《审计课堂案例图表.doc》由会员分享,可在线阅读,更多相关《审计课堂案例图表.doc(31页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、?审计?课堂案例图、表3?中国注册会计师审计准那么第1211号了解被审计单位及其环境并评估重大错报风险?指南附录1:在被审计单位整体层面了解与评价内部控制附录结合内部控制五要素的内容,具体说明了注册会计师如何了解与评价对被审计单位有普遍影响的内部控制,即在被审计单位整体层面了解内部控制,并评估财务报表重大错报风险。本附录仅供参考。在实际工作中,注册会计师应当根据被审计单位的具体情况与职业判断,了解与评价被审计单位整体层面的内部控制。 一、控制环境在了解与评价控制环境时,注册会计师需要考虑及控制环境有关的各个要素及其相互联系,尤其要注意,控制环境任一构成要素存在重大缺陷,都会影响其他要素的有效性
2、。下面对各个要素分别加以说明。一对诚信与道德价值观念的沟通及落实诚信与道德价值观念是控制环境的重要组成局部,影响到重要业务流程的设计与运行。内部控制的有效性直接依赖于负责创立、管理与监控内部控制的人员的诚信与道德价值观念。被审计单位是否存在道德行为标准,以及这些标准如何在被审计单位内部得以沟通与落实,决定了是否能产生诚信与道德的行为。对诚信与道德价值观念的沟通及落实既包括管理层如何处理不老实、非法或不道德行为,也包括在被审计单位内部,通过行为标准以及高层管理人员的身体力行,对诚信与道德价值观念的营造与保持。例如,管理层在行为标准中指出,员工不允许从供货商那里获得超过一定金额的礼品,超过局部都须
3、报告与退回。尽管该行为标准本身并不能绝对保证员工都照此执行,但至少意味着管理层已对此进展了明示,它连同其他程序,可能构成一个有效的预防机制。注册会计师在了解与评估被审计单位诚信与道德价值观念的沟通及落实时,考虑的主要因素可能包括:1被审计单位是否有书面的行为标准并向所有员工传达;2被审计单位的企业文化是否强调诚信与道德价值观念的重要性;3管理层是否身体力行,高级管理人员是否起表率作用;4对违反有关政策与行为标准的情况,管理层是否采取了适当的惩罚措施。二对胜任能力的重视胜任能力是指具备完成某一职位的工作所应有的知识与能力。管理层对胜任能力的重视包括对于特定工作所需的胜任能力水平的设定,以及对到达
4、该水平所必需的知识与能力的要求。注册会计师应当考虑主要管理人员与其他相关人员是否能够胜任承当的工作与职责,例如,财会人员是否对编报财务报表所适用的会计准那么与相关会计制度有足够的了解并能正确运用。注册会计师在就被审计单位对胜任能力的重视情况进展了解与评估时,考虑的主要因素可能包括:1财会人员以及信息管理人员是否具备及被审计单位业务性质与复杂程度相称的足够的胜任能力与培训,在发生错误时,是否通过调整人员或系统来加以处理;2管理层是否配备了足够的财会人员以适应业务开展与有关方面的需要;3财会人员是否具备了理解与运用会计准那么所需的技能。三治理层的参及程度被审计单位的控制环境在很大程度上受治理层的影
5、响。治理层的职责应在被审计单位的章程与政策中予以规定。治理层董事会通常通过其自身的活动,并在审计委员会或类似机构的支持下,监视被审计单位的财务报告政策与程序。因此,董事会、审计委员会或类似机构应关注被审计单位的财务报告,并监视被审计单位的会计政策以及内部、外部的审计工作与结果。治理层的职责还包括监视用于复核内部控制有效性的政策与程序的设计是否合理,执行是否有效。治理层对控制环境影响的要素有:治理层相对于管理层的独立性、成员的经历与品德、对被审计单位业务活动的参及程度、治理层行为的适当性、治理层所获得的信息、管理层对治理层所提出问题的追踪程度,以及治理层及内部审计人员与注册会计师的联系程度等。注
6、册会计师在对被审计单位治理层的参及程度进展了解与评估时,考虑的主要因素可能包括:(1) 董事会是否建立了审计委员会或类似机构;(2) 董事会、审计委员会或类似机构是否及内部审计人员以及注册会计师有联系与沟通,联系与沟通的性质以及频率是否及被审计单位的规模与业务复杂程度相匹配;(3) 董事会、审计委员会或类似机构的成员是否具备适当的经历与资历;(4) 董事会、审计委员会或类似机构是否独立于管理层;(5) 审计委员会或类似机构会议的数量与时间是否及被审计单位的规模与业务复杂程度相匹配; 6董事会、审计委员会或类似机构是否充分地参及了监视编制财务报告的过程;7董事会、审计委员会或类似机构是否对经营风
