收入舞弊假与审计内部控制

1,收入舞弊假说及,了解与审计相关的企业内部控制活动,2007年10月,2,二、对1211和1231号准则关系的理解,新的审计风险模型对1211号准则和1231号准则的关系的理解对编制工作底稿总体思路的理解,2007年10月,3,（一）新的审计风险模型,2007年10月,4,1、新的审计风险模型,新,旧,在原来的审计风险模型中，分别评估固有风险和控制风险，实务中，许多CPA越过固有风险。而实际上，对“固有风险”作出有效评估是不可或缺的，也就是了解被审计单位及其环境（识别风险源），并通过了解内部控制（识别风险防御机制），才能够有效评估重大错报风险。为了彻底避免潜在误解，也为了增强“将固有风险和控制风险综合评估”的可操作性，直接将两者合而为一，称作“财务报表重大错报风险”,2007年10月,5,2、新的审计风险模型-实务,从大型会计师事务所的审计手册中找出48项与控制环境有关的企业特征，由有经验的注册会计师分别对其在固有风险评估和控制风险评估中按重要程度排序，表明在审计实务中，固有风险的评估和控制风险的评估之间是相互关联的，注册会计师在评估控制风险中的大部分控制环境特征亦位列固有风险评估的重要因素注册会计师在审计实务中到底是不是真的在评估固有风险；该研究的证据显示，注册会计师评估的好像不是固有风险本身，他们评估的好像是自己比较熟悉的内部会计控制，并把这种做法冠之以“固有风险评估”的名号，从而在心理上和审计记录的形式上得到安慰,2007年10月,6,3、新的审计风险模型-效果和效率,效果内部控制是管理层用以应对固有风险的重要手段。控制风险的产生介于两个极端之间：一个极端是管理层制定的内部控制完全不能应对固有风险，另一个极端是管理层制定的内部控制完全能够应对固有风险。不可能脱离风险源头（固有风险）对控制风险进行评估；如果脱离，也就不可能得到合理的控制风险评估结果，最终往往造成低估企业重大错报风险不去了解被审计单位而直接填写控制问卷有用吗？,效率如果不分青红皂白而简单地把一个企业的固有风险评估为最高，从而使注册会计师在审计实务中更多地依赖审计风险模型的其他组成部分，并增加计划获取的审计证据的数量或要求，可能是不恰当的，特别是在一个讲究审计效率的环境,7,（二）对1211和1231号准则关系的理解,2007年10月,8,1、对1211和1231号准则关系的理解,审计流程（审计程序）,No1211,No1231,2007年10月,9,2、对1211和1231号准则关系的理解,行业状况、法律与监管环境以及其他外部因素,被审计单位的性质,被审计单位对会计政策的选择和运用,目标、战略与相关经营风险,财务业绩的衡量与评价,财务报表重大错报风险,评估财务报表重大错报风险,风险评估需要不断修正,实施进一步审计程序控制测试与实质性程序（处理好性质、时间和范围）,不断接近真实水平相互影响,实施总体应对措施,了解被审计单位及其环境（实施风险评估程序）,CPA,内部控制,本图参考：吴溪，新旧准则比较课件,No1211,No1231,10,（三）对审计工作底稿结构的理解,2007年10月,11,1、对审计工作底稿结构的理解,总体审计策略具体审计计划,审计底稿,风险评估程序表了解被审计单位及其环境（不含内部控制）了解内部控制*对风险评估及审计计划讨论评估的重大错报风险汇总表财务报表层次（样例1）认定层次*（样例2）计划的进一步审计程序计划矩阵（样例3）计算机辅助审计技术,风险程序底稿（含询问、分析程序、观察和检查形成的底稿）项目组讨论重大错报风险和审计计划底稿控制测试底稿*实质程序底稿*分析性程序*细节测试*,审计工作范围重要性报告目标、时间安排及所需沟通人员安排对专家或有关人士工作的利用,*表示本课件涉及部分内容,2007年10月,12,2、对审计工作底稿结构的理解,通过“评估重大错报风险汇总表”及“计划矩阵表”把重大错报风险评估程序与进一步的审计程序紧密结合起来，增强风险评估程序的指导性和进一步审计程序的针对性，提高审计底稿之间的内在联系。