审计人员可以通过了解被审计单位及其环境的其他方面信息,评价被审计单位风险评估过程的有效性。例如,在了解被审计单位的业务情况时,发现了某些经营风险,审计人员应当了解管理层是否也意识到这些风险以及如何应对。在对业务流程的了解中,审计人员还可能进一步地获得被审计单位有关业务流程的风险评估过程的信息。例如,在销售循环中,如果发现了销售的截止性错报的风险,审计人员应当考虑管理层是否也识别了该错报风险以及如何应对该风险。审计人员应当询问管理层识别出的经营风险,并考虑这些风险是否可能导致重大错报。
在审计过程中,如果发现与财务报表有关的风险因素,审计人员可通过向管理层询问和检查有关文件确定被审计单位的风险评估过程是否也发现了该风险。在审计过程中。如果识别出管理层未能识别的重大错报风险,审计人员应当考虑被审计单位的风险评估过程为何没有识别出这些风险,以及评估过程是否适合于具体环境。
此外,在小型被审计单位,管理层可能没有正式的风险评估过程,审计人员应当与管理层讨论其如何识别经营风险以及如何应对这些风险。
四、了解信息系统与沟通
(一)与财务报告相关的信息系统的概念
信息系统与沟通是收集与交换被审计单位执行、管理和控制业务活动所需信息的过程,包括收集和提供信息(特别是为履行内部控制岗位职责所需的信息)给适当人员,使之能够履行职责。信息系统与沟通的质量直接影响到管理层对经营活动作出正确决策和编制可靠的财务报告的能力。审计人员应当了解信息系统与沟通。
与财务报告相关的信息系统,包括用以生成、记录、处理和报告交易、事项和情况,对相关资产、负债和所有者权益履行经营管理责任的程序和记录。与财务报告相关的信息系统应当与业务流程相适应。业务流程是指被审计单位开发、采购、生产、销售、发送产品和提供服务、保证遵守法律法规、记录信息等一系列活动。与财务报告相关的信息系统所生成信息的质量,对管理层能否做出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。与财务报告相关的信息系统通常包括下列职能:(1)识别与记录所有的有效交易;(2)及时、详细地描述交易,以便在财务报告中对交易做出恰当分类;(3)恰当计量交易,以便在财务报告中对交易的金额做出准确记录;(4)恰当确定交易生成的会计期间;(5)在财务报表中恰当列报交易。
(二)对与财务报告相关的信息系统的了解
审计人员应当从下列方面了解与财务报告相关的信息系统:
1、在被审计单位经营过程中,对财务报表具有重大影响的各类交易。
2、在信息技术和人工系统中,对交易生成、记录、处理和报告的程序。在获取了解时,审计人员应当同时考虑被审计单位将交易处理系统中的数据过入总分类账和财务报告的程序。
3、与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目。企业信息系统通常包括使用标准的会计分录,以记录销售、购货和现金付款等重复发生的交易,或记录管理层定期做出的会计估计,如应收账款可回收金额的变化。信息系统还包括使用非标准的分录,以记录不重复发生的、异常的交易或调整事项,如企业合并、资产减值等。
4、信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况的信息,如对固定资产和长期资产计提折旧或摊销、对应收账款计提坏账准备等。
5、被审计单位编制财务报告的过程,包括做出的重大会计估计和披露。编制财务报告的程序应当同时确保适用的会计准则和相关会计制度要求披露的信息得以收集、记录、处理和汇总,并在财务报告中得到充分披露。
6.管理层凌驾于账户记录控制之上的风险。在了解与财务报告相关的信息系统时,审计人员应当特别关注由于管理层凌驾于账户记录控制之上,或规避控制行为而产生的重大错报风险,并考虑被审计单位如何纠正不正确的交易处理。
(三)与财务报告相关的沟通的概念
与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责,员工之间的工作联系,以及向适当级别的管理层报告例外事项的方式。公开的沟通渠道有助于确保例外情况得到报告和处理。沟通可以采用政策手册、会计和财务报告手册及备忘录等形式进行,也可以通过发送电子邮件、口头沟通和管理层的行动来进行。
(四)对与财务报告相关的沟通的了解
审计人员应当了解被审计单位内部如何对财务报告的岗位职责,以及与财务报告相关的重大事项进行沟通。审计人员还应当了解管理层与治理层(特别是审计委员会)之间的沟通,以及被审计单位与外部(包括与监管部门)的沟通。具体包括:
1、管理层就员工的职责和控制责任是否进行了有效沟通;
2、针对可疑的不恰当事项和行为是否建立了沟通渠道;
3、组织内部沟通的充分性是否能够使人员有效地履行职责;
4、对于与客户、供应商、监管者和其他外部人士的沟通,管理层是否及时采取适当的进一步行动;
5、被审计单位是否受到某些监管机构发布的监管要求的约束;
6、外部人士如客户和供应商在多大程度上获知被审计单位的行为守则。
此外,在小型被审计单位,与财务报告相关的信息系统和沟通可能不如大型被审计单位正式和复杂。管理层可能会更多地参与日常经营管理活动和财务报告活动,不需要很多书面的政策和程序指引,也没有复杂的信息系统和会计流程。由于小型被审计单位的规模较小、报告层次较少。因此,小型被审计单位可能比大型被审计单位更容易实现有效的沟通。审计人员应当考虑这些特征对评估重大错报风险的影响。
五、了解控制活动
(一)相关的控制活动的概念
控制活动是指有助于确保管理层的指令得以执行的政策和程序,包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。审计人员应当了解控制活动,以足够评估认定层次的重大错报风险和针对评估的风险设计进一步的审计程序。
(二)了解与授权有关的控制活动
