内部控制系统及其评审

第七章内部控制系统及其评审第1页内部控制与审计关系1.详细审查阶段：没关系2..抽样审计阶段：依赖表现：抽样重点和规模取决于内部控制原因：在确保审计质量同时能够节约审计时间，降低审计费用，后果：扩大审计领域，增加内部控制测试第2页年7月，萨班斯法案主要内容：（1）管理层对内控负责；（2）对内控评定（3）年报中增加对内控上两条汇报；（4）外部审计师应该出具评价汇报第3页财政部、证监会、审计署、银监会、保监会6月28日，《企业内部控制基本规范》；年4月26日，《企业内部控制配套指导》企业内部控制应用指导企业内部控制评价指导企业内部控制审计指导第4页甲企业是一家物业管理服务企业。为了加强风险管理与内部控制，甲企业制订了较为详细规范业务流程工作程序。以下是甲企业现金出纳主要工作程序：第5页(1)出纳人员办理收款业务时先把收到现金清点入库，再给交款人开具收据，交款人签字、收款人签字、加盖财务专用章等收据要素要齐全。(2)出纳人员天天必须依据交款人已签字收据汇总金额盘点现金，做到账实相符。(3)出纳人员天天中午前将查对无误现金存入银行。当日下午收到现金在下午18:00后进行清点，然后把现金放进保险库。第6页(4)出纳人员对当日经手银行存款及现金交易在天天下午18:00后使用会计软件填制凭证，并打印相关凭证统计，核实其相关交易内容。可打印凭证统计均预先连续编号。(5)月度终了，出纳人员及时搜集银行对账单，及时查对银行对账单余额与会计统计中余额，编制银行存款余额调整表，调整表交财务经理审核签字确认。第7页要求：(1)指出甲企业上述工作程序中包括三项控制活动，并简明说明其所属类别。(2)针对甲企业上述工作程序第(3)项和工作程序第(4)项，指出能够强化内部控制改进办法。第8页(1)依据案例材料可知，该企业上述工作程序中包括以下三项控制活动：第一、调整和复核。包括上述工作程序中第(2)项：出纳人员天天必须依据交款人已签字收据汇总金额盘点现金，做到账实相符。第(5)项：月度终了，出纳人员及时搜集银行对账单，及时查对银行对账单余额与会计统计中余额，编制银行存款余额调整表，调整表交财务经理审核签字确认。调整和复核属于财务汇报这一类别。第9页第二、实物控制。包括上述工作程序中第(3)项：出纳人员天天中午前将查对无误现金存入银行。当日下午收到现金在下午18:00后进行清点，然后把现金放进保险库。实物控制是为了确保资产安全，所以属于运行这一类别。第三、计算和会计。包括上述工作程序中第(4)项：出纳人员对当日经手银行存款及现金交易在天天下午18:00后使用会计软件填制凭证，并打印相关凭证统计，核实其相关交易内容。可打印凭证统计均预先连续编号。计算和会计属于财务汇报类别。第10页(2)针对第(3)项在天天中午前将查对无误现金存入银行。当日下午收到现金在下午18:00后进行清点，然后把现金放进保险库。该企业能够采取设置门禁系统、雇佣保安和利用闭路电视摄像头等方式深入强化。

第11页针对第(4)项出纳人员对当日经手银行存款及现金交易在天天下午18:00后使用会计软件填制凭证，并打印相关凭证统计，核实其相关交易内容。该企业应安排不直接经手当日银行存款及现金交易人执行相关凭证统计，而不是由出纳人员执行。第12页在了解戊企业内部控制[普通应了解为了解业务流程内部控制]时，E注册会计师通常采取程序有()。A.查阅内部控制手册B.追踪交易在财务汇报信息系统中处理过程C.重新执行某项控制D.现场观察某项控制运行【答案】ABD第13页注册会计师执行穿行测试能够实现目标有()。A.确认对业务流程了解B.识别可能发生错报步骤C.评价控制设计有效性D.确定控制是否得到执行【答案】ABCD第14页7.1内部控制系统7.2财务汇报内部控制7.3内部控制描述7.4内部控制评价7.5内部控制审计第15页7.1内部控制系统7.1.1内部控制发展7.1.2建立内部控制必要性7.1.3内部控制目标和要素7.1.4内部控制系统种类7.1.5内部控制内容第16页7.1内部控制系统7.1.1内部控制发展1、内部牵制阶段

2、内部控制阶段

3、管理控制和会计控制阶段

4、内部控制结构阶段

5、内部控制整体框架阶段（三目标、五要素）

6、内部控制整体框架-风险管理阶段（八要素）第17页1、内部牵制阶段（1）实物牵制（2）机械牵制（3）体制牵制（4）簿记牵制第18页内部牵制阶段（20世纪初40年代前）（内部牵制四种形式）1、内部牵制（internalcheck），是以账目间相互查对为主要内容并实施岗位分离，以确保全部账目正确无误一个控制机制。

