内部控制与管理知识分析测试(powerpoint 78页)

1、第第8 8章章 内部控制测试内部控制测试(csh)(csh)与评价与评价第一页，共八十页。v内部控制的产生和发展，促使内部控制的产生和发展，促使(csh)审计工审计工作从详细审计发展成为以测试内部控制作从详细审计发展成为以测试内部控制为基础的抽样审计。为基础的抽样审计。v这种以测试内部控制为基础的审计，既这种以测试内部控制为基础的审计，既能提高审计效率，又能降低审计风险、能提高审计效率，又能降低审计风险、保证审计质量，并成为由传统审计转变保证审计质量，并成为由传统审计转变为现代审计的一个重要标志。为现代审计的一个重要标志。v审计人员在审计时，必须首先要研究与审计人员在审计时，必须首先要研究与评

2、价被审计单位的内部控制。评价被审计单位的内部控制。第二页，共八十页。第一节第一节 内部内部(nib)(nib)控制概述控制概述第三页，共八十页。一、内部控制的概念一、内部控制的概念v国际审计准则的定义：国际审计准则的定义：（internal controls），是指管），是指管理当局为了确保以有序和有效的方式实现理当局为了确保以有序和有效的方式实现其管理目标，包括遵循管理制度、保护资其管理目标，包括遵循管理制度、保护资产的安全、防范产的安全、防范(fngfn)和发现错误与舞弊、和发现错误与舞弊、确保会计记录的准确和完整、及时编制可确保会计记录的准确和完整、及时编制可信的财务信息而制定和实施的信

3、的财务信息而制定和实施的。第四页，共八十页。v我国审计准则我国审计准则(zhnz)将内部控制定义为：将内部控制定义为：内部控制是指被审计单位为了合理保证财内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和对法律法规的遵守，由治理层、管理层和其他人员设计和执行的其他人员设计和执行的。第五页，共八十页。二、内部控制二、内部控制(kngzh)的作用的作用v内部控制的作用：内部控制的作用：是指内部控制的固有功能在实是指内部控制的固有功能在实际工作中对企业生产经营活动及外部社会经济活动所际工作中对企业生产经营活

4、动及外部社会经济活动所产生的影响和效果。产生的影响和效果。v主要表现为以下几个方面：主要表现为以下几个方面：1保护财产物资的安全完整保护财产物资的安全完整(wnzhng)和有效使和有效使2保证会计资料的真实可靠及财务活动的合法有效保证会计资料的真实可靠及财务活动的合法有效3保证国家的各项政策和财经法规的贯彻执行保证国家的各项政策和财经法规的贯彻执行4保证企业经营决策和规章制度的正确落实保证企业经营决策和规章制度的正确落实5保证企业经营目标的实现保证企业经营目标的实现6为现代审计方法提供了必要的基础为现代审计方法提供了必要的基础第六页，共八十页。三、内部控制三、内部控制(kngzh)的目标的目标

5、v建立健全内部控制是被审计单位管理当局建立健全内部控制是被审计单位管理当局的的。v审计人员关心、研究与评价内部控制，只审计人员关心、研究与评价内部控制，只是为了在保证执业是为了在保证执业(zh y)质量的前提下质量的前提下。是为了确定在哪些方是为了确定在哪些方面可以信赖被审计单位的内部控制，在哪面可以信赖被审计单位的内部控制，在哪些方面不应信赖被审计单位的内部控制，些方面不应信赖被审计单位的内部控制，而应当实施详细的实质性测试程序，以便而应当实施详细的实质性测试程序，以便。第七页，共八十页。v被审计被审计(shn j)单位管理当局建立健全内部控单位管理当局建立健全内部控制，主要是为了实现下列制

6、，主要是为了实现下列：（1）保证业务活动的有效进行）保证业务活动的有效进行（2）保护资产的安全与完整）保护资产的安全与完整（3）防止、发现、纠正错误与舞弊）防止、发现、纠正错误与舞弊（4）保证会计资料的真实、合法、完整。）保证会计资料的真实、合法、完整。第八页，共八十页。v与与有关的内部控制，其设计和有关的内部控制，其设计和运行一般应当能够实现以下运行一般应当能够实现以下(yxi)目标：目标：1保证业务活动按照适当的授权进行。保证业务活动按照适当的授权进行。2保证所有交易和事项以正确的金额，在恰当的会保证所有交易和事项以正确的金额，在恰当的会计期间及时记录于适当的账户，使会计报表的编计期间及时

7、记录于适当的账户，使会计报表的编制符合会计准则的相关要求。制符合会计准则的相关要求。3保证对资产和记录的接触、处理均经过适当的授保证对资产和记录的接触、处理均经过适当的授权。权。4保证账面资产与实存资产定期核对相符。保证账面资产与实存资产定期核对相符。第九页，共八十页。四、内部四、内部(nib)控制理论的演变控制理论的演变1、内部牵制阶段（、内部牵制阶段（20世纪世纪(shj)40年代以前）年代以前）2、内部控制制度阶段（、内部控制制度阶段（20世纪世纪20年代末至年代末至70年代末）年代末）3、内部控制结构阶段（、内部控制结构阶段（20世纪世纪80年代末至年代末至90年代）年代）4、内部控制

