如何评价内部控制与审计风险
审计师对企业内部控制的评价与建议
审计师对企业内部控制的评价与建议企业内部控制是指企业为实现经营目标,保护企业资产,确保财务信息的准确性与可靠性,提高经营效益所采取的一系列组织措施和方法。
审计师在履行审计职责的过程中,需要对企业内部控制进行评价,并提出相关建议,以帮助企业改进其内部控制体系,提高运营效率与风险控制能力。
一、企业内部控制评价审计师在对企业内部控制进行评价时,可以从以下几个方面进行考察:1. 控制环境评价:审计师应评估企业内部的整体控制环境,包括企业管理层对内部控制的重视程度、企业文化和道德风险等因素。
2. 风险识别与评估:审计师需要评估企业对各种风险的识别与评估程度,包括内部风险、外部风险以及信息技术风险等。
3. 控制活动评价:审计师对企业内部的各项控制活动进行评价,包括财务报告的准确与及时性、资金运作的合理性与规范性、采购与库存管理的规范性等。
4. 信息与沟通评价:审计师需要评估企业内部信息的获取与传递机制是否畅通,以及信息的准确性与及时性等。
5. 监督与改进评价:审计师需要评估企业内部的监督机制和改进措施是否合理,包括内部审计的独立性与有效性、内部控制的验证与监督等。
二、审计师的建议基于对企业内部控制的评价,审计师可以提出以下建议,帮助企业改进其内部控制体系:1. 建立明确的内部控制政策与流程:企业应明确制定内部控制政策与流程,并将其在整个组织中进行宣传与培训,确保每个员工都了解其职责和内部控制的重要性。
2. 风险管理与控制:企业应建立完善的风险管理机制,定期对各种风险进行评估与管理,并采取相应的应对措施,以减少企业面临的风险。
3. 强化内部审计:企业应加强内部审计职能,确保其独立性与有效性,及时发现问题并及时采取纠正措施。
4. 加强信息技术安全管理:随着信息化程度的提高,企业应加强对信息技术安全的管理,确保数据的保密性、完整性和可用性。
5. 完善内部沟通机制:企业应建立畅通的内部沟通机制,确保信息的准确传递,避免信息断层和误传导致的问题。
企业内部控制有效性及评价方法8篇
企业内部控制有效性及评价方法8篇第1篇示例:企业内部控制有效性及评价方法一、企业内部控制的重要性企业内部控制是保障企业财务报告准确性、合法性和完整性的重要制度和程序。
它通过规范企业活动、降低风险、促使员工依规操作,进而提高企业经营管理水平,确保企业长期稳健发展。
有效的内部控制不仅能提高企业的竞争力,还能增强企业的信誉度,吸引投资,为企业的可持续发展奠定坚实基础。
1. 控制环境评价:包括企业的组织架构、管理层的诚信度、员工的素质和能力等。
企业内部控制的有效性与管理层的诚信度息息相关,只有管理层高度重视内部控制,才能建立起一个严密有效的内部控制环境。
2. 风险评估:企业应对外部和内部的各种风险进行评估和管理,包括市场风险、经营风险、人员风险等。
通过对风险的识别和评价,企业可以制定相应的控制措施,降低风险发生的可能性。
3. 控制活动评价:控制活动是指为实现内部控制目标而设立的程序和制度。
企业应对现有的控制活动进行评估,包括财务内部控制、运营内部控制、合规性内部控制等,确保控制活动的有效性和适当性。
4. 信息与沟通评价:信息是内部控制的基础,只有及时、准确的信息才能为企业决策提供支持。
良好的沟通机制也是企业内部控制的重要组成部分,不同部门之间、上下级之间的沟通应畅通无阻,确保信息的顺畅传递。
5. 监督与评价:企业内部控制的监督和评价是持续改进的基础。
企业应建立起相应的监督机制,包括内部审计、风险管理等部门,对内部控制的有效性进行监督和评价,及时发现问题并采取改进措施。
1. 自评:企业可以通过内部自评的方式评估内部控制的有效性。
管理层和内部审计部门可以制定评估标准和流程,对企业各项内部控制制度进行自查自评,及时发现问题并提出改进建议。
2. 外部评价:企业可以委托专业机构进行内部控制的外部评价。
外部评价可以提供客观的、独立的评价意见,帮助企业发现内部控制存在的问题,为管理层的决策提供参考依据。
3. 内部审计:内部审计是企业内部控制的核心部门之一,负责对企业内部控制有效性进行评估和监督。
审计在企业内控风险管理中的价值体现是什么
审计在企业内控风险管理中的价值体现是什么在当今竞争激烈的商业环境中,企业面临着各种各样的风险和挑战。
为了实现可持续发展和保障资产安全,企业需要建立有效的内部控制和风险管理体系。
而审计作为一种独立、客观的监督和评价活动,在企业内控风险管理中发挥着至关重要的作用,其价值体现在多个方面。
首先,审计有助于发现内部控制的缺陷和漏洞。
企业的内部控制系统涵盖了众多环节和流程,如财务报告、采购与付款、销售与收款、人力资源管理等。
然而,由于各种原因,这些控制措施可能存在设计不合理或执行不到位的情况。
审计人员通过对企业各项业务活动的审查和测试,可以系统地评估内部控制的有效性。
例如,在财务审计中,审计人员会检查财务凭证的真实性、完整性和准确性,审核会计核算方法是否符合会计准则,以及财务报表的编制是否遵循了相关规定。
通过这样的审计程序,可能会发现诸如财务记录不规范、资金使用违规、成本核算错误等问题,从而揭示出内部控制在财务领域存在的缺陷。
在运营审计方面,审计人员会深入了解企业的生产流程、供应链管理、销售策略等,评估其是否能够保证企业的高效运作和风险控制。
如果发现生产环节存在浪费、供应链中断、销售策略无法适应市场变化等情况,就意味着运营控制存在漏洞。
这些发现为企业改进内部控制提供了明确的方向和依据。
其次,审计能够提供独立客观的评价和建议。
审计人员通常独立于企业的日常运营管理,不受内部利益关系的影响,能够以客观公正的立场对企业的内控风险管理进行评价。
他们依据专业的审计标准和方法,对企业的控制环境、风险评估、控制活动、信息与沟通以及监督等要素进行综合分析。
这种独立性和客观性使得审计意见更具可信度和权威性。
例如,当审计人员发现企业在风险评估方面存在不足,未能及时识别和应对潜在的市场风险、信用风险或合规风险时,他们可以提出建立完善的风险预警机制、加强市场调研和信用评估、加强合规培训等建议。
这些建议基于对企业实际情况的深入了解和对行业最佳实践的参考,有助于企业提升风险管理水平。
内部审计实务指南第4号
内部审计实务指南第4号
内部审计实务指南第4号的全名是《内部审计实务指南第4号:风险评估和内部控制评价》。
该指南是由国际内部审计师协会(The
Institute of Internal Auditors,IIA)编制的,用于指导内部审计师在进行风险评估和内部控制评价方面的工作。
