了解内部控制与控制测试的联系与区别

内部控制及其控制测试
什么是内部控制
内部控制是组织采取的一系列措施，以确保达到业务目标并规避潜在风险。 它包括指导方针、流程、技术和监控机制。
内部控制的重要性
内部控制对企业至关重要，它可以保护企业财产、确保数据的准确性、促进 合规性，并提高业务效率和透明度。
内部控制框架
控制环境
包括领导才能、组织结构、人 员政策和价值观。
2 纠正性控制
3 检测性控制
防止问题的发生。
解决已经发生的问题。
发现已经发生的问题。
内部控制测试的目的
内部控制测试的目的是评估和验证内部控制的有效性，以确认它们是否能够 达到预期的目标。
内部控制测试的方法
1
问卷调查
通过向员工提问卷，收集他们对内部控制的看法和经验。
2
记录。
风险评估
识别和评估业务风险，以制定 相应的控制措施。
信息和沟通
确保信息的及时准确传递，并 鼓励员工进行沟通和举报。
内部控制的要素
控制环境
领导才能、组织结构、人员政策和价值观。
控制活动
设立和执行控制措施。
风险评估
业务风险的识别和评估。
信息和沟通
信息及时准确传递，员工沟通和举报。
内部控制的分类
1 预防性控制
3
采访
与企业内部的关键人员进行面谈，了解他们对内部控制的认识和实施情况。
内部控制测试的程序
1
策划
确定测试范围、目标和计划。
2
进行测试
执行预定的测试程序，收集相关数据和信息。
3
评估结果
分析和评估测试结果，确定控制有效性。

项目二 实施审计程序
风险评估程序的实施
（五）考虑财务报表的可审计性 如果通过对内控的了解发现下列情况： （1）被审单位会计记录的状况和可靠性存在重大问题，
不能获取充分、适当的审计证据以发表无保留意见； （2）对管理层的诚信存在严重疑虑。并对财务报表局
部或整体的可审计性产生疑问，CPA应： 1．考虑出具保留意见或无法表示意见的审计报告； 2．必要时，CPA应考虑解除业务约定。
进一步审计程序时
（1）某项控制是否存在（有没 从下面判断控制是否能够在各个不
有？）
同时点按照既定设计得以一贯执
（2）被审单位正在使用（用不 行：（1）控制在所审计期间的不同
用？）
时点是如何运行的；（2）控制是否
得到一贯执行；（3）控制由谁执行；
（4）控制以何种方式运行
项目二 实施审计程序
控制测试程序的执行
控制测试与了解内控的区别见下表：
项目二 实施审计程序
控制测试程序的执行
（1）控制测试与了解内控的区别
区别 目的不同 重点不同 过程不同
证据质量 不同
了解内控
控制测试
（1）评价控制的设计（哪里来？） 测试控制运行的有效性（好不好？）
（2）确定控制是否得到执行（用
不用？）
控制得到执行
控制运行的有效性
风险评估程序时
项目二 实施审计程序
做中学
【例2-1】下列各项中，与公司财务报表层次重大错报风 险评估相关的是（ ） A.公司应收账款周转率呈明显下降趋势 B.公司持有大量高价值且易被盗窃的资产 C.公司的生产成本计算过程相当复杂 D.公司控制环节薄弱 【答案】D 【解析】A、B、C项均与交易或账户层次重大错报风险评 估有关。

（三）细节测试与实质性分析程序的区 别与联系？
细节测试是对各类交易、账户余额、列报的 具体细节进行测试，目的在于直接识别财务 报表认定是否存在错报。
实质性分析程序从技术上讲仍然是分析程序， 主要是通过研究数据间关系评价信息，只是 将该技术方法用作实质性程序，即用以识别 各类交易、账户余额、列报及相关认定是否 存在错报
（二）观察
测据试相只留对有下可询书靠问面；、记观录察的和控检制查程序结合在
（三）检查
如（发3一）票起不复仍在合无场人法可员获能的得不签充同字分的，的做发证法票据是时否候， 附有需客要户重订新货执单行和。出库单
（四）重新执行 如发票金额的核对测试
三、控制测试的时间
（一）测试所针对的控制适用的时点或 期间
是否有必要测试竹篮打水的效果？ 是否有必要测试“跳进黄河能洗干净”的合理性？
系统管理员（财务经理）与一级操作员（总账主管）具备 同样的管理权分配权限和访问权限，在此前提下测试权限 分配的唯一性与合理性。
只有认为控制有效（控制设计合理、 能够防止或发现和纠正认定层次的 重大错报），注册会计师才有必要 对控制运行的有效性实施测试。
1.时点测试 2.期间测试 （二）何时实施控制测试
1.期中测试 2.利用以前审计获取的审计证据
（一）测试所针对的 控制适用的时点或期间
时点测试
时点有效
期间测试
时点有效 监督有效 时点有效
期间有效
（二）何时实施控制测试
期中测试 期中到期末 测试这段时间的控制情况
2.利用以前审计获取的审计证据
在期中实施实质性程序，一方面消耗了审计资源，另 一方面期中实施实质性程序获取的审计证据又不能直 接作为期末财务报表认定的审计证据，注册会计师仍 然需要消耗进一步的审计资源使期中审计证据能够合 理延伸至期末。于是这两部分审计资源的总和是否能 够显著小于完全在期末实施实质性程序所需消耗的审 计资源，是注册会计师需要权衡的。

（2）细节测试细节测试适用于对各类交易、账户余额、列报认定的测试，尤其是对存在或发生、计价认定的测试；对在一段时期内存在可预期关系的大量交易，注册会计师可以考虑实施实质性分析程序。
，以防止或发现并纠正与费用有关的重大错报风
控制测试介绍个会计师方面的关键术语控制测试指的是测试控制运行的有效性，这一概念需要与 “了解内部控制”进行区分。“了解内部控制”包含两层含义：一是评价控制的设计；二是确定控制是否得到执行。测试控制运行的有效性与确定控制是否得到执行所需获取的审计证据是不同的。在实施风险评估程序以获取控制是否得到执行的审计证据时，注册会计师应当确定某项控制是否存在，被审计单位是否正在使用。在测试控制运行的有效性时，注册会计师应当从下列方面获取关于控制是否有效运行的审计证据：（1）控制在所审计期间的不同时点是如何运行的；（2）控制是否得到一贯执行；（3）控制由谁执行；（4）控制以何种方式运行（如人工控制或自动化控制）。从这四个方面来看，控制运行有效性强调的是控制能够在各个不同时点按照既定设计得以一贯执行。因此，在了解控制是否得到执行时，注册会计师只需抽取少量的交易进行检查或观察某几个时点。但在测试控制运行的有效性时，注册会计师需要抽取足够数量的交易进行检查或对多个不同时点进行观察。下面举例说明两者之间的区别。某被审计单位针对销售收入和销售费用的业绩评价控制如下：财务经理每月审核实际销售收入（按产品细分）和销售费用（按费用项目细分），并与预算数和上年同期数比较，对于差异金额超过5%的项目进行分析并编制分析报告，销售经理审阅该报告并采取适当跟进措施（相关Байду номын сангаас定：发生、准确性和完整性）。注册会计师抽查了最近三个月的分析报告，并看到上述管理人员在报告上签字确认，证明该控制已经得到执行。然而，注册会计师在与销售经理的讨论中，发现他对分析报告中明显异常的数据并不了解其原因，也无法作出合理解释，从而显示该控制并未得到有效地运行。测试控制运行的有效性与确定控制是否得到执行所需获取的审计证据虽然存在差异，但两者也有联系。本准则第三十条指出，为评价控制设计和确定控制是否得到执行而实施的某些风险评估程序并非专为控制测试而设计，但可能提供有关控制运行有效性的审计证据，注册会计师可以考虑在评价控制设计和获取其得到执行的审计证据的同时测试控制运行有效性，以提高审计效率；同时注册会计师应当考虑这些审计证据是否足以实现控制测试的目的。例如，被审计单位可能采用预算管理制度，以防止或发现并纠正与费用有关的重大错报风险。通过询问管理层是否编制预算，观察管理层对月度预算费用与实际发生费用的比较，并检查预算金额与实际金额之间的差异报告，注册会计师可能获取有关被审计单位费用预算管理制度的设计及其是否得到执行的审计证据，同时也可能获取相关制度运行有效性的审计证据。当然，注册会计师需要考虑所实施的风险评估程序获取的审计证据是否能够充分、适当地反映被审计单位费用预算管理制度在各个不同时点按照既定设计得以一贯执行。

