内部控制的测试与评价.docx
《内部控制的测试与评价.docx》由会员分享,可在线阅读,更多相关《内部控制的测试与评价.docx(27页珍藏版)》请在冰点文库上搜索。
内部控制的测试与评价
第八章 内部控制及其测试与评价
第一节 内部控制的目标与要素
一、内部控制的定义与内部控制目标
(一)定义
内部控制,是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的一系列政策、方案与程序等的总称。
(二)目标
1.保证业务活动按照适当的授权进行。
2.保证所有交易和事项以正确的金额,在恰当的会计期间及时记录于适当的账户,使会计报表的编制符合会计准则的相关要求。
3.保证对资产和记录的接触、处理均经过适当的授权。
4.保证账面资产与实存资产定期核对相符。
(三)有关内部控制的一般考虑
1.建立和运行内部控制是管理当局的责任
2.内部控制只能为会计报表提供合理的保证:
3.由于内部控制存在固有的局限性,其控制的目标和作用不能完全发挥
(四)内部控制与审计的关系
当内部控制设计合理和执行有效时,会计数据出现错弊的可能性就小,反之,错弊的可能性就大。
正是基于这一点,在审计中引入了内部控制的概念。
在会计报表审计中,评价内部控制的强弱不是注册会计师的真正目的,而是把内部控制作为一种审计的工具,来确定查账(实质性测试)的重点和数量。
1.注册会计师在执行会计报表审计业务时,不论被审计单位规模大小,都应当对相关的内部控制进行充分的了解。
2.注册会计师应根据其对被审计单位内部控制的了解,确定是否进行控制测试以及将要执行的控制测试的性质、时间和范围。
3.不管内部控制多么良好,实质性测试绝不能取消。
被审计单位内部控制设计合理和运行有效,注册会计师可能相应减少对相关账户或交易类别的实质性测试。
注册会计师不能根据内部控制的强弱对会计报表的合法性和公允性发表审计意见,只有实质性测试才能为审计意见提供证据,所以实质性测试是每一次审计所必须的程序。
换而言之,审计风险模型中的控制风险始终应大于零。
二、内部控制要素
内部控制的三要素
内部控制
控制环境
会计系统
控制程序
1.经营管理的观念、方式和风格
2.组织结构
3.董事会
4.授权和分配责任的方法
5.管理控制方法
6.内部审计
7.人事政策和实务
8.外部影响
方法--手工和电子数据处理
记录--日记账和分类账等
1.交易授权控制
2.职责划分控制
3.凭证与记录控制
4.资产接近控制
5.独立检查控制
(一)控制环境
控制环境的好坏直接决定着企业其他控制能否实施或实施的效果。
对企业控制的建立和实施有重大影响的因素包括:
经营管理的观念、方式和风格;组织结构;董事会;授权和分配责任的方法;管理控制方法;内部审计;人事政策和实务;外部影响。
(二)会计系统
1.一个有效的会计系统应能做到以下几点:
(1)确认并记录所有真实的交易;
(2)及时且充分详细地描述交易,以便在会计报表上对交易作适当的分类;
(3)计量交易的价值,以便在会计报表上记录其适当的货币价值;
(4)确定交易发生的期间,以便将交易记录在适当的会计期间;
(5)在会计报表中适当地表达交易和披露相关事项。
2.会计系统的核心是处理交易。
3.会计系统应为每笔交易提供一个完整的“审计轨迹”或“交易轨迹”。
(三)控制程序
控制程序可分为五类:
1.交易授权。
交易授权程序主要与“存在或发生”及某些“估价或分摊”认定的控制风险有直接影响。
交易有时是按授权价格执行,在这种情况下,授权就与“估价或分摊”认定相关。
2.职责划分。
职责划分的主要目的是为了预防和及时发现在执行所分配的职责时所产生的错误或舞弊行为。
其核心是不相容职务分离。
职责划分会影响三种认定的控制风险,比如:
(1)将资产保管同资产会计记录的掌管相分离,可以降低盗窃的风险,因为盗窃者将无法通过减少资产的记录来掩饰盗窃真相。
(“存在或发生”认定)
(2)将处理现金支出交易同调节银行账户分离,可以降低不记录支票付款的风险,因为在调节过程中可发现这种风险。
(“完整性”认定)
(3)付款凭单的批准同支票签发相分离,可以降低支票书写出错的风险。
(“估价或分摊”认定)
3.凭证与记录控制
凭证和记录的控制程序会影响三种认定的控制风险,即:
(1)适当保持的记录。
同“存在或发生”认定相关。
