了解被审计单位及其环境等情况、风险评估程序与项目组讨论、了解被审计单位内部控制、风险评估理论、风险评估实际应用、特别风险、固有风险评估等
复习提示
本章属于考试重点章节,理论知识内容多,需要考试理解和记忆的知识点数量多,此外本章考试时会涉及部分教材之外的联系实务的习题
第四节了解被审计单位内部控制体系各要素
一、内部控制的概念和要素
(一)含义
内部控制
(简称控制)
是指被审计单位为实现控制目标所制定的政策和程序
【提示】政策是指被审计单位为了实施控制而作出的应当或不应当采取某种措施的规定;程序是指为执行政策而采取的行动。
内部控制体系
是指由治理层、管理层和其他人员(均为被审计单位内部人员)设计、执行和维护的体系,以合理保证被审计单位能够实现财务报告的可靠性,提高经营效率和效果,以及遵守适用的法律法规等目标
(二)三目标
报告
合理保证被审计单位能够实现财务报告的可靠性
经营
合理保证提高经营效率和效果
合规
合理保证遵守适用的法律法规等
(三)五要素
内部控制体系包含五个相互关联的要素:
(1)内部环境(控制环境)。
(2)风险评估。
(3)信息与沟通(信息系统与沟通)。
(4)控制活动。
(5)内部监督。
二、直接控制和间接控制
1.注册会计师审计的目标
2.注册会计师了解内部控制的要求
(1)重要性;
(3)被审计单位的规模;
(4)被审计单位业务的性质,包括组织结构和所有权特征;
(5)被审计单位经营的多样性和复杂性;
(6)适用的法律法规;
(7)内部控制的情况和适用的要素;
(8)作为内部控制组成部分的系统(包括使用服务机构)的性质和复杂性;
(9)一项特定控制(单独或连同其他控制)是否以及如何防止或发现并纠正重大错报。
(二)直接控制和间接控制区分的依据及作用
1.区分依据
分类
含义
发挥作用的方式
直接控制
是指足以精准防止、发现或纠正认定层次错报的内部控制
对防止、发现或纠正认定层次错报产生直接影响
间接控制
是指不足以精准防止、发现或纠正认定层次错报的内部控制
对防止、发现或纠正认定层次错报产生间接影响
2.内控五要素中的控制类型
内控要素
控制类别
说明
信息系统与沟通
控制活动
主要为直接控制
注册会计师对这些要素的了解和评价更有可能影响其对认定层次重大错报风险的识别和评估
内部环境
风险评估
内部监督
主要是间接控制,某些控制也可能是直接控制
间接控制虽不足以精准地防止、发现或纠正认定层次的错报,但可以支持其他控制
3.内部环境、风险评估和内部监督的作用
(1)内部环境为内部控制体系其他要素的运行奠定了总体基础。内部环境不能直接防止、发现并纠正错报,但其可能影响内部控制体系其他要素中控制的有效性。同样,风险评估和内部监督也旨在支持整个内部控制体系。
(2)由于内部环境、风险评估和内部监督是被审计单位内部控制体系的基础,其运行中的任何缺陷都可能对财务报表的编制产生广泛的影响。因此,注册会计师对这些要素的了解和评价,更有可能影响其对财务报表层次重大错报风险的识别和评估,也可能影响对认定层次重大错报风险的识别和评估。
三、了解内部控制的性质和程度
(一)了解内部控制的性质
1.目的
为了评价控制设计的有效性以及控制是否得到执行。
2.作用
(1)注册会计师了解被审计单位内部控制体系各项要素,有助于其初步了解被审计单位如何识别和应对经营风险。
(2)这些了解也可能以不同方式,影响注册会计师对重大错报风险的识别和评估。这有助于注册会计师设计和实施进一步审计程序,包括计划测试控制运行的有效性。例如:
①注册会计师了解被审计单位的内部环境、风险评估和内部监督要素,更有可能影响财务报表层次重大错报风险的识别和评估;
②注册会计师了解被审计单位的信息系统与沟通以及控制活动要素,更有可能影响认定层次重大错报风险的识别和评估。
(二)了解内部控制的程度
1.含义
对内部控制了解的程度,是指注册会计师在实施风险评估程序时,了解被审计单位内部控制的范围及深度。包括评价控制设计的有效性,并确定其是否得到执行(控制存在且被审计单位正在使用),但不包括对控制是否得到一贯执行的测试(属于控制测试)。
【提示】了解内控≠测试内控。
2.评价控制的设计
