审计学第七章内部控制

1、第七章第七章 内部控制内部控制7.1 7.1 概述概述7.2 7.2 内部控制的内容与形式内部控制的内容与形式 7.3 7.3 内部控制的重要性与局限性内部控制的重要性与局限性7.4 7.4 对内部控制的了解对内部控制的了解7.5 7.5 内部控制测试内部控制测试7.6 7.6 内部控制的评价内部控制的评价7.7 7.7 内部控制的审计内部控制的审计7.8 7.8 内部控制的鉴证内部控制的鉴证7.1 概述n1、历史演进n2、整体框架n3、概念47.1.1 7.1.1 内部控制的历史演进内部控制的历史演进阶段阶段时间时间定义定义内容内容内部内部牵制牵制2020世纪世纪4040年代年代以前以前以任

2、何个人或部门不能单独控制任何一项以任何个人或部门不能单独控制任何一项或一部分业务权利的方式，进行组织上的或一部分业务权利的方式，进行组织上的职责分工职责分工。实物牵制、机械牵实物牵制、机械牵制、体制牵制、簿制、体制牵制、簿记牵制记牵制 内部内部控制控制（两（两要素）要素）2020世纪世纪4040年代年代末末对内部控制首次做出权威定义对内部控制首次做出权威定义美国注册会计师协会所属的审计程序委员美国注册会计师协会所属的审计程序委员会对内部控制定义作出修改，把内部控制会对内部控制定义作出修改，把内部控制分为分为内部会计控制和管理控制内部会计控制和管理控制。授权与批准制度；授权与批准制度；记录和审核

3、与经营记录和审核与经营保管等职务分离；保管等职务分离；财产的实物控制与财产的实物控制与内部审计。内部审计。统计分析；时效研统计分析；时效研究；业绩报告；雇究；业绩报告；雇员培训计划；质量员培训计划；质量控制等。控制等。 45阶段阶段时间时间定义定义内容内容内部控制内部控制结构结构（三要素）（三要素） 19881988第第5555号审计准则公告提出内部控制结构号审计准则公告提出内部控制结构这个概念。企业内部控制结构包括为合这个概念。企业内部控制结构包括为合理保证企业特定目标的实现而建立的理保证企业特定目标的实现而建立的各各种政策和程序种政策和程序。 控制环境；控制环境；会计系统；会计系统；控制程

4、序。控制程序。6阶段阶段时间时间定义定义内容内容内部控制内部控制整体框架整体框架 （五要素）（五要素）19921992内部控制是一个由企业董事会、管理层和内部控制是一个由企业董事会、管理层和其他员工实施的、旨在为下列各类目标的其他员工实施的、旨在为下列各类目标的实现提供合理保证的实现提供合理保证的过程过程：经营的有效性：经营的有效性和效率、财务报告的可靠性、符合适用的和效率、财务报告的可靠性、符合适用的法律和法规。法律和法规。控制环境；控制环境；风险评估；风险评估；控制活动；控制活动；信息与沟通；信息与沟通；监督。监督。 企业风险企业风险管理框架管理框架 （八要素）（八要素）20042004企

5、业风险管理框架企业风险管理框架将企业管理的重心将企业管理的重心由内部控制转向风险管理由内部控制转向风险管理内部控制要素增加内部控制要素增加内部环境、内部环境、目目标制定、事项标制定、事项识别、识别、风险评风险评估、估、风险反应风险反应控制活动、信控制活动、信息与沟通、监息与沟通、监督督7.1.2 内部控制的整体框架内部控制的整体框架内部控制的整体框架内部控制的整体框架英国巴林银行内部控制案例分析英国巴林银行内部控制案例分析序序 幕幕 19951995年年2 2月月2626日，一条消息震惊整个世界金融市场日，一条消息震惊整个世界金融市场1995年2月27日，英国中央银行宣布，英国商业投资银行巴林

6、银行因经营失误而倒闭。消息传出，立即在亚洲、欧洲和美洲地区的金融界引起一连串强烈的波动。东京股市英镑对马克的汇率跌至近两年最低点，伦敦股市也出现暴跌，纽约道琼斯指数下降了29个百分点具有具有230230多年历史，在世界多年历史，在世界10001000家大银行中按核心资本排名家大银行中按核心资本排名第第489489位的英国巴林银行，因进行巨额金融期货投机交易，造成位的英国巴林银行，因进行巨额金融期货投机交易，造成9.9.1616亿英镑的巨额亏损，被迫宣布破产亿英镑的巨额亏损，被迫宣布破产英国巴林银行内部控制案例分析英国巴林银行内部控制案例分析尼克李森：国际金融界尼克李森：国际金融界“天才交易员天

7、才交易员”，曾任巴林银行驻新加坡巴林期货公司总经曾任巴林银行驻新加坡巴林期货公司总经理、首席交易员。以稳健、大胆著称。在理、首席交易员。以稳健、大胆著称。在日经日经225225期货合约市场上，他被誉为期货合约市场上，他被誉为“不不可战胜的李森可战胜的李森”。Nick Leeson1994年下半年，李森认为，日本经济已开始走出衰退，股市将会有大涨趋势。于是大量买进日经225指数期货合约和看涨期权。然而“人算不如天算”,事与愿违，1995年1月16日，日本关西大地震，股市暴跌，李森所持多头头寸遭受重创，损失高达2.1亿英镑。英国巴林银行内部控制案例分析英国巴林银行内部控制案例分析二、倒闭原因分析二

