第10章 内部控制及其评审

1、,第九章 内部控制及其评审,14.09.2020,.,2,【学习要点及目标】 通过本章的学习，使学生理解内部控制的含义、作用及其与审计的关系；掌握内部控制整体框架的内容；内部控制评审的内容、步骤及方法；了解管理建议书的概念、结构和内容。,14.09.2020,.,3,第一节 内部控制概述 第二节 内部控制整体框架的内容 第三节 财务报告内部控制 第四节 内部控制的描述及评估 第五节 内部控制审计,主要内容,14.09.2020,.,4,第一节 内部控制概述,内部控制的含义 内部控制的作用 内部控制的分类 内部控制的局限性 内部控制与现代审计的关系,14.09.2020,.,5,一、内部控制的含

2、义,（一）内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循，由治理层、管理层和其他人员设计和执行的政策和程序。,（二）内部控制系统 是指一个单位的董事会、监事会、经理层，为了实现其战略发展目标，合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循，制定的控制方法、措施、程序的总称。,14.09.2020,.,6,二、内部控制的作用,1.保护财产物资的安全、完整和有效使用 2.保证国家的各项方针政策与经济法规的贯彻落实 3.保证会计资料及其它财务信息的质量 4.保证企业经营目标的实现 5.为现代审计方法提供必要的基础 6.有效的防范企业经营风险。

3、,14.09.2020,.,7,三、内部控制的分类,（一）按控制功能的不同 内部控制可以分为预防性控制、察觉性控制,（二）按控制的目的不同 内部控制可以分为财产物资控制、会计信息控制和经营活动控制,（三）按控制时间不同 内部控制可以分为事前控制、事中控制和事后控制,14.09.2020,.,8,四、内部控制的局限性,在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。 可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被回避，内部控制一般仅针对常规业务活动而设计。 如果执行人素质不适应岗位要求，也会影响内部控制功能的正常发挥 内部控制都是针对日常业务设置的，对非日常业务可能

4、不适用,14.09.2020,.,9,五、内部控制与现代审计的关系,1.审计人员在执行会计报表审计业务时，不论被审计单位规模大小，都应当对相关的内部控制进行充分的了解。 2.审计人员应根据其对被审计单位内部控制的了解，确定是否进行内部控制测试以及将要执行的控制测试的性质、时间和范围。 3.对被审计单位内部控制的了解和控制测试，并非会计报表审计工作的全部内容。,14.09.2020,.,10,第二节 内部控制整体框架的内容,一、内部控制思想的历史演进 二、内部控制整体框架 三、内部控制的内容,14.09.2020,.,11,一、内部控制思想的历史演进,内部牵制：实物牵制、机械牵制、体制牵制、簿记

5、牵制 内部控制制度：1949年美国注册会计师协会正式提出概念，引起关 注和重视.包括会计控制和管理控制。 内部控制结构：随着研究的深入，由一般概念向具体内容深化，提出了内部控制结构，是指为了保证目标实现而建立的相关政策和程序的有机整体，包括控制环境、会计系统、控制程序三部分。 内部控制整体框架 ：COSO委员会提出，由5个要素组成：控制环境、风险评估、控制活动、信息与沟通、监控。 内部控制整合框架：由8个要素组成：内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控。,14.09.2020,.,12,二、内部控制要素,1、控制环境 2、风险评估 3、控制活动 4、信息与

6、沟通 5、监督,14.09.2020,.,13,（一）控制环境 1.含义：包括治理职能和管理职能，以及管理层和治理层对内部控制及其重要性的态度、认识和措施。 2.构成要素： 道德价值观念沟通和落实；对胜任能力的重视 治理层的参与程度；管理层的理念和经营风格 组织结构及职权与责任分配；人力资源政策与实务,14.09.2020,.,14,（二）风险评估：指管理层能够有效识别和应对风险 （三）控制活动 是指有助于确保管理层的指令得以执行的政策和程序。 包括授权、业绩评价、信息处理、实物控制、指责分离等活动。 （四）信息与沟通：使员工了解自己的角色和职责，明白员工之间的工作关系 （五）监督：对内部控制