(1)评价控制设计的有效性,涉及考虑该控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。
3.为了解内部控制实施的程序
注册会计师通常实施下列风险评估程序,以获取有关控制设计有效性和控制是否得到执行的审计证据:
(1)询问被审计单位的人员;
询问本身并不足以评价控制设计的有效性以及确定其是否得到执行,注册会计师应当将询问与其他风险评估程序结合使用。
(2)观察特定控制的运用;
(3)检查文件和报告;
(4)追踪交易在财务报告信息系统中的处理过程(穿行测试)。
【提示】了解内部控制通常不涉及分析程序和重新执行。
4.了解内部控制与测试控制运行有效性的关系
(1)评价设计有效的控制是否得到执行,属于了解内部控制的目的。(属于风险评估程序)
(2)测试控制运行的有效性即控制是否得到一贯执行,属于控制测试的目的。(属于进一步审计程序)
(3)除非存在某些可以使控制得到一贯运行的自动化控制,否则,注册会计师对控制的了解并不足以测试控制运行的有效性。(某时点得到执行,并不能证明其他时点也有效运行)
(4)由于信息技术处理流程的内在一贯性,实施审计程序确定某项自动化控制是否得到执行,也可能实现对控制运行有效性测试的目标,这取决于注册会计师对控制(如针对程序变更的控制)的评估和测试。
四、内部控制的人工和自动化成分
(一)考虑内部控制的人工和自动化特征及其影响
1.大多数被审计单位都需要使用信息技术。然而即使信息技术得到广泛使用,人工因素仍然会存在于这些系统之中。
2.不同的被审计单位采用的控制系统中人工控制和自动化控制的比例是不同的。
3.内部控制可能既包括人工成分,又包括自动化成分,在风险评估以及设计和实施进一步审计程序时,注册会计师应当考虑内部控制的人工和自动化特征及其影响。
4.无论被审计单位的经营环境是以人工为主还是完全自动化,亦或是人工和自动化要素的组合(即人工控制和自动化控制相结合以及被审计单位内部控制体系中使用的其他资源),审计的总体目标和范围都没有区别。
1.优势
信息技术通常在下列方面提高被审计单位内部控制的效率和效果:
(1)在处理大量的交易或数据时,一贯运用事先确定的业务规则,并进行复杂运算;
(2)提高信息的及时性、可获得性及准确性;
(3)促进对信息的深入分析;
(4)提高对被审计单位的经营业绩及其政策和程序执行情况进行监督的能力;
(5)降低控制被规避的风险;
(6)通过对应用程序系统、数据库系统和操作系统执行安全控制,提高不兼容职务分离的有效性。
2.可能对内部控制产生的特定风险
(1)所依赖的系统或程序不能正确处理数据,或处理了不正确的数据,或两种情况并存;
(3)信息技术人员可能获得超越其职责范围的数据访问权限,破坏了系统应有的职责分工;
(6)未能对系统或程序作出必要的修改;
(7)不恰当的人为干预;
(8)可能丢失数据或不能访问所需要的数据。
1.适用范围
(1)在处理下列需要主观判断或酌情处理的情形时可能更为适当:
①存在大额、异常或偶发的交易;
②存在难以界定、预计或预测的错误的情况;
③针对变化的情况,需要对现有的自动化控制进行人工干预;
④监督自动化控制的有效性。
(2)注册会计师应当考虑人工控制在下列情形中可能是不适当的:
①存在大量或重复发生的交易;
②事先可预见或预测的错误能够通过自动化控制参数得以防止或发现并纠正;
③用特定方法实施控制的控制活动可得到适当设计和自动化处理。
2.特定风险
(1)人工控制可能更容易被规避、忽视或凌驾;
(2)人工控制可能不具有一贯性;
(3)人工控制可能更容易产生简单错误或失误。
【提示】相对于自动化控制,人工控制的可靠性较低。
五、内部控制的局限性
1.内部控制无论如何有效,都只能为被审计单位实现财务报告目标提供合理保证。
2.内部控制实现目标的可能性受其固有限制的影响。这些限制包括:
(1)在决策时人为判断可能出现错误和因人为失误而导致内部控制失效。
(2)控制可能由于两个或更多的人员进行串通或管理层不当地凌驾于内部控制之上而被规避。
此外还包括以下控制:
