搜索
新审计准则下如何进行内部控制的了解、测试及评价亚太中汇会计师事务所质量监管部经理李玲了解内部控制一、了解的目的内部控制是识别和评估重大错报风险、设计和实施进一步审计程序的基础。注册会计师应当了解与审计相关的内部控制以识别潜在错报的类型,考虑导致重大错报风险的因素,以及设计和实施进一步审计程序的性质、时间和范围。(1211准则四十五条)了解内部控制二、内部控制的内涵内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。(1211准则四十六条)了解内部控制谁对内部控制负责?经营管理层*最终对内部控制的有效性和充分性负责。董事会*主要由常务董事和外部独立董事组成,负责内部控制的治理、指导和监督。内部审计人员:*负责评估内部控制系统的有效性,是主要监督工作实施者。了解内部控制三、了解的范围注册会计师审计的目标是对财务报表是否不存在重大错报发表审计意见,注册会计师考虑与财务报表编制相关的内部控制,但目的并非对被审计单位内部控制的有效性发表意见。注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制。了解内部控制1、为实现财务报告可靠性目标设计和实施的控制-用职业判断2、其他与审计相关的控制(1)如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息,注册会计师应当考虑用以保证该信息完整性和准确性的控制可能与审计相关。了解内部控制(2)如果用以保证经营效率、效果的控制以及对法律法规遵守的控制与实施审计程序时评价或使用的数据相关,注册会计师应当考虑这些控制可能与审计相关。了解内部控制(3)用以保护资产的内部控制可能包括与实现财务报告可靠性和经营效率、效果目标相关的控制。注册会计师在了解保护资产的内部控制各项要素时,可仅考虑其中与财务报告可靠性目标相关的控制。了解内部控制例如:保护存货安全的控制可能与审计相关,但在生产中防止材料浪费的控制通常就与审计不相关。材料是否经济有效地使用与审计目标并不直接相关,只有所用材料的成本没有在财务报表中如实反映,才会影响财务报表的可靠性。了解内部控制四、对内部控制了解的深度注册会计师在了解内部控制时,应当评价控制的设计,并确定其是否得到执行。1、评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。了解内部控制2、控制得到执行是指某项控制存在且被审计单位正在使用。设计不当的控制可能表明内部控制存在重大缺陷,注册会计师在确定是否考虑控制得到执行时,应当首先考虑控制的设计。了解内部控制五、了解的方法(一)询问被审计单位的人员;(二)观察特定控制的运用;(三)检查文件和报告;(四)追踪交易在财务报告信息系统中的处理过程(穿行测试)。询问本身并不足以评价控制的设计以及确定其是否得到执行,注册会计师应当将询问与其他风险评估程序结合使用。了解内部控制六、控制要素控制环境风险评估控制活动信息与沟通控制监督了解内部控制(一)控制环境:是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。了解内部控制控制环境通常发现的问题:1.治理结构不完善,不能对管理层进行独立有效的监督2.管理层风险控制意识薄弱3.公司组织架构与公司规模、业务不匹配4.没有一整套严格、统一的授权体系5.财务及信息系统管理分散监督6.没有明确统一的员工行为守则7.没有岗位说明书以及合理的员工绩效考核办法了解内部控制(二)风险评估过程;是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。了解内部控制风险评估通常发现的问题:1.缺乏企业整体目标,包括战略目标的确定与更新2.下属机构与总部目标不一致,导致对风险识别的不一致3.缺乏风险识别与预警机制以及缺乏对新市场、新产品/服务的风险评估4.缺乏机制来进行定期系统的风险评估了解内部控制(三)信息系统与沟通;是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。了解内部控制信息控制的三个要点:1.适量的正确的信息2.在适当的时候3.给正确的人员沟通沟通是信息流通的渠道,也是信息的来源。内部沟通包括水平与垂直两种方式。外部沟通有多种来源:顾客,供应商,政府,利益相关者。了解内部控制信息与沟通通常发现的问题1.信息系统无法满足财务、业务需要,向管理层及时提供正确相关的信息2.信息系统的设计与公司战略不一致3.公司上传下达不力4.部门或地区之间沟通不力了解内部控制(四)控制活动;是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。了解内部控制(五)对控制的监督。是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查的一项重要内容。了解内部控制1.持续的监督活动2.单独评估活动3.缺陷报告。了解内部控制持续的监督活动建立在正常的,重复的运作中,如:*定期的管理活动*外部反馈*信息系统记录的数据*内部反馈*内部审计*培训及计划*行为准则了解内部控制单独评估活动风险评估专注于内部控制系统本身,而不是系统所控制的业务,因此不是通常的内部审计。