2011年注册会计师审计考试备考辅导 三、对内部控制了解的深度(教材P298) 对内部控制了解的深度,是指在了解被审计单位及其环境时对内部控制了解的程度。包括评价控制的设计,并确定其是否得到执行,但不包括对控制是否得到一贯执行的测试。 P298图13—2描述了评价过程的关键步骤(理解很重要) 评价控制的设计 控制能否有效地防止或发现并纠正重大错报? 1.评价控制的设计(请100%掌握) (1)注册会计师在了解内部控制时,应当评价控制的设计,并确定其是否得到执行。 (2)评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。 (3)控制得到执行是指某项控制存在且被审计单位正在使用。 (4).设计不当的控制可能表明内部控制存在重大缺陷,注册会计师在确定是否考虑控制得到执行时,应当首先考虑控制的设计。如果控制设计不当,不需要再考虑控制是否得到执行。 2.获取控制设计和执行的审计证据(请100%掌握) 注册会计师通常实施下列风险评估程序,以获取有关控制设计和执行的审计证据: (1)询问被审计单位的人员; (2)观察特定控制的运用; (3)检查文件和报告; (4)追踪交易在财务报告信息系统中的处理过程(穿行测试)。 3.了解内部控制的步骤 第一步,识别需要降低哪些风险以预防财务报表中发生重大错报。如果某内部控制目标没有实现,风险因素通常被描述为“可能的错误”。 第二步,记录相关的内部控制。目的是识别是否存在内部控制降低第一步所列出的风险因素,但没有必要记录和评价与审计无关的内部控制。 第三步,评估控制的执行。主要是实施穿行测试,以确信识别的内部控制实际上确实存在。如果存在,注册会计师就可完成对控制设计和执行的评价。 第四步,评估内部控制的设计。汇总获得的所有信息,并根据风险因素描绘识别出的(或执行的)控制。完成上述四个步骤之后,注册会计师应当确定内部控制是否存在重大弱点。 4.了解内部控制与测试控制运行有效性的关系(请100%掌握) 除非存在某些可以使控制得到一贯运行的自动化控制,注册会计师对控制的了解并不能够代替对控制运行有效性的测试。 四、内部控制的人工和自动化成分(教材P299) 内部控制可能采用人工系统或自动化系统结合,不同方式将影响被审计单位各项交易生成、记录、处理和报告的方式。 1.信息技术通常在下列方面提高被审计单位内部控制的效率和效果: (1)在处理大量的交易或数据时,一贯运用事先确定的业务规则,并进行复杂运算; (2)提高信息的及时性、可获得性及准确性; (3)有助于对信息的深入分析; (4)加强对被审计单位政策和程序执行情况的监督; (5)降低控制被规避的风险; (6)通过对操作系统、应用程序系统和数据库系统实施安全控制,提高不相容职务分离的有效性。 2.自动化控制的特别风险 注册会计师应当从下列方面了解信息技术对内部控制产生的特定风险: (1)系统或程序未能正确处理数据,或处理了不正确的数据,或两种情况同时并存; (2)在未得到授权情况下访问数据,可能导致数据的毁损或对数据不恰当的修改,包括记录未经授权或不存在的交易,或不正确地记录了交易; (3)信息技术人员可能获得超越其履行职责以外的数据访问权限,破坏了系统应有的职责分工; (4)未经授权改变主文档的数据; (5)未经授权改变系统或程序; (6)未能对系统或程序做出必要的修改; (7)不恰当的人为干预; (8)数据丢失的风险或不能访问所需要的数据。 3.内部控制的人工成分在处理下列需要主观判断或酌情处理的情形时可能更为适当: (1)存在大额、异常或偶发的交易; (2)存在难以定义、防范或预见的错误; (3)为应对情况的变化,需要对现有的自动化控制进行调整; (4)监督自动化控制的有效性。 4.人工控制的特别风险: 注册会计师应当从下列方面了解人工控制产生的特定风险: (1)人工控制可能更容易被规避、忽视或凌驾; (2)人工控制可能不具有一贯性; (3)人工控制可能更容易产生简单错误或失误。 |