美国上市公司会计监管委员会（pcaob）审计准则第2号（节选）――与财务报表审计协同进行的对财务报告内部控制的审计

美国上市公司会计监管委员会（PCAOB）审计准则第2号（节选）与财务报表审计协同进行的对财务报告内部控制的审计内控管理层测试赴抚顺石化测试组美国上市公司会计监管委员会（PCAOB）审计准则第2号（节选）与财务报表审计协同进行的对财务报告内部控制的审计内控管理层测试赴抚顺石化测试组目录准则的适用性4审计师对财务报告内部控制审计的目标4与财务报告内部控制相关的定义5管理层评估运用的框架COSO框架6财务报告内部控制的固有局限性6合理保证的概念6财务报告内部控制审计中管理层的责任6财务报告内部控制审计中重要性的考虑7财务报告内部控制审计中对舞弊的考虑7财务报告内部控制审计的执行8应用通用的外业和报告准则8计划审计业务9评估管理层评估的流程9获得对财务报告内部控制的了解911识别公司层面的控制。12评估审计委员会的监督效果。13识别重要会计科目。13识别与财务报表相关的认定。15识别重要的流程和主要的交易类别。15理解期末财务报告流程。16实施穿行测试。17识别控制以进行测试。18将重要会计科目的控制和认定联系19测试和评估设计效果19测试和评估运行效果20形成关于财务报告内部控制有效性的意见232内控管理层测试赴抚顺石化测试组对书面声明的要求26财务报告内部控制审计与财务报表审计的关系27财务报告内部控制审计中的控制测试28财务报告审计中的控制测试28控制测试对实质性程序的影响28实质性程序对审计师关于控制运行有效性结论的影响29文档记录要求30关于财务报告内部控制的报告30管理层的报告30审计师对管理层报告的评估31审计师对财务报告内部控制的管理层评估报告32审计师负责评估管理层对财务报告内部控制披露事项的确认34管理层的必要确认错误未定义书签。审计师的评估责任34财务报告内部控制审计过程中的必要沟通35生效日363内控管理层测试赴抚顺石化测试组美国上市公司会计监管委员会（PCAOB）审计准则第2号准则的适用性1本准则为审计师审计公司的财务报表和管理层对于财务报告内部控制有效性评估制订要求和提供指引。21934年证券交易法要求上市公司必须在其年报中包括一份关于公司对财务报告内部控制的管理层报告。管理层报告中应当包含公司最近的会计年度末管理层对财务报告内部控制有效性的评估，包括关于财务报告内部控制是否有效的声明。对年报中财务报表进行审计的审计师需要对管理层的评估进行验证并做出报告。要求公司将审计师的验证报告作为年报的一部分予以申报。审计师对财务报告内部控制审计的目标4审计师对财务报告内部控制审计的目标是对管理层关于公司财务报告内部控制有效性的评估发表意见。作为发表意见的基础，审计师必须计划和实施审计以获得截至管理层评估中规定的日期，公司是否在所有重要方面都保持了对财务报告的有效内部控制的合理保证。审计师必须对管理层的评估涉及期间内的财务报表进行审计，因为审计师通过财务报表审计获得的信息与公司财务报告内部控制有效性的审计结论是相关的。对财务报告保持了有效的内部控制意味着不存在实质性漏洞；对财务报告内部控制审计的目标是获得在管理层的评估涉及的期间内不存在实质性漏洞的合理保证。5审计师应对管理层实施的评估进行评价，并且获得和评价对财务报告内4内控管理层测试赴抚顺石化测试组部控制的设计和实施是否有效的证据。与财务报告内部控制相关的定义7本准则将管理层评估和对财务报告内部控制审计涉及的财务报告内部控制定义为在公司主要的高级管理人员、主要财务负责人或行使类似职能的人员的监督下设计的一套流程，并由公司的董事会、管理层和其他人批准生效，该流程可以为财务报告的可靠性及根据公认会计原则编制对外财务报表提供合理保证，并且包括如下政策和程序（1）有关以合理的详尽程度、准确和公允地反映公司的交易和资产处置的记录保管；（2）为必须按照公认会计原则编制财务报表记录的交易，以及公司的收入和支出仅是按照管理层和公司董事会的授权执行的，提供合理的保证。（3）为预防或及时发现对财务报表有重大影响的未经授权的公司资产的购置、使用或处置，提供合理保证。8当某项控制的设计或运行不能使管理层或员工在正常行使其职责过程中及时防止或发现错报时，表明存在某项控制缺陷。Z设计缺陷存在于如下情形，当（A）为达到实现控制目标的必要控制措施未实现，或（B）现有控制的设计不适当，以至于，尽管控制按照设计运行，但控制的目标经常不能实现。Z当适当设计的控制未能按照设计运行，或当实施控制的人员缺乏必要的授权或不具备实施有效控制的资格时，就会发生运行缺陷。9重要缺陷是控制缺陷，或是控制缺陷的集合，它会不利地影响公司按照公认会计原则可靠地初始化处理、授权、记录、处理或报告对外财务数据的能力，以至于有可能导致不能防止或发现对公司年度或期中财务报表大于不重要的错报。10实质性漏洞是重要缺陷的汇总，导致有一定可能性不能防止或发现年度或期中财务报表的重大错报。12即使控制的设计很完善，并且按照设计运行，也不可能完全防止错报5内控管理层测试赴抚顺石化测试组的发生。但是，可以通过重叠预防性控制减少这种错报的概率，或者通过检查性控制部分地减少这种错报的概率。管理层评估运用的框架COSO框架14在美国，反虚假财务报告委员会发起组织委员会已经出版内部控制整体框架，即著名的COSO报告，它基于管理层评估的目的提供了一套适合和可用的框架。