内部控制及控制风险评价

1、内部控制及控制风险评价一、大纲(一)内部控制目标与要素(二)了解与记录内部控制(三)内部控制测试(四)内部控制评价(五)管理建议书二、本章重点、难点注册会计师编制审计计划时，应当研究与评价被审计单位的内部控制。对拟信赖的内部控制进行符合性测试，据以确定对实质性测试的性质、时间和范围的影响。(一)内部控制目标与要素1 .内部控制定义被审计单位为了保证业务活动的有效进行，保护资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序。2 .内部控制的目标。(1)保证业务活动按照适当的授权进行；(2)保证所有交易和事项以正确的金额，在恰当的会计期间及时记录.

2、于适当的账户，使会计报表的编制,符合会计准则的相关要求；(3)保证对资产和记录的接触、处理均经过适当的授权；(4)保证账面资产与实存资产定期核对相符。3 .有关内部控制的一般考虑。管理当局的责任建立、修正和维护公司的各项控制，并监督控制政策和程序得到持续有效的执行是管理当局的责任。合理的保证A公司管理当局应在综合考虑控制的成本效益.的基础上，建立能为公司会计报表的公允表达提供合理,保证的内部控制。B控制程序不应对工作效率或获利能力有不利影响。固有的限制由于和，会计报表审计总存在一定的控制风险，控制风险始终应大于零。因此不管内控如何，都要进行实质性测试。4 .了解内部控制与审计的关系(1)不论被

3、审计单位规模大小，都要充分了解相关的内控；(2)根据了解，确定是否进行符合性测试及符合性测试的时间、性质和范围；(3)内控良好，绝不能完全取消实质性测试程序。5.内部控制要素(1)控制环境指对企业内部控制的建立和实施有重大影响的因素的总称。其好坏直接决定着企业其他控制能否实施或实施的效果；可增强也可削弱特定控制的有效性。反映了管理当局和董事会关于控制对公司重要性的态度。内容包括：A经营管理的观念、方式和风格B组织结构C董事会D授权和分配责任的方法E管理控制方法F内部审计G人事政策和实务H外部影响(2)会计系统核心是处理交易，应为每笔交易提供一个完整的审计轨迹或交易轨迹，有效会计系统应做到：确认

4、并记录所有真实的交易；及时且充分详细地描述,交易，以便在会计报表上对交易作适当的分类；计量交易的价值，以便在会计报表上记录其适当的货币价值；确定交易发生的期间,，以便将交易记录在适当的会计期间；在会计报表中适当地表达交易和披露相关事项。(3)控制程序控制程序可应用于某种交易，也可以广泛地加以应用，还可以融合应用于控制环境或会计系统的特定组成部分。交易授权交易授权程序的主要目的,在于保证交易是管理人员在其授权范围内授权下产生的；交易授权程序通常对“存在或发生”认定，以及某些“估价或分摊”认定的控制风险有直接影响。职责划分A职责划分的主要目的是为预防和及时发现在执行所分配的职责时所产生的错误或舞弊

5、行为。B对于4利有的职责必须实行职责划分。C小公司业主可通过担任一些特定的工作，来实现职责的合理划分；或通过对员工的工作进行严密的监督与复核，以弥补职责划分的不足。D职责划分会影响三种认定的控制风险，比如：a将资产保管同资产会计记录的掌管相分离，可以降低盗窃的风险，因为盗窃者将无法通过减少资产的记录来掩饰盗窃真相。b将处理现金支出交易同调节银行账户分离，可以降低不记录支票付款的风险，因为在调节过程中可发现这种风险。c付款凭证的批准同支票签发相分离，可以降低支票书写出错的风险。凭证与记录控制凭证和记录的控制程序会影响三种认定的控制风险，即：A适当保持的记录，如永续存货记录、应收账款记录、职工工资

