内部控制及其评审

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第五章 内部控制及其评审,【本章要点提示】,明确内部控制的含义、内容及其与审计 的关系；,掌握内部控制整体框架的内容,掌握内部控制的评审内容、步骤及其方法,掌握管理建议的概念、结构和内容,第一节 内部控制的意义和原则,一、内部控制的意义,（一）内部控制的定义,内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循，由治理层、管理层和其他人员设计和执行的政策和程序。,（二）内部控制的目标,1、保证业务活动按照适当的授权进行；,2、保证所有交易和事项以正确的金额在恰当的会计期间及时记录于适当的账户，使会计报表的编制符合会计准则的相关要求。,3、保证对资产和记录的接触、处理均经过适当的授权。,4、保证账面资产与实存资产定期核对相符。,（三）内部控制的作用与局限性,1.内部控制的作用,内部控制的作用，是指内部控制的固有功能在实际工作中对企业生产经营活动及外部社会经济活动所产生的影响和效果。内部控制的健全、实施与否，是企业经营成败的关键。,具体讲，内部控制的作用主要有以下几个方面：,（1）合理保证财务报告的可靠性,（2）合理保证企业经营效率和效果,（3）合理保证企业对法律法规的遵循,（4）为现代审计方法提供必要的基础,（5）有效的防范企业经营风。,2.内部控制的局限性,（1）在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效；,（2）可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被回避；内部控制一般仅针对常规业务活动而设计。,（四）内部控制与现代审计的关系,内部控制既是被审计单位对其经济活动进行组织、制约、考核和调节的重要工具，也是审计人员用以确定审计程序的重要依据。在确定内部控制与审计的关系时，应明确以下几点：,1.审计人员在执行会计报表审计业务时，不论被审计单位规模大小，都应当对相关的内部控制进行充分的了解,。,2.审计人员应根据其对被审计单位内部控制的了解，确定是否进行内部控制测试以及将要执行的控制测试的性质、时间和范围。,3.对被审计单位内部控制的了解和控制测试，并非会计报表审计工作的全部内容。内部控制良好的单位，审计人员可能评估其控制风险较低而减少实质性测试程序，但不能完全取消实质性测试。,二、内部控制的设计原则,1.相互牵制原则。,2.协调配合原则。,3.程式定位原则。,4.成本效益原则。,第二节 内部控制整体框架的内容,一、内部控制的组成,（一）内部控制思想的历史演进,内部控制理论的发展大致可以划分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架等不同阶段。,（二）内部控制整体框架,COSO报告指出：内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体框架主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。,1控制环境,控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。,在评价控制环境的设计时，注册会计师应考虑下列要素：,（1）对诚信和道德价值观念的沟通与落实；,（2）对胜任能力的重视；,（3）治理层的参与程度；,（4）管理层的理念和经营风格,（5）组织结构,（6）职权与责任的分配,（7）人力资源政策与实务,2、风险评估过程,风险评估是对于经营相关的风险进行预见、识别的过程。该过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。,在评价被审计单位风险评估过程的设计和执行时，注册会计师应当确定管理层如何识别与财务报告相关的经营风险，如何估计该风险的重要性，如何评估风险发生的可能性，如何采取措施管理这些风险。