搜索
第7章内部控制7.1概述7.2内部控制的内容与形式7.3内部控制的重要性与局限性7.4内部控制的了解7.5内部控制的测试7.6内部控制的评价7.7内部控制的审计7.1概述7.1.1内部控制的历史演进7.1.2内部控制的整体框架7.1.3内部控制的概念内部控制的历史演进萌芽期发展期成熟期1978年科恩委员会设立了“POB”1985年崔德威委员会设立了“COSO”COSO于1992年9月公布了《内部控制整体框架》COSO于2004年4月公布了《企业风险管理框架》内部控制的整体框架2008年5月,财政部会同证监会、审计署、银监会、保监会印发了《企业内部控制基本规范》,自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。2010年4月15日,财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》(简称企业内部控制配套指引),自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行;在此基础上,择机在中小板和创业板上市公司施行。我国内部控制发展现状企业内部控制应用指引:——内部环境类指引:组织架构、发展战略、人力资源、社会责任、企业文化——控制活动类指引:资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告——控制手段类指引:全面预算、合同管理、内部信息传递、信息系统内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。内控五要素:控制环境、风险评估过程、控制活动、信息系统与沟通和对控制的监督。建立健全内部控制是被审计单位管理层的责任(会计责任)。内部控制的概念7.2内部控制的内容与形式7.2.1内部控制的主要内容7.2.2内部控制的基本形式(分类)7.2.3与审计相关的内部控制组织架构岗位责任业务流程处理手续业务记录检查标准人员素质社会责任企业文化内部审计内部控制主要内容内部控制基本形式(分类)按照控制内容不同:环境控制和业务控制按照控制目的不同:会计控制和管理控制按照控制目标不同:财产物资控制、会计资料控制、财务收支控制、经营决策控制、经营效应控制和经营目标控制按照控制方式不同:预防式控制和察觉式控制按照控制地位不同:主导性控制和补偿性控制审计人员应当重点关注并考虑被审计单位为实现财务报告可靠性目标设计和实施的内部控制,即与审计相关的内部控制,也称为与财务报告相关的内部控制。我国与审计相关的内部控制应用指引主要包括:控制活动类应用指引控制手段类应用指引与审计相关的内部控制7.3内部控制的重要性与局限性7.3.1内部控制的重要性7.3.2内部控制的局限性对被审计单位及其管理层的重要性对审计机构及其审计人员的重要性内部控制的重要性内部控制的设计和运行受制于成本与效益原则。内部控制一般仅针对常规业务活动而设计,具有相对稳定性。内部控制即便设计完善,也可能因执行人员的粗心大意、精力分散、判断失误以及对指令的误解而失效。内部控制可能因有关人员相互勾结、内外串通而失效。内部控制可能因执行人员滥用职权或屈从于外部压力而失效。内部控制可能因经营环境、业务性质的改变而削弱或失效。内部控制的局限性7.4对内部控制的了解7.4.1利用以往的审计经验,初步了解内部控制7.4.2实施一定的审计程序,深入了解内部控制7.4.3研究内部控制要素,充分了解内部控制7.4.4分别整体与业务流程,多层次了解内部控制7.4.5在了解内部控制的基础上,对内部控制描述影响因素主要包括:1、对被审计单位所属行业的了解;2、以往审计取得的对被审计单位情况的了解;3、被审计单位经营和会计制度的复杂性;4、对重要性的初步评估等。利用以往的审计经验,初步了解内部控制评价控制设计和执行在防止或发现并纠正重大错报方面的有效性。具体风险评估程序:1、询问被审计单位的人员;2、观察特定控制的运用;3、检查内部控制生成的文件和报告等;4、追踪交易在财务报告信息系统中的处理过程——执行穿行测试实施一定的审计程序,深入了解内部控制了解控制环境了解风险评估过程了解信息系统与沟通了解控制活动了解对控制的监督研究内部控制要素,充分了解内部控制了解控制环境指被审计单位对内部控制及其重要性的态度、认识和措施。影响因素包括:1、对诚信和道德价值观念的沟通和落实;2、对胜任能力的重视;3、治理层的参与程度;4、管理层的理念和经营风格;5、组织结构及职权与责任的分配;6、人力资源政策与实务。了解风险评估过程被审计单位风险评估过程包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施。在评价被审计单位的风险评估过程时,审计人员应确定管理层:1、如何识别与财务报告相关的经营风险;2、如何估计该风险的重要性;3、如何评估风险发生的可能性;4、如何采取措施管理这些风险。审计人员还应询问管理层已识别出的经营风险,并考虑这些风险是否可能导致重大错报。审计时还应考虑管理层未能识别的重大错报风险。了解信息系统与沟通——与财务报告相关的与财务报告相关的信息系统,指被审计单位用于确认、计量、记录和报告其交易和事项的财务信息系统。具体了解:1、被审计单位交易和事项的主要类别;2、各类主要交易和事项的发生过程;3、重要的会计凭证、账簿记录以及财务报表项目;4、重大交易和事项的会计处理过程。了解信息系统与沟通——与财务报告相关的在了解信息系统时,审计人员应当特别关注由于管理层凌驾于账户记录控制之上,或规避控制行为而产生的重大错报风险,并考虑被审计单位如何纠正不正确的交易处理。关于沟通,审计人员应当了解:(1)被审计单位内部如何对财务报告的岗位职责以及重大事项进行沟通;(2)管理层与治理层之间的沟通;(3)被审计单位与外部的沟通等。了解控制活动控制活动是指有助于确保管理层的指令得以执行的政策和程序。重点了解:1、交易授权2、职责划分3、凭证与记录控制4、资产接触与记录使用5、独立稽核控制程序是否合理有效,直接影响到会计资料的真实性和可靠性。