第七章内部控制

xuguili@163.com山东英才学院会计系第七章内部控制2019/9/25xuguili@163.com7.1概述7.2内部控制的内容与形式7.3内部控制的重要性与局限性7.4内部控制的了解7.5内部控制的测试7.6内部控制的评价7.7内部控制的审计7.8内部控制的鉴证2019/9/25xuguili@163.com7.1概述7.1.1内部控制的历史演进7.1.2内部控制的整体框架7.1.3内部控制的概念2019/9/25xuguili@163.com内部控制的历史演进萌芽期发展期成熟期2019/9/25xuguili@163.com企业内部管理的压力；外部审计开展的推动。促进内部控制发展的动因2019/9/25xuguili@163.com1978年科恩委员会设立了“POB”1985年崔德威委员会设立了“COSO”COSO于1992年9月公布了《内部控制整体框架》COSO于2004年4月公布了《企业风险管理框架》内部控制的整体框架2019/9/25xuguili@163.com1970日本1976加拿大1981国际会计师联合会1984最高审计机关国际组织1995国际内部审计师协会内部控制的概念2019/9/25xuguili@163.com内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。内部控制的概念2019/9/25xuguili@163.com按照审计准则的定义，内部控制是指被审计单位为了合理保证（），由治理层、管理层和其他人员设计和执行的政策和程序。A.财务报告的可靠性B.资产的安全与完整C.经营的效率和效果D.对法律法规的遵循多选2019/9/25xuguili@163.com组织架构岗位责任业务流程处理手续业务记录检查标准人员素质社会责任企业文化内部审计内部控制的主要内容2019/9/25xuguili@163.com内部控制的基本形式按照控制内容不同：环境控制和业务控制按照控制目的不同：会计控制和管理控制按照控制目标不同：财产物资控制、会计资料控制、财务收支控制、经营决策控制、经营效应控制和经营目标控制按照控制方式不同：预防式控制和察觉式控制按照控制地位不同：主导性控制和补偿性控制2019/9/25xuguili@163.com审计人员应当重点关注并考虑被审计单位为实现财务报告可靠性目标设计和实施的内部控制（即与审计相关的内部控制）与审计相关的内部控制2019/9/25xuguili@163.com对被审计单位及其管理层的重要性对审计机构及其审计人员的重要性内部控制的重要性2019/9/25xuguili@163.com保证国家的方针、政策和财经法规在企业内部的贯彻执行。保证企业内部经营决策和规章制度的正确落实。保证会计资料的真实性和正确性。保证财务活动的合法性和有效性。维护财产物资的安全性和完整性。保证各项经营活动的正常、有效进行。对被审计单位及其管理层的重要性2019/9/25xuguili@163.com有利于审计机构及其审计人员设计恰当的审计程序，编制合理的审计计划，利用合适的内部审计，以提高审计工作效率。有利于审计机构及其审计人员确定对审计计划和审计程序的执行与实施程度，以保证审计测试质量。有利于审计机构及其审计人员均衡审计工作，保持应有的职业谨慎，合理运用专业判断，以降低审计风险至可接受的水平。对审计机构及其审计人员的重要性2019/9/25xuguili@163.com内控的局限性1、实施内控的成本效益原则2、内控主要是针对经常而重复发生的业务而设置的，对不经常发生的或为预计到的业务，可能失效3、在决策时人为判断可能出现错误和由于人为失误而导致内控失效4、可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避5、行使控制职能的人员素质不适应岗位要求6、可能因经营环境、业务性质的改变而消弱或失效2019/9/25xuguili@163.com下面表述中，不正确的是（）A.内部控制无论如何设计和执行，只能对财务报表的可靠性提供合理的保证，而非绝对的保证B.在了解被审计单位的内部控制时，只需关注控制的设计C.特别风险通常与重大的非常规交易和判断事项有关D.在某些情况下，仅通过实施实质性程序不能获取充分、适当的审计证据单选2019/9/25xuguili@163.com下列描述中，正确的有（）。A.即使注册会计师不拟依赖被审计单位的内部控制，注册会计师也必须执行对内部控制的了解程序B.检查性控制通常用于正常业务流程的所有交易，以及时发现并纠正错报C.无论内部控制设计多么合理、运行多么有效，注册会计师都应对会计报表的重要账户余额和交易类别实施实质性测试程序D.注册会计师如拟信赖内部控制，应当实施控制测试,以将重大错报风险降低至可接受水平多选2019/9/25xuguili@163.com（二）对内控了解的深度:程度（1）评价控制的设计（2）确定其是否得到执行但不包括对控制是否得到一贯执行的测试1、评价内控的设计☆注册会计师在了解内部控制时，应当评价控制的设计，并确定其是否得到执行。☆评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。2019/9/25xuguili@163.com2、获取控制设计和执行的审计证据：四种方法1）询问2）观察3）检查4）穿行测试3、了解内部控制与测试控制运行有效性的关系1）先了解内控，即了解是否设计，是否得到执行2）测试控制运行有效性：控制测试2019/9/25xuguili@163.com内控要素：5个1）控制环境：治理职能和管理职能，以及态度、认识和措施2）风险评估过程：识别与财务报告相关的经营风险，以及针对这些风险所采取的措施3）信息系统与沟通：程序和记录4）控制活动：授权、业绩评价、信息处理、实物控制、职责分离5）对控制的监督：及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。