8、、倒闭原因分析1 1、管理层的失职、管理层的失职 2 2、内部管理松散、内部管理松散3 3、部门职责不明、部门职责不明4 4、内部监管失效、内部监管失效5 5、重效益轻风险、重效益轻风险五要素向八要素的转变五要素向八要素的转变 “巴林银行灭顶之灾”，“新加坡中航油事件”等等事件发生后，人们开始反思，这些问题公司大多是一些内部控制比较健全的组织，有审计委员会、内审部门等等，为什么还会发生经营损失，报告舞弊呢？ 问题的本质不在于问题的本质不在于仅仅控制风险，而是如何管理风险仅仅控制风险，而是如何管理风险。 内部控制所能够起到的作用只是在目标既定的前提下，通过采取一系列的控制活动来进行风险控制，五要

9、素整合框架存在局限性，对风险强调不够，无法与企业风险管理相结合。 企业要想有效的管理风险，还必须借助于目标设定、风险识别、评估与应对。7.1.3 内部控制的概念内部控制的概念 被审单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层、和其他人员【主体】设计和执行的政策和程序。 具体来说，是被审单位为了保证业务活动的有效性、保护资产的安全和完整，防止、发现并纠正错误与舞弊，保证财务报告的真实、合法、完整而制定和实施的政策与程序。【控制目标】7.1 7.1 概述概述7.2 7.2 内部控制的内容与形式内部控制的内容与形式7.3 7.3 内部控制的重要性与局限性内

10、部控制的重要性与局限性7.4 7.4 对内部控制的了解对内部控制的了解7.5 7.5 内部控制测试内部控制测试7.6 7.6 内部控制的评价内部控制的评价7.7 7.7 内部控制的审计内部控制的审计7.8 7.8 内部控制的鉴证内部控制的鉴证7.2 内部控制的内容与形式内部控制的内容与形式 7.2.1 7.2.1 内部控制的主要内容内部控制的主要内容 1 1、组织架构组织架构 2 2、岗位责任（权责明确）、岗位责任（权责明确） 事事有人管事事有人管 人人有专责人人有专责 办事有标准办事有标准 工作有检查工作有检查 3 3、业务流程、业务流程4、处理手续、处理手续 以采购业务为例以采购业务为例

11、5 5、业务记录、业务记录 6 6、检查标准、检查标准 7 7、人员素质、人员素质 8 8、社会责任、社会责任 9 9、企业文化、企业文化 1010、内部审计、内部审计7.2.2 内部控制的基本形式内部控制的基本形式1 1、按照内部控制的内容分、按照内部控制的内容分u环境控制环境控制前提前提u业务控制业务控制深化深化2 2、按照控制的目的分、按照控制的目的分u 会计控制会计控制u 管理控制管理控制3 3、按照控制目标分、按照控制目标分财产物资控制、会计资料控制、财务收支控制、经营决策控制、经财产物资控制、会计资料控制、财务收支控制、经营决策控制、经济效益控制、经营目标控制济效益控制、经营目标控

12、制 4、按照控制方式分 预防式控制 察觉式控制 5、按照控制地位分 主导型控制 补偿性控制7.2.3 与审计相关的内部控制与审计相关的内部控制审计审计企业企业管理管理风险风险管理管理内部内部控制控制审计审计7.1 7.1 概述概述7.2 7.2 内部控制的内容与形式内部控制的内容与形式7.3 7.3 内部控制的重要性与局限性（略）内部控制的重要性与局限性（略）7.4 7.4 对内部控制的了解对内部控制的了解7.5 7.5 内部控制测试内部控制测试7.6 7.6 内部控制的评价内部控制的评价7.7 7.7 内部控制的审计内部控制的审计7.8 7.8 内部控制的鉴证内部控制的鉴证7.1 7.1 概

13、述概述7.2 7.2 内部控制的内容与形式内部控制的内容与形式7.3 7.3 内部控制的重要性与局限性内部控制的重要性与局限性7.4 7.4 对内部控制的了解对内部控制的了解7.5 7.5 内部控制测试内部控制测试7.6 7.6 内部控制的评价内部控制的评价7.7 7.7 内部控制的审计内部控制的审计7.8 7.8 内部控制的鉴证内部控制的鉴证7.4 对内部控制的了解对内部控制的了解1、了解的深度、了解的深度了解内部控制的设计和运行情况。了解内部控制的设计和运行情况。【不需要确定被审单位内部控制的有效性，不需要寻找内部【不需要确定被审单位内部控制的有效性，不需要寻找内部控制运行的缺陷】控制运行

14、的缺陷】设计设计是否能够有效防止或发现并纠正重大错报。是否能够有效防止或发现并纠正重大错报。运行运行是否得到执行是否得到执行练习：在了解内部控制时，练习：在了解内部控制时，A A注册会计师通常不实施的审注册会计师通常不实施的审计程序是（）。计程序是（）。A.A.了解控制活动是否得到执行了解控制活动是否得到执行B.B.了解内部控制的设计了解内部控制的设计C.C.记录了解的内部控制记录了解的内部控制D.D.寻找内部控制运行中的缺陷寻找内部控制运行中的缺陷正确答案正确答案D D 答案解析选项答案解析选项D D属于控制测试中测试控制执行有效属于控制测试中测试控制执行有效性需要考虑的。性需要考虑的。2、

15、了解的方法、了解的方法7.4.2 实实施一定的施一定的审计审计程序，深入了解内部控制程序，深入了解内部控制u询问询问本身不足以评价控制的设计及确定是否得到执行。本身不足以评价控制的设计及确定是否得到执行。u观观察察特定控制的运用特定控制的运用u检查检查u穿行穿行测试测试 穿行测试法 在每一笔交易循环中选择一项或若干项业务进行测试 验证内部控制的实际运行是否与审计工作底稿上所描述的内部控制一致穿行测试与重新执行有什么区别？穿行测试与重新执行有什么区别？穿行测试穿行测试是注册会计师为了验证以前程序获取的有是注册会计师为了验证以前程序获取的有关内部控制信息而实行的程序，比如进一步了解关内部控制信息而

