风险评估与内部控制评审

第九章第九章 风险评估与内部控制评审风险评估与内部控制评审2022-7-131 第一节 风险评估的含义 第二节 了解被审计单位及其环境 第三节 内部控制评审 第四节 识别评估重大错报风险 第五节 与管理层和治理层沟通主要内容主要内容2022-7-132要点要点u 中国注册会计师审计准则中国注册会计师审计准则1211号号了解被审计了解被审计单位的环境并评估重大错报风险单位的环境并评估重大错报风险u 注册会计师应当了解被审计单位及其环境，以注册会计师应当了解被审计单位及其环境，以充分识别和评估财务报表的重大错报风险，设充分识别和评估财务报表的重大错报风险，设计和实施进一步的审计程序计和实施进一步的审计程序审计准则对风险审计准则对风险评估的总体要求评估的总体要求2022-7-133要点要点u 了解被审计单位及其环境是一个了解被审计单位及其环境是一个连续连续和和动态动态地地收收集集、更新更新和和分析分析信息的过程，贯穿于整个审计过信息的过程，贯穿于整个审计过程的始终程的始终u 注册会计师应当运用注册会计师应当运用职业判断职业判断确定需要了解被审确定需要了解被审计单位及其环境的程度计单位及其环境的程度CPACPA是否需要达到管理层对于被是否需要达到管理层对于被审计单位一样的了解程度审计单位一样的了解程度?审计准则对风险审计准则对风险评估的总体要求评估的总体要求2022-7-134第一节第一节 风险评估的含义风险评估的含义一、风险评估的含义和意义一、风险评估的含义和意义风险评估程序是注册会计师了解被审计单位及其风险评估程序是注册会计师了解被审计单位及其环境的环境的手段手段，其，其内容内容是几种单项审计程序的有效是几种单项审计程序的有效组合，其组合，其目的目的在于获取财务信息和非财务信息来在于获取财务信息和非财务信息来识别和评估财务报表层次和认定层次重大错报风识别和评估财务报表层次和认定层次重大错报风险，风险评估程序是注册会计师审计中必须实施险，风险评估程序是注册会计师审计中必须实施的审计程序。的审计程序。2022-7-1351 1、询问被审计单位的管理层和内部其他相关人员、询问被审计单位的管理层和内部其他相关人员2 2、分析程序、分析程序3 3、观察和检查、观察和检查4.4.其他审计程序和信息来源其他审计程序和信息来源二、风险评估程序的内容二、风险评估程序的内容第一节第一节 风险评估的含义风险评估的含义2022-7-1361 1、询问、询问u注册会计师除了询问管理层和对财务报告负有责注册会计师除了询问管理层和对财务报告负有责任的人员外任的人员外,还应考虑询问内部审计人员、采购人还应考虑询问内部审计人员、采购人员、生产人员、销售人员等其他人员，并考虑询员、生产人员、销售人员等其他人员，并考虑询问不同级别的员工，问不同级别的员工，以获取对识别重大错报风险以获取对识别重大错报风险有用的信息有用的信息第一节第一节 风险评估的含义风险评估的含义2022-7-1372、分析程序、分析程序u注册会计师实施分析程序有助于识别注册会计师实施分析程序有助于识别异常异常的交易或事的交易或事项，以及对财务报表和审计产生影响的项，以及对财务报表和审计产生影响的金额金额、比率比率和和趋势趋势u如果使用了如果使用了高度汇总高度汇总的数据，实施分析程序的结果仅的数据，实施分析程序的结果仅可能可能初步初步显示财务报表存在重大错报风险，注册会计显示财务报表存在重大错报风险，注册会计师应当将分析结果连同识别重大错报风险时获取的其师应当将分析结果连同识别重大错报风险时获取的其他信息一并考虑他信息一并考虑第一节第一节 风险评估的含义风险评估的含义2022-7-1383 3、观察与检查、观察与检查u 观察观察被审计单位的生产经营活动被审计单位的生产经营活动u 检查检查文件、记录和内部控制手册文件、记录和内部控制手册u 阅读由管理层和治理层编制的报告阅读由管理层和治理层编制的报告u 实地察看被审计单位的生产经营场所和设备实地察看被审计单位的生产经营场所和设备u 追踪交易在财务报告信息系统中的处理过程（追踪交易在财务报告信息系统中的处理过程（穿穿行测试行测试）第一节第一节 风险评估的含义风险评估的含义2022-7-139【例题例题多选题多选题】A注册会计师负责审计甲公司注册会计师负责审计甲公司2012年度财年度财务报表。在了解内部控制时，务报表。在了解内部控制时，A注册会计师遇到下列事项，注册会计师遇到下列事项，请代为做出正确的专业判断。请代为做出正确的专业判断。A注册会计师执行穿行测试可以实现的目的有（注册会计师执行穿行测试可以实现的目的有（）。）。A.确认对业务流程的了解确认对业务流程的了解B.识别可能发生错报的环节识别可能发生错报的环节C.评价控制设计的有效性评价控制设计的有效性D.确定控制是否得到执行确定控制是否得到执行【答案答案】ABCD2022-7-13104、其他审计程序和信息来源、其他审计程序和信息来源其他审计程序其他审计程序（1）询问被审计单位聘请的外部法律顾问、专业评）询问被审计单位聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等。估师、投资顾问和财务顾问等。（2）阅读外部信息也可能有助于注册会计师了解被）阅读外部信息也可能有助于注册会计师了解被审计单位及其环境。外部信息包括证券分析师、银审计单位及其环境。外部信息包括证券分析师、银行、评级机构出具的有关被审计单位及其所处行业行、评级机构出具的有关被审计单位及其所处行业的经济或市场环境等状况的报告，贸易与经济方面的经济或市场环境等状况的报告，贸易与经济方面的报纸期刊，法规或金融出版物，以及政府部门或的报纸期刊，法规或金融出版物，以及政府部门或民间组织发布的行业报告和统计数据等。民间组织发布的行业报告和统计数据等。第一节第一节 风险评估的含义风险评估的含义2022-7-1311其他信息来源其他信息来源（1）对新的审计业务，注册会计师应在业务承接阶段对被审计单）对新的审计业务，注册会计师应在业务承接阶段对被审计单位及其环境有一个初步的了解，以确定是否承接该业务。