《如何了解与评价内部控制(ppt 87页)》由会员分享,可在线阅读,更多相关《如何了解与评价内部控制(ppt 87页)(87页珍藏版)》请在金锄头文库上搜索。
1、第九章 审计过程了解和评价内部控制,第九章 目录,1、内部控制的意义和类型 2、内部控制的评价框架 3、财务报表审计中内部控制的评价 4、管理建议书 5、内部控制审计的理论和实务,内部控制的意义和类型,内部控制的概念 内部控制的类型 内部控制的意义,COSO 定义,内部控制是为实现以下有关范畴内的目标提供合理保证,由一个单位的董事会、经营者和其他成员所实施的一个过程。 经营的效果和效率 财务报告的可靠性 相关法律法规的遵守,财政部定义,内部控制是指单位为了提高会计信息质量保护资产的安全、完整,确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。,类 型,财务报告内部
2、控制和其他目的控制 总体控制和业务处理控制 预防型控制和发现型控制 人工控制和自动化控制,财务报告内部控制(1),财务报告内部控制是由企业的经营者和财务主管或执行类似职务的人员设计和监督的、受企业的董事会、经营者和其他管理人员影响的、旨在为财务报表的可靠性以及外部财务报表的编制符合一般公认会计原则提供合理保证的过程。,财务报告内部控制(2),该过程包括以下政策和程序: 保持合理的详细记录以准确、公允地反映资产的交易和处置; 为交易得到必要的记录使得财务报表的编制符合一般公认会计原则,收入和支出均在经营者和董事会的授权下进行提供合理保证; 为预防或者及时发现对财务报表有重大影响的、未经授权的资产
3、购买、使用和处置提供合理保证。,其他目的控制,经营效果和效率目的内部控制 法规遵守目的内部控制。,总体控制(1),关系到整个企业层次的控制,具有维护和监督企业系统的作用。,总体控制(2),包括企业的风气,经营者的作风,组织结构以及行动规范程序、雇用、培训和升迁制度、内部通报制度、自我评价制度等与企业成员的意识密切相关的控制 包括对董事会以及监事会所进行的监督状况、预算编制时的风险评价等制度和机制的运行状况的文档化等控制。,总体控制(3),总体控制并不直接作用于企业业务的处理,而是间接地、广范地影响业务处理。 透过总体控制的风险将直接影响业务处理控制。 总体控制有关的要素往往可以减轻业务处理控制
4、层次的风险。,总体控制薄弱的例子,大量依靠临时工,不重视员工培训 实际操作员工的知识、经验不足 业务处理控制不能发挥预期的作用,总体控制有效的例子,企业规模不大,所有者亲自经营 职务分工和权责划分不明确 业务规程和流程比较模糊 员工非常敬业 知识和经验比较丰富 业务处理控制的缺陷可以通过员工的自主性职务调整,互相帮助而得到克服。,图9-1 总体控制和业务处理控制的关系,总体控制 (控制环境、风险评价、监督活动),制度、机制、程序 影响,业务处理控制,业务处理控制,与业务过程直接相关的、如交易的授权和确认、业绩的复核、职务分工等控制。 业务处理规程以及手册的建立健全及其在整个企业内的认知也包括在
5、业务处理控制中。 业务处理控制多数根据日常交易和业务的内容,以各个部门或者交易种类为单位设置和运行的。,Examples of Application Control (warehouse),door lock of a warehouse how many people has the lock of the warehouse bookkeeper and warehouse manager Authorization Pre-numbered invoices,图表9-1 基本业务循环及业务程序内容,基本控制,业务规程手册的制定及其贯彻普及 职务分工 授权和批准 交易踪迹的文档化 对资产
