1、第二部分第二部分 内部控制内部控制第六章第六章 评价内部控制评价内部控制第第404条款评估条款评估主要内容:主要内容:6.1萨奥法案萨奥法案404条款条款6.2 404条款下的条款下的控制目标和风险控制目标和风险6.3我国内部控制制度的评价我国内部控制制度的评价补充:企业内部控制应用指引补充:企业内部控制应用指引 企业内部控制审计指引企业内部控制审计指引6.4财务报表审计中内部控制的财务报表审计中内部控制的评价评价6.5 6.5 PCAOBPCAOB框架框架第第1节萨班斯节萨班斯奥克斯利法案第奥克斯利法案第404条款条款 SOA404条款:管理层对内部控制的评价条款:管理层对内部控制的评价 S
2、OA404条款要求在条款要求在SEC备案的公司要有一份内部控制年备案的公司要有一份内部控制年度报告,以作为向度报告,以作为向SEC提交的财务报告的组成部分。提交的财务报告的组成部分。提交的内部控制报告要求:提交的内部控制报告要求:1.陈述管理层为财务报告制定和保持适当的内部控制结构陈述管理层为财务报告制定和保持适当的内部控制结构和规程的责任;和规程的责任;2.保留财务报告编制者对于内部控制结构和规程在最近会保留财务报告编制者对于内部控制结构和规程在最近会计年度末是否有效的评估报告。计年度末是否有效的评估报告。SOA要求公司管理层要报告其内部控制报告,公共会计师要求公司管理层要报告其内部控制报告
3、,公共会计师事务所要证明这些内部控制报告。事务所要证明这些内部控制报告。6.1萨班斯萨班斯奥克斯利法案第奥克斯利法案第404条款条款v一、启动一、启动404条款遵循性评审:确认关键流程条款遵循性评审:确认关键流程v二、启动二、启动404条款遵循性评审:内部审计的角色条款遵循性评审:内部审计的角色v1.主导作用,确认关键流程、记录内部控制,并对这些控制主导作用,确认关键流程、记录内部控制,并对这些控制开展适当的测试。开展适当的测试。v2.充当外部审计师的支持资源;充当外部审计师的支持资源;v3.开展项目审计。开展项目审计。v三、启动三、启动404条款遵循性评审:组织评审项目条款遵循性评审:组织评
4、审项目v404条款遵循性审核过程:条款遵循性审核过程:v1.组织组织404条款遵循性项目方法条款遵循性项目方法v2.制定项目计划制定项目计划v项目计划要注重于涵盖组织所有业务部门的主要营运领域。项目计划要注重于涵盖组织所有业务部门的主要营运领域。v遵循性评审项目的工作步骤:见教材遵循性评审项目的工作步骤:见教材P115表表6.1v3.选择和评审的关键流程选择和评审的关键流程v选择的依据:对组织产生重大损失或费用、资产规模、对选择的依据:对组织产生重大损失或费用、资产规模、对财务资源的中要程度等财务资源的中要程度等v流程评审的选择方针:流程评审的选择方针:v教材教材P116表表6.2针对针对40
5、4条款内部控制评审的计划考虑事项条款内部控制评审的计划考虑事项v教材教材P116表表6.3流程评审选择指南流程评审选择指南6.1 SOA404条款条款v4.记录选定的流程交易流记录选定的流程交易流v要用文本记录关键交易流和控制点,要有详细的流程描述。要用文本记录关键交易流和控制点,要有详细的流程描述。v5.确认、记录和测试关键的内部控制。确认、记录和测试关键的内部控制。v6、评估选定流程风险。、评估选定流程风险。v7.运用恰当的测试程序来评估控制效果。运用恰当的测试程序来评估控制效果。v8.同关键的利益相关者一道来审核遵循性结果。同关键的利益相关者一道来审核遵循性结果。v9.完成内部控制结构有
6、效性的报告。完成内部控制结构有效性的报告。6.1 SOA404条款条款一、制定内部控制矩阵一、制定内部控制矩阵表表6.6(教材(教材p125-126)控制矩阵范例)控制矩阵范例主要内容:主要内容:归纳控制点归纳控制点相关风险相应的认定相关风险相应的认定控制类型控制类型控制重要程度(高、中等)控制重要程度(高、中等)第第2节节 404条款下的控制目标和控制风险条款下的控制目标和控制风险手工控制手工控制应用程序控制应用程序控制预防性控制预防性控制检查性控制检查性控制v二、测试二、测试404条款内部控制条款内部控制v(内部控制测试具体方法在第(内部控制测试具体方法在第16章中讨论)章中讨论)第第2节
