搜索
第六章内部控制及其测试本章内容•第一节内部控制的内容•第二节了解与初步评价内部控制•第三节内部控制测试与评价•第四节管理建议书第一节内部控制的内容一、内部控制的含义二、内部控制的要素三、内部控制的内容一、内部控制的含义•所谓内部控制:是被审计单位为了合理保证财务报表的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。•广义地讲,一个企业的内部控制是指企业的内部管理控制系统,包括为保证企业正常经营必须采取的一系列必要管理措施。•建立健全内部控制制度是被审计单位的管理层的责任。一、内部控制的含义•内部控制制度与审计的关系十分密切,主要表现在:☜一是注册会计师在审计财务报表时必须要对被审计单位的内部控制进行考虑。☜二是注册会计师也可以接受委托,对被审计单位管理层对特定日期与财务报表相关的内部控制的有效性的认定进行审核,并发表审核意见。二、内部控制的要素•内部环境•风险评估•控制活动•信息与沟通•内部监督二、内部控制的要素•控制环境☜控制环境:包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。☜具体包括:管理当局的宗旨、观念、经营风格与管理方式;企业的组织结构等。☜注册会计师应当考虑构成控制环境的因素:1.对诚信和道德价值观念的沟通与落实;2.对胜任能力的认识;3.治理层的参与程度;4.管理层的理念与经营风格;5.组织结构;6.职权与责任的分配;7.人力资源政策与实务。二、内部控制的要素•风险评估过程☜包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施。信息系统与沟通☜被审计单位与财务报告相关的信息系统,包括用以生成、记录、处理和报告交易、事项和情况,对相关资产、负债和所有者权益履行经营管理责任的程序和记录。二、内部控制的要素•控制活动☜控制活动:是指有助于确保管理层的指令得以执行的政策和程序,包括与授权、业绩评价、信息处理、实物控制和职责分离等相关活动。•对控制的监督☜对控制的监督:是指被审计单位评价内部控制在一段时间运行有效性的过程,该过程包括及时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施。三、内部控制的内容内部环境类指引1.组织架构;2.发展战略;3.人力资源;4.社会责任;5.企业文化控制活动类指引1.资金活动;2.采购业务;3.销售业务;4.研究与开发;5.工程项目;6.担保业务;7.资产管理;8.业务外包;9.财务报告控制手段类1.全面预算;2.合同管理;3.内部信息传递;4.信息系统第二节了解与初步评价内部控制一、了解内部控制二、描述内部控制三、初步评价内部控制一、了解内部控制•了解内部控制的广度——与审计相关的内部控制–注册会计师需要了解和评价的内部控制,只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制。•了解内部控制的深度–是指了解被审计单位及其环境时,对内部控制了解的程度。–包括评价控制的设计,并确定其是否得到执行,但不包括对控制是否得到一贯执行的测试(控制测试)。一、了解内部控制•了解内部控制的局限性–内部控制存在下列固有局限性:1.内部控制的设计和运行受制于成本效益原则;2.内部控制一般仅针对常规业务活动而设计;3.在决策时人为判断可能出现错误和由于人为失误导致内部控制失效;4.可能由于两个或更多的内外部人员进行串通、管理层凌驾内部控制之上或者是屈从于外部压力而被规避;5.内部控制可能因经营环境、业务性质的改变而消弱或失效。一、了解内部控制•了解内部控制方法–询问被审计单位的人员;–观察特定控制运行;–检查文件和报告;–追踪交易在财务报告信息系统中的处理过程(穿行测试)。•了解内部控制的步骤–识别需要降低哪些风险以预防财务报表中发生重大错报;–记录相关的内部控制;–评估控制的执行;–评估内部控制的设计。