内部控制审计操作手册范本

目录第一章获取审计业务约定书 1一、获取审计业务约定书 1二、内部控制审计业务约定书的内容 1三、连续审计 2四、审计业务约定条款的变更 2五、业务约定书的文档记录 3第二章建立审计项目组 3一、项目小组成员的要求 3二、组建项目小组的考虑 3三、管理、指导、并监督项目小组 4四、项目小组成员的角色及责任 5第三章了解被审计单位及其环境 6一、了解被审计单位及其环境的必要性 6二、了解被审计单位及其环境的程度 7三、了解被审计单位及其环境的主要内容 73.1行业状况、法律环境与监管环境以及其他外部因素 7 3.1.1行业因素 83.1.2遵守法律法规的规定 83.1.3其他外部因素 83.2了解被审计单位的性质 93.3被审计单位对会计政策的选择和运用 103.4被审计单位的目标、战略以及相关经营风险 103.5被审计单位财务业绩的衡量和评价 11四、了解IT在企业中的角色 124.1了解IT复杂程度 124.2了解IT对我们审计工作的影响 13五、如何了解企业及其环境 135.1检阅相关信息 135.2询问企业管理层及其他人员 145.3观察及检查 145.4信息来源 14六、确定重大错报风险 15七、工作底稿记录 15 第四章利用专家的工作 15一、确定是否利用专家的工作 161.1确定IT专家的介入程度 171.2确定税务专家的介入程度 17 1.3确定相关行业专家的介入程度 18二、利用管理层专家的工作 182.1评价管理层专家的胜任能力、专业素养和客观性 182.2了解管理层专家的工作 192.3评价管理层专家的工作是否足以实现审计目的 20三、利用事务所的内部专家的工作 21四、利用事务所外部专家的工作 23五、记录审计工作 26第五章了解企业整体的内部控制 27一、企业层面控制的内涵 27二、企业层面控制对其他控制及其测试的影响 28三、了解和评价企业层面内部控制的主要内容 293.1与控制环境(即内部环境)相关的控制 303.1.1管理层的理念和经营风格 313.1.2诚信和道德价值观念的沟通与落实 313.1.3治理层的参与程度 323.2针对管理层和治理层凌驾于控制之上的风险而设计的控制 323.3被审计单位的风险评估过程 343.4对内部信息传递的控制 353.5对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价 353.5.1管理层是否定期地将会计系统中记录的数额与实物资产进行核对 363.5.2管理层是否为保证内部审计活动的有效性而确立了相应的控制 363.5.3管理层是否建立了相关的控制以保证自我评价或定期的系统评价的有效性 363.5.4管理层是否建立了相关的控制以保证监督性控制能够在一个集中的地点有效进行(如共享服务中心等) 363.6集中化的处理和控制(包括共享的服务环境) 363.7监督经营成果的控制 37四、企业层面控制对其他控制及其测试的影响 38五、如何了解企业层面控制 395.1了解企业层面控制的方法 395.2审计证据的考虑和了解企业层面控制的范围 39六、识别和评估重大错报风险 40七、工作底稿记录 40第六章识别舞弊风险并确定应对措施 40一、识别舞弊风险的相关要求 40二、识别舞弊风险的主要程序及考虑因素 412.1组织项目组讨论 422.2就舞弊风险询问管理层和其他人员 422.2.1询问管理层 422.2.2询问内部审计人员 432.2.3询问内部其他人员 442.2.4询问治理层 442.3考虑舞弊风险因素 452.4考虑异常关系或偏离预期的关系 452.5考虑其他信息 45三、识别由于舞弊而导致的重大错报风险 453.1收入确认 46四、应对舞弊导致的重大错报风险 464.1总体应对措施 464.2特别措施 46 五、应对管理层凌驾于控制之上的措施 47六、应对与关联方有关的由于舞弊而导致的重大错报风险的措施 47七、对审计其他方面的影响 48第七章确定重要性水平 48一、了解确定整体重要性水平需做的考虑 481.1确定整体重要性水平时财务报表使用者的展望与预期 491.2整体重要性水平的恰当基准 491.2.1是否存在特定会计主体的财务报表使用者特别关注的项目 491.2.2被审计单位的性质、所处的生命周期阶段以及所处行业和经济环境 491.2.3治理层的看法和预期 49二、了解确定特定类别的交易、账户余额或披露的重要性水平需做的考虑 50三、了解确定实际执行重要性水平（可容忍误差）需做的考虑 50四、确定整体重要性水平 504.1定义整体重要性水平时确定应用适当百分比的税前利润 514.1.1上市企业或重要项目 514.1.2非重要项目 514.2当税前利润作为计量基准不恰当时确定应用适当百分比的计量基础 51五、确定特定类别的交易、账户余额或披露的重要性水平 52六、确定实际执行的重要性水平 52七、在审计过程中修改重要性水平 53第八章识别重大账户、重大列报及相关认定 53一、识别重大账户、重大列报及其相关认定 531.1重大账户或列报 531.2确定重大账户或列报的金额标准 531.3确定重大账户或列报的性质考虑 541.3.1重大账户或列报的性质确定 541.3.2考虑已识别的固有风险 541.3.3评价财务报表项目及附注的错报风险因素 541.4有关账户的其他考虑因素 55二、确定相关认定 552.1利润表科目的重要账户的相关认定 562.2资产负债表重要账户的相关认定 562.3与列报和披露相关的认定 56三、更新我们确定的重大账户或列报及相关认定 57第九章识别重大业务流程和重大列报流程 57一、识别业务流程 571.1常规的业务流程 581.2非常规的业务流程 581.3估计的业务流程 58二、确定重大流程 582.1确定重大业务流程 582.2对重大估计业务流程的考虑 592.3重大列报流程 59三、识别相关信息系统 60第十章关于集团审计的特殊考虑 60一、了解集团及其环境、集团组成部分及其环境 60二、了解集团及其组成部分的内部控制 61三、集团管控风格的影响 62四、确定重要性水平以及可容忍误差 624.1确定集团整体财务报表重要性 634.2确定集团实际执行的重要性（可容忍误差） 634.3确定组成部分可容忍误差 63五、确定重要组成部分 645.1根据规模确定 655.2根据特定性质或情况确定 655.3不重要组成部分 65六、识别重大账户、重大列报及其相关认定 65七、组成部分内部控制审计策略 66八、设定组成部分审计策略的标准 66第十一章了解企业内部控制自我评价过程以及利用他人的工作 67一、了解企业内部控制自我评价过程 67二、利用他人的工作 682.1对专业胜任能力和客观性的考虑 682.1.1专业胜任能力和客观性对可利用他人工作程度的影响 682.2对利用内部审计人员工作的特殊考虑 692.2.1评价内部审计人员的专业胜任能力 692.2.2评价内部审计人员的客观性 702.3利用内部审计人员的工作成果 712.4确定利用他人工作的范围 742.5测试由他人执行的部分工作 74三、工作底稿记录 75第十二章评价企业层面控制测试 75一、间接的企业层面控制 75二、应对舞弊导致的重大错报风险（包括董事会、管理层凌驾于控制之上的风险）的控制 76三、控制环境 77四、充当业务层面控制的直接企业层面控制 77五、工作底稿记录 77第十三章了解重大业务流程和重大列报流程 78一、考虑企业层面控制对重大业务流程和重大列报流程的影响 78二、识别重大业务流程和重大列报流程的关键流程 