一,内部控制
就内部控制而言,COSO报告(特雷德韦委员会保荐组织委员会)于1992年发布,之所以这样命名,是因为它是一项受委托的工作:美国公共会计师协会,美国会计协会,内部审计师学会,行政和会计学会和财务主管学会。
特雷德韦委员会(COSO)赞助组织委员会发布的“内部控制集成”文件定义了内部控制,描述了内部控制的组成部分并提供了评估信息系统的标准。该文档提供了有关向公众通报内部控制的指南,并提供了可供管理人员,审计人员和其他人员用来评估内部控制系统的材料。
定义
此过程旨在为实现以下类别的目标提供合理的确定性:
•运营的有效性和效率。
•财务信息的可靠性。
•遵守适用的法律和法规。
该定义允许对管理人员和主要执行人员的业务内部控制的愿景有一种看法,实际上,他们通常在控制方面说话并且存在或生活在控制之下。
处理
流程在内部或通过单个组织或职能进行,通过基本计划,执行和管理监督流程进行管理。
内部控制系统与实体的经营活动交织在一起,并且出于基本业务原因而存在。当内部控制建立在实体的基础架构中并且是公司本质的一部分时,内部控制具有最高的有效性。它们应该建立在内部而不是基础上。
在控制内进行构建可以直接影响实体实现其目标的能力,业务质量以及计划和支持。计划的质量成为公司制造业务的一部分。内部控制不仅与质量计划集成在一起,而且通常对其结果至关重要。
建立内部或内部控件对成本构成和时间响应具有影响。
所有公司都面临竞争激烈的市场以及降低成本的需求。将现有操作重点放在有效的内部控制上。
人数
内部控制是在实体中由董事会和管理人员执行,并由组织的人员执行。
内部控制认识到每个人都给工作场所带来独特的背景和技术能力或才能,并且具有不同的需求和优先事项。
人们必须知道自己的职责和权限范围。因此,需要在人民的职责与他们履行职责的方式之间有明确而密切的联系。
合理的安全性
不管内部控制的设计和运作如何良好,它只能为管理层和董事会提供有关实现实体目标的合理保证。实现的可能性受所有内部控制系统固有的局限性影响。这包括负责建立控制的人员需要考虑其相对成本和收益,并且由于这种人为失误仅仅是一个错误或错误,就会发生崩溃。
可以通过两个或更多人的勾结来评估控件。最后,管理层有能力或有能力超越或超越内部控制系统。
目标
任何实体都会执行任务,设定目标并希望实现目标的成就和策略。尽管许多目标特定于特定实体,但有些目标却被广泛共享。对于本研究,目标分为三类:
•运营:与有效和高效使用实体资源有关。
•财务信息:财务报表的准备和披露。
•合规性:与实体对法律法规的合规性有关。
相对于财务信息的可靠性和遵守法律法规,可以期望内部控制系统为客观实现目标提供合理的保证。这些目标的实现很大程度上取决于外部人员的指导原则,取决于实体内部控制活动的执行方式。
经营目标的执行并不总是在实体的控制范围之内。内部控制不能防止错误的判断或决定,或可能因执行其目的而导致业务失败的外部事件。
零件:
a)控制环境。
设定组织的基调,影响人们的控制意识,并提供纪律和结构,并了解:
•与诚信和道德价值观进行沟通并强制遵守:控制措施的有效性不能超过人的诚信和道德价值观,在设计,管理,监督和监控员工时应将其视为必不可少的要素其他组件。它们是实体的道德和行为标准,沟通方式以及在实践中强制遵守的方式的产品。
•对能力的承诺:竞争是执行个人任务和/或工作所必需的知识和技能。
•负责政府的人员的参与:控制意识受到以下因素的影响:负责政府的人员,他们的参与程度和对活动的审查,他们收到的信息以及与审核员的互动。
•管理理念和经营方式:它们涵盖了财务报告,信息处理和会计职能以及员工的各种特征,态度和行动。
•组织结构:提供概念性结构,在其中为实现实体的广泛目标而对其活动进行计划,执行,控制和审查。考虑关键的权限和责任领域以及适当的信息范围。
