【內容導航】
了解被審計單位的內部控制
【所屬章節(jié)】
第七章 風險評估
【知識點】了解被審計單位的內部控制
了解被審計單位的內部控制
一、內部控制的要素
內部控制包括控制環(huán)境、風險評估過程(體現(xiàn)風險意識)、信息系統(tǒng)與溝通、控制活動和對控制的監(jiān)督五個要素。
無論怎樣劃分內部控制要素,注冊會計師都應重點考慮某項控制是否能夠以及如何防止或發(fā)現(xiàn)并糾正各類交易、賬戶余額和披露存在的重大錯報。
二、只了解與審計相關的控制
了解內部控制是必要審計程序,注冊會計師應當了解被審計單位的內部控制。
注冊會計師需要了解和評價的只是與審計相關的內部控制,并非所有的內部控制。
被審計單位通常有一些與目標相關但與審計無關的控制,注冊會計師無須對其加以考慮。
如果多項控制活動能夠實現(xiàn)同一目標,不必了解與該目標相關的每項控制活動。
三、了解內部控制的深度[目的/程序/局限]
(一)了解內部控制的目的
1.評價控制設計是否合理
設計不當?shù)目刂瓶赡鼙砻鲀炔靠刂拼嬖谥卮笕毕,不需要再考慮控制是否得到執(zhí)行。
2.確定控制是否得到執(zhí)行
確定內部控制是否得到執(zhí)行,不包括對控制是否得到一貫執(zhí)行的測試。
(二)了解內部控制的程序
1.詢問被審計單位的人員;
2.觀察特定控制的運用;
3.檢查文件和報告;
4.追蹤交易在財務報告信息系統(tǒng)中的處理過程[穿行測試]。
注意:詢問、觀察、檢查、穿行測試的內容因交易而不同,見第9章、第11章第二節(jié)。
(三)了解內控能否代替控制測試
除非存在某些可以使控制得到一貫運行的自動化控制[一般控制],否則對控制的了解并不足以代替控制測試:
1.人工控制在某一時點得到執(zhí)行,并不能表明在其他時點也有效運行。對人工控制的了解不能代替控制測試。
2.信息技術具有內在一貫性,一旦確定其正在有效執(zhí)行,就可能確定其一貫有效執(zhí)行[滿足三條件即可:一般控制有效、沒有重大變化、軟件版本經批準]。
四、內部控制的人工和自動化方式
(一)自動控制范圍、優(yōu)勢與風險
1.適用范圍
適用于通過電子文檔生成、記錄、處理和報告交易。如訂購單、發(fā)票、裝運單及相關的會計記錄。不適用于難以防范、需要靈活變通的控制。
2.控制優(yōu)勢
(1)在處理大量的交易或數(shù)據(jù)時,一貫運用事先確定的業(yè)務規(guī)則,并進行復雜運算;
(2)提高信息的及時性、可獲得性及準確性;
(3)有助于對信息的深入分析;
(4)提高對被審計單位的經營業(yè)績及其政策和程序執(zhí)行情況進行監(jiān)督的能力;
(5)降低控制被規(guī)避的風險[并不能消除該風險];
(6)通過實施安全控制,提高不相容職務分離的有效性。
3.控制風險
(1)一般控制存在缺陷,導致財務報表層的重大錯報風險;
(2)應用控制存在缺陷,直接導致認定層的重大錯報風險。
(二)人工控制的范圍、優(yōu)勢與風險
盡管信息技術得到了廣泛使用,但人工因素仍然會存在于這些系統(tǒng)之中。每項自動控制都有一個人工控制相對應,且人工控制往往針對例外情況,屬于關鍵控制點。
自動控制要與對應的人工控制一起測試,才能得到控制是否可信賴的結論。
1.適用范圍:
適用于批準、復核、調節(jié)、跟蹤;
不適宜:
(1)存在大量或重復發(fā)生的交易[枯燥乏味];
(2)控制活動可適當設計和自動化處理[機械刻板];
