内部控制及控制风险管理知识分析评价bnkb.pptx

第七章第七章 内部控制及控制风险评价内部控制及控制风险评价第一节第一节 内部控制的含义与目标内部控制的含义与目标n一、一、内部控制定义内部控制定义n被审计单位为了被审计单位为了合理保证合理保证财务报告的可靠性、财务报告的可靠性、经营的效率和效果以及对法律、法规的遵守，经营的效率和效果以及对法律、法规的遵守，由由治理层、管理层和其他人员设计和执行治理层、管理层和其他人员设计和执行的政的政策和程序。策和程序。二、内部控制的目标。n（1）保证业务活动按照适当的）保证业务活动按照适当的授权授权进行；进行；n（2）保证所有交易和事项以）保证所有交易和事项以正确正确的金额，在的金额，在恰当的会计期间及时记录于适当的账户，使会恰当的会计期间及时记录于适当的账户，使会计报表的编制符合会计准则的相关要求；计报表的编制符合会计准则的相关要求；n（3）保证资产的）保证资产的安全完整安全完整。保证对资产和记。保证对资产和记录的接触、处理均经过适当的授权；录的接触、处理均经过适当的授权；n（4）保证业务活动的）保证业务活动的效率和效果效率和效果三、内部控制的历史演变三、内部控制的历史演变n1、内部牵制阶段、内部牵制阶段n2、内部控制阶段、内部控制阶段n3、内部控制结构阶段、内部控制结构阶段n4、内部控制整体框架阶段、内部控制整体框架阶段四、有关内部控制的一般考虑。n管理当局的责任管理当局的责任n建立、修正和维护公司的各项控制，并监督控建立、修正和维护公司的各项控制，并监督控制政策和程序得到持续有效的执行是管理当局制政策和程序得到持续有效的执行是管理当局的责任。的责任。n合理的保证合理的保证nA 公司管理当局应在综合考虑控制的成本效益公司管理当局应在综合考虑控制的成本效益的基础上，建立能为公司会计报表的公允表达的基础上，建立能为公司会计报表的公允表达提供合理保证的内部控制。提供合理保证的内部控制。nB 控制程序不应对工作效率或获利能力有不利控制程序不应对工作效率或获利能力有不利影响。影响。n固有的限制固有的限制n由于由于和和，会计报表审计总存在一定的控制，会计报表审计总存在一定的控制风险，控制风险始终应大于零。因此不管内控风险，控制风险始终应大于零。因此不管内控如何，都要进行实质性测试。如何，都要进行实质性测试。4.了解内部控制与审计的关系了解内部控制与审计的关系n（1）不论被审计单位规模大小，都要充分了）不论被审计单位规模大小，都要充分了解相关的内控；解相关的内控；n（2）根据了解，确定是否进行符合性测试及）根据了解，确定是否进行符合性测试及符合性测试的时间、性质和范围；符合性测试的时间、性质和范围；n（3）内控良好）内控良好，绝不能完全取消实质性测试绝不能完全取消实质性测试程序。程序。五、内部控制的局限性五、内部控制的局限性n1在决策时在决策时人为判断人为判断可能出现错误和由于人可能出现错误和由于人为失误而导致内部控制失效。为失误而导致内部控制失效。n2可能由于两个或更多的人员进行可能由于两个或更多的人员进行串通串通或管或管理层理层凌驾凌驾于内部控制之上而被规避。于内部控制之上而被规避。n3内部控制可能因为内部控制可能因为人员素质人员素质不适应岗位要不适应岗位要求而存在缺陷；求而存在缺陷；n4内部控制受内部控制受成本效益成本效益影响；影响；n5内部控制一般都是针对经常而重复发生的内部控制一般都是针对经常而重复发生的业务而设置的，如果出现业务而设置的，如果出现不经常发不经常发生或未预计生或未预计到的业务，原有控制就可能不适用。到的业务，原有控制就可能不适用。第二节第二节 内部控制的构成要素内部控制的构成要素n一、内部控制要素一、内部控制要素n（一）控制环境（一）控制环境 （教材（教材P123-124）n指对企业内部控制的指对企业内部控制的建立建立和和实施实施有重大影响的因素有重大影响的因素的总称。的总称。n其好坏直接决定着企业其他控制能否实施或实施的其好坏直接决定着企业其他控制能否实施或实施的效果；可增强也可削弱特定控制的有效性。效果；可增强也可削弱特定控制的有效性。n反映了管理当局和董事会关于控制对公司重要性的反映了管理当局和董事会关于控制对公司重要性的态度。