某公司内部控制及测试管理评价课件

内部控制及其测试与评价1内部控制及其测试与评价1基本内容内部控制的概述了解与记录内部控制内部控制测试内部控制评价2基本内容内部控制的概述2一、内部控制概述内部控制的内涵内部控制的要素与审计相关的控制内部控制的局限性3一、内部控制概述内部控制的内涵3一、内部控制概述

（一）内部控制的内涵1.定义：内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。4一、内部控制概述

（一）内部控制的内涵4一、内部控制概述

（一）内部控制的内涵2.目标：①财务报告的可靠性，这一目标与管理层履行财务报告编制责任密切相关；②经营的效率和效果：即经济有效地使用企业资源，以最优方式实现企业的目标；③在所有经营活动中遵守法律法规的要求，即在法律法规的框架下从事经营活动。5一、内部控制概述

（一）内部控制的内涵5一、内部控制概述

（一）内部控制的内涵3.责任主体：设计和实施内部控制的责任主体是治理层、管理层和其他人员，组织中的每一个人都对内部控制负有责任。

4.实现手段：

实现内部控制目标的手段是设计和执行控制政策和程序。6一、内部控制概述

（一）内部控制的内涵6一、内部控制概述

（二）内部控制的要素1.控制环境2.风险评估过程3.信息系统与沟通4.控制活动5.对控制的监督7一、内部控制概述

（二）内部控制的要素7一、内部控制概述

（二）内部控制的要素1.控制环境定义：控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。

8一、内部控制概述

（二）内部控制的要素8一、内部控制概述

（二）内部控制的要素1.控制环境要素：

①对诚信和道德价值观念的沟通与落实；（从管理层和细微之处看）②对胜任能力的重视；（是认人为贤还是认人为亲，是否重视对员工的培训）

③治理层的参与程度；（董事会是否独立于管理层，是否对管理层进行监督）

9一、内部控制概述

（二）内部控制的要素9一、内部控制概述

（二）内部控制的要素

1.控制环境要素：

④管理层的理念和经营风格；（管理层是否重视内部控制，经营风格是保守还是激进）

⑤组织结构；（是否有效）

⑥职权与责任的分配；（权利和责任是否相配比、是否能够相互制约）⑦人力资源政策与实务（是否能够吸引人才，有足够的人力资源可供支配）10一、内部控制概述

（二）内部控制的要素10一、内部控制概述

（二）内部控制的要素2.风险评估过程

定义：风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。作用：识别、评估和管理影响被审计单位实现经营目标能力的各种风险。

11一、内部控制概述

（二）内部控制的要素11一、内部控制概述

（二）内部控制的要素3.信息系统与沟通

定义：与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。与财务报告相关的信息系统应当与业务流程相适应。12一、内部控制概述

（二）内部控制的要素12一、内部控制概述

（二）内部控制的要素3.信息系统与沟通信息系统职能（1）识别与记录所有的有效交易；

（2）及时、详细地描述交易，以便在财务报告中对交易作出恰当分类；

13一、内部控制概述

（二）内部控制的要素13一、内部控制概述

（二）内部控制的要素3.信息系统与沟通信息系统职能（3）恰当计量交易，以便在财务报告中对交易的金额作出准确记录；

（4）恰当确定交易生成的会计期间；

（5）在财务报表中恰当列报交易。

14一、内部控制概述

（二）内部控制的要素14一、内部控制概述

（二）内部控制的要素3.信息系统与沟通与财务报告相关的沟通含义：包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责，员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。15一、内部控制概述

（二）内部控制的要素15一、内部控制概述

（二）内部控制的要素3.信息系统与沟通沟通的内容：—员工对其职责的了解—员工之间的沟通—向适当级别的管理层报告例外事项的方式—管理层与治理层之间的沟通—被审计单位与外部的沟通。

16一、内部控制概述

（二）内部控制的要素16一、内部控制概述

（二）内部控制的要素4.控制活动定义：控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。

17一、内部控制概述

（二）内部控制的要素17一、内部控制概述

（二）内部控制的要素4.控制活动定义：控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。

18一、内部控制概述

（二）内部控制的要素18一、内部控制概述

（二）内部控制的要素4.控制活动（1）授权授权的目的在于保证交易在管理层授权范围内进行。授权——一般授权和特殊授权19一、内部控制概述

（二）内部控制的要素19一、内部控制概述

（二）内部控制的要素4.控制活动（2）业绩评价主要包括被审计单位分析评价实际业绩与预算（或预测、前期业绩）的差异，综合分析财务数据与经营数据的内在关系，将内部数据与外部信息来源相比较，评价职能部门、分支机构或项目活动的业绩，以及对发现的异常差异或关系采取必要的调查与纠正措施。（大的公司都有业绩评价部门）

20一、内部控制概述

（二）内部控制的要素20一、内部控制概述

（二）内部控制的要素4.控制活动（3）信息处理

被审计单位通常执行各种措施，检查各种类型信息处理环境下的交易的准确性、完整性和授权。信息处理控制可以是人工的、自动化的，或是基于自动流程的人工控制。信息处理控制分为两类，即信息技术的一般控制和应用控制。21一、内部控制概述

（二）内部控制的要素21一、内部控制概述

（二）内部控制的要素4.控制活动（3）信息处理——一般控制信息技术一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性)，支持应用控制作用的有效发挥。通常包括数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制

22一、内部控制概述

（二）内部控制的要素22一、内部控制概述

（二）内部控制的要素4.控制活动（3）信息处理——应用控制信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关。通常包括检查数据计算准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。23一、内部控制概述

（二）内部控制的要素23一、内部控制概述

（二）内部控制的要素4.控制活动（4）实物控制实物控制主要包括对资产和记录采取适当的安全保护措施，对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对。

实物控制的效果影响资产的安全，从而对财务报表的可靠性及审计产生影响。

24一、内部控制概述

（二）内部控制的要素24一、内部控制概述

（二）内部控制的要素4.控制活动（5）职责分离

职责分离主要是指不相容职务应进行分工控制。所谓不相容职务是指经营业务的授权、批准、执行和记录等完全由一人或一个部门办理时，发生错误与舞弊的概率就会增大的两项或两项以上的职务。25一、内部控制概述

（二）内部控制的要素25一、内部控制概述

（二）内部控制的要素5.对控制的监督（1）定义：指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。（如定期编制银行存款余额调节表）26一、内部控制概述

（二）内部控制的要素26一、内部控制概述

（二）内部控制的要素5.对控制的监督（2）分类①持续监督活动：通常贯穿于被审计单位的日常经营活动与常规管理工作中。②专门的评价活动：被审计单位可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价。③利用外部信息：被审计单位也可能利用与外部有关各方沟通或交流所获取的信息监督相关的控制活动。27一、内部控制概述