6、收人记录，同“存在或发生”认定有关。B使用预先编号的凭证并按其编号进行会计处理，同“完整性”认定有关。C原始凭证，提供了交易记录的金额，直接和“估价或分摊”认定相关。资产接触和记录使用A主要是指限制接近资产和接近重要记录，以保证资产和记录的安全。B保护资产和记录安全的最重要措施就是采用实物防护措施。C同降低“存在或发生”、“完整性”、“估价或分摊”认定的控制风险相关。独立稽核A独立稽核是指验证由另一个人或部门执行的工作和验证所记录金额估价的正确性。B独立稽核同很多认定相关。比如：a人工计算稽核发票、工资计算表及存货汇总表的正确性(“估价或分摊”认定)。b比较现有资产和有关记录，如，银行存款余额

7、调节表、零用现金盘点表，及实物存货记录等(存在或发生”、“完整性”、“估价或分摊”认定)。c管理当局复核汇总账户余额详细情况的报告，如应收账款的账龄分析表(“估价或分摊”认定)。(二)了解与记录内部控制注册会计师对于企业内部控制所作的研究和评价可分为三个步骤：第一，了解企业的内部控制情况.，并做出相应的记录；第二，实施符合性测试程序，证实有关内部控制的设计和执行的效果；第三，评价内部控制的强弱，即评价控制风险，确定在内部控制薄弱的领域扩展审计程序，降低审计风险。1.业务循环及其分类(1)如何划分业务循环，应视企业的业务性质和规模而定。(2)不论如何划分业务循环，注册会计师要将主要精力集中在那些

8、影响会计报表反映的内部控制程序上。(3)制造业可划分为下列业务循环：销售与收款循环；购货与付款循环；生产循环；筹资与投资循环；投资与理财循环。2. 了解内部控制(1)计划审计工作阶段的了解内控穿行测试就是追查几笔通过会计系统的交易。如果选出的交易在通过会计系统的那些交易中具有代表性，那么该程序可作为符合性测试的一部分。注册会计师的穿行测试的性质和范围，决定了其并不能为评价控制风险处于低水平提供充分、适当的审计证据。(2) 了解内部控制所执行的程序的性质、时间和范围的主要取决因素被审计单位经营规股.及业用复杂程度；被审计单位数据处理,系统类型及复杂程度；审计重要生；相关内部控制类型；相关内部控制

9、的记录方式.；固有风险的评估结果。(3) 了解内部控制的程序询问被审计单位有关人员；查网相关内部控制文件；检查内部控制生成的文件和记录；观察被审计单位的业务活动和内部控制的运行情况；选择若干具有代表性的交易和事项进行穿行测试.。(4) 了解控制环境(5) 了解会计系统(6) 了解控制程序注册会计师了解控制程序，比了解控制环境和会计制度要素更强调.确定特定单项控制程序与特定认定之间的直接关系。控制程序比控制环境的政策或程序更直接.地与某一特定认定相关，因此，对于防止或发现和更正会计报表中的重要错报或漏报更为有效。注册会计师在设定控制风险低于最大值时，比设定控制风险为最大值时需要更多地了解控制程序

10、。了解控制程序的总要求：通过充分了解，合理制定审计计划。通常，制定总体审计计划并不要求对每个账户余额和交易种类的每项会计报表认定的控制程序进行了解。了解时着重考虑5类控制程序。是否利用内审工作的考虑因也独立性、经验和能力、内审程序、内审证据、重视程度。(7)控制风险的初步评价控制风险的初步评价是针对每个重要的账户余额或交易种类，在认定层上进行的。出现以下情况之一时，注册会计师应将重要账户或交易类别的某些或全控制风险评估为高本平:企业内部控制失效；难以对内部控制的有效性作出评价；注册会计师不.拟进行符合性测试。对某项会计报表认定而言，如果同时出现以下情况，不应评价其控制风险处于高水平：相关的内部

