2016CPA《风险》第七章风险管理框架下的内部控制09.doc

高顿财经CPA培训中心第七章 风险管理框架下的内部控制第四节 内部控制评价与审计一、内部控制评价（）内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。在企业内部控制实务中，内部控制评价是极为重要的一环。（一）内部控制评价应当遵循的原则根据评价指引的要求，内部控制评价应遵循以下三个原则：1.全面性原则。评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。2.重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。3.客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。【例题30多选题】根据评价指引的要求，下列属于内部控制评价应遵循的原则的有（ ）。A.全面性原则B.重要性原则C.客观性原则D.适宜性原则【答案】ABC【解析】根据评价指引的要求，内部控制评价应遵循以下三个原则：（1）全面性原则；（2）重要性原则；（3）客观性原则。（二）内部控制评价的内容企业内部控制评价指引对内部控制评价内容的有关规定，是我国内部控制规范体系建设的一大创新。发达市场经济国家或地区的通行做法一般要求企业对与财务报告相关的内部控制有效性进行自我评价，企业内部控制评价指引则在此基础上更进一步，要求企业根据企业内部控制基本规范、企业内部控制评价指引以及本企业的内部控制制度，围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素，对内部控制有效性进行全面评价，包括财务报告内部控制有效性和非财务报告内部控制有效性。（三）内部控制评价的程序根据评价指引的要求，企业应按照内部控制评价办法规定程序，有序开展内部控制评价工作。内部控制评价程序一般包括：制定评价控制方案；组成评价工作组；实施评价工作与测试；认定控制缺陷；汇总评价结果；编报评价报告等环节。1.制定评价控制方案企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作。这实际上就为内部控制评价工作的开展设置了专门的职能机构。该评价部门或机构应具备以下条件：（1）能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力；（2）具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养；（3）与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致，在工作中相互配合、相互制约；（4）能够得到企业董事会和经理层的支持，通常直接接受董事会及其审计委员会的领导和监事会的监督，有足够的权威性来保证内部控制评价工作的顺利开展。内部控制评价部门或机构应根据内部监督情况和要求，制定评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经董事会或其授权审批后实施。这是一个进行内部控制评估前的全面计划，提供内部控制评价的效率和效果。【例题31多选题】下列选项中，描述错误的有（ ）。A.企业开展风险评估主要针对外部风险B.内部审计机构负责内控的自我评价C.重大人事任免应实行集体决策审批D.控制活动的主要目标是将风险的影响降至零【答案】ABD【解析】企业应开展风险评估，准确识别与实现控制目标的潜在外部风险和内部风险并确定相应的风险承受程度，选项A错误。内部审计机构对企业内部控制的有效性进行监督检查，选项B错误。企业在处理“三重一大”问题上，即重大决策、重大事项、重要人事任免和大额资金使用，应当按照规定的权限和程序实行集体决策审批或者联签制度，选项C正确。控制活动的主要目标是将风险控制在可承受范围之内，选项D错误。【例题32多选题】下列属于内部控制评价部门或机构应具备的条件有（ ）。A.能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力B.具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养C.与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致D.