中国注册会计师协会
(六)测试控制设计的有效性
注册会计师应当测试控制设计的有效性。
如果某项控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定的程序和要求执行,能够实现控制目标,从而有效地防止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊,则表明该项控制的设计是有效的。
(七)测试控制运行的有效性
注册会计师应当测试控制运行的有效性。
如果某项控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力,能够实现控制目标,则表明该项控制的运行是有效的。
如果被审计单位利用第三方的帮助完成一些财务报告工作,注册会计师在评价负责财务报告及相关控制的人员的专业胜任能力时,可以一并考虑第三方的专业胜任能力。
注册会计师获取的有关控制运行有效性的审计证据包括:
(1)控制在所审计期间的相关时点是如何运行的;
(2)控制是否得到一贯执行;
(3)控制由谁或以何种方式执行。
(八)与控制相关的风险和拟获取的审计证据之间的关系
在测试所选定控制的有效性时,注册会计师应当根据与控制相关的风险,确定所需获取的审计证据。
与控制相关的风险包括一项控制可能无效的风险,以及如果该控制无效,可能导致重大缺陷的风险。与控制相关的风险越高,注册会计师需要获取的审计证据就越多。
下列因素影响与某项控制相关的风险:
(1)该项控制拟防止或发现并纠正的错报的性质和重要程度;
(2)相关账户、列报及其认定的固有风险;
(3)交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的有效性产生不利影响;
(4)相关账户或列报是否曾经出现错报;
(5)企业层面控制(特别是监督其他控制的控制)的有效性;
(6)该项控制的性质及其执行频率;
(7)该项控制对其他控制(如控制环境或信息技术一般控制)有效性的依赖程度;
(8)执行该项控制或监督该项控制执行的人员的专业胜任能力,以及其中的关键人员是否发生变化;
(9)该项控制是人工控制还是自动化控制;
(10)该项控制的复杂程度,以及在运行过程中依赖判断的程度。
(九)测试控制有效性的程序
注册会计师通过测试控制有效性获取的审计证据,取决于其实施程序的性质、时间安排和范围的组合。此外,就单项控制而言,注册会计师应当根据与控制相关的风险对测试程序的性质、时间安排和范围进行适当的组合,以获取充分、适当的审计证据。
注册会计师测试控制有效性的程序,按其提供审计证据的效力,由弱到强排序通常为:询问、观察、检查和重新执行。询问本身并不能为得出控制是否有效的结论提供充分、适当的审计证据。
测试控制有效性的程序,其性质在很大程度上取决于拟测试控制的性质。某些控制可能存在反映控制有效性的文件记录,而另外一些控制,如管理理念和经营风格,可能没有书面的运行证据。
对缺乏正式的控制运行证据的被审计单位或业务单元,注册会计师可以通过询问并结合运用其他程序,如观察活动、检查非正式的书面记录和重新执行某些控制,获取有关控制是否有效的充分、适当的审计证据。
注册会计师在测试控制设计的有效性时,应当综合运用询问适当人员、观察经营活动和检查相关文件等程序。注册会计师执行穿行测试通常足以评价控制设计的有效性。
注册会计师在测试控制运行的有效性时,应当综合运用询问适当人员、观察经营活动、检查相关文件以及重新执行等程序。
(十)控制测试的涵盖期间
对控制有效性的测试涵盖的期间越长,提供的控制有效性的审计证据越多。
单就内部控制审计业务而言,注册会计师应当获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据。在整合审计中,控制测试所涵盖的期间应当尽量与财务报表审计中拟信赖内部控制的期间保持一致。
注册会计师执行内部控制审计业务旨在对基准日内部控制有效性出具报告。如果已获取有关控制在期中运行有效性的审计证据,注册会计师应当确定还需要获取哪些补充审计证据,以证实剩余期间控制的运行情况。在将期中测试结果更新至基准日时,注册会计师应当考虑下列因素以确定需要获取的补充审计证据:
(1)基准日之前测试的特定控制,包括与控制相关的风险、控制的性质和测试的结果;
(2)期中获取的有关审计证据的充分性和适当性;
(3)剩余期间的长短;
(4)期中测试之后,内部控制发生重大变化的可能性。
针对所有重要账户和列报的每个相关认定,注册会计师应当获取控制有效性的审计证据。《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》第十四条提及的“三年轮换测试”不适用(本意见第四部分提及的与基准相比较的策略除外)。
(十一)控制测试的时间安排
对控制有效性测试的实施时间越接近基准日,提供的控制有效性的审计证据越有力。为了获取充分、适当的审计证据,注册会计师应当在下列两个因素之间作出平衡,以确定测试的时间:
(1)尽量在接近基准日实施测试;
(2)实施的测试需要涵盖足够长的期间。
整改后的内部控制需要在基准日之前运行足够长的时间,注册会计师才能得出整改后的内部控制是否有效的结论。因此,在接受或保持内部控制审计业务时,注册会计师应当尽早与被审计单位沟通这一情况,并合理安排控制测试的时间,留出提前量。例如,注册会计师在基准日前3个月完成期中测试工作。此外,由于对企业层面控制的评价结果将影响注册会计师测试其他控制的性质、时间安排和范围,注册会计师可以考虑在执行业务的早期阶段对企业层面控制进行测试。
(十二)控制测试的范围
注册会计师在测试控制的运行有效性时,应当在考虑与控制相关的风险的基础上,确定测试的范围(样本规模)。
注册会计师确定的测试范围,应当足以使其获取充分、适当的审计证据,为基准日内部控制是否不存在重大缺陷提供合理保证。
1.测试人工控制的最小样本规模
在测试人工控制时,如果采用检查或重新执行程序,注册会计师测试的最小样本量区间参见表1。
表1:测试人工控制的最小样本量区间
在运用表1时,注册会计师应当注意下列事项:
(1)测试的最小样本量是指所需测试的控制运行次数;
(2)注册会计师应当根据与控制相关的风险,基于最小样本量
区间确定具体的样本规模;
(3)表1假设控制的运行偏差率预期为零。如果预期偏差率不为零,注册会计师应当扩大样本规模;
(4)如果注册会计师不能确定控制运行频率,但是知道控制运行总次数,仍可根据“控制运行总次数”一列确定测试的最小样本规模。
2. 测试自动化应用控制的最小样本规模
信息技术处理具有内在一贯性。在信息技术一般控制有效的前提下,除非系统发生变动,注册会计师只要对自动化应用控制的运行测试一次,即可得出所测试自动化应用控制是否运行有效的结论。
3.发现偏差时的处理
如果发现控制偏差,注册会计师应当确定其对下列事项的影响:
(1)与所测试控制相关的风险的评估;
(2)需要获取的审计证据;
(3)控制运行有效性的结论。
评价控制偏差的影响需要注册会计师运用职业判断,并受到控制的性质和所发现偏差数量的影响。如果发现的控制偏差是系统性偏差或人为有意造成的偏差,注册会计师应当考虑舞弊的可能迹象以及对审计方案的影响。
在评价控制测试中发现的某项控制偏差是否为控制缺陷时,注册会计师可以考虑的因素包括:
(1)该偏差是如何被发现的。例如,如果某控制偏差是被另外一项控制所发现的,则可能意味着被审计单位存在有效的发现性控制。
(2)该偏差是与某一特定的地点、流程或应用系统相关,还是对被审计单位有广泛影响。
(3)就被审计单位的内部政策而言,该控制出现偏差的严重程度。例如,某项控制在执行上晚于被审计单位政策要求的时间,但仍在编制财务报表之前得以执行,还是该项控制根本没有得以执行。
(4)与控制运行频率相比,偏差发生的频率大小。
由于有效的内部控制不能为实现控制目标提供绝对保证,单项控制并非一定要毫无偏差地运行,才被认为有效。在按照表1所列示的样本规模进行测试的情况下,如果发现控制偏差,注册会计师应当考虑偏差的原因及性质,并考虑采用扩大样本量等适当的应对措施以判断该偏差是否对总体不具有代表性。例如,对每日发生多次的控制,如果初始样本量为25个,当测试发现一项控制偏差,且该偏差不是系统性偏差时,注册会计师可以扩大样本规模进行测试,所增加的样本量至少为15个。如果测试后再次发现偏差,则注册会计师可以得出该控制无效的结论。如果扩大样本量没有再次发现偏差,则注册会计师可以得出控制有效的结论。
