cpa刘圣妮20讲义.docx

1、cpa刘圣妮20讲义2001第二十章 企业内部控制审计主要关注考点1.内部控制目标及分类（20.1）2.内部控制审计的定义（重点，20.1）3.内部控制审计的范围（20.1）4.计划审计工作时应当考虑的事项（20.2）5.总体审计策略和具体审计计划（重点，20.2）6.自上而下的方法的步骤（20.3）7.识别、了解和测试企业层面控制（20.3）8.识别重要账户、列报及其相关认定（20.3）9.了解潜在错报的来源并识别相应的控制（重点，20.3）10.选择拟测试的控制（重点，20.3）11.内部控制的有效性（20.4）12.与控制相关的风险（20.4）13.测试控制有效性的程序的性质（重点，20

2、.4）14.控制测试的时间安排（重点，20.4）15.控制测试的范围（重点，20.4）16.与控制环境相关的控制（20.5）17.针对凌驾风险而设计的控制（重点，20.5）18.被审计单位的风险评估过程（20.5）19.对内部信息传递和期末财务报告流程的控制（20.5）20.对控制有效性的内部监督和内部控制评价（20.5）21.集中化的处理和控制（包括共享的服务环境）（20.5）22.监督经营成果的控制（20.5）23.针对重大经营控制及风险管理实务的政策（20.5）24.了解企业经营活动和业务流程（20.6）25.识别可能发生错报的环节（20.6）26.识别和了解相关控制（重点，20.6）2

3、7.信息技术一般控制测试（20.7）28.信息技术应用控制测试（20.7）29.控制缺陷的分类（重点，20.8）30.评价控制缺陷的严重程度（重点，20.8）31.内部控制缺陷整改（20.8）32.形成审计意见（重点，20.9）33.无保留意见内部控制审计报告（重点，20.9）34.非无保留意见的内部控制审计报告（重点，20.9）35.强调事项、非财务报告内部控制缺陷（重点，20.9）第一节内部控制审计的概念【考点一】内部控制目标及分类（一）内部控制定义内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报

4、告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。（二）内部控制目标内部控制的目标包括以下五个方面：1.合理保证财务报告及相关信息的真实完整（报告目标）；2.合理保证资产安全（资产目标）；3.合理保证经营管理合法合规（遵循性目标）；4.提高经营效率效果（经营性目标）；5.促进企业实现发展战略（战略性目标）（三）财务报告内部控制与非财务报告内部控制1.财务报告内部控制（主要涉及内部控制的报告目标、资产目标）财务报告内部控制，是指公司的董事会、监事会、经理层及全体员工实施的旨在合理保证财务报告及相关信息真实、完整而设计和运行的内部控制，以及用于保护资产安全的内部控制中与财务报告可靠性

5、目标相关的控制。2.非财务报告内部控制（主要涉及内部控制的遵循性目标、经营性目标和战略性目标）非财务报告内部控制，是指除财务报告内部控制之外的其他控制，通常是指为了合理保证除财务报告及相关信息、资产安全外的其他控制目标的实现而设计和运行的内部控制。2002【考点二】内部控制审计的定义（重点）（一）内部控制审计的含义内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。（二）内部控制审计基准日1.注册会计师基于基准日内部控制的有效性发表意见，而不是对财务报表涵盖的整个期间的内部控制的有效性发表意见；2.对特定基准日内部控制的有效性发表意见，并不意味着注册会计师只

6、测试特定基准日这一天的内部控制，而是需要考察足够长一段时间内部控制设计和运行的情况。（三）财务报告内部控制审计与财务报表审计的整合进行1.整合审计（1）整合审计的含义整合审计，是指注册会计师将内部控制审计与财务报表审计整合进行。（2）整合审计的目标在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见；获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。2.内部控制审计与财务报表审计的区别与联系内部控制审计与财务报表审计二者之间既有联系，又有区别，具体情况如下表：内部控制审计与财

7、务报表审计比较比较项目内部控制审计财务报表审计1.审计目的对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露对财务报表是否在所有重大方面按照适用的财务报告编制基础编制并实现公允反映发表审计意见2.了解和测试内部控制的目的为了对内部控制的有效性发表审计意见为了识别、评估和应对重大错报风险，据此确定实质性程序的性质、时间安排和范围，并获取与财务报表是否在所有重大方面按照适用的财务报告编制基础编制相关的审计证据，以支持对财务报表发表的审计意见3.测试范围注册会计师应当针对所有重要账户

