审计第七章-内部控制及控制风险评估

1、第七章 内部控制及控制风险评估本章学习目的： 1.了解内部控制的涵义 2.了解内部控制的发展过程 3.了解和掌握内部控制的构成要素 4.了解和掌握控制风险评估、控制测试的程序和方法1 本章主要内容 第一节 内部控制的涵义与目标 第二节 内部控制的构成要素 第三节 内部控制的了解、评估和测试2 第一节 内部控制的涵义与目标 一、内部控制的含义 二、内部控制的目标 三、内部控制的历史演变 四、内部控制的局限性3 第一节 内部控制的涵义与目标一、内部控制的含义 内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。

2、从上述定义可以看出,内部控制实质上是为实现一定目标而制定的政策和程序，是管理职能中控制职能的具体体现。4二、内部控制的目标保证业务活动按适当的授权进行保证财务报告的可靠性保证资产的安全和完整保证业务活动的效率和效果5三、内部控制的历史演变 1.内部牵制阶段（Internal Check） 主要特点是： 任何个人或部门不能单独控制任何一项或一部分业务权力，要进行合理的责任分工，每项业务通过其他个人或部门进行交叉检查或交叉控制。 内部牵制机能的执行大致可分为四类： 实务牵制 机械牵制 体制牵制 簿记牵制 6 2.内部控制阶段（Internal Control） 1949年美国注册会计师协会的审计程

3、序委员会: 内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。 这些方法和措施都用于保护企业的财产，检查会计信息的准确性，提高经营效率，推动企业坚持执行既定的管理政策。 7 3.内部控制结构阶段 (Internal Control Structure) 1988年美国注册会计师协会在其发布的第55号审计准则公告中首次运用了“内部控制结构”一词来取代原有的“内部控制”， 企业的内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序。 内部控制结构包括控制环境、会计系统和控制程序 84内部控制整体框架阶段 1992年COSO报告 内部控制定义为： 由一个企业的董事

4、会、管理人员和其他人员实现的过程，旨在为下列目标提供合理保证：财务报告的可靠性；经营的效果和效率；符合适用的法律和法规”。 内部控制的构成要素五个要素是：控制环境、风险评估、控制活动、信息和沟通、监控。 9 四、内部控制的局限性内部控制的设计要考虑成本效益原则内部控制仅适用于常规业务，不适用于非常规业务内部控制能否有效执行，受执行人员的专业胜任能力和可信赖程度的影响 经营环境、业务性质的改变可能使内部控制失效10 第二节 内部控制的构成要素 一、控制环境 二、风险评估 三、控制活动 四、信息和沟通 五、监督11 第二节 内部控制的构成要素一、控制环境 控制环境是对企业控制的建立和实施有重大影响

5、 的因素的总称。 1正直和道德观念 正直和良好的道德观念是内部控制能否有效运行 的基础。 管理当局应通过制定行为准则等方式，使员工减 少舞弊、不道德或非法的行为 12 2.胜任能力 执行控制的人员需要具备一定的技术能力。为确保 相关人员的胜任能力，应招聘有适当教育背景和工作经验的员工，并向其提供充分的指导和培训。 3.董事会和审计委员会 董事会和审计委员会工作的有效性影响着内部控制的执行。 审计委员会是董事会的下设机构，应由公司之外的独立董事组成。 13 4.管理哲学和经营方式 管理当局对内部控制的态度，深刻影响着内部控制 5.组织结构 组织结构是指计划、指导和控制经营活动的整体框架 应该将这

6、些责任进行分离： 业务授权业务记录资产维护14 6.授权和分配责任的方法 通过书面的方式明确职权的划分，并传达到各有关人员，使各个部门及其成员了解接受的业务活动、处理利害关系的方式 7.人力资源政策和措施 人员的招聘、考核、培训、升迁和奖励等方法，直接影响人员的素质 15二、风险评估 风险评估是组织确认和分析实现其目标过程中的各种风险的过程 , 导致影响风险增大的因素有：组织规章和经营环境的变化人事变动组织的迅速发展与生产过程和信息系统有关的技术的变化引进新的生产线、新产品和新工序公司重组扩展或取得国外业务采用新的会计原则或变更会计原则16三、控制活动 控制活动是指管理当局建立的为保证其指令被

7、贯彻执行的政策和程序。 1.业绩检查实际业绩与预算对比实际业绩与前期业绩对比实际业绩与相关的不同的数据对比进行业绩的全面检查17 2.业务交易活动的适当授权 （1）一般授权 一般授权是指对形成了一定的规范标准的业务进行的授权。 它是对办理常规经济业务权力、条件和有关责者的规定，时效性较长。 （2）特殊授权 特殊授权是指对个别业务或特殊业务进行的授权。 与一般授权不同，特殊授权只涉及特定的经济业务处理的具体条件及有关具体人员 18 3.充分的记录 企业要设计各种恰当的账簿、凭证、并连续编号，对各项业务都要有充分全面的记录 4.实物控制 实物控制包括为保证实物安全而采取的各项措施，也称资产和记录接

