公司内部控制及内部控制审计管理知识分析(ppt85张)

1．识别财务报告风险和控制
（5）支持评估的证明材料
记录管理层付诸实施的用来充分应对 财务报告风险的控制的设计 支持 评估
文档记录的形式
取决于公司的规模、 性质和复杂程度
文档记录的内容
多种形式（比如，纸质文档、 电子或其他媒介） 多种方式出现（比如，政策手 册、过程模型、流程图、工作描 述、单证、内部备忘录、表格等）
综述
安然、世通等财务 舞弊与审计合谋案 件层出不穷
《萨班斯—奥克斯利法案》以及内部控制评审的 相关规则与指引的出台
公司管理层对财务呈报内部控制有效性进行评价，对 内向审计委员会报告、对外发布公开报告。 上市公司内部控制 的评审体系 审计师对财务呈报内部控制进行审计，对公司财务呈 报内部控制的有效性发表审计意见。
依赖于信息技术
总体IT 控制
管理层的评价 过程通常要考 虑的控制
1．识别财务报告风险和控制
（4）总体信息技术控制的作用
总体IT 控制
公司的实际情况和环境不同而存在差异
通常情况下，管理层应当考虑与程序开发有关的总体IT控制目标、程序改变、 计算机运行和对程序和数据的接触是否适用于其实际情况和环境以及适用程度如何。
不必包括影响财务报告的流 程中存在的所有控制。 集中在管理层断定会充分应 对财务报告风险的那些控制上。
2．评价财务呈报内部控制运行有效性的证据
（1）确定支持评估所需要的证据
支持评估所需 证据的多少主要取 决于与控制相关的 财务报告要素的特 征的影响和控制自 身特征的影响，即 对财务呈报内部控 制风险的评估。
一、内部控制的评价要求——美国
Sarbanes-Oxley法案
为上市公司规定了一个内部控制的 评价和报告体系，以提高内部控制 的有效性，加强内部控制信息的透 明度。
302节 “公司对财务报告的责任”
404节 “管理层对内部控制的评价”
要求上市公司管理层对财务呈报内部控制的有效性进行评价， 对内向审计委员会报告、对外发布公开报告；并要求聘请审计 师对财务呈报内部控制进行审计。
一、内部控制的评价要求——中国
2．报告的类型
对外的年度内部控制报告 随年度财务报告一起对外报出，向 资本市场及相关部门呈报。
对内的内部控制报告
对监事会、股东大会定期报告企业 内部控制的运行情况。
一、内部控制的评价要求——中国
3．评价和报告的范围
财务呈报内部控制 对外的年度内部控制报告
对内的内部控制报告
第12章内部控制评审（二）
目 录
第一节 内部控制评价
内部控制的评价要求 内部控制的评价方法
第二节
内部控制审计
内部控制审计的历史演进 内部控制审计的概念框架
学习目的与要求
对上市公司内部控制进行评价与审计是一种最新的国际发 展趋势。通过本章的学习，应熟练了解美国、英国和中国等国 家上市公司内部控制的评价与报告体系、评价依据与评价方法 等；应熟练掌握内部控制评价中的详细评价法和风险基础评价 法，并能识别其区别与联系；在此基础上，本章还要求学生了 解内部控制审计的历史演进过程及其原因，熟悉美国PCAOB的财 务呈报内部控制审计准则和内部控制审计的概念框架。
司财务呈报内部控制有效的限度（threshold）。
如果管理层识别出公司财务呈报内部控制中的一个或多个 重大漏洞（material weakness），管理层就不能确定公司 的财务呈报内部控制是有效的。
SEC也要求管理层的报告必须包含对管理层在评价过程中确定的公 司财务呈报内部控制中所有重要弱点的披露。
一、内部控制的评价要求——英国
1994年 鼓励但不要求董事会对内部财务控制制度的有效性发表意见。
Cadbury委员会在其发布的名为《内部控制和财务报告》的报告中要求英国 各公司的董事会公布一份有关其内部财务控制制度的声明，这份声明必须至少 包括以下内容：
承认董事会对内部财务控制负责； 为内部控制制度对重大的错报或遗漏的事项仅提供合理保证而非绝对保证做出解释； 描述董事会为了确保有效的内部财务控制已经建立的关键程序； 证实董事会已经审核过内部财务控制制度的有效性。