内部牵制制度关键内容是不相容职务分离与牵制。不相容职务指是不能同时由一个人兼任职务。

每项业务处理都必须经过授权、同意、执行、统计和检验等五个步骤。第19页第一，授权进行某项经济业务职务与执行该项业务职务要分离；第二，执行某项经济业务职务与批准该项业务职务要分离；第三，执行某项经济业务职务与记录该项业务职务要分离；第四，保管某项财产职务与记录该项财产职务要分离；第五，保管与记录某项资产职务与账实查对职务要分离等。第20页2、不相容职务分离四个关键点

第一，识别不相容职务：包含出纳与记账、业务经办与记账、业务经办与业务审批、业务审批与记账、财物保管与记账、业务经办与财物保管、业务操作与业务复核；第二，合理界定不一样职务职责与权限，只有这么，才能在相关各司其职前提下，去合理地分离不相容职务，也只有这么，一旦出现问题，才能准确地分清责任；第21页第三，分离不相容职务，在进行定岗和分工时，注意将不相容职务分离开来，使其相互牵制、相互制约；第四，必要保障办法，如物理办法（保险柜、专用钥匙等）或技术办法（网络口令等），定时岗位轮换等。第22页3、内部牵制制度方式普通而言，内部牵制制度执行可经过以下四种方式进行。不论是哪一个方式牵制，其立足点在于增设查对点和平衡点，以加强上下、左右制约。（1）实物牵制实物牵制即由两个以上人员共同掌管必要实物工具，共同完成一定程序牵制。比如，将保险柜钥匙交由两个或两个以上工作人员保管，不一样时使用这两把或两把以上钥匙，保险柜就无法打开，以预防一个人作弊。

第23页（2）机械牵制机械牵制即只有按照正确程序操作机械，才能完成一定过程操作。它采取是程序牵制。即将单位各项业务处理过程，用文字说明方式或流程图方式表示出来，以形成制度，颁发执行。它属经典事前控制法。程序控制关键是实施以内部牵制为关键不相容职务分离标准。

7.1.1内部控制几个发展阶段第24页（3）体制牵制体制牵制即为预防错误和舞弊，对于每一项经济业务处理，都要求有二人或二人以上共同分工负责，以相互牵制，相互制约机制。这主要经过组织分工来实现。其基本要求是职责分离。它不但要求划分职责，明确各部门或个人职责和应有权限，同时还要要求相互配合与制约方法。因为，恰当组织分工是内部牵制最主要、最有效方法。第25页（4）簿记牵制簿记牵制即原始凭证与记账凭证、会计凭证与账簿、账簿与账簿、账簿与会计报表之间查对牵制。总结：内部牵制制度只是对业务活动及有关记录处理一种程序或制度规定，该制度是否合理，执行效果如何，则应由内部审计去检查、监督与评判。第26页

2、内部控制阶段1949年美国注册会计师协议审计程序委员会在《内部控制：一个协调制度要素及其对管理当局和独立注册会计师主要性》汇报中，对内部控制首次做出权威性定义第27页

3、管理控制和会计控制阶段组织规划全部方法和程序：会计控制：财产安全、财务统计可靠性管理控制：经营效率和落实管理方针第28页会计控制授权与同意制度统计和审核与保管相分离控制财产实物控制内部审计第29页管理控制统计分析时效研究业绩汇报质量控制员工培训计划第30页内部管理控制制度是指那些对会计业务、会计统计和会计报表可靠性没有直接影响内部控制。内部管理控制制度目标是提升经营效率，促使相关人员恪守既定管理方针。将内部控制划分为内部会计控制和内部管理控制，是为了划分注册会计师（CPA）审计责任，即注册会计师只负责审查内部会计控制。

第31页

4、内部控制结构阶段美国注册会计师协会：《审计准则公告55号》内部控制结构代替内部控制企业内部控制结构包含提供取得企业特定目标合理确保而建立各种政策和程序。包含：控制环境、会计系统、控制程序第32页5、内部控制整体框架阶段（三目标、五要素）第33页内部控制p120内部控制是被审单位为了合理确保财务汇报可靠性、经营效率和效果以及对法律法规恪守，由治理层、管理层和其它人员设计和执行政策和程序（借鉴92年美国COSO汇报定义）。第34页第35页三目标①财务汇报可靠性，这一目标与管理层推行财务汇报编制责任亲密相关；②经营效率和效果：即经济有效地使用企业资源，以最优方式实现企业目标；③在全部经营活动中恪遵法律法规要求，即在法律法规框架下从事经营活动。第36页五要素(1)控制环境；(2)风险评定；(3)控制活动；(4)信息系统与沟通；(5)监控。第37页6内部控制整合框架——风险管理阶段（1）内部环境（2）目标制订（3）事项识别（4）风险评定（5）风险反应（6）控制活动（7）信息和沟通（8）监控第38页7.1.2建立内部控制必要性1科学管理要求2法律法规要求，美国在安然事件后颁布《萨班斯法案》，要求上市企业在年报中必须包含企业内部控制情况陈说，并要求企业管理层对企业内部控制和诚信负责，这充分说明了建立健全企业内部控制制度必要性。3成本-效益标准要求第39页3成本-效益标准要求客观上要求企业加强内部控制原因有：1、防止违规；2、降低处罚；3、降低欺诈；4、管理跨国企业风险；5、树立良好社会形象；6、加强政府管制（《萨班斯法案》

