审计学第七章内部控制

第七章内部控制7.1概述7.2内部控制的内容与形式7.3内部控制的重要性与局限性7.4对内部控制的了解7.5内部控制测试7.6内部控制的评价7.7内部控制的审计7.8内部控制的鉴证7.1概述1、历史演进2、整体框架3、概念47.1.1内部控制的历史演进阶段时间定义内容内部牵制20世纪40年代以前以任何个人或部门不能单独控制任何一项或一部分业务权利的方式，进行组织上的职责分工。实物牵制、机械牵制、体制牵制、簿记牵制内部控制（两要素）20世纪40年代末对内部控制首次做出权威定义美国注册会计师协会所属的审计程序委员会对内部控制定义作出修改，把内部控制分为内部会计控制和管理控制。授权与批准制度；记录和审核与经营保管等职务分离；财产的实物控制与内部审计。统计分析；时效研究；业绩报告；雇员培训计划；质量控制等。45阶段时间定义内容内部控制结构（三要素）1988第55号审计准则公告提出内部控制结构这个概念。企业内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序。控制环境；会计系统；控制程序。6阶段时间定义内容内部控制整体框架（五要素）1992内部控制是一个由企业董事会、管理层和其他员工实施的、旨在为下列各类目标的实现提供合理保证的过程：经营的有效性和效率、财务报告的可靠性、符合适用的法律和法规。控制环境；风险评估；控制活动；信息与沟通；监督。企业风险管理框架（八要素）2004《企业风险管理框架》将企业管理的重心由内部控制转向风险管理内部控制要素增加内部环境、目标制定、事项识别、风险评估、风险反应控制活动、信息与沟通、监督7.1.2内部控制的整体框架《内部控制的整体框架》英国巴林银行内部控制案例分析序幕1995年2月26日，一条消息震惊整个世界金融市场1995年2月27日，英国中央银行宣布，英国商业投资银行——巴林银行因经营失误而倒闭。消息传出，立即在亚洲、欧洲和美洲地区的金融界引起一连串强烈的波动。东京股市英镑对马克的汇率跌至近两年最低点，伦敦股市也出现暴跌，纽约道·琼斯指数下降了29个百分点具有230多年历史，在世界1000家大银行中按核心资本排名第489位的英国巴林银行，因进行巨额金融期货投机交易，造成9.16亿英镑的巨额亏损，被迫宣布破产英国巴林银行内部控制案例分析尼克李森：国际金融界“天才交易员”，曾任巴林银行驻新加坡巴林期货公司总经理、首席交易员。以稳健、大胆著称。在日经225期货合约市场上，他被誉为“不可战胜的李森”。NickLeeson1994年下半年，李森认为，日本经济已开始走出衰退，股市将会有大涨趋势。于是大量买进日经225指数期货合约和看涨期权。然而“人算不如天算”,事与愿违，1995年1月16日，日本关西大地震，股市暴跌，李森所持多头头寸遭受重创，损失高达2.1亿英镑。英国巴林银行内部控制案例分析二、倒闭原因分析1、管理层的失职2、内部管理松散3、部门职责不明4、内部监管失效5、重效益轻风险五要素向八要素的转变•“巴林银行灭顶之灾”，“新加坡中航油事件”等等事件发生后，人们开始反思，这些问题公司大多是一些内部控制比较健全的组织，有审计委员会、内审部门等等，为什么还会发生经营损失，报告舞弊呢？•问题的本质不在于仅仅控制风险，而是如何管理风险。•内部控制所能够起到的作用只是在目标既定的前提下，通过采取一系列的控制活动来进行风险控制，五要素整合框架存在局限性，对风险强调不够，无法与企业风险管理相结合。•企业要想有效的管理风险，还必须借助于目标设定、风险识别、评估与应对。7.1.3内部控制的概念•被审单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层、和其他人员【主体】设计和执行的政策和程序。•具体来说，是被审单位为了保证业务活动的有效性、保护资产的安全和完整，防止、发现并纠正错误与舞弊，保证财务报告的真实、合法、完整而制定和实施的政策与程序。