内部控制概述(PPT 115页).ppt

1、第七章 内 部 控 制,7.1概述 7.2内部控制的内容与形式 7.3内部控制的重要性与局限性 7.4内部控制的了解 7.5内部控制的测试 7.6内部控制的评价 7.7内部控制的审计 7.8内部控制的鉴证,7.1概述,7.1.1内部控制的历史演进 7.1.2内部控制的整体框架 7.1.3内部控制的概念,内部控制 的历史演进,企业内部管理的压力； 外部审计开展的推动。,促进内部控制发展的动因,内部控制 的整体框架,1970 日本 1976 加拿大 1981 国际会计师联合会 1984 最高审计机关国际组织 1995国际内部审计师协会,内部控制的概念,内部控制是指被审计单位为了合理保证财务报告的可

2、靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。,内部控制的概念,按照审计准则的定义，内部控制是指被审计单位为了合理保证（ ），由治理层、管理层和其他人员设计和执行的政策和程序。 A.财务报告的可靠性 B.资产的安全与完整 C.经营的效率和效果 D.对法律法规的遵循,多选,组织架构 岗位责任 业务流程 处理手续 业务记录 检查标准 人员素质 社会责任 企业文化 内部审计,内部控制 的主要内容,内部控制 的基本形式,审计人员应当重点关注并考虑被审计单位为实现财务报告可靠性目标设计和实施的内部控制（即与审计相关的内部控制）,与审计相关 的内部控制,内部

3、控制 的重要性,保证国家的方针、政策和财经法规在企业内部的贯彻执行。 保证企业内部经营决策和规章制度的正确落实。 保证会计资料的真实性和正确性。 保证财务活动的合法性和有效性。 维护财产物资的安全性和完整性。 保证各项经营活动的正常、 有效进行。,对被审计单位及其管理层的重要性,有利于审计机构及其审计人员设计恰当的审计程序，编制合理的审计计划，利用合适的内部审计，以提高审计工作效率。 有利于审计机构及其审计人员确定对审计计划和审计程序的执行与实施程度，以保证审计测试质量。 有利于审计机构及其审计人员均衡审计工作，保持应有的职业谨慎，合理运用专业判断，以降低审计风险至可接受的水平。,对审计机构及

4、其审计人员的重要性,内控的局限性 1、实施内控的成本效益原则 2、内控主要是针对经常而重复发生的业务而设置的，对不经常发生的或为预计到的业务，可能失效 3、在决策时人为判断可能出现错误和由于人为失误而导致内控失效 4、可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避 5、行使控制职能的人员素质不适应岗位要求 6、可能因经营环境、业务性质的改变而消弱或失效,下面表述中，不正确的是（ ） A.内部控制无论如何设计和执行，只能对财务报表的可靠性提供合理的保证，而非绝对的保证 B.在了解被审计单位的内部控制时，只需关注控制的设计 C.特别风险通常与重大的非常规交易和判断事项有关 D.

5、在某些情况下，仅通过实施实质性程序不能获取充分、适当的审计证据,单选,下列描述中，正确的有（ ）。 A. 即使注册会计师不拟依赖被审计单位的内部控制，注册会计师也必须执行对内部控制的了解程序 B.检查性控制通常用于正常业务流程的所有交易，以及时发现并纠正错报 C.无论内部控制设计多么合理、运行多么有效，注册会计师都应对会计报表的重要账户余额和交易类别实施实质性测试程序 D.注册会计师如拟信赖内部控制，应当实施控制测试,以将重大错报风险降低至可接受水平,多选,（二）对内控了解的深度:程度 （1）评价控制的设计 （2）确定其是否得到执行 但不包括对控制是否得到一贯执行的测试 1、评价内控的设计 注

6、册会计师在了解内部控制时，应当评价控制的设计，并确定其是否得到执行。 评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。,2、获取控制设计和执行的审计证据：四种方法 1）询问 2）观察 3）检查 4）穿行测试 3、了解内部控制与测试控制运行有效性的关系 1）先了解内控，即了解是否设计，是否得到执行 2）测试控制运行有效性：控制测试,内控要素：5个 1）控制环境：治理职能和管理职能，以及态度、认识和措施 2）风险评估过程：识别与财务报告相关的经营风险，以及针对这些风险所采取的措施 3）信息系统与沟通：程序和记录 4）控制活动：授权、业绩评价、信息处理、实物控制

7、、职责分离 5）对控制的监督：及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。,内控5要素及相互关系： 内控的重要基础控制环境 内控的重要环节被审单位的风险评估过程 内控的重要条件信息系统与沟通 内控的重要手段控制活动 内控的重要保证对控制的监督,内控5要素及相互关系,（一）【内控的重要基础控制环境】,1、概念：包括治理职能和管理职能，以及治理层和管理层对内控及其重要性的态度、认识和措施。 2、作用：设定了被审单位的内控基调，影响员工对内控的认识和态度。良好的控制环境是实施有效内控的基础，CPA应了解控制环境。,3、对审计的影响：防止或发现并纠正舞弊和错误是被审单位治理层和管理

8、层的责任。在评价控制环境的设计和实施情况时，CPA应了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化，以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。实际上，在审计业务承接阶段，CPA就需要对控制环境作出初步了解和评价。,4、构成要素： （1）对诚信和道德价值观念的沟通与落实 （2）对胜任能力的重视 （3）治理层的参与程度 （4）管理层的理念和经营风格 （5）组织结构 （6）职权与责任的分配 （7）人力资源政策与实务,（二）【内控的重要环节被审单位的风险评估过程】,可能产生风险的事项和情形包括： 1.监管及经营环境的变化 2.新员工的加入 3.新信息系统的使用或对原系统

9、进行升级 4.业务快速发展 5.新技术 6.新生产型号、产品和业务活动 7.企业重组 8.发展海外经营 9.新的会计准则,1、风险评估过程 针对财务报告目标的风险评估过程则包括： （1）识别与财务报告相关的经营风险 （2）评估风险的重大性和发生的可能性 （3）以及采取措施管理这些风险 被审单位的风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。CPA应了解被审单位的风险评估过程和结果。,（三）【内控的重要条件信息系统与沟通】,1、含义 与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。交

10、易可能通过人工或自动化程序生成。记录包括识别和收集与交易、事项有关的信息。处理包括编辑、核对、计量、估价、汇总和调节活动，可能由人工或自动化程序来执行。报告是指用电子或书面形式编制财务报告和其他信息，供被审单位用于衡量和考核财务及其他方面的业绩。,与财务报告相关的信息系统通常包括下列职能： （1）识别与记录所有的有效交易（完整性认定）； （2）及时、详细地描述交易，以便在财务报告中对交易进行恰当分类（分类认定）； （3）恰当计量交易，以便在财务报告中对交易的金额作出准确记录（准确性认定）； （4）恰当确定交易生成的会计期间（截止认定）； （5）在财务报表中恰当列报交易（列报认定）。,（四）【内

11、控的重要手段控制活动】,1、含义 控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。,（1）控制活动内容 （2）不相容职责分离 内控的核心是不相容职责分离，其体现在钱、账、物三分管、一项业务从开始到结束，不能由一个人和一个部门包办。,1、含义 监督是由适当的人员，在适当、及时的基础上，评估控制的设计和运行情况的过程。,（五）【内控的重要保证对控制的监督】,（一）【与审计相关的控制】 CPA需要了解和评价的内控只是与财务报表审计相关的内控，并非被审单位所有的内控。 必须指出，被审单位通常有一些与审计无关的控制，CPA无需对其加以

12、考虑。,二、【了解整体层面的内部控制】,对内控了解的深度，是指在了解被审单位及其环境时对内控了解的程度。包括评价控制的设计，并确定其是否得到执行，但不包括对控制是否得到一贯执行的测试。,（二）【对内控了解的深度】,（三）【内控的人工和自动化成分】,人工 ：内控一般包括批准和复核业务活动，编制调节表并对调节项目进行跟踪； 自动化特征 ：信息技术系统中的控制可能既有自动控制（如嵌入计算机程序的控制）又有人工控制 。,（四）【内控的局限性】,内控存在固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证。,7.4.4 多层面了解内部控制 1、在整体层面了解内部控制 在整体层面对内部控制

13、进行了解和评估，通常由谁来负责？ 如何来做？ 报表层次的重大错别风险很可能来源于？,2、在业务流程层面了解内部控制 步骤？ 确定被审计单位的重要业务流程和重要交易类别 了解重要交易流程，并记录获得的了解 确定可能发生错报的环节 识别和了解相关的控制 执行穿行测试 进行初步评价和风险评估,审计业务循环的划分,货币资金,筹资与投资循环,销售与收款循环,采购与付款循环,生产与存货循环,人力资源与工薪循环,结论： 1、所涉及的内控能防止或发现重大错别，并得到执行 2、控制本身设计是合理的，但没有得到执行 3、控制本身的审计就是无效的或缺乏必要控制,内部控制的要素包括（ ） A、控制环境 B、分析程序

