第八章 内部控制及其测试与评价 8.1.1内部控制定义与内部控制目标 (一)内部控制的定义   内部控制,是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊, 保证会计资料的真实、合法、完整而制定和实施的政策与程序。-----会计资料的环境 (二)内部控制的目标   (三)有关内部控制的一般考虑 (会计报表审计总存在一定的控制风险,即审计风险模型中的控制风险始终应大于零) (1)管理当局的责任 建立、修正、和维护控制,监督执行   (2)合理的保证 ①应在成本效益的基础上,建立能为报表的公允表达提供合理保证的内部控制 ②控制程序不应对工作效率或获利能力有不利影响。    (3)固有的限制。 (四)内部控制与审计的关系       ①不论被审单位规模大小,都对内控进行充分的了解。    ②根据对内控的了解,确定是否进行控制测试以及将要执行的控制测试的性质、时间和范围。    ③内控好,评估控制风险低,实测少;但决不能完全取消实测。 8.1.2内部控制要素    (一)控制环境            ①确认并记录所有真实的交易----完整性和存在性 ②及时且充分详细地描述交易,以便在会计报表上对交易作适当的分类 ---分类.表达与披露 有效会计系统的要求 ③计量交易的价值,以便在会计报表上记录其适当的货币价值 P144 ------估价或分摊 ④确定交易发生的期间,以便将交易记录在适当的会计期间 (二)会计系统 ----估价或分摊;发生 ⑤在会计报表上适当地表达交易和披露相关事项------表达与披露 会计系统的核心 ----处理交易。交易轨迹与审计轨迹 (三)控制程序(重点了解)。控制程序是由为了合理保证公司目标的实现而建立的政策和程序组成的。 控制程序包括: 概念 内容及目的 实务 认定  交易授权 保证交易是管理人员在其授权范围内授权才产生的 一般授权和特别授权 存在或发生 估价或分摊  职责划分 (核心) 某交易涉及的各项职责进行合理划分,使每一个人的工作能自动地检查另一个人或更多人的工作。 预防和及时发现在执行所分配的职责时所产生的错误或舞弊行为 ①交易职责执行/记录、维护/保管资产应指派给不同的个人或部门 ②交易各步骤应指派给不同的个人或部门 ③某些会计工作的职责应划分 ④CIS职责划分 存在或发生 估价或分摊 完整性  凭证与记录控制 ①凭证:经过签名或盖章可作为交易执行和记录职责的依据 ②记录:同相应的每日分录独立比较,以确定所有交易是否均已记录 (1)适当保持的记录:如永续存货记录、应收账款记录 (2)原始凭证: 如销售发票或支票等,提供了交易记录的金额 (3)使用预先编号的凭证并按其编号进行会计处理 存在或发生 估价或分摊 完整性  资产接触 与记录使用 指限制接近资产和接近重要记录 保证资产和记录的安全 实物防护措施 存在或发生 估价或分摊 完整性  独立稽核 验证由另一个人或部门执行的工作和验证所记录金额估价的正确性 ①人工计算稽核 ②资产记录的比较 ③管理当局对报告的复核。 存在或发生 估价或分摊 完整性   8.2.1研究和评价内部控制的步骤与业务循环及其分类 研究和评价内部控制的三个步骤:   第一,了解企业的内部控制情况,并作出相应的记录; 第二,实施控制测试程序,证实有关内部控制的设计和执行的效果; 第三,评价内部控制的强弱,即评价控制风险, 确定在内部控制薄弱的领域扩展审计程序,降低审计风险。 8.2.2了解内部控制   (一)了解内部控制的注意事项P148    1. “穿行测试”的性质、时间和范围,决定了其并不能 为评价控制风险处于低水平提供充分、适当的审计证据。    2.CPA了解内控所执行的程序的性质、时间和范围,取决于   (二)了解内部控制的程序[用什么方法了解内控] 方 法(程序) 目 的  (1)合理利用以往的审计经验;P148 ①了解以前审计时所发现的错、漏报种类及其原因 ②连续审计中,上次审计后发生变化的部分向有关人员询问  (2)询问被审计单位有关人员, 并查阅相关内部控制文件 ①询问管理当局和其他人员得知错、漏报是否在当年得到改正解 ②查阅相关内部控制文件对内部控制获得足够的了解,以便充分计划审计工作  (3)检查内部控制生成的文件和记录; ①充分计划审计工作 ②了解内控程序的设计和实际运用与否  (4)观察被审计单位的业务活动 和内部控制的运行情况 控制是否已经得到执行  (5)选择若干具有代表性的交易 和事项进行“穿行测试”。 确认和观察有关的控制政策和程序  (三)了解控制环境 --------- 充分了解控制环境,以评价被审计单位管理当局对内部控制及其重要性的态度、认识和措施。 (四)了解会计系统    通过对其充分了解,应能识别和理解以下事项:      (五)了解控制程序 CPA通过对其的充分了解,应能够合理制定出审计计划。 