第三章内部控制

第三章第三章 内部控制及其测试与评价内部控制及其测试与评价 内部控制的目标与要素内部控制的目标与要素 了解与记录内部控制了解与记录内部控制 内部控制测试内部控制测试 内部控制评价内部控制评价 管理建议书管理建议书7/12/20221第三章 内控第一节第一节 内部控制的目标与要素内部控制的目标与要素 内部控制目标内部控制目标 内部控制的目标内部控制的目标 有关内部控制的一般考虑有关内部控制的一般考虑 内部控制与审计的关系内部控制与审计的关系 内部控制要素内部控制要素 控制环境控制环境 会计系统会计系统 控制程序控制程序7/12/20222第三章 内控一、内部控制的目标一、内部控制的目标内部控制是指被审计单位为了保证业务活动的有效进行，内部控制是指被审计单位为了保证业务活动的有效进行，保证资产的安全完整，防止、发现、纠正错误与舞弊，保证资产的安全完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政保证会计资料的真实、合法、完整而制定和实施的政策与程序。策与程序。建立健全内部控制是被审计单位建立健全内部控制是被审计单位管理当局管理当局的会计责任。的会计责任。相关内控应当实现以下目标：相关内控应当实现以下目标：1.保证业务活动按照适当保证业务活动按照适当授权授权进行。进行。2.保证所有交易和事项以正确的金额，在恰当的会保证所有交易和事项以正确的金额，在恰当的会计期间及时记录于适当的账户，使会计报表的编计期间及时记录于适当的账户，使会计报表的编制符合会计准则的相关要求。制符合会计准则的相关要求。3.保证对资产和记录的接触、处理均经过适当授权。保证对资产和记录的接触、处理均经过适当授权。4.保证账面资产与实存资产定期核对相符。保证账面资产与实存资产定期核对相符。7/12/20223第三章 内控二、有关内控的一般考虑二、有关内控的一般考虑1.管理当局的责任管理当局的责任2.合理的保证合理的保证应考虑内部控制的成本效益。应考虑内部控制的成本效益。由外部审计作更详细的审查比承担高额内部控制成本由外部审计作更详细的审查比承担高额内部控制成本更为划算。更为划算。但控制程序不能对工作效率或获利能力有副作用。但控制程序不能对工作效率或获利能力有副作用。3.固有的限制固有的限制7/12/20224第三章 内控3.固有的限制固有的限制 内部控制的设计和运行受制于内部控制的设计和运行受制于成本与效益成本与效益原则。原则。内部控制一般仅针对内部控制一般仅针对常规常规业务活动而设计。业务活动而设计。即使是设计完整的内部控制，也可能因执行人员的粗心即使是设计完整的内部控制，也可能因执行人员的粗心大意、精力分散、判断失误以及对指令的误解而失效。大意、精力分散、判断失误以及对指令的误解而失效。内部控制可能因有关人员相互勾结、内外串通而失效。内部控制可能因有关人员相互勾结、内外串通而失效。内部控制可能因执行人员滥用职权或屈从于外部压力而内部控制可能因执行人员滥用职权或屈从于外部压力而失效。失效。内部控制可能因经营环境、业务性质的改变而削弱或失内部控制可能因经营环境、业务性质的改变而削弱或失效。效。7/12/20225第三章 内控三、内部控制与审计的关系三、内部控制与审计的关系内部控制既是被审计单位对其经济活动进行组织、制约、考内部控制既是被审计单位对其经济活动进行组织、制约、考核和调节的重要工具，也是核和调节的重要工具，也是CPA用以确定审计程序的重要用以确定审计程序的重要依据，有利于节约审计时间和审计费用。依据，有利于节约审计时间和审计费用。在确定二者的关系时，应当明确以下三点：在确定二者的关系时，应当明确以下三点：CPA在执行会计报表审计业务时，不论被审计单位规模在执行会计报表审计业务时，不论被审计单位规模大小，都应当对相关的内控进行充分的了解。