第八章、內部控制與重大錯報風險評估

1、1第八章第八章 內部控制與重大錯內部控制與重大錯報風險評估報風險評估v21世紀會計學紀會計學系列教教材 主要內容n第一節(jié) 內部控制n第二節(jié) 重大錯報風險評估2一、內部控制概念及其思想的歷史演進n（一）內部牽制階段（一）內部牽制階段n（二）內部會計與管理控制階段（二）內部會計與管理控制階段n（三）內部控制結構階段（三）內部控制結構階段n（四）內部控制整體框架（四）內部控制整體框架階段階段3nCOSO報告對內部控制報告對內部控制提出的新定義新定義是：“內部控制是一個為達成下列各類目標而提供合理保證的過程：n（1）營運之效果及效率；n（2）財務報告之可靠性；n（3）相關法令之遵循。n上述過程受企業(yè)的

2、董事會、管理當局及其他人員的影響?！?nCOSO報告報告還將內部控制結構中的三要素擴展為內部控制整體框架內部控制整體框架中的五個組成要素：n（1）控制環(huán)境（control environment）。n（2）風險評估（risk assessment）。n（3）控制活動（control activities）。n（4）信息與溝通（information and communication）。n（5）監(jiān)控（monitoring）。n這五個要素間有著嚴密的邏輯關系，如圖8-1所示。 56圖8-1 內部控制五要素之間的邏輯關系n（五）企業(yè)風險管理（五）企業(yè)風險管理綜合框架綜合框架n該框架對內部控制的定義

3、內部控制的定義明確了以下內容：n（1）是一個動態(tài)的、貫穿企業(yè)實體各個層級和單位的過程；n（2）受組織內所有層次人的影響；n（3）應用于戰(zhàn)略制定；n（4）旨在識別影響組織的事件并在組織的風險偏好范圍內管理風險；n（5）能夠為企業(yè)實體的管理層和董事會提供合理保證；n（6）為了實現(xiàn)各類目標。 7n新的新的COSO報告報告在以下幾個方面得到了發(fā)展發(fā)展：n（1）增加了一個觀念風險組合觀；n（2）發(fā)展了內部控制的報告目標，該目標涵蓋了企業(yè)所有的報告；n（3）增加了一類新目標戰(zhàn)略目標，n（4）提出了兩個新概念風險偏好（risk appetite）和風險容忍度（risk tolerance）;n（5）新增了三

4、個風險管理要素，即“目標制定（objective setting）”、“事項識別(event identification)”和“風險應對(risk response)”，將ICIF的五要素演變?yōu)榘藗€要素，并對原有五個要素進行了深化和擴展（具體見下文的討論）。 8二、內部控制的構成要素n企業(yè)的風險管理框架企業(yè)的風險管理框架包括四類目標和八個要素。n四類目標四類目標分別是戰(zhàn)略目標、經營目標、報告目標和合法性目標。n八個要素八個要素分別是內部環(huán)境（internal environment）、目標制定（objective setting）、事項識別(event identification)、風險評

5、估(risk assessment)、風險應對(risk response)、控制活動(control activity)、信息和溝通(information & communication)、監(jiān)控(monitoring)。n該八要素是企業(yè)目標實現(xiàn)的保證，滲透于企業(yè)管理過程之中。它們相互之間存在直接的關系，可以用一個三維矩陣圖來表示（如圖8-2所示）。 910圖8-2 企業(yè)風險管理框架八要素及四目標關系圖n1.風險管理哲學風險管理哲學風險管理哲學風險管理哲學是一整套共同擁有的信念和態(tài)度，它以企業(yè)如何考慮它所做的每一件事為特征，范圍涉及從戰(zhàn)略的制定、修訂到企業(yè)的日常經營活動。在對待風險管理的態(tài)度

