第八章、内部控制与重大错报风险评估
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
重大错报风险的评估是一种判断工作,审计人员 应当运用职业判断,确定识别的风险哪些是需要 特别考虑的重大风险(以下简称特别风险)。
特别风险常与重大的非常规交易和判断事项有关。 对于特别风险,审计人员应当评价相关控制的设
计情况,并确定其是否已经得到执行。
3.仅通过实质性程序无法应对的重大错报 风险
在对待风险管理的态度上,已经成功接受重大风 险的公司与由于冒险进入危险区域而已经面临经 济困难和被迫调整政策的企业有显著的不同。
让企业所有员工了解企业的风险管理理念有利于 提高员工确认和有效管理风险的能力。
管理当局在经营中表现的管理哲学理念及行动能
清楚地把内部控制是否重要的信号传递给员工,
从而对企业的控制环境产生深刻的影响。
企业内部各个管理层都需要信息来帮助识别、 评估风险和应对风险,以及进行经营并实现企 业的目标。
良好的信息系统必须包含以下基本要素:
(1)信息的确认。
(2)信息的获取。
(3)信息的处理。
(4)信息的报告。
18
信息是沟通的基础,沟通则必须满足各部门和 个人的要求,以使他们能够有效地履行其职责。
(3)控制活动(control activities)。
(4)信息与沟通(information and communication)。
(5)监控(monitoring)。
这五个要素间有着严密的逻辑关系,如图8-
1所示。
5
图8-1 内部控制五要素之间的逻辑关系
6
(五)企业风险管理——综合框架
(1)营运之效果及效率; (2)财务报告之可靠性; (3)相关法令之遵循。 上述过程受企业的董事会、管理当局及其他
人员的影响。”
4
COSO报告还将内部控制结构中的三要素扩 展为内部控制整体框架中的五个组成要素:
(1)控制环境(control environment)。
(2)风险评估(risk assessment)。
在衡量目标的实现程度时,管理者经常使用业 绩计量指标。当考虑某一风险对实现某一特定 目标的潜在影响时,使用这些计量指标同样有 效。
通常一个潜在事项结果是一个可能的范围值, 管理者应将其作为制定风险反应方案的基础。
15
管理者通常只趋于关注中短期的风险,但风险 应在企业战略和目标的前提下进行评估。
该八要素是企业目标实现的保证,渗透于企业管理
过程之中。它们相互之间存在直接的关系,可以用
一个三维矩阵图来表示(如图8-2所示)。
9
图8-2 企业风险管理框架八要素及四目标关系
图
10
(一)内部环境-8
1.风险管理哲学
ห้องสมุดไป่ตู้
风险管理哲学是一整套共同拥有的信念和态度, 它以企业如何考虑它所做的每一件事为特征,范 围涉及从战略的制定、修订到企业的日常经营活 动。
(5)新增了三个风险管理要素,即“目标
制定(objective setting)”、“事项识别
(event identification)”和“风险应对(risk
response)”
ICIF 的五要素演变为八
个要素,并对原有五个要素进行了深化和扩
展(具体见下文的讨论)。
8
二、内部控制的构成要素
企业的风险管理框架包括四类目标和八 个要素。
由于企业的控制活动与企业的信息系统广泛相 关,因此,应对企业所有的重要系统进行控制。
一般控制包括对信息技术管理、信息技术基础 设施、保密管理和软件的购买、开发和维护的 控制。
应用控制的目的是保证数据获得和业务处理过 程的完整性、精确性、授权和有效性。
17
(七)信息与沟通
来自企业内部和外部的相关信息必须以一定的 格式和时间间隔进行确认、获取和传递,以保 证企业的员工能够执行各自的职责。
四类目标分别是战略目标、经营目标、报告 目标和合法性目标。