态度。n内容包括：内容包括：（1）德）德（2）才）才（3）治理层）治理层（4）管理层）管理层（5）组织结构）组织结构（6）员工）员工教材教材P1242、了解控制环境方法n（1）询问询问管理层和员工，注册会计师可能了解管理层如何就业务规程和道德价值观念与员工进行沟通；n （2）通过观察和检查观察和检查，注册会计师可能了解管理层是否建立了正式的行为守则，在日常工作中行为守则是否得到遵守，以及管理层如何处理违反行为守则的情形。3、.了解控制环境时评估舞弊风险n（1）有效的控制环境还能为注册会计师相信）有效的控制环境还能为注册会计师相信在以前年度和期中所测试的控制将继续有效运在以前年度和期中所测试的控制将继续有效运行提供一定基础；行提供一定基础；n （2）控制环境中存在的弱点可能削弱控制）控制环境中存在的弱点可能削弱控制的有效性。的有效性。4、.控制环境时的局限性n n 控制环境本身并不能防止或发现并纠正各类控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报，交易、账户余额、列报认定层次的重大错报，注册会计师在评估重大错报风险时，应当将控注册会计师在评估重大错报风险时，应当将控制环境连同其他内部控制要素产生的影响一并制环境连同其他内部控制要素产生的影响一并考虑。考虑。n（二）风险评估（二）风险评估 P124n 组织规章和经营环境的变化组织规章和经营环境的变化n 人事变动。人事变动。n 信息系统的新建和修改。信息系统的新建和修改。n 组织的迅速发展。组织的迅速发展。n 与生产过程和信息系统有关的技术的变化。与生产过程和信息系统有关的技术的变化。n 引进新的生产线、新产品和新工序。引进新的生产线、新产品和新工序。n 公司重组。公司重组。n 扩展或取得国外业务。扩展或取得国外业务。n 采用新的会计原则或变更会计原则。采用新的会计原则或变更会计原则。（三）控制活动（三）控制活动n 控制活动是指管理当局建立的为保证其指令控制活动是指管理当局建立的为保证其指令被贯彻执行的被贯彻执行的政策和程序政策和程序。n1业绩检查业绩检查n 实际业绩与预算对比。实际业绩与预算对比。n 实际业绩与前期业绩对比。实际业绩与前期业绩对比。n 实际业绩与相关的不同的数据对比。实际业绩与相关的不同的数据对比。n 进行业绩的全面检查。进行业绩的全面检查。2业务交易活动的适当授权业务交易活动的适当授权n (l)一般授权n 一般授权是指对形成了一定的规范标准的业一般授权是指对形成了一定的规范标准的业务进行的授权。它是对办理常规经济业务权力、务进行的授权。它是对办理常规经济业务权力、条件和有关责任者的规定，时效性较长。条件和有关责任者的规定，时效性较长。n(2)特殊授权特殊授权n与一般授权不同，特殊授权只涉及特定的经济与一般授权不同，特殊授权只涉及特定的经济业务处理的具体条件及有关具体人员。这种授业务处理的具体条件及有关具体人员。这种授权权时效较短时效较短。n交易授权程序的主要目的在于保证交易是管理交易授权程序的主要目的在于保证交易是管理人员在其人员在其授权范围内授权范围内授权下产生的；授权下产生的；n交易授权程序通常对交易授权程序通常对“存在或发生存在或发生”认定，以认定，以及某些及某些“估价或分摊估价或分摊”认定的控制风险有直接认定的控制风险有直接影响。影响。n 3充分的记录充分的记录n凭证和记录的控制程序会影响三种认定的控制凭证和记录的控制程序会影响三种认定的控制风险，即：风险，即：nA 适当保持的记录，如永续存货记录、应收账适当保持的记录，如永续存货记录、应收账款记录、职工工资收人记录，同款记录、职工工资收人记录，同“存在或发生存在或发生”认定有关。认定有关。nB 使用预先编号的凭证并按其编号进行会计处使用预先编号的凭证并按其编号进行会计处理，同理，同“完整性完整性”认定有关。认定有关。nC 原始凭证，提供了交易记录的金额，直接和原始凭证，提供了交易记录的金额，直接和“估价或分摊估价或分摊”认定相关认定相关n 4实物控制实物控制n实物控制包括为保证实物安全而采取的各项措实物控制包括为保证实物安全而采取的各项措施，也称资产和记录接近控制，包括：资产接施，也称资产和记录接近控制，包括：资产接触和记录使用触和记录使用nA A 主要是指限制接近资产和接近重要记录，以主要是指限制接近资产和接近重要记录，以保证资产和记录的安全。