能够得到企业董事会和经理层的支持【答案】ABCD【解析】内部控制评价部门或机构应具备以下条件：（1）能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力；（2）具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养；（3）与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致，在工作中相互配合、相互制约；（4）能够得到企业董事会和经理层的支持，通常直接接受董事会及其审计委员会的领导和监事会的监督，有足够的权威性来保证内部控制评价工作的顺利开展。2.组成评价工作组在设置内部控制评价机构的基础上，还要求企业成立专门的评价工作组，接受内部控制评价机构的领导，具体承担内部控制检查评价的任务。评价工作组成员应具备独立性、业务胜任能力和职业道德素养及吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。对于拥有内部审计部门的企业来说，内审部门很大可能也同样地担当内部控制评价组的工作。如果企业决定利用外聘会计师事务所为其提供内部控制评价服务，根据基本规范的要求，该事务所不应同时为企业提供内部控制的审计服务。3.实施评价工作与测试评价工作组需通过了解企业公司层面基本情况、各业务层面的主要流程、识别有关主要风险后，才能开展实施及测试设计和运行有效性的内部控制工作。（1）了解公司层面基本情况。评价工作组与被评价单位进行充分沟通，了解其经营业务范围、企业文化、发展战略、组织结构、人力资源等内部环境及内部控制内容中五个要素的运作情况。（2）了解各业务层面的主要流程及风险。在这一阶段，评价工作组把工作重点放在主要业务流程中，如资金管理流程、销售流程和采购流程等。为支持评估工作与相关测试有效进行，企业应建立全面文档记录。文档记录可以帮助评价工作组了解各个主要业务领域的流程，识别相关的风险关注点及可能存在的内部控制措施。评价工作组可审阅的内控流程文档可能有：风险控制矩阵文档。关注点在于复核风险流程的合理性，例如，文档是否包含了流程面临的所有风险、列示的风险是否得到定期或及时的更新、对于各项风险的重要性水平分析是否合理，以及复核控制点的识别，关键控制点、重要控制点、一般控制点的判断是否合适。流程图文档。关注点在于流程图是否与实际操作及风险控制矩阵描述相符合、流程图是否清楚地标示所有风险点及控制点、流程图中责任部门、岗位以及其他管理机构是否表述清晰、表述的流程路径是否清晰、是否存在交叉，以及内容是否涵盖所有流程实际操作及相应的控制活动。审批权限表文档。关注点在于部门及岗位的描述是否准确、权限的划分和设置是否合理。评价工作组应识别业务流程中的关键业务或固有风险，提出对于每一重大流程在交易过程中“可能出错”而产生重大错误的问题，在这些控制点上识别减低风险的控制，这些控制应当能够为防止发生重要的错误或者能发现并更正错误提供合理保证。有些控制可能并不显而易见，可能是电子化或者是人工的，并且同时是高层及基层实施。这些关注点将是评价工作组进行设计或运行有效性并作出结论的地方。【例题33多选题】内部控制评价工作组可审阅的内控流程文档有（ ）。A.风险控制矩阵文档B.流程图文档C.审批权限表文档D.内部审计文档【答案】ABC【解析】评价工作组可审阅的内控流程文档可能有：（1）风险控制矩阵文档；（2）流程图文档；（3）审批权限表文档。（3）确定检査评价范围和重点。评价工作组根据掌握的情况确定评价范围、检查重点和抽样数量，进行分工与测试。评价范围、方式、程序和频率，将因企业经营业务调整，经营环境、风险水平等因素而异。（4）开展现场检査测试。评价工作组可综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地査验、抽样和比较分析等评价方法，收集被评价单位内部控制设计与运行是否有效的证据，按照要求填写工作底稿、记录有关测试结果。如果发现内部控制出现缺陷，则需与管理层沟通，对有关缺陷进行认定并进行记录。个别访谈。评价工作组人员可以个别访谈企业或被评价单位的不同人员，了解公司内部控制的现状与运行。个别访谈通常用于企业层面与业务层面评价的阶段。调査问卷。调查问卷多用于企业层面的评价，通过扩大对象范围，如企业中的全体员工收集简单结果，如对公司企业文化的认同。专题讨论。这是一种集合企业中有关专业人员就内部控制执行情况或控制问题进行分析和讨论。穿行测试。穿行测试是指在流程中任意选取一项交易为样本，获取原始单据、跟踪交易从最初起源，到会计处理，信息系统和财务报告编制，直到这项交易在财务报表中报告出来的全过程。