第四节 了解被审计单位的内部控制
一、内部控制的含义和要素(一般了解)
| 概念 |
内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。 |
|
目标 |
合理保证:(1)财务报告的可靠性;(2)经营的效率和效果;(3)在所有经营活动中遵守法律法规的要求。 |
|
责任 |
设计和实施内部控制的责任主体是治理层、管理层和其他人员,组织中的每一个人都对内部控制负有责任。 |
|
手段 |
实现内部控制目标的手段是设计和执行控制政策及程序 |
|
要素 |
控制环境;风险评估过程;信息系统与沟通;控制活动;对控制的监督。 |
二、注册会计师应了解与审计相关的控制
1.内部控制的目标:合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守。
2.注册会计师审计的目标:对财务报表是否不存在重大错报发表审计意见。
3.了解控制的范围:注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制。
三、注册会计师对内部控制了解的深度(理解)
注册会计师对内部控制了解,包括评价控制的设计,并确定其是否得到执行,但不包括对控制是否得到一贯执行的测试。
(一)评价控制的设计
注册会计师在了解内部控制时,应当评价控制的设计,并确定其是否得到执行。
(二)获取控制设计和执行的审计证据
注册会计师通常实施下列风险评估程序,以获取有关控制设计和执行的审计证据:
(1)询问被审计单位的人员;
(2)观察特定控制的运用;
(3)检查文件和报告;
(4)追踪交易在财务报告信息系统中的处理过程(穿行测试)。
(三)了解内部控制的步骤
| 第一步 |
识别需要降低哪些风险以预防财务报表中发生重大错报 |
|
第二步 |
记录相关的内部控制 |
|
第三步 |
实施穿行测试。以确信识别的内部控制实际上确实存在并执行 |
|
第四步 |
评估内部控制的设计 |
|
第五步 |
确定内部控制是否存在重大弱点 |
(四)了解内部控制与测试控制运行有效性的关系
了解内部控制与控制测试是不同的,了解内部控制在于确定内部控制设计是否合理和是否得到执行,从而确定是否依赖内部控制及控制测试。控制测试是确定内部控制运行是否有效,从而确定实质性程序的性质时间范围。一般情况下了解内部控制并不能取代控制测试,除非存在某些可以使控制得到一贯运行的自动化控制,注册会计师对控制的了解并不能够代替对控制运行有效性的测试。
四、考虑内部控制的人工和自动化成分(一般了解)
(一)考虑内部控制的人工和自动化特征及其影响
内部控制可能既包括人工成分又包括自动化成分,在风险评估以及设计和实施进一步审计程序时,注册会计师应当考虑内部控制的人工和自动化特征及其影响。
(二)信息技术的优势及相关内部控制风险
信息技术可能对内部控制产生特定风险:
(1)系统或程序未能正确处理数据,或处理了不正确的数据,或两种情况同时并存;(2)在未得到授权情况下访问数据,可能导致数据的毁损或对数据不恰当的修改,包括记录未经授权或不存在的交易,或不正确地记录了交易;(3)信息技术人员可能获得超越其履行职责以外的数据访问权限,破坏了系统应有的职责分工;(4)未经授权改变主文档的数据;(5)未经授权改变系统或程序;(6)未能对系统或程序做出必要的修改;(7)不恰当的人为干预;(8)数据丢失的风险或不能访问所需要的数据。
(三)人工控制的适用范围及相关内部控制风险
由于人工控制由人执行,受人为因素的影响,也产生了特定风险:
(1)人工控制可能更容易被规避、忽视或凌驾;(2)人工控制可能不具有一贯性;(3)人工控制可能更容易产生简单错误或失误。
注册会计师应当考虑人工控制在下列情形中可能是不适当的:(1)存在大量或重复发生的交易;(2)事先可预见的错误能够通过自动化控制得以防范或发现;(3)控制活动可得到适当设计和自动化处理。
五、内部控制的局限性(一般了解)
内部控制存在固有局限性,无论如何设计和执行,只能对财务报告的可靠性提供合理的保证。内部控制存在的固有局限性包括:
1.在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。
2.可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。
3.此外,如果被审计单位内部行使控制职能的人员素质不适应岗位要求,也会影响内部控制功能的正常发挥。
相关推荐:
热点新闻:
