第五章 内部控制制度与测试

3．控制测试采用审计程序（方法大致与了解内控方法一致， 但侧重点不同。前者强调设计与执行；后者重在执行的有 效性） • 询问 ：询问，获取与内部控制运行情况相关的信息
• 观察 ：测试不留下书面记录的控制（如职责分离）的运 行情况的有效方法
• 检查 ：对运行情况留有书面证据的控制，检查非常适用
• 重新执行 ：通常只有当询问、观察和检查程序结合在一 起仍无法获得充分的证据时，CPA才考虑通过重新执行来 证实控制是否有效运行（了解内部控制时没有的程序） • 穿行测试 ：行测试更多地在了解内部控制时运用。但在 执行穿行测试时，CPA可能获取部分控制运行有效性的审 计证据
3 合同 1 购货 请购单 采购 审 单位 部门 校 供货单位
4
2采购计划
发 货 仓 验 库 收 明 单 细 账
2 采 购 计 划
5 审 发 票
财会 部门 付款并 登记 总账
7月末对账 6付款或拒付
（4）制度的防护性 （5）制度的实用性（操作便利、成本核算） 例： 防护性控制
控制描述 控制用来防止的错报
证据数量 （1）只需抽取少量的 1）需要抽取足够数量的 （充分性）交易进行检查 （2）观 交易进行检查 （2）对 不同 察某几个时点 多个不同时点进行观察
区别
功能性测试（了解内部 遵循性测试（控制测试 或符合性测试） 控制） 必要时或决定测试时实施。
要求不同 必要程序
性质不同 （1）询问被审计单位 （1）询问以获取与内部控制运行情况 的人员 相关的信息； （2）观察特定控制的 （2）观察以获取控制（如职责分离） 运用； 的运行情况； （3）检查文件和报告； （3）检查以获取控制的运行情况； （4）穿行测试。 （4）穿行测试； （5）重新执行。
注册会计师通过以下方式了解被审计单位的内部控 制，以评价内部控制设计的是否合理以及是否得到 执行。
（1）询问被审计单位的 人员； （2）观察特定控制的运用； （3）检查文件和报告；
（4）追踪交易在财务报告信息系统中的处理过程（穿行测试）。
• 注意：询问本身并不足以评价控制的设计以及确定其是否得 到执行，CPA应当将询问与其他风险评估程序结合使用。
控制环境控制环境对胜任能力的要求对胜任能力的要求诚信和道德价值观诚信和道德价值观组织结构组织结构董事会或审计委员会董事会或审计委员会管理层的理念和经营风格管理层的理念和经营风格权力和责任的分配权力和责任的分配人力资源政策和实务人力资源政策和实务建立机制建立机制目标设定目标设定风险识别分风险识别分析和评估控制活动主要控制活动主要包括的内容所有经营活动应有适当授所有经营活动应有适当授不相容职务应当分离不相容职务应当分离有效控制凭证和记录真实有效控制凭证和记录真实资产和记录的接近限制资产和记录的接近限制独立的业务审核独立的业务审核信息与信息与沟通主要包括的内容及时准确完整地的及时准确完整地的记录所有信息保证管理信息系统间的有序运行保证管理信息系统间的有序运行保证管理信息系统的安全可靠保证管理信息系统的安全可靠监督主要包括的内容监督主要包括的内容内部审计机构实施的独立的监督内部审计机构实施的独立的监督管理层对内部控制的自我评管理层对内部控制的自我评三进一步了解和评价内部控制一合理的组织分工1合理的职责分工一般经济业务中的职责
答案：A,B,C,D
•
W公司主要从事小型电子消费品的生产和销售，产品销 售以W公司仓库为交货地点。W公司日常交易采用自动化信 息系统（以下简称系统）和手工控制相结合的方式进行。系 统自20×6年以来没有发生变化。W公司产品主要销售给国 内各主要城市的电子消费品经销商。A和B注册会计师负责 审计W公司20×7年度财务报表。 资料三：A和B注册会计师在审计工作底稿中记录了所了解 的有关销售与收款循环的控制，部分内容摘录如下：
三、功能性控制与遵循性测试区别 与联系 1、区别（见下表）
区别
功能性测试（了解内部控 制）
遵循性测试（控制测试 或符 合性测试）
目的不同 （1）评价控制的设计 （哪里来？（2）确定 控制是否得到执行 （用不用？）
测试控制运行的有效性 （好不好？）
重点不同 控制得到执行 过程不同 风险评估程序时
控制运行的有效性 进一步审计程序时
除非存在某些可以使控制得到一贯运行的自动化控制， CPA对控制的了解并不能够代替对控制运行有效性的测 试。对控制运行有效性的测试称为遵循性测试（或控制 测试 或符合性测试）
二、遵循性测试（符合性测试或控制测试）