14、C、信息系统与沟通 D、控制活动 E、对控制的监督,多选,控制活动是指有助于确保管理层的指令得以执行的政策和程序，其包括（） A职责分离 B实物控制 C授权与业绩评价 D信息处理 E员工的胜任能力,多选,内部控制的要素包括（ ） A、控制环境 B、风险评估过程 C、信息系统与沟通 D、控制活动 E、对控制的分工,多选,在了解控制环境时，注册会计师应当关注的内容有( ) A.公司治理层相对于管理层的独立性 B.公司管理层的理念和经营风格 C.公司员工整体的道德价值观 D.公司对控制的监督 E.公司的业绩评价体系,多选,下列不属于控制活动的是（ ） A.授权 B.实物控制 C.对控制的监督 D.职

15、责分离,单选,在了解控制环境时，注册会计师通常考虑的因素是（ ） A.内部控制的人工成分 B.内部控制的自动化成分 C.丙公司董事会对内部控制重要性的态度和认识 D.会计信息系统,单选,下面属于内部控制要素的有（ ） A.控制环境 B.风险评估过程 C.控制活动 D.信息系统与沟通 E.对控制的监督,多选,在了解控制环境时，注册会计师应当关注的内容有（ ） A.治理层相对于管理层的独立性 B.管理层的理念和经验风格 C.员工整体的道德价值观 D.对控制的监督,多选,在了解公司内部控制时，注册会计师通常采用的程序有（ ） A.查阅内部控制手册 B.追踪交易在财务报告信息系统中的处理过程 C.重新

16、执行某项控制 D.现场观察某项控制的运行,多选,下面观点中正确的是（ ） A.建立健全内部控制是被审计单位管理层的责任 B.建立内部控制的目的在于消除一切错弊的发生 C.内部控制存在固有的局限性 D.建立健全被审计单位内控是注册会计师的责任,多选,注册会计师没有义务实施的程序是（ ） A.查找丙公司内控控制运行中的所有缺陷 B.了解丙公司情况及其环境 C.实施审计程序，以了解丙公司内部控制的设计 D.实施穿行测试，以确定丙公司相关控制活动是否得到执行,单选,文字叙述法 问卷调查法 流程图法 掌握各自优缺点 上述方法并非互相排斥，而是互相补充的，可在不同业务环节使用不同方法，也可综合使用几种方法

17、。,在了解内部控制的基础上 对内部控制的描述,7.5 内部控制的测试,7.5.1内部控制的人工和自动化成分 7.5.2控制测试的含义和要求 7.5.3控制测试的性质 7.5.4控制测试的时间 7.5.5控制测试的范围,人工成分适用于？ 自动化适用于？,内部控制的 人工和 自动化成分,控制测试的含义 控制测试是为了评价关于控制防止或发现并纠正认定层次重大错报的有效性而实施的测试。审计人员应当选择为相关认定提供证据的控制进行测试。,控制测试的 含义和要求,控制测试是为了确定（ ）而实施的审计测试 A.财务报表认定是否正确 B.内部控制执行的有效性 C.内部控制是否得到执行 D.内部控制设计的合理性

18、,单选,控制测试实施条件？,控制测试的 含义和要求,只有认为控制设计合理、能够防止或发现和纠正认定层次的重大错报，注册会计师才有必要进行（ ） A细节测试 B实质性测试 C了解内部控制 D控制测试,单选,下列与控制测试有关的表述中，正确的是（ ） A.如果控制设计不合理，则不必实施控制测试 B.如果在评估认定层次重大错报风险时预期控制的运行是有效的，则应当实施控制测试 C.如果认为仅实施实质性程序不足以提供认定层次充分、适当的证据，则应当实施控制测试 D.对特别风险，即使拟信赖的相关控制没有发生变化，也应当在本次审计中实施控制测试,多选,性质是所使用审计程序的类型及组合 控制测试采用的审计程序

19、类型 询问 观察 检查 穿行测试 重新执行 审计人员应当根据特定控制的性质选择所需实施审计程序的具体类型。,控制测试的性质,询问本身不足以测试控制运行的有效性，注册会计师应将询问与其他审计程序结合使用，以获取有关控制有效性的审计证据。 观察提供的证据仅限于观察发生的时点，本身也不足以测试控制运行的有效性。 将询问与检查或重新执行结合使用，通常能够获取更高保证,程序： 1）了解内控：询问、观察、检查和穿行测试 2）控制测试：询问、观察、检查、穿行测试和重新执行 3）风险评估程序：询问、观察、检查、穿行测试、分析程序,双重目的测试： 控制测试：评价内控的有效性 细节测试：发现认定层次的重大错报 注

