1、2022/7/17項目三 了解內部控制審計實務第一章 總 論 ABC股份有限公司是一家上市公司，公司主營業務是商業零售企業。經了解，公司近幾年經營業務范圍變化不大，業績平穩，估價波動不大。甲公司接受ABC公司委托，審計2014年度的會計報表。注冊會計師首先了解了公司貨幣資金的內部控制制度，發現公司按照現代企業內部控制管理的相關規定制定了嚴密的內部控制制度并得到了執行，于是決定進行控制測試，分別采用了詢問、觀察、檢查、穿行測試等方法，測試結果如下：（1）財務部稽核人員對收款臺的現金盤點堅持日清月結，經常進行定期盤點。（2)通過查看支票登記本發現，領用的票據號碼連續，支票領用時都進行了登記。（3）

2、對現金和銀行存款的支付基本能堅持審批制度，但在審批的職責權限劃分上不夠明確，從抽查的支付憑證來看，對相同業務的審批有時是財務經理的簽字，有時是業務經理的簽字，控制不夠嚴格。引 例 這個案例帶給我 們的思考是什么？第一章 總 論 在發現上述問題之后，注冊會計師確認該公司的內部控制屬于中信賴程度，因此適當地對該公司貨幣資金進行實質性程序的范圍，如采取盤點法對現金進行盤點；采取抽查法審查現金日進賬和銀行存款日記賬；采取審閱法和函證法對銀行存款的真實性和合法性進行審查。針對審計過程中發現的問題，注冊會計師與ABC公司交換了意見，并提請該公司予以調整引 例 這個案例帶給我 們的思考是什么？第一章 總 論

3、 知識目標1了解內部控制的含義。2熟悉內部控制的要素。3掌握內部控制的評價4、掌握內部控制的測試。 能力目標1會判斷內部控制設計是否合理。2會對內部控制進行測試，并指出內部控制的缺陷。內部控制是？工具、方法？制度？目標？審計？內控是.工具、方法?工具內控有效地和有效率地去避免業務運作時發生嚴重的問題。內控方法十措施用于減緩有可能防障組織目標達成的風險。For example：流程的控制點，評審程序，內控自我評估，考核內控是.制度?For example:不同類形的組織結構、審計體系、管理規定、流程、指導書等內控制度內控組織結構制度程序合理地確保管理層的目的和責任得以達到。等。內控制度內控組織結

4、構程序合理地確保管理層的目的和責任得以達到。內控制度內控組織結構程序合理地確保管理層的目的和責任得以達到。內控是.目標?For example:應收賬齡分析, 其目的并不只是要知道客戶欠賬多久, 而是保障貨款能盡快回收.內控內控過程由企業董事會、管理層和各階層人員一起推動和執行目標內控是.審計?For example:審計項目，資詢服務內控工具審計為管理層提供監控提供業務部門適當的內控建議 內部控制是指被審計單位為了合理保證財務報告的可靠性、經營的效率和效果以及對法律法規的遵守，由治理層、管理層和其他人員設計和執行的政策和程序。一、內部控制的概念 按照審計準則的定義，內部控制是指被審計單位為了

5、合理保證（ ），由治理層、管理層和其他人員設計和執行的政策和程序。A.財務報告的可靠性B.資產的安全與完整C.經營的效率和效果D.對法律法規的遵循多選審計人員應當重點關注并考慮被審計單位為實現財務報告可靠性目標設計和實施的內部控制（即與審計相關的內部控制）與審計相關的內部控制內部控制的作用有效地傳達管理層的意見，目標和期望。提供所有被授權人員一個準則恰當的和有效地使用公司資源，并按管理層的指示來使用。為管理層準確地評估績效和提供業務運作的真實信息保護資產和其他資源遵守法律和規章內控應設在哪個階層?各崗位各部門整個公司內控應設在全公司每一個階層。正確認識內部控制內控只可以提供合理的保證， 并不能

6、向領導層提供絕對保證。內控主要是受公司各階層人員的人影響，并不是全然依靠制度和指導書。內控必需要配合公司的獨特環境和需求。內控的結構和控制應建設在成本和效益的基礎上。內控是可以同時達成一個或多個與相交義的企業目的。如何理解內部控制（1）內部控制是一個過程，是實現目標的手段，而不是結果本身。內部控制會受到企業內部各層次人員的影響，而不是簡單地制定出一本制度或規章。對管理曾或董事會來說，內部控制提供的只是合理的保證，而非絕對的保證。內部控制的目的在于實現組織的一個或幾個目標。如何理解內部控制（2）內部控制絕對不是：靜態的結構；某一層次人員的任務（例如：高級管理層）某一部門的任務（例如：財務、內部審

