企业层面的内部控制:(1)与控制环境相关的控制;(2)针对管理层和治理层凌驾于内部控制之上的风险而设计的内部控制;(3)被审计单位的风险评估过程;(4)对内部信息传递和期末财务报告流程的控制;(5)对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价;(6)集中化的处理和控制、监控经营成果的控制,以及重大经营控制和风险管理实务的政策。业务流程、应用系统或交易层面的内部控制:(1)授权与审批;(2)信息技术应用控制;(3)实物控制;(4)复核和调节。
选项C不恰当。注册会计师利用他人工作的程度受到与被测试控制相关的风险的影响,与某项控制相关的风险越高,可利用他人工作的程度就越低,注册会计师就需要更多地对该项控制亲自进行测试。
选项A,注册会计师应当在内部控制审计报告中增加强调事项段,就这些实体未被纳入评价范围和内部控制审计范围这一情况,作出与被审计单位类似的恰当陈述。
选项B,如果确定企业内部控制评价报告对要素的列报不完整或不恰当,注册会计师应当在内部控制审计报告中增加强调事项段,说明这一情况并解释得出该结论的理由。
选项C,注册会计师可能知悉在基准日并不存在、但在期后期间发生的事项。如果这类期后事项对内部控制有重大影响,注册会计师应当在内部控制审计报告中增加强调事项段,描述该事项及其影响,或提醒内部控制审计报告使用者关注企业内部控制评价报告中披露的该事项及其影响。
选项D,已经对内部控制发表了无法表示意见,就无须再添加强调事项段了。
注册会计师评价一项控制缺陷或多项控制缺陷的组合是否可能导致账户或列撤发生错报时,注册会计师应当考虑的风险因素包括:(1)所涉及的账户、列报及其相关认定的性质;(2)相关资产或负债易于发生损失或舞弊的可能性;(3)确定相关金额时所需判断的主观程度、复杂程度和范围;(4)该项控制与其他控制的相互作用或关系;(5)控制缺陷之间的相互作用;(6)控制缺陷在未来可能产生的影响。
四个选项都属于企业层面控制,此外还有:
(1)与控制环境相关的控制;
(2)针对管理层和治理层凌驾于控制之上的风险而设计的控制;
(3)被审计单位的风险评估过程;
(4)对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价。
如果管理层在评价报告中披露了基准日之后采取的整改措施,注册会计师应当在内部控制审计报告中指明不对这些信息发表意见,选项D错误。
选项C不恰当。注册会计师需要针对期后期间询问并检查下列信息:
(1)在期后期间出具的内部审计报告或类似报告(选项A);
(2)其他注册会计师出具的涉及企业内部控制缺陷的报告(选项B);
(3)监管机构发布的涉及企业内部控制的报告(选项D);
(4)注册会计师在执行其他业务中获取的、有关企业内部控制有效性的信息。
控制缺陷的严重程度取决于:(1)控制不能防止或发现并纠正账户或列报发生错报的可能性的大小;(2)因一项或多项控制缺陷导致的潜在错报的金额大小。
对于内部控制可能存在重大缺陷的领域,注册会计师应当对相关的内部控制亲自进行测试(A错),选择更多的子公司或业务部门进行测试而非选择重要的子公司进行测试(B错)。