• 注册会计师在确定某项控制的测试范围时通 常考虑下列因素： 1.在整个拟信赖的期间，被审计单位执 行控制的频率。（控制执行的频率越高，控 制测试的范围越大。） 2.在所审计期间，注册会计师拟信赖控 制运行有效性的时间长度。（拟信赖期间越 长，控制测试的范围越大。） 3.为证实控制能够防止或发现并纠正认 定层次重大错报，所需获取审计证据的相关 性和可靠性。（对审计证据的相关性和可靠 性要求越高，控制测试的范围越大。）
第七章 内部控制系统及其评审 第三节 内部控制的评审
一、与审计相关的内部控制 二、对内部控制的深入了解 三、内部控制的评审 四、控制测试
四、控制测试
• 控制测试指测试内部控制运行的有效性。
• 这一概念需要与“了解内部控制”进行区分。 –1、“了解内部控制”包含两层含义：
• 一是评价控制的设计； • 二是确定控制是否得到执行。
• （5）单选：控制测试与了解内部控 制的目的不同，但两者采用审计程 序的类型通常是相同的，但( )程序 是个例外。它属于控制测试程序而 不属于了解内部控制的程序。
A．询问、观察 B．重新执行 C．检查文件记录 D．穿行测试
• （6）单选：询问程序一般不足以测 试控制运行的有效性，注册会计师 应将询问与其他审计程序结合使用 ，以获取有关控制运行有效性的审 讣证据。相对而言，将询问程序与 下列( )程序相结合所获取的审计证 据在证实控制运行有效性方面的保 证程序最低。
–（1）获取这些控制在剩余 期间变化情况的审计证据；
–（2）确定针对剩余期间还 需要获取的补充审计证据。
• 第二项是针对期中证据以外的、剩余期间 的补充证据。在执行该项规定时，注册会 计师应当考虑下列因素： 1.评估的认定层次重大错报风险的重大 风险程度。评估的重大错报风险对财务报 表的影响越大，注册会计师需要获取的剩 余期间的补充证据越多。

（注：1211准则四十五条）
.
一、了解内部控制
二、内部控制的内涵 内部控制是被审计单位为了合理保证财
务报告的可靠性、经营的效率和效果以及 对法律法规的遵守，由治理层、管理层和 其他人员设计和执行的政策和程序。
（注：1211准则四十六条）
.
一、了解内部控制
谁对内部控制负责？ 1、经营管理层 *最终对内部控制的有效性和充分性负责。 2、董事会 *主要由常务董事和外部独立董事组成，负责内部 控制的治理、指导和监督。 3、内部审计人员： *负责评估内部控制系统的有效性，是主要监督工 作实施者。
内部审计的技巧和应用
---如何进行内部控制的了解、测试及评价
.
一、了解内部控制
一、了解的目的 内部控制是识别和评估重大错报风险、
设计和实施进一步审计程序的基础。 注册会计师应当了解与审计相关的内部
控制以识别潜在错报的类型，考虑导致重 大错报风险的因素，以及设计和实施进一 步审计程序的性质、时间和范围
认定 完整性 存在/发生 准确性/计价 准确性/计价 完整性/截止 存在/发生
.
三、了解内部控制－业务流程层面 了解和评价内部控制
四、识别和了解相关控制 （一）控制的类型 1、预防性控制：是为了防止错误和舞弊的发
生而采取的控制: 缺乏有效的预防性控制增加了数据发生错
报的可能性，特别是在相关账户及其认定 存在较高重大错报风险时，情况更是如此。
价格信息记录； （3）重要的处理程序，包括在线输入和更新
处理；
.输出文件、报告和记录； （5）基本的职责划分，即列示各部门所负责
的处理程序。 可用流程图进行记录
.
三、了解内部控制－业务流程层面 了解和评价内部控制

