《审计》课堂案例图表3.docx
《《审计》课堂案例图表3.docx》由会员分享,可在线阅读,更多相关《《审计》课堂案例图表3.docx(35页珍藏版)》请在冰点文库上搜索。
《审计》课堂案例图表3
《审计》课堂案例——图、表(3)
《中国注册会计师审计准则第1211号——
了解被审计单位及其环境并评估重大错报风险》指南
附录1:
在被审计单位整体层面了解和评价内部控制
附录结合内部控制五要素的内容,具体说明了注册会计师如何了解和评价
对被审计单位有普遍影响的内部控制,即在被审计单位整体层面了解内部控制,并评估财务报表重大错报风险。
本附录仅供参考。
在实际工作中,注册会计师应当根据被审计单位的具体情况和职业判断,了解和评价被审计单位整体层面的内部控制。
一、控制环境
在了解和评价控制环境时,注册会计师需要考虑与控制环境有关的各个要素及其相互联系,尤其要注意,控制环境任一构成要素存在重大缺陷,都会影响其他要素的有效性。
下面对各个要素分别加以说明。
(一)对诚信和道德价值观念的沟通与落实
诚信和道德价值观念是控制环境的重要组成部分,影响到重要业务流程的设计和运行。
内部控制的有效性直接依赖于负责创建、管理和监控内部控制的人员的诚信和道德价值观念。
被审计单位是否存在道德行为规范,以及这些规范如何在被审计单位内部得以沟通和落实,决定了是否能产生诚信和道德的行为。
对诚信和道德价值观念的沟通与落实既包括管理层如何处理不诚实、非法或不道德行为,也包括在被审计单位内部,通过行为规范以及高层管理人员的身体力行,对诚信和道德价值观念的营造和保持。
例如,管理层在行为规范中指出,员工不允许从供货商那里获得超过一定金额的礼品,超过部分都须报告和退回。
尽管该行为规范本身并不能绝对保证员工都照此执行,但至少意味着管理层已对此进行了明示,它连同其他程序,可能构成一个有效的预防机制。
注册会计师在了解和评估被审计单位诚信和道德价值观念的沟通与落实时,考虑的主要因素可能包括:
(1)被审计单位是否有书面的行为规范并向所有员工传达;
(2)被审计单位的企业文化是否强调诚信和道德价值观念的重要性;(3)管理层是否身体力行,高级管理人员是否起表率作用;(4)对违反有关政策和行为规范的情况,管理层是否采取了适当的惩罚措施。
(二)对胜任能力的重视
胜任能力是指具备完成某一职位的工作所应有的知识和能力。
管理层对胜任能力的重视包括对于特定工作所需的胜任能力水平的设定,以及对达到该水平所必需的知识和能力的要求。
注册会计师应当考虑主要管理人员和其他相关人员是否能够胜任承担的工作和职责,例如,财会人员是否对编报财务报表所适用的会计准则和相关会计制度有足够的了解并能正确运用。
注册会计师在就被审计单位对胜任能力的重视情况进行了解和评估时,考虑的主要因素可能包括:
(1)财会人员以及信息管理人员是否具备与被审计单位业务性质和复杂程度相称的足够的胜任能力和培训,在发生错误时,是否通过调整人员或系统来加以处理;
(2)管理层是否配备了足够的财会人员以适应业务发展和有关方面的需要;
(3)财会人员是否具备了理解和运用会计准则所需的技能。
(三)治理层的参与程度
被审计单位的控制环境在很大程度上受治理层的影响。
治理层的职责应在被审计单位的章程和政策中予以规定。
治理层(董事会)通常通过其自身的活动,并在审计委员会或类似机构的支持下,监督被审计单位的财务报告政策和程序。
因此,董事会、审计委员会或类似机构应关注被审计单位的财务报告,并监督被审计单位的会计政策以及内部、外部的审计工作和结果。
治理层的职责还包括监督用于复核内部控制有效性的政策和程序的设计是否合理,执行是否有效。
治理层对控制环境影响的要素有:
①治理层相对于管理层的独立性、②成员的经验和品德、③对被审计单位业务活动的参与程度、④治理层行为的适当性、⑤治理层所获得的信息、⑥管理层对治理层所提出问题的追踪程度,以及⑦治理层与内部审计人员和注册会计师的联系程度等。
