第九章内部控制及测试.doc

第9章 内部控制及测试 第1节 内部控制概述 一、内部控制的内涵 内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。　　可以从以下几方面理解内部控制： 1.内部控制的目标是合理保证： 2.设计和实施内部控制的责任主体是治理层、管理层和其他人员，组织中的每一个人都对内部控制负有责任。　　二、内部控制的构成要素 1、控制环境 包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。 ——对诚信和道德观念的沟通与落实；对胜任能力的重视；管理层的理念和经营风格 2、风险评估 指企业为达到目标而对相关的风险进行确认和分析，以构成风险管理的基础。 3、信息系统与沟通 与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。 与财务报告相关相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责，员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。 4、控制活动 控制活动是指有助于确保管理层的指令得以执行的政策和程序。 （1）职责分离 不相容职务：指经营业务的授权、批准、执行和记录等完全由一人或一个部门办理时，发生错误与舞弊的概率就会增大的两项或两项以上的职务。 以下职务应分离： 资产的保管与会计分离； 交易的授权与交易的执行以及相关资产的保管相分离； 经营责任与会计； 电子数据处理部门内部系统分析员、程序员、计算机操作员、资料保管员等相分离。 例1：一企业有三个会计人员，能力相当，有下列工作，如何安排能起到较好的控制作用。 记录总帐； 应付帐款明细帐； 应收帐款明细帐； 开支票并记载现金、银行存款明细帐； 开具退货拒付货款通知书； 编制银行存款余额调节表； 处理并送存所收入的现金； （2）授权 每一笔经济业务都要求经过适当的授权。分 一般授权：指管理当局事先制定政策，规定各个部门、各个职位的权限。属于政策限定范围内的所有经济业务，都可以得到自动批准。 特殊授权：针对特殊的经济业务或超出一定金额的经济业务的授权。 （3）凭证和记录控制 应设计和使用适当的凭证和记录，确保经济交易和事项得以全面、完整和准确地记录。 一般要求凭证预先连续编号；应及时编制。 （4）实物控制 对接触使用资产（特别是现金和存货等易变现资产）和记录（会计记录和业务记录）应有适当的防护措施。主要包括授权控制、物理控制。 （5）业绩评价 （6）信息处理 一般控制：与多个应用系统有关的政策和程序。如接触或访问权限控制 应用控制：主要在业务流程层面运行的人工或自动化程序。如对输入数据和数字序号的自动检查。 5、对控制的监督（监控） 是管理当局对内部控制质量进行持续或定期的评价，以确定各项控制是否按照意图运行，是否针对情况变化进行修正。如内部审计。 三、内部控制的局限性 内部控制存在固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证。 成本效益原则 针对常规交易 执行差错 串通 经营环境或业务性质的改变 四、在整体层面和业务流程层面了解内部控制 内部控制的某些要素（如控制环境）更多地对被审计单位整体层面产生影响，而其他要素（如信息系统与沟通、控制活动）则可能更多地与特定业务流程相关。在实务中，注册会计师应当从被审计单位整体层面和业务流程层面分别了解和评价被审计单位的内部控制。 1、在整体层面了解内部控制 通常由项目组中对被审计单位情况比较了解且较有经验的成员负责，同时需要项目组其他成员的参与和配合。 程序： （1）询问被审计单位的人员； （2）观察特定控制的运用； （3）检查文件和报告； （4）追踪交易在财务报告信息系统中的处理过程（穿行测试）。 在了解内部控制的各构成要素时，注册会计师应当对被审计单位整体层面的内部控制设计进行评价，并确定其是否得到执行。 被审计单位整体层面的内部控制是否有效将直接影响重要业务流程层面控制的有效性，进而影响注册会计拟实施的进一步审计程序的性质、时间安排和范围。 2、在业务流程层面了解内部控制 在初步计划审计工作时，注册会计师需要确定在被审计单位财务报表中可能存在重大错报风险的重大账户及其相关认定。为实现此目的，通常采取下列步骤：（1）确定被审计单位的重要业务流程和重要交易类别；（2）了解重要交易流程，并记录获得的了解；（3）确定可能发生错报的环节；（4）识别和了解相关控制；（5）执行穿行测试，证实对交易流程和相关控制的了解；（6）进行初步评价和风险评估。 通过对被审计单位整体层面内部控制各要素的了解，以及在（1）——（3）程序中对重要业务流程的了解，注册会计可以确定是否有必要进一步了解在业务流程层面的控制。