强化风险评估、控制测试、分析程序、细节测试的关系；明确“认定-审计目标-审计程序”的关系,2007年10月,13,3-1对审计工作底稿结构的理解（案例1评估重大错报风险汇总表-报表层次）,评估的财务报表层次的重大错报风险，记录以下内容:评估的财务报表层次的重大错报风险并索引至具体审计计划中的相关内容；针对评估的财务报表层次的重大错报风险确定的总体应对措施；评估的财务报表层次的重大错报风险以及采取的总体应对措施,对拟实施的进一步审计程序的总体方案的影响,案例：了解中发现被审计单位的某些高层管理人员拥有直接在会计系统中更改会计记录的权限,？,2007年10月,14,3-2对审计工作底稿结构的理解（案例1评估重大错报风险汇总表-报表层次）,2007年10月,15,4-1对审计工作底稿结构的理解（案例2评估重大错报风险汇总表-认定层次）,将识别出的风险与某类交易、账户余额及列报相联系,并评估是否为特别风险及重大错报风险水平。本表的结果将影响以下进一步审计程序的计划总体方案。表格记录以下内容:将识别的风险连续编号,以达到与以下计划矩阵相互索引的目的；记录识别的风险及相关控制,必要时可索引至具体审计计划中的相关内容；识别的重大错报风险与特定的某类交易、账户余额及列报相联系；评估风险是否为特别风险及确定为特别风险的原因；评估重大错报风险水平。,案例2：了解中发现：尽管被审计单位所在行业总体上呈萎缩趋势,被审计单位仍预测收入在本期增长15%。财务报表显示收入增长预测已实现,但同时应收帐款余额大幅增加,2007年10月,16,4-2对审计工作底稿结构的理解（案例2评估重大错报风险汇总表-认定层次）,2007年10月,17,5-1对审计工作底稿结构的理解（案例3计划矩阵）,重要账户或列报的计划总体方案（计划矩阵）目的列示如何针对评估的认定层次的重大错报风险，设计进一步审计程序的总体方案。本表的结果将影响进一步审计程序的内容和结构。记录以下内容：确定重要账户及列报；将评估的认定层次的重大错报风险与重要账户或列报相联系；对重要账户或列报确定相关认定；确定审计目标，并与进一步审计程序表中的相关审计目标相互索引；评估是否利用专家及其他人士的工作；确定拟实施的总体方案及是否实施控制测试和实质性程序；与进一步审计程序表的具体审计程序相互索引,2007年10月,18,5-2对审计工作底稿结构的理解（案例3计划矩阵1/2）,2007年10月,19,5-3对审计工作底稿结构的理解（案例3计划矩阵2/2）,20,三、与审计相关的企业内部控制,21,（一）内部控制内涵,2007年10月,22,1、内部控制的内涵和要素,准则采用了COSO内部控制框架内部控制的定义指被审计单位为了合理保证财务报告的可靠性经营的效率和效果以及对法律的遵守,由治理层管理层和其他人员设计和执行的政策和程序内部控制五要素-控制环境-风险评估过程-信息系统与沟通-控制活动-对控制的监督,2007年10月,23,2、内部控制-控制环境,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位1,单位2,单位3,单位4,传达管理理念-责任-义务-职权-人力资源-员工发展,设定管理基调-诚信-道德观念-能力,控制要素,控制目标,2007年10月,24,3、内部控制-风险评估,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位1,单位2,单位3,单位4,管理/控制变化,确定并分析对实现企业目标有影响的风险,控制要素,控制目标,2007年10月,25,4、内部控制-控制活动,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