(2)使用预先编号的凭证并按其编号进行会计处理,同“完整性”认定有关。
(3)原始凭证直接和“估价或分摊”认定相关。
4.资产接触与记录使用
这一控制程序同降低“存在或发生”、“完整性”、“估价或分摊”认定的控制风险相关。
5.独立稽核。
独立稽核同很多认定相关。
比如:
(1)人工计算稽核发票、工资计算表及存货汇总表的正确性,与“估价或分摊”认定相关;(可每日进行)
(2)比较现有资产和有关记录,与“存在或发生”、“估价或分摊”、“完整性”认定相关;(可定期进行)
(3)管理当局复核汇总账户余额详细情况的报告,与“估价或分摊”认定相关。
(可定期进行)
在上述讨论的五类控制程序中,用大量的例子说明了特定控制程序与三种财务报表认定,即“存在或发生”、“估价或分摊”、“完整性”认定的控制风险估计之间的关系。
由此可以得出结论,尽管控制程序可以降低五种认定的控制风险,但更能降低这三种认定的控制风险。
第二节 了解与记录内部控制
【学习要领】掌握了解内部控制的程序,影响初步评价控制风险水平高低的因素及对评价结果记录的要求。
了解记录内控的方法和优缺点。
一、内部控制研究和评价的步骤:
了解和记录内部控制→→符合性测试和评估控制风险→→确定检查风险和设计实质性测试
二、业务循环及其分类
制造业业务的内部控制,可以按下列四类业务循环划分进行研究和评价。
①销售与收款循环 ②采购与付款循环 ③生产循环 ④筹资与投资循环。
三、了解内部控制
了解内部控制实际上是熟悉被审计单位业务处理(内部控制)的过程,从而获得对内部控制设计和执行情况的了解,对内部控制作出初步评价。
(一)了解内部控制的具体程序
注册会计师在了解内部控制时可实施以下程序:
1.合理利用以往的审计经验;
2.询问被审计单位有关人员,并查阅相关内部控制文件;
3.检查内部控制生成的文件和记录;
4.观察被审计单位的业务活动和内部控制的运行情况;
5.选择若干具有代表性的交易和事项进行“穿行测试”。
合理利用以往的审计经验主要是指利用以前年度对内部控制的记录,所以内部控制的流程图等描述记录一般作为永久性工作底稿;在了解内部控制时,可同时运用询问、观察、检查的方法;穿行测试的方法与控制测试一样,其结果可当作部分控制测试的结果运用。
注册会计师了解内部控制所执行的程序的性质、时间和范围,主要取决于以下因素:
(1)被审计单位经营规模及业务复杂程度;
(2)被审计单位数据处理系统类型及复杂程度;
(3)审计重要性;
(4)相关内部控制类型;
(5)相关内部控制的记录方式;
(6)固有风险的评估结果。
(二)了解控制环境。
了解用以评价被审计单位管理当局对内部控制及其重要性态度、认识和措施。
(三)了解会计系统。
包括:
1.被审计单位交易和事项的主要类别;
2.各类主要交易和事项的发生过程;
3.重要的会计凭证、账簿记录和会计报表账目;
4.重要交易和事项的会计处理过程。
(四)了解控制程序。
应该理解:
(1)注册会计师了解控制程序,比了解控制环境和会计制度要素更强调确定特定单项控制程序与特定认定之间的直接关系。
但是在不同的审计策略下,对这种关系需要了解的范围是有差别的。
(2)控制程序对于防止或发现和更正会计报表中的重要错报或漏报更为有效。
(3)注册会计师在设定控制风险低于最大值时,比设定控制风险为最大值时需要更多地了解控制程序。
(4)了解控制程序的总要求是注册会计师通过对其的充分了解,应能够制定出审计计划。
注册会计师应着重考虑五种控制程序。
(5)制定总体审计计划并不要求对每个账户余额和交易种类的每项会计报表认定的控制程序进行了解。
(五)内部审计是被审计单位控制系统的重要组成部分,注册会计师应当考虑下列因素:
(1)内部审计人员的独立性;
(2)内部审计人员的经验和能力;
(3)内部审计程序的性质、时间和范围;
(4)内部审计人员所获取的审计证据的充分性和适当性;
(5)管理当局对内部审计工作的重视程度。
(六)控制风险的初步评价。
初步评价实际上就是评价内部控制在防止、发现和纠正重要错报或漏报中的有效性的过程。
它是针对每个重要的账户余额或交易类别,在认定层上进行的。
1.注册会计师应将重要账户或交易类别的某些或全部认定的控制风险评估为高水平(出现以下情况之一):
① 企业内部控制失效;
② 难以对内部控制的有效性作出评价;
③ 注册会计师不拟进行控制测试。
