《内部控制与风险管理（第二版）》第六章内部控制评价

第六章

内部控制评价

章节目录第一节

内部控制评价主体第二节

管理层评估内部控制第三节

注册会计师对内部控制的评价第一节内部控制评价主体一、审计的要求内部控制评价目标满足审计的需要满足管理的需要法律法规的遵循账表基础审计制度基础审计风险导向审计制度基础审计内部控制评价主体：审计人员内部控制评价客体：被审计单位的内部控制制度内部控制评价目标：通过对被审计单位的内部控制制度的健全、有效性的评价，判断其内部控制的可依赖程度，进而确定审计的范围、重点和具体方法，从而提高审计质量和效率、节约审计时间和费用。风险导向审计内部控制评价主体：审计人员内部控制评价客体：被审计单位的内部控制制度、控制风险在实施风险导向审计过程中，审计人员需要对内部控制进行初步评价及再评价。内部控制评价目标：通过对控制风险的评价来确定相关的审计程序，从而控制审计风险。第一节内部控制评价主体二、法律法规的要求内部控制评价目标应当是满足法律法规的要求，并有利于法案堆在内部控制或其他方面的具体要求。美国：1977年《反国外贿赂法》1991年《联帮储蓄保险公司修正法案》2002年《萨班斯—奥克斯利法案》中国：2001年《公开发行证券的公司信息披露内容与格式准则第11号——上市公司公开发行证券募集说明书》2006年《上市公司内部控制指引》2008年《企业内部控制基本规范》第一节内部控制评价主体三、企业自身管理与发展的要求内部控制是企业管理工作的基础。一般而言，公司内部控制报告包括以下内容:（1）对高层管理人员所负责实施的调查和评价的性质进行描述，并且指出高层管理人员是否相信这些调查，从而对内部控制有效性做出评价；（2）对报告期内针对高层管理人员认为的过度商业风险所采取的补救措施进行描述，并对他们知道的将持续存在的过度商业风险进行披露；（3）提供在过度商业风险方面与外部审计师或内部审计师的不同意见，以及解决这些不同意见的建议等信息。第一节内部控制评价主体第二节管理层评估内部控制一、内部控制自我评价与评价目标管理层评估内部控制称为内部控制自我评价，是指公司董事会及其审计委员会根据内部控制评价的有效性标准对本公司内部控制的设计和执行情况进行自我评价的过程。内部控制自我评价关注：(1)确定主要商业风险；(2)帮助实现公司目标；(3)检查现有的流程控制情况并改进；(4)调查商业流程并改进。二、内部控制自我评价程序（一）分解内部控制系统（二）分析内部控制目标（三）梳理企业业务流程（四）选择关键控制点（五）建立评价指标体系（六）评价并报告考虑因素：(1)岗位牵制;(2)授权;(3)信息沟通;(4)检查监督;(5)记录;(6)相关考核。1.设计评价指标2.确定指标标准第二节管理层评估内部控制三、内部控制自我评价的实施（一）管理整合方法管理整合方法，是在现有制度的基础上，对所有业务作流程化处理，确定控制路线、环节和控制标准，从而定期评价内部控制。企业基于业务流程的内部控制评价可以采用管理整合方法优点：1.包含整体思想；2.简明直观；3.激发员工责任感。缺点：1.实际操作中，确定关键控制点的困难2.对关键控制点责任人的界定模糊不清第二节管理层评估内部控制第二节管理层评估内部控制管理整合方法框架图（二）分层评价方法分层评价方法，是在企业的重要业务、流程及全程控制有效性方面设计综合评价指标，定期评价这些指标，以确定组织内部各部门、层次、环节控制的水平。适用于层级结构复杂的企业集团；组织结构简单的中小企业，没有必要进行分层评价。优点：既有对单个部门或单个业务的内部控制状况的具体评价，又有对企业内部控制状况的整体把握，形成了分级别、一体化的评价体系，得到比较全面的评价。缺点：分层逻辑与企业日常业务处理的顺序不同，易导致考察具体工作时缺乏逻辑上的连贯性，不利于发现业务处理中存在的漏洞。第二节管理层评估内部控制第二节管理层评估内部控制分层评价方法框架图（三）因地制宜的评价方法因地制宜的内部控制评价方法，即针对组织经常发生问题的内部控制环节进行深入的调查和分析，根据问题产生的原因制定相应的对策或对内部控制系统进行调整、修补，甚至是部分或全部的重构。