第五章内部控制及测试

1、第五章第五章 内部控制及测试内部控制及测试 第一节第一节 内部控制概述内部控制概述一、内部控制定义内部控制定义内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计与和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计与执行的政策及程序。执行的政策及程序。可以从以下几方面理解内部控制：可以从以下几方面理解内部控制：1内部控制的目标是合理保证：（内部控制的目标是合理保证：（1）财务报告的可靠性；（）财务报告的可靠性；（2）经）经营的效率和效果；（营的效率和效果；（3）

2、在所有经营活动中遵守法律法规的要求。）在所有经营活动中遵守法律法规的要求。2设计和实施内部控制的责任主体是治理层、管理层和其他人员，设计和实施内部控制的责任主体是治理层、管理层和其他人员，组织中的每一个人组织中的每一个人都对内部控制负有责任。都对内部控制负有责任。3实现内部控制目标的实现内部控制目标的手段手段是是设计和执行控制政策和程序。设计和执行控制政策和程序。 二、二、 内部控制要素（内部控制要素（COSO（Committee of Sponsoring Organization of the Theadway Commission，简称，简称COSO“财务报告舞弊研究全财务报告舞弊研究全

3、国委员会国委员会” ） 1、控制环境、控制环境 2、风险评估、风险评估 3、控制活动、控制活动 4、信息与沟通、信息与沟通 5、监督、监督 注册会计师需要了解和评价的内部控制只是与财务注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的报表审计相关的内部控制，并非被审计单位所有的内部控制。内部控制。控制环境 控制环境对胜任能力的要求诚信和道德价值观组织结构董事会或审计委员会管理层的理念和经营风格权力和责任的分配人力资源政策和实务 建建 立立 机机 制制目标设定目标设定风风 险险 识识 别、分别、分析和评估析和评估 控制活动主要控制活动主要包括的内容包括的内容

4、所有经营活动应有适当授权所有经营活动应有适当授权 不相容职务应当分离不相容职务应当分离有效控制凭证和记录真实性有效控制凭证和记录真实性资产和记录的接近限制资产和记录的接近限制 独立的业务审核独立的业务审核 信息与信息与沟通主沟通主要包括要包括的内容的内容 及时、准确、完整地的及时、准确、完整地的记录所有信息记录所有信息 保证管理信息系统间的有序运行保证管理信息系统间的有序运行 保证管理信息系统的安全可靠保证管理信息系统的安全可靠监督主要包括的内容监督主要包括的内容内部审计内部审计机构实施机构实施的独立的的独立的监督监督管理层对管理层对内部控制内部控制的自我评的自我评估估 三、进一步了解和评价内

5、部控制三、进一步了解和评价内部控制 （一）合理的组织分工（一）合理的组织分工 1、合理的职责分工、合理的职责分工 一般经济业务中的职责：一般经济业务中的职责： 请办请办审批审批执行执行记录记录结算结算稽核稽核保保管管清查清查 不相容的职务分管：不相容的职务分管： 请办与审批；审批与执行；执行与记录、记录与审核；结请办与审批；审批与执行；执行与记录、记录与审核；结算（收付款）与记录；记录与保管；报关与清查算（收付款）与记录；记录与保管；报关与清查 2、恰当授权、恰当授权 一般授权一般授权 特殊授权特殊授权 3、适时完善制度、适时完善制度（二）科学的控制标准（二）科学的控制标准 计划、预算、定额、

6、规章、指令等计划、预算、定额、规章、指令等（三）合理的控制程序（三）合理的控制程序 合理的控制程序应符合的条件：合理的控制程序应符合的条件： 简单、顺畅、防弊、有效、可行简单、顺畅、防弊、有效、可行（四）完整的业务记录（四）完整的业务记录 1、有记录要求、有记录要求 2、对记录的内部控制策略、对记录的内部控制策略 （1）严格的凭证管理）严格的凭证管理 （2）业务的核对制度）业务的核对制度 （3）对记录的事后检查）对记录的事后检查 （4）健全的业务移交制度）健全的业务移交制度（五）健全的内部稽核（五）健全的内部稽核（六）优良的员工素质：（六）优良的员工素质： 招聘、培训、考核、晋升、薪酬、调动和

