注册会计师

对于处理大量业务的复杂业务流程，被审计单位通常使用对程序修改的控制和访问控制，来确保自动控制的持续有效。

实施针对程序修改的控制，是为了确保所有对计算机程序的修改在实施前都经过适当的授权、测试以及核准。

实施访问控制，是为了确保只有经过授权的人员和程序才有权访问数据，且只能在预先授权情况下才能处理数据(如查询、执行和更新)。

程序修改的控制和访问控制通常不能直接防止错报，但对于确保自动控制在整个拟信赖期间内的有效性有着十分重要的作用。

(2)检查性控制。建立检查性控制的目的是发现流程中可能发生的错报(尽管有预防性控制还是会发生的错报)。被审计单位通过检查性控制，监督其流程和相应的预防性控制能否有效地发挥作用。检查性控制通常是管理层用来监督实现流程目标的控制。检查性控制可以由人工执行，也可以由信息系统自动执行。

检查性控制通常并不适用于业务流程中的所有交易，而适用于一般业务流程以外的已经处理或部分处理的某类交易，可能一年只运行几次，如每月将应收账款明细账与总账比较;也可能每周运行，甚至一天运行几次。

与预防性控制相比，不同被审计单位之间检查性控制差别很大。许多检查性控制取决于被审计单位的性质及执行人员的能力、习惯和偏好。检查性控制可能是正式建立的程序，如编制银行存款余额调节表，并追查调节项目或异常项目，也可能是非正式的程序。

有些检查性控制虽然并没有正式设定，但员工会有规律地执行并作记录，这些控制也是被审计单位内部控制的有机组成部分。例如，财务总监复核月度毛利率的合理性;信用管理部经理可能有一本记录每月到期应收款的备查簿，以确定这些应收款是否收到，并追查挂账的项目;财务总监实施特定的分析程序来确定某些费用与销售的关系是否与经验数据相符，如果不符，调查不符的原因并纠正其中的错报等。

如果确信存在以下情况，那么就可以将检查性控制作为一个主要的手段，来合理保证某特定认定发生重大错报的可能性较小：(1)控制所检查的数据是完整、可靠的;(2)控制对于发现重大错报足够敏感;(3)发现的所有重大错报都将被纠正。

需要注意的是，对控制的分类取决于控制运用的目的和方式，以及被审计单位和注册会计师对控制的认识。从根本上看，控制被归为哪类并不重要，重要的是它是否有效，以及注册会计师能否测试其有效性。业务流程中重要交易类别的有效控制应同时包括预防性控制和检查性控制，因为没有相应的预防性控制，检查性控制也不能充分发挥作用。

2.识别和了解相关控制。前已提及，业务流程中对重要交易类别的有效控制通常同时包括预防性控制和检查性控制。缺乏有效的预防性控制增加了错报的风险，因此，需要建立更为敏感的检查性控制。通常，注册会计师在识别检查性控制的同时，也记录重要的预防性控制。

注册会计师在判断对控制的了解是否足以制定一个有效的审计策略时，考虑的因素包括：重要交易类别的复杂性、信息技术应用环境的复杂性和一体化程度、错报发生的可能性和在业务流程中未被发现的可能性，以及该重要交易影响重大账户的程度。

注册会计师应当获取有关控制的足够信息，以使其能够识别控制，了解各种控制如何执行、由谁执行，以及执行中所使用的数据报告、文件和其他材料。此外，注册会计师也需要确认，执行控制之后所形成的实物证据是什么，以及该控制是否足够敏感，能够及时防止或发现并纠正重大错报。

识别和了解控制采用的主要方法是，询问被审计单位各级别的负责人员。业务流程越复杂，注册会计师越有必要询问信息系统人员，以辨别有关的控制。通常，应首先询问那些级别较高的人员，再询问级别较低的人员，以确定他们认为应该运行哪些控制，以及哪些控制是重要的。这种“从高到低”的询问方法使注册会计师能迅速地辨别被审计单位重要的控制，特别是检查性控制。如果注册会计师打算信赖控制，就需要实施控制测试。

从级别较低人员处获取的信息，应向级别较高的人员核实其完整性，以确定他们是否与级别较高的人员所理解的预定控制相符。这一步骤不仅可以向注册会计师提供有关实际执行的控制信息，而且可以使注册会计师了解管理层对控制运行情况的熟悉程度。