注册会计师在对被审计单位治理层的参与程度进行了解和评估时,考虑的主要因素可能包括:
(1)董事会是否建立了审计委员会或类似机构;
(2)董事会、审计委员会或类似机构是否与内部审计人员以及注册会计师
有联系和沟通,联系和沟通的性质以及频率是否与被审计单位的规模和业务复杂程度相匹配;
(3)董事会、审计委员会或类似机构的成员是否具备适当的经验和资历;
(4)董事会、审计委员会或类似机构是否独立于管理层;
(5)审计委员会或类似机构会议的数量和时间是否与被审计单位的规模
和业务复杂程度相匹配;
(6)董事会、审计委员会或类似机构是否充分地参与了监督编制财务报告的过程;
(7)董事会、审计委员会或类似机构是否对经营风险的监控有足够的关注,
进而影响被审计单位和管理层的风险评估过程(包括舞弊风险);
(8)董事会成员是否保持相对的稳定性。
(四)管理层的理念和经营风格
管理层负责企业的运作以及经营策略和程序的制定、执行与监督。
控制环境的每个方面在很大程度上都受管理层采取的措施和作出决策的影响,或在某些情况下受管理层不采取某些措施或不作出某种决策的影响。
在有效的控制环境中,管理层的理念和经营风格可以创造一个积极的氛围,促进业务流程和内部控制的有效运行,同时创造一个减少错报发生可能性的环境。
在管理层以一个或少数几个人为主时,管理层的理念和经营风格对内部控制的影响尤为突出。
管理层的理念包括管理层对内部控制的理念,即管理层对内部控制以及对具体控制实施环境的重视程度。
管理层对内部控制的重视,有助于控制的有效执行,并减少特定控制被忽视或被规避的可能性。
控制理念反映在管理层制定的政策、程序及所采取的措施中,而不是反映在形式上。
因此,要使控制理念成为控制环境的一个重要特质,管理层必须告知员工内部控制的重要性。
同时,只有建立适当的管理层控制机制,控制理念才能产生预期的效果。
衡量管理层对内部控制重视程度的重要标准,是管理层收到有关内部控制弱点及违规事件的报告时是否作出适当反应。
管理层及时地下达纠弊措施,表明他们对内部控制的重视,也有利于加强企业内部的控制意识。
此外,了解管理层的经营风格也很有必要,管理层的经营风格是指管理层所能接受的业务风险的性质。
例如,管理层是否经常投资于风险特别高的领域或者在接受风险方面极为保守,不敢越雷池一步。
注册会计师应考虑的问题包括:
管理层是否谨慎从事,只有在对方案的风险和潜在利益进行仔细研究分析后才进一步采取措施。
了解管理层的经营风格有助于注册会计师判断哪些因素影响管理层对待内部控制的态度,哪些因素影响在编制财务报表时所作的判断,特别是在作出会计估计以及选用会计政策时。
这种了解也有助于注册会计师进一步认识管理层的能力和经营动机。
注册会计师对管理层的能力和诚信越有信心,就越有理由信赖管理层提供的信息和作出的解释及声明。
相反,如果对管理层经营风格的了解加重了注册会计师的怀疑,注册会计师就会加大职业怀疑的程度,从而对管理层各种声明产生疑问。
因此,了解管理层的经营风格对注册会计师评估重大错报风险有着重要的意义。
注册会计师在了解和评估被审计单位管理层的理念和经营风格时,考虑的主要因素可能包括:
(1)管理层是否对内部控制包括信息技术的控制,给予了适当的关注;
(2)管理层是否由一个或几个人所控制,董事会、审计委员会或类似机构
对其是否实施了有效监督;
(3)管理层在承担和监控经营风险方面是风险偏好者还是风险规避者;
(4)管理层在选择会计政策和作出会计估计时是倾向于激进还是保守;
(5)管理层对于信息管理人员以及财会人员是否给予了适当关注;
(6)对于重大的内部控制和会计事项,管理层是否征询注册会计师的意
见,或者经常在这些方面与注册会计师存在不同意见。
(五)组织结构及职权与责任的分配
被审计单位的组织结构为计划、运作、控制及监督经营活动提供了一个整体框架。
通过集权或分权决策,可在不同部门间进行适当的职责划分、建立适当层次的报告体系。
