企业内部控制审计工作底稿编制指南（2011）-内部控制缺陷评价-【小竹财税平台】

第一节控制缺陷评价概述

一、控制缺陷的分类

内部控制存在的缺陷包括设计缺陷和运行缺陷。

设计缺陷是指缺少为实现控制目标所必需的控制，或现有控制设计不适当、即使正常运行也难以实现预期的控制目标。

运行缺陷是指现存设计适当的控制没有按设计意图运行，或执行人员没有获得必要授权或缺乏胜任能力，无法有效地实施内部控制。

内部控制存在的缺陷，按其严重程度分为重大缺陷、重要缺陷和一般缺陷。

重大缺陷是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。

重要缺陷是内部控制中存在的、其严重程度不如重大缺陷但足以引起负责监督被审计单位财务报告的人员（如审计委员会或类似机构）关注的一项控制缺陷或多项控制缺陷的组合。

一般缺陷是内部控制中存在的、除重大缺陷和重要缺陷之外的控制缺陷。

二、评价控制缺陷的考虑

注册会计师应当评价其识别的各项控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成内部控制的重大缺陷。但是，在计划和实施审计工作时，不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。

控制缺陷的严重程度取决于：

（1）控制不能防止或发现并纠正账户或列报发生错报的可能性的大小；

（2）因一项或多项控制缺陷导致的潜在错报的金额大小。

控制缺陷的严重程度与错报是否发生无关，而取决于控制不能防止或发现并纠正错报的可能性的大小。

在评价一项控制缺陷或多项控制缺陷的组合是否可能导致账户或列报发生错报时，注册会计师应当考虑的风险因素包括：

（1）所涉及的账户、列报及其相关认定的性质；

（2）相关资产或负债易于发生损失或舞弊的可能性；

（3）确定相关金额时所需判断的主观程度、复杂程度和范围；

（4）该项控制与其他控制的相互作用或关系；

（5）控制缺陷之间的相互作用；

（6）控制缺陷在未来可能产生的影响。

在存在多项控制缺陷时，即使这些缺陷从单项看不重要，但组合起来也可能构成重大缺陷。因此，注册会计师应当确定，对同一重要账户、列报及其相关认定或内部控制要素产生影响的各项控制缺陷，组合起来是否构成重大缺陷。

在评价因一项或多项控制缺陷导致的潜在错报的金额大小时，注册会计师应当考虑的因素包括：

（1）受控制缺陷影响的财务报表金额或交易总额；

（2）在本期或预计的未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量。

在评价潜在错报的金额大小时，账户余额或交易总额的最大多报金额通常是已记录的金额，但其最大少报金额可能超过已记录的金额。通常，小金额错报比大金额错报发生的概率更高。

在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时，注册会计师应当评价补偿性控制的影响。在评价补偿性控制是否能够弥补控制缺陷时，注册会计师应当考虑补偿性控制是否有足够的精确度以防止或发现并纠正可能发生的重大错报。

第二节评价控制缺陷的步骤

在评价控制缺陷时，注册会计师应当运用职业判断，考虑并衡量定量和定性因素。同时要对整个思考判断过程进行记录，尤其是详细记录关键判断和得出结论的理由。而且，在评价控制缺陷严重程度的记录中，注册会计师应当对“可能性”和“错报金额大小”的判断做出明确的陈述。

注册会计师在采用上下列步骤评价控制缺陷的严重程度，如图7-1所示。

注册会计师在采用上述步骤开展控制缺陷评价时，需要考虑如下事项：

第一步：考虑发现的控制缺陷与财务报表认定是否直接相关（例如，具有广泛性影响的企业层面控制和特定信息技术一般控制的控制缺陷可能与某一财务报表认定直接相关）。

通常，与财务报表认定直接相关的控制是流程、交易和应用层面的控制。企业层面控制中与控制环境相关的控制和信息技术一般控制，属于促进其他控制有效运行的控制，通常与财务报表认定间接相关。

