内部审计是注册会计师审计的基础

第三节　了解被审计单位的内部控制

注册会计师应当了解与审计相关的内部控制以识别潜在错报的类型，考虑导致重大错报风险的因素以及设计和实施进一步审计程序的性质、时间和范围。

一、内部控制的基本理论

(一)内部控制的含义及发展

1.内部控制的内涵和要素。内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。

对内部控制含义的理解应把握以下几方面:(1)内部控制的目标是合理保证:①财务报告的可靠性，这一目标与管理层履行财务报告编制责任密切相关;②经营的效率和效果，即经济有效地使用企业资源，以最优方式实现企业的目标;③在经营活动中不违反法律、法规的要求，即在法律、法规的框架下从事经营活动。(2)设计和实施内部控制的责任主体是治理层、管理层和其他人员，组织中的每一个人都对内部控制负有责任。(3)实现内部控制目标的手段是设计和执行控制政策和程序。

内部控制主要包括控制环境、风险评估过程、信息系统与沟通、控制活动和对控制的监督五个要素。

2.内部控制的发展。迄今为止，内部控制大致经历了五个发展阶段:

(1)内部牵制阶段，主要是20世纪40年代前。适应这一时期生产力落后、大规模商品生产尚不发达的特点，内部控制主要表现为对会计账目和会计工作实施岗位分离和相互牵制，使任何一个部门或人员都不能独立地控制会计账目，并且使两个或两个以上的部门和人员能够对会计账目实现交叉检查或交叉控制。这一阶段内部控制的目的，主要是保证财产物资安全和会计记录真实。随着经济社会的发展，内部控制日益超越内部牵制的范畴，但内部牵制的基本理念在内部控制中仍然发挥着重要作用。

(2)内部控制制度阶段，主要是20世纪40年代至80年代前。适应这一时期资本主义商品经济快速发展、所有权与经营权进一步分离的特点，在注册会计师行业的推动下，内部控制由早期的比较单一的内部牵制逐渐演变为涉及组织结构、岗位职责、人员素质、业务处理程序和内部审计等比较严密的内部控制制度体系。在这一阶段，建立健全内部控制制度开始上升为法律要求;同时，为适应注册会计师评价企业内部控制状况的需要，一些国家开始将内部控制划分为内部会计控制和内部管理控制，其中，内部会计控制主要是针对会计记录系统和相关的资产保护实施的控制，内部管理控制主要是针对经济决策、交易授权、组织规划等实施的控制。

(3)内部控制结构阶段，主要是20世纪80年代。在这一阶段，内部控制由偏重研究具体的控制程序和方法，发展为对内部控制系统的全方位研究，突出的变化和重要的成果是日益重视对控制环境的研究。以美国为首的部分国家和地区提出的内部控制结构，主要包括控制环境、会计系统和控制程序三个部分，其中，控制环境包括组织结构设置、职责权限确定、管理者的经营风格和员工的素质等，在内部控制中居于基础环节;会计系统包括对各项经济业务的确认、计量、记录、报告等;控制程序包括授权批准、不相容职务相互分离、对资产的限制接触和对经济业务的独立审核等。

(4)内部控制整体框架阶段，主要是20世纪90年代。这一阶段的标志性成果是美国COSO委员会于1992年提交的研究报告——《内部控制——整体框架》，该报告在1994年进行了增补。COSO委员会是全美反欺诈性财务报告委员会的五个发起组织的简称。该委员会在研究报告中提出，内部控制由五个相互联系、相互作用的要素组成，即控制环境、风险评估、控制活动、信息与沟通、监控。这一阶段内部控制研究的突破，一是强调风险评估在内部控制中的重要作用;二是强调信息与沟通是强化内部控制的重要途径;三是强调对内部控制系统本身的监控是内部控制发挥作用的关键环节。由于《内部控制——整体框架》发表后得到了美国会计总署和证券交易委员会等的认可，其在美国乃至其他许多国家都产生了广泛影响。

(5)企业风险管理与内部控制阶段，主要是20世纪90年代末至今。这一阶段的标志性成果是COSO委员会于2004年9月发布的研究报告——《企业风险管理——整合框架》。将内部控制上升至全面风险管理的高度来认识是这一阶段的显著变化。基于这一认识，COSO委员会提出了八要素理论，即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。

根据COSO委员会的这份研究报告，内部控制的目标、要素与组织层级之间形成了一个相互作用、紧密相连的有机统一体系;同时，对内部控制要素的进一步细分和充实，使内部控制与风险管理日益融合，拓展了内部控制的内涵和外延。

