第四节 了解被审计单位的内部控制
一、内部控制的基本概念
1.含义和目标
内部控制是被审计单位为了合理保证财务报告[目标①]的可靠性、经营[目标②]的效率和效果以及对法律法规[目标③]的遵守,由治理层、管理层和其他人员设计与执行的政策及程序。
2.内部控制五要素
真题和模拟题精讲
【单项选择题】在下列各项中,不属于内部控制要素的是( )。
A.控制风险
B.控制活动
C.对控制的监督
D.控制环境
[答案]A
[点评]本题是对控制五要素的直接考查,同学们必须准确记忆。
3.人工和自动化成分
(1)自动化控制 |
适用范围 | a)存在大量或重复发生的交易 b)事先可预计或预测的错误能够通过自动化控制参数得以防止或发现并纠正 c)用特定方法实施控制的控制活动可得到适当设计和自动化处理 |
优势 | a)处理大量的交易或数据、进行复杂运算 b)提高信息的及时性、可获得性及准确性 c)有助于对信息的深入分析 d)提高监督能力 e)降低控制被规避的风险 f)通过实施安全控制,提高不相容职务分离的有效性 |
风险 | a)处理不正确 b)授权不恰当 c)越权访问 d)未经授权改变数据、系统或程序 e)未能对系统或程序作出必要的修改 f)不恰当的人为干预 g)数据丢失或无法访问 |
(2)人工控制 |
适用范围 | a)存在大额、异常或偶发的交易 b)存在难以定义、防范或预见的错误 c)为应对情况的变化,需要对现有的自动化控制进行调整 d)监督自动化控制的有效性 |
风险 | a)人工控制可能更容易被规避、忽视或凌驾 b)人工控制可能不具有一贯性 c)人工控制可能更容易产生简单错误或失误 |
真题和模拟题精讲
【多项选择题】下列情形中,A注册会计师认为通常适合采用信息技术控制的有( )。
A.存在大量、重复发生的交易
B.存在大额、异常的交易
C.存在难以定义、防范的错误
D.存在事先确定并一贯运用的业务规则
[答案]AD
[点评]选项B和选项C,属于适用于人工控制的情形。
4.固有局限性
主要原因 | (1)在决策时人为判断可能出现错误、人为失误导致内部控制失效 (2)可能由于人员串通或管理层不当凌驾于内部控制之上而被规避 |
其他原因 | (1)人员素质不适应岗位要求 (2)实施内部控制的成本效益 |
二、了解被审计单位内部控制的要求
1.目标
与审计相关的控制 | (1)财务报表审计的目标是对是否不存在重大错报发表审计意见,而不是对内部控制有效性发表审计意见 (2)注册会计师应当在所有审计项目中了解内部控制 (3)注册会计师需要了解和评价的只是与审计相关的内部控制,并非被审计单位所有的内部控制 (4)被审计单位通常有一些与目标相关但与审计无关的控制,注册会计师无须对其加以考虑 |
真题和模拟题精讲
【单项选择题】下列有关内部控制的说法中,错误的是( )。
A.注册会计师应当在所有审计项目中了解内部控制
B.内部控制无论如何有效,都只能为被审计单位实现财务报告目标提供合理保证
C.与经营目标和合规目标相关的控制均与审计无关
D.被审计单位通常有一些与目标相关但与审计无关的控制,注册会计师无须对其加以考虑
[答案]C
[点评]选项A和选项D,是同学们需要精准掌握的重要观点;选项B,是对内部控制固有局限性的表述;选项C中,如果与经营和合规目标相关的控制同注册会计师实施审计程序时评价或使用的数据相关,则这些控制也可能与审计相关,例如,畸高的经营目标与可能导致财务报表的重大错报风险;合规目标可能与遵守法律法规的情况相关。
【单项选择题】下列有关与审计相关的内部控制的说法中,正确的是( )。
A.与审计相关的内部控制并非均与财务报告相关
B.与财务报告相关的内部控制均与审计相关
C.与经营目标相关的内部控制与审计无关
D.与合规目标相关的内部控制与审计无关
[答案]A
