如何了解被审计单位的内部控制？

了解内部控制有助于注册会计师识别潜在错报的类型和影响重大错报风险的因素，以及设计进一步审计程序的性质、时间安排和范围。

（一）与财务报表审计相关的内部控制

内部控制的目标旨在合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守。注册会计师审计的目标是对财务报表是否不存在重大错报发表审计意见，尽管要求注册会计师在财务报表审计中考虑与财务报表编制相关的内部控制，但目的并非对被审计单位内部控制的有效性发表意见。因此，注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。

被审计单位的目标与为实现目标提供合理保证的内部控制之间存在直接关系。被审计单位的目标和内部控制，与财务报告、经营及合规有关。但这些目标和控制并非都与注册会计师的风险评估相关。

注册会计师应当了解与审计相关的内部控制。虽然大部分与审计相关的控制可能与财务报告相关，但并非所有与财务报告相关的控制都与审计相关。确定一项控制单独或连同其他控制是否与审计相关，需要注册会计师做出职业判断。

注册会计师在判断一项控制单独，或连同其他控制是否与审计相关时可能考虑下列事项。

（1）重要性。

（2）相关风险的重要程度。

（3）被审计单位的规模。

（4）被审计单位业务的性质，包括组织结构和所有权特征。

（5）被审计单位经营的多样性和复杂性。

（6）适用的法律法规。

（7）内部控制的情况和适用的要素。

（8）作为内部控制组成部分的系统（包括使用服务机构）的性质和复杂性。

（9）一项特定控制（单独或连同其他控制）是否以及如何防止或发现并纠正重大错报。

如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息，针对该信息完整性和准确性的控制可能与审计相关。如果与经营和合规目标相关的控制与注册会计师实施审计程序时评价或使用的数据相关，则这些控制也可能与审计相关。

用以防止未经授权购买、使用或处置资产的内部控制，可能包括与财务报告和经营目标相关的控制。注册会计师对这些控制的考虑通常仅限于与财务报告可靠性相关的控制。

（二）内部控制的人工和自动化成分

1．内部控制的人工和自动化特征及其影响

被审计单位的内部控制系统包含人工成分，通常也包含自动化成分。人工或自动化成分的特征，与注册会计师的风险评估以及在此基础上实施的进一步审计程序相关。内部控制中采用的人工成分和自动化成分，将影响交易生成、记录、处理和报告的方式。

（1）人工系统的控制可能包括对交易的批准和复核，编制调节表并对调节项目进行跟进。被审计单位也可能采用自动化程序生成、记录、处理和报告交易，在这种情况下可以电子文档取代纸质文件。

（2）信息技术系统中的控制是自动化控制（如嵌入计算机程序的控制）和人工控制的组合。人工控制可能独立于信息技术，可能利用信息技术生成的信息，或可能只限用于监督信息技术和自动化控制的有效运行或者处理例外事项。如果采用信息技术生成、记录、处理和报告交易和财务报表中包含的其他财务数据，系统和程序可能包括与财务报表重大账户认定相关的控制，或可能对依赖于信息技术的人工控制的有效运行非常信赖。

内部控制中人工成分和自动化成分的组合，因被审计单位使用信息技术的性质和复杂程度而异。

2．信息技术的作用及相关控制风险

一般而言，信息技术对被审计单位内部控制的作用在于使被审计单位能够：

（1）在处理大量的交易或数据时，一贯运用事先确定的业务规则，并进行复杂运算；

（2）提高信息的及时性、可获得性及准确性；

（3）促进对信息的深入分析；

（4）提高对被审计单位的经营业绩及其政策和程序执行情况进行监督的能力；

（5）降低控制被规避的风险；

（6）通过对应用程序系统、数据库系统和操作系统执行安全控制，提高不兼容职务分离的有效性。

信息技术也可能对被审计单位内部控制产生特定风险，这些风险主要包括以下几个。

（1）所依赖的系统或程序不能正确处理数据，或处理了不正确的数据，或两种情况并存。

（2）未经授权访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易。多个用户同时访问同一数据库可能会造成特定风险。