在进行单独评估活动中,COSO注重以下方面:*评估的范围与频率*评估执行人员*评估流程*评估方法*内控系统的记录*缺陷弥补执行计划了解内部控制缺陷报告缺陷报告涉及四个方面:*信息的来源是什么*需要报告的内容是什么*谁是报告的接受者*报告的指示是什么了解内部控制监督通常发现的问题1.缺乏对内部控制的定期评估2.内审部门没有独立性,不能有效进行监督工作3.内审工作范围与计划不合理4.内部控制缺陷不能及时得到纠正了解内部控制-整体层面对内部控制的了解和评估1、评价过程需要大量的职业判断,没有固定的公式或指标可供参考2、财务报表层次的重大错报风险很可能源于薄弱的控制环境,因此,注册会计师在评估财务报表层次的重大错报风险时,应当将被审计单位整体层面的内部控制状况和了解到的被审计单位及其环境其他方面的情况结合起来考虑。了解内部控制-整体层面对内部控制的了解和评估3、被审计单位整体层面的内部控制是否有效将直接影响重要业务流程层面控制的有效性,进而影响注册会计师拟实施的进一步审计程序的时间、性质、范围。了解内部控制-业务流程层面了解和评价内部控制一、通常采取的步骤(1)确定被审计单位的重要业务流程和重要交易类别;(2)了解重要交易流程,并记录获得的了解;(3)确定可能发生错报的环节;(4)识别和了解相关控制;(5)执行穿行测试,证实对交易流程和相关控制的了解;(6)进行初步评价和风险评估。了解内部控制-业务流程层面了解和评价内部控制二、确定被审计单位的重要业务流程和重要交易类别1、将被审计单位的整个经营活动划分为几个重要的业务循环,有助于注册会计师更有效地了解和评估重要业务流程及相关控制。2、被审计单位经营活动的性质不同,所划分的业务循环也不同。了解内部控制-业务流程层面了解和评价内部控制3、重要的交易类别应与相关账户及其认定相联系。二、了解重要交易流程,并记录获得的了解1、重要交易流程是每一类重要交易在信息技术或人工系统中生成、记录、处理及在财务报表中报告的程序。了解内部控制-业务流程层面了解和评价内部控制2、主要需记录的信息(1)主要的输入信息的来源;(2)所使用的重要数据档案,如客户清单及价格信息记录;(3)重要的处理程序,包括在线输入和更新处理;了解内部控制-业务流程层面了解和评价内部控制(4)重要的输出文件、报告和记录;(5)基本的职责划分,即列示各部门所负责的处理程序。可用流程图进行记录了解内部控制-业务流程层面了解和评价内部控制三、确定容易发生错报的环节(一)控制目标(见后表)(二)注册会计师通过设计一系列关于控制目标是否实现的问题,从而确认某项业务流程中需要加以控制的环节。(见后表)设计问题的数量,取决于下列因素:(1)业务流程的复杂程度;(2)业务流程中发生错报而未能被发现的概率;了解内部控制-业务流程层面了解和评价内部控制(3)是否存在一种具有实效的总体控制来实现控制目标。例如,将仓库的发货日志中记录的发货数量与销售日记账中登记的数量定期进行核对调节,这一控制可以同时实现发生、完整性、截止等多个控制目标。注册会计师应将这些问题记录于工作底稿。了解内部控制-业务流程层面了解和评价内部控制控制目标解释完整性:所有的有效交易都已记录必须有程序确保没有漏记实际发生的交易存在和发生:每项已记录的交易均真实必须有程序确保会计记录中没有虚构的或重复入账的项目适当计量交易必须有程序确保交易以适当的金额入账恰当分类必须有程序确保将交易计入正确的总分类账,必要时计入相应的明细账内正确汇总和过账必须有程序确保所有作为账簿记录中的借贷方余额都正确地归集(加总),确保加总后的金额正确过入总账和明细分类账。了解内部控制-业务流程层面了解和评价内部控制错报会在什么环节发生认定怎样确保所有的销售均已入账?完整性怎样避免记录虚假或重复的销售?存在/发生怎样确保发票正确反映发货数量?准确性/计价怎样确保发票反映正确的价格、折扣和税款?准确性/计价怎样确保发货记录在正确的期间?完整性/截止怎样确保在发货前不会开具和记录发票?存在/发生了解内部控制-业务流程层面了解和评价内部控制四、识别和了解相关控制(一)控制的类型1、预防性控制:是为了防止错误和舞弊的发生而采取的控制:缺乏有效的预防性控制增加了数据发生错报的可能性,特别是在相关账户及其认定存在较高重大错报风险时,情况更是如此。了解内部控制-业务流程层面了解和评价内部控制*职责分离;*监督性检查*正确性校验*设置权限。了解内部控制-业务流程层面了解和评价内部控制预防性控制示例表对控制的描述设计控制用来防止的错报生成收货报告的计算机程序,同时也更新采购档案。防止出现购货漏记账的情况。在更新采购档案之前必须先有收货报告。防止记录了未收到购货的情况。销货发票上的价格根据价格清单上的信息确定。防止销货计价错误。计算机将各凭证上的账户号码与会计科目表对比,然后进行一系列的逻辑测试。防止出现分类错报。了解内部控制-业务流程层面了解和评价内部控制2、检查性控制把已经发生和存在的错误检查出来的控制:*异常情况报告;*编制调节表;*周期性的审计;*盘点。了解内部控制-业务流程层面了解和评价内部控制(1)被审计单位通过检查性控制,监督其流程和相应的预防性控制能否有效地发挥作用。检查性控制通常是管理层用来监督实现流程目标的控制。(2)不适用于业务流程中的所有交易,而适用于一般业务流程以外的已经处理或部分处理的某类交易,可能一年只运行几次,如每月将应收账款明细账与总账比较;也可能每周运行,甚至