位1,单位2,单位3,单位4,管理层发展方针贯彻的程序直接的职能或活动管理物质的控制-职权的分离,控制要素,控制目标,实现目标的管理机制,2007年10月,26,5、内部控制-信息和沟通,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位1,单位2,单位3,单位4,控制要素,控制目标,经营和财务信息的准确性和及时性,获取内部和外部的信息,组织的沟通,2007年10月,27,6、内部控制-监控,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位1,单位2,单位3,单位4,控制要素,控制目标,连续性的行动和一次性的活动,反映严重问题的系统,监控系统的评价,28,（二）与审计相关的内部控制,2007年10月,29,1-1、审计准则对于CPA如何考虑企业内部控制的相关规定,了解被审计单位的内部控制是识别和评估重大错报风险、设计和实施进一步审计程序的基础。No1211-45条规定，注册会计师应当了解与审计相关的内部控制以识别潜在错报的类型，考虑导致重大错报风险的因素，以及设计和实施进一步审计程序的性质、时间和范围,2007年10月,30,1-2、与审计相关的内部控制,被审计单位,了解被审计单位的内部控制是识别和评估重大错报风险、设计和实施进一步审计程序的基础。No1211-45条规定，注册会计师应当了解与审计相关的内部控制以识别潜在错报的类型，考虑导致重大错报风险的因素，以及设计和实施进一步审计程序的性质、时间和范围,控制环境,风险评估,控制活动,信息和沟通,监控,营经,务财,守遵,单位1,单位2,单位3,控制要素,控制目标,2007年10月,31,1-3、与审计相关的内部控制,2007年10月,32,对五大要素实施的程序主要测试：控制活动和对控制的监督防止、发现并纠正财务报表重大错报对认定的直接作用控制环境，风险评估程序、信息系统和沟通了解和评估：确定是否得到执行对认定的间接作用较难确定运行的有效性,1-4、与审计相关的内部控制,2007年10月,33,2-1了解和评价内部控制,了解和评价内部控制,被审计单位整体层面了解和评价内部控制,业务流程层面了解和评价内部控制,评估财务报表层次的重大错报风险,评估认定层次的重大错报风险,对被审计单位其他方面的了解和评估,对被审计单位其他方面的了解和评估,2007年10月,34,2-2整体层面了解和评价内部控制（5要素）,控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度认识和措施控制环境的要素-对诚信和道德价值观念的沟通与落实-对胜任能力的重视-治理层的参与程度-管理层的理念和经营风格-组织结构-职权与责任的分配-人力资源政策与实务被审计单位风险评估过程与财务报告相关的信息系统与沟通控制活动对控制的监督,2007年10月,35,2-3在重要业务流程层面了解和评估内部控制,1.确定重要业务流程和影响重大帐户的重要交易类别,2.了解重要交易流程,3.确定可能发生错报的环节,4.识别和了解相关控制,5.执行穿行测试,证实对交易流程和相关控制的了解,6.初步评价和风险评估,以确定进一步的审计程序,2007年10月,36,2-3-1确定重要业务流程和影响重大帐户的重要交易类别了解重要交易流程,将被审计单位的整个经营活动划分为几个重要的业务循环，有助于注册会计师更有效地了解和评估重要业务流程及相关控制。对制造业企业，可以划分为销售与收款循环、采购与付款循环、存货与生产循环、工资与人员循环、筹资与投资循环等。被审计单位经营活动的性质不同，所划分的业务循环也不同重要交易类别是指可能对被审计单位财务报表产生重大影响的各类交易。重要交易应与重大账户及其认定相联系对于一般制造业企业，销售收入和应收账款通常是重大账户，销售和收款都是重要交易类别。