CPA 2020 审计教材 - 0704 - 了解被审计单位的内

第四节 了解被审计单位的内部控制

一、内部控制的含义和要素

内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计与执行的政策及程序。

可以从以下几方面理解内部控制。

1. 内部控制的目标是合理保证：

（1）财务报告的可靠性，这一目标与管理层履行财务报告编制责任密切相关；

（2）经营的效率和效果，即经济有效地使用企业资源，以最优方式实现企业的目标；

（3）遵守适用的法律法规的要求，即在法律法规的框架下从事经营活动。

2. 设计和实施内部控制的责任主体是治理层、管理层和其他人员，组织中的每一个人都对内部控制负有责任。

3. 实现内部控制目标的手段是设计和执行控制政策及程序。

内部控制包括下列要素：

（1）控制环境；

（2）风险评估过程；

（3）与财务报告相关的信息系统和沟通；

（4）控制活动；

（5）对控制的监督。

上述五要素的内涵以及注册会计师对内部控制要素了解的重点，将在本节六至十中阐述。

值得指出的是，本教材采用了COSO①发布的内部控制框架，被审计单位可能并不一定采用这种分类方式来设计和执行内部控制。对内部控制要素的分类提供了了解内部控制的框架，但无论如何对内部控制要素进行分类，注册会计师都应当重点考虑，被审计单位的某项控制是否能够以及如何防止或发现并纠正各类交易、账户余额和披露存在的重大错报。也就是说，在了解和评价内部控制时，采用的具体分析框架及控制要素的分类可能并不唯一，重要的是控制能否实现控制目标。注册会计师可以使用不同的框架和术语描述内部控制的不同方面，但必须涵盖上述内部控制五个要素所涉及的各个方面。

注①： coso（The Committee of Sponsoring Organizations of the Treadway Commission）是美国五个职业团体在1985年联合发起设立的一个民间组织，当时成立的主要动机是资助财务报告舞弊研究全国委员会”。“财务报告舞弊研究全国委员会”负责研究导致财务报告舞弊的因素，并对公众公司、会计师事务所、证监会及其他监督机构提出建议。该委员会的首任主席由 James. Treadway担任，因此又被称为“Treadway委员会”。这五个职业团体是美国会计学会、美国注册会计师协会、财务总监协会、内部审计师协会和管理会计师协会。现在COSO致力于通过倡导良好的企业道德和有效的内部控制与公司治理，改进财务报告的质量。

被审计单位设计、执行和维护内部控制的方式会因被审计单位的规模和复杂程度的不同而不同。小型被审计单位可能采用非正式和简单的流程与程序实现内部控制的目标，参与日常经营管理的业主（以下简称业主）可能承担多项职能，内部控制要素没有得到清晰区分，注册会计师应当综合考虑小型被审计单位的内部控制要素能否实现其目标。

二、与审计相关的控制

内部控制的目标旨在合理保证财务报告的可靠性经营的效率和效果以及对法律法规的遵守。注册会计师审计的目标是对财务报表是否不存在重大错报发表审计意见，尽管要求注册会计师在财务报表审计中考虑与审计相关的内部控制，但目的并非对被审计单位内部控制的有效性发表意见。因此，注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。

被审计单位的目标与为实现目标提供合理保证的控制之间存在直接关系。被审计单位的目标和控制，与财务报告、经营及合规有关。但这些目标和控制并非都与注册会计师的风险评估相关。

注册会计师在判断一项控制单独或连同其他控制是否与审计相关时可能考虑下列事项：

（1）重要性；

（2）相关风险的重要程度；

（3）被审计单位的规模；

（4）被审计单位业务的性质，包括组织结构和所有权特征；

（5）被审计单位经营的多样性和复杂性；

（6）适用的法律法规；

（7）内部控制的情况和适用的要素；

（8）作为内部控制组成部分的系统（包括使用服务机构）的性质和复杂性；

（9）一项特定控制（单独或连同其他控制是否以及如何防止或发现并纠正重大错报。

如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息，针对该信息完整性和准确性的控制可能与审计相关。如果与经营和合规目标相关的控制与注册会计师实施审计程序时评价或使用的数据相关则这些控制也可能与审计相关。

用以防止未经授权购买、使用或处置资产的内部控制，可能包括与财务报告和经营目标相关的控制。注册会计师对这些控制的考虑通常仅限于与财务报告可靠性相关的控制。

被审计单位通常有一些与目标相关但与审计无关的控制，注册会计师无须对其加以考虑。例如，被审计单位可能依靠某一复杂的自动化控制提高经营活动的效率和效果（如航空公司用于维护航班时间表的自动化控制系统），但这些控制通常与审计无关。进一步讲，虽然内部控制应用于整个被审计单位或所有经营部门或业务流程，但是了解与每个经营部门和业务流程相关的内部控制，可能与审计无关。

三、对内部控制了解的深度

对内部控制了解的深度，是指在了解被审计单位及其环境时对内部控制了解的程度。包括评价控制的设计，并确定其是否得到执行，但不包括对控制是否得到一贯执行的测试。

（一）评价控制的设计

注册会计师在了解内部控制时，应当评价控制的设计，并确定其是否得到执行。评价控制的设计，涉及考虑该控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。控制得到执行是指某项控制存在且被审计单位正在使用。评估一项无效控制的运行没有什么意义，因此，需要首先考虑控制的设计。设计不当的控制可能表明存在值得关注的内部控制缺陷。

（二）获取控制设计和执行的审计证据

注册会计师通常实施下列风险评估程序，以获取有关控制设计和执行的审计证据：

1. 询问被审计单位人员；

2. 观察特定控制的运用；

3. 检查文件和报告；

4. 追踪交易在财务报告信息系统中的处理过程（穿行测试）。

这些程序是风险评估程序在了解被审计单位内部控制方面的具体运用。

询问本身并不足以评价控制的设计以及确定其是否得到执行，注册会计师应当将询问与其他风险评估程序结合使用。

（三）了解内部控制与测试控制运行有效性的关系

除非存在某些可以使控制得到一贯运行的自动化控制，否则注册会计师对控制的了解并不足以测试控制运行的有效性。

例如，获取某一人工控制在某一时点得到执行的审计证据，并不能证明该控制在所审计期间内的其他时点也有效运行。但是信息技术可以使被审计单位持续一贯地对大量数据进行处理，提高了被审计单位监督控制活动运行情况的能力，信息技术还可以通过对应用软件、数据库、操作系统设置安全控制来实现有效的职责划分。由于信息技术处理流程的内在一贯性，实施审计程序确定某项自动控制是否得到执行，也可能实现对控制运行有效性测试的目标，这取决于注册会计师对控制（如针对程序变更的控制）的评估和测试。

四、内部控制的人工和自动化成分

（一）考虑内部控制的人工和自动化特征及其影响

大多数被审计单位出于编制财务报告和实现经营目标的需要使用信息技术。然而，即使信息技术得到广泛使用，人工因素仍然会存在于这些系统之中。不同的被审计单位采用的控制系统中人工控制和自动化控制的比例是不同的。在一些小型的、生产经营不太复杂的被审计单位，可能以人工控制为主而在另外一些单位，可能以自动化控制为主。内部控制可能既包括人工成分，又包括自动化成分，在风险评估以及设计和实施进一步审计程序时，注册会计师应当考虑内部控制的人工和自动化特征及其影响。

