第五章 内部控制及测试.ppt

,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第五章 内部控制及测试,内部控制概述 一般了解,内部控制调查 熟练掌握,内部控制测试 熟练掌握,内部控制评价 熟练掌握,管理建议书 一般了解,第一节内部控制概述,一、内部控制思想的演进,（,1,）,内部牵制,（时间：,1940,年前）：,1929,年，美国,AICPA,第一次将内部控制与审计程序联系起来，但此时的内部控制称之为内部牵制。,1936,年，,AICPA,指出：注册会计师在制定审计程序时，应考虑的一个重要的因素是审查企业的内部牵制和控制，企业的会计制度和内部控制约好，财务报表需测试的范围越小。,内容：实物牵制、物理牵制、分权牵制、簿记牵制,（,2,）,内部控制,（时间：,1940,1970,年）：,1948,年，美国审计程序委员会对内部控制的研究报告中指出,：内部控制包括组织的计划和企业为保护资产，检查会计数据的准确性和可靠性，提高经营效率，以及促进遵循既定的管理方针等所采用的所有方法和措施。,内容：会计控制、管理控制（,1958,年、,1963,年美国审计程序委员会）,1972,年，,AICPA,对内部控制制度的定义做了修订，尽管仍把内部控制制度分为内部会计控制制度和内部管理控制制度，但把原先数以会计控制制度的批准制度，划归管理控制制度，以交易流程作为内部控制制度的主要对象，认为内部控制制度的目标是受托责任。,二、内部控制概念的发展,（一）审计准则要求,1988,年，美国审计准则委员会对内部控制的定义有了较大幅度的改变，不再用内部控制的目标来定义内部控制。同时，内部控制结构不再区分会计控制与管理控制。,内部控制结构包括：,控制环境、会计控制、控制程序,。,1.,控制环境,控制环境代表不同因素的综合影响，它反映了董事会、管理层、所有者及其他员工认为内部控制是否重要的整体态度、认识和行动。,这些因素包括：管理层的管理哲学及经营作风；企业主体的组织结构；董事会及所属委员会的功能，特别是审计委员会的功能；授权的方法与责任；管理层对业绩监控与检查的方式，包括内部审计；人力资源政策与实务；各种影戏那个组织业务的外部因素。,2.,会计制度,会计制度包括确认、归集、分析、记录和报告一个组织交易的明确相关受托责任的方法与记录。,3.,控制程序,控制程序是指除控制环境及会计制度以外，由管理阶层制定，可合理保证其目标达成的政策与程序。,控制程序一般包括：经济业务和活动的适当授权；明确人员的职责分工；恰当的凭证与记录；接近与使用资产及记录的适当保护；已记录经济业务的独立检查与验证。,（二）,COSO,报告,1992,年，美国,COSO,委员会对内部控制提出了新的定义：内部控制被广义地定义为一个过程，它受到一个实体（主体）的董事会、管理部门和其他员工的影响，它被实施以提供有关目标实现的合理保证。这些目标包括：,经营的效率与效果,；,财务报告的可靠性,；,相关法律与规定的遵循,。,1996,年美国,AICPA,采用了,COSO,所定义的内部控制概念，将内部控制结构的要素改为内部控制要素：,控制环境、风险评估、控制活动、信息与沟通、监控,。,（,1,）,控制环境,是指构成一个单位的氛围，影响单位内部人员控制的自觉性，是内部控制其他成分的基础。,（,2,）,风险评估,是指单位为实现其目标而确认的分析相关风险，以构成进行风险管理的基础。,（,3,）,控制活动,是指对所确认的风险采取的必要措施，以保证单位目标实现的政策与程序。,（,4,）,信息与沟通,是指与财务报告目标相关的信息系统方法与记录。,（,5,）,监控,是指评价内部控制实施质量的过程，即对内部控制建立健全、有效运行及持续改进活动的评价。,三、我国审计准则对内部控制的定义,2006,年我国对内部控制的内涵和要素重新进行了定义，采用了,COSO,发布的内部控制框架，同样包括,5,种要素：,（,1,）,控制环境,包括治理职能和管理职能，以及治理职能和管理职能对内部控制其重要性的态度、认识和措施。,（,2,）,风险评估,包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。,（,3,）,控制活动,是指有助于确保管理层的指令得以执行的程序和政策。