该指南的目的是帮助内部审计师了解和应用有效的风险评估和内部控制评价方法,以增强其在风险管理和控制方面的作用。
通过该指南,内部审计师可以更好地理解风险管理的重要性,并学习如何评估和改进内部控制系统。
《内部审计实务指南第4号》主要包括以下几个方面的内容:
1.风险评估的基本原则和概念:介绍了风险评估的基本概念、原则和方法,包括风险定义、风险评估的目的和流程等。
2.风险评估的方法和工具:介绍了常用的风险评估方法和工具,如SWOT分析、风险矩阵、概率与影响矩阵等,以及它们的应用场景和优缺点。
3.风险评估的实施过程:详细介绍了风险评估的实施过程,包括风险识别、风险分析、风险评价和风险处理等环节,以及每个环节的具体方法和步骤。
4.内部控制评价的方法和工具:介绍了内部控制评价的方法和工具,包括控制自评、控制测试、控制矩阵等,以及它们的应用场景和优缺点。
5.内部控制评价的实施过程:详细介绍了内部控制评价的实施过程,包括控制目标设定、内部控制评价计划的制定、内部控制测试和评价报告的编制等环节,以及每个环节的具体方法和步骤。
综上所述,《内部审计实务指南第4号》是一本详细介绍风险评估和内部控制评价的指南,旨在帮助内部审计师提升在风险管理和控制方面的能力和作用。
通过应用该指南的方法和工具,内部审计师可以更有效地评估和改进组织的风险管理和内部控制系统。
审计师如何评估企业的信息系统和内部控制
审计师如何评估企业的信息系统和内部控制信息系统和内部控制对于企业的有效运营和管理至关重要。
作为审计师,评估企业的信息系统和内部控制是一项关键任务。
本文将介绍审计师如何评估企业的信息系统和内部控制的过程和方法。
1. 了解企业的信息系统环境在评估企业的信息系统之前,审计师首先需要了解企业的信息系统环境。
这包括了解企业的信息系统结构、硬件和软件设施、数据流程和存储方式等。
审计师应该对企业的信息系统进行全面的了解,以便更好地评估其有效性和风险。
2. 识别信息系统的风险审计师需要评估信息系统中存在的风险,以确定哪些方面可能会对企业的内部控制带来威胁。
这些风险可能包括网络安全漏洞、数据丢失风险、数据处理错误等。
审计师应该分析和评估这些风险的潜在影响,并确定相应的防范措施。
3. 评估内部控制设计和操作有效性内部控制是指企业组织在达到经营目标时对其资产的有效保护和风险管理的措施。
审计师需要评估企业的内部控制设计和操作的有效性。
审计师可以根据内部控制框架(如COSO框架)来进行评估,包括评估企业的控制目标、控制活动、信息和沟通、监控活动等方面的有效性。
4. 进行测试和取证在评估企业的信息系统和内部控制时,审计师需要进行测试和取证,以验证其有效性和合规性。
这包括进行系统安全测试、数据完整性测试、内部控制测试等。
审计师可以使用各种审计技术和工具,如数据分析、取证技术等,来收集和分析相关证据。
5. 形成评估意见根据所收集的证据和评估结果,审计师应该形成评估意见。
评估意见应该清晰、准确地反映企业信息系统和内部控制的情况,并提出改进建议。
审计师应该根据内部控制的弱点和风险,向企业提供相应的建议和措施,以帮助企业改进内部控制。
6. 编写审计报告最后,审计师应该将评估结果整理成审计报告,并向企业提供。
审计报告应该包括对信息系统和内部控制的总体评价,强调存在的问题和风险,提出改进建议和建议的实施时间表。
审计报告应该以清晰、简洁的语言表达,使企业能够清楚地了解到其信息系统和内部控制的现状。
新审计准则下如何进行内部控制的了解、测试及评价
了解内部控制
四、对内部控制了解的深度
注册会计师在了解内部控制时,应当 评价控制的设计,并确定其是否得到 执行。
1、评价控制的设计是指考虑一项控制 单独或连同其他控制是否能够有效防 止或发现并纠正重大错报。
了解内部控制
2、控制得到执行是指某项控制存在且 被审计单位正在使用。
设计不当的控制可能表明内部控制存 在重大缺陷,注册会计师在确定是否 考虑控制得到执行时,应当首先考虑 控制的设计。
3、重要的交易类别应与相关账户及其认定 相联系。
二、了解重要交易流程,并记录获得的了 解
1、重要交易流程是每一类重要交易在信息 技术或人工系统中生成、记录、处理及在 财务报表中报告的程序。
2、主要需记录的信息 (1)主要的输入信息的来源; (2)所使用的重要数据档案,如客户清单
2、财务报表层次的重大错报风险很可能源 于薄弱的控制环境,因此,注册会计师在 评估财务报表层次的重大错报风险时,应 当将被审计单位整体层面的内部控制状况 和了解到的被审计单位及其环境其他方面 的情况结合起来考虑。
了解内部控制-整体层面对内部控 制的了解和评估
3、被审计单位整体层面的内部控制是否有 效将直接影响重要业务流程层面控制的有 效性,进而影响注册会计师拟实施的进一 步审计程序的时间、性质、范围。
了解内部控制-业务流程层面了解 和评价内部控制
*职责分离; *监督性检查 *正确性校验 *设置权限。
了解内部控制-业务流程层面了解 和评价内部控制
了解内部控制-业务流程层面了解 和评价内部控制
一、通常采取的步骤
(1)确定被审计单位的重要业务流程和重要交易 类别;
(2)了解重要交易流程,并记录获得的了解; (3)确定可能发生错报的环节; (4)识别和了解相关控制; (5)执行穿行测试,证实对交易流程和相关控制
企业内部审计与风险评估作业指导书
企业内部审计与风险评估作业指导书第1章内部审计概述 (4)1.1 内部审计的定义与作用 (4)1.1.1 定义 (4)1.1.2 作用 (4)1.2 内部审计的基本原则与标准 (4)1.2.1 基本原则 (4)1.2.2 标准 (5)第2章风险评估基础 (5)2.1 风险的定义与分类 (5)2.2 风险识别与评估方法 (5)1.1 采用PESTLE分析,从政治、经济、社会、技术、法律、环境等方面识别企业面临的外部风险。
(5)1.2 通过企业内部各部门、各岗位的访谈、问卷调查等方式,了解企业内部风险。
(5)1.3 运用故障树分析(FTA)、因果图等工具,识别潜在风险。
(5)2.1 定性评估:采用风险矩阵、专家打分等方法,对风险进行定性分析。
(6)2.2 定量评估:运用概率论、统计学等方法,对风险进行定量计算。
(6)2.3 风险排序:根据风险影响程度和发生概率,对识别出的风险进行排序,以确定重点关注的风险。
(6)2.3 风险控制与缓释策略 (6)1.1 制定风险应对措施,明确责任部门和人员。
(6)1.2 设立风险预警指标,对风险进行持续监控。
(6)1.3 加强内部控制,提高企业风险管理水平。
(6)2.1 转移风险:通过购买保险、签订合同等方式,将部分风险转移给第三方。
