介绍
这项工作的目的是分析和评论应用外部审计的经验以及它们与该审计员可以期望的舒适度水平决策之间的直接关系,从而实现更高的效率水平。
内部控制。外聘审计员使用的概念和特点
什么是内部控制?
内部控制是由实体的主管,主管机关或其他成员执行的过程,旨在为实现功效和效率目标,生成可靠的财务信息以及遵守法律和法规提供合理程度的安全性。
它的“有效性”是特定时间的状态。对于外部审计员的工作,主要重点是内部控制中涉及“财务报告”的部分。
为什么要在利益审计中研究和评估内部控制?
审计师应了解实体的流程,以识别与财务报告目标相关的业务风险,并确定减轻这些风险和结果的措施。
通过评估控制活动并分析结果,可能会或可能不会依赖控制,从而减少了我们的实质性测试并为我们提供了适当的审核证据。
内部控制方法必须按照“周期”考虑某些业务流程或其部分,在“周期”中可以对相关交易进行适当分组,并由实体的管理人员建立控制活动以及特定的会计程序。每个周期通常包含几种交易类型,这些交易根据所讨论的业务而有所不同。每种交易类别都可以进一步细分为特定的交易类型。例如,产品和服务的销售可以细分为现金销售和信贷销售,或者国外销售和国内销售。每种交易类别之间的区别主要在于会计程序和适用于它们的控制活动上的差异。
周期的基础是每类交易在会计系统中通过的路径以及所应用控制活动的性质。审计师应评估每一类交易,以确定是否设计了适当的会计程序和控制活动,以及它们是否有效运行以实现其财务报告控制目标。只要审计师获得证明已达到这些目标的证据,他就可以减少旨在验证受分析的周期和交易影响的会计结余的存在/发生,总数和准确性的实质性测试。
控制活动
控制活动是可以合理保证一定程度的风险在整个组织,各个级别和所有职能部门均得到缓解的政策和程序,包括:
一世。业务绩效审查
ii。控制交易处理
iii。资产保障控制
iv。职责分工
v。通用信息技术控制
一世。业务绩效审查。
它们应用于交易结果,而不是控制活动。这些分析是由管理,行政部门或负责不同业务职能的人员进行的,旨在:
-结果分析和对目标遵守情况的评估
-分析运营需求(例如,可用现金进行支付)
-识别意外结果
-遵守法规
绩效评估可能包括:
-审查,分析和监视信息,可能与预算或前几年进行比较
-审查和监视例外情况报告,突出显示交易和已处理交易的异常余额或摘要
-比较不同组相关数据-运营或财务-连同对上述数据的分析,调查和纠正措施
-审查职能活动的绩效,例如新客户数量,供应商交货时间,库存水平等。
-审查市场/行业指标并与自己的指标进行比较以发现和调查可能的偏差
ii。控制事务处理。
-它们是针对单个交易,交易批次,单个余额和用于处理的数据进行的,可以是手动或自动的。它们提供了通常可以在组织中提供的最详细的控制级别。
-通常,这些是预防性控制措施,旨在避免出现错误或不合规定之处,或及时发现在处理过程中可能发生的那些错误,并通常对财务报表中的报表提供直接的信心。
-交易处理的控制分为:
-独立控制
-授权
控制-数据输入
控制-中止或拒绝
控制-数据处理控制
iii。资产保障控制。
这些是与资产托管相关的控制,包括:
-旨在确保对资产的访问仅限于授权人员的控制和安全措施。
-采取控制措施以确保资产受到保护,以防止发布会滥用或挪用资产的文件。
-资产包括动产和不动产,现金或收款凭证,包括机密信息的数据记录。
iii。功能分离。
-这些控件旨在防止某人处于能够控制交易处理不同阶段的位置,而无需其他人检测到错误或不正常情况(如果发生)。
-这包括不同交易的组合,这些交易可能使一个人隐藏错误或违规行为。例如,来自收款和贷方票据的收入。信息流的设计应使一个人的工作除实现某个目标外,还应独立或作为对另一人工作的验证。
-通常要分离的功能是:
-开始交易
-授权交易
-处理交易
-记录交易
-托管资产
-另一个可以隐藏错误或不正常行为的交易
iv。通用信息技术控件。
通用信息技术控制的工作分为四个关键领域:
1)IT部门的组织结构和操作程序
2)应用程序的开发,实施和维护
3)物理和逻辑安全性,分为:
-数据库和基础架构级别的访问控制
-计算机设备的物理保护
4)技术基础架构及其支持流程的运营连续性
当ITGC有效时,自动应用程序控件的评估比手动控件更有效,这些示例包括:
-在应用程序中编程的自动计算或数据处理例程。
-对交易处理功能的访问受限,例如为了支持适当的职责分离
-对程序和数据的访问受到限制(例如,财务数据文件不能在1之外进行修改。-正常操作交易处理或受控交易流程)。
我们是否必须对五个内部控制组件的每个控件进行验证才能从控件中获得极大的舒适感?
在审计舒适度评估阶段,我们必须考虑内部控制的五个组成部分。正是在这个时候,我们决定要从中获得舒适感的控件。
我们必须记住,我们经常必须审查控制活动以及内部控制的其他组成部分。通过控制活动,可以达到信息处理的目标(总数,准确性,有效性和受限访问),通常对此会有多个控制,而很少有我们依赖单个控制。
我们是否必须验证我们每年信任的所有控制措施?
•当控制措施与上一年保持不变时,我们可以考虑先前审核中获得的控制措施有效运作的证据,但是:
•我们必须测试我们希望至少对每三次审核都充满信心的控制措施,并认为每年都需要对某些控制措施进行测试。
我们验证控件有效性的时间越长,前几年的工作结果就无法确定我们在当年的有效性的确定性。出于这个原因,我们必须测试我们打算至少信任每三次审核的控制措施的有效性。但是,在某些情况下,有必要验证没有比每三年更改一次更频繁的控件。可能会缩短试用期的因素包括:
•在“控制环境”中发现的弱点,即在“信息技术通用控制”下对实体的监视。
•如果我们信任的控件是手动应用程序控件。
•人员变动,会严重影响控制的应用。
•环境变化表明需要修改控件。
•重大错误的风险越大,我们对控件的信心就越大,并且不进行测试的时间越短。
•我们需要放心,前几年测试的手动控件没有改变。因此,我们必须执行一系列涉及调查/访谈,观察和检查的程序,以确认没有更改。
•如果我们希望信任可减轻重大错误风险的控制措施,则必须在我们希望信任的每个审计期内对它们进行测试。换句话说,必须在当前审计期间获得所有关键风险控制措施有效性的证据。
•由于它对控件具有渗透性。每年我们都必须测试信任的通用信息技术控制。
结论
内部控制是实现业务效率水平的有效手段,并且是审计师的重要工具,有助于外部审计师确定其工作的舒适度,从而提高审计师的工作效率。审核及其最终结果。