然而，某些企业层面控制和信息技术一般控制也可能与一个或多个财务报表认定直接相关。例如：

（1）直接的企业层面控制。如具有一定精确度的经营业绩复核足以防止或发现财务报表重大错报，因此被认为与一个或多个财务报表认定直接相关。

（2）某些信息技术一般控制同时也是应用控制，能够直接支持财务报表认定。如在财务报告流程中设置不适当的访问权限、财务报告流程方面的职责分工不足、对财务数据进行直接访问等。

注册会计师在评价与财务报表认定间接相关的控制缺陷的严重程度时，应当考虑由该缺陷（或同类缺陷的汇总影响）导致出现其他控制缺陷的可能性及严重程度。

第二步：确定一项缺陷或多项缺陷的组合是否可能不能防止或发现并纠正财务报表错报。

注册会计师需要评价发现的一项缺陷或多项缺陷的组合导致财务报表错报的“可能性”。通常，注册会计师需要进行合理的定性判断，不需要进行定量评估。

第三步：确定一项缺陷或多项缺陷的组合可能导致的财务报表错报，对财务报表的影响程度是否重大。

在评价控制缺陷时，注册会计师应当根据财务报表审计中确定的重要性水平，支持对控制缺陷严重程度的评价。

在评价缺陷的严重程度时，注册会计师需要分别从定量、定性的角度考虑相关影响因素。从定量的角度出发，考虑是否可能导致财务报表错报，该错报在金额上对财务报表具有重大影响，且不能被一项控制或多项控制的组合所防止或及时发现并纠正。从定性的角度出发，考虑一项缺陷或缺陷组合导致财务报表错报的严重程度的相关因素，以及针对依赖该信息进行决策的人员预期需要考虑的因素。

第四步：评价是否存在补偿性控制并以一定的精确度有效运行，足以防止或发现并纠正中期或年度财务报表重大错报。

在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时，注册会计师应当评价补偿性控制的影响。在评价补偿性控制是否能够弥补控制缺陷时，注册会计师应当考虑补偿性控制是否有足够的精确度以防止或发现并纠正可能发生的重大错报。以一定精确度有效运行的补偿性控制，单独或组合起来可能防止或发现并纠正年度或中期财务报表重大错报，因而可以减少或者减轻已确认的控制缺陷所导致的潜在错报。

注册会计师在评价控制缺陷严重性之前考虑补偿性控制可能更为有效。

在得出补偿性控制是否有效运行的结论前，注册会计师应当首先分析该补偿性控制是否达到一定程度的精确性。其次，注册会计师应当对补偿性控制开展必要的测试工作，获取并记录补偿性控制运行有效的证据。需要注意的是，由于某些控制缺陷发生在企业的组成部分（如子公司）层面，而相关的补偿性控制可能存在于集团层面。因此，在对补偿性控制进行测试时，注册会计师应当考虑补偿性控制执行的层面及其对测试的影响。集团项目组应当与组成部分注册会计师及时开展充分、有效的沟通，及时识别补偿性控制并进行相应的测试，以便准确判断补偿性控制是否可以降低财务报表错报的可能性和严重程度。

第五步：评价该项缺陷的重要程度是否足以引起负责监督企业财务报告的人员的关注。

本步骤中的负责监督企业财务报告的人员是指企业中负责财务报告监督和管理工作的中高层管理人员（如财务总监、总会计师、首席财务官等）以及董事会成员和监事会成员。

负责监督企业财务报告的人员通常主要关注：

（1）控制缺陷在去年已存在并被确认为重要缺陷或重大缺陷；

（2）控制缺陷存在于企业新兴业务或高风险业务中；

（3）控制缺陷存在于董事会或审计委员会高度关注的领域内，如特殊组成部分或敏感业务。

在评价财务报告内部控制缺陷的重要程度时，注册会计师应当确定企业财务主管负责人是否有充分合理的信心认为，企业的交易得到适当的记录、财务报告的编制符合企业会计准则和披露要求。如果注册会计师判断一个谨慎的财务主管负责人在企业存在该内部控制缺陷（或缺陷组合）时，仍然保持对财务报告和相关信息真实准确的信心，且该信心是充分合理的，则注册会计师可以认为缺陷（或缺陷组合）是一般缺陷。反之，注册会计师可以认为该缺陷（或缺陷组合）至少构成重要缺陷，并进而按照步骤七的要求评价该缺陷（或缺陷组合）是否构成重大缺陷。

