内部审计了解和评价内部控制fwxk.pptx

第九章 审计过程了解和评价内部控制第九章 目录1、内部控制的意义和类型 2、内部控制的评价框架 3、财务报表审计中内部控制的评价4、管理建议书5、内部控制审计的理论和实务内部控制的意义和类型l l内部控制的概念l l内部控制的类型l l内部控制的意义COSO 定义内部控制是为实现以下有关范畴内的目标提供合理内部控制是为实现以下有关范畴内的目标提供合理保证，由一个单位的董事会、经营者和其他成员所实施保证，由一个单位的董事会、经营者和其他成员所实施的一个过程。的一个过程。l经营的效果和效率l财务报告的可靠性l相关法律法规的遵守财政部定义 内部控制是指单位为了提高会计信息质量保护资产的安全、完整，确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。类 型l l财务报告内部控制和其他目的控制l l总体控制和业务处理控制 l l预防型控制和发现型控制 l l人工控制和自动化控制财务报告内部控制（1）财务报告内部控制是由企业的经营者和财务主管或执财务报告内部控制是由企业的经营者和财务主管或执行类似职务的人员设计和监督的、受企业的董事会、经营行类似职务的人员设计和监督的、受企业的董事会、经营者和其他管理人员影响的、旨在为财务报表的可靠性以及者和其他管理人员影响的、旨在为财务报表的可靠性以及外部财务报表的编制符合一般公认会计原则提供合理保证外部财务报表的编制符合一般公认会计原则提供合理保证的过程。的过程。财务报告内部控制（2）该过程包括以下政策和程序：该过程包括以下政策和程序：l l保持合理的详细记录以准确、公允地反映资产的交易和处保持合理的详细记录以准确、公允地反映资产的交易和处置；置；l l为交易得到必要的记录使得财务报表的编制符合一般公认为交易得到必要的记录使得财务报表的编制符合一般公认会计原则，收入和支出均在经营者和董事会的授权下进行会计原则，收入和支出均在经营者和董事会的授权下进行提供合理保证；提供合理保证；l l为预防或者及时发现对财务报表有重大影响的、未经授权为预防或者及时发现对财务报表有重大影响的、未经授权的资产购买、使用和处置提供合理保证。的资产购买、使用和处置提供合理保证。其他目的控制l l经营效果和效率目的内部控制经营效果和效率目的内部控制l l法规遵守目的内部控制。法规遵守目的内部控制。总体控制（1）关系到整个企业层次的控制，具有维护和监督企业系统关系到整个企业层次的控制，具有维护和监督企业系统的作用。的作用。总体控制（2）l l包括企业的风气，经营者的作风，组织结构以及行动规范包括企业的风气，经营者的作风，组织结构以及行动规范程序、雇用、培训和升迁制度、内部通报制度、自我评价程序、雇用、培训和升迁制度、内部通报制度、自我评价制度等与企业成员的意识密切相关的控制制度等与企业成员的意识密切相关的控制l l包括对董事会以及监事会所进行的监督状况、预算编制时包括对董事会以及监事会所进行的监督状况、预算编制时的风险评价等制度和机制的运行状况的文档化等控制。的风险评价等制度和机制的运行状况的文档化等控制。总体控制（3）l l总体控制并不直接作用于企业业务的处理，而是间接地、总体控制并不直接作用于企业业务的处理，而是间接地、广范地影响业务处理。广范地影响业务处理。l l透过总体控制的风险将直接影响业务处理控制。透过总体控制的风险将直接影响业务处理控制。l l总体控制有关的要素往往可以减轻业务处理控制层次的风总体控制有关的要素往往可以减轻业务处理控制层次的风险。险。总体控制薄弱的例子大量依靠临时工，不重视员工培训大量依靠临时工，不重视员工培训实际操作员工的知识、经验不足实际操作员工的知识、经验不足业务处理控制不能发挥预期的作用业务处理控制不能发挥预期的作用总体控制有效的例子 企业规模不大，所有者亲自经营企业规模不大，所有者亲自经营 职务分工和权责划分不明确职务分工和权责划分不明确业务规程和流程比较模糊业务规程和流程比较模糊员工非常敬业员工非常敬业知识和经验比较丰富知识和经验比较丰富 业务处理控制的缺陷可以通过员工的自主性职务调整，业务处理控制的缺陷可以通过员工的自主性职务调整，互相帮助而得到克服。互相帮助而得到克服。图9-1 总体控制和业务处理控制的关系 总体控制总体控制（控制环境、风险评价、监督活动）（控制环境、风险评价、监督活动）制度、机制、程序制度、机制、程序影响影响业务处理控制业务处理控制l l与业务过程直接相关的、如交易的授权和确认、业绩的复与业务过程直接相关的、如交易的授权和确认、业绩的复核、职务分工等控制。