审计学(第二版)第十六章-企业内部控制审计课件.ppt

1、Audit审计学审计学（第二版）（第二版）杨明增主编杨明增主编清华大学出版社清华大学出版社 2018.042018.04CPA主要内容主要内容内部控制缺陷评价内部控制缺陷评价实施内部控制审计工作实施内部控制审计工作计划审计工作计划审计工作企业内部控制审计函义及业务承接企业内部控制审计函义及业务承接完完成内部控制审计工作成内部控制审计工作CPA第一节第一节 企业内部控制审计函义及业务承接企业内部控制审计函义及业务承接v一、一、企业内部控制审计的含义及范围企业内部控制审计的含义及范围v二、二、内部控制审计业务承接内部控制审计业务承接CPA一、一、企业内部控制审计的含义及范围企业内部控制审计的含义及

2、范围v内部控制因为在确保会计信息真实可靠、资料的安全完整内部控制因为在确保会计信息真实可靠、资料的安全完整和业务活动的有效进行，防止舞弊欺诈行为、实现经营管和业务活动的有效进行，防止舞弊欺诈行为、实现经营管理目标等方面具有重要作用而日益受到重视。理目标等方面具有重要作用而日益受到重视。v2002年美国国会通过了萨班斯法案年美国国会通过了萨班斯法案。v2004年美国公众公司会计监察委员会（年美国公众公司会计监察委员会（PCAOB）发布）发布审计准则对萨班斯法案的要求进行了明确的规定。审计准则对萨班斯法案的要求进行了明确的规定。v2010年，财政部等五部委发布内部控制审计指引。年，财政部等五部委发

3、布内部控制审计指引。CPA（一）内部控制审计的含义（一）内部控制审计的含义v内部控制审计是指会计师事务所接内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设受委托，对特定基准日内部控制设计与运行的有效性进行审计。计与运行的有效性进行审计。CPA（二）内部控制审计的范围（二）内部控制审计的范围v 财务报告内部控制主要包括下列方面的政策和程序：财务报告内部控制主要包括下列方面的政策和程序：v 1.保存充分、适当的记录，准确、公允地反映企业的交易和事保存充分、适当的记录，准确、公允地反映企业的交易和事项；项；v 2.合理保证按照适用的财务报告编制基础的规定编制财务报表；合理保证按照适用的财

4、务报告编制基础的规定编制财务报表；v 3.合理保证收入和支出的发生以及资产的取得、使用或处置经合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权；过适当授权；v 4.合理保证及时防止或发现并纠正未经授权的、对财务报表有合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项。重大影响的交易和事项。CPA（三）内部控制审计的基准日（三）内部控制审计的基准日v 内部控制审计基准日是指注册会计师评价内部控制在某一时日内部控制审计基准日是指注册会计师评价内部控制在某一时日是否有效所涉及的基准日，也是被审计单位评价基准日，即最是否有效所涉及的基准日，也是被审计单位评价基准日，

5、即最近一个会计期间截止日（如年末近一个会计期间截止日（如年末12月月31日）。日）。CPA二、内部控制审计业务承接二、内部控制审计业务承接v（一）内部控制审计的前提条件（一）内部控制审计的前提条件v（二）签订单独的内部控制审计业务约定书（二）签订单独的内部控制审计业务约定书CPA（一）内部控制审计的前提条件（一）内部控制审计的前提条件v 在确定内部控制审计的前提条件是否得到满足时，注册会计师在确定内部控制审计的前提条件是否得到满足时，注册会计师应当：应当：v（1）确定被审计单位采用的内部控制标准是否适当；）确定被审计单位采用的内部控制标准是否适当；v（2）就被审计单位认可并理解其责任与治理层和

6、管理层达成）就被审计单位认可并理解其责任与治理层和管理层达成一致意见。一致意见。CPA（一）内部控制审计的前提条件（一）内部控制审计的前提条件v 被审计单位的责任包括：被审计单位的责任包括：v（1）按照适用的内部控制标准，建立健全和有效实施内部控）按照适用的内部控制标准，建立健全和有效实施内部控制，以使财务报表不存在由于舞弊或错误导致的重大错报；制，以使财务报表不存在由于舞弊或错误导致的重大错报；v（2）对内部控制的有效性进行评价并编制内部控制评价报告；）对内部控制的有效性进行评价并编制内部控制评价报告；v（3）向注册会计师提供必要的工作条件。）向注册会计师提供必要的工作条件。CPA（二）签订

