《审计学原理与实验》课堂案例(第7章).doc

第七章 风险评估 第八章 风险应对现 代 风 险 导 向 审 计 程 序了解被审计单位及其环境风险评估识别和评估重大错报风险针对财务报表层次重大错报风险的总体应对措施风险应对控制测试针对认定层次重大错报风险的进一步审计程序实质性程序了 解 被 审 计 单 位 及 其 环 境 并 评 估 重 大 错 报 风 险对风险评估及审计计划的讨论了解被审计单位及其环境（不包括内部控制） 评估重大错报风险了解内部控制 被审计单位面临的经营风险财务报表容易发生错报的领域错报的方式，特别是由于舞弊导致重大错报的可能性财务报表层次控制（内部）环境（被审计单位的）风险评估（过程）控制活动信息（系统）与沟通对控制的监督（内部监督）行业状况、法律环境与监管环境以及其他外部因素性质对会计政策的选择和运用目标、战略以及相关经营风险财务业绩的衡量和评价 认定层次：各类交易、账户余额、列报（包括披露） 一 实施风险评估程序 询问、分析程序、观察和检查、其他审计程序 注 册 会 计 师 风 险 评 估 的 基 本 流 程第七章 风险评估内部控制的产生与发展及其对审计模式的影响及关系产生与发展阶段产生的时间组成要素对审计模式的影响及关系1.萌芽期内部牵制公元前（？）公元20世纪40年代前业务授权、职责分工、双重记录、定期核对、内部稽核账项基础审计（传统的详细审计阶段）：基本不依赖2.发展期内部控制制度20世纪4070年代初形成直到1988年内部会计控制和内部管理控制（即“制度二分法” ）制度基础审计（进入现代审计阶段）：基本依赖内部会计控制3.成熟期内部控制结构1988年1992年控制环境、会计系统（制度）、控制程序（即“结构三分法” ）20世纪80年代末以来现代审计转化为风险导向审计：开始评价控制环境和分析评估风险4.修订期内部控制整体框架即（COSO报告）1992、1997年2004年控制环境、风险评估、控制活动、信息与沟通、监控（督）（即“整体框架五分法” ）风险导向审计的延续：将控制环境评价和风险的分析评估作为主要内容5.修订期整合风险管理框架控制指南即（COCO报告）1995年目标（的）、责任（承诺）、能力、监控、学习（五要素）影响没有4.和6.广泛6.国际最新进展企业风险管理整体框架（COSO报告）2004年至今内部环境、目标设置、事件确定、风险评估、风险应对、控制活动、信息与沟通、监控（八大要素）现代风险导向审计：还是以内部控制整体框架为主 将企业管理的重心由内部控制转向风险管理7.我国的最新进展企业内部控制基本规范由财政部、中国证监会、审计署、中国银监会、中国保监会共同制定于2008年5月22日发布，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。内部环境、风险评估、控制活动、信息与沟通、内部监督（五大要素）现代风险导向审计：还是以内部控制整体框架为主，吸纳参考了企业风险管理整体框架的内容，如将过去的“控制环境”改为了“内部环境” ；“监督”前面加了“内部”二字8.我国学者的最新提法2010年控制结构 + 企业文化（新二元论）影响深远 ：COSO委员会是指Treadway(特瑞德韦)委员会的赞助者所组成的委员会（Committee of Sponsoring Organization of the Treadway Commission）。而Treadway委员会是美国1985年成立的一个全国性组织，其全称为“反舞弊财务报告全国委员会”（National Commission on Fraudulent Financial Reporting），其赞助机构有：美国注册会计师协会、美国会计学会、内部审计师协会、管理会计师协会及财务总监协会。“反舞弊财务报告全国委员会” 的首任主席由James S。Treadway担任，因此又被称为“Treadway(特瑞德韦)委员会” 。“Treadway(特瑞德韦)委员会”负责研究导致财务报告舞弊的因素，并对公众公司、会计师事务所、证监会及其他监督机构提出建议。