内部控制与审计鉴证.ppt

《内部控制与审计鉴证.ppt》由会员分享，可在线阅读，更多相关《内部控制与审计鉴证.ppt（101页珍藏版）》请在三一办公上搜索。

1、第六章 内部控制与审计鉴证,内部控制及其测试,内部控制的概念及演变内部控制的要素内部控制的了解内部控制运行有效性的测试,内部控制概述,一 内部控制的国际视野二 内部控制的国内发展三 新的企业内部控制体系,内部控制的概念与发展p178,内部控制是被审单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序（借鉴92年美国COSO报告的定义）。,三目标,财务报告的可靠性，这一目标与管理层履行财务报告编制责任密切相关；经营的效率和效果：即经济有效地使用企业资源，以最优方式实现企业的目标；在所有经营活动中遵守法律法规的要求，即在法律法规的

2、框架下从事经营活动。,五要素,(1)控制环境；(2)风险评估过程；(3)信息系统与沟通：(4)控制活动；(5)对控制的监督。,1 1992年，COSO报告的内控定义（p176）；2 2002年7月，萨班斯法案的主要内容：（1）管理层对内控负责；（2）对内控评估（3）年报中增加对内控上两条的报告；（4）外部审计师应当出具评价报告,内部控制的国内发展,内部牵制 内部控制制度 内部控制结构内部控制框架 披露控制和程序 财务报告内部控制 企业风险管理（2004年）,p178,1 商业银行内部控制是我国企业内部控制的重点；2 上市公司内部控制是我国企业内部控制的关注点,新的企业内部控制体系p179,第二

3、节 内部控制规范,一 概述二 主要内容与重大突破三 基本原则四 企业内部控制基本要素,一 概述,内容适用范围大中型企业基本目标五要素目标论效率性可靠性合法性资产保全性战略性,主要内容与重大突破p181,1 科学界定内控的内涵（全面、全员、全过程控制）2 准确定位内控的目标（五要素目标论）3 合理确定内控的原则（五原则）4 统筹构建内控的要素（五要素内控框架）5 内控实施机制 企业 主体 政府监管 促进 中介机构审计重要组成部分,基本原则(五原则)p182,1 全面性原则；2 重要性原则；3 制衡性原则；4 适应性原则；5 成本效益原则,企业内部控制基本要素（五要素）,内控基本规范 审计准则内部

4、环境 控制环境风险评估 风险评估过程控制活动 控制活动信息与沟通 信息系统与沟通内部监督 对控制的监督,内部环境基础p183,包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。奠定一个公司的控制文化，影响着人们的控制意识，能增强或弱化公司各种控制政策、程序和措施的作用。,内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置与权责分配、内部审计、人力资源政策、企业文化等。,内部控制的要素：内部环境,在评价控制环境的设计和实施情况时，注册会计师应了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化，以及是否建立了防止或发现并纠正舞弊和错误的恰

5、当控制。州官放火与百姓点灯,控制环境的因素：对诚信和道德价值观念的沟通与落实 对胜任能力的重视 治理层的参与程度：董事会及所属委员会 管理层的理念和经营风格 组织结构 职权与责任的分配 人力资源政策与实务 核心是：管理思想与经营方式（控制态度）、企业组织架钩（控制途径）和人力资源管理（控制执行）,注册会计师应当对控制环境的构成要素获取足够的了解，并考虑内部控制的实质及其综合效果，以了解管理层和治理层对内部控制及其重要性的态度、认识以及所采取的措施。控制环境对重大错报风险的评估具有广泛影响，注册会计师应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的基础，并且未被控制环境中存在的缺陷

6、所削弱。,注册会计师在评估重大错报风险时，存在令人满意的控制环境是一个积极的因素。虽然令人满意的控制环境并不能绝对防止舞弊，但却有助于降低发生舞弊的风险。有效的控制环境还为注册会计师相信在以前年度和期中所测试的控制将继续有效运行提供一定基础。相反，控制环境中存在的弱点可能削弱控制的有效性。,（局限性）控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报，注册会计师在评估重大错报风险时，应当将控制环境连同其他内部控制要素产生的影响一并考虑。例如，将控制环境与对控制的监督和具体控制活动一并考虑。,风险评估环节、依据,风险评估是指企业及时识别、系统分析经营活动中与实现内部控制