•权限和责任的分配:此因素包括如何分配操作活动的权限和责任以及如何建立关系和授权层次结构。它包括与适当的商业惯例有关的政策,关键人员的知识和经验以及为履行义务而提供的资源。
•人力资源政策和实践:它们与雇用,入职培训,评估,咨询,晋升,薪酬和补救措施有关。
b)实体中的风险评估过程。
识别和响应业务风险及其结果的过程。它包括管理层根据会计和财务报告所采用的政策和程序在所有重要方面确定编制合理报表的相关风险的方法,以评估其重要性,评估其发生的可能性,并决定采取相应的措施来管理它们。
财务报告的相关风险包括可能发生的外部和内部事件以及情况,这些情况会严重影响主体与报表中包含的管理层主张相一致的发起,记录,处理和报告财务数据的能力。金融。
可能由于以下情况而引起或改变风险:
•操作环境的变化。
• 新员工。
•新的或现代化的信息系统。
• 快速增长。
• 新技术。
•新的业务模型,产品或活动。
•公司重组。
•扩大国外业务。
•新的会计声明。
c)信息和通信系统。
信息系统由基础架构,软件,人员,过程和数据组成。
与财务报告目标相关的信息系统包括为启动,记录,处理和报告实体的交易以及维持对资产,负债和权益的会计义务而建立的程序和记录。净相关。事务可以手动启动,也可以使用预定过程自动启动。
处理包括诸如编辑和验证,计算,度量,评估,汇总和对帐之类的功能,无论这些功能是通过自动还是手动过程执行的。因此,信息系统包括以下方法和记录:
•识别并记录所有有效交易。
•以允许您在财务报表中记录自己的货币价值的方式衡量交易的价值。
•确定交易发生的时间。
•恰当地陈述相关交易和披露。
d)控制程序。
这些政策和程序有助于确保管理指示得以执行,具有不同的目标并适用于不同的组织级别。它们通常与对与以下内容相关的政策和程序进行分类的审核相关:
•绩效评估:包括对上一时期预算,预测和绩效的评估;它们关联不同的数据集(运营或财务),以及调查和纠正措施。
•信息处理:旨在验证交易的准确性,完整性和授权。信息系统控制程序的两个最广泛的类别是“应用程序控制”(处理单个应用程序,以帮助确保发生交易,被授权以及被完全准确地记录和处理)和“控制”。常规”(包括对数据中心和网络运营的控制;系统软件的获取和维护;访问安全性;应用系统的获取,开发和维护)。
•物理控制:包括资产的物理安全,包括适当的保障措施,例如安全设施,对资产和记录的安全访问;授权访问计算机程序和数据文件;定期计数和与控制记录中显示的数量进行比较。
•职责分离:指派不同的人来承担授权交易,记录交易和维持资产托管的职责,旨在减少机会,使任何有能力从事和隐藏错误或在正常情况下审计师义务的欺诈。
e)监督和监督控制。
这是评估内部控制绩效随时间推移的质量的过程。它涉及及时评估控件的设计和操作,并采取必要的纠正措施。这样做是为了确保控件继续有效运行。
在许多实体中,执行类似职能的内部审计师或人员通过单独的评估来监督和监视实体的控制。它们提供有关内部控制操作的信息,非常重视对内部控制设计和操作的评估。他们交流有关优势和劣势的信息,并提出改善内部控制的建议。
二。内部控制审核
1.定义:
这是对综合内部控制的评估,目的是确定内部控制的质量,可以授予的信任水平以及它们是否有效和高效地实现了目标。这项评估将有必要的范围来控制内部控制,因此,它不限于确定可以赋予其用于其他目的的置信度。
在进行内部控制审核以发表意见的过程中,应使用涵盖以下内容的方法:
•规划。
•控件测试
•结果交流。
2.规划:
内部控制审计的计划阶段是对主体业务,其环境和内部控制组成部分的理解。
旨在获得这种理解的审计程序被称为“风险评估程序”,因为通过制定此类程序而获得的某些信息可能会被审计师用作审计证据。
为了了解实体,其环境和内部控制组成部分,审计师应制定以下评估程序:
•向主管部门和实体内的其他人查询。
•分析程序。
•观察和检查。