第六步：考虑一个足够知情的、有胜任能力的、并且客观地管理人员是否会认为该控制缺陷（或缺陷组合）为重大缺陷。

本步骤的目的是注册会计师在对内部控制缺陷进行定性和定量分析评价的基础上，充分发挥职业谨慎态度，从第三方的角度客观地重新审视内部控制缺陷（或缺陷组合）的严重性，从而得出内部控制是否有效的结论。

此处所指的“足够知情、有胜任能力并且客观的管理人员”是指一个具有～定知识和能力的第三方人员（如监管机构人员、投资人等）在和注册会计师取得同样的内部控制缺陷相关信息时，是否会认为该控制缺陷（或缺陷组合）会导致财务报表重大错报。如果是，则该缺陷构成重大缺陷；反之，则为重要缺陷。如果注册会计师确定发现的一项控制缺陷或多项控制缺陷的组合将导致审慎的管理人员在执行工作时，认为自身无法合理保证按照适用的财务报告编制基础记录交易，应当将这一项控制缺陷或多项控制缺陷的组合视为存在重大缺陷的迹象。下列迹象可能表明内部控制存在重大缺陷：

（1）注册会计师发现董事、监事和高级管理人员的任何舞弊；

（2）被审计单位重述以前公布的财务报表，以更正由于舞弊或错误导致的重大错报；

（3）注册会计师发现当期财务报表存在重大错报，而被审计单位内部控制在运行过程中未能发现该错报；

（4）审计委员会和内部审计机构对内部控制的监督无效。

第七步：在考虑所有事实情况（包括定性因素）后，判断重大审计调整、更正已经公布的财务报表等情况是否并不表明存在控制缺陷。

当企业发生重大审计调整、更正已经公布的财务报表时，通常会认为控制失效。但是，在某些情况下，重大审计调整、更正已经公布的财务报表等事项可能由特殊的背景和环境（如会计政策调整）引发的，而不一定是由控制缺陷导致的。如果存在充分的证据表明企业管理层采取了下列措施：已建立控制收集处理相关信息并按会计准则的要求记录和披露相关信息，并且有关控制设计和运行有效，则注册会计师可以合理地认为该控制并未失效。但是，实务中这种不是由于控制缺陷造成的特殊事项极少发生。因此，注册会计师对这些特殊事项的评估必须基于每家企业在特定的环境和时点上作出慎重考虑和分析。

附录7-1提供了内部控制缺陷汇总表参考格式。

二、评价控制缺陷示例

例一：一般缺陷

A注册会计师执行甲公司财务报告内部控制审计，财务报表整体重要性确定为1000万元。在对付款授权进行控制测试时，其中一项程序是检查付款发票是否有适当的审批且有相关的文件对其进行支持这一关键控制，这项控制活动与1600万元的发票交易相关，选择25笔付款并测试它们是否经过了适当的审批，理想状态下应没有异常。但测试结果表明有1笔付款（与维修维护相关）未经过授权。

步骤一：发现的缺陷是否与一个或多个财务报表认定直接相关?

由于该缺陷涉及支出，直接影响财务报表认定。

步骤二：该项缺陷是否可能不能防止或发现并纠正财务报表错报?

是，付款没有得到审批，有可能导致错报。

步骤三：该项缺陷可能导致财务报表潜在错报的金额大小?

支出涉及的总金额是1600万元，大于1000万元的重要性水平。

步骤四：是否存在补偿性控制，并以一定的精确度有效运行，足以防止或发现财务报袁重大错报?

经了解和测试，维修与维护服务环节存在下列补偿性控制：

维修与维护服务环节的采购订单审批和发票审批流程中存在权限分离机制，因此采购订单审批和付款发票审批需要多人合作进行（已测试且该控制有效）。

对采购订单的审批与政策保持一致（已测试且该控制有效）。

每月将实际支出与成本及上季度数据进行对比。对于误差，差异容忍度为100万元，对于差异大于100万元的情况会进行调查（已测试且控制有效）。

步骤五：该缺陷的重要程度是否足以引起负责监督企业财务报告的相关人员的关注?