2.注册会计师则不应评价其控制风险处于高水平(两者同时出现):
① 相关的内部控制可能防止或发现和纠正重大错报或漏报;
② 注册会计师拟进行控制测试。
【多选】注册会计师认为被审计单位管理当局某些或全部认定的控制风险处于高水平的情况有( )(1997年考题)
A.被审计单位会计和内部控制系统无效
B.难于对内部控制的有效性作出评价
C.注册会计师拟进行符合性测试
D.注册会计师不拟进行符合性测试
【答案】ABD
四、记录对内部控制的了解和对控制风险的评价
(一)记录的技术方法(了解各方法的优缺点)
1.调查表
调查表就是将那些与保证会计记录的正确性和可靠性以及与保证资产的完整性有密切关系的事项列作调查对象,由事务所自行设计成标准化的调查表,交由企业有关人员填写或由注册会计师根据调查的结果自行填写的一种方法。
调查表大多采用问答式,一般要按调查对象分别设计。
优点:
(1)能对所调查的对象提供一个简括的说明,有利于注册会计师做分析评价;
(2)简单易用,省时省力,可在审计项目初期就较快地编制完成。
缺点:
(1)由于对被审计单位的内部控制制度只能按项目分别考查,因此往往不能提供一个完整的看法;
(2)对于不同行业的企业或小型企业,可能由于标准问题的调查表因回答太多的“不适用”,而失去评价的意义。
2.文字表述
文字表述是注册会计师对被审计单位内部控制健全程度和执行情况的书面叙述。
对内部控制进行书面叙述时,注册会计师应按照不同的经济业务循环编写,阐明各项工作的负责人、经办人员以及由他们编写和记录的文件凭证等。
优点:
可对调查对象做出比较深入和具体的描述,弥补调查表只能做出简单肯定或否定的不足。
缺点:
有时很难用简明易懂的语言来描述内部控制系统的细节,不利于为有效地进行内部控制分析和控制风险评价提供依据。
适用于:
内部控制程序比较简单、比较容易描述的小企业。
3.流程图
流程图是用符号和图形来表示被审计单位经济业务和文件凭证在组织机构内部有序流动的文件。
流程图能够很清晰地反映出被审计单位内部控制制度的概况。
一份好的流程图,可使人直观地看到内部控制是如何运行的,从而有助于发现内部控制中的不足之处。
优点:
形象直观简炼,便于表达内部控制的特征,同时将文字减少到最低程度,便于修改。
缺点:
编制流程图需具备较娴熟的技术和花费较多的时间;另外,对内部控制的某些弱点有时很难在图上明确地表达出来。
(二)在工作底稿中记录对内部控制的评价的基本要求
1.当控制风险评价为最高水平时,只需记录这一评价结论。
2.当控制风险评价低于最高水平时,不仅要记录这一评价结论,还需记录得出这一评价的依据。
第三节 内部控制测试
【学习要领】掌握影响初步审计策略的因素、控制测试的种类、运用条件。
一、运用初步审计策略的步骤
1.主要证实法的运用步骤
运用的条件:
(1)假定内部控制的可依赖程度很低或者根本不能依赖;
(2)注册会计师计划执行很小范围的控制测试,而执行更大范围的实质性测试。
2.较低的控制风险估计水平法运用的步骤
运用的条件:
(1)假定内部控制的可依赖程度很高;
(2)注册会计师计划执行更大范围的控制测试,而执行有限范围的实质性测试。
二、控制测试的概念
1.控制测试是为了确定内部控制制度的设计是否完善和执行是否有效而实施的审计程序。
对于控制测试,我们有时也叫它“符合性测试”“符合”就是实际执行的内部控制是否与原设计的内部控制相符合。
2.进行测试的前提条件:
注册会计师在了解内部控制后,只对那些准备信赖的内部控制执行控制测试,并且只有当信赖内部控制而减少的实质性测试的工作量大于控制测试的工作量时,控制测试才是必要和经济的。
(两者缺一不可)
【单选】注册会计师在了解及评价被审计单位内部控制后,实施符合性测试的范围是()(1998年试题)
A.有重大缺陷的内部控制
B.拟信赖的内部控制
C.对会计报表有重大影响的内部控制
D.并未有效运行的内部控制
【答案】B
3.控制测试的两个基本对象:
控制设计测试和控制执行测试。
(1)控制设计测试
控制设计测试所要解决的问题是被审计单位的控制政策和程序是否设计合理、适当,是否可防止或发现和更正特定会计报表认定的重大错报。
(2)控制执行测试
控制执行测试所要解决的问题被审计单位的控制政策和程序是否实际发挥作用。
测试某项控制执行的有效性时,注册会计师应着重查清以下三个问题:
(1)这项控制是怎样应用的?
