审计由厚到薄（各章相关知识点总结九）

四、内部控制的人工和自动化成分
（一）考虑内部控制的人工和自动化特征及其影响
（二）信息技术的优势及相关内部控制风险
信息技术可能对内部控制产生特定风险：
（1）统或程序未能正确处理数据，或处理了不正确的数据，或两种情况同时并存；
（2）在未得到授权情况下访问数据,可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易；
（3）信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工；
（4）未经授权改变主文档的数据；
（5）未经授权改变系统或程序；
（6）未能对系统或程序作出必要的修改；
（7）不恰当的人为干预；
（8）数据丢失的风险或不能访问所需要的数据。
（三）人工控制的适用范围及相关内部控制风险
风险：
（1）人工控制可能更容易被规避、忽视或凌驾；
（2）人工控制可能不具有一贯性；
（3）人工控制可能更容易产生简单错误或失误。
人工控制在下列情形中可能是不适当的：
（1）存在大量或重复发生的交易；
（2）事先可预见的错误能够通过自动化控制得以防范或发现；
（3）控制活动可得到适当设计和自动化处理。
五、内部控制的局限性
内部控制的固有局限性：
1、在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效；
2、可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避；
3、行使控制职能的人员素质不适应岗位要求；
4、被审计单位实施内部控制的成本效益问题；
5、内部控制一般都是针对经常而重复发生的业务而设置的，如果出现不经常发生或未预计到的业务，原有控制就可能不适用。
六、控制环境
（一）控制环境的含义
控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。
（二）对诚信和道德价值观念的沟通与落实
（三）对胜任能力的重视
（四）治理层的参与程度
（五）管理层的理念和经营风格
（六）组织结构及职权与责任的分配
（七）人力资源政策与实务
控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报，注册会计师在评估重大错报风险时，应当将控制环境连同其他内部控制要素产生的影响一并考虑。
七、被审计单位的风险评估过程
管理层应当确定可以承受的风险水平，识别这些风险并采取一定的应对措施。
可能产生风险的事项和情形包括：
（1）监管及经营环境的变化；
（2）新员工的加入；
（3）新信息系统的使用或对原系统进行升级；
（4）业务快速发展；
（5）新技术；
（6）新生产型号、产品和业务活动；
（7）企业重组；
（8）发展海外经营；
（9）新的会计准则。
注册会计师在对被审计单位整体层面的风险评估过程进行了解和评估时，考虑的主要因素包括：－被审计单位是否已建立和沟通其整体目标，并辅以具体策略和业务流程和层面的计划
　　－被审计单位是否已建立风险评估过程，包括识别风险，估计风险的重大性，评估风险发生的可能性，以及确定需要采取的措施
　　－被审计单位是否已建立某种机制，来预计、识别和应对可能会被审计单位产生重大的普遍影响的变化
　　－会计部门是否建立了某种流程来识别相关部门发布的会计准则等的重大变化
　　－当被审计单位业务操作发生变化影响交易记录的流程时，是否存在沟通渠道来通知会计部门
　　－风险管理部门是否建立了某种流程来识别经营环境发生的重大变化
八、信息系统与沟通
（一）与财务报告相关的信息系统的含义
理想的信息系统的特征：
（1）识别与记录所有的有效交易；
（2）及时、详细地描述交易，以便在财务报告中对交易做出恰当分类；
（3）恰当计量交易，以便在财务报告中对交易的金额做出准确记录；
（4）恰当确定交易生成的会计期间；
（5）在财务报表中恰当列报交易。
（二）对与财务报告相关的信息系统的了解
1、在被审计单位经营过程中，对财务报表具有重大影响的各类交易。
2、在信息技术和人工系统中，交易生成、记录、处理和报告的程序。
3、与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目。
4、信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况的信息。
5、被审计单位编制财务报告的过程，包括做出的重大会计估计和披露。
6、管理层凌驾于账户记录控制之上的风险。
九、控制活动
（一）相关的控制活动的含义
控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。
1、授权
2、业绩评价
3、信息处理
4、实物控制
5、职责分离
（二）对控制活动的了解
(1)被审计单位的主要经营活动是否都有必要的控制政策和程序；
(2)管理层在预算、利润和其他财务和经营业绩方面是否都有清晰的目标，在被审计单位内部，是否对这些目标加以清晰的记录和沟通，并且积极地对其进行监控；
(3)是否存在计划和报告系统，以识别与目标业绩的差异，并向适当层次的管理层报告该差异；
(4)是否由适当层次的管理层对差异进行调查，并及时采取适当的纠正措施；
(5)不同人员的职责应在何种程度上相分离，以降低舞弊和不当行为发生的风险；
(6)会计系统中的数据是否与实物资产定期核对；
(7)是否建立了适当的保护措施，以防止未经授权接触文件、记录和资产；
(8)是否存在信息安全职能部门负责监控信息安全政策和程序。
十、对控制的监督
