【备考干货】24年CPA《审计》第七章考点详解（2）

（一）内部控制的概念和要素

内部控制是指被审计单位为实现控制目标所制定的政策和程序。

（二）直接控制和间接控制

1. 识别与审计相关的控制的方法

注册会计师审计的目标是对财务报表是否不存在重大错报发表审计意见，尽管要求注册会计师在财务报表审计中考虑与审计相关的内部控制，但目的并非对被审计单位内部控制的有效性发表意见。

注册会计师需要了解和评价的内部控制，只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。【我只想了解与审计相关的内控，其他都与我无关】

被审计单位通常有一些与目标相关但与审计无关的控制，注册会计师无须对其加以考虑。例如，被审计单位可能依靠某一复杂的自动化控制提高经营活动的效率和效果（如航空公司用于维护航班时间表的自动化控制系统），但这些控制通常与审计无关。进一步讲，虽然内部控制应用于整个被审计单位或所有经营部门或业务流程，但是并非每个经营部门和业务流程的内部控制，都与审计相关。【与目标相关不一定与审计有关】

2. 直接控制和间接控制区分的依据及作用

针对财务报表审计的目的和需要，注册会计师只应当了解与审计相关的控制。与审计相关的控制，按照其对防止、发现或纠正认定层次错报发挥作用的方式，分为直接控制和间接控制。

（三）了解内部控制的性质和程度

1. 了解内部控制的性质

注册会计师了解被审计单位内部控制体系各要素，可能影响注册会计师对重大错报风险的识别和评估：

（1）注册会计师了解被审计单位的内部环境、风险评估和内部监督要素，更有可能影响财务报表层次重大错报风险的识别和评估；

（2）注册会计师了解被审计单位的信息系统与沟通以及控制活动要素，更有可能影响认定层次重大错报风险的识别和评估。

2. 了解内部控制的程度

（1）含义

对内部控制了解的程度，是指注册会计师在实施风险评估程序时，了解被审计单位内部控制的范围及深度，包括评价控制设计的有效性，并确定其是否得到执行，但不包括对控制是否得到一贯执行的测试。

除非存在某些可以使控制得到一贯运行的自动化控制，否则，注册会计师对控制的了解并不足以测试控制运行的有效性。

（2）获取控制设计和执行的审计证据

注册会计师通常实施下列风险评估程序，以获取有关控制设计有效性和控制是否得到执行的审计证据：

①询问被审计单位人员；

②观察特定控制的运用；

③检查文件和报告；

④追踪交易在财务报告信息系统中的处理过程（穿行测试）。

（四）内部控制的人工和自动化成分

1. 人工和自动化控制的适用情形

内部控制可能既包括人工成分，又包括自动化成分，不同情形下所适用的控制有所不同。

2. 人工控制的风险

由于人工控制由人执行，受人为因素的影响，产生了特定风险。注册会计师应当从下列方面了解人工控制产生的特定风险：

（1）人工控制可能更容易被规避、忽视或凌驾；

（2）人工控制可能不具有一贯性；

（3）人工控制可能更容易产生简单错误或失误。

（五）内部控制的局限性

内部控制无论如何有效，都只能为被审计单位实现财务报告目标提供合理保证。内部控制实现目标的可能性受其固有限制及其他因素的影响。这些限制包括：

（一）与财务报表编制相关的内部环境

1. 概念

内部环境包括治理职能和管理职能，以及治理层和管理层对内部控制体系及其重要性的态度、认识和行动。良好的内部环境是实施有效内部控制的基础，防止或发现并纠正舞弊和错误是被审计单位治理层和管理层的责任。

2. 影响因素

在审计业务承接阶段，注册会计师就需要对内部环境作出初步了解和评价。影响内部环境的因素包括：

（1）对诚信和道德价值观念的沟通与落实。

（2）对胜任能力的重视。

（3）治理层的参与程度（治理层越独立，越能监督管理层）。

（4）管理层的理念和经营风格。

（5）职权与责任的分配。

（6）人力资源政策与实务。

3. 内部环境对重大错报风险评估的影响

（1）内部环境对重大错报风险的评估具有广泛影响。

（2）有效的内部环境并不能绝对防止舞弊，但有助于降低发生舞弊的风险。

（3）内部环境本身并不能防止或发现并纠正各类交易、账户余额和披露认定层次的重大错报，注册会计师在评估重大错报风险时，应当将内部环境连同其他内部控制要素产生的影响一并考虑。

