某公司内部控制及测试管理评价.pptx

《某公司内部控制及测试管理评价.pptx》由会员分享，可在线阅读，更多相关《某公司内部控制及测试管理评价.pptx（101页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、内部控制及其测试与评价内部控制及其测试与评价1基本内容基本内容n n内部控制的概述n n了解与记录内部控制n n内部控制测试n n内部控制评价2一、内部控制概述一、内部控制概述n n内部控制的内涵n n内部控制的要素n n与审计相关的控制n n内部控制的局限性3一、内部控制概述n n（一）（一）内部控制的内涵内部控制的内涵n n1.1.定义：定义：内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。4一、内部控制概述n n（一）（一）内部控制的内涵内部控制的内涵n n2.2.目标：目标：财务报告的可靠性，这一

2、目标与管理层履行财务报告编制责任密切相关；经营的效率和效果：即经济有效地使用企业资源，以最优方式实现企业的目标；在所有经营活动中遵守法律法规的要求，即在法律法规的框架下从事经营活动。5一、内部控制概述n n（一）（一）内部控制的内涵内部控制的内涵 3.3.责任主体：责任主体：设计和实施内部控制的责任主体是治理层、管理层和其他人员，组织中的每一个人都对内部控制负有责任。4.实现手段：实现内部控制目标的手段是设计和执行控制政策和程序。6一、内部控制概述n n（二）（二）内部控制的要素内部控制的要素 1.控制环境控制环境 2.风险评估过程风险评估过程 3.信息系统与沟通信息系统与沟通 4.控制活动控

3、制活动 5.对控制的监督对控制的监督7一、内部控制概述n n（二）（二）内部控制的要素内部控制的要素 1.控制环境控制环境 定义：控制环境包括治理职能和管理职能，定义：控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的以及治理层和管理层对内部控制及其重要性的态度、认识和措施。态度、认识和措施。8一、内部控制概述n n（二）（二）内部控制的要素内部控制的要素 1.控制环境控制环境n n 要素：要素：n n 对诚信和道德价值观念的沟通与落实；对诚信和道德价值观念的沟通与落实；（从管理层和细微之处看）（从管理层和细微之处看）n n 对胜任能力的重视；对胜任能力的重视；（是认人为

4、贤还是（是认人为贤还是认人为亲，是否重视对员工的培训）认人为亲，是否重视对员工的培训）治理层的参与程度；（董事会是否独立治理层的参与程度；（董事会是否独立于管理层，是否对管理层进行监督）于管理层，是否对管理层进行监督）9一、内部控制概述n n（二）（二）内部控制的要素内部控制的要素n n 1.1.控制环境控制环境控制环境控制环境n n 要素：要素：要素：要素：n n 管理层的理念和经营风格；（管理层是否重管理层的理念和经营风格；（管理层是否重管理层的理念和经营风格；（管理层是否重管理层的理念和经营风格；（管理层是否重视内部控制，经营风格是保守还是激进）视内部控制，经营风格是保守还是激进）视内部

5、控制，经营风格是保守还是激进）视内部控制，经营风格是保守还是激进）组织结构；（是否有效）组织结构；（是否有效）组织结构；（是否有效）组织结构；（是否有效）职权与责任的分配；（权利和责任是否相配职权与责任的分配；（权利和责任是否相配职权与责任的分配；（权利和责任是否相配职权与责任的分配；（权利和责任是否相配比、是否能够相互制约）比、是否能够相互制约）比、是否能够相互制约）比、是否能够相互制约）n n人力资源政策与实务（是否能够吸引人才，人力资源政策与实务（是否能够吸引人才，人力资源政策与实务（是否能够吸引人才，人力资源政策与实务（是否能够吸引人才，有足够的人力资源可供支配）有足够的人力资源可供支

6、配）有足够的人力资源可供支配）有足够的人力资源可供支配）10一、内部控制概述n n（二）（二）内部控制的要素内部控制的要素 2.风险评估过程风险评估过程 定义：风险评估过程包括识别与财务报告定义：风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取相关的经营风险，以及针对这些风险所采取的措施。的措施。作用：识别、评估和管理影响被审计单位作用：识别、评估和管理影响被审计单位实现经营目标能力的各种风险。实现经营目标能力的各种风险。11一、内部控制概述n n（二）（二）（二）（二）内部控制的要素内部控制的要素内部控制的要素内部控制的要素 3.3.信息系统与沟通信息系统与沟通信息系统与