指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行以及根据情况的变化采取必要的纠正措施。
CPA在对被审计单位整体层面的监督进行了解和评估时，考虑的主要因素包括：
1、 被审计单位是否定期评价内部控制
2、 审计单位人员在履行正常职责时能够在多大程度上获得内部控制是否有效运行的证据
3、 与外部的通能够在多大程度上证实内部产生的信息或者指出存在的问题
4、 管理层是否采纳内部审计人员和CPA有关内部控制的建议
5、 管理层根据监管机构的报告及建议是否即使采取纠正措施
6、 管理层是否及时纠正控制运行中的偏差
7、 是否存在协助管理层监督内部控制的职能部门。
十一、在整体层面对内部控制了解和评估的总结
通常由项目组中对被审计单位情况比较了解且较有经验的成员负责。
了解内部控制是否得到执行。
十二、在业务流程层面了解内部控制
确定被审计单位财务报表中可能存在重大错报风险的重大账户及其相关认定的步骤：
（1）确定被审计单位的重要业务流程和重要交易类别；
（2）了解重要交易流程，并记录获得的了解；
（3）确定可能发生错报的环节；
控制目标解释
1.完整性：所有的有效交易都已记录必须有程序确保没有漏记实际发生的交易。
2.存在和发生：每项已记录的交易均真实必须有程序确保会计记录中没有虚构的或重复入账的项目。
3.适当计量交易必须有程序确保交易以适当的金额入账。
4.恰当确定交易生成的会计期间（截止性）必须有程序确保交易在适当的会计期间内入账（如，月、季度、年等）。
5.恰当分类必须有程序确保将交易记入正确的部分类账，必要时，记入相应的明细账内。
6.汇总和过账必须有程序确保所有作为财务记录中的供货方余额都正确地归集（加总）。确保加总后的金融正确过入总账，必要时，过入明细分类账
控制目标是否达到的问题有关认定
怎样确保没有记录虚构或重复的销售？
怎样确保所有的销售和收款均已记录？
怎样保证货物运送给正确的收货人？
怎样保证发货单据只有在实际发货时才开具？
怎样保证发票正确反映了发货的数量？发生
完整性
发生
发生
准确性
（4）识别和了解相关控制；
预防性控制
检查性控制
预防性控制示例　　
对控制的描述设计控制用来防止的错报
·生成收货报告的计算机程序，同时也更新采购情况档案·防止出现购货漏记账的情况
·在更新采购情况档案之前必须先有收货报告·防止记录了未收到的购货的情况
·销货发票上的价格根据价格信息档案上的信息确定·防止对销货不正确的计价
·计算机将各凭证上的账户号码与会计科目表对比，然后进行一系列的逻辑测试·防止出现分类错报
检查性控制示例
对控制的描述设计控制预计查也的错报
·定期编制银行调节表，跟踪调查挂账的项目·在对其他项目进行审核的同时，查找存入银行但没有记入日记账的现金收入，未记录的现金支付或虚构入账的不真实的现金收入或支付，未及时入账或未正确汇总分类现金收入或支付
·将预算与实际费用间的差异列入计算机编制的报告中并由部门经理复核。记录所有超过预算2%的差异情况和解决措施·在对其他项目进行审核的同时，查找本月发生的重大分类错报或没有记录及没有发生的大笔收入、支出以及相关联的资产和负债项目
对控制的描述设计控制预计查也的错报
·计算机每天比较运出货物的数量和开票数量，如果发现差异，产生报告，由开票主管复核和遍查·查找没有开票和记录的出库货物，以及与真实发货无关的发票
·每季度复核应收账款货方余额并找出原因·查找没有记录的发票和销售与现金收入中的分类错误
（5）执行穿行测试，证实对交易流程和相关控制的了解；
　穿行测试：追踪交易通过与财务报告相关的信息系统的过程
　执行穿行测试可获得下列方面的证据：
　　－确认对业务流程的了解
　　－确认对重要交易的了解是完整的，在流程中所有与财务报表认定相关的可能发生错报的环节都已识别
　　－确认所获得的有关流程中的预防性和检查性控制信息的准确性
　　－评估控制设计的有效性
　　－确认控制实际是否得到执行并正常运行
　　－确认之前所作的书面记录的准确性
（6）进行初步评价和风险评估。
评价控制的设计并确定其是否得到执行
　1、对控制的初步评价
　　－内部控制本身的设计可以单独或连同其他控制能够有效防止或发现并纠正重大错报，并得到执行。
　　－控制本身的设计是合理的，但没有得到执行。
　　－控制本身的设计无效或缺乏必要的控制。
　2、风险评估需考虑的因素
帐户特征及已识别的重大错报风险，识别的重大错报风险水平为高，则相关的控制应有较高的敏感度
对被审计单位整体层面控制的评价。CPA应将对整体层面获得的了解和结论，同在业务流程层面获得的有关重大交易流程及其控制的证据结合起来考虑。在评价业务流程层面的控制要素时，考虑的影响因素可能包括：
　·管理层及执行控制的员工表现出来的胜任能力及诚信，员工受监督的程度及员工流动的频繁程度
　·管理层凌驾于控制之上的潜在可能性
　·缺乏职责划分
　·所内内部审计人员或其他监督人员测试控制动作的程度
　·业务流程变更所产生的的影响

·被审计单位本身的风险评估过程针对某控制所识别的风险，以及对于该控制是否有进一步的监督
　　3、评价决策
　　·根据以上的考虑因素，控制本身的设计是否有效？
　　·控制是否得到执行？
　　·是否更多地依赖控制并进一步测试控制
（7）对财务报告流程的了解和评估
　　财务报告流程：有关信息从具体交易的业务流程到总账和财务报表以及相关列报和披露的流程，这一流程与财务报表的列报认定直接有关
　
财务报告流程包括：
　　
－将业务加总记入总账的程序，即如何将重要业务流程的信息与总账和财务报告系统相连接的过程
　　
－在总账中产生、授权、记录和处理记账分录的程序
　　
－其他用于记录财务报常规和非常规调整的程序，例如合并调整，报告汇总、重分类等
　　
－用于起草财务报表和相关披露的程序