第八章、內(nèi)部控制與重大錯報風險評估

1第八章內(nèi)部控制與艱苦錯報風險評價21世紀會計學系列教材主要內(nèi)容第一節(jié)內(nèi)部控制第二節(jié)艱苦錯報風險評價2一、內(nèi)部控制概念及其思想的歷史演進〔一〕內(nèi)部牽制階段〔二〕內(nèi)部會計與管理控制階段〔三〕內(nèi)部控制構(gòu)造階段〔四〕內(nèi)部控制整體框架階段3COSO報告對內(nèi)部控制提出的新定義是：“內(nèi)部控制是一個為達成以下各類目的而提供合理保證的過程：〔1〕營運之效果及效率；〔2〕財務(wù)報告之可靠性；〔3〕相關(guān)法令之遵照。上述過程受企業(yè)的董事會、管理當局及其他人員的影響。〞4COSO報告還將內(nèi)部控制構(gòu)造中的三要素擴展為內(nèi)部控制整體框架中的五個組成要素：〔1〕控制環(huán)境〔controlenvironment〕?！?〕風險評價〔riskassessment〕?！?〕控制活動〔controlactivities〕?！?〕信息與溝通〔informationandcommunication〕?！?〕監(jiān)控〔monitoring〕。這五個要素間有著嚴密的邏輯關(guān)系，如圖8-1所示。56圖8-1內(nèi)部控制五要素之間的邏輯關(guān)系〔五〕企業(yè)風險管理——綜合框架該框架對內(nèi)部控制的定義明確了以下內(nèi)容：〔1〕是一個動態(tài)的、貫穿企業(yè)實體各個層級和單位的過程；〔2〕受組織內(nèi)一切層次人的影響；〔3〕運用于戰(zhàn)略制定；〔4〕旨在識別影響組織的事件并在組織的風險偏好范圍內(nèi)管理風險；〔5〕可以為企業(yè)實體的管理層和董事會提供合理保證；〔6〕為了實現(xiàn)各類目的。7新的COSO報告在以下幾個方面得到了開展：〔1〕添加了一個觀念——風險組合觀；〔2〕開展了內(nèi)部控制的報告目的，該目的涵蓋了企業(yè)一切的報告；〔3〕添加了一類新目的——戰(zhàn)略目的，〔4〕提出了兩個新概念——風險偏好〔riskappetite〕和風險容忍度〔risktolerance〕;〔5〕新增了三個風險管理要素，即“目的制定〔objectivesetting〕〞、“事項識別(eventidentification)〞和“風險應(yīng)對(riskresponse)〞，將ICIF的五要素演化為八個要素，并對原有五個要素進展了深化和擴展〔詳細見下文的討論〕。8二、內(nèi)部控制的構(gòu)成要素企業(yè)的風險管理框架包括四類目的和八個要素。四類目的分別是戰(zhàn)略目的、運營目的、報告目的和合法性目的。八個要素分別是內(nèi)部環(huán)境〔internalenvironment〕、目的制定〔objectivesetting〕、事項識別(eventidentification)、風險評價(riskassessment)、風險應(yīng)對(riskresponse)、控制活動(controlactivity)、信息和溝通(information&communication)、監(jiān)控(monitoring)。該八要素是企業(yè)目的實現(xiàn)的保證，浸透于企業(yè)管理過程之中。它們相互之間存在直接的關(guān)系，可以用一個三維矩陣圖來表示〔如圖8-2所示〕。910圖8-2企業(yè)風險管理框架八要素及四目的關(guān)系圖1.風險管理哲學風險管理哲學是一整套共同擁有的信心和態(tài)度，它以企業(yè)如何思索它所做的每一件事為特征，范圍涉及從戰(zhàn)略的制定、修訂到企業(yè)的日常運營活動。