单元六 内部控制测试

1、单元六 内部控制测试会计教研室:许苗学习目标了解内部控制的概念、目标和局限性。明确内部控制与审计的关系。一般掌握内部控制了解和描述的方法。重点掌握控制测试的时间、性质和范围及内部控制的评价。 任务一 内部控制的概述 一、内部控制的概念及目标(一) 内部控制的概念 P89内部控制是指被审计单位为了合理保证财务报表的可靠性、经营的效率和效果及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策与程序。(二) 内部控制的目标 (1)合理保证财务报表的可靠性，该目标与管理层履行财务报告编制责任密切相关。 (2)合理保证经营的效益和效果，即经济地使用企业资源，以最优方式实现企业目标。(3)合理保

2、证在所有经营活动中遵守法律法规的要求，即在法律法规的框架下从事经营活动。二、内部控制要素 (一) 控制环境控制环境是对企业内部控制的建立和实施有重大影响的因素的统称。控制环境包括治理职能和管理职能及治理层和管理层对内部控制重要性的态度、认识和措施。控制环境是内部控制的基础，它的好坏直接决定着企业其他控制(会计系统和控制程序)能否实施及实施的效果。控制环境包括以下因素：(1) 经营管理的观念、方式和风格。(2) 组织机构。 (3) 董事会和审计委员会。 (4) 授权和分配责任的方法。 (5) 管理控制方法。(6) 内部审计。 (7) 人事政策和实务。(8) 外部影响。(二) 会计系统会计系统是指

3、企业为了确认、记录、计量和报告其交易和事项，以及明确对相关资产、负债和所有者权益责任的方法和记录。健全和有效的会计系统应符合以下要求：(1) 确认并记录所有真实的交易。(2) 及时且充分详细地描述交易，以便在财务报表上对交易作适当的分类。(3) 计量交易的价值，以便在财务报表上记录其适当的货币价值。(4) 确定交易发生的期间，以便将交易记录在适当的会计期间。(5) 在财务报表中适当地表达交易和披露相关事项。 (三) 控制程序 控制程序是指企业管理当局为了实现其特定的管理目标而制定的除控制环境和会计系统以外的各项政策和程序。 (1) 交易授权主要目的在于保证交易是管理人员在其授权范围内授权产生的

4、。一般授权是指处理常规性交易的授权，如销售人员对符合企业一般信用标准的顾客赊销商品。特别授权是指处理非常规性交易的授权，如重大资本支出、债券和股票发行等。 (2) 职责划分主要目的是避免任何职员担任不相容的职务。不相容的职务是指经营业务的授权、批准、执行和记录等完全由一个部门或一个人办理时，发生错弊的可能性就会增大的两项或两项以上的职务。不相容的职务必须分离，这是建立内部控制最基本的要求。企业不相容的必须分离的职务主要有：交易的执行、记录、审查、保管等职务应当分离。交易执行中各个步骤的工作应当指派给不同的个人或部门。会计工作的某些责任应分工。 (3) 凭证和记录控制主要目的是确保各种交易和事项

5、得以全面、完整、准确地记录。凭证是证明交易发生和交易价格、性质及条件的证据，如发票、支票、合同等。记录主要是指企业各部门对经济业务所做的各种记录及汇总，如职工工资记录、永续存货记录、每日销售汇总表、记录凭证及各种账簿。凭证和记录控制的一般要求：凭证预先连续编号。及时编制凭证以及时记录已发生的交易和事项。凭证简单明了，不易误解。 (4) 资产与记录的接触主要目的是限制接近资产和重要的记录，以保证资产与记录的完全和完整。资产与记录的接触控制程序的一般要求是采取实物保护措施，未经授权与批准的不相关人员不得接触这些资产与记录。如将存货存入仓库、现金放入保险柜等都是实物保护措施。 (5) 独立稽核独立稽

