重大错报风险的评估与应对教材.ppt

下载

下载

48积分

60积分

下载

60积分

VIP价：48积分

第八章 重大错报风险的评估与应对 本章内容本章内容 1.风险评估概述 2.风险评估程序、信息来源和项目组内部讨论 3.了解被审计单位及其环境 4.了解被审计单位的内部控制 5.评估重大错报风险 6.针对报表层次重大错报风险的应对措施 7.针对认定层次重大错报风险的进一步审计程序 8.控制测试 9.实质性程序 10.评价列报的适当性 11.评价审计证据的充分性和适当性 12.审计工作记录 第一节 风险评估概述 • 问题的提出与现代风险导向审计 – 爱因斯坦在美国斯坦福大学演讲给学生出了道 题：“有两位工人，他们同时从烟囱里爬了出 来，一位是干净的，一位是脏的。请问他们谁 会去洗澡？” – 启示：任何判断都离不开对环境的洞察。检查 报表错报应具备高度的职业怀疑精神，在作出 判断之前，必须考虑被审计单位所处的环境， 否则容易受其花言巧语和造假魔术所蒙蔽。 • 传统的审计模式往往不太重视从宏观层面上了 解企业及其环境（如行业状况、监管环境、企 业的性质、企业业绩评价方法等），而仅从较 低层面的会计资料来评估舞弊风险，视野狭窄， 容易只见树木不见森林。 • 当前，被审计单位及其所处环境的日趋复杂， 传统审计模式的风险很高。为此，国际上在20 世纪90年代开始，就在研究新的审计模式。具 体成果就是国际审计和鉴证准则委员会 （IAASB）于2003年10月发布了3个新国际审计 风险准则。该准则所体现的理念称为“现代风 险导向审计”。 • 我国2006年2月发布的新审计准则借鉴了 IAASB的准则，新审计准则尤其强调要自上 而下地充分了解客户，从总体上识别重大 错报风险，即风险评估工作，而不是仅仅 从具体会计资料入手。 • 现代风险导向审计的其他称谓，如Big four的经营风险导向审计, 一些学者所称 的舞弊导向审计，公司治理导向审计等。 1、要求加强对被审计单位及其环境的了解。 2、要求在审计的所有阶段都要实施风险评估程序。 3、要求将识别和评估的风险与实施的审计程序挂钩。 4、要求针对重大的各类交易、账户余额、列报和披 露实施实质性程序。 5、要求将识别、评估和应对风险的关键程序形成审 计工作记录，以保证执业质量，明确执业责任。 一、新审计风险准则的重大变化 （一）含义 • 风险评估，是指以了解被审计单位及其环境为内 容，以识别和评估财务报表重大错报风险为目的而 实施的程序。 （二）总体要求 1.了解被审计单位及其环境不是可有可无的程序， 而是必须实施的程序。它有助于CPA在审计关键环节 作出合理职业判断。 2.风险评估是一个连续和动态收集、更新和分析 信息的过程，风险评估贯穿于整个审计过程的始终。 二、风险评估的含义与总体要求 风险评估有助于在六个关键环节作出合理职业判断。 • （1）确定重要性水平，并随着审计工作的进程评 估对重要性水平的判断是否仍然适当； • （2）考虑会计政策的选择和运用是否恰当，以及 财务报表的列报和披露是否适当； • （3）识别需要特别考虑的领域，包括关联方交易、 管理层运用持续经营假设的合理性，或交易是否 具有合理的商业目的等； • （4）确定在实施分析程序时所使用的预期值； • （5）设计和实施进一步审计程序，以将审计风险 降至可接受的低水平； • （6）评价所获取审计证据的充分性和适当性。 第二节 风险评估程序、信息来源和项目组内部讨论 一、风险评估程序与信息来源 （一）风险评估程序 1、询问询问被审计单位管理层和内部其他相关人员： （1）管理层关注的主要问题；如新的竞争对手、主要客 户和供应商的流失、新税法的实施、经营战略或目标的变 化等。 （2）被审计单位的财务状况、经营成果和现金流动； （3）可能影响财务报告的重大事项，如重大的购并； （4）企业的其他重要变化。如所有权结构、组织结构的 变化，以及内部控制的变化等。 询问对象的多样性和相关信息 • 询问治理层，有助于了解财务报表编制的环境； • 询问内部审计师，有助于了解内部审计针对内部控制设计和 运行所实施的工作，也可以了解管理层对内部审计发现的问 题是否采取了适当的行动； • 询问参与生成、处理或记录复杂或异常交易的员工，有助于 评估被审计单位选择和运用某项会计政策的适当性； • 询问内部法律顾问，有助于了解有关诉讼、法律法规的遵循 情况，影响被审计单位的舞弊或涉嫌舞弊、产品保证和售后 责任，与合作伙伴的安排（如合营企业）以及合同条款的含 义； • 询问营销或销售人员，有助于了解被审计单位的营销策略及 其变化、销售趋势或与其客户的合同安排； • 询问采购人员和生产人员，有助于了解被审计单位的原材料 采购和产品生产等情况； • 询问仓库管理人员，有助于了解原材料、产成品等存货的进 出、保管和盘点等情况。 2、分析程序 • 分析程序有助于识别异常的交易或事项，以及对 财务报表和审计产生影响的金额、比率和趋势， 确定重点审计领域，以较低的成本实现审计目标。 3、观察和检查 • （1）观察被审计单位的生产经营活动； • （2）检查有关书面文件和记录； • （3）阅读由管理层和治理层编制的报告； • （4）实地察看生产经营场地和设备； • （5）追踪交易在财务报告信息系统中的处理过程 （穿行测试）。 （二）其他审计程序和信息来源 1．被审计单位外部获取的信息 2．新承接客户时获取的信息 3．前期获取的信息 二、项目组内部的讨论 （一）讨论的目的 • 讨论的目的是互通信息、共享资源、交流意见； • 使每个人都了解自己负责领域发生重大错报风险的可能性， 了解各自实施的审计程序对其他人工作的影响以及对确定进 一步审计程序的影响； • 明确在整个审计过程中保持职业怀疑态度的重要性，对可 能发生重大错报风险的迹象保持足够的警惕。 （二）讨论的内容 • 项目组应当讨论被审计单位面临的经营风险、财 务报表容易发生错报的领域以及发生错报的方式， 特别是由于舞弊导致重大错报的可能性。 （三）参与讨论的成员 • 项目组的关键成员及相关专家。 （四）讨论的时间与方式 • 在整个审计过程中，要持续交换有关财务报表发 生重大错报可能性的信息。 第三节 了解被审计单位及其环境 一、了解的内容 （一）行业状况、法律环境与监管环境以及其他外部因素； （二）被审计单位的性质； （三）被审计单位对会计政策的选择和运用； （四）被审计单位的目标、战略以及相关经营风险； （五）被审计单位财务业绩的衡量和评价； （六）被审计单位的内部控制。 （一）行业状况 （1）所在行业的市场供求与竞争 （2）生产经营的季节性和周期性 （3）产品生产技术的变化 （4）能源供应与成本； （5）行业的关键指标和统计数据 （二）法律环境与监管环境 （1）适用的会计准则、会计制度和行业特定惯例； （2）对经营活动产生重大影响的法律法规及监管活动； （3）对开展业务产生重大影响的政府政策； （4）与被审计单位所处行业和所从事经营活动相关的环保要求。 （三）其他外部因素 （1）宏观经济的景气度 （2）利率和资金供求状况 （3）通货膨胀水平及币值变动 （4）国际经济环境和汇率变动 二、行业状况、法律环境与监管环境以及其他外部因素二、行业状况、法律环境与监管环境以及其他外部因素  所有权结构。有助于识别关联方关系并了解企业的决策 过程。并与财务报表合并范围、长期股权投资核算等有关。  