16、实行的程序，比如进一步了解销售和收款循环的内部控制情况，注册会计师会销售和收款循环的内部控制情况，注册会计师会抽取几笔销售业务，抽取几笔销售业务，检查这几笔业务在整个会计检查这几笔业务在整个会计系统留下的有关原始凭证。系统留下的有关原始凭证。【不会产生新证据】【不会产生新证据】重新执行重新执行是对内部控制程序重新过一遍，测试其是是对内部控制程序重新过一遍，测试其是否得到有效执行，也就是说，否得到有效执行，也就是说，不是检查已有的凭不是检查已有的凭证或记录，而是证或记录，而是会产生新的证据会产生新的证据。比如注册会计比如注册会计师按照被审计单位相关内部控制制度的规定，重师按照被审计单位相关内部控

17、制制度的规定，重新编制银行存款余额调节表，来验证相应内部控新编制银行存款余额调节表，来验证相应内部控制是否有效运行。制是否有效运行。练习：单选题 在确定控制活动是否能够防止或发现并纠正重大错报时，下列审计程序中可能无法实现这一目的的是( )。A.询问员工执行控制活动的情况B.使用高度汇总的数据实施分析程序C.观察员工执行的控制活动D.检查文件和记录7.4.3 了解的内容了解的内容内控五要素内控五要素 P115 控制环境基础 风险评估重要环节 信息系统与沟通条件 控制活动手段 监督保障控制环境控制环境基础基础 项目组应考虑构成控制环境的下列要素，以及这些要素如何被纳入被审计单位业务流程。 单项选

18、择题 在了解控制环境时，C注册会计师通常考虑的因素是( )。 A.内部控制的人工成分 B.内部控制的自动化成分 C.丙公司董事会对内部控制重要性的态度和认识 D.会计信息系统【答案】C 风险评估风险评估重要环节重要环节 1、定义：被审计单位的风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。2、对风险评估过程的了解 如果发现与财务报表有关的风险因素，注册会计师可通过向管理层询问和检查有关文件确定被审计单位的风险评估过程是否也发现了该风险； 如果识别出管理层未能识别的重大错报风险，注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险，以及评估过程是否适合于具

19、体环境。信息系统与沟通信息系统与沟通条件条件 项目组应了解与财务报告相关的信息系统。 应评估管理层凌驾于账户记录控制之上的风险。控制活动控制活动手段手段 项目组应了解被审计单位与授权、业绩评价、信息处理、实物控制和职责分离有关的控制活动。应据以评估认定层次的重大错报风险。控制活动控制活动 P119 P119 1 1、授权、授权u目的目的在于保证交易在管理层授权范围内进行。在于保证交易在管理层授权范围内进行。u授权包括授权包括一般授权和特别授权一般授权和特别授权。u一般授权一般授权是指管理层制定的要求组织内部遵守的是指管理层制定的要求组织内部遵守的普遍适用普遍适用于于某类交易或活动的政策。某类交

20、易或活动的政策。u特别授权特别授权是指管理层针对是指管理层针对特定类别的交易或活动特定类别的交易或活动逐一设置的逐一设置的授权授权2.业绩评价注册会计师应当了解被审计单位与业绩评价有关的控制活动，主要包括：(1)分析评价实际业绩与预算(或预测、前期业绩)的差异；(2)综合分析财务数据与经营数据的内在关系；(3)将内部数据与外部信息来源相比较；(4)评价职能部门、分支机构或项目活动的业绩(5)对发现的异常差异或关系采取必要的调查与纠正措施。 例题：多项选择题戊公司下列控制活动中，属于经营业绩评价方面的有( )。A.由内部审计部门定期对内部控制的设计和执行效果进行评价B.定期与客户对账并对发现的差

21、异进行调查C.对照预算、预测和前期实际结果，对公司的业绩进行复核和评价D.综合分析财务数据和经营数据之间的内在关系【答案】CD3.信息处理信息处理控制分为一般控制和应用控制；一般控制是针对计算机的控制，应用控制是针对具体业务的控制。一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行，支持应用控制作用的有效发挥是应用的基础保障。一般控制存在缺陷导致财务报表层的重大错报风险；应用控制存在缺陷导致认定层的重大错报风险； 一般性控制是指为保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的具有普遍影响的控制措施。具体包括程序开发、程序变更、程序和数据访问、计算机运行四

22、个方面。 例如，数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制。 应用控制是指主要在业务流程层面运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关。 例如，检查数据计算的准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。4.实物控制。l 实物控制主要包括对资产和记录采取适当的安全保护措施，对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对。 例如，现金、有价证券和存货的定期盘点控制。l 实物控制的效果影响资产的安全，从而对财务报表的可靠

23、性及审计产生影响。5.职责分离。 了解职责分离主要是了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。 2 2、职责划分、职责划分 授权授权 执行执行 如有权决定或审批材料采购的人员不能同时兼任采购员职务。如有权决定或审批材料采购的人员不能同时兼任采购员职务。 执行执行 审核审核 如填写销货发票的人员不能兼任审核人员。如填写销货发票的人员不能兼任审核人员。 执行执行 记录记录 如销货人员不能同时兼任会计记账工作。如销货人员不能同时兼任会计记账工作。 保管保管 记录记录 如会计部门的出纳员与记账员要分离，不能兼任如会计部门

