《中国注册会计师审计准则第1241号——对被审计单位使用服务机构的考虑》应用指南(2023年4月4日修订)
发文信息
- 发文机关: 中国注册会计师协会
- 发布日期: 2023-04-04
- 生效日期: 2023-07-01
- 时效性: 现行有效
- 原文链接:中注协
一、了解服务机构提供的服务,包括相关的内部控制
(一)信息来源(参见本准则第十七条)
1.关于服务机构提供服务的性质的信息可以从多种不同来源获得。例如:
(1)用户手册;
(2)系统概述;
(3)技术手册;
(4)被审计单位与服务机构之间签订的合同或服务协议;
(5)服务机构、内部审计人员或监管机构针对服务机构的控制出具的报告;
(6)服务机构注册会计师出具的报告,包括管理建议书(如能获得)。
2.注册会计师与服务机构交往的经验(如通过其他审计业务获得的经验)可能也有助于了解服务机构提供服务的性质。如果服务机构提供的服务及与这些服务相关的控制是高度标准化的,这种经验可能特别有帮助。
(二)服务机构提供服务的性质(参见本准则第十七条第(一)项)
3.被审计单位可能使用服务机构为其处理交易并履行相关受托责任,或记录交易和处理相关数据。提供这种服务的服务机构举例如下:
(1)为客户员工的年金基金等提供投资和管理服务的银行信托部门;
(2)提供抵押贷款服务的银行;
(3)为客户的财务和经营交易处理提供应用软件和技术环境的应用软件服务供应商。
4.服务机构提供的与审计相关的服务举例如下:
(1)被审计单位会计记录的保存;
(2)资产管理;
(3)作为被审计单位的代理机构,生成、记录或处理交易。
对小型被审计单位的特殊考虑
5.小型被审计单位可能使用代理记账服务,这些服务的范围从处理某些交易(如工资税金的支付)和维护会计记录到编制财务报表不等。使用这类服务机构编制财务报表并不能减轻小型被审计单位管理层和治理层(如适用)对财务报表的责任。
(三)服务机构处理的交易的性质和重要性(参见本准则第十七条第(二)项)
6.服务机构可能制定影响被审计单位内部控制的政策和程序。这些政策和程序至少部分地在实物和运行上与被审计单位相分离。服务机构控制对被审计单位控制的重要性,取决于服务机构提供服务的性质,包括为被审计单位处理的交易的性质和重要性。在某些情况下,从金额上看,服务机构处理的交易和受影响的相关账户对被审计单位的财务报表可能显得并不重要,但是所处理交易的性质可能是重要的。在此情况下,注册会计师可能认为有必要了解服务机构的控制。
(四)服务机构与被审计单位之间活动的相互影响程度(参见本准则第十七条第(三)项)
7.服务机构控制对被审计单位控制的重要性还取决于服务机构与被审计单位之间活动的相互影响程度。相互影响程度是指被审计单位能够执行并且选择执行与服务机构执行处理过程相关的有效控制的程度。例如,被审计单位对交易进行授权而服务机构处理该交易并进行会计核算,这两项活动之间的相互影响程度较高。在这种情况下,被审计单位执行与这些交易相关的有效控制可能是切实可行的。另一方面,当服务机构负责被审计单位交易的生成或初始记录、处理并对这些交易进行会计核算时,两项活动之间的相互影响程度较低。在这种情况下,被审计单位可能无法或不选择执行与这些交易相关的有效控制,而是依赖服务机构的控制。
(五)被审计单位与服务机构关系的性质(参见本准则第十七条第(四)项)
8.被审计单位与服务机构之间的合同或服务协议可能涉及的事项包括:
(1)服务机构需要向被审计单位提供的信息,以及与服务机构开展活动相关的生成交易的责任;
(2)遵守监管机构关于记录保存形式及接触记录的规定;
(3)当服务机构没有完成相关活动时,向被审计单位提供的赔偿(如有);
(4)服务机构是否会提供自身的控制报告,如提供,该报告是第一类报告还是第二类报告;
(5)注册会计师是否有权接触服务机构维护的被审计单位的会计记录,以及执行审计工作所需的其他信息;
(6)该协议是否允许注册会计师与服务机构注册会计师直接沟通。
