1、 第四章 内部控制与审计风险内部控制与审计风险第1页,共61页。本章的主要内容本章的主要内容内部控制的构成要素;调查、测试与评价内部控制的程序、内容与方法;审计风险的构成要素及相互关系;审计风险的评估与控制方法。第2页,共61页。学习本章要求学生掌握:学习本章要求学生掌握:v了解内部控制和审计风险的构成要素,审计风险的评估与控制方法;v掌握调查、测试与评价内部控制的内容与方法及其运用定性和定量分析审计风险的方法。第3页,共61页。巴林银行为什么破产巴林银行为什么破产?l1995年7月18日,英国银行监督理事会在经过了近半年的调查后,在调查报告中得出结论,巴林银行破产的主要原因是:新加坡分行的内
2、部控制系统严重失灵新加坡分行的内部控制系统严重失灵。第4页,共61页。第一节 内部控制v什么是内部控制?v我国的现状如何?1.20世纪90年代 2.1996年 3.2000年7月 4.2001年 5.2006年2月第5页,共61页。请思考请思考:n内部控制与审计的对应关系?内部控制与审计的对应关系?第6页,共61页。一、内部控制构成的演变与一、内部控制构成的演变与 审计模式的对应关系审计模式的对应关系内部牵制内部牵制与与账项基础账项基础(Transaction-based Auditing Transaction-based Auditing 模模式)。式)。对对内部控制制度的评价内部控制制度
3、的评价与与制度基础制度基础审计审计(System-System-based Auditingbased Auditing模式)模式)。内部控制结构内部控制结构与与风险基础风险基础审计审计(Risk-based AuditingRisk-based Auditing模模式)。式)。第7页,共61页。二、关于内部控制构成要素的二、关于内部控制构成要素的不同观点不同观点1国际审计准则的观点国际审计准则的观点:内部控制的构成要素包括:(1)会计系统;(2)内部控制系统,内部控制系统又包括控 制环境和控制程序。2美国审计准则的观点美国审计准则的观点:1988年,美国审计准则委员会发布第55号审计准则公告
4、指出内部控制三要素包括:(1)控制环境;(2)会计系统;(3)控制程序。第8页,共61页。2 2美国审计准则的观点(续):美国审计准则的观点(续):此时的美国审计准则与国际审计准则的表述虽略有不同,但本质是一致的。1996年美国AICPA颁布第78号审计准则公告,采用了COSO定义的内部控制概念,对第55号审计准则公告作了修订,把内部控制要素分为五个方面即:控制控制环境、风险评估、控制活动、信息与沟通和监控。环境、风险评估、控制活动、信息与沟通和监控。第9页,共61页。3.3.我国注册会计师执业准则的观点:我国注册会计师执业准则的观点:内部控制的构成要素包括:控制环境控制环境 风险评估过程风险
5、评估过程 信息系统与沟通信息系统与沟通 控制活动控制活动 对控制的监督对控制的监督第10页,共61页。构成要素 涵盖内容1.控制环境 指一个企业负责内部控制制度的人员的态度,它对内部控制的有效性有极大的影响,是其他要素的基础。(1)员工的诚实和职业道德(2)员工的胜任能力(3)董事会及审计委员会的参与(4)管理哲学和经营作风(5)组织机构(6)权利和责任的规定(7)人力资源政策与执行2.风险评估 企业为达到目标而对相关风险进行确认和分析,以构成风险管理的基础。企业风险可能来自于:(1)经营环境的变化(2)聘用新员工(3)采用新的或改良的信息系统(4)迅猛的发展速度(5)新技术的采用(6)企业改