8、框架阶段（、内部控制框架阶段（20世纪世纪90年代以后）年代以后）第十页，共八十页。五、内部五、内部(nib)控制的分类控制的分类（一）内部控制按控制功能分类（一）内部控制按控制功能分类(fn li) 1预防性控制预防性控制 2察觉性控制察觉性控制 3、纠正性控制、纠正性控制 4、指导性控制、指导性控制 5、补偿性控制、补偿性控制（二）内部控制按控制目标分类（二）内部控制按控制目标分类 1、财产物资控制、财产物资控制 2、会计资料控制、会计资料控制 3、经营决策控制、经营决策控制 4、经济效益控制、经济效益控制第十一页，共八十页。（三）内部控制按时间分类（三）内部控制按时间分类1 1、事前控制

9、、事前控制2 2、事中控制、事中控制3 3、事后控制、事后控制（四）内部控制按要素分类（四）内部控制按要素分类v三大要素：三大要素：第十二页，共八十页。六、内部六、内部(nib)控制的局限性控制的局限性v内部内部(nib)控制所提供的只是一种控制所提供的只是一种，这是因为内部控制本身存在这是因为内部控制本身存在而而使其具有一定的局限性。使其具有一定的局限性。1内部控制的设计和运行内部控制的设计和运行2内部控制一般仅内部控制一般仅而设而设计。计。第十三页，共八十页。3即使是设计完善的内部控制，也可能因即使是设计完善的内部控制，也可能因执行人员的粗心大意、精力分散、判断执行人员的粗心大意、精力分散

10、、判断失误以及对指令的误解而失效。失误以及对指令的误解而失效。4内部控制可能因有关人员相互勾结、内内部控制可能因有关人员相互勾结、内外串通而失效。外串通而失效。5内部控制可能因执行人员滥用职权或屈内部控制可能因执行人员滥用职权或屈从于外部压力从于外部压力(yl)而失效。而失效。6内部控制可能因经营环境、业务性质的内部控制可能因经营环境、业务性质的改变而削弱或失效。改变而削弱或失效。第十四页，共八十页。v由于内部控制只能为会计报表的公允性由于内部控制只能为会计报表的公允性提供合理的保证，并存在上述固有限制，提供合理的保证，并存在上述固有限制，因此，会计报表审计总存在一定的控制因此，会计报表审计总

11、存在一定的控制风险，即风险，即。v审计人员必须做到，审计人员必须做到，被审计单位内被审计单位内部控制设计和运行得部控制设计和运行得，都应对，都应对(yngdu)会计报表的会计报表的。第十五页，共八十页。七、内部控制与审计七、内部控制与审计(shn j)的关系的关系v审计人员在执行会计报表审计业务时，审计人员在执行会计报表审计业务时，不论不论(bln)被审计单位规模大小，被审计单位规模大小，。v了解与评价内部控制，了解与评价内部控制，审计人员审计人员编制合理的审计计划，设计恰当的审计编制合理的审计计划，设计恰当的审计程序，以提高审计工作效率。程序，以提高审计工作效率。v审计人员应根据其对被审计单

12、位内部控审计人员应根据其对被审计单位内部控制的了解，制的了解，进行符合性测试。进行符合性测试。第十六页，共八十页。v对被审计单位内部控制的了解和符合性对被审计单位内部控制的了解和符合性测试测试(csh)，并非会计报表审计工作的全部，并非会计报表审计工作的全部内容。内容。v内部控制良好的单位，审计人员可能评内部控制良好的单位，审计人员可能评估其控制风险较低而估其控制风险较低而实质性测试程实质性测试程序，序，第十七页，共八十页。第二节第二节 内部控制内部控制(kngzh)(kngzh)要素要素第十八页，共八十页。（一）控制环境（一）控制环境v控制环境：控制环境：是对企业控制的建立和实施有重大影是对

13、企业控制的建立和实施有重大影响的响的的统称。包括治理职能和管理职能，以的统称。包括治理职能和管理职能，以及治理层和管理层对内部控制机器重要性的态度。及治理层和管理层对内部控制机器重要性的态度。v控制环境的好坏控制环境的好坏到被审计到被审计(shn j)单单位特定位特定。v通常，与控制环境有关的通常，与控制环境有关的包括：包括：第十九页，共八十页。1、对诚信和道德、对诚信和道德(dod)价值观念的沟通与落实价值观念的沟通与落实v考虑的主要因素包括：考虑的主要因素包括：（1）被审计单位是否有书面的行为规范并向）被审计单位是否有书面的行为规范并向所有员工传达所有员工传达（2）被审计单位的企业文化是否

14、强调诚信和）被审计单位的企业文化是否强调诚信和道德价值观念的重要性道德价值观念的重要性（3）管理层是否身体力行，高级管理人员是）管理层是否身体力行，高级管理人员是否起表率作用否起表率作用（4）对违反有关政策和行为规范的情况，管）对违反有关政策和行为规范的情况，管理层是否采取适当的惩罚措施理层是否采取适当的惩罚措施第二十页，共八十页。2、对胜任能力的重视、对胜任能力的重视v考虑的主要因素包括：考虑的主要因素包括：（1）财会人员以及信息管理人员是否具备与）财会人员以及信息管理人员是否具备与被审计单位业务性质和复杂程度相称的足够被审计单位业务性质和复杂程度相称的足够的胜任能力和培训，在发生错误的胜任