24、的出纳员与记账员要分离，不能兼任。保管保管 核对核对记录明细账记录明细账 记录总账记录总账登记日记账登记日记账 登记总账登记总账例题： 甲公司财务科有甲公司财务科有A A、B B、C C三位会计人员，他们要完成以下几项工三位会计人员，他们要完成以下几项工作作 1 1、记录总账、记录总账 2 2、记录应付款明细账、记录应付款明细账 3 3、记录应收账款明细账、记录应收账款明细账 4 4、开具支票，以便主管人员签章，并记载现金日记账、开具支票，以便主管人员签章，并记载现金日记账 5 5、开具退货拒付通知书、开具退货拒付通知书 6 6、调节银行对账单、调节银行对账单 7 7、处理并送存所收入的现金、

25、处理并送存所收入的现金 要求：现已知这三位会计人员均具有相当的能力，如何将上述几要求：现已知这三位会计人员均具有相当的能力，如何将上述几项工作分配给项工作分配给A A、B B、C C三位会计人员，使会计工作起到较好的内三位会计人员，使会计工作起到较好的内部控制作用？部控制作用？3 3、凭证与记录控制、凭证与记录控制4 4、资产接触与记录控制、资产接触与记录控制5 5、独立稽核、独立稽核 凭证和账簿之间的复查核对凭证和账簿之间的复查核对 账簿和报表之间的复查核对账簿和报表之间的复查核对 账簿之间的复查核对账簿之间的复查核对练习练习 审计人员通过对通达物资贸易公司的审计，掌握了该公司审计人员通过对

26、通达物资贸易公司的审计，掌握了该公司出纳员王玉贪污公款的情况：出纳员王玉贪污公款的情况： 1.1.通达贸易公司出纳员王玉从公司收发室截取了顾客李鸿升通达贸易公司出纳员王玉从公司收发室截取了顾客李鸿升寄给公司的分期付款的寄给公司的分期付款的50005000元支票，存入了由他负责的公元支票，存入了由他负责的公司零用金银行存款账户中。然后，在该存款户中以支付劳司零用金银行存款账户中。然后，在该存款户中以支付劳务费为由，开具了一张以自己为受款人的务费为由，开具了一张以自己为受款人的50005000元的支票，元的支票，签名后从银行兑取了现金。签名后从银行兑取了现金。 支票保管与印章保管未分离支票保管与印

27、章保管未分离 2 2在与客户对账时，王玉将应收账款（李鸿升）账户余额在与客户对账时，王玉将应收账款（李鸿升）账户余额扣减扣减50005000元后作为对账金额发给李鸿升对账单，表示元后作为对账金额发给李鸿升对账单，表示50005000元款项已经收到。元款项已经收到。 出纳与核对未分离出纳与核对未分离 3.103.10天后，王玉编制了一张会计凭证，将应天后，王玉编制了一张会计凭证，将应收账款（李鸿升）账户调整到正确余额，但收账款（李鸿升）账户调整到正确余额，但银行存款账户余额却比实际高列了银行存款账户余额却比实际高列了50005000元。元。 出纳与记账未分离出纳与记账未分离 4.4.月底，在编制

28、银行存款余额调节表时，王月底，在编制银行存款余额调节表时，王玉在调节表上虚列了两笔未达账项，将银行玉在调节表上虚列了两笔未达账项，将银行存款余额调节表调平。存款余额调节表调平。 出纳与核对未分类出纳与核对未分类 要求根据上述情况，分析该公司内部控制制要求根据上述情况，分析该公司内部控制制度中存在的哪些重要缺陷。度中存在的哪些重要缺陷。监督监督保证保证 . 项目组应了解被审计单位对控制的持续监督活动和专门的评价活动。应考虑与监督活动相关的信息来源的可靠性。 4 4、了解的层面、了解的层面7.4.4 7.4.4 多层面了解内部控制多层面了解内部控制v 整体层面了解和评估被审计单位内部控制整体层面了

29、解和评估被审计单位内部控制包括对内部环境、风险评估、控制活动、信息与沟通和内包括对内部环境、风险评估、控制活动、信息与沟通和内部监督五要素的了解和评估；部监督五要素的了解和评估；v 在业务流程层面了解和评估被审计单位内部控制在业务流程层面了解和评估被审计单位内部控制包括采购与付款、销售与收款、存货与仓储、筹资与投资包括采购与付款、销售与收款、存货与仓储、筹资与投资、货币资金等业务循环进行了解和评估内部控制。、货币资金等业务循环进行了解和评估内部控制。 了解整体层面了解和评估被审计单位内部控制了解整体层面了解和评估被审计单位内部控制1、总体要求：（1）人员：了解被审单位且有经验（2）重点关注：变

30、化及应对措施（3）特别关注：舞弊2、方法：3、财务报表层次的重大错报风险很可能源于薄弱的控制环境，因此，注册会计师在评估财务报表层次的重大错报风险时，应当将被审计单位整体层面的内部控制状况和了解到的被审计单位及其环境其他方面的情况结合起来考虑。在业务流程层面了解和评估被审计单位内部控制在业务流程层面了解和评估被审计单位内部控制P121（一）总体要求：（一）总体要求： 在初步计划审计工作时，注册会计师需要确定在被审计单位财务报表中可能存在重大错报风险的重大账户及其相关认定。(二)六大步骤1.确定被审计单位的重要业务流程和重要交易类别2.了解重要交易流程，并记录获得的了解3.确定可能发生错报的环节

