2、认定层次的重大错报风险
某些重大错报风险可能与特定的某类交易、账户余额、列报的认定相关。例如,被审计单位存在复杂的联营或合资,这一事项表明长期股权投资账户的认定可能存在重大错报风险。又如,被审计单位存在重大的关联方交易,该事项表明关联方及关联方交易的披露认定可能存在重大错报风险。
在评估重大错报风险时,审计人员应当将所了解的控制与特定认定联系起来,因为控制有助于防止或发现并纠正认定层次的重大错报。在评估重大错报发生的可能性时,除了考虑可能的风险外,还要考虑控制对风险的抵消和遏制作用。有效的控制会减少错报发生的可能性,而控制不当或缺乏控制,错报就会由潜在变成现实。控制可能与某一认定直接相关,也可能与某一认定间接相关,关系越间接,控制对防止或发现并纠正认定错报的效果越小。
审计人员可能识别出有助于防止或发现并纠正特定认定发生重大错报的控制。在确定这些控制是否能够实现上述目标时,审计人员应当将控制活动和其他要素综合考虑,如将销售和收款的控制置于其所在的流程和系统中考虑,以确定其能否实现控制目标。
审计人员应当采取适当方式对识别的各类交易、账户余额和列报认定层次的重大错报风险予以汇总和评估,以确定进一步审计程序的性质、时间和范围。
(四)内部控制对财务报表可审计性的影响
如果通过对内部控制的了解发现下列情况,并对财务报表局部或整体的可审计性产生疑问,审计人员应当考虑出具保留意见或无法表示意见的审计报告:
(1)被审计单位会计记录的状况和可靠性存在重大问题,不能获取充分、适当的审计证据以发表无保留意见;
(2)对管理层的诚信存在严重疑虑。
必要时,审计人员应当考虑解除业务约定。
二、需要特别考虑的重大错报风险
作为风险评估的一部分,审计人员应当运用职业判断,确定识别的风险哪些是需要特别考虑的重大错报风险(简称特别风险)。
(一)特别风险的判定
在确定哪些风险是特别风险时,审计人员应当在考虑识别出效果前,根据风险的性质、潜在错报的重要程度(该风险是否可能导致多项错报)和发生的可能性。判断风险是否属于特别风险。在确定风险的性质时,审计人员应当考虑下列事项:
(1)风险是否属于舞弊风险;
(2)风险是否与近期经济环境、会计处理方法和其他方面的重大变化有关;
(3)交易的复杂程度;
(4)风险是否涉及重大的关联方交易;
(5)财务信息计量的主观程度,特别是对不确定事项的计量存在较大区间;
(6)风险是否涉及异常或超出正常经营过程的重大交易。
特别风险通常与重大的非常规交易和判断事项有关,而日常的、简单的、常规处理的交易不大可能产生特别风险。非常规交易是指由于金额或性质异常而不经常发生的交易。判断事项通常是指作出的会计估计。如资产减值准备金额的估计、需要运用复杂估值技术确定的公允价值计量等。
与重大非常规交易相关的特别风险可能导致更高的重大错报风险,这是因为在非常规交易中,管理层会更多地介入会计处理,数据收集和处理将涉及更多的人工成分,业务处理将涉及复杂的计算或会计处理方法,而且非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制。
同样,对重大判断事项来说,一方面,对涉及会计估计、收入确认等方面的会计原则存在不同的理解;另一方面,所要求的判断可能是主观和复杂的,或需要对未来事项作出假设,所以,与重大判断事项相关的特别风险也可能导致更高的重大错报风险。
(二)特别风险的处理
了解与特别风险相关的控制,有助于审计人员制定有效的审计方案予以应对。由于与重大非常规交易或判断事项相关的风险很少受到日常控制的约束,所以,被审计单位应当针对特别风险设计和实施控制。审计人员应当了解和评价被审计单位针对特别风险的控制的设计情况,并确定其是否已经得到执行。
如果管理层没有实施控制以恰当应对特别风险,审计人员应当认为内部控制存在重大缺陷,并考虑其对风险评估的影响。在此情况下,审计人员应当考虑就此类事项与治理层沟通。
三、仅通过实质性程序无法应对的重大错报风险
作为风险评估的一部分,如果认为仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,审计人员应当评价被审计单位针对这些风险设计的控制,并确定其执行情况。
在被审计单位对日常交易采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的有效性,审计人员应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。例如,某企业通过高度自动化的系统确定采购品种和数量,生成采购订单,并通过系统中设定的收货确认和付款条件进行付款。除了系统中的相关信息以外,该企业没有其他有关订单和收货的记录。在这种情况下,如果认为仅通过实质性程序不能获取充分、适当的审计证据,审计人员应当考虑依赖的相关控制的有效性,并对其进行了解、评估和测试。
