内部控制五要素.pptx

《内部控制五要素.pptx》由会员分享，可在线阅读，更多相关《内部控制五要素.pptx（58页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、说明 对内部控制的解析，资料来源如下：1中国注册会计师协会编.2012.第11章：风险评估.审计, pp.203-249, 经济科学出版社.2Arens, Alvin A., Elder, Randal J., Beasley, Mark S.2009,第10章：404条款下的内部控制审计与控制风险,审计学:一种整合方法(第12版),pp.234-265,中国人民大学出版社, 谢盛纹和张龙平翻译.3COSO.2011. Internal control-Integrated Framework定义 内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层

2、、管理层和其他人员设计与执行的政策及程序。内涵 可以从以下几方面理解内部控制。 1内部控制的目标是合理保证：(1)财务报告的可靠性，这一目标与管理层履行财务报告编制责任密切相关；(2)经营的效率和效果，即经济有效地使用企业资源，以最优方式实现企业的目标；(3)遵守适用的法律法规的要求，即在法律法规的框架下从事经营活动。 内涵 2设计和实施内部控制的责任主体是治理层、管理层和其他人员，组织中的每一个人都对内部控制负有责任。 3实现内部控制目标的手段是设计和执行控制政策及程序。 内部控制包括下列要素：(1)控制环境；(2)风险评估过程；(3)与财务报告相关的信息系统和沟通；(4)控制活动；(5)对

3、控制的监督。内部控制包括上述五项要素；控制包括上述一项或多项要素，或要素表现出的各个方面内部控制五要素内部控制目的与要素内部控制五要素之一：控制环境 (1) 控制环境的涵义 控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。良好的控制环境是实施有效内部控制的基础。防止或发现并纠正舞弊和错误是被审计单位治理层和管理层的责任。内部控制五要素之一：控制环境 (二)对诚信和道德价值观念的沟通与落实 诚信和道德价值观念是控制环境的道要组成部分，影响到重要业务流程的设计和运行。负责创建、管理和监控内部控制的人员的。被审计单位是否存在道德行为规范，以及这些规范如何在被

4、审计单位内部得到沟通和落实，决定了是否能产生诚信和道德的行为。内部控制五要素之一：控制环境 对诚信和道德价值观念的沟通与落实，既包括管理层如何处理不诚实、非法或不道德行为，也包括在被审计单位内部，通过行为规范以及高层管理人员的身体力行，对诚信和道德价值观念的营造和保持。 例如，管理层在行为规范中指出，员工不允许从供货商那里获得超过一定金额的礼品，超过部分都须报告和退回。尽管该行为规范本身并不能绝对保证员工都照此执行，但至少意味着管理层已对此进行明示，它连同其他程序，可能构成一个有效的预防机制。内部控制五要素之一：控制环境 注册会计师在了解和评估被审计单位诚信和道德价值观念的沟通与落实时，考虑的

5、主要因素可能包括：(1)被审计单位是否有书面的行为规范并向所有员工传达；(2)被审计单位的企业文化是否强调诚信和道德价值观念的重要性；(3)管理层是否身体力行，高级管理人员是否起表率作用；(4)对违反有关政策和行为规范的情况，管理层是否采取适当的惩罚措施。内部控制五要素之一：控制环境 （三）对胜任能力的重视 胜任能力是指具备完成某一职位的工作所应有的知识和能力。管理层对胜任能力的重视包括对于特定工作所需的胜任能力水平的设定，以及对达到该水平所必需的知识和能力的要求。注册会计师应当考虑主要管理人员和其他相关人员是否能够胜任承担的工作和职责，例如，财务人员是否对编报财务报表所适用的会计准则和相关会

6、计制度有足够的了解并能正确运用。内部控制五要素之一：控制环境 注册会计师在就被审计单位对胜任能力的重视情况进行了解和评估时，考虑的主要因素可能包括： 1)财务人员以及信息管理人员是否具备与被审计单位业务性质和复杂程度相称的足够的胜任能力和培训，在发生错误时，是否通过调整人员或系统来加以处理； 2管理层是否配备足够的财务人员以适应业务发展和有关方面的需要； 3财务人员是否具备理解和运用会计准则所需的技能。内部控制五要素之一：控制环境 (四)治理层的参与程度 被审计单位的控制环境在很大程度上受治理层的影响。治理层的职责应在被审计单位的章程和政策中予以规定。治理层（董事会）通常通过其自身的活动，并在

