第八章内部控制测试与控制风险评估

.,第八章内部控制测试与控制风险评估,.,内部控制的产生和发展，促使审计工作从详细审计发展成为以测试内部控制为基础的抽样审计。这种以测试内部控制为基础的审计，既能提高审计效率，又能降低审计风险、保证审计质量，并成为由传统审计转变为现代审计的一个重要标志。审计人员在审计时，必须首先要研究与评价被审计单位的内部控制。,.,第一节内部控制的目标与作用,.,一、内部控制的概念与目标（一）内部控制的概念国际审计准则的定义：内部控制（internalcontrols），是指管理当局为了确保以有序和有效的方式实现其管理目标，包括遵循管理制度、保护资产的安全、防范和发现错误与舞弊、确保会计记录的准确和完整、及时编制可信的财务信息而制定和实施的管理政策和控制程序。,.,我国审计准则将内部控制定义为：内部控制是指被审计单位为了保证业务活动的有效进行，保护资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序。内部控制最初的表现形式主要是内部牵制。现逐渐发展成为由组织结构、职务分离、业务程序、处理手续等构成的内部控制制度（internalcontrolsystem）。,.,（二）内部控制的目标建立健全内部控制是被审计单位管理当局的会计责任。审计人员关心、研究与评价内部控制，只是为了在保证执业质量的前提下提高审计工作效率。最终是为了确定在哪些方面可以信赖被审计单位的内部控制，在哪些方面不应信赖被审计单位的内部控制，而应当实施详细的实质性测试程序，以便将审计风险降低至可接受的水平。,.,被审计单位管理当局建立健全内部控制，主要是为了实现下列四大管理目标：（1）保证业务活动的有效进行（2）保护资产的安全与完整（3）防止、发现、纠正错误与舞弊（4）保证会计资料的真实、合法、完整。,.,与会计系统有关的内部控制，其设计和运行一般应当能够实现以下目标：1保证业务活动按照适当的授权进行。2保证所有交易和事项以正确的金额，在恰当的会计期间及时记录于适当的账户，使会计报表的编制符合会计准则的相关要求。3保证对资产和记录的接触、处理均经过适当的授权。4保证账面资产与实存资产定期核对相符。,.,二、内部控制的作用及局限性（一）内部控制的作用内部控制的作用，是指内部控制的固有功能在实际工作中对企业生产经营活动及外部社会经济活动所产生的影响和效果。,.,主要表现为以下几个方面：1保护财产物资的安全完整和有效使2保证会计资料的真实可靠及财务活动的合法有效3保证国家的各项政策和财经法规的贯彻执行4保证企业经营决策和规章制度的正确落实5保证企业经营目标的实现,.,（二）内部控制的局限性内部控制所提供的只是一种合理保证，这是因为内部控制本身存在固有限制而使其具有一定的局限性。1内部控制的设计和运行受制于成本与效益原则。2内部控制一般仅针对常规业务活动而设计。,.,3即使是设计完善的内部控制，也可能因执行人员的粗心大意、精力分散、判断失误以及对指令的误解而失效。4内部控制可能因有关人员相互勾结、内外串通而失效。5内部控制可能因执行人员滥用职权或屈从于外部压力而失效。6内部控制可能因经营环境、业务性质的改变而削弱或失效。,.,由于内部控制只能为会计报表的公允性提供合理的保证，并存在上述固有限制，因此，会计报表审计总存在一定的控制风险，即审计风险模型中的控制风险始终应大于零。审计人员必须做到，不管被审计单位内部控制设计和运行得多么有效，都应对会计报表的重要账户或交易类别进行实质性测试。,.,三、内部控制与审计的关系审计人员在执行会计报表审计业务时，不论被审计单位规模大小，都应当对相关的内部控制进行充分的了解。了解与评价内部控制，有利于审计人员编制合理的审计计划，设计恰当的审计程序，以提高审计工作效率。