内部控制采用人工系统还是自动化系统，将影响交易生成、记录、处理和报告的方式。在以人工为主的系统中，内部控制一般包括批准和复核业务活动，编制调节表并对调节项目进行跟踪。当采用信息技术系统生成、记录、处理和报告交易时，交易的记录形式（如订购单、发票、装运单及相关的会计记录）可能是电子文档而不是纸质文件。

信息技术系统中的控制可能既有自动控制（如嵌入计算机程序的控制），又有人工控制。

人工控制可能独立于信息技术系统，利用信息技术系统生成的信息，也可能用于监督信息技术系统和自动控制的有效运行或者处理例外事项。如果采用信息技术系统处理交易和其他数据，系统和程序可能包括与财务报表重大账户认定相关的控制，或可能对依赖于信息技术的人工控制的有效运行非常关键被审计单位的性质和经营的复杂程度会对采用人工控制和自动化控制的成分组合产生影响。

（二）信息技术的优势及相关内部控制风险

信息技术通常在下列方面提高被审计单位内部控制的效率和效果：

1. 在处理大量的交易或数据时，一贯运用事先确定的业务规则，并进行复杂运算；

2. 提高信息的及时性、可获得性及准确性；

3. 促进对信息的深入分析；

4. 提高对被审计单位的经营业绩及其政策和程序执行情况进行监督的能力；

5. 降低控制被规避的风险；

6. 通过对应用程序系统、数据库系统和操作系统执行安全控制，提高不兼容职务分离的有效性。

但是，信息技术也可能对内部控制产生特定风险。注册会计师应当从下列方面了解信息技术对内部控制产生的特定风险：

1. 所依赖的系统或程序不能正确处理数据，或处理了不正确的数据，或两种情况并存；

2. 未经授权访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易多个用户同时访问同一数据库可能会造成特定风险；

3. 信息技术人员可能获得超越其职责范围的数据访问权限，因此，破坏了系统应有的职责分工；

4. 未经授权改变主文档的数据；

5. 未经授权改变系统或程序；

6. 未能对系统或程序作出必要的修改；

7. 不恰当的人为干预；

8. 可能丢失数据或不能访问所需要的数据。

（三）人工控制的适用范围及相关内部控制风险

内部控制的人工成分在处理下列需要主观判断或酌情处理的情形时可能更为适当：

1. 存在大额、异常或偶发的交易；

2. 存在难以界定、预计或预测的错误的情况；

3. 针对变化的情况，需要对现有的自动化控制进行人工干预；

4. 监督自动化控制的有效性。

但是，由于人工控制由人执行，受人为因素的影响也产生了特定风险，注册会计师应当从下列方面了解人工控制产生的特定风险：

1. 人工控制可能更容易被规避、忽视或凌驾；

2. 人工控制可能不具有一贯性；

3. 人工控制可能更容易产生简单错误或失误。

相对于自动化控制，人工控制的可靠性较低。为此，注册会计师应当考虑人工控制在下列情形中可能是不适当的：

（1）存在大量或重复发生的交易；
（2）事先可预计或预测的错误能够通过自动化控制参数得以防止或发现并纠正；
（3）用特定方法实施控制的控制活动可得到适当设计和自动化处理。

内部控制风险的程度和性质取决于被审计单位信息系统的性质和特征。考虑到信息系统的特征，被审计单位可以通过建立有效的控制，应对由于采用信息技术或人工成分而产生的风险。

五、内部控制的局限性

（一）内部控制的固有局限性

内部控制无论如何有效，都只能为被审计单位实现财务报告目标提供合理保证。内部控制实现目标的可能性受其固有限制的影响。这些限制包括：

1. 在决策时人为判断可能出现错误和因人为失误而导致内部控制失效。例如，控制的设计和修改可能存在失误。同样地，控制的运行可能无效，例如，由于负责复核信息的人员不了解复核的目的或没有采取适当的措施，内部控制生成的信息（如例外报告）没有得到有效使用。

2. 控制可能由于两个或更多的人员串通或管理层不当地凌驾于内部控制之上而被规避。例如，管理层可能与客户签订“背后协议”，修改标准的销售合同条款和条件，从而导致不适当的收入确认。再如，软件中的编辑控制旨在识别和报告超过赊销信用额度的交易，但这一控制可能被凌驾或不能得到执行。

此外，如果被审计单位内部行使控制职能的人员素质不适应岗位要求，也会影响内部控制功能的正常发挥。被审计单位实施内部控制的成本效益问题也会影响其效能，当实施某项控制成本大于控制效果而发生损失时，就没有必要设置该控制环节或控制措施。

内部控制一般都是针对经常而重复发生的业务设置的，如果出现不经常发生或未预计到的业务，原有控制就可能不适用。

（二）对小型被审计单位的考虑

小型被审计单位拥有的员工通常较少，限制了其职责分离的程度。但是，在业主管理的小型被审计单位，业主兼经理可以实施比大型被审计单位更有效的监督。这种监督可以弥补职责分离有限的局限性。另外，由于内部控制系统较为简单，业主兼经理更有可能凌驾于控制之上。注册会计师在识别由于舞弊导致的重大错报风险时需要考虑这一问题。

六、控制环境

（一）控制环境的含义

控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。控制环境设定了被审计单位的内部控制基调，影响员工对内部控制的意识。良好的控制环境是实施有效内部控制的基础。防止或发现并纠正舞弊和错误是被审计单位治理层和管理层的责任。在评价控制环境的设计和实施情况时，注册会计师应当了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化，以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。实际上，在审计业务承接阶段，注册会计师就需要对控制环境作出初步了解和评价。

（二）对诚信和道德价值观念的沟通与落实

诚信和道德价值观念是控制环境的重要组成部分，影响到重要业务流程的内部控制设计和运行。内部控制的有效性直接依赖于负责创建、管理和监控内部控制的人员的诚信和道德价值观念。被审计单位是否存在道德行为规范，以及这些规范如何在被审计单位内部得到沟通和落实，决定了是否能产生诚信和道德的行为。对诚信和道德价值观念的沟通与落实，既包括管理层如何处理不诚实、非法或不道德行为，也包括在被审计单位内部，通过行为规范以及高层管理人员的身体力行，对诚信和道德价值观念的营造和保持。

例如，管理层在行为规范中指出，员工不允许从供货商那里获得超过一定金额的礼品，超过部分都须报告和退回。尽管该行为规范本身并不能绝对保证员工都照此执行，但至少意味着管理层已对此进行明示，它连同其他程序，可能构成一个有效的预防机制。