8、和列报的每一个相关认定获取控制设计和运行有效性的审计证据，以便对内部控制整体的有效性发表审计意见控制运行的有效性，获取充分、适当的审计证据：（1）在评估认定层次重大错报风险时，预期控制的运行是有效的（即在确定实质性程序的性质、时间安排和范围时，注册会计师拟信赖控制运行的有效性）；（2）仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。如果以上两种情况均不存在，注册会计师可能对部分认定，甚至全部认定都不测试内部控制的运行有效性4.测试期间对特定基准日内部控制的有效性发表意见，不需要测试整个会计期间，但要测试足够长的期间一旦确定需要测试，则需测试内部控制在整个拟信赖的期间的运行有效性5.测

9、试样本量对结论可靠性的要求高，测试的样本量大对结论可靠性要求取决于计划从控制测试中得到的保证程度(或减少实质性程序工作量的程度)，样本量相对要小6.结果报告（1）对外披露；（2）以正面、积极的方式对内部控制是否有效发表审计意见（1）通常不对外披露内部控制的情况，除非是内部控制影响到对财务报表发表的审计意见；（2）以管理建议书的方式向管理层或治理层报告财务报表审计过程中发现的内部控制重大缺陷，但注册会计师没有义务专门实施审计程序，以发现和报告内部控制重大缺陷【考点三】内部控制审计的范围（一）内部控制审计意见覆盖的范围1.针对财务报告内部控制，注册会计师对其有效性发表审计意见；2.针对非财务报告内

10、部控制，注册会计师针对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。（二）财务报告内部控制内容从注册会计师审计的角度，财务报告内部控制包括企业层面的内部控制和业务流程、应用系统或交易层面的内部控制：1.企业层面的内部控制（1）与控制环境相关的控制（如对诚信和道德价值沟通和落实、对胜任能力的重视、治理层的参与程度、管理层的理念和经营风格、组织结构、职权与责任的分配、人力资源政策与实务）。（2）针对管理层和治理层凌驾于内部控制之上的风险而设计的内部控制（例如针对重大非常规交易的控制、针对关联方交易的控制、减弱伪造或不恰

11、当操作财务结果的动机和压力的控制）。（3）被审计单位的风险评估过程（如何识别经营风险、估计其重要性、评估其发生的可能性、采取措施应对和管理风险及其结果）。（4）对内部信息传递和期末财务报告流程的控制（例如与会计政策选择和运用的程序、调整分录和合并分录的编制和批准、编制财务报表的）。（5）对控制有效性的内部监督（即监督其他控制的控制）和内部控制评价。（6）集中化的处理和控制、监控经营成果的控制，以及重大经营控制和风险管理实务的政策。2.业务流程、应用系统或交易层面的内部控制（1）业绩评价（对实际与预算、预测与前期、经营数据和财务数据、内部数据和外部数据作出的评价）；（2）信息处理（应用控制和信息

12、技术一般控制：前者如对计算准确性检查，对账户和试算平衡表审核，对例外报告的人工跟进；后者如程序变动控制，限制接触程序或数据的控制）；（3）实物控制（如保护资产的实物安全、对接触计算机程序和数据文档设置授权、定期盘点并将盘点记录与控制记录相核对）；（4）职责分离（即将交易授权、记录交易以及资产保管等职责分配给不同的员工）。2003第二节计划审计工作【考点一】计划审计工作时应当考虑的事项（一）与企业相关的风险1.了解事项注册会计师通常通过询问被审计单位的高级管理人员、考虑宏观形势对企业的影响并结合以往的审计经验，了解企业在经营活动中面临的各种风险，并重点关注那些对财务报表可能产生重要影响的风险以及

13、这些风险当年的变化。2.了解目的注册会计师了解企业面临的风险可以帮助识别重大错报风险，继而帮助注册会计师识别重要账户、重要列报和相关认定以及识别重大业务流程，对内部控制审计的重大风险形成初步评价。（二）相关法律法规和行业概况1.了解法律法规事项（1）注册会计师应当了解与被审计单位业务相关的法律法规及其合规性。在整合审计中，注册会计师应当重点关注可能直接影响财务报表金额与披露的法律法规，如税法、高度监管行业的监管法规（如适用）等。（2）注册会计师通过询问董事会、管理人员和相关部门人员以及检查被审计单位与监管部门的往来函件，关注被审计单位的违法违规情况，考虑违法违规行为可能导致的罚款、诉讼及其他可