如何进行内部控制的了解测试及评价内部控制的了解、测试及评价对于企业的稳定发展和风险管理非常重要。

下面我将从内部控制的定义、了解方法、测试过程以及评价指标等方面来详细阐述。

首先，内部控制是指在组织中为实现目标和监督运作而采取的一系列措施和程序。

了解内部控制需要从以下几个方面进行：1.建立内部控制制度：企业需要根据其业务特点和风险状况，制定适合的内部控制制度和政策。

这些制度和政策应包括明确的职责和权限划分、内部审计、风险评估和控制、信息披露等内容。

2.熟悉内部控制流程：企业应对内部控制流程进行系统地了解，包括具体业务流程、信息、资源和责任的流通路径，以及控制措施的设计和实施情况等。

3.沟通与协作：了解内部控制还需要与企业内部各个层级的员工和管理者进行沟通和协作，以获取他们对内部控制的理解和意见。

其次，内部控制的测试是为了验证内部控制是否有效和合规。

测试的过程可以按照以下步骤进行：1.确定测试范围：根据企业的特点和风险，确定测试的范围和重点。

可以选择具有风险的业务流程和控制点进行测试。

2.设计测试方案：制定测试方案，明确测试的目的、方法和步骤。

测试方法可以包括文件审查、观察、访谈以及数据分析等。

3.实施测试：根据测试方案，对指定的业务流程和控制点进行测试。

需要收集测试所需的证据，包括文件、记录和员工的口头陈述等。

4.分析测试结果：对测试所得的证据进行分析和评价，判断内部控制的有效性和合规性。

如果发现问题或不符合要求的地方，应及时提出改进建议。

最后，内部控制的评价可以根据以下指标进行：1.目标的实现程度：评价内部控制是否能够实现企业的目标，如是否能够保障资产的安全性和完整性，预防和检测欺诈行为等。

2.自我评价的有效性：评价企业对内部控制的自我评价和改进措施的有效性。

包括是否能够及时发现问题、提出改进意见并进行有效实施。

3.内外部意见的反馈：评价内部控制是否能够获得内外部相关方的积极反馈和支持，如审计师和股东的评价等。

( 1 )了解内部控制的目的：评价控制的设计，确定控制是否得到执行。

( 2 )控制测试的目的：测试控制运行的有效性。

了解内部控制是否得到执行，注会只需要抽取少量的交易进行检查，观察某几个时点，但在测试控制运行的有效行时，注会需要抽取足够数量的交易进行检查，观察多个试点并检查被审计单位对控制的监督。

为评价控制设计和确定控制是否得到执行而事实的某些分析按评估程序并非专为控制测试而设计，但可能提空有关控制运行有效性的审计证据，注会可以考虑在评价控制设计和获取其得到执行的审计证据的同时测试控制运行的有效性，以提高审计效率；同时注会应当考虑这些审计证据是否以足以实现控制测试的目的。

控制测试并非任何情况下都需要实施当存在下列情形之一时，注会应当实施控制测试：1.在评估认定层次重大错报风险时，预期控制是有效的。

2.仅实施实质性程序不足以获取认定层次充分、适当的审计证据。

(熟悉-注会课本 313 页“关于根据控制测试的目的确定控制测试的时间”一段) ( 1 )何时实施控制测试( 2 )测试所针对的控制适用的时点或期间( 1 )如果未发生变化，本次可能执行控制测试，也可利用以前审计获取的有关控制运行有效性的审计证据，但两次测试的时间间隔不得超过两年。

( 2 )如果已发生变化，应在本期实施控制测试。

( 3 )对于旨在减轻特别风险的控制，不论该控制是否变化，都应在本期执行控制测试。

(4)应在每一次审计中都选取足够数量的部分控制进行测试，即不应将所有拟信赖控制的测试集中于某一次审计，而在之后的审计中不对任何控制进行测试。

，直接用以发现认定层次的重大错报而实施的审计程序。

无论评估的重大错报风险结果如何，都应当针对所有重大交易、账户余额、列报实施实质性程序，以应对识别的认定层次重大错报风险。

细节测试是对各类交易、账户余额、列报的具体细节进行测试，目的在于直接识别财务报表认定是否存在错报。

实质性分析程序从技术上讲仍然是分析程序，主要是通过研究数据间关系评价信息，只是将该技术方法用作实质性程序，即用以识别各类交易、账户余额、列报及相关认定是否存在错报通常情况下错报风险较高时，不适宜实施实质性分析程序，因为分析程序得到的证据是一种间接证据，它的证明力较弱，还需要实施细节测试取得相应的证据来相互印证。

了解内部控制与控制测试是审计考试中常考的知识点。

我们通常将二者混淆。

那么了解内部控制与控制测试到底都是为了做什么?二者又有什么区别和联系?一、了解内部控制了解内部控制，包括评价控制的设计，并确定其是否得到执行，不包括对控制是否得到一贯执行的测试。

其中，评价控制的设计，涉及考虑该控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报，而控制得到执行是指某项控制存在且被审计单位正在使用。

注册会计师通常实施下列风险评估程序，以获取有关控制设计和执行的审计证据：1、询问被审计单位人员;2、观察特定控制的运用;3、检查文件和报告;4、追踪交易在财务报告信息系统中的处理过程(穿行测试)。

