的面积(非财务信息)或已出售商品数量(非财务信息)之间的关系;
(2)使用高度汇总的数据,实施分析程序的结果可能大体上初步显示发生重大错报的可能性。
例如,在对许多被审计单位(包括业务模式、流程和信息系统较不复杂的被审计单位)进行审计时,注册会计师可以对相关信息进行简单的比较,如中期账户余额或月度账户余额与以前期间的余额相比发生的变化,以发现潜在的较高风险领域。
42.本准则规定了注册会计师将分析程序用作风险评估程序。《中国注册会计师审计准则第1313号——分析程序》规定了注册会计师将分析程序用作实质性程序(即实质性分析程序)以及在临近审计结束时实施分析程序的责任。因此,注册会计师将分析程序用作风险评估程序时,不要求遵守《中国注册会计师审计准则第1313号——分析程序》。然而,《中国注册会计师审计准则第1313号——分析程序》及其应用指南可能为注册会计师将分析程序用作风险评估程序提供有用的指引。
自动化工具和技术
43.注册会计师可以使用自动化工具和技术实施分析程序。对数据运用自动化分析程序可以称为数据分析。例如,注册会计师可以使用电子表格将实际记录的金额与预算金额进行比较,或者可以实施更高级的程序,即从被审计单位的信息系统中提取数据,然后使用可视化技术进一步分析这些数据,以识别可能需要实施进一步特定风险评估程序的各类交易、账户余额和披露。
(九)观察和检查(参见本准则第十九条第(三)项)
为什么将观察和检查用作风险评估程序
44.观察和检查程序可以支持、佐证或反驳对管理层和其他相关人员的询问结果,并可以提供有关被审计单位及其环境的信息。
将观察和检查用作风险评估程序
45.风险评估程序可能包括观察或检查下列事项:
(1)被审计单位的经营活动;
(2)内部文件(如经营计划和策略)、记录和内部控制手册;
(3)管理层编制的报告(如管理层季度报告和中期财务报告)和治理层编制的报告(如董事会会议纪要);
(4)被审计单位的生产经营场所和厂房设备;
(5)从外部来源获取的信息,如贸易与经济方面的期刊,分析师、银行或评级机构的报告,法规或金融出版物,或其他与被审计单位财务业绩相关的外部文件(例如本指南第91段中提及的文件);
(6)管理层或治理层的行为和行动(如观察审计委员会会议)。
自动化工具和技术
46.注册会计师可以使用自动化工具和技术实施观察或检查程序,特别是观察或检查资产,例如使用远程观察工具(如无人机)。
针对不同情形运用本准则的规定
47.如果政策或程序未形成书面文件,或者被审计单位的控制较不正式,注册会计师仍可以通过实施观察或检查控制的程序来获取审计证据,以识别和评估重大错报风险。例如,注册会计师可以:
(1)通过直接观察了解与存货盘点相关的控制,即使被审计单位没有关于此类控制的文件记录;
(2)观察职责分离;
(3)观察输入密码的控制。
对公共部门实体的特殊考虑
48.执行公共部门实体审计的注册会计师实施的风险评估程序可能包括观察和检查管理层为立法机关编制的文件,例如与法定业绩报告相关的文件。
(十)从其他来源获取的信息(参见本准则第二十条)
为什么注册会计师要考虑从其他来源获取的信息
49.注册会计师从其他来源获取的与以下方面相关的信息及对这些信息的深入了解,可能与识别和评估重大错报风险相关:
(1)被审计单位的性质和经营风险,以及自以前期间可能发生的变化;
(2)管理层和治理层的诚信、道德和价值观,这也可能与注册会计师了解内部环境相关;
(3)适用的财务报告编制基础,以及根据被审计单位的性质和情况对其的运用。
其他相关来源
50.信息的其他相关来源包括:
(1)注册会计师按照《中国注册会计师审计准则第1121号——对财务报表审计实施的质量管理》实施的与客户关系和审计业务的接受与保持相关的程序,包括得出的结论。
(2)项目合伙人为被审计单位执行的其他业务。项目合伙人可能在为被审计单位执行其他业务时,获取了与审计相关的信息,包括与被审计单位及其环境相关的信息。这类业务可能包括商定程序或其他审计或鉴证业务(包括为符合国家或地区内其他报告要求而执行的业务)。
注册会计师以前服务被审计单位的经验和以前审计时获取的信息(参见本准则第二十一条)
51.注册会计师以前服务被审计单位的经验和以前审计时实施的审计程序,可以为注册会计师确定风险评估程序的性质和范围以及识别和评估重大错报风险提供相关信息。
52.注册会计师以前服务被审计单位的经验和以前审计时实施的审计程序,可以为注册会计师提供有关下列事项的信息:
(1)以往的错报情况以及错报是否得到及时更正;
(2)被审计单位及其环境的性质以及被审计单位的内部控制体系(包括控制缺陷);
(3)自上期以来被审计单位或其经营活动可能发生的重大变化;
(4)注册会计师在对特定类型的交易和其他事项或账户余额(包括相关披露)实施必要的审计程序时遇到了困难(如由于其复杂性遇到了困难)。
53.如果拟将以前服务被审计单位的经验和以前审计时实施审计程序获取的信息用于本期审计,注册会计师需要确定这些经验和信息是否仍然相关和可靠。如果被审计单位的性质或情况已经发生变化,或获取了新的信息,则以前期间获取的经验和信息对于本期审计可能不再相关或可靠。为了确定是否发生了影响这些经验和信息相关性和可靠性的变化,注册会计师可以询问并实施其他适当的审计程序,如对相关系统实施穿行测试。如果这些经验或信息不可靠,注册会计师可以考虑根据具体情况实施适当的补充程序。
(十一)项目组内部的讨论(参见本准则第二十二条和第二十三条)
为什么审计项目组要讨论被审计单位对财务报告编制基础的运用以及财务报表易于发生重大错报的可能性
54.项目组内部关于被审计单位对财务报告编制基础的运用,以及财务报表易于发生重大错报的可能性的讨论可以:
(1)使经验较丰富的项目组成员(包括项目合伙人)有机会分享其根据对被审计单位的了解形成的见解。共享信息有助于增进所有项目组成员对项目的了解。
(2)使项目组成员能够讨论被审计单位面临的经营风险,固有风险因素怎样影响各类交易、账户余额和披露易于发生错报的可能性,以及财务报表易于发生舞弊或错误导致的重大错报的方式和领域。
(3)帮助项目组成员更好地了解在各自负责的领域中潜在的财务报表重大错报,并了解各自实施的审计程序的结果可能如何影响审计的其他方面,包括对确定进一步审计程序的性质、时间安排和范围的影响。特别是,讨论可以帮助项目组成员基于各自对被审计单位性质和情况的了解,进一步考虑相矛盾的信息。
(4)为项目组成员交流和分享在审计过程中获取的、可能影响重大错报风险评估结果或应对这些风险的审计程序的新信息提供基础。
《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》要求项目组内部讨论的重点应当包括财务报表易于发生舞弊导致的重大错报的方式和领域,包括舞弊可能如何发生。
55.职业怀疑对于审慎评价审计证据尤为必要,而积极和开放的项目组讨论(包括在连续审计业务中的讨论)可能有助于加强对重大错报风险的识别和评估。讨论也有助于注册会计师识别在审计中保持职业怀疑尤为重要的特定领域,并因此可能需要更有经验的、具有适当专业技能的项目组成员参与实施与该特定领域相关的审计程序。
讨论适用的财务报告编制基础中的披露要求
56.作为项目组内部讨论的一部分,考虑适用的财务报告编制基础中的披露要求,有助于注册会计师在审计工作的初期识别可能存在的与披露相关的重大错报风险领域,即使适用的财务报告编制基础仅要求作出简化披露。项目组可能讨论的事项包括:
(1)财务报告要求的变化,该变化可能导致作出重大的新披露或对现有披露作出重大修改;
(2)被审计单位所处的环境、财务状况或经营活动的变化,该变化可能导致作出重大的新披露或对现有披露作出重大修改,例如,审计期间发生的重大企业合并;
(3)对以往审计中难以获取充分、适当的审计证据的情况的披露;
(4)关于复杂事项的披露,包括管理层对披露信息内容作出的重大判断。
针对不同情形运用本准则的规定
57.如果业务由大型项目组实施,例如集团财务报表审计,所有成员都参与到一项讨论中并非总是必要和可行的(如在跨地区审计中),将讨论中作出的全部决定告知项目组所有成员也不总是必要的。项目合伙人可以与项目组关键成员(包括具有专门技能和知识的成员和负责组成部分审计的人员,如认为适当)进行讨论,在考虑需要在整个项目组中沟通的范围后,可以委派代表与其他人员进行讨论。在这种情况下,制定一个经项目合伙人同意的沟通计划可能是有用的。
对公共部门实体的特殊考虑
58.作为项目组内部讨论的一部分,执行公共部门实体审计的注册会计师也可以考虑由公共部门实体的审计要求或责任导致的其他更广泛的目标和相关风险。
五、了解被审计单位及其环境、适用的财务报告编制基础和内部控制体系(参见本准则第二十四条至第三十二条)
(一)应当获取的了解(参见本准则第二十四条至第三十二条)
59.了解被审计单位及其环境、适用的财务报告编制基础和被审计单位的内部控制体系是一个动态和不断修正地收集、更新与分析信息的过程,贯穿于整个审计过程的始终。因此,注册会计师的预期可能随着获取的新信息而发生变化。
60.注册会计师对被审计单位及其环境和适用的财务报告编制基础的了解可以帮助注册会计师就可能的相关交易类别、账户余额和披露形成初步预期。这些预期的相关交易类别、账户余额和披露为注册会计师了解被审计单位信息系统的范围提供了基础。
61.本指南附录1至附录6说明了注册会计师在了解被审计单位及其环境、适用的财务报告编制基础和内部控制体系时需要进一步考虑的因素。
(二)为什么需要了解被审计单位及其环境和适用的财务报告编制基础(参见本准则第二十四条和第二十五条)
62.注册会计师对被审计单位及其环境和适用的财务报告编制基础的了解,有助于其了解与被审计单位相关的事项和情况,并识别被审计单位在按照适用的财务报告编制基础编制财务报表时,固有风险因素怎样影响各项认定易于发生错报的可能性以及影响的程度。这些信息为注册会计师识别和评估重大错报风险提供了重要依据。这有助于注册会计师计划审计工作,并在贯穿于审计工作的下列关键环节中运用职业判断和保持职业怀疑:
(1)按照本准则和其他相关准则的规定识别和评估重大错报风险,例如,按照《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》的规定识别和评估舞弊风险,按照《中国注册会计师审计准则第1321号——会计估计和相关披露的审计》的规定识别和评估与会计估计相关的风险;
(2)按照《中国注册会计师审计准则第1142号——财务报表审计中对法律法规的考虑》的规定实施程序,识别对财务报表产生重大影响的违反法律法规的行为;
(3)按照《中国注册会计师审计准则第1501号——对财务报表形成审计意见和出具审计报告》的规定评估财务报表是否作出充分披露;
(4)按照《中国注册会计师审计准则第1221号——计划和执行审计工作时的重要性》的规定确定财务报表整体的重要性和实际执行的重要性;
(5)考虑选择和运用的会计政策的适当性和财务报表披露的充分性。
63.注册会计师对被审计单位及其环境和适用的财务报告编制基础的了解,在下列方面影响注册会计师计划和实施进一步审计程序:
(1)按照《中国注册会计师审计准则第1313号——分析程序》的规定确定在实施分析程序时使用的预期值;
(2)按照《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的规定设计和实施进一步审计程序以获取充分、适当的审计证据;
(3)评价已获取审计证据的充分性和适当性,如与假设或管理层口头声明和书面声明相关的证据。
针对不同情形运用本准则的规定
64.注册会计师在确定对被审计单位及其环境和适用的财务报告编制基础的了解的性质和范围时,需要运用职业判断。根据不同被审计单位的性质和情况,了解的性质和范围也有所不同,包括:
(1)被审计单位的规模和复杂程度,包括信息技术环境;
(2)注册会计师以前服务被审计单位的经验;
(3)被审计单位的系统和业务流程的性质,包括其正规化程度;
(4)被审计单位文件记录的性质和形式。
65.在较不复杂被审计单位的审计中,注册会计师了解被审计单位的风险评估程序可能酌情简化,而对于较为复杂的被审计单位,这一了解可能更为详细。注册会计师需要了解的深度预期将低于管理层在管理被审计单位过程中的了解深度。
66.某些财务报告编制基础允许小型被审计单位在财务报表中提供更为简化的披露。但是,这并不能减轻注册会计师了解被审计单位及其环境和适用的财务报告编制基础的责任。
67.被审计单位对信息技术的运用以及信息技术环境的性质和变化程度也可能影响注册会计师了解被审计单位所需要的专业技能。
(三)被审计单位及其环境(参见本准则第二十四条第(一)项)
被审计单位的组织结构、所有权和治理结构、业务模式(参见本准则第二十四条第(一)项第1点)
被审计单位的组织结构、所有权结构
68.了解被审计单位的组织结构和所有权结构有助于注册会计师了解下列事项:
(1)被审计单位组织结构的复杂程度。例如,被审计单位可能是单一实体,也可能在多个地区拥有子公司、部门或其他组成部分。此外,法律上的组织结构可能与经营上的组织结构不同。通常来说,组织结构越复杂,越容易出现导致重大错报风险的可能性有所增加的因素。相关问题可能包括对商誉、合营企业、投资或特殊目的实体的会计处理是否恰当,以及财务报表是否已对这些事项作出充分披露。
(2)所有权结构,以及所有者与其他人员或实体之间的关系,包括关联方。了解这些方面有助于注册会计师确定关联方交易是否已得到恰当识别和处理,并在财务报表中得到充分披露。
(3)所有者、治理层、管理层之间的分离。例如,在较不复杂被审计单位,所有者可能参与管理被审计单位,因此,所有者、治理层、管理层之间较少分离或没有分离。相反,在某些上市实体,管理层、所有者、治理层之间可能存在明确的分离。
(4)被审计单位信息技术环境的组织结构和复杂程度。例如,被审计单位可能:
①在不同的业务中拥有多个旧版信息技术系统,这些系统无法很好地集成整合,从而导致信息技术环境较为复杂;
②在信息技术环境的各个方面使用外部或内部服务提供商(例如,将信息技术环境的管理外包给第三方或者使用共享服务中心进行集团内信息技术流程的集中管理)。
69.注册会计师可以使用自动化工具和技术了解交易和处理的流程,作为其了解被审计单位信息系统的程序的一部分。注册会计师通过实施这些程序可以了解与被审计单位的组织结构和与被审计单位进行业务往来的实体(如供应商、客户、关联方)相关的信息。
70.公共部门实体的所有权结构可能与私有实体不同,因为与公共部门实体相关的决策可能是基于实体外部的相关程序作出的。因此,管理层可能无法控制某些决策。相关事项包括了解实体单独作出决策的能力,以及其他公共部门实体控制或影响实体的职权和战略方向的能力。例如,公共部门实体可能需要遵守主管部门相关法律或其他政策,在实施策略和目标之前获得外部的批准。因此,与了解实体法律上的组织结构相关的事项可能包括了解适用的法律法规和实体的类型(例如,实体属于行政、事业、社团还是其他类型的实体)。
被审计单位的治理结构
71.了解被审计单位的治理结构可能有助于注册会计师了解被审计单位监督内部控制体系的能力。但是,这一了解也可能提供内部控制体系存在缺陷的证据,从而表明被审计单位的财务报表产生重大错报风险的可能性有所增加。
72.注册会计师可以考虑下列事项,以了解被审计单位的治理结构:
(1)治理层人员是否参与对被审计单位的管理;
(2)董事会中的非执行人员(如有)是否与负责执行的管理层相分离;
(3)治理层人员是否在被审计单位法律上的组织结构下的组成部分中任职,例如担任董事;
(4)治理层是否下设专门机构,例如审计委员会,以及该专门机构的责任;
(5)治理层监督财务报告的责任,包括批准财务报表。
被审计单位的业务模式
73.注册会计师了解被审计单位的目标、战略和业务模式有助于从战略层面了解被审计单位,并了解被审计单位承担和面临的经营风险。由于多数经营风险最终都会产生财务后果,从而影响财务报表,因此了解影响财务报表的经营风险有助于注册会计师识别重大错报风险。例如,不同业务模式的被审计单位可能以不同方式依赖信息技术:
(1)被审计单位在实体店销售鞋履,并使用先进的库存和销售终端系统记录鞋履的销售;
(2)被审计单位在线销售鞋履,所有销售交易均在信息技术环境中处理,包括通过网站发起交易。
对于以上两类被审计单位,尽管二者都从事鞋履销售,但由于业务模式明显不同,因此产生的经营风险也有显著差异。
74.注册会计师并非需要了解被审计单位业务模式的所有方面。经营风险比财务报表重大错报风险范围更广,并且包括重大错报风险。注册会计师没有责任了解或识别所有的经营风险,因为并非所有的经营风险都会导致重大错报风险。
75.导致财务报表产生重大错报风险的可能性有所增加的经营风险可能来自下列事项:
(1)目标或战略不恰当,未能有效实施战略,环境的变化或经营的复杂性;
(2)未能认识到变革的必要性也可能导致经营风险。例如:
①开发新产品或服务可能失败;
②即使成功开拓了市场,也不足以支撑产品或服务;
③产品或服务存在瑕疵,可能导致法律责任及声誉方面的风险;
(3)对管理层的激励和压力措施可能导致有意或无意的管理层偏向,并因此影响重大假设以及管理层或治理层预期的合理性。
76.注册会计师在了解可能导致财务报表重大错报风险的业务模式、目标、战略及相关经营风险时,可以考虑下列事项:
(1)行业发展,例如缺乏足以应对行业变化的人力资源和业务专长;
(2)开发新产品或提供新服务,这可能导致被审计单位的产品责任增加;
(3)被审计单位的业务扩张,被审计单位对市场需求的估计可能不准确;
(4)新的会计政策,被审计单位可能对其未完全执行或执行不当;
(5)监管要求,这可能导致法律责任增加;
(6)本期及未来的融资条件,例如被审计单位由于无法满足融资条件而失去融资机会;
(7)信息技术的运用,例如新的信息技术系统的实施将影响经营和财务报告;
(8)实施战略的影响,特别是由此产生的需要运用新的会计政策的影响。
77.管理层通常识别经营风险并制定应对风险的方法。这种风险评估工作是被审计单位内部控制体系的一部分,本准则第二十七条、本指南第125段至第129段对此进行了讨论。
78.本指南附录1说明了关于了解被审计单位及其业务模式的其他考虑因素,以及特殊目的实体审计中的其他考虑因素。
79.与为所有者创造财富的实体不同,在公共部门运营的实体可能会以不同的方式创造和提供价值,但其仍具有实现特定目标的“业务模式”。执行公共部门实体审计的注册会计师了解的与实体的业务模式相关的事项可能包括:
(1)了解相关政府活动,包括相关计划;
(2)计划的目标和战略,包括公共政策要素。
80.对于公共部门实体审计,管理层的目标可能受到证明其公共受托责任的要求的影响,这一目标可能来源于法律法规或其他监管机构的相关要求。
行业形势、法律环境、监管环境和其他外部因素(参见本准则第二十四条第(一)项第2点)
行业因素
81.相关行业因素包括行业形势,如竞争环境、供应商和客户关系、技术发展情况等。注册会计师可能需要考虑的事项包括:
(1)市场与竞争,包括市场需求、生产能力和价格竞争;
(2)生产经营的季节性和周期性;
(3)与被审计单位产品相关的生产技术;
(4)能源供应与成本。
82.被审计单位经营所处的行业可能由于其经营性质或监管程度导致产生特定的重大错报风险。例如,在建造行业中,长期合同可能涉及对收入和费用作出重要估计,从而导致重大错报风险。在这种情况下,项目组中包括具有适当胜任能力的成员是很重要的。
法律和监管因素
83.相关法律和监管因素包括法律环境和监管环境。法律环境和监管环境包括适用的财务报告编制基础、法律和社会环境及其变化等。注册会计师可能需要考虑的事项包括:
(1)受管制行业的法规框架,如与审慎监管相关的监管框架,包括相关披露;
(2)对被审计单位经营活动产生重大影响的法律法规,如劳动法和相关法规;
(3)税收相关法律法规;