（二）内部控制的要素27一、内部控制概述（三）与审计相关的控制

与审计相关的控制，包括被审计单位为实现财务报告可靠性目标设计和实施的控制。注册会计师应当运用职业判断，考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序有关。

28一、内部控制概述（三）与审计相关的控制28一、内部控制概述（三）与审计相关的控制与审计相关的控制具体包括：（1）被审计单位为实现财务报告可靠性目标设计和实施的控制。（2）如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息，注册会计师应当考虑用以保证该信息完整性和准确性的控制可能与审计相关。29一、内部控制概述（三）与审计相关的控制29一、内部控制概述（三）与审计相关的控制与审计相关的控制具体包括：（3）如果用以保证经营效率、效果的控制以及对法律法规遵守的控制与实施审计程序时评价或使用的数据相关，注册会计师应当考虑这些控制可能与审计相关。

（4）注册会计师在了解保护资产的内部控制各项要素时，可仅考虑其中与财务报告可靠性目标相关的控制。

30一、内部控制概述（三）与审计相关的控制30一、内部控制概述（四）内部控制的局限性——受人的影响：人为判断错误和人为失误以及人员的素质；——由于两个或更多的人员进行串通舞弊——管理层凌驾于内部控制之上——成本效益问题因此，内部控制只能对财务报告的可靠性提供合理保证。31一、内部控制概述（四）内部控制的局限性31基本内容内部控制的概述了解与记录内部控制内部控制测试内部控制评价32基本内容内部控制的概述32二、了解与记录内部控制（一）对内部控制了解的深度——评价控制的设计——确定控制是否得到执行综合性方案比实质性方案需要更多地了解被审计单位内部控制。33二、了解与记录内部控制（一）对内部控制了解的深度33二、了解与记录内部控制（二）了解内部控制的程序1.询问被审计单位的人员

2.观察特定控制的运用；3.检查文件和报告；4.追踪交易在财务报告信息系统中的处理过程（穿行测试）。

注意：注册会计师对控制的了解并不能够代替对控制运行有效性的测试。

34二、了解与记录内部控制（二）了解内部控制的程序34二、了解与记录内部控制（三）了解内部控制的设计和执行1.在整体层面对内部控制了解和评估执行人：项目组中对被审计单位情况比较了解且较有经验的成员负责，对内部控制的评价需要大量的职业判断了解和评估的内容：了解内部控制各要素是否得到执行，尤其是控制环境，因为控制环境对整体层面的内部控制影响较大。记录：内部控制各要素的了解要点和实施的风险评估程序及其结果等形成审计工作记录，并对影响注会对整体层面内部控制有效性进行判断的因素详细记录。35二、了解与记录内部控制（三）了解内部控制的设计和执行35二、了解与记录内部控制（三）了解内部控制的设计和执行2.在业务流程层面了解内部控制（1）确定重要业务流程和重要交易类别：不同企业是不同的（2）了解重要交易流程，并进行记录36二、了解与记录内部控制（三）了解内部控制的设计和执行36二、了解与记录内部控制（三）了解内部控制的设计和执行2.在业务流程层面了解内部控制例如：对于销售和收款交易，交易环节有：接受顾客订单→批准赊销信用→按销售单供货和装运货物→向顾客开具账单→记录销售→办理和记录现金、银行存款收入→办理和记录销货退回、折扣和折让→注销坏账→提取坏帐准备37二、了解与记录内部控制（三）了解内部控制的设计和执行37二、了解与记录内部控制（三）了解内部控制的设计和执行2.在业务流程层面了解内部控制（3）确定可能发生错报的环节接受顾客订单、批准赊销信用、办理和记录现金、记录销售（出纳记录应收款）、办理和记录现金、银行存款收入（销售人员经手货款）、办理和记录销货退回、折扣和折让、注销坏账、提取坏帐准备容易发生错报38二、了解与记录内部控制（三）了解内部控制的设计和执行38二、了解与记录内部控制（三）了解内部控制的设计和执行2.在业务流程层面了解内部控制（4）识别和了解相关控制在订立合同时，是否经办人经过授权批准，信用部门是否和销售部门相分离，销货退回、收款和销售记录是否相分离，折扣和折让、注销坏账是否经过批准39二、了解与记录内部控制（三）了解内部控制的设计和执行39二、了解与记录内部控制（三）了解内部控制的设计和执行2.在业务流程层面了解内部控制（5）执行穿行测试，证实对交易流程和相关控制的了解可通过查阅文件和询问的方式进行。对于复核人员，可询问对什么进行复核，复核的要点是什么，如果复核过程中发现了文件中的错误或其它差异，按规定他该怎么做。40二、了解与记录内部控制（三）了解内部控制的设计和执行40二、了解与记录内部控制（三）了解内部控制的设计和执行2.在业务流程层面了解内部控制（6）初步评价和风险评估评价应试图回答：控制本身的设计是否合理。控制是否得到执行。是否更多地信赖控制并拟实施控制测试。41二、了解与记录内部控制（三）了解内部控制的设计和执行41在重要业务流程层面对内部控制了解和评估的一般程序1.确定被审计单位的重要业务流程和影响重大账户的重要交易类别2.了解重要交易从发生到记入账目的整个流程3.与重大账户及其认定向结合，在重大交易整个流程中确定错报可能会在什么环节发生，即确定相应的控制目标4.根据确定的审计策略，对防止或发现并纠正重大错报的相关控制加以识别5.通过执行穿行测试，来证实相关内部控制是否执行6.对相关控制的设计和是否得到执行进行评价，以确定进一步审计程序42在重要业务流程层面对内部控制了解和评估的一般程序1.确定被审二、了解与记录内部控制（三）了解内部控制的设计和执行3.考虑内部控制的人工和自动化特征及其影响

内部控制可能既包括人工成分又包括自动化成分，在风险评估以及设计和实施进一步审计程序时，注册会计师应当考虑内部控制的人工和自动化特征及其影响。

43二、了解与记录内部控制（三）了解内部控制的设计和执行43信息技术对内部控制产生的特定风险（１）系统或程序未能正确处理数据，或处理了不正确的数据，或两种情况同时并存；在未得到授权情况下访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易；信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工；

44信息技术对内部控制产生的特定风险（１）系统或程序未能信息技术对内部控制产生的特定风险（２）未经授权改变主文档的数据；未经授权改变系统或程序；未能对系统或程序作出必要的修改；不恰当的人为干预；数据丢失的风险或不能访问所需要的数据。

45信息技术对内部控制产生的特定风险（２）未经授权改变主文人工控制产生的特定风险人工控制可能更容易被规避、忽视或凌驾；人工控制可能不具有一贯性；人工控制可能更容易产生简单错误或失误46人工控制产生的特定风险人工控制可能更容易被规避、忽视或凌人工控制可能是不适当的情况