31、; 4. 4.识别和了解相关控制识别和了解相关控制5.5.执行穿行测试，证实对交易流程和相关控制的了解执行穿行测试，证实对交易流程和相关控制的了解6.6.进行初步评价和风险评估，注册会计师对控制的评价结进行初步评价和风险评估，注册会计师对控制的评价结论可能是：论可能是：(1)(1)所设计的控制单独或连同其他控制能够防止或发现并所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报，并得到执行纠正重大错报，并得到执行; ;(2)(2)控制本身的设计是合理的，但没有得到执行控制本身的设计是合理的，但没有得到执行; ;(3)(3)控制本身的设计就是无效的或缺乏必要的控制。控制本身的设计就是无效的

32、或缺乏必要的控制。一、文字表述法文字表述法 优点：灵活；优点：灵活； 缺点：冗赘缺点：冗赘 适用：任何类型和规模的企业，特别是内控不健适用：任何类型和规模的企业，特别是内控不健 全或控制简单的企业。全或控制简单的企业。二、问卷调查法二、问卷调查法 优点：简便易行；概括；集中反映问题；省时省力优点：简便易行；概括；集中反映问题；省时省力 缺点：不系统、不全面；格式固定；容易流于形式缺点：不系统、不全面；格式固定；容易流于形式三、流程图法三、流程图法 优点：简明；简便优点：简明；简便 缺点：需要技术和经验；费时；不易表明缺陷描述具缺点：需要技术和经验；费时；不易表明缺陷描述具 体、深入；不受限体、

33、深入；不受限7.7.4.54.5内部控制的描述内部控制的描述l 经办的业务人员获取经费报销的原始凭单，根据原始经办的业务人员获取经费报销的原始凭单，根据原始凭证填制费用报销单（并将原始凭单附在费用报销单凭证填制费用报销单（并将原始凭单附在费用报销单后面），经部门负责人审核签字后送交财会部门。后面），经部门负责人审核签字后送交财会部门。l 由会计人员对费用报销单进行审核，审核完毕后交给由会计人员对费用报销单进行审核，审核完毕后交给出纳员据以付款并登记现金日记。出纳员据以付款并登记现金日记。l 会计人员再根据相关凭证登记费用明细账和相关总账会计人员再根据相关凭证登记费用明细账和相关总账（明细账和总

34、账分别由不同的会计人员登记）。（明细账和总账分别由不同的会计人员登记）。l 最后，现金日记账和现金总账定期核对。最后，现金日记账和现金总账定期核对。文字表述法文字表述法亚东公司零星费用报销内部控制程序亚东公司零星费用报销内部控制程序 调查表法调查表法流程图法流程图法7.1 7.1 概述概述7.2 7.2 内部控制的内容与形式内部控制的内容与形式7.3 7.3 内部控制的重要性与局限性内部控制的重要性与局限性7.4 7.4 对内部控制的了解对内部控制的了解7.5 7.5 内部控制测试内部控制测试7.6 7.6 内部控制的评价内部控制的评价7.7 7.7 内部控制的审计内部控制的审计7.8 7.8

35、 内部控制的鉴证内部控制的鉴证7.5 内部控制测试内部控制测试7.5.1 7.5.1 内部控制的人工成分与自动化成分内部控制的人工成分与自动化成分 人工控制的适用性：人工控制的适用性： 大额、异常或偶发的交易大额、异常或偶发的交易 存在难以定义、防范或预见的错误存在难以定义、防范或预见的错误 应对情况的变化，需要对自动化控制进行调整应对情况的变化，需要对自动化控制进行调整 监督自动化的有效性监督自动化的有效性 人工控制的风险人工控制的风险7.5.2控制测试的含义和要求控制测试的含义和要求（一）控制测试的含义与目的 含义：控制测试是指用于评价内部控制在防止或发现并纠正认定层次重大错报的运行有效性

36、的审计程序。7.5.2控制测试的含义和要求控制测试的含义和要求控制测试的目的了解内部控制的目的了解内部控制的目的控制测试的目的控制测试的目的针对某认定是否设计相关内部控制针对某认定是否设计相关内部控制这些控制这些控制是否正在运行是否正在运行是否能够防止或发现并纠正财务报是否能够防止或发现并纠正财务报表重大错报。表重大错报。已经设计并正在运行的某认定相关已经设计并正在运行的某认定相关的内部控制运行的内部控制运行是否有效是否有效，即是否，即是否防止或发现并纠正了财务报表重大防止或发现并纠正了财务报表重大错报错报7.5.2控制测试的含义和要求控制测试的含义和要求控制测试与了解内部控制的区别：n 在了

37、解控制是否得到执行时，只需抽取少量的交易进行检查或观察某几个时点。n 在测试控制运行的有效性时，需抽取足够数量的交易进行检查或对多个时点进行观察。（二）控制测试的基本要求n 需要实施控制测试的情形注册会计师在以下两种情形中应当实施控制测试：1.在评估认定层次重大错报风险时，预期控制的运行是有效的。2.仅通过实施实质性程序并不能够提供认定层次充分、适当的审计证据。（二）控制测试的基本要求n 测试控制运行有效的内容1.控制在所审计期间的相关时点是如何运行的；2.控制是否得到一贯执行；3.控制由谁执行或以何种方式执行。7.5.3控制测试的性质 1、控制测试的性质是指控制测试所使用的审计程序的类型及其

38、组合。 2、控制测试所使用的审计程序的类型：询问询问不足以证明内控的有效性不足以证明内控的有效性观察观察仅限于时点仅限于时点检查检查取决于记录和文件的来源于性质取决于记录和文件的来源于性质重新执行重新执行费时间费时间n 3 3、确定控制测试性质的要求、确定控制测试性质的要求(1)(1)考虑特定控制的性质考虑特定控制的性质(2)(2)考虑测试与认定直接相关和间接相关的控制考虑测试与认定直接相关和间接相关的控制(3)(3)如何对自动化应用控制实施控制测试如何对自动化应用控制实施控制测试4 实施控制测试时对双重目的的实现考虑针对同一交易同时实施控制测试和细节测试，以实现双重目的：1.通过控制测试，评