（二）与财务报表编制相关的风险评估工作

被审计单位的风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。注册会计师应当了解被审计单位的风险评估工作。

如果识别出管理层未能识别出的重大错报风险，注册会计师应当考虑被审计单位的风险评估工作为何没有识别出这些风险，以及评估过程是否适合于具体环境，或者确定与风险评估相关的内部控制是否存在值得关注的内部控制缺陷。

（三）与财务报表编制相关的信息系统与沟通

与财务报表编制相关的信息系统由一系列的活动和政策、会计记录和支持性记录组成。与财务报表编制相关的信息系统所生成信息的质量，对管理层能否作出恰当的经营管理决策以及编制可靠的财务报告的能力具有重大影响。

注册会计师应当了解被审计单位内部，如何对财务报告的岗位职责以及与财务报表编制相关的重大事项进行沟通。注册会计师还应当了解管理层与治理层（特别是审计委员会）之间的沟通，以及被审计单位与外部（包括与监管部门）的沟通。

（四）与财务报表编制相关的控制活动

1. 概念

控制活动是指有助于确保管理层的指令得以执行的政策和程序。控制活动要素中的控制可能与下列事项相关：

2. 对控制活动的了解

注册会计师的工作重点是，识别和了解针对重大错报风险更高的领域的控制活动。如果多项控制活动能够实现同一目标，注册会计师不必了解与该目标相关的每项控制活动。

（五）对与财务报表编制相关的内部控制体系的监督

1. 概念

对内部控制体系的监督，是指被审计单位评价内部控制在一段时间内运行有效性的过程，涉及及时评估控制的有效性并采取必要的补救措施。

2. 监督的方式

通常，被审计单位管理层通过持续的监督活动、单独的评价活动或两者相结合实现对内部控制体系的监督。

（一）整体层面与业务流程层面控制的含义

整体层面的控制和信息技术一般控制通常在所有业务活动中普遍存在。在实务中，注册会计师应当从被审计单位整体层面和业务流程层面分别了解和评价被审计单位的内部控制。

整体层面的控制对内部控制在所有业务流程中得到严格的设计和执行具有重要影响。整体层面的控制较差甚至可能使最好的业务流程层面控制失效。

（二）在业务流程层面了解内部控制

在初步计划审计工作时，注册会计师需要确定在被审计单位财务报表中存在重大错报风险的相关交易类别、账户余额和披露及相关认定。为实现此目的，通常采取下列步骤：

1. 识别和了解相关控制

若注册会计师之前的了解可能表明被审计单位在业务流程层面针对某些相关交易流程所设计的控制是无效的，或者注册会计师并不打算信赖控制，则注册会计师没有必要进一步了解在业务流程层面的控制。

通常将业务流程中的控制划分为预防性控制和检查性控制。

（1）预防性控制【事前控制】

预防性控制通常用于正常业务流程的每一项交易，以防止错报的发生。预防性控制可能是人工的，也可能是自动化的。

（2）检查性控制【事后控制】

建立检查性控制的目的是发现流程中可能发生的错报（尽管有预防性控制还是会发生的错报）。检查性控制可以由人工执行，也可以由信息系统自动执行。

2. 执行穿行测试，证实对交易流程和相关控制的了解

为了解各类重要交易在业务流程中发生、处理和记录的过程，注册会计师通常会执行穿行测试。执行穿行测试可获得下列方面的证据：

（1）确认对业务流程的了解；

（2）确认对相关交易的了解是完整的，即在交易流程中所有与财务报表认定相关的可能发生错报的环节都已识别；

（3）确认所获取的有关流程中的预防性控制和检查性控制信息的准确性；

（4）评估控制设计的有效性；

（5）确认控制是否得到执行；

（6）确认之前所做的书面记录的准确性。

如果不拟信赖控制，注册会计师仍需要执行适当的审计程序，以确认以前对业务流程及可能发生错报环节了解的准确性和完整性。

3. 初步评价和风险评估

在识别和了解控制后，根据执行上述程序及获取的审计证据，注册会计师需要评价控制设计的合理性并确定其是否得到执行。注册会计师对控制的评价结论可能是：

（1）所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报，并得到执行；

（2）控制本身的设计是合理的，但没有得到执行；

（3）控制本身的设计就是无效的或缺乏必要的控制。