而对连位及其环境有一个初步的了解，以确定是否承接该业务。而对连续审计业务，也应在每年的续约过程中对上年审计做总体评价，续审计业务，也应在每年的续约过程中对上年审计做总体评价，并更新对被审计单位的了解和风险评估结果，以确定是否续约。并更新对被审计单位的了解和风险评估结果，以确定是否续约。注册会计师还应当考虑向被审计单位提供其他服务（如执行中期注册会计师还应当考虑向被审计单位提供其他服务（如执行中期财务报表审阅业务）所获得的经验是否有助于识别重大错报风险。财务报表审阅业务）所获得的经验是否有助于识别重大错报风险。（2）对于连续审计业务，如果拟利用在以前期间获取的信息，注）对于连续审计业务，如果拟利用在以前期间获取的信息，注册会计师应当确定被审计单位及其环境是否已发生变化，以及该册会计师应当确定被审计单位及其环境是否已发生变化，以及该变化是否可能影响以前期间获取的信息在本期审计中的相关性。变化是否可能影响以前期间获取的信息在本期审计中的相关性。第一节第一节 风险评估的含义风险评估的含义2022-7-1312第一节第一节 风险评估的含义风险评估的含义 问：在获取审计证据的八种审计程序中，问：在获取审计证据的八种审计程序中，有哪些审计程序在风险评估中没有用到？有哪些审计程序在风险评估中没有用到？2022-7-1313为什么重要？为什么重要？u 不深入了解被审计单位及其环境，根本就不可不深入了解被审计单位及其环境，根本就不可能知道被审计单位的财务报表可能在哪里会出错，能知道被审计单位的财务报表可能在哪里会出错，也无法界定什么错报为也无法界定什么错报为“重大重大”，更无法设计有，更无法设计有效的审计程序去发现错报效的审计程序去发现错报u“战略系统审计观战略系统审计观”要求审计人员具有更广阔要求审计人员具有更广阔的视野和更发散的思维的视野和更发散的思维 第二节第二节 了解被审计单位及环境了解被审计单位及环境2022-7-1314了解被审计单位及其环境为注册会计师在下列关键环节做了解被审计单位及其环境为注册会计师在下列关键环节做出职业判断提供了依据：出职业判断提供了依据：1.确定重要性水平，并随着审计工作的进程评估对重要性确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；水平的判断是否仍然适当；2.考虑会计政策的选择和运用是否恰当，以及财务报表的考虑会计政策的选择和运用是否恰当，以及财务报表的列报是否适当；列报是否适当；3.识别需要特别考虑的领域，包括关联方交易、管理层运识别需要特别考虑的领域，包括关联方交易、管理层运用持续经营假设的合理性，或交易是否具有合理的商业目的用持续经营假设的合理性，或交易是否具有合理的商业目的等；等；4.确定在实施分析程序时所使用的预期值；确定在实施分析程序时所使用的预期值；5.设计和实施进一步审计程序，以将审计风险降至可接受设计和实施进一步审计程序，以将审计风险降至可接受的低水平；的低水平；6.评价所获取审计证据的充分性和适当性。评价所获取审计证据的充分性和适当性。了解被审计单位及其环境的作用了解被审计单位及其环境的作用2022-7-1315【例题例题单选题单选题】根据风险导向审计方法对财务报表审计的要求，以根据风险导向审计方法对财务报表审计的要求，以下你对注册会计师了解被审计单位及其环境的作用的观点中不能认同下你对注册会计师了解被审计单位及其环境的作用的观点中不能认同的是（的是（）。）。A.只有通过了解被审计单位及其环境才能确定重要性水平，并随着只有通过了解被审计单位及其环境才能确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当审计工作的进程评估对重要性水平的判断是否仍然适当B.只有通过了解被审计单位及其环境才能确定在实施分析程序时所只有通过了解被审计单位及其环境才能确定在实施分析程序时所使用的预期值使用的预期值C.只有通过了解被审计单位及其环境才能设计和实施进一步审计程只有通过了解被审计单位及其环境才能设计和实施进一步审计程序，以将重大错报风险降至可接受的低水平序，以将重大错报风险降至可接受的低水平D.只有通过了解被审计单位及其环境才能识别需要特别考虑的领域只有通过了解被审计单位及其环境才能识别需要特别考虑的领域【答案答案】C【解析解析】选项选项C不恰当。注册会计师通过了解被审计单位及其环境不恰当。注册会计师通过了解被审计单位及其环境评估的是财务报表重大错报风险，通过设计和实施审计程序降低的评估的是财务报表重大错报风险，通过设计和实施审计程序降低的是审计风险。是审计风险。2022-7-1316总体要求总体要求u行业状况、法律环境与监管环境以及其他外部因素行业状况、法律环境与监管环境以及其他外部因素 u被审计单位的性质被审计单位的性质 u被审计单位对会计政策的选择和运用被审计单位对会计政策的选择和运用 u被审计单位的目标、战略以及相关经营风险被审计单位的目标、战略以及相关经营风险 u被审计单位财务业绩的衡量和评价被审计单位财务业绩的衡量和评价 u被审计单位的内部控制被审计单位的内部控制 第二节第二节 了解被审计单位及环境了解被审计单位及环境2022-7-13171.1.外部环境因素外部环境因素u 行业状况行业状况u 法律及监管环境法律及监管环境u 其他外部因素其他外部因素第二节第二节 了解被审计单位及环境了解被审计单位及环境2022-7-13182.2.被审计单位的性质被审计单位的性质u 所有权结构所有权结构u 治理结构治理结构u 组织结构组织结构u 经营活动经营活动u 投资活动投资活动u 筹资活动筹资活动l子公司或附属公司子公司或附属公司（subsidiary）l合营企业（合营企业（joint ventures）l联营企业（联营企业（affiliates or associates）第二节第二节 了解被审计单位及环境了解被审计单位及环境2022-7-13193.3.