【问题】
内部控制的人工控制和自动化控制各有什么优势和风险?
【简要答案】
自动化控制的优势在于处理大量交易一贯运用业务规则、提高信息及时性和准确性、降低控制被规避的风险;风险在于系统可能处理错误数据、存在未经授权访问、数据丢失等。人工控制适用于需要主观判断或酌情处理的情形,但容易被规避、不具有一贯性、易产生简单错误。
【政策依据】
- – 《2026年CPA审计教材》第七章《内部控制的人工和自动化成分》
【详细解读】
- 信息技术的优势:(1)处理大量交易或数据时一贯运用业务规则;(2)提高信息的及时性、可获得性及准确性;(3)促进对信息的深入分析;(4)提高监督能力;(5)降低控制被规避的风险;(6)提高职责分离的有效性。
- 信息技术的风险:(1)系统或程序不能正确处理数据;(2)未经授权访问数据;(3)信息技术人员获得超越职责范围的数据访问权限;(4)未经授权改变主文档数据;(5)未经授权改变应用程序;(6)未能对应用程序作出必要修改;(7)不恰当的人为干预;(8)可能丢失数据或不能访问所需数据。
- 人工控制的适用范围:(1)存在大额、异常或偶发的交易;(2)存在难以界定、预计或预测的错误;(3)需要对自动化控制进行人工干预;(4)监督自动化控制的有效性。
- 人工控制的风险:(1)更容易被规避、忽视或凌驾;(2)可能不具有一贯性;(3)更容易产生简单错误或失误。
- 相对可靠性:相对于自动化控制,人工控制的可靠性较低。在存在大量或重复发生的交易等情形中,人工控制可能是不适当的。
【例子说明】
【例】B公司在销售流程中同时使用了自动化控制和人工控制,请问注册会计师应如何评价这两类控制的优势和风险?
1. 场景设定:B公司使用ERP系统处理销售订单,系统自动核对客户信用额度和商品价格,同时设有销售经理对异常订单的人工审批。
2. 规则引用:自动化控制处理大量交易一致性好,人工控制适用于需要主观判断的情形。
3. 具体推导:系统自动化控制每日处理500笔销售订单,自动检查客户信用额度(已设定100万元上限),防止超额赊销,该控制一贯运行有效;但对于超出正常价格10%的订单,系统标记为异常,需要销售经理人工判断是否批准。自动化控制的风险在于如果系统参数设置错误(如信用额度误设为1000万元),将导致大量错误订单通过;人工控制的风险在于销售经理可能因繁忙而疏忽审批或违背公司政策批准异常订单。
4. 最终结论:注册会计师需要测试自动化系统控制的有效性和参数设置的准确性,同时对人工审批控制的执行情况进行观察和检查。