,（,4,）,信息系统与沟通,是指与财务报告目标相关的信息系统方法与记录。,（,5,）,监控,是指被审计单位评价内部控制在一段时间内运行有效的过程。,第二节 内部控制的了解与描述,一、了解内部控制的要素,1.,定义：为确定内部控制的设计和运行是否有效而执行的审计程序。,2.,测试内容：,（,1,）设计情况：是否科学、合理,（,2,）执行情况：如何执行,是否一贯执行,由谁执行,注意,：设计不当，就不需要再考虑控制是否得到执行。,（一）在整体层面对内部控制了解和评估,1,、控制环境的了解,在确定构成控制环境的要素是否得到执行时，注册会计师应当考虑将询问和其他风险评估程序结合起来以获取有关证据。,通过询问管理层和员工，注册会计师可以了解管理层如何就业务程序和道德价值观念与员工进行沟通；,通过观察和检查，注册会计师可以了解管理层是否建立了正式的行为守则，并在日常工作中严格遵守这些行为规则，以及管理层如何处理违反行为守则的情形。,2.,对控制的监督,被审计单位可以使用,内部审计人员,或具有类似职能的人员对内部控制的设计和执行进行专门的评价，以找出内部控制的优点和不足，并提出改进建议；也可以利用与,外部有关方面,沟通或交流所获取的信息监督相关的控制活动。,注册会计师应当了解与被审计单位监督活动相关的信息来源，以及管理层认为信息具有可靠性的依据。,注意！,3,、风险评估过程的设计与执行,风险评估过程是企业识别与财务报告相关的经营风险，以及针对这些风险采取的措施。,对识别出的经营风险，注册会计师应当,询问,管理层，并考虑这些风险是否可能导致重大错报风险。此外还可以,检查,有关文件，以确定被审计单位的风险评估过程是否也发生了该风险。,4,、信息和沟通,(1),注册会计师应从下列方面了解与财务报告相关的,信息系统,：,在被审计单位经营过程中，对财务报表具有重大影响的各类交易；,在信息技术和人工系统中，交易生成、记录、处理和报告的程序；,与交易生成、记录、处理和报告有关的会计记录；,信息系统如何获取除各类交易之外的对财务报表有重大影响的事项和情况的信息；,被审计单位编制财务报告的过程。,（,2,）与财务报告相关,沟通,的了解,注册会计师应当了解被审计单位内部如何对财务报告的岗位职责，以及与财务报告相关的重大事项进行沟通。,注册会计师还应当了解管理层与治理层之间的沟通，以及被审计单位与外部的沟通。,5,、控制活动的了解,注册会计师应当了解的控制活动包括：,与授权有关的控制活动；,与业绩评价有关的控制活动；,与信息处理有关的内部控制；,实物控制情况；,职责分离情况。,（二）在业务层面了解和评价内部控制,在业务层面了解和评价内部控制包括步骤：,确定被审计单位的和重要业务流程和重要交易类别；,了解重要交易流程，并记录获得的了解；,确定可能发生错报的环节；,识别和了解相关控制；,执行穿行测试，证实对交易流程和相关控制的了解；,进行初步评价和风险评估。,二、记录对内部控制的了解,（一）内部控制调查法（问卷法）,是通过规范调查取得答卷，借以了解被审计单位内部控制的强弱情况的方法。所取得的答卷就直接作为,CPA,的记录。,内部控制问卷现金,是,否,不适用,1.,是否所有银行账户均迅速予以调节,2.,银行存款余额调节表是否由与现金收支以及支票签发无关的会计部门或内部稽核部门人员负责编制,3.,下列资料是否行银行取得,（,1,）银行对账单,（,2,）已付款支票,4.,以上资料是否由编制银行存款余额调节表的人员直接从银行取得,调查表的填写：,A.,直接由企业有关人员填写,B.CPA,调查后自行填写,调查表的优点：,.,统一，规范，美观，省时。,调查表的缺陷：控制程序是,CPA,事先给出的，而,CPA,只能罗列通用控制程序，企业人员只能在被选答案中选择，易遗漏企业自已的独创或特殊控制程序。,A,A,B,矩形：,CPA,的设定,三角形：企业的实际,调查表缺陷的修正：在问卷中，设立空白，允许有关人员填列未给出的内部控制程序。,（二）文字叙述,以备忘录的形式记录,CPA,了解到的企业内部控制及其运行情况。一般按照不同的经营业务环节分别记录。,优点：灵活，与企业实际状况吻合，内容深入具体，适用全部企业类型。,缺点：费时，内容繁多，语言难以简明易懂。,适用于：内部控制相对简单，易于描述的。,（三）检核表法：,CPA,事先确定一系列内部控制，请被审计单位主管审核。