(5)监管要求,及其可能导致的被审计单位法律责任增加等风险;
(6)本期及未来的融资条件,及其可能导致的被审计单位由于无法满足融资条件而失去融资机会等风险;
(7)信息技术的运用,及其可能导致的被审计单位信息系统与业务流程难以融合等风险。
多数经营风险最终都会产生财务后果,从而影响财务报表。审计人员应当根据被审计单位的具体情况考虑经营风险是否可能导致财务报表发生重大错报。
(二)实施的风险评估程序
管理层通常制定识别和应对经营风险的策略。审计人员应当了解被审计单位的风险评估过程。审计人员可通过与管理层沟通、询问被审计单位不同管理层成员以及查阅经营规划相关文件等实施风险评估程序。
(三)对小型被审计单位的考虑
小型被审计单位通常没有正式的计划和程序来确定其目标、战略并管理经营风险。审计人员应当询问管理层或观察小型被审计单位如何应对这些事项,以获取了解,并评估重大错报风险。
五、被审计单位财务业绩的衡量与评价
被审计单位管理层经常会衡量和评价关键业绩指标(包括财务和非财务的)、预算及差异分析、分部信息和分支机构、部门或其他层次的业绩报告以及与竞争对手的业绩比较。此外,外部机构也会衡量和评价被审计单位的财务业绩,如分析师的报告和信用评级机构的报告。
(一)了解的主要内容
在了解被审计单位财务业绩衡量和评价情况时,审计人员应当关注下列事项:
(1)关键业绩指标;
(2)业绩趋势;
(3)预测、预算和差异分析;
(4)管理层和员工业绩考核与激励性报酬政策;
(5)分部信息与不同层次部门的业绩报告;
(6)与竞争对手的业绩比较;
(7)外部机构提出的报告。
(二)实施的风险评估程序
审计人员通常通过询问被审计单位管理层,查阅被审计单位的内部报告和外部报告以及实施分析程序,获得对被审计单位财务业绩的衡量和评价的了解。审计人员还可以从管理层那里了解哪些业绩指标是其他关键利益方关注的重点,以及管理层的内部业绩衡量标准如何受这些外部因素的影响。审计人员应当考虑管理层的业绩指标是否与关键利益拥有者的预期相一致,并考虑不一致的情况或管理层应对外部压力的结果,及其对重大错报风险的影响。
(三)对小型被审计单位的考虑
小型被审计单位通常没有正式的财务业绩衡量和评价程序,管理层往往依据某些关键指标,作为评价财务业绩和采取适当行动的基础,审计人员应当了解管理层使用的关键指标。
第三节了解被审单位的内部控制
一、内部控制的基本理论
审计人员应当了解与审计相关的内部控制以识别潜在错报的类型,考虑导致重大错报风险的因素,以及设计和实施进一步审计程序的性质、时间和范围。
(一)内部控制的概念及要素
1、内部控制的概念
内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。可以从以下方面理解内部控制:
(1)内部控制的目标是合理保证:①财务报告的可靠性,这一目标与管理层履行财务报告编制责任密切相关;②经营的效率和效果,即经济有效地使用企业资源,以最优方式实现企业的目标;③在所有经营活动中遵守法律法规的要求,即在法律法规的框架下从事经营活动。
(2)设计和实施内部控制的责任主体是治理层、管理层和其他人员,组织中的每一个人都对内部控制负有责任。
2、内部控制的要素
内部控制主要包括控制环境、风险评估过程、信息系统与沟通、控制活动、对控制的监督五个要素。
值得指出的是,本书采用了COSO发布的内部控制框架,当然,在了解和评价内部控制时,采用的具体分析框架及控制要素的分类可能并不唯一,重要的是控制能否实现其目标。审计人员可以使用不同的框架和术语描述内部控制的不同方面。但必须涵盖上述内部控制五个要素所涉及的各个方面。无论对内部控制要素如何进行分类,审计人员都应当重点考虑被审计单位某项控制,是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。小型被审计单位通常采用非正式和简单的内部控制实现其目标,参与日常经营管理的业主可能承担多项职能,内部控制要素没有得到清晰区分,审计人员应当综合考虑小型被审计单位内部控制要素能否实现其目标。
