(2)風險評估程序;
(3)了解被審計單位及其環境的總體要求和具體應當了解的內容;
(4)如何識別和評估重大錯報風險;
(5)風險評估中應當記錄的事項。
&&本章難點&
(1)從整體層面和業務流程層面了解被審計單位內部控制;
(2)如何識別和評估重大錯報風險。
&本章重點內容總結&
壹、對風險評估的總體要求
(壹)總體要求
《中國註冊會計師審計準則第1211號——了解被審計單位及其環境並評估重大錯報風險》作為專門規範風險評估的準則,規定CPA應當了解被審計單位及其環境,以充分識別和評估財務報表重大錯報風險,設計和實施進壹步審計程序。
(二)了解被審計單位及其環境的意義
1.了解被審計單位及其環境是必要程序,特別是為CPA在下列關鍵環節作出職業判斷提供了重要基礎:(1)確定重要性水平,並隨著審計工作的進程評估對重要性水平的判斷是否仍然適當;(2)考慮會計政策的選擇和運用是否恰當,以及財務報表的列報是否適當;(3)識別需要特別考慮的領域,包括關聯方交易、管理層運用持續經營假設的合理性,或交易是否具有合理的商業目的等;(4)確定在實施分析程序時所使用的預期值;(5)設計和實施進壹步審計程序,以將審計風險降至可接受的低水平;(6)評價所獲取審計證據的充分性和適當性。
二、風險評估程序和信息來源
(壹)風險評估程序
風險評估程序包括:(1)詢問被審計單位管理層和內部其他相關人員;(2)分析程序;(3)觀察和檢查。
三、了解被審計單位及其環境
(壹)、總體要求
CPA應當從以下幾方面了解被審計單位及其環境:(1)行業狀況、法律環境與監管環境以及其他外部因素;(2)被審計單位的性質;(3)被審計單位對會計政策的選擇和運用;(4)被審計單位的目標、戰略以及相關經營風險;(5)被審計單位財務業績的衡量和評價;(6)被審計單位的內部控制。
(二)、行業狀況、法律環境與監管環境以及其他外部因素
(三)、被審計單位的性質
了解被審計單位的性質有助於CPA理解預期在財務報表中反映的各類交易、賬戶余額和列報。
(四)、被審計單位對會計政策的選擇和運用
(五)、被審計單位的目標、戰略以及相關經營風險
(六)、被審計單位財務業績的衡量和評價
四、了解被審計單位的內部控制
(壹)、內部控制的含義和要素
內部控制是被審計單位為了合理保證財務報告的可靠性、經營的效率和效果以及對法律法規的遵守,由
治理層、管理層和其他人員設計和執行的政策和程序。
1.內部控制的目標是合理保證。
2.設計和實施內部控制的責任主體是治理層、管理層和其他人員,組織中的每壹個人都對內部控制負有責任。
3.實現內部控制目標的手段是設計和執行控制政策和程序。
4.內部控制的五要素是:(1)控制環境;(2)風險評估過程;(3)信息系統與溝通;(4)控制活動;
(5)對控制的監督。
(二)、與審計相關的控制
內部控制的目標旨在合理保證財務報告的可靠性、經營的效率和效果以及對法律法規的遵守。CPA審計的目標是對財務報表是否存在重大錯報發表審計意見,CPA考慮與財務報表編制相關的內部控制,但目的並非對被審計單位內部控制的有效性發表意見。CPA需要了解和評價的內部控制只是與財務報表審計相關的內部控制,並非被審計單位所有的內部控制。
(三)、內部控制的局限性
內部控制存在固有局限性,無論如何設計和執行,只能對財務報告的可靠性提供合理的保證。
五、控制環境
(壹)控制環境的含義
控制環境包括治理職能和管理職能,以及治理層和管理層對內部控制及其重要性的態度、認識和所采取的措施。
在評價控制環境的設計和實施情況時,註冊會計師應當了解管理層在治理層的監督下,是否營造並保持了誠實守信和合乎道德的文化,以及是否建立了防止或發現並糾正舞弊和錯誤的恰當控制。
六、被審計單位的風險評估過程
風險評估過程包括識別與財務報告相關的經營風險,以及針對這些風險所采取的措施。CPA在對被審計單位整體層面的風險評估過程進行了解和評估時,考慮的主要因素可能包括:(1)被審計單位是否已建立並溝通其整體目標,並輔以具體策略和業務流程層面的計劃;(2)被審計單位是否已建立風險評估過程,包括識別風險,估計風險的重大性,評估風險發生的可能性以及確定需要采取的應對措施;(3)被審計單位是否已建立某種機制,識別和應對可能對被審計單位產生重大且普遍影響的變化,如在金融機構中建立資產負債管理委員會,在制造型企業中建立期貨交易風險管理組等;(4)會計部門是否建立了某種流程,以