7、单独的内部控制审计业务约定书（二）签订单独的内部控制审计业务约定书v 业务约定书应当至少包括下列内容：业务约定书应当至少包括下列内容：v（1）内部控制审计的目标和范围；）内部控制审计的目标和范围；v（2）注册会计师的责任；）注册会计师的责任；v（3）被审计单位的责任；）被审计单位的责任；v（4）指出被审计单位采用的内部控制标准；）指出被审计单位采用的内部控制标准；v（5）提及注册会计师拟出具的内部控制审计报告的形式和内）提及注册会计师拟出具的内部控制审计报告的形式和内容，以及对在特定情况下出具的内部控制审计报告可能不同于容，以及对在特定情况下出具的内部控制审计报告可能不同于预期形式和内容的说明

8、；预期形式和内容的说明；v（6）审计收费。）审计收费。CPA第二节第二节 计划审计工作计划审计工作v一、计划审计工作应考虑的事项一、计划审计工作应考虑的事项v二、制订总体审计策略二、制订总体审计策略v三、具体审计计划三、具体审计计划v四、对应对舞弊风险的考虑四、对应对舞弊风险的考虑CPA一、计划审计工作应考虑的事项一、计划审计工作应考虑的事项v 在制定审计计划时，注册会计师应当考虑以下主要因素：在制定审计计划时，注册会计师应当考虑以下主要因素：v 1.与企业相关的风险；与企业相关的风险；v 2.相关法律法规和行业概况。相关法律法规和行业概况。v 3.企业组织结构、经营特点和资本结构等相关重要事

9、项；企业组织结构、经营特点和资本结构等相关重要事项；v 4.企业内部控制最近发生变化的程度；企业内部控制最近发生变化的程度；v 5.与企业沟通过的内部控制缺陷；与企业沟通过的内部控制缺陷；v 6.重要性、风险等与确定内部控制重大缺陷相关的因素；重要性、风险等与确定内部控制重大缺陷相关的因素；v 7.对内部控制有效性的初步判断；对内部控制有效性的初步判断；v 8.可获取的、与内部控制有效性相关的证据的类型和范围。可获取的、与内部控制有效性相关的证据的类型和范围。CPA二、制订总体审计策略二、制订总体审计策略v 注册会计师应当在总体审计策略中体现下列内容：注册会计师应当在总体审计策略中体现下列内容

10、：v 1.确定内部控制审计业务特征，以界定审计范围。确定内部控制审计业务特征，以界定审计范围。v 2.明确内部控制审计业务的报告目标，以计划审计的时间安排明确内部控制审计业务的报告目标，以计划审计的时间安排和所需沟通的性质。和所需沟通的性质。v 3.根据职业判断，考虑用以指导项目组工作方向的重要因素。根据职业判断，考虑用以指导项目组工作方向的重要因素。v 4.考虑初步业务活动的结果，并考虑对被审计单位执行其他业考虑初步业务活动的结果，并考虑对被审计单位执行其他业务时获得的经验是否与内部控制审计业务相关（如适用）。务时获得的经验是否与内部控制审计业务相关（如适用）。v 5.确定执行内部控制审计业

11、务所需资源的性质、时间安排和范确定执行内部控制审计业务所需资源的性质、时间安排和范围。围。CPA三、具体审计计划三、具体审计计划v 注册会计师应当在具体审计计划中体现下列内容：注册会计师应当在具体审计计划中体现下列内容：v 1.了解和识别内部控制的程序的性质、时间安排和范围；了解和识别内部控制的程序的性质、时间安排和范围；v 2.测试控制设计有效性的程序的性质、时间安排和范围；测试控制设计有效性的程序的性质、时间安排和范围；v 3.测试控制运行有效性的程序的性质、时间安排和范围。测试控制运行有效性的程序的性质、时间安排和范围。CPA四、对应对舞弊风险的考虑四、对应对舞弊风险的考虑v 注册会计师

12、应当在具体审计计划中体现下列内容：注册会计师应当在具体审计计划中体现下列内容：v 1.了解和识别内部控制的程序的性质、时间安排和范围；了解和识别内部控制的程序的性质、时间安排和范围；v 2.测试控制设计有效性的程序的性质、时间安排和范围；测试控制设计有效性的程序的性质、时间安排和范围；v 3.测试控制运行有效性的程序的性质、时间安排和范围。测试控制运行有效性的程序的性质、时间安排和范围。CPA四、对应对舞弊风险的考虑四、对应对舞弊风险的考虑v 注册会计师应当评价被审计单位的内部控制是否足以应对识别注册会计师应当评价被审计单位的内部控制是否足以应对识别出的、由于舞弊导致的重大错报风险，并评价为应

