第五章内控制度及控制风险评价
Download
Report
Transcript 第五章内控制度及控制风险评价
第五章 内部控制制度及
控制风险评价
第一节
内部控制目标与要素
第二节 了解与记录内部控
制
第三节
第四节
第五节
内部控制测试
内部控制评价
管理建议书
第五章 第一节 内部控制目标与要素
一. 内部控制定义
组织为了保证业务活动的有效进
行,保护资产的安全和完整,防止、
发现、纠正错误与舞弊,保证会计资
料的真实、合法、完整而制定和实施
的政策与程序。
第五章 第一节 内部控制目标与要素
二. 内部控制的目标
(1)保证业务活动按照适当的授权进行;(授权)
(2)保证所有交易和事项以正确的金额,在恰当的会计期
间及时记录于适当的账户,使会计报表的编制符合会计准
则的相关要求;(会计记录的正确性)
(3)保证对资产和记录的接触、处理均经过适当的授权;
(授权)
(4)保证账面资产与实存资产定期核对相符。(资产保全)
第五章 第一节 内部控制目标与要素
三、 内部控制包括下列要素:
(一)控制环境;
(二)风险评估过程(被申单位的风险评
估过程);
(三)信息系统与沟通(被申单位的信息
系统与沟通);
(四)控制活动;
(五)对控制的监督。
第五章 第一节 内部控制目标与要素
三、 内部控制包括下列要素:
(一)控制环境;
控制环境对重大错报风险的评估具有广泛影响,注册
会计师应当考虑控制环境的总体优势是否为内部控制的其
他要素提供了适当的基础,并且未被控制环境中存在的缺
陷所削弱。
控制环境本身并不能防止或发现并纠正各类交易、账
户余额、列报认定层次的重大错报,注册会计师在评估重
大错报风险时应当将控制环境连同其他内部控制要素产生
的影响一并考虑。
第五章 第一节 内部控制目标与要素
三、 内部控制包括下列要素:
(二)风险评估过程
① 在评价被审计单位风险评估过程的设计
和执行时,注册会计师应当确定管理层如何识
别与财务报告相关的经营风险,如何估计该风
险的重要性,如何评估风险发生的可能性,以
及如何采取措施管理这些风险。
②注册会计师应当询问管理层识别出的经
营风险,并考虑这些风险是否可能导致重大错
报。
第五章 第一节 内部控制目标与要素
三、 内部控制包括下列要素:
(二)风险评估过程
③在审计过程中,如果识别出管理层未
能识别的重大错报风险,注册会计师应当考
虑被审计单位的风险评估过程为何没有识别
出这些风险,以及评估过程是否适合于具体
环境。
④在小型被审计单位,管理层可能没有
正式的风险评估过程,注册会计师应当与管
理层讨论其如何识别经营风险以及如何应对
这些风险。
第五章 第一节 内部控制目标与要素
三、 内部控制包括下列要素:
(三)信息系统与沟通;
与财务报告相关的信息系统,包括用以生
成、记录、处理和报告交易、事项和情况,
对相关资产、负债和所有者权益履行经营
管理责任的程序和记录。
第五章 第一节 内部控制目标与要素
三、 内部控制包括下列要素:
(四)控制活动;
控制活动是指有助于确保管理层的指令得
以执行的政策和程序,包括与授权、业绩评价、
信息处理、实物控制和职责分离等相关的活动。
第五章 第一节 内部控制目标与要素
三、 内部控制包括下列要素:
(五)对控制的监督
对控制的监督是指被审计单位评价内部控制
在一段时间内运行有效性的过程,该过程包
括及时评价控制的设计和运行,以及根据情
况的变化采取必要的纠正措施。
第五章 第一节 内部控制目标与要素
四、 与审计相关的控制
与审计相关的控制,包括被审计单位
为实现财务报告可靠性目标设计和实施的