要求上市企业必须提交年度内部控制自我评价汇报，并要求负责财务报表审计会计事务所对财务汇报内部控制加以审计）。

第40页7.1.3内部控制目标和要素1内部控制目标（1）确保企业战略实现（战略）；（2）运行效果和效率（经营）；（3）财务汇报可靠性（汇报）；（4）资产安全完整（资产)；（5）符合相关法律和法规（遵照）第41页确保企业战略实现运行效果和效率内控五目标财务信息可靠性资产安全、完整符合相关法律法规第42页2企业内部控制基本要素（五要素）内控五要素内部环境风险评定控制活动信息与沟通内部监督第43页内控基本规范审计准则内部环境控制环境风险评定风险评定控制活动控制活动信息与沟通信息系统与沟通内部监督对控制监督第44页内部环境——基础包含治理职能和管理职能，以及治理层和管理层对内部控制及其主要性态度、认识和办法。奠定一个企业控制文化，影响着人们控制意识，能增强或弱化企业各种控制政策、程序和办法作用。第45页内部环境是企业实施内部控制基础，普通包含治理结构、机构设置与权责分配、内部审计、人力资源政策、企业文化等。第46页内部控制要素：内部环境在评价控制环境设计和实施情况时，注册会计师应了解管理层在治理层监督下，是否营造并保持了老实守信和合乎道德文化，以及是否建立了预防或发觉并纠正舞弊和错误恰当控制。州官放火与百姓点灯第47页控制环境原因：

对诚信和道德价值观念沟通与落实对胜任能力重视治理层参加程度：董事会及所属委员会管理层理念和经营格调组织结构职权与责任分配人力资源政策与实务关键是：管理思想与经营方式（控制态度）、企业组织架钩（控制路径）和人力资源管理（控制执行）第48页注册会计师应该对控制环境组成要素获取足够了解，并考虑内部控制实质及其综合效果，以了解管理层和治理层对内部控制及其主要性态度、认识以及所采取办法。控制环境对重大错报风险评定含有广泛影响，注册会计师应该考虑控制环境总体优势是否为内部控制其它要素提供了适当基础，而且未被控制环境中存在缺点所减弱。第49页注册会计师在评定重大错报风险时，存在令人满意控制环境是一个主动原因。即使令人满意控制环境并不能绝对预防舞弊，但却有利于降低发生舞弊风险。有效控制环境还为注册会计师相信在以前年度和期中所测试控制将继续有效运行提供一定基础。相反，控制环境中存在弱点可能减弱控制有效性。第50页（不足）控制环境本身并不能预防或发觉并纠正各类交易、账户余额、列报认定层次重大错报，注册会计师在评定重大错报风险时，应该将控制环境连同其它内部控制要素产生影响一并考虑。比如，将控制环境与对控制监督和详细控制活动一并考虑。第51页在了解控制环境时，C注册会计师通常考虑原因是()。A.内部控制人工成份B.内部控制自动化成份C.丙企业董事会对内部控制主要性态度和认识D.会计信息系统【答案】C第52页风险评定——步骤、依据风险评定是指企业及时识别、系统分析经营活动中与实现内部控制目标相关风险，合理确定风险应对策略。第53页注册会计师应了解被审单位风险评定过程和结果。风险评定过程包含识别与财务汇报相关经营风险，以及针对这些风险所采取办法。在评价被审单位风险评定过程设计和执行时，注册会计师应确定管理层怎样识别与财务汇报相关经营风险，怎样预计该风险主要性，怎样评定风险发生可能性，以及怎样采取办法管理这些风险。注册会计师应问询管理层识别出经营风险，并考虑这些风险是否可能造成财务报表重大错报。第54页控制活动——伎俩控制活动是企业依据风险评定程序结果，采取对应控制办法，将风险控制在可承受度之内。第55页注册会计师应了解控制活动，以足够评定认定层次重大错报风险和针对评定风险设计深入审计程序。控制活动是指有利于确保管理层指令得以执行政策和程序。第56页控制活动内容：