7、的有效性进行评价，并采取有效措施。,14.09.2020,.,15,三、内部控制的内容,（一）合规、合法性控制 （二）授权批准控制 （三）不相容职务分离控制（P127) （四）业务程序标准化控制：（授权、主办、核准、记录、复核） （五）信息质量控制（复查核对控制） （六）人员素质控制 （七）内部审计控制,14.09.2020,.,16,第三节 财务报告内部控制,一、财务报告内部控制含义 是指由公司的首席执行官、首席财务官设计或监管的，受到公司董事会、管理层和其他人员影响的，为财务报告的可靠性和满足外部使用的财务报告编制的符合公认会计原则提供合理保证的控制程序。 由此可见，财务报告内部控制是专为

8、合理保证财务报告的可靠性提出的，内部控制在保证财务报告可靠性方面发挥不可忽视作用。,14.09.2020,.,17,二、内部控制要素与财务报告认定的关系（P131) 存在或发生 、完整性 、权利和义务、 估价和分摊 、表达与披露 1.内部环境与财务报告认定的关系（全部） 2.风险评估与财务报告认定的关系 3.控制活动与财务报告认定的关系 4.信息与沟通与财务报告认定的关系 5.内部监督与财务报告认定的关系（全部）,14.09.2020,.,18,第三节 内部控制的评审,一、了解内部控制 二、记录对内部控制了解的情况 三、内部控制的测试 四、控制风险评估,14.09.2020,.,19,（一）询

9、问被审计单位的有关人员，并检查相关内部控制文件 （二）检查内部控制生成的凭证和记录 （三）观察被审计单位的业务活动和内部控制的运行状况 （四）选择若干具有代表性的交易和事项进行穿行测试,一、了解内部控制,14.09.2020,.,20,穿行测试：是指追踪交易在财务报告信息系统中的处理过程。这是注册会计师了解被审计单位业务流程及其相关控制时经常使用的审计程序。 穿行测试不是单独的一种程序，而是将多种程序按特定审计需要进行结合运用的方法。 穿行测试是通过追踪交易在财务报告信息系统中的处理过程，来证实注册会计师对控制的了解、评价控制设计的有效性以及确定控制是否得到执行。,14.09.2020,.,2

10、1,二、记录对内部控制了解的情况,常用的内部控制的记录和描述方法 1、文字叙述 2、调查表 3、流程图 三种方法并不相互排斥，相互依赖和相互补充，常常结合使用。,14.09.2020,.,22,1文字叙述,文字叙述是指审计人员将被审计单位内部控制的实际情况以书面形式记录下来的方法。,优点：可以对调查对象做出比较深入和具体的描述，内容比较灵活，对任何单位、任何业务都可以使用。 缺点：文字叙述较为冗长,不够直观， 适用于内部控制程序比较简单、比较容易描述的中小型企业。,14.09.2020,.,23,2调查问卷,也称调查表，是指审计人员通过预先设计好的标准化格式的调查表向被审单位的管理人员或当事人

11、调查了解其内部控制设置情况并加以记录的方法。,优点：调查范围明确、问题突出、简便易行、省时省力、直观性强； 缺点：对被审计单位的内部控制只能按所提问题分别考察，无法反映内部控制实际情况和存在问题的轻重；对于不同行业的企业或是小企业，标准问题的调查表常常显得不太适用。,14.09.2020,.,24,14.09.2020,.,25,3流程图,流程图是指用特定的符号和图形，将被审计单位内部控制中各种业务处理手续以及各种文件或凭证的传递流程，用图解的形式辅助以简要的文字或数字，直观地表现内部控制的一种方法。,优点：清楚,形象直观并把文字叙述减少到最低限度，可以使审计人员全面了解内部控制的运行状况，有

12、助于发现内部控制的不足。 缺点：是编制流程图需要一定的技术和花费较多的时间，而且，内部控制某些弱点有时很难在流程图中明确地表达出来。,14.09.2020,.,26,（1）使用规定的符号。 （2）采用平面制图法。图中标明业务处理流程经过的部门及负责人。 （3）各种凭证所经各部门的名称应安排在流程图的顶部。 （4）业务处理的开始点，要尽可能安排在部门名称的左上角，凭证的流向要尽可能从左到右，从上倒下，避免流程线来回反复交叉。,绘制流程图应注意以下几点：,14.09.2020,.,27,三、内部控制评价,（一）含义：是指企业董事会或类似权力机构对内部控制的设计的有效性进行全面评价、形成评价结论、出