15、能力和培训，在发生错误(cuw)时，是时，是否通过调整人员或系统来加以处理否通过调整人员或系统来加以处理（2）管理层是否配备足够的财会人员以适应）管理层是否配备足够的财会人员以适应业务发展和有关方面的需要业务发展和有关方面的需要（3）财会人员是否具备理解和运用会计准则）财会人员是否具备理解和运用会计准则所需的技能所需的技能第二十一页，共八十页。3、管理层的观念、方式和风格、管理层的观念、方式和风格在建立一个有利的控制环境在建立一个有利的控制环境中起着中起着的作用。的作用。v极大极大(j d)影响控制环境的方面：影响控制环境的方面：（1）管理层对待经营风险态度和控制经营）管理层对待经营风险态度和

16、控制经营风险的方法风险的方法（2）为实现预算、利润和其他财务及经营）为实现预算、利润和其他财务及经营目标，企业对管理的重视程度目标，企业对管理的重视程度（3）管理层对会计报表所持的态度和所采）管理层对会计报表所持的态度和所采取的行动。取的行动。第二十二页，共八十页。4、组织结构及职权与责任的分配、组织结构及职权与责任的分配v组织结构是指企业计划、协调和控制经组织结构是指企业计划、协调和控制经营活动的整体框架。营活动的整体框架。v设置合理的组织结构，有助于建立设置合理的组织结构，有助于建立(jinl)良良好的内部控制环境。好的内部控制环境。v组织结构的组织结构的一般包括：组织单位的一般包括：组织

17、单位的存在形式和性质；各个组成部分的管理、存在形式和性质；各个组成部分的管理、经营职能；隶属关系和报告程序；组织经营职能；隶属关系和报告程序；组织内部职责和权利的划分方式。内部职责和权利的划分方式。第二十三页，共八十页。5、控制系统、控制系统v控制系统指管理当局制定和实施的各种控制系统指管理当局制定和实施的各种( zhn)管理控制方法、内部审计职能、人事管理控制方法、内部审计职能、人事聘用政策与实务等。聘用政策与实务等。是管理当局对其他人的授是管理当局对其他人的授权使用情况直接控制和对整个企业的活权使用情况直接控制和对整个企业的活动实行监督的方法的总称，包括经营计动实行监督的方法的总称，包括经

18、营计划、预算、预测、利润计划、责任会计划、预算、预测、利润计划、责任会计等。等。第二十四页，共八十页。（二）会计系统（制度）（二）会计系统（制度）v会计系统（制度）是指被审计单位用于确会计系统（制度）是指被审计单位用于确认、计量、记录和报告其交易和事项的财认、计量、记录和报告其交易和事项的财务信息系统。务信息系统。应能达到以下应能达到以下：1确认并记录一切确认并记录一切(yqi)真实的交易和事项；真实的交易和事项；2及时对各项交易和事项进行适当的分类，及时对各项交易和事项进行适当的分类，作为编制会计报表的依据；作为编制会计报表的依据；第二十五页，共八十页。3将各项交易和事项按适当的货币价值计将

19、各项交易和事项按适当的货币价值计价，以便价，以便(ybin)列入会计报表；列入会计报表；4确定交易和事项发生的日期，以便记录确定交易和事项发生的日期，以便记录在适当的会计期间；在适当的会计期间；5在会计报表中适当地表达交易和事项以在会计报表中适当地表达交易和事项以及披露相关内容。及披露相关内容。v“”（audit trail）或或“交易轨迹交易轨迹”：是指通过编码、交叉索引和连接账户余是指通过编码、交叉索引和连接账户余额与原始交易数据的书面资料所提供的额与原始交易数据的书面资料所提供的一连串的迹象。一连串的迹象。第二十六页，共八十页。（三）控制程序（三）控制程序v控制程序是指被审计单位管理当局

20、控制程序是指被审计单位管理当局(dngj)为为了实现其特定的管理目标而制定的除控了实现其特定的管理目标而制定的除控制环境以外的各项制环境以外的各项。v控制程序可以分为以下五类：控制程序可以分为以下五类：1v保证每笔交易或每项业务活动都经过适保证每笔交易或每项业务活动都经过适当授权。当授权。v授权有一般授权和特别授权之分。授权有一般授权和特别授权之分。第二十七页，共八十页。2v是指对某交易涉及的各项职责进行合理是指对某交易涉及的各项职责进行合理划分，使每一个人的工作能自动地相互划分，使每一个人的工作能自动地相互检查另一个人或更多人的工作。检查另一个人或更多人的工作。v主要目的：避免任何职员担任不