13、对管理层和出的、由于舞弊导致的重大错报风险，并评价为应对管理层和治理层凌驾于控制之上的风险而设计的控制。治理层凌驾于控制之上的风险而设计的控制。v 被审计单位为应对这些风险可能设计的控制包括：被审计单位为应对这些风险可能设计的控制包括：v 1.针对重大的非常规交易的控制，尤其是针对导致会计处理延针对重大的非常规交易的控制，尤其是针对导致会计处理延迟或异常的交易的控制；迟或异常的交易的控制；v 2.针对期末财务报告流程中编制的分录和作出的调整的控制；针对期末财务报告流程中编制的分录和作出的调整的控制；v 3.针对关联方交易的控制；针对关联方交易的控制；v 4.与管理层的重大估计相关的控制；与管理

14、层的重大估计相关的控制；v 5.能够减弱管理层和治理层伪造或不恰当操纵财务结果的动机能够减弱管理层和治理层伪造或不恰当操纵财务结果的动机和压力的控制。和压力的控制。CPA第三节第三节 实施内部控制审计工作实施内部控制审计工作v一、自上而下的方法一、自上而下的方法v二、测试控制的有效性二、测试控制的有效性CPA一、自上而下的方法一、自上而下的方法v 自上而下的方法分为下列步骤：从财务报表层次初步了解内部自上而下的方法分为下列步骤：从财务报表层次初步了解内部控制整体风险；识别、了解和测试企业层面控制；识别重要账控制整体风险；识别、了解和测试企业层面控制；识别重要账户、列报及其相关认定；了解潜在错报

15、的来源并识别相应的控户、列报及其相关认定；了解潜在错报的来源并识别相应的控制；选择拟测试的控制。制；选择拟测试的控制。CPA（一）识别、了解和测试企业层面控制（一）识别、了解和测试企业层面控制v 1.企业层面控制的涵义企业层面控制的涵义v 企业的内部控制分为企业层面控制和业务流程、应用系统或交企业的内部控制分为企业层面控制和业务流程、应用系统或交易层面的控制两个层面。易层面的控制两个层面。v 企业层面控制包括下列内容：（企业层面控制包括下列内容：（1）与控制环境（即内部环境）与控制环境（即内部环境）相关的控制；（相关的控制；（2）针对管理层和治理层凌驾于控制之上的风）针对管理层和治理层凌驾于控

16、制之上的风险而设计的控制；（险而设计的控制；（3）被审计单位的风险评估过程；（）被审计单位的风险评估过程；（4）对）对内部信息传递和期末财务报告流程的控制；（内部信息传递和期末财务报告流程的控制；（5）对控制有效）对控制有效性的内部监督（即监督其他控制的控制）和内部控制评价。性的内部监督（即监督其他控制的控制）和内部控制评价。CPA（一）识别、了解和测试企业层面控制（一）识别、了解和测试企业层面控制v 2.企业层面控制对其他控制及其测试的影响企业层面控制对其他控制及其测试的影响v（1）某些企业层面控制，如与控制环境相关的控制，对及时）某些企业层面控制，如与控制环境相关的控制，对及时防止或发现并

17、纠正相关认定的错报的可能性有重要影响。防止或发现并纠正相关认定的错报的可能性有重要影响。v（2）某些企业层面控制旨在识别其他控制可能出现的失效情）某些企业层面控制旨在识别其他控制可能出现的失效情况，能够监督其他控制的有效性，但还不足以精确到及时防止况，能够监督其他控制的有效性，但还不足以精确到及时防止或发现并纠正相关认定的错报。或发现并纠正相关认定的错报。v（3）某些企业层面控制本身能够精确到足以及时防止或发现）某些企业层面控制本身能够精确到足以及时防止或发现并纠正相关认定的错报。并纠正相关认定的错报。CPA（二）识别重要账户、列报及其相关认定（二）识别重要账户、列报及其相关认定v 判断某账户

18、或列报是否重要，应当依据其固有风险，而不应考判断某账户或列报是否重要，应当依据其固有风险，而不应考虑相关控制的影响。虑相关控制的影响。v 在识别重要账户、列报及其相关认定时，注册会计师还应当确在识别重要账户、列报及其相关认定时，注册会计师还应当确定重大错报的可能来源。定重大错报的可能来源。CPA（三）了解潜在错报的来源并识别相应的控制（三）了解潜在错报的来源并识别相应的控制v 1.了解潜在错报的来源了解潜在错报的来源v（1）了解与相关认定有关的交易的处理流程，包括这些交易）了解与相关认定有关的交易的处理流程，包括这些交易如何生成、批准、处理及记录；如何生成、批准、处理及记录；v（2）验证注册会

19、计师识别出的业务流程中可能发生重大错报）验证注册会计师识别出的业务流程中可能发生重大错报（包括由于舞弊导致的错报）的环节；（包括由于舞弊导致的错报）的环节；v（3）识别被审计单位用于应对这些错报或潜在错报的控制；）识别被审计单位用于应对这些错报或潜在错报的控制；v（4）识别被审计单位用于及时防止或发现并纠正未经授权的、）识别被审计单位用于及时防止或发现并纠正未经授权的、导致重大错报的资产取得、使用或处置的控制。导致重大错报的资产取得、使用或处置的控制。v 2.实施穿行测试实施穿行测试v 穿行测试是指追踪某笔交易从发生到最终被反映在财务报表穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的

