8第八章内部控制与重大错报风险评估kzx.pptx

《8第八章内部控制与重大错报风险评估kzx.pptx》由会员分享，可在线阅读，更多相关《8第八章内部控制与重大错报风险评估kzx.pptx（52页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1 1 第7章 内部控制系统及其评审 第一节 内部控制v21世纪会计学系列教材 第一节 内部控制2 2一、内部控制概念内部控制：是由企业董事会、监事会、经理层和全体员工实施的为了实现控制目标的过程。”3 3二、内部控制的目标1.确保企业战略的实现2.运营的效果和效率3.财务报告的可靠性4.资产的安全、完整5.符合相关的法律和法规4 4三、内部控制的要素1.控制环境2.风险评估3.控制活动4.信息与沟通5.监控5 56 6内部控制的构成要素（一）内部环境 1.风险管理哲学风险管理哲学是一整套共同拥有的信念和态度，它以企业如何考虑它所做的每一件事为特征，范围涉及从战略的制定、修订到企业的日常经营活

2、动。在对待风险管理的态度上，已经成功接受重大风险的公司与由于冒险进入危险区域而已经面临经济困难和被迫调整政策的企业有显著的不同。让企业所有员工了解企业的风险管理理念有利于提高员工确认和有效管理风险的能力。管理当局在经营中表现的管理哲学理念及行动能清楚地把内部控制是否重要的信号传递给员工，从而对企业的控制环境产生深刻的影响。7 7内部控制的构成要素 2.风险偏好 风险偏好是企业在追求价值过程中所愿意接受的风险数量和水平，反映了企业的风险管理哲学，反过来也影响企业的文化和经营方式。3.董事会 企业的董事会是内部环境的重要组成部分，它会影响其他内部环境的构成要素。4.诚信原则和道德价值观 诚信原则和

3、道德价值观这一因素是指企业道德和行为标准的确立及其传递给企业中各层次的人员的过程。5.培养和评定员工的胜任能力 能力是完成工作范围内的任务所需要的知识和技能。8 8内部控制的构成要素 6.组织结构企业的组织结构确定了现有的责任和权力的等级及划分，为计划、执行、控制和监督其活动提供了框架。7.权力和责任的分配方法 管理当局要考虑如何以适当的方式将对责权的分配传达给各层次员工。8.人力资源政策及实务招聘、评估、激励员工的政策、程序和方法是控制环境的重要组成部分。9 9内部控制的构成要素（二）风险评估 管理者应从两个方面对风险进行评估风险发生的可能性和影响 风险发生的可能性是指某一特定事项发生的可能

4、性，影响则是指事项的发生将会带来的影响。一个企业风险评估的方法通常是定量方法和定性分析技术的组合。在衡量目标的实现程度时，管理者经常使用业绩计量指标。当考虑某一风险对实现某一特定目标的潜在影响时，使用这些计量指标同样有效。通常一个潜在事项结果是一个可能的范围值，管理者应将其作为制定风险反应方案的基础。10 10内部控制的构成要素管理者通常只趋于关注中短期的风险，但风险应在企业战略和目标的前提下进行评估。管理当局应在固有风险和剩余风险两个层次的基础上对风险进行评估。11 11内部控制的构成要素（三）控制活动控制活动是指为确保风险应对方案得到正确执行的相关政策和程序。由于企业的控制活动与企业的信息

5、系统广泛相关，因此，应对企业所有的重要系统进行控制。一般控制包括对信息技术管理、信息技术基础设施、保密管理和软件的购买、开发和维护的控制。应用控制的目的是保证数据获得和业务处理过程的完整性、精确性、授权和有效性。12 12内部控制的构成要素（四）信息与沟通 来自企业内部和外部的相关信息必须以一定的格式和时间间隔进行确认、获取和传递，以保证企业的员工能够执行各自的职责。企业内部各个管理层都需要信息来帮助识别、评估风险和应对风险，以及进行经营并实现企业的目标。良好的信息系统必须包含以下基本要素：（1）信息的确认。（2）信息的获取。（3）信息的处理。（4）信息的报告。13 13内部控制的构成要素信息