6、组(7)新的行业、产品或经营活动的开发(8)海外经营(9)新会计方法的采用 3.控制活动 对所确认的风险采取必要措施,以保证企业目标实现的政策和程序。(1)业绩评价(2)信息处理控制(3)实物控制(4)职务分离(5)授权与批准4.信息与沟通 提供及时和相关的信息与沟通。(1)确认、记录所有有效的经济业务(2)序时详细记录经济业务,以便适当归类、提供财务报告(3)采用适当的货币价值计量经济业务(4)确定经济业务发生时期,并保证在合理的会计期记录经济业务(5)在财务报告中恰当披露经济业务5.监控 评价内部控制实施质量的过程,即对内部控制改良、运行及改进活动的评价。(1)内部审计(2)管理控制方法第
7、11页,共61页。1.1.控制环境控制环境 (一)对诚信和道德价值观念的沟通与落实;(一)对诚信和道德价值观念的沟通与落实;(二)对胜任能力的重视;(二)对胜任能力的重视;(三)治理层的参与程度;(三)治理层的参与程度;(四)管理层的理念和经营风格;(四)管理层的理念和经营风格;(五)组织结构;(五)组织结构;(六)职权与责任的分配;(六)职权与责任的分配;(七)人力资源政策与实务。(七)人力资源政策与实务。第12页,共61页。案例一案例一 曾经有位用户要买一台冰箱,挑了许多毛病,最后勉强地拉走一台,还是有缺陷的。顾客走后,现任海尔集团董事长时任海尔冰箱总厂厂长的张瑞敏派人把库里400多台冰箱
8、全部翻箱,将发现有缺陷的76台冰箱,摆在车间里让每一个员工参观,让大家说怎么办。第13页,共61页。案例一案例一n员工一致的看法是:便宜处理给职工,当时一台冰箱800多元,但职工的工资只有40元。第14页,共61页。案例一案例一张瑞敏决定:?海尔是中国家电行业唯一一家五大产品全部通过IS09001国际质保体系认证和国内首家通过IS014001认证的家电集团。第15页,共61页。案例二案例二 在海尔兼并青岛红星电器厂时展示了海尔文化的威力。当时青岛红星电器股份有限公司总资产4亿多元,而负债高达5亿元,兼并后海尔没有注入分钱,没增加一台机器,只是派了三位管理人员。三人进去后三个月企业就停止了亏损,
9、五个月后摆脱困境,盈利150多万元。第16页,共61页。:请思考请思考n 海尔兼并亏损企业青岛红星电器厂,在没有注入分钱没增加一台机器的情况下,为什么能做到三个月企业停止亏损,五个月摆脱困境,盈利150多万元?第17页,共61页。案例三案例三n海尔有套层次分明、内容完整、责任明确的目标计划体系。每年12月集团公司根据市场变化情况和本年度目标完成情况,制定下一年度的总目标,然后将总目标分解到各个部门,由各个部门再分解为月度目标和计划,各部门将子目标分解为各车间控制的项目,由各车间再分解到每个岗位、每个员工,落实为每天的工作项目和责任。第18页,共61页。案例三案例三 在精细化管理控制上,海尔人坚
10、持人人都管事的原则,每名员工既是责任者,又是管理者,变企业管理是少数人的事为全体员工的事。比如电冰箱共有156道工序,545个工位责任区,全部的生产与管理的责任都分解落实到每个人头上。第19页,共61页。2.2.风险评估过程风险评估过程l (1 1)如何识别与财务报告相关的经营)如何识别与财务报告相关的经营风险;风险;l (2 2)如何估计该风险的重要性;)如何估计该风险的重要性;l (3 3)如何评估风险发生的可能性;)如何评估风险发生的可能性;l (4 4)如何采取措施管理这些风险。)如何采取措施管理这些风险。第20页,共61页。3.3.信息系统与沟通信息系统与沟通相关的信息系统:相关的信
