第七章-内部控制及重大错报风险评估.ppt

第七章内部控制及重大错报风险评估 第一节内部控制概述 一 内部控制的概念国际审计准则的定义 内部控制 internalcontrols 是指管理当局为了确保以有序和有效的方式实现其管理目标 包括遵循管理制度 保护资产的安全 防范和发现错误与舞弊 确保会计记录的准确和完整 及时编制可信的财务信息而制定和实施的管理政策和控制程序 COSO在 内部控制 整体框架 的定义 p 102 内部控制是由董事会 管理当局和其他员工实施的 目的在于取得经营的效率和效果 财务报告的可靠性 遵循适当的法规等目标而提供合理保证的一种过程 Internalcontrolis aprocess effectedbyanentity sboardofdirectors managementandotherpersonnel designedtoprovidereasonableassuranceregardingtheachievementofobjectives includingeffectivenessandefficiencyofoperations reliabilityoffinancialreporting andcompliancewithapplicablelawsandregulations 我国1211号审计准则中的定义 p 102 内部控制是指被审计单位为了合理保证财务报告的可靠性 经营的效率和效果以及对法律法规的遵守 由治理层 管理层和其他人员设计和执行的政策与程序 我国企业内部控制基本规范 2008 中对内部控制的定义为本规范所称内部控制 是由企业董事会 监事会 经理层和全体员工实施的 旨在实现控制目标的过程 二 内部控制的目标 COSO内部控制整体框架中的目标 p 102 财务报告的可靠性 reliabilityoffinancialreporting 经营的效率和效果 effectivenessandefficiencyofoperations 在所有经营活动中遵守法律法规的要求 compliancewithapplicablelawsandregulations 我国内部控制的目标 基本规范 内部控制的目标是合理保证企业经营管理合法合规 资产安全 财务报告及相关信息真实完整 提高经营效率和效果 促进企业实现发展战略 三 内部控制的要素 COSO内部控制框架的要素 p 104 1 控制环境 controlenvironment 2 风险评估过程 riskassessment 3 信息系统与沟通 informationandcommunication 4 控制活动 controlactivities 5 对控制的监督 monitoring 我国内部控制的要素 1 内部环境 内部环境是企业实施内部控制的基础 一般包括治理结构 机构设置及权责分配 内部审计 人力资源政策 企业文化等 2 风险评估 风险评估是企业及时识别 系统分析经营活动中与实现内部控制目标相关的风险 合理确定风险应对策略 3 控制活动 控制活动是企业根据风险评估结果 采用相应的控制措施 将风险控制在可承受度之内 4 信息与沟通 信息与沟通是企业及时 准确地收集 传递与内部控制相关的信息 确保信息在企业内部 企业与外部之间进行有效沟通 5 内部监督 内部监督是企业对内部控制建立与实施情况进行监督检查 评价内部控制的有效性 发现内部控制缺陷 应当及时加以改进 四 内部控制理论的演变 1 内部牵制阶段 InternalCheck 20世纪40年代以前 2 内部控制制度阶段 AccountingControlsandAdministrativeControls 20世纪20年代末至70年代末 3 内部控制结构阶段 StructureofInternalControl 20世纪80年代末至90年代 4 内部控制框架阶段 IntegratedFrameworkofInternalControl 20世纪90年代以后 第二节风险评估概述 本节与风险应对属于审计测试流程的内容 主要内容介绍的是 