被审计单位对会计政策的选择和运用被审计单位对会计政策的选择和运用u 重要项目的会计政策和行业惯例重要项目的会计政策和行业惯例u 重大和异常交易的会计处理方法重大和异常交易的会计处理方法u 在新领域和缺乏权威性标准或共识的领域，采用在新领域和缺乏权威性标准或共识的领域，采用重要会计政策产生的影响重要会计政策产生的影响u会计政策的变更会计政策的变更u被审计单位何时采用以及如何采用新颁布的会计被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度准则和相关会计制度第二节第二节 了解被审计单位及环境了解被审计单位及环境2022-7-13204.被审计单位的目标、战略以及相关经营风险被审计单位的目标、战略以及相关经营风险u经营风险源于对被审计单位实现目标和战略产生经营风险源于对被审计单位实现目标和战略产生不利影响的重大情况、事项、环境和行动，或源不利影响的重大情况、事项、环境和行动，或源于不恰当的目标和战略于不恰当的目标和战略u多数经营风险最终都会产生财务后果，从而影响多数经营风险最终都会产生财务后果，从而影响财务报表；注册会计师应当根据被审计单位的具财务报表；注册会计师应当根据被审计单位的具体情况考虑经营风险是否可能导致财务报表发生体情况考虑经营风险是否可能导致财务报表发生重大错报重大错报第二节第二节 了解被审计单位及环境了解被审计单位及环境2022-7-1321被审计单位的目标、战略以及相关经营风险被审计单位的目标、战略以及相关经营风险 审计风险审计风险=重大错报风险重大错报风险检查风险检查风险经营风险经营风险剩余风险剩余风险财务报表在审计前财务报表在审计前存在重大错报的可存在重大错报的可能性能性某一认定存在重大错某一认定存在重大错报而报而CPA未能发现的未能发现的可能性可能性第二节第二节 了解被审计单位及环境了解被审计单位及环境2022-7-13225.被审计单位财务业绩的衡量和评价被审计单位财务业绩的衡量和评价u被审计单位内部或外部对财务业绩的衡量和评价被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力，促使其采取行动改善财可能对管理层产生压力，促使其采取行动改善财务业绩或歪曲财务报表务业绩或歪曲财务报表第二节第二节 了解被审计单位及环境了解被审计单位及环境2022-7-13236.被审计单位内部控制被审计单位内部控制(见第三节见第三节)第二节第二节 了解被审计单位及环境了解被审计单位及环境2022-7-1324第三节第三节 内部控制评审内部控制评审一、内部控制的概念及其思想的历史演进一、内部控制的概念及其思想的历史演进二、内部控制的目标与要素二、内部控制的目标与要素三、财务报告内部控制（与审计相关）三、财务报告内部控制（与审计相关）四、内部控制的描述四、内部控制的描述五、内部控制的评审五、内部控制的评审2022-7-1325一、内部控制的概念及其思想的历史演进一、内部控制的概念及其思想的历史演进（一）内部牵制阶段（一）内部牵制阶段（Internal Check）（二）内部控制制度阶段（二）内部控制制度阶段 （Internal Control System）（三）内部控制结构阶段（三）内部控制结构阶段（Internal Control Structure）（四）内部控制整体框架结构（四）内部控制整体框架结构（Internal Control Integrated Framework）（五）企业风险管理（五）企业风险管理综合框架：综合框架：演变为内部控制的演变为内部控制的八个要素八个要素（Enterprise Management Integrated Framework）第三节第三节 内部控制评审内部控制评审2022-7-132619341934年年美国美国证券证券交易法交易法，提出提出“内部内部会计控制会计控制”内部牵制19361936年年AICPAAICPA首次首次使用了使用了“内部控制内部控制”这一术语这一术语19491949年年内控的第一个权威定义，AICPA发表专题报告19531953年年19721972年年19881988年年第一次修正第一次修正第二、三次第二、三次修正，最终修正，最终形成形成审计审计准则公告第准则公告第1 1号号AICPAAICPA提提出内部控出内部控制结构定制结构定义义19921992年年COSOCOSO内内部控制部控制整体框整体框架架20042004年年COSOCOSO风风险管理险管理整合框整合框架架20022002年年SOASOA法法案案内部控制制度内部控制结构内部控制整体框架内内部部控控制制的的发发展展2022-7-1327（一）萌芽期一一内部牵制（一）萌芽期一一内部牵制（20世纪世纪40年代前年代前）“Controls”一词最初从拉丁语一词最初从拉丁语“contra rotulus”派生而来，意为派生而来，意为“对比卷宗对比卷宗”。它起源于古罗马时代对会计账簿实施的它起源于古罗马时代对会计账簿实施的“双双人记账制人记账制”，即某笔经济业务发生后，由两，即某笔经济业务发生后，由两名记账人员同时在各自的账簿上加以登记，名记账人员同时在各自的账簿上加以登记，然后定期核对双方账簿记录，以检查有无记然后定期核对双方账簿记录，以检查有无记账差错或舞弊行为，进而达到控制财物收支账差错或舞弊行为，进而达到控制财物收支的目的。的目的。2022-7-1328对比卷宗和双人记账制体现的是对比卷宗和双人记账制体现的是内部牵制思想内部牵制思想，其其基本原理基本原理就是：两个或两个以上的人或部门，就是：两个或两个以上的人或部门，无意识地犯同样错误的可能性，低于单独一个人无意识地犯同样错误的可能性，低于单独一个人或一个部门错误的可能性；有意识地合伙舞弊的或一个部门错误的可能性；有意识地合伙舞弊的可能性，低于单独一个人或一个部门舞弊的可能可能性，低于单独一个人或一个部门舞弊的可能性（性（联合概率降低联合概率降低）。）。