استانداردهاى انجمن حسابداران رسمى امريکا و استانداردهاى پذيرفته شده حسابرسى دولتي، موارد زير ار الزامى مى‌داند:


حسابرسان بايد به منظور برنامه‌ريزى حسابرسى و تعيين ماهيت زمان‌بندى و حدود آزمون‌هاى رعايت، شناخت کافى در مورد کنترل‌هاى داخلى به‌دست آورند.


استانداردهاى پذيرفته شده حسابرسى دولتي، استانداردهاى کنترل داخلى تکميلى را براى حسابرسى صورت‌هاى مالى ارائه نداده اشت. به هر حال، اين فصل رهنمودهاى لازم در مورد چهار جنبه از کنترل‌هاى داخلى را ارائه مى‌کند که از نظر قضاوت‌هاى حسابرسان درباره ريسک حسابرسى و مدارک و شواهد مورد نياز، جهت تائيد اظهارنظر آنها نسبت به صورت‌هاى مالى اهميت دارد.

محيط کنترلى

قضاوت حسابرسان در مورد محيط کنترلى ممکن است بر قضاوت آنان درباره روش‌هاى کنترلي، اثر مثبت يا منفى داشته باشد. براى مثال، دستيابى به شواهد و مدارک حاکى از مؤثر نبودن محيط کنترلي، ممکن است حسابرسان را به سوى تحقيق درباره اثربخشى روش‌هاى کنترلى در مورد بخشى از صورت‌هاى مالى ارائه شده هدايت کند. برعکس، حسابرسان با اتکاء به شواهد و مدارک حاکى از مؤثر بودن محيط کنترلى ممکن است تصميم بگيرند تعداد نمونه‌هاى آمارى خود را جهت اجراء روش‌هاى حسابرسى کاهش دهند.


قضاوت حسابرسان در مورد محيط کنترلي، هم‌چنين مى‌تواند تحت تأثير نتايج آزمون‌هاى ساير کنترل‌هاى داخلى قرار گيرد. اگر حسابرسان به شواهد و مدارکى دست يابند که حاکى از غيرمؤثر بودن روش‌هاى کنترلى خاص باشد، ممکن است تجديدنظر در نتيجه‌گيرى‌هاى قبلى خود در مورد محيط کنترلى و هم‌چنين برنامه‌ريزى‌هاى مبتنى بر آن را ضرورى تشخيص دهند.

کنترل‌هاى حفاظتى

کنترل‌هاى داخلى مربوط به حفظ و حراست از دارائى‌ها (کنترل‌هاى حفاظتي) شامل فرآيندى است که با تأثيرپذيرى از دستگاه مطبوع، مديريت و ساير کارکنان واحد مورد رسيدگى طراحى مى‌شود تا نسبت به جلوگيرى يا کشف به موقع تحصيل غيرمجاز، استفاده نابجا، يا جابه‌جائى دارائى‌هائى که مى‌تاند تأثير مهمى بر صورت‌هاى مالى داشته باشد اطمينان معقولى حاصل شود.


کنترل‌هاى حفاظتى به منظور جلوگيرى با کشف به موقع معاملات غيرمجاز و دسترسى نابجا به دارائى‌هاى واحد مورد رسيدگى است که مى‌تواند موجب انعکاس زيان‌هاى مهمى در صورت‌هاى مالى شود؛ براى مثال: انجام مخارج يا سرمايه‌گذارى‌هاى غيرمجاز، ايجاد بدهى‌هاى غيرمجاز، دزدى کالا يا استفاده شخصى از دارائى‌ها. اينگونه کنترل‌ها به منظور حصول اطمينان از استفاده و دسترسى به دارائى‌ها، طبق مجوز مديريت واحد مورد رسيدگى طراحى مى‌شود. اين مجوز شامل تائيد انجام معاملات طبق رويه‌ها و خط‌مشى‌هاى اجرائى است که توسط مديريت و به منظور حفاظت از دارائى‌هاى به اجراء گذاشته مى‌شود (مانند استقرار و رعايت الزامات مربوط به ميزان و نظارت بر اعتبارات و هم‌چنين تصميم‌گيرى‌هاى سرمايه‌گذارى و مستندات آنها). کنترل‌هاى حفاظتى به منظور حفاظت از دارائى‌ها در مقابل زيان‌هاى وارده ناشى از عدم کارآئى يا تصميمات عملياتى مديريت، از قبيل هزينه‌هاى انجام شده براى ماشين‌آلات و مواد اوليه غيرضرورى يا غير لازم طراحى نمى‌شود.