1不相容职务分离2授权：常规授权（普遍适合用于某类交易或活动政策）和尤其授权（针对特定交易或活动特定设置授权）

第57页3会计系统控制4财产保护控制（日常管理和定时清查）5预算控制——全方面预算管理6运行分析控制7绩效考评控制第58页以下活动中，注册会计师认为属于控制活动有()。A.授权B.业绩评价C.风险评定D.职责分离【答案】ABD第59页戊企业以下控制活动中，属于经营业绩评价方面有()。A.由内部审计部门定时对内部控制设计和执行效果进行评价B.定时与客户对账并对发觉差异进行调查C.对照预算、预测和前期实际结果，对企业业绩进行复核和评价D.综合分析财务数据和经营数据之间内在关系【答案】CD第60页信息与沟通——条件、载体信息与沟通是企业及时、准确地搜集、传递与内部控制相关信息，确保信息在企业内部、企业与外部之间进行有效沟通。第61页内部监督——确保内部监督是指企业对内部控制建立与实施情况进行监督检验，评价内部控制有效性，发觉内部控制缺点，应该及时加以改进。第62页连续监督活动应该贯通于日常经营活动与常规管理工作。以下活动中属于连续监督活动是()。A.审计委员会定时[说明不是日常性]了解财务数据

B.对应级别员工复核采购业务流程中控制执行情况[专门人员、日常复核]

C.注册会计师对年度财务报表进行审计

D.内部审计人员对控制实施风险评定[评定≠监督]【答案】B第63页基本要素之间关系

内部环境——主要基础风险评定——主要步骤、主要依据控制活动——主要伎俩信息与沟通——主要条件、主要载体内部监督——主要确保第64页在以下各项中，不属于内部控制要素是（）。A.控制风险B.控制活动C.对控制监督D.控制环境【答案】A对内部控制要素分类提供了了解内部控制框架，但不论怎样对内部控制要素进行分类，注册会计师都应该重点考虑被审计单位某项控制，是否能够以及怎样预防或发觉并纠正各类交易、账户余额、列报存在重大错报。第65页以下情形中，A注册会计师认为通常适合采取信息技术控制有()。A.存在大量、重复发生交易B.存在大额、异常交易C.存在难以定义、防范错误]D.存在事先确定并一贯利用业务规则【答案】AD第66页在了解甲企业内部控制时，A注册会计师最应该关注是（）。A.内部控制是否按照管理层意图，实现了经营效率B.内部控制是否能够预防或发觉并纠正错误或舞弊C.内部控制是否明确区分控制要素D.内部控制是否没有因串通而失效【答案】B第67页在了解控制环境时，E注册会计师应该关注内容有()。A.戊企业治理层相对于管理层独立性B.戊企业管理层理念和经营格调C.戊企业员工整体道德价值观D.戊企业对控制监督【答案】ABC第68页内部控制不论怎样设计和执行只能对财务汇报可靠性提供合理确保，其原因是()A.建立和维护内部控制是丙企业管理层职责B.内部控制成本不应超出预期带来收益C.在决议时人为判断可能出现错误D.对资产和统计采取适当安全保护办法是丙企业管理层应该推行经管责任第69页【答案】C第70页7.1.4内部控制系统种类第71页内部控制系统按要素分类

控制环境

风险评定控制活动

信息与沟通

监控内部控制系统按工作范围分类

内部管理控制系统

内部会计控制系统

内部控制系统按建立目标分类保护财产物资内部控制系统确保会计资料可靠性和正确性内部控制系统确保经济活动正当性和效益性内部控制系统内部控制系统按控制方式分类

预防性内部控制系统

觉察性内部控制系统第72页合规、正当性控制授权、分权控制

不相容职务控制业务程序标准化控制复查查对控制

人员素质控制

7.1.5内部控制内容

第73页合规、正当性控制授权、分权控制不相容职务控制业务程序标准化控制复核控制人员素质控制内控详细内容第74页7.1内部控制系统7.1.1内部控制发展7.1.2建立内部控制必要性7.1.3内部控制目标和要素7.1.4内部控制系统种类7.1.5内部控制内容第75页7.2财务汇报内部控制7.2.1内部控制对财务汇报影响7.2.2财务汇报内部控制含义7.2.3内部控制要素与财务汇报认定关系第76页7.2.1内部控制对财务汇报影响1目标（1）有效内部控制系统合理确保财务汇报可靠性；（2）没有内控系统，财务汇报不一定可靠（3）财务汇报不可靠，内控系统必定无效2业务控制程序和活动3合理组织结构和过硬人员素质4内审第77页7.2.2财务汇报内部控制含义财务汇报内部控制是指：