大小，都应当对相关的内控进行充分的了解。CPA应根据其对内控的了解，确定是否进行符合性测试应根据其对内控的了解，确定是否进行符合性测试以及执行的符合性测试的性质、时间和范围。以及执行的符合性测试的性质、时间和范围。对内控的了解程序和符合性测试程序，并非会计报表审对内控的了解程序和符合性测试程序，并非会计报表审计工作的全部内容。绝不能完全取消实质性测试程序计工作的全部内容。绝不能完全取消实质性测试程序7/12/20226第三章 内控（一）控制环境（一）控制环境1.经营管理的观念、方式和风格经营管理的观念、方式和风格2.组织结构组织结构3.董事会董事会4.授权和分配责任的方法授权和分配责任的方法5.管理控制方法管理控制方法6.内部审计内部审计7.人事政策和实务人事政策和实务8.外部影响外部影响7/12/20227第三章 内控（二）会计系统（二）会计系统会计系统的会计系统的核心核心是处理交易是处理交易公司的会计系统应为每笔交易提供一个完整的公司的会计系统应为每笔交易提供一个完整的“审计轨审计轨迹迹”或或“交易轨迹交易轨迹”。所谓所谓“交易轨迹交易轨迹”是指通过编码、交叉索引和联接账户是指通过编码、交叉索引和联接账户余额与原始交易数据的书面资料所提供的一连串的迹余额与原始交易数据的书面资料所提供的一连串的迹象。象。交易轨迹对管理当局和交易轨迹对管理当局和CPA都很重要。都很重要。7/12/20228第三章 内控（三）控制程序（三）控制程序控制程序可分为五类：控制程序可分为五类：1.交易授权交易授权2.交易授权程序的主要目的在于保证交易是管理人员在交易授权程序的主要目的在于保证交易是管理人员在其授权范围内授权才产生的。其授权范围内授权才产生的。3.授权有一般授权和特殊授权之分。授权有一般授权和特殊授权之分。4.交易授权程序通常对交易授权程序通常对“存在或发生存在或发生”认定，以及某些认定，以及某些“估价或分摊估价或分摊”认定的控制风险有直接影响。认定的控制风险有直接影响。7/12/20229第三章 内控2.职责划分职责划分是对不相容职务的职责划分。主要目的是预防和及时发现错误或舞是对不相容职务的职责划分。主要目的是预防和及时发现错误或舞弊行为。弊行为。某项交易的执行、记录及保管相分离某项交易的执行、记录及保管相分离 某项交易的执行步骤相分离某项交易的执行步骤相分离 某些会计工作的职责应划分某些会计工作的职责应划分 在计算机信息系统（在计算机信息系统（CIS)部分内，及部分内，及CIS部门与使用部门之间应部门与使用部门之间应进行适当的职责划分。比如，系统分析、程序设计、电脑操作和进行适当的职责划分。比如，系统分析、程序设计、电脑操作和数据控制应被分开。数据控制应被分开。职责划分会影响三种认定的职责划分会影响三种认定的CR：将资产保管与会计记录相分离，可降低盗窃风险。将资产保管与会计记录相分离，可降低盗窃风险。将处理现金支出交易同调节银行账户分离，可降低不记录支票付将处理现金支出交易同调节银行账户分离，可降低不记录支票付款的风险。款的风险。付款凭单的批准同支票签发相分离，可降低支票写错的风险。付款凭单的批准同支票签发相分离，可降低支票写错的风险。7/12/202210第三章 内控3.凭证与记录控制凭证与记录控制凭证和记录控制程序会影响三种认定的控制风险：凭证和记录控制程序会影响三种认定的控制风险：适当保持的记录，如永续存货记录等，同适当保持的记录，如永续存货记录等，同“存在或发存在或发生生”认定有关认定有关 使用预先编好的凭证并按其编号进行会计处理，同使用预先编好的凭证并按其编号进行会计处理，同“完整性完整性”认定有关。认定有关。