第一章 总 则
第一条 为了规范注册会计师了解被审计单位及其环境,识别和评估财务报表重大错报风险,制定本准则。
第二条 本准则适用于注册会计师执行财务报表审计业务。
第三条 注册会计师应当了解被审计单位及其环境,以足够识别和评估财务报表重大错报风险,设计和实施进一步审计程序。
第四条 了解被审计单位及其环境是必要程序,特别是为注册会计师在下列关键环节作出职业判断提供重要基础:
(一)确定重要性水平,并随着审计工作的进程评估对重要性水平的判断是否仍然适当;
(二)考虑会计政策的选择和运用是否恰当,以及财务报表的列报(包括披露,下同)是否适当;
(三)识别需要特别考虑的领域,包括关联方交易、管理层运用持续经营假设的合理性,或交易是否具有合理的商业目的等;
(四)确定在实施分析程序时所使用的预期值;
(五)设计和实施进一步审计程序,以将审计风险降至可接受的低水平;
(六)评价所获取审计证据的充分性和适当性。
第五条 了解被审计单位及其环境是一个连续和动态地收集、更新与分析信息的过程,贯穿于整个审计过程的始终。注册会计师应当运用职业判断确定需要了解被审计单位及其环境的程度。
第二章 风险评估程序、信息来源以及项目组内部的讨论
第一节 风险评估程序和信息来源
第六条 注册会计师应当实施下列风险评估程序以了解被审计单位及其环境:
(一)询问被审计单位管理层和内部其他相关人员;
(二)分析程序;
(三)观察和检查。
第七条 注册会计师除了询问管理层和对财务报告负有责任的人员外,还应当考虑询问内部审计人员、采购人员、生产人员、销售人员等其他人员,并考虑询问不同级别的员工,以获取对识别重大错报风险有用的信息。
第八条 注册会计师实施分析程序有助于识别异常的交易或事项,以及对财务报表和审计产生影响的金额、比率和趋势。
在实施分析程序时,注册会计师应当预期可能存在的合理关系,并与被审计单位记录的金额、依据记录金额计算的比率或趋势相比较;如果发现异常或未预期到的关系,注册会计师应当在识别重大错报风险时考虑这些比较结果。
如果使用了高度汇总的数据,实施分析程序的结果仅可能初步显示财务报表存在重大错报风险,注册会计师应当将分析结果连同识别重大错报风险时获取的其他信息一并考虑。
第九条 观察和检查程序可以印证对管理层和其他相关人员的询问结果,并可提供有关被审计单位及其环境的信息,注册会计师应当实施下列观察和检查程序:
(一)观察被审计单位的生产经营活动;
(二)检查文件、记录和内部控制手册;
(三)阅读由管理层和治理层编制的报告;
(四)实地察看被审计单位的生产经营场所和设备;
(五)追踪交易在财务报告信息系统中的处理过程(穿行测试)。
第十条 如果根据职业判断认为从被审计单位外部获取的信息有助于识别重大错报风险,注册会计师应当实施其他审计程序以获取这些信息。
第十一条 注册会计师应当考虑在承接客户或续约过程中获取的信息,以及向被审计单位提供其他服务所获得的经验是否有助于识别重大错报风险。
第十二条 对于连续审计业务,如果拟利用在以前期间获取的信息,注册会计师应当确定被审计单位及其环境是否已发生变化,以及该变化是否可能影响以前期间获取的信息在本期审计中的相关性。
第二节 项目组内部的讨论
第十三条 注册会计师应当组织项目组成员对财务报表存在重大错报的可能性进行讨论,并运用职业判断确定讨论的目标、内容、人员、时间和方式。
第十四条 项目组通过讨论可以使成员更好地了解在各自负责的领域中,由于舞弊或错误导致财务报表重大错报的可能性,并了解各自实施审计程序的结果如何影响审计的其他方面,包括对确定进一步审计程序的性质、时间和范围的影响。
第十五条 项目组应当讨论被审计单位面临的经营风险、财务报表容易发生错报的领域以及发生错报的方式,特别是由于舞弊导致重大错报的可能性。
第十六条 项目组的关键成员应当参与讨论。如果项目组需要拥有信息技术或其他特殊技能的专家,这些专家也应参与讨论。
第十七条 项目组应当根据审计的具体情况,在整个审计过程中持续交换有关财务报表发生重大错报可能性的信息。
第十八条 项目组在讨论时应当强调在整个审计过程中保持职业怀疑态度,警惕可能发生重大错报的迹象,并对这些迹象进行严格追踪。
第三章 了解被审计单位及其环境
第一节 总体要求
第十九条 注册会计师应当从下列方面了解被审计单位及其环境:
(一)行业状况、法律环境与监管环境以及其他外部因素;
(二)被审计单位的性质;
