审计程序

说明

询问

询问对象：管理层、财务负责人、治理层、内部审计人员、内部法律顾问、营销或销售人员、参与生成处理或记录复杂或异常交易的员工；内部法律顾问；营销或销售人员

分析程序

分析程序在风险识别和评估程序中必须采用，但是注册会计师无须在了解被审计单位的每一方面都实施分析程序（例如了解内控）

观察和检查

①观察被审单位的经营活动

②检查文件、记录和内部控制手册

③阅读由管理层和治理层编制的报告

④实地察看被审计单位的生产经营场所和厂房设备

⑤追踪交易在财务报告信息系统中的处理过程（穿行测试）。这是注册会计师了解被审计单位业务流程及其相关控制时经常使用的审计程序

【提示】穿行测试只适用于了解内部控制

讨论的目标

①使成员更好的了解在各自负责的领域中，由于舞弊或错误导致财务报表重大错报的可能性

②使成员更好的了解各自实施审计程序的结果如何影响审计的其他方面，包括对确定进一步审计程序的性质、时间安排和范围的影响

讨论的内容

①被审计单位面临的经营风险

②财务报表容易发生错报的领域以及发生错报的方式

③特别是由于舞弊导致重大错报的可能性

【提示】记住一个原则：讨论的目的是互通有无，发现风险

参与讨论的人员

①关键成员应当讨论

②拥有信息技术或其他特殊技能的专家根据需要参与讨论

③项目合伙人应当确定向未参与讨论的项目组成员通报哪些事项

讨论的时间和方式

在整个审计过程中持续交换有关财务报表发生重大错报可能性的信息

了解被审计单位

外部环境

（1）相关行业状况、法律环境和监管环境及其他外部因素

内部因素

（2）被审计单位的性质

（3）被审计单位对会计政策的选择和运用

（4）被审计单位的目标、战略以及可能导致重大错报风险的相关经营风险

（5）★被审计单位的内部控制

内外部因素

（6）对被审计单位财务业绩的衡量和评价

1.行业状况

所处行业的市场与竞争、生产经营的季节性和周期性、与被审计单位产品相关的生产技术、能源供应与成本、行业的关键指标和统计数据

2.法律环境与监管环境

会计原则和行业特定惯例、受管制行业的法规框架、对被审计单位经营活动产生重大影响的法律法规、目前对被审计单位开展经营活动产生影响的政府政策、影响行业和被审计单位经营活动的环保要求

3.其他外部因素

主要包括总体经济情况、利率、融资的可获得性、通货膨胀水平或币值变动等。

①所有权结构（识别关联方关系，控股母公司的管理风险，是否占用资金，是否施压）；

②治理结构（治理层监督，影响控制环境）；

③组织结构（复杂的组织结构可能会导致重大错报风险，如财务报表合并、商誉减值、长期股权投资核算）；

④经营活动（主要业务性质、市场情况、业务开展情况、从事电子商务情况、地区与行业分布、生产设施、仓库和办公室的位置，存货存放地点和数量、关键客户、供应商、研发活动、关联方交易）；

⑤投资活动；

⑥筹资活动；

⑦财务报告等。

1.重大和异常交易的会计处理方法（如医药公司的研发活动等）

2.在缺乏权威性标准或共识，有争议的或新兴领域采用重要会计政策产生的影响。应当关注被审计单位选用了哪些会计政策、为什么选用这些会计政策。

3.会计政策的变更。如果被审计单位变更了会计政策，注册会计师应当考虑变更的原因及适当性（例如，有没有舞弊的动机）

①会计政策变更是否是法律、行政法规或者适用的会计准则和相关会计制度要求的变更（是否合法）；

②会计政策变更是否能够提供更可靠、更相关的信息（适当性）；

③注册会计师还应当关注会计政策的变更是否得到恰当处理和披露（适当性）。

4.新颁布的财务报告准则、法律法规，以及被审计单位何时采用、如何采用这些规定

①是否选择激进的会计政策、方法、估计和判断；

②财会人员是否拥有足够的运用会计准则的知识、经验和能力；

③是否拥有足够的资源支持会计政策的运用。

经营风险对重大错报风险的影响

1.注册会计师了解被审计单位的经营风险有助于其识别财务报表重大错报风险。但并非所有的经营风险都与财务报表相关，注册会计师没有责任识别或评估对财务报表没有重大影响的经营风险。

2.多数经营风险最终都会产生财务后果，从而影响财务报表。但并非所有的经营风险都会导致重大错报风险。

3.经营风险可能对某类交易、账户余额和披露的认定层次重大错报风险或财务报表层次重大错报风险产生直接影响。

1.在了解被审计单位财务业绩衡量和评价情况时，注册会计师应当关注下列信息：

①关键业绩指标（财务的或非财务的）、关键比率、趋势和经营统计数据

②同期财务业绩比较分析

③预算、预测、差异分析、分部信息与分部、部门或其他不同层次的业绩报告

④员工业绩考核与激励性报酬政策

⑤被审计单位与竞争对手的业绩比较

此外，外部机构也会衡量和评价被审计单位的财务业绩，如分析师的报告和信用评级机构的报告。

2.关注内部财务业绩衡量的结果

内部财务业绩衡量可能显示被审计单位与同行业其他单位相比具有异常过快的增长率或盈利水平，此类信息如果与业绩奖金或激励性报酬等因素结合起来考虑，可能显示管理层编制报表时存在某种倾向的错报风险。