需要强调的是，美国《2002年公众公司会计改革和投资者保护法》(简称萨班斯法案)的颁布，对这一阶段的内部控制产生了广泛而深刻的影响。萨班斯法案对内部控制的规定主要集中在302条和404条。根据302条款的规定，上市公司的首席执行官和首席财务官要在对外披露的财务报告(一般为年报和季报)中声明对建立和维护本公司的内部控制负责;首席执行官和首席财务官要对本公司内部控制的有效性进行评估，并向外部审计师说明其存在的重大缺陷和不足。根据404条款的规定，上市公司应在年度报告中增加对内部控制的报告内容，该报告应当声明公司管理层对建立和维护财务报告内部控制的责任以及管理层对公司内部控制有效性的评估意见;公司的外部审计师应当依据上市公司会计监管委员会制定的审计准则，对管理层提交的内部控制评估意见进行再评价，并出具评价报告。

值得指出的是，《审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》采用了COSO委员会发布的《内部控制——整体框架》对内部控制要素的分类，被审计单位可能并不一定采用这种分类方式来设计和执行内部控制。无论对内部控制要素如何进行分类，注册会计师都应当重点考虑被审计单位某项控制是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报，即重要的是控制能否实现控制目标。注册会计师可以使用不同的框架和术语描述内部控制的不同方面，但必须涵盖上述内部控制五个要素所涉及的各个方面。

被审计单位设计和执行内部控制的具体方法会因被审计单位的规模和复杂程度的不同而不同。小型被审计单位通常采用非正式和简单的内部控制实现其目标，参与日常经营管理的业主可能会承担多项职责，内部控制要素没有得到清晰区分。注册会计师应当综合考虑小型被审计单位内部控制要素能否实现其目标。

(二)与审计相关的控制

内部控制的目标旨在合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守。注册会计师审计的目标是对财务报表是否不存在重大错报发表审计意见，尽管要求注册会计师考虑与财务报表编制相关的内部控制，但目的并非对被审计单位内部控制的有效性发表意见。因此，注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。

1.为实现财务报告可靠性目标设计和实施的控制。与审计相关的控制包括被审计单位为实现财务报告可靠性目标设计和实施的控制。注册会计师应当运用职业判断，考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序有关。在运用职业判断时，注册会计师应当考虑下列因素:(1)注册会计师确定的重要性水平;(2)被审计单位的性质，包括组织结构和所有制的性质;(3)被审计单位的规模;(4)被审计单位经营的多样性和复杂性;(5)法律法规和监管要求;(6)作为内部控制组成部分的系统的性质和复杂性。

2.其他与审计相关的控制。如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息，注册会计师应当考虑用以保证该信息完整性和准确性的控制可能与审计相关。注册会计师以前的经验以及在了解被审计单位及其环境过程中获得的信息，可以帮助注册会计师识别与审计相关的控制。

如果用以保证经营效率、效果的控制以及对法律法规遵守的控制与实施审计程序时评价或使用的数据相关，注册会计师应当考虑这些控制可能与审计相关。

用以保护资产的内部控制可能包括与实现财务报告可靠性和经营效率、效果目标相关的控制。注册会计师在了解保护资产的内部控制各项要素时，可仅考虑其中与财务报告可靠性目标相关的控制。例如，保护存货安全的控制可能与审计相关，但在生产中防止材料浪费的控制通常就与审计不相关。材料是否经济有效地使用与审计目标并不直接相关，只有在所用材料的成本没有在财务报表中如实反映时，才会影响财务报表的可靠性。

(三)对内部控制了解的深度

对内部控制了解的深度，是指在了解被审计单位及其环境时对内部控制了解的程度。包括评价控制的设计并确定其是否得到执行，但不包括对控制是否得到一贯执行的测试。

1.评价控制的设计。注册会计师在了解内部控制时，应当评价控制的设计，并确定其是否得到执行。评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。控制得到执行是指某项控制存在且被审计单位正在使用。设计不当的控制可能表明内部控制存在重大缺陷，注册会计师在确定是否考虑控制得到执行时，应当首先考虑控制的设计。如果控制设计不当，不需要再考虑控制是否得到执行。

2.获取控制设计和执行的审计证据。注册会计师通常实施下列风险评估程序，以获取有关控制设计和执行的审计证据:(1)询问被审计单位的人员;(2)观察特定控制的运用;(3)检查文件和报告;(4)追踪交易在财务报告信息系统中的处理过程(穿行测试)。这些程序是风险评估程序在了解被审计单位内部控制方面的具体运用。

需要注意的是，询问本身并不足以评价控制的设计以及确定其是否得到执行，注册会计师应当将询问与其他风险评估程序结合使用。

3.了解内部控制与测试内部控制运行有效性的关系。在审计过程中，除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解并不能够代替对控制运行有效性的测试。

(四)内部控制的人工和自动化成分

内部控制可能既包括人工成分又包括自动化成分，在风险评估以及设计和实施进一步审计程序时，注册会计师应当考虑内部控制的人工和自动化特征及其影响。内部控制采用人工系统还是自动化系统，将影响交易生成、记录、处理和报告的方式。在以人工为主的系统中，内部控制一般包括批准和复核业务活动，编制调节表并对调节项目进行跟踪。