(3)事先可預見的錯誤能夠通過自動化控制得以防范或發(fā)現(xiàn)并糾正[千篇一律]。
2.控制優(yōu)勢
(1)存在大額、異;蚺及l(fā)的交易[筆數(shù)少、金額大];
(2)存在難以定義、防范或預見的錯誤[異常的、無規(guī)定的];
(3)為應對情況的變化,需要對現(xiàn)有的自動化控制進行調整;
(4)監(jiān)督自動化控制的有效性。
3.控制風險
(1)人工控制可能更容易被規(guī)避、忽視或凌駕[人情];
(2)人工控制可能不具有一貫性[情緒];
(3)人工控制可能更容易產生簡單錯誤或失誤[疲勞]。
五、內部控制的固有局限性[愛考]
(一)固有局限性的原因
1.人為判斷可能出現(xiàn)錯誤、人為失誤導致內部控制失效。
2.可能由于人員串通或管理層凌駕內部控制而被規(guī)避。
此外,還包括:人員素質,成本效益及異常情況。
(二)固有局限性的影響
1.無論如何設計和執(zhí)行,只能對財務報告可靠性提供合理保證,不能提供絕對保證。
2.無論評估的控制風險多低,都不能僅依賴內部控制而不實施實質性程序。
六、控制環(huán)境
(一)概念
控制環(huán)境包括治理職能和管理職能,以及治理層和管理層對內部控制及其重要性的態(tài)度、認識和措施。
良好的控制環(huán)境是實施有效內部控制的基礎?刂骗h(huán)境設定了被審計單位的內部控制基調,影響員工對內部控制的意識。
在審計業(yè)務承接階段,注冊會計師就需要對控制環(huán)境作出初步了解和評價。
(二)要素
1.對誠信和道德價值觀念的溝通與落實;
2.對勝任能力的重視;
3.治理層的參與程度;
4.管理層的理念和經營風格;
5.組織結構及職權與責任的分配;
6.人力資源政策與實務。
(三)要點
1.評估重大錯報風險時,應當將控制環(huán)境連同其他(4項)內部控制要素產生的影響一并考慮[僅控制環(huán)境可能不足以評估風險]。例如,與對控制的監(jiān)督和具體控制活動一并考慮。
2.財務報表層次重大錯報風險很可能源于控制環(huán)境存在缺陷?刂骗h(huán)境對重大錯報風險的評估具有廣泛影響。
3.控制環(huán)境不能絕對防止舞弊,但有助于降低舞弊風險。
4.控制環(huán)境的有效性能為注冊會計師相信以前年度和期中測試過的控制將繼續(xù)有效運行提供一定基礎[控制環(huán)境薄弱可能導致不能信賴以前期間控制測試證據(jù)]。
5.控制環(huán)境不僅不能防止或發(fā)現(xiàn)并糾正認定層次的重大錯報,控制環(huán)境存在的弱點反而可能削弱控制的有效性:如認為控制環(huán)境薄弱,很難認定某一流程的控制是有效的。
七、風險評估過程
(一)風險評估過程的含義
經營風險是重大錯報風險的土壤和前奏。
風險評估過程包括識別與財務報告相關的經營風險,以及管理層針對這些經營風險采取的應對措施。風險評估過程以經營風險為核心,代表了管理層的風險意識,影響著管理層對風險的識別和防范。
如果風險評估過程存在缺陷,注冊會計師就難以將重大錯報風險評估為低水平。
(二)可能產生風險的事項和情形[新/變]
1.監(jiān)管及經營環(huán)境的變化;
2.新員工的加入;
3.新信息系統(tǒng)的使用或對原系統(tǒng)進行升級;
4.業(yè)務快速發(fā)展;
5.新技術的采用;
6.新的生產型號、產品和業(yè)務活動;
7.企業(yè)重組;
8.發(fā)展海外經營;