保证资产和记录的安全。nB B 保护资产和记录安全的最重要措施就是采用保护资产和记录安全的最重要措施就是采用实物防护措施。实物防护措施。nC C 同降低同降低“存在或发生存在或发生”、“完整性完整性”、“估估价或分摊价或分摊”认定的控制风险相关认定的控制风险相关 n5、职责划分、职责划分nA 职责划分的主要目的是为预防和及时发现在职责划分的主要目的是为预防和及时发现在执行所分配的职责时所产生的错误或舞弊行为。执行所分配的职责时所产生的错误或舞弊行为。nB 对于不相容的职责必须实行职责划分。对于不相容的职责必须实行职责划分。nC 小公司业主可通过担任一些特定的工作，来小公司业主可通过担任一些特定的工作，来实现职责的合理划分；或通过对员工的工作进实现职责的合理划分；或通过对员工的工作进行严密的监督与复核，以弥补职责划分的不足。行严密的监督与复核，以弥补职责划分的不足。nD 职责划分会影响三种认定的控制风险，比如：职责划分会影响三种认定的控制风险，比如：na 将资产保管同资产会计记录的掌管相分离，将资产保管同资产会计记录的掌管相分离，可以降低盗窃的风险，因为盗窃者将无法通过可以降低盗窃的风险，因为盗窃者将无法通过减少资产的记录来掩饰盗窃真相。减少资产的记录来掩饰盗窃真相。nb 将处理现金支出交易同调节银行账户分离，将处理现金支出交易同调节银行账户分离，可以降低不记录支票付款的风险，因为在调节可以降低不记录支票付款的风险，因为在调节过程中可发现这种风险。过程中可发现这种风险。nc 付款凭证的批准同支票签发相分离，可以降付款凭证的批准同支票签发相分离，可以降低支票书写出错的风险。低支票书写出错的风险。n四、信息和沟通n五、监督第三节第三节 内部控制的了解、评估和测试内部控制的了解、评估和测试n一、了解与记录内部控制n了解内部控制的四个步骤n第一步，识别识别需要降低哪些风险以预防财务报表中发生重大错报；n第二步，记录记录相关的内部控制；n第三步，评估评估控制的执行执行；n第四步，评估评估内部控制的设计设计n1、业务循环及其分类、业务循环及其分类n（1）如何划分业务循环，应视企业的业务性质和规）如何划分业务循环，应视企业的业务性质和规模而定。模而定。n（2）不论如何划分业务循环，注册会计师要将主要）不论如何划分业务循环，注册会计师要将主要精力精力集中在那些影响会计报表反映的内部控制程序上集中在那些影响会计报表反映的内部控制程序上。n（3）制造业可划分为下列业务循环：）制造业可划分为下列业务循环：n 销售与收款循环；销售与收款循环；n 购货与付款循环；购货与付款循环；n 生产循环；生产循环；n 筹资与投资循环；筹资与投资循环；n 投资与理财循环投资与理财循环 2、了解内部控制的程序n 询问询问被审计单位有关人员；被审计单位有关人员；n查阅查阅相关内部控制文件；相关内部控制文件；n检查检查内部控制生成的文件和记录；内部控制生成的文件和记录；n观察观察被审计单位的业务活动和内部控制的运被审计单位的业务活动和内部控制的运行情况；行情况；n选择若干具有代表性的交易和事项进行选择若干具有代表性的交易和事项进行穿行穿行测试。测试。二、记录对内部控制的了解和对控制风险的评价n（1）基本要求n当控制风险评价为最高水平时，只需记录这一评价结论；n当控制风险评价低于最高水平时，还必须记录评价的依据。n（2）记录方法n调查表（问卷）；调查表（问卷）；n文字表达；文字表达；n流程图；流程图；三、初步评价控制设计并初步评估控制n1对控制的初步评价对控制的初步评价n注册会计师对控制的评价结论可能是：注册会计师对控制的评价结论可能是：n（1）所设计的控制单独或连同其他控制）所设计的控制单独或连同其他控制能够能够防止或防止或发现并纠正重大错报，并得到发现并纠正重大错报，并得到执行执行；n（2）控制本身的）控制本身的设计设计是合理的，但没有得到执行；是合理的，但没有得到执行；n（3）控制本身的）控制本身的设计设计就是无效的或缺乏必要的控制。