7、辞退员工方面是招聘、培训、考核、晋升、薪酬、调动和辞退员工方面是否都有适当的政策和程序（特别是在会计、财务和信息系否都有适当的政策和程序（特别是在会计、财务和信息系统方面）统方面）购货单位采购部门审校仓库验收单明细账财会部门 付款并登记总账供货单位1请购单2采购计划3 合同2采购计划5审发票4发货6付款或拒付7月末对账例：控制程序、记录与稽核层面：例：控制程序、记录与稽核层面：采购业务程序图采购业务程序图 练习：练习：【2007年多选题年多选题】 E注册会计师负责对戊公司注册会计师负责对戊公司207年度财务报表进行审计。在了解戊公司内部控制时，年度财务报表进行审计。在了解戊公司内部控制时，E注

8、册会计师遇到下列事项，请代为做出正确的专业判断。注册会计师遇到下列事项，请代为做出正确的专业判断。 1.为保证所有的产品销售均已入账，戊公司下列控制活动为保证所有的产品销售均已入账，戊公司下列控制活动中与这一控制目标直接相关的有（中与这一控制目标直接相关的有（ ）。）。 A.对销售发票进行顺序编号并复核当月开具的销售发票是对销售发票进行顺序编号并复核当月开具的销售发票是否均已登记入账否均已登记入账B.检查销售发票是否经适当的授权批准检查销售发票是否经适当的授权批准 C.将每月产品发运数量与销售入账数量相核对将每月产品发运数量与销售入账数量相核对 D.定期与客户核对应收账款余额定期与客户核对应收

9、账款余额 （AC） 四、内部控制的固有局限四、内部控制的固有局限 1、成本约束、成本约束 2、缺乏例外考虑、缺乏例外考虑 3、设计的制度不可能最有效、设计的制度不可能最有效 4、串通舞弊、串通舞弊 5、在决策时人为判断可能出现错误和由于、在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。人为失误而导致内部控制失效。 6、执行控制人员的素质有限执行控制人员的素质有限 内部控制受内部控制受制于成本效制于成本效益原则益原则权利游戏权利游戏经营环境变化经营环境变化内部、内外的内部、内外的串通舞弊会使串通舞弊会使内部控制失效内部控制失效人员素质、信人员素质、信息传递的影响息传递的影响内部控制

10、内部控制的局限的局限 第二节第二节 内部控制测试内部控制测试 一、执行控制测试：进一步评估认定层次的重大错报风险一、执行控制测试：进一步评估认定层次的重大错报风险 （一）了解（进一步）被审计单位的内部控制（一）了解（进一步）被审计单位的内部控制（方法大致与了解内控方法一致，但侧重点不同。前者强方法大致与了解内控方法一致，但侧重点不同。前者强调设计与执行；后者重在执行的有效性）调设计与执行；后者重在执行的有效性） 1、询问、询问 ：询问，获取与内部控制：询问，获取与内部控制运行情况运行情况相关的信息相关的信息 2、观察、观察 ：测试不留下书面记录的控制（如职责分离）的：测试不留下书面记录的控制（

11、如职责分离）的运行情况运行情况的有效方法的有效方法 3、检查、检查 ：对：对运行情况运行情况留有书面证据的控制，检查非常适留有书面证据的控制，检查非常适用用 4、重新执行、重新执行 ：通常只有当询问、观察和检查程序结合在：通常只有当询问、观察和检查程序结合在一起仍无法获得充分的证据时，一起仍无法获得充分的证据时，CPA才考虑通过才考虑通过重新执行重新执行来证实控制是否有效运行（了解内部控制时没有的程序）来证实控制是否有效运行（了解内部控制时没有的程序） 5、穿行测试、穿行测试 ：跟踪几笔通过会计系统的交易或：跟踪几笔通过会计系统的交易或事项，以获知相关控制政策和程序的存在及执行事项，以获知相关