7、审计委员会或类似机构的支持下，监督被审计单位的财务报告政策和程序。因此，董事会、审计委员会或类似机构应关注被审计单位的财务报告，并监督被审计单位的会计政策以及内部、外部的审计工作和结果。治理层的职责还包括监督用于复核内部控制有效性的政策和程序设计是否合理，执行是否有效。内部控制五要素之一：控制环境 治理层对控制环境影响的要素有：治理层相对于管理层的独立性、成员的经验和品德、治理层参与被审计单位经营的程度和收到的信息及其对经营活动的详细检查、治理层采取措施的适当性，包括提出问题的难度和对问题的跟进程度，以及治理层与内部审计人员和注册会计师的互动等。内部控制五要素之一：控制环境 注册会计师在对被审

8、计单位治理层的参与程度进行了解和评估时，考虑的主要因素可能包括： 1董事会是否建立了审计委员会或类似机构； 2董事会、审计委员会或类似机构是否与内部审计人员以及注册会计师有联系和沟通，联系和沟通的性质以及频率是否与被审计单位的规模和业务复杂程度相匹配； 3董事会、审计委员会或类似机构的成员是否具备适当的经验和资历；内部控制五要素之一：控制环境 4董事会、审计委员会或类似机构是否独立于管理层； 5审计委员会或类似机构会议的数量和时间是否与被审计单位的规模和业务复杂程度相匹配； 6董事会、审计委员会或类似机构是否充分地参与了监督编制财务报告的过程； 7董事会、审计委员会或类似机构是否对经营风险的监

9、控有足够的关注，进而影响被审计单位和管理层的风险评估过程； 8董事会成员是否保持相对的稳定性。内部控制五要素之一：控制环境 (五)管理层的理念和经营风格 管理层负责企业的运作以及经营策略和程序的制定、执行与监督。控制环境的每个方面在很大程度上都受管现层采取的措施和做出决策的影响，或在某些情况下受管理层不采取某些措施或不做出某种决策的影响。在有效的控制环境中，管理层的理念和经营风格可以创造一个积极的氛围，促进业务流程和内部控制的有效运行，同时创造一个减少错报发生可能性的环境。 在管理层以一个或少数几个人为主时，管理层的理念和经营风格对内部控制的影响尤为突出。内部控制五要素之一：控制环境 注册会计

10、师在了解和评估被审计单位管理层的理念和经营风格时，考虑的主要因素可能包括： 1管理层是否对内部控制，包括信息技术的控制，给予了适当的关注； 2管理层是否由一个或几个人所控制，董事会、审计委员会或类似机构对其是否实施了有效监督；内部控制五要素之一：控制环境 3管理层在承担和监控经营风险方面是风险偏好者还是风险规避者； 4管理层在选择会计政策和做出会计估计时是倾向于激进还是保守； 5管理层对于信息管理人员以及财会人员是否给予了适当关注； 6对于重大的内部控制和会计事项，管理层是否征询注册会计师的意见，或者经常在这些方面与注册会计师存在不同意见。内部控制五要素之一：控制环境 (六)组织结构及职权与责

11、任的分配 被审计单位的组织结构为计划、运作、控制及监督经营活动提供了一个整体框架。通过集权或分权决策，可在不同部门间进行适当的职责划分，建立适当层次的报告体系。组织结构将影响权利、责任和工作任务在组织成员中的分配。被审计单位的组织结构在一定程度上取决于被审计单位的规模和经营活动的性质。内部控制五要素之一：控制环境 注册会计师在对被审计单位组织结构和职权与责任的分配进行了解和评估时，考虑的主要因素可能包括： 1在被审计单位内部是否有明确的职责划分，是否将业务授权、业务记录、资产保管和维护以及业务执行的责任尽可能地分离； 2数据的所有权划分是否合理； 3是否已针对授权交易建立适当的政策和程序。内部

12、控制五要素之一：控制环境 (七)人力资源政策与实务 政策与程序（包括内部控制）的有效性，通常取决于执行人。因此，被审计单位员工的能力与诚信是控制环境中不可缺少的因素。人力资源政策与实务涉及招聘、培训、考核、咨询、晋升和薪酬等方面。被审计单位是否有能力雇用并保留一定数量既有能力又有责任心的员工在很大程度上取决于其人事政策与实务。内部控制五要素之一：控制环境 注册会计师在对被审计单位人力资源政策与实务进行了解和评估时，考虑的主要因素可能包括： 1被审计单位在招聘、培训，考核、咨询、晋升、薪酬、补救措施等方面是否都有适当的政策和实务（特别是在会计、财务和信息系统方面）； 2是否有书面的员工岗位职责手