7、节 404条款下的控制目标和控制风险条款下的控制目标和控制风险第三节我国内部控制制度的评价v我国内部控制规范.pdf第二部分例1 收入授信管理 v风险和暴露风险和暴露v授予不恰当授予不恰当(比如,太松或太紧比如,太松或太紧)的贷款。的贷款。v给虚构的借款人贷款。给虚构的借款人贷款。v未经授权装运货物未经授权装运货物授信管理的审计目标授信管理的审计目标确定授信管理职能是否得到恰当管理。确定授信管理职能是否得到恰当管理。确定授信控制是否在运用上存在不一致的地方,从而阻止确定授信控制是否在运用上存在不一致的地方,从而阻止了向信誉良好的客户开展的有效销售。了向信誉良好的客户开展的有效销售。例1 收入授
8、信管理v控制或控制程序控制或控制程序v客户背景证实,财务报表分析,授信职能和销售职能要职务客户背景证实,财务报表分析,授信职能和销售职能要职务分离分离(PC)。v批准抵押物担保批准抵押物担保(PC)。v测试样本贷款文件是否适当、完整测试样本贷款文件是否适当、完整(DC)。v未经授权装运货物。未经授权装运货物。v授信、开单和装运职能要职务分离授信、开单和装运职能要职务分离(PC)。例1 收入授信管理v授信管理的审计程序授信管理的审计程序v在制定授信额度之前要保证对所有新客户进行一次全面的调查。在制定授信额度之前要保证对所有新客户进行一次全面的调查。核实根据每个客户的所适用的财务和经营背景信息建立
9、的信用文核实根据每个客户的所适用的财务和经营背景信息建立的信用文件。核实所有客户的授信额度是持续地得到检查、更新和使用的。件。核实所有客户的授信额度是持续地得到检查、更新和使用的。v在接受客户销售订单前,确保订单经过授信部门的审核批准。单在接受客户销售订单前,确保订单经过授信部门的审核批准。单个客户的要求超出授信额度时,要经过更高一级授权管理人员的个客户的要求超出授信额度时,要经过更高一级授权管理人员的审核。以下这个属性抽样的例子将确定授信部门是否在需要时对审核。以下这个属性抽样的例子将确定授信部门是否在需要时对赊销要求进行信用调查。赊销要求进行信用调查。v一个可能的情况是:单个销售人员可以批
10、准授信并可以获取和发一个可能的情况是:单个销售人员可以批准授信并可以获取和发送产品,以使销售增加。此后,应收账款的坏账也随之增加。一送产品,以使销售增加。此后,应收账款的坏账也随之增加。一个适当的矫正方法是对授信进行独立审核和批准。个适当的矫正方法是对授信进行独立审核和批准。v选出具有代表性的销售订单和相应的发票,然后确定:选出具有代表性的销售订单和相应的发票,然后确定:(1)授信授信扩大的条件和数额是否在授权的限度内;扩大的条件和数额是否在授权的限度内;(2)当授信额度和或当授信额度和或条件超出应有范围时,在接受订单之前要经过合理的授信审批。条件超出应有范围时,在接受订单之前要经过合理的授信
11、审批。v将那些收到的授信历史记录同拒绝的授信历史记录进行比较,评将那些收到的授信历史记录同拒绝的授信历史记录进行比较,评价控制的适当性。价控制的适当性。例2 证券现金管理v风险和暴露风险和暴露v从事并隐瞒未经批准的支付。从事并隐瞒未经批准的支付。v电子现金转账系统中存在舞弊。电子现金转账系统中存在舞弊。v空白支票的遗失或失窃。空白支票的遗失或失窃。现金管理的审计目标现金管理的审计目标确定现金收入是否安全保管,并及时存到指定银行账户。确定现金收入是否安全保管,并及时存到指定银行账户。确定现金收入的实物安全控制、管理控制和系统控制是否确定现金收入的实物安全控制、管理控制和系统控制是否适当和恰当。适
12、当和恰当。确定现金支付是否按照管理层特定指令,只向经过授权的确定现金支付是否按照管理层特定指令,只向经过授权的接收者支付。接收者支付。确定零用现金支出和退还活动的控制是否适当。确定零用现金支出和退还活动的控制是否适当。例2 证券现金管理v控制或控制程序控制或控制程序v分离开立支票和银行往来对账职能的职责分离开立支票和银行往来对账职能的职责(PC,DC)。v双重控制,系统存取控制,系统回复和转账请求确认双重控制,系统存取控制,系统回复和转账请求确认(PC,DC)。v建立空白支票存储的实物安全控制建立空白支票存储的实物安全控制(PC)。现金管理的审计程序现金管理的审计程序1.确保公司或部门的到期应
13、收款邮寄到银行存款箱,并存到公司确保公司或部门的到期应收款邮寄到银行存款箱,并存到公司的银行账户中。审核所有现金收入是否都清楚地标明来源的银行账户中。审核所有现金收入是否都清楚地标明来源(比如,比如,银行存款箱和债务银行存款箱和债务)。确保所有开立的银行账户都经过公司的资金。确保所有开立的银行账户都经过公司的资金部门授权。部门授权。例2 证券现金管理2确保所有涉及银行在授权和保兑现金收入时收到的指令都经确保所有涉及银行在授权和保兑现金收入时收到的指令都经过正确的程序,包括姓名和授权个人的签字。审核系统记录,过正确的程序,包括姓名和授权个人的签字。审核系统记录,确定是否存在向指定银行以外的银行登
