内部控制系统审计.ppt

第七章 内部控制及其测试与评价,第一节 内部控制概述第二节 内部控制的了解与初步评价第三节 内部控制测试原理及其运用第四节 内部控制评价第五节 管理建议书,第一节 内部控制概述,一、内部控制的发展 二、内部控制的目标 三、内部控制的基本构成要素 四、内部控制与独立审计的关系 五、审计师对内部控制的应有考虑,一、内部控制的发展（一）内部牵制 这是内部控制的最初形式，主要是出于保护财产安全的目的而设计的。R.H.蒙哥马利在1912年出版的审计理论与实践一书中指出，所谓内部牵制是指一个人不能完全支配账户，另一个人也不能独立地加以控制的制度。也就是一名员工与另一名员工必须是相互控制、相互稽核的。,（二）内部控制 1958年，美国注册会计师协会所属的审计程序委员会将内部控制按其特点分为会计控制和管理控制两种：一是会计控制，即由组织计划和所有保护资产、保护会计记录可靠性或与此直接有关的方法和程序构成。它包括如下一些控制：授权与批准制度；记账、编制会计报表，保管资产等职务的分离；财产的实物控制以及内部审计。二是管理控制，即由组织计划和所有提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接有关的方法和程序构成。这些方法或程序通常只与财务记录发生间接的关系。管理控制包括如下一些控制：统计分析、时动研究、经营报告、雇员培训计划和质量控制等。,（三）内部控制结构 1988年，美国注册会计师协会将内部控制定义为：“为合理保证公司实现具体目标而设立的一系列政策和程序”。并认为内部控制结构由下列三个要素组成：（控制环境、会计系统、控制程序）一是控制环境，指对企业控制的建立和实施有重大影响的一组因素的统称，包括管理理念和经营方式、组织结构、董事会、授权和分配责任的方式、管理控制方法、内部审计、人事政策与实务等。,二是会计系统，指公司为汇总、分析、分类、记录、报告业务处理的各种方法和记录，包括文件预先编号，业务复核、定期调节等。三是控制程序，指为合理保证公司目标实现而建立的政策和程序，它包括适当授权、恰当的职责分离、充分的凭证和记录、实物控制、业务的独立检查等。控制程序可以应用于某一交易，也可以广泛地加以应用，还可以融合在控制环境和会计系统的特定组成部分。,（四）内部控制整体框架1992年9月，美国的COSO委员会，即美国反对虚假财务报告委员会的赞助组织委员会，发布了内部控制整体框架的研究报告，堪称迄今为止对内部控制最为全面的论述。COSO委员会提出，内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率性、财务报告的可靠性、相关法律的遵循性等目标的达成而提供合理保证的过程。,（五）风险控制整合框架风险管理阶段2004年4月，美国COSO委员会在广泛吸收各国理论界和实务界研究成果的基础上，颁布了企业风险管理框架。增加了“风险组合观”，一个目标：战略目标，两个概念：风险偏好和风险容忍度，三个要素：目标制定、事项识别、风险反应。2004年10月，新的COSO框架理论提出了内部控制的八要素，即：内部环境、目标设定、事项识别、风险评估、风险反映、控制活动、信息与沟通、监督。,二、内部控制的目标 内部控制的目标一般包括：（一）提高经营效率，取得良好的经营效果。（二）提供准确、可靠的信息。（三）保护各项资产和记录的安全。（四）保证企业计划和战略决策的有效实施。（五）规范企业的有关活动，遵守有关的法律规章制度。,三、内部控制的基本构成要素根据COSO报告，内部控制的基本构成要素包括：控制环境、监督、风险评估、信息与沟通和控制活动。（一）控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素，具体包括管理理念和经营方式、组织结构、审计委员会、权利和责任的划分、人力资源管理。控制环境决定着其他控制要素能否发挥作用，是内部控制其他要素发挥作用的基础，直接影响着内部控制的贯彻和执行以及企业内部控制目标的实现。