7、沟通信息系统与沟通 定义：与财务报告相关的信息系统，包括用以生成、记录、定义：与财务报告相关的信息系统，包括用以生成、记录、定义：与财务报告相关的信息系统，包括用以生成、记录、定义：与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有处理和报告交易、事项和情况，对相关资产、负债和所有处理和报告交易、事项和情况，对相关资产、负债和所有处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。者权益履行经营管理责任的程序和记录。者权益履行经营管理责任的程序和记录。者权益履行经营管理责任的程序和记录。与财务报告相关的信息系统应当

8、与业务流程相适应。与财务报告相关的信息系统应当与业务流程相适应。与财务报告相关的信息系统应当与业务流程相适应。与财务报告相关的信息系统应当与业务流程相适应。12一、内部控制概述n n（二）（二）内部控制的要素内部控制的要素 3.信息系统与沟通信息系统与沟通 信息系统职能信息系统职能 （1）识别与记录所有的有效交易；）识别与记录所有的有效交易；（2）及时、详细地描述交易，以便在财务）及时、详细地描述交易，以便在财务报告中对交易作出恰当分类；报告中对交易作出恰当分类；13一、内部控制概述n n（二）（二）内部控制的要素内部控制的要素 3.信息系统与沟通信息系统与沟通 信息系统职能信息系统职能 （3

9、）恰当计量交易，以便在财务报告中对）恰当计量交易，以便在财务报告中对交易的金额作出准确记录；交易的金额作出准确记录；（4）恰当确定交易生成的会计期间；）恰当确定交易生成的会计期间；（5）在财务报表中恰当列报交易。）在财务报表中恰当列报交易。14一、内部控制概述n n（二）（二）内部控制的要素内部控制的要素 3.信息系统与沟通信息系统与沟通 与财务报告相关的沟通含义：包括使员工与财务报告相关的沟通含义：包括使员工了解各自在与财务报告有关的内部控制方面了解各自在与财务报告有关的内部控制方面的角色和职责，员工之间的工作联系，以及的角色和职责，员工之间的工作联系，以及向适当级别的管理层报告向适当级别的

10、管理层报告例外事项例外事项的方式。的方式。15一、内部控制概述n n（二）（二）内部控制的要素内部控制的要素 3.信息系统与沟通信息系统与沟通 沟通的内容：沟通的内容：员工对其职责的了解员工对其职责的了解 员工之间的沟通员工之间的沟通 向适当级别的管理层报告例外事项的方向适当级别的管理层报告例外事项的方式式 管理层与治理层之间的沟通管理层与治理层之间的沟通 被审计单位与外部的沟通。被审计单位与外部的沟通。16一、内部控制概述n n（二）（二）内部控制的要素内部控制的要素 4.控制活动控制活动 定义：控制活动是指有助于确保管理层的定义：控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括

11、与授权、指令得以执行的政策和程序，包括与授权、业绩评价、信息处理、实物控制和职责分离业绩评价、信息处理、实物控制和职责分离等相关的活动。等相关的活动。17一、内部控制概述n n（二）（二）内部控制的要素内部控制的要素 4.控制活动控制活动 定义：控制活动是指有助于确保管理层的指定义：控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括与授权、业绩令得以执行的政策和程序，包括与授权、业绩评价、信息处理、实物控制和职责分离等相关评价、信息处理、实物控制和职责分离等相关的活动。的活动。18一、内部控制概述n n（二）（二）内部控制的要素内部控制的要素 4.控制活动控制活动 （1）授权）授权

12、授权的目的在于保证交易在管理层授权范授权的目的在于保证交易在管理层授权范围内进行。围内进行。授权授权一般授权和特殊授权一般授权和特殊授权19一、内部控制概述n n（二）（二）内部控制的要素内部控制的要素 4.控制活动控制活动 （2）业绩评价）业绩评价 主要包括被审计单位分析评价实际业绩与主要包括被审计单位分析评价实际业绩与预算（或预测、前期业绩）的差异，综合分预算（或预测、前期业绩）的差异，综合分析财务数据与经营数据的内在关系，将内部析财务数据与经营数据的内在关系，将内部数据与外部信息来源相比较，评价职能部门、数据与外部信息来源相比较，评价职能部门、分支机构或项目活动的业绩，以及对发现的分支机

13、构或项目活动的业绩，以及对发现的异常差异或关系采取必要的调查与纠正措施。异常差异或关系采取必要的调查与纠正措施。（大的公司都有业绩评价部门）（大的公司都有业绩评价部门）20一、内部控制概述n n（二）（二）内部控制的要素内部控制的要素 4.控制活动控制活动 （3）信息处理）信息处理 被审计单位通常执行各种措施，检查各种被审计单位通常执行各种措施，检查各种类型信息处理环境下的交易的准确性、完整性类型信息处理环境下的交易的准确性、完整性和授权。信息处理控制可以是人工的、自动化和授权。信息处理控制可以是人工的、自动化的，或是基于自动流程的人工控制。的，或是基于自动流程的人工控制。信息处理控制分为两类