14、记现金收入的企图,并确定是否存在向指定银行以外的银行登记现金收入的企图,并确定管部门对此采取的措施。审核数据文档访问控制措施,核确定管部门对此采取的措施。审核数据文档访问控制措施,核实电脑访问权限是否受到主要工作职责的限制。核实所有数据实电脑访问权限是否受到主要工作职责的限制。核实所有数据文档访问都通过访问密码,或其他形式的访问人身份验证而记文档访问都通过访问密码,或其他形式的访问人身份验证而记录在系统中。确保现金管理系统产生每日的交易记录,以反映录在系统中。确保现金管理系统产生每日的交易记录,以反映所有的处理活动。所有的处理活动。3审核有关负责应用现金的人员的职务分离,测试从而确保他审核有关
15、负责应用现金的人员的职务分离,测试从而确保他们不从事以下活动:核对银行账户;打开收到的邮件;编制、们不从事以下活动:核对银行账户;打开收到的邮件;编制、记录、邮寄或批准付款单据;编制、签名、邮寄或发送工资单记录、邮寄或批准付款单据;编制、签名、邮寄或发送工资单或其他支票;进行应付票据或任何其他债务证据的处理工作。或其他支票;进行应付票据或任何其他债务证据的处理工作。关于汇款收入,审核从而确保它们由出纳、应收账款或开票人关于汇款收入,审核从而确保它们由出纳、应收账款或开票人员以外的人接收。确保在打开邮件时进行详细记录,并且由第员以外的人接收。确保在打开邮件时进行详细记录,并且由第三人调整至账面分
16、录和存款单。三人调整至账面分录和存款单。例2 证券现金管理4关于非汇款收入,确保它们是通过以下程序预先列示和说明关于非汇款收入,确保它们是通过以下程序预先列示和说明的:通过确认用于签发的收据表格,使用的现金登记簿,预先的:通过确认用于签发的收据表格,使用的现金登记簿,预先编号的收据表格来准备机器磁带,并且测试的所有收据和预先编号的收据表格来准备机器磁带,并且测试的所有收据和预先列示的内容都在现金收入日记账中连续记录。列示的内容都在现金收入日记账中连续记录。5为了确保所有收到的支票都限制背书,并且现金都及时使用为了确保所有收到的支票都限制背书,并且现金都及时使用和存储了,执行以下审计测试:审核现
17、金使用和存储程序的适和存储了,执行以下审计测试:审核现金使用和存储程序的适当性和完整性;确保现金收入及时记录和储存;确保接触现金当性和完整性;确保现金收入及时记录和储存;确保接触现金收入仅限于该程序的每个阶段对现金有保管责任的人;确保现收入仅限于该程序的每个阶段对现金有保管责任的人;确保现金收入储存到应收账款账户,而不同其他资金混合;确保编制金收入储存到应收账款账户,而不同其他资金混合;确保编制存款备忘录,描述收入的性质,并在收到每一批支票时都报告存款备忘录,描述收入的性质,并在收到每一批支票时都报告会计部门;确保工资或个人支票不从现金收入中支取;确保未会计部门;确保工资或个人支票不从现金收入
18、中支取;确保未存银行的收入限制背书,并且受到有效的实物安全控制存银行的收入限制背书,并且受到有效的实物安全控制(如锁如锁、钥匙和保险柜、钥匙和保险柜)以防遗失或失窃;确保现金按托收委托书而以防遗失或失窃;确保现金按托收委托书而不是现金票据过账到具体的应收款账户;不是现金票据过账到具体的应收款账户;例2 证券现金管理确保所有其他资金或证券的保管与负责使用现金的职责分离;确保所有其他资金或证券的保管与负责使用现金的职责分离;确保有足够的安全措施以防止处理现金的人员通过记录假折确保有足够的安全措施以防止处理现金的人员通过记录假折扣或补贴来盗用现金;确保因资金不足未付的退回支票直接扣或补贴来盗用现金;
19、确保因资金不足未付的退回支票直接送到负责的职员送到负责的职员(或其他出纳或其他出纳)处进行调查;确保进行托收的处进行调查;确保进行托收的分公司或部门把这些资金储存到只能由母公司或总公司撤销分公司或部门把这些资金储存到只能由母公司或总公司撤销的银行账户中,确保有适当的实物安全措施和设施的银行账户中,确保有适当的实物安全措施和设施(如保险如保险箱、禁区箱、禁区)来保护现金;确保接收和处理现金的人员有适当来保护现金;确保接收和处理现金的人员有适当担保,并且有年度假期。担保,并且有年度假期。6审核电子现金转账系统,观察签署程序、输入的指令和产生审核电子现金转账系统,观察签署程序、输入的指令和产生的记录