有意义的、高级（high-level）的信息 对帮助股东理解公司的风险管理过程和内 部控制系统的主要特征来说是必要的 不应当给出令 人误解的印象
一、内部控制的评价要求——中国
1．评价与报告的责任主体
内部控制的内容和范围越来越宽泛
在我国的企业当中尚没有建立起有效的公司治理，董事会的独立 性不强，董事会的职责与管理层的职责往往难以清晰的界定。
对内的内部控制报告
董事会、管理层要对内部控制的设计和运行情 况进行评价和说明，报告内部控制存在的问题 以及采取的纠正措施。
我国企业内部控制评价与报告体系（图）
二、内部控制的评价方法
（一）美国SEC的解释指南
根据指南要求，企业管理层采用自上而下、风险基础的方法评价财务呈报内部 控制的过程主要包括三个步骤：
一个企业层面的控制可以用来识别较低层次控制的可能故障， 但自身并不能充分应对能够导致财务报表重要错报的财务报告 要素的错报没有被及时防止或发现的风险。
财务报表 要素
控制
关系越间接，它防止或发现错报的有效性就越低。
1．识别财务报告风险和控制
（4）总体信息技术控制的作用
自动控 制
控制
IT依赖 型控制
自动
影响
管理层所获取证据的性质
2．评价财务呈报内部控制运行有效性的证据
（3）支持该评估的证据
证 据 的 性 质
基础控制的风险的评估水平 其他情况 管理层评估的依据 不必单独保存其所 评价证据的备份
控制的复杂程度
支持性证明 材料
运行该项控制所需判断的程度 可能导致财务报表重要错报的财务报告要素错报的风险 ……
1．识别财务报告风险和控制
（1）识别财务报告风险
评价公认会计原则的规定是如何应用 于公司的业务、经营和交易
管理层应用其常识和对企业、企 业的组织、经营和流程的了解 同时也应当考虑主 体对欺诈活动（比如虚 假财务报告、资产滥用 和贪污）的脆弱性以及 那些风险是否能够导致 财务报表的重要错报。
考虑财务报告要素错报的来源和潜在可能性 识别那些对财务报表造成重要错报的来源
美国上市公司内部控制评价与报告体系（图）
1．评价依据
SEC 2003年6月发布的“最终规则：管理层对财务呈报内部控制的报告和 交易法案定期报告中披露的确认”（Final Rule: Management’s Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports）要求，管理层对公司财务呈 报内部控制有效性的评价必须依据一个适当的、公认的控制框架。
1．识别财务报告风险和控制
（2）识别充分应对财务报告风险的控制
控制
是否充分应对了一项财务报告风险
一项单独的控制
控制 控制 控制 控制
如果财务报表发生重要错报的相关财务报告要 素中的错报相当可能没有被及时阻止或发现
不充分
一个控制的组合 如果管理层确定，其控制没有适当设计，一项缺陷存在， 必须对其进行评价以确定它是否是一个实质性漏洞。
因素增 加
证明材料单独保存
2．评价财务呈报内部控制运行有效性的证据
（4）多场所的考虑
充分应对财务 报告风险
评价方法与单个场所或业务单元的企业相同
2．评价方法
对公司财务呈报内部控制的评估必须根据足以既能评价内部控制的设计又能测 试内部控制运行有效性的程序进行。
需要评估的控制：
（包括但不限于）
对发起交易、记录、处理和调节账户余额、交易分 类和披露以及财务报表中包含的相关认定的控制 与非常规和非系统交易的动议和处理相关的控制
与适当会计政策的选择和应用相关的控制 与防止、识别和发现舞弊相关的控制
COSO框架 没有偏见 允许适当一致的定性和定量衡量公司的内部控制 充分完整，没有忽略那些会改变公司内部控制有效性结论的相关要素 与评价财务呈报内部控制相关 并不唯一
1．评价依据
对于公司财务呈报内部控制有效性的评价，SEC没有提出管理层可以据以断 定公司财务呈报内部控制有效的具体标准，但是，SEC设定了一个管理层断定公