1 注册会计师通过风险评估程序和项目组内部讨论这两个手段来了解被审计单位及其环境的内容 2 注册会计师在了解的基础上评估财务报表层次和认定层次的重大错报风险包括舞弊 3 注册会计师针对评估的重大错报风险采取总体应对措施 报表层 和进一步审计程序 认定层 简而言之 就是对被审计单位财务报表重大错报风险的 识别 评估与应对 也是实际审计工作的思路 一 风险评估程序 信息来源以及项目组内部的讨论 一 风险评估程序和信息来源 主要为内部 1 含义 注册会计师为了解被审计单位及其环境而实施的程序称为 风险评估程序 2 目的 注册会计师实施风险评估程序目的是为了识别和评估财务报表重大错报风险 3 风险评估程序的内容 1 询问被审计单位管理层和内部其他相关人员 2 分析程序 3 观察和检查 包括穿行测试 追踪交易在财务报告信息系统中的处理过程 二 其他审计程序和信息来源 外部 1 其他审计程序2 其他信息来源 三 项目组内部讨论1 讨论的目标了解在各自分工负责的领域中 由于舞弊或错误导致财务报表重大错报的可能性 并了解各自实施审计程序的结果如何影响审计的其他方面 包括对确定进一步审计程序的性质 时间和范围的影响 2 讨论的内容被审计单位面临的 1 经营风险 2 财务报表容易发生错报的领域以及发生错报的方式 3 特别是由于舞弊导致重大错报的可能性 3 参加讨论的人员项目组的关键成员应当参与讨论 如果项目组需要拥有信息技术或其他特殊技能的专家 这些专家也应参与讨论 4 讨论的时间和方式在整个审计过程中持续交换有关财务报表发生重大错报可能性的信息 并保持职业怀疑态度 第三节了解被审计单位及其环境 一 了解被审计单位及其环境的内容1 行业状况 法律环境与监管环境以及其他外部因素 2 被审计单位的性质 3 被审计单位对会计政策的选择和运用 4 被审计单位的目标 战略以及相关经营风险 5 被审计单位财务业绩的衡量和评价 6 被审计单位的内部控制 二 了解被审计单位内部控制 一 内部控制的含义 目标和要素 COSO框架 二 对内部控制了解的定位只是与财务报表审计相关的内部控制 并非被审计单位所有的内部控制 三 对内部控制了解的深度了解内部控制包括评价控制的设计 并确定其是否得到执行 四 内部控制存在固有局限性无论如何设计和执行 内部控制只能对财务报告的可靠性提供合理的保证 其固有局限性包括 1 在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效 2 可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避错误 五 控制环境1 控制环境的含义控制环境包括治理职能和管理职能 以及治理层和管理层对内部控制及其重要性的态度 认识和措施 2 了解要求在评价控制环境的设计和实施情况时 注册会计师应当了解管理层在治理层的监督下 是否营造并保持了诚实守信和合乎道德的文化 以及是否建立了防止或发现并纠正舞弊和错误的恰当控制 3 了解控制环境的要素 1 对诚信和道德价值观念的沟通与落实 2 对胜任能力的重视 3 治理层的参与程度 4 管理层的理念和经营风格 5 组织结构及职权与责任的分配 6 人力资源政策与实务 七 控制活动1 控制活动的含义控制活动是指有助于确保管理层的指令得以执行的政策和程序 包括与授权 业绩评价 信息处理 实物控制和职责分离等相关的活动 2 了解重点注册会计师在了解控制活动时 应当重点考虑一项控制活动单独或连同其他控制活动 是否能够以及如何防止或发现并纠正各类交易 账户余额 列报存在的重大错报 认定层 4 了解和评估一般控制活动时考虑的因素 1 被审计单位的主要经营活动是否都有必要的控制政策和程序 2 管理层在预算 利润和其他财务和经营业绩方面是否都有清晰的目标 在被审计单位内部 是否对这些目标加以清晰的记录和沟通 并且积极地对其进行监控 3 是否存在计划和报告系统 以识别与目标业绩的差异 并向适当层次的管理层报告该差异 4 是否由适当层次的管理层对差异进行调查 并及时采取适当的纠正措施 