(6)2.2 分散风险:通过多元化投资、业务拓展等方式,降低单一风险的影响。
(6)2.3 应急预案:针对重大风险,制定应急预案,保证在风险发生时能够迅速应对。
(6)2.4 加强企业文化建设,提高员工风险意识,形成全员参与的风险管理氛围。
(6)第3章内部审计程序与流程 (6)3.1 审计计划制定 (6)3.1.1 年度审计计划 (6)3.1.2 专项审计计划 (6)3.1.3 审计计划审批 (6)3.2 审计程序设计 (7)3.2.1 审计程序概述 (7)3.2.2 审计程序内容 (7)3.2.3 审计程序审批 (7)3.3 审计实施与报告 (7)3.3.1 审计实施 (7)3.3.2 审计报告 (7)3.3.3 审计报告审批 (7)3.4 审计跟踪与改进 (7)3.4.1 审计跟踪 (7)3.4.3 整改效果评估 (8)3.4.4 持续改进 (8)第4章财务审计 (8)4.1 财务报表审计 (8)4.1.1 目的与范围 (8)4.1.2 审计程序 (8)4.1.3 审计要点 (8)4.2 财务合规性审计 (8)4.2.1 目的与范围 (8)4.2.2 审计程序 (8)4.2.3 审计要点 (9)4.3 财务效益审计 (9)4.3.1 目的与范围 (9)4.3.2 审计程序 (9)4.3.3 审计要点 (9)第5章运营审计 (9)5.1 业务流程审计 (9)5.1.1 审计目标 (9)5.1.2 审计内容 (9)5.1.3 审计方法 (10)5.2 信息系统审计 (10)5.2.1 审计目标 (10)5.2.2 审计内容 (10)5.2.3 审计方法 (10)5.3 合同管理与合规性审计 (10)5.3.1 审计目标 (10)5.3.2 审计内容 (10)5.3.3 审计方法 (11)第6章风险评估与管理 (11)6.1 风险评估方法与工具 (11)6.1.1 风险识别 (11)6.1.2 风险评估 (11)6.2 风险管理体系构建 (11)6.2.1 风险分类 (11)6.2.2 风险评估流程 (12)6.2.3 风险管理制度 (12)6.3 风险应对策略与措施 (12)6.3.1 风险应对策略 (12)6.3.2 风险应对措施 (12)第7章内部控制审计 (13)7.1 内部控制概述 (13)7.2 内部控制评价方法 (13)7.2.1 询问与调查 (13)7.2.3 评估内部控制缺陷 (13)7.3 内部控制审计程序 (13)7.3.1 制定审计计划 (13)7.3.2 实施审计程序 (13)7.3.3 撰写审计报告 (14)7.3.4 跟踪审计整改 (14)第8章人力资源管理审计 (14)8.1 人力资源管理审计概述 (14)8.1.1 定义 (14)8.1.2 目的 (14)8.1.3 范围 (14)8.1.4 程序 (15)8.2 人力资源政策与合规性审计 (15)8.2.1 审计目的 (15)8.2.2 审计内容 (15)8.3 人力资源效益审计 (15)8.3.1 审计目的 (15)8.3.2 审计内容 (15)第9章项目审计 (16)9.1 项目审计概述 (16)9.2 项目立项与实施审计 (16)9.2.1 立项审计 (16)9.2.2 实施审计 (16)9.3 项目效益与风险审计 (16)9.3.1 效益审计 (16)9.3.2 风险审计 (16)第10章审计报告与沟通 (17)10.1 审计报告编写规范 (17)10.1.1 审计报告结构 (17)10.1.2 审计报告内容要求 (17)10.1.3 审计报告格式要求 (17)10.2 审计结论与建议 (17)10.2.1 审计结论 (17)10.2.2 审计建议 (17)10.3 审计沟通与反馈 (18)10.3.1 审计沟通 (18)10.3.2 审计反馈 (18)10.4 审计成果运用与持续改进 (18)10.4.1 审计成果运用 (18)10.4.2 持续改进 (18)第1章内部审计概述1.1 内部审计的定义与作用1.1.1 定义内部审计是指组织内部设立的一种独立、客观的评估和咨询活动。
企业审计中的风险评估与内部控制评价
企业审计中的风险评估 与内部控制评价□尚 圳在现代商业环境中,企业面临的风险日益复杂和多样化,这也给企业审计工作带来了巨大挑战。
企业只有做好审计风险评估并加强内部控制,才能有效防控风险,提高财务准确性。
因此,本文阐述了企业审计中风险评估与内部控制的概念与意义,分析了目前我国企业审计中风险评估与内部控制评价存在的问题,并提出了相应的解决对策,旨在提高审计质量,推动企业实现可持续发展。
一、风险评估与内部控制评价概述(一)风险评估随着市场竞争日益激烈,企业风险也日益多样化。
财务不端行为、数据泄露、经济不稳定及法律法规的不断变化,都给企业审计带来了新的挑战。
因此,企业必须加强风险评估。
作为审计工作的基础,风险评估既是审计人员执行审计工作的核心,也是确保审计工作准确性与有效性的前提。
通过风险评估,企业能够将各类风险控制在合理范围内,最大限度地降低财务造假和违规行为发生的可能性,提高经营效率和财务透明度。
(二)内部控制评价有效的内部控制评价不仅能够帮助企业规范财务报告编制流程,确保财务报告的准确性与可靠性,还能够降低舞弊、造假等财务违规行为的发生概率。
审计机构作为独立的第三方,能够客观地评价企业内部控制的有效性,并提出有针对性的建议,帮助企业完善内部控制流程,提高风险防范能力。
二、企业审计中风险评估与内部控制评价的意义(一)有助于提高审计的准确性风险评估与内部控制评价能够提高企业审计的准确性。
在审计过程中,审计人员需要识别可能导致财务报表出现重大错报的潜在风险因素。
通过风险评估,审计人员能够Corporate Finance and Taxation企业财税135全面、准确地了解企业的经营环境和风险情况,从而有针对性地实施具体的审计程序。
同时,有效的内部控制评价能够确保企业财务报表数据和信息的准确性,降低财务舞弊、造假等违法违规行为发生的可能性。
因此,风险评估和内部控制评价协同作用,有助于企业及时发现潜在的财务风险并加以应对,确保财务报表的可信度,提高审计的准确性。
如何进行内部控制的了解测试及评价
如何进行内部控制的了解测试及评价内部控制的了解、测试及评价对于企业的稳定发展和风险管理非常重要。
下面我将从内部控制的定义、了解方法、测试过程以及评价指标等方面来详细阐述。
首先,内部控制是指在组织中为实现目标和监督运作而采取的一系列措施和程序。
了解内部控制需要从以下几个方面进行:1.建立内部控制制度:企业需要根据其业务特点和风险状况,制定适合的内部控制制度和政策。
