《內部控制與風險管理（第二版）》第六章內部控制評價

第六章

內部控制評價

章節(jié)目錄第一節(jié)

內部控制評價主體第二節(jié)

管理層評估內部控制第三節(jié)

注冊會計師對內部控制的評價第一節(jié)內部控制評價主體一、審計的要求內部控制評價目標滿足審計的需要滿足管理的需要法律法規(guī)的遵循賬表基礎審計制度基礎審計風險導向審計制度基礎審計內部控制評價主體：審計人員內部控制評價客體：被審計單位的內部控制制度內部控制評價目標：通過對被審計單位的內部控制制度的健全、有效性的評價，判斷其內部控制的可依賴程度，進而確定審計的范圍、重點和具體方法，從而提高審計質量和效率、節(jié)約審計時間和費用。風險導向審計內部控制評價主體：審計人員內部控制評價客體：被審計單位的內部控制制度、控制風險在實施風險導向審計過程中，審計人員需要對內部控制進行初步評價及再評價。內部控制評價目標：通過對控制風險的評價來確定相關的審計程序，從而控制審計風險。第一節(jié)內部控制評價主體二、法律法規(guī)的要求內部控制評價目標應當是滿足法律法規(guī)的要求，并有利于法案堆在內部控制或其他方面的具體要求。美國：1977年《反國外賄賂法》1991年《聯幫儲蓄保險公司修正法案》2002年《薩班斯—奧克斯利法案》中國：2001年《公開發(fā)行證券的公司信息披露內容與格式準則第11號——上市公司公開發(fā)行證券募集說明書》2006年《上市公司內部控制指引》2008年《企業(yè)內部控制基本規(guī)范》第一節(jié)內部控制評價主體三、企業(yè)自身管理與發(fā)展的要求內部控制是企業(yè)管理工作的基礎。一般而言，公司內部控制報告包括以下內容:（1）對高層管理人員所負責實施的調查和評價的性質進行描述，并且指出高層管理人員是否相信這些調查，從而對內部控制有效性做出評價；（2）對報告期內針對高層管理人員認為的過度商業(yè)風險所采取的補救措施進行描述，并對他們知道的將持續(xù)存在的過度商業(yè)風險進行披露；（3）提供在過度商業(yè)風險方面與外部審計師或內部審計師的不同意見，以及解決這些不同意見的建議等信息。第一節(jié)內部控制評價主體第二節(jié)管理層評估內部控制一、內部控制自我評價與評價目標管理層評估內部控制稱為內部控制自我評價，是指公司董事會及其審計委員會根據內部控制評價的有效性標準對本公司內部控制的設計和執(zhí)行情況進行自我評價的過程。內部控制自我評價關注：(1)確定主要商業(yè)風險；(2)幫助實現公司目標；(3)檢查現有的流程控制情況并改進；(4)調查商業(yè)流程并改進。二、內部控制自我評價程序（一）分解內部控制系統（二）分析內部控制目標（三）梳理企業(yè)業(yè)務流程（四）選擇關鍵控制點（五）建立評價指標體系（六）評價并報告考慮因素：(1)崗位牽制;(2)授權;(3)信息溝通;(4)檢查監(jiān)督;(5)記錄;(6)相關考核。1.設計評價指標2.確定指標標準第二節(jié)管理層評估內部控制三、內部控制自我評價的實施（一）管理整合方法管理整合方法，是在現有制度的基礎上，對所有業(yè)務作流程化處理，確定控制路線、環(huán)節(jié)和控制標準，從而定期評價內部控制。企業(yè)基于業(yè)務流程的內部控制評價可以采用管理整合方法優(yōu)點：1.包含整體思想；2.簡明直觀；3.激發(fā)員工責任感。缺點：1.實際操作中，確定關鍵控制點的困難2.對關鍵控制點責任人的界定模糊不清第二節(jié)管理層評估內部控制第二節(jié)管理層評估內部控制管理整合方法框架圖（二）分層評價方法分層評價方法，是在企業(yè)的重要業(yè)務、流程及全程控制有效性方面設計綜合評價指標，定期評價這些指標，以確定組織內部各部門、層次、環(huán)節(jié)控制的水平。適用于層級結構復雜的企業(yè)集團；組織結構簡單的中小企業(yè)，沒有必要進行分層評價。優(yōu)點：既有對單個部門或單個業(yè)務的內部控制狀況的具體評價，又有對企業(yè)內部控制狀況的整體把握，形成了分級別、一體化的評價體系，得到比較全面的評價。缺點：分層邏輯與企業(yè)日常業(yè)務處理的順序不同，易導致考察具體工作時缺乏邏輯上的連貫性，不利于發(fā)現業(yè)務處理中存在的漏洞。