21、相容职主要目的：避免任何职员担任不相容职务，预防和及时发现在执行所分配的职务，预防和及时发现在执行所分配的职责时所产生的错误或舞弊行为。责时所产生的错误或舞弊行为。v包括：经营包括：经营(jngyng)责任与会计责任相分离；责任与会计责任相分离；资产保管与会计相分离；授权与执行、资产保管与会计相分离；授权与执行、保管、审查、记录相分离。保管、审查、记录相分离。第二十八页，共八十页。3v被审计单位必须设计和使用适当的凭证被审计单位必须设计和使用适当的凭证和记录，以确保各种交易和事项得以和记录，以确保各种交易和事项得以(dy)全面、完整、准确地记录。全面、完整、准确地记录。v原始凭证要预先编号原始

22、凭证要预先编号第二十九页，共八十页。4v主要是指被审计主要是指被审计(shn j)单位对接触、使用资单位对接触、使用资产和记录，应当有适当的防护措施，未产和记录，应当有适当的防护措施，未经授权，不相关人员或部门不得接触和经授权，不相关人员或部门不得接触和使用资产与记录，以保证资产和记录的使用资产与记录，以保证资产和记录的安全。安全。5v是指验证由另一个人或部门执行的工作是指验证由另一个人或部门执行的工作和验证所记录金额估价的正确性。和验证所记录金额估价的正确性。第三十页，共八十页。第三节第三节 内部控制的了解内部控制的了解(lioji)(lioji)与记录与记录第三十一页，共八十页。v对内部控

23、制所做的研究和评价一般分为对内部控制所做的研究和评价一般分为：第一，了解被审计单位的内部控制情况，第一，了解被审计单位的内部控制情况，并作出相应的记录；并作出相应的记录；第二第二(d r)，实施符合性测试程序，证实有关，实施符合性测试程序，证实有关内部控制的设计和执行的效果；内部控制的设计和执行的效果；第三，评价内部控制的强弱，即评价控制第三，评价内部控制的强弱，即评价控制风险，确定在内部控制薄弱的领域扩展风险，确定在内部控制薄弱的领域扩展审计程序，来降低审计风险。审计程序，来降低审计风险。第三十二页，共八十页。一、业务循环及其分类一、业务循环及其分类v也称切块审计法，是指将密切相关的交也称切

24、块审计法，是指将密切相关的交易种类或帐户余额划为同一块，作为一易种类或帐户余额划为同一块，作为一个个（transaction cycle），来，来组织安排审计工作的方法。组织安排审计工作的方法。v制造业一般制造业一般(ybn)分为四个业务循环：分为四个业务循环：1销售与收款循环销售与收款循环2购货与付款循环购货与付款循环3生产循环生产循环4筹资与投资循环筹资与投资循环第三十三页，共八十页。二、了解内部控制二、了解内部控制v独立审计具体准则规定，在编制独立审计具体准则规定，在编制(binzh)审审计计划时，审计人员应当了解被审计单计计划时，审计人员应当了解被审计单位内部控制的设计和运行情况。位内

25、部控制的设计和运行情况。v审计人员此时审计人员此时被审计单位内部被审计单位内部控制的控制的，且，且内部控制在内部控制在运行中的缺陷。运行中的缺陷。第三十四页，共八十页。（一）了解内部控制的程序（一）了解内部控制的程序1询问被审计单位有关人员，并查阅相关询问被审计单位有关人员，并查阅相关内部控制文件内部控制文件2检查内部控制生成的文件和记录检查内部控制生成的文件和记录3观察被审计单位的业务活动和内部控制观察被审计单位的业务活动和内部控制的运行情况的运行情况4选择若干具有代表性的交易和事项进行选择若干具有代表性的交易和事项进行(jnxng)第三十五页，共八十页。（walk-through test

26、），也称），也称全程测试、了解性测试，是指在每一类全程测试、了解性测试，是指在每一类业务循环中选择一笔或若干笔交易或事业务循环中选择一笔或若干笔交易或事项进行测试项进行测试v目的：以验证内部控制目的：以验证内部控制(kngzh)的实际运行的实际运行是否与审计工作底稿上所描述的内部控是否与审计工作底稿上所描述的内部控制制(kngzh)相一致。相一致。v如果选出的交易具有代表性，那么该程如果选出的交易具有代表性，那么该程序可作为符合性测试的一部分。序可作为符合性测试的一部分。第三十六页，共八十页。（二）了解内部控制要素（二）了解内部控制要素（三）内部审计的利用（三）内部审计的利用v审计人员应当考虑

27、下列审计人员应当考虑下列(xili)因素：因素：1内部审计人员的独立性内部审计人员的独立性2内部审计人员的经验和能力内部审计人员的经验和能力3内部审计程序的性质、时间和范围内部审计程序的性质、时间和范围4内部审计人员所获取的审计证据的充分内部审计人员所获取的审计证据的充分性和适当性性和适当性5管理当局对内部审计工作的重视程度管理当局对内部审计工作的重视程度第三十七页，共八十页。（四）控制风险的初步评估（四）控制风险的初步评估v审计审计(shn j)人员在了解内部控制之后，应对人员在了解内部控制之后，应对控制风险作出初步评估。控制风险作出初步评估。v初步评估实际上就是评价企业会计与内初步评估实际

