资源描述
,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,管理资源吧(),提供海量管理资料免费下载!,内部控制制度及控制风险评价,第一节 内部控制目标与要素,第二节 了解与记录内部控制,第三节 内部控制测试,第四节 内部控制评价,第五节 管理建议书,1,第一节 内部控制目标与要素,一. 内部控制定义,组织为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。,2,第一节 内部控制目标与要素,二. 内部控制的目标,(1)保证业务活动按照适当的授权进行;(授权),(2)保证所有交易和事项以正确的金额,在恰当的会计期间及时记录于适当的账户,使会计报表的编制符合会计准则的相关要求;(会计记录的正确性),(3)保证对资产和记录的接触、处理均经过适当的授权;(授权),(4)保证账面资产与实存资产定期核对相符。(资产保全),3,第一节 内部控制目标与要素,三、 内部控制包括下列要素,:(一)控制环境;(二)风险评估过程(被申单位的风险评估过程);(三)信息系统与沟通(被申单位的信息系统与沟通);(四)控制活动; (五)对控制的监督。,4,第一节 内部控制目标与要素,三、 内部控制包括下列要素,:(一)控制环境;控制环境对重大错报风险的评估具有广泛影响,注册会计师应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的基础,并且未被控制环境中存在的缺陷所削弱。控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报,注册会计师在评估重大错报风险时应当将控制环境连同其他内部控制要素产生的影响一并考虑。,5,第一节 内部控制目标与要素,三、 内部控制包括下列要素,:(二)风险评估过程, 在评价被审计单位风险评估过程的设计和执行时,注册会计师应当确定管理层如何识别与财务报告相关的经营风险,如何估计该风险的重要性,如何评估风险发生的可能性,以及如何采取措施管理这些风险。注册会计师应当询问管理层识别出的经营风险,并考虑这些风险是否可能导致重大错报。,6,第一节 内部控制目标与要素,三、 内部控制包括下列要素,:(二)风险评估过程 在审计过程中,如果识别出管理层未能识别的重大错报风险,注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险,以及评估过程是否适合于具体环境。在小型被审计单位,管理层可能没有正式的风险评估过程,注册会计师应当与管理层讨论其如何识别经营风险以及如何应对这些风险。,7,第一节 内部控制目标与要素,三、 内部控制包括下列要素,:(三)信息系统与沟通;,与财务报告相关的信息系统,包括用以生成、记录、处理和报告交易、事项和情况,对相关资产、负债和所有者权益履行经营管理责任的程序和记录。,8,第一节 内部控制目标与要素,三、 内部控制包括下列要素,:(四)控制活动;,控制活动是指有助于确保管理层的指令得以执行的政策和程序,包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。,9,第一节 内部控制目标与要素,三、 内部控制包括下列要素,:(五)对控制的监督,对控制的监督是指被审计单位,评价,内部控制在一段时间内运行,有效性,的过程,该过程包括及时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施。,10,第一节 内部控制目标与要素,四、 与审计相关的控制,与审计相关的控制,包括被审计单位为实现财务报告可靠性目标设计和实施的控制。,注册会计师应当运用职业判断,考虑一项控制单独或连同其他控制,是否,与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序,有关,。,11,第一节 内部控制目标与要素,四、 与审计相关的控制,在运用职业判断时,注册会计师应当考虑下列因素:(一)注册会计师确定的重要性水平;(二)被审计单位的性质;(三)被审计单位的规模;(四)被审计单位经营的多样性和复杂性;(五)法律法规和监管要求;(六)作为内部控制组成部分的系统的性质和复杂性。