在了解时,CPA应着重考虑: ①交易授权 ②职责划分 ③凭证与记录控制 ④资产接触与记录使用  ⑤独立稽核       内部审计工作结果的利用,应考虑下列因素: (六)控制风险的初步评价。 初步评价-----(不能得出控制风险为低水平) 再评  标准不同    时间不同 了解了内部控制之后对控制风险作初步评价 完成控制测试之后立即评价   评价企业会计与内部控制在防止、发现和纠正重要错、漏报中的有效性的过程 评价内部控制在防止或者发现和更正会计报表里的重要错报或漏报的有效程度的过程。  目的不同 合理制定审计计划 CPA根据控制风险再评价水平,可以确定将要执行的实质性测试程序的性质、时间和范围  依据的程序    认定层次 针对每个重要的账户余额或交易种类,在认定层上进行的。 会计报表认定  结论 1.出现以下情况之一时,注册会计师应将重要账户或交易类别的某些或全部认定的控制风险评估为高水平: ①企业内部控制失效; ②难以对内部控制的有效性作出评价; ③注册会计师不拟进行控制测试。 2.对某项会计报表认定而言,如果同时出现以下情况,注册会计师则不应评价其控制风险处于高水平:P150 ①相关的内部控制可能防止或发现和纠正重大错报或漏报; ②注册会计师拟进行控制测试。 1.注册会计师只有在确认以下事项的情况下,才能将控制风险评价为高水平:  (1)控制政策和程序与认定不相关;  (2)控制政策和程序无效;  (3)取得证据来评价控制政策和程序显得不经济。 2.注册会计师只有在确认以下事项的情况下,才能将控制风险评价为低水平:  (1)控制政策和程序与认定相关;  (2)通过控制测试已获得证据证明控制有效。  记录要求 (1)当控制风险评价为最高水平时,只需记录这一评价结论 (2)当控制风险评价低于最高水平时,还必须记录评价的依据 相同  记录方法 调查表、文字表述、流程图    有关P150-152老范说:调查表、文字表述、流程图,没有考过大题,一般不考,但是如果要靠,就可以考的很难,看看,理解一下。 8.3.1~8.3.8内部控制测试(控制测试) 一、运用初步审计策略的步骤 (一)主要证实法的运用步骤(多做少做的问题) -------先弄清内部控制是否可以依赖,再确定审计策略 (二)较低的控制风险估计水平法运用的步骤(一定要做)--------条件:准备信赖内部控制、收入大于成本 二、控制测试的概念----------为了确定内部控制制度的设计和执行是否有效而实施的审计程序   注意:进行控制测试必要和经济的前提条件:准备信赖内控并且合算 P154 2.控制测试的基本对象    (1)控制设计测试---设计是否合理    (2)控制执行测试---运行是否有效   (3)测试某项控制执行的有效性,应着重查清的问题 (4)注意事项:[注意多选题]    ① 可能对主要交易种类的有关控制进行控制测试;    ② 可能对某账户的有关控制进行控制测试;    ③ 但并不是对所有的控制都要加以测试;    ④ 只应对那些有助于防止或发现和纠正会计报表认定产生重大错报或漏报的控制执行测试。 三、控制测试的种类: CPA可在审计计划期间和期中工作[实施]期间执行控制测试。在主要证实法下可能执行“同步控制测试”及“追加控制测试”, 在较低的控制风险估计水平法下,必须执行“计划控制测试”。   时间 必要性 结果 目的  同步控制测试  在CPA取得对内部控制的了解时,同时执行的测试。 不是必需的, 有选择地执行的。 只能评价控制风险的略低于最高水平到中等水平的范围之内P155。   追加控制测试   在外勤工作中执行 不划算/不能降低控制风险的估计水平, 没有必要执行 进一步降低对控制风险的估计水平。 CPA执行之前,必须考符合成本效益原则,还必须考虑有没有可能获得额外的证据,来支持降低控制风险  计划控制测试 也在外勤执行 选用较低的控制风险估计水平法下必须执行 通过计划控制测试取得的证据应足以支持某些认定的控制风险为中或低 P156 为了支持CPA计划的实质性测试水平。  双重目的测试 这种测试在外勤工作中[期中]执行 在较低的控制风险水平法下执行 合算,应谨慎地评价所取得的证据。 小心谨慎设计测试程序,以确保能取得有关控制的有效性和报表中的重要错报或漏报这两个方面的证据   同步的、追加的:主要证实法下,了解内部控制的同时顺便做内部控制测试 计划的:准备依赖内部控制而进一步降低控制风险 四、控制测试的性质(方法):--执行的方法 P156 1、检查交易和事项的凭证 注意;1、与P148“了解控制”的检查.2、只要检查凭证,都是控制测试 见 p156 2、询问并实地观察未留下审计轨迹的内部控制的运行情况 3、重新执行相关内部控制程序 五、控制测试的范围 充分性 恰当性 理论上:范围越大、证据越充分 实际中:范围不是越大越好,经济原则 注意以前年度 原则:受控制风险估计水平的影响 审计证据对 本年度的影响 (三)不做内部控制测试: 不存在、不执行、不合算 P157 六、控制测试的时间(P157) 后半期的中间(10.11月份) 若期中审计已进行控制测试,应当考虑以下因素    七、控制测试中利用内部审计人员的工作 1.