因此，本准则中的执行和报告指引也基于COSO框架。15COSO框架确定了内部控制的三个主要目标，经营的效率和效果，财务报告，遵循法律和法规。所有能够严重影响财务报告的控制，包括主要关注于经营效率和效果或遵循法律法规，以及对财务报告责任有实质性影响的控制，都是财务报告内部控制的一部分。财务报告内部控制的固有局限性16由于固有的局限性，财务报告内部控制对于实现财务报告目标不能够提供完全的保证。合理保证的概念17管理层对财务报告内部控制有效性的评估在合理保证的程度上予以表达。合理保证包括对有可能未能及时防止或发现的重大错误的理解。合理保证虽然不是绝对的保证，但是也代表了相对高的保证程度。18由于财务报告有效内部控制所提供的保证存在固有局限性，因此，审计师在对财务报告内部控制进行审计时所获得的保证也是有限的。财务报告内部控制审计中管理层的责任20为使审计师能够令人满意地完成财务报告内部控制审计，管理层必须6内控管理层测试赴抚顺石化测试组做到如下几点A对公司财务报告内部控制的有效性承担责任；B使用适当的控制标准评估公司财务报告内部控制的有效性；C用充分的证据支持其进行的评估，包括文档记录；D提交一份公司最近的会计年度末关于公司财务报告内部控制有效性的书面评估。21如果审计师认为管理层未能履行上一条中列举的责任，审计师应当以书面的方式，与管理层和审计委员会沟通说明无法令人满意地完成对财务报告内部控制的审计，因此他或她将无法表示意见。财务报告内部控制审计中重要性的考虑22审计师在对财务报告内部控制进行审计时，应当基于财务报表和单独帐户余额两个层次运用重要性水平。23运用于财务报告的重要性水平概念也同样适用于财务报告的内部控制，包括定量和定性两个方面的考虑要素。Z定量方面的考虑与财务报表审计中的考虑基本相同，即对于财务报告内部控制未能防止或发现的单独或累加后的错报，是否对财务报表定量方面产生了重大影响。Z定性方面的考虑适用于评估财务报表的重要性水平，以及与其他依赖财务报表信息的理性个人的需求相关的因素。财务报告内部控制审计中对舞弊的考虑24审计师应当对旨在专门识别至少有可能发生的、对公司的财务报表会产生重大影响的舞弊风险的所有控制进行评估。这些控制包括，但不限于抑制能导致对公司财务报表产生重大错报的公司资产滥用行为的控制；公司的风险评估流程；职业操守行为准则，特别是与利益冲突、关联方交易、法律法案、7内控管理层测试赴抚顺石化测试组与管理层、审计委员会或董事会实施的监督准则；内部审计活动的充分性和内部审计部门是否能够直接向审计委员会报告，以及审计委员会参与和交流内部审计的程度；公司处理投诉和接受对存在质疑的会计和审计事宜秘密呈报的流程的充分性。26在对财务报告的内部控制进行审计时，审计师应当将对财务报告内部控制的评估与对财务报表审计中控制的评估结合起来。财务报告内部控制审计的执行27在实施财务报告内部控制审计的时候，审计师必须获得有关内控设计和运行有效性的证据，这里所指的内控针对的是财务报表中的所有重要会计科目和披露事项的相关认定。审计师必须计划和实施审计以获得合理保证，识别出可能是实质性漏洞的单个或汇总缺陷。由于在财务报表审计中所获得信息对于审计师形成关于财务报告内部控制有效性意见的潜在重要性，使得审计师在进行财务报告内部控制审计时，也必须对财务报表进行审计。28在实施公司财务报告内部控制审计时，审计师必须遵守公认准则以及外业和报告准则。包括A计划委托业务；B评价管理层的评估流程；C获得对财务报告内部控制的了解；D测试和评估财务报告内部控制设计的有效性；E测试和评估财务报告内部控制运行的有效性；F形成对财务报告内部控制有效性的意见。应用通用的外业和报告准则31技术培训和熟练程度。在实施财务报告内部控制审计时，审计师应当对财务报告内部控制审计具备足够的胜任能力。36应有的职业谨慎。审计师在对财务报告内部控制进行审计时，必须保8内控管理层测试赴抚顺石化测试组持应有的职业谨慎。应有的职业谨慎中非常重要的一个方面是保持专业的怀疑态度。计划审计业务39应对财务报告内部控制审计进行适当的计划和协助，以保证在需要时，进行适当的监督。评估管理层评估的流程40审计师必须获得对管理层关于公司财务报告内部控制有效性评估的过程的了解。在了解之后，审计师应当确定管理层的评估是否涉及了如下几个方面Z决定应当对哪些控制实施测试，包括对财务报表中的所有重要会计科目和披露事项的相关认定的控制。最常见的控制包括对初始、授权、记录、处理和报告重要会计科目和披露事项以及财务报告中反映的相关认定的控制。对选择和应用与一般公认会计原则一致的会计政策的控制。反舞弊程序和控制。其他控制所依赖的控制、包括信息系统总体控制。对重要的非常规、非系统交易的控制，例如需要判断和估计的会计科目。公司层面的控制包括控制环境对期末财务报告过程的控制，包括对以下程序的控制将记入总帐；在总帐中初始、授权、记录和处理日记帐分录；记录重复发生和非重复发生的对财务报表的调整（例如，合并报表调整，合并报告和重分类调整。）。注本标准中提到的期末财务报告过程是指编制年度和季度财务报表。9内控管理层测试赴抚顺石化测试组Z评估控制失败导致错报的可能性、错报的程度以及在其他控制有效实施的情形下，实现同样的控制目标的程度。