6、核是指对已记录的交易和事项由具体经办人以外的独立人员或部门进行核对或验证。独立稽核的对象主要是前面四项控制程序的内容，即业务的各项授权的检查、职责划分及执行情况的检查、各种业务凭证及记录的复核、资产和记录的接触的检查等。 三、内部控制的种类按不同标准对内部控制进行分类有利于更好地认识，建立内部控制。1、内部控制按工作范围分类 （1）内部会计是为了保证企业会计记录真实可靠、财务收支合法合规、财产物资的安全完整而实施的政策和程序。如财务控制、核算控制、会计档案控制等。（2）内部管理控制是为了提高经济效益和工作效率，保证贯彻经营决策、方针和政策，保证业务活动的有效进行而实施的政策和程序。如计划控制、

7、质量控制、技术控制、劳动控制、设备控制等。2、内部控制按控制的方式分类（1）预防性控制。预防性控制通常用于正常业务流程的每一项交易，以防止错误的发生。在流程中防止错报是信息系统的重要目标。（2）检查性控制。建立检查性控制的目的是发现流程中可能发生的错报。被审计单位通过检查性控制，监督其流程和相应的预防性控制能否有效地发挥作用。检查性控制通常是管理层用来监督实现流程目标的控制。检查性控制通常并不适用于业务流程中的所有交易，而适用于一般业务流程以外的已经处理或部分处理的某类交易。四、内部控制的人工和自动化成分内部控制可能既包括人工成分又包括自动化成分。不同的被审计单位采用的控制系统中人工控制和自动

8、化控制的比例是不同的。在风险评估及设计和实施进一步审计程序时，注册会计师应当考虑内部控制的工作和自动化特征及其影响。内部控制与审计的关系 一、传统审计方法及其局限性 (一) 账表导向审计的形成 账表导向审计方法适用于评价简单的受托经济责任，是审计方法发展的第一阶段，在审计史上占据着十分重要的地位。 账表导向审计，围绕着会计账簿、会计报表的编制过程来进行审计的，通过对账表上的数字进行详细核实来判断是否存在舞弊行为或技术性错误。其重点是以交易为基础的详细审查，以交易为基础的全部工作都是围绕着交易过程来进行的。 (二) 账表导向审计的局限性 (1) 费时费力，审计成本高。(2) 进行抽查时容易遗漏重

9、大有问题项目的事件。(3) 不容易发现会计工作中的程序性错误。 二、系统导向审计方法 (一) 系统导向审计方法的产生系统导向审计是以被审计单位具有较健全的内部控制系统为前提条件，伴随着内部控制系统的完善，于20世纪50年代初逐渐走上审计舞台。 1. 审计目标的改变，是系统审计方法产生的内在因素2. 企业的规模扩大化和复杂化，是系统审计方法产生的外在因素 3. 企业的内部控制系统日趋完善，使系统审计方法运用成为可能 (二) 系统导向审计的审计程序 审计程序的主要特点为：(1) 签订审计业务约定书之后要进行初步调查，将现行系统记录下来，并加以评价。(2) 经过评价，如认为系统不可信赖，则不能采用系

10、统导向审计的方法要对账簿进行分析和测试，增加实质性测试的数量；如认为系统可以信赖，则采用系统导向审计方法，进行控制测试。(3) 经过控制测试后，如果满意，则可进行少量的实质性测试；如果不满意，则必须了解有无补救控制措施。倘若有适当的补救控制措施，也可只进行少量的实质性测试；倘若缺乏适当的补救措施，则必须增加实质性测试的数量。 (三) 系统导向审计的局限性及发展 系统导向审计是现代审计发展和成熟的重要标志，它的产生使审计科学从不成熟状态走向成熟状态。 但由于系统导向审计存在一些自身无法解决的弱点（主要表现为基于内部控制系统的审计模式没有与审计风险密切联系起来 ） ，必将被风险导向审计所取代。任务