7、险的监控有足够的关注,进而影响被审计单位与管理层的风险评估过程包括舞弊风险;8董事会成员是否保持相对的稳定性。四管理层的理念与经营风格管理层负责企业的运作以及经营策略与程序的制定、执行及监视。控制环境的每个方面在很大程度上都受管理层采取的措施与作出决策的影响,或在某些情况下受管理层不采取某些措施或不作出某种决策的影响。在有效的控制环境中,管理层的理念与经营风格可以创造一个积极的气氛,促进业务流程与内部控制的有效运行,同时创造一个减少错报发生可能性的环境。在管理层以一个或少数几个人为主时,管理层的理念与经营风格对内部控制的影响尤为突出。管理层的理念包括管理层对内部控制的理念,即管理层对内部控制以
8、及对具体控制实施环境的重视程度。管理层对内部控制的重视,有助于控制的有效执行,并减少特定控制被无视或被躲避的可能性。控制理念反映在管理层制定的政策、程序及所采取的措施中,而不是反映在形式上。因此,要使控制理念成为控制环境的一个重要特质,管理层必须告知员工内部控制的重要性。同时,只有建立适当的管理层控制机制,控制理念才能产生预期的效果。衡量管理层对内部控制重视程度的重要标准,是管理层收到有关内部控制弱点及违规事件的报告时是否作出适当反响。管理层及时地下达纠弊措施,说明他们对内部控制的重视,也有利于加强企业内部的控制意识。此外,了解管理层的经营风格也很有必要,管理层的经营风格是指管理层所能承受的业
9、务风险的性质。例如,管理层是否经常投资于风险特别高的领域或者在承受风险方面极为保守,不敢越雷池一步。注册会计师应考虑的问题包括:管理层是否慎重从事,只有在对方案的风险与潜在利益进展仔细研究分析后才进一步采取措施。了解管理层的经营风格有助于注册会计师判断哪些因素影响管理层对待内部控制的态度,哪些因素影响在编制财务报表时所作的判断,特别是在作出会计估计以及选用会计政策时。这种了解也有助于注册会计师进一步认识管理层的能力与经营动机。注册会计师对管理层的能力与诚信越有信心,就越有理由信赖管理层提供的信息与作出的解释及声明。相反,如果对管理层经营风格的了解加重了注册会计师的疑心,注册会计师就会加大职业疑
10、心的程度,从而对管理层各种声明产生疑问。因此,了解管理层的经营风格对注册会计师评估重大错报风险有着重要的意义。注册会计师在了解与评估被审计单位管理层的理念与经营风格时,考虑的主要因素可能包括:(1) 管理层是否对内部控制包括信息技术的控制,给予了适当的关注;(2) 管理层是否由一个或几个人所控制,董事会、审计委员会或类似机构对其是否实施了有效监视;(3) 管理层在承当与监控经营风险方面是风险偏好者还是风险躲避者;(4) 管理层在选择会计政策与作出会计估计时是倾向于激进还是保守;(5) 管理层对于信息管理人员以及财会人员是否给予了适当关注;(6) 对于重大的内部控制与会计事项,管理层是否征询注册
11、会计师的意见,或者经常在这些方面及注册会计师存在不同意见。五组织构造及职权及责任的分配被审计单位的组织构造为方案、运作、控制及监视经营活动提供了一个整体框架。通过集权或分权决策,可在不同部门间进展适当的职责划分、建立适当层次的报告体系。组织构造将影响权利、责任与工作任务在组织成员中的分配。被审计单位的组织构造在一定程度上取决于被审计单位的规模与经营活动的性质。注册会计师应当考虑被审计单位组织构造中是否采用向个人或小组分配控制职责的方法,是否建立了执行特定职能包括交易授权的授权机制,是否确保每个人都清楚地了解报告关系与责任。注册会计师还需审查对分散经营活动的监视是否充分。有效的权责分配制度有助于
12、形成整体的控制意识。注册会计师应当关注组织构造及权责分配方法的实质而不是仅仅关注其形式。相应地,注册会计师应当考虑相关人员对政策及程序的整体认识水平与遵守程度,以及管理层对其实施监视的程度。注册会计师对组织构造的审查,有助于其确定被审计单位的职责划分应该到达何种程度,也有助于其评价被审计单位在这方面的缺乏会对整体审计谋略产生的影响。信息系统处理环境是注册会计师对组织构造及权责分配方法进展审查的一个重要方面。注册会计师应当考虑信息系统职能部门的构造安排是否明确了职责分配,授权与批准系统变化的职责分配,以及是否明确程序开发、运行及使用者之间的职责划分。注册会计师在对被审计单位组织构造与职权及责任的