(4)目前对被审计单位开展经营活动产生影响的政府政策,如货币政策(包括外汇管制)、财政政策、关税或贸易限制政策等;
(5)影响行业和被审计单位经营活动的环保要求。
84.《中国注册会计师审计准则第1142号——财务报表审计中对法律法规的考虑》包含了与适用于被审计单位及其所在行业或领域的法律法规框架相关的特定要求。
85.对于公共部门实体的审计,可能存在影响被审计单位经营活动的特定法律法规。在了解被审计单位及其环境时考虑这些法律法规是必要的。
其他外部因素
86.注册会计师考虑的影响被审计单位的其他外部因素可能包括总体经济情况、利率、融资的可获得性、通货膨胀水平或币值变动等。
被审计单位财务业绩的衡量标准(参见本准则第二十四条第(一)项第3点)
87.了解被审计单位财务业绩的衡量标准有助于注册会计师考虑这些内部或外部的衡量标准是否会导致被审计单位面临实现业绩目标的压力。这些压力可能促使管理层采取某些措施,从而提高易于发生管理层偏向或舞弊导致的错报的可能性,如改善经营业绩或故意歪曲财务报表。《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》及其应用指南对舞弊风险作出了规定并提供了指引。
88.衡量标准还可能向注册会计师表明相关财务报表信息存在重大错报风险的可能性。例如,业绩衡量可能表明,被审计单位与同行业其他实体相比具有异常快速的增长率或盈利水平。
89.管理层及其他人员通常衡量和评价其认为重要的事项。注册会计师询问管理层后可能发现,管理层依据特定关键指标(无论该指标是否可以公开获取)评价财务业绩并采取适当行动。在这种情况下,注册会计师可以通过考虑被审计单位用于经营管理的信息,识别相关内部或外部的业绩衡量标准。如果询问结果表明被审计单位不存在业绩衡量和评价,则存在未发现和未更正错报的风险可能增加。
90.用于评价财务业绩的关键指标可能包括:
(1)关键业绩指标(财务或非财务的)、关键比率、趋势和经营统计数据;
(2)同期财务业绩比较分析;
(3)预算、预测、差异分析,分部信息和分部、部门或其他不同层次的业绩报告;
(4)员工业绩考核与激励性报酬政策;
(5)被审计单位与竞争对手的业绩比较。
91.外部机构或人员也可能评价和分析被审计单位的财务业绩,特别是针对可以公开获得财务信息的被审计单位。注册会计师可以考虑获取这些可公开获得的信息,以帮助其进一步了解业务并识别相矛盾的信息,信息的来源举例如下:
(1)分析师或信用机构;
(2)新闻和其他媒体,包括社交媒体;
(3)税务机关;
(4)监管机构;
(5)商会;
(6)资金提供方。
这些财务信息通常可以从被审计单位获取。
92.对财务业绩的衡量和评价不同于对内部控制体系的监督(在本指南第130段至第139段内部控制体系要素中讨论),即:
(1)对财务业绩的衡量和评价,针对的是被审计单位的业绩是否达到管理层(或第三方)设定的目标;
(2)对内部控制体系的监督重点关注的是监督控制(包括与管理层衡量和评价财务业绩相关的控制)的有效性。
两者的目标可能存在重叠,在某些情况下,业绩指标也可以为管理层识别控制缺陷提供信息。
针对不同情形运用本准则的规定
93.注册会计师为了解评价被审计单位财务业绩的衡量标准而实施的程序可能有所不同,具体取决于被审计单位的规模和复杂程度,以及所有者或治理层参与管理被审计单位的程度。例如:
(1)对于较不复杂的被审计单位,其银行借款条款(即银行契约)可能同与业绩或财务状况相关的特定业绩衡量标准(如最高营运资本金额)挂钩。注册会计师了解银行使用的业绩衡量标准可能有助于识别存在较高重大错报风险可能性的领域。
(2)对于性质和情况较为复杂的被审计单位,如保险业或银行业实体,可能根据监管要求(如资本充足率和流动性比率等监管比率要求)衡量业绩或财务状况。注册会计师了解这些业绩衡量标准可能有助于识别存在较高重大错报风险可能性的领域。
对公共部门实体的特殊考虑
94.执行公共部门实体审计的注册会计师除了考虑公共部门实体评价财务业绩使用的相关衡量标准外,还可能考虑评价非财务信息使用的衡量标准,如实现公众利益的成果(例如,特定计划援助的人口数量)。
(四)适用的财务报告编制基础(参见本准则第二十四条第(二)项)
95.在了解被审计单位适用的财务报告编制基础,以及如何根据被审计单位及其环境的性质和情况运用该编制基础时,注册会计师可能需要考虑的事项包括:
(1)被审计单位与适用的财务报告编制基础相关的财务报告实务,例如:
①会计政策和行业特定惯例,包括特定行业财务报表中的相关交易类别、账户余额和披露(如银行业的贷款和投资、医药行业的研究与开发活动);
②收入确认;
③金融工具以及相关信用损失的会计处理;
④外币资产、负债与交易;
⑤异常或复杂交易(包括在有争议或新兴领域的交易)的会计处理(如对加密货币的会计处理);
(2)就被审计单位对会计政策的选择和运用(包括发生的变化以及变化的原因)获得的了解,可能包括下列事项:
①被审计单位用于确认、计量和列报(包括披露)重大和异常交易的方法;
②在缺乏权威性标准或共识的争议或新兴领域采用重要会计政策产生的影响;
③环境变化,例如适用的财务报告编制基础的变化或税制改革可能导致被审计单位的会计政策变更;
④新颁布的财务报告准则、法律法规,被审计单位采用的时间以及如何采用或遵守这些规定。
96.了解被审计单位及其环境可能有助于注册会计师考虑被审计单位的财务报告预期发生变化的领域,如相比以前期间预期发生变化的领域。
例如,如果被审计单位在本期发生重大企业合并,则注册会计师可以预期与该企业合并相关的各类交易、账户余额和披露发生变化。相反,如果财务报告编制基础在本期未发生重大变化,则注册会计师的了解可能有助于其确认上期获取的了解仍然适用。
对公共部门实体的特殊考虑
97.适用于公共部门实体的财务报告编制基础由每个国家或地区的法律和监管框架确定。在考虑公共部门实体适用的财务报告要求,以及如何根据该实体及其环境的性质和情况运用该要求时,注册会计师可能需要考虑的事项包括该实体是否按照适用的公共部门会计准则采用权责发生制或收付实现制(或者两者混合使用)进行会计核算。
(五)固有风险因素怎样影响认定易于发生错报的可能性(参见本准则第二十四条第(三)项)
为什么注册会计师在了解被审计单位及其环境和适用的财务报告编制基础时要了解固有风险因素
98.了解被审计单位及其环境和适用的财务报告编制基础有助于注册会计师识别出一些事项和情况,这些事项和情况的特征可能影响各类交易、账户余额和披露的认定易于发生错报的可能性,这些特征即为固有风险因素。固有风险因素可能通过影响错报发生的可能性和严重程度来影响认定易于发生错报的可能性。了解固有风险因素怎样影响认定易于发生错报的可能性有助于注册会计师初步了解错报发生的可能性和严重程度,并帮助注册会计师按照本准则第三十三条的规定识别认定层次的重大错报风险。了解固有风险因素在何种程度上影响认定易于发生错报的可能性,还有助于注册会计师在按照本准则第三十七条第(一)项评估固有风险时评估错报发生的可能性和严重程度。因此,了解固有风险因素也可以帮助注册会计师按照《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的规定设计和实施进一步审计程序。
99.注册会计师对认定层次重大错报风险的识别和对固有风险的评估,也可能受到其从实施的其他风险评估程序、进一步审计程序或为满足中国注册会计师审计准则的其他要求而实施的审计程序中获取的审计证据的影响(参见本指南第111段、第117段、第127段、第136段、第141段和第169段)。
固有风险因素对某类交易、账户余额和披露的影响
100.某类交易、账户余额和披露由于其复杂性或主观性而导致易于发生错报的可能性,通常与其变化或不确定性的程度密切相关。例如,如果被审计单位存在一项基于假设的会计估计,其假设的选择涉及重大判断,则这项会计估计的计量可能受到主观性和不确定性的影响。
101.某类交易、账户余额和披露由于其复杂性或主观性而导致易于发生错报的可能性越大,注册会计师越有必要保持职业怀疑。如果某类交易、账户余额和披露由于其复杂性、主观性、变化或不确定性而导致易于发生错报,这些固有风险因素可能为管理层偏向(无论无意或有意)创造了机会,并影响由管理层偏向导致的易于发生错报的可能性。注册会计师识别重大错报风险和评估认定层次固有风险,受到固有风险因素之间相互关系的影响。
102.某些事项或情况影响由管理层偏向导致易于发生错报的可能性,这些事项也可能影响由其他舞弊风险因素导致易于发生错报的可能性。因此,这些信息可能与《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》第二十五条相关,该准则要求注册会计师评价通过其他风险评估程序和相关活动获取的信息,是否表明存在舞弊风险因素。
103.本指南附录2按照固有风险因素分类说明了可能导致重大错报风险的事项和情况。
(六)了解被审计单位内部控制体系各要素(参见本准则第二十六条至第三十二条)
104.如本准则第二十六条至第三十二条所述,注册会计师通过实施风险评估程序了解和评价内部控制体系的每个要素,从而了解被审计单位的内部控制体系。
105.本准则所称被审计单位的内部控制体系各要素的分类和名称不一定与被审计单位如何设计、执行和维护内部控制体系以及如何划分特定要素一致。被审计单位也可能使用不同的术语或框架说明内部控制体系的不同方面。基于审计目的,如果注册会计师已针对本准则说明的所有要素作出了应对,也可以使用不同的术语或框架。
106.本指南附录3进一步解释了被审计单位的内部控制体系以及内部控制的固有局限性,并对内部控制体系各要素作出了具体说明。
针对不同情形运用本准则的规定
107.被审计单位内部控制体系的设计、执行和维护方式因其规模和复杂程度的不同而不同。例如,较不复杂被审计单位可能采用非正式或简单的控制实现内部控制的目标。
对公共部门实体的特殊考虑
108.对公共部门实体进行审计的注册会计师通常对内部控制负有额外责任,如报告被审计单位对既定操作守则的遵守情况或报告支出和预算之间的差异。注册会计师可能也有责任报告被审计单位对法律法规及其他监管要求的遵守情况。因此,注册会计师对公共部门实体内部控制体系的考虑可能会更广泛、更详细。
被审计单位内部控制体系各要素中的信息技术
109.无论被审计单位经营的环境是以人工为主还是完全自动化,亦或是人工和自动化要素的组合(即人工控制和自动化控制以及被审计单位内部控制体系中使用的其他资源),审计的总体目标和范围都没有区别。
110.本指南附录5提供了在了解被审计单位内部控制体系各要素时对运用信息技术的进一步指引。
了解被审计单位内部控制体系各要素的性质
111.在评价控制设计的有效性以及控制是否得到执行时(参见本指南第196段至第202段),注册会计师了解被审计单位内部控制体系各项要素有助于其初步了解被审计单位如何识别和应对经营风险。这些了解也可能以不同方式影响注册会计师对重大错报风险的识别和评估(参见本指南第99段)。这有助于注册会计师设计和实施进一步审计程序,包括计划测试控制运行的有效性。例如:
(1)注册会计师了解被审计单位的内部环境、风险评估和内部监督要素,更有可能影响财务报表层次重大错报风险的识别和评估;
(2)注册会计师了解被审计单位的信息与沟通以及控制活动要素,更有可能影响认定层次重大错报风险的识别和评估。
内部环境、风险评估和内部监督(参见本准则第二十六条至第二十九条)
112.内部环境、风险评估和内部监督中的控制主要是间接控制,即该类控制不足以精准地防止、发现或纠正认定层次的错报,但可以支持其他控制,因此可能间接影响及时防止或发现错报发生的可能性。但是,这些要素中的某些控制也可能是直接控制。
113.内部环境为内部控制体系其他要素的运行奠定了总体基础。内部环境不能直接防止、发现或纠正错报,但其可能影响内部控制体系其他要素中控制的有效性。同样,风险评估和内部监督也旨在支持整个内部控制体系。
114.由于内部环境、风险评估和内部监督是被审计单位内部控制体系的基础,其运行中的任何缺陷都可能对财务报表的编制产生广泛的影响。因此,注册会计师对这些要素的了解和评价,影响其对财务报表层次重大错报风险的识别和评估,也可能影响其对认定层次重大错报风险的识别和评估。如《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》所述,财务报表层次重大错报风险影响注册会计师设计总体应对措施,并影响进一步审计程序的性质、时间安排和范围。
内部环境(参见本准则第二十六条)
115.通过将询问和其他风险评估程序相结合(即通过观察或检查文件证实询问),注册会计师可以获取与内部环境相关的审计证据。
116.在考虑管理层对诚信、道德和价值观的重视程度时,注册会计师可以通过询问管理层和员工,并考虑外部来源的信息,了解下列内容:
(1)管理层如何向员工传达对商业行为惯例和符合道德要求的行为的看法;
(2)检查管理层的书面行为守则并观察管理层是否按照该守则行事。
117.内部环境是内部控制体系其他要素的基础。注册会计师评价被审计单位的行为与其诚信、道德和价值观是否相一致、内部环境是否为内部控制体系的其他要素奠定了适当基础、针对内部环境识别出的控制缺陷是否会削弱被审计单位内部控制体系的其他要素,有助于注册会计师识别内部控制体系其他要素中的潜在问题。注册会计师评价内部环境还有助于其了解被审计单位面临的风险,以识别和评估财务报表层次和认定层次重大错报风险(参见本指南第99段)。
118.注册会计师基于其按照本准则第二十六条第(一)项获取的了解,评价被审计单位的内部环境。
119.某些被审计单位可能被能够行使广泛裁决权的个人所控制。该个人的行为和态度可能对被审计单位的文化产生广泛的影响,进而对内部环境也产生广泛影响。这种影响可能是正面的,也可能是负面的。例如,个人的直接参与可能是被审计单位能够实现增长目标和其他目标的关键,同时也对有效的内部控制体系起着重要作用。另一方面,信息和权限的集中也可能增加由管理层凌驾于控制之上导致的错报发生的可能性。
120.注册会计师可以考虑高级管理人员的理念和经营风格如何影响内部环境的不同方面,并同时考虑治理层中独立成员的参与。
121.尽管内部环境可以为内部控制体系奠定适当基础,并有助于降低舞弊风险,但适当的内部环境不一定能够有效遏制舞弊。例如,人力资源政策和程序规定招聘具有胜任能力的财务、会计和信息技术人员,这可以降低处理和记录财务信息时出现错误的风险,但是,这些政策和程序不能抵消高级管理人员凌驾于控制之上的风险(如高估收入)。
122.注册会计师评价被审计单位运用信息技术相关的内部环境可能包括下列事项,例如:
(1)对信息技术的治理是否与被审计单位及其由信息技术支撑的业务的性质和复杂程度相匹配,包括被审计单位的技术平台或架构的复杂程度或成熟程度,以及被审计单位依赖信息技术应用程序支持财务报告的程度;
(2)与信息技术和资源分配相关的管理层组织结构,例如,被审计单位是否已投资了适当的信息技术环境和必要的升级,或者被审计单位使用商业软件时是否雇佣了充足的具有适当技术的人员。
针对不同情形运用本准则的规定
123.较不复杂被审计单位的内部环境的性质通常与较为复杂被审计单位不同。例如,较不复杂被审计单位的治理层可能不包括独立的或外部的成员,如果没有其他所有者,治理层的职能通常直接由业主兼经理承担。因此,有关被审计单位内部环境的某些考虑因素可能不相关或不适用。
124.另外,在较不复杂被审计单位,可能无法获取以文件形式存在的有关内部环境要素的审计证据,特别是当管理层与其他人员的沟通不够正式时,但在这种情况下获取的证据仍可能是相关和可靠的。例如:
(1)较不复杂被审计单位的组织结构可能较为简单,并且可能仅包括少数承担财务报告职责的员工。
(2)如果治理层的角色直接由业主兼经理承担,则注册会计师可能认为治理层的独立性是不相关的。
(3)较不复杂被审计单位可能没有书面的行为守则,但却通过口头沟通和管理层的示范作用形成了强调诚信和道德行为重要性的文化。因此,管理层或业主兼经理的态度、认识和措施对注册会计师了解较不复杂被审计单位的内部环境非常重要。
被审计单位的风险评估工作(参见本准则第二十七条和第二十八条)
125.如本指南第74段所述,并非所有的经营风险都会导致重大错报风险。注册会计师在了解管理层和治理层如何识别与财务报表编制相关的经营风险,并确定应对这些风险的措施时,可以考虑管理层或治理层如何处理下列事项:
(1)充分精准和明确地说明被审计单位的目标,以识别和评估与这些目标相关的风险;
(2)识别为实现被审计单位的目标所面临的风险,并分析这些风险,以作为确定应如何进行风险管理的基础;
(3)在考虑为实现被审计单位的目标所面临的风险时,考虑舞弊发生的可能性。
126.注册会计师可以考虑经营风险对被审计单位的财务报表编制以及内部控制体系其他方面的影响。
127.注册会计师评价风险评估工作,有助于其了解被审计单位识别的可能发生风险的领域以及被审计单位如何应对这些风险。评价被审计单位如何识别经营风险以及如何评估和应对这些风险,有助于注册会计师了解被审计单位是否已根据其性质和复杂程度,适当地识别、评估和应对所面临的风险。注册会计师对这些事项的评价可以帮助其识别、评估财务报表层次和认定层次的重大错报风险(参见本指南第99段)。
128.注册会计师基于其按照本准则第二十七条第(一)项获取的了解,评价被审计单位的风险评估工作是否适当。
针对不同情形运用本准则的规定
129.考虑被审计单位的性质和复杂程度,评价风险评估工作是否适合其具体情况属于注册会计师的职业判断。例如,在一些较不复杂被审计单位中,特别是业主管理的被审计单位,管理层或业主兼经理可能直接参与实施适当的风险评估程序(例如,管理层或业主兼经理定期跟踪竞争对手的活动和市场中的其他发展趋势,以识别新出现的经营风险)。这些类型被审计单位的风险评估证据通常没有形成正式记录,但可以通过注册会计师与管理层的讨论证实管理层实际上实施了风险评估程序。
被审计单位对内部控制体系的监督工作(参见本准则第二十九条)
130.注册会计师在了解被审计单位对内部控制体系的监督工作时,可以考虑的相关事项包括:
(1)监督活动的设计,如监督是定期的还是持续的;
(2)监督活动的实施情况和频率;
(3)对监督活动结果的及时评价,以确定控制是否有效;
(4)如何通过适当的整改措施应对识别的缺陷,包括与负责采取整改措施的人员及时沟通缺陷。
131.注册会计师可以考虑被审计单位监督内部控制体系的过程,是如何对涉及运用信息技术的信息处理控制进行监督的。例如:
(1)监督如下复杂信息技术环境的控制:
①评价信息处理控制的持续设计有效性,根据情况的变化对其进行适当修改;
②评价信息处理控制运行的有效性;
(2)监督权限的控制,这些权限应用于实施职责分离的自动化信息处理控制中;
(3)监督如何识别和应对与财务报告自动化相关的错误或控制缺陷的控制。
132.询问合适的内部审计人员,有助于注册会计师了解内部审计职责的性质。如果认为内部审计的职责与被审计单位的财务报告相关,注册会计师可以复核相关期间的内部审计计划,并与合适的内部审计人员讨论该计划,以进一步了解内部审计已执行或拟执行的活动。这一了解,连同注册会计师通过询问获取的了解,也可能为注册会计师识别和评估重大错报风险提供直接相关的信息。如果基于对被审计单位内部审计的初步了解,注册会计师预期将利用内部审计的工作,从而计划修改拟实施的审计程序的性质、时间安排或缩小其范围,则《中国注册会计师审计准则第1411号——利用内部审计人员的工作》适用。
133.本指南附录4说明了了解被审计单位内部审计的进一步考虑因素。
134.管理层的监督活动可能会利用在与外部有关各方沟通时获取的信息,例如,顾客的投诉和监管机构提出的意见可能表明了存在问题的领域或需要改进的领域。