Z从公司的不同经营场所和业务单位中选择应当包括在评估过程中的经营场所和业务单位。Z评估控制设计的有效性。Z根据评估其实施有效性的程序是否充足，来评估控制实施的有效性。此类程序包括对内部审计控制的测试，根据管理层的指示实施的其他控制的测试，使用服务机构的报告，对应用控制的证据进行检查，或通过自我评测方式进行测试，其中一些方式可能已经包括在管理层正在进行的监督活动中。仅通过质询不足以完成该评估。为了评估公司财务报告内部控制的有效性，管理层必须评估所有与重要会计科目和披露事项相关的认定进行控制。Z决定财务报告内部控制缺陷的程度和导致重要缺陷和实质性漏洞发生的可能性。Z与审计师及其他人，如果适用，交流审计发现。Z对审计发现是否合理以及是否支持管理层的评估进行评价。42管理层的文档记录。在决定管理层的文档记录是否对其评估提供了合理的支持时，审计师应当评估文档记录是否包括如下方面Z对与财务报表重要会计科目和披露事项相关的所有认定进行控制的设计。文档记录应当包括第49条讨论的公司财务报告内部控制的五个方面，包括控制环境和第53条讨论的公司层次的控制。Z关于重要交易是如何被初始、授权、记录、处理和报告的信息。Z关于交易流向的足够信息，包括识别可能发生错误或舞弊而导致重大错报的关键点。Z已设计的防止或发现舞弊的控制，包括谁实施控制以及相关的职责划分。Z对期末财务报告过程的控制。Z对资产保护的控制（参见第C1C6条）以及Z管理层进行测试和评估结果。43文档记录可以采取多种形式，例如书面记录、电子文档记录或其他媒10内控管理层测试赴抚顺石化测试组介，并且可以包括多种信息，例如，政策手册、流程模型、流程图、职责描述、文件和表格等。文档记录的形式和范围根据公司的规模、性质和复杂性有所不同。44与重要会计科目和披露事项相关的认定的控制设计文档记录是管理层对财务报告内部控制有效性进行评估的证据，包括被识别的控制中的变化，这些都使得与相关人员就其实施控制的责任进行沟通和公司进行监督成为可能。这些文档记录还构成了关于实施控制的责任适当沟通和公司对控制有效运行进行评估和监督的基础。45不充足的与重要会计科目和披露事项相关的认定的控制设计文档记录是公司财务报告内部控制中的缺陷。正如第138条中提到的，审计师应当评估文档记录缺陷。审计师可以得出该缺陷仅仅是一项缺陷，或者该缺陷是一项重要缺陷或实质性漏洞的结论。在评估该缺陷的重要性时，审计师应当确定管理层是否可以证明其在财务报告内部控制中的监督作用。46不充足的文档记录还会导致审计师得出审计范围受到限制的结论。获得对财务报告内部控制的了解47审计师应当通过实施如下程序获得对于专用控制设计的已了解Z询问合适的管理层、监督人员和员工；Z检查公司文件；Z观察专用控制的应用；Z通过信息系统追踪与财务报告相关的交易。48审计师可以实施附加程序来获得对于特殊控制设计的了解。49审计师必须获得与财务报告内部控制第一方面都相关的控制设计的了解，如Z控制环境。由于控制环境对于财务报告可依赖程度的普遍效果，审计师关于其有效性的首要判断，通常包括了必要的有效性的性质、时间和范围。控制环境的漏洞应促使审计师改变对运行的有效必进行测试的性质、时间和程度，而在没有漏洞的环境中这些本不会改变。Z风险评估。在对公司的风险评估过程进行了了解时，审计师应当评估管理层是否发现了对重要会计科目和披露事项以及与财务报表相关的认11内控管理层测试赴抚顺石化测试组定发生重大的错报风险，以及管理层是否采取了控制以防止或发现可能导致重大错报或舞弊。例如，风险评估过程应当指出管理层是如何考虑交易未被记录的可能性，或识别和分析财务报表中记录的重要估计。与可靠的财务报告相关的风险与特殊的事件和交易也是相关的。Z控制活动。审计师对于控制活动的了解与管理层采取的防止和发现与会计科目和披露事项以及与财务报表相关的认定的有关、可能导致重大错报或舞弊的控制活动是一致的。出于评估财务报告内部控制有效的目的，审计师对于控制活动的了解比通常财务报表审计中涉及的会计科目和披露事项的范围要宽。Z信息和沟通。审计师对于管理层的信息和交易的了解与其进行财务报表审计时了解的系统和程序是一致的。除此之外，需要了解的内容还包括强调安全控制和交易与维护记录中的授权流程，以及期末财务报告流程（第76条将详细讨论）。Z监督。审计师对于管理层监督控制的了解有所扩展并包括了其对所有控制的监督，包括管理层设计的防止和发现与会计科目和披露事项以及与财务报表相关认定有关的、可能导致重大错报的错报或舞弊的控制活动。51除了单独列出的特殊控制以外，审计师应当关注控制的组合，来评估根据控制标准是否达到了控制目标。投入为达到特殊标准目标而设计的特殊控制或特殊控制不当，如果其他的控制也针对了同样的标准，那么不会造成控制缺陷。而且，当为达到某一特殊标准而实施了一种以上的控制时，审计师可以不必对实现类似目标的其他控制也进行评估。52识别公司层面的控制。存在于公司层面的控制经常对过程、交易和应用层面的控制产生严重影响。因此，实际地考虑，审计师首先测试和评估公司层面控制读者论坛的有效性是适当的，因为，该项工作的结果可能会影响到审计师评估财务报表内部控制其他方面所采用的方法。53公司层面的控制指的是如下控制Z控制环境内的控制，包括高层基调、对权力和责任的分配、政策和程序的一致性、公司范围的程序，例如适用于公司所有经营场所和业务单位的行为规范和防止舞弊的规范。