八个要素分别是内部环境(internal environment)、 目标制定(objective setting)、事项识别(event identification)、风险评估(risk assessment)、风险 应对(risk response)、控制活动(control activity)、 信息和沟通(information & communication)、监控 (monitoring)。
图8-3显示了重大错报风险评价在整个审计 过程中所处的位置。
图8-4概括了重大错报风险的评价过程。
28
图8-3 重大错报风险在审计流程中的位置
29
图8-4 重大错报风险评价流程图
30
(一)执行风险评估程序——评估财 务报表层次和认定层次重大错报风险
1.了解被审计单位及其环境并初步评估重大 错报风险
32
(二)执行控制测试——进一步评估 认定层次的重大错报风险
只有存在下列情形时,审计人员才应当实施 控制测试,再次评估认定层次的重大错报风 险:
(1)在评估认定层次重大错报风险时,预期控 制的运行是有效的;
(2)仅实施实质性程序不足以提供认定层次充 分、适当的审计证据。
33
1.了解内部控制
事项是指影响目标实现的、来自内外部的潜在 事件。
事项既可能带来负面的影响,也可能带来正面 的影响。
14
(四)风险评估
管理者应从两个方面对风险进行评估——风险
风险发生的可能性是指某一特定事项发生的可能性, 影响则是指事项的发生将会带来的影响。
一个企业风险评估的方法通常是定量方法和定 性分析技术的组合。
财务报表进行复核。
25
第二节 重大错报风险评估
26
重大错报风险的评估过程
重大错报风险的评估过程是识别和评估财务报表层次以及 各类交易、账户余额、列报与披露认定层次的重大错报风 险的过程。
重大错报风险的评估是以了解被审计单位及其环境(包括 内部控制)为基础的,具体评估过程分为三步:
首先,通过风险评估程序,了解被审计单位及其环境,目的是初 步评估财务报表总体层次和认定层次的重大错报风险;
内部控制的暂时性失效也可能发生于环境发 生变化,而控制没有相应及时变化的情况下。
23
(二)小企业的内部控制
业主或经理的积极参与通常是最好的补偿控制, 这些补偿控制主要有-10:
(1)在签发支票之前检查所有凭证,并直接邮寄支 票。
(2)仔细复核客户对账单后直接邮寄。 (3)在发送购货指令给供应商之前进行检查。 (4)运用分析程序并调查异常的关系。
企业可以通过两种方式对风险管理进行监控: 持续监控和个别评估。
持续监控是对企业日常的、重复的经营活动的监控, 是在实时的基础上进行的,是对不断变化的环境的 动态反应,应在企业内部彻底地贯彻和执行。
个别评估的频率依企业管理者的主观判断而定。
20
三、内部控制的固有局限性与 小企业的内部控制
(一)内部控制的固有局限性
❖21世纪会计学系列教材
第八章 内部控制与重大错 报风险评估
1
主要内容
第一节 内部控制 第二节 重大错报风险评估
2
一、内部控制概念及其思想的 历史演进
(一)内部牵制阶段 (二)内部会计与管理控制阶段 (三)内部控制结构阶段 (四)内部控制整体框架阶段
3
COSO报告对内部控制提出的新定义是: “内部控制是一个为达成下列各类目标而提 供合理保证的过程:
24
(5)控制现金收款并与每日银行存款回单相比 较。
(6)由出纳员和记账员之外的人员核对银行存 款账户。
(7)所有客户账户的冲销均需要经过批准。 (8)定期对存货进行测试性盘点并与永续记录
相比较。 (9)在签发工资支票之前进行复核,并偶尔进
行意外的工资支票分发。 (10)聘请注册会计师定期对会计系统和相关的
11
2.风险偏好
风险偏好是企业在追求价值过程中所愿意接受的 风险数量和水平,反映了企业的风险管理哲学, 反过来也影响企业的文化和经营方式。
3.董事会
企业的董事会是内部环境的重要组成部分,它会 影响其他内部环境的构成要素。
4.诚信原则和道德价值观
诚信原则和道德价值观这一因素是指企业道德和 行为标准的确立及其传递给企业中各层次的人员 的过程。
管理当局应在固有风险和剩余风险两个层次的 基础上对风险进行评估。
(五)风险应对
