第四节 了解被审计单位的内部控制
一、内部控制的含义和要素
概念:内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计与执行的政策及程序。
内部控制应从以下几个方面了解
合理保证:
1,财务报告的可靠性
2,经营的效率和效果
3,遵守适用的法律法规的要求
二、与审计相关的控制
注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制
与审计相关的控制,包括被审计单位为实现报告可靠性目标设计和实施的控制
被审计单位通常有一些与(控制)目标相关但与审计无关的控制,注册会计师无需对其加以考虑。
用以保护资产的内部控制可能包括与实现财务报告可靠性和经营效率、效果目标相关的控制。注册会计师在了解保护资产的内部控制各要素时,可仅考虑其中与财务报告可靠性目标相关的控制
三、对内部控制了解的深度
注册会计师对内部控制了解,包括评价控制的设计,并确定其是否得到执行,但不包括对控制是否得到一贯执行的测试。
(一)评价控制的设计
了解内部控制:评价控制的设计是否合理;确定控制是否得到执行
(二)获取控制设计和执行的审计证据
注册会计师通常实施下列风险评估程序,以获取有关控制设计和执行的审计证据:
1,询问被审计单位的人员
2,观察特定控制的运用
3,检查文件和报告
4,穿行测试:追踪交易在财务报告信息系统中的处理过程。
(三)了解内部控制的步骤
(四)了解内部控制与测试控制运行有效性的关系
1,目的不同
(1)了解内部控制在于确定内部控制设计是否合理和是否得到执行,从而确定是否依赖内部控制及控制测试
(2)控制测试是确定内部控制是否有效,从而确定实质性程序的性质、时间、范围
2,相互联系
(1)在某些情况下穿行测试的结果可为控制测试提供证据,但一般情况下了解内部控制并不能取代控制测试
(2)对那些可以使控制得到一贯运行的自动化控制,如果其应用控制设计并得到运行就会一贯运行
四、内部控制的人工河自动化成分
(一)考虑内部控制的人工和自动化特征及其影响
控制方式:人工控制、自动化控制
内部控制的控制方式将影响交易生成、记录、处理和报告的方式。
在风险评估以及设计和实施进一步审计程序时,注册会计师应当考虑内部控制的人工河自动化特征及其影响
(二)信息技术的优势及相关内部控制风险
1,信息技术的优势
(1)在处大量的交易或数据时,一贯运用事先确定的业务规则,并进行复杂运算;
(2)提高信息的及时性、可获得性及准确性
(3)促进信息的深入分析
(4)提高对被审计单位的经营业绩及其政策和程序执行情况进行监督的能力
(5)降低控制被规避的风险
(6)通过对应用程序系统、数据库系统和操作系统执行安全控制,提高不兼容职务分离的有效性
2,信息技术的特定风险
(1)所依赖的系统或程序不能正确处理数据,或处理不了正确的数据,或两种情况并存
(2)未经授权访问数据,可能导致数据的毁损或对数据不恰当的修改
(3)未经授权改变主文档的数据
(4)未经授权改变系统或程序
(5)信息技术人员可能获得超越其履行职责范伟权限,破坏了系统应有的职责分工;
(6)未能对系统或程序作出必要的修改
(7)不恰当的人为干预
(8)可能丢失数据不能访问所需要的数据
(三)人工控制的适用范伟及相关内部控制风险
1,人工控制的适用范围
(1)存在大额、异常货偶发的交易
(2)存在难以界定、预计或预测的错误的情况
(3)针对变化的情况,需要对现有的自动化控制进行人工干预
(4)监督自动化控制的有效性
2,人工控制的不适用范围
(1)存在大量或重复发生的交易
(2)事先可预计或预测的错误能够通过自动化控制参数得意防止或发现并纠正
(3)用特定方法实施控制的控制活动可得到适当设计和自动化处理
3,人工控制的特定风险
(1)人工控制可能更容易被规避、忽视或凌驾
(2)人工控制可能不具有一贯性
(3)人工控制可能更容易产生简单错误或失误
五、内部控制的局限性
无论如何设计和执行,只能对财务报告的可靠性提供合理保证
内部控制存在的固有局限性包括
1,在决策时人为判断可能出现错误和因人为失误而导致内部控制失效
2,控制可能由于两个或更多的人员进行串通或管理层不当地凌驾于内部控制之上而被规避
3,如果被审计单位内部行驶控制职能的人员素质不适应岗位要求,也会影响内部控制功能的正常发挥
内部控制框架--内部控制的要素
1)控制环境
控制环境是企业实施内部控制的基础,一般包括治理结构、机构设置及全责分配、内部审计、人力资源政策、企业文化等
控制环境设定了一个组织的基调,影响着员工的控制意思,营造着有利于内部控制有效运行的氛围,它是内部控制其他构成要素的基础
2)风险评估
风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略
风险分析通常包括估计风险的重要性,评估其发生的概率
3)控制活动
控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内
控制措施一般包括:不相容职务相分离、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等
4)信息与沟通
信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通
5)控制监督
对控制的监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
11年前
暂无评论
第四节 了解被审计单位的内部控制
一、内部控制的含义和要素
概念:内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计与执行的政策及程序。
内部控制应从以下几个方面了解
合理保证:
1,财务报告的可靠性
2,经营的效率和效果
3,遵守适用的法律法规的要求
二、与审计相关的控制
注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制
与审计相关的控制,包括被审计单位为实现报告可靠性目标设计和实施的控制
被审计单位通常有一些与(控制)目标相关但与审计无关的控制,注册会计师无需对其加以考虑。
用以保护资产的内部控制可能包括与实现财务报告可靠性和经营效率、效果目标相关的控制。注册会计师在了解保护资产的内部控制各要素时,可仅考虑其中与财务报告可靠性目标相关的控制
三、对内部控制了解的深度
注册会计师对内部控制了解,包括评价控制的设计,并确定其是否得到执行,但不包括对控制是否得到一贯执行的测试。
(一)评价控制的设计
了解内部控制:评价控制的设计是否合理;确定控制是否得到执行
(二)获取控制设计和执行的审计证据
注册会计师通常实施下列风险评估程序,以获取有关控制设计和执行的审计证据:
1,询问被审计单位的人员
2,观察特定控制的运用
3,检查文件和报告
4,穿行测试:追踪交易在财务报告信息系统中的处理过程。
(三)了解内部控制的步骤
(四)了解内部控制与测试控制运行有效性的关系
1,目的不同
(1)了解内部控制在于确定内部控制设计是否合理和是否得到执行,从而确定是否依赖内部控制及控制测试
(2)控制测试是确定内部控制是否有效,从而确定实质性程序的性质、时间、范围
2,相互联系
(1)在某些情况下穿行测试的结果可为控制测试提供证据,但一般情况下了解内部控制并不能取代控制测试
(2)对那些可以使控制得到一贯运行的自动化控制,如果其应用控制设计并得到运行就会一贯运行
四、内部控制的人工河自动化成分
(一)考虑内部控制的人工和自动化特征及其影响
控制方式:人工控制、自动化控制
内部控制的控制方式将影响交易生成、记录、处理和报告的方式。
在风险评估以及设计和实施进一步审计程序时,注册会计师应当考虑内部控制的人工河自动化特征及其影响
(二)信息技术的优势及相关内部控制风险
1,信息技术的优势
(1)在处大量的交易或数据时,一贯运用事先确定的业务规则,并进行复杂运算;
(2)提高信息的及时性、可获得性及准确性
(3)促进信息的深入分析
(4)提高对被审计单位的经营业绩及其政策和程序执行情况进行监督的能力
(5)降低控制被规避的风险
(6)通过对应用程序系统、数据库系统和操作系统执行安全控制,提高不兼容职务分离的有效性
2,信息技术的特定风险
(1)所依赖的系统或程序不能正确处理数据,或处理不了正确的数据,或两种情况并存
(2)未经授权访问数据,可能导致数据的毁损或对数据不恰当的修改
(3)未经授权改变主文档的数据
(4)未经授权改变系统或程序
(5)信息技术人员可能获得超越其履行职责范伟权限,破坏了系统应有的职责分工;
(6)未能对系统或程序作出必要的修改
(7)不恰当的人为干预
(8)可能丢失数据不能访问所需要的数据
(三)人工控制的适用范伟及相关内部控制风险
1,人工控制的适用范围
(1)存在大额、异常货偶发的交易
(2)存在难以界定、预计或预测的错误的情况
(3)针对变化的情况,需要对现有的自动化控制进行人工干预
(4)监督自动化控制的有效性
2,人工控制的不适用范围
(1)存在大量或重复发生的交易
(2)事先可预计或预测的错误能够通过自动化控制参数得意防止或发现并纠正
(3)用特定方法实施控制的控制活动可得到适当设计和自动化处理
3,人工控制的特定风险
(1)人工控制可能更容易被规避、忽视或凌驾
(2)人工控制可能不具有一贯性
(3)人工控制可能更容易产生简单错误或失误
五、内部控制的局限性
无论如何设计和执行,只能对财务报告的可靠性提供合理保证
内部控制存在的固有局限性包括
1,在决策时人为判断可能出现错误和因人为失误而导致内部控制失效
2,控制可能由于两个或更多的人员进行串通或管理层不当地凌驾于内部控制之上而被规避
3,如果被审计单位内部行驶控制职能的人员素质不适应岗位要求,也会影响内部控制功能的正常发挥
内部控制框架--内部控制的要素
1)控制环境
控制环境是企业实施内部控制的基础,一般包括治理结构、机构设置及全责分配、内部审计、人力资源政策、企业文化等
控制环境设定了一个组织的基调,影响着员工的控制意思,营造着有利于内部控制有效运行的氛围,它是内部控制其他构成要素的基础
2)风险评估
风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略
风险分析通常包括估计风险的重要性,评估其发生的概率
3)控制活动
控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内
控制措施一般包括:不相容职务相分离、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等
4)信息与沟通
信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通
5)控制监督
对控制的监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。
11年前
暂无评论