重點說明

審計準則公報第75號係由審計準則委員會參考國際審計準則第315號(ISA315)之相關規定，全文計六節共265條及6個附錄，合計171頁，內容相當龐雜，採逐條解析方式並不易掌握該號公報全貌。據此，筆者擬透過主題式引導帶領讀者進入跨時代的審計新面貌。筆者將審計準則公報第75號及相關公報，整合為四個主題，分別為：

• 主題一：查核規劃作業之核心
• 主題二：辨認並評估重大不實表達風險
• 主題三：對受查者取得必要之瞭解
• 主題四：內部控制制度與使用資訊科技之風險、一般控制及對查核工作之影響

二、對受查者內部控制組成要素取得必要之瞭解

(一) 瞭解受查者內部控制制度之組成要素

1、查核人員應執行「風險評估程序」對每一內部控制制度組成要素進行「瞭解」及「評估」，以取得對受查者內部控制制度必要之瞭解³。

1. 受查者內部控制制度之設計、付諸實行及維持方式，因受查者之規模及複雜性而異。例如，較不複雜之受查者可能使用較不正式或較簡易之控制（即政策及程序）以達成其目標。
2. 無論受查者之營運環境為主要仰賴人工作業或完全仰賴自動化作業，或結合人工作業與自動化作業（亦即，受查者內部控制制度使用人工控制、自動化控制及其他資源），查核之整體「目的」及「範圍」將不會因此而有所不同。

2、查核人員於評估控制設計之有效性及其是否付諸實行時，其對受查者每一內部控制制度組成要素之瞭解，可提供查核人員對受查者如何辨認及因應營業風險之初步瞭解。

1. 該等瞭解亦可能影響查核人員對重大不實表達風險之辨認及評估，此有助於查核人員設計及執行進一步查核程序，包括測試控制執行有效性之計畫。
2. 查核人員對受查者「控制環境」、「風險評估流程」及「監督」內部控制制度之流程三項組成要素之瞭解，較可能影響「整體財務報表」重大不實表達風險之辨認及評估。
3. 查核人員對受查者「資訊系統及溝通」與「控制作業」二項組成要素之瞭解，較可能影響「個別項目聲明」重大不實表達風險之辨認及評估。

3、查核人員須對「控制環境」、受查者之「風險評估流程」及受查者「監督」內部控制制度之流程取得瞭解之理由及目的：

1. 「控制環境」、受查者之「風險評估流程」及受查者「監督」內部控制制度之流程中之控制，主要為「間接控制」(Indirect Controls)。惟該等組成要素中之某些控制亦可能存有直接控制。
1. 「控制環境」為其他內部控制制度組成要素之執行提供整體基礎。控制環境並不能直接預防或偵出並改正不實表達，惟其可能影響其他內部控制制度組成要素中控制之有效性。
2. 受查者之「風險評估流程」及受查者「監督」內部控制制度之流程二項組成要素之設計及執行，亦係用以支持整體內部控制制度，而非直接預防或偵出並改正不實表達。
2. 「控制環境」、受查者之「風險評估流程」及受查者「監督」內部控制制度之流程三項組成要素係受查者內部控制制度之基礎，任何執行之缺失均有可能廣泛影響財務報表之編製。
1. 查核人員對該等組成要素之瞭解及評估，將影響其對「整體財務報表」重大不實表達風險之辨認及評估，且亦可能影響「個別項目聲明」重大不實表達風險之辨認及評估。
2. 整體財務報表之重大不實表達風險，將影響查核人員對整體查核對策之設計，包括對進一步查核程序之性質、時間及範圍之影響。

4、查核人員須對受查者「資訊系統及溝通」與「控制作業」組成要素中之控制取得瞭解之理由及目的：

1. 「資訊系統及溝通」與「控制作業」二項組成要素中之控制，主要為「直接控制」(direct controls)。



【作者叮嚀】 內部控制組成要素控制之類型


2. 查核人員須瞭解受查者之「資訊系統及溝通」，理由：
1. 可協助查核人員辨認並評估「個別項目聲明」重大不實表達風險。因瞭解受查者對與財務報表編製攸關之「交易流」(Flows Of Transactions)及「資訊處理作業」(Information Processing Activities)其他相關層面所訂定之政策，並評估該組成要素是否適當支持財務報表之編製，可協助查核人員辨認並評估「個別項目聲明」重大不實表達風險。
2. 亦可能協助辨認「整體財務報表」重大不實表達風險。當瞭解及評估之結果與查核人員對受查者內部控制制度之預期（基於承接或續任過程中所取得之資訊）不一致時，亦可能導致辨認出「整體財務報表」重大不實表達風險。