风险应对可分为规避风险、减少风险、共担风 险和接受风险四类。
选定某一个风险应对方案后,管理当局应在剩 余风险的基础上重新评估风险,即从企业总体 风险组合的、预测的角度重新计量风险。
16
(六)控制活动
控制活动是指为确保风险应对方案得到正确执 行的相关政策和程序。
招聘、评估、激励员工的政策、程序和方法是控 制环境的重要组成部分。
13
(二)目标制定
每个企业都面临着因利用内部或外部资源而带 来的风险,目标制定是有效的事项识别、风险 评估和风险应对的前提。
企业的目标
(1)战略目标。 (2)经营目标。 (3)报告目标。 (4)遵循性目标。
(三)事项识别
其次,如果审计人员通过对认定层次重大错报风险的评估认为预 期控制的运行是有效的,则必须执行控制测试,目的是测试内部 控制在防止、发现和纠正认定层次重大错报方面的有效性,并据 此进一步评估认定层次的重大错报风险,以支持初步评估结果;
27
重大错报风险的评估过程
最后,实施实质性测试,目的是检查认定层 次的重大错报风险。
管理者应提供特定的或直接的沟通渠道以说明 对员工的行为预期和各自的职责,并且应包括 对企业风险管理原理和方法以及员工权责分配 的清晰的说明。
沟通渠道应该保证企业员工能够在各业务部门、 业务流程或职能部门间进行风险信息的沟通。
19
(八)监控
对企业风险管理的监控是一个评估风险管理要 素的内容、风险管理的运行,以及一段时期的 执行质量的过程。
审计人员在了解被审计单位内部控制的过程中, 可以对内部控制的某些方面进行评价,包括:
(1)管理当局对内部控制的重视程度; (2)内部审计人员的胜任能力及其客观性; (3)不相容职责的分离; (4)执行会计职能和控制程序人员的胜任能力; (5)资产和权力的限制性接触。
7
新的COSO报告在以下几个方面得到了发展:
(1)增加了一个观念——风险组合观;
(2)发展了内部控制的报告目标,该目标 涵盖了企业所有的报告;
(3)增加了一类新目标——战略目标,
(4)提出了两个新概念——风险偏好(risk appetite)和风险容忍度(risk tolerance);
内部控制的固有局限性之所以存在,是基于以 下原因-5:
(1)内部控制的设计和运行受制于成本效益原则, 因此在实务中,管理当局采用的内部控制往往不是 最理想的;
(2)内部控制的设计一般仅针对常规交易与业务进 行,对于非常规交易或业务,现有的内部控制往往 无法起到约束控制作用;
21
(3)即使企业管理当局设计出一个理想的内部 控制制度,这一制度也可能因为执行制度的人员 粗心大意、判断失误或对管理当局指令的误解而 失效;
审计人员应当利用实施风险评估程序获取的信息, 包括在评价控制设计和确定其是否得到执行时获取 的审计证据,作为支持风险评估结果的审计证据, 再根据风险评估结果,确定实施进一步审计程序的 性质、时间和范围。
在评估重大错报风险时,审计人员应当将所了解的 控制与特定认定相联系。
31
2.评估过程中需要特别考虑的重大风险
5.培养和评定员工的胜任能力
能力是完成工作范围内的任务所需要的知识和技 能。
12
6.组织结构
企业的组织结构确定了现有的责任和权力的等级 及划分,为计划、执行、控制和监督其活动提供 了框架。
7.权力和责任的分配方法
管理当局要考虑如何以适当的方式将对责权的分 配传达给各层次员工。
8.人力资源政策及实务
该框架对内部控制的定义明确了以下内容: (1)是一个动态的、贯穿企业实体各个层
级和单位的过程; (2)受组织内所有层次人的影响; (3)应用于战略制定; (4)旨在识别影响组织的事件并在组织的
风险偏好范围内管理风险; (5)能够为企业实体的管理层和董事会提
供合理保证; (6)为了实现各类目标。
(4)内部控制可能因为执行人员滥用职权,超 越内控,或因两个不同岗位职责的人员相互勾结、 串通而失效;
(5)企业面临的经营环境或业务性质的改变会 让现有的内部控制不再适合,从而削弱内部控制 的作用,甚至引起内控失效。
22