这些制度和政策应包括明确的职责和权限划分、内部审计、风险评估和控制、信息披露等内容。
2.熟悉内部控制流程:企业应对内部控制流程进行系统地了解,包括具体业务流程、信息、资源和责任的流通路径,以及控制措施的设计和实施情况等。
3.沟通与协作:了解内部控制还需要与企业内部各个层级的员工和管理者进行沟通和协作,以获取他们对内部控制的理解和意见。
其次,内部控制的测试是为了验证内部控制是否有效和合规。
测试的过程可以按照以下步骤进行:1.确定测试范围:根据企业的特点和风险,确定测试的范围和重点。
可以选择具有风险的业务流程和控制点进行测试。
2.设计测试方案:制定测试方案,明确测试的目的、方法和步骤。
测试方法可以包括文件审查、观察、访谈以及数据分析等。
3.实施测试:根据测试方案,对指定的业务流程和控制点进行测试。
需要收集测试所需的证据,包括文件、记录和员工的口头陈述等。
4.分析测试结果:对测试所得的证据进行分析和评价,判断内部控制的有效性和合规性。
如果发现问题或不符合要求的地方,应及时提出改进建议。
最后,内部控制的评价可以根据以下指标进行:1.目标的实现程度:评价内部控制是否能够实现企业的目标,如是否能够保障资产的安全性和完整性,预防和检测欺诈行为等。
2.自我评价的有效性:评价企业对内部控制的自我评价和改进措施的有效性。
包括是否能够及时发现问题、提出改进意见并进行有效实施。
3.内外部意见的反馈:评价内部控制是否能够获得内外部相关方的积极反馈和支持,如审计师和股东的评价等。
内部审计风险与防范控制调研分析调研报告
内部审计风险与防范控制调研分析调研报告随着人们自身素质提升,报告有着举足轻重的地位,报告中涉及到专业性术语要解释清楚。
相信许多人会觉得报告很难写吧,下面是小编帮大家整理的内部审计风险与防范控制调研分析调研报告,欢迎大家借鉴与参考,希望对大家有所帮助。
内部审计人员对接受的审计项目所采用的审计程序和方法不当,未能发现重大错弊或出具的审计结论失误,从而产生不良后果,这就是内部审计风险。
广义的内部审计风险包括审计职业风险和审计工作风险。
前者是指对内部审计职业界的发展产生不利影响的因素与环境总和;后者是内部审计主体对被审计单位经营管理活动实施审计时,由于不确定因素影响或者由于审计人员能力所限,作出不恰当的审计判断或是对存在的错弊未予揭示,从而造成损失的可能性。
审计风险是客观存在的,不以审计人员的意志为转移,审计活动自始自终存在着审计风险并且具有潜在性。
每个审计项目都有产生风险的可能性。
根据当前执法环境和法律背景的变化以及审计质量现状,国家审计、社会审计和企业的内部审计,都必须面对审计风险,必须增强审计风险意识,提高审计质量,防范和规避审计风险。
但就实际而言,目前还普遍存在审计风险意识淡薄的问题。
许多人误认为内部审计在工作目标上没有特定要求,所提交的内部审计报告不具有法律效力,内部审计无所谓“风险”可言;或者认为内部审计在本单位负责人领导下开展工作,只是“奉命行事”,即使出现工作上的误差或疏漏,也无须承担“风险”。
在这种思想指导下,内部审计必然陷入一种被动和无所作为的困境,内部审计工作质量难以得到保证。
因此,重视审计风险的存在,规避和控制审计风险显得尤为重要。
那么如何才能有效地规避与控制审计风险呢?笔者认为只有从根源上了解审计风险的产生,才能寻求措施有效去防范和控制风险。
一、内部审计风险形成的原因1、内审人员业务素质参差不齐。
审计人员的专业知识水平、分析判断能力、工作经验都对审计工作质量有重要影响。
目前由于内审人员总体素质偏低,直接影响到内审工作开展的深度和广度。
内部控制和风险管理报告
内部控制和风险管理报告
内部控制和风险管理报告是对企业内部控制和风险管理状况进行记录、分析和评估的文件,它反映了企业在实现既定目标过程中,如何有效地识别、评估、控制和监督潜在风险。
内部控制和风险管理报告的主要内容包括以下几个方面:
1. 内部控制环境:描述企业的组织结构、权责分配、内部审计、员工培训等内部控制环境,以及这些环境对企业内部控制的影响。
2. 风险识别与评估:分析企业在经营过程中可能面临的风险,如市场风险、信用风险、操作风险等,并评估这些风险对企业的影响程度。
3. 内部控制活动:描述企业为降低风险所采取的控制措施,如授权审批、内部审计、信息系统控制等,以及这些措施对企业内部控制的影响。
4. 信息与沟通:分析企业内部的信息传递机制、报告体系以及员工之间的沟通,评估这些因素对企业内部控制的影响。
5. 内部控制监督:介绍企业对内部控制的监督方式,如内部审
计、管理层监督等,以及这些监督措施对企业内部控制的影响。
6. 风险管理绩效评估:对企业在一定时期内内部控制和风险管理的实施效果进行评估,包括风险控制的有效性、内部控制环境的适应性等。
7. 改进建议:根据内部控制和风险管理报告的分析结果,提出针对性的改进建议,以提高企业的内部控制和风险管理水平。
内部控制和风险管理报告应具有客观性、准确性、及时性和完整性,以便于企业管理层、董事会、监事会等相关部门了解企业的内部控制和风险管理状况,从而为决策提供依据。
同时,内部控制和风险管理报告也有助于企业进行自我监督和评价,促进企业持续健康发展。
(完整版)审计、内控、风险管理三者之间的关系
审计、内控、风险管理三者之间的关系标风险管理侧重的是“可能性”。
因此,风险管理应该是最早的环节,从企业整体评估风险状况,找到应对策略。
这其中,又可分为不可控风险和可控风险。
不可控风险通常通过风险转移、保险、风险接受等方式进行应对;可控的风险通常通过内部控制手段进行应对。
所以内部控制本质上就是企业管理中通过日常管控手段降低风险的行为。
那内控执行的效果如何,就通过审计来检查。
审计检查完后有一些发现问题,可能是最早风险评估环节就没考虑到的,那么审计发现问题又回过头来指导风险管理的完善。
所负责部门,每个企业都不太一样。
有的是分设三个部门:风险管理部、内控部、审计部。
也有的将这几块自由排列组合,也有放到一个部门的,甚至放到财务部底下的都有。
风险管理——>内部控制——>风险控制内部审计是内部控制的重要手段。
内部控制和内部审计的互动共进,有效提升公司治理效率。
内部控制是内部审计的“风向标”,内部审计是内部控制的“测试仪”。
三者的本质都是为了控制好风险。
三者区别是:1.内控是让你好好开车别撞人,也别开到沟里去,它是一切风险管理的基础,特别是治理层面的内部控制。
2.风险管理是一个更广的含义,不仅仅是不撞人、不翻车,更要保证方向是对的,速度是合适的,开车的方式是可持续的,还要保证尽量不被别人撞,万一被撞要能扛得住……3.风险管理包括内部控制,但他们都不是一个部门的事情,是一个组织行为。
