真正能使人佩服的，不是華麗的外表，得意忘形的傲氣。而是清醒的頭腦，靈敏的思維，還有超人一等的能力。小奧為考生整理了注會強化階段知識點，小伙伴們要堅持學習哦！

【內容導航】

了解被審計單位的內部控制

【所屬章節】

第七章 風險評估

【知識點】了解被審計單位的內部控制

了解被審計單位的內部控制

一、內部控制的要素

內部控制包括控制環境、風險評估過程(體現風險意識)、信息系統與溝通、控制活動和對控制的監督五個要素。

無論怎樣劃分內部控制要素，注冊會計師都應重點考慮某項控制是否能夠以及如何防止或發現并糾正各類交易、賬戶余額和披露存在的重大錯報。

二、只了解與審計相關的控制

了解內部控制是必要審計程序，注冊會計師應當了解被審計單位的內部控制。

注冊會計師需要了解和評價的只是與審計相關的內部控制，并非所有的內部控制。

被審計單位通常有一些與目標相關但與審計無關的控制，注冊會計師無須對其加以考慮。

如果多項控制活動能夠實現同一目標，不必了解與該目標相關的每項控制活動。

三、了解內部控制的深度[目的/程序/局限]

(一)了解內部控制的目的

1.評價控制設計是否合理

設計不當的控制可能表明內部控制存在重大缺陷，不需要再考慮控制是否得到執行。

2.確定控制是否得到執行

確定內部控制是否得到執行，不包括對控制是否得到一貫執行的測試。

(二)了解內部控制的程序

1.詢問被審計單位的人員;

2.觀察特定控制的運用;

3.檢查文件和報告;

4.追蹤交易在財務報告信息系統中的處理過程[穿行測試]。

注意：詢問、觀察、檢查、穿行測試的內容因交易而不同，見第9章、第11章第二節。

(三)了解內控能否代替控制測試

除非存在某些可以使控制得到一貫運行的自動化控制[一般控制],否則對控制的了解并不足以代替控制測試：

1.人工控制在某一時點得到執行，并不能表明在其他時點也有效運行。對人工控制的了解不能代替控制測試。

2.信息技術具有內在一貫性，一旦確定其正在有效執行，就可能確定其一貫有效執行[滿足三條件即可：一般控制有效、沒有重大變化、軟件版本經批準]。

四、內部控制的人工和自動化方式

(一)自動控制范圍、優勢與風險

1.適用范圍

適用于通過電子文檔生成、記錄、處理和報告交易。如訂購單、發票、裝運單及相關的會計記錄。不適用于難以防范、需要靈活變通的控制。

2.控制優勢

(1)在處理大量的交易或數據時，一貫運用事先確定的業務規則，并進行復雜運算;

(2)提高信息的及時性、可獲得性及準確性;

(3)有助于對信息的深入分析;

(4)提高對被審計單位的經營業績及其政策和程序執行情況進行監督的能力;

(5)降低控制被規避的風險[并不能消除該風險];

(6)通過實施安全控制，提高不相容職務分離的有效性。

3.控制風險

(1)一般控制存在缺陷，導致財務報表層的重大錯報風險;

(2)應用控制存在缺陷，直接導致認定層的重大錯報風險。

(二)人工控制的范圍、優勢與風險

盡管信息技術得到了廣泛使用，但人工因素仍然會存在于這些系統之中。每項自動控制都有一個人工控制相對應,且人工控制往往針對例外情況，屬于關鍵控制點。

自動控制要與對應的人工控制一起測試，才能得到控制是否可信賴的結論。

1.適用范圍：

適用于批準、復核、調節、跟蹤;

不適宜：

(1)存在大量或重復發生的交易[枯燥乏味];

(2)控制活動可適當設計和自動化處理[機械刻板];

(3)事先可預見的錯誤能夠通過自動化控制得以防范或發現并糾正[千篇一律]。

2.控制優勢

(1)存在大額、異?；蚺及l的交易[筆數少、金額大];

(2)存在難以定義、防范或預見的錯誤[異常的、無規定的];

(3)為應對情況的變化，需要對現有的自動化控制進行調整;

(4)監督自動化控制的有效性。

3.控制風險

(1)人工控制可能更容易被規避、忽視或凌駕[人情];

(2)人工控制可能不具有一貫性[情緒];

(3)人工控制可能更容易產生簡單錯誤或失誤[疲勞]。

五、內部控制的固有局限性[愛考]

(一)固有局限性的原因

1.人為判斷可能出現錯誤、人為失誤導致內部控制失效。

2.可能由于人員串通或管理層凌駕內部控制而被規避。

此外，還包括：人員素質，成本效益及異常情況。

(二)固有局限性的影響

1.無論如何設計和執行，只能對財務報告可靠性提供合理保證，不能提供絕對保證。

2.無論評估的控制風險多低，都不能僅依賴內部控制而不實施實質性程序。

六、控制環境

(一)概念

控制環境包括治理職能和管理職能，以及治理層和管理層對內部控制及其重要性的態度、認識和措施。

良好的控制環境是實施有效內部控制的基礎?？刂骗h境設定了被審計單位的內部控制基調，影響員工對內部控制的意識。

在審計業務承接階段，注冊會計師就需要對控制環境作出初步了解和評價。

(二)要素

1.對誠信和道德價值觀念的溝通與落實;