（3）信息技术人员可能获得超越其职责范围的数据访问权限，因此破坏了系统应有的职责分工。

（4）未经授权改变主文档的数据。

（5）未经授权改变系统或程序。

（6）未能对系统或程序做出必要的修改。

（7）不恰当的人为干预。

（8）可能丢失数据或不能访问所需要的数据。

3．人工控制适用范围及相关控制风险

在处理下列需要主观判断或酌情处理的情形时，内部控制的人工成分可能更为适当。

（1）存在大额、异常或偶发的交易。

（2）存在难以界定、预计或预测的错误的情况。

（3）针对变化的情况，需要对现有的自动化控制进行人工干预。

（4）监督自动化控制的有效性。

内部控制中的人工成分可能比自动化成分的可靠性低，原因是人工成分可能更容易被规避、忽视或凌驾，以及更容易产生简单错误和失误。因此，不能假定人工控制能够一贯运用。人工控制在下列情形中可能是不适当的：

（1）存在大量或重复发生的交易，或者事先可预计或预测的错误能够通过自动化控制参数得以防止或发现并纠正；

（2）用特定方法实施控制的控制活动可得到适当设计和自动化处理。

内部控制风险的程度和性质取决于被审计单位信息系统的性质和特征。考虑到信息系统的特征，被审计单位可以通过建立有效的控制，应对由于采用信息技术或人工成分而产生的风险。

（三）了解内部控制的程度

在了解与审计相关的控制时，注册会计师应当综合运用询问被审计单位内部人员和其他程序，以评价这些控制的设计，并确定其是否得到执行。

评价控制的设计，涉及考虑该控制单独或连同其他控制，是否能够有效防止或发现并纠正重大错报。控制得到执行是指某项控制存在且被审计单位正在使用。评估一项无效控制的运行没有什么意义，因此需要首先考虑控制的设计。设计不当的控制可能表明存在值得关注的内部控制缺陷。(www.xing528.com)

（四）控制环境

民间审计准则规定，注册会计师应当了解控制环境。作为了解控制环境的一部分，注册会计师应当评价：管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化；控制环境总体上的优势是否为内部控制的其他要素奠定了适当的基础，以及这些其他要素是否未被控制环境中存在的缺陷所削弱。

1．与控制环境要素相关的审计证据

通过将询问和其他风险评估程序相结合（如通过观察或检查文件证实询问），注册会计师可以获取相关审计证据。例如，通过询问管理层和员工，注册会计师可以了解管理层如何向员工传达商业行为惯例和道德行为价值观念。注册会计师可以通过考虑管理层是否建立了书面行为守则以及管理层是否按照支持该守则的方式行事，来确定相关控制是否已得到执行。

2．控制环境对重大错报风险评估的影响

控制环境的某些要素对重大错报风险评估具有广泛影响。例如，被审计单位的控制意识在很大程度上受治理层影响，因为治理层的职责之一就是平衡管理层面临的与财务报告相关、源于市场需求或薪酬方案的压力。与治理层参与相关的控制环境的设计有效性受下列事项的影响：治理层相对于管理层的独立性及评价管理层措施的能力；治理层是否了解被审计单位从事的交易；治理层对财务报表是否按照适用的财务报告编制基础编制进行评价的程度。活跃而独立的董事会可能影响高级管理人员的理念和经营风格，其他因素对高级管理人员的影响可能有限。例如，人力资源政策和实务规定招聘具有胜任能力的财务、会计和信息系统人员，这可能降低处理财务信息时出现错误的风险，但是却不能抵消最高管理层高估收益的强烈倾向。