20、整个处理过程。中的整个处理过程。CPA（四）选择拟测试的控制（四）选择拟测试的控制v 1.了解潜在错报的来源了解潜在错报的来源v（1）了解与相关认定有关的交易的处理流程，包括这些交易）了解与相关认定有关的交易的处理流程，包括这些交易如何生成、批准、处理及记录；如何生成、批准、处理及记录；v（2）验证注册会计师识别出的业务流程中可能发生重大错报）验证注册会计师识别出的业务流程中可能发生重大错报（包括由于舞弊导致的错报）的环节；（包括由于舞弊导致的错报）的环节；v（3）识别被审计单位用于应对这些错报或潜在错报的控制；）识别被审计单位用于应对这些错报或潜在错报的控制；v（4）识别被审计单位用于及时防

21、止或发现并纠正未经授权的、）识别被审计单位用于及时防止或发现并纠正未经授权的、导致重大错报的资产取得、使用或处置的控制。导致重大错报的资产取得、使用或处置的控制。v 2.实施穿行测试实施穿行测试v 穿行测试是指追踪某笔交易从发生到最终被反映在财务报表穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程。中的整个处理过程。CPA（四）选择拟测试的控制（四）选择拟测试的控制v 1.了解潜在错报的来源了解潜在错报的来源v（1）了解与相关认定有关的交易的处理流程，包括这些交易）了解与相关认定有关的交易的处理流程，包括这些交易如何生成、批准、处理及记录；如何生成、批准、处理及记录；v（2

22、）验证注册会计师识别出的业务流程中可能发生重大错报）验证注册会计师识别出的业务流程中可能发生重大错报（包括由于舞弊导致的错报）的环节；（包括由于舞弊导致的错报）的环节；v（3）识别被审计单位用于应对这些错报或潜在错报的控制；）识别被审计单位用于应对这些错报或潜在错报的控制；v（4）识别被审计单位用于及时防止或发现并纠正未经授权的、）识别被审计单位用于及时防止或发现并纠正未经授权的、导致重大错报的资产取得、使用或处置的控制。导致重大错报的资产取得、使用或处置的控制。v 2.实施穿行测试实施穿行测试v 穿行测试是指追踪某笔交易从发生到最终被反映在财务报表穿行测试是指追踪某笔交易从发生到最终被反映在

23、财务报表中的整个处理过程。中的整个处理过程。CPA二、测试控制的有效性二、测试控制的有效性v（一）内部控制的有效性（一）内部控制的有效性v（二）与控制相关的风险和拟获取的审计证据之间的关系（二）与控制相关的风险和拟获取的审计证据之间的关系v（三）测试控制有效性的程序（三）测试控制有效性的程序v（四）控制测试时间安排（四）控制测试时间安排v（五）控制测试的范围（五）控制测试的范围v（六）发现偏差时的处理（六）发现偏差时的处理CPA（一）内部控制的有效性（一）内部控制的有效性v 1.测试控制设计的有效性测试控制设计的有效性v 如果某项控制由拥有有效执行控制所需的授权和专业胜任能力如果某项控制由拥有

24、有效执行控制所需的授权和专业胜任能力的人员按规定的程序和要求执行，能够实现控制目标，从而有的人员按规定的程序和要求执行，能够实现控制目标，从而有效地防止或发现并纠正可能导致财务报表发生重大错报的错误效地防止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊，则表明该项控制的设计是有效的。或舞弊，则表明该项控制的设计是有效的。v 2.测试控制运行的有效性测试控制运行的有效性v 如果某项控制正在按照设计运行、执行人员拥有有效执行控制如果某项控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力，能够实现控制目标，则表明该项所需的授权和专业胜任能力，能够实现控制目标，则表明该项控制

25、的运行是有效的。控制的运行是有效的。CPA（二）与控制相关的风险和拟获取的审计证据之（二）与控制相关的风险和拟获取的审计证据之间的关系间的关系v 与控制相关的风险越高，注册会计师需要获取的审计证据就越多。下与控制相关的风险越高，注册会计师需要获取的审计证据就越多。下列因素影响与某项控制相关的风险：列因素影响与某项控制相关的风险：v 1.该项控制拟防止或发现并纠正的错报的性质和重要程度；该项控制拟防止或发现并纠正的错报的性质和重要程度；v 2.相关账户、列报及其认定的固有风险；相关账户、列报及其认定的固有风险；v 3.交易的数量和性质是否发生变化，进而可能对该项控制设计或运交易的数量和性质是否发

