人大审计第七章

第七章内部控制系统及其评审第一节内部控制系统第二节内部控制的描述第三节内部控制的评审第一节内部控制系统一、内部控制的历史演变(一)内部牵制时期(20世纪40年代以前)(二)内部控制时期(20世纪40年代末到50年代)(三)管理控制和会计控制时期(20世纪50年代末到70年代)(四)内部控制结构时期(20世纪80年代至90年代)：三要素(五)内部控制整体框架时期(20世纪90年代至21世纪)：五要素(六)内部控制整合框架时期(21世纪至今)：八要素⁩2004年4月，新的COSO框架理论提出了内部控制的八要素，即：内部环境、目标设定、事项识别、风险评估、风险反映、控制活动、信息与沟通、监控。COSOCOSO①（CommitteeofSponsoringOrganizationoftheTreadwayCommission，简称COSO）发布的内部控制框架COSO是美国五个职业团体1985年联合发起设立一个民间组织，当时成立的主要动机是资助“财务报告舞弊研究全国委员会”。“财务报告舞弊研究全国委员会”负责研究导致财务报告舞弊的因素并对公众公司、会计师事务所、征监会及其他监督机构挺出建议。该委员会的首任主席由JamesS.Treadway担任，因此又披称为“Treadway委员会”。这五个职业团体是美国会计学会、美国注册会计师协会、财务总监协会、内部审计师协会和管理会计师协会。现在COSO致力于通过倡导良好的企业道德和有效的内部控制和公司治理改进财务报告的质量。二、内部控制系统的种类（一）按要素分：控制环境、风险评估、控制活动、信息与沟通、监控-----我国采用五要素说（二）按工作范围分：管理与会计（三）按建立的目的分：保护财产物资、保证会计资料可靠和正确、保证经济活动合法效益。（四）按控制方式：预防性与察觉性内控三、内部控制的内容（一）合规、合法性控制（二）授权、分权控制（三）不相容职务控制（四）业务程序标准化控制（五）复查核对控制（六）人员素质控制第二节内部控制的描述一、文字说明法：含义、优缺点、实例（一）含义：审计人员对被审计单位内部控制健全程度和执行情况的文字叙述。（二）优缺点优点是比较灵活，能够对调查对象做出比较深入和具体的描述，不受任何限制。缺点是有时很难用简明易懂的语言来详细说明各个细节，不便于抓住重点，不便于清楚地表达复杂业务的内部控制。适用：内控不甚健全、控制较简单和较易描述的小企业。（三）实例

企业产成品收发环节内部控制制度产成品仓库由王老五师傅负责。产成品入库时，仓库会同质量检验处根据生产车间的入库单的数量、等级验收产成品，并由仓库填写产成品验收入库单。验收入库单一式三联：第一联由仓库留存登记产成品卡片；第二联交销售处登记产成品明细账；第三联连同生产车间的入库单交会计登记总账。各销售产成品部门均由专人负责签发出库单。产成品发出时，由销售部门填制出库单，凭一式三联的出库单向仓库要求发出产成品，仓库发出产成品后，将第一联出库单留存登记产成品卡片，第二联交销售处登记产成品明细账，第三联交会计登记产成品总账和明细账。产成品的收发采用永续盘存制记录，按计划成本计价。销售处每月编制产成品收发存月报，并报送会计处。登记产成品明细账的会计人员王红根据销售处送来的收发存月报，与产成品明细账核对，并编制产成品收发汇总表。黄明同志根据产成品明细账登记总账，并据以结转成品销售成本。发出和库存产成品的成本差异按月进行调整。评价：产成品收发的内部控制系统不够健全。出库单的传递不尽合理。据以登记产成品总账和明细账的都是出库单第三联，无法起到总账对明细账的驾驭作用。产成品总账和明细账都是由黄明同志登记，不相容职务未进行分离。以上两点，说明产成品收发的内部控制系统存在着明显的弱点。审计员：张迪2001年12月21日二、调查表法（一）含义：是将那些与保证财务报告可靠性有关的控制事项列为调查对象，由审计人员设计成标准化的调查表，并利用表格形式，通过征询来了解内部控制的强弱程度。调查表一般采用问答式，回答基本上由“是”、“否”或“不适用”三个栏目组成，列表后请有关人员打“√”，以显示某项控制措施是否存在，其强弱程度一目了然。（二）优缺点优点是：简便易行；能对调查对象提供一个概括的说明；省时省力，可操作性强；“否”栏能引起重视。缺点是：只能按所提问题分别考查，容易把各业务的内部控制孤立看待；缺乏弹性，不适用于一些特殊的情况；此外，调查人员机械地照表提问，往往会使被调查人员漫不经心，易流于形式，失去调查表的意义。

（三）实例库存现金内部控制调查表被审计单位名称：瑞达股份有限公司索引号：页次：被审计期间：2004年度编制人：张大辉日期：2004年9月5日复核人：陈军日期：2004年9月8日问

题回

答备注是否不适用1.出纳与会计岗位是否分离2.现金收支是否有合法凭证3.全部收入是否及时入账4.支出是否都有合法手续5.收入的现金是否当日及时送存银行6.现金收支是否日清月结，账实是否每日核对7.出纳收取现金后是否随即编制记账凭证8.有否以白条冲抵现金9.是否有现金坐支现象√√√√

√

√√

√

√

三、流程图法（一）含义：流程图法是指用特定的符号和图形来描述某项业务的整个处理过程，将凭证和记录的产生、传递、检查、保存及其相互关系，用图解的形式直观地表示出来的方法。(1)纵向流程图。(2)横向流程图。（二）优缺点优点是：能从整体的角度，以简明的形式描述内部控制的实际情况，便于较快地检查出内部控制逻辑上的薄弱环节，也便于评审；便于修改。缺点是：编制流程图需要具备较为娴熟的技术和较为丰富的工作经验，费时费力；而且，流程图法不能将内部控制中的控制弱点明显地标示出来，故评价时，往往需要与调查表法、文字说明法相结合。（三）实例第三节内部控制的评审内部控制的含义内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计与执行的政策及程序。可以从以下几方面理解内部控制：1．内部控制的目标是合理保证；（低于绝对保证）2．设计和实施内部控制的责任主体是治理层、管理层和其他人员，组织中的每一个人都对内部控制负有责任。3．实现内部控制目标的手段是设计和执行控制政策和程序。注册会计师管理层治理层财务报表双向沟通双向沟通双向沟通聘任审计任免监督监督批准编制一、与审计相关的内部控制内部控制包括下列要素：（1）控制环境；（2）风险评估过程；（3）信息系统与沟通；（4）控制活动。（5）对控制的监督。注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。（一）为实现财务报告可靠性目标设计和实施的控制（二）其他与审计相关的控制二、对内部控制的深入了解对内部控制了解的深度，是指在了解被审计单位及其环境时对内部控制了解的程度。包括评价控制的设计，并确定其是否得到执行，但不包括对控制是否得到一贯执行的测试。（一）获取控制设计和执行的审计证据注册会计师通常实施下列风险评估程序，以获取有关控制设计和执行的审计证据：（1）询问被审计单位的人员；（2）观察特定控制的运用；（3）检查文件和报告；（4）追踪交易在财务报告信息系统中的处理过程（穿行测试）。了解内部控制与测试控制运行有效性的关系除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解并不能够代替对控制运行有效性的测试。一般来说，了解是测试的前提。（二）内部控制的人工和自动化成分1、信息技术的优势及相关内部控制风险优势：信息技术通常在下列方面提高被审计单位内部控制的效率和效果：（1）在处理大量的交易或数据时，一贯运用事先确定的业务规则，并进行复杂运算；（2）提高信息的及时性、可获得性及准确性；（3）有助于对信息的深入分析；（4）加强对被审计单位政策和程序执行情况的监督；（5）降低控制被规避的风险；（6）通过对操作系统、应用程序系统和数据库系统实施安全控制，提高不相容职务分离的有效性。不足：信息技术也可能对内部控制产生特定风险。注册会计师应当从下列方面了解信息技术对内部控制产生的特定风险：（1）系统或程序未能正确处理数据，或处理了不正确的数据，或两种情况同时并存；（2）在未得到授权情况下访问数据,可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易；（3）信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工；（4）未经授权改变主文档的数据；（5）未经授权改变系统或程序；（6）未能对系统或程序作出必要的修改；（7）不恰当的人为干预；（8）数据丢失的风险或不能访问所需要的数据。2、人工控制的适用范围及相关内部控制风险优势：内部控制的人工成分在处理下列需要主观判断或酌情处理的情形时可能更为适当：（1）存在大额、异常或偶发的交易；（2）存在难以定义、防范或预见的错误；（3）为应对情况的变化，需要对现有的自动化控制进行调整；（4）监督自动化控制的有效性。不足：人工控制由人执行，受人为因素的影响，应当从下列方面了解人工控制产生的特定风险:(1)人工控制可能更容易被规避、忽视或凌驾;(2)人工控制可能不具有一贯性;(3)人工控制可能更容易产生简单错误或失误。相对于自动控制，人工控制的可靠性较差。为此，本准则第六十二条指出，注册会计师应当考虑人工控制在下列情形中可能是不适当的：（1）存在大量或重复发生的交易；（2）事先可预见的错误能够通过自动化控制得以防范或发现；（3）控制活动可得到适当设计和自动化处理。（三）内部控制的局限性1．在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。2．可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。

此外，如果被审计单位内部行使控制职能的人员素质不适应岗位要求，也会影响内部控制功能的正常发挥。2008：内部控制无论如何设计和执行只能对财务报告的可行性提供合理保证，其原因是（）。

A.建立和维护内部控制是丙公司管理层的职责

B.内部控制的成本不应超过预期带来的收益

C.在决策时人为判断可能出现错误

D.对资产和记录采取适当的安全保护措施是丙公司管理层应当履行的经管责任参考答案：C

答案解析：内部控制存在固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证。内部控制存在的固有局限性包括：（1）在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。（2）可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。五、内部控制的局限性。三、内部控制的评审（一）控制环境1、含义：控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。良好的控制环境是实施有效内部控制的基础。

2、应主要考虑以下几个方面：控制环境要素

（1）对诚信和道德价值观念的沟通与落实（2）对胜任能力的重视（3）治理层的参与程度（4）管理层的理念和经营风格（5）组织结构及职权与责任的分配（6）人力资源政策与实务控制环境对重大错报风险的评估具有广泛影响，注册会计师应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的基础，并且未被控制环境中存在的缺陷所削弱。控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报，注册会计师在评估重大错报风险时，应当将控制环境连同其他内部控制要素产生的影响一并考虑。在小型被审计单位，可能无法获取以文件形式存在的有关控制环境要素的审计证据。例如，小型被审计单位可能没有书面的行为守则，管理层对道德价值和专业胜任能力的推崇，通常是通过管理层在经营管理过程中展示的行为和态度得到体现。审计人员应当重点了解管理层对内部控制设计的态度、认识和措施。2008：在了解控制环境时，C注册会计师通常考虑的因素是（）。

A.内部控制的人工成分

B.内部控制的自动化成分

C.丙公司董事会对内部控制重要性的态度和认识

D.会计信息系统参考答案：C

答案解析：控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。参考教材六（一）的内容。（二）被审计单位的风险评估过程1、含义：风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。很多风险并不为经济组织所控制，但管理层应当确定可以承受的风险水平，识别这些风险并采取一定的应对措施。可能产生风险的事项和情形包括：（1）监管及经营环境的变化。监管和经营环境的变化会导致竞争压力的变化以及重大的相关风险。（2）新员工的加入。新员工可能对内部控制有不同的认识和关注点。（3）新信息系统的使用或对原系统进行升级。信息系统的重大变化会改变与内部控制相关的风险。（4）业务快速发展。快速的业务扩张可能会使内部控制难以应对，从而增加内部控制失效的可能性。（5）新技术。将新技术运用于生产过程和信息系统可能改变与内部控制相关的风险。（6）新生产型号、产品和业务活动。进入新的业务领域和发生新的交易可能带来新的与内部控制相关的风险。（7）企业重组。重组可能带来裁员以及管理职责的重新划分，将影响与内部控制相关的风险。（8）发展海外经营。海外扩张或收购会带来新的并且往往是特别的风险，进而可能影响内部控制，如外币交易的风险。（9）新的会计准则。采用新的或变化了的会计准则可能会增大财务报告发生重大错报的风险。2、对风险评估过程的了解在评价被审计单位风险评估过程的设计和执行时，注册会计师应当确定管理层如何识别与财务报告相关的经营风险，如何估计该风险的重要性，如何评估风险发生的可能性，以及如何采取措施管理这些风险。注册会计师应当询问管理层识别出的经营风险，并考虑这些风险是否可能导致重大错报。

如果识别出管理层未能识别的重大错报风险，注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险，以及评估过程是否适合于具体环境。

3、对小型被审计单位的考虑在小型被审计单位，管理层可能没有正式的风险评估过程。注册会计师应当与管理层讨论其如何识别经营风险以及如何应对这些风险。

（三）信息系统与沟通1、与财务报告相关的信息系统（1）含义与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。交易可能通过人工或自动化程序生成。（2）与财务报告相关的信息系统通常包括下列职能：（1）识别与记录所有的有效交易；（2）及时、详细地描述交易，以便在财务报告中对交易作出恰当分类；（3）恰当计量交易，以便在财务报告中对交易的金额作出准确记录；（4）恰当确定交易生成的会计期间；（5）在财务报表中恰当列报交易。

（3）应当从下列方面了解与财务报告相关的信息系统：（1）在被审计单位经营过程中，对财务报表具有重大影响的各类交易。（2）在信息技术和人工系统中，交易生成、记录、处理和报告的程序。（3）与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目。（4）信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况，（5）被审计单位编制财务报告的过程，包括作出的重大会计估计和披露。（6）管理层凌驾于账户记录控制之上的风险2、与财务报告相关的沟通(1)、含义与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责、员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。(2)对与财务报告相关的沟通的了解注册会计师应当了解被审计单位内部如何对财务报告的岗位职责，以及与财务报告相关的重大事项进行沟通。注册会计师还应当了解管理层与治理层（特别是审计委员会）之间的沟通，以及被审计单位与外部（包括与监管部门）的沟通。(3)对小型被审计单位的考虑在小型被审计单位，与财务报告相关的信息系统和沟通可能不如大型被审计单位正式和复杂。但小型被审计单位可能比大型被审计单位更容易实现有效的沟通。注册会计师应当考虑这种特征对评估重大错报风险的影响。（四）控制活动1、含义控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。（1）授权。注册会计师应当了解与授权有关的控制活动，包括一般授权和特别授权。（2）业绩评价。注册会计师应当了解被审计单位分析评价实际业绩与预算的差异，对发现的异常采取必要的调查与纠正措施。（3）信息处理。注册会计师应当了解与信息处理有关的控制活动，包括信息技术的一般控制和应用控制。（4）实物控制。注册会计师应当了解实物控制，主要包括了解对资产和记录采取适当的安全保护措施，对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对。（5）职责分离。注册会计师应当了解职责分离，主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。当信息技术运用于信息系统时，职责分离可以通过设置安全控制来实现。2、对控制活动的了解在了解控制活动时，注册会计师应当重点考虑一项控制活动单独或连同其他控制活动，是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。注册会计师的工作重点是识别和了解针对重大错报可能发生的领域的控制活动。如果多项控制活动能够实现同一目标，注册会计师不必了解与该目标相关的每项控制活动。3、对小型被审计单位的考虑小型被审计单位通常难以实施适当的职责分离，注册会计师应当考虑小型被审计单位采取的控制活动（特别是职责分离）能否有效实现控制目标。

（五）对控制的监督1、含义对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。通常，被审计单位通过持续的监督活动、专门的评价活动或两者相结合，来实现对控制的监督。

2、了解对内部控制的监督（1）持续的监督活动通常贯穿于被审计单位的日常经营活动与常规管理工作中。（2）被审计单位可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价。（3）被审计单位也可能利用与外部有关各方沟通或交流所获取的信息监督相关的控制活动。3、对小型被审计单位的考虑小型被审计单位通常没有正式的持续监督活动，且持续的监督活动与日常管理工作难以明确区分，注册会计师应当考虑业主对经营活动的密切参与能否有效实现其对控制的监督目标。

需要指出的是：内部控制的某些要素（如控制环境）更多地对被审计单位整体层面产生影响，而其他要素（如信息系统和沟通、控制活动）则可能更多地与特定业务流程相关。在实务中，注册会计师往往从被审计单位整体层面和业务流程层面分别了解和评价被审计单位的内部控制。四、控制测试控制测试指的是测试控制运行的有效性，这一概念需要与“了解内部控制”进行区分。“了解内部控制”包含两层含义：一是评价控制的设计；二是确定控制是否得到执行。测试控制运行的有效性与确定控制是否得到执行所需获取的审计证据是不同的。（一）控制测试的要求1、测试情形：作为进一步审计程序的类型之一，控制测试并非在任何情况下都需要实施。当存在下列情形之一时，注册会计师应当实施控制测试：（l）在评估认定层次重大错报风险时，预期控制的运行是有效的；（2）仅实施实质性程序不足以提供认定层次充分、适当的审计证据。2、注册会计师应当从下列方面获取关于控制是否有效运行的审计证据：（1）控制在所审计期间的不同时点是如何运行的；（2）控制是否得到一贯执行；（3）控制由谁执行；（4）控制以何种方式运行（如人工控制或自动化控制）。此外需要说明的是：被审计单位在所审计期间内可能由于技术更新或组织管理变更而更换了信息系统，从而导致在不同时期使用了不同的控制。如果被审计单位在所审计期间内的不同时期使用了不同的控制，注册会计师应当考虑不同时期控制运行的有效性。（二）控制测试的性质1.控制测试的性质的含义控制测试的性质是指控制测试所使用的审计程序的类型及其组合。虽然控制测试与了解内部控制的目的不同，但两者采用审计程序的类型通常相同，包括询问、观察、检查和穿行测试。此外，控制测试的程序还包括重新执行。（1）询问。注册会计师可以向被审计单位适当员工询问，获取与内部控制运行情况相关的信息。例如，询问信息系统管理人员有无未经授权接触计算机硬件和软件，向负责复核银行存款余额调节表的人员询问如何进行复核。（2）观察。观察是测试不留下书面记录的控制（如职责分离）的运行情况的有效方法。例如，观察存货盘点控制的执行情况。观察也可运用于实物控制。但是，注册会计师还要考虑其所观察到的控制在注册会计师不在场时可能未被执行的情况。

（3）检查。对运行情况留有书面证据的控制，检查非常适用。书面说明、复核时留下的记号，或其他记录在偏差报告中的标志都可以被当作控制运行情况的证据。例如，检查销售发票是否有复核人员签字，检查销售发票是否附有客户订购单和出库单等。（4）重新执行。通常只有当询问、观察和检查程序结合在一起仍无法获得充分的证据时，注册会计师才考虑通过重新执行来证实控制是否有效运行。（5）穿行测试：除了上述四类控制测试常用的审计程序以外，实施穿行测试也是一种重要的审计程序。值得注意的是，穿行测试不是单独的一种程序，而是将多种程序按特定审计需要进行结合运用的方法。穿行测试是通过追踪交易在财务报告信息系统中的处理过程，来证实注册会计师对控制的了解、评价控制设计的有效性以及确定控制是否得到执行。可见，穿行测试更多地在了解内部控制时运用。穿行测试：如审计人员从购货业务中抽取不同时点若干笔购货业务，按“请购——订货——验收——入库——核票——付款——登账”的顺序，对购货业务流程的每一个环节进行详查，以证实购货与付款业务的内部控制在各环节的实际有效性。注意询问本身并不足以测试控制运行的有效性，注册会计师应将询问与其他审计程序结合使用，以获取有关控制运行有效性的审计证据。观察提供的证据仅限于观察发生的时点，本身也不足以测试控制运行的有效性；将询问与检查或重新执行结合使用，通常能够比仅实施询问和观察获取更高的保证。例如，被审计单位针对处理收到的邮政汇款单设计和执行了相关的内部控制，注册会计师通过询问和观察程序往往不足以测试此类控制的运行有效性，还需要检查能够证明此类控制在所审计期间的其他时段有效运行的文件和凭证，以获取充分、适当的审计证据。2009：.A注册会主师实施的下列控制测试程序中,通常能获取最可靠审计证据的是()

A.询问

B.检查控制执行留下的书面证据

C.观察

D.重新执行【答案】D

【解析】重新执行会获取更可靠的证据，但是其效率较低，通常只有当询问、观察和检查程序结合在一起仍无法获得充分的证据时，注册会计师才考虑通过重新执行来证实控制是否有效运行。2、考虑特定控制的性质。注册会计师应当根据特定控制的性质选择所需要实施审计程序的类型。例如，某些控制可能存在反映控制运行有效性的文件记录，在这种情况下，注册会计师可以检查这些文件记录以获取控制运行有效的审计证据；某些控制可能不存在文件记录（如一项自动化的控制活动），或文件记录与能否证实控制运行有效性不相关，注册会计师应当考虑实施检查以外的其他审计程序（如询问和观察）或借助计算机辅助审计技术，以获取相关控制运行有效性的审计证据。3、考虑测试与认定直接相关和间接相关的控制。在设计控制测试时，注册会计师不仅应当考虑与认定直接相关的控制，还应当考虑这些控制所依赖的与认定间接相关的控制，以获取支持控制运行有效性的审计证据。例如，被审计单位可能针对超出信用额度的例外赊销交易设置报告和审核制度（与认定直接相关的控制）；在测试该项制度的运行有效性时，注册会计师不仅应当考虑审核的有效性，还应当考虑与例外赊销报告中信息准确性有关的控制（与认定间接相关的控制）是否有效运行。4、实施控制测试时对双重目的的实现

控制测试的目的是评价控制是否有效运行；细节测试的目的是发现认定层次的重大错报。尽管两者目的不同，但注册会计师可以考虑针对同一交易同时实施控制测试和细节测试，以实现双重目的。例如，注册会计师通过检查某笔交易的发票可以确定其是否经过适当的授权，也可以获取关于该交易的金额、发生时间等细节证据。当然，如果拟实施双重目的测试，注册会计师应当仔细设计和评价测试程序。

5、实施实质性程序的结果对控制测试结果的影响（1）如果通过实施实质性程序未发现某项认定存在错报，这本身并不能说明与该认定有关的控制是有效运行的；（2）如果通过实施实质性程序发现某项认定存在错报，注册会计师应当在评价相关控制的运行有效性时予以考虑。（三）控制测试的时间1、测试的时间的含义如前所述，控制测试的时间包含两层含义：一是何时实施控制测试；二是测试所针对的控制适用的时点或期间。2、如何考虑期中审计证据对于控制测试，注册会计师在期中实施此类程序具有更积极的作用。但需要说明的是，即使注册会计师已获取有关控制在期中运行有效性的审计证据，仍然需要考虑如何能够将控制在期中运行有效性的审计证据合理延伸至期末，一个基本的考虑是针对期中至期末这段剩余期间获取充分、适当的审计证据。注册会计师应当实施下列审计程序：（1）获取这些控制在剩余期间变化情况的审计证据；（2）确定针对剩余期间还需获取的补充审计证据。期中：可以指所审计期间内，资产负债表日以前的任何时点。

3、如何考虑以前审计获取的审计证据需要格外慎重，充分考虑各种因素，本准则也规定了很多限制条件。（1）基本思路：考虑拟信赖的以前审计中测试的控制在本期是否发生变化（2）当控制在本期发生变化时注册会计师的做法应当考虑以前审计获取的有关控制运行有效性的审计证据是否与本期审计相关。相关的，应当在本期审计中测试这些控制的运行有效性。（3）当控制在本期未发生变化时注册会计师的做法如果拟信赖的控制自上次测试后未发生变化，且不属于旨在减轻特别风险的控制，注册会计师应当运用职业判断确定是否在本期审计中测试其运行有效性，以及本次测试与上次测试的时间间隔，但两次测试的时间间隔不得超过两年。4.不得依赖以前审计所获取证据的情形鉴于特别风险（教材129页）的特殊性，对于旨在减轻特别风险的控制，不论该控制在本期是否发生变化，注册会计师都不应依赖以前审计获取的证据。开始该控制是否针对特别风险该控制在最近两年是否被测试过在本年度测试该控制考虑是否在本年度测试该控制：£©控制是否有变化£©显示需要测试的因素，如复杂的人工控制£©为满足每年测试一部分控制的要求而测试否是否是图14－1本审计期间测试某项控制的决策图（四）控制测试的范围对于控制测试的范围，其含义主要是指某项控制活动的测试次数。（抄写）1、确定控制测试范围的一般考虑因素

