《评价内部控制》PPT课件.ppt

第二部分 内部控制,第六章 评价内部控制 第404条款评估,主要内容： 6.1萨奥法案404条款 6.2 404条款下的控制目标和风险 6.3我国内部控制制度的评价 补充：企业内部控制应用指引 企业内部控制审计指引 6.4财务报表审计中内部控制的评价 6.5 PCAOB框架,第1节萨班斯奥克斯利法案第404条款,SOA404条款：管理层对内部控制的评价 SOA404条款要求在SEC备案的公司要有一份内部控制年度报告，以作为向SEC提交的财务报告的组成部分。 提交的内部控制报告要求： 1.陈述管理层为财务报告制定和保持适当的内部控制结构和规程的责任； 2.保留财务报告编制者对于内部控制结构和规程在最近会计年度末是否有效的评估报告。 SOA要求公司管理层要报告其内部控制报告，公共会计师事务所要证明这些内部控制报告。,6.1萨班斯奥克斯利法案第404条款,一、启动404条款遵循性评审：确认关键流程 二、启动404条款遵循性评审：内部审计的角色 1.主导作用，确认关键流程、记录内部控制，并对这些控制开展适当的测试。 2.充当外部审计师的支持资源； 3.开展项目审计。,三、启动404条款遵循性评审：组织评审项目 404条款遵循性审核过程： 1.组织404条款遵循性项目方法 2.制定项目计划 项目计划要注重于涵盖组织所有业务部门的主要营运领域。 遵循性评审项目的工作步骤：见教材P115表6.1 3.选择和评审的关键流程 选择的依据：对组织产生重大损失或费用、资产规模、对财务资源的中要程度等 流程评审的选择方针： 教材P116表6.2针对404条款内部控制评审的计划考虑事项 教材P116表6.3流程评审选择指南,6.1 SOA404条款,4.记录选定的流程交易流 要用文本记录关键交易流和控制点，要有详细的流程描述。 5.确认、记录和测试关键的内部控制。 6、评估选定流程风险。 7.运用恰当的测试程序来评估控制效果。 8.同关键的利益相关者一道来审核遵循性结果。 9.完成内部控制结构有效性的报告。,6.1 SOA404条款,一、制定内部控制矩阵 表6.6（教材p125-126）控制矩阵范例 主要内容： 归纳控制点 相关风险相应的认定 控制类型 控制重要程度（高、中等）,第2节 404条款下的控制目标和控制风险,手工控制 应用程序控制 预防性控制 检查性控制,二、测试404条款内部控制 （内部控制测试具体方法在第16章中讨论）,第2节 404条款下的控制目标和控制风险,第三节 我国内部控制制度的评价,我国内部控制规范.pdf第二部分,例1 收入授信管理,风险和暴露 授予不恰当(比如，太松或太紧)的贷款。 给虚构的借款人贷款。 未经授权装运货物,授信管理的审计目标 确定授信管理职能是否得到恰当管理。 确定授信控制是否在运用上存在不一致的地方，从而阻止了向信誉良好的客户开展的有效销售。,例1 收入授信管理,控制或控制程序 客户背景证实，财务报表分析，授信职能和销售职能要职务分离(PC)。 批准抵押物担保(PC)。 测试样本贷款文件是否适当、完整(DC)。 未经授权装运货物。 授信、开单和装运职能要职务分离(PC)。,例1 收入授信管理,授信管理的审计程序 在制定授信额度之前要保证对所有新客户进行一次全面的调查。核实根据每个客户的所适用的财务和经营背景信息建立的信用文件。核实所有客户的授信额度是持续地得到检查、更新和使用的。 在接受客户销售订单前，确保订单经过授信部门的审核批准。单个客户的要求超出授信额度时，要经过更高一级授权管理人员的审核。以下这个属性抽样的例子将确定授信部门是否在需要时对赊销要求进行信用调查。 一个可能的情况是：单个销售人员可以批准授信并可以获取和发送产品，以使销售增加。此后，应收账款的坏账也随之增加。一个适当的矫正方法是对授信进行独立审核和批准。 选出具有代表性的销售订单和相应的发票，然后确定：(1)授信扩大的条件和数额是否在授权的限度内；(2)当授信额度和或条件超出应有范围时，在接受订单之前要经过合理的授信审批。 