审计-第八章内部控制和控制风险评估6.ppt

第八章内部控制和控制风险评价 导入案例十余年前 中国建设银行湖北某分行机构发生了一起盗用信用卡提取现金的案件 犯罪人是建行的信用卡业务推销员 他将信用卡盗走 先后提款一百多次 共提取了现金100多万元 直到一年多以后 在一次银行核对账目时候才被发现 据该罪犯人交代 信用卡就放在办公室的抽屉里 没有锁 办理业务时候不需要任何审批 登记手续 该银行的负责人说 这起案件之所以会发生 并造成严重损失的主要原因 就是银行缺乏应有的内部控制 如果那些信用卡有专人负责妥善保管 在领用时办理必要的审批登记手续 犯罪分子就很难盗窃得手 如果银行能经常地对账目进行核对 就能及早发现现金被盗的问题 从而减少损失 银行将吸取这一教训 建立内部控制 那么到底什么是内部控制 它有什么作用 内部控制与审计又有什么关系呢 第一节内部控制概述 一 内部控制的含义内部控制是被审计单位为了合理保证财务报告的可靠性 经营的效率和效果以及对法律法规的遵守 由治理层 管理层和其他人员设计与执行的政策及程序 1 内控目标财务报告的可靠性经营的效率和效果遵守法律法规的要求 2 合理保证 3 责任主体 4 实现手段 二 内部控制要素1 控制环境定义 对控制的简历和实施有重大影响的因素的统称 也可以说是企业为其员工所创造的工作氛围 二 内部控制要素1 控制环境补充 美国反舞弊专家 注册舞弊检查师协会第一任主席 四年的COSO成员斯提夫教授在他所著的 舞弊检查 一书中指出 在适当的控制环境中 最重要的因素是管理当局的作风 在防范舞弊方面 管理当局的作风是控制环境中最关键的因素 管理当局的不当行为成为其他无视控制程序的合理借口 1999年COSO发布了一项针对1987至1997年发生的财务报表务必的研究报告 二 内部控制要素1 控制环境补充 COSO对发生的舞弊随机抽取了204个样本进行研究u 结果表明 在72 的财务报表务必案中 涉嫌参与者为公司总裁 其他依次为财务总监 总会计师 营运总裁 副总经理 董事会成员 大多数公司或者不存在审计委员会或者审计委员会在一年内召开的会议不到两次 在上述研究结果与英国审计委员会在英国所做的研究结论一致 审计务实委员会同时还发现了财务报表舞弊的两个关键特征 其中之一是 大部分都是公司管理当局舞弊 二 内部控制要素2 风险评估3 控制活动4 信息与沟通5 监控 注意 被审计单位不一定完全按照COSO框架设计和执行内部控制 但无论对上述要素如何分类 CPA都应当重点考虑被审计单位某项控制 是否能够以及如何防止或发现并纠正各类交易 账户余额 列报存在的重大错报 三 管理层和注册会计师的内部控制责任 一 管理层的内部控制责任1 管理层建立内部控制的责任 1 合理保证 2 固有局限2 管理层报告内部控制有效性的责任管理层对财务报告内部控制的评价主要有 1 内控的设计 2 内控运行的有效性 二 注册会计师的内部控制责任1 注册会计师了解内部控制的责任 1 与财务报告可靠性相关的内控 2 对交易类别的控制2 注册会计师测试内部控制的责任 四 内部控制的固有限制1 内部控制的设计和运行受制于成本与效益原则 2 内部控制一般针对常规业务活动而设计 3 即使是设计完善的内部控制 也可能因执行人员的粗心大意 精力分散 判断失误以及对指令的误解而失效 4 内部控制可能因有关人员相互勾结 内外串通而失效 5 内部控制可能因执行人员不具备相应的胜任能力 第二节了解内部控制 一 了解内部控制的程序询问被审计单位人员检查文件和报告观察特定控制的运用穿行测试 追踪交易在财务报告信息系统中的处理过程 来证实注册会计师对内控的了解 评价内控设计的有效性及确定控制是否得到执行 二 了解公司层面的内控1 控制环境控制环境包括治理职能和管理职能 以及治理层和管理层对内部控制及其重要性的态度 认识和措施 良好的控制环境是实施有效内部控制的基础 因此 财务报表层次的重大错报风险通常源自于薄弱的控制环境包括 1 对诚信和道德价值观念的沟通与落实 2 对胜任能力的重视 3 治理层的参与程度 4 管理层的理念和经营风格 5 组织结构及职权与责任的分配 6 人力资源政策与实务 案例1简介注册会计师王某在对A公司进行审计时 无意中听到该企业有关员工在谈论最近企业发生的某件事 该企业为国有企业 