13、具评价报告的过程。 （二）评价的内容：内部控制5个要素的评价 （三）评价程序： 1.制定评价工作方案 2.成立评价工作组 3.实施现场测试 4.认定控制缺陷 5.汇总评价结果 6.编制评价报告,14.09.2020,.,28,内部控制评价报告,内部控制评价报告的内容(P139范例) 董事会对内部控制报告真实性的声明 内部控制评价工作的总体情况 评价的依据 评价范围 评价程序方法 内部控制缺陷及其认定 拟采取的整改措施 内部控制有效性结论,14.09.2020,.,29,（一）控制测试的含义 （二）控制测试的要求 （三）控制测试的范围 （四）控制测试的性质及时间,四、内部控制的测试,14.09.

14、2020,.,30,（一）控制测试的含义,控制测试指的是测试控制运行的有效性。控制运行的有效性强调的是控制能够在各个不同的时点按照既定设计得以一贯执行。,在测试运行的有效性时，审计人员应当从以下方面获取关于控制是否有效运行的审计证据。 控制在所审计期间的不同时点是如何运行的； 控制是否得到一贯执行； 控制由谁执行； 控制以何种方式运行。,14.09.2020,.,31,（二）控制测试的要求,控制测试并非在任何情况下都需要实施。当存在下列情况之一时，审计人员应当实施控制测试： .在评估认定层次重大错报风险时，预期控制的运行是有效的； .仅实施实质性程序不足以提供认定层次充分、适当的审计证据。,1

15、4.09.2020,.,32,（三）控制测试的范围,审计人员在确定某项控制测试的范围时通常考虑以下因素： 在整个拟信赖的期间，被审计单位执行控制测试的频率。 在所审计期间，审计人员拟信赖控制运行有效性的时间长度。 为证实控制能够防止或发现并纠正认定层次重大错报，所需获取审计证据的相关性和可靠性。 通过测试与认定相关的其他控制获取的审计证据的范围。 在风险评估时拟信赖控制运行有效性的程度。 控制的预期偏差。,14.09.2020,.,33,（四）控制测试的性质及时间,控制测试的性质是指控制测试所使用的审计程序的类型及其组合。一般而言，控制测试所使用的审计程序包括：询问、观察、检查、重新执行和穿行

16、测试。,控制测试的时间包含两层含义： 一是何时实施控制测试； 二是测试所针对的控制适用的时点或期间。,14.09.2020,.,34,四、控制风险评估,（一） 控制风险评估的概念 （二） 控制风险评估水平的确定 （三） 控制风险评估结果对实质性测试的影响,14.09.2020,.,35,（一） 控制风险评估的概念,控制风险评估是指评估企业内部控制在防止或者发现和更正会计报表里的重大错报有效程度的过程。即对内部控制的可信赖度做出评价。审计人员是为了会计报表认定而评估控制风险的，不是为了个别内部控制要素或个别政策和程序而进行的。通常，将评估控制风险所得到的结果，称为“控制风险评估水平”。,14.0

17、9.2020,.,36,（二） 控制风险评估水平的确定,审计人员只有在确认以下事项的情况下，才能将控制风险评价为高水平： 1控制测试和程序与认定不相关； 2控制政策和程序无效； 3取得证据来评价控制政策和程序显得不经济。 审计人员只有在确认以下事项的情况下，才能将控制风评价为低水平： 1控制政策和程序与认定相关； 2通过控制测试已获得证据证明测试有效。,14.09.2020,.,37,控制风险的评估水平，既可以用高、中、低的概念来加以表示，也可以量化为百分比表示。通常将内部控制未能及时防止或发现和纠正某项认定中的重大错报的可能性高于40%、在10%40%之间、低于10%，分别代表控制风险的高、

18、中、低水平。 审计人员应当将对控制风险再评估的过程和结果在工作底稿中加以记录。在工作底稿中记录对控制风险评估的基本要求是： 1.当控制风险评估为最高水平时，只需记录这一评估结论； 2.当控制风险评估低于最高水平时，还必须记录评估的依据。,14.09.2020,.,38,（三） 控制风险评估结果对实质性测试的影响,如果控制风险评估太低，将使审计人员可能没有执行足够的实质性测试，进而导致审计无效； 如果控制风险评估太高，审计人员将执行比所需要的还要多的实质性测试，致使审计测试不经济、无效率。,14.09.2020,.,39,第四节 内部控制审计,一、含义 是指会计师事务所接受委托，对特定基准日内部