26、生变化，进而可能对该项控制设计或运行的有效性产生不利影响；行的有效性产生不利影响；v 4.相关账户或列报是否曾经出现错报；相关账户或列报是否曾经出现错报；v 5.企业层面控制（特别是监督其他控制的控制）的有效性；企业层面控制（特别是监督其他控制的控制）的有效性；v 6.该项控制的性质及其执行频率；该项控制的性质及其执行频率；v 7.该项控制对其他控制（如控制环境或信息技术一般控制）有效性该项控制对其他控制（如控制环境或信息技术一般控制）有效性的依赖程度；的依赖程度；v 8.执行该项控制或监督该项控制执行的人员的专业胜任能力，以及执行该项控制或监督该项控制执行的人员的专业胜任能力，以及其中的关键

27、人员是否发生变化；其中的关键人员是否发生变化；v 9.该项控制是人工控制还是自动化控制；该项控制是人工控制还是自动化控制；v 10.该项控制的复杂程度，以及在运行过程中依赖判断的程度。该项控制的复杂程度，以及在运行过程中依赖判断的程度。CPA（三）测试控制有效性的程序（三）测试控制有效性的程序v 注册会计师测试控制有效性的程序，按其提供审计证据的效力，注册会计师测试控制有效性的程序，按其提供审计证据的效力，由弱到强排序通常为：询问、观察、检查和重新执行。由弱到强排序通常为：询问、观察、检查和重新执行。v 1.询问。注册会计师可以向被审计单位适当员工询问，获取与询问。注册会计师可以向被审计单位适

28、当员工询问，获取与内部控制运行情况相关的信息。内部控制运行情况相关的信息。v 2.观察。观察是测试不留下书面记录的控制（如职责分离）的观察。观察是测试不留下书面记录的控制（如职责分离）的运行情况的有效方法。运行情况的有效方法。v 3.检查。对运行情况留有书面证据的控制，检查非常适用。检查。对运行情况留有书面证据的控制，检查非常适用。v 4.重新执行。通常只有当询问、观察和检查程序结合在一起仍重新执行。通常只有当询问、观察和检查程序结合在一起仍无法获得充分的证据时，注册会计师才考虑通过重新执行来证无法获得充分的证据时，注册会计师才考虑通过重新执行来证实控制是否有效运行。实控制是否有效运行。CPA

29、（四）控制测试时间安排（四）控制测试时间安排v 1.对控制有效性测试涵盖的期间对控制有效性测试涵盖的期间v 对控制有效性的测试涵盖的期间越长，提供的控制有效性的审对控制有效性的测试涵盖的期间越长，提供的控制有效性的审计证据越多。计证据越多。v 2.对控制有效性测试的实施时间对控制有效性测试的实施时间v 对控制有效性测试的实施时间越接近基准日，提供的控制有效对控制有效性测试的实施时间越接近基准日，提供的控制有效性的审计证据越有力。性的审计证据越有力。v 整改后的内部控制需要在基准日之前运行足够长的时间，注册整改后的内部控制需要在基准日之前运行足够长的时间，注册会计师才能得出整改后的内部控制是否有

30、效的结论。会计师才能得出整改后的内部控制是否有效的结论。CPA（五）控制测试的范围（五）控制测试的范围v 1.测试人工控制的最小样本规模测试人工控制的最小样本规模控制运行频率控制运行频率控制运行的总次数控制运行的总次数 测试的最小样本规模区间测试的最小样本规模区间每年1次11每季1次42每月1次122-5每周1次525-15每天1次25020-40每天多次大于250次25-60CPA（四）控制测试时间安排（四）控制测试时间安排v 2.测试自动化应用控制的最小样本规模测试自动化应用控制的最小样本规模v 信息技术处理具有内在一贯性，在信息技术一般控制有效的前信息技术处理具有内在一贯性，在信息技术一

31、般控制有效的前提下，除非系统发生变动，注册会计师只要对自动化应用控制提下，除非系统发生变动，注册会计师只要对自动化应用控制的运行测试一次，即可得出所测试自动化应用控制是否运行有的运行测试一次，即可得出所测试自动化应用控制是否运行有效的结论。效的结论。CPA（六）发现偏差时的处理（六）发现偏差时的处理v 在测试控制的有效性过程中，如果发现控制偏差，注册会计师在测试控制的有效性过程中，如果发现控制偏差，注册会计师应当确定其对下列事项的影响：应当确定其对下列事项的影响：v 1.与所测试控制相关的风险的评估；与所测试控制相关的风险的评估；v 2.需要获取的审计证据；需要获取的审计证据；v 3.控制运行