28、上就是评价企业会计与内部控制在防止、发现或纠正重要错报或部控制在防止、发现或纠正重要错报或漏报中的有效性的过程。漏报中的有效性的过程。v审计人员应当审计人员应当稳健性原则，宁可高稳健性原则，宁可高估控制风险，不可低估控制风险。估控制风险，不可低估控制风险。第三十八页，共八十页。v当出现下列情况当出现下列情况时，审计人员应当时，审计人员应当将重要账户或交易类别的某些或全部认将重要账户或交易类别的某些或全部认定的控制风险定的控制风险：1被审计单位内部控制失效被审计单位内部控制失效2审计人员难以对内部控制的有效性作出审计人员难以对内部控制的有效性作出评估评估3审计人员不拟进行符合审计人员不拟进行符合

29、(fh)性测试性测试第三十九页，共八十页。三、内部控制的记录三、内部控制的记录v审计人员对调查了解到的内部控制情况审计人员对调查了解到的内部控制情况和所做的控制风险的初步评估，必须用和所做的控制风险的初步评估，必须用适当的方法及时记录，适当的方法及时记录，作为编制和修改审计计划及审计程序的作为编制和修改审计计划及审计程序的依据依据(yj)。v内部控制调查记录的方法通常有内部控制调查记录的方法通常有，即文字叙述、调查问卷、流程图和核对即文字叙述、调查问卷、流程图和核对表。表。第四十页，共八十页。（一）文字叙述（一）文字叙述v指审计人员对被审计单位业务的授权、指审计人员对被审计单位业务的授权、批准

30、、执行、记录、保管批准、执行、记录、保管(bogun)等程序及等程序及其实际执行情况，用叙述性文字记录下其实际执行情况，用叙述性文字记录下来，形成来，形成。记录控制环境、一般控制和实记录控制环境、一般控制和实物控制等方面的情况。物控制等方面的情况。v适用于内部控制程序比较简单、比较容适用于内部控制程序比较简单、比较容易描述的中小企业。易描述的中小企业。第四十一页，共八十页。（二）调查问卷（二）调查问卷v也称调查表，对业务处理的关键控制点也称调查表，对业务处理的关键控制点及其控制措施，由事务所预先设计成一及其控制措施，由事务所预先设计成一系列标准化的调查表，交由被审计单位系列标准化的调查表，交由

31、被审计单位有关人员填写或由审计人员根据调查的有关人员填写或由审计人员根据调查的结果自行填写，以此来了解被审计单位结果自行填写，以此来了解被审计单位内部控制是否行之有效。内部控制是否行之有效。v大多采用问答式，按调查对象分别设计大多采用问答式，按调查对象分别设计是指未加控制就容易产生错是指未加控制就容易产生错误或舞弊误或舞弊(wb)的业务环节。的业务环节。第四十二页，共八十页。（三）流程图（三）流程图（flow chart）v指用特定的符号和图形，将被审计单位指用特定的符号和图形，将被审计单位内部控制中各经营环节的业务处理程序，内部控制中各经营环节的业务处理程序，以及各种文件或凭证的传递流程以及

32、各种文件或凭证的传递流程(lichng)，以图解的形式直观地描述出来的图表。以图解的形式直观地描述出来的图表。v能能各项业务的职责分工、授各项业务的职责分工、授权、批准和复核验证等内部控制措施与权、批准和复核验证等内部控制措施与功能，是审计人员评价内部控制的有用功能，是审计人员评价内部控制的有用工具。工具。第四十三页，共八十页。第四节第四节 内部内部(nib)(nib)控制测试控制测试第四十四页，共八十页。一、符合性测试的对象一、符合性测试的对象v审计人员在经过初步调查与记录，大致审计人员在经过初步调查与记录，大致了解了内部控制及相应的控制风险后，了解了内部控制及相应的控制风险后，。v符合性测

33、试是在了解内部控制的基础上符合性测试是在了解内部控制的基础上来来。v符合性测试有两个符合性测试有两个(lin )基本对象，基本对象，。第四十五页，共八十页。（一）控制（一）控制(kngzh)设计测试设计测试v是指为了确定被审计单位内部控制政策是指为了确定被审计单位内部控制政策和程序设计和程序设计、，能，能不能防止、发现或纠正特定会计报表认不能防止、发现或纠正特定会计报表认定的重大错报或漏报而进行的测试。定的重大错报或漏报而进行的测试。第四十六页，共八十页。：被审计单位各项内部控制是否符合内部控被审计单位各项内部控制是否符合内部控制的基本原则，被审计单位在哪些环节、制的基本原则，被审计单位在哪些

34、环节、采取何种措施进行采取何种措施进行(jnxng)控制，关键控制点控制，关键控制点是否重点进行是否重点进行(jnxng)了控制，所有内部控制了控制，所有内部控制目标是否均已达到目标是否均已达到内控在设计上是否存在缺陷和不足内控在设计上是否存在缺陷和不足，也称为也称为评价。评价。第四十七页，共八十页。（二）控制执行测试（二）控制执行测试v是指为了确定是指为了确定(qudng)被审计单位的内部控被审计单位的内部控制政策和程序，在实际工作中制政策和程序，在实际工作中而进行的测而进行的测试。试。v对内部控制的评价称为对内部控制的评价称为评价。评价。v测试有效性，着重查清三个问题：测试有效性，着重查清