（参见第113115条）12内控管理层测试赴抚顺石化测试组Z管理层的风险评估过程；Z中央处理和控制，包括共享服务环境；Z监督运行结果的控制；Z监督其他控制的控制，包括内部审计职能活动，审计委员会和自我评估程序；Z期末财务报告流程；和Z关于重要经营控制与风险管理实务的董事会审批政策。注无效的公司层面控制是一种缺陷，会影响实施工作的范围。55评估审计委员会对公司外部财务报告和财务报告内部控制的监督效果。公司的审计委员会在控制环境和监督财务报告内部控制中扮演了一个重要的角色。在控制环境中，有效的审计委员会可以帮助从上层建立一个正面的引导。作为监督的一部分，一个有效的审计委员会从财务的角度检验了公司的活动。注虽然审计委员会在控制环境和监督财务报告内部控制中扮演了一个重要的角色，管理层仍然有责任对财务报告保持一个有效的内部控制。本准则没有暗示已将该责任转移给审计委员会。注如果公司内部不存在类似的委员会，本准则中有关审计委员会的所有内容都适用于公司的董事会。56公司的董事会对于评估审计委员会的业绩和有效性负有责任；由于审计委员会在控制环境和监督财务报告内部控制中扮演的角色，审计师应当将对审计委员会有效性的评估作为整个理解和评估活动的一部分。58审计师还可以估计对管理层和内部审计师提出问题是否正确，包括审计师提出的涉及重要的会计政策和判断性的会计核算的问题，及其得到的答复。59审计委员会疏于监督公司的部财务报告和财务报告内部控制应当被作为至少是重要缺陷对待，并且是财务报告内部控制中存在实质必漏洞的明显标志。60识别重要会计科目。审计师应首先在财务报表层次，然后在会计科目或披露事项因素层次确定重要的会计科目和披露事项。决定财务报表内重要的会计科目和披露事项也是决定特殊控制测试的出发点。在确定重要会计科目时，审计师13内控管理层测试赴抚顺石化测试组应当从定量和定性两个方面进行评估。61考虑到超报和低报的风险，如果某一会计科目中存在的单独错报或累计错报会对财务报表产生重大影响，并且错报发生有一定的可能性，那么这个会计科目就是重要会计科目。根据合理的用户期望，从定性的角度考虑，其他的会计科目也可以是重要的。例如，即使数量不大，投资者可能会基于其代表的重要的业绩指标，而对某一特殊的财务报表会计科目产生兴趣。注在确定重要会计科目时，对发生可能性的评估可以不考虑财务报告内部控制的有效性。62某会计科目余额的组成须经受不同的风险（固有和控制风险）或不同的控制时，该会计科目应当被作为潜在的重要会计科目单独考虑。例如，存货会计科目通常是由原材料（采购流程）、在产品（生产流程）、产成品（分销过程）以及存货跌价准备几个会计科目组成的。63在某些情况下，由于公司的组织结构，某会计科目的不同组成部分也可以是重要会计科目。例如，某公司拥有几个单独的业务单位，每一单位都设置了不同的管理层和会计流程，每一单位的会计科目就可以被作为潜在的重要会计科目单独考虑。64由于某会计科目显示出有未认可的债务风险，该会计科目也可以被认为是重要的。例如，针对自我保险项目所计提的损失准备，或在一个进行施工承包的子公司中未被记录的合约债务责任，虽然其历史成本不重要，但是由于该责任的存在可能导致重大错报，并导致未被启示的重大责任，因此这些会计科目都是重要的。65在决定某一会计科目是否重要时，审计师要从定量和定性两个方面进行评估Z该会计科目的组成和数量大小；Z由于错误和舞弊而损失的敏感程度；Z通过该会计科目处理的单独交易的数量、复杂性和相似性；Z该会计科目的性质（例如，暂记会计科目通常需要较多的关注）；Z与该会计科目相关的会计处理和报告的复杂性；Z该会计科目反映损失的风险（例如，与合并在建工程的应计项目14内控管理层测试赴抚顺石化测试组相关的损失）；Z由于该会计科目记录的经济活动所导致的重要的或有负债发生的可能性；Z该会计科目记录的关联方交易；和Z与前期相比，该会计科目的特性是否发生了变化（例如，由于新交易带来的新的复杂性和主观性）。68识别与财务报表相关的认定。对每个重要会计科目来说，审计师应当确定其与下列财务报表认定的相关程度Z存在或发生；Z完整性；Z估价或分摊；Z权利和责任；和Z表述和披露69为了确定相关的认定，审计师应当确定对于每个重要会计科目来说，有可能发生潜在错报的来源。在决定某一项认定与某重要会计科目余额或披露事项是否相关时，审计师应当进行如下评估Z认定的性质；Z与认定相关的交易的数量或数据；和Z系统的性质与复杂程度，包括公司为支持某一认定，处理和控制信息时使用的信息技术。70如果某一认定对于会计科目是否公允表达有意义，那么这个认定是相关认定。71识别重要的流程和主要的交易类别。审计师应当对每一类主要的影响重要会计科目或几组会计科目的交易的重要流程进行识别。主要的交易类型指的是对财务报表产生重要影响的交易类型。例如，某公司销售主要通过零售商店的个人接触或通过互联网进行，如果它们对公司的财务报表都产生重要的影响，那么这两种类型的销售就是主要销售类型。另一个例子，某公司的固定资产会计科目是重要会计科目，记录折旧费用就是主要的交易类型。72不同的交易类型具有不同的固有风险，要求管理层进行不同层次的监15内控管理层测试赴抚顺石化测试组督和参与。由于这个原因，审计师可以根据交易类型，对已识别的主要交易类型进行进一步分类常规的、非常规的和估计的。