内部控制及其评审(3).ppt

第六章内部控制及其评审 云南财经大学会计学院 本章主要内容 第一节内部控制概述第二节内部控制评审第三节管理建议书 第一节内部控制概述 一 内部控制的发展历程二 内部控制的框架体系三 内部控制的目标四 内部控制的局限性五 内部控制与审计的关系 一 内部控制的发展历程 1 一 内部牵制 阶段 1 时间 在20世纪40年代前2 主要特点 以任何个人或部门不能单独控制任何一项或一部分业务权利的方式进行组织上的责任分工 使每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制 以便相互牵制 防止发生错误或弊端 3 基本假定 其一 两个或两个以上的人或部门无意识地犯同样错误的可能性是很小的 其二 两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性 一 内部控制的发展历程 2 二 内部控制 阶段 时间 20世纪40年代到70年代初权威性定义 内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施 这些方法和措施都用于保护企业的财产 检查会计信息的准确性 提高经营效率 推动企业坚持执行既定的管理方针 内容 内部控制制度具体包括会计控制和管理控制两大部分 一 内部控制的发展历程 3 三 内部控制结构 阶段 时间 从20世纪80年代以来标志 是美国注册会计师协会于1988年5月发布的 审计准则公告第55号 该公告首次以 内部控制结构 概念取代了 内部控制制度 一词 定义 企业的内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序 构成要素 内部控制结构由控制环境 会计制度和控制程序三个要素构成 一 内部控制的发展历程 4 四 内部控制整体框架 阶段 时间 1992年9月 美国反虚假财务报告全国委员会的发起者组织委员会 COSO 发布了指导内部控制实践的纲领性文件COSO研究报告 内部控制 整体框架 定义 内部控制是由企业董事会 经理阶层及其他员工实施的 为财务报告的可靠性 经营活动的效率和效果 相关法律法规的遵循性等目标的实现而提供合理保证的过程 构成要素 控制环境 风险评估 控制活动 信息沟通和监督 一 内部控制的发展历程 5 五 企业风险管理框架 阶段 时间 2004年9月 COSO发布了 企业风险管理框架 定义 企业风险管理是由企业董事会 管理层和其它员工共同参与的 应用于企业战略制定和企业内部各层次和部门的 用于识别可能对企业造成影响的事项 并在其风险偏好范围内管理风险的 为企业目标的实现提供合理保证的过程 构成要素 企业风险管理框架由内部环境 目标制定 事项识别 风险评估 风险反应 控制活动 信息和沟通 监控等八个相互关联的要素构成 二 内部控制的目标 1 营运性目标 就是各种经营活动的效果和效率 2 信息性目标 即财会报告的可靠性 完整性和及时性 3 遵从性目标 也就是说对现行法律和规章制度的遵守 这三大目标满足不同的需要 又相互交叉 一个良好的内控系统应能够确保上述三大目标的实现 三 内部控制的构成要素 一 控制环境 控制环境决定了一个组织的气氛 影响该组织中人们的内部控制意识 控制环境是内部控制其他要素的基础 决定着内部控制的规则与结构 其内容主要包括 1 正直品行与价值观2 人员胜任能力3 管理哲学和经营风格4 董事会及审计委员会5 组织结构6 权责划分7 人力资源管理 二 风险评估 风险评估是指与提供符合公认会计原则的财务报告有关的风险的确认 分析和管理 风险评估过程必须判明企业完成既定目标存在的外部风险 分析各种风险的类型和程度 为风险管理提供依据 引起风险的环境因素主要包括 1 经营环境的改变2 新职员的介入3 新技术的引进7 会计政策的变更5 信息系统的更新6 公司的快速成长4 新生产线或新经营活动的出现 三 控制活动 控制活动是指确保管理层指令得以实施的政策和程序 一般来讲 与审计活动相关的控制活动具体包括以下内容 1 职务分离2 实物控制3 信息处理控制4 业绩独立检查 四 信息沟通 一个健全的企业内部控制系统必须拥有一套完善的有关信息传递 沟通与反馈的信息系统 企业的组织结构设计必须能够鼓励纵横两个方向的信息流 以适应组织的信息需求 五 监督 监督是指由管理当局对内部控制效果进行持续或定期的评估 以确保其按预定目标发挥作用及根据情况变化而适时修正 完善 它包括日常的管理监督活动 