,2007年10月,37,2-3-1、销售与收款循环中典型交易、账户,交易销售收款销售退回坏帐冲销坏账准备,账户销售收入、应收账款银行存款、应收账款销售收入、应收账款应收账款、坏账准备资产减值损失、坏账准备,2007年10月,38,2-3-1、会计信息在销售与收款循环账户中的流向,2007年10月,39,2-3-1销售交易流程通常的主要步骤及记录,（1）接受顾客订单及将订单输入系统（处理客户订单）（2）核准信用状况及赊销条款（批准赊销）（3）填写销售订单并准备发货（4）编制货运单据（发货单）（装运货物）（5）订单运送/递送至客户处或由客户提货（6）开具销售发票（开单给客户）（7）复核发票的准确性并邮寄/送至客户处（8）生成销售日记账（销售清单）（登记销售交易）（9）汇总销售日记账，并过账至总账和应收账款明细账蓝色字体为生成的交易记录,了解,2007年10月,40,2-3-1收款的交易流程,收款的交易流程通常可能包括下列主要步骤：（1）对方以现金、支票或银行转账方式结算；（2）记录所收款项；（3）将收款存入银行；（4）更新应收账款账户。,2007年10月,41,2-3-1销售退回的交易流程,销售退回的交易流程通常可能包括下列主要步骤：处理销售退回的请求；批准请求；收到退货；编制贷项通知单，即销售方同意贷记购买方应收账款的凭证；记录销售退回；更新应收账款账户,2007年10月,42,2-3-2确定可能发生错报的环节,确定错报会在什么环节发生确认和了解被审计单位需在哪些环节设置控制来防止或发现并纠正各重要业务流程中的错报。确定控制目标与财务报表重大帐户的相关认定相联系,预防性措施,检查性措施,2007年10月,43,2-3-2、如何思考？,识别可能的财务报表错报,CPA目标,财务报表层次,认定层次,各类交易和事项相关的认定,期末账户余额相关的认定,列报相关认定,发生完整准确截至分类,存在权利/义务完整计价/分摊,发生及权利/义务完整分类、可理解性准确性和计价,被审计单位在哪些环节可能出现错报？控制有效？影响认定？,了解重要交易流程,2007年10月,44,2-3-2、如何思考？,存在（不多计）权利/义务完整（不少计）计价/分摊,应收账款,发生完整准确截至分类,销售收入,？销售交易流程,？可能错报环节,？现有内部控制（设计）能否防范或发现,例如：存在/发生认定,？,2007年10月,45,2-3-2、如何思考？,怎样避免记录虚假或重复的销售?,怎样确保将货物发运给正确的客户?,怎样确保不在发货前开具和记录发票?,怎样确保发货单据只在发货时开具?,“错报在什么环节发生”问题示例,账户：销售收入/应收账款,现金、银行存款认定：存在或发生,怎样确保收款来自与产品销售对应的客户？,怎样确保现金收款不重复入账？,怎样确保不记录没有实际收到的现金收入？,接受新客户必须经由专人批准P应用系统要求将客户采购订单编号录入销售系统P通过应用软件设置的方法避免重复记录发货P通过系统设置方法避免重复录入发票P每月与客户对帐D邮寄之前复核发票或对帐单D区分不同产品和客户对销售进行复核D收款日记账与银行存款通知书及汇款通知书核对一致P复核拖欠的应收账款D,2007年10月,46,2-3-2、如何思考？,了解和识别能针对多项控制目标的控制,提高审计效率,每月与客户对账D,怎样确保销售(包括销售折扣)正确过入销售账簿和客户往来账怎样避免记录虚假或重复的销售怎样确保将货物发运给正确的客户怎样确保收款来自与产品销售对应的客户怎样确保发票反映正确的价格、折扣和税款怎样确保在销售货物时及时开具发票,完整性存在/发生存在/发生存在/发生准确性/计价完整性/截至,控制,错报环节,认定,2007年10月,47,2-3-2、例如：销售、收款以及销售退回的交易流程中错报在什么环节发生”的部分问题1/2,2007年10月,48,2-