(1)内部控制的含义和要素
1.评价控制的设计
评价控制的设计涉及考虑该控制单独或连同其他控制,是否能够有效防止或发现并纠正重大错报。
2.确定控制是否得到执行
控制是否得到执行是指某项控制存在且被审计单位正在使用。
(2)对内部控制了解的深度
(一)了解内部控制的流程(补充)
【解读】“了解内部控制”有其特指的内涵,同时包括两个不可或缺的部分,即评价控制的设计并确定已设计的内部控制是否得到执行。
(二)了解内部控制的程序
注册会计师通常实施下列风险评估程序,以获取有关控制设计和执行的审计证据:
1.询问被审计单位人员;
2.观察特定控制的运用;
3.检查文件和报告;
4.追踪交易在财务报告信息系统中的处理过程(穿行测试)。
【解读】
(1)了解被审计单位及其环境(不包括了解内部控制)的风险评估程序主要包括:询问管理层和被审计单位内部其他人员、分析程序、观察和检查。
(2)了解内部控制的风险评估程序不包括分析程序,分析程序是通过分析不同财务数据之间以及财务数据与非财务数据之间的内在关系,从而对财务信息作出评价。了解内部控制的目的评价控制的设计并确认控制是否正在执行,不涉及评价财务信息。
(三)了解内部控制不同于控制测试(教材P144)
1.了解内部控制包含评价内部控制的设计并确定控制是否正在运行。
2.控制测试是确认控制运行是否有效的审计程序,即被审计单位所实施的内部控制能否防止或发现并纠正财务报表重大错报。
3.除非存在某些可以使控制得到一贯运行的自动化控制,否则注册会计师对控制的了解并不足以测试控制运行的有效性。
【解读】
(1)获取某一人工控制在某一时点得到执行的审计证据,并不能证明该控制在所审计期间内的其他时点也有效运行。
(2)由于信息技术处理流程的内在一贯性,实施审计程序确定某项自动控制是否得到执行,也可能实现对控制运行有效性测试的目标,这取决于注册会计师(如针对程序变更的控制)的评估和测试。
(3)内部控制的人工和自动化成分
(一)适合采用人工控制的情形
内部控制的人工成分在处理下列需要主观判断或酌情处理的情形时可能更为适当:
1.存在大额、异常或偶发的交易;
2.存在难以界定、预计或预测的错误的情况;
3.针对变化的情况,需要对现有的自动化控制进行人工干预;
4.监督自动化控制的有效性。
(二)不适合采用人工控制的情形
注册会计师应当考虑人工控制在下列情形中可能是不适当的:
1.存在大量或重复发生的交易;
2.事先可预计或预测的错误能够通过自动化控制参数得以防止或发现并纠正;
3.用特定方法实施控制的控制活动可得到适当设计和自动化处理。
(4)内部控制的局限性
(一)内部控制的固有限制与合理保证
内部控制无论如何有效,都只能为被审计单位实现财务报告目标提供合理保证。
(二)内部控制的固有限制(“2+3”)
内部控制实现目标的可能性受其固有限制的影响。这些限制包括:
1.在决策时人为判断可能出现错误和因人为失误而导致内部控制失效(主要原因);
2.控制可能由于两个或更多的人员串通或管理层不当地凌驾于内部控制之上而被规避(主要原因);
3.内部行使控制职能的人员素质不适应岗位要求也会影响内部控制功能的正常发挥(其他原因);
4.被审计单位实施内部控制的成本效益问题也会影响其效能(其他原因);
5.内部控制一般都是针对经常而重复发生的业务设置的,如果出现不经常发生或未预计到的业务,原有控制就可能不适用(其他原因)。
(5)控制环境
(一)控制环境的含义
控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。
(二)了解控制环境的要求
在评价控制环境的设计和实施情况时,注册会计师应当了解管理层在治理层的监督下,是否营造并保持了诚实守信和合乎道德的文化,以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。
(三)控制环境的影响要素
在评价控制环境的设计时,注册会计师应当考虑构成控制环境的下列要素,以及这些要素如何被纳入被审计单位业务流程:
1.对诚信和道德价值观念的沟通与落实;
2.对胜任能力的重视;
3.治理层的参与程度;
4.管理层的理念和经营风格;
5.组织结构及职权与责任的分配;
6.人力资源政策与实务。
(四)控制环境的广泛性影响
1.设定了内部控制基调
控制环境设定了被审计单位的内部控制基调,影响员工对内部控制的意识。良好的控制环境是实施有效内部控制的基础。
2.是其他要素的基础
控制环境对重大错报风险的评估具有广泛影响,注册会计师应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的基础,并且未被控制环境中存在的缺陷所削弱。
3.有助于降低发生舞弊的风险
注册会计师在评估重大错报风险时,存在令人满意的控制环境是一个积极的因素。虽然令人满意的控制环境并不能绝对防止舞弊,但却有助于降低发生舞弊的风险。有效地控制环境还能为注册会计师相信在以前年度和期中所测试的控制将继续有效运行提供一定基础。相反,控制环境中存在的弱点可能削弱控制的有效性。
4.控制环境本身并不能防止或发现并纠正认定层次的重大错报
控制环境本身并不能防止或发现并纠正各类交易、账户余额和披露认定层次的重大错报,注册会计师在评估重大错报风险时,应当将控制环境连同其他内部控制要素产生的影响一并考虑。
(6)被审计单位的风险评估过程
(一)风险评估过程的含义
风险评估过程包括识别与财务报告相关的经营风险,以及针对经营风险所采取的应对措施。
【解读】风险评估过程代表了被审计单位的风险意识,影响着管理层对风险的识别和防范。如果风险评估过程存在缺陷,注册会计师就难以将重大错报风险评估为低水平。