20、。审核记录程序以确定在实际处理和记录程序中是否的记录。审核记录程序以确定在实际处理和记录程序中是否有差异存在。适当的评价的现金转移程序。测试从而确保所有差异存在。适当的评价的现金转移程序。测试从而确保所有现金转移都经现金管理部门和综合会计部门的书面批准,有现金转移都经现金管理部门和综合会计部门的书面批准,并由银行向授权方保兑。并由银行向授权方保兑。7审核发给现金支出银行的指令的适当性和一致性。核实可以审核发给现金支出银行的指令的适当性和一致性。核实可以转账的银行名单已经同授权建立银行账户的资金函转账的银行名单已经同授权建立银行账户的资金函(eeas唧唧1ener)进行过对账,如果存在差异,调查
21、并调整差异。审核进行过对账,如果存在差异,调查并调整差异。审核确定是否已经存在向未经授权银行转移资金的企图。讨论可确定是否已经存在向未经授权银行转移资金的企图。讨论可以发现这种企图的控制措施,并评价其可行性。确定所有现以发现这种企图的控制措施,并评价其可行性。确定所有现金转移都经银行确认,审核收到的确认证明,并与会计和现金转移都经银行确认,审核收到的确认证明,并与会计和现金管理部门的记录对账。尤其是审核每日现金交易业务记录,金管理部门的记录对账。尤其是审核每日现金交易业务记录,确保它们同原文件和确认单一致,确保任何调整都经管理层确保它们同原文件和确认单一致,确保任何调整都经管理层审批。审批。8
22、确定银行对账单是否迅速、准确地编制。确定银行对账单是否迅速、准确地编制。9确保银行结单由对账部门直接从各个授权银行接收。选出一确保银行结单由对账部门直接从各个授权银行接收。选出一个银行账户对账单的样本并执行下列审计测试:观察这些信个银行账户对账单的样本并执行下列审计测试:观察这些信息都有银行报表和总分类账的支持;确定使用的对账格式和息都有银行报表和总分类账的支持;确定使用的对账格式和指定的格式一致;核实差异已经处理;测试对账表由负责对指定的格式一致;核实差异已经处理;测试对账表由负责对账的人及时处理并签字。账的人及时处理并签字。例例2 证券证券现金管理现金管理10.为了测试对账中的差异如何解决
23、,执行下列审计测试:确为了测试对账中的差异如何解决,执行下列审计测试:确保所有调整都有文件证明;确保文件前后对照;审核会计部保所有调整都有文件证明;确保文件前后对照;审核会计部门纠正分录的传送;核实不平衡情况得到迅速地调查并纠正。门纠正分录的传送;核实不平衡情况得到迅速地调查并纠正。审核银行对账单经由管理层签字批准。审核银行对账单经由管理层签字批准。11为确保注销支票有批准签字,审核一个签署支票的样本,为确保注销支票有批准签字,审核一个签署支票的样本,确定签名是公司签名簿中授权的。确定签名是公司签名簿中授权的。12为确保处理零用金的人支付和收取的现金是基于批准的文为确保处理零用金的人支付和收取
24、的现金是基于批准的文件,且经过及时、准确的记录,执行下列审计测试:审核已件,且经过及时、准确的记录,执行下列审计测试:审核已经建立的与支付零用金有关的程序,评估其适当性;确保支经建立的与支付零用金有关的程序,评估其适当性;确保支付给职员的预付资金经过批准;确保已经确定个人可以支付付给职员的预付资金经过批准;确保已经确定个人可以支付的零用金最大限额;确保零用现金凭单,每一笔支出都要编的零用金最大限额;确保零用现金凭单,每一笔支出都要编制,有足够的支持,用墨水书写或打印,标明日期,详细说制,有足够的支持,用墨水书写或打印,标明日期,详细说明支付款项,清楚地表明支付金额,由接收现金的人签字;明支付款
25、项,清楚地表明支付金额,由接收现金的人签字;确保所有证明现金支取的文件都注销,以防重复使用。确保所有证明现金支取的文件都注销,以防重复使用。13审核退还请求和相关的凭单同既定的程序保持一致。特别审核退还请求和相关的凭单同既定的程序保持一致。特别是证实所有支持性的凭单都包含经过授权的批示,单个凭单是证实所有支持性的凭单都包含经过授权的批示,单个凭单累计总额是准确的,所有凭单和支付性凭证在退还时都要注累计总额是准确的,所有凭单和支付性凭证在退还时都要注销,以防重复使用。销,以防重复使用。例例2 证券证券现金管现金管理理补充:v内部控制指引.pdfv内部控制评价指引.pdfv内部控制审计指引.pdf