将那些收到的授信历史记录同拒绝的授信历史记录进行比较，评价控制的适当性。,例2 证券现金管理,风险和暴露 从事并隐瞒未经批准的支付。 电子现金转账系统中存在舞弊。 空白支票的遗失或失窃。,现金管理的审计目标 确定现金收入是否安全保管，并及时存到指定银行账户。 确定现金收入的实物安全控制、管理控制和系统控制是否适当和恰当。 确定现金支付是否按照管理层特定指令，只向经过授权的接收者支付。 确定零用现金支出和退还活动的控制是否适当。,例2 证券现金管理,控制或控制程序 分离开立支票和银行往来对账职能的职责(PC，DC)。 双重控制，系统存取控制，系统回复和转账请求确认(PC，DC)。 建立空白支票存储的实物安全控制(PC)。,现金管理的审计程序 1.确保公司或部门的到期应收款邮寄到银行存款箱，并存到公司的银行账户中。审核所有现金收入是否都清楚地标明来源(比如，银行存款箱和债务)。确保所有开立的银行账户都经过公司的资金部门授权。,例2 证券现金管理,2确保所有涉及银行在授权和保兑现金收入时收到的指令都经过正确的程序，包括姓名和授权个人的签字。审核系统记录，确定是否存在向指定银行以外的银行登记现金收入的企图，并确定管部门对此采取的措施。审核数据文档访问控制措施，核实电脑访问权限是否受到主要工作职责的限制。核实所有数据文档访问都通过访问密码，或其他形式的访问人身份验证而记录在系统中。确保现金管理系统产生每日的交易记录，以反映所有的处理活动。 3审核有关负责应用现金的人员的职务分离，测试从而确保他们不从事以下活动：核对银行账户；打开收到的邮件；编制、记录、邮寄或批准付款单据；编制、签名、邮寄或发送工资单或其他支票；进行应付票据或任何其他债务证据的处理工作。关于汇款收入，审核从而确保它们由出纳、应收账款或开票人员以外的人接收。确保在打开邮件时进行详细记录，并且由第三人调整至账面分录和存款单。,例2 证券现金管理,4关于非汇款收入，确保它们是通过以下程序预先列示和说明的：通过确认用于签发的收据表格，使用的现金登记簿，预先编号的收据表格来准备机器磁带，并且测试的所有收据和预先列示的内容都在现金收入日记账中连续记录。 5为了确保所有收到的支票都限制背书，并且现金都及时使用和存储了，执行以下审计测试：审核现金使用和存储程序的适当性和完整性；确保现金收入及时记录和储存；确保接触现金收入仅限于该程序的每个阶段对现金有保管责任的人；确保现金收入储存到应收账款账户，而不同其他资金混合；确保编制存款备忘录，描述收入的性质，并在收到每一批支票时都报告会计部门；确保工资或个人支票不从现金收入中支取；确保未存银行的收入限制背书，并且受到有效的实物安全控制(如锁、钥匙和保险柜)以防遗失或失窃；确保现金按托收委托书而不是现金票据过账到具体的应收款账户；,例2 证券现金管理,确保所有其他资金或证券的保管与负责使用现金的职责分离；确保有足够的安全措施以防止处理现金的人员通过记录假折扣或补贴来盗用现金；确保因资金不足未付的退回支票直接送到负责的职员(或其他出纳)处进行调查；确保进行托收的分公司或部门把这些资金储存到只能由母公司或总公司撤销的银行账户中，确保有适当的实物安全措施和设施(如保险箱、禁区)来保护现金；确保接收和处理现金的人员有适当担保，并且有年度假期。 6审核电子现金转账系统，观察签署程序、输入的指令和产生的记录。审核记录程序以确定在实际处理和记录程序中是否有差异存在。适当的评价的现金转移程序。测试从而确保所有现金转移都经现金管理部门和综合会计部门的书面批准，并由银行向授权方保兑。,7审核发给现金支出银行的指令的适当性和一致性。核实可以转账的银行名单已经同授权建立银行账户的资金函(eeas唧1ener)进行过对账，如果存在差异，调查并调整差异。审核确定是否已经存在向未经授权银行转移资金的企图。讨论可以发现这种企图的控制措施，并评价其可行性。确定所有现金转移都经银行确认，审核收到的确认证明，并与会计和现金管理部门的记录对账。