第六章 内部控制及其测试
本章内容
• 第一节 内部控制的内容
• 第二节 了解与初步评价内部控制
• 第三节 内部控制测试与评价
• 第四节 管理建议书
第一节 内部控制的内容
一、内部控制的含义
二、内部控制的要素
三、内部控制的内容
一、内部控制的含义
• 所谓内部控制:是被审计单位为了合理保证财务
报表的可靠性、经营的效率和效果以及对法律法
规的遵守,由治理层、管理层和其他人员设计和
执行的政策和程序。
• 广义地讲,一个企业的内部控制是指企业的内部
管理控制系统,包括为保证企业正常经营必须采
取的一系列必要管理措施。
• 建立健全内部控制制度是被审计单位的管理层的
责任。
一、内部控制的含义
• 内部控制制度与审计的关系十分密切,主要表现
在:
☜一是注册会计师在审计财务报表时必须要对被
审计单位的内部控制进行考虑。
☜二是注册会计师也可以接受委托,对被审计单
位管理层对特定日期与财务报表相关的内部控
制的有效性的认定进行审核,并发表审核意见。
二、内部控制的要素
• 内部环境
• 风险评估
• 控制活动
• 信息与沟通
• 内部监督
二、内部控制的要素
• 控制环境
☜控制环境:包括治理职能和管理职能,以及治理层和管理
层对内部控制及其重要性的态度、认识和措施。
☜具体包括:管理当局的宗旨、观念、经营风格与管理方式;
企业的组织结构等。
☜注册会计师应当考虑构成控制环境的因素:
1.对诚信和道德价值观念的沟通与落实;
2.对胜任能力的认识;
3.治理层的参与程度;
4.管理层的理念与经营风格;
5.组织结构;
6.职权与责任的分配;
7.人力资源政策与实务。
二、内部控制的要素
• 风险评估过程
– 包括识别与财务报告相关的经营风险,以及针对这些
风险所采取的措施。
信息系统与沟通
☜被审计单位与财务报告相关的信息系统,包括用以生
成、记录、处理和报告交易、事项和情况,对相关资
产、负债和所有者权益履行经营管理责任的程序和记
录。
二、内部控制的要素
• 控制活动
– 控制活动:是指有助于确保管理层的指令得以执行的
政策和程序,包括与授权、业绩评价、信息处理、实
物控制和职责分离等相关活动。
• 对控制的监督
☜对控制的监督:是指被审计单位评价内部控制在一段
时间运行有效性的过程,该过程包括及时评价控制的
设计和运行,以及根据情况的变化采取必要的纠正措
施。
三、内部控制的内容
内部环境类指引
1.组织架构;2.发展战略;3.
人力资源;4.社会责任;5.企
业文化
控制活动类指引
1.资金活动;2.采购业务;3.
销售业务;4.研究与开发;5.
工程项目;6.担保业务;7.资
产管理;8.业务外包;9.财务
报告
控制手段类
1.全面预算;2.合同管理;3.
内部信息传递;4.信息系统
第二节 了解与初步评价内部控制
一、了解内部控制
二、描述内部控制
三、初步评价内部控制
一、了解内部控制
• 了解内部控制的广度——与审计相关的内部控制
– 注册会计师需要了解和评价的内部控制,只是与财务报
表审计相关的内部控制,并非被审计单位所有的内部控
制。
• 了解内部控制的深度
– 是指了解被审计单位及其环境时,对内部控制了解的程
度。
– 包括评价控制的设计,并确定其是否得到执行,但不包
括对控制是否得到一贯执行的测试(控制测试)。
一、了解内部控制
• 了解内部控制的局限性
– 内部控制存在下列固有局限性 :
1.内部控制的设计和运行受制于成本效益原则;
2.内部控制一般仅针对常规业务活动而设计;
3.在决策时人为判断可能出现错误和由于人为失误导致内
部控制失效;
4.可能由于两个或更多的内外部人员进行串通、管理层凌
驾内部控制之上或者是屈从于外部压力而被规避;
5.内部控制可能因经营环境、业务性质的改变而消弱或失
效。
一、了解内部控制
• 了解内部控制方法
– 询问被审计单位的人员;
– 观察特定控制运行;
– 检查文件和报告;
– 追踪交易在财务报告信息系统中的处理过程(穿行测
