(三)識別公司層面的內部控制。並完成公司層面的評估公司層面的內部控制,主要是指公司治理層面的內部控制,屬於控制環境。as 5允許減少業務流程層次的測試,尤其是在公司整體層面的控制較強,並且和業務流程層次的控制緊密相連時;或者公司整體層面的控制足以防止或發現相關認定的重大錯報。這就需要註冊會計師識別公司層面的重大風險並作出恰當的評估。
公司層面的內部控制,包括對公司部門、人員的權責利劃分、重大政策決策流程與重大風險管理政策、管理層的風險測評流程、反舞弊控制、公司內控自我評測流程等,註冊會計師應評估公司層面控制對流程層面的控制評估有何影響。
註冊會計師還應識別各流程的責任人,並與其溝通,掌握其是否明確責任。其中,需重點對審計委員會的人員構成、工作方式、在公司監管中的實際地位、行使職能是否受到制約等進行全面的評估。
評估的焦點應放在風險上,如果某一事項從財務報告內部控制風險的角度來看是重要的,就必須重點關注。風險評估理念應貫穿審計的全過程。
(四)測試各相關財務報告目標的關鍵控制
選擇那些針對最關鍵財務報告目標的流程控制,並對這些控制的設計有效性進行評估。應重點識別那些用來管理會對財務報告產生影響的重要流程的流程層面監督性控制,實務中的審計辦法是從公司的財務報表著手,識別對財務報表有重大影響的相關業務活動和流程目標,選擇關鍵會計科目和會計報表事項。
在對公司層面評估的基礎上,應考慮重要性水平,以及財務報表和其他支持性會計科目餘額、交易或其他支持性信息出現重大錯報的可能性,分析財務報告中的關鍵風險防範事項,並從數量和性質兩方面考慮會計科目和披露事項的重要性。
與重大錯報風險相關的風險因素包括但不限於:相關會計科目餘額或交易的大小和種類;因錯誤或舞弊而產生錯報的可能性t該會計科目反映的交易的數量、會計科目的複雜程度;披露事項或相關會計科目的性質;會計科目反映的交易類型導致公司承擔或有負債的風險;是否包含關聯交易等。
註冊會計師應確定重要交易事項和業務流程的關鍵控制點,明確識別每一重要會計科目或披露事項是否都有管理層簽字、聲明等法律手續方面的認定。
測試方法可採取穿行測試,通常綜合運用詢問、觀察、檢查相關憑證以及重新執行控制等程式。在針對重要處理程式執行穿行測試時,註冊會計師可以詢問企業員工對企業規定程式及控制所要求內容的了解程威對於特定的相關認定,可能有多項控制應對評估的錯報風險註冊會計師沒有必要測試與某個相關認定有關的所有控制。
(五)評價內部控制設計的有效性和內部控制執行的有效性
在作出評價之前,應首先對財務報告內部控制風險作出評估。財務報告內部控制風險包括兩個要素:錯報風險與控制失效風險。影響某項控制相關風險的因素包括:1.該項控制擬防止或發現的錯報的性質和重要性;2.相關賬戶和認定的固有風險;3.交易的數量和性質是否發生變動,進而可能對該項控制設計或運行的有效性產生不利影響;4.賬戶是否曾經出現錯報;5.企業層面的控制對其他控制的監督的有效性;6.該項控制的性質及其運行頻率;7.該項控制對其他控制有效性的依賴程度;8.執行或監督該項控制的人員的專業勝任能力,以及是否發生變動;9.該項控制是人工操作還是自動完成;10.該項控制的複雜性,以及運行過程中需作出的判斷的重要性。
內部控制設計是否有效的判斷標準,是內部控制能否防止和發現導致財務報告不當披露的重要事項。評價內部控制設計的有效性的依據:被審計單位是否針對每一個控制目標都制定了適當的控制措施;是否能夠防止或檢查出可能造成財務報告重大錯漏的錯誤或舞弊。
評價內部控制執行有效性,指設計有效的控制措施是否得到了正確執行。控制未按照設計運行、執行人員未擁有執行控制所需的授權和不具備必要的專業勝任能力,發生上述情況之一,即說明內部控制存在執行上的缺陷。
(六)評價控制缺陷
對發現的內部控制存在的不足,註冊會計師應按其嚴重程度,評價其是否屬於缺陷、應關注缺陷還是重大缺陷。如果控制的設計或運行不能及時防止或發現錯報,表明內部控制存在缺陷。應關注缺陷是指內部控制存在的、其嚴重性不如重大缺陷但卻足以值得負責監督企業財務報告的人員關注的某項缺陷或幾項缺陷的組合。重大缺陷是內部控制中存在的、具有合理可能性導致企業年度或中期財務報表出現重大錯報不能被及時防止或發現的某項缺陷或幾項缺陷的組合。