导航栏
第四节 内部控制的人工和自动化成分
第五十七条 内部控制可能既包括人工成分又包括自动化成分,在风险评估以及设计和实施进一步审计程序时,注册会计师应当考虑内部控制的人工和自动化特征及其影响。
第五十八条 信息技术通常在下列方面提高被审计单位内部控制的效率和效果:
(一)在处理大量的交易或数据时,一贯运用事先确定的业务规则,并进行复杂运算;
(二)提高信息的及时性、可获得性及准确性;
(三)有助于对信息的深入分析;
(四)加强对被审计单位政策和程序执行情况的监督;
(五)降低控制被规避的风险;
(六)通过对操作系统、应用程序系统和数据库系统实施安全控制,提高不相容职务分离的有效性。
第五十九条 注册会计师应当从下列方面了解信息技术对内部控制产生的特定风险:
(一)系统或程序未能正确处理数据,或处理了不正确的数据,或两种情况同时并存;
(二)在未得到授权情况下访问数据,可能导致数据的毁损或对数据不恰当的修改,包括记录未经授权或不存在的交易,或不正确地记录了交易;
(三)信息技术人员可能获得超越其履行职责以外的数据访问权限,破坏了系统应有的职责分工;
(四)未经授权改变主文档的数据;
(五)未经授权改变系统或程序;
(六)未能对系统或程序作出必要的修改;
(七)不恰当的人为干预;
(八)数据丢失的风险或不能访问所需要的数据。
第六十条 内部控制的人工成分在处理下列需要主观判断或酌情处理的情形时可能更为适当:
(一)存在大额、异常或偶发的交易;
(二)存在难以定义、防范或预见的错误;
(三)为应对情况的变化,需要对现有的自动化控制进行调整;
(四)监督自动化控制的有效性。
第六十一条 注册会计师应当从下列方面了解人工控制产生的特定风险:
(一)人工控制可能更容易被规避、忽视或凌驾;
(二)人工控制可能不具有一贯性;
(三)人工控制可能更容易产生简单错误或失误。
第六十二条 注册会计师应当考虑人工控制在下列情形中可能是不适当的:
(一)存在大量或重复发生的交易;
(二)事先可预见的错误能够通过自动化控制得以防范或发现;
(三)控制活动可得到适当设计和自动化处理。
第六十三条 在了解内部控制时,注册会计师应当考虑被审计单位是否通过建立有效的控制,以恰当应对由于使用信息技术系统或人工系统而产生的风险。
第五节 内部控制的局限性
第六十四条 内部控制存在下列固有局限性,无论如何设计和执行,只能对财务报告的可靠性提供合理的保证:
(一)在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效;
(二)可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。
第六十五条 小型被审计单位拥有的员工通常较少,限制了其职责分离的程度,业主凌驾于内部控制之上的可能性较大,注册会计师应当考虑一些关键领域是否存在有效的内部控制。
第六节 控 制 环 境
第六十六条 注册会计师应当了解控制环境。
控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。
第六十七条 在评价控制环境的设计和实施情况时,注册会计师应当了解管理层在治理层的监督下,是否营造并保持了诚实守信和合乎道德的文化,以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。
第六十八条 在评价控制环境的设计时,注册会计师应当考虑构成控制环境的下列要素,以及这些要素如何被纳入被审计单位业务流程:
(一)对诚信和道德价值观念的沟通与落实;
(二)对胜任能力的重视;
(三)治理层的参与程度;
(四)管理层的理念和经营风格;
(五)组织结构;
(六)职权与责任的分配;
(七)人力资源政策与实务。
第六十九条 在确定构成控制环境的要素是否得到执行时,注册会计师应当考虑将询问与其他风险评估程序相结合以获取审计证据。
通过询问管理层和员工,注册会计师可能了解管理层如何就业务规程和道德价值观念与员工进行沟通。
通过观察和检查,注册会计师可能了解管理层是否建立了正式的行为守则,在日常工作中行为守则是否得到遵守,以及管理层如何处理违反行为守则的情形。
第七十条 控制环境对重大错报风险的评估具有广泛影响,注册会计师应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的基础,并且未被控制环境中存在的缺陷所削弱。
第七十一条 控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报,注册会计师在评估重大错报风险时应当将控制环境连同其他内部控制要素产生的影响一并考虑。
第七十二条 在小型被审计单位,可能无法获取以文件形式存在的有关控制环境要素的审计证据,注册会计师应当重点了解管理层对内部控制设计的态度、认识和措施。
第七节 被审计单位的风险评估过程
第七十三条 注册会计师应当了解被审计单位的风险评估过程和结果。