135.注册会计师了解被审计单位在监督内部控制体系的过程中所使用的信息来源(包括信息是否相关和可靠),有助于其评价被审计单位监督内部控制体系的工作是否适当。如果管理层假定用于监督的信息是相关和可靠的,而这一假定没有依据,那么这些信息可能存在错误,从而导致管理层得出不正确的结论。
136.注册会计师评价被审计单位如何持续和单独地评价其对控制有效性的监督,有助于注册会计师了解被审计单位是否存在内部控制体系的其他要素并发挥作用,进而对这些要素加深了解。注册会计师对此事项的评价还有助于识别、评估财务报表层次和认定层次的重大错报风险(参见本指南第99段)。
137.注册会计师基于对被审计单位监督内部控制体系的工作的了解,评估该监督工作的适当性。
针对不同情形运用本准则的规定
138.在较不复杂被审计单位中,特别是业主管理的被审计单位,鉴于被审计单位可能不存在其他监督活动,注册会计师对被审计单位监督内部控制体系的工作的了解通常专注于管理层或业主兼经理如何直接参与经营。例如,被审计单位可能会收到客户有关月度对账单存在错误的投诉,这一事项提醒业主兼经理关注在会计记录中确认客户付款时点的问题。
139.对于没有标准化程序监督内部控制体系的被审计单位,注册会计师对监督内部控制体系的工作的了解可能包括了解管理层对会计信息的定期复核,这类复核旨在帮助被审计单位防止或发现错报。
信息与沟通以及控制活动(参见本准则第三十条和第三十一条)
140.信息与沟通以及控制活动要素中的控制主要为直接控制,即能够精准防止、发现或纠正认定层次错报的控制。
141.了解被审计单位与交易流程相关的政策以及与财务报表编制相关的信息处理活动的其他方面,并评价信息与沟通要素是否适当地支持财务报表的编制,能够支持注册会计师识别和评估认定层次重大错报风险。因此,注册会计师需要了解被审计单位的信息与沟通。如果注册会计师实施程序的结果,与其根据业务接受或保持过程中获取的信息确定的对内部控制体系的预期不一致,则上述了解和评价还可能导致注册会计师识别出财务报表层次重大错报风险(参见本指南第99段)。
142.注册会计师需要识别控制活动要素中的特定控制,评价其设计并确定其是否得到执行。这有助于注册会计师了解管理层应对特定风险的方法,从而为注册会计师按照《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的规定设计和实施应对这些风险的进一步审计程序提供依据。所评估风险的固有风险等级越高,越需要更具说服力的审计证据。即使注册会计师不拟测试所识别控制的运行有效性,注册会计师的了解仍可能影响应对相关重大错报风险的实质性审计程序的性质、时间安排和范围。
143.注册会计师了解、评估信息与沟通和控制活动是不断修正的过程。如本指南第60段所述,注册会计师对被审计单位及其环境和适用的财务报告编制基础的了解可以帮助其就可能的相关交易类别、账户余额和披露形成初步预期。在按照本准则第三十条第(一)项了解信息与沟通要素时,注册会计师可以以此为基础,来确定拟了解信息处理活动的范围。
144.注册会计师了解信息系统,包括了解被审计单位针对相关交易类别、账户余额和披露的信息处理活动的政策以及信息处理活动的其他相关方面。这些信息以及注册会计师从评价信息系统过程中获取的信息,可以确认或进一步影响注册会计师对初步识别的相关交易类别、账户余额和披露形成的预期(参见本指南第143段)。
145.注册会计师在了解与相关交易类别、账户余额和披露有关的信息如何在被审计单位的信息系统中输入、传递和输出时,可以按照本准则第三十一条第(一)项的规定识别控制活动要素中的控制。注册会计师识别和评价控制活动要素中的控制时,可能首先侧重于那些针对会计分录的控制和在设计实质性程序的性质、时间安排和范围时拟测试控制运行有效性的控制。
146.注册会计师对固有风险的评估可能会影响对控制活动要素中的控制的识别。例如,只有当注册会计师按照本准则第三十七条的规定评估了认定层次的固有风险时,才可以识别出与特别风险相关的控制。又如,只有当注册会计师评估了固有风险时,才能识别出应对以下风险的控制,即注册会计师确定仅实施实质性程序无法提供充分、适当的审计证据的风险(参见本准则第三十九条)。
147.注册会计师识别和评估认定层次重大错报风险,受到下列两方面影响:
(1)了解被审计单位信息与沟通要素中信息处理活动的政策;
(2)识别和评价控制活动要素中的控制。
信息与沟通(参见本准则第三十条)
针对不同情形运用本准则的规定
148.在较不复杂被审计单位,信息系统和相关业务流程可能不如较大型被审计单位复杂,且信息技术环境可能也较为简单,但是,信息系统的作用同样重要。业主直接参与经营管理的较不复杂被审计单位可能不需要对会计流程的详细描述、复杂的会计记录或书面政策。因此,在对较不复杂被审计单位进行审计时,了解被审计单位信息系统就较为容易,可能涉及更多询问程序而不是对文件的观察和检查。尽管如此,了解信息系统和相关业务流程仍然重要,这些了解为注册会计师按照《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的规定设计进一步审计程序提供依据,并可以进一步帮助注册会计师识别和评估重大错报风险(参见本指南第99段)。
149.本指南附录3第15段至第19段说明了和信息与沟通相关的进一步考虑因素。
了解信息系统(参见本准则第三十条第(一)项)
150.被审计单位的内部控制体系包括与其报告目标(包括财务报告目标)相关的方面,但也可能包括与财务报告有关的经营或合规目标相关的方面。注册会计师在了解被审计单位的信息系统时了解如何生成交易和获取信息,这其中可能包括与被审计单位为应对合规和经营目标而设置的系统(被审计单位的政策)相关的信息,这是因为这类信息与财务报表的编制相关。此外,某些被审计单位的信息系统可能是高度集成的,控制的设计可以同时实现财务报告、合规和经营目标。
151.了解被审计单位的信息系统,还包括了解信息处理活动中使用的资源。与了解信息系统完整性、准确性和有效性风险相关的人力资源信息包括:
(1)从事相关工作人员的胜任能力;
(2)资源是否充分;
(3)是否存在适当的职责分离。
152.注册会计师在了解信息与沟通要素中针对相关交易类别、账户余额和披露的信息处理活动的政策时,可以考虑以下事项:
(1)与需要处理的交易、其他事项和情况相关的数据或信息;
(2)为维护数据或信息的完整性、准确性和有效性而进行的信息处理;
(3)信息处理过程中使用的信息流程、人员和其他资源。
153.了解被审计单位的业务流程(包括交易产生的方式),有助于注册会计师以适合被审计单位具体情况的方式了解信息系统。
154.注册会计师可以通过多种方式了解信息系统,包括:
(1)向相关人员询问用于生成、记录、处理和报告交易的程序或被审计单位的财务报告过程;
(2)检查有关被审计单位信息系统的政策、流程手册或其他文件;
(3)观察被审计单位人员对政策或程序的执行情况;
(4)选取交易并追踪交易在信息系统中的处理过程(即实施穿行测试)。
自动化工具和技术
155.注册会计师还可以使用自动化技术,获取被审计单位信息系统中用于存储与交易相关的会计记录的数据库的直接访问权限,或从其中下载数据。通过应用自动化工具和技术,注册会计师追踪与特定交易或交易总体相关的会计分录或其他数字记录从会计记录的生成到记录于总账的全过程,从而可以确认其对交易在信息系统中如何流转获取的了解。通过分析完整或大量的交易,也可能识别出与这些交易的正常或预期处理程序之间的差异,从而识别重大错报风险。
从总账和明细账之外的其他途径获取的信息
156.财务报表可能包含从总账和明细账之外的其他途径获取的信息。注册会计师可以考虑的信息包括:
(1)从与财务报表披露相关的租赁协议中获取的信息;
(2)财务报表披露的由被审计单位风险管理系统生成的信息;
(3)由管理层的专家提供并在财务报表中披露的公允价值信息;
(4)财务报表中披露的、从为作出会计估计(在财务报表中确认或披露)所使用的模型或其他计算中获取的信息,包括与模型所用基础数据和假设相关的信息,例如,可能影响资产使用寿命的内部假设,或不受被审计单位控制的因素影响的数据(如利率);
(5)财务报表中披露的、与源于财务模型的敏感性分析相关的信息,用以表明管理层已考虑替代假设;
(6)财务报表确认或披露的、从被审计单位纳税申报表和相关记录中获取的信息;
(7)财务报表中披露的、从用于支持管理层评估被审计单位持续经营能力所作分析中获取的信息,例如,与识别出的可能导致对被审计单位持续经营能力产生重大疑虑的事项或情况相关的披露(如有)。
157.被审计单位财务报表中的特定金额或披露(如关于信用风险、流动性风险和市场风险的披露)可能以从被审计单位风险管理系统中获取的信息为基础。但是,注册会计师不需要了解风险管理系统的所有方面,而是运用职业判断确定需要了解哪些方面。
信息技术在被审计单位信息系统中的运用
158.注册会计师了解信息系统包括了解被审计单位信息系统中与交易流程和信息处理相关的信息技术环境,这是由于被审计单位对信息技术应用程序的运用或信息技术环境的其他方面可能产生运用信息技术导致的风险。
159.注册会计师了解被审计单位的业务模式及其如何整合运用信息技术,有助于其了解信息系统中预期运用的信息技术的性质和范围。
160.注册会计师了解信息技术环境,可能专注于识别和了解特定信息技术应用程序的性质和数量,以及与信息系统中的交易流程和信息处理相关的信息技术环境的其他方面。交易流程或信息系统中的信息变更,可能是由信息技术应用程序的程序修改导致的,也可能是由直接修改相关数据库中的数据导致的。如果被审计单位使用了信息技术外包服务,注册会计师需要识别和了解信息技术外包服务的范围和影响,以及该外包服务如何与被审计单位自己管理的信息技术环境相连接,如何支持、影响被审计单位的业务活动和财务报告过程。
161.注册会计师可以在了解与相关交易类别、账户余额和披露有关的信息如何在被审计单位的信息系统中输入、传递和输出时,识别信息技术应用程序和支持性的信息技术基础设施。
了解被审计单位的沟通(参见本准则第三十条第(二)项)
针对不同情形运用本准则的规定
162.在较大型和较为复杂的被审计单位,注册会计师在了解被审计单位的沟通时可以考虑的信息可能来源于政策手册和财务报告手册。
163.在较不复杂被审计单位,职责层级较少,更容易接触到管理层,因而沟通可能更简单(例如,可能未使用正式的手册)。无论被审计单位的规模如何,公开的沟通渠道将有助于对例外事项的报告以及对其采取应对行动。
评价信息系统的相关方面是否能够支持被审计单位财务报表的编制(参见本准则第三十条第(三)项)
164.注册会计师评价被审计单位的信息与沟通是否能够适当地支持财务报表的编制,基于其按照本准则第三十条第(一)项和第(二)项获取的了解。
控制活动(参见本准则第三十一条)
控制活动要素中的控制
165.控制活动要素包括旨在确保被审计单位内部控制体系的所有其他要素中的政策(也属于控制)得到适当执行的控制,并且包括直接控制和间接控制。例如,被审计单位建立的用以确保员工能够适当地盘点和记录年度实物存货的控制,与存货账户余额的存在性和完整性认定的重大错报风险直接相关。
166.注册会计师在控制活动要素中识别和评价控制需要专注于信息处理控制,即在被审计单位信息系统中处理信息时运用的控制,这些控制直接应对交易和其他信息的完整性、准确性和有效性方面的风险。但是,注册会计师不需要识别和评价与被审计单位的以下政策相关的所有信息处理控制,即旨在明确涉及相关交易类别、账户余额和披露的交易流程和信息处理活动的其他方面的政策。
167.内部环境、风险评估和内部监督中也可能存在直接控制,注册会计师可以按照本准则第三十一条的规定识别这些控制。但是,支持其他控制的控制与注册会计师考虑的控制之间的关系越间接,控制对防止、发现或纠正相关错报的有效性越低。例如,销售经理对分地区的销售网点的销售汇总情况进行复核,这一控制与销售收入完整性认定的重大错报风险只是间接相关。因此,该控制在应对上述风险方面的效果,要比与该认定直接相关的控制(例如,将发货单与开具的销售发票进行核对)的效果更弱。
168.本准则第三十一条还要求注册会计师针对识别的面临运用信息技术导致的风险的信息技术应用程序和信息技术环境的其他方面,识别和评价信息技术一般控制,这是因为信息技术一般控制支持信息处理控制的持续有效运行。仅实施信息技术一般控制通常不能充分应对认定层次的重大错报风险。
169.注册会计师需要按照本准则第三十一条的规定识别并评价以下控制的设计,并确定其是否得到执行,包括:
(1)注册会计师拟测试运行有效性的控制。对这些控制的评价为注册会计师按照《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的规定设计控制测试程序提供了依据。这些控制还包括应对仅实施实质性程序不能提供充分、适当审计证据的风险的控制。
(2)应对特别风险的控制和与会计分录相关的控制。注册会计师识别和评价这些控制可能影响其对重大错报风险的了解,包括识别其他重大错报风险(参见本指南第111段)。这些了解还为注册会计师设计实质性审计程序的性质、时间安排和范围提供了依据。
(3)注册会计师根据职业判断认为适当的、有助于其实现本准则第十八条中与认定层次重大错报风险有关的目标的其他控制。
170.如果控制活动要素中的控制满足本准则第三十一条第(一)项中的一项或多项标准,则注册会计师需要识别这些控制。但是,如果多项控制能够实现同一目标,注册会计师不必识别与该目标相关的每项控制。
171.本指南附录3的第20段和第21段说明了与控制活动相关的进一步考虑因素。
控制活动要素中的控制类型(参见本准则第三十一条)
172.控制活动要素中的控制,包括授权和批准、调节、验证(例如编辑性检查或自动计算)、职责分离、实物或逻辑控制(包括针对资产安全的控制)。
173.控制活动要素中的控制还可能包括管理层建立的、用于应对未按照适用的财务报告编制基础进行披露导致的重大错报风险的控制。这些控制可能与财务报表包含的从总账和明细账之外的其他途径获取的信息相关。
174.无论控制存在于信息技术环境还是人工环境,其可能具有各种不同的目标,并可能运用在不同的组织和职能层级中。
针对不同情形运用本准则的规定
175.较不复杂被审计单位控制活动要素中的控制与较大型被审计单位可能相似,但是它们运行的正规化程度可能不同。在较不复杂被审计单位中,更多的控制可能由管理层直接执行。例如,由管理层直接批准赊销和重大采购。
176.较不复杂被审计单位拥有的员工通常较少,建立职责分离机制的可行性可能较低。但是,在业主管理的被审计单位,业主兼经理可以通过直接参与管理,实施比大型被审计单位更有效的监督,从而可以弥补有限的职责分离这一局限性。然而,如《〈中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任〉应用指南》所述,由个人掌控的管理层可能存在管理层凌驾于控制之上的机会,因而可能构成内部控制的潜在缺陷。
应对认定层次重大错报风险的控制(参见本准则第三十一条第(一)项)
应对特别风险的控制(参见本准则第三十一条第(一)项第1点)
177.无论注册会计师是否计划测试应对特别风险的控制的运行有效性,了解管理层应对这些风险的方法都可以为注册会计师按照《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的规定设计和实施应对特别风险的实质性程序提供依据。与重大非常规交易或判断事项相关的风险通常很少通过日常控制来应对,管理层可能采取其他措施应对此类风险。相应地,注册会计师在了解被审计单位是否针对由非常规交易或判断事项导致的特别风险设计和执行了控制时,可能包括了解管理层是否以及如何应对这些风险。相关应对措施可能包括:
(1)控制,如高级管理人员或专家对假设进行复核;
(2)对会计估计流程作出记录;
(3)治理层作出批准。
例如,如果发生如收到重大诉讼事项的通知等一次性事件,注册会计师在考虑被审计单位的应对措施时,关注的事项可能包括:被审计单位是否已将这类事件提交适当的专家(如内部或外部的法律顾问)处理,是否已对该类事件的潜在影响作出评估,以及拟如何将相关情况在财务报表中作出披露。
178.《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》要求注册会计师了解与评估的舞弊导致的重大错报风险(作为特别风险)相关的控制,并进一步解释了注册会计师了解管理层设计、执行和维护的用以防止和发现舞弊的控制的重要性。
与会计分录相关的控制(参见本准则第三十一条第(一)项第2点)
179.与会计分录相关的控制是预期所有审计均应识别出的应对认定层次重大错报风险的控制,因为被审计单位将信息从交易处理过入总账通常均涉及使用会计分录,这些会计分录可能是标准的,也可能是非标准的,可能是自动化的,也可能是人工的。而识别的其他控制的范围,可能根据被审计单位的性质和注册会计师计划实施进一步审计程序的方法的不同而有所不同。例如,在较不复杂被审计单位的审计中,被审计单位的信息系统可能不太复杂,注册会计师不拟依赖控制运行有效性。此外,注册会计师可能未识别出任何特别风险或其他重大错报风险,因而认为无必要评价控制的设计并确定其是否得到执行。在这类审计中,注册会计师可能确定,除与会计分录相关的控制外,未识别出其他控制需要评价其设计并确定其是否得到执行。
自动化工具和技术
180.在人工总账系统中,注册会计师可以通过检查分类账、日记账和支持性记录来识别非标准的会计分录。但是,当运用自动化程序记录总账和编制财务报表时,这些分录可能只以电子形式存在,因此使用自动化技术更易于识别非标准的会计分录。例如,在较不复杂被审计单位的审计中,注册会计师可以将所有会计分录的总清单导出至一个简单的电子表格,从而可以通过应用各种筛选条件(如货币金额、编制人或复核人的姓名等)对会计分录进行排序,或者按照会计分录过入总账的日期查看清单,以帮助注册会计师设计针对会计分录相关风险的应对措施。
注册会计师拟测试运行有效性的控制(参见本准则第三十一条第(一)项第3点)
181.注册会计师需要确定是否存在仅实施实质性程序不能提供充分、适当的审计证据的认定层次重大错报风险。注册会计师需要按照《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的规定设计和实施控制测试,以应对这些仅实施实质性程序不能提供充分、适当的审计证据的认定层次重大错报风险。因此,如果存在应对这些风险的控制,注册会计师需要识别和评价这些控制。
182.如果注册会计师在按照《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的规定确定实质性程序的性质、时间安排和范围时,拟考虑控制运行有效性,则也需要识别这些控制。因为《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》要求注册会计师对此类控制设计和实施控制测试。例如,注册会计师可能计划测试以下控制运行的有效性:
(1)与日常交易相关的控制,因为对其运行的有效性进行测试可能对于大批量的同质交易更为有效或高效。
(2)与被审计单位生成信息的完整性和准确性相关的、确定信息的可靠性的控制,如与编制系统生成的报告相关的控制。
(3)与经营和合规目标相关的控制。如果这些控制与注册会计师实施审计程序时所评价或使用的数据相关,则可能计划测试这些控制运行的有效性。
183.注册会计师测试控制运行有效性的计划也可能受到识别的财务报表层次重大错报风险的影响。例如,如果注册会计师识别出与内部环境相关的缺陷,则可能影响其对直接控制运行有效性的总体预期。
注册会计师认为适当的其他控制(参见本准则第三十一条第(一)项第4点)
184.注册会计师认为适当的,以识别、评价其设计并确定其是否得到执行的其他控制可能包括:
(1)应对固有风险等级较高但未确定为特别风险的控制;
(2)将明细记录调节至总账的控制;
(3)使用服务机构时被审计单位的互补性控制。
