企业内部控制与风险控制评价

1、内部控制及控制风险评价一、大纲（一）内部控制目标与要素（二）了解与记录内部控制（三）内部控制测试（四）内部控制评价（五）管理建议书二、本章重点、难点注册会计师编制审计计划时， 应当研究与评价被审计单位 的内部控制。对拟信赖的内部控制进行符合性测试，据以确 定对实质性测试的性质、时间和范围的影响。（一）内部控制目标与要素1. 内部控制定义 被审计单位为了保证业务活动的有效进行， 保护资产的 安全和完整，防止、发现、纠正错误与舞弊，保证会计资 料的真实、合法、完整而制定和实施的政策与程序。2. 内部控制的目标。（1）保证业务活动按照适当的授权 进行；（2）保证所有交易和事项以正确的金额，在恰当的会

2、计期间及时记录于适当的账户， 使会计报表的编制符合会 计准则的相关要求；（ 3）保证对资产和记录的接触 、处理均经过适当的授 权；（ 4）保证账面资产与实存资产 定期核对相符。3. 有关内部控制的一般考虑。 管理当局的责任 建立、修正和维护公司的各项控制，并监督控制政策 和程序得到持续有效的执行是管理当局的责任。 合理的保证A 公司管理当局应在综合考虑控制的成本效益 的基础 上， 建立能为公司会计报表的公允表达提供合理 保证的内 部控制。B 控制程序不应对工作效率或获利能力有不利影响。 固有的限制 由于和，会计报表审计总存在一定的控制风险， 控制风险始终应大于零。因此不管内控如何，都要进行实

3、质性测试。4. 了解内部控制与审计的关系（1）不论被审计单位规模大小，都要充分了解相关的 内控；（2）根据了解，确定是否进行符合性测试及符合性测试的时间、性质和范围；（3）内控良好，绝不能完全取消实质性测试程序。 5内部控制要素（1）控制环境 指对企业内部控制的建立和实施有重大影响的 因素的总称。 其好坏直接决定着企业其他控制能否实施或实 施的效果；可增强也可削弱特定控制的有效性。 反映了管理当局和董事会关于控制对公司重要 性的态度。 内容包括：A 经营管理的观念、方式和风格B 组织结构C 董事会D 授权和分配责任的方法E 管理控制方法F 内部审计G 人事政策和实务H 外部影响2）会计系统核心

4、是处理交易，应为每笔交易提供一个完整的审计轨迹或交易轨迹，有效会计系统应做到： 确认并记录 所有真实的交易； 及时且充分详细地描述交易，以便在会计报表上 对交易作适当的分类； 计量交易的价值，以便在会计报表上记录其适当 的货币价值； 确定交易发生的期间，以便将交易记录在适当的 会计期间； 在会计报表中适当地表达交易和披露相关事项。（3）控制程序 控制程序可应用于某种交易，也可以广泛地加以应 用，还可以融合应用于控制环境或会计系统的特定组成部 分。 交易授权 交易授权程序的主要目的在于保证交易是管理人员在其 授权范围内授权下产生的；交易授权程序通常对 “存在或发生” 认定，以及某些 “估 价或分

5、摊”认定的控制风险有直接影响。 职责划分A 职责划分的主要目的是为预防和及时发现在执行所 分配的职责时所产生的错误或舞弊行为。B 对于不相容的职责必须实行职责划分。C 小公司业主可通过担任一些特定的工作，来实现职责 的合理划分；或通过对员工的工作进行严密的监督与复核， 以弥补职责划分的不足。D 职责划分会影响三种认定的控制风险，比如：a 将资产保管同资产会计记录的掌管相分离，可以降 低盗窃的风险， 因为盗窃者将无法通过减少资产的记录来 掩饰盗窃真相。b 将处理现金支出交易同调节银行账户分离，可以降 低不记录支票付款的风险， 因为在调节过程中可发现这种 风险。c 付款凭证的批准同支票签发相分离，