但当时并未涉及到内部控制。于是建议自己的赞助机构再成立一个COSO委员会，进一步研究与内部控制有关的问题。COSO报告是从企业的立场，说明什么是内部控制，如何判断内部控制的优劣，企业应设置哪些内部控制，到哪种程度，内部控制可以做到什么，做不到什么，如何评估内部控制，如何就评估结果对外作出声明，等等。至于注册会计师应如何鉴证企业针对内部控制所作出的声明，COSO报告中则未提及。现在COSO致力于通过倡导良好的企业道德和有效的内部控制及公司治理，改进财务报告的质量。：COCO报告，是由加拿大特许会计师协会（CICA）下属的控制基准委员会（COCO）于1995年11月发布的。COCO报告的五要素论更强调人文因素在内部控制中的核心作用，其对内部控制要素的划分也不是将控制环境、风险评估、控制活动、信息与沟通和监督分裂开来，而是在每一个要素中都既包括控制环境，也包括风险评估、控制活动、信息与沟通和监督。另外，目标（的）、责任（承诺）、能力、监控和学习这五要素也更体现了内部控制的过程性（即动态）特征。：内部控制要素在内部控制理论中居于核心地位。目前权威机构对内部控制要素尚未取得统一的认识。本文在分别从人性假设、企业理论、中国历史和传统文化角度对企业内部控制要素进行分析的基础上, 提出了“控制结构+企业文化”的内部控制要素新二元论。由这两个要素共同构成的内部控制具有以下基本特点: (1)经济控制与文化控制并重，同时满足不同人性假设情况下的内部控制要求； (2) 制度主义和人本主义并举，实现计划性和创造性的和谐统一； (3) 刚性(正式) 控制和柔性(非正式) 控制兼备，灵活适应变化多端的外部环境； (4) 激励机制和约束机制并用，正向引导和反馈控制相结合；(5) 公司治理和企业管理兼容，为企业实现各层次控制目标提供合理保证。摘自：王竹泉、隋敏，控制结构 + 企业文化：内部控制要素新二元论，会计研究，2010年第三期补充： 内部控制的描述为了评价被审计单位的内部控制，必须对其内部控制进行了解和描述。通过参阅被审计单位的规章制度、组织机构设置表和上一年度的审计工作底稿，或通过现场询问有关人员，以及通过审计人员的实地观察，了解和掌握被审计单位的内部控制的详细情况。了解和掌握被审计单位的内部控制的详细情况，主要是了解和掌握被审计单位的销售与收款循环、购货与付款循环、生产与服务循环、筹资与投资循环等内部控制情况。在了解和掌握了上述内部控制的详情以后，用适当的方法将内部控制描述出来，供制定和修改审计计划和程序之用，或供日后查考之用。内部控制描述的方法通常有三种：文字表述法、调查表法和流程图法。 一、文字表述法文字表述法是指审计人员对被审计单位内部控制的健全程度和执行情况的文字叙述。通常是按不同的循环环节，分别写明各个职务所完成的各种工作、办理业务时所经历的各种手续等，还应阐明各项工作的负责人、经办人员以及由他们编写和记录的文件及凭证等。在采用此法时，审计人员通常应向被审计单位的工作人员提出一系列问题，如你经办哪些业务和凭证？这些业务是如何发生的？要据以编制什么凭证？它们要经过什么审批手续？处理这些业务和凭证应编制什么会计分录？是否经过复核？如何登记账簿？将这些问题的答案逐一记录下来，并经审计实地观察和核实，然后整理、串联起来，即可形成文字表述的书面说明，以描述被审计单位内部控制的实际情况。下表是对宏达股份有限公司库存商品收发环节的内部控制所作的文字表述。××企业库存商品收发的内部控制2007年12月库存商品仓库由王老五师傅负责。产成品入库时，仓库会同质量检验处根据生产车间入库单的数量、等级验收产成品，并由仓库保管员填写产成品验收入库单。该单一式三联：第一联由仓库留存登记库存商品卡片，第二联交销售处登记库存商品明细账，第三联连同生产车间的入库单交会计处登记库存商品总账。各种库存商品销售时由销售部门的专人负责签发出库单。库存商品发出时，由销售部门填制出库单，凭一式三联的出库单向仓库要求发出商品。仓库发出商品后，将出库单的第一联留存登记库存商品卡片，第二联交销售处登记库存商品明细账，第三联交会计处登记库存商品总账和明细账。