第八章内部控制与重大错报风险评估
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
n 一个企业风险评估的方法通常是定量方法和定 性分析技术的组合。
n 在衡量目标的实现程度时,管理者经常使用业 绩计量指标。当考虑某一风险对实现某一特定 目标的潜在影响时,使用这些计量指标同样有 效。
n 通常一个潜在事项结果是一个可能的范围值, 管理者应将其作为制定风险反应方案的基础。
第八章内部控制与重大错报风险评估
(4)内部控制可能因为执行人员滥用职权,超 越内控,或因两个不同岗位职责的人员相互勾结、 串通而失效;
(5)企业面临的经营环境或业务性质的改变会 让现有的内部控制不再适合,从而削弱内部控制 的作用,甚至引起内控失效。
第八章内部控制与重大错报风险评估
n 对审计人员来说,要特别关注企业内部控制 在以下几个方面的局限性:
图8-4
重大错报风险评价流程图
第八章内部控制与重大错报风险评估
(一)执行风险评估程序——评估财 务报表层次和认定层次重大错报 风险
n 1.了解被审计单位及其环境并初步评估重大 错报风险
审计人员应当利用实施风险评估程序获取的信息, 包括在评价控制设计和确定其是否得到执行时获取 的审计证据,作为支持风险评估结果的审计证据, 再根据风险评估结果,确定实施进一步审计程序的 性质、时间和范围。
(1)共谋而避开控制。 (2)管理当局超越控制。 (3)系统暂时失效。
n 内部控制的暂时性失效也可能发生于环境发 生变化,而控制没有相应及时变化的情况下。
第八章内部控制与重大错报风险评估
(二)小企业的内部控制
n 业主或经理的积极参与通常是最好的补偿控制, 这些补偿控制主要有-10:
(1)在签发支票之前检查所有凭证,并直接邮寄支 票。
n 重大错报风险的评估是以了解被审计单位及其环境(包括 内部控制)为基础的,具体评估过程分为三步:
n 首先,通过风险评估程序,了解被审计单位及其环境,目的是初 步评估财务报表总体层次和认定层次的重大错报风险;
n 其次,如果审计人员通过对认定层次重大错报风险的评估认为预 期控制的运行是有效的,则必须执行控制测试,目的是测试内部 控制在防止、发现和纠正认定层次重大错报方面的有效性,并据 此进一步评估认定层次的重大错报风险,以支持初步评估结果;
n (1)增加了一个观念——风险组合观;
n (2)发展了内部控制的报告目标,该目标 涵盖了企业所有的报告;
n (3)增加了一类新目标——战略目标,
n (4)提出了两个新概念——风险偏好(risk appetite)和风险容忍度(risk tolerance);
n (5)新增了三个风险管理要素,即“目标
第八章内部控制与重大错报风险评估
n (六)控制活动
n 控制活动是指为确保风险应对方案得到正确执 行的相关政策和程序。
n 由于企业的控制活动与企业的信息系统广泛相 关,因此,应对企业所有的重要系统进行控制。
n 一般控制包括对信息技术管理、信息技术基础 设施、保密管理和软件的购买、开发和维护的 控制。
第八章内部控制与重大错报风险评估
n 2.风险偏好
风险偏好是企业在追求价值过程中所愿意接受的 风险数量和水平,反映了企业的风险管理哲学, 反过来也影响企业的文化和经营方式。
n 3.董事会
企业的董事会是内部环境的重要组成部分,它会 影响其他内部环境的构成要素。
n 4.诚信原则和道德价值观
诚信原则和道德价值观这一因素是指企业道德和 行为标准的确立及其传递给企业中各层次的人员 的过程。
n 管理者通常只趋于关注中短期的风险,但风险 应在企业战略和目标的前提下进行评估。
n 管理当局应在固有风险和剩余风险两个层次的 基础上对风险进行评估。
n (五)风险应对
n 风险应对可分为规避风险、减少风险、共担风 险和接受风险四类。
n 选定某一个风险应对方案后,管理当局应在剩 余风险的基础上重新评估风险,即从企业总体 风险组合的、预测的角度重新计量风险。
第八章内部控制与重大错报风险评估
n COSO报告对内部控制提出的新定义是: “内部控制是一个为达成下列各类目标而提 供合理保证的过程:
n (1)营运之效果及效率; n (2)财务报告之可靠性; n (3)相关法令之遵循。 n 上述过程受企业的董事会、管理当局及其他
人员的影响。”
第八章内部控制与重大错报风险评估
在对待风险管理的态度上,已经成功接受重大风 险的公司与由于冒险进入危险区域而已经面临经 济困难和被迫调整政策的企业有显著的不同。
让企业所有员工了解企业的风险管理理念有利于 提高员工确认和有效管理风险的能力。
管理当局在经营中表现的管理哲学理念及行动能 清楚地把内部控制是否重要的信号传递给员工, 从而对企业的控制环境产生深刻的影响。
n 四类目标分别是战略目标、经营目标、报告 目标和合法性目标。
n 八个要素分别是内部环境(internal environment)、 目标制定(objective setting)、事项识别(event identification)、风险评估(risk assessment)、风险 应对(risk response)、控制活动(control activity)、 信息和沟通(information & communication)、监控 (monitoring)。
(2)仔细复核客户对账单后直接邮寄。 (3)在发送购货指令给供应商之前进行检查。 (4)运用分析程序并调查异常的关系。
第八章内部控制与重大错报风险评估
(5)控制现金收款并与每日银行存款回单相比 较。
(6)由出纳员和记账员之外的人员核对银行存 款账户。
(7)所有客户账户的冲销均需要经过批准。 (8)定期对存货进行测试性盘点并与永续记录
(1)内部控制的设计和运行受制于成本效益原则, 因此在实务中,管理当局采用的内部控制往往不是 最理想的;
(2)内部控制的设计一般仅针对常规交易与业务进 行,对于非常规交易或业务,现有的内部控制往往 无法起到约束控制作用;
第八章内部控制与重大错报风险评估
(3)即使企业管理当局设计出一个理想的内部 控制制度,这一制度也可能因为执行制度的人员 粗心大意、判断失误或对管理当局指令的误解而 失效;
communication)。 n (5)监控(monitoring)。 n 这五个要素间有着严密的逻辑关系,如图8-
1所示。
第八章内部控制与重大错报风险评估
图8-1 内部控制五要素之间的逻辑关系
第八章内部控制与重大错报风险评估
n (五)企业风险管理——综合框架
n 该框架对内部控制的定义明确了以下内容: n (1)是一个动态的、贯穿企业实体各个层
级和单位的过程; n (2)受组织内所有层次人的影响; n (3)应用于战略制定; n (4)旨在识别影响组织的事件并在组织的
风险偏好范围内管理风险; n (5)能够为企业实体的管理层和董事会提
供合理保证; n (6)为了实现各类目标。
第八章内部控制与重大错报风险评估
n 新的COSO报告在以下几个方面得到了发展:
n 良好的信息系统必须包含以下基本要素:
(1)信息的确认。 (2)信息的获取。 (3)信息的处理。 (4)信息的报告。
第八章内部控制与重大错报风险评估
n 信息是沟通的基础,沟通则必须满足各部门和 个人的要求,以使他们能够有效地履行其职责。
n 管理者应提供特定的或直接的沟通渠道以说明 对员工的行为预期和各自的职责,并且应包括 对企业风险管理原理和方法以及员工权责分配 的清晰的说明。
第八章内部控制与重大 错报风险评估
2020/12/12
第八章内部控制与重大错报风险评估
主要内容
n 第一节 内部控制 n 第二节 重大错报风险评估
第八章内部控制与重大错报风险评估
一、内部控制概念及其思想的 历史演进
n (一)内部牵制阶段 n (二)内部会计与管理控制阶段 n (三)内部控制结构阶段 n (四)内部控制整体框架阶段
第八章内部控制与重大错报风险评估
重大错报风险的评估过程
n 最后,实施实质性测试,目的是检查认定层 次的重大错报风险。
n 图8-3显示了重大错报风险评价在整个审计 过程中所处的位置。
n 图8-4概括了重大错报风险的评价过程。
第八章内部控制与重大错报风险评估
图8-3
重大错报风险在审计流程中的位置
