第七章 内部控制系统及其评审

第七章内部控制系统及其评审•第一节内部控制系统第二节内部控制的描述第三节内部控制的评审教学重点及难点内部控制与审计的关系；内部控制要素内部控制与审计的关系★现代审计是在一定的基础上进行，要在对内部控制进行了解、测试、评价的基础上决定实质性测试的性质、时间、范围。•一个基本的逻辑是，如果内部控制有效，则重大错报的风险就会较小，那么计划收集的审计证据就可以减少•应当明确：•（1）CPA在执行审计时首先对内控进行充分的了解；•（2）在了解的基础上，确定是否进行控制测试，以及将要执行的控制测试的性质、时间和范围；•（3）即使内控良好也要进行实质性程序第一节内部控制系统•一、内部控制的发展•1、定义：内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。•注意：1）内部控制的目标是合理保证：2）设计和实施内部控制的责任主体是治理层、管理层和其他人员，组织中的每一个人都对内部控制负有责任。3）实现内部控制目标的手段是设计和执行控制政策及程序。•2、理论演变内部牵制→内部控制制度→管理控制和会计控制→内部控制结构→内部控制整体框架→内部控制整合框架——风险管理•二、内部控制系统的种类•（一）按要素分类•（二）按工作范围•（三）按建立目的•（四）按控制方式•内部控制包括下列要素（134，136页）•（1）控制环境；•（2）风险评估过程；•（3）信息系统与沟通；•（4）控制活动；•（5）对控制的监督。三、内部控制的内容•合规、合法性控制•授权、分权控制•不相容职务控制•业务程序标准化控制•复查核对控制•人员素质控制•四、内部控制的固有局限性•有关内部控制制度的一般考虑：1.管理当局→建立、健全、完善、执行内部控制是被审计单位管理当局责任2.合理保证→要考虑控制成本效益的原则，并非越完善越细致就越好。•3.固有的限制→内部控制的固有局限性：•1）在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效；2）可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避；3）行使控制职能的人员素质不适应岗位要求；4）被审计单位实施内部控制的成本效益问题；5）内部控制一般都是针对经常而重复发生的业务而设置的，如果出现不经常发生或未预计到的业务，原有控制就可能不适用。•※考试分析：2001年综合题：ABC会计师事务所的A和B注册会计师接受委派，对甲上市公司（以下简称甲公司）2000年度会计报表进行审计。甲公司尚未采用计算机记账。A和B注册会计师于2000年11月1日至7日对甲公司的内部控制制度进行了解和测试，并在相关审计工作底稿中记录了了解和测试的事项，摘录如下：要求：根据下述摘录，假定未描述的其他内容不存在缺陷，请指出甲公司内部控制在设计与运行方面的缺陷，并提出改进建议。①甲公司控股股东的法定代表人同时兼任甲公司的法定代表人，总经理是聘任的。在公司章程及相关决议中未具体载明股东大会、董事会、经营班子的融资权限和批准程序。经了解，甲公司由财务部负责融资，2000年根据总经理的批示向工商银行借入了1亿元贷款。•【讲解】借款应得到适当的授权或批准。应建议甲公司在公司章程或有关决议中具体规定股东大会、董事会、经营班子的关于筹资的权限和批准程序。•②甲公司产成品发出时，由销售部填制一式四联的出库单。仓库发出产成品后，将第一联出库单留存登记产成品卡片，第二联交销售部留存，第三、四联交会计部会计人员乙登记产成品总账和明细账•【讲解】会计人员乙同时登记产成品总账和明细账，不相容职务未进行分离。应建议甲公司由不同的会计人员登记产成品总账和明细账。会计人员乙同时经管登记产成品总账和明细账与产成品的“完整性”、“估价或分摊”、“存在与发生”认定相关。•③甲公司的材料采购需要经授权批准后方可进行。采购部根据经批准的请购单发出订购单。货物运达后，验收部根据订购单的要求验收货物，并编制一式多联的未连续编号的验收单。