尤其是审核每日现金交易业务记录，确保它们同原文件和确认单一致，确保任何调整都经管理层审批。 8确定银行对账单是否迅速、准确地编制。 9确保银行结单由对账部门直接从各个授权银行接收。选出一个银行账户对账单的样本并执行下列审计测试：观察这些信息都有银行报表和总分类账的支持；确定使用的对账格式和指定的格式一致；核实差异已经处理；测试对账表由负责对账的人及时处理并签字。,例2 证券现金管理,10.为了测试对账中的差异如何解决，执行下列审计测试：确保所有调整都有文件证明；确保文件前后对照；审核会计部门纠正分录的传送；核实不平衡情况得到迅速地调查并纠正。审核银行对账单经由管理层签字批准。 11为确保注销支票有批准签字，审核一个签署支票的样本，确定签名是公司签名簿中授权的。 12为确保处理零用金的人支付和收取的现金是基于批准的文件，且经过及时、准确的记录，执行下列审计测试：审核已经建立的与支付零用金有关的程序，评估其适当性；确保支付给职员的预付资金经过批准；确保已经确定个人可以支付的零用金最大限额；确保零用现金凭单，每一笔支出都要编制，有足够的支持，用墨水书写或打印，标明日期，详细说明支付款项，清楚地表明支付金额，由接收现金的人签字；确保所有证明现金支取的文件都注销，以防重复使用。 13审核退还请求和相关的凭单同既定的程序保持一致。特别是证实所有支持性的凭单都包含经过授权的批示，单个凭单累计总额是准确的，所有凭单和支付性凭证在退还时都要注销，以防重复使用。,例2 证券现金管理,补充：,内部控制指引.pdf 内部控制评价指引.pdf 内部控制审计指引.pdf 案例 中石化内部控制.PPT 内部控制评价报告实例劲嘉股份内部控制评价报告,第4节 内部控制审计,内部控制审计目标 内部控制审计的内容与对象 内部控制审计步骤 文档化上述认定所对应的控制活动,内部控制审计目标,基于内外部信息使用者的不同需要内部控制审计目标分两类： 满足外部信息使用者的对企业内部控制信息的需要 满足企业管理的要求 内部控制审计主要以企业内部审计部门为审计主体，在结合自己经营特点的基础上，通过系统化、规范化的方法来评价企业内部控制在识别、分析、评价、控制企业风险以及企业内部控制目标实现程度等方面进行一系列的审核活动，以便企业实现内部控制系统的目标。 内部控制审计的功能： “查漏补缺 ” “ 再生重建” “检查评价” “监督咨询”,内部控制审计内容,内部控制审计的内容; 对企业内部控制制度设计的合理性以及运行的有效性进行测试和评估。,一、内部控制审计的步骤,编制审计计划； 评价经营者的内部控制评价过程； 了解财务报告内部控制； 测试和评价财务报告内部控制的设计有效性； 测试和评价财务报告内部控制的运行有效性； 形成关于: 经营者的评价过程 财务报告内部控制是否有效的意见； 编制审计报告。,评价步骤：,复核内部控制文件 复核经营者的测试内部控制运行的程序,1.评价经营者的内部控制评价过程,与所有重要的F/S项目相关的认定所对应的控制活动的设计，包括内部控制5要素，如控制环境和公司层次控制； 关于重要的交易如何开始、批准、记录、处理以及报告的信息； 关于交易流程的足够信息用以识别因错误或舞弊引起的重要错报可能发生的环节； 为预防或发现舞弊而设计的控制活动，包括控制活动的执行人以及相关职务的分离； 与期末财务报告过程有关的控制活动； 与资产维护有关的控制活动； 经营者的（内部控制）测试和评价结果。,复核经营者内部控制评价报告,经营者是否恰当地陈述了关于建立健全财务报告内部控制的责任？ 经营者用于评价内部控制的框架是否合适？ 经营者关于内部控制有效性的评价中是否不存在重大的错报？ 经营者的内部控制报告的表达方式是否符合格式要求？ 所识别的财务报告内部控制中的重大缺陷，包括期间已纠正的重大缺陷在内，是否得到恰当地披露？