【控制目标】7.1概述7.2内部控制的内容与形式7.3内部控制的重要性与局限性7.4对内部控制的了解7.5内部控制测试7.6内部控制的评价7.7内部控制的审计7.8内部控制的鉴证7.2内部控制的内容与形式•7.2.1内部控制的主要内容•1、组织架构•2、岗位责任（权责明确）–事事有人管–人人有专责–办事有标准–工作有检查•3、业务流程4、处理手续•以采购业务为例•5、业务记录•6、检查标准•7、人员素质•8、社会责任•9、企业文化•10、内部审计7.2.2内部控制的基本形式1、按照内部控制的内容分环境控制——前提业务控制——深化2、按照控制的目的分会计控制管理控制3、按照控制目标分财产物资控制、会计资料控制、财务收支控制、经营决策控制、经济效益控制、经营目标控制•4、按照控制方式分–预防式控制–察觉式控制•5、按照控制地位分–主导型控制–补偿性控制7.2.3与审计相关的内部控制审计企业管理风险管理内部控制审计7.1概述7.2内部控制的内容与形式7.3内部控制的重要性与局限性（略）7.4对内部控制的了解7.5内部控制测试7.6内部控制的评价7.7内部控制的审计7.8内部控制的鉴证7.1概述7.2内部控制的内容与形式7.3内部控制的重要性与局限性7.4对内部控制的了解7.5内部控制测试7.6内部控制的评价7.7内部控制的审计7.8内部控制的鉴证7.4对内部控制的了解1、了解的深度了解内部控制的设计和运行情况。【不需要确定被审单位内部控制的有效性，不需要寻找内部控制运行的缺陷】设计——是否能够有效防止或发现并纠正重大错报。运行——是否得到执行练习：在了解内部控制时，A注册会计师通常不实施的审计程序是（）。A.了解控制活动是否得到执行B.了解内部控制的设计C.记录了解的内部控制D.寻找内部控制运行中的缺陷『正确答案』D『答案解析』选项D属于控制测试中测试控制执行有效性需要考虑的。2、了解的方法7.4.2实施一定的审计程序，深入了解内部控制询问——本身不足以评价控制的设计及确定是否得到执行。观察——特定控制的运用检查穿行测试•穿行测试法•在每一笔交易循环中选择一项或若干项业务进行测试•验证内部控制的实际运行是否与审计工作底稿上所描述的内部控制一致穿行测试与重新执行有什么区别？穿行测试是注册会计师为了验证以前程序获取的有关内部控制信息而实行的程序，比如进一步了解销售和收款循环的内部控制情况，注册会计师会抽取几笔销售业务，检查这几笔业务在整个会计系统留下的有关原始凭证。【不会产生新证据】重新执行是对内部控制程序重新过一遍，测试其是否得到有效执行，也就是说，不是检查已有的凭证或记录，而是会产生新的证据。比如注册会计师按照被审计单位相关内部控制制度的规定，重新编制银行存款余额调节表，来验证相应内部控制是否有效运行。练习：单选题在确定控制活动是否能够防止或发现并纠正重大错报时，下列审计程序中可能无法实现这一目的的是()。A.询问员工执行控制活动的情况B.使用高度汇总的数据实施分析程序C.观察员工执行的控制活动D.检查文件和记录7.4.3了解的内容——内控五要素•P115•控制环境——基础•风险评估——重要环节•信息系统与沟通——条件•控制活动——手段•监督——保障控制环境——基础•项目组应考虑构成控制环境的下列要素，以及这些要素如何被纳入被审计单位业务流程。•单项选择题•在了解控制环境时，C注册会计师通常考虑的因素是()。•A.内部控制的人工成分•B.内部控制的自动化成分•C.丙公司董事会对内部控制重要性的态度和认识•D.会计信息系统【答案】C风险评估——重要环节1、定义：被审计单位的风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。2、对风险评估过程的了解如果发现与财务报表有关的风险因素，注册会计师可通过向管理层询问和检查有关文件确定被审计单位的风险评估过程是否也发现了该风险；如果识别出管理层未能识别的重大错报风险，注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险，以及评估过程是否适合于具体环境。信息系统与沟通——条件•项目组应了解与财务报告相关的信息系统。