识别信息技术应用程序及信息技术环境的其他方面,以及运用信息技术导致的风险和信息技术一般控制(参见本准则第三十一条第(二)项和第(三)项)
识别信息技术应用程序及信息技术环境的其他方面(参见本准则第三十一条第(二)项)
185.注册会计师了解运用信息技术导致的风险和被审计单位执行的应对这些风险的信息技术一般控制可能影响下列方面:
(1)注册会计师确定是否测试应对认定层次重大错报风险的控制运行的有效性。例如,如果信息技术一般控制的设计无效,或未得到适当地执行以应对运用信息技术导致的风险(如控制不能适当地防止或发现未经授权的程序修改或信息技术应用程序访问),这可能影响注册会计师决定是否依赖信息技术应用程序中受影响的自动化控制。
(2)注册会计师对认定层次控制风险的评估。例如,信息处理控制持续运行的有效性可能取决于特定的信息技术一般控制,这些一般控制用于防止或发现对运用信息技术的信息处理控制的未经授权的程序修改,即对相关信息技术应用程序的程序修改控制。在这种情况下,对信息技术一般控制运行的有效性(或缺乏有效性)的预期,可能影响注册会计师对控制风险的评估。例如,如果预期这些信息技术一般控制无效,或者注册会计师不拟测试信息技术一般控制,则控制风险可能较高。
(3)注册会计师测试以下信息的策略,这些信息由被审计单位信息技术应用程序生成或涉及信息技术应用程序生成的信息。例如,如果拟作为审计证据的被审计单位生成的信息是信息技术应用程序生成的,则注册会计师可能决定测试与系统生成的报告相关的控制,包括识别和测试信息技术一般控制,这些一般控制用于应对不适当或未经授权的程序修改或对报告数据进行直接修改的风险。
(4)注册会计师对认定层次固有风险的评估。例如,如果存在重大或广泛的信息技术应用程序修改以应对新的或修订的财务报告编制基础的报告要求,可能表明新要求及其对被审计单位财务报表的影响较为复杂。如果发生了这类广泛的程序或数据修改,信息技术应用程序也可能面临运用信息技术导致的风险。
(5)进一步审计程序的设计。例如,如果信息处理控制取决于信息技术一般控制,注册会计师可能决定测试信息技术一般控制运行的有效性,从而需要针对此类信息技术一般控制设计控制测试。如果注册会计师决定不测试信息技术一般控制运行的有效性,或者预期信息技术一般控制无效,则可能需要设计实质性程序应对运用信息技术导致的相关风险。但是,如果运用信息技术导致的风险与仅实施实质性程序不能提供充分、适当的审计证据的风险相关,注册会计师可能无法应对这些风险。在这种情况下,注册会计师需要考虑对审计意见的影响。
186.本指南附录5提供了信息技术应用程序和信息技术环境的其他方面的特征示例,以及与这些特征相关的指引,这些特征可能与识别面临运用信息技术导致的风险的信息技术应用程序和信息技术环境的其他方面相关。
识别面临运用信息技术导致的风险的信息技术应用程序
187.对于与信息系统相关的信息技术应用程序,了解被审计单位的特定信息技术流程和信息技术一般控制的性质和复杂程度,可以帮助注册会计师确定被审计单位依赖哪些信息技术应用程序来准确地处理和维护信息系统中的信息的完整性、准确性和有效性。这些信息技术应用程序可能面临运用信息技术导致的风险。
188.识别面临运用信息技术导致的风险的信息技术应用程序,包括考虑注册会计师识别的可能涉及运用信息技术或依赖于信息技术的控制。注册会计师可以特别关注信息技术应用程序是否包括已识别的管理层依赖的自动化控制(包括那些应对仅实施实质性程序不能提供充分、适当审计证据的重大错报风险的控制)。注册会计师还可以考虑如何在信息系统中存储和处理与相关交易类别、账户余额和披露相关的信息,以及管理层是否依赖信息技术一般控制以维护这些信息的完整性、准确性和有效性。
189.注册会计师识别的控制可能以系统生成的报告为基础,在这种情况下生成报告的信息技术应用程序可能面临运用信息技术导致的风险。注册会计师也可能拟不依赖与系统生成的报告相关的控制,并计划直接测试这些报告的输入和输出值,在这种情况下,注册会计师可能无需将该信息技术应用程序识别为面临运用信息技术导致的风险的信息技术应用程序。
针对不同情形运用本准则的规定
190.注册会计师对被审计单位信息技术流程的了解程度(包括对其信息技术一般控制的了解程度)会由于被审计单位及其信息技术环境的性质和情况、注册会计师识别出的控制的性质和范围的不同而有所不同。面临运用信息技术导致的风险的信息技术应用程序的数量也因上述因素而异。例如:
(1)使用商业软件且无权访问源代码进行任何程序修改的被审计单位不太可能存在程序修改流程,但可能存在配置软件的流程或程序,如会计科目表、报告参数或临界值。此外,被审计单位可能存在管理应用程序访问权限的流程或程序,如指定管理商业软件访问权限的人员。在这种情况下,被审计单位不太可能存在或需要标准化的信息技术一般控制。
(2)较大型被审计单位则可能在很大程度上依赖信息技术,并且信息技术环境可能涉及多个信息技术应用程序,用于管理信息技术环境的信息技术流程可能也较为复杂,例如,存在专门制定和执行程序修改和管理访问权限的信息技术部门。被审计单位可能已对信息技术流程执行了标准化的信息技术一般控制。
(3)如果管理层不依赖自动化控制或信息技术一般控制来处理交易或维护数据,并且注册会计师未识别出任何自动化控制或其他依赖于信息技术一般控制的信息处理控制,那么注册会计师可能计划直接测试被审计单位生成的涉及信息技术的信息,并且可能不识别任何面临运用信息技术导致的风险的信息技术应用程序。
(4)如果管理层依赖信息技术应用程序来处理或维护大量数据,且依赖该信息技术应用程序实施自动化控制(该控制已被注册会计师所识别),那么该信息技术应用程序可能面临运用信息技术导致的风险。
191.如果被审计单位的信息技术环境较为复杂,注册会计师在识别信息技术应用程序和信息技术环境的其他方面、确定运用信息技术导致的相关风险以及识别信息技术一般控制时,可能需要具有信息技术专业技能的项目组成员参与。对于复杂的信息技术环境,这种参与可能是必不可少的且广泛的。
识别面临运用信息技术导致的风险的信息技术环境的其他方面
192.面临运用信息技术导致的风险的信息技术环境的其他方面包括网络、操作系统、数据库,以及在特定情况下信息技术应用程序之间的接口。如果注册会计师未识别出面临运用信息技术导致的风险的信息技术应用程序,则通常也不会识别出面临运用信息技术导致的风险的信息技术环境的其他方面。但如果注册会计师识别出面临运用信息技术导致的风险的信息技术应用程序,则也可能识别出面临运用信息技术导致的风险的信息技术环境的其他方面,因为这些方面支持着识别出的相应信息技术应用程序,并与其相互影响。
识别运用信息技术导致的风险和信息技术一般控制(参见本准则第三十一条第(三)项)
193.在识别运用信息技术导致的风险时,注册会计师可以考虑识别出的信息技术应用程序和信息技术环境的其他方面的性质,及其面临运用信息技术导致的风险的原因。对于某些已识别的信息技术应用程序和信息技术环境的其他方面,注册会计师可能识别出以下运用信息技术导致的相关风险,即主要与未经授权的访问权限或程序修改以及不适当的数据修改相关的风险,例如通过直接访问数据库或因具有直接操纵信息的权限而对数据进行不适当修改的风险。
194.运用信息技术导致的相关风险的程度和性质根据识别的信息技术应用程序和信息技术环境的其他方面的性质和特征而异。如果在识别出的被审计单位信息技术环境的某些方面使用外部或内部服务提供商(例如,将信息技术环境的管理外包给第三方或者使用共享服务中心进行集团内信息技术流程的集中管理),那么可能会产生相应的信息技术风险。注册会计师还可能识别出运用信息技术导致的网络安全风险。如果自动化应用控制的数量较大或复杂程度较高,并且管理层较大程度上依赖于这些控制以有效地处理交易或维护基础信息的完整性、准确性和有效性,则运用信息技术可能会产生更多方面的风险。
195.如果被审计单位使用了信息技术外包服务,则在识别被审计单位用于应对风险的信息技术一般控制时,注册会计师需要考虑被审计单位对所使用的信息技术外包服务的管理和监控。本指南附录6说明了了解信息技术一般控制的考虑因素。
评价识别的控制活动要素中的控制的设计并确定其是否得到执行(参见本准则第三十一条第(四)项)
196.在评价识别的控制的设计时,注册会计师需要考虑该控制单独或连同其他控制是否能够有效防止、发现或纠正重大错报(即控制目标)。
197.注册会计师通过确认控制的存在以及被审计单位正在使用该控制,来确定识别的控制已得到执行。评估一项设计无效的控制是否得到执行没有意义,因此注册会计师需要首先评价控制的设计。设计不当的控制可能表明存在控制缺陷。
198.为了对识别的控制活动要素中的控制的设计和其是否得到执行获取审计证据,注册会计师可以实施的风险评估程序包括:
(1)询问被审计单位人员;
(2)观察特定控制的运用;
(3)检查文件和报告。
但是,仅询问本身并不足以实现这些目标。
199.注册会计师可能基于以前年度的审计经验或本期的风险评估程序,预期管理层没有有效地设计或按设计执行控制以应对特别风险。在这种情况下,为满足本准则第三十一条第(四)项的要求而实施的程序可能包括确定这些控制没有得到有效设计或按设计执行。如果执行程序的结果表明某些控制是新设计或执行的,则注册会计师需要对这些新设计或执行的控制实施本准则第三十一条第(二)项至第(四)项中的程序。
200.注册会计师可能认为对某个设计有效并已得到执行的控制进行测试是适当的,从而在设计实质性程序时可以考虑测试控制运行有效性。反之,如果控制的设计或执行无效,则对该控制进行测试没有意义。如果注册会计师拟测试某项控制,那么在认定层次评估其控制风险时考虑的一项内容,包括获取的有关该控制在何种程度上应对重大错报风险的信息。
201.评价识别的控制活动要素中的控制的设计并确定其是否得到执行不足以测试控制运行有效性。但是,对于自动化控制,注册会计师可能通过首先识别和测试支持自动化控制一贯运行的信息技术一般控制,进而计划对自动化控制运行的有效性进行测试,而不是直接测试自动化控制运行的有效性。某一人工控制在某一时点得到执行的审计证据,并不能为该控制在所审计期间内的其他时点也有效运行提供证据。《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》及其应用指南对测试控制运行有效性(包括间接控制的测试)作出了规定并提供了指引。
202.如果注册会计师不拟测试所识别的控制运行的有效性,注册会计师对控制的了解仍然有助于设计用以应对重大错报风险的实质性审计程序的性质、时间安排和范围。例如,风险评估程序的结果可以为注册会计师在设计审计抽样时考虑总体的潜在偏差提供依据。
被审计单位内部控制体系中的控制缺陷(参见本准则第三十二条)
203.在评价被审计单位内部控制体系的各要素时,注册会计师可能认为某一要素中的某些政策不适合被审计单位的性质和具体情况,这可能有助于注册会计师识别内部控制缺陷。注册会计师如果已识别出一项或多项内部控制缺陷,则可以按照《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的规定考虑这些控制缺陷对设计进一步审计程序的影响。
204.如果注册会计师已识别出一项或多项内部控制缺陷,《中国注册会计师审计准则第1152号——向治理层和管理层通报内部控制缺陷》要求注册会计师确定该缺陷单独或连同其他缺陷是否构成值得关注的内部控制缺陷。注册会计师在确定某项缺陷是否构成值得关注的内部控制缺陷时涉及运用职业判断。表明存在值得关注的内部控制缺陷的情况举例如下:
(1)识别出涉及高级管理人员的任何程度的舞弊;
(2)对内部审计所提出的控制缺陷进行报告和沟通的内部流程不充分;
(3)管理层未及时纠正以前沟通过的内部控制缺陷;
(4)管理层未能应对特别风险,例如未执行与特别风险相关的控制;
(5)重述以前期间出具的财务报表。
六、识别和评估重大错报风险(参见本准则第三十三条至第四十三条)
(一)为什么注册会计师需要识别和评估重大错报风险
205.注册会计师识别和评估重大错报风险,以确定用于获取充分、适当的审计证据的进一步审计程序的性质、时间安排和范围。这些证据使得注册会计师能够以可接受的审计风险的低水平对财务报表发表意见。
206.通过实施风险评估程序收集的信息可以作为审计证据,为识别和评估重大错报风险提供依据。例如,在评价识别的控制活动要素中的控制的设计并确定这些控制是否得到执行时获取的审计证据,可以作为支持风险评估的审计证据。这些证据还可以为注册会计师按照《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的规定,设计用于应对评估的财务报表层次重大错报风险的总体应对措施,以及设计和实施用于应对评估的认定层次重大错报风险的进一步审计程序的性质、时间安排和范围提供依据。
(二)识别重大错报风险(参见本准则第三十三条)
207.注册会计师在不考虑相关控制的情况下识别重大错报风险(即固有风险),识别重大错报风险以注册会计师对那些具有合理可能性会发生、且如果发生具有合理可能性将重大的错报的初步考虑为基础。
208.识别重大错报风险还为注册会计师确定相关认定提供了依据,并有助于注册会计师确定相关交易类别、账户余额和披露。
(三)认定
为什么注册会计师使用认定
209.注册会计师在识别和评估重大错报风险时使用认定来考虑可能发生的错报的不同类型。注册会计师识别出重大错报风险的认定为相关认定。
对认定的使用
210.注册会计师在识别和评估重大错报风险时,可以使用本指南第211段第(1)项和第(2)项描述的认定类别,或在能够涵盖本指南第211段所有方面的前提下作出不同表述。例如,注册会计师可以选择将关于各类交易、事项及相关披露的认定与关于账户余额及相关披露的认定结合使用。
211.注册会计师在考虑可能发生的错报的不同类型时运用的认定,可以分为以下两类:
(1)关于所审计期间各类交易、事项及相关披露的认定:
①发生——记录或披露的交易和事项已发生,且这些交易和事项与被审计单位有关;
②完整性——所有应当记录的交易和事项均已记录,所有应当包括在财务报表中的相关披露均已包括;
③准确性——与记录的交易和事项有关的金额及其他数据已恰当记录,相关披露已得到恰当计量和描述;
④截止——交易和事项已记录于正确的会计期间;
⑤分类——交易和事项已记录于恰当的账户;
⑥列报——交易和事项已被恰当地汇总或分解且表述清楚,依据适用的财务报告编制基础,相关披露是相关的、可理解的。
(2)关于期末账户余额及相关披露的认定:
①存在——记录的资产、负债和所有者权益是存在的;
②权利和义务——记录的资产由被审计单位拥有或控制,记录的负债是被审计单位应当履行的偿还义务;
③完整性——所有应当记录的资产、负债和所有者权益均已记录,所有应当包括在财务报表中的相关披露均已包括;
④准确性、计价和分摊——资产、负债和所有者权益以恰当的金额包括在财务报表中,与之相关的计价或分摊调整已恰当记录,相关披露已得到恰当计量和描述;
⑤分类——资产、负债和所有者权益已记录于恰当的账户;
⑥列报——资产、负债和所有者权益已被恰当地汇总或分解且表述清楚,依据适用的财务报告编制基础,相关披露是相关的、可理解的。
212.对与记录的各类交易、事项或账户余额并非直接相关的披露,注册会计师在考虑可能发生的错报的不同类型时,也可以运用本指南第211段第(1)项和第(2)项描述的认定(可适当调整)。例如,适用的财务报告编制基础可能要求被审计单位描述金融工具导致的风险敞口(包括风险是如何产生的),风险管理的目标、政策及流程,以及计量风险的方法等。
对公共部门实体的特殊考虑
213.当管理层对公共部门实体的财务报表作出认定时,除本指南第211段第(1)项和第(2)项提及的认定外,管理层通常声明交易和事项已按照法律法规或其他监管要求执行。这些认定可以纳入财务报表审计的范畴。
(四)财务报表层次重大错报风险(参见本准则第三十三条和第三十五条)
为什么注册会计师需要识别和评估财务报表层次重大错报风险
214.注册会计师识别财务报表层次重大错报风险,以确定风险是否对财务报表具有广泛的影响,因而需要按照《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的规定采取总体应对措施。
215.财务报表层次重大错报风险还可能影响某些认定,识别这些风险可以帮助注册会计师评估认定层次重大错报风险,并设计进一步审计程序以应对识别的风险。
识别和评估财务报表层次重大错报风险
216.财务报表层次的重大错报风险是指与财务报表整体存在广泛联系并潜在影响多项认定的风险。这种性质的风险不限定于某类交易、账户余额和披露层面的特定认定,如管理层凌驾于控制之上的风险,而在一定程度上代表了可能广泛增加认定层次重大错报风险的情况。注册会计师评价识别的风险是否与财务报表存在广泛联系,能够支持其对财务报表层次重大错报风险的评估。注册会计师可能识别出多个易于发生错报的认定,并因此影响对认定层次重大错报风险的识别和评估。例如,被审计单位面临经营亏损且资产流动性出现问题,并依赖于尚未获得保证的资金。在这种情况下,注册会计师可能确定持续经营假设产生了财务报表层次重大错报风险,可能需要使用清算基础,这可能对所有认定产生广泛影响。
217.注册会计师对财务报表层次重大错报风险的识别和评估受到其对被审计单位内部控制体系的了解的影响,特别是对内部环境、风险评估和内部监督的了解,以及按照本准则第二十六条第(二)项、第二十七条第(二)项、第二十九条第(四)项和第三十条第(三)项实施相关评价的结果和按照本准则第三十二条识别的控制缺陷的影响。此外,财务报表层次的风险还可能源于内部环境存在的缺陷或某些外部事项或情况,如经济下滑。
218.舞弊导致的重大错报风险可能与注册会计师对财务报表层次重大错报风险的考虑尤其相关。例如,注册会计师通过询问管理层了解到被审计单位的财务报表将用于与贷款人进行讨论,从而确保被审计单位获得进一步融资以维持营运资本。注册会计师可能因而认为影响固有风险的舞弊风险因素导致易于发生错报的可能性(即虚假财务报告风险导致的财务报表易于发生错报的可能性,如为了确保被审计单位能够获得融资,多计资产和收入以及少计负债和费用)更高。
219.注册会计师在了解(包括相关评价)被审计单位的内部环境和内部控制体系的其他要素后,可能对发表审计意见或解除业务约定(在适用的法律法规允许解除约定的情况下)所依据的审计证据的可获得性产生怀疑。例如:
(1)注册会计师基于对被审计单位内部环境的评价结果,对管理层的诚信产生严重疑虑,以致于注册会计师认为管理层在财务报表中作出故意虚假陈述的风险非常大而无法进行审计。
(2)注册会计师基于对被审计单位信息与沟通的评价结果,认为被审计单位对信息技术环境的重大变化管理不善,管理层和治理层仅实施了很有限的监督,注册会计师因而对被审计单位会计记录的状况和可靠性存在重大疑虑。在这种情况下,注册会计师可能确定很难获取充分、适当的审计证据,以支持对财务报表发表无保留意见。
220.《中国注册会计师审计准则第1502号——在审计报告中发表非无保留意见》及其应用指南为注册会计师确定是否有必要出具保留意见、无法表示意见或在某些情况下解除业务约定(在适用的法律法规允许解除约定的情况下)作出了规定并提供了指引。
对公共部门实体的特殊考虑
221.对于公共部门实体,注册会计师识别财务报表层次重大错报风险可能包括考虑与政治环境、公众利益等相关的事项。
(五)认定层次重大错报风险(参见本准则第三十三条)
222.认定层次重大错报风险是指与财务报表整体不存在广泛联系的重大错报风险。
223.本指南附录2列示了在固有风险因素中可能表明易于发生重大错报的事项或情况的举例。
(六)相关认定以及相关交易类别、账户余额和披露(参见本准则第三十四条)
为什么要确定相关认定以及相关交易类别、账户余额和披露