13、册，或者在没有书面文件的情况下，对于工作职责和期望是否做了适当的沟通和交流； 3人力资源政策与实务是否清晰，并且定期发布和更新； 4是否设定适当的程序，对分散在各地区和海外的经营人员建立和沟通人力资源政策与程序。内部控制五要素之一：风险评估 （一）被审计单位风险评估过程的含义 任何经济组织在经营活动中都会面临各种各样的风险，风险对其生存和竞争能力产生影响。很多风险并不为经济组织所控制，但管理层应当确定可以承受的风险水平，识别这些风险并采取一定的应对措施。内部控制五要素之一：风险评估 风险评估过程的作用是识别、评估和管理影响被审计单位实现经营目标能力的各种风险。而针对财务报告目标的风险评估过程则

14、包括识别与财务报表相关的经营风险，评估风险的重大性和发生的可能性，以及采取措施管理这些风险。 例如，风险评估可能会涉及被审计单位如何考虑对某些交易未予记录的可能性，或者识别和分析财务报告中的重大会计估计发生错报的可能性。与财务报告相关的风险也可能与特定事项和交易有关。内部控制五要素之一：风险评估 被审计单位的风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。 注册会计师应当了解被审计单位的风险评估过程和结果。 可能产生风险的事项和情形包括： 1监管及经营环境的变化。监管和经营环境的变化会导致竞争压力的变化以及重大的相关风险。 2新员工的加入。新员工可能对内部控制有不同

15、的认识和关注点。内部控制五要素之一：风险评估 3新信息系统的使用或对原系统进行升级。信息系统的重大变化会改变与内部控制相关的风险。 4业务快速发展。快速的业务扩张可能会使内部控制难以应对，从而增加内部控制失效的可能性。 5新技术。将新技术运用于生产过程和信息系统可能改变与内部控制相关的风险。 6新生产型号、产品和业务活动。进入新的业务领域和发生新的交易可能带来新的与内部控制相关的风险。内部控制五要素之一：风险评估 7企业重组。重组可能带来裁员以及管理职责的重新划分，将影响与内部控制相关的风险。 8发展海外经营。海外扩张或收购会带来新的并且往往是特别的风险，进而可能影响内部控制，如外币交易的风险

16、。 9新的会计准则。采用新的或变化了的会计准则可能会增大财务报告发生重大错报的风险。内部控制五要素之一：风险评估 （二）对风险评估过程的了解 在评价被审计单位风险评估过程的设计和执行时，注册会计师应当确定管理层如何识别与财务报告相关的经营风险，如何估计该风险的重要性，如何评估风险发生的可能性，以及如何采取措施管理这些风险。如果被审计单位的风险评估过程符合其具体情况，了解被审计单位的风险评估过程和结果有助于注册会计师识别财务报表的重大错报风险。内部控制五要素之一：风险评估 注册会计师在对被审计单位整体层面的风险评估过程进行了解和评估时，考虑的主要因素可能包括： 1被审计单位是否已建立并沟通其整体

17、目标，并辅以具体策略和业务流程层面的计划； 2被审计单位是否已建立风险评估过程，包括识别风险、估计风险的重大性、评估风险发生的可能性以及确定需要采取的应对措施； 3被审计单位是否已建立某种机制，识别和应对可能对被审计单位产生重大且普遍影响的变化；内部控制五要素之一：风险评估 4会计部门是否建立了某种流程，以识别会计准则的重大变化； 5当被审计单位业务操作发生变化并影响交易记录的流程时，是否存在沟通渠道以通知会计部门； 6风险管理部门是否建立了某种流程，以识别经营环境包括监管环境发生的重大变化。注册会计师可以通过了解被审计单位及其环境的其他方面信息，评价被审计单位风险评估过程的有效性内部控制五要

18、素之一：信息系统与沟通 （一）与财务报告相关的信息系统的含义 与财务报告相关的信息系统，包括可以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。交易可能通过人工或自动化程序生成。记录包括识别和收集与交易、事项有关的信息。处理包括编辑、核对、计量、估价、汇总和调节活动，可能由人工或自动化程序来执行。报告是指用电子或书面形式编制财务报告和其他信息，供被审计单位用于衡量和考核财务及其他方面的业绩。内部控制五要素之一：信息系统与沟通。业务流程是指被审计单位开发、采购、生产、销售、发送产品和提供服务、保证遵守法律法规、记录信息等一系列活动。与财务报告相关

19、的信息系统所生成信息的质量，对管理层能否做出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。内部控制五要素之一：信息系统与沟通 与财务报告相关的信息系统通常包括下列职能： 1识别与记录所有的有效交易； 2及时、详细地描述交易，以便在财务报告中对交易做出怡当分类； 3恰当计量交易，以便在财务报告中对交易的金额做出准确记录；内部控制五要素之一：信息系统与沟通 4恰当确定交易生成的会计期间； 5在财务报表中恰当列报交易。 （二）对与财务报告相关的信息系统的了解 注册会计师应当从下列方面了解与财务报告相关的信息系统（包括相关业务流程）： 1在被审计单位经营过程中，对财务报表具有重大影响的各类交易

20、； 2在信息技术和人工系统中，被审计单位的交易生成、记录、处理、必要的更正、结转至总账以及在财务报表中报告的程序；内部控制五要素之一：信息系统与沟通 3用以生成、记录、处理和报告（包括纠正不正确的信息以及信息如何结转至总账）交易的会计记录、支持性信息和财务报表中的特定账户； 4被审计单位的信息系统如何获取除交易以外的对财务报表重大的事项和情况； 5用于编制被审计单位财务报表（包括做出的重大会计估计和披露）的财务报告过程； 6与会计分录相关的控制，这些分录包括用以记录非经常性的、异常的交易或调整的非标准会计分录。内部控制五要素之一：信息系统与沟通 （三）与财务报告相关的沟通的含义 与财务报告相关

21、的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责，员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。 公开的沟通渠道有助于确保例外情况得到报告和处理。沟通可以采用政策手册、会计和财务报告手册及备忘录等形式进行，也可以通过发送电子邮件、口头沟通和管理层的行动来进行。内部控制五要素之一：信息系统与沟通 （四）对与财务报告相关的沟通的了解 注册会计师应当了解被审计单位内部如何对财务报告的岗位职责以及与财务报告相关的重大事项进行沟通。注册会计师还应当了解管理层与治理层（特别是审计委员会之间的沟通，以及被审计单位与外部（包括与监管部门）的沟通。具体包括： 1管理层就员工的职

22、责和控制责任是否进行了有效沟通； 2针对可疑的不恰当事项和行为是否建立了沟通渠道；内部控制五要素之一：信息系统与沟通 3组织内部沟通的充分性是否能够使人员有效地履行职责； 4对于与客户、供应商、监管者和其他外部人士的沟通，管理层是否及时采取适当的进一步行动； 5被审计单位是否受到某些监管机构发布的监管要求的约束； 6外部人士如客户和供应商在多大程度上获知被审计单位的行为守则。内部控制五要素之一：控制活动 （一）相关的控制活动的含义 控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动：内部控制五要素之一：控制活动 1。注册会计师

23、应当了解与授权有关的控制活动，包括一般授权和特别授权。 授权的目的在于保证交易在管理层授权范围内进行。一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。特别授权是指管理层针对特定类别的交易或活动逐一设置的授权，如重大资本支出和股票发行等。特别授权也可能用于超过一般授权限制的常规交易。例如，因某些特别原因，同意对某个不符合一般信用条件的客户赊销商品。内部控制五要素之一：控制活动 2。注册会计师应当了解与业绩评价相关的控制活动，主要包括被审计单位分析评价实际业绩与预算（或预测、前期业绩）的差异，综合分析财务数据与经营数据的内在关系，将内部数据与外部信息来源相比较，评价职能部

24、门、分支机构或项目活动的业绩（如银行客户信贷经理复核各分行、地区和各种贷款类型的审批和收回），以及对发现的异常差异或关系采取必要的调查与纠正措施。内部控制五要素之一：控制活动 3。注册会计师应当了解与信息处理有关的控制活动，包括信息技术的一般控制和应用控制。 被审计单位通常执行各种措施，检查各种类型信息处理环境下的交易的准确性、完整性和授权。信息处理控制可以是人工的、自动化的，或是基于自动流程的人工控制。信息处理控制分为两类，即信息技术一般控制和应用控制。内部控制五要素之一：控制活动 5。注册会计师应当了解职责分离，主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分屺给不同员工

