内部控制审计(PPT 78页)

1、内部控制 讲授者讲授者: 杨杨 敏敏(副教授副教授) 联系方式：联系方式： 手机：手机温馨提示：请大家上课时将手机关温馨提示：请大家上课时将手机关 机或改为静音状态。机或改为静音状态。 第一节第一节 审计范围与审计目标审计范围与审计目标 内部控制审计内部控制审计 第二节第二节 计划审计工作计划审计工作 第三节第三节 实施审计工作实施审计工作 第四节第四节 评价控制缺陷评价控制缺陷 第五节第五节 完成审计工作完成审计工作 第六节第六节 出具审计报告出具审计报告 学习目的与要求学习目的与要求 通过本章的学习，了解内部控制审计的定义，了解财务报通过本章的学习，了解内部控制审

2、计的定义，了解财务报 告内部控制，了解内部控制审计范围的界定，理解内部控制审告内部控制，了解内部控制审计范围的界定，理解内部控制审 计的目标，理解内部控制审计中注册会计师的责任，理解内部计的目标，理解内部控制审计中注册会计师的责任，理解内部 控制审计与财务报告审计的关系，了解项目人员的安排，了解控制审计与财务报告审计的关系，了解项目人员的安排，了解 对重要事项及其影响的评估，理解风险评估过程，掌握整合审对重要事项及其影响的评估，理解风险评估过程，掌握整合审 计的定义及其要求，掌握审计工作底稿的编制，掌握按照自上计的定义及其要求，掌握审计工作底稿的编制，掌握按照自上 而下的方法实施审计工作，掌握

3、内部控制缺陷的认定和处理，而下的方法实施审计工作，掌握内部控制缺陷的认定和处理， 了解内部控制审计报告的种类，掌握审计报告的基本内容，掌了解内部控制审计报告的种类，掌握审计报告的基本内容，掌 握不同意见审计报告的编制，重点掌握审计报告的基本类型，握不同意见审计报告的编制，重点掌握审计报告的基本类型， 理解期后事项对内部控制审计报告的影响。理解期后事项对内部控制审计报告的影响。 内部控制审计内部控制审计 内控审计报告集中亮相内控审计报告集中亮相 三类公司被出具非标意见三类公司被出具非标意见 引引 例例 1 1 内部控制审计的定义内部控制审计的定义 2 2 内部控制审计的业务范围界定内部控制审计的

4、业务范围界定 第一节第一节 审计范围与审计目标审计范围与审计目标 6 6 内部控制审计与财务报告审计的关系内部控制审计与财务报告审计的关系 5 5 内部控制审计中注册会计师的责任内部控制审计中注册会计师的责任 4 4 内部控制审计的目标内部控制审计的目标 3 3 内部控制审计的时间范围界定内部控制审计的时间范围界定 是指会计师事务所接受委托，对特定基准日内部控是指会计师事务所接受委托，对特定基准日内部控 制设计与运行的有效性进行审计。制设计与运行的有效性进行审计。 内部控制审计内部控制审计 我国的内部控制审计我国的内部控制审计 是注册会计师针对被审计单位的内部控制实施合理是注册会计师针对被审计

5、单位的内部控制实施合理 保证（高水平保证）的鉴证业务。保证（高水平保证）的鉴证业务。 内部控制审计的定义内部控制审计的定义1 1 内部控制审计的定义内部控制审计的定义1 1 鉴证业务分为基于责任方认定的业务和直接报告业鉴证业务分为基于责任方认定的业务和直接报告业 务。务。在直接报告业务中，注册会计师直接对鉴证对在直接报告业务中，注册会计师直接对鉴证对 象进行评价或计量，或者从责任方获取对鉴证对象象进行评价或计量，或者从责任方获取对鉴证对象 评价或计量的认定，而该认定无法为预期使用者获评价或计量的认定，而该认定无法为预期使用者获 取，预期使用者只能通过阅读鉴证报告获取鉴证对取，预期使用者只能通过

6、阅读鉴证报告获取鉴证对 象的信息。我国的内部控制审计基本上属于直接报象的信息。我国的内部控制审计基本上属于直接报 告业务告业务。 非财务报告内部控制非财务报告内部控制 财务报告内部控制财务报告内部控制 2 2 内部控制审计的业务范围界定内部控制审计的业务范围界定 投资者的需求投资者的需求 对非财务报告内部控制审计的做法对非财务报告内部控制审计的做法 2 2 内部控制审计的业务范围界定内部控制审计的业务范围界定 内部控制审计的范围的确定需要考虑以下因素：内部控制审计的范围的确定需要考虑以下因素： 0303 0101 注册会计师的胜任能力注册会计师的胜任能力 0101 成本效益的约束成本效益的约束

7、0202 0404 2 2内部控制审计的业务范围界定内部控制审计的业务范围界定 我国我国企业内部控制审计指引企业内部控制审计指引中规定注中规定注 册会计师应当对财务报告内部控制的有效性发册会计师应当对财务报告内部控制的有效性发 表审计意见，并对内部控制审计过程中注意到表审计意见，并对内部控制审计过程中注意到 的非财务报告内部控制的重大缺陷，在内部控的非财务报告内部控制的重大缺陷，在内部控 制审计报告中增加制审计报告中增加“非财务报告内部控制重大非财务报告内部控制重大 缺陷描述段缺陷描述段”予以披露。予以披露。 内部控制审计的范围的确定需要考虑以下因素：内部控制审计的范围的确定需要考虑以下因素：