1.信息技术的优势及相关内部控制风险。信息技术通常在下列方面提高被审计单位内部控制的效率和效果:(1)在处理大量的交易或数据时，一贯运用事先确定的业务规则，并进行复杂运算;(2)提高信息的及时性、可获得性及准确性;(3)有助于对信息的深入分析;(4)加强对被审计单位政策和程序执行情况的监督;(5)降低控制被规避的风险;(6)通过对操作系统、应用程序系统和数据库系统实施安全控制，提高不相容职务分离的有效性。

但是，信息技术也可能对内部控制产生特定风险。注册会计师应当从下列方面了解信息技术对内部控制产生的特定风险:(1)系统或程序未能正确处理数据或处理了不正确的数据，抑或两种情况并存;(2)在未得到授权情况下访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易或不正确地记录了交易;(3)信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工;(4)未经授权改变主文档的数据;(5)未经授权改变系统或程序;(6)未能对系统或程序做出必要的修改;(7)不恰当的人为干预;(8)数据丢失的风险或不能访问所需要的数据。

2.人工控制的优势及相关内部控制风险。尽管自动化控制有一定的优势，但内部控制的人工成分在处理下列需要主观判断或酌情处理的情形时可能更为适当:(1)存在大额、异常或偶发的交易;(2)存在难以定义、防范或预见的错误;(3)为应对情况的变化，需要对现有的自动化控制进行调整;(4)监督自动化控制的有效性。

但是，由于人工控制由人执行，受人为因素的影响，也产生了特定风险。注册会计师应当从下列方面了解人工控制产生的特定风险:(1)人工控制可能更容易被规避、忽视或凌驾;(2)人工控制可能不具有一贯性;(3)人工控制可能更容易产生简单错误或失误。相对于自动控制，人工控制的可靠性较差。为此，注册会计师应当考虑人工控制在下列情形中可能是不适当的:(1)存在大量或重复发生的交易;(2)事先可预见的错误能够通过自动化控制得以防范或发现;(3)控制活动可得到适当设计和自动化处理。

内部控制风险的程度和性质受被审计单位信息系统的性质和特征的影响。在了解内部控制时，注册会计师应当考虑被审计单位是否通过建立有效的控制，以恰当应对由于使用信息技术系统或人工系统而产生的风险。

(五)内部控制的局限性

内部控制存在固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证。其固有局限性包括:

1.在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。

2.可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。

此外，如果被审计单位内部行使控制职能的人员素质不适应岗位要求，也会影响内部控制功能的正常发挥。被审计单位实施内部控制的成本效益问题也会影响其效能，当实施某项控制成本大于控制效果而发生损失时，就没有必要设置控制环节或控制措施。内部控制一般都是针对经常而重复发生的业务而设置的，如果出现不经常发生或未预计到的业务，原有控制就可能不适用。

小型被审计单位拥有的员工通常较少，限制了其职责分离的程度。业主凌驾于内部控制之上的可能性较大，注册会计师应当考虑一些关键领域是否存在有效的内部控制。

二、了解控制环境

控制环境包括治理职能和管理职能以及治理层和管理层对内部控制及其重要性的态度、认识和措施。在评价控制环境的设计和实施情况时，注册会计师应当了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。实际上，在审计业务承接阶段，注册会计师就需要对控制环境做出初步了解和评价。控制环境设定了被审计单位的内部控制基调，影响员工对内部控制的认识和态度。良好的控制环境是实施有效内部控制的基础。

(一)了解的具体内容

在评价控制环境的设计时，注册会计师应当考虑构成控制环境的下列要素以及这些要素如何被纳入被审计单位的业务流程。

1.对诚信和道德价值观念的沟通与落实。诚信和道德价值观念是控制环境的重要组成部分，影响到重要业务流程的设计和运行。注册会计师在了解和评估被审计单位诚信和道德价值观念的沟通与落实时，考虑的主要因素可能包括:(1)被审计单位是否有书面的行为规范并向所有员工传达;(2)被审计单位的企业文化是否强调诚信和道德价值观念的重要性;(3)管理层是否身体力行，高级管理人员是否起表率作用;(4)对违反有关政策和行为规范的情况，管理层是否采取适当的惩罚措施。

2.对胜任能力的重视。胜任能力是指具备完成某一职位的工作所应有的知识和能力。注册会计师在就被审计单位对胜任能力的重视情况进行了解和评估时，考虑的主要因素一般包括:(1)财会人员以及信息管理人员是否具备与被审计单位业务性质和复杂程度相称的足够的胜任能力和培训，在发生错误时，是否通过调整人员或系统来加以处理;(2)管理层是否配备了足够的财会人员以适应业务发展和有关方面的需要;(3)财会人员是否具备理解和运用会计准则所需的技能。