,12,第一节 内部控制目标与要素,四、 与审计相关的控制,如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息,注册会计师应当考虑用以保证该信息完整性和准确性的控制可能与审计相关。 如果用以保证经营效率、效果的控制以及对法律法规遵守的控制与实施审计程序时评价或使用的数据相关,注册会计师应当考虑这些控制可能与审计相关。用以保护资产的内部控制可能包括与实现财务报告可靠性和经营效率、效果目标相关的控制。注册会计师在了解保护资产的内部控制各项要素时,可仅考虑其中与财务报告可靠性目标相关的控制。,13,第一节 内部控制目标与要素,五.有关内部控制的一般考虑,管理当局的责任,建立、修正和维护公司的各项控制,并监督控制政策和程序得到持续有效的执行是管理当局的责任。,合理的保证,A 公司管理当局应在综合考虑控制的成本效益的基础上,建立能为公司会计报表的公允表达提供合理保证的内部控制。,B 控制程序不应对工作效率或获利能力有不利影响。,14,第一节 内部控制目标与要素,五.有关内部控制的一般考虑,固有的限制,内部控制存在下列固有局限性,无论如何设计和执行,只能对财务报告的可靠性提供合理的保证:,在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效;,可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。,由于和,会计报表审计总存在一定的控制风险,控制风险始终应大于零。,因此不管内控如何,都要进行实质性测试,15,第一节 内部控制目标与要素,六.了解内部控制与审计的关系,(1)不论被审计单位规模大小,都要充分了解相关的内控;,(2)根据了解,确定是否进行符合性测试及符合性测试的时间、性质和范围;,(3)内控良好,绝不能完全取消实质性测试程序。,16,第二节 了解与记录内部控制,一、注册会计师对于企业内部控制所作的研究和评价可分为三个步骤:,第一,了解企业的内部控制情况,并做出相应的记录;,第二,实施符合性测试程序,证实有关内部控制的设计和执行的效果;,第三,评价内部控制的强弱,即评价控制风险,确定在内部控制薄弱的领域扩展审计程序,降低审计风险。,17,第二节 了解与记录内部控制,二、. 业务循环及其分类,(1)如何划分业务循环,应视企业的业务性质和规模而定。,(2)不论如何划分业务循环,注册会计师要将主要精力,集中在那些影响会计报表反映的内部控制程序上,。,18,第二节 了解与记录内部控制,二、 业务循环及其分类,(3)制造业可划分为下列业务循环:, 销售与收款循环;, 购货与付款循环;, 生产循环;, 筹资与投资循环;, 投资与理财循环。,19,第二节 了解与记录内部控制,三. 了解内部控制的深度,注册会计师在了解内部控制时,应当评价控制的,设计,,并确定其是否得到,执行,。评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。控制得到执行是指某项控制存在且被审计单位正在使用。设计不当的控制可能表明内部控制存在重大缺陷,注册会计师在确定是否考虑控制得到执行时,应当首先考虑控制的设计。,20,第二节 了解与记录内部控制,四、了解内控制度的方法(风险评估程序),注册会计师通常实施下列风险评估程序,以获取有关控制设计和执行的审计证据:(一)询问被审计单位的人员;,询问本身并不足以评价控制的设计以及确定其是否得到执行,注册会计师应当将询问与其他风险评估程序结合使用。(二)观察特定控制的运用;(三)检查文件和报告;(四)追踪交易在财务报告信息系统中的处理过程(,穿行测试,)。,21,第二节 了解与记录内部控制,四、了解内控制度的方法(风险评估程序),(四)追踪交易在财务报告信息系统中的处理过程(,穿行测试,)。,如果穿行测试选出的交易在通过会计系统的那些交易中具有代表性,那么该程序可作为符合性测试的一部分。,注册会计师的穿行测试的性质和范围,决定了其并不能为评价控制风险处于低水平提供充分、适当的审计证据。,除非存在某些可以使控制得到一贯运行的自动化控制,注册会计师对控制的了解并不能够代替对控制运行有效性的测试。,22,第二节 了解与记录内部控制,五、内部控制的人工成分和自动化成分(了解),内部控制可能既包括人工成分又包括自动化成分,在风险评估以及设计和实施进一步审计程序时,注册会计师应当考虑内部控制的人工和自动化特征及其影响。,23,第二节 了解与记录内部控制,六、计划阶段对控制风险的初步评价,控制风险的初步评价是针对每个重要的账户余额或交易种类,在认定层上进行的。