[点评]选项C和选项D中,如果与经营和合规目标相关的控制同注册会计师实施审计程序时评价或使用的数据相关,则这些控制也可能与审计相关;选项B中,与财务报告相关的内部控制可能是为了实现经营目标,也可能是为了提高财务数据的可靠性,前者与审计无关,后者与审计相关。
2.深度
包括评价控制的设计,并确定其是否得到执行,但不包括对控制是否得到一贯执行的测试。
真题和模拟题精讲
【单项选择题】在了解内部控制时,注册会计师通常不实施的审计程序是( )。
A.了解控制活动是否得到执行
B.了解内部控制的设计
C.记录了解的内部控制
D.寻找内部控制运行中的所有缺陷
[答案]D
[点评]选项D中,内部控制执行中存在的缺陷,需要通过控制测试来确定。
3.程序
(1)询问被审计单位的人员,但询问程序本身并不足以评价控制的设计和执行,应当与其他程序相结合 |
(2)观察特定控制的运用 |
(3)检查文件和报告 |
(4)追踪交易在财务报告信息系统中的处理过程,即穿行测试 |
真题和模拟题精讲
【单项选择题】下列审计程序中,注册会计师在了解被审计单位内部控制时通常不采用的是( )。
A.询问
B.观察
C.分析程序
D.检查
[答案]C
[点评]分析程序通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系,对财务信息做出评价,内部控制不属于财务信息的范畴,其本质是被审计单位建立的制度和规范;分析程序不运用于了解内部控制、也不运用于控制测试,这是同学们必须精准掌握的高频考点。
【单项选择题】在确定控制活动是否能够防止或发现并纠正重大错报时,下列审计程序中可能无法实现这一目的的是( )。
A.询问员工执行控制活动的情况
B.使用高度汇总的数据实施分析程序
C.观察员工执行的控制活动
D.检查文件和记录
[答案]B
[点评]选项B中,分析程序是注册会计师通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系,进而评价财务信息,而内部控制针对的是被审计单位日常的政策和程序;选项A、选项C和选项D中,注册会计师了解内部控制的程序包括询问被审计单位的人员、观察特定控制的运用、检查文件报告以及穿行测试。
4.了解内部控制与控制测试的区别
除非存在某些可以使控制得到一贯运行的自动化控制,否则注册会计师对控制的了解并不足以测试控制运行的有效性。
真题和模拟题精讲
【多项选择题】下列有关注册会计师了解内部控制的说法中,正确的有( )。
A.注册会计师在了解被审计单位内部控制时,应当确定其是否得到一贯执行
B.注册会计师不需要了解被审计单位所有的内部控制
C.注册会计师对内部控制的了解通常不足以测试控制运行的有效性
D.注册会计师询问被审计单位人员不足以评价内部控制设计的有效性
[答案]BCD
[点评]“了解内部控制”包含两层含义:一是评价控制的设计;二是确定控制是否得到执行。在测试控制运行的有效性时,注册会计师应当从下列方面获取关于控制是否有效运行的审计证据:1.控制在所审计期间的相关时点是如何运行的;2.控制是否得到一贯执行;(选项A不正确);3.控制由谁或以何种方式执行。注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制(选项B正确);除非存在某些可以使控制得到一贯运行的自动化控制,否则注册会计师对控制的了解并不足以测试控制运行的有效性(选项C正确);询问本身并不足以评价控制的设计以及确定其是否得到执行,注册会计师应当将询问与其他风险评估程序结合使用(选项D正确)。
三、控制五要素
(一)控制环境
1.含义
包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。
2.对注册会计师的要求
注册会计师应当了解控制环境,在审计业务承接阶段,就需要对控制环境作出初步了解和评价。
3.内容
内容 | 分析 |
(1)诚信和道德价值观念的沟通与落实 | a)书面行为规范并向所有员工传达 b)企业文化 c)管理人员的表率作用 d)惩罚措施 |