26、v案例v中石化内部控制.PPTv内部控制评价报告实例劲嘉股份内部控制评价报告第第4 4节节 内部控制审计内部控制审计v内部控制审计目标内部控制审计目标v内部控制审计的内容与对象内部控制审计的内容与对象v内部控制审计步骤内部控制审计步骤v文档化上述认定所对应的控制活动文档化上述认定所对应的控制活动内部控制审计目标内部控制审计目标v基于内外部信息使用者的不同需要内部控制审计目标分两类:内部控制审计目标分两类:v满足外部信息使用者的对企业内部控制信息的需要v满足企业管理的要求v内部控制审计内部控制审计主要以企业内部审计部门为审计主体,在结合自己经营特点的基础上,通过系统化、规范化的方法来评价企业内部
27、控制在识别、分析、评价、控制企业风险以及企业内部控制目标实现程度等方面进行一系列的审核活动,以便企业实现内部控制系统的目标。v内部控制审计的功能:内部控制审计的功能:v“查漏补缺查漏补缺”“再生重建再生重建”“检查评价检查评价”“监督咨询监督咨询”内部控制审计内容内部控制审计内容v内部控制审计的内容;v对企业对企业内部控制制度设计的合理性内部控制制度设计的合理性以及以及运行运行的有效性进行测试和评估的有效性进行测试和评估。一、内部控制审计的步骤 v编制审计计划;编制审计计划;v评价评价经营者的内部控制评价过程;经营者的内部控制评价过程;v了解了解财务报告内部控制;财务报告内部控制;v测试和评价
28、财务报告内部控制的测试和评价财务报告内部控制的设计设计有效性;有效性;v测试和评价财务报告内部控制的测试和评价财务报告内部控制的运行运行有效性;有效性;v形成关于形成关于:经营者的评价过程经营者的评价过程 财务报告内部控制是否有效的财务报告内部控制是否有效的意见意见;v编制审计报告。编制审计报告。评价步骤:评价步骤:v 复核内部控制文件复核内部控制文件v复核经营者复核经营者的测试内部控制运行的程序的测试内部控制运行的程序 1.评价评价经营者的内部控制评价过程经营者的内部控制评价过程v与所有重要的与所有重要的F/SF/S项目相关的认定所对应的控制活动的设项目相关的认定所对应的控制活动的设计,包括
29、内部控制计,包括内部控制5 5要素,如控制环境和公司层次控制;要素,如控制环境和公司层次控制;v关于重要的交易如何开始、批准、记录、处理以及报告的关于重要的交易如何开始、批准、记录、处理以及报告的信息;信息;v关于交易流程的足够信息用以识别因错误或舞弊引起的重关于交易流程的足够信息用以识别因错误或舞弊引起的重要错报可能发生的环节;要错报可能发生的环节;v为预防或发现舞弊而设计的控制活动,包括控制活动的执为预防或发现舞弊而设计的控制活动,包括控制活动的执行人以及相关职务的分离;行人以及相关职务的分离;v与期末财务报告过程有关的控制活动;与期末财务报告过程有关的控制活动;v与资产维护有关的控制活动
30、;与资产维护有关的控制活动;v经营者的(内部控制)测试和评价结果。经营者的(内部控制)测试和评价结果。复核经营者内部控制评价报告复核经营者内部控制评价报告v经营者是否恰当地陈述了关于建立健全财务报告内部控制经营者是否恰当地陈述了关于建立健全财务报告内部控制的责任?的责任?v经营者用于评价内部控制的框架是否合适?经营者用于评价内部控制的框架是否合适?v经营者关于内部控制有效性的评价中是否不存在重大的错经营者关于内部控制有效性的评价中是否不存在重大的错报?报?v经营者的内部控制报告的表达方式是否符合格式要求?经营者的内部控制报告的表达方式是否符合格式要求?v所识别的财务报告内部控制中的重大缺陷,包
31、括期间已纠所识别的财务报告内部控制中的重大缺陷,包括期间已纠正的重大缺陷在内,是否得到恰当地披露?正的重大缺陷在内,是否得到恰当地披露?图表图表6-3 6-3 经营者评价过程经营者评价过程决定要评价的控制项目决定要评价的控制项目测量虚假反映的风险测量虚假反映的风险决定评价的范围决定评价的范围评价控制的设计有效性评价控制的设计有效性评价控制的运行有效性评价控制的运行有效性确定重要的控制缺陷确定重要的控制缺陷评价发现事项评价发现事项向审计人等传达发现事项向审计人等传达发现事项与所有重要的与所有重要的F/SF/S项目的认定所对应的控制活动项目的认定所对应的控制活动*l控制失败引起虚假反映的可能性控制