注册会计师在了解和评估被审计单位诚信和道德价值观念的沟通与落实时，考虑的主要因素可能包括：

（1）被审计单位是否有书面的行为规范并向所有员工传达；

（2）被审计单位的企业文化是否强调诚信和道德价值观念的重要性；

（3）管理层是否身体力行，高级管理人员是否起表率作用；

（4）对违反有关政策和行为规范的情况，管理层是否采取适当的惩罚措施。

（三）对胜任能力的重视

胜任能力是指具备完成某一职位的工作所应有的知识和能力。管理层对胜任能力的重视包括对于特定工作所需的胜任能力水平的设定，以及对达到该水平所必需的知识和能力的要求。注册会计师应当考虑主要管理人员和其他相关人员是否能够胜任承担的工作和职责，例如，财务人员是否对编报财务报表所适用的会计准则和相关会计制度有足够的了解并能正确运用。

注册会计师在就被审计单位对胜任能力的重视情况进行了解和评估时，考虑的主要因素可能包括：

1. 财务人员以及信息管理人员是否具备与被审计单位业务性质和复杂程度相称的足够的胜任能力和培训，在发生错误时，是否通过调整人员或系统来加以处理；

2. 管理层是否配备足够的财务人员以适应业务发展和有关方面的需要；

3. 财务人员是否具备理解和运用会计准则所需的技能。

（四）治理层的参与程度

被审计单位的控制环境在很大程度上受治理层的影响。治理层的职责应在被审计单位的章程和政策中予以规定。治理层（董事会）通常通过其自身的活动，并在审计委员会或类似机构的支持下，监督被审计单位的财务报告政策和程序。因此，董事会、审计委员会或类似机构应关注被审计单位的财务报告，并监督被审计单位的会计政策以及内部、外部的审计工作和结果。治理层的职责还包括监督用于复核内部控制有效性的政策和程序设计是否合理，执行是否有效。

治理层对控制环境影响的要素有：治理层相对于管理层的独立性、成员的经验和品德、治理层参与被审计单位经营的程度和收到的信息及其对经营活动的详细检查、治理层采取措施的适当性，包括提出问题的难度和对问题的跟进程度，以及治理层与内部审计人员和注册会计师的互动等。

注册会计师在对被审计单位治理层的参与程度进行了解和评估时，考虑的主要因素可能包括：

1. 董事会是否建立了审计委员会或类似机构；

2. 董事会、审计委员会或类似机构是否与内部审计人员以及注册会计师有联系和沟通，联系和沟通的性质以及频率是否与被审计单位的规模和业务复杂程度相匹配；

3. 董事会、审计委员会或类似机构的成员是否具备适当的经验和资历；

4. 董事会、审计委员会或类似机构是否独立于管理层；

5. 审计委员会或类似机构举行会议的数量和时间是否与被审计单位的规模和业务复杂程度相匹配；

6. 董事会、审计委员会或类似机构是否充分地参与了监督编制财务报告的过程；

7. 董事会、审计委员会或类似机构是否对经营风险的监控有足够的关注，进而影响被审计单位和管理层的风险评估过程；

8. 董事会成员是否保持相对的稳定性。

（五）管理层的理念和经营风格

管理层负责企业的运作以及经营策略和程序的制定、执行与监督。控制环境的每个方面在很大程度上都受管理层采取的措施和作出决策的影响，或在某些情况下受管理层不采取某些措施或不作出某种决策的影响。在有效的控制环境中，管理层的理念和经营风格可以创造一个积极的氛围，促进业务流程和内部控制的有效运行，同时创造一个减少错报发生可能性的环境。在管理层以一个或少数几个人为主时，管理层的理念和经营风格对内部控制的影响尤为突出。

管理层的理念包括管理层对内部控制的理念即管理层对内部控制以及对具体控制实施环境的重视程度。管理层对内部控制的重视，有助于控制的有效执行，并减少特定控制被忽视或规避的可能性。控制理念反映在管理层制定的政策、程序及所采取的措施中，而不是反映在形式上。因此，要使控制理念成为控制环境的一个重要特质，管理层必须告知员工内部控制的重要性。同时，只有建立适当的管理层控制机制，控制理念才能产生预期的效果。

衡量管理层对内部控制重视程度的重要标准，是管理层收到有关内部控制缺陷及违规事件的报告时是否作出适当反应。管理层及时下达纠弊措施，表明他们对内部控制的重视，也有利于加强企业内部的控制意识。

此外，了解管理层的经营风格也很有必要，管理层的经营风格可以表明管理层所能接受的业务风险的性质。例如，管理层是否经常投资于风险特别高的领域或者在接受风险方面极为保守，不敢越雷池一步。注册会计师应考虑的问题包括：管理层是否谨慎从事，只有在对方案的风险和潜在利益进行仔细研究分析后才能进一步采取措施。了解管理层的经营风格有助于注册会计师判断哪些因素影响管理层对待内部控制的态度，哪些因素影响在编制财务报表时所做的判断，特别是在作出会计估计以及选用会计政策时。

这种了解也有助于注册会计师进一步认识管理层的能力和经营动机。注册会计师对管理层的能力和诚信越有信心，就越有理由信赖管理层提供的信息和作出的解释及声明。相反，如果对管理层经营风格的了解加重了注册会计师的怀疑，注册会计师就会加大职业怀疑的程度，从而对管理层的各种声明产生疑问。因此，了解管理层的经营风格对注册会计师评估重大错报风险有着重要的意义。

注册会计师在了解和评估被审计单位管理层的理念和经营风格时，考虑的主要因素可能包括：

1. 管理层是否对内部控制，包括信息技术的控制，给予了适当的关注；

2. 管理层是否由一个或几个人所控制，董事会、审计委员会或类似机构对其是否实施了有效监督；

3. 管理层在承担和监控经营风险方面是风险偏好者还是风险规避者；

4. 管理层在选择会计政策和作出会计估计时是倾向于激进还是保守；

5. 管理层对于信息管理人员以及财会人员是否给予了适当关注；

6. 对于重大的内部控制和会计事项，管理层是否征询注册会计师的意见，或者经常在这些方面与注册会计师存在不同意见。

（六）组织结构及职权与责任的分配

被审计单位的组织结构为计划、运作、控制及监督经营活动提供了一个整体框架。

通过集权或分权决策，可在不同部门间进行适当的职责划分，建立适当层次的报告体系。

组织结构将影响权利、责任和工作任务在组织成员中的分配。被审计单位的组织结构在一定程度上取决于被审计单位的规模和经营活动的性质。

注册会计师应当考虑被审计单位组织结构中是否采用向个人或小组分配控制职责的方法，是否建立了执行特定职能（包括交易授权）的授权机制，是否确保每个人都清楚地了解报告关系和责任。注册会计师还需审查对分散经营活动的监督是否充分。有效的权责分配制度有助于形成整体的控制意识。

注册会计师应当关注组织结构及权责分配方法的实质而不是仅仅关注其形式。相应地，注册会计师应当考虑相关人员对政策与程序的整体认识水平和遵守程度，以及管理层对其实施监督的程度。