Z常规交易指的是企业的会计记录中反映的、政党经营活动中重复发生的财务活动（例如，销售、采购、现金收入、现金支出和工资）。Z非常规交易是定期发生的交易（例如，存货盘点、计算折旧费用、外汇调整）。非常规交易的显著特点是所涉及的数据不是常规交易流程中的一部分。Z对交易的估计综合了管理层的判断或在缺乏精确的测量方式时，对于形成会计科目余额的假设（假如，决定坏帐备抵科目的余额，建立担保准备金，对资产的减值进行评估。）74对于每个重要流程来说，审计师应当Z理解交易的流向，包括交易是如何开始、授权、记录、处理和报告的。Z识别过程中，与每个财务报表认定相关的，易于发生错报的关键点包括由于舞弊的错误。Z识别管理层为了找到潜在的错报而实施的控制。Z识别管理层为防止或及时地发现未经授权的购买、使用或处置公司资产而实施的控制。注是其实施穿行测试的一部分内容。76理解期末财务报告流程。期末财务报告流程包括Z将交易的总数过入总帐的程序；Z在总帐中对日记录进行初始、授权、记录和处理的程序；Z其他在年度和季度财务报表中记录重复发生和非重复发生调整的程序，例如合并调整，合并报告和分类；以及Z编制年度和季度财务报表及其他事项的程序。77作为了解和评估期末财务报告流程的一部分，审计师应当评估Z公司使用编制年度和季度财务报表的输入和输出方法；Z期末财务报告过程中使用信息技术的程度；16内控管理层测试赴抚顺石化测试组Z管理层的参与；Z涉及经营场所的数量；Z调整分录的类型（例如，标准、非标准、消除和合并）；以及Z包括管理层、董事会和审计委员会在内的适当的机构对流程进行监管的性质和程度。78基于对财务报表本身和审计师对财务报表和财务报告内部控制发表意见的重要性，期末财务报告流程是非常重要的环节。审计师对于公司期末财务报告流程以及该流程是如何与公司的其他重要流程相互作用了解，可以帮助审计师对与财务报表风险最相关的控制进行识别与测试。79实施穿行测试。审计师应当对于第一交易类型实施至少一个穿行测试（正如第71条讨论的）。在实施穿行测试时，审计师应当从公司信息系统记录交易的起点开始，直到该笔交易进行公司的财务报告。穿行测试可以为审计师提供如下证据Z确保审计师对于针对财务报告内部控制的五大方面所设计的控制进行识别和了解，包括与防止或发现舞弊相关的控制；Z确保审计师对于整个流程有所了解，并且根据每个相关的财务报表认定，判断是否在流程中容易发生错报的关键点都被识别出来；Z评估控制设计的有效性；和Z确认控制是否被实施。注审计师可以通过穿行测试同时获得对交易流向的了解识别和理解控制程序。80审计师实施的穿行测试应当涉及对单独交易的初始、制空权、记录、处理和报告的整个过程，以及对每个被的重要流程所进行的控制，包括旨在发现风险和舞弊的控制。在穿行测试过程中，每个重要的处理程序或控制发笺节点，审计师应当对公司人员本身对于公司所要求的程序和控制的了解予以质疑，以判断这些处理程序是否被理解并及时地执行了。（补入控制不一定是经常性，但是必须是及时的。）在穿行测试中，审计师应当对于公司要求的程序和控制中的例外予以警惕。17内控管理层测试赴抚顺石化测试组81在实施穿行测试时，审计师应当评估获得证据的质量和实施穿行测试所获得的证据是否与第79条讨论的目标一致。除了对文件进行审阅，对公司人员进行单独冶询问之外，审计师应当采用公司人员使用的信息技术和记录方法，对实际交易的流向进行跟踪，并且对流程或控制过程中发挥重要作用的相关人员进行询问。为了对穿行测试中不同节点获得的信息进行确证，审计师可以询问工作人员，要求他们对流程前后处理的了解以及控制活动进行描述以证明他们的作为。另外，询问中应包含跟踪性问题，以帮助发现对控制的滥用或舞弊的征兆。跟踪性质询的例子包括，询问某些工作人员如下问题Z当他们发现错误或是他们正在判断是否存在错误时，他们会如何做（而不是单纯地询问他们是否实施了所列举的程序或控制）；他们发现了什么样的错误；该错误会导致什么样的结果，以及如何改正错误。如果被询问的人员从来未发现错误，审计师应当评估该情形是由于良好地预防性控制形成的，或是由于补入控制的人员缺乏必要的技能造成的。Z他们是否被要求对过程和控制进行监督，如果是，对为什么会发生和发生了什么进行描述。83识别控制以进行测试。审计师应当对与财务报表的所有重要会计科目和披露事项的所有相关认定所进行的控制的有效性获得足够的证据（或者通过亲自实施控制测试，或者利用他人的工作）。在识别重要会计科目、相关认定和重要流程之后，审计师应当对如下进行评估以识别出可以进行测试的控制Z发生错误或舞弊的节点；Z管理层实施控制的性质；Z为实现控制标准目标而进行的控制的重要性和为实现某一特定目标，是否需要一个以上的控制，或者为实现某一特定目标，补入一个以上的控制是必要的；以及Z控制不能有效实施的风险。影响控制有效实施的因素包括1交易的数量或性质是否发生了变化，导致严重影响控制设计或实施的有效性；1控制设计中是否发生了变化；1某控制依赖其他控制有效性的程度（例如，控制环境或信息系统总体控18内控管理层测试赴抚顺石化测试组制）；1实施控制或监督控制的关键人员是否发生了变化；1控制是依赖个人实施或是自动的；以及1控制的复杂性。84审计师应当将对重要会计科目的单独控制和他们所涉及的认定清晰地联系起来。注由于对财务报告有效地内部控制包括预防性和检查性的控制，审计师一般需要对两者都进行测试。