•其他适当的审核程序。
对实体及其环境的理解包括以下方面的知识:
审计师应制定风险评估程序,以了解内部控制的组成部分。要确定潜在的错误陈述的类型,请考虑影响重大错误陈述风险的因素,并设计其他审核程序的性质,时间和范围。
评估控件的设计包括考虑控件是否能够有效地防止或检测和纠正重大错报。
获取有关设计和实施相关控制措施的审计证据可能涉及调查实体的人员,观察特定控制措施的应用,检查文件和报告以及通过相关信息系统跟踪交易情况以显示财务报告。
a)与审核有关的控制。
实体为实现其业绩提供合理保证而实施的目标和控制措施涉及财务报告,运营以及对实体每个运营单位和业务流程的遵守情况。
b)信息技术对内部控制的影响。
信息技术的使用可能会影响与实现财务报告,运营或实体及其运营或业务流程单元的合规性目标相关的五个内部控制组件中的任何一个。
信息技术的使用还影响交易的发起,记录,处理和报告方式。在手动系统中,实体使用手动程序并以纸质格式记录。
这种系统中的控制也是手动的,并且可能包括诸如批准和审查活动以及项目对账对账和后续行动之类的程序。
信息技术为实体的内部控制提供了有效性和效率的潜在好处,因为它可以:
•在处理大量交易或数据时应用预定义的业务规则并开发复杂的计算。
•丰富信息的机会,可用性和准确性。
•降低规避控制的风险。
信息技术还对实体的内部控制产生特定的风险,包括:
•对不正确处理数据,正在处理不正确数据或两者的系统或程序的信任。
•未经授权对主文件中的数据进行更改。
•未经授权对系统或程序进行更改。
c)内部控制限制。
内部控制,无论设计和操作如何良好,都只能为实体提供合理的保证以实现其目标。
实现的可能性受内部控制固有的局限性影响。这些限制包括以下现实:决策中的人为判断可能不完善,以及由于人为失误(例如简单的错误或错误)而可能导致内部控制破裂。
3.控件测试:
在支持内部控制审核的控制测试中,应明确指出,审核员必须确定适用的程序,以形成对内部控制的意见,并设计其工作程序以进行必要的测试。
审计师应对控制措施进行测试,以获取充足和适当的审计证据,以证明控制措施在本审计期间内有效运行。
在制定有关控制措施运作有效性的测试时,审计师会获得有关控制措施有效运作的审计证据,包括获取有关在审计期间内如何应用控制措施的审计证据。应用了哪些应用程序,应用了谁和通过什么方式应用了它们。
a)控件测试的性质。
审核员选择审核程序以获得对控制操作有效性的保证。一次查询不会提供足够和适当的审核证据来证明控制操作的有效性。控件操作有效性的测试通常包括那些用于评估控件设计和确定控件是否已实施的程序,以及审核员对控件应用的重新执行。
特定控件的性质会影响为获取有关控件在审核期间是否有效运行的审核证据所需的审核程序类型。对于某些控制,该操作的有效性由文档证明。
b)控件测试的时间安排。
控件测试的时间取决于审核员的目标,并确定对这些控件的信任期。如果审核员在特定时间对控件进行了测试,则审核员仅会获得该控件在当时有效运行的审核证据。但是,如果您在整个期间内对控件进行测试,则审核员将获得有关该期间内控件操作有效性的审核证据。
如果审核员要求在一段时间内提供有关某项控制有效性的审核证据,则仅与一个时间点相关的审核证据可能不足,并且审核员会用其他能够对控制进行检验的测试来补充这些测试提供审核证据,以证明该控件在审核期间内在相关时间有效运行。
审核员在过渡期间获得有关控制操作有效性的审核证据时,必须确定在该剩余时间段内还应获取哪些其他审核证据。
通过将控制措施的运行有效性测试扩展到该时期的挑战,考虑对实体控制措施的监督和监视或制定实质性程序,可以获得更多的审计证据。
如果审计师计划使用有关前期获得的控制措施的有效性的审计证据,则审计师应获得有关先前审计后这些特定控制措施是否发生变化的审计证据。
如果审核员计划依赖自上次测试以来发生变化的控件,则他们必须在当前审核中证明此类控件的操作有效性。
