内部控制及其测试与评价之一.pptVIP

第二节 内部控制的了解与描述 （三）在被审计单位整体层面了解内部控制 1. 了解控制环境 控制环境对重大错报风险的评估具有广泛影响但控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报，注册会计师在评估重大错报风险时，应当将控制环境连同其他内部控制要素产生的影响一并考虑。例如，将控制环境与对控制的监督和具体控制活动一并考虑。 第二节 内部控制的了解与描述 2. 了解被审计单位的风险评估 3. 了解信息系统与沟通 4. 了解控制活动 审计人员应当了解控制活动，以足够评估认定层次的重大错报风险和针对评估的风险设计进一步审计程序。在了解控制活动时，审计人员应当重点考虑一项控制活动单独或连同其他控制活动，是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。 第二节 内部控制的了解与描述 5. 了解对控制的监督 了解被审计单位整体层面的内部控制以评估财务报表层次的重大错报风险。 被审计单位整体层面的内部控制是否有效将直接影响重要业务流程层面控制的有效性，进而影响审计人员拟实施的进一步审计程序的性质、时间和范围。 第二节 内部控制的了解与描述 （四）在业务流程层面了解内部控制 由于内部控制的各个要素，尤其是信息系统和控制活动更多更好地体现在业务流程层面，因此，审计人员应当从被审计单位重要业务流程层面了解内部控制，并据此评估认定层次的重大错报风险，进而针对评估的风险设计和实施进一步审计程序。 在重要业务流程层面了解和评估内部控制通常采取下列步骤： 1. 确定被审计单位的重要业务流程和重要交易类别；2. 了解重要交易流程，并记录获得的了解；3. 确定可能发生错报的环节4. 识别和了解相关控制；5. 执行穿行测试，证实对交易流程和相关控制的了解；6. 进行初步评价和风险评估。 内部控制及其测试与评价 第一节 内部控制概述 一、内部控制理论的发展 （一）“内部牵制”阶段 以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织的责任分工，每项业务通过正常发挥其他个人或部门的作用和功能进行交互检查或控制。 例如把保险柜的钥匙交给两个以上工作人员持有。如果不同时使用这两把以上的钥匙，保险柜就打不开。 第一节 内部控制概述 （二）“内部控制”阶段 20世纪40年代到70年代初，在内部牵制思想的基础上产生了内部控制制度的概念。 在这个阶段中，内部控制制度的范围已超出了直接与会计和财务部门功能有关的内容范畴，具体包括会计控制和管理控制两大部分。其中会计控制是指与财产安全和财产记录可靠性有直接联系的方法和程序，如授权批准控制、不相容职务控制、财产接触控制和内部审计等；管理控制是指与提高经营效率和贯彻管理方针有关的方法和程序，如统计分析、动态研究、业绩报告、雇员培训计划和质量控制等。 第一节 内部控制概述 （三）“内部控制结构”阶段 美国注册会计师协会于1988年5月发布了《审计准则公告第55号——在财务报表审计中对内部控制结构的考虑》。 该公告指出：“企业的内部控制结构包括企业为实现特定目标提供合理保证而建立的各种政策和程序。”公告认为内部控制结构由三个要素构成:控制环境、 会计系统和 控制程序 第一节 内部控制概述 （四）“内部控制整体框架”阶段 进入20世纪90年代后，人们对内部控制的研究又进入了一个全新的阶段。1992年，美国“反对虚假财务报告委员会（ Treadway Commission）”下属的由美国会计学会、注册会计师协会、国际内部审计人员协会、财务经理协会和管理会计学会等组织参与的“发起组织委员会（Committee of Sponsoring Organization of the Treadway Commission，简称COSO）”发布了指导内部控制实践的纲领性文件——《内部控制——整体框架》。这份报告堪称内部控制发展史上的又一里程碑。 报告指出：“内部控制是由企业董事会、经理层及其他员工实施的，为财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性等目标的实现提供合理保证的过程。”同时提出了内部控制整体框架由控制环境、风险评估、控制活动、信息系统和沟通、监督五个相互联系的要素构成。 第一节 内部控制概述 （五）“企业风险管理框架”阶段 2004年9月，COSO发布了《企业风险管理框架》（Enterprise Risk Management Framework）。该框架就是在《内部控制——整体框架》报告的基础上，结合《萨班斯——奥克斯法案》（Sarbnes—Oxley Act of 2002）在报告方面的要求，明确提出企业风险管理是由企业董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各层次