(二)事先可预见的错误能够通过自动化控制得以防范或发现;
(三)控制活动可得到适当设计和自动化处理。
第六十三条 在了解内部控制时,注册会计师应当考虑被审计单位是否通过建立有效的控制,以恰当应对由于使用信息技术系统或人工系统而产生的风险。
第五节 内部控制的局限性
第六十四条 内部控制存在下列固有局限性,无论如何设计和执行,只能对财务报告的可靠性提供合理的保证:
(一)在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效;
(二)可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。
第六十五条 小型被审计单位拥有的员工通常较少,限制了其职责分离的程度,业主凌驾于内部控制之上的可能性较大,注册会计师应当考虑一些关键领域是否存在有效的内部控制。
第六节 控 制 环 境
第六十六条 注册会计师应当了解控制环境。
控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。
第六十七条 在评价控制环境的设计和实施情况时,注册会计师应当了解管理层在治理层的监督下,是否营造并保持了诚实守信和合乎道德的文化,以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。
第六十八条 在评价控制环境的设计时,注册会计师应当考虑构成控制环境的下列要素,以及这些要素如何被纳入被审计单位业务流程:
(一)对诚信和道德价值观念的沟通与落实;
(二)对胜任能力的重视;
(三)治理层的参与程度;
(四)管理层的理念和经营风格;
(五)组织结构;
(六)职权与责任的分配;
(七)人力资源政策与实务。
第六十九条 在确定构成控制环境的要素是否得到执行时,注册会计师应当考虑将询问与其他风险评估程序相结合以获取审计证据。
通过询问管理层和员工,注册会计师可能了解管理层如何就业务规程和道德价值观念与员工进行沟通。
通过观察和检查,注册会计师可能了解管理层是否建立了正式的行为守则,在日常工作中行为守则是否得到遵守,以及管理层如何处理违反行为守则的情形。
第七十条 控制环境对重大错报风险的评估具有广泛影响,注册会计师应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的基础,并且未被控制环境中存在的缺陷所削弱。
第七十一条 控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报,注册会计师在评估重大错报风险时应当将控制环境连同其他内部控制要素产生的影响一并考虑。
第七十二条 在小型被审计单位,可能无法获取以文件形式存在的有关控制环境要素的审计证据,注册会计师应当重点了解管理层对内部控制设计的态度、认识和措施。
第七节 被审计单位的风险评估过程
第七十三条 注册会计师应当了解被审计单位的风险评估过程和结果。
风险评估过程包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施。
第七十四条 在评价被审计单位风险评估过程的设计和执行时,注册会计师应当确定管理层如何识别与财务报告相关的经营风险,如何估计该风险的重要性,如何评估风险发生的可能性,以及如何采取措施管理这些风险。
第七十五条 注册会计师应当询问管理层识别出的经营风险,并考虑这些风险是否可能导致重大错报。
在审计过程中,如果识别出管理层未能识别的重大错报风险,注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险,以及评估过程是否适合于具体环境。
第七十六条 在小型被审计单位,管理层可能没有正式的风险评估过程,注册会计师应当与管理层讨论其如何识别经营风险以及如何应对这些风险。
