内部控制的监督PPT课件.ppt

1 1内部控制的监督中国内部审计协会2 2一、基本规范中关于监督的规定1、监督有外部监督和内部监督之分•基本规范第九条：国务院有关部门可以根据法律法规、本规范及其配套办法，明确贯彻实施本规范的具体要求，对企业建立与实施内部控制的情况进行监督检查监督检查 •基本规范第五条（五）内部监督：内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进 3 3–内部监督分为日常监督日常监督和专项监督专项监督–日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查；–专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查–专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定4 42、企业应当制定内部控制监督制度•基本规范第44条规定，企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求3、企业应当定期对内部控制的有效性进行自我评价•基本规范第46条规定，企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价自我评价，出具内部控制自我评价报告。

内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定 5 5二、监督的作用和方法•1、监督的作用——内控持续有效–环境的变化会影响内部控制制度的持续有效性，管理层必须决定内部控制制度是否持续有效，是否能处理新风险–监督可以确保内部控制制度能持续有效的运作•2、监督的方法–持续监督（日常监督）与专项监督–个别评估–对监督结果（控制缺陷）的报告6 6A.持续监督----容于管理控制•持续监督是过程监督•个别评估是结果控制持续监督的有持续监督的有效性效性高高低低个个别别评评估估次次数数少少多多个别评估究竟个别评估究竟需要多少，管需要多少，管理层才能保证理层才能保证内控的有效性，内控的有效性，取决于管理层取决于管理层的判断，同时的判断，同时也受以下因素也受以下因素的影响：的影响：1已发已发生的改变及其生的改变及其所设计的风险所设计的风险的性质和程度；的性质和程度；2 执行控制的员执行控制的员工的能力和经工的能力和经验；验；3 持续监督持续监督的结果的结果寻寻求求最最简简结结合合7 7•负责营运的管理阶层，在履行其日常管理职责时，取得内部控制制度持续发挥功能的证据。

•利用外部信息，来验证内部产生的信息的正确性，或比较出问题的所在与政府机关、客户交往）•利用健全的组织机构和职责分工来监督控制的有效性，并辨识其缺陷•账实核对，以提示期间的差异（如定期盘点存货）•利用内审、外审和其他检查人员提出的建议，强化内部控制•会议和研讨发现内控的缺失，反馈并采取措施•定期要求员工汇报对行为守则的了解和遵守情况；对于业务和财务人员要回报特定控制的执行8 8B.个别评估----直接监视内控的有效性–评估范围和频率•范围与目标有关；•范围、频率与被控对象风险的大小及控制的重要性有关；•风险大的控制应经常评估；不可或缺的要经常评估；对整体的评估要少于对特定控制的评估次数；重大策略改变、管理阶层变动、重大的并购或处分、重大的营运方法改变、财务信息处理方式的改变，需要对整体内控制度进行评估 9 9B.个别评估----直接监视内控的有效性–评估主体•企业的员工；•内部审计机构；•外部审计 –评估过程•了解内控的设计情况（要控制什么，如何控制）•了解内控的实际运行情况•设计与执行之间的差异，目标是否达成，是否存则缺陷1010B.个别评估----直接监视内控的有效性–评估的方法（标杆法、查阅、调查、访谈等）–书面记录•书面的内控制度或非书面的•评估过程要书面记录–内控评估的行动计划1111C.报告评估结果----内控缺陷–信息来源•日常监督•个别评估（管理层、内审、其他参与人员）•外部：顾客、供应商、政府机关、外审人员以及其他利害关系人）–报告内容•影响单位目标达成的控制缺陷应该向能采取必要行动的人报告•及时报告–向谁报告：直属领导，高一级的主管1212三、内部控制监督的步骤1313了解了解记记录录评评价价考虑因素：考虑因素：1-规模和业务规模和业务复杂性复杂性2-数据处理系数据处理系统复杂性统复杂性3-控制类型和控制类型和方式方式4-固有风险固有风险方法：方法：1-询问询问2-查阅文件查阅文件3-检查凭证和检查凭证和记录记录4-观察观察5-穿行测试穿行测试内容：内容：内部控制五要内部控制五要素素1文文字说字说明明2-调调查表查表3-流流程图程图健全性健全性判断判断合理性合理性判断判断1414确定内部控制设计和运行情况的程序程序：–了解5要素，考虑(1) 每个要素的各项控制的设计设计；（2）这些控制是否付诸实施实施。

•更新并评价审计师在以前年度对企业内部控制的了解•询问客户的职员•阅读客户的政策和制度手册•检查凭证和记录•观察公司活动和运营如何了解？如何了解？想知道客户的内部控制是什么样的？想知道客户的内部控制是什么样的？1515•文字描述应具备四个特征：–系统中各凭证和记录的来源；–进行的所有处理；–系统中各凭证和记录的处理；–与控制风险评价相关的内部控制的说明•流程图–简洁–同时应用文字描述和流程图并不多见，但可以结合用•内部控制问卷–回答YES OR NO ，NO往往代表缺陷–优点：审计开始时迅速涵盖个领域；缺点：标准化问卷不适用于各种情况如何记录？如何记录？文字描述、流程图还是问卷，你有偏好吗？文字描述、流程图还是问卷，你有偏好吗？1616图9-3 P3111717•审计师需要进行以下四个方面的评价：Ø评价是否有可能对财务报表进行审计•管理当局的诚信•会计记录的充分性Ø根据对内部控制的了解确定控制风险的评估值•无法防止重大错报的发生或在重大错报发生后无法发现和 纠正这些错报的预期值•高水平，中水平，还是低水平（1，0.6, or 0.2)•控制环境差（管理当局不重视内控），控制风险定为“高”•三种策略：A 直接假定控制风险是最大值；B 电子信息，控制风险评为低于最大值，并执行详细的控制测试；C 审计师虽确信控制风险为低水平，但需要搜集证据证明时，应定为中等或高水平。