组织结构将影响权利、责任和工作任务在组织成员中的分配。
被审计单位的组织结构在一定程度上取决于被审计单位的规模和经营活动的性质。
注册会计师应当考虑被审计单位组织结构中是否采用向个人或小组分配控制职责的方法,是否建立了执行特定职能(包括交易授权)的授权机制,是否确保每个人都清楚地了解报告关系和责任。
注册会计师还需审查对分散经营活动的监督是否充分。
有效的权责分配制度有助于形成整体的控制意识。
注册会计师应当关注组织结构及权责分配方法的实质而不是仅仅关注其形式。
相应地,注册会计师应当考虑相关人员对政策与程序的整体认识水平和遵守程度,以及管理层对其实施监督的程度。
注册会计师对组织结构的审查,有助于其确定被审计单位的职责划分应该达到何种程度,也有助于其评价被审计单位在这方面的不足会对整体审计策略产生的影响。
信息系统处理环境是注册会计师对组织结构及权责分配方法进行审查的一个重要方面。
注册会计师应当考虑信息系统职能部门的结构安排是否明确了职责分配,授权和批准系统变化的职责分配,以及是否明确程序开发、运行及使用者之间的职责划分。
注册会计师在对被审计单位组织结构和职权与责任的分配进行了解和评估时,考虑的主要因素可能包括:
(1)在被审计单位内部是否有明确的职责划分,是否将业务授权、业务记录、资产保管和维护,以及业务执行的责任尽可能地分离;
(2)数据的所有权划分是否合理;
(3)是否已针对授权交易建立了适当的政策和程序。
(六)人力资源政策与实务
政策与程序(包括内部控制)的有效性,通常取决于执行人。
因此,被审计单位员工的能力与诚信是控制环境中不可缺少的因素。
人力资源政策与实务涉及招聘、培训、考核、晋升和薪酬等方面。
被审计单位是否有能力招聘并保留一定数量既有能力又有责任心的员工在很大程度上取决于其人事政策与实务。
例如,如果招聘录用标准要求录用最合适的员工,包括强调员工的学历、经验、诚信和道德,这表明被审计单位希望录用有能力并值得信赖的人员。
被审计单位有关培训方面的政策应显示员工应达到的工作表现和业绩水准。
通过定期考核的晋升政策表明被审计单位希望具备相应资格的人员承担更多的职责。
注册会计师在对被审计单位人力资源政策与实务进行了解和评估时,考虑的主要因素可能包括:
(1)被审计单位在招聘、培训、考核、晋升、薪酬、调动和辞退员工方面是否都有适当的政策和程序(特别是在会计、财务和信息系统方面);
(2)是否有书面的员工岗位职责手册,或者在没有书面文件的情况下,对于工作职责和期望是否作了适当的沟通和交流;
(3)人力资源政策与程序是否清晰,并且定期发布和更新;
(4)是否设定适当的程序,对分散在各地区和海外的经营人员建立和沟通人力资源政策与程序。
综上所述,注册会计师应当对控制环境的构成要素获取足够的了解,并考虑内部控制的实质及其综合效果,以了解管理层和治理层对内部控制及其重要性的态度、认识以及所采取的措施。
二、被审计单位的风险评估过程
风险评估过程包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施。
注册会计师在对被审计单位整体层面的风险评估过程进行了解和评估时,考虑的主要因素可能包括:
(1)被审计单位是否已建立并沟通其整体目标,并辅以具体策略和业务流程层面的计划;
(2)被审计单位是否已建立风险评估过程,包括识别风险,估计风险的重大性,评估风险发生的可能性以及确定需要采取的应对措施;
(3)被审计单位是否已建立某种机制,识别和应对可能对被审计单位产生重大且普遍影响的变化,如在金融机构中建立资产负债管理委员会,在制造型企业中建立期货交易风险管理组等;
(4)会计部门是否建立了某种流程,以识别会计准则的重大变化;
(5)当被审计单位业务操作发生变化并影响交易记录的流程时,是否存在沟通渠道以通知会计部门;
(6)风险管理部门是否建立了某种流程,以识别经营环境包括监管环境发生的重大变化。
注册会计师可以通过了解被审计单位及其环境的其他方面信息,评价被审计单位风险评估过程的有效性。