了解内部控制，必须对被审计单位的业务活动的流程非常清晰，并且知道每个环节都有哪些内部控制用于能够防止或发现并纠正重大错报。

比如了解被审计单位销售交易的内部控制，必须明确几大重要环节的内部控制，例如：(1)信用管理部门是否设立在销售部门下。

如果信用管理部门设立在销售部门下，销售部门往往为了追求销售业绩，不管是否以巨额坏账损失为代价。

这会导致应收账款的计价和分摊认定存在重大错报风险。

(2)仓库是否根据经过赊销审批的销售单发货。

如果仓库收到的销售单并没有经过赊销审批，表明内部控制被凌驾，从而导致财务报表层次存在重大错报风险。

(3)销售发票后是否附有发运凭证。

发运凭证代表实物流转，如果连发运凭证都没有就开销售发票，注册会计师可以合理预期你的销售交易是虚构的。

在此并不一一叙述，但需要明确的一点是：在了解内部控制时，只是评价内部控制设计的是否合理，并且是否在运行，至于运行的有效性是控制测试的事情，了解内部控制并不关心这个问题。

比如了解赊销审批的内部控制，只是看设计的如何，以及销售单上是否有签字授权，至于是谁签的字以及是否符合审批制度是控制测试的事情。

了解内部控制之后要对内部控制进行评价，以决定是否执行控制测试。

评价的结论：(1)内部控制设计合理，且正在执行。

• 资料三：A和B注册会计师在审计工作底稿中记录了所了解的有关销 售与收款循环的控制，部分内容摘录如下： • （1）仓库人员在系统中根据经销售部门批准的客户订单生成连续编 号的发货单，并在将产品交运输商发运后，将发货单设为“已执行” 状态并提交结算部门。结算部门根据系统中的“已执行”发货单记录、 订单及相关客户基础资料，在系统中生成并打印销售发票，系统在月 末根据发货单和发票信息自动汇总主营业务收入，并据此过入应收账 款和主营业务收入账簿。
要求不同 必要程序
性质不同 （1）询问被审计单位 （1）询问以获取与内部控制运行情况 的人员； 相关的信息； （2）观察特定控制的 （2）观察以获取控制（如职责分离） 运用； 的运行情况； （3）检查文件和报告； （3）检查以获取控制的运行情况； （4）穿行测试。 （4）穿行测试； （5）重新执行。
• 二、 内部控制要素（COSO①（Committee of Sponsoring Organization of the Theadway Commission，简称COSO“财务报告舞弊研究全 国委员会” ） • 1、控制环境 • 2、风险评估 • 3、控制活动 • 4、信息与沟通 • 5、监督 • 注册会计师需要了解和评价的内部控制只是与财务 报表审计相关的内部控制，并非入账数量相核对 • D.定期与客户核对应收账款余额
•
（AC）
• • • • • •
四、内部控制的固有局限 1、成本约束 2、缺乏例外考虑 3、设计的制度不可能最有效 4、串通舞弊 5、在决策时人为判断可能出现错误和由于 人为失误而导致内部控制失效。 • 6、执行控制人员的素质有限
内部控制受 制于成本效 益原则 权利游戏
内部控制 的局限
经营环境变化 •人员素质、信 •息传递的影响

细节测试是对各类交易、 账户余额和披露的具体细节进行测试， 目的在于 直接识别财务报表认定是否存在错报。
细节测试是审计中必须做的程序。注册会计师需要根据不同的认定层次的重 大错报风险设计有针对性的细节测试。
注册会计师可以选择检查、观察、询问、重新计算等具体审计程序作为细节 测试的执行程序。
（四）控制测试的要求
当存在下列情形之一时，注册会计师应当实施控制测试：
（ 在三评）估观认定察层和次检重大查错报风险时，预期控制的运行是有效的。
仅实施实质性并不能够提供认定层次充分、适当的审计证据。
此外需要说明的是：如果被审计单位在所审计期间内的不同时期使用了不同的控 制，注册会计师应当考虑不同时期控制运行的有效性。
控制在本期未发生变化
控制在本期发生变化
判断确定是否在本期审计 中测试其运行有效性
本次测试与上次 测试的时间间隔
每三年至少对控制 测试一次
特殊情形
鉴于特殊风险的特殊性，不论控制在本期是否发生变化，注册会计师都 不应依赖以前审计获取的证据。
如果确定评估的认定层次重大错报风险是特别风险，并拟信赖旨在减轻 特别风险的控制，注册会计师不应依赖以前审计获取的审计证据，而应在本 期审计中测试这些控制的运行有效性。
控制测试的性质是指控制测试所使用的审计程序的类型及其组合。 计划从控制测试中获取的保证水平是决定控制测试性质的主要因素之一。在计划和实施
控制测试时，对控制有效性的依赖程度越高，注册会计师应当获取越有说服力的审计证 据。当拟实施的进一步审计程序主要以控制测试为主，尤其是仅实施实质性程序无法或 不能获取充分、适当的审计证据时，注册会计师应当获取有关控制运行有效性的更高的 保证水平。
（二） 控制测 试采用 的审计 程序

