第三节 了解内部控制
第十五条 注册会计师应当了解与审计相关的内部控制。虽然大部分与审计相关的控制可能与财务报告相关,但并非所有与财务报告相关的控制都与审计相关。确定一项控制单独或连同其他控制是否与审计相关,需要注册会计师作出职业判断。
第十六条 在了解与审计相关的控制时,注册会计师应当综合运用询问被审计单位内部人员和其他程序,以评价这些控制的设计并确定其是否得到执行。
第十七条 注册会计师应当了解控制环境。作为了解控制环境的一部分,注册会计师应当评价:
(一)管理层在治理层的监督下,是否营造并保持了诚实守信和合乎道德的文化;
(二)控制环境总体上的优势是否为内部控制的其他要素奠定了适当的基础,以及这些其他要素是否未被控制环境中存在的缺陷所削弱。
第十八条 注册会计师应当了解被审计单位是否已建立风险评估过程,包括:
(一)识别与财务报告目标相关的经营风险;
(二)估计风险的重要性;
(三)评估风险发生的可能性;
(四)决定应对这些风险的措施。
第十九条 如果被审计单位已建立风险评估过程,注册会计师应当了解风险评估过程及其结果。如果识别出管理层未能识别出的重大错报风险,注册会计师应当评价是否存在这类风险,即注册会计师预期被审计单位风险评估过程应当识别出而未识别出的风险。如果存在这类风险,注册会计师应当了解风险评估过程未能识别出的原因,并评价风险评估过程是否适合具体情况,或者确定与风险评估过程相关的内部控制是否存在值得关注的内部控制缺陷。
第二十条 如果被审计单位未建立风险评估过程,或具有非正式的风险评估过程,注册会计师应当与管理层讨论是否识别出与财务报告目标相关的经营风险以及如何应对这些风险。注册会计师应当评价缺少记录的风险评估过程是否适合具体情况,或确定是否表明存在值得关注的内部控制缺陷。
第二十一条 注册会计师应当从下列方面了解与财务报告相关的信息系统(包括相关业务流程):
