《第八章 内部控制与风险评估.ppt》由会员分享,可在线阅读,更多相关《第八章 内部控制与风险评估.ppt(66页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 综合题nX公司系公开发行上市公司,主要经营计算机硬件的开发.集成与销售,cpa于2003年初对X公司2002年度会计报表进行审计,初步了解该公司2002年度的经营形势.管理及经营机构与2001年度比较未发生重大变化,且未发生重大重组行为。其他相关资料如下:n如资料:x公司0102年度巳审未审利润表如下 项 目02年未审01年已审一、主营业务收入10430058900减:主营业务成本9184553599 主营业务税金及附加560350二、主营业务利润118954951加:其他业务利润4056减:营业费用28001610 管理费用23803260 财务费用180150三、营业利润6575-13加
2、:补贴收入980 营业外收入100150减:营业外支出260300四、利润总额7395-163减:所得税33800五、净利润6595-163资料x公司02年度1-12月份未审主营业务收入、成本列示如下:月份主营业务收入主营业务成本17800756627600676437400651247700676857800698167850694777950711587700683097600683210790071111181007280121890015139合计10430091845n要求:n1.为确定重点审计领域,CPA拟实施分析程序。请对资料一进行分析后,指出利润表中的重点审计领域,并简要说明理
3、由:n对资料二进行分析后,指出主营业务收入和主营业务成本的重点审计领域,并简要说明理由。n参答参答:n对资料一进行分析程序后,确定主营业务收入、主营业务成本、营业费用、管理费用、财务费用、补贴收入、所得税确认为重点审计领域。原因为:从横向分析看,主营业务收入、主营业务成本、营业费用的增长率分别为77.1%、71.4%、73.9%、增长变动大,应确认为重点审计领域。在收入、成本、利润都增长时,02年度的管理费用比01年降低了27%,应确认为重点审计领域。980万补贴收入、800万所得税都是02年新增加的核算内容,应确认为重点审计领域。n对资料二进行分析程序后,确定1月份、12月份的主营业务收入、
4、主营业务成本为重点审计领域。因为全年平均毛利率为11.94%,1月份仅3%、12月份为19.9%,且12月份收入占全年比重达18.12%第八章第八章 内部控制与重大错报风险评估内部控制与重大错报风险评估第一节第一节 内部控制内部控制l一、内部控制概念及其思想的历史演进l二、内部控制的构成要素l三、内部控制的固有局限性与小企业的内部控制一、内部控制概念及其思想的历史演进一、内部控制概念及其思想的历史演进l内部牵制(内部牵制(40年代前)年代前)l内部会计控制和管理控制(内部会计控制和管理控制(70年代前)年代前)l内部控制结构(内部控制结构(80年代)年代)l内部控制框架(内部控制框架(90年代
5、)年代)l(一)萌芽期内部牵制l内部控制,作为一个专用名词和完整概念,直到本世纪30年代 才被人们提出、认识和接受。但在此前的人类社会发展史中,早已存在着内部控制的基本思想和初级形式,这就是内部牵制(Internal check)。例如,在古罗马时代,对会计账簿实施的双人记账制-某笔经济业务发生后,由两名记账人员同时在各自的账簿上加以登记然后定期核对双方账簿记录,以检查有无记账差错或舞弊行为,进而达到控制财物收支的目的,即是典型的内部牵制措施。l内部牵制的形式实物牵制:例如把保险柜的钥匙交给二个以上的工作人员持有。机械牵制:例如保险柜的大门若非按正确程序操作就打不开。体制牵制:采用双重控制预防