如果审核员计划依靠自上次测试以来未发生变化的控制措施,则他们必须至少每三次审核一次就测试此类控制措施的有效性。
如果审核员认为有许多控制措施适合使用以前的审核中获得的审核证据,则审核员应在每次审核中测试某些控件的操作有效性。
此要求的目的是避免审核员至少每三次审核就遵循测试方法的可能性,以使审核员打算依赖的所有控制措施仅在单个报告期内进行测试。在随后的两个审核期内进行审核,而无需进行任何内部控制测试。
除了提供有关当前审核中要测试的控件的操作有效性的审核证据外,此类测试的开发还提供了有关控件环境的持续有效性的附带证据,因此有助于做出有关是否适当的决定。依靠先前审核中获得的审核证据。
c)扩展控件的测试。
审计师对控制措施对评估风险的有效性的信心越大,审计师执行的控制措施的测试范围就越大(因为将减少实质性测试)。此外,随着特定属性的操作偏差率增加,审核员会增加对控件的测试范围。
但是,鉴于信息技术处理的固有一致性,审核员可能不需要增加信息技术控件的测试时间。除非更改程序,否则预定的应用程序控件应保持一致。
一旦审核员确定自动控件正在按预期运行,审核员将考虑开发测试以确定控件继续有效运行。
这样的测试可以包括确定在没有受到程序更改的适当控制的情况下,不会对程序进行更改,将程序的授权版本用于交易处理,以及其他相关的一般控制是否有效。 。这样的测试还可以包括确定对该程序没有进行任何更改,就像实体使用打包的软件应用程序而不修改或维护它们的情况一样。
d)进行控制测试的方法。
在需要对内部控制进行报告或评论的工作中,用于测试控制的有效审核方法是审核周期。通过对内部控制进行更加分析和深入的审查来进行审计的方法要求将每个业务的交易特征按有序方式进行分组。对这一概念的研究需要从根本上定义此类交易以及如何对其进行分组。
尽管公司根据其特征有不同种类的交易,但出于实际目的,可以根据其正常发展进行组织,并以通常适用于大多数业务的以下典型周期介绍自己:
-收入周期:向第三方销售商品和服务。
-购买周期:以现金换取资本资产,劳动力,重要服务。
-工资或人员循环:RR.HH的支出和交易。
-库房周期:公司资金管理;它从确认收入开始,包括在当前业务和其他用途中的现金分配,最后是将现金返还给投资者和债权人。
-生产周期:将获得的资产转换为要出售的商品和服务。
-财务信息周期:准备财务报表,以汇总某个日期或确定时间段内业务活动的结果。
每个周期包括一个或多个功能,这些功能是逻辑上处理事务的系统的任务或部分。在每个循环中使用某些会计分录,凭证和文件。下面列出了所描述周期的功能,会计分录和典型凭证,这些凭证可能会根据公司类型而有所不同。
下面包括的对内部控制评估周期的分析是对IMCP审核标准和程序所包含周期的总结。
收入周期:
a)关于内部控制的意见。
审计师应将内部控制审计产生的审计事项告知该实体的管理层。
审计师应及时将有关的审计事项通知主管部门;这样就可以采取适当的措施。
审计师应将进行内部审计发现的内部控制的重大缺陷告知管理层。
当审计师发现内部控制存在重大缺陷时,审计师必须与管理层沟通发现的重大缺陷。由于内部控制中的重要弱点的严重影响,将此类缺陷提请管理负责人注意也同样重要。
该报告的主要目的是促使被审查实体采取必要措施纠正缺陷并加强内部控制。
应当及时进行对照测试结果的交流。交流应包括工作的目标和范围以及相应的结论和建议。
如果采用逐周期修订,建议在周期测试结束时传达结果。否则,在进行控件的重要测试时进行通讯。
在工作过程中发现不符合项时,结果的交流必须暴露出:
•违反的规范对象。
•不遵守的原因。
•不遵守对控制和对全面审核最终报告(如果有)的影响。
b)关于内部控制的意见。
如果审计师承诺对内部控制提出独立意见,则必须按照ISA 100“保证服务”中指出的报告内容提出意见。