استانداردهاى انجمن حسابداران رسمى آمريکا و استانداردهاى پذيرفته شده حسابرسى دولتي، حسابرسان را ملزم مى‌کنند جهت برنامه‌ريزى حسابرسى شناخت کافى در مورد ساختار کنترل‌هاى داخلى به‌دست آورند. اين استانداردها هم‌چنين حسابرسان را ملزم مى‌کند حسابرسى را به‌نحوى برنامه‌ريزى کنند که نسبت به کشف تخلفات بااهميت، از قبيل سوءاستفاده‌هاى بااهميت، از هدف‌هاى کنترل‌هاى حفاظتى است، کسب شناخت کافى از اين کنترل‌ها مى‌تواند وظيفه‌اى اساسى در جهت برنامه‌ريزى حسابرسى باشد.


به هر حال کنترل‌هاى حفاظتى تنها به جلوگيرى يا کشف سوءاستفاده‌ها محدود نمى‌شود. اين کنترل‌ها هم‌چنين حسابرسان را در جلوگيرى يا کشف کردن ساير زيان‌هاى بااهميت که مى‌تواند از تحصيل، استفاده يا کنارگذارى غيرمجاز دارائى‌ها ناشى شود، يارى مى‌دهد. براى مثال، چنين کنترل‌هائى شامل فرآيند ارزيابى ريسک تحصيل، استفاده يا کنارگذارى غيرمجاز دارائى‌ها و انجام اقدامات کنترلى به منظور حصول اطمينان از اجراء دستورات مديريت در جهت کنترل اين مخاطرات است. اين اقدامات کنترلى بايد شامل کنترل‌هائى باشد که تحصيل، استفاده يا کنارگذارى دارائى‌ها را تنها با مجوز مديريت و رعايت کامل رويه‌ها و خط‌مشى‌هاى اجرائى مربوط به اين موارد امکان‌پذير سازد. اين اقدامات هم‌چنين بايد شامل مطابقت عينى دارائى‌ها با دفاتر، در فواصل زمانى معقول و نيز انجام اقدامات مناسب، در صورت وجود هرگونه مغايرات بين آنها باشد و بالاره کنترل‌هاى حفاظتى دارائى‌ها در مقابل تحصيل، استفاده يا کنارگذارى غيرمجاز دارائى‌ها، شامل فراهم آوردن اطلاعات موردنياز مديريت جهت ايفاء مسئوليت‌هاى وى در قبال جلوگيرى يا کشف کردن به موقع اينگونه اقدامات غيرمجاز است. هم‌چنين بايد راه‌کارهائى ايجاد شود تا مديريت واحد بتواند بر اجراء مستمر و مؤثر اين کنترل‌ها نظارت کند.


شناخت کنترل‌هاى حفاظتى مى‌تواند حسابرسان را در ارزيابى خطر احتمال وجود تحريف با اهميت در صورت‌هاى مالى يارى دهد. براى مثال، شناخت کنترل‌هاى حفاظتى واحد مورد رسيدگى مى‌تواند به حسابرسان کمک کند، عوامل ريسک به‌شرح زير را شناسائى کنند:


- ناتوانى در نظارت کافى بر عمليات غيرمتمرکز


- نبود کنترل‌هاى لازم درباره فعاليت‌ها، از قبيل نبود مدارک و رويه‌هاى اجرائى براى معاملات عمده


- نبود کنترل‌هاى لازم در مورد پردازش رايانه‌اي، از قبيل کنترل نداشتن بر دسترسى به فرامينى که موجب جابه‌جائى يا کنترل دارائى‌ها مى‌شود


- ناتوانى در تدوين يا اجراء رويه‌ها و خط‌مشى‌هاى کنترلى مربوط به حفظ اطلاعات يا دارائى‌ها، از قبيل سهولت دسترسى کارکنان غيرمجاز به اط,عات و دارائى‌ها


- ناتوانى در بررسى و رديابى مغايرات قابل توجه موجود بين حساب کنترل و حساب‌هاى معين