原始凭证，如发票或支票等，提供了交易记录的金额，原始凭证，如发票或支票等，提供了交易记录的金额，直接和直接和“估价或分摊估价或分摊”认定有关。认定有关。7/12/202211第三章 内控4.资产接触与记录使用资产接触与记录使用主要是限制接近资产和重要记录，以保证资产和记录的主要是限制接近资产和重要记录，以保证资产和记录的安全。安全。接近控制程序同降低接近控制程序同降低“存在或发生存在或发生”、“完整性完整性”、“估价或分摊估价或分摊”认定的控制风险有关。认定的控制风险有关。5.独立稽核独立稽核是指验证由另一个人或部门执行的工作和验证独立稽核是指验证由另一个人或部门执行的工作和验证所记录金额估价的正确性所记录金额估价的正确性值得指出的是，国际审计准则将内部控制分为两类：值得指出的是，国际审计准则将内部控制分为两类：一是会计制度（会计系统）二是内部控制制度（包括一是会计制度（会计系统）二是内部控制制度（包括控制环境和控制程序，故称内部控制为控制环境和控制程序，故称内部控制为“会计与控制会计与控制制度制度7/12/202212第三章 内控第二节第二节 了解与记录内部控制了解与记录内部控制CPA对内部控制所作的研究和评价可分为三个步骤：对内部控制所作的研究和评价可分为三个步骤：第一，了解企业的内部控制情况，并做出相应的纪录；第一，了解企业的内部控制情况，并做出相应的纪录；第二，实施符合性测试第二，实施符合性测试 程序，证实有关内部控制的设计程序，证实有关内部控制的设计和执行的效果；和执行的效果；第三，评价控制的强弱，即评价控制风险，确定在内控第三，评价控制的强弱，即评价控制风险，确定在内控薄弱的环节扩展审计程序，降低审计风险。薄弱的环节扩展审计程序，降低审计风险。通常，对内控的了解是将企业经济业务分成若干业务循通常，对内控的了解是将企业经济业务分成若干业务循环，再了解各循环内的内部控制并进行相应的了解记环，再了解各循环内的内部控制并进行相应的了解记录。录。7/12/202213第三章 内控一、业务循环及其分类一、业务循环及其分类业务循环法，又称切块审计法，是指将密切相关的交易业务循环法，又称切块审计法，是指将密切相关的交易种类或账户余额划分为同一块，作为一个业务循环来种类或账户余额划分为同一块，作为一个业务循环来组织审计工作的方法。组织审计工作的方法。以制造业为例以制造业为例1.销售与收款循环销售与收款循环2.购货与付款循环购货与付款循环3.生产循环生产循环4.筹资与投资循环筹资与投资循环7/12/202214第三章 内控一、业务循环及其分类一、业务循环及其分类如何划分业务循环，应视企业的业务性质和规模而定。如何划分业务循环，应视企业的业务性质和规模而定。例如，对于银行业来说，没有生产循环，但有贷放款循例如，对于银行业来说，没有生产循环，但有贷放款循环和活期业务存款循环。环和活期业务存款循环。同时，不同的同时，不同的CPA在检查内控中，可以按照自己的判断在检查内控中，可以按照自己的判断去划分特定的业务循环。去划分特定的业务循环。不论如何划分，不论如何划分，CPA应将精力集中在那些影响会计报表应将精力集中在那些影响会计报表反映的内控程序上。反映的内控程序上。7/12/202215第三章 内控二、了解内控二、了解内控CPA了解内控所执行的程序的性质、时间和范围，主要了解内控所执行的程序的性质、时间和范围，主要取决于以下因素：取决于以下因素：被审计单位经营规模及业务复杂程度；被审计单位经营规模及业务复杂程度；被审计单位数据处理系统类型及复杂程度；被审计单位数据处理系统类型及复杂程度；审计重要性；审计重要性；相关内部控制类型；相关内部控制类型；相关内控的记录方式；相关内控的记录方式；固有风险的评价结果。固有风险的评价结果。7/12/202216第三章 内控（一）了解内控的程序（一）了解内控的程序在了解内控时，应当合理利用以往的审计经验。