8、 对特定基准日内部对特定基准日内部 控制的有效性进行控制的有效性进行 审计审计, ,针对特定时针对特定时 点相关内部控制的点相关内部控制的 有效性发表意见。有效性发表意见。 对特定时期内部对特定时期内部 控制的有效性进控制的有效性进 行审计行审计, ,针对特针对特 定时期相关内部定时期相关内部 控制的有效性发控制的有效性发 表意见。表意见。 对特定时期内部对特定时期内部 控制设计与运行控制设计与运行 的有效性进行审的有效性进行审 计，针对特定基计，针对特定基 准日的相关内部准日的相关内部 控制的有效性发控制的有效性发 表意见。表意见。 3 3内部控制审计的时间范围界定内部控制审计的时间范围界定

9、 内部控制审计时间的确定的方式：内部控制审计时间的确定的方式： 3 3内部控制审计的时间范围界定内部控制审计的时间范围界定 我国内部控制审计的时间范围：我国内部控制审计的时间范围： 我国我国企业内部控制审计指引企业内部控制审计指引从三种方式的互动中从三种方式的互动中 寻求平衡，从程序上要求注册会计师应在特定期间对内部寻求平衡，从程序上要求注册会计师应在特定期间对内部 控制进行了解和有限测试，从结果上要求注册会计师针对控制进行了解和有限测试，从结果上要求注册会计师针对 特定时点的内部控制的有效性发表意见特定时点的内部控制的有效性发表意见。 4 4内部控制审计的目标内部控制审计的目标 200720

10、07年年6 6月月1212日，日，PCAOBPCAOB发布的发布的AS5AS5第第3 3段规定，财务报告段规定，财务报告 内部控制审计的目标是对公司财务报告内部控制的有效性内部控制审计的目标是对公司财务报告内部控制的有效性 发表意见。发表意见。 COSOCOSO认为，如果董事会和管理层能够合理保证下述事项，认为，如果董事会和管理层能够合理保证下述事项， 那么就可以认为内部控制是有效的：他们了解公司的经营那么就可以认为内部控制是有效的：他们了解公司的经营 目标在何种程度上得到了实现；公布的财务报表是可信赖目标在何种程度上得到了实现；公布的财务报表是可信赖 的；适用的法律和规章得到了遵循。的；适用

11、的法律和规章得到了遵循。 我国我国审计指引审计指引中规定注册会计师应当对财务报告内中规定注册会计师应当对财务报告内 部控制的有效性发表审计意见。部控制的有效性发表审计意见。 4 4内部控制审计的目标内部控制审计的目标 设计有效性设计有效性： 是指公司是否适当地设计了能够是指公司是否适当地设计了能够 防止或发现财务报表中存在重大防止或发现财务报表中存在重大 错报的有关控制政策和程序。错报的有关控制政策和程序。设设 计有效性的根本判断标准是所设计有效性的根本判断标准是所设 计的内部控制是否能为内部控制计的内部控制是否能为内部控制 目标的实现提供合理保证。目标的实现提供合理保证。 执行有效性：执行有

12、效性： 是指有关的控制政策和程序是否能是指有关的控制政策和程序是否能 够如其设计的一样发挥机能够如其设计的一样发挥机能, ,它涉它涉 及公司是如何运用这些控制政策和及公司是如何运用这些控制政策和 程序和谁来执行这些政策和程序等。程序和谁来执行这些政策和程序等。 4内部控制审计的目标内部控制审计的目标 具体而言，在评价内部控制的执行有效性时，应当着重考虑具体而言，在评价内部控制的执行有效性时，应当着重考虑 以下几个方面：以下几个方面： 1 1 2 2 3 3 4 4 内部控制在所评价期间内的不同时点是如何运行的；内部控制在所评价期间内的不同时点是如何运行的； 内部控制是否得到了一贯执行；内部控制

13、是否得到了一贯执行； 内部控制由谁执行；内部控制由谁执行； 内部控制以何种方式执行（例如，手工控制还是自动内部控制以何种方式执行（例如，手工控制还是自动 控制）。控制）。 5内部控制审计中注册会计师的责任内部控制审计中注册会计师的责任 被审计单位的内部控制责任被审计单位的内部控制责任 我国我国审计指引审计指引指出，建立健全和有效实施内部控制，指出，建立健全和有效实施内部控制， 评价内部控制的有效性是企业董事会的责任。换言之，内部控评价内部控制的有效性是企业董事会的责任。换言之，内部控 制本身有效与否是被审计单位的责任制本身有效与否是被审计单位的责任。 会计师事务所的内部控制审计责任会计师事务所

14、的内部控制审计责任 按照按照审计指引审计指引的要求，在实施审计工作的基础上对内的要求，在实施审计工作的基础上对内 部控制的有效性发表审计意见，是册会计师的责任。部控制的有效性发表审计意见，是册会计师的责任。 但是，注册会计师应当对发表的审计意见独立承担责任，但是，注册会计师应当对发表的审计意见独立承担责任， 其责任不因为利用企业内部审计人员、内部控制评价人员和其其责任不因为利用企业内部审计人员、内部控制评价人员和其 他相关人员的工作而减轻。他相关人员的工作而减轻。 6内部控制审计与财务报告审计的关系内部控制审计与财务报告审计的关系 财务报告内部控制审计财务报告内部控制审计 与财务报表审计通常使

15、与财务报表审计通常使 用相同的重要性（或重用相同的重要性（或重 要性水平），而且，审要性水平），而且，审 计准则所要求的风险导计准则所要求的风险导 向审计与内部控制规范向审计与内部控制规范 体系所要求的风险评估，体系所要求的风险评估， 在理念和方法上是趋于在理念和方法上是趋于 一致的，因此，整合审一致的，因此，整合审 计具有较强经济性与可计具有较强经济性与可 行性。行性。 实务中，注册会计师可实务中，注册会计师可 以利用在一种审计中获以利用在一种审计中获 得的结果为另一种审计得的结果为另一种审计 中的判断和拟实施的程中的判断和拟实施的程 序提供信息。例如，注序提供信息。例如，注 册会计师在审计