,图表6-3 经营者评价过程,决定要评价的控制项目,测量虚假反映的风险,决定评价的范围,评价控制的设计有效性,评价控制的运行有效性,确定重要的控制缺陷,评价发现事项,向审计人等传达发现事项,与所有重要的F/S项目的认定所对应的控制活动*,控制失败引起虚假反映的可能性 虚假反映的重要程度 其他有效控制实现相同控制目标的程度,根据重要性判断决定要评价的子公司和业务部门,评价手续：内部审计部门的测试、经营者指派的其他人员的测试、作为监视活动组成部分的自我评价,评价范围：与所有重要的F/S项目的认定对应的控制活动,发现事项是否合理、 是否支持经营对内部控制的评价,与所有重要的F/S项目认定对应的控制活动,关系到所有重要的财务报表项目和披露以及相关认定的开始、批准、记录、处理和报告的控制活动； 关系到按照CAAP选择和应用会计政策的控制活动； 反舞弊程序和控制活动； 包括信息技术的总体控制在内的、其他控制活动所依据的控制活动； 关系到重要的非常规、非系统的交易的控制活动； 包括控制环境以及期末财务报告过程控制的公司层次的控制活动。,图表6-4 综合审计中内部控制评价,固有风险评估,识别内部控制,记录对内部控制的了解,确定要测试的控制活动,是否信赖 内部控制,实施内部控制测试,评价内部控制的有效性,记录测试过程和结果,验证有无重大错报或漏报,对各个交易循环实施各项程序,经营背景的调查前年度审计结果的研究 分析性程序的应用舞弊可能性的判断,内部控制5要素: 公司层次的控制 AC监督的有效性 重要的F/S项目和披露 重要的F/S认定和交易 了解期末财务报告过程,相关内部控制不存在 内部控制未有效运行 测试的成本效益差,设计实质性测试,no,yes,了解内部控制的目的,财务报表审计：初步评价控制风险，据以决定暂定的测试范围并编入审计计划。 内部控制审计：确定内部控制测试范围。,2.了解财务报告内部控制,图表6-5 确定要测试范围的程序,从财务报表层次开始 识别重要的会计账户,识别与每一个重要 账户相关的认定,识别重要的交易过程 和主要的交易类别,识别要测试的控制活动： 预防性的、发现性的,明确各个控制活动和重要 账户及认定的链接关系,应用穿行测试识别可能 产生错误或舞弊的环节,识别、了解、评价公司 层次控制的设计有效性,直接影响账户公允反映的认定，如存在或发生之于现金账户、估价与分摊之于折旧账户,主要类别：对财务报表很重要的交易。 重要过程：开始、批准、记录、处理和报告。交易的过程,在识别重要账户、相关认定以及重要过程中识别可能产生错误或舞弊的环节；,确定业务处理控制和控制目标、会计认定的对应关系,错误或者舞弊可能发生的环节； 经营者导入的控制活动的性质； 控制活动对实现目标的重要性* 控制活动不能有效运行的风险,图表6-6 财务报表要素和业务循环,控制目标,业务处理控制既有直接与会计认定相关的内容，也有间接地作用于会计认定成立的内容。 为了抑制财务报表的可靠性不成立的风险，除了直接与财务报告可靠性有关的会计认定以外，还必须设置保证内部控制有效性的指标。 控制目标： 完整性所有已发生的业务都得到了处理； 正确性已发生的业务都已及时地、正确地记录于恰当的账户； 有效性所有已记录的业务都是企业真实的业务、经过授权批准； 接近限制限制未经授权的人接近资产和重要的记录。,主要控制的确定,业务处理控制与会计认定的配比 业务处理控制与控制目标的配比 与会计认定和控制目标相对应的业务处理控制就是需要执行控制测试以核实其效果的主要控制。,3.内部控制设计的有效性测试和评价,识别各个领域的控制目标； 识别满足各个控制目标的控制活动； 判断有效的控制活动是否能有效地防止或发现可能引起重要财务报表错报的错误或舞弊。,4.内部控制运行的有效性测试和评价,内部控制运行是否如设计的一样，执行控制活动的人是否拥有必要的授权和资质以有效地执行控制。 在财务报表审计中，内部控制运行有效性的测试包括内部控制是否在年度中持续运用的测试。