20、册会计师可以考虑针对同一交易同时实施控制测试和细节测试，以实现双重目的,控制测试的程序类型包括（ ） A.检查文件记录 B.重新执行 C.询问与观察 D.穿行测试 E.重新计算,多选,双重目的的测试是指（ ）。 A.在了解内部控制的同时进行控制测试 B.在实质性程序的同时对内部控制进行了解 C.在控制测试的同时实施分析程序 D.在控制测试的同时进行细节测试,单选,根据控制测试的目的确定控制测试的时间： 如果只需要测试控制在特定时点的运行的有效性（如对被审计单位期末库存盘点进行控制测试），审计人员只需要获取该时点的审计证据； 如果需要获取控制在某一期间有效运行的审计证据，审计人员应当辅以其他控制

21、测试（包括测试被审计单位对控制的监督），其他控制测试应当能够提供相关控制在所有相关时点都运行有效的审计证据。,控制测试的时间,实际上，控制在多个不同时点的运行有效性的审计证据的简单累加，并不能构成控制在某一期间的运行有效性的充分、适当的审计证据。,控制测试的时间,在确定某项控制的测试范围时，审计人员通常考虑下列因素： 在整个拟信赖的期间，被审计单位执行控制的频率 在所审计期间，审计人员拟信赖控制运行有效性的时间长度 为证实控制能够防止或发现并纠正认定层次重大错报，所需获取审计证据的相关性和可靠性 通过测试与认定相关的其他控制获取的审计证据的范围 在风险评估时拟信赖控制运行有效性的程度 控制的预

22、期偏差,控制测试的范围,在确定控制测试的范围时，注册会计师通常考虑的因素有( ) A.控制的执行频率 B.控制的预期偏差 C.在风险评估时拟信赖控制运行有效性的程度 D.总体变异性 E.内部控制执行者的政治面貌,注册会计师在了解及评价被审计单位内部控制后，实施控制测试的范围是（ ）。 A.对财务报表有重大影响的内部控制 B.并未有效运行的内部控制 C.有重大缺陷的内部控制 D.拟信赖的内部控制,单选,7.6 内部控制的评价,7.6.1内部控制自我评价 7.6.2内部控制的健全性和有效性评价 7.6.3内部控制评价的应用,内部控制自我评价的基本界定 内部控制自我评价中审计人员的主要责任 内部控制

23、自我评价的原则、内容、程序及方法 内部控制自我评价报告,内部控制 自我评价,内部控制的健全性评价 内部控制的有效性评价,内部控制的 健全性和 有效性评价,内部控制的健全性测试与评价的方法及步骤： 确定内部控制评价模式。 调查内部控制的现状。 评价内部控制的健全性。,内部控制的健全性评价,内部控制的有效性评价方法及步骤： 确定控制测试的内容与数量。 进行控制测试。 评价内部控制的有效性。,内部控制的有效性评价,内部控制评价应用的意义 内部控制评价基础审计的程序,内部控制评价 的应用,计划阶段 实施阶段 完成阶段,内部控制评价基础审计的程序,7.7 内部控制的审计,7.7.1内部控制审计的含义 7

24、.7.2内部控制审计与内部控制评价 7.7.3内部控制审计程序 7.7.4内部控制审计报告,内部控制审计是审计工作的重要内容。它是指审计机构（如会计师事务所，下同）接受委托，对特定基准日内部控制设计与运行的有效性进行审计。 建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。 按照有关要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是审计人员的责任。,内部控制审计 的含义,区别：,内部控制审计 与 内部控制评价,内部控制 审计程序,符合下列两项条件的，注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告： 企业按照有关要求，在所有重大方面保持了有效的内部

25、控制； 注册会计师已经按照有关要求计划和实施了审计工作，在审计过程中未受到限制。,内部控制 审计报告,注册会计师认为财务报告内部控制虽不存在重大缺陷，但仍有一项或者多项重大事项需要提请内部控制审计报告使用者注意的，应当在内部控制审计报告中增加强调事项段予以说明。 注册会计师认为财务报告内部控制存在一项或多项重大缺陷的，除非审计范围受到限制，应当对财务报告内部控制发表否定意见。 注册会计师审计范围受到限制的，应当解除业务约定或出具无法表示意见的内部控制审计报告，并就审计范围受到限制的情况，以书面形式与董事会进行沟通。 注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的，应在内部控制