13、分配进展了解与评估时,考虑的主要因素可能包括:1在被审计单位内部是否有明确的职责划分,是否将业务授权、业务记录、资产保管与维护,以及业务执行的责任尽可能地别离;2数据的所有权划分是否合理;3是否已针对授权交易建立了适当的政策与程序。六人力资源政策及实务政策及程序包括内部控制的有效性,通常取决于执行人。因此,被审计单位员工的能力及诚信是控制环境中不可缺少的因素。人力资源政策及实务涉及招聘、培训、考核、晋升与薪酬等方面。被审计单位是否有能力招聘并保存一定数量既有能力又有责任心的员工在很大程度上取决于其人事政策及实务。例如,如果招聘录用标准要求录用最适宜的员工,包括强调员工的学历、经历、诚信与道德,
14、这说明被审计单位希望录用有能力并值得信赖的人员。被审计单位有关培训方面的政策应显示员工应到达的工作表现与业绩水准。通过定期考核的晋升政策说明被审计单位希望具备相应资格的人员承当更多的职责。注册会计师在对被审计单位人力资源政策及实务进展了解与评估时,考虑的主要因素可能包括:1被审计单位在招聘、培训、考核、晋升、薪酬、调动与辞退员工方面是否都有适当的政策与程序特别是在会计、财务与信息系统方面;2是否有书面的员工岗位职责手册,或者在没有书面文件的情况下,对于工作职责与期望是否作了适当的沟通与交流;3人力资源政策及程序是否清晰,并且定期发布与更新;4是否设定适当的程序,对分散在各地区与海外的经营人员建
15、立与沟通人力资源政策及程序。综上所述,注册会计师应当对控制环境的构成要素获取足够的了解,并考虑内部控制的实质及其综合效果,以了解管理层与治理层对内部控制及其重要性的态度、认识以及所采取的措施。二、被审计单位的风险评估过程风险评估过程包括识别及财务报告相关的经营风险,以及针对这些风险所采取的措施。注册会计师在对被审计单位整体层面的风险评估过程进展了解与评估时,考虑的主要因素可能包括:1被审计单位是否已建立并沟通其整体目标,并辅以具体策略与业务流程层面的方案;2被审计单位是否已建立风险评估过程,包括识别风险,估计风险的重大性,评估风险发生的可能性以及确定需要采取的应对措施;3被审计单位是否已建立某
16、种机制,识别与应对可能对被审计单位产生重大且普遍影响的变化,如在金融机构中建立资产负债管理委员会,在制造型企业中建立期货交易风险管理组等;4会计部门是否建立了某种流程,以识别会计准那么的重大变化;5当被审计单位业务操作发生变化并影响交易记录的流程时,是否存在沟通渠道以通知会计部门;6风险管理部门是否建立了某种流程,以识别经营环境包括监管环境发生的重大变化。注册会计师可以通过了解被审计单位及其环境的其他方面信息,评价被审计单位风险评估过程的有效性。例如,在了解被审计单位的业务情况时,发现了某些经营风险,注册会计师应当了解管理层是否也意识到这些风险以及如何应对。在对业务流程的了解中,注册会计师还可
17、能进一步地获得被审计单位有关业务流程的风险评估过程的信息。例如,在销售循环中,如果发现了销售的截止性错报的风险,注册会计师应当考虑管理层是否也识别了该错报风险以及如何应对该风险。三、及财务报告相关的信息系统及沟通注册会计师在对被审计单位整体层面的信息系统及沟通进展了解与评估时,考虑的主要因素可能包括:(一) 及财务报告相关的信息系统1信息系统是否能够向管理层提供有关被审计单位业绩的报告,包括相关的外部与内部信息;2向适当人员提供的信息是否充分、具体与及时,使其能够有效地履行职责;3信息系统的开发及变更在多大程度上及被审计单位的战略方案相适应,以及如何及被审计单位整体层面与业务流程层面的目标相适
18、应;4管理层是否提供适当的人力与财力,以开发必需的信息系统;5管理层是如何监视程序的开发、变更与测试工作;6对于主要的数据中心,是否建立了重大灾难数据恢复方案。沟通1管理层就员工的职责与控制责任是否进展了有效沟通;2针对可疑的不恰当事项与行为是否建立了沟通渠道;3组织内部沟通的充分性是否能够使人员有效地履行职责;4对于及客户、供给商、监管者与其他外部人士的沟通,管理层是否及时采取了适当的进一步行动;5被审计单位是否受到某些监管机构发布的监管要求的约束;6外部人士如客户与供给商在多大程度上获知了被审计单位的行为守那么。及财务报告相关的信息系统应当及业务流程相适应,其职责更多地表达在业务流程层面,