1、定义：对被审计单位内部控制的执行情况进行检查（对 内部控制执行的有效性检查）。 2、测试内容： （1）一定时点上多个业务的测试 • 常用方法——穿行测试：从每一类交易循环中选择一笔或 若干笔经济业务或事项，检查验证内部控制的实际运行情 况。 例如：如果某项控制要求某一员工（复核人）在文件上签名 以证明他复核过该份文件。 CPA：询问该员工对什么进行复核，复核的要点是什么— —查阅的文件是否签过字，签字人是否为该员工。 ——CPA询问如果复核过程中发现了文件中的错误按规定 他应怎么做。（如果可能，CPA可以检查发现过错误的文 件。）
（2）制度的适用性：是否与相关环境相适应
（3）制度的健全性：
控制环节齐全（机构与人员配备） 控制要素完整（有分工、授权、记录、有稽核等） 控制程序的连续性（如通过各种凭证等文件将各环 节联系起来）
例：组织分工层面：1大中型企业会计组织机构
总会计师 内部银行 核算科 主管及 采购及 稽核组 付款组 销售及 收款组 计财处 责任会计科 总账及 报表组 财务管理科 资金管理组
通过测试，如果认定处理过程符合制度要求，则制度得到 了遵循（执行有效）。
（2）较长时间内众多业务的测试
在一个较长的时间内，从不同的期间各选一些业务进行测 试，以判断各个期间是否连续实施某项内部控制。 ——测试制度执行中是否存在间断或波动。 注意：由于技术更新或组织管理变更而更换了信息系统，从 而导致在不同时期使用了不同的控制，CPA应当考虑不同 时期控制运行的有效性。
2、恰当授权
• 一般授权 • 特殊授权
3、适时完善制度
（二）科学的控制标准
• 计划、预算、定额、规章、指令等
（三）合理的控制程序
• 合理的控制程序应符合的条件： • 简单、顺畅、防弊、有效、可行
（四）完整的业务记录
1、有记录要求 2、对记录的内部控制策略 （1）严格的凭证管理 （2）业务的核对制度 （3）对记录的事后检查 （4）健全的业务移交制度
可以从以下几方面理解内部控制：
1．内部控制的目标是合理保证：（1）财务报告的 可靠性；（2）经营的效率和效果；（3）在所有 经营活动中遵守法律法规的要求。 2．设计和实施内部控制的责任主体是治理层、管 理层和其他人员，组织中的每一个人都对内部控 制负有责任。 3．实现内部控制目标的手段是设计和执行控制政 策和程序。
• 例：说明两者之间的区别。 • 某被审计单位针对销售收入和销售费用的业绩评价控制如 下：财务经理每月审核实际销售收入（按产品细分）和销 售费用（按费用项目细分），并与预算数和上年同期数比 较，对于差异金额超过5％的项目进行分析并编制分析报 告，销售经理审阅该报告并采取适当跟进措施。 • CPA抽查最近3个月的分析报告，并看到上述管理人员在 报告上签字确认，证明该控制已经得到执行（这是了解内 部控制）。 • 然而，CPA在与销售经理的讨论中，发现他对分析报告中 明显异常的数据并不了解其原因，也无法作出合理解释， 从而显示该控制并未得到有效地运行（这是控制测试）。
• 注意：评价内部控制设计时，设计不当的控制可 能表明内部控制存在重大缺陷。
• CPA在确定是否考虑控制得到执 行时，应 当首先考虑控制的设计。如果控制设计不当，不 需要再考虑控制是否得到执行。
5、描述内部控制制度实施状况（P82）
描述方法：文字描述法、流程图法、调查表法
6、了解内部控制与测试控制运行有效性的关系
二、 内部控制要素（COSO①（Committee of
Sponsoring Organization of the Theadway Commission，简称COSO，“财务报告舞弊研究全国委员 会” ）
• 控制环境 • 风险评估过程 • 控制活动 • 信息系统与沟通 • 对控制的监督 注册会计师需要了解和评价的内部控制只是与财务 报表审计相关的内部控制，并非被审计单位所有的 内部控制。
生成收货报告的计算机程序，同 防止购货漏记账的情况 时也更新采购档案
在更新采购档案之前必须先有收 防止记录了未收到购货的 货报告 情况 销货发票上的价格根据价格清单 防止销货计价错误 上的信息确定 计算机将各凭证上的账户号码与 防止出现分类错报 会计科目表对比，然后进行一系 列的逻辑测试
4、对内部控制了解的深度
