08第八章 内部控制及其测试与评价

第八章内部控制及其测试与评价8.1.1内部控制定义与内部控制目标现代审计的重要特征是：cpa在进行审计时，首先要在研究与评价被审计单位的内部控制制度基础上进行抽样审计。（一）内部控制的定义内部控制，是指被审计单位为了保证业务活动的有效进行，保护资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序。-----会计资料的环境（二）内部控制的目标（三）有关内部控制的一般考虑（1）管理当局的责任。（2）合理的保证（3）固有的限制。会计报表审计总存在一定的控制风险，即审计风险模型中的控制风险始终应大于零（四）内部控制与审计的关系CPA在进行审计时，首先要研究与评价被审计单位的内部控制制度。①CPA在执行审计任务时，不论被审单位规模大小，都应当对相关的内部控制制度进行充分的了解。②CPA应根据其对被审计单位内部控制制度的了解，确定是否进行控制测试以及将要执行的控制测试的性质、时间和范围。③对被审计单位内部控制制度的了解和测试，并非审计工作的全部内容。内控好，评估控制风险低，实测少；但决不能完全取消实测。8.1.2内部控制要素包括控制环境、会计系统和控制程序三要素：（一）控制环境有效会计系统的要求（二）会计系统会计系统的核心----处理交易。交易轨迹与审计轨迹（三）控制程序（重点了解）（三）控制程序（重点了解）。控制程序是由为了合理保证公司目标的实现而建立的政策和程序组成的。①内部控制的设计和运行受制于成本与效益原则；[合算]②内部控制仅针对常规业务活动而设计；[非偶然]③因执行人员因素而失效；[人员素质]④因有关人员相互勾结、内外串通而失效；[两个或两个以上不忠实的员工]⑤因执行人员滥用职权或屈从于外部压力而失效；[执行者]⑥因经营环境、业务性质的改变而削弱或失效。[时过境迁]①管理当局应在综合考虑控制的成本效益的基础上，建立能为会计报表的公允表达提供合理保证的内部控制②管理当局在建立内部控制时还须注意，控制程序不应对工作效率或获利能力有不利影响。1.保证业务活动按照适当的授权进行。2.保证据有交易和事项以正确的金额在恰当的会计期间及时记录于适当的账户，使会计报表的编制符合会计准则的相关要求。3.保证对资产和记录的接触、处理均经过适当的授权。4.保证账面资产与实存资产定期核对相符①经营管理的观念、方式和风格⑤管理控制方法②组织结构⑥内部审计③董事会⑦人事政策和实务④授权和分配责任的方法⑧外部影响①确认并记录所有真实的交易----完整性和存在性②及时且充分详细地描述交易，以便在会计报表上对交易作适当的分类---分类.表达与披露③计量交易的价值，以便在会计报表上记录其适当的货币价值------估价或分摊④确定交易发生的期间，以便将交易记录在适当的会计期间----估价或分摊；发生⑤在会计报表上适当地表达交易和披露相关事项------表达与披露内部控制①被审计单位经营规模及业务复杂程度；②被审计单位数据处理系统类型及复杂程度③审计重要性④相关内部控制类型⑤相关内部控制的记录方式⑥固有风险的评估结果。控制程序包括：概念内容及目的实务认定交易授权保证交易是管理人员在其授权范围内授权才产生的一般授权和特别授权存在或发生估价或分摊职责划分（核心）某交易涉及的各项职责进行合理划分，使每一个人的工作能自动地检查另一个人或更多人的工作。预防和及时发现在执行所分配的职责时所产生的错误或舞弊行为①交易职责执行、记录、维护、保管资产应指派给不同的个人或部门②交易各步骤应指派给不同的个人或部门③某些会计工作的职责应划分④CIS职责划分存在或发生估价或分摊完整性凭证与记录控制①凭证：经过签名或盖章可作为交易执行和记录职责的依据②记录：同相应的每日分录独立比较，以确定所有交易是否均已记录（1）适当保持的记录，如永续存货记录、应收账款记录（2）原始凭证，如销售发票或支票等，提供了交易记录的金额（3）使用预先编号的凭证并按其编号进行会计处理存在或发生估价或分摊完整性资产接触与记录使用指限制接近资产和接近重要记录保证资产和记录的安全实物防护措施存在或发生估价或分摊完整性独立稽核验证由另一个人或部门执行的工作和验证所记录金额估价的正确性①人工计算稽核②资产记录的比较③管理当局对报告的复核。