19、因此,注册会计师应当更进一步地在业务流程层面上了解业务流程与相关信息系统。本指南附录2将对此加以详述。四、控制活动控制活动是指有助于确保管理层的指令得以执行的政策与程序。注册会计师对被审计单位整体层面的控制活动进展的了解与评估,主要是针对被审计单位的一般控制活动,特别是信息技术的一般控制。在了解与评估一般控制活动时考虑的主要因素可能包括:(1) 被审计单位的主要经营活动是否都有必要的控制政策与程序;(2) 管理层在预算、利润与其他财务与经营业绩是否都有清晰的目标,在被审计单位内部是否对这些目标加以清晰地记录与沟通,并且积极地对其进展监控; 3是否存在方案与报告系统,以识别及目标业绩的差异,并向
20、适当层次的管理层报告该差异; 4是否由适当层次的管理层对差异进展调查,并及时采取适当的纠正措施; 5不同人员的职责应在何种程度上相别离,以降低舞弊与不当行为发生的风险; 6会计系统中的数据是否及实物资产定期核对;(7) 是否建立了适当的保护措施,以防止未经授权接触文件、记录与资产;(8) 是否存在信息平安职能部门负责监控信息平安政策与程序。五、对控制的监视注册会计师在对被审计单位整体层面的监视进展了解与评估时,考虑的主要因素可能包括:(1) 被审计单位是否认期评价内部控制;(2) 被审计单位人员在履行正常职责时,能够在多大程度上获得内部控制是否有效运行的证据; 3及外部的沟通能够在多大程度上证
21、实内部产生的信息或者指出存在的问题; 4管理层是否采纳内部审计人员与注册会计师有关内部控制的建议; 5管理层是否及时纠正控制运行中的偏差;(6) 管理层根据监管机构的报告及建议是否及时采取纠正措施;(7) 是否存在协助管理层监视内部控制的职能部门如内部审计部门。如存在,对内部审计职能需进一步考虑的因素包括:独立性与权威性;向谁报告,例如,直接向董事会、审计委员会或类似机构报告,对接触董事会、审计委员会或类似机构是否有限制;是否有足够的人员、培训与特殊技能,例如,对于复杂的高度自动化的环境应使用有经历的信息系统审计人员;是否坚持适用的专业准那么;活动的范围,例如,财务审计与经营审计工作的平衡,在
22、分散经营情况下,内部审计的覆盖程度与轮换程度;方案、风险评估与执行工作的记录与形成结论的适当性;是否不承当经营管理责任。六、在整体层面对内部控制了解与评估的总结在整体层面对被审计单位内部控制的了解与评估,通常由工程组中对被审计单位情况比拟了解且有经历的成员负责,同时需要工程组其他成员的参及与配合。对于连续审计,注册会计师可以重点关注整体层面内部控制的变化情况,包括由于被审计单位及其环境的变化而导致内部控制发生的变化以及采取的对策。注册会计师还需要特别考虑因舞弊而导致重大错报的可能性及其影响。注册会计师可以考虑将询问被审计单位人员、观察特定控制的应用、检查文件与报告以及执行穿行测试等风险评估程序
23、相结合,以获取审计证据。在了解上述内部控制的构成要素时,注册会计师需要特别注意这些要素在实际中是否得到执行。例如,通过询问管理层与员工,了解管理层对内部控制的态度与道德价值观念,以及如何就此及员工进展沟通;通过检查文件、内部程序手册、流程图等,了解管理层是否建立了正式的行为守那么;通过询问与观察,了解行为守那么在日常工作中是否得到遵守,以及管理层如何处理违反行为守那么的情形;通过询问被审计单位管理层,了解其风险评估过程,并复核记录风险评估过程的文件。通过检查与复核内部审计部门的工作程序以及报告等,确定管理层与员工是否执行了既定的政策与程序。在了解内部控制的各构成要素时,注册会计师应当对被审计单
24、位整体层面的内部控制的设计进展评价,并确定其是否得到执行。实际上,这一评价过程需要大量的职业判断,并没有固定的公式或指标可供参考。例如,小型被审计单位在实现内部控制的目标中可能会较少采用正式的书面的措施与方法,业主可能更多地参及日常经营管理活动与财务报告活动。但这些并不一定会影响注册会计师对于被审计单位整体层面的内部控制是否有效的判断。注册会计师应当考虑管理层本身的理念与态度、实际设计与执行的控制,以及对经营活动的密切参及是否能够实现控制的目标。注册会计师应当将对被审计单位整体层面内部控制各要素的了解要点与实施的风险评估程序及其结果等形成审计工作记录,并对影响注册会计师对整体层面内部控制有效性
