第四節 了解被審計單位的內部控制
一、內部控制的含義和要素(一般了解)
| 概念 |
內部控制是被審計單位為了合理保證財務報告的可靠性、經營的效率和效果以及對法律法規的遵守,由治理層、管理層和其他人員設計和執行的政策和程序。 |
|
目標 |
合理保證:(1)財務報告的可靠性;(2)經營的效率和效果;(3)在所有經營活動中遵守法律法規的要求。 |
|
責任 |
設計和實施內部控制的責任主體是治理層、管理層和其他人員,組織中的每一個人都對內部控制負有責任。 |
|
手段 |
實現內部控制目標的手段是設計和執行控制政策及程序 |
|
要素 |
控制環境;風險評估過程;信息系統與溝通;控制活動;對控制的監督。 |
二、注冊會計師應了解與審計相關的控制
1.內部控制的目標:合理保證財務報告的可靠性、經營的效率和效果以及對法律法規的遵守。
2.注冊會計師審計的目標:對財務報表是否不存在重大錯報發表審計意見。
3.了解控制的范圍:注冊會計師需要了解和評價的內部控制只是與財務報表審計相關的內部控制,并非被審計單位所有的內部控制。
三、注冊會計師對內部控制了解的深度(理解)
注冊會計師對內部控制了解,包括評價控制的設計,并確定其是否得到執行,但不包括對控制是否得到一貫執行的測試。
(一)評價控制的設計
注冊會計師在了解內部控制時,應當評價控制的設計,并確定其是否得到執行。
(二)獲取控制設計和執行的審計證據
注冊會計師通常實施下列風險評估程序,以獲取有關控制設計和執行的審計證據:
(1)詢問被審計單位的人員;
(2)觀察特定控制的運用;
(3)檢查文件和報告;
(4)追蹤交易在財務報告信息系統中的處理過程(穿行測試)。
(三)了解內部控制的步驟
| 第一步 |
識別需要降低哪些風險以預防財務報表中發生重大錯報 |
|
第二步 |
記錄相關的內部控制 |
|
第三步 |
實施穿行測試。以確信識別的內部控制實際上確實存在并執行 |
|
第四步 |
評估內部控制的設計 |
|
第五步 |
確定內部控制是否存在重大弱點 |
(四)了解內部控制與測試控制運行有效性的關系
了解內部控制與控制測試是不同的,了解內部控制在于確定內部控制設計是否合理和是否得到執行,從而確定是否依賴內部控制及控制測試。控制測試是確定內部控制運行是否有效,從而確定實質性程序的性質時間范圍。一般情況下了解內部控制并不能取代控制測試,除非存在某些可以使控制得到一貫運行的自動化控制,注冊會計師對控制的了解并不能夠代替對控制運行有效性的測試。
四、考慮內部控制的人工和自動化成分(一般了解)
(一)考慮內部控制的人工和自動化特征及其影響
內部控制可能既包括人工成分又包括自動化成分,在風險評估以及設計和實施進一步審計程序時,注冊會計師應當考慮內部控制的人工和自動化特征及其影響。
(二)信息技術的優勢及相關內部控制風險
信息技術可能對內部控制產生特定風險:
(1)系統或程序未能正確處理數據,或處理了不正確的數據,或兩種情況同時并存;(2)在未得到授權情況下訪問數據,可能導致數據的毀損或對數據不恰當的修改,包括記錄未經授權或不存在的交易,或不正確地記錄了交易;(3)信息技術人員可能獲得超越其履行職責以外的數據訪問權限,破壞了系統應有的職責分工;(4)未經授權改變主文檔的數據;(5)未經授權改變系統或程序;(6)未能對系統或程序做出必要的修改;(7)不恰當的人為干預;(8)數據丟失的風險或不能訪問所需要的數據。
(三)人工控制的適用范圍及相關內部控制風險
由于人工控制由人執行,受人為因素的影響,也產生了特定風險:
(1)人工控制可能更容易被規避、忽視或凌駕;(2)人工控制可能不具有一貫性;(3)人工控制可能更容易產生簡單錯誤或失誤。
注冊會計師應當考慮人工控制在下列情形中可能是不適當的:(1)存在大量或重復發生的交易;(2)事先可預見的錯誤能夠通過自動化控制得以防范或發現;(3)控制活動可得到適當設計和自動化處理。
五、內部控制的局限性(一般了解)
內部控制存在固有局限性,無論如何設計和執行,只能對財務報告的可靠性提供合理的保證。內部控制存在的固有局限性包括:
1.在決策時人為判斷可能出現錯誤和由于人為失誤而導致內部控制失效。
2.可能由于兩個或更多的人員進行串通或管理層凌駕于內部控制之上而被規避。
3.此外,如果被審計單位內部行使控制職能的人員素質不適應崗位要求,也會影響內部控制功能的正常發揮。
相關推薦:
熱點新聞:
