【内容导航】
了解被审计单位的内部控制
【所属章节】
第七章 风险评估
【知识点】了解被审计单位的内部控制
了解被审计单位的内部控制
一、内部控制的要素
内部控制包括控制环境、风险评估过程(体现风险意识)、信息系统与沟通、控制活动和对控制的监督五个要素。
无论怎样划分内部控制要素,注册会计师都应重点考虑某项控制是否能够以及如何防止或发现并纠正各类交易、账户余额和披露存在的重大错报。
二、只了解与审计相关的控制
了解内部控制是必要审计程序,注册会计师应当了解被审计单位的内部控制。
注册会计师需要了解和评价的只是与审计相关的内部控制,并非所有的内部控制。
被审计单位通常有一些与目标相关但与审计无关的控制,注册会计师无须对其加以考虑。
如果多项控制活动能够实现同一目标,不必了解与该目标相关的每项控制活动。
三、了解内部控制的深度[目的/程序/局限]
(一)了解内部控制的目的
1.评价控制设计是否合理
设计不当的控制可能表明内部控制存在重大缺陷,不需要再考虑控制是否得到执行。
2.确定控制是否得到执行
确定内部控制是否得到执行,不包括对控制是否得到一贯执行的测试。
(二)了解内部控制的程序
1.询问被审计单位的人员;
2.观察特定控制的运用;
3.检查文件和报告;
4.追踪交易在财务报告信息系统中的处理过程[穿行测试]。
注意:询问、观察、检查、穿行测试的内容因交易而不同,见第9章、第11章第二节。
(三)了解内控能否代替控制测试
除非存在某些可以使控制得到一贯运行的自动化控制[一般控制],否则对控制的了解并不足以代替控制测试:
1.人工控制在某一时点得到执行,并不能表明在其他时点也有效运行。对人工控制的了解不能代替控制测试。
2.信息技术具有内在一贯性,一旦确定其正在有效执行,就可能确定其一贯有效执行[满足三条件即可:一般控制有效、没有重大变化、软件版本经批准]。
四、内部控制的人工和自动化方式
(一)自动控制范围、优势与风险
1.适用范围
适用于通过电子文档生成、记录、处理和报告交易。如订购单、发票、装运单及相关的会计记录。不适用于难以防范、需要灵活变通的控制。
2.控制优势
(1)在处理大量的交易或数据时,一贯运用事先确定的业务规则,并进行复杂运算;
(2)提高信息的及时性、可获得性及准确性;
(3)有助于对信息的深入分析;
(4)提高对被审计单位的经营业绩及其政策和程序执行情况进行监督的能力;
(5)降低控制被规避的风险[并不能消除该风险];
(6)通过实施安全控制,提高不相容职务分离的有效性。
3.控制风险
(1)一般控制存在缺陷,导致财务报表层的重大错报风险;
(2)应用控制存在缺陷,直接导致认定层的重大错报风险。
(二)人工控制的范围、优势与风险
尽管信息技术得到了广泛使用,但人工因素仍然会存在于这些系统之中。每项自动控制都有一个人工控制相对应,且人工控制往往针对例外情况,属于关键控制点。
自动控制要与对应的人工控制一起测试,才能得到控制是否可信赖的结论。
1.适用范围:
适用于批准、复核、调节、跟踪;
不适宜:
(1)存在大量或重复发生的交易[枯燥乏味];
(2)控制活动可适当设计和自动化处理[机械刻板];
(3)事先可预见的错误能够通过自动化控制得以防范或发现并纠正[千篇一律]。
2.控制优势
(1)存在大额、异常或偶发的交易[笔数少、金额大];
(2)存在难以定义、防范或预见的错误[异常的、无规定的];
(3)为应对情况的变化,需要对现有的自动化控制进行调整;
(4)监督自动化控制的有效性。
3.控制风险
(1)人工控制可能更容易被规避、忽视或凌驾[人情];
(2)人工控制可能不具有一贯性[情绪];
(3)人工控制可能更容易产生简单错误或失误[疲劳]。
五、内部控制的固有局限性[爱考]
(一)固有局限性的原因
1.人为判断可能出现错误、人为失误导致内部控制失效。
2.可能由于人员串通或管理层凌驾内部控制而被规避。
此外,还包括:人员素质,成本效益及异常情况。
(二)固有局限性的影响
1.无论如何设计和执行,只能对财务报告可靠性提供合理保证,不能提供绝对保证。
2.无论评估的控制风险多低,都不能仅依赖内部控制而不实施实质性程序。
六、控制环境
(一)概念
控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。
良好的控制环境是实施有效内部控制的基础。控制环境设定了被审计单位的内部控制基调,影响员工对内部控制的意识。
在审计业务承接阶段,注册会计师就需要对控制环境作出初步了解和评价。