25、进展判断的因素加以详细记录。财务报表层次的重大错报风险很可能源于薄弱的控制环境,因此,注册会计师在评估财务报表层次的重大错报风险时,应当将被审计单位整体层面的内部控制状况与了解到的被审计单位及其环境其他方面的情况结合起来考虑。被审计单位整体层面的内部控制是否有效将直接影响重要业务流程层面控制的有效性,进而影响注册会计师拟实施的进一步审计程序的性质、时间与范围。本指南附录2将详细说明在重要业务流程层面对内部控制的了解与评价。中 航 油 事 件2004年12月,中国航油集团唯一的一家海外公司中国航油新加坡股份以下简称“中航油发布了一个惊人的消息:这家新加坡上市公司因石油衍生产品交易,产生了5.5亿
26、美元的巨额亏损,致使曾作为明星企业的中航油向新加坡法院申请破产保护。该公司自1997年以来,凭借其对国内进口航油市场的实质性垄断,净资产由16.8万美元增加至2003年的1.48亿美元,6年增长了762倍,成为股市上的明星,总裁陈久霖也被评为“亚洲经济新领袖。中航油事件被认为是继1995年巴林事件后最大的经济丑闻。中国航油集团曾向“中航油董事会派驻了4名成员,包括陈久霖本人,而他也是以集团副总经理的身份兼任“中航油董事与执行总裁的。但事实上,集团公司出于对陈久霖的信任,使他在实质上成为了集团公司派驻“中航油的全权代表与实际监管者。同时,在其任职期间,曾两度调开集团公司派驻的财务经理,从当地另聘
27、财务经理,只听命于他一个人。由此可见,不管是在决策、监管层还是在经理层,都没有很好地形成实质上的权力制衡。陈久霖在得悉公司在2004年第一季度出现580万美元的账面亏损后,决定不按照内部风险控制的规那么进展斩仓止损,也不对市场作任何信息的披露,而是继续扩大仓位。为了防止实际亏损,他将交割日延后至2005年与2006年,并不断加大仓位,对风险没有做必要的对冲处理,也没有对交易设立上限,孤注一掷,赌油价回落。到2004年10月,公司亏损累计到达1.8亿美元,公司流动资产耗尽。此时,陈久霖才不得不向集团公司汇报亏损并请求救助。而当时的中航油集团竟没有阻止“中航油的违规行为,也不对风险进展评估,而是以
28、私募方式卖出局部“中航油股份来“挽救“中航油。“中航油曾聘请安永会计师事务所为其编制?风险管理手册?,设有专门的7人风险管理委员会及软件监控系统。其中,风险控制的根本构造是:实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,穿插控制,每名交易员损失20万美元时要向风险控制委员会报告,以征求他们的意见,当损失到达35万美元时要向总裁报告,征求他的意见,在得到总裁的同意后才能继续交易;任何导致50万美元以上的交易将自动平仓。而“中航油总共有10位交易员,如果严格地按照?风险管理手册?执行,损失的最大限额应是500万美元1050 = 500万。但是,“中航油最终亏损额高达5.5亿美元。从中可
29、以看出,“中航油在制定政策方面不惜血本,但在执行方面却不尽如人意。我国于2001年就已公布实施了?国有企业境外期货套期保值业务管理方法?,其中规定任何企业不得从事以营利为目的的投机交易,不能在风险极大的海外市场进展交易,交易总量不得大大超过现货交易总量。“中航油从2003年下半年起在海外市场进展石油衍生品的交易,并且交易总量大大超过了现货交易总量,在这三个方面明显地违背了国家的规定,而母公司在子公司进展了此项违规活动一年多即2004年10月以后才得知实情。由此可以看出,中航油集团公司与“中航油之间的信息沟通不畅与会计信息失真有多么严重。【要求】假设你们是ABC会计师事务所的注册会计师甲与乙,承
30、受委托,审核了“中航油董事会对2004年12月31日及财务报表相关的公司内部控制有效性的认定,并于2005年3月29日完成审核工作。请根据以上资料对“中航油的内部控制进展分析评价。【分析】“中航油内部控制设计或执行存在的严重缺乏,使其管理层或员工无法在正常行使职能的过程中,及时地发现与纠正错误或舞弊引起的财务报表重大错报。在内部控制五个要素中都存在缺陷。1控制环境。中国航油集团曾向“中航油董事会派驻了4名成员,包括陈久霖本人,而他也是以集团副总经理的身份兼任“中航油董事与执行总裁的。但事实上,集团公司出于对陈久霖的信任,使他在实质上成为了集团公司派驻“中航油的全权代表与实际监管者。同时,在其任