库存商品的收发采用永续盘存制记录，按计划成本计价。销售处每月编制库存商品收发存月报表，并报送会计处。经管库存商品明细账的会计员黄明根据销售处送来的收发存月报表，与库存商品明细账核对，并编制库存商品收发汇总表。黄明同志根据库存商品明细账登记其总账，并据以结转产品销售成本。发出和结存库存商品的成本差异按月进行调整。评价：库存商品收发的内部控制不够健全。出库单的传递不尽合理，据以登记库存商品总账和明细账的都是出库单的第三联，无法起到总账对明细账的统驭作用。库存商品总账和明细账均由黄明同志登记，不相容职务未进行分离。另外，总账根据明细账来登记也不符合会计核算程序的要求。以上三点，说明该企业的库存商品的内部控制存在着明显的弱点。 注册会计师：××× 2007年12月9日 文字表述法的优点是比较灵活，可对被审计单位内部控制的各个环节作出比较深入和具体的描述，不受任何限制。但此法也有其缺点：对内部控制的描述，有时很维用简明易懂的语言来详细说明各个细节，因而有时显得文字比较冗长，不利于为有效地进行内部控制评价和控制风险评价提供直接的依据。此法几乎适用于任何类型、任何规模的单位，特别适用于内部控制不甚健全，内部控制程序比较简单和比较容易描述的小企业。 二、调查表法调查表法是将那些与保证会计记录的正确性和可靠性以及与保证财产物资的完整性有密切关系的事项列为调查对象，由审计人员设计成标准化的调查表，并利用表格形式，通过征询来了解被审计单位内部控制的强弱程度。采用此法，审计人员应根据内部控制的基本原则及其应达到的目标和要求，把被审计单位各经营环节的关键控制点及其主要问题，预先编制一套标准格式的调查表。在调查表中，为每个问题分设“是”、“否”、“不适用”和“备注”四栏。其中，“是”表示肯定；“否”表示否定；“不适用”表示该问题不适合被审计单位；还可在“否”这一栏中根据控制差的轻重程度，再细分为“较轻”和“较重”二栏；“备注”栏用于记录回答问题的资料来源以及对有关问题的说明。调查表中的“问题”，是针对被审计单位的内部控制设计的是否科学、合理和严密，运行的是否有较，综合考虑了各方面的因素提出来的。问题的拟定应针对被审计单位各项业务或业务循环的特点，既要抓住要害，又要便于回答。对表中提出的问题，要求被审计单位有关工作人员据实作出“是”或“否”或“不适用”的回答，借以查明被审计单位的实际情况。内部控制调查表的格式见下表。内部控制情况调查表被调查单位：宏达股份有限公司调查内容：材料采购、入库的内部控制调查时间：2007年12月10日被调查人：×××、×××、×××等调查的问题调查结果备注是否不适用较轻较重1.材料采购是否按计划进行?2.每次的采购数量是否超过规定的储备定额?3.有无舍近求远、质次价高的情况?4.有无盲目采购,造成材料长期积压的情况?5.有无代私人或单位套购材料?6.有无整批购进又整批卖出的材料?7.材料入库是否有严格的验收制度?8.采购员与验收员有无明确的分工和相互监督的制度?9.材料验收是否严格把住了数量、质量关?10.材料入库凭证的传递是否合理？审计员：×××此法的最大优点：一是简便易行，即使没有较高专业知识和专业技能的人员也能操作；二是能对所调查的对象提供一个概括的说明，有利于审计人员一步到位地分析评价；三是省时省力，可在审计项目初期就能较快地编制完成；四是表中的“否”栏集中反映了被审计单位内部控制存在的问题，能引起审计人员的高度重视。但是，此法也存在一定的缺陷，即：对被审计单位某一环节的内部控制只能按所提问题分别考查，往往难以提供一个完整的、系统的、全面的分析评价；由于调查表格式固定，缺乏弹性，对于不同行业的被审计单位或是特殊情况，往往“不适用”栏填得太多，而使此法不太适用；此外，调查人员机械地照表提问，往往会使被调查人漫不经心，易流于形式，失去调查的意义。三、流程图法流程图法是指用特定的符号和图形，将被审计单位中各种业务处理手续以及各种文件或凭证的传递流程等内部控制的实际运行情况，用图解的形式直观地标示出来。一般是每个主要经营环节应绘制一张流程图，最后将各个经营环节的流程图合并起来，就构成了整个企业生产经营的流程图。绘制流程图一般有两种方法：一种是纵向流程图；另一种是横向流程图。纵向流程图是将业务的处理过程按照先后次序，用一条主线垂直串联起来，并将经济业务发生的凭证编制、传递、记账程序等从上到下用图形符号描绘出来。横向流程图则是横向表示业务处理程序，按业务部门设置若干竖栏，将业务处理程序从左到右、自上而下，用图形符号表示凭证的编制、传递、保管、记账、复核以至编表的全过程，并用流程线把各项业务活动串联起来。无论绘制何种形式的流程图，都必须事先确定图形符号，同时，必须注意如下要求：1. 采用平面制图法,图中要标明业务处理流程经过的部门及其负责人。2. 流程图应绘制的简单、明了，合乎逻辑，业务处理程序从发生的起点至进入永久性档案的终点应予以充分、完整地表达。3流程图中少用叙事性说明，多用符号，符号力求标准、统一、直观，尽量使用事先规定好的符号绘图。4当一个系统分布在几个方面时，应将最主要的路线画在主图上，其他路线画在分开的流程图上或用脚注说明。5注明各种凭证、账册和报表的名称和份数及其归档、保存的情况。6标明各项业务的关键控制点和核对情况。用流程图法描绘被审计单位的内部控制颇受国内外审计人员的青睐。美国、英国、加拿大、澳大利亚等国的审计组织将流程图技术广泛应用到审计实务中去，还专门制定了一套绘制流程图的方法和标准符号。我国也已在审计实务中开始应用流程图方法和技术。现以华胜股份有限公司材料收发业务处理为例，用横向流程图说明如下。【例】华胜股份有限公司材料收发业务处理手续和程序如下：该公司设材料仓库一栋。有仓库保管员若干名，负责收料、发料和登记材料明细账。仓库收料时，根据供应科送来的发票和收料通知单验收材料，开出收料单两联，其中一联连同发票送财务科，财务料凭以付款和记账，一联留存据以登记材料明细账。材料明细账定期与财务科的材料总账核对。车间领用材料，领料员填制领料单，并经工段长审核批准。领料单一式三联，一联交仓库，一联送供应科，一联存查。每月终，仓库盘存材料一次，并编制盘存表两份，一份送供应科，一份留存。供应科根据仓库送来的领料单，月终编制领料单汇总表，按计划价格计价，然后送财务科转账。财务科根据收料单和领料单汇总表编制记账凭证并登记材料总账和其他总账。根据上述资料，绘制材料收发业务流程图如下：绘制流程图仅是手段而不是目的，其目的在于评审被审计单位的内部控制。评价的方法有两种：一是用特别符号或特殊颜色将应有而未予设置的内部控制弱点在图上标明；二是用文字在图的下端，对内部控制的弱点加以说明。用流程图法描绘内部控制，其主要优点有：一是流程图从整体的角度，以简明的形式描绘被审计单位内部控制的实际情况，便于较快地检查出内部控制逻辑上的薄弱环节，也便于评审；二是流程图便于表达内部控制的特征，同时也便于修改，在下次评审时，只要根据修改后的内部控制的实际情况，稍微变动几根线条、几个符号，就能更新整个流程图。当然，与任何其他方法一样，该法也有其不足之处：一是绘制流程图需具备较娴熟的技术和较丰富的工作经验，同时颇费时间；二是该法不能将内部控制中的控制弱点，明显地标示出来，故评价时，往往需要与其他两种方法结合使用。华胜股份有限公司材料收发业务处理流程图（略）本人绘图水平实在太差，尝试了好长时间，就是绘不出来，最后无奈只好放弃，敬请谅解！有兴趣的同学可参见前几年出的书。以上三种方法并不相互排斥，而是相互依赖和补充的。在描述某一单位的内部控制时，可对不同业务环节使用不同的方法，也可同时使用两种或三种方法，这样结合使用，往往比采用某一种方法效果会更好。中国注册会计师审计准则第1211号了解被审计单位及其环境并评估重大错报风险指南附录1：在被审计单位整体层面了解和评价内部控制附录结合内部控制五要素的内容，具体说明了注册会计师如何了解和评价对被审计单位有普遍影响的内部控制，即在被审计单位整体层面了解内部控制，并评估财务报表重大错报风险。本附录仅供参考。在实际工作中，注册会计师应当根据被审计单位的具体情况和职业判断，了解和评价被审计单位整体层面的内部控制。 