識別會計準則的重大變化;(5)當被審計單位業務操作發生變化並影響交易記錄的流程時,是否存在溝通渠道以通知會計部門;(6)風險管理部門是否建立了某種流程,以識別經營環境包括監管環境發生的重大變化。
八、控制活動
控制活動是指有助於確保管理層的指令得以執行的政策和程序,包括與授權、業績評價、信息處理、實物控制和職責分離等相關的活動。
對控制活動的了解
在了解控制活動時,註冊會計師應當重點考慮壹項控制活動單獨或連同其他控制活動,是否能夠以及如何防止或發現並糾正各類交易、賬戶余額、列報存在的重大錯報。註冊會計師的工作重點是識別和了解針對重大錯報可能發生的領域的控制活動。如果多項控制活動能夠實現同壹目標,註冊會計師不必了解與該目標相關的每項控制活動。
九、對控制的監督
對控制的監督是指被審計單位評價內部控制在壹段時間內運行有效性的過程,該過程包括及時評價控制的設計和運行,以及根據情況的變化采取必要的糾正措施。
十、在整體層面上對內部控制了解和評估的總結
在整體層面上對被審計單位內部控制的了解和評估,通常由項目組中對被審計單位情況比較了解且較有經驗的成員負責,同時需要項目組其他成員的參與和配合。對於連續審計,CPA可以重點關註整體層面的內部控制的變化情況,包括由於被審計單位及其環境的變化而導致內部控制發生的變化以及采取的對策。
CPA還需要特別考慮因舞弊而導致重大錯報的可能性及其影響。 .
CPA可以考慮將詢問被審計單位人員、觀察特定控制的應用、檢查文件和報告以及執行穿行測試等風險評估程序相結合,以獲取審計證據。在了解上述內部控制的構成要素時,CPA需要特別註意這些要素在實際中是否得到執行。例如,通過詢問管理層和員工,了解管理層對內部控制的態度和道德價值觀念,以及如何就此與員工進行溝通;通過檢查文件、內部程序手冊、流程圖等,了解管理層是否建立了正式的行為守則;通過詢問和觀察,了解行為守則在Et常工作中是否得到遵守,以及管理層如何處理違反行為守則的情形;通過詢問被審計單位管理層,了解其風險評估過程,並復核記錄風險評估過程的文件;通過檢查和復核
內部審計部門的工作程序以及報告等,確定管理層和員工是否執行既定的政策和程序。
十壹、在業務流程層面了解內部控制
(壹)確定重要業務流程和重要交易類別
(二)了解重要交易流程,並記錄獲得的了解
(三)確定可能發生錯報的環節
(四)識別和了解相關控制
通過對被審計單位的了解,包括在被審計單位整體層面對內部控制各要素的了解,以及在上述程序中對重要業務流程的了解,CPA可以確定是否有必要進壹步了解在業務流程層面的控制。在某些情況下,CPA之前的了解可能表明被審計單位在業務流程層面針對某些重要交易流程所設計的控制是無效的,或者CPA並不打算依賴控制,這時CPA沒有必要進壹步了解在業務流程層面的控制。特別需要註意的是,如果認為僅通過實質性程序無法將認定層次的檢查風險降至可接受的水平,或者針對特別風險,CPA應當了解和評估相關的控制活動。
如果CPA計劃對業務流程層面的有關控制進行進壹步的了解和評價,那麽針對業務流程中容易發生錯報的環節,CPA應當確定:(1)被審計單位是否建立了有效的控制,防止或發現並糾正這些錯報;(2)被審計單位是否遺漏了必要的控制;(3)是否識別了可以最有效測試的控制。
(五)執行穿行測試,證實對交易流程和相關控制的了解
(六)初步評價和風險評估
(七)對財務報告流程的了解和評估
十三、評估重大錯報風險
壹、識別和評估財務報表層次和認定層次的重大錯報風險
CPA應當識別和評估財務報表層次以及各類交易、賬戶余額、列報認定層次的重大錯報風險。
在識別和評估重大錯報風險時,註冊會計師應當實施下列審計程序。
1.在了解被審計單位及其環境的整個過程中識別風險,並考慮各類交易、賬戶余額、列報。註冊會計師應當運用各項風險評估程序,在了解被審計單位及其環境的整個過程中識別風險,並將識別的風險與各類交易、賬戶余額和列報相聯系。
2.將識別的風險與認定層次可能發生錯報的領域相聯系。
3.考慮識別的風險是否重大。風險是否重大是指風險造成後果的嚴重程度。
4.考慮識別的風險導致財務報表發生重大錯報的可能性。
註冊會計師應當利用實施風險評估程序獲取的信息,包括在評價控制設計和確定其是否得到執行時獲取的審計證據,作為支持風險評估結果的審計證據。註冊會計師應當根據風險評估結果,確定實施進壹步審計程序的性質、時間和範圍。
