内部控制的人工和自动化成分
r$ N' k" S. J& E5 m4 e0 C
* k& l2 r, _! D7 X2 W! u8 W (一)考虑内部控制的人工和自动化特征及其影响
3 N% p( l \, A3 L$ D. G
2 v2 a( U( G; Q7 r9 Y/ M* L. g 内部控制采用人工系统还是自动化系统,将影响交易生成、记录、处理和报告的方式。
2 H$ @2 V5 h M& R) m$ P5 t/ m" Q& D$ [; ^; f: _) L% X2 \6 d" E1 K
在以人工为主的系统中,内部控制一般包 括批准和复核业务活动,编制调节表并对调节项目进行跟踪。# T4 [$ E3 ?# J! T1 C. V1 `5 ]/ {8 Q
9 r+ M) R' R6 F* l& r# \1 x- [ 信息技术系统中的控制可能既有自动控制(如嵌入计算机程序的控制)又有人工控制。 8 j, P; _9 i, ]% K
l, A( T& y+ R. @0 {- _* ?6 g 人工控制可能独立于信息技术系统,利用信息技术系统生成的信息,也可能限于监督信息技术系统和自动控制的有效运行或者处理例外事项。 , \$ V M$ N4 I; {2 H+ w
$ z; R7 |' s! p' [( C$ ? (二)信息技术的适用范围及相关内部控制风险
: M6 ^: e5 z( f9 h f3 N
# _( x# ?* K( i$ A. b# |( Q 信息技术通常在下列方面提高被审计单位内部控制的效率和效果: - Y" Q# i; n4 T) C/ v
3 ?2 Q" n( f$ Q# S" } (1)在处理大量的交易或数据时,一贯运用事先确定的业务规则,并进行复杂运算; 7 ~& o; X# f% j8 M* V: O
" G! _' x5 _# s2 C) Z6 d) A" J (2)提高信息的及时性、可获得性及准确性; ! `, z) i2 Q; j8 X; t7 @
2 @2 z7 c7 _$ y1 [% s
(3)有助于对信息的深入分析;
. |' Q2 c( j8 X; [) W2 O# I- W4 @- b
% v9 R8 r* w- d (4)加强对被审计单位政策和程序执行情况的监督; ' @4 ?9 ~7 O, A* o
, L6 t; k/ U& G m& [ (5)降低控制被规避的风险;
f& {( ?( N6 A2 a) _& T1 ^
1 T- T, e. h8 T7 } (6)通过对操作系统、应用程序系统和数据库系统实施安全控制,提高不相容职务分离的有效性。
# ^8 F+ ?, K. {3 r* d, q/ K( b6 j! _5 ^# D8 @
但是,信息技术也可能对内部控制产生特定风险。注册会计师应当从下列方面了解信息技术对内部控制产生的特定风险: 2 W! U+ X: Z0 `! h+ ~
' N# {( B: s+ h \4 w4 X8 m
1.系统或程序未能正确处理数据,或处理了不正确的数据,或两种情况同时并存; 2 X& u; o" v: N: t% i
3 K- Q* P; ?$ j9 n
2.在未得到授权情况下访问数据,可能导致数据的毁损或对数据不恰当的修改,包括记录未经授权或不存在的交易,或不正确地记录了交易; 5 ~# }- A# u8 g% W4 a
: ]# R, L8 z! N1 ]
3.信息技术人员可能获得超越其履行职责以外的数据访问权限,破坏了系统应有的职责分工;
9 Z5 P2 O- ^! b' E' R! B1 `1 L1 z5 f7 ~& }6 B' H
4.未经授权改变主文档的数据; $ _. B: p7 U( E/ b# o# H. ^4 n
) g: J' ]/ I, T+ F
5.未经授权改变系统或程序;
3 ~" q- p- x, k* F: k" A
+ P4 {% w; N* k; ^ H9 [% D' e% n 6.未能对系统或程序作出必要的修改; 7 M! f; Z1 Y) C6 H& d
- L( }! Z' ~. j8 p+ U
7.不恰当的人为干预; 5 a* b- N5 |8 D3 r' x5 Y
2 ?1 E ~, P: g6 O6 g9 F: n
8.数据丢失的风险或不能访问所需要的数据。
7 t9 ] `0 k& H+ @4 w' S
0 D% z, i& t3 g5 s (三)人工控制的适用范围及相关内部控制风险
d) u; ?+ _" S4 L: ]
& q! x+ `- ^! a- A& C! C 内部控制的人工成分在处理下列需要主观判断或酌情处理的情形时可能更为适当: # N% j* s2 k/ d. T, o, u! i7 M
6 S" x4 {4 `2 V) E* b# G1 r 1.存在大额、异常或偶发的交易; # P6 n- h2 x/ ~. h& U9 n
6 y, z+ r% O' [; k 2.存在难以定义、防范或预见的错误;
! m: I2 n+ i7 D# F6 Y7 O- K& O
9 {: N/ F+ M. R) k7 j 3.为应对情况的变化,需要对现有的自动化控制进行调整; ' j: i, t4 t4 L* h3 s8 w$ X' I
, ~, U+ ` L+ A
4.监督自动化控制的有效性。
! W9 c/ ]# ^2 E9 y# r
* E! y6 R; R( `, q9 N- f 但是,由于人工控制由人执行,受人为因素的影响,也产生了特定风险。注册会计师应当从下列方面了解人工控制产生的特定风险:% F4 w: U3 K+ ^4 C7 A( A0 t
% n; k$ i, n2 j
1.人工控制可能更容易被规避、忽视或凌驾;
. o. v$ o7 S+ d2 ]& K8 w" j" f& g
/ V: x$ k' R8 u8 z! r2 Y 2.人工控制可能不具有一贯性; ( o' e" t* m+ G, i9 z
) x j4 T8 E3 o4 S! h f# w 3.人工控制可能更容易产生简单错误或失误。 2 ~8 i$ L! U3 @6 f3 n; @
9 k: N2 M+ h& H 相对于自动控制,人工控制的可靠性较差。为此,注册会计师应当考虑人工控制在下列情形中可能是不适当的:(1)存在大量或重复发生的交易;(2)事先可预见的错误能够通过自动化控制得以防范或发现;(3)控制活动可得到适当设计和自动化处理。
) u# h/ u+ h ~; Z4 f* L& S& |* `% j4 j
; D9 `# t9 o9 i: u* h* P 推荐阅读:存货管理的内部控制
2 Q. Q$ U, V, k' q( z& V
; _, @% a, ~) ~ * ?1 E" ~* R& r; v( g
+ P% A3 V8 e- G. W# P" Q4 R- m* w7 L" R7 L * x4 f7 M0 x: Q. w- B
|
发表于 2012-2-22 19:54:26
