2_了解客户的经营状况：战略风险管理--chengyue

二、管理控制
1 管理控制的形式 2 评价管理控制 3 管理控制的潜在局限性
1 管理控制的形式
管理控制可以采用多种形式，不一定总表现 为正式的程序。
重要的管理控制形式包括：
（1）最高层的检查 （2）直接的业务活动管理 （3）绩效测评指标和基准指标 （4）独立评价
（1）最高层的检查
（3）绩效测评指标和基准指标
一套以经营和财务数据为基础的诊断指标是 监测组织状况的强有力的工具。 如果能运用相关的基准指标，这个工具就更 加强大了。 基准指标只是目标水平或与相关绩效指标进 行比较的标准，例如，应收账款的拖欠比率。
（4）独立评价
如果执行控制的人员不参与相应的经营或业 务活动，即与其保持独立，那么控制最为有 效。 在组织中，管理当局通常最适于对大多数业 务活动执行独立监督。
（3）营销和销售活动
这是指为公司的产品和服务创造需求并管理客户关系的 活动。 营销和销售活动的复杂性取决于：广告活动的性质；与 客户联络销售的类别；分销渠道的选择。 营销和销售产生的审计问题主要是受销售条件（比如退 货权力）影响的收入确认问题和应收账款的可收回性问 题。
（4）出库物流活动
高层管理部门定期将经营成果与预测和预算 比较，快速调查出潜在的问题。 最高层检查的质量和有效性取决于检查过程 中使用信息的及时性、可靠性和相关性。
（2）直接的业务活动管理
直接负责管理具体业务流程的各个层次的管 理人员（行政部门的、职能部门的和业务方 面的）往往最容易在问题刚出现，通常当问 题还很小时迅速发现问题。 那么，管理当局的有效性就取决于其发现问 题存在的领域并对早期预警信号作出恰当反 应的能力。
（3）人力资源管理
主要是获得组织所需要的人力资源，包括雇 员的招聘、雇用、培训、留用、绩效评价和 报酬。
与人力资源活动相关的审计问题包括：由不 恰当的员工政策和程序产生的不同类型的或 有负债，直接和间接人工成本的分配，与报 酬和福利有关的负债。
（4）技术和信息管理
技术和信息管理活动涉及到技术和知识资源 的获取。 新产品的技术开发或支持基础业务活动的技 术开发产生的审计问题主要是合理地确认和 分摊相关成本。
高 风险5 可 能 错 报 的 影 响 大 小
风险2
风险4
风险1
风险3
低
错报的可能性
高
1 内部控制的定义
内部控制是管理当局为了合理保证组织的目 标得以实现而设计的过程。有三类目标与内 部控制相关： 提高管理当局决策制定的有效性和业务流程 的效率。 提高信息（包括财务报告）的可靠性。 促使企业遵守法律、规章和契约性义务。
四 管理控制对审计方面的影响
即将已确定的风险与具体业务流程和管理控 制结合起来进行分析。
（1）各种来源的经营风险和受风险影响的内部活 动之间的关系可以预测
比如，供应商方面的威胁最可能影响企业的 入库物流和采购活动。 客户方面的风险最可能影响企业的出库物流、 销售营销以及服务活动。 替代品和新进入者方面的威胁最可能影响销 售营销或者技术。 最后，虽然竞争对手影响公司的最显著领域 可能是销售营销和服务，但竞争对手方面的 风险还会影响公司的其他领域。
这是指将产品和服务运送给客户的活动。它 们包括与订单处理相关的活动。 出库物流活动的复杂性取决于：被运送的产 品或服务的性质；运送方式；与客户的合约 安排。 出库物流活动产生的审计问题包括销售截至、 收入确认的时间安排和销售退回的规模。
(5) 客户服务
指公司向客户运送商品和服务之后还要进行的安装、 培训客户员工和修理等活动。 服务活动的复杂性取决于：产品安装和使用的复杂 性；质量保证的范围和程度；是否存在与产品捆绑 在一起的售后服务合同；进行修理和零件更换的方 式。 客户服务活动产生的审计问题包括：与质量担保有 关的或有成本，根据售后服务合同或与产品捆绑在 一起的服务合同确认收入的时间安排问题。
客户调查 观察 文件检查
3 管理控制的潜在局限性
传达任务和目标失败 不准确或过时的假定 过分强调当前情况 僵化的组织结构 未落实经管责任制 沟通障碍
如果审计人员认为有些情况在当前存在或所 有情况都存在，那么管理控制的质量将被严 重削弱 。
三 用于应对战略风险的业务流程
2 支持性业务活动
（1）基础财务管理； （2）采购和供应链管理 ； （3）人力资源管理； （4）技术和信息管理
（1）基础财务管理