,证据评价,经营者实施的评价的适当性 审计人自身对内部控制设计的评价和对内部控制运行有效性的测试的结果 财务报表审计中执行实质性测试所获得的负面结果 所识别的控制缺陷 内部审计关于财务报告内部控制的报告,内部控制缺陷的定义,Control Deficiency：由于控制活动的设计或运行上的原因，经营者或者其员工在正常的业务执行过程中不能及时防止或发现错报的缺陷。 Significant Deficiency：影响企业根据一般公认会计原则开始、记录、处理、汇总和报告财务和非财务信息的能力的控制缺陷或者控制缺陷的组合，有这种缺陷的内部控制可能不能防止或发现财务报表错报。 Material Weakness：很可能导致不能防止或发现财务报表错报的重要缺陷或者重要缺陷的组合。,图表6-8 内部控制缺陷及其重要程度判断,S缺陷,S缺陷,M缺陷,可能性 （likelihood）Remote,重要程度 （significance） Material,Probable,Immaterial,图表6-9 审计意见的类型,否定意见,有无M缺陷 公允反映否,审计范围是否受到限制？,是否被审计企业设置的？,无保留意见,重要程度？,拒绝表示意见,保留意见,yes,yes,yes,no,no,no,内部控制评价是贯穿于整个审计期间的活动,期末审计中执行的审计程序是为了证明交易和账户余额适当与否，但通过“记录和事实的核对”同时也使相关内部控制的运行情况得到了确认。,内部控制的评价是不断修正的过程,符合性测试得出与初步评价一样的结果，根据计划执行实质性测试； 得出可靠程度比初步评价判断的更低，计划和执行更严密的实质性测试； 得出可靠程度比初步评价判断的要高，不能简单地根据该结果调整实质性测试。,图表6-10 内部控制评价修正过程,了解内部控制,是否信赖 内部控制,初步评估控制风险,初步评价 的风险高吗,执行内部控制测试,初步评价 的结果合理吗,确定控制风险的评价,计划实质性测试,要调低初步 评价的结果吗,No,不信赖内部控制,Yes,修正,中或低风险,（高风险）,No,No,Yes,二、文档化内部控制审计,对控制5要素的了解和各个要素设计的评价； 用于确定重要项目和披露以及主要交易过程和类别的程序，包括对执行测试的区域或者业务单位的确定； 重要项目和披露以及主要交易过程和类别内可能发生与相关财务报表认定有关错报的环节的识别； 审计人依赖其他人的工作的范围以及关于这些工作的完整性和客观性的评价； 对审计人在测试中发现的任何缺陷的评价； 可能导致审计报告修改的其他发现。,1.内部控制评价结果文档化的方法,单纯地用（业务处理控制的已建立健全或运行有效）或者（业务处理控制的为建立或没有有效地运行）记述评价结果。 预先规定评分标准，对内部控制的实际状况进行打分，并确定目标分值，将实际得分与目标分值进行比较，差异表示需要改善或者加强的部分。,图表6-11 内部控制设计评价的文件,2.内部控制审计报告,记述内部控制、控制目标以及固有限制； 定义内部控制中存在的M缺陷； 记述所有发现的M缺陷； 关于内部控制有效性的意见。,有关内部控制审计的沟通,审计人应该在签发内部控制审计报告之前以书面形式向经营者和审计委员会报告审计中所发现的S缺陷和M缺陷。,图表6-12 综合审计中内部控制评价过程,了解 内部控制,实施测试程序,第1阶段,第2阶段,第3阶段,评价 内部控制,评估 控制风险,设计和执行 实质性程序,反馈,第5 节财务报表审计中内部控制的评价 (自学）,内部控制对财务报表审计的意义 内部控制与内部审计,一、内部控制对财务报告的意义,现代财务报表审计仍然需要通过复查经济业务来获取审计证据，但在审计时间和审计费用的制约下，审计人并不复查所有的经济业务，而是通过评价内部控制的有效性间接地验证会计记录是否值得信赖，在此基础上根据其对重要性和审计风险的评估以及财务报表项目本身的性质，抽查经济业务。,第4节财务报表审计中内部控制的评价,内部控制和测试,财务报表审计的证据活动逻辑,根据有效的内部控制生成的基本会计资料编制的财务报表所内涵的会计认定要比内部控制有缺陷情况下的会计认定可靠。 