4.审计是风险管理的一种手段,也是内控要素中监督要素的一种体现。
是风险管理工作具体落地的方式,和之前的两个不在一个层面上。
实务中全面的应用到了风险、内控与审计三个概念的,主要是银行业及部分工业企业(如核电、采矿、化工等)。
其他企业中实际上真正界定了这三个概念并付诸实施的其实很少。
以下只针对银行业有些皮毛理解,如下:对于银行来说,三道防线的概念可以清晰的把风险、内控与审计联系起来。
三道防线示意图风险管理,是一个相对宏观的概念,对于银行来说,也可以说是经营的本质。
独立审计具体准则第9号--内部控制与审计风险-
独立审计具体准则第9号--内部控制与审计风险正文:---------------------------------------------------------------------------------------------------------------------------------------------------- 独立审计具体准则第9号——内部控制与审计风险(一九九六年十二月二十六日中国注册会计师协会)第一章总则第一条为了规范注册会计师在会计报表审计中研究与评价被审计单位的内部控制,评估审计风险,提高审计效率,保证执业质量,根据《独立审计基本准则》,制定本准则。
第二条本准则所称内部控制,是指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序,内部控制包括控制环境、会计系统和控制程序。
第三条本准则所称审计风险,是指会计报表存在重大错报或漏报,而注册会计师审计后发表不恰当审计意见的可能性。
审计风险包括固有风险、控制风险和检查风险。
第四条注册会计师执行会计报表审计以外的其他审计业务,除有特定要求者外,应当参照本准则办理。
第二章一般原则第五条注册会计师编制审计计划时,应当研究与评价被审计单位的内部控制。
第六条注册会计师应当对拟信赖的内部控制进行符合性测试,据以确定对实质性测试的性质、时间和范围的影响。
第七条注册会计师应当保持应有的职业谨慎,合理运用专业判断,对审计风险进行评估,制定并实施相应的审计程序,以将审计风险降低至可接受的水平。
第八条注册会计师应当将研究、评价内部控制和评估审计风险的过程及结果记录于审计工作底稿。
第三章内部控制第九条建立健全内部控制是被审计单位管理当局的会计责任,相关内部控制一般应当实现以下目标:(一)保证业务活动按照适当的授权进行;(二)保证所有交易和事项以正确的金额,在恰当的会计期间及时记录于适当的帐户,使会计报表的编制符合会计准则的相关要求;(三)保证对资产和记录的接触、处理均经过适当的授权;(四)保证帐面资产与实存资产定期核对相符。
审计师对企业内部控制的评价与建议
审计师对企业内部控制的评价与建议企业内部控制是指企业为达成既定目标,按照管理层的要求,通过内部建立的各种制度和措施,对经济业务的合法性、规范性和有效性进行管理、评估和监督的一种管理方式。
审计师作为专业人士,对企业内部控制的评价和建议具有重要意义。
本文将重点就审计师对企业内部控制的评价和建议进行探讨。
一、审计师对企业内部控制的评价审计师在对企业进行审计时,需要对其内部控制进行评价。
企业的内部控制对于保障企业资产的安全、维护企业财务信息的准确性及健康发展具有重要的作用。
审计师可以通过以下几个方面对企业内部控制进行评价:1. 内部控制制度的设计和完善程度审计师可以评价企业内部控制制度的设计是否健全,并根据企业的实际情况,对企业内部控制制度的完善程度进行评估。
例如,审计师可以评价企业是否建立了审批流程、风险控制制度、内部审计制度等,以确保企业内部控制的有效性。
2. 内部控制执行的有效性审计师可以通过对企业内部控制的执行情况进行评价。
审计师可以通过对企业的内部文件、记录和资料的检查,了解企业内部控制的执行情况,并评估其有效性。
例如,审计师可以评价企业是否按照规定的程序进行经济业务的处理,是否存在违规操作等情况。
3. 内部控制的风险识别和应对能力审计师可以评价企业对内部控制风险的识别和应对能力。
审计师可以通过对企业的风险评估和风险防范制度的检查,评估企业的内部控制风险识别和应对能力是否充分。
例如,审计师可以评价企业是否建立了风险评估机制、内部控制风险防范措施等。
二、审计师对企业内部控制的建议在对企业内部控制进行评价的基础上,审计师需要给出相应的建议,帮助企业改善内部控制,提高企业的管理效能。
下面是审计师常见的对企业内部控制的建议:1. 完善内部控制制度审计师可以建议企业在内部控制制度方面进行进一步的改善和完善。
例如,建议企业加强对财务报表的审计程序的设计、加强对风险的识别和防范、加强对内部审计的监督等。
2. 提高内部控制执行效果审计师可以建议企业加强对内部控制执行效果的监督和评价。
审计师如何进行企业风险管理和内部控制的审计
审计师如何进行企业风险管理和内部控制的审计企业风险管理和内部控制是保障企业健康发展和提高运营效率的重要环节。
作为审计师,对企业风险管理和内部控制的审计具有重要的责任和使命。
本文将介绍审计师在进行企业风险管理和内部控制审计过程中应该注意的要点和方法。
一、明确审计范围和目标审计师在进行企业风险管理和内部控制审计前,首先需要明确审计的范围和目标。
审计范围包括审计的业务范围和时间范围,审计目标包括发现潜在风险和改进内部控制。
明确审计范围和目标有助于审计师在审计过程中有针对性地进行工作,确保审计的有效性。
二、了解企业的风险管理和内部控制体系审计师在进行企业风险管理和内部控制审计前,需要了解企业的风险管理和内部控制体系。
通过阅读企业的相关文件和政策制度,了解企业的风险管理框架、内部控制流程和风险控制措施。
审计师还可以与企业管理层和内部控制部门进行沟通,了解他们对风险管理和内部控制的理解和实施情况。
三、制定审计计划和测试程序根据对企业风险管理和内部控制体系的了解,审计师需要制定审计计划和测试程序。
审计计划包括审计的时间安排、资源分配和审计人员的任务分工等。
测试程序包括对内部控制的测试和风险管理的评估等。
在制定测试程序时,审计师需要根据企业的特点和业务风险,选择适当的测试方法和工具。
四、进行工作底稿和工作底稿复核审计师在进行企业风险管理和内部控制审计过程中,需要编制工作底稿记录审计活动的过程和结果。
工作底稿包括对企业风险管理和内部控制的评估、测试程序的执行和结果等。
审计师应该保持底稿的规范和准确,确保审计工作的可追溯性和可复核性。
五、整理审计报告和提出改进建议审计师在完成企业风险管理和内部控制审计后,需要整理审计报告和提出改进建议。