3.治理层的参与程度。被审计单位的控制环境在很大程度上受治理层的影响。注册会计师在对被审计单位治理层的参与程度进行了解和评估时，考虑的主要因素可能包括:(1)董事会是否建立了审计委员会或类似机构;(2)董事会、审计委员会或类似机构是否与内部审计人员以及注册会计师有联系和沟通，联系和沟通的性质以及频率是否与被审计单位的规模和业务复杂程度相匹配;(3)董事会、审计委员会或类似机构的成员是否具备适当的经验和资历;(4)董事会、审计委员会或类似机构是否独立于管理层;(5)审计委员会或类似机构会议的数量和时间是否与被审计单位的规模和业务复杂程度相匹配;(6)董事会、审计委员会或类似机构是否充分地参与了监督编制财务报告的过程;(7)董事会、审计委员会或类似机构是否对经营风险的监控有足够的关注，进而影响被审计单位和管理层的风险评估进程(包括舞弊风险);(8)董事会成员组成是否保持相对的稳定性。

4.管理层的理念和经营风格。管理层的理念包括管理层对内部控制的理念，即管理层对内部控制以及对具体控制实施环境的重视程度。管理层的经营风格是指管理层所能接受的业务风险的性质。注册会计师在了解和评估被审计单位管理层的理念和经营风格时，考虑的主要因素可能包括:(1)管理层是否对内部控制，包括信息技术的控制，给予了适当的关注;(2)管理层是否由一个或几个人所控制，董事会、审计委员会或类似机构对其是否实施有效监督;(3)管理层在承担和监控经营风险方面是风险偏好者还是风险规避者;(4)管理层在选择会计政策和做出会计估计时是倾向于激进还是保守;(5)管理层对于信息管理人员以及财会人员是否给予了适当关注;(6)对于重大的内部控制和会计事项，管理层是否征询注册会计师的意见或者经常在这些方面与注册会计师存在不同意见。

5.组织结构及职权与责任的分配。被审计单位的组织结构为计划、运作、控制及监督经营活动提供了一个整体框架。注册会计师在对被审计单位组织结构和职权与责任的分配进行了解和评估时，考虑的主要因素可能包括:(1)在被审计单位内部是否有明确的职责划分，是否将业务授权、业务记录、资产保管和维护以及业务执行的责任尽可能地分离;(2)数据的所有权划分是否合理;(3)是否已针对授权交易建立适当的政策和程序。

6.人力资源政策与实务。政策与程序(包括内部控制)的有效性通常取决于执行人。注册会计师在对被审计单位人力资源政策与实务进行了解和评估时，考虑的主要因素可能包括:(1)被审计单位在招聘、培训、考核、晋升、薪酬、调动和辞退员工方面是否都有适当的政策和程序(特别是在会计、财务和信息系统方面);(2)是否有书面的员工岗位职责手册，或者在没有书面文件的情况下，对于工作职责和期望是否做了适当的沟通和交流;(3)人力资源政策与程序是否清晰并且定期发布和更新;(4)是否对分散在各地区和海外的经营人员建立了人力资源政策与程序。

(二)了解控制环境的程序

在评价控制环境各个要素时，注册会计师应当考虑控制环境各个要素是否得到执行。因为管理层也许建立了合理的内部控制，但却未有效执行。在确定构成控制环境的要素是否得到执行时，注册会计师应当考虑将询问与其他风险评估程序相结合以获取审计证据。

(三)考虑控制环境的总体优势及缺陷

控制环境对重大错报风险的评估具有广泛影响，注册会计师应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的基础，并且未被控制环境中存在的缺陷所削弱。控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报，注册会计师在评估重大错报风险时应当将控制环境连同其他内部控制要素产生的影响一并考虑。

三、了解被审计单位的风险评估过程

任何经济组织在经营活动中都会面临各种各样的风险，风险评估过程的作用是识别、评估和管理影响被审计单位实现经营目标能力的各种风险。被审计单位的风险评估过程包括识别与财务报告相关的经营风险以及针对这些风险所采取的措施。注册会计师应当了解被审计单位的风险评估过程和结果。

(一)可能产生风险的事项和情形

可能产生风险的事项和情形包括:(1)监管及经营环境的变化会导致竞争压力的变化以及重大的相关风险;(2)新员工的加入，新员工可能对内部控制有不同的认识和关注点;(3)新信息系统或对原系统进行升级，信息系统的重大变化会改变与内部控制相关的风险;(4)业务快速发展可能会使内部控制难以应对，从而增加内部控制失效的可能性;(5)新技术。将新技术运用于生产过程和信息系统可能会改变与内部控制相关的风险;(6)新生产型号、产品和业务活动。进入新的业务领域和发生新的交易可能会带来新的与内部控制相关的风险;(7)企业重组可能会带来裁员以及管理职责的重新划分，将影响与内部控制相关的风险;(8)发展海外经营会带来新的并且往往是特别的风险，进而可能影响内部控制，如外币交易的风险;(9)新的会计准则。采用新的或变化了的会计准则可能会增大财务报告发生重大错报的风险。

