《内部控制的监督》PPT课件.ppt

内部控制的监督 中国内部审计协会 1 一、基本规范中关于监督的规定 1、监督有外部监督和内部监督之分。 基本规范第九条：国务院有关部门可以根据法律法 规、本规范及其配套办法，明确贯彻实施本规范的 具体要求，对企业建立与实施内部控制的情况进行 监督检查 基本规范第五条（五）内部监督：内部监督是企业 对内部控制建立与实施情况进行监督检查，评价内 部控制的有效性，发现内部控制缺陷，应当及时加 以改进。 2 内部监督分为日常监督和专项监督。 日常监督是指企业对建立与实施内部控制的情 况进行常规、持续的监督检查； 专项监督是指在企业发展战略、组织结构、经 营活动、业务流程、关键岗位员工等发生较大 调整或变化的情况下，对内部控制的某一或者 某些方面进行有针对性的监督检查。 专项监督的范围和频率应当根据风险评估结果 以及日常监督的有效性等予以确定。 3 2、企业应当制定内部控制监督制度 基本规范第44条规定，企业应当根据本规范及其配 套办法，制定内部控制监督制度，明确内部审计机 构（或经授权的其他监督机构）和其他内部机构在 内部监督中的职责权限，规范内部监督的程序、方 法和要求。 3、企业应当定期对内部控制的有效性进行自 我评价 基本规范第46条规定，企业应当结合内部监督情况 ，定期对内部控制的有效性进行自我评价，出具内 部控制自我评价报告。 内部控制自我评价的方式、范围、程序和频率，由 企业根据经营业务调整、经营环境变化、业务发展 状况、实际风险水平等自行确定。 4 二、监督的作用和方法 1、监督的作用内控持续有效 环境的变化会影响内部控制制度的持续有效性 ，管理层必须决定内部控制制度是否持续有效 ，是否能处理新风险。 监督可以确保内部控制制度能持续有效的运作 2、监督的方法 持续监督（日常监督）与专项监督 个别评估 对监督结果（控制缺陷）的报告 5 A.持续监督-容于管理控制 持续监督是过程 监督 个别评估是结果 控制 持续监督的有效性 高低 个别评估次数 少 多 个别评估究竟需要多少，管 理层才能保证内控的有效性 ，取决于管理层的判断，同 时也受以下因素的影响：1 已发生的改变及其所设计的 风险的性质和程度；2 执行 控制的员工的能力和经验； 3 持续监督的结果 寻求最 简结合 6 负责营运的管理阶层，在履行其日常管理职责时， 取得内部控制制度持续发挥功能的证据。 利用外部信息，来验证内部产生的信息的正确性， 或比较出问题的所在。（与政府机关、客户交往） 利用健全的组织机构和职责分工来监督控制的有效 性，并辨识其缺陷。 账实核对，以提示期间的差异（如定期盘点存货） 利用内审、外审和其他检查人员提出的建议，强化 内部控制。 会议和研讨发现内控的缺失，反馈并采取措施。 定期要求员工汇报对行为守则的了解和遵守情况； 对于业务和财务人员要回报特定控制的执行 7 B.个别评估-直接监视内控的有效性 评估范围和频率 范围与目标有关； 范围、频率与被控对象风险的大小及控制的重要 性有关； 风险大的控制应经常评估；不可或缺的要经常评 估；对整体的评估要少于对特定控制的评估次数 ；重大策略改变、管理阶层变动、重大的并购或 处分、重大的营运方法改变、财务信息处理方式 的改变，需要对整体内控制度进行评估 8 B.个别评估-直接监视内控的有效性 评估主体 企业的员工； 内部审计机构； 外部审计 评估过程 了解内控的设计情况（要控制什么，如何控制） 了解内控的实际运行情况 设计与执行之间的差异，目标是否达成，是否存 则缺陷。 9 B.个别评估-直接监视内控的有效性 评估的方法（标杆法、查阅、调查、访谈等 ） 书面记录 书面的内控制度或非书面的 评估过程要书面记录 内控评估的行动计划 10 C.