32、失败引起虚假反映的可能性l虚假反映的重要程度虚假反映的重要程度l其他有效控制实现相同控制目标的程度其他有效控制实现相同控制目标的程度根据重要性判断决定要评价的子公司和业务部门根据重要性判断决定要评价的子公司和业务部门评价手续评价手续:内部审计部门的测试、经营者:内部审计部门的测试、经营者指派的其他指派的其他人员的测试、作为监视活动组成部分的自我评价人员的测试、作为监视活动组成部分的自我评价评价范围评价范围:与所有重要的:与所有重要的F/SF/S项目的认定对应的控项目的认定对应的控制活动制活动发现事项是否合理、发现事项是否合理、是否支持经营对内部控制的评价是否支持经营对内部控制的评价与所有重要的
33、F/S项目认定对应的控制活动v关系到所有重要的财务报表项目和披露以及相关认定的开关系到所有重要的财务报表项目和披露以及相关认定的开始、批准、记录、处理和报告的控制活动;始、批准、记录、处理和报告的控制活动;v关系到按照关系到按照CAAPCAAP选择和应用会计政策的控制活动;选择和应用会计政策的控制活动;v反舞弊程序和控制活动;反舞弊程序和控制活动;v包括信息技术的总体控制在内的、其他控制活动所依据的包括信息技术的总体控制在内的、其他控制活动所依据的控制活动;控制活动;v关系到重要的非常规、非系统的交易的控制活动;关系到重要的非常规、非系统的交易的控制活动;v包括控制环境以及期末财务报告过程控制
34、的公司层次的控包括控制环境以及期末财务报告过程控制的公司层次的控制活动。制活动。图表6-4 综合审计中内部控制评价 识别内部控制识别内部控制记录对内部控制的了解记录对内部控制的了解确定要测试的控制活动确定要测试的控制活动是否信赖是否信赖内部控制内部控制实施内部控制测试实施内部控制测试评价内部控制的有效性评价内部控制的有效性记录测试过程和结果记录测试过程和结果验证有无重大错报或漏报验证有无重大错报或漏报对各个交易循环实施各项程序对各个交易循环实施各项程序 经营背景的调查前年度审经营背景的调查前年度审计结果的研究计结果的研究 分析性程分析性程序的应用舞弊可能性的序的应用舞弊可能性的判断判断内部控制
35、内部控制5 5要素要素:l公司层次的控制公司层次的控制lACAC监督的有效性监督的有效性l重要的重要的F/SF/S项目和披露项目和披露 l重要的重要的F/SF/S认定和交易认定和交易 l了解期末财务报告过程了解期末财务报告过程相关内部控制不存在相关内部控制不存在内部控制未有效运行内部控制未有效运行测试的成本效益差测试的成本效益差设计实质性测试设计实质性测试noyes了解内部控制的目的了解内部控制的目的v财务报表审计:初步评价控制风险,据以决定暂定的测试财务报表审计:初步评价控制风险,据以决定暂定的测试范围并编入审计计划。范围并编入审计计划。v内部控制审计:确定内部控制测试范围。内部控制审计:确
36、定内部控制测试范围。2.了解了解财务报告内部控制财务报告内部控制图表图表6-5 6-5 确定要测试范围的程序确定要测试范围的程序从财务报表层次开始从财务报表层次开始识别重要的会计账户识别重要的会计账户识别与每一个重要识别与每一个重要账户相关的认定账户相关的认定识别重要的交易过程识别重要的交易过程和主要的交易类别和主要的交易类别识别要测试的控制活动:识别要测试的控制活动:预防性的、发现性的预防性的、发现性的 明确各个控制活动和重要明确各个控制活动和重要账户及认定的链接关系账户及认定的链接关系应用穿行测试识别可能应用穿行测试识别可能产生错误或舞弊的环节产生错误或舞弊的环节识别、了解、评价公司识别、
37、了解、评价公司层次控制的设计有效性层次控制的设计有效性 直接影响账户公允直接影响账户公允反映的认定,如存反映的认定,如存在或发生之于现金在或发生之于现金账户、估价与分摊账户、估价与分摊之于折旧账户之于折旧账户主要类别:对财务报表很重要的交易。主要类别:对财务报表很重要的交易。重要过程:开始、批准、记录、处理和重要过程:开始、批准、记录、处理和报告。交易的过程报告。交易的过程 在识别重要账户、在识别重要账户、相关认定以及重相关认定以及重要过程中识别可要过程中识别可能产生错误或舞能产生错误或舞弊的环节;弊的环节;确定业务处理控制确定业务处理控制和控制目标、会计和控制目标、会计认定的对应关系认定的对
38、应关系错误或者舞弊可能发生的环节;错误或者舞弊可能发生的环节;经营者导入的控制活动的性质;经营者导入的控制活动的性质;控制活动对实现目标的重要性控制活动对实现目标的重要性*控制活动不能有效运行的风险控制活动不能有效运行的风险图表图表6-6 6-6 财务报表要素和业务循环财务报表要素和业务循环 F/SF/S项目项目总分类账总分类账明细分类账明细分类账业务循环业务循环销售销售购货购货生产生产工资工资财务财务财务报告财务报告B/SB/S货币资金货币资金 现金现金本公司本公司A A子公司子公司银行存款银行存款-其他货币资金其他货币资金-跌价准备跌价准备-应收票据应收票据 应收票据应收票据-应收账款应收