,（二）监督监督是指评估内部控制运行质量的过程，是管理当局用来监督会计系统和相关控制程序的手段。监督主要包括两个方面：一是管理控制方法。管理当局通常运用预算和其他财务报告来监督各项工作的进行，这种管理控制方法是内部控制的一个重要因素。管理当局可以在预算、标准成本、历史情况的基础上定期将记录的交易和余额同预期的结果相比较来提高控制水平。二是内部审计。内部审计人员可以对管理当局的指令进行专门的询问或经常复核经营业务以促进效率的提高。,（三）风险评估 风险评估是企业确认和分析与其目标实现相关风险的过程，是进行风险管理的基础。风险评估要对与按照公认会计原则编制的会计报表有关的风险进行确认、分析和管理。（四）信息和沟通企业在一定的时间内要以一定的形式确定、收集和交换信息，从而使员工能够履行职责。信息与沟通系统包围着整个控制活动，这些系统使企业内部的员工能取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。,（五）控制活动 控制活动是指为了保证管理指令得到实施而制定并执行的控制政策和程序。控制活动包括授权和批准、职务分离、设计和运用恰当的凭证和记录、恰当的实物控制、独立的检查和评价等等。,1授权和批准控制是指企业为了保证经济业务的有效处理，必须明确规定处理各种经济业务的授权和批准程序。管理当局对经济业务的授权有一般授权和特别授权之分。一般授权指授权处理经常发生的一般性交易，如赊销的价格目录和信用额度；特别授权则指授权处理不经常发生的个别非常规交易事件，比如，重大资本支出和股票发行等。授权和批准控制程序通常对“存在或发生”认定的控制风险有直接的影响，有时也影响“计价与分摊”认定的控制。,2凭证与记录控制凡属企业发生的经济业务，均应填制凭证，如实记录。各种凭证都应该有连续的编号，其中重要的凭证应该预先设置连续的编号，一般的凭证也应该按照业务发生的先后顺序进行连续的编号。编号可以防止经济业务被漏记或重复记账。在预先编号的情况下，所有作废的凭证都必须妥善保管。企业的凭证控制程序应保证有关人员在处理经济业务时及时地编制凭证、合理地传递凭证、正确地使用凭证、妥善地保存凭证。凭证与记录控制程序会影响三种财务认定的控制风险，经济业务发生时编制凭证并如实记录与“存在与发生”认定有关；凭证设置连续的编号与“完整性”认定有关；凭证上面所提供的交易价格与“计价与分摊”认定有关。,3职务分离控制职务分离控制程序是指对处理某种经济业务所涉及的职责分派给不同的人员，使每个人的工作都是对其他有关人员的工作的一种自动的检查。职务分离的主要目的是预防和及时发现职工在履行职责过程中产生错误和舞弊行为。内部控制所进行的职务分离，是指对不相容职务要进行分离。所谓不相容职务是指那些如果集中于一人或一个部门，该人或该部门在正常的工作过程中出现错误和舞弊行为的可能性就要增加，并且在发生了错误或舞弊行为后内部控制又难以发现的职务。,常见的不相容职务包括：（1）某项经济业务的授权职务和执行职务。（2）某项经济业务的执行职务与记录职务。（3）财产的保管职务与记录职务。（4）记录总账职务与记录明细账职务。（5）财产的保管职务与财产的核对职务。对一项经济业务处理的全过程的各个步骤也要分派给不同的部门和人员，如销售业务，就应该将销售业务的授权、发货、开发票、记账、收款、开出贷项通知单等项工作落实给不同的部门和人员。,4接近控制是指限制非授权人随意接近资产及其记录，以保证资产及其记录的安全完整。主要是采用一些安全保护设施和措施，内容包括：（1）限制非授权人接触某项资产及其记录。如出纳员以外的人不能接触现金，保管员以外的人不能进入仓库重地等；（2）建立必要的防护措施，确保资产的安全完整。如对现金、有价证券的存放要使用安全和防火装置，对凭证和记录也要采取安全保护措施。接近控制程序与“存在与发生”、“完整性”、“计价和分摊”认定都有关。,5独立检查控制 独立检查是指由业务执行者以外的人员对已执行的业务的正确性所进行的验证，又称内部稽核。内部稽核包括凭证与凭证、凭证与账簿、账簿与账簿、账簿与报表、书面记录与实物之间的核对，也包括对一些计算表、汇总表、调节表、分析表的复核。