治理结构。良好的治理结构可以对企业的经营和财务实 施有效的监督，降低财务报表发生重大错报的风险。  组织结构。复杂的组织结构可能导致某些舞弊风险。  经营活动。有助于识别预期在财务报表中反映的主要交 易类别、重要账户余额和列报。  投资活动。有助于关注企业在经营策略和方向上的重大 变化。  筹资活动。有助于评估企业在融资方面的压力，并进一 步考虑企业在可预见未来的持续经营能力。  “夏草炮轰精艺股份 第一大客户格力称未闻此公司 ” 三、被审计单位的性质 • （1）重要项目的会计政策和行业惯例 • （2）重大和异常交易的会计处理方法。 • （3）在新领域和缺乏权威性标准或共识的领域， 采用重要会计政策产生的影响 • （4）会计政策的变更。 • （5）被审计单位何时采用以及如何采用新颁布的 会计准则和相关会计制度。 • 影响：企业可能利用会计政策或会计估计及其变 更操纵利润 四、被审计单位对会计政策的选择和运用 五、被审计单位的目标、战略以及相关经营风险  了解是否存在以下七个方面的目标和战略，并考虑相应的 经营风险： （1）行业发展，可能导致的被审计单位不具备足以应对行业变化 的人力资源和业务专长等风险； （2）开发新产品或提供新服务，可能导致被审计单位产品责任增 加等风险； （3）业务扩张，可能导致的被审计单位对市场需求的估计不准确 等风险； （4）新颁布的会计法规，可能导致的被审计单位执行法规不当或 不完整，或会计处理成本增加等风险； （5）监管要求，可能导致的被审计单位法律责任增加等风险； （6）本期及未来的融资条件，可能导致的被审计单位由于无法满 足融资条件而失去融资机会等风险； （7）信息技术的运用，可能导致的被审计单位信息系统与业务流 程难以融合等风险。 1、审计师应当关注下列信息： ①关键业绩指标； ②业绩趋势 ； ③预测、预算和差异分析； ④管理层和员工业绩考核与激励性报酬政策； ⑤分部信息与不同层次部门的业绩报告； ⑥与竞争对手的业绩比较； ⑦外部机构提出的报告。 2、应当关注被审计单位内部财务业绩衡量所显示的未预期到的结 果或趋势、管理层的调查结果和纠正措施，以及相关信息是否显 示财务报表可能存在重大错报。 六、被审计单位财务业绩的衡量和评价 XY 公司财务报表舞弊风险分析 • 背景： • XY 公司为国内一家拟首次发行股票并上市的 股份公司，主要从事天然彩棉的研究和开发。 公司的主要产品为以天然彩棉为核心的初级产 品及终端产品，初级产品为彩棉种子、彩色皮 棉等，终端产品为彩色棉纱、彩棉服装等。公 司重要财务数据（未审数）见表一。 存货、主营业务成本、收入的情况 1. 存货及主营业务成本 • 盘点结果：存货数量账实基本相符。 • 产品成本计算和结转方法：对联产品成本的计量，按联产品销 售市价比例法确定各产品入账成本，符合有关规定；存货的发 出计价和成本结转用加权移动平均法按月进行计算。 • 存货期末价值：期末市价均高于成本，无需计提减值准备。 2. 收入 • 合同显示，2002年以前公司提供种子给种植单位，按照合同的 约定价格收购籽棉，并保证种植单位每亩收益不低于1000元， 不足部分由公司补足，此时向种植单位转移种子未做销售。 • 2001年12月公司取得种子经营许可证后，合同明确了种子销售 给种植单位以后，不再保证种植单位最低收益，公司仅按合同 约定价格收购籽棉。公司具体确认种子收入的时点为销售合同 已签订、棉种已出库转移给对方、发票已开出或价款已收到。 • 注册会计师未发现重大问题，据此出具了标准无保留意见。 初审材料上报后，证监会要求重新核查 • 我们简要分析舞弊风险： 1. 行业环境的分析 • 天然彩棉为高科技项目，处于开发初期，国内外同类产品的开 发应用也处在尚未成熟、未大规模推广的阶段。该阶段特点 为：研发费用高昂、规模经济效益尚未形成；虽然产品符合 人们对天然环保概念潮流的追求，但能否成为传统白色棉花 的替代品或以后棉纺织品的主流无法定论，经营前景存在较 大不确定性；公司是国内较早推出该产品的企业之一，且经 营规模是国内最大的。 2.企业经营活动的性质分析 • 公司的主要产品为彩色棉花的研究开发和相关产品的生产销售。 该产品的特点为天然彩色，符合人们对天然环保潮流的追求， 但与传统的白色棉花相比，使用价值与经济价值上的比较优 势不明显。不过，会计报表显示，其主要产品的毛利率接近 50%，远远超过传统白色棉花产业。由于开发初期的科研开发 费用高昂、规模经济效益尚未形成，高额的利润率有质疑的 理由。 3. 经营模式的分析 • 公司初级产品是彩棉种子、彩色皮棉等，采取销售彩棉 种子给各种植单位，然后收购籽棉，加工成彩色皮棉、 棉种等系列产品再进行销售的方式；终端产品为彩色棉 纱、彩棉内衣等，也是向加工单位提供彩色皮棉等原材 料，加工成各种终端产品后，由公司统一对外销售的方 式。显然，公司的主要经营模式为委托加工。 • ４、重要会计政策的分析 (１)收入确认分析 • 公司属委托加工模式，公司所生产的原材料或初级产品 的对外转移，在实质上不构成销售，在此阶段不能确认 相关收入。 • 然而，同为委托加工，公司对交易确认方法横向、纵向 的不一致，已经显示出操纵的成分。加之种子的销售利 润分别占2002、2003年度主营业务利润的％、 ％，占公司净利润的167％、107％。因而基本可 以确认公司在操纵收入。 (2)公司成本确认与计量的分析： • 公司按联产品销售市价比例法计算联产品成本，用加权 移动平均法计算成本结转，表面上产品成本的确认符合 有关规定。但从行业环境角度看，由于公司在国内处于 垄断地位，销售价格实际上完全由公司自行确定，相关 产品的售价并非真正意义上的市场价格，缺乏公允性， 在此价格基础上确定的联产品成本失去了可靠的基础。 • 同样，虽然存货期末价值根据报告日前后公司的销售发 票验证，表明存货的期末市价均高于成本价，但由于此 市价实际也并非真正意义上的市场公允价格，存货减值 准备的确定也存在问题。 • 事实证明：公司高层通过系统手段，精心构置并不存在 的交易，并在形式上合规，以粉饰报表取得上市资格。 第四节 了解被审计单位的内部控制 一、内部控制的内涵 • 内部控制是：被审计单位为了合理保证 财务报告的可靠性， 经营的效率和效果， 对法律法规的遵守， • 由治理层、管理层和其他人员设计和执行 的政策和程序。 企业目标 控制要素 实施者 经营效率 经营效果 会计报告 可信性 法律法规 遵循性 控制环境 风险评估 控制活动 信息与沟通 监督 董事会 经理层 其他员工 COSO 1992内部控制框架 二、与审计相关的内部控制 • 审计师考虑的并非是被审计单位整体的内部控制，而只是 与财务报表审计相关的内部控制，即与审计相关的控制。 （一）为实现财务报告可靠性目标设计和实施的控制 • 审计师应当运用职业判断，考虑一项控制单独或连同其他 控制是否与评估重大错报风险有关，是否与针对评估的风险 设计和实施进一步审计程序有关。 （二）其他与审计相关的控制 （1）被审计单位内部生成的信息。 （2）经营效率、效果的及对法律法规遵守的控制。 （3）保护资产的内部控制。 三、对内部控制了解的深度 ☆ 对内部控制了解的深度，是指在了解被审计单 位及其环境时对内部控制了解的程度，包括评价 控制的设计，并确定其是否得到执行。 （一）评价控制的设计 ☆ 审计师在了解内部控制时，应当评价控制的设 计，并确定其是否得到执行。 ☆ 评价控制的设计，是指考虑一项控制单独或连 同其他控制是否能够有效防止或发现并纠正重大 错报。 （二）评价控制设计的风险评估程序 （1）询问被审计单位的人员； （2）观察特定控制的运用； （3）检查文件和报告； （4）追踪交易在财务报告信息系统中的 处理过程（穿行测试）。 询问本身并不足以评价控制的设计以及确定其 是否得到执行，注册会计师应当将询问与其他 风险评估程序结合使用。 （三）了解内部控制与测试控制运行有效性 的关系 • 除非存在某些可以使控制得到一贯运行的 自动化控制，注册会计师对控制的了解并 不能够代替对控制运行有效性的测试。 • 例如，获取了某一人工控制在某一时点得 到执行的审计证据，并不能证明该控制在 所审计期间内的其他时点也有效运行。 ☆ 审计师应当考虑被审计单位是否通过建立有效的控制，以恰 当应对由于使用信息技术系统或人工系统而产生的风险。 ☆信息技术对内部控制产生的特定风险： （1）系统或程序未能正确处理数据，或处理了不正确的数据， 或两种情况同时并存； （2）在未得到授权情况下访问数据，可能导致数据的毁损或对 数据不恰当的修改，包括记录未经授权或不存在的交易，或不正 确地记录了交易； （3）信息技术人员可能获得超越其履行职责以外的数据访问权 限，破坏了系统应有的职责分工； （4）未经授权改变主文档的数据； （5）未经授权改变系统或程序； （6）未能对系统或程序作出必要的修改； （7）不恰当的人为干预； （8）数据丢失的风险或不能访问所需要的数据。 四、内部控制的人工和自动化成分 • 人工控制产生的特定风险： （1）人工控制可能更容易被规避、忽视或凌驾； （2）人工控制可能不具有一贯性； （3）人工控制可能更容易产生简单错误或失误。 • 人工成分在处理需要主观判断或酌情处理的情形时更适当： （1）存在大额、异常或偶发的交易； （2）存在难以定义、防范或预见的错误； （3）为应对情况的变化，需要对现有的自动化控制进行调整； （4）监督自动化控制的有效性。 • 人工控制在下列三种情形中可能是不适当的： （1）存在大量或重复发生的交易； （2）事先可预见的错误能够通过自动化控制得以防或发现； （3）控制活动可得到适当设计和自动化处理。 ☆ 无论如何设计和执行，只能对财务报告的可靠性提供合 理的保证，而非绝对的保证。主要包括： • 1、决策时的人为判断可能出现错误或失误，导致内部 控制失效； • 2、可能两人或更多的人员串通而被规避； • 3、管理层凌驾于内部控制之上而被规避； • 4、成本——效益原则的限制 • 5、内控通常针对经常而重复发生的业务，对不经常发 生或未预计业务，原有控制可能不适用。 ☆ 小型被审计单位由于员工较少，业主凌驾于内部控制之 上的可能性较大，审计师应当考虑一些关键领域是否存在 有效的内部控制。 五、内部控制的局限性 六、控制环境 （一）控制环境 • 控制环境包括治理职能和管理职能，以及治理层 和管理层对内部控制及其重要性的态度、认识和 措施。 • 控制环境设定了被审计单位的内部控制基调，影 响员工对内部控制的认识和态度。良好的控制环 境是实施有效内部控制的基础。 • 在评价控制环境时，审计师应当了解管理层在治 理层的监督下，是否营造并保持了诚实守信和合 乎道德的文化，以及是否建立了防止或发现并纠 正舞弊和错误的恰当控制。 （1）对诚信和道德价值观念的沟通与落实 • 诚信和道德价值观念是控制环境的重要组成部分， 影响到重要业务流程的设计和运行。因为内部控 制是否有效，直接依赖于负责创建、管理和监控 内部控制的人员的诚信和道德价值观念。 • 被审计单位是否存在道德行为准则，以及这些准 则如何在内部沟通和落实，决定了是否能产生诚 信和道德的行为。 • 体现：管理层如何处理不诚实、非法或不道德行 为。被审计单位内部通过行为规范以及高层管理 人员的身体力行，对诚信和道德价值观念的营造 和保持。 • 了解和评价的主要因素 （1）被审计单位是否有书面的行为规范并向所有员 工传达； （2）被审计单位的企业文化是否强调诚信和道德价 值观念的重要性，如果违反，是否会受到惩罚； （3）管理层是否身体力行，高级管理人员是否起表 率作用； （4）对违反有关政策和行为规范的情况，管理层是 否采取适当的惩罚措施。 浙江农资集团有限公司企业文化 3M的企业价值观 （2）对胜任能力的重视 • 胜任能力，是指具备完成某一职位的工作所应有的知识和 能力。 • 管理层对胜任能力的重视包括对于特定工作所需的胜任能 力水平的设定，以及对达到该水平所必需的知识和能力的 要求。 • 审计师了解和评估时考虑的主要因素： （1）财会人员以及信息管理人员是否具备与被审计单位业 务性质和复杂程度相称的足够的胜任能力和培训，在发生 错误时，是否通过调整人员或系统来加以处理； （2）管理层是否配备足够的财会人员以适应业务发展和有 关方面的需要； （3）财会人员是否具备理解和运用会计准则所需的技能。 （3）治理层的参与程度 • 被审计单位的控制环境在很大程度上受治 理层的影响。 • 董事会、审计委员会或类似机构，监督被 审计单位的财务报告政策和程序，并监督 内外部的审计工作和结果。 • 治理层的职责还包括监督用于复核内部控 制有效性的政策和程序设计是否合理，执 行是否有效。 • 审计师在了解和评估时考虑的主要因素： （1）董事会是否建立了审计委员会或类似机构； （2）董事会、审计委员会或类似机构是否与内部审计人员以及审计师 有联系和沟通，联系和沟通的性质以及频率是否与被审计单位的规模 和业务复杂程度相匹配； （3）董事会、审计委员会或类似机构的成员是否具备适当的经验和资 历； （4）董事会、审计委员会或类似机构是否独立于管理层； （5）审计委员会或类似机构会议的数量和时间是否与被审计单位的规 模和业务复杂程度相匹配； （6）董事会、审计委员会或类似机构是否充分地参与了财务报告的过 程； （7）董事会、审计委员会或类似机构是否对经营风险的监控有足够的 关注，进而影响被审计单位和管理层的风险评估进程（包括舞弊风险） ； （8）董事会成员是否有很高的流动性。 （4）管理层的理念和经营风格 • 管理层良好的经营理念和经营风格，可以创造 一个积极的氛围，促进业务流程和内部控制的 有效运行，同时创造一个减少错报发生可能性 的环境。 • 管理层对内部控制的理念是指管理层对内部控制 以及对具体控制实施环境的重视程度。管理层对 内部控制的重视将有助于控制的有效执行，并减 少特定控制被忽视或规避的可能性。 • 控制理念反映在管理层制定的政策、程序及所采 取的措施中，而不是反映在形式上。管理层必须 告知员工内部控制的重要性，同时，只有建立适 当的管理层控制机制，控制理念才能产生预期的 效果。 • 管理层对内部控制重视程度的标准 – 管理层收到有关内部控制弱点及违规事件的报 告时作出何种反应。如果管理层及时下达纠弊 措施，表明他们对内部控制的重视，也有利于 加强企业内部的控制意识。 • 管理层的经营风格 – 是指管理层所能接受的业务风险的性质。例如， 管理层是否经常投资于高风险的领域或者极为 保守。管理层是否谨慎行事，是否只在对方案 的风险和潜在利益进行仔细分析研究后才采取 进一步的措施。 • 注册会计师在了解和评估时考虑的主要因素： （1）管理层是否对内部控制给予了适当的关注； （2）管理层是否由一个或几个人所控制，而董事会、审计 委员会或类似机构对其是否实施有效监督； （3）管理层在承担和监控经营风险方面是风险偏好者还是 风险规避者； （4）管理层在选择会计政策和作出会计估计时是倾向于激 进还是保守； （5）管理层对于信息流程以及会计职能部门和人员是否给 予了适当关注； （6）对于重大的内部控制和会计事项，管理层是否征询注 册会计师的意见，或者经常在这些方面与注册会计师存在 不同意见。 （5）组织结构职权与责任的分配 • 被审计单位的组织结构为计划、运作、控 制及监督经营活动提供了一个整体框架， 它明确规定一个组织内部各部门和工作人 员的权限和责任,以及相应的报告体系。 • 企业的组织结构包括：确定组织各单位的 性质和形式(包括确认相关的管理职能和报 告关系)；为每个组织单位制定内部划分责 任权限的办法。 • 被审计单位组织结构的合理性在一定程度 上取决于被审计单位的规模和经营活动的 性质。 • 注册会计师在了解和评估时考虑的主要因素： （1）在被审计单位内部是否有明确的职责划分， 是否将业务授权、业务记录、资产保管和维护， 以及业务执行的责任尽可能地分离； （2）是否有适当的结构来划分数据的所有权； （3）是否已针对授权交易建立适当的政策和程 序（是否建立了执行特定职能的授权机制）。 （4）是否确保每个人都清楚地了解报告关系 和责任。 （5）对分散经营活动的监督是否充分。 （6）人力资源政策与实务 • 内部控制政策与程序的有效性，通常取决于执行人， 因此，被审计单位员工的能力与诚信是控制环境中不 可缺少的因素。 • 人力资源政策与实务涉及招聘、培训、考核、晋升和 薪酬等方面。 • 如果招聘录用标准要求录用最合适的员工，同时强调 员工的学历、经验、诚信和道德，这表明被审计单位 希望录用有能力并值得信赖的人员。 • 培训方面的政策，显示了员工应达到的工作表现和业 绩水准。 • 通过定期考核实行的晋升政策，表明了被审计单位希 望具备相应资格的人员承担更多的职责。 • 注册会计师在了解和评估时考虑的主要因素： （1）被审计单位是否在招聘、培训、考核、晋升、 薪酬、调动和辞退员工方面都有适当的政策和程 序（特别是在会计、财务和信息系统方面）； （2）是否有书面的员工岗位职责手册，或者在没有 书面文件的情况下，对于工作职责和期望是否作 了适当的沟通和交流； （3）人力资源政策与程序是否清晰，并且定期发布 和更新； （4）是否设定适当的程序对分散在各地区和海外的 经营人员建立和沟通人力资源政策与程序。 对控制环境的评价 • 注册会计师应当评价控制环境各个要素是否得到 执行。 • 评价方法：询问、观察和检查等风险评估程序。 • 通过询问管理层和员工，注册会计师可能了解管 理层如何就业务规程和道德价值观念与员工进行 沟通； • 通过检查文件，可以了解管理层是否建立了正式 的行为守则； • 通过询问和观察，可以了解行为守则在日常工作 中是否得到遵守，以及管理层如何处理违反行为 守则的情形。 • 注册会计师在评估重大错报风险时，令人满意的 控制环境是一个积极的因素，它有助于降低舞弊 的风险。 • 有效的控制环境还为注册会计师相信在以前年度 和期中所测试的控制将继续有效运行提供一定基 础。相反，控制环境中存在的弱点可能削弱控制 的有效性。 • 控制环境本身并不能防止或发现并纠正具体认定 层次的重大错报，因此，注册会计师在评估重大 错报风险时应当将控制环境连同其他内部控制要 素产生的影响一并考虑。例如，将控制环境与具 体控制活动和对控制的监督一并考虑。 • 2005年8月，中国一批国有企业的高层主管来到哈佛 商学院，接受为期三个月的培训。上《管理与企业未来》 这门课时，根据哈佛最著名的案例教学法，他们拿到的是 一份具有测试性质的案例。请根据下面三家公司的管理现 状，判断它们的前途： • 公司A：8点上班，实行打卡制，迟到或早退一分钟扣 50元；统一着装，必须佩带胸卡；每年有组织地搞一次旅 游、两次聚会、3次联欢、4次体育比赛，每个员工每年要 提4项合理化建议。 • 公司B：9点钟上班，但不考勤。每人一个办公室，每 个办公室可以根据个人的爱好进行布置；走廊的白墙上， 信手涂鸦不会有人制止；饮料和水果免费敞开供应；上班 时间可以去理发、游泳。 • 公司C：想什么时候来就什么时候来；没有专门的制 服，爱穿什么就穿什么，把自家的狗和孩子带到办公室也 可以；上班时间去度假也不扣工资。 • 控制环境的评价：一个难题 • 教授发完答题卡后说，请根据各自的管理经验作出判 断。最后，96%的人认为第一家公司会有更好的前景。测 试完毕，教授宣布了3家公司的真实身份— • 公司A：广东金正电子有限公司。1997年成立，是一家 集科研、制造为一体的多元化高科技企业。2005年7月， 因管理不善，申请破产，生存期9年。 • 公司B：微软公司。1975年创立，现为全球最大的软件 公司和美国最有价值的企业，股票市值2883亿美元。 • 公司C：GOOGLE公司。1998年由斯坦福大学的两名学生 创立，目前每股股价402美元，上市一年翻了3倍，超越全 球媒体巨人时代华纳，直逼百年老牌可口可乐，也是唯一 一家能从微软帝国挖走人才的公司。 • • 教授宣布完结果之后，开始讲课，讲的是《管理与企 业未来》的第一章：自由是智慧之源。 • 在这一章里，其中有这么一段：在知识经济时代，财 富不过是在自由价值观普及的社会里，无数个人自由活动 的副产品。在个人自由得到最大保障的社会，民众的智慧 空前活跃，创新的东西也会被不断推出，财富作为副产品 就会像火山爆发般喷涌出来。管理则没有这种功能。管理 可以聚拢现有的智慧和力量，可以创造一时的强盛，但会 使智慧之源枯竭，为强盛土崩瓦解埋下伏笔，而且无一例 外地都会导向衰亡。 • 前不久，该教授到一著名的广告公司参观。在总裁的 办公桌上，看到了他的座右铭：“管理的根本是给员工创 造自由的氛围，从而让他们呈现出智慧。”难怪该公司的 业务占了全城的70%。 你怎么看待内部控制？ 七、被审计单位的风险评估过程 • 风险评估过程：识别、评估和管理影响企业经营 目标实现能力的各种风险。 • 可能产生风险的事项和情形包括：监管及经营环 境的变化、招收新的员工、业务高速发展、新技 术、新产品或新作业、信息系统的变化、公司重 组、新的会计准则，等等。 • 在评价被审计单位风险评估过程的设计和执行时， 注册会计师应当确定管理层如何识别与财务报告 相关的经营风险，如何评估该风险的重要性，如 何评估风险发生的可能性，以及如何采取措施管 理这些风险。 • 如果被审计单位的风险评估过程符合其具体情 况，有助于注册会计师识别重大错报的风险。 • 注册会计师应当询问管理层识别出的经营风险， 并考虑这些风险是否可能导致重大错报。 • 在审计过程中，如果识别出管理层未能识别的 重大错报风险，注册会计师应当考虑被审计单 位的风险评估过程为何没有识别出这些风险， 以及评估过程是否适合于具体环境。 八、信息系统与沟通 （一）与财务报告相关的信息系统信息系统 • 用以生成、记录、处理和报告交易和事项，对相关资产、 负债和所有者权益履行经营管理责任的程序和记录。 • 与财务报告相关的信息系统所生成信息的质量，对管理层 能否作出恰当的经营管理决策以及编制可靠的财务报告具 有重大影响。 • 与财务报告相关的信息系统通常包括五个职能： （1）识别与记录所有的有效交易； （2）及时、详细地描述交易，以便在财务报告中对交易作 出恰当分类； （3）恰当计量交易，以便在财务报告中对交易的金额作出 准确记录； （4）恰当确定交易生成的会计期间； （5）在财务报表中恰当列报交易。 （二）与财务报告相关的沟通 • 与财务报告相关的沟通包括使员工了解： – 各自在与财务报告有关的内部控制方面的职责； – 员工之间的工作联系； – 向适当级别的管理层报告例外事项的方式。 • 沟通可以采用政策手册、会计和财务报告手册和备忘录等 形式进行，也可以通过发送电子邮件、口头沟通和管理层 的行动来进行。 • 注册会计师应当了解： – 被审计单位内部如何对财务报告的岗位职责，以及与 财务报告相关的重大事项进行沟通。 – 管理层与治理层之间的沟通。 – 被审计单位与外部（包括与监管部门）的沟通。 九、控制活动 • 控制活动，是指有助于确保管理层的指令得以执行的政策 和程序，包括与授权、业绩评价、信息处理、实物控制和 职责分离等相关的活动。 1．授权 • 授权包括一般授权和特别授权。一般授权是指管理层制定 的要求组织内部遵守的普遍适用于某类交易或活动的政策。 特别授权是指管理层针对特定类别的交易或活动逐一设置 的授权。 2．业绩评价 • 包括：分析评价实际业绩与预算（或预测、前期业绩）的 差异，综合分析财务数据与经营数据的内在关系，将内部 数据与外部信息来源相比较，从而评价职能部门、分支机 构或项目活动的业绩，以及对发现的异常差异或关系采取 必要的调查与纠正措施。 例如，重大资本支出和股票发行等。特别授权也可能用于超过一般授权限 制的常规交易。例如，同意因某些特别原因，对某个不符合一般信用条件 的客户赊购商品。 例如：采购部门可根据自动订货点订货；销售部门在规定的赊销限额内 进行赊销业务。 3．信息处理 • 与信息处理有关的控制活动，包括信息技术一般控制和应 用控制。 • 一般控制是指与多个应用系统有关的政策和程序，有助于 保证信息系统持续恰当地运行，支持应用控制作用的有效 发挥。通常包括：数据中心和网络运行控制，系统软件的 购置、修改及维护控制，接触或访问权限控制，应用系统 的购置、开发及维护控制。 • 应用控制是指主要在业务流程层次运行的人工或自动化程 序，与生成、记录、处理、报告交易或其他财务数据的程 序相关。通常包括：检查数据计算准确性，审核账户和试 算平衡表，设置对输入数据和数字序号的自动检查，以及 对例外报告进行人工干预。 4．实物控制 • 实物控制主要包括： – 对资产和记录采取适当的安全保护措施。如限制接近。 – 对访问计算机程序和数据文件设置授权。 – 定期盘点并将盘点记录与会计记录相核对。 • 实物控制的效果影响资产的安全，从而对财务报表的可靠 性及审计产生影响。 5．职责分离 • 注册会计师应当了解职责分离，主要包括了解被审计单位 如何将交易授权、交易记录以及资产保管等职责分配给不 同员工，以防范同一员工在履行多项职责时可能发生的舞 弊或错误。 ☆企业需要分离的职务（不相容职务）通常包括： ①记帐与经济业务事项和会计事项的审批、经办、财务保 管职务； ②经济业务事项的授权批准职务和经办职务； ③经办经济业务事项的职务与审查稽核职务； ④保管财产物资的职务与清查财产物资的职务； ⑤出纳与稽核、会计档案保管和收入、支出、费用、债权 债务帐目的登记； ⑥重大对外投资、资产处置、资金调度和其他重要经济业 务事项的决策和执行的相互监督、相互制约职务； ⑦计算机信息系统环境下的系统分析、程序设计、电脑操 作和数据控制等职务。 6、凭证与记录控制 ☆对凭证与记录应实行严格的控制措施，包括： ①预先连续编号 ②有经济业务事项发生时应立即编制或发生后尽快编 制凭证与记录。 ③记录应简单明了，能保证清楚地理解。 ④尽可能按一证多用的原则设计，以减少凭证的种类。 ⑤凭证与记录的格式要合理，以利于正确地编制。 十、对控制的监督(监控) • 对控制的监督，是指被审计单位评价内部控制在 一段时间内运行有效性的过程。该过程包括及时 评价控制的设计和运行，以及根据情况的变化采 取必要的纠正措施。 • 例如，管理层对是否定期编制银行存款余额调节 表进行复核，内部审计评价销售人员是否遵守公 司关于销售合同条款的政策，法律部门定期监控 公司的道德规范和商务行为准则是否得以遵循等。 • 监督对控制的持续有效运行十分重要。假如，如 果没有对银行存款余额调节表是否及时、准确编 制进行监督，该项控制可能无法得到持续的执行。 • 通常，被审计单位通过持续的监督活动（如部门经理 的监控）、专门的评价活动（如内部审计）或两者相 结合，来实现对控制的监督。 • 被审计单位也可能利用与外部有关各方沟通或交流所 获取的信息来监督相关的控制活动。外部信息可能显 示内部控制存在的问题和需要改进之处。例如： – 客户通过付款来表示其同意发票金额，或者认为发票 金额有误而不付款。 – 监管机构（如银行监管机构）可能会对影响内部控制 运行的问题与被审计单位沟通。 第五节 评估重大错报风险 一、识别和评估重大错报风险 （一）程序 1、在了解被审计单位及其环境的过程中识别风险，并考虑各项交易、 账户余额和列报； 2、将识别的风险与可能发生的错报领域相联系； 3、考虑识别的风险是否重大； 4、考虑识别的风险导致财务报表存在重大错报的可能性。 （二）可能表明被审计单位存在重大错报风险的事项或情况（P249） （三）重大错报风险的层次 1、财务报表层次；如控制环境不佳。 2、特定的交易、账户、列报层次 例如，客户因相关环境法规的实施需要更新设备，将导致对原有设备提 取减值准备；宏观经济低迷可能预示应收账款的回收存在问题；竞争者 开发的新产品上市，可能导致客户的主要产品在短期内过时，预示将出 现存货跌价和长期资产（如固定资产等）的减值。 例如，销售困难使产品的市场价格下降时，注册会计师还应当考虑产品 市场价格下降的幅度、该产品在被审计单位产品中的比重等，以确定识 别的风险对财务报表的影响是否重大。 例如，销售困难使产品的市场价格下降，可能导致年末存货减值而需要 计提存货跌价准备，这显示存货的计价认定可能发生错报。 例如，被审计单位对存货跌价准备的计提实施了有效的内部控制，管理 层已根据存货的可变现净值，计提了相应的跌价准备。在这种情况下， 财务报表发生重大错报的可能性将相应降低。 （四）控制对评估认定层次重大错报风险的影响 • 在评估重大错报风险发生的可能性时，注册会计师应当将 所了解的控制与特定认定相联系。因为，控制有助于防止 或发现并纠正认定层次的重大错报，对风险有抵消和遏制 作用。 • 控制可能与某一认定直接相关或间接相关。关系越间接， 控制在防止或发现并纠正认定中错报的作用越小。 • 例如，销售经理对分地区的销售网点的销售情况进行复核， 与销售收入的完整性认定只是间接相关。相应地，该项控 制在降低完整性认定中的错报风险效果，要差于直接将发 货单据与开具的销售发票相核对。 • 通常，注册会计师需要将有助于防止特定认定发 生重大错报的控制，与其他要素综合考虑。因为， 单个的控制活动（如将发货单和销售发票核对） 本身并不足以控制重大错报风险。多种控制活动 综合起来才足以控制重大错报风险。 • 也有某些控制活动可能专门针对某类交易或账户 余额的个别认定。