存在大量或重复发生的交易；

事先可预见的错误能够通过自动化控制得以防范或发现；

控制活动可得到适当设计和自动化处理。47人工控制可能是不适当的情况

存在大量或重复发生的交易；

二、了解与记录内部控制（四）记录对内部控制的了解

文字叙述

调查表

流程图48二、了解与记录内部控制（四）记录对内部控制的了解48基本内容内部控制的概述了解与记录内部控制内部控制测试内部控制评价49基本内容内部控制的概述49三、内部控制测试（一）控制测试的内涵和要求（1）内涵：测试控制运行的有效性。（２）控制测试的要求在评估认定层次的重大错报风险时，预期控制的运行是有效的；仅实施实质性程序不足以提供认定层次充分、适当的审计证据。50三、内部控制测试（一）控制测试的内涵和要求50三、内部控制测试（一）控制测试的内涵和要求（3）测试控制有效运行的证据①控制在所审计期间的不同时点是如何运行的；

②控制是否得到一贯执行；

③控制由谁执行；

④控制以何种方式运行。(测试控制是否得到执行的证据是确定控制是否存在，控制是否得到使用）51三、内部控制测试（一）控制测试的内涵和要求51三、内部控制测试（二）控制测试的性质涵义：指控制测试所使用审计程序的类型及其组合。１．总体要求注册会计师认为控制运行的有效性越高，那么所获取的测试控制运行有效性的审计证据的可靠性就越高。当拟实施的进一步审计程序主要以控制测试为主，尤其是仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受的低水平时，注册会计师应当获取有关控制运行有效性的更高的保证水平。

52三、内部控制测试（二）控制测试的性质52三、内部控制测试（二）控制测试的性质２．选择控制测试程序的类型√询问、观察、检查、重新执行√穿行测试：通过追踪交易在财务报告信息系统中的处理过程，来证实注会对控制的了解。多种程序的结合运用（如询问和检查或重新执行结合使用通常能够比仅实施询问和观察获取更高的保证）

53三、内部控制测试（二）控制测试的性质53三、内部控制测试（三）控制测试的时间１．控制测试的时间包含两层含义：一是何时实施控制测试；二是测试所针对的控制适用的时点或期间；２．时点证据和期间证据如果仅需要测试控制在特定时点的运行有效性，注册会计师只需要获取该时点的审计证据。如果需要获取控制在某一期间有效运行的审计证据，仅获取与时点相关的审计证据是不充分的，应获取期间证据。54三、内部控制测试（三）控制测试的时间54三、内部控制测试（三）控制测试的时间３．考虑期中审计证据（1）获取这些控制在剩余期间变化情况的审计证据如果这些控制在剩余期间没有发生变化，注册会计师可能决定信赖期中获取的审计证据；如果这些控制在剩余期间发生了变化（如信息系统、业务流程或人事管理等方面发生变动），注册会计师需要了解并测试控制的变化对期中审计证据的影响。

55三、内部控制测试（三）控制测试的时间55三、内部控制测试（三）控制测试的时间３．考虑期中审计证据（２）剩余期间补充证据应当考虑的因素①评估的认定层次重大错报风险的重大程度②在期中测试的特定控制③在期中对有关控制运行有效性获取的审计证据的程度

56三、内部控制测试（三）控制测试的时间56三、内部控制测试（三）控制测试的时间３．考虑期中审计证据（２）剩余期间补充证据应当考虑的因素④剩余期间的长度⑤在信赖控制的基础上拟减少进一步实质性程序的范围⑥控制环境57三、内部控制测试（三）控制测试的时间57三、内部控制测试（三）控制测试的时间４．不得依赖以前审计所获取证据的情形

如果确定评估的认定层次重大错报风险是特别风险，并拟信赖旨在减轻特别风险的控制，注册会计师不应依赖以前审计获取的审计证据，而应在本期审计中测试这些控制的运行有效性。58三、内部控制测试（三）控制测试的时间58该控制是否针对特别风险该控制在最近两年是否被测试过开始在本年度测试该控制考虑是否在本年度测试该控制：控制是否有变化显示需要测试的因素，如复杂的人工控制为满足每年测试一部分控制的要求而测试是否否是59该控制是否针该控制在最近两年开始在本年度测试该控制考虑是否在三、内部控制测试（四）控制测试的范围控制测试的范围指某项控制活动的测试次数。１．确定控制测试范围的总体要求√控制执行的频率√拟信赖控制运行有效性的时间长度√审计证据的相关性和可靠性

60三、内部控制测试（四）控制测试的范围60三、内部控制测试（四）控制测试的范围１．确定控制测试范围的总体要求

√测试与认定相关的其他控制获取的审计证据的范围√对控制的拟信赖程度√预期偏差61三、内部控制测试（四）控制测试的范围61三、内部控制测试（四）控制测试的范围２．对自动化控制的测试范围的特别考虑除非系统发生变动，注会通常不需要增加自控化控制的测试范围62三、内部控制测试（四）控制测试的范围62三、内部控制测试（五）双重目的测试

注册会计师在进行控制测试的同时，进行细节测试，这种情况下的测试被称为双重目的测试。双重目的测试既可以减少审计工作量，提高审计效率，又可节约审计成本，但注册会计师在执行双重目的测试时，必须小心谨慎地设计测试程序，以确保能取得有关控制的有效性和报表中的重要错报或漏报这两个方面的证据。63三、内部控制测试（五）双重目的测试63四、内部控制评价（一）内部控制评价的概念内部控制评价是评价内部控制在防止或者发现和更正会计报表里的重要错报或漏报的有效程度的过程。注册会计师对企业内部控制进行评价一般分为初步评价和再评价两个环节，即在了解内部控制后初步评价和进行控制测试后对内部控制风险进行再评价。64四、内部控制评价（一）内部控制评价的概念64四、内部控制评价（二）内部控制评价的步骤

１．确认某项认定可能发生哪些潜在的错报或漏报；２．确认哪些控制可以防止或者发现和更正这些错报或漏报；３．执行控制测试，获取这些控制是否适当设计和有效执行的证据（如果有必要执行该步骤）；４．评价所获得的证据；５．评价该项内部控制。65四、内部控制评价（二）内部控制评价的步骤65四、内部控制评价（三）对内部控制的初步评价

１．财务报表层次的评估财务报表层次的重大错报风险很可能源于薄弱的控制环境，注册会计师在评估财务报表层次的重大错报风险时，应当将被审计单位整体层面的内部控制状况和了解到的被审计单位及其环境其他方面的情况结合起来考虑。66四、内部控制评价（三）对内部控制的初步评价66四、内部控制评价（三）对内部控制的初步评价

２．业务流程层次的评估（1）在评估重大错报风险时，注册会计师应当将所了解的控制与特定认定相联系。（2）注册会计师在确定某些控制是否能够防止或发现并纠正特定认定发生重大错报时，应当将控制活动和其他要素综合考虑。67四、内部控制评价（三）对内部控制的初步评价67四、内部控制评价（三）对内部控制的初步评价

２．业务流程层次的评估（3）注册会计师应考虑被审计单位整体层面的内部控制是否有效将直接影响重要业务流程层面控制的有效性，进而影响注册会计师拟实施的进一步审计程序的性质、时间和范围。68四、内部控制评价（三）对内部控制的初步评价68四、内部控制评价（四）对内部控制的再评价

对内部控制的再评价主要体现在根据控制测试中发现的控制执行偏差考虑修正重大错报风险的评估结果。69四、内部控制评价（四）对内部控制的再评价69四、内部控制评价（五）内部控制评价的结论

注册会计师对控制的评价结论可能是：１．所设计的内部控制单独或连同其他控制能够防止或发现并纠正重大错报，并得到执行；２．控制本身的设计是合理的，但没有得到执行；３．控制本身的设计就是无效的或缺乏必要的控制。70四、内部控制评价（五）内部控制评价的结论70四、内部控制评价（六）考虑财务报表的可审性

当对财务报表局部或整体的可审计性产生疑问，注册会计师应当考虑应当考虑解除业务约定或出具保留意见或无法表示意见的审计报告。71四、内部控制评价（六）考虑财务报表的可审性71四、内部控制评价（七）评价结果对实质性测试的影响

当企业内部控制健全有效，可以保持高信赖程度，注册会计师只需执行有限的实质性程序。当内部控制的有效性一般，可以保持中等信赖程度，注册会计师需要执行充分的实质性程序。当内部控制有效性较差，只能保持低等信赖程度，注册会计师需要执行更多的实质性程序。72四、内部控制评价（七）评价结果对实质性测试的影响72进一步审计程序简例一、被审计单位背景资料简介某公司是一家生产和销售高端清洁用品的外商独资被审计单位，其产品主要用于星级酒店宾馆和大型饭店。除了在北京、上海直接向终端客户销售外，在全国其他地区均向省级或市级经销商销售。公司提供的财务报表显示：2005年度销售收入为112655260元，比上一年增长21%（董事会制定的当年预算目标是增长20%）。2005年12月31日应收账款余额为39560810元，组成情况如下：共有226个客户，其中9个客户（均为省级经销商）的余额在100万以上，占应收账款总额的38%，其余客户的余额均小于30万。此外余额为10万元以上且账龄超过一年的应收账款有15家。73进一步审计程序简例一、被审计单位背景资料简介73一、被审计单位背景资料简介2005年12月31日坏账准备余额为1879830元。公司采用账龄分析法和个别认定法相结合的方式计提坏账准备，其中账龄分析法为：账龄六个月以上一年以下：10%；一年以上两年以下：50%；两年以上：100%。20052004应收帐款3956081027765338坏账准备-1879830-1707400销售收入11265526093103520应收帐款周转天数108天92天该公司2005年度的税前利润为8475623元，总体重要性水平为423781元（税前利润的5%）。74一、被审计单位背景资料简介2005年12月31日坏二、注册会计师对销售业务流程的风险评估和进一步审计程序的方案

由于销售业务的重要性及其固有风险，注册会计师认为销售收入和应收账款层次的“发生或存在”和“准确性”认定存在重大错报风险。被审计单位在2005年以放宽授信额度来增加销售收入，导致货款回收速度放缓，应收账款余额大幅上升，但坏账准备余额与去年基本持平。注册会计师认为应收账款的计价认定存在特别风险，即年末坏账准备的计提很可能不够。基于以前年度对该公司的了解和经验，以及本年度对该公司环境、经营状况、内部控制等的了解和评估，注册会计师决定对应收账款采用综合性审计方案。75二、注册会计师对销售业务流程的风险评估和进一步审计程序的方案二、注册会计师对销售业务流程的风险评估和进一步审计程序的方案该公司在各主要业务流程及财务报告编制中采用了计算机信息系统，注册会计师在本年度审计中测试了信息系统一般控制并认为信息系统一般控制是有效的。注册会计师对销售收入、应收账款余额和坏账准备余额实施了以下的进一步审计程序：（1）控制测试；（2）评估针对特别风险的控制；（3）实质性程序。

76二、注册会计师对销售业务流程的风险评估和进一步审计程序的方案三、控制测试（一）设计和实施控制测试注册会计师从销售流程中选取了一些关键的控制进行测试。1．业绩评价控制测试。所测试的控制：销售主管每月审核按客户分列的销售收入（包括与上月销售额和本月预算额的比较）和应收账款（包括当月货款回收金额和月末余额）汇总表，对其中的重大差异和异常情况进行跟进分析，编制分析报告并呈报销售经理和总经理。总经理与销售经理审阅后讨论对出现问题的解决措施。相关的财务报表认定：销售收入的发生、准确性、完整性以及应收账款的存在、准确性。77三、控制测试（一）设计和实施控制测试77三、控制测试测试程序：该控制是月度控制，注册会计师决定选取2月、6月、10月、11月这四个月份测试该控制。注册会计师分别与总经理和销售经理就上述四个月份的分析报告进行讨论，证实他们确实审阅了该报告并对重大差异和异常情况进行了调查和跟进。事后注册会计师还通过询问销售经理和相关销售人员印证了当时所采取的跟进措施。销售收入和应收账款汇总表由财务系统自动生成并与当月财务报表的销售收入总额和应收账款余额一致，注册会计师核对了上述四个月份的财务报表，证实无误。测试结果：该控制有效运行，注册会计师对该控制可以信赖。78三、控制测试测试程序：该控制是月度控制，注册会计师决定选取三、控制测试2．人工应用控制测试。所测试的控制：对每一笔销售收入，销售部专职秘书将客户订单、客户已签收的送货单（所有货物由物流公司运送）以及发票（计算机发票由销售部开具）上的客户名称、货物品种、数量、价格进行核对，并在发票记账联盖“核对确认无误”章，交给财务部作为确认销售收入的凭证。对于数据不符的交易则进行调查并调整。相关的财务报表认定：销售收入的发生、准确性以及应收账款的存在、准确性。79三、控制测试2．人工应用控制测试。所测试的控制：对每一笔销售三、控制测试测试程序：该控制为人工控制，每天发生数次，注册会计师为了获取较高程度的保证，决定抽取每月5个共60个样本。该测试是双重目的测试，既可测试控制运行的有效性，同时也是针对销售收入的细节测试。注册会计师询问了执行该控制的销售部专职秘书和负责记录销售收入的会计人员，确认该控制确实得到执行。注册会计师从销售收入明细账中抽取60笔交易，核对客户订单、客户已签收的送货单以及发票，以检查有关信息是否一致，发票记账联上是否有“核对确认无误”章，以及入账金额是否准确。测试结果：没有发现例外情况。该控制有效运行。注册会计师对该控制可以信赖。80三、控制测试测试程序：该控制为人工控制，每天发生数次，注册会三、控制测试3．自动化应用控制测试。所测试的控制：订单分为“待批准”、“已批准”和“已执行”状态。订单一经批准就会自动生成相应的送货单；已发货的订单在系统中被设置为“已执行”状态，每月末系统会自动配比当月的“已执行”订单、送货单和当月入账的销售收入（均有订单号索引），对未确认收入的订单生成“已执行订单未入账报告”。财务人员对该报告进行跟踪调查，补记漏记的销售收入。相关的财务报表认定：销售收入的完整性。81三、控制测试3．自动化应用控制测试。所测试的控制：订单分为“三、控制测试测试程序：注册会计师在上年度审计中已经测试了该控制并证明该控制的运行是有效的。本年度注册会计师了解到该控制没有发生变化。注册会计师本年度已经测试了信息技术一般控制的运行有效性，因而不必再测试该自动化控制。82三、控制测试测试程序：注册会计师在上年度审计中已经测试了该控三、控制测试（二）控制测试结果及其对实质性程序的影响综合以上控制测试的结果显示，针对销售收入的发生、准确性和完整性认定和应收账款的存在和准确性认定的控制是有效运行的，注册会计师对控制有较高程度的信赖，只需要从实质性程序中获取较低程度的保证。83三、控制测试（二）控制测试结果及其对实质性程序的影响83四、实质性程序（一）对销售收入及应收账款实施实质性分析程序（略）（二）对应收账款和坏账准备实施细节测试1．应收账款函证。由于从控制测试中获得了较高程度的信赖，注册会计师只需要从细节测试中获取较低程度的保证。因此，注册会计师决定采用针对性测试方法选取函证样本，符合下列条件之一的选为样本：（1）应收账款余额100万元以上；（2）年销售收入500万元以上；（3）有10万元以上账龄超过一年的应收账款。有35家客户符合上述条件，总金额为18593581，覆盖率为47%。84四、实质性程序（一）对销售收入及应收账款实施实质性分析程序（四、实质性程序函证结果如下：（1）26家回函确认无误；（2）3家回函存在付款时间性差异，即年末客户已付款而被审计单位尚未收到，经查看次年一月初银行对账单确认无误；（3）6家没有回函。前两项29家回函总金额为13272566元，函证的实际覆盖率为34%。85四、实质性程序函证结果如下：85四、实质性程序2．对上述没有回函的应收账款余额5321015元执行替代程序，查看了期后收款。截至审计现场工作结束，共收回货款2866390元，对剩余的金额2454625元查看了相应的原始凭证（订单、发货单、发票；还款协议；与客户的往来信件等），没有发现差异。替代程序的实际覆盖率为13%。86四、实质性程序2．对上述没有回函的应收账款余额5321四、实质性程序3．应收账款余额函证及替代程序的总体覆盖率为47%。对于没有函证的53%，由于相关控制是有效运行的，执行实质性分析程序和未发现误差，注册会计师判断重大错报风险水平较低，因而可接受一个较高的检查风险水平。对于未函证的53%，注册会计师采用审计抽样（一个相对较小的样本即可）的方法予以函证，结果是推断的错报未超过应收账款可容忍错报。4．验证应收账款账龄分析报告的准确性。注册会计师采取审计抽样的方法，选取40笔交易检查销售发票并验证是否归入正确的账龄期间。测试结果没有发现错误，可以证实账龄分析报告的准确性。87四、实质性程序3．应收账款余额函证及替代程序的总体覆盖率为四、实质性程序5．向总经理和销售经理询问他们对应收账款可回收性的评估；重新计算坏账准备的计提；对账龄较长而未计提坏账准备的应收账款余额，查看还款协议和实际付款记录。注册会计师发现有一笔339465元账龄超过两年的应收账款，该客户签定还款协议承诺2005年12月31日之前支付100000元，实际并未支付，到审计现场工作时（2006年3月）仍未支付，目前被审计单位已停止向对方供货；另一笔133287元账龄未满六个月的应收账款，该客户是一家连锁餐厅，最近因资金链出现问题，拖欠租金和供应商货款而被起诉，该笔货款很可能无法收回。对上述两笔可能无法收回的应收账款共计472752元被审计单位均未计提坏账准备。注册会计师建议作审计调整并计划向被审计单位管理层报告该事项。88四、实质性程序5．向总经理和销售经理询问他们对应收账款可回收作业5.(1)无论大型企业，还是小型企业，管理当局在设计企业的内部控制时，均要综合考虑控制的成本与效益。大型企业由于资产规模较大，一旦失去有效的控制，常常会造成严重的损失，故其管理当局倾向于建立较完善的内部控制。而小型企业资产规模小，有时一些理想的内部控制的成本会大于其所取得的效益，管理当局出于对成本效益原则的考虑而放弃实施。相对来说，大型企业建立的内部控制要比小型企业健全。89作业5.(1)无论大型企业，还是小型企业，管理当局在设计企作业（2）王朝的观点是正确的。注册会计师调查和评价内部控制的目的是为了设计恰当的实质性测试程序，以获取充分、适当的审计证据。由于大多数的小型企业内部控制不健全，即使审计人员对其内部控制进行细致的调查和评价，还是无法使其控制风险降为低水平，仍需执行较大范围的实质性测试。显然，对内部控制进行详细测试特别不经济，因此是没有必要的，不如将更多的时间和精力花在实质性测试上。90作业（2）王朝的观点是正确的。注册会计师调查和评价内部控制的（3）二者对内部控制的了解和测试的基本步骤是一样的。无论选择大型企业，还是小型企业，都需要了解被审计单位相关的内部控制如何设计和是否得到执行。而且注册会计师在对某项认定的控制风险进行评价时，都必须遵循以下步骤:（1）确认该项认定可能发生哪些潜在的错报或漏报；（2）确认哪些控制可以防止或者发现和更正这些错报或漏报；91（3）二者对内部控制的了解和测试的基本步骤是一样的。无论选择（3）执行符合性测试，获取这些控制是否适当设计和有效执行的证据（当在控制风险评价为高水平时，无需执行该步骤）；(4)评价所获得的证据;(5)评价该项认定的控制风险。二者的区别在于对被审计单位相关的内部控制的了解程度是不一样的。一般来说，对于小型企业，审计人员主要是计划依赖较大范围的实质性测试来获取足够的审计证据，对内部控制的依赖程度92（3）执行符合性测试，获取这些控制是否适当设计和有效执行的证较小；而对于大型企业，审计人员主要是计划在被审计单位内部控制良好的基础上实施较小范围的实质性测试来获取足够的审计证据，对内部控制的依赖程度较大。因此，注册会计师对于大型企业，常常需要更多、更深入地了解被审计单位相关的内部控制。93较小；而对于大型企业，审计人员主要是计划在被审计单位内部控制6.要求(1)：就甲公司内部控制如(1)所述，①会计人员乙同时登记产成品总账和明细账，不相容职务未进行分离。应建议甲公司由不同的会计人员登记产成品总账和明细账。就甲公司内部控制如(3)、(4)所述，②验收单未连续编号，不能保证所有的采购都已记录或不被重复记录。应建议甲公司对验收单进行连续编号。946.要求(1)：94③付款凭单未附订购单及供应商的发票等，会计部无法核对采购事项是否真实，登记有关账簿时金额或数量可能就会出现差错。应建议甲公司将订购单和发票等与付款凭单一起交会计部。④会计部月末审核付款凭单后才付款，未能及时将材料采购和债务登账和按约定时间付款。应建议甲公司采购部及时将付款凭单交会计部，按约定时间付款。95③付款凭单未附订购单及供应商的发票等，会计部无法核对采购事项就甲公司内部控制如(6)所述，⑤由证券部直接支取款项使授权与执行职务未得到分离，不易使款项安全。应建议甲公司从资金账户支取款项时，由会计部审核和记录、由证券部办理。⑥与证券投资有关的活动要由两个部门控制。有关的协议未经独立的部门审查，会使有关的条款未全部在协议载明，可能存在协议外的约定。建议甲公司与营业部的协议应经会计部或法律部审查。96就甲公司内部控制如(6)所述，96证券部自己处理证券买卖的会计处理，业务的执行与记录的不相容职务未分离，并且未得到适当的授权和批准。月末会计部汇总登记证券投资记录，未及时按每一种证券分别设立明细账，详细核算。应建议甲公司由会计部负责对投资进行核算，及时分品种设立明细账详细核算。就甲公司内部控制如(7)所述，⑦借款应得到适当的授权或批准。97证券部自己处理证券买卖的会计处理，业务的执行与记录的不相容职应建议甲公司在公司章程或有关决议中具体规定股东大会、董事会、经营班子的关于筹资的权限和批准程序。就甲公司内部控制如(9)所述，⑧银行出纳编制银行存款余额调节表，不相容职务未分离，凭证和记录未得到控制。应建议甲公司银行存款余额调节表由出纳外的会计人员编制。98应建议甲公司在公司章程或有关决议中具体规定股东大会、董事会、要求(2)：①会计人员乙同时经管登记产成品总账和明细账与产成品的“完整性”、“估价或分摊”、“存在与发生”认定相关。②验收单未连续编号与材料采购(或原材料，或存货，下同)的“完整性”认定相关。③付款凭单月末交给会计部与材料采购的“存在或发生”、“估价或分摊”的认定相关。99要求(2)：99④会计部根据未附其他单据的付款凭单登记有关账簿与材料采购的“估价或分摊”、“存在与发生”认定相关。⑤由证券部直接支取款项与短期投资(或长期投资，下同)的“完整性”、“存在与发生”认定有关。⑥与营业部的协议未经其他部门审核与投资的“完整性”认定有关。由证券部进行会计核算、会计部月末汇总与投资的“估价或分摊”、“完整性”的认定有关。100④会计部根据未附其他单据的付款凭单登记有关账簿与材料采购的“⑦在公司章程或有关决议中未载明筹资的权限和批准程序与长期（或短期）借款的“存在或发生”的认定相关。⑧银行出纳编制银行存款余额调节表与银行存款的“估价或分摊”、“存在与发生”、“完整性”的认定有关。101⑦在公司章程或有关决议中未载明筹资的权限和批准程序与长期（或内部控制及其测试与评价102内部控制及其测试与评价1基本内容内部控制的概述了解与记录内部控制内部控制测试内部控制评价103基本内容内部控制的概述2一、内部控制概述内部控制的内涵内部控制的要素与审计相关的控制内部控制的局限性104一、内部控制概述内部控制的内涵3一、内部控制概述

（一）内部控制的内涵1.定义：内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。105一、内部控制概述

（一）内部控制的内涵4一、内部控制概述

（一）内部控制的内涵2.目标：①财务报告的可靠性，这一目标与管理层履行财务报告编制责任密切相关；②经营的效率和效果：即经济有效地使用企业资源，以最优方式实现企业的目标；③在所有经营活动中遵守法律法规的要求，即在法律法规的框架下从事经营活动。106一、内部控制概述

（一）内部控制的内涵5一、内部控制概述

（一）内部控制的内涵3.责任主体：设计和实施内部控制的责任主体是治理层、管理层和其他人员，组织中的每一个人都对内部控制负有责任。

4.实现手段：

实现内部控制目标的手段是设计和执行控制政策和程序。107一、内部控制概述

（一）内部控制的内涵6一、内部控制概述

（二）内部控制的要素1.控制环境2.风险评估过程3.信息系统与沟通4.控制活动5.对控制的监督108一、内部控制概述

（二）内部控制的要素7一、内部控制概述

（二）内部控制的要素1.控制环境定义：控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。

109一、内部控制概述

（二）内部控制的要素8一、内部控制概述

（二）内部控制的要素1.控制环境要素：

①对诚信和道德价值观念的沟通与落实；（从管理层和细微之处看）②对胜任能力的重视；（是认人为贤还是认人为亲，是否重视对员工的培训）

③治理层的参与程度；（董事会是否独立于管理层，是否对管理层进行监督）

110一、内部控制概述

（二）内部控制的要素9一、内部控制概述

（二）内部控制的要素

1.控制环境要素：

④管理层的理念和经营风格；（管理层是否重视内部控制，经营风格是保守还是激进）

⑤组织结构；（是否有效）

⑥职权与责任的分配；（权利和责任是否相配比、是否能够相互制约）⑦人力资源政策与实务（是否能够吸引人才，有足够的人力资源可供支配）111一、内部控制概述

（二）内部控制的要素10一、内部控制概述

（二）内部控制的要素2.风险评估过程

定义：风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。作用：识别、评估和管理影响被审计单位实现经营目标能力的各种风险。

112一、内部控制概述

（二）内部控制的要素11一、内部控制概述

（二）内部控制的要素3.信息系统与沟通

定义：与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。与财务报告相关的信息系统应当与业务流程相适应。113一、内部控制概述

（二）内部控制的要素12一、内部控制概述

（二）内部控制的要素3.信息系统与沟通信息系统职能（1）识别与记录所有的有效交易；

（2）及时、详细地描述交易，以便在财务报告中对交易作出恰当分类；

114一、内部控制概述

（二）内部控制的要素13一、内部控制概述

（二）内部控制的要素3.信息系统与沟通信息系统职能（3）恰当计量交易，以便在财务报告中对交易的金额作出准确记录；

（4）恰当确定交易生成的会计期间；

（5）在财务报表中恰当列报交易。

115一、内部控制概述

（二）内部控制的要素14一、内部控制概述

（二）内部控制的要素3.信息系统与沟通与财务报告相关的沟通含义：包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责，员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。116一、内部控制概述

（二）内部控制的要素15一、内部控制概述

（二）内部控制的要素3.信息系统与沟通沟通的内容：—员工对其职责的了解—员工之间的沟通—向适当级别的管理层报告例外事项的方式—管理层与治理层之间的沟通—被审计单位与外部的沟通。

117一、内部控制概述

（二）内部控制的要素16一、内部控制概述

（二）内部控制的要素4.控制活动定义：控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。

118一、内部控制概述

（二）内部控制的要素17一、内部控制概述

（二）内部控制的要素4.控制活动定义：控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。

119一、内部控制概述

（二）内部控制的要素18一、内部控制概述

（二）内部控制的要素4.控制活动（1）授权授权的目的在于保证交易在管理层授权范围内进行。授权——一般授权和特殊授权120一、内部控制概述

（二）内部控制的要素19一、内部控制概述

（二）内部控制的要素4.控制活动（2）业绩评价主要包括被审计单位分析评价实际业绩与预算（或预测、前期业绩）的差异，综合分析财务数据与经营数据的内在关系，将内部数据与外部信息来源相比较，评价职能部门、分支机构或项目活动的业绩，以及对发现的异常差异或关系采取必要的调查与纠正措施。（大的公司都有业绩评价部门）

121一、内部控制概述

（二）内部控制的要素20一、内部控制概述

（二）内部控制的要素4.控制活动（3）信息处理

被审计单位通常执行各种措施，检查各种类型信息处理环境下的交易的准确性、完整性和授权。信息处理控制可以是人工的、自动化的，或是基于自动流程的人工控制。信息处理控制分为两类，即信息技术的一般控制和应用控制。122一、内部控制概述

（二）内部控制的要素21一、内部控制概述

（二）内部控制的要素4.控制活动（3）信息处理——一般控制信息技术一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性)，支持应用控制作用的有效发挥。通常包括数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制

123一、内部控制概述

（二）内部控制的要素22一、内部控制概述

（二）内部控制的要素4.控制活动（3）信息处理——应用控制信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关。通常包括检查数据计算准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。124一、内部控制概述

（二）内部控制的要素23一、内部控制概述

（二）内部控制的要素4.控制活动（4）实物控制实物控制主要包括对资产和记录采取适当的安全保护措施，对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对。

实物控制的效果影响资产的安全，从而对财务报表的可靠性及审计产生影响。

125一、内部控制概述

（二）内部控制的要素24一、内部控制概述

（二）内部控制的要素4.控制活动（5）职责分离

职责分离主要是指不相容职务应进行分工控制。所谓不相容职务是指经营业务的授权、批准、执行和记录等完全由一人或一个部门办理时，发生错误与舞弊的概率就会增大的两项或两项以上的职务。126一、内部控制概述

（二）内部控制的要素25一、内部控制概述

（二）内部控制的要素5.对控制的监督（1）定义：指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。（如定期编制银行存款余额调节表）127一、内部控制概述

（二）内部控制的要素26一、内部控制概述

（二）内部控制的要素5.对控制的监督（2）分类①持续监督活动：通常贯穿于被审计单位的日常经营活动与常规管理工作中。②专门的评价活动：被审计单位可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价。③利用外部信息：被审计单位也可能利用与外部有关各方沟通或交流所获取的信息监督相关的控制活动。128一、内部控制概述

（二）内部控制的要素27一、内部控制概述（三）与审计相关的控制

与审计相关的控制，包括被审计单位为实现财务报告可靠性目标设计和实施的控制。注册会计师应当运用职业判断，考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序有关。

129一、内部控制概述（三）与审计相关的控制28一、内部控制概述（三）与审计相关的控制与审计相关的控制具体包括：（1）被审计单位为实现财务报告可靠性目标设计和实施的控制。（2）如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息，注册会计师应当考虑用以保证该信息完整性和准确性的控制可能与审计相关。130一、内部控制概述（三）与审计相关的控制29一、内部控制概述（三）与审计相关的控制与审计相关的控制具体包括：（3）如果用以保证经营效率、效果的控制以及对法律法规遵守的控制与实施审计程序时评价或使用的数据相关，注册会计师应当考虑这些控制可能与审计相关。

（4）注册会计师在了解保护资产的内部控制各项要素时，可仅考虑其中与财务报告可靠性目标相关的控制。

131一、内部控制概述（三）与审计相关的控制30一、内部控制概述（四）内部控制的局限性——受人的影响：人为判断错误和人为失误以及人员的素质；——由于两个或更多的人员进行串通舞弊——管理层凌驾于内部控制之上——成本效益问题因此，内部控制只能对财务报告的可靠性提供合理保证。132一、内部控制概述（四）内部控制的局限性31基本内容内部控制的概述了解与记录内部控制内部控制测试内部控制评价133基本内容内部控制的概述32二、了解与记录内部控制（一）对内部控制了解的深度——评价控制的设计——确定控制是否得到执行综合性方案比实质性方案需要更多地了解被审计单位内部控制。134二、了解与记录内部控制（一）对内部控制了解的深度33二、了解与记录内部控制（二）了解内部控制的程序1.询问被审计单位的人员

2.观察特定控制的运用；3.检查文件和报告；4.追踪交易在财务报告信息系统中的处理过程（穿行测试）。

注意：注册会计师对控制的了解并不能够代替对控制运行有效性的测试。

135二、了解与记录内部控制（二）了解内部控制的程序34二、了解与记录内部控制（三）了解内部控制的设计和执行1.在整体层面对内部控制了解和评估执行人：项目组中对被审计单位情况比较了解且较有经验的成员负责，对内部控制的评价需要大量的职业判断了解和评估的内容：了解内部控制各要素是否得到执行，尤其是控制环境，因为控制环境对整体层面的内部控制影响较大。记录：内部控制各要素的了解要点和实施的风险评估程序及其结果等形成审计工作记录，并对影响注会对整体层面内部控制有效性进行判断的因素详细记录。136二、了解与记录内部控制（三）了解内部控制的设计和执行35二、了解与记录内部控制（三）了解内部控制的设计和执行2.在业务流程层面了解内部控制（1）确定重要业务流程和重要交易类别：不同企业是不同的（2）了解重要交易流程，并进行记录137二、了解与记录内部控制（三）了解内部控制的设计和执行36二、了解与记录内部控制（三）了解内部控制的设计和执行2.在业务流程层面了解内部控制例如：对于销售和收款交易，交易环节有：接受顾客订单→批准赊销信用→按销售单供货和装运货物→向顾客开具账单→记录销售→办理和记录现金、银行存款收入→办理和记录销货退回、折扣和折让→注销坏账→提取坏帐准备138二、了解与记录内部控制（三）了解内部控制的设计和执行37二、了解与记录内部控制（三）了解内部控制的设计和执行2.在业务流程层面了解内部控制（3）确定可能发生错报的环节接受顾客订单、批准赊销信用、办理和记录现金、记录销售（出纳记录应收款）、办理和记录现金、银行存款收入（销售人员经手货款）、办理和记录销货退回、折扣和折让、注销坏账、提取坏帐准备容易发生错报139二、了解与记录内部控制（三）了解内部控制的设计和执行38二、了解与记录内部控制（三）了解内部控制的设计和执行2.在业务流程层面了解内部控制（4）识别和了解相关控制在订立合同时，是否经办人经过授权批准，信用部门是否和销售部门相分离，销货退回、收款和销售记录是否相分离，折扣和折让、注销坏账是否经过批准140二、了解与记录内部控制（三）了解内部控制的设计和执行39二、了解与记录内部控制（三）了解内部控制的设计和执行2.在业务流程层面了解内部控制（5）执行穿行测试，证实对交易流程和相关控制的了解可通过查阅文件和询问的方式进行。对于复核人员，可询问对什么进行复核，复核的要点是什么，如果复核过程中发现了文件中的错误或其它差异，按规定他该怎么做。141二、了解与记录内部控制（三）了解内部控制的设计和执行40二、了解与记录内部控制（三）了解内部控制的设计和执行2.在业务流程层面了解内部控制（6）初步评价和风险评估评价应试图回答：控制本身的设计是否合理。控制是否得到执行。是否更多地信赖控制并拟实施控制测试。142二、了解与记录内部控制（三）了解内部控制的设计和执行41在重要业务流程层面对内部控制了解和评估的一般程序1.确定被审计单位的重要业务流程和影响重大账户的重要交易类别2.了解重要交易从发生到记入账目的整个流程3.与重大账户及其认定向结合，在重大交易整个流程中确定错报可能会在什么环节发生，即确定相应的控制目标4.根据确定的审计策略，对防止或发现并纠正重大错报的相关控制加以识别5.通过执行穿行测试，来证实相关内部控制是否执行6.对相关控制的设计和是否得到执行进行评价，以确定进一步审计程序143在重要业务流程层面对内部控制了解和评估的一般程序1.确定被审二、了解与记录内部控制（三）了解内部控制的设计和执行3.考虑内部控制的人工和自动化特征及其影响

内部控制可能既包括人工成分又包括自动化成分，在风险评估以及设计和实施进一步审计程序时，注册会计师应当考虑内部控制的人工和自动化特征及其影响。

144二、了解与记录内部控制（三）了解内部控制的设计和执行43信息技术对内部控制产生的特定风险（１）系统或程序未能正确处理数据，或处理了不正确的数据，或两种情况同时并存；在未得到授权情况下访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易；信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工；

145信息技术对内部控制产生的特定风险（１）系统或程序未能信息技术对内部控制产生的特定风险（２）未经授权改变主文档的数据；未经授权改变系统或程序；未能对系统或程序作出必要的修改；不恰当的人为干预；数据丢失的风险或不能访问所需要的数据。

146信息技术对内部控制产生的特定风险（２）未经授权改变主文人工控制产生的特定风险人工控制可能更容易被规避、忽视或凌驾；人工控制可能不具有一贯性；人工控制可能更容易产生简单错误或失误147人工控制产生的特定风险人工控制可能更容易被规避、忽视或凌人工控制可能是不适当的情况

存在大量或重复发生的交易；

事先可预见的错误能够通过自动化控制得以防范或发现；

控制活动可得到适当设计和自动化处理。148人工控制可能是不适当的情况

存在大量或重复发生的交易；

二、了解与记录内部控制（四）记录对内部控制的了解

文字叙述

调查表

流程图149二、了解与记录内部控制（四）记录对内部控制的了解48基本内容内部控制的概述了解与记录内部控制内部控制测试内部控制评价150基本内容内部控制的概述49三、内部控制测试（一）控制测试的内涵和要求（1）内涵：测试控制运行的有效性。（２）控制测试的要求在评估认定层次的重大错报风险时，预期控制的运行是有效的；仅实施实质性程序不足以提供认定层次充分、适当的审计证据。151三、内部控制测试（一）控制测试的内涵和要求50三、内部控制测试（一）控制测试的内涵和要求（3）测试控制有效运行的证据①控制在所审计期间的不同时点是如何运行的；

②控制是否得到一贯执行；

③控制由谁执行；

④控制以何种方式运行。(测试控制是否得到执行的证据是确定控制是否存在，控制是否得到使用）152三、内部控制测试（一）控制测试的内涵和要求51三、内部控制测试（二）控制测试的性质涵义：指控制测试所使用审计程序的类型及其组合。１．总体要求注册会计师认为控制运行的有效性越高，那么所获取的测试控制运行有效性的审计证据的可靠性就越高。当拟实施的进一步审计程序主要以控制测试为主，尤其是仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受的低水平时，注册会计师应当获取有关控制运行有效性的更高的保证水平。

153三、内部控制测试（二）控制测试的性质52三、内部控制测试（二）控制测试的性质２．选择控制测试程序的类型√询问、观察、检查、重新执行√穿行测试：通过追踪交易在财务报告信息系统中的处理过程，来证实注会对控制的了解。多种程序的结合运用（如询问和检查或重新执行结合使用通常能够比仅实施询问和观察获取更高的保证）

154三、内部控制测试（二）控制测试的性质53三、内部控制测试（三）控制测试的时间１．控制测试的时间包含两层含义：一是何时实施控制测试；二是测试所针对的控制适用的时点或期间；２．时点证据和期间证据如果仅需要测试控制在特定时点的运行有效性，注册会计师只需要获取该时点的审计证据。如果需要获取控制在某一期间有效运行的审计证据，仅获取与时点相关的审计证据是不充分的，应获取期间证据。155三、内部控制测试（三）控制测试的时间54三、内部控制测试（三）控制测试的时间３．考虑期中审计证据（1）获取这些控制在剩余期间变化情况的审计证据如果这些控制在剩余期间没有发生变化，注册