试)。
• 了解内部控制的步骤
– 识别需要降低哪些风险以预防财务报表中发生重大错
报;
– 记录相关的内部控制;
– 评估控制的执行;
– 评估内部控制的设计。
二、描述内部控制
• 文字说明法
– 定义:用文字说明对被审计单位的内部控制以书面描
述的形式进行记录。
– 适用范围:内部控制程序比较简单、比较容易描述的
小企业。
– 优点:可以对调查对象做比较深入和具体的描述,能
弥补调查表法只能做出肯定或否定回答的不足;
– 缺点:有时很难用简明通俗的语言来描述内部控制系
统的细节。
二、描述内部控制
• 问卷调查法
– 调查表大多采用问答式,一般按调查对象分别设计,
由企业相关人员填写或审计人员根据调查结果自行填
写。
– 优点:能对所调查的对象提供一个简括的说明,有利
于分析评价,编制调查表一目了然,省时省力。
– 缺点:对被审计单位的内部控制制度只能按项目分别
考查,因此往往不能提供相对全面的情况,不同行业、
企业的调查表一般不能通用。
二、描述内部控制
• 流程图法
– 流程图:是运用符号和图形来反映被审计单位经济业
务处理过程和相应文件凭证在组织机构内部的有序流
动过程的示意图。
– 优点:便于表达内部控制的特征,同时便于修改与更
新;查看图比阅读文字更容易理解。
– 缺点:有些内部控制的弱点难以在图上表达,编制流
程图也需要较娴熟的技术和花费较多的时间。
三、初步评价内部控制
• 首先,由审计项目组中对被审计单位情况比较了解且比较
有经验的成员负责了解各控制要素及其执行情况,以从整
体层面对被审计单位的内部控制进行了解和评估,其他成
员参与和配合。
• 其次,为了确定被审计单位财务报表中可能存在重大错报
风险的重大账户及其认定,在初步计划审计工作时,需要.
在业务流程层面了解内部控制 。
• 最后,注册会计师需要对内部控制进行初步评价和风险评
估。
注意:初步评价的结论可能会随着控制测试后实施的实质
性程序的结果而发生改变,而且除非存在某些可以使控制
得到一贯运行的自动化控制,否则注册会计师对控制的了
解和评价并不能代替控制测试。
三、初步评价内部控制
• 初步评价内部控制,主要是根据已经获取的审计证据,评
价控制设计的合理性,并确定控制是否得到执行。
• 评价后可能得出如下三种结论:
1.所设计的控制单独或者连同其他控制能够防止或发现并
纠正重大错报,并得到执行。此种情况通常是被审计
单位的内部控制是高信赖程度;
2.控制本身的设计是合理的,但没有得到执行。此种情况
通常是被审计单位的内部控制是中信赖程度;
3.控制本身的设计就是无效的或缺乏必要的控制。此种情
况通常是被审计单位的内部控制是低信赖程度。
第三节 内部控制测试与评价
一、控制测试的含义和要求
二、控制测试的性质
三、控制测试的时间
四、控制测试的范围
五、内部控制有效性的评价
一、控制测试的含义和要求
• 进一步审计程序的目的包括两个方面
– 一是通过实施控制测试以确定内部控制运行的有效性;
– 二是通过实施实质性审计程序以发现认定层次的重大
错报。
• 进一步审计程序的类型
– 包括检查、观察、询问、函证、重新计算、重新执行
和分析程序。
一、控制测试的含义和要求
• 控制测试的含义
– 是指用于评价内部控制在防止或发现并纠正认定层次
重大错报方面的运行有效性的审计程序。
• 在测试控制运行的有效时,注册会计师应当从下
列方面获取审计证据:
1.控制在所有的审计期间的不同时点是如何运行的;
2.控制是否得到一贯执行;
3.控制由谁执行;
4.控制以何种方式运行(如人工控制或自动化控制)。
一、控制测试的含义和要求
• 控制测试的要求
– 控制测试并非在所有情况下都要实施,当存在下列情
形之一时,控制测试是必要的:
1.在评估认定层次重大错报风险时,预期控制的运行是
有效的(出于成本效益考虑);
2.仅实施实质性程序不足以提供有关认定层次的充分、
适当的审计(不单纯是出于成本效益考虑,而是必须