12、控制政策和程序的存在及执行情况。在执行穿行测试时，情况。在执行穿行测试时，CPA可能获取部分可能获取部分控控制运行有效性制运行有效性的审计证据的审计证据 例如：如果某项控制要求某一员工（复核人）在文件上签例如：如果某项控制要求某一员工（复核人）在文件上签名以证明他复核过该份文件。名以证明他复核过该份文件。 CPA：询问该员工对什么进行复核，复核的要点是什么：询问该员工对什么进行复核，复核的要点是什么查阅的文件是否签过字，签字人是否为该员工。查阅的文件是否签过字，签字人是否为该员工。 CPA询问如果复核过程中发现了文件中的错误按规定询问如果复核过程中发现了文件中的错误按规定他应怎么做。（如果可能

13、，他应怎么做。（如果可能，CPA可以检查发现过错误的文可以检查发现过错误的文件。）件。） （二）记录所了解的情况 常见的记录方式：常见的记录方式： 文字叙述、内部控制调查表和流程图文字叙述、内部控制调查表和流程图 二、了解内部控制与控制测试区别二、了解内部控制与控制测试区别 与联系与联系 1、区别（见下表）、区别（见下表）区别区别 功能性测试（了解内部控功能性测试（了解内部控制）制） 控制测试（遵循性测试控制测试（遵循性测试 或符或符合性测试）合性测试）目的不同目的不同 （1）评价控制的设计）评价控制的设计（哪里来？（哪里来？（2）确定）确定控制是否得到执行控制是否得到执行（用不用？）（用不用

14、？）测试控制运行的有效性测试控制运行的有效性（好不好？）（好不好？） 重点不同重点不同 控制得到执行控制得到执行 控制运行的有效性控制运行的有效性 过程不同过程不同 风险评估程序时风险评估程序时 进一步审计程序时进一步审计程序时 证据数量证据数量（充分性）（充分性）不同不同 （1）只需抽取少量的）只需抽取少量的交易进行检查交易进行检查 （2）观）观察某几个时点察某几个时点1）需要抽取足够数量的）需要抽取足够数量的交易进行检查交易进行检查 （2）对）对多个不同时点进行观察多个不同时点进行观察区别区别 功能性测试（了解内部功能性测试（了解内部控制）控制） 遵循性测试（控制测试遵循性测试（控制测试

15、或符合性测试）或符合性测试）要求不同要求不同 必要程序必要程序 必要时或决定测试时实施。必要时或决定测试时实施。性质不同性质不同 （1）询问被审计单位）询问被审计单位的人员；的人员； （2）观察特定控制的）观察特定控制的运用；运用；（3）检查文件和报告；）检查文件和报告； （4）穿行测试。）穿行测试。（1）询问以获取与内部控制运行情况）询问以获取与内部控制运行情况相关的信息；相关的信息； （2）观察以获取控制（如职责分离）观察以获取控制（如职责分离）的运行情况；的运行情况；（3）检查以获取控制的运行情况；）检查以获取控制的运行情况；（4）穿行测试；）穿行测试；（5）重新执行。）重新执行。 例：

16、说明两者之间的区别。例：说明两者之间的区别。 某被审计单位针对销售收入和销售费用的业绩评价控制如某被审计单位针对销售收入和销售费用的业绩评价控制如下：财务经理每月审核实际销售收入（按产品细分）和销下：财务经理每月审核实际销售收入（按产品细分）和销售费用（按费用项目细分），并与预算数和上年同期数比售费用（按费用项目细分），并与预算数和上年同期数比较，对于差异金额超过较，对于差异金额超过5的项目进行分析并编制分析报的项目进行分析并编制分析报告，销售经理审阅该报告并采取适当跟进措施。告，销售经理审阅该报告并采取适当跟进措施。 CPA抽查最近抽查最近3个月的分析报告，并看到上述管理人员在个月的分析报告