,3、信息系统与沟通,4、控制活动,控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括授权、业绩评价、信息处理、实物控制和职责分离等相关活动。,注册会计师应当了解的控制活动主要包括：,（1）了解与授权有关的控制活动。,（2）了解与业绩评价有关的控制活动。,（3）了解与信息处理有关的控制活动。包括信息技术一般控制和应用控制。,（4）了解实体控制。,（5）了解职责分离。,5、对控制的监督,对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程。该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。,以上五个要素实际内容广泛、相互关联。控制环境是其他控制要素的基础，控制环境不理想，企业的内部控制就不可能有效；在规划控制活动时必须对企业可能面临的风险有全面的了解；控制活动、控制政策和程序必须在组织内部有效地沟通；内部控制的设计和执行必须受到有效的监控。,二、内部控制的内容,设计内部控制，可以根据企业特征和需求（如企业规模、业务构成、管理水平等），对内部控制要素加以有机组合。我国企业目前内部控制的基本内容可从以下几方面来考察,：,（一）合规、合法性控制,（二）组织规划控制,主要包括两个方面：,1不相容职务的分离。,2组织机构的相互控制。,（三）授权批准控制,（四）预算及目标计划控制,（五）信息质量控制,（六）财产安全控制,（七）人员素质控制,（八）内部审计控制,常用的措施和方法有：,1限制接近。,2定期盘点。,3记录保护。,4财产保险。,5财产记录监控。,第三节 内部控制的评审,内部控制评审又称内部控制审计。是指在对企业内部控制了解和描述的基础上所进行的测试、检查、分析、判断和评价活动。其最终目的是确定被审计单位内部控制的健全性、有效性和风险水平，从而决定对它的依赖(信赖)程度，确定采用抽样还是详查，以及抽取样本的规模和数量。,一、了解内部控制,了解和掌握被审计单位的内部控制是审计人员检查内部控制的首要步骤。主要包括以下几个方面内容：,（一）询问被审计单位的有关人员，并检查相关 内部控制文件,（二）检查内部控制生成的凭证和记录,（三）观察被审计单位的业务活动和内部控制的运行状,（四）选择若干具有代表性的交易和事项进行穿行测试,二、记录对内部控制了解的情况,常用的内部控制的记录和描述方法通常有文字叙述、调查表和流程图三种。,1文字叙述,文字叙述法可以对调查对象做出比较深入和具体的描述，内容比较灵活，对任何单位、任何业务都可以使用。缺点是采用文字叙述法进行描述时，有时很难用简明易懂的语言来描述内部控制系统的细节，文字叙述较为冗长。对业务处理流程及其控制的反映不够直观，不利于审计人员对内部控制进行分析评价。因此，适用于内部控制程序比较简单、比较容易描述的中小型企业。,2调查问卷,调查问卷法的优点是调查范围明确、问题突出、简便易行、省时省力、直观性强；缺点是对被审计单位的内部控制只能按所提问题分别考察，无法反内部控制实际情况和存在问题的轻重；难于对,见表5-1,存货业务内部控制调查表 索引号：,被审计单位名称：调查人员：日期：,所属时期：复核人员：日期：,目标与问题,回答,不适用,是,否,取得方式,备注,1 大宗的存货采购是否签订存货合同，又无审批制度,目标与问题,回答,不适用,是,否,取得方式,备注,2 存活的入库是否严格履行验收手续，对存货的名称、规格、数量、质量等是否逐项核对，并及时入帐,3 存货的发出手续是否按规定办理，是否及时登记仓库账并与会计记录定期核对,目标与问题,回答,不适用,是,否,取得方式,备注,4 存货的采购、验收、保管、运输、付款等职责是否严格分离,5 存货的分检、存放、仓储条件等是否良好,6 是否建立定期盘点制度，发生的盘盈、盘亏、毁损等是否及时按规定审批处理,目标与问题,回答,不适用,是,否,取得方式,备注,7 主营业务成本的计价方法是否符合财务会计的规定，有无发生重大变更,3流程图,流程图的优点是能够清楚地反映各项业务活动的职责分工、授权批准、复核验证等控制措施和功能，形象直观并把文字叙述减少到最低限度，可以使审计人员全面了解内部控制的运行状况，有助于发现内部控制的不足。