(二)了解的具体内容
在评价控制环境的设计时,审计人员应当考虑构成控制环境的六要素,以及这些要素如何被纳入被审计单位的业务流程。
1、对诚信和道德价值观念的沟通与落实
诚信和道德价值观念是控制环境的重要组成部分,影响到重要业务流程的设计和运行。被审计单位是否存在道德行为规范,以及这些规范如何在被审计单位内部得到沟通和落实,决定了是否能产生诚信和道德的行为。对诚信和道德价值观念的沟通与落实既包括管理层如何处理不诚实、非法或不道德行为,也包括在被审计单位内部,通过行为规范以及高层管理人员的身体力行,对诚信和道德价值观念的营造和保持。例如,管理层在行为规范中指出,员工不允许从供货商那里获得超过一定金额的礼品,超过部分都须报告和退回。尽管该行为规范本身并不能绝对保证员工都照此执行,但至少意味着管理层已对此进行明示,它连同其他程序,可能构成一个有效的预防机制。
审计人员在了解和评估被审计单位诚信和道德价值观念的沟通与落实时,考虑的主要因素一般包括:
(1)被审计单位是否有书面的行为规范并向所有员工传达;
(2)被审计单位的企业文化是否强调诚信和道德价值观念的重要性,如果违反,是否会受到惩罚;
(3)管理层是否身体力行,高级管理人员是否起表率作用;
(4)对违反有关政策和行为规范的情况,管理层是否采取适当的行动。
2、对胜任能力的重视
胜任能力是指具备完成某一职位的工作所应有的知识和能力。管理层对胜任能力的重视包括对于特定工作所需的胜任能力水平的设定,以及对达到该水平所必需的知识和能力的要求。审计人员应当考虑主要管理人员和其他相关人员是否能够胜任承担的工作和职责,例如,财会人员是否对编报财务报表所适用的会计准则和相关会计制度有足够的了解并能正确运用。
审计人员在就被审计单位对胜任能力的重视情况进行了解和评估时,考虑的主要因素可能包括:
(1)财会人员以及信息管理人员是否具备与被审计单位业务性质和复杂程度相称的足够的胜任能力和培训,在发生错误时,是否通过调整人员或系统来加以处理:
(2)管理层是否配备了足够的财会人员以适应业务发展和有关方面的需要;
(3)财会人员是否具备理解和运用会计准则所需的技能。
3、治理层的参与程度
被审计单位的控制环境在很大程度上受治理层的影响。治理层的职责应在被审计单位的章程和政策中予以规定。治理层(董事会)通常通过其自身的活动,并在审计委员会或类似机构的支持下,监督被审计单位的财务报告政策和程序。治理层对控制环境影响的要素有:治理层相对于管理层的独立性、成员的经验和品德、对被审计单位业务活动的参与程度、治理层行为的适当性、治理层所获得的信息、管理层对治理层所提出问题的追踪程度,以及治理层与内部审计人员和外部审计人员的联系程度等。
审计人员在对被审计单位治理层的参与程度进行了解和评估时,考虑的主要因素一般包括:
(1)董事会是否建立了审计委员会或类似机构;
(2)董事会、审计委员会或类似机构是否与内部审计人员以及外部审计人员有联系和沟通,联系和沟通的性质以及频率是否与被审计单位的规模和业务复杂程度相匹配;
(3)董事会、审计委员会或类似机构的成员是否具备适当的经验和资历;
(4)董事会、审计委员会或类似机构是否独立于管理层;
(5)审计委员会或类似机构会议的数量和时间是否与被审计单位的规模和业务复杂程度相匹配;
(6)董事会、审计委员会或类似机构是否充分地参与了财务报告的过程;
(7)董事会、审计委员会或类似机构是否对经营风险的监控有足够的关注,进而影响被审计单位和管理层的风险评估进程(包括舞弊风险);
(8)董事会成员是否有很高的流动性。
4、管理层的理念和经营风格
管理层负责企业的运作以及经营策略和程序的制定、执行与监督。控制环境的每个方面在很大程度上都受管理层采取的措施和做出决策的影响。在有效的控制环境中,管理层的理念和经营风格可以创造一个积极的氛围,促进业务流程和内部控制的有效运行,同时创造一个减少错报发生可能性的环境。在管理层以一个或少数几个人为主时,管理层的理念和经营风格对内部控制的影响尤为突出。