控制。
注册会计师应当运用职业判断,考虑一项
控制单独或连同其他控制是否与评估重大
错报风险以及针对评估的风险设计和实施
进一步审计程序有关。
第五章 第一节 内部控制目标与要素
四、 与审计相关的控制
在运用职业判断时,注册会计师应当考虑
下列因素:
(一)注册会计师确定的重要性水平;
(二)被审计单位的性质;
(三)被审计单位的规模;
(四)被审计单位经营的多样性和复杂
性;
(五)法律法规和监管要求;
(六)作为内部控制组成部分的系统的
性质和复杂性。
第五章 第一节 内部控制目标与要素
四、 与审计相关的控制
如果在设计和实施进一步审计程序时拟利用被审计单
位内部生成的信息,注册会计师应当考虑用以保证该信息
完整性和准确性的控制可能与审计相关。
如果用以保证经营效率、效果的控制以及对法律法规
遵守的控制与实施审计程序时评价或使用的数据相关,注
册会计师应当考虑这些控制可能与审计相关。
用以保护资产的内部控制可能包括与实现财务报告可
靠性和经营效率、效果目标相关的控制。注册会计师在了
解保护资产的内部控制各项要素时,可仅考虑其中与财务
报告可靠性目标相关的控制。
第五章 第一节 内部控制目标与要素
五.有关内部控制的一般考虑
①管理当局的责任
建立、修正和维护公司的各项控制,并监督控制政
策和程序得到持续有效的执行是管理当局的责任。
②合理的保证
A 公司管理当局应在综合考虑控制的成本效益的基
础上,建立能为公司会计报表的公允表达提供合理
保证的内部控制。
B 控制程序不应对工作效率或获利能力有不利影响。
第五章 第一节 内部控制目标与要素
五.有关内部控制的一般考虑
③固有的限制
内部控制存在下列固有局限性,无论如何设计和执行,
只能对财务报告的可靠性提供合理的保证:
在决策时人为判断可能出现错误和由于人为失误而导
致内部控制失效;
可能由于两个或更多的人员进行串通或管理层凌驾于
内部控制之上而被规避。
由于②和③,会计报表审计总存在一定的控制风险,
控制风险始终应大于零。
因此不管内控如何,都要进行实质性测试
第五章 第一节 内部控制目标与要素
六.了解内部控制与审计的关系
(1)不论被审计单位规模大小,都要
充分了解相关的内控;
(2)根据了解,确定是否进行符合性
测试及符合性测试的时间、性质和范围;
(3)内控良好,绝不能完全取消实质
性测试程序。
第五章 第二节 了解与记录内部控制
一、注册会计师对于企业内部控制所作的
研究和评价可分为三个步骤:
第一,了解企业的内部控制情况,并做出
相应的记录;
第二,实施符合性测试程序,证实有关内
部控制的设计和执行的效果;
第三,评价内部控制的强弱,即评价控制
风险,确定在内部控制薄弱的领域扩展审
计程序,降低审计风险。
第五章 第二节 了解与记录内部控制
二、. 业务循环及其分类
(1)如何划分业务循环,应视企业的业务
性质和规模而定。
(2)不论如何划分业务循环,注册会计师
要将主要精力集中在那些影响会计报表反映
的内部控制程序上。
第五章 第二节 了解与记录内部控制
二、 业务循环及其分类
(3)制造业可划分为下列业务循环:
① 销售与收款循环;
② 购货与付款循环;
③ 生产循环;
④ 筹资与投资循环;
⑤ 投资与理财循环。
第五章 第二节 了解与记录内部控制
三. 了解内部控制的深度
注册会计师在了解内部控制时,应当评
价控制的设计,并确定其是否得到执行。
评价控制的设计是指考虑一项控制单独
或连同其他控制是否能够有效防止或发现并
纠正重大错报。
控制得到执行是指某项控制存在且被审
计单位正在使用。