由企业首席执行官、首席财务官或者企业行使类似职权人员设计或监管，受到企业董事会、管理层和其它人员影响，为财务汇报可靠性和满足外部使用财务汇报编制符合公认会计标准提供合理确保控制程序。第78页财务汇报内部控制详细包含以下控制政策和程序：（1）保持详细程度合理会计统计，准确公允反应资产交易和处置情况；（2）为以下事项提供合理确保：企业对发生交易进行必要统计，从而使财务汇报编制满足公认会计标准要求；企业全部收支活动经过管理层和董事会合理授权。（3）为预防或及时发觉企业资产未经授权取得、使用和处置提供合理确保，这种未经授权取得、使用和处置资产行为可能对财务汇报产生主要形象第79页7.2.3内部控制要素与财务汇报认定关系财务汇报中所包含相关管理当局认定（1）存在或发生。（2）完整性。（3）权利和义务。（4）估价或分摊。（5）表示与披露。第80页7.2.3内部控制要素与财务汇报认定关系内部环境（各个认定——报表层）风险评定（各个认定——报表层）控制活动（认定层）信息与沟通（认定层）内部监督（各个认定——报表层）第81页7.3内部控制描述第82页内部控制测试了解内控控制测试实质性程序第83页控制测试前提了解内控目标；了解内控程序（穿行测试）第84页在确定控制活动是否能够预防或发觉并纠正重大错报时，以下审计程序中可能无法实现这一目标是()。A.问询员工执行控制活动情况B.使用高度汇总数据实施分析程序C.观察员工执行控制活动D.检验文件和统计【答案】B第85页控制测试含义控制测试指是测试控制运行有效性第86页以下关于审计程序说法中，不正确是（）。A．在评定认定层次重大错报风险时，预期控制运行是有效，注册会计师应该实施控制测试以支持评定结果B．仅实施实质性程序不足以提供认定层次充分、适当审计证据，注册会计师应该实施控制测试，以获取内部控制运行有效性审计证据C．注册会计师能够经过实施风险评定程序获取充分、适当审计证据，作为发表审计意见基础D．不论评定重大错报风险结果怎样，注册会计师均应该针对全部重大各类交易、账户余额、列报实施实质性程序，以获取充分、适当审计证据【答案】C【解析】注册会计师实施风险评定程序主要是为了识别重大错报风险，不是为了搜集证据直接用来发表审计意见。第87页在测试内部控制运行有效性时，A注册会计师应该获取审计证据有（）。A.控制是否存在B.控制在所审计期间不一样时点是怎样运行C.控制是否得到一贯执行D.控制由谁执行【答案】BCD第88页控制测试性质类型①问询；②观察；③检验；④重新执行；⑤穿行测试。

第89页在确定审计程序范围时，注册会计师考虑以下原因中不恰当是（）。A．计划获取确保程度越高，注册会计师实施深入审计程序范围越广B．评定重大错报风险越高，注册会计师实施深入审计程序范围也越广C．确定主要性水平越低，注册会计师实施深入审计程序范围越广D．确定主要性水平越高，注册会计师实施深入审计程序范围越广【答案】D【解析】注册会计师确定主要性水平越高，实施深入审计程序范围越小，因为主要性水平与审计风险成反向关系，主要性水平越高，说前审计风险越小，审计程序越少。第90页以下与控制测试相关表述中，正确有（）。A.假如控制设计不合理，则无须实施控制测试B.假如在评定认定层次重大错报风险时预期控制运行是有效，则应该实施控制测试C.假如认为仅实施实质性程序不足以提供认定层次充分、适当证据，则应该实施控制测试D.对尤其风险，即使拟信赖相关控制没有发生改变，也应该在此次审计中实施控制测试第91页【答案】ABCD【解析】在选项A中，注册会计师发觉被审计单位内部控制设计不合理，则预期控制运行无效，从成本效益标准出发，无须进行控制测试；在选项D中，针对尤其风险控制，注册会计师为获取该控制运行有效审计证据必须来自当年控制测试，选项D也正确；选项B和C是注册会计师进行控制测试两种经典情形。第92页在对内部控制进行初步评价并进行风险评定后，注册会计师通常需要在审计工作底稿中形成结论有()。A.控制本身设计是否有效B.控制是否得到执行C.是否信赖控制并实施控制测试D.是否实施实质性程序【答案】ABC第93页资料一：20×8年7月，因为发生重大施工安全事故，甲企业于20×8年1月开工建设X生产线被相关部门勒令停建整理。20×8年末，相关部门同意甲企业重新开工，但受宏观经济影响，X生产线拟生产产品市场前景不佳，甲企业董事会决定暂不开启X生产线建设，并于20×8年末按期向银行偿还了1年期、年利率为7%1000万元专题借款。第94页资料二：项目20×8年年初数本年增加本年降低20×8年年末在建工程—X生产线09620962减：在建工程减值准备0000在建工程账面价值09620962其中：利息资本化070070第95页要求：针对资料一，结合资料二，假定不考虑其它条件，逐项判断资料一所列事项是否可能表明存在重大错报风险。假如认为存在，简明说明理由，分别说明该风险属于财务报表层次还是认定层次。假如认为属于认定层次，指出相关事项主要与哪些账户(仅限于：营业收入、营业成本、资产减值损失、存货、可供出售金融资产、在建工程、固定资产、累计折旧和资本公积)哪些认定相关。第96页是否存在重大错报风险理由风险层次账户及关认定是1.在建工程因非正常原因中止建造超出3个月，但财务数据反应资本化利息金额是12个月专题借款利息，可能存在多计在建工程成本风险2.因为X生产线相关产品市场前景出现重大不利改变，甲企业董事会决定暂不重新开工，可能存在少计在建工程减值准备风险认定层在建工程(存在)在建工程(计价)资产减值损失(完整性)第97页C注册会计师没有义务实施程序是()。A.查找丙企业内部控制运行中全部重大缺点B.了解丙企业情况及其环境C.实施审计程序，以了解丙企业内部控制设计D.实施穿行测试，以确定丙企业相关控制活动是否得到执行【答案】A第98页7.3内部控制描述描述内部控制主要有三种方法：文字表述法调查表流程图法第99页7.3内部控制描述7.3.1文字表述法