对于重在了解内控时，应当合理利用以往的审计经验。对于重要的内控，通常还可实施以下程序：要的内控，通常还可实施以下程序：询问、检查、观察和穿行测试询问、检查、观察和穿行测试。看是否存在：回避既定的控制；缺少适当的控制；看是否存在：回避既定的控制；缺少适当的控制；无经验人员故意不遵守适当控制。无经验人员故意不遵守适当控制。（二）了解控制环境（三）了解会计系统（四）了解控制程序了解控制程序的总要求是：CPA通过对其充分的了解，应能合理制定出审计计划。7/12/202217第三章 内控（五）控制风险的初步评价（五）控制风险的初步评价初步评价是企业会计与内部控制在防止、发现和纠正重初步评价是企业会计与内部控制在防止、发现和纠正重要错报或漏报中的有效性的过程。要错报或漏报中的有效性的过程。但这时的但这时的CR初步评价是针对每个重要的账户余额或交易初步评价是针对每个重要的账户余额或交易种类，在种类，在认定层认定层上进行的。上进行的。当出现以下情况当出现以下情况之一之一时，时，CPA应将重要账户或交易类别应将重要账户或交易类别的某些或全部认定的的某些或全部认定的CR评估为评估为高高水平：水平：内控失效；难以对内控有效性作出评价；内控失效；难以对内控有效性作出评价；CPA不不拟进行符合性测试。拟进行符合性测试。对某项会计报表认定而言，如果同时出现以下情况对某项会计报表认定而言，如果同时出现以下情况,CPA则则不应不应评价其评价其CR为为高高水平：水平：相关内控可能防止、发现和纠正重大错报或漏报；相关内控可能防止、发现和纠正重大错报或漏报；CPA拟进行符合性测试。拟进行符合性测试。7/12/202218第三章 内控三、记录内控的了解和对三、记录内控的了解和对CR初步评价初步评价记录的方法通常由四种方法：记录的方法通常由四种方法：调查表法、文字表述、流程图法和核对法调查表法、文字表述、流程图法和核对法7/12/202219第三章 内控第三节第三节 内部控制测试内部控制测试 一、运用初步审计策略的步骤一、运用初步审计策略的步骤二、控制测试的概念二、控制测试的概念三、符合性测试的种类三、符合性测试的种类四、符合性测试的性质四、符合性测试的性质五、符合性测试的范围五、符合性测试的范围六、符合性测试的时间六、符合性测试的时间七、符合性测试中利用内部审计人员的工作七、符合性测试中利用内部审计人员的工作八、双重目的的测试八、双重目的的测试7/12/202220第三章 内控一、运用初步审计策略的步骤一、运用初步审计策略的步骤（一）主要证实法的运用步骤（一）主要证实法的运用步骤1.doc（二）较低控制风险估计水平法运用的步骤（二）较低控制风险估计水平法运用的步骤2.doc7/12/202221第三章 内控二、控制测试的概念二、控制测试的概念CPA在了解内控后，只对那些准备信赖的内控执行符合在了解内控后，只对那些准备信赖的内控执行符合性测试，并且只有当信赖内控而减少的实质性测试的性测试，并且只有当信赖内控而减少的实质性测试的工作量大于符合性测试的工作量时，符合性测试才是工作量大于符合性测试的工作量时，符合性测试才是必要和经济的。必要和经济的。符合性测试是为了确定内控的设计和执行是否有效而实符合性测试是为了确定内控的设计和执行是否有效而实施的审计程序。符合性测试的两个内容：施的审计程序。符合性测试的两个内容：1.控制设计的测试：被审计单位的控制政策和程序设计控制设计的测试：被审计单位的控制政策和程序设计是否合理、适当，能不能防止和发现和纠正特定会计是否合理、适当，能不能防止和发现和纠正特定会计报表认定的重大错报或漏报。报表认定的重大错报或漏报。7/12/202222第三章 内控2.控制执行测试控制执行测试着重查清三个问题：这项控制是怎样应用的？