第四章 内部控制及其测试与评价课件.pptVIP

第四章 内部控制及其测试与评价 内部控制的目标与要素 了解与记录内部控制 内部控制测试 内部控制评价 管理建议书 第一节 内部控制的目标与要素 内部控制目标 ⒈ 内部控制的目标 ⒉ 有关内部控制的一般考虑 ⒊ 内部控制与审计的关系 内部控制要素 1. 控制环境； 2. 风险评估过程； 3. 信息系统与沟通； 4. 控制活动； 5. 对控制的监督。 一、内部控制的目标 内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序 。 建立健全内部控制是被审计单位管理当局的会计责任。 相关内控应当实现以下目标： 保证业务活动按照适当授权进行。 保证所有交易和事项以正确的金额，在恰当的会计期间及时记录于适当的账户，使会计报表的编制符合会计准则的相关要求。 保证对资产和记录的接触、处理均经过适当授权。 4. 保证账面资产与实存资产定期核对相符。 二、有关内控的一般考虑 管理当局的责任 合理的保证 应考虑内部控制的成本效益。 由外部审计作更详细的审查比承担高额内部控制成本更为划算。 但控制程序不能对工作效率或获利能力有副作用。 固有的限制 3. 固有的限制 ⑴ 内部控制的设计和运行受制于成本与效益原则。 ⑵ 内部控制一般仅针对常规业务活动而设计。 ⑶ 即使是设计完整的内部控制，也可能因执行人员的粗心大意、精力分散、判断失误以及对指令的误解而失效。 ⑷ 内部控制可能因有关人员相互勾结、内外串通而失效。 ⑸ 内部控制可能因执行人员滥用职权或屈从于外部压力而失效。 ⑹ 内部控制可能因经营环境、业务性质的改变而削弱或失效。 三、内部控制与审计的关系 内部控制既是被审计单位对其经济活动进行组织、制约、考核和调节的重要工具，也是CPA用以确定审计程序的重要依据，有利于节约审计时间和审计费用。 在确定二者的关系时，应当明确以下三点： ⒈ CPA在执行会计报表审计业务时，不论被审计单位规模大小，都应当对相关的内控进行充分的了解。 ⒉ CPA应根据其对内控的了解，确定是否进行控制测试以及执行的控制测试的性质、时间和范围。 ⒊ 对内控的了解程序和控制测试程序，并非会计报表审计工作的全部内容。绝不能完全取消实质性程序程序 （一）控制环境 对诚信和道德价值观念的沟通与落实； 对胜任能力的重视； 治理层的参与程度； 管理层的理念和经营风格； 组织结构； 职权与责任的分配； 人力资源政策与实务。 （二）被审计单位的风险评估过程 风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。 在评价被审计单位风险评估过程的设计和执行时，注册会计师应当确定管理层如何识别与财务报告相关的经营风险，如何估计该风险的重要性，如何评估风险发生的可能性，以及如何采取措施管理这些风险。 注册会计师应当询问管理层识别出的经营风险，并考虑这些风险是否可能导致重大错报。 在审计过程中，如果识别出管理层未能识别的重大错报风险，注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险，以及评估过程是否适合于具体环境。 （三）信息系统与沟通 与财务报告相关的信息系统通常包括下列职能： 识别与记录所有的有效交易； 及时、详细地描述交易，以便在财务报告中对交易作出恰当分类； 恰当计量交易，以便在财务报告中对交易的金额作出准确记录； 恰当确定交易生成的会计期间； 在财务报表中恰当列报交易。 （四）控制活动 控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。 授权有关的控制活动 包括一般授权和特别授权。一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。 特别授权是管理层针对特定类别的交易或活动逐一设置的授权。 2. 与业绩评价有关的控制活动 主要包括被审计单位分析评价实际业绩与预算（或预测、前期业绩）的差异，综合分析财务数据与经营数据的内在关系，将内部数据与外部信息来源相比较，评价职能部门、分支机构或项目活动的业绩，以及对发现的异常差异或关系采取必要的调查与纠正措施。 3.与信息处理有关的控制活动 包括信息技术一般控制和应用控制。（1）信息技术一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行（包括信息的完整性和数据的安全性），支持应用控制作用的有效发挥，通常包括数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制。 （2）信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通常包括检查数据计算准确性，