第十章 内部控制及控制风险评价 一、大纲
(一)内部控制目标与要素 (二)了解与记录内部控制 (三)内部控制测试 (四)内部控制评价 (五)管理建议书
二、本章重点、难点
注册会计师编制审计计划时,应当研究与评价被审计单位的内部控制。对拟信赖的内部控制进行符合性测试,据以确定对实质性测试的性质、时间和范围的影响。
第一节 内部控制的含义与目标
一、 内部控制定义
被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律、法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。 二、内部控制的目标。
(1)保证业务活动按照适当的授权进行; .....
(2)保证所有交易和事项以正确的金额,在恰当的会计期间及时记录于适当的账户,..使会计报表的编制符合会计准则的相关要求; ..
(3)保证资产的安全完整。保证对资产和记录的接触、处理均经过适当的授权; .........(4)保证业务活动的效率和效果 三、内部控制的历史演变 1、内部牵制阶段 2、内部控制阶段 3、内部控制结构阶段 4、内部控制整体框架阶段 四、有关内部控制的一般考虑。 ①管理当局的责任
建立、修正和维护公司的各项控制,并监督控制政策和程序得到持续有效的执行是管理当局的责任。
②合理的保证
A 公司管理当局应在综合考虑控制的成本效益的基础上,建立能为公司会计报表的....公允表达提供合理保证的内部控制。 ..
B 控制程序不应对工作效率或获利能力有不利影响。 ③固有的限制
由于②和③,会计报表审计总存在一定的控制风险,控制风险始终应大于零。因此不管内控如何,都要进行实质性测试。
4.了解内部控制与审计的关系
(1)不论被审计单位规模大小,都要充分了解相关的内控;
(2)根据了解,确定是否进行符合性测试及符合性测试的时间、性质和范围; (3)内控良好,绝不能完全取消实质性测试程序。
6
第二节 内部控制的构成要素
一、内部控制要素
(一)控制环境 (教材P123-124)
注册会计师应当对控制环境的构成要素获取足够的了解,并考虑内部控制的实质及其综合效果,以了解管理层和治理层对内部控制及其重要性的态度、认识以及所采取的措施。
①指对企业内部控制的建立和实施有重大影响的因素的总称。
②其好坏直接决定着企业其他控制能否实施或实施的效果;可增强也可削弱特定
控制的有效性。
③反映了管理当局和董事会关于控制对公司重要性的态度。 ④内容包括:
2、了解控制环境方法
(1)询问管理层和员工,注册会计师可能了解管理层如何就业务规程和道德价值观念与员工进行沟通;
(2)通过观察和检查,注册会计师可能了解管理层是否建立了正式的行为守则,在日常工作中行为守则是否得到遵守,以及管理层如何处理违反行为守则的情形。 3、.了解控制环境时评估舞弊风险
(1)有效的控制环境还能为注册会计师相信在以前年度和期中所测试的控制将继续有效运行提供一定基础;
(2)控制环境中存在的弱点可能削弱控制的有效性。 4、.控制环境时的局限性
控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报,注册会计师在评估重大错报风险时,应当将控制环境连同其他内部控制要素产生的影响一并考虑。
(二)风险评估
。组织规章和经营环境的变化
·人事变动。
·信息系统的新建和修改。 ·组织的迅速发展。
·与生产过程和信息系统有关的技术的变化。 ·引进新的生产线、新产品和新工序。
7
·公司重组。
·扩展或取得国外业务。
·采用新的会计原则或变更会计原则。 (三)控制活动
控制活动是指管理当局建立的为保证其指令被贯彻执行的政策和程序。与财务报表审计相关的控制活动如下。 1.业绩检查
·实际业绩与预算对比。 ·实际业绩与前期业绩对比。
·实际业绩与相关的不同的数据对比。 ·进行业绩的全面检查。
这些检查活动对实现企业经营的效果和效率非常有用,但一般与财务报告公允性的相关度不高。
2.业务交易活动的适当授权
一般来说,业务交易活动的授权分为两种。 (l) 一般授权
一般授权是指对形成了一定的规范标准的业务进行的授权。它是对办理常规经济业务权力、条件和有关责任者的规定,时效性较长。一般授权通常是在管理部门采用位责任制或管理文件的授权形式,或在经济业务中以规定其办理条件、范围和对该业务管理人员任命的形式予以反映的。比如,销售部门的人员可以根据已经形成的有关销售政策与客户进行交易。 (2)特殊授权
特殊授权是指对个别业务或特殊业务进行的授权。与一般授权不同,特殊授权只涉及特定的经济业务处理的具体条件及有关具体人员。比如,对于一项大额支出,额度远远超过财务部门的权限,要经过总经理直接批准,必须作为特殊授权。可见,这种授权时效较短。
交易授权程序的主要目的在于保证交易是管理人员在其授权范围内授权下产生的; ..交易授权程序通常对“存在或发生”认定,以及某些“估价或分摊”认定的控制风险有直接影响。
3.充分的记录
企业要设计各种恰当的账簿、凭证,并连续编号,对各项业务都要有充分、全面的记录。记录包括职工工资记录、永续盘存记录、销售汇总表等,这些汇总资料可用来同相应的每笔分录独立比较,以确定所有交易是否均已记录。
凭证和记录的控制程序会影响三种认定的控制风险,即:
A 适当保持的记录,如永续存货记录、应收账款记录、职工工资收人记录,同“存在或发生”认定有关。
B 使用预先编号的凭证并按其编号进行会计处理,同“完整性”认定有关。 C 原始凭证,提供了交易记录的金额,直接和“估价或分摊”认定相关 4.实物控制
实物控制包括为保证实物安全而采取的各项措施,也称资产和记录接近控制,包括: 资产接触和记录使用
A 主要是指限制接近资产和接近重要记录,以保证资产和记录的安全。 B 保护资产和记录安全的最重要措施就是采用实物防护措施。
C 同降低“存在或发生”、“完整性”、“估价或分摊”认定的控制风险相关。
8
5、职责划分
A 职责划分的主要目的是为预防和及时发现在执行所分配的职责时所产生的错误或..舞弊行为。
B 对于不相容的职责必须实行职责划分。 ...
