第八章 控制测试与实质性程序 目的与要求 了解内控的构成、局限及了解程序和记录方法 掌据控制测试和实质性程序 ·重点与难点: 审计的特征 审计业务与审阅业务 课时 4学时 导入: 罗宾斯案件暴露了当时审计程序的不足。美国注册会计师协会修订了审计程序准 则,其中要求注册会计师对企业的内部控制进行评价,从此把被审计单位的内部控制纳入审 计视线, 成为审计工作不可或缺的 第一节内部控制概述 内部控制: ·为了合理保证企业财务报告的可靠性、经营的效率和效果、资产的安全以及对法律 法规的尊守,由企业治理层、管理层和全体员工设计和执行的玫笛和程序。 两个假设以:两个或两个以上的人或部门无意识地犯同样错误的可能性很小:有意 识地串通舞弊的可能性大大低于 个人或部门烨弊的可能性 ·两个凡是:凡是经营上有动作,财务上一定要有反映:凡是财务上有反映,经营上 一定票有动作 一、内部控制的要素 控制环境本身并不能防止或发现并纠正重大错报,但它设定了企业内部控制基调,影响员工 对内部控制的认识和态度。 ®三鹿事件内控分析(见审计案例集) 事麦, 1企业文化建设 2.治理结料 3.组织机构及权责分配 4.人力资源政策与实务 5.内部审计工作 (一)风哈管理 1.识别风险 2.评估风险 3.应对风险 (三)信息与沟通 1.信息的收集 2.信息的处理 3信息的沟通 4.在信息与沟通中运用信息技术 (四)控制活动 1.职责分离
第八章 控制测试 与实质性程序 • 目的与要求: 了解内控的构成、局限及了解程序和记录方法 掌握控制测试和实质性程序 • 重点与难点: 审计的特征 审计业务与审阅业务 • 课时: 4 学时 导入: 罗宾斯案件暴露了当时审计程序的不足。美国注册会计师协会修订了审计程序准 则,其中要求注册会计师对企业的内部控制进行评价,从此把被审计单位的内部控制纳入审 计视线,成为审计工作不可或缺的内容。 第一节 内部控制概述 内部控制: • 为了合理保证企业财务报告的可靠性、经营的效率和效果、资产的安全以及对法律 法规的遵守,由企业治理层、管理层和全体员工设计和执行的政策和程序。 • 两个假设以:两个或两个以上的人或部门无意识地犯同样错误的可能性很小;有意 识地串通舞弊的可能性大大低于一个人或部门舞弊的可能性 • 两个凡是:凡是经营上有动作,财务上一定要有反映;凡是财务上有反映,经营上 一定要有动作 一、内部控制的要素 (一)控制环境 控制环境本身并不能防止或发现并纠正重大错报,但它设定了企业内部控制基调,影响员工 对内部控制的认识和态度。 三鹿事件内控分析(见审计案例集) 要素: 1.企业文化建设 2.治理结构 3.组织机构及权责分配 4.人力资源政策与实务 5.内部审计工作 (二)风险管理 1.识别风险 2.评估风险 3.应对风险 (三) 信息与沟通 1.信息的收集 2.信息的处理 3.信息的沟通 4.在信息与沟通中运用信息技术 (四) 控制活动 1.职责分离
·交易授权、执行、记录、稻核、资产保管、资产清查相分离: ·职责分离的程度视企业的规模而定。小规模企业职责分离的程度要差一些 2.授权控制 (1)常规授权 在日常经营管理活动中按照既定的职责和程序进行的授权。 比如,营销部门可以根据己经形成的有关销售政策、信用政策与顾客进行交易。 (2)特别授权 在特殊情况、特定条件下进行的授权 如重大资本支出和股票发行的授权:因某些特别原因,批准向某个不符合一般信用标准的顾 客赊销商品 3.会计系统控制 企业应严格执行国家统一的会计法律法规, 加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料直 虹 4.财产保护控制 采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。