“十四五”職業(yè)教育國家規(guī)劃教材

《審計基礎與實務》主編

高翠蓮

馬琳英“十四五”職業(yè)教育國家規(guī)劃教材

第七章

風險評估導讀案例

捷科系統(tǒng)是KM藥業(yè)的藥品供應鏈系統(tǒng)即業(yè)務管理系統(tǒng)，且對接行業(yè)監(jiān)督管理部門，金蝶EAS系統(tǒng)是KM藥業(yè)的財務系統(tǒng)，金蝶EAS系統(tǒng)與捷科系統(tǒng)的銷售數(shù)據(jù)存在明顯差異。ZZZJ相關審計人員明知KM捷科系統(tǒng)的存在，卻未執(zhí)行審計程序了解金蝶EAS系統(tǒng)與捷科系統(tǒng)之間數(shù)據(jù)的勾稽關系，查驗捷科系統(tǒng)與金蝶EAS系統(tǒng)是否存在差異，未分析差異形成的原因及造成的影響，獲取審計證據(jù)，形成審計結論。在進一步審計程序的內部控制測試、實質性程序中，ZZZJ計劃獲取銷售出庫單等業(yè)務單據(jù)，但僅從金蝶EAS系統(tǒng)獲取審計證據(jù)，沒有追溯至捷科系統(tǒng)，也沒有說明未追溯至捷科系統(tǒng)的理由，導致獲取的審計證據(jù)不具有充分性和適當性。KM藥業(yè)公司審計風險跡象導讀案例

從細分業(yè)務來看，KM公司的毛利率水平存在高估嫌疑。按照KM公司年報，20××年公司最主要的業(yè)務為藥品貿(mào)易和中藥材貿(mào)易，收入分別為79.4億元和6.0億元，合計占到當年全部營業(yè)收入的45%，藥品貿(mào)易和中藥材貿(mào)易的毛利率分別達到31.94%和7.97%（其去年藥品貿(mào)易和中藥材貿(mào)易的毛利率分別為29.85%和24.47%），因為中藥材貿(mào)易營收規(guī)模相對較小，整個貿(mào)易業(yè)務的毛利率為30.25%。但是在上述營業(yè)收入超過100億的34家公司中，藥品貿(mào)易（含批發(fā)和零售）規(guī)模較大的有25家。20××年，這25家公司藥品貿(mào)易業(yè)務的毛利率水平在2.7-30.3%之間，中位數(shù)僅為9.9%。其中，超過30%的僅有兩家。由此可見，KM的毛利率、至少貿(mào)易業(yè)務的毛利率明顯高于行業(yè)平均水平，而且長期以來一直都維持在30%左右的高位。ZZZJ對此異常情況未予以足夠關注，未執(zhí)行恰當?shù)倪M一步審計程序消除疑慮。KM藥業(yè)公司審計風險跡象CONTENT目錄03識別和評估重大錯報風險01了解被審計單位及其環(huán)境了解被審計單位內部控制體系各要素0204風險評估程序風險評估程序01風險評估程序5.1風險評估程序

注冊會計師在整個審計過程中需要運用職業(yè)判斷并保持職業(yè)懷疑，通過了解被審計單位及其環(huán)境、適用的財務報告編制基礎和被審計單位內部控制體系，識別和評估舞弊或錯誤導致的重大錯報風險，通過對評估的風險設計和實施恰當?shù)膽獙Υ胧槍κ欠翊嬖谥卮箦e報獲取充分、適當?shù)膶徲嬜C據(jù)，并從所獲取的審計證據(jù)中得出結論，對財務報表形成審計意見。

風險評估程序是注冊會計師為識別、評估財務報表層次和認定層次的重大錯報風險，而設計和實施的審計程序。其中，風險識別是指找出財務報表層次和認定層次的重大錯報風險；風險評估是指對重大錯報發(fā)生的可能性和后果嚴重程度進行評估。風險評估程序5.1.