注册会计师对组织结构的审查，有助于其确定被审计单位的职责划分应该达到何种程度，也有助于其评价被审计单位在这方面的不足会对整体审计策略产生的影响。

信息系统处理环境是注册会计师对组织结构及权责分配方法进行审查的一个重要方面。注册会计师应当考虑信息系统职能部门的结构安排是否明确了职责分配，授权和批准系统变化的职责分配，以及是否明确程序开发运行及使用者之间的职责划分。

注册会计师在对被审计单位组织结构和职权与责任的分配进行了解和评估时，考虑的主要因素可能包括：

1. 在被审计单位内部是否有明确的职责划分是否将业务授权、业务记录、资产保管和维护以及业务执行的责任尽可能地分离；

2. 数据处理和管理的职责划分是否合理；

3. 是否已针对授权交易建立适当的政策和程序。

（七）人力资源政策与实务

政策与程序（包括内部控制）的有效性，通常取决于执行人。因此，被审计单位员工的能力与诚信是控制环境中不可缺少的因素。人力资源政策与实务涉及招聘、培训、考核、咨询、晋升和薪酬等方面。被审计单位是否有能力雇用并保留一定数量既有能力又有责任心的员工在很大程度上取决于其人事政策与实务。例如，如果招聘录用标准要求录用最合适的员工，包括强调员工的学历经验、诚信和道德，这表明被审计单位希望录用有能力并值得信赖的人员。被审计单位有关培训方面的政策应显示员工应达到的工作表现和业绩水准，通过定期考核的晋升政策表明被审计单位希望具备相应资格的人员承担更多的职责。

注册会计师在对被审计单位人力资源政策与实务进行了解和评估时，考虑的主要因素可能包括：

1. 被审计单位在招聘、培训、考核、咨询、晋升、薪酬、补救措施等方面是否都有适当的政策和实务（特别是在会计、财务和信息系统方面）；

2. 是否有书面的员工岗位职责手册，或者在没有书面文件的情况下，对于工作职责和期望是否做了适当的沟通和交流；

3. 人力资源政策与实务是否清晰，并且定期发布和更新；

4. 是否设定适当的程序，对分散在各地区和海外的经营人员建立和沟通人力资源政策与程序。

综上所述，注册会计师应当对控制环境的构成要素获取足够的了解，并考虑内部控制的实质及其综合效果，以了解管理层和治理层对内部控制及其重要性的态度、认识以及所采取的措施。

在评价控制环境各个要素时，注册会计师应当考虑控制环境的各个要素是否得到执行。因为管理层也许建立了合理的内部控制，但却未有效执行。例如，管理层已建立正式的行为守则，但实际操作中却没有对不遵守该守则的行为采取措施。又如，管理层要求信息系统建立安全措施，但却没有提供足够的资源。

在确定构成控制环境的要素是否得到执行时，注册会计师应当考虑将询问与其他风险评估程序相结合以获取审计证据。通过询问管理层和员工，注册会计师可能了解管理层如何就业务规程和道德价值观念与员工进行沟通；通过观察和检查，注册会计师可能了解管理层是否建立了正式的行为守则，在日常工作中行为守则是否得到遵守，以及管理层如何处理违反行为守则的情形。

控制环境对重大错报风险的评估具有广泛影响，注册会计师应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的基础，并且未被控制环境中存在的缺陷所削弱。

注册会计师在评估重大错报风险时，存在令人满意的控制环境是一个积极的因素。

虽然令人满意的控制环境并不能绝对防止舞弊，但却有助于降低发生舞弊的风险。有效的控制环境还能为注册会计师相信在以前年度和期中所测试的控制将继续有效运行提供一定基础。相反，控制环境中存在的弱点可能削弱控制的有效性。例如，注册会计师在进行风险评估时，如果认为被审计单位控制环境薄弱，则很难认定某一流程的控制是有效的。

控制环境本身并不能防止或发现并纠正各类交易、账户余额和披露认定层次的重大错报，注册会计师在评估重大错报风险时，应当将控制环境连同其他内部控制要素产生的影响一并考虑。例如，将控制环境与对控制的监督和具体控制活动一并考虑。

在小型被审计单位，可能无法获取以文件形式存在的有关控制环境要素的审计证据，特别是在管理层与其他人员的沟通不够正式但却有效的情况下。例如，小型被审计单位可能没有书面的行为守则，但却通过口头沟通和管理层的示范作用形成了强调诚信和道德行为重要性的文化。因此，管理层或业主兼经理的态度、认识和措施对注册会计师了解小型被审计单位的控制环境非常重要。

七、被审计单位的风险评估过程

（一）被审计单位风险评估过程的含义

任何经济组织在经营活动中都会面临各种各样的风险，风险对其生存和竞争能力产生影响。很多风险并不为经济组织所控制，但管理层应当确定可以承受的风险水平，识别这些风险并采取一定的应对措施。

可能产生风险的事项和情形包括：

1. 监管及经营环境的变化。监管和经营环境的变化会导致竞争压力的变化以及重大的相关风险。

2. 新员工的加入。新员工可能对内部控制有不同的认识和关注点。

3. 新信息系统的使用或对原系统进行升级。信息系统的重大变化会改变与内部控制相关的风险。

4. 业务快速发展。快速的业务扩张可能会使内部控制难以应对，从而增加内部控制失效的可能性。

5. 新技术。将新技术运用于生产过程和信息系统可能改变与内部控制相关的风险。

6. 新生产型号、产品和业务活动。进入新的业务领域和发生新的交易可能带来新的与内部控制相关的风险。

7. 企业重组。重组可能带来裁员以及管理职责的重新划分，将影响与内部控制相关的风险。

8. 发展海外经营。海外扩张或收购会带来新的并且往往是特别的风险，进而可能影响内部控制，如外币交易的风险。

9. 新的会计准则。采用新的或变化了的会计准则可能会增大财务报告发生重大错报的风险。

风险评估过程的作用是识别、评估和管理影响被审计单位实现经营目标能力的各种风险。而针对财务报告目标的风险评估过程则包括识别与财务报告相关的经营风险，评估风险的重大性和发生的可能性，以及采取措施管理这些风险。例如，风险评估可能会涉及被审计单位如何考虑对某些交易未予记录的可能性，或者识别和分析财务报告中的重大会计估计发生错报的可能性。与财务报告相关的风险也可能与特定事项和交易有关。

被审计单位的风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。注册会计师应当了解被审计单位的风险评估过程和结果。

（二）对风险评估过程的了解

在评价被审计单位风险评估过程的设计和执行时，注册会计师应当确定管理层如何识别与财务报告相关的经营风险，如何估计该风险的重要性，如何评估风险发生的可能性，以及如何采取措施管理这些风险。如果被审计单位的风险评估过程符合其具体情况，了解被审计单位的风险评估过程和结果有助于注册会计师识别财务报表的重大错报风险。

注册会计师在对被审计单位整体层面的风险评估过程进行了解和评估时，考虑的主要因素可能包括：

1. 被审计单位是否已建立并沟通其整体目标，并辅以具体策略和业务流程层面的计划；

2. 被审计单位是否已建立风险评估过程，包括识别风险、估计风险的重大性、评估风险发生的可能性以及确定需要采取的应对措施；

3. 被审计单位是否已建立某种机制，识别和应对可能对被审计单位产生重大且普遍影响的变化，如在金融机构中建立资产负债管理委员会，在制造型企业中建立期货交易风险管理组等；