文字表述法是指审计人员对被审计单位内部控制系统健全程度和执行情况文字叙述。

1.普通具备以下四个特征：（1）说明制度中每份凭证和每个统计起源。（2）说明已发生全部业务处理过程。（3）制度中每份凭证和每个统计处置。（4）指出与估定控制风险相关控制点。第100页2.优点：（1）可对被调查事项作较为深入、详细表述；（2）表述方便灵活。

3.缺点：（1）难以用简练语言描述内部控制细节；（2）描述篇幅长、效率低。

4.适用：规模小、内部控制简单企业，或需对内部控制作深入描述事项。第101页7.3内部控制描述7.3.2调查表法

采取调查表法是将那些与确保会计统计正确性可靠性以及与确保财产物资完整性有亲密关系事项列作调查对象，由审计人员设计成标准化调查表，并利用表格形式，经过询征来了解内部控制系统强弱程度。

第102页优点：（1）能对所调查对象提供简括说明，有利于分析评价；（2）调查效率高，较快就能完成。缺点：（1）对内部控制只能分别考查，不能提供完整看法；（2）对小企业因“不适用”过多，标准调查表适用性不强。

适用：对规模较大企业内部控制调查。第103页7.3内部控制描述7.3.3流程图法

流程图法是指用特定符号和图形，将内部控制系统中各种业务处理手续，以及各种文件或凭证传递流程，用图解形式直观地表现内部控制系统实际情况。

第104页优点：（1）便于表示内部控制特征；（2）便于修改；缺点：（1）需一定技术和花费较多时间；（2）对一些内部控制弱点极难在图中表示出来。适用：广泛第105页7.4内部控制评价第106页7.4内部控制评价7.4.1内部控制评价标准7.4.2内部控制评价内容7.4.3内部控制评价程序第107页内部控制评价是指由企业董事会和管理层实施，对企业内部控制有效性进行评价，形成评价结论，出具评价汇报过程。1、内部控制评价主体是董事会或类似权力机构；2、内部控制评价对象是内部控制有效性（内部控制有效性，是指企业建立与实施内部控制对实现控制目标提供合理确保程度）；3、内部控制评价是一个过程。

第108页从控制过程角度，内部控制有效性可分为内部控制设计有效性和内部控制运行有效性。1、评价内部控制设计有效性，可以考虑以下三个方面：一是内部控制设计是否做到以内部控制基本原理为前提，以《企业内部控制基本规范》及其配套指引为依据；二是内部控制设计是否覆盖了全部关键业务与环节，对董事会、监事会、经理层和员工具有普遍约束力；三是内部控制设计是否与企业自身经营特点、业务模式以及风险管理要求相匹配。第109页2、评价内部控制运行有效性，也能够从三个方面进行考查：一是相关控制在评价期内是怎样运行；二是相关控制是否得到了连续一致运行；三是实施控制人员是否具备必要权限和能力。

