Test of control -内部統制はEffectiveか
Audit で Auditor は、Client の Internal control(内部統制) の Understanding を Obtain し、Risk assessment procedures を実施して、Internal control の Implementation と Use を評価する。
Internal control が適切に Design されていると判断したら、Internal control の Operating effectiveness を Evaluate するために Test of control を実施する。Control が誰にどのように行われているか、その Consistency もあわせて Test する。
Risk assessment procedures により、Internal control が適切でないと判断すれば Test of control を行わずに Substantive test を実施する。
Efficient な Test of control の Perform は、Substantive test の Reduction が期待できる。
Test of control は Substantive test と同じく、 Assertion と関連させて実施する必要がある。それぞれの Assertion に Audit risk があるので、Assertion と関連させなければ実施する必要がない。
Internal control の Test は、Substantive test と違って Balance(残高)は確認しない。
Test of control により、Effective な Controls からの Deviations(逸脱) を Evaluate する。Deviations は Qualitative な Aspects を Consider する。Deviations が Forged document などにより Conceal されている可能性もあるので、Broader な Consideration を用いる。
Test of control でえられる Evidence は、あくまで Test 時点での Control を示しているのであって、期間全般を示してはいない。
Test of control では Observe、Inquiry、Inspect、Reperformance を行う
Control の Deviation を発見したら、Inquiry を行い Potential consequence を探る
過去の Internal control の Evidence を使用するならば 3年に1回は Test する
Procedures
Test は以下の Procedures が実施される。
- Observe
- Inquiry
- Inspect
- Reperformance
Observe
観察。従業員の仕事っぷりや取引や管理の実態と直視する。Internal control の Imprementation を Test し、Material misstatements を Prevent や Detect できる。
- Separation of duties(職務分離)の確認
- Lock、金庫など物理的なセキュリティの確保
- Limited access の確認
- Monthly statements
Monthly statements
Client の Customers に送られる Monthly statements。こちらを Observe して Management assertions の Existence or occurrence を Support。
Inquiry
Management や Employee への問い合わせ、Interview。他の Procedure と Combine して行うべき。
- 換金性のある Asset に Bonding をしているか
- 従業員が有給休暇をきちんととれているか。その他待遇面も。
- Deviation の Potential consequence の確認
Inspect
Documents や Report の検査。
- Document は常に Approved されているか
- 伝票は Prenumbered されているか
- 台帳の Cross check
- 伝票や帳簿は必ず Filling されているか
- Bank reconcilation の Verify
Reperfomance
Internal control の Effectiveness を Test できる。
Response
Test of control で Deviation を発見したら、Inquiry を行い、Deviation の Potential consequence の Understanding を Obtain する。
また、Control の Material weakness を発見した場合、Control risk をあげて Substantive test の回数を増やす。
Prior evidence
前年の Audit でえた Control が Effectiveness という Evidence は、Control に変更がなければ当年も使用することが可能になる。ただし3年に1回は Test しなければならない。
If the auditor plans to rely on controls that have not changed since they were last tested, the auditor should test the controls at least once in every third audit and should test some controls during each audit.
PCAOBは毎年 Test するようもとめている
Change
前回の Test から、Internal control に変更があった場合、同じく Test を行い Operating の Effectivess をEvaluate する。
Internal controlへのIT効果 -Audit evidenceの収集に影響- USCPA
Internal controlのObjectiveとComponents -Control activitiesはSegregation of dutiesが重要- USCPA
Internal controlのRequirementsとResponsibility -内部統制のUnderstandingとDesign評価- USCPA
Inherent limitation -内部統制の固有の限界- USCPA
Test of control -内部統制はEffectiveか- USCPA
Significant deficiencyとMaterial weakness -内部統制の欠陥- USCPA
Service organization -Type 2 reportはCR変更のEvidence- USCPA
Purchase cycle -Purchase orderはPre-numberedで- USCPA
Revenue cycle -受注から元帳入力までの内部統制- USCPA
CashのInternal control -現金入出金時の内部統制- USCPA
InvestmentのInternal control -CustodyはTrust companyに任せる- USCPA
Human resources and Payroll cycle -人事と給与支払いの内部統制- USCPA
Property, plant and equipment cycle -固定資産の購入から除却までの内部統制- USCPA
InventoryのInternal control -Physical inventory countは必ずObserve- USCPA