224.确定相关认定以及相关交易类别、账户余额和披露,为注册会计师确定按照本准则第三十条第(一)项的要求了解被审计单位信息系统的范围提供了基础。这些了解可以进一步帮助注册会计师识别和评估重大错报风险(参见本指南第99段)。
自动化工具和技术
225.注册会计师可以使用自动化技术帮助其识别相关交易类别、账户余额和披露。例如:
(1)使用自动化工具和技术分析交易总体,以了解其性质、来源、规模和数量。通过应用自动化技术,注册会计师可能识别出如本期发生大量抵消交易和会计分录但期末余额为零的账户,这表明该账户余额或交易类别可能是重要的,例如工资清算账户。注册会计师还可能在这个工资清算账户中识别出对管理层和其他员工的费用报销,如果这些报销支付给关联方,则可能是重要的披露。
(2)注册会计师通过分析整个收入交易总体的流程,可能更容易识别出以前未识别出的相关交易类别。
可能重要的披露
226.重要披露包括存在一项或多项相关认定的定量披露和定性披露。可能存在相关认定并因而被注册会计师认为重要的定性披露举例如下:
(1)处于财务困境中的被审计单位的流动性和债务合同;
(2)导致确认减值损失的事项或情况;
(3)估计不确定性的关键来源,包括关于未来的假设;
(4)会计政策变更及适用的财务报告编制基础要求的其他相关披露的性质,例如,财务报告的新要求预期将对被审计单位的财务状况和经营成果产生重大影响;
(5)股份支付协议,包括有关如何确定应确认的金额的信息及其他相关披露;
(6)关联方及关联方交易;
(7)敏感性分析,包括被审计单位估值技术中用到的假设发生变化而产生的影响,以使使用者能够理解记录或披露的金额背后存在的计量不确定性。
(七)评估认定层次重大错报风险
评估错报发生的可能性和严重程度(参见本准则第三十七条)
227.对于识别出的重大错报风险,注册会计师需要评估错报发生的可能性和严重程度,因为错报发生的可能性和严重程度综合起来的影响程度决定了所评估风险的固有风险等级,从而影响注册会计师设计进一步审计程序以应对重大错报风险。
228.评估识别的重大错报风险的固有风险还有助于注册会计师确定特别风险。《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》和其他相关的中国注册会计师审计准则要求注册会计师对特别风险作出应对,因此注册会计师需要确定特别风险。
229.对于识别的认定层次重大错报风险,固有风险因素影响注册会计师评估错报发生的可能性和严重程度。某类交易、账户余额和披露越易于发生错报,评估的固有风险可能越高。注册会计师考虑固有风险因素在何种程度上影响认定易于发生错报的可能性,有助于其适当评估认定层次重大错报风险的固有风险,并设计更精确的风险应对措施。
固有风险等级
230.在评估固有风险时,注册会计师运用职业判断确定错报发生的可能性和严重程度综合起来的影响程度。
231.注册会计师评估与特定认定层次重大错报风险相关的固有风险,是指对固有风险等级在一个区间范围内作出的从低到高的判断。注册会计师对评估的固有风险等级的判断,可能根据被审计单位的性质、规模和复杂程度而异,并基于对评估的错报发生的可能性和严重程度以及固有风险因素的考虑。
232.在考虑错报发生的可能性时,注册会计师基于对固有风险因素的考虑评估错报发生的几率。
233.在考虑错报的严重程度时,注册会计师考虑错报的定性和定量两个方面。注册会计师根据错报的金额大小、性质或情况,判断各类交易、账户余额和披露在认定层次的错报可能是重大的。
234.注册会计师使用错报发生的可能性和严重程度综合起来的影响程度确定评估的固有风险等级,即固有风险在风险区间范围中所处的位置。错报发生的可能性和严重程度综合起来的影响程度越高,评估的固有风险越高,反之亦然。
235.评估的固有风险等级较高,并不意味着评估的错报发生的可能性和严重程度都较高。错报发生的可能性和严重程度在固有风险等级上的交集,确定了评估的固有风险在固有风险等级中是较高点还是较低点。评估的固有风险等级较高也可能是错报发生的可能性和严重程度的不同组合导致的,例如较低的错报发生的可能性和极高的严重程度可能导致评估的固有风险等级较高。
236.为了制定应对重大错报风险的适当策略,注册会计师可以基于其对固有风险的评估,将重大错报风险按固有风险等级的类别进行划分。注册会计师可以以不同的方式描述这些类别。不管使用的分类方法如何,如果旨在应对识别的认定层次重大错报风险的进一步审计程序的设计和实施能够适当应对固有风险的评估结果和形成该评估结果的依据,则注册会计师对固有风险的评估就是适当的。
广泛的认定层次重大错报风险(参见本准则第三十七条第(二)项)
237.在评估识别的认定层次重大错报风险时,注册会计师可能认为某些重大错报风险与财务报表整体存在广泛联系,进而潜在影响多项认定,在这种情况下,注册会计师可能更新对财务报表层次重大错报风险的识别。
238.如果重大错报风险由于广泛影响多项认定而被识别为财务报表层次重大错报风险,并可以识别出具体认定,注册会计师需要在评估认定层次重大错报风险的固有风险时考虑这些风险。
对公共部门实体的特殊考虑
239.执行公共部门实体审计的注册会计师在对重大错报风险的评估运用职业判断时,可能考虑法规和政策的复杂程度以及违反法律法规的风险。
特别风险(参见本准则第三十八条)
240.确定特别风险可以使注册会计师通过实施下列特定应对措施,更专注于那些达到或接近固有风险等级的最高级的风险:
(1)按照本准则第三十一条第(一)项第1点的规定识别应对特别风险的控制,并按照本准则第三十一条第(四)项的规定评价控制的设计是否有效并确定其是否得到执行;
(2)按照《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的规定,在本期测试应对特别风险的控制(如果注册会计师拟信赖这些控制运行的有效性),并设计和实施应对识别的特别风险的实质性程序;
(3)按照《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的规定,评估的风险越高需要获取越有说服力的审计证据;
(4)按照《中国注册会计师审计准则第1151号——与治理层的沟通》的规定,与治理层沟通识别的特别风险;
(5)按照《中国注册会计师审计准则第1504号——在审计报告中沟通关键审计事项》的规定,在确定需要重点关注的事项(可能为关键审计事项)时考虑特别风险;
(6)项目合伙人需要在审计过程中的适当阶段及时复核审计工作底稿,以保证重要事项(包括特别风险)能够在审计报告日或之前及时得到解决并令项目合伙人满意;
(7)如果特别风险与集团审计中的某一组成部分相关,按照《中国注册会计师审计准则第1401号——对集团财务报表审计的特殊考虑》的规定,集团项目合伙人更多地参与该组成部分的工作,并由集团项目组指导组成部分注册会计师完成对该组成部分需执行的工作。
241.在确定特别风险时,注册会计师可能首先识别评估的固有风险等级较高的重大错报风险,作为考虑哪些风险可能达到或接近固有风险等级最高级的依据。不同被审计单位以及同一被审计单位在不同期间,处于固有风险等级最高级的风险可能不同,这取决于被审计单位的性质和具体情况。
242.注册会计师确定评估的哪些重大错报风险达到或接近固有风险等级的最高级,从而被识别为特别风险,属于职业判断,除非该风险是其他中国注册会计师审计准则规定需要作为特别风险处理的风险类型。《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》及其应用指南对识别和评估舞弊导致的重大错报风险作出了进一步规定并提供了指引。例如:
(1)对于超市零售商的现金,通常确定错报发生的可能性较高(由于现金易被盗用的风险),但是严重程度通常非常低(由于商店中处理的实物现金较少)。这两个因素的组合在固有风险等级中不太可能导致现金的存在性被确定为特别风险。
(2)被审计单位正在洽谈出售业务分部。注册会计师在考虑该事项对商誉减值的影响时,可能认为由于主观性、不确定性、管理层偏向或其他舞弊风险因素等固有风险因素产生的影响,错报发生的可能性和严重程度均较高。这可能导致注册会计师将商誉减值确定为特别风险。
243.注册会计师还需要在评估固有风险时考虑固有风险因素的相对影响。固有风险因素的影响越低,评估的风险水平可能也越低。以下事项可能导致重大错报风险被评估为具有较高的固有风险,并因此将其确定为特别风险:
(1)交易具有多种可接受的会计处理方法,因此涉及主观性;
(2)会计估计具有高度估计不确定性或涉及使用复杂的模型;
(3)支持账户余额的数据收集和处理较为复杂;
(4)账户余额或定量披露涉及复杂的计算;
(5)对会计政策存在不同的理解;
(6)被审计单位业务的变化涉及会计处理发生变化,如合并和收购。
仅实施实质性程序不能提供充分、适当的审计证据的风险(参见本准则第三十九条)
244.在某些情况下,鉴于重大错报风险的性质以及应对该风险的控制活动,为获取充分、适当的审计证据,注册会计师必须测试控制运行有效性。由于这类风险影响注册会计师按照《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》设计和实施进一步审计程序以应对认定层次重大错报风险,因此注册会计师需要识别此类风险。
245.本准则第三十一条第(一)项第3点还要求注册会计师识别应对以下风险的控制,即仅实施实质性程序不能提供充分、适当的审计证据的风险。这是由于《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》要求注册会计师对此类控制设计和实施控制测试。
246.如果日常交易采用高度自动化的处理,不存在或存在很少的人工干预,那么针对风险仅实施实质性程序可能不可行。如果被审计单位的大量信息在信息技术应用程序高度集成的信息系统中仅以电子方式生成、记录、处理或报告,注册会计师可能认为会出现以上情况。在这种情况下:
(1)获取的审计证据可能仅以电子形式存在,其充分性和适当性通常取决于针对准确性和完整性的控制的有效性;
(2)如果适当的控制没有正在有效运行,信息不当生成或对信息进行不当修改而没有被发现的可能性将会增加。
例如,对于电信业实体的收入,仅实施实质性程序通常不太可能获取充分、适当的审计证据。这是因为通话或数据活动的证据不存在可观察的形式。因此,注册会计师通常执行相当程度的控制测试,以确定通话的发起和完成以及数据活动(例如,通话时间或下载量)已被正确获取,并已正确记录在被审计单位的计费系统中。
247.《〈中国注册会计师审计准则第1321号——会计估计和相关披露的审计〉应用指南》对与仅实施实质性程序不能提供充分、适当的审计证据的风险相关的会计估计提供了进一步指引。就会计估计而言,这可能不仅限于自动化处理的情形,也适用于复杂模型。
(八)评估控制风险(参见本准则第四十条)
248.注册会计师对测试控制运行有效性的计划基于其对控制运行有效的预期,这也是注册会计师评估控制风险的基础。对控制运行有效性的初始预期,基于注册会计师对识别的控制活动要素中的控制的设计作出的评价,以及确定这些控制是否得到执行的结果。注册会计师按照《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的规定对控制运行有效性进行测试后,就可以确认其对控制运行有效性作出的初始预期。如果控制未如预期有效运行,则注册会计师需要按照本准则第四十三条的规定修正对控制风险的评估。
249.注册会计师可以根据自身偏好的审计技术或方法,以不同的方式实施和体现对控制风险的评估。
250.注册会计师拟测试控制运行有效性时,可能有必要测试多个控制的组合,以确认注册会计师对控制运行有效的预期。注册会计师可能拟测试直接控制和间接控制,包括信息技术一般控制,并在评估控制风险时考虑这些控制的综合预期效果。如果拟测试的控制无法应对评估的固有风险,注册会计师需要确定对设计进一步审计程序的影响,以将审计风险降低到可接受的低水平。
251.注册会计师拟测试自动化控制运行的有效性时,可能还计划测试用于支持自动化控制持续有效运行的相关信息技术一般控制运行的有效性,以应对运用信息技术导致的风险,从而为注册会计师预期自动化控制在整个期间内有效运行提供依据。如果注册会计师预期相关信息技术一般控制无效,那么该预期可能影响其对认定层次控制风险的评估,并且进一步审计程序可能需要包括应对运用信息技术导致的相应风险的实质性程序。《〈中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施〉应用指南》提供了在这种情况下注册会计师可以实施的程序的进一步指引。
(九)评价通过实施风险评估程序获取的审计证据(参见本准则第四十一条)
为什么注册会计师要评价通过实施风险评估程序获取的审计证据
252.通过实施风险评估程序获取的审计证据为注册会计师识别和评估重大错报风险提供了依据。这为注册会计师按照《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的规定设计应对评估的认定层次重大错报风险的进一步审计程序的性质、时间安排和范围提供了依据。因此,通过实施风险评估程序获取的审计证据为注册会计师识别、评估财务报表层次和认定层次重大错报风险(无论该错报是舞弊还是错误导致)提供了依据。
评价审计证据
253.通过实施风险评估程序获取的审计证据既包括佐证管理层认定或注册会计师判断的信息,也包括与这些认定或注册会计师判断相矛盾的信息。
职业怀疑
254.在评价通过实施风险评估程序获取的审计证据时,注册会计师需要考虑是否已充分了解被审计单位及其环境、适用的财务报告编制基础和被审计单位的内部控制体系,以使其能够识别重大错报风险。此外,注册会计师还需要考虑是否存在与可能表明存在重大错报风险相矛盾的证据。
(十)某些重大的交易类别、账户余额和披露未被确定为相关交易类别、账户余额和披露(参见本准则第四十二条)
255.按照《中国注册会计师审计准则第1221号——计划和执行审计工作时的重要性》的要求,识别并评估各类交易、账户余额和披露中存在的重大错报风险时需要考虑重要性和审计风险。注册会计师对重要性的确定属于职业判断,受到注册会计师关于财务报表使用者对财务信息需求的认识的影响。就本准则和《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》第十八条而言,如果能够合理预期,某类交易、账户余额和披露中信息的遗漏、错误陈述或含糊表达,可能影响财务报表使用者依据财务报表整体作出的经济决策,则通常认为该类交易、账户余额和披露是重大的。
256.注册会计师可能未将某些重大的交易类别、账户余额和披露确定为相关交易类别、账户余额和披露(即未识别出相关认定)。例如,被审计单位可能披露注册会计师未识别出重大错报风险的高管薪酬。但是,注册会计师可能根据本指南第255段的考虑因素,确定该披露是重大的。
257.《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》规定了对未被确定为相关交易类别、账户余额和披露的重大的交易类别、账户余额和披露实施的审计程序。如果注册会计师按照本准则第三十四条确定某类交易、账户余额和披露是相关交易类别、账户余额和披露,则就《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》第十八条而言,该类交易、账户余额和披露也是重大的。
(十一)修正风险评估结果(参见本准则第四十三条)
258.在审计过程中,注册会计师可能注意到某些新信息或其他信息,其明显不同于风险评估所依据的信息。
例如,被审计单位的风险评估可能基于预期特定控制运行有效这一判断,但在测试控制运行有效性时,注册会计师获取的证据可能表明这些控制在审计期间内并未有效运行。又如,在实施实质性程序时,注册会计师可能发现错报的金额或频率高于在风险评估时预计的金额或频率。在这种情况下,风险评估可能没有恰当地反映被审计单位的真实状况,原计划的进一步审计程序对于发现重大错报可能无效。《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》第十六条和第十七条为评价控制运行的有效性作出了规定。
七、审计工作底稿(参见本准则第四十四条)
259.对于连续审计,某些以前期间的工作底稿在本期可能仍然适用,或在必要时需要作出更新,以反映被审计单位业务或流程的变化。
260.《中国注册会计师审计准则第1131号——审计工作底稿》指出,尽管可能没有专门的方式记录注册会计师保持了职业怀疑,但审计工作底稿仍然可以为注册会计师保持了职业怀疑(包括考虑的其他事项)提供证据。例如,如果从风险评估程序中获取的审计证据既包括佐证性的证据,也包括相矛盾的证据,则工作底稿中可以记录注册会计师如何评价这些证据,包括在评价审计证据是否为注册会计师识别和评估重大错报风险提供适当依据时作出的职业判断。举例来说,还可以就本准则中的下列要求形成审计工作底稿,以为注册会计师保持职业怀疑提供证据:
(1)本准则第十八条要求注册会计师在设计和实施风险评估程序时,不应当偏向于获取佐证性的审计证据,也不应当排斥相矛盾的审计证据;
(2)本准则第二十二条要求项目组关键成员讨论被审计单位对财务报告编制基础的运用,以及被审计单位财务报表易于发生重大错报的可能性;
(3)本准则第二十四条第(二)项及第二十五条要求注册会计师了解被审计单位会计政策变化的原因,并评价被审计单位的会计政策是否适当、是否符合适用的财务报告编制基础的规定;
(4)本准则第二十六条第(二)项、第二十七条第(二)项、第二十八条第(二)项、第二十九条第(四)项、第三十条第(三)项、第三十一条第(四)项及第三十二条要求注册会计师基于获取的了解,考虑被审计单位的性质和复杂程度,根据其具体情况,评价被审计单位的内部控制体系各要素是否适当,并确定是否识别出控制缺陷;
(5)本准则第四十一条要求注册会计师考虑所有通过实施风险评估程序获取的审计证据,无论这些证据是佐证性的还是相矛盾的,并评价这些证据能否为识别和评估重大错报风险提供适当依据;
(6)本准则第四十二条要求注册会计师评价确定某些重大的交易类别、账户余额和披露不存在重大错报风险是否适当。
针对不同情形运用本准则的规定
261.注册会计师需要运用职业判断,确定对本准则第四十四条规定的事项进行记录的方式。
262.在某些情况下,注册会计师可能有必要在审计工作底稿中作出更加详细的记录,以使得未曾接触该项审计工作的有经验的专业人士足以了解实施的审计程序的性质、时间安排和范围,从而支持注册会计师作出的复杂判断的理由。
263.对于较不复杂被审计单位的审计,审计工作底稿的形式和范围可能较为简单,内容也相对概括。注册会计师的审计工作底稿的形式和范围受被审计单位性质、规模、复杂程度、内部控制体系、被审计单位信息的可获得性,以及审计过程中使用的审计方法和技术的影响。注册会计师没有必要记录对被审计单位及相关事项了解的所有内容。注册会计师记录了解的关键要素可能包括在重大错报风险评估时所依据的内容。但是,注册会计师不需要记录在识别和评估认定层次重大错报风险时所考虑的所有固有风险因素。例如,在较不复杂被审计单位的审计中,这些事项的工作底稿可以包含在总体审计策略和具体审计计划的工作底稿中。类似地,风险评估的结果可以单独记录,也可以作为注册会计师对进一步审计程序记录的一部分予以记录。
附录1:(参见本指南第73段至第80段)了解被审计单位及其业务模式的考虑因素
本附录说明了被审计单位业务模式的目标和范围,并对注册会计师在了解被审计单位业务模式中的活动时可能考虑的事项提供了示例。注册会计师了解被审计单位的业务模式及其如何受到经营战略和经营目标的影响,有助于其识别影响财务报表的经营风险。此外,注册会计师了解这些事项还有助于其识别重大错报风险。
一、被审计单位业务模式的目标和范围
