内部控制及其测试与评价

Arthur

　　本章学习重在理解。考生应对内部控制研究和评价的步骤及整个思路非常清楚，只有这样才能理解本章的内容。学习时你首先得了解内部控制的概念、目标和要素，然后掌握：(1)内部控制与审计的关系；(2)符合性测试的概念、种类、性质、范围和时间；(3)控制风险初步评价为高水平和低水平的情形；（4）控制风险再次评价过程及评价结果对实质性测试的影响；(5)管理建议书的性质、出具管理建议书的条件及其与审计意见的区别。

第一节 内部控制的目标与要素

　　一、内部控制定义与内部控制目标

　　1．内部控制定义。

　　所谓内部控制，是指被审计单位为了保证业务活动的有效进行，保护资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序。

　　2．内部控制目标。

　　（1）保证业务活动按照适当的授权进行。

　　（2）保证所有交易和事项以正确的金额，在恰当的会计期间及时记录于适当的帐户，使会计报表的编制符合会计准则的相关要求。

　　（3）保证对资产和记录的接触、处理均经过适当的授权。

　　（4）保证帐面资产与实存资产定期核对相符。

　　3．有关内部控制的一般考虑：

　　（1）管理当局的责任。

　　建立、修正和维护公司的各项控制，并监督控制政策和程序得到持续有效地执行，其责任在于管理当局而不在注册会计师。这与遵守企业会计准则编制会计报表的责任在管理当局而不在注册会计师是一致的。

　　（2）合理的保证。

　　①公司管理当局应在综合考虑控制的成本效益的基础上，建立能为公司会计报表的公允表达提供合理（但不是绝对的）保证的内部控制。一些理想的内部控制往往因成本过高而不为管理当局所采用。