32、有效性的结论。控制运行有效性的结论。CPA（六）发现偏差时的处理（六）发现偏差时的处理v 在评价控制测试中发现的某项控制偏差是否为控制缺陷时，注在评价控制测试中发现的某项控制偏差是否为控制缺陷时，注册会计师可以考虑的因素包括：册会计师可以考虑的因素包括：v 1.该偏差是如何被发现的。该偏差是如何被发现的。v 2.该偏差是与某一特定的地点、流程或应用系统相关，还是对该偏差是与某一特定的地点、流程或应用系统相关，还是对被审计单位有广泛影响。被审计单位有广泛影响。v 3.就被审计单位的内部政策而言，该控制出现偏差的严重程度。就被审计单位的内部政策而言，该控制出现偏差的严重程度。4.与控制运行频率相比

33、，偏差发生的频率大小。与控制运行频率相比，偏差发生的频率大小。CPA第四节第四节 内部控制缺陷评价内部控制缺陷评价v一、内部控制缺陷的分类一、内部控制缺陷的分类v二、评价控制缺陷的严重程度二、评价控制缺陷的严重程度v三、表明可能存在重大缺陷的迹象三、表明可能存在重大缺陷的迹象v四、被审计单位对存在缺陷的控制进行整改四、被审计单位对存在缺陷的控制进行整改CPA一、内部控制缺陷的分类一、内部控制缺陷的分类v 内部控制存在的缺陷包括设计缺陷和运行缺陷。内部控制存在的缺陷包括设计缺陷和运行缺陷。v 设计缺陷是指缺少为实现控制目标所必需的控制，或现有控制设计缺陷是指缺少为实现控制目标所必需的控制，或现有

34、控制设计不适当、即使正常运行也难以实现预期的控制目标；设计不适当、即使正常运行也难以实现预期的控制目标；v 运行缺陷是指现存设计适当的控制没有按设计意图运行，或执运行缺陷是指现存设计适当的控制没有按设计意图运行，或执行人员没有获得必要授权或缺乏胜任能力，无法有效地实施内行人员没有获得必要授权或缺乏胜任能力，无法有效地实施内部控制。部控制。CPA一、内部控制缺陷的分类一、内部控制缺陷的分类v 内部控制存在的缺陷，按其严重程度分为重大缺陷、重要缺陷内部控制存在的缺陷，按其严重程度分为重大缺陷、重要缺陷和一般缺陷。和一般缺陷。v 重大缺陷是内部控制中存在的、可能导致不能及时防止或发现重大缺陷是内部控

35、制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合；的组合；v 重要缺陷是内部控制中存在的、其严重程度不如重大缺陷但足重要缺陷是内部控制中存在的、其严重程度不如重大缺陷但足以引起负责监督被审计单位财务报告的人员（如审计委员会或以引起负责监督被审计单位财务报告的人员（如审计委员会或类似机构）关注的一项控制缺陷或多项控制缺陷的组合；类似机构）关注的一项控制缺陷或多项控制缺陷的组合；v 一般缺陷是内部控制中存在的、除重大缺陷和重要缺陷之外的一般缺陷是内部控制中存在的、除重大缺陷和重要缺陷之外的控制缺

36、陷。控制缺陷。CPA二、评价控制缺陷的严重程度二、评价控制缺陷的严重程度v 控制缺陷的严重程度取决于：控制缺陷的严重程度取决于：v（1）控制不能防止或发现并纠正账户或列报发生错报的可能）控制不能防止或发现并纠正账户或列报发生错报的可能性的大小；性的大小；v（2）因一项或多项控制缺陷导致的潜在错报的金额大小。）因一项或多项控制缺陷导致的潜在错报的金额大小。CPA二、评价控制缺陷的严重程度二、评价控制缺陷的严重程度v 在评价一项控制缺陷或多项控制缺陷的组合是否可能导致账户在评价一项控制缺陷或多项控制缺陷的组合是否可能导致账户或列报发生错报时，注册会计师应当考虑的风险因素包括：或列报发生错报时，注册

37、会计师应当考虑的风险因素包括：v（1）所涉及的账户、列报及其相关认定的性质；）所涉及的账户、列报及其相关认定的性质；v（2）相关资产或负债易于发生损失或舞弊的可能性；）相关资产或负债易于发生损失或舞弊的可能性；v（3）确定相关金额时所需判断的主观程度、复杂程度和范围；）确定相关金额时所需判断的主观程度、复杂程度和范围；v（4）该项控制与其他控制的相互作用或关系；）该项控制与其他控制的相互作用或关系；v（5）控制缺陷之间的相互作用；）控制缺陷之间的相互作用；v（6）控制缺陷在未来可能产生的影响。）控制缺陷在未来可能产生的影响。CPA二、评价控制缺陷的严重程度二、评价控制缺陷的严重程度v 在评价因