例：如果控制包括定期编制和分析调节表，比如银行存款 余额调节表，CPA可以考虑： （1）复核一份或几份调节表，以确保所有相关的数据已准 确及时地包括在调节表中； （2）关注对异常事项的处理； （3）询问当调节表揭示确实存在或可能存在错误时，应采 取什么行动； （4）询问错误是怎么发生的；
（5）如果可行的话，获取在调节过程中发现的错误得到改 正的证据。
工资 出纳 核算组 组
利润管理组
成本 核算 所有者 权益 报表 编制
仓库 核算
固定资产
2集团公司会计组织机构
总会计师 财务部 核心层 内部银行 财务科 制度管理科
分 厂 财 务 科
分 厂 财 务 科
分 厂 财 务 科
分 厂 财 务 科
分 厂 财 务 科
紧密层
例：控制程序、记录与稽核层面：采购业务程序图
2、联系：
（1）功能测试为遵循测试提供了标准。
（2）双重证据。在获得了解内部控制的证据时，可 能提供有关控制运行有效性（控制测试）的审计证据； （3）双重目的。CPA可以考虑在评价控制设计和获取 其得到执行的审计证据的同时测试控制运行有效性， 以提高审计效率。
• 【例】被审计单位可能采用预算管理制度，以防止或发现 并纠正与费用有关的重大错报风险。通过询问管理层是否 编制预算，观察管理层对月度预算费用与实际发生费用的 比较，并检查预算金额与实际金额之间的差异报告，CPA 可能获取有关被审计单位费用预算管理制度的设计及其是 否得到执行的审计证据（这是了解内部控制），同时也可 能获取相关制度运行有效性的审计证据（这是控制测试）。 当然，CPA需要考虑所实施的风险评估程序获取的审计证 据（这是了解内部控制）是否能够充分、适当地反映被审 计单位费用预算管理制度在各个不同时点按照既定设计得 以一贯执行（这是控制测试）。
• 2007注会考试：（二）F注册会计师负责对已公司20×7 年度财务报表进行审计。在测试已公司内部控制时，F注 册会计师遇到下列事项，请代为做出正确的专业判断。 1.下列与控制测试有关的表述中，正确的有（ ）。 A、如果控制设计不合理，则不必实施控制测试 B、如果在评估认定层次重大错报风险时预期控制的运行是 有效的，则应当实施控制测试 C、如果认为仅实施实质性程序不足以提供认定层次充分、 适当的证据，则应当实施控制测试 D、对特别风险，即使拟信赖的相关控制没有发生变化，也 应当在本次审计中实施控制测试
第五章 内部控制制度及其测试
本章学习目的：
掌握：内部控制结构，内部控制的评价标准；内 部控制执行情况的评审步骤和方法（重点） 了解：内部控制目标、作用、基本内容 思考：理解内部控制测试在风险评估导向审计中 的意义
第一节 内部控制结构
一、内部控制定义
内部控制是被审计单位为了合理保证财务报告的 可靠性、经营的效率和效果以及对法律法规的遵 守，由治理层、管理层和其他人员设计与执行的 政策及程序。
控制活动主要 包括的内容
有效控制凭证和记录真实 性 资产和记录的接近限制
独立的业务审核
4、评价企业整体内部控制:信息与沟通
信息与 沟通主 要包括 的内容
及时、准确、完整地的 记录所有信息
保证管理信息系统间的有序运行
保证管理信息系统的安全可靠
5、评价企业整体内部控制:监督
监督主要包括的内容
内部审计 机构实施 的独立的 监督
1、评价企业整体内部控制:控制环境
诚信和道德价值观 对胜任能力的要求
董事会或审计委员会
控制 环境
管理层的理念和经营风格
组织结构 权力和责任的分配
人力资源政策和实务
2、评价企业整体内部控制:风险评估
目标设定
风 险 识 别、分 析和评估
建立机制
3、评价企业整体内部控制:控制活动
不相容职务应当分离
所有经营活动应有适当授 权
管理层对 内部控制 的自我评 估
三、进一步了解和评价内部控制
（一）合理的组织分工
1、合理的职责分工
一般经济业务中的职责： • 请办——审批——执行——记录——结算——稽核——保 管——清查 不相容的职务分管： • 请办与审批；审批与执行；执行与记录；记录与审核；结 算（收付款）与记录；记录与保管；报关与清查
（五）健全的内部稽核
（六）优良的员工素质：
招聘、培训、考核、晋升、薪酬、调动和辞退员工方面是 否都有适当的政策和程序（特别是在会计、财务和信息系 统方面）
第二节 内部控制测试
一、功能性测试（了解内部控制）：
1.定义：对被审计单位以书面形式表示的制度或按 惯例执行的制度进行评审。 2.目的：找出制度设计的合理性，并确定其是否得 到执行（但不包括执行是否有效）。 3.了解内容： （1）制度的必要性：即能否达到某种预防、发现 并纠正错报的控制目的。