在對待風險管理的態(tài)度上，曾經(jīng)勝利接受艱苦風險的公司與由于冒險進入危險區(qū)域而曾經(jīng)面臨經(jīng)濟困難和被迫調(diào)整政策的企業(yè)有顯著的不同。讓企業(yè)一切員工了解企業(yè)的風險管理理念有利于提高員工確認和有效管理風險的才干。管理當局在運營中表現(xiàn)的管理哲學理念及行動能清楚地把內(nèi)部控制能否重要的信號傳送給員工，從而對企業(yè)的控制環(huán)境產(chǎn)生深化的影響。11〔一〕內(nèi)部環(huán)境-82.風險偏好風險偏好是企業(yè)在追求價值過程中所情愿接受的風險數(shù)量和程度，反映了企業(yè)的風險管理哲學，反過來也影響企業(yè)的文化和運營方式。3.董事會企業(yè)的董事會是內(nèi)部環(huán)境的重要組成部分，它會影響其他內(nèi)部環(huán)境的構(gòu)成要素。4.誠信原那么和品德價值觀誠信原那么和品德價值觀這一要素是指企業(yè)品德和行為規(guī)范確實立及其傳送給企業(yè)中各層次的人員的過程。5.培育和評定員工的勝任才干才干是完成任務(wù)范圍內(nèi)的義務(wù)所需求的知識和技藝。126.組織構(gòu)造企業(yè)的組織構(gòu)造確定了現(xiàn)有的責任和權(quán)益的等級及劃分，為方案、執(zhí)行、控制和監(jiān)視其活動提供了框架。7.權(quán)益和責任的分配方法管理當局要思索如何以適當?shù)姆绞綄ω煓?quán)的分配傳達給各層次員工。8.人力資源政策及實務(wù)招聘、評價、鼓勵員工的政策、程序和方法是控制環(huán)境的重要組成部分。13〔二〕目的制定每個企業(yè)都面臨著因利用內(nèi)部或外部資源而帶來的風險，目的制定是有效的事項識別、風險評價和風險應(yīng)對的前提。企業(yè)的目的可以分為四類：〔1〕戰(zhàn)略目的。〔2〕運營目的?！?〕報告目的?！?〕遵照性目的?！踩呈马椬R別事項是指影響目的實現(xiàn)的、來自內(nèi)外部的潛在事件。事項既能夠帶來負面的影響，也能夠帶來正面的影響。14〔四〕風險評價管理者應(yīng)從兩個方面對風險進展評價——風險發(fā)生的能夠性和影響風險發(fā)生的能夠性是指某一特定事項發(fā)生的能夠性，影響那么是指事項的發(fā)生將會帶來的影響。一個企業(yè)風險評價的方法通常是定量方法和定性分析技術(shù)的組合。在衡量目的的實現(xiàn)程度時，管理者經(jīng)常運用業(yè)績計量目的。當思索某一風險對實現(xiàn)某一特定目的的潛在影響時，運用這些計量目的同樣有效。通常一個潛在事項結(jié)果是一個能夠的范圍值，管理者應(yīng)將其作為制定風險反響方案的根底。15管理者通常只趨于關(guān)注中短期的風險，但風險應(yīng)在企業(yè)戰(zhàn)略和目的的前提下進展評價。管理當局應(yīng)在固有風險和剩余風險兩個層次的根底上對風險進展評價?！参濉筹L險應(yīng)對風險應(yīng)對可分為躲避風險、減少風險、共擔風險和接受風險四類。選定某一個風險應(yīng)對方案后，管理當局應(yīng)在剩余風險的根底上重新評價風險，即從企業(yè)總體風險組合的、預(yù)測的角度重新計量風險。16〔六〕控制活動控制活動是指為確保風險應(yīng)對方案得到正確執(zhí)行的相關(guān)政策和程序。由于企業(yè)的控制活動與企業(yè)的信息系統(tǒng)廣泛相關(guān)，因此，應(yīng)對企業(yè)一切的重要系統(tǒng)進展控制。普通控制包括對信息技術(shù)管理、信息技術(shù)根底設(shè)備、嚴密管理和軟件的購買、開發(fā)和維護的控制。運用控制的目的是保證數(shù)據(jù)獲得和業(yè)務(wù)處置過程的完好性、準確性、授權(quán)和有效性。