因为受内部控制固有局限（如评价人员职业判断、成本效益标准）影响，内部控制评价只能为内部控制目标实现提供合理确保，而不能提供绝对确保。

第110页企业内部控制评价指导概述内部控制自我评定——西方国家内部控制制度评审一个方法——企业监督和评定内部控制主要工具——内审部门评定控制适当性和有效性发展到企业整体对管理控制和治理负责——管理部门自我评定第111页事后发觉事前防范强调内控改进经营业绩第112页内部控制评价范围与对象内容：总则评价标准和内容评价程序和方法内部控制评价汇报企业内部控制评价，普通包含年度评价专题评价第113页内部控制评价标准和内容评价标准：评价依据、标准——企业内部控制基本规范及其应用指导评价内容——内控有效性（设计、运行）第114页内控有效性风险控制目标控制活动运行一贯运行实施控制活动人员具备权限和能力第115页企业内部控制评价程序和方法内审机构或其它机构组织实施内审评价工作；企业能够借助中介机构或外部教授实施内控评价工作第116页评价方法：个别访谈、调查问卷、专题讨论、穿行测试、统计抽样、比较分析等。第117页7.4内部控制评价7.4.1内部控制评价标准（1）全方面性标准（设计、运行）（2）主要性标准（高风险）（3）客观性标准（设计、运行）第118页7.4.2内部控制评价内容

（内控五目标+五要素）（1）、内部环境评价（2）、风险评定机制评价（3）、控制活动评价（4）、信息系统与沟通评价（5）、内部监督评价第119页7.4.3内部控制评价程序组成评价工作组实施现场检验测试汇总评价结果编制企业内控评价汇报汇报反馈与追踪认定控制缺陷组成评价工作组实施现场检验测试汇总评价结果编报评价汇报制定评价工作方案第120页内部控制评价组织与实施否明确企业内部控制目标制订内部控制评价方案报董事会审批评价方案是否经过审批否组成评价工作组是实施内部控制现场检验与测试是否存在缺点是设计缺点运行缺点编制现场汇报，并向被评价单位通报编制企业内部控制评价汇报跟踪缺点整改落实情况汇总内部控制评价流程第121页一、内部控制缺点定义和种类内部控制缺点是内部控制在设计和运行中存在漏洞，这些漏洞将不一样程度地影响内部控制有效性，影响控制目标实现。内部控制缺点认定通常被视作判断内部控制有效性一个负向维度。衡量内部控制有效性关键步骤就是查找内部控制在设计或运行步骤中是否存在重大缺点。内部控制缺点认定第122页内部控制缺点认定内部控制缺点成因性质

设计缺点

运行缺点

重大缺点

主要缺点

普通缺点第123页二、内部控制缺点认定标准内部控制缺点主要性和影响程度是相对于内部控制目标而言。按照对财务汇报目标和其它内部控制目标实现影响详细表现形式，下面区分财务汇报内部控制缺点和非财务汇报内部控制缺点分别阐述内部控制缺点认定标准。内部控制缺点认定第124页（一）财务汇报内部控制缺点认定标准与财务汇报内部控制相关内部控制缺点所采取认定标准直接取决于因为该内部控制缺点存在可能造成财务汇报错报主要程度。其中，所谓“主要程度”主要取决于两个方面原因：（1）该缺点是否具备合理可能性造成企业内部控制不能及时预防或发觉并纠正财务汇报错报。（2）该缺点单独或连同其它缺点可能造成潜在错报金额大小。内部控制缺点认定第125页普通而言，假如一项内部控制缺点单独或连同其它缺点具备合理可能性造成不能及时预防或发觉并纠正财务汇报中重大错报，就应将该缺点认定为重大缺点。一项内部控制缺点单独或连同其它缺点具备合理可能性造成不能及时预防或发觉并纠正财务汇报中错报金额即使未到达和超出主要性水平、但仍应引发董事会和管理层重视，就应将该缺点认定为主要缺点。不组成重大缺点和主要缺点内部控制缺点，应认定为普通缺点。内部控制缺点认定第126页一旦企业财务汇报内部控制存在一项或多项重大缺点，就不能得出该企业财务汇报内部控制有效结论。财务汇报内部控制重大缺点认定十分关键，而区分一项内部控制缺点是否组成了重大缺点分水岭是“主要性水平”，主要性水平之上为重大错报，主要性水平之下为主要错报或者普通错报。主要性水平确实定有两种方法：绝对金额法和相对百分比法。内部控制缺点认定一旦企业财务汇报内部控制存在一项或多项重大缺点，就不能得出该企业财务汇报内部控制有效结论。财务汇报内部控制重大缺点认定十分关键，而区分一项内部控制缺点是否组成了重大缺点分水岭是“主要性水平”，主要性水平之上为重大错报，主要性水平之下为主要错报或者普通错报。第127页出现以下迹象之一则通常表明财务汇报内部控制可能存在重大缺点：（1）董事、监事和高级管理人员舞弊；（2）企业更正已公布财务汇报；（3）注册会计师发觉当期财务汇报存在重大错报，而内部控制在运行过程中未能发觉该错报；（4）企业审计委员会和内部审计机构对内部控制监督无效。内部控制缺点认定第128页需要说明是，内部控制缺点严重程度并不取决于是否实际发生了错报，而是取决于该控制不能及时预防或发觉并纠正潜在缺点可能性。即只要存在这种“合理可能性”，不论企业财务汇报是否真正发生了错报，都意味着财务汇报内部控制存在缺点。内部控制缺点认定第129页（二）非财务汇报内部控制缺点认定标准非财务汇报内部控制缺点是指除财务汇报目标之外与其它目标相关内部控制缺点，包含战略内部控制缺点、经营内部控制缺点、合规内部控制缺点、资产内部控制缺点。非财务汇报目标内部控制缺点认定含有包括面广、认定难度大特点，尤其是战略内部控制缺点和经营内部控制缺点。内部控制缺点认定第130页企业内部控制评价汇报