1風險識別和評估的作用

（1）確定重要性水平，并隨著審計工作的進程評估對重要性水平的判斷是否仍然適當。

（2）考慮會計政策的選擇和運用是否恰當、是否符合適用的財務報告編制基礎的規(guī)定，以及財務報表的列報是否適當。

（3）識別需要特別考慮的領域

（4）確定實施分析程序時所使用的預期值。

（5）設計和實施進一步審計程序，以將審計風險降至可接受的低水平。

（6）評價所獲取審計證據(jù)的充分性和適當性。了解被審計單位及其環(huán)境、適用的財務報告編制基礎和內部控制體系各要素是一個連續(xù)和動態(tài)的收集、更新與分析信息的過程，貫穿于整個審計過程的始終。

注冊會計師實施風險評估程序了解被審計單位及其環(huán)境、適用的財務報告編制基礎和內部控制體系各要素，為注冊會計師在下列關鍵環(huán)節(jié)作出職業(yè)判斷提供重要基礎：風險評估程序5.1.2

風險評估程序詢問管理層和被審計單位內部其他合適人員風險評估程序包括下列程序：詢問管理層和被審計單位內部其他合適人員；實施分析程序；觀察和檢查?？紤]向管理層和財務負責人詢問下列事項：（1）管理層所關注的主要問題，如新的競爭對手、主要客戶和供應商的流失、新的稅收法規(guī)的實施以及經(jīng)營目標或戰(zhàn)略的變化等。（2）被審計單位最近的財務狀況、經(jīng)營成果和現(xiàn)金流量。（3）可能影響財務報告的交易和事項，或者目前發(fā)生的重大會計處理問題。（4）被審計單位發(fā)生的其他重要變化，如所有權結構、組織結構的變化等。風險評估程序5.1風險評估程序詢問被審計單位內部的其他不同層級的人員：

（1）直接詢問治理層，有助于了解財務報表編制的環(huán)境；

（2）直接詢問負責生成、處理或錄復或異常交易的員工，有助于注冊會計師評價被審計單位選擇和運用某項會計政策的恰當性;（3）直接詢問內部法律顧問，有助于注冊會計師了解如訴訟、遵守法律法規(guī)的情況;（4）直接詢問營銷人員，有助于注冊會計師了解被審計單位營銷策略的變化、銷售趨勢或與客戶的合同安排等;（5）直接詢問風險管理職能部門或人員，有助于注冊會計師了解可能影響財務報告的經(jīng)營和監(jiān)管風險;（6）直接詢問信息技術人員，有助于注冊會計師了解系統(tǒng)變更、系統(tǒng)或控制失效的情況，或與信息技術相關的其他風險;（7）直接詢問適當?shù)膬炔繉徲嬋藛T，有助于注冊會計師在識別和評估風險時了解被審計單位及其環(huán)境以及內部控制體系。詢問管理層和被審計單位內部其他合適人員風險評估程序5.1風險評估程序在實施分析程序時，注冊會計師應當預期可能存在的合理關系，并與被審計單位記錄的金額、依據(jù)記錄金額計算的比率或趨勢相比較；如果發(fā)現(xiàn)異?；蛭搭A期到的關系，注冊會計師應當在識別重大錯報風險時考慮這些比較結果。實施分析程序觀察和檢查觀察和檢查程序可以支持對管理層和被審計單位內部其他合適人員的詢問結果：觀察被審計單位的經(jīng)營活動檢查文件、記錄和內部控制手冊閱讀由管理層和治理層編制的報告實地察看生產(chǎn)經(jīng)營場所和廠房設備穿行測試了解被審計單位及其環(huán)境和適用的財務報告編制基礎02了解被審計單位及其環(huán)境5.2了解被審計單位及其環(huán)境和適用的財務報告編制基礎注冊會計師通過實施風險評估程序以了解下列三個方面內容:被審計單位及其環(huán)境，包括：(1)組織結構、所有權和治理結構、業(yè)務模式(包括該業(yè)務模式利用信息技術的程度)；(2)行業(yè)形勢、法律環(huán)境、監(jiān)管環(huán)境和其他外部因素；(3)財務業(yè)績的衡量標準，包括內部和外部使用的衡量標準。適用的財務報告編制基礎、會計政策以及變更會計政策的原因。被審計單位內部控制體系各要素。

第1項中第(2)點是被審計單位的外部環(huán)境，第1項中第(1)點、第2項、第3項是被審計單位的內部因素，第1項中第(3)點則既有外部因素也有內部因素。上述了解的各個方面可能會互相影響。了解被審計單位及其環(huán)境5.2.1了解被審計單位及其環(huán)境的主要內容組織結構所有權結構治理結構業(yè)務模式（包括該業(yè)務模式利用信息技術的程度）被審計單位的經(jīng)營活動、投資活動、籌資活動、財務報告