(二)对风险评估过程的了解

1.评价风险评估过程的设计与执行。了解被审计单位的风险评估过程和结果有助于注册会计师识别财务报表重大错报的风险。注册会计师在对被审计单位整体层面的风险评估过程进行了解和评估时，考虑的主要因素可能包括:(1)被审计单位是否已建立并沟通其整体目标并辅以具体策略和业务流程层面的计划;(2)被审计单位是否具有风险评估过程，包括识别风险、估计风险的重大性、评估风险发生的可能性以及确定需要采取的应对措施;(3)被审计单位是否已建立某种机制，识别和应对可能对被审计单位产生重大且普遍影响的变化，例如，在金融机构中建立资产负债管理委员会，在制造型企业中建立期货交易风险管理组等;(4)会计部门是否建立了某种流程，以识别会计准则的重大变化;(5)当被审计单位业务操作发生变化并影响交易记录的流程时，是否存在沟通渠道以通知会计部门;(6)风险管理部门是否建立了某种流程，以识别经营环境发生的重大变化。

2.向管理层询问识别出的经营风险。注册会计师应当询问管理层识别出的经营风险，并考虑这些风险是否可能导致重大错报。在审计过程中，如果识别出管理层未能识别的重大错报风险，注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险以及评估过程是否适合于具体环境。例如，在销售循环中，如果发现了销售的截止性错报的风险，注册会计师应当考虑管理层是否也识别了该错报风险以及管理层如何应对该风险。

四、了解信息系统与沟通

信息系统与沟通是收集与交换被审计单位执行、管理和控制业务活动所需信息的过程，包括收集和提供信息给适当人员，使之能够履行职责。信息系统与沟通的质量直接影响到管理层对经营活动做出正确决策和编制可靠的财务报告的能力。

(一)了解与财务报告相关的信息系统

1.与财务报告相关的信息系统及其职能。与财务报告相关的信息系统包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。与财务报告相关的信息系统应当与业务流程相适应。业务流程是指被审计单位开发、采购、生产、销售、发送产品和提供服务、保证遵守法律法规、记录信息等一系列活动。

与财务报告相关的信息系统所生成信息的质量对管理层能否做出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。与财务报告相关的信息系统通常包括下列职能:(1)识别与记录所有的有效交易;(2)及时、详细地描述交易，以便在财务报告中对交易做出恰当分类;(3)恰当计量交易，以便在财务报告中对交易的金额做出准确记录;(4)恰当确定交易生成的会计期间;(5)在财务报表中恰当列报交易。

2.了解与财务报告相关的信息系统。注册会计师应当从下列各方面了解与财务报告相关的信息系统:(1)在被审计单位经营过程中，对财务报表具有重大影响的各类交易;(2)在信息技术和人工系统中，对交易生成、记录、处理和报告的程序;(3)与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目;(4)信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况的信息;(5)被审计单位编制财务报告的过程，包括做出的重大会计估计和披露;(6)管理层凌驾于账户记录控制之上的风险。

(二)对与财务报告相关的沟通的了解

与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责、员工之间的工作联系以及向适当级别的管理层报告例外事项的方式。

公开的沟通渠道有助于确保例外情况得到报告和处理。沟通可以采用政策手册、会计和财务报告手册及备忘录等形式进行，也可以通过发送电子邮件、口头沟通和管理层的行动来进行。

注册会计师在对与财务报告相关的沟通进行了解和评估时，考虑的主要问题可能包括:(1)管理层就员工的职责和控制责任是否进行了有效沟通;(2)针对可疑的不恰当事项和行为是否建立了沟通渠道;(3)组织内部沟通的充分性是否能够使人员有效地履行职责;(4)对于与客户、供应商、监管者和其他外部人士的沟通，管理层是否及时采取适当的进一步行动;(5)被审计单位是否受到某些监管机构发布的监管要求的约束;(6)外部人士，如客户和供应商在多大程度上获知被审计单位的行为守则。

五、了解控制活动

控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。注册会计师应当了解控制活动，以足够评估认定层次的重大错报风险和针对评估的风险设计进一步的审计程序。

(一)控制活动的构成

1.授权。注册会计师应当了解与授权有关的控制活动，包括一般授权和特别授权。授权的目的在于保证交易在管理层授权范围内进行。一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。特别授权是指管理层针对特定类别的交易或活动逐一设置的授权，如重大资本支出和股票发行等。特别授权也可能用于超过一般授权限制的常规交易。例如，同意因某些特别原因，对某个不符合一般信用条件的客户赊购商品。