782.1信息来源 802.2询问 802.3观察和检查 802.4对服务机构的考虑 81三、在重大业务流程和重大列报流程中识别可能出错项 813.1如何识别可能出错项 823.2将可能出错项联系到相关认定 833.3特别风险和可能出错项 833.4IT方面的可能出错项 83四、识别与审计相关的控制活动 844.1相关的控制的种类 844.2如何开始识别相关控制 844.3对识别降低特别风险的控制的特殊考虑 84五、对了解不同性质的重大业务流程的具体考虑 855.1重大业务流程的种类 855.2相关控制活动 865.2.1管理层对专家的利用 875.2.2假设 875.2.3改变会计估计的方法 875.2.4估计的不确定性 88六、对了解重大列报流程的特殊考虑 886.1重大会计账户的列报 886.2财务报表决算过程的列报 88第十四章执行穿行测试 89一、执行穿行测试 891.1穿行测试的程序 901.2与穿行测试过程中进行的询问相关的考虑 901.3对穿行测试的结果得出结论 911.4对控制有效性的初步评价 91二、穿行测试的特殊考虑 922.1会计估计的流程 922.2关于降低重大错报风险的控制的穿行测试的考虑 922.3在执行穿行测试时利用他人工作 932.4针对自动化程序里的数据和交易信息 93第十五章选择、测试内部控制 93一、选择拟测试的控制的基本要求 94二、选择拟测试的控制的考虑因素 942.1选择适当的控制测试 942.1.1控制的目标和分类 95预防性控制和检查性控制 95手工控制和自动执行的控制 952.2确认已选测试的控制与审计相关 972.3评估已选测试的控制是否充分敏感 97三、与控制相关的风险 99四、控制测试的程序的性质 1004.1询问 1004.2观察 1004.3检查 1004.4重新执行 101五、控制测试的时间安排 1025.1期中测试的两种方法 1025.2是否测试被取代的控制 1035.3期中测试和前推程序 1035.4针对信息技术一般控制（ITGCs）和应用控制的前推程序 1045.5集团内部控制审计中实施前推程序的考虑 104六、控制测试的范围 1056.1影响测试范围的因素 1056.2抽样方法的一般考虑 1056.3样本参考量 1066.3.1测试人工控制的最小样本规模 1066.3.2测试应用控制的最小样本规模 1076.4追加控制测试 107七、执行内部控制测试 1087.1执行控制测试的一般考虑 1087.2审计证据质量的额外考虑 108八、评价控制偏差 1088.1确认控制偏差 1088.2确定控制偏差的属性 1098.3确定审计应对措施 110九、工作底稿记录 110第十六章了解和评价财务报告流程（FSCP） 111一、了解和评价财务报告流程过程 1111.1财务报告流程了解程度 1111.2对财务报告流程进行了解的起点 1121.3了解和评价财务报告流程的程序 1131.3.1了解财务报告流程的子过程 113编制试算平衡表并进行任何必要的合并 113生成、授权和记录记账分录 113编制财务报表及相关列报 1131.4识别可能出错项 1141.5识别和了解财务报告流程中的控制活动 1141.6初步评价控制的有效性 115第十七章了解、穿行测试、测试和评估IT一般控制 115一、信息系统审计范围界定 116二、信息系统环境中的控制测试 1162.1信息系统审计策略的确定 1162.2信息系统一般控制测试 1172.3系统应用控制测试 119三、控制测试底稿 120附件一信息系统环境复杂度判断指引 120附件二信息系统环境控制测试底稿 122第十八章评价内部控制缺陷 123一、控制缺陷的分类 123二、内部控制缺陷评价时的一般考虑 1242.1衡量缺陷严重性的标准 1242.2充分考虑缺陷组合 1242.3补偿性控制 1242.4考虑企业内部控制自我评价的结果 124三、财务报告内部控制缺陷评价标准 1243.1定量标准 1253.2定性标准 125四、非财务报告内部控制缺陷评价标准 126五、内部控制缺陷评价程序 127六、内部控制缺陷评价的特殊考虑 1306.1对信息系统一般控制的考虑 1306.2对企业层面控制缺陷评价的考虑 1316.3与其他缺陷一同进行评价 1316.4内部控制缺陷评价的其他关注领域 132七、内部控制缺陷整改 132八、工作底稿记录 132第十九章完成审计工作 133一、项目组内部讨论 133二、取得管理层的书面声明 134三、与企业沟通控制缺陷 135四、形成审计意见 136第二十章出具审计报告 137一、出具标准内部控制审计报告 137二、出具非标准内部控制审计报告 1382.1带强调事项段的无保留意见内部控制审计报告 1382.2否定意见内部控制审计报告 1392.3无法表示意见内部控制审计报告 139三、非财务报告内部控制存在重大限制 140四、对期后事项的考虑 140五、内部控制审计报告与财务报表审计报告的衔接 141第一章获取审计业务约定书在内部控制审计业务开始前，我们应先确定我们已遵循了风险管理委员会拟订的《业务承接制度--客户关系和具体业务的接受与保持操作规程》，评估客户承接/保持程序的结论以确定其对我们审计风险评估及审计策略的影响，确定客户承接/保持决定是适当的。在执行相关程序以评价职业道德（包括独立性）要求的合规性及我们已遵守事务所独立性政策后，我们应当就内部控制审计业务约定条款与客户达成一致意见，并单独签订内部控制审计业务约定书。一、获取审计业务约定书根据《中国注册会计师执业准则》第九条，注册会计师应当就审计业务约定条款与管理层或治理层（如使用）达成一致意见；第十条，注册会计师应当将达成一致意见的审计业务约定条款记录于审计业务约定书或其他适当形式的书面协议中。在审计工作开始前，我们应当获取根据我所内部控制审计业务约定书模板的要求编制的业务约定书，并在适用时加入对特定项目的特殊要求。业务约定书确定了我们与公司的业务条款，是记录项目范围和条款的重要书面文件。业务约定书描述了我们在项目执行过程中的责任，以及客户管理层对内部控制的责任，及其为我们的审计工作提供信息及人员协助的责任。通常情况下，项目小组应在获取业务约定书之后才开始工作。只有在很特殊的情况下，项目小组才需要在获取业务约定书以前开始展开工作，例如参加盘点。二、内部控制审计业务约定书的内容内部控制审计业务约定书应当单独出具。业务约定书的具体内容可能因被审计单位的不同而存在差异，但应当包括下列主要方面：内部控制审计的目标；企业对内部控制的责任；企业建立内部控制所依据的内部控制框架；内部控制审计范围，包括指明注册会计师在执行内部控制审计业务时遵守的《企业内部控制审计指引》和《中国注册会计师执业准则》的相关要求；内部控制的固有局限性及审计的固有限制；管理层为我们提供必要的工作条件和协助；我们不受限制地接触任何与审计有关的记录、文件和所需要的其他信息；企业对其作出的与审计有关的声明予以书面确认；我们对执业过程中获知的信息保密；审计收费，包括收费的计算基础和收费安排；违约责任；解决争议的方法；签约双方法定代表人或其授权代表的签字盖章，以及签约双方加盖的公章。如果情况需要，内部控制审计业务约定书还可以包括其他条款，例如：在某些方面对利用其他注册会计师和专家工作的安排；计划和执行内部控制审计工作的安排，包括项目组的构成；对审计涉及的其他人员（包括被审计单位的内部审计人员、其他人员以及在管理层或治理层指导下的第三方）工作的安排；我们与被审计单位之间需要达成进一步协议的事项；向其他机构或人员提供审计工作底稿的义务。