9.服务机构与被审计单位之间以及服务机构与服务机构注册会计师之间存在直接的关系。这些关系并不意味着注册会计师与服务机构注册会计师之间存在直接关系,双方通常会通过被审计单位及服务机构进行沟通。注册会计师与服务机构注册会计师之间也可能建立直接关系,但需要考虑相关职业道德要求和保密义务。注册会计师可以利用服务机构注册会计师代其实施审计程序,例如:
(1)对服务机构的控制进行测试;
(2)针对由服务机构负责维护的、被审计单位财务报表中的交易和账户余额实施实质性程序。
对公共部门实体的特殊考虑
10.从事公共部门实体审计的注册会计师通常具有法律法规赋予的广泛访问权限,但仍可能存在注册会计师无法行使访问权限的情况。在这种情况下,如当服务机构处于不同的国家或地区时,注册会计师可能需要了解不同国家或地区适用的法律法规,以确定是否可以获得适当的访问权限。注册会计师可以提请被审计单位在与服务机构签订的合同中约定注册会计师拥有访问权限。
11.注册会计师还可以利用其他注册会计师实施与遵守法律法规或其他监管要求相关的控制测试或实质性程序。
(六)了解与服务机构提供的服务相关的控制(参见本准则第十八条)
12.被审计单位可能建立与服务机构提供服务相关的控制。注册会计师可以测试这些控制并且可能得出被审计单位的控制对部分或全部有关的认定而言有效运行的结论,而无论服务机构的控制如何。例如,如果被审计单位使用服务机构处理工资交易,可能建立了与工资信息的提交和接收相关的控制,以防止或发现重大错报。这些控制可能包括:
(1)将提交给服务机构的数据与服务机构进行数据处理后提交的报告进行比对;
(2)选取样本并重新计算工资金额以检查数据计算的准确性,并复核工资总额的合理性。
13.在上述情况下,注册会计师可以对工资处理流程的控制进行测试,以支持控制对工资交易相关的认定而言有效运行的结论。
14.《中国注册会计师审计准则第1211号——重大错报风险的识别和评估》指出,对于某些风险,注册会计师可能认为仅从实质性程序中获取充分、适当的审计证据是不可能或不可行的。对于某些常规和重大类别的交易和账户余额,其特点是允许采用高度自动化处理,很少或根本没有人工干预。在这种情况下,如果记录不准确或不完整,可能产生仅通过实质性程序无法应对的风险。当被审计单位使用服务机构时,这种自动化处理的特点尤为明显。在这种情况下,被审计单位针对这些风险实施的控制与审计相关,本准则第十七条和第十八条要求注册会计师了解和评价上述控制。
(七)无法充分了解被审计单位时需要实施的进一步程序(参见本准则第二十条)
15.注册会计师实施本准则第二十条列示的一项或多项程序,有助于获取与识别和评估被审计单位使用服务机构可能导致的重大错报风险相关的必要信息。在确定拟实施的审计程序时,注册会计师需要考虑下列事项:
(1)被审计单位和服务机构的规模;
(2)被审计单位交易的复杂程度和服务机构提供服务的复杂程度;
(3)服务机构的地理位置(例如,如果服务机构位于很远的地方,注册会计师可能决定利用其他注册会计师代其对服务机构实施审计程序);
(4)预期该程序是否能够有效地为注册会计师提供充分、适当的审计证据;
(5)被审计单位与服务机构之间关系的性质。
16.服务机构可能聘请其注册会计师对服务机构控制的描述和设计出具报告(第一类报告),或对服务机构控制的描述、设计和运行有效性出具报告(第二类报告)。第一类报告或第二类报告需要按照我国相关其他鉴证业务准则或《国际鉴证业务准则第3402号——针对第三方服务机构的控制出具的鉴证报告》(从事境外业务时)出具。
17.第一类报告或第二类报告的可获得性通常取决于被审计单位与服务机构签订的合同是否约定由服务机构提供此类报告。服务机构也可能出于实务操作上的原因选择向被审计单位提供第一类报告或第二类报告。然而,在某些情况下,被审计单位可能无法获取第一类报告和第二类报告。