2.對勝任能力的重視;

3.治理層的參與程度;

4.管理層的理念和經營風格;

5.組織結構及職權與責任的分配;

6.人力資源政策與實務。

(三)要點

1.評估重大錯報風險時，應當將控制環境連同其他(4項)內部控制要素產生的影響一并考慮[僅控制環境可能不足以評估風險]。例如，與對控制的監督和具體控制活動一并考慮。

2.財務報表層次重大錯報風險很可能源于控制環境存在缺陷?？刂骗h境對重大錯報風險的評估具有廣泛影響。

3.控制環境不能絕對防止舞弊，但有助于降低舞弊風險。

4.控制環境的有效性能為注冊會計師相信以前年度和期中測試過的控制將繼續有效運行提供一定基礎[控制環境薄弱可能導致不能信賴以前期間控制測試證據]。

5.控制環境不僅不能防止或發現并糾正認定層次的重大錯報，控制環境存在的弱點反而可能削弱控制的有效性：如認為控制環境薄弱，很難認定某一流程的控制是有效的。

七、風險評估過程

(一)風險評估過程的含義

經營風險是重大錯報風險的土壤和前奏。

風險評估過程包括識別與財務報告相關的經營風險，以及管理層針對這些經營風險采取的應對措施。風險評估過程以經營風險為核心，代表了管理層的風險意識，影響著管理層對風險的識別和防范。

如果風險評估過程存在缺陷，注冊會計師就難以將重大錯報風險評估為低水平。

(二)可能產生風險的事項和情形[新/變]

1.監管及經營環境的變化;

2.新員工的加入;

3.新信息系統的使用或對原系統進行升級;

4.業務快速發展;

5.新技術的采用;

6.新的生產型號、產品和業務活動;

7.企業重組;

8.發展海外經營;

9.執行新的會計準則。

(三)對風險評估過程的了解與評價

1.如何了解：如果注冊會計師發現了風險因素，可通過詢問管理層和檢查有關文件確定被審計單位的風險評估過程是否也發現了該風險;

2.如何評估：如果識別出管理層未能識別的重大錯報風險，應考慮被審計單位的風險評估過程為何沒有識別出這些風險，以及評估過程是否適合于具體環境。

八、信息系統與溝通

1.與財務報告相關的信息系統應當與業務流程相適應。

2.自動化程序和控制可能降低無意錯誤的風險，但不能消除個人凌駕于控制的風險。

例如，某些高級管理人員可能篡改自動過入總分類賬和財務報告系統的數據金額。

當運用信息技術進行數據的傳遞時，發生篡改可能不會留下痕跡或證據。

了解與財務報告相關的信息系統應當包括了解信息系統中與財務報表所披露信息相關的方面，無論這些信息是從總賬和明細賬中獲取，還是從總賬和明細賬之外的其他途徑獲取。

九、控制活動

控制活動包括交易授權、業績評價、信息處理、實物控制和職責分離5個方面。

了解控制活動的重點是識別和了解針對重大錯報可能發生的領域的控制活動。

注冊會計師可以根據對固有風險的了解，初步評估重大錯報風險。重大錯報風險越高，越需要了解相關領域的內部控制。反之，重大錯報風險越低，注冊會計師越不需要了解相關領域的內部控制。

十、對控制的監督

對控制的監督是指評價內部控制在一段時間內運行有效性的過程，包括及時評價控制的設計和運行，以及根據情況的變化采取必要的糾正措施。

對控制的監督，需要持續的監督活動、專門的評價活動或兩者相結合。其中持續的監督活動通常貫穿于日常經營活動與常規管理工作中，專門的評價活動可由內部審計人員或具有類似職能的人員對內部控制的設計和執行進行定期評價。

十一、了解兩個層面的內部控制

注冊會計師應當從整體層面和業務流程層面分別了解和評價被審計單位的內部控制。

1.整體層面優劣，沒有固定評價標準。整體層面控制通常包括以下8個方面[D20Z]：

(1)與控制環境相關的控制

(2)針對管理層和治理層凌駕于控制之上的風險而設計的內部控制

(3)被審計單位的風險評估過程

(4)對內部信息傳遞和期末財務報告流程的控制

(5)對控制有效性的內部監督(即監督其他控制的控制)和內部控制評價。

(6)集中化的處理和控制。

(7)監督經營成果的控制。

(8)重大經營控制和風險管理實務的政策。

2.業務流程通常包括[D20Z]：

(1)授權與審批

(2)信息技術應用控制

(3)實物控制

3.在控制要素中，控制環境、風險評估過程、對控制的監督以及信息系統內部控制中的一般控制更多地影響整體層面控制。信息系統內部控制的應用控制、控制活動可能更多地與特定業務流程層面的控制相關。

許多人之所以沒有通過注會考試，就是因為不堅持，不努力，不挽留。只要努力，就會有希望。

(注：以上內容選自范永亮老師《審計》授課講義)

(本文為東奧會計在線原創文章，僅供考生學習使用，禁止任何形式的轉載)