柯氏会计词典柯氏会计词典将内部牵制定义为：将内部牵制定义为：“用以提用以提供有效的组织和经营，并防止错误和其他非法业供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。其主要特点是：以任何务发生的业务流程设计。其主要特点是：以任何个人或部门不能单独控制任何一项或一部分业务个人或部门不能单独控制任何一项或一部分业务权力的方式，进行组织上的责任分工；每项业务权力的方式，进行组织上的责任分工；每项业务通过正常发挥其他个人或部门的功能，进行通过正常发挥其他个人或部门的功能，进行交叉交叉检查或交叉控制检查或交叉控制。”2022-7-1329内部牵制内部牵制以不相容职务分离和授权批准控制为标以不相容职务分离和授权批准控制为标志志，至今仍然是控制活动的思想精髓。所谓不相，至今仍然是控制活动的思想精髓。所谓不相容职务，是指那些如果由一个人担任，既可能发容职务，是指那些如果由一个人担任，既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行生错误和舞弊行为，又可能掩盖其错误和舞弊行为，因而必须予以分离的职务，如为，因而必须予以分离的职务，如授权批准、业授权批准、业务经办、会计记录、财产保管和稽核检查务经办、会计记录、财产保管和稽核检查。主要特点：主要特点：u以以查错防弊查错防弊为目的。为目的。u以以职务分离职务分离和账务核对为方法。和账务核对为方法。u以钱、账、物等会计事项为主要控制对象以钱、账、物等会计事项为主要控制对象2022-7-1330内部牵制的表现形式内部牵制的表现形式u实物牵制：由两个以上人员共同掌管必要的实物工具，实物牵制：由两个以上人员共同掌管必要的实物工具，共同完成一定程序的牵制。共同完成一定程序的牵制。u机械牵制：只有按照正确的程序操作机械，才能完成机械牵制：只有按照正确的程序操作机械，才能完成一定过程的操作。要求按牵制的原则进行程序设置，一定过程的操作。要求按牵制的原则进行程序设置，而且要求所有的业务活动都要建立切实可行的办理程而且要求所有的业务活动都要建立切实可行的办理程序。序。u制度牵制：制度牵制：不相容职务相分离不相容职务相分离。对于每一项经济业务。对于每一项经济业务的处理，都要求有二人或二人以上共同分工负责，以的处理，都要求有二人或二人以上共同分工负责，以相互牵制，互相制约。通过组织分工来实现。相互牵制，互相制约。通过组织分工来实现。u簿记牵制：原始凭证与记账凭证、会计凭证与账簿、簿记牵制：原始凭证与记账凭证、会计凭证与账簿、账簿与账簿、账簿与会计报表之间核对。账簿与账簿、账簿与会计报表之间核对。2022-7-1331（二）发展期一内部控制制度（二）发展期一内部控制制度（20世纪世纪40年代至年代至70年代初年代初）1936年年AICPA发布的发布的注册会计师对财务报表的注册会计师对财务报表的审查审查文告中，内部控制一词作为审计术语最早文告中，内部控制一词作为审计术语最早出现。出现。美国审计程序委员会下属的内部控制专门委员会美国审计程序委员会下属的内部控制专门委员会于于1949年对内部控制首次做出了如下权威定义：年对内部控制首次做出了如下权威定义：“内部控制是企业所制定的旨在内部控制是企业所制定的旨在保护资产、保证保护资产、保证会计资料可靠性和准确性、提高经营效率，推动会计资料可靠性和准确性、提高经营效率，推动管理部门所制定的各项政策得以贯彻执行管理部门所制定的各项政策得以贯彻执行的组织的组织计划和相互配套的各种方法及措施计划和相互配套的各种方法及措施”。2022-7-133219581958年年1010月，美国审计程序委员会对内部控制作了如下划月，美国审计程序委员会对内部控制作了如下划分（分（制度二分法制度二分法）：）：（1 1）会计控制会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此由组织计划和所有保护资产、保护会计记录可靠性或与此有关的方法和程序构成，包括授权与批准制度；记账、编有关的方法和程序构成，包括授权与批准制度；记账、编制财务报表、保管财务资产等职务的分离；财产的实物控制财务报表、保管财务资产等职务的分离；财产的实物控制以及内部审计等控制。制以及内部审计等控制。（2 2）管理控制管理控制由组织计划和所有为提高经营效率、保证管理部门所制定由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接有关的方法和程序构的各项政策得到贯彻执行或与此直接有关的方法和程序构成，包括统计分析、时动研究、经营报告、雇员培训计划成，包括统计分析、时动研究、经营报告、雇员培训计划和质量控制等。和质量控制等。2022-7-1333美国注册会计师协会审计准则委员会于美国注册会计师协会审计准则委员会于1972年年12月公布月公布审计准则公告第审计准则公告第1号号(SAS1)，对内部控，对内部控制定义如下：制定义如下：u管理控制包括（但不限于）组织规划以及管理当局管理控制包括（但不限于）组织规划以及管理当局进行经济业务授权的决策过程有关的程序和记录。进行经济业务授权的决策过程有关的程序和记录。这种授权是与完成该组织目标的职责直接有关的一这种授权是与完成该组织目标的职责直接有关的一种管理职能，是对经济业务建立会计控制的起点。种管理职能，是对经济业务建立会计控制的起点。u会计控制包括组织规划以及与保护财产安全和财务会计控制包括组织规划以及与保护财产安全和财务报表可靠性有关的程序和记录，因此它在设计上应报表可靠性有关的程序和记录，因此它在设计上应能合理保证：能合理保证：1.按管理当局的一般授权或特殊授权处理各项经济业按管理当局的一般授权或特殊授权处理各项经济业务。务。2.经济业务的记录必须做到：编制财务报表要遵循公经济业务的记录必须做到：编制财务报表要遵循公认会计原则，或适用于这些报表的其他标准，保持认会计原则，或适用于这些报表的其他标准，保持资产会计责任的记录。资产会计责任的记录。3.只有经管理当局授权才能接近资产。只有经管理当局授权才能接近资产。