　　②管理当局在建立内部控制时还须注意，控制程序不应对工作效率或获利能力有不利影响。

　　（3）固有的限制。

　　注册会计师在确定内部控制的可信赖程度时，应当保持应有的职业谨慎，充分关注内部控制的以下固有限制：

　　①内部控制的设计和运行受制于成本与效益原则；

　　②内部控制仅针对常规业务活动而设计；

　　③因执行人员因素而失效；

　　④因有关人员相互勾结、内外串通而失效；

　　⑤因执行人员滥用职权或屈从于外部压力而失效；

　　⑥因经营环境、业务性质的改变而削弱或失效。

　　4．内部控制与审计的关系。

　　①注册会计师在执行审计任务时，不论被审计单位规模大小，都应当对相关的内部控制制度进行充分的了解。

　　②注册会计师应根据其对被审计单位内部控制制度的了解，确定将要执行的测试的性质、时间和范围。

　　③对被审计单位内部控制制度的了解和测试，并非审计工作的全部内容。

　　二、内部控制要素

　　1．控制环境。所谓控制环境是对企业控制的建立和实施有重大影响的因素的总称。其内容包括：

　　①经营管理的观念、方式和风格；

　　②组织结构；

　　③董事会；

　　④授权和分配责任的方法；

　　⑤管理控制方法；

　　⑥内部审计；

　　⑦人事政策和实务；

　　⑧外部影响。

　　2．会计系统。会计系统是指企业为了汇总、分析、分类、记录、

　　报告公司交易，并保持对相关资产与负债的受托责任，而建立的方法和记录。

　　3．控制程序。控制程序是由为了合理保证公司目标的实现而建立的政策和程序组成的。控制程序包括：

　　①交易授权；

　　②责任划分；

　　③凭证和记录控制；

　　④资产接触与记录使用；

　　⑤独立稽核。

Arthur

第二节 了解与记录内部控制

　　注册会计师对于企业内部控制所作的研究和评价可分为三个步骤：

　　第一，了解企业的内部控制情况，并作出相应的记录；

　　第二，实施符合性测试程序，证实有关内部控制的设计和执行的效果；

　　第三，评价内部控制的强弱，即评价控制风险。确定在内部控制薄弱的领域扩展审计程序，降低审计风险。

　　因此，了解内部控制是注册会计师检查内部控制的首要步骤。通常，对于内部控制的了解是将企业经济业务分成若干业务循环，再了解各循环内的内部控制并进行相应的了解记录。

　　一、业务循环及其分类

　　1．概念

　　所谓“业务循环”也称切块审计法，是指将密切相关的交易种类或账户余额划为同一块，作为一个业务循环，来组织安排审计工作的方法。

　　2．制造业可划分为下列业务循环来进行研究和评价：

　　（1）销售与收款循环；

　　（2）购货与付款循环；

　　（3）生产循环；

　　（4）筹资与投资循环；

　　3．如何划分业务循环，应视企业的业务性质和规模而定。

　　二、了解内部控制

　　1．了解内部控制的程序。

　　（1）查阅以前工作底稿，合理利用以往的审计经验；

　　（2）询问被审计单位有关人员，并查阅相关内部控制文件；

　　（3）检查内部控制生成的文件和记录；

　　（4）观察被审计单位的业务活动和内部控制的运行情况；

　　（5）选择若干具有代表性的交易和事项进行“穿行测试”。

　　2．了解控制环境

　　注册会计师应当充分了解控制环境，以评价被审计单位管理当局对内部控制及其重要性的态度、认识和措施。

　　3．了解会计系统

　　（1）被 审计单位交易和事项的主要类别。

　　（2）各类主要交易和事项的发生过程

　　（3）重要的会计凭证、帐簿记录以及会计报表帐目

　　（4）重大交易和事项的会计处理过程

　　4．了解控制程序

　　注册会计师了解控制程序，比了解控制环境和会计制度要素更强调确定特定单项控制程序与特定认定之间的直接关系。但是在不同的审计策略下，对这种关系需要了解的范围是有差别的。

　　控制程序比控制环境的政策或程序更直接地与某一特定认定相关，因此，控制程序对于防止或发现和更正会计报表中的重要错报或漏报更为有效。

　　注册会计师在设定控制风险低于最大值时，比设定控制风险为最大值时需要更多地了解控制程序。

　　了解控制程序时，注册会计师应着重考虑：

　　①交易授权；

　　②职责划分；

　　③凭证与记录控制；

　　④资产接触与记录使用；

　　⑤独立稽核。

　　5．控制风险的初步评价。

　　（1）注册会计师每次审计时，在了解了内部控制之后，应对控制风险作初步评价。这时候的控制风险初步评价是针对每个重要的账户余额或交易种类，在认定层上进行的。

　　（2）出现以下情况之一时，注册会计师应将重要账户或交易类别的某些或全部认定的控制风险评估为高水平。其情况为：

　　①企业内部控制失效；

　　②难以对内部控制的有效性作出评价；

　　③注册会计师不拟进行符合性测试。

　　（3）如果同时出现以下情况，注册会计师则不应评价其控制风险

　　处于高水平：

　　①相关的内部控制可能防止或发现和纠正重大错报或漏报；

　　②注册会计师拟进行符合性测试。

　　三、记录对内部控制的了解和对控制风险的评价

　　1．在工作底稿中记录对内部控制的评价的基本要求：

　　（1）当控制风险评价为最高水平时，只需记录这一评价结论；

　　（2）当控制风险评价低于最高水平时，还必须记录评价的依据。

　　2．内部控制调查的记录方法：

　　（1）调查表

　　调查表就是将那些与保证会计记录的正确性和可靠性以及与保证资产的完整性有密切关系的事项列作调查对象，由事务所自行设计成标准化的调查表，交由注册会计师根据调查的结果自行填写。

　　（2）文字表达

　　文字表述是注册会计师对被审计单位内部控制健全程度和执行情况的书面叙述。

　　（3）流程图

　　流程图是用符号和图形来表示被审计单位经济业务和文件凭证在组织机构内部有序流动的文件。

Arthur

第三节 内部控制测试

　　一、运用初步审计策略的步骤

　　1．主要证实法的运用步骤

　　2．较低的控制风险估计水平法运用的步骤

　　（以上两项内容请参看教材）

　　二、符合性测试的概念

　　1．概念

　　符合性测试是为了确定内部控制制度的设计和执行是否有效而实施的审计程序。

　　2．符合性测试的基本对象

　　（1）控制设计测试

　　控制设计测试所要解决的问题是，被审计单位的控制政策和程序是否设计合理、适当，能不能防止或发现和纠正特定会计报表认定的重大错报或漏报。

　　（2）控制执行测试

　　控制执行测试所要解决的问题是，被审计单位的控制政策和程序是否实际发挥作用。

　　（3）测试某项控制执行的有效性，应着重查清的问题：

　　①控制是怎样应用的？

　　②是否在年度中一贯应用？

　　③由谁应用？

　　三、符合性测试的种类

　　注册会计师可在审计计划期间和期中工作期间执行符合性测试。在主要证实法下可能执行“同步符合性测试”及“额外符合性测试”，在较低的控制风险估计水平法下，必须执行“计划符合性测试”。