当注册会计师评估重大错报风险时，存在令人满意的控制环境是一个积极的因素。虽然令人满意的控制环境有助于降低舞弊风险，但并不能绝对遏制舞弊。相反，控制环境中存在的缺陷（特别是与舞弊相关的缺陷）可能削弱控制的有效性。例如，管理层没有针对信息系统安全风险投入足够资源，而是允许对系统程序或数据做出不当修改，或允许处理未经授权的交易，这可能对内部控制产生不利影响。控制环境本身并不能防止或发现并纠正重大错报。然而，它可能影响注册会计师对其他控制（如对控制的监督和特定控制活动的运行）有效性的评价，进而影响注册会计师对重大错报风险的评估。

（五）被审计单位的风险评估过程

1．被审计单位的风险评估过程

被审计单位的风险评估过程包括管理层如何识别与按照适用的财务报告编制基础编制财务报表相关的经营风险，估计其重要性，评估其发生的可能性，针对这些风险采取措施应对和管理风险及其结果。例如，被审计单位的风险评估过程可能针对被审计单位如何考虑交易未被记录的可能性，或识别并分析财务报表中记录的重大估计。

2．可能产生或改变与财务报告相关风险的情况

与可靠的财务报告相关的风险包括可能发生的外部和内部事项、交易或情况，这些事项、交易或情况会对被审计单位生成、记录、处理和报告财务报表中与管理层认定相一致的财务数据产生不利影响。管理层可能会制订计划、执行程序或采取措施以解决特定风险，或者出于成本或其他考虑决定接受风险。以下情况可能会产生或改变风险。

（1）监管环境和经营环境的变化。监管环境和经营环境的变化会导致竞争压力的变化以及显著不同的风险。

（2）新员工。新员工可能对内部控制有不同的关注点或认识。

（3）新的或升级的信息系统。信息系统重大、快速的变化会改变与内部控制有关的风险。

（4）快速增长。重要、快速的业务扩张可能使控制难以应对，从而增加了控制失效的风险。

（5）新技术。将新技术运用于生产过程或信息系统可能改变与内部控制相关的风险。

（6）新业务模式、产品或活动。进入新的业务领域和发生新的交易，可能因被审计单位具有较少的经验而带来新的与内部控制相关的风险。

（7）公司重组。重组可能带来裁员和监督及职责分离的变化，可能改变与内部控制相关的风险。

（8）扩张海外经营。在海外扩张或收购海外企业会产生新的并且往往是独特的风险，进而可能影响内部控制，如由于外币交易产生的额外或已变化的风险。

（9）新的会计政策。采用新的会计政策或变更会计政策可能影响财务报表编制过程中的风险。

3．对被审计单位风险评估过程的了解

（1）对被审计单位已建立风险评估过程的了解。如果被审计单位已建立风险评估过程，注册会计师应当了解风险评估过程及其结果。如果识别出管理层未能识别出的重大错报风险，注册会计师应当评价是否存在这类风险，即注册会计师预期被审计单位风险评估过程应当识别出而未识别出的风险。如果存在这类风险，注册会计师应当了解风险评估过程未能识别出的原因，并评价风险评估过程是否适合具体情况，或者确定与风险评估过程相关的内部控制是否存在值得关注的内部控制缺陷。

（2）被审计单位未建立风险评估过程的了解。如果被审计单位未建立风险评估过程，或具有非正式的风险评估过程，注册会计师应当与管理层讨论是否识别出与财务报告目标相关的经营风险以及如何应对这些风险。注册会计师应当评价缺少记录的风险评估过程是否适合具体情况，或确定是否表明存在值得关注的内部控制缺陷。

（六）控制活动

1．与审计相关的控制活动

注册会计师应当了解与审计相关的控制活动。与审计相关的控制活动，是注册会计师为评估认定层次重大错报风险并设计进一步审计程序应对评估的风险而认为有必要了解的控制活动。审计并不要求了解与财务报表中每类重大交易、账户余额和披露或与其每项认定相关的所有控制活动。