6、接近的限制 独立核算 业绩复核,预防型控制,预防型控制是指作用于从最早可能发生的场所防止错误或舞弊发生的控制。 批准:对某一事项具有决定权的管理者一边留下证据痕迹一边认可该事项的内容。,发现型控制,发现型控制是指作用于及时发现已经发生的错误或舞弊的控制; 检查:通过审阅文件,复核程序,向有关人员询问等确认业务活动的实施情况。,内部控制的作用,有效的内部控制能防止或发现对企业资产的盗用、未经授权使用或处置资产的情形,减少业务活动中的风险。 内部控制不存在或者有缺陷可能给企业带来防不胜防的风险。,例1 订货程序的内部控制风险,内部控制程序:经办人员起草购货申请 主管人员事前盖章批准委托购货部门实施
7、购货 事 实 情 况: 经办人员没有经过主管人员批准和委托购货部门的程序,自行组织订货 或 有 风 险: 企业不知道订单已发出; 企业不知道应付账款的存在; 经办人员利用企业的交易中饱私囊,图表9-2 内部控制的功能及发挥途径,内部控制并非万能药,COSO报告在警告人们不应过度期待或者误解内部控制的作用时指出: 第一,“内部控制有效运行”不等于“企业业绩优良”; 第二,“内部控制有效运行”并不意味着各控制目的的实现得到了绝对的保证。 内部控制定义中的“合理的保证”,就是指内部控制存在固有界限。,内部控制的固有界限,内部控制不具有防止和发现经营者错误的功能 内部控制可能因有关人员相互勾结、内外串
8、通而失效 内部控制是针对常规业务而设计的,对突发性的、异常的或者例外的业务可能无效 内部控制可能因执行人员的粗心大意、疲劳、判断失误和对指令的误解以及对压力的妥协而暂时失效 内部控制可能会僵硬化,不能适应外部环境的变化 内部控制的设计和运行受制于成本效益原则,内部控制的评价框架,内部控制框架的历史演变 内部控制的要素 内部控制5要素的意义,历史演变,1977 FCAP 1978 Cohen报告 1987 Treadway报告 1992 COSO报告,COSO 5 要素,控制环境(control environment) 风险评价(risk assessment) 控制活动(control ac
9、tivities) 信息与沟通(information and communication) 监督活动(monitoring),控制环境,控制环境决定组织的风气,影响组织成员的控制意识。控制环境提供纪律和结构,是内部控制的所有其他要素的基础。 TEXTpp.269-271 控制环境包括组织成员的诚实性、伦理观和能力;经营的哲学和经营作风;经营者分配权限和责任、组织和开发员工的方法;董事会所提供的监督和指导等因素。,风险评价,任何组织都面临源自外部和内部的风险,不得不评价这些风险。 风险评价的前提条件是,设定目标,链接于所有层次并使其保持内在的一致。 风险评价是识别和分析与目标实现有关的风险,形
10、成对如何管理风险作出决定所需要的基础。 由于经济、行业、管制和营运条件处于变动中,需要有一定的机制识别和处理与变动相关的特定的风险。,风险管理流程,控制活动,控制活动是保证经营者的指示得以执行的方针和程序。 控制活动有助于保证用于对应与实现组织目标有关风险的必要行动得到启动。 控制活动是所有的组织阶层、所有的职能所实施的组织性的行为,包括批准、授权、检验、调整、业绩的复核、 资产保全以及职务分工等一系列活动。,信息与沟通,信息系统生产有关经营、财务和法律遵守信息的报告,使得事业的营运和控制成为可能。 有效的传递必须是广义的、由上而下、由下而上横断整个组织。 所有的管理人员都必须理解自己在内部控
11、制系统中的职责,以及如何将个人的行动与他人的工作相协调。他们必须具有向组织的上层传递重要信息的通道。 与顾客、供货商、监督机构以及股东等外部的关系者之间的有效传递也是必须的。,监督活动,监视是一个不断评价内部控制系统机能的过程。 监视的形式有日常的监视活动,独立评价或者两者的结合。,日常监视和独立评价,日常监视存在于业务过程中,包括常规的管理、监督活动以及管理人员在履行职责时所采取的其他行动。 独立评价的范围和频度主要取决于对风险的评价和日常监视程序的有效性。内部控制的缺陷必须向上层管理人员报告,重要的事项必须向最高经营者以及董事会报告。,COSO 5 要素的意义 (1),There is a
