【文章內容簡介】 文件證據(jù)很難獲得和進行測試。 5/4/2023 20 5/4/2023 ? 如果在被審計的范圍內有任何一個硬控制不能有效地運行，將被授予不滿意的等級評價。另一方面，合理的行為被假定為軟控制，在不合理行為被發(fā)現(xiàn)的情況下，將會得到一個不利的審計結論。除非有直接的證據(jù)表明軟控制是正確而又適當?shù)?，否則不能將其評為滿意的評價等級。只要發(fā)現(xiàn)不道德、不稱職、不當管理行為的事例，審計人員就應考慮給予不滿意的評價等極。審計人員對（有效）軟控制提供保證的程度遠遠低于通常的匯報。隨著對軟控制測試技術的提高，評價標準可以進行修改，對（匯報）提供為積極的保證。 5/4/2023 21 5/4/2023 ? 根據(jù) coso的風險評估，有效風險評估要求： ? 重新定義目標 ? 目標的兼容性 ? 達到目標的風險識別 ? 關鍵風險的判斷 ? 確定減少風險的措施 5/4/2023 22 5/4/2023 ? 如果缺少任何一個因素，通常會給予不滿意的等級評價。而且，應該設計審計調查測試來判斷是否存在管理層非預期關鍵風險。如果這種風險被識別出存在并被認為是關鍵的，應提出一個不滿意的評價等級并單獨報告，即使以上列出的五個因素都存在。 5/4/2023 23 5/4/2023 ? 控制活動：無論是何種審計類型或被正被稽核的控制活動的本質，都必須在審計工作底稿中對明確的控制活動和相關的控制目標形成記錄。被審計的一般控制活動包括： ? 財務 ——填制流程，授權，記錄保存，管理部門審查，保證資產分類數(shù)據(jù)，防止金融欺詐和侵吞資產。 ? 信息系統(tǒng) ——總體，硬件以及應用，以確保系統(tǒng)運作的可靠性，數(shù)據(jù)輸出的準確性，設備和檔案的保護措施。 ? 業(yè)務操作 ——指示性的、預防性的、偵察性的控制，集中于對資源的利用效率以及明確的控制目標能夠達到的可度量程度。 5/4/2023 24 5/4/2023 ? 如果關鍵控制活動沒有執(zhí)行或沒有完成指定的目標，在這種情況下，這個控制組成部分一般會給與一個不滿意的評價等級?；蛘哒f，必須有關鍵的控制活動提供合理保證業(yè)務正常運作，按照預期達到控制目標。如果控制活動上反映出管理層的風險緩解戰(zhàn)略缺失或不充分，僅此一項即可招致不滿意的評分。 5/4/2023 25 5/4/2023 信息和溝通 ? coso提到幾個關于信息和溝通的控制因素，我們期望我們的審計人員在評價時取最小值： ? 識別、收集、溝通已審計范圍內的公認標準。 ? 員工認識到其控制責任關系到整個體系 ? 處理客戶，供應商，員工關注，投訴，糾紛的機制和處理機制應及時。 ? 如果以上這些因素不能有效運作，將給與不滿意的等級評價。 5/4/2023 26 5/4/2023 監(jiān)管 ? 管理層制定的控制評價程序，在一定的時間檢測決定內部控制系統(tǒng)的質量。日常流程中的一些獨立表格是必要，以保證對有效的控制形成監(jiān)管。因此，我們并不把流程中管理層的日常業(yè)績評價視為一項監(jiān)管，相反，我們把它視為一項控制活動。 ? 監(jiān)管包括管理層的內部監(jiān)管和流程外其他組織的外部監(jiān)管。它可能包括一些獨立方法的運用，例如，制定的流程和核查清單的標準。如果管理層未建立內部控制系統(tǒng)的監(jiān)測程序，不論是獨立形式評估還是持續(xù)的監(jiān)測，將不會得到一個滿意的評分等級。 5/4/2023 27 5/4/2023 COSOBASED REPORTING ? We municate our audit assessments to management using a COSObased control evaluation form that we developed. This form, which is shown on page 64, provides management with a snapshot of how the audited area stacks up against the COSO control requirements. The ratings for each control ponent are shown, as well as an overall summary rating, which determines whether there is reasonable assurance that management’s objectives will be achieved. We also note the rationale for any unsatisfactory ratings given. ? The control evaluation form is pleted prior to the audit exit conference and reviewed with other auditors and audit management. These interim reviews determine whether sufficient basis exists for the ratings assigned. Auditors are encouraged to discuss the ratings with the audit customer—either directly, using the control evaluation form, or indirectly during review and discussion of the audit findings. These discussions are most effective when we speak in terms of our control framework and avoid use of the COSO acronym. ? The control eval