审计人员应根据其对被审计单位内部控制的了解，确定是否进行符合性测试。,.,对被审计单位内部控制的了解和符合性测试，并非会计报表审计工作的全部内容。内部控制良好的单位，审计人员可能评估其控制风险较低而减少实质性测试程序，但绝不能完全取消实质性测试。,.,第二节内部控制的分类与内部控制要素,.,一、内部控制的分类（一）内部控制按要素分类三大要素：控制环境会计系统控制程序（二）内部控制按工作内容分类,.,管理控制是指为保证经营决策正确、有效地贯彻执行以及经营目标的实现，促进经济活动的经济性、效率性和效果性而制定和实施的有关行政和业务管理方面的政策与程序。会计控制是指为保护财产物资的安全完整、保证会计信息的正确真实以及财务活动的合法有效而制定和实施的有关会计业务及相关业务的政策与程序。,.,（三）内部控制按控制目标分类1财产物资控制2会计资料控制3经营决策控制4经济效益控制（四）内部控制按控制方式分类1预防性控制2察觉性控制,.,二、内部控制要素（一）控制环境控制环境是对企业控制的建立和实施有重大影响的多种因素的统称。控制环境的好坏直接影响到被审计单位特定控制程序的有效性。通常，与控制环境有关的主要因素包括：,.,1经营管理的观念、方式和风格企业管理当局在建立一个有利的控制环境中起着关键性的作用。极大影响控制环境的方面：（1）管理当局对待经营风险态度和控制经营风险的方法（2）为实现预算、利润和其他财务及经营目标，企业对管理的重视程度（3）管理当局对会计报表所持的态度和所采取的行动。,.,2组织结构和权力、职责的划分方法组织结构是指企业计划、协调和控制经营活动的整体框架。设置合理的组织结构，有助于建立良好的内部控制环境。组织结构的要素一般包括：组织单位的存在形式和性质；各个组成部分的管理、经营职能；隶属关系和报告程序；组织内部职责和权利的划分方式。,.,3控制系统控制系统指管理当局制定和实施的各种管理控制方法、内部审计职能、人事聘用政策与实务等。管理控制方法是管理当局对其他人的授权使用情况直接控制和对整个企业的活动实行监督的方法的总称，包括经营计划、预算、预测、利润计划、责任会计等。,.,（二）会计系统（制度）会计系统（制度）是指被审计单位用于确认、计量、记录和报告其交易和事项的财务信息系统。有效的会计系统应能达到以下目标：1确认并记录一切真实的交易和事项；2及时对各项交易和事项进行适当的分类，作为编制会计报表的依据；,.,3将各项交易和事项按适当的货币价值计价，以便列入会计报表；4确定交易和事项发生的日期，以便记录在适当的会计期间；5在会计报表中适当地表达交易和事项以及披露相关内容。“审计轨迹”（audittrail）或“交易轨迹”：是指通过编码、交叉索引和连接账户余额与原始交易数据的书面资料所提供的一连串的迹象。,.,（三）控制程序控制程序是指被审计单位管理当局为了实现其特定的管理目标而制定的除控制环境以外的各项政策和程序。控制程序可以分为以下五类：1交易授权保证每笔交易或每项业务活动都经过适当授权。授权有一般授权和特别授权之分。,.,2职责划分是指对某交易涉及的各项职责进行合理划分，使每一个人的工作能自动地相互检查另一个人或更多人的工作。主要目的：避免任何职员担任不相容职务，预防和及时发现在执行所分配的职责时所产生的错误或舞弊行为。包括：经营责任与会计责任相分离；资产保管与会计相分离；授权与执行、保管、审查、记录相分离。,.,3凭证与记录被审计单位必须设计和使用适当的凭证和记录，以确保各种交易和事项得以全面、完整、准确地记录。原始凭证要预先编号,.,4资产接触与记录使用主要是指被审计单位对接触、使用资产和记录，应当有适当的防护措施，未经授权，不相关人员或部门不得接触和使用资产与记录，以保证资产和记录的安全。