风险评估过程包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施。
第七十四条 在评价被审计单位风险评估过程的设计和执行时,注册会计师应当确定管理层如何识别与财务报告相关的经营风险,如何估计该风险的重要性,如何评估风险发生的可能性,以及如何采取措施管理这些风险。
第七十五条 注册会计师应当询问管理层识别出的经营风险,并考虑这些风险是否可能导致重大错报。
在审计过程中,如果识别出管理层未能识别的重大错报风险,注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险,以及评估过程是否适合于具体环境。
第七十六条 在小型被审计单位,管理层可能没有正式的风险评估过程,注册会计师应当与管理层讨论其如何识别经营风险以及如何应对这些风险。
第八节 信息系统与沟通
第七十七条 与财务报告相关的信息系统,包括用以生成、记录、处理和报告交易、事项和情况,对相关资产、负债和所有者权益履行经营管理责任的程序和记录。
与财务报告相关的信息系统应当与业务流程相适应。
第七十八条 与财务报告相关的信息系统所生成信息的质量,对管理层能否作出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。
与财务报告相关的信息系统通常包括下列职能:
(一)识别与记录所有的有效交易;
(二)及时、详细地描述交易,以便在财务报告中对交易作出恰当分类;
(三)恰当计量交易,以便在财务报告中对交易的金额作出准确记录;
(四)恰当确定交易生成的会计期间;
(五)在财务报表中恰当列报交易。
第七十九条 注册会计师应当从下列方面了解与财务报告相关的信息系统:
(一)在被审计单位经营过程中,对财务报表具有重大影响的各类交易;
(二)在信息技术和人工系统中,对交易生成、记录、处理和报告的程序;
(三)与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目;
(四)信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况;
(五)被审计单位编制财务报告的过程,包括作出的重大会计估计和披露。
第八十条 在了解与财务报告相关的信息系统时,注册会计师应当特别关注由于管理层凌驾于账户记录控制之上,或规避控制行为而产生的重大错报风险,并考虑被审计单位如何纠正不正确的交易处理。
第八十一条 与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责,员工之间的工作联系,以及向适当级别的管理层报告例外事项的方式。
注册会计师应当了解被审计单位内部如何对财务报告的岗位职责,以及与财务报告相关的重大事项进行沟通。
注册会计师还应当了解管理层与治理层之间的沟通,以及被审计单位与外部的沟通。
第八十二条 在小型被审计单位,与财务报告相关的信息系统和沟通可能不如大型被审计单位正式和复杂,注册会计师应当考虑这种特征对评估重大错报风险的影响。
第九节 控 制 活 动
第八十三条 注册会计师应当了解控制活动,以足够评估认定层次的重大错报风险和针对评估的风险设计进一步审计程序。
控制活动是指有助于确保管理层的指令得以执行的政策和程序,包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。
第八十四条 注册会计师应当了解与授权有关的控制活动,包括一般授权和特别授权。
一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。
特别授权是指管理层针对特定类别的交易或活动逐一设置的授权。
第八十五条 注册会计师应当了解与业绩评价有关的控制活动,主要包括被审计单位分析评价实际业绩与预算(或预测、前期业绩)的差异,综合分析财务数据与经营数据的内在关系,将内部数据与外部信息来源相比较,评价职能部门、分支机构或项目活动的业绩,以及对发现的异常差异或关系采取必要的调查与纠正措施。
第八十六条 注册会计师应当了解与信息处理有关的控制活动,包括信息技术一般控制和应用控制。
信息技术一般控制是指与多个应用系统有关的政策和程序,有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性),支持应用控制作用的有效发挥,通常包括数据中心和网络运行控制,系统软件的购置、修改及维护控制,接触或访问权限控制,应用系统的购置、开发及维护控制。
信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序,与用于生成、记录、处理、报告交易或其他财务数据的程序相关,通常包括检查数据计算准确性,审核账户和试算平衡表,设置对输入数据和数字序号的自动检查,以及对例外报告进行人工干预。
第八十七条 注册会计师应当了解实物控制,主要包括了解对资产和记录采取适当的安全保护措施,对访问计算机程序和数据文件设置授权,以及定期盘点并将盘点记录与会计记录相核对。