设计不当的控制可能表明内部控制存在
重大缺陷,注册会计师在确定是否考虑控制
得到执行时,应当首先考虑控制的设计。
第五章 第二节 了解与记录内部控制
四、了解内控制度的方法(风险评估程序)
注册会计师通常实施下列风险评估程序,以获取有关
控制设计和执行的审计证据:
(一)询问被审计单位的人员;
询问本身并不足以评价控制的设计以及确定其是否得
到执行,注册会计师应当将询问与其他风险评估程序
结合使用。
(二)观察特定控制的运用;
(三)检查文件和报告;
(四)追踪交易在财务报告信息系统中的处理过
程(穿行测试)。
第五章 第二节 了解与记录内部控制
四、了解内控制度的方法(风险评估程序)
(四)追踪交易在财务报告信息系统中的处理过程
(穿行测试)。
如果穿行测试选出的交易在通过会计系统的那些交
易中具有代表性,那么该程序可作为符合性测试的
一部分。
注册会计师的穿行测试的性质和范围,决定了其并
不能为评价控制风险处于低水平提供充分、适当的
审计证据。
除非存在某些可以使控制得到一贯运行的自动化控
制,注册会计师对控制的了解并不能够代替对控制
运行有效性的测试。
第五章 第二节 了解与记录内部控制
五、内部控制的人工成分和自动化成
分(了解)
内部控制可能既包括人工成分又包括自
动化成分,在风险评估以及设计和实施
进一步审计程序时,注册会计师应当考
虑内部控制的人工和自动化特征及其影
响。
第五章 第二节 了解与记录内部控制
六、计划阶段对控制风险的初步评价
控制风险的初步评价是针对每个重要的账户
余额或交易种类,在认定层上进行的。
出现以下情况之一时,注册会计师应将重要
账户或交易类别的某些或全控制风险评估为
高水平:
①企业内部控制失效;
②难以对内部控制的有效性作出评价;
③注册会计师不拟进行符合性测试。
第五章 第二节 了解与记录内部控制
七. 记录对内部控制的了解和对控制风险的评价
(1)基本要求
①当控制风险评价为最高水平时,只需记录这一评
价结论;
②当控制风险评价低于最高水平时,还必须记录评
价的依据。
(2)对内部控制制度的记录方法
①调查表(问卷);
②文字表达;
③流程图;
④核对表。
第五章
第三节 内部控制测试
一.控制测试的概念
(1)符合性测试的条件
① 准备信赖内部控制;
② 只有当信赖内部控制而减少的实质性测试
的工作量大于符合性测试的工作量时。
(2)符合性测试的基本对象
①控制设计测试
②控制执行测试
第五章
第三节 内部控制测试
一.控制测试的概念
(3)注册会计师并不是对所有的控制都
要加以测试,只应对那些有助于防止或发
现和纠正会计报表认定产生重大错报或漏
报的控制执行测试。
(4)过程
确定种类→决定性质→确定范围→决定时
间→考虑利用内审→双重目的测试
第五章
第三节 内部控制测试
二.符合性测试的种类(了解)
(1)时间
注册会计师可在审计计划期间和期中工作
期间执行符合性测试。
(2)执行情况
①主要证实法:可能执行“同步符合性测
试”及“额外符合性测试”
②较低控制风险估计水平法:必须执行
“计划符合法性测试”
第五章
第三节 内部控制测试
二.符合性测试的种类(了解)
(3)同步符合性测试
①是在注册会计师取得对内部控制制度的了解时,也同
时提供了有关控制政策和程序是否有效的证据。这种取
得了解的程序就构成了“同步符合性测试”
②这种测试不是必需的,而是由注册会计师有选择的执
行。
③通过同步符合性测试取得的证据,只能使注册会计师
评价控制风险的估计水平处在略低于最高水平到中等水
平范围之内。因为这些证据是在审计的计划期间内取得,