4. 会计部门是否建立了某种流程，以识别会计准则的重大变化；

5. 当被审计单位业务操作发生变化并影响交易记录的流程时，是否存在沟通渠道以通知会计部门；

6. 风险管理部门是否建立了某种流程，以识别经营环境包括监管环境发生的重大变化。

注册会计师可以通过了解被审计单位及其环境的其他方面信息，评价被审计单位风险评估过程的有效性。例如，在了解被审计单位的业务情况时，发现了某些经营风险，注册会计师应当了解管理层是否也意识到这些风险以及如何应对。在对业务流程的了解中，注册会计师还可能进一步获得被审计单位有关业务流程的风险评估过程的信息。例如，在销售循环中，如果发现了销售的截止性错报的风险，注册会计师应当考虑管理层是否也识别了该错报风险以及如何应对该风险。

注册会计师应当询问管理层识别出的经营风险，考虑这些风险是否可能导致重大错报。

在审计过程中，如果发现与财务报表有关的风险因素，注册会计师可通过向管理层询问和检查有关文件确定被审计单位的风险评估过程是否也发现了该风险；如果识别出管理层未能识别的重大错报风险，注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险，以及评估过程是否适合于具体环境，或者确定与风险评估过程相关的内部控制是否存在值得关注的内部控制缺陷。

（三）对小型被审计单位的考虑

小型被审计单位可能没有正式的风险评估过程。在这种情况下，管理层很可能通过亲自参与经营来识别风险。无论情况如何，注册会计师询问识别出的风险以及管理层如何应对这些风险，仍是必要的。

八、信息系统与沟通

（一）与财务报告相关的信息系统的含义

与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。交易可能通过人工或自动化程序生成。记录包括识别和收集与交易、项有关的信息。处理包括编辑、核对、计量、估价、汇总和调节活动，可能由人工或自动化程序来执行。报告是指用电子或书面形式编制财务报告和其他信息，供被审计单位用于衡量和考核财务及其他方面的业绩。

与财务报告相关的信息系统应当与业务流程相适应。业务流程是指被审计单位开发、采购、生产、销售、发送产品和提供服务、保证遵守法律法规、记录信息等一系列活动。

与财务报告相关的信息系统所生成信息的质量，对管理层能否作出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。

与财务报告相关的信息系统通常包括下列职能：

1. 识别与记录所有的有效交易；

2. 及时、详细地描述交易，以便在财务报告中对交易作出恰当分类；

3. 恰当计量交易，以便在财务报告中对交易的金额作出准确记录；

4. 恰当确定交易生成的会计期间；

5. 在财务报表中恰当列报交易。

（二）对与财务报告相关的信息系统的了解

注册会计师应当从下列方面了解与财务报告相关的信息系统（包括相关业务流程）：

1. 在被审计单位经营过程中，对财务报表具有重大影响的各类交易；

2. 在信息技术和人工系统中，被审计单位的交易生成、记录、处理、必要的更正、结转至总账以及在财务报表中报告的程序；

3. 用以生成、记录、处理和报告（包括纠正不正确的信息以及信息如何结转至总账）交易的会计记录、支持性信息和财务报表中的特定账户；

4. 被审计单位的信息系统如何获取除交易以外的对财务报表重大的事项和情况；

5. 用于编制被审计单位财务报表（包括作出的重大会计估计和披露）的财务报告过程；

6. 与会计分录相关的控制，这些分录包括用以记录非经常性的、异常的交易或调整的非标准会计分录。

了解与财务报告相关的信息系统应当包括了解信息系统中与财务报表所披露信息相关的方面，无论这些信息是从总账和明细账中获取，还是从总账和明细账之外的其他途径获取。

自动化程序和控制可能降低了发生无意错误的风险，但是并没有消除个人凌驾于控制之上的风险，如某些高级管理人员可能篡改自动过入总分类账和财务报告系统的数据金额。当被审计单位运用信息技术进行数据的传递时，发生篡改可能不会留下痕迹或证据。

（三）与财务报告相关的沟通的含义

与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责，员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。

公开的沟通渠道有助于确保例外情况得到报告和处理。沟通可以采用政策手册、会计和财务报告手册及备忘录等形式进行，也可以通过发送电子邮件、口头沟通和管理层的行动来进行。

（四）对与财务报告相关的沟通的了解

注册会计师应当了解被审计单位内部如何对财务报告的岗位职责以及与财务报告相关的重大事项进行沟通。注册会计师还应当了解管理层与治理层（特别是审计委员会）之间的沟通，以及被审计单位与外部（包括与监管部门）的沟通。具体包括：

1. 管理层就员工的职责和控制责任是否进行了有效沟通；

2. 针对可疑的不恰当事项和行为是否建立了沟通渠道；

3. 组织内部沟通的充分性是否能够使人员有效地履行职责；

4. 对于与客户、供应商、监管者和其他外部人士的沟通，管理层是否及时采取适当的进一步行动；

5. 被审计单位是否受到某些监管机构发布的监管要求的约束；

6. 外部人士如客户和供应商在多大程度上获知被审计单位的行为守则。

（五）对小型被审计单位的考虑

在小型被审计单位，与财务报告相关的信息系统和沟通可能不如大型被审计单位正式和复杂。管理层可能会更多地参与日常经营管理活动和财务报告活动，不需要很多书面的政策和程序指引，也没有复杂的信息系统和会计流程。由于小型被审计单位的规模较小、报告层次较少，因此，小型被审计单位可能比大型被审计单位更容易实现有效的沟通。注册会计师应当考虑这些特征对评估重大错报风险的影响。

九、控制活动

（一）与审计相关的控制活动的含义

控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。

1. 授权。注册会计师应当了解与授权有关的控制活动，包括一般授权和特别授权。

授权的目的在于保证交易在管理层授权范围内进行。一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。特别授权是指管理层针对特定类别的交易或活动逐一设置的授权，如重大资本支出和股票发行等。特别授权也可能用于超过一般授权限制的常规交易。例如，因某些特别原因，同意对某个不符合一般信用条件的客户赊销商品。

2. 业绩评价。注册会计师应当了解与业绩评价有关的控制活动，主要包括被审计单位分析评价实际业绩与预算（或预测、前期业绩）的差异，综合分析财务数据与经营数据的内在关系，将内部数据与外部信息来源相比较，评价职能部门、分支机构或项目活动的业绩（如银行客户信贷经理复核各分行、地区和各种贷款类型的审批和收回），以及对发现的异常差异或关系采取必要的调查与纠正措施。

通过调查非预期的结果和非正常的趋势，管理层可以识别可能影响经营目标实现的情形。管理层对业绩信息的使用（如将这些信息用于经营决策，用于对财务报告系统报告的非预期结果进行追踪），决定了业绩指标的分析是只用于经营目的还是同时用于财务报告目的。