6、可以降低支 票书写出错的风险。 凭证与记录控制凭证和记录的控制程序会影响三种认定的控制风险，即：A 适当保持的记录，如永续存货记录、应收账款记录、 职工工资收人记录，同“存在或发生”认定有关。B 使用预先编号的凭证并按其编号进行会计处理， 同“完 整性”认定有关。C 原始凭证，提供了交易记录的金额，直接和“估价或 分摊”认定相关。 资产接触和记录使用A 主要是指限制接近资产和接近重要记录，以保证资产 和记录的安全。B 保护资产和记录安全的最重要措施就是采用实物防护 措施。C 同降低“存在或发生”、 “完整性”、 “估价或分摊” 认定的控制风险相关。 独立稽核A 独立稽核是指验证由另一个人或部门

7、执行的工作和 验证所记录金额估价的正确性。B 独立稽核同很多认定相关。比如：a 人工计算稽核发票、 工资计算表及存货汇总表的正确性（“估价或分摊”认定）。（ “存在或）。如应。b 比较现有资产和有关记录，如，银行存款余额调节 表、零用现金盘点表，及实物存货记录等 发生”、“完整性”、“估价或分摊”认定c 管理当局复核汇总账户余额详细情况的报告， 收账款的账龄分析表（“估价或分摊”认定）（二 ） 了解与记录内部控制 注册会计师对于企业内部控制所作的研究和评价可分 为三个步骤： 第一，了解企业的内部控制情况，并做出相应的记录； 第二，实施符合性测试程序 ，证实有关内部控制的设计 和执行的效果；第三

8、， 评价内部控制的强弱， 即评价控制风险 ，确定在 内部控制薄弱的领域扩展审计程序，降低审计风险。1. 业务循环及其分类（ 1）如何划分业务循环， 应视企业的业务性质和规模而 定。（2）不论如何划分业务循环，注册会计师要将主要精力 集中在那些影响会计报表反映的内部控制程序上。（3）制造业可划分为下列业务循环： 销售与收款循环； 购货与付款循环； 生产循环； 筹资与投资循环； 投资与理财循环。2. 了解内部控制（1）计划审计工作阶段的了解内控 穿行测试就是追查几笔通过会计系统的交易。 如果选出的交易在通过会计系统的那些交易中具有代 表性，那么该程序可作为符合性测试的一部分。 注册会计师的穿行测试

9、的性质和范围，决定了其并不 能为评价控制风险处于低水平提供充分、适当的审计证据。（2）了解内部控制所执行的程序的性质、时间和范围的主要取决因素 被审计单位经营规模及业务复杂程度； 被审计单位数据处理系统类型及复杂程度； 审计重要性； 相关内部控制类型； 相关内部控制的记录方式 ； 固有风险的评估结果。（3）了解内部控制的程序 询问被审计单位有关人员； 查阅相关内部控制文件； 检查内部控制生成的文件和记录； 观察被审计单位的业务活动和内部控制的运行情况； 选择若干具有代表性的交易和事项进行穿行测试（4）了解控制环境（5）了解会计系统（6）了解控制程序 注册会计师了解控制程序，比了解控制环境和会计

10、制 度要素更强调确定特定单项控制程序与特定认定之间的直 接关系。 控制程序比控制环境的政策或程序更直接地与某一特定认定相关， 因此， 对于防止或发现和更正会计报表中的重 要错报或漏报更为有效。 注册会计师在设定控制风险低于最大值时，比设定控 制风险为最大值时需要更多地了解控制程序。 了解控制程序的总要求： 通过充分了解， 合理制定审 计计划。通常，制定总体审计计划并不要求对每个账户余额和 交易种类的每项会计报表认定的控制程序进行了解。 了解时着重考虑 5类控制程序。 是否利用内审工作的考虑因素： 独立性、经验和能力、内审程序、内审证据、重视程 度。（7）控制风险的初步评价 控制风险的初步评价是