审计人员应当了解与授权有关的控制活动,包括一般授权和特别授权。一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。特别授权是指管理层针对特定类别的交易或活动逐一设置的授权,如重大资本支出和股票发行等。特别授权也可能用于超过一般授权限制的常规交易。例如,因某些特别原因,同意对某个不符合一般信用条件的客户赊销商品。
(三)了解与业绩评价有关的控制活动
审计人员应当了解与业绩评价有关的控制活动,主要包括被审计单位分析评价实际业绩与预算(或预测、前期业绩)的差异,综合分析财务数据与经营数据的内在关系,将内部数据与外部信息来源相比较,评价职能部门、分支机构或项目活动的业绩。以及对发现的异常差异或关系采取必要的调查与纠正措施。
(四)了解与信息处理有关的控制活动
审计人员应当了解与信息处理有关的控制活动,包括信息技术一般控制和应用控制。信息技术一般控制是指与多个应用系统有关的政策和程序,有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性),支持应用控制作用的有效发挥,通常包括数据中心和网络运行控制,系统软件的购置、修改及维护控制,接触或访问权限控制,应用系统的购置、开发及维护控制。信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序,与用于生成、记录、处理、报告交易或其他财务数据的程序相关,通常包括检查数据计算准确性、审核账户和试算平衡表,设置对输入数据和数字序号的自动检查等。
(五)了解实物控制
审计人员应当了解实物控制,主要包括了解对资产和记录采取适当的安全保护措施,对访问计算机程序和数据文件设置授权,以及定期盘点并将盘点记录与会计记录相核对。实物控制的效果将影响资产的安全,从而对财务报表的可靠性及审计产生影响。
(六)了解职责分离
审计人员应当了解职责分离,主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工,以防范同一员工在履行多项职责时可能发生的舞弊或错误。
在了解控制活动时,审计人员应当重点考虑一项控制活动单独或连同其他控制活动,是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。审计人员的工作主要是识别和了解针对重大错报可能发生领域的控制活动,了解与每类重大交易账户余额和披露及其认定相关的所有控制活动。所以,如果多项控制活动能够实现同一目标,审计人员不必了解与该目标相关的每项控制活动。
(七)了解和评估控制活动应考虑的主要问题
在了解和评估控制活动时考虑的主要问题一般包括:
1、对主要经营活动是否都有必要的控制政策和程序;
2、管理层对预算、利润和其他财务与经营业绩方面是否都有清晰的目标,被审计单位内部是否对这些目标加以清晰地记录和沟通,并且积极地对其进行监控;
3、是否存在计划和报告系统以识别与计划业绩的差异,并向适当层次的管理层报告产生的差异;
4、是否由适当层次的管理层对差异进行调查,并及时采取适当的纠正措施;
5、不同人员的职责应在何种程度上相分离,以降低舞弊和不当行为发生的风险;
6、会计系统中的数据是否与实物资产定期核对;
7、是否建立了适当的保护措施,以防止未经授权接触文件、记录和资产;
8、是否控制对数据和程序的接触;
9、是否存在信息安全职能部门负责建立和实施监控信息安全的政策和程序。
此外,小型被审计单位通常难以实施适当的职责分离,审计人员应当考虑小型被审计单位采取的控制活动能否有效实现控制目标。
六、了解对控制的监督
(一)对控制的监督的概念
对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程。该过程包括及时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施。审计人员应当了解被审计单位对与财务报告相关的内部控制的监督活动,并了解其如何采取纠正措施。
(二)了解被审计单位对控制的持续监督活动和专门的评价活动
审计人员应当了解被审计单位对控制的持续监督活动和专门的评价活动。通常情况下,被审计单位会通过持续的监督活动和专门的评价活动或两者相结合,来实现对控制的监督。
持续的监督活动通常贯穿于被审计单位的日常经营活动与常规管理工作中。被审计单位可能使用内部或外部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价,以找出内部控制的优点和不足,并提出改进建议。
(三)了解对控制的持续监督和专门评价活动应考虑的主要问题
审计人员在对被审计单位整体层面的监督进行了解和评估时,主要考虑的问题一般包括:
1、被审计单位是否定期评价内部控制;
2、被审计单位人员在履行正常职责时,能够在多大程度上获得内部控制是否有效运行的证据;
3、与外部的沟通能够在多大程度上证实内部产生的信息或者指出存在的问题;
4、管理层是否会采纳内部审计人员和外部审计人员有关内部控制的建议;
5、管理层及时纠正控制运行偏差情况的方法;
6、管理层处理监管机构的报告及建议的方法;
7、是否存在协助管理层监督内部控制的职能部门。
此外,小型被审计单位通常没有正式的持续监督活动,也难以明确区分持续的监督活动和日常管理工作,业主往往通过其对经营活动的密切参与来识别财务数据中的重大差异和错报,并对控制活动采取纠正措施,审计人员应当考虑业主对经营活动的密切参与能否有效实现其对控制的监督目标。
七、初步评价和风险评估
(一)对控制的初步评价
在识别和了解控制后,根据执行了解程序及获取的审计证据,审计人员需要评价控制设计的合理性并确定其是否得到执行。
审计人员对控制的评价结论可能是:
(1)所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报,并得到执行;
(2)控制本身的设计是合理的,但没有得到执行;
(3)控制本身的设计就是无效的或缺乏必要的控制。
但需注意的是,上述评价结论只是初步结论,仍可能随控制测试后实施实质性程序的结果而发生变化。