评估控制风险中的实际问题
对内部控制的理解
对客户内部控制系统的理解通常是一个很费时而且很复杂的过程,尤其是对于新顾客而言。 典型的,最好的信息资源是客户的人力情况。对他们做什么和他们对谁做报告的公司主要成员的一对一的会谈将提供很多这种信息,这些信息不会以组织的形式给出。
  重复的会谈对于消除误解或者矛盾的叙述是很有必要的。最后,审计员将不得不把这些信息组织成公司内部控制的连贯描述(见下一章)。
各种人员的行为。正确的人员关系可以通过会谈了解其行为,也可以通过他们执行任务的情况看出。其它的措施对审计员也是有帮助的,审计员可以得到并且再审官方职工操作程序指南,这些指南描述了为了理解交易时如何进行和记录的,定期审计员也可以检查用在核算过程中的相关文档和记录。
  然而,审计员应该知道,这些会谈和观察可能展现出某些不符合官方手续的现象。
最后,审计员关心的是组织实际上在做什么,而不是官方职工操作程序指南中描述的什么。
理解内部控制环境的一个重要方面就是那些可能被证实有降低控制风险的因素的鉴定。 因为这些因素对于系统产生的信息的可靠性方面有正的影响,所以称他们为"控制强点"。
   审计员应当注意任何这样的因素:他们表面可能因为主要策略和程序的缺乏而导致较高控制风险。 因为这些因素对系统可靠性有负面影响,称他们为"控制弱点"。 审计员应该生成一个关于事物过程系统的主要组成部分的强点和弱点的综合列表,这样他们随后可以涉及到控制目标和通过审核的意见。
  
理解内部控制的过程在重复审计契约中变得更容易,因为审计员已经很熟悉大部分客户的行为和过程。然而自最后一次契约后,审计员仍然要仔细评估可能发生在内部控制里的任何变化。
编成内部控制文档
内部控制评估的一个重要步骤就是将审计员的理解编成文档。
  通常审计员只陈述他或她对系统的理解是不够的,这些理解还必须被编成文档。 有三种一般的方法用于将审计员对内部控制的理解编成文档:(1)书写记述体,(2)流程图,(3)控制问卷,三种方法各有优点,并可以被同时使用。
书写记述体: 书写记述体是对组织内部控制的简单书面描述。
   书写记述体最少应该包括发生的主要处理步骤的认同,和可以保证方法是可靠的相关控制行为的鉴定。 文档的传真可以附到记述体中,叙述中应该包括一个对控制环境(例如管理态度和动机,影响控制环境的组织特征)问题的中肯的描述的介绍性部分。
流程图:流程图类似于叙述体,除了它是以图表的形式而不是以描述的形式给出的。
  图5-6给出了一个系统流程图的例子。流程图应该用标准符号表现所有主要文档的资源、过程和部署。当需要进一步的细节描述时,流程图可以用一些简短的描述进行补充。流程图的优点是可以提供系统的全视图,而技术体也可以给出该全视图。
控制问卷: 控制问卷给出一系列关于控制行为的问题,这些问题可能发生在交易过程中,以"是/不是"的形式给出。
  大部分情况下,"是"表示一个控制程序被执行并且被这一程序影响的控制风险可以被降低。"不是"暗示没有这种要求的类型的控制,而且尤其影响的控制风险也不会被降低。问卷对于快速证明一个组织已经就绪的控制过程是非常有用的。因为好的问卷全面的,审计员不可能注意到所有的控制过程,这些过程可能对审核计划有一定影响。
  同时问卷不太可能提供一个连贯的内部控制描述,所以通常被用作记叙体和流程图的补充。而且因为问卷本质上是全面的,审计员就有义务考虑被审计客户的独特的环境状况。
记述体、流程图、控制问卷,三者无论被审计员使用与否,审计员的内部控制理解文档都必须足以支持他所得到的结论,这些结论是关于包括财政决算的声明的控制风险的。
  
控制风险和审计计划的关系
控制风险和审计计划的逻辑关系相当直接的,控制风险高的时候,在审计的声明中未被发现的谎报就可能存在。这样审计员就会计划一些契约找到扩张的证据说明这些谎报实际上不存在或者已经都被发现了。控制风险低的时候(从最高水平降低),审计员认为,在被审计的声明中没有或者有很小的为被发现的谎报(例如非重要的)。
  这样审计员将会计划一些契约得到一些但是最小的证据说明没有谎报,因为审计员不希望在测试过程中发现谎报。当然审计员不得不不断了解这些测试的暗示。如果审计员估计了控制风险是低的并计划了一些契约期望发现很少(如果有)的谎报,但是接着就发现了很多的谎报,审计员就必须重新评估某些或者所有生明控制风险,重新检测初始计划的评估测试的适当性。
  
审计风险、控制风险和审计工作量的关系见5-7图。这个图基于审计风险是审计工作量的递增函数,即所做的工作越多,审计风险越低。控制风险通过权衡审计风险和审计工作量来影响这个关系,当控制风险降低的时候,审计风险/审计工作量的权衡线向图的原点移动,这个移动表明,一个给定水平的审计风险,如R0,通过审计员可以由更少的工作量得到。
  即从E0到E1控制风险所需要的工作量水平降低了,这一关系在第7章中重新叙述了。
更特别的,审计员必须将控制强点和弱点联系起来,这些强点和弱点在审计的声明中确定过了。哪个重要的控制强点存在的声明可能证明了控制风险的降低,哪个重要的控制弱点存在的声明应当有最大的控制风险。
  每个声明的控制风险的评估对于后来的审计测试都有一个直接的影响。在后面的方法中审计员可以根据风险评估控制调整审计计划:
选择或多或少的有效审计过程:对于比文档和分析过程更有效的审计可靠性的确认和物理检测。当控制风险在最大水平时,应该得到更多的可靠性证据。
  
间断时刻表或者年终测试:许多测试都是在财政年终的之前或者之后进行,通常认为年终后测试更加有效,因为对审计员来说有更多的潜在证据可用。例如,当控制风险降低的时候,应付帐款可以在11月30日(而不是年末)付清,但如果在12月31付清,就不是很有效了。
  
调整测试范围:许多审计过程都是在一个抽样上执行的,也就是说不是所有的交易都被检测。如果控制风险降低,审计员就一定会检测更少的交易。
终于翻译完了，我都想吐了！。