|
(1)某些企业层面控制,如企业经营理念、管理层的管理风格等与控制环境相关的控制,对及时防止或发现并纠正相关认定的错报的可能性有重要影响。虽然这种影响是间接的,但这些控制仍然可能影响注册会计师拟测试的其他控制,以及测试程序的性质、时间安排和范围。
(2)某些企业层面控制旨在识别其他控制可能出现的失效情况,能够监督其他控制的有效性,但还不足以精确到及时防止或发现并纠正相关认定的错报。当这些控制运行有效时,注册会计师可以减少对其他控制的测试。
(3)某些企业层面控制本身能够精确到足以及时防止或发现并纠正相关认定的错报。如果一项企业层面控制足以应对已评估的错报风险,注册会计师就不必测试与该风险相关的其他控制。
2.企业层面控制的内容
(1)与内部环境相关的控制。内部环境,即控制环境,包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。良好的控制环境是实施有效内部控制的基础。
(2)针对管理层(董事会、经理层)凌驾于控制之上的风险而设计的控制。该控制对所有企业保持有效的内部控制都有重要影响。注册会计师可以根据对企业舞弊风险的评估作出判断,选择相关的企业层面控制进行测试,并评价这些控制能否有效应对管理层凌驾于控制之上的风险。
(3)企业的风险评估过程。风险评估过程包括识别与财务报告相关的经营风险和其他经营管理风险,以及针对这些风险采取的措施。首先,企业的内部控制能够充分识别企业外部环境(如在经济、政治、法律法规、竞争者行为、债权人需求、技术变革等方面)存在的风险;其次,充分且适当的风险评估过程需要包括对重大风险的估计、对风险发生可能性的评估以及确定应对风险的方法。注册会计师可以首先了解企业及其内部环境的其他方面信息,以初步了解企业的风险评估过程。
(4)对内部信息传递和财务报告流程的控制。财务报告流程的控制可以确保管理层按照适当的会计准则编制合理、可靠的财务报告并对外报告。
(5)对控制有效性的内部监督和自我评价。企业对控制有效性的内部监督和自我评价可以在企业层面上实施,也可以在业务流程层面上实施,包括:对运行报告的复核和核对、与外部人士的沟通、对其他未参与控制执行人员的监控活动,以及将信息系统记录数据与实物资产进行核对等。
此外,企业层面控制还包括:集中化的处理和控制,包括共享的服务环境;监控经营成果的控制;针对重大经营控制以及风险管理实务而采取的政策。
(三)测试控制设计和运行的有效性
审计指引第十四条规定,注册会计师应当测试内部控制设计与运行的有效性。如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行,能够实现控制目标,表明该项控制的设计是有效的。如果某项控制正在按照设计运行,执行人员拥有必要授权和专业胜任能力,能够实现控制目标,表明该项控制的运行是有效的。
设计不当的控制可能表明控制存在缺陷甚至重大缺陷,注册会计师在测试控制运行的有效性时,首先要考虑控制的设计。注册会计师在测试控制设计与运行的有效性时,应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。注册会计师测试控制有效性实施的程序,按提供证据的效力,由弱到强排序为:询问、观察、检查和重新执行。其中询问本身并不能为得出控制是否有效的结论提供充分、适当的证据。执行穿行测试通常足以评价控制设计的有效性。
(四)与控制相关的风险与拟获取证据的关系
在测试所选定控制的有效性时,注册会计师需要根据与控制相关的风险,确定所需获取的证据。与控制相关的风险包括控制可能无效的风险和因控制无效而导致重大缺陷的风险。与控制相关的风险越高,注册会计师需要获取的证据就越多。
与某项控制相关的风险受下列因素的影响:
(1)该项控制拟防止或发现并纠正的错报的性质和重要程度;
(2)相关账户、列报及其认定的固有风险;
|