16、财务报册会计师在审计财务报 表时需获得的信息，在表时需获得的信息，在 很大程度上依赖注册会很大程度上依赖注册会 计师对内控有效性得出计师对内控有效性得出 的结论。的结论。 （一）内部控制审计与财务报告审计的联系（一）内部控制审计与财务报告审计的联系 6 6内部控制审计与财务报告审计的关系内部控制审计与财务报告审计的关系 （一）内部控制审计与财务报告审计的联系（一）内部控制审计与财务报告审计的联系 财务报表审计财务报表审计 内部控制审计内部控制审计 调整实质性程序的性质、调整实质性程序的性质、 时间和范围时间和范围 考虑实质性程序中发现的问考虑实质性程序中发现的问 题，确定内部控制的审计重题，确

17、定内部控制的审计重 点点 6内部控制审计与财务报告审计的关系内部控制审计与财务报告审计的关系 （二）内部控制审计与财务报告审计的区别（二）内部控制审计与财务报告审计的区别 比较项目比较项目内部控制审计内部控制审计财务报表审计财务报表审计 审计目审计目 标标 对财务报告内部控制的有效对财务报告内部控制的有效 性发表审计意见，并对内部控性发表审计意见，并对内部控 制审计过程中注意到的非财务制审计过程中注意到的非财务 报告内部控制的重大缺陷，在报告内部控制的重大缺陷，在 内部控制审计报告中增加内部控制审计报告中增加“非非 财务报告内部控制重大缺陷描财务报告内部控制重大缺陷描 述段述段”予以披露。予以

18、披露。 对财务报表是否符合企业会计准则，对财务报表是否符合企业会计准则， 是否公允的反映被审计单位的财务状况是否公允的反映被审计单位的财务状况 和经营成果发表意见。和经营成果发表意见。 了解和了解和 测试内部测试内部 控制的目控制的目 的的 了解和测试内部控制的直接了解和测试内部控制的直接 目的是对内部控制设计和运行目的是对内部控制设计和运行 的有效性发表意见。的有效性发表意见。 财务报表审计按风险导向审计模式进财务报表审计按风险导向审计模式进 行，了解内部控制是为了评估重大错报行，了解内部控制是为了评估重大错报 风险，测试内部控制是为了进一步证明风险，测试内部控制是为了进一步证明 了解内部控

19、制时得出的初步结论，了解了解内部控制时得出的初步结论，了解 和测试内部控制的最终目的是服务于对和测试内部控制的最终目的是服务于对 财务报表发表审计意见的目的。财务报表发表审计意见的目的。 比较比较项目项目内部内部控制审计控制审计财务财务报表审计报表审计 测试范围测试范围 对所有重要账户、各类交对所有重要账户、各类交 易和列报的相关认定，都要易和列报的相关认定，都要 了解和测试相关的内部控制。了解和测试相关的内部控制。 在财务报表审计过程中，只有在以在财务报表审计过程中，只有在以 下两种情况下才强制要求对内部控制下两种情况下才强制要求对内部控制 进行测试：在评估认定层次重大错报进行测试：在评估认

20、定层次重大错报 风险时，预期控制的运行时有效的风险时，预期控制的运行时有效的 （即在确定实质性程序的性质、时间（即在确定实质性程序的性质、时间 安排和范围时，注册会计师拟信赖控安排和范围时，注册会计师拟信赖控 制运行的有效性）；或者仅实施实质制运行的有效性）；或者仅实施实质 性程序并不能够提供认定层次充分、性程序并不能够提供认定层次充分、 适当的审计证据；适当的审计证据； 在其他情况下，注册会计师可以不在其他情况下，注册会计师可以不 测试内部控制。测试内部控制。 测试时间测试时间 对特定基准日内部控制的对特定基准日内部控制的 有效性发表意见，不需要测有效性发表意见，不需要测 试整个会计期间，但

21、要测试试整个会计期间，但要测试 足够长的期间。足够长的期间。 一旦确定需要测试，则需要测试内一旦确定需要测试，则需要测试内 部控制在整个所审计期间的运行有效部控制在整个所审计期间的运行有效 性。性。 6内部控制审计与财务报告审计的关系内部控制审计与财务报告审计的关系 比较比较项目项目内部内部控制审计控制审计财务财务报表审计报表审计 测 试 样测 试 样 本量本量 对结论可靠性的要求高，对结论可靠性的要求高， 测试的样本量大。测试的样本量大。 对结论可靠性要求取决于计划对结论可靠性要求取决于计划 从控制测试中得到的保证程度从控制测试中得到的保证程度 （或减少实质性程序工作量的程（或减少实质性程序

22、工作量的程 度），样本量相对要小。度），样本量相对要小。 报 告 结报 告 结 果果 （1 1）对外披露。）对外披露。 （2 2）以正面、积极的）以正面、积极的 方式对内部控制是否有效方式对内部控制是否有效 发表审计意见。发表审计意见。 （1 1）通常不对外披露内部控制）通常不对外披露内部控制 的情况，除非是内部控制影响到的情况，除非是内部控制影响到 对财务报表发表的审计意见；对财务报表发表的审计意见； （2 2）以管理建议书的方式向管）以管理建议书的方式向管 理层或治理层报告财务报表审计理层或治理层报告财务报表审计 过程中发现的内部控制重大缺陷，过程中发现的内部控制重大缺陷， 但注册会计师没

23、有义务专门实施但注册会计师没有义务专门实施 审计程序，以发现和报告内部控审计程序，以发现和报告内部控 制重大缺陷。制重大缺陷。 6内部控制审计与财务报告审计的关系内部控制审计与财务报告审计的关系 内部控制审计内部控制审计 上市公司扎堆聘请内控审计机构上市公司扎堆聘请内控审计机构 案案 例例 10-10- -1 1 1 1 审计业务约定书审计业务约定书 2 2 人员安排人员安排 第二节第二节 计划审计工作计划审计工作 6 6 具体审计计划具体审计计划 5 5 总体审计策略总体审计策略 4 4 贯彻风险评估原则贯彻风险评估原则 3 3 评估重要事项及其影响评估重要事项及其影响 7 7 对舞弊风险的