11、针对每个重要的账户余额或交易种类，在认定层上进行的出现以下情况之一时，注册会计师应将重要账户或交易类别的某些或全控制风险评估为高水平： 企业内部控制失效； 难以对内部控制的有效性作出评价； 注册会计师不拟进行符合性测试。对某项会计报表认定而言，如果同时出现以下情况，不 应评价其控制风险处于高水平：相关的内部控制可能 防止或发现和纠正重大错报或漏报； 注册会计师拟进行符合性测试。3. 记录对内部控制的了解和对控制风险的评价（ 1）基本要求 当控制风险评价为最高水平时， 只需记录这一评价结 论； 当控制风险评价低于最高水平时， 还必须记录评价的 依据。（2）记录方法 调查表（问卷）； 文字表达；

12、流程图； 核对表。三）内部控制测试1. 运用初步审计策略的步骤2. 控制测试的概念（1）符合性测试的条件 准备信赖内部控制； 只有当信赖内部控制而减少的实质性测试的工作量 大于符合性测试的工作量时。（2）符合性测试的基本对象 控制设计测试 控制执行测试A 怎样应用的？B 是否在年度中一贯应用？C 由谁来应用？（3）注册会计师并不是对所有的控制都要加以测试，只应对那些有助于防止或发现和纠正会计报表认定产生重 大错报或漏报的控制执行测试。（4）过程 确定种类决定性质确定范围决定时间考虑利用 内审双重目的测试3符合性测试的种类（1）时间 注册会计师可在审计计划期间和期中工作期间执行符合性测试。（2）

13、执行情况 主要证实法：可能执行“同步符合性测试”及“额外符 合性测试” 较低控制风险估计水平法： 必须执行“计划符合法性测3）同步符合性测试是在注册会计师取得对内部控制制度的了解时， 也同时 提供了有关控制政策和程序是否有效的证据。 这种取得了解 的程序就构成了“同步符合性测试”这种测试不是必需的，而是由注册会计师有选择的执 行。 通过同步符合性测试取得的证据，只能使注册会计 师评价控制风险的估计水平处在略低于最高水平到中等水 平范围之内。因为这些证据是在审计的计划期间内取得， 其证据本身并不能证明某项控制政策或程序在整个被审计 年度均由经授权的人员适当和一贯地加以应用（4）追加符合性测试追加

14、符合性测试在外勤工作中执行。是为了进一步降低注册会计师对控制风险估计水平而 进行的测试。 必须考虑是否符合成本效益原则。 还必须考虑有否可能获得额外的证据， 来支持进一步降 低控制风险的初步估计水平。（5）计划符合性测试在外勤工作中执行。在选用较低控制风险估计水平法下必须执行的测试。 执行的目的是为了支持注册会计师计划的实质性测试 水平。 所取得的证据应足以支持评价某些认定的控制风险为 中等或低水平。4. 符合性测试的性质即执行测试将使用什么样的审计程序。（1）检查交易和事项的凭证；（2）询问并实地观察未留下审计轨迹的内部控制的运行情况（3）重新执行相关内部控制程序。以上程序可单独适用， 也可

15、合并使用， 没有一项总是有用 或一直有效。5符合性测试范围（ 1）理论上，范围越大，证据越充分。（2）实务中，范围并不是越大越好，而是要求注册会计 师从最经济有效地实现审计目标的总体需要出发，合理地 确定测试范围。（ 3）范围直接受注册会计师计划控制风险估计水平的影 响。计划控制风险估计水平低时比中等时需要更多的符合 性测试证据。4）还应考虑所使用的以前年度审计获得的有关控制有效性的证据的恰当性： 这些证据所涉及的认定的重要性； 以前年度审计中所评价的特定内部控制； 所评价的政策和程序被适当设计和有效执行的程度； 用来作这些评价的符合性测试的结果。（5）使用以前年度证据的考虑： 执行符合性测试

16、的时间间隔的长短 内控设计或执行有无重大变化。（ 6）可不进行符合性测试的情况： 相关内部控制不存在； 相关内部控制虽然存在，但通过了解，发现其并未有 效运行； 符合性测试的工作量可能大于进行符合性测试所减少 的实质性测试的工作量。6符合性测试的时间追加的或计划的符合性测试通常是在期中工作中执行，并且很可能在审计年度结束前的几个月里进行。从审计有效性的角度看来，符合性测试应尽可能安排在期中的后期执行。若期中审计已进行符合性测试，注册会计师在决定完全 信赖其结果前， 应当考虑以下因素， 以进一步获取期中至 期末的相关审计证据：（1）期中审计符合性测试的结论；（2）期中审计后剩余期间的长短 ；（3