缺点是编制流程图需要一定的技术和花费较多的时间，而且，内部控制某些弱点有时很难在流程图中明确地表达出来。,三、内部控制的测试,（一）内部控制测试的内容,控制测试的内容包括：内部控制设计的测试和内部控制执行的测试两个方面。,1内部控制设计的测试,主要是针对内部控制系统健全性、合理性的测试。目的在于判断被审计单位的控制政策和程序设置的是否合理、适当、是否能够防止、发现和纠正特定会计报表认定的重大错报或漏报。,2内部控制执行的测试,内部控制执行的测试，主要是针对内部控制执行有效性的测试。目的在于判断被审计单位的控制政策和程序是否实际发挥作用。,在审计工作中，出现下列情况之一时，审计人员不进行控制测试，直接实施实质性测试程序：（1）相关内部控制部不存在；,（2）相关内部控制虽然存在，但未有效运行；（3）控制测试的工作量可能大于测试减少的实质性测试的工作量。,(二)控制测试的方法,对被审计单位的内部控制进行测试，一般使用统计抽样法，对抽出的样本进行审核时，常用的方法有如下三种方法：,1检查证据法。,2验证法。,3实地观察法。,（三）控制测试的种类,1同步控制测试。同步控制测试是审计人员取得对内部控制的了解时，同时执行的测试。这种控制测试不是必需的，而是审计人员有选择地执行的。,2追加控制测试。这种测试在外勤工作中执行。执行追加控制测试是为了进一步降低审计人员对控制风险的评估水平。,3计划控制测试。这种测试也在外勤工作中执行。在选用较低的控制风险估计水平法下必须执行这种测试。执行的目的是为了支持审计人员计划的实质性测试水平。,（四）控制测试的范围,在审计实务中，审计人员执行控制测试的范围并不是越大越好，而是要求审计人员从最经济有效地实现审计目标的总体要求出发，合理地确定测试的范围。,（五）控制测试的时间,从审计有效性的角度来看，控制测试应尽可能安排在期中的后期执行。,如期中审计已进行控制测试，审计人员在决定完全信赖其结果前，应考虑以下因素：,1.以进一步获取期中至期末的相关审计证据,2.期中审计控制测试的结论,3.期中审计后剩余时间的长短,4.期中审计后内部控制的变动情况,5.期中审计后发生的交易和事项的性质和及金额,6.拟实施的实质性测试程序,四、控制风险评估,（一）控制风险评估的概念,控制风险评估是指评估企业内部控制在防止或者发现和更正会计报表里的重大错报有效程度的过程。即对内部控制的可信赖度做出评价。,（二）控制风险评估水平的确定,审计人员只有在确认以下事项的情况下，才能将控制风险评价为高水平：,1控制测试和程序与认定不相关；,2控制政策和程序无效；,3取得证据来评价控制政策和程序显得不经济。,审计人员只有在确认以下事项的情况下，才能将控制风评价为低水平：,1控制政策和程序与认定相关；,2通过控制测试已获得证据证明测试有效。,（三）控制风险评估结果对实质性测试的影响,1.,如果控制风险评估太低，将使审计人员可能没有执行足够的实质性测试，进而导致审计无效;,2.如果控制风险评估太高，审计人员将执行比所需要的还要多的实质性测试，致使审计测试不经济、无效率。,中国内部审计协会,第四节 管理建议书,一、管理建议书的意义,管理建议书是指注册会计师在完成审计工作后，针对审计过程中注意到的、可能导致被审计单位会计报表产生重大错报的内部控制重大缺陷提出的书面建议。提交管理建议书是注册会计师的职业责任，是对被审计单位提供的最有价值的服务之一。,二、管理建议书的结构和内容,(一)其基本结构和内容包括,：,1.标题。,2.收件人。,3.会计报表的审计目的及管理建议书的性质。,4.前期建议改进但仍未改进的内部控制重大缺陷。,5.本期审计发现的内部控制重大缺陷及其影响和改进建议。,6.适用范围及使用责任。,7.签章。,8.日期。,（二）管理建议书的结构内容举例说明如下：,管理建议书,宏达有限公司管理部门：,我们已对贵公司2004年度的会计报表进行了审计。在审计中，根据规定的工作程序，我们了解了贵公司内部控制中有关