《内部控制课件-5内部控制的监督.ppt》由会员分享,可在线阅读,更多相关《内部控制课件-5内部控制的监督.ppt(35页珍藏版)》请在三一办公上搜索。
1、1,内部控制的监督,中国内部审计协会昆明2008.9,2,一、基本规范中关于监督的规定,1、监督有外部监督和内部监督之分。基本规范第九条:国务院有关部门可以根据法律法规、本规范及其配套办法,明确贯彻实施本规范的具体要求,对企业建立与实施内部控制的情况进行监督检查 基本规范第五条(五)内部监督:内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。,3,内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查;专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化
2、的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。,4,2、企业应当制定内部控制监督制度基本规范第44条规定,企业应当根据本规范及其配套办法,制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。3、企业应当定期对内部控制的有效性进行自我评价基本规范第46条规定,企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务
3、发展状况、实际风险水平等自行确定。,5,二、监督的作用和方法,1、监督的作用内控持续有效环境的变化会影响内部控制制度的持续有效性,管理层必须决定内部控制制度是否持续有效,是否能处理新风险。监督可以确保内部控制制度能持续有效的运作2、监督的方法持续监督(日常监督)与专项监督个别评估对监督结果(控制缺陷)的报告,6,A.持续监督-容于管理控制,持续监督是过程监督个别评估是结果控制,持续监督的有效性,高,低,个别评估次数,少,多,个别评估究竟需要多少,管理层才能保证内控的有效性,取决于管理层的判断,同时也受以下因素的影响:1已发生的改变及其所设计的风险的性质和程度;2 执行控制的员工的能力和经验;3
4、 持续监督的结果,寻求最简结合,7,负责营运的管理阶层,在履行其日常管理职责时,取得内部控制制度持续发挥功能的证据。利用外部信息,来验证内部产生的信息的正确性,或比较出问题的所在。(与政府机关、客户交往)利用健全的组织机构和职责分工来监督控制的有效性,并辨识其缺陷。账实核对,以提示期间的差异(如定期盘点存货)利用内审、外审和其他检查人员提出的建议,强化内部控制。会议和研讨发现内控的缺失,反馈并采取措施。定期要求员工汇报对行为守则的了解和遵守情况;对于业务和财务人员要回报特定控制的执行,8,B.个别评估-直接监视内控的有效性,评估范围和频率范围与目标有关;范围、频率与被控对象风险的大小及控制的重
5、要性有关;风险大的控制应经常评估;不可或缺的要经常评估;对整体的评估要少于对特定控制的评估次数;重大策略改变、管理阶层变动、重大的并购或处分、重大的营运方法改变、财务信息处理方式的改变,需要对整体内控制度进行评估,9,B.个别评估-直接监视内控的有效性,评估主体企业的员工;内部审计机构;外部审计 评估过程了解内控的设计情况(要控制什么,如何控制)了解内控的实际运行情况设计与执行之间的差异,目标是否达成,是否存则缺陷。,10,B.个别评估-直接监视内控的有效性,评估的方法(标杆法、查阅、调查、访谈等)书面记录书面的内控制度或非书面的评估过程要书面记录内控评估的行动计划,11,C.报告评估结果-内
6、控缺陷,信息来源日常监督个别评估(管理层、内审、其他参与人员)外部:顾客、供应商、政府机关、外审人员以及其他利害关系人)报告内容影响单位目标达成的控制缺陷应该向能采取必要行动的人报告及时报告向谁报告:直属领导,高一级的主管,12,三、内部控制监督的步骤,了解内部控制的设计和实施,评价控制风险,控制测试,确定计划检查风险和实质性测试,13,了解,记录,评价,考虑因素:1-规模和业务复杂性2-数据处理系统复杂性3-控制类型和方式4-固有风险方法:1-询问2-查阅文件3-检查凭证和记录4-观察5-穿行测试内容:内部控制五要素,1文字说明2-调查表3-流程图,健全性判断合理性判断,14,确定内部控制设
7、计和运行情况的程序:了解5要素,考虑(1)每个要素的各项控制的设计;(2)这些控制是否付诸实施。更新并评价审计师在以前年度对企业内部控制的了解。询问客户的职员阅读客户的政策和制度手册检查凭证和记录观察公司活动和运营,如何了解?想知道客户的内部控制是什么样的?,15,文字描述应具备四个特征:系统中各凭证和记录的来源;进行的所有处理;系统中各凭证和记录的处理;与控制风险评价相关的内部控制的说明。流程图简洁同时应用文字描述和流程图并不多见,但可以结合用内部控制问卷回答YES OR NO,NO往往代表缺陷。优点:审计开始时迅速涵盖个领域;缺点:标准化问卷不适用于各种情况。,如何记录?文字描述、流程图还
