注册会计师

(一)为实现财务报告可靠性目标设计和实施的控制

与审计相关的控制，包括被审计单位为实现财务报告可靠性目标设计和实施的控制。注册会计师应当运用职业判断，考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序有关。

在运用职业判断时，注册会计师应当考虑下列因素：

1.注册会计师确定的重要性水平;

2.被审计单位的性质，包括组织结构和所有制性质;

3.被审计单位的规模;

4.被审计单位经营的多样性和复杂性;

5.法律法规和监管要求;

6.作为内部控制组成部分的系统(包括利用服务机构)的性质和复杂性。

(二)其他与审计相关的控制

如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息，注册会计师应当考虑用以保证该信息完整性和准确性的控制可能与审计相关。注册会计师以前的经验以及在了解被审计单位及其环境过程中获得的信息，可以帮助注册会计师识别与审计相关的控制。

如果用以保证经营效率、效果的控制以及对法律法规遵守的控制与实施审计程序时评价或使用的数据相关，注册会计师应当考虑这些控制可能与审计相关。例如，对于某些非财务数据(如生产统计数据)的控制，如果注册会计师在实施分析程序时使用这些数据，这些控制就可能与审计相关。又如，某些法规(如税法)对财务报表存在直接和重大的影响(影响应交税费和所得税费用)，为了遵守这些法规，被审计单位可能设计和执行相应的控制，这些控制也与注册会计师的审计相关。

被审计单位通常有一些与审计无关的控制，注册会计师无须对其加以考虑。例如，被审计单位可能依靠某一复杂的自动控制系统提高经营活动的效率和效果(如航空公司用于维护航班时间表的自动控制系统)，但这些控制通常与审计无关。

用以保护资产的内部控制可能包括与实现财务报告可靠性和经营效率、效果目标相关的控制。注册会计师在了解保护资产的内部控制各项要素时，可仅考虑其中与财务报告可靠性目标相关的控制。例如，保护存货安全的控制可能与审计相关，但在生产中防止材料浪费的控制通常就与审计不相关，只有所用材料的成本没有在财务报表中如实反映，才会影响财务报表的可靠性。

三、对内部控制了解的深度

对内部控制了解的深度，是指在了解被审计单位及其环境时对内部控制了解的程度。包括评价控制的设计，并确定其是否得到执行，但不包括对控制是否得到一贯执行的测试。 (一)评价控制的设计

注册会计师在了解内部控制时，应当评价控制的设计，并确定其是否得到执行。评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。控制得到执行是指某项控制存在且被审计单位正在使用。设计不当的控制可能表明内部控制存在重大缺陷，注册会计师在确定是否考虑控制得到执行时，应当首先考虑控制的设计。如果控制设计不当，不需要再考虑控制是否得到执行。

(二)获取控制设计和执行的审计证据

注册会计师通常实施下列风险评估程序，以获取有关控制设计和执行的审计证据：

1.报告询问被审计单位的人员;

2.观察特定控制的运用;

3.检查文件和报告;

4.追踪交易在财务报告信息系统中的处理过程(穿行测试)。

这些程序是风险评估程序在了解被审计单位内部控制方面的具体运用。

询问本身并不足以评价控制的设计以及确定其是否得到执行，注册会计师应当将询问与其他风险评估程序结合使用。

(三)了解内部控制的步骤

了解内部控制包括四个重要的步骤：第一步，识别需要降低哪些风险以预防财务报表中发生重大错报。如果某内部控制目标没有实现，风险因素通常被描述为“可能的错误”。第二步，记录相关的内部控制。目的是识别是否存在内部控制降低第一步所列出的风险因素，但没有必要记录和评价与审计无关的内部控制。第三步，评估控制的执行。主要是实施穿行测试，以确信识别的内部控制实际上确实存在。如果存在，注册会计师就可完成对控制设计和执行的评价。第四步，评估内部控制的设计。汇总获得的所有信息，并根据风险因素描绘识别出的(或执行的)控制。完成上述四个步骤之后，注册会计师应当确定内部控制是否存在重大弱点。