5 不同人员的职责应在何种程度上相分离 以降低舞弊和不当行为发生的风险 6 会计系统中的数据是否与实物资产定期核对 7 是否建立了适当的保护措施 以防止未经授权接触文件 记录和资产 8 是否存在信息安全职能部门负责监控信息安全政策和程序 六 了解两个层面的内部控制 整体层面和业务流程层面1 整体层面对内部控制的了解和评估 1 了解的人员项目组中对被审计单位情况比较了解且较有经验的成员负责 同时需要项目组其他成员的参与和配合 2 了解重点注册会计师可以重点关注整体层面内部控制的变化情况 包括由于被审计单位及其环境的变化而导致内部控制发生的变化以及采取的对策 注册会计师还需要特别考虑因舞弊而导致重大错报的可能性及其影响 3 了解方法注册会计师可以考虑将询问被审计单位人员 观察特定控制的应用 检查文件和报告以及执行穿行测试等风险评估程序相结合 以获取审计证据 在了解上述内部控制的构成要素时 注册会计师需要特别注意这些要素在实际中是否得到执行 4 了解内容在了解内部控制的各构成要素时 注册会计师应当对被审计单位整体层面的内部控制的设计进行评价 并确定其是否得到执行 5 对了解的记录注册会计师应当将对被审计单位整体层面内部控制各要素的了解要点和实施的风险评估程序及其结果等形成审计工作记录 并对影响注册会计师对整体层面内部控制有效性进行判断的因素加以详细记录 6 整体层面的内部控制与控制环境的关系财务报表层次的重大错报风险很可能源于薄弱的控制环境 因此 注册会计师在评估财务报表层次的重大错报风险时 应当将被审计单位整体层面的内部控制状况和了解到的被审计单位及其环境其他方面的情况结合起来考虑 七 业务流程层面对内部控制的了解1 了解时间在初步计划审计工作时 注册会计师需要确定在被审计单位财务报表中可能存在重大错报风险的重大账户及其相关认定 2 了解步骤 1 确定被审计单位的重要业务流程和重要交易类别 2 了解重要交易流程 并记录获得的了解 3 确定可能发生错报的环节 4 识别和了解相关控制 5 执行穿行测试 证实对交易流程和相关控制的了解 6 初步评价和风险评估 第四节评估重大错报风险 一 评估财务报表层次和认定层次的重大错报风险1 识别和评估重大错报风险考虑的因素 了解 2 识别和评估重大错报风险的审计程序 1 在了解被审计单位及其环境的整个过程中识别风险 并考虑各类交易 账户余额 列报 2 将识别的风险与认定层次可能发生错报的领域相联系 3 考虑识别的风险是否重大 4 考虑识别的风险导致财务报表发生重大错报的可能性 3 识别两个层次的重大错报风险在对重大错报风险进行识别和评估后 注册会计师应当确定 识别的重大错报风险是与特定的某类交易 账户余额 列报的认定相关 还是与财务报表整体广泛相关 进而影响多项认定 4 控制环境对评估财务报表层次重大错报风险的影响财务报表层次的重大错报风险很可能源于薄弱的控制环境 薄弱的控制环境带来的风险可能对财务报表产生广泛影响 难以限于某类交易 账户余额 列报 注册会计师应当采取总体应对措施 5 控制活动对评估认定层次重大错报风险的影响在评估重大错报风险时 注册会计师应当将所了解的控制与特定认定相联系 控制可能与某一认定直接相关 也可能与某一认定间接相关 关系越间接 控制在防止或发现并纠正认定中错报的作用越小 6 考虑财务报表的可审计性注册会计师考虑出具保留意见或无法表示意见的审计报告的情形 1 被审计单位会计记录的状况和可靠性存在重大问题 不能获取充分 适当的审计证据以发表无保留意见 2 对管理层的诚信存在严重疑虑 必要时 注册会计师应当考虑解除业务约定 三 仅通过实质性程序无法应对的重大错报风险1 在被审计单位对日常交易采用高度自动化处理的情况下 审计证据可能仅以电子形式存在 其充分性和适当性通常取决于自动化信息系统相关控制的有效性 注册会计师应当考虑仅通过实施实质性程序不能获取充分 适当审计证据的可能性 2 作为风险评估的一部分 如果认为仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平 