8、是问卷,你有偏好吗?,16,图9-3 P311,17,审计师需要进行以下四个方面的评价:评价是否有可能对财务报表进行审计管理当局的诚信会计记录的充分性根据对内部控制的了解确定控制风险的评估值无法防止重大错报的发生或在重大错报发生后无法发现和 纠正这些错报的预期值高水平,中水平,还是低水平(1,0.6,or 0.2)控制环境差(管理当局不重视内控),控制风险定为“高”三种策略:A 直接假定控制风险是最大值;B 电子信息,控制风险评为低于最大值,并执行详细的控制测试;C 审计师虽确信控制风险为低水平,但需要搜集证据证明时,应定为中等或高水平。确定是否有可能证明控制风险评估值比初始评估值低确定恰当的
9、控制风险评估值(成本-效益决策问题),如何评价?评价控制风险,不要忘记内控的缺陷和审计目标?不要忘记,这仅仅是一个初步评估值!,18,下面这个程序会给你帮助啊!,如何评价控制风险?,其实,到现在也仍然不会进行控制风险的评价,但你不用着急,很快,你就会了!,1确定与业务相关的审计目标,2确定具体控制,3确定和评价内部控制缺陷,4控制风险矩阵,19,内部审计师通常按照业务循环中与各主要业务类型相关的审计目标来评价控制风险销售收款循环业务类型:销售售后退回与折让收款集体坏账准备与坏账核销确定与业务相关的审计目标还记得销售的审计目标吗?业务的一般目标 演化 为具体业务的审计目标,1确定与业务相关的审计
10、目标,20,确定由助于实现与业务目标相关的各审计目标的具体控制。浏览描述客户内部控制制度的信息来确定相关的控制考虑客户可能存在的控制类型以及询问可是是否确实存在这些控制审计师只需考虑预期对实现与业务相互的审计目标有最大影响的控制(关键控制)你是不时发现将控制与审计目标结合起来,是如此的美妙,将使你的审计更有针对性!,2 确定具体控制,21,内部控制缺陷缺乏充分的控制,从而增加了财务报表中出现错报的风险。如果审计师认为控制不能满足于业务相关的某一审计目标,就会预期关于该审计目标的会计数据存在错报的可能性增加。确定重大的内控缺陷的四步法:1 确定现有的控制2 确定客户缺乏的关键控制3 确定可能导致
11、的潜在重大错报4 考虑补充控制的可能性 补充控制是内控制度中存在的,可以抵消内控缺陷的控制。如所有者积极参与企业的经营。补充控制存在,使审计师不再关注控制缺陷。,3 确定和评价内部控制缺陷,22,图9-4 P315,23,一个控制,对多个审计目标几个不同的控制,影响一个审计目标。似乎情况很复杂,但控制风险矩阵将成为你的助手!审计师使用控制风险矩阵来确定关键控制,控制缺陷及评价控制风险。,4 控制风险矩阵,24,4 销售业务的控制风险矩阵,25,26,复核各栏的相关控制及控制缺陷,并问自己:这些控制不能防止或发现拟控制的重大错报类型的可能性有多大?控制缺陷的影响是什么?如果关键控制不能防止或发现
12、并纠正重大错报的可能性很大,控制风险就应该评价为高水平,以此类推。,4 控制风险矩阵,27,当了解、评价内控,发现内控存在的问题时,难道你不想对管理当局说点什么吗?不要自己因知道缺陷而偷偷乐,和管理当局分享一下。,与管理当局沟通内部控制的应报告事项及相关事宜知悉的对审计委员会履行其职责有重要影响的信息(与内控的设计或运行的重大缺陷有关)被称为“应报告事项”与审计委员会的沟通与企业内部承担内部控制总体责任的人(董事会、所有者兼经营者等)管理建议书一些与内部控制有关的、不太重要的事项,以及可以改进客户经营管理的事项。将这些事项告知客户。,4 控制风险矩阵,28,29,控制测试,真纳闷?风险评价都做
13、完了,为什么还要对控制进行测试?如何测试?不要着急,我会帮助你!被初评为低于最大值水平的内部控制(关键控制),是我们拟信赖的,应执行足够多的控制,测试其控制风险水平,对初评值进行再次确认或调整。如果某些控制时审计师降低控制风险评估值的依据,审计师必须取得这些控制在所有(至少是大部分)被审计期间内有效运行的证据。测试内部控制的有效性以支持较低的控制风险水平评估值的程序称为控制测试。控制测试结果表明控制的运行情况符合预期的设计,审计师应继续采用原来的风险评估值;如果控制测试表明控制的运行不太有效,审计师就需要重新考虑控制风险评估值。(我们是多么的谨慎!),30,下面是如何进行控制测试?,1.用什么
14、方法测试(四种测试程序)学问恰当的客户职员检查凭证、记录和报告观察与控制相关的活动重新执行客户程序2.控制测试的范围(取决于控制风险的预期评估值,低:意味更详细得控制测试)信赖以前年度的审计证据(以前有效,今年咋办?)测试期间未覆盖整个审计期间控制测试的轮换,31,控制测试与了解内部控制程序之间的关系?你会觉得他们有交叉?询问、检查和观察都用。区别:了解:针对所有控制使用这些程序;控制测试:仅限于关键控。了解:设计一个或多个业务,或仅仅在某一时点(执行观察程序时);控制测试:选取的业务量较大(可能是20100个业务);而且往往需要在多个时点执行观察程序。对于关键控制而言,除了重新执行,其他程序实际上都是了解内控的相关程序的延伸。如果在审计之初就拟采用低水平的控制风险评估值,审计师就应该将两种类型的程序结合起来同时执行。关系图如下:,32,控制测试与了解内部控制程序之间的关系,33,总结:了解内控和评价控制风险,34,35,案例:投资和筹资内部控制监督,