(二)对风险评估过程的了解与评价
1.如果注册会计师发现了与财务报表有关的风险因素,可通过向管理层询问和检查有关文件确定被审计单位的风险评估过程是否也发现了该风险;
2.如果识别出管理层未能识别的重大错报风险,应考虑被审计单位的风险评估过程为何没有识别出这些风险,以及评估过程是否适合于具体环境。
(7)信息系统与沟通
(一)与财务报告相关的信息系统的含义
1.含义
与财务报告相关的信息系统,包括用以生成、记录、处理和报告交易、事项和情况,对相关资产、负债和所有者权益履行经营管理责任的程序和记录。
2.相关业务流程
与财务报告相关的信息系统应当与业务流程相适应,相关业务流程是指被审计单位开发、采购、生产、销售、发送产品和提供服务、保证遵守法律法规、记录信息等一系列活动。
3.作用
与财务报告相关的信息系统所生成信息的质量对管理层能否作出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。
(二)与财务报告相关的信息系统的职能
1.识别与记录所有的有效交易;
2.及时、详细地描述交易,以便在财务报告中对交易作出恰当分类;
3.恰当计量交易,以便在财务报告中对交易的货币金额作出准确记录;
4.恰当确定交易生成的会计期间;
5.在财务报表中恰当列报交易。
(三)与财务报告相关的沟通
1.与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责,员工之间的工作联系,以及向适当级别的管理层报告例外事项的方式;
2.注册会计师应当了解被审计单位内部如何对财务报告的岗位职责,以及与财务报告相关的重大事项进行沟通;
3.注册会计师还应当了解管理层与治理层之间的沟通,以及被审计单位与外部的沟通。
(8)控制活动
(一)控制活动的含义
控制活动,是指有助于确保管理层的指令得以执行的政策和程序,包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。
(二)控制活动的要素
1.授权
与授权有关的控制活动包括一般授权和特别授权,其中:
(1)一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策;
(2)特别授权是指管理层针对特定类别的交易或活动逐一设置的授权,如重大资本支出和股票发行等。
2.业绩评价
与业绩评价有关的控制活动主要包括:
(1)被审计单位分析评价实际业绩与预算(或预测、前期业绩)的差异;
(2)综合分析财务数据与经营数据的内在关系;
(3)将内部数据与外部信息来源相比较;
(4)评价职能部门、分支机构或项目活动的业绩(如银行客户信贷经理复核各分行、地区和各种贷款类型的审批和收回);
(5)对发现的异常差异或关系采取必要的调查与纠正措施。
3.信息处理
(1)了解信息技术的一般控制;
(2)了解信息技术的应用控制。
4.实物控制
(1)了解对资产和记录采取适当的安全保护措施;
(2)了解对访问计算机程序和数据文件设置授权;
(3)了解定期盘点并将盘点记录与会计记录相核对。
5.职责分离
注册会计师应当了解职责分离,主要包括:
(1)了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工,以防范同一员工在履行多项职责时可能发生的舞弊或错误。
(2)当信息技术运用于信息系统时,职责分离可以通过设置安全控制来实现。
(9)对控制的监督
(一)对控制的监督的含义
对控制的监督是指评价内部控制在一段时间内运行有效性的过程,包括及时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施。
(二)对控制的监督的分类
对控制的监督包含持续的监督活动、专门的评价活动或两者相结合。
1.持续的监督活动通常贯穿于日常重复的活动中,包括常规管理和监督工作。
2.专门的评价活动可由内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价,以找出内部控制的优点和不足,并提出改进建议。
(三)了解对内部控制的监督
注册会计师在对被审计单位整体层面的监督进行了解和评估时,考虑的主要因素可能包括:
1.被审计单位是否定期评价内部控制。
2.被审计单位人员在履行正常职责时,能够在多大程度上获得内部控制是否有效运行的证据。
3.与外部的沟通能够在多大程度上证实内部产生的信息或者指出存在的问题。
4.管理层是否采纳内部审计人员和注册会计师有关内部控制的建议。
5.管理层是否及时纠正控制运行中的偏差。
6.管理层根据监管机构的报告及建议是否及时采取纠正措施。
7.是否存在协助管理层监督内部控制的职能部门(如内部审计部门)。
(10)在整体层面和业务流程层面了解内部控制
(一)了解业务流程层面内部控制的步骤
1.确定被审计单位的重要业务流程和重要交易类别;
2.了解重要交易流程,并记录获得的了解;
3.确定可能发生错报的环节;
4.识别和了解相关控制;
5.执行穿行测试,证实对交易流程和相关控制的了解;
6.进行初步评价和风险评估。
(二)预防性控制与检查性控制
1.预防性控制
预防性控制通常用于正常业务流程的每一项交易,以防止错报的发生。预防性控制可能是人工的,也可能是自动化的。
2.检查性控制
建立检查性控制的目的是发现流程中可能发生的错报(尽管有预防性控制还是会发生的错报)。检查性控制通常是管理层用来监督实现流程目标的控制,检查性控制可以由人工执行,也可以由信息系统自动执行。
- 赞82