核、职务分工等控制。l l业务处理规程以及手册的建立健全及其在整个企业内的认业务处理规程以及手册的建立健全及其在整个企业内的认知也包括在业务处理控制中。知也包括在业务处理控制中。l l业务处理控制多数根据日常交易和业务的内容，以各个部业务处理控制多数根据日常交易和业务的内容，以各个部门或者交易种类为单位设置和运行的。门或者交易种类为单位设置和运行的。Examples of Application Control(warehouse)l ldoor lock of a warehousedoor lock of a warehousel lhow many people has the lock of the warehousehow many people has the lock of the warehousel lbookkeeper and warehouse managerbookkeeper and warehouse managerl lAuthorizationAuthorizationl lPre-numbered invoicesPre-numbered invoices图表9-1 基本业务循环及业务程序内容 业务循环业务循环业务程序的内容业务程序的内容销售销售收款循环收款循环接受订单、发货、收款、债权管理、收入的会计处理接受订单、发货、收款、债权管理、收入的会计处理购货购货付款循环付款循环订货、验收、债务管理、购货的会计处理订货、验收、债务管理、购货的会计处理存货循环存货循环存货的实物管理、报废管理、实地盘存手续存货的实物管理、报废管理、实地盘存手续生产循环生产循环领料、生产流程管理、产品检验管理、成本计算领料、生产流程管理、产品检验管理、成本计算固定资产循环固定资产循环订货、验收、折旧计算、固定资产及折旧的会计处理订货、验收、折旧计算、固定资产及折旧的会计处理工资循环工资循环工资的决定、计算、支付、工资的会计处理工资的决定、计算、支付、工资的会计处理财务循环财务循环现金的收入与支出、资金运用和筹措现金的收入与支出、资金运用和筹措税收循环税收循环企业所得税、营业税等的计算、递延税额资产的计算企业所得税、营业税等的计算、递延税额资产的计算财务报告循环财务报告循环编制凭证、过账、调整分录、编制财务报表编制凭证、过账、调整分录、编制财务报表基本控制l l 业务规程手册的制定及其贯彻普及业务规程手册的制定及其贯彻普及l l职务分工职务分工l l授权和批准授权和批准l l交易踪迹的文档化交易踪迹的文档化l l对资产接近的限制对资产接近的限制l l独立核算独立核算l l业绩复核业绩复核预防型控制 l l预防型控制是指作用于从最早可能发生的场所防止错误或舞弊发生的控制。l l批准：对某一事项具有决定权的管理者一边留下证据痕迹一边认可该事项的内容。发现型控制 l l发现型控制是指作用于及时发现已经发生的错误或舞弊的控制；l l检查：通过审阅文件，复核程序，向有关人员询问等确认业务活动的实施情况。内部控制的作用l l有效的内部控制能防止或发现对企业资产的盗用、未经授权使用或处置资产的情形，减少业务活动中的风险。l l内部控制不存在或者有缺陷可能给企业带来防不胜防的风险。例1 订货程序的内部控制风险l l内部控制程序：经办人员起草购货申请内部控制程序：经办人员起草购货申请 主管人员事前盖主管人员事前盖章批准章批准委托购货部门实施购货委托购货部门实施购货l l事事 实实 情情 况：况：经办人员没有经过主管人员批准和委托购货经办人员没有经过主管人员批准和委托购货部门的程序，自行组织订货部门的程序，自行组织订货l l或或 有有 风风 险：险：企业不知道订单已发出；企业不知道订单已发出；企业不知道应付账款的存在；企业不知道应付账款的存在；经办人员利用企业的交易中饱私囊经办人员利用企业的交易中饱私囊 图表9-2 