二、描述内部控制•文字说明法–定义:用文字说明对被审计单位的内部控制以书面描述的形式进行记录。–适用范围:内部控制程序比较简单、比较容易描述的小企业。–优点:可以对调查对象做比较深入和具体的描述,能弥补调查表法只能做出肯定或否定回答的不足;–缺点:有时很难用简明通俗的语言来描述内部控制系统的细节。二、描述内部控制•问卷调查法–调查表大多采用问答式,一般按调查对象分别设计,由企业相关人员填写或审计人员根据调查结果自行填写。–优点:能对所调查的对象提供一个简括的说明,有利于分析评价,编制调查表一目了然,省时省力。–缺点:对被审计单位的内部控制制度只能按项目分别考查,因此往往不能提供相对全面的情况,不同行业、企业的调查表一般不能通用。二、描述内部控制•流程图法–流程图:是运用符号和图形来反映被审计单位经济业务处理过程和相应文件凭证在组织机构内部的有序流动过程的示意图。–优点:便于表达内部控制的特征,同时便于修改与更新;查看图比阅读文字更容易理解。–缺点:有些内部控制的弱点难以在图上表达,编制流程图也需要较娴熟的技术和花费较多的时间。三、初步评价内部控制•首先,由审计项目组中对被审计单位情况比较了解且比较有经验的成员负责了解各控制要素及其执行情况,以从整体层面对被审计单位的内部控制进行了解和评估,其他成员参与和配合。•其次,为了确定被审计单位财务报表中可能存在重大错报风险的重大账户及其认定,在初步计划审计工作时,需要.在业务流程层面了解内部控制。•最后,注册会计师需要对内部控制进行初步评价和风险评估。注意:初步评价的结论可能会随着控制测试后实施的实质性程序的结果而发生改变,而且除非存在某些可以使控制得到一贯运行的自动化控制,否则注册会计师对控制的了解和评价并不能代替控制测试。三、初步评价内部控制•初步评价内部控制,主要是根据已经获取的审计证据,评价控制设计的合理性,并确定控制是否得到执行。•评价后可能得出如下三种结论:1.所设计的控制单独或者连同其他控制能够防止或发现并纠正重大错报,并得到执行。此种情况通常是被审计单位的内部控制是高信赖程度;2.控制本身的设计是合理的,但没有得到执行。此种情况通常是被审计单位的内部控制是中信赖程度;3.控制本身的设计就是无效的或缺乏必要的控制。此种情况通常是被审计单位的内部控制是低信赖程度。第三节内部控制测试与评价一、控制测试的含义和要求二、控制测试的性质三、控制测试的时间四、控制测试的范围五、内部控制有效性的评价一、控制测试的含义和要求•进一步审计程序的目的包括两个方面–一是通过实施控制测试以确定内部控制运行的有效性;–二是通过实施实质性审计程序以发现认定层次的重大错报。•进一步审计程序的类型–包括检查、观察、询问、函证、重新计算、重新执行和分析程序。一、控制测试的含义和要求•控制测试的含义–是指用于评价内部控制在防止或发现并纠正认定层次重大错报方面的运行有效性的审计程序。•在测试控制运行的有效时,注册会计师应当从下列方面获取审计证据:1.控制在所有的审计期间的不同时点是如何运行的;2.控制是否得到一贯执行;3.控制由谁执行;4.控制以何种方式运行(如人工控制或自动化控制)。一、控制测试的含义和要求•控制测试的要求–控制测试并非在所有情况下都要实施,当存在下列情形之一时,控制测试是必要的:1.在评估认定层次重大错报风险时,预期控制的运行是有效的(出于成本效益考虑);2.仅实施实质性程序不足以提供有关认定层次的充分、适当的审计(不单纯是出于成本效益考虑,而是必须获取的一类审计证据,如高度自动化处理数据的情况)。二、控制测试的性质•控制测试的性质–是指控制测试所使用的审计程序的类型及其组合。–计划从控制测试中获取的保证水平是决定控制测试性质的主要因素之一。–计划的保证水平越高,对有关控制运行有效性的审计证据的可靠性要求越高。•控制测试采用审计程序的类型–控制测试所采用的程序和了解内部控制的程序的类型基本相同,只是目的不同。