3. 信息处理。注册会计师应当了解与信息处理有关的控制活动，包括信息技术的一般控制和应用控制。

被审计单位通常执行各种措施，检查各种类型信息处理环境下的交易的准确性、完整性和授权。信息处理控制可以是人工的、自动化的，或是基于自动流程的人工控制。

信息处理控制分为两类，即信息技术一般控制和应用控制信息技术一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行（包括信息的完整性和数据的安全性），支持应用控制作用的有效发挥，通常包括数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制。例如，程序改变的控制、限制接触程序和数据的控制、与新版应用软件包实施有关的控制等都属于信息技术一般控制。

信息技术应用控制是指主要在业务流程层面运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通常包括检查数据计算的准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。

4. 实物控制。注册会计师应当了解实物控制，主要包括了解对资产和记录采取适当的安全保护措施，对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对。例如，现金、有价证券和存货的定期盘点控制。实物控制的效果影响资产的安全，从而对财务报表的可靠性及审计产生影响。

5. 职责分离。注册会计师应当了解职责分离，主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。当信息技术运用于信息系统时，职责分离可以通过设置安全控制来实现。

（二）对控制活动的了解

在了解控制活动时，注册会计师应当重点考虑一项控制活动单独或连同其他控制活动，是否能够以及如何防止或发现并纠正各类交易、账户余额和披露存在的重大错报。注册会计师的工作重点是识别和了解针对重大错报更高的领域的控制活动。

如果多项控制活动能够实现同一目标，注册会计师不必了解与该目标相关的每项控制活动。

注册会计师对被审计单位整体层面的控制活动进行的了解和评估，主要是针对被审计单位的一般控制活动，特别是信息技术一般控制。在了解和评估一般控制活动时考虑的主要因素可能包括：

1. 被审计单位的主要经营活动是否都有必要的控制政策和程序；

2. 管理层在预算、利润和其他财务及经营业绩方面是否都有清晰的目标，在被审计单位内部，是否对这些目标都加以清晰的记录和沟通，并且积极地对其进行监控；

3. 是否存在计划和报告系统，以识别与目标业绩的差异，并向适当层次的管理层报告该差异；

4. 是否由适当层次的管理层对差异进行调查，并及时采取适当的纠正措施；

5. 不同人员的职责应在何种程度上相分离，以降低舞弊和不当行为发生的风险；

6. 会计系统中的数据是否与实物资产定期核对；

7. 是否建立了适当的保护措施，以防止未经授权接触文件、记录和资产；

8. 是否存在信息安全职能部门负责监控信息安全政策和程序。

（三）对小型被审计单位的考虑

小型被审计单位控制活动依据的理念与较大型被审计单位可能相似，但是它们运行的正式程度可能不同。进一步讲，在小型被审计单位中，由于某些控制活动由管理层执行，特定类型的控制活动可能变得并不相关。例如，只有管理层拥有批准赊销、重大采购的权力，才可以对重要账户余额和交易实施有力控制，降低或消除实施更具体的控制活动的必要性。

小型被审计单位通常难以实施适当的职责分离，注册会计师应当考虑小型被审计单位采取的控制活动（特别是职责分离）能否有效实现控制目标。

十、对控制的监督

（一）对控制的监督的含义

管理层的重要职责之一就是建立和维护控制并保证其持续有效运行，对控制的监督可以实现这一目标。监督是由适当的人员，在适当、及时的基础上，评估控制的设计和运行情况的过程。对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程。对控制的监督涉及及时评估控制的有效性并采取必要的补救措施。例如，管理层对是否定期编制银行存款余额调节表进行复核，内部审计人员评价销售人员是否遵守公司关于销售合同条款的政策，法律部门定期监控公司的道德规范和商务行为准则是否得以遵循等。监督对控制的持续有效运行十分重要。假如没有对银行存款余额调节表是否得到及时和准确的编制进行监督，该项控制可能无法得到持续的执行。

通常，管理层通过持续的监督活动、单独的评价活动或两者相结合实现对控制的监督。持续的监督活动通常贯穿于被审计单位日常重复的活动中，包括常规管理和监督工作。例如，管理层在履行其日常管理活动时，取得内部控制持续发挥功能的信息。当业务报告、财务报告与他们获取的信息有较大差异时，会对有重大差异的报告提出疑问，并做必要的追踪调查和处理。

被审计单位可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价，以找出内部控制的优点和不足，并提出改进建议。被审计单位也可能利用与外部有关各方沟通或交流所获取的信息监督相关的控制活动。在某些情况下，外部信息可能显示内部控制存在的问题和需要改进之处。例如，客户通过付款来表示其同意发票金额，或者认为发票金额有误而不付款。监管机构（如银行监管机构）可能会对影响内部控制运行的问题与被审计单位沟通。管理层可能也会考虑与注册会计师就内部控制进行沟通，通过与外部信息的沟通，可以发现内部控制存在的问题，以便采取纠正措施。

值得注意的是，上述用于监督活动的很多信息都由被审计单位的信息系统产生，这些信息可能会存在错报，从而导致管理层从监督活动中得出错误的结论。因此，注册会计师应当了解与被审计单位监督活动相关的信息来源，以及管理层认为信息具有可靠性的依据。如果拟利用被审计单位监督活动使用的信息（包括内部审计报告），注册会计师应当考虑该信息是否具有可靠的基础，是否足以实现审计目标。

（二）了解对内部控制的监督

注册会计师在对被审计单位整体层面的监督进行了解和评估时，考虑的主要因素可能包括：

1. 被审计单位是否定期评价内部控制。

2. 被审计单位人员在履行正常职责时，能够在多大程度上获得内部控制是否有效运行的证据。

3. 与外部的沟通能够在多大程度上证实内部产生的信息或者指出存在的问题。

4. 管理层是否采纳内部审计人员和注册会计师有关内部控制的建议。

5. 管理层是否及时纠正控制运行中的偏差。

6. 管理层根据监管机构的报告及建议是否及时采取纠正措施。

7. 是否存在协助管理层监督内部控制的职能部门（如内部审计部门）。

如存在，对内部审计职能需进一步考虑的因素包括：

（1）独立性和权威性；

（2）向谁报告，例如，直接向董事会、审计委员会或类似机构报告，对接触董事会、审计委员会或类似机构是否有限制；

（3）是否有足够的人员、培训和特殊技能，例如，对于复杂的高度自动化的环境应使用有经验的信息系统审计人员；

（4）是否坚持适用的专业准则；

（5）活动的范围，例如，财务审计和经营审计工作的平衡，在分散经营情况下，内部审计的覆盖程度和轮换程度；

（6）计划、风险评估和执行工作的记录及形成结论的适当性；

（7）是否不承担经营管理责任。

（三）对小型被审计单位的考虑

小型被审计单位通常没有正式的持续监督活动，且持续的监督活动与日常管理工作难以明确区分，业主往往通过其对经营活动的密切参与来识别财务数据中的重大差异和错报，并对控制活动采取纠正措施，注册会计师应当考虑业主对经营活动的密切参与能否有效实现其对控制的监督目标。