注册会计师应当评价被审计单位针对这些风险设计的控制 并确定其执行情况 四 对风险评估的修正注册会计师对认定层重大错报风险的评估应以获取的审计证据为基础 并可能随着不断获取审计证据而做出相应的变化 第三节风险应对 本节是在第二节风险评估的基础上 首先针对评估的报表层次的重大错报风险确定总体应对措施 同时针对认定层次的重大错报风险来设计进一步审计程序 然后按照设计的进一步审计程序实施控制测试和实质性程序 一 针对财务报表层次重大错报风险的总体应对措施 一 总体应对措施1 基本要求注册会计师针对评估的财务报表层次的重大错报风险确定总体应对措施 2 总体措施的内容 1 向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性 2 分派更有经验或具有特殊技能的审计人员 或利用专家的工作 3 提供更多的督导 4 在选择进一步审计程序时 应当注意使某些程序不被管理层预见或事先了解 5 对拟实施审计程序的性质 时间和范围作出总体修改 3 控制环境存在缺陷时对拟实施审计程序作出总体修改的内容 1 在期末而非期中实施更多的审计程序 2 主要依赖实质性程序获取审计证据 3 修改审计程序的性质 获取更具说服力的审计证据 4 扩大审计程序的范围 增加样本量 二 增加审计程序不可预见性的思路1 对某些以前未测试的低于设定的重要性水平或风险较小的账户余额和认定实施实质性程序 2 调整实施审计程序的时间 使其超出被审计单位的预期 3 采取不同的审计抽样方法 使当年抽取的测试样本与以前有所不同 4 选取不同的地点实施审计程序 或预先不告知被审计单位所选定的测试地点 二 针对认定层次重大错报风险的进一步审计程序1 基本观点 针对认定层次重大错报风险的进一步审计程序 包括控制测试和实质性程序 2 设计和实施进一步审计程序的要求注册会计师设计和实施的进一步审计程序的性质 时间和范围 应当与评估的认定层次重大错报风险具备明确的对应关系 3 设计和实施进一步审计程序应考虑因素 1 风险的重要性 2 重大错报发生的可能性 3 涉及的各类交易 账户余额 列报的特征 4 被审计单位采用的特定控制的性质 5 注册会计师是否拟获取审计证据 以确定内部控制在防止或发现并纠正重大错报方面的有效性 4 进一步程序的范围在确定审计程序的范围时 注册会计师应当考虑下列因素 1 确定的重要性水平 2 评估的重大错报风险 3 计划获取的保证程度三 控制测试 一 含义和要求控制测试指的是测试控制运行的有效性 在测试控制运行的有效性时 注册会计师应当从下列方面获取关于控制是否有效运行的审计证据 1 控制在所审计期间的不同时点是如何运行的 2 控制是否得到一贯执行 3 控制由谁执行 4 控制以何种方式运行 如人工控制或自动化控制 在存在下列情形之一时 应实施控制测试 1 在评估认定层次重大错报风险时 预期控制的运行是有效的 2 仅实施实质性程序不足以提供认定层次充分 适当的审计证据 二 控制测试的性质 方法 1 控制测试的性质的含义控制测试的性质是指控制测试所使用的审计程序的类型及其组合 2 控制测试的性质的类型 询问 观察 检查 重新执行 三 控制测试的范围1 控制测试范围的含义 指某项控制活动的测试次数 2 确定控制测试范围的考虑因素 在整个拟信赖的期间 被审计单位执行控制的频率 控制执行的频率越高 控制测试的范围越大 在所审计期间 注册会计师拟信赖控制运行有效性的时间长度 为证实控制能够防止或发现并纠正认定层次重大错报 所需获取审计证据的相关性和可靠性 通过测试与认定相关的其他控制获取的审计证据的范围 在风险评估时拟信赖控制运行有效性的程度 控制的预期偏差 四 实质性程序 一 实质性程序1 基本观点无论评估的重大错报风险结果如何 注册会计师都应当针对所有重大的各类交易 账户余额 列报实施实质性程序 2 含义及种类实质性程序是指注册会计师针对评估的重大错报风险实施的直接用以发现认定层次重大错报的审计程序 实质性程序包括细节测试和实质性分析程序 3 针对特别风险实施的实质性程序如果认为评估的认定层次重大错报风