第三节 了解内部控制
一、内部控制概述
(一)内部控制的含义
内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。
对内部控制的理解:
(1)内部控制的目标是合理保证:①财务报告的可靠性;②经营的效率和效果;③在所有经营活动中遵守法律法规的要求。
(2)设计和实施内部控制的责任主体是治理层、管理层和其他人员,组织中的每一个人都对内控负有责任。
(3)实现内部控制目标的手段是设计和执行控制政策及程序。
(二)与审计相关的内部控制
CPA应当运用职业判断,考虑一项控制单独或连同其他控制是否与评估重大错报风险及针对评估的风险设计和实施进一步审计程序有关。
(三)内部控制的局限性
1.在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。
2.可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。
3.如果被审计单位内部行使控制职能的人员素质不适应岗位要求,也会影响内部控制功能的正常发挥。
4.被审计单位实施内部控制的成本效益问题也会影响其职能。
5.内部控制一般都是针对经常而重复发生的业务而设置的,如果出现不经常发生或未预计到的业务,原有控制就可能不适用。
二、内部控制要素
(一)控制环境
1.含义
控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。
(二) 风险评估过程
被审计单位的风险评估过程包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施。注册会计师应当了解被审计单位的风险评估过程和结果。
风险评估过程的作用是识别、评估和管理影响被审计单位实现经营目标能力的各种风险。
可能产生风险的事项和情形包括:
(1)监管及经营环境的变化;(2)新员工的加入;(3)新信息系统的使用或对原系统进行升级;(4)业务快速发展;(5)新技术;(6)新生产型号、产品和业务活动;(7)企业重组;(8)发展海外经营;(9)新的会计准则。
(三) 信息系统与沟通
与财务报告相关的信息系统,包括用以生成、记录、处理和报告交易、事项和情况,对相关资产、负债和所有者权益履行经营管理责任的程序和记录。
与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责、员工之间的工作联系,以及向适当级别的管理层报告例外事项的方式。
(四) 控制活动
控制活动是指有助于确保管理层的指令得以执行的政策和程序,包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。
1. 授权:
一般授权:是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。
特别授权:是指管理层针对特定类别的交易或活动逐一设置的授权,如重大资本支出和股票发行等。
2. 业绩评价
被审计单位分析评价实际业绩与预算(或预测、前期业绩)的差异;
综合分析财务数据与经营数据的内在关系;
将内部数据与外部信息来源相比较;
评价职能部门、分支机构或项目活动的业绩;
以及对发现的异常差异或关系采取必要的调查与纠正措施。
3. 信息处理
一般控制:是指与多个应用系统有关的政策和程序。
应用控制:是指主要在业务流程层次运行的人工或自动化程序,与用于生成、记录、处理、报告交易或其他财务数据的程序相关。
4. 实物控制
主要目的是限制接近资产和重要的记录,以保证资产与记录的安全和完整。
实物控制的效果影响资产的安全,从而对财务报表的可靠性及审计产生影响。
5. 职责分离
不相容的职务是指经营业务的授权、批准、执行和记录等完全由一个部门或一个人办理时,发生错弊的可能性就会增大的两项或两项以上的职务。
主要目的是避免任何职员担任不相容的职务。
(五)对控制的监督
对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程,该过程包括及时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施。
三、对内部控制了解的深度
对内部控制了解的深度是指在了解被审计单位及其环境时对内部控制了解的程度,包括评价控制的审计,并确定是否得到执行,但不包括对控制是否得到一贯执行的测试。
(一)评价内部控制的设计
评价控制的设计是指考虑一项控制单独或连同其他控制是否能够及时发现、纠正或防止重大错报。
(二)评价控制设计的风险评估程序
询问被审计单位人员。