1.被审计单位的业务模式说明被审计单位如何考虑如组织结构、经营或活动范围、业务线(包括竞争对手和客户)、流程、增长机会、全球化、监管要求和技术等方面,并阐明被审计单位如何为利益相关者创造、保持和获取财务或更广泛方面的价值。
2.战略是管理层为实现目标而采用的方法,包括被审计单位如何计划应对面临的风险和机会。管理层随着时间改变被审计单位的战略,以应对其目标和内、外部经营环境的变化。
3.对业务模式的说明通常包括:
(1)被审计单位业务活动的范围和产生动因;
(2)被审计单位的组织结构和经营规模;
(3)被审计单位的盈利模式、核心竞争力和短板,如果注册会计师认为被审计单位的盈利模式不具有可持续性,或被审计单位缺乏核心竞争力,需要特别指明;
(4)被审计单位经营所在的市场或地理和人口细分,位于价值链的哪一部分,如何应对这些市场或细分(主要产品、客户群体和分销方式),以及竞争的基础;
(5)被审计单位进行业务活动时采用的业务或经营流程(例如,投资、融资和经营流程),重点关注的是对创造、保持或获取价值重要的经营流程;
(6)被审计单位成功所必要的或对其成功产生重要影响的资源(例如,财务、人力、知识产权、环境和技术)以及其他投入和关系(例如,客户、竞争对手、供应商和员工);
(7)在被审计单位与客户、供应商、贷款人和其他利益相关者的交互过程中,其如何通过信息技术接口和其他技术将信息技术嵌入业务模式中。
4.经营风险可能对某类交易、账户余额和披露的认定层次或财务报表层次重大错报风险产生直接影响。例如,因房地产市场价值的大幅下降产生的经营风险,可能增加与房地产中期抵押贷款的计价认定相关的重大错报风险。但是,同样的风险,尤其是在严重的经济衰退并同时增加贷款的存续期信用损失风险时,可能具有更为长期的后果。信用损失净风险敞口可能导致对被审计单位持续经营能力产生重大疑虑,并影响管理层和注册会计师考虑被审计单位使用持续经营假设是否适当,以及确定是否存在重大不确定性。因此,考虑经营风险是否可能导致重大错报风险,要视被审计单位的具体情况而定。本指南附录2列示了可能导致重大错报风险的事项和情况的示例。
二、被审计单位的活动
5.在了解被审计单位的活动(包含在被审计单位的业务模式中)时,注册会计师可能需要考虑的事项举例如下:
(1)经营活动,例如:
①收入来源、产品或服务以及市场的性质(包括电子商务,如网上销售和营销活动);
②业务的开展情况(如生产阶段与生产方法,易受环境风险影响的活动);
③联盟、合营与外包情况;
④地区分布与行业细分;
⑤生产设施、仓库和办公室的地理位置,存货存放地点和数量;
⑥关键客户、货物和服务的重要供应商、劳动用工安排(包括是否存在退休金和其他退休福利、股票期权或激励性奖金安排以及与劳动用工事项相关的政府法规);
⑦研究与开发活动及其支出;
⑧关联方交易。
(2)投资与投资活动,例如:
①计划实施或近期已实施的并购或资产处置;
②证券与贷款的投资和处置;
③资本性投资活动;
④对未纳入合并范围的实体的投资,包括非控制合伙企业、合营企业和非控制特殊目的实体。
(3)筹资与筹资活动,例如:
①主要子公司和联营企业(无论是否纳入合并范围)的所有权结构;
②债务结构和相关条款,包括资产负债表外融资和租赁安排;
③实际受益方(例如,实际受益方来自国内还是国外,其商业声誉和经验可能对被审计单位产生的影响)及关联方;
④衍生金融工具的使用。
三、特殊目的实体的性质
6.特殊目的实体(有时也称特殊目的工具)是指为实现某个明确具体的目标(如进行租赁、金融资产证券化或开展研究与开发活动)而设立的实体。特殊目的实体可能以公司、信托、合伙企业或非公司实体的形式存在。实体通常可能将资产转移至特殊目的实体(如作为终止确认涉及金融资产的交易的一部分),获得使用特殊目的实体资产的权利或向其提供服务,而其他方可能为特殊目的实体提供资金。《〈中国注册会计师审计准则第1323号——关联方〉应用指南》指出,在某些情况下,特殊目的实体可能是被审计单位的关联方。
7.财务报告编制基础通常详细规定了可视为“控制”的条件,或在编制合并报表时应当考虑特殊目的实体的情况。理解这些编制基础的要求通常需要详细了解涉及特殊目的实体的相关协议。
附录2:(参见本准则第十条、第二十四条第(三)项、本指南第13段至第15段、第98段至第103段)了解固有风险因素
本附录进一步说明了固有风险因素,以及注册会计师在识别和评估认定层次重大错报风险时可以考虑的有关了解和运用固有风险因素的事项。
一、固有风险因素
1.固有风险因素,是指在不考虑控制的情况下,导致交易类别、账户余额和披露的某一认定易于发生错报(无论该错报是舞弊还是错误导致)的因素。固有风险因素可以是定性的,也可以是定量的。固有风险因素包括事项或情况的复杂性、主观性、变化、不确定性,以及管理层偏向和其他舞弊风险因素。在按照本准则第二十四条第(一)项和第(二)项了解被审计单位及其环境、适用的财务报告编制基础以及被审计单位的会计政策时,注册会计师还需要了解在编制财务报表时,固有风险因素怎样影响各项认定易于发生错报的可能性。
2.与适用的财务报告编制基础要求的信息(本段以下简称所需信息)的编制相关的固有风险因素包括:
(1)复杂性。这是由信息的性质或编制所需信息的方式导致的,包括编制过程本身较为复杂的情况。例如,下列情况可能导致较高的复杂性:
①计算供应商返利准备。这是因为计算供应商返利准备可能有必要考虑与很多不同供应商签订的不同商业条款,或与计算到期返利相关的很多相互关联的商业条款。
②如果在作出会计估计时存在许多具有不同特征的潜在数据的来源,那么该数据的处理涉及很多相互关联的步骤,因此,这些数据本身较难识别、获取、访问、理解或处理。
(2)主观性。由于知识或信息的可获得性受到限制,客观编制所需信息的能力存在固有局限性,因此管理层可能需要对采取的适当方法和财务报表中的相关信息作出选择或主观判断。由于编制所需信息的方法不同,适当地应用适用的财务报告编制基础可能也会导致不同的结果。随着知识或数据受到更多的限制,具有适当知识和独立性的人员作出判断的主观性以及可能的判断结果的多样性也将有所增加。
(3)变化。随着时间的变化,被审计单位的经营、经济环境、会计、监管、所处行业或经营环境中其他方面的事项或情况也会产生变化,其影响反映在所需信息中。这些事项或情况可能在财务报告期间内或不同期间之间发生。例如,变化可能是由于适用的财务报告编制基础的要求、被审计单位及其业务模式或经营环境的变化导致的。这些变化可能影响管理层的假设和判断,包括管理层对会计政策的选择、如何作出会计估计或如何确定相关披露。
(4)不确定性。当所需信息不能仅根据通过直接观察可验证的充分精确和全面的数据编制时,会产生不确定性。在这种情况下,可能需要运用具备的知识并采用适当的方法,尽可能使用充分精确和全面的可观察数据以及能够被最适当的可用数据所支持的合理假设来编制信息。获取知识或数据的能力受到限制,且管理层不能控制这些限制(包括受到成本的限制),是产生不确定性的原因。该不确定性对编制所需信息的影响无法消除。例如,如果无法精确确定所需的货币金额并且在财务报表完成日之前无法确定估计的结果,则会产生估计不确定性。
(5)管理层偏向和其他舞弊风险因素。管理层偏向的可能性,是由于管理层有意或无意地在信息编制过程中未保持中立而导致的。管理层偏向通常与特定情况相关,这些情况可能导致管理层在作出判断时未保持中立(潜在管理层偏向的迹象),从而导致信息产生重大错报,如果管理层是故意的,则导致舞弊。这些迹象包括影响固有风险的使管理层不保持中立的动机或压力(例如,追求实现预期结果,如预期利润目标或资本比率)以及机会。《〈中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任〉应用指南》第1段至第5段说明了与易于发生由编制虚假财务报告或侵占资产等形式的舞弊导致的错报的可能性相关的因素。
3.如果复杂性是固有风险因素,那么信息编制的过程本身可能较复杂,并且这些过程本身可能难以执行。因此,执行这些过程可能需要专业技术或知识,并可能需要利用管理层的专家。
4.如果管理层的判断主观性较高,则由管理层偏向(无论无意或有意)导致易于发生错报的可能性也可能有所提升。例如,在作出具有高度估计不确定性的会计估计时,可能涉及管理层的重大判断,与方法、数据和假设相关的结论可能反映出无意或有意的管理层偏向。
二、可能导致重大错报风险的事项或情况示例
5.以下是可能表明财务报表存在财务报表层次或认定层次重大错报风险的事项和情况(包括交易)的示例。这些按照固有风险因素列示的事项和情况涵盖范围广泛,但不一定完整,且并非所有的事项和情况都与每项审计业务相关。这些事项和情况按照对相关情形影响最大的固有风险因素分类列示。需要注意的是,由于固有风险因素之间的相互关系,以下事项和情况的示例也可能在不同程度上受到其他固有风险因素的影响。
相关固有风险因素 | 可能表明存在认定层次重大错报风险的事项或情况示例 |
---|---|
复杂性 | 监管: (1)在高度复杂的监管环境中开展业务; 业务模式: (2)存在复杂的联营或合资企业; 适用的财务报告编制基础: (3)涉及复杂过程的会计计量; 交易: (4)使用表外融资、特殊目的实体以及其他复杂的融资安排。 |
主观性 | 适用的财务报告编制基础: (5)某项会计估计具有多种可能的衡量标准,例如,管理层确认折旧费用或建造收入和费用; (6)管理层对非流动资产(如投资性房地产)的估值技术或模型的选择。 |
变化 | 经济情况: (7)在经济不稳定(如货币发生重大贬值或经济发生严重通货膨胀)的国家或地区开展业务; 市场: (8)在不稳定的市场开展业务,如期货交易; 客户流失: (9)持续经营和资产流动性出现问题,包括重要客户流失; 行业模式: (10)被审计单位经营所处的行业发生变化; 业务模式: (11)供应链发生变化; (12)开发新产品或提供新服务,或进入新的业务领域; 地理: (13)开辟新的经营场所; 被审计单位组织结构: (14)被审计单位发生变化,如发生重大收购、重组或其他非常规事项; (15)拟出售分支机构或业务分部; 人力资源的胜任能力: (16)关键人员变动,包括核心执行人员的离职; 信息技术: (17)信息技术环境发生变化; (18)安装新的与财务报告有关的重大信息技术系统; 适用的财务报告编制基础: (19)采用新的会计准则; 资本: (20)获取资本或借款的能力受到新的限制; 监管: (21)经营活动或财务业绩受到监管机构或政府机构的调查; (22)与环境保护相关的新法规的影响。 |
不确定性 | 报告: (23)涉及重大计量不确定性(包括会计估计)的事项或交易及相关披露; (24)存在未决诉讼和或有负债,如售后质量保证、财务担保和环境补救。 |
管理层偏向和其他舞弊风险因素 | 报告: (25)管理层和员工编制虚假财务报告的机会,包括遗漏披露应包含的重大信息或信息晦涩难懂; 交易: (26)从事重大的关联方交易; (27)发生大额非常规或非系统性交易,包括公司间的交易和在期末发生大量收入的交易; (28)按照管理层特定意图记录的交易,如债务重组、资产出售和交易性债券的分类。 |
其他可能表明存在财务报表层次重大错报风险的事项或情况包括:
(1)缺乏具备会计和财务报告技能的员工;
(2)控制缺陷,尤其是内部环境、风险评估和内部监督中的控制缺陷和管理层未处理的内部控制缺陷;
(3)以往发生的错报或错误,或者在本期期末出现重大会计调整。
附录3:(参见本准则第五条、第二十六条至第三十一条、本指南第104段至第202段)了解被审计单位的内部控制体系
1.被审计单位的内部控制体系可能在政策和程序手册、系统和表格,及其中内嵌的信息中反映,并由人来执行。内部控制体系由管理层、治理层以及组织结构中的其他人员执行,并可以根据管理层、治理层或其他人员的决策以及法律和监管机构的规定,在被审计单位的经营模式、法律组织结构或两者结合的方面应用。
2.本准则第五条、第二十六条至第三十一条、本指南第104段至第202段列示的内部控制体系各要素及其局限性与财务报表审计相关,本附录对这些要素及其局限性作出了进一步说明。
3.被审计单位的内部控制体系包括与被审计单位的报告目标(包括财务报告目标)相关的方面,当经营或合规目标与财务报告相关时,内部控制体系也可能包括与这些经营或合规目标相关的方面。例如,如果有关遵守法律法规的控制与被审计单位编制财务报表中的或有事项披露相关,则该控制可能与财务报告相关。
一、被审计单位内部控制体系各要素
(一)内部环境
4.内部环境包括治理职能和管理职能,以及治理层和管理层对内部控制体系及其重要性的态度、认识和行动。内部环境设定了被审计单位的内部控制基调,影响员工的内部控制意识,并为被审计单位内部控制体系中其他要素的运行奠定了总体基础。
5.被审计单位的内部控制意识受治理层影响,因为治理层的职责之一就是平衡管理层面临的与财务报告相关的、源于市场需求或薪酬方案的压力。内部环境(涉及治理层参与)设计的有效性受下列事项的影响:
(1)治理层相对于管理层的独立性及评价管理层措施的能力;
(2)治理层是否了解被审计单位从事的交易;
(3)治理层对财务报表是否按照适用的财务报告编制基础编制(包括披露是否充分)进行评价的程度。
6.内部环境包括下列要素:
(1)管理层如何履行其管理职责,例如创建和维护被审计单位的文化以及管理层对诚信、道德和价值观的重视。控制的有效性离不开负责创建、管理和监督内部控制的人员的诚信、道德和价值观。被审计单位的道德行为准则或行为规范,以及这些准则和规范如何在被审计单位内部得到沟通(如通过政策规定进行沟通)和落实(例如,管理层采取措施消除或减少可能导致员工不诚实、不守法或不道德行为的动机或诱因),决定了其诚信和道德行为。被审计单位对诚信、道德和价值观方面政策的沟通包括通过政策规定、行为规范和示范的方式向员工沟通行为准则。
(2)如果治理层与管理层相分离,治理层如何证明其独立于管理层监督被审计单位的内部控制体系。被审计单位的控制意识受到治理层的影响,考虑因素包括治理层是否有充分独立于管理层的人员,并在评估和决策中保持客观性;治理层如何识别和接受监督责任;以及治理层是否对管理层设计、实施和执行被审计单位的内部控制体系承担监督责任。治理层职责的重要性在被审计单位的行为守则、其他法律法规或在为治理层制定的指引中予以体现。治理层的职责还包括监督内部举报不恰当行为的程序的设计和有效运行。
(3)治理层如何被监督,特别是,如果治理层与管理层并未实现充分的分离,被审计单位是否存在相应的补偿性控制。例如,监事会的职责、人员构成,以及在被审计单位治理体系中的地位和作用。
(4)被审计单位为实现其目标分配内部权限和职责。具体可以考虑下列事项:
①内部权限和职责的关键领域,以及适当的报告层级;
②与适当的商业惯例、关键员工的知识和经验、履行职责时提供的资源相关的政策;
③政策和沟通,旨在确保所有员工了解被审计单位的目标、知悉员工之间的工作如何相互关联以及个人的工作对实现目标的作用,并认识到其对什么承担责任以及如何承担。
(5)被审计单位根据其目标如何吸引、培养和留住具有胜任能力的人员。这包括被审计单位如何确保人员具有完成工作所需的知识和技能,例如:
①招聘标准要求录用最胜任的员工,即强调教育背景、以前的工作经验、以前取得的成就、诚信和道德行为的证明;
②培训政策可以传达预期的岗位职责,包括可以说明预期的员工表现和行为水平的实践内容,如培训学校和研讨会;
③通过定期业绩考核予以晋升的政策表明被审计单位希望具备相应资格的员工承担更高级别的职责。
(6)被审计单位如何使其人员致力于实现内部控制体系的目标。这可以通过下列措施实现:
①建立沟通机制,使员工对履行控制职责负责,并在必要时采取纠正措施;
②为负责被审计单位内部控制体系的员工制定绩效衡量标准以及激励和奖励措施,包括如何评价衡量标准并保持相关性;
③与实现控制目标相关的压力如何影响员工的职责和绩效衡量;
④必要时,如何对员工进行处罚。
上述措施的适用性根据被审计单位的规模、组织结构的复杂程度及其活动的性质的不同而有所不同。
(二)风险评估
7.被审计单位的风险评估工作是一个不断修正的过程,以识别和分析实现被审计单位的目标所面临的风险,这构成了管理层和治理层如何确定拟管理的风险的基础。
8.就财务报告的目的而言,被审计单位的风险评估工作包括管理层如何识别与按照适用的财务报告编制基础编制财务报表相关的经营风险,评估其重要性和发生的可能性,并采取措施以管理这些风险及其导致的结果。例如,被审计单位的风险评估工作可能针对的是如何考虑交易未被记录的可能性,或识别并分析财务报表中反映的重要估计。
9.与财务报告的可靠性相关的风险包括可能发生的并会对被审计单位生成、记录、处理和报告财务报表中与管理层认定相一致的财务信息的能力产生不利影响的外部和内部事项、交易或情况。管理层可能会制定计划、执行程序或采取措施以应对特定风险,或者出于成本或其他考虑决定承担某些风险。下列情况可能会产生或改变此类风险:
(1)经营环境的变化。监管环境、经济环境和经营环境的变化会导致竞争压力的变化并产生显著不同的风险。
(2)新员工。新员工可能对被审计单位的内部控制体系有不同的关注点或认识。
(3)新的或升级的信息系统。信息系统重大、快速的变化会改变与被审计单位的内部控制体系相关的风险。
(4)快速增长。重要、快速的业务扩张可能使控制难以应对,从而增加了控制失效的风险。
(5)新技术。将新技术运用于生产过程或信息系统可能改变与被审计单位的内部控制体系相关的风险。
(6)新业务模式、产品或活动。进入新的业务领域和发生新的交易,可能因被审计单位具有较少的经验而带来新的与被审计单位的内部控制体系相关的风险。
(7)公司重组。重组可能带来裁员,以及监督及职责分离方面的变化,可能改变与被审计单位的内部控制体系相关的风险。
(8)扩张海外经营。在海外扩张或收购海外企业会产生新的并且往往是独特的风险,进而可能影响内部控制,如由于外币交易产生的额外风险或风险变化。
(9)新的会计政策。采用新的会计政策或变更会计政策可能影响财务报表编制过程中的风险。
(10)运用信息技术。包括与下列事项相关的风险:
①维护处理的数据和信息的完整性、准确性和有效性;
②如果被审计单位的信息技术战略不能有效地支持其经营战略,则会产生经营战略风险;
③被审计单位的信息技术环境的变化或中断,信息技术人员的流动,或被审计单位未对信息技术环境进行必要的更新或更新不及时。
(三)内部监督
10.被审计单位监督内部控制体系的工作是指被审计单位评价内部控制体系的有效性,并及时采取必要的整改措施的持续过程。被审计单位监督内部控制体系的工作可能包括持续的监督活动、单独的评价活动(定期执行)或两者相结合。持续的监督活动通常贯穿于被审计单位日常重复的活动中,包括常规管理和监督工作。监督内部控制体系的工作的范围和频率可能根据被审计单位对风险的评估结果而发生变化。
11.内部审计的目标和范围通常包括旨在评价或监督被审计单位内部控制体系有效性的活动。被审计单位监督内部控制体系的工作可能包括管理层对是否及时编制银行存款余额调节表进行复核,内部审计人员评价销售人员是否遵守被审计单位关于销售合同条款的政策,法律部门监控被审计单位的道德规范和商业行为政策是否得到遵守等。监督也用于保证控制的持续有效运行。例如,如果缺乏对编制银行存款余额调节表的及时性和准确性的监督,则相关人员可能不编制该调节表。
12.与被审计单位监督内部控制体系的工作相关的控制(包括监督相关自动化控制的控制)可能是自动化控制或人工控制,也可能是两者的结合。例如,被审计单位可能使用自动化监督控制访问某些信息技术程序或数据,并自动向管理层报告异常活动,继而由管理层人工调查识别的异常。
13.在区分监督活动和与信息系统相关的控制时,注册会计师需要考虑活动的基本细节,特别是当该活动涉及某种程度上的监督复核时。监督复核不会自动归类为监督活动,其被归类为与信息系统相关的控制还是监督活动可能涉及职业判断。例如,月度完整性控制的目的是发现和纠正错误,而监督活动关注的是错误发生的原因,并赋予管理层责任对导致该错误的流程进行修正,以防止未来发生错误。简而言之,与信息系统相关的控制旨在应对具体风险,而监督活动则是为了评估被审计单位内部控制体系各要素中的控制是否如预期运行。