审计报告应该包括对企业风险管理和内部控制的评价和发现的问题,同时提出改进建议和措施。
审计师需要准确、明确地表达自己的观点和结论,以便企业管理层和内部控制部门能够及时采取行动。
六、进行审计结果的跟进和追踪审计师在提交审计报告后,应该进行审计结果的跟进和追踪。
如何将审计与内控风险管理有效结合
如何将审计与内控风险管理有效结合在当今复杂多变的商业环境中,企业面临着各种各样的风险和挑战。
为了实现可持续发展和保障资产安全,企业需要建立有效的内部控制和风险管理体系,同时充分发挥审计的监督和评价作用。
将审计与内控风险管理有效结合,能够提升企业的管理水平,增强抵御风险的能力,保障企业的健康发展。
一、审计与内控风险管理的关系审计和内控风险管理是相辅相成的关系。
内部控制是企业为了实现经营目标,保护资产安全,保证会计信息真实可靠,提高经营效率而制定和实施的一系列政策、程序和措施。
风险管理则是对影响企业目标实现的各种不确定性进行识别、评估和应对的过程。
审计则是对企业的财务收支、经济活动以及内部控制的独立性监督和评价。
内部控制是审计的基础。
健全有效的内部控制能够为审计提供良好的环境和条件,降低审计风险,提高审计效率和质量。
审计通过对内部控制的审查和评价,可以发现内部控制存在的缺陷和不足,提出改进建议,促进内部控制的完善。
风险管理为审计提供了方向和重点。
企业面临的风险是审计关注的重要领域,审计通过对风险的评估和分析,确定审计的重点和范围,有针对性地开展审计工作,提高审计的效果和价值。
审计则是内部控制和风险管理的重要保障。
审计的独立性和权威性能够对内部控制和风险管理的有效性进行客观、公正的评价和监督,确保企业的内部控制和风险管理措施得到有效执行,防范风险的发生。
二、将审计与内控风险管理有效结合的重要性(一)提高企业管理效率将审计与内控风险管理有效结合,可以避免重复工作,减少资源浪费,提高工作效率。
审计和内控风险管理在目标、方法和流程上存在一定的重叠,通过整合资源和信息共享,可以实现协同效应,提高企业管理的整体效率。
(二)增强风险防范能力审计和内控风险管理的有效结合能够形成一个全方位、多层次的风险防范体系。
内部控制可以从制度和流程上防范风险,风险管理可以对潜在风险进行识别和评估,审计则可以对风险防范措施的执行情况进行监督和检查,及时发现和纠正风险隐患,增强企业抵御风险的能力。
内部审计内部控制审计与企业内部控制评价辨析
内部审计内部控制审计与企业内部控制评价辨析企业内部控制规范体系发布以来,内部控制成为会计界乃至企业高管人员热议的话题,内部控制、内部监督、内部审计、内部控制审计、内部控制评价等词汇经常见诸各类媒体。
然而,热议归热议,人们对企业内部控制的相关问题的认识并不清晰。
笔者多次碰到企业界的老总们提出同一个问题:内部监督、内部审计、内部控制审计、内部控制评价分别是怎么回事,或者说,企业开展内部控制,到底需要做些什么?企业家们的纠结反映出当前推动企业内部控制规范实施,特别是开展内部控制评价工作时面临的困惑,实际上就是要解决两个问题:一是如何理解内部监督、内部审计、内部控制审计和内部控制评价的内涵,二是如何协调组织内部控制(含内部监督)、内部审计、内部控制审计和内部控制评价等工作,笔者拟结合制度规范的规定,谈谈个人看法。
一、内部控制评价与内部控制审计内部控制评价是对企业内部控制工作所做出的评价。
《企业内部控制评价指引》将内部控制评价定义为“企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程”,并且规定“企业董事会应当对内部控制评价报告的真实性负责”。
显然,该指引所称企业内部控制评价是特指企业董事会或者类似权力机构做出的自我评价,笔者称之为狭义的内部控制评价。
实际上,就字面意思而言,“企业内部控制评价”并未限定谁对企业内部控制进行评价,除了《企业内部控制评价指引》规定的自我评价,企业主管部门和利益相关者、其他独立主体也可以对该企业内部控制做出评价,这些评价构成“广义的”内部控制评价。
从广义的角度看待内部控制评价,自然而然离不开“内部控制审计”。
《企业内部控制审计指引》第二条规定,“本指引所称内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运用的有效性进行审计”。
这个规定说明,会计师事务所作为独立主体,接受委托对企业内部控制有效性进行的“审计”,即“按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见”,就是审计指引定义的内部控制审计。
审计师如何进行企业内部控制与风险管理的有效性评价与改进
审计师如何进行企业内部控制与风险管理的有效性评价与改进审计师在审计过程中,不仅要评估企业财务报告的准确性,还需对企业内部控制与风险管理的有效性进行评价与改进。
本文将探讨审计师如何进行这一评价与改进的方法。
一、评价企业内部控制的有效性1. 了解企业的内部控制体系审计师首先需要了解企业的内部控制体系,包括控制环境、风险评估、控制活动、信息与沟通以及监督机制等方面。
通过对企业内部控制相关文件的审阅和对相关人员的访谈,审计师可以获取必要的信息。
2. 确定内部控制的目标在评价内部控制有效性之前,审计师需要明确内部控制的目标。
这些目标通常包括财务报告的准确性、资产保护、遵守法规和政策、运营效率和业务连续性等。
确定目标后,审计师可以根据这些目标评估内部控制的有效性。
3. 进行内部控制的测试和评估审计师可以通过内部控制测试来评估控制的有效性。
测试的方法包括观察、复核、询问、抽样等。
审计师可以选择代表性的业务交易进行测试,检查交易流程中的控制措施是否被有效执行。
同时,审计师还可以通过评估控制活动的设计和运行情况,确定内部控制的有效性。
4. 分析存在的问题和风险在评估内部控制的有效性时,审计师需要识别存在的问题和潜在的风险。
这可能包括内部控制缺陷、流程漏洞、人员疏忽等。
审计师可以根据问题和风险的严重程度,为企业提供相关的改进建议。
二、改进企业内部控制的有效性1. 提出改进建议根据对企业内部控制有效性的评估结果,审计师应提出改进建议。
建议可以分为短期和长期两类。
短期建议主要解决当前存在的问题,帮助企业改进内部控制。
长期建议则针对风险管理和内部控制体系的持续改进,为企业提供长期、全面的发展方向。
2. 辅助企业改进实施审计师可以在改进实施方面提供协助,并与企业的管理层和内控部门密切合作。
审计师可以帮助企业建立适当的内部控制政策和程序,并提供相关的培训和指导。
同时,审计师还可以对改进实施进行监督和评估,确保改进的效果。