十一、在整体层面和业务流程层面了解内部控制

内部控制的某些要素（如控制环境）更多地对被审计单位整体层面产生影响，而其他要素（如信息系统与沟通、控制活动）则可能更多地与特定业务流程相关。在实务中注册会计师应当从被审计单位整体层面和业务流程层面分别了解和评价被审计单位的内部控制。整体层面的控制（包括对管理层凌驾于内部控制之上的控制）和信息技术一般控制通常在所有业务活动中普遍存在。业务流程层面控制主要是对工薪、销售和采购等交易的控制。整体层面的控制对内部控制在所有业务流程中得到严格的设计和执行具有重要影响。整体层面的控制较差甚至可能使最好的业务流程层面控制失效。例如，被审计单位可能有一个有效的采购系统，但如果会计人员不胜任，仍然会发生大量错误，且其中一些错误可能导致财务报表存在重大错报。而且，管理层凌驾于内部控制之上（它们经常在企业整体层面出现）也是不好的公司行为中的普遍问题。

在初步计划审计工作时，注册会计师需要确定在被审计单位财务报表中可能存在重大错报风险的重大账户及其相关认定。为实现此目的，通常采取下列步骤：

（1）确定被审计单位的重要业务流程和重要交易类别；

（2）了解重要交易流程，并记录获得的了解；

（3）确定可能发生错报的环节；

（4）识别和了相关控制；

（5）执行穿行测试，证实对交易流程和相关控制的了解；

（6）进行初步评价和风险评估。

在实务中，上述步骤可能同时进行，例如，在询问相关人员的过程中，同时了解重要交易的流程和相关控制。

（一）确定重要业务流程和重要交易类别

在实务中，将被审计单位的整个经营活动划分为几个重要的业务循环，有助于注册会计师更有效地了解和评估重要业务流程及相关控制。通常，对制造业企业，可以划分为销售与收款循环、采购与付款循环、生产与存货循环、人力资源与工薪循环、投资与筹资循环等。重要交易类别是指可能对被审计单位财务报表产生重大影响的各类交易。

重要交易类别应与相关账户及其认定相联系，例如，对于一般制造业企业，销售收入和应收账款通常是重大账户，销售和收款都是重要交易类别。除了一般所理解的交易以外，对财务报表具有重大影响的事项和情况也应包括在内，例如，计提资产的折旧或摊销，考虑应收款项的可回收性和计提坏账准备等。

（二）了解重要交易流程，并进行记录

在确定重要的业务流程和交易类别后，注册会计师便可着手了解每一类重要交易在信息技术或人工系统中生成、记录、处理及在财务报表中报告的程序，即重要交易流程。这是确定在哪个环节或哪些环节可能发生错报的基础。

交易流程通常包括一系列工作：输入数据的核准与修订，数据的分类与合并，进行计算、更新账簿资料和客户信息记录，生成新的交易，归集数据，列报数据。而与注册会计师了解重要交易相关的流程通常包括生成、记录、处理和报告交易等活动例如，在销售循环中，这些活动包括输入销售订购单、编制货运单据和发票、更新应收账款信息记录等。相关的处理程序包括通过编制调整分录，修改并再次处理以前被拒绝的交易，以及修改被错误记录的交易。

注册会计师要注意记录以下信息：

（1）输入信息的来源；

（2）所使用的重要数据档案，如客户清单及价格信息记录；

（3）重要的处理程序，包括在线输和更新处理；

（4）重要的输出文件、报告和记录；

（5）基本的职责划分，即列示各部门所负责的处理程序。

注册会计师通常只是针对每一年的变化修改记录流程的工作底稿，除非被审计单位的交易流程发生重大改变。然而，无论业务流程与以前年度相比是否有变化，注册会计师每年都需要考虑上述注意事项，以确保对被审计单位的了解是最新的，并已包括被审计单位交易流程中相关的重大变化。

（三）确定可能发生错报的环节

注册会计师需要确认和了解被审计单位应哪些环节设置控制，以防止或发现并纠正各重要业务流程可能发生的错报。注册会计师所关注的控制，是那些能通过防止错报的发生，或者通过发现和纠正已有错报，从而确保每个流程中业务活动的具体流程（从交易的发生到记录于账目）能够顺利运转的人工或自动化控制程序。尽管不同的被审计单位会为确保会计信息的可靠性而对业务流程设计和实施不同的控制，但设计控制的目的是为实现某些控制目标（见表7-2）。实际上，这些控制目标与财务报表重大账户的相关认定相联系。但注册会计师在此时通常不考虑列报认定，而在审计财务报告流程时将考虑该认定。

表7-2 控制目标

控制目标	解释
1. 完整性：所有的有效交易都已记录	必须有程序确保没有漏记实际发生的交易
2. 存在和发生：每项已记录的交易均真实	必须有程序确保会计记录中没有虚构的或重复入账的项目
3. 适当计量交易	必须有程序确保交易以适当的金额入账
4. 恰当确定交易生成的会计期间（截止性）	必须有程序确保交易在适当的会计期间内入账（例如，月、季度、年等）
5. 恰当分类	必须有程序确保将交易记入正确的总分类账，必要时，记入相应的明细账内
6. 正确汇总和过账	必须有程序确保所有作为账簿记录中的借贷方余额都正确地归集（加总），确保加总后的金额正确过入总账和明细分类账

（四）识别和了解相关控制

通过对被审计单位的了解，包括在被审计单位整体层面对内部控制各要素的了解，以及在上述程序中对重要业务流程的了解，注册会计师可以确定是否有必要进一步了解在业务流程层面的控制。在某些情况下，注册会计师之前的了解可能表明被审计单位在业务流程层面针对某些重要交易流程所设计的控制是无效的，或者注册会计师并不打算信赖控制，这时注册会计师没有必要进一步了解在业务流程层面的控制。特别需要注意的是，如果认为仅通过实质性程序无法将认定层次的检查风险降至可接受的水平，或者针对特别风险，注册会计师应当了解和评估相关的控制活动。

如果注册会计师计划对业务流程层面的有关控制进行进一步的了解和评价，那么针对业务流程中容易发生错报的环节，注册会计师应当确定：

（1）被审计单位是否建立了有效的控制，以防止或发现并纠正这些错报；

（2）被审计单位是否遗漏了必要的控制；

（3）是否识别了可以最有效测试的控制。

通常将业务流程中的控制划分为预防性控制和检查性控制，下面分别予以说明。

（1）预防性控制。预防性控制通常用于正常业务流程的每一项交易，以防止错报的发生。在流程中防止错报是信息系统的重要目标。

预防性控制可能是人工的，也可能是自动化的。表7-3是预防性控制及其能防止错报的例子。

表7-3 预防性控制示例

对控制的描述	控制用来防止的错报
计算机程序自动生成收货报告，同时也更新采购档案	防止出现购货漏记账的情况
在更新采购档案之前要有收货报告	防止记录了未收到购货的情况
销货发票上的价格根据价格清单上的信息确定	防止销货计价错误
系统将各凭证上的账户号码与会计科目表对比，然后进行一系列的逻辑测试	防止出现分类错报