11、控制可能防止或发现和纠正重大错报或漏报;注册会计师拟进行符合性测试。3.记录对内部控制的了解和对控制风险的评价(1)基本要求当控制风险评价为最高水平时，只需记录这一评价结论；当控制风险评价低于最高水平时，还必须记录评价的依据。(2)记录方法调查表(问卷)；文字表达；流程图；核对表。(三)内部控制测试1 .运用初步审计策略的步骤2 .控制测试的概念(1)符合性测试的条件准备信赖内部控制；只有当信赖内部控制而减少的实质性测试的工作量大于符合性测试的工作量时。(2)符合性测试的基本对象控制设计测试控制执行测试A怎样应用的？B是否在年度中一贯应用？C由谁来应用？(3)注册会计师并不是对所有的控制都要加

12、以测试，只应对那些有助于防止或发现和纠正会计报表认定产生重大错报或漏报的控制执行测试。(4)过程确定种类一决定性质一确定范围一决定时间一考虑利用内审一双重目的测试3 .符合性测试的种类(1)时间注册会计师可在审计计划期间和期中工作期间执行符合性测试。(2)执行情况主要证实法：可能.执行“同步符合性测试”及“额外符合性测试”较低控制风险估计水平法：必须.执行“计划符合法性测试”(3)同步符合性测试是在注册会计师取得对内部控制制度的了解时，也同时提供了有关控制政策和程序是否有效的证据。这种取得了解的程序就构成了“同步符合性测试”这种测试不是必需的，而是由注册会计师有选择的执行。通过同步符合性测试取

13、得的证据，只能使注册会计师评价控制风险的估计水平处在略低于最高水平到中等水平范围之内。因为这些证据是在审计的计划期间内取得，其证据本身并不能证明某项控制政策或程序在整个被审计年度均由经授权的人员适当和一贯地加以应用。(4)追加符合性测试追加符合性测试在外勤工作中执行。是为了进一步降低注册会计师对控制风险估计水平而进行的测试。必须考虑是否符合成本效益原则。还必须考虑有否可能获得额外的证据，来支持进一步降低控制风险的初步估计水平。(5)计划符合性测试在外勤工作中执行。在选用较低控制风险估计水平法下必须执行的测试。执行的目的是为了支持注册会计师计划的实质性测试水平。所取得的证据应足以支持评价某些认定

14、的控制风险为中等或低水平。4 .符合性测试的性质即执行测试将使用什么样的审计程序。(1)检查交易和事项的凭证；(2)询问并实地观察未留下审计轨迹的内部控制的运行情况(3)重新执行相关内部控制程序。以上程序可单独适用，也可合并使用，没有一项总是有用或一直有效。5 .符合性测试范围(1)理论上，范围越大,证据越充分。(2)实务中，范围并不是越大越好,而是要求注册会计师从最经济有效地实现审计目标的总体需要出发，合理地确定测试范围。(3)范围直接受注册会计师计划控制风险估计水平的影响。计划控制风险估计水平低时比中等时需要更多的符合性测试证据。(4)还应考虑所使用的以前年度审计获得的有关控制有效性的证据

15、的恰当性：这些证据所涉及的认定的重要性；以前年度审计中所评价的特定内部控制；所评价的政策和程序被适当设计和有效执行的程度；用来作这些评价的符合性测试的结果。(5)使用以前年度证据的考虑： 执行符合性测试的时间间隔的长短 内控设计或执行有无重大变化。(6)可不进行符合性测试的情况：相关内部控制不存在； 相关内部控制虽然存在，但通过了解，发现其并未有效运行； 符合性测试的工作量可能大于进行符合性测试所减少的实质性测试的工作量。6.符合性测试的时间追加的或计划的符合性测试通常是在期中工作中执行，并且很可能在审计年度结束前的几个月里进行。从审计有效性的角度看来，符合性测试应尽可能安排在期中的后期执行。