17、，并看到上述管理人员在报告上签字确认，证明该控制已经得到执行（这是了解内报告上签字确认，证明该控制已经得到执行（这是了解内部控制）。部控制）。 然而，然而，CPA在与销售经理的讨论中，发现他对分析报告中在与销售经理的讨论中，发现他对分析报告中明显异常的数据并不了解其原因，也无法作出合理解释，明显异常的数据并不了解其原因，也无法作出合理解释，从而显示该控制并未得到有效地运行（这是控制测试）。从而显示该控制并未得到有效地运行（这是控制测试）。 2、联系：、联系：（1）功能测试为遵循测试提供了标准。）功能测试为遵循测试提供了标准。 （2）双重证据。在获得了解内部控制的证据时，可能提）双重证据。在获得

18、了解内部控制的证据时，可能提供有关控制运行有效性（控制测试）的审计证据；供有关控制运行有效性（控制测试）的审计证据；（3）双重目的。）双重目的。CPA可以考虑在评价控制设计和获取其可以考虑在评价控制设计和获取其得到执行的审计证据的同时测试控制运行有效性，以提得到执行的审计证据的同时测试控制运行有效性，以提高审计效率。高审计效率。 【例例】被审计单位可能采用预算管理制度，以防止或发现被审计单位可能采用预算管理制度，以防止或发现并纠正与费用有关的重大错报风险。通过并纠正与费用有关的重大错报风险。通过询问询问管理层是否管理层是否编制预算，编制预算，观察观察管理层对月度预算费用与实际发生费用的管理层对

19、月度预算费用与实际发生费用的比较，并比较，并检查检查预算金额与实际金额之间的差异报告，预算金额与实际金额之间的差异报告，CPA可能获取有关被审计单位费用预算管理可能获取有关被审计单位费用预算管理制度的设计及其是制度的设计及其是否得到执行的审计证据（这是了解内部控制），同时也可否得到执行的审计证据（这是了解内部控制），同时也可能获取相关制度运行有效性的审计证据（这是控制测试）。能获取相关制度运行有效性的审计证据（这是控制测试）。当然，当然，CPA需要考虑所实施的风险评估程序获取的审计证需要考虑所实施的风险评估程序获取的审计证据（这是了解内部控制）是否能够充分、适当地反映被审据（这是了解内部控制）

20、是否能够充分、适当地反映被审计单位费用预算管理制度在各个不同时点按照既定设计得计单位费用预算管理制度在各个不同时点按照既定设计得以一贯执行（这是控制测试）。以一贯执行（这是控制测试）。 2007注会考试：（二）注会考试：（二）F注册会计师负责对已公司注册会计师负责对已公司207年度财务报表进行审计。在测试已公司内部控制时，年度财务报表进行审计。在测试已公司内部控制时，F注注册会计师遇到下列事项，请代为做出正确的专业判断。册会计师遇到下列事项，请代为做出正确的专业判断。1.下列与控制测试有关的表述中，正确的有（）。下列与控制测试有关的表述中，正确的有（）。 A、如果控制设计不合理，则不必实施控制

21、测试、如果控制设计不合理，则不必实施控制测试 B、如果在评估认定层次重大错报风险时预期控制的运行、如果在评估认定层次重大错报风险时预期控制的运行是有效的，则应当实施控制测试是有效的，则应当实施控制测试 C、如果认为仅实施实质性程序不足以提供认定层次充分、如果认为仅实施实质性程序不足以提供认定层次充分、适当的证据，则应当实施控制测试适当的证据，则应当实施控制测试 D、对特别风险，即使拟信赖的相关控制没有发生变化，、对特别风险，即使拟信赖的相关控制没有发生变化，也应当在本次审计中实施控制测试也应当在本次审计中实施控制测试答案：答案：A,B,C,D 2.假设假设F注册会计师对注册会计师对207年年1