例如，确保盘点人员能够正确 地盘点和记录存货的控制活动，直接与存货账户 余额的存在性和完整性认定相关。注册会计师只 需要对盘点过程和程序进行了解就可以确定控制 是否能够实现目标。 • 需要特别考虑的重大错报风险又称“特别风险”。 （一）特别风险的判定 1、风险是否属于舞弊风险； 2、风险是否与近期经济环境、会计处理方法和其他方面的重大变化 有关； 3、交易的复杂程度； 4、风险是否涉及重大的关联方交易； 5、财务信息计量的主观程度，如对不确定性的计量存在较大的区间， 涉及到大量的主观判断。如资产减值，衍生金融工具的估值； 6、风险是否涉及异常或超出正常经营过程的重大交易（非常规交易） 非常规交易具有四个特征：①管理层更多地介入会计处理；②数 据收集和处理涉及更多的人工成分；③复杂的计算或会计处理方 法；④非常规交易的性质可能使被审计单位难以对由此产生的特 别风险实施有效控制。 二、需要特别考虑的重大错报风险 （二）特别风险的处理 • 对特别风险，注册会计师应当评价相关控制的设 计情况，并确定其是否已经得到执行。 • 与重大非常规交易或判断事项相关的风险很少受 到日常控制的约束，注册会计师应当了解被审计 单位是否针对该特别风险设计和实施了控制。 • 如果管理层未能实施控制以恰当应对特别风险， 审计师应当认为内部控制存在重大缺陷，并考虑 其对风险评估的影响。同时，应当考虑就此类事 项与治理层沟通。 三、仅通过实质性程序无法应对的重大错报风险 • 如果认为仅通过实质性程序无法将认定层次的重大 错报风险降至可接受的低水平，注册会计师应当考 虑依赖相关内部控制，执行控制测试。 • 在被审计单位对日常交易采用高度自动化处理的情 况下，审计证据可能仅以电子形式存在，其充分性 和适当性通常取决于自动化信息系统相关控制的有 效性，此时，仅通过实施实质性程序可能不能获取 充分、适当审计证据。 三、风险评估程序与实质性测试的采用 了解客户 （包括内控） 实质性测试 初步评价 风险 最终评价 风险 控制测试 进一步评价 风险 若认为仅通过实质性测试程序不能获取充分、适当的审计证据，或者初步 判断内部控制有效，审计师应当考虑依赖对内部控制的评估和测试。 评估重大风险是一个连续和动态地收集、更新和分析信息的过程，注册会计 师应该在审计业务实施过程中对其进行修正。 内部控制无效，或者实质性测 试程序可以获取充分、适当的 审计证据。 第六节 针对报表层次重大错报风险的应对措施 一、总体应对措施 1、态度上：审计过程中强调保持职业怀疑态度的必要性； 2、技能上：分派更有经验或具有特殊技能的审计人员，或 利用专家的工作； 3、管理上：提供更多的督导； 4、技术上： （1）使某些程序不被管理层预见或事先了解（增加不可预 见性）； （2）对拟实施审计程序的性质、时间和范围作出总体修改。 • 报表层次风险大多来源于薄弱的控制环境，此时 审计师在对审计程序作出总体修改时应当考虑： 1、时间：在期末而非期中实施更多的审计程序。控 制环境的缺陷通常会削弱期中获得的审计证据的 可信赖程度； 2、性质：主要依赖实质性测试程序，获取更具说服 力的审计证据。控制测试少做或不做； 3、范围：扩大审计程序的范围。扩大样本规模，或 采用更详细的数据实施分析程序。 二、对审计程序作出总体修改 1、对某些以前未测试的低于设定重要性水平或 风险较小的账户余额和认定实施实质性程序； 2、 调整实施审计程序的时间，使其超出被审计 单位的预期； 3 、采取不同的审计抽样方法，使当年抽取的测 试样本与以前有所不同； 4 、选取不同的地点实施审计程序，或预先不告 知被审计单位所选定的测试地点。如存货监盘 地点的选择 三、增加审计程序的不可预见性 一些可能适用的具有不可预见性的审计程序 存货 (1)向以前审计过程中接触不多的被审计单位员工询问，例如采购、销 售、生产人员等。 (2)在不事先通知被审计单位的情况下，选择一些以前未曾访问过的盘 点地点进行存货监盘。 销售／应收 账款 (1)向以前审计过程中接触不多或未曾接触过的被审计单位员工询问， 例如负责处理大客户账户的销售部人员。 (2)改变实施实质性分析程序的对象，例如对收入按细类进行分析。 (3)针对销售和销售退回延长截止测试期间。 (4)实施以前未曾考虑过的审计程序，例如： ①函证确认销售条款或者选定销售额较不重要、以前未曾关注的销售 交易，例如对出口销售实施实质性程序： ②实施更细致的分析程序，例如使用计算机辅助审计技术审阅销售及 客户账户。 ③测试以前未曾函证过的账户余额，例如，金额为负或是零的账户， 或者余额低于以前设定的重要性水平的账户。 ④改变函证日期，即把所函证账户的截止日期提前或者推迟。 ⑤对关联公司销售和相关账户余额，除了进行详细函证外，再实施其 他审计程序进行验证。 审计领域 一些可能适用的具有不可预见性的审计程序 采购／应付 账款 (1)如果以前未曾对应付账款余额普遍进行函证，可考虑 直接向供应商函证确认余额。如果经常采用函证方式， 可考虑改变函证的范围或者时间。 (2)对以前由于低于设定的重要性水平而未曾测试过的采 购项目，进行细节测试。 (3)使用计算机辅助审计技术审阅采购和付款账户，以发 现一些特殊项目，例如是否有不同的供应商使用相同 的银行账户。 现金/银行存 款 (1)多选几个月银行存款余额调节表进行测试。 (2)对有大量银行帐户的，考虑改变抽样方法。 固定资产 对以前由于低于设定的重要性水平而未曾测试过的固定资 产进行测试，例如考虑实地盘查一些价值较低的固定 资产，如汽车和其他设备等。 第七节 针对认定层次重大错报风险的 进一步审计程序 一、进一步审计程序的内涵和要求 （一）内涵 • 针对各类交易、账户余额、列报认定层次评估的重大错报风险而 实施的审计程序，包括控制性测试和实质性测试。 • 进一步审计程序的性质、时间和范围当中，程序的性质与特定错 报风险相关是最重要的。 （二）设计进一步审计程序时当考虑的因素 1、风险的重要性（后果的严重程度）； 2、重大错报发生的可能性； 3、涉及的各类交易、账户余额和列报的特征； 4、被审计单位采用的特定控制的性质； 5、审计师是否拟获取审计证据，以确定内部控制在防止或发现并 纠正重大错报方面的有效性（控制测试会影响实质性测试）。 （三）审计方案的选择 • 实质性方案：以实质性程序为主； • 综合性方案：控制测试与实质性测试结合 • 当评估的重大错报风险属于高水平时，更倾向于采用实质性方案。 • 对于小型被审计单位，CPA通常考虑采用实质性方案。 二、进一步审计程序的性质、时间和范围 （一）性质（两个角度） 1、目的：实施控制测试确定内控运行的有效性； 实施实质性程序以发现认定层次的重大错报。 2、类型：检查、观察、询问、函证、重新计算、重新执行、分析程序 ◆不同类型和目的的审计程序应对特定认定错报风险的效力不同。 ◆ 审计师应当根据认定层次重大错报风险的评估结果选择审计程序。 （二）时间 • 进一步审计程序的时间涉及两个层面的问题 1、选择在何时实施进一步审计程序，它涉及到如何权 衡期中与期末实施审计程序的关系。 2、选择获取什么期间或时点的审计证据的问题。它涉 及到如何权衡期中审计证据与期末审计证据的关系、 如何权衡以前审计获取的审计证据与本期审计获取 的审计证据的关系。 ◆ 审计师可以在期中或期末实施控制测试或实质性程 序。