存在或发生估价或分摊完整性8.2.1研究和评价内部控制的步骤与业务循环及其分类研究和评价内部控制的三个步骤：第一，了解企业的内部控制情况，并作出相应的记录；第二，实施控制测试程序，证实有关内部控制的设计和执行的效果；第三，评价内部控制的强弱，即评价控制风险，确定在内部控制薄弱的领域扩展审计程序，降低审计风险。8.2.2了解内部控制（一）了解内部控制的注意事项1．CPA所执行的“穿行测试”的性质、时间和范围，决定了其并不能为评价控制风险处于低水平提供充分、适当的审计证据。2．CPA了解内控所执行的程序的性质、时间和范围，主要取决于（二）了解内部控制的程序[用什么方法了解内控]方法（程序）目的（1）合理利用以往的审计经验；①了解以前审计时所发现的错、漏报种类及其原因②连续审计中，上次审计后发生变化的部分向有关人员询问（2）询问被审计单位有关人员，并查阅相关内部控制文件①询问管理当局和其他人员得知错、漏报是否在当年得到改正解②查阅相关内部控制文件对内部控制获得足够的了解，以便充分计划审计工作（3）检查内部控制生成的文件和记录；①充分计划审计工作②了解内控程序的设计和实际运用与否（4）观察被审计单位的业务活动和内部控制的运行情况控制是否已经得到执行（5）选择若干具有代表性的交易和事项进行“穿行测试”。确认和观察有关的控制政策和程序①内部审计人员的独立性；②内部审计人员的经验和能力；③内部审计程序的性质、时间和范围；④内部审计人员所获取的审计证据的充分性和适当性；⑤管理当局对内部审计工作的重视程度1．相关内部控制不存在；2．相关内部控制虽然存在，并未有效运行；3．控制测试的工作量可能大于进行控制测试所减少的实质性测试的工作量（三）了解控制环境了解程度：CPA应当充分了解控制环境，以评价被审计单位管理当局对内部控制及其重要性的态度、认识和措施。（四）了解会计系统了解程度：CPA通过对其充分了解，应能识别和理解以下事项：（五）了解控制程序了解控制程序的总要求：CPA通过对其的充分了解，应能够合理制定出审计计划。在了解时，CPA应着重考虑：①交易授权②职责划分③凭证与记录控制④资产接触与记录使用⑤独立稽核内部审计工作结果的利用，应考虑下列因素：（六）控制风险的初步评价。初步评价再评标准不同时间不同了解了内部控制之后对控制风险作初步评价完成控制测试之后立即评价评价企业会计与内部控制在防止、发现和纠正重要错、漏报中的有效性的过程评价内部控制在防止或者发现和更正会计报表里的重要错报或漏报的有效程度的过程。目的不同合理制定审计计划CPA根据控制风险再评价水平，可以确定将要执行的实质性测试程序的性质、时间和范围依据的程序认定层次针对每个重要的账户余额或交易种类，在认定层上进行的。会计报表认定结论1.出现以下情况之一时，注册会计师应将重要账户或交易类别的某些或全部认定的控制风险评估为高水平：①企业内部控制失效；②难以对内部控制的有效性作出评价；③注册会计师不拟进行控制测试。2.对某项会计报表认定而言，如果同时出现以下情况，注册会计师则不应评价其控制风险处于高水平：①相关的内部控制可能防止或发现和纠正重大错报或漏报；②注册会计师拟进行控制测试。1.注册会计师只有在确认以下事项的情况下，才能将控制风险评价为高水平：（1）控制政策和程序与认定不相关；（2）控制政策和程序无效；（3）取得证据来评价控制政策和程序显得不经济。2.注册会计师只有在确认以下事项的情况下，才能将控制风险评价为低水平：（1）控制政策和程序与认定相关；（2）通过控制测试已获得证据证明控制有效。