11、二 内部控制的审计与评价 在现代审计中，对内部控制的研究和评价主要做三个方面工作：第一，了解并记录内部控制，初步评价控制风险；第二，根据初步评价的结果对准备信赖的内部控制进行控制测试；第三，根据控制测试的结果对控制风险进行进一步的评价，据此确定实质性测试时间、性质和范围。 一、业务循环及其分类 在现代审计中，注册会计师对企业内部控制的了解、测试和评价，一般采用业务循环法来进行。业务循环法，也称切块审计法，它是将密切相关的交易种类或账户余额划为同一块，作为一个业务循环来组织安排审计工作的方法。值得注意的是，实质性测试也可按业务循环法来组织。 业务循环是指处理某一类型经济业务的工作程序和先后顺序的

12、总称。对于制造业企业来说，可划分为销售与收款循环、采购与付款循环、存货与仓储循环(包括工资与人事循环)、筹资与投资循环等，也可将工资与人事循环单列成为一个独立的循环。对于商业企业来说，没有生产循环。对于金融企业来说，没有生产循环，但有放贷款循环与活期存款业务循环。二、了解内部控制 1. 询问被审计单位有关人员，并查阅相关内部控制文件 2. 观察特定控制的运用。3. 检查文件和报告。4. 选择若干具有代表性的交易和事项进行穿行测试 三、描述内部控制 (一) 文字叙述法（如：P95)文字叙述法，也称为文字说明法，是指注册会计师用文字叙述的方式描述被审计单位内部控制的方法。 优点是比较灵活，可对被审

13、计单位内部控制的各个业务循环的各个环节做出比较深入和具体的描述，论述内容可详可略，不受任何限制。缺点是有时很难用简明易懂的文字描述企业错综复杂的控制细节，从而可能使文字描述显得较为冗赘，重点不突出，难以揭示出控制弱点，不利于为有效地进行内部控制评价和控制风险评价提供直接的依据。适用于任何类型、任何规模的企业，特别适用于内部控制不很健全且内部控制程序简单、比较容易描述的中小企业。(二) 调查问卷法 调查问卷法，也称调查表法，是指注册会计师通过预先设计好的有关内部控制的问题式调查表，利用其向被审计单位有关人员调查了解内部控制，从而对内部控制加以描述的一种方法。编制内部控制调查表是调查表法的关键，调

14、查法的设计是否恰当，直接关系到调查与评价工作的质量。 优点：(1) 简便易行，即使没有较高的专业知识和专业技能的人员也能操作；(2) 能对所调查的对象提供一个概括的说明，有利于注册会计师利用对内部控制进行分析和评价；(3)编制调查表省时省力，有利于审计成本的节约；(4)注册会计师能从调查表中“否”栏的信息很容易找出内部控制存在的问题，有利于抓住审计重点，减少注册会计师忽略重要控制的可能性。 缺点：(1)因其调查内容、格式的固定性，缺乏弹性，没有充分考虑不同被审计单位的特殊情况，使“不适用”栏目填的太多，导致该方法本身不适用；(2)调查表一般是按项目考查被审计单位的内部控制情况的，调查内容只限于

15、明确的调查事项，而不易了解其他方面的有关信息，往往不能提供一个完整的、系统的、全面的分析评价。适用：了解内部控制系统中各项具体的控制点和控制措施。 (三) 流程图法 流程图法是指用特定的符号、线条和图形来表示被审计单位内部控制的方法。流程图是一种十分有用的方法，它可以清晰地反映出被审计单位的组织结构、职责分工、权限范围、各种业务处理流程、各种文件或凭证的编制及传递流程、会计档案的种类及存放地点等情况，能直观地表现内部控制实际情况。 优点：(1)形象直观，能从整体的角度，以简明的形式描绘内部控制的实际情况，突出了控制点和关键控制点，便于较快地检查出内部控制逻辑上的薄弱环节，从而有利于对内部控制进