(2)对胜任能力的重视 | a)财务人员以及信息管理人员的胜任能力和培训 b)财务人员配备足够 c)财务人员的技能 |
(3)治理层的参与程度 | a)相对于管理层的独立性 b)经验和品德 c)参与程度,以及采取措施的适当性 d)与内部审计人员和注册会计师的互动等 |
(4)管理层的理念和经营风格 | a)对内部控制的关注 b)是否处于有效的监督下 c)经营风格 d)对内控缺陷和违规事项的反应 |
(5)组织结构及职权与责任的分配 | a)授权 b)职责划分 |
(6)人力资源政策与实务 | 招聘、培训、考核、咨询、晋升和薪酬等 |
4.影响
方面 | 分析 |
(1)广泛性 | 控制环境对重大错报风险的评估具有广泛影响,如认为控制环境薄弱,可能导致财务报表层次的重大错报风险,很难认定某一流程的控制是有效的 |
(2)舞弊 | 不能绝对防止舞弊,但有助于降低舞弊风险 |
(3)错报 | 本身并不能防止或发现并纠正认定层次的重大错报。在评估重大错报风险时,应将控制环境连同其他内部控制要素产生的影响一并考虑 |
【注意】
要求考生识别控制环境的具体内容,是本节的高频考题类型。考生需要关注,选项中是否混淆了“控制环境要素”和“内部控制要素”,这是题目的常见陷阱。
真题和模拟题精讲
【单项选择题】下列各项中,不属于控制环境要素的是( )。
A.对诚信和道德价值观念的沟通与落实
B.内部审计的职能范围
C.治理层的参与
D.人力资源政策与实务
[答案]B
[点评]选项B属于内部控制要素中对控制的监督的范畴。
【单项选择题】下列各项中,不属于控制环境要素的是( )。
A.被审计单位的人力资源政策与实务
B.被审计单位的组织结构
C.被审计单位管理层的理念
D.被审计单位的信息系统
[答案]D
[点评]选项D中,信息系统属于内部控制五要素之一,而非控制环境的要素。
【单项选择题】下列有关控制环境的说法中,错误的是( )。
A.有效的控制环境本身可以防止、发现并纠正各类交易、账户余额和披露认定层次的重大错报
B.控制环境对重大错报风险的评估具有广泛影响
C.有效的控制环境可以降低舞弊发生的风险
D.财务报表层次重大错报风险很可能源于控制环境存在缺陷
[答案]A
[点评]选项A中,控制环境本身并不能防止或发现并纠正各类交易、账户余额和披露认定层次的重大错报;本题非常经典,每一个选项都值得仔细推敲。
【单项选择题】下列有关控制环境的说法中,错误的是( )。
A.在审计业务承接阶段,注册会计师无需了解和评价控制环境
B.在实施风险评估程序时,注册会计师需要对控制环境的构成要素获取足够了解,并考虑内部控制的实质及其综合效果
C.在进行风险评估时,如果注册会计师认为被审计单位的控制环境薄弱,则很难认定某一流程的控制是有效的
D.在评估重大错报风险时,注册会计师应当将控制环境连同其他内部控制要素产生的影响一并考虑
[答案]A
[点评]选项A中,注册会计师应当了解控制环境,在审计业务承接阶段,就需要对控制环境作出初步了解和评价。
(二)风险评估过程
1.含义
风险评估过程包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施。
2.内容
被审计单位是否已建立相关机制,识别和应对会计准则的重大变化、业务操作流程的重大变化以及经营环境的重大变化等。
(三)信息系统与沟通
方面 | 分析 |
1.信息系统 | (1)生成、记录、处理和报告 (2)与财务报告相关的信息系统应当与业务流程相适应 (3)自动化程序和控制降低了发生无意错误的风险,但没有消除个人凌驾于控制之上的风险 |
2.沟通 | 应当了解如何对财务报告的岗位职责以及相关重大事项进行沟通 |
(四)控制活动
1.内容
方面 | 分析 |
(1)授权 | 一般授权与特别授权 |
(2)业绩评价 | 1)分析财务数据与经营数据 2)评价实际业绩与预算 3)比较内部数据与外部信息等 |