5独立稽核是指验证由另一个人或部门执行的工作和验证所记录金额估价的正确性。,.,第三节内部控制的了解与记录,.,对内部控制所做的研究和评价一般分为三个步骤：第一，了解被审计单位的内部控制情况，并作出相应的记录；第二，实施符合性测试程序，证实有关内部控制的设计和执行的效果；第三，评价内部控制的强弱，即评价控制风险，确定在内部控制薄弱的领域扩展审计程序，来降低审计风险。,.,一、业务循环及其分类也称切块审计法，是指将密切相关的交易种类或帐户余额划为同一块，作为一个业务循环（transactioncycle），来组织安排审计工作的方法。制造业一般分为四个业务循环：1销售与收款循环2购货与付款循环3生产循环4筹资与投资循环,.,二、了解内部控制独立审计具体准则规定，在编制审计计划时，审计人员应当了解被审计单位内部控制的设计和运行情况。审计人员此时无需确定被审计单位内部控制的有效性，且无需寻找内部控制在运行中的缺陷。,.,（一）了解内部控制的程序1询问被审计单位有关人员，并查阅相关内部控制文件2检查内部控制生成的文件和记录3观察被审计单位的业务活动和内部控制的运行情况4选择若干具有代表性的交易和事项进行穿行测试,.,穿行测试（walk-throughtest），也称全程测试、了解性测试，是指在每一类业务循环中选择一笔或若干笔交易或事项进行测试目的：以验证内部控制的实际运行是否与审计工作底稿上所描述的内部控制相一致。如果选出的交易具有代表性，那么该程序可作为符合性测试的一部分。,.,（二）了解内部控制要素（三）内部审计的利用审计人员应当考虑下列因素：1内部审计人员的独立性2内部审计人员的经验和能力3内部审计程序的性质、时间和范围4内部审计人员所获取的审计证据的充分性和适当性5管理当局对内部审计工作的重视程度,.,（四）控制风险的初步评估审计人员在了解内部控制之后，应对控制风险作出初步评估。初步评估实际上就是评价企业会计与内部控制在防止、发现或纠正重要错报或漏报中的有效性的过程。审计人员应当遵循稳健性原则，宁可高估控制风险，不可低估控制风险。,.,当出现下列情况之一时，审计人员应当将重要账户或交易类别的某些或全部认定的控制风险评估为高水平：1被审计单位内部控制失效2审计人员难以对内部控制的有效性作出评估3审计人员不拟进行符合性测试,.,只有同时出现下列情况时，不应将控制风险评估为高水平：1、相关内部控制可能防止、发现或纠正重大错报或漏报。2、审计人员拟进行符合性测试。,.,三、内部控制的记录审计人员对调查了解到的内部控制情况和所做的控制风险的初步评估，必须用适当的方法及时记录，形成工作底稿，作为编制和修改审计计划及审计程序的依据。内部控制调查记录的方法通常有四种，即文字叙述、调查问卷、流程图和核对表。,.,（一）文字叙述指审计人员对被审计单位业务的授权、批准、执行、记录、保管等程序及其实际执行情况，用叙述性文字记录下来，形成内部控制说明书。通常用于记录控制环境、一般控制和实物控制等方面的情况。适用于内部控制程序比较简单、比较容易描述的中小企业。,.,（二）调查问卷也称调查表，对业务处理的关键控制点及其控制措施，由事务所预先设计成一系列标准化的调查表，交由被审计单位有关人员填写或由审计人员根据调查的结果自行填写，以此来了解被审计单位内部控制是否行之有效。大多采用问答式，按调查对象分别设计关键控制点是指未加控制就容易产生错误或舞弊的业务环节。,.,（三）流程图（flowchart）指用特定的符号和图形，将被审计单位内部控制中各经营环节的业务处理程序，以及各种文件或凭证的传递流程，以图解的形式直观地描述出来的图表。