着重查清三个问题：这项控制是怎样应用的？是否是否在年度中一贯应用？有谁来应用？在年度中一贯应用？有谁来应用？人们把这种控制执行的失效或不当，人们把这种控制执行的失效或不当，习惯习惯称为称为“偏差偏差”、“偶发事件偶发事件”或或“例外例外”，而不称为，而不称为“错报错报”。在实务中，并不是对所有的控制都加以测试，只对那些在实务中，并不是对所有的控制都加以测试，只对那些有助于防止或发现和纠正会计报表认定产生重大错、有助于防止或发现和纠正会计报表认定产生重大错、漏报的控制执行测试。漏报的控制执行测试。7/12/202223第三章 内控三、符合性测试的种类三、符合性测试的种类CPA在审计计划期间和期中工作期间执行符合性测试。在审计计划期间和期中工作期间执行符合性测试。在在主要证实法主要证实法下，可能执行下，可能执行“同步符合性测试同步符合性测试”及及“追追加符合性测试加符合性测试”在在较低的较低的CR估计水平下，必须执行计划符合性测试。估计水平下，必须执行计划符合性测试。1.同步符合性测试，是在同步符合性测试，是在CPA取得对内控的了解时，同取得对内控的了解时，同时取得的测试。这种测试不是必需的，而是时取得的测试。这种测试不是必需的，而是CPA有选有选择地执行的。择地执行的。2.执行同步符合性测试取得的证据，只能使执行同步符合性测试取得的证据，只能使CPA评价评价CR的估计水平处于的估计水平处于中等到最高中等到最高之间。因为这些证据之间。因为这些证据是在计划期间获得的，不能证明在整个被审年度都可是在计划期间获得的，不能证明在整个被审年度都可靠。靠。7/12/202224第三章 内控2.追加符合性测试追加符合性测试这种测试在外勤审计中执行。这种测试在外勤审计中执行。在主要证实法下，执行追加符合性测试是为了进一步降在主要证实法下，执行追加符合性测试是为了进一步降低低CPA对对CR的估计水平，但的估计水平，但CPA执行这种测试之前，执行这种测试之前，必须考虑是否符合必须考虑是否符合成本效益成本效益原则，还必须考虑有没有原则，还必须考虑有没有可能获得可能获得额外额外的证据，来进一步降低的证据，来进一步降低CR的初步水平。的初步水平。如不划算，就不必执行这种测试。如不划算，就不必执行这种测试。3.3.计划符合性测试计划符合性测试也在外勤中进行。在较低的也在外勤中进行。在较低的CR估计水平下必须执行这种估计水平下必须执行这种测试。实行目的是为了支持计划的实质性测试水平。测试。实行目的是为了支持计划的实质性测试水平。通过该测试的证据足以支持某些认定的通过该测试的证据足以支持某些认定的CR为为中等或低水平中等或低水平。7/12/202225第三章 内控四、符合性测试的性质四、符合性测试的性质在确定了测试的种类之后，在确定了测试的种类之后，CPA应进一步决定符合性测应进一步决定符合性测试的性质，即执行测试将使用什么样的审计程序。可试的性质，即执行测试将使用什么样的审计程序。可供选择的程序有：供选择的程序有：1.检查交易和事项的凭证检查交易和事项的凭证2.询问并实地观察内部控制的运行情况询问并实地观察内部控制的运行情况3.重新执行相关内部控制程序重新执行相关内部控制程序7/12/202226第三章 内控五、符合性测试的范围五、符合性测试的范围从理论上讲，符合性测试的范围越大，获得内控有效性从理论上讲，符合性测试的范围越大，获得内控有效性证据越充分。证据越充分。在审计实务中，在审计实务中，CPA从最经济有效地实现审计目标的总从最经济有效地实现审计目标的总体需要出发，合理地确定测试的范围。体需要出发，合理地确定测试的范围。符合性测试的范围直接受符合性测试的范围直接受CPA计划控制风险的估计水平计划控制风险的估计水平的影响。计划的影响。