【提示】

①“重新执行”是控制测试的程序，不要搞混！

②了解内部控制是必要程序。

③询问本身不足以评价控制的设计以及确定其是否得到执行，注册会计师应当将询问与其他风险评估程序结合使用。

④“对控制是否得到一贯执行的测试”指的是控制测试。

了解内部控制

控制测试

目的

①设计合理吗？——理论上能不能提前拦住或事后发现错报

②得到执行了吗？——有没有按要求去做

评价内部控制有效吗？——内部控制做得怎么样（从事实上判断内部控制到底有没有起作用）

关系

除非存在某些可以使控制得到一贯运行的自动化控制，否则注册会计师对控制的了解并不足以测试控制运行的有效性。

由于信息技术处理流程的内在一贯性，实施审计程序确定某项自动控制能否得到执行，也可能实现对控制运行有效性测试的目标，这取决于注册会计师对控制的评估和测试。

例如，获取某一人工控制在某一时点得到执行的审计证据，并不能证明该控制在所审计期间内的其他时点也有效运行。

优势

风险

①在处理大量的交易或数据时，一贯运用事先确定的业务规则，并进行复杂运算

②提高信息的及时性、可获得性及准确性

③促进对信息的深入分析

④提高对被审计单位的经营业绩及其政策和程序执行情况进行监督的能力

⑤降低控制被规避的风险

⑥通过对应用程序系统、数据库系统和操作系统执行安全控制，提高不兼容职务分离的有效性

①所依赖的系统或程序不能正确处理数据，或处理了不正确的数据，或两种情况并存

②未经授权访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易，多个用户同时访问同一数据库可能造成特定风险

③信息技术人员可能获得超越其职责范围的数据访问权限，因此，破坏了系统应有的职责分工

④未经授权改变主文档的数据

⑤未经授权改变系统或程序

⑥未能对系统或程序作出必要的修改

⑦不恰当的人为干预

⑧可能丢失数据或不能访问所需要的数据

适用范围

①存在大额、异常或偶发的交易

②存在难以界定、预计或预测的错误的情况

③针对变化的情况，需要对现有的自动化控制进行人工干预

④监督自动化控制的有效性

不适用范围

①存在大量或重复发生的交易

②事先可预计或预测的错误能够通过自动化控制参数得以防止或发现并纠正

③用特定方法实施控制的控制活动可得到适当设计和自动化处理

人工控制的风险

①人工控制可能更容易被规避、忽视或凌驾

②人工控制可能不具有一贯性

③人工控制可能更容易产生简单错误或失误

内部控制的固有局限性原因

主要原因

①在决策时人为判断可能出现错误和因人为失误而导致内部控制失效

②控制可能由于两个或更多的人员串通或管理层不当地凌驾于内部控制之上而被规避

其他原因

①人员素质不适应岗位要求

②成本效益考虑：当实施某项控制成本大于控制效果而发生损失时，就没有必要设置该控制环节或控制措施

③不经常发生或未预计到的业务：内部控制一般都是针对经常而重复发生的业务设置的，如果出现不经常发生或未预计到的业务，原有控制就可能不适用

与控制环境相关的因素

说明（了解）

对诚信和道德价值观念的沟通与落实

对行为规范的沟通和落实

对胜任能力的重视

财务人员及相关人员是否有足够的胜任能力

治理层的参与程度

治理层的健全、独立、经验、品德等

管理层的理念和经营风格

——

组织结构及职权与责任的分配

业务授权、业务记录、资产保管和维护以及业务执行的责任分离

人力资源政策和实务

招聘、培训、考核、咨询、晋升、薪酬等

控制活动

授权

一般授权（日常）

特别授权（重大单独）

业绩评价

①被审计单位分析评价实际业绩与预算（或预测、前期业绩）的差异

②综合分析财务数据与经营数据的内在关系

③将内部数据与外部信息来源相比较

④评价职能部门、分支机构或项目活动的业绩等

信息处理

一般控制

应用控制

实物控制

①对资产和记录采取适当的安全保护措施（安全保护）

②对访问计算机程序和数据文件设置授权（访问权限）

③定期盘点并将盘点记录与会计记录核对（定期盘点）

职责分离

——

注意事项

在了解控制活动时，注册会计师应当重点考虑一项控制活动单独或连同其他控制活动，是否能够以及如何防止或发现并纠正各类交易、账户余额和披露存在的重大错报。

注册会计师的工作重点是识别和了解针对重大错报更高的领域的控制活动。如果多项控制活动能够实现同一目标，注册会计师不必了解与该目标相关的每项控制活动

层面

要点

整体层面

①主要与控制环境相关

②对控制的监督

③考虑舞弊和管理层凌驾于内部控制之上的风险

④信息系统的一般控制

⑤财务报告流程的控制

业务流程层面

①与循环和认定相关的控制

②信息系统的应用控制

③控制活动

预防性控制（事前控制，提前防止出错）

检查性控制（事后控制，事后发现错误）

概念

举例

预防性控制

预防性控制通常用于正常业务流程的每一项交易，以防止错报的发生（事前预防）

①计算机程序自动生成收货报告，同时也更新采购档案

②在更新采购档案之前必须先有收货报告

③销货发票上的价格根据价格清单上的信息确定

④计算机将各凭证上的账户号码与会计科目表对比，然后进行一系列的逻辑测试

检查性控制

检查性控制的目的是发现流程中可能发生的错报（事后检查）

①定期编制银行存款余额调节表，跟踪调查挂账的项目

②将预算与实际费用间的差异列入计算机编制的报告中并由部门经理复核

③计算机每天比较运出货物的数量和开票数量

④每季度复核应收账款贷方余额并找出原因

①确认对业务流程的了解；

②确认对重要交易的了解是完整的，即在交易流程中所有与财务报表认定相关的可能发生错报的环节都已识别；

③确认所获取的有关流程中的预防性控制和检查性控制信息的准确性；

④评估控制设计的有效性；

⑤确认控制是否得到执行；

⑥确认之前所做的书面记录的准确性。