第五章 内部控制及测试

1、评价企业整体内部控制:控制环境
诚信和道德价值观 对胜任能力的要求
董事会或审计委员会
控制 环境
管理层的理念和经营风格
组织结构 权力和责任的分配
人力资源政策和实务
2、评价企业整体内部控制:风险评估
目标设定
风 险 识 别、分 析和评估
建立机制
3、评价企业整体内部控制:控制活动
不相容职务应当分离
所有经营活动应有适当授权
• 答案：A,B,C,D
• 2.假设F注册会计师对20×7年1-10月已公司某项控制的运 行有效性进行了测试。为了得出该项控制在20×7年度是 否均运行有效的结论，F注册会计师可以实施的审计程序 有（ ）。 • A、对该项控制在20×7年11-12月的运行有效性进行补 充测试
• B、获取该项控制在20×7年11-12月变化情况的审计证据 • C、测试已公司对控制的监督 • D、向已公司管理层询问
• （2）针对资料三（1）至（2）项，请逐项指出上述控制 与何种交易或账户的何种认定相关。 （3）针对资料三（1）至（2）项，假定不考虑其他条件， 请逐项判断上述控制在设计上是否存在缺陷。如果存在缺 陷，请分别予以指出，并简要说明理由，提出改进建议。 • 请将答案直接填入答题卷第15页的相应表格内。 • （4）针对资料四（1）至（2）项，假定不考虑其他条件， 请逐项指出上述测试结果是否表明相关内部控制得到有效 执行。如果表明相关内部控制未能得到有效执行，请简要 说明理由。请将答案直接填入答题卷第16页的相应表格内。 •
• 2、联系： （1）功能测试为遵循测试提供了标准。
• （2）双重证据。在获得了解内部控制的证据时，可能提 供有关控制运行有效性（控制测试）的审计证据； （3）双重目的。CPA可以考虑在评价控制设计和获取 其得到执行的审计证据的同时测试控制运行有效性，以 提高审计效率。
• 【例】被审计单位可能采用预算管理制度，以防止或发现 并纠正与费用有关的重大错报风险。通过询问管理层是否 编制预算，观察管理层对月度预算费用与实际发生费用的 比较，并检查预算金额与实际金额之间的差异报告，CPA 可能获取有关被审计单位费用预算管理制度的设计及其是 否得到执行的审计证据（这是了解内部控制），同时也可 能获取相关制度运行有效性的审计证据（这是控制测试）。 当然，CPA需要考虑所实施的风险评估程序获取的审计证 据（这是了解内部控制）是否能够充分、适当地反映被审 计单位费用预算管理制度在各个不同时点按照既定设计得 以一贯执行（这是控制测试）。
• 资料三：A和B注册会计师在审计工作底稿中记录了所了解的有关销 售与收款循环的控制，部分内容摘录如下： • （1）仓库人员在系统中根据经销售部门批准的客户订单生成连续编 号的发货单，并在将产品交运输商发运后，将发货单设为“已执行” 状态并提交结算部门。结算部门根据系统中的“已执行”发货单记录、 订单及相关客户基础资料，在系统中生成并打印销售发票，系统在月 末根据发货单和发票信息自动汇总主营业务收入，并据此过入应收账 款和主营业务收入账簿。
内部控制受 制于成本效 益原则 权利游戏
内部控制 的局限
经营环境变化 •人员素质、信 •息传递的影响
内部、内外的 串通舞弊会使 内部控制失效
• 第二节
内部控制测试
• 一、执行控制测试：进一步评估认定层次的重大错报风险 • （一）了解（进一步）被审计单位的内部控制 （方法大致与了解内控方法一致，但侧重点不同。前者强 调设计与执行；后者重在执行的有效性） • 1、询问 ：询问，获取与内部控制运行情况相关的信息
• C.将每月产品发运数量与销售入账数量相核对 • D.定期与客户核对应收账款余额
•
（AC）
• • • • • •
四、内部控制的固有局限 1、成本约束 2、缺乏例外考虑 3、设计的制度不可能最有效 4、串通舞弊 5、在决策时人为判断可能出现错误和由于 人为失误而导致内部控制失效。 • 6、执行控制人员的素质有限
•
