第十一章风直险评估.pptVIP

一、内部控制的含义 内部控制是：被审计单位为了合理保证 财务报告的可靠性， 经营的效率和效果， 对法律法规的遵守， 由治理层、管理层和其他人员设计和执行的政策和程序。 注册会计师需要了解和评价的内部控制并非被审计单位所有的内部控制，只是与财务报表审计相关的内部控制，包括为实现财务报告可靠性目标设计和实施的控制 。 如果在设计和实施进一步审计程序时拟利用被审计单位内部生成的信息，注册会计师应当考虑用以保证该信息完整性和准确性的控制是否与审计相关。 例如，对于某些非财务数据（如生产统计数据）的控制，如果注册会计师在实施分析程序时使用这些数据，这些控制就可能与审计相关。 二、 与审计相关的内部控制 用以保护资产的内部控制可能包括与实现财务报告可靠性和经营效率、效果目标相关的控制。 注册会计师在了解保护资产的内部控制各项要素时，可仅考虑其中与财务报告可靠性目标相关的控制。 例如，保护存货安全的控制可能与审计相关，但在生产中防止材料浪费的控制通常就与审计不相关，只有所用材料的成本没有在财务报表中如实反映，才会影响财务报表的可靠性。 审计师应当运用职业判断，考虑一项控制单独或连同其他控制是否与评估重大错报风险有关，是否与针对评估的风险设计和实施进一步审计程序有关。 ☆内部控制采用人工系统还是自动化系统，将影响交易生成、记录、处理和报告的方式。 ☆在风险评估以及设计和实施进一步审计程序时，注册会计师应当考虑内部控制的人工和自动化特征及其影响。 ☆信息技术对内部控制产生的特定风险： （1）系统或程序未能正确处理数据，或处理了不正确的数据，或两种情况同时并存； （2）在未得到授权情况下访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易； （3）信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工； （4）未经授权改变主文档的数据；（5）未经授权改变系统或程序； （6）未能对系统或程序作出必要的修改；（7）不恰当的人为干预； （8）数据丢失的风险或不能访问所需要的数据。 三、 内部控制的人工和自动化成分 ☆人工控制产生的特定风险： （1）人工控制可能更容易被规避、忽视或凌驾； （2）人工控制可能不具有一贯性； （3）人工控制可能更容易产生简单错误或失误。 人工成分在处理需要主观判断或酌情处理的情形时更适当： （1）存在大额、异常或偶发的交易； （2）存在难以定义、防范或预见的错误； （3）为应对情况的变化，需要对现有的自动化控制进行调整； （4）监督自动化控制的有效性。 人工控制在下列三种情形中可能是不适当的： （1）存在大量或重复发生的交易； （2）事先可预见的错误能够通过自动化控制得以防或发现； （3）控制活动可得到适当设计和自动化处理。 内部控制存在固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证。 内部控制存在的固有局限性包括： （1）决策时的人为判断可能出现错误或失误，导致内部控制失效； （2）可能两人或更多的人员串通而被规避； （3）管理层凌驾于内部控制之上而被规避； （4）成本——效益原则的限制； （5）内控通常针对经常而重复发生的业务，对不经常发生或未预计业务，原有控制可能不适用。 ☆ 小型被审计单位由于员工较少，业主凌驾于内部控制之上的可 能性较大，审计师应当考虑一些关键领域是否存在有效的内部 控制。 四、 内部控制的局限性 五、控制环境 控制环境 控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。 控制环境设定了被审计单位的内部控制基调，影响员工对内部控制的认识和态度。良好的控制环境是实施有效内部控制的基础。 评价控制环境 在审计业务承接阶段，注册会计师就需要对控制环境作出初步了解和评价。 （控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报，注册会计师在评估重大错报风险时，应当将控制环境连同其他内部控制要素产生的影响一并考虑。） 在评价控制环境时，审计师应当了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化，以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。 六、被审计单位的风险评估过程 风险评估过程：识别、评估和管理影响企业经营目标实现能力的各种风险。 针对财务报告目标的风险评估过程则包括识别与财务报告相关的经营风险，评估风险的重大性和发生的可能性，以及采取何种措施管理这些风险 。 在评价被审计单位风险评估过程的设计和执行时，注册会计师应当确定管理层如何识别与财务报告相关的经营风