实物控制的效果影响资产的安全,从而对财务报表的可靠性及审计产生影响。
第八十八条 注册会计师应当了解职责分离,主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工,以防范同一员工在履行多项职责时可能发生的舞弊或错误。
第八十九条 在了解控制活动时,注册会计师应当重点考虑一项控制活动单独或连同其他控制活动,是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。
如果多项控制活动能够实现同一目标,注册会计师不必了解与该目标相关的每项控制活动。
第九十条 在了解其他内部控制要素时,如果获取了控制活动是否存在的信息,注册会计师应当确定是否有必要进一步了解这些控制活动。
第九十一条 小型被审计单位通常难以实施适当的职责分离,注册会计师应当考虑小型被审计单位采取的控制活动能否有效实现控制目标。
第十节 对控制的监督
第九十二条 注册会计师应当了解被审计单位对与财务报告相关的内部控制的监督活动,并了解如何采取纠正措施。
对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程,该过程包括及时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施。
第九十三条 注册会计师应当了解被审计单位对控制的持续监督活动和专门的评价活动。
持续的监督活动通常贯穿于被审计单位的日常经营活动与常规管理工作中。
被审计单位可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价。
被审计单位也可能利用与外部有关各方沟通或交流所获取的信息监督相关的控制活动。
第九十四条 注册会计师应当了解与被审计单位监督活动相关的信息来源,以及管理层认为信息具有可靠性的依据。
如果拟利用被审计单位监督活动使用的信息(包括内部审计报告),注册会计师应当考虑该信息是否具有可靠的基础,是否足以实现审计目标。
第九十五条 小型被审计单位通常没有正式的持续监督活动,且持续的监督活动与日常管理工作难以明确区分,注册会计师应当考虑业主对经营活动的密切参与能否有效实现其对控制的监督目标。
第五章 评估重大错报风险
第一节 识别和评估财务报表层次和认定层次的
重大错报风险
第九十六条 注册会计师应当识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险。
在识别和评估重大错报风险时,注册会计师应当实施下列审计程序:
(一)在了解被审计单位及其环境的整个过程中识别风险,并考虑各类交易、账户余额、列报;
(二)将识别的风险与认定层次可能发生错报的领域相联系;
(三)考虑识别的风险是否重大;
(四)考虑识别的风险导致财务报表发生重大错报的可能性。
第九十七条 注册会计师应当利用实施风险评估程序获取的信息,包括在评价控制设计和确定其是否得到执行时获取的审计证据,作为支持风险评估结果的审计证据。
注册会计师应当根据风险评估结果,确定实施进一步审计程序的性质、时间和范围。
第九十八条 注册会计师应当关注下列事项和情况可能表明被审计单位存在重大错报风险:
(一)在经济不稳定的国家或地区开展业务;
(二)在高度波动的市场开展业务;
(三)在严厉、复杂的监管环境中开展业务;
(四)持续经营和资产流动性出现问题,包括重要客户流失;
(五)融资能力受到限制;
(六)行业环境发生变化;
(七)供应链发生变化;
(八)开发新产品或提供新服务,或进入新的业务领域;
(九)开辟新的经营场所;
(十)发生重大收购、重组或其他非经常性事项;
(十一)拟出售分支机构或业务分部;
(十二)复杂的联营或合资;
(十三)运用表外融资、特殊目的实体以及其他复杂的融资协议;
(十四)重大的关联方交易;
(十五)缺乏具备胜任能力的会计人员;
(十六)关键人员变动;
(十七)内部控制薄弱;
(十八)信息技术战略与经营战略不协调;
(十九)信息技术环境发生变化;
(二十)安装新的与财务报告有关的重大信息技术系统;
(二十一)经营活动或财务报告受到监管机构的调查;
(二十二)以往存在重大错报或本期期末出现重大会计调整;
(二十三)发生重大的非常规交易;
(二十四)按照管理层特定意图记录的交易;
(二十五)应用新颁布的会计准则或相关会计制度;
(二十六)会计计量过程复杂;
(二十七)事项或交易在计量时存在重大不确定性;
(二十八)存在未决诉讼和或有负债。
第九十九条 注册会计师应当确定,识别的重大错报风险是与特定的某类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定。
第一百条 财务报表层次的重大错报风险很可能源于薄弱的控制环境。
薄弱的控制环境带来的风险可能对财务报表产生广泛影响,难以限于某类交易、账户余额、列报,注册会计师应当采取总体应对措施。