第八章内部控制与重大错报风险评估
n COSO报告还将内部控制结构中的三要素扩 展为内部控制整体框架中的五个组成要素:
n (1)控制环境(control environment)。 n (2)风险评估(risk assessment)。 n (3)控制活动(control activities)。 n (4)信息与沟通(information and
n (三)事项识别
n 事项是指影响目标实现的、来自内外部的潜在 事件。
n 事项既可能带来负面的影响,也可能带来正面 的影响。
第八章内部控制与重大错报风险评估
n (四)风险评估
n 管理者应从两个方面对风险进行评估——风险
风险发生的可能性是指某一特定事项发生的可能性, 影响则是指事项的发生将会带来的影响。
n 8.人力资源政策及实务
招聘、评估、激励员工的政策、程序和方法是控 制环境的重要组成部分。
第八章内部控制与重大错报风险评估
n (二)目标制定
n 每个企业都面临着因利用内部或外部资源而带 来的风险,目标制定是有效的事项识别、风险 评估和风险应对的前提。
n 企业的目标
(1)战略目标。 (Hale Waihona Puke Baidu)经营目标。 (3)报告目标。 (4)遵循性目标。
持续监控是对企业日常的、重复的经营活动的监控, 是在实时的基础上进行的,是对不断变化的环境的 动态反应,应在企业内部彻底地贯彻和执行。
个别评估的频率依企业管理者的主观判断而定。
第八章内部控制与重大错报风险评估
三、内部控制的固有局限性与 小企业的内部控制
n (一)内部控制的固有局限性
n 内部控制的固有局限性之所以存在,是基于以 下原因-5:
n 沟通渠道应该保证企业员工能够在各业务部门、 业务流程或职能部门间进行风险信息的沟通。
第八章内部控制与重大错报风险评估
n (八)监控
n 对企业风险管理的监控是一个评估风险管理要 素的内容、风险管理的运行,以及一段时期的 执行质量的过程。
n 企业可以通过两种方式对风险管理进行监控: 持续监控和个别评估。
制定(objective setting)”、“事项识别
(event identification)”和“风险应对(risk
response)”
ICIF 的五要素演变为八
个要素,并对原有五个要素进行了深化和扩
展(具体见下文的讨论)。 第八章内部控制与重大错报风险评估
二、内部控制的构成要素
n 企业的风险管理框架包括四类目标和八 个要素。
相比较。 (9)在签发工资支票之前进行复核,并偶尔进
行意外的工资支票分发。 (10)聘请注册会计师定期对会计系统和相关的
财务报表进行复核。
第八章内部控制与重大错报风险评估
第二节 重大错报风险评估
第八章内部控制与重大错报风险评估
重大错报风险的评估过程
n 重大错报风险的评估过程是识别和评估财务报表层次以及 各类交易、账户余额、列报与披露认定层次的重大错报风 险的过程。
n 5.培养和评定员工的胜任能力
能力是完成工作范围内的任务所需要的知识和技 能。
第八章内部控制与重大错报风险评估
n 6.组织结构
企业的组织结构确定了现有的责任和权力的等级 及划分,为计划、执行、控制和监督其活动提供 了框架。
n 7.权力和责任的分配方法
管理当局要考虑如何以适当的方式将对责权的分 配传达给各层次员工。
n 该八要素是企业目标实现的保证,渗透于企业管理 过程之中。它们相互之间存在直接的关系,可以用 一个三维矩阵图来表示(如图8-2所示)。
第八章内部控制与重大错报风险评估
图8-2 企业风险管理框架八要素及四目标关系
图
第八章内部控制与重大错报风险评估
(一)内部环境-8
n 1.风险管理哲学
风险管理哲学是一整套共同拥有的信念和态度, 它以企业如何考虑它所做的每一件事为特征,范 围涉及从战略的制定、修订到企业的日常经营活 动。
n 应用控制的目的是保证数据获得和业务处理过 程的完整性、精确性、授权和有效性。
第八章内部控制与重大错报风险评估
n (七)信息与沟通
n 来自企业内部和外部的相关信息必须以一定的 格式和时间间隔进行确认、获取和传递,以保 证企业的员工能够执行各自的职责。