39、价控制是否有效运行；2.通过细节测试，发现认定层次的重大错报。例如，检查发票的复核情况时，确认没有复核或存在未能复核出的错报，顺便记录或计算失控的金额，以便列示审计调整分录。 5、考虑实施实质性程序的结果对控制测试结果的影响(1)如实施实质性程序未发现某项认定存在错报，不能说明相关的控制运行有效；(2)如实质性程序发现某项认定存在错报，通常表明内部控制存在重大缺陷。7.5.4 控制测试的时间控制测试的时间n 1、控制测试的时间包含两层含义：n一是何时实施控制测试;n二是测试所针对的控制适用的时点或期间。2、如何考虑期中审计证据n 但即使已获取有关控制在期中运行有效性的审计证据，仍需考虑如何能够

40、这些审计证据合理延伸至期末。n 针对期中至期末这段剩余期间获取充分、适当的审计证据（1）获取这些控制在剩余期间变化情况的审计证据；（2）确定针对剩余期间还需获取的补充审计证据。第一个程序是考察控制在剩余期间的变化情况（是否发生了变化以及如何变化）：（1）如没有发生变化，可能决定信赖期中获取的审计证据；（2）如发生了变化（如信息系统、业务流程或人事管理等方面发生变动），需要了解并测试控制的变化对期中审计证据的影响“添加式”变化就不影响对原有证据的信赖。第二个程序是针对剩余期间的补充证据。需要获取的补充证据的多少取决于：（1）评估的认定层次重大错报风险的重大程度。重大错报风险对财务报表的影响越大，

41、需要获取补充证据越多。（2）在期中测试的特定控制（3）期中对有关控制运行有效性获取的证据的程度。如期中获取了控制运行有效性的充分证据，可考虑减少补充证据。第二个程序是针对剩余期间的补充证据。需要获取的补充证据的多少取决于：（4）剩余期间的长度。剩余期间越长需要获取的补充证据越多。（5）在信赖控制的基础上拟缩少实质性程序的范围。对控制的信赖程度越高，拟减少实质性程序的范围就越大，需要获取补充证据越多。（6）控制环境。控制环境越薄弱，需要获取补充证据越多。（7）测试被审计单位对控制的监督也能够作为一项有益的补充证据3、如何考虑以前审计获取的审计证据n 内部控制往往是稳定的，这就使得在本期审计时可能

42、利用以前获取的控制运行有效的审计证据；n 但不同期间的内部控制也可能发生重大变化，这就需要在利用以前审计证据时需要格外慎重。基本思路：考虑拟信赖的以前审计测试的控制在本期是否发生变化。4.不得依赖以前审计所获取证据的情形对于旨在减轻特别风险的控制，不论该控制在本期是否发生变化，都不应依赖以前审计获取的证据。应在本期审计中测试这些控制的运行有效性。7.5.5控制测试的范围控制测试的范围n （一）控制测试的范围，是指某项控制活动的测试次数。 确定控制测试范围的考虑因素：除考虑对控制的信赖程度外，注册会计师还可能考虑以下因素：1.在整个拟信赖的期间，被审计单位执行控制的频率频率越高，范围越大。2.在

43、所审计期间，拟信赖控制运行有效性的时间长度拟信赖期间越长，控制测试的范围越大。3.控制的预期偏差 预期偏差率越高，控制测试的范围越大7.5.5控制测试的范围控制测试的范围控制测试的范围，是指某项控制活动的测试次数。确定控制测试范围的考虑因素：除考虑对控制的信赖程度外，注册会计师还可能考虑以下因素：4.通过测试与认定相关的其他控制获取的审计证据的范围。 针对其他控制获取证据的充分性和适当性较高时，测试的范围可适当缩小。5.拟获取的有关认定层次控制运行有效性的审计证据的相关性和可靠性相关性和可靠性要求越高，控制测试的范围越大。n （二）对自动化控制的测试范围的特别考虑信息技术处理具有内在一贯性。一

44、旦通过控制测试确定自动控制系统正在执行，通常无须为证实一贯性而扩大控制测试的范围正在执行一贯执行。注册会计师需要执行下列测试以确定该控制持续有效运行：1.测试与该应用控制有关的一般控制的运行有效性；2.确定系统是否发生变动，如果发生变动，是否存在适当的系统变动控制；3.确定对交易的处理是否使用授权批准的软件版本。练习：某公司某项控制由计算机自动执行，且在207年度未发生变化。F注册会计师测试该项控制在207年度运行有效性时，正确的做法有（ ）。A.同时考虑信息技术一般控制运行有效性B.利用该项控制得以执行的审计证据和信息技术一般控制运行有效性的审计证据，作为支持该项控制在207年度运行有效性的

45、重要审计证据C.确定的测试范围与该项控制由手工执行时的测试范围相同D.一旦确定正在执行该项控制，则无需扩大控制测试的范围【答案】ABD7.1 7.1 概述概述7.2 7.2 内部控制的内容与形式内部控制的内容与形式7.3 7.3 内部控制的重要性与局限性内部控制的重要性与局限性7.4 7.4 对内部控制的了解对内部控制的了解7.5 7.5 内部控制测试内部控制测试7.6 7.6 内部控制的评价内部控制的评价7.7 7.7 内部控制的审计内部控制的审计7.8 7.8 内部控制的鉴证内部控制的鉴证7.6.1.7.6.1.内内 控制自我评价控制自我评价 1 1、内部控制评价、内部控制评价 内部控制评