經(jīng)營風險是指可能對被審計單位實現(xiàn)目標和實施戰(zhàn)略的能力產(chǎn)生不利影響的重要狀況、事項、情況、作(或不作為)所致的風險，或由于制定不恰當?shù)哪繕撕蛻?zhàn)略而導致的風險。不同企業(yè)的經(jīng)營性質、所處行業(yè)、外部監(jiān)管環(huán)境、企業(yè)的規(guī)模和復雜程度不同，可能會面臨不同的經(jīng)營風險，管理層有責任識別和應對這些風險。

多數(shù)經(jīng)營風險最終都會產(chǎn)生財務后果，從而影響財務報表。組織結構、所有權結構和治理結構、業(yè)務模式了解被審計單位及其環(huán)境5.2.1了解被審計單位及其環(huán)境的主要內容

了解可能導致財務報表重大錯報風險的業(yè)務模式、目標和戰(zhàn)略及相應的經(jīng)營風險時，可以考慮事項如下：行業(yè)發(fā)展開發(fā)新產(chǎn)品或提供新服務業(yè)務擴張新的會計政策要求監(jiān)管要求本期及未來的融資條件信息技術的運用實施戰(zhàn)略的影響

導致財務報表產(chǎn)生重大錯報風險的可能性有所增加的經(jīng)營風險可能來自下列事項:目標或戰(zhàn)略不恰當，未能有效實施戰(zhàn)略，環(huán)境的變化或經(jīng)營的復雜性。未能認識到變革的必要性也可能導致經(jīng)營風險。對管理層的激勵和壓力措施可能導致有意或無意的管理層偏向，影響重大假設以及管理層或治理層預期的合理性。了解被審計單位及其環(huán)境5.2.1了解被審計單位及其環(huán)境的主要內容行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素行業(yè)狀況，主要包括：所處行業(yè)的市場供求與競爭；生產(chǎn)經(jīng)營的季節(jié)性和周期性；產(chǎn)品生產(chǎn)技術的發(fā)展；能源供應與成本法律環(huán)境及監(jiān)管環(huán)境，主要包括：適用的財務報告編制基礎；受管制行業(yè)的法規(guī)框架；對被審計單位經(jīng)營活動產(chǎn)生重大影響的法律法規(guī)；稅收相關法律法規(guī)；目前對被審計單位開展經(jīng)營活動產(chǎn)生影響的政府政策，影響行業(yè)和被審計單位經(jīng)營活動的環(huán)保要求。其他外部因素，主要包括：當前的宏觀經(jīng)濟狀況以及未來的發(fā)展趨勢；目前國內或本地區(qū)的經(jīng)濟狀況對被審計單位經(jīng)營活動的影響；被審計單位的經(jīng)營活動受到匯率波動或全球市場力量的影響了解被審計單位及其環(huán)境5.2.1了解被審計單位及其環(huán)境的主要內容財務業(yè)績的衡量標準關鍵業(yè)績指標、關鍵比率、趨勢和經(jīng)營統(tǒng)計數(shù)據(jù)同期財務業(yè)績比較分析預測、預算、差異分析，分部信息與分部、部門或其他不同層次的業(yè)績報告員工業(yè)績考核與激勵性報酬政策；被審計單位與競爭對手的業(yè)績比較了解被審計單位及其環(huán)境5.2.2了解適用的財務報告編制基礎、會計政策以及變更會計政策的原因被審計單位與適用的財務報告編制基礎相關的財務報告實務，如:

(1)會計政策和行業(yè)特定慣例

；

(2)收入確認;

（3）金融工具以及相關信用損失的會計處理;(4)異?；驈碗s交易

在了解被審計單位適用的財務報告編制基礎，以及如何根據(jù)被審計單位及其環(huán)境的性質和情況運用該編制基礎時，注冊會計師可能需要考慮的事項包括:對被審計單位對會計政策的選擇和運用獲得的了解，可能包括下列事項:

(1)被審計單位用于確認、計量和列報(包括披露)重大和異常交易的方法；（2）在缺乏權威性標準或共識的爭議或新興領域采用重要會計政策產(chǎn)生的影響;（3）環(huán)境變化；(4)新頒布的會計準則、法律法規(guī)，被審計單位采用的時間以及如何采用或遵守這些規(guī)定。了解被審計單位內部控制體系各要素03了解被審計單位內部控制體系各要素5.3.1內部控制的含義和目標

內部控制是指被審計單位為了合理保證財務報告的可靠性、經(jīng)營的效率和效果以及對法律法規(guī)的遵守，由治理層、管理層和其他人員設計、執(zhí)行和維護的政策及程序。合理保證經(jīng)營的效率和效果合理保證財務報告的可靠性合理保證法律法規(guī)的遵守

與審計相關的控制，按照其對防止、發(fā)現(xiàn)或糾正認定層次錯報發(fā)揮作用的方式，分為直接控制和間接控制。

直接控制是指足以精準防止、發(fā)現(xiàn)或糾正認定層次錯報的內部控制。

間接控制是指不足以精準防止、發(fā)現(xiàn)或糾正認定層次錯報的內部控制。

直接控制和間接控制對防止、發(fā)現(xiàn)或糾正認定層次錯報分別產(chǎn)生直接影響和間接影響。了解被審計單位內部控制體系各要素5.3.2內部控制的局限性控制可能由于兩個或更多的人員串通或管理層不當?shù)亓桉{于內部控制之上人為判斷出現(xiàn)錯誤和人為失誤內部控制的成本效益問題內部控制一般針對經(jīng)常而重復發(fā)生的業(yè)務而設置5.3.3內部控制的要素內部控制體系包含五個相互關聯(lián)的要素風險評估內部環(huán)境（控制環(huán)境）信息與溝通（信息系統(tǒng)與溝通）控制活動內部監(jiān)督了解被審計單位內部控制體系各要素5.3.3內部控制的要素內部環(huán)境（控制環(huán)境）內部環(huán)境包括治理職能和管理職能，以及治理層和管理層對內部控制及其重要性的態(tài)度、認識和措施。良好的內部環(huán)境是實施有效內部控制的基礎。對誠信和道德價值觀念的溝通與落實了解和評價誠信和道德價值觀念的溝通與落實時，考慮的主要因素可能包括：被審計單位是否有書面的行為規(guī)范并向所有員工傳達；被審計單位的企業(yè)文化是否強調誠信和道德價值觀念的重要性；管理層是否身體力行，高級管理人員是否起表率作用；對違反有關政策和行為規(guī)范的情況，管理層是否采取適當?shù)膽土P措施。01了解被審計單位內部控制體系各要素5.3.3內部控制的要素對勝任能力的重視財會人員以及信息管理人員是否具備與被審計單位業(yè)務性質和復雜程度相稱的勝任能力和培訓，在發(fā)生錯誤時，是否通過調整人員或系統(tǒng)來加以處理；管理層是否配備足夠的財會人員以適應業(yè)務發(fā)展和有關方面的需要；財會人員是否具備理解和運用會計準則所需的技能。0203是否建立了審計委員會或類似機構；是否與內部審計人員以及注冊會計師有聯(lián)系和溝通；成員是否具備適當?shù)慕?jīng)驗和資歷；是否獨立于管理層；會議的數(shù)量和時間是否與被審計單位的規(guī)模和業(yè)務復雜程度相匹配；是否充分地參與了監(jiān)督編制財務報告的過程；是否對經(jīng)營風險的監(jiān)控有足夠的關注；董事會成員是否保持相對的穩(wěn)定性。治理層的參與程度了解和評估時考慮的主要因素：了解被審計單位內部控制體系各要素5.3.3內部控制的要素管理層的理念和經(jīng)營風格04