2.业绩评价。注册会计师应当了解与业绩评价有关的控制活动，主要包括被审计单位分析评价实际业绩与预算(或预测、前期业绩)的差异，综合分析财务数据与经营数据的内在关系，将内部数据与外部信息来源相比较，评价职能部门、分支机构或项目活动的业绩，以及对发现的异常差异或关系采取必要的调查与纠正措施。

3.信息处理。注册会计师应当了解与信息处理有关的控制活动，包括信息技术一般控制和应用控制。其中，信息技术一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续、恰当地运行(包括信息的完整性和数据的安全性)，支持应用控制作用的有效发挥，通常包括数据中心和网络运行控制、系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制。例如，程序改变的控制、限制接触程序和数据的控制、与新版应用软件包实施有关的控制等都属于信息技术一般控制。信息技术应用控制是指主要在业务流程层面运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通常包括检查数据计算准确性、审核账户和试算平衡表、设置对输入数据和数字序号的自动检查以及对例外报告进行人工干预。

4.实物控制。注册会计师应当了解实物控制，主要包括了解对资产和记录采取适当的安全保护措施，对访问计算机程序和数据文件设置授权以及定期盘点并将盘点记录与会计记录相核对。实物控制的效果将影响资产的安全，从而对财务报表的可靠性及审计产生影响。

5.职责分离。注册会计师应当了解职责分离，主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。当信息技术运用于信息系统时，职责分离可以通过设置安全控制来实现。

(二)对控制活动的了解

在了解控制活动时，注册会计师应当重点考虑一项控制活动单独或连同其他控制活动是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。注册会计师的工作重点是识别和了解针对重大错报可能发生的领域的控制活动。如果多项控制活动能够实现同一目标，注册会计师不必了解与该目标相关的每项控制活动。在了解其他内部控制要素时，如果获取了控制活动是否存在的信息，注册会计师应当确定是否有必要进一步了解这些控制活动。

注册会计师对被审计的整体层面的控制活动进行的了解和评估，主要是针对被审计单位的一般控制活动，特别是信息技术的一般控制。在了解和评估控制活动时考虑的主要问题可能包括:(1)被审计单位的主要经营活动是否都有必要的控制政策和程序;(2)管理层在预算、利润和其他财务与经营业绩方面是否都有清晰的目标，在被审计单位内部是否对这些目标加以清晰地记录和沟通，并且积极地对其进行监控;(3)是否存在计划和报告系统，以识别与目标业绩的差异，并向适当层次的管理层报告该差异;(4)是否由适当层次的管理层对差异进行调查，并及时采取适当的纠正措施;(5)不同人员的职责应在何种程度上相分离，以降低舞弊和不当行为发生的风险;(6)会计系统中的数据是否与实物资产定期核对;(7)是否建立了适当的保护措施，以防止未经授权接触文件、记录和资产;(8)是否存在信息安全职能部门负责监控信息安全政策和程序。

六、了解对控制的监督

管理层的重要职责之一就是建立和维护控制并保证其持续有效运行，对控制的监督可以实现这一目标。对控制的监督是指被审计单位评价内部控制在一段时间内的运行有效性的过程，该过程包括及时评价控制的设计和运行以及根据情况的变化采取必要的纠正措施。监督对控制的持续有效运行十分重要。注册会计师应当了解被审计单位对与财务报告相关的内部控制的监督活动，并了解其如何采取纠正措施。

(一)了解对控制的持续监督和专门评价活动

注册会计师应当了解被审计单位对控制的持续监督活动和专门的评价活动。通常，被审计单位通过持续的监督活动、专门的评价活动或两者相结合，实现对控制的监督。

持续的监督活动通常贯穿于被审计单位的日常经营活动与常规管理工作中。被审计单位可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价。被审计单位也可能利用与外部有关各方沟通或交流所获取的信息监督相关的控制活动。

注册会计师在对被审计单位整体层面的监督进行了解和评估时，主要考虑的问题可能包括:(1)被审计单位是否定期评价内部控制;(2)被审计单位人员在履行正常职责时，能够在多大程度上获得内部控制是否有效运行的证据;(3)与外部的沟通能够在多大程度上证实内部产生的信息或者指出存在的问题;(4)管理层是否会采纳内部审计人员和注册会计师有关内部控制的建议;(5)管理层是否及时纠正控制运行中的偏差;(6)管理层根据监管机构的报告及建议是否及时采取纠正措施;(7)是否存在协助管理层监督内部控制的职能部门(如内部审计部门)。如存在，对内部审计职能需进一步考虑的因素包括:①独立性和权威性;②向谁报告;③是否有足够的人员、培训和特殊技能;④是否坚持适用的专业准则;⑤活动的范围;⑥计划、风险评估和执行工作的记录和形成结论的适当性;⑦是否不承担经营管理责任。