对评价的记录（1）当控制风险评价为最高水平时，只需记录这一评价结论（2）当控制风险评价低于最高水平时，还必须记录评价的依据相同条件8.2.3记录对内部控制的了解和对控制风险的初步评价（一）在工作底稿中记录对内部控制的评价的基本要求：（1）当控制风险评价为最高水平时，只需记录这一评价结论；（2）当控制风险评价低于最高水平时，还必须记录评价的依据。（二）内部控制调查的记录方法：调查表、文字表述、流程图8.3.1~8.3.8内部控制测试（控制测试）一、运用初步审计策略的步骤（一）主要证实法的运用步骤（多做少做的问题）-------先弄清内部控制是否可以以来，再确定审计策略（二）较低的控制风险估计水平法运用的步骤（一定要做）--------条件：准备信赖内部控制、收入大于成本（三）不做内部控制测试：（1）被审计单位交易和事项的主要类别。（2）各类主要交易和事项的发生过程（3）重要的会计凭证、帐簿记录以及会计报表帐目（4）重大交易和事项的会计处理过程不存在、不执行、不合算二、控制测试的概念----------为了确定内部控制制度的设计和执行是否有效而实施的审计程序注意：进行控制测试必要和经济的前提条件：准备信赖内控并且合算2．控制测试的基本对象（1）控制设计测试---设计是否合理（2）控制执行测试---运行是否有效（3）测试某项控制执行的有效性，应着重查清的问题（4）注意事项：[注意多选题]①可能对主要交易种类的有关控制进行控制测试；②可能对某账户的有关控制进行控制测试；③但并不是对所有的控制都要加以测试；④只应对那些有助于防止或发现和纠正会计报表认定产生重大错报或漏报的控制执行测试。三、控制测试的种类：CPA可在审计计划期间和期中工作[实施]期间执行控制测试。在主要证实法下可能执行“同步控制测试”及“追加控制测试”，在较低的控制风险估计水平法下，必须执行“计划控制测试”。时间必要性结果目的同步控制测试在CPA取得对内部控制的了解时，同时执行的测试。不是必需的，有选择地执行的。通过测试取得的证据，只能使CPA评价控制风险的略低于最高水平到中等水平的范围之内。追加控制测试在外勤工作中执行如不划算或不能降低控制风险的估计水平，没有必要执行进一步降低CPA对控制风险的估计水平。CPA执行之前，必须考符合成本效益原则，还必须考虑有没有可能获得额外的证据，来支持降低控制风险计划控制测试也在外勤执行在选用较低的控制风险估计水平法下必须执行通过计划控制测试取得的证据应足以支持某些认定的控制风险为中或低为了支持CPA计划的实质性测试水平。双重目的测试这种测试在外勤工作中[期中]执行在较低的控制风险水平法下执行合算，应谨慎地评价所取得的证据。小心谨慎设计测试程序，以确保能取得有关控制的有效性和报表中的重要错报或漏报这两个方面的证据同步的、追加的：主要证实法下，了解内部控制的同时顺便做内部控制测试计划的：准备依赖内部控制而进一步降低控制风险四、控制测试的性质（方法）：1、检查交易和事项的凭证2、询问并实地观察未留下审计轨迹的内部控制的运行情况3、重新执行相关内部控制程序五、控制测试的范围充分性恰当性理论上：范围越大、证据越充分实际中：范围不是越大越好，经济原则注意以前年度原则：受控制风险估计水平的影响审计证据对本年度的影响六、控制测试的时间（166页）后半期的中间（10.11月份）若期中审计已进行控制测试，应当考虑以下因素七、控制测试中利用内部审计人员的工作①控制是怎样应用的？②是否在年度中一贯应用？③由谁来应用？①证据所涉及的认定的重要性；②以前年度审计中所评价的特定内控；③所评价的政策和程序被适当设计和有效执行的程度④用来作这些评价的控制测试的结果；⑤执行控制测试的时间间隔的长短；⑥政策和程序有无重大变化。（1）期中审计控制测试的结论；（2）期中审计后剩余期间的长短；（3）期中审计后内部控制的变动情况；（4）期中审计后发生的交易和事项的性质及金额；（5）拟实施的审计实质性测试程序。（1）内部审计工作范围是否适当；（2）审计方案是否适当；（3）工作底稿是否充分记录了所执行的工作，包括监督和复核的证据（4）相关内部审计工作对有关情况的结