16、行评价。(2)流程图便于修改或更新。缺点：(1)编制流程图需具备较娴熟的技术和较丰富的工作经验，并颇费时间，绘制工作复杂，绘制难度较大，初学者不易掌握和运用； (2)无法直接反映控制流程之外的控制措施(如实物控制等)，也不能明显地标出内部控制中的薄弱环节。 四、初步评价内部控制 注册会计师在对内部控制的了解后，对被审计单位的内部控制状况有了大致的认识，应对控制风险进行初步评估，以决定是否对相关的内部控制进行控制测试。评价控制风险，就是评价被审计单位的内部控制在防止、发现和纠正会计报表的重要错报或漏报中的有效程度的过程。 任务三 控制测试一、控制测试的概念和内容 (一) 控制测试的概念控制测试是

17、指注册会计师在调查了解内部控制的基础上，为了确定内部控制设计和执行的有效性而实施的审计测试。控制测试包括两层含义：一是评价控制的设计，二是确定控制是否得到执行。控制测试主要目的是评价内部控制的可靠性，进一步估计控制风险水平，据以决定实质性测试的时间、性质和范围。 (二) 控制测试的内容 1. 控制设计测试控制设计测试是对被审计单位的内部控制的设计是否合理所进行的测试。其目的在于确定被审计单位现有的内部控制是否能够防止、发现、纠正特定会计报表认定的重大错报或漏报。 2. 控制执行测试控制执行测试是对被审计单位的内部控制是否发挥应有的作用所进行的测试。其目的在于确定已建立的内部控制是否有效地执行，

18、是否实际能够防止、发现、纠正会计报表某项认定的重大错报或漏报。 二、控制测试的种类 (一) 同步控制测试 同步控制测试，是注册会计师在对内部控制了解的同时执行的控制测试。在审计实务中，注册会计师运用某些了解内部控制的程序了解内部控制时，常常能获取有关控制政策和程序是否有效的证据，这样执行了解程序的同时也执行了控制测试，这种控制测试就是同步控制测试。 (二) 追加控制测试追加控制测试，是注册会计师在外勤工作中执行的控制测试。 在主要证实法下，执行追加控制测试是为了进一步降低注册会计师对控制风险的估计水平。(三) 计划控制测试计划控制测试，也是注册会计师在外勤工作中执行的控制测试。在选用较低的控制

19、风险估计水平法下必须执行这种测试。执行的目的是为了支持注册会计师计划的实质性测试水平。通过计划控制测试取得的证据应足以支持评价某些认定的控制风险为中等或低水平。三、控制测试的性质 控制测试的性质问题，就是执行测试时使用什么样的审计程序问题。1. 询问即询问被审计单位执行内部控制职责的有关人员。2. 观察即实地观察被审计单位内部控制的运行情况，以确定内部控制是否有效执行。3. 检查即通过对被审计单位在现有内部控制下产生的凭证或记录进行检查，审核经手人的签字、盖章，以确定内部控制是否有效执行。检查交易和事项的凭证适用于执行后会留下痕迹的内部控制。4. 重新执行注册会计师对被审计单位的内部控制重新执

20、行一次，以获取被审计单位内部控制执行情况的证据。 5、穿行测试 穿行测试是指通过追踪交易在财务报告信息系统中的处理过程，来证实注册会计师对控制的了解、评价控制设计的在效性及确定控制是否得到执行。值得注意的是，穿行测试不是单独的一种程序，而是将多种程序按特定审计需要进行结合运用的方法。 将询问与检查或重新执行结合使用，通常能够比仅实施询问和观察获取更高的保证。四、控制测试的时间 从审计的有效性和职业谨慎性的角度来看，控制测试应尽可能安排在被审计的会计期间的后期进行。 控制测试的时间包含两层含义：一是何时实施控制测试；控制测试的时间安排在期中的后期进行；二是测试所针对的控制适用的时点或期间。如果测