第一百零一条 在评估重大错报风险时,注册会计师应当将所了解的控制与特定认定相联系。
控制与认定直接或间接相关;关系越间接,控制对防止或发现并纠正认定错报的效果越小。
注册会计师可能识别出有助于防止或发现并纠正特定认定发生重大错报的控制。在确定这些控制是否能够实现上述目标时,注册会计师应当将控制活动和其他要素综合考虑。
第一百零二条 如果通过对内部控制的了解发现下列情况,并对财务报表局部或整体的可审计性产生疑问,注册会计师应当考虑出具保留意见或无法表示意见的审计报告:
(一)被审计单位会计记录的状况和可靠性存在重大问题,不能获取充分、适当的审计证据以发表无保留意见;
(二)对管理层的诚信存在严重疑虑。
必要时,注册会计师应当考虑解除业务约定。
第二节 需要特别考虑的重大错报风险
第一百零三条 作为风险评估的一部分,注册会计师应当运用职业判断,确定识别的风险哪些是需要特别考虑的重大错报风险(以下简称特别风险)。
第一百零四条 在确定哪些风险是特别风险时,注册会计师应当在考虑识别出的控制对相关风险的抵消效果前,根据风险的性质、潜在错报的重要程度和发生的可能性,判断风险是否属于特别风险。
第一百零五条 在确定风险的性质时,注册会计师应当考虑下列事项:
(一)风险是否属于舞弊风险;
(二)风险是否与近期经济环境、会计处理方法和其他方面的重大变化有关;
(三)交易的复杂程度;
(四)风险是否涉及重大的关联方交易;
(五)财务信息计量的主观程度,特别是对不确定事项的计量存在较大区间;
(六)风险是否涉及异常或超出正常经营过程的重大交易。
第一百零六条 特别风险通常与重大的非常规交易和判断事项有关。
非常规交易是指由于金额或性质异常而不经常发生的交易。
判断事项通常包括作出的会计估计。
第一百零七条 由于非常规交易具有下列特征,与重大非常规交易相关的特别风险可能导致更高的重大错报风险:
(一)管理层更多地介入会计处理;
(二)数据收集和处理涉及更多的人工成分;
(三)复杂的计算或会计处理方法;
(四)非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制。
第一百零八条 由于下列原因,与重大判断事项相关的特别风险可能导致更高的重大错报风险:
(一)对涉及会计估计、收入确认等方面的会计原则存在不同的理解;
(二)所要求的判断可能是主观和复杂的,或需要对未来事项作出假设。
第一百零九条 对特别风险,注册会计师应当评价相关控制的设计情况,并确定其是否已经得到执行。
与重大非常规交易或判断事项相关的风险很少受到日常控制的约束,注册会计师应当了解被审计单位是否针对该特别风险设计和实施了控制。
第一百一十条 如果管理层未能实施控制以恰当应对特别风险,注册会计师应当认为内部控制存在重大缺陷,并考虑其对风险评估的影响。
第三节 仅通过实质性程序无法应对的重大错报风险
第一百一十一条 作为风险评估的一部分,如果认为仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册会计师应当评价被审计单位针对这些风险设计的控制,并确定其执行情况。
第一百一十二条 在被审计单位对日常交易采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的有效性,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。
如果认为仅通过实施实质性程序不能获取充分、适当的审计证据,注册会计师应当考虑依赖的相关控制的有效性。
第四节 对风险评估的修正
第一百一十三条 注册会计师对认定层次重大错报风险的评估应以获取的审计证据为基础,并可能随着不断获取审计证据而作出相应的变化。
如果通过实施进一步审计程序获取的审计证据与初始评估获取的审计证据相矛盾,注册会计师应当修正风险评估结果,并相应修改原计划实施的进一步审计程序。
第六章 与治理层和管理层的沟通
第一百一十四条 注册会计师应当及时将注意到的内部控制设计或执行方面的重大缺陷告知适当层次的管理层或治理层。
第一百一十五条 如果识别出被审计单位未加控制或控制不当的重大错报风险,或认为被审计单位的风险评估过程存在重大缺陷,注册会计师应当就此类内部控制缺陷与治理层沟通。
第七章 审计工作记录
第一百一十六条 注册会计师应当就下列内容形成审计工作记录:
(一)项目组对由于舞弊或错误导致财务报表发生重大错报的可能性进行的讨论,以及得出的重要结论;
(二)根据本准则第十九条的规定,对被审计单位及其环境各个方面的了解要点(包括对本准则第四十七条所述的内部控制各项要素的了解要点)、信息来源以及实施的风险评估程序;
(三)根据本准则第九十六条的规定,在财务报表层次和认定层次识别、评估出的重大错报风险;
(四)根据本准则第一百零九条和第一百一十一条的规定,识别出的特别风险和仅通过实质性程序无法应对的重大错报风险,以及对相关控制的评估。
第八章 附 则
第一百一十七条 本准则自2007年1月1日起施行。
本周热门新闻
|
|
|