C 小公司业主可通过担任一些特定的工作,来实现职责的合理划分;或通过对员工的工作进行严密的监督与复核,以弥补职责划分的不足。
D 职责划分会影响三种认定的控制风险,比如:
a 将资产保管同资产会计记录的掌管相分离,可以降低盗窃的风险,因为盗窃者将无法通过减少资产的记录来掩饰盗窃真相。
b 将处理现金支出交易同调节银行账户分离,可以降低不记录支票付款的风险,因为在调节过程中可发现这种风险。
c 付款凭证的批准同支票签发相分离,可以降低支票书写出错的风险。
第三节 内部控制的了解、评估和测试
一、 了解与记录内部控制 了解内部控制的四个步骤
第一步,识别需要降低哪些风险以预防财务报表中发生重大错报; 第二步,记录相关的内部控制; 第三步,评估控制的执行; 第四步,评估内部控制的设计 1、业务循环及其分类
(1)如何划分业务循环,应视企业的业务性质和规模而定。
(2)不论如何划分业务循环,注册会计师要将主要精力集中在那些影响会计报表反映的内部控制程序上。
(3)制造业可划分为下列业务循环:
① 销售与收款循环; ② 购货与付款循环; ③ 生产循环;
④ 筹资与投资循环; ⑤ 投资与理财循环。
2、了解内部控制的程序
①询问被审计单位有关人员; ..
②查阅相关内部控制文件; ..③检查内部控制生成的文件和记录; ..
④观察被审计单位的业务活动和内部控制的运行情况; ..⑤选择若干具有代表性的交易和事项进行穿行测试。 ....。
二、 记录内部控制的方法 (1)基本要求
①当控制风险评价为最高水平时,只需记录这一评价结论; ②当控制风险评价低于最高水平时,还必须记录评价的依据。 (2)记录方法
①调查表(问卷);
9
②文字表达; ③流程图;
三、初步评价控制设计并初步评估控制
1.对控制的初步评价
注册会计师对控制的评价结论可能是: (1)所设计的控制单独或连同其他控制能够防止或发现并纠正重大错报,并得到执行; (2)控制本身的设计是合理的,但没有得到执行; (3)控制本身的设计就是无效的或缺乏必要的控制。
由于对控制的了解和评价是在穿行测试完成后,但又在测试控制运行有效性之前进行的,因此,上述评价结论只是初步结论,仍可能随控制测试后实施实质性程序的结果而发生变化。
评价控制风险——CR 风险评估——X
2.风险评估需考虑的因素
(1)账户特征及已识别的重大错报风险 如果已识别的重大错报风险水平为高(例如,复杂的发票计算或计价过程增加了开票错报的风险;经营的季节性特征增加了在旺季发生错报的风险),相关的控制应有较高的敏感度,即在错报率较低的情况下也能防止或发现并纠正错报。
相反,如果已发现的重大错报风险水平为低(例如,在一个较小的、劳动力相对稳定的公司中员工工薪的会计处理未能实现恰当准确性目标的风险),相关的控制就无须具有像重大错报风险较高时那样的敏感性。
(2)对被审计单位整体层面控制的评价
注册会计师应将对整体层面获得的了解和结论,同在业务流程层面获得的有关重大交易流程及其控制的证据结合起来考虑。
1.内部控制的某些要素(如控制环境)更多地对被审计单位整体层面产生影响,而其他要素(如信息系统与沟通、控制活动)则可能更多地与特定业务流程相关。
2.在实务中,注册会计师应当从被审计单位整体层面和业务流程层面分别了解和评价被审计单位的内部控制。
3.整体层面的控制(包括对管理层凌驾于内部控制之上的控制)和信息技术一般控制通常在所有业务活动中普遍存在。业务流程层面控制主要是对工薪、销售和采购等交易的控制。两者的相互关系如图13-3所示。整体层面的控制对内部控制在所有业务流程中得到严格的设计和执行具有重要影响。整体层面的控制较差甚至可能使最好的业务流程层面控制失效。
10