21、试的特定时点的控制，注册会计师仅得到该时点控制运行有效性的审计证据；如果测试的是某一期间的控制，注册会计师可以获取控制在该期间有效运行的审计证据。如果仅需要测试控制在特定时点的运行有效性（如对被审计单位期末存货盘点进行控制测试），注册会计师只需要获取该时点的审计证据。如果需要获取控制在某一期间有效运行的审计证据，仅获取与时点相关的审计证据是不充分的，注册会计师应当辅以其他控制测试，包括测试被审计单位对控制的监督。四、控制测试的范围 控制测试范围的大小，取决于的控制风险估计水平(初步估计水平)。如果估计一个较低的控制风险水平，则无论是从测试的控制程序的数量，还是从每一个控制程序测试的程度来说，都

22、应执行广泛的控制测试。如果控制风险的估计水平(初步估计水平)为中等或高低时，比估计水平为低时所需要的证据更少，测试的范围就更小。 （一）一般考虑因素1、在整个拟信赖的期间，被审计单位执行控制的频率。控制执行的频率越高，控制测试的范围越大。2、在审计期间，注册会计师拟信赖控制运行有效性的时间长度。拟信赖期间越长，控制测试的范围越大。3、为证实控制能够防止或发现并纠正认定层次重大错报，所需获取审计证据的相关性和可靠性。对审计证据的相关性和可靠性要求越高，控制测试的范围越大。4、通过测试与认定相关的其他控制获取的审计证据的范围。针对同一认定，可能存在不同的控制。当针对其他控制获取的审计证据的充分性和

23、适当性较高时，测试该控制的范围可适当缩小。5、在风险评估时拟信赖控制运行有效性的程度。注册会计师在风险评估时对控制运行有效性的拟信赖程度越高，需要实施控制测试的范围越大。6、控制的预期偏差。预期偏差可以用控制未得到执行预期次数占控制应当得到执行次数的比率加以衡量。控制的预期偏差率越高，需要实施控制测试的范围越大。如果控制的预期偏差率过高，注册会计师应当考虑控制可能不足以将认定层次的重大错报风险降至可接受的低水平，从而针对某一认定实施的控制测试可能是无效的。（二）对自动化控制的测试范围特别考虑 除非系统（包括系统使用的表格、文档或其他永久性数据）发生变动，注册会计师通常不需要增加自动化控制测试的

24、范围。 信息技术处理具有内在的一贯性，除非系统发生变动，一项自动化应用控制应当一贯运行。对于一项自动化应用控制，一旦确定被审计单位正在执行该控制，注册会计师通常无需扩大控制测试的范围，但需要考虑执行下列测试以确定该控制持续有效运行：1、测试与该应用控制有关的一般控制的运行有效性。2、确定系统是否发生变动，如果发生变动，是否存在适当的系统变动控制。3、确定对交易的处理是否使用授权批准的软件版本。（三）对内部控制的再次评价进行控制测试后，注册会计师对内部控制再次进行评价，评价的结果一般划分为以下三个类型：1、高信赖程度，即企业具有健全、合理的内部控制，并且均能有效地发挥作用，所以，经济业务和会计记

25、录发生差错的可能性很小。注册会计师可以较多地信赖、利用内部控制，相应减少实质性程序的数量和范围。2、中信赖程度，即企业的内部控制较好，但存在一定的缺陷或薄弱环节，在一定程度上有可能影响会计记录的真实性和可靠性。注册会计师应扩大内部控制的测试范围，增加抽样样本数量，或增加财务报表项目实质性程序的数量和范围。3、低信赖程度，即重要的内部控制明显失效，大部分经济业务和会计记录失控，各项资料和数据经常出现差错，从而导致对内部控制难以信赖和利用。在这种情况下，注册会计师应扩大对经济业务和财务报表项目实施实行性程序的数量和范围，以获取足够的审计证据，编写审计报告。情况严重时，可考虑取消审计约定。六、进一步评价内部控制 在了解内部控制基础上，对内部控制进行的初步评价只能确定内部控制大概可以依赖的程度，在控制测试之后，需要对内部控制的进行进一步评价，即控制风险的进一步评估，从而确定内部控制的确切可依赖程度，据以确定将要执行的实质性测