14、，即信息技术的一信息处理控制分为两类，即信息技术的一般控制和应用控制。般控制和应用控制。21一、内部控制概述n n（二）（二）内部控制的要素内部控制的要素 4.控制活动控制活动 （3）信息处理）信息处理一般控制一般控制n n 信息技术一般控制是指与多个应用系统有信息技术一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰关的政策和程序，有助于保证信息系统持续恰当地运行当地运行(包括信息的完整性和数据的安全性包括信息的完整性和数据的安全性)，支持应用控制作用的有效发挥。，支持应用控制作用的有效发挥。n n 通常包括数据中心和网络运行控制，系统通常包括数据中心和网络运行控制，系统软

15、件的购置、修改及维护控制，接触或访问权软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制限控制，应用系统的购置、开发及维护控制 22一、内部控制概述n n（二）（二）内部控制的要素内部控制的要素 4.控制活动控制活动 （3）信息处理）信息处理应用控制应用控制n n 信息技术应用控制是指主要在业务流程层次信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序，与用于生成、记录、运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关。处理、报告交易或其他财务数据的程序相关。n n 通常包括检查数据计算准确性，审核账户和通常包括检查数据计算

16、准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自试算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。动检查，以及对例外报告进行人工干预。23一、内部控制概述n n（二）（二）内部控制的要素内部控制的要素 4.控制活动控制活动 （4）实物控制）实物控制n n 实物控制主要包括对资产和记录采取适当实物控制主要包括对资产和记录采取适当的安全保护措施，对访问计算机程序和数据文的安全保护措施，对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会件设置授权，以及定期盘点并将盘点记录与会计记录相核对。计记录相核对。实物控制的效果影响实物控制的效果影响资产的安全资

17、产的安全，从而对财，从而对财务报表的可靠性及审计产生影响。务报表的可靠性及审计产生影响。24一、内部控制概述n n（二）（二）内部控制的要素内部控制的要素 4.控制活动控制活动 （5）职责分离）职责分离n n 职责分离主要是指不相容职务应进行分工控职责分离主要是指不相容职务应进行分工控制。制。n n 所谓不相容职务是指经营业务的授权、批准、所谓不相容职务是指经营业务的授权、批准、执行和记录等完全由一人或一个部门办理时，执行和记录等完全由一人或一个部门办理时，发生错误与舞弊的概率就会增大的两项或两项发生错误与舞弊的概率就会增大的两项或两项以上的职务。以上的职务。25一、内部控制概述n n（二）（

18、二）内部控制的要素内部控制的要素 5.对控制的监督对控制的监督 （1）定义：指被审计单位评价内部控制在）定义：指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。（如定期编制银行存化采取必要的纠正措施。（如定期编制银行存款余额调节表）款余额调节表）26一、内部控制概述n n（二）（二）内部控制的要素内部控制的要素 5.5.对控制的监督对控制的监督对控制的监督对控制的监督 （2 2）分类）分类）分类）分类n n 持续监督活动持续监督活动持续监

19、督活动持续监督活动 ：通常贯穿于被审计单位的日常：通常贯穿于被审计单位的日常：通常贯穿于被审计单位的日常：通常贯穿于被审计单位的日常经营活动与常规管理工作中。经营活动与常规管理工作中。经营活动与常规管理工作中。经营活动与常规管理工作中。n n 专门的评价活动专门的评价活动专门的评价活动专门的评价活动 ：被审计单位可能使用内部审：被审计单位可能使用内部审：被审计单位可能使用内部审：被审计单位可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执计人员或具有类似职能的人员对内部控制的设计和执计人员或具有类似职能的人员对内部控制的设计和执计人员或具有类似职能的人员对内部控制的设计和执行进行专门

20、的评价。行进行专门的评价。行进行专门的评价。行进行专门的评价。n n 利用外部信息：被审计单位也可能利用与外部有利用外部信息：被审计单位也可能利用与外部有利用外部信息：被审计单位也可能利用与外部有利用外部信息：被审计单位也可能利用与外部有关各方沟通或交流所获取的信息监督相关的控制活动。关各方沟通或交流所获取的信息监督相关的控制活动。关各方沟通或交流所获取的信息监督相关的控制活动。关各方沟通或交流所获取的信息监督相关的控制活动。27一、内部控制概述n n（三）与审计相关的控制（三）与审计相关的控制 与审计相关的控制，包括被审计单位为与审计相关的控制，包括被审计单位为实现财务报告可靠性目标设计和实