一、控制环境在了解和评价控制环境时，注册会计师需要考虑与控制环境有关的各个要素及其相互联系，尤其要注意，控制环境任一构成要素存在重大缺陷，都会影响其他要素的有效性。下面对各个要素分别加以说明。（一）对诚信和道德价值观念的沟通与落实诚信和道德价值观念是控制环境的重要组成部分，影响到重要业务流程的设计和运行。内部控制的有效性直接依赖于负责创建、管理和监控内部控制的人员的诚信和道德价值观念。被审计单位是否存在道德行为规范，以及这些规范如何在被审计单位内部得以沟通和落实，决定了是否能产生诚信和道德的行为。对诚信和道德价值观念的沟通与落实既包括管理层如何处理不诚实、非法或不道德行为，也包括在被审计单位内部，通过行为规范以及高层管理人员的身体力行，对诚信和道德价值观念的营造和保持。例如，管理层在行为规范中指出，员工不允许从供货商那里获得超过一定金额的礼品，超过部分都须报告和退回。尽管该行为规范本身并不能绝对保证员工都照此执行，但至少意味着管理层已对此进行了明示，它连同其他程序，可能构成一个有效的预防机制。注册会计师在了解和评估被审计单位诚信和道德价值观念的沟通与落实时，考虑的主要因素可能包括：（1）被审计单位是否有书面的行为规范并向所有员工传达；（2）被审计单位的企业文化是否强调诚信和道德价值观念的重要性；（3）管理层是否身体力行，高级管理人员是否起表率作用；（4）对违反有关政策和行为规范的情况，管理层是否采取了适当的惩罚措施。（二）对胜任能力的重视胜任能力是指具备完成某一职位的工作所应有的知识和能力。管理层对胜任能力的重视包括对于特定工作所需的胜任能力水平的设定，以及对达到该水平所必需的知识和能力的要求。注册会计师应当考虑主要管理人员和其他相关人员是否能够胜任承担的工作和职责，例如，财会人员是否对编报财务报表所适用的会计准则和相关会计制度有足够的了解并能正确运用。注册会计师在就被审计单位对胜任能力的重视情况进行了解和评估时，考虑的主要因素可能包括：（1）财会人员以及信息管理人员是否具备与被审计单位业务性质和复杂程度相称的足够的胜任能力和培训，在发生错误时，是否通过调整人员或系统来加以处理；（2）管理层是否配备了足够的财会人员以适应业务发展和有关方面的需要；（3）财会人员是否具备了理解和运用会计准则所需的技能。（三）治理层的参与程度被审计单位的控制环境在很大程度上受治理层的影响。治理层的职责应在被审计单位的章程和政策中予以规定。治理层（董事会）通常通过其自身的活动，并在审计委员会或类似机构的支持下，监督被审计单位的财务报告政策和程序。因此，董事会、审计委员会或类似机构应关注被审计单位的财务报告，并监督被审计单位的会计政策以及内部、外部的审计工作和结果。治理层的职责还包括监督用于复核内部控制有效性的政策和程序的设计是否合理，执行是否有效。治理层对控制环境影响的要素有：治理层相对于管理层的独立性、成员的经验和品德、对被审计单位业务活动的参与程度、治理层行为的适当性、治理层所获得的信息、管理层对治理层所提出问题的追踪程度，以及治理层与内部审计人员和注册会计师的联系程度等。注册会计师在对被审计单位治理层的参与程度进行了解和评估时，考虑的主要因素可能包括：（1） 董事会是否建立了审计委员会或类似机构；（2） 董事会、审计委员会或类似机构是否与内部审计人员以及注册会计师有联系和沟通，联系和沟通的性质以及频率是否与被审计单位的规模和业务复杂程度相匹配；（3） 董事会、审计委员会或类似机构的成员是否具备适当的经验和资历；（4） 董事会、审计委员会或类似机构是否独立于管理层；（5） 审计委员会或类似机构会议的数量和时间是否与被审计单位的规模和业务复杂程度相匹配； （6）董事会、审计委员会或类似机构是否充分地参与了监督编制财务报告的过程；（7）董事会、审计委员会或类似机构是否对经营风险的监控有足够的关注，进而影响被审计单位和管理层的风险评估过程（包括舞弊风险）；（8）董事会成员是否保持相对的稳定性。