39、账款 应收账款应收账款国内应收账款国内应收账款国外应收账款国外应收账款坏账准备坏账准备预付账款预付账款预付账款预付账款-存货存货产成品产成品-存货跌价准备存货跌价准备-其他流动资产其他流动资产内部往来内部往来-控制目标v业务处理控制既有直接与会计认定相关的内容,也有间接业务处理控制既有直接与会计认定相关的内容,也有间接地作用于会计认定成立的内容。地作用于会计认定成立的内容。v为了抑制财务报表的可靠性不成立的风险,除了直接与财为了抑制财务报表的可靠性不成立的风险,除了直接与财务报告可靠性有关的会计认定以外,还必须设置保证内部务报告可靠性有关的会计认定以外,还必须设置保证内部控制有效性的指标。控制
40、有效性的指标。v控制目标控制目标:完整性完整性所有已发生的业务都得到了处理;所有已发生的业务都得到了处理;正确性正确性已发生的业务都已及时地、正确地记录于恰当已发生的业务都已及时地、正确地记录于恰当的账户;的账户;有效性有效性所有已记录的业务都是企业真实的业务、经过所有已记录的业务都是企业真实的业务、经过授权批准;授权批准;接近限制接近限制限制未经授权的人接近资产和重要的记录。限制未经授权的人接近资产和重要的记录。主要控制的确定v业务处理控制与会计认定的配比业务处理控制与会计认定的配比 v业务处理控制与控制目标的配比业务处理控制与控制目标的配比 v与会计认定和控制目标相对应的业务处理控制就是需
41、要执行与会计认定和控制目标相对应的业务处理控制就是需要执行控制测试以核实其效果的主要控制控制测试以核实其效果的主要控制。3.内部控制设计的有效性测试和评价 v识别各个领域的控制目标;识别各个领域的控制目标;v识别满足各个控制目标的控制活动;识别满足各个控制目标的控制活动;v判断有效的控制活动是否能有效地防止或发现可能引起重要判断有效的控制活动是否能有效地防止或发现可能引起重要财务报表错报的错误或舞弊。财务报表错报的错误或舞弊。4.内部控制运行的有效性测试和评价 v内部控制运行是否如设计的一样,执行控制活动的人是否拥内部控制运行是否如设计的一样,执行控制活动的人是否拥有必要的授权和资质以有效地执
42、行控制。有必要的授权和资质以有效地执行控制。v在财务报表审计中,内部控制运行有效性的测试包括内部控在财务报表审计中,内部控制运行有效性的测试包括内部控制是否在年度中持续运用的测试。制是否在年度中持续运用的测试。证据评价v经营者实施的评价的适当性经营者实施的评价的适当性v审计人自身对内部控制设计的评价和对内部控制运行有效性审计人自身对内部控制设计的评价和对内部控制运行有效性的测试的结果的测试的结果v财务报表审计中执行实质性测试所获得的负面结果财务报表审计中执行实质性测试所获得的负面结果v所识别的控制缺陷所识别的控制缺陷v内部审计关于财务报告内部控制的报告内部审计关于财务报告内部控制的报告 内部控
43、制缺陷的定义vControl DeficiencyControl Deficiency:由于控制活动的设计或运行上的原因,:由于控制活动的设计或运行上的原因,经营者或者其员工在正常的业务执行过程中不能及时防止或经营者或者其员工在正常的业务执行过程中不能及时防止或发现错报的缺陷。发现错报的缺陷。vSignificant DeficiencySignificant Deficiency:影响企业根据一般公认会计原则开始、:影响企业根据一般公认会计原则开始、记录、处理、汇总和报告财务和非财务信息的能力的控制缺记录、处理、汇总和报告财务和非财务信息的能力的控制缺陷或者控制缺陷的组合,有这种缺陷的内部控
44、制可能不能防陷或者控制缺陷的组合,有这种缺陷的内部控制可能不能防止或发现财务报表错报。止或发现财务报表错报。vMaterial WeaknessMaterial Weakness:很可能导致不能防止或发现财务报表错:很可能导致不能防止或发现财务报表错报的重要缺陷或者重要缺陷的组合。报的重要缺陷或者重要缺陷的组合。图表6-8 内部控制缺陷及其重要程度判断 S缺陷S缺陷M缺陷可能性可能性(likelihoodlikelihood)RemoteRemote 重要程度重要程度(significancesignificance)MaterialMaterialProbableProbableImmate