21、施的控实现财务报告可靠性目标设计和实施的控制。注册会计师应当运用职业判断，考虑制。注册会计师应当运用职业判断，考虑一项控制单独或连同其他控制是否与评估一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和重大错报风险以及针对评估的风险设计和实施进一步审计程序有关。实施进一步审计程序有关。28一、内部控制概述（三）与审计相关的控制（三）与审计相关的控制 与审计相关的控制具体包括：与审计相关的控制具体包括：（1）被审计单位为实现财务报告可靠性目标）被审计单位为实现财务报告可靠性目标设计和实施的控制。设计和实施的控制。（2）如果在设计和实施进一步审计程序时拟）如果在设计和实施进一步

22、审计程序时拟利用被审计单位内部生成的信息，注册会利用被审计单位内部生成的信息，注册会计师应当考虑用以保证该信息完整性和准计师应当考虑用以保证该信息完整性和准确性的控制可能与审计相关。确性的控制可能与审计相关。29一、内部控制概述（三）与审计相关的控制（三）与审计相关的控制 与审计相关的控制具体包括：与审计相关的控制具体包括：（3）如果用以保证经营效率、效果的控制以）如果用以保证经营效率、效果的控制以及对法律法规遵守的控制与实施审计程序及对法律法规遵守的控制与实施审计程序时评价或使用的数据相关，注册会计师应时评价或使用的数据相关，注册会计师应当考虑这些控制可能与审计相关。当考虑这些控制可能与审计

23、相关。（4）注册会计师在了解保护资产的内部控制）注册会计师在了解保护资产的内部控制各项要素时，可仅考虑其中与财务报告可各项要素时，可仅考虑其中与财务报告可靠性目标相关的控制。靠性目标相关的控制。30一、内部控制概述n n（四）内部控制的局限性（四）内部控制的局限性 受人的影响：人为判断错误和人为失误受人的影响：人为判断错误和人为失误以及人员的素质；以及人员的素质；由于两个或更多的人员进行串通舞弊由于两个或更多的人员进行串通舞弊管理层凌驾于内部控制之上管理层凌驾于内部控制之上成本效益问题成本效益问题因此，内部控制只能对财务报告的可靠性提因此，内部控制只能对财务报告的可靠性提供合理保证。供合理保证

24、。31基本内容基本内容n n内部控制的概述n n了解与记录内部控制n n内部控制测试n n内部控制评价32二、了解与记录内部控制二、了解与记录内部控制n n（一）对内部控制了解的深度（一）对内部控制了解的深度 评价控制的设计评价控制的设计 确定控制是否得到执行确定控制是否得到执行 综合性方案比实质性方案需要更多地了综合性方案比实质性方案需要更多地了解被审计单位内部控制。解被审计单位内部控制。33二、了解与记录内部控制二、了解与记录内部控制（二）了解内部控制的程序（二）了解内部控制的程序 1.1.询问被审计单位的人员询问被审计单位的人员 2.2.观察特定控制的运用；观察特定控制的运用；3.3.检

25、查文件和报告；检查文件和报告；4.4.追踪交易在财务报告信息系统中的处理追踪交易在财务报告信息系统中的处理过程（穿行测试）。过程（穿行测试）。注意：注意：注意：注意：注册会计师对控制的了解注册会计师对控制的了解并不能够代替并不能够代替对控制运行有效性的测试对控制运行有效性的测试。34二、了解与记录内部控制二、了解与记录内部控制（三）了解内部控制的设计和执行（三）了解内部控制的设计和执行（三）了解内部控制的设计和执行（三）了解内部控制的设计和执行n n 1.1.1.1.在整体层面对内部控制了解和评估在整体层面对内部控制了解和评估在整体层面对内部控制了解和评估在整体层面对内部控制了解和评估n n执

26、行人：项目组中对被审计单位情况比较了解且较有经验执行人：项目组中对被审计单位情况比较了解且较有经验执行人：项目组中对被审计单位情况比较了解且较有经验执行人：项目组中对被审计单位情况比较了解且较有经验的成员负责，对内部控制的评价需要大量的职业判断的成员负责，对内部控制的评价需要大量的职业判断的成员负责，对内部控制的评价需要大量的职业判断的成员负责，对内部控制的评价需要大量的职业判断n n了解和评估的内容：了解内部控制各要素是否得到执行，了解和评估的内容：了解内部控制各要素是否得到执行，了解和评估的内容：了解内部控制各要素是否得到执行，了解和评估的内容：了解内部控制各要素是否得到执行，尤其是控制环