7、目标相关的风险，合理确定风险应对策略。,注册会计师应了解被审单位的风险评估过程和结果。风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。在评价被审单位风险评估过程的设计和执行时，注册会计师应确定管理层如何识别与财务报告相关的经营风险，如何估计该风险的重要性，如何评估风险发生的可能性，以及如何采取措施管理这些风险。注册会计师应询问管理层识别出的经营风险，并考虑这些风险是否可能导致财务报表重大错报。,控制活动手段,控制活动是企业根据风险评估程序结果，采用相应的控制措施，将风险控制在可承受度之内。,注册会计师应了解控制活动，以足够评估认定层次的重大错报风险和针对评估的风险设

8、计进一步审计程序。控制活动是指有助于确保管理层的指令得以执行的政策和程序。,控制活动的内容：,1 不相容职务分离 2 授权：常规授权（普遍适用于某类交易的或活动的政策）和特别授权（针对特定交易或活动特定设置的授权）,3 会计系统控制4 财产保护控制（日常管理和定期清查）5 预算控制全面预算管理6 运营分析控制7 绩效考评控制,信息与沟通条件、载体,信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。,内部监督保证,内部监督是指企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。,基本要素之间

9、的关系p185,内部环境重要基础 风险评估重要环节、重要依据 控制活动重要手段 信息与沟通重要条件、重要载体 内部监督重要保证,内部控制应用p186内控实施、应用,重点：1 控制资金；2 控制损益；3 控制信息；4 控制权力,企业内控应用指引结构框架,1 总则2 职责分工与授权批准；3 具体控制内容4 特殊控制对象,内部控制评价,一 企业内部控制评价指引概述；二 内部控制评价范围与对象；三 内部控制评价的原则和内容四 企业内部控制评价的程序和方法五 企业内部控制缺陷及其认定六 企业内部控制评价报告,p188,内部控制评价是指由企业董事会和管理层实施的，对企业内部控制有效性进行评价，形成评价结论

10、，出具评价报告的过程。,一 企业内部控制评价指引概述,内部控制自我评估西方国家内部控制制度评审的一种方法企业监督和评估内部控制的主要工具内审部门评估控制的适当性和有效性发展到企业整体对管理控制和治理负责管理部门的自我评估,事后发现 事前防范强调内控 改善经营业绩,二 内部控制评价范围与对象,内容：总则 评价的原则和内容 评价的程序和方法 内部控制评价报告企业内部控制评价，一般包括 年度评价 专项评价,内控评价的范围和对象内控的五目标+五要素,三 内部控制评价的原则和内容,评价原则：全面性（设计、运行）重要性（高风险）独立性（设计、运行）评价依据、标准企业内部控制基本规范及其应用指引评价内容内控

11、有效性（设计、运行）,评价时充分关注以下方面：1 内控评价以内部环境为基础；2 内控评价以生产经营活动为重点3 内控评价兼顾控制手段,四 企业内部控制评价的程序和方法,内审机构或其他机构组织实施内审评价工作；企业可以借助中介机构或外部专家实施内控评价工作,评价方法：个别访谈、调查问卷、专题讨论、穿行测试、统计抽样、比较分析等。,五 企业内部控制缺陷及其认定,内控缺陷：设计缺陷（没有内控）运行缺陷（内控没有运行）内控缺陷程度：重大缺陷（严重偏离控制目标）重要缺陷 一般缺陷,六 企业内部控制评价报告,内控评价一般包括：年度评价和专项评价年度评价：根据内控目标，对某一年度建立与实施内控的有效性进行的

