第六章内部控制与审计鉴证

第六章内部控制与审计鉴证内部控制及其测试内部控制的概念及演变内部控制的要素内部控制的了解内部控制运行有效性的测试内部控制概述•一内部控制的国际视野•二内部控制的国内发展•三新的企业内部控制体系内部控制的概念与发展p178•内部控制是被审单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序（借鉴92年美国COSO报告的定义）。三目标•①财务报告的可靠性，这一目标与管理层履行财务报告编制责任密切相关；•②经营的效率和效果：即经济有效地使用企业资源，以最优方式实现企业的目标；•③在所有经营活动中遵守法律法规的要求，即在法律法规的框架下从事经营活动。五要素•(1)控制环境；•(2)风险评估过程；•(3)信息系统与沟通：•(4)控制活动；•(5)对控制的监督。11992年，COSO报告的内控定义（p176）；22002年7月，萨班斯法案的主要内容：（1）管理层对内控负责；（2）对内控评估（3）年报中增加对内控上两条的报告；（4）外部审计师应当出具评价报告内部控制的国内发展•内部牵制内部控制制度内部控制结构内部控制框架披露控制和程序财务报告内部控制企业风险管理（2004年）p178•1商业银行内部控制是我国企业内部控制的重点；•2上市公司内部控制是我国企业内部控制的关注点新的企业内部控制体系p179第二节内部控制规范•一企业内部控制规范概述•二主要内容与重大突破•三基本原则•四企业内部控制基本要素一企业内部控制规范概述•内容•适用范围——大中型企业•基本目标——五要素目标论•效率性\可靠性\合法性\•资产保全性\战略性主要内容与重大突破p181•1科学界定内控的内涵（全面、全员、全过程控制）•2准确定位内控的目标（五要素目标论）•3合理确定内控的原则（五原则）•4统筹构建内控的要素（五要素内控框架）•5内控实施机制企业————主体•政府监管——促进•中介机构审计—重要组成部分基本原则(五原则)p182•1全面性原则；•2重要性原则；•3制衡性原则；•4适应性原则；•5成本效益原则企业内部控制基本要素（五要素）•内控基本规范审计准则•内部环境控制环境•风险评估风险评估过程•控制活动控制活动•信息与沟通信息系统与沟通•内部监督对控制的监督内部环境——基础p183•包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。•奠定一个公司的控制文化，影响着人们的控制意识，能增强或弱化公司各种控制政策、程序和措施的作用。•内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置与权责分配、内部审计、人力资源政策、企业文化等。内部控制的要素：内部环境•在评价控制环境的设计和实施情况时，注册会计师应了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化，以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。•州官放火与百姓点灯•控制环境的因素：对诚信和道德价值观念的沟通与落实对胜任能力的重视治理层的参与程度：董事会及所属委员会管理层的理念和经营风格组织结构职权与责任的分配人力资源政策与实务核心是：管理思想与经营方式（控制态度）、企业组织架钩（控制途径）和人力资源管理（控制执行）•注册会计师应当对控制环境的构成要素获取足够的了解，并考虑内部控制的实质及其综合效果，以了解管理层和治理层对内部控制及其重要性的态度、认识以及所采取的措施。•控制环境对重大错报风险的评估具有广泛影响，注册会计师应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的基础，并且未被控制环境中存在的缺陷所削弱。•注册会计师在评估重大错报风险时，存在令人满意的控制环境是一个积极的因素。虽然令人满意的控制环境并不能绝对防止舞弊，但却有助于降低发生舞弊的风险。有效的控制环境还为注册会计师相信在以前年度和期中所测试的控制将继续有效运行提供一定基础。相反，控制环境中存在的弱点可能削弱控制的有效性。•（局限性）控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报，注册会计师在评估重大错报风险时，应当将控制环境连同其他内部控制要素产生的影响一并考虑。例如，将控制环境与对控制的监督和具体控制活动一并考虑。风险评估——环节、依据•风险评估是指企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。•注册会计师应了解被审单位的风险评估过程和结果。风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。•在评价被审单位风险评估过程的设计和执行时，注册会计师应确定管理层如何识别与财务报告相关的经营风险，如何估计该风险的重要性，如何评估风险发生的可能性，以及如何采取措施管理这些风险。•注册会计师应询问管理层识别出的经营风险，并考虑这些风险是否可能导致财务报表重大错报。控制活动——手段控制活动是企业根据风险评估程序结果，采用相应的控制措施，将风险控制在可承受度之内。•注册会计师应了解控制活动，以足够评估认定层次的重大错报风险和针对评估的风险设计进一步审计程序。•控制活动是指有助于确保管理层的指令得以执行的政策和程序。控制活动的内容：1不相容职务分离2授权：常规授权（普遍适用于某类交易的或活动的政策）和特别授权（针对特定交易或活动特定设置的授权）3会计系统控制4财产保护控制（日常管理和定期清查）5预算控制——全面预算管理6运营分析控制7绩效考评控制信息与沟通——条件、载体•信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。内部监督——保证•内部监督是指企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。