45、rial图表6-9审计意见的类型 否定意见否定意见有无有无MM缺陷缺陷公允反映否公允反映否审计范围是否受到限制?审计范围是否受到限制?是否被审计企业设置的?是否被审计企业设置的?无保留意见无保留意见重要程度?重要程度?拒绝表示意见拒绝表示意见保留意见保留意见yesyesyesnonono内部控制评价是贯穿于整个审计期间的活动 期末审计中执行的审计程序是为了证明交易和账户余期末审计中执行的审计程序是为了证明交易和账户余额适当与否,但通过额适当与否,但通过“记录和事实的核对记录和事实的核对”同时也使相关内同时也使相关内部控制的运行情况得到了确认。部控制的运行情况得到了确认。内部控制的评价是不断修正
46、的过程 v符合性测试得出与初步评价一样的结果,根据计划执行实质符合性测试得出与初步评价一样的结果,根据计划执行实质性测试;性测试;v得出可靠程度比初步评价判断的更低,计划和执行更严密的得出可靠程度比初步评价判断的更低,计划和执行更严密的实质性测试;实质性测试;v得出可靠程度比初步评价判断的要高,不能简单地根据该结得出可靠程度比初步评价判断的要高,不能简单地根据该结果调整实质性测试。果调整实质性测试。图表图表6-10 6-10 内部控制评价修正过程内部控制评价修正过程 了解内部控制了解内部控制是否信赖是否信赖 内部控制内部控制初步评估控制风险初步评估控制风险初步评价初步评价的风险高的风险高吗吗执
47、行内部控制测试执行内部控制测试初步评价初步评价的结果合的结果合理吗理吗确定控制风险的评价确定控制风险的评价计划实质性测试计划实质性测试要调低初要调低初步步评价的结评价的结果吗果吗No不信赖内部控制Yes修正修正中或低风险中或低风险(高风险高风险)NoNoYes二、文档化内部控制审计二、文档化内部控制审计 v对控制对控制5 5要素的了解和各个要素设计的评价;要素的了解和各个要素设计的评价;v用于确定重要项目和披露以及主要交易过程和类别的程序,用于确定重要项目和披露以及主要交易过程和类别的程序,包括对执行测试的区域或者业务单位的确定;包括对执行测试的区域或者业务单位的确定;v重要项目和披露以及主要
48、交易过程和类别内可能发生与相关重要项目和披露以及主要交易过程和类别内可能发生与相关财务报表认定有关错报的环节的识别;财务报表认定有关错报的环节的识别;v审计人依赖其他人的工作的范围以及关于这些工作的完整性审计人依赖其他人的工作的范围以及关于这些工作的完整性和客观性的评价;和客观性的评价;v对审计人在测试中发现的任何缺陷的评价;对审计人在测试中发现的任何缺陷的评价;v可能导致审计报告修改的其他发现。可能导致审计报告修改的其他发现。1.内部控制评价结果文档化的方法内部控制评价结果文档化的方法v单纯地用(业务处理控制的已建立健全或运行有效)或者单纯地用(业务处理控制的已建立健全或运行有效)或者(业务
49、处理控制的为建立或没有有效地运行)记述评价结(业务处理控制的为建立或没有有效地运行)记述评价结果。果。v预先规定评分标准,对内部控制的实际状况进行打分,并确预先规定评分标准,对内部控制的实际状况进行打分,并确定目标分值,将实际得分与目标分值进行比较,差异表示需定目标分值,将实际得分与目标分值进行比较,差异表示需要改善或者加强的部分。要改善或者加强的部分。图表6-11 内部控制设计评价的文件 编号编号业务处理控制业务处理控制文本种类文本种类设计评价设计评价缺陷缺陷实际实际目标目标差异差异1 1凭证编制、登记、传递和管理规定的文档化。凭证编制、登记、传递和管理规定的文档化。会计流程规定会计流程规定
50、2 24 42 2虽有规定虽有规定但未周知但未周知2 2总账记账人员和出纳人员的职务分工。总账记账人员和出纳人员的职务分工。职务分工规定职务分工规定4 44 40 03 3以经过审核的发运凭证及经过批准的顾客订货单为依据以经过审核的发运凭证及经过批准的顾客订货单为依据进行存货记录。进行存货记录。发运凭证、订单发运凭证、订单4 44 40 04 4根据经过授权批准的销售价格、付款条件、运费和销售根据经过授权批准的销售价格、付款条件、运费和销售折扣核对销售发票记录销售收入。折扣核对销售发票记录销售收入。发运凭证、发运凭证、订单、销售发票订单、销售发票4 44 40 05 5以经过授权赊购批准单为依