了解和評估被審計單位管理層的理念和經(jīng)營風格時，考慮的主要因素可能包括：管理層是否對內部控制，包括信息技術的控制，給予了適當?shù)年P注;管理層是否由一個或幾個人所控制，董事會、審計委員會或類似機構對其是否實施了有效監(jiān)督；管理層在承擔和監(jiān)控經(jīng)營風險方面是風險偏好者還是風險規(guī)避者;管理層在選擇會計政策和作出會計估計時是傾向于激進還是保守;管理層對于信息管理人員以及財會人員是否給予了適當關注;對于重大的內部控制和會計事項，管理層是否征詢注冊會計師的意見，或者經(jīng)常在這些方面與注冊會計師存在不同意見。了解被審計單位內部控制體系各要素5.3.3內部控制的要素05被審計單位的組織結構為計劃、運作、控制及監(jiān)督經(jīng)營活動提供了一個整體框架。通過集權和分權決策，可在不同部門間進行適當?shù)穆氊焺澐?、建立適當層次的報告體系。被審計單位組織結構中應采用向個人或小組分配控制職責的方法，應建立執(zhí)行特定職能（包括交易授權）的授權機制，確保每個人都清楚地了解報告關系和責任組織結構及職權與責任的分配對被審計單位組織結構和職權與責任的分配進行了解和評估時，考慮的主要因素可能包括:在被審計單位內部是否有明確的職責劃分，是否將業(yè)務授權、業(yè)務記錄、資產(chǎn)保管和維護以及業(yè)務執(zhí)行的責任盡可能地分離;數(shù)據(jù)處理和管理的職責劃分是否合理;是否已針對授權交易建立適當?shù)恼吆统绦蛄私獗粚徲媶挝粌炔靠刂企w系各要素5.3.3內部控制的要素人力資源政策與實務被審計單位員工的能力與誠信是內部環(huán)境中不可缺少的因素。人力資源政策與實務涉及招聘、培訓、考核、晉升和薪酬等方面。被審計單位是否有能力招聘并保留一定數(shù)量既有能力又有責任心的員工，在很大程度上取決于其人事政策與實務。06注冊會計師在對被審計單位人力資源政策與實務了解和評估時，考慮的主要因素可能包括:被審計單位在招聘、培訓、考核、咨詢、晉升、薪酬、補救措施等方面是否都有適當?shù)恼吆蛯崉?是否有書面的員工崗位職責手冊，或者在沒有書面文件的情況下，對于工作職責和期望是否做了適當?shù)臏贤ê徒涣?人力資源政策與實務是否清晰，并且定期發(fā)布和更新;是否設定適當?shù)某绦?，對分散在各地區(qū)和海外的經(jīng)營人員建立和溝通人力資源政策與程序。了解被審計單位內部控制體系各要素5.3.3內部控制的要素風險評估風險評估包括識別與財務報告相關的經(jīng)營風險，以及針對這些風險所采取的措施。可能產(chǎn)生風險的事項和情形包括：監(jiān)管及經(jīng)營環(huán)境的變化；新員工加入；新信息系統(tǒng)的使用或對原系統(tǒng)進行升級；業(yè)務快速發(fā)展；新技術新業(yè)務模式、產(chǎn)品和業(yè)務活動；企業(yè)重組；發(fā)展海外經(jīng)營；新的會計政策；使用信息技術了解被審計單位內部控制體系各要素5.3.3內部控制的要素風險評估

在對被審計單位整體層面的風險評估工作進行了解和評估時，考慮的主要因素可能包括:被審計單位是否已建立并溝通其整體目標，并輔以具體策略和業(yè)務流程層面的計劃;被審計單位是否已建立風險評估，包括識別風險、估計風險的重大性、評估風險發(fā)生的可能性以及確定需要采取的應對措施;被審計單位是否已建立某種機制，識別和應對可能對被審計單位產(chǎn)生重大且普遍影響的變化，如在在制造型企業(yè)中建立期貨交易風險管理組等;會計部門是否建立了某種流程，以識別會計政策的重大變化;當被審計單位業(yè)務操作發(fā)生變化并影響交易記錄的流程時，是否存在溝通渠道以通知會計部門;風險管理部門是否建立了某種流程，以識別經(jīng)營環(huán)境包括監(jiān)管環(huán)境發(fā)生的重大變化。了解被審計單位內部控制體系各要素5.3.3內部控制的要素信息與溝通（信息系統(tǒng)與溝通）信息與溝通是收集與交換被審計單位執(zhí)行、管理和控制業(yè)務活動所需信息的過程，包括收集和提供信息（特別是履行內部控制崗位職責所需的信息）給適當人員，使之能夠履行職責。與財務報告相關的信息系統(tǒng)由一系列的活動和政策、會計記錄和支持性記錄組成，其應當與業(yè)務流程相適應。與財務報表編制相關的信息系統(tǒng)旨在:生成、記錄和處理交易(以及獲取、處理和披露與交易以外的事項和情況相關的信息)，以及為相關資產(chǎn)、負債和所有者權益明確受托責任;解決不正確處理交易的問題；處理并解釋凌駕于控制之上或規(guī)避控制的情況;將從交易處理系統(tǒng)中獲取的信息過入總賬;針對除交易以外的事項和情況獲取并處理與財務報表編制相關的信息;確保適用的財務報告編制基礎規(guī)定披露的信息得到收集、記錄、處理和匯總,并適當包含在財務報表中。了解被審計單位內部控制體系各要素5.3.3內部控制的要素信息與溝通（信息系統(tǒng)與溝通）