(3)信息处理 | 应当了解信息技术的一般控制与应用控制 |
(4)实物控制 | 1)安全保护 2)访问授权 3)定期盘点 |
(5)职责分离 | 交易授权、交易记录以及资产保管应当职责分离 |
真题和模拟题精讲
【单项选择题】下列活动中,注册会计师认为不属于控制活动的是( )。
A.授权
B.业绩评价
C.风险评估
D.职责分离
[答案]C
[点评]有关控制活动的5点内容,同学们需要准确记忆。
2.对注册会计师的要求
(1)注册会计师应当重点考虑一项控制活动单独或连同其他控制话动,是否能够以及如何防止或发现并纠正各类交易、账户余额和披露存在的重大错报。
(2)如果多项控制活动能够实现同一目标,注册会计师不必了解与该目标相关的每项控制活动。
(五)对控制的监督
方面 | 分析 |
1.持续的监督 | 贯穿于日常经营活动与常规管理工作中 |
2.单独的评价 | 由内部审计人员对内部控制的设计和执行进行专门评价 |
真题和模拟题精讲
【单项选择题】下列各项中,属于对控制的监督的是( )。
A.授权与批准
B.职权与责任的分配
C.业绩评价
D.内审部门定期评估控制的有效性
[答案]D
[点评]对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程。被审计单位可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价,以找出内部控制的优点和不足,并提出改进建议。控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动,选项A、C属于控制活动的内容,选项B属于控制环境。
【单项选择题】持续监督活动应当贯穿于日常经营活动与常规管理工作。下列活动中属于持续监督活动的是( )。
A.审计委员会定期了解财务数据
B.相应级别的员工复核采购业务流程中控制的执行情况
C.注册会计师对年度财务报表进行审计
D.内部审计人员对控制实施风险评估
[答案]B
[点评]持续的监督活动通常贯穿于日常经营活动与常规管理工作中,选项B属于这一范畴。而专门的评价活动可由内部审计人员或具有类似职能的人员对内部控制的设计和执行,选项A、选项C和选项D属于这一范畴。
四、在整体层面和业务流程层面了解内部控制
(一)两个层面
层面 | 要点 |
整体层面 | (1)主要与控制环境相关 (2)与被审计单位整体相关 (3)考虑舞弊和管理层凌驾于内部控制之上的风险 (4)信息系统的一般控制 (5)财务报告流程的控制 |
业务流程 层面 | (1)与业务流程和认定相关 (2)信息系统的应用控制 (3)控制活动 |
真题和模拟题精讲
【单项选择题】下列各项中,通常属于业务流程层面控制的是( )。
A.信息技术一般控制
B.应对管理层凌驾于控制之上的控制
C.信息技术应用控制
D.对期末财务报告流程的控制
[答案]C
(二)步骤
1.确定重要业务流程和重要交易类别
2.了解重要交易流程,并进行记录
要求 | a)注册会计师通常针对每一年的变化修改记录流程的工作底稿,除非存在重大变化 |
b)无论业务流程与以前年度相比是否有变化,注册会计师每年都需要重新考虑和了解 |
3.确定可能发生错报的环节
4.识别和了解相关控制
(1)预防性控制 |
定义 | 防止错报发生的控制 |
判断要点 | “事先预防” |
(2)检查性控制 |
定义 | 及时发现已发生的错报的控制 |
判断要点 | “事后复核” |
【总结】
判断一项控制属于预防性控制还是检查性控制,是多选题的高频考点,考试中的选项通常比较灵活,涉及实务中的各种情形,考生需要注意在解题时运用分析:
a)审批、授权、职责分离通常属于预防性控制;
b)复核、对账、盘点通常属于检查性控制。
真题和模拟题精讲
【单项选择题】下列控制活动中,属于检查性控制的是( )。
A.仓库管理员根据经批准的发货单办理出库