协调工作中,CPA应做好以下工作 (一)? 协调    2.具体评价中 CPA应测试内部审计人员的工作 以弄清的问题    (二)?直接支持 注意做好以下工作      八、双重目的测试(控制性测试和实质性测试同时做,普遍采用) 8.4内部控制评价的概念、过程、记录及其影响 二、控制风险评价的过程[初评、再评、终评结合学习]    1.将控制风险评价为高水平,意味着内部控制不能及时防止或者发现和纠正某项认定中的错报或漏报的可能性很大。 如果很多认定或者所有的认定的控制风险,都被评价为高水平,那么CPA就要研究是否对被审计单位会计报表进行审计。    2.只有在确认以下事项的情况下,才能将控制风险评价为高水平:       3.只有在确认以下事项的情况下,才能将控制风险评价为低水平:    4.控制风险的评价步骤----必须遵循以下5步骤:    (1)确认该项认定可能发生哪些潜在的错报或漏报;    (2)确认哪些控制可以防止或者发现和更正这些错报或漏报;    (3)执行控制测试,获取这些控制是否设计适当和有效执行的证据(在控制风险评价为高水平时,此步省去)    (4)评价所获得的证据;    (5)评价该项认定的控制风险。 哪里可能有错漏---→哪种控制可以防止---→测试取证—-→评价证据---→评价风险 5.评价时间:在取得对内控的了解和执行了计划的或追加的控制测试之后立即评价。    6.评价注意事项:    CR评价 实质性测试 对审计测试的影响 审计证据  太低 不足 无效果;后怕 过少  太高 过多 无效率;不经济;后悔 过多     7.CR对控制风险的评价对审计工作的影响: P159-160      四、评价结果对实质性测试的影响   控制风险、固有风险与检查风险构成整个审计风险的三要素,其相互关系可用下列等式表示:     审计风险=固有风险×控制风险×检查风险   上式表明,CPA在合理运用专业判断考虑有关事项、评估出固有风险,以及了解与测试内部控制、评价出控制风险后,只有通过控制检查风险,才能降低审计风险至可接受水平。而要控制检查风险至可接受水平,只有增强实质性测试的有效性。   1.评价内部控制为高信赖程度。 信赖程度与控制风险成反比。    即控制风险较低,就可以执行越有限的实质性测试。   2.评价内部控制为低信赖程度。    ①即控制风险较高,只有依靠执行更多的实质性测试,才能控制检查风险处于低水平, 进而控制审计风险处于低水平,才能保证审计的质量。 3.小规模企业的内部控制通常比较薄弱,固有风险和控制风险较高, CPA应主要或全部依赖实质性测试程序获取审计证据,以将检查风险降低至可接受的水平。   ? 8.5管理建议书 含义:指CPA针对审计过程中注意到的、可能导致被审计单位会计报表产生重大错报或漏报的内部控制重大缺陷提出的书面建议。 重大缺陷,应当告知管理当局,必要时,出具管理建议书----计入工作底稿 一般问题:可以以口头或其他方式告知有关人员,------计入工作底稿 (1)内控存在严重缺陷,将导致或影响会计报表整体反映时 管理建议书轻易不出具    (2)审计约定中有约定,要求出具管理建议书。 [ 五个“不”:要注意 1.提及重大缺陷,仅为审计过程中注意到的,并非内控可能存在的全部缺陷。 2.不应被视为CPA对内部控制整体发表的意见, 管理建议书 3.也不能减轻或免除管理当局建立健全内部控制的责任。 4.不应影响其应当发表的审计意见。 5. (除有特别规定外,CPA在征得被审计单位管理当局同意之前)不得将管理建议书的内容泄露给任何第三者 管理建议书 项目内容 说明  标题 统一规范为“管理建议书  收件人 被审计单位管理当局(而不是委托人)  会计报表审计目的及管理建议书性质   内控重大缺陷及其影响和改进建议   管理建议书的使用范围及使用责任 管理建议书应当指明其仅供被审计单位管理当局内部参考,因使用不当所造成的后果,与CPA及其所在的会计事务所无关  CPA及事务所签章   日期      三、管理建议与审计意见的区别[简答题]   1、联系:同一委托下形成的意见,具有直接相互作用关系。 项 目 对 象 责 任 作用与影响 使用人  管理建议书 针对与审计相关的内部控制提出的 不是法定业务, 没有法定责任 供管理当局内部参考,不对外报送,对外不起签证作用 被审计单位管理当局  审计意见 针对已审计的会计报表提出的 是法定业务, 具有法定责任 对外报送,对外起签证作用,作用和影响大 社会公众    2、区别: