项目三控制测试与实质性程序

项目三控制测试与实质性程序一、内控的概念及目标（一）内控的概念内部控制，是指为了合理保证企业财务报告的可靠性、经营的效率和效果、资产的安全以及对法律法规的遵守，由企业治理层、管理层和全体员工设计和执行的政策和程序。☆内部控制属于管理范畴。它贯穿于企业经济活动的各个方面，只要存在经济活动和经营管理，企业就需要相应的内部控制。第一节内部控制治理层是指对被审计单位战略方向以及管理层履行经营管理责任负有监督责任的人员或组织，治理层的责任包括对财务报告过程的监督。治理层一般为董事会、监事会，有的涉及股东大会。管理层是指对被审计单位经营活动的执行负有管理责任的人员或组织，管理层负责编制财务报表，并受到治理层的监督。管理层一般是指企业的经理和其他高级管理人员。内控的具体目标含义账实核对资产、权益账实定期核对相符安全资产与记录的处理经过授权，保证其安全与完整授权所有活动都按照适当授权进行真实性所有记录入账的业务都是真实发生的完整性所有已发生的业务都全部记录入账计价发生的业务都按会计准则的要求采用适当的计价方法以正确的金额入账及时性已发生的业务都记录在恰当的会计期间过账和汇总已发生的业务都正确记录在有关明细账，并正确地汇总分类已发生的业务都计入正确的会计科目表达与披露发生的业务都按照会计准则、会计制度的要求在会计报表上表达、披露（二）内控的目标总目标，实现企业价值最大化具体目标2/4/2023二、内部控制的基本框架内部控制的要素4内部环境风险评估控制活动信息与沟通内部监督内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等内部环境设定了一个组织的基调，影响着员工的控制意识，营造着有利于内部控制有效运行的氛围，它是内部控制其他构成要素的基础2/4/2023富士康12连跳事件5

截至2010年5月27日，在深圳富士康公司的园区内，共计12名员工坠楼，其中10人死亡，2人身受重伤入院治疗，此外一人割脉自杀未遂。仅仅5月，连续坠楼及割脉者即达7人。“12跳”之后，富士康背上了“血汗工厂”的骂名，领导层在重重压力之下，不得不宣布上调薪酬。这一加薪行为，吞噬了富士康16年的利润，富士康面临着内忧外患。2/4/2023富士康12连跳事件（世界经理人网站调查结果）6二、内部控制的基本框架2/4/2023内部控制的要素7内部环境风险评估控制活动信息与沟通内部监督风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略风险分析通常包括估计风险的重要性，评估其发生的概率二、内部控制的基本框架2/4/2023风险定义与分类8风险类型涵义战略风险是指企业在战略的制订和实施上出现错误，或因未能随环境的改变而作出适当的调整，而导致经济上的损失财务风险指融资安排、会计核算与管理以及会计或财务报告失误而对企业造成的损失市场风险市场风险是指因市场价格等外界条件变化而使企业产生经济损失的风险营运风险指企业内部流程和信息系统、人为因素或外部事件而给企业造成的经济损失法律风险指企业因违反法律、法规或规定，或侵害其他利益相关者的权益，而导致企业遭受经济或声誉损失的风险二、内部控制的基本框架2/4/2023安永风险时空（E&YRiskUniverseTM）9二、内部控制的基本框架2/4/2023风险坐标图10二、内部控制的基本框架风险可能性的定性与定量分析定量方法一评分12345定量方法二概率10%以下10～30%30～70%70～90%90%以上定性方法文字描述一极低低中等高极高文字描述二一般情况下不会发生极少情况下发生某些情况下发生较多情况下发生常常会发生文字描述三今后10年内发生的可能性少于1次今后5～10年内可能发生1次今后2～5年内可能发生一次今后1年内可能会发生1次今后1年内至少发生1次二、内部控制的基本框架风险损失的定性与定量分析定量方法一评分12345定量方法二企业财务损失占税前利润的百分比1%以下1～5%5～10%10～20%20%以上定性方法文字描述极轻微的轻微的中等的重大的灾难性的二、内部控制的基本框架2/4/2023风险应对策略13风险规避风险降低风险分担风险承受企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略二、内部控制的基本框架2/4/2023案例：中信泰富巨亏14

2008年10月20日，中信泰富发出盈利预警，由于持有90亿澳元（西澳洲磁铁矿项目资本投资仅需16亿澳币）衍生品Accumulator（累计期权）而发生实际亏损8.07亿港元，账面浮亏147亿港元，合计155.07亿港元。荣智健之女、财务部主管荣明方由于牵涉其中而被调离财务部，并受到降职及减薪处罚。公告发布当天，中信泰富股价暴跌55%2009年3月25日，中信泰富公布2008年度业绩，净利润亏损126.62亿元，其中澳元外汇合约亏损146.32亿元2009年4月3日，董事局主席荣智健等人遭香港香港警方商业犯罪科调查；4月8日，荣智健辞职二、内部控制的基本框架2/4/2023案例：中信泰富巨亏15累计目标可赎回远期合约(Accumulatedtargetknock-outforwardcontracts，又被形象的称为IKillYouLater)的原理可近似看作中信泰富向对手方购买一个澳元兑美元的看涨期权以及卖出两个看跌期权，行权价格都是0.87。当澳元汇率高于0.87美元时，中信泰富以低于市场价的0.87每天买入1个单位（最低投资额为100万美元）外汇而获利（但获利有上限），但当汇率下降到0.87以下时，则中信泰富必须每天以0.87的高价买入2个单位外汇。这说明，中信泰富完全是在赌澳元继续升值，而澳元在2008年7月至10月间暴跌了近30%二、内部控制的基本框架2/4/2023案例：中信泰富巨亏16荣氏第一代荣熙泰留给子孙的遗训：“固守稳健、谨慎行事、绝不投机”荣毅仁赠予荣智健的二字箴言：“稳、忍”您认为悲剧的根源是什么？二、内部控制的基本框架2/4/2023内部控制的要素17内部环境风险评估控制活动信息与沟通内部监督

控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内

控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等二、内部控制的基本框架2/4/2023案例讨论请阅读案例资料二“我亲历的采购黑洞”，分析该单位采购业务内部控制存在哪些漏洞？18二、内部控制的基本框架案例：我亲身经历的采购黑洞2/4/202319当我知道自己要被调去搞采购时，我知道，该我发财了。要搞钱，几个因素必须齐备：首先是公司管理不严。其次是用料部门领导“懂不懂事”。没有不贪的猫，在金钱的诱惑下，设备科长和我一拍即合。再次，是要找到一个可靠的供货方。在我们公司，除作为固定资产的整机购买要总公司老总们批准外，一般的损耗配件购买，只需下面经手领导批就行了。因此，用料部门平时就“莽”起开条子去库管那儿领，领来当然没用，都存起了。工地上的事，管理部门啷个晓得呢？要领些啥子，领导间相互打个招呼就批了。还有就是“报废”特别多。一个上万元的配件，刚领走几天就“报废”了，接着就急急忙忙来领新的。看看存的料多了，用料部门就会打报告给公司。需要买些什么当然已经列得清清楚楚的了。随后接到公司采购任务通知的采购员，就把存下的料发到已联系好了的供货部门手里。案例：我亲身经历的采购黑洞（续）2/4/202320其间，供货方充当了一个洗钱的角色。我们对供货方要求是能提供齐全的合法手续。未买之前，我还会把供方的价格，所购配件数量等详细情况再传回去请老总批准。买后不能直接带回公司，要通过运输部门，以防万一清查时，好拿得出个凭证。购货款纳完税，扣除实际购货的金额，剩下的我们和供货方一般是七三分。去年八月，我在一个建筑机械配件门市买了10万元钱的液压配件，实际只花了500元钱买新货，其余配件都是自己从公司发出去的。一些配件被反复的“买来买去”，自己都认熟了。我们公司谁都知道效益差，说起你都不信，我一个月只拿不到2000元。但我做采购三年，买了一套价值七位数的别墅，老婆没工作、娃儿读的贵族学校。采购中这种“找钱”方式其实很普遍，像建筑行业、电力、铁路等不少行业的采购人员都在这样搞。

案例讨论：该单位采购业务内部控制存在哪些漏洞？2/4/202321

该公司采购业务存在的管理漏洞活动如下：（1）缺乏存货报废及处置的严格审批程序；（2）采购业务中职责分离不到位，执行采购者不应负责确定供应商，采购业务量大的企业，可考虑设立采购委员会，实施采购招标制；（3）采购货物缺乏严格的验收程序，如果有专人负责验收，不难发现多次采购的配件系同一产品的事实；（4）缺少有效的内部审计制度，如果内审部门能够对采购业务进行独立核查的话，仅仅通过分析程序就可以发现设备科采购量过大和设备报废率过高的事实；（5）“工地上的事，管理部门啷个晓得呢”说明该单位建筑施工缺乏现场控制2/4/2023参考答案22缺乏存货报废及处置的严格审批程序；采购业务中职责分离不到位，执行采购者不应负责确定供应商，采购业务量大的企业，可考虑设立采购委员会，实施采购招标制；采购货物缺乏严格的验收程序，如果有专人负责验收，不难发现多次采购的配件系同一产品的事实；缺少有效的内部审计制度，如果内审部门能够对采购业务进行独立核查的话，仅仅通过分析程序就可以发现设备科采购量过大和设备报废率过高的事实；“工地上的事，管理部门啷个晓得呢”说明该单位建筑施工缺乏现场控制2/4/2023内部控制的要素23内部环境风险评估控制活动信息与沟通内部监督

信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通二、内部控制的基本框架2/4/2023案例讨论24

观看PPT“十分钟的悲剧”，请您谈谈谁该为这场“悲剧”负主要责任二、内部控制的基本框架2/4/2023内部控制的要素25内部环境风险评估控制活动信息与沟通内部监督

内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进二、内部控制的基本框架二、内控的要素（五要素）

包括控制环境、风险评估过程、信息系统与沟通、控制活动和监督。控制环境√诚信和道德价值观念；√胜任能力；√治理层的参与程度；√管理层的理念和经营风格；√组织结构；√职权与责任分配；√人力资源政策与实务。风险评估过程√目标设定；√识别风险；√评估风险；√应对风险。

信息系统与沟通√信息的收集；√信息的处理；√信息的沟通；√信息技术的运用。控制活动√职责分离；√授权控制；√信息处理；√独立稽核；√实物控制；√业绩评价。

监督√日常监督；√专项监督；√纠正；√与外界沟通；√自我评价。¤企业尤其应对关键控制点实施监督控制三、内部控制的局限性执行人错误；串通舞弊；管理层凌驾于控制之上；成本限制；例外事项失控；修订跟不上变化。内部控制固有的局限性，使得控制风险始终大于0。因此，不论被审计单位内部控制多么健全、有效，审计人员都应进行实质性测试。第二节控制测试一、控制测试的含义和要求12（一）含义：是指用于评价内部控制在防止或发现并纠正认定层次重大错报方面的运行有效性审计程序。（二）要求：控制测试并非任何情况下都需要实施第二节控制测试二、测试目的评价控制风险1向被审单位提出改进建议2三、内部控制测试的内容1、了解内部控制的方法√询问被审计单位的有关人员；√观察特定控制的运行；√检查文件和报告。

2、了解并评价内部控制的主要内容在整体层面了解并评价内部控制在业务层面了解并评价内部控制（1）在整体层面了解并评价内部控制

√了解控制环境；

√了解风险管理；

√了解信息系统与沟通；

√了解控制活动；

√了解对控制的监督。目的：从整体层面评价被审计单位的内部控制设计是否合理，是否得到执行，识别的缺陷是否属于重大缺陷（发现了重大错报，而被审计单位内部控制没有发现；控制环境薄弱，存在舞弊迹象等）。（2）在业务层面了解并评价内部控制√确定被审计单位的重要业务流程和交易类别；√了解重要交易流程并记录；√确定可能发生错报的环节；√识别和了解相关控制并记录；√执行穿行测试。

目的：在业务层面角度评价内部控制√控制设计是否合理，是否得到执行；√控制设计是否无效或缺乏必要的控制。

3、记录内部控制

√文字表述

√调查表

√流程图

文字表述法某公司现金收支内部控制某公司收入现金，先由出纳审核有关凭证，并填写收款收据，收妥现金后，编制记账凭证，并登记现金日记账，而后将此凭证交给会计用于登记相关的账目。每日收到的现金于第二天由出纳送存银行。支出现金，先由出纳审核支出款项的原始凭证（一般为发票），然后填制付款记账凭证，并于款项付出后在原始凭证上加盖“付讫”的戳记。出纳根据付款记账凭证登记现金日记账，而后将记账凭证交会计登记相关账目。凭证上的复核印章一般先盖好，因此就不再复核。出纳每隔9天进行一次核对，如有差异，须报领导审批后处理。月终，由财务负责人进行盘点。

评价：该公司内部控制较差，尤其是由出纳填制收付款凭证又不经复核的做法，容易出现错弊。调查表法

会计系统控制调查表各车间（科室）各车间（科室）应调查项目内容是否不适合评述1．财会主管方面

（1）会计和财务方面的事项，是集中于总部处理，还是按分权原则，由各子公司分别处理，集中或分散程度如何？√

（2）财会主管是否能参加企业生产经营的重大决策？√

（3）财务主管对重大支出是否亲自核准？√

2．会计机构和人员方面

（1）财务会计机构是否独立？健全？√

（2）财务会计机构人员是否充足？√

（3）业务分工是否明确，并考虑批准、执行、和记录职能分开的内部牵制原则？√

流程图法原始赁证报销单费用账总账现金日记账审批审核付款外单位记账凭证各车间（科室）会计部门出纳部门负责人：

记账员：

审核员：

出纳员： 1、符合性测试的要求

符合性测试指审计人员在对被审计单位内部控制进行初评的基础上，为证实该控制是否在实际工作中得以贯彻执行，贯彻执行的实际效果是否符合设立该控制的初衷而进行的测试活动。

只有当因信赖内部控制而减少的实质性测试的工作量﹥符合性测试的工作量时，执行符合性测试才符合审计的成本效益原则，才是经济的。

四、内部控制（符合性）测试 2、符合性测试的方法询问实地观察检查重新执行

穿行测试与重新执行的区别

★穿行测试是CPA为了验证以前程序获取的有关内部控制信息而实行的程序。比如进一步了解销售和收款循环的内部控制情况，CPA会抽取几笔销售业务，检查这几笔业务在整个会计系统留下的有关原始凭证，从而能够掌握相关内部控制的设计以及执行情况，但这其中在通常情况下并不涉及对内部控制有效性的确定。

★重新执行是对内部控制程序重新过一遍，测试其是否得到有效执行，也就是说，不是检查已有的凭证或记录，而是会产生新的证据。比如CPA按照被审计单位相关内部控制制度的规定，重新编制银行存款余额调节表，来验证相应内部控制是否有效运行。

两者的区别如下：

（1）穿行测试主要是用在了解内部控制时使用，而重新执行主要是在控制测试程序中使用；

（2）重新执行是一项具体的审计程序，而穿行测试是多种审计程序的综合运用。

重新执行主要是确定内部控制运行的有效性，而穿行测试主要是了解内部控制的流转过程，并在这个流转过程的了解中来掌握相关内部控制的具体情况。 3、符合性测试的时间实务操作中符合性测试一般在期中的后期执行。（理论上应包括在整个被审计年度） 4、符合性测试的范围要求：对于内部控制制度较完善的环节，若予以信赖，方才进行符合性测试；对于风险较高的内部控制环节，如无法信赖，则不必进行符合性测试，而应直接进行实质性测试。

5、符合性测试的结论控制运行有效，可以信赖控制运行无效，不可信赖说明：控制测试不同于了解内部控制

控制测试与了解内部控制的区别控制测试与了解内部控制的区别看一看 一、实质性程序的含义和要求1、实质性程序的含义CPA针对评估的重大错报风险实施的直接用以发现认定层次重大错报的审计程序。2、实质性程序的要求（1）将财务报表与其所依据的会计记录核对；（2）检查财务报表编制过程中做出的重大会计和其他会计调整。第三节实质性程序 二、实质性程序的性质

内容：细节测试和实质性分析程序。√细节测试：对各类交易、账户余额及列报的具体细节进行测试，以直接识别财务报表认定是否存在重大错报。√实质性分析程序：通过研究数据间关系来评价财务信息，用以识别有关的认定是否存在重大错报。 三、实质性程序的时间期末测试期中测试考虑以前审计获取的证据

四、实质性程序的范围CPA评估的认定层次的重大错报风险越高，需要实施实质性程序的范围越广。如果对控制测试结果不满意，CPA应当考虑扩大实质性程序的范围。五、控制测试对实质性程序的影响控制测试运行有效，只需从实质性程序获取较低程度的保证；控制测试未有效运行，则需从实质性程序获取较高程度的保证。说明，CPA可以考虑对同一交易同时实施控制测试和细节测试，以实现双重目的。评价内部控制强弱评价控制风险控制风险水平低信赖程度高信赖程度较多实质性测试有限实质性测试高低[资料]大中华剧院的出纳员在剧院专设的售票室负责售票，收款工作，每日各场次所出售的戏票，电影票均事先连续编号。顾客一手交钱，出纳员一手交票。顾客买票后须将入场券交给收票员才能进入剧院，收票员将入场券撕成两半，正券交还给顾客，副券则投入加锁的票箱中。[要求]1.请问本例中在现金收入方面采取了哪些内部控制措施？2.假设售票员与收票员串通窃取现金收入，他们将采取哪些行动？3.对串通舞弊行为，采取何种措施可以揭发？4.剧院经理可采取哪些手段使其现金内部控制达到最佳的效果？课后练习：1.采取的内部控制措施为：（1）入场券连续编号；（2）售票与收票分两负责；（3）入场时收票员将票一撕两半，各执一半；（4）票据加锁。2.收票员收票时不撕票而将全票交与售票员重新出售；收票员直接收银，而让交钱者进场。3.观察售票员手中有无散票、旧票；突击抽查观众是否无票或持旧票入场。4.严格控制未用入场券，记