财会类价值文档精品发布！
内部控制与控制测试的区别和联系[会计实务，会计实操]
了解内部控制与控制测试是审计考试中常考的知识点。

我们通常将二者混淆。

那么了解内部控制与控制测试到底都是为了做什么?二者又有什么区别和联系?
一、了解内部控制
了解内部控制，包括评价控制的设计，并确定其是否得到执行，不包括对控制是否得到一贯执行的测试。

其中，评价控制的设计，涉及考虑该控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报，而控制得到执行是指某项控制存在且被审计单位正在使用。

注册会计师通常实施下列风险评估程序，以获取有关控制设计和执行的审计证据：
1、询问被审计单位人员;
2、观察特定控制的运用;
3、检查文件和报告;
4、追踪交易在财务报告信息系统中的处理过程(穿行测试)。

了解内部控制，必须对被审计单位的业务活动的流程非常清晰，并且知道每个环节都有哪些内部控制用于能够防止或发现并纠正重大错报。

比如了解被审计单位销售交易的内部控制，必须明确几大重要环节的内部控制，例如：
(1)信用管理部门是否设立在销售部门下。

如果信用管理部门设立在销售部门下，销售部门往往为了追求销售业绩，不管是否以巨额坏账损失为代价。

这会导致应收账款的计价和分摊认定存在重大错报风险。

(2)仓库是否根据经过赊销审批的销售单发货。

如果仓库收到的销售单并。

2、通过符合性测试已获得证据证明控制有效 内审 对内部审计工作质量进行研究和评价，以确定是否利用内 与内部审计人员协调工作，并在审计中使用内部审计人员 关系 部审计工作结果 所提供的直接支持
1、同步控制测试（主要证实法下可能执行） 2、追加控制测试（主要证实法下可能执行） 3、计划控制测试（较低的控制风险估计水平下）必须执行 4、双重目的测试
这时候的控制风险初步评价是针对每个重要的账户余额或 是对是否应进一步审计被审计单位会计报表进行评价 交易种类，在认定层上进行的。 出现以下情况之一时，注册会计师应将重要账户或交易类 注册会计师只有在确认以下事项的情况下，才能将控制风 别的某些或全部认定的控制风险评估为高水平。 险评价为高水平： 1、控制政策和程序与认定不相关 1、企业内部控制失效 评价 2、难以对内部控制的有效性作出评价 3、注册会计师不拟进行符合性测试 对某项会计报表认定而言，如果同时出现以下情况，注册 会计师则不应评价其控制风险处于高水平 1、相关的内部控制可能防止或发现和纠正重大错报或漏 报 2、注册会计师拟进行符合性测试。 2、控制政策和程序无效 3、取得证据来评价控制政策和程序显得不经济 注册会计师只有在确认以下事项的情况下，才能将控制风 险评价为低水平 1、控制政策和程序与认定相关
内部控制中了解内控和测试控制的区别
了解内控 控制测试
评价 第二步，实施控制测试程序，证实有关内部控制的设计和 第一步，了解企业的内部控制情况，并作出相应的记录； 步骤 执行的效果； 审计 排在期中的后期进行
确认会计报表可能发生的潜在重要错报的种类，考虑影 响重要错报风险的因素，应设计适当的审计程序，关注会 为了确定内部控制制度的设计和执行是否有效而实施的 定义 计和内部控制制度中与会计报表认定相关的那些政策和程 审计程序。 序，并且将对会计和内部控制制度相关方面的了解同固有 风险、控制风险的评价有机结合起来。 1-1、了解以前审计时所发现的错、漏报种类及其原因 1-2、连续审计中，上次审计后发生变化的部分向有关人员 询问 2-1、询问管理当局和其他人员得知错、漏报是否在当年得 到改正；对内部控制获得足够的了解 目的 2-2、查阅相关内部控制文件，对内部控制获得足够的了 解，以便充分计划审计工作 3-1、充分计划审计工作； 3-2、了解内控程序的设计和实际运用与否 4、控制是否已经得到执行 5、确认和观察有关的控制政策和程序 1、合理利用以往的审计经验 2、询问被审计单位有关人员，并查阅相关内部控制文 程序 件； 3、检查内部控制生成的文件和记录； 4、观察被审计单位的业务活动和内部控制的运行情况； 5、选择若干具有代表性的交易和事项进行“穿行测试” 1、了解控制环境 2、了解会计系统 内容 3、了解控制程序 1、检查交易和事项的凭证 2、询问并实地观察未留下审计轨迹的内部控制的运行情况 3、重新执行相关内部控制程序 1、设计是否合理 2、执行是否有效 2-1、控制是怎样应用的 2-2、是否在年度中一贯应用 2-3、由谁来应用

