【核心考点】25年CPA《审计》第二十章企业内部控制审计（1）

【考点 1】内部控制的概念和目标★☆☆

（一）内部控制的概念

内部控制是指由企业董事会、监事会、管理层和全体员工实施的、旨在实现控制目标的过程。内部控制分为财务报告内部控制和非财务报告内部控制。

财务报告内部控制，是指公司的董事会、监事会、管理层及全体员工实施的旨在合理保证财务报告及相关信息真实、完整而设计和运行的内部控制，以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。财务报告内部控制以外的其他内部控制，属于非财务报告内部控制。

（二）内部控制的目标

内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

【考点 2】内部控制审计的概念和范围★★☆

（一）内部控制审计的概念

内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。

（二）内部控制审计的范围

1. 针对财务报告内部控制，注册会计师对其有效性发表审计意见；

2. 针对非财务报告内部控制，注册会计师对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

【考点 3】内部控制审计基准日★★☆

（一）含义

内部控制审计基准日，是指注册会计师评价内部控制在某一时日是否有效所涉及的基准日，也是被审计单位评价基准日，即最近一个会计期间截止日。

（二）要求

注册会计师对特定基准日内部控制的有效性发表意见，并不意味着注册会计师只测试基准日这一天的内部控制，而是需要考察足够长一段时间内部控制设计和运行的情况。就内部控制审计业务而言，注册会计师应当获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据。

在整合审计中，控制测试所涵盖的期间应当尽量与财务报表审计中拟信赖内部控制的期间保持一致。

【考点 4】内部控制审计和财务报表审计的区别★★★

内部控制审计是对内部控制的有效性发表意见，并对内部控制审计过程中注意到的非财务报告内部控制重大缺陷进行披露；财务报表审计是对财务报表是否在所有重大方面按照适用的财务报告编制基础编制发表审计意见。由于发表审计意见的对象不同，使得两者存在一定区别，二者的主要区别如下表。

【考点 5】整合审计★☆☆

内部控制审计和财务报表审计虽然在测试目的等方面存在差异，但是，两者也存在多方面的联系。因此，为提高审计效率和效果，注册会计师可以单独进行内部控制审计，也可以将内部控制审计和财务报表审计整合进行。

【考点 】计划审计工作时应当考虑的事项★☆☆

在计划审计工作时，注册会计师应当评价下列事项对财务报告内部控制、财务报表及审计工作的影响，具体内容如下表所示：

【考点 1】识别、了解和测试企业层面控制★★☆

（一）企业层面控制的内涵

企业的内部控制分为企业层面控制和业务流程、应用系统或交易层面的控制两个层面。

企业层面的控制通常为应对企业财务报表整体层面的风险而设计，或作为其他控制运行的“基础设施”，通常在比业务流程更高的层面上乃至整个企业范围内运行，其作用比较广泛，通常不局限于某个具体认定。企业层面控制包括下列内容：

1. 与控制环境（即内部环境）相关的控制；

2. 针对管理层和治理层凌驾于控制之上的风险而设计的控制；

3. 被审计单位的风险评估过程；

4. 对内部信息传递和期末财务报告流程的控制；

5. 对控制有效性的内部监督（即监督其他控制的控制）和内部控制评价。

此外，集中化的处理和控制（包括共享的服务环境）、监控经营成果的控制以及针对重大经营控制及风险管理实务的政策也属于企业层面控制。

（二）企业层面控制对其他控制及其测试的影响

不同的企业层面控制在性质和精确度上存在差异，注册会计师应当从下列方面考虑这些差异对其他控制及其测试的影响：

1. 某些企业层面控制，例如某些与控制环境相关的控制，对重大错报是否能够被及时防止或发现的可能性有重要影响，虽然这种影响是间接的，但这些控制可能影响注册会计师拟测试的其他控制及其对其他控制所执行程序的性质、时间安排和范围。

2. 某些企业层面控制能够监督其他控制的有效性。管理层设计这些控制可能是为了识别其他控制可能出现的失效情况。但是，这些控制本身并非精确到足以及时防止或发现相关认定的重大错报。当这些控制运行有效时，注册会计师可以减少原本拟对其他控制的有效性进行的测试。

3. 某些企业层面控制本身能精确到足以及时防止或发现一个或多个相关认定中存在的重大错报。如果一项企业层面控制足以应对已评估的重大错报风险，注册会计师可能可以不必测试与该风险相关的其他控制。