27、境，因为控制环境对整体层面的内部控制影尤其是控制环境，因为控制环境对整体层面的内部控制影尤其是控制环境，因为控制环境对整体层面的内部控制影尤其是控制环境，因为控制环境对整体层面的内部控制影响较大。响较大。响较大。响较大。n n记录：内部控制各要素的了解要点和实施的风险评估程序记录：内部控制各要素的了解要点和实施的风险评估程序记录：内部控制各要素的了解要点和实施的风险评估程序记录：内部控制各要素的了解要点和实施的风险评估程序及其结果等形成审计工作记录，并对影响注会对整体层面及其结果等形成审计工作记录，并对影响注会对整体层面及其结果等形成审计工作记录，并对影响注会对整体层面及其结果等形成审计工作记

28、录，并对影响注会对整体层面内部控制有效性进行判断的因素详细记录。内部控制有效性进行判断的因素详细记录。内部控制有效性进行判断的因素详细记录。内部控制有效性进行判断的因素详细记录。35二、了解与记录内部控制二、了解与记录内部控制（三）了解内部控制的设计和执行（三）了解内部控制的设计和执行n n 2.2.在业务流程层面了解内部控制在业务流程层面了解内部控制n n（1）确定重要业务流程和重要交易类别：）确定重要业务流程和重要交易类别：不同企业是不同的不同企业是不同的n n（2）了解重要交易流程，并进行记录）了解重要交易流程，并进行记录36二、了解与记录内部控制二、了解与记录内部控制（三）了解内部控制

29、的设计和执行（三）了解内部控制的设计和执行（三）了解内部控制的设计和执行（三）了解内部控制的设计和执行n n 2.2.2.2.在业务流程层面了解内部控制在业务流程层面了解内部控制在业务流程层面了解内部控制在业务流程层面了解内部控制 例如：对于销售和收款交易，交易环节有：例如：对于销售和收款交易，交易环节有：例如：对于销售和收款交易，交易环节有：例如：对于销售和收款交易，交易环节有：接受顾客订单接受顾客订单接受顾客订单接受顾客订单批准赊销信用批准赊销信用批准赊销信用批准赊销信用按销售单供货和按销售单供货和按销售单供货和按销售单供货和装运货物装运货物装运货物装运货物向顾客开具账单向顾客开具账单向顾

30、客开具账单向顾客开具账单记录销售记录销售记录销售记录销售办理和办理和办理和办理和记录现金、银行存款收入记录现金、银行存款收入记录现金、银行存款收入记录现金、银行存款收入办理和记录销货退回、办理和记录销货退回、办理和记录销货退回、办理和记录销货退回、折扣和折让折扣和折让折扣和折让折扣和折让注销坏账注销坏账注销坏账注销坏账提取坏帐准备提取坏帐准备提取坏帐准备提取坏帐准备37二、了解与记录内部控制二、了解与记录内部控制（三）了解内部控制的设计和执行（三）了解内部控制的设计和执行（三）了解内部控制的设计和执行（三）了解内部控制的设计和执行n n 2.2.2.2.在业务流程层面了解内部控制在业务流程层面

31、了解内部控制在业务流程层面了解内部控制在业务流程层面了解内部控制 （3 3）确定可能发生错报的环节）确定可能发生错报的环节）确定可能发生错报的环节）确定可能发生错报的环节 接受顾客订单、批准赊销信用、办理和记录现接受顾客订单、批准赊销信用、办理和记录现接受顾客订单、批准赊销信用、办理和记录现接受顾客订单、批准赊销信用、办理和记录现金、记录销售（出纳记录应收款）、办理和记录金、记录销售（出纳记录应收款）、办理和记录金、记录销售（出纳记录应收款）、办理和记录金、记录销售（出纳记录应收款）、办理和记录现金、银行存款收入（销售人员经手货款）、办现金、银行存款收入（销售人员经手货款）、办现金、银行存款收

32、入（销售人员经手货款）、办现金、银行存款收入（销售人员经手货款）、办理和记录销货退回、折扣和折让、注销坏账、提理和记录销货退回、折扣和折让、注销坏账、提理和记录销货退回、折扣和折让、注销坏账、提理和记录销货退回、折扣和折让、注销坏账、提取坏帐准备容易发生错报取坏帐准备容易发生错报取坏帐准备容易发生错报取坏帐准备容易发生错报38二、了解与记录内部控制二、了解与记录内部控制（三）了解内部控制的设计和执行（三）了解内部控制的设计和执行n n 2.2.在业务流程层面了解内部控制在业务流程层面了解内部控制 （4）识别和了解相关控制）识别和了解相关控制 在订立合同时，是否经办人经过授权批在订立合同时，是否

