第五十一条 如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息,注册会计师应当考虑用以保证该信息完整性和准确性的控制可能与审计相关。
第五十二条 如果用以保证经营效率、效果的控制以及对法律法规遵守的控制与实施审计程序时评价或使用的数据相关,注册会计师应当考虑这些控制可能与审计相关。
第五十三条 用以保护资产的内部控制可能包括与实现财务报告可靠性和经营效率、效果目标相关的控制。注册会计师在了解保护资产的内部控制各项要素时,可仅考虑其中与财务报告可靠性目标相关的控制。
第三节 对内部控制了解的深度
第五十四条 注册会计师在了解内部控制时,应当评价控制的设计,并确定其是否得到执行。
评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。
控制得到执行是指某项控制存在且被审计单位正在使用。
设计不当的控制可能表明内部控制存在重大缺陷,注册会计师在确定是否考虑控制得到执行时,应当首先考虑控制的设计。
第五十五条 注册会计师通常实施下列风险评估程序,以获取有关控制设计和执行的审计证据:
(一)询问被审计单位的人员;
(二)观察特定控制的运用;
(三)检查文件和报告;
(四)追踪交易在财务报告信息系统中的处理过程(穿行测试)。
询问本身并不足以评价控制的设计以及确定其是否得到执行,注册会计师应当将询问与其他风险评估程序结合使用。
第五十六条 除非存在某些可以使控制得到一贯运行的自动化控制,注册会计师对控制的了解并不能够代替对控制运行有效性的测试。
第四节 内部控制的人工和自动化成分
第五十七条 内部控制可能既包括人工成分又包括自动化成分,在风险评估以及设计和实施进一步审计程序时,注册会计师应当考虑内部控制的人工和自动化特征及其影响。
第五十八条 信息技术通常在下列方面提高被审计单位内部控制的效率和效果:
(一)在处理大量的交易或数据时,一贯运用事先确定的业务规则,并进行复杂运算;
(二)提高信息的及时性、可获得性及准确性;
(三)有助于对信息的深入分析;
(四)加强对被审计单位政策和程序执行情况的监督;
(五)降低控制被规避的风险;
(六)通过对操作系统、应用程序系统和数据库系统实施安全控制,提高不相容职务分离的有效性。
第五十九条 注册会计师应当从下列方面了解信息技术对内部控制产生的特定风险:
(一)系统或程序未能正确处理数据,或处理了不正确的数据,或两种情况同时并存;
(二)在未得到授权情况下访问数据,可能导致数据的毁损或对数据不恰当的修改,包括记录未经授权或不存在的交易,或不正确地记录了交易;
(三)信息技术人员可能获得超越其履行职责以外的数据访问权限,破坏了系统应有的职责分工;
(四)未经授权改变主文档的数据;
(五)未经授权改变系统或程序;
(六)未能对系统或程序作出必要的修改;
(七)不恰当的人为干预;
(八)数据丢失的风险或不能访问所需要的数据。
第六十条 内部控制的人工成分在处理下列需要主观判断或酌情处理的情形时可能更为适当:
(一)存在大额、异常或偶发的交易;
(二)存在难以定义、防范或预见的错误;
(三)为应对情况的变化,需要对现有的自动化控制进行调整;
(四)监督自动化控制的有效性。
第六十一条 注册会计师应当从下列方面了解人工控制产生的特定风险:
(一)人工控制可能更容易被规避、忽视或凌驾;
(二)人工控制可能不具有一贯性;
(三)人工控制可能更容易产生简单错误或失误。
第六十二条 注册会计师应当考虑人工控制在下列情形中可能是不适当的:
(一)存在大量或重复发生的交易;