获取的一类审计证据,如高度自动化处理数据的情况)。
二、控制测试的性质
• 控制测试的性质
– 是指控制测试所使用的审计程序的类型及其组合。
– 计划从控制测试中获取的保证水平是决定控制测试性
质的主要因素之一。
– 计划的保证水平越高,对有关控制运行有效性的审计
证据的可靠性要求越高。
• 控制测试采用审计程序的类型
– 控制测试所采用的程序和了解内部控制的程序的类型
基本相同,只是目的不同 。
二、控制测试的性质
• 确定控制测试性质的要求
– 考虑特定控制的性质
– 考虑测试与认定直接相关和间接相关的控制
– 考虑如何对一项自动化的应用控制实施控制测试
二、控制测试的性质
• 考虑实施控制测试时实现双重目的
– 控制测试的目的是:评价控制是否有效运行;
– 细节测试的目的是:发现认定层次的重大错报。
– 尽管两者目的不同,但注册会计师可以考虑针对同一
交易同时实施控制测试和细节测试,以实现双重目的。
此时注册会计师应当仔细设计和评价测试程序。
• 考虑实施实质性程序的结果对控制测试结果的影响
– 如果实施实质性程序发现被审计单位没有识别出的重
大错报,通常表明内部控制存在重大缺陷,注册会计
师应当就这些缺陷与管理层和治理层进行沟通。
三、控制测试的时间
• 控制测试的时间包含两方面的含义
– 一是何时实施控制测试;
– 二是测试所针对的控制适用的时点或期间。
– 如果测试特定时点的控制,注册会计师仅得到该时点
控制运行有效性的审计证据;
– 如果测试某一期间的控制,注册会计师可获取控制在
该期间有效运行的审计证据。
三、控制测试的时间
• 对期中实施控制测试获取的审计证据的考虑
– 注册会计师在确定针对剩余期间还需获取的补充审计证据
时,应当考虑下列因素:
1.评估的认定层次重大错报风险的重大程度。
2.在期中测试的特定控制。
3.在期中对有关控制运行有效性获取的审计证据的程度。
4.剩余期间的长度。
5.在信赖控制的基础上拟减少进一步实质性程序的范围。
6.控制环境。
三、控制测试的时间
• 对以前审计获取的审计证据的考虑
– 基本思路是:考虑拟信赖的以前审计测试的控制在本
期是否发生变化
– 当控制在本期发生变化时注册会计师的做法
– 当控制在本期未发生变化时注册会计师的做法
注:如果拟信赖的控制自上次测试后未发生变化,且不
属于旨在减轻特别风险的控制,注册会计师应当运用
职业判断确定是否在本期审计中测试其运行有效性,
以及本次测试与上次测试的时间间隔,但两次测试的
时间间隔不得超过两年。
三、控制测试的时间
• 在确定利用以前审计获取的有关控制运行有效性
的审计证据是否适当以及再次测试控制的时间间
隔时,注册会计师应当考虑:
1.内部控制其他要素的有效性,包括控制环境、对控制的
监督以及被审计单位的风险评估过程;
2.控制特征(人工控制还是自动化控制)产生的风险;
3.信息技术一般控制的有效性;
4.控制设计及其运行的有效性,包括在以前审计中测试控
制运行有效性时发现的控制运行偏差的性质和程度;
5.由于环境发生变化而特定控制缺乏相应变化导致的风险;
6.重大错报的风险和对控制的拟信赖程度。
三、控制测试的时间
• 当出现下列情况时,注册会计师应当缩短再次测
试控制的时间间隔或完全不信赖以前审计获取的
审计证据:
1.控制环境薄弱;
2.对控制的监督薄弱;
3.相关控制中人工控制的成分较大;
4.信息技术一般控制薄弱;
5.对控制运行产生重大影响的人事变动;
6.环境的变化表明需要对控制作出相应的变动;
7.重大错报风险较大或对控制的拟信赖程度较高。
四、控制测试的范围
• 控制测试的范围
– 是指某项控制活动的测试次数。注册会计师应当设计
控制测试,以获取控制在整个拟信赖的期间有效运行
的充分、适当的审计证据。
– 在确定某项控制的测试范围时,注册会计师通常考虑
下列因素:
1.在整个拟信赖期间,被审计单位执行控制的频率。执行
控制的频率越高,控制测试的范围越大。
2.在所审计期间,注册会计师拟信赖控制运行有效性的时