86审计师应当对实现控制目标起重要作用的控制实施控制测试。没有必要对所有的控制实施测试，也不必对冗余性控制实施测试（冗余性控制是指复制实现相同控制目标并且已经被测试过的其他控制），除非冗余性控制本身就是一个控制目标，例如某些计算机控制。测试和评估设计效果88当预期所实施的控制将防止或发现会导致财务报表重大错报的错误或舞弊时，财务报告内部控制的设计是有效的。审计师应当通过如下标准判断公司是否实施了达到控制目标的控制Z识别公司每一领域的控制目标；Z识别满足每一目标的控制；和Z判断如果有效地实施了控制，是否可以防止或发现会导致对财务报表重大错报的错误或舞弊。89审计师实施测试和主体设计有效必的程序包括询问、观察、穿行测试、检查相关文件以及进行特殊评估如果由符合规定的合格人员实施内控运行控制，是否不可能防止或发现将会导致对财务报表重大错报的错误或舞弊。90审计师实施的对于管理层评估流程进行评估和锋利对财务报告内部控制了解的程序，也向审计师提供了善于财务报告内部控制设计有效性的证据。91审计师实施的测试和评估设计有效性的程序也同时提供了善于内控运19内控管理层测试赴抚顺石化测试组行有效必的证据。测试和评估运行效果92审计师应当通过判断控制是否按计划实施和实施控制的人员是否获得了必要的授权和具备有效实施控制的来评估控制实施的有效性。93控制测试的性质。对实施有效性进行控制测试的方式包括询问适当的人员、检查相关记录、观察公司的运营和重新实施控制措施等方式的结合。例如，审计师可以观察打开邮件和处理现金收入的过程来测试对现金收入进行控制实施的有效性。由于观察这一方式只在实施时起和，审计师需要采用在另外的时间里询问公司人员和检查记录等辅助方法。这些询问可以在实施穿行测试时进行。94询问是一种向公司相关人员寻求财务和非财务信息的方法。在审计中，询问方式被广泛采用并且与其他的审计程序互相补充。询问的方式包括正式的书面询问和非正式的口头询问。95评估询问的答复是询问程序的一部分。通过询问可以获得包括实施控制人员的技能和胜任性，控制措施对于防止或发现错误或舞弊的相对敏感程度，和对于防止和发现错误或舞弊实施控制的频率。对于询问的答复可以为审计师提供以前未被处理的信息或证实性证据。此外，对于询问的答复还可以为审计师提供其他的完全不同的信息（例如，关于管理层对控制不当越权发生概率的信息）。在某些情形下，对于询问的答复还为审计师修改或实施追加程序提供了基础。96由于仅是询问并不能对控制实施的有效性提供足够的证据，审计师应当实施追加测试。97内部控制的性质还会影响审计师实施的控制测试的性质。例如，审计师可能检查与存在书面证据的控制相关的文档记录，但是关于控制环境，例如管理层理念和经营风格的某些书面证据可能并不存在。在关于控制或实施控制的书面证据不存在或不被期望存在的情形下，需要对公司的活动进行观察。另外一个例子，在一本发票凭证上签字并不意味着签字的人在签字之前对整个凭证进行了仔细地复核。在这本发票凭证上签字可能只是出于保管的目的（或没有进行任何复核）。因此，关于实施控制有效性的证据的质量有时并不具备足够的说服性。如果发生这样的状况，审计师应当重新实施控制（例如，对价格、增加的部分和20内控管理层测试赴抚顺石化测试组扩充的部分进行核查）作为控制测试的一部分。另外，审计师可以对负责批准凭证的相关人员进行询问，他/她在批准凭证时看到了什么内容，在凭证中发现多少错误。审计师还可以询问主管人员是否知道负责批准的凭证的工作人员未能检查出错误。99审计师对控制有效性的测试应当在控制进行的过程实施。100当审计师对截至某特定时刻控制的有效性进行报告，并且获得了关于某些中间时段的控制实施有效性的证据，审计师应当判断在剩余的时间段内，他/她还需要获得什么样的附加证据对控制的有效性进行评估。在做出决定时，审计师应进行如下评估Z在截至某时刻之前实施的特殊控制以及对其进行测试的结果；Z所获得的关于控制的有效性证据的程度；Z剩余时间段的长度；Z在中间时段之后财务报告内部控制发生重要变化的概率。102在管理层报告中指明的日期之前，管理层可以改变公司的控制使其更有效或可以检查出控制中的缺陷。在这种情形下，审计师并不需要对已被取代的控制进行评估。103审计师必须以书面的形式与审计委员会沟通其所发现的控制中的重要缺陷和实质性漏洞。除此之外，审计师应当基于财务报表审计目标中对控制的依赖程度，对后续控制的设计和运营的有效性进行评估。104控制测试的范围。每一年，审计师必须就公司财务报告内部控制获得足够的证据，包括内部控制所有实施控制部分是否有效。这意味着每一年审计师必须获得与财务报表中重要会计科目和披露事项相关的认定进行有效的控制的证据。审计师需要根据不可预计的具体情况的变化，对控制测试的性质、时间和范围逐年进行改变。例如，每一年，审计师可以选择在不同的中间时段实施控制测试；增加或减少实施的控制测试的数量和类型；或者改变所采用程序的组合。105在决定实施程序的程度时，审计师应当对程序进行设计以保证对被测试控制实施的有效性可以提供一个高水平的保证。在做出决定时，审计师应该对以下因素进行评估Z控制的性质。审计师应对手工控制比对自动控制进行更广泛的测试。在21内控管理层测试赴抚顺石化测试组某些情况下，对自动控制进行一项单独的运行测试可以使控制实施的有效性获得高程度的保证，前提是只要信息系统总体控制的运行是有效的。