,内部控制检核表销售环节,答案,销货,是,1.,销货在接受前是否经授权部门核准,否,2.,授权职能是否与其它职能完全分开,是,3.,发货通知单的品名、数量是否与客户订单核对,4.,销货发票,是,（,1,）是否每笔销售均开立发票,受查公司单位名称：检核时间：答题人：,和问卷的差别不大，只是检核表由管理当局完成，其优点、缺点及修正均同于问卷法。,（四）流程图,是用符号和图形来表示被审计单位经济业务和文件凭证在组织机构内部有序流动的图表。,流程图的优点：直观，内容详细，符合实际,流程图的缺点：制作费时，技术要求高,实际工作中,，由于内部控制调查及记录是按照业务循环分别进行的，我们在不同的循环中可以分别运用这四种方法进行记录,第三节 内部控制测试,1,、评价标准,健全性：应设立内部控制的环节均已设立内部控制,合理性：在各个环节的控制力度适当,由此产生：,A.,内部控制强点：设置了有力控制的关键环节,B.,内部控制弱点：无内部控制或内部控制力度不足的关键环节,注意：,是从设计而非运行角度加以评价,2,、评价的结论：,高风险：,A.,内部控制失效,B.,难以对内部控制的有效性做出判断,C.,不准备进行符合性测试,低风险：,评价应从对控制环境的考虑开始,3,、对初步评价的记录,评估为高风险：只需记录这一结论,评估为低风险：记录这一结论，,同时,记录得出这一结论的依据,原因：,审计风险固有风险,控制风险,检查风险,审计人员有低估控制风险的倾向,低估控制风险会降低审计质量,4.,测试对象,一组内部控制,测试的目的是确定控制风险，进而确定检查风险，但检查总是按个别项目来进行的，因此确定的检查风险应是某项目的可接受检查风险，相应地，控制风险也应是某项目的控制风险，而某项目不可能只受到单项控制程序的控制，而是一组控制程序的共同作用的结果。,5.,测试范围：,企业的内部控制很多，测试多少？,（,1,）效果：越多越好,（,2,）成本：适当即可,确定依据：计划控制风险水平,6.,具体方法：,（,1,）追踪法：检查会计及其它资料上反映内部控制执行的记录（标示）。,（,2,）实验法：由,CPA,亲自执行有关内部控制程序，看控制效果和被执行人的反应。,（,3,）观察法：实地察看企业的业务过程，确定内部控制有无被实际执行及执行效果。,7.,不执行符合性测试的条件,符合性测试在审计实务中可以不进行，但必须符合下列条件：,（,1,）相关内部控制不存在：没有测试对象，测试自然无从进行,（,2,）在了解其存在时，就已经发现其未被有效执行：实际上执行了同步符合性测试,（,3,）成本效益原则：,连接,第四节 管理建议书,一、管理建议书的含义,是指,CPA,针对审计过程中注意到的，可能导致被审计单位会计报表产生重大错报或漏报的内部控制重大缺陷提出的书面建议。,只针对重大问题：其它问题可以以口头方式或其它适当方式向被审计单位有关人员提出,这些重大问题只是审计过程中注意到的：并不表示除此之外再无重大问题，因为,CPA,受托的是会计报表审计而不是内部控制审计，在会计报表审计中，,CPA,只了解、关注、测试那些准备信赖的内部控制，而不是对内部控制整体或全部进行审查。所以，只是,CPA,知道的重大缺陷,二、管理建议书的特征,不是会计报表审计的法定义务，由,CPA,自愿提供,不是对内部控制发表的鉴定意见,其建议不具有强制性和公正性,三、管理建议书的要求,除了管理建议书，,CPA,应将在审计过程中注意到的内部控制缺陷，以及就内部控制缺陷与被审计单位进行的沟通，记录于审计工作底稿。,未经被审计单位许可，,CPA,不得管理建议书的内容泄漏给任何第三者。,四、管理建议书的基本内容,标题：按照,独立审计实务公告管理建议书,的规定，标题统一规范为“管理建议书”,收件人：被审计单位管理当局（原因：内部控制是由管理当局负责实施的）,会计报表审计的目的和管理建议书的性质：,（,1,）,不是对内部控制发表的鉴定意见,（,2,）其建议不具有强制性和公正性,内部控制重大缺陷及其影响和改进意见：包括前期已经建议改进但本期仍然存在的重大缺陷。如果有多个缺陷，应按其对会计报表的影响程度顺序排列，先大后小,使用范围及使用责任：,（,1,）范围：供管理当局内部参考,（,2,）责任：后果自负,签章：,CPA,签字，事务所盖章,日期：通常与审计报告的日期相同。,