(三)被审计单位对会计政策的选择和运用;
(四)被审计单位的目标、战略以及相关经营风险;
(五)被审计单位财务业绩的衡量和评价;
(六)被审计单位的内部控制。
注册会计师应当根据本章第二节至第六节的规定了解本条前款第(一)项至第(五)项,根据本准则第四章的规定了解本条前款第(六)项。
在针对本条第一款各项确定风险评估程序的性质、时间和范围时,注册会计师应当考虑审计业务的具体情况和相关审计经验,并识别本条第一款各项与以前期间相比发生的重大变化。
第二节 行业状况、法律环境与监管环境以及其他外部因素
第二十条 注册会计师应当了解被审计单位的行业状况,主要包括:
(一)所在行业的市场供求与竞争;
(二)生产经营的季节性和周期性;
(三)产品生产技术的变化;
(四)能源供应与成本;
(五)行业的关键指标和统计数据。
第二十一条 注册会计师应当了解被审计单位所处的法律环境及监管环境,主要包括:
(一)适用的会计准则、会计制度和行业特定惯例;
(二)对经营活动产生重大影响的法律法规及监管活动;
(三)对开展业务产生重大影响的政府政策,包括货币、财政、税收和贸易等政策;
(四)与被审计单位所处行业和所从事经营活动相关的环保要求。
第二十二条 注册会计师应当了解影响被审计单位经营的其他外部因素,主要包括:
(一)宏观经济的景气度;
(二)利率和资金供求状况;
(三)通货膨胀水平及币值变动;
(四)国际经济环境和汇率变动。
第二十三条 注册会计师应当考虑被审计单位所在行业的业务性质或监管程度是否可能导致特定的重大错报风险,考虑项目组是否配备了具有相关知识和经验的成员。
第三节 被审计单位的性质
第二十四条 注册会计师应当主要从下列方面了解被审计单位的性质:
(一)所有权结构;
(二)治理结构;
(三)组织结构;
(四)经营活动;
(五)投资活动;
(六)筹资活动。
了解被审计单位的性质有助于注册会计师理解预期在财务报表中反映的各类交易、账户余额、列报。
第二十五条 注册会计师应当了解所有权结构以及所有者与其他人员或单位之间的关系,考虑关联方关系是否已经得到识别,以及关联方交易是否得到恰当核算。
第二十六条 注册会计师应当了解被审计单位的治理结构,考虑治理层是否能够在独立于管理层的情况下对被审计单位事务(包括财务报告)做出客观判断。
第二十七条 注册会计师应当了解被审计单位的组织结构,考虑复杂组织结构可能导致的重大错报风险,包括财务报表合并、商誉摊销和减值、长期股权投资核算以及特殊目的实体核算等问题。
第二十八条 注册会计师应当了解被审计单位的经营活动,主要包括:
(一)主营业务的性质;
(二)与生产产品或提供劳务相关的市场信息;
(三)业务的开展情况;
(四)联盟、合营与外包情况;
(五)从事电子商务的情况;
(六)地区与行业分布;
(七)生产设施、仓库的地理位置及办公地点;
(八)关键客户;
(九)重要供应商;
(十)劳动用工情况;
(十一)研究与开发活动及其支出;
(十二)关联方交易。
第二十九条 注册会计师应当了解被审计单位的投资活动,主要包括:
(一)近期拟实施或已实施的并购活动与资产处置情况;
(二)证券投资、委托贷款的发生与处置;
(三)资本性投资活动,包括固定资产和无形资产投资,以及近期或计划发生的变动;
(四)不纳入合并范围的投资。
第三十条 注册会计师应当了解被审计单位的筹资活动,主要包括:
(一)债务结构和相关条款,包括担保情况及表外融资;
(二)固定资产的租赁;
(三)关联方融资;
(四)实际受益股东;
(五)衍生金融工具的运用。
第四节 被审计单位对会计政策的选择和运用
第三十一条 注册会计师应当了解被审计单位对会计政策的选择和运用,是否符合适用的会计准则和相关会计制度,是否符合被审计单位的具体情况。
第三十二条 在了解被审计单位对会计政策的选择和运用是否适当时,注册会计师应当关注下列重要事项:
(一)重要项目的会计政策和行业惯例;
(二)重大和异常交易的会计处理方法;
(三)在新领域和缺乏权威性标准或共识的领域,采用重要会计政策产生的影响;
(四)会计政策的变更;
(五)被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度。
第三十三条 如果被审计单位变更了重要的会计政策,注册会计师应当考虑变更的原因及其适当性,并考虑是否符合适用的会计准则和相关会计制度的规定。