【作者叮嚀】 內部控制組成要素控制之類型


3. 瞭解個別項目特定控制之設計並確認該控制是否付諸實行之重要性
1. 查核人員須辨認控制作業組成要素中之特定控制，並評估其設計及確認該控制是否付諸實行，因其有助於瞭解管理階層因應特定風險之方式，故能作為查核人員設計及執行進一步查核程序以因應該等風險之基礎。
2. 即使查核人員未規劃測試所辨認控制之執行有效性，瞭解管理階層因應特定風險之方式，仍可能影響查核人員因應相關重大不實表達風險所設計證實程序之性質、時間及範圍。

【作者叮嚀】

應注意的是瞭解個別項目特定控制之設計並確認是否付諸實行，與評估特定控制運作有效性之內涵並不相同，若某個別項目特定控制與查核工作攸關，不論任何情況，查核人員均應瞭解控制之設計並確認是否付諸實行，此時，如查核人員不擬信賴受查者內部控制，並不需要設計及執行控制測試，測試特定控制運作有效性。
4. 查核人員對「資訊系統及溝通」與「控制作業」之瞭解及評估之反覆修正
1. 查核人員對「資訊系統及溝通」組成要素取得瞭解時，可使用該等「初步預期」決定對受查者「資訊處理作業」擬取得瞭解之範圍。
2. 查核人員對資訊系統之瞭解，可確認或進一步影響查核人員對「主要個別項目」所建立之初步預期。
1. ① 查核人員對與「主要個別項目」有關之資訊如何流入、流經及流出受查者之資訊系統取得瞭解時，亦可能辨認出因應個別項目重大不實表達風險之控制作業。
2. ② 查核人員對前述控制之辨認及評估，可能先著重於對會計分錄之控制，以及查核人員規劃測試執行有效性之控制。
5. 查核人員對個別項目聲明重大不實表達風險之辨認及評估，受下列兩者影響：
1. 對受查者之「資訊系統及溝通」組成要素中之「資訊處理作業」政策所取得之瞭解。
2. 對受查者之「控制作業」組成要素中之「控制」所執行之辨認及評估。

5、審計準則公報第75號要求查核人員應從下列二個構面，瞭解（或辨認）並評估受查者內部控制組成要素，如下表：

(二) 瞭解「控制環境」組成要素

1、查核人員應透過執行「風險評估程序」，對與財務報表編製攸關之控制環境取得瞭解。作此瞭解時，查核人員應對下列事項進行瞭解及評估：

1. 「瞭解」與下列事項有關之控制、流程及架構：
1. 管理階層如何履行監督責任。例如受查者之文化及管理階層對誠信及道德觀之承諾
2. 當治理單位與管理階層有所區分時，治理單位之獨立性及其對受查者內部控制制度之監督。
3. 受查者對職權及責任之指派。
4. 受查者如何延攬、培養及留用具有能力之人才。
5. 受查者如何要求各級人員為內部控制制度目標之達成承擔責任。
2. 「評估」下列事項：
1. 管理階層在治理單位之監督下，是否已建立並維持誠信及道德行為之文化。
2. 考量受查者之性質及複雜性，控制環境是否提供其他內部控制制度組成要素之適當基礎。
3. 所辨認控制環境之內部控制缺失是否損及其他內部控制制度組成要素。

2、較不複雜受查者之控制環境之性質可能與較複雜者不同。

1. 較不複雜受查者之治理單位可能未包括獨立或外部成員，於受查者並無其他所有者之情況下，治理之責任可能直接由所有者兼管理者承擔。因此，受查者控制環境之某些考量對該等受查者可能較不攸關或不適用。
2. 較不複雜之受查者可能難以書面形式提供有關控制環境要素之查核證據，尤其是管理階層與其他人員採用非正式之方式溝通時，但該證據於此情況下仍可能係屬適當攸關及可靠。

3、因控制環境係其他內部控制制度組成要素之基礎，查核人員對下列事項之評估，有助於辨認其他內部控制制度組成要素中之潛在問題，亦有助於查核人員瞭解受查者所面臨之風險，因此有助於辨認並評估整體財務報表及個別項目聲明之重大不實表達風險：