管理层的理念包括管理层对内部控制的理念,即管理层对内部控制以及对具体控制实施环境的重视程度。管理层对内部控制的重视,有助于控制的有效执行,并减少特定控制被忽视或规避的可能性。控制理念反映在管理层制定的政策、程序及所采取的措施中,而不是反映在形式上。衡量管理层对内部控制重视程度的重要标准,是管理层收到有关内部控制缺陷及违规事件的报告时是否做出适当反应。
此外,了解管理层的经营风格也很有必要,管理层的经营风格是指管理层所能接受的业务风险的性质。例如,管理层是否经常投资于风险特别高的领域或者在接受风险方面极为保守,不敢越雷池一步。了解管理层的经营风格有助于审计人员判断哪些因素影响管理层对待内部控制的态度,哪些因素影响在编制财务报表时所做的判断,特别是在做出会计估计以及选用会计政策时。这种了解也有助于审计人员进一步认识管理层的能力和经营动机。
审计人员在了解和评估被审计单位管理层的理念和经营风格时,考虑的主要因素通常包括:
(1)管理层是否对内部控制,包括信息技术的控制,给予了适当的关注;
(2)管理层是否由一个或几个人所控制,而董事会、审计委员会或类似机构对其是否实施有效监督;
(3)管理层在承担和监控经营风险方面是风险偏好者还是风险规避者;
(4)管理层在选择会计政策和作出会计估计时是倾向于激进还是保守;
(5)管理层对于信息流程以及会计职能部门和人员是否给予了适当关注;
(6)对于重大的内部控制和会计事项,管理层是否征询审计人员的意见,或者经常在这些方面与审计人员存在不同意见。
5、组织结构与职权和责任的分配
被审计单位的组织结构为计划、运作、控制及监督经营活动提供了一个整体框架。通过集权或分权决策,可在不同部门间进行适当的职责划分,建立适当层次的报告体系。组织结构将影响权利、责任和工作任务在组织成员中的分配。被审计单位的组织结构在:一定程度上取决于被审计单位的规模和经营活动的性质。
审计人员对组织结构的审查,有助于其确定被审计单位的职责划分应该达到何种程度,也有助于其评价被审计单位在这方面的不足会对整体审计策略产生的影响。
审计人员在对被审计单位组织结构和职权与责任的分配进行了解和评估时,考虑的主要因素一般包括:
(1)在被审计单位内部是否有明确的职责划分,是否将业务授权、业务记录、资产保管和维护,以及业务执行的责任尽可能地分离;
(2)是否有适当的结构来划分数据的所有权;
(3)是否已针对授权交易建立适当的政策和程序。
6、人力资源政策与实务
人力资源政策与实务涉及招聘、培训、考核、晋升和薪酬等方面。政策与程序(包括内部控制)的有效性,通常取决于执行人。因此,被审计单位员工的能力与诚信是控制环境中不可缺少的因素。反过来,被审计单位是否有能力招聘并保留一定数量既有能力又有责任心的员工在很大程度上也取决于其人事政策与实务。例如,如果招聘录用标准要求录用最合适的员工,同时强调员工的学历、经验、诚信和道德,这表明被审计单位希望录用有能力并值得信赖的人员。有关培训方面的政策显示员工应达到的工作表现和业绩水准。通过定期考核实行的晋升政策表明被审计单位希望具备相应资格的人员承担更多的职责。
审计人员在对被审计单位人力资源政策与实务进行了解和评估时,考虑的主要因素一般包括:
(1)被审计单位是否在招聘、培训、考核、晋升、薪酬、调动和辞退员工方面都有适当的政策和程序(特别是在会计、财务和信息系统方面);
(2)是否有书面的员工岗位职责手册,或者在没有书面文件的情况下,对于工作职责和期望是否作了适当的沟通和交流;
(3)人力资源政策与程序是否清晰,并且定期发布和更新;
(4)是否设定了适当的程序对分散在各地区和海外的经营人员建立和沟通人力资源政策与程序。
(三)对控制环境的评估的考虑
综上所述,审计人员应当对控制环境的构成要素获取足够的了解,并考虑内部控制的实质及其综合效果,以了解管理层和治理层对内部控制及其重要性的态度、认识以及所采取的措施。