6、是沟通的基础，沟通则必须满足各部门和个人的要求，以使他们能够有效地履行其职责。管理者应提供特定的或直接的沟通渠道以说明对员工的行为预期和各自的职责，并且应包括对企业风险管理原理和方法以及员工权责分配的清晰的说明。沟通渠道应该保证企业员工能够在各业务部门、业务流程或职能部门间进行风险信息的沟通。14 14内部控制的构成要素（五）监控对企业风险管理的监控是一个评估风险管理要素的内容、风险管理的运行，以及一段时期的执行质量的过程。企业可以通过两种方式对风险管理进行监控：持续监控和个别评估。持续监控是对企业日常的、重复的经营活动的监控，是在实时的基础上进行的，是对不断变化的环境的动态反应，应在企业内部

7、彻底地贯彻和执行。个别评估的频率依企业管理者的主观判断而定。15 15四、内部控制的内容1.合规、合法性控制2.授权、分权控制3.不相容职务控制4.业务程序标准化控制5.复查核对控制6.人员素质控制16 16五、内部控制系统的分类1.按要素分：内部环境风险评估控制活动信息与沟通内部监督17 172.按工作范围分：内部管理控制系统内部会计控制系统18 183.按建立的目的分：保护财产物资的内部控制系统保证会计资料可靠性和正确性的内部控制系统保证经济活动合法性和效益性的内部控制系统19 194.按控制方式分：预防性内部控制系统察觉性内部控制系统20 20第二节 财务报告内部控制一、含义由公司的首席

8、执行官、首席财务官或者公司行驶类似职权的人员设计或监督的，受到公司的董事会、管理层和其他人员影响的，为财务报告的可靠性和满足外部使用的财务报告编制的符合公认会计原则提供合理保证的控制程序。21 21 1.保持详细程度合理的会计记录，准确公允地反映资产的交易和处置情况 2.为下列事项提供合理的保证：公司对发生的交易进行必要的记录，从而使财务报告的编制满足公认会计原则的要求；公司所有的收支活动经过管理层和董事会的合理授权。3.为防止或及时发现公司资产未经授权的取得、使用和处置提供合理保证，否则对财务报告产生重要影响。22 22二、内部控制要素与财务报告认定的关系 1.管理当局的认定：存在或发生完整

9、性权利和义务估价和分摊表达与披露23 2324 24 2.控制要素与财务报告认定的关系 内部控制环境与财务报告认定的关系：管理层的品格和道德 风险评估与财务报告认定的关系：客观地评估面临的风险 控制活动与财务报告认定的关系 信息与沟通与财务报告认定的关系 完整性 分类和记录 估价认定的实现、表达与披露、权利和义务认定的实现。加强财务报告各个认定的可靠性 内部监督与财务报告认定的关系：影响到各个认定的实现25 25图8-1 内部控制五要素之间的逻辑关系内部控制的固有局限性 内部控制的固有局限性之所以存在，是基于以下原因：（1）内部控制的设计和运行受制于成本效益原则，因此在实务中，管理当局采用的内

10、部控制往往不是最理想的；（2）内部控制的设计一般仅针对常规交易与业务进行，对于非常规交易或业务，现有的内部控制往往无法起到约束控制作用；（3）即使企业管理当局设计出一个理想的内部控制制度，这一制度也可能因为执行制度的人员粗心大意、判断失误或对管理当局指令的误解而失效；（4）内部控制可能因为执行人员滥用职权，超越内控，或因两个不同岗位职责的人员相互勾结、串通而失效；（5）企业面临的经营环境或业务性质的改变会让现有的内部控制不再适合，从而削弱内部控制的作用，甚至引起内控失效。26 26对审计人员来说，要特别关注企业内部控制在以下几个方面的局限性：（1）共谋而避开控制。（2）管理当局超越控制。（3）

11、系统暂时失效。内部控制的暂时性失效也可能发生于环境发生变化，而控制没有相应及时变化的情况下。27 27第三节内部控制的描述文字表述法调查表法流程图法28 28第四节内部控制评价企业董事会或类似权力机构对内制的有效性进行全面评价、形成评价结论、出具评价报告的过程。评价内容：内部环境评价风险评估机制评价控制活动评价信息与沟通评价内部监督评价29 29第二节 重大错报风险评估30 30重大错报风险的评估过程重大错报风险的评估过程是识别和评估财务报表层次以及各类交易、账户余额、列报与披露认定层次的重大错报风险的过程。重大错报风险的评估是以了解被审计单位及其环境（包括内部控制）为基础的，具体评估过程分为