3. 强化风险管理内部控制的有效性评价与风险管理密切相关。
审计师如何进行企业内部控制与风险管理的有效性评价与改进
审计师如何进行企业内部控制与风险管理的有效性评价与改进企业内部控制与风险管理是保障企业运行稳健和防范各类风险的重要环节。
作为专业审核机构的一员,审计师在企业内部控制与风险管理的评价与改进方面扮演着重要的角色。
本文将讨论审计师在这方面的职责,并提出一些有效的评价与改进方法。
一、审计师的职责审计师在企业内部控制与风险管理的有效性评价与改进中,有以下几个主要职责:1. 了解与评估企业的内部控制制度:审计师需要深入了解被审计企业的内部控制制度,包括企业的风险管理政策、流程以及相关的监管要求。
通过评估这些制度的合规性和有效性,审计师可以为企业提供有针对性的建议,帮助企业优化内部控制。
2. 确定关键风险领域:审计师应当对企业的操作流程和业务模式进行仔细审查,以确定关键风险领域。
这些领域可能涉及财务报表的编制、关键业务流程的控制等。
审计师能够根据这些风险领域,制定相应的审计计划和程序。
3. 进行风险评估与测试:审计师需要根据确定的风险领域,对企业的内部控制制度进行评估与测试。
这一过程包括审查企业的文件和记录,与企业的管理层交流,以及开展实地调查等。
通过这些工作,审计师可以评估内部控制的有效性,并发现潜在的风险问题。
4. 提供改进意见:审计师应当根据评估的结果,向企业提供改进意见。
这些意见可能涉及内部控制制度的调整、流程的优化、风险的管理等。
审计师应当与企业的管理层紧密合作,确保提出的意见得到有效地执行。
二、有效性评价与改进方法1. 风险导向的审计方法:审计师可以采用风险导向的审计方法,将关注点放在企业的风险领域上。
这意味着审计师首先需要了解企业的风险管理政策和流程,然后根据这些信息,确定关键风险领域,并将审计资源投入到这些领域的评估和测试中。
2. 数据分析技术的运用:审计师可以运用数据分析技术,对企业的数据进行整理和分析。
通过对大量数据的深入挖掘,审计师可以发现潜在的内部控制问题和风险隐患。
例如,利用数据分析工具可以检测财务报表中的异常交易和非法操作。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
如何评价内部控制与审计风险萧伟强2000年6月(一) 内部控制与审计风险概论(1) 审计风险的函义按照独立审计基本准则,独立审计的目的是对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见。
审计风险是指会计报表存在重大错报或漏报,而注册会计师审计后发表不恰当审计意见的可能性。
至于注册会计师为何要评价被审计单位的审计风险及应如何评价审计风险以减低或避免发表不恰当审计意见的可能性,将会是这个讲义的主要内容,也是整个审计过程中的关键。
(2) 评价审计风险的重要性(a) 决定审计资源分配,使审计工作有效地进行。
注册会计师对被审计单位会计报表进行审计时采用的审计方法大致可分为以下两种;(i) (Risk-drivenaudit),(ii)险后,分析有关审计风险对财务报表认定的影响,按照审计风险分析结果,序的审计方法并不考虑审计风险的程度,采用预先制定的标准审计程序进行审计工作,最终可能导致低风险的审计科目所得的资源过多,而高风险审计重风险的审计方法,对被审计单位的审计风险进行评价,以便决定审计资源应如何分配,使审计工作有效地进行。
一般而言,主要审计负责人的经验和企业,应安排较具经验的审计人员,如高级经理负责主理;另外,高风险的审计项目通常需要超过一个合伙人和经理负责处理,以确保审计风险能降至可接受水平。
另外,评价审计风险后不单可决定审计资源应如何分配到各个会计科目;若被审计单位是一家拥有多间分行或多家子公司的机构或从事不同类型行业的跨国性企业时,注册会计师还可按照对各个分公司或子公司进行审计风险评价后的结果,决定那一家分公司、子公司或那一类别的行业应获分配较多审计资源。
(b) 决定需获取审计证据的类别独立审计准则第5号规定注册会计师判断审计证据是否充分、适当、应考虑审计风险;当注册会计师了解及分析被审计单位存在的审计风险后,注册会计师需判断应获取审计证据的类别;若被审计单位的固有风险及控制风险(将于第二节中作详细讨论)较高时,注册会计师需获取可靠程度较高的审计证据。
而审计证据的可靠程度可参照下列标准来判断:⏹书面证据比口头证据可靠;⏹外部证据比内部证据可靠;⏹注册会计师自行获得的证据比由被审计单位提供的证据可靠;⏹内部控制较好时的内部证据比内部控制较差时均内部证据可靠。
图一说明了审计风险分析结果如何影响需获取的审计证据类图一(c) 考虑应否接受聘约除非在被审计单位特别要求情况下,所有审计项目均采用抽样审计方法进行。
但由于财务报表的真实性及可靠性乃建基于管理层的诚信,故只要采用抽样审计,所有审计项目均存在审计风险;问题是该等审计风险是否不可控制或不可接受;而评价审计风险的其中一个目的,是透过了解及分析被审计单位存在的固有风险及控制风险后,注册会计师判断有关风险水平是否不可控制或不可接受,并考虑应否接受聘约。
(d) 制定整体审计计划注册会计师在评价及衡量被审计单位的固有风险及控制风险后,可按照风险评价结果制定相应的审计计划,决定各审计程序(包括符合性测试及实质性测试)实施的范围、时间和性质。
(e) 降低注册会计师的营业风险注册会计师的营业风险是指其所执行的每项聘约都有可能使会计师事务所面临诉讼、赔偿、损坏名声的风险。
意思是虽然注册会计师已按照独立审计准则进行审计工作及发表其审计意见,被审计单位或使用其财务报表的其它人仕仍可能对注册会计师提出控告。
就算注册会计师最后被判胜诉,有关诉讼已对该注册会计师的名誉造成一定程度的影响。
于七十至八十年代,注册会计师就其对财务报表发表意见而需面临的诉讼多数集中在英国及美国两个国家,而发生的案例并不算多,所涉及的赔偿金额一般较轻;但于近十年,注册会计师由于专业疏忽而需作出赔偿的例子在西方国家(不仅在英国及美国)与日俱增,虽然大部份的案件所涉及的赔偿金额都没有被公布,但一般相信都是可观的数字。
至于在国内及香港,近年亦有多宗涉及注册会计师就其发表的审计意见而需面临诉讼或调查的个案被传播媒介广泛披露,虽然有关案件暂时未有涉及任何赔偿金额,但对注册会计师的名誉已造成一定影响。
从上述可见,营业风险有可能对注册会计师造成极大伤害(包括金钱赔偿及名誉方面)。
虽然注册会计师不能直接控制营业风险水平,但透过了解及分析被审计单位的审计风险,尤其是固有风险,注册会计师可从客户甄选过程中辨别那些高风险的聘约,并考虑拒绝接受有关聘约,从而降低面临诉讼的可能性。