12、评价。专项评价：企业在特定时点对特定范围的内控有效性进行的评价,内控评价报告的内容p192,内控有效性,风险 控制目标 控制活动 运行 一贯运行 实施控制活动的人员具备权限和能力,内控评价报告的基准日：12月31日，6月30日,内部控制鉴证,一 企业内部控制鉴证指引概述二鉴证程序三 鉴证报告,一 企业内部控制鉴证指引概述,定义：企业内部控制鉴证是指会计师事务所接受委托，对企业内部控制的有效性进行鉴证，并发表鉴证意见。,企业内部控制鉴证指引内容,总则制定鉴证计划实施鉴证工作评价控制缺陷完成鉴证工作鉴证报告工作底稿附则,内部控制的相关责任,企业管理层的责任：设计、实施和维护有效的内部控制，并评估其

13、有效性。注册会计师的责任：在实施鉴证工作的基础上对内部控制有效性发表鉴证意见,二 鉴证程序,（一）制定鉴证计划（二）进行鉴证风险评估(三)实施鉴证工作（四）评价控制缺陷（五）完成鉴证工作,（一）制定鉴证计划前提和保证,在制定鉴证计划时，注册会计师应当评价下列事项对企业财务报表和内部控制是否具有重要影响，以及对审计程序的影响程度p194,（二）进行鉴证风险评估,1 风险评估的结果 重要的认定 控制测试；2 高度关注与舞弊风险相关的领域；3 组织结构、流程的复杂程度；4 企业规模和复杂程度；,（二）进行鉴证风险评估,5 选择经营场所测试；6 控制能否应对舞弊导致的重大错报风险，以及管理层凌驾于其他

14、控制之上；7 考虑利用内审等人员的工作；8利用其他人员的工作受到控制风险的影响。,(三)实施鉴证工作,1 企业层面控制的测试。（1）企业层面的控制包括：p196（2）企业层面的控制在性质和精确度方面的差异对控制及其测试有下列影响：防止、发现错报的可能性；监督其他控制的有效性；防止或发现一个或多个认定层次的错报,2 流程层面控制的测试,识别重大的认定评价性质、数量方面的风险因素,（四）评价控制缺陷,内控存在的不足，按其严重程度可以分为：缺陷、应关注缺陷和重大缺陷。控制存在的缺陷包括：设计缺陷和运行缺陷,（五）完成鉴证工作,1 完成工作底稿；2 形成鉴证意见；3 获取管理层声明；4 沟通相关事项。

15、,1 完成工作底稿,工作底稿记录的内容 p197,三 鉴证报告,标准鉴证报告_无保留非标准鉴证报告 1 否定意见;_一个或多个重大缺陷 2 增加说明段;3 无法表示意见_范围受限,内部控制测试p206,了解内控 控制测试 实质性程序,控制测试的前提p207,了解内控的目的；了解内控的程序（穿行测试）,控制测试的实质,控制测试的种类 同步符合性测试 追加符合性测试 计划符合性测试控制测试的程序,控制测试的范围；控制测试的时间_期中控制测试中的审计抽样评价控制测试的结果,对内部控制了解的定位,只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制。,对内部控制了解的深度,（1）指在了解被审

16、计单位及其环境时对内部控制了解的程度（2）了解内部控制包括评价控制的设计，并确定其是否得到执行。（3）评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报（4）确定其是否得到执行是指某项控制存在且被审计单位正在使用。,了解内控的方法,询问被审单位的人员 观察特定控制的运用 检查生成的文件和报告 追踪交易在财务报告信息系统中的处理过程（穿行测试）,了解内部控制不同于控制测试,例外情况：除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解并不能够代替多控制运行有效性的测试。,了解人工或自动化内部控制,内部控制采用人工系统还是自动化系统，将影响交易生

17、成、记录、处理和报告的方式。,了解内部控制存在固有局限性,无论如何设计和执行，内部控制只能对财务报告的可靠性提供合理的保证，其固有局限性包括：（1）在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效；（2）可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避错误。,描述方式,文字说明法问卷调查法流程图法,了解控制环境,在评价控制环境的设计和实施情况时，注册会计师应当了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化，以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。,注册会计师在了解控制活动时，应当重点考虑一项控制活动单独或连同其他控制活动，是否能够