6、對待風險管理的態(tài)度上，已經成功接受重大風險的公司與由于冒險進入危險區(qū)域而已經面臨經濟困難和被迫調整政策的企業(yè)有顯著的不同。讓企業(yè)所有員工了解員工了解企業(yè)的風險管理理念有利于提高員工確認和有效管理風險的能力。管理當局在經營中表現(xiàn)的管理哲學理念及行動管理哲學理念及行動能清楚地把內部控制是否重要的信號傳遞給員工，從而對企業(yè)的控制環(huán)境產生深刻的影響。 11（一）內部環(huán)境（一）內部環(huán)境-8n2.風險偏好風險偏好風險偏好是企業(yè)在追求價值過程中在追求價值過程中所愿意接受的風險數(shù)量和水平，反映了企業(yè)的風險管理哲學，反過來也影響企業(yè)的文化和經營方式。n3.董事會董事會企業(yè)的董事會是內部環(huán)境的重要組成部分重要組成

7、部分，它會影響其他內部環(huán)境的構成要素。n4.誠信原則和道德價值觀誠信原則和道德價值觀誠信原則和道德價值觀這一因素是指企業(yè)道德和企業(yè)道德和行為標行為標準的確立及其傳遞給企業(yè)中各層次的人員的過程。n5.培養(yǎng)和評定員工的勝任能力培養(yǎng)和評定員工的勝任能力 能力是完成工作范圍內的任務所需要的知識和技能。12n6.組織結構組織結構企業(yè)的組織結構確定了現(xiàn)有的責任和權力的等級及劃分，為計劃、執(zhí)行、控制和監(jiān)督計劃、執(zhí)行、控制和監(jiān)督其活動提供了框架。n7.權力和責任的分配方法權力和責任的分配方法 管理當局要考慮如何以適當?shù)姆绞綄ω煓嗟姆謱ω煓嗟姆峙渑鋫鬟_給各層次員工。n8.人力資源政策及實務人力資源政策及實務招

8、聘、評估、激勵員工的政策、程序和方法政策、程序和方法是控制環(huán)境的重要組成部分。13n（二）目標制定（二）目標制定n每個企業(yè)都面臨著因利用內部或外部資源而帶來的風險，目標制定是有效的事項識別、風險評估和風險應對的前提。n企業(yè)的目標企業(yè)的目標可以分為四類：（1）戰(zhàn)略目標。（2）經營目標。（3）報告目標。（4）遵循性目標。n（三）事項識別（三）事項識別n事項事項是指影響目標實現(xiàn)的、來自內外部的潛在事件。n事項既可能帶來負面的影響負面的影響，也可能帶來正面正面的影響的影響。 14n（四）風險評估（四）風險評估n管理者應從兩個方面對風險進行評估對風險進行評估風險發(fā)生的可能性和影響風險發(fā)生的可能性風險發(fā)生

9、的可能性是指某一特定事項發(fā)生的可能性，影響影響則是指事項的發(fā)生將會帶來的影響。n一個企業(yè)風險評估的方法通常是定量方法和定定量方法和定性分析性分析技術的組合。n在衡量目標的實現(xiàn)程度時，管理者經常使用業(yè)業(yè)績計量指標績計量指標。當考慮某一風險對實現(xiàn)某一特定目標的潛在影響時，使用這些計量指標同樣有效。n通常一個潛在事項潛在事項結果是一個可能的范圍值，管理者應將其作為制定風險反應方案的基礎。15n管理者通常只趨于關注中短期的風險中短期的風險，但風險應在企業(yè)戰(zhàn)略和目標的前提下進行評估。n管理當局應在固有風險和剩余風險固有風險和剩余風險兩個層次的基礎上對風險進行評估。n（五）風險應對（五）風險應對n風險應對

10、可分為規(guī)避風險、減少風險、共擔風險和接受風險四類四類。n選定某一個風險應對方案后，管理當局應在剩在剩余風險的基礎上余風險的基礎上重新評估風險，即從企業(yè)總體風險組合的、預測的角度重新計量風險。 16n（六）控制活動（六）控制活動n控制活動控制活動是指為確保風險應對方案得到正確執(zhí)行的相關政策和程序。n由于企業(yè)的控制活動與企業(yè)的信息系統(tǒng)廣泛相與企業(yè)的信息系統(tǒng)廣泛相關關，因此，應對企業(yè)所有的重要系統(tǒng)進行控制。n一般控制包括一般控制包括對信息技術管理、信息技術基礎設施、保密管理和軟件的購買、開發(fā)和維護的控制。n應用控制的目的應用控制的目的是保證數(shù)據獲得和業(yè)務處理過程的完整性、精確性、授權和有效性。17n

