重新解读中国注册会计师审计准则第1211号
来源:中国注册会计师俱乐部
中国注册会计师协会于2022年12月发布了修订后的《中国注册会计师审计准则第1211号--重大错报风险的识别和评估》(以下简称“新 1211号准则”)、《中国注册会计师审计准则第1321号--会计估计和相关披露的审计》等两项审计准则,并对《中国注册会计师审计准则第1101号--注册会计师的总体目标和审计工作的基本要求》等23项准则进行了一致性修订。同时,通知要求修订的两项审计准则于2023年7月1日起施行。较之原准则,上述两项新准则对较多内容进行了修订和补充,笔者谈谈心得体会。
在新1211号准则中,提出了较多新的概念,例如,相关认定、“相关交易类别、账户余额和披露”、固有风险因素、信息处理控制、信息技术一般控制,信息技术环境等。
“相关认定”是指:注册会计师识别出重大错报风险的交易类别、账户余额和披露的认定。同时规定,确定某项认定是否属于相关认定应当依据其固有风险,而不考虑相关控制的影响。
“固有风险因素”是指:在不考虑控制的情况下,导致交易类别、账户余额和披露的某一认定易于发生错报(无论该错报是舞还是错误导致)的因素。固有风险因素可以是定性的,也可以是定量的。固有风险因素包括事项或情况的复杂性、主观性、变化、不确定性,以及管理层偏向和其他舞弊风险因素。
固有风险因素不仅是识别重大错报风险的依据,同时也是进一步判断相关重大错报风险是否属于特别风险的考虑因素。新1211号准则中规定:“特别风险,是指识别出的符合下列特征之一的重大错报风险:(一)根据固有风险因素对错报发生的可能性和错报的严重程度的影响,注册会计师将固有风险评估为达到或接近固有风险等级的最高级;(二)根据其他审计准则的规定,注册会计师应当将其作为特别风险。”
较原准则而言,新1211号准则对特别风险进行了重新定义,即固有风险评估级别达到或接近最高级的重大错报风险为特别风险,该定义相较于原定义具有更强的可操作性。
根据准则要求,在评估固有风险时,需分别评估错报的可能性和错报严重程度。其中如果评估后认为发生错报的可能性高,同时错报严重程度亦很高,则固有风险将评为“高”,此时,相关的重大错报风险将被识别为特别风险。反之,如果错报可能性低且错报严重程度亦较低的,则固有风险将评为“低”,此时,相关的重大错报风险可能不属于特别风险。
然而,当错报可能性和错报严重程度一方判断为高,而另一方判断为低时,则需要结合被审计单位的具体情况对固有风险的等级做进步的职业判断。
此外,固有风险评级结果在某些情形下还将直接用作重大错报风险的评估结果。新1211号准则规定:“注册会计师不拟测试控制运行有效性时,应当将固有风险的评估结果作为重大错报风险的评估结果”。
在审计时,通常需要先行了解被审计单位及其环境以及被审计单位内部控制体系要素。
在了解被审计单位及其环境方面新1211号准则重点突出了对业务模式的了解,同时强调业务模式利用信息技术的程度,在准则应用指南的附录中对了解业务模式进行了较为详细的规定。
同时,在了解被审计单位适用的财务报告编制基础时,新1211号准则规定还需了解固有风险因素怎样影响各项认定易于发生错报的可能性以及影响程度。
在被审计单位内部控制体系各要素方面,新1211号准则将了解与审计相关的内部控制修改为“了解被审计单位内部控制体系各要素”。同时,在了解内部控制体系五大要素的基础上提出了更明确和详细的要求。
例如,在了解内部控制环境方面,明确需了解治理层的独立性以及治理层监督内部控制体系情况、权限和职责分配情况、吸引培养和留住具有胜任能力人员情况,以及如何使被审计单位人员致力于实现内部控制体系目标等方面的内容。较原准则的规定而言,新1211号准则更强调管理层的诚信、治理层的监督以及员工的胜任能力,规定更为细化,也更具可操作性。
在了解被审计单位控制活动方面,新1211号准则也做出了较为细致的规定,包括识别控制活动、识别信息技术风险、识别信息技术般控制,以及评价控制活动设计的合理性以及控制是否得到执行。
修订后的 1211号准则完善了与信息技术相关的概念,包括:信息处理控制、信息技术一般控制、信息技术环境,以及运用信息技术导致的风险等。
同时,新1211号准则要求识别哪些信息技术应用程序及信息技术环境的其他方面,可能面临运用信息技术导致的风险。针对识别的信息技术应用程序及信息技术环境的其他方面,进一步识别运用信息技术导致的相关风险和被审计单位用于应对这些风险的信息技术一般控制。
在重大错报风险识别方面,可能需要在原有的识别基础上增加更多新的考虑因素,例如固有风险因素。
在原准则下仅需识别和评估重大错报风险的类别(属于财务报表层次还是认定层次),而对于固有风险因素和特别风险的判断未做出具体规定,因此,在新1211号准则下,需要根据修订后的准则要求补充相关程序和底稿。例如,如何了解固有风险因素对被审计单位的影响,包括评估对错报的可能性以及错报的严重程度,评估固有风险级别以及特别风险等。在编制固有风险相关底稿时,可以参考资料准则应用指南“附录 2:了解固有风险”的相关内容。
如上文所述,在准则应用指南附录1中对了解业务模式进行了详细的描述,因此,在审计工作中应当加强对被审计单位业务模式的了解。
从某种程度上而言,笔者认为对业务模式的了解可能是审计计划阶段的重中之重,审计失败的发生可能由于审计技术的缺乏,或者审计程序执行的缺失,但从一些失败案例分析,失败的原因可能还是在于审计人员对于被审计单位业务合理性判断的缺失或不足,做好审计工作的前提之一是清晰的了解被审计单位的业务模式(包括盈利模式),在判断业务模式合理性的基础之上再执行相关的审计程序,可能会起到事半功倍的作用。
上文提及,新1211号准则对了解被审计单位内部控制体系要素作出了更为细致的规定,因而实务中也需要细化相应的审计工作底稿准则应用指南中的附录3:了解内部控制和附录4:了解内部控制审计为我们提供了详细的指引。
如上文所述,新准则更加强调管理层的诚信文化(价值观)建设、治理层的监督,以及员工的胜任能力。
笔者理解,对被审计单位整体层面进行风险评估时,在了解业务模式的基础上,进一步分析治理层、管理层的诚信以及其对企业文化的树立和传达可能尤为重要。大部分的财务舞弊可能都是由于管理层凌驾于公司内部控制之上,最终导致内部控制失效的结果,因此,如何真正的评估治理层、管理层的诚信度,如何评估是否存在管理层凌驾的风险,需要我们投入更多的审计资源,例如,对治理层、管理层进行更多维度的了解,由项目合伙人亲自参与实施相关的风险评估程序等。
在信息技术方面,新1211号准则也作出更细致的规定,不仅需要了解信息系统,同时还需识别和评估信息技术风险和信息技术一般控制。在准则应用指南的附录5:了解信息技术和附录6:了解信息技术一般控制的考虑因素中对信息技术方面的风险评估作出了详细的指引。
发布人:利安达 发布时间:2024-04-07 阅读:9139