17〔七〕信息與溝通來自企業(yè)內(nèi)部和外部的相關(guān)信息必需以一定的格式和時間間隔進展確認、獲取和傳送，以保證企業(yè)的員工可以執(zhí)行各自的職責。企業(yè)內(nèi)部各個管理層都需求信息來協(xié)助識別、評價風險和應(yīng)對風險，以及進展運營并實現(xiàn)企業(yè)的目的。良好的信息系統(tǒng)必需包含以下根本要素：〔1〕信息確實認?！?〕信息的獲取?！?〕信息的處置?！?〕信息的報告。18信息是溝通的根底，溝通那么必需滿足各部門和個人的要求，以使他們可以有效地履行其職責。管理者應(yīng)提供特定的或直接的溝通渠道以闡明對員工的行為預(yù)期和各自的職責，并且應(yīng)包括對企業(yè)風險管理原理和方法以及員工權(quán)責分配的明晰的闡明。溝通渠道應(yīng)該保證企業(yè)員工可以在各業(yè)務(wù)部門、業(yè)務(wù)流程或職能部門間進展風險信息的溝通。19〔八〕監(jiān)控對企業(yè)風險管理的監(jiān)控是一個評價風險管理要素的內(nèi)容、風險管理的運轉(zhuǎn)，以及一段時期的執(zhí)行質(zhì)量的過程。企業(yè)可以經(jīng)過兩種方式對風險管理進展監(jiān)控：繼續(xù)監(jiān)控和個別評價。繼續(xù)監(jiān)控是對企業(yè)日常的、反復(fù)的運營活動的監(jiān)控，是在實時的根底上進展的，是對不斷變化的環(huán)境的動態(tài)反響，應(yīng)在企業(yè)內(nèi)部徹底地貫徹和執(zhí)行。個別評價的頻率依企業(yè)管理者的客觀判別而定。20三、內(nèi)部控制的固有局限性與小企業(yè)的內(nèi)部控制〔一〕內(nèi)部控制的固有局限性內(nèi)部控制的固有局限性之所以存在，是基于以下緣由-5：〔1〕內(nèi)部控制的設(shè)計和運轉(zhuǎn)受制于本錢效益原那么，因此在實務(wù)中，管理當局采用的內(nèi)部控制往往不是最理想的；〔2〕內(nèi)部控制的設(shè)計普通僅針對常規(guī)買賣與業(yè)務(wù)進展，對于非常規(guī)買賣或業(yè)務(wù)，現(xiàn)有的內(nèi)部控制往往無法起到約束控制造用；21〔3〕即使企業(yè)管理當局設(shè)計出一個理想的內(nèi)部控制制度，這一制度也能夠由于執(zhí)行制度的人員大意大意、判別失誤或?qū)芾懋斁种噶畹恼`解而失效；〔4〕內(nèi)部控制能夠由于執(zhí)行人員濫用職權(quán)，超越內(nèi)控，或因兩個不同崗位職責的人員相互勾結(jié)、串通而失效；〔5〕企業(yè)面臨的運營環(huán)境或業(yè)務(wù)性質(zhì)的改動會讓現(xiàn)有的內(nèi)部控制不再適宜，從而減弱內(nèi)部控制的作用，甚至引起內(nèi)控失效。22對審計人員來說，要特別關(guān)注企業(yè)內(nèi)部控制在以下幾個方面的局限性：〔1〕共謀而避開控制?！?〕管理當局超越控制?！?〕系統(tǒng)暫時失效。內(nèi)部控制的暫時性失效也能夠發(fā)生于環(huán)境發(fā)生變化，而控制沒有相應(yīng)及時變化的情況下。23業(yè)主或經(jīng)理的積極參與通常是最好的補償控制，這些補償控制主要有-10：〔1〕在簽發(fā)支票之前檢查一切憑證，并直接郵寄支票。〔2〕仔細復(fù)核客戶對賬單后直接郵寄。〔3〕在發(fā)送購貨指令給供應(yīng)商之前進展檢查?！?〕運用分析程序并調(diào)查異常的關(guān)系。24〔二〕小企業(yè)的內(nèi)部控制〔5〕控制現(xiàn)金收款并與每日銀行存款回單相比較?！?