14、能对企业财务报表产生重大影响的事件，并初步判断是否可能造成非财务报告内部控制的重大缺陷。2.了解行业概况事项注册会计师应了解行业因素以确定其对被审计单位经营环境的影响。例如，注册会计师应考虑:（1）被审计单位的竞争环境，如市场容量、市场份额、竞争优势、季节性因素等；（2）被审计单位与客户及供应商的关系，如信用条件、销售渠道、是否为关联方等；（3）技术的发展，如与企业产品、能源供应及成本有关的技术发展。（三）企业组织结构、经营特点和资本结构等相关重要事项1.了解事项注册会计师应当了解被审计单位组织结构、经营特点和资本结构的以下具体方面：（1）股权结构、企业的实际控制人及关联方；（2）企业的子公司

15、、合营公司、联营公司以及财务报表合并范围；（3）企业的组织机构、治理结构；（4）业务及区域的分部设置和管理架构；（5）企业的负债结构和主要条款，包括资产负债表外的筹资安排和租赁安排等。2.了解目的注册会计师了解企业的这些情况，以便评价企业是否存在重大的、可能引起重大错报的非常规业务和关联交易，是否构成重大错报风险，以及相关的内部控制是否可能存在重大缺陷。（四）企业内部控制最近发生变化的程度1.了解事项注册会计师应当了解被审计单位本期内部控制发生的变化以及变化的程度，包括新增的业务流程、原有业务流程的更新、内部控制执行人的变更等。2.了解目的注册会计师了解企业本期内部控制最近发生的变化以及变化的

16、程度，有助于注册会计师相应地调整审计计划。（五）与企业沟通过的内部控制缺陷1.了解事项注册会计师应当了解被审计单位对以前年度审计中发现的内部控制缺陷所采取的改进措施及改进结果，并相应适当地调整本年的内部控制审计计划。如果以前年度发现的内部控制缺陷未得到有效整改，则注册会计师需要评价这些缺陷对当期的内部控制审计意见的影响。2.了解目的注册会计师应当阅读企业当期的内部审计报告，评价内部审计报告中发现的控制缺陷是否与内部控制审计相关且对内部控制审计程序和审计意见的影响。（六）重要性、风险等与确定内部控制重大缺陷相关的因素1.总体要求注册会计师应当对与确定内部控制重大缺陷相关的重要性、风险及其他因素进

17、行初步判断。2.了解目的对于已识别的风险，注册会计师应当评价其对财务报表和内部控制的影响程度。注册会计师应当更多地关注内部控制审计的高风险领域，而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。（七）对内部控制有效性的初步判断1.总体要求注册会计师综合上述考虑以及借鉴以前年度的审计经验，形成对企业内部控制有效性的初步判断。2.了解事项对于内部控制可能存在重大缺陷的领域，注册会计师应给予充分的关注，具体表现在：（1）对相关的内部控制亲自进行测试而非利用他人工作；（2）在接近内部控制评价基准日的时间测试内部控制；（3）选择更多的子公司或业务部门进行测试；（4）增加相关内部控制的控制

18、测试量等。（八）可获取的、与内部控制有效性相关的证据的类型和范围1.注册会计师应当了解可获取的、与内部控制有效性相关的证据的类型和范围。2.注册会计师应当根据中国注册会计师审计准则第1301号审计证据对可获取的审计证据的充分性和适当性进行评价，以更好地计划内部控制测试的时间、性质和范围。3.内部控制的特定领域存在重大缺陷的风险越高，注册会计师所需获取的审计证据客观性、可靠性越强。【考点二】总体审计策略和具体审计计划（重点）（一）总体审计策略与具体审计计划的关系1.总体审计策略的含义总体审计策略用以总结计划阶段的成果，确定审计的范围、时间和方向，并指导具体审计计划的制定。2.总体审计策略与具体审

19、计计划内在联系制定总体审计策略的过程有助于注册会计师结合风险评估程序的结果确定下列事项：（1）向具体审计领域分配资源的类别和数量，包括向高风险领域分派经验丰富的项目组成员，向高风险领域分配的审计时间预算等；（2）何时分配这些资源，包括是在期中审计阶段还是在关键日期调配资源等；（3）如何管理、指导和监督这些资源，包括预期何时召开项目组预备会和总结会，预期项目合伙人和经理如何进行复核，是否需要实施项目质量控制复核等。（二）总体审计策略的内容注册会计师应当在总体审计策略中体现下列内容：1.确定审计业务的特征，以界定审计范围。2.明确审计业务的报告目标，以计划审计的时间安排和所需沟通的性质。3.根据职

