在某些情况下,注册会计师之前的了解可能表明被审计单位在业务流程层面针对某些重要交易流程所设计的控制是无效的,或者注册会计师并不打算依赖控制,这时注册会计师没有必要进一步了解在业务流程层面的控制。 ! ^( P( K4 O7 G2 K8 c
+ [+ l- {/ E5 t/ G, i. J! y
如果注册会计师计划对业务流程层面的有关控制进行进一步的了解和评价,那么针对业务流程中容易发生错报的环节,注册会计师应当确定:(1)被审计单位是否建立了有效的控制,防止或发现并纠正这些错报;(2)被审计单位是否遗漏了必要的控制;(3)是否识别了可以最有效测试的控制。 6 e# A& K) D f3 x2 X' m
2 w$ }4 R9 o4 E b- A6 ^9 [ 1.控制的类型。通常将业务流程中的控制划分为预防性控制和检查性控制,下面分别予以说明。
5 v! V" f" Z5 M# l7 i
( \: i# h& @- Y( r- g* S (1)预防性控制。预防性控制通常用于正常业务流程的每一项交易中,以防止错报的发生。 " n3 z) R! q6 B
& E% X1 N3 ~* d; e) r$ n. c. R
对于处理大量业务的复杂业务流程,被审计单位通常使用针对程序修改的控制和访问控制,来确保自动控制的持续有效。
, y, d C0 z y* x
9 C) ^/ h# l8 ~8 \8 S5 U" O 程序修改的控制和访问控制通常不直接防止错报,但对于确保自动控制在整个拟信赖期间内的有效性有着十分重要的作用。
' \ B: ?5 @, B6 V1 J! Y9 Y1 g. u# J- C+ P; d1 ^$ p, w [: B
(2)检查性控制。建立检查性控制的目的是发现流程中可能发生的错报(尽管有预防性控制还是会发生的错报)。被审计单位通过检查性控制,监督其流程和相应的预防性控制能否有效地发挥作用。检查性控制通常是管理层用来监督实现流程目标的控制。检查性控制可以由人工执行,也可以由信息系统自动执行。
1 g4 P' v# o J& q5 `$ e6 s0 O7 w" I/ B% W8 U* l0 E
检查性控制通常并不适用于业务流程中的所有交易,而适用于一般业务流程以外的已经处理或部分处理的某类交易,可能一年只运行几次,也可能每周运行,甚至一天运行几次。 $ q$ e5 P* Z, | p
" R7 E# C8 ^; a$ e: S 有些检查性控制虽然并没有正式地设定,但员工会有规律地执行并作记录,这些控制也是被审计单位内部控制的有机组成部分。 ) v. i& E" d7 ~. {$ S& U
1 I! B3 q. V$ B/ ]* c 控制被归为哪类并不重要,重要的是它是否有效,以及注册会计师能否测试其有效性。业务流程中重要交易类别的有效控制应同时包括预防性控制和检查性控制,因为没有相应的预防性控制,检查性控制也不能充分发挥作用。
" X7 ?% X5 e; t& \* W
, C \5 k4 ?9 s5 t/ v- h) r 2.识别和了解相关控制。
. }; S' g8 f' F$ _' s% _4 X
+ [- h1 j x, ]# ?8 g/ ~ 识别和了解控制采用的主要方法是,询问被审计单位各级别的负责人员。业务流程越复杂,注册会计师越有必要询问信息系统人员,以辨别有关的控制。
" p. [2 o0 v0 u+ |3 A' r# t7 y& X3 H
一般是“从高到低”进行询问。
7 u3 D( P" X* U, o+ Q. r6 [' d8 v l+ P* Y! D+ V9 C
从级别较低人员处获取的信息,应向级别较高的人员核实其完整性,以确定他们是否与级别较高的人员所理解的预定控制相符。
7 A% S, H7 B p/ S$ n# t' ~( n% i/ C% r$ a8 h- _
如果多项控制活动能够实现同一目标,注册会计师不必了解与该目标相关的每项控制活动。
1 L8 h0 G. t6 R' a9 r$ |7 {5 i; ~3 e: {
在实务中,注册会计师还会特别考虑一项检查性控制发现和纠正错报的能力。
2 p( [$ @* M U a, a% F0 E5 O2 N+ v( w6 G* {
也就是说,控制与认定直接或间接相关;关系越间接,控制对防止或发现并纠正认定错报的效果越小。注册会计师应考虑识别和了解与认定关系更直接、更有效的控制。 ; e {8 ~- ]( V- S. b& M
1 N. _! v" U1 ?6 F$ O* \" g 当然,如果在之后的穿行测试和评价中,注册会计师发现已识别的控制实际并未得到执行,则应当重新针对该项控制目标识别是否存在其他的控制。
& A/ s. f% N" E& |% U8 q
% Y7 Y8 K* N' R( y5 ?& q4 K 3.记录相关控制。(一般了解)
) w& m8 ?0 {7 k- y
9 ]1 e6 _; m% M6 ]- v" t 如果注册会计师对重要业务流程的记录符合下列条件,可以认为其是充分的:(1)该记录识别了所有重要交易类别;(2)该记录指出在业务处理流程中“在什么环节可能出错”,即在什么环节需要控制;(3)该记录描述了针对“在什么环节可能出错”建立的预防性控制与检查性控制,而且指出这些控制由谁执行以及如何执行。 * o+ t, ^, [/ [( H1 ^1 Y* [
" K1 G1 \6 o) @* i( |, A2 k. N 1 [5 S% g9 y7 X6 h
: N! M) F% e5 F i d( f
|