在询问过程中，注册会计师还应当了解各层次监督和管理人员如何确认预定的预防性控制和检查性控制正在按计划运行。此时，注册会计师可询问：“你们是怎样防止或发现某项错报的?”然后问：“你们采取什么措施来确保这些控制按设想的方式运行?”注册会计师应当重点关注被审计单位相关控制的运行情况，包括预防性控制和检查性控制的运行情况。从内部控制要素来看，还包括了对控制的监督活动。

在许多情况下，注册会计师可以通过与被审计单位讨论，了解确保信息系统生成数据的完整性与准确性的控制。这些检查性控制可能包括对输入与输出的数据进行比较，定期复核信息记录的数据，或监督生成数据与预期数据的差异。这些控制可能是正式制定的，也可能是非正式的程序。对生成数据与预期数据的差异，注册会计师应当了解控制如何识别和判断这些差异，如何追查这些差异以及纠正发现的错报。在评价这些控制时，应重点看其是否足够敏感，是否能查出所有重要的错报，包括那些在自动化信息系统中可能发生的错报。

需要指出的是，注册会计师并不需要了解与每一控制目标相关的所有控制活动。在了解控制活动时，注册会计师应当重点考虑一项控制活动单独或连同其他控制活动，是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。如果多项控制活动能够实现同一目标，注册会计师不必了解与该目标相关的每项控制活动。

例如，防止或发现某一特定的错报可能需要有多重控制，或者一项特别的控制目标是为了发现一种以上的潜在错报，为了实现该目标需要设置多项控制。例如，为实现销售的“存在性”这一控制目标，注册会计师可能要识别一种控制，该项控制的作用是保证出库单只为已经发出的货物编制。然而，注册会计师可能还要识别这样一种控制，其作用是保证销售发票只有在与一张出库单相匹配时才能开出并登记人账。而且，注册会计师也可能认定不管存在多少种潜在错报，某一特定的控制(如一个设计合理的检查性控制)自身可以足够有效地实现控制目标。例如，对实际发货数量与开票数量进行定期核对调节的程序本身就足以对销售流程中“存在性”这一目标提供合理保证，并且也能对销售流程中“完整性”这一目标提供合理保证。因此，在这种情况下，注册会计师只需了解对实际发货数量与开票数量进行定期核对调节的控制即可。

在实务中，注册会计师还会特别考虑一项检查性控制发现和纠正错报的能力。例如，将实际发货数量与开票数量进行核对调节的程序，比复核毛利率或进行实际销售和预算销售的比较更能发现未开票的发货，因为进行上述复核或比较的主要目的不是为了查出未开票的发货，也就是说，控制与认定直接或间接相关;关系越间接，控制对防止或发现并纠正认定错报的效果越小。注册会计师应考虑识别和了解与认定关系更直接、更有效的控制。

当然，如果在之后的穿行测试和评价中，注册会计师发现已识别的控制实际并未得到执行，则应当重新针对该项控制目标识别是否存在其他的控制。

3.记录相关控制。在被审计单位已设置的控制中，如果有可以对应“哪个环节需设置控制”问题的，注册会计师应将其记录于工作底稿，同时记录由谁执行该控制。注册会计师可以通过备忘录、笔记或复印被审计单位相关资料而逐步使信息趋于完整。

如果注册会计师对重要业务流程的记录符合下列条件，可以认为其是充分的：(1)该记录识别了所有重要交易类别;(2)该记录指出在业务处理流程中“在什么环节可能出错”，即在什么环节需要控制;(3)该记录描述了针对“在什么环节可能出错”建立的预防性控制与检查性控制，而且指出这些控制由准执行以及如何执行。

(五)执行穿行测试，证实对交易流程和相关控制的了解

为了解各类重要交易在业务流程中发生、处理和记录的过程，注册会计师通常会每年执行穿行测试。执行穿行测试可获得下列方面的证据：(l)确认对业务流程的了解;(2)确认对重要交易的了解是完整的，即在交易流程中所有与财务报表认定相关的可能发生错报的环节都已识别;(3)确认所获取的有关流程中的预防性控制和检查性控制信息的准确性;(4)评估控制设计的有效性;(5)确认控制是否得到执行;(6)确认之前所作的书面记录的准确性。