20、业判断，考虑用以指导项目组工作方向的重要因素。4.考虑初步业务活动的结果，并考虑对被审计单位执行其他业务时获得的经验是否与内部控制审计业务相关。5.确定执行业务所需资源的性质、时间安排和范围。（三）具体审计计划1.具体审计计划的含义具体审计计划比总体审计策略更加详细，内容包括项目组成员拟实施的审计程序的性质、时间安排和范围。2.具体审计计划的内容注册会计师应当在具体审计计划中体现下列内容：（1）了解和识别内部控制的程序的性质、时间安排和范围；（2）测试控制设计有效性的程序的性质、时间安排和范围；（3）测试控制运行有效性的程序的性质、时间安排和范围。2004第三节自上而下的方法【考点一】自上而下

21、的方法的步骤（一）自上而下方法的工作思路自上而下的方法始于财务报表层次，以注册会计师对财务报告内部控制整体风险的了解开始，然后，将关注重点放在企业层面的控制上，并将工作逐渐下移至重要账户、列报及其相关认定。随后，验证其对被审计单位业务流程中风险的了解，并选择能足以应对评估的每个相关认定的重大错报风险的控制进行测试。（二）自上而下的方法的步骤1.从财务报表层次初步了解内部控制整体风险；2.识别、了解和测试企业层面控制；3.识别重要账户、列报及其相关认定；4.了解潜在错报的来源并识别相应的控制；5.选择拟测试的控制。【考点二】识别、了解和测试企业层面控制 （一）企业层面控制的内涵1.企业层面控制的

22、含义企业层面的控制通常为应对企业财务报表整体层面的风险而设计，或作为其他控制运行的“基础设施”，通常在比业务流程更高的层面上乃至整个企业范围内运行，其作用比较广泛，通常不局限于某个具体认定。2.企业层面控制的内容（1）与控制环境（即内部环境）相关的控制；（2）针对管理层和治理层凌驾于控制之上的风险而设计的控制；（3）被审计单位的风险评估过程；（4）对内部信息传递和期末财务报告流程的控制；（5）对控制有效性的内部监督（即监督其他控制的控制）和内部控制评价。此外，集中化的处理和控制（包括共享的服务环境）、监控经营成果的控制以及针对重大经营控制及风险管理实务的政策也属于企业层面控制。3.企业层面控制

23、与业务流程、应用系统或交易层面控制（1）企业的内部控制分为企业层面控制和业务流程、应用系统或交易层面的控制两个层面。（2）业务流程、应用系统或交易层面的控制为应对交易和账户余额认定的重大错报风险而设计，通常在业务流程内的交易或账户余额层面上运行，其作用通常能够对应到具体某类交易和账户余额的具体认定。（二）企业层面控制对其他控制及其测试的影响1.某些企业层面控制，例如某些与控制环境相关的控制，对重大错报是否能够被及时防止或发现的可能性有重要影响，虽然这种影响是间接的，但这些控制可能影响注册会计师拟测试的其他控制及其对其他控制所执行程序的性质、时间安排和范围。2.某些企业层面控制能够监督其他控制的

24、有效性。管理层设计这些控制可能是为了识别其他控制可能出现的失效情况。但是，这些控制本身并非精确到足以及时防止或发现相关认定的重大错报。当这些控制运行有效时，注册会计师可以减少原本拟对其他控制的有效性进行的测试。3.某些企业层面控制本身能精确到足以及时防止或发现一个或多个相关认定中存在的重大错报。如果一项企业层面控制足以应对已评估的重大错报风险，注册会计师可能可以不必测试与该风险相关的其他控制。一般而言，注册会计师可以分析某个控制是否有足够的精确度以及时防止或发现财务报表重大错报，并且考虑以下因素：（1）内部控制对应的重要账户及列报的性质；（2）对某些比较稳定或具备预期内在关系的账户，管理层实施

25、的分析对发现财务报表重大错报具有足够的精确度；（3）管理层分析的细化程度。【考点三】识别重要账户、列报及其相关认定（一）重要账户或列报的含义如果某账户或列报可能存在一个错报，该错报单独或连同其他错报将导致财务报表发生重大错报，则该账户或列报为重要账户或列报。（二）评价重要账户或列报1.评价标准在识别重要账户、列报及其相关认定时，注册会计师应当从定性和定量两个方面作出评价，包括考虑舞弊的影响。2.定量评价（1）超过财务报表整体重要性的账户，无论是在内部控制审计还是财务报表审计中，通常情况下被认定为重要账户。（2）一个账户或列报，即使从性质方面考虑与之相关的风险较小，其金额超过财务报表整体重要性越