6、错误和舞弊的发生。簿记牵制:定期将明细账与总账进行核对。l内部牵制的基本理念二个或以上的人或部门无意识地犯同样错误的机会是很小的;二个或以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。(二二)发展期发展期内部会计与管理控制内部会计与管理控制l1934年美国证券交易法,首先提出了“内部会计控制”(Internal accounting control system)的概念。l审计程序委员会(CAP)下属的内部控制专门委员会1949年对内部控制首次做出了如下权威定义:“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率,推动管理部门所制定的各项
7、政策得以贯彻执行的组织计划和相互配套的各种方法及措施”。l1958年10月,审计程序委员会(CAP)又发布了审计程序公告第29号(SAP No.19),将内部控制划分为会计控制和管理控制。(二二)发展期发展期内部会计与管理控制内部会计与管理控制l1973年,AICP在第54号审计程序公告中:ll(1)内部会计控制。会计控制包括组织机构的设计以及与财产保护和财务会计记录可靠性有直接关系的各种措施。l(2)内部管理控制。管理控制包括但不限于组织计划以及与管理部门授权办理经济业务的决策过程有关的程序及其记录。这种授权活动是管理部门的职责,它直接与管理部门执行该组织的经营目标有关,是对经济业务进行会计
8、控制的起点。(三)成熟期内部控制结构和内部控制整体框架l1.内部控制结构(Internal Control Structure)l1988年4月美国注册会计师协会发布的审计准则公告第55号(SAS N0.55),规定从1990年1月起以该文告取代1972年发布的审计准则公告第1号。该文告首次以内部控制结构(Internal Control Structure)一词取代原有的“内部控制”COSO关于关于内部控制的内部控制的定义定义lCOSO报告指出:内部控制是一个过程,受企业董事报告指出:内部控制是一个过程,受企业董事会、管理当局和其他员工影响,旨在保证财务报告的会、管理当局和其他员工影响,旨在
9、保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由:认为内部控制整体架构主要由:控制环境控制环境(control environment)风险评估风险评估(risk assessment)控制活动控制活动(control activities)信息与沟通信息与沟通(information and communication)监督监督(monitoring)信息与沟通信息与沟通控控 制制 环环 境境风风 险险 评评 估估控控 制制 活活 动动监监 控控COSO COSO 内内 控控 模模 型型 内内 部部 控控 制
10、制 五五 要要 素素 :信息与沟通信息与沟通控制环境控制环境风险评估风险评估控制活动控制活动监监 控控 构成一个企业的氛围,是构成一个企业的氛围,是其他内部控制要素的基础其他内部控制要素的基础 内内 部部 控控 制制 五五 要要 素素 :COSO COSO 内内 控控 模模 型型员工的诚实和职业道德;员工的诚实和职业道德;员工的胜任能力;员工的胜任能力;董事会及监事会(审计委员会)的参与;董事会及监事会(审计委员会)的参与;管理理念和经营作风;管理理念和经营作风;组织机构;组织机构;权力和责任的规定;权力和责任的规定;人力资源政策及执行。人力资源政策及执行。信息与沟通信息与沟通控制环境控制环境
11、风险评估风险评估控制活动控制活动监监 控控 风险是一种潜在的风险是一种潜在的问题或损失。(依据)问题或损失。(依据)风险评估:风险评估:确定什么地方可能确定什么地方可能出错,会有什么影响?出错,会有什么影响?内内 部部 控控 制制 五五 要要 素素 :COSO COSO 内内 控控 模模 型型l风险来自:风险来自:经营环境的变化经营环境的变化聘用新的员工聘用新的员工采用新的或改良的信息系统采用新的或改良的信息系统迅猛的发展速度迅猛的发展速度新技术的应用新技术的应用新的行业、产品或经营活动的开发新的行业、产品或经营活动的开发企业改组企业改组海外经营海外经营新会计方法的采用新会计方法的采用信息与沟