(1)如果被审计单位内部行使控制职能的人员素质不适应岗位要求,也会影响内部控制功能的正常发挥。
(2)被审计单位实施内部控制的成本效益问题也会影响其职能,当实施某项控制成本大于控制效果而发生损失时,就没有必要设置控制环节或控制措施。
(3)内部控制一般都是针对经常而重复发生的业务而设置的,如果出现不经常发生或未预计到的业务,原有控制就可能不适用。
1.了解涉及下列方面的控制、流程和组织结构
(1)管理层如何履行其管理职责,例如,被审计单位的组织文化,管理层是否重视诚信、道德和价值观;
(2)在治理层与管理层分离的体制下,治理层的独立性以及治理层监督内部控制体系的情况;
(3)被审计单位内部权限和职责的分配情况;
(4)被审计单位如何吸引、培养和留住具有胜任能力的人员;
(5)被审计单位如何使其人员致力于实现内部控制体系的目标。
2.评价下列方面的情况
(1)在治理层的监督下,管理层是否营造并保持了诚实守信和合乎道德的文化;
(2)根据被审计单位的性质和复杂程度,内部环境是否为内部控制体系的其他要素奠定了适当的基础;
(3)识别出的内部环境方面的控制缺陷,是否会削弱被审计单位内部控制体系的其他要素。
(1)对信息技术的治理是否与被审计单位及其由信息技术支撑的业务经营的性质和复杂程度相称,包括被审计单位的技术平台或架构的复杂程度或成熟程度,以及被审计单位依赖信息技术应用程序支持财务报告的程度;
(二)内部环境的概念和构成要素
1.概念和作用
定义
内部环境包括治理职能和管理职能,以及治理层和管理层对内部控制体系及其重要性的态度、认识和行动
作用
内部环境设定了被审计单位的内部控制基调,影响员工的内部控制意识,并为被审计单位内部控制体系中其他要素的运行奠定了总体基础
2.注册会计师了解内部环境的要求
必要性
(1)防止或发现并纠正舞弊和错误是被审计单位治理层和管理层的责任
(2)注册会计师应当了解管理层在治理层的监督下,是否营造并保持了诚实守信和合乎道德的文化,以及是否建立了防止或发现并纠正舞弊和错误的恰当控制
在审计业务承接阶段,注册会计师就需要对内部环境作出初步了解和评价
(三)了解内部环境的构成要素
1.对诚信和道德价值观念的沟通与落实;
2.对胜任能力的重视;
3.治理层的参与程度;
4.管理层的理念和经营风格;
5.职权与责任的分配;
6.人力资源政策与实务。
(四)评价内部环境
1.在评价内部环境各个要素时,注册会计师应当考虑内部环境各个要素的控制是否得到执行。
2.在确定构成内部环境的要素是否得到执行时,注册会计师应当考虑将询问与其他风险评估程序相结合以获取审计证据。
(五)内部环境的影响
1.内部环境对重大错报风险的评估具有广泛影响。
2.有助于降低发生舞弊的风险
(1)虽然令人满意的控制环境并不能绝对防止舞弊,但却有助于降低发生舞弊的风险。
(2)有效的内部环境还能为注册会计师相信在以前年度和期中所测试的控制将继续有效运行提供一定基础。相反,内部环境中存在的弱点可能削弱控制的有效性。
3.内部环境本身并不能防止或发现并纠正各类交易、账户余额和披露认定层次的重大错报,注册会计师在评估重大错报风险时,应当将内部环境连同其他内部控制要素产生的影响一并考虑。
1.了解被审计单位的下列工作
(2)评估上述风险的重要程度和发生的可能性;
(3)应对上述风险。
2.根据被审计单位的性质和复杂程度,评价其风险评估工作是否适合其具体情况。
3.如果注册会计师识别出重大错报风险,而管理层未能识别出这些风险,注册会计师应当:
(1)判断这些风险是否是被审计单位风险评估工作应当识别出的风险。如果注册会计师认为,这些风险是被审计单位风险评估工作应当识别出的风险,则应当了解被审计单位风险评估工作未能识别出这些风险的原因。
(2)考虑对前述的注册会计师“评价其风险评估工作是否适合其具体情况”的影响。
(二)被审计单位风险评估的概念
1.含义和作用
识别、评估和管理影响被审计单位实现经营目标能力的各种风险
2.可能产生风险的事项和情况包括:(新+变)
(1)监管及经营环境的变化。
(2)新员工的加入。
(3)新信息系统的使用或对原系统进行升级。
(4)业务快速发展。
(5)新技术。
(6)新业务模式、产品和活动。