9.執(zhí)行新的會計準則。
(三)對風險評估過程的了解與評價
1.如何了解:如果注冊會計師發(fā)現(xiàn)了風險因素,可通過詢問管理層和檢查有關文件確定被審計單位的風險評估過程是否也發(fā)現(xiàn)了該風險;
2.如何評估:如果識別出管理層未能識別的重大錯報風險,應考慮被審計單位的風險評估過程為何沒有識別出這些風險,以及評估過程是否適合于具體環(huán)境。
八、信息系統(tǒng)與溝通
1.與財務報告相關的信息系統(tǒng)應當與業(yè)務流程相適應。
2.自動化程序和控制可能降低無意錯誤的風險,但不能消除個人凌駕于控制的風險。
例如,某些高級管理人員可能篡改自動過入總分類賬和財務報告系統(tǒng)的數(shù)據(jù)金額。
當運用信息技術進行數(shù)據(jù)的傳遞時,發(fā)生篡改可能不會留下痕跡或證據(jù)。
了解與財務報告相關的信息系統(tǒng)應當包括了解信息系統(tǒng)中與財務報表所披露信息相關的方面,無論這些信息是從總賬和明細賬中獲取,還是從總賬和明細賬之外的其他途徑獲取。
九、控制活動
控制活動包括交易授權、業(yè)績評價、信息處理、實物控制和職責分離5個方面。
了解控制活動的重點是識別和了解針對重大錯報可能發(fā)生的領域的控制活動。
注冊會計師可以根據(jù)對固有風險的了解,初步評估重大錯報風險。重大錯報風險越高,越需要了解相關領域的內部控制。反之,重大錯報風險越低,注冊會計師越不需要了解相關領域的內部控制。
十、對控制的監(jiān)督
對控制的監(jiān)督是指評價內部控制在一段時間內運行有效性的過程,包括及時評價控制的設計和運行,以及根據(jù)情況的變化采取必要的糾正措施。
對控制的監(jiān)督,需要持續(xù)的監(jiān)督活動、專門的評價活動或兩者相結合。其中持續(xù)的監(jiān)督活動通常貫穿于日常經營活動與常規(guī)管理工作中,專門的評價活動可由內部審計人員或具有類似職能的人員對內部控制的設計和執(zhí)行進行定期評價。
十一、了解兩個層面的內部控制
注冊會計師應當從整體層面和業(yè)務流程層面分別了解和評價被審計單位的內部控制。
1.整體層面優(yōu)劣,沒有固定評價標準。整體層面控制通常包括以下8個方面[D20Z]:
(1)與控制環(huán)境相關的控制
(2)針對管理層和治理層凌駕于控制之上的風險而設計的內部控制
(3)被審計單位的風險評估過程
(4)對內部信息傳遞和期末財務報告流程的控制
(5)對控制有效性的內部監(jiān)督(即監(jiān)督其他控制的控制)和內部控制評價。
(6)集中化的處理和控制。
(7)監(jiān)督經營成果的控制。
(8)重大經營控制和風險管理實務的政策。
2.業(yè)務流程通常包括[D20Z]:
(1)授權與審批
(2)信息技術應用控制
(3)實物控制
3.在控制要素中,控制環(huán)境、風險評估過程、對控制的監(jiān)督以及信息系統(tǒng)內部控制中的一般控制更多地影響整體層面控制。信息系統(tǒng)內部控制的應用控制、控制活動可能更多地與特定業(yè)務流程層面的控制相關。
相關推薦:
2020注會cpa考試《各科目》每日一題匯總 | 重大時間節(jié)點
2020注冊會計師考試時間 | 準考證打印時間 | 注會考試科目
2020年注冊會計師考試模擬試題 | 注會考試資料 | 經驗技巧
歷年注冊會計師考試真題及答案 | 注會考試大綱 | 考試教材