,出现以下情况之一时,注册会计师应将重要账户或交易类别的某些或全控制风险评估为高水平:,企业内部控制失效;,难以对内部控制的有效性作出评价;,注册会计师不拟进行符合性测试。,24,第二节 了解与记录内部控制,七. 记录对内部控制的了解和对控制风险的评价,(1)基本要求,当控制风险评价为最高水平时,只需记录这一评价结论;,当控制风险评价低于最高水平时,还必须记录评价的依据。,(2)对内部控制制度的记录方法,调查表(问卷);,文字表达;,流程图;,核对表。,25,第三节 内部控制测试,一.控制测试的概念,(1)符合性测试的条件, 准备信赖内部控制;, 只有当信赖内部控制而减少的实质性测试的工作量大于符合性测试的工作量时。,(2)符合性测试的基本对象,控制设计测试,控制执行测试,26,第三节 内部控制测试,一.控制测试的概念,(3)注册会计师并不是对所有的控制都要加以测试,只应对那些有助于防止或发现和纠正会计报表认定产生重大错报或漏报的控制执行测试。,(4)过程,确定种类决定性质确定范围决定时间考虑利用内审双重目的测试,27,第三节 内部控制测试,二符合性测试的种类(了解),(1)时间,注册会计师可在审计计划期间和期中工作期间执行符合性测试。,(2)执行情况,主要证实法:可能执行“同步符合性测试”及“额外符合性测试”,较低控制风险估计水平法:必须执行“计划符合法性测试”,28,第三节 内部控制测试,二符合性测试的种类(了解),(3)同步符合性测试,是在注册会计师取得对内部控制制度的了解时,也同时提供了有关控制政策和程序是否有效的证据。这种取得了解的程序就构成了“,同步符合性测试,”,这种测试不是必需的,而是由注册会计师有选择的执行。,通过同步符合性测试取得的证据,,只能使注册会计师评价控制风险的估计水平处在略低于最高水平到中等水平范围之内。,因为这些证据是在审计的计划期间内取得,其证据本身并不能证明某项控制政策或程序在整个被审计年度均由经授权的人员适当和一贯地加以应用。,29,第三节 内部控制测试,二符合性测试的种类(了解),(4)追加符合性测试,追加符合性测试在,外勤工作,中执行。,是为了进一步降低注册会计师对控制风险估计水平而进行的测试。,必须考虑是否符合成本效益原则。,还必须考虑有否可能获得额外的证据,来支持进一步降低控制风险的初步估计水平。,(5),计划符合性测试,在外勤工作中执行。,在选用较低控制风险估计水平法下必须执行的测试。,执行的目的是为了支持注册会计师计划的实质性测试水平。,所取得的证据应足以支持评价某些认定的控制风险为中等或低水平。,30,第三节 内部控制测试,三. 符合性测试的性质,即执行测试将使用什么样的审计程序。,(1)检查交易和事项的凭证;,(2)询问并实地观察未留下审计轨迹的内部控制的运行情况,(3)重新执行相关内部控制程序。,以上程序可单独适用,也可合并使用,没有一项总是有用或一直有效。,31,第三节 内部控制测试,四符合性测试范围,(1),理论上,,范围越大,证据越充分。,(2),实务中,,范围并不是越大越好,而是要求注册会计师从最经济有效地实现审计目标的总体需要出发,合理地确定测试范围。,(3)范围直接受注册会计师计划控制风险估计水平的影响。计划控制风险估计水平低时比中等时需要更多的符合性测试证据。,32,第三节 内部控制测试,四符合性测试范围,(4)还应考虑所使用的以前年度审计获得的有关控制有效性的证据的恰当性:, 这些证据所涉及的认定的重要性;, 以前年度审计中所评价的特定内部控制;, 所评价的政策和程序被适当设计和有效执行的程度;, 用来作这些评价的符合性测试的结果。,(5)使用以前年度证据的考虑:, 执行符合性测试的时间间隔的长短, 内控设计或执行有无重大变化。,33,第三节 内部控制测试,四符合性测试范围,(6)可不进行符合性测试的情况:(重点), 相关内部控制不存在;, 相关内部控制虽然存在,但通过了解,发现其并未有效运行;, 符合性测试的工作量可能大于进行符合性测试所减少的实质性测试的工作量。,34,第三节 内部控制测试,五符合性测试的时间(了解),追加的或计划的符合性测试通常是在期中工作中执行,并且很可能在审计年度结束前的几个月里进行。,从审计有效性的角度看来,符合性测试应尽可能安排在期中的后期执行。