12、通信息与沟通控制环境控制环境风险评估风险评估控制活动控制活动监监 控控 为防范风险所采为防范风险所采取的措施和行动。取的措施和行动。(手段)(手段)控制活动包括:组织机构、控制活动包括:组织机构、政策、标准、流程的建立,政策、标准、流程的建立,授权、批准,复核经营业绩,授权、批准,复核经营业绩,保护资产,职责分离保护资产,职责分离控制活动能够抵偿风险控制活动能够抵偿风险 内内 部部 控控 制制 五五 要要 素素 :COSO COSO 内内 控控 模模 型型业绩评价;业绩评价;信息处理控制;信息处理控制;实物控制;实物控制;职务分离。职务分离。监督和评估内部控监督和评估内部控制系统设计合理性和运
13、制系统设计合理性和运行有效性。(保证)行有效性。(保证)信息与沟通信息与沟通控制环境控制环境风险评估风险评估控制活动控制活动监监 控控 内内 部部 控控 制制 五五 要要 素素 :COSO COSO 内内 控控 模模 型型内部监督内部监督l自我评估自我评估l内部审计内部审计外部监督外部监督l与外部单位、机构进行信息交流。与外部单位、机构进行信息交流。信息与沟通信息与沟通确认、记录所有有效的经济业务;确认、记录所有有效的经济业务;序时详细记录经济业务,以便适当归类、提供会计序时详细记录经济业务,以便适当归类、提供会计报告;报告;采用恰当的货币价值计量经济业务;采用恰当的货币价值计量经济业务;确定
14、经济业务发生时期,并保证在合理会计期间记确定经济业务发生时期,并保证在合理会计期间记录经济业务;录经济业务;在财务报告中恰当揭示经济业务在财务报告中恰当揭示经济业务(三)成熟期内部控制结构和内部控制整体框架l2.内部控制整体框架(Internal Control一Integrated Framework)l1992午,美国反对虚假财务报告委员会(National Commission on Fraudulent Reporting),所属的内部控制专门研究委员会发起机构委员会(Committee of Sponsoring Organizations of the Tread-way Comm
15、ission,简称COSO委员会),在进行专门研究后提出专题报告:内部控制一一整体架构(Internal Control一Integrated Framework),也称COSO报告。从从“内部控制内部控制”到到“企业风险管企业风险管理理”控 制 环 境风 险 评 估控 制 活 动监督作业活动1作业活动2循遵营经告报信息与沟通内 部 环 境战 略目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控经 营报 告遵 循子公司业务单位分支机构企业整体层次COSO企业风险管理企业风险管理(2004)lERM框架有三个维度;l第一维是企业的目标,企业的目标有四个,即战略
16、目标、经营目标、报告目标和合规目标。l第二维全面风险管理要素有8个,即内部环境;目标设定;事件识别;风险评估;风险对策;控制活动;信息和交流;监控。l第三个维度是企业的层级,包括整个企业、各职能部门、各条业务线及下属各子公司。lERM三个维度的关系是,企业风险管理的8个要素都是为企业的四个目标服务的;企业各个层级都要坚持同样的四个目标;每个层次都必须从以上8个方面进行风险管理。l该框架适合各种类型的企业或机构的风险管理。企业风险管理企业风险管理综合框架综合框架(ERM)企业目标可以从以下四个方面来考虑:战略经营报告遵循内 部 环 境战 略目 标 设 定事 件 识 别风 险 评 估风 险 应 对