2019/9/25xuguili@163.com内控5要素及相互关系：内控的重要基础——控制环境内控的重要环节——被审单位的风险评估过程内控的重要条件——信息系统与沟通内控的重要手段——控制活动内控的重要保证——对控制的监督2019/9/25xuguili@163.com内控5要素及相互关系2019/9/25xuguili@163.com（一）【内控的重要基础——控制环境】1、概念：包括治理职能和管理职能，以及治理层和管理层对内控及其重要性的态度、认识和措施。2、作用：设定了被审单位的内控基调，影响员工对内控的认识和态度。良好的控制环境是实施有效内控的基础，CPA应了解控制环境。2019/9/25xuguili@163.com3、对审计的影响：防止或发现并纠正舞弊和错误是被审单位治理层和管理层的责任。在评价控制环境的设计和实施情况时，CPA应了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化，以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。实际上，在审计业务承接阶段，CPA就需要对控制环境作出初步了解和评价。2019/9/25xuguili@163.com4、构成要素：（1）对诚信和道德价值观念的沟通与落实（2）对胜任能力的重视（3）治理层的参与程度（4）管理层的理念和经营风格（5）组织结构（6）职权与责任的分配（7）人力资源政策与实务2019/9/25xuguili@163.com（二）【内控的重要环节——被审单位的风险评估过程】可能产生风险的事项和情形包括：1.监管及经营环境的变化2.新员工的加入3.新信息系统的使用或对原系统进行升级4.业务快速发展5.新技术6.新生产型号、产品和业务活动7.企业重组8.发展海外经营9.新的会计准则2019/9/25xuguili@163.com1、风险评估过程针对财务报告目标的风险评估过程则包括：（1）识别与财务报告相关的经营风险（2）评估风险的重大性和发生的可能性（3）以及采取措施管理这些风险被审单位的风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。CPA应了解被审单位的风险评估过程和结果。2019/9/25xuguili@163.com（三）【内控的重要条件——信息系统与沟通】1、含义与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。交易可能通过人工或自动化程序生成。记录包括识别和收集与交易、事项有关的信息。处理包括编辑、核对、计量、估价、汇总和调节活动，可能由人工或自动化程序来执行。报告是指用电子或书面形式编制财务报告和其他信息，供被审单位用于衡量和考核财务及其他方面的业绩。2019/9/25xuguili@163.com与财务报告相关的信息系统通常包括下列职能：（1）识别与记录所有的有效交易（完整性认定）；（2）及时、详细地描述交易，以便在财务报告中对交易进行恰当分类（分类认定）；（3）恰当计量交易，以便在财务报告中对交易的金额作出准确记录（准确性认定）；（4）恰当确定交易生成的会计期间（截止认定）；（5）在财务报表中恰当列报交易（列报认定）。2019/9/25xuguili@163.com（四）【内控的重要手段——控制活动】1、含义控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。2019/9/25xuguili@163.com（1）控制活动内容（2）不相容职责分离内控的核心是不相容职责分离，其体现在钱、账、物三分管、一项业务从开始到结束，不能由一个人和一个部门包办。2019/9/25xuguili@163.com1、含义监督是由适当的人员，在适当、及时的基础上，评估控制的设计和运行情况的过程。（五）【内控的重要保证——对控制的监督】2019/9/25xuguili@163.com（一）【与审计相关的控制】CPA需要了解和评价的内控只是与财务报表审计相关的内控，并非被审单位所有的内控。必须指出，被审单位通常有一些与审计无关的控制，CPA无需对其加以考虑。二、【了解整体层面的内部控制】2019/9/25xuguili@163.com对内控了解的深度，是指在了解被审单位及其环境时对内控了解的程度。包括评价控制的设计，并确定其是否得到执行，但不包括对控制是否得到一贯执行的测试。（二）【对内控了解的深度】2019/9/25xuguili@163.com（三）【内控的人工和自动化成分】人工：内控一般包括批准和复核业务活动，编制调节表并对调节项目进行跟踪；自动化特征：信息技术系统中的控制可能既有自动控制（如嵌入计算机程序的控制）又有人工控制。2019/9/25xuguili@163.com（四）【内控的局限性】内控存在固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证。2019/9/25xuguili@163.com7.4.4多层面了解内部控制1、在整体层面了解内部控制在整体层面对内部控制进行了解和评估，通常由谁来负责？如何来做？报表层次的重大错别风险很可能来源于？2019/9/25xuguili@163.com2、在业务流程层面了解内部控制步骤？确定被审计单位的重要业务流程和重要交易类别了解重要交易流程，并记录获得的了解确定可能发生错报的环节识别和了解相关的控制执行穿行测试进行初步评价和风险评估2019/9/25xuguili@163.com审计业务循环的划分货币资金筹资与投资循环销售与收款循环采购与付款循环生产与存货循环人力资源与工薪循环2019/9/25xuguili@163.com结论：1、所涉及的内控能防止或发现重大错别，并得到执行2、控制本身设计是合理的，但没有得到执行3、控制本身的审计就是无效的或缺乏必要控制2019/9/25xuguili@163.com内部控制的要