4.在一定的间隔期间，将账面载明的资产要和实存资在一定的间隔期间，将账面载明的资产要和实存资产进行核对，对发生的任何差异采取适当的措施。产进行核对，对发生的任何差异采取适当的措施。2022-7-133419771977年的年的反国外贿赂法案（反国外贿赂法案（Foreign Corrupt Foreign Corrupt Practices ActPractices Act）是最早的关于内部控制要求的是最早的关于内部控制要求的法律，要求美国所有的上市公司必须建立内部会计法律，要求美国所有的上市公司必须建立内部会计控制制度控制制度，以防范公司资金被用于不法目的。，以防范公司资金被用于不法目的。但但 19801980年年3 3月，在国际内部审计师协会代表大会的月，在国际内部审计师协会代表大会的发言中，凯罗鲁斯把发言中，凯罗鲁斯把内部控制的两分法内部控制的两分法描绘为描绘为“将将美玉击成了美玉击成了碎片碎片”。他声称，。他声称，在这块美玉完全修复在这块美玉完全修复（破镜重圆）以前，我们不可能有一个对管理人员（破镜重圆）以前，我们不可能有一个对管理人员有用、为管理人员理解的内部控制定义有用、为管理人员理解的内部控制定义。2022-7-1335（三）成熟期（三）成熟期内部控制结构（内部控制结构（1988）和内部控制整体架构（和内部控制整体架构（1992）1.内部控制结构内部控制结构（Internal Control Structure）1988年，美国注册会计师协会指出：年，美国注册会计师协会指出：“企业企业的内部控制结构包括为合理保证企业特定目的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序标的实现而建立的各种政策和程序”。内部控制结构内部控制结构不再将内部控制割裂不再将内部控制割裂成会计控成会计控制和管理控制两部分，并正式制和管理控制两部分，并正式将控制环境纳将控制环境纳入内部控制范畴。入内部控制范畴。三要素三要素2022-7-1336（1）控制环境控制环境对对建立、加强或削弱特定政策和程序效率建立、加强或削弱特定政策和程序效率发生发生影响的各种因素，反映董事会、经理层、其他影响的各种因素，反映董事会、经理层、其他管理人员对内部控制的管理人员对内部控制的态度、认识和行动态度、认识和行动：u管理当局的思想和经营作风管理当局的思想和经营作风u企业组织机构企业组织机构u董事会及其所属委员会的作用董事会及其所属委员会的作用u确定职权和责任的方法确定职权和责任的方法u监控和检查工作时所有控制方法，包括经营计划、监控和检查工作时所有控制方法，包括经营计划、预算，利润计划、责任会计和内部审计预算，利润计划、责任会计和内部审计u人事工作方针及其执行人事工作方针及其执行u影响本企业业务的各种外部关系影响本企业业务的各种外部关系2022-7-1337（2）会计系统会计系统确认和登记一切确认和登记一切合法合法的经济业务的经济业务对各种经济业务进行对各种经济业务进行按时和适当的分类按时和适当的分类，作，作为编制会计报表的依据为编制会计报表的依据将各种经济业务按适当的货币价值将各种经济业务按适当的货币价值计价计价，以，以便列入会计报表便列入会计报表确定经济业务发生的日期，以便分确定经济业务发生的日期，以便分会计期间会计期间进行记录进行记录在会计报表中在会计报表中恰当表述恰当表述经济业务以及有关内经济业务以及有关内容容2022-7-1338（3）控制程序控制程序管理当局所制订的，用以保证达到一定目标的方管理当局所制订的，用以保证达到一定目标的方针和程序针和程序：u经济业务和活动的批准和授权（经济业务和活动的批准和授权（授权批准控制授权批准控制）u明确各个人员的职责分工（明确各个人员的职责分工（不相容职务分离不相容职务分离）u凭证和账单的设计和使用应保证经济业务和活动得凭证和账单的设计和使用应保证经济业务和活动得到正确的职务分离的记载（如到正确的职务分离的记载（如连续编号连续编号）u财产及其记录的接触使用要有保护措施（如财产及其记录的接触使用要有保护措施（如限制接限制接近近）u对已登记的业务及其计价进行复核（对已登记的业务及其计价进行复核（独立稽核独立稽核）2022-7-13392.内部控制整体架构（内部控制整体架构（Internal Control一一Integrated Framework）2020世纪世纪9090年代至年代至2121世纪初世纪初19921992年，年，COSOCOSO报告发布，报告发布，19941994年进行修改。年进行修改。19961996年，年，AICPAAICPA发布发布审计准则第审计准则第7878号号(SAS78)(SAS78)，全面接受，全面接受COSOCOSO报告的内容，从报告的内容，从19971997年年1 1月月1 1日起以内部控制框架取代内部控制结构。日起以内部控制框架取代内部控制结构。“内部控制是一个过程，受企业董事会、经理内部控制是一个过程，受企业董事会、经理阶层和其他员工的影响，旨在保证阶层和其他员工的影响，旨在保证财务报告的财务报告的可靠性可靠性、经营的效率和效果经营的效率和效果以及以及现行法规的遵现行法规的遵循循。”2022-7-13401992年，美国反财务欺诈委员会下属年，美国反财务欺诈委员会下属的的内部控制专门研究委员会内部控制专门研究委员会COSO（Committee of Sponsoring Organizations of the Tread-way Commission），提出），提出内部控制整体内部控制整体框架（框架（Internal Control-Integrated Framework）的专题报告（又称的专题报告（又称COSO报告报告），），在世界范围内得到广泛在世界范围内得到广泛应用应用。2022-7-1341COSO报告指出，内部控制是一个报告指出，内部控制是一个过程过程，受企业董事会、，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。