17、）期中审计后内部控制的变动情况；（ 4）期中审计后发生的交易和事项 的性质及金额； （ 5）拟实施的审计实质性测试 程序。7符合性测试中利用内部审计人员的工作 评价内审人员工作的质量和有效性，注册会计师需弄 清：（1）工作范围对实现特定目标是否适当；（2）审计方案是否适当；（3）工作底稿是否充分记录了所执行的工作，包括监督和复核的证据；（4）对有关的结论是否适当；（5）审计报告与所执行的工作是否一致。如果要求内审人员直接提供帮助时，应注意： （1）考虑内审人员的胜任能力和客观性，并监督、复 核、评价和测试他们所执行的工作；（ 2 ）明确告诉内审人员所负的责任和执行有关程序的 目标，以及其他影响

18、事项；（ 3）明确告诉内审人员将发现的所有重大会计和审计 问题，提请注册会计师注意。8双重目的测试在绝大多数的会计报表审计中，额外的符合性测试主要 在期中工作期间执行，而实质性测试则主要在期末工作时 执行。但是，也允许在期中工作时，执行有关交易的某些 详细实质性测试，以检查出报表中的重要错报或漏报。这 时，注册会计师可同时针对相同的交易执行符合性测试。（四）内部控制评价1. 控制风险评价的概念（1）评价基础与某认定相关的各内部控制要素里的控制政策和程序（2）为认定而进行的， 而不是为了个别内部控制要素或 个别政策和程序而进行的。（ 3）实际上是注册会计师对每一内部控制要素里的相关控制政策和程序

19、的有效性，同某项认定里存在重要错报或漏报的风险之间的相互作用情况进行判断的过程。2. 控制风险评价的过程如果很多认定或者所有的认定的控制风险， 都被评价为高水平，注册会计师就要研究是否应进一步对被审计 单位的会计报表进行审计。（ 1）评价为高水平的确认事项： 控制政策和程序与认定不相关； 控制政策和程序无效； 取得证据来评价控制政策和程序显得不经济。 （2）评价为低水平的确认事项： 控制政策和程序与认定相关； 通过符合性测试已获得证据证明控制有效。（3）评价步骤： 确定该项认定可能发生哪些潜在的错报或漏报； 确定哪些控制可以防止或者发现和更正这些错报或漏 报； 执行符合性测试，获取这些控制是否

20、设计适当和有效 执行的证据；（如果控制风险为高水平，此步骤不需要） 评价所获得的证据； 评价该项认定的控制风险。（ 4）注册会计师评价控制风险的注意事项： 必须以通过了解内部控制制度和执行符合性测试所获 得的证据，作为评价的证据；充分运用专业判断； 必须注意到内部控制的三个要素对某项认定的相互影 响。（5）可以在取得对内控了解和符合性测试后，立即评价 控制风险。（6）控制风险的评价的目的是为了确定完成审计工作所需执行的实质性测试的性 质、时间和范围。3. 对控制风险再评价的记录 基本要求与记录同初步评价相同。4. 评价结果对实质性测试的影响（ 1）只有通过控制检查风险， 才能降低审计风险至可接

21、 受水平。（2）要控制检查风险降至可接受水平， 只有增强实质性 测试的有效性。（ 3）内控目标与审计目标相关联， 无效的内控必然导致 增加实质性测试的工作量。（4）不论固有风险和控制风险的评估结果， 均要进行实 质性测试。（5）小规模企业的内控较薄弱， 固有风险和控制风险较 高，应主要或全部依赖实质性测试程序获取审计证据。（五）管理建议书1. 管理建议书的含义（1）概念指注册会计师针对审计过程中注意到的、 可能导致被审 计单位会计报表产生重大错报或漏报的内部控制重大缺陷提出的书面建议。（2）注册会计师对审计过程中注意到的内控重大缺陷， 应当告知被审计单位管理当局，必要时，可出具管理建议 书；一