46、价，是指企业内部控制评价，是指企业董事会董事会或类似权力机构对内或类似权力机构对内部控制的有效性进行全面评价，形成评价结论，出具部控制的有效性进行全面评价，形成评价结论，出具评价报告的过程。评价报告的过程。p 主体是董事会或类似权力机构主体是董事会或类似权力机构 p 对象是内部控制的有效性对象是内部控制的有效性 p 内部控制评价是一个过程内部控制评价是一个过程 2、内部控制评价工作的组织与实施、内部控制评价工作的组织与实施1）管理层要提交内部控制评价报告 （年度评价和专项评价）2）评价工作的组织与实施 A.谁负责：企业主要负责人 B.谁实施：董事会（或类似决策机构）或其授权机构 （可借助CPA

47、或外部专家） C.遵循原则：全面性、重要性和独立性等原则P142 D.评价方法（访谈、问卷、专题讨论、穿行测试、统计抽样、比较分析等） 3 3、如何进行评价？、如何进行评价？内部控制评价的程序内部控制评价的程序p143p143 制定评价工作方案制定评价工作方案 范围、任务、人员组织、进度安范围、任务、人员组织、进度安排、费用预算等内容排、费用预算等内容 组成评价工作组组成评价工作组 注意注意：为企业提供内部控制审计服：为企业提供内部控制审计服务的会计师事务所，不得同时为同一企业提供内部控务的会计师事务所，不得同时为同一企业提供内部控制评价服务制评价服务 实施现场测试实施现场测试 测试方法：个别

48、访谈、调查问卷、专测试方法：个别访谈、调查问卷、专题讨论、穿行测试、实地检查、抽样和比较分析等题讨论、穿行测试、实地检查、抽样和比较分析等 认定控制缺陷认定控制缺陷 A A，设计缺陷和运行缺陷，设计缺陷和运行缺陷企业在内部控制评价中，应对内部控制缺陷进行分企业在内部控制评价中，应对内部控制缺陷进行分类分析。类分析。1 1、设计缺陷：、设计缺陷：缺少为实现控制目标所必需的控制，缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控或现存控制设计不适当、即使正常运行也难以实现控制目标。制目标。2 2、运行缺陷：、运行缺陷：现存设计完好的控制没有按设计意现存设计完好的控制没有

49、按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。以有效地实施控制。1 1、重大缺陷，、重大缺陷，是指一个或多个控制缺陷的组合，可是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标的情形。能导致企业严重偏离控制目标的情形。2 2、重要缺陷，、重要缺陷，是指一个或多个控制缺陷的组合，其是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标的情形。导致企业偏离控制目标的情形。3 3、一般缺陷，、一般缺陷，是指除重大缺陷、重要缺陷之外的其是指除

50、重大缺陷、重要缺陷之外的其他控制缺陷。他控制缺陷。 B,B,重大缺陷、重要缺陷和一般缺陷重大缺陷、重要缺陷和一般缺陷4 4、汇总评价结果、汇总评价结果 工作组负责人对评价底稿进行严格审核 评价部门编制内部控制缺陷认定汇总表 注意：上述缺陷的整改责任人不同： 1、董事会（监事会监督）； 2、经理层； 3、内部有关单位重大缺陷由董事会予以最终认定6 6、编制评价报告、编制评价报告（1）评价报告的内容： （一）组织实施内部控制评价的总体情况。（一）组织实施内部控制评价的总体情况。（二）内部控制责任主体的声明。（二）内部控制责任主体的声明。（三）内部控制评价的范围和内容。（三）内部控制评价的范围和内容

51、。（四）内部控制评价的标准和依据。（四）内部控制评价的标准和依据。（五）内部控制评价的程序和方法。（五）内部控制评价的程序和方法。（六）内部控制重大缺陷及其认定情况。（六）内部控制重大缺陷及其认定情况。（七）内部控制重大缺陷的整改措施及责任追究情况。（七）内部控制重大缺陷的整改措施及责任追究情况。（八）内部控制有效性的结论（基准日）。（八）内部控制有效性的结论（基准日）。（2）评价报告应当报董事会或类似权利机构批准后对外披露或报送相关部门（3）注意：评价部门应当关注评价报告基准日【12月31日】至评价报告发出日之间是否发生影响内部控制有效性的因素。 内部控制报告应于基准日后4个月内报出。7.1

52、 7.1 概述概述7.2 7.2 内部控制的内容与形式内部控制的内容与形式7.3 7.3 内部控制的重要性与局限性内部控制的重要性与局限性7.4 7.4 对内部控制的了解对内部控制的了解7.5 7.5 内部控制测试内部控制测试7.6 7.6 内部控制的评价内部控制的评价7.7 7.7 内部控制的审计内部控制的审计7.8 7.8 内部控制的鉴证内部控制的鉴证2022-5-20907.7 内部控制审计内部控制审计 一、什么是内部控制审计？一、什么是内部控制审计？（含义及与内部控制评价的关系）（含义及与内部控制评价的关系） 二、如何开展内部控制审计？二、如何开展内部控制审计？ 三、内部控制审计报告三