31、职期间,曾两度调开集团公司派驻的财务经理,从当地另聘财务经理,只听命于他一个人。由此可见,不管是在决策、监管层还是在经理层,都没有很好地形成实质上的权力制衡。2风险评估。在风险控制机制中,陈久霖应处于一个中枢地位,对风险的控制与传导应起着决定性的作用。在2004年第一季度公司账面已出现了580万美元的亏损后,他本应会同风险管理委员会的成员及时进展风险评估,但他们却没有这样做。3控制活动。“中航油曾聘请国际“四大之一的安永会计师事务所为其编制?风险管理手册?,设有专门的7人风险管理委员会及软件监控系统。从案例中可以看出,“中航油在制定政策方面不惜血本,但在执行方面却不尽如人意。陈久霖明知2004
32、年第一季度公司账面已出现了580万美元的亏损,他本应当机立断按照内部风险控制的规那么进展斩仓止损,及时向集团公司与市场作出信息披露,但他为了防止损失,将交割日延后至2005年与2006年,并不断加大仓位,孤注一掷,赌油价回落。不然,“中航油也不会在衍生品交易市场不断失利,并导致最终的破产。4信息及沟通。我国于2001年就已公布实施了?国有企业境外期货套期保值业务管理方法?,其中规定任何企业不得从事以营利为目的的投机交易,不能在风险极大的海外市场进展交易,交易总量不得大大超过现货交易总量。而“中航油却对国家的规定置假设罔闻,一意孤行地从2003年下半年起在海外市场进展石油衍生品的交易,并且交易总
33、量大大超过了现货交易总量,在这三个方面明显地违背了国家的规定,而母公司在子公司进展了此项违规活动一年多即2004年10月以后才得知实情。由此可以看出,中航油集团公司与“中航油之间的信息沟通不畅与会计信息失真有多么严重。5监控。中国航油集团是中航油的大股东,作为一家中央级企业,本应严格执行国家的法律法规,严格标准子公司的行为,对其进展及时不连续的监控,以确保国有资产保值与增值。但由上面的事实可以看出,中国航油集团并没有履行自己的职责,所以才会导致“中航油的自我评估与“自己监管自己局面的出现。附录2:在业务流程层面了解与评价内部控制由于内部控制的各个要素,尤其是信息系统与控制活动更多地表达在业务流
34、程层面,因此,注册会计师应当从被审计单位重要业务流程层面了解内部控制,并据此评估认定层次的重大错报风险,进而针对评估的风险,设计与实施进一步审计程序。本附录说明如何在被审计单位业务流程层面对内部控制进展了解与评估。本附录仅供参考。在实际工作中,注册会计师应当根据被审计单位实际情况对被审计单位重要业务流程层面的内部控制作出了解与评估。一、在重要业务流程层面了解与评估内部控制的一般步骤在初步方案审计工作时,注册会计师需要确定在被审计单位财务报表中可能存在重大错报风险的重大账户及其相关认定。为实现此目的,通常采取以下步骤:1确定被审计单位的重要业务流程与重要交易类别;2了解重要交易流程,并记录获得的
35、了解;3确定可能发生错报的环节;4识别与了解相关控制;5执行穿行测试,证实对交易流程与相关控制的了解;6进展初步评价与风险评估。在实务中,上述步骤可能同时进展,例如,在询问相关人员的过程中,同时了解重要交易的流程与相关控制。(一) 确定重要业务流程与重要交易类别 在实务中,将被审计单位的整个经营活动划分为几个重要的业务循环,有助于注册会计师更有效地了解与评估重要业务流程及相关控制。通常对制造业企业,可以划分为销售及收款循环、采购及付款循环、存货及生产循环、工资及人员循环、筹资及投资循环等。被审计单位经营活动的性质不同,所划分的业务循环也不同。例如,对于银行,就没有存货及生产循环,而有发放贷款循
36、环、吸收存款循环。又如,某些被审计单位出口销售及国内销售的流程完全不同,可将销售及收款循环进一步划分为外销与内销两个子循环。对于某些被审计单位,固定资产的采购与维护可能很重要,也可以将固定资产单独作为一个业务循环。重要交易类别是指可能对被审计单位财务报表产生重大影响的各类交易。重要交易类别应及相关账户及其认定相联系,例如,对于一般制造业企业,销售收入与应收账款通常是重大账户,销售与收款都是重要交易类别。除了一般所理解的交易外,对财务报表具有重大影响的事项与情况也应包括在内,例如,计提资产的折旧或摊销,考虑应收款项的可回收性与计提坏账准备等。(二) 了解重要交易流程,并记录获得的了解在确定了重要