18、以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。,内部控制的评价,在调查了解内部控制时，应评价控制的设计，并确定其是否得到执行。评价控制的设计指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。控制得到执行指某项控制存在且被审单位正在使用。设计不当的控制可能表明内部控制存在重大缺陷（而非报表的错报，只是增大风险），注册会计师在确定是否考虑控制得到执行时，应首先考虑控制的设计。,控制测试含义,控制测试指的是测试控制运行的有效性,内部控制的测试,实施控制测试的两种情形：在评估认定层次重大错报风险时，预期控制的运行是有效的，应就控制在相关期间或时点的运行有效性获取充

19、分、适当的审计证据。即只有认为控制设计合理、能够防止或发现并纠正认定层次的重大错报，注册会计师才有必要对控制运行的有效性实施测试 仅实施实质性程序获取的审计证据不足以将认定层次重大错报风险降低到可接受的低水平,控制测试的目的与属性：,目的是评价控制运行的有效性，属于进一步审计程序。测试控制运行的有效性与确定控制是否得到执行所需获取的审计证据不同。在实施风险评估程序以获取控制是否得到执行的审计证据时，注册会计师应确定某项控制是否存在，被审单位是否正在使用。,控制测试的目的与属性：,在测试控制运行的有效性时，注册会计师应从下列方面获取控制是否有效运行的审计证据：控制在所审计期间的不同时点是如何运行

20、的 控制是否得到一贯执行 控制由谁执行 控制以何种方式运行如果某些控制是由被授权的人员在被审年度适当且一贯地应用，说明控制政策和程序得到了有效执行。相反，则说明控制执行失效。,在测试控制运行的有效性时，注册会计师应当从下列方面获取关于控制是否有效运行的审计证据（）。A控制在所审计期间的不同时点是如何运行的B控制是否得到一贯执行C控制由谁执行D控制以何种方式运行(如人工控制或自动化控制)【答案】ABCD【解析】注册会计师应当从四个方面获取控制运行是否有效的审计证据。,下列关于审计程序的说法中，不正确的是（）。A在评估认定层次重大错报风险时，预期控制的运行是有效的，注册会计师应当实施控制测试以支持

21、评估结果B仅实施实质性程序不足以提供认定层次充分、适当的审计证据，注册会计师应当实施控制测试，以获取内部控制运行有效性的审计证据C注册会计师可以通过实施风险评估程序获取充分、适当的审计证据，作为发表审计意见的基础D无论评估的重大错报风险结果如何，注册会计师均应当针对所有重大的各类交易、账户余额、列报实施实质性程序，以获取充分、适当的审计证据【答案】C【解析】注册会计师实施风险评估程序主要是为了识别重大错报风险，不是为了收集证据直接用来发表审计意见。,控制测试的性质的含义控制测试的性质是指控制测试所使用的审计程序的类型及其组合。,控制测试的性质的类型询问；观察；检查；重新执行；穿行测试。,控制测

22、试的方法：,为评价控制设计和确定控制是否得到执行而实施的某些风险评估程序并非专为控制测试而设计，但可能提供有关控制运行有效性的审计证据，注册会计师应考虑这些审计证据是否足以实现控制测试的目的。注册会计师可考虑在评价控制设计和获取其得到执行的审计证据的同时测试控制运行有效性，以提高审计效率同步测试。控制测试采用的审计程序通常包括询问、观察、检查、穿行测试和重新执行。,控制测试的时间,（1）控制测试的时间包含两层含义：一是何时实施控制测试；二是测试所针对的控制适用的时点或期间。,剩余期间补充审计应当考虑的因素评估的认定层次重大错报风险的重大程度评估的重大错报风险对财务报表的影响越大，注册会计师需要