53、、内部控制审计报告2022-5-2091一、什么是内部控制审计？一、什么是内部控制审计？7.7.17.7.1内部控制审计的含义内部控制审计的含义 1 1概念概念p152p152 内控审计，是指会计师事务所接受委托，对特定基准日（通常与企业内控自我评价基准是一致的）内控设计与运行的有效性进行审计。n 基准日 注册会计师接受委托，对特定基准日内部控制设计与运行的有效性进行审计 注意：cpa并不是只测试基准日这一天的内部控制，而是要延伸考察一段时间内部控制设计和运行的情况。虽然，指引规定是对企业报表期末（基准日）发表审计意见，但这个基准日并不是一个简单的时点概念，而必须考虑基准日前的延伸。2022-

54、5-2093 2 2责任划分责任划分p152p152 在企业治理层的监督下，按照企业内部控制基本规范和相关规定，设计、实施和维护有效的内部控制，并评价其有效性是企业管理层的责任； 按照企业内部控制审计指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。 3. 内部控制审计的范围p152p152 我国颁布的企业内部控制审计指引规定，注册会计师应当对财务报告内部控制的有效性发表审计意见， 并对在审计过程中注意到的非财务报告内部控制的重大缺陷，在审计报告中单独增加“非财务报告内部控制重大缺陷描述段”进行披露。4 4、整合审计的概念与目标、整合审计的概念与目标整合审计

55、整合审计注册会计师可以单独进行内部注册会计师可以单独进行内部控制审计，也可以将内部控制审计，也可以将内部控制审计与财务报表审计控制审计与财务报表审计整合进行（整合审计）整合进行（整合审计）获取充分、适获取充分、适当的证据，支当的证据，支持其在持其在内部控内部控制审计中制审计中对内对内部控制的有效部控制的有效性发表的意见性发表的意见整合审计整合审计目标目标获取充分、适获取充分、适当的证据，支当的证据，支持其在持其在财务报财务报表审计中表审计中对内对内部控制的风险部控制的风险评估结果评估结果整合基础 内部控制2022-5-2096二、如何开展内部控制审计？二、如何开展内部控制审计？ 7.7.3 内

56、部控制审计程序内部控制审计程序 计划审计工作计划审计工作 实施审计工作实施审计工作 评价识别的控制缺陷评价识别的控制缺陷 完成审计工作完成审计工作 出具内控审计报告出具内控审计报告2022-5-20971、计划审计工作、计划审计工作 （一）总体要求 CPA应当恰当地计划内控审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。与企业相关的风险评估 相关的法律法规和行业概况内部控制最近发生变化的程度与企业沟通过的内控缺陷确定内部控制重大缺陷相关的因素（重要性水平、风险）对内部控制有效性的初步判断可获取的、与内部控制有效性相关的证据的类型和范围计划审计工作计划审计工作所需评价事项所需

57、评价事项组织结构、经营特征和资本结构u识别重大账户、重大列报&相关认定u识别重大业务流程&相关信息系统2 2、实施审计工作、实施审计工作 （一）总体要求 在内控审计中，CPA应当以风险评估为基础，运用自上而下自上而下的方法，选择拟测试的控制。 自上而下自上而下的方法是CPA识别风险及选择拟测试的控制的思路。 注册会计师应当测试企业层面企业层面的控制与业业务层面务层面的控制从财务报表层次初步了解内控整体风险评估企业层面控制识别重要账户、列报及其相关认定了解错报的可能来源选择拟测试的控制并测试自上而下方法 总体思路自上而下的方法（二）具体要求 （1）注册会计师测试企业层面控制，应当把握重要性原则

58、（2）注册会计师测试业务层面控制，应当把握重要性原则 重点对企业生产经营活动中的重要业务与事项的控制进行测试。 （3）注册会计师在测试企业层面和业务层面的控制时，应当评价内部控制是否足以应对舞弊风险。 （4）注册会计师应当测试内部控制设计和运行的有效性。3 3、评价识别的控制缺陷、评价识别的控制缺陷 （一）评价控制缺陷的严重程度（一）评价控制缺陷的严重程度 控制缺陷的类别控制缺陷的类别 内控存在的缺陷包括设计缺陷和运行缺陷。内控存在的缺陷包括设计缺陷和运行缺陷。 按其严重程度分为重大缺陷、重要缺陷和一般缺陷。按其严重程度分为重大缺陷、重要缺陷和一般缺陷。注册会计师发现董事、 监事和高级管理人员

59、舞弊企业更正已经公布的财务报表企业审计委员会和内部 审计机构对内部控制的监督无效存在重大缺陷的迹象注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报（二）表明可能存在重大缺陷的迹象2022-5-201084、完成审计工作、完成审计工作获取管理层书面声明获取管理层书面声明沟通相关事项沟通相关事项形成审计意见形成审计意见完成审计工作完成审计工作3 3步骤步骤（1 1）获取管理层书面声明）获取管理层书面声明声明书的内容声明书的内容( (略）略）如果企业拒绝提供或以其他不当理由回避书面声明，如果企业拒绝提供或以其他不当理由回避书面声明，注册会计师应视注册会计师应视审计范围受到

60、限制审计范围受到限制，解除业务约定或，解除业务约定或出具出具无法表示意见无法表示意见的内部控制审计报告。的内部控制审计报告。 （2 2）沟通相关事项）沟通相关事项 沟通的时间：书面沟通更应当在注册会计师沟通的时间：书面沟通更应当在注册会计师出具内部出具内部控制审计报告之前进行。控制审计报告之前进行。 沟通方式沟通方式: :口头、书面口头、书面【重大缺陷、重要缺陷、无效监【重大缺陷、重要缺陷、无效监督】督】 沟通的事项：审计过程中识别的所有控制缺陷沟通的事项：审计过程中识别的所有控制缺陷 沟通的对象：经理层、审计委员会、董事会沟通的对象：经理层、审计委员会、董事会非财务报告内部控制缺陷，应当区别