37、的业务流程与交易类别后,注册会计师便可着手了解每一类重要交易在信息技术或人工系统中生成、记录、处理及在财务报表中报告的程序,即重要交易流程。这是确定在哪个环节或哪些环节可能发生错报的根底。交易流程通常包括一系列工作:输入数据的核准及修订、数据的分类及合并、进展计算、更新账簿资料与客户信息记录、生成新的交易、归集数据、列报数据。而及注册会计师了解重要交易相关的流程通常包括生成、记录、处理与报告交易等活动。例如,在销售循环中,这些活动包括输入销售订单、编制货运单据与发票、更新应收账款信息记录等。相关的处理程序包括通过编制调整分录,修改并再次处理以前被拒绝的交易,以及修改被错误记录的交易。注册会计师
38、可以通过以下方法获得对重要交易流程的了解:1检查被审计单位的手册与其他书面指引;2询问被审计单位的适当人员;3观察所运用的处理方法与程序;4穿行测试。在执行上述步骤之前,注册会计师需要考虑以下事项:1该类交易影响的重大账户及其认定;2注册会计师已经识别的有关这些重大账户及其认定的经营风险与财务报表重大错报风险;3重要交易类别生成、记录、处理与报告所涉及的业务流程以及相关的信息技术处理系统。考虑上述事项可以帮助注册会计师确定询问对象,包括流程管理人员与信息技术人员。注册会计师可以通过检查被审计单位的手册与其他书面指引获得有关信息,还可以通过询问与观察来获得全面的了解。向适当人员询问通常是比拟有效
39、的方法。需要注意的是,很多重要交易的流程涉及被审计单位的多个部门。例如,销售业务可能涉及到销售部门负责订单处理与开票、会计部门负责账务处理与仓库负责发货等。因此,注册会计师需要考虑分别向不同部门的适当人员询问。向负责处理具体业务人员的上级进展询问通常更加有效,因为这些人员很可能对分管的整个业务流程十分熟悉。对一些简单的业务,被审计单位的财会人员可以向注册会计师提供足够的信息。然而,注册会计师如要了解关于一项复杂的业务是如何发生、处理、记录与报告的信息,通常需要与信息技术处理人员进展讨论。在了解过程中,注册会计师通常还能注意到许多正在执行的控制。虽然这个阶段的工作重点不是确定控制是否存在,注册会
40、计师仍需留意可能存在缺乏控制的情况,以及可能发生错报而需要控制的环节。注册会计师也可能发现在识别与评估控制时需要进一步审查的常规程序与数据档案。在询问过程中,注册会计师可以检查并在适当的情况下保存局部被审计单位文件如流程图、程序手册、职责描述、文件、表格等的复印件,以帮助其了解交易流程。通常,注册会计师会获得某些信息系统的文件资料。如系统的文字说明、系统图表以及流程图。为了有助于理解,注册会计师应当考虑在图表及流程图上加上自己的文字表述,归纳总结被审计单位提供的有关资料。如果可行的话,流程图或文字表述应反映所有相关的处理程序,无论这些处理程序是人工还是自动完成的。流程图或文字表述应足够详细,以
41、帮助注册会计师确定在什么环节可能会发生重大错报。因此,流程图或文字表述通常会反映业务流程中数据发生、入账或修改的活动。在较为复杂的环境中,一份流程图可能需要其他的流程图与文字表述予以支持。由于获取此类资料的最根本目的是帮助注册会计师确定哪个环节可能发生错报,因此,注册会计师要注意记录以下信息:1输入信息的来源;2所使用的重要数据档案,如客户清单及价格信息记录;3重要的处理程序,包括在线输入与更新处理;4重要的输出文件、报告与记录;5根本的职责划分,即列示各部门所负责的处理程序。注册会计师通常只是针对每一年的变化修改记录流程的工作底稿,除非被审计单位的交易流程发生重大改变。然而,无论业务流程及以
42、前年度相比是否有变化,注册会计师每年都要考虑上述考前须知,以确保对被审计单位的了解是最新的,并已包括被审计单位交易流程中相关的重大变化。(三) 确定可能发生错报的环节注册会计师需要确认与了解被审计单位应在哪些环节设置控制,以防止或发现并纠正各重要业务流程可能发生的错报。注册会计师所关注的控制,是那些能通过防止错报的发生,或者通过发现与纠正已有错报,从而确保每个流程中业务活动具体流程从交易的发生到记录于账目能够顺利运转的人工或自动化控制程序。尽管不同的被审计单位为确保会计信息的可靠性而对业务流程设计与实施不同的控制,但设计控制的目的是为实现某些控制目标见下表。实际上,这些控制目标及财务报表重大账