例如,在了解被审计单位的业务情况时,发现了某些经营风险,注册会计师应当了解管理层是否也意识到这些风险以及如何应对。
在对业务流程的了解中,注册会计师还可能进一步地获得被审计单位有关业务流程的风险评估过程的信息。
例如,在销售循环中,如果发现了销售的截止性错报的风险,注册会计师应当考虑管理层是否也识别了该错报风险以及如何应对该风险。
三、与财务报告相关的信息系统与沟通
注册会计师在对被审计单位整体层面的信息系统与沟通进行了解和评估时,考虑的主要因素可能包括:
(一)与财务报告相关的信息系统
(1)信息系统是否能够向管理层提供有关被审计单位业绩的报告,包括相关的外部和内部信息;
(2)向适当人员提供的信息是否充分、具体和及时,使其能够有效地履行
职责;
(3)信息系统的开发及变更在多大程度上与被审计单位的战略计划相适应,以及如何与被审计单位整体层面和业务流程层面的目标相适应;
(4)管理层是否提供适当的人力和财力,以开发必需的信息系统;
(5)管理层是如何监督程序的开发、变更和测试工作;
(6)对于主要的数据中心,是否建立了重大灾难数据恢复计划。
沟通
(1)管理层就员工的职责和控制责任是否进行了有效沟通;
(2)针对可疑的不恰当事项和行为是否建立了沟通渠道;
(3)组织内部沟通的充分性是否能够使人员有效地履行职责;
(4)对于与客户、供应商、监管者和其他外部人士的沟通,管理层是否及时采取了适当的进一步行动;
(5)被审计单位是否受到某些监管机构发布的监管要求的约束;
(6)外部人士如客户和供应商在多大程度上获知了被审计单位的行为守
则。
与财务报告相关的信息系统应当与业务流程相适应,其职责更多地体现在业务流程层面,因此,注册会计师应当更进一步地在业务流程层面上了解业务流程和相关信息系统。
本指南附录2将对此加以详述。
四、控制活动
控制活动是指有助于确保管理层的指令得以执行的政策和程序。
注册会计师对被审计单位整体层面的控制活动进行的了解和评估,主要是针对被审计单位的一般控制活动,特别是信息技术的一般控制。
在了解和评估一般控制活动时考虑的主要因素可能包括:
(1)被审计单位的主要经营活动是否都有必要的控制政策和程序;
(2)管理层在预算、利润和其他财务和经营业绩是否都有清晰的目标,在
被审计单位内部是否对这些目标加以清晰地记录和沟通,并且积极地对其进行监控;
(3)是否存在计划和报告系统,以识别与目标业绩的差异,并向适当层次的管理层报告该差异;
(4)是否由适当层次的管理层对差异进行调查,并及时采取适当的纠正措施;
(5)不同人员的职责应在何种程度上相分离,以降低舞弊和不当行为发生的风险;
(6)会计系统中的数据是否与实物资产定期核对;
(7)是否建立了适当的保护措施,以防止XX接触文件、记录和资产;
(8)是否存在信息安全职能部门负责监控信息安全政策和程序。
五、对控制的监督
注册会计师在对被审计单位整体层面的监督进行了解和评估时,考虑的主要因素可能包括:
(1)被审计单位是否定期评价内部控制;
(2)被审计单位人员在履行正常职责时,能够在多大程度上获得内部控制
是否有效运行的证据;
(3)与外部的沟通能够在多大程度上证实内部产生的信息或者指出存在的问题;
(4)管理层是否采纳内部审计人员和注册会计师有关内部控制的建议;
(5)管理层是否及时纠正控制运行中的偏差;
(6)管理层根据监管机构的报告及建议是否及时采取纠正措施;
(7)是否存在协助管理层监督内部控制的职能部门(如内部审计部门)。
如存在,对内部审计职能需进一步考虑的因素包括:
①独立性和权威性;②向谁报告,例如,直接向董事会、审计委员会或类似机构报告,对接触董事会、审计委员会或类似机构是否有限制;③是否有足够的人员、培训和特殊技能,例如,对于复杂的高度自动化的环境应使用有经验的信息系统审计人员;④是否坚持适用的专业准则;⑤活动的范围,例如,财务审计和经营审计工作的平衡,在分散经营情况下,内部审计的覆盖程度和轮换程度;⑥计划、风险评估和执行工作的记录和形成结论的适当性;⑦是否不承担经营管理责任。