1. 管理階層如何展現其行為係與受查者之誠信及道德觀承諾一致。
2. 控制環境是否提供受查者其他內部控制制度組成要素之適當基礎。
3. 任何已辨認之內部控制缺失是否損及其他內部控制制度組成要素。

4、查核人員對控制環境之「評估」，係以其對受查者控制環境所取得之「瞭解」為基礎。

1. 某些受查者可能係由單一個人所支配，其可行使大部分之裁量權。該個人之作為及態度可能對受查者之文化有廣泛影響，進而可能廣泛影響控制環境，此影響可能為正面或負面。
2. 雖然控制環境可提供內部控制制度之適當基礎，亦可協助降低舞弊之風險，但適當之控制環境未必能有效嚇阻舞弊。
3. 查核人員評估與受查者使用「資訊科技」有關之控制環境時，應評估受查者對資訊科技之治理是否與受查者之性質及複雜性，以及由資訊科技所支持之營運活動相稱，以及資訊科技之管理組織架構及所配置之資源。

(三) 瞭解受查者「風險評估流程」組成要素

1、查核人員應透過執行「風險評估程序」，對與財務報表編製攸關之受查者「風險評估流程」取得瞭解。作此瞭解時，查核人員應對下列事項進行瞭解及評估：

1. 「瞭解」下列受查者之流程：
1. 辨認與財務報導目標攸關之營業風險。
2. 評估該等風險之顯著程度，包括風險發生之可能性。
3. 因應該等風險。
2. 「評估」受查者之風險評估流程，就受查者之情況（考量其性質及複雜性）而言是否適當。

2、查核人員對受查者風險評估流程是否適當之「評估」，係以其對受查者之風險評估流程所取得之「瞭解」為基礎。

3、查核人員如辨認出管理階層未辨認之重大不實表達風險，其應：

1. 確認是否存有查核人員預期受查者之風險評估流程應辨認而未辨認之風險。如有此情形時，查核人員應瞭解受查者之風險評估流程為何未能辨認該風險。
2. 考量此情形是否影響查核人員所評估受查者之風險評估流程是否適當之評估。

4、並非所有營業風險均會導致重大不實表達風險。查核人員於瞭解管理階層及治理單位如何辨認「與財務報表編製攸關之營業風險」⁴以及決定因應該等風險之措施時，可能考量之事項包括管理階層（如適當時，亦包括治理單位）如何：

1. 明定足夠精確且清楚之受查者目標，使其能辨認並評估與達成該目標有關之風險。
2. 辨認並分析與達成受查者目標有關之風險，以作為決定如何管理該等風險之基礎。
3. 於考量與達成受查者目標有關之風險時，考量舞弊發生之可能性。

5、查核人員宜考量「與財務報表編製攸關之營業風險」，對受查者財務報表之編製，及內部控制制度其他層面之影響。

6、查核人員對受查者風險評估流程之評估，有助於查核人員瞭解受查者所辨認可能發生風險之項目，以及如何因應該等風險。

1. 評估受查者之風險評估流程就受查者之情況（考量其性質及複雜性）而言是否適當，係屬查核人員之專業判斷事項。
2. 查核人員評估受查者如何辨認、評估及因應其營業風險，有助於查核人員瞭解受查者所面臨之風險是否已依受查者之性質及複雜性適當辨認、評估及因應。
3. 此評估亦有助於查核人員辨認並評估整體財務報表及個別項目聲明之重大不實表達風險。

(四) 瞭解受查者「監督」內部控制制度之流程組成要素

1、 查核人員應透過執行「風險評估程序」，對與財務報表編製攸關之受查者「監督」內部控制制度之流程取得瞭解。作此瞭解時，查核人員應對下列事項進行瞭解及評估：

1. 「瞭解」下列受查者流程之層面：
1. 為監督控制之有效性及內部控制缺失之辨認與改正，所執行之持續性評估及個別評估。
2. 受查者之內部稽核職能（如有時），包括其性質、職責及工作。
2. 「瞭解」受查者於監督內部控制制度之流程中所使用資訊之來源，以及管理階層認為該等資訊係屬足夠可靠之基礎。
3. 「評估」受查者監督內部控制制度之流程，就受查者之情況（考量其性質及複雜性）而言是否適當。