24、考虑对舞弊风险的考虑 8 8 利用其他相关人员的工作利用其他相关人员的工作 9 9 编制审计工作底稿编制审计工作底稿 1 1审计业务约定书审计业务约定书 只有当内部控制审计的前提条件得到满足，并且会只有当内部控制审计的前提条件得到满足，并且会 计师事务所符合独立性要求，具备专业胜任能力时，会计师事务所符合独立性要求，具备专业胜任能力时，会 计师事务所才能接受或保持内部控制审计业务。计师事务所才能接受或保持内部控制审计业务。 （一）内部控制审计的前提条件（一）内部控制审计的前提条件 在确定内部控制审计的前提条件是否得到满足时，注册在确定内部控制审计的前提条件是否得到满足时，注册 会计师应当：会计

25、师应当： 1. 1. 确定被审计单位采用的内部控制标准是否适当；确定被审计单位采用的内部控制标准是否适当； 2. 2. 就被审计单位认可并理解其责任与治理层和管理层就被审计单位认可并理解其责任与治理层和管理层 达成一致意见。达成一致意见。 1 1审计业务约定书审计业务约定书 被审计单位的责任包括：被审计单位的责任包括： 1. 1. 按照适用的内部控制标准，建立健全和有效实施内按照适用的内部控制标准，建立健全和有效实施内 部控制，以使财务报表不存在由于舞弊或错误导致的重部控制，以使财务报表不存在由于舞弊或错误导致的重 大错报；大错报； 2. 2. 对内部控制的有效性进行评价并编制内部控制评价对内

26、部控制的有效性进行评价并编制内部控制评价 报告；报告； 3. 3. 向注册会计师提供必要的工作条件，包括允许注册向注册会计师提供必要的工作条件，包括允许注册 会计师接触与内部控制审计相关的所有信息（如记录、会计师接触与内部控制审计相关的所有信息（如记录、 文件和其他事项），允许注册会计师在获取审计证据时文件和其他事项），允许注册会计师在获取审计证据时 不受限制地接触其认为必要的内部人员和其他相关人员不受限制地接触其认为必要的内部人员和其他相关人员 等。等。 1 1审计业务约定书审计业务约定书 （二）签订单独的内部控制审计业务约定书（二）签订单独的内部控制审计业务约定书 1 1 2 2 3 3

27、4 4 5 5 6 6 业务约定书应当至少包括下列内容：业务约定书应当至少包括下列内容： l内部控制审计的目标和范围；内部控制审计的目标和范围； l注册会计师的责任；注册会计师的责任； l被审计单位的责任；被审计单位的责任； l指出被审计单位采用的内部控制标准；指出被审计单位采用的内部控制标准； l提及注册会计师拟出具的内部控制审计报告的形提及注册会计师拟出具的内部控制审计报告的形 式和内容，以及对在特定情况下出具的内部控制式和内容，以及对在特定情况下出具的内部控制 审计报告可能不同于预期形式和内容的说明；审计报告可能不同于预期形式和内容的说明； l审计收费审计收费 2 2人员安排人员安排 u

28、注册会计师应当恰当地计划内部控制审计工作注册会计师应当恰当地计划内部控制审计工作, ,配备配备 具有专业胜任能力的项目组具有专业胜任能力的项目组, ,并对助理人员进行适当的并对助理人员进行适当的 督导。督导。 u在整合审计中项目组人员的配备比较关键。在整合审计中项目组人员的配备比较关键。 审计项目小组成员应当符合以下要求：审计项目小组成员应当符合以下要求： 1. 1. 具有性质和复杂程度类似的内部控制审计经验；具有性质和复杂程度类似的内部控制审计经验； 2. 2. 熟悉企业内部控制相关规范和指引要求；熟悉企业内部控制相关规范和指引要求； 3. 3. 掌握掌握审计指引审计指引和中国注册会计师执业

29、准则的相和中国注册会计师执业准则的相 关要求；关要求； 4. 4. 拥有与被审单位所处行业相关的指示；拥有与被审单位所处行业相关的指示； 5. 5. 具有职业判断能力。具有职业判断能力。 在计划审计工作时，注册会计师需要评价下列事项对财在计划审计工作时，注册会计师需要评价下列事项对财 务报表和内部控制是否有重要影响，以及有重要影响的务报表和内部控制是否有重要影响，以及有重要影响的 事项将如何影响审计工作：事项将如何影响审计工作： 1. 1.与企业相关的风险，包括在评价是否接受与保持客与企业相关的风险，包括在评价是否接受与保持客 户和业务时，注册会计师了解的与企业相关的风险情况户和业务时，注册会

30、计师了解的与企业相关的风险情况 以及在执行其他业务时了解的情况；以及在执行其他业务时了解的情况； 2. 2.相关法律法规和行业概况；相关法律法规和行业概况； 3. 3.企业组织结构、经营特点和资本结构等相关重要事企业组织结构、经营特点和资本结构等相关重要事 项；项； 4. 4.事业内部控制最近发生变化的程度；事业内部控制最近发生变化的程度； 3 3评估重要事项及其影响评估重要事项及其影响 5. 5.与企业沟通过的内部控制缺陷；与企业沟通过的内部控制缺陷； 6. 6.重要性、风险等与确定内部控制重大缺陷的相关因重要性、风险等与确定内部控制重大缺陷的相关因 素；素； 7. 7.对内部控制有效性的初