,四、内部控制与独立审计的关系审计人员在进行会计报表审计时，不论被审计单位规模大小如何，都应当对相关的内部控制进行充分的了解。审计人员应根据对被审计单位内部控制的了解，确定将要执行的控制测试的性质、时间和范围。对被审计单位内部控制的了解和控制测试，并非审计工作的全部内容。内部控制良好的单位，审计人员可能因其控制风险较低而决定减少实质性测试程序，但决不能完全取消实质性测试程序。,五、审计师对内部控制的应有考虑（一）建立健全内部控制，并保证控制政策和程序的持续有效运用，是管理当局的责任。（二）内部控制的合理保证内部控制仅能为会计报表的公允表达提供合理保证。（三）内部控制的固有局限 内部控制通常仅针对常规业务活动而设计，设计和运行都受制于成本效益原则。内部控制可能因工作人员粗心大意、串通舞弊、管理当局有目的的强行干预而失效。内部控制也可能因为经营环境和业务性质的改变而受到削弱或失效。,第二节 内部控制的了解与初步评价,一、了解内部控制的基本程序 二、了解内部控制的基本内容 三、了解内部控制的基本方法 四、对控制风险的初步评价,一、了解内部控制的基本程序（一）询问被审计单位有关人员，查阅相关内部控制文件（二）检查内部控制生成的文件和记录（三）观察被审计单位的业务活动和内部控制的运行情况（四）选择若干具有代表性的交易和事项进行穿行测试（五）通过内部审计人员了解内部控制,二、了解内部控制的基本内容（一）了解控制环境（二）了解风险评估（三）了解控制活动（四）了解信息与沟通（五）了解监督,三、了解内部控制的基本方法（一）调查表法 调查表法就是事先将要调查的问题制成调查表，通过向有关人员询问填表的方式了解内部控制的方法。优点是：简便易行，省时省力，可操作性强；利于指导初级审计人员；能对调查对象提供一个简括的说明。缺点是：缺乏弹性；不适用于一些特殊的情况；容易把各业务的内部控制孤立看待。此外，调查人员机械地照表提问，往往会使被调查人员漫不经心，易流于形式，失去调查表的意义。（二）记述法 审计人员实施程序了解内部控制，将调查所得的内部控制记录下来并用文字加以叙述的方法，称为记述法。优点是比较灵活，能够对调查对象做出比较深入和具体的描述，不受任何限制。缺点是文字表述过显冗赘，不便于抓住重点，不便于清楚地表达复杂业务的内部控制。（三）流程图法 流程图法是利用符号和图形及简要的文字来表示被审计单位的内部控制的方法。优点是：能从整体的角度，以简明的形式描述内部控制的实际情况，便于较快地检查出内部控制逻辑上的薄弱环节，也便于评审，便于修改。缺点是：编制流程图需要具备较为娴熟的技术和较为丰富的工作经验，费时费力；而且，流程图法不能将内部控制中的控制弱点明显地标示出来，故评价时，往往需要与调查表法相结合。,四、对控制风险的初步评价了解内部控制之后，审计人员应对控制风险做初步评价。在存在下列情况之一时，审计人员应当将重要账户或交易类别的部分或全部认定的控制风险评估为高水平：1没有设置内部控制。2内控系统存在严重的缺陷。3虽有内部控制，但没有得到有效的执行。4主要子系统的控制点失控。,5多个非主要子系统的控制点同时失控,其可能带来的损失达到一定程度时,也会给整个内控系统造成高控制风险。6审计人员难以对内部控制的有效性作出评估；7审计人员不拟进行控制测试。如果同时存在下列情况，不应将控制风险评价为高水平：1相关的内部控制可能防止、发现或纠正重大错报或漏报。2审计人员拟进行控制测试。,第三节 内部控制测试原理及其运用,一、控制测试的内容与方法 二、控制测试的范围与时间三、对内部审计工作的考虑四、双重目的的测试,控制测试:一、概念：指为了确定内部控制的设计是否合理和执行是否有效而实施的程序。_二、前提：1.对准备信赖的内部控制系统才进行测试，2.同时只有当依赖内部控制而减少的实质性测试的工作量大于控制测试的工作量。同时符合这两点，控制测试才是必要的经济的，否则就没有必要做控制测试。三、控制测试对象：主要针对内部控制的三要素之一“控制程序”进行测试。