(二)要素
1.对诚信和道德价值观念的沟通与落实;
2.对胜任能力的重视;
3.治理层的参与程度;
4.管理层的理念和经营风格;
5.组织结构及职权与责任的分配;
6.人力资源政策与实务。
(三)要点
1.评估重大错报风险时,应当将控制环境连同其他(4项)内部控制要素产生的影响一并考虑[仅控制环境可能不足以评估风险]。例如,与对控制的监督和具体控制活动一并考虑。
2.财务报表层次重大错报风险很可能源于控制环境存在缺陷。控制环境对重大错报风险的评估具有广泛影响。
3.控制环境不能绝对防止舞弊,但有助于降低舞弊风险。
4.控制环境的有效性能为注册会计师相信以前年度和期中测试过的控制将继续有效运行提供一定基础[控制环境薄弱可能导致不能信赖以前期间控制测试证据]。
5.控制环境不仅不能防止或发现并纠正认定层次的重大错报,控制环境存在的弱点反而可能削弱控制的有效性:如认为控制环境薄弱,很难认定某一流程的控制是有效的。
七、风险评估过程
(一)风险评估过程的含义
经营风险是重大错报风险的土壤和前奏。
风险评估过程包括识别与财务报告相关的经营风险,以及管理层针对这些经营风险采取的应对措施。风险评估过程以经营风险为核心,代表了管理层的风险意识,影响着管理层对风险的识别和防范。
如果风险评估过程存在缺陷,注册会计师就难以将重大错报风险评估为低水平。
(二)可能产生风险的事项和情形[新/变]
1.监管及经营环境的变化;
2.新员工的加入;
3.新信息系统的使用或对原系统进行升级;
4.业务快速发展;
5.新技术的采用;
6.新的生产型号、产品和业务活动;
7.企业重组;
8.发展海外经营;
9.执行新的会计准则。
(三)对风险评估过程的了解与评价
1.如何了解:如果注册会计师发现了风险因素,可通过询问管理层和检查有关文件确定被审计单位的风险评估过程是否也发现了该风险;
2.如何评估:如果识别出管理层未能识别的重大错报风险,应考虑被审计单位的风险评估过程为何没有识别出这些风险,以及评估过程是否适合于具体环境。
八、信息系统与沟通
1.与财务报告相关的信息系统应当与业务流程相适应。
2.自动化程序和控制可能降低无意错误的风险,但不能消除个人凌驾于控制的风险。
例如,某些高级管理人员可能篡改自动过入总分类账和财务报告系统的数据金额。
当运用信息技术进行数据的传递时,发生篡改可能不会留下痕迹或证据。
了解与财务报告相关的信息系统应当包括了解信息系统中与财务报表所披露信息相关的方面,无论这些信息是从总账和明细账中获取,还是从总账和明细账之外的其他途径获取。
九、控制活动
控制活动包括交易授权、业绩评价、信息处理、实物控制和职责分离5个方面。
了解控制活动的重点是识别和了解针对重大错报可能发生的领域的控制活动。
注册会计师可以根据对固有风险的了解,初步评估重大错报风险。重大错报风险越高,越需要了解相关领域的内部控制。反之,重大错报风险越低,注册会计师越不需要了解相关领域的内部控制。
十、对控制的监督
对控制的监督是指评价内部控制在一段时间内运行有效性的过程,包括及时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施。
对控制的监督,需要持续的监督活动、专门的评价活动或两者相结合。其中持续的监督活动通常贯穿于日常经营活动与常规管理工作中,专门的评价活动可由内部审计人员或具有类似职能的人员对内部控制的设计和执行进行定期评价。
十一、了解两个层面的内部控制
注册会计师应当从整体层面和业务流程层面分别了解和评价被审计单位的内部控制。
1.整体层面优劣,没有固定评价标准。整体层面控制通常包括以下8个方面[D20Z]:
(1)与控制环境相关的控制
(2)针对管理层和治理层凌驾于控制之上的风险而设计的内部控制
(3)被审计单位的风险评估过程
(4)对内部信息传递和期末财务报告流程的控制
(5)对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价。
(6)集中化的处理和控制。
(7)监督经营成果的控制。
(8)重大经营控制和风险管理实务的政策。
2.业务流程通常包括[D20Z]:
(1)授权与审批
(2)信息技术应用控制
(3)实物控制
3.在控制要素中,控制环境、风险评估过程、对控制的监督以及信息系统内部控制中的一般控制更多地影响整体层面控制。信息系统内部控制的应用控制、控制活动可能更多地与特定业务流程层面的控制相关。