31、步判断；对内部控制有效性的初步判断； 8. 8.可获取的、与内部控制有效性相关的证据的类型和可获取的、与内部控制有效性相关的证据的类型和 范围。范围。 此外，注册会计师还需要关注与财务报表发生重此外，注册会计师还需要关注与财务报表发生重 大错报的可能性和内部控制有效性相关的公开信息，以大错报的可能性和内部控制有效性相关的公开信息，以 及企业经营活动的相对复杂程度及企业经营活动的相对复杂程度 3 3评估重要事项及其影响评估重要事项及其影响 4 4贯彻风险评估原则贯彻风险评估原则 n风险评估的理念及思路应当贯穿于整风险评估的理念及思路应当贯穿于整 个审计过程的始终。个审计过程的始终。 n实施风险评

32、估时，可以考虑固有风险实施风险评估时，可以考虑固有风险 及控制风险。在计划审计工作阶段，对及控制风险。在计划审计工作阶段，对 内部控制的固有风险进行评估，作为编内部控制的固有风险进行评估，作为编 制审计计划的依据之一；根据对控制风制审计计划的依据之一；根据对控制风 险评估的结果，调整计划阶段对固有风险评估的结果，调整计划阶段对固有风 险的判断，这是个持续的过程。险的判断，这是个持续的过程。 5 5总体审计策略总体审计策略 确定内部控制审计业务特征，以界定审计范围。确定内部控制审计业务特征，以界定审计范围。 1 明确内部控制审计业务的报告目标，以计划审明确内部控制审计业务的报告目标，以计划审 计

33、的时间安排和所需沟通的性质。计的时间安排和所需沟通的性质。 根据职业判断，考虑用以指导项目组工作方向根据职业判断，考虑用以指导项目组工作方向 的重要因素。的重要因素。 考虑初步业务活动的结果，并考虑对被审计考虑初步业务活动的结果，并考虑对被审计 单位执行其他业务时获得的经验是否与内部控单位执行其他业务时获得的经验是否与内部控 制审计业务相关。制审计业务相关。 确定执行内部控制审计业务所需资源的性质、确定执行内部控制审计业务所需资源的性质、 时间安排和范围时间安排和范围。 2 5 4 3 6 6具体审计计划具体审计计划 注册会计师应当在具体审计计划中体现下列内容：注册会计师应当在具体审计计划中体

34、现下列内容： 1 了解和识别内部控制的程序的性质、时间安了解和识别内部控制的程序的性质、时间安 排和范围；排和范围； 2 测试控制设计有效性的程序的性质、时间安排和测试控制设计有效性的程序的性质、时间安排和 范围；范围； 3测试控制运行有效性的程序的性质、时间安排测试控制运行有效性的程序的性质、时间安排 和范围。和范围。 7 7对舞弊风险的考虑对舞弊风险的考虑 被审计单位为应对这些风险可能设计的控制包括：被审计单位为应对这些风险可能设计的控制包括： 1 1 针对重大的非常规交易的控制，尤其是针对导致会针对重大的非常规交易的控制，尤其是针对导致会 计处理延迟或异常的交易的控制；计处理延迟或异常的

35、交易的控制； 2 2针对期末财务报告流程中编制的分录和作出的调整针对期末财务报告流程中编制的分录和作出的调整 的控制；的控制； 3 3针对关联方交易的控制；针对关联方交易的控制； 4 4与管理层的重大估计相关的控制；与管理层的重大估计相关的控制； 5 5能够减弱管理层和治理层伪造或不恰当操纵财务结能够减弱管理层和治理层伪造或不恰当操纵财务结 果的动机和压力的控制果的动机和压力的控制。 7 7对舞弊风险的考虑对舞弊风险的考虑 被审计单位为应对这些风险可能设计的控制包括：被审计单位为应对这些风险可能设计的控制包括： 针对重大的非常规交易的控制，尤其是针对导致针对重大的非常规交易的控制，尤其是针对导

36、致 会计处理延迟或异常的交易的控制；会计处理延迟或异常的交易的控制； 针对期末财务报告流程中编制的分录和作出的调整针对期末财务报告流程中编制的分录和作出的调整 的控制；的控制； 针对关联方交易的控制；针对关联方交易的控制； 与管理层的重大估计相关的控制；与管理层的重大估计相关的控制； 能够减弱管理层和治理层伪造或不恰当操纵财务结果的动机能够减弱管理层和治理层伪造或不恰当操纵财务结果的动机 和压力的控制和压力的控制。 8 8利用其他相关人员的工作利用其他相关人员的工作 在计划审计工作时，注册会计师需要评估是否利在计划审计工作时，注册会计师需要评估是否利 用他人（包括企业的内部审计人员、内部控制评

37、价人用他人（包括企业的内部审计人员、内部控制评价人 员、其他人员以及在董事会及其审计委员会指导下的员、其他人员以及在董事会及其审计委员会指导下的 第三方）的工作以及利用的程度，以减少可能本应由第三方）的工作以及利用的程度，以减少可能本应由 注册会计师执行的工作。注册会计师执行的工作。 利用其他相关人员的工作分为：利用其他相关人员的工作分为： 1 1、利用内部审计人员的工作、利用内部审计人员的工作 2 2、利用他人的工作、利用他人的工作 l审计工作底稿中应记录的内容：审计工作底稿中应记录的内容： 内部控制审计计划及重大修改情况；内部控制审计计划及重大修改情况； 相关风险评估和选择拟测试的内部控制

38、的主要过程相关风险评估和选择拟测试的内部控制的主要过程 及结果；及结果； 测试内部控制设计与运行有效性的程序及结果；测试内部控制设计与运行有效性的程序及结果； 对识别的控制缺陷的评价；对识别的控制缺陷的评价； 形成的审计结论和意见；形成的审计结论和意见； 其他重要事项。其他重要事项。 内部控制审计工作底稿，是注册会计师对制定的审计内部控制审计工作底稿，是注册会计师对制定的审计 计划、实施的审计程序、获取的相关审计证据，以及计划、实施的审计程序、获取的相关审计证据，以及 得出的审计结论作出的记录。得出的审计结论作出的记录。 9 9编制审计工作底稿编制审计工作底稿 内部控制审计内部控制审计 以风险