观察特定控制的应用。
检查文件和报告。
追踪交易在财务报告信息系统中的处理过程。
(三)了解内部控制的步骤
识别并预防财务报表中发生重大成本的风险因素。
记录相关的内部控制。
评估控制的执行。
评估内部控制的设计。
(四)了解内部控制与测试控制运行有效性的关系
除非存在某些可以使控制得到一贯运行的自动化控制,否则注册会计师对控制的了解不足以测试控制运行的有效性。
四、内部控制的描述
1、文字表述法
文字表述是注册会计师对被审计单位内部控制健全程度和执行情况的书面叙述。采用文字表述法时,采用这种方法时,审计人员根据拟审查的经济业务的性质,先按每一业务环节的流程向有关人员逐一询问,并记录下来,然后综合记录,形成一份文字说明材料。
2、调查表法
调查表法就是利用内部控制调查表对内部控制进行记录和描述。这种方法通常是由注册会计师将事先将要调查的问题自行设计成标准化的调查表,交由企业有关人员填写或由注册会计师根据调查的结果自行填写。
3、流程图法
流程图是用符号和图形来表示被审计单位的凭证及其在组织内部有序流动的图表。
五、整体层面了解内部控制
注册会计师在整体层面对被审计单位内部控制的了解和评估,主要是通过对内部控制各组成要素的了解。
了解内部控制的构成要素时,要特别注意这些要素在实际中是否得到执行。
通常由项目组中对被审计单位情况比较了解且较有经验的成员负责,同时需要其他成员的参与和配合。
可以采用询问、检查、观察和执行穿行测试等风险评估程序获取证据。
连续审计时,注册会计师要整体层面内部控制的变化情况。
注册会计师需要特别考虑由于舞弊而导致重大错报的可能性及其影响。
整体层面的内部控制是否有效将直接影响重要业务流程层面控制的有效性。
1. 对控制环境的了解
注册会计师应当了解管理层在治理层的监督下,是否营造并保持了诚实守信和合乎道德的文化,以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。
2. 对风险评估过程的了解
注册会计师应当确定管理层如何识别与财务报告相关的经营风险,如何估计该风险的重要性,如何评估风险发生的可能性,以及如何采取措施管理这些风险。
3. 对信息系统的沟通与了解
包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责、员工之间的工作联系,以及向适当级别的管理层报告例外事项的方式。
4. 对控制活动的了解
了解控制活动时,应当重点考虑一项控制活动单独或连同其他控制活动,是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。
5. 对控制监督的了解
主要应了解被审计单位使用的监督活动的主要类型,包括内部审计和其他监督手段,以及在需要的时候这些活动如何对内部控制进行必要的修正和调整。
六、在业务流程层面了解内部控制
(一)确定重要业务流程和重要交易类别
业务循环是指处理某一类型经济业务的工作程序和先后顺序的总称
重要交易类别是指可能对被审计单位财务报表产生重大影响的各类交易,应与相关账户及其认定相联系。包括对财务报表有重大影响的事项和情况。
(二)了解重要交易流程,并进行计录
与注册会计师了解重要交易相关的流程通常包括生成、记录、处理和报告交易等活动。
方法:
检查被审计单位的手册和其他书面指引;
询问被审计单位的适当人员;
观察所运用的处理方法和程序;穿行测试
(三)确定可能发生错报的环节
注册会计师所关注的控制,是那些通过防止错报的发生,或者通过发现和纠正已有错报,从而确保每个流程中业务活动的具体流程能够顺利运转的人工或自动化控制程序。
(四)识别和了解相关控制
通过对被审计单位的了解,注册会计师可以确定是否有必要进一步了解在业务流程层面的控制。
之前的了解表明控制是无效的,或者注册会计师不打算信赖控制,则没有必要进一步了解业务层面的内部控制。
如果认为仅通过实质性程序无法将认定层次的检查风险降至可接受的水平,或者针对特别风险,注册会计师应当了解和评估相关控制活动。
(五)执行穿行测试,证实对交易流程和相关控制的了解
(六)进行初步评价和风险评估
评价结论
(1)所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报,并得到执行;
(2)控制本身的设计是合理的,但未得到执行;
(3)控制本身的设计就是无效的或缺乏必要的控制。
风险评估需考虑的因素:风险评估需考虑的因素
(1)账户特征及已识别的重大错报风险;
(2)对被审计单位整体层面控制的评价。
(1)账户特征及已识别的重大错报风险;
(2)对被审计单位整体层面控制的评价。