我所《内部控制审计工作底稿》模板提供了内部控制审计业务约定书的参考格式。注册会计师可根据业务的具体情况作出必要修改。三、连续审计对于连续审计，我们应当根据具体情况评估是否需要对审计业务约定条款作出修改。下列因素可能导致我们修改审计业务约定条款或提醒被审计单位注意现有的约定条款：有迹象表明被审计单位误解审计目标和范围；需要修改约定条款或增加特别条款；法律法规的规定发生变化。四、审计业务约定条款的变更 被审计单位可能由于下列事项要求我们变更审计业务约定条款：环境变化对审计服务的需求产生影响；对原来要求的审计业务的性质存在误解；无论是管理层施加的还是其他情况引起的。当被审计单位要求变更审计业务约定条款时，我们应当考虑要求变更的理由是否合理，特别是审计范围存在限制的影响。由于环境变化导致对审计服务的需求产生影响，或对原来要求的审计业务性质存在误解可以认为是被审计单位要求变更审计业务约定条款的合理理由。相反，如果有迹象表明变更审计业务约定条款的要求与错误的、不完整的或不能令人满意的信息有关，该变更不能认为是合理的。五、业务约定书的文档记录为了满足检查的需要，我们应将业务约定书的一份副本存于工作底稿中，或者在工作底稿中记录该副本的存放位置。第二章建立审计项目组在进行初步业务活动时，项目合伙人需要统筹考虑审计工作，挑选相关领域的人员组建项目小组，同时组织对项目组成员进行培训，以合理安排内部控制审计工作。一、项目小组成员的要求我们期望审计项目小组具有：通过培训或者参与项目而获取的性质和复杂程度类似的审计知识和项目经验；了解企业内部控制相关规范和指引要求；了解《企业内部控制审计指引》、《企业内部控制审计指引实施意见》和《中国注册会计师执业准则》的相关要求；拥有适当的专业知识，包括与项目相关的IT知识；拥有与客户所处行业相关的知识；具有职业判断能力；了解事务所的质量控制政策与程序。二、组建项目小组的考虑组建一个项目小组时，我们需要考虑以下因素：及时确定人员需求；准备项目时间预算以确定所需资源的要求，并安排工作进度；使项目小组具有合适的技巧、经验、能力；项目大小及复杂度；所需专业能力；工作时间；项目小组成员的连续性和定期轮换；项目上的培训机会；可能出现的独立性问题和利益冲突；考虑项目小组成员是否具有与项目复杂度及其他要求相匹配的工作和培训经验；确定项目小组所需要的管理、监控、以及指导；确定负有这些责任的项目小组成员。我们需要对开展审计工作中需要、但当前项目小组成员不具备的额外所需技能做出评估，并针对此情况制定计划获取相关资源。例如：当项目小组成员不具备与客户公司IT环境相关的知识技能时，我们需要获得IT专业人员的协助以测试与IT系统相关的内部控制。我们要确定审计现场是否需要使用公司会计与审计专业以外的人员，是否需要从公司外部引入专家。关于利用专家的工作的更多要求与指引，请参见“第四章利用专家的工作”。三、管理、指导、并监督项目小组项目小组组建完成后，我们应当制定计划，分配工作，确定对项目组成员的指导和监督以及对其工作的复核。在项目初期阶段，项目小组负责人应当与项目小组成员讨论确定工作分配，这样可以让项目小组成员了解其在项目中的职责、预期工作成果和了解其他项目小组成员的职责。同时，我们要讨论并确定项目小组的目的和目标、责任和交付的成果。在项目进行的过程中，项目合伙人和项目中负责监督的人应当：监控项目的进展；复核审计工作底稿；评估项目小组成员是否具有执行所分配的工作的技能和能力，有充分的时间执行所分配的工作；解决重大的财务及审计问题。负有指导审计工作的项目小组成员具有需要了解其监督工作质量及进度的责任，包括：对于所分配的工作的成员，给予充分的指导；定期复核工作底稿；对比预算控制实际花费的时间；复核已完成的工作底稿和即将出具的审计报告。四、项目小组成员的角色及责任项目小组各成员的责任如下：经理级别以下的有经验的审计员和初级审计员直接参与审计工作，编制相关工作底稿。除项目合伙人以外的项目小组负责人（例如：经理、高级经理）如有必要，直接参与审计流程的设计与执行，例如：亲自编制高风险领域的工作底稿。对审计员及高级审计员编制的工作底稿进行详细复核，复核审计报告，确保我们出具的审计报告是适当的；与公司治理层及管理层进行沟通；与项目小组其他成员沟通值得关注的事项。项目合伙人在项目特定阶段进行复核，确保重大发现及问题在我们的审计报告出具前及时解决；如有必要，直接参与审计流程的设计与执行，以便了解高风险领域及其他审计小节中记录的事项；项目合伙人有责任对我们的职业判断、项目中识别的复杂事项、重大风险、及其他项目合伙人认为重要的事项进行复核；对高风险领域进行第二层次复核，以便确信详细复核是充分的，对重大账户、重大列报和相关认定的审计流程是充分的；与项目小组其他成员沟通值得关注的事项；复核我们的审计报告，确保我们出具的审计报告是适当的；复核我们与公司治理层及管理层的沟通，包括重大缺陷的沟通。第三章了解被审计单位及其环境在了解客户业务时，我们应了解企业及其经营环境。了解程度依赖于我们的职业判断。我们应考虑对于企业及其经营环境，我们是否获取了足够的了解，以支持我们所评估的财务报表及认定层面的重大错报风险（包括舞弊及错误），并为我们设计、执行审计程序应对重大错报风险提供基础。一、了解被审计单位及其环境的必要性了解被审计单位及其环境是财务报表审计及内部控制审计的必要程序，特别是为我们在下列关键环节做出职业判断提供重要基础：确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；确定重大账户、重大列报及相关认定；考虑会计政策的选择和运用是否恰当，以及财务报表的列报包括披露是否适当；识别需要特别考虑的领域，包括关联方交易、管理层运用持续经营假设的合理性，或交易是否具有合理的商业目的等；确定在实施分析程序时所使用的预期值；设计和实施进一步审计程序，以将审计风险降至可接受的低水平；评价所获取审计证据的充分性和适当性。而按照《企业内部控制审计指引》第七条要求：“在计划审计工作时，注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响：（一）与企业相关的风险；（二）相关法律法规和行业概况；（三）企业组织结构、经营特点和资本结构等相关重要事项；企业内部控制最近发生变化的程度；与企业沟通过的内部控制缺陷；重要性、风险等与确定内部控制重大缺陷相关的因素；（七）对内部控制有效性的初步判断；（八）可获取的、与内部控制有效性相关的证据的类型和范围。”职业判断贯穿于注册会计师审计的全过程。职业判断只有建立在对被审计单位及其环境了解的基础上，才是恰当的和符合实际的。二、了解被审计单位及其环境的程度了解被审计单位及其环境是一个连续和动态地收集、更新与分析信息的过程，贯穿于整个审计过程的始终，涉及被审计单位外部、内部，社会政治、技术经营的方方面面。我们由于时间、成本的限制，应当运用职业判断确定需要了解被审计单位及其环境的程度。评价对被审计单位及其环境了解的程度是否恰当，关键是看我们对被审计单位及其环境的了解是否足以识别和评估财务报表重大错报风险。如果了解被审计单位及其环境获得的信息足以识别和评估财务报表重大错报风险，设计和实施进一步审计程序，那么了解的程度就是恰当的。当然，我们对被审计单位及其环境了解的程度，要低于管理层为经营管理企业而对被审计单位及其环境需要了解的程度。