39、为导向计划内控审计以风险为导向计划内控审计 案案 例例 10-10- -2 2 1 1 自上而下的审计方法自上而下的审计方法 第三节第三节 实施审计工作实施审计工作 2 2 测试控制的有效性测试控制的有效性 在财务报告内部控制审计中在财务报告内部控制审计中, ,自上而下的方法始自上而下的方法始 于财务报表层次于财务报表层次, ,以注册会计师对财务报告内部控制以注册会计师对财务报告内部控制 整体风险的了解开始整体风险的了解开始; ;然后然后, ,注册会计师将关注重点注册会计师将关注重点 放在企业层面的控制上放在企业层面的控制上, ,并将工作逐渐下移至重大账并将工作逐渐下移至重大账 户、列报及相关

40、的规定。户、列报及相关的规定。 （一）从财务报表层次初步了解内部控制整体风险（一）从财务报表层次初步了解内部控制整体风险 1 1自上而下的审计方法自上而下的审计方法 1 1自上而下的审计方法自上而下的审计方法 （一）从财务报表层次初步了解内部控制整体风险（一）从财务报表层次初步了解内部控制整体风险 在财务报告内控审计中在财务报告内控审计中 自上而下的方法始于财务报表自上而下的方法始于财务报表 层次层次, ,以注册会计师对财务报以注册会计师对财务报 告内部控制整体风险的了解开告内部控制整体风险的了解开 始始; ;然后然后, ,注册会计师将关注重注册会计师将关注重 点放在企业层面的控制上点放在企业

41、层面的控制上, ,并并 将工作逐渐下移至重大账户、将工作逐渐下移至重大账户、 列报及相关的规定。列报及相关的规定。 在非财务报告内控审计中在非财务报告内控审计中 自上而下的方法始于企业层面自上而下的方法始于企业层面 控制控制, ,并将审计测试工作逐步并将审计测试工作逐步 下移到业务层面控制。下移到业务层面控制。 某些企业层面控制与控制环境相关的控制，对及时某些企业层面控制与控制环境相关的控制，对及时 防止或发现并纠正相关认定的错报的可能性有重要影防止或发现并纠正相关认定的错报的可能性有重要影 响。响。 某些企业层面控制旨在识别其他控制可能出现的实某些企业层面控制旨在识别其他控制可能出现的实 效

42、情况，能够监督其他控制的有效性，但还不足以精效情况，能够监督其他控制的有效性，但还不足以精 确到及时防止或发现并纠正相关认定的错报。确到及时防止或发现并纠正相关认定的错报。 某些企业层面控制本身能够精确到足以及时防止或某些企业层面控制本身能够精确到足以及时防止或 发现并纠正相关认定的错报。发现并纠正相关认定的错报。 （二）识别、了解和测试企业层面控制二）识别、了解和测试企业层面控制 1 1自上而下的审计方法自上而下的审计方法 1 1 企业层面控制对其他控制及其测试的影响企业层面控制对其他控制及其测试的影响 （1 1）与内部环境相关的控制）与内部环境相关的控制 （2 2）针对管理层（董事会、经理

43、层）凌驾于控制之）针对管理层（董事会、经理层）凌驾于控制之 上的风险而设计的控制上的风险而设计的控制 （3 3）风险评估过程）风险评估过程 （4 4）内部信息传递和财务报告流程的控制）内部信息传递和财务报告流程的控制 （5 5）对控制有效性的内部监督和自我评价）对控制有效性的内部监督和自我评价 1 1自上而下的审计方法自上而下的审计方法 2 2 企业层面控制的内容企业层面控制的内容 1 1自上而下的审计方法自上而下的审计方法 期末财务报告流程包括：期末财务报告流程包括： （1 1）将交易总额登入总分类账的程序；）将交易总额登入总分类账的程序； （2 2）与会计政策的选择和运用相关的程序；）与会

44、计政策的选择和运用相关的程序； （3 3）总分类账中会计分录的编制、批准等处理程序；）总分类账中会计分录的编制、批准等处理程序； （4 4）对财务报表进行调整的程序；）对财务报表进行调整的程序； （5 5）编制财务报表的程序。）编制财务报表的程序。 3 3 对期末财务报告流程的评价对期末财务报告流程的评价 1 1自上而下的审计方法自上而下的审计方法 注册会计师应当从下列方面评价期末财务报告流注册会计师应当从下列方面评价期末财务报告流 程：程： （1 1）被审计单位财务报表的编制流程，包括输入、）被审计单位财务报表的编制流程，包括输入、 处理及输出；处理及输出； （2 2）期末财务报告流程中运用

45、信息技术的程度；）期末财务报告流程中运用信息技术的程度； （3 3）管理层中参与期末财务报告流程的人员；）管理层中参与期末财务报告流程的人员； （4 4）纳入财务报表编制范围的组成部分；）纳入财务报表编制范围的组成部分； （5 5）调整分录及合并分录的类型；）调整分录及合并分录的类型； （6 6）管理层和治理层对期末财务报告流程进行监督）管理层和治理层对期末财务报告流程进行监督 的性质及范围的性质及范围 （三）识别重要账户、列报及其相关认定（三）识别重要账户、列报及其相关认定 1 1自上而下的审计方法自上而下的审计方法 为识别重要账户、列报及其相关认定，注册会计师应当为识别重要账户、列报及其相