结论:总括而言,由于审计风险评价可使审计工作有效地进行及降低审计风险及注也是各国注册会计师监管机构所提倡的审计方法。
事实上,多个中国注册会计师独立审计具体准则也提及审计风险的重要性,以下节录了部份有关涉及中国注册会计师在接受及执行聘约时需考虑审计风险的独立审计具体准则及规条作为参考:事实上,按照上述独立审计具体准则,注册会计师在多个审计阶段均须衡量审计风险,例如:⏹在承接审计业务时,考虑是否接受委聘;⏹在编制审计计划时,确定所需要的审计程序的性质、时间和范围;⏹在编制具体的审计程序时,确定所需的审计测试内容;⏹在编制审计报告时,考虑出具合适的审计意见。
基于上述原因,审计风险的评价在整个审计过程中是非常重要的,直接影响后续审计工作的进行及注册会计师面临诉讼的可能性。
(3) 内部控制与审计风险的关系本讲义的标题为「如何评价内部控制与审计风险」,到底内部控制与审计风险存在什么的关系呢?在这环节里将会作简单介绍。
上一环节提及多个独立审计具体准则均提及评价审计风险的重要;而独立审计具体准则第9号「内部控制与审计风险」更将内部控制及审计风险放在同一个准则里,规定注册会计师在评价审计风险时需研究被审计单位的内部控制,主要基于要了解内部控制与审计风险的关系,需首先介绍两种注册会计师可选择采用的审计策略;i)系统信赖法(System-based approach or Reliance approach) 或ii)实质性测试法(Substantive approach)。
系统信赖法指注册会计师透过测试被审计单位内部控制的有效性而减少对相关财务报表认定进行实质性测试的策略。
而实质性测试指注册会计师完全不依赖内部控制,直接对财务报表帐目金额获取审计证据。
根据独立审计具体准则第9号,内部控制指被审计单位为了保证业务活动的有效进行,保护资产的安全和完整、防止、发现、纠正错鋘与舞弊,保证会计数据的真实、合法、完整而制定和实施的政策与程序。
从以上内部控制的目标及功效来看,若被审计单位的内部控制健全,该企业便可透过内部控制系统的运作防止及纠正在日常营运中错误及舞弊的发生,从而减低了会计报表存在重大错误或漏报的可能性。
因此,当其它条件如固有风险水平一致时,被审计单位的内部控制越方法时,必须研究及评价被审计单位内部控制的有效性,从而确定审计风险水平;而对于那些具备有效内部控制的会计循环(Accounting cycle)如销售与收款循环或采购与付款循环等,其对应的审计风险必然较低,在此情况下,注册会计师便可在审计过程中较大程度依赖被审计单位的内部控制系统,减少实质性测试的程序;相反,对于那些内部控制较为薄弱的会计循环,其对应的审计风险必然较高,注册会计师使应较少依赖或不应依赖内部控制,而需实施较多的实质性测试程序。
(二) 审计风险的组成要素及其相互关系(Tisk-drivenaudit)里的重要性已在第一环节里跟各位讨论。
注册会计师若要有效地评价内部控制及审计风险,必需首先了解审计风险的组成要素及其相互关系。
以下部份将会将过介绍审计风险模型以探讨审计风险的组成要素及其相互关系。
而注册会计师在制定审计计划时,一般会运用审计风险模型的概念去决定需获取多少审计证据。
(1) 审计风险模型独立审计具体准则第9号[内部控制与审计风险]第三条指出,审计风险包括固有风险、控制风险和检查风险。
审计风险与其构成要素的相互关系一般以下列公式表示:审计风险=固有风险x控制风险x检查风险固有风险:指假定没有相关的内部控制,某一账户或交易类别单独或连同其它账户或交易类别出现重大错误或漏报的可能性控制风险:指某一账户或交易类别单独或连同其它账户或交易类别产生错误或漏报,但没有透过内部控制而防止、发现或纠正的可能性检查风险:指某一账户或交易类别单独或连同其它账户或交易类别产生重大错报或漏报,但未能透过实质性测试发现的可能性上述组成元素及其相互关系可透过图2作进一步理解图2在上列公式中审计风险水平乃作为注册会计师发表审计意见的基础,故注册会计师一般会将审计风险设定在可接受的低水平。
虽然注册会计师不能控制被审计单位的固有风险和控制风险,但通过研究和评价被审计单位的内部控制,注册会计师可对被审计单位固有风险和控制风险的高低进行评估,并在此基础上,确定实质性测试的性质、时间和范围,以降低检查风险,使总体审计风险降低至注册会计师设定的可接受水平。
由于注册会计师一般会将审计风险设定在某一水平,而固有风险及控制风险乃不受注册会计师直接按制,故在制定审计计划时,为决定需获取多少审计证据,注册会计师一般会按照上述的公式计算检查风险如下:审计风险检查风险=固有风险x控制风险在设定的审计风险水平下,固有风险及控制风险评估结果对注册会计师可承受的检查风险水平的影响如图3所示:图3当固有风险和控制风险的综合水平(即公式上的分母)较高时,计算得到的检查风险便会较低,这意味注册会计师需扩大审计范围,将检查风险尽量降低,使整体审计风险降低至可接受的水平。
相反,如果被审计单位固有风险较低而内部控制亦能有效地运作,固有风险和控制风险的综合水平会较低(即分母较小),在设定的可接受审计风险水平下,注册会计师可承受的检查风险可以较高,即注册会计师可减少实质性测试的范围。
上述关系如图4所示:图4由此可见,通过对被审计单位固有风险和控制风险的评估,注册会计师便可确定实质性测试的样本规模,把审计计划与审计实施过程有机地联系起来。
(2) 评价审计风险需注意事项注册会计师在评价被审计单位的审计风险时,需特别注意下列事项: (a) 风险量化问题许多注册会计师认为独立审计具体准则应提供具体的风险量化指引或方法(即在甚么情况下,固有风险须定为高?在甚么情况下,控制风险须定为低?);独立审计准则没有提供这些风险量化指引的主要原因是:––评价审计风险各组成元素(即固有风险,控制风险和检查风险)的风险水平时需考虑的因素太多,根本不可能列出所有情况的操作方法,尤其是风险往往是众多因素相互影响的结果。
–– 在相同的因素或情况下,不同的注册会计师可能由于经验或专业水平的差异而作出不同的风险评估。
–– 过于具体的准则或指引将使审计工作由一项专业判断性工作变成一项机械的证据搜集工作。
因此,审计风险评价及审计风险模型应作为协助注册会计师将风险与审计证据连击起来的一个概念;在实际应用时,注册会计师应将所有影响固有风险及控制风险的各种因素进行了解及分析后,以本身的经验及运用专业判断去正 : 正 面 關 系 反 : 反 面 關 系反需 透 過 實 質 性 測 試 獲 取 的 審 計 證 據评价整体审计风险,从而制定相应的审计程序将审计风险降至可接受水平。