四、目的：经过控制测试后，评价控制风险的高低，进一步确定实质性测试的性质、时间和范围，为实质性测试提供方向性的指导。五、注意：了解被审计单位的的内部控制是会计报表审计必须要做的，但控制测试不一定是必须做。实质性测试：一、概念：运用：1.交易和余额的详细测试，2.对信息（会计信息和非会计信息）应用的分析性复核，这两种方法而进行的审计程序（二者之间的关系，不可相互替代，分析性测试的结果往往可为交易和余额的详细测试提供有效的方向性指导）。二、应用范围：针对管理当局的五项认定进行的，在报表审计的全过程，是必须做的，而控制测试是针对管理当局的内部控制进行的，不一定做的。三、分类：1.交易的实质性测试主要针对销售、采购等损益表项目发生的动态业务进行的（发生额），2.余额的实质性测试是针对资产、负债等有余额的静态的账户进行的（余额），测试的内容和对象并不同，所以互相不能省略，在实务中二者始终是相辅相成的，如果评价的固有风险和控制风险的综合水平较低，注册会计师在执行实质性测试可以以交易实质性和分析性复核为主（但并不是全部采用交易的实质性测试，即可适当减少余额的实质性测试），实务中，如果交易实质性测试的结果比较满意，也可以减少余额实质性测试。分析性复核：一、概念：指注册会计师分析被审计单位重要的比率或趋势，包括调查这些比率或趋势和异常变动及其与预期数额和相关信息的差异。二、应用范围：一般而言，分析性复核贯穿于审计的全过程（分三个阶段：审计计划阶段，审计实施阶段、审计报告阶段）。注意：不能用于控制测试。三、目的：发现异常项目，为下一步进行的实质性测试提供有益的方向性指导，直奔可能发生重要错报或漏报的地方去查。,一、控制测试的内容与方法 控制测试，是指为了确定内部控制的设计是否合理和执行是否有效而实施的审计程序。（一）测试内容：1控制设计的测试：即测试被审计单位的控制政策和程序的设计是否适当，能否防止、发现和更正特定会计报表认定的重大错报。2控制执行的测试：即测试被审计单位的内部控制政策和程序是否实际发挥作用。测试某项控制的有效性，应着重查清以下三个问题：（1）这项控制是怎样应用的？（2）这项控制是否在年度中得到了一贯的应用？（3）这项控制是由谁来应用的？,（二）测试方法 审计人员可以在计划审计期间或期中工作期间执行控制测试。在主要证实法下可执行“同步控制测试”及“额外控制测试”。在较低的控制风险估计水平法下，必须执行“计划控制测试”。1同步符合性测试 同步控制测试是审计人员在了解内部控制的同时执行的测试，也就是说，审计人员在实施审计程序了解内部控制时，这些程序同时能够提供有关控制政策和程序是否有效的证据。同步符合性测试不是必须执行的，审计人员可以选择执行这种测试程序。这是一种比较经济的方法。,2额外控制测试在主要证实法审计策略下，如果同步符合性测试所提供的证据证明内部控制情况良好，审计人员想要放弃主要证实法审计策略，而采用较低控制风险估计水平法，就需要执行额外控制测试。只有当执行这种测试能够获得额外的证据支持审计人员进一步降低对控制风险的最初估计水平时，执行这种测试才是必要的。这种测试是在审计的现场工作阶段进行的。,3计划控制测试如果审计人员在一开始就决定选用较低的控制风险估计水平法，在此前提下拟进行的控制测试，当然就是计划的控制测试。执行这种控制测试的目的是为了证实审计人员低估（中等或低水平）控制风险是正确的，同时也支持审计人员对实质性测试所做的计划。“计划控制测试”也是在审计的实施过程中进行的。,二、控制测试的范围与时间（一）测试范围控制测试的范围直接受审计人员对控制风险的计划估计水平的影响。计划控制风险估计水平越低，控制测试中需要收集的审计证据就越多。审计人员只对准备信赖的内部控制执行控制测试。当存在下列情况之一时，审计人员可以不进行控制测试而直接进行实质性测试：（1）内部控制不存在。（2）内部控制没有有效运行。（3）控制测试的工作量可能大于实施控制测试所减少的实质性测试的工作量。,（二）测试时间额外的和计划的控制测试通常是在期中进行，很可能在会计年度结束前的几个月里执行。