对审计人员来说,要特别关注企业内部控制 在以下几个方面的局限性:
(1)共谋而避开控制。 (2)管理当局超越控制。 (3)系统暂时失效。
特别风险常与重大的非常规交易和判断事项有关。 对于特别风险,审计人员应当评价相关控制的设
计情况,并确定其是否已经得到执行。
3.仅通过实质性程序无法应对的重大错报 风险
在对待风险管理的态度上,已经成功接受重大风 险的公司与由于冒险进入危险区域而已经面临经 济困难和被迫调整政策的企业有显著的不同。
让企业所有员工了解企业的风险管理理念有利于 提高员工确认和有效管理风险的能力。
管理当局在经营中表现的管理哲学理念及行动能
清楚地把内部控制是否重要的信号传递给员工,
从而对企业的控制环境产生深刻的影响。
企业内部各个管理层都需要信息来帮助识别、 评估风险和应对风险,以及进行经营并实现企 业的目标。
良好的信息系统必须包含以下基本要素:
(1)信息的确认。
(2)信息的获取。
(3)信息的处理。
(4)信息的报告。
18
信息是沟通的基础,沟通则必须满足各部门和 个人的要求,以使他们能够有效地履行其职责。
(3)控制活动(control activities)。
(4)信息与沟通(information and communication)。
(5)监控(monitoring)。
这五个要素间有着严密的逻辑关系,如图8-
1所示。
5
图8-1 内部控制五要素之间的逻辑关系
6
(五)企业风险管理——综合框架
(1)营运之效果及效率; (2)财务报告之可靠性; (3)相关法令之遵循。 上述过程受企业的董事会、管理当局及其他
人员的影响。”
4
COSO报告还将内部控制结构中的三要素扩 展为内部控制整体框架中的五个组成要素:
(1)控制环境(control environment)。
(2)风险评估(risk assessment)。
在衡量目标的实现程度时,管理者经常使用业 绩计量指标。当考虑某一风险对实现某一特定 目标的潜在影响时,使用这些计量指标同样有 效。
通常一个潜在事项结果是一个可能的范围值, 管理者应将其作为制定风险反应方案的基础。
15
管理者通常只趋于关注中短期的风险,但风险 应在企业战略和目标的前提下进行评估。
该八要素是企业目标实现的保证,渗透于企业管理
过程之中。它们相互之间存在直接的关系,可以用
一个三维矩阵图来表示(如图8-2所示)。
9
图8-2 企业风险管理框架八要素及四目标关系
图
10
(一)内部环境-8
1.风险管理哲学
ห้องสมุดไป่ตู้
风险管理哲学是一整套共同拥有的信念和态度, 它以企业如何考虑它所做的每一件事为特征,范 围涉及从战略的制定、修订到企业的日常经营活 动。
(5)新增了三个风险管理要素,即“目标
制定(objective setting)”、“事项识别
(event identification)”和“风险应对(risk
response)”
ICIF 的五要素演变为八
个要素,并对原有五个要素进行了深化和扩
展(具体见下文的讨论)。
8
二、内部控制的构成要素
企业的风险管理框架包括四类目标和八 个要素。
由于企业的控制活动与企业的信息系统广泛相 关,因此,应对企业所有的重要系统进行控制。
一般控制包括对信息技术管理、信息技术基础 设施、保密管理和软件的购买、开发和维护的 控制。
应用控制的目的是保证数据获得和业务处理过 程的完整性、精确性、授权和有效性。
17
(七)信息与沟通
来自企业内部和外部的相关信息必须以一定的 格式和时间间隔进行确认、获取和传递,以保 证企业的员工能够执行各自的职责。
四类目标分别是战略目标、经营目标、报告 目标和合法性目标。
八个要素分别是内部环境(internal environment)、 目标制定(objective setting)、事项识别(event identification)、风险评估(risk assessment)、风险 应对(risk response)、控制活动(control activity)、 信息和沟通(information & communication)、监控 (monitoring)。