38、一项或多项控制缺陷导致的潜在错报的金额大小时，在评价因一项或多项控制缺陷导致的潜在错报的金额大小时，注册会计师应当考虑的因素包括：注册会计师应当考虑的因素包括：v（1）受控制缺陷影响的财务报表金额或交易总额；）受控制缺陷影响的财务报表金额或交易总额；v（2）在本期或预计的未来期间受控制缺陷影响的账户余额或）在本期或预计的未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量。各类交易涉及的交易量。v 在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时，注册会计师应当评价补偿性控制的影响。时，注册会计师应当评价补偿性控制的影响。CPA三

39、、表明可能存在重大缺陷的迹象三、表明可能存在重大缺陷的迹象v 下列迹象可能表明内部控制存在重大缺陷：下列迹象可能表明内部控制存在重大缺陷：v（1）注册会计师发现董事、监事和高级管理人员的任何舞弊；）注册会计师发现董事、监事和高级管理人员的任何舞弊；v（2）被审计单位重述以前公布的财务报表，以更正由于舞弊）被审计单位重述以前公布的财务报表，以更正由于舞弊或错误导致的重大错报；或错误导致的重大错报；v（3）注册会计师发现当期财务报表存在重大错报，而被审计）注册会计师发现当期财务报表存在重大错报，而被审计单位内部控制在运行过程中未能发现该错报；单位内部控制在运行过程中未能发现该错报；v（4）审计委员

40、会和内部审计机构对内部控制的监督无效。）审计委员会和内部审计机构对内部控制的监督无效。CPA三、表明可能存在重大缺陷的迹象三、表明可能存在重大缺陷的迹象v 实例实例16-1 单选题单选题v 1.下列各项中，属于对控制监督的是（下列各项中，属于对控制监督的是（）v A.授权与批准授权与批准 B.业绩评价业绩评价v C.内审部门定期评估控制的有效性内审部门定期评估控制的有效性 D.职权与责任的分配职权与责任的分配v 分析：分析：ABD均属于控制活动，选项均属于控制活动，选项C属于控制监督，正确选项属于控制监督，正确选项是是C。CPA四、被审计单位对存在缺陷的控制进四、被审计单位对存在缺陷的控制进行

41、整改行整改v 如果被审计单位在基准日前对存在缺陷的控制进行了整改，整如果被审计单位在基准日前对存在缺陷的控制进行了整改，整改后的控制需要运行足够长的时间，才能使注册会计师得出其改后的控制需要运行足够长的时间，才能使注册会计师得出其是否有效的审计结论。是否有效的审计结论。v 如果被审计单位在基准日前对存在重大缺陷的内部控制进行了如果被审计单位在基准日前对存在重大缺陷的内部控制进行了整改，但新控制尚没有运行足够长的时间，注册会计师应当将整改，但新控制尚没有运行足够长的时间，注册会计师应当将其视为内部控制在基准日存在重大缺陷。其视为内部控制在基准日存在重大缺陷。CPA四、被审计单位对存在缺陷的控制进

42、四、被审计单位对存在缺陷的控制进行整改行整改v 实例实例16-2 单选题单选题v 1.在执行企业内部控制审计时，下列有关评价控制缺陷的说法中，错误的在执行企业内部控制审计时，下列有关评价控制缺陷的说法中，错误的是（是（）v A.如果某项内部控制缺陷存在补偿性控制，注册会计师不应该将该控制缺如果某项内部控制缺陷存在补偿性控制，注册会计师不应该将该控制缺陷评价为重大缺陷陷评价为重大缺陷v B.注册会计师在评价控制缺陷是否可能导致错报时，无需量化错报发生的注册会计师在评价控制缺陷是否可能导致错报时，无需量化错报发生的概率概率v C.注册会计师在评价控制缺陷导致的潜在错报金额大小时，应考虑本期或注册会

43、计师在评价控制缺陷导致的潜在错报金额大小时，应考虑本期或未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量。未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量。v D.注册会计师在评价控制缺陷的严重程度时，无需考虑错误是否已经发生。注册会计师在评价控制缺陷的严重程度时，无需考虑错误是否已经发生。v 分析：即使存在补偿性控制，在满足一定条件下，也可能评估为重大缺陷。分析：即使存在补偿性控制，在满足一定条件下，也可能评估为重大缺陷。答案选项是答案选项是A。CPA第五节第五节 完成内部控制审计工作完成内部控制审计工作v一、形成审计意见一、形成审计意见v二、获取书面声明二、获取书面声明v三、内