三、了解被审计单位及其环境的主要内容《中国注册会计师执业准则》要求我们必须执行风险识别程序，从下列方面了解被审计单位及其环境：（1）行业状况、法律环境与监管环境以及其他外部因素；（2）被审计单位的性质；（3）被审计单位对会计政策的选择和运用；（4）被审计单位的目标、战略以及相关经营风险；（5）被审计单位财务业绩的衡量和评价。上述第（1）项是被审计单位的外部环境，第（2）项至第（4）项是被审计单位的内部因素，第（5）项则既有外部因素也有内部因素。值得注意的是，被审计单位及其环境的各个方面可能会互相影响。因此，我们在对被审计单位及其环境的各个方面进行了解和评估时，应当考虑各因素之间的相互关系。我们进行企业内部控制审计，针对上述五个方面进行初步了解，在审计实务中，需要了解的被审计单位及其环境各个方面的具体内容，不同行业、企业可能有较大的差别，需要我们根据情况进行判断。3.1行业状况、法律环境与监管环境以及其他外部因素了解企业所处行业、法律环境、监管环境及其他外部环境因素可以帮助我们识别与企业所面临的机会与压力相关的风险。3.1.1行业因素我们应当了解被审计单位的行业状况，主要包括：所在行业的市场供求与竞争；生产经营的季节性和周期性；产品生产技术的变化；能源供应与成本；行业的关键指标和统计数据。3.1.2遵守法律法规的规定我们应当了解被审计单位所处的法律环境及监管环境，主要包括：适用的会计准则、会计制度和行业特定惯例；对经营活动产生重大影响的法律法规及监管活动；对开展业务产生重大影响的政府政策，包括货币、财政、税收和贸易等政策；与被审计单位所处行业和所从事经营活动相关的环保要求。我们应了解企业如何遵守这些法律法规，向管理层、治理层询问企业是否遵守了这些法律法规，检查企业与许可证颁发机构或监管机构的往来函件。一些企业属于严格监管行业（例如：银行、保险企业）。一些企业只需遵守通用法律法规（例如：与职业安全、健康、平等雇佣机会相关的法律法规）。企业违反法律法规的行为可能导致罚款、诉讼及其他可能对企业财务报表产生重大影响的结果。了解法律法规体系可以协助我们识别因违反法律法规行为的事项而导致的重大错报风险。我们应当就识别出的或怀疑存在的违反法律法规行为的事项，及时与企业管理层、治理层沟通。3.1.3其他外部因素我们应当了解影响被审计单位经营的其他外部因素，主要包括：宏观经济的景气度；利率和资金供求状况；通货膨胀水平及币值变动；国际经济环境和汇率变动。3.2了解被审计单位的性质我们应当主要从下列方面了解被审计单位的性质：（一）所有权结构，了解所有权结构以及所有者与其他人员或单位之间的关系，考虑关联方关系是否已经得到识别，以及关联方交易是否得到恰当核算;（二）治理结构，考虑治理层是否能够在独立于管理层的情况下对被审计单位事务（包括财务报告）做出客观判断；（三）组织结构，考虑复杂组织结构可能导致的重大错报风险，包括财务报表合并、商誉摊销和减值、长期股权投资核算以及特殊目的实体核算等问题；（四）经营活动，主要包括：主营业务的性质；与生产产品或提供劳务相关的市场信息；业务的开展情况；联盟、合营与外包情况；从事电子商务的情况；地区与行业分布；生产设施、仓库的地理位置及办公地点；关键客户；重要供应商；劳动用工情况；研究与开发活动及其支出；关联方交易。（五）投资活动，主要包括：近期拟实施或已实施的并购活动与资产处置情况；证券投资、委托贷款的发生与处置；资本性投资活动，包括固定资产和无形资产投资，以及近期或计划发生的变动；不纳入合并范围的投资。（六）筹资活动，主要包括：债务结构和相关条款，包括担保情况及表外融资；固定资产的租赁；关联方融资；实际受益股东；衍生金融工具的运用。3.3被审计单位对会计政策的选择和运用我们应当了解被审计单位对会计政策的选择和运用，是否符合适用的会计准则和相关会计制度，是否符合被审计单位的具体情况。我们应评估企业的会计政策是否适当，是否与财务报告框架及会计法规的要求相一致。在了解被审计单位对会计政策的选择和运用是否适当时，我们应当关注下列重要事项：重要项目的会计政策和行业惯例；重大和异常交易的会计处理方法；在新领域和缺乏权威性标准或共识的领域，采用重要会计政策产生的影响；会计政策的变更；被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度。如果被审计单位变更了重要的会计政策，我们应当考虑变更的原因及其适当性，并考虑是否符合适用的会计准则和相关会计制度的规定。我们应当考虑，被审计单位是否按照适用的会计准则和相关会计制度的规定恰当地进行了列报，并披露了重要事项。当我们了解企业对会计政策的选择及应用时，我们应考虑会计估计的不确定性（也就是会计估计的敏感性及计量准确性的缺乏）。我们应根据我们的职业判断，确定会计估计是否会因为计量不准确而导致特别风险。3.4被审计单位的目标、战略以及相关经营风险我们应当了解被审计单位的目标和战略，以及可能导致财务报表重大错报的相关经营风险。经营风险源于对被审计单位实现目标和战略产生不利影响的重大情况、事项、环境和行动，或源于不恰当的目标和战略。我们应当了解被审计单位是否存在与下列方面有关的目标和战略，并考虑相应的经营风险：行业发展，及其可能导致的被审计单位不具备足以应对行业变化的人力资源和业务专长等风险；开发新产品或提供新服务，及其可能导致的被审计单位产品责任增加等风险；业务扩张，及其可能导致的被审计单位对市场需求的估计不准确等风险；新颁布的会计法规，及其可能导致的被审计单位执行法规不当或不完整，或会计处理成本增加等风险；监管要求，及其可能导致的被审计单位法律责任增加等风险；本期及未来的融资条件，及其可能导致的被审计单位由于无法满足融资条件而失去融资机会等风险；信息技术的运用，及其可能导致的被审计单位信息系统与业务流程难以融合等风险。多数经营风险最终都会产生财务后果，从而影响财务报表。我们应当根据被审计单位的具体情况考虑经营风险是否可能导致财务报表发生重大错报。管理层通常制定识别和应对经营风险的策略，我们应当了解被审计单位的这些风险评估过程。3.5被审计单位财务业绩的衡量和评价被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力，促使其采取行动改善财务业绩或歪曲财务报表。我们应当了解被审计单位财务业绩的衡量和评价情况，考虑这种压力是否可能导致管理层采取行动，以至于增加财务报表发生重大错报的风险，包括由舞弊引起的错报。在了解被审计单位财务业绩衡量和评价情况时，我们应当关注下列信息：关键业绩指标；业绩趋势；预测、预算和差异分析；管理层和员工业绩考核与激励性报酬政策；分部信息与不同层次部门的业绩报告；与竞争对手的业绩比较；外部机构提出的报告。我们应当关注被审计单位内部财务业绩衡量所显示的未预期到的结果或趋势、管理层的调查结果和纠正措施，以及相关信息是否显示财务报表可能存在重大错报。如果拟利用被审计单位内部信息系统生成的财务业绩衡量指标，我们应当考虑相关信息是否可靠，以及利用这些信息是否足以实现审计目标。四、了解IT在企业中的角色在了解企业及其环境时，我们应了解IT在企业中的角色。我们对IT在企业中的角色的了解，可以协助我们了解IT的复杂程度，识别风险因素，并确定IT对我们的审计工作的影响。4.1了解IT复杂程度了解IT复杂程度是一个定性而非定量的过程。通过了解IT的复杂程度，我们可以确定其对我们审计工作的影响（例如：获取审计证据）以及是否需要邀请IT专家参加我们的审计项目小组。更多指引请参见“第四章利用专家的工作”、“第十七章了解、穿行测试、测试和评估IT一般控制”。