核心考点十:内部控制体系各要素 - 内部环境
1.含义
内部环境包括治理职能和管理职能,以及治理层和管理层对内部控制体系及其重要性的态度、认识和行动。良好的内部环境是实施有效内部控制的基础。实际上,在审计业务承接阶段,注册会计师就需要对内部环境作出初步了解和评价。
2.内容
(1)诚信和道德价值观念的沟通与落实;
(2)对胜任能力的重视;
(3)治理层的参与程度;
(4)管理层的理念和经营风格;
(5)职权与责任的分配;
(6)人力资源政策与实务。
3.内部环境对评估重大错报风险的影响
(1)虽然令人满意的内部环境并不能绝对防止舞弊,但却有助于降低发生舞弊的风险。
(2)内部环境本身并不能防止或发现并纠正各类交易、账户余额和披露认定层次的重大错报,注册会计师在评估重大错报风险时,应当将内部环境连同其他内部控制要素产生的影响一并考虑。
4.风险评估程序
| 程序 | 内容 |
|---|---|
| 了解涉及下列方面的控制、流程和组织结构 | (1)管理层如何履行其管理职责,例如,被审计单位的组织文化,管理层是否重视诚信、道德和价值观; (2)在治理层与管理层分离的体制下,治理层的独立性以及治理层监督内部控制体系的情况; (3)被审计单位内部权限和职责的分配情况; (4)被审计单位如何吸引、培养和留住具有胜任能力的人员; (5)被审计单位如何使其人员致力于实现内部控制体系的目标 |
| 评价下列方面的情况 | (1)在治理层的监督下,管理层是否营造并保持了诚实守信和合乎道德的文化; (2)根据被审计单位的性质和复杂程度,内部环境是否为内部控制体系的其他要素奠定了适当的基础; (3)识别出的内部环境方面的控制缺陷,是否会削弱被审计单位内部控制体系的其他要素; (4)在信息技术环境下,注册会计师还应当重视对与被审计单位使用信息技术相关的内部环境的评价 |
内部环境对重大错报风险的评估具有广泛影响。有效的内部环境可以降低舞弊发生的风险。财务报表层次重大错报风险很可能源于内部环境存在缺陷。
注册会计师在评估重大错报风险时,存在令人满意的内部环境是一个积极因素,但内部环境本身并不能防止或发现并纠正各类交易、账户余额和披露认定层次的重大错报。
核心考点十一:内部控制体系各要素 - 风险评估
1.被审计单位风险评估的概念
被审计单位风险评估工作的作用是识别、评估和管理影响其实现经营目标能力的各种风险。由于被审计单位风险评估包括识别与财务报告相关的经营风险,以及针对这些风险 所采取的措施,注册会计师应当了解被审计单位的风险评估工作。
2.风险评估程序
(1)了解被审计单位的下列工作:①识别与财务报告目标相关的经营风险;②评估上述风险的重要程度和发生的可能性;③应对上述风险。
(2)根据被审计单位的性质和复杂程度,评价其风险评估工作是否适合其具体情况。
3.识别出管理层未能识别出的重大错报风险
(1)判断这些风险是否是被审计单位风险评估工作应当识别出的风险。如果注册会计 师认为,这些风险是被审计单位风险评估工作应当识别出的风险,则应当了解被审计单位风险评估工作未能识别出这些风险的原因。
(2)考虑对前述的注册会计师“评价其风险评估工作是否适合其具体情况”的影响。
核心考点十二:内部控制体系各要素 - 信息系统与沟通
1.对与财务报表编制相关的信息系统与沟通的了解
(1)与财务报表编制相关的信息系统应当与业务流程相适应。注册会计师在了解被审计单位的信息系统时,应了解被审计单位如何生成交易和获取信息。了解被审计单位的信息系统,还包括了解信息处理活动中使用的资源。
(2)注册会计师应当了解被审计单位内部,如何对财务报告的岗位职责以及与财务报表编制相关的重大事项进行沟通。注册会计师还应当了解管理层与治理层(特别是审计委员会)之间的沟通,以及被审计单位与外部(包括与监管部门)的沟通。
2.风险评估程序
(1)了解被审计单位的信息处理活动(包括数据和信息),在这些活动中使用的资源, 针对相关交易类别、账户余额和披露的信息处理活动的政策。
(2)了解被审计单位如何沟通与财务报表编制相关的重大事项,以及信息系统和内部 控制体系其他要素中的相关报告责任。
(3)评价被审计单位的信息系统与沟通是否能够为被审计单位按照适用的财务报告编 制基础编制财务报表提供适当的支持。
注册会计师应当评价被审计单位与财务报告相关的信息系统是否与业务流程相适应。(不能颠倒)
注册会计师通常只是针对每一年的变化修改记录流程的工作底稿,除非被审计单位的交易流程发生重大变化。
核心考点十三:内部控制体系各要素 - 控制活动
1.控制活动的概念和要素
控制活动是指有助于确保管理层的指令得以执行的政策和程序。控制活动的要素可能包括:
| 要素 | 含义 |
|---|---|
| 授权和批准 | 授权的形式通常为较高级别的管理层批准或验证并确定交易是否有效 |
| 调节 | 指将两项或多项数据要素进行比较,如果发现差异,则采取措施使数据相一致 |
| 验证 | 将两个或多个项目互相进行比较,或将某个项目与政策进行比较,如果两个项目不匹配或者某个项目与政策不一致,则可能对其执行跟进措施 |
| 实物或逻辑控制 | 包括保证资产的实物安全、逻辑访问权限、定期盘点等 |
| 职责分离 | 指将交易授权、交易记录以及资产保管等不相容职责分配给不同员工 |
2.对控制活动的了解
(1)注册会计师应当重点考虑一项控制活动单独或连同其他控制活动,是否能够以及如何防止或发现并纠正各类交易、账户余额和披露认定存在的重大错报。
(2)如果多项控制活动能够实现同一目标,注册会计师不必了解与该目标相关的每项控制活动。
3.风险评估程序
(1)识别用于应对认定层次重大错报风险的控制。
(2)基于上述第(1)项识别的控制,识别哪些信息技术应用程序及信息技术环境的其他方面,可能面临运用信息技术导致的风险。
(3)针对上述第(2)项中识别的信息技术应用程序及信息技术环境的其他方面,进一步识别:①运用信息技术导致的相关风险;②被审计单位用于应对这些风险的信息技术一般控制。
(4)针对上述第(1)项以及第(3)项第②点识别出的每项控制:①评价控制的设计是否有效,即这些控制能否应对认定层次重大错报风险或为其他控制的运行提供支持;②询问被审计单位内部人员,并运用其他风险评估程序,以确定控制是否得到执行。
分析程序是注册会计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系,以评价财务信息,而内部控制针对的是被审计单位日常的政策和程序,不适合使用分析程序。