了解和测试内部控制背景资料：ABC股份有限公司（以下简称“ABC公司”）于1997年6月经卫生部卫计发（1997）第214号文批准，由XYZ有限责任公司独家发起成立，于1998年5月公开发行社会公众股的上市公司，专门从事疫苗、血液制剂、诊断用品等生物制品的研究、生产和经营的企业。

本所承接ABC股份有限公司2011年度财务报表审计，并委派D项目组实施审计工作。

ABC股份有限公司客户主要为全国各地疾病控制预防中心和各个经销商，公司主要从事疫苗制品、血液制品的研发、生产、运输以及销售。

业务流程较为复杂。

公司制定了较为完善的内部控制制度，2011年度公司聘请了安永会计师事务所为其内部控制的改善进行了咨询，并逐步开始实施新的内部控制流程。

由于内部控制发生了较大的变化，项目组决定对重要的业务流程进行重新了解。

案例说明：本次案例分享采用理论结合实际的形式进行，先进行理论梳理，再结合实际进行案例展示。

了解被审计单位及其环境并进行风险评估——了解被审计单位内部控制一、审计发展介绍我国审计从发源到今天，已经有一百多年历史，注册会计师为了实现审计目标，围绕着对财务报表发表审计意见的审计工作也由于审计环境的不断变化调整审计方法。

从最初的账项基础审计到当今的风险导向审计，也反映了审计环境的不断变化。

当今世界，科学技术和政治经济不断进步，对企业的经营管理产生重大影响；伴随着激烈的竞争，经营风险不断加剧，企业随时可能面临着经营不善而导致破产倒闭的风险。

要识别和应对由于经营风险可能带来的财务报表的错误和舞弊，要求项目组必须从更高的层次，综合考虑企业环境和面临的经营风险，更全面的了解企业的财务和经营状况，识别可能存在的错误和舞弊，并基于对被审计单位及其环境的了解的情况下，进行风险评估，制定总体审计策略和具体审计计划，以确保审计的效果；由于经济发展，企业规模日益壮大，项目组也有必要采用风险导向审计理念，充分了解被审计单位及其环境，识别风险点，以制定恰当的审计策略，从而提高审计效率；二、审计风险模型：审计风险（AR）=固有风险(IR)*控制风险(CR)*检查风险(DR)（其中：重大错报风险=固有风险*控制风险）从上述模型中不难看出，审计风险取决于固有风险、控制风险和检查风险；项目组审计过程中通常以控制检查风险来降低审计风险。

内部控制与控制测试的区别和联系【会计实务经验之谈】了解内部控制与控制测试是审计考试中常考的知识点。

我们通常将二者混淆。

那么了解内部控制与控制测试到底都是为了做什么?二者又有什么区别和联系?一、了解内部控制了解内部控制，包括评价控制的设计，并确定其是否得到执行，不包括对控制是否得到一贯执行的测试。

其中，评价控制的设计，涉及考虑该控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报，而控制得到执行是指某项控制存在且被审计单位正在使用。

注册会计师通常实施下列风险评估程序，以获取有关控制设计和执行的审计证据：1、询问被审计单位人员;2、观察特定控制的运用;3、检查文件和报告;4、追踪交易在财务报告信息系统中的处理过程(穿行测试)。

了解内部控制，必须对被审计单位的业务活动的流程非常清晰，并且知道每个环节都有哪些内部控制用于能够防止或发现并纠正重大错报。

比如了解被审计单位销售交易的内部控制，必须明确几大重要环节的内部控制，例如：(1)信用管理部门是否设立在销售部门下。

如果信用管理部门设立在销售部门下，销售部门往往为了追求销售业绩，不管是否以巨额坏账损失为代价。

这会导致应收账款的计价和分摊认定存在重大错报风险。

(2)仓库是否根据经过赊销审批的销售单发货。

如果仓库收到的销售单并没有经过赊销审批，表明内部控制被凌驾，从而导致财务报表层次存在重大错报风险。

(3)销售发票后是否附有发运凭证。

发运凭证代表实物流转，如果连发运凭证都没有就开销售发票，注册会计师可以合理预期你的销售交易是虚构的。

在此并不一一叙述，但需要明确的一点是：在了解内部控制时，只是评价内部控制设计的是否合理，并且是否在运行，至于运行的有效性是控制测试的事情，了解内部控制并不关心这个问题。