其证据本身并不能证明某项控制政策或程序在整个被审
计年度均由经授权的人员适当和一贯地加以应用。
第五章
第三节 内部控制测试
二.符合性测试的种类(了解)
(4)追加符合性测试
①追加符合性测试在外勤工作中执行。
②是为了进一步降低注册会计师对控制风险估计水平而进
行的测试。
③必须考虑是否符合成本效益原则。
④还必须考虑有否可能获得额外的证据,来支持进一步降
低控制风险的初步估计水平。
(5)计划符合性测试
①在外勤工作中执行。
②在选用较低控制风险估计水平法下必须执行的测试。
③执行的目的是为了支持注册会计师计划的实质性测试水
平。
④所取得的证据应足以支持评价某些认定的控制风险为中
等或低水平。
第五章
第三节 内部控制测试
三. 符合性测试的性质
即执行测试将使用什么样的审计程序。
(1)检查交易和事项的凭证;
(2)询问并实地观察未留下审计轨迹的内
部控制的运行情况
(3)重新执行相关内部控制程序。
以上程序可单独适用,也可合并使用,没
有一项总是有用或一直有效。
第五章
第三节 内部控制测试
四.符合性测试范围
(1)理论上,范围越大,证据越充分。
(2)实务中,范围并不是越大越好,而是要
求注册会计师从最经济有效地实现审计目标的
总体需要出发,合理地确定测试范围。
(3)范围直接受注册会计师计划控制风险估
计水平的影响。计划控制风险估计水平低时比
中等时需要更多的符合性测试证据。
第五章
第三节 内部控制测试
四.符合性测试范围
(4)还应考虑所使用的以前年度审计获得的
有关控制有效性的证据的恰当性:
① 这些证据所涉及的认定的重要性;
② 以前年度审计中所评价的特定内部控制;
③ 所评价的政策和程序被适当设计和有效执行
的程度;
④ 用来作这些评价的符合性测试的结果。
(5)使用以前年度证据的考虑:
① 执行符合性测试的时间间隔的长短
② 内控设计或执行有无重大变化。
第五章
第三节 内部控制测试
四.符合性测试范围
(6)可不进行符合性测试的情况:(重点)
① 相关内部控制不存在;
② 相关内部控制虽然存在,但通过了解,发
现其并未有效运行;
③ 符合性测试的工作量可能大于进行符合性
测试所减少的实质性测试的工作量。
第五章
第三节 内部控制测试
五.符合性测试的时间(了解)
追加的或计划的符合性测试通常是在期中
工作中执行,并且很可能在审计年度结束
前的几个月里进行。
从审计有效性的角度看来,符合性测试应
尽可能安排在期中的后期执行。
第五章
第三节 内部控制测试
六.符合性测试中利用内部审计人员的工作
(了解)
评价内审人员工作的质量和有效性,注册会
计师需弄清:
(1)工作范围对实现特定目标是否适当;
(2)审计方案是否适当;
(3)工作底稿是否充分记录了所执行的工作,
包括监督和复核的证据;
(4)对有关的结论是否适当;
(5)审计报告与所执行的工作是否一致。
第五章
第三节 内部控制测试
七.双重目的测试
在绝大多数的会计报表审计中,额外的符
合性测试主要在期中工作期间执行,而实质性
测试则主要在期末工作时执行。但是,也允许
在期中工作时,执行有关交易的某些详细实质
性测试,以检查出报表中的重要错报或漏报。
这时,注册会计师可同时针对相同的交易执行
符合性测试。
第五章 第四节 内部控制评价
一.控制风险评价的概念
(1)评价基础
与某认定相关的各内部控制要素里的控制政策和
程序
(2)为认定而进行的,而不是为了个别内部控制
要素或个别政策和程序而进行的。
(3)实际上是注册会计师对每一内部控制要素里
的相关控制政策和程序的有效性,同某项认定里