(8)发展海外经营。
(9)新的会计政策。
①维护处理的数据和信息的完整性、准确性和有效性;
②如果被审计单位的信息技术战略不能有效地支持其经营战略,则会产生经营战略风险;
③被审计单位的信息技术环境的变化或中断,信息技术人员的流动,或被审计单位未对信息技术环境进行必要的更新或更新不及时。
(三)对风险评估的了解
1.对风险评估的评价
(2)如果被审计单位的风险评估符合其具体情况,了解被审计单位的风险评估工作有助于注册会计师识别财务报表的重大错报风险。
2.对风险评估的了解
(1)注册会计师对被审计单位整体层面的风险评估工作进行了解和评估时,考虑的主要因素可能包括:
①被审计单位是否已建立并沟通其整体目标,并辅以具体策略和业务流程层面的计划;
②被审计单位是否已建立风险评估,包括识别风险、估计风险的重大性、评估风险发生的可能性以及确定需要采取的应对措施;
③被审计单位是否已建立某种机制,识别和应对可能对被审计单位产生重大且普遍影响的变化,如在金融机构中建立资产负债管理委员会,在制造型企业中建立期货交易风险管理组等;
④会计部门是否建立了某种流程,以识别会计政策的重大变化;
⑤当被审计单位业务操作发生变化并影响交易记录的流程时,是否存在沟通渠道以通知会计部门;
⑥风险管理部门是否建立了某种流程,以识别经营环境包括监管环境发生的重大变化。
(2)注册会计师可以通过了解被审计单位及其环境的其他方面信息,评价被审计单位风险评估工作的有效性。
3.注册会计师对风险的评估
(1)注册会计师应当询问管理层识别出的经营风险,并考虑这些风险是否可能导致重大错报。
(2)在审计过程中,如果发现与财务报表有关的风险因素,注册会计师可通过向管理层询问和检查有关文件确定被审计单位的风险评估工作是否也发现了该风险;
(3)被审计单位的财务报告过程;
(2)管理层与治理层之间的沟通;
(3)被审计单位与监管机构等外部各方的沟通。
3.评价被审计单位的信息系统与沟通是否能够为被审计单位按照适用的财务报告编制基础编制财务报表提供适当的支持。
(2)解决不正确处理交易的问题,如自动生成暂记账户文件,以及及时按照程序清理暂记项目;
(3)处理并解释凌驾于控制之上或规避控制的情况;
(4)将从交易处理系统中获取的信息过入总账(例如,将明细账中的累计交易过入总账);
(6)确保适用的财务报告编制基础规定披露的信息得到收集、记录、处理和汇总,并适当包含在财务报表中。
1.基本要求
【提示】某些被审计单位的信息系统可能是高度集成的,控制的设计可以同时实现财务报告、合规和经营这三个控制目标。
(2)了解被审计单位的信息系统,还包括了解信息处理活动中使用的资源。
(2)为维护数据或信息的完整性、准确性和有效性而进行的信息处理;
(3)信息处理过程中使用的信息流程、人员和其他资源。
了解被审计单位的业务流程(包括交易产生的方式),有助于注册会计师以适合被审计单位具体情况的方式了解信息系统。
3.了解信息系统可以实施的程序
(2)检查有关被审计单位信息系统的政策、流程手册或其他文件;
(3)观察被审计单位人员对政策或程序的执行情况;
(4)选取交易并追踪交易在信息系统中的处理过程(即实施穿行测试)。
沟通方式
(1)公开的沟通渠道有助于确保例外情况得到报告和处理
(2)沟通可以采用政策手册、会计和财务报告手册及备忘录等形式进行,也可以采用电子方式或口头方式和通过管理层的行动来实现
2.注册会计师还应当了解管理层与治理层(特别是审计委员会)之间的沟通,以及被审计单位与外部(包括与监管部门)的沟通。具体包括:
(1)管理层就员工的职责和控制责任是否进行了有效沟通;
(2)针对可疑的不恰当事项和行为是否建立了沟通渠道;
(3)组织内部沟通的充分性是否能够使人员有效地履行职责;
(4)对于与客户、供应商、监管者和其他外部人士的沟通,管理层是否及时采取适当的进一步行动;
(5)被审计单位是否受到某些监管机构发布的监管要求的约束;
(6)外部人士如客户和供应商在多大程度上获知被审计单位的行为守则。
1.识别用于应对认定层次重大错报风险的控制包括的内容
(1)应对特别风险的控制;