在评价控制环境各个要素时,审计人员应当考虑控制环境各个要素是否得到执行。被审计单位可能建立了合理的内部控制,但却未有效执行。在确定构成控制环境的要素是否得到执行时,审计人员应当考虑将询问与观察和检查等风险评估程序结合运用以获取审计证据。通过询问管理层和员工,审计人员可能了解管理层如何就业务规程和道德价值观念与员工进行沟通;通过观察和检查,可能了解管理层是否建立了正式的行为守则,在日常工作中行为守则是否得到遵守,以及管理层如何处理违反行为守则的情形。
控制环境对重大错报风险的评估具有广泛影响,审计人员应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的基础,并且未被控制环境中存在的缺陷所削弱。因为控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报,所以审计人员在评估重大错报风险时应当将控制环境连同其他内部控制要素产生的影响一并考虑。
此外,在小型被审计单位,可能无法获取以文件形式存在的有关控制环境要素的审计证据,审计人员应当重点了解管理层对内部控制设计的态度、认识和采取的措施。
三、了解被审计单位的风险评估过程
(一)被审计单位的风险评估过程的概念
被审计单位的风险评估过程包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施。审计人员应当了解被审计单位的风险评估过程和结果。如果管理层对风险进行了有效的评估和应对,那么,审计人员就可以因为控制风险较低而减少收集审计证据的数量。风险评估过程的作用是识别、评估和管理影响其经营目标实现能力的各种风险。而针对财务报告目标的风险评估过程则包括识别与财务报告相关的经营风险,评估风险的重大性和发生的可能性,以及采取措施管理这些风险。例如,风险评估可能会涉及被审计单位如何考虑对某些交易未予记录的可能性,或者识别和分析财务报告中的重大会计估计发生错报的可能性。
(二)风险的来源
公司的风险可能来自内部因素,也可能来自外部因素。就外部因素而言,技术的发展会影响研究与开发的性质及时间,或导致采购方式的改变;顾客需求的变化会影响产品的开发、价格、保证及服务;新的法律法规会强迫经营者改变政策及战略;经济环境的改变会影响到财务、资本支出及扩张的决策。内部的风险因素包括:信息处理程序的崩溃、员工的素质及培训、管理层职责的改变、由于公司活动的性质及员工对资产接触而产生的不当机会或无效的审计委员会。
此外,某些情况会增加风险。这些情况包括:监管及经营环境的变化、新员工的加入、采用新信息系统或对原系统进行升级、业务快速发展、新技术、新生产型号产品和业务活动、企业重组、发展海外经营、新的会计准则等。
(三)识别经营风险
在评价被审计单位风险评估过程的设计和执行时,审计人员应当确定管理层如何识别与财务报告相关的经营风险,如何估计该风险的重要性,如何评估风险发生的可能性,以及如何采取措施管理这些风险。如果被审计单位的风险评估过程符合其具体情况,了解被审计单位的风险评估过程和结果有助于审计人员识别财务报表重大错报风险。
(四)评价风险评估过程的设计与执行
审计人员在对被审计单位整体层面的风险评估过程进行了解和评估时,考虑的主要因素可能包括:
1、被审计单位是否已建立并沟通其整体目标,并辅以具体策略和业务流程层面的计划;
2、被审计单位是否已建立风险评估过程,包括识别风险,估计风险的重大性,评估风险发生的可能性以及确定需要采取的应对措施;
3、被审计单位是否已建立某种机制,识别和应对可能对被审计单位产生重大且普遍影响的变化,如在金融机构中建立资产负债管理委员会,在制造型企业中建立期货交易风险管理组等;
4、会计部门是否建立了某种流程,以识别会计准则的重大变化;
5、当被审计单位业务操作发生变化并影响交易记录的流程时,是否存在沟通渠道以通知会计部门;
6、风险管理部门是否建立了某种流程,以识别经营环境包括监管环境发生的重大变化。