（2）每月末，系统自动匹配发货单、订单、发票和入账的主营业务 收入，并可以生成一个专门报告反映未匹配项目的清单。系统授权可 以生成和阅读该报告的人员是W公司销售部经理和总经理。 • 资料四：A和B注册会计师对销售与收款循环的内部控制实施测试， 并在审计工作底稿中记录了测试情况，部分内容摘录如下： （1）A注册会计师观察了结算部门人员根据发货单在系统中开具发 票的过程，并从20×7年主营业务收入明细账中选取销售记录实施测 试，未发现异常。 （2）B注册会计师询问了总经理和部经理有关资料三中第（2）项控 制的运行情况，他们均表示由于以前月份很少发现不匹配情况，因此， 从20×7年6月以后就没有再实际生成和阅读上述专门报告。在B注册 会计师的要求下，销售部经理在系统中生成了截止20×7年12月31日 的专门报告，B注册会计师没有发现存在不匹配的事项。 • 要求：
测试控制运行的有效性 （好不好？）
控制运行的有效性 进一步审计程序时
证据数量 （1）只需抽取少量的 1）需要抽取足够数量的 （充分性）交易进行检查 （2）观 交易进行检查 （2）对 不同 察某几个时点 多个不同时点进行观察
区别
功能性测试（了解内部 遵循性测试（控制测试 或符合性测试） 控制） 必要时或决定测试时实施。
• （二）记录所了解的情况 • 常见的记录方式： • 文字叙述、内部控制调查表和流程图
• 二、了解内部控制与控制测试区别 与联系 • 1、区别（见下表）
区别
功能性测试（了解内部控 制）
控制测试（遵循性测试 或符 合性测试）
目的不同 （1）评Байду номын сангаас控制的设计 （哪里来？（2）确定 控制是否得到执行 （用不用？） 重点不同 控制得到执行 过程不同 风险评估程序时
要求不同 必要程序
性质不同 （1）询问被审计单位 （1）询问以获取与内部控制运行情况 的人员； 相关的信息； （2）观察特定控制的 （2）观察以获取控制（如职责分离） 运用； 的运行情况； （3）检查文件和报告； （3）检查以获取控制的运行情况； （4）穿行测试。 （4）穿行测试； （5）重新执行。
控制活动主要 包括的内容
有效控制凭证和记录真实性
资产和记录的接近限制
独立的业务审核
4、评价企业整体内部控制:信息与沟通
信息与 沟通主 要包括 的内容
及时、准确、完整地的 记录所有信息
保证管理信息系统间的有序运行
保证管理信息系统的安全可靠
5、评价企业整体内部控制:监督
监督主要包括的内容
内部审计 机构实施 的独立的 监督
例：控制程序、记录与稽核层面：采购业务程序图
3 合同 1 购货 请购单 采购 审 单位 部门 校 供货单位
4
2采购计划
发 货 仓 验 库 收 明 单 细 账
2 采 购 计 划
5 审 发 票
财会 部门 付款并 登记 总账
7月末对账 6付款或拒付
• 练习：【2007年多选题】 E注册会计师负责对戊公司 20×7年度财务报表进行审计。在了解戊公司内部控制时， E注册会计师遇到下列事项，请代为做出正确的专业判断。 • 1.为保证所有的产品销售均已入账，戊公司下列控制活动 中与这一控制目标直接相关的有（ ）。 • A.对销售发票进行顺序编号并复核当月开具的销售发票是 否均已登记入账 B.检查销售发票是否经适当的授权批准
• 答案：A,B,C
•
W公司主要从事小型电子消费品的生产和销售，产品销售以W公司 仓库为交货地点。W公司日常交易采用自动化信息系统（以下简称系 统）和手工控制相结合的方式进行。系统自20×6年以来没有发生变 化。W公司产品主要销售给国内各主要城市的电子消费品经销商。A 和B注册会计师负责审计W公司20×7年度财务报表。
管理层对 内部控制 的自我评 估
• • • • •
三、进一步了解和评价内部控制 （一）合理的组织分工 1、合理的职责分工 一般经济业务中的职责： 请办——审批——执行——记录——结算——稽核——保 管——清查 • 不相容的职务分管： • 请办与审批；审批与执行；执行与记录、记录与审核；结 算（收付款）与记录；记录与保管；报关与清查
• • • •
2、恰当授权 一般授权 特殊授权 3、适时完善制度