财务处长李某由于挪用资金被人举报 但上层领导花钱买通关系 将李某保举出来 最后事情不了了之 案例1分析王某认为虽然该公司的会计报表看起来不存在太大问题 由于管理层对于舞弊的态度是纵容姑息 这很可能使被审计单位的内部控制从根本上失控 因此 决定将该企业的重大错报风险评估为高水平 从而执行更为详细的实质性测试程序 案例2简介某商业公司有经理1人 副经理1人 下设3个超市及办公室 正副经理负责其他经贸工作 超市各设1名负责人 有供 销 存 管理等权利 独立核算 各自为政 办公室1人负责日常事务处理 公司 含超市 财务管理由 上级 集团统一代理 请分析该商业公司的组织结构中存在的问题 案例2分析因该公司组织结构而言 可能存在以下问题3个超市组织管理平行设置 权力过于下放 减弱了管理及相互监督 相互牵制的作用 3个超市原本只应履行销售及其管理的只能 但在超市经营管理中 部分决策权 采购 核算 验收等各项只能都下放到超市 使它从管理层级的销售机构逐步演变为一个集决策 采购 销售 核算 管理的综合性机构 兼容了其他不相容机构的功能 建议商业公司对商品统一采购 由超市负责销售与管理 2 被审计单位的风险评估过程风险评估过程的作用是识别 评估和管理影响被审计单位实现经营目标能力的各种风险 注意 第一 注册会计师应当询问管理层识别出的经营风险 并考虑这些风险是否可能导致重大错报 第二 在审计过程中 如果发现与财务报表有关的风险因素 注册会计师可通过向管理层询问和检查有关文件确定被审计单位的风险评估过程是否也发现了该风险 在审计过程中 如果识别出管理层未能识别的重大错报风险 注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险 以及评估过程是否适合于具体环境 2 被审计单位的风险评估过程补充 1995年 银广夏公司董事局主席到天津广夏视察 在获知公司当年发生亏损之后 要求财务部门在财务报告中把利润做出来 到1999年以后 已经发展到明确指示把每股利润做到多少 然后据此到推出需要多少产量 多少销量 多少材料采购量 再从供应商开始 到生产记录 销售合同 银行汇款单 销售发票 出口报关单等一一加以虚构伪造 而所有这一切 都是在董事局副主席兼总裁的同意 集董事 财务总监 总会计师兼董事局秘书于一身的高管人员指示 董事长亲自操刀下进行的 事实上 田径广夏这个提供了银广夏1999年和2000年几乎全部报表利润的公司在此期间已经停产一年多了 3 信息系统与沟通 1 与财务报告相关的信息系统与财务报告相关的信息系统 包括用以生成 记录 处理和报告交易 事项和情况 对相关资产 负债和所有者权益履行经营管理责任的程序和记录 2 与财务报告相关的沟通与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责 员工之间的工作联系 以及向适当级别的管理层报告例外事项的方式 注意 注册会计师应当了解被审计单位内部如何对财务报告的岗位职责 以及与财务报告相关的重大事项进行沟通 注册会计师还应当了解管理层与治理层 特别是审计委员会 之间的沟通 以及被审计单位与外部 包括与监管部门 的沟通 4 监控监控是指被审计单位评价内部控制在一段时间内运行有效性的过程 该过程包括及时评价其他控制要素的设计和运行 被审计单位通过持续的监督活动 专门的评价活动或两者相结合 实现对控制的监督 三 了解业务层面的内控1 控制活动控制活动是指有助于确保管理层的指令得以执行的政策和程序 包括与授权 业绩评价 信息处理 实物控制和职责分离等相关的活动 注 控制活动一般只针对数量大或风险高的交易类别 而其他控制要素通常和企业所有交易都相关 1 交易授权授权的目的在于保证交易在管理层授权范围内进行 2 业绩评价注册会计师应当了解与业绩评价有关的控制活动 主要包括被审计单位分析评价实际业绩与预算的差异 以及对发现的异常差异或关系采取必要的调查与纠正 3 信息处理注册会计师应当了解与信息处理有关的控制活动 包括信息技术的一般控制和应用控制 被审计单位通常执行各种措施 检查各种类型信息处理环境下的交易的准确性 完整性和授权 4 实物控制注册会计师应当了解实物控制 主要包括了解对资产和记录采取适当的安全保护措施 对访问计算机程序和数据文件设置授权 以及定期盘点并将盘点记录与会计记录相核对 