08第八章 内部控制及其测试与评价

第八章 内部控制及其测试与评价8.1.1内部控制定义与内部控制目标现代审计的重要特征是：cpa在进行审计时，首先要在研究与评价被审计单位的内部控制制度基础上进行抽样审计。 （一）内部控制的定义内部控制，是指被审计单位为了保证业务活动的有效进行，保护资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序。-会计资料的环境1.保证业务活动按照适当的授权进行。2.保证据有交易和事项以正确的金额在恰当的会计期间及时记录于适当的账户，使会计报表的编制符合会计准则的相关要求。3.保证对资产和记录的接触、处理均经过适当的授权。4.保证账面资产与实存资产定期核对相符（二）内部控制的目标（三）有关内部控制的一般考虑管理当局应在综合考虑控制的成本效益的基础上，建立能为会计报表的公允表达提供合理保证的内部控制管理当局在建立内部控制时还须注意，控制程序不应对工作效率或获利能力有不利影响。 （1）管理当局的责任。内部控制的设计和运行受制于成本与效益原则； 合算内部控制仅针对常规业务活动而设计； 非偶然因执行人员因素而失效； 人员素质因有关人员相互勾结、内外串通而失效； 两个或两个以上不忠实的员工因执行人员滥用职权或屈从于外部压力而失效； 执行者因经营环境、业务性质的改变而削弱或失效。 时过境迁 （2）合理的保证（3）固有的限制。会计报表审计总存在一定的控制风险，即审计风险模型中的控制风险始终应大于零（四）内部控制与审计的关系 CPA在进行审计时，首先要研究与评价被审计单位的内部控制制度。 CPA在执行审计任务时，不论被审单位规模大小，都应当对相关的内部控制制度进行充分的了解。 CPA应根据其对被审计单位内部控制制度的了解，确定是否进行控制测试以及将要执行的控制测试的性质、时间和范围。 对被审计单位内部控制制度的了解和测试，并非审计工作的全部内容。 内控好，评估控制风险低，实测少；但决不能完全取消实测。 8.1.2内部控制要素包括控制环境、会计系统和控制程序三要素： 经营管理的观念、方式和风格 管理控制方法组织结构 内部审计董事会 人事政策和实务授权和分配责任的方法 外部影响 （一）控制环境确认并记录所有真实的交易-完整性和存在性及时且充分详细地描述交易，以便在会计报表上对交易作适当的分类-分类.表达与披露计量交易的价值，以便在会计报表上记录其适当的货币价值-估价或分摊确定交易发生的期间，以便将交易记录在适当的会计期间-估价或分摊；发生在会计报表上适当地表达交易和披露相关事项-表达与披露内部控制有效会计系统的要求（二）会计系统会计系统的核心 -处理交易。交易轨迹与审计轨迹（三）控制程序（重点了解）（三）控制程序（重点了解）。控制程序是由为了合理保证公司目标的实现而建立的政策和程序组成的。控制程序包括： 概念内容及目的实务认定交易授权 保证交易是管理人员在其授权范围内授权才产生的一般授权和特别授权存在或发生估价或分摊职责划分 （核心）某交易涉及的各项职责进行合理划分，使每一个人的工作能自动地检查另一个人或更多人的工作。预防和及时发现在执行所分配的职责时所产生的错误或舞弊行为交易职责执行、记录、维护、保管资产应指派给不同的个人或部门交易各步骤应指派给不同的个人或部门某些会计工作的职责应划分CIS职责划分存在或发生估价或分摊完整性凭证与记录控制 凭证：经过签名或盖章可作为交易执行和记录职责的依据记录：同相应的每日分录独立比较，以确定所有交易是否均已记录（1）适当保持的记录，如永续存货记录、应收账款记录 （2）原始凭证，如销售发票或支票等，提供了交易记录的金额（3）使用预先编号的凭证并按其编号进行会计处理存在或发生估价或分摊完整性资产接触与记录使用 指限制接近资产和接近重要记录保证资产和记录的安全实物防护措施存在或发生估价或分摊完整性独立稽核验证由另一个人或部门执行的工作和验证所记录金额估价的正确性人工计算稽核资产记录的比较管理当局对报告的复核。 