(十三)控制变更时的特殊考虑
在基准日之前,被审计单位可能为提高控制效率、效果或弥补控制缺陷而改变控制。
对内部控制审计而言,如果新控制实现了相关控制目标,且运行了足够长的时间,使注册会计师能够通过对该控制进行测试评价其设计和运行的有效性,则无需测试被取代的控制。
对财务报表审计而言,如果被取代控制的运行有效性对控制风险的评估有重大影响,注册会计师应当测试被取代控制的设计和运行的有效性。
(十四)利用他人的工作
注册会计师应当评估是否利用他人(包括被审计单位的内部审计人员、内部控制评价人员和其他人员以及在管理层或治理层指导下的第三方)的工作以及利用的程度,以减少可能本应由注册会计师执行的工作。如果他人的工作能够提供有关内部控制有效性的审计证据,注册会计师可以利用其工作或者提供的直接帮助。
注册会计师应当参照《中国注册会计师审计准则第1411号——利用内部审计人员的工作》的规定,评价他人的专业胜任能力和客观性,以确定可利用的程度。
在评价他人的专业胜任能力时,注册会计师应当考虑其专业资格、专业经验与技能等相关因素。在评价他人的客观性时,注册会计师应当考虑是否存在某些因素,将削弱或者增强其客观性。
无论他人的专业胜任能力如何,注册会计师都不应利用客观程度低的人员的工作。同样,无论他人的客观程度如何,注册会计师都不应利用专业胜任能力低的人员的工作。
被审计单位内部负责监督、稽核或合规工作的人员,如内部审计人员,通常拥有较高的专业胜任能力和客观性。他们的工作可能对注册会计师有用。
注册会计师利用他人工作的程度还受到与所测试控制相关的风险的影响。与某项控制相关的风险越高,注册会计师应当越多地亲自对该项控制进行测试。
在识别、了解和测试企业层面控制时,注册会计师不得利用他人的工作。
(十五)对被审计单位使用服务机构的考虑
如果服务机构提供的服务和对服务的控制,构成被审计单位与财务报告相关的信息系统(包括相关业务流程)的一部分,注册会计师应当按照《中国注册会计师审计准则第1241号——对被审计单位使用服务机构的考虑》的规定办理。
注册会计师在对被审计单位内部控制的有效性发表意见时,不应在内部控制审计报告中提及服务机构注册会计师的报告。
四、关于连续审计时的特殊考虑
在连续审计中,注册会计师在确定测试的性质、时间安排和范围时,应当考虑以前年度执行内部控制审计所了解的情况。
(一)影响连续审计中与某项控制相关风险的因素
除本意见第三部分第(八)项“与控制相关的风险和拟获取的审计证据之间的关系”所列因素外,下列因素也会影响连续审计中与某项控制相关的风险:
(1)以前年度审计中所实施程序的性质、时间安排和范围;
(2)以前年度对控制的测试结果以及以前年度发现的缺陷是否得以整改;
(3)上次审计之后,控制或其运行所处的流程是否发生变化。
在考虑本意见所列的风险因素,以及连续审计中可获取的进一步信息后,如果认为与控制相关的风险水平比以前年度有所下降,注册会计师在本年度审计中可以减少测试。
(二)对自动化应用控制实施与基准相比较的策略
在连续审计中,由于完全自动化的应用控制通常不会因人为失误而失效,因此,注册会计师可以考虑对自动化应用控制实施与基准相比较的策略。
与基准相比较的策略,是指如果认为程序变更、访问权限及计算机操作方面的一般控制有效,且可持续对其进行测试,并能证实自动化应用控制自最近一次测试之后未发生变化,则可将最近一次测试设为基准,在以后年度测试时,注册会计师不必重复执行测试,只需将该年的情况与基准相比较,就可以认为自动化应用控制是持续有效的。
注册会计师为证实控制未发生变化而需获取审计证据的性质和范围,可能随情况的变化而变化。例如,被审计单位程序变更控制的强弱将影响需获取审计证据的性质和范围。
自动化应用控制能否一贯有效地运行可能取决于所使用的相关文件、表格、数据和参数的正确性。例如,计算利息收入的自动化应用控制,其运行的有效性可能取决于使用的利率表的正确性。
注册会计师应当在评价下列风险因素的基础上,确定是否使用与基准相比较的策略:
(1)应用控制与相关应用程序直接对应的程度;
(2)应用系统的稳定性,即各期间的变化大小;