2、可擴縮性

1. 對較不複雜之受查者（特別是所有者兼管理者之受查者），查核人員對受查者監督內部控制制度流程之瞭解，通常著重於管理階層（所有者兼管理者）如何直接參與營運，因其可能無其他監督作業。
2. 對無正式監督內部控制制度流程之受查者，查核人員對受查者監督內部控制制度流程之瞭解，可能包括瞭解受查者對管理性會計資訊之定期複核情形，該定期複核係用以協助受查者預防或偵出不實表達。

3、瞭解受查者監督內部控制制度之流程

1. 查核人員瞭解受查者如何監督其內部控制制度時，可能考量之攸關事項包括：
1. 監督作業之設計，例如其為定期性或持續性之監督。
2. 監督作業之執行及頻率。
3. 及時評估監督作業之結果，以決定控制是否仍屬有效。
4. 如何對所辨認之缺失採取適當之改正行動，包括及時向負責改正行動之人員溝通該等缺失。
2. 查核人員亦可考量受查者監督內部控制制度之流程，對涉及使用資訊科技之資訊處理控制如何執行監督。該監督可能包括：
1. 監督複雜資訊科技環境之控制：
1. ① 評估資訊處理控制之設計是否持續有效並因應狀況之變動而作適當修正。
2. ② 評估資訊處理控制之執行是否有效。
2. 監督自動化資訊處理控制中有關權限之控制，該控制係用以落實職能分工。
3. 監督與財務報導自動化作業有關之錯誤，或控制缺失係如何被辨認及因應之控制。

4、瞭解受查者之內部稽核職能

1. 查詢內部稽核職能之適當人員，有助於查核人員對內部稽核職能職責之性質取得瞭解。
2. 查核人員如確定該職能之職責與受查者財務報導有關，其可藉由複核當期之內部稽核計畫，並與該職能之適當人員進行討論，以對內部稽核職能所執行或計劃執行之工作取得進一步瞭解。
1. 此瞭解及自查詢所取得之資訊，亦可提供與查核人員對重大不實表達風險之辨認及評估直接攸關之資訊。
2. 查核人員基於對內部稽核職能之初步瞭解，如欲採用內部稽核工作以修正擬執行之查核程序之性質、時間或範圍，則應適用審計準則公報第73號「採用內部稽核人員之工作」之規定。

5、瞭解受查者監督內部控制制度所使用資訊之來源

1. 對受查者監督內部控制制度所使用資訊之來源取得瞭解（包括所使用之資訊是否攸關及可靠），有助於查核人員評估受查者監督內部控制制度之流程是否適當。
2. 管理階層如無適當基礎即假設監督所使用之資訊係屬攸關及可靠，當該資訊存有錯誤時可能導致管理階層因此作成不正確之結論。
3. 管理階層之監督作業可能使用來自外部溝通之資訊（如顧客投訴或主管機關之意見），藉以突顯問題或強調須改善之事項。

6、評估受查者監督內部控制制度之流程是否適當

1. 查核人員評估受查者如何執行持續性評估及個別評估以監督控制之有效性，有助於其瞭解其他內部控制制度組成要素是否存在且持續運作。此評估亦可能有助於查核人員辨認並評估整體財務報表及個別項目聲明之重大不實表達風險。
2. 查核人員對受查者監督內部控制制度之流程是否適當之「評估」，係以其對受查者監督內部控制制度之流程所取得之「瞭解」為基礎。