(2)是否在年度中一贯应用?
(3)由谁来应用?
三、控制测试的种类
在主要证实法下,“同步控制测试”及“额外控制测试”不是必需的,而是注册会计师有选择地执行的。
在较低的控制风险估计水平法下,必须执行“计划控制测试”。
1.同步控制测试。
(计划期间执行)
同步控制测试是在注册会计师在执行对内部控制的了解时所同时执行的控制测试。
“同步控制测试”既可能是取得了解时的“副产品”,也可能是注册会计师事先计划安排的。
通过“同步控制测试”取得的证据,只能使注册会计师评价控制风险的估计水平处在略低于最高水平到中等水平的范围之内。
2.追加控制测试(外勤工作中执行)
也称,“额外控制测试”。
在主要证实法下,执行“追加控制测试”是为了进一步降低注册会计师对控制风险的估计水平。
注册会计师执行这种测试之前,必须考虑是否符合成本效益原则,还必须考虑有没有可能获得额外的证据。
3.计划控制测试(外勤工作中执行)
执行这一测试的目的是为了支持注册会计师计划的实质性测试水平。
四、控制测试的性质
控制测试的性质就是指控制测试的方法(程序)。
在确定了测试的种类之后,注册会计师应进一步决定控制测试的方法,即执行测试将使用什么样的审计程序。
注册会计师可选用的方法有以下几种,可单独使用,也可合并使用:
1.“检查”交易和事项的凭证;
2.“询问”并实地“观察”未留下审计轨迹的内部控制的运行情况;
3.“重新执行”相关内部控制程序。
五、控制测试的范围
1.在审计实务中,注册会计师执行控制测试的范围并不是越大越好,而是要求注册会计师从最经济有效地实现审计目标的总体需要出发,合理地确定测试的范围。
2.控制测试的范围直接受注册会计师计划控制风险估计水平的影响。
3.如注册会计师在以前年度审计中已进行了控制测试,那么他在确定本年度审计中需执行的追加测试的范围时,还应考虑所使用的以前年度审计获得的有关控制有效性的证据的恰当性。
4.出现下列情况之一时,注册会计师可不进行控制测试,而直接实施实质性测试程序:
(1)相关内部控制不存在;
(2)相关内部控制虽然存在,但注册会计师通过了解发现其并未有效运行;
(3)控制测试的工作量可能大于进行控制测试所减少的实质性测试的工作量。
六、控制测试的时间
注册会计师可在审计计划期间和期中工作期间执行控制测试。
1.同步控制测试是在计划期间内执行的。
2.追加的或计划的控制测试通常是在期中工作中执行,并且应尽可能安排在期中的后期执行。
3.若期中审计已进行控制测试,注册会计师在决定完全信赖其结果前,应当考虑以下因素,以进一步获取期中至期末的相关审计证据:
(1)期中审计控制测试的结论;
(2)期中审计后剩余期间的长短;(3)期中审计后内部控制的变动情况;(4)期中审计后发生的交易和事项的性质及金额;(5)拟实施的审计实质性测试程序。
七、控制测试中利用内部审计人员的工作
1.同内部审计人员协调工作。
在同内审人员协调工作中,注册会计师应做好以下四项有益的工作:
(1)定期同内审人员会谈;
(2)复核他们的工作计划表;(3)取得内审人员的工作底稿;(4)复核内部审计报告。
审计人员在协调工作时,应侧重评价内审人员工作的质量和有效性。
具体包括:
(1)内部审计工作范围是否适当;
(2)审计方案是否适当;(3)工作底稿是否充分记录了所执行的工作,包括监督和复核的证据;(4)对有关情况的结论是否适当;(5)审计报告与所执行的工作是否一致。
2.直接支持
注册会计师要求内审人员直接提供帮助时,应注意做好以下工作:
(1)考虑内审人员的胜任能力和客观性,并监督、复核、评价和测试他们所执行的工作;
(2)明确告诉内审人员他们所负的责任和执行有关程序的目标,以及其他可能影响测试的性质、时间和范围的事项;(3)明确告诉内审人员,应将他们工作中发现的所有重大会计和审计问题,提请注册会计师注意。
【例】注册会计师对特定内部审计工作进行评价时,应当考虑()(1998年试题)
A.内部审计工作范围是否适当
B.相关内部审计工作程序是否适当
C.审计工作底稿是否充分记录了所执行的工作
D.相关内部审计工作对有关情况的结论是否适当
【答案】ABCD
【答案】与“了解内部控制”部分中的“评价内部审计工作质量”结合。