报告评估结果-内控缺陷 信息来源 日常监督 个别评估（管理层、内审、其他参与人员） 外部：顾客、供应商、政府机关、外审人员以及 其他利害关系人） 报告内容 影响单位目标达成的控制缺陷应该向能采取必要 行动的人报告 及时报告 向谁报告：直属领导，高一级的主管 11 三、内部控制监督的步骤 了解内部控制的设计和实施 评价控制风险 控制测试 确定计划检查风险和实质性测试 12 了解 记 录 评 价 考虑因素： 1-规模和业务复杂性 2-数据处理系统复杂性 3-控制类型和方式 4-固有风险 方法： 1-询问 2-查阅文件 3-检查凭证和记录 4-观察 5-穿行测试 内容： 内部控制五要素 1文字说 明 2-调查表 3-流程图 健全性判断 合理性判断 13 确定内部控制设计和运行情况的程序： 了解5要素，考虑(1) 每个要素的各项控制 的设计；（2）这些控制是否付诸实施。 更新并评价审计师在以前年度对企业内部控制 的了解。 询问客户的职员 阅读客户的政策和制度手册 检查凭证和记录 观察公司活动和运营 如何了解？ 想知道客户的内部控制是什么样的？ 14 文字描述应具备四个特征： 系统中各凭证和记录的来源； 进行的所有处理； 系统中各凭证和记录的处理； 与控制风险评价相关的内部控制的说明。 流程图 简洁 同时应用文字描述和流程图并不多见，但可以结合用 内部控制问卷 回答YES OR NO ，NO往往代表缺陷。 优点：审计开始时迅速涵盖个领域；缺点：标准化问 卷不适用于各种情况。 如何记录？ 文字描述、流程图还是问卷，你有偏好吗？ 15 图9-3 P311 16 审计师需要进行以下四个方面的评价： 评价是否有可能对财务报表进行审计 管理当局的诚信 会计记录的充分性 根据对内部控制的了解确定控制风险的评估值 无法防止重大错报的发生或在重大错报发生后无法发现和 纠正这 些错报的预期值 高水平，中水平，还是低水平（1，0.6, or 0.2) 控制环境差（管理当局不重视内控），控制风险定为“高” 三种策略：A 直接假定控制风险是最大值；B 电子信息，控制风 险评为低于最大值，并执行详细的控制测试；C 审计师虽确信控制 风险为低水平，但需要搜集证据证明时，应定为中等或高水平。 确定是否有可能证明控制风险评估值比初始评估值低 确定恰当的控制风险评估值（成本-效益决策问题） 如何评价？ 评价控制风险，不要忘记内控的缺陷和审计目标？ 不要忘记，这仅仅是一个初步评估值！ 17 下面这个程序会给你帮助啊！ 如何评价控制风险？ 其实，到现在也仍 然不会进行控制风 险的评价，但你不 用着急，很快，你 就会了！ 1确定与业务相关的审计目标 2确定具体控制 3确定和评价内部控制缺陷 4控制风险矩阵 18 内部审计师通常按照业务循环中与各主 要业务类型相关的审计目标来评价控制 风险 销售收款循环业务类型： 销售 售后退回与折让 收款 集体坏账准备与坏账核销 确定与业务相关的审计目标 还记得销售的审计目标吗？ 业务的一般目标 演化 为具体业务的审计目标 1确定与业务相关的审计目标 19 确定由助于实现与业务目标相关的各审 计目标的具体控制。 浏览描述客户内部控制制度的信息来确定相关 的控制 考虑客户可能存在的控制类型以及询问可是是 否确实存在这些控制 审计师只需考虑预期对实现与业务相互的审计 目标有最大影响的控制（关键控制） 你是不时发现将控制与审计目标结合起来， 是如此的美妙，将使你的审计更有针对性！ 2 确定具体控制 20 内部控制缺陷缺乏充分的控制，从 而增加了财务报表中出现错报的风险。 如果审计师认为控制不能满足于业务相关的某 一审计目标，就会预期关于该审计目标的会计 数据存在错报的可能性增加。 