3-2、例如：销售、收款以及销售退回的交易流程中错报在什么环节发生”的部分问题2/2,2007年10月,49,2-3-3、识别和了解相关控制1/3,基于之前的了解，确定是否有必要进一步了解在业务流程层面的内部控制如果之前的了解表明内部控制无效，或者注册会计师并不打算依赖控制，将内部控制评估为高风险，不依赖内部控制，而直接采用实质性程序注意应当了解和评估相关内部控制的特殊情况,2007年10月,50,2-3-3、识别和了解相关控制2/3,如果多项控制活动能够实现同一目标，注册会计师不必了解与该目标相关地每项控制活动注册会计师考虑识别和了解与认定关系更为直接更有效地控制某些控制可能可以涉及多项控制目标对实际发货数量与开票数量进行定期核对调节的程序本身就足以对销售流程中“存在性”这一目标提供合理保证，并且也能对销售流程中“完整性”这一目标提供合理保证。因此，在这种情况下，注册会计师只需了解对实际发货数量与开票数量进行定期核对调节的控制即可,2007年10月,51,2-3-3、识别和了解相关控制3/3,识别和了解控制采用的主要方法询问被审计单位各级别的负责人员业务流程越复杂，注册会计师越有必要询问信息系统人员，以辨别有关的控制通常，应首先询问那些级别较高的人员，再询问级别较低的人员，以确定他们认为应该运行哪些控制，以及哪些控制是重要的。这种“从高到低”的询问方法使注册会计师能迅速地辨别被审计单位重要的控制，特别是检查性控制从级别较低人员处获取的信息，应向级别较高的人员核实其完整性，以确定他们是否与级别较高的人员所理解的预定控制相符。这一步骤不仅向注册会计师提供有关实际执行的控制的信息，而且可以使注册会计师了解管理层对控制运行情况的熟悉程度,2007年10月,52,2-3-4穿行测试1/2,执行穿行测试，证实对交易流程和相关控制地了解穿行测试：追踪交易通过与财务报告相关地信息系统的过程目的确认对业务流程的了解确认对重要交易的了解是完整的，在流程中所有与财务报表认定相关的可能发生错报的环节都已识别确认所获得的有关流程中的预防性和检查性控制信息的准确性评估控制设计的有效性确认控制实际是否得到执行并正常运行确认之前所做的书面记录的准确性,2007年10月,53,2-3-3、穿行测试2/2,如果不打算信赖控制，注册会计师仍需要执行穿行测试以确认以前对业务流程及可能发生错报环节的了解的准确性和完整性对于重要的业务流程，不管是人工控制还是自动化控制，注册会计师都要对整个流程执行穿行测试，涵盖交易从发生到记账的过程。当某重要业务流程有显著变化时，注册会计师应当根据变化的性质，及其对相关账户发生重大错报的影响程度，考虑是否需要对变化前后的业务都执行穿行测试涵盖各类重要交易在业务流程中发生处理和记录的过程。在每一个规定要执行处理程序或控制的环节上询问被审计单位的员工，并执行检查等其他程序，判断处理程序和控制是否有序地执行,2007年10月,54,2-3-3、例如：销售和收款循环的穿行测试,追踪从订单处理核准信用状况及赊销条款填写订单并准备发货编制货运单据订单运送/递送至客户或由客户提货开具销售发票复核发票的准确性并邮寄/送至客户生成销售日记账汇总销售日记账，并过账至总账和应收账款明细账等交易的整个流程考虑之前对相关控制的了解是否正确和完整，并确定相关控制是否得到执行,55,2-3-4初步评价和风险评估,2007年10月,56,2-3-4、对控制的初步评价,评价控制的设计并确定其是否得到执行可能的评价结论（3种）内部控制本身的设计可以单独或连同其他控制能够有效防止或发现并纠正重大错报，并且根据注册会计师的审计程序，该控制确实得到执行。控制本身的设计是有效的，可以防治或发现并纠正重大错报，但控制并没有得到执行。控制本身的设计无效或需要的控制缺失对控制的了解和评价是在穿行测试完成后，但又在测试控制运行有效性之前进行的，因此，上述评价结论只是初步结论，仍可能随控制测试后实施实质性程序的结果而发生变化,2007年10月,57,2-3-4、评价决策,控制本身的设计是否合理？