需要注意的是，如果不打算信赖控制，注册会计师仍需要执行穿行测试以确认以前对业务流程及可能发生错报环节了解的准确性和完整性。

对于重要的业务流程，不管是人工控制还是自动化控制，注册会计师都要对整个流程执行穿行测试，涵盖交易从发生到记账的整个过程。当某重要业务流程有显著变化时，注册会计师应当根据变化的性质，及其对相关账户发生重大错报的影响程度，考虑是否需要对变化前后的业务都执行穿行测试。

在执行穿行测试的过程中，注册会计师应当在每一个要执行处理程序或控制的环节上，询问被审计单位的员工，以了解他们对岗位职责的理解，并设法判断处理程序和控制是否得到执行。

例如，如果某项控制要求某一员工(复核人)在文件上签名以证明他复核过该份文件，注册会计师应当向其询问复核的性质，即对什么进行复核，复核的要点是什么，并确认注册会计师执行穿行测试时查阅的文件是否签过字，以及签字人是否为被询问的员工。更重要的是，注册会计师应当询问该员工，如果复核过程中发现了文件中的错误或其他差异，按规定他应该怎么做。如果可能，注册会计师可以检查发现过错误或其他差异的文件。

如果控制包括定期编制和分析调节表，比如银行存款余额调节表，注册会计师可以考虑：(1)复核一份或几份调节表，以确保所有相关的数据已准确及时地包括在调节表中;(2)关注对异常事项的处理;(3)询问当调节表揭示确实存在或可能存在错误时，应采取什么行动;(4)询问错误是怎么发生的;(5)如果可行的话，获取在调节过程中发现的错误得到改正的证据。

除了追踪文件和表格的实物流转外，注册会计师也会追踪信息系统中的数据和档案信息的流转程序。这种追踪可能包括以下程序：询问了解情况的被审计单位人员;查阅用户手册;在处理业务的终端现场观察处理客户的交易;以及复核输出报告文件的记录。

注册会计师应将对业务流程和相关控制的穿行测试情况，记录于工作底稿。记录的内容包括穿行测试中查阅的文件、穿行测试的程序以及注册会计师的发现和结论。

(六)进行初步评价和风险评估

1.对控制的初步评价。在识别和了解控制后，根据执行上述程序及获取的审计证据，注册会计师需要评价控制设计的合理性并确定其是否得到执行。

注册会计师对控制的评价结论可能是：(1)所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报，并得到执行;(2)控制本身的设计是合理的，但没有得到执行;(3)控制本身的设计就是无效的或缺乏必要的控制。

由于对控制的了解和评价是在穿行测试完成后但又在测试控制运行有效性之前进行的，因此，上述评价结论只是初步结沦，仍可能随控制测试后实施实质性程序的结果而发生变化。

2.风险评估需考虑的因素。注册会计师对控制的评价，进而对重大错报风险的评估，需考虑以下因素：

(1)账户特征及已识别的重大错报风险。如果已识别的重大错报风险水平为高(例如，复杂的发票计算或计价过程增加了开票错报的风险;经营的季节性特征增加了在旺季发生错报的风险)，相关的控制应有较高的敏感度，即在错报率较低的情况下也能防止或发现并纠正错报。相反，如果已发现的重大错报风险水平为低(例如，在一个较小的、劳动力相对稳定的公司中员工工薪的会计处理未能实现恰当准确性目标的风险)，相关的控制就无须具有像重大错报风险较高时那样的敏感性。

(2)对被审计单位整体层面控制的评价。注册会计师应将对整体层面获得的了解和结论，同在业务流程层面获得的有关重大交易流程及其控制的证据结合起来考虑。

在评价业务流程层面的控制要素时，考虑的影响因素可能包括：管理层及执行控制的员工表现出来的胜任能力及诚信度;员工受监督的程度及员工流动的频繁程度;管理层凌驾于控制之上的潜在可能性;缺乏职责划分，包括信息技术系统中自动化的职责划分的情况;所审计期间内部审计人员或其他监督人员测试控制运行情况的程度;业务流程变更产生的影响，如变更期间控制程序的有效性是否受到了削弱;在被审计单位的风险评估过程中，所识别的与某项控制运行相关的风险，以及对于该控制是否有进一步的监督。注册会计师同时也要考虑其识别出针对某控制的风险，被审计单位是否也识别出该风险，并采取了适当的措施来降低该风险。

2012年注册会计师考试科目审计精选讲义第十一章汇总

2012年注册会计师考试科目审计精选讲义第十章汇总

（责任编辑：xll）