能清晰地反映各项业务的职责分工、授权、批准和复核验证等内部控制措施与功能，是审计人员评价内部控制的有用工具。,.,第四节内部控制测试,.,一、符合性测试的对象审计人员在经过初步调查与记录，大致了解了内部控制及相应的控制风险后，只对那些准备信赖的内部控制执行符合性测试。符合性测试是在了解内部控制的基础上来确定其设计和执行的有效性。符合性测试有两个基本对象，控制设计和控制执行。,.,（一）控制设计测试是指为了确定被审计单位内部控制政策和程序设计是否合理、适当和完善，能不能防止、发现或纠正特定会计报表认定的重大错报或漏报而进行的测试。,.,测试内容：被审计单位各项内部控制是否符合内部控制的基本原则，被审计单位在哪些环节、采取何种措施进行控制，关键控制点是否重点进行了控制，所有内部控制目标是否均已达到评价内控在设计上是否存在缺陷和不足，也称为健全性评价。,.,（二）控制执行测试是指为了确定被审计单位的内部控制政策和程序，在实际工作中是否得到贯彻执行并发挥应有的作用而进行的测试。对内部控制的评价称为有效性评价。测试有效性，着重查清三个问题：（1）这项控制是如何应用的？（2）是否在年度中一贯应用？（3）由谁来应用？,.,一般把控制执行的失效或不当，习惯称为“误差”（error）、“偏差”（deviation）或“例外”（exception），而不称为“错报”在实务中，审计人员只对那些有助于防止或发现和纠正会计报表认定产生重大错报或漏报的控制执行测试。,.,二、符合性测试的种类审计人员可在审计计划期间和期中工作期间执行符合性测试。符合性测试可分为三种：在主要证实法下可能执行“同步符合性测试”及“追加符合性测试”在较低的控制风险估计水平法下，必须执行“计划符合性测试”,.,（一）同步符合性测试是在审计人员取得对内部控制的了解时，同时执行的测试。这种符合性测试不是必需的，而是审计人员有选择地执行的。通过同步符合性测试取得的证据，只能使审计人员评价控制风险的估计水平处在略低于最高水平到中等水平的范围之内。,.,（二）追加符合性测试是在外勤工作中执行的测试。在主要证实法下，执行追加符合性测试是为了进一步降低审计人员对控制风险的估计水平。审计人员必须考虑是否符合成本效益原则。如果不划算，又不能进一步降低控制风险的估计水平，审计人员就没必要执行这种测试。,.,（三）计划符合性测试在外勤工作中执行在选用较低的控制风险估计水平法下必须执行这种测试目的是为了支持审计人员计划的实质性测试水平。通过计划符合性测试取得的证据应足以支持评价某些认定的控制风险为中等或低水平。,.,三、符合性测试的性质符合性测试的性质，即执行测试将使用什么样的审计程序。可供审计人员选用的符合性测试程序通常包括下列三种：1检查交易和事项的凭证。2询问并实地观察未留下审计轨迹的内部控制的运行情况。3重新实施相关内部控制程序。,.,四、符合性测试的范围理论上讲，符合性测试的范围越大，所能提供的有关控制政策或程序执行有效性的证据就越充分。审计实务中，审计人员执行符合性测试的范围并不是越大越好，而是要求审计人员从最经济有效地实现审计目标的总体需要出发，合理地确定测试的范围。,.,符合性测试的范围直接受审计人员计划控制风险估计水平的影响。计划控制风险估计水平低时，比计划控制风险估计水平为中等时需要更多的符合性测试证据。,.,当出现下列情况之一时，审计人员可不进行符合性测试，而直接实施实质性测试程序：1相关内部控制不存在。2相关内部控制虽然存在，但审计人员通过了解发现其并未有效运行。3符合性测试的工作量可能大于进行符合性测试所减少的实质性测试的工作量。,.,五、符合性测试的时间通常，追加符合性测试或计划符合性测试是在期中工作中执行，并且很可能在审计年度结束前的几个月里进行，从审计有效性的角度来看，符合性测试应尽可能安排在期中的后期执行。