存在重要错报或漏报的风险之间的相互作用情况
进行判断的过程。
第五章 第四节 内部控制评价
二.控制风险评价的过程
1、审计风险被评价为高水平的事项
如果很多认定或者所有的认定的控制风险,都被评价为
高水平,注册会计师就要研究是否应进一步对被审计单
位的会计报表进行审计。
评价为高水平的确认事项:
①控制政策和程序与认定不相关;
②控制政策和程序无效;
③取得证据来评价控制政策和程序显得不经济。
2、审计风险被评价为低水平的事项
①控制政策和程序与认定相关;
②通过符合性测试已获得证据证明控制有效。
第五章 第四节 内部控制评价
二.控制风险评价的过程
3、审计风险评价步骤:
①确定该项认定可能发生哪些潜在的错报或漏报;
②确定哪些控制可以防止或者发现和更正这些错报或
漏报;
③执行符合性测试,获取这些控制是否设计适当和有
效执行的证据;(如果控制风险为高水平,此步骤不
需要)
④评价所获得的证据;
⑤评价该项认定的控制风险。
第五章 第四节 内部控制评价
二.控制风险评价的过程
4、注册会计师评价控制风险的注意事
项:
①必须以通过了解内部控制制度和执行符合
性测试所获得的证据,作为评价的证据;
②充分运用专业判断;
③必须注意到内部控制的五个要素对某项认
定的相互影响。
5、评价控制风险的时间:
可以在取得对内控了解和符合性测试后,立
即评价控制风险。
第五章 第四节 内部控制评价
二.控制风险评价的过程
6、控制风险的评价的目的
是为了确定完成审计工作所需执行的实质性
测试的性质、时间和范围。
7、 对控制风险再评价的记录
基本要求与记录同初步评价相同。
第五章 第四节 内部控制评价
二.控制风险评价的过程
8、 评价结果对实质性测试的影响
(1)只有通过控制检查风险,才能降低审计风险至可接受水平。
(2)要控制检查风险降至可接受水平,只有增强实质性测试的有效
性。
(3)内控目标与审计目标相关联,无效的内控必然导致增加实质性
测试的工作量。
(4)不论固有风险和控制风险的评估结果,均要进行实质性测试。
(5)小规模企业的内控较薄弱,固有风险和控制风险较高,应主要
或全部依赖实质性测试程序获取审计证据。
第五章
第五节 管理建议书
一、管理建议书的含义
(1)概念
指注册会计师针对审计过程中注意到的、可能导致被
审计单位会计报表产生重大错报或漏报的内部控制
重大缺陷提出的书面建议。
(2)注册会计师对审计过程中注意到的内控重大缺陷,
应当告知被审计单位管理当局,必要时,可出具管
理建议书;一般问题,可以口头或其他适当方式向
被审计单位有关人员提出。
第五章
第五节 管理建议书
一、管理建议书的含义
(3)管理建议书提及的内部控制重大缺陷,仅为注册会计师在审计
过程中注意到的,并非内部控制可能存在的全部缺陷。
(4)管理建议书不应被视为注册会计师对被审计单位内部控制整体
发表的意见,也不能减轻或免除被审计单位管理当局建立健全
内部控制的责任,所提建议不具有强制性和公证性。
(5)注册会计师出具管理建议书,不应影响其应当发表的审计意见。
(6)除有特别规定外,注册会计师在征得被审计单位管理当局同意
之前,不得将管理建议书的内容泄露给任何第三者。
第五章
第五节 管理建议书
二、管理建议书的内容
(1)标题:管理建议书
(2)收件人:被审计单位管理当局
(3)会计报表审计目的及管理建议书的性质
管理建议书不应被视为对内部控制发表的鉴证意见,所提建议
不具有强制性和公证性。
(4)内部控制重大缺陷及其影响程度和改进建议
(5)使用范围及使用责任
(6)签章
(7)日期