〕由出納員和記賬員之外的人員核對銀行存款賬戶?！?〕一切客戶賬戶的沖銷均需求經(jīng)過同意。〔8〕定期對存貨進展測試性清點并與永續(xù)記錄相比較?！?〕在簽發(fā)工資支票之前進展復(fù)核，并偶爾進展不測的工資支票分發(fā)。〔10〕聘請注冊會計師定期對會計系統(tǒng)和相關(guān)的財務(wù)報表進展復(fù)核。25第二節(jié)艱苦錯報風險評價26艱苦錯報風險的評價過程艱苦錯報風險的評價過程是識別和評價財務(wù)報表層次以及各類買賣、賬戶余額、列報與披露認定層次的艱苦錯報風險的過程。艱苦錯報風險的評價是以了解被審計單位及其環(huán)境〔包括內(nèi)部控制〕為根底的，詳細評價過程分為三步：首先，經(jīng)過風險評價程序，了解被審計單位及其環(huán)境，目的是初步評價財務(wù)報表總體層次和認定層次的艱苦錯報風險；其次，假設(shè)審計人員經(jīng)過對認定層次艱苦錯報風險的評價以為預(yù)期控制的運轉(zhuǎn)是有效的，那么必需執(zhí)行控制測試，目的是測試內(nèi)部控制在防止、發(fā)現(xiàn)和糾正認定層次艱苦錯報方面的有效性，并據(jù)此進一步評價認定層次的艱苦錯報風險，以支持初步評價結(jié)果；27艱苦錯報風險的評價過程最后，實施本質(zhì)性測試，目的是檢查認定層次的艱苦錯報風險。圖8-3顯示了艱苦錯報風險評價在整個審計過程中所處的位置。圖8-4概括了艱苦錯報風險的評價過程。2829圖8-3艱苦錯報風險在審計流程中的位置30圖8-4艱苦錯報風險評價流程圖1．了解被審計單位及其環(huán)境并初步評價艱苦錯報風險審計人員該當利用實施風險評價程序獲取的信息，包括在評價控制設(shè)計和確定其能否得到執(zhí)行時獲取的審計證據(jù)，作為支持風險評價結(jié)果的審計證據(jù)，再根據(jù)風險評價結(jié)果，確定實施進一步審計程序的性質(zhì)、時間和范圍。在評價艱苦錯報風險時，審計人員該當將所了解的控制與特定認定相聯(lián)絡(luò)。31〔一〕執(zhí)行風險評價程序——評價財務(wù)報表層次和認定層次艱苦錯報風險2．評價過程中需求特別思索的艱苦風險艱苦錯報風險的評價是一種判別任務(wù)，審計人員該當運用職業(yè)判別，確定識別的風險哪些是需求特別思索的艱苦風險〔以下簡稱特別風險〕。特別風險常與艱苦的非常規(guī)買賣和判別事項有關(guān)。對于特別風險，審計人員該當評價相關(guān)控制的設(shè)計情況，并確定其能否曾經(jīng)得到執(zhí)行。3．僅經(jīng)過本質(zhì)性程序無法應(yīng)對的艱苦錯報風險32只需存在以下情形時，審計人員才該當實施控制測試，再次評價認定層次的艱苦錯報風險：〔1〕在評價認定層次艱苦錯報風險時，預(yù)期控制的運轉(zhuǎn)是有效的；〔2〕僅實施本質(zhì)性程序缺乏以提招認定層次充分、適當?shù)膶徲嬜C據(jù)。33〔二〕執(zhí)行控制測試——進一步評價認定層次的艱苦錯報風險審計人員在了解被審計單位內(nèi)部控制的過程中，可以對內(nèi)部控制的某些方面進展評價，包括：〔1〕管理當局對內(nèi)部控制的注重程度；〔2〕內(nèi)部審計人員的勝任才干及其客觀性；〔3〕不相容職責的分別；〔4〕執(zhí)行會計職能和控制程序人員的勝任才干；〔5〕資產(chǎn)和權(quán)益的限制性接觸。341．了解內(nèi)部控制審計人員在了解內(nèi)部控制時，該當合理地利用以往的審計閱歷，通?？蓪嵤┮韵鲁绦颍骸?〕訊問被審計單位有關(guān)人員。審計人員經(jīng)過復(fù)核以前與被審計單位交往的情況，可以了解以前審計時發(fā)現(xiàn)的錯報或漏報種類及其緣由?！?