n 企业内部各个管理层都需要信息来帮助识别、 评估风险和应对风险,以及进行经营并实现企 业的目标。
n 在衡量目标的实现程度时,管理者经常使用业 绩计量指标。当考虑某一风险对实现某一特定 目标的潜在影响时,使用这些计量指标同样有 效。
n 通常一个潜在事项结果是一个可能的范围值, 管理者应将其作为制定风险反应方案的基础。
第八章内部控制与重大错报风险评估
(4)内部控制可能因为执行人员滥用职权,超 越内控,或因两个不同岗位职责的人员相互勾结、 串通而失效;
(5)企业面临的经营环境或业务性质的改变会 让现有的内部控制不再适合,从而削弱内部控制 的作用,甚至引起内控失效。
第八章内部控制与重大错报风险评估
n 对审计人员来说,要特别关注企业内部控制 在以下几个方面的局限性:
图8-4
重大错报风险评价流程图
第八章内部控制与重大错报风险评估
(一)执行风险评估程序——评估财 务报表层次和认定层次重大错报 风险
n 1.了解被审计单位及其环境并初步评估重大 错报风险
审计人员应当利用实施风险评估程序获取的信息, 包括在评价控制设计和确定其是否得到执行时获取 的审计证据,作为支持风险评估结果的审计证据, 再根据风险评估结果,确定实施进一步审计程序的 性质、时间和范围。
(1)共谋而避开控制。 (2)管理当局超越控制。 (3)系统暂时失效。
n 内部控制的暂时性失效也可能发生于环境发 生变化,而控制没有相应及时变化的情况下。
第八章内部控制与重大错报风险评估
(二)小企业的内部控制
n 业主或经理的积极参与通常是最好的补偿控制, 这些补偿控制主要有-10:
(1)在签发支票之前检查所有凭证,并直接邮寄支 票。
n 重大错报风险的评估是以了解被审计单位及其环境(包括 内部控制)为基础的,具体评估过程分为三步:
n 首先,通过风险评估程序,了解被审计单位及其环境,目的是初 步评估财务报表总体层次和认定层次的重大错报风险;
n 其次,如果审计人员通过对认定层次重大错报风险的评估认为预 期控制的运行是有效的,则必须执行控制测试,目的是测试内部 控制在防止、发现和纠正认定层次重大错报方面的有效性,并据 此进一步评估认定层次的重大错报风险,以支持初步评估结果;
n (1)增加了一个观念——风险组合观;
n (2)发展了内部控制的报告目标,该目标 涵盖了企业所有的报告;
n (3)增加了一类新目标——战略目标,
n (4)提出了两个新概念——风险偏好(risk appetite)和风险容忍度(risk tolerance);
n (5)新增了三个风险管理要素,即“目标
第八章内部控制与重大错报风险评估
n (六)控制活动
n 控制活动是指为确保风险应对方案得到正确执 行的相关政策和程序。
n 由于企业的控制活动与企业的信息系统广泛相 关,因此,应对企业所有的重要系统进行控制。
n 一般控制包括对信息技术管理、信息技术基础 设施、保密管理和软件的购买、开发和维护的 控制。
第八章内部控制与重大错报风险评估
n 2.风险偏好
风险偏好是企业在追求价值过程中所愿意接受的 风险数量和水平,反映了企业的风险管理哲学, 反过来也影响企业的文化和经营方式。
n 3.董事会
企业的董事会是内部环境的重要组成部分,它会 影响其他内部环境的构成要素。
n 4.诚信原则和道德价值观
诚信原则和道德价值观这一因素是指企业道德和 行为标准的确立及其传递给企业中各层次的人员 的过程。
n 管理者通常只趋于关注中短期的风险,但风险 应在企业战略和目标的前提下进行评估。
n 管理当局应在固有风险和剩余风险两个层次的 基础上对风险进行评估。
n (五)风险应对
n 风险应对可分为规避风险、减少风险、共担风 险和接受风险四类。
n 选定某一个风险应对方案后,管理当局应在剩 余风险的基础上重新评估风险,即从企业总体 风险组合的、预测的角度重新计量风险。
第八章内部控制与重大错报风险评估
n COSO报告对内部控制提出的新定义是: “内部控制是一个为达成下列各类目标而提 供合理保证的过程:
n (1)营运之效果及效率; n (2)财务报告之可靠性; n (3)相关法令之遵循。 n 上述过程受企业的董事会、管理当局及其他