仓库根据验收单验收货物，在验收单上签字后，将货物移入仓库加以保管。验收单上有数量、品名、单价等要素。验收单一联交采购部登记采购明细账和编制付款凭单，付款凭单经批准后，月末交会计部；一联交会计部登记材料明细账；一联由仓库保留并登记材料明细账。会计部根据只附验收单的付款凭单登记有关账簿。•【讲解】验收单未连续编号，不能保证所有的采购都已记录或不被重复记录。应建议甲公司对验收单进行连续编号。与“完整性”认定有关。•付款凭单未附订购单及供应商的发票等，会计部无法核对采购事项是否真实，登记有关账簿时金额或数量可能就会出现差错。应建议甲公司将订购单和发票等与付款凭单一起交会计部。与“存在或发生”、“估价或分摊”的认定相关。第二节内部控制的描述•描述内部控制的方法有：•文字表述：适用于任何单位、任何经济活动的内部控制制度的描述。具有灵活性适用性优点。不足：不直观、文字多、费时、容易产生误解•调查表：关键在于调查表内容的设计•流程图：符号必须统一1、文字说明法：对客户内部控制通过书面描述的形式进行的记录。一般具备以下四个特征：（1）说明制度中每份凭证和每个记录的来源。（2）说明已发生的全部业务处理过程。（3）制度中每份凭证和每个记录的处置。（4）指出与估定控制风险有关的控制点。记录内部控制2、流程图法•内部控制流程图是运用符号和图形来反映客户的业务处理过程和相应凭证及其在组织内部有序流动过程的示意图。•流程图也应当采取一定的形式表示出上述文字说明所应具备的四个特征。记录内部控制销售与收款循环销售战略销售计划/预算市场推广客户接待订单处理发货作业收款业务收回货款会计信息系统评价考核反馈应收账款客诉与退货生产能力各项资源市场状况销售信用储运记账收款稽核原始凭证订单处理信用额度审核终止未通过通过原始凭证发货运输存档销售日记账收现转帐产品日记账审核存档银行存款存档汇总记账凭证应收款日记账总账存档核对销售与收款循环3、内部控制调查表法•内部控制调查表对每一个审计单元的控制点提出一系列问题，作为提示注册会计师内部控制可能存在缺陷的工具。•在大多数情况下，所设计的问题都要求给予“是”或“否”的回答，如果回答“否”，就表明内部控制可能存在缺陷。记录内部控制•销售业务内部控制调查表(部分)（见图表6-4）客户：XX公司审计日期：2006年12月31日注册会计师：王东敏完成日期：2006年9月15日复核人：刘学友完成日期：2006年1O月12日内部控制调查的业务：销售目标和问题是否不适用注释A．记录的销售已发生且与被审计单位有关，已入账的销售业务确实是向真实顾客的发货。1、记录的销售业务是否有经授权的发货单和经批准的顾客订单为依据?2、对顾客的赊销是否经信用负责人审核批准?3、任何商品出库是否都要求有预先连续编号的书面发货单?是否列明商品发运的具体地点？B．发生的销售业务均已入账。1、销售发票是否预先连续编号并已做说明?2、是否能够保证所有发货都已开票?3、是否保留发货记录并保证入账?C．与销售有关的金额及其他数据已恰当记录，已入账的销售金额是发货金额，并且已正确开票和记录。1、发货单与销售发票上的数量是否经过独立核对?2、是否采用经授权的价目表?3、是否按月给顾客发送对账单?D．销售业务记录于正确的期间。1、已入账的销售与发票存根是否经过独立核对?2、已入账的销售与库存商品是否经过独立核对?E．销售业务已记录于恰当的账户，已入账的销售业务经恰当分类。1、发货单类别与入账类别是否经过独立核对?2、入账的销售类别是否正确？识别第三节内部控制的评审•一、与审计相关的内部控制•1、与审计相关的内部控制潜在错报风险的类型与重要性进一步审计程序的性质、时间和范围决定•2、运用职业判断考虑一项控制单独和联通其他控制是否与评估的重大错报风险及针对风险设计核实施的进一步审计程序有关•职业判断考虑的因素•（1）确定的重要性水平•（2）被审计单位的性质•（3）被审计单位的规模•（4）被审计单位经营的多样性和复杂性•（5）法律法规和监管要求•（6）内部控制形同组成部分的多样性和复杂性•二、对内部控制的深入了解•（一）了解内部控制的目的•识别潜在错报的类型；•考虑导致重大错报风险的因素；•设计和实施进一步审计程序的性质、时间和范围•（二）了解内部控制的方法•1、两个层次：整体层面了解和重要业务流程层面了解•2、具体方法：询问、观察和检查以及穿行测试控制的类型•（1）预防性控制。