第三十四条 注册会计师应当考虑,被审计单位是否按照适用的会计准则和相关会计制度的规定恰当地进行了列报,并披露了重要事项。
第五节 被审计单位的目标、战略以及相关经营风险
第三十五条 注册会计师应当了解被审计单位的目标和战略,以及可能导致财务报表重大错报的相关经营风险。
第三十六条 经营风险源于对被审计单位实现目标和战略产生不利影响的重大情况、事项、环境和行动,或源于不恰当的目标和战略。
注册会计师应当了解被审计单位是否存在与下列方面有关的目标和战略,并考虑相应的经营风险:
(一)行业发展,及其可能导致的被审计单位不具备足以应对行业变化的人力资源和业务专长等风险;
(二)开发新产品或提供新服务,及其可能导致的被审计单位产品责任增加等风险;
(三)业务扩张,及其可能导致的被审计单位对市场需求的估计不准确等风险;
(四)新颁布的会计法规,及其可能导致的被审计单位执行法规不当或不完整,或会计处理成本增加等风险;
(五)监管要求,及其可能导致的被审计单位法律责任增加等风险;
(六)本期及未来的融资条件,及其可能导致的被审计单位由于无法满足融资条件而失去融资机会等风险;
(七)信息技术的运用,及其可能导致的被审计单位信息系统与业务流程难以融合等风险。
第三十七条 多数经营风险最终都会产生财务后果,从而影响财务报表。注册会计师应当根据被审计单位的具体情况考虑经营风险是否可能导致财务报表发生重大错报。
第三十八条 管理层通常制定识别和应对经营风险的策略,注册会计师应当了解被审计单位的风险评估过程。
第三十九条 小型被审计单位通常没有正式的计划和程序来确定其目标、战略并管理经营风险。注册会计师应当询问管理层或观察小型被审计单位如何应对这些事项。
第六节 被审计单位财务业绩的衡量和评价
第四十条 被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力,促使其采取行动改善财务业绩或歪曲财务报表。
注册会计师应当了解被审计单位财务业绩的衡量和评价情况,考虑这种压力是否可能导致管理层采取行动,以至于增加财务报表发生重大错报的风险。
第四十一条 在了解被审计单位财务业绩衡量和评价情况时,注册会计师应当关注下列信息:
(一)关键业绩指标;
(二)业绩趋势;
(三)预测、预算和差异分析;
(四)管理层和员工业绩考核与激励性报酬政策;
(五)分部信息与不同层次部门的业绩报告;
(六)与竞争对手的业绩比较;
(七)外部机构提出的报告。
第四十二条 注册会计师应当关注被审计单位内部财务业绩衡量所显示的未预期到的结果或趋势、管理层的调查结果和纠正措施,以及相关信息是否显示财务报表可能存在重大错报。
第四十三条 如果拟利用被审计单位内部信息系统生成的财务业绩衡量指标,注册会计师应当考虑相关信息是否可靠,以及利用这些信息是否足以实现审计目标。
第四十四条 小型被审计单位通常没有正式的财务业绩衡量和评价程序,管理层往往依据某些关键指标,作为评价财务业绩和采取适当行动的基础,注册会计师应当了解管理层使用的关键指标。
第四章 了解被审计单位的内部控制
第一节 内部控制的内涵和要素
第四十五条 注册会计师应当了解与审计相关的内部控制以识别潜在错报的类型,考虑导致重大错报风险的因素,以及设计和实施进一步审计程序的性质、时间和范围。
第四十六条 内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。
第四十七条 内部控制包括下列要素:
(一)控制环境;
(二)风险评估过程;
(三)信息系统与沟通;
(四)控制活动;
(五)对控制的监督。
本准则所称的内部控制包括本条前款所述的五项要素;本准则所称的控制包括本条前款所述的一项或多项要素,或要素表现出的各个方面。
第四十八条 本准则对内部控制要素的分类提供了了解内部控制的框架,但无论对内部控制要素如何进行分类,注册会计师都应当重点考虑被审计单位某项控制,是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。
第四十九条 小型被审计单位通常采用非正式和简单的内部控制实现其目标,参与日常经营管理的业主(以下简称业主)可能承担多项职能,内部控制要素没有得到清晰区分,注册会计师应当综合考虑小型被审计单位内部控制要素能否实现其目标。
第二节 与审计相关的控制