25、，以防范同一员工在履行多项职责时可能发生的舞弊或错误。当信息技术运用于信息系统时，职责分离可以通过设置安全控制来实现。内部控制五要素之一：控制活动 （二）对控制活动的了解 在了解控制活动时，注册会计师应当重点考虑一项控制活动单独或连同其他控制话动，是否能够以及如何防止或发现并纠正各类交易、账户余额和披露存在的重大错报。注册会计师的工作重点是识别和了解针对重大错报可能发生的领域的控制活动。如果多项控制活动能够实现同一目标，注册会计师不必了解与该目标相关的每项控制活动。内部控制五要素之一：控制活动 注册会计师对被审计单位整体层面的控制活动进行的了解和评估，主要是针对被审计单位的一般控制活动，特别是

26、信息技术一般控制。在了解和评估一般控制活动时考虑的主要因素可能包括： 1被审计单位的主要经营活动是否都有必要的控制政策和程序； 2管理层在预算、利润和其他财务及经营业绩方面是否都有清晰的目标，在被审计单位内部，是否对这些目标都加以清晰的记录和沟通，并且积极地对其进行监控；内部控制五要素之一：控制活动 3是否存在计划和报告系统，以识别与目标业绩的差异，并向适当层次的管理层报告该差异； 4是否由适当层次的管理层对差异进行调查，并及时采取适当的纠正措施； 5不同人员的职责应在何种程度上相分离，以降低舞弊和不当行为发生的风险；内部控制五要素之一：控制活动 6会计系统中的数据是否与实物资产定期核对； 7

27、是否建立了适当的保护措施， 以防止未经营授权接触文件、记录和资产； 8是否存在信息安全职能部门负责监控信息安全政策和程序。内部控制五要素之一：监督 （一）对控制的监督的含义 管理层的重要职责之一就是建立和维护控制并保证其持续有效运行，对控制的监督可以实现这一目标。监督是由适当的人员，在适当、及时的基础上，评估控制的设计和运行情况的过程。对控制的监督涉及及时评估控制的有效性挂采取必要的补救措施。内部控制五要素之一：监督 例如，管理层对是否定期编制银行存款余额调节表进行复核，内部审计人员评价销售人员是否遵守公司关于销售合同条款的政策，法律部门定期监控公司的道德规范和商务行为准则是否得以遵循等。监督

28、对控制的持续有效运行十分重要。假如没有对银行存款余额调节表是否得到及时和准确的编制进行监督，该项控制可能无法得到持续的执行内部控制五要素之一：监督 通常，管理层通过持续的监督活动、单独的评价活动或两者相结合实现对控制的监督。持续的监督活动通常贯穿于被审计单位日常重复的活动中，包括常规管理和监督工作。 例如，管理层在履行其日常管理活动时，取得内部控制持续发挥功能的信息。当业务报告、财务报告与他们获取的信息有较大差异时，会对有重大差异的报告提出疑问，并做必要的追踪调查和处理。内部控制五要素之一：监督 被审计单位可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价，以找出内部

29、控制的优点和不足，并提出改进建议。关于内部审计人员在内部控制方面的职责，被审计单位也可能利用与外部有关各方沟通或交流所获取的信息监督相关的控制活动。内部控制五要素之一：监督 （二）了解对内部控制的监督 注册会计师在对被审计单位整体层面的监督进行了解和评估时，考虑的主要因素可能包括： 1被审计单位是否定期评价内部控制。 2被审计单位人员在履行正常职责时，能够在多大程度上获得内部控制是否有效运行的证据。 3与外部的沟通能够在多大程度上证实内部产生的信息或者指出存在的问题。内部控制五要素之一：监督 4管理层是否采纳内部审计人员和注册会计师有关内部控制的建议。 5管理层是否及时纠正控制运行中的偏差。

30、6管理层根据监管机构的报告及建议是否及时采取纠正措施。内部控制五要素之一：监督 7是否存在协助管理层监督内部控制的职能部门（如内部审计部门）。如存在，对内部审计职能需进一步考虑的因索包括： （1）独立性和权威性； （2）向谁报告，例如，直接向董事会、审计委员会或类似机构报告，对接触董事会、审计委员会或类似机构是否有限制： （3）是否有足够的人员、培训和特殊技能，例如，对于复杂的高度自动化的环境应使用有经验的信息系统审计人员；内部控制五要素之一：监督 （4）是否坚持适用的专业准则； （5）活动的范围，例如，财务审计和经营审计工作的平衡，在分散经营情况下，内部审计的覆盖程度和轮换程度； （6）计划、风险评估和执行工作的记录及形成结论的适当性；（7）是否不承担经营管理责任。