严格限制未经授权 的人员接触和处置财产。 5独立检查 即定期或不定期地由提供数据以外的人员对已记录的交易与事项的合法性、正确性进行检查 比如,复核 6.绩效考评控制 建立和实施绩效考评制度,科学设置考核指标体系,对企业内部各责任单位和全体员工的业 绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调 岗、辞退等的依据。 预算控制 预算就是结合整体目标及资源调配能力,经过合理预测、综合计算和全面平衡,对生产经营 和财务事项的额度、经费进行合理的计划和安排。 企业应当建立预算管理体系,明确预算编制、审批、执行、分析、考核等各部门、各环节 的职责任务、工作程序和具体要求。 8运营分析控制 建立运营情况分析制度,管理层应当综合运用生产、购销、投资、筹资、财务等方面的信息 通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及 时查明原因并加以改进。 ©内部控制十大漏洞(见审计案例集】 (五)对控制的监督 日常监督 2.专项监督 3.与外部沟通 4.纠正 5.自我评 企业尤其应对关键控制点实施控制,关键控制点一未加控制就容易发生错误或舞弊 的业务环节 可能的错报环节)。 二、内部控制的局限性 1.执行人错误
• 交易授权、执行、记录、稽核、资产保管、资产清查相分离; • 职责分离的程度视企业的规模而定。小规模企业职责分离的程度要差一些 2.授权控制 (1)常规授权 在日常经营管理活动中按照既定的职责和程序进行的授权。 比如,营销部门可以根据已经形成的有关销售政策、信用政策与顾客进行交易。 (2)特别授权 在特殊情况、特定条件下进行的授权。 如重大资本支出和股票发行的授权;因某些特别原因,批准向某个不符合一般信用标准的顾 客赊销商品 3.会计系统控制 企业应严格执行国家统一的会计法律法规, 加强会计基础工作,明确会计凭证、会计账簿和财务会计报告的处理程序,保证会计资料真 实完整。 4. 财产保护控制 采取财产记录、实物保管、定期盘点、账实核对等措施,确保财产安全。严格限制未经授权 的人员接触和处置财产。 5.独立检查 即定期或不定期地由提供数据以外的人员对已记录的交易与事项的合法性、正确性进行检查。 比如,复核。 6.绩效考评控制 建立和实施绩效考评制度,科学设置考核指标体系,对企业内部各责任单位和全体员工的业 绩进行定期考核和客观评价,将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调 岗、辞退等的依据。 7.预算控制 预算就是结合整体目标及资源调配能力,经过合理预测、综合计算和全面平衡,对生产经营 和财务事项的额度、经费进行合理的计划和安排。 企业应当建立预算管理体系,明确预算编制、审批、执行、分析、考核等各部门、各环节 的职责任务、工作程序和具体要求。 8.运营分析控制 建立运营情况分析制度,管理层应当综合运用生产、购销、投资、筹资、财务等方面的信息, 通过因素分析、对比分析、趋势分析等方法,定期开展运营情况分析,发现存在的问题,及 时查明原因并加以改进。 内部控制十大漏洞(见审计案例集) (五)对控制的监督 1. 日常监督 2. 专项监督 3. 与外部沟通 4. 纠正 5. 自我评价 • 企业尤其应对关键控制点实施控制。关键控制点-未加控制就容易发生错误或舞弊 的业务环节(即可能的错报环节)。 二、内部控制的局限性 1.执行人错误