18.在某些情况下,被审计单位可能将一个或多个重要业务单元或职能(如全部纳税筹划和合规职能、财务和会计或会计主管职能)外包给一个或多个服务机构。由于在这些情况下可能无法获取服务机构的控制报告,注册会计师访问服务机构可能是其了解服务机构控制的最有效的途径,这是因为被审计单位的管理层与服务机构的管理层很可能存在直接的相互影响。
19.注册会计师可以利用其他注册会计师实施程序,以提供与服务机构向被审计单位提供服务相关的控制的必要信息。如果已出具第一类报告或第二类报告,由于服务机构注册会计师与服务机构已存在业务关系,注册会计师可以利用服务机构注册会计师实施这些程序。如果利用其他注册会计师的工作,对于了解其他注册会计师(包括其独立性和专业胜任能力)、参与其他注册会计师在计划审计工作的性质、时间安排和范围方面的工作,以及评价所获取的审计证据的充分性、适当性,注册会计师可以参考《中国注册会计师审计准则第1401号——对集团财务报表审计的特殊考虑》的相关规定。
20.被审计单位可能使用某一服务机构,而该服务机构又使用分包服务机构向被审计单位提供某些服务,这些服务构成被审计单位与财务报告相关的信息系统的一部分。分包服务机构可能是独立于服务机构的实体,也可能与服务机构相关联。注册会计师可能需要考虑分包服务机构的控制。在使用分包服务机构的情况下,被审计单位与服务机构之间活动的相互影响扩展至包括被审计单位、服务机构以及分包服务机构之间的相互影响。在确定服务机构以及分包服务机构的控制对被审计单位控制的重要程度时,这种相互影响的程度以及由该服务机构和分包服务机构处理的交易的性质和重要性,是注册会计师需要考虑的最重要因素。
(八)使用第一类报告或第二类报告,以支持注册会计师对服务机构的了解(参见本准则第二十一条和第二十二条)
21.注册会计师可以向服务机构注册会计师所属的行业协会或其他专业人士询问服务机构注册会计师的情况,并询问其是否受监管部门的严格监管。服务机构注册会计师可能在不同国家或地区执业,而这些国家或地区在服务机构控制报告方面遵守不同的准则。注册会计师可以从准则制定机构获取服务机构注册会计师所采用的有关准则的信息。
22.第一类报告或第二类报告连同有关被审计单位的信息,可能有助于注册会计师了解下列方面:
(1)服务机构中可能影响对被审计单位交易处理的控制,包括使用分包服务机构;
(2)服务机构对重大交易进行处理的流程(用以确定交易流程中可能导致财务报表发生重大错报的关键环节);
(3)服务机构中与财务报表认定相关的控制目标;
(4)服务机构的控制是否得到适当设计和执行,以防止、发现并纠正处理过程中发生的可能导致财务报表发生重大错报的错误。
第一类报告或第二类报告可能有助于注册会计师获得充分的了解,以识别和评估重大错报风险。然而第一类报告不提供控制的运行有效性的任何证据。
23.即使第一类报告或第二类报告针对的时点或期间在被审计单位财务报表涵盖期间之外,如果可以通过其他来源获取当前信息作为报告的补充,这些报告仍有助于注册会计师初步了解服务机构执行的控制。如果服务机构对控制的描述针对的时点或期间早于财务报表涵盖期间的起始日,注册会计师可以实施以下程序以更新第一类报告或第二类报告中的信息:
(1)与被审计单位中能够了解服务机构控制的变化的人员讨论这些变化;
(2)查阅服务机构签发的现行文件和函件;
(3)与服务机构人员讨论这些变化。
二、应对评估的重大错报风险(参见本准则第二十三条)
24.使用服务机构是否增加财务报表发生重大错报的风险,取决于提供服务的性质以及针对这些服务的控制。在某些情况下,使用服务机构可能降低财务报表的重大错报风险,特别是当被审计单位本身并不具备执行特定活动(如交易的生成、处理和记录)所必需的专长,或没有足够的资源(如信息技术系统)时。
25.当服务机构维护被审计单位会计记录的重要要素时,注册会计师直接接触这些记录可能是必要的,以便就这些记录的控制运行获取充分、适当的审计证据,以及证实会计记录中的交易和账户余额。注册会计师可以通过下列方式接触这些记录:
(1)对存放于服务机构的记录进行实地检查;
(2)在被审计单位或其他地点对以电子形式存在的会计记录进行查询。