(二)了解与监督活动相关的信息来源

用于监督活动的很多信息都由被审计单位的信息系统产生，这些信息可能会存在错报，从而导致管理层从监督活动中得出错误的结论。所以，注册会计师应当了解与被审计单位监督活动相关的信息来源，以及管理层认为信息具有可靠性的依据。如果拟利用被审计单位监督活动使用的信息(包括内部审计报告)，注册会计师应当考虑该信息是否具有可靠的基础，是否足以实现审计目标。

需要指出的是，内部控制的某些要素(如控制环境)更多地对被审计单位整体层面产生影响，而其他要素(如信息系统和沟通、控制活动)则可能更多地与特定业务流程相关。在实务中，注册会计师往往从被审计单位整体层面和业务流程层面分别了解和评价被审计单位的内部控制。

七、在整体层面对内部控制了解和评估的总结

1.了解人员。在整体层面对被审计单位内部控制的了解和评估，通常由项目组中对被审计单位情况比较了解且较有经验的成员负责，同时需要项目组其他成员的参与和配合。

2.了解重点。对于连续审计，注册会计师可以重点关注整体层面内部控制的变化情况，包括由于被审计单位及其环境的变化而导致内部控制发生的变化以及采取的对策。注册会计师还需要特别考虑因舞弊而导致重大错报的可能性及其影响。

3.了解方法。注册会计师可以考虑将询问被审计单位人员、观察特定控制的应用、检查文件和报告以及执行穿行测试等风险评估程序相结合，以获取审计证据。在了解上述内部控制的构成要素时，注册会计师需要特别注意这些要素在实际中是否得到执行。

4.了解内容。在了解内部控制的各构成要素时，注册会计师应当对被审计单位整体层面的内部控制的设计进行评价，并确定其是否得到执行。注册会计师应当考虑管理层本身的理念和态度、实际设计和执行的控制以及对经营活动的密切参与是否能够实现控制的目标。

5.对了解的记录。注册会计师应当将对被审计单位整体层面内部控制各要素的了解要点和实施的风险评估程序及其结果等形成审计工作记录，并对影响注册会计师对整体层面内部控制有效性进行判断的因素加以详细记录。

6.整体层面的内部控制与控制环境及业务流程层面内部控制的关系。财务报表层次的重大错报风险很可能源于薄弱的控制环境，因此注册会计师在评估财务报表层次的重大错报风险时，应当将被审计单位整体层面的内部控制状况和了解到的被审计单位及其环境其他方面的情况结合起来考虑。被审计单位整体层面的内部控制是否有效将直接影响重要业务流程层面控制的有效性，进而影响注册会计师拟实施的进一步审计程序的性质、时间和范围。

八、在业务流程层面了解和评估内部控制

由于内部控制的各个要素，尤其是信息系统与沟通和控制活动更多地体现在业务流程层面，因此注册会计师应当从被审计单位重要业务流程层面了解内部控制，并据此评价认定层次的重大错报风险，进而针对评估的风险设计和实施进一步审计程序。在实际工作中，注册会计师应当根据被审计单位实际情况对被审计单位重要业务流程层面的内部控制做出了解和评估。

(一)在重要业务流程层面了解和评估内部控制的一般步骤

1.了解时间和目的。在初步计划审计工作时，注册会计师需要确定在被审计单位财务报表中可能存在的重大错报风险的重大账户及其相关认定。

2.了解步骤。为实现上述目的，通常采取下列步骤:(1)确定被审计单位的重要业务流程和重要交易类别;(2)了解重要交易流程并记录获得的信息;(3)确定可能发生错报的环节;(4)识别和了解相关控制;(5)执行穿行测试，证实对交易流程和相关控制的了解;(6)进行初步评价和风险评估。在实务中，上述步骤可能同时进行，例如，在询问相关人员的过程中，同时了解了重要交易的流程和相关控制。

对上述在重要业务流程层面了解和评估内部控制的一般步骤，我们仅就第(1)条和第(6)条的有关内容进行说明。更多详细内容，请参见《中国注册会计师执业准则指南(2007年修订)》。

3.确定重要业务流程和重要交易类别。在实务中，将被审计单位的整个经营活动划分为几个重要的业务循环，有助于注册会计师更有效地了解和评估重要业务流程及相关控制。通常，对制造业企业，可以划分为销售与收款循环、采购与付款循环、存货与仓储循环、筹资与投资循环等。重要交易类别是指可能对被审计单位财务报表产生重大影响的各类交易。重要交易类别应与相关账户及其认定相联系，例如，对于一般制造业企业，销售收入和应收账款通常是重大账户，销售和收款都是重要交易类别。除了一般所理解的交易以外，对财务报表具有重大影响的事项和情况也应包括在内，例如，计提资产的折旧或摊销，考虑应收款项的可回收性和计提坏账准备等。

