七、被审计单位的风险评估过程
风险评估过程的作用是识别、评估和管理影响被审计单位实现经营目标能力的各种风险。
注意:
第一,注册会计师应当询问管理层识别出的经营风险,并考虑这些风险是否可能导致重大错报。
第二,在审计过程中,如果发现与财务报表有关的风险因素,注册会计师可通过向管理层询问和检查有关文件确定被审计单位的风险评估过程是否也发现了该风险。在审计过程中,如果识别出管理层未能识别的重大错报风险,注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险,以及评估过程是否适合于具体环境。
八、信息系统与沟通
1.与财务报告相关的信息系统
与财务报告相关的信息系统,包括用以生成、记录、处理和报告交易、事项和情况,对相关资产、负债和所有者权益履行经营管理责任的程序和记录。
注意:
第一,与财务报告相关的信息系统应当与业务流程相适应。
第二,应当特别关注由于管理层凌驾于账户记录之上而产生的重大错报风险。
自动化程序和控制可能降低了发生无意错误的风险,但是并没有消除个人凌驾于控制之上的风险。
2.与财务报告相关的沟通
与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责,员工之间的工作联系,以及向适当级别的管理层报告例外事项的方式。
注意:
注册会计师应当了解被审计单位内部如何对财务报告的岗位职责,以及与财务报告相关的重大事项进行沟通。注册会计师还应当了解管理层与治理层(特别是审计委员会)之间的沟通,以及被审计单位与外部(包括与监管部门)的沟通。
九、控制活动
控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。
1.授权
授权的目的在于保证交易在管理层授权范围内进行。
2.业绩评价
注册会计师应当了解与业绩评价有关的控制活动,主要包括被审计单位分析评价实际业绩与预算的差异,以及对发现的异常差异或关系采取必要的调查与纠正。
3.信息处理
注册会计师应当了解与信息处理有关的控制活动,包括信息技术的一般控制和应用控制。被审计单位通常执行各种措施,检查各种类型信息处理环境下的交易的准确性、完整性和授权。
4.实物控制
注册会计师应当了解实物控制,主要包括了解对资产和记录采取适当的安全保护措施,对访问计算机程序和数据文件设置授权,以及定期盘点并将盘点记录与会计记录相核对。实物控制的效果影响资产的安全,从而对财务报表的可靠性及审计产生影响。
5.职责分离
注册会计师应当了解职责分离,主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工,以防范同一员工在履行多项职责时可能发生的舞弊或错误。当信息技术运用于信息系统时,职责分离可以通过设置安全控制来实现。
注意:
第一,注册会计师对被审计单位整体层面的控制活动进行的了解和评估,主要是针对被审计单位的一般控制活动,特别是信息技术的一般控制。
第二,控制活动主要影响业务流程层面。
十、对控制的监督
对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程,该过程包括及时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施。
被审计单位通过持续的监督活动、专门的评价活动或两者相结合,实现对控制的监督。
注意:内部控制的某些要素(如控制环境)更多地对被审计单位整体层面产生影响,而其他要素(如信息系统与沟通、控制活动)则可能更多地与特定业务流程相关。在实务中,注册会计师应当从被审计单位整体层面和业务流程层面分别了解和评价被审计单位的内部控制。
十一、在整体层面对内部控制了解和评估的总结
在了解内部控制的各构成要素时,注册会计师应当对被审计单位整体层面的内部控制的设计进行评价,并确定其是否得到执行。
注册会计师在评估财务报表层次重大错报风险时,应当将被审计单位整体层面的内部控制状况和了解到的被审计单位及其环境其他方面的情况结合起来考虑。
注意:
第一,对于连续审计,注册会计师可以重点关注整体层面内部控制的变化情况,包括由于被审计单位及其环境的变化而导致内部控制发生的变化以及采取的对策。注册会计师还需要特别考虑因舞弊而导致重大错报的可能性及其影响。
第二,财务报表层次的重大错报风险很可能源于薄弱的控制环境。
第三,被审计单位整体层面的内部控制是否有效将直接影响重要业务流程层面控制的有效性,进而影响注册会计师拟实施的进一步审计程序的性质、时间安排和范围。
相关推荐:
北京 | 天津 | 上海 | 江苏 | 山东 |
安徽 | 浙江 | 江西 | 福建 | 深圳 |
广东 | 河北 | 湖南 | 广西 | 河南 |
海南 | 湖北 | 四川 | 重庆 | 云南 |
贵州 | 西藏 | 新疆 | 陕西 | 山西 |
宁夏 | 甘肃 | 青海 | 辽宁 | 吉林 |
黑龙江 | 内蒙古 |