第七章 内部控制

职责分离
主要目的是避免任何职员担任不相容的职务。 不相容的职务是指经营业务的授权、批准、执行和记录等 完全由一个部门或一个人办理时，发生错弊的可能性就会 增大的两项或两项以上的职务。 不相容的职务必须分离，这是建立内部控制最基本的要求。 不相容职务应当分离控制有以下几项内容： （1）某项经济业务的授权职务和执行职务。 （2）某项经济业务的执行职务与记录职务。 （3）财产的保管职务与记录职务。 （4）记录总账职务与记录明细账职务。 （5）财产的保管职务与财产的核对职务。
风险评估程序 →证据表明：某项控制的设计是不 合理的，或设计合理但没有执行 ，认定层次重大 错报风险高→ 不需要进行控制测试，直接进行实 质性程序 → 原因：进行控制测试并不能减少实质性程序工作 量，以降低审计成本。 基于成本效益角度考虑，因进行控制测试所增加 成本 ＜ 实质性程序减少的成本，此时控制测试才 是经济的，必要的。
注意：
值得注意的是，检查交易和事项的凭证适用于执 行后会留下痕迹的内部控制，而对于那些执行后 不留下痕迹的内部控制就不适用了，此时一般采 用询问法和观察法来获取关于内部控制是否有效 执行的证据。
(2) 询问
即询问被审计单位执行内部控制职责的有关人员。 如通过询问仓库管理人员，能确定未经授权的人 员是否曾经被允许接触资产的实际情况以实物资 产保管控制实际执行情况的证据。 尽管询问得到的口头证据说服力不是特别强，但 这些证据如确实是恰当的，也可以用来说明内部 控制的运行是否有效。
在以下有关内部控制与审计证据特性的说法中，正确 的是（ ACD ）。 A．内部控制的健全、有效性影响审计证据的充分 性。确切地说，内部控制的健全、有效程度与审计证 据的数量成反向变动关系 B．通常，注册会计师应当从控制测试与实质性程序 两方面考虑审计证据的相关性，内部控制的健全、有 效性影响审计证据的相关性 C．内部控制健全、有效性影响审计证据的可靠性， 一般而言，来自健全、有效的内部控制的审计证据具 有更高的可靠性 D．与信息编制相关的控制越有效，该信息越可靠
二、内部控制的构成要素
（一）控制环境 控制环境包括治理职能和管理职能，以及治理层 和管理层对内部控制及其重要性的态度、认识和措 施。 控制环境决定着其他控制要素能否发挥作用， 是内部控制其他要素发挥作用的基础，直接影响着内 部控制的贯彻和执行以及企业内部控制目标的实现。
（二）风险评估过程
任何经济组织在经营活动中都会面临各种各样的 风险，风险对其生存和竞争能力产生影响。 很多风险并不为经济组织所控制，但管理层应当 确定可以承受的风险水平，识别这些风险并采取一定 的应对措施。 可能产生风险的事项和情形包括（见教材）
(3) 观察
即实地观察被审计单位内部控制的运行情况，以 确定内部控制是否有效执行。 如，观察存货盘点控制的执行情况；
(4) 重新执行 即审计人员对被审计单位的内部控制重新执行一 次，以获取被审计单位内部控制执行情况的证据。 例如，根据企业材料出库制度规定，仓库管理人 员必须根据经有关负责人审核批准后的领料单发 货，如审计人员在重新执行领料业务时，持未经 适当批准的领料单去仓库领料，而仓库管理人员 照发不误，则说明上述控制执行“失败”。 重新执行是对内部控制进行测试很有效的方法， 但执行这一方法的成本较高。 通常只有当询问、观察和检查方法无法获取充分 证据时，审计人员才考虑使用重新执行来证实控 制是否有效运行。
对一项经济业务处理的全过程的各个步骤也要分 派给不同的部门和人员，如销售业务，就应该将销售 业务的授权、发货、开发票、记账、收款等项工作落 实给不同的部门和人员。
（五）对控制的监督
管理层的重要职责之一就是建立和维护控制并保 证其持续有效运行，对控制的监督可以实现这一目 标。 例如，管理层对银行存款余额调节表是否得到及 时和准确的编制进行监督，可以保证该项控制得到持 续的执行。 内部审计人员评价销售人员是否遵守公司关于销 售公司合同条款的政策
第七章