B.信息技术部根据人事部提供的员工岗位职责表在系统中设定用户权限
C.采购部对新增供应商执行背景调查
D.财务人员每月末与客户对账,并调查差异
[答案]D
[点评]审核、批准和职责分离的相关控制属于预防性控制,即选项A、选项B和选项C;选项D中,事后复核的相关控制属于检查性控制。本题涉及的知识点是高频考点,同学们必须掌握两种控制的本质。
【单项选择题】下列各项中,属于预防性控制的是( )。
A.财务主管定期盘点现金和有价证券
B.管理层分析评价实际业绩与预算的差异,并针对超过规定金额的差异调查原因
C.董事会复核并批准由管理层编制的财务报表
D.由不同的员工负责职工薪酬档案的维护和职工薪酬的计算
[答案]D
[点评]选项ABC属于检查性控制。
【单项选择题】下列各项控制中,属于检查性控制的是( )。
A.出纳不能兼任收入或支出的记账工作
B.财务总监复核并批准财务经理提出的撤销银行账号的申请
C.财务经理根据其权限复核并批准相关付款
D.财务经理复核会计编制的银行存款余额调节表
[答案]D
[点评]选项ABC均属于事前控制,属于预防性控制;财务经理复核会计编制的银行存款余额调节表,属于事后控制,因此是检查性控制。
5.执行穿行测试,证实对交易流程和相关控制的了解
(1)穿行测试的目的 |
a)确认对业务流程的了解 b)确认对重要交易的了解是完整的,即所有与认定相关的可能错报环节都已识别 c)确认所获取的有关流程中的预防性控制和检查性控制信息的准确性 d)评估控制设计的有效性 e)确认控制是否得到执行 f)确认之前所做的书面记录的准确性 |
【案例】
穿行测试是绝大多数没有实务经验的考生觉得抽象的内容,在此选取一份工作底稿,加深理解,最终效果希望同学们能够掌握穿行测试所达到的目的。
了解被审计单位的内部控制——货币资金循环 |
索引号: | 编制人: | 复核人: |
编制日期: | 复核日期: |
流程记录 | 相关控制 | 控制执行人 |
货币资金支付业务:[节选] A.支付申请 用款时,申请人向所在部门经理提交资金支付申请,注明款项的用途、金额、支付对象、支付方式等,并后附相关合同或证明; B.支付审批 部门经理对支付申请进行审批,无误后签字确认; | 控制点A-1; 控制点B-1; | 申请人 部门经理 |
C.支付复核 申请人将审批通过的支付申请提交至财务部,支付额度在5万元以下的,由财务经理复核,超过5万元的,由财务总监复核;无误后签字确认。 D.办理支付 由出纳人员根据复核无误的支付申请,办理支付手续,并及时登记银行存款日记账。 | 控制点C-1; 控制点C-2; 控制点D-1. | 财务经理 财务总监 出纳 |
真题和模拟题精讲
【多项选择题】注册会计师执行穿行测试可以实现的目的有( )。
A.确认对业务流程的了解
B.识别可能发生错报的环节
C.评价控制设计的有效性
D.评价控制执行的有效性
[答案]ABC
[点评]选项D属于执行控制测试可以实现的目的;对于控制测试与穿行测试的辨析,是高频考点,同学们必须精准掌握。
6.初步评价和风险评估
初步评价结论 |
结论 | 设计 | 执行 |
(1)所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报,并得到执行 | √ | √ |
(2)控制的设计是合理的,但没有得到执行 | √ | × |
(3)控制设计无效或缺乏必要控制 | × | - |
真题和模拟题精讲
【多项选择题】在对内部控制进行初步评价并进行风险评估后,注册会计师通常需要在审计工作底稿中形成结论的有( )。
A.控制本身的设计是否有效
B.控制是否得到执行
C.是否信赖控制并实施控制测试
D.是否实施实质性程序
[答案]ABC
[点评]在对控制进行初步评价及风险评估后,注册会计师需要得出以下结论:(1)控制本身的设计是否合理;(2)控制是否得到执行;(3)是否更多地信赖控制并拟实施控制测试。
7.对财务报告流程的了解