12、 logical loop to an organizations internal controls, starting with 设计控制环境; 识别组织风险以及最小化风险所必要的控制; 设计和贯彻内部控制系统以及信息传递系统; 监视内部控制的有效性。,COSO5要素的意义(2),COSO5要素是评价内部控制的指导性框架。 评价者对上述5要素各自的功能状况进行判断,最后联系所选择的目的就内部控制的整体功能状况进行综合判断。 这些判断可以为我们了解内部控制的弱点所在。,例2 订货程序内部控制,控制环境:是否存在允许未经批准交易的风气? 信息传递:未经批准交易的信息是否得到传递? 控制活动:是
13、否存在牵制、纠正未经批准交易的措施? 监督活动:相关管理人员是否对纠正的状况进行了确认?,财务报表审计中内部控制的评价,内部控制对财务报表审计的意义 与审计相关的控制 内部控制的评价过程,内部控制和测试,现代财务报表审计仍然需要通过复查经济业务来获取审计证据,但在审计时间和审计费用的制约下,审计人并不复查所有的经济业务,而是通过评价内部控制的有效性间接地验证会计记录是否值得信赖,在此基础上根据其对重要性和审计风险的评估以及财务报表项目本身的性质,抽查经济业务。,财务报表审计的证据活动逻辑,根据有效的内部控制生成的基本会计资料编制的财务报表所内涵的会计认定要比内部控制有缺陷情况下的会计认定可靠。
14、 有效的内部控制可以合理保证较低水平的控制风险,与此相对应,审计人可以在较低水平控制风险的前提下确定相应的审计具体目标,以较低水平检查风险为前提实施相应的审计程序。,图9-3 内部控制和审计程序的关系,低风险前提下的审计程序,审计具体目标,高风险前提下的审计程序,财务报表中的会计认定,信赖,不信赖,基本会计资料,有效,审计具体目标,非有效,财务报表中的会计认定,基本会计资料,信赖,不信赖,有效,内部控制,非有效,(评价),(评价),资料来源:山浦久司.1999.财务审计论.日本:中央经济社,p.155,与审计相关的控制,为实现财务报告可靠性目标设计和实施的控制; 与实施审计程序时评价或使用的数
15、据相关的用以保证经营效率、效果的控制以及对法律法规遵守的控制; 与实现财务报告可靠性和经营效率、效果目标相关的用以保护资产的内部控制。,管理建议书,独立审计实务公告第2号管理建议书,内部控制审计的理论和实务,内部控制报告制度化的理论问题 内部控制评价和内部控制审计 内部控制审计的PCAOB框架,内部控制审计对财务报表审计的意义,内部控制是公司治理的一个重要组成部分,是公司股东以及债权人等籍以对公司实施控制和要求经营者履行资源经管责任的手段。 公司治理从股东赋予董事、董事赋予经营者一定的责任开始。 责任的赋予需要在控制和经管责任框架下进行:控制系统保证责任已得到恰当的定义,工作的分派符合责任和经
16、管责任的定义。,内部控制和内部控制审计,有效的内部控制不仅为财务报告的可靠性提供合理的保证,而且还保证资产不受舞弊和错误的侵蚀以及企业对法律的遵守。 经营者对建立健全内部控制所抱有的态度反映了经营者对资产保全和财务报告的态度。 内部控制审计通过分析内部控制是否存在缺陷,并据以判断是否存在错报以及错报的类型,可以确认经营者是否诚实地履行了受托责任。,高水平的合理保证,现代财务报表审计的证明逻辑是,通过证明5大会计认定的成立或者不成立,间接地证明财务报表公允性是否成立。 围绕5大会计认定展开的审计具体目标能否为公允性命题提供证实证据,有赖于内部控制制度的有效性。 内部控制审计通过确认内部控制的防止、发现错误和舞弊的功能,有助于财务报表审计提供高水平的合理保证。,AS#2-2和27,担任公司年报审计的审计人必须测试并报告经营者对财务报告内部控制的评价, 由于财务报表审计中所获得的信息对审计人的有关财务报告内部控制有效性的结论具有潜在的重要性,审计人不可以只审计财务报告内部控制而