通常，与审计相关的控制活动包括以下内容。

（1）与特别风险相关的控制活动，以及与仅通过实质性程序无法获取充分、适当的审计证据的风险相关的控制活动。

（2）注册会计师运用职业判断认为相关的控制活动。

注册会计师判断一项控制活动是否与审计相关，受以下两个因素的影响。

（1）注册会计师识别出的可能导致重大错报的风险；

（2）在确定实质性程序的范围时，注册会计师认为测试控制运行的有效性是否适当。

注册会计师的工作重点是识别和了解重大错报风险更高的领域的控制活动。如果多项控制活动能够实现同一目标，注册会计师不必了解与该目标相关的每项控制活动。

注册会计师通过了解内部控制其他要素获取的关于控制活动是否存在的信息，有助于其确定是否有必要对控制活动进行更多的了解。

2．信息技术导致的风险

在了解被审计单位控制活动时，注册会计师应当了解被审计单位如何应对信息技术导致的风险。信息技术的采用影响被审计单位执行控制活动的方式。从注册会计师的角度看，如果针对信息系统的控制能够保证系统所处理信息和数据的完整性和安全性，则控制是有效的。针对信息系统的控制包括信息技术一般控制和应用控制。

（1）信息技术一般控制。信息技术一般控制是与多个程序相关且支持应用控制有效运行的政策或程序，应用于主机、小型机和终端用户环境。保证信息完整性和数据安全性的信息技术一般控制通常包括以下内容。

（1）数据中心和网络运行控制。

（2）系统软件的购置、修改及维护控制。

（3）程序修改控制。

（4）接触或访问权限控制。

（5）应用系统的购置、开发及维护控制。

（2）应用控制。应用控制通常是指在业务流程层面运行的人工或自动化程序，运用于由单个程序处理的交易。从性质上讲，应用控制可以是预防性的或检查性的，旨在保证会计记录的完整性。因此，应用控制与用于生成、记录、处理、报告交易或其他财务数据的程序相关。这些控制有助于保证发生的交易经过授权，并得到全面而准确地记录和处理。应用控制的举例包括对输入数据的编辑性检查、序号检查和报告例外事项的人工跟进，以及在数据录入时进行纠正。

（七）对控制的监督

注册会计师应当了解被审计单位用于监督与财务报告相关的内部控制的主要活动，包括了解针对与审计相关的控制活动的监督，以及被审计单位如何对控制缺陷采取补救措施。

对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程。对控制的监督涉及及时评估控制的有效性并采取必要的补救措施。管理层通过持续的监督活动、单独的评价活动或两者相结合实现对控制的监督。持续的监督活动通常贯穿于被审计单位日常重复的活动中，包括常规管理和监督工作。如果被审计单位设有内部审计，注册会计师应当了解下列事项，以确定内部审计是否可能与审计相关。

（1）内部审计的职能范围以及内部审计在被审计单位组织结构中的地位和作用。

（2）内部审计已实施或拟实施的活动。

如果被审计单位内部审计的职责和活动与财务报告相关，并且注册会计师预期利用内部审计人员的工作，以修改拟实施审计程序的性质或时间安排或者缩小拟实施审计程序的范围，则内部审计可能与审计相关。如果注册会计师确定内部审计与审计相关，则《中国注册会计师审计准则第1411号——利用内部审计人员的工作》适用。

各种实体内部审计的目标及其职责的性质和在组织中的地位都各不相同，取决于实体的规模和结构、管理层和适当的治理层（如适用）的要求。例如，内部审计的职责可能包括监督内部控制、风险管理、检查对法律法规的遵守情况。另一方面，内部审计的职责可能仅限于检查经营活动的经济性、效率性和有效性，因此可能与财务报告无关。

如果内部审计职责的性质与财务报告相关，注册会计师在考虑内部审计已实施或拟实施的活动时，可以检查内部审计在本期的审计计划（如存在）并与内部审计人员讨论该计划。