内部控制的功能及发挥途径功能功能途径途径具体方法具体方法预防牵制功能预防牵制功能职务分工职务分工合理的划分职能部门和业务部门以及使各部门保持必要合理的划分职能部门和业务部门以及使各部门保持必要的独立性的独立性权限和程序的明确化和标准化权限和程序的明确化和标准化明确各部门及其人员的岗位责任和授权明确各部门及其人员的岗位责任和授权建立健全业务规程手册并在企业内贯彻落实建立健全业务规程手册并在企业内贯彻落实建立健全内部牵制制度建立健全内部牵制制度在职务划分和权限及程序的标准化过程中充分考虑内部在职务划分和权限及程序的标准化过程中充分考虑内部牵制的要求牵制的要求建立检查机制建立检查机制在业务处理的各个阶段建立健全检查机制在业务处理的各个阶段建立健全检查机制教育教育通过内部控制的建立健全过程，促进企业整体对内部控通过内部控制的建立健全过程，促进企业整体对内部控制的认识，形成良好的控制环境制的认识，形成良好的控制环境发现揭露功能发现揭露功能及时发现错误及时发现错误数据的检查数据的检查逻辑合理性检查逻辑合理性检查凭证与记录的检查凭证与记录的检查在信息系统中装置具有例外事项的提示和即时反馈作在信息系统中装置具有例外事项的提示和即时反馈作用的程序用的程序实物和记录的核对实物和记录的核对资产与记录的定期核对资产与记录的定期核对财产清查财产清查修正恢复功能修正恢复功能建立健全事故处理程序建立健全事故处理程序发现错误后确定原因、采取相应的措施发现错误后确定原因、采取相应的措施预先明确采取措施的程序并组织化、制定事故处理程预先明确采取措施的程序并组织化、制定事故处理程序手册序手册内部控制并非万能药l lCOSOCOSO报告在警告人们不应过度期待或者误解内部控制的报告在警告人们不应过度期待或者误解内部控制的作用时指出：作用时指出：l l第一，第一，“内部控制有效运行内部控制有效运行”不等于不等于“企业业绩优良企业业绩优良”；l l第二，第二，“内部控制有效运行内部控制有效运行”并不意味着各控制目的的实并不意味着各控制目的的实现得到了绝对的保证。现得到了绝对的保证。l l内部控制定义中的内部控制定义中的“合理的保证合理的保证”，就是指内部控制存在，就是指内部控制存在固有界限。固有界限。内部控制的固有界限l l内部控制不具有防止和发现经营者错误的功能内部控制不具有防止和发现经营者错误的功能l l内部控制可能因有关人员相互勾结、内外串通而失效内部控制可能因有关人员相互勾结、内外串通而失效l l内部控制是针对常规业务而设计的，对突发性的、异常的内部控制是针对常规业务而设计的，对突发性的、异常的或者例外的业务可能无效或者例外的业务可能无效l l内部控制可能因执行人员的粗心大意、疲劳、判断失误和内部控制可能因执行人员的粗心大意、疲劳、判断失误和对指令的误解以及对压力的妥协而暂时失效对指令的误解以及对压力的妥协而暂时失效l l内部控制可能会僵硬化，不能适应外部环境的变化内部控制可能会僵硬化，不能适应外部环境的变化l l内部控制的设计和运行受制于成本效益原则内部控制的设计和运行受制于成本效益原则内部控制的评价框架l l内部控制框架的历史演变l l内部控制的要素l l内部控制5要素的意义 历史演变l l1977 FCAPl l1978 Cohen报告l l1987 Treadway报告l l1992 COSO报告COSO 5 要素 l l控制环境控制环境（control environmentcontrol environment）l l风险评价风险评价（risk assessmentrisk assessment）l l控制活动控制活动（control activitiescontrol activities）l l信息与沟通信息与沟通（information and communicationinformation and communication）l l监督活动监督活动（monitoringmonitoring）控制环境l l控制环境决定组织的风气，影响组织成员的控制意识。控控制环境决定组织的风气，影响组织成员的控制意识。控制环境提供纪律和结构，是内部控制的所有其他要素的基制环境提供纪律和结构，是内部控制的所有其他要素的基础。础。TEXTpp.269-271 TEXTpp.269-271l l控制环境包括组织成员的诚实性、伦理观和能力；经营的控制环境包括组织成员的诚实性、伦理观和能力；经营的哲学和经营作风；经营者分配权限和责任、组织和开发员哲学和经营作风；经营者分配权限和责任、组织和开发员工的方法；董事会所提供的监督和指导等因素。工的方法；董事会所提供的监督和指导等因素。风险评价l l任何组织都面临源自外部和内部的风险，不得不评价这任何组织都面临源自外部和内部的风险，不得不评价这些风险。些风险。l l风险评价的前提条件是，设定目标，链接于所有层次并风险评价的前提条件是，设定目标，链接于所有层次并使其保持内在的一致。