二、控制测试的性质•确定控制测试性质的要求–考虑特定控制的性质–考虑测试与认定直接相关和间接相关的控制–考虑如何对一项自动化的应用控制实施控制测试二、控制测试的性质•考虑实施控制测试时实现双重目的–控制测试的目的是:评价控制是否有效运行;–细节测试的目的是:发现认定层次的重大错报。–尽管两者目的不同,但注册会计师可以考虑针对同一交易同时实施控制测试和细节测试,以实现双重目的。此时注册会计师应当仔细设计和评价测试程序。•考虑实施实质性程序的结果对控制测试结果的影响–如果实施实质性程序发现被审计单位没有识别出的重大错报,通常表明内部控制存在重大缺陷,注册会计师应当就这些缺陷与管理层和治理层进行沟通。三、控制测试的时间•控制测试的时间包含两方面的含义–一是何时实施控制测试;–二是测试所针对的控制适用的时点或期间。–如果测试特定时点的控制,注册会计师仅得到该时点控制运行有效性的审计证据;–如果测试某一期间的控制,注册会计师可获取控制在该期间有效运行的审计证据。三、控制测试的时间•对期中实施控制测试获取的审计证据的考虑–注册会计师在确定针对剩余期间还需获取的补充审计证据时,应当考虑下列因素:1.评估的认定层次重大错报风险的重大程度。2.在期中测试的特定控制。3.在期中对有关控制运行有效性获取的审计证据的程度。4.剩余期间的长度。5.在信赖控制的基础上拟减少进一步实质性程序的范围。6.控制环境。三、控制测试的时间•对以前审计获取的审计证据的考虑–基本思路是:考虑拟信赖的以前审计测试的控制在本期是否发生变化–当控制在本期发生变化时注册会计师的做法–当控制在本期未发生变化时注册会计师的做法注:如果拟信赖的控制自上次测试后未发生变化,且不属于旨在减轻特别风险的控制,注册会计师应当运用职业判断确定是否在本期审计中测试其运行有效性,以及本次测试与上次测试的时间间隔,但两次测试的时间间隔不得超过两年。三、控制测试的时间•在确定利用以前审计获取的有关控制运行有效性的审计证据是否适当以及再次测试控制的时间间隔时,注册会计师应当考虑:1.内部控制其他要素的有效性,包括控制环境、对控制的监督以及被审计单位的风险评估过程;2.控制特征(人工控制还是自动化控制)产生的风险;3.信息技术一般控制的有效性;4.控制设计及其运行的有效性,包括在以前审计中测试控制运行有效性时发现的控制运行偏差的性质和程度;5.由于环境发生变化而特定控制缺乏相应变化导致的风险;6.重大错报的风险和对控制的拟信赖程度。三、控制测试的时间•当出现下列情况时,注册会计师应当缩短再次测试控制的时间间隔或完全不信赖以前审计获取的审计证据:1.控制环境薄弱;2.对控制的监督薄弱;3.相关控制中人工控制的成分较大;4.信息技术一般控制薄弱;5.对控制运行产生重大影响的人事变动;6.环境的变化表明需要对控制作出相应的变动;7.重大错报风险较大或对控制的拟信赖程度较高。四、控制测试的范围•控制测试的范围–是指某项控制活动的测试次数。注册会计师应当设计控制测试,以获取控制在整个拟信赖的期间有效运行的充分、适当的审计证据。–在确定某项控制的测试范围时,注册会计师通常考虑下列因素:1.在整个拟信赖期间,被审计单位执行控制的频率。执行控制的频率越高,控制测试的范围越大。2.在所审计期间,注册会计师拟信赖控制运行有效性的时间长度;拟信赖控制运行有效性的时间长度不同,在该时间长度内发生的控制活动次数也不同。拟信赖时间长度,控制测试的范围越大。3.控制的预期偏差。控制的预期偏差率越高,需要实施控制测试的范围越大。四、控制测试的范围•控制测试的范围–在确定某项控制的测试范围时,注册会计师通常考虑下列因素:4.通过测试与认定相关的其他控制获取的审计证据的范围。针对同一认定,可能存在不同的控制。当针对其他控制获取的审计证据的充分性和适当性较高时,控制测试的范围可适当缩小。5.拟获取的有关认定层次控制运行有效性的审计证据的相关性和可靠性。对审计证据的相关性和可靠性要求越高,控制测试的范围越大。五、内部控制有效性的评价•评价–通过控制测试,审计人员可对内部控制运行的有效性即内部控制在实际工作中的执行与否及执行程度作出评价。–注册会计师需要