六、在整体层面对内部控制了解和评估的总结
在整体层面对被审计单位内部控制的了解和评估,通常由项目组中对被审计单位情况比较了解且有经验的成员负责,同时需要项目组其他成员的参与和配合。
对于连续审计,注册会计师可以重点关注整体层面内部控制的变化情况,包括由于被审计单位及其环境的变化而导致内部控制发生的变化以及采取的对策。
注册会计师还需要特别考虑因舞弊而导致重大错报的可能性及其影响。
注册会计师可以考虑将询问被审计单位人员、观察特定控制的应用、检查文件和报告以及执行穿行测试等风险评估程序相结合,以获取审计证据。
在了解上述内部控制的构成要素时,注册会计师需要特别注意这些要素在实际中是否得到执行。
例如,通过询问管理层和员工,了解管理层对内部控制的态度和道德价值观念,以及如何就此与员工进行沟通;通过检查文件、内部程序手册、流程图等,了解管理层是否建立了正式的行为守则;通过询问和观察,了解行为守则在日常工作中是否得到遵守,以及管理层如何处理违反行为守则的情形;通过询问被审计单位管理层,了解其风险评估过程,并复核记录风险评估过程的文件。
通过检查和复核内部审计部门的工作程序以及报告等,确定管理层和员工是否执行了既定的政策和程序。
在了解内部控制的各构成要素时,注册会计师应当对被审计单位整体层面的内部控制的设计进行评价,并确定其是否得到执行。
实际上,这一评价过程需要大量的职业判断,并没有固定的公式或指标可供参考。
例如,小型被审计单位在实现内部控制的目标中可能会较少采用正式的书面的措施和方法,业主可能更多地参与日常经营管理活动和财务报告活动。
但这些并不一定会影响注册会计师对于被审计单位整体层面的内部控制是否有效的判断。
注册会计师应当考虑管理层本身的理念和态度、实际设计和执行的控制,以及对经营活动的密切参与是否能够实现控制的目标。
注册会计师应当将对被审计单位整体层面内部控制各要素的了解要点和实施的风险评估程序及其结果等形成审计工作记录,并对影响注册会计师对整体层面内部控制有效性进行判断的因素加以详细记录。
财务报表层次的重大错报风险很可能源于薄弱的控制环境,因此,注册会计师在评估财务报表层次的重大错报风险时,应当将被审计单位整体层面的内部控制状况和了解到的被审计单位及其环境其他方面的情况结合起来考虑。
被审计单位整体层面的内部控制是否有效将直接影响重要业务流程层面控制的有效性,进而影响注册会计师拟实施的进一步审计程序的性质、时间和范围。
本指南附录2将详细说明在重要业务流程层面对内部控制的了解和评价。
中航油事件
2004年12月,中国航油集团唯一的一家海外公司——中国航油(新加坡)
股份有限公司(以下简称“中航油”)发布了一个惊人的消息:
这家新加坡上市公司因石油衍生产品交易,产生了5.5亿美元的巨额亏损,致使曾作为明星企业的中航油向新加坡法院申请破产保护。
该公司自1997年以来,凭借其对国内进口航油市场的实质性垄断,净资产由16.8万美元增加至2003年的1.48亿美元,6年增长了762倍,成为股市上的明星,总裁陈久霖也被评为“亚洲经济新领袖”。
中航油事件被认为是继1995年巴林事件后最大的经济丑闻。
中国航油集团曾向“中航油”董事会派驻了4名成员,包括陈久霖本人,而他也是以集团副总经理的身份兼任“中航油”董事和执行总裁的。
但事实上,集团公司出于对陈久霖的信任,使他在实质上成为了集团公司派驻“中航油”的全权代表和实际监管者。
同时,在其任职期间,曾两度调开集团公司派驻的财务经理,从当地另聘财务经理,只听命于他一个人。
由此可见,不论是在决策、监管层还是在经理层,都没有很好地形成实质上的权力制衡。
陈久霖在获悉公司在2004年第一季度出现580万美元的账面亏损后,决定不按照内部风险控制的规则进行斩仓止损,也不对市场作任何信息的披露,而是继续扩大仓位。