12、三步：首先，通过风险评估程序，了解被审计单位及其环境，目的是初步评估财务报表总体层次和认定层次的重大错报风险；31 31其次，如果审计人员通过对认定层次重大错报风险的评估认为预期控制的运行是有效的，则必须执行控制测试，目的是测试内部控制在防止、发现和纠正认定层次重大错报方面的有效性，并据此进一步评估认定层次的重大错报风险，以支持初步评估结果；32 32重大错报风险的评估过程最后，实施实质性测试，目的是检查认定层次的重大错报风险。图8-3显示了重大错报风险评价在整个审计过程中所处的位置。图8-4概括了重大错报风险的评价过程。33 33重大错报风险的评估过程34 34图8-3 重大错报风险在审计流

13、程中的位置重大错报风险的评估过程35 35图8-4 重大错报风险评价流程图重大错报风险的评估过程（一）执行风险评估程序评估财务报表层次和认定层次重大错报风险 1了解被审计单位及其环境并初步评估重大错报风险审计人员应当利用实施风险评估程序获取的信息，包括在评价控制设计和确定其是否得到执行时获取的审计证据，作为支持风险评估结果的审计证据，再根据风险评估结果，确定实施进一步审计程序的性质、时间和范围。在评估重大错报风险时，审计人员应当将所了解的控制与特定认定相联系。2评估过程中需要特别考虑的重大风险重大错报风险的评估是一种判断工作，审计人员应当运用职业判断，确定识别的风险哪些是需要特别考虑的重大风险

14、（以下简称特别风险）。特别风险常与重大的非常规交易和判断事项有关。对于特别风险，审计人员应当评价相关控制的设计情况，并确定其是否已经得到执行。36 36重大错报风险的评估过程 3仅通过实质性程序无法应对的重大错报风险（二）执行控制测试进一步评估认定层次的重大错报风险只有存在下列情形时，审计人员才应当实施控制测试，再次评估认定层次的重大错报风险：（1）在评估认定层次重大错报风险时，预期控制的运行是有效的；（2）仅实施实质性程序不足以提供认定层次充分、适当的审计证据。1了解内部控制37 37重大错报风险的评估过程审计人员在了解被审计单位内部控制的过程中，可以对内部控制的某些方面进行评价，包括：（1

15、）管理当局对内部控制的重视程度；（2）内部审计人员的胜任能力及其客观性；（3）不相容职责的分离；（4）执行会计职能和控制程序人员的胜任能力；（5）资产和权力的限制性接触。审计人员在了解内部控制时，应当合理地利用以往的审计经验，通常可实施以下程序：（1）询问被审计单位有关人员。审计人员通过复核以前与被审计单位交往的情况，可以了解以前审计时发现的错报或漏报种类及其原因。（2）检查内部控制生成的文件和记录。38 38重大错报风险的评估过程（3）观察被审计单位的业务活动。（4）选择若干具有代表性的交易或事项进行“穿行测试”。2记录所了解的情况（1）内部控制备忘录。（2）内部控制问卷调查表和核对表。（3

16、）内部控制流程图。内部控制流程图是审计人员用符号和图形来表示被审计单位经济业务和文件凭证在组织内部有序流动的图表，它为审计人员掌握交易或事项处理的本质特征以及确定各交易循环的控制强弱点提供了一种快速而简便的方法。图8-7中分别以S-n 和W-n表示内部控制的强点和弱点。图8-8对图8-7中指出的内部控制的强点和弱点进行了描述。39 39重大错报风险的评估过程40 40重大错报风险的评估过程41 41 说 明强点S1 货物出库前销售单中注明了赊销信用的批准S2 提货单证明货物已经运出后才可以开销售发票并寄给顾客S3 诸如销售单、销售发票和提货单等记录都应事先编号弱点W1 没有对顾客的订单进行复核

17、和批准的程序W2 没有处理缺货的正式程序；也就是说，货物是否无法满足订 单，是否告知顾客，是否先提供部分货物等的处理没有规定W3 在寄给顾客之前没有对销售发票的合理价格、数量以及金额 进行复核 图8-8 对内部控制流程图中控制强点与弱点的说明 重大错报风险的评估过程流程图的绘制程序如下：确定流程图特定符号及其含义。图8-9展示了一些标准的流程图标识。选定流程图控制主线。决定控制点。注明每张文件凭证的流向。选择流程图绘制方式。附加注释。在具体绘制流程图的过程中还应当遵循某些规则，以促成流程图的一致性：应当以标准的流程图标识来代表各种过程、决策、记录以及流向；流程图的走向应当从左到右、从上到下；文