间长度;拟信赖控制运行有效性的时间长度不同,在
该时间长度内发生的控制活动次数也不同。拟信赖时
间长度,控制测试的范围越大。
3.控制的预期偏差。控制的预期偏差率越高,需要实施控
制测试的范围越大。
四、控制测试的范围
• 控制测试的范围
– 在确定某项控制的测试范围时,注册会计师通常考虑
下列因素:
4.通过测试与认定相关的其他控制获取的审计证据的范围。
针对同一认定,可能存在不同的控制。当针对其他控
制获取的审计证据的充分性和适当性较高时,控制测
试的范围可适当缩小。
5.拟获取的有关认定层次控制运行有效性的审计证据的相
关性和可靠性。对审计证据的相关性和可靠性要求越
高,控制测试的范围越大。
五、内部控制有效性的评价
• 评价
– 通过控制测试,审计人员可对内部控制运行的有效性
即内部控制在实际工作中的执行与否及执行程度作出
评价。
– 注册会计师需要把内部控制初步评价和有效性评价有
机结合起来进行综合评价,确定能否在允许的风险水
平下依靠其内部控制进行实质性程序,并根据已发现
的内部控制的缺陷和薄弱环节,确定实质性程序的性
质、时间和范围。
– 对于注意到的内部控制弱点,可以告知被审计单位的
管理层,必要时可以提出改进内部管理的建议和意见。
第四节 管理建议书
一、管理建议书的含义与作用
二、管理建议书的基本内容
三、管理建议书与审计报告的区别
一、管理建议书的含义与作用
• 管理建议书的含义
– 是指注册会计师针对审计过程中注意到的、可能导致
被审计单位会计报表产生重大错报或漏报的内部控制
重大缺陷提出的书面建议。
• 需要指出的是
– 管理建议书不应被视为注册会计师对被审计单位内部
控制整体发表的意见,也不能减轻或免除被审计单位
管理当局建立健全内部控制的责任。
– 注册会计师出具管理建议书,不应影响其应当发表的
审计意见。
一、管理建议书的含义与作用
• 管理建议书的作用
– 通过管理建议书,可以鉴定注册会计师的职业水平和
审计能力,评价注册会计师的审计服务质量。
– 通过管理建议书,可以针对被审计单位内部控制中存
在的重大缺陷,提出进一步完善的建议,促使被审计
单位加强内部控制,改进会计工作,提高经营管理水
平。
– 通过管理建议书,可以扩大审计服务领域,降低审计
风险,把注册会计师的法律责任减少到最低限度。
二、管理建议书的基本内容
• 管理建议书应当包括以下基本内容
– 标题。管理建议书的标题应当统一规范为“管理建议
书”;
– 收件人。管理建议书的收件人应为被审计单位管理当
局;
– 会计报表审计目的及管理建议书的性质;
– 内部控制重大缺陷及其影响和改进建议;
– 使用范围及使用责任;
– 签章和日期。
三、管理建议书与审计报告的区别
• 内容与结构不同
– 管理建议书一般包括标题、收件人、会计报表审计目
的及管理建议书性质、内部控制重大缺陷及其影响和
改进建议、使用范围及使用责任、签章及日期,且收
件人为被审计单位管理当局,日期并无特别规定,段
落上也没有严格的使用限制。
– 审计报告一般包括标题、收件人、引言段、管理层对
财务报表的责任段、注册会计师的责任段、审计意见
段、注册会计师的签名及盖章、会计师事务所的名称、
地址及盖章、报告日期。
三、管理建议书与审计报告的区别
• 对象不同
– 管理建议书是针对与审计相关的内部控制提出的;
– 审计的对象是被审计单位的会计报表,由此而出具的
审计报告是针对会计报表提出的。
• 责任不同
– 注册会计师在会计报表审计后就内部控制缺陷向被审
计单位管理当局提供管理建议书,不是一种法定业务,
没有法定责任;
– 审计报告是对会计报表形成的意见,是法定的业务,
具有法定的责任。
三、管理建议书与审计报告的区别
• 作用及影响的程度不同
– 管理建议书仅提供给被审计单位管理当局,供内部参
考,不对外报送,对外不起鉴证作用,不应作为其他
第三方依赖的佐证;
– 审计报告要向外报送,对外起鉴证作用,作用与影响
很大。
谢谢大家!