7、計）某一實體的任務（例如：總部、省級公司） 內部控制是：內部控制 是一個靠組織的董事會、管理層和其他員工去實現的過程，實現這一過程是為了合理的保證： 經營的效果性和效率性； 財務報告的可信性； 對法律和規章制度的遵循性。內部系統的整體架構沒有內控系統的企業，就象坐在飛馳的馬車上卻沒有手握韁繩! 二、企業內部控制五大要素內部系統的整體架構coso內部控制五大要素 內部環境目標制定事項識別風險評估風險應對控制活動信息溝通監 控內部環境風險評估控制活動信息溝通監 控（一）、內部環境1、內部環境構成要素 內部環境是影響、制約企業內部控制建立與執行的各種內部因素的總稱，是實施內部控制的基礎，一般包括治理

8、結構、機構設置與權責分配、內部審計、人力資源政策、企業文化等。 它塑造組織的控制文化，影響員工的控制意識；它支撐著整個內部控制框架，是推動控制工作的發動機；它奠定組織的制度和結構，并涉及到所有活動的核心人，特別是人的控制覺悟；它還反映企業各級管理層對內部控制的要求。主要包括：員工的誠信和道德觀員工的勝任能力董事會和審計委員會管理層的經營理念和經營風格組織結構管理層授權和職責分工人力資源政策和措施 對審計的影響： 防止或發現并糾正舞弊和錯誤是被審單位治理層和管理層的責任。在評價控制環境的設計和實施情況時，CPA應了解管理層在治理層的監督下，是否營造并保持了誠實守信和合乎道德的文化，以及是否建立了

9、防止或發現并糾正舞弊和錯誤的恰當控制。實際上，在審計業務承接階段，CPA就需要對控制環境作出初步了解和評價。（二）、風險評估風險評估是指企業及時識別、系統分析經營活動中與實現內部控制目標相關的風險，合理確定風險應對策略。評估風險是為了有效控制風險。 風險評估構成要素與一般程序目標設定風險識別風險分析風險應對 企業開展風險評估，應當準確識別與實現控制目標相關的內部風險和外部風險，確定相應的風險承受度。 風險承受度是企業能夠承擔的風險限度，包括整體風險承受能力和業務層面的可接受風險水平。 企業應當采用定性與定量相結合的方法，按照風險發生的可能性及其影響程度等，對識別的風險進行分析和排序，確定關注重

10、點和優先控制的風險。 經濟因素法律因素社會因素科學技術因素自然環境因素其他因素人力資源因素管理因素因素自主創新因素財務因素安全環保因素其他因素外部風險因素內部風險因素風險因素風險因素（三）、控制活動 企業應當結合風險評估結果，通過手工控制與自動控制、預防性控制與發現性控制相結合的方法，運用相應的控制措施，將風險控制在可承受度之內，以保證公司目標得以實現。控制活動類型包括：1、按照不同作用：分為預防性控制，糾錯性控制2、按照活動的形式分為： 業績評價，如實際與預算、同期和行業標準的對比 審批，授權，確認 實物控制， 如資產安全性， 定期盤點，對計算機及數據資料的權限控制 責任分離，如業務授權、業

11、務執行、業務記錄、對業績的獨立檢查的職能分離（四）、信息與溝通 信息與溝通是指企業及時、準確地收集、傳遞與內部控制相關的信息，確保信息在企業內部、企業與外部之間進行有效溝通。信息溝通過程中發現的問題，應當及時報告并加以解決。重要信息應當及時傳遞給董事會、監事會和經理層。（五）、內部監督 內部監督是指企業對內部控制的建立與實施情況進行監督檢查，評價內部控制的有效性，發現內部控制缺陷應當及時加以改進。內部監督分為日常監督和專項監督。企業應結合內部監督情況，定期對內部控制的有效性進行自我評價，出具內部控制自我評價報告。企業應當制定內部控制缺陷認定標準，對監督過程中發現的內部控制缺陷，應當分析其性質和

12、產生的原因，提出整改方案，采取適當的形式及時向董事會、監事會或者經理層報告。基本規范五要素的關系及其作用內部監督控制活動風 險 評 估內 部 環 境信息溝通信息溝通基礎手段保證載體依據三、了解內部控制1、【與審計相關的控制】 CPA需要了解和評價的內控只是與財務報表審計相關的內控，并非被審單位所有的內控。 必須指出，被審單位通常有一些與審計無關的控制，CPA無需對其加以考慮。2、【對內控了解的深度】 對內控了解的深度，是指在了解被審單位及其環境時對內控了解的程度。包括評價控制的設計，并確定其是否得到執行，但不包括對控制是否得到一貫執行的測試。（一）、了解整體層面的內部控制3、內控的人工和自動化