使其保持内在的一致。l l风险评价是识别和分析与目标实现有关的风险，形成对风险评价是识别和分析与目标实现有关的风险，形成对如何管理风险作出决定所需要的基础。如何管理风险作出决定所需要的基础。l l由于经济、行业、管制和营运条件处于变动中，需要有由于经济、行业、管制和营运条件处于变动中，需要有一定的机制识别和处理与变动相关的特定的风险。一定的机制识别和处理与变动相关的特定的风险。风险管理流程 控制活动l l控制活动是保证经营者的指示得以执行的方针和程序。控制活动是保证经营者的指示得以执行的方针和程序。l l控制活动有助于保证用于对应与实现组织目标有关风险控制活动有助于保证用于对应与实现组织目标有关风险的必要行动得到启动。的必要行动得到启动。l l控制活动是所有的组织阶层、所有的职能所实施的组织控制活动是所有的组织阶层、所有的职能所实施的组织性的行为，包括批准、授权、检验、调整、业绩的复核、性的行为，包括批准、授权、检验、调整、业绩的复核、资产保全以及职务分工等一系列活动。资产保全以及职务分工等一系列活动。信息与沟通l l信息系统生产有关经营、财务和法律遵守信息的报告，信息系统生产有关经营、财务和法律遵守信息的报告，使得事业的营运和控制成为可能。使得事业的营运和控制成为可能。l l有效的传递必须是广义的、由上而下、由下而上横断整有效的传递必须是广义的、由上而下、由下而上横断整个组织。个组织。l l所有的管理人员都必须理解自己在内部控制系统中的职所有的管理人员都必须理解自己在内部控制系统中的职责，以及如何将个人的行动与他人的工作相协调。他们责，以及如何将个人的行动与他人的工作相协调。他们必须具有向组织的上层传递重要信息的通道。必须具有向组织的上层传递重要信息的通道。l l与顾客、供货商、监督机构以及股东等外部的关系者之与顾客、供货商、监督机构以及股东等外部的关系者之间的有效传递也是必须的。间的有效传递也是必须的。监督活动l l监视是一个不断评价内部控制系统机能的过程。监视是一个不断评价内部控制系统机能的过程。l l监视的形式有日常的监视活动，独立评价或者两者的结合。监视的形式有日常的监视活动，独立评价或者两者的结合。日常监视和独立评价l l日常监视存在于业务过程中，包括常规的管理、监督活动日常监视存在于业务过程中，包括常规的管理、监督活动以及管理人员在履行职责时所采取的其他行动。以及管理人员在履行职责时所采取的其他行动。l l 独立评价的范围和频度主要取决于对风险的评价和日常监独立评价的范围和频度主要取决于对风险的评价和日常监视程序的有效性。内部控制的缺陷必须向上层管理人员报视程序的有效性。内部控制的缺陷必须向上层管理人员报告，重要的事项必须向最高经营者以及董事会报告。告，重要的事项必须向最高经营者以及董事会报告。COSO 5 要素的意义（1）There is a logical loop to an organizations internal controls,There is a logical loop to an organizations internal controls,starting withstarting withl l设计控制环境；设计控制环境；l l识别组织风险以及最小化风险所必要的控制；识别组织风险以及最小化风险所必要的控制；l l设计和贯彻内部控制系统以及信息传递系统；设计和贯彻内部控制系统以及信息传递系统；l l监视内部控制的有效性。监视内部控制的有效性。COSO5要素的意义（2）l lCOSO5COSO5要素是评价内部控制的指导性框架。要素是评价内部控制的指导性框架。l l评价者对上述评价者对上述5 5要素各自的功能状况进行判断，最要素各自的功能状况进行判断，最后联系所选择的目的就内部控制的整体功能状况后联系所选择的目的就内部控制的整体功能状况进行综合判断。进行综合判断。l l这些判断可以为我们了解内部控制的弱点所在。这些判断可以为我们了解内部控制的弱点所在。例2 订货程序内部控制l l控制环境控制环境：是否存在允许未经批准交易的风气？：是否存在允许未经批准交易的风气？l l信息传递信息传递：未经批准交易的信息是否得到传递？：未经批准交易的信息是否得到传递？l l控制活动控制活动：是否存在牵制、纠正未经批准交易的：是否存在牵制、纠正未经批准交易的措施？措施？l l监督活动监督活动：相关管理人员是否对纠正的状况进行：相关管理人员是否对纠正的状况进行了确认？