控制是否得到执行是否更多地依赖控制并进一步测试控制被审计单位控制设计合理并得到执行，拟更多地信赖这些控制，注册会计师应对这些控制在该期间内是否得到一贯运行进行测试如果控制测试的结果进一步证实内部控制是有效的，注册会计师可以认为相关账户及认定发生重大错报的可能性较低，对相关账户及认定实施实质性程序的范围也将减少如果认为控制是无效的，包括控制本身设计不合理，或者尽管控制设计合理，但没有得到执行。注册会计师不需要测试控制运行的有效性，而直接实施实质性程序。但在评估重大错报风险时，需要考虑控制失效对财务报表及其审计的影响除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解和评价并不能够代替对控制运行有效性的测试,2007年10月,58,补充：与审计相关的企业内部控制活动,2007年10月,59,1、控制活动,准则规定：控制活动可以分为5类具体控制活动授权，分为：一般授权和特别授权业绩评价（COSO:独立稽核）信息处理（COSO:充分的凭证和记录）对资产和记录的实物控制充分的职责分离,2007年10月,60,2-1控制活动充分的职责分离（四项分离）,资产保管与会计相分离交易授权与相关资产保管分离,防止被盗可能为获取私利而处置资产并调整会计记录以解除责任。例如，出纳人员不得兼任稽核、会计档案保管和收入、支出、费用、债权债务账目的登记工作。防止被盗如，采购的付款审批与付款执行（签发付款支票）,分离原则,分离理由,2007年10月,61,2-2控制活动充分的职责分离（四项分离）,经营责任和记录责任相分离信息技术职责与使用者部门分离,经营者存在偏离经营成果而高估业绩进行记录的倾向记录工作通常由会计部门独立承担。随着技术信息系统复杂程度的增加，授权、记录和保管的职责分离变得模糊。例如，计算机以顾客信用限额与主文件的比较为基础对销售授权，并将允许的销售记入销售循环日记账，计算机在销售交易授权和记账中起重要作用。信息部门承担设计和控制销售授权和过账的会计软件的程序的责任，其他的部门（信用部门）有更改顾客信用限额的权力。,分离原则,分离理由,2007年10月,62,3-1控制活动信息处理1/2,信息处理分为：一般控制、应用控制以凭证和记录为例，是登记和汇总交易的载体登记交易的原始凭证和记录很重要，但凭证的缺损通常导致更严重的控制问题（连续编号）凭证必须充分，以合理保证对所有资产进行适当控制和所有交易都已经正确记录例如，验收部门在原材料入库时填写验收报告，则应付账款部门能够通过与验收报告的信息对比，来验证供货发票上的数量和说明。,2007年10月,63,3-2控制活动信息处理2/2,凭证和记录恰当设计的原则预先连续编号。对于审计的完整性目标非常重要在交易发生时或发生后尽快编制。对于审计截至和准确性目标非常重要简单明了，便于理解尽可能设计多重用途的形式，以减少凭证的种类。设计便于正确填制在计算机数据输入时的考虑输入屏设计的自动提示，可以防止输入错误、提高输入效率自动分配凭证编号,2007年10月,64,3-3控制活动对资产和实物的控制,保护资产和记录的最重要的措施是实物预防措施例如，利用仓库储存存货防止被盗如果仓库由胜任的员工控制，就进一步确保了存货的安全完好保险库来保管现金保护信息技术、程序与数据文件的相关控制实物控制来保护计算机设备接触控制，只有经过授权的人才能使用设备和软件，例如访问口令数据备份和恢复制度实物盘点,2007年10月,65,4、案例1：判断是否存在控制缺陷来自萨班斯法案执行指导的案例,公司每个月都要处理大量的公司之间的日常业务，就每一笔业务而言，对于公司并不重要，并且主要与资产负债表相关，比如业务单位向财务部门转移现金正规的管理政策要求公