针对保证被审计单位数据(由服务机构负责)的完整性和真实性的控制,注册会计师通过电子形式直接接触可能获取有关服务机构执行的这些控制的恰当性的证据。
26.针对服务机构代表被审计单位持有的资产的余额或处理的交易,在确定拟获取的相关审计证据的性质和范围时,注册会计师可能考虑实施下列程序:
(1)检查被审计单位持有的记录和文件:从该渠道获取的审计证据的可靠性,取决于被审计单位保存的会计记录和支持性文件的性质和范围。在某些情况下,对服务机构代表其执行的特定交易,被审计单位可能不保存独立、详细的记录或文件;
(2)检查服务机构持有的记录和文件:注册会计师接触服务机构记录的权限,可能已在被审计单位和服务机构签订的合同中予以约定。注册会计师也可以利用其他注册会计师代其接触服务机构所保存的被审计单位记录;
(3)向服务机构函证余额和交易:如果被审计单位保存独立的余额和交易的记录,向服务机构实施函证以印证被审计单位的记录可能构成有关交易和相关资产存在的可靠审计证据。例如,当使用多个服务机构(如投资管理人和托管人),并且这些服务机构保存独立的记录时,注册会计师可以针对余额向这些机构实施函证,以便将函证获得的信息与被审计单位的独立记录进行比较。如果被审计单位不保存独立的记录,通过函证从服务机构获取的信息仅能反映服务机构所保存的记录中的内容。因此,这种函证本身并不构成可靠的审计证据。在这种情况下,注册会计师可能需要考虑是否可以识别出其他替代性的独立证据;
(4)对被审计单位保存的记录或从服务机构获取的报告执行分析程序:分析程序的有效性可能因认定的不同而不同,并受可获取信息的范围和详细程度的影响。
27.其他注册会计师可能为注册会计师实施实质性程序。此类业务可能涉及其他注册会计师执行由被审计单位和其注册会计师商定的程序以及由服务机构和其注册会计师商定的程序。注册会计师需要查阅其他注册会计师的审计发现,以确定其是否构成充分、适当的审计证据。
此外,服务机构注册会计师可能需要根据政府部门的规定或合同的要求执行指定的实质性程序。注册会计师可以利用服务机构注册会计师对服务机构所处理的账户余额和交易实施程序的结果,作为支持其审计意见的必要证据的一部分。在这种情况下,注册会计师与服务机构注册会计师在执行这些程序前就后者向前者提供的审计工作底稿或接触审计工作底稿达成一致意见,可能是有用的。
28.在某些情况下,特别是当被审计单位将其部分或全部财务职能外包给一家服务机构时,可能有相当一部分审计证据存在于服务机构。实质性程序可能需要由注册会计师或由其他注册会计师代其在服务机构实施。服务机构注册会计师可能提供第二类报告,还可能代注册会计师实施实质性程序。其他注册会计师的参与,并不改变注册会计师的责任,即获取充分、适当的审计证据以作为形成审计意见的基础。因此,注册会计师在确定是否已获取充分、适当的审计证据以及是否需要执行实质性程序时,需要考虑的因素包括:
(1)注册会计师对由其他注册会计师实施的实质性程序进行指导、监督和执行的程度;
(2)注册会计师对其他注册会计师实施实质性程序进行指导、监督和执行的证据。
控制测试(参见本准则第二十四条)
29.在某些情况下,注册会计师需要根据《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的规定设计和实施控制测试,以获取控制运行有效性的充分、适当的审计证据。对被审计单位使用服务机构而言,当存在下列情形之一时,上述规定适用:
(1)在评估认定层次重大错报风险时,预期服务机构的控制运行是有效的(即在确定实质性程序的性质、时间安排和范围时,注册会计师拟信赖控制运行的有效性);
(2)仅实施实质性程序,或结合对被审计单位控制运行有效性的测试实施实质性程序,并不能够提供认定层次充分、适当的审计证据。