19、控制设计与运行的有效性进行审计。 二、审计程序 1.计划审计工作 2.实施审计工作 3.评价控制缺陷：可能存在重大缺陷的迹象有4项（P147) 4.完成审计工作：书面声明书-6项内容(P147) 5.出具内部控制审计报告：审计报告的11个要素(P149) 6.关注期后事项 7.记录审计工作：6项内容,14.09.2020,.,40,三、内部控制审计报告 （一）要素 1.标题内部控制审计报告 2.收件人：委托人 3.引言段：指出内部控制审计依据；管理层的内部控制评价报告；内部控制的评价截止日期 4.企业对内部控制的责任段 5.注册会计师的责任段,14.09.2020,.,41,6.内部控制固有局

20、限性的说明段 7.内部控制审计意见段 8.非财务报告内部控制重大缺陷描述段 9.注册会计师签名盖章 10.会计师事务所的名称、地址及盖章 11.报告日期,14.09.2020,.,42,第四节 内部控制审计,（二）内部控制审计报告的类型： 1.无保留意见 2.带强调事项段的无保留意见 3.否定意见 4.无法表示意见 在内部控制审计意见中没有保留意见，主要是保留意见的信息含量较低，且与否定意见的区分度不清晰，所以在国际上都没有保留意见的内部控制审计报告。,14.09.2020,.,43,（二）各种审计意见的条件（P150-152) （三）案例,14.09.2020,.,44,第五节 管理建议书,

21、一、管理建议书的意义 二、管理建议书的结构和内容 三、管理建议书的编制和出具要求,14.09.2020,.,45,一、管理建议书的意义,管理建议书是注册会计师在完成审计工作后,针对审计过程中注意到的、可能导致被审计单位会计报表产生重大错报的内部控制重大缺陷提出的书面建议。,14.09.2020,.,46,二、管理建议书的结构和内容,1. 标题。标题统一使用“管理建议书”。 2. 收件人。管理建议书的收件人应为被审计单位管理当局。 3. 会计报表的审计目的及管理建议书的性质。 4. 前期建议改进但仍未改进的内部控制重大缺陷。 5. 本期审计发现的内部控制重大缺陷及其影响和改进建议。 6. 适用范

22、围及使用责任。 7. 签章。 8. 日期。,14.09.2020,.,47,三、管理建议书的编制和出具要求,1. 注册会计师在编制管理建议书之前，应该对审计工作底稿记录的内部控制重大缺陷及其改进建议进行复核，并以经过复核的审计工作底稿为依据，编制管理建议书。 2. 管理建议书反映的内部控制缺陷，可按其对会计报表的影响程度排列。 3. 在出具管理建议书之前，注册会计师应当与被审计单位的有关人员讨论管理建议书的相关内容，以确定所属重大缺陷是否属实。,14.09.2020,.,48,本章小结,内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循，由治理层、管理层和

23、其他人员设计和执行的政策和程序。 内部控制整体框架主要由控制环境、风险评估过程、控制活动、信息系统与沟通、监督五项要素构成。 审计人员对内部控制所作的研究和评价一般可分为四个步骤：第一，了解内部控制；第二，记录对内部控制了解的情况；第三，内部控制测试；第四，控制风险评估。 现代审计与内部控制之间存在着非常密切的关系，研究与评价被审计单位的内部控制，是审计进行实质性测试的前提和基础，是现代审计的重要特征。,14.09.2020,.,49,思考 题,1. 内部控制的含义是什么？ 2 内部控制整体框架的内容。 3 如何理解内部控制与现代审计的关系？ 4 什么是控制测试？其主要内容有哪些？如何确定控制测试的范围？ 5 简述控制风险评价的结果对实质性测试的影响。 6 .内部控制审计报告的要素、意见类型及出具条件 7.简述管理建议书的内容。,14.09.2020,.,50,案例分析,(一)资料 2010年4月，某审计组对甲公司2009年度财务收支进行了审计。甲公司主要从事中小型机电类产品的生产和销售。有关的资料和审计情况如下： 1.审计人员通过询问有关人员和审阅相关内部控制的规定，对甲公司内部控制进行了调查了解、描述，并对其有效性进行了测试。,14.09.2020,.,51,2.审计人员发现甲公司存在下列两种情况： (1)以前年度从未对存货进行盘点，出