33、经办人经过授权批准，信用部门是否和销售部门相分离，销准，信用部门是否和销售部门相分离，销货退回、收款和销售记录是否相分离，折货退回、收款和销售记录是否相分离，折扣和折让、注销坏账是否经过批准扣和折让、注销坏账是否经过批准39二、了解与记录内部控制二、了解与记录内部控制（三）了解内部控制的设计和执行（三）了解内部控制的设计和执行（三）了解内部控制的设计和执行（三）了解内部控制的设计和执行n n 2.2.2.2.在业务流程层面了解内部控制在业务流程层面了解内部控制在业务流程层面了解内部控制在业务流程层面了解内部控制 （5 5）执行穿行测试，证实对交易流程和相关控）执行穿行测试，证实对交易流程和相关

34、控）执行穿行测试，证实对交易流程和相关控）执行穿行测试，证实对交易流程和相关控制的了解制的了解制的了解制的了解 可通过查阅文件和询问的方式进行。对于复核可通过查阅文件和询问的方式进行。对于复核可通过查阅文件和询问的方式进行。对于复核可通过查阅文件和询问的方式进行。对于复核人员，可询问对什么进行复核，复核的要点是什人员，可询问对什么进行复核，复核的要点是什人员，可询问对什么进行复核，复核的要点是什人员，可询问对什么进行复核，复核的要点是什么，如果复核过程中发现了文件中的错误或其它么，如果复核过程中发现了文件中的错误或其它么，如果复核过程中发现了文件中的错误或其它么，如果复核过程中发现了文件中的错

35、误或其它差异，按规定他该怎么做。差异，按规定他该怎么做。差异，按规定他该怎么做。差异，按规定他该怎么做。40二、了解与记录内部控制二、了解与记录内部控制（三）了解内部控制的设计和执行（三）了解内部控制的设计和执行（三）了解内部控制的设计和执行（三）了解内部控制的设计和执行n n 2.2.2.2.在业务流程层面了解内部控制在业务流程层面了解内部控制在业务流程层面了解内部控制在业务流程层面了解内部控制 （6 6）初步评价和风险评估）初步评价和风险评估）初步评价和风险评估）初步评价和风险评估 评价应试图回答：评价应试图回答：评价应试图回答：评价应试图回答：控制本身的设计是否合理。控制本身的设计是否合

36、理。控制本身的设计是否合理。控制本身的设计是否合理。控制是否得到执行。控制是否得到执行。控制是否得到执行。控制是否得到执行。是否更多地信赖控制并拟实施控制测试。是否更多地信赖控制并拟实施控制测试。是否更多地信赖控制并拟实施控制测试。是否更多地信赖控制并拟实施控制测试。41在重要业务流程层面对内部控制了解和评估的一般程序1.确定被审计单位的重要业务流程和影响重大账户的重要交易类别2.了解重要交易从发生到记入账目的整个流程3.与重大账户及其认定向结合，在重大交易整个流程中确定错报可能会在什么环节发生，即确定相应的控制目标4.根据确定的审计策略，对防止或发现并纠正重大错报的相关控制加以识别5.通过执

37、行穿行测试，来证实相关内部控制是否执行6.对相关控制的设计和是否得到执行进行评价，以确定进一步审计程序42二、了解与记录内部控制二、了解与记录内部控制（三）了解内部控制的设计和执行（三）了解内部控制的设计和执行n n 3.3.考虑内部控制的人工和自动化特征及考虑内部控制的人工和自动化特征及其影响其影响 内部控制可能既包括人工成分又包括自内部控制可能既包括人工成分又包括自动化成分，在风险评估以及设计和实施进动化成分，在风险评估以及设计和实施进一步审计程序时，注册会计师应当考虑内一步审计程序时，注册会计师应当考虑内部控制的人工和自动化特征及其影响。部控制的人工和自动化特征及其影响。43信息技术对内

38、部控制产生的特定风险信息技术对内部控制产生的特定风险（）（）n n 系统或程序未能正确处理数据，或处理了不正系统或程序未能正确处理数据，或处理了不正系统或程序未能正确处理数据，或处理了不正系统或程序未能正确处理数据，或处理了不正确的数据，或两种情况同时并存；确的数据，或两种情况同时并存；确的数据，或两种情况同时并存；确的数据，或两种情况同时并存；n n 在未得到授权情况下访问数据，可能导致数据在未得到授权情况下访问数据，可能导致数据在未得到授权情况下访问数据，可能导致数据在未得到授权情况下访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未经授的毁损或对数据不恰当的修改，包括记录未经授