注冊會計師在了解被審計單位的信息系統(tǒng)時，了解被審計單位如何生成交易和獲取信息，這類信息可能與財務報表編制相關；了解信息處理活動中使用的資源。與了解信息系統(tǒng)完整性、準確性和有效性風險相關的人力資源信息包括：從事相關工作人員的勝任能力；資源是否充分；職責分離是否適當。了解被審計單位內部控制體系各要素5.3.3內部控制的要素信息與溝通（信息系統(tǒng)與溝通）與財務報告相關的溝通包括使員工了解各自在與財務報告有關的內部控制方面的角色和職責，員工之間的工作關系，以及向適當級別的管理層報告例外事項的方式。了解管理層與治理層之間的溝通，以及被審計單位與外部(包括與監(jiān)管部門)的溝通。具體包括:管理層就員工的職責和控制責任是否進行了有效溝通;針對可疑的不恰當事項和行為是否建立了溝通渠道;組織內部溝通的充分性是否能夠使人員有效地履行職責;對于與客戶、供應商、監(jiān)管者和其他外部人士的溝通，管理層是否及時采取適當?shù)倪M一步行動;被審計單位是否受到某些監(jiān)管機構發(fā)布的監(jiān)管要求的約束;外部人士如客戶和供應商在多大程度上獲知被審計單位的行為守則。了解被審計單位內部控制體系各要素5.3.3內部控制的要素控制活動控制活動是指有助于確保管理層的指令得以執(zhí)行的政策和程序，包括與授權、業(yè)績評價、信息處理、實物控制和職責分離等相關的活動。實物控制

控制措施授權一般授權特殊授權業(yè)績評價評價實際業(yè)績與預算的差異，綜合分析財務數(shù)據(jù)與經(jīng)營數(shù)據(jù)的內在關系，內部數(shù)據(jù)與外部信息來源相比較，評價職能部門業(yè)績信息處理職責分離一般控制和應用控制授權與執(zhí)行、執(zhí)行與記錄記錄與保管、總賬與明細賬執(zhí)行與稽核對資產(chǎn)和記錄采取適當?shù)陌踩Ｗo措施：限制接近、盤點、授權訪問了解被審計單位內部控制體系各要素5.3.3內部控制的要素控制活動了解和評估控制活動時考慮的主要因素可能包括:被審計單位的主要經(jīng)營活動是否都有必要的控制政策和程序;管理層在預算、利潤和其他財務及經(jīng)營業(yè)績方面是否都有清晰的目標，在被審計單位內部，是否對這些目標都加以清晰的記錄和溝通，并且積極地對其進行監(jiān)控;是否存在計劃和報告系統(tǒng)，以識別與目標業(yè)績的差異，并向適當層次的管理層報告該差異；是否由適當層次的管理層對差異進行調查，并及時采取適當?shù)募m正措施;不同人員的職責應在何種程度上相分離，以降低舞弊和不當行為發(fā)生的風險；會計系統(tǒng)中的數(shù)據(jù)是否與實物資產(chǎn)定期核對;是否建立了適當?shù)谋Ｗo措施，以防止未經(jīng)授權接觸文件、記錄和資產(chǎn);是否存在信息安全職能部門負責監(jiān)控信息安全政策和程序。了解被審計單位內部控制體系各要素5.3.3內部控制的要素內部監(jiān)督