计划CR水平低比为中等时需更多的符合性测水平低比为中等时需更多的符合性测试证据。试证据。7/12/202227第三章 内控五、符合性测试的范围五、符合性测试的范围如在以前年度审计中已进行了符合性测试，考虑以前测如在以前年度审计中已进行了符合性测试，考虑以前测试的证据时，还需考虑以下两点：试的证据时，还需考虑以下两点：执行符合性测试的时间间隔的长短；执行符合性测试的时间间隔的长短；在以前年度审计之后，控制政策和程序的设计或执行在以前年度审计之后，控制政策和程序的设计或执行有无任何重大变化。有无任何重大变化。7/12/202228第三章 内控六、符合性测试的时间六、符合性测试的时间从审计的有效性的角度来看，符合性测试应尽可能安排从审计的有效性的角度来看，符合性测试应尽可能安排在在期中的后期期中的后期执行。很可能在审计年度结束前的几个执行。很可能在审计年度结束前的几个月里进行。月里进行。如果期中如果期中 审计已进行符合性测试，审计已进行符合性测试，CPA在决定完全信赖在决定完全信赖其结果前，应当考虑以下因素，以进一步获取期中至其结果前，应当考虑以下因素，以进一步获取期中至期末的相关审计证据：期末的相关审计证据：1.期中审计符合性测试的结论。期中审计符合性测试的结论。2.期中审计后剩余时间的长短。期中审计后剩余时间的长短。3.期中审计后内部控制的变动情况。期中审计后内部控制的变动情况。4.期中审计后发生的交易和事项的性质及金额。期中审计后发生的交易和事项的性质及金额。5.拟实施的实质性测试程序。拟实施的实质性测试程序。7/12/202229第三章 内控七、符合性测试中利用内审的工作七、符合性测试中利用内审的工作在同内审人员协调工作中，在同内审人员协调工作中，CPA应做好如下工作：应做好如下工作：1.定期同内部审计会谈；定期同内部审计会谈；2.复核内审的计划工作表；复核内审的计划工作表；3.取得内审的工作底稿；取得内审的工作底稿；4.复核内审报告。复核内审报告。5.协调工作时，应侧重评价内审人员工作的质量和有效协调工作时，应侧重评价内审人员工作的质量和有效性。主要弄清：性。主要弄清：6.工作范围对实现特定目标来说是否适当；工作范围对实现特定目标来说是否适当；7.审计方案是否适当；审计方案是否适当；8.工作底稿是否充分记录了所执行的工作；工作底稿是否充分记录了所执行的工作；9.有关情况的结论是否适当；有关情况的结论是否适当；10.审计报告与所执行的工作是否一致。审计报告与所执行的工作是否一致。7/12/202230第三章 内控八、双重目的测试八、双重目的测试在符合性测试和实质性测试在符合性测试和实质性测试同时同时进行的测试。进行的测试。比如，比如，CPA在检查销售发票是否经过授权人员的签字，在检查销售发票是否经过授权人员的签字，也可以列表反映这些发票上的错误金额。也可以列表反映这些发票上的错误金额。在执行双重目的测试时，必须小心谨慎地设计测试程序，在执行双重目的测试时，必须小心谨慎地设计测试程序，以确保能取得有关控制的有效性和报表中的重要错报以确保能取得有关控制的有效性和报表中的重要错报或漏报这两个方面的证据。或漏报这两个方面的证据。双重目的的测试比单独测试更经济有效。双重目的的测试比单独测试更经济有效。7/12/202231第三章 内控第四节第四节 内部控制评价内部控制评价 CR评价的概念评价的概念 CR评价的过程评价的过程 对对CR再评价的记录再评价的记录 评价结果对实质性测试的影响评价结果对实质性测试的影响7/12/202232第三章 内控一、控制风险评价的概念一、控制风险评价的概念评价评价CR，是评价内部控制在防止或者发现和更正会计报，是评价内部控制在防止或者发现和更正会计报表里的重要错报或漏报的有效程度。表里的重要错报或漏报的有效程度。