了确认？财务报表审计中内部控制的评价l l内部控制对财务报表审计的意义l l与审计相关的控制l l内部控制的评价过程内部控制和测试 现代财务报表审计仍然需要通过复查经济业务来获取现代财务报表审计仍然需要通过复查经济业务来获取审计证据，但在审计时间和审计费用的制约下，审计人并审计证据，但在审计时间和审计费用的制约下，审计人并不复查所有的经济业务，而是通过评价内部控制的有效性不复查所有的经济业务，而是通过评价内部控制的有效性间接地验证会计记录是否值得信赖，在此基础上根据其对间接地验证会计记录是否值得信赖，在此基础上根据其对重要性和审计风险的评估以及财务报表项目本身的性质，重要性和审计风险的评估以及财务报表项目本身的性质，抽查经济业务。抽查经济业务。财务报表审计的证据活动逻辑l l根据有效的内部控制生成的基本会计资料编制的财务报表根据有效的内部控制生成的基本会计资料编制的财务报表所内涵的会计认定要比内部控制有缺陷情况下的会计认定所内涵的会计认定要比内部控制有缺陷情况下的会计认定可靠。可靠。l l有效的内部控制可以合理保证较低水平的控制风险，与此有效的内部控制可以合理保证较低水平的控制风险，与此相对应，审计人可以在较低水平控制风险的前提下确定相相对应，审计人可以在较低水平控制风险的前提下确定相应的审计具体目标，以较低水平检查风险为前提实施相应应的审计具体目标，以较低水平检查风险为前提实施相应的审计程序。的审计程序。图9-3 内部控制和审计程序的关系低风险前提下的审计程序审计具体目标高风险前提下的审计程序财务报表中的会计认定信赖不信赖基本会计资料有效审计具体目标审计具体目标非有效财务报表中的会计认定基本会计资料信赖不信赖有效内部控制非有效（评价）（评价）资料来源：山浦久司.1999.财务审计论.日本：中央经济社，p.155与审计相关的控制l l为实现财务报告可靠性目标设计和实施的控制；l l与实施审计程序时评价或使用的数据相关的用以保证经营效率、效果的控制以及对法律法规遵守的控制；l l与实现财务报告可靠性和经营效率、效果目标相关的用以保护资产的内部控制。管理建议书 独立审计实务公告第2号管理建议书 内部控制审计的理论和实务l l内部控制报告制度化的理论问题l l内部控制评价和内部控制审计l l内部控制审计的PCAOB框架内部控制审计对财务报表审计的意义l l 内部控制是公司治理的一个重要组成部分，是公司股东以内部控制是公司治理的一个重要组成部分，是公司股东以及债权人等籍以对公司实施控制和要求经营者履行资源经及债权人等籍以对公司实施控制和要求经营者履行资源经管责任的手段。管责任的手段。l l公司治理从股东赋予董事、董事赋予经营者一定的责任开公司治理从股东赋予董事、董事赋予经营者一定的责任开始。始。l l责任的赋予需要在控制和经管责任框架下进行：控制系统责任的赋予需要在控制和经管责任框架下进行：控制系统保证责任已得到恰当的定义，工作的分派符合责任和经管保证责任已得到恰当的定义，工作的分派符合责任和经管责任的定义。责任的定义。内部控制和内部控制审计l l有效的内部控制不仅为财务报告的可靠性提供合理的保证，有效的内部控制不仅为财务报告的可靠性提供合理的保证，而且还保证资产不受舞弊和错误的侵蚀以及企业对法律的而且还保证资产不受舞弊和错误的侵蚀以及企业对法律的遵守。遵守。l l经营者对建立健全内部控制所抱有的态度反映了经营者对经营者对建立健全内部控制所抱有的态度反映了经营者对资产保全和财务报告的态度。资产保全和财务报告的态度。l l内部控制审计通过分析内部控制是否存在缺陷，并据以判内部控制审计通过分析内部控制是否存在缺陷，并据以判断是否存在错报以及错报的类型，可以确认经营者是否诚断是否存在错报以及错报的类型，可以确认经营者是否诚实地履行了受托责任。实地履行了受托责任。高水平的合理保证l l现代财务报表审计的证明逻辑是，通过证明现代财务报表审计的证明逻辑是，通过证明5 5大会计认定大会计认定的成立或者不成立，间接地证明财务报表公允性是否成立。的成立或者不成立，间接地证明财务报表公允性是否成立。l l围绕围绕5 5大会计认定展开的审计具体目标能否为公允性命题大会计认定展开的审计具体目标能否为公允性命题提供证实证据，有赖于内部控制制度的有效性。提供证实证据，有赖于内部控制制度的有效性。l l内部控制审计通过确认内部控制的防止、发现错误和舞弊内部控制审计通过确认内部控制的防止、发现错误和舞弊的功能，有助于财务报表审计提供高水平的合理保证。的功能，有助于财务报表审计提供高水平的合理保证。AS#2-2和27l l担任公司年报审计的审计人必须测试并报告经营者对财务担任公司年报审计的审计人必须测试并报告经营者对财务报告内部控制的评价，报告内部控制的评价，l l由于财务报表审计中所获得的信息对审计人的有关财务报由于财务报表审计中所获得的信息对审计人的有关财务报告内部控制有效性的结论具有潜在的重要性，审计人不可告内部控制有效性的结论具有潜在的重要性，审计人不可以只审计财务报告内部控制而不审计财务报表。以只审计财务报告内部控制而不审计财务报表。AS#2-146l l内部控制审计中了解内部控制是为了对经营者的内部控制内部控制审计中了解内部控制是为了对经营者的内部控制评价发表意见。评价发表意见。l l财务报表审计中了解内部控制是为了评估控制风险最终形财务报表审计中了解内部控制是为了评估控制风险最终形成对财务报表的意见。成对财务报表的意见。l l内部控制审计和财务报表审计可以共同执行相应的程序以内部控制审计和财务报表审计可以共同执行相应的程序以获得对内部控制的了解。获得对内部控制的了解。AS#2-146：147l l内部控制审计中审计人为了对时点上的内部控制的有效性内部控制审计中审计人为了对时点上的内部控制的有效性发表意见，需要获取足以判断内部控制是否有效运行的覆发表意见，需要获取足以判断内部控制是否有效运行的覆盖某一段时期的证据。盖某一段时期的证据。l l为了对作为整体的内部控制的有效性发表意见，需要获取为了对作为整体的内部控制的有效性发表意见，需要获取与所有重要的财务报表项目和披露相关的认定相对应的控与所有重要的财务报表项目和披露相关的认定相对应的控制活动是否有效的证据。制活动是否有效的证据。AS#2-150 财务报表审计为了评估特定财务报表认定的控制风财务报表审计为了评估特定财务报表认定的控制风险，审计人需要获取审计人拟予以信赖的控制活动在整个险，审计人需要获取审计人拟予以信赖的控制活动在整个期间的运行有效性的证据。但是审计人不需要评估所有相期间的运行有效性的证据。但是审计人不需要评估所有相关认定的控制风险。关认定的控制风险。AS#2-149，151 审计人出于控制风险评估目的推断控制活动的有效性时，审计人出于控制风险评估目的推断控制活动的有效性时，应评估内部控制审计目的下的其他控制测试的结果。对这应评估内部控制审计目的下的其他控制测试的结果。对这些结果的考虑可能要求审计人改变实质性测试的性质、时些结果的考虑可能要求审计人改变实质性测试的性质、时间和范围，计划和实施追加控制测试，特别是当追加控制间和范围，计划和实施追加控制测试，特别是当追加控制测试与识别控制缺陷有关时。内部控制审计也应该吸收追测试与识别控制缺陷有关时。内部控制审计也应该吸收追加测试的结果。加测试的结果。AS#2-152 不论财务报表审计中所评价的控制风险或者重要错不论财务报表审计中所评价的控制风险或者重要错报的风险如何，审计人都必须对所有重要的财务报表项目报的风险如何，审计人都必须对所有重要的财务报表项目和披露相关的认定执行实质性测试程序。出于内部控制审和披露相关的认定执行实质性测试程序。出于内部控制审计的目的而执行的程序不可以减少对实质性测试的要求。计的目的而执行的程序不可以减少对实质性测试的要求。AS#2-157 在内部控制审计中，审计人需要评估财务报表审计中在内部控制审计中，审计人需要评估财务报表审计中执行实质性审计程序所得到的发现对内部控制有效性的影执行实质性审计程序所得到的发现对内部控制有效性的影响。这种评估包括：响。这种评估包括：l l与选择和应用实质性程序有关的风险评估，特别是与舞弊与选择和应用实质性程序有关的风险评估，特别是与舞弊考虑有关的风险考虑有关的风险;l l与非法活动以及关联方交易有关的发现；与非法活动以及关联方交易有关的发现；l l反映经营者在进行会计估计和选择会计政策上的偏向的信反映经营者在进行会计估计和选择会计政策上的偏向的信号；号；l l实质性程序所发现的错报。根据错报的范围审计人有可能实质性程序所发现的错报。根据错报的范围审计人有可能改变对控制有效性的判断。改变对控制有效性的判断。