（1）在整个拟信赖的期间，被审计单位执行控制的频率。（2）在所审计期间，注册会计师拟信赖控制运行有效性的时间长度。

（3）为证实控制能够防止或发现并纠正认定层次重大错报，所需获取审计证据的相关性和可靠性。（4）通过测试与认定相关的其他控制获取的审计证据的范围。（5）在风险评估时拟信赖控制运行有效性的程度。（6）控制的预期偏差。（1）（2）（3）（5）（6）：正向（4）：反向2、对自动化控制的测试范围的特别考虑除非系统（包括系统使用的表格、文档或其他永久性数据）发生变动，注册会计师通常不需要增加自动化控制的测试范围。但需要考虑执行下列测试以确定该控制持续有效运行：（l）测试与该应用控制有关的一般控制的运行有效性；（2）确定系统是否发生变动，如果发生变动，是否存在适当的系统变动控制；（3）确定对交易的处理是否使用授权批准的软件版本。信息技术一般性控制信息技术应用控制概念信息系统一般性控制是指为了保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施，信息技术一般控制通常会对实现部分或全部财务报告认定做出间接贡献。信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通常包括检查数据计算准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。包括内容包括程序开发、程序变更、程序和数据访问以及系统运行等四个方面信息技术应用控制一般要经过输入、处理及输出等环节要点由于程序变更控制、计算机操作控制及程序数据访问控制影响到系统驱动组件的持续有效运行，注册会计师需要对上述三个领域实施控制测试。自动系统控制同手工控制一样，关注信息处理目标的四个要素：完整性、准确性、经过授权和访问限制。关系1.

应用控制是设计在计算机应用系统中的、有助于达到信息处理目标的控制。2.如果带有关键的编辑检查功能的应用系统所依赖的计算机环境发现了信息技术一般控制的缺陷，注册会计师可能就不能信赖上述编辑检查功能按设计发挥作用。信息技术一般与应用内部控制2005年CPA试题B股份有限公司（以下简称B公司）主要经营中小型机电类产品的生产和销售，产品销售以B公司仓库为交货地点。B公司目前主要采用手工会计系统。ABC会计师事务所接受委托审计B公司2004年度会计报表，C和D注册会计师负责于2004年10月25日至11月10日对B公司的购货与付款循环、生产循环、销售与收款循环的内部控制进行了解、测试与评价。要求：（1）针对资料一第（1）至第（12）项，假定不考虑其他条件，请逐项判断B公司上述已经存在的内部控制程序在设计上是否存在缺陷。如果存在缺陷，请分别予以指出，并简要说明理由，提出改进建议。

资料一：通过对B公司内部控制的了解C和D注册会计师在审计工作底稿中记录了所了解的和购货与付款循环、生产循环、销售与收款循环相关的内部控制程序，部分内容摘录如下：（1）对需要购买的已经列入存货清单的基础上由仓库负责填写请购单，对未列入存货清单的基础上由相关需求部门填写请购单。每张请购单须由对该类采购支出预算负责的主管人员签字批准。

（2）采购部收到经批准的请购单后，由其职员E进行询价并确定供应商，再由其职员F负责编制和发出预先连续编号的订购单。订购单一式四联，经被授权的采购人员签字后，分别送交供应商、负责验收的部门、提交请购单的部门和负责采购业务结算的应付凭单部门。（3）验收部门根据订购单上的要求对所采购的材料进行验收，完成验收后，将原材料交由仓库人员存入库房，并编制预先连续编号的验收单交仓库人员签字确认。验收单一式三联，其中两联分送应付凭单部门和仓库，一联留存验收部门。

（4）应付凭单部门核对供应商发票、验收单和订购单，并编制预先连续编号的付款凭单。在付款凭单经被授权人员批准后，应付凭单部门将付款凭单连同供应商发票及时送交会计部门，并将未付款凭单副联保存在未付款凭单档案中。会计部门收到附供应商发票的付款凭单后即应及时编制有关的记账凭证，并登记原材料和应付账款账簿。（5）应付凭单部门负责确定尚未付款凭单在到期日付款，并将留存的未付款凭单及其附件根据授权审批权限送交审批人审批。审批人审批后，将未付款凭单连同附件交复核人复核，然后交财务出纳人员J。出纳人员J据此办理支付手续，登记现金和银行存款日记账，并在每月末编制银行存款余额调节表，交会计主管审核。

（6）生产部门收到生产计划部门签发的预先连续编号的生产通知单后，向仓库提交经批准的预先连续编号的一式三联领料单。仓库发出原材料后，将其中两联领料单分送领料部门和会计部门，一联留存仓库。生产部门完工的产成品经过检验员验收后交仓库查点入库。仓库人员编制预先连续编号的一式三联产成品入库单，其中两联及时分送生产部门和会计部门，一联留存仓库。（7）会计部门的成本会计K根据收到的生产通知单、领料单、工时记录和产成品入库单等资料，在月末编制材料费用、人工费用和制造费用分配表，以及完工产品与在产品成本分配表，经本