第二节管理层评估内部控制结果导向、事后实施实施步骤：（1）对于已经发生的问题或显现出来的征兆，通过聚焦式的观察发现其原因；（2）判断此项原因是否由局部或者整体内部控制的失效引起，决定是否需要改进内部控制，在何种程度上进行改进；（3）通过对内部控制的改进和其他配套措施的实施，预防同类问题再次发生。只适用于已经建立了内部控制系统并运行良好的大型企业和组织，而不适用于尚无或正在建立内部控制的小型企业。第二节管理层评估内部控制一、注册会计师了解内部控制对内部控制的了解应分别在企业整体层面和个别认定、交易或披露层面展开。审计人员常用以下方法了解内部控制：（1）询问被审计单位有关人员，并查阅相关内部控制文件，将两者进行核对，以检查文件规定与有关人员的理解是否一致。（2）检查内部控制生成的文件和记录，以增强对被审计单位内部控制的感性认识与直观印象。（3）观察被审计单位的业务活动和内部控制的运行情况，以便了解业务授权、文件记录等内部控制的执行是否与制度规定相吻合。（4）选择若干具有代表性的交易和事项进行穿行测试。第三节注册会计师对内部控制的评价二、从企业整体层面了解内部控制（一）了解控制环境（二）了解信息系统与沟通（三）了解被审计单位的风险评估过程（四）了解控制活动（五）了解对内部控制的监督控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。在审计业务承接阶段，注册会计师就需要初步了解和评价控制环境。影响控制环境的因素较多，主要包括：(1)经营管理的观念、方式和风格。(2)组织结构和权利职责的划分方法。(3)控制系统。与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。从五个方面了解，包括被审计单位内部的沟通、管理层与治理层之间的沟通，以及被审计单位与外部的沟通。针对财务报告目标的风险评估过程则包括识别与财务报告相关的经营风险，评估风险的重大性和发生的可能性，以及采取措施管理这些风险。考虑的主要因素包括:企业整体目标及计划、风险评估过程及应对措施、识别和应对重大变化的机制、识别会计准则重大变化的流程、业务变化时与会计部门沟通渠道、识别经营环境包括监管环境重大变化的流程等是否建立。控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括授权、业绩评价、信息处理、实物控制和职责分离等相关活动。重点考虑一项控制活动单独或连同其他控制活动，是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。对内部控制的监督是被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。考虑的主要因素包括:内部控制的定期评价，内部控制是否有效运行的证据，与外部的沟通效果，管理层是否采纳有关内部控制的建议、是否及时纠正内部控制运行中的偏差、是否根据监管机构的报告和建议及时采取纠正措施。第三节注册会计师对内部控制的评价三、从业务流程层面了解内部控制注册会计师在重要业务流程层面了解内部控制通常包括如下步骤。1.确定重要业务流程和重要交易类别2.了解并记录重要交易流程3.确定可能发生错报的环节4.识别和了解相关控制第三节注册会计师对内部控制的评价四、内部控制测试测试目标内部控制设计的健全性内部控制运行的有效性重复核查证据检查观察测试方法第三节注册会计师对内部控制的评价五、评价内部控制风险对内部控制制度最终的评价结果，根据可信赖程度的高低可以分为：1.高信赖程度控制风险评价为低水平，控制风险小于10%。2.中信赖程度控制风险评价为中等水平，控制风险在10%~40%之间。3.低信赖程度控制风险评价为高水平，控制风险大于40%。审计人员必须以通过控制测试所获得的证据为依据，充分运用专业判断，同时注意内部控制要素对某项特定