存在或发生估价或分摊完整性8.2.1研究和评价内部控制的步骤与业务循环及其分类研究和评价内部控制的三个步骤： 第一，了解企业的内部控制情况，并作出相应的记录；第二，实施控制测试程序，证实有关内部控制的设计和执行的效果；第三，评价内部控制的强弱，即评价控制风险，确定在内部控制薄弱的领域扩展审计程序，降低审计风险。 被审计单位经营规模及业务复杂程度； 被审计单位数据处理系统类型及复杂程度 审计重要性 相关内部控制类型 相关内部控制的记录方式 固有风险的评估结果。8.2.2了解内部控制（一）了解内部控制的注意事项 1CPA所执行的“穿行测试”的性质、时间和范围，决定了其并不能为评价控制风险处于低水平提供充分、适当的审计证据。 2CPA了解内控所执行的程序的性质、时间和范围，主要取决于（二）了解内部控制的程序用什么方法了解内控 方 法（程序）目 的（1）合理利用以往的审计经验； 了解以前审计时所发现的错、漏报种类及其原因 连续审计中，上次审计后发生变化的部分向有关人员询问（2）询问被审计单位有关人员，并查阅相关内部控制文件询问管理当局和其他人员得知错、漏报是否在当年得到改正解查阅相关内部控制文件对内部控制获得足够的了解，以便充分计划审计工作（3）检查内部控制生成的文件和记录； 充分计划审计工作了解内控程序的设计和实际运用与否（4）观察被审计单位的业务活动和内部控制的运行情况控制是否已经得到执行（5）选择若干具有代表性的交易和事项进行“穿行测试”。 确认和观察有关的控制政策和程序（1）被审计单位交易和事项的主要类别。 （2）各类主要交易和事项的发生过程（3）重要的会计凭证、帐簿记录以及会计报表帐目（4）重大交易和事项的会计处理过程（三）了解控制环境 了解程度：CPA应当充分了解控制环境，以评价被审计单位管理当局对内部控制及其重要性的态度、认识和措施。 （四）了解会计系统 了解程度：CPA通过对其充分了解，应能识别和理解以下事项：（五）了解控制程序了解控制程序的总要求：CPA通过对其的充分了解，应能够合理制定出审计计划。在了解时，CPA应着重考虑： 交易授权 职责划分 凭证与记录控制 资产接触与记录使用 独立稽核 内部审计人员的独立性； 内部审计人员的经验和能力； 内部审计程序的性质、时间和范围； 内部审计人员所获取的审计证据的充分性和适当性； 管理当局对内部审计工作的重视程度 内部审计工作结果的利用，应考虑下列因素：（六）控制风险的初步评价。 初步评价再评标准不同时间不同了解了内部控制之后对控制风险作初步评价完成控制测试之后立即评价评价企业会计与内部控制在防止、发现和纠正重要错、漏报中的有效性的过程评价内部控制在防止或者发现和更正会计报表里的重要错报或漏报的有效程度的过程。目的不同合理制定审计计划CPA根据控制风险再评价水平，可以确定将要执行的实质性测试程序的性质、时间和范围依据的程序认定层次针对每个重要的账户余额或交易种类，在认定层上进行的。会计报表认定结论1.出现以下情况之一时，注册会计师应将重要账户或交易类别的某些或全部认定的控制风险评估为高水平：企业内部控制失效； 难以对内部控制的有效性作出评价； 注册会计师不拟进行控制测试。 2.对某项会计报表认定而言，如果同时出现以下情况，注册会计师则不应评价其控制风险处于高水平：相关的内部控制可能防止或发现和纠正重大错报或漏报； 注册会计师拟进行控制测试。1.注册会计师只有在确认以下事项的情况下，才能将控制风险评价为高水平：（1）控制政策和程序与认定不相关；（2）控制政策和程序无效；（3）取得证据来评价控制政策和程序显得不经济。2.注册会计师只有在确认以下事项的情况下，才能将控制风险评价为低水平：（1）控制政策和程序与认定相关； （2）通过控制测试已获得证据证明控制有效。对评价的记录（1）当控制风险评价为最高水平时，只需记录这一评价结论（2）当控制风险评价低于最高水平时，还必须记录评价的依据相同条件8.2.3记录对内部控制的了解和对控制风险的初步评价（一）在工作底稿中记录对内部控制的评价的基本要求：（1）当控制风险评价为最高水平时，只需记录这一评价结论； （2）当控制风险评价低于最高水平时，还必须记录评价的依据。 （二）内部控制调查的记录方法：调查表、文字表述、流程图8.3.18.3.8内部控制测试（控制测试）一、运用初步审计策略的步骤（一）主要证实法的运用步骤（多做少做的问题） -先弄清内部控制是否可以以来，再确定审计策略（二）较低的控制风险估计水平法运用的步骤（一定要做）-条件：准备信赖内部控制、收入大于成本1相关内部控制不存在； 2相关内部控制虽然存在，并未有效运行； 3控制测试的工作量可能大于进行控制测试所减少的实质性测试的工作量（三）不做内部控制测试：不存在、不执行、不合算二、控制测试的概念-为了确定内部控制制度的设计和执行是否有效而实施的审计程序注意：进行控制测试必要和经济的前提条件：准备信赖内控并且合算控制是怎样应用的？是否在年度中一贯应用？由谁来应用？2控制测试的基本对象 （1）控制设计测试-设计是否合理 （2）控制执行测试-运行是否有效 （3）测试某项控制执行的有效性，应着重查清的问题 （4）注意事项：注意多选题 可能对主要交易种类的有关控制进行控制测试； 可能对某账户的有关控制进行控制测试； 但并不是对所有的控制都要加以测试； 只应对那些有助于防止或发现和纠正会计报表认定产生重大错报或漏报的控制执行测试。三、控制测试的种类：CPA可在审计计划期间和期中工作实施期间执行控制测试。在主要证实法下可能执行“同步控制测试”及“追加控制测试”，在较低的控制风险估计水平法下，必须执行“计划控制测试”。 时间必要性结果目的同步控制测试在CPA取得对内部控制的了解时，同时执行的测试。不是必需的，有选择地执行的。通过测试取得的证据，只能使CPA评价控制风险的略低于最高水平到中等水平的范围之内。追加控制测试在外勤工作中执行如不划算或不能降低控制风险的估计水平，没有必要执行进一步降低CPA对控制风险的估计水平。CPA执行之前，必须考符合成本效益原则，还必须考虑有没有可能获得额外的证据，来支持降低控制风险计划控制测试也在外勤执行在选用较低的控制风险估计水平法下必须执行通过计划控制测试取得的证据应足以支持某些认定的控制风险为中或低为了支持CPA计划的实质性测试水平。双重目的测试这种测试在外勤工作中期中执行在较低的控制风险水平法下执行 合算，应谨慎地评价所取得的证据。小心谨慎设计测试程序，以确保能取得有关控制的有效性和报表中的重要错报或漏报这两个方面的证据同步的、追加的：主要证实法下，了解内部控制的同时顺便做内部控制测试计划的：准备依赖内部控制而进一步降低控制风险四、控制测试的性质（方法）：1、检查交易和事项的凭证2、询问并实地观察未留下审计轨迹的内部控制的运行情况证据所涉及的认定的重要性； 以前年度审计中所评价的特定内控； 所评价的政策和程序被适当设计和有效执行的程度 用来作这些评价的控制测试的结果； 执行控制测试的时间间隔的长短； 政策和程序有无重大变化。 