26、审计报告中对重大缺陷作详细说明。,内部控制 审计报告,内部控制审计报告的参考格式,鉴证业务,一、鉴证业务 鉴证业务是指注册会计师对鉴证对象信息提出结论，以增强除责任方之外的预期使用者对鉴证对象信息信任程度的业务。如财务审计、财务报表审阅、内部控制鉴证、执行商定程序等业务。,鉴证对象信息是按照标准对鉴证对象进行评价和计量的结果，如财 务报表责任方按照会计准则和相关会计制度对其财务状况、经营 成果和现金流量进行确认、计量和列报而形成。所以企业的财务状况、经营成果和现金流量是鉴证对象，财务报表则是鉴证对象信息。鉴证对象与鉴证对象信息具有多种形式，主要包括五类。,（一）鉴证业务的要素 1. 三方关系

27、2. 鉴证对象 3. 标准 4. 证据 5. 鉴证报告,根据注册会计师鉴证业务基本准则，注册会计师鉴证业务要素包括( ) A.三方关系 B.鉴证对象 C.标准 D.证据和鉴证报告 E.质量控制,多选,（一）鉴证业务的要素 三方关系。包括注册会计师、责任方和预期使用者。 1）注册会计师 2）责任方：对报表负责的人 3）预期使用者：责任方可能是鉴证报告的预期使用者之一，但不是唯一的预期使用者 三方关系：注册会计师对由责任方负责的鉴证对象或鉴证对象信息提出结论，以增强责任方之外的预期使用者对鉴证对象信息的信任程度。,下列选项中，不属于鉴证业务中的三方关系是（ ） A注册会计师 B责任方 C委托人 D

28、预期使用者,单选,属于鉴证业务关系人的有（ ）A.注册会计师 B.董事会 C.预期使用者 D.委托方 E.责任方,多选,关于鉴证业务三方关系，下列叙述正确的有（ ）。 A.鉴证业务涉及的三方关系人包括注册会计师、委托人和预期使用者 B.鉴证业务涉及的三方关系人包括注册会计师、责任方和预期使用者 C.预期使用者通常会包括委托人，在鉴证业务中，委托人可能会是唯一的预期使用者 D.预期使用者有时会包括责任方，在鉴证业务中，责任人可能会是唯一的预期使用者,多选,（一）鉴证业务的要素 2. 鉴证对象和鉴证对象信息。 鉴证对象信息是按照标准对鉴证对象进行评价和计量的结果。 例如：责任方按照会计准则和相关会

29、计制度（标准）对其财务状况、经营成果和现金流量（鉴证对象）进行确认、计量和列报而形成的财务报表（鉴证对象信息）。,鉴证对象和鉴证对象信息,（一）鉴证业务的要素 3. 标准。用于对鉴证对象进行评价或计量的基准，当涉及列报时，还包括列报的基准。可以是正式的规定，也可以是非正式的规定。 适当标准的特征： 1）相关性 2）完整性 3）可靠性 4）中立性 5）可理解性,适当的标准应当具备的特征包括（ ）。 A.相关性、真实性、可靠性、可理解性 B.相关性、可靠性、中立性、可比性 C.充分性、完整性、中立性、可理解性 D.相关性、完整性、可靠性、中立性、可理解性,单选,标准是用于评价或计量鉴证对象的基准，

30、当涉及列报时，还包括列报的基准。请论述适当的标准应当具备的特征。,论述题,（一）鉴证业务的要素 4. 证据。 取得充分、适当的证据是注册会计师提出合理鉴证结论的前提。 注册会计师在收集、评价和利用证据的过程中，应该考虑？,（一）鉴证业务的要素 5. 鉴证报告。 针对鉴证对象信息或（鉴证对象）在所有重大方面是否符合适当的标准，注册会计师在实施鉴证程序的基础上，应以书面报告的形式发表能够提供一定保证程度的结论。,合理保证：高水平保证，以积极方式提出结论。例如： “我们认为，根据标准，内部控制在所有重大方面是有效的”或“我们认为，责任方作出的根据标准，内部控制在所有重大方面是有效的这一认定是公允的”。 有限保证：低于高水平保证，以消极方式提出报告。例如： “基于本报告所述的工作，我们没有注意到任何事项使我们相信，根据标准，系统在任何重大方面是无效的”或“基于本报告所述的工作，我们没有注意到任何事项使我们相信，责任方作出的根据标准