17、控 制 活 动信息与沟通监 控经 营报 告遵 循子公司业务单位分支机构企业整体层次ERM框架(续)框架(续)ERM考虑了组织中所有层次上的活动:企业整体层次分支机构或者子公司业务单元环节内 部 环 境战 略目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控经 营报 告遵 循子公司业务单位分支机构企业整体层次COSO的企业风险管理的企业风险管理l企业风险管理框架包括八个基本要素1.内部环境2.目标制定3.事件识别4.风险评估5.风险应对6.控制活动7.信息和沟通8.监控 内 部 环 境战 略目 标 设 定事 件 识 别风 险 评 估风 险 应 对控 制 活 动
18、信息与沟通监 控经 营报 告遵 循子公司业务单位分支机构企业整体层次1.内部环境内部环境l建立风险管理理念。应认识到未预期事件与预期事件一样可能发生。l建立企业的风险文化。l考虑所有的其他组织行为如何影响风险文化。2.目标设定目标设定l在设定目标时,管理层应该考虑风险战略。l形成企业的风险偏好(risk appetite)从高层次的视角来确定管理层和董事会乐意接受多大风险。l风险容忍度(risk tolerance),是指目标变化程度的可接受水平,是与风险偏好相联系的。3.事件(风险)识别事件(风险)识别l区分风险和机会。l带来负面影响的事件代表风险。l带来正面影响的事件代表自动抵消(机会),
19、管理层应该在战略制定中重新考虑这些事件的存在。l考虑发生在内部的或发生在外部的可能影响战略和目标实现的事件。l指出内部资源与外部资源应如何结合起来,相互作用来影响风险的组合。4.风险评估风险评估l使得企业了解潜在事件影响目标的程度。l从两个角度评估风险风险发生的可能性风险发生的影响力l不仅可以用来评估风险,还可以用来衡量相关目标。l结合运用定性的和定量的风险评估方法。l将时间纬度与目标纬度联系起来。l既要评估固有风险,还要评估剩余风险。5.风险应对风险应对l识别并评价潜在的风险应对方案。l根据企业的风险偏好、潜在风险应对方案的成本效益以及应对方案能够降低风险影响力和(或)可能性的程度来评估各种
20、方案。l在评估风险组合和应对方案的基础上,选择并实施应对方案。风险应对风险应对l风险应对总体策略:战略风险:公司治理经营风险:内部控制l风险应对具体对策:风险转移(保险、套期保值、期货)风险避免(退出交易活动)风险承担(考虑成本效益原则)风险减少(加强控制)可能性高减少规避低接受共担低高影响风险应对风险应对6.控制活动控制活动l控制活动是保证风险应对方案以及其他企业指令得到执行的相关政策和程序。l控制活动存在于整个企业,包括各个层面和各个职能。l控制活动包括操作控制和一般的信息技术控制。7.信息与沟通信息与沟通l管理层必须以一定的格式和时间间隔识别、捕捉和传递有关信息,以保证企业的员工能够执行
21、各自的职责。l沟通的意义广泛,包括企业内自上而下、自下而上以及横向的沟通。8.监控监控l通过以下三种方式对ERM的其他几个要素进行监控:持续的监控活动个别评估两者的结合 安然事件爆发安然事件爆发l安然公司1985年成立,2001年财富世界500强中排第16位,营业收入1387亿美元,2001年11月安然重新公布19972000年的财务报表,累计减少利润近6亿美金,2001年12月申请破产保护,破产资产总额498亿美元,为美国历史之最。股票最高价超过90美元,最低价不到20美分。2002年1月16日,纽约证交所将安然公司摘牌,公司正式破产,整个案件造成市值损失320亿美元,财产损失500亿美元。
22、世通事件爆发世通事件爆发l世通公司是美国第二大电信公司,2002年,被发现利用将营运性开支列作资本性开支等弄虚作假的手法,在1998-2002期间,虚报收入110亿美元。事发之后,世通的股价从最高的64.5美元暴跌至3美元。世通于2002年7月申请破产保护令,以1070亿美元的资产、410亿美元的债务成为美国历史上最大的破产个案,刷新了美国历史上的破产规模记录。7月30日,纳斯达克证交所将世通公司摘牌。整个案件造成市值损失1200亿美元,财产损失1000亿美元。1987-1997欺诈性财务报告研究欺诈性财务报告研究l研究发现:存在财务报告欺诈舞弊问题的一般是小公司,大多不在纽约证券交易所或美洲