18、字说明应尽量少。42 42重大错报风险的评估过程43 43图8-9 标准的流程图标识 重大错报风险的评估过程以上三种记录对内部控制的了解的方法各有优缺点，它们之间并非相互排斥，而是相互依赖和相互补充的。（三）进一步评价认定层次的重大错报风险并记录结论认定层次重大错报风险的进一步评价是指审计人员据以确定财务报表认定所接受的检查风险水平的重大错报风险水平。1通过控制测试降低认定层次重大错报风险的估计水平控制测试有四个关注点：（1）该项内部控制是否有切实应用？（2）该项内部控制是否在被审计期间内一贯地应用？（3）该项内部控制由谁来应用？（4）该项内部控制以何种方式运行？44 44重大错报风险的评估过

19、程控制测试要求审计人员确定给定交易循环的相关的内部控制，并在会计期间内进行检查，测试的目的是确定内部控制在会计期间内是否有效运行。控制测试包括：（1）重新执行相关控制程序（2）观察与内部控制有关的活动（3）相关记录的检查与测试 2.进一步评价认定层次的重大错报风险并记录结论 审计人员执行完控制测试后，应根据控制测试的结果重新评价相关认定的重大错报风险，并将评价的过程和结论记录在工作底稿中。45 45将重大错报风险的评价结果纳入审计之中（一）审计风险评价总结图8-10概括了重大错报风险评价的全过程。在图8-10风险评价总结中应注意的一点是管理当局的态度和品质对财务报表层次和认定层次重大错报风险的

20、不同影响。46 4647 47图8-10 审计风险评价总结 将重大错报风险的评价结果纳入审计之中（二）在风险分析的基础上调整重要性水平（1）如果在对行业与业务进行了研究，应用了分析程序和舞弊评价后，审计人员怀疑公司高估盈余，则应当降低单项重要性水平，并更加重视获取外部证据而不是内部证据。（2）如果交易循环的内部控制较弱且预期将发生大量的差错，应当降低汇总重要性水平，即在审计工作底稿中记录以便日后审计调整时予以考虑的大量较小差错的重要性水平。48 48将重大错报风险的评价结果纳入审计之中（三）在风险分析的基础上设计实质性审计程序在实质性测试中，收集审计证据的审计程序的性质、时间和范围会因审计人员

21、职业判断的不同而不同。如果内部控制较弱并发生许多差错，或者如果审计人员怀疑报表存在舞弊，则应更重视获得外部证据而不是内部证据。由于重要性以及在年前提前审计的困难，审计人员一般要在被审计单位的资产负债表日对应收账款等账户进行确认。49 49报告内部控制的薄弱点和其他有关事项 在内部控制的调查过程和重大错报风险的评价过程中，审计人员会获得一些企业的管理当局、审计委员会也关心的信息。在审计实务中，审计人员经常采用管理建议书的方式向被审计单位管理当局提供有关内部控制薄弱点的信息以及审计人员就此提出的改进意见。管理建议书的内容，应当描述准确，有深度，富于建设性，应有助于被审计单位提高经营管理效率。50

22、50思考题 1内部控制的概念与思想发展经历了哪几个阶段？它与审计技术的发展有何联系？2内部控制制度二分法、内部控制结构、内部控制整体架构、企业风险管理框架之间的联系和区别是什么？3COSO提出的企业风险管理框架包含哪几个要素？阐述各要素的含义及其相互的关系。4内部控制的固有局限性是什么？为什么小企业的内部控制需要补偿控制？5审计人员对重大错报风险进行评估时，应执行哪些步骤？51 51思考题 6描述内部控制主要采用哪些方法？每种方法的优点和缺点是什么？7控制测试的定义是什么？应主要关注哪些内容？控制测试的范围和程度取决于哪些因素？8内部控制测试包括哪几个步骤？在每一项审计工作中，哪些步骤是必需的？9审计人员如何在重大错报风险分析的基础上调整重要性水平，并将其融入审计之中？10什么是可报告事项？管理建议书的含义是什么？管理建议书通常包括哪些内容？52 52