35、三个问题：（1）这项控制是如何应用的？）这项控制是如何应用的？（2）是否在年度中一贯应用？）是否在年度中一贯应用？（3）由谁来应用？）由谁来应用？第四十八页，共八十页。v一般把控制执行的失效或不当，习惯称一般把控制执行的失效或不当，习惯称为为“”（error）、）、“”（deviation）或或“”（exception），而不称为），而不称为“错错报报”v在实务中，审计人员只对那些有助于防在实务中，审计人员只对那些有助于防止或发现和纠正会计报表认定止或发现和纠正会计报表认定(rndng)产生产生重大错报或漏报的控制执行测试。重大错报或漏报的控制执行测试。第四十九页，共八十页。二、符合性测试的种

36、类二、符合性测试的种类v审计人员可在审计计划期间和期中工作审计人员可在审计计划期间和期中工作期间执行符合性测试。期间执行符合性测试。v符合性测试可分为符合性测试可分为：v在主要证实法下可能在主要证实法下可能(knng)执行执行“同步符合同步符合性测试性测试”及及“追加符合性测试追加符合性测试”v在较低的控制风险估计水平法下，必须在较低的控制风险估计水平法下，必须执行执行“计划符合性测试计划符合性测试”第五十页，共八十页。（一）同步符合性测试（一）同步符合性测试v是在审计人员取得对内部控制的是在审计人员取得对内部控制的，。v这种符合性测试不是必需的，而是审计这种符合性测试不是必需的，而是审计人员

37、有人员有地执行的。地执行的。v通过通过(tnggu)同步符合性测试取得的证据，同步符合性测试取得的证据，只能使审计人员评价控制风险的估计水只能使审计人员评价控制风险的估计水平处在平处在的范的范围之内。围之内。第五十一页，共八十页。（二）追加符合性测试（二）追加符合性测试v是在是在中执行的测试。中执行的测试。v在主要证实法下，执行追加符合性测试在主要证实法下，执行追加符合性测试是为了进一步降低审计人员是为了进一步降低审计人员(rnyun)对控制对控制风险的估计水平。风险的估计水平。v审计人员必须考虑是否符合成本效益原审计人员必须考虑是否符合成本效益原则。如果不划算，又不能进一步降低控则。如果不划

38、算，又不能进一步降低控制风险的估计水平，审计人员就没必要制风险的估计水平，审计人员就没必要执行这种测试。执行这种测试。第五十二页，共八十页。（三）计划符合性测试（三）计划符合性测试v在在中执行中执行v在选用较低的控制风险估计水平法下在选用较低的控制风险估计水平法下执行这种测试执行这种测试是为了是为了审计人员计划的实质性审计人员计划的实质性测试水平。测试水平。v通过计划符合性测试取得的证据应足以通过计划符合性测试取得的证据应足以(zy)支持评价某些认定的控制风险为支持评价某些认定的控制风险为。第五十三页，共八十页。三、符合三、符合(fh)性测试的性质性测试的性质v符合性测试的性质，即执行测试将使

39、用符合性测试的性质，即执行测试将使用什么样的什么样的。v可供审计人员选用的符合性测试程序通可供审计人员选用的符合性测试程序通常包括下列三种：常包括下列三种：1检查交易和事项的凭证。检查交易和事项的凭证。2询问并实地观察未留下审计轨迹的内部询问并实地观察未留下审计轨迹的内部控制的运行情况。控制的运行情况。3重新实施相关内部控制程序。重新实施相关内部控制程序。第五十四页，共八十页。四、符合性测试的范围四、符合性测试的范围，符合性测试的范围越大，所，符合性测试的范围越大，所能提供的有关控制政策或程序执行有效能提供的有关控制政策或程序执行有效性的证据性的证据(zhngj)就越充分。就越充分。，审计人员

40、执行符合性测试，审计人员执行符合性测试的范围并的范围并越大越好，而是要求审计越大越好，而是要求审计人员从最经济有效地实现审计目标的总人员从最经济有效地实现审计目标的总体需要出发，体需要出发，地确定测试的范围。地确定测试的范围。第五十五页，共八十页。v符合性测试符合性测试(csh)的范围直接受审计人员计的范围直接受审计人员计划控制风险估计水平的影响。划控制风险估计水平的影响。v计划控制风险估计水平计划控制风险估计水平，比计划控，比计划控制风险估计水平为中等时需要制风险估计水平为中等时需要的符的符合性测试证据。合性测试证据。第五十六页，共八十页。v当出现下列情况当出现下列情况时，审计人员时，审计人

41、员(rnyun)可可进行符合性测试，而进行符合性测试，而实施实质实施实质性测试程序：性测试程序：1相关内部控制不存在。相关内部控制不存在。2相关内部控制虽然存在，但审计人员通相关内部控制虽然存在，但审计人员通过了解发现其并未有效运行。过了解发现其并未有效运行。3符合性测试的工作量可能大于进行符合符合性测试的工作量可能大于进行符合性测试所减少的实质性测试的工作量。性测试所减少的实质性测试的工作量。第五十七页，共八十页。五、符合性测试的时间五、符合性测试的时间v通常，追加符合性测试或计划符合性测通常，追加符合性测试或计划符合性测试是在试是在中执行，并且很可中执行，并且很可能在审计年度结束前的几个月