当重大错报风险较高时，审计师应当考虑在期 末或接近期末实施实质性程序，或采用不通知的方 式，或在管理层不能预见的时间实施审计程序。 ◆ 期中测试的积极作用 • 在工作初期就识别出重大事项，并在管理层协助下及时解 决，或针对这些事项制定有效的实质性方案或综合性方案。 ◆期中测试的局限性 • 首先，往往难以仅凭在期中实施的进一步审计程序获取有 关期中以前的充分、适当的审计证据（例如，交易或事项 在期中审计结束时尚未完结）； • 其次，从期中到期末这段剩余期间往往会发生重大的交易 或事项，从而对所审计期间财务报表认定产生重大影响； • 再次，被审计单位管理层也完全有可能在注册会计师于期 中实施了进一步审计程序之后，对期中以前的相关会计记 录做出调整甚至篡改，导致所获取的审计证据已经发生了 变化。 ◆为此，如果在期中实施了进一步审计程序，注册会计师还 应当针对剩余期间获取审计证据。 ◆ 审计师在确定何时实施审计程序时应当考 虑的几项重要因素（P259）： 1．控制环境（好则可以抵消期中审计的局 限性） 2．何时能得到相关信息 3．错报风险的性质（如临近会计期末的突 击性交易） 4．审计证据适用的期间或时点（如存货） （三）范围 ◆进一步审计程序的范围，是指实施进一步审计程 序的数量，包括抽取的样本量，对某项控制活动 的观察次数等。 ◆在确定审计程序的范围时，审计师应当考虑下列 三个因素： 1．确定的重要性水平： 反向变化。 2．评估的重大错报风险 ：同向变化。 3．计划获取的保证程度：同向变化。 第八节 控制测试 一、控制测试的涵义和要求 （一）涵义 ◆ 控制测试，是指测试内部控制运行的有效性。 ◆ 风险评估中的“了解内部控制”，是了解内控的“设计”和 “是否得 到执行”。对“是否得到执行” ，主要确定某项控制是否存在，是否 正在使用。 ◆ 两种情况下需要实施控制测试： 1、预期控制的运行是有效时； 2、仅实施实质性程序不足以提供认定层次充分、适当的审计证据时。 ◆ 控制测试中，审计师关注以下运行有效性： （1）控制在所审计期间的不同时点是如何运行的； （2）控制是否得到一贯执行； （3）控制由谁执行； （4）控制以何种方式运行。 二、控制测试的性质 ◆ 指控制测试所使用的审计程序的类型及其组合。 ◆ 控制测试的程序，包括： （1）询问 （2）观察 （3）检查 （4）重新执行 （5）穿行测试 ◆ 确定控制测试的性质时的要求 (P262-263)： 1．考虑特定控制的性质。 2．考虑测试与认定直接相关和间接相关的控制。 3．考虑对于一项自动化的应用控制。 ◆ CPA可以考虑针对同一交易同时实施控制测试和细节测试，以实现 双重目的。 控制测试的目的是评价控制是否有效运行； 细节测试的目的是发现认定层次的重大错报。 例如，向负责复核银行存款余额调节表的人员询问如何进行复核，包括 复核的要点是什么，发现不符事项如何处理等。然而，询问不能为控制 测试提供充分的证据，通常需要印证被询问者的答复。 对运行情况留有书面痕迹或证据的控制，检查非常适用。复核时留下的 记号，或其他记录在偏差报告中的标志，都可以被当作控制运行情况的 证据。例如，检查销售发票是否有复核人员签字，检查销售发票是否附 有客户订购单和出库单等。 穿行测试不是单独的一种程序，它是通过追踪交易在财务报告信息系统中 的处理过程，来证实审计师对控制的了解、评价控制设计的有效性以及确 定控制是否得到执行。穿行测试更多在了解内部控制时运用。 例如，为了保证计价认定的准确性，被审计单位由内部复核人员去核对销 售发票上的价格与统一价格单上的价格是否一致。但是，仅仅检查复核人 员是否在相关文件上签字是不够的，审计师还需要自己选取销售发票进行 核对，来检查复核人员是否认真执行核对。成本高。 观察是测试不留下书面记录的控制（如职责分离）的运行情况的有效方 法。例如，观察存货盘点的执行情况。观察仓库门是否锁好，但是，要 注意所观察的控制在审计师不在场时可能未被执行。 ◆ 控制测试的时间包括两层含义 一是什么时间实施控制测试； 二是测试所针对的控制适用的时点或期间。 ◆ 对期中审计证据的考虑 如果已获取有关控制在期中运行有效性的审计证据，并 准备利用该证据，审计师应当： （1）获取这些控制在剩余期间变化情况的审计证据； （2）确定针对剩余期间还需获取的补充审计证据。 ◆ 对以前审计证据的考虑 如果准备信赖以前审计获取的有关控制运行有效性的审 计证据，审计师应当通过实施询问、观察或检查程序， 获取这些控制是否已经发生变化的审计证据。 三、控制测试的时间 注册会计师是否需要在本期测试某项控制的决策过程 ◆ 主要是指某项控制活动的测试次数 ◆ 确定控制测试范围的考虑因素 1．在整个拟信赖的期间，被审计单位执行控制的频率。 2．在所审计期间，审计师拟信赖控制运行有效性的时间长度。 3．为证实控制能够防止或发现并纠正认定层次重大错报，所 需获取审计证据的相关性和可靠性。 4．通过测试与认定相关的其他控制获取的审计证据的范围。 5．在风险评估时拟信赖控制运行有效性的程度。审计师在风 险评估时对控制运行有效性的拟信赖程度越高，需要实施控制 测试的范围越大。 6．控制的预期偏差。 四、控制测试的范围 第九节 实质性程序 一、实质性程序的内涵和要求 （一）内涵 ◆实质性程序，针对评估的重大错报风险实施的、直接用以发 现认定层次重大错报的审计程序。 ◆ 实质性程序包括对各类交易、账户余额、列报的细节测试以 及实质性分析程序。 （二）要求 ◆ 由于注册会计师对重大错报风险的评估是一种判断，可能 无法充分识别所有的重大错报风险，并且由于内部控制存在 固有局限性， 无论评估的重大错报风险结果如何，注册会计 师都应当针对所有重大的各类交易、账户余额、列报实施实 质性程序。 ◆ 对于特别风险，审计师应当专门针对该风险实施 实质性程序。 ◆ 例如，如果认为管理层面临实现盈利指标的压力 而可能提前确认收入 – 审计师在设计询证函时不仅应当考虑函证应收账款 的账户余额，还应当考虑询证销售协议的细节条款 （如交货、结算及退货条款）； – 审计师还可考虑在实施函证的基础上，针对销售协 议及其变动情况询问被审计单位的非财务人员。 二、实质性程序的性质  指实质性程序的类型及其组合，包括细节测试和实质性分 析程序。  细节测试适用于对各类交易、账户余额、列报认定的测试， 尤其是对存在或发生、计价认定的测试。  实质性分析程序适用于存在可预期关系的大量交易。  实施实质性分析程序，审计师应当考虑下列四个因素： 1．对特定认定使用实质性分析程序的适当性，如是否存 在的可预期关系； 2．对已记录的金额或比率作出预期时，所依据的内部或 外部数据的可靠性； 3．作出预期的准确程度是否足以在计划的保证水平上识 别重大错报； 4．已记录金额与预期值之间可接受的差异额。  实质性程序与控制测试在时间选择的差异  在控制测试中，期中实施控制测试并获取期中关于控制 运行有效性审计证据，是一种普遍采用的做法。 执行有效性 = 整个期间有效性 = 期中有效性+期中到期末的有效性  相反，由于实质性程序的目的在于更直接地发现重大错 报，在期中实施实质性程序获取的审计证据不能直接作 为期末财务报表认定的审计证据，仍需消耗进一步的审 计资源使期中审计证据能够合理延伸至期末。这可能不 符合成本效益原则。 