对于手工控制，关于控制运行有效性的足够证据需要通过多个控制进行评估，并综合其结果后获得。审计师还需要评估控制程度的复杂程度，在做出判断时，还需要考虑控制本身，考虑实施控制的人员的胜任程度是否足以保证控制的有效。如果控制的复杂程度和需要主观判断的程度提高，或则是实施控制人员的胜任能力下降，审计师应当增大测试的范围。Z控制的频率。一般来说，手工控制实施越频繁，审计师应相应地增加控制测试。例如，对于与每项交易相关的手工控制，审计师应当对足够长时间段内进行的各种控制措施测试以获得对于控制有效性的高程度保证。对于实施并不频繁的控制，例如月度会计科目调节表和对期末财务报告过程的控制，审计师可以只对重要控制进行测试。但是，审计师对于实施并不频繁的控制进行评估的范围应当放宽。例如，是对于月度例外报告进行评估时，审计师应当根据对例外情形的分布所做出的判断是否适当和获得了足够的支持进行评估。注如果进行了适当的抽样以及被测试控制的样本总体足够大，增加样本总体的大小不会成比例地提高所需要的样本量。Z控制的重要性。应当对相对重要的控制进行广泛的测试。例如，有些控制会涉及多项财务报表认定，有些期末检查性控制比相关的预防性控制更重要。如果此类控制运行不频繁，则审计师应当对此类控制实施更多的测试，审计师应当更广泛地评估控制的每项运行。106当评估测试的结果时采用专业的怀疑态度。审计师必须采用专业的怀疑态度对财务报告内部控制和财务报表进行审计，专业的怀疑态度包括了质疑的思维方式和对审计证据的批判性的评估。例如，即使是审计师所信赖的、能够保证以前控制实施有效性的同一工作人员所实施的控制，也有可能该工作人员变得自满、不专心未能履行应尽责任，造成当期控制并不有效。同样，不考虑该组织的任何过去经验或者是审计师关于管理层诚实和正直的信念，审计师应该意识到由于舞弊造成重大错报的可能性。进一步分析，专业的怀疑态度要求审计师根据所获得的证据考虑其显示的由于舞弊造成重大错报的情形。在运用专业的怀疑态度收集和评估证据时，审计师不能由于相信管理层是诚实的而满足于使用缺乏22内控管理层测试赴抚顺石化测试组说服力的证据。107当审计师发现公司设定的控制程序中的例外情形时，他/她应当根据专业的怀疑态度，决定由于例外情形所造成的适当的和必要的追加测试的性质和范围，以便对控制的有效性进行评估。基于例外情形所做出的结论并不代表控制缺陷，除非得到的证据显示出超出了审计师的计划以及超出了支持结论的询问内容。形成关于财务报告内部控制有效性的意见127在对财务报告内部控制发表意见时，审计师应当对获得的所有证据进行评估，包括Z管理层实施的评估的充分性以及审计师对控制的设计和运行有效性进行测试的评估结果；Z在财务报告审计中实施实质性测试得到的负面结果（例如，实施审计程序后发现的已记录和未记录的调整）；以及Z发现的任何控制缺陷。128作为评估的一部分，审计师应当复核当年由内部审计（或其他类似智能，例如财务机构对贷款进行审查）做出的与财务报告内部控制相关的所有报告以及在报告中提到的控制缺陷。复核范围应当包括内部审计对业务进行审计或者对关键流程进行专门检查所形成的报告中与财务报告内部控制相关的部分。129发表无保留意见。只有在没有发现实质性漏洞和审计师的工作没有受到限制的情况下，审计师才可以发表无保留意见。如果存在实质性漏洞，审计师应当对财务报告的内部控制发表否定意见，如果工作范围受到限制，审计师应当发表保留意见或无法表示意见，视受限制的范围所定。130评估财务报告内部控制的缺陷。审计师必须评估已发现的控制缺陷，并且决定这些缺陷单独或累加之后，是否是重要缺陷或实质性漏洞。对缺陷的严重性进行评估应当包括定量和定性两方面。81审计师对财务报告内部控制中缺陷。审计师必须评估已发现的控制缺陷，并且决定这些缺陷单独或累加之后，是否是重要缺陷或实质性漏洞。对缺陷的严重性进行评估应当包括定量和定性两个方面。23内控管理层测试赴抚顺石化测试组131审计师是对财务报告内部控制中缺陷的严重性进行评估应当考虑以下几个方面Z某缺陷或缺陷汇总会导致某会计科目余额或披露事项产生错报的可能性；和Z某缺陷或多个缺陷造成的潜在错报的严重程度。132财务报告内部控制缺陷的严重性要根据其导致潜在错报的可能性决定，而不是根据是否实际已发生了错报而决定。133某些因素影响到某缺陷或缺陷汇总导致会计科目余额或披露事项产生错报的可能性。这些因素包括，但不限于Z财务报告会计科目、披露事项和相关的认定的性质；例如，暂记会计科目和关联方交易涉及的风险就相对大。Z相关的资产或负债易受损失或舞弊影响的程度；即，容易导致风险提高的敏感程度。Z在决定涉及的金额时需要运用主观判断的复杂性或范围；即与某会计估计相关的、需要运用主观判断的复杂性所导致的风险上升。Z控制实施有效性中已知的或被发现的例外情形的原因和发生频率；例如，某项控制带观察到的不能被忽略的偏差率是一项缺陷。Z某控制与其他控制的相互作用或相互关系；即冗余或控制依赖。Z缺陷的相互作用；例如，在评估某两项或几项缺陷的集合时，考虑缺陷是否影响到了同样的财务报表会计科目和认定。Z缺陷未来的可能后果。134在评估某缺陷或缺陷汇总导致重大错报的可能性时，审计师应当考虑这些控制与其他控制的相互作用。某些控制，例如信息系统总体控制，是其他控制所依赖的控制。