第五十条 与审计相关的控制,包括被审计单位为实现财务报告可靠性目标设计和实施的控制。注册会计师应当运用职业判断,考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序有关。
在运用职业判断时,注册会计师应当考虑下列因素:
(一)注册会计师确定的重要性水平;
(二)被审计单位的性质;
(三)被审计单位的规模;
(四)被审计单位经营的多样性和复杂性;
(五)法律法规和监管要求;
(六)作为内部控制组成部分的系统的性质和复杂性。
第五十一条 如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息,注册会计师应当考虑用以保证该信息完整性和准确性的控制可能与审计相关。
第五十二条 如果用以保证经营效率、效果的控制以及对法律法规遵守的控制与实施审计程序时评价或使用的数据相关,注册会计师应当考虑这些控制可能与审计相关。
第五十三条 用以保护资产的内部控制可能包括与实现财务报告可靠性和经营效率、效果目标相关的控制。注册会计师在了解保护资产的内部控制各项要素时,可仅考虑其中与财务报告可靠性目标相关的控制。
第三节 对内部控制了解的深度
第五十四条 注册会计师在了解内部控制时,应当评价控制的设计,并确定其是否得到执行。
评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。
控制得到执行是指某项控制存在且被审计单位正在使用。
设计不当的控制可能表明内部控制存在重大缺陷,注册会计师在确定是否考虑控制得到执行时,应当首先考虑控制的设计。
第五十五条 注册会计师通常实施下列风险评估程序,以获取有关控制设计和执行的审计证据:
(一)询问被审计单位的人员;
(二)观察特定控制的运用;
(三)检查文件和报告;
(四)追踪交易在财务报告信息系统中的处理过程(穿行测试)。
询问本身并不足以评价控制的设计以及确定其是否得到执行,注册会计师应当将询问与其他风险评估程序结合使用。
第五十六条 除非存在某些可以使控制得到一贯运行的自动化控制,注册会计师对控制的了解并不能够代替对控制运行有效性的测试。
第四节 内部控制的人工和自动化成分
第五十七条 内部控制可能既包括人工成分又包括自动化成分,在风险评估以及设计和实施进一步审计程序时,注册会计师应当考虑内部控制的人工和自动化特征及其影响。
第五十八条 信息技术通常在下列方面提高被审计单位内部控制的效率和效果:
(一)在处理大量的交易或数据时,一贯运用事先确定的业务规则,并进行复杂运算;
(二)提高信息的及时性、可获得性及准确性;
(三)有助于对信息的深入分析;
(四)加强对被审计单位政策和程序执行情况的监督;
(五)降低控制被规避的风险;
(六)通过对操作系统、应用程序系统和数据库系统实施安全控制,提高不相容职务分离的有效性。
第五十九条 注册会计师应当从下列方面了解信息技术对内部控制产生的特定风险:
(一)系统或程序未能正确处理数据,或处理了不正确的数据,或两种情况同时并存;
(二)在未得到授权情况下访问数据,可能导致数据的毁损或对数据不恰当的修改,包括记录未经授权或不存在的交易,或不正确地记录了交易;
(三)信息技术人员可能获得超越其履行职责以外的数据访问权限,破坏了系统应有的职责分工;
(四)未经授权改变主文档的数据;
(五)未经授权改变系统或程序;
(六)未能对系统或程序作出必要的修改;
(七)不恰当的人为干预;
(八)数据丢失的风险或不能访问所需要的数据。
第六十条 内部控制的人工成分在处理下列需要主观判断或酌情处理的情形时可能更为适当:
(一)存在大额、异常或偶发的交易;
(二)存在难以定义、防范或预见的错误;
(三)为应对情况的变化,需要对现有的自动化控制进行调整;
(四)监督自动化控制的有效性。
第六十一条 注册会计师应当从下列方面了解人工控制产生的特定风险:
(一)人工控制可能更容易被规避、忽视或凌驾;
(二)人工控制可能不具有一贯性;
(三)人工控制可能更容易产生简单错误或失误。
第六十二条 注册会计师应当考虑人工控制在下列情形中可能是不适当的:
(一)存在大量或重复发生的交易;
(二)事先可预见的错误能够通过自动化控制得以防范或发现;
(三)控制活动可得到适当设计和自动化处理。
第六十三条 在了解内部控制时,注册会计师应当考虑被审计单位是否通过建立有效的控制,以恰当应对由于使用信息技术系统或人工系统而产生的风险。
第五节 内部控制的局限性