从审计有效性的角度看，控制测试应尽可能安排在会计年度接近结束的时候进行，以便取得被审计会计报表所覆盖的整个年度里控制有效性的证据。,三、对内部审计工作的考虑 内部审计人员的职责之一，就是对每个部门或每个分公司的内部控制进行监控，包括实施定期检查。在这种情况下，审计人员可以同内部审计人员协同工作，有选择地对某些部门或分公司执行控制测试，而不必对所有部门或分公司执行控制测试。如果审计人员打算同内部审计人员协同工作，则应注意评价内部审计工作的质量和有效性。审计人员可以要求内部审计人员在执行控制测试中提供直接的帮助。,四、双重目的的测试 实质性测试通常主要在期末工作时执行，但是，也允许在期中工作时执行有关交易的某些详细实质性测试，以查出会计报表中的重要错报或漏报，如果发生这种情况，审计人员可同时针对相同交易执行符合性测试。比如在检查销售发票是否经过被授权人员的签字的同时，列表反映这些发票上的错误金额。这种测试称为双重目的的测试。案例1：PTL俱乐部审计案例案例2：内部控制的了解与测试,第四节 内部控制的评价,一、控制风险的评价 二、控制风险评价过程及其记录 三、评价结果对实质性测试的影响,一、控制风险的评价 审计人员在完成符合性测试后，应对内部控制重新进行评价，即最终评价控制风险。只有在最终评价控制风险后，才能确定将要执行的实质性测试的性质、时间和范围。评价控制风险，是指评价内部控制防止、发现和更正会计报表里的重要错报的有效程度的过程。,二、控制风险评价过程及其记录 审计人员在对某项认定的控制风险进行评价时，必须遵循以下步骤：（1）确定该项认定可能发生哪些潜在的错报或漏报；（2）确认哪些控制可以防止、发现和更正这些错报或漏报；（3）执行控制测试，获取这些控制的设计是否适当、执行是否有效的证据；（4）评价所获得的证据；（5）评价该项认定的控制风险。,审计人员只有在确认以下事项的情况下才能将控制风险评价为高水平：（1）控制政策和程序与认定不相关；（2）控制政策和程序无效；（3）收集证据来评价控制政策和程序得不偿失。审计人员只有在确认以下事项的情况下才能将控制风险评价为低水平：（1）控制政策和程序与认定相关；（2）通过符合性测试已获得证据证明控制有效；,审计人员应将控制风险的评价过程和结果记录在工作底稿中，通常的做法是：（1）控制风险评价为高水平时，只需记录这一评价结论；（2）控制风险评价为低水平时，还必须记录评价的依据。,三、评价结果对实质性测试的影响评价控制风险，最终是为了确定完成审计工作所需执行的实质性测试的性质、时间和范围。如果审计人员认为被审计单位的内部控制值得信赖，从而将其评价为低水平，就可以执行有限的实质性测试；如果审计人员认为内部控制不可信赖，从而将控制风险评价为高水平，审计人员就必须执行更多的实质性测试，以便将审计风险控制在适当的范围内。德勤：风雨中，把握好内控的航向中国上市公司内部控制调查分析报告（2009）,第五节 管理建议书,一、管理建议书的含义 二、管理建议书的内容 三、管理建议与审计意见的区别,一、管理建议书的含义管理建议书是指审计人员针对审计过程中注意到的、可能导致被审计单位会计报表产生重大错报或漏报的内部控制重大缺陷提出的书面建议。管理建议书不应被视为审计人员对被审计单位内部控制整体发表的意见，也不能减轻或免除被审计单位管理当局建立健全内部控制的责任。审计人员出具管理建议书，不应影响其应当发表的审计意见。,二、管理建议书的内容 1标题 2收件人 3会计报表审计目的以及管理建议书的性质 4内部控制重大缺陷及其影响程度 5管理建议书的使用范围和使用责任 6签章 7日期,三、管理建议与审计意见的区别（1）对象不同。管理建议是针对与审计相关的内部控制提出的；审计意见是针对会计报表提出的。（2）责任不同。注册会计师向管理当局提供管理建议不是一种法定业务，没有法定责任；审计意见是对会计报表形成的意见，是法定的业务，具有法定的责任。（3）作用及影响的程度不同。管理建议仅提供给被审计单位管理当局，供内部参考，对外不起鉴证作用；审计意见是审计报告的主要内容，要向外报送，对外起鉴证作用，作用与影响很大。,完毕,