(二)与审计相关的控制
内部控制的目标既包括财务报告的可靠性,也包括经营的效率和效果以及对法律法规的遵守,但审计人员审计的目标是对财务报表是否存在重大错报发表审计意见,所以,审计人员考虑的并非是被审计单位整体的内部控制,而只是与财务报表审计相关的内部控制,即与审计相关的控制。与审计相关的控制,包括被审计单位为实现财务报告可靠性目标设计和实施的控制。审计人员应当运用职业判断,考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序有关。在运用职业判断时,审计人员应当考虑下列因素:
(1)审计人员确定的重要性水平;
(2)被审计单位的性质;
(3)被审计单位的规模;
(4)被审计单位经营的多样性和复杂性;
(5)法律法规和监管要求;
(6)作为内部控制组成部分的系统的性质和复杂性。
此外,如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息,审计人员还应当考虑用以保证该信息完整性和准确性的控制可能与审计相关;如果用以保证经营效率、效果的控制以及对法律法规遵守的控制与实施审计程序时评价或使用的数据相关,审计人员也应当考虑这些控制可能与审计相关;另外,用以保护资产的内部控制可能包括与实现财务报告可靠性和经营效率、效果目标相关的控制,审计人员在了解保护资产的内部控制各项要素时,可仅考虑其中与财务报告可靠性目标相关的控制。
(三)对内部控制了解的深度
对内部控制了解的深度,是指在了解被审计单位及其环境时对内部控制了解的程度,包括评价控制的设计,并确定其是否得到执行。但不包括对控制是否得到一贯执行的测试。
1、评价控制的设计
审计人员在了解内部控制时,应当评价控制的设计,并确定其是否得到执行。评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。控制得到执行是指某项控制存在且被审计单位正在使用。设计不当的控制可能表明内部控制存在重大缺陷。审计人员在确定是否考虑控制得到执行时,应当首先考虑控制的设计。
2、获取控制设计和执行的审计证据
审计人员通常实施下列风险评估程序,以获取有关控制设计和执行的审计证据:
(1)询问被审计单位的人员;
(2)观察特定控制的运用;
(3)检查文件和报告;
(4)追踪交易在财务报告信息系统中的处理过程(穿行测试)。
这些程序是风险评估程序在了解被审计单位内部控制方面的具体运用。询问本身并不足以评价控制的设计以及确定其是否得到执行,审计人员应当将询问与其他风险评估程序结合使用。
3、了解内部控制与测试控制运行有效性的关系
除非存在某些可以使控制得到一贯运行的自动化控制,审计人员对控制的了解并不能够代替对控制运行有效性的测试。
例如,获取某一人工控制在某一时点得到执行的审计证据,并不能证明该控制在所审计期间内的其他时点也有效运行。但是,信息技术可以使被审计单位持续一贯地对大量数据进行处理,提高了被审计单位监督控制活动运行情况的能力,信息技术还可以通过对应用软件、数据库、操作系统设置安全控制来实现有效的职责划分。由于信息技术处理流程的内在一贯性,实施审计程序确定某项自动控制是否得到执行,也可能实现对控制运行有效性测试的目标。
(四)内部控制的人工和自动化成分
大多数被审计单位出于编制财务报告和实现经营的目的使用信息技术。然而,即使信息技术得到广泛使用,人工因素仍然会存在于这些系统之中。内部控制可能既包括人工成分又包括自动化成分,在风险评估以及设计和实施进一步审计程序时,审计人员应当考虑内部控制的人工和自动化特征及其影响。
1、内部控制的人工成分的优势和风险因素
内部控制的人工成分在处理下列需要主观判断或酌情处理的情形时可能更为适当:
(1)存在大额、异常或偶发的交易;
(2)存在难以定义、防范或预见的错误;
(3)为应对情况的变化,需要对现有的自动化控制进行调整;
(4)监督自动化控制的有效性。
由于人工控制由人执行,受人为因素的影响较大,所以,也产生了特定风险。审计人员应当从下列方面了解人工控制产生的特定风险:
(1)人工控制可能更容易被规避、忽视或凌驾;
(2)人工控制可能不具有一贯性;
(3)人工控制可能更容易产生筒单错误或失误。
相对于自动化控制,人工控制的可靠性较差,审计人员应当考虑人工控制在下列情形中可能是不适当的:
(1)存在大量或重复发生的交易;
(2)事先可预见的错误能够通过自动化控制得以防范或发现;
(3)控制活动可得到适当设计和自动化处理。
2、内部控制的自动化成分的优势和风险因素
信息技术通常在下列方面提高被审计单位内部控制的效率和效果:
(1)在处理大量的交易或数据时,一贯运用事先确定的业务规则;
(2)提高信息的及时性、可获得性及准确性;
(3)有助于对信息的深入分析;
(4)加强对被审计单位政策和程序执行情况的监督;
(5)降低控制被规避的风险;
(6)通过对操作系统、应用程序系统和数据库系统实施安全控制,提高不相容职务分离的有效性。
但是,信息技术也可能对内部控制产生特定风险,审计人员应当从下列方面了解信息技术对内部控制产生的特定风险:
(1)系统或程序未能正确处理数据,或处理了不正确的数据,或两种情况同时并存;
(2)在未得到授权情况下访问数据,可能导致数据的毁损或对数据不恰当的修改,包括记录未经授权或不存在的交易,或不正确地记录了交易;
(3)信息技术人员可能获得超越其履行职责以外的数据访问权限,破坏了系统应有的职责分工;
(4)未经授权改变主文档的数据;
(5)未经授权改变系统或程序;
(6)未能对系统或程序作出必要的修改;
(7)不恰当的人为干预;
(8)数据丢失的风险或不能访问所需要的数据。
内部控制风险的程度和性质受被审计单位信息系统的性质和特征的影响,因此,在了解内部控制时,审计人员应当考虑被审计单位是否通过建立有效的控制,以恰当应对由于使用信息技术系统或人工系统而产生的风险。
(五)内部控制的局限性
1、内部控制的固有局限性
内部控制存在固有局限性,无论如何设计和执行,只能对财务报告的可靠性提供合理的保证。内部控制存在的固有局限性包括:
(1)在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。例如,被审计单位信息技术工作人员没有完全理解系统如何处理销售交易,为使系统能够处理新型产品的销售,可能错误地对系统进行更改;或者对系统的更改是正确的,但是程序员没能把此次更改转化为正确的程序代码。
(2)可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。例如,管理层可能与客户签订背后协议,对标准的销售合同做出变动,从而导致收入确认发生错误。再如,软件中的编辑控制旨在发现和报告超过赊销信用额度的交易,但这一控制可能被逾越或规避。
此外,如果被审计单位内部行使控制职能的人员素质不适应岗位要求,也会影响内部控制功能的正常发挥。被审计单位实施内部控制的成本效益问题也会影响其效能,当实施某项控制成本大于控制效果而发生损失时,就没有必要设置控制环节或控制措施。内部控制一般都是针对经常而重复发生的业务而设置的,如果出现不经常发生或未预计到的业务,原有控制就可能不适用。
2、对小型被审计单位的考虑
小型被审计单位拥有的员工通常较少,限制了其职责分离的程度。业主凌驾于内部控制之上的可能性较大。审计人员应当考虑一些关键领域是否存在有效的内部控制。
二、了解控制环境
(一)控制环境的概念
控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。控制环境设定了被审计单位的内部控制基调,影响员工对内部控制的认识和态度。良好的控制环境是实施有效内部控制的基础。防止或发现并纠正舞弊和错误是被审计单位治理层和管理层的责任。在评价控制环境的设计和实施情况时,审计人员应当了解管理层在治理层的监督下,是否营造并保持了诚实守信和合乎道德的文化,以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。实际上,在审计业务承接阶段,审计人员就需要对控制环境做出初步了解和评价。