39、的毁损或对数据不恰当的修改，包括记录未经授的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易；权或不存在的交易，或不正确地记录了交易；权或不存在的交易，或不正确地记录了交易；权或不存在的交易，或不正确地记录了交易；n n 信息技术人员可能获得超越其履行职责以外的信息技术人员可能获得超越其履行职责以外的信息技术人员可能获得超越其履行职责以外的信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工；数据访问权限，破坏了系统应有的职责分工；数据访问权限，破坏了系统应有的职责分工；数据访问权限，破坏了系统应有的职责分工；44信息技术对内部控制产生的

40、特定风险信息技术对内部控制产生的特定风险（）（）n n 未经授权改变主文档的数据；未经授权改变主文档的数据；n n 未经授权改变系统或程序；未经授权改变系统或程序；n n 未能对系统或程序作出必要的修改；未能对系统或程序作出必要的修改；n n 不恰当的人为干预；不恰当的人为干预；n n 数据丢失的风险或不能访问所需要的数据。数据丢失的风险或不能访问所需要的数据。45人工控制产生的特定风险n n人工控制可能更容易被规避、忽视或凌驾；n n人工控制可能不具有一贯性；n n人工控制可能更容易产生简单错误或失误 46人工控制可能是不适当的情况人工控制可能是不适当的情况存在大量或重复发生的交易；事先可预

41、见的错误能够通过自动化控制得以防范或发现；控制活动可得到适当设计和自动化处理。47二、了解与记录内部控制二、了解与记录内部控制（四）记录对内部控制的了解（四）记录对内部控制的了解 文字叙述文字叙述调查表调查表流程图流程图48基本内容基本内容n n内部控制的概述n n了解与记录内部控制n n内部控制测试n n内部控制评价49三、内部控制测试三、内部控制测试（一）控制测试的内涵和要求（1）内涵：测试控制运行的有效性。（）控制测试的要求在评估认定层次的重大错报风险时，预期控制的运行是有效的；仅实施实质性程序不足以提供认定层次充分、适当的审计证据。50三、内部控制测试三、内部控制测试（一）控制测试的内

42、涵和要求（3）测试控制有效运行的证据 控制在所审计期间的不同时点是如何运行的；控制是否得到一贯执行；控制由谁执行；控制以何种方式运行。(测试控制是否得到执行的证据是确定控制是否存在，控制是否得到使用）51三、内部控制测试三、内部控制测试n n（二）控制测试的性质（二）控制测试的性质涵义：指控制测试所使用审计程序的类型及其涵义：指控制测试所使用审计程序的类型及其组合。组合。总体要求总体要求注册会计师认为控制运行的有效性越高，那注册会计师认为控制运行的有效性越高，那么所获取的测试控制运行有效性的审计证据的可么所获取的测试控制运行有效性的审计证据的可靠性就越高。靠性就越高。当拟实施的进一步审计程序主

43、要以控制测试当拟实施的进一步审计程序主要以控制测试为主，尤其是仅实施实质性程序获取的审计证据为主，尤其是仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受的低水无法将认定层次重大错报风险降至可接受的低水平时，注册会计师应当获取有关控制运行有效性平时，注册会计师应当获取有关控制运行有效性的更高的保证水平。的更高的保证水平。52三、内部控制测试三、内部控制测试n n（二）控制测试的性质选择控制测试程序的类型选择控制测试程序的类型 询问、观察、检查、重新执行询问、观察、检查、重新执行 穿行测试：通过追踪交易在财务报告信息系穿行测试：通过追踪交易在财务报告信息系统中的处理过程，来证实注

44、会对控制的了解。统中的处理过程，来证实注会对控制的了解。多种程序的结合运用（如询问和检查或重多种程序的结合运用（如询问和检查或重新执行结合使用通常能够比仅实施询问和观察获新执行结合使用通常能够比仅实施询问和观察获取更高的保证）取更高的保证）53三、内部控制测试三、内部控制测试（三）控制测试的时间（三）控制测试的时间控制测试的时间包含两层含义：控制测试的时间包含两层含义：一是何时实施控制测试；一是何时实施控制测试；二是测试所针对的控制适用的时点或期间；二是测试所针对的控制适用的时点或期间；时点证据和期间证据时点证据和期间证据如果仅需要测试控制在特定时点的运行有效性，如果仅需要测试控制在特定时点的