（2）检查性控制。建立检查性控制的目的是发现流程中可能发生的错报（尽管有预防性控制还是会发生的错报）。被审计单位通过检查性控制，监督其流程和相应的预防性控制能否有效地发挥作用。检查性控制通常是管理层用来监督实现流程目标的控制。检查性控制可以由人工执行，也可以由信息系统自动执行。

表7-4是检查性控制及其可能查出的错报的例子。

表7-4 检查性控制示例

对控制的描述	控制预期查出的错报
定期编制银行存款余额调节表，跟踪调查挂账的项目	在对其他项目进行审核的同时，查找存入银行但没有记入日记账的现金收入，未记录的银行现金支付或虚构入账的不真实的银行现金收入或支付，未及时入账或未正确汇总分类的银行现金收入或支付
将预算与实际费用间的差异列入计算机编制的报告中并由部门经理复核。记录所有超过预算2%的差异情况和解决措施	在对其他项目进行审核的同时，查找本月发生的重大分类错报或没有记录及没有发生的大笔收入、支出以及相关联的资产和负债项目
系统每天比较运出货物的数量和开票数量。如果发现差异，产生报告，由开票主管复核和追查	查找没有开票和记录的出库货物，以及与真实发货无关的发票
每季度复核应收账款贷方余额并找出原因	查找未予入账的发票和销售与现金收入中的分类错误

如果确信存在以下情况，那么就可以将检查性控制作为一个主要的手段，来合理保证某特定认定发生重大错报的可能性较小：

（1）控制所检查的数据是完整、可靠的；

（2）控制对于发现重大错报足够敏感；

（3）发现的所有重大错报都将被纠正。

前已提及，业务流程中对重要交易类别的有效控制通常同时包括预防性控制和检查性控制。缺乏有效的预防性控制增加了错报的风险，因此，需要建立更为敏感的检查性控制。通常，注册会计师在识别检查性控制的同时，也记录重要的预防性控制。

需要指出的是，注册会计师并不需要了解与每一控制目标相关的所有控制活动。在了解控制活动时，注册会计师应当重点考虑一项控制活动单独或连同其他控制活动，是否能够以及如何防止或发现并纠正各类交易、账户余额和披露存在的重大错报。如果多项控制活动能够实现同一目标，注册会计师不必了解与该目标相关的每项控制活动。

当然，如果在之后的穿行测试和评价中，注册会计师发现已识别的控制实际并未得到执行，则应当重新针对该项控制目标识别是否存在其他的控制。

（五）执行穿行测试，证实对交易流程和相关控制的了解

为了解各类重要交易在业务流程中发生、处理和记录的过程，注册会计师通常会执行穿行测试。执行穿行测试可获得下列方面的证据：

（1）确认对业务流程的了解；

（2）确认对重要交易的了解是完整的，即在交易流程中所有与财务报表认定相关的可能发生错报的环节都已识别；

（3）确认所获取的有关流程中的预防性控制和检查性控制信息的准确性；

（4）评估控制设计的有效性；

（5）确认控制是否得到执行；

（6）确认之前所做的书面记录的准确性。

需要注意的是，如果不拟信赖控制，注册会计师仍需要执行适当的审计程序，以确认以前对业务流程及可能发生错报环节了解的准确性和完整性。

注册会计师将穿行测试的情况记录于工作底稿时，记录的内容包括穿行测试中查阅的文件、穿行测试的程序以及注册会计师的发现和结论。

（六）初步评价和风险评估

1. 对控制的初步评价。在识别和了解控制后，根据执行上述程序及获取的审计证据，注册会计师需要评价控制设计的合理性并确定其是否得到执行。

注册会计师对控制的评价结论可能是：

（1）所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报，并得到执行；

（2）控制本身的设计是合理的，但没有得到执行；

（3）控制本身的设计就是无效的或缺乏必要的控制。

由于对控制的了解和评价是在穿行测试完成后但又在测试控制运行有效性之前进行的，因此，上述评价结论只是初步结论，仍可能随控制测试后实施实质性程序的结果而发生变化。

2. 风险评估需考虑的因素。注册会计师对控制的评价，进而对重大错报风险的评估，需考虑以下因素：

（1）账户特征及已识别的重大错报风险。如果已识别的重大错报风险水平为高（例如，复杂的发票计算或计价过程增加了开票错报的风险；经营的季节性特征增加了在旺季发生错报的风险），相关的控制应有较高的敏感度，即在错报率较低的情况下也能防止或发现并纠正错报。

（2）对被审计单位整体层面控制的评价。注册会计师应将对整体层面获得的了解和结论，同在业务流程层面获得的有关重大交易流程及其控制的证据结合起来考虑。

在评价业务流程层面的控制要素时，考虑的影响因素可能包括：管理层及执行控制的员工表现出来的胜任能力及诚信度；员工受监督的程度及员工流动的频繁程度；管理层凌驾于控制之上的潜在可能性；缺乏职责划分，包括信息技术系统中自动化的职责划分的情况；所审计期间内部审计人员或其他监督人员测试控制运行情况的程度；业务流程变更产生的影响，如变更期间控制程序的有效性是否受到了削弱；在被审计单位的风险评估过程中，所识别的与某项控制运行相关的风险，以及对于该控制是否有进一步的监督。注册会计师同时也要考虑其识别出针对某控制的风险，被审计单位是否也识别出该风险，并采取了适当的措施来降低该风险。

除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解和评价并不能够代替对控制运行有效性的测试。例如，注册会计师获得了某一人工控制在某一时点得到执行的审计证据，但这并不能证明该控制在被审计期间内的其他时点也得到有效执行。

有关对控制运行有效性实施的测试（即控制测试），见本教材第八章。

（七）对财务报告流程的了解

以上讨论了注册会计师如何在重要业务流程层面了解重大交易生成、处理和记录的流程，并评估在可能发生错报的环节控制的设计及其是否得到执行。在实务中，注册会计师还需要进一步了解有关信息从具体交易的业务流程过入总账、财务报表以及相关列报的流程，即财务报告流程及其控制。这一流程和控制与财务报表的列报认定直接相关。

财务报告流程包括：

（1）将业务数据汇总记入总账的程序，即如何将重要业务流程的信息与总账和财务报告系统相连接；

（2）在总账中生成、记录和处理会计分录的程序；

（3）记录对财务报表常规和非常规调整的程序，如合并调整、重分类等；

（4）草拟财务报表和相关披露的程序。

被审计单位的财务报告流程包括相关的控制程序，以确保按照适用的会计准则和相关会计制度的规定收集、记录、处理、汇总所需要的信息，并在财务报告中予以充分披露。例如，关联方交易、分部报告等。

在了解财务报告流程的过程中，注册会计师应当考虑对以下方面作出评估：

（1）主要的输入信息、执行的程序、主要的输出信息；

（2）每一财务报告流程要素中涉及信息技术的程度；

（3）管理层的哪些人员参与其中；

（4）记账分录的主要类型，如标准分录、非标准分录等；

（5）适当人员（包括管理层和治理层）对流程实施监督的性质和范围。