11、息系统:(1 1)识别与记录所有的有效交易;)识别与记录所有的有效交易;(2)(2)及时、详细地描述交易,以便在财务及时、详细地描述交易,以便在财务报告中对交易恰当分类;报告中对交易恰当分类;(3)(3)恰当计量交易,以便在财务报告中对恰当计量交易,以便在财务报告中对交易的金额准确记录;交易的金额准确记录;(4)(4)恰当确定交易生成的会计期间;恰当确定交易生成的会计期间;(5)(5)在财务报表中恰当列报交易。在财务报表中恰当列报交易。第21页,共61页。审计关注哪些问题?审计关注哪些问题?v(一)在被审计单位经营过程中,对财务报表具有重大影响的各类交易;v(二)在信息技术和人工系统中,对交易
12、生成、记录、处理和报告的程序;第22页,共61页。审计关注的问题续审计关注的问题续v(三)与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目;v(四)信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况;v(五)被审计单位编制财务报告的过程,包括作出的重大会计估计和披露。第23页,共61页。相关的沟通:相关的沟通:l(1)使员工了解各自在与财务报告有关的内部控制方面的角色和职责;l(2)员工之间的工作联系,以及向适当级别的管理层报告例外事项的方式;第24页,共61页。审计关注:审计关注:v(1)如何对财务报告的岗位职责,以及与财务报告相关的重大事项进行沟
13、通;v(2)管理层与治理层之间的沟通;v(3)被审计单位与外部的沟通。第25页,共61页。4.4.控制活动要素控制活动要素 是指有助于确保管理层的指令得以执行的政策和程是指有助于确保管理层的指令得以执行的政策和程序。序。l授权(一般授权和特别授权)l职责分离(不相容职务)l信息处理l实物控制l业绩评价第26页,共61页。控制活动要素案例控制活动要素案例 MS剧场的出纳人员在距剧场入口处50米的售票室负责售票收款工作。他通过售票机售票,每张票自动连续编号。顾客买票后须将入场券交给入口检票员才能进入剧场。检票员将入场券撕成两半,正券交给顾客,副券则投入加锁的票箱中。请结合内部控制要素的内容分析回答
14、以下问题:第27页,共61页。案例思考:案例思考:(1)本例在现金收入方面采取了哪些控制措施?(2)假设售票员与检票员串通盗取现金收入,他们将采取哪些行动?(3)在(2)中所述售票员与检票员串通舞弊的情况下,哪项控制程序可以揭发这种舞弊行为?(4)剧场经理可采取哪些措施使MS剧场的现金内部控制达到最佳效果?第28页,共61页。5.5.对控制的监督对控制的监督l指被审计单位评价内部控制在一段时间内指被审计单位评价内部控制在一段时间内运行有效性的过程。运行有效性的过程。第29页,共61页。对控制的监督的具体内容?对控制的监督的具体内容?该过程包括及时评价控制的设计和运行,该过程包括及时评价控制的设
15、计和运行,以及根据情况的变化采取必要的纠正措施。以及根据情况的变化采取必要的纠正措施。v(1)(1)持续的专业监督活动持续的专业监督活动;v(2)(2)内部审计等人员的专门评价活动。内部审计等人员的专门评价活动。第30页,共61页。三、了解内部控制三、了解内部控制v如何了解内部控制?(一)描述内部控制方法?文字表述法 调查表法 流程图法 第31页,共61页。(二)实施哪些风险评估程序(二)实施哪些风险评估程序?v询问被审计单位的人员;v观察特定控制的运用;v检查文件和报告;v追踪交易在财务报告信息系统中的处理过程(穿行测试)。第32页,共61页。四、实施控制测试四、实施控制测试(一)如何获取相
16、关证据?(一)如何获取相关证据?v控制在所审计期间的不同时点是如何运行的;v控制是否得到一贯执行;v控制由谁执行;v控制以何种方式运行。第33页,共61页。(二二)实施控制测试的前提?实施控制测试的前提?v在评估认定层次重大错报风险时,预期控制的运行是有效的;v仅实施实质性程序不足以提供认定层次充分、适当的审计证据。第34页,共61页。(三)审计人员实施控制测试的方法:(三)审计人员实施控制测试的方法:1、询问被审计单位的人员;2、观察特定控制的运用;3、检查文件和报告;4、追踪交易在财务报告信息系统中的 处理过程(穿行测试);5、重新执行特定控制。第35页,共61页。(四)如何运用控制测试的