(3)有关投入使用的程序编译日期的信息的可获得性和可靠性(该信息可作为此程序中的控制未发生变化的审计证据)。
当上述因素表明风险较低时,对所评价的控制可能比较适合使用与基准相比较的策略。反之,不宜使用与基准相比较的策略。但是基础数据的准确性与完整性,以及依赖系统的人工控制部分不适用与基准相比较的策略。
在一段时期之后,注册会计师应当重新设置自动化应用控制运行的基准。在确定何时重设基准时,注册会计师应当考虑下列因素:
(1)信息技术控制环境的有效性,包括针对应用及操作系统和数据库系统的取得与维护、访问权限以及计算机操作而实施控制的有效性;
(2)如果包含控制的具体程序发生变化,注册会计师对该变化性质的了解;
(3)其他相关测试的性质和时间;
(4)相关应用控制发生错误导致的后果;
(5)控制是否易于受到其他可能变化的经营因素的影响。
(三)增加测试的不可预见性
为使对控制有效性的测试具有不可预见性并能够应对环境的变化,注册会计师应当每年改变测试的性质、时间安排和范围。
注册会计师可以每年在期中不同的时间测试控制,并增加或减少所执行测试的数量和种类,或者改变所使用测试程序的组合。
五、关于集团审计的特殊考虑
(一)识别重要账户、列报及其相关认定
在执行集团内部控制审计业务时,注册会计师应当基于集团财务报表识别重要账户、列报及其相关认定。
(二)确定对组成部分执行的工作
1.一般原则
在执行集团内部控制审计业务时,注册会计师应当采用自上而下的方法,合理运用职业判断,确定对组成部分执行的工作。
注册会计师应当评估与组成部分相关的导致集团财务报表发生重大错报的风险,并根据其风险程度给予相应的审计关注。
在评估与某组成部分相关的导致集团财务报表发生重大错报的风险时,注册会计师应当考虑的因素包括:
(1)以前执行的与该组成部分内部控制相关的审计工作的结果;
(2)影响该组成部分重要账户的固有风险;
(3)从财务数据角度看,该组成部分的相对重要程度;
(4)风险在各组成部分间的分布(即风险分布于数量众多的小规模组成部分,还是分布于数量较少但规模较大的组成部分);
(5)组成部分之间业务经营和内部控制的类似程度;
(6)业务流程和财务报告系统的集中化程度;
(7)该组成部分执行交易及相关资产的性质和金额;
(8)该组成部分存在重大未确认义务的可能性;
(9)测试集团企业层面控制的结果,包括控制环境、集团对组成部分实施的监控活动及在组成部分层面运行的企业层面控制的有效性。
2.对重要组成部分执行的工作
注册会计师应当按照《中国注册会计师审计准则第1401号——对集团财务报表审计的特殊考虑》的规定,确定重要组成部分。重要组成部分包括:(1)对集团具有财务重大性的组成部分(以下简称具有财务重大性的组成部分);(2)由于其特定性质和情况,可能存在导致集团财务报表发生重大错报的特别风险的组成部分(以下简称具有特别风险的组成部分)。注册会计师应当对重要组成部分的重要账户、列报及其相关认定的内部控制实施测试。
(1)对具有财务重大性的组成部分执行的工作
对于具有财务重大性的组成部分,除非通过实施下列测试工作能够获取有关控制有效性的充分、适当的审计证据,注册会计师应当测试该组成部分内与重要账户、列报及其相关认定相关的业务流程、应用系统或交易层面的内部控制的有效性:
①对整个集团企业层面控制和该组成部分企业层面控制(包括界于组成部分和整个集团之间层次的其他企业层面控制,下同)的测试;
②对除该组成部分以外的其他组成部分相同账户、列报及其相关认定的内部控制已实施的测试。
(2)对具有特别风险的组成部分执行的工作
对具有特别风险的组成部分,注册会计师应当测试针对该项特别风险的控制。
3.对其他组成部分执行的工作
对于重要组成部分以外的其他组成部分,如果存在重要账户、列报及其相关认定,注册会计师应当首先评价对整个集团企业层面控制和该组成部分企业层面控制的测试以及针对重要组成部分相同的账户、列报及其相关认定的内部控制已实施的测试能否提供充分、适当的审计证据。如果不能提供充分、适当的审计证据,注册会计师应当选择适当数量的其他组成部分,测试与该重要账户、列报及其相关认定相关的业务流程、应用系统或交易层面的控制,直至能够获取充分、适当的审计证据为止。
来源:中国注册会计师协会网站
责任编辑:奇奇