3、重新执行相关内部控制程序五、控制测试的范围充分性 恰当性理论上：范围越大、证据越充分实际中：范围不是越大越好，经济原则 注意以前年度原则：受控制风险估计水平的影响 审计证据对本年度的影响（1）期中审计控制测试的结论； （2）期中审计后剩余期间的长短； （3）期中审计后内部控制的变动情况； （4）期中审计后发生的交易和事项的性质及金额； （5）拟实施的审计实质性测试程序。 六、控制测试的时间（166页）后半期的中间（10.11月份）若期中审计已进行控制测试，应当考虑以下因素 七、控制测试中利用内部审计人员的工作（1）定期同内部审计人员会谈（2）复核他们的工作计划表（3）取得内部审计人员的审计工作底稿（4）复核内部审计报告。1CPA应做好以下工作（1）内部审计工作范围是否适当； （2）审计方案是否适当； （3）工作底稿是否充分记录了所执行的工作，包括监督和复核的证据 （4）相关内部审计工作对有关情况的结论是否适当； （5）审计报告与所执行的工作是否一致。（一） 协调 2CPA应测试内部审计人员的工作以弄清的问题1考虑内审胜任能力和客观性； 2明确告诉内审人员其所负责任和执行程序的目标 3要求应将其发现重大会计审计问题，提请注师注意（二）直接支持注意做好以下工作 八、双重目的测试（控制性测试和实质性测试同时做，普遍采用）8.4内部控制评价的概念、过程、记录及其影响 （1）控制政策和程序与认定相关； （2）通过控制测试已获得证据证明控制有效。二、控制风险评价的过程结合初评、再评、终评学习1将控制风险评价为高水平，意味着内部控制不能及时防止或者发现和纠正某项认定中的错报或漏报的可能性很大。如果很多认定或者所有的认定的控制风险，都被评价为高水平，那么CPA就要研究是否对被审计单位会计报表进行审计。 2CPA只有在确认以下事项的情况下，才能将控制风险评价为高水平：（1）控制政策和程序与认定不相关；（2）控制政策和程序无效；（3）取得证据来评价控制政策和程序显得不经济3CPA只有在确认以下事项的情况下，才能将控制风险评价为低水平： 必须以了解和符测的证据为依据；充分运用专业判断； 必须注意内控的三要素对某项特定会计报表认定的相互影响5控制风险的评价步骤 CPA在对某项认定的控制风险进行评价时，必须遵循以下5步骤： （1）确认该项认定可能发生哪些潜在的错报或漏报； （2）确认哪些控制可以防止或者发现和更正这些错报或漏报； （3）执行控制测试，获取这些控制是否设计适当和有效执行的证据（在控制风险评价为高水平时，此步省去） （4）评价所获得的证据； （5）评价该项认定的控制风险。 6评价时间：在取得对内控的了解和执行了计划的或追加的控制测试之后立即评价。 7评价注意事项： CR评价实质性测试对审计测试的影响审计证据太低不足无效果；后怕过少太高过多无效率；不经济；后悔过多8CR对控制风险的评价对审计工作的影响： 四、评价结果对实质性测试的影响控制风险、固有风险与检查风险构成整个审计风险的三要素，其相互关系可用下列等式表示：审计风险=固有风险控制风险检查风险上式表明，CPA在合理运用专业判断考虑有关事项、评估出固有风险，以及了解与测试内部控制、评价出控制风险后，只有通过控制检查风险，才能降低审计风险至可接受水平。而要控制检查风险至可接受水平，只有增强实质性测试的有效性。 1评价内部控制为高信赖程度。 信赖程度与控制风险成反比。 即控制风险较低，就可以执行越有限的实质性测试。 2评价内部控制为低信赖程度。 即控制风险较高，只有依靠执行更多的实质性测试，才能控制检查风险处于低水平，进而控制审计风险处于低水平，才能保证审计的质量。 3小规模企业的内部控制通常比较薄弱，固有风险和控制风险较高，CPA应主要或全部依赖实质性测试程序获取审计证据，以将检查风险降低至可接受的水平。 8.5管理建议书一、 含义：指CPA针对审计过程中注意到的、可能导致被审计