44、部控制审计报告的要素三、内部控制审计报告的要素v四、内部控制审计报告类型四、内部控制审计报告类型v五、考虑期后事项的影响五、考虑期后事项的影响v六、注意到的非财务报告内部控制缺陷六、注意到的非财务报告内部控制缺陷CPA一、形成审计意见一、形成审计意见v 注册会计师应当评价从各种来源获取的审计证据，包括对控制注册会计师应当评价从各种来源获取的审计证据，包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷，形成对内部控制有效性的意见。制缺陷，形成对内部控制有效性的意见。v 在评价审计证据时，注册会计师应当查阅本年度涉及内部控制

45、在评价审计证据时，注册会计师应当查阅本年度涉及内部控制的内部审计报告或类似报告，并评价这些报告中指出的控制缺的内部审计报告或类似报告，并评价这些报告中指出的控制缺陷。陷。v 在对内部控制的有效性形成意见后，注册会计师应当评价企业在对内部控制的有效性形成意见后，注册会计师应当评价企业内部控制评价报告对相关法律法规规定的要素的列报是否完整内部控制评价报告对相关法律法规规定的要素的列报是否完整和恰当。和恰当。CPA二、获取书面声明二、获取书面声明v 书面声明的内容应当包括：书面声明的内容应当包括：v（1）被审计单位董事会认可其对建立健全和有效实施内部控制负责；）被审计单位董事会认可其对建立健全和有效

46、实施内部控制负责；v（2）被审计单位已对内部控制进行了评价，并编制了内部控制评价报告；）被审计单位已对内部控制进行了评价，并编制了内部控制评价报告；v（3）被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执）被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作为评价的基础；行的程序及其结果作为评价的基础；v（4）被审计单位根据内部控制标准评价内部控制有效性得出的结论；）被审计单位根据内部控制标准评价内部控制有效性得出的结论；v（5）被审计单位已向注册会计师披露识别出的所有内部控制缺陷，并单独）被审计单位已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其

47、中的重大缺陷和重要缺陷；披露其中的重大缺陷和重要缺陷；v（6）被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞）被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞弊，以及其他不会导致财务报表发生重大错报，但涉及管理层、治理层和其弊，以及其他不会导致财务报表发生重大错报，但涉及管理层、治理层和其他在内部控制中具有重要作用的员工的所有舞弊；他在内部控制中具有重要作用的员工的所有舞弊；v（7）注册会计师在以前年度审计中识别出的且已与被审计单位沟通的重大）注册会计师在以前年度审计中识别出的且已与被审计单位沟通的重大缺陷和重要缺陷是否已经得到解决，以及哪些缺陷尚未得到解决；缺陷和重

48、要缺陷是否已经得到解决，以及哪些缺陷尚未得到解决；v（8）在基准日后，内部控制是否发生变化，或者是否存在对内部控制产生）在基准日后，内部控制是否发生变化，或者是否存在对内部控制产生重要影响的其他因素，包括被审计单位针对重大缺陷和重要缺陷采取的所有重要影响的其他因素，包括被审计单位针对重大缺陷和重要缺陷采取的所有纠正措施。纠正措施。CPA三、内部控制审计报告的要素三、内部控制审计报告的要素v 审计报告应当包括以下基本内容：审计报告应当包括以下基本内容：v 1.标题；标题；v 2.收件人；收件人；v 3.引言段；引言段；v 4.范围段；范围段；v 5.固有限制段；固有限制段；v 6.意见段；意见段

49、；v 7.签章和会计师事务所地址；签章和会计师事务所地址；v 8.报告日期，指注册会计师完成外勤审计工作的日期。报告日期，指注册会计师完成外勤审计工作的日期。CPA四、内部控制审计报告类型四、内部控制审计报告类型v（一）无保留意见内部控制审计报告（一）无保留意见内部控制审计报告v（二）带强调事项段的无保留意见（二）带强调事项段的无保留意见v（三）否定意见（三）否定意见v（四）无法表示意见（四）无法表示意见CPA（一）无保留意见内部控制审计报告（一）无保留意见内部控制审计报告v 1.出具无保留意见内部控制审计报告的条件出具无保留意见内部控制审计报告的条件v 如果符合下列所有条件，注册会计师应当对

50、内部控制出具无保如果符合下列所有条件，注册会计师应当对内部控制出具无保留意见的内部控制审计报告：留意见的内部控制审计报告：v(1)在基准日，被审计单位按照适用的内部控制标准的要求，在基准日，被审计单位按照适用的内部控制标准的要求，在所有重大方面保持了有效的内部控制；在所有重大方面保持了有效的内部控制；v(2)注册会计师已经按照企业内部控制审计指引的要求计注册会计师已经按照企业内部控制审计指引的要求计划和实施审计工作，在审计过程中未受到限制。划和实施审计工作，在审计过程中未受到限制。CPA（二）带强调事项段的无保留意见（二）带强调事项段的无保留意见v 如果认为内部控制虽然不存在重大缺陷，但仍有一