23、证券交易所上市的公司进行欺诈舞弊的大多是公司高层,72%的案例显示由公司CEO参与有欺诈舞弊情况的公司,董事会和审计委员会都很弱,审计委员会很少碰头,董事会由内部人控制大部分公司由发起人和公司董事拥有当公司发生欺诈舞弊情况时,后果非常严重,大部分导致破产、股权重大变更或直接退市三、内部控制的固有局限性与小企业的内三、内部控制的固有局限性与小企业的内部控制部控制 局限性:局限性:1.成本效益考虑;成本效益考虑;2.异常活动超出设计范围;异常活动超出设计范围;3.控制执行人员责任性不强;控制执行人员责任性不强;4.高层管理者自我违规操作高层管理者自我违规操作、控制执行人员控制执行人员串通舞弊;串通
24、舞弊;5.环境改变,内部控制失效。环境改变,内部控制失效。l小企业的补偿控制:l1、在签发支票之前检查所有凭证,并直接邮寄支票。l2、仔细符合客户对账单后直接邮寄。l3、在发送购货指令给供货商之前进行检查。l4、运用分析程序并调查异常的关系。l5、控制现金收款并与每日银行存款回单相比较。l6、由出纳员和记账人员之外的人员核对银行存款账户。l7、所有客户账户的冲销均需要经过批准。l8、定期对存货进行测试性盘点并与永续记录相比较。l9、在签发工资支票之前进行复核,并偶尔进行意外的工资支票分发。l10、聘请注册会计师定期对会计系统和相关的财务报表进行复核。第二节第二节 重大错报风险评估重大错报风险评
25、估l一、重大错报风险的评估过程l二、将重大错报风险的评估结果纳入审计之中l三、报告内部控制的薄弱点和其他有关事项一、重大错报风险的评估过程一、重大错报风险的评估过程l(一)执行风险评估程序评估财务报表层次和认定层次重大错报风险l1、在了解被审计单位及其环境的整个过程中识别风险,并考虑各类交易、账户余额、列报和披露。l2、将识别的风险与认定层次可能发生错报的领域相联系。l3、考虑识别的风险是否重大。l4、考虑识别的风险导致财务报表发生重大错报的可能性。l审计人员应当运用各项风险评估程序,在了解被审计单位及其环境的整个过程中识别风险,并将识别的风险与各类交易、账户余额和列报联系起来。l例如,被审计
26、单位因相关环境法规的实施需要更新设备,将导致对原有设备提取减值准备;宏观经济的低迷可能预示应收账款的回收存在问题:竞争者开发的新产品上市,可能导致被审计单位的主要产品在短期内过时,预示将出现存货跌价和长期资产(如同定资产等)的减值。l审计人员应当将识别的风险与认定层次可能发生错报的领域联系起来。例如。销售困难使产品的市场价格下降,可能导致年末存货成本高于其可变现净值而需要计提存货跌价准备,这表明存货的计价认定可能发生错报。l风险是否重大是指风险造成后果的严重程度。l例如,在由于销售困难使产品的市场价格下降的情况下,除考虑产品市场价格下降因素外,审计人员还应当考虑产品的市场价格下降的幅度、该产品
27、在被审计单位产品中的比重等,以确定识别的风险对财务报表的影响是否重大。l假如产品市场价格大幅下降,导致产品销售收入不能抵偿成本,毛利率为负。那么年末存货跌价问题严重,存货计价认定发生错报的风险重大;假如价格下降的产品在被审计单位销售收入中所占比例很小,被审计单位其他产品销售毛利率很高,尽管该产品的毛利率为负,但可能不会使年末存货发生重大跌价问题。l 审计人员还需要考虑上述识别的风险是否会导致财务报表发生重大错报。l例如,考虑存货的账面余额是否重大,是否已适当计提了存货跌价准备等。在某些情况下,尽管识别的风险重大,但仍不至于导致财务报表发生重大错报风险。如期末财务报表中存货的余额较低,尽管识别的
28、风险重大,但不至于导致存货的计价认定发生重大错报风险。又如,被审计单位对存货跌价准备的计提实施了比较有效的内部控制,管理层已根据存货的可变现净值计提了相应的跌价准备。在这种情况下,财务报表发生重大错报的可能性将相应降低。需要特别考虑的重大错报风险需要特别考虑的重大错报风险l作为风险评估的一部分,审计人员应当运用职业判断,确定识别的风险哪些是需要特别考虑的重大错报风险(简称特别风险)。特别风险的判定特别风险的判定l在确定哪些风险是特别风险时,审计人员应当在考虑识别出效果前,根据风险的性质、潜在错报的重要程度(该风险是否可能导致多项错报)和发生的可能性。判断风险是否属于特别风险时,审计人员判断风险