基本要素之间的关系p185内部环境——重要基础•风险评估——重要环节、重要依据•控制活动——重要手段•信息与沟通——重要条件、重要载体•内部监督——重要保证内部控制应用p186——内控实施、应用•重点：•1控制资金；•2控制损益；•3控制信息；•4控制权力企业内控应用指引结构框架•1总则•2职责分工与授权批准；•3具体控制内容•4特殊控制对象内部控制评价•一企业内部控制评价指引概述；•二内部控制评价范围与对象；•三内部控制评价的原则和内容•四企业内部控制评价的程序和方法•五企业内部控制缺陷及其认定•六企业内部控制评价报告p188•内部控制评价是指由企业董事会和管理层实施的，对企业内部控制有效性进行评价，形成评价结论，出具评价报告的过程。一企业内部控制评价指引概述•内部控制自我评估——西方国家内部控制制度评审的一种方法——企业监督和评估内部控制的主要工具——内审部门评估控制的适当性和有效性发展到企业整体对管理控制和治理负责——管理部门的自我评估•事后发现事前防范•强调内控改善经营业绩二内部控制评价范围与对象•内容：总则•评价的原则和内容•评价的程序和方法•内部控制评价报告企业内部控制评价，一般包括年度评价专项评价•内控评价的范围和对象•——内控的五目标+五要素三内部控制评价的原则和内容•评价原则：全面性（设计、运行）•重要性（高风险）•独立性（设计、运行）•评价依据、标准——企业内部控制基本规范及其应用指引•评价内容——内控有效性（设计、运行）评价时充分关注以下方面：1内控评价——以内部环境为基础；2内控评价——以生产经营活动为重点3内控评价——兼顾控制手段四企业内部控制评价的程序和方法•内审机构或其他机构组织实施内审评价工作；•企业可以借助中介机构或外部专家实施内控评价工作•评价方法：个别访谈、调查问卷、专题讨论、穿行测试、统计抽样、比较分析等。五企业内部控制缺陷及其认定•内控缺陷：•设计缺陷（没有内控）•运行缺陷（内控没有运行）•内控缺陷程度：•重大缺陷（严重偏离控制目标）•重要缺陷•一般缺陷六企业内部控制评价报告•内控评价一般包括：年度评价和专项评价•年度评价：根据内控目标，对某一年度建立与实施内控的有效性进行的评价。•专项评价：企业在特定时点对特定范围的内控有效性进行的评价内控评价报告的内容p192内控有效性•风险控制目标控制活动运行•一贯运行•实施控制活动的人员具备权限和能力•内控评价报告的基准日：12月31日，6月30日内部控制鉴证•一企业内部控制鉴证指引概述•二鉴证程序•三鉴证报告一企业内部控制鉴证指引概述•定义：企业内部控制鉴证是指会计师事务所接受委托，对企业内部控制的有效性进行鉴证，并发表鉴证意见。企业内部控制鉴证指引——内容•总则•制定鉴证计划•实施鉴证工作•评价控制缺陷•完成鉴证工作•鉴证报告•工作底稿•附则内部控制的相关责任•企业管理层的责任：•设计、实施和维护有效的内部控制，•并评估其有效性。•注册会计师的责任：•在实施鉴证工作的基础上对内部控制有效性发表鉴证意见二鉴证程序•（一）制定鉴证计划•（二）进行鉴证风险评估•(三)实施鉴证工作•（四）评价控制缺陷•（五）完成鉴证工作（一）制定鉴证计划——前提和保证•在制定鉴证计划时，注册会计师应当评价下列事项对企业财务报表和内部控制是否具有重要影响，以及对审计程序的影响程度p194（二）进行鉴证风险评估•1风险评估的结果重要的认定控制测试；•2高度关注与舞弊风险相关的领域；•3组织结构、流程的复杂程度；•4企业规模和复杂程度；（二）进行鉴证风险评估•5选择经营场所测试；•6控制能否应对舞弊导致的重大错报风险，以及管理层凌驾于其他控制之上；•7考虑利用内审等人员的工作；•8利用其他人员的工作受到控制风险的影响。(三)实施鉴证工作•1企业层面控制的测试。•（1）企业层面的控制包括：p196•（2）企业层面的控制在性质和精确度方面的差异对控制及其测试有下列影响：•防止、发现错报的可能性；•监督其他控制的有效性；•防止或发现一个或多个认定层次的错报2流程层面控制的测试•识别重大的认定——评价性质、数量方面的风险因素（四）评价控制缺陷•内控存在的不足，按其严重程度可以分为：缺陷、应关注缺陷和重大缺陷。•控制存在的缺陷包括：设计缺陷和运行缺陷（五）完成鉴证工作•1完成工作底稿；•2形成鉴证意见；•3获取管理层声明；•4沟通相关事项。1完成工作底稿•工作底稿记录的内容p197三鉴证报告•标准鉴证报告_无保留•非标准鉴证报告•1否定意见;_一个或多个重大缺陷•2增加说明段;•3无法表示意见_范围受限内部控制测试p206•了解内控控制测试实质性程序控制测试的前提p207•了解内控的目的；•了解内控的程序（穿行测试）控制测试的实质•控制测试的种类•同步符合性测试•追加符合性测试•计划符合性测试•控制测试的程序•控制测试的范围；•控制测试的时间_期中•控制测试中的审计抽样•评价控制测试的结果对内部控制了解的定位•只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。对内部控制了解的深度•（1）指在了解被审计单位及其环境时对内部控制了解的程度•（2）了解内部控制包括评价控制的设计，并确定其是否得到执行。•（3）评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报•（4）确定其是否得到执行是指某项控制存在且被审计单位正在使用。了解内控的方法•询问被审单位的人员观察特定控制的运用检查生成的文件和报告追踪交易在财务报告信息系统中的处理过程（穿行测试）•了解内部控制不同于控制测试•例外情况：除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解并不能够代替多控制运行有效性的测试。了解人工或自动化内部控制•内部控制采用人工系统还是自动化系统，将影响交易生成、记录、处理和报告的方式。了解内部控制存在固有局限性•无论如何设计和执行，内部控制只能对财务报告的可靠性提供合理的保证，其固有局限性包括：•（1）在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效；•（2）可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避错误。描述方式•文字说明法•问卷调查法•流程图法了解控制环境•在评价控制环境的设计