(五) 瞭解「資訊系統及溝通」組成要素

1、查核人員應透過執行「風險評估程序」，對與財務報表編製攸關之受查者「資訊系統及溝通」取得瞭解。

2、取得對受查者與財務報表編製攸關之資訊系統及溝通之必要瞭解時，查核人員應對下列事項進行瞭解及評估：

1. 「瞭解」受查者之資訊處理作業，包括受查者之資料及資訊、該等作業所使用之資源，以及對主要個別項目所訂定之政策：
1. 資訊如何於受查者資訊系統中流動，包括：
1. ① 如何啟動交易，以及如何對交易資訊進行記錄、處理、必要之更正、併入總帳及於財務報表中報導。
2. ② 如何對與非交易事項及狀況有關之資訊進行擷取、處理及於財務報表中揭露。
2. 資訊系統中與資訊流有關之會計紀錄、財務報表中之特定會計項目及其他佐證紀錄。
3. 受查者財務報表（包括揭露）之編製流程。
4. 與A至D攸關之受查者資源，包括資訊科技環境。
2. 「瞭解」受查者於資訊系統及其他內部控制制度組成要素中，如何溝通支持財務報表編製與相關報導責任之重大事項。該等溝通包括：
1. 受查者內部人員間之溝通，包括相關人員就其在財務報導所扮演之角色及責任進行溝通。
2. 管理階層與治理單位間之溝通。
3. 與外部之溝通，例如與主管機關之溝通。
3. 「評估」受查者之資訊系統及溝通是否適當支持財務報表係依適用之財務報導架構編製。

3、可擴縮性

1. 相較於規模較大之受查者，較不複雜受查者之資訊系統及相關營運流程可能較簡化，且資訊科技環境亦可能較不複雜，惟資訊系統所扮演之角色則同等重要。
2. 管理階層直接參與之較不複雜受查者，可能不需要詳盡之會計程序說明、複雜之會計紀錄或書面政策。
3. 查核人員於查核較不複雜受查者時，對其資訊系統攸關層面取得瞭解所需之投入可能較少，且可能執行較多「查詢」程序，較少「觀察」或「檢查」文件，然而該等瞭解對進一步查核程序之設計仍有其重要性，且可進一步協助查核人員辨認並評估重大不實表達風險。

4、瞭解受查者之「資訊處理作業」

1. 就查核目的而言，受查者內部控制制度包括與受查者目標有關之層面，當「與財務報導攸關」時，亦可能包括與「營運」或「法令遵循」目標有關之層面。
1. 瞭解受查者如何啟動交易及擷取資訊係屬查核人員瞭解資訊系統之一部分，其可能包括受查者設計用以達成法令遵循及營運目標之系統（政策）之相關資訊，因該等資訊與財務報表之編製攸關。
2. 此外，某些受查者使用高度整合之資訊系統，其控制之設計可能係為同時達成財務報導、法令遵循及營運目標，以及該等目標之組合。
2. 瞭解受查者之資訊系統亦包括瞭解受查者資訊處理作業所使用之資源。下列人力資源之資訊可能與瞭解資訊系統之完整性、正確性及有效性之風險攸關：
1. 執行該等工作之個人是否具備專業能力。
2. 是否有足夠之資源。
3. 是否有適當之職能分工。
3. 查核人員於瞭解資訊系統及溝通組成要素中與受查者對「主要個別項目」有關「資訊流」(The Flows Of Information)所訂定之政策時，可能考量下列事項之性質：
1. 與所處理之交易、其他事件及狀況有關之資料或資訊。
2. 與維持該資料或資訊之完整性、正確性及有效性有關之資訊處理。
3. 資訊處理作業中所使用之資訊流程、人員及其他資源。
4. 取得對受查者營運流程之瞭解（包括瞭解交易如何被啟動），可協助查核人員以適當之方式瞭解受查者之資訊系統。
5. 查核人員可能以不同方式取得對資訊系統之瞭解，該等方式可能包括：
1. 查詢受查者員工有關用以啟動、記錄、處理及報導交易之程序或財務報導流程。
2. 檢查受查者資訊系統之政策、流程手冊或其他文件。
3. 觀察受查者員工對政策或程序之執行。
4. 選擇交易並執行穿透測試，亦即追蹤該等交易於資訊系統中適用之處理流程。
6. 自動化工具及技術
1. 查核人員可使用自動化技術，直接存取或下載受查者儲存交易會計紀錄之資訊系統資料庫中之資訊。
2. 查核人員亦可使用自動化工具或技術，追蹤與特定交易或全部交易有關之會計分錄或其他數位紀錄（自會計紀錄之啟動至總帳之紀錄），以確認其對交易如何於資訊系統中流動所取得之瞭解。
3. 對完整或大量之交易進行分析，亦可能因此辨認出該等交易於正常或預期處理程序中之異常，因而辨認出重大不實表達風險。
7. 財務報表可能包含自總帳及明細帳以外之來源取得之資訊。查核人員可能考量之資訊例舉如下：
1. 自租賃協議取得，與財務報表中之揭露攸關之資訊。
2. 由受查者之風險管理系統所產生，而於財務報表中揭露之資訊。
3. 由管理階層專家所產生，而於財務報表中揭露之公允價值資訊。
4. 自用以建立財務報表中所認列或揭露之會計估計之模型或其他計算方法取得，而於財務報表中揭露之資訊，包括與該等模型所使用之資料及假設相關之資訊，例如：:
1. ① 內部所建立可能影響資產耐用年限之假設。
2. ② 非受查者可控制之因素所影響之資料（如利率）。
5. 自財務模型導出，而於財務報表中揭露之敏感度分析資訊，該等資訊顯示管理階層已考量其他替代假設。
6. 自受查者稅務申報紀錄取得，而於財務報表中認列或揭露之資訊。
7. 自支持管理階層評估受查者繼續經營能力之分析取得，而於財務報表中揭露之資訊。
8. 受查者財務報表中之某些金額或揭露（例如，有關信用風險、流動性風險及市場風險之揭露），可能係基於自受查者「風險管理系統」所取得之資訊。然而，查核人員無須瞭解風險管理系統之所有層面，而係運用專業判斷以決定必要瞭解之層面。
9. 為何查核人員須瞭解與資訊系統攸關之「資訊科技環境」
1. 因受查者使用應用系統或資訊科技環境之其他層面，可能產生使用資訊科技之風險，故查核人員對受查者資訊系統之瞭解，將包括於資訊系統中與「交易流」及「資訊處理」攸關之「資訊科技環境」。
2. 查核人員對受查者營運模式及其如何整合資訊科技之使用取得瞭解，可能提供資訊系統中預期使用資訊科技之性質及範圍等有用資訊。
10. 瞭解受查者「資訊科技」之使用
1. 查核人員對資訊科技環境之瞭解，可能著重於辨認及瞭解資訊系統中與交易流及資訊處理攸關之特定應用系統及資訊科技環境其他層面之性質及數量。
2. 資訊系統中交易流或資訊之變動，可能源自於對應用系統之程式修改，或對處理或儲存該等交易或資訊之資料庫中資料之直接修改。
3. 查核人員可能於瞭解與主要個別項目有關之資訊如何流入、流經及流出受查者資訊系統時，同時辨認應用系統及資訊科技基礎架構。