4.初步评价和风险评估

(1)对控制的初步评价。在识别和了解控制后，根据执行上述程序及获取的审计证据，注册会计师需要评价控制设计的合理性并确定其是否得到执行。注册会计师对控制的评价结论可能是:①所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报并得到执行;②控制本身的设计是合理的，但没有得到执行;③控制本身的设计就是无效的或缺乏必要的控制。由于对控制的了解和评价是在穿行测试完成后，但又在测试控制运行有效性之前进行，因此上述评价结论只是初步结论，仍可能随控制测试后实施实质性程序的结果而发生变化。

(2)风险评估需考虑的因素。注册会计师对控制的评价及其后对重大错报风险的评估，需考虑以下因素:①账户特征及已识别的重大错报风险。如果已识别的重大错报风险水平为高，相关的控制应有较高的敏感度，即在错报率较低的情况下也能防止或发现并纠正错报。相反，如果已发现的重大错报水平为低，相关的控制就无须具有像重大错报风险较高时那样的敏感性;②对被审计单位整体层面控制的评价。注册会计师应将对整体层面获得的了解和结论，同在业务流程层面获得的有关重大交易流程及其控制的证据结合起来考虑。

(3)评价决策。在对控制进行初步评价及风险评估后，注册会计师需要利用实施上述程序获得的信息回答以下问题:①控制本身的设计是否合理。注册会计师需要根据上述的考虑因素判断，如果识别的控制设计合理，该控制在重要业务流程中单独或连同其他控制能否有效地实现特定控制目标;②控制是否得到执行。如果设计合理的控制没有得到执行，该控制也不会发挥应有的作用。因此，注册会计师需要获取审计证据，评价这类控制是否确实存在且正在被使用;③是否更多地信赖控制并拟实施控制测试。如果认为被审计单位控制设计合理并得到执行，能够有效防止或发现并纠正重大错报，那么注册会计师通常可以信赖这些控制，减少拟实施的实质性程序。如果拟更多地信赖这些控制，需要确定所信赖的控制在整个拟信赖期间都有效地发挥了作用，即注册会计师应对这些控制在该期间内是否得到一贯运行进行测试。拟信赖该控制的期间可能是整个年度，也可能是其中某一时段。如果控制测试的结果进一步证实内部控制是有效的，注册会计师可以认为相关账户及认定发生重大错报的可能性较低，对相关账户及认定实施实质性程序的范围也将减少。

有时，注册会计师也可能认为控制是无效的，包括控制本身设计不合理、不能实现控制目标或尽管控制设计合理，但没有得到执行。在这种情况下，注册会计师不需要测试控制运行的有效性，而可以直接实施实质性程序。但在评估重大错报风险时，需要考虑控制失效对财务报表及其审计的影响。注册会计师应当将认定层次的控制因素和其他因素相结合，评估认定层次的重大错报风险，以确定进一步审计程序的性质、时间和范围。

需要指出的是，除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解和评价并不能够代替对控制运行有效性的测试。

(二)对财务报告流程的了解和评估

1.了解原因。以上讨论了注册会计师如何在重要业务流程层面了解重大交易生成、处理和记录的流程并评估在可能发生错报的环节控制的设计及其是否得到执行。在实务中，注册会计师还需要进一步了解有关信息从具体交易的业务流程过入总账、财务报表以及相关列报的流程，即财务报告流程及其控制。这一流程和控制与财务报表的列报认定直接相关。

2.了解目的。由于财务报告流程将直接影响财务报告，因此，注册会计师应重视对这一重要流程的了解。注册会计师对该流程以及该流程如何与其他重要流程相连接的了解，有助于其识别和评估与财务报表重大错报风险相关的控制。

3.了解内容。财务报告流程包括:①将业务数据汇总记入总账的程序，即如何将重要业务流程的信息与总账和财务报告系统相连接;②在总账中生成、记录和处理会计分录的程序;③记录对财务报表常规和非常规调整的程序，如合并调整、重分类等;④草拟财务报表和相关披露的程序。

因此，财务报告流程可能包括若干个子流程。例如，编制试算平衡表;汇总、编制、复核和过入会计分录;草拟财务报表和相关披露;编制管理层对财务报表的内部分析等。

被审计单位的财务报告流程包括相关的控制程序，以确保按照适用的会计准则和相关会计制度的规定收集、记录、处理、汇总所需要的信息，并在财务报告中予以充分披露。例如，关联方交易、分部报告等。

4.了解步骤。了解财务报告流程的控制采取的步骤与重要业务流程类似，也包括了解流程、确定可能发生错报的环节，识别和了解用于防止或发现并纠正错报的控制、执行穿行测试、对控制的设计及是否得到执行进行评估等。

5.形成评价。在了解财务报告流程的过程中，注册会计师应当考虑对以下方面做出评估:①主要的输入信息、执行的程序、主要的输出信息;②每一财务报告流程要素中涉及信息技术的程度;③管理层的哪些人员参与其中;④记账分录的主要类型，如标准分录、非标准分录等;⑤适当人员(包括管理层和治理层)对流程实施监督的性质和范围。