就是无效的或缺乏必要的控制。n由于对控制的了解和评价是在穿行测试完成后，但又由于对控制的了解和评价是在穿行测试完成后，但又在测试控制运行有效性之前进行的，因此，上述评价在测试控制运行有效性之前进行的，因此，上述评价结论只是结论只是初步结论初步结论，仍可能随，仍可能随控制测试后实施实质性控制测试后实施实质性程序的结果而发生变化。程序的结果而发生变化。2风险评估风险评估需考虑的因素n 账户特征及已识别的重大错报风险n如果已识别的重大错报风险水平为高相关的控制应有较高的敏感度，即在错报率较低的情况下也能防止或发现并纠正错报。n相反，如果已发现的重大错报风险水平为低相关的控制就无须具有像重大错报风险较高时那样的敏感性。四、实施控制测试n1.控制测试的概念控制测试的概念n 能够为获取内部控制有效运行提供证据的程能够为获取内部控制有效运行提供证据的程序。序。n2、控制测试的条件、控制测试的条件n 准备信赖内部控制；准备信赖内部控制；n 只有当信赖内部控制而减少的实质性测试只有当信赖内部控制而减少的实质性测试的工作量大于符合性测试的工作量时。的工作量大于符合性测试的工作量时。n3、控制测试的基本对象（内容）、控制测试的基本对象（内容）n 怎样应用的？怎样应用的？n 是否在年度中一贯应用？是否在年度中一贯应用？n 由谁来应用？由谁来应用？n如何运行？如何运行？n4、控制测试的时间、控制测试的时间n注册会计师可在审计注册会计师可在审计计划计划期间和期间和期中期中工作期间工作期间执行符合性测试执行符合性测试 n5、控制测试范围n（1）理论上，范围越大，证据越充分。n（2）实务中，范围并不是越大越好，而是要求注册会计师从最经济有效地实现审计目标的总体需要出发，合理地确定测试范围。n（3）范围直接受注册会计师计划控制风险估计水平的影响。计划控制风险估计水平低时比中等时需要更多的符合性测试证据。n（4）还应考虑所使用的以前年度审计获得的）还应考虑所使用的以前年度审计获得的有关控制有效性的证据的恰当性：有关控制有效性的证据的恰当性：n 这些证据所涉及的认定的重要性；这些证据所涉及的认定的重要性；n 以前年度审计中所评价的特定内部控制；以前年度审计中所评价的特定内部控制；n 所评价的政策和程序被适当设计和有效执所评价的政策和程序被适当设计和有效执行的程度；行的程度；n 用来作这些评价的符合性测试的结果。用来作这些评价的符合性测试的结果。n（5）使用以前年度证据的考虑）使用以前年度证据的考虑：n 执行符合性测试的时间间隔的长短执行符合性测试的时间间隔的长短n 内控设计或执行有无重大变化。内控设计或执行有无重大变化。n（6）可不进行符合性测试的情况：）可不进行符合性测试的情况：n 相关内部控制不存在；相关内部控制不存在；n 相关内部控制虽然存在，但通过了解，发相关内部控制虽然存在，但通过了解，发现其并未有效运行；现其并未有效运行；n 符合性测试的工作量可能大于进行符合性符合性测试的工作量可能大于进行符合性测试所减少的实质性测试的工作量。测试所减少的实质性测试的工作量。五.控制风险评价n如果很多认定或者所有的认定的控制风险，如果很多认定或者所有的认定的控制风险，都被评价为高水平，注册会计师就要研究是否都被评价为高水平，注册会计师就要研究是否应进一步对被审计单位的会计报表进行审计。应进一步对被审计单位的会计报表进行审计。n（1）评价为高水平的确认事项：）评价为高水平的确认事项：n控制政策和程序与认定不相关；控制政策和程序与认定不相关；n控制政策和程序无效；控制政策和程序无效；n取得证据来评价控制政策和程序显得不经济。取得证据来评价控制政策和程序显得不经济。n（2）评价为低水平的确认事项：）评价为低水平的确认事项：n控制政策和程序与认定相关；控制政策和程序与认定相关；n通过控制测试已获得证据证明控制有效通过控制测试已获得证据证明控制有效 评价控制的设计控制能否有效地防止或发现并纠正重大错报？控制是否得到执行？控制是否存在以及是否得到被审计单位使用？记录发现和结论控制中存在重大弱点向管理层和治理层报告评估风险并针对评估的风险设计适当的审计方法是否是否图图7-17-1：内部控制了解流程：内部控制了解流程