实物控制的效果影响资产的安全 从而对财务报表的可靠性及审计产生影响 5 职责分离注册会计师应当了解职责分离 主要包括了解被审计单位如何将交易授权 交易记录以及资产保管等职责分配给不同员工 以防范同一员工在履行多项职责时可能发生的舞弊或错误 当信息技术运用于信息系统时 职责分离可以通过设置安全控制来实现 2 监控 四 记录对内部控制的了解 一 叙述法也称书面说明法 指审计人员通过询问被审计单位的有关人员 查阅相关内部控制文件 将被审计单位业务的授权 批准 记录 保管等程序及其实际情况 用叙述性文字记录下来 以形成对内部控制描述的一种方法 优点 不受条件的限制 自由 充分地表达内部控制的所有内容 缺点 对控制内容较多的业务或控制系统 该方法显得冗长 且不能直观地突出关键控制点 适用范围 说明业务较简单的控制系统 二 流程图法指用特定的语言符号和图形 将被审计单位的组织结构 职责分工 权限范围 文件编制及顺序 会计记录 业务处理流程 会计档案的种类及存放地点等内部控制情况 以图解的形式直观 形象地加以描述的方法 优点 便于表达内部控制的特征 也便于修改 缺点 编制费时费力 对编制者的技术要求较高 对某些控制弱点有时很难在图上明确表达出来 三 调查表法即采用表格形式 通过问答方式来调查和反映内部控制的实际情况 审计人员根据事先对被审计单位应具备的内部控制的理解 事先设计出一系列有针对性 标准划的调查表 将调查表发给被审计单位有关人员填写 优点 能对调查对象提供一个概括的说明 省时又省力 缺点 受既定项目的制约 比较死板 且容易发生遗漏 五 初步评估控制风险1 识别审计目标2 识别现有的控制3 联系控制与相关的审计目标4 确定和评价控制缺陷 重大缺陷和重大弱点 第三节评估重大错报风险 在识别和评估重大错报风险时 注册会计师应当实施下列审计程序 1 在了解被审计单位及其环境的整个过程中识别风险 并考虑各类交易 账户余额 列报 2 将识别的风险与认定层次可能发生错报的领域相联系 3 考虑识别的风险是否重大 4 考虑识别的风险导致财务报表发生重大错报的可能性 识别两个层次的重大错报风险在对重大错报风险进行识别和评估后 注册会计师应当确定 识别的重大错报风险是与特定的某类交易 账户余额 列报的认定相关 还是与财务报表整体广泛相关 进而影响多项认定 注 特别风险 特别风险通常与重大的非常规交易和判断事项有关 特征 1 管理层更多介入会计处理 2 数据收集和处理涉及更多的人工成分 非常规交易是指由于金额或性质异常而不经常发生的交易 判断事项通常包括作出的会计估计 3 复杂的计算或会计处理方法 4 非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效的控制 仅通过实质性程序无法应对的重大错报风险如果认为仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平 注册会计师应当评价被审计单位针对这些风险设计的控制 并确定其执行情况 注意 在被审计单位对日常交易采用高度自动化处理的情况下 审计证据可能仅以电子形式存在 其充分性和适当性通常取决于自动化信息系统相关控制的有效性 注册会计师应当考虑仅通过实施实质性程序不能获取充分 适当审计证据的可能性 第四节与被审计单位沟通 一 识别控制缺陷 重大缺陷和重大弱点 二 与管理层和治理层沟通 三 管理建议书 思考 一 昌运锅炉厂有以下一些工作1批准物资采购的工作2执行物资采购的工作3对采购的物资进行验收的工作4物资保管和发放的工作5物资保管帐的记录工作6物资明细账的记录工作7物资总分类账的记录工作8物资的定期清查工作9物资的账实核对工作10物资明细账和总账的核对工作请分析该厂上述工作中 哪些是不相容职务 并说明理由 二 东方贸易公司请你就下列问题提供咨询服务 该公司有三位员工必须分担下列工作1记录并保管总账2记录并保管应付账款明细账3记录并保管应收账款明细账4记录货币资金日记账5保管 填写支票6发出销货退回及折让的贷项通知单7调节银行存款日记账与银行存款对账单8保管并送存现金收入上述工作中 除6 7项两项工作量较小外 其余各项工作量大体相当 假设这三位职工的能力都不成问题 而且只需要他们做上面列出的工作 请根据上述资料 说明应如何将这八项工作分