否。

因此，该缺陷为一般缺陷。

例二：重大缺陷

A注册会计师执行甲公司财务报告内部控制审计，财务报表整体重要性确定为2000万元。在对月度银行对账进行控制测试时，其中一项程序是检查公司每月是否对其付款账户与银行进行对账，这项控制活动与6000万元现金收据以及付款相关，选择2笔对账并且确定是否每笔对账都已完成以及是否对所有重大或异常事件进行了调查并及时解决，理想状态下应没有例外。但测试结果表明两笔银行对账都没有完全完成，存在重大的未对账差异（共计200万元）且差异存在已超过1年。

步骤一：发现的缺陷是否与一个或多个财务报表认定直接相关?

是，涉及银行存款和付款的问题，直接影响财务报表认定。

步骤二：该项缺陷是否可能不能防止或发现并纠正财务报表错报?

是，对账没有完成，有可能导致错误不能及时发现。

步骤三：该项缺陷可能导致财务报表潜在错报的金额大小?

这项控制与交易相关且所涉及金额大于6000万元，超过了重要性。

步骤四：是否存在补偿性控制，并以一定的精确度有效运行，足以防止或发现并纠正财务报表重大错报?

会计经理会对每次银行对账进行审核并签字确认，由于经理没有能够发现这些重大的对账错误，因此补偿性控制也被判断为失效。

因此，该缺陷为重大缺陷。

第三节内部控制缺陷评价的特殊考虑

一、对信息系统一般控制的考虑

信息系统一般控制缺陷往往会对应用系统控制的有效性产生负面影响，从而增加财务报表错报的可能性。因此，对信息系统一般控制缺陷的评价应当考虑应用控制缺陷的情况，以判断信息系统一般控制缺陷是否会直接导致财务报表错报。

如果应用控制缺陷与信息系统一般控制缺陷相关或由一般控制缺陷所引致，则需要将信息系统一般控制缺陷与应用控制缺陷结合起来评价，并且通常信息系统一般控制缺陷与应用控制缺陷的重要性分类是一致的：

（1）如果应用控制重大缺陷与信息系统一般控制缺陷相关或由一般控制缺陷所引致，说明该信息系统一般控制缺陷也是重大缺陷。

（2）如果应用控制重要缺陷与信息系统一般控制缺陷相关或由一般控制缺陷所引致，说明该信息系统一般控制缺陷也是重要缺陷。

（3）如果应用控制缺陷（仅是一般缺陷）与信息系统一般控制中的缺陷相关或由一般控制缺陷所引致，通常说明该信息系统一般控制缺陷也是一般缺陷。

注册会计师在评价信息系统一般控制缺陷导致财务报表错报可能性时，应当考虑的因素包括但不限于：

（1）缺陷的性质和普遍性，例如，缺陷只与系统开发过程中的某个节点相关还是与整个过程相关；

（2）该控制与应用系统和数据的关联程度；

（3）应用系统和数据中存在缺陷的普遍性：

①与信息系统一般控制缺陷相关或由其引起的应用控制缺陷的数量；

②重要账户及相关业务流程中的控制受信息系统一般控制缺陷影响的程度；

③与信息系统一般控制缺陷相关的应用控制的数量；

（4）企业系统环境的复杂性和缺陷对应用控制产生负面影响的可能性；

（5）信息系统一般控制缺陷是否与那些容易受到损失或舞弊影响的账户和列报的应用系统和控制相关；

（6）在信息系统总体内部控制运行有效性方面已知或已发现的控制偏差的原因和频率，以及受此影响的应用系统产生财务报表错报的风险；

（7）以前年度及当年发生的错报是否与受到信息系统一般控制缺陷影响的应用控制有关。

信息系统一般控制支持应用控制的持续有效运行。因此，当注册会计师发现信息系统一般控制存在缺陷时，必须考虑与该信息系统一般控制缺陷相关的应用控制或者

依赖于该信息系统一般控制的手工控制，对审计计划作出必要的调整。

二、对企业层面控制缺陷评价的考虑

企业层面控制的缺陷一般并不直接导致财务报表错报，但是会增加流程、交易和应用层面的控制发生错报的可能性。因此，对于企业层面控制缺陷的评价应基于这些缺陷导致错报的可能性，而不采取量化的方法。