•应评估管理层凌驾于账户记录控制之上的风险。控制活动——手段项目组应了解被审计单位与授权、业绩评价、信息处理、实物控制和职责分离有关的控制活动。应据以评估认定层次的重大错报风险。控制活动P119•1、授权目的在于保证交易在管理层授权范围内进行。授权包括一般授权和特别授权。一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。特别授权是指管理层针对特定类别的交易或活动逐一设置的授权2.业绩评价注册会计师应当了解被审计单位与业绩评价有关的控制活动，主要包括：(1)分析评价实际业绩与预算(或预测、前期业绩)的差异；(2)综合分析财务数据与经营数据的内在关系；(3)将内部数据与外部信息来源相比较；(4)评价职能部门、分支机构或项目活动的业绩(5)对发现的异常差异或关系采取必要的调查与纠正措施。例题：多项选择题戊公司下列控制活动中，属于经营业绩评价方面的有()。A.由内部审计部门定期对内部控制的设计和执行效果进行评价B.定期与客户对账并对发现的差异进行调查C.对照预算、预测和前期实际结果，对公司的业绩进行复核和评价D.综合分析财务数据和经营数据之间的内在关系【答案】CD3.信息处理信息处理控制分为一般控制和应用控制；一般控制是针对计算机的控制，应用控制是针对具体业务的控制。一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行，支持应用控制作用的有效发挥[是应用的基础保障]。一般控制存在缺陷→导致财务报表层的重大错报风险；应用控制存在缺陷→导致认定层的重大错报风险；•一般性控制是指为保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的具有普遍影响的控制措施。具体包括程序开发、程序变更、程序和数据访问、计算机运行四个方面。•例如，数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制。•应用控制是指主要在业务流程层面运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关。•例如，检查数据计算的准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。4.实物控制。实物控制主要包括对资产和记录采取适当的安全保护措施，对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对。–例如，现金、有价证券和存货的定期盘点控制。实物控制的效果影响资产的安全，从而对财务报表的可靠性及审计产生影响。5.职责分离。•了解职责分离主要是了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。•2、职责划分①授权执行如有权决定或审批材料采购的人员不能同时兼任采购员职务。②执行审核如填写销货发票的人员不能兼任审核人员。③执行记录如销货人员不能同时兼任会计记账工作。④保管记录如会计部门的出纳员与记账员要分离，不能兼任。⑤保管核对⑥记录明细账记录总账⑦登记日记账登记总账例题：•甲公司财务科有A、B、C三位会计人员，他们要完成以下几项工作•1、记录总账•2、记录应付款明细账•3、记录应收账款明细账•4、开具支票，以便主管人员签章，并记载现金日记账•5、开具退货拒付通知书•6、调节银行对账单•7、处理并送存所收入的现金•要求：现已知这三位会计人员均具有相当的能力，如何将上述几项工作分配给A、B、C三位会计人员，使会计工作起到较好的内部控制作用？3、凭证与记录控制4、资产接触与记录控制5、独立稽核–凭证和账簿之间的复查核对–账簿和报表之间的复查核对–账簿之间的复查核对练习•审计人员通过对通达物资贸易公司的审计，掌握了该公司出纳员王玉贪污公款的情况：•1.通达贸易公司出纳员王玉从公司收发室截取了顾客李鸿升寄给公司的分期付款的5000元支票，存入了由他负责的公司零用金银行存款账户中。然后，在该存款户中以支付劳务