例如：当我们了解IT的复杂程度时，我们应考虑：企业及其环境的性质（例如：上市企业或受监管行业企业通常具有较复杂的IT结构）；企业是否依赖IT支持重大交易流程从发生到报告的流程或者重大披露流程；企业每年在IT方面的花费占收入及其他指标的百分比；关键财务系统的用户数量；支持IT环境的员工数量及专业技能；企业是否使用一个或多个系统；企业财务系统之间或与外部系统之间是否存在重要的接口；IT环境的架构（集中式的或是非集中式的）；IT环境中服务器的数量；会计处理软件的性质，包括版本（例如：采购的软件和不能修改的软件）；企业自行修改程序的程度；企业IT环境、财务系统环境、IT结构在报告期间的变化程度；外包服务的使用，包括服务的性质，例如是针对IT基础环境或是应用系统；过去的项目经验。4.2了解IT对我们审计工作的影响当我们了解了企业IT的复杂程度后，我们应根据企业对IT的依赖程度，确定IT对我们重大错报风险及审计策略的影响。IT环境可能影响：我们了解重大交易流程及相关IT系统、可能出错项和控制的程序以及控制测试的设计与执行。通过了解IT的作用、复杂程度以及对我们审计的影响，我们可以确定是否需要邀请IT专家加入审计项目小组。更多指引请参见“第四章利用专家的工作”。五、如何了解企业及其环境当我们了解企业及其环境时，我们应执行下述风险评估程序：检阅相关信息；询问企业管理层及其他人员；观察及检查；记录信息来源。我们执行这些程序以获取对企业及其环境的了解，以便识别风险因素。我们了解企业的程序的性质、时间及范围取决于项目本身，例如：企业的规模、复杂程度和我们过去的项目经验。对于规模较大、复杂程度较高的企业，我们应在制定审计策略前，充分的了解企业及其环境。5.1检阅相关信息我们通过检阅相关信息获取对企业及其环境的了解。检阅相关信息可以协助我们了解企业及其环境并识别风险因素。我们可以检阅如下信息：我们在执行客户承接/续约程序中获取的关于新客户的信息；企业关于特定行业的知识；外部信息，例如：行业报刊；企业编制的信息，包括预算、预测、差异分析、组织结构图、企业主页及其他市场信息；股东大会会议记录，包括治理层会议、治理层下设的重要委员会会议、管理层与股东会议。5.2询问企业管理层及其他人员我们通过询问企业管理层及其他对财务报表负责的人员获取信息。询问企业管理层及其他对财务报表负责的人员可以帮助我们通过分析企业的财务信息了解企业的经营活动。我们也可以询问企业其他级别的员工以获取更多不同方面的、与我们所识别的风险因素相关的信息。我们可以询问如下信息：询问治理层可以协助我们了解企业的经营情况；询问内审人员可以协助我们获取企业及其环境的变化的信息；询问参与复杂或非正常业务的发生、记录、处理、报告流程的人员，可以协助我们评估会计政策的选取及应用是否适当；询问企业法律顾问可以协助我们了解企业的法律、合规性、舞弊、保证金、售后义务、合同条款等事项；询问市场营销人员可以协助我们了解企业市场营销策略、销售趋势及合同条款规定的变化；5.3观察及检查我们应执行观察和检查程序以支持我们通过检阅、询问获得的对企业及其环境的了解。我们可以参观企业的经营场所和工厂观察企业的经营活动、检查企业文件，例如：经营计划和策略、文档记录、内部控制手册或检查管理层编制的报告（例如：管理层季度报告、中期财务报告）和治理层编制的报告（例如：董事会会议记录）。5.4信息来源管理层了解企业及其环境。因此，企业管理层是我们获取相关信息或确定信息来源的渠道。在收集与企业及其环境相关的信息时，我们应将信息来源（例如：我们与之沟通的人员姓名、我们检查的文件名称）进行文档记录。例如：在审计计划阶段，我们应更新对企业及其环境的了解；询问企业管理层及其他相关人员，我们应将询问结果进行工作底稿记录（包括询问对象的姓名）；检查企业的文档，例如：组织结构图和相关利益者的会议记录。我们应将与审计工作相关的信息以及信息来源进行文档记录。六、确定重大错报风险在了解企业及其环境时，我们应识别风险因素（包括经营风险），并确定这些风险因素是否可能引起重大错报风险。通过执行上述程序，我们识别了风险因素（包括经营风险）。然而，不是所有识别出的风险都会影响财务报表。对于我们的审计工作而言，我们只关注可能引起财务报表重大错报风险的风险因素。在我们识别风险因素的时候，我们应考虑是否存在可以降低重大错报风险的因素。例如：在较稳定的、销售流程没有重大变化的环境中的企业重大错报风险较小。相反的，处于变化较快的环境或发展较快的市场中的企业重大错报风险较大。七、工作底稿记录我们应运用我们的职业判断确定在了解企业及其环境时应记录的事项。我们的工作记录反映了我们了解到的信息以及识别的风险。我们应当将所有了解到的信息、信息来源、识别的重大错报风险记录于审计底稿中。第四章利用专家的工作在了解企业及其环境时，我们应当重新评估项目小组是否具有适当的经验、技能和专业胜任能力，确定是否需要邀请其他专家。专家，指在除会计或审计之外的某一领域中具有专长的个人或组织，并且其工作被注册会计师利用，以协助注册会计师获取充分、适当的审计证据。事务所的专家，指在审计项目小组中专于某一特定领域的专家。事务所内部专家是指在除会计、审计之外的某一特定领域中具有专门技能、知识和经验的本所内部的专家。事务所外部专家是来自本事务所以外的在除会计、审计之外的某一特定领域中具有专门技能、知识和经验的专家，不作为审计项目小组的成员。管理层专家，在会计或审计以外的某一领域具有专长的个人或组织，并且其工作被管理层利用，用以协助管理层编制财务报表。管理层专家可能是由管理层聘请来完成特定的工作的第三方（如：管理层外部专家），或者更多情况下，该专家为实体的员工。当我们需要这些专家参与我们的工作以便获取充分适当的审计证据时，我们应考虑是否应利用专家的工作。一、确定是否利用专家的工作根据我们对企业及其环境的了解，我们应确定项目小组中是否需加入IT专家、税务专家或相关行业专家。我们通过执行以下步骤实现上述目标：确定是否需要邀请IT专家、税务专家或相关行业专家来协助我们的审计工作；确定是否利用会计审计领域以外的专家的工作作为审计证据并考虑：是否利用管理层专家的工作；邀请事务所的内部专家；邀请事务所的外部专家。我们可以利用以下领域专家的工作：对复杂的金融工具、土地和房屋建筑物、厂房和机器设备、珠宝、艺术品、古董、无形资产、企业合并中收购的资产和承担的负债和可能存在减值的资产进行估值；了解企业经营的技术问题；对与保险合约或员工福利计划相关的负债进行精算；对环境负债和场地清理费用进行估价；分析复杂的或异常的纳税问题；解释技术要求、现况、法规或条款；复核其他专家的工作。当企业具有以下特征时，我们应邀请相关专家：具有复杂的IT环境，例如：虽然项目小组可能拥有IT知识，但IT专家可以在企业IT环境较复杂的情况下，协助项目小组完成与IT相关的审计工作；具有复杂的税务环境，例如：虽然项目小组拥有税务知识，但在企业税务环境较复杂或涉及的税务计算较复杂的情况下我们仍应邀请税务专家协助我们的工作；处于特定行业，例如：在对人寿保险企业的审计中，尽管项目小组和项目合伙人对保险行业有一定的了解，但项目小组仍可以邀请精算专家。当我们在现场使用非会计或审计领域的专家的工作时，我们应：评价专家是否具有实现我们的目的所必需的胜任能力、专业素养和客观性；如果企业或者管理层雇佣或邀请了专家，我们应了解他们的工作；如果我们邀请xxx内部专家或xxx外部专家参与项目小组工作，我们应就专家工作的范围达成一致意见；不管专家类型如何，我们应评价专家的工作以确定专家的工作是否足以实现我们的目的。