图8-3显示了重大错报风险评价在整个审计 过程中所处的位置。
图8-4概括了重大错报风险的评价过程。
28
图8-3 重大错报风险在审计流程中的位置
29
图8-4 重大错报风险评价流程图
30
(一)执行风险评估程序——评估财 务报表层次和认定层次重大错报风险
1.了解被审计单位及其环境并初步评估重大 错报风险
32
(二)执行控制测试——进一步评估 认定层次的重大错报风险
只有存在下列情形时,审计人员才应当实施 控制测试,再次评估认定层次的重大错报风 险:
(1)在评估认定层次重大错报风险时,预期控 制的运行是有效的;
(2)仅实施实质性程序不足以提供认定层次充 分、适当的审计证据。
33
1.了解内部控制
事项是指影响目标实现的、来自内外部的潜在 事件。
事项既可能带来负面的影响,也可能带来正面 的影响。
14
(四)风险评估
管理者应从两个方面对风险进行评估——风险
风险发生的可能性是指某一特定事项发生的可能性, 影响则是指事项的发生将会带来的影响。
一个企业风险评估的方法通常是定量方法和定 性分析技术的组合。
财务报表进行复核。
25
第二节 重大错报风险评估
26
重大错报风险的评估过程
重大错报风险的评估过程是识别和评估财务报表层次以及 各类交易、账户余额、列报与披露认定层次的重大错报风 险的过程。
重大错报风险的评估是以了解被审计单位及其环境(包括 内部控制)为基础的,具体评估过程分为三步:
首先,通过风险评估程序,了解被审计单位及其环境,目的是初 步评估财务报表总体层次和认定层次的重大错报风险;
内部控制的暂时性失效也可能发生于环境发 生变化,而控制没有相应及时变化的情况下。
23
(二)小企业的内部控制
业主或经理的积极参与通常是最好的补偿控制, 这些补偿控制主要有-10:
(1)在签发支票之前检查所有凭证,并直接邮寄支 票。
(2)仔细复核客户对账单后直接邮寄。 (3)在发送购货指令给供应商之前进行检查。 (4)运用分析程序并调查异常的关系。
企业可以通过两种方式对风险管理进行监控: 持续监控和个别评估。
持续监控是对企业日常的、重复的经营活动的监控, 是在实时的基础上进行的,是对不断变化的环境的 动态反应,应在企业内部彻底地贯彻和执行。
个别评估的频率依企业管理者的主观判断而定。
20
三、内部控制的固有局限性与 小企业的内部控制
(一)内部控制的固有局限性
❖21世纪会计学系列教材
第八章 内部控制与重大错 报风险评估
1
主要内容
第一节 内部控制 第二节 重大错报风险评估
2
一、内部控制概念及其思想的 历史演进
(一)内部牵制阶段 (二)内部会计与管理控制阶段 (三)内部控制结构阶段 (四)内部控制整体框架阶段
3
COSO报告对内部控制提出的新定义是: “内部控制是一个为达成下列各类目标而提 供合理保证的过程:
24
(5)控制现金收款并与每日银行存款回单相比 较。
(6)由出纳员和记账员之外的人员核对银行存 款账户。
(7)所有客户账户的冲销均需要经过批准。 (8)定期对存货进行测试性盘点并与永续记录
相比较。 (9)在签发工资支票之前进行复核,并偶尔进
行意外的工资支票分发。 (10)聘请注册会计师定期对会计系统和相关的
11
2.风险偏好
风险偏好是企业在追求价值过程中所愿意接受的 风险数量和水平,反映了企业的风险管理哲学, 反过来也影响企业的文化和经营方式。
3.董事会
企业的董事会是内部环境的重要组成部分,它会 影响其他内部环境的构成要素。
4.诚信原则和道德价值观
诚信原则和道德价值观这一因素是指企业道德和 行为标准的确立及其传递给企业中各层次的人员 的过程。
管理当局应在固有风险和剩余风险两个层次的 基础上对风险进行评估。
(五)风险应对
风险应对可分为规避风险、减少风险、共担风 险和接受风险四类。
选定某一个风险应对方案后,管理当局应在剩 余风险的基础上重新评估风险,即从企业总体 风险组合的、预测的角度重新计量风险。