14.监督活动可能包括利用与外部有关机构或人员沟通所获取的信息,这些外部信息可能显示出内部控制存在的问题或需要改进的领域。例如,客户通过付款来间接表示其同意发票金额,或者对发票金额提出异议。此外,监管机构可能会针对影响被审计单位的内部控制体系运行的问题与被审计单位进行沟通,例如,银行监管机构针对检查所作的沟通。在执行监督活动时,管理层也可能考虑与注册会计师就被审计单位的内部控制体系进行沟通。
(四)信息与沟通
15.与财务报表编制相关的信息系统由一系列的活动和政策、会计记录和支持性记录组成。被审计单位设计和建立这些活动、政策和记录旨在:
(1)生成、记录和处理交易,获取、处理和披露与交易以外的事项和情况相关的信息,以及为相关资产、负债和所有者权益明确受托责任;
(2)解决不正确处理交易的问题,如自动生成暂记账户文件,以及及时按照程序清理暂记项目;
(3)处理并解释凌驾于控制之上或规避控制的情况;
(4)将从交易处理系统中获取的信息过入总账,例如,将明细账中的累计交易过入总账;
(5)针对除交易以外的事项和情况获取并处理与财务报表编制相关的信息,如资产的折旧和摊销、可回收性的改变等;
(6)确保适用的财务报告编制基础规定披露的信息得到收集、记录、处理和汇总,并适当包含在财务报表中。
16.被审计单位的业务流程包括旨在实现下列目的的活动:
(1)开发、采购、生产、销售、配送产品和提供服务;
(2)确保遵守法律法规;
(3)记录信息,包括会计和财务报告信息。
业务流程产生的交易由信息系统记录、处理和报告。
17.信息的质量影响管理层在管理和控制被审计单位活动时作出恰当的决策以及编制可靠的财务报告的能力。
18.沟通包括使员工了解各自在被审计单位内部控制体系中的角色和岗位职责,其可以采用政策手册、会计和财务报告手册以及备忘录等形式。沟通也可以采用电子方式或口头方式,以及通过管理层的行动来实现。
19.被审计单位就与财务报告相关的岗位职责和相关人员的角色以及与财务报告相关的重大事项的沟通,包括使员工了解各自的、与财务报告相关内部控制体系的角色和岗位职责。这可能包括使员工了解其在信息系统中的活动与其他员工工作之间关联的程度,以及向适当的更高层级的管理层报告例外事项的方式。
(五)控制活动
20.注册会计师需要按照本准则第三十一条的规定识别控制活动要素中的控制。这些控制包括信息处理控制和信息技术一般控制,两类控制均可能属于人工控制或自动化控制。管理层利用和依赖的与财务报告相关的自动化控制或涉及自动化方面的控制的程度越高,被审计单位执行信息技术一般控制(应对信息处理控制自动化方面的持续运行)可能就越重要。控制活动要素中的控制可能与下列事项相关:
(1)授权和批准。授权确认交易是有效的,即交易具有经济实质或符合被审计单位的政策。授权的形式通常为较高级别的管理层批准或验证并确定交易是否有效。例如,主管在复核某项费用是否合理且符合政策后批准该费用报告单。自动批准的一个举例是自动将发票单位成本与相关的采购订单单位成本(在预先确定的可容忍范围内)进行比较,单位成本在可容忍范围内的发票将自动批准付款,对单位成本超出可容忍范围的发票将进行标记以执行进一步调查。
(2)调节,即将两项或多项数据要素进行比较。如果发现差异,则采取措施使数据相一致。调节通常应对所处理交易的完整性或准确性。
(3)验证,即将两个或多个项目互相进行比较,或将某个项目与政策进行比较,如果两个项目不匹配或者某个项目与政策不一致,则可能对其执行跟进措施。验证通常应对所处理交易的完整性、准确性或有效性。
(4)实物或逻辑控制。这包括针对资产安全的控制,以防止未经授权的访问、获取、使用或处置资产。实物或逻辑控制包括下列控制:
①保证资产的实物安全,包括恰当的安全保护措施,如针对接触资产和记录的安全设施;
②对接触计算机程序和数据文档设置授权,即逻辑访问权限;
③定期盘点并将盘点记录与控制记录相核对,如将会计记录与现金、有价证券和存货的定期盘点结果相比较。
用于防止资产盗窃的实物控制在多大程度上与财务报表编制的可靠性相关,取决于资产被侵占的风险。
(5)职责分离,即将交易授权、交易记录以及资产保管等职责分配给不同员工。职责分离旨在降低同一员工在正常履行职责过程中实施并隐瞒舞弊或错误的可能性。
例如,授权赊销的经理不负责维护应收账款记录或处理现金收入。如果某员工能够执行上述所有活动,则该员工可以创建难以被发现的虚假销售。类似地,销售人员也不应具有修改产品价格文件或佣金比率的权限。
在某些情况下,职责分离可能不切实际、成本效益低下或不可行。例如,小型和较不复杂被审计单位可能缺乏充分的资源以实现理想的职责分离,并且雇佣额外员工的成本可能很高。在这种情况下,管理层可以设置替代控制。在上述示例中,如果销售人员可以修改产品价格文件,则可以设置检查性的控制活动,让与销售职能无关的员工定期复核销售人员是否对价格进行修改以及修改价格的情形。
21.某些控制可能取决于管理层或治理层是否制定了适当的监督控制。例如,可能按照既定的指导方针(如治理层制定的投资标准)进行授权控制,或者非常规交易(如重大收购或撤资)可能需要特定的高级别人员的批准,包括在某些情况下由股东批准。
二、内部控制的固有局限性
22.无论被审计单位的内部控制体系如何有效,都只能为被审计单位实现财务报告目标提供合理保证。被审计单位内部控制体系实现目标的可能性受其固有局限性的影响。这些局限性包括在决策时人为判断可能出现错误,以及可能因人为失误而导致被审计单位的内部控制体系失效。例如,控制的设计和修改可能存在错误。同样地,控制的运行可能无效,比如,由于负责复核信息的人员不了解复核的目的或没有采取适当的措施,被审计单位的内部控制体系生成的信息(如例外报告)没有得到有效使用。
23.控制可能因两个或更多的人员串通或管理层不当地凌驾于控制之上而被规避。例如,管理层可能与客户签订“背后协议”,修改标准的销售合同条款和条件,从而导致不适当的收入确认。再如,信息技术应用程序中的用于识别和报告超过赊销信用额度的交易的编辑检查控制,可能会被凌驾或不能得到执行。
24.在设计和执行控制时,管理层可能会对拟执行的控制的性质和范围以及承担的风险的性质和程度作出判断。
附录4:(参见本准则第十九条第(一)项、第二十九条第(二)项、本指南第36段至第38段、第132段)了解被审计单位内部审计的考虑因素
本附录说明了与了解被审计单位内部审计相关的进一步考虑因素。
一、内部审计的目标和范围
1.内部审计的目标和范围、职责性质及其在被审计单位中的地位(包括权威性和问责机制)有较大差别,这取决于被审计单位的规模、复杂程度和组织结构以及管理层和治理层的要求。内部审计章程或职权范围可能对这些事项作出规定。
2.内部审计的职责可能包括实施程序并评价结果,以就风险管理、被审计单位的内部控制体系及治理过程的设计和有效性向管理层和治理层增信。此时,内部审计可能在被审计单位监督其内部控制体系的过程中发挥重要作用。然而,内部审计的职责也可能专注于评价运营的经济性、效率和效果,此时,内部审计的工作可能与被审计单位的财务报告并不直接相关。
二、询问内部审计人员
3.如果被审计单位设有内部审计,询问合适的内部审计人员可能有助于注册会计师了解被审计单位及其环境、适用的财务报告编制基础以及被审计单位的内部控制体系,并识别、评估财务报表层次和认定层次的重大错报风险。在履行职能时,内部审计人员对被审计单位的运营和业务风险可能已有深入了解,并可能基于其工作已有所发现(如识别出内部控制缺陷或风险),这对于注册会计师了解被审计单位及其环境、适用的财务报告编制基础以及被审计单位的内部控制体系,进行风险评估或执行其他审计工作可以提供有价值的信息。因此,无论是否预期利用内部审计的工作以修改拟实施审计程序的性质、时间安排或缩小审计程序的范围,注册会计师均需询问内部审计人员。特别是相关的询问可能包括内部审计已向治理层提出的事项,以及内部审计实施的风险评估的结果。
4.基于内部审计人员对注册会计师所实施询问的回应,如果内部审计发现的问题可能与被审计单位的财务报告和财务报表审计相关,注册会计师可能认为阅读内部审计的相关报告是适当的。举例来说,相关内部审计报告可能包括该职能的战略和计划文件,以及提交管理层或治理层的、描述内部审计发现的报告。
5.此外,按照《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》的规定,如果内部审计向注册会计师提供舞弊事实、舞弊嫌疑或舞弊指控信息,注册会计师在识别舞弊导致的重大错报风险时需要予以考虑。
6.所询问的合适的内部审计人员,是根据注册会计师的判断认为具有适当知识、经验和权限的人员,例如内部审计负责人或内部审计的其他人员(取决于具体情况)。注册会计师还可能认为与这些人员进行定期会谈是适当的。
三、在了解内部环境时考虑内部审计
7.在了解内部环境时,对于内部审计就识别出的与财务报表编制相关的控制缺陷提出的问题及建议,注册会计师还可以考虑管理层是如何予以回应的,包括这些回应是否以及如何得到执行,内部审计是否对此进行了后续评价。
四、了解内部审计在被审计单位监督内部控制体系的过程中承担的职责
8.如果内部审计的职责性质和鉴证活动与被审计单位的财务报告相关,注册会计师也可能利用内部审计的工作,以修改注册会计师为获取审计证据而直接实施的审计程序的性质、时间安排,或缩小审计程序的范围。如果基于以前年度的审计经验或注册会计师实施的风险评估程序,相对于被审计单位的复杂程度和运营性质而言,内部审计的资源充分、适当,并与治理层有直接的报告关系,则注册会计师更有可能利用被审计单位内部审计的工作。
9.如果基于对被审计单位内部审计的初步了解,注册会计师预期利用内部审计的工作,以修改拟实施的审计程序的性质、时间安排,或缩小审计程序的范围,则《中国注册会计师审计准则第1411号——利用内部审计人员的工作》适用。
10.如《中国注册会计师审计准则第1411号——利用内部审计人员的工作》所述,内部审计的活动不同于其他可能与财务报告相关的监督控制,例如,复核被审计单位用于防止或发现错报的管理会计信息。
11.在审计业务的早期与合适的内部审计人员建立沟通,并在审计业务执行过程中保持这种沟通,有利于信息的有效共享。这种做法能够创造一种氛围,使得注册会计师能够获悉内部审计注意到的可能影响注册会计师工作的重大事项。《中国注册会计师审计准则第1101号——注册会计师的总体目标和审计工作的基本要求》讨论了注册会计师在计划和执行审计工作时保持职业怀疑的重要性,包括对某些信息保持警觉,这些信息会导致对作为审计证据的文件记录和问询答复的可靠性产生怀疑。因此,在审计业务执行过程中与内部审计保持沟通,可以为内部审计人员将这些信息告知注册会计师提供机会。注册会计师因而能够在识别和评估重大错报风险时考虑这些信息。
附录5:(参见本准则第三十条第(一)项、第三十一条第(二)项和第(三)项、本指南第109段、第185段至第192段)了解信息技术的考虑因素
本附录说明了注册会计师在了解被审计单位内部控制体系中运用信息技术的情况时可以进一步考虑的事项。
了解被审计单位内部控制体系各要素中对信息技术的运用
1.被审计单位的内部控制体系包含人工成分和自动化成分(即,人工控制和自动化控制,以及被审计单位的内部控制体系中使用的其他资源)。内部控制中人工成分和自动化成分的组合,因被审计单位运用信息技术的性质和复杂程度而异。被审计单位对信息技术的运用会影响按照适用的财务报告编制基础编制财务报表的相关信息的处理、存储和沟通的方式,因而影响被审计单位设计和执行内部控制体系的方式。被审计单位内部控制体系中的每一要素都可能在一定程度上运用信息技术。
一般而言,信息技术对被审计单位内部控制体系的作用在于使被审计单位能够:
(1)在处理大量的交易或数据时,一贯运用事先确定的业务规则,并进行复杂运算;
(2)提高信息的及时性、可获得性和准确性;
(3)有助于对信息的深入分析;
(4)提高对被审计单位的经营业绩及其政策和程序执行情况进行监督的能力;
(5)降低控制被规避的风险;
(6)通过对信息技术应用程序、数据库和操作系统执行安全控制,提高职责分离的能力。
2.人工或自动化成分的特征,与注册会计师识别和评估重大错报风险,并实施进一步审计程序相关。自动化控制可能比人工控制的可靠性高,原因是自动化控制不能被轻易规避、忽视或凌驾,且更不容易产生简单错误和失误。自动化控制在下列情形中可能比人工控制更为有效:
(1)存在大量或重复发生的交易,或者通过自动化能够防止、发现或纠正事先可预计或预测的错误的情况;
(2)用特定方法实施的控制可得到充分设计和自动化处理。
了解被审计单位信息系统中对信息技术的运用(参见本准则第三十条第(一)项)
3.被审计单位的信息系统中可能使用人工成分和自动化成分,这将影响交易生成、记录、处理和报告的方式。特别是生成、记录、处理和报告交易的程序可能通过被审计单位运用的信息技术应用程序和对应用程序的配置来“落地”。此外,数字信息形式的记录还可能替代或补充纸质文件记录。
4.在了解与信息系统中的交易和信息处理流程相关的信息技术环境时,注册会计师要收集与被审计单位所运用的信息技术应用程序相关的性质和特征信息,以及用来支持信息技术应用程序的信息技术基础设施和信息技术相关的信息。下表列示了注册会计师在了解信息技术环境时可以考虑的事项的示例,以及基于被审计单位信息系统中运用的信息技术应用程序的不同复杂程度,信息技术环境的典型特征的示例。但是,此类特征是有指引性的,会因被审计单位运用的特定信息技术应用程序性质的不同而有所不同。
典型特征示例 | 不复杂的商业软件 | 中型和中等复杂程度的商业软件或信息技术应用程序 | 大型或复杂的信息技术应用程序(如企业资源计划系统,即ERP) |
---|---|---|---|
与自动化程度和数据的使用相关的事项: | |||
处理程序的自动化程度,以及程序的复杂程度,包括是否存在高度自动化的无纸化处理 | 不适用 | 不适用 | 广泛且经常运用复杂的自动化程序 |
被审计单位在处理信息时对系统生成的报告的依赖程度 | 简单的自动化报告生成逻辑生成的标准报表 | 简单的自动化报告生成逻辑生成的定制化报表 | 复杂的自动化报告生成逻辑生成的报表、报告生成工具生成的报表 |
如何输入数据(即人工输入、客户或供应商输入或文件加载) | 人工输入数据 | 少量的数据输入或简单的接口 | 大量的数据输入或复杂的接口 |
信息技术如何通过系统接口适当促成应用程序、数据库或信息技术环境的其他方面之间与内外部的连通 | 无自动化接口(仅支持人工输入) | 少量的数据输入或简单的接口 | 大量的数据输入或复杂的接口 |
通过信息系统处理的数字形式的数据的规模和复杂程度,包括会计记录或其他信息是否以数字形式存储以及数据存储的位置 | 可以人工验证的少量数据或简单数据,数据存储在本地 | 少量的数据或简单数据 | 大量的数据或复杂数据、数据仓库、使用内部或外部的信息技术服务提供商(如第三方存储或托管数据) |
与信息技术应用程序和信息技术基础设施相关的事项: | |||
应用程序的类型(例如,非定制或有限定制的商业应用程序、外购并定制或自行开发的高度定制或高度集成的应用程序) | 非定制或有限定制的外购应用程序 | 非定制或有限定制的外购应用程序或简单的旧版或低端ERP应用程序 | 定制开发的应用程序或具有重大定制功能的更复杂的ERP |
信息技术应用程序性质的复杂程度以及相关信息技术基础设施 | 小型、简单的笔记本电脑或基于客户端服务器的解决方案 | 成熟稳定的主机、小型或简单的客户端服务器、软件运营云服务 | 复杂的主机、大型或复杂的客户端服务器、面向网络的服务云基础设施 |
是否由第三方托管或外包信息技术 | 如果外包信息技术,提供商具有胜任能力、成熟并经过验证(例如,云服务提供商) | 如果外包信息技术,提供商具有胜任能力、成熟并经过验证(例如,云服务提供商) | 具有胜任能力、成熟并经过验证的供应商只给部分应用程序提供服务,其他应用程序的提供商处在全新或初创阶段 |
被审计单位是否使用影响财务报告的新兴技术 | 未使用新兴技术 | 在某些应用程序中有限使用新兴技术 | 跨平台混合使用新兴技术 |
与信息技术流程相关的事项: | |||
参与维护信息技术环境的人员(负责信息技术环境安全和变化的信息技术支持人员的数量和技术水平) | 极少量具有有限信息技术知识的人员处理供应商升级和管理访问权限 | 有限数量的具有信息技术技能或专门从事信息技术工作的人员 | 专门的信息技术部门,具有专业技能(包括编程技能)的人员 |
管理访问权限的流程的复杂程度 | 由具有管理权限的单个员工管理访问权限 | 由具有管理权限的很少数量的员工管理访问权限 | 由信息技术部门管理访问权限的复杂流程 |
信息技术环境安全的复杂程度,包括信息技术应用程序、数据库和信息技术环境的 | 简单的本地访问,没有互联网端成分 | 具有简单的、基于安全性角色的一些面向互联网应用 | 具有互联网访问权限和复杂安全模型的多个平台 |
其他方面易受网络风险影响的程度,特别是交易基于网络或涉及外部接口的情况 | |||
是否对信息处理的方式进行了程序修改,以及在本期修改的程度 | 未安装源代码的商业软件 | 未安装源代码的部分商业软件和进行了少量简单修改的其他成熟应用程序,传统的系统开发生命周期 | 新的或大量的亦或复杂的修改,每年存在多个开发周期 |
信息技术环境的变化程度(例如,信息技术环境的新方面,或信息技术应用程序或相关信息技术基础设施的重大修改) | 变化仅限于商业软件的版本升级 | 变化包括商业软件升级、ERP版本升级或旧版功能增强 | 新的或大量的或复杂的变化,每年存在多个开发周期,对ERP进行了大量定制 |
本期是否进行了重大数据转换,如果是,更改的性质和重大程度,以及数据转换的方式 | 供应商提供的软件升级,没有用于升级的数据转换功能 | 商业软件应用程序的小型版本升级,仅转换有限的数据 | 重大版本升级,新版本发布,平台变更 |
5.由于一些新兴技术(例如,区块链、机器人技术或人工智能)可以提高经营效率或对财务报告作出改进,被审计单位可能使用这些新兴技术。当被审计单位在与财务报表编制相关的信息系统中使用新兴技术时,注册会计师可以在识别面临运用信息技术导致的风险的信息技术应用程序和信息技术环境的其他方面时,考虑这些技术。尽管与现有技术相比,新兴技术可能更加先进或复杂,但注册会计师仍然需要按照本准则第三十一条第(二)项和第(三)项的规定识别信息技术应用程序和信息技术一般控制。
针对不同情形运用本准则的规定
6.对于使用商业软件且无权访问源代码以修改程序的较不复杂的被审计单位而言,注册会计师对其信息技术环境的了解可能更容易实现。这类被审计单位可能没有专门的信息技术资源,但可能会指派承担管理员角色的员工,负责授予员工访问权限或安装供应商提供的信息技术应用程序更新。注册会计师在了解商业会计软件包(对于较不复杂被审计单位而言,这可能是信息系统中使用的唯一信息技术应用程序)的性质时可能考虑的具体事项包括:
(1)关于软件的完善程度和可靠性的声誉如何。
(2)被审计单位可以在何种程度上修改软件的源代码,以在基础软件中纳入其他模块(即插件),或直接对数据进行修改的可能性。
(3)对软件进行修改的性质和程度。尽管被审计单位可能无法修改软件的源代码,但是许多软件包都允许对其进行配置,例如,设置或修改报告参数。这通常不涉及对源代码的修改。但是,注册会计师在考虑软件生成的、用作审计证据的信息的完整性和准确性时,可能考虑被审计单位能够配置软件的程度。
(4)可以直接访问与财务报表编制相关的数据(即不运用信息技术应用程序,而直接访问数据库)的程度和处理的数据量。数据量越大,被审计单位可能越需要针对维护数据完整性、准确性和有效性的控制,这可能包括与未经授权的访问权限和数据修改相关的信息技术一般控制。