17、评价结果(四)如何运用控制测试的评价结果?1.高信赖程度(低度控制风险)(低度控制风险)运用:减少进一步审计程序。2.中信赖程度(中度控制风险)(中度控制风险)运用:适度增加审计程序。3.低信赖程度(高度控制风险高度控制风险)运用:扩大进一步审计程序。第36页,共61页。五、内部控制的固有局限性五、内部控制的固有局限性v在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效;v可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。第37页,共61页。六、实施六、实施实质性程序实质性程序 v细节测试v实质性分析程序第38页,共61页。控制测试与实质性程序的区别控制测试与实质性
18、程序的区别?n测试的目的不同。n相关的风险要素不同。n审计准则的要求不同。第39页,共61页。第二节第二节 审计风险审计风险 什么是审计风险什么是审计风险?审计风险是指财务报表存在重大错报,审计风险是指财务报表存在重大错报,而审计人员发表而审计人员发表不恰当审计意见不恰当审计意见的可能性的可能性。第40页,共61页。一、为什么会产生审计风险一、为什么会产生审计风险?主体因素:由审计主体的不当行为而带来的审计风险因素;客体因素:由被审计单位的经营风险、决策失误和造假违规行为等而引发的审计风险因素;环境因素:由政治经济环境因素、法律环境因素以及市场环境因素等组成。第41页,共61页。二、什么是重大
19、错报风险?二、什么是重大错报风险?是指财务报表在审计前存在重大错报的可能性。第42页,共61页。一、受外部环境因素影响的重大错报风险一、受外部环境因素影响的重大错报风险l(一)在经济不稳定的国家或地区开展业务;l(二)在高度波动的市场开展业务;l(三)在严厉、复杂的监管环境中开展业务;l(四)行业环境发生变化;l(五)供应链发生变化l(六)信息技术环境发生变化;第43页,共61页。二、受内部因素影响的重大错报风险二、受内部因素影响的重大错报风险1l(一)持续经营和资产流动性出现问题,包括重要客户流失;l(二)融资能力受到限制;l(三)开发新产品或提供新服务,或进入新的业务领域;l(四)开辟新的
20、经营场所;l(五)发生重大收购、重组或其他非经常性事项;l(六)拟出售分支机构或业务分部;l(七)复杂的联营或合资;l(八)运用表外融资、特殊目的实体以及其他复杂的融资协议;第44页,共61页。二、受内部因素影响的重大错报风险二、受内部因素影响的重大错报风险2l(九)重大的关联方交易;l(十)缺乏具备胜任能力的会计人员;l(十一)关键人员变动;l(十二)内部控制薄弱;l(十三)信息技术战略与经营战略不协调;l(十四)安装新的与财务报告有关的重大信息技术系统;l(十五)经营活动或财务报告受到监管机构的调查;l(十六)以往存在重大错报或本期期末出现重大会计调整;第45页,共61页。二、受内部因素影
21、响的重大错报风险二、受内部因素影响的重大错报风险3l(十七)发生重大的非常规交易;l(十八)按照管理层特定意图记录的交易;l(十九)应用新颁布的会计准则或相关会计制度;l(二十)会计计量过程复杂;l(二十一)事项或交易在计量时存在重大不确定性;l(二十二)存在未决诉讼和或有负债。第46页,共61页。需要特别考虑的重大错报风险需要特别考虑的重大错报风险1 如何定性?如何定性?(一)风险是否属于舞弊风险;(二)风险是否与近期经济环境、会计处理方法和其他方面的重大变化有关;(三)交易的复杂程度;第47页,共61页。需要特别考虑的重大错报风险需要特别考虑的重大错报风险2(四)风险是否涉及重大的关联方交