22、般问题，可以口头或其他适当方式向被审计单位有 关人员提出。（ 3）管理建议书提及的内部控制重大缺陷，仅为注册 会计师在审计过程中注意到的，并非内部控制可能存在的 全部缺陷。（4）管理建议书不应被视为注册会计师对被审计单位 内部控制整体发表的意见，也不能减轻或免除被审计单位 管理当局建立健全内部控制的责任，所提建议不具有强制 性和公证性。（5）注册会计师出具管理建议书，不应影响其应当发表 的审计意见。（6）除有特别规定外，注册会计师在征得被审计单位管 理当局同意之前， 不得将管理建议书的内容泄露给任何第三 者。2. 管理建议书的内容（1）标题：管理建议书（2）收件人：被审计单位管理当局（ 3）会

23、计报表审计目的及管理建议书的性质 管理建议书不应被视为对内部控制发表的鉴证意见， 所 提建议不具有强制性和公证性。（4）内部控制重大缺陷及其影响程度和改进建议（5）使用范围及使用责任（6）签章（7）日期3管理建议与审计意见的区别 区别包括对象、责任、作用及影响程度。（ 内容参见本章同步强化训练之简答题 ）三、本章作业（一）单项选择题 1内部控制要素中的控制程序包括（）。A 组织结构B 授权和分配责任的方法C 内部审计D 交易授权2通常对内部控制的了解是按（）进行的。A 账户类别B 业务循环C 交易时间D 业务程序3在下列情况中，注册会计师应将重要账户或交易类别的 某些或全部认定的控制风险评估为

24、高水平的是（ ）A 相关的内部控制可能防止或发现和纠正重大错报或 漏报B 注册会计师拟进行符合性测试C 难以对内部控制的有效性做出评价D 注册会计师审计大规模企业会计报表4下列各程序中属于了解内部控制所应实施的程序的是）。A重新执行B监盘C函证D穿行测试5下列各程序中属于符合性测试程序的是（）。A 查阅相关内部控制文件B 观察内部控制生成的文件和记录C 观察被审计单位的业务活动的运行情况D 询问并实地观察未留下审计轨迹的内部控制的运行 情况6注册会计师在对内部审计工作进行研究和评价，以确定是否利用内部审计工作结果时须考虑的因素不包括（ ）A内部审计工作结论的适当性B内部审计人员所获得的审计证据

25、的充分性和适当性C管理当局对内部审计的重视程度D内部审计人员的独立性7对控制风险的评价，是为了确定完成审计工作所需执行的实质性测试的（ ）。A性质、程序、范围B性质、方法、程序C 性质、手段、程序D 性质、时间、范围8控制执行测试所要解决的问题是（）。A 被审计单位的内部控制是如何设计的B 被审计单位的内部控制是否得到执行C 被审计单位的控制政策和程序是否设计合理、适当D 被审计单位的控制政策和程序是否实际发挥作用9为了测试某项控制执行的有效性，应着重查清的问题不包括（）。A这项控制是怎样应用的B这项控制是怎样设计的C这项控制是否在年度中一贯应用D这项控制由谁来应用10下列各项中不属于符合性测

26、试程序的有（）。A检查交易和事项的凭证B重新执行相关内部控制程序C编制应收账款明细表D询问并实地观察未留下审计轨迹的内部控制的运行情况11追加或计划的符合性测试通常在（）执行。A完成外勤审计工作后B期中工作中C 会计报表日D 会计报表日后12双重目的的测试是指（）。A 在了解内部控制的同时执行符合性测试B 在变量抽样的同时进行属性抽样C 在符合性测试的同时执行实质性测试D 在了解内部控制的同时执行实质性测试 13下列对控制风险初步评价和再评价的比较中说法不正确 的是（ ）。A 初步评价的依据是对内部控制的了解；再评价的依 据是符合性测试B 初步评价的目的在于是否进行符合性测试，再评价 的目的在

