2017年注册会计师审计知识点简析：风险评估5

　　第七章 风险评估(五)

　　第三节 了解被审计单位及其环境

　　六、被审计单位财务业绩的衡量和评价

　　(一)了解的主要方面

　　1.关键业绩指标(财务或非财务的)、关键比率、趋势和经营统计数据;

　　2.同期财务业绩比较分析;

　　3.预算、预测、差异分析，分部信息与分部、部门或其他不同层次的业绩报告;

　　4.员工业绩考核与激励性报酬政策;

　　5.被审计单位与竞争对手的业绩比较。

　　(二)关注内部财务业绩衡量的结果

　　内部财务业绩衡量可能显示未预期到的结果或趋势。在这种情况下，管理层通常会进行调查并采取纠正措施。

　　(三)考虑财务业绩衡量指标的可靠性

　　如果拟利用被审计单位内部信息系统生成的财务业绩衡量指标，注册会计师应当考虑相关信息是否可靠，以及利用这些信息是否足以实现审计目标。

　　【例3-多选题】在了解被审计单位财务业绩的衡量和评价时，下列各项中，注册会计师可以考虑的信息有( )。

　　A.信用评级机构报告

　　B.证券研究机构的分析报告

　　C.经营统计数据

　　D.员工业绩考核与激励性报酬政策

　　网校答案：ABCD

　　网校解析：注册会计师在了解被审计单位财务业绩衡量和评价情况时，注册会计师应当关注下列信息：(1)关键业绩指标(财务或非财务的)、关键比率、趋势和经营统计数据(选项 c);(2)同期财务业绩比较分析;(3)预算、预测、差异分析，分部信息与分部、部门或其他不同层次的业绩报告;(4)员工业绩考核与激励性报酬政策(选项D);(5)被审计单位与竞争对手的业绩比较;外部机构也会衡量和评价被审计单位的财务业绩，如分析师的报告和信用评级机构的报告(选项A、B)。

　　第四节 了解被审计单位的内部控制(重点掌握，属于风险评估内容what)

　　一、内部控制的含义和要素

　　1.内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计与执行的政策及程序。

　　可以从以下几方面理解内部控制。

　　2.内部控制的目标是合理保证：(1)财务报告的可靠性，这一目标与管理层履行财务报告编制责任密切相关;(2)经营的效率和效果，即经济有效地使用企业资源，以最优方式实现企业的目标;(3)在所有经营活动中遵守法律法规的要求，即在法律法规的框架下从事经营活动。

　　3.设计和实施内部控制的责任主体是治理层、管理层和其他人员。

　　4.实现内部控制目标的手段是设计和执行控制政策及程序。

　　5.内部控制包括下列要素：(1)控制环境;(2)风险评估过程;(3)信息系统与沟通;(4)控制活动;(5)对控制的监督。

　　二、与审计相关的控制(定位)

　　1.注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。

　　2.如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息，注册会计师应当考虑用以保证该信息完整性和准确性的控制可能与审计相关。(如电信、移动的计费系统)

　　3.如果与经营和合规目标相关的控制与注册会计师实施审计程序时评价或使用的数据相关，则这些控制也可能与审计相关

　　4. 用以防止未经授权购买、使用或处置资产的内部控制，可能包括与财务报告目标和经营目标相关的控制。注册会计师对这些控制的考虑通常仅限于与财务报告可靠性相关的控制。

　　5.被审计单位通常有一些与审计无关的控制，注册会计师无须对其加以考虑。例如，被审计单位可能依靠某一复杂的自动控制系统提高经营活动的效率和效果(如航空公司用于维护航班时间表的自动控制系统)，但这些控制通常与审计无关。(证券公司行情版)

　　【例4-单选题】下列有关与审计相关的内部控制的说法中，正确的是( )。

　　A.与财务报告相关的内部控制均与审计相关

　　B.与审计相关的内部控制并非均与财务报告相关

　　C.与经营目标相关的内部控制与审计无关

　　D.与合规目标相关的内部控制与审计无关

　　网校答案：B

　　网校解析：注册会计师在财务报表审计中只需要了解与审计相关的内部控制，并非被审计单位所有的内部控制，选项B正确，选项A错误。如果与经营和合规目标相关的控制与注册会计师实施审计程序时评价或使用的数据相关，则这些控制也可能与审计相关，选项C、D错误。

　　三、对内部控制了解的深度(浅)

　　对内部控制了解的深度，是指在了解被审计单位及其环境时对内部控制了解的程度。包括评价控制的设计，并确定其是否得到执行，但不包括对控制是否得到一贯执行的测试(属于控制测试)。

　　(一)评价控制的设计

　　注册会计师在了解内部控制时，应当评价控制的设计，并确定其是否得到执行。

　　1.评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。如果控制设计不当，不需要再考虑控制是否得到执行。(即是否设计、设计是否合理)

　　2.控制是否得到执行是指某项控制是否存在且被审计单位是否正在使用。

　　(二)获取控制设计和执行的审计证据

　　注册会计师通常实施下列风险评估程序，以获取有关控制设计和执行的审计证据：

　　1.询问被审计单位的人员;(询问本身并不足以评价控制的设计以及确定其是否得到执行，注册会计师应当将询问与其他风险评估程序结合使用。)

　　2.观察特定控制的运用;

　　3.检查文件和报告;

　　4.追踪交易在财务报告信息系统中的处理过程(穿行测试)。

　　这些程序是风险评估程序在了解被审计单位内部控制方面的具体运用。

　　(三)了解内部控制与控制测试的关系

　　1.除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解并不能够代替对控制运行有效性的测试。

　　2.获取某一人工控制在某一时点得到执行的审计证据，并不能证明该控制在所审计期间内的其他时点也有效运行。

　　3.由于信息技术处理流程的内在一贯性，实施审计程序确定某项自动控制是否得到执行，也可能实现对控制运行有效性测试的目标。

　　四、内部控制的人工和自动化成分(方式)(第五章)

　　(一)考虑内部控制的人工和自动化特征及其影响

　　(二)信息技术的优势及相关内部控制风险(海量)

　　(三)人工控制的适用范围及相关内部控制风险(主观判断或酌情处理)

　　五、内部控制的局限性

　　内部控制存在固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证。内部控制存在的固有局限性包括：

　　1.在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。

　　2.可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。

　　3.如果被审计单位内部行使控制职能的人员素质不适应岗位要求，也会影响内部控制功能的正常发挥。

　　4.被审计单位实施内部控制的成本效益问题也会影响其效能。

　　5.内部控制一般都是针对经常而重复发生的业务而设置的，如果出现不经常发生或未预计到的业务，原有控制就可能不适用。

　　6.内部控制可能因为经营环境、业务性质的改变而削弱或失效。