کنترل‌هاى مربوط به رعايت قوانين و مقررات

حسابرسان بايد برنامهٔ حسابرسى را به گونه‌اى طراحى کنند که درباره نبود هرگونه تحريف بااهميت ناشى از ناديده گرفتن قوانين و مقررات در صورت‌هاى مالى (که مى‌تواند در تعيين ارقام مندرج در اين صورت‌ها تأثير مستقيم و بااهميت داشته باشد) اطمينان معقولى فراهم کند. به منظور تأمين اين ضرورت، حسابرسان بايد نسبت به کنترل‌هاى داخلى مربوط به مواردى که تحت تأثير قوانين و مقررات در صورت‌هاى مالى درج مى‌شود، شناخت کاملى کسب کنند. حسابرسان بايد اين شناخت را در جهت تشخيص انواع تحريف‌هاى بالقوه، ارزيابى عوامل مؤثر بر خطر تحريف بااهميت و طراحى آزمون‌هاى محتوا مورد استفاده قرار دهند. براى مثال، عوامل محيط کنترلى زير ممکن است بر ارزيابى خطر کنترل حسابرسان تأثير بگذارد:


- آگاهى يا عدم آگاهى مديريت نسبت به قوانين و مقررات مربوط.


- خط‌‌مشى واحد مورد رسيدگى در مورد موضوعاتى از قبيل روش‌هاى اجرائى عمليات و مقررات مربوط.


- سپردن مسئوليت و تفويض اختيار مربوط به اين موضوعات به‌عنوان هدف‌هاى سازماني، وظايف عملياتى و الزامات قانونى.

ارزيابى خطر کنترل

هنگامى که حسابرسان خطر کنترل را در مورد اظهارات مديريت (يا مندرجات صورت مالى ـ Financial Statement Assertion) پائين‌تر از حداکثر ارزيابى مى‌کنند، نياز آنها به کسب شواهد و مدارک از طريق آزمون محتواى ارقام اظهارشده کاهش مى‌يابد. حسابرسان مکلف به ارزيابى پائين‌تر از حداکثر ريسک کنترل نيستند، اما احتمال دارد که آنها انجام اين کار را با توجه به اندازه واحدهاى مورد رسيدگى و نيز پيچيدگى عمليات آنها اثربخش و کارا تشخيص دهند. حسابرسان بايد هنگامى که ريسک کنترل را پائين‌تر از حداکثر ارزيابى مى‌کنند، اقدامات زير را انجام دهند:


- مشخص نمودن کنترل‌هاى داخلى مربوط به يک سرفصل خاص در صورت‌هاى مالى


- انجام آزمون‌هائى که شواهد کافى در مورد اثربخشى کنترل‌ها فراهم مى‌آورد


- مستند ساختن آزمون‌هاى کنترل


حسابرسان بايد هنگام برنامه‌ريزى و انجام آزمون‌هاى کنترل موارد زير را مدّنظر قرار دهند:


- حسابرسان هر قدر خطر کنترل را پائين‌تر ارزيابى کنند، براى تائيد اين ارزيابى به شواهد بيشترى نياز دارند.


- حسابرسان ممکن است به منظور دستيابى به شواهد کافى در مورد اثربخشى کنترل‌ها، از ترکيبى از آزمون‌هاى مختلف کنترل استفاده کنند.


- معمولاً، پرس‌وجوها به تنهائى ارزيابى پائين‌تر از حداکثر بودن خطر کنترل را تائيد نمى‌کند.


- مشاهده عيني، شواهد لازم دربارهٔ اثربخشى کنترل‌ها را تنها در زمان انجام مشاهده فراهم مى‌آورد؛ ليکن در اين خصوص شواهد لازم را جهت بقيه دوره مورد حسابرسى فراهم نمى‌کند.


- حسابرسان مى‌توانند شواهد مربوط به آزمون کنترل‌ها را که طى حسابرسى‌هاى قبلى انجام شده است، مورد استفاده قرار دهند، اما آنها بايد در مورد ماهيت و حدود تغييرات قابل توجه در خط‌‌مشى‌ها، روش‌ها و کارکنان واحد مورد رسيدگى که از تاريخ آخرين آزمون به بعد صورت گرفته است شواهد کافى جمع‌آورى کنند.


در صورتى‌که آزمون‌هاى محتواى حسابرسان حاکى از کشف تحريف بااهميت خصوصاً در مورد تخلفات و اعمال غيرقانونى باشد، حسابرسان ممکن است در ارزيابى‌هاى خود دوباره خطر کنترل تجديدنظر کنند. در نتيجه، آنها ممکن است اصلاح آزمون‌هاى محتواى برنامه‌ريزى شده خود را در مورد بعضى يا تمامى اقلام مندرج در صورت‌هاى مالي، ضرورى تشخيص دهند. نارسائى‌هاى کنترل‌هاى داخلى که موجب تحريف‌هاى مذکور مى‌شود، ممکن است نکات قابل گزارش يا ضعف‌هاى بااهميتى باشد که حسابرسان بايد آنها را گزارش کنند.