16
(六)控制活动
控制活动是指为确保风险应对方案得到正确执 行的相关政策和程序。
招聘、评估、激励员工的政策、程序和方法是控 制环境的重要组成部分。
13
(二)目标制定
每个企业都面临着因利用内部或外部资源而带 来的风险,目标制定是有效的事项识别、风险 评估和风险应对的前提。
企业的目标
(1)战略目标。 (2)经营目标。 (3)报告目标。 (4)遵循性目标。
(三)事项识别
其次,如果审计人员通过对认定层次重大错报风险的评估认为预 期控制的运行是有效的,则必须执行控制测试,目的是测试内部 控制在防止、发现和纠正认定层次重大错报方面的有效性,并据 此进一步评估认定层次的重大错报风险,以支持初步评估结果;
27
重大错报风险的评估过程
最后,实施实质性测试,目的是检查认定层 次的重大错报风险。
管理者应提供特定的或直接的沟通渠道以说明 对员工的行为预期和各自的职责,并且应包括 对企业风险管理原理和方法以及员工权责分配 的清晰的说明。
沟通渠道应该保证企业员工能够在各业务部门、 业务流程或职能部门间进行风险信息的沟通。
19
(八)监控
对企业风险管理的监控是一个评估风险管理要 素的内容、风险管理的运行,以及一段时期的 执行质量的过程。
审计人员在了解被审计单位内部控制的过程中, 可以对内部控制的某些方面进行评价,包括:
(1)管理当局对内部控制的重视程度; (2)内部审计人员的胜任能力及其客观性; (3)不相容职责的分离; (4)执行会计职能和控制程序人员的胜任能力; (5)资产和权力的限制性接触。
7
新的COSO报告在以下几个方面得到了发展:
(1)增加了一个观念——风险组合观;
(2)发展了内部控制的报告目标,该目标 涵盖了企业所有的报告;
(3)增加了一类新目标——战略目标,
(4)提出了两个新概念——风险偏好(risk appetite)和风险容忍度(risk tolerance);
内部控制的固有局限性之所以存在,是基于以 下原因-5:
(1)内部控制的设计和运行受制于成本效益原则, 因此在实务中,管理当局采用的内部控制往往不是 最理想的;
(2)内部控制的设计一般仅针对常规交易与业务进 行,对于非常规交易或业务,现有的内部控制往往 无法起到约束控制作用;
21
(3)即使企业管理当局设计出一个理想的内部 控制制度,这一制度也可能因为执行制度的人员 粗心大意、判断失误或对管理当局指令的误解而 失效;
审计人员应当利用实施风险评估程序获取的信息, 包括在评价控制设计和确定其是否得到执行时获取 的审计证据,作为支持风险评估结果的审计证据, 再根据风险评估结果,确定实施进一步审计程序的 性质、时间和范围。
在评估重大错报风险时,审计人员应当将所了解的 控制与特定认定相联系。
31
2.评估过程中需要特别考虑的重大风险
5.培养和评定员工的胜任能力
能力是完成工作范围内的任务所需要的知识和技 能。
12
6.组织结构
企业的组织结构确定了现有的责任和权力的等级 及划分,为计划、执行、控制和监督其活动提供 了框架。
7.权力和责任的分配方法
管理当局要考虑如何以适当的方式将对责权的分 配传达给各层次员工。
8.人力资源政策及实务
该框架对内部控制的定义明确了以下内容: (1)是一个动态的、贯穿企业实体各个层
级和单位的过程; (2)受组织内所有层次人的影响; (3)应用于战略制定; (4)旨在识别影响组织的事件并在组织的
风险偏好范围内管理风险; (5)能够为企业实体的管理层和董事会提
供合理保证; (6)为了实现各类目标。
(4)内部控制可能因为执行人员滥用职权,超 越内控,或因两个不同岗位职责的人员相互勾结、 串通而失效;
(5)企业面临的经营环境或业务性质的改变会 让现有的内部控制不再适合,从而削弱内部控制 的作用,甚至引起内控失效。
22
对审计人员来说,要特别关注企业内部控制 在以下几个方面的局限性:
(1)共谋而避开控制。 (2)管理当局超越控制。 (3)系统暂时失效。