27、于确定检查风险及实质性测试C 初步评价和再评价的结论相同，都是将内部控制评 价为高水平和低水平D 初步评价是必须进行的，再评价可以不予进行 14注册会计师对于在审计过程中注意到的内部控制缺陷， 以及与被审计单位的沟通情况，应当（ ）。A 记录于审计工作底稿B 在审计报告意见段后增加说明段加以说明C 告知被审计单位管理当局D 向被审计单位有关人员提出15下列关于管理建议书的说法正确的是（A 管理建议书提及的内部控制重大缺陷，是内部控制 可能存在的全部缺陷B 管理建议书是注册会计师对被审计单位内部控制整 体发表的意见C 管理建议书所提建议不具有强制性和公正性D 注册会计师在征得被审计单位管理当局同

28、意之前， 一律不得将管理建议书的内容泄露给第三者（二）多项选择题1. 内部控制的目标包括（ ）。A. 保证业务活动按照适当的授权进行B. 保证账面资产与实存资产定期核对相符C. 保证对资产和记录的接触、处理均经过适当的授权D. 保证企业具有盈利2. 内部控制的固有限制包括 （ ） 。A. 内部控制的设计和运行受制于成本与效益原则B. 内部控制一般仅针对常规业务活动而设计C. 内部控制可能因执行人员滥用职权或屈从于外部压力 而失效D. 内部控制可能因经营环境、 业务性质的改变而削弱或失 效3. 在以下因素中，注册会计师了解内部控制所执行的程序的 性质、时间和范围 , 主要取决于 ( ) 。A.

29、审计重要性B. 固有风险的评估结果C. 被审计单位的经营规模及业务复杂程度D. 被审计单位数据处理系统类型及复杂程度4. 企业的控制环境反映了管理当局和董事会关于控制对公 司重要性的态度。企业的控制环境包括( )。A. 职责划分B. 组织结构C. 内部审计D. 授权和分配责任的方法5. 在下列情况中 , 注册会计师应将重要账户或交易类别的某 些或全部认定的控制风险评估为高水平的有 ( ) 。A. 企业内部控制失效B. 难以对内部控制的有效性做出评价C. 相关的内部控制可能防止或发现和纠正重大错报或漏报D. 注册会计师不拟进行符合性测试6. 注册会计师在审计过程中常利用内部审计的工作结果 , 在

30、 对内部审计工作质量进行研究和评价 , 以确定是否利用内部 审计的工作结果时应当考虑 ( ) 因素。A. 内部审计人员的独立性B. 内部审计人员的经验和能力C. 管理当局对内部审计工作的重视程度D. 内部审计程序的性质、时间和范围7. 注册会计师对特定内部审计工作进行评价时，应当考虑 ( )。A. 内部审计工作范围是否适当B. 相关内部审计工作程序是否适当C. 审计工作底稿是否充分记录了所执行的工作D. 相关内部审计工作对有关情况的结论是否恰当8. 注册会计师关于内部控 制调查记录的方法通常包括 ( ) 。A. 文字表述B. 流程图C. 检查表D. 核对表9. 在运用主要证实法策略中，注册会计

31、师可能使用的符合性 测试程序有 ( ) 。A. 同步符合性测试B. 追加符合性测试C. 计划符合性测试D. 分析测试（三）判断题1注册会计师在确定内部控制的可信赖程度时，应当保持 应有的职业谨慎，充分关注内部控制的固有限制。 （ ） 2控制环境的好坏直接决定着企业其他控制能否实施或实 施的效果，它既可增强也可削弱特定控制的有效性。 （ ） 3内部控制良好的单位，注册会计师可能将其控制风险水 平评估为零，从而不必执行任何实质性测试程序。 （ ） 4能为每笔交易提供一个完整的“审计轨迹”或“交易轨 迹”的内部控制要素是控制程序。 （）5注册会计师了解控制程序的总要求是通过对其的充分了 解，能够合理评价控制风险水平。 （）6不论企业的业务性质和规模如何，业务循环的划分都是 相同的，即划分为销售与收款循环、购货与付款循环、生产 循环、筹资与投资循环。 （ ）