经营的效果和效率以及现行法规的遵循。u经营的有效性经营的有效性(做对的事做对的事DO the right things)和效和效率率(把事情做好把事情做好Do the things right)u财务报告的可靠性财务报告的可靠性u符合适用的法律和法规符合适用的法律和法规2022-7-1342内部控制是一个内部控制是一个过程过程。它是实现目的。它是实现目的的手段，而不是目的本身。的手段，而不是目的本身。内部控制由内部控制由人员人员来实施。它并不仅仅来实施。它并不仅仅是政策手册和表格，还涉及组织中各是政策手册和表格，还涉及组织中各个层级的人员。个层级的人员。内部控制为组织的管理层和董事会提内部控制为组织的管理层和董事会提供供合理保证合理保证，而不是绝对保证。，而不是绝对保证。内部控制被用来实现一个或多个彼此内部控制被用来实现一个或多个彼此独立又相互交叉的类别的独立又相互交叉的类别的目标目标。2022-7-1343过程过程u内部控制并不是一个事项或一种情形，而是渗透到内部控制并不是一个事项或一种情形，而是渗透到主体的活动中的一系列行为。主体的活动中的一系列行为。u在组织中的各个单元或职能之内或跨组织单元或职在组织中的各个单元或职能之内或跨组织单元或职能而实施的经营过程，都是通过规划、执行和监控能而实施的经营过程，都是通过规划、执行和监控等基本的管理过程来加以管理的。内部控制使这些等基本的管理过程来加以管理的。内部控制使这些过程得以推行，并对他们的实施和持续的关联性进过程得以推行，并对他们的实施和持续的关联性进行监控。行监控。u嵌入式的控制有助于降低成本和缩短反应时间。嵌入式的控制有助于降低成本和缩短反应时间。2022-7-1344人员人员u内部控制是由主体的董事会、管理层和其他人员实内部控制是由主体的董事会、管理层和其他人员实施的。人员制定主体的目标，并将控制机制付诸实施的。人员制定主体的目标，并将控制机制付诸实施。施。u同时，内部控制也会影响人员的行动。同时，内部控制也会影响人员的行动。u人们必须知道他们的责任和权限。人员需要把他们人们必须知道他们的责任和权限。人员需要把他们所承担的责任与他们履行这些责任的方式，以及企所承担的责任与他们履行这些责任的方式，以及企业的目标明确而密切的联系起来。业的目标明确而密切的联系起来。u董事主要提供监督，但是也提供指导，并审批特定董事主要提供监督，但是也提供指导，并审批特定的交易和政策。董事会是内部控制的一个重要元素。的交易和政策。董事会是内部控制的一个重要元素。2022-7-1345合理保证合理保证u目标实现的可能性受到所有内部控制都存在的目标实现的可能性受到所有内部控制都存在的固有局限的影响：固有局限的影响：决策中的人为判断可能是错误的决策中的人为判断可能是错误的负责建立控制的人员需要考虑相应的成本和效负责建立控制的人员需要考虑相应的成本和效益益可能会由于简单的误差或错误等人为失误而发可能会由于简单的误差或错误等人为失误而发生故障生故障控制会因为两个或更多人的串通而被规避控制会因为两个或更多人的串通而被规避管理层具有凌驾于内部控制体系之上的能力管理层具有凌驾于内部控制体系之上的能力2022-7-1346人员人员u内部控制是由主体的董事会、管理层和其他人员实内部控制是由主体的董事会、管理层和其他人员实施的。人员制定主体的目标，并将控制机制付诸实施的。人员制定主体的目标，并将控制机制付诸实施。施。u同时，内部控制也会影响人员的行动。同时，内部控制也会影响人员的行动。u人们必须知道他们的责任和权限。人员需要把他们人们必须知道他们的责任和权限。人员需要把他们所承担的责任与他们履行这些责任的方式，以及企所承担的责任与他们履行这些责任的方式，以及企业的目标明确而密切的联系起来。业的目标明确而密切的联系起来。u董事主要提供监督，但是也提供指导，并审批特定董事主要提供监督，但是也提供指导，并审批特定的交易和政策。董事会是内部控制的一个重要元素。的交易和政策。董事会是内部控制的一个重要元素。2022-7-1347合理保证合理保证u目标实现的可能性受到所有内部控制都存在的目标实现的可能性受到所有内部控制都存在的固有局限的影响：固有局限的影响：决策中的人为判断可能是错误的决策中的人为判断可能是错误的负责建立控制的人员需要考虑相应的成本和效负责建立控制的人员需要考虑相应的成本和效益益可能会由于简单的误差或错误等人为失误而发可能会由于简单的误差或错误等人为失误而发生故障生故障控制会因为两个或更多人的串通而被规避控制会因为两个或更多人的串通而被规避管理层具有凌驾于内部控制体系之上的能力管理层具有凌驾于内部控制体系之上的能力2022-7-1348目标目标u主体的目标通常被分为三类：主体的目标通常被分为三类：经营经营(operation)目标目标与主体资源利用的有与主体资源利用的有效性和效率有关效性和效率有关财务报告财务报告(financial reporting)目标目标与编与编制可靠的公开财务报表有关制可靠的公开财务报表有关合规合规(compliance)目标目标与主体符合适用的与主体符合适用的法律和法规有关法律和法规有关u以上三类目标互相区别又彼此交叉，根据不同的以上三类目标互相区别又彼此交叉，根据不同的需要，可能是不同管理人员的直接责任。需要，可能是不同管理人员的直接责任。u内部控制可以对财务报告目标与合规目标的实现内部控制可以对财务报告目标与合规目标的实现提供合理保证；但对经营目标而言，内部控制只提供合理保证；但对经营目标而言，内部控制只能就管理层以及履行监督职能的董事会能就管理层以及履行监督职能的董事会及时了解及时了解该主体朝着它们迈进的程度该主体朝着它们迈进的程度进行合理保证。进行合理保证。