,35,第三节 内部控制测试,六符合性测试中利用内部审计人员的工作(了解),评价内审人员工作的质量和有效性,注册会计师需弄清:,(1)工作范围对实现特定目标是否适当;,(2)审计方案是否适当;,(3)工作底稿是否充分记录了所执行的工作,包括监督和复核的证据;,(4)对有关的结论是否适当;,(5)审计报告与所执行的工作是否一致。,36,第三节 内部控制测试,七双重目的测试,在绝大多数的会计报表审计中,额外的符合性测试主要在期中工作期间执行,而实质性测试则主要在期末工作时执行。但是,也允许在期中工作时,执行有关交易的某些详细实质性测试,以检查出报表中的重要错报或漏报。这时,注册会计师可同时针对相同的交易执行符合性测试。,37,第四节 内部控制评价,一.控制风险评价的概念,(1)评价基础,与某认定相关的各内部控制要素里的控制政策和程序,(2)为认定而进行的,而不是为了个别内部控制要素或个别政策和程序而进行的。,(3)实际上是注册会计师对每一内部控制要素里的相关控制政策和程序的有效性,同某项认定里存在重要错报或漏报的风险之间的相互作用情况进行判断的过程。,38,第四节 内部控制评价,二.控制风险评价的过程,1、审计风险被评价为高水平的事项,如果很多认定或者所有的认定的控制风险,都被评价为高水平,注册会计师就要研究是否应进一步对被审计单位的会计报表进行审计。,评价为高水平的确认事项:,控制政策和程序与认定不相关;,控制政策和程序无效;,取得证据来评价控制政策和程序显得不经济。,2、审计风险被评价为低水平的事项,控制政策和程序与认定相关;,通过符合性测试已获得证据证明控制有效。,39,第四节 内部控制评价,二.控制风险评价的过程,3、审计风险评价步骤:,确定该项认定可能发生哪些潜在的错报或漏报;,确定哪些控制可以防止或者发现和更正这些错报或漏报;,执行符合性测试,获取这些控制是否设计适当和有效执行的证据;(如果控制风险为高水平,此步骤不需要),评价所获得的证据;,评价该项认定的控制风险。,40,第四节 内部控制评价,二.控制风险评价的过程,4、注册会计师评价控制风险的注意事项:,必须以通过了解内部控制制度和执行符合性测试所获得的证据,作为评价的证据;,充分运用专业判断;,必须注意到内部控制的五个要素对某项认定的相互影响。,5、评价控制风险的时间:,可以在取得对内控了解和符合性测试后,立即评价控制风险。,41,第四节 内部控制评价,二.控制风险评价的过程,6、控制风险的评价的目的,是为了确定完成审计工作所需执行的实质性测试的性质、时间和范围。,7、 对控制风险再评价的记录,基本要求与记录同初步评价相同。,42,第四节 内部控制评价,二.控制风险评价的过程,8、 评价结果对实质性测试的影响,(1)只有通过控制检查风险,才能降低审计风险至可接受水平。,(2)要控制检查风险降至可接受水平,只有增强实质性测试的有效性。,(3)内控目标与审计目标相关联,无效的内控必然导致增加实质性测试的工作量。,(4)不论固有风险和控制风险的评估结果,均要进行实质性测试。,(5),小规模企业,的内控较薄弱,固有风险和控制风险较高,应主要或全部依赖实质性测试程序获取审计证据。,43,第五节 管理建议书,一、管理建议书的含义,(1)概念,指注册会计师针对审计过程中注意到的、可能导致被审计单位会计报表产生重大错报或漏报的内部控制重大缺陷提出的书面建议。,(2)注册会计师对审计过程中注意到的内控重大缺陷,应当告知被审计单位管理当局,必要时,可出具管理建议书;一般问题,可以口头或其他适当方式向被审计单位有关人员提出。,44,第五节 管理建议书,一、管理建议书的含义,(3)管理建议书提及的内部控制重大缺陷,仅为注册会计师在审计过程中注意到的,并非内部控制可能存在的全部缺陷。,(4)管理建议书不应被视为注册会计师对被审计单位内部控制整体发表的意见,也不能减轻或免除被审计单位管理当局建立健全内部控制的责任,所提建议不具有强制性和公证性。,(5)注册会计师出具管理建议书,不应影响其应当发表的审计意见。,(6)除有特别规定外,注册会计师在征得被审计单位管理当局同意之前,不得将管理建议书的内容泄露给任何第三者。,45,第五节 管理建议书,二、管理建议书的内容,(1)标题:管理建议书,(2)收件人:被审计单位管理当局,(3)会计报表审计目的及管理建议书的性质,管理建议书不应被视为对内部控制发表的鉴证意见,所提建议不具有强制性和公证性。,(4)内部控制重大缺陷及其影响程度和改进建议,(5)使用范围及使用责任,(6)签章,(7)日期,46,
展开阅读全文