(3)注册会计师拟测试运行有效性的控制,包括用于应对仅实施实质性程序不能提供充分、适当审计证据的重大错报风险的控制;
(4)注册会计师根据职业判断认为适当的、能够有助于其实现与认定层次重大错报风险有关目标的其他控制。
2.基于上述第1项中识别的控制,识别哪些信息技术应用程序及信息技术环境的其他方面,可能面临运用信息技术导致的风险。
3.针对上述第2项中识别的信息技术应用程序及信息技术环境的其他方面,进一步识别:
(2)被审计单位用于应对这些风险的信息技术一般控制。
4.针对上述第1项以及第3项第2点识别出的每项控制
(1)评价控制的设计是否有效,即这些控制能否应对认定层次重大错报风险或为其他控制的运行提供支持;
(2)询问被审计单位内部人员,并运用其他风险评估程序,以确定控制是否得到执行。
控制活动是指有助于确保管理层的指令得以执行的政策和程序。
2.对注册会计师的要求
3.控制活动要素中的具体控制
调节
(1)即将两项或多项数据要素进行比较。如果发现差异,则采取措施使数据相一致
(2)调节通常应对所处理交易的完整性或准确性
验证
(1)即将两个或多个项目互相进行比较,或将某个项目与政策进行比较,如果两个项目不匹配或者某个项目与政策不一致,则可能对其执行跟进措施
(2)验证通常应对所处理交易的完整性、准确性或有效性
实物或逻辑控制
包括下列控制:
(1)保证资产的实物安全,包括恰当的安全保护措施,如针对接触资产和记录的安全设施
职责分离
(2)职责分离旨在降低同一员工在正常履行职责过程中实施并隐瞒舞弊或错误的可能性
(3)在某些情况下,职责分离可能不切实际、成本效益低下或不可行,在这种情况下,管理层可以设置替代控制
(二)对控制活动的了解
1.在了解控制活动时,注册会计师应当重点考虑一项控制活动单独或连同其他控制活动,是否能够以及如何防止或发现并纠正各类交易、账户余额和披露存在的重大错报。
3.在了解和评估控制活动时考虑的主要因素可能包括:
(1)被审计单位的主要经营活动是否都有必要的控制政策和程序;
(2)管理层在预算、利润和其他财务及经营业绩方面是否都有清晰的目标,在被审计单位内部,是否对这些目标都加以清晰的记录和沟通,并且积极地对其进行监控;
(3)是否存在计划和报告系统,以识别与目标业绩的差异,并向适当层次的管理层报告该差异;
(4)是否由适当层次的管理层对差异进行调查,并及时采取适当的纠正措施;
(5)不同人员的职责应在何种程度上相分离,以降低舞弊和不当行为发生的风险;
(6)会计系统中的数据是否与实物资产定期核对;
(8)是否存在信息安全职能部门负责监控信息安全政策和程序。
1.了解被审计单位实施的持续性评价和单独评价,以及识别控制缺陷的情况和整改的情况;
2.了解被审计单位的内部审计,包括内部审计的性质、职责和活动;
4.根据被审计单位的性质和复杂程度,评价被审计单位对内部控制体系的监督是否适合其具体情况。
2.方式
通常管理层通过持续的监督活动、单独的评价活动或两者相结合实现对内部控制体系的监督。
(1)持续的监督活动通常贯穿于被审计单位日常重复的活动中,包括常规管理和监督工作。
(2)被审计单位可能使用内部审计人员或具有类似职能的人员,对内部控制的设计和执行进行专门的评价,以找出内部控制的优点和不足,并提出改进建议。
(1)上述用于监督活动的很多信息都由被审计单位的信息系统产生,这些信息可能会存在错报,从而导致管理层从监督活动中得出错误的结论。
(三)了解对内部控制体系的监督
(1)监督活动的设计,如监督是定期的还是持续的;
(2)监督活动的实施情况和频率;
(3)对监督活动结果的定期评价,以确定控制是否有效;
(4)如何通过适当的整改措施应对识别的缺陷,包括与负责采取整改措施的人员及时沟通缺陷。
2.注册会计师可以考虑被审计单位监督内部控制体系的过程如何实现对涉及使用信息技术的信息处理控制的监督。这些控制包括:
(1)监督以下复杂信息技术环境的控制:
①评价信息处理控制的持续设计有效性,根据情况的变化对其进行适当修改;
②评价信息处理控制运行的有效性。
(2)监督权限的控制,这些权限应用于实施职责分离的自动化信息处理控制中。