11、（七）信息與溝通（七）信息與溝通n來自企業(yè)內部和外部的相關信息必須以一定的格式和時間間隔進行確認、獲取和傳遞，以保證企業(yè)的員工企業(yè)的員工能夠執(zhí)行各自的職責。n企業(yè)內部各個管理層各個管理層都需要信息來幫助識別、評估風險和應對風險，以及進行經營并實現(xiàn)企業(yè)的目標。n良好的信息系統(tǒng)良好的信息系統(tǒng)必須包含以下基本要素：（1）信息的確認。（2）信息的獲取。（3）信息的處理。（4）信息的報告。18n信息是溝通的基礎，溝通溝通則必須滿足各部門和個人的要求，以使他們能夠有效地履行其職責。n管理者管理者應提供特定的或直接的溝通渠道以說明對員工的行為預期和各自的職責，并且應包括對企業(yè)風險管理原理和方法以及員工權責分

12、配的清晰的說明。n溝通渠道應該保證企業(yè)員工企業(yè)員工能夠在各業(yè)務部門、業(yè)務流程或職能部門間進行風險信息的溝通。 19n（八）監(jiān)控（八）監(jiān)控n對企業(yè)風險管理的監(jiān)控企業(yè)風險管理的監(jiān)控是一個評估風險管理要素的內容、風險管理的運行，以及一段時期的執(zhí)行質量的過程。n企業(yè)可以通過兩種方式兩種方式對風險管理進行監(jiān)控：持續(xù)監(jiān)控和個別評估。持續(xù)監(jiān)控是對企業(yè)日常的、重復的經營活動的監(jiān)控，是在實時的基礎上進行的，是對不斷變化的環(huán)境的動態(tài)反應，應在企業(yè)內部徹底地貫徹和執(zhí)行。個別評估的頻率依企業(yè)管理者的主觀判斷而定。20三、內部控制的固有局限性與小企業(yè)的內部控制n（一）內部控制的固有局限性（一）內部控制的固有局限性n內部

13、控制的固有局限性之所以存在，是基于以下原因原因-5：（1）內部控制的設計和運行受制于成本效益原則，因此在實務中，管理當局采用的內部控制往往不是最理想的；（2）內部控制的設計一般僅針對常規(guī)交易與業(yè)務進行，對于非常規(guī)交易或業(yè)務，現(xiàn)有的內部控制往往無法起到約束控制作用；21（3）即使企業(yè)管理當局設計出一個理想的內部控制制度，這一制度也可能因為執(zhí)行制度的人員粗心大意、判斷失誤或對管理當局指令的誤解而失效；（4）內部控制可能因為執(zhí)行人員濫用職權，超越內控，或因兩個不同崗位職責的人員相互勾結、串通而失效；（5）企業(yè)面臨的經營環(huán)境或業(yè)務性質的改變會讓現(xiàn)有的內部控制不再適合，從而削弱內部控制的作用，甚至引起內

14、控失效。 22n對審計人員來說，要特別關注企業(yè)內部控制在以下幾個方面的局限性局限性：（1）共謀而避開控制。（2）管理當局超越控制。（3）系統(tǒng)暫時失效。n內部控制的暫時性失效暫時性失效也可能發(fā)生于環(huán)境發(fā)生變化，而控制沒有相應及時變化的情況下。23n業(yè)主或經理的積極參與通常是最好的補償控制補償控制，這些補償控制主要有-10：（1）在簽發(fā)支票之前檢查所有憑證，并直接郵寄支票。（2）仔細復核客戶對賬單后直接郵寄。（3）在發(fā)送購貨指令給供應商之前進行檢查。（4）運用分析程序并調查異常的關系。24（二）小企業(yè)的內部控制（二）小企業(yè)的內部控制（5）控制現(xiàn)金收款并與每日銀行存款回單相比較。（6）由出納員和記賬