也包括内部审计及与单位外部团体进行信息交流的监控 意在评估内部控制 具有一定的超然性和独立性 四 内部控制的局限性 一 成本效益限制 二 例外事件限制 三 人员素质限制 四 串通舞弊限制 五 滥用职权限制 六 时间效用限制 五 内部控制与审计的关系 联系 对内部控制的重视与信赖 加速了审计方法的变革 节约了审计时间和审计费用 同时也扩大了审计范围 完善了审计职能 在确定内部控制与审计的关系时 应当注意以下几点 1 注册会计师在执行会计报表审计业务时 不论被审计单位规模大小 都应当对相关的内部控制进行充分的了解 2 注册会计师应根据其对被审计单位内部控制的了解 确定是否进行符合性测试以及准备进行的符合性测试的性质 时间和范围 3 对被审计单位内部控制的了解和符合性测试 并非会计报表审计工作的全部内容 第二节内部控制评审 一 对内部控制的了解与描述二 评价内部控制设计的合理性三 测试和评价内部控制执行的有效性 一 对内部控制的了解与描述 1 一 内部控制的了解注册会计师了解被审计单位内部控制的途径主要有以下几个方面 1 查阅相关内部控制文件 了解内部控制 2 利用以往的审计经验 了解内部控制3 通过观察和询问 了解内部控制4 通过穿行测试 了解内部控制 二 内部控制的描述 审计人员在充分了解和掌握上述内部控制的情况后 应当用适当的方法对内部控制加以描述 以供修订和修改审计计划和程序之用 或供日后查考之用 用于内部控制描述的方法主要有文字表述法 问卷调查法和流程图法等 1 文字表述法 审计人员将所了解到的被审计单位业务的授权 批准 执行 记录 保管等程序及其实际执行情况用叙述性文字记录下来 以形成对内部控制描述的一种方法 2 问卷调查法 审计人员根据被审计单位的业务类型 业务循环 内部控制等 将内部控制的必要事项特别是与保证会计记录的正确 可靠以及保证财产物资的安全 完整有关的主要事项作为调查项目 事先设计出一系列有针对性 标准化的调查表 利用调查表来了解被审单位内部控制是否健全完善 从而对内部控制加以描述的一种方法 3 流程图法 指用特定的语言符号或图形 将被审计单位的组织结构 职责分工 权限范围 会计记录 业务处理流程等内部控制情况 以图解的形式直观 形象地加以描述的一种方法 二 评价内部控制设计的合理性 注册会计师通常在了解内部控制各要素的基础上 根据内部控制能否防止和发现会计报表有关认定的重大错报 评价内部控制设计的合理性 在确定评价特定内部控制设计合理性的程序时 注册会计师应当考虑以下因素 特定内部控制的性质 特定内部控制的描述方式 经营活动及其管理系统的复杂性等 三 测试和评价内部控制执行的有效性 一 内部控制执行有效性的测试在测试内部控制执行的有效性时 注册会计师通常实施以下程序 1 询问被审核单位的有关人员内部控制的运行情况 2 检查内部控制生成的文件和记录 3 观察被审核单位的经营管理活动 4 重新执行有关内部控制 二 内部控制执行有效性的评价 审计人员完成执行测试后 应对被审计单位内部控制的有效性进行评价 对内部控制最终的评价结果 根据可信赖程度的高低 可以分为以下三种类型 1 高信赖程度2 中信赖程度3 低信赖程度 第三节管理建议书 一 管理建议书的概念管理建议书 注册会计师针对审计过程中注意到的 可能导致被审计单位会计报表产生重大错报或漏报的内部控制重大缺陷提出的书面建议 管理建议书提及的内部控制重大缺陷 仅为注册会计师在审计过程中注意到的 并非内部控制可能存在的全部缺陷 管理建议书不应被视为注册会计师对被审计单位内部控制整体发表的意见 也不能减轻或免除被审计单位管理当局建立健全内部控制的责任 注册会计师出具管理建议书 不应影响其应当发表的审计意见 二 管理建议书的基本内容 管理建议书 一般应包括下列基本内容 1 标题2 收件人3 财务报表审计目的及管理建议书的性质4 内部控制重大缺陷及其影响和改进建议5 使用范围及使用责任6 注册会计师及事务所签章7 日期 三 管理建议书与审计报告的区别 1 对象不同 管理建议书是针对被审计单位与审计相关的内部控制提出的 而审计的对象是被审计单位的会计报表 由此而形成的审计报告是针对会计报表提出的 2 责任不同 注册会计师在会计报表审计后就内部控制缺陷向被审计单位管理当局提供管理建议 不是一种法定业务 没有法定责任 而审计报告是注册会计师审计完毕后对会计报表形成的专业意见 是法定的业务 具有法定的责任 3 作用不同 管理建议书仅仅提供给被审计单位管理当局 仅供内部参考 不对外报