42、里进行，能在审计年度结束前的几个月里进行，v从审计从审计的角度来看，符合性测试的角度来看，符合性测试应尽可能安排在期中的应尽可能安排在期中的执行。执行。第五十八页，共八十页。六、符合性测试中利用内部审计人六、符合性测试中利用内部审计人员的工作员的工作(gngzu)v内部审计的工作职责之一、就是对每个内部审计的工作职责之一、就是对每个部门或每个分公司的内部控制进行监控部门或每个分公司的内部控制进行监控v外部审计人员外部审计人员内部审计人员的内部审计人员的工作，通过与内部审计人员的协调，有工作，通过与内部审计人员的协调，有选择地对某些部门或分公司执行符合性选择地对某些部门或分公司执行符合性测试，而

43、测试，而部门或分公司执行部门或分公司执行符合性测试。符合性测试。第五十九页，共八十页。v外部审计外部审计(shn j)人员应做好以下工作：人员应做好以下工作：（1）定期同内部审计人员会谈；）定期同内部审计人员会谈；（2）复核他们的工作计划表；）复核他们的工作计划表；（3）取得内部审计人员的审计工作底稿；）取得内部审计人员的审计工作底稿；（4）复核内部审计报告。）复核内部审计报告。v外部审计人员在利用内部审计人员的工外部审计人员在利用内部审计人员的工作时，应对内部审计工作的作时，应对内部审计工作的进行评价和测试，以确定其是否有助进行评价和测试，以确定其是否有助于审计目标的实现。于审计目标的实现。

44、第六十页，共八十页。七、双重目的测试七、双重目的测试v通常在会计报表审计中，追加符合性测通常在会计报表审计中，追加符合性测试主要在期中工作期间执行，而实质性试主要在期中工作期间执行，而实质性测试则主要在期末工作时执行。测试则主要在期末工作时执行。v但也允许在在期中工作时，执行有关交但也允许在在期中工作时，执行有关交易的某些详细实质性测试，以检查出报易的某些详细实质性测试，以检查出报表中的重要错报或漏报。表中的重要错报或漏报。v这种情况下，审计人员可这种情况下，审计人员可执行执行，称为双重目的测试。，称为双重目的测试。第六十一页，共八十页。第五节第五节 控制风险控制风险(fngxin)(fngx

45、in)的评的评估估第六十二页，共八十页。一、控制风险评估的概念一、控制风险评估的概念v评估控制风险，就是评估控制风险，就是内部控制在防内部控制在防止或发现和更正会计报表里的重要错报止或发现和更正会计报表里的重要错报或漏报的或漏报的的过程。的过程。v对控制风险的评估对控制风险的评估，而而为了个别内部控制要素为了个别内部控制要素(yo s)或个别或个别政策和程序而进行的。政策和程序而进行的。v通常，将评估控制风险所得到的结果称通常，将评估控制风险所得到的结果称为为“”。第六十三页，共八十页。v审计人员评估审计人员评估(pn )控制风险时，应合理控制风险时，应合理运用运用来谨慎分析审计证据。来谨慎分

46、析审计证据。v控制风险的评估，实际上是审计人员对控制风险的评估，实际上是审计人员对每一内部控制要素里的相关控制政策和每一内部控制要素里的相关控制政策和程序的有效性，同某项认定里存在重要程序的有效性，同某项认定里存在重要错报或漏报的风险之间的错报或漏报的风险之间的情况，情况，进行判断的过程。进行判断的过程。第六十四页，共八十页。二、控制风险二、控制风险(fngxin)评估的过程评估的过程（一）控制风险估计水平的确定（一）控制风险估计水平的确定v审计人员评估的控制风险可能是审计人员评估的控制风险可能是，也可能是也可能是。v若将控制风险评估为若将控制风险评估为，则意味着，则意味着内部控制内部控制及时

47、防止或者发现和纠正及时防止或者发现和纠正某项认定中的重要错报或漏报的某项认定中的重要错报或漏报的。第六十五页，共八十页。v完成符合性测试后，审计人员只有在确完成符合性测试后，审计人员只有在确认认(qurn)以下事项的情况下，才能将控制风以下事项的情况下，才能将控制风险评估为险评估为：1控制政策和程序与认定不相关。控制政策和程序与认定不相关。2控制政策和程序无效。控制政策和程序无效。3取得证据来评价控制政策和程序显得不取得证据来评价控制政策和程序显得不经济。经济。第六十六页，共八十页。v审计人员只有在确认以下事项的情况下，审计人员只有在确认以下事项的情况下，才能评估才能评估(pn )控制风险控制

48、风险：1控制政策和程序与认定相关。控制政策和程序与认定相关。2通过符合性测试已获得证据证明控制有通过符合性测试已获得证据证明控制有效。效。v通常将内部控制未能及时防止或发现和通常将内部控制未能及时防止或发现和纠正某项认定中的重要错报或漏报的可纠正某项认定中的重要错报或漏报的可能性大于能性大于40%、在、在10%和和40%之间、低之间、低于于10%，代表控制风险评估的高、中、，代表控制风险评估的高、中、低水平。低水平。第六十七页，共八十页。（二）控制风险评估的步骤（二）控制风险评估的步骤1确认可能发生确认可能发生(fshng)的潜在错报或漏报的潜在错报或漏报v很多会计师事务所在长期审计实践的基很