第六十四条 内部控制存在下列固有局限性,无论如何设计和执行,只能对财务报告的可靠性提供合理的保证:
(一)在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效;
(二)可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。
第六十五条 小型被审计单位拥有的员工通常较少,限制了其职责分离的程度,业主凌驾于内部控制之上的可能性较大,注册会计师应当考虑一些关键领域是否存在有效的内部控制。
第六节 控制环境
第六十六条 注册会计师应当了解控制环境。
控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。
第六十七条 在评价控制环境的设计和实施情况时,注册会计师应当了解管理层在治理层的监督下,是否营造并保持了诚实守信和合乎道德的文化,以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。
第六十八条 在评价控制环境的设计时,注册会计师应当考虑构成控制环境的下列要素,以及这些要素如何被纳入被审计单位业务流程:
(一)对诚信和道德价值观念的沟通与落实;
(二)对胜任能力的重视;
(三)治理层的参与程度;
(四)管理层的理念和经营风格;
(五)组织结构;
(六)职权与责任的分配;
(七)人力资源政策与实务。
第六十九条 在确定构成控制环境的要素是否得到执行时,注册会计师应当考虑将询问与其他风险评估程序相结合以获取审计证据。
通过询问管理层和员工,注册会计师可能了解管理层如何就业务规程和道德价值观念与员工进行沟通。
通过观察和检查,注册会计师可能了解管理层是否建立了正式的行为守则,在日常工作中行为守则是否得到遵守,以及管理层如何处理违反行为守则的情形。
第七十条 控制环境对重大错报风险的评估具有广泛影响,注册会计师应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的基础,并且未被控制环境中存在的缺陷所削弱。
第七十一条 控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报,注册会计师在评估重大错报风险时应当将控制环境连同其他内部控制要素产生的影响一并考虑。
第七十二条 在小型被审计单位,可能无法获取以文件形式存在的有关控制环境要素的审计证据,注册会计师应当重点了解管理层对内部控制设计的态度、认识和措施。
第七节 被审计单位的风险评估过程
第七十三条 注册会计师应当了解被审计单位的风险评估过程和结果。
风险评估过程包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施。
第七十四条 在评价被审计单位风险评估过程的设计和执行时,注册会计师应当确定管理层如何识别与财务报告相关的经营风险,如何估计该风险的重要性,如何评估风险发生的可能性,以及如何采取措施管理这些风险。
第七十五条 注册会计师应当询问管理层识别出的经营风险,并考虑这些风险是否可能导致重大错报。
在审计过程中,如果识别出管理层未能识别的重大错报风险,注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险,以及评估过程是否适合于具体环境。
第七十六条 在小型被审计单位,管理层可能没有正式的风险评估过程,注册会计师应当与管理层讨论其如何识别经营风险以及如何应对这些风险。
第八节 信息系统与沟通
第七十七条 与财务报告相关的信息系统,包括用以生成、记录、处理和报告交易、事项和情况,对相关资产、负债和所有者权益履行经营管理责任的程序和记录。
与财务报告相关的信息系统应当与业务流程相适应。
第七十八条 与财务报告相关的信息系统所生成信息的质量,对管理层能否作出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。
与财务报告相关的信息系统通常包括下列职能:
(一)识别与记录所有的有效交易;
(二)及时、详细地描述交易,以便在财务报告中对交易作出恰当分类;
(三)恰当计量交易,以便在财务报告中对交易的金额作出准确记录;
(四)恰当确定交易生成的会计期间;
(五)在财务报表中恰当列报交易。
第七十九条 注册会计师应当从下列方面了解与财务报告相关的信息系统:
(一)在被审计单位经营过程中,对财务报表具有重大影响的各类交易;
(二)在信息技术和人工系统中,对交易生成、记录、处理和报告的程序;
(三)与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目;
(四)信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况;
(五)被审计单位编制财务报告的过程,包括作出的重大会计估计和披露。
第八十条 在了解与财务报告相关的信息系统时,注册会计师应当特别关注由于管理层凌驾于账户记录控制之上,或规避控制行为而产生的重大错报风险,并考虑被审计单位如何纠正不正确的交易处理。
第八十一条 与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责,员工之间的工作联系,以及向适当级别的管理层报告例外事项的方式。
注册会计师应当了解被审计单位内部如何对财务报告的岗位职责,以及与财务报告相关的重大事项进行沟通。
注册会计师还应当了解管理层与治理层之间的沟通,以及被审计单位与外部的沟通。
第八十二条 在小型被审计单位,与财务报告相关的信息系统和沟通可能不如大型被审计单位正式和复杂,注册会计师应当考虑这种特征对评估重大错报风险的影响。
第九节 控制活动
第八十三条 注册会计师应当了解控制活动,以足够评估认定层次的重大错报风险和针对评估的风险设计进一步审计程序。
控制活动是指有助于确保管理层的指令得以执行的政策和程序,包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。
第八十四条 注册会计师应当了解与授权有关的控制活动,包括一般授权和特别授权。
一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。
特别授权是指管理层针对特定类别的交易或活动逐一设置的授权。
第八十五条 注册会计师应当了解与业绩评价有关的控制活动,主要包括被审计单位分析评价实际业绩与预算(或预测、前期业绩)的差异,综合分析财务数据与经营数据的内在关系,将内部数据与外部信息来源相比较,评价职能部门、分支机构或项目活动的业绩,以及对发现的异常差异或关系采取必要的调查与纠正措施。
第八十六条 注册会计师应当了解与信息处理有关的控制活动,包括信息技术一般控制和应用控制。
信息技术一般控制是指与多个应用系统有关的政策和程序,有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性),支持应用控制作用的有效发挥,通常包括数据中心和网络运行控制,系统软件的购置、修改及维护控制,接触或访问权限控制,应用系统的购置、开发及维护控制。
信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序,与用于生成、记录、处理、报告交易或其他财务数据的程序相关,通常包括检查数据计算准确性,审核账户和试算平衡表,设置对输入数据和数字序号的自动检查,以及对例外报告进行人工干预。
第八十七条 注册会计师应当了解实物控制,主要包括了解对资产和记录采取适当的安全保护措施,对访问计算机程序和数据文件设置授权,以及定期盘点并将盘点记录与会计记录相核对。
实物控制的效果影响资产的安全,从而对财务报表的可靠性及审计产生影响。
第八十八条 注册会计师应当了解职责分离,主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工,以防范同一员工在履行多项职责时可能发生的舞弊或错误。
第八十九条 在了解控制活动时,注册会计师应当重点考虑一项控制活动单独或连同其他控制活动,是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。
如果多项控制活动能够实现同一目标,注册会计师不必了解与该目标相关的每项控制活动。
第九十条 在了解其他内部控制要素时,如果获取了控制活动是否存在的信息,注册会计师应当确定是否有必要进一步了解这些控制活动。
第九十一条 小型被审计单位通常难以实施适当的职责分离,注册会计师应当考虑小型被审计单位采取的控制活动能否有效实现控制目标。
第十节 对控制的监督
第九十二条 注册会计师应当了解被审计单位对与财务报告相关的内部控制的监督活动,并了解如何采取纠正措施。