2022-7-1349控制环境控制环境（基础）（基础）风险评估风险评估（依据）（依据）控制活动控制活动 （手段）（手段）信息与沟通信息与沟通（载体）（载体）监督监督（保证）（保证）2022-7-1350五要素及其相互关系五要素及其相互关系 监控监控控制活动控制活动风险评估风险评估控制环境控制环境信信息息沟沟通通信信息息沟沟通通基础基础手段手段保证保证载体载体依据依据2022-7-1351内部控制的构成要素内部控制的构成要素2022-7-1352中国注册会计师审计准则第1211号了解被审计单位及其环境并评估重大错报风险中将内部控制定义为：内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循，由治理当局、管理当局和其他人员设计和执行的政策和程序。对内部控制概念的理解，应把握以下几点：1内部控制的目标是合理保证：（1）财务报告的可靠性；（2）经营的效果和效率，（3）在所有经营活动中遵守法律法规的要求。2实现内部控制目标的手段是设计和执行控制政策和程序。3内部控制贯穿于企业经营管理活动的各个方面，只要存在企业经营管理活动，就需要有相应的内部控制。2022-7-1353（四）最新发展（四）最新发展企业风险管理企业风险管理（enterprise risk management）2004年年9月，月，COSO委员会顺应委员会顺应风险管理风险管理与内部控制相融合与内部控制相融合的趋势，吸收了风险管的趋势，吸收了风险管理的研究成果，结合理的研究成果，结合萨班斯萨班斯奥克斯奥克斯莱法案莱法案，正式颁布，正式颁布企业风险管理整体企业风险管理整体框架（框架（Enterprise Risk Management-Integrated Framework）。2022-7-1354该框架对内部控制的定义明确了以下内容：该框架对内部控制的定义明确了以下内容：（1 1）是一个动态的、贯穿企业实体各个层级和单位的过程）是一个动态的、贯穿企业实体各个层级和单位的过程（2 2）受组织内所有层次人的影响）受组织内所有层次人的影响（3 3）应用于战略制定）应用于战略制定 （4 4）旨在识别影响组织的事件并在组织的风险偏好范围内）旨在识别影响组织的事件并在组织的风险偏好范围内管理风险管理风险（5 5）能够为企业实体的管理层和董事会提供合理保证）能够为企业实体的管理层和董事会提供合理保证（6 6）为了实现各类目标）为了实现各类目标演变为内部控制的八个要素。演变为内部控制的八个要素。ERMERM并非替代并非替代IC-IFIC-IF，而是包容了，而是包容了IC-IFIC-IF，在内控的有关概念，在内控的有关概念上，两者保持了一致与连贯。企业风险管理框架不仅可以满上，两者保持了一致与连贯。企业风险管理框架不仅可以满足企业加强内部控制的需求，也能促进企业建立更为全面的足企业加强内部控制的需求，也能促进企业建立更为全面的风险管理体系。风险管理体系。2022-7-1355八要素与五要素关系八要素与五要素关系内部环境内部环境目标制定目标制定事项识别事项识别风险评估风险评估风险反应风险反应控制活动控制活动信息与沟通信息与沟通监控监控控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监控监控2022-7-1356风险管理框架包括八大要素：由内部控风险管理框架包括八大要素：由内部控制转向风险管理制转向风险管理u内部环境内部环境u目标设定目标设定u事项识别事项识别u风险评估风险评估u风险应对风险应对u控制活动控制活动u信息与沟通信息与沟通u监控监控2022-7-13572022-7-1358我国内部控制理论的五部规章制度：我国内部控制理论的五部规章制度：1 1、19961996年年1212月财政部发表的月财政部发表的独立审计准则第独立审计准则第9 9号号内在控制和审计风险内在控制和审计风险,是是从制度基础审计的角度对内部控制的定义作出了规定从制度基础审计的角度对内部控制的定义作出了规定,它认为内部控制包括控制环境、它认为内部控制包括控制环境、会计系统和控制程序会计系统和控制程序,强调的重点是会计系统。强调的重点是会计系统。2 2、19991999年修订的年修订的会计法会计法第二十七条明确指出第二十七条明确指出“各单位应该建立健全本单位内部各单位应该建立健全本单位内部会计监督制度会计监督制度”。它是我国第一部体现内部会计控制要求的法律。此条文实际是认。它是我国第一部体现内部会计控制要求的法律。此条文实际是认为内部控制包括会计控制和其他控制。为内部控制包括会计控制和其他控制。3 3、20012001年财政部颁布年财政部颁布内部会计控制规范内部会计控制规范基本规范基本规范(试行试行)和和内部会计控内部会计控制规范制规范货币资金货币资金(试行试行)。它是从企业自身的角度。它是从企业自身的角度,从改进企业经营方式的角从改进企业经营方式的角度对企业内部控制予以要求度对企业内部控制予以要求,强调内控以会计控制为主强调内控以会计控制为主,同时兼顾与会计相关的控制。同时兼顾与会计相关的控制。4 4、20072007年年3 3月企业内部控制标准委员会发布的征求意见稿。基本规范共分月企业内部控制标准委员会发布的征求意见稿。基本规范共分8 8章，包括章，包括总则、内部环境、风险评估、控制措施、信息与沟通、监督检查、组织实施和附则。总则、内部环境、风险评估、控制措施、信息与沟通、监督检查、组织实施和附则。具体规范涉及财务报告内部控制和其他方面的控制。具体规范涉及财务报告内部控制和其他方面的控制。5 5、20082008年年5 5月财政部会同证监会、审计署、银监会、保监会制定了月财政部会同证监会、审计署、银监会、保监会制定了企业内部控制企业内部控制基本规范基本规范，执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评，执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，价，披露年度自我评价报告披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所，并可聘请具有证券、期货业务资格的会计师事务所对对内部控制的有效性进行审计内部控制的有效性进行审计。