(二)可能表明被審計單位存在重大錯報風險的事項和情況
註冊會計師應當充分關註可能表明被審計單位存在重大錯報風險的事項和情況,並考慮由於上述事項和情況導致的風險是否重大,以及該風險導致財務報表發生重大錯報的可能性。
(三)識別兩個層次的重大錯報風險
在對重大錯報風險進行識別和評估後,註冊會計師應當確定,識別的重大錯報風險是與特定的某類交易、賬戶余額、列報的認定相關,還是與財務報表整體廣泛相關,進而影響多項認定。
某些重大錯報風險可能與特定的某類交易、賬戶余額、列報的認定相關。
某些重大錯報風險可能與財務報表整體廣泛相關,進而影響多項認定。
(四)控制環境對評估財務報表層次重大錯報風險的影響
財務報表層次的重大錯報風險很可能源於薄弱的控制環境。薄弱的控制環境帶來的風險可能對財務報表產生廣泛影響,難以限於某類交易、賬戶余額、列報,註冊會計師應當采取總體應對措施。
(五)控制對評估認定層次重大錯報風險的影響
在評估重大錯報風險時,註冊會計師應當將所了解的控制與特定認定相聯系。
控制可能與某壹認定直接相關,也可能與某壹認定間接相關。關系越間接,控制在防止或發現並糾正認定中錯報的作用越小。
註冊會計師應當考慮對識別的各類交易、賬戶余額和列報認定層次的重大錯報風險予以匯總和評估,以確定進壹步審計程序的性質、時間和範圍。
(六)考慮財務報表的可審計性
註冊會計師在了解被審計單位內部控制後,可能對被審計單位財務報表的可審計性產生懷疑。如果通過對內部控制的了解發現下列情況,並對財務報表局部或整體的可審計性產生疑問,註冊會計師應當考慮出具保留意見或無法表示意見的審計報告:(1)被審計單位會計記錄的狀況和可靠性存在重大問題,不能獲取充分、適當的審計證據以發表無保留意見;(2)對管理層的誠信存在嚴重疑慮。必要時,註冊會計師應當考慮解除業務約定。
二、需要特別考慮的重大錯報風險
(壹)特別風險的含義
作為風險評估的壹部分,註冊會計師應當運用職業判斷,確定識別的風險哪些是需要特別考慮的重大錯報風險(以下簡稱特別風險)。
(二)確定特別風險時應考慮的事項
(三)非常規交易和判斷事項導致的特別風險
日常的、不復雜的、經正規處理的交易不太可能產生特別風險。特別風險通常與重大的非常規交易和判斷事項有關。
非常規交易是指由於金額或性質異常而不經常發生的交易。判斷事項通常包括做出的會計估計。
(四)考慮與特別風險相關的控制
了解與特別風險相關的控制,有助於註冊會計師制定有效的審計方案予以應對。對特別風險,註冊會計師應當評價相關控制的設計情況,並確定其是否已經得到執行。由於與重大非常規交易或判斷事項相關的風險很少受到日常控制的約束,註冊會計師應當了解被審計單位是否針對該特別風險設計和實施了控制。
如果管理層未能實施控制以恰當應對特別風險,註冊會計師應當認為內部控制存在重大缺陷,並考慮其對風險評估的影響。在此情況下,註冊會計師應當就此類事項與治理層溝通。
三、僅通過實質性程序無法應對的重大錯報風險
作為風險評估的壹部分,如果認為僅通過實質性程序獲取的審計證據無法將認定層次的重大錯報風險降至可接受的低水平,註冊會計師應當評價被審計單位針對這些風險設計的控制,並確定其執行情況。
在被審計單位對日常交易采用高度自動化處理的情況下,審計證據可能僅以電子形式存在,其充分性和適當性通常取決於自動化信息系統相關控制的有效性,註冊會計師應當考慮僅通過實施實質性程序不能獲取充分、適當審計證據的可能性。
十四、與治理層和管理層的溝通
(壹)、就內部控制重大缺陷與治理層和管理層溝通
註冊會計師在了解和測試內部控制的過程中可能會註意到內部控制存在的重大缺陷。註冊會計師將其告知適當層次的管理層或治理層,將有助於管理層和治理層履行其在內部控制方面的職責。因此,註冊會計師應當及時將註意到的內部控制設計或執行方面的重大缺陷,告知適當層次的管理層或治理層。
下列情況通常表明內部控制存在重大缺陷:
1.註冊會計師在審計工作中發現了重大錯報,而被審計單位的內部控制沒有發現這些重大錯報;
2.控制環境薄弱;
3.存在高層管理人員舞弊跡象(無論涉及金額大小)。
二、就重大錯報風險的控制與治理層溝通
如果識別出被審計單位未加控制或控制不當的重大錯報風險,或認為被審計單位的風險評估過程存在重大缺陷,註冊會計師應當就此類內部控制缺陷與治理層溝通。