内部控制
本章学习要求:
理解： 内部控制含义 内部控制的组成要素 掌握： 内部控制测试 实质性测试
第一节 内部控制的内涵与ຫໍສະໝຸດ Baidu素
一、内部控制制度的内涵与目标 （一） 概念 内部控制是被审计单位为了合理保证财务报告的 可靠性、经营的效率和效果以及对法律法规的遵 守，由治理层、管理层和其他人员设计和执行的 政策和程序。
第二节
内部控制的了解与初步评价
一、了解内部控制的基本程序 （一）询问被审计单位有关人员，查阅相关内部控制文件 （二）检查内部控制生成的文件和记录 （三）观察被审计单位的业务活动和内部控制的运行情况 （四）选择若干具有代表性的交易和事项进行穿行测试
二、了解内部控制的基本方法
（一）调查表法 调查表法就是事先将要调查的问题制成调查表，通过 向有关人员询问填表的方式了解内部控制的方法。 （二）记述法 审计人员实施程序了解内部控制，将调查所得的内部 控制记录下来并用文字加以叙述的方法，称为记述法。 （三）流程图法 流程图法是利用符号和图形及简要的文字来表示被审 计单位的内部控制的方法。
（四）内部控制与独立审计的关系
审计人员在进行会计报表审计时，不论被审计单位规模大 小如何，都应当对相关的内部控制进行充分的了解。 审计人员应根据对被审计单位内部控制的了解，确定将要 执行的控制测试的性质、时间和范围。 对被审计单位内部控制的了解和控制测试，并非审计工作 的全部内容。内部控制良好的单位，审计人员可能因其控 制风险较低而决定减少实质性测试程序，但决不能完全取 消实质性测试程序。
（三）内部控制的固有局限
(1)在决策时人为判断可能出现错误和由于人为失误 而导致内部控制失效。 (2)可能由于两个或更多的人员进行串通或管理层凌 驾于内部控制之上而被规避。 (3)如果被审计单位内部行使控制职能的人员素质不 适应岗位要求，也会影响内部控制功能的正常发挥。
(4)被审计单位实施内部控制的成本效益问题也会影 响其职能，当实施某项控制成本大于控制效果而发生 损失时，就没有必要设置控制环节或控制措施。 (5)内部控制一般都是针对经常而重复发生的业务而 设置的，如果出现不经常发生或未预计到的业务，原 有控制就可能不适用。
“控制测试”与“了解内控”的区别
——获取的证据不同： 在了解控制是否得以执行时，注册会计师只需抽 取少量的交易进行检查或观察某几个时点。 在测试控制运行的有效性时，注册会计师需要抽 取足够数量的交易进行检查或对多个不同时点进 行观察。
二、控制测试的要求
控制测试并不是在任何情况下都需要实施，只有 当存在下列情况之一时，注册会计师才需要实施 控制测试。 1．在评估认定层次重大错报风险时，预期控制的运 行是有效的。
此时，如果认为仅通过实施实质性程序不能获取 充分、适当的审计证据，就必须实施控制测试。 注意：这种测试已经不再是单纯出于成本效益的 考虑，而是必须获取的一类审计证据。
三、控制测试的性质
控制测试的性质是指控制测试所使用的审计程序 的类型及其组合。 (1) 检查 即通过对被审计单位在现有内部控制下产生的凭 证或记录进行检查，审核经手人的签字、盖章， 以确定内部控制是否有效执行。 企业内部控制在执行过程中，经过授权的人员或 部门处理业务后往往会在处理的业务凭证或记录 上签字或盖章，这就为审计人员检查内部控制是 否有效执行提供了书面证据。
下列应当进行职务分离的有( ABC )。 A.经济业务的授权批准与执行职务 B.经济业务的执行与记录职务 C.财产物资的保管和记录职务 D.记录总账与编制报表的职务
第三节
一、控制测试的含义
内部控制测试
“了解内部控制”包含两层含义： 一是评价控制的设计；二是确定控制是否得到执行。 控制测试指的是测试控制运行的有效性。 控制测试要解决问题(是否有效运行)： (1)控制在所审计期间的不同时点是如何运行的； (2)控制是否得到一贯执行； (3)控制由谁执行； (4)控制以何种方式运行(例如人工控制或自动化控制)。