5、可擴縮性

1. 查核人員對較大型或較複雜受查者之溝通取得瞭解時，可考量受查者書面政策及財務報導手冊之資訊。
2. 較不複雜受查者之責任分層較少，且管理階層可隨時與員工溝通，因此其溝通較不正式（例如可能未使用正式之手冊溝通）。不論受查者之規模為何，暢通之溝通管道有助於例外事項之報告及處理。

6、「評估」資訊系統之攸關層面是否支持受查者財務報表之編製。查核人員對受查者之資訊系統及溝通是否適當支持財務報表編製之評估，係以其對受查者資訊系統及溝通所取得之「瞭解」為基礎。

(六) 瞭解「控制作業」組成要素

1、查核人員應透過執行「風險評估程序」，對「控制作業」組成要素取得瞭解。作此瞭解時，查核人員應對下列事項進行辨認及評估：

1. 「辨認」下列於控制作業組成要素中因應個別項目聲明重大不實表達風險之控制⁵：
1. 因應經決定為顯著風險之控制。
2. 對會計分錄之控制，包括對非標準之會計分錄之控制，此等分錄係用以記錄非經常發生、不尋常之交易或調整。
3. 查核人員規劃測試執行有效性之控制，以決定證實程序之性質、時間及範圍，該等控制應包括因應僅執行證實程序無法取得足夠及適切查核證據之風險之控制。
4. 依查核人員之專業判斷認為適當之其他控制，俾使其能達成個別項目聲明之重大不實表達風險之辨認、評估及因應等目的。
2. 基於所辨認之控制，「辨認」受使用資訊科技風險影響之「應用系統及資訊科技環境」之其他層面，並「辨認」使用資訊科技之相關風險及受查者因應此等風險之「一般控制」。
3. 對於查核人員所辨認因應個別項目聲明重大不實表達風險之控制，及所辨認之應用系統及資訊科技環境之「一般控制」：
1. 「評估」該控制之設計是否有效，以因應個別項目聲明之重大不實表達風險或支持其他控制之執行。
2. 除向受查者有關人員查詢外，應執行其他程序以確認控制是否付諸實行。