(四)了解内部控制与测试控制运行有效性的关系

除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解并不能够代替对控制运行有效性的测试。

例如，获取某一人工控制在某一时点得到执行的审计证据，并不能证明该控制在所审计期间内的其他时点也有效运行。但是，信息技术可以使被审计单位持续一贯地对大量数据进行处理，提高了被审计单位监督控制活动运行情况的能力，信息技术还可以通过对应用软件、数据库、操作系统设置安全控制来实现有效的职责划分。由于信息技术处理流程的内在一贯性，实施审计程序确定某项自动控制是否得到执行，也可能实现对控制运行有效性测试的目标。

四、内部控制的人工和自动化成分

(一)考虑内部控制的人工和自动化特征及其影响

大多数被审计单位出于编制财务报告和实现经营目标的需要使用信息技术。然而，即使信息技术得到广泛使用，人工因素仍然会存在于这些系统之中。不同的被审计单位采用的控制系统中人工控制和自动化控制的比例是不同的。在一些小型的、生产经营不太复杂的被审计单位，可能以人工控制为主;而在另外一些单位，可能以自动化控制为主。内部控制可能既包括人工成分又包括自动化成分，在风险评估以及设计和实施进一步审计程序时，注册会计师应当考虑内部控制的人工和自动化特征及其影响。

内部控制采用人工系统还是自动化系统，将影响交易生成、记录、处理和报告的方式。在以人工为主的系统中，内部控制一般包括批准和复核业务活动，编制调节表并对调节项目进行跟踪。当采用信息技术系统生成、记录、处理和报告交易时，交易的记录形式(如订购单、发票、装运单及相关的会计记录)可能是电子文档而不是纸质文件。信息技术系统中的控制可能既有自动控制(如嵌入计算机程序的控制)又有人工控制。人工控制可能独立于信息技术系统，利用信息技术系统生成的信息，也可能用于监督信息技术系统和自动控制的有效运行或者处理例外事项。如果采用信息技术系统处理交易和其他数据，系统和程序可能包括与财务报表重大账户认定相关的控制或者包括人工控制作用的有效发挥。被审计单位的性质和经营的复杂程度会对采用人工控制和自动控制的成分产生影响。

(二)信息技术的优势及相关内部控制风险

信息技术通常在下列方面提高被审计单位内部控制的效率和效果：

1.在处理大量的交易或数据时，一贯运用事先确定的业务规则，并进行复杂运算;

2.提高信息的及时性、可获得性及准确性;

3.有助于对信息的深入分析;

4.加强对被审计单位政策和程序执行情况的监督;

5.降低控制被规避的风险;

6.通过对操作系统、应用程序系统和数据库系统实施安全控制，提高不相容职务分离的有效性。.

但是，信息技术也可能对内部控制产生特定风险。注册会计师应当从下列方面了解信息技术对内部控制产生的特定风险：

1.系统或程序未能正确处理数据，或处理了不正确的数据，或两种情况同时并存;

2.在未得到授权情况下访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易;

3.信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工;

4.未经授权改变主文档的数据;

5.未经授权改变系统或程序;

6.未能对系统或程序做出必要的修改;

7.不恰当的人为干预;

8.数据丢失的风险或不能访问所需要的数据。

(三)人工控制的适用范围及相关内部控制风险

内部控制的人工成分在处理下列需要主观判断或酌情处理的情形时可能更为适当：

1.存在大额、异常或偶发的交易;

2.存在难以定义、防范或预见的错误;

3.为应对情况的变化，需要对现有的自动化控制进行调整;

4.监督自动化控制的有效性。

但是，由于人工控制由人执行，受人为因素的影响，也产生了特定风险，注册会计师应当从下列方面了解人工控制产生的特定风险：

1.人工控制可能更容易被规避、忽视或凌驾;

2.人工控制可能不具有一贯性;

3.人工控制可能更容易产生简单错误或失误。相对于自动控制，人工控制的可靠性较差。为此，注册会计师应当考虑人工控制在下列情形中可能是不适当的：(1)存在大量或重复发生的交易;(2)事先可预见的错误能够通过自动化控制得以防范或发现;(3)控制活动可得到适当设计和自动化处理。

内部控制风险的程度和性质受被审计单位信息系统的性质和特征的影响，因此，在了解内部控制时，注册会计师应当考虑被审计单位是否通过建立有效的控制，以恰当应对由于使用信息技术系统或人工系统而产生的风险。

2012年注册会计师考试科目审计精选讲义第十一章汇总

2012年注册会计师考试科目审计精选讲义第十章汇总

（责任编辑：xll）