（二）科学的控制标准 • 计划、预算、定额、规章、指令等 （三）合理的控制程序 • 合理的控制程序应符合的条件： • 简单、顺畅、防弊、有效、可行
（四）完整的业务记录 • 1、有记录要求 • 2、对记录的内部控制策略 • （1）严格的凭证管理 • （2）业务的核对制度 • （3）对记录的事后检查 • （4）健全的业务移交制度 （五）健全的内部稽核 （六）优良的员工素质： 招聘、培训、考核、晋升、薪酬、调动和辞退员工方面是 否都有适当的政策和程序（特别是在会计、财务和信息系 统方面）
• 2007注会考试：（二）F注册会计师负责对已公司20×7 年度财务报表进行审计。在测试已公司内部控制时，F注 册会计师遇到下列事项，请代为做出正确的专业判断。 1.下列与控制测试有关的表述中，正确的有（ ）。 • A、如果控制设计不合理，则不必实施控制测试 • B、如果在评估认定层次重大错报风险时预期控制的运行 是有效的，则应当实施控制测试 • C、如果认为仅实施实质性程序不足以提供认定层次充分、 适当的证据，则应当实施控制测试 • D、对特别风险，即使拟信赖的相关控制没有发生变化， 也应当在本次审计中实施控制测试
第五章 内部控制及测试
• 第一节
• 一、内部控制定义
内部控制概述
• 内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率 和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计与 执行的政策及程序。
• 可以从以下几方面理解内部控制：
• 1．内部控制的目标是合理保证：（1）财务报告的可靠性；（2）经 营的效率和效果；（3）在所有经营活动中遵守法律法规的要求。 • 2．设计和实施内部控制的责任主体是治理层、管理层和其他人员， 组织中的每一个人都对内部控制负有责任。 • 3．实现内部控制目标的手段是设计和执行控制政策和程序。
• 例：说明两者之间的区别。 • 某被审计单位针对销售收入和销售费用的业绩评价控制如 下：财务经理每月审核实际销售收入（按产品细分）和销 售费用（按费用项目细分），并与预算数和上年同期数比 较，对于差异金额超过5％的项目进行分析并编制分析报 告，销售经理审阅该报告并采取适当跟进措施。 • CPA抽查最近3个月的分析报告，并看到上述管理人员在 报告上签字确认，证明该控制已经得到执行（这是了解内 部控制）。 • 然而，CPA在与销售经理的讨论中，发现他对分析报告中 明显异常的数据并不了解其原因，也无法作出合理解释， 从而显示该控制并未得到有效地运行（这是控制测试）。
• 2、观察 ：测试不留下书面记录的控制（如职责分离）的 运行情况的有效方法
• 3、检查 ：对运行情况留有书面证据的控制，检查非常适 用 • 4、重新执行 ：通常只有当询问、观察和检查程序结合在 一起仍无法获得充分的证据时，CPA才考虑通过重新执行 来证实控制是否有效运行（了解内部控制时没有的程序）
4
事项 序号
是否得到有 效执行
• 5、穿行测试 ：跟踪几笔通过会计系统的交易或 事项，以获知相关控制政策和程序的存在及执行 情况。在执行穿行测试时，CPA可能获取部分控 制运行有效性的审计证据
• 例如：如果某项控制要求某一员工（复核人）在文件上签 名以证明他复核过该份文件。 • CPA：询问该员工对什么进行复核，复核的要点是什么— —查阅的文件是否签过字，签字人是否为该员工。 • ——CPA询问如果复核过程中发现了文件中的错误按规定 他应怎么做。（如果可能，CPA可以检查发现过错误的文 件。）
• 二、 内部控制要素（COSO①（Committee of Sponsoring Organization of the Theadway Commission，简称COSO“财务报告舞弊研究全 国委员会” ） • 1、控制环境 • 2、风险评估 • 3、控制活动 • 4、信息与沟通 • 5、监督 • 注册会计师需要了解和评价的内部控制只是与财务 报表审计相关的内部控制，并非被审计单位所有的 内部控制。