46、关认定，注册会计师应当 从下列方面评价财务报表项目及附注的错报风险因素：从下列方面评价财务报表项目及附注的错报风险因素： 1.1.账户的规模和构成；账户的规模和构成； 2.2.易于发生错报的程度；易于发生错报的程度； 3.3.账户或列报中反映的交易的业务量、复杂性及同质性；账户或列报中反映的交易的业务量、复杂性及同质性； 4.4.账户或列报的性质；账户或列报的性质； 5.5.与账户或列报相关的会计处理及报告的复杂程度；与账户或列报相关的会计处理及报告的复杂程度； 6.6.账户发生损失的风险；账户发生损失的风险； 7.7.账户或列报中反映的活动引起重大或有负债的可能性；账户或列报中反映的活动引起

47、重大或有负债的可能性； 8.8.账户记录中是否涉及关联方交易；账户记录中是否涉及关联方交易； 9.9.账户或列报的特征与前期相比发生的变化。账户或列报的特征与前期相比发生的变化。 1 1自上而下的审计方法自上而下的审计方法 （四）了解潜在错报的来源并识别相应的控制（四）了解潜在错报的来源并识别相应的控制 注册会计师应当实现下列目标，以进一步了解潜在错注册会计师应当实现下列目标，以进一步了解潜在错 报的来源，并为选择拟测试的控制奠定基础：报的来源，并为选择拟测试的控制奠定基础： 了解与相关认定有关的交易的处理流程，了解与相关认定有关的交易的处理流程， 包括这些交易如何生成、批准、处理及记录；包括

48、这些交易如何生成、批准、处理及记录； 1 1 验证注册会计师识别出的业务流程中可能发生验证注册会计师识别出的业务流程中可能发生 重大错报（包括由于舞弊导致的错报）的环节；重大错报（包括由于舞弊导致的错报）的环节； 2 2 识别被审计单位用于应对这些错报或潜在识别被审计单位用于应对这些错报或潜在 错报的控制；错报的控制； 3 3 识别被审计单位用于及时防止或发现并纠正识别被审计单位用于及时防止或发现并纠正 未经授权的、导致重大错报的资产取得、使用未经授权的、导致重大错报的资产取得、使用 或处置的控制。或处置的控制。 4 4 对特定的相关认定而言，可能有多项控制用以应对评估对特定的相关认定而言，可

49、能有多项控制用以应对评估 的错报风险；反之，一项控制也可能应对评估的多项相关认的错报风险；反之，一项控制也可能应对评估的多项相关认 定的错报风险。注册会计师没有必要测试与某项相关认定有定的错报风险。注册会计师没有必要测试与某项相关认定有 关的所有控制。关的所有控制。 在确定是否测试某项控制时，注册会计师应当考虑该项在确定是否测试某项控制时，注册会计师应当考虑该项 控制单独或连同其他控制，是否足以应对评估的某项相关认控制单独或连同其他控制，是否足以应对评估的某项相关认 定的错报风险，而不论该项控制的分类和名称如何。定的错报风险，而不论该项控制的分类和名称如何。 （五）选择拟测试的控制（五）选择拟

50、测试的控制 1 1自上而下的审计方法自上而下的审计方法 注册会计师应当测试控制设计的有效性。如果注册会计师应当测试控制设计的有效性。如果 某项控制由拥有有效执行控制所需的授权和专业胜某项控制由拥有有效执行控制所需的授权和专业胜 任能力的人员按规定的程序和要求执行，能够实现任能力的人员按规定的程序和要求执行，能够实现 控制目标，从而有效地防止或发现并纠正可能导致控制目标，从而有效地防止或发现并纠正可能导致 财务报表发生重大错报的错误或舞弊，则表明该项财务报表发生重大错报的错误或舞弊，则表明该项 控制的设计是有效的。控制的设计是有效的。 （一）测试控制设计的有效性（一）测试控制设计的有效性 2 2

51、测试控制的有效性测试控制的有效性 注册会计师获取的有关控制运行有效性的审计证据包括：注册会计师获取的有关控制运行有效性的审计证据包括： （二）测试控制运行的有效性（二）测试控制运行的有效性 2 2测试控制的有效性测试控制的有效性 1 1 控制在所审计期间的相关时点是如何运行的；控制在所审计期间的相关时点是如何运行的； 2 2 控制是否得到一贯执行；控制是否得到一贯执行； 3 3 控制由谁或以何种方式执行。控制由谁或以何种方式执行。 l注册会计师测试控制有效性实施的程序，按提供证注册会计师测试控制有效性实施的程序，按提供证 据的效力，由弱到强排序为：询问、观察、检查和据的效力，由弱到强排序为：询

52、问、观察、检查和 重新执行。询问本身并不能为得出控制是否有效的重新执行。询问本身并不能为得出控制是否有效的 结论提供充分、适当的证据。结论提供充分、适当的证据。 l执行穿行测试通常足以评价控制设计的有效性。执行穿行测试通常足以评价控制设计的有效性。 （三）测试控制有效性的程序（三）测试控制有效性的程序 2 2测试控制的有效性测试控制的有效性 l对控制有效性的测试涵盖的期间越长，提供的控制对控制有效性的测试涵盖的期间越长，提供的控制 有效性的审计证据越多。有效性的审计证据越多。 l 单就内部控制审计业务而言，注册会计师应当获单就内部控制审计业务而言，注册会计师应当获 取内部控制在基准日之前一段足

53、够长的期间内有效取内部控制在基准日之前一段足够长的期间内有效 运行的审计证据。在整合审计中，控制测试所涵盖运行的审计证据。在整合审计中，控制测试所涵盖 的期间应当尽量与财务报表审计中拟信赖内部控制的期间应当尽量与财务报表审计中拟信赖内部控制 的期间保持一致。的期间保持一致。 （四）控制测试的涵盖期间（四）控制测试的涵盖期间 2 2测试控制的有效性测试控制的有效性 在将期中测试结果更新至基准日时，注册会计师应当在将期中测试结果更新至基准日时，注册会计师应当 考虑下列因素以确定需要获取的补充审计证据：考虑下列因素以确定需要获取的补充审计证据： 2 2测试控制的有效性测试控制的有效性 0101 基准