22、易;(五)财务信息计量的主观程度,特别是对不确定事项的计量存在较大区间;(六)风险是否涉及异常或超出正常经营过程的重大交易。第48页,共61页。相关的交易和事项?相关的交易和事项?重大的非常规交易 重大的判断事项第49页,共61页。相关案例相关案例 郑百文泡沫早就存在,但被虚假信息所粉饰、掩盖。公司不具备上市资格,为了能上市圈钱、筹集资金,专门组建了几个做假账目的班子,把各种财务报表、指标做得一应俱全,把亏损做成盈利,在强大公关掩护下蒙混过关。其变亏为盈的常用招数是让厂家以欠商品款的形式给“郑百文”打欠条,然后以应收款的名目做成盈利入账。第50页,共61页。相关案例(续)相关案例(续)同时向厂
23、家保证,所打欠条只供“郑百文”做账,不作还款依据。上市后,郑百文继续掩盖亏损、制造账面假盈利,公司账目一片混乱,致使1998、1999连续两年会计师事务所拒绝出具审计意见。直到后来纸包不住火了,郑百文才公布重大亏损的实情。第51页,共61页。相关案例(续)相关案例(续)启示与思考启示与思考:为什么说郑百文财务造假是独立于会计报表审计而存在的?审计人员能否改变重大错报风险的实际水平?影响重大错报的具体事项是什么?第52页,共61页。三、什么是检查风险三、什么是检查风险?是指某一认定存在错报,该错报单独或是指某一认定存在错报,该错报单独或连同其他错报是重大的,但审计人员未能连同其他错报是重大的,但
24、审计人员未能发现这种错报的可能性。发现这种错报的可能性。第53页,共61页。请思考:请思考:红光事件中的重大错报风险和检查风险分别是什么?审计人员应如何规避检查风险?第54页,共61页。检查风险相关案例检查风险相关案例 在1996年红光公司的经营环境发生重大变化,关键生产设备已出现废品率上升,不能维持正常生产等严重问题,实际上已亏损10300万元。公司通过虚构材料采购、虚增产品库存、改变固定资产折旧方法、虚构产品销售等舞弊手段,虚报盈利为5400万元。第55页,共61页。检查风险相关案例(续)检查风险相关案例(续)遗憾的是审计人员完全忽视了必要的审计程序,未对经营环境进行必要的调查,未能发现其
25、生产经营的不正常情况;未执行分析性复核,以发现毛利率的变动;未对存货进行盘点,以发现存货的虚构;第56页,共61页。检查风险相关案例(续)检查风险相关案例(续)未对应收账款进行函证,以发现销售的虚构;也未实施销售截止性测试等程序,并且审计人员为公司的首次发行出具了无保留意见的审计报告,使红光公司的股票得以发行。第57页,共61页。四、审计风险模型四、审计风险模型审计风险模型基本公式审计风险模型基本公式:审计风险审计风险=重大错报风险重大错报风险x x检查风险检查风险 公式变换:公式变换:检查风险检查风险=审计风险审计风险/重大错报风险重大错报风险第58页,共61页。定量分析定量分析分析:在审计风险确定不变的情况下,重大错报风险越高,则要确定的检查风险计划可接受水平就越低,两者呈反比关系。定量分析表明,越是重要的、内部控制越薄弱的审计项目,进行实质性测试时,所耗费的时间和人力就越大。第59页,共61页。定性分析:定性分析:审计风险两要素之间存在着密切关系。定性分析表明,重大错报风险决定着审计人员可接受的检查风险水平。检查风险水平与评估的重大错报风险成反向变动关系。第60页,共61页。五、如何控制审计风险五、如何控制审计风险?防范与控制审计风险的方法:回避风险法 转移风险法 抵御风险法第61页,共61页。