PCAOB框架l l识别财务报表中所包含的重要认定l l文档化上述认定所对应的控制活动l l评价文档化了的控制活动的建立健全状况内部控制审计的步骤 l l编制审计计划；编制审计计划；l l评价评价经营者的内部控制评价过程；经营者的内部控制评价过程；l l了解了解财务报告内部控制；财务报告内部控制；l l测试和评价财务报告内部控制的测试和评价财务报告内部控制的设计设计有效性；有效性；l l测试和评价财务报告内部控制的测试和评价财务报告内部控制的运行运行有效性；有效性；l l形成关于形成关于:经营者的评价过程经营者的评价过程 财务报告内部控制是否有效的财务报告内部控制是否有效的意见意见；l l编制审计报告。编制审计报告。评价步骤l l 复核内部控制文件复核内部控制文件l l复核经营者复核经营者的测试内部控制运行的程序的测试内部控制运行的程序 图表9-13 经营者的内部控制文档l l与所有重要的与所有重要的F/SF/S项目相关的认定所对应的控制活动的设项目相关的认定所对应的控制活动的设计，包括内部控制计，包括内部控制5 5要素，如控制环境和公司层次控制；要素，如控制环境和公司层次控制；l l关于重要的交易如何开始、批准、记录、处理以及报告的关于重要的交易如何开始、批准、记录、处理以及报告的信息；信息；l l关于交易流程的足够信息用以识别因错误或舞弊引起的重关于交易流程的足够信息用以识别因错误或舞弊引起的重要错报可能发生的环节；要错报可能发生的环节；l l为预防或发现舞弊而设计的控制活动，包括控制活动的执为预防或发现舞弊而设计的控制活动，包括控制活动的执行人以及相关职务的分离；行人以及相关职务的分离；l l与期末财务报告过程有关的控制活动；与期末财务报告过程有关的控制活动；l l与资产维护有关的控制活动；与资产维护有关的控制活动；l l经营者的（内部控制）测试和评价结果。经营者的（内部控制）测试和评价结果。复核经营者内部控制评价报告l l经营者是否恰当地陈述了关于建立健全财务报告内部控制经营者是否恰当地陈述了关于建立健全财务报告内部控制的责任？的责任？l l经营者用于评价内部控制的框架是否合适？经营者用于评价内部控制的框架是否合适？l l经营者关于内部控制有效性的评价中是否不存在重大的错经营者关于内部控制有效性的评价中是否不存在重大的错报？报？l l经营者的内部控制报告的表达方式是否符合格式要求？经营者的内部控制报告的表达方式是否符合格式要求？l l所识别的财务报告内部控制中的重大缺陷，包括期间已纠所识别的财务报告内部控制中的重大缺陷，包括期间已纠正的重大缺陷在内，是否得到恰当地披露？正的重大缺陷在内，是否得到恰当地披露？图表9-14 经营者评价过程决定要评价的控制项目测量虚假反映的风险决定评价的范围评价控制的设计有效性评价控制的运行有效性确定重要的控制缺陷评价发现事项向审计人等传达发现事项与所有重要的F/S项目的认定所对应的控制活动*l控制失败引起虚假反映的可能性l虚假反映的重要程度l其他有效控制实现相同控制目标的程度根据重要性判断决定要评价的子公司和业务部门评价手续：内部审计部门的测试、经营者指派的其他人员的测试、作为监视活动组成部分的自我评价评价范围：与所有重要的F/S项目的认定对应的控制活动发现事项是否合理、是否支持经营对内部控制的评价与所有重要的F/S项目认定对应的控制活动l l关系到所有重要的财务报表项目和披露以及相关认定的开关系到所有重要的财务报表项目和披露以及相关认定的开始、批准、记录、处理和报告的控制活动；始、批准、记录、处理和报告的控制活动；l l关系到按照关系到按照CAAPCAAP选择和应用会计政策的控制活动；选择和应用会计政策的控制活动；l l反舞弊程序和控制活动；反舞弊程序和控制活动；l l包括信息技术的总体控制在内的、其他控制活动所依据的包括信息技术的总体控制在内的、其他控制活动所依据的控制活动；控制活动；l l关系到重要的非常规、非系统的交易的控制活动；关系到重要的非常规、非系统的交易的控制活动；l l包括控制环境以及期末财务报告过程控制的公司层次的控包括控制环境以及期末财务报告过程控制的公司层次的控制活动。制活动。图表9-15 综合审计中内部控制评价 固有风险评估固有风险评估识别内部控制记录对内部控制的了解确定要测试的控制活动是否信赖内部控制实施内部控制测试评价内部控制的有效性记录测试过程和结果验证有无重大错报或漏报对各个交易循环实施各项程序 经营背景的调查前年度审计结果的研究 分析性程序的应用舞弊可能性的判断内部控制5要素:l公司层次的控制lAC监督的有效性l重要的F/S项目和披露 l重要的F/S认定和交易 l了解期末财务报告过程相关内部控制不存在内部控制未有效运行测试的成本效益差设计实质性测试noyes了解内部控制的目的l l财务报表审计：财务报表审计：财务报表审计：财务报表审计：初步评价控制风险，据以决定暂定的测试初步评价控制风险，据以决定暂定的测试范围并编入审计计划。