当我们邀请IT专家、税务专家或相关行业专家时，专家的工作应受到监督、指导、复核；专家应直接参与审计程序的执行。1.1确定IT专家的介入程度通过了解企业使用IT的程度及IT环境的复杂程度，我们应考虑是否需要邀请IT专家。要确定是否需要邀请IT专家，我们应了解：IT环境的复杂程度。如果IT环境较复杂，IT专家可以了解IT环境并协助我们确定与IT有关的重大错报风险；IT如何影响我们的审计策略；项目小组成员的IT知识。IT风险的程度和性质取决于企业使用IT的性质和复杂程度。企业经营环境和IT环境越复杂，我们越需要利用我们对IT的了解以识别重大错报风险、设计控制测试程序。1.2确定税务专家的介入程度根据我们对影响企业的所得税和其他税种性质的了解，在必要时，我们邀请具有专业税收知识的专家加入项目小组。我们应考虑以下事项，确定是否需要邀请税务专家：会计和税务事项的复杂程度；企业的复杂程度；项目小组成员的专业胜任能力和必要素质。1.3确定相关行业专家的介入程度根据我们对企业所处行业的了解程度，我们应判断是否需要邀请xxx特殊行业专家。我们期望项目小组对企业所处行业具有充分的了解，以便评估所获得的审计证据是否充分、适当的支持我们的审计意见。然而，在一些情况下，项目小组需要更加深入、专业的知识，这时可以邀请一个或多个具有专业行业知识的专家参加项目小组，协助项目小组执行审计程序并得出结论。当判断是否需要邀请特殊行业专家时，我们应考虑如下事项：行业是否具有特殊经营手法；企业财务报表是否包含行业特殊的重大账户或会计政策；资产或负债的计价是否依赖行业特殊的方法论、模型或假设。二、利用管理层专家的工作如果我们确定利用管理层专家的工作作为审计证据，那么我们应：评价专家的胜任能力、专业素养和客观性；了解管理层专家的工作；评价管理层专家的工作是否足以实现审计目的。2.1评价管理层专家的胜任能力、专业素养和客观性当我们利用管理层专家的工作时，我们应评价专家的胜任能力、专业素养和客观性。专业素养是指专家的专业技能的性质和水平。胜任能力是指专家将其专业素养应用于具体项目环境的能力。客观性是受到偏见、利益冲突及其他因素影响而对专家的职业判断可能产生的影响。当我们评价管理层专家的客观性时，我们应讨论管理层与专家的关系以便了解对专家独立性的威胁以及可以降低该威胁的、适用的保障措施。保障措施可能由外部机构建立（例如：专家的职业规范），也可能由专家的工作环境建立（例如：企业的控制环境和质量控制政策和流程）如果我们对管理层专家的胜任能力、专业素养和客观性存在疑虑，应与管理层讨论并评估专家的工作是否可以获取充分适当的审计证据。了解管理层专家的胜任能力和专业素养，我们应考虑：专家以前工作的个人经验。如果管理层外部专家是一个组织时，我们既应考虑委派参与项目的个人的特质，也应考虑组织的管理属性，包括该组织对于专家工作的质量控制程序；专家的职业资格，包括职业团体或者行业协会的会员资格、执业执照或其他形式的外部资格认可；专家发表的论文或书籍；与专家讨论。我们与专家没有直接关系，我们应要求管理层安排专家与我们进行沟通；与熟悉专家工作的其他人员讨论。如果专家是企业的员工，那么其独立性受到威胁的风险就会加大。我们应考虑专家的结论由谁来复核和质疑，专家在企业中的报告体系是否合适。我们应考虑专家的工作是否存在控制，包括：专家是否得到恰当的管理和指导；专家是否存在不相容的职责而导致职责划分不当（例如：专家负责编制财务报表，同时负责准备关键资产估值，但没有充分的指导和复核）；专家是否可以客观的工作，未面临达到特定结论的不当压力。随着审计工作的进展，如果我们发现了显示可能存在问题的证据，我们应重新评估我们对管理层专家的胜任能力、专业素养和客观性的初步评价。了解管理层专家的工作当我们利用管理层专家的工作时，我们应了解专家工作的性质。我们应考虑：工作的性质、范围、目标。如果专家是由企业聘请的，则对专家工作的范围可能不会进行书面文档记录，询问专家和企业管理层可能是了解专家工作范围的最适当的方法；管理层对专家工作实施控制的程度或影响的范围；专家是否受到技术性技能标准及其他职业或行业要求的限制；企业内部就专家的工作（例如：质疑/复核专家工作的程序，由治理层或者具有专业技能的内部审计员复核）或专家评估过程中所使用的数据实施控制；根据企业聘请的专家的工作性质，我们可能需要邀请会计师事务所的专家来评估其工作。如果是管理层聘用的专家，我们应阅读企业与管理层聘用的专家签订的业务约定书，以便了解项目的范围并评估我们利用专家的工作是否适当。当我们计划利用管理层聘用的专家的工作时，我们应与管理层确定专家已同意我们利用他的工作，他了解我们将在内部控制审计中利用其发现。2.3评价管理层专家的工作是否足以实现审计目的当我们利用管理层专家的工作时，应评估管理层专家的工作作为相关认定的审计证据是否适当。由于管理层专家对于企业而言不是独立的，因此我们应当利用我们高度的职业怀疑态度，评估专家工作，特别注意高度依赖专家判断的工作，并考虑潜在的偏见。当我们评估专家工作作为相关认定的审计证据是否适当时，应考虑如下事项：专家的发现或结论的相关性和合理性与我们的审计证据是否一致；专家提交其工作结果或结论的方式是否符合专家所在的职业或行业标准；专家的工作结果或结论是否得到清楚的表述；专家的工作结果或结论是否基于适当的期间，并考虑期后事项（如相关）；专家的工作结果或结论在使用方面是否有任何保留、限制或约束，如有，是否对我们的工作产生影响；专家的工作结果或结论是否适当考虑了专家遇到的错误或偏差情况。如果专家的工作包括利用重大假设和方法，则应考虑这些假设和方法的相关性和合理性；如果专家的工作包括使用源数据，则应考虑这些源数据的完整性和准确性。评估专家工作的充分性的特别步骤可能包括：询问专家；观察专家的工作；确定与第三方相关的事项；测试源数据；复核专家的结论和发现；与管理层讨论专家的发现和结论；利用第二个专家。在很特殊的情况下，我们可能邀请第二个专家，例如：当我们评估了管理层专家的工作并且注意到管理层的发现与我们获取的其他审计证据存在冲突，或者我们不同意专家的发现；复核专家的工作底稿。管理层的专家不是项目小组的成员，因此只有在我们对专家的工作存在疑虑且没有其他方法解决的情况下，我们才需要复核他们的详细工作底稿。项目负责人对评估和确定专家工作是否充分实现了审计目标负有责任。如果我们利用了会计师事务所的专家协助我们评估管理层专家的工作，我们可以询问其对于管理层专家工作是否充分实现了审计目标的意见。然而，关于管理层专家工作是否充分的最终结论是我们的责任。在审计过程中发生的重大变化可能对我们利用管理层专家工作是否适当产生影响。如果我们满意专家的工作并认为专家工作的结果在特定环境下是合理的且能够实现审计目标，那么我们的结论是专家的工作是充分恰当的。如果我们的结论认为专家的工作对于实现我们的目的不充分，则我们应：与管理层和专家讨论相关事项；与专家就进一步执行的程序的性质和范围达成一致意见；执行与环境相适应的额外审计程序。我们执行的额外审计程序的性质是由所利用的专家的类型和我们所关注事项的性质决定的。无论是企业外部的还是内部的法律顾问，在某些情况下都被认为是管理层专家。我们利用职业判断确定是否将管理层的法律顾问作为管理层专家，此时应考虑：所考虑事项的复杂程度（事项的性质是复杂的，且要求应用法律专家较高程度的判断）；我们追求的审计目标。如果我们利用法律顾问的工作协助我们确定重大未决诉讼的性质、估计潜在的诉讼或确定可能的结果时，我们很可能将法律顾问作为管理层的专家。如果作为函证程序，我们向法律顾问发出律师询证函，那么法律顾问不被视为管理层专家。