八、双重目的测试
双重目的测试,是指在期中执行一项测试程序,能同时取得有关控制的有效性(控制测试)和报表中的重要错报和漏报(交易细节的实质性测试)这两个方面的证据。
同时执行两种测试一般比单独执行一种测试更加经济有效。
第四节 内部控制的(再)评价
【学习要领】本节重在理解控制风险是如何影响实质性测试的。
一、控制风险评价的概念
评价控制风险,是评价内部控制在防止或者发现和更正会计报表里的重要错报或漏报的有效程度的过程。
控制风险的评价是为会计报表的认定(不是为个别内部控制的要素或个别政策和程序)而进行的。
我们将评价控制风险所得到的结果,称为“控制风险估计水平。
”
二、控制风险评价的过程
1.控制风险的评价。
审计人员只有在确认以下事项的情况下,才能将控制风险评价为最高水平:
(1)控制政策和程序与认定不相关;
(2)控制政策和程序无效;
(3)取得证据来评价控制政策和程序显得不经济。
将控制风险评价为高水平,意味着内部控制不能及时防止或者发现和纠正某项认定中的错报或漏报的可能性很大。
如果很多认定或者所有的认定的控制风险,都被评价为高水平,那么,注册会计师就要研究是否对被审计单位会计报表进行审计。
审计人员只有在确认以下事项的情况下,才能将控制风险评价为低水平:
(1)控制政策和程序与认定相关;
(2)通过控制测试已获得证据证明控制有效。
2.控制风险评价的步骤。
注册会计师在对某项认定的控制风险进行评价时,必须遵循以下步骤:
(1)确认该项认定可能发生哪些潜在的错报或漏报;
(2)确认哪些控制可以防止或者发现和更正这些错报或漏报;
(3)执行控制测试,获取这些控制是否适当设计和有效执行的证据;
(4)评价所获得的证据;
(5)评价该项认定的控制风险。
3.应注意的几个问题。
注册会计师在评价控制风险时,应注意以下几点:
(1)必须以通过了解内部控制和执行控制测试所获得的证据,作为评价的依据;
(2)充分运用专业判断;
(3)必须注意到内部控制制度的三个要素对某项特定会计报表认定的相互影响。
三、评价结果对实质性测试的影响
1.如果注册会计师评价企业内部控制为高信赖程度,说明控制风险为最低。
而控制风险越低,注册会计师就可以执行越有限的实质性测试。
2.如果内部控制很差,控制风险很高,那么,注册会计师只有依靠执行更多的实质性程序,才能控制检查风险处于低水平,进而控制审计风险处于低水平,保证审计质量。
内部控制目标与审计目标相互关联,一套无效的内部控制制度必然导致注册会计师增加实质性测试的工作量。
小规模企业的内部控制通常比较薄弱,固有风险和控制风险较高,注册会计师应主要或全部依赖实质性测试程序获取审计证据,以将检查风险降低至可接受的水平。
【例】初步评估的控制风险越低,注册会计师就应获取越多的关于内部控制设计合理和运行有效的证据。
()(1998年试题)
【答案】√
四、审计测试汇总
审计测试包括控制测试和实质性测试
下表有助于对两种测试的理解:
审计测试汇总表
特征
控制测试(控制测试)
实质性测试(证实测试)
对象
内部控制
会计数据(报表、账户、交易)
目的
确定内部控制政策和程序的设计和执行的有效性
确定重大财务报表项目认定的公允性
种类
同步控制测试
额外控制测试
计划控制测试
分析性程序
交易细节测试
余额细节测试
计量性质
内控发生的偏差率(次数)
交易和余额的错误金额
适用程序
询问、观察、检查、重新执行
询问、观察、检查、监盘、函证、分析性复核、计算等
时间
计划、期中
期中、期末
风险要素
控制风险
检查风险
测试风险
信赖过度险、信赖不足险
误受险、误拒险
抽样类型
属性抽样
变量抽样
强制性
不
是
证据
间接证据
直接证据
(本表涉及各章知识点,考生应比较学习,整理思维。
本表由我原创,于2001公开发表)
第五节 管理建议书
【学习要领】结合以前年度的考题,将管理建议书要求与内容多看几遍。
一、管理建议书的含义与要求
1.管理建议书,是指注册会计师针对审计过程中注意到的、可能导致被审计单位会计报表产生重大错报或漏报的内部控制重大缺陷提出的书面建议。
2.管理建议书提及的内部控制重大缺陷,仅为注册会计师在审计过程中注意到的,并非内部控制可能存在的全
升级会员 