23、获取的剩余期间的补充证据越多。在期中测试的特定控制对自动化运行的控制，注册会计师更可能测试信息系统一般控制的运行有效性一以获取控制在剩余期间运行有效性的审计证据。,在期中对有关控制运行有效性获取的审计证据的程度如果注册会计师在期中对有关控制运行有效性获取的审计证据比较充分，可以考虑适当减少需要获取的剩余期间的补充证据。剩余期间的长度剩余期间越长，注册会计师需要获取的剩余期间的补充证据越多。,注册会计师对相关控制的信赖程度越高，通常在信赖控制的基础上拟减少进一步实质性程序的范围就越大。在这种情况下，注册会计师需要获取的剩余期间的补充证据越多；控制环境在注册会计师总体上拟信赖控制的前提下，控制环境

24、越薄弱(或把握程度越低)，注册会计师需要获取的剩余期间的补充证据越多。,假设F 注册会计师对207年1-10月已公司某项控制的运行有效性进行了测试。为了得出该项控制在207年度是否均运行有效的结论，F 注册会计师可以实施的审计程序有（）。A.对该项控制在207年11-12月的运行有效性进行补充测试 B.获取该项控制在207年11-12月变化情况的审计证据 C.测试已公司对控制的监督 D.向已公司管理层询问207年11-12月该项控制的运行情况,【答案】ABC【解析】选项A和B是注册会计师将期中控制测试的结论延伸至期末必须执行的典型审计程序，选项C也可作为一种有益的程序；但选项D中，注册会计师应

25、当将询问与其他审计程序结合使用，仅通过实施询问程序不能收集到控制运行有效的审计证据。,控制测试的范围,（1）控制测试范围的含义：指某项控制活动的测试次数。注册会计师应当设计控制测试，以获取控制在整个拟信赖的期间有效运行的充分、适当的审计证据。,（2）确定控制测试范围的考虑因素,在整个拟信赖的期间，被审计单位执行控制的频率。控制执行的频率越高，控制测试的范围越大。在所审计期间，注册会计师拟信赖控制运行有效性的时间长度；为证实控制能够防止或发现并纠正认定层次重大错报，所需获取审计证据的相关性和可靠性；,在风险评估时拟信赖控制运行有效性的程度。控制的预期偏差。通过测试与认定相关的其他控制获取的审计证

26、据的范围；,在确定审计程序的范围时，注册会计师考虑的下列因素中不恰当的是（）。A计划获取的保证程度越高，注册会计师实施的进一步审计程序的范围越广B评估的重大错报风险越高，注册会计师实施的进一步审计程序的范围也越广C确定的重要性水平越低，注册会计师实施进一步审计程序的范围越广D确定的重要性水平越高，注册会计师实施进一步审计程序的范围越广【答案】D【解析】注册会计师确定的重要性水平越高，实施的进一步审计程序的范围越小，因为重要性水平与审计风险成反向关系，重要性水平越高，说前审计风险越小，审计程序越少。,下列与控制测试有关的表述中，正确的有（）。A.如果控制设计不合理，则不必实施控制测试 B.如果在

27、评估认定层次重大错报风险时预期控制的运行是有效的，则应当实施控制测试 C.如果认为仅实施实质性程序不足以提供认定层次充分、适当的证据，则应当实施控制测试 D.对特别风险，即使拟信赖的相关控制没有发生变化，也应当在本次审计中实施控制测试,【答案】ABCD【解析】在选项A中，注册会计师发现被审计单位内部控制设计不合理，则预期控制运行无效，从成本效益原则出发，不必进行控制测试；在选项D中，针对特别风险的控制，注册会计师为获取该控制运行有效的审计证据必须来自当年的控制测试，选项D也正确；选项B和C是注册会计师进行控制测试的两种典型的情形。,在确定控制测试的范围时，F注册会计师通常考虑的因素有（）。A.总体变异性 B.在风险评估时拟信赖控制运行有效性的程度 C.控制的预期偏差 D.控制的执行频率【答案】BCD【解析】在控制测试中，注册会计师在确定样本规模时一般不会考虑总体变异性，注册会计师需要考虑选项B、C、D中所述的因素。,