內部監(jiān)督是指被審計單位評價內部控制在一段時間內運行有效性的過程。內部監(jiān)督涉及及時評估控制的有效性并采取必要的補救措施。

應當了解被審計單位對控制的持續(xù)監(jiān)督活動和專門的評價活動：持續(xù)的監(jiān)督活動通常貫穿于被審計單位的日常經(jīng)營活動與常規(guī)管理工作中被審計單位可能安排內部審計人員或具有類似職能的人員對內部控制的設計和執(zhí)行進行專門的評價。了解被審計單位內部控制體系各要素5.3.3內部控制的要素內部監(jiān)督注冊會計師在了解被審計單位如何監(jiān)督內部控制體系時，需要考慮的相關事項包括:監(jiān)督活動的設計,如監(jiān)督是定期的還是持續(xù)的;監(jiān)督活動的實施情況和頻率;對監(jiān)督活動結果的定期評價，以確定控制是否有效;如何通過適當?shù)恼拇胧獙ψR別的缺陷，包括與負責采取整改措施的人員及時溝通缺陷。注冊會計師可以考慮被審計單位監(jiān)督內部控制體系的過程如何實現(xiàn)對涉及使用信息技術的信息處理控制的監(jiān)督。這些控制包括:監(jiān)督以下復雜信息技術環(huán)境的控制:評價信息處理控制的持續(xù)設計有效性，根據(jù)情況的變化對其進行適當修改;評價信息處理控制運行的有效性;監(jiān)督權限的控制，這些權限應用于實施職責分離的自動化信息處理控制中;監(jiān)督如何識別和應對與財務報告自動化相關的錯誤或控制缺陷的控制。了解被審計單位內部控制體系各要素5.3.4在整體層面了解、評價內部控制在整體層面了解、評價的內部控制要素包括：內部環(huán)境、風險評估、信息與溝通、內部監(jiān)督。了解、評價被審計單位與財務報表編制相關的內部環(huán)境被審計單位管理層如何履行其管理職責在治理層與管理層分離的體制下，治理層的獨立性以及治理層監(jiān)督內部控制體系的情況單位內部權限和職責的分配情況如何吸引、培養(yǎng)和留住具有勝任能力的人員如何使其人員致力于實現(xiàn)內部控制體系的目標。實施以下風險評估程序了解涉及下列方面的控制、流程和組織結構了解之后評價下列方面的情況在治理層的監(jiān)督下管理層是否營造并保持了誠實守信和合乎道德的文化根據(jù)被審計單位的性質和復雜程度，被審計單位內部環(huán)境是否為內部控制體系的其他要素奠定了適當?shù)幕A內部環(huán)境方面的控制缺陷是否會削弱被審計單位內部控制體系的其他要素。01了解被審計單位內部控制體系各要素5.3.4在整體層面了解、評價內部控制了解、評價被審計單位與財務報表編制相關的風險評估工作02識別與財務報告目標相關的經(jīng)營風險評估上述風險的重要程度和發(fā)生的可能性應對上述風險。實施以下風險評估程序了解了解之后評價下列方面的情況根據(jù)被審計單位的性質和復雜程度，評價其風險評估工作是否適合其具體情況。如果注冊會計師識別出重大錯報風險，而被審計單位管理層未能識別出，應當判斷這些風險是否是被審計單位風險評估工作應當識別出的風險。如果注冊會計師認為，這些風險是被審計單位風險評估工作應當識別出的風險，則應當了解被審計單位風險評估工作未能識別出這些風險的原因了解被審計單位內部控制體系各要素5.3.4在整體層面了解、評價內部控制了解、評價被審計單位對與財務報表編制相關的內部控制體系的監(jiān)督工作03了解被審計單位實施的持續(xù)性評價和單獨評價，以及識別出控制缺陷的情況和整改的情況了解被審計單位的內部審計，包括內部審計的性質、職責和活動了解被審計單位在監(jiān)督內部控制體系的過程中所使用信息的來源，以及管理層認為這些信息足以信賴的依據(jù)。實施以下風險評估程序了解了解之后評價下列方面的情況根據(jù)被審計單位的性質和復雜程度，評價被審計單位對內部控制體系的監(jiān)督是否適合其具體情況了解被審計單位內部控制體系各要素5.3.4在整體層面了解、評價內部控制了解、評價被審計單位與財務報表編制相關的信息與溝通04信息在被審計單位信息系統(tǒng)中的傳遞情況與信息傳遞相關的會計記錄、財務報表特定項目以及其他支持性記錄被審計單位的財務報告過程相關的被審計單位資源，包括信息技術環(huán)境。了解被審計單位的信息處理活動，以及使用的資源，針對相關交易類別、賬戶余額和披露的信息處理活動的政策了解被審計單位如何溝通與財務報表編制相關的重大事項，以及信息系統(tǒng)和內部控制體系其他要素中的相關報告責任被審計單位內部人員之間的溝通，包括就與財務報告相關的崗位職責和相關人員的角色進行的溝通管理層與治理層之間的溝通被審計單位與監(jiān)管機構等外部各方的溝通了解被審計單位內部控制體系各要素5.3.5在業(yè)務流程層面了解、評價內部控制確定重要業(yè)務流程和重要交易類別01人力資源與工薪循環(huán)