,.,六、符合性测试中利用内部审计人员的工作内部审计的工作职责之一、就是对每个部门或每个分公司的内部控制进行监控外部审计人员可以利用内部审计人员的工作，通过与内部审计人员的协调，有选择地对某些部门或分公司执行符合性测试，而不必对所有部门或分公司执行符合性测试。,.,外部审计人员应做好以下工作：（1）定期同内部审计人员会谈；（2）复核他们的工作计划表；（3）取得内部审计人员的审计工作底稿；（4）复核内部审计报告。外部审计人员在利用内部审计人员的工作时，应对内部审计工作的质量和有效性进行评价和测试，以确定其是否有助于审计目标的实现。,.,七、双重目的测试通常在会计报表审计中，追加符合性测试主要在期中工作期间执行，而实质性测试则主要在期末工作时执行。但也允许在在期中工作时，执行有关交易的某些详细实质性测试，以检查出报表中的重要错报或漏报。这种情况下，审计人员可同时针对相同的交易执行符合性测试和实质性测试，称为双重目的测试。,.,第五节控制风险的评估,.,一、控制风险评估的概念评估控制风险，就是评价内部控制在防止或发现和更正会计报表里的重要错报或漏报的有效程度的过程。对控制风险的评估是为认定而进行的，而不是为了个别内部控制要素或个别政策和程序而进行的。通常，将评估控制风险所得到的结果称为“控制风险估计水平”。,.,审计人员评估控制风险时，应合理运用专业判断来谨慎分析审计证据。控制风险的评估，实际上是审计人员对每一内部控制要素里的相关控制政策和程序的有效性，同某项认定里存在重要错报或漏报的风险之间的相互作用情况，进行判断的过程。,.,二、控制风险评估的过程（一）控制风险估计水平的确定审计人员评估的控制风险可能是高水平，也可能是低水平。若将控制风险评估为高水平，则意味着内部控制不能及时防止或者发现和纠正某项认定中的重要错报或漏报的可能性很大。,.,完成符合性测试后，审计人员只有在确认以下事项的情况下，才能将控制风险评估为高水平：1控制政策和程序与认定不相关。2控制政策和程序无效。3取得证据来评价控制政策和程序显得不经济。,.,审计人员只有在确认以下事项的情况下，才能评估控制风险低于高水平：1控制政策和程序与认定相关。2通过符合性测试已获得证据证明控制有效。通常将内部控制未能及时防止或发现和纠正某项认定中的重要错报或漏报的可能性大于40%、在10%和40%之间、低于10%，代表控制风险评估的高、中、低水平。,.,（二）控制风险评估的步骤1确认可能发生的潜在错报或漏报很多会计师事务所在长期审计实践的基础上，都编制了一套表格，以列举会计报表认定中可能发生的潜在错报或漏报的种类。,.,2确认可以防止或者发现和更正这些错报或漏报的控制同样，会计师事务所为每一张列举了潜在错报或漏报的表格，配上一张相应的必要控制表。在审计中，审计人员可将表中这些必要的控制与在取得对被审计单位内部控制政策和程序了解后所确认的现有控制相核对。,.,3执行符合性测试获取控制是否适当设计和有效执行的证据审计人员可使用前述三种符合性测试程序来检查控制的有效性。4评价所获得的证据（1）应用符合性测试所获得的不同证据对控制政策和程序的设计与执行的有效性所提供的保证是不相同的。,.,（2）通过符合性测试可取得有关某一特定控制的多种证据，但审计人员通过重新实施、观察或检查直接取得的证据，比间接取得的或通过询问有关人员推论取得的证据能提供更大的保证。（3）审计人员在对控制政策或程序的有效性下结论时，通常使用“可容忍误差”作为评价标准。如果实际误差少于或等于这一标准，可评价控制的执行是有效的；反之，则评价控制的执行是无效的。,.,5评估控制风险审计人员在评估控制风险时，应注意：（1）必须以通过了解内部控制和执行符合性测试所获得的证据