确定重大的内控缺陷的四步法： 1 确定现有的控制 2 确定客户缺乏的关键控制 3 确定可能导致的潜在重大错报 4 考虑补充控制的可能性 补充控制是内控制度中存在的，可以抵消内控缺 陷的控制。如所有者积极参与企业的经营。 补充控制存在，使审计师不再关注控制缺陷。 3 确定和评价内部控制缺陷 21 图9-4 P315 客户：Hillsburg 公司 表P-3 内部控制缺陷 编制人：JR 循环：销售与收款 期间2002/12/31 缺陷补充控制潜在错 报 重要性对审计证 据的影响 1 没有按照编号 的先后顺序 使用事先编 号的发票 无未记录 的 销售 潜在 重要 使用审计软 件搜索遗漏 的销售发票号码；执行 关于销售收入和毛利的分 析性程序 2 没有独立地核 对发货 凭证 的日期与记 账的日期 每周检查 不 能匹配和未 入账的发货 业务 不适用不适用 不适用 22 一个控制，对多个审计目标 几个不同的控制，影响一个审计目标。 r似乎情况很复杂，但控制风险矩阵将成为 你的助手！ r审计师使用控制风险矩阵来确定关键控制 ，控制缺陷及评价控制风险。 4 控制风险矩阵 23 4 销售业务的控制风险矩阵 24 25 复核各栏的相关控制及控制缺陷，并问 自己： 这些控制不能防止或发现拟控制的重大错报 类型的可能性有多大？ 控制缺陷的影响是什么？ 如果关键控制不能防止或发现并纠正重 大错报的可能性很大，控制风险就应该 评价为高水平，以此类推。 4 控制风险矩阵 26 当了解、评价内控，发现内控存在的问题时，难 道你不想对管理当局说点什么吗？不要自己因知 道缺陷而偷偷乐，和管理当局分享一下。 与管理当局沟通内部控制的应报告事项 及相关事宜 知悉的对审计委员会履行其职责有重要影响 的信息（与内控的设计或运行的重大缺陷有 关）被称为“应报告事项” 与审计委员会的沟通 与企业内部承担内部控制总体责任的人（董事会 、所有者兼经营者等） 管理建议书一些与内部控制有关的、不 太重要的事项，以及可以改进客户经营管理 的事项。将这些事项告知客户。 4 控制风险矩阵 27 28 控制测试 真纳闷？风险评价都做完了，为什么还要对控制进行测 试？如何测试？ 不要着急，我会帮助你！ 被初评为低于最大值水平的内部控制（关键控制）， 是我们拟信赖的，应执行足够多的控制，测试其控制风 险水平，对初评值进行再次确认或调整。 如果某些控制时审计师降低控制风险评估值的依据，审 计师必须取得这些控制在所有（至少是大部分）被审计 期间内有效运行的证据。测试内部控制的有效性以支持 较低的控制风险水平评估值的程序称为控制测试。 控制测试结果表明控制的运行情况符合预期的设计，审 计师应继续采用原来的风险评估值；如果控制测试表明 控制的运行不太有效，审计师就需要重新考虑控制风险 评估值。（我们是多么的谨慎！） 29 下面是如何进行控制测试？ 1. 用什么方法测试（四种测试程序） 学问恰当的客户职员 检查凭证、记录和报告 观察与控制相关的活动 重新执行客户程序 2. 控制测试的范围(取决于控制风险的预期评 估值,低:意味更详细得控制测试) 信赖以前年度的审计证据(以前有效,今年咋 办?) 测试期间未覆盖整个审计期间 控制测试的轮换 30 控制测试与了解内部控制程序之间的关系? 你会觉得他们有交叉?询问、检查和观察都用。 区别： 了解：针对所有控制使用这些程序；控制测试：仅限于关 键控。 了解：设计一个或多个业务，或仅仅在某一时点（执行观 察程序时）；控制测试：选取的业务量较大（可能是 20100个业务）；而且往往需要在多个时点执行观察程序 。 对于关键控制而言，除了重新执行，其他程序实际上都