·2011年温州“5.9”假运纱车案(见案例集) 2.串通舞弊 管理层凌驾控制 4.成本限制 5.例外事项失控 6.修订跟不上变化 第二节了解并评价内部控制 了解内部控制 是评价控制的设计 考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报: 二是确定控制是否得到执行 某项控制存在且正在使用 一、了解内部控制的程序 了解内 每 审计都必须实施的,即使是对小型被审计单位,注册会计师依然要考虑 其内部控制能否发挥作用 (一)询问被审计单位的有关人员 (二)观察特定控制的运行 (三)检查文件和报告 二、了解并评价内部控制 )在整体层面了解内部控制 1.了解控制环境 2.了解风险管理 3.了解信息与沟通 (二)在整体层面评价内部控制 基于上述了解的要点与执行的程序,去评价被审计单位整体层面的内部控制设计是否合理, 是否得到执行,识别的缺路是否属于重大缺陷,得出相应的结论。 部控制存在重大缺陷的情形 如 注册会计师在审计中发现了重大错报,而被审计单位内部控制没有发现 控制环境薄弱: 存在舞弊迹象等。 三、在业务流程层面了解并评价内部控制 (一)确定被审计单位的重要业务流程和重要交易类别 了解重要交易流程并记录 (三)确定可能发生错报的环节 (四)识别和了解相关控制并记求 (五)执行穿行测试 ·穿行测试:通过追踪交易在财务报告信息系统中的处理过程,即选择某笔或某几笔 具有代表性的交易追踪其从发生到记账的整个流程,来证实之前通过其他程序所获 得的关 被审计单位的交易流程和控制的信息是否准确、完整 穿行测试运用的程序: 询问执行交易流程各个处理环节和控制的相关人员,以了解其对岗位职责的理解,并判断 控制是否得到执行:
• 2011 年温州“5.9”假运钞车案(见案例集) 2.串通舞弊 3.管理层凌驾控制 4.成本限制 5.例外事项失控 6.修订跟不上变化 第二节 了解并评价内部控制 了解内部控制: 一是评价控制的设计; 考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报; 二是确定控制是否得到执行 某项控制存在且正在使用。 一、了解内部控制的程序 了解内部控制是每次审计都必须实施的,即使是对小型被审计单位,注册会计师依然要考虑 其内部控制能否发挥作用。 (一)询问被审计单位的有关人员 (二)观察特定控制的运行 (三)检查文件和报告 二、了解并评价内部控制 (一)在整体层面了解内部控制 1.了解控制环境 2.了解风险管理 3.了解信息与沟通 4.了解控制活动 5.了解对控制的监督 (二)在整体层面评价内部控制 基于上述了解的要点与执行的程序,去评价被审计单位整体层面的内部控制设计是否合理, 是否得到执行,识别的缺陷是否属于重大缺陷,得出相应的结论。 • 内部控制存在重大缺陷的情形: 如:注册会计师在审计中发现了重大错报,而被审计单位内部控制没有发现; 控制环境薄弱; 存在舞弊迹象等。 三、在业务流程层面了解并评价内部控制 (一)确定被审计单位的重要业务流程和重要交易类别 (二)了解重要交易流程并记录 (三)确定可能发生错报的环节 (四)识别和了解相关控制并记录 (五)执行穿行测试 • 穿行测试:通过追踪交易在财务报告信息系统中的处理过程,即选择某笔或某几笔 具有代表性的交易追踪其从发生到记账的整个流程,来证实之前通过其他程序所获 得的关于被审计单位的交易流程和控制的信息是否准确、完整。 • 穿行测试 运用的程序: 询问执行交易流程各个处理环节和控制的相关人员,以了解其对岗位职责的理解,并判断 控制是否得到执行;