制造業(yè)的內控可劃分為五個循環(huán)銷售與收款循環(huán)采購與付款循環(huán)生產(chǎn)與存貨循環(huán)投資與籌資循環(huán)了解被審計單位內部控制體系各要素5.3.5在業(yè)務流程層面了解、評價內部控制了解重要交易流程，并進行記錄02注冊會計師可以通過下列方法獲得對重要交易流程的了解：詢問被審計單位的適當人員觀察所運用的處理方法和程序檢查被審計單位的手冊和其他書面資料追蹤交易在財務報告信息系統(tǒng)中的處理過程（穿行測試）了解重要交易流程時采用下列方法對業(yè)務流程進行記錄：文字表述法調查表法流程圖法缺點優(yōu)點適用范圍了解被審計單位內部控制體系各要素5.3.5在業(yè)務流程層面了解、評價內部控制實施風險評估程序了解業(yè)務流程層面的控制活動03識別用于應對認定層次重大錯報風險的控制。包括以下控制：應對特別風險的控制。與會計分錄相關的控制。注冊會計師擬測試運行有效性的控制。包括用于應對僅實施實質性程序不能提供充分、適當審計證據(jù)的風險的控制。注冊會計師根據(jù)職業(yè)判斷認為適當?shù)摹⑴c控制認定層次重大錯報風險有關的其他控制。了解被審計單位內部控制體系各要素5.3.5在業(yè)務流程層面了解、評價內部控制實施風險評估程序了解業(yè)務流程層面的控制活動

識別上述控制在采用信息技術應用程序、信息技術基礎措施和信息技術流程等方面，可能面臨運用信息技術導致的風險。被審計單位的控制活動運用信息技術導致的風險包括：信息處理控制(即指：信息技術應用程序進行的信息處理、人工進行的信息處理)的設計無效或運行無效信息系統(tǒng)中的信息在完整性、準確性和有效性方面存在風險。

進一步識別上述控制在采用信息技術應用程序、信息技術基礎措施和信息技術流程等方面，可能面臨運用信息技術導致的相關風險，以及被審計單位用于應對這些風險的信息技術一般控制。03了解被審計單位內部控制體系各要素5.3.6在業(yè)務流程層面了解、評價內部控制初步評價控制活動和風險評估04對控制活動的初步評價：在識別和了解控制后，注冊會計師需要評價控制設計的合理性并確定其是否得到執(zhí)行。對控制的評價結論可能是以下三種情況之一：所設計的控制單獨或連同其他控制能夠防止或發(fā)現(xiàn)并糾正重大錯報，并得到執(zhí)行控制本身的設計是合理的，但沒有得到執(zhí)行控制本身的設計就是無效的或缺乏必要的控制了解被審計單位內部控制體系各要素5.3.6在業(yè)務流程層面了解、評價內部控制初步評價控制活動和風險評估04風險評估需要考慮的因素：賬戶特征及已識別的重大錯報風險。如果已識別的重大錯報風險水平為高，相關的控制應有較高的敏感度。相反，如果已發(fā)現(xiàn)的重大錯報風險水平為低，相關的控制就無須具有較高的敏感度。對被審計單位整體層面控制的評價。注冊會計師應將對整體層面獲得的了解和結論，同在業(yè)務流程層面獲得的有關重大交易流程及其控制的證據(jù)結合起來