对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程,该过程包括及时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施。
第九十三条 注册会计师应当了解被审计单位对控制的持续监督活动和专门的评价活动。
持续的监督活动通常贯穿于被审计单位的日常经营活动与常规管理工作中。
被审计单位可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价。
被审计单位也可能利用与外部有关各方沟通或交流所获取的信息监督相关的控制活动。
第九十四条 注册会计师应当了解与被审计单位监督活动相关的信息来源,以及管理层认为信息具有可靠性的依据。
如果拟利用被审计单位监督活动使用的信息(包括内部审计报告),注册会计师应当考虑该信息是否具有可靠的基础,是否足以实现审计目标。
第九十五条 小型被审计单位通常没有正式的持续监督活动,且持续的监督活动与日常管理工作难以明确区分,注册会计师应当考虑业主对经营活动的密切参与能否有效实现其对控制的监督目标。
第五章 评估重大错报风险
第一节 识别和评估财务报表层次和认定层次的重大错报风险
第九十六条 注册会计师应当识别和评估财务报表层次以及各类交易、账户余额、列报认定层次的重大错报风险。
在识别和评估重大错报风险时,注册会计师应当实施下列审计程序:
(一)在了解被审计单位及其环境的整个过程中识别风险,并考虑各类交易、账户余额、列报;
(二)将识别的风险与认定层次可能发生错报的领域相联系;
(三)考虑识别的风险是否重大;
(四)考虑识别的风险导致财务报表发生重大错报的可能性。
第九十七条 注册会计师应当利用实施风险评估程序获取的信息,包括在评价控制设计和确定其是否得到执行时获取的审计证据,作为支持风险评估结果的审计证据。
注册会计师应当根据风险评估结果,确定实施进一步审计程序的性质、时间和范围。
第九十八条 注册会计师应当关注下列事项和情况可能表明被审计单位存在重大错报风险:
(一)在经济不稳定的国家或地区开展业务;
(二)在高度波动的市场开展业务;
(三)在严厉、复杂的监管环境中开展业务;
(四)持续经营和资产流动性出现问题,包括重要客户流失;
(五)融资能力受到限制;
(六)行业环境发生变化;
(七)供应链发生变化;
(八)开发新产品或提供新服务,或进入新的业务领域;
(九)开辟新的经营场所;
(十)发生重大收购、重组或其他非经常性事项;
(十一)拟出售分支机构或业务分部;
(十二)复杂的联营或合资;
(十三)运用表外融资、特殊目的实体以及其他复杂的融资协议;
(十四)重大的关联方交易;
(十五)缺乏具备胜任能力的会计人员;
(十六)关键人员变动;
(十七)内部控制薄弱;
(十八)信息技术战略与经营战略不协调;
(十九)信息技术环境发生变化;
(二十)安装新的与财务报告有关的重大信息技术系统;
(二十一)经营活动或财务报告受到监管机构的调查;
(二十二)以往存在重大错报或本期期末出现重大会计调整;
(二十三)发生重大的非常规交易;
(二十四)按照管理层特定意图记录的交易;
(二十五)应用新颁布的会计准则或相关会计制度;
(二十六)会计计量过程复杂;
(二十七)事项或交易在计量时存在重大不确定性;
(二十八)存在未决诉讼和或有负债。
第九十九条 注册会计师应当确定,识别的重大错报风险是与特定的某类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定。
第一百条 财务报表层次的重大错报风险很可能源于薄弱的控制环境。
薄弱的控制环境带来的风险可能对财务报表产生广泛影响,难以限于某类交易、账户余额、列报,注册会计师应当采取总体应对措施。
第一百零一条 在评估重大错报风险时,注册会计师应当将所了解的控制与特定认定相联系。
控制与认定直接或间接相关;关系越间接,控制对防止或发现并纠正认定错报的效果越小。
注册会计师可能识别出有助于防止或发现并纠正特定认定发生重大错报的控制。在确定这些控制是否能够实现上述目标时,注册会计师应当将控制活动和其他要素综合考虑。
第一百零二条 如果通过对内部控制的了解发现下列情况,并对财务报表局部或整体的可审计性产生疑问,注册会计师应当考虑出具保留意见或无法表示意见的审计报告:
(一)被审计单位会计记录的状况和可靠性存在重大问题,不能获取充分、适当的审计证据以发表无保留意见;
(二)对管理层的诚信存在严重疑虑。
必要时,注册会计师应当考虑解除业务约定。
第二节 需要特别考虑的重大错报风险
第一百零三条 作为风险评估的一部分,注册会计师应当运用职业判断,确定识别的风险哪些是需要特别考虑的重大错报风险(以下简称特别风险)。
第一百零四条 在确定哪些风险是特别风险时,注册会计师应当在考虑识别出的控制对相关风险的抵消效果前,根据风险的性质、潜在错报的重要程度和发生的可能性,判断风险是否属于特别风险。
第一百零五条 在确定风险的性质时,注册会计师应当考虑下列事项:
(一)风险是否属于舞弊风险;
(二)风险是否与近期经济环境、会计处理方法和其他方面的重大变化有关;
(三)交易的复杂程度;
(四)风险是否涉及重大的关联方交易;
(五)财务信息计量的主观程度,特别是对不确定事项的计量存在较大区间;
(六)风险是否涉及异常或超出正常经营过程的重大交易。
第一百零六条 特别风险通常与重大的非常规交易和判断事项有关。
非常规交易是指由于金额或性质异常而不经常发生的交易。
判断事项通常包括作出的会计估计。
第一百零七条 由于非常规交易具有下列特征,与重大非常规交易相关的特别风险可能导致更高的重大错报风险:
(一)管理层更多地介入会计处理;
(二)数据收集和处理涉及更多的人工成分;
(三)复杂的计算或会计处理方法;
(四)非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制。
第一百零八条 由于下列原因,与重大判断事项相关的特别风险可能导致更高的重大错报风险:
(一)对涉及会计估计、收入确认等方面的会计原则存在不同的理解;
(二)所要求的判断可能是主观和复杂的,或需要对未来事项作出假设。
第一百零九条 对特别风险,注册会计师应当评价相关控制的设计情况,并确定其是否已经得到执行。
与重大非常规交易或判断事项相关的风险很少受到日常控制的约束,注册会计师应当了解被审计单位是否针对该特别风险设计和实施了控制。
第一百一十条 如果管理层未能实施控制以恰当应对特别风险,注册会计师应当认为内部控制存在重大缺陷,并考虑其对风险评估的影响。
第三节 仅通过实质性程序无法应对的重大错报风险
第一百一十一条 作为风险评估的一部分,如果认为仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册会计师应当评价被审计单位针对这些风险设计的控制,并确定其执行情况。
第一百一十二条 在被审计单位对日常交易采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的有效性,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。
如果认为仅通过实施实质性程序不能获取充分、适当的审计证据,注册会计师应当考虑依赖的相关控制的有效性。
第四节 对风险评估的修正
第一百一十三条 注册会计师对认定层次重大错报风险的评估应以获取的审计证据为基础,并可能随着不断获取审计证据而作出相应的变化。
如果通过实施进一步审计程序获取的审计证据与初始评估获取的审计证据相矛盾,注册会计师应当修正风险评估结果,并相应修改原计划实施的进一步审计程序。
第六章 与治理层和管理层的沟通
第一百一十四条 注册会计师应当及时将注意到的内部控制设计或执行方面的重大缺陷告知适当层次的管理层或治理层。
第一百一十五条 如果识别出被审计单位未加控制或控制不当的重大错报风险,或认为被审计单位的风险评估过程存在重大缺陷,注册会计师应当就此类内部控制缺陷与治理层沟通。
第七章 审计工作记录
第一百一十六条 注册会计师应当就下列内容形成审计工作记录:
(一)项目组对由于舞弊或错误导致财务报表发生重大错报的可能性进行的讨论,以及得出的重要结论;
(二)根据本准则第十九条的规定,对被审计单位及其环境各个方面的了解要点(包括对本准则第四十七条所述的内部控制各项要素的了解要点)、信息来源以及实施的风险评估程序;
(三)根据本准则第九十六条的规定,在财务报表层次和认定层次识别、评估出的重大错报风险;
(四)根据本准则第一百零九条和第一百一十一条的规定,识别出的特别风险和仅通过实质性程序无法应对的重大错报风险,以及对相关控制的评估。
第八章 附 则
第一百一十七条 本准则自2007年1月1日起施行。