8、近控制 包括： 记录和实物资产的保管分开只有经过授权的人员才能接触实物资产记录和实物定期核对 19 5.责任分工 责任分工指将各种功能性职责相分离，以防止单独作业的雇员从事和隐藏不正常行为。合理的责任分工要求：不能由一个人或一个部门完成整个交易过程 以下职责应被分开：业务授权 业务执行 业务记录 对业绩的独立检查。20四、信息和沟通 信息和沟通是指将有关信息以及时、有效的方式进行识别、归集，并传递给相关人员，使其有效地履行职责。21 1会计信息系统 一个良好的会计信息系统包括：确认和记录所有的真实交易及时且充分详细地描述交易，以便在财务报表上做适当的分类以一定的方式记录交易的价值，以在财务报表

9、中适当地记录它的货币价值确定交易发生的时间，以使交易记入恰当的会计期间在财务报表中恰当地表达交易，披露相关的事项。22 2信息沟通 适当的信息沟通，应能让每一个职工理解他们的角色和与财务报告相关的责任 包括使员工了解在工作中他们如何与他人相联系，如何对上级报告例外情况。 沟通的方式包括： 政策手册 会计和报告手册备忘录23五、监督 监督是评价内部控制质量的程序 监控的目的是： 检查内部控制是否按设计的初衷运行，是否有必要调整。 监督包括持续监督和独立评价两种活动。 持续监督是指实施的经常性的监督活动和管理活动。 独立评价是指非常规性的监督活动。24 第三节 内部控制的了解、评估和测试 一、审计

10、人员关注内部控制的目的 二、了解和评估内部控制的基本步骤25 第三节 内部控制的了解、评估和测试一、审计人员关注内部控制的目的 在审计过程中，审计人员之所以要了解和内部控制测试，主要是出于以下目的： 识别潜在错报的种类考虑影响重大错报风险的因素设计和实施进一步审计程序的性质、时间和范围26二、了解和评估内部控制的基本步骤 了解、记录企业的内部控制初步评估控制风险实施控制测试实施实质性程序的结果对控制测试结果的影响27(一）了解和记录内部控制 1.了解内部控制 （1）了解的内容了解控制环境了解风险评估了解会计信息和沟通系统了解控制活动了解监督情况 。 28（2）了解的方法：询问有关的工作人员查阅

11、有关内部控制的文件检查内部控制生成的凭证和记录观察业务活动和内部控制运行情况选取一些典型的交易和事项进行“穿行测试” 29 2记录了解的内部控制的情况 （1）文字说明法 文字说明法，是指审计人员用文字叙述的方式描述被审计单位内部控制的方法。 具体案例见下图 3031 （2）调查表法 调查表法，是指审计人员通过预先设计好的有关内部控制的问题式调查表，了解被审计单位内部控制的方法。（具体案例见下图） 调查表法的优点：可操作性强省时省力，有利于指导初级审计人员能对调查对象提供一个简括的说明 缺点：缺乏弹性，不适用于一些特殊的情况 容易把各业务的内部控制孤立看待3233 （3）流程图法 流程图法，是指

12、审计人员运用特定的符号和图示描述被审计单位内部控制的方法。流程图是收集信息的另一个有效工具。见下图 流程图的优点是：形象、直观便于修改。 缺点是： 编制流程图需要一定的技术费时费力3435（二）评价控制设计的恰当性并初步评估控制风险 审计人员需要评价控制设计的恰当性并确定其是否得到执行。 控制设计的恰当性是指客户设计的内部控制政策和程序是否能够防止或发现特定会计报表认定中存在的重大错报或漏报，即内部控制的设计是否合理、适当。 36内部控制的评价结果一般有三种：所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报，并得到执行控制本身的设计是合理的，但没有得到执行控制本身的设计是无效的，或缺

13、乏必要控制 37 （三）实施控制测试 1控制测试的涵义、目的和条件 控制测试，是指能够为获取内部控制有效运行提供证据的程序。 目的是为内部控制有效的运行提供证据支持 当存在下列情形之一时，才需要进行控制测试：评估认定层次的重大错报风险时，预期控制的运行是有效的仅实施实质性程序不足以提供认定层次充分、适当的审计证据。 38 在测试时，审计人员应具体测试以下四个方面的内容：内部控制政策和程序是如何运用的？内部控制在审计期间是否持续运用？内部控制是由谁来执行的？控制以何种方式运行？39 2实施控制测试的方法 在进行内部控制测试，审计人员可以采取以下方法：询问被审计单位的有关工作人员查阅有关内部控制的凭证、记录和报告观察内部控制活动的运行情况重新执行被审计单位的控制程序。40 在评价获取的证据是否具有充分性、适当性时，审计人员应当运用专业判断，并考虑以下因素：特定内部控制的性质特定内部控制在事项控制目标中的重要性被审计单位对特定内部控