16、若期中审计已进行符合性测试，注册会计师在决定完全信赖其结果前，应当考虑以下因素，以进一步获取期中至期末的相关审计证据：(1)期中审计符合性测试的结论.；(2)期中审计后剩余期间的长短；(3)期中审计后内部控制的变动情况；(4)期中审计后发生的交易和事项的性质及金额；(5)拟实施的审计实质性测试程序。7 .符合性测试中利用内部审计人员的工作评价内审人员工作的质量和有效性，注册会计师需弄清：(1)工作范围对实现特定目标是否适当；(2)审计方案是否适当；(3)工作底稿是否充分记录了所执行的工作，包括监督和复核的证据；(4)对有关的结论,是否适当；(5)审计报告与所执行的工作是否一致。如果要求内审人员

17、直接提供帮助时，应注意：(1)考虑内审人员的胜任能力和客观性，并监督、复核、评价和测试他们所执行的工作；(2)明确告诉内审人员所负的责任和执行有关程序的目标，以及其他影响事项；(3)明确告诉内审人员将发现的所有重大会计和审计问题，提请注册会计师注意。8 .双重目的测试在绝大多数的会计报表审计中，额外的符合性测试主要在期中工作期间执行，而实质性测试则主要在期末工作时执行。但是，也允许在期中工作时，执行有关交易的某些详细实质性测试，以检查出报表中的重要错报或漏报。这时，注册会计师可同时针对相同的交易执行符合性测试。(四)内部控制评价1 .控制风险评价的概念(1)评价基础与某认定相关的各内部控制要素

18、里的控制政策和程序(2)为认定而进行的，而不是为了个别内部控制要素或个别政策和程序而进行的。(3)实际上是注册会计师对每一内部控制要素里的相关控制政策和程序的有效性，同某项认定里存在重要错报或漏报的风险之间的相互作用情况进行判断的过程。2 .控制风险评价的过程如果很多认定或者所有的认定的控制风险，都被评价为高水平，注册会计师就要研究是否应进一步对被审计单位的会计报表进行审计。(1)评价为高水平的确认事项：控制政策和程序与认定不相关；控制政策和程序无效；取得证据来评价控制政策和程序显得不经济。(2)评价为低水平的确认事项：控制政策和程序与认定相关；通过符合性测试已获得证据证明控制有效。(3)评价

19、步骤：确定该项认定可能发生哪些潜在的错报或漏报；确定哪些控制可以防止或者发现和更正这些错报或漏报；执行符合性测试，获取这些控制是否设计适当和有效执行的证据；(如果控制风险为高水平，此步骤不需要)评价所获得的证据；评价该项认定的控制风险。(4)注册会计师评价控制风险的注意事项：必须以通过了解内部控制制度和执行符合性测试所获得的证据，作为评价的证据；充分运用专业判断；必须注意到内部控制的三个要素对某项认定的相互影响。(5)可以在取得对内控了解和符合性测试后，立即评价控制风险。(6)控制风险的评价的目的是为了确定完成审计工作所需执行的实质性测试的性质、时间和范围。3 .对控制风险再评价的记录基本要求

20、与记录同初步评价相同。4 .评价结果对实质性测试的影响(1)只有通过控制检查风险，才能降低审计风险至可接受水平。(2)要控制检查风险降至可接受水平，只有增强实质性测试的有效性。(3)内控目标与审计目标相关联，无效的内控必然导致增加实质性测试的工作量。(4)不论固有风险和控制风险的评估结果，均要进行实质性测试。(5)小规模企业的内控较薄弱,固有风险和控制风险较高，应主要或全部依赖实质性测试程序获取审计证据。(五)管理建议书1 .管理建议书的含义(1)概念指注册会计师针对审计过程中注意到的、可能导致被审计单位会计报表产生重大错报或漏报的内部控制重大缺陷提出的书面建议。(2)注册会计师对审计过程中注