某些控制要与其他控制一起才能发挥作用。其他的控制重叠之后，会达到与某些控制相同的目标。135某些因素影响到某控制缺陷或缺陷汇总导致错报的程度。这些因素包括，但不限于Z受该缺陷影响的财务报表金额或交易总数。Z在当前时段内发生或预计在未来时段内发生的，受该缺陷影响的会计科24内控管理层测试赴抚顺石化测试组目余额或交易类型的数量。136在评估潜在错报的程度时，审计师应当意识到某会计科目余额或交易总数被多报的最大金额通常就是已经被记录的金额。但是，已经被记录的金额并不是潜在的少报金额的底线。审计师还应当意识到错报的风险根据最可能产生错报的最大金额与相对有微小可能产生错报的最大金额不同而不同。137在评估财务报告内部控制缺陷的严重性时，审计师还应当决定为满足审慎的人员在履行自己的职责时，对根据一般公认会计原则对交易进行记录并编制财务报表获得的合理保证而需要的保证程度和细节程度。如果审计师决定了某控制缺陷会阻碍审慎的负责人员在履行自己的职责时获得合理的保证，那么审计师应当将这项缺陷视为至少是重要缺陷。在采取这种方式判断重要缺陷时，审计师必须对控制缺陷进行进一步的评估以决定该缺陷单独、或与其他缺陷相互作用之后，会导致实质性漏洞。注第9和10条分别白日提供了重要缺陷和实质性漏洞的定义。138不充足的控制设计文档记录，以及缺乏支持鉴定电动关于财务报告内部控制实施有效性的评估所需要的足够的书面证据，都是控制缺陷。审计师应当将其与其他的控制缺陷放在一起，评估其严重程度。139影响财务报告内部控制的定性因素和定量因素的相互作用，会导致下列领域出现某些缺陷至少是财务报告内部控制中的重要缺陷Z对于是否根据一般公认会计原则对会计政策进行选择和应用的控制地；Z反舞弊程序和控制；Z对于非常规和非系统交易的控制；和Z对于期末财务报告过程的控制，包括对将交易总数过入总帐；初始、授权、记录和处理总帐中的日记帐分录；和记录财务报表中重复发生和非重复发生的调整的控制。140下面列举的每一种情形都应当被认为至少是一个重要缺陷，并且是财务报告内部控制存在实质性漏洞的明显征兆Z对已经签发的财务报表进行重报以反映对错报的更正。注对错报的更正包括对由于错误或舞弊导致的错报进行重报；不包括为适用新的会计原则而对会计政策进行变更从而导致的重报，或者是从适用一项25内控管理层测试赴抚顺石化测试组公认会计原则自动转为适用另一项公认原则而导致的重报。Z审计师发现的、最初未被公司财务报告内部控制识别的当期财务报表中的重大错报。（即使管理层随后对错报进行更正，这仍然是存在实质性漏洞的明显的征兆。）Z公司审计委员会对于公司对外财务报告和财务报告内部控制的监督无效。（第55条到59条列举了评估和判断审计委员会是否有效需要考虑的几个方面。）Z公司内部审计职能或风险评估职能无效，该职能必须有效以表明公司具有一个有效的监督风险评估机制是，特别是对于规模非常大或非常复杂的企业。注对于内部审计职能和评估职能的评估与第55条到59条手相术的对于审计委员会职能的评估类似。应当在发挥监督和风险评估作用的情形下进行评估。审计师不需要单独对这些职能的有效进行评估。实际上，审计师应当根据在财务报告内部控制中评估监督和风险评估机制所获得的证据发表自己的意见。Z受高度行业监管的复杂实体，合规性监管职能无效。这条只与无效合规性监管职能的方面相关，其中违反法律和规范的行为可能对于财务报告的可靠性产生重大影响。Z识别出高级管理层中的任何程度的舞弊行为。注明察暗访顜需要对实施的程序进行计划以便获得其发现舞弊导致重大错报的合理保证。但是，出于评估和报告财务报告内部控制中的缺陷的目的，审计师应当评估他/她意识到的、涉及高级管理层的优秀作品程度（包括导致非重大错报）的舞弊。而且，出于本情形的目的，“高级管理层”包括了根据法案第302条签署公司证明的主要高级管理人员和财务负责人，也包括在公司财务报告过程发挥重要作用的其他管理人员。Z就重要缺陷与管理层和审计委员会沟通后，该缺陷在一个合理的期间内仍没有得到纠正。Z控制环境失效。对书面声明的要求142在对财务报告内部控制审计时，审计师应当从管理层获得如下书面声26内控管理层测试赴抚顺石化测试组明A、管理层意识到建立和保持有效的财务报告内部控制是他们的责任；B、说明管理层已实施对公司财务报告内部控制有效性的评估，并专门列举了控制标准；C、说明管理层没有将审计师在财务报告内部控制审计或财务报表审计中实施的审计程序作为其对于财务报告内部控制有效性评估的基础；D、说明管理层就某特定日期得出的关于财务报告内部控制有效性的结论所依据的控制标准；E、说明管理层已向审计师披露了在其评估中发现的财务报告内部控制的设计和各的所有缺陷，包括向审计师单独披露了那些被认为是财务报告内部控制的重要缺陷或实质性漏洞；F、描述涉及高级管理层或管理层或在公司财务报告内部控制中发挥重要作用的其他雇员的任何重大舞弊行为和任何其他非重大舞弊行为。G、说明依照第207条，以前审计中发现并已与审计委员会沟通过的控制缺陷已经解决，并应特别指出那些尚未解决的控制缺陷；和H、说明在报告日期之后，是否存在公司财务报告内部控制的任何变化以及可能对公司财务报告内部控制产生重大影响的其他因素，包括管理层针对重要缺陷和实质性漏洞采取的任何纠正措施。143未能从管理层获得书面声明，包括管理层拒绝提供的情形，是对审计范围的限制，足以排队发表无保