为什么审计师需要了解内控

第十五条 注册会计师应当了解与审计相关的内部控制。虽然大部分与审计相关的控制可能与财务报告相关，但并非所有与财务报告相关的控制都与审计相关。确定一项控制单独或连同其他控制是否与审计相关，需要注册会计师作出职业判断。第十六条 在了解与审计相关的控制时，注册会计师应当通过将询问被审计单位内部人员和其他程序结合使用，评价这些控制的设计，并确定其是否得到执行。第十七条 注册会计师应当了解控制环境。作为了解控制环境的一部分，注册会计师应当评价：（一）管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化；（二）控制环境总体上的优势是否为内部控制的其他要素提供了适当的基础，以及这些其他要素是否未被控制环境中存在的缺陷所削4弱。第十八条 注册会计师应当了解被审计单位是否已建立风险评估过程，包括：（一）识别与财务报告目标相关的经营风险；（二）估计风险的重要性；（三）评估风险发生的可能性；（四）决定应对这些风险的措施。第十九条 如果被审计单位已建立风险评估过程，注册会计师应当了解风险评估过程及其结果。如果识别出管理层未能识别的重大错报风险，注册会计师应当评价是否存在潜在风险，即注册会计师预期被审计单位风险评估过程应当识别出的风险。如果存在这种潜在风险，注册会计师应当了解风险评估过程未能识别出的原因，并评价风险评估过程是否适合具体情况，或者确定与风险评估过程相关的内部控制是否存在重要缺陷。第二十条 如果被审计单位未建立风险评估过程，或具有非正式的风险评估过程，注册会计师应当与管理层讨论是否识别出与财务报告目标相关的经营风险以及如何应对这些风险。注册会计师应当评价缺少记录的风险评估过程是否适合具体情况，或确定是否表明存在内部控制重要缺陷。第二十一条 注册会计师应当从下列方面了解与财务报告相关的信息系统（包括相关业务流程）：（一）在被审计单位经营过程中，对财务报表具有重大影响的各类交易；（二）在信息技术和人工系统中，对被审计单位的交易生成、记录、处理、必要的更正、结转至总账以及在财务报表中报告的程序；（三）用以生成、记录、处理和报告（包括纠正不正确的信息以及信息如何结转至总账）被审计单位交易的会计记录、支持性信息和财务报表中的特定账户；（四）被审计单位的信息系统如何获取除交易以外的对财务报表重大的事项和情况；（五）用于编制被审计单位财务报表（包括作出的重大会计估计和披露）的财务报告流程；（六）与会计分录相关的控制，这些分录包括用以记录非经常性的、异常的交易或调整的非标准会计分录。第二十二条 注册会计师应当了解被审计单位如何沟通与财务报告相关的人员的角色和职责以及与财务报告相关的重大事项。这种沟通包括：（一）管理层与治理层之间的沟通；（二）外部沟通，如与监管机构的沟通。第二十三条 注册会计师应当了解与审计相关的控制活动。与审计相关的控制活动，是注册会计师为评估认定层次重大错报风险并设计进一步审计程序应对评估的风险而认为有必要了解的控制活动。审计并不要求了解与财务报表中每类重大交易、账户余额和披露或与其每项认定相关的所有控制活动。第二十四条 在了解被审计单位控制活动时，注册会计师应当了解被审计单位如何应对信息技术导致的风险。第二十五条 注册会计师应当了解被审计单位用于监督与财务报告相关的内部控制的主要活动，包括了解针对与审计相关的控制活动的监督，以及被审计单位如何对控制缺陷采取补救措施。第二十六条 如果被审计单位具有内部审计职能，注册会计师应当了解下列事项，以确定内部审计职能是否可能与审计相关：（一）内部审计职能责任的性质以及内部审计职能如何适合被审计单位的组织结构；（二）内部审计职能已实施或拟实施的活动。第二十七条 注册会计师应当了解被审计单位监督活动所使用信息的来源，以及管理层认为信息对于实现目的足够可靠的依据。

审计师应当从以下方面了解被审计单位整体层面内部控制:

项目经理级别，应该对行业信息和企业自身整体经营环境进行了解和深入分析，更多经理花在报表层次上，并据了解的情况对助理予以指导，从而可以把握重大风险点，免得出现外行人举报内行人的情况。项目助理则主要在于各自的业务循环测试，穿行测试是了解企业内控比较好的方法，内控的薄弱就是风险易发生的地方，所以整体穿行可依据企业规模选取测试量，具体量本人认为不好量化，一般5笔以下吧，直到项目经理认为胸有成竹为止。对发现的薄弱点再多选取样本测试。内控测试1（穿行测试）的目的是对内控系统的合理性、适用性（与经营环境是否相适应）做判断，关注的是有没有有效的内控机制的问题；内控测试2（对控制点的测试）的目的是判断风险发生的可能性高低（内控是否有效），判断的依据来自于概率论，两者是有机结合的整体。当然效果是否好需要结合测试主体（CPA）的执业经验和能力以及所使用的样本是否恰当，不能说实践操作比较麻烦就认为这个测试可有可无。