范围并编入审计计划。l l内部控制审计：内部控制审计：内部控制审计：内部控制审计：确定内部控制测试范围。确定内部控制测试范围。图表9-16 确定要测试范围的程序从财务报表层次开始识别重要的会计账户识别与每一个重要账户相关的认定识别重要的交易过程和主要的交易类别识别要测试的控制活动：预防性的、发现性的 明确各个控制活动和重要账户及认定的链接关系应用穿行测试识别可能产生错误或舞弊的环节识别、了解、评价公司层次控制的设计有效性参考图表9-8参考图表9-5 直接影响账户公允反映的认定，如存在或发生之于现金账户、估价与分摊之于折旧账户主要类别：对财务报表很重要的交易。重要过程：开始、批准、记录、处理和报告。交易的过程 在识别重要账户、相关认定以及重要过程中识别可能产生错误或舞弊的环节；确定业务处理控制和控制目标、会计认定的对应关系错误或者舞弊可能发生的环节；经营者导入的控制活动的性质；控制活动对实现目标的重要性*控制活动不能有效运行的风险图表9-17 财务报表要素和业务循环 F/SF/S项目项目总分类账总分类账明细分类账明细分类账业务循环业务循环销售销售购货购货生产生产工资工资财务财务财务报告财务报告B/SB/S货币资金货币资金 现金现金本公司本公司A A子公司子公司银行存款银行存款-其他货币资金其他货币资金-跌价准备跌价准备-应收票据应收票据 应收票据应收票据-应收账款应收账款 应收账款应收账款国内应收账款国内应收账款国外应收账款国外应收账款坏账准备坏账准备预付账款预付账款预付账款预付账款-存货存货产成品产成品-存货跌价准备存货跌价准备-其他流动资产其他流动资产内部往来内部往来-控制目标l l业务处理控制既有直接与会计认定相关的内容，也有间接业务处理控制既有直接与会计认定相关的内容，也有间接地作用于会计认定成立的内容。地作用于会计认定成立的内容。l l为了抑制财务报表的可靠性不成立的风险，除了直接与财为了抑制财务报表的可靠性不成立的风险，除了直接与财务报告可靠性有关的会计认定以外，还必须设置保证内部务报告可靠性有关的会计认定以外，还必须设置保证内部控制有效性的指标。控制有效性的指标。l l控制目标：控制目标：完整性完整性所有已发生的业务都得到了处理；所有已发生的业务都得到了处理；正确性正确性已发生的业务都已及时地、正确地记录于恰当已发生的业务都已及时地、正确地记录于恰当的账户；的账户；有效性有效性所有已记录的业务都是企业真实的业务、经过所有已记录的业务都是企业真实的业务、经过授权批准；授权批准；接近限制接近限制限制未经授权的人接近资产和重要的记录。限制未经授权的人接近资产和重要的记录。主要控制的确定l l业务处理控制与会计认定的配比业务处理控制与会计认定的配比 l l业务处理控制与控制目标的配比业务处理控制与控制目标的配比 l l与会计认定和控制目标相对应的业务处理控制就是需要执与会计认定和控制目标相对应的业务处理控制就是需要执行控制测试以核实其效果的主要控制。行控制测试以核实其效果的主要控制。内部控制设计的有效性测试和评价 l l识别各个领域的控制目标；识别各个领域的控制目标；l l识别满足各个控制目标的控制活动；识别满足各个控制目标的控制活动；l l判断有效的控制活动是否能有效地防止或发现可能引起重判断有效的控制活动是否能有效地防止或发现可能引起重要财务报表错报的错误或舞弊。要财务报表错报的错误或舞弊。内部控制运行的有效性测试和评价 l l内部控制运行是否如设计的一样，执行控制活动的人是否内部控制运行是否如设计的一样，执行控制活动的人是否拥有必要的授权和资质以有效地执行控制。拥有必要的授权和资质以有效地执行控制。l l在财务报表审计中，内部控制运行有效性的测试包括内部在财务报表审计中，内部控制运行有效性的测试包括内部控制是否在年度中持续运用的测试。控制是否在年度中持续运用的测试。证据评价l l经营者实施的评价的适当性经营者实施的评价的适当性l l审计人自身对内部控制设计的评价和对内部控制运行有效审计人自身对内部控制设计的评价和对内部控制运行有效性的测试的结果性的测试的结果l l财务报表审计中执行实质性测试所获得的负面结果财务报表审计中执行实质性测试所获得的负面结果l l所识别的控制缺陷所识别的控制缺陷l