有效的内部控制可以合理保证较低水平的控制风险，与此相对应，审计人可以在较低水平控制风险的前提下确定相应的审计具体目标，以较低水平检查风险为前提实施相应的审计程序。,第4节财务报表审计中内部控制的评价,与审计相关的控制,为实现财务报告可靠性目标设计和实施的控制； 与实施审计程序时评价或使用的数据相关的用以保证经营效率、效果的控制以及对法律法规遵守的控制； 与实现财务报告可靠性和经营效率、效果目标相关的用以保护资产的内部控制。,第4节财务报表审计中内部控制的评价,内部控制是公司治理的一个重要组成部分，是公司股东以及债权人等籍以对公司实施控制和要求经营者履行资源经管责任的手段。 公司治理从股东赋予董事、董事赋予经营者一定的责任开始。 责任的赋予需要在控制和经管责任框架下进行：控制系统保证责任已得到恰当的定义，工作的分派符合责任和经管责任的定义。,内部控制与管理责任,第4节财务报表审计中内部控制的评价,二、内部控制和内部控制审计,有效的内部控制不仅为财务报告的可靠性提供合理的保证，而且还保证资产不受舞弊和错误的侵蚀以及企业对法律的遵守。 经营者对建立健全内部控制所抱有的态度反映了经营者对资产保全和财务报告的态度。 内部控制审计通过分析内部控制是否存在缺陷，并据以判断是否存在错报以及错报的类型，可以确认经营者是否诚实地履行了受托责任。,第4节财务报表审计中内部控制的评价,图6-2 内部控制和审计程序的关系,低风险前提下的审计程序,审计具体目标,高风险前提下的审计程序,财务报表中的会计认定,信赖,不信赖,基本会计资料,有效,审计具体目标,非有效,财务报表中的会计认定,基本会计资料,信赖,不信赖,有效,内部控制,非有效,（评价）,（评价）,资料来源：山浦久司.1999.财务审计论.日本：中央经济社，p.155,高水平的合理保证,现代财务报表审计的证明逻辑是，通过证明会计认定的成立或者不成立，间接地证明财务报表公允性是否成立。 围绕会计认定展开的审计具体目标能否为公允性命题提供证实证据，有赖于内部控制制度的有效性。 内部控制审计通过确认内部控制的防止、发现错误和舞弊的功能，有助于财务报表审计提供高水平的合理保证。,第4节财务报表审计中内部控制的评价,AS（ PCAOB发布了其第2号审计标准）#2-2和27,担任公司年报审计的审计人必须测试并报告经营者对财务报告内部控制的评价， 由于财务报表审计中所获得的信息对审计人的有关财务报告内部控制有效性的结论具有潜在的重要性，审计人不可以只审计财务报告内部控制而不审计财务报表。,第4节财务报表审计中内部控制的评价,AS#2-146,内部控制审计中了解内部控制是为了对经营者的内部控制评价发表意见。 财务报表审计中了解内部控制是为了评估控制风险最终形成对财务报表的意见。 内部控制审计和财务报表审计可以共同执行相应的程序以获得对内部控制的了解。,第4节财务报表审计中内部控制的评价,AS#2-146：147,内部控制审计中审计人为了对时点上的内部控制的有效性发表意见，需要获取足以判断内部控制是否有效运行的覆盖某一段时期的证据。 为了对作为整体的内部控制的有效性发表意见，需要获取与所有重要的财务报表项目和披露相关的认定相对应的控制活动是否有效的证据。,第4节财务报表审计中内部控制的评价,AS#2-150,财务报表审计为了评估特定财务报表认定的控制风险，审计人需要获取审计人拟予以信赖的控制活动在整个期间的运行有效性的证据。但是审计人不需要评估所有相关认定的控制风险。,第4节财务报表审计中内部控制的评价,AS#2-149，151,审计人出于控制风险评估目的推断控制活动的有效性时，应评估内部控制审计目的下的其他控制测试的结果。对这些结果的考虑可能要求审计人改变实质性测试的性质、时间和范围，计划和实施追加控制测试，特别是当追加控制测试与识别控制缺陷有关时。内部控制审计也应该吸收追加测试的结果。,第4节财务报表审计中内部控制的评价,AS#2-152,不论财务报表审计中所评价的控制风险或者重要错报的风险如何，审计人都必须对所有重要的财务报表项目