（四）管理层的理念和经营风格管理层负责企业的运作以及经营策略和程序的制定、执行与监督。控制环境的每个方面在很大程度上都受管理层采取的措施和作出决策的影响，或在某些情况下受管理层不采取某些措施或不作出某种决策的影响。在有效的控制环境中，管理层的理念和经营风格可以创造一个积极的氛围，促进业务流程和内部控制的有效运行，同时创造一个减少错报发生可能性的环境。在管理层以一个或少数几个人为主时，管理层的理念和经营风格对内部控制的影响尤为突出。管理层的理念包括管理层对内部控制的理念，即管理层对内部控制以及对具体控制实施环境的重视程度。管理层对内部控制的重视，有助于控制的有效执行，并减少特定控制被忽视或被规避的可能性。控制理念反映在管理层制定的政策、程序及所采取的措施中，而不是反映在形式上。因此，要使控制理念成为控制环境的一个重要特质，管理层必须告知员工内部控制的重要性。同时，只有建立适当的管理层控制机制，控制理念才能产生预期的效果。衡量管理层对内部控制重视程度的重要标准，是管理层收到有关内部控制弱点及违规事件的报告时是否作出适当反应。管理层及时地下达纠弊措施，表明他们对内部控制的重视，也有利于加强企业内部的控制意识。此外，了解管理层的经营风格也很有必要，管理层的经营风格是指管理层所能接受的业务风险的性质。例如，管理层是否经常投资于风险特别高的领域或者在接受风险方面极为保守，不敢越雷池一步。注册会计师应考虑的问题包括：管理层是否谨慎从事，只有在对方案的风险和潜在利益进行仔细研究分析后才进一步采取措施。了解管理层的经营风格有助于注册会计师判断哪些因素影响管理层对待内部控制的态度，哪些因素影响在编制财务报表时所作的判断，特别是在作出会计估计以及选用会计政策时。这种了解也有助于注册会计师进一步认识管理层的能力和经营动机。注册会计师对管理层的能力和诚信越有信心，就越有理由信赖管理层提供的信息和作出的解释及声明。相反，如果对管理层经营风格的了解加重了注册会计师的怀疑，注册会计师就会加大职业怀疑的程度，从而对管理层各种声明产生疑问。因此，了解管理层的经营风格对注册会计师评估重大错报风险有着重要的意义。注册会计师在了解和评估被审计单位管理层的理念和经营风格时，考虑的主要因素可能包括：（1） 管理层是否对内部控制包括信息技术的控制，给予了适当的关注；（2） 管理层是否由一个或几个人所控制，董事会、审计委员会或类似机构对其是否实施了有效监督；（3） 管理层在承担和监控经营风险方面是风险偏好者还是风险规避者；（4） 管理层在选择会计政策和作出会计估计时是倾向于激进还是保守；（5） 管理层对于信息管理人员以及财会人员是否给予了适当关注；（6） 对于重大的内部控制和会计事项，管理层是否征询注册会计师的意见，或者经常在这些方面与注册会计师存在不同意见。（五）组织结构及职权与责任的分配被审计单位的组织结构为计划、运作、控制及监督经营活动提供了一个整体框架。通过集权或分权决策，可在不同部门间进行适当的职责划分、建立适当层次的报告体系。组织结构将影响权利、责任和工作任务在组织成员中的分配。被审计单位的组织结构在一定程度上取决于被审计单位的规模和经营活动的性质。注册会计师应当考虑被审计单位组织结构中是否采用向个人或小组分配控制职责的方法，是否建立了执行特定职能（包括交易授权）的授权机制，是否确保每个人都清楚地了解报告关系和责任。注册会计师还需审查对分散经营活动的监督是否充分。有效的权责分配制度有助于形成整体的控制意识。注册会计师应当关注组织结构及权责分配方法的实质而不是仅仅关注其形式。相应地，注册会计师应当考虑相关人员对政策与程序的整体认识水平和遵守程度，以及管理层对其实施监督的程度。注册会计师对组织结构的审查，有助于其确定被审计单位的职责划分应该达到何种程度，也有助于其评价被审计单位在这方面的不足会对整体审计策略产生的影响。信息系统处理环境是注册会计师对组织结构及权责分配方法进行审查的一个重要方面。注册会计师应当考虑信息系统职能部门的结构安排是否明确了职责分配，授权和批准系统变化的职责分配，以及是否明确程序开发、运行及使用者之间的职责划分。