〕檢查內(nèi)部控制生成的文件和記錄?！?〕察看被審計單位的業(yè)務(wù)活動。〔4〕選擇假設(shè)干具有代表性的買賣或事項進展“穿行測試〞。352．記錄所了解的情況〔1〕內(nèi)部控制備忘錄?！?〕內(nèi)部控制問卷調(diào)查表和核對表?！?〕內(nèi)部控制流程圖。內(nèi)部控制流程圖是審計人員用符號和圖形來表示被審計單位經(jīng)濟業(yè)務(wù)和文件憑證在組織內(nèi)部有序流動的圖表，它為審計人員掌握買賣或事項處置的本質(zhì)特征以及確定各買賣循環(huán)的控制強弱點提供了一種快速而簡便的方法。圖8-7中分別以S-n和W-n表示內(nèi)部控制的強點和弱點。圖8-8對圖8-7中指出的內(nèi)部控制的強點和弱點進展了描畫。363738說明強點S－1貨物出庫前銷售單中注明了賒銷信譽的同意S－2提貨單證明貨物曾經(jīng)運出后才可以開銷售發(fā)票并寄給顧客S－3諸如銷售單、銷售發(fā)票和提貨單等記錄都應(yīng)事先編號弱點W－1沒有對顧客的訂單進展復(fù)核和同意的程序W－2沒有處置缺貨的正式程序；也就是說，貨物能否無法滿足訂單，能否告知顧客，能否先提供部分貨物等的處置沒有規(guī)定W－3在寄給顧客之前沒有對銷售發(fā)票的合理價錢、數(shù)量以及金額進展復(fù)核圖8-8對內(nèi)部控制流程圖中控制強點與弱點的闡明流程圖的繪制程序如下：①確定流程圖特定符號及其含義。圖8-9展現(xiàn)了一些規(guī)范的流程圖標識。②選定流程圖控制主線。③決議控制點。④注明每張文件憑證的流向。⑤選擇流程圖繪制方式。⑥附加注釋。在詳細繪制流程圖的過程中還該當遵照某些規(guī)那么，以促成流程圖的一致性：①該當以規(guī)范的流程圖標識來代表各種過程、決策、記錄以及流向；②流程圖的走向該當從左到右、從上到下；③文字闡明應(yīng)盡量少。以上三種記錄對內(nèi)部控制的了解的方法各有優(yōu)缺陷，它們之間并非相互排斥，而是相互依賴和相互補充的。

3940圖8-9規(guī)范的流程圖標識認定層次艱苦錯報風險的進一步評價是指審計人員據(jù)以確定財務(wù)報表認定所接受的檢查風險程度的艱苦錯報風險程度。1．經(jīng)過控制測試降低認定層次艱苦錯報風險的估計程度控制測試有四個關(guān)注點：〔1〕該項內(nèi)部控制能否有真實運用？〔2〕該項內(nèi)部控制能否在被審計期間內(nèi)一向地運用？〔3〕該項內(nèi)部控制由誰來運用？〔4〕該項內(nèi)部控制以何種方式運轉(zhuǎn)？41〔三〕進一步評價認定層次的艱苦錯報風險并記錄結(jié)論控制測試要求審計人員確定給定買賣循環(huán)的相關(guān)的內(nèi)部控制，并在會計期間內(nèi)進展檢查，測試的目的是確定內(nèi)部控制在會計期間內(nèi)能否有效運轉(zhuǎn)。在對職責沒有分別且沒有內(nèi)部審計人員的小企業(yè)進展審計時，審計人員通常采用主要證明法?？刂茰y試包括：〔1〕重新執(zhí)行相關(guān)控制程序〔2〕察看與內(nèi)部控制有關(guān)的活動〔3〕相關(guān)記錄的檢查與測試2.進一步評價認定層次的艱苦錯報風險并記錄結(jié)論審計人員執(zhí)行完控制測試后，應(yīng)根據(jù)控制測試的結(jié)果重新評價相關(guān)認定的艱苦錯報風險，并將評價的過程和結(jié)論記錄在任務(wù)底稿中。42二、將艱苦錯報風險的評價結(jié)果納入審計之中〔一〕審計風險評價總結(jié)圖8-10概括了艱苦錯報風險評價的全過程。在圖8-10風險評價總結(jié)中應(yīng)留意的一點是管理當局的態(tài)度和質(zhì)量對財務(wù)報表層次和認定層次艱苦錯報風險的