陈述管理层为公司建立和维持充分的财务呈报内部控制的责任。 一项陈述，确定管理层对公司财务呈报内部控制的有效性执行要求 的评价时所采用的框架。 管理层对公司的财务呈报内部控制在最近财务年度的有效性的评估， 包括一项有关公司的财务呈报内部控制是否有效的陈述。 一项陈述，说明审计财务报表（包括在年度报告中）的已登记公共 会计公司已经就管理层对财务呈报内部控制的评价出具了鉴证报告。
2．评价方法
证据
为管理层对财务呈报内部控制有效 性的评价结论提供合理的支持。
对内部控制是否用来防止或发现重要错报或遗漏的评价 对测试进行了适当的规划和实施 测试的结果得到了适当考虑
3．评价报告
SEC 2003年6月发布的“最终规则：管理层对财务呈报内部控制的 报告和交易法案定期报告中披露的确认”的要求，每一个美国或非美国证 券发行人的管理层要在发行人首席执行官和首席财务官（或履行类似职能 的人）的参与下，评价发行人每一财务年度末财务呈报内部控制的有效性。 此外，还要求公司的年度报告要包括管理层的一个内部控制报告。
3．评价报告
根据SOX法案以及SEC的相关规则，公司管理层不但要定期 对外报出财务呈报内部控制的报告，而且还要向公司的审计委员会 报告内部控制的以下相关情况：
内部控制的设计或运行中，对公司记录、处理、汇总及编报财务数 据的功能产生负面影响的所有重大缺陷，并向公司的审计师指出内 部控制的重大缺陷。
在内部控制中担任重要职位的人员或其他雇员的欺诈行为， 不论行为的影响是否重大。
1．识别财务报告风险和控制
（3）对企业层面控制的考虑
管理层在识别和评价财务报告风险和某一财务报告要素的相关控制时要考虑企 业层面控制的性质以及它们如何与财务报告要素相联系。
企业层面 控制
一些企业层面的控制是设计在流程、交易或应用层面运行的，并 且可以充分的及时防止或发现能够导致财务报表发生重要错报的 一个或多个财务报告要素的错报。
我国目前正在建立财务呈报内部控制为主的内部控制标准体系，内部控 制的评审也将成为一种必然趋势。为此，本章将介绍公司管理层对内部 控制的评价，阐述审计师对内部控制的审计。
第一节 审计需求的代理理论
v一
内部控制的评价要求
v二
内部控制的评价方法
概述
企业内部控制的评价与报告主要涉及企业内部控制评 价与报告的要求以及评价的方法等内容。从国际发展的视 角来看，美国和英国等主流市场经济国家的证券监管部门 都针对上市公司内部控制的评价与报告制定了相应的规则， 提出了明确的要求，并制定了内部控制评价的指引。
财 务 报 告 要 素 的 错 报 风 险
高
较多证据
中等
较少证据
低
中等
高
控制失败的风险
2．评价财务呈报内部控制运行有效性的证据
（1）确定支持评估所需要的证据
管理层需要考虑的因素：
财务报告要素的重要性
财务报告要素 的特征
主要会计余额、交易或其他支持信息对重要错报的敏感性
控制的类型、复杂性
控制没有 有效运行 运行该项控制所需要的判断 的可能性 该项控制预计要防止或发现的错报的性质和重要性
一、内部控制的评价要求——英国
当前
根据英国当前的公司法、2003年的《联合规则》以及2005年10月发布的 Turnbull指南等相关法律法规，英国公司内部控制评价与报告的体系主要包 括以下内容：
审查内部控制有效性的责任
董事会责任的重要组成部分
审查内部控制有效性的过程 董事会对内部控制的声明
涵盖包括合规、报告、 经营和战略目标在内的 完整的内部控制
一、内部控制的评价要求——中国
4．报告的内容
对外的年度内部控制报告
董事会、管理层要在报告中就其有效性形成结 论பைடு நூலகம்清晰说明财务呈报内部控制是否有效。
注册会计师对财务呈报内部 控制的审计报告
注册会计师要就被审计单位是否在所有重大方 面保持了有效的财务呈报内部控制发表意见。
该项控制对其他控制有效性的依赖程度
管理层越过的风险
2．评价财务呈报内部控制运行有效性的证据
（2）实施程序，评价财务呈报内部控制运行的证据
管理层 与员工的日常职责结合在一起 评价的 程序 专门为财务呈报内部控制评价而实施 管理层 评价的 证据
持续监督 直接控制测试 其他原因而实施的活动
评估风险的大 小