54、日之前测试的特定控制，包括与控制相基准日之前测试的特定控制，包括与控制相 关的风险、控制的性质和测试的结果；关的风险、控制的性质和测试的结果； 0202期中获取的有关审计证据的充分性和适当性；期中获取的有关审计证据的充分性和适当性； 0303 0404 剩余期间的长短；剩余期间的长短； 期中测试之后，内部控制发生重大变期中测试之后，内部控制发生重大变 化的可能性。化的可能性。 对控制有效性测试的实施时间越接近基准日，对控制有效性测试的实施时间越接近基准日， 提供的控制有效性的审计证据越有力。为了获取充提供的控制有效性的审计证据越有力。为了获取充 分、适当的审计证据，注册会计师应当在下列两个分、

55、适当的审计证据，注册会计师应当在下列两个 因素之间作出平衡，以确定测试的时间：因素之间作出平衡，以确定测试的时间： 尽量在接近基准日实施测试；尽量在接近基准日实施测试； 实施的测试需要涵盖足够长的期间。实施的测试需要涵盖足够长的期间。 （五）控制测试的时间安排（五）控制测试的时间安排 2 2测试控制的有效性测试控制的有效性 1 2 （六）评估控制风险并获取相关证据（六）评估控制风险并获取相关证据 2 2测试控制的有效性测试控制的有效性 在测试所选定控制的有效性时，注册会计师需要在测试所选定控制的有效性时，注册会计师需要 根据与控制相关的风险，确定所需获取的证据。与控制根据与控制相关的风险，确定

56、所需获取的证据。与控制 相关的风险包括控制可能无效的风险和因控制无效而导相关的风险包括控制可能无效的风险和因控制无效而导 致重大缺陷的风险。与控制相关的风险越高，注册会计致重大缺陷的风险。与控制相关的风险越高，注册会计 师需要获取的证据就越多。师需要获取的证据就越多。 2 2测试控制的有效性测试控制的有效性 与某项控制相关的风险受下列因素的影响与某项控制相关的风险受下列因素的影响: : 1.1.该项控制拟防止或发现并纠正的错报的性质和重要程度该项控制拟防止或发现并纠正的错报的性质和重要程度; ; 2.2.相关账户、列报及其认定的固有风险相关账户、列报及其认定的固有风险; ; 3.3.相关账户或

57、列报是否曾经出现错报相关账户或列报是否曾经出现错报; ; 4.4.交易的数量和性质是否发生变化交易的数量和性质是否发生变化, ,进而可能对该项控制进而可能对该项控制 设计或运行的有效性产生不利影响设计或运行的有效性产生不利影响; ; 5.5.企业层面控制企业层面控制( (特别是对控制有效性的内部监督和自我特别是对控制有效性的内部监督和自我 评价的有效性评价的有效性);); 6.6.该项控制的性质及其执行频率该项控制的性质及其执行频率; ; 7.7.该项控制对其他控制该项控制对其他控制( (如内部环境或信息技术一般如内部环境或信息技术一般 控制控制) )有效性的依赖程度有效性的依赖程度; ; 8

58、.8.该项控制的执行或监督人员的专业胜任能力该项控制的执行或监督人员的专业胜任能力, ,以及以及 其中的关键人员是否发生变化其中的关键人员是否发生变化; ; 9.9.该项控制是人工控制还是自动化控制该项控制是人工控制还是自动化控制; ; 10.10.该项控制的复杂程度该项控制的复杂程度, ,以及在运行过程中依赖主观以及在运行过程中依赖主观 判断的程度。判断的程度。 2 2测试控制的有效性测试控制的有效性 内部控制审计内部控制审计 内控审计：内控审计： 时间与空间上的双重前置时间与空间上的双重前置 案案 例例 10-10- -3 3 1 1 内部控制缺陷的认定内部控制缺陷的认定 第四节第四节 评

59、价控制缺陷评价控制缺陷 2 2 内部控制缺陷的处理内部控制缺陷的处理 1 1内部控制缺陷的认定内部控制缺陷的认定 u按其影响程度按其影响程度 u按其成因按其成因 内部控制缺陷的分类内部控制缺陷的分类 设计缺陷设计缺陷 运行缺陷运行缺陷 重大缺陷重大缺陷 重要缺陷重要缺陷 一般缺陷一般缺陷 1 1内部控制缺陷的认定内部控制缺陷的认定 注册会计师需要评价其注意到的各项控制缺陷的严重注册会计师需要评价其注意到的各项控制缺陷的严重 程度，以确定这些缺陷单独或组合起来，是否构成重大程度，以确定这些缺陷单独或组合起来，是否构成重大 缺陷。缺陷。 财务报告内部控制缺陷的严重程度取决于：（财务报告内部控制缺陷

60、的严重程度取决于：（1 1）控制）控制 缺陷导致账户余额或列报错报的可能性；（缺陷导致账户余额或列报错报的可能性；（2 2）因一个或）因一个或 多个控制缺陷的组合导致潜在错报的金额大小。多个控制缺陷的组合导致潜在错报的金额大小。 注册会计师在已执行的有限程序中发现财务报告注册会计师在已执行的有限程序中发现财务报告 内部控制存在重大缺陷的内部控制存在重大缺陷的, ,应当在内部控制审计报告应当在内部控制审计报告 中对重大缺陷作出详细说明。中对重大缺陷作出详细说明。 2 2内部控制缺陷的处理内部控制缺陷的处理 （一）财务报告内部控制缺陷的处理（一）财务报告内部控制缺陷的处理 2 2内部控制缺陷的处理