控制风险的评价是为控制风险的评价是为认定认定而进行的，而不是为了内部控而进行的，而不是为了内部控制要素或个别政策和程序而进行的。将评价控制风险制要素或个别政策和程序而进行的。将评价控制风险所得到的结果，称为所得到的结果，称为“控制风险估计水平控制风险估计水平”。对对CR的评价，实际上就是的评价，实际上就是CPA对每一内部控制要素里的对每一内部控制要素里的相关的相关控制政策和程序的有效性，同某项认定里相关的相关控制政策和程序的有效性，同某项认定里存在重要错报或漏报的风险之间的相互作用的情况，存在重要错报或漏报的风险之间的相互作用的情况，进行判断的过程。进行判断的过程。7/12/202233第三章 内控控制风险的评价控制风险的评价不同的控制政策和程序，在不同的控制政策和程序，在CR评价中可能有不同的重要性。评价中可能有不同的重要性。因为在有的情况下，控制环境中因为在有的情况下，控制环境中的无效政策和程序，可能使的无效政策和程序，可能使会计系统及控制程序要素中会计系统及控制程序要素中有效的控制变为无效。有效的控制变为无效。如：被审计单位缺乏适当的控制如：被审计单位缺乏适当的控制程序，可能比在控制环境中程序，可能比在控制环境中存在有效的内部审计功能，存在有效的内部审计功能，对对CR的评价极为重要。的评价极为重要。控制政策、程控制政策、程序的有效性序的有效性CR的评价的评价控制环境控制环境会计系统会计系统控制程序控制程序每项认定每项认定7/12/202234第三章 内控二、控制风险评价的过程二、控制风险评价的过程如果很多认定或者所有的认定的如果很多认定或者所有的认定的CR，都被评价为高水平，都被评价为高水平，那么，那么，CPA就要研究是否应进一步对被审计单位会计就要研究是否应进一步对被审计单位会计报表进行审计。报表进行审计。CPA只有在确认以下事项的情况下，才能将只有在确认以下事项的情况下，才能将CR评价为评价为高高水平：水平：控制政策和程序与认定不相关；控制政策和程序与认定不相关；控制政策和程序无效；控制政策和程序无效；获得证据来评价控制政策和程序不经济。获得证据来评价控制政策和程序不经济。CPA在确认以下事项的情况下，才能经在确认以下事项的情况下，才能经CR评价为低水平：评价为低水平：控制政策和程序与认定相关；控制政策和程序与认定相关；通过符合性测试以获得证据证明有效。通过符合性测试以获得证据证明有效。7/12/202235第三章 内控CPA在对某项认定的在对某项认定的CR评价步骤评价步骤 确认该项认定可能发生哪些潜在的错漏报；确认该项认定可能发生哪些潜在的错漏报；确认哪些控制可以防止或者发现和更正这些错漏报；确认哪些控制可以防止或者发现和更正这些错漏报；执行符合性测试，获取这些控制是否适当设计和有效执执行符合性测试，获取这些控制是否适当设计和有效执行的证据；行的证据；评价所获得的证据；评价所获得的证据；评价该项认定的控制风险。评价该项认定的控制风险。CPA在评价在评价CR时，应注意以下几点：时，应注意以下几点：通过了解内控、执行符合性测试所获得的证据，作为评通过了解内控、执行符合性测试所获得的证据，作为评价的依据。价的依据。充分运用专业判断；充分运用专业判断；必须注意到内部控制的三个要素对某项认定的相互影响。必须注意到内部控制的三个要素对某项认定的相互影响。对控制风险评价太低，导致审计对控制风险评价太低，导致审计“无效果无效果”；太高，使审；太高，使审计测试很不经济、无效率。计测试很不经济、无效率。7/12/202236第三章 内控三、对控制风险再评价的记录三、对控制风险再评价的记录CPA应将应将CR再评价的过程和结果在工作底稿中加以记录，再评价的过程和结果在工作底稿中加以记录，与记录对内控的初步评价相同。与记录对内控的初步评价相同。