三、利用事务所的内部专家的工作如果我们决定利用事务所的内部专家（以下简称“内部专家”）的工作，我们应充分了解内部专家的专业领域，以便我们：确定内部专家工作的性质、范围和客观性；评估内部专家工作的目标是否充分。内部专家对其所使用的假设条件、方法和发现负责。然而，尽管我们不能用我们的判断代替内部专家的工作，但我们应确定内部专家是否就其工作取得了适当的审计证据。我们应评估内部专家的胜任能力、专业素养和客观性。当我们评估内部专家的胜任能力、专业素养和客观性时，可以依赖事务所的内部政策和流程。内部专家应遵守事务所内部的招聘和培训计划、相关道德要求（包括独立性要求）和监控流程（例如：质量复核程序）。我们应就内部专家的工作达成一致意见，包括：内部专家工作的性质、范围和客观性；我们的角色及责任，包括由谁负责执行源数据详细测试；与我们沟通的方式、时间和范围，包括内部专家以何种形式提供发现和结论。我们根据事务所的要求来指示、审查、监督内部专家的工作。对一个内部专家的监督程度取决于工作的复杂性和从事专业工作的资格。在许多情况下，对一个内部专家直接监督，可通过一个更资深的xxx内部的专家进行更详细审查来进行。在决定内部专家的工作的程序的性质、时间、和范围时，我们评估:专家的工作涉及问题的性质和复杂性；专家的工作涉及的重大错报的风险；该专家在审计工作方面的重要意义；我们对专家以前工作的知识和经验。我们将执行不同的或更广泛的程序，当:内部专家的工作未经审核；我们以前没有使用过内部专家的工作，也没有对专家的胜任能力，专业素养和客观性的了解。如果我们决定对内部专家的工作执行不同或者更加广泛的程序，我们的额外程序包括一个或一个组合:源数据的细节测试；其他查询以获取专家的假设和方法更详细的了解；确证专家的工作，例如，通过审查权威发布的数据，观测专家执行程序，重新执行计算或与第三方确认信息；与其他专家讨论的相关知识（例如，专家的发现或结论与其他审计证据不一致）；与管理层讨论专家的报告；检查专家的底稿。事务所的内部专家准备的文件形成了底稿的一部分。然而，这些文件的性质和范围是不同的，取决于审计程序的性质、时间和范围以及所得到的发现和结果。内部专家工作底稿通常包括:项目小组一致同意的工作范围；我们执行的程序；内部专家的发现；调查结果的一个结论。项目负责人要对评价和总结内部专家的工作是否充分满足审计的目的负责。在决定内部专家的工作是否充分满足我们的目的时，我们要考虑：我们对适用内部控制规范要求的了解；我们对企业及其环境的了解；其他审计程序的结果。在审计中的重大变化，可能影响我们对内部专家的工作的使用的适当性。如果我们认为内部专家的结果是合理的，那么我们的结论是内部专家的工作对于我们的目的而言是充分的。如果我们的结论是内部专家的工作不能充分符合我们的目的，我们应:同意专家关于进一步将执行的工作的性质和程度；执行复核情况的其他审计程序，其他审计程序的性质是不同的，主要根据专家使用的类别和我们顾虑的性质；与管理层和专家讨论这个问题。四、利用事务所外部专家的工作如果xxx内部没有相关专家，我们可以邀请外部专家。我们只有在有限的情况下才邀请外部专家，因为在大多数情况下，可以依赖管理层的专家的工作或邀请xxx内部专家。我们通常只在决定利用专家工作以及以下情况下引入外部专家：专家的工作可以被我们用作审计证据，而管理层没有聘请专家；尽管企业聘请了专家，但我们不能利用该专家的工作；我们在xxx没有拥有相关的专业技能的专家。当我们引入外部专家时，我们要评价外部专家的专业能力、素质以及客观性。当我们评价外部专家的能力和素质时，我们通过询问或其他程序来考虑以下问题：外部专家的工作是否满足技术标准或其他专业或行业要求；外部专家在我们寻找证据领域的经验和信誉；外部专家对企业行业的了解和经验；外部专家与企业的关系（如有）；外部专家与会计和审计要求相关的能力。我们通过多种渠道获取与外部专家的专业能力和素质相关的信息，例如：有关外部专家之前工作的经验；对外部专家的职业资格，包括职业团体或者行业协会的会员资格、执业执照或其他形式的外部资格的了解；外部专家撰写的公开论文或书籍；与外部专家的讨论；与其他熟悉外部专家工作人员的讨论。我们不期望外部专家对于企业和我们保持同样水平的独立性，因为外部专家不受与我们相同的道德标准和专业标准的制约，且不用遵守我们的质量控制政策和程序。然而，我们并不认定外部专家是客观的。很多情况可能会对客观性产生不利影响，某些防范措施可能会消除或减少这样的不利影响。一些外部制度的安排（如专家所属的职业团体、法律法规的要求），或通过外部专家的工作环境（如：质量控制政策和程序）可以建立这些防范措施。当评价外部专家的客观性时，可能与以下内容有关：向被审计单位询问是否存在可能影响外部专家客观性的任何已知的利益或关系；与外部专家讨论各种适用的防范措施，包括适用于外部专家的职业规范；并评价这些防范措施是否足以将不利影响降低至可接受的水平。需要与外部专家讨论的利益和关系包括：经济利益；商业和私人关系；外部专家提供的其他服务。在某些情况下，针对外部专家已知的、与被审计单位存在的任何利益或关系，我们从外部专家获取书面声明可能是适当的。我们与事务所的外部专家就其工作范围达成一致意见，包括：外部专家工作的性质、范围和客观性；外部专家和我们各自的角色和责任；外部专家和我们的沟通性质、时间和范围，包括外部专家提供的报告形式；外部专家遵守保密原则的必要性。当我们引入了外部专家，我们便要获取与外部专家之间的书面协议（即业务约定书），以记录我们对外部专家职责范围的共同了解。在编制阐明工作范围和与我们计划引入的外部专家的协议条款的业务约定书时，我们要确定：外部专家拟实施的程序的性质和范围；根据与外部专家工作相关的事项的重要性和风险而确定的外部专家的工作目标；外部专家遵守的相关的技术标准、其他职业准则或行业要求；外部专家拟使用的假设和方法（包括适用的模型）及其权威性；外部专家和我们各自的角色和责任，包括测试源数据的责任；外部专家对我们使用其报告的许可，包括任何参考，或对其他人员的披露（例如：我们可能向管理层或企业治理层披露其内容）；与保密相关的考虑（例如：外部专家是否同意确保我们向其提供的信息的保密性）；外部专家的报告以及任何其他要上交的工作的性质（我们通常希望是书面的报告）；我们和外部专家之间的沟通方式和频率；外部专家和企业之间的沟通程序；项目的时间（例如：外部专家完成工作并汇报其发现或结论的时间）；外部专家向我们及时汇报的责任：外部专家认为可能与审计相关的信息，包括任何之前沟通过的情况变化；可能威胁到外部专家客观性的情况，以及任何可能消除或降低该威胁至可接受水平的相关防范措施。当我们评估外部专家的工作时，所要考虑的内容与评估内部专家是相同的。更多指引请参见“第四章利用专家的工作”。我们应评估外部专家工作结果的相关性和合理性。我们应考虑结果是否：以与外部专家职业或行业标准相一致的方式列报；得以清楚地表达，包括对项目业务约定书、执行工作的范围和适用的标准的索引；是基于一段合适的期间，并在相关时将期后事项考虑在内；受到疑虑、限制或限制使用，如果存在，对我们是否存在影响；对错误或偏离经过适当的考虑。五、记录审计工作如果我们使用管理层专家的工作，无论专家是否受聘于该企业，我们都要记录这个专家的才干、能力和客观性。我们也记录我们对该项管理层专家的工作是否充分的评估。如果我们利用事务所外部专家，我们要记录对外部专家的专业能力、素质和客观性的程序和结论。我们记录与外部专家假设、方法和发现，以及我们对外部专家使用的数据的测试有关的程序和结论。