30.如果不能获得第二类报告,注册会计师可以通过被审计单位联系服务机构,提请服务机构聘请其注册会计师提供第二类报告。注册会计师还可以利用其他注册会计师对服务机构控制运行的有效性进行测试。如果服务机构同意,注册会计师也可以实地考察服务机构并对控制实施测试。注册会计师需要根据其他注册会计师的工作和自身实施的程序所获得的汇总证据,评估重大错报风险。
利用第二类报告作为服务机构控制运行有效性的审计证据(参见本准则第二十五条)
31.由于第二类报告可能旨在满足该服务机构不同客户的注册会计师的需求,因此报告中描述的控制测试和结果可能与被审计单位财务报表中的重大认定并不相关。注册会计师需要对报告中控制的测试和结果进行评价,以确定报告是否为控制运行的有效性提供充分、适当的审计证据,从而支持注册会计师的风险评估结果。在评价过程中,注册会计师可以考虑下列因素:
(1)控制测试涵盖的期间和实施控制测试以来的时间跨度;
(2)服务机构注册会计师的工作范围、涵盖的服务类型和流程,所测试的控制和已实施的控制测试,以及所测试的控制与被审计单位的控制相关联的方式;
(3)控制测试的结果和服务机构注册会计师对控制运行有效性的意见。
32.对于某些认定,某一特定测试涵盖的期间越短以及自实施测试以来时间跨度越长,该测试可以提供的审计证据越少。注册会计师在将第二类报告涵盖的期间与被审计单位财务报告期间进行比较时,如果第二类报告涵盖的期间与注册会计师拟信赖该报告的期间重合程度较小,则注册会计师可能认为该报告只能提供较少的审计证据。在这种情况下,涵盖之前或之后期间的第二类报告可能提供额外的审计证据。在其他情况下,注册会计师可能认为有必要对服务机构亲自实施或利用其他注册会计师实施控制测试,以获取有关控制运行有效性的充分、适当的审计证据。
33.注册会计师可能有必要获取服务机构的控制在第二类报告涵盖期间之外发生重大变动的额外的审计证据,或确定拟实施的追加的审计程序。在确定需要获取服务机构的控制在第二类报告涵盖期间之外运行情况的额外的审计证据时,注册会计师需要考虑的因素可能包括:
(1)评估的认定层次重大错报风险的重要程度;
(2)在期中测试的特定控制以及自测试以来这些控制发生的重大变动,包括信息系统、流程和人员的变动;
(3)获取的有关控制运行有效性审计证据的程度;
(4)剩余期间的长度;
(5)在信赖控制的基础上拟缩小实质性程序的范围;
(6)被审计单位的内部环境和对内部控制体系的监督工作的有效性。
34.注册会计师可以通过对控制在剩余期间运行的有效性进行延伸测试或测试被审计单位对内部控制体系的监督工作,获取补充审计证据。
35.如果服务机构注册会计师的测试期间完全在被审计单位财务报告期间之外,注册会计师将不能依赖这种测试得出被审计单位的控制正在有效运行的结论。
36.在某些情况下,服务机构提供的服务在设计时可能假定某些控制由被审计单位实施。例如,提供的服务在设计时可能假定被审计单位对交易授权后才提交服务机构处理。在这种情况下,服务机构对控制的描述可能包括对被审计单位互补性控制的描述。注册会计师需要考虑这些互补性控制是否与服务机构向被审计单位提供的服务相关。
37.如果注册会计师认为服务机构注册会计师的报告可能无法提供充分、适当的审计证据,例如,如果服务机构注册会计师的报告不包括对控制测试和测试结果的描述,注册会计师可以通过被审计单位联系服务机构,要求与服务机构注册会计师对所实施的测试范围和结论进行讨论,以增进其对服务机构注册会计师实施的程序和形成的结论的了解。此外,如果认为有必要,注册会计师可以通过被审计单位联系服务机构,提请服务机构注册会计师对服务机构实施程序。注册会计师或其他注册会计师应前者的要求也可能实施这些程序。
38.服务机构注册会计师在第二类报告中会说明测试的结果,包括可能影响注册会计师结论的例外情况和其他信息。然而,这些例外情况或第二类报告中的非无保留意见,并不必然意味着第二类报告对评估被审计单位财务报表重大错报风险没有任何用处。更确切地说,注册会计师在评估服务机构注册会计师实施的控制测试时会考虑这些例外情况和第二类报告中导致发表非无保留意见的事项。在考虑这些例外情况和导致发表非无保留意见的事项时,注册会计师可能与服务机构注册会计师讨论这些事项。这种沟通取决于被审计单位与服务机构进行协调并取得服务机构的同意。