了解对控制的监督对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程,该过程包括及时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施。通常贯穿于被审计单位的日常经营活动与常规管理工作中。——利用内部审计人员等进行监督;——利用与外部有关各方沟通或交流所获取的信息监督。在整体层面了解内部控制一般由项目组中对被审计单位情况比较了解且有执业经验的成员负责。认定报表层次的重大错报风险很可能源于薄弱的控制环境,在了解被审计单位及其环境时,对其整体层面内部控制状况的了解非常重要。被审计单位整体层面的内部控制是否有效,将直接影响业务流程层面的内部控制的有效性,进而影响审计人员拟进一步实施审计程序的性质、时间和范围。多层面了解内部控制在业务层面了解内部控制(1)确定重要的业务流程和交易类别;(2)了解重要的交易流程,并加以记录;(3)确定可能发生错报的环节;(4)识别、了解和记录相关控制;(5)证实对重要交易流程和相关控制的了解;(6)进行初步评价和风险评估。在对控制进行初步评价及风险评估后,审计人员需要利用对内控了解所获得的信息,判断控制的设计是否合理、控制是否得到执行及是否更多地信赖控制并实施控制测试。多层面了解内部控制文字叙述法参教材P128表7-1问卷调查法参教材P129表7-2流程图法参教材P132图7-2对内部控制的描述7.5内部控制的测试7.5.1控制测试的含义和要求7.5.2控制测试的性质7.5.3控制测试的时间7.5.4控制测试的范围控制测试的含义是指为了评价关于控制防止或发现并纠正认定层次重大错报的有效性而实施的测试。控制测试的目的是评价控制是否有效运行。审计人员应当选择为相关认定提供证据的控制进行测试。区别于“对内部控制的了解”和实质性程序。控制测试的基本要求——两种情形情形1:只有认为控制设计合理、能够防止或发现并纠正认定层次的重大错报,审计人员才有必要对控制运行的有效性实施测试。情形2:如果认为仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受的水平,审计人员应当实施相关的控制测试,以获取控制运行有效性的证据。应就控制在相关期间或时点的运行有效性获取充分、适当的审计证据。是指控制测试所使用的审计程序的类型及其组合。控制测试采用的审计程序类型:询问观察检查穿行测试重新执行控制测试的性质是指何时实施控制测试以及测试所针对的控制适用的时点和期间。根据控制测试目的确定控制测试时间:如果只需要测试控制在特定时点的运行的有效性(如对被审计单位期末库存盘点进行控制测试),审计人员只需要获取该时点的审计证据;如果需获取控制在某一期间有效运行的审计证据,审计人员应辅以其他控制测试(包括测试被审计单位对控制的监督),其他控制测试应当能够提供相关控制在所有相关时点都运行有效的审计证据。控制测试的时间是指某项控制活动的测试次数。考虑下列因素:在整个拟信赖的期间,被审计单位执行控制的频率在所审计期间,审计人员拟信赖控制运行有效性的时间长度所需获取审计证据的相关性和可靠性通过测试与认定相关的其他控制获取的审计证据的范围在风险评估时拟信赖控制运行有效性的程度控制的预期偏差控制测试的范围7.6.1什么是内部控制评价?7.6.2内部控制评价的方法7.6.3如何评价内部控制的有效性?7.6.4内部控制审计的基本问题7.6.5内部控制缺陷7.6.6内部控制审计报告7.6内部控制评价与审计321内部控制评价评价内容:对内部控制设计有效性和运行有效性的评价。是什么?是指由企业董事会和管理层实施的,对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。按照目的分类:年度评价和专项评价。什么是内部控制评价?各种方法各有不同的适应性,综合运用,能够提高工作效率。个别访谈法标杆法重新执行法专题讨论会法穿行测试法调查问卷法比较分析法抽样法实地查验法内部控制评价的方法如何评价内部控制的有效性是否针对风险设置了合理的细化控制目标是否针对细化控制目标设置了对应的控制活动相关控制活动是如何运行的相关控制活动是否得到了持续一致的运行实施相关控制活动的人员是否具备必需的权限和能力如何评价内部控制的有效性?是指审计机构接受委托,对特定基准日内部控制设计与运行的有效性进行审计。•对特定基准日的内部控制进行审计;•对财务报告内部控制发表审计意见,对相关审计过程中注意到的非财务报告内部控制重大缺陷,应增加描述段予以说明;•对企业内部控制设计与运行的有效性进行审计,而不是对内部控制自评报告进行审计。•可单独进行内部控制审计,也可将内部控制审计与财务报表审计整合进行内部控制审计的基本问题计划审计工作实施审计工作评价控制缺陷完成审计工作出具审计报告内部控制审计程序设计缺陷设计的单一不重要缺陷。是指一个或多个一般设计缺陷的组合,其严重程度低于重大缺陷,但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大,须引起企业管理层关注。控制设计,可能严重影响内部整体控制的有效性,进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。一般缺陷重要缺陷重大缺陷(实质性漏洞)运行缺陷执行的单一不重要缺陷。是指一个或多个一般执行缺陷的组合,其严重程度低于重大缺陷,但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大,须引起企业管理层关注。控制执行,可能严重影响内部整体控制的有效性,进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。内部控制缺陷表明内部控制可能存在重大缺陷的迹象:(1)审计发现董事、监事和高级管理人员舞弊;(2)企业更正已经发布的财务报表;(3)审计发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报;(4)企业审计委员会