比如了解赊销审批的内部控制，只是看设计的如何，以及销售单上是否有签字授权，至于是谁签的字以及是否符合审批制度是控制测试的事情。

了解内部控制之后要对内部控制进行评价，以决定是否执行控制测试。

审计人员通过对通达物资贸易公司的审计，掌握了该公司出纳员王玉贪污公 款的情况：
通达贸易公司出纳员王玉从公司收发室截取了顾客李鸿升寄给公司的分期付 款的5000元支票，存入了由他负责的公司零用金银行存款账户中。然后，在该 存款户中以支付劳务费为由，开具了一张以自己为收款人的5000元的支票，签 名后从银行兑取了现金。
5、控制测试对实质性程序的影响 控制测试运行有效，只需从实质性程序获取较低 程度程度的保证。 说明，CPA可以考虑对同一交易同时实施控制测试和 细节测试，以实现双重目的。
评价内部控制强弱 评价控制风险
高 低信赖程度
控制风险 水平
较多实质性测试
4、符合性测试的范围 要求：对于内部控制制度较完善的环节，若予以 信赖，方才进行符合性测试；对于风险较高的内 部控制环节，如无法信赖，则不必进行符合性测 试，而应直接进行实质性测试。
5、符合性测试的结论 控制运行有效，可以信赖 控制运行无效，不可信赖 说明：控制测试不同于了解内部控制
（2）在业务层面了解并评价内部控制
√确定被审计单位的重要业务流程和交易类别； √了解重要交易流程并记录； √确定可能发生错报的环节； √识别和了解相关控制并记录； √执行穿行测试。（P128）
目的：在业务层面角度评价内部控制
√控制设计是否合理，是否得到执行； √控制设计是否无效或缺乏必要的控制。
第九章 控制测试与实质性程序
1.内部控制概述 2.了解并评价内部控制 3.控制测试 4.实质性程序
一、内部控制
（一）内控的概念
内部控制，是指为了合理保证企业财务报告的可靠性、 经营的效率和效果、资产的安全以及对法律法规的遵 守，由企业治理层、管理层和全体员工设计和执行的 政策和程序。

江财审计重点————————————————————————————————作者：————————————————————————————————日期：简答1.如何理解和区分经营失败和审计失败?（1）经营失败是反映经营风险的极端情况。

例如,资本投入或借给企业后,就面临着一定程度的经营风险。

当企业由于经济萧条、决策失误或同行之间的竞争等原因,而使所借贷款无法归还、或使投资人期望的利益无法取得,这就是经营失败。

（2）审计失败是指注册会计师由于没有遵循审计准则而形成或提出错误的审计意见。

（3）出现经营失败时,审计失败可能存在,也可能不存在。

2. 请简要回答了解内部控制程序与控制测试程序之间的联系与区别?(1)从审计程序运用的目的来看,对内部控制取得了解的程序主要是为了评估被审计单位的内部控制是否可以信赖,并据以规划审计工作; 控制测试主要是为了评估被审计单位内部控制的运行是否有效, 是否可以取得证据以支持被审计单位控制风险处于低水平的证据。

(2)从审计程序的类型来看,对内部控制取得了解的程序基本上也可以用于控制测试, 控制测试的程序中重新执行程序不适用于对内部控制取得了解。

(3)从审计准则的要求来看,对内部控制取得了解的程序属于必须执行的程序,而控制测试则需要根据对内部控制了解的结果来判断是否需要。

(4)从二者的联系来看,对内部控制取得了解的过程中进行穿行测试等会获取有关内部控制运行的证据,可做为控制测试的证据; 对内部控制取得了解的程序通常可以决定是否需要执行控制测试, 以及所需要执行的控制测试的性质、时间和范围。

3. 阐述针对财务报表层次重大错报风险的总体应对措施。

(1)向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性。

(2)分派更有经验或具有特殊技能的注册会计师或利用专家的工作。

(3)提供更多的督导。

(4)在选择进一步审计程序时,应当注意使某些程序不被管理层预见或事先了解。

(5)对拟实施审计程序的性质、时间和范围做出总体修改。