包括：会计、公司治理、财务和战略规划。 审计人员主要关心融资、长期租赁、收购其 他公司、进行投资和套期保值业务。
（2）采购和供应链管理
这些活动是指为获取整个组织使用的原材料、 用品和其它有形原料而做出的安排。
（1）管理控制
管理控制是高层管理部门用来降低组织战略 风险，并提高决策制定有效性和业务活动效 率的活动。 一般而言，管理控制与内部控制组成要素的 设计、执行和监测有关。
（2）流程控制
流程控制是指在组织中作为各种业务流程的 一部分而实施的控制活动，通常由员工和下 级管理部门实施。 着重于流程中的内部风险 流程控制还要从根本上保证会计信息的可靠 性和对规章的遵循。
（2）生产经营活动
公司将投入转化为可以销售给客户的产品或服 务所进行的活动称为生产经营活动。 经营活动的复杂性取决于：资源改造要求的程 度；控制和管理存货水平的需要；产品成本计 算的复杂性（例如大量制造费用的分配）。
生产经营活动产生的审计问题主要是产品和 服务的成本计算，这又取决于各种成本的分 配（诸如间接人工、服务部门、折旧和摊 销）。
管理控制对风险评估的影响
高 风险5 可 能 错 报 的 影 响 大 小 风险2 风险4
风险1 风险3
低
错报的可能性
高
（3）控制测试
审计人员不能仅凭大概直觉就降低对风险的 评估水平。单靠管理当局声明书来降低风险 也不能接受。 审计人员需要获得证据来证明风险的重要性 低于最初认定。
控制测试方法
2 内部控制的组成
内部控制由五个部分组成。每个要素对有效 的风险管理来说都很重要。 对内部控制的完整了解，通常会让审计人员 确定风险是否已有效降低。
监测
控制
信 活动
和
沟 息 风险评估 通
控制环境
3 控制层次
在组织中，内部控制可以在不同的层次上实 施。 （1）管理控制；（2）流程控制。
（2）管理控制对审计的影响
下表列出的审计影响与上一章的表格相同。但是， 由于增加了业务流程和管理控制方面的信息，审计 人员能够对单个风险的重要性做出明智判断。 如果存在有效的管理控制，风险已经不太重要，就 应该采取方法测试相关的控制，从而证实对风险的 判断。 在获得了必要审计证据后，审计人员就可以确定哪 些风险对组织产生持续和重大的威胁。 这些风险同样会影响到审计的执行，并可能影响随 后审计人员对财务报表认定的测试。
设计良好的流程可以帮助组织达到目标，并 且，通过规范组织应对外部风险的措施，可 以大大降低战略风险的潜在影响。 价值链就是组织以有效和可控的方式开展经 营活动的流程的集合。
1 基本业务活动
入库物流 生产经营活动 营销和销售活动 出库物流活动 客户服务
（1）入库物流
入库物流活动是指组织获得、储存和管理生 产流程所需投入的实物活动。 入库物流活动的复杂性取决于：生产所需投 入的数量和范围；资源运送的方式和时间安 排；对收到资源的控制等。 入库物流产生的审计问题与进货的完整性和 估计、费用和负债的截止有关。
（2）管理控制对审计及风险评估的影响 ——具体例子
竞争对手可能会在事先没有任何征兆的情况 下推出新产品、降低价格或改善服务，并获 得竞争优势，给企业带来风险。 那么，在管理风险时，监测竞争对手的行动 就很重要。
审计人员也有必要考虑这种风险，因为它可以影响收入 水平、利润、存货估价、服务成本和销售费用。 为了评价管理控制是否有效，审计人员可以检查管理当 局使用的定期报告，并评价管理当局采取应对措施的性 质和及时性。 而且，从审计人员的角度来看，这些报告可以提供相关 信息，直接用于评估存货的估价，或评估营销和广告方 面的无形资产。
2 评价管理控制
（1）了解管理当局采取的政策和措施 （2）管理控制对审计及风险评估的影响 （3）控制测试
（1） Fra Baidu bibliotek解管理当局采取的政策和措施
对于审计人员已识别出的每个重要风险，都 应当考虑所有可能降低风险的现有管理控制。 审计人员可以检查程序手册、定期报告和内 部审计测试，以评价管理当局监测和控制风 险的有效性。 最佳途径——与负责管理重要风险的关键员 工面谈
了解客户的经营状况： 战略风险管理

一、管理当局应对风险的措施：内部控制 二、管理控制 三、用于应对战略风险的业务流程 四、管理控制对审计的影响
一、管理当局应对风险的措施：内部控制
1 内部控制的定义 2 内部控制的组成 3 控制层次
经营风险是否重大可以从两个角度进行评价： （1）风险给组织带来负面结果的可能性； （2）如果问题确实发生，负面后果的大小。