内控评价普通包含：年度评价和专题评价年度评价：依据内控目标，对某一年度建立与实施内控有效性进行评价。专题评价：企业在特定时点对特定范围内控有效性进行评价第131页内控评价汇报基准日：12月31日，内控评价汇报应该于基准日后4个月内报出。第132页内控评价汇报内容p1391．董事会申明。2．内部控制评价工作总体情况。3．内部控制评价依据。4．内部控制评价范围。5．内部控制评价程序和方法。6．内部控制缺点及其认定。7．内部控制缺点整改情况。8．内部控制有效性结论。第133页7.5内部控制审计7.5.1内部控制审计程序7.5.2内部控制审计汇报第134页7.5内部控制审计企业内部控制审计是指会计师事务所接收委托，对特定基准日内部控制设计与运行有效性进行审计。第135页（一）企业内部控制审计针对特定基准日注册会计师基于基准日（如年末12月31日）内部控制有效性发表意见。但这并不意味着其只关注基准日当日内部控制。有些内部控制，需要考查足够长运行时间，才能得出是否有效结论。第136页（二）内部控制相关责任企业管理层责任：

设计、实施和维护有效内部控制，

并评定其有效性。注册会计师责任：在实施鉴证工作基础上对内部控制有效性发表鉴证意见第137页（三）企业内部控制审计范围指定范围：注册会计师只对财务汇报内部控制有效性发表审计意见。范围以外：增加“非财务汇报内部控制重大缺点描述段”披露注意到其它内部控制重大缺点。第138页财务汇报内部控制是指企业为了合理确保财务汇报及相关信息真实完整而设计和运行内部控制，以及用于保护资产安全内部控制中与财务汇报可靠性目标相关控制。第139页非财务汇报内部控制（主要包括内部控制遵照性目标、经营性目标和战略性目标）非财务汇报内部控制是指除财务汇报内部控制之外其它控制，通常是指为了合理确保除财务汇报及相关信息、资产安全外其它控制目标实现而设计和运行内部控制。第140页7.5.1内部控制审计程序注册会计师能够单独进行内部控制审计，也能够将内部控制审计与财务报表审计整合进行，即整合审计。目标（1）获取充分、适当证据，支持其在内部控制审计中对内部控制有效性发表意见；（2）获取充分、适当证据，支持其在财务报表审计中对控制风险评定结果。第141页内部控制审计与财务报表审计比较第142页比较项目内部控制审计财务报表审计审计目标对财务汇报内部控制有效性发表审计意见，在描述段披露注意到非财务汇报内部控制重大缺点对财务报表是否符合企业会计准则，是否公允地反应被审计单位财务情况和经营结果发表意见了解和测试目标对内部控制设计和运行有效性发表意见对财务报表发表审计意见目标测试范围几乎100%：全部主要账户、各类交易和列报相关认定有条件：评定认定层次重大错报风险时预期控制运行有效；仅实施实质性程序不能提供认定层次充分、适当审计证据第143页比较项目内部控制审计财务报表审计测试时间对特定基准日内部控制有效性发表意见，无需测试整个会计期间，但要测试足够长期间一旦确定测试，则需测试整个拟信赖期间内部控制运行有效性测试样本对结论可靠性要求高，测试样本量大对结论可靠性要求取决于计划从控制测试中得到确保程度，样本量相对要小结果汇报1.对外披露；2.以正面、主动方式对内部控制是否有效发表审计意见1.通常不对外披露；2.以管理提议书方式汇报发觉内部控制重大缺点，但没有义务专门实施审计程序，以发觉和汇报第144页7.5内部控制审计7.5.1内部控制审计程序1计划审计工作2实施审计工作3评价控制缺点4完成审计工作5出具审计汇报6关注期后事项7统计审计工作第145页1.计划[整合]审计工作计划整合审计工作时，需要评价以下事项对财务报表和内部控制是否有主要影响以及怎样影响：（1）与企业相关风险，包含在评价是否接收与保持客户和业务时了解与企业相关风险情况以及在执行其它业务时了解情况；（2）相关法律法规和行业概况；第146页（3）企业组织结构、经营特点和资本结构等相关主要事项；（4）企业内部控制最近发生改变程度；（5）与企业沟经过内部控