为了避免实际亏损,他将交割日延后至2005年和2006年,并不断加大仓位,对风险没有做必要的对冲处理,也没有对交易设立上限,孤注一掷,赌油价回落。
到2004年10月,公司亏损累计达到1.8亿美元,公司流动资产耗尽。
此时,陈久霖才不得不向集团公司汇报亏损并请求救助。
而当时的中航油集团竟没有阻止“中航油”的违规行为,也不对风险进行评估,而是以私募方式卖出部分“中航油”股份来“挽救”“中航油”。
“中航油”曾聘请安永会计师事务所为其编制《风险管理手册》,设有专门的7人风险管理委员会及软件监控系统。
其中,风险控制的基本结构是:
实施交易员、风险控制委员会、审计部、总裁、董事会层层上报,交叉控制,每名交易员损失20万美元时要向风险控制委员会报告,以征求他们的意见,当损失达到35万美元时要向总裁报告,征求他的意见,在得到总裁的同意后才能继续交易;任何导致50万美元以上的交易将自动平仓。
而“中航油”总共有10位交易员,如果严格地按照《风险管理手册》执行,损失的最大限额应是500万美元(10×50=500万)。
但是,“中航油”最终亏损额高达5.5亿美元。
从中可以看出,“中航油”在制定政策方面不惜血本,但在执行方面却不尽如人意。
我国于2001年就已颁布实施了《国有企业境外期货套期保值业务管理办法》,其中规定任何企业不得从事以营利为目的的投机交易,不能在风险极大的海外市场进行交易,交易总量不得大大超过现货交易总量。
“中航油”从2003年下半年起在海外市场进行石油衍生品的交易,并且交易总量大大超过了现货交易总量,在这三个方面明显地违背了国家的规定,而母公司在子公司进行了此项违规活动一年多(即2004年10月)以后才得知实情。
由此可以看出,中航油集团公司和“中航油”之间的信息沟通不畅和会计信息失真有多么严重。
【要求】
假如你们是ABC会计师事务所的注册会计师甲和乙,接受委托,审核了“中航油”董事会对2004年12月31日与财务报表相关的公司内部控制有效性的认定,并于2005年3月29日完成审核工作。
请根据以上资料对“中航油”的内部控制进行分析评价。
【分析】
“中航油”内部控制设计或执行存在的严重不足,使其管理层或员工无法在正常行使职能的过程中,及时地发现和纠正错误或舞弊引起的财务报表重大错报。
在内部控制五个要素中都存在缺陷。
(1)控制环境。
中国航油集团曾向“中航油”董事会派驻了4名成员,包括陈久霖本人,而他也是以集团副总经理的身份兼任“中航油”董事和执行总裁的。
但事实上,集团公司出于对陈久霖的信任,使他在实质上成为了集团公司派驻“中航油”的全权代表和实际监管者。
同时,在其任职期间,曾两度调开集团公司派驻的财务经理,从当地另聘财务经理,只听命于他一个人。
由此可见,不论是在决策、监管层还是在经理层,都没有很好地形成实质上的权力制衡。
(2)风险评估。
在风险控制机制中,陈久霖应处于一个中枢地位,对风险的控制和传导应起着决定性的作用。
在2004年第一季度公司账面已出现了580万美元的亏损后,他本应会同风险管理委员会的成员及时进行风险评估,但他们却没有这样做。
(3)控制活动。
“中航油”曾聘请国际“四大”之一的安永会计师事务所为其编制《风险管理手册》,设有专门的7人风险管理委员会及软件监控系统。
从案例中可以看出,“中航油”在制定政策方面不惜血本,但在执行方面却不尽如人意。
陈久霖明知2004年第一季度公司账面已出现了580万美元的亏损,他本应当机立断按照内部风险控制的规则进行斩仓止损,及时向集团公司和市场作出信息披露,但他为了避免损失,将交割日延后至2005年和2006年,并不断加大仓位,孤注一掷,赌油价回落。
不然,“中航油”也不会在衍生品交易市场不断失利,并导致最终的破产。
(4)信息与沟通。
我国于2001年就已颁布实施了《国有企业境外期货套期保值业务管理办法》,其中规定任何企业不得从事以营利为目的的投机交易,不能在风险极大的海外市场进行交易,交易总量不得大大超过现货交易总量。
而“
升级会员 