29、是否属于特别风险时,审计人员应当考虑下列事项:应当考虑下列事项:(1)风险是否属于舞弊风险;(2)风险是否与近期经济环境、会计处理方法和其他方面的重大变化有关;(3)交易的复杂程度;(4)风险是否涉及重大的关联方交易;(5)财务信息计量的主观程度,特别是对不确定事项的计量存在较大区间;(6)风险是否涉及异常或超出正常经营过程的重大交易。l特别风险通常与重大的非常规交易和判断事项有关,而日常的、简单的、常规处理的交易不大可能产生特别风险。非常规交易是指由于金额或性质异常而不经常发生的交易。判断事项通常是指作出的会计估计。如资产减值准备金额的估计、需要运用复杂估值技术确定的公允价值计量等。l与重大
30、非常规交易相关的特别风险可能导致更高的重大错报风险,这是因为在非常规交易中,管理层会更多地介入会计处理,数据收集和处理将涉及更多的人工成分,业务处理将涉及复杂的计算或会计处理方法,而且非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制。l而重大判断事项:l一方面,对涉及会计估计、收入确认等方面的会计原则存在不同的理解;l另一方面,所要求的判断可能是主观和复杂的,或需要对未来事项作出假设,所以,与重大判断事项相关的特别风险也可能导致更高的重大错报风险。特别风险的处理特别风险的处理l审计人员应当了解和评价被审计单位针对特别风险的控制的设计情况,并确定其是否已经得到执行。l如果管理
31、层没有实施控制以恰当应对特别风险,审计人员应当认为内部控制存在重大缺陷,并考虑其对风险评估的影响。在此情况下,审计人员应当考虑就此类事项与治理层沟通。仅通过实质性程序无法应对的重大错报风险仅通过实质性程序无法应对的重大错报风险l审计人员应当评价被审计单位针对这些风险设计的控制,并确定其执行情况。l 在被审计单位对日常交易采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的有效性,审计人员应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。l例如,某企业通过高度自动化的系统确定采购品种和数量,生成采购订单,并通过系统中设定的收货
32、确认和付款条件进行付款。除了系统中的相关信息以外,该企业没有其他有关订单和收货的记录。在这种情况下,如果认为仅通过实质性程序不能获取充分、适当的审计证据,审计人员应当考虑依赖的相关控制的有效性,并对其进行了解、评估和测试。识别的重大错报风险汇总表识别的重大错报风险对财务报表的影响相关的交易类别、账户余额和列报认定是否与财务报表整体广泛相关是否属于特别风险是否属于仅通过实质性程序无法应对的重大错报风险记录识别的重大错报风险描述对财务报我的影响和导致财务报表发生重大错报的可能性列示相关的各类交易、账户余额、列报及其认定考虑是否属于财务报表层次的重大错报风险考虑是否属于特别风险考虑是否属于仅通过实质性程序无法应对的重大错报风险l(二)执行控制测试进一步评估认定层次的重大错报风险l1、了解内部控制l2、记录所了解的情况(备忘录、问卷调查表、核对表、流程图)l(三)进一步评价认定层次的重大错报风险并记录结论l1、通过控制测试降低认定层次重大错报风险的估计水平l2、进一步评价认定层次的重大错报风险并记录结论二、将重大错报风险的评估结果纳入审计二、将重大错报风险的评估结果纳入审计之中之中l(一)审计风险评价总结l(二)在风险分析的基础上调整重要性水平l(三)在风险分析的基础上设计实质性审计程序三、报告内部控制的薄弱点和其他有关事三、报告内部控制的薄弱点和其他有关事项项l管理建议书p308