2022-7-1359企业内部控制企业内部控制基本规范基本规范2010年年1月月1日由日由境外上市公司境外上市公司先期执行，先期执行，2011年境内上市公司年境内上市公司执行。执行。企业内部控制企业内部控制配套指引配套指引自自2011年年1月月1日起在日起在境内外同时上境内外同时上市市的公司施行，自的公司施行，自2012年年1月月1日起在上海证券交易所、深日起在上海证券交易所、深圳证券交易所圳证券交易所主板上市公司主板上市公司施行。在此基础上，施行。在此基础上，择机在中择机在中小板和创业板上市公司施行，鼓励非上市大中型企业提前小板和创业板上市公司施行，鼓励非上市大中型企业提前执行执行。执行执行企业内部控制基本规范企业内部控制基本规范及企业内部控制配套指引及企业内部控制配套指引的上市公司和非上市大中型企业，应当对内部控制的有效的上市公司和非上市大中型企业，应当对内部控制的有效性进行自我评价，披露性进行自我评价，披露年度自我评价报告年度自我评价报告，同时应当聘请，同时应当聘请会计师事务所会计师事务所对财务报告内部控制的有效性进行审计对财务报告内部控制的有效性进行审计并出并出具审计报告。具审计报告。内部控制建设的意义内部控制建设的意义2022-7-1360德勤德勤2007-2008年对国内上市公司的内部控制实施状况，年对国内上市公司的内部控制实施状况，进行了跟踪调查。进行了跟踪调查。德勤发现：德勤发现：56的公司没有建立，或现的公司没有建立，或现有内部控制机制尚不完善；有内部控制机制尚不完善；72的公司没有持续监控内部的公司没有持续监控内部控制的有效机制，或未得到任何改善。控制的有效机制，或未得到任何改善。就企业内控水平而言，海外上市公司的水平最高，其次是就企业内控水平而言，海外上市公司的水平最高，其次是国内的上市公司，随后是其他未上市的大型企业，国内的上市公司，随后是其他未上市的大型企业，中小企中小企业的内控审计建设最为薄弱业的内控审计建设最为薄弱。内控是对企业内控是对企业业务流程的再造业务流程的再造，执行企业需要增设专门岗，执行企业需要增设专门岗位和专业人员，制定相应流程。位和专业人员，制定相应流程。建立以基本规范为统领，以评价指引、应用指引和内部控建立以基本规范为统领，以评价指引、应用指引和内部控制鉴证指引为补充的内控标准体系，以法制为推动、以企制鉴证指引为补充的内控标准体系，以法制为推动、以企业实施为主体、以政府监管和社会评价为保障、以各方面业实施为主体、以政府监管和社会评价为保障、以各方面积极参与为促进的积极参与为促进的内控实施体系，已如箭在弦，不得不发内控实施体系，已如箭在弦，不得不发。2022-7-1361国际资本市场：国际资本市场：“入门证入门证”和和“通行证通行证”许多国家通过立法强化企业内部控制许多国家通过立法强化企业内部控制，内部控制日益，内部控制日益成为企业进入成为企业进入资本市场的资本市场的“入门证入门证”和和“通行证通行证”。研究结果表明，内部控制存在缺陷，是导致企业研究结果表明，内部控制存在缺陷，是导致企业经营经营失败失败并最终铤而走险、欺骗投资者和社会公众的重要并最终铤而走险、欺骗投资者和社会公众的重要原因。原因。我国境外上市企业纷纷我国境外上市企业纷纷花巨资花巨资聘请海外机构设计内部聘请海外机构设计内部控制制度（聘请海外机构做设计，需要控制制度（聘请海外机构做设计，需要5000万元左右万元左右；而请国内公司做设计，需要而请国内公司做设计，需要500万元左右），以适应上万元左右），以适应上市地的监管要求。市地的监管要求。2022-7-1362例如，例如，美国美国SOX法案第法案第404条款（公认最严格、最复条款（公认最严格、最复杂、执行成本最高）杂、执行成本最高）强调，公众公司内控活动的强调，公众公司内控活动的操作操作流程都必须清楚地定义并保存相关记录，任何一个岗流程都必须清楚地定义并保存相关记录，任何一个岗位的职务、职责都应描述得一目了然位的职务、职责都应描述得一目了然，在对交易进行，在对交易进行财务记录的每一个环节都应有相应的内部控制制度，财务记录的每一个环节都应有相应的内部控制制度，并指出内部控制的缺陷所在。并指出内部控制的缺陷所在。它还特别规定，公众公司管理层负有建立和维护内部它还特别规定，公众公司管理层负有建立和维护内部控制系统以及保证相应控制程序充分有效的责任，编控制系统以及保证相应控制程序充分有效的责任，编制的年度报告须包括制的年度报告须包括内部控制报告内部控制报告，体现管理层对，体现管理层对最最近财政年度末近财政年度末对内部控制体系及控制程序有效性的评对内部控制体系及控制程序有效性的评价，并由担任公司价，并由担任公司年报审计年报审计的会计师事务所对其出具的会计师事务所对其出具评价报告（但评价报告（但不作为一项单独的业务不作为一项单独的业务）。）。2022-7-1363风险控制：天使风险控制：天使Or魔鬼魔鬼内部控制与风险管理是一个事情的两个方面，正因为内部控制与风险管理是一个事情的两个方面，正因为有有风险才需要控制风险才需要控制。为了引导企业进一步加强内部控制，为了引导企业进一步加强内部控制，1999年修订的年修订的会会计法计法，第一次以法律的形式对建立健全内部控制提出，第一次以法律的形式对建立健全内部控制提出原则要求。原则要求。但从现实情况看，许多企业管理松弛、但从现实情况看，许多企业管理松弛、内控弱化、风险内控弱化、风险频发频发，资产流失、营私舞弊、损失浪费等问题还比较突，资产流失、营私舞弊、损失浪费等问题还比较突出。出。随着市场经济的发展和企业环境的变化，随着市场经济的发展和企业环境的变化，单纯依赖会计单纯依赖会计控制已难以应对企业面对的市场风险，会计控制必须向控制已难以应对企业面对的市场风险，会计控制必须向风险控制发展风险控制发展。2022-7-1364以史为鉴以史为鉴英国议会曾否决将电力、煤气引入伦敦的英国议会曾否决将电力、煤气引入伦敦的千家万户千家万户否决引入电力的理由否决引入电力的理由：“如果把电通到千家万户之后，每一户人家至少都得有如果把电通到千