一般而言，注册会计师可以分析某个控制是否有足够的精确度以及时防止或发现财务报表重大错报，并且考虑以下因素：

（1）内部控制对应的重要账户及列报的性质；

（2）对某些比较稳定或具备预期内在关系的账户，管理层实施的分析对发现财务报表重大错报具有足够的精确度；

（3）管理层分析的细化程度。

【考点 2】识别重要账户、列报及其相关认定★★★

注册会计师应当基于财务报表层次识别重要账户、列报及其相关认定。

（一）重要账户、列报及其相关认定的含义

如果某账户或列报可能存在一个错报，该错报单独或连同其他错报将导致财务报表发生重大错报，则该账户或列报为重要账户或列报。

如果某财务报表认定可能存在一个或多个错报，这个或这些错报将导致财务报表发生重大错报，则该认定为相关认定。

（二）识别方法

在识别重要账户、列报及其相关认定时，注册会计师需要从定性和定量两个方面作出评价，包括考虑舞弊的影响。

（三）考虑因素

1. 在识别重要账户、列报及其相关认定时，注册会计师应当依据其固有风险，而不应考虑相关控制的影响，因为内部控制审计的目标本身就是评价控制的有效性。

2. 在识别重要账户、列报及其相关认定时，注册会计师应当确定重大错报的可能来源。注册会计师可以通过考虑在特定的重要账户或列报中错报可能发生的领域和原因，确定重大错报的可能来源。

3. 在识别重要账户、列报及其相关认定时，注册会计师不仅需要在重要账户或列报层面考虑风险，还需要深入账户或列报的明细项目，如果某账户或列报的各明细项目存在的风险差异较大，被审计单位可能需要采用不同的控制以应对这些风险，注册会计师应当分别予以考虑。

4. 以前年度审计中了解到的情况影响注册会计师对固有风险的评估，因而应当在确定重要账户、列报及其相关认定时加以考虑。

在内部控制审计中，注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素，与财务报表审计中考虑的因素相同。因此，在这两种审计中识别的重要账户、列报及其相关认定应当相同。

【考点 3】了解潜在错报的来源并识别相应的控制★★☆

（一）了解潜在错报的来源

注册会计师应当实现下列目标，以进一步了解潜在错报的来源，并为选择拟测试的控制奠定基础：

1. 了解与相关认定有关的交易的处理流程，包括这些交易如何生成、批准、处理及记录；

2. 验证注册会计师识别出的业务流程中可能发生重大错报（包括舞弊导致的错报）的环节；

3. 识别被审计单位用于应对这些错报或潜在错报的控制；

4. 识别被审计单位用于及时防止或发现并纠正未经授权的、导致重大错报的资产取得、使用或处置的控制。

注册会计师应当亲自执行能够实现上述目标的程序，或对提供直接帮助的人员的工作进行督导。

（二）实施穿行测试【结合第七章进行学习】

穿行测试通常是实现上述目标和评价控制设计的有效性以及确定控制是否得到执行的有效方法，具体内容如下表所示：

【考点 4】选择拟测试的控制★★☆

（一）基本要求

注册会计师应当针对每一相关认定获取控制有效性的审计证据，以便对内部控制整体的有效性发表意见，但没有责任对单项控制的有效性发表意见，也没有必要测试与某项相关认定有关的所有控制。

在确定是否测试某项控制时，注册会计师应当考虑该项控制单独或连同其他控制，是否足以应对评估的某项相关认定的错报风险，而不论该项控制的分类和名称如何。

（二）如何选择拟测试的控制

注册会计师在选取拟测试的控制时，通常不会选取整个流程中的所有控制，而是选择关键控制，即能够为一个或多个重要账户或列报的一个或多个相关认定提供最有效果或最有效率的证据的控制。注册会计师无需测试那些即使有缺陷也合理预期不会导致财务报表重大错报的控制。

企业管理层在执行内部控制自我评价时选择测试的控制，可能多于注册会计师认为为了评价内部控制的有效性有必要测试的控制。管理层的这种决定，不影响注册会计师的控制测试决策，注册会计师只需要测试那些对形成内部控制审计意见有重大影响的控制。

大家看完可以点击右上方黄色小卡片

评论“打卡”或“附上学笔记”哦~