检查法举例 在现金借款内部控制测试中，为了证实出纳员借 出的款项是否经有关负责人审批，审计人员可检 查已经作为原始凭证的借款单，审阅上面是否有 借款人填写的必要内容及其业务部门负责人和财 务部门负责人等的签字(包括日期)。 如签字齐全，日期并不前后矛盾，则说明该项业 务的顺序及手续是符合内部控制要求的； 如签字不齐全，或日期前后顺序矛盾，则说明该 业务的处理顺序或手续不符合内部控制的要求。
进行控制测试的第二种情况：
2．仅通过实施实质性程序不足以提供认定层次充分、 适当的审计证据。 某些重大错报风险，注册会计师仅通过实施实质 性程序无法予以应对。 例如，被审计单位对日常交易采用高度自动化处 理的情况下，审计证据仅以电子的形式存在，此 时审计证据是否充分和适当通常取决于自动化信 息系统相关控制的有效性。控制有效，则生成不 正确信息或信息被不恰当修改的可能性就会大大 减少。
（二）对内部控制概念的理解，应把握以下几点： 1．内部控制的目标是合理保证： （1）财务报告的可靠性； （2）经营的效果和效率； （3）在所有经营活动中遵守法律法规的要求。 2．实现内部控制目标的手段是设计和执行控制政策 ．实现内部控制目标的手段是设计和执行控制政策 和程序。 3．内部控制贯穿于企业经营管理活动的各个方面， 只要存在企业经营管理活动，就需要有相应的内部控 制。
三、对内部控制的初步评价 评价结果可能有三种情况（见教材）
课堂练习 内部审计属于内部控制中的( B )
A.风险评估 B.监督 C.控制活动 D.控制环境 【解析】这个知识点考核的是内部控制中监督的内容。 监督包括适当及时地评估内部控制的设置和执行情况， 以及采取必要的纠正措施。对许多企业来说，内部审计 部门在有效监督方面的作用是非常关键的。
（三）与财务报告相关的信息系统和沟通
企业在一定的时间内要以一定的形式确定、收集 和交换信息，从而使员工能够履行职责。 信息与沟通系统包围着整个控制活动，这些系统 使企业内部的员工能取得他们在执行、管理和控制企 业经营过程中所需的信息，并交换这些信息。
（四）控制活动
控制活动是指有助于确保管理层的指令得以执行 的政策和程序。 包括与授权、业绩评价、信息处理、实物控制和 职责分离等相关的活动。
(5)穿行测试 穿行测试是通过追踪交易在财务报告信息系统中 的处理过程，来证实注册会计师对控制的了解、 评价控制设计的有效性以及确定控制是否得到执 行。 可见，穿行测试更多地在了解内部控制时运用。
“穿行测试”与“重新执行”区别：
1、穿行测试是在了解内部控制的情况下执行的程 序，而重新执行是控制测试的情况下进行的。 2、穿行测试是指的对留下审计轨迹的内部控制执行 的测试，而重新执行是对未留下审计轨迹的内部控制 执行的测试。
风险评估程序 → 某项控制的设计是合理的，并得 到了执行，认定层次重大错报风险低→ 估计控制的 运行是有效 → 控制测试予以证实 → 目的：如证实运行是有效的，则可以有效防止、 发现及纠正重大错报，这样可以在保证审计效果条件 下大大地减少实质性程序工作量，从而降低审计成 本。 动机：降低审计成本
反之：
实物控制
主要目的是限制接近资产和重要的记录，以保证 资产与记录的完全和完整。 实物控制的效果影响资产的安全，从而对财务报 表的可靠性及审计产生影响。 实物控制包括： （1）对资产和记录采取适当的安全保护措施，如将 存货存入仓库、现金放入保险柜等都是实物保护 措施。 （2）对访问计算机程序和数据文件设置授权，以及 定期盘点并将盘点记录与会计记录相核对。 （3）对现金、有价证券和存货的定期盘点控制。
授权
主要目的：保证交易是管理人员在其授权范围内 授权产生的。 授权有一般授权和特别授权两种： 一般授权是指处理常规性交易的授权，如销售人 员对符合企业一般信用标准的顾客赊销商品。 特别授权是指处理非常规性交易的授权，如重大 资本支出、债券和股票发行等。特别授权也可能 用于超过一般授权限制的常规交易，如授权处理 特殊情况下对某个不符合企业一般信用标准的顾 客赊购商品等。