45、运行有效性，注册会计师只需要获取该时点的审计证据。注册会计师只需要获取该时点的审计证据。如果需要获取控制在某一期间有效运行的审计如果需要获取控制在某一期间有效运行的审计证据，仅获取与时点相关的审计证据是不充分的，证据，仅获取与时点相关的审计证据是不充分的，应获取期间证据。应获取期间证据。54三、内部控制测试三、内部控制测试（三）控制测试的时间（三）控制测试的时间考虑期中审计证据考虑期中审计证据（1 1）获取这些控制在剩余期间变化情况的审计证）获取这些控制在剩余期间变化情况的审计证据据如果这些控制在剩余期间没有发生变化，注册如果这些控制在剩余期间没有发生变化，注册会计师可能决定信赖期中获取的审计

46、证据；会计师可能决定信赖期中获取的审计证据；如果这些控制在剩余期间发生了变化（如信息如果这些控制在剩余期间发生了变化（如信息系统、业务流程或人事管理等方面发生变动），系统、业务流程或人事管理等方面发生变动），注册会计师需要了解并测试控制的变化对期中审注册会计师需要了解并测试控制的变化对期中审计证据的影响。计证据的影响。55三、内部控制测试三、内部控制测试（三）控制测试的时间（三）控制测试的时间考虑期中审计证据考虑期中审计证据（）（）剩余期间补充证据应当考虑的因素评估的认定层次重大错报风险的重大程度在期中测试的特定控制在期中对有关控制运行有效性获取的审计证据的程度56三、内部控制测试三、内部控制

47、测试（三）控制测试的时间（三）控制测试的时间考虑期中审计证据考虑期中审计证据（）（）剩余期间补充证据应当考虑的因素剩余期间的长度在信赖控制的基础上拟减少进一步实质性程序的范围控制环境57三、内部控制测试三、内部控制测试（三）控制测试的时间（三）控制测试的时间不得依赖以前审计所获取证据的情形不得依赖以前审计所获取证据的情形如果确定评估的认定层次重大错报风险是特如果确定评估的认定层次重大错报风险是特别风险，并拟信赖旨在减轻特别风险的控制，注别风险，并拟信赖旨在减轻特别风险的控制，注册会计师不应依赖以前审计获取的审计证据，而册会计师不应依赖以前审计获取的审计证据，而应在本期审计中测试这些控制的运行有

48、效性。应在本期审计中测试这些控制的运行有效性。58该控制是否针对特别风险该控制在最近两年是否被测试过开始在本年度测试该控制考虑是否在本年度测试该控制：控制是否有变化 显示需要测试的因素，如复杂的人工控制为满足每年测试一部分控制的要求而测试是否否是59三、内部控制测试三、内部控制测试（四）控制测试的范围（四）控制测试的范围控制测试的范围指某项控制活动的测试次数。控制测试的范围指某项控制活动的测试次数。确定控制测试范围的总体要求确定控制测试范围的总体要求 控制执行的频率控制执行的频率 拟信赖控制运行有效性的时间长度拟信赖控制运行有效性的时间长度 审计证据的相关性和可靠性审计证据的相关性和可靠性60

49、三、内部控制测试三、内部控制测试（四）控制测试的范围确定控制测试范围的总体要求 测试与认定相关的其他控制获取的审计证据的范围 对控制的拟信赖程度 预期偏差61三、内部控制测试三、内部控制测试（四）控制测试的范围对自动化控制的测试范围的特别考虑 除非系统发生变动，注会通常不需要增加自控化控制的测试范围 62三、内部控制测试三、内部控制测试（五）双重目的测试（五）双重目的测试注册会计师在进行控制测试的同时，进行细节测注册会计师在进行控制测试的同时，进行细节测试，这种情况下的测试被称为双重目的测试。试，这种情况下的测试被称为双重目的测试。双重目的测试既可以减少审计工作量，提高审计双重目的测试既可以减

50、少审计工作量，提高审计效率，又可节约审计成本，但注册会计师在执行双重效率，又可节约审计成本，但注册会计师在执行双重目的测试时，必须小心谨慎地设计测试程序，以确保目的测试时，必须小心谨慎地设计测试程序，以确保能取得有关控制的有效性和报表中的重要错报或漏报能取得有关控制的有效性和报表中的重要错报或漏报这两个方面的证据。这两个方面的证据。63四、内部控制评价四、内部控制评价n n（一）内部控制评价的概念（一）内部控制评价的概念内部控制评价是评价内部控制在防止或者发现和更正会计报表里的重要错报或漏报的有效程度的过程。注册会计师对企业内部控制进行评价一般分为初步评价和再评价两个环节，即在了解内部控制后初