2、可擴縮性

1. 較不複雜受查者之控制作業組成要素中之控制，通常與規模較大者類似，但其運作之方式則不同。
2. 較不複雜受查者可能由管理階層直接執行更多控制。

3、控制作業組成要素中之「控制」

1. 控制作業組成要素中之「控制」（包括直接控制及間接控制），係設計用以確保受查者所有其他內部控制制度組成要素之政策被適當執行。
2. 控制作業組成要素中之控制類型
1. 控制作業組成要素中之控制，包括授權及核准(Authorization And Approvals)、調節(Reconciliations)、驗證(Verifications)、職能分工(Segregation Of Duties)，以及實體或邏輯控制(Physical Or Logical Controls)。
1. ① 控制作業組成要素中之控制，亦可能包括管理階層為因應與揭露事項有關之重大不實表達風險所建立之控制。該等控制可能與財務報表中自總帳及明細帳以外之來源取得之資訊有關。
2. ② 無論資訊科技環境或人工作業系統中之控制，均有其不同之目標，並可能適用於不同之組織及功能層級。
2. 查核人員辨認及評估控制作業組成要素中之控制時應著重於「資訊處理控制」。
1. ① 「資訊處理控制」係應用於受查者資訊系統之資訊處理作業中，以直接因應交易及其他資訊之完整性、正確性及有效性之風險。
2. ② 然而，查核人員無須辨認及評估所有與受查者對主要個別項目所訂定政策有關之資訊處理控制。
3. 支持其他控制之控制與所考量因應個別項目聲明重大不實表達風險之控制間之關係愈不直接，則該控制可預防或偵出並改正相關不實表達之效果愈低。
4. 查核人員對受使用資訊科技風險影響之應用系統及資訊科技環境之其他層面，應辨認及評估受查者因應此等風險之「一般控制」。
1. ① 「一般控制」係支持資訊處理控制持續有效運作之基礎。
2. ② 僅有「一般控制」通常不足以因應個別項目聲明之重大不實表達風險。
3. 查核人員對下列控制應辨認及評估其設計，並確認其是否付諸實行：
1. 「因應顯著風險之控制」及對「會計分錄之控制」。
2. 查核人員規劃測試執行有效性之控制。
3. 依查核人員之專業判斷認為適當之其他控制。

4、受查者內部控制制度之內部控制缺失。

1. 查核人員應基於對受查者每一內部控制制度組成要素之評估，決定是否已辨認出一項或多項內部控制缺失。
1. 查核人員對受查者每一內部控制制度組成要素執行評估時，可能判斷受查者於某一組成要素中所訂定之某些政策，就受查者之性質及情況而言並不適當。
2. 此判斷可能係有助於查核人員辨認內部控制缺失之指標。如已辨認出一項或多項內部控制缺失，查核人員宜考量該等內部控制缺失對設計進一步查核程序之影響。
2. 查核人員如已辨認出一項或多項內部控制缺失，應運用專業判斷以決定該等內部控制缺失（個別或與其他之缺失合併考量）是否構成「顯著缺失」。

【公報重要釋例】 可能顯示存有內部控制顯著缺失情況之事項例舉如下⁶：

• 辨認出涉及高階管理階層之舞弊（無論其重大程度）。
• 所辨認之不適當內部流程，其與內部稽核職能所指出之報導及溝通缺失有關。
• 先前已溝通但管理階層未及時更正之顯著缺失。
• 管理階層未能因應顯著風險，例如未對顯著風險實行控制。
• 重編先前發布之財務報表。

註釋

3. 審計準則公報第75號第117條參照。返回內文
4. 如依內部控制欲達成之目標可將營業風險分為：與財務報表編製攸關之營業風險、與有效率及效果營運之營業風險，及與相關法令遵循有關之營業風險。返回內文
5. 此即原審計準則公報第48號第11條之與查核攸關之內部控制。返回內文
6. 審計準則公報第75號第209條參照。返回內文

資料來源

• 本文章有關審計準則公報第75號「辨認並評估重大不實表達風險」著作權專屬於財團法人會計研究發展基金會所有，本人基於研究目的自財團法人中華民國會計研究發展基金會網站公報內容閱覽專區取得並摘錄援引。

延伸閱讀

1. 國際審計準則公報ISA_250(審計準則公報第72號「查核財務報表對法令遵循之考量」)解析(上)
2. 國際審計準則公報ISA_250(審計準則公報第72號「查核財務報表對法令遵循之考量」)解析(下)