审计人员可以通过编制表格来汇总识别的重大错报风险,并判定它们的性质。
四、对风险评估的修正
审计人员对认定层次重大错报风险的评估应以获取的审计证据为基础,并可能随着不断获取审计证据而作出相应的变化。例如,审计人员对重大错报风险的评估可能基于预期控制运行有效这一判断,即相关控制可以防止或发现并纠正认定层次的重大错报。但在测试控制运行的有效性时,审计人员获取的证据可能表明相关控制在被审计期间并未有效运行。同样,在实施实质性程序后,审计人员可能发现错报的金额和频率比在风险评估时预计的金额和频率要高。
如果通过实施进一步审计程序获取的审计证据与初始评估重大错报风险时获取的审计证据相矛盾,审计人员应当修正风险评估结果,并相应修改原计划实施的进一步审计程序。因此,评估重大错报风险与了解被审计单位及其环境一样,也是一个连续和动态地收集、更新与分析信息的过程,并贯穿于整个审计过程的始终。
第五节与管理层和治理层的沟通
审计人员在了解和测试内部控制的过程中可能会注意到内部控制存在的重大缺陷。审计人员将其告知适当层次的管理层或治理层,将有助于管理层和治理层履行其在内部控制方面的职责。因此,审计人员应当及时将注意到的内部控制设计或执行方面的重大缺陷告知适当层次的管理层或治理层。
内部控制的重大缺陷是指内部控制设计或执行存在的严重不足,使被审计单位管理层或员工无法在正常行使职能的过程中,及时发现和纠正错误或舞弊引起的财务报表重大错报。内部控制五个要素中都可能存在控制缺陷。
下列情况通常表明内部控制存在重大缺陷:
1、审计人员在审计工作中发现了重大错报,而被审计单位的内部控制没有发现这些重大错报;
2、控制环境薄弱;
3、存在高层管理人员舞弊迹象(无论涉及金额大小)。
在了解和测试内部控制的过程中可能会发现偏差,偏差是否构成重大缺陷,取决于偏差的性质、频率和后果。在做出职业判断时,审计人员通常考虑以下因素:
1、偏差的性质和原因是什么?
2、偏差数量和控制执行频率的比例是多少?
3、偏差涉及的账户、披露和认定的性质是怎样的?
4、缺陷可能影响到哪些财务报表金额或交易事项?
5、相关资产或负债是否容易遭受损失或产生舞弊?
6、控制的目的是什么?
7、该控制对数据可靠性的影响程度如何?
8、控制的影响是否具有广泛性?(例如,该控制属于控制五个要素中的哪一项,影响力如何)
9、所测试的信息处理目标的重要程度有多大?
10、控制是预防性的还是检查性的?
11、控制设计或控制运行的文件记录是否足够?
12、是否存在行业性的或法规要求的控制实施标准?
13、是否存在针对同一风险或认定的补偿性的控制或程序?
14、谁完成控制程序?
15、偏差是否导致财务报表的重大错报?
16、如果存在因错误或舞弊导致的重大错报,是否可能尚未得到更正?
如果识别出被审计单位未加控制或控制不当的重大错报风险,或认为被审计单位的风险评估过程存在重大缺陷,审计人员应当就此类内部控制缺陷与治理层沟通。
第六节审计工作记录
一、记录的内容
审计人员应当就下列内容形成审计工作记录:
(1)项目组对由于舞弊或错误导致财务报表发生重大错报的可能性进行的讨论,以及得出的重要结论;
(2)审计人员对被审计单位及其环境各个方面的了解要点(包括对内部控制各项要素的了解要点)、信息来源以及实施的风险评估程序;
(3)审计人员在财务报表层次和认定层次识别、评估出的重大错报风险;
(4)审计人员识别出的特别风险和仅通过实质性程序无法应对的重大错报风险,以及对相关控制的评估。
二、记录的方式
审计人员需要运用职业判断,确定对上述事项进行记录的方式。常见的记录方式包括文字叙述、问卷、核对表和流程图等。
记录的方式和范围受被审计单位性质、规模、复杂程度、内部控制、被审计单位信息的可获得性,以及审计过程中使用的具体审计方法和技术的影响。例如,被审计单位通过复杂的信息系统,生成、记录、处理和报告大量交易,审计人员在了解该信息系统后,可能采用的记录方式包括流程图、问卷或决策表。对于很少使用或不使用信息技术的信息系统,或者只处理少量交易(如长期借款)的信息系统,审计人员仅以备忘录的形式对其进行记录就已足够。通常被审计单位经营活动越复杂,审计人员实施审计程序的范围越广,审计工作记录也就越复杂。
复习思考题:
1、什么是风险评估?它有哪几个程序?
2、审计人员应从哪几个方面了解被审计单位及其环境?
3、审计人员应如何对被审计单位的内部控制进行风险评估?
4、如果被审计单位变更了重要的会计政策,审计人员应当考虑哪些问题?
5、识别和评估重大错报风险时,审计人员应实施哪些审计程序?
6、为什么仅通过实质性程序无法应对的重大错报风险?