49、多会计师事务所在长期审计实践的基础上，都编制了一套表格，以列举会计础上，都编制了一套表格，以列举会计报表认定中可能发生的潜在错报或漏报报表认定中可能发生的潜在错报或漏报的种类。的种类。第六十八页，共八十页。2确认可以防止或者发现和更正这些错报确认可以防止或者发现和更正这些错报或漏报的控制或漏报的控制v同样，会计师事务所为每一张列举了潜同样，会计师事务所为每一张列举了潜在错报或漏报的表格，配上一张相应的在错报或漏报的表格，配上一张相应的必要控制表。必要控制表。v在审计中，审计人员可将表中这些必要在审计中，审计人员可将表中这些必要的控制与在取得对被审计单位内部控制的控制与在取得对被审计单位内部控制

50、政策和程序政策和程序(chngx)了解后所确认的现有控了解后所确认的现有控制相核对。制相核对。第六十九页，共八十页。3执行符合性测试执行符合性测试(csh)获取控制是否适当获取控制是否适当设计和有效执行的证据设计和有效执行的证据v审计人员可使用前述三种符合性测试程审计人员可使用前述三种符合性测试程序来检查控制的有效性。序来检查控制的有效性。4评价所获得的证据评价所获得的证据v（1）应用符合性测试所获得的不同证据）应用符合性测试所获得的不同证据对控制政策和程序的设计与执行的有效对控制政策和程序的设计与执行的有效性所提供的保证是不相同的。性所提供的保证是不相同的。第七十页，共八十页。（2）通过符合

51、性测试可取得有关某一特定）通过符合性测试可取得有关某一特定控制的多种证据，但审计人员通过重新控制的多种证据，但审计人员通过重新实施、观察或检查直接取得的证据，比实施、观察或检查直接取得的证据，比间接取得的或通过询问有关人员推论取间接取得的或通过询问有关人员推论取得的证据能提供更大的保证。得的证据能提供更大的保证。（3）审计人员在对控制政策或程序的有效）审计人员在对控制政策或程序的有效性下结论时，通常使用性下结论时，通常使用“”作作为为(zuwi)。如果实际误差。如果实际误差或或这一标准，可评价控制的这一标准，可评价控制的；反之，则评价控制的执行是；反之，则评价控制的执行是。第七十一页，共八十页

52、。5评估控制风险评估控制风险v审计人员在评估控制风险时，应注意：审计人员在评估控制风险时，应注意：（1）必须）必须(bx)以通过了解内部控制和执行以通过了解内部控制和执行符合性测试所获得的符合性测试所获得的，作为评估的，作为评估的依据；依据；（2）充分运用）充分运用；（3）必须注意到内部控制的三个要素对某）必须注意到内部控制的三个要素对某项特定会计报表认定的相互影响。项特定会计报表认定的相互影响。第七十二页，共八十页。三、对控制风险再评估的记录三、对控制风险再评估的记录v审计人员应将对控制风险再评估的过程审计人员应将对控制风险再评估的过程和结果在工作底稿中加以记录。和结果在工作底稿中加以记录。

53、v基本要求基本要求(yoqi)：（1）当控制风险评估为最高水平时，只需）当控制风险评估为最高水平时，只需记录这一评估结论；记录这一评估结论；（2）当控制风险评估低于最高水平时，还）当控制风险评估低于最高水平时，还必须记录评估的依据。必须记录评估的依据。第七十三页，共八十页。四、评价结果对实质性测试的影响四、评价结果对实质性测试的影响v对内部控制了解和测试的结果，实质上是对内部控制了解和测试的结果，实质上是对企业控制风险做出的评估，然后再利用对企业控制风险做出的评估，然后再利用对控制风险评估的结果，来对控制风险评估的结果，来对各账户对各账户余额和交易种类进行的余额和交易种类进行的、。v评估控制风

54、险适当与否，评估控制风险适当与否，。第七十四页，共八十页。v如果控制风险评估如果控制风险评估，将使审计人员，将使审计人员可能没有执行足够的实质性测试，进而可能没有执行足够的实质性测试，进而；v如果控制风险评估如果控制风险评估，审计人员将执，审计人员将执行比所需要的还要多的实质性测试，进行比所需要的还要多的实质性测试，进而使审计测试很而使审计测试很、。v评估出固有风险及控制风险后，评估出固有风险及控制风险后，而要控制检查风险至可接而要控制检查风险至可接受水平，只有受水平，只有实质性测试的有效性。实质性测试的有效性。第七十五页，共八十页。v对内部控制的评价结果，根据可信赖程对内部控制的评价结果，根据可信赖程度的高低，可以分为以下三种类型：度的高低，可以分为以下三种类型：1v是指被审计单位具有合理、健全的内部是指被审计单位具有合理、健全的内部控制，并且均能有效控制，并且均能有效