22、-10月已公司某项控制的运月已公司某项控制的运行有效性进行了测试。为了得出该项控制在行有效性进行了测试。为了得出该项控制在207年度是年度是否均运行有效的结论，否均运行有效的结论，F注册会计师可以实施的审计程序注册会计师可以实施的审计程序有（）。有（）。 A、对该项控制在、对该项控制在207年年11-12月的运行有效性进行补充月的运行有效性进行补充测试测试 B、获取该项控制在、获取该项控制在207年年11-12月变化情况的审计证据月变化情况的审计证据 C、测试已公司对控制的监督、测试已公司对控制的监督 D、向已公司管理层询问、向已公司管理层询问答案：答案：A,B,C W公司主要从事小型电子消费

23、品的生产和销售，产品销售以公司主要从事小型电子消费品的生产和销售，产品销售以W公司公司仓库为交货地点。仓库为交货地点。W公司日常交易采用自动化信息系统（以下简称系公司日常交易采用自动化信息系统（以下简称系统）和手工控制相结合的方式进行。系统自统）和手工控制相结合的方式进行。系统自206年以来没有发生变年以来没有发生变化。化。W公司产品主要销售给国内各主要城市的电子消费品经销商。公司产品主要销售给国内各主要城市的电子消费品经销商。A和和B注册会计师负责审计注册会计师负责审计W公司公司207年度财务报表。年度财务报表。资料三：资料三：A和和B注册会计师在审计工作底稿中记录了所了解的有关销注册会计师

24、在审计工作底稿中记录了所了解的有关销售与收款循环的控制，部分内容摘录如下：售与收款循环的控制，部分内容摘录如下：（1）仓库人员在系统中根据经）仓库人员在系统中根据经销售部门销售部门批准的客户订单生成连续编批准的客户订单生成连续编号的发货单，并在将产品交运输商发运后，将发货单设为号的发货单，并在将产品交运输商发运后，将发货单设为“已执行已执行”状态并提交结算部门。状态并提交结算部门。结算部门结算部门根据系统中的根据系统中的“已执行已执行”发货单记录、发货单记录、订单及相关客户基础资料，在系统中生成并打印销售发票，系统在月订单及相关客户基础资料，在系统中生成并打印销售发票，系统在月末根据发货单和发

25、票信息自动汇总主营业务收入，并据此过入末根据发货单和发票信息自动汇总主营业务收入，并据此过入应收账应收账款和主营业务收入款和主营业务收入账簿。账簿。（2）每月末，系统自动匹配发货单、订单、发票和入账的主营业务）每月末，系统自动匹配发货单、订单、发票和入账的主营业务收入，并可以生成一个专门报告反映未匹配项目的清单。系统授权可收入，并可以生成一个专门报告反映未匹配项目的清单。系统授权可以生成和阅读该报告的人员是以生成和阅读该报告的人员是W公司公司销售部经理销售部经理和总经理。和总经理。资料四：资料四：A和和B注册会计师对销售与收款循环的内部控制实施测试，注册会计师对销售与收款循环的内部控制实施测试，并在审计工作底稿中记录了测试情况，部分内容摘录如下：并在审计工作底稿中记录了测试情况，部分内容摘录如下：（1）A注册会计师观察了结算部门人员根据发货单在系统中开具发注册会计师观察了结算部门人员根据发货单在系统中开具发票的过程，并从票的过程，并从207年主营业务收入明细账中选取销售记录实施测年主营业务收入明细账中选取销售记录实施测试，未发现异常。试，未发现异常。（2）B注册会计师询问了总经理和部经理有关资料三中第（注册会计师询问了总经理和部经理有关资料三中第（2）项控）项控制的运行情况，他们均表示由于以前月份很少发现不匹