注册会计师在评价企业层面控制缺陷导致财务报表错报可能性时，需要考虑以下因素：

（1）控制缺陷在企业中的普遍性；

（2）控制缺陷对内部控制要素（如控制环境、风险评估等）的相对重要性；

（3）以前年度及当年发生的错报是否与具有广泛性影响的控制缺陷有关；

（4）是否增加舞弊的可能性（包括管理层凌驾于控制之上）；

（5）控制运行有效性方面已发现的控制偏差的原因和频率；

（6）缺陷可能导致的未来后果。

三、与其他缺陷一同进行评价

如果针对某个账户或列报存在多个内部控制缺陷，那么即使其中任何一个内部控制缺陷都不会直接导致财务报表重大错报，但是这些内部控制缺陷共同发挥作用，可能使财务报表重大错报没有被及时防止或发现。因此，注册会计师在对单个缺陷进行评价后，还应当根据其对应的账户、列报及内部控制要素（如控制环境、风险评估等）对缺陷进行汇总，以此确定汇总后的缺陷是否构成重要缺陷或重大缺陷。

例一：

注册会计师识别出以下控制缺陷：

（1）对特定信息系统访问控制的权限分配不当；

（2）若干明细账存在不合理的交易记录（交易无论单个还是合计都是不重要的）；

（3）缺乏对受不合理交易记录影响的账户余额的及时对账。

上述每个缺陷均单独代表一个重要缺陷。基于这一情况，注册会计师可以确定这些重要缺陷合并构成重大缺陷。因为，就个别重要缺陷而言，这些缺陷有一定可能性各自导致金额未达到重要性水平的财务报表错报。但是，这些重要缺陷影响同类会计账户，有一定可能性导致不能防止或发现并纠正重大错报的发生。因此，这些重要缺陷组合在一起符合重大缺陷的定义。

例二：

注册会计师识别出以下控制缺陷：

（1）信贷损失估计的控制设计无效；

（2）对信贷损失备抵的初始处理以及复核调整的控制执行无效；

（3）旨在防止和发现利息并纠正收入认定不当的控制执行无效。

上述每个缺陷均单独代表一个重要缺陷。在过去一年中，公司的贷款余额大幅增长，并预计下一年将进一步增长。

基于这一情况，注册会计师可以确定这些重要缺陷合并构成重大缺陷。因为，受这些重要缺陷影响的贷款账户余额去年已经增加，并预计在未来仍会增加。贷款余额的增加，加上上述重要缺陷的联合作用，导致信贷损失或利息收入备抵的重要错报有可能发生。因此，这些重要缺陷组合在一起符合重大缺陷的定义。

第四节内部控制缺陷整改

如果被审计单位在基准日前对存在缺陷的控制进行了整改，整改后的控制需要运行足够长的时间，才能使注册会计师得出其是否有效的审计结论。注册会计师应当根据控制的性质和与控制相关的风险，合理运用职业判断，确定整改后控制运行的最短期间（或整改后控制的最少运行次数）以及最少测试数量。整改后控制运行的短期间（或最少运行次数）和最少测试数量参见表7 -1。

表7 -1 整改后控制运行的最短期间（或最少运行次数）和最少测试数量

如果被审计单位在基准日前对存在重大缺陷的内部控制进行了整改，但新控制尚没有运行足够长的时间，注册会计师应当将其视为内部控制在基准日存在重大缺陷。

附录7-1：内部控制缺陷汇总表

内部控制缺陷汇总表

编制说明：本审计工作底稿用以对所有被发现的控制缺陷以及其评价结论进行汇总。无论该缺陷是否被认为是重大，都需要进行记录。已经得到整改的控制，即使通过适当的测试工作被确认为有效执行，其相关的缺陷也应当进行同样的描述、归档。