预防性控制通常用于正常业务流程的每一项交易，以防止错报的发生。预防性控制可能是人工的，也可能是自动化的。（2）检查性控制。建立检查性控制的目的是发现流程中可能发生的错报（尽管有预防性控制还是会发生的错报）。检查性控制通常是管理层用来监督实现流程目标的控制。检查性控制可以由人工执行也可以由信息系统自动执行。检查性控制通常并不适用于业务流程中的所有交易，而适用于一般业务流程以外的已经处理或部分处理的某类交易，可能一年只运行几次，如每月将应收账款明细账与总账比较；也可能每周运行，甚至一天运行几次•（三）对内部审计的关注与利用•内部审计的独立性•内部审计人员的经验和能力•内部审计工作受重视程度三、内部控制的评审•五个要素的评审——风险评估四、拟进一步执行的审计程序——风险应对•（一）、进一步程序的含义和要求进一步审计程序是指控制测试和实质性程序。尽管在应对评估的认定层次重大错报风险时，拟实施的进一步程序的性质、时间、范围都应当确保其具有针对性，但其中进一步审计程序的性质是最重要的。•无论选择何种方案，注册会计师都应当对所有重大的各类交易、账户余额、列报设计和实施实质性程序。•（二）、进一步审计程序的性质、时间、范围1、性质：进一步审计程序的目的和类型•进一步审计程序的类型包括检查、观察、询问、函证、重新计算、重新执行和分析程序。•2、时间：•如何权衡期中与期末实施审计程序的关系：当重大错报风险较高时，应当考虑在期末或接近期末实施实质性程序，或采用不通知的方式，或在管理层不能预见的时间实施审计程序。•3、范围：•确定进一步审计程序的范围时考虑的因素：1）重要性水平越低、范围越广2）风险越高，范围越广3）保证程度越高，范围越广（三）、控制测试•控制测试——内部控制运行的有效性测试执行控制测试的前提•1、在评估认定层次重大错报风险时，预期控制的运行是有效的。•2、仅实施实质性程序不足以提供认定层次充分、适当的审计证据•1、控制测试的性质（1）询问：向被审计单位适当员工询问，获取与内部控制运行情况相关的信息。（2）观察:测试不留下书面记录的控制（如职责分离）的运行情况的有效方法。（3）检查:适用于运行情况留有书面证据的控制。（4）穿行测试，穿行测试不是单独的一种程序，而是将多种程序按特定审计需要进行结合运用的方法。•（5）重新执行:只有当询问、观察和检查程序结合在一起仍无法获得充分的证据时，才考虑通过重新执行来证实控制是否有效运行。2、控制测试的时间•（1）控制测试的时间的含义包含两层含义：一是何时实施控制测试；二是测试所针对的控制适用的时点或期间。如果仅需要测试控制在特定时点的运行有效性，注册会计师只需要获取该时点的审计证据。•注意：鉴于特别风险的特殊性，对于旨在减轻特别风险的控制，不论该控制在本期是否发生变化，都不应依赖以前审计获取的证据。•3、控制测试的范围（1）注册会计师在确定某项控制的测试范围时通常考虑下列因素（6项P155）•（2）对自动化控制的测试范围的特别考虑除非系统发生变动，注册会计师通常不需要增加自动化控制的测试范围。信息技术处理具有内在一贯性，除非系统发生变动，一项自动化应用控制应当一贯运行。（四）、评估被审计单位重大错报风险水平•1、评价结论：①所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报，并得到执行；②控制本身的设计是合理的，但没有得到执行；③控制本身的设计就是无效或缺乏必要的控制。（五）实质性程序无论评估的重大错报风险结果如何，注册会计师都应当针对所有重大的各类交易、账户余额、列报实施实质性程序。第四节重大错报风险的评估