13、成分人工 ：內控一般包括批準和復核業務活動，編制調節表并對調節項目進行跟蹤；自動化特征 ：信息技術系統中的控制可能既有自動控制（如嵌入計算機程序的控制）又有人工控制 。4、【內控的局限性】 內控存在固有局限性，無論如何設計和執行，只能對財務報告的可靠性提供合理的保證。多層面了解內部控制在整體層面對內部控制進行了解和評估，通常由誰來負責？如何來做？報表層次的重大錯別風險很可能來源于？2022/7/172、在業務流程層面了解內部控制步驟？ 確定被審計單位的重要業務流程和重要交易類別 了解重要交易流程，并記錄獲得的了解 確定可能發生錯報的環節 識別和了解相關的控制 執行穿行測試 進行初步評價和風險評

14、估 審計業務循環的劃分貨幣資金籌資與投資循環銷售與收款循環采購與付款循環生產與存貨循環人力資源與工薪循環結論：1、所涉及的內控能防止或發現重大錯別，并得到執行2、控制本身設計是合理的，但沒有得到執行3、控制本身的審計就是無效的或缺乏必要控制 內部控制的要素包括（ ） A、控制環境 B、分析程序 C、信息系統與溝通 D、控制活動 E、對控制的監督多選控制活動是指有助于確保管理層的指令得以執行的政策和程序，其包括（） A職責分離 B實物控制 C授權與業績評價 D信息處理 E員工的勝任能力多選 內部控制的要素包括（ ） A、控制環境 B、風險評估過程 C、信息系統與溝通 D、控制活動 E、對控制的分

15、工 多選在了解控制環境時，注冊會計師應當關注的內容有( ) A.公司治理層相對于管理層的獨立性 B.公司管理層的理念和經營風格 C.公司員工整體的道德價值觀 D.公司對控制的監督 E.公司的業績評價體系多選 下列不屬于控制活動的是（ ） A.授權 B.實物控制 C.對控制的監督 D.職責分離單選 在了解控制環境時，注冊會計師通常考慮的因素是（ ）A.內部控制的人工成分 B.內部控制的自動化成分C.丙公司董事會對內部控制重要性的態度和認識D.會計信息系統單選 下面屬于內部控制要素的有（ ）A.控制環境B.風險評估過程C.控制活動D.信息系統與溝通E.對控制的監督多選 在了解控制環境時，注冊會計師

16、應當關注的內容有（ ）A.治理層相對于管理層的獨立性B.管理層的理念和經驗風格C.員工整體的道德價值觀D.對控制的監督多選 在了解公司內部控制時，注冊會計師通常采用的程序有（ ）A.查閱內部控制手冊B.追蹤交易在財務報告信息系統中的處理過程C.重新執行某項控制D.現場觀察某項控制的運行多選 下面觀點中正確的是（ ）A.建立健全內部控制是被審計單位管理層的責任B.建立內部控制的目的在于消除一切錯弊的發生C.內部控制存在固有的局限性D.建立健全被審計單位內控是注冊會計師的責任多選 注冊會計師沒有義務實施的程序是（ ）A.查找丙公司內控控制運行中的所有缺陷B.了解丙公司情況及其環境C.實施審計程序，

17、以了解丙公司內部控制的設計D.實施穿行測試，以確定丙公司相關控制活動是否得到執行單選 任務二、內部控制的評價一、評價的內容（一）對控制的初步評價。在識別和了解控制后，根據執行上述程序及獲取的審計證據，注冊會計師需要評價控制設計的合理性并確定其是否得到執行。注冊會計師對控制的評價結論可能是：（1）所設計的控制單獨或連同其他控制能夠防止或發現并糾正重大錯報，并得到執行；（2）控制本身的設計是合理的，但沒有得到執行；（3）控制本身的設計就是無效的或缺乏必要的控制。由于對控制的了解和評價是在穿行測試完成后但又在測試控制運行有效性之前進行的，因此上述評級結論只能是初步結論，仍可能隨控制測試后實施實質性程