15、員之外的人員核對銀行存款賬戶。（7）所有客戶賬戶的沖銷均需要經過批準。（8）定期對存貨進行測試性盤點并與永續(xù)記錄相比較。（9）在簽發(fā)工資支票之前進行復核，并偶爾進行意外的工資支票分發(fā)。（10）聘請注冊會計師定期對會計系統(tǒng)和相關的財務報表進行復核。 25第二節(jié) 重大錯報風險評估26重大錯報風險的評估過程n重大錯報風險的評估過程重大錯報風險的評估過程是識別和評估財務報表層次以及各類交易、賬戶余額、列報與披露認定層次的重大錯報風險的過程。n重大錯報風險的評估是以了解被審計單位及其環(huán)境（包括內部控制）為基礎的，具體評估過程具體評估過程分為三步：n首先首先，通過風險評估程序，了解被審計單位及其環(huán)境，目的

16、是初步評估財務報表總體層次和認定層次的重大錯報風險；n其次其次，如果審計人員通過對認定層次重大錯報風險的評估認為預期控制的運行是有效的，則必須執(zhí)行控制測試，目的是測試內部控制在防止、發(fā)現(xiàn)和糾正認定層次重大錯報方面的有效性，并據此進一步評估認定層次的重大錯報風險，以支持初步評估結果；27重大錯報風險的評估過程n最后最后，實施實質性測試，目的是檢查認定層次的重大錯報風險。n圖8-3顯示了重大錯報風險評價在整個審計過程中所處的位置。n圖8-4概括了重大錯報風險的評價過程。 2829圖8-3 重大錯報風險在審計流程中的位置30圖8-4 重大錯報風險評價流程圖n1了解被審計單位及其環(huán)境并初步評估重大了解

17、被審計單位及其環(huán)境并初步評估重大錯報風險錯報風險審計人員應當利用實施風險評估程序獲取的信息，包括在評價控制設計和確定其是否得到執(zhí)行時獲取的審計證據，作為支持風險評估結果的審計證據，再根據風險評估結果，確定實施進一步審計程序的性質、時間和范圍。在評估重大錯報風險時，審計人員應當將所了解的控制與特定認定相聯(lián)系控制與特定認定相聯(lián)系。31（一）執(zhí)行風險評估程序（一）執(zhí)行風險評估程序評估財評估財務報表層次和認定層次重大錯報風險務報表層次和認定層次重大錯報風險2評估過程中需要特別考慮的重大風險評估過程中需要特別考慮的重大風險重大錯報風險的評估是一種判斷工作判斷工作，審計人員應當運用職業(yè)判斷，確定識別的風險

18、哪些是需要特別考慮的重大風險（以下簡稱特別風險）。特別風險常與重大的非常規(guī)交易和判斷事項有關與重大的非常規(guī)交易和判斷事項有關。對于特別風險，審計人員應當評價相關控制的設計情況，并確定其是否已經得到執(zhí)行。3僅通過實質性程序無法應對的重大錯報僅通過實質性程序無法應對的重大錯報風險風險32n只有存在下列情形時，審計人員才應當實施實施控制測試控制測試，再次評估認定層次的重大錯報風險：（1）在評估認定層次重大錯報風險時，預期控制的運行是有效的；（2）僅實施實質性程序不足以提供認定層次充分、適當?shù)膶徲嬜C據。33（二）執(zhí)行控制測試（二）執(zhí)行控制測試進一步評估進一步評估認定層次的重大錯報風險認定層次的重大錯報

19、風險n審計人員在了解被審計單位內部控制的過程中，可以對內部控制的某些方面進行評價對內部控制的某些方面進行評價，包括：（1）管理當局對內部控制的重視程度；（2）內部審計人員的勝任能力及其客觀性；（3）不相容職責的分離；（4）執(zhí)行會計職能和控制程序人員的勝任能力；（5）資產和權力的限制性接觸。341了解內部控制了解內部控制n審計人員在了解內部控制時，應當合理地利用以往的審計經驗，通?？蓪嵤┮韵鲁绦驅嵤┮韵鲁绦颍海?）詢問被審計單位有關人員。審計人員通過復核以前與被審計單位交往的情況，可以了解以前審計時發(fā)現(xiàn)的錯報或漏報種類及其原因。（2）檢查內部控制生成的文件和記錄。 （3）觀察被審計單位的業(yè)務活動