7.复杂的信息技术环境可能包括高度定制或高度集成的信息技术应用程序,因此可能需要付出更多的审计努力对其加以了解。财务报告流程或信息技术应用程序可以与其他信息技术应用程序集成使用。这种集成可能涉及被审计单位业务运营中运用的信息技术应用程序,也可能涉及向与被审计单位信息系统中的交易流程和信息处理相关的信息技术应用程序提供信息的应用程序。在这种情况下,被审计单位业务运营中使用的某些特定信息技术应用程序也可能与财务报表的编制相关。复杂的信息技术环境还可能需要专门的信息技术部门,这些部门具有结构化的信息技术流程,其员工具有软件开发和信息技术环境维护的技能。在其他情况下,被审计单位可能使用内部或外部服务提供商来管理信息技术环境中的特定方面或信息技术流程,如第三方托管。
识别面临运用信息技术导致的风险的信息技术应用程序
8.通过了解被审计单位的信息技术环境的性质和复杂程度(包括信息处理控制的性质和范围),注册会计师可以确定被审计单位依赖哪些信息技术应用程序,以准确地处理和维护财务信息的完整性、准确性和有效性。如果某类信息技术应用程序中的自动化控制应对了识别的重大错报风险,则识别被审计单位依赖的信息技术应用程序可能影响注册会计师关于测试此类自动化控制的决定。相反,如果被审计单位不依赖于信息技术应用程序,则该信息技术应用程序中的自动化控制对于测试运行有效性这一目的而言,不太可能是适当或足够精确的。按照本准则第三十一条第(一)项识别的自动化控制可能包括如自动计算或输入、处理和输出控制,例如采购订单、供应商发货单和供应商发票的三单匹配。如果注册会计师识别了自动化控制,并通过了解信息技术环境确定被审计单位依赖包含这些控制的信息技术应用程序,则注册会计师更有可能识别出面临运用信息技术导致的风险的信息技术应用程序。
9.在考虑注册会计师已识别出自动化控制的信息技术应用程序是否面临运用信息技术导致的风险时,注册会计师可能考虑被审计单位是否以及在何种程度上可以访问源代码,以使管理层能够对这些控制或信息技术应用程序作出修改。相关的考虑因素还包括被审计单位作出程序或配置修改的程度以及针对此类修改的信息技术流程的正规化程度。注册会计师还可能考虑访问权限或数据修改不适当的风险。
10.注册会计师拟用作审计证据的系统生成的报告可能包括如应收账款账龄报告或存货估值报告等。对于此类报告,注册会计师可以通过对报告的输入和输出实施实质性程序,来获取与报告完整性和准确性相关的审计证据。在其他情况下,注册会计师可能拟测试与编制和维护此类报告相关的控制运行有效性,生成此类报告的信息技术应用程序可能面临运用信息技术导致的风险。注册会计师除测试报告的完整性和准确性外,还可以计划测试信息技术一般控制运行的有效性,即应对针对此类报告作出不适当或未经授权的程序修改或数据修改相关风险的信息技术一般控制。
11.某些信息技术应用程序可能包含报告编制功能,而某些被审计单位也可能使用单独的报告编制应用程序,即报告生成工具。在这种情况下,注册会计师可能需要确定系统生成的报告的来源(即编制报告的应用程序和报告所使用的数据来源),以确定面临运用信息技术导致的风险的信息技术应用程序。
12.信息技术应用程序使用的数据来源可以是数据库,例如,只能通过信息技术应用程序或具有数据库管理权限的信息技术人员访问。此外,数据来源也可能是数据仓库,其本身可被视为面临运用信息技术导致的风险的信息技术应用程序。
13.如果被审计单位使用高度自动化且无纸化的交易处理流程(可能涉及多个集成的信息技术应用程序),注册会计师可能识别出仅实施实质性程序不能提供充分、适当审计证据的风险。此时,注册会计师识别的控制可能包括自动化控制。此外,被审计单位可能依赖于信息技术一般控制来维护所处理交易和在处理过程中使用的其他信息的完整性、准确性和有效性。在这种情况下,信息处理和存储中涉及的信息技术应用程序可能面临运用信息技术导致的风险。
终端用户计算工具
14.尽管在终端用户计算工具(例如,电子表格软件或简单的数据库)中用于执行计算的审计证据可能是系统生成的结果,但这类终端用户计算工具通常不被认为是本准则第三十一条第(二)项所述的信息技术应用程序。针对终端用户计算工具的访问权限和程序修改来设计和执行控制可能具有挑战性,并且此类控制很少等同于信息技术一般控制或像信息技术一般控制一样有效。相反,注册会计师可以基于涉及的终端用户计算工具的目的和复杂程度,考虑一系列信息处理控制,例如:
(1)与生成和处理源数据相关的信息处理控制,包括相关的自动化控制和从中提取数据的接口的控制(如数据仓库);
(2)用于检查逻辑是否按预期运行的控制,例如,证明数据提取的控制,如将报告与导出报告的数据之间进行调节,将报告中的各个数据与数据来源进行双向比较,以及检查公式或宏的控制;
(3)使用验证软件工具来系统地检查公式或宏,例如电子表格完整性验证工具。
针对不同情形运用本准则的规定
15.被审计单位维护信息系统中存储和处理的信息的完整性、准确性和有效性的能力,可能根据相关交易和其他信息的复杂程度和数量的不同而有所不同。支持相关交易类别、账户余额和披露的数据的复杂程度越高、数据量越大,被审计单位仅通过信息处理控制(例如,输入和输出控制或复核控制)维护信息完整性、准确性和有效性的可能性越低。如果将此类信息用作审计证据,注册会计师也不太可能仅通过实施实质性程序获取有关信息完整性和准确性的审计证据。在某些情况下,如果交易的数量较少、复杂程度较低,管理层的信息处理控制可能足以验证数据的准确性和完整性,如将已处理并开具发票的单个销售订单与在信息技术应用程序中原始输入的纸质副本调节一致。当被审计单位依赖信息技术一般控制来维护信息技术应用程序使用的特定信息的完整性、准确性和有效性时,注册会计师可能确定维护该信息的信息技术应用程序面临运用信息技术导致的风险。
可能不会面临运用信息技术导致的风险的信息技术应用程序的特征示例 | 可能面临运用信息技术导致的风险的信息技术应用程序的特征示例 |
---|---|
(1)独立应用程序; (2)数据(交易)量不大; (3)应用程序的功能不复杂; (4)每笔交易均有原始纸质文件支持。 | (1)应用程序之间存在接口; (2)数据(交易)量大; (3)由于应用程序自动生成交易且在自动输入的基础上涉及多种复杂计算,因而应用程序的功能较复杂。 |
信息技术应用程序可能不会面临运用信息技术导致的风险,这是因为: (1)数据量不大,因此管理层不依赖信息技术一般控制来处理或维护数据; (2)管理层不依赖自动化控制或其他自动化功能。注册会计师按照本准则第三十一条第(一)项未识别出自动化控制; (3)尽管管理层在控制中使用系统生成的报告,但并不依赖于这些报告,而是将报告调节至纸质文件记录并验证报告中的计算; (4)注册会计师直接测试用作审计证据的被审计单位生成的信息。 | 信息技术应用程序可能面临运用信息技术导致的风险,这是因为: (1)数据量大,因此管理层依赖应用系统来处理或维护数据; (2)管理层依赖应用系统来实施特定的自动化控制,注册会计师已识别出这些控制。 |
面临运用信息技术导致的风险的信息技术环境的其他方面
16.如果注册会计师识别出面临运用信息技术导致的风险的信息技术应用程序,那么信息技术环境的其他方面通常也面临运用信息技术导致的风险。信息技术基础设施包括数据库、操作系统和网络。数据库存储信息技术应用程序使用的数据,并可能包含许多相互关联的数据表。信息技术人员或其他具有数据库管理权限的人员也可以通过数据库管理系统直接访问数据库中的数据。操作系统用于管理硬件、信息技术应用程序和网络中使用的其他软件之间的通信。信息技术应用程序和数据库可以通过操作系统直接访问。信息技术基础设施中的网络用于传输数据,并通过公共通信链接共享信息、资源和服务。网络通常还针对基础资源的访问权限建立逻辑安全层(通过操作系统启用)。
17.如果注册会计师识别出面临运用信息技术导致的风险的信息技术应用程序,则通常也将识别出存储由所识别的信息技术应用程序处理的数据的数据库。类似的,由于信息技术应用程序的运行能力通常取决于操作系统,并且通过操作系统可以直接访问信息技术应用程序和数据库,因此操作系统通常面临运用信息技术导致的风险。此外,如果网络是访问已识别的信息技术应用程序和相关数据库的中心点,或者信息技术应用程序通过互联网与供应商或外部有关各方进行交互,亦或注册会计师识别出面向互联网的信息技术应用程序,那么网络也可能被识别出面临运用信息技术导致的风险。
识别运用信息技术导致的风险和信息技术一般控制
18.运用信息技术导致的风险包括所依赖的信息技术应用程序不能正确处理数据,处理了不正确的数据,或两种情况并存,例如:
(1)未经授权访问数据,可能导致数据的毁损或对数据不恰当的修改,包括记录未经授权或不存在的交易,或不正确地记录了交易。多个用户同时访问同一数据库可能会造成特定风险。
(2)信息技术人员可能获得超越其职责范围的数据访问权限,因此破坏了系统应有的职责分工。
(3)未经授权改变主文档的数据。
(4)未经授权改变信息技术应用程序和信息技术环境的其他方面。
(5)未能对信息技术应用程序和信息技术环境的其他方面作出必要的修改。
(6)不恰当的人为干预。
(7)可能丢失数据或不能访问所需要的数据。
19.注册会计师考虑未经授权的访问权限,可能包括考虑与内部或外部各方未经授权访问相关的风险,通常称为网络安全风险。此类风险不一定会影响财务报告,因为被审计单位的信息技术环境可能也包含应对经营或合规需求的信息技术应用程序和相关数据。需要注意的是,网络事件通常首先发生在外围和内部网络层,而外围和内部网络层往往与影响财务报表编制的信息技术应用程序、数据库和操作系统相隔较远。因此,如果已识别出和安全漏洞相关的信息,注册会计师通常考虑该漏洞影响财务报告的程度。如果财务报告可能受到影响,注册会计师可能决定了解并测试相关控制,以确定财务报表中错报的可能影响或范围,或确定被审计单位是否已就此类安全漏洞作出了充分的披露。
20.此外,对被审计单位的财务报表产生直接或间接影响的法律法规可能包括数据保护法规。按照《中国注册会计师审计准则第1142号——财务报表审计中对法律法规的考虑》考虑被审计单位对法律法规的遵守情况,可能涉及了解其信息技术流程和为应对相关法律法规所执行的信息技术一般控制。
21.执行信息技术一般控制,旨在应对运用信息技术导致的风险。因此,注册会计师利用其对已识别的信息技术应用程序和信息技术环境的其他方面以及运用信息技术导致的风险的了解,确定拟识别的信息技术一般控制。被审计单位可能会在整个信息技术环境或特定信息技术应用程序之间使用通用的信息技术流程,在这种情况下,注册会计师可能识别出常见的运用信息技术导致的风险和通用的信息技术一般控制。
22.一般而言,与信息技术环境的其他方面相比,识别的与信息技术应用程序和数据库相关的信息技术一般控制可能更多。这是因为这些方面与被审计单位信息系统中的信息处理和存储最为密切相关。在识别信息技术一般控制时,注册会计师可以考虑与终端用户和被审计单位的信息技术人员或信息技术服务提供商的行为相关的控制。
23.附录6进一步说明了针对信息技术环境的不同方面通常实施的信息技术一般控制的性质。此外,还提供了针对不同信息技术流程的信息技术一般控制的示例。
附录6:(参见本准则第三十一条第(三)项第2点、本指南第193段至第195段)了解信息技术一般控制的考虑因素
本附录说明了注册会计师在了解信息技术一般控制时可以进一步考虑的事项。
1.信息技术一般控制通常在信息技术环境的每个方面中执行,包括:
(1)应用程序。信息技术应用程序层面的信息技术一般控制与应用程序功能的性质和范围以及技术允许的访问路径有所关联。例如,与支持少量账户余额、仅能通过交易进行访问的旧版信息技术应用程序相比,具有复杂安全选项的高度集成的信息技术应用程序将存在更多相关控制。
(2)数据库。数据库层面的信息技术一般控制通常应对与下述事项相关的运用信息技术导致的风险,即通过直接访问数据库或执行脚本或程序,对数据库中的财务报告信息作出未经授权的修改。
(3)操作系统。操作系统层面的信息技术一般控制通常应对与管理访问权限相关的运用信息技术导致的风险。管理访问权限可能导致其凌驾于其他控制之上,这包括破坏其他用户的账户,添加新的未经授权的用户,加载恶意软件或执行脚本或其他未经授权的程序等行为。
(4)网络。网络层面的信息技术一般控制通常应对与网络分段、远程访问和身份验证相关的运用信息技术导致的风险。如果被审计单位的财务报告使用面向互联网应用,则网络层的控制可能是相关的。网络层的控制可能还涉及被审计单位存在重要的业务合作关系或第三方外包,这些活动会增加数据的传输,也可能增加远程访问的需求。
2.在信息技术流程中可能存在的信息技术一般控制示例包括:
(1)在管理访问权限流程中:
①认证,是指确保用户使用本人的登陆账户(认证)访问信息技术应用程序和信息技术环境的其他方面的控制,即确认用户未使用其他用户的账户。
②授权,是指仅允许用户访问与其工作职责相关的必要信息而不能访问其他信息的控制,这有助于恰当的职责分离。
③配置,是指授权新用户和修改现有用户访问权限的控制。
④取消配置,是指在用户离职或转岗时移除用户访问权限的控制。
⑤超级访问权限(管理员权限),是指与管理员或高级别用户访问权限相关的控制。
⑥用户访问权限复核,是指针对持续授权,随时间重新认证或评估用户访问权限的控制。
⑦安全配置控制。每种技术通常都具有关键的配置设置,以帮助限制对信息技术环境的访问权限。
⑧物理访问权限,是指与数据中心和硬件的物理访问权限相关的控制,因为此类访问权限可能被用于凌驾于其他控制之上。
(2)在管理程序或信息技术环境中的其他变更的流程中:
①管理变更的流程,是指与变更的设计、开发、测试和迁移到生产环境的流程相关的控制;
②与变更迁移相关的职责分离,是指针对作出变更和将变更迁移至生产环境的权限进行分离的控制;
③系统开发、购置或推行,是指与初始信息技术应用程序开发或推行相关的(或与信息技术环境的其他方面相关)控制;
④数据转换,是指与开发、推行或升级信息技术环境期间的数据转换相关的控制。
(3)在管理信息技术运行的流程中:
①作业排期,是指与访问作业排期和发起可能影响财务报告的作业或程序相关的控制;
②作业监督,是指用于监督财务报告作业或程序是否成功执行的控制;
③备份和恢复,是指确保按计划对财务报告数据进行备份,从而在发生中断或攻击时能够通过及时恢复来获取数据并访问数据的控制;
④入侵检测,是指用于监督信息技术环境中的漏洞和入侵的控制。
下表列举了用于应对运用信息技术导致的风险的信息技术一般控制的示例,包括不同的信息技术应用程序,并按其性质分类说明:
流程 | 风险 | 控制 | 信息技术应用程序 | |||
信息技术流程 | 运用信息技术导致的风险示例 | 信息技术一般控制示例 | 不复杂的商业软件-是否适用(是/否) | 中型和中等复杂程度的商业软件或信息技术应用程序-是否适用(是/否) | 大型或复杂的信息技术应用程序(如企业资源计划系统,即ERP)-是否适用(是/否) | |
管理访问权限 | 用户访问特权:用户具有的访问权限超出其履行职责所需的权限,可能导致职责分离不恰当 | 管理层批准新的或修改的用户访问权限,包括标准应用程序档案/角色,关键财务报告交易和职责分离 | 是-替代下述用户访问权限复核 | 是 | 是 | |
及时移除或修改离职或转岗用户的访问权限 | 是-替代下述用户访问权限复核 | 是 | 是 | |||
定期复核用户访问权限 | 是-替代上述配置控制/取消配置控制 | 是-适用于特定应用程序 | 是 | |||
监督职责分离,移除冲突的访问权限或将其对应至控制,并进行记录和测试 | 不适用-没有支持职责分离的系统 | 是-适用于特定应用程序 | 是 | |||
授权和恰当限制特权级别访问权限(如配置、数据和安全管理员) | 是-可能仅适用于信息技术应用程序层面 | 是-适用于信息技术应用程序和平台的信息技术环境的特定层面 | 是-适用于平台的信息技术环境的所有层面 | |||
直接数据访问权限:通过应用程序处理以外的手段,直接不恰当地修改财务数据 | 应用程序数据文档或数据库对象/表格/数据的访问权限仅限于经授权的人员,并基于其工作职责和分配的角色,该访问权限由管理层批准 | 不适用 | 是-适用于特定应用程序和数据库 | 是 | ||
系统设置:未对系统进行充分配置或更新,以将系统访问权限限制在经授权和适当的用户范围中。 | 通过唯一的用户ID和密码或其他方法验证访问权限,以作为验证用户是否有权访问系统的机制。密码参数符合公司或行业标准(如密码最小长度和复杂程度、有效期、账户锁定) | 是-仅进行密码验证 | 是-密码验证和多因素验证混合使用 | 是 | ||
恰当地执行安全配置的关键属性 | 不适用-不存在技术安全配置 | 是-针对特定应用程序和数据库 | 是 | |||
管理变更 | 应用程序变更:不恰当地变更包含相关自动化控制的应用系统或程序(即配置的设置、自动算法、自动计算和自动数据提取)或报告逻辑。 | 在将应用程序变更迁移至生产环境之前,已经过恰当测试和批准 | 不适用-将验证未安装源代码 | 是-适用于非商业软件 | 是 | |
适当地限制将应用程序变更迁移至生产环境的权限,并与开发环境相分离 | 不适用 | 是-适用于非商业软件 | 是 | |||
数据库变更:不恰当地修改数据库结构和数据之间的关系 | 在将数据库变更迁移至生产环境之前,已经过恰当测试和批准 | 不适用-被审计单位未作出数据库变更 | 是-适用于非商业软件 | 是 | ||
系统软件变更:不恰当地修改系统软件(如操作系统、网络、变更管 | 在将系统软件变更迁移至生产环境之前,已经过恰当测试和批准 | 不适用-被审计单位未作出系统软件变更 | 是 | 是 | ||
理软件、访问控制软件) | ||||||
数据转换:从旧版系统或以前版本系统中转换数据时因传输了不完整、多余、过时或不准确的数据,导致数据转换发生错误。 | 管理层批准从旧版应用系统或数据结构转换至新版应用系统或数据结构的数据转换结果(如试算平衡和调节活动),并监督按照指定的转换政策和程序执行转换的过程 | 不适用-通过人工控制进行应对 | 是 | 是 | ||
信息技术运行流程 | 网络:网络未能充分防止未经授权的用户取得不恰当的信息系统访问权限。 | 通过唯一的用户ID和密码或其他方法验证访问权限,以作为验证用户是否有权访问系统的机制。密码参数符合公司或行业标准(如密码最小长度和复杂程度、有效期、账户锁定) | 不适用-不存在单独的网络验证方法 | 是 | 是 | |
从架构层面将面向互联网应用与内部网络进行分段,从而访问与财务报告内部控制相关的应用程序 | 不适用-未进行网络分段 | 是-运用判断 | 是-运用判断 | |||
网络管理团队定期对网络边界进行漏洞扫描,同时调查可能存在的漏洞 | 不适用 | 是-运用判断 | 是-运用判断 | |||
入侵检测系统定期生成警报以提示识别出的威胁事项,并由网络管理团队对威胁事项进行调查 | 不适用 | 是-运用判断 | 是-运用判断 | |||
执行控制以限制在仅经授权的和适当的用户能够访问虚拟专用网络(VPN) | 不适用-无虛拟专用网络 | 是-运用判断 | 是-运用判断 | |||
数据备份和恢复:如果发生数据丢失,无法及时恢复或访问财务数据。 | 按照预定的时间表和频率定期备份财务数据 | 不适用-依赖财务团队的人工备份 | 是 | 是 | ||
作业排期:生产系统、程序或作业导致数据处理不准确、不完整或未经授权 | 仅经授权的用户有权限更新作业排期软件中的批处理作业(包括接口作业) | 不适用-无批处理作业 | 是-适用于特定应用程序 | 是 | ||
监督关键系统、程序或作业,并纠正处理错误以确保作业的成功完成 | 不适用-未对作业进行监督 | 是-适用于特定应用程序 | 是 |