注册会计师在对被审计单位组织结构和职权与责任的分配进行了解和评估时，考虑的主要因素可能包括：（1）在被审计单位内部是否有明确的职责划分，是否将业务授权、业务记录、资产保管和维护，以及业务执行的责任尽可能地分离；（2）数据的所有权划分是否合理；（3）是否已针对授权交易建立了适当的政策和程序。（六）人力资源政策与实务政策与程序（包括内部控制）的有效性，通常取决于执行人。因此，被审计单位员工的能力与诚信是控制环境中不可缺少的因素。人力资源政策与实务涉及招聘、培训、考核、晋升和薪酬等方面。被审计单位是否有能力招聘并保留一定数量既有能力又有责任心的员工在很大程度上取决于其人事政策与实务。例如，如果招聘录用标准要求录用最合适的员工，包括强调员工的学历、经验、诚信和道德，这表明被审计单位希望录用有能力并值得信赖的人员。被审计单位有关培训方面的政策应显示员工应达到的工作表现和业绩水准。通过定期考核的晋升政策表明被审计单位希望具备相应资格的人员承担更多的职责。注册会计师在对被审计单位人力资源政策与实务进行了解和评估时，考虑的主要因素可能包括：（1）被审计单位在招聘、培训、考核、晋升、薪酬、调动和辞退员工方面是否都有适当的政策和程序（特别是在会计、财务和信息系统方面）；（2）是否有书面的员工岗位职责手册，或者在没有书面文件的情况下，对于工作职责和期望是否作了适当的沟通和交流；（3）人力资源政策与程序是否清晰，并且定期发布和更新；（4）是否设定适当的程序，对分散在各地区和海外的经营人员建立和沟通人力资源政策与程序。综上所述，注册会计师应当对控制环境的构成要素获取足够的了解，并考虑内部控制的实质及其综合效果，以了解管理层和治理层对内部控制及其重要性的态度、认识以及所采取的措施。二、被审计单位的风险评估过程风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。注册会计师在对被审计单位整体层面的风险评估过程进行了解和评估时，考虑的主要因素可能包括：（1）被审计单位是否已建立并沟通其整体目标，并辅以具体策略和业务流程层面的计划；（2）被审计单位是否已建立风险评估过程，包括识别风险，估计风险的重大性，评估风险发生的可能性以及确定需要采取的应对措施；（3）被审计单位是否已建立某种机制，识别和应对可能对被审计单位产生重大且普遍影响的变化，如在金融机构中建立资产负债管理委员会，在制造型企业中建立期货交易风险管理组等；（4）会计部门是否建立了某种流程，以识别会计准则的重大变化；（5）当被审计单位业务操作发生变化并影响交易记录的流程时，是否存在沟通渠道以通知会计部门；（6）风险管理部门是否建立了某种流程，以识别经营环境包括监管环境发生的重大变化。注册会计师可以通过了解被审计单位及其环境的其他方面信息，评价被审计单位风险评估过程的有效性。例如，在了解被审计单位的业务情况时，发现了某些经营风险，注册会计师应当了解管理层是否也意识到这些风险以及如何应对。在对业务流程的了解中，注册会计师还可能进一步地获得被审计单位有关业务流程的风险评估过程的信息。例如，在销售循环中，如果发现了销售的截止性错报的风险，注册会计师应当考虑管理层是否也识别了该错报风险以及如何应对该风险。三、与财务报告相关的信息系统与沟通注册会计师在对被审计单位整体层面的信息系统与沟通进行了解和评估时，考虑的主要因素可能包括：（一） 与财务报告相关的信息系统（1）信息系统是否能够向管理层提供有关被审计单位业绩的报告，包括相关的外部和内部信息；（2）向适当人员提供的信息是否充分、具体和及时，使其能够有效地履行职责；（3）信息系统的开发及变更在多大程度上与被审计单位的战略计划相适应，以及如何与被审计单位整体层面和业务流程层面的目标相适应；（4）管理层是否提供适当的人力和财力，以开发必需的信息系统；（5）管理层是如何监督程序的开发、变更和测试工作；（6）对于主要的数据中心，是否建立了重大灾难数据恢复计划。