　　1．同步符合性测试。

　　（1）“同步符合性测试”是在注册会计师取得对内部控制的了解时，同时执行的测试。这种符合性测试不是必需的，而是注册会计师有选择地执行的。

　　（2）“同步符合性测试”既可能是取得了解时的“副产品”，也可能是注册会计师事先计划安排的。

　　（3）通过“同步符合性测试”取得的证据，只能使注册会计师评价控制风险的估计水平处在略低于最高水平到中等水平的范围之内。因为这些证据是在审计的计划期间内取得的，其证据本身并不能证明某项控制政策或程序在整个被审计年度均由经授权的人员适当和一贯地加以应用。

　　2．追加符合性测试

　　这种测试在外勤工作中执行，在主要证实法下，执行“追加符合性测试”是为了进一步降低注册会计师对控制风险的估计水平。

　　3．计划符合性测试

　　（1）“计划符合性测试”也在外勤工作中执行。

　　（2）在选用较低的控制风险估计水平法下必须执行这种测试，通过计划符合性测试取得的证据应足以支持评价某些认定的控制风险为中等或低水平。执行的目的是为了支持注册会计师计划的实质性测试水平。

　　四、符合性测试的性质

　　在确定了测试的种类之后，注册会计师应进一步决定符合性测试的性质，即执行测试将使用什么样的审计程序。注册会计师可选用的符合性测试程序有以下三种，可单独使用，也可合并使用：

　　1．检查交易和事项的凭证；

　　2．询问并实地观察未留下审计轨迹的内部控制的运行情况；

　　3．重新执行相关内部控制程序。

　　五、符合性测试的范围

　　出现下列情况之一时，注册会计师可不进行符合性测试，而直接实施实质性测试程序：

　　1．相关内部控制不存在；

　　2．相关内部控制虽然存在，但注册会计师通过了解发现其并未有效运行；

　　3．符合性测试的工作量可能大于进行符合性测试所减少的实质性测试的工作量。

　　六、符合性测试的时间

　　1．同步符合性测试是在计划期间内执行的。

　　2．额外的或计划的符合性测试通常是在期中工作中执行，并且应尽可能安排在期中的后期执行。

　　3．若期中审计已进行符合性测试，注册会计师在决定完全信赖其结果前，应当考虑以下因素，以进一步获取期中至期末的相关审计证据：

　　（1）期中审计符合性测试的结论；

　　（2）期中审计后剩余期间的长短；

　　（3）期中审计后内部控制的变动情况；

　　（4）期中审计后发生的交易和事项的性质及金额；

　　（5）拟实施的审计实质性测试程序。

　　七、符合性测试中使用内部审计人员的工作

　　1．注册会计师应做好以下工作

　　（1）定期同内部审计人员会谈

　　（2）复核他们的工作计划表

　　（3）取得内部审计人员的审计工作底稿

　　（4）复核内部审计报告。

　　2．注册会计师应测试内部审计人员的工作，以弄清的问题：

　　（1）内部审计工作范围是否适当；

　　（2）审计方案是否适当；

　　（3）工作底稿是否充分记录了所执行的工作，包括监督和复核的证据；

　　（4）相关内部审计工作对有关情况的结论是否适当；

　　（5）审计报告与所执行的工作是否一致。

　　八、双重目的测试

　　所谓双重目的测试，是指在期中执行一项测试程序，却能同时取得有关控制的有效性（符合性测试）和报表中的重要错报和漏报（交易的详细实质性测试）这两个方面的证据。

第四节 内部控制评价

　　一、控制风险评价的概念

　　评价控制风险，是评价内部控制在防止或者发现和更正会计报表里的重要错报或漏报的有效程度的过程。

　　控制风险的评价是以与某认定相关的各内部控制要素里的控制政策和程序为基础，而不是为了个别内部控制要素或个别政策和程序而进行。我们将评价控制风险所得到的结果，称为“控制风险估计水平”。