18、序的結果而發生變化。 任務二、內部控制的評價（二）風險評估需要考慮的因素。注冊會計師對控制的評價，進而對重大錯報風險的評估，需考慮以下因素：（1）賬戶特征及已識別的重大錯報風險。如果已識別的重大錯報風險水平為高(例如，復雜的發票計算或計價過程增加了開票錯報的風險；經營的季節性特征增加了在旺季發生錯報的風險），相關的控制應有較高的敏感度，即在錯報率較低的情況下也能防止或發現并糾正錯報。相反，如果已發現的重大錯報風險水平為低（例如在一個較小的、勞動力相對穩定的公司中員工工薪的會計處理未能實現恰當準確性目標的風險），相關的控制就無須具有像重大風險較高時那樣的敏感性。 任務二、內部控制的評價（2)對被

19、審計單位整體層面控制的評價。 在評價業務層面的控制要素時，考慮的因素可能包括：管理層及執行控制的員工表現出來的勝任能力及誠信度；員工受監督的程度及員工流動的頻繁程度；管理層凌駕于控制之上的潛在可能性；缺乏職責劃分，包括信息技術系統中自動化的職責劃分的情況；所審計期間內部審計人員或其他監督人員測試控制運行情況的程度。（3)評價決策。在對控制進行初步評價及風險評估后，注冊會計師需要利用實施上述程序獲得的信息，回答以下問題：控制本身的設計是否合理。注冊會計師需要根據上述的考慮因素判斷，如果識別的控制設計合理，該控制在重要業務流程中單獨或連同其他控制能否有效地實現特定控制目標。 任務二、內部控制的評價

20、 控制是否得到執行。如果設計合理的控制沒有得到執行，該控制也不會發揮應有的作用。因此，注冊會計師需要獲取證據，評價這類控制是否確實存在，且正在被利用。 任務二、內部控制的評價 是否更多地信賴控制并擬實施控制測試。如果認為被審計單位控制設計合理并得到執行，能夠有效防止或發現并糾正重大錯報，那么，注冊會計師通常可以信賴這些控制，減少擬實施的實質性程序。如果擬更多地信賴這些控制，需要確信所信賴的控制在整個擬信賴期間都有效地發揮了作用，即注冊會計師應對這些控制在該期間內是否得到一貫運行進行測試。擬信賴該控制的期間可能是整個年度，也可能是其中的某個階段。如果控制測試的結果進一步證實內部控制是有效的，注冊

21、會計師可以認為相關賬戶及認定發生重大錯報的可能性較低，對相關賬戶及認定實施實質性程序的范圍也將減少。 有時，注冊會計師也可能認為控制是無效的，包括控制本身設計不合理，不能實現控制目標，或者盡管設計合理，但沒有得到執行。在這種情況下，注冊會計師不需要測試控制運行的有效性，而直接實施實質性程序。 評價的中心環節-控制測試1、控制測試的含義和要求2、控制測試的性質3、控制測試的時間4、控制測試的范圍控制測試的含義 控制測試是為了評價關于控制防止或發現并糾正認定層次重大錯報的有效性而實施的測試。審計人員應當選擇為相關認定提供證據的控制進行測試。控制測試的含義和要求 控制測試是為了確定（ ）而實施的審計

22、測試A.財務報表認定是否正確 B.內部控制執行的有效性C.內部控制是否得到執行 D.內部控制設計的合理性單選 只有認為控制設計合理、能夠防止或發現和糾正認定層次的重大錯報，注冊會計師才有必要進行（ ） A細節測試 B實質性測試 C了解內部控制 D控制測試 單選 下列與控制測試有關的表述中，正確的是（ ） A.如果控制設計不合理，則不必實施控制測試 B.如果在評估認定層次重大錯報風險時預期控制的運行是有效的，則應當實施控制測試 C.如果認為僅實施實質性程序不足以提供認定層次充分、適當的證據，則應當實施控制測試 D.對特別風險，即使擬信賴的相關控制沒有發生變化，也應當在本次審計中實施控制測試多選性

23、質是所使用審計程序的類型及組合控制測試采用的審計程序類型詢問觀察檢查穿行測試重新執行審計人員應當根據特定控制的性質選擇所需實施審計程序的具體類型。控制測試的性質詢問本身不足以測試控制運行的有效性，注冊會計師應將詢問與其他審計程序結合使用，以獲取有關控制有效性的審計證據。觀察提供的證據僅限于觀察發生的時點，本身也不足以測試控制運行的有效性。將詢問與檢查或重新執行結合使用，通常能夠獲取更高保證程序：1）了解內控：詢問、觀察、檢查和穿行測試2）控制測試：詢問、觀察、檢查、穿行測試和重新執行3）風險評估程序：詢問、觀察、檢查、穿行測試、分析程序 雙重目的測試： 控制測試：評價內控的有效性 細節測試：發現認定層次的重大錯報 注冊會計師可