21、意到的内控重大缺陷，应当告知被审计单位管理当局，必要时，可出具管理建议书；一般问题，可以口头或其他适当方式向被审计单位有关人员提出。(3)管理建议书提及的内部控制重大缺陷，仅为注册会计师在审计过程中注意到的，并非内部控制可能存在的全部缺陷。(4)管理建议书不应被视为注册会计师对被审计单位内部控制整体发表的意见，也不能减轻或免除被审计单位管理当局建立健全内部控制的责任，所提建议不具有强制性和公证性。(5)注册会计师出具管理建议书，不应影响其应当发表的审计意见。(6)除有特别规定外，注册会计师在征得被审计单位管理当局同意之前，不得将管理建议书的内容泄露给任何第三者。2.管理建议书的内容(1)标题：

22、管理建议书(2)收件人：被审计单位管理当局(3)会计报表审计目的及管理建议书的性质管理建议书不应被视为对内部控制发表的鉴证意见，所提建议不具有强制性和公证性。(4)内部控制重大缺陷及其影响程度和改进建议(5)使用范围及使用责任(6)签章日期3.管理建议与审计意见的区别区别包括对象、责任、作用及影响程度。(内容参见本章同步强化训练之简答题)、本章作业（一）单项选择题1 .内部控制要素中的控制程序包括（）。A.组织结构B.授权和分配责任的方法C.内部审计D.交易授权2 .通常对内部控制的了解是按（）进行的。A.账户类别B.业务循环C.交易时间D.业务程序3 .在下列情况中，注册会计师应将重要账户或

23、交易类别的某些或全部认定的控制风险评估为高水平的是（）。A.相关的内部控制可能防止或发现和纠正重大错报或漏报B.注册会计师拟进行符合性测试C.难以对内部控制的有效性做出评价D.注册会计师审计大规模企业会计报表4 .下列各程序中属于了解内部控制所应实施的程序的是（）。A.重新执行B. 监盘C. 函证D,穿行测试5 .下列各程序中属于符合性测试程序的是（）。A.查阅相关内部控制文件B.观察内部控制生成的文件和记录C.观察被审计单位的业务活动的运行情况D.询问并实地观察未留下审计轨迹的内部控制的运行情况6 .注册会计师在对内部审计工作进行研究和评价，以确定是否利用内部审计工作结果时须考虑的因素不包括

24、（）。A.内部审计工作结论的适当性B.内部审计人员所获得的审计证据的充分性和适当性C.管理当局对内部审计的重视程度D.内部审计人员的独立性7 .对控制风险的评价，是为了确定完成审计工作所需执行的实质性测试的（）。A.性质、程序、范围8 .性质、方法、程序C.性质、手段、程序D.性质、时间、范围8 .控制执行测试所要解决的问题是（）。A.被审计单位的内部控制是如何设计的B.被审计单位的内部控制是否得到执行C.被审计单位的控制政策和程序是否设计合理、适当D.被审计单位的控制政策和程序是否实际发挥作用9 .为了测试某项控制执行的有效性，应着重查清的问题不包括（）。A.这项控制是怎样应用的B.这项控制

25、是怎样设计的C.这项控制是否在年度中一贯应用D.这项控制由谁来应用10 .下列各项中不属于符合性测试程序的有（）。A.检查交易和事项的凭证B.重新执行相关内部控制程序C.编制应收账款明细表D.询问并实地观察未留下审计轨迹的内部控制的运行情况11 .追加或计划的符合性测试通常在（）执行。A.完成外勤审计工作后B.期中工作中C.会计报表日D.会计报表日后12 .双重目的的测试是指（）。A.在了解内部控制的同时执行符合性测试B.在变量抽样的同时进行属性抽样C.在符合性测试的同时执行实质性测试D.在了解内部控制的同时执行实质性测试13 .下列对控制风险初步评价和再评价的比较中说法不正确的是（）。A.初