人员的影响。”
第八章内部控制与重大错报风险评估
在对待风险管理的态度上,已经成功接受重大风 险的公司与由于冒险进入危险区域而已经面临经 济困难和被迫调整政策的企业有显著的不同。
让企业所有员工了解企业的风险管理理念有利于 提高员工确认和有效管理风险的能力。
管理当局在经营中表现的管理哲学理念及行动能 清楚地把内部控制是否重要的信号传递给员工, 从而对企业的控制环境产生深刻的影响。
n 四类目标分别是战略目标、经营目标、报告 目标和合法性目标。
n 八个要素分别是内部环境(internal environment)、 目标制定(objective setting)、事项识别(event identification)、风险评估(risk assessment)、风险 应对(risk response)、控制活动(control activity)、 信息和沟通(information & communication)、监控 (monitoring)。
(2)仔细复核客户对账单后直接邮寄。 (3)在发送购货指令给供应商之前进行检查。 (4)运用分析程序并调查异常的关系。
第八章内部控制与重大错报风险评估
(5)控制现金收款并与每日银行存款回单相比 较。
(6)由出纳员和记账员之外的人员核对银行存 款账户。
(7)所有客户账户的冲销均需要经过批准。 (8)定期对存货进行测试性盘点并与永续记录
(1)内部控制的设计和运行受制于成本效益原则, 因此在实务中,管理当局采用的内部控制往往不是 最理想的;
(2)内部控制的设计一般仅针对常规交易与业务进 行,对于非常规交易或业务,现有的内部控制往往 无法起到约束控制作用;
第八章内部控制与重大错报风险评估
(3)即使企业管理当局设计出一个理想的内部 控制制度,这一制度也可能因为执行制度的人员 粗心大意、判断失误或对管理当局指令的误解而 失效;
communication)。 n (5)监控(monitoring)。 n 这五个要素间有着严密的逻辑关系,如图8-
1所示。
第八章内部控制与重大错报风险评估
图8-1 内部控制五要素之间的逻辑关系
第八章内部控制与重大错报风险评估
n (五)企业风险管理——综合框架
n 该框架对内部控制的定义明确了以下内容: n (1)是一个动态的、贯穿企业实体各个层
级和单位的过程; n (2)受组织内所有层次人的影响; n (3)应用于战略制定; n (4)旨在识别影响组织的事件并在组织的
风险偏好范围内管理风险; n (5)能够为企业实体的管理层和董事会提
供合理保证; n (6)为了实现各类目标。
第八章内部控制与重大错报风险评估
n 新的COSO报告在以下几个方面得到了发展:
n 良好的信息系统必须包含以下基本要素:
(1)信息的确认。 (2)信息的获取。 (3)信息的处理。 (4)信息的报告。
第八章内部控制与重大错报风险评估
n 信息是沟通的基础,沟通则必须满足各部门和 个人的要求,以使他们能够有效地履行其职责。
n 管理者应提供特定的或直接的沟通渠道以说明 对员工的行为预期和各自的职责,并且应包括 对企业风险管理原理和方法以及员工权责分配 的清晰的说明。
第八章内部控制与重大 错报风险评估
2020/12/12
第八章内部控制与重大错报风险评估
主要内容
n 第一节 内部控制 n 第二节 重大错报风险评估
第八章内部控制与重大错报风险评估
一、内部控制概念及其思想的 历史演进
n (一)内部牵制阶段 n (二)内部会计与管理控制阶段 n (三)内部控制结构阶段 n (四)内部控制整体框架阶段
第八章内部控制与重大错报风险评估
重大错报风险的评估过程
n 最后,实施实质性测试,目的是检查认定层 次的重大错报风险。
n 图8-3显示了重大错报风险评价在整个审计 过程中所处的位置。
n 图8-4概括了重大错报风险的评价过程。
第八章内部控制与重大错报风险评估
图8-3
重大错报风险在审计流程中的位置
第八章内部控制与重大错报风险评估
n COSO报告还将内部控制结构中的三要素扩 展为内部控制整体框架中的五个组成要素:
n (1)控制环境(control environment)。 n (2)风险评估(risk assessment)。 n (3)控制活动(control activities)。 n (4)信息与沟通(information and
n (三)事项识别
n 事项是指影响目标实现的、来自内外部的潜在 事件。
n 事项既可能带来负面的影响,也可能带来正面 的影响。
第八章内部控制与重大错报风险评估
n (四)风险评估
n 管理者应从两个方面对风险进行评估——风险
风险发生的可能性是指某一特定事项发生的可能性, 影响则是指事项的发生将会带来的影响。
n 8.人力资源政策及实务
招聘、评估、激励员工的政策、程序和方法是控 制环境的重要组成部分。
第八章内部控制与重大错报风险评估
n (二)目标制定
n 每个企业都面临着因利用内部或外部资源而带 来的风险,目标制定是有效的事项识别、风险 评估和风险应对的前提。
n 企业的目标
(1)战略目标。 (Hale Waihona Puke Baidu)经营目标。 (3)报告目标。 (4)遵循性目标。
持续监控是对企业日常的、重复的经营活动的监控, 是在实时的基础上进行的,是对不断变化的环境的 动态反应,应在企业内部彻底地贯彻和执行。
个别评估的频率依企业管理者的主观判断而定。
第八章内部控制与重大错报风险评估
三、内部控制的固有局限性与 小企业的内部控制
n (一)内部控制的固有局限性
n 内部控制的固有局限性之所以存在,是基于以 下原因-5:
n 沟通渠道应该保证企业员工能够在各业务部门、 业务流程或职能部门间进行风险信息的沟通。
第八章内部控制与重大错报风险评估
n (八)监控
n 对企业风险管理的监控是一个评估风险管理要 素的内容、风险管理的运行,以及一段时期的 执行质量的过程。
n 企业可以通过两种方式对风险管理进行监控: 持续监控和个别评估。
制定(objective setting)”、“事项识别
(event identification)”和“风险应对(risk
response)”
ICIF 的五要素演变为八
个要素,并对原有五个要素进行了深化和扩
展(具体见下文的讨论)。 第八章内部控制与重大错报风险评估
二、内部控制的构成要素
n 企业的风险管理框架包括四类目标和八 个要素。
相比较。 (9)在签发工资支票之前进行复核,并偶尔进
行意外的工资支票分发。 (10)聘请注册会计师定期对会计系统和相关的
财务报表进行复核。
第八章内部控制与重大错报风险评估
第二节 重大错报风险评估
第八章内部控制与重大错报风险评估
重大错报风险的评估过程
n 重大错报风险的评估过程是识别和评估财务报表层次以及 各类交易、账户余额、列报与披露认定层次的重大错报风 险的过程。
n 5.培养和评定员工的胜任能力
能力是完成工作范围内的任务所需要的知识和技 能。
第八章内部控制与重大错报风险评估
n 6.组织结构
企业的组织结构确定了现有的责任和权力的等级 及划分,为计划、执行、控制和监督其活动提供 了框架。
n 7.权力和责任的分配方法
管理当局要考虑如何以适当的方式将对责权的分 配传达给各层次员工。
n 该八要素是企业目标实现的保证,渗透于企业管理 过程之中。它们相互之间存在直接的关系,可以用 一个三维矩阵图来表示(如图8-2所示)。
第八章内部控制与重大错报风险评估
图8-2 企业风险管理框架八要素及四目标关系
图
第八章内部控制与重大错报风险评估
(一)内部环境-8
n 1.风险管理哲学
风险管理哲学是一整套共同拥有的信念和态度, 它以企业如何考虑它所做的每一件事为特征,范 围涉及从战略的制定、修订到企业的日常经营活 动。
n 应用控制的目的是保证数据获得和业务处理过 程的完整性、精确性、授权和有效性。
第八章内部控制与重大错报风险评估
n (七)信息与沟通
n 来自企业内部和外部的相关信息必须以一定的 格式和时间间隔进行确认、获取和传递,以保 证企业的员工能够执行各自的职责。
n 企业内部各个管理层都需要信息来帮助识别、 评估风险和应对风险,以及进行经营并实现企 业的目标。