四、评价结果对实质性测试的影响CPACPA在合理运用专业判断，考虑有关事项，评价出固有风在合理运用专业判断，考虑有关事项，评价出固有风险，以及了解与测试内部控制，评价出控制风险后，只有险，以及了解与测试内部控制，评价出控制风险后，只有通过控制检查风险，才能降低审计风险至可接受水平，只通过控制检查风险，才能降低审计风险至可接受水平，只有增强实质性测试的有效性。有增强实质性测试的有效性。7/12/202237第三章 内控第五节第五节 管理建议书管理建议书管理建议书的含义管理建议书的含义管理建议书的内容管理建议书的内容管理建议书与审计意见的区别管理建议书与审计意见的区别7/12/202238第三章 内控一、管理建议书的含义一、管理建议书的含义 是指是指CPA针对审计过程中注意到的、可能导致被审计单针对审计过程中注意到的、可能导致被审计单位会计报表产生重大错漏报的内部控制重大缺陷提出位会计报表产生重大错漏报的内部控制重大缺陷提出的书面建议。的书面建议。管理建议书不应被视为管理建议书不应被视为CPA对被审计单位内部控制整体对被审计单位内部控制整体发表的意见。也不应影响其发表的审计意见。发表的意见。也不应影响其发表的审计意见。除有特别规定外，除有特别规定外，CPA在征得被审计单位管理当局同意在征得被审计单位管理当局同意之前，不得将管理建议书的内容泄露给任何第三者。之前，不得将管理建议书的内容泄露给任何第三者。事务所对于出具建议书应予以充分重视。一般而言，在事务所对于出具建议书应予以充分重视。一般而言，在CPA认为认为必要必要时，或者审计业务约定书有时，或者审计业务约定书有特别约定特别约定时，时，应当出具管理建议书。应当出具管理建议书。7/12/202239第三章 内控二、管理建议书的内容二、管理建议书的内容1.标题：管理建议书标题：管理建议书2.收件人：被审计单位管理当局收件人：被审计单位管理当局3.会计报表审计目的及管理建议书的会计报表审计目的及管理建议书的性质性质（不具有强制（不具有强制性和公正性）性和公正性）4.内部控制重大缺陷及其影响和改进建议内部控制重大缺陷及其影响和改进建议5.使用范围及使用责任使用范围及使用责任应当指明其仅供管理当局内部参考，因使用不当造成应当指明其仅供管理当局内部参考，因使用不当造成的后果，与的后果，与CPA及其所在事务所无关。及其所在事务所无关。6.签章签章7.日期日期管理建议书中反映的内部控制缺陷，可按其对会计报表管理建议书中反映的内部控制缺陷，可按其对会计报表的影响程度排列。的影响程度排列。7/12/202240第三章 内控三、管理建议书与审计意见的区别三、管理建议书与审计意见的区别二者是同一审计委托形成的意见，具有直接的相互作用二者是同一审计委托形成的意见，具有直接的相互作用关系，但又具有明显的区别，主要包括：关系，但又具有明显的区别，主要包括：1.对象不同。是同一审计委托项目的不同结果，但是，对象不同。是同一审计委托项目的不同结果，但是，管理建议书是针对与审计相关的内部控制提出的；审管理建议书是针对与审计相关的内部控制提出的；审计对象是被审计单位的会计报表。计对象是被审计单位的会计报表。2.责任不同。管理建议书不是一种法定业务，没有法定责任不同。管理建议书不是一种法定业务，没有法定责任；审计意见是法定的。责任；审计意见是法定的。3.作用及影响的程度不同。管理建议书仅提供给被审计作用及影响的程度不同。管理建议书仅提供给被审计单位管理当局，供内部参考，对外不起签证作用，不单位管理当局，供内部参考，对外不起签证作用，不应作为其他第三方依赖的佐证。审计意见是审计报告应作为其他第三方依赖的佐证。审计意见是审计报告的核心内容，要向外报送，作用及影响极大。的核心内容，要向外报送，作用及影响极大。7/12/202241第三章 内控