26、多，该账户或列报被认定为重要账户或列报的可能性就越大。但是，一个账户或列报的金额超过财务报表整体重要性，并不必然表明其属于重要账户或列报，因为注册会计师还需要考虑定性的因素。同理，定性的因素也可能导致注册会计师将低于财务报表整体重要性的账户或列报认定为重要账户或列报。3.定性评价从性质上说，注册会计师可能因为某账户或列报受固有风险或舞弊风险的影响而将其确定为重要账户或列报，因为即使该账户或列报从金额上看并不重大，但这些固有风险或舞弊风险很有可能导致重大错报（该错报单独或连同其他错报将导致财务报表发生重大错报）。4.评价重大错报的可能来源在确定某账户、列报是否重要和某认定是否相关时，注册会计师应

27、当将所有可获得的信息加以综合考虑。例如，在识别重要账户、列报及其相关认定时，注册会计师还应当确定重大错报的可能来源。注册会计师可以通过考虑在特定的重要账户或列报中错报可能发生的领域和原因，确定重大错报的可能来源。5.根据以前年度审计中了解的情况评价（1）以前年度审计中了解到的情况影响注册会计师对固有风险的评估，因而应当在确定重要账户、列报及其相关认定时加以考虑。（2）以前年度审计中识别的错报会影响注册会计师对某账户、列报及其相关认定固有风险的评估。【考点四】了解潜在错报的来源并识别相应的控制（重点）（一）了解潜在错报的来源注册会计师应当实现下列目标，以进一步了解潜在错报的来源，并为选择拟测试的

28、控制奠定基础：1.了解与相关认定有关的交易的处理流程，包括这些交易如何生成、批准、处理及记录；2.验证注册会计师识别出的业务流程中可能发生重大错报（包括由于舞弊导致的错报）的环节；3.识别被审计单位用于应对这些错报或潜在错报的控制；4.识别被审计单位用于及时防止或发现并纠正XX的、导致重大错报的资产取得、使用或处置的控制。注册会计师应当亲自执行能够实现上述目标的程序，或对提供直接帮助的人员的工作进行督导。（二）实施穿行测试（重点）1.需要实施穿行测试的情况（细节）在某些特定情况下，注册会计师一般会实施穿行测试，这些情况包括：（1）存在较高固有风险的复杂领域；（2）以前年度审计中识别出的缺陷（需

29、要考虑缺陷的严重程度）；（3）由于引入新的人员、新的系统、收购和采取新的会计政策而导致流程发生重大变化。2.穿行测试的规模（细节）（1）一般而言，对每个重要流程，选取一笔交易或事项实施穿行测试即可。（2）如果被审计单位采用集中化的系统为多个组成部分执行重要流程，则可能不必在每个重要的经营场所或业务单位选取一笔交易或事项实施穿行测试。3.穿行测试需要涉及的审计程序（细节）注册会计师在实施穿行测试时往往综合运用询问、观察、检查和重新执行。穿行测试是一种评估设计有效性的有效方法。【考点五】选择拟测试的控制（重点）（一）选择拟测试控制的基本要求1.针对每一相关认定（基本观点）注册会计师应当针对每一相关

30、认定获取控制有效性的审计证据，以便对内部控制整体的有效性发表意见，但没有责任对单项控制的有效性发表意见。2.选择具有重要影响的控制进行测试（基本观点）注册会计师应当对被审计单位的控制是否足以应对评估的每个相关认定的错报风险形成结论。因此，注册会计师应当选择对形成这一评价结论具有重要影响的控制进行测试。3.没有必要测试与某项相关认定有关的所有控制（基本观点）对特定的相关认定而言，可能有多项控制用以应对评估的错报风险；反之，一项控制也可能应对评估的多项相关认定的错报风险。注册会计师没有必要测试与某项相关认定有关的所有控制。4.确定是否测试某项控制依据（基本观点）在确定是否测试某项控制时，注册会计师

31、应当考虑该项控制单独或连同其他控制，是否足以应对评估的某项相关认定的错报风险，而不论该项控制的分类和名称如何。（二）选择拟测试的控制的考虑因素（重点）1.选择关键控制测试（基本观点）注册会计师在选取拟测试的控制时，通常不会选取整个流程中的所有控制，而是选择关键控制，即能够为一个或多个重要账户或列报的一个或多个相关认定提供最有效果或最有效率的证据的控制。每个重要账户、认定和/或重大错报风险至少应当有一个对应的关键控制。2.选择关键控制应考虑的因素（1）哪些控制是不可缺少的？（2）哪些控制直接针对相关认定？（3）哪些控制可以应对错误或舞弊导致的重大错报风险？（4）控制的运行是否足够精确。3.可能不必测试所有流程、交易或应用层面的控制（基本观点）（1）在采用自上而下的方法执行内部控制审计时，如果识别并选取了能够充分应对重大错报风险的控制，则不需要再测试针对同样认定的其他控制。（2）注册会计师在考虑是否有必要测试业务流程、应用系统或交易