通过执行“穿行测试”，评价工作人员可获取确定对一个流程的了解，查找潜在的内控设计问题及识别出相关控制。实地查验。这是一个用于业务层面评价的方法。例如，评价工作人员进行实地盘点以测试企业记录存货的数量，或有关控制的有效性。抽样。抽样方法可以分为随机抽样和其他抽样法。随机抽样一般被认为是最具有代表性或是基于统计学的取样方式，从样本库中抽取一定数量的样本，进行控制测试，以获取有关控制的运行状况。随机选取通常是采用电脑来完成。比较分析。这是一种通过数据分析，识别评价关注点的方法。例如，通过比较月度的销售情况，识别异常区间，进行检查。审阅与检查。这也是在业务层面评价的常用方法，通过核对有关证据而获取有关控制的运行状况，如选择某些调节表上的差异，追溯到相应的单据记录（如银行对账单）或检查调节表是否有相关负责人签字。【例题34多选题】评价工作组可综合运用（ ）等评价方法，收集被评价单位内部控制设计与运行是否有效的证据。A.专题讨论B.穿行测试C.抽样D.比较分析【答案】ABCD【解析】评价工作组可综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等评价方法，收集被评价单位内部控制设计与运行是否有效的证据。4.认定内部控制缺陷（1）内部控制缺陷的分类按照内部控制缺陷的本质分类：内部控制缺陷分为设计缺陷和运行缺陷。1）设计缺陷是指企业缺少为实现控制目标的必需控制，或者现有控制设计不适当，即使正常运行也难以实现控制目标。2）运行缺陷是指设计合理及有效的内部控制，但在运作上没有被正确地运行，包括执行人员缺乏必要授权或专业胜任能力，无法有效实施控制。按照内部控制缺陷的严重程度分类：内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。1）重大缺陷（也称实质性漏洞），是指一个或多个控制缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。2）重要缺陷，是指一个或多个控制缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现严重偏离整体控制目标的严重程度依然重大，需引起管理层关注。具体就是内部控制中存在的、其严重程度不如重大缺陷、但足以引起内部控制评价组关注的一个或多个控制缺陷的组合。3）一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。内部控制评价组需要评价其注意到的各项控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷。【例题35单选题】甲公司在内部控制自评中发现，多项业务流程和控制手段存在缺陷或风险隐患。有些属于设计缺陷，有些属于运行缺陷。下面所列情况中，属于运行缺陷的是（ ）。（2012年）A.规定更换库房保管员时要盘点核实库存，但没有规定要交接双方一同进行B.规定使用清澈的酒精溶液清洗容器，但未提供酒精溶液清澈的判断标准C.规定要对大宗物料供应商实地考察，但对必须考察生产现场则缺少核实办法D.规定审核研发产品的技术先进性，但研发人员并不提供技术先进性的证据及证明【答案】D【解析】选项A、B、C属于设计缺陷，选项D属于运行缺陷。（2）内部控制缺陷的认定程序与整改对于重大缺陷和重要缺陷的整改方案，应向董事会（审计委员会）、监事会或经理层报告并审定。如果出现不适合向经理层报告的情形，例如存在与管理层舞弊相关的内部控制缺陷，内部控制评价组应当直接向董事会（审计委员会）、监事会报告。重要缺陷并不影响企业内部控制的整体有效性，但是应当引起董事会和管理层的重视。对于一般缺陷，可以向企业管理层报告，并视情况考虑是否需要向董事会（审计委员会）、监事会报告。5.汇总评价结果评价工作组人员应当在其工作底稿中，记录评价所实施的程序及有关结果。企业内部控制评价工作组应当建立评价质量交叉复核制度，有关评价报告应由评价工作组负责人严格审核确认，与被评价单位进行通报，在提交内部控制评价部门或机构前得到被评价单位相关责任人签字确认。如果在评价工作中发现的所有差异，如穿行测试及控制测试中发现的与访谈结果的差异、与流程手册的差异，也应在汇总中适当的记录。企业内部控制评价部门或机构应编制内部控制缺陷认定汇总表，结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况，对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核