我们同样记录任何针对外部专家的发现/报告的评论和结论，以及我们对外部专家工作充分性的评估。我们要保存以下审计资料：我们与外部专家之间的业务约定书；与外部专家的重要沟通；外部专家的发现和/或报告。当专家是项目组的成员时，专家的工作底稿是审计工作底稿的一部分。除非协议另作安排，外部专家编制的详细的工作底稿归属于外部专家，不构成审计底稿的一部分。第五章了解企业整体的内部控制按照《企业内部控制审计指引》的要求，我们应当采用自上而下的方法，选择拟测试的控制。了解企业整体的内部控制，即是对企业层面控制初步了解和设计有效性进行评价，并在基础上决定企业层面测试范围和进行测试，关于企业层面控制测试的运行有效性测试请参见“第十二章评价企业层面控制测试”。一、企业层面控制的内涵企业的内部控制分为企业层面控制和业务流程、应用系统或交易层面的控制两个层面。业务流程、应用系统或交易层面的控制（即本手册中“业务层面控制”）为应对交易和账户余额认定的重大错报风险而设计，通常在业务流程内的交易或账户余额层面上运行，其作用通常能够对应到具体某类交易和账户余额的具体认定。业务流程、应用系统或交易层面的控制主要针对交易的生成、记录、处理和报告等环节，在内部控制要素中的“控制活动”要素中，除业绩评价控制外的绝大部分控制可归类为业务流程、应用系统或交易层面的控制。企业层面控制通常为应对企业财务报表整体层面的风险而设计，或作为其他控制运行的“基础设施”，一般在比业务流程更高的层面上乃至整个企业范围内运行，作用比较广泛，通常不局限于某个具体认定。企业层面控制包括下列内容：(1)与控制环境(即内部环境)相关的控制；(2)针对管理层和治理层凌驾于控制之上的风险而设计的控制；(3)被审计单位的风险评估过程；(4)对内部信息传递和期末财务报告流程的控制；(5)对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价。此外，集中化的处理和控制(包括共享的服务环境)、监控经营成果的控制以及针对重大经营控制及风险管理实务的政策也属于企业层面控制。《企业内部控制基本规范》及配套指引中提及的公司层面控制包括:企业内部控制应用指引第1号——组织架构；企业内部控制应用指引第2号——发展战略；企业内部控制应用指引第3号——人力资源；企业内部控制应用指引第4号——社会责任；企业内部控制应用指引第5号——企业文化；企业内部控制应用指引第17号——内部信息传递。二、企业层面控制对其他控制及其测试的影响不同的企业层面控制在性质和精确度上存在差异，我们应当从下列方面考虑这些差异对其他控制及其测试的影响：1．某些企业层面控制，例如某些与控制环境相关的控制，对重大错报是否能够被及时防止或发现的可能性有重要影响，虽然这种影响是间接的，但这些控制可能影响注册会计师拟测试的其他控制及其对其他控制所执行程序的性质、时间安排和范围。例如，被审计单位是否制定了合适的经营理念以及管理基调对于一个有效的内部控制是非常重要的。虽然这些与控制环境相关的控制与某个财务报表认定没有直接关联，同时这些控制有效并不能取代我们为对财务报表认定相关的内部控制的有效性作出结论而所需获得的证据，但是由于这些控制可能会对其他控制的有效运行，以及我们对财务报表是否存在重大错报的风险评估带来普遍性影响，所以我们可能需要考虑这些控制是否存在缺陷，以制定对其他控制所执行的程序。2．某些企业层面控制能够监督其他控制的有效性。管理层设计这些控制可能是为了识别其他控制可能出现的失效情况。但是，这些控制本身并不能精确到足以及时防止或发现相关认定的重大错报。当这些控制运行有效时，我们可以减少原本拟对其他控制的有效性进行的测试。例如：某电子游戏软件开发企业开设有大量的银行账户，企业的会计职员负责根据事先确定时间表(一些账户的截止日期不同)编制账户的银行存款余额调节表。通过询问管理人员，我们得知该企业的财务总监是一位经验丰富的会计师，每月审查该会计职员编制的银行存款余额调节表，以确定是否及时编制了调节表、编制调节表过程中识别的调节项目的性质以及调节项目是否得以及时解决等。财务总监审查的目的是查看会计职员的工作，而不是重新执行该控制。财务总监对调节表的审查的精确度本身不足以发现错报。但是，财务总监的的审查仍然可以影响我们的风险评估。我们通过询问、检查文件获取关于财务总监审查的证据，评价该审查的有效性，并且根据评估的风险水平确定所需直接测试的调节控制的数量。如果认为财务总监审查有效且没有其他风险迹象，注册会计师可以减少对调节控制的直接测试。3．某些企业层面控制本身能精确到足以及时防止或发现一个或多个相关认定中存在的重大错报。如果一项企业层面控制足以应对评估的重大错报风险，我们可能不必测试与该风险相关的其他控制。一般而言，我们可以分析某个控制是否有足够的精确度以及时防止或发现财务报表重大错报，并考虑以下因素：内部控制对应的重要账户及列报的性质；对于某些比较稳定或具备预期内在关系的账户，管理层实施的分析对发现重大错报具有足够的精确度；管理层分析的细化程度。一般而言，一个更精确的企业层面控制会对账户按照产品、地区作更细化的分析，并与其他资料进行比较分析，以确定财务报表相关认定的准确性。例如：甲公司是生产交通运输工具用的替代燃料产品和系统的企业。所有工厂雇员人数大致相同，每周工作六天，每天两班次。其财务总监在公司已有10年，非常了解业务流程，包括工资流程。他审查由会计集中核算部门编制的每周工资汇总报告。由于公司扁平的组织结构和较小的规模，加上财务总监在企业的工作背景、对企业业务淡旺季、生产周期和工作流程十分了解，熟悉预算和报告流程，财务总监能迅速识别工资不当的信号及其内在的缘故，如与某个项目、加班、聘用或临时解聘等情况相关。必要时，财务总监将展开调查以确定是否出现错报或者内部控制运行无效，并采取整改措施。根据对控制环境和针对管理层凌驾于控制之上的风险的控制实施的审计程序，我们发现，该财务总监展示出诚信的品质，并致力于有效的内部控制。我们评价财务总监审查的有效性，包括其精准度。我们询问了财务总监的审查过程，并且获取了审查的其他证据。我们注意到，财务总监调查确定的临界值(超过该金额的差异作为重大差异进行调查)，足以发现导致财务报表重大错报的错报。我们选择了一些财务总监标记的、偏离预期值的重大差异，并确定财务总监是否已恰当调查了差异，以确定这些差异是否由错报导致。我们认为，鉴于财务总监进行审查的方式旨在发现错报，审查工作可以发现工资处理的错报。但是，我们认为该项控制需要依赖企业IT系统生成的报告，只有当时这些报告的完整性和准确性的控制有效时，财务总监的审查才能有效。在测试了相关计算机控制以后，我们认为财务总监的审查结合针对工资汇总报告的相关控制，能够实现上述工资处理方面的控制目标。正是由于企业层面控制的上述作用，我们应当识别、了解和测试对内部控制有效性结论有重要影响的企业层面控制。我们对企业层面控制的评价，可能增加或减少本应对其他控制所进行的测试。此外，由于对企业层面控制的评价结果将影响我们测试其他控制的性质、时间安排及范围，所以我们可以考虑在执行业务的早期阶段对企业层面控制进行测试。在完成对企业层面控制的测试后，我们可以根据测试结果评价被审计单位的企业层面控制是否有效，并且计划需要测试的其他控制及对其他控制所执行程序的性质、时间安排和范围。三、了解和评价企业层面内部控制的主要内容对企业层面内部控制的了解，主要从以下几个方面展开：了解和评价与控制环境（即内部环境）相关的控制；了解和评价针对管理层和治理层凌驾于控制之上的风险而设计的控制；