三、实质性程序的时间  注册会计师在期中实施实质性程序，会增加期末存在错报 而未被发现的风险，并且该风险随着剩余期间的延长而增 加，所以不一定在期中实施实质性程序。  是否在期中实施实质性程序时应当考虑的一系列因素： （1）控制环境和其他相关的控制； （2）实施审计程序所需信息在期中之后的可获得性； （3）实质性程序的目标； （4）评估的重大错报风险； （5）各类交易或账户余额以及相关认定的性质； （6）针对剩余期间，能否通过实施实质性程序或将实质性 程序与控制测试相结合，降低期末存在错报而未被发现的 风险。 某项认定的重大错报风险越高，针对该认定所需获取的审计证据的相关 性和可靠性要求也就越高，注册会计师越应当考虑将实质性程序集中于 期末（或接近期末）实施。 如收入截止认定、未决诉讼 ◆ 如果在期中实施了实质性程序，审计师应当针对 剩余期间实施进一步的实质性程序，或认为实施 实质性程序本身不充分时，将实质性程序和控制 测试结合使用，以将期中测试得出的结论合理延 伸至期末。 ◆对于舞弊导致的重大错报风险（特别风险），被 审计单位存在故意错报或操纵的可能性，那么注 册会计师更应慎重考虑能否将期中测试得出的结 论延伸至期末。此时，注册会计师应当考虑在期 末或者接近期末实施实质性程序。 ◆ 在确定实质性程序的范围时，审计师应当考虑 评估的认定层次重大错报风险和实施控制测试 的结果。 —评估的认定层次的重大错报风险越高，需要 实施实质性程序的范围越广。 —如果对控制测试结果不满意，审计师应当考 虑扩大实质性程序的范围。 ◆在设计细节测试时，注册会计师除了从样本量 的角度考虑测试范围外，还要考虑选样方法的 有效性等因素。例如，从总体中选取大额或异 常项目，而不是进行代表性抽样或分层抽样。 四、实质性程序的范围 Slide 93 Assess risk of material misstatement Pre-plan the audit Auditor’s report Understand entity and its environment Satisfactory Tests of controls (to confirm expectation) Report to management Overall response to risk Expect effective controls Restricted substantive tests Expect ineffective controls Full substantive tests Overall review of F/S Report to management Unsatisfactory The risk-based auditing Risk assessment Further audit procedures Risk response 第十节 评价列报的适当性 ◆审计师应当实施审计程序，以评价财务报表总体 列报是否符合适用的会计准则和相关会计制度的 规定。 ◆在评价财务报表总体列报时，审计师应当考虑评 估的认定层次重大错报风险。同时，审计师应当 考虑财务报表是否正确反映财务信息及其分类， 以及对重大事项的披露是否充分。 第十一节 评价审计证据的充分性和适当性 ◆ 在评价审计证据的充分性和适当性时，审计师应当运用职业判断， 并考虑下列七个方面因素的影响： （1）认定发生潜在错报的重要程度，以及潜在错报单独或连同其他潜在错 报对财务报表产生重大影响的可能性； （2）管理层应对和控制风险的有效性； （3）在以前审计中获取的关于类似潜在错报的经验； （4）实施审计程序的结果，包括审计程序是否识别出舞弊或错误； （5）可获得信息的来源和可靠性； （6）审计证据的说服力； （7）对被审计单位及其环境的了解。 ◆如果对重大的财务报表认定没有获取充分、适当的审计证据，注册会计 师应当尽可能获取进一步的审计证据。 ◆如果不能获取充分、适当的审计证据，审计师应当出具保留意见或 无法表示意见的审计报告。 第十二节 审计工作记录 一、了解被审计单位其环境并评估重大错报风险 ◆ 审计工作记录的内容 1．项目组对由于舞弊或错误导致财务报表发生重大错报的可 能性进行的讨论，以及得出的重要结论； 2．对被审计单位及其环境各个方面以及内部控制各项要素的 了解要点、信息来源以及实施的风险评估程序； 3．在财务报表层次和认定层次识别、评估出的重大错报风险； 4．识别出的特别风险和仅通过实质性程序无法应对的重大错 报风险，以及对相关控制的评估。 ◆审计工作记录的方式 常见的记录方式包括文字叙述、问卷、核对表和流程图等。 二、针对评估的重大错报风险实施的程序 ◆ 审计师应当就四个方面的事项形成审计工作记录： 1．对评估的财务报表层次重大错报风险采取的总体应 对措施； 2．实施进一步审计程序的性质、时间和范围； 3．实施的进一步审计程序与评估的认定层次重大错报 风险的联系； 4．实施进一步审计程序的结果。 关注：COSO委员会有关内控的研究与报告 COSO委员会 1985年，由美国审计师协会（AICPA）、美国会计学会（AAA）、 美国财务经理人员协会（FEI）、美国内部审计师协会（IIA）及管理会计师 协会（IMA）共同赞助成立了全国舞弊性财务报告委员会（National commission on Fraudulent Reporting），即Treadway 委员会，其后基于 Treadway委员会的建议，其赞助机构又组成了一个专门研究内部控制问题 的委员会——COSO委员会（Committee Of Sponsoring Organizations Of The Treadway Commission）。 有关内控的主要成果： (1) 1992年发表，并于1994年修订的《内部控制—整体框架》报告； (2) 2004年10月发布企业风险管理（Enterprise Risk Management，ERM） 框架：在92年报告的基础上，结合《萨奥法案》（Sarbanes—Oxley Act） 的相关要求扩展研究而提出。 关注：COSO委员会有关内控的研究与报告 1992年《内部控制—整体框架》报告 1、对内部控制内涵的定义： “内部控制是一个受到董事会、经理层和其他人员影响的过程，该过程的设 计是为了提供实现以下三类目标的合理保证：经营的效果和效率、财务报告 的可靠性、法律法规的遵循性。” 2、三个目标： 经营的效果和效率、财务报告的可靠性和法律法规的遵循性 3、五个要素： 控制环境、风险评估、控制活动、信息和沟通、监督 企业目标 控制要素 实施者 经营效率 经营效果 会计报告 可信性 法律法规 遵循性 控制环境 风险评估 控制活动 信息与沟通 监督 董事会 经理层 其他员工 92 内 部 控 制 框 架 关注：COSO委员会有关内控的研究与报告 2004年10月企业风险管理（ERM）框架 1、对内部控制内涵的扩展： ①ERM框架明确了对保护资产概念的运用；②将纠正错误的管理行为明确 地列为控制活动之一；③提出了风险偏好、风险容忍度等概念。 2、对内控目标的扩展： ①将“财务报告的可靠性”发展为“报告的可靠性”；②提出了一类新的 目标——战略目标 3、对内控要素的扩展： 演变为八个要素：内部环境、目标设定、事件识别、风险评估、风险回应、 控制活动、信息与沟通、监督 4、实施者角色和任务的变化。 04 年E R M 框 架