　　二、控制风险评价的过程

　　1．将控制风险评价为高水平，意味着内部控制不能及时防止或者发现和纠正某项认定中的错报或漏报的可能性很大。如果很多认定或者所有的认定的控制风险，都被评价为高水平，那么，注册会计师就要研究是否对被审计单位会计报表进行审计。

　　2．注册会计师只有在确认以下事项的情况下，才能将控制风险评价为高水平：

　　（1）控制政策和程序与认定不相关；

　　（2）控制政策和程序无效；

　　（3）取得证据来评价控制政策和程序显得不经济

　　3．注册会计师只有在确认以下事项的情况下，才能将控制风险评价为低水平：

　　（1）控制政策和程序与认定相关；

　　（2）通过符合性测试已获得证据证明控制有效。

　　4．控制风险的估计水平，既可以用低、中、高的概念来加以表示，也可以将控制风险量化为百分比表示。

　　5．注册会计师在对某项认定的控制风险进行评价时，必须遵循以下步骤：

　　（1）确认该项认定可能发生哪些潜在的错报或漏报；

　　（2）确认哪些控制可以防止或者发现和更正这些错报或漏报；

　　（3）执行符合性测试，获取这些控制是否设计适当和有效执行的证据，在控制风险评价为高水平时，此步骤就不用了；

　　（4）评价所获得的证据；

　　（5）评价该项认定的控制风险。

　　6．注册会计师在评价控制风险时，应注意以下几点：

　　（1）必须以通过了解内部控制和执行符合性测试所获得的证据，作为评价的依据；

　　（2）充分运用专业判断；

　　（3）必须注意到内部控制的三个要素对某项特定会计报表认定的相互影响。

　　三、对控制风险再评价的记录

　　注册会计师应将控制风险再评价的过程和结果在工作底稿中加以记录，基本要求与记录对内控的初步评价相同。

　　四、评价结果对实质性测试的影响

　　控制风险、固有风险与检查风险构成整个审计风险的三要素，其相互关系可用下列等式表示：

　　审计风险=固有风险×控制风险×检查风险

　　上式表明，注册会计师在合理运用专业判断考虑有关事项、评估出固有风险，以及了解与测试内部控制、评价出控制风险后，只有通过控制检查风险，才能降低审计风险至可接受水平。而要控制检查风险至可接受水平，只有增强实质性测试的有效性。

　　1．评价内部控制为高信赖程度。

　　即控制风险较低，就可以执行愈有限的实质性测试。

　　2．评价内部控制为低信赖程度。

　　即控制风险较高，只有依靠执行更多的实质性测试，才能控制检查风险处于低水平，进而控制审计风险处于低水平，才能保证审计的质量。

　　内部控制目的与审计目标相互关联，无效的内部控制必然导致注册会计师增加实质性测试的工作量。但不论固有风险和控制风险的评估结果如何，注册会计师均应对各重要账户或交易类别进行实质性测试。

　　小规模企业的内部控制通常比较薄弱，固有风险和控制风险较高，注册会计师应主要或全部依赖实质性测试程序获取审计证据，以将检查风险降低至可接受的水平。

Arthur

第五节 管理建议书

　　一、管理建议书的涵义

　　1．含义

　　管理建议书，是指注册会计师针对审计过程中注意到的、可能导致被审计单位会计报表产生重大错报或漏报的内部控制重大缺陷提出的书面建议。

　　2．注册会计师对在审计过程中发现的内部控制重大缺陷，应记录于审计工作底稿，并以口头或其他适当方式及时告知被审计单位管理当局，必要时，可出具管理建议书。

　　二、管理建议书的内容

　　1．标题；

　　2．收件人；

　　3．会计报表审计目的及管理建议书的性质；

　　4．内部控制重大缺陷及其影响程度；

　　5．使用范围及使用责任；

　　6．签章；

　　7．日期。

　　三、管理建议与审计意见的区别

　　1．对象不同

　　2．责任不同

　　3．影响的程度不同

[此贴子已经被作者于2007-2-2 16:07:01编辑过]