26、步评价的依据是对内部控制的了解；再评价的依据是符合性测试B.初步评价的目的在于是否进行符合性测试，再评价的目的在于确定检查风险及实质性测试C.初步评价和再评价的结论相同，都是将内部控制评价为高水平和低水平D.初步评价是必须进行的，再评价可以不予进行14 .注册会计师对于在审计过程中注意到的内部控制缺陷，以及与被审计单位的沟通情况，应当（）。A.记录于审计工作底稿B.在审计报告意见段后增加说明段加以说明C.告知被审计单位管理当局D.向被审计单位有关人员提出15 .下列关于管理建议书的说法正确的是（）。A.管理建议书提及的内部控制重大缺陷，是内部控制可能存在的全部缺陷B.管理建议书是注册会计师对被

27、审计单位内部控制整体发表的意见C.管理建议书所提建议不具有强制性和公正性一律不得将管理建议书的内容泄D.注册会计师在征得被审计单位管理当局同意之前,露给第三者（二）多项选择题1 .内部控制的目标包括（）。A.保证业务活动按照适当的授权进行B.保证账面资产与实存资产定期核对相符C.保证对资产和记录的接触、处理均经过适当的授权D.保证企业具有盈利2 .内部控制的固有限制包括（）。A.内部控制的设计和运行受制于成本与效益原则B.内部控制一般仅针对常规业务活动而设计C.内部控制可能因执行人员滥用职权或屈从于外部压力而失效D.内部控制可能因经营环境、业务性质的改变而削弱或失效3 .在以下因素中，注册会计

28、师了解内部控制所执行的程序的性质、时间和范围，主要取决于（）。A.审计重要性B.固有风险的评估结果C.被审计单位的经营规模及业务复杂程度D.被审计单位数据处理系统类型及复杂程度4 .企业的控制环境反映了管理当局和董事会关于控制对公司重要性的态度。企业的控制环境包括（）。A.职责划分B.组织结构C.内部审计D.授权和分配责任的方法5 .在下列#况中，注册会计师应将重要账户或交易类别的某些或全部认定的控制风险评估为高水平的有（）。A.企业内部控制失效B.难以对内部控制的有效性做出评价C.相关的内部控制可能防止或发现和纠正重大错报或漏报D.注册会计师不拟进行符合性测试6 .注册会计师在审计过程中常利

29、用内部审计的工作结果，在对内部审计工作质量进行研究和评彳,以确定是否利用内部审计的工作结果时应当考虑（）因素。A.内部审计人员的独立性B.内部审计人员的经验和能力C.管理当局对内部审计工作的重视程度D.内部审计程序的性质、时间和范围7 .注册会计师对特定内部审计工作进行评价时，应当考虑（）。A.内部审计工作范围是否适当8 .相关内部审计工作程序是否适当C.审计工作底稿是否充分记录了所执行的工作D.相关内部审计工作对有关情况的结论是否恰当8 .注册会计师关于内部控制调查记录的方法通常包括（）。A.文字表述B.流程图C.检查表D.核对表9 .在运用主要证实法策略中，注册会计师可能使用的符合性测试程

30、序有（）。A.同步符合性测试B.追加符合性测试C.计划符合性测试D.分析测试（三）判断题1 .注册会计师在确定内部控制的可信赖程度时，应当保持应有的职业谨慎，充分关注内部控制的固有限制。（）2 .控制环境的好坏直接决定着企业其他控制能否实施或实施的效果，它既可增强也可削弱特定控制的有效性。（）3 .内部控制良好的单位，注册会计师可能将其控制风险水平评估为零，从而不必执行任何实质性测试程序。（）4 .能为每笔交易提供一个完整的“审计轨迹”或“交易轨迹”的内部控制要素是控制程序。（）5 .注册会计师了解控制程序的总要求是通过对其的充分了解，能够合理评价控制风险水平。（）6 .不论企业的业务性质和规模如何，业务循环的划分都是相同的，即划分为销售与收款循环、购货与付款循环、生产循环、筹资与投资循环。（）7