检杏右关记录和文件: 观察有关控制的执行」 即使不打算在业务流程层面对相关控制进行了解,仍应执行穿行测试,以验证之前 对交易流程及可能发生错报的环节的了解是否准确和完整 (六)初步评价内部控制 可能的结论): 1控制设计合理,并得到执行 2,控制设计合理,但没有得到执行 3控制设计无效或缺乏必要的控制 ·注册会计师需要了解和评价的内部控制只是与审计相关的内部控制,并非被审计单 位所有的内部控制。 四、记录内部控制的方式 (一)文字表述 (三)流程图 第三节控制测试 控制测试 为了确定控制运行有效性而实施的审计程序。 罗宾斯药材案(见案例集 一、控制测试的要求 ·控制测试并非在任何情况下都需要实施。 ·实施控制测试的情形有两种: (一)预期控制有效运行 仅实施实质性程序不足以获取认定层次充分、适当的审计证据 二、控制测试的性质 (一)询问 (二)观哀 (三)检春 (四)重新执行 三、控制测试的时间 (一)测试所针对的控制适用的时点或期间 1时点测试 2.期间测试 (二)何时实施控制测试 1.期中测 2利用以前审计获取的审计证据 (1)如果未发生变化,本次可能执行控制测试,也可利用以前审计获取的有关控制运行有 效性的审计证据,但两次测试的 时间间隔不得超过两年。 (2)如果已发生变化,应在本期实施控制测试, (3)对于旨在减轻特别风险的控制,不论该控制是否变化,都应在本期执行控制测试 (4)应在每一次审计中都选取足够数量的部分控制进行测试,即不应将所有拟信赖控制的 测试集中于某一次审计,而在之后的审计中不对任何控制进行测试
检查有关记录和文件; 观察有关控制的执行。 • 即使不打算在业务流程层面对相关控制进行了解,仍应执行穿行测试,以验证之前 对交易流程及可能发生错报的环节的了解是否准确和完整。 (六)初步评价内部控制 (可能的结论 ): 1.控制设计合理,并得到执行。 2.控制设计合理,但没有得到执行。 3.控制设计无效或缺乏必要的控制。 • 注册会计师需要了解和评价的内部控制只是与审计相关的内部控制,并非被审计单 位所有的内部控制。 四、记录内部控制的方式 (一)文字表述 (二)调查表 (三)流程图 第三节 控制测试 控制测试 : 为了确定控制运行有效性而实施的审计程序。 • 罗宾斯药材案(见案例集) 一、控制测试的要求 • 控制测试并非在任何情况下都需要实施。 • 实施控制测试的情形有两种: (一)预期控制有效运行 (二)仅实施实质性程序不足以获取认定层次充分、适当的审计证据 二、控制测试的性质 (一)询问 (二)观察 (三)检查 (四)重新执行 三、控制测试的时间 (一)测试所针对的控制适用的时点或期间 1.时点测试 2.期间测试 (二)何时实施控制测试 1.期中测试 2.利用以前审计获取的审计证据 (1)如果未发生变化,本次可能执行控制测试,也可利用以前审计获取的有关控制运行有 效性的审计证据,但两次测试的 时间间隔不得超过两年。 (2)如果已发生变化,应在本期实施控制测试。 (3)对于旨在减轻特别风险的控制,不论该控制是否变化,都应在本期执行控制测试。 (4)应在每一次审计中都选取足够数量的部分控制进行测试,即不应将所有拟信赖控制的 测试集中于某一次审计,而在之后的审计中不对任何控制进行测试
四、控制测试的范围 对某项控制活动测试的次数。 控制测试范围的确定 主要受对控制初步评价的结果的影响, 在了解控制后,如果认为相关控制风险较低,即对控制运行有效性的拟信赖程 度较高,则需要更充分、适当的证据来支持这种高信赖,因此实施控制测试的范围就大。 五、控制测试的结论 1控制右效坛行,可以信筑 ”不可信赖 六、了解内部控制与控制测试的关系 区别:目的不同 所需获取的审计证据不同 联系:在了解内部控制时,有时可能同时执行控制测试以提高审计效率 第四节实质性程序 实质性程序 直接用以发现认定层次的重大错报而实施的审计程序。 ·无论评估的重大错报风险结果如何,都应当针对所有重大交易、账户余额、列报实 施实质性程序,以应对识别的认定层次重大错报风险。 一、实质性程序的性质 实质性程序的类型及其组合 (一)细节测试 针对各类交易、账户余额、列报的具体细节(如时间、金额)进行测试,目的在于直接识别 财务报表认定是否存在重大错报。 