通报审计过程中识别出的内部控制缺陷
39.根据《中国注册会计师审计准则第1152号——向治理层和管理层通报内部控制缺陷》的规定,注册会计师应当以书面形式及时向管理层和治理层通报审计过程中识别出的值得关注的内部控制缺陷。注册会计师还应当及时向相应层级的管理层通报在审计过程中识别出的,注册会计师根据职业判断认为足够重要从而值得管理层关注的内部控制其他缺陷。注册会计师在审计过程中识别出的且可能需要向被审计单位的管理层和治理层通报的事项包括:
(1)可以由被审计单位实施的对其内部控制体系的监督工作中的控制,包括通过获取第一类报告或第二类报告识别出的监督工作中的控制;
(2)第一类报告或第二类报告中提及的、但被审计单位尚未实施的互补性控制的情况;
(3)服务机构可能需要实施但看起来尚未实施或第二类报告中尚未明确涵盖的控制。
三、不涵盖分包服务机构提供的服务的第一类报告和第二类报告(参见本准则第二十六条)
40.如果服务机构使用分包服务机构,服务机构审计报告在描述服务机构系统和服务机构注册会计师的业务范围时,可能涵盖分包服务机构的相关控制目标及相关控制,也可能不涵盖。这两种报告方法分别称为包含法和剥离法。如果第一类报告或第二类报告不包括分包服务机构的控制,而分包服务机构提供的服务与被审计单位的财务报表审计相关,注册会计师需要对分包服务机构执行本准则的规定。注册会计师对分包服务机构提供的服务拟执行的审计工作的性质和范围,取决于对被审计单位提供的这些服务的性质和重要性以及这些服务与审计的相关性。执行本准则第十七条的规定,有助于注册会计师确定分包服务机构的影响以及拟执行审计工作的性质和范围。
四、与服务机构活动相关的舞弊、违反法律法规行为和未更正错报(参见本准则第二十七条)
41.根据服务机构与其客户签订的合同的规定,服务机构可能需要向受影响的客户披露涉及服务机构管理层或员工的舞弊、违反法律法规行为或未更正错报。根据本准则第二十七条的规定,注册会计师需要向被审计单位管理层询问服务机构是否已向被审计单位报告这些事项,并评价服务机构报告的事项是否影响注册会计师进一步审计程序的性质、时间安排和范围。在某些情况下,注册会计师可能需要获取额外信息进行该项评价,并可能提请被审计单位联系服务机构以获取必要信息。
五、审计报告(参见本准则第二十八条)
42.针对服务机构提供的、与被审计单位财务报表审计相关的服务,如果注册会计师无法获取充分、适当的审计证据,则审计范围受到限制。当存在下列情况时,审计范围可能受到限制:
(1)注册会计师不能充分了解服务机构提供的服务,因而缺乏识别和评估重大错报风险的基础;
(2)注册会计师在评估重大错报风险时预期服务机构的控制正在有效运行,但无法获取这些控制运行有效性的充分、适当的审计证据;
(3)注册会计师只有从服务机构持有的记录中才能获取充分、适当的审计证据,但注册会计师不能直接接触这些记录。
注册会计师发表保留意见还是无法表示意见,取决于这些限制对财务报表可能产生的影响是否重大或广泛。
提及服务机构注册会计师的相关工作(参见本准则第二十九条和第三十条)
43.在某些情况下,出于提高公共部门透明度等目的,法律法规可能要求审计报告提及服务机构注册会计师的相关工作。在这些情况下,注册会计师在提及服务机构注册会计师的相关工作之前可能需要征得其同意。
44.被审计单位使用服务机构这一事实,并不改变注册会计师按照审计准则的要求承担的责任,即获取充分、适当的审计证据以作为形成审计意见的基础。因此,注册会计师不应提及服务机构注册会计师的相关工作,作为其对财务报表发表审计意见的部分基础。但是,如果服务机构注册会计师发表了非无保留意见,注册会计师因此发表了非无保留意见,则不排除在审计报告中提及服务机构注册会计师的报告,前提是该项提及有助于解释注册会计师发表非无保留意见的原因。在这种情况下,注册会计师需要事先征得服务机构注册会计师的同意。