20、。（4）選擇若干具有代表性的交易或事項進行“穿行測試”。352記錄所了解的情況記錄所了解的情況（1）內部控制備忘錄。（2）內部控制問卷調查表和核對表。（3）內部控制流程圖。內部控制流程圖內部控制流程圖是審計人員用符號和圖形來表示被審計單位經濟業(yè)務和文件憑證在組織內部有序流動的圖表，它為審計人員掌握交易或事項處理的本質特征以及確定各交易循環(huán)的控制強弱點提供了一種快速而簡便的方法。圖8-7中分別以S-n和W-n表示內部控制的強點和弱點。圖8-8對圖8-7中指出的內部控制的強點和弱點進行了描述。363738 說說 明明強點S1 貨物出庫前銷售單中注明了賒銷信用的批準S2 提貨單證明貨物已經運出后才可

21、以開銷售發(fā)票并寄給顧客S3 諸如銷售單、銷售發(fā)票和提貨單等記錄都應事先編號弱點W1 沒有對顧客的訂單進行復核和批準的程序W2 沒有處理缺貨的正式程序；也就是說，貨物是否無法滿足訂 單，是否告知顧客，是否先提供部分貨物等的處理沒有規(guī)定W3 在寄給顧客之前沒有對銷售發(fā)票的合理價格、數(shù)量以及金額 進行復核 圖8-8 對內部控制流程圖中控制強點與弱點的說明 流程圖的繪制程序如下：流程圖的繪制程序如下： 確定流程圖特定符號及其含義。圖8-9展示了一些標準的流程圖標識。 選定流程圖控制主線。 決定控制點。 注明每張文件憑證的流向。 選擇流程圖繪制方式。 附加注釋。在具體繪制流程圖的過程中還應當遵循某些規(guī)則

22、，遵循某些規(guī)則，以促成流程圖的一致性：以促成流程圖的一致性： 應當以標準的流程圖標識來代表各種過程、決策、記錄以及流向； 流程圖的走向應當從左到右、從上到下；文字說明應盡量少。以上三種記錄對內部控制的了解的方法各有優(yōu)缺點各有優(yōu)缺點，它們之間并非相互排斥，而是相互依賴和相互補充的。 3940圖8-9 標準的流程圖標識 n認定認定層次重大錯報風險的進一步評價層次重大錯報風險的進一步評價是指審計人員據以確定財務報表認定所接受的檢查風險水平的重大錯報風險水平。n1通過控制測試降低認定層次重大錯報風險通過控制測試降低認定層次重大錯報風險的估計水平的估計水平控制測試有四個關注點四個關注點：（1）該項內部控

23、制是否有切實應用？（2）該項內部控制是否在被審計期間內一貫地應用？（3）該項內部控制由誰來應用？（4）該項內部控制以何種方式運行？41（三）進一步評價認定層次的重大錯（三）進一步評價認定層次的重大錯報風險并記錄結論報風險并記錄結論控制測試要求審計人員確定給定交易循環(huán)的相關的內部控制，并在會計期間內進行檢查，測試的目的是確定內部控制在會計期間內是否有效運行。在對職責沒有分離且沒有內部審計人員的小企業(yè)進行審計時，審計人員通常采用主要證實法證實法?？刂茰y試包括：控制測試包括： （1）重新執(zhí)行相關控制程序 （2）觀察與內部控制有關的活動 （3）相關記錄的檢查與測試n2. 進一步評價認定層次的重大錯報風險并進一步評價認定層次的重大錯報風險并記錄結論記錄結論 審計人員執(zhí)行完控制測試后，應根據控制測試的結果重新評價相關認定的重大錯報風險，并將評價的過程和結論記錄在工作底稿中。42二、將重大錯報風險的評價結果納入審計之中 n（一）審計風險評價總結（一）審計風險評價總結n圖8-10概括了重大錯報風險評價的全過程。n在圖8-10風險評價總結中應注意的一點是管理當局的態(tài)度和品質對財務報表層次和認定層次重大錯報風險的不同影響。 4344圖8-10 審計風險評價總結 （二）在風險分析的基