诵常可采用检查记录或文件、检杏有形资产、观察、询问、函证、重新计算等审 计程序。 实质性分析程序 将分析程序用作实质性程序:通常针对在一段 时期内存在稳定的预期关系的大量交易,通过研究数据间关系来评价信总,用以识别有关的 财务报表认定是否存在重大错报。 ·对银广夏2000年度主营业务收入的审计(见案例集) 二、实质性程序的时间 (一)期末测试 (二)期中测试 (三)利用以前审计获取的审计证据 ·只有当以前获取的审计证据及其相关事项未发生重大变动时,以前获取的审计证据 可用 本期的有效审计证据 三、实质性程序的范 评估的认定层次重大错报风险越高,需要实施的实质性程序范围越, 如果对控制测试结果不满意,注册会计师应当考虑扩大实质性程序范围 ·四、控制测试结果对实质性程序的影响 1加果控制测试结果表明 一认定的控制有效运行,支持低水平的风险评估结论,对其有 较高程度的信赖,则 需从实质性程序中 取较低程度的保证 2.如果控制测试结果表明某一认定的控制并未有效运行,不支持低水平的风险评估结论 对其不能信赖,就需要从实质性程序中获取较高程度的保证。 ·控制测试结果对实质性程序的性质、时间和范围都可能产生影响
四、控制测试的范围 • 对某项控制活动测试的次数。 • 控制测试范围的确定,主要受对控制初步评价的结果的影响。 在了解控制后,如果认为相关控制风险较低,即对控制运行有效性的拟信赖程 度较高,则需要更充分、适当的证据来支持这种高信赖,因此实施控制测试的范围就大。 五、控制测试的结论 1.控制有效运行,可以信赖。 2.控制运行无效,不可信赖。 六、了解内部控制与控制测试的关系 区别:目的不同 所需获取的审计证据不同 联系:在了解内部控制时,有时可能同时执行控制测试,以提高审计效率 第四节 实质性程序 • 实质性程序 直接用以发现认定层次的重大错报而实施的审计程序。 • 无论评估的重大错报风险结果如何,都应当针对所有重大交易、账户余额、列报实 施实质性程序,以应对识别的认定层次重大错报风险。 一、实质性程序的性质 • 实质性程序的类型及其组合 (一)细节测试 针对各类交易、账户余额、列报的具体细节(如时间、金额)进行测试,目的在于直接识别 财务报表认定是否存在重大错报。 通常可采用检查记录或文件、检查有形资产、观察、询问、函证、重新计算等审 计程序。 (二)实质性分析程序 将分析程序用作实质性程序: 通常针对在一段 时期内存在稳定的预期关系的大量交易,通过研究数据间关系来评价信息,用以识别有关的 财务报表认定是否存在重大错报 。 • 对银广夏 2000 年度主营业务收入的审计(见案例集) 二、实质性程序的时间 (一)期末测试 (二)期中测试 (三)利用以前审计获取的审计证据 • 只有当以前获取的审计证据及其相关事项未发生重大变动时,以前获取的审计证据 才可用作本期的有效审计证据 三、实质性程序的范围 • 评估的认定层次重大错报风险越高,需要实施的实质性程序范围越广 • 如果对控制测试结果不满意,注册会计师应当考虑扩大实质性程序范围 • 四、控制测试结果对实质性程序的影响 1.如果控制测试结果表明某一认定的控制有效运行,支持低水平的风险评估结论,对其有 较高程度的信赖,则只需从实质性程序中获取较低程度的保证。 2.如果控制测试结果表明某一认定的控制并未有效运行,不支持低水平的风险评估结论, 对其不能信赖,就需要从实质性程序中获取较高程度的保证。 • 控制测试结果对实质性程序的性质、时间和范围都可能产生影响
五、双重目的测试 针对同一交易同时实施控制测试和细节测试,取得控制运行情况的证据,同时获得交易某项 认定正确性的证据,以实现双重目的
五、双重目的测试 针对同一交易同时实施控制测试和细节测试,取得控制运行情况的证据,同时获得交易某项 认定正确性的证据,以实现双重目的