十一、在整体层面和业务流程层面了解内部控制
(一)整体层面控制和业务流程层面控制的分类
整体层面控制
(2)也包括对下列事项的控制:
①管理层凌驾于内部控制之上;
②集中处理;
③期末财务报告流程;
④针对关键经营风险的政策
业务流程层面控制
包括控制活动、信息系统与沟通、信息处理控制
【提示】整体层面的控制对内部控制在所有业务流程中得到严格的设计和执行具有重要影响,整体层面的控制较差甚至可能使最好的业务流程层面控制失效。
(二)了解和评价业务流程层面的内部控制的步骤
(3)确定可能发生错报的环节;
(6)进行初步评价和风险评估。
【提示】实务中,上述步骤可能同时进行。
1.是否了解业务流程层面的控制
(1)在对被审计单位的了解,包括在被审计单位整体层面对内部控制体系各要素的了解,以及在上述程序中对重要业务流程的了解,注册会计师可以确定是否有必要进一步了解在业务流程层面的控制。
2.业务流程层面内部控制的内容
(1)预防性控制
示例
预防性控制可能是人工的,也可能是自动化的
(1)计算机程序自动生成收货报告,同时也更新采购档案
(2)在更新采购档案之前要有收货报告
(3)销货发票上的价格根据价格清单上的信息确定
(4)系统将各凭证上的账户号码与会计科目表对比,然后进行一系列的逻辑测试
(2)检查性控制
发现流程中可能发生的错报(如复核、定期编制、定期盘点)
检查性控制通常是管理层用来监督实现流程目标的控制
检查性控制可以由人工执行,也可以由信息系统自动执行
(1)定期编制银行存款余额调节表,跟踪调查挂账的项目
(2)将预算与实际费用间的差异列入计算机编制的报告中并由部门经理复核。记录所有超过预算2%的差异情况和解决措施
(3)系统每天比较运出货物的数量和开票数量。如果发现差异,产生报告,由开票主管复核和追查
(4)每季度复核应收账款贷方余额并找出原因
1.穿行测试的目的
2.执行穿行测试可获得下列方面的证据:
(1)确认对业务流程的了解;
(3)确认所获取的有关流程中的预防性控制和检查性控制信息的准确性;
(4)评估控制设计的有效性;
(5)确认控制是否得到执行;
(6)确认之前所作的书面记录的准确性。
3.穿行测试的必要性
如果拟不信赖控制,注册会计师仍需要执行适当的审计程序,以确认以前对业务流程及可能发生错报环节了解的准确性和完整性。
4.工作底稿的记录
注册会计师将穿行测试的情况记录于工作底稿时,记录的内容包括穿行测试中查阅的文件、穿行测试的程序以及注册会计师的发现和结论。
(五)初步评价和风险评估
1.对控制的初步评价
在识别和了解控制后,注册会计师需要评价控制设计的合理性并确定其是否得到执行。
注册会计师对控制的评价结论可能是:
(1)所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报,并得到执行;
(2)控制本身的设计是合理的,但没有得到执行;
(3)控制本身的设计就是无效的或缺乏必要的控制。
【提示】上述评价结论只是初步结论,仍可能随控制测试或实施实质性程序的结果而发生变化。
2.风险评估需考虑的因素
注册会计师对控制的评价,进而对重大错报风险的评估,需考虑以下因素:
(2)对被审计单位整体层面控制的评价。(应将对整体层面获得的了解和结论与业务流程层面的证据结合起来考虑)
【提示】除非存在某些可以使控制得到一贯运行的自动化控制,注册会计师对控制的了解和评价并不能够代替对控制运行有效性的测试(即控制测试)。
(六)对财务报告流程的了解
2.财务报告流程包括
(1)将业务数据汇总记入总账的程序,即如何将重要业务流程的信息与总账和财务报告系统相连接;
(2)在总账中生成、记录和处理会计分录的程序;
(3)记录对财务报表常规和非常规调整的程序,如合并调整、重分类等;
3.在了解财务报告流程的过程中,注册会计师应当考虑对以下方面作出评估:
(1)主要的输入信息、执行的程序、主要的输出信息;
(2)每一财务报告流程要素中涉及信息技术的程度;
(3)管理层的哪些人员参与其中;
(4)记账分录的主要类型,如标准分录、非标准分录等;
(5)适当人员(包括管理层和治理层)对流程实施监督的性质和范围。