（二）沟通（1）管理层就员工的职责和控制责任是否进行了有效沟通；（2）针对可疑的不恰当事项和行为是否建立了沟通渠道；（3）组织内部沟通的充分性是否能够使人员有效地履行职责；（4）对于与客户、供应商、监管者和其他外部人士的沟通，管理层是否及时采取了适当的进一步行动；（5）被审计单位是否受到某些监管机构发布的监管要求的约束；（6）外部人士如客户和供应商在多大程度上获知了被审计单位的行为守则。与财务报告相关的信息系统应当与业务流程相适应，其职责更多地体现在业务流程层面，因此，注册会计师应当更进一步地在业务流程层面上了解业务流程和相关信息系统。本指南附录2将对此加以详述。四、控制活动控制活动是指有助于确保管理层的指令得以执行的政策和程序。注册会计师对被审计单位整体层面的控制活动进行的了解和评估，主要是针对被审计单位的一般控制活动，特别是信息技术的一般控制。在了解和评估一般控制活动时考虑的主要因素可能包括：（1） 被审计单位的主要经营活动是否都有必要的控制政策和程序；（2） 管理层在预算、利润和其他财务和经营业绩是否都有清晰的目标，在被审计单位内部是否对这些目标加以清晰地记录和沟通，并且积极地对其进行监控； （3）是否存在计划和报告系统，以识别与目标业绩的差异，并向适当层次的管理层报告该差异； （4）是否由适当层次的管理层对差异进行调查，并及时采取适当的纠正措施； （5）不同人员的职责应在何种程度上相分离，以降低舞弊和不当行为发生的风险； （6）会计系统中的数据是否与实物资产定期核对；（7） 是否建立了适当的保护措施，以防止未经授权接触文件、记录和资产；（8） 是否存在信息安全职能部门负责监控信息安全政策和程序。五、对控制的监督注册会计师在对被审计单位整体层面的监督进行了解和评估时，考虑的主要因素可能包括：（1） 被审计单位是否定期评价内部控制；（2） 被审计单位人员在履行正常职责时，能够在多大程度上获得内部控制是否有效运行的证据； （3）与外部的沟通能够在多大程度上证实内部产生的信息或者指出存在的问题； （4）管理层是否采纳内部审计人员和注册会计师有关内部控制的建议； （5）管理层是否及时纠正控制运行中的偏差；（6） 管理层根据监管机构的报告及建议是否及时采取纠正措施；（7） 是否存在协助管理层监督内部控制的职能部门（如内部审计部门）。如存在，对内部审计职能需进一步考虑的因素包括：独立性和权威性；向谁报告，例如，直接向董事会、审计委员会或类似机构报告，对接触董事会、审计委员会或类似机构是否有限制；是否有足够的人员、培训和特殊技能，例如，对于复杂的高度自动化的环境应使用有经验的信息系统审计人员；是否坚持适用的专业准则；活动的范围，例如，财务审计和经营审计工作的平衡，在分散经营情况下，内部审计的覆盖程度和轮换程度；计划、风险评估和执行工作的记录和形成结论的适当性；是否不承担经营管理责任。六、在整体层面对内部控制了解和评估的总结在整体层面对被审计单位内部控制的了解和评估，通常由项目组中对被审计单位情况比较了解且有经验的成员负责，同时需要项目组其他成员的参与和配合。对于连续审计，注册会计师可以重点关注整体层面内部控制的变化情况，包括由于被审计单位及其环境的变化而导致内部控制发生的变化以及采取的对策。注册会计师还需要特别考虑因舞弊而导致重大错报的可能性及其影响。注册会计师可以考虑将询问被审计单位人员、观察特定控制的应用、检查文件和报告以及执行穿行测试等风险评估程序相结合，以获取审计证据。在了解上述内部控制的构成要素时，注册会计师需要特别注意这些要素在实际中是否得到执行。例如，通过询问管理层和员工，了解管理层对内部控制的态度和道德价值观念，以及如何就此与员工进行沟通；通过检查文件、内部程序手册、流程图等，了解管理层是否建立了正式的行为守则；通过询问和观察，了解行为守则在日常工作中是否得到遵守，以及管理层如何处理违反行为守则的情形；通过询问被审计单位管理层，了解其风险评估过程，并复核记录风险评估过程的文件。通过检查和复核内部审计部门的工作程序以及报告等，确定管理层和员工是否执行了既定的政策和程序。在了解内部控制的各构成要素时，注册会计师应当对被审计单位整体层面的内部控制的设计进