43、户的相关认定相联系。但注册会计师在此时通常不考虑列报认定,在本附录后述财务报告流程时将考虑该认定。控制目标表控制目标解 释1完整性:所有的有效交易都已记录。必须有程序确保没有漏记实际发生的交易。2存在与发生:每项已记录的交易均真实。必须有程序确保会计记录中没有虚构的或重复入账的工程。3适当计量交易。必须有程序确保交易以适当的金额入账。4恰当确定交易生成的会计期间截止性。必须有程序确保交易在适当的会计期间内入账例如,月、季、年等。5恰当分类。必须有程序确保将交易记入正确的总分类账,必要时记入相应的明细账内。6正确汇总与过账。必须有程序确保所有作为账簿记录中的借贷方余额都正确地归集加总,确保加总后
44、的金额正确过入总账与明细分类账。对于每个重要交易流程,注册会计师都会考虑这些控制目标。评价是否实现这些目标的重要标志是,是否存在控制来防止错报的发生,或发现并纠正错报,然后重新提交到业务流程处理程序中进展处理。注册会计师通过设计一系列关于控制目标是否实现的问题,从而确认某项业务流程中需要加以控制的环节。这些问题针对的是业务流程中数据生成、转移或被转换的环节。以以下举了局部在销售交易中的控制目标是否实现的问题。销售交易中的控制目标例如表控制目标是否实现的问题有关认定怎样确保没有记录虚构或重复的销售?发生怎样确保所有的销售与收入均已记录?完整性怎样保证货物运送给正确的收货人?发生怎样保证发货单据只
45、有在实际发货时才开具?发生怎样保证发票正确反映了发货的数量?准确性为实现某项审计目标而设计问题的数量,取决于以下因素:(1) 业务流程的复杂程度;(2) 业务流程中发生错报而未能被发现的概率;(3) 是否存在一种具有实效的总体控制来实现控制目标。例如,将仓库的发货日志中记录的发货数量及销售日记账中登记的数量定期进展核对调节,这一控制可以同时实现发生、完整性、截止等多个控制目标。注册会计师应将这些问题记录于工作底稿。(四) 识别与了解相关控制通过对被审计单位的了解,包括在被审计单位整体层面对内部控制各要素的了解,以及在上述程序中对重要业务流程的了解,注册会计师可以确定是否有必要进一步了解在业务流
46、程层面的控制。在某些情况下,注册会计师之前的了解可能说明被审计单位在业务流程层面针对某些重要交易流程所设计的控制是无效的,或者注册会计师并不打算信赖控制,这时注册会计师没有必要进一步了解在业务流程层面的控制。特别需要注意的是,如果认为仅通过实质性程序无法将认定层次的检查风险降至可承受的水平,或者针对特别风险,注册会计师应当了解与评估相关的控制活动。如果注册会计师方案对业务流程层面的有关控制进展进一步的了解与评价,那么针对业务流程中容易发生错报的环节,注册会计师应当确定:1被审计单位是否建立了有效的控制,以防止或发现并纠正这些错报;2被审计单位是否遗漏了必要的控制;3是否识别了可以最有效测试的控
47、制。1控制的类型。控制包括被审计单位使用并依赖的、用以在交易流程中防止错报的发生或在发生错报后发现及纠正错报的所有政策与程序。有效的控制应及错报发生的环节相关,并能降低错报风险。通常将业务流程中的控制划分为预防性控制与检查性控制,下面分别予以说明。1预防性控制。预防性控制通常用于正常业务流程的每一项交易,以防止错报的发生。在流程中防止错报是信息系统的重要目标。缺少有效的预防性控制增加了数据发生错报的可能性,特别是在相关账户及其认定存在较高的重大错报风险时,更是如此。预防性控制可能是人工的,也可能是自动化的。下表是预防性控制及其能防止错报的例子。预防性控制例如表对控制的描述控制用来防止的错报生成收货报告中的计算机程序,同时也更新采购档案。防止出现购货漏记账的情况。在更新采购档案之前必须先有收货报告。防止记录了未收到购货的情况。销售发票上的价格根据价格清单上的信息确定。防止销货计价错误。 计算机将各凭证上的账户号码及会计科目表比照,然后进展一系列的逻辑测试。防止出现分类错误。及简单的业务流程相比,对于较复杂的业务流程,被审计单位通常更
限制150内