第二節(jié)管理層評估內部控制第二節(jié)管理層評估內部控制分層評價方法框架圖（三）因地制宜的評價方法因地制宜的內部控制評價方法，即針對組織經常發(fā)生問題的內部控制環(huán)節(jié)進行深入的調查和分析，根據問題產生的原因制定相應的對策或對內部控制系統進行調整、修補，甚至是部分或全部的重構。第二節(jié)管理層評估內部控制結果導向、事后實施實施步驟：（1）對于已經發(fā)生的問題或顯現出來的征兆，通過聚焦式的觀察發(fā)現其原因；（2）判斷此項原因是否由局部或者整體內部控制的失效引起，決定是否需要改進內部控制，在何種程度上進行改進；（3）通過對內部控制的改進和其他配套措施的實施，預防同類問題再次發(fā)生。只適用于已經建立了內部控制系統并運行良好的大型企業(yè)和組織，而不適用于尚無或正在建立內部控制的小型企業(yè)。第二節(jié)管理層評估內部控制一、注冊會計師了解內部控制對內部控制的了解應分別在企業(yè)整體層面和個別認定、交易或披露層面展開。審計人員常用以下方法了解內部控制：（1）詢問被審計單位有關人員，并查閱相關內部控制文件，將兩者進行核對，以檢查文件規(guī)定與有關人員的理解是否一致。（2）檢查內部控制生成的文件和記錄，以增強對被審計單位內部控制的感性認識與直觀印象。（3）觀察被審計單位的業(yè)務活動和內部控制的運行情況，以便了解業(yè)務授權、文件記錄等內部控制的執(zhí)行是否與制度規(guī)定相吻合。（4）選擇若干具有代表性的交易和事項進行穿行測試。第三節(jié)注冊會計師對內部控制的評價二、從企業(yè)整體層面了解內部控制（一）了解控制環(huán)境（二）了解信息系統與溝通（三）了解被審計單位的風險評估過程（四）了解控制活動（五）了解對內部控制的監(jiān)督控制環(huán)境包括治理職能和管理職能，以及治理層和管理層對內部控制及其重要性的態(tài)度、認識和措施。在審計業(yè)務承接階段，注冊會計師就需要初步了解和評價控制環(huán)境。影響控制環(huán)境的因素較多，主要包括：(1)經營管理的觀念、方式和風格。(2)組織結構和權利職責的劃分方法。(3)控制系統。與財務報告相關的信息系統，包括用以生成、記錄、處理和報告交易、事項和情況，對相關資產、負債和所有者權益履行經營管理責任的程序和記錄。從五個方面了解，包括被審計單位內部的溝通、管理層與治理層之間的溝通，以及被審計單位與外部的溝通。針對財務報告目標的風險評估過程則包括識別與財務報告相關的經營風險，評估風險的重大性和發(fā)生的可能性，以及采取措施管理這些風險?？紤]的主要因素包括:企業(yè)整體目標及計劃、風險評估過程及應對措施、識別和應對重大變化的機制、識別會計準則重大變化的流程、業(yè)務變化時與會計部門溝通渠道、識別經營環(huán)境包括監(jiān)管環(huán)境重大變化的流程等是否建立?？刂苹顒邮侵赣兄诖_保管理層的指令得以執(zhí)行的政策和程序，包括授權、業(yè)績評價、信息處理、實物控制和職責分離等相關活動。重點考慮一項控制活動單獨或連同其他控制活動，是否能夠以及如何防止或發(fā)現并糾正各類交易、賬戶余額、列報存在的重大錯報。對內部控制的監(jiān)督是被審計單位評價內部控制在一段時間內運行有效性的過程，該過程包括及時評價控制的設計和運行，以及根據情況的變化采取必要的糾正措施?？紤]的主要因素包括:內部控制的定期評價，內部控制是否有效運行的證據，與外部的溝通效果，管理層是否采納有關內部控制的建議、是否及時糾正內部控制運行中的偏差、是否根據監(jiān)管機構的報告和建議及時采取糾正措施。第三節(jié)注冊會計師對內部控制的評價三、從業(yè)務流程層面了解內部控制注冊會計師在重要業(yè)務流程層面了解內部控制通常包括如下步驟。1.確定重要業(yè)務流程和重要交易類別2.了解并記錄重要交易流程3.確定可能發(fā)生錯報的環(huán)節(jié)4.識別和了解相關控制第三節(jié)注冊會計師對內部控制的評價四、內部控制測試測試目標內部控制設計的健全性內部控制運行的有效性重復核查證據檢查觀察測試方法第三節(jié)注冊會計師對內部控制的評價五、評價內部控制風險對內部控制制度最終的評價結果，根據可信賴程度的高低可以分為：1.高信賴程度控制風險評價為低水平，控制風險小于10%。2.中信賴程度控制風險評價為中等水平，控制風險在10%~40%之間。3.低信賴程度控制風險評價為高水平，控制風險大于40%。審計人員必須以通過控制測試所獲得的證據為依據，充分運用專業(yè)判斷，同時注意內部控制要素對某項特定