Ø确定是否有可能证明控制风险评估值比初始评估值低Ø确定恰当的控制风险评估值（成本-效益决策问题）如何评价？如何评价？评价控制风险，不要忘记内控的缺陷和审计目标？评价控制风险，不要忘记内控的缺陷和审计目标？不要忘记，这仅仅是一个初步评估值！不要忘记，这仅仅是一个初步评估值！1818下面这个程序会给你帮助啊！如何评价控制风险？如何评价控制风险？其实，到其实，到现在也仍现在也仍然不会进然不会进行控制风行控制风险的评价，险的评价，但你不用但你不用着急，很着急，很快，你就快，你就会会了！了！1确定与业务相关的审计目标确定与业务相关的审计目标2确定具体控制确定具体控制3确定和评价内部控制缺陷确定和评价内部控制缺陷4控制风险矩阵控制风险矩阵1919•内部审计师通常按照业务循环中与各主要业务类型相关的审计目标来评价控制风险ü销售收款循环业务类型：•销售•售后退回与折让•收款•集体坏账准备与坏账核销ü确定与业务相关的审计目标•还记得销售的审计目标吗？•业务的一般目标 演化 为具体业务的审计目标1确定与业务相关的审计目标确定与业务相关的审计目标2020•确定由助于实现与业务目标相关的各审计目标的具体控制。

•浏览描述客户内部控制制度的信息来确定相关的控制•考虑客户可能存在的控制类型以及询问可是是否确实存在这些控制•审计师只需考虑预期对实现与业务相互的审计目标有最大影响的控制（关键控制）–你是不时发现将你是不时发现将控制控制与与审计目标审计目标结合起来，结合起来，是如此的是如此的美妙美妙，将使你的审计更有针对性！，将使你的审计更有针对性！2 确定具体控制确定具体控制2121•内部控制缺陷——缺乏充分的控制，从而增加了财务报表中出现错报的风险•如果审计师认为控制不能满足于业务相关的某一审计目标，就会预期关于该审计目标的会计数据存在错报的可能性增加•确定重大的内控缺陷的四步法：–1 确定现有的控制–2 确定客户缺乏的关键控制–3 确定可能导致的潜在重大错报–4 考虑补充控制的可能性 •补充控制是内控制度中存在的，可以抵消内控缺陷的控制如所有者积极参与企业的经营•补充控制存在，使审计师不再关注控制缺陷 3 确定和评价内部控制缺陷确定和评价内部控制缺陷2222图9-4 P315客户：Hillsburg 公司 表P-3 内部控制缺陷 编制人：JR循环：销售与收款 期间2002/12/31缺陷补充控制潜在错报 重要性对审计证据的影响1 没有按照编号的先后顺序使用事先编号的发票无未记录的销售潜在重要Ø使用审计软件搜索遗漏的销售发票号码；执行关于销售收入和毛利的分析性程序2 没有独立地核对发货凭证的日期与记账的日期每周检查不能匹配和未入账的发货业务不适用不适用 不适用2323•一个控制，对多个审计目标•几个不同的控制，影响一个审计目标。

r似乎情况很复杂，但控制风险矩阵将成为你的助手！r审计师使用控制风险矩阵来确定关键控制，控制缺陷及评价控制风险4 控制风险矩阵控制风险矩阵24244 销售业务的控制风险矩阵销售业务的控制风险矩阵25252626•复核各栏的相关控制及控制缺陷，并问自己：–这些控制不能防止或发现拟控制的重大错报这些控制不能防止或发现拟控制的重大错报类型的可能性有多大？类型的可能性有多大？–控制缺陷的影响是什么？控制缺陷的影响是什么？•如果关键控制不能防止或发现并纠正重如果关键控制不能防止或发现并纠正重大错报的可能性很大，控制风险就应该大错报的可能性很大，控制风险就应该评价为高水平，以此类推评价为高水平，以此类推4 控制风险矩阵控制风险矩阵2727当了解、评价内控，发现内控存在的问题时，难当了解、评价内控，发现内控存在的问题时，难道你不想对管理当局说点什么吗？不要自己因知道你不想对管理当局说点什么吗？不要自己因知道缺陷而偷偷乐，和管理当局分享一下道缺陷而偷偷乐，和管理当局分享一下•与管理当局沟通内部控制的应报告事项及相关事宜–知悉的对审计委员会履行其职责有重要影响的信息（与内控的设计或运行的重大缺陷有关）被称为“应报告事项应报告事项”•与审计委员会的沟通•与企业内部承担内部控制总体责任的人（董事会、所有者兼经营者等）–管理建议书管理建议书————一些与内部控制有关的、不太重要的事项，以及可以改进客户经营管理的事项。

将这些事项告知客户4 控制风险矩阵控制风险矩阵28282929控制测试控制测试•真纳闷？风险评价都做完了，为什么还要对控制进行测试？如何测试？–不要着急，我会帮助你！！•被初评为低于最大值水平低于最大值水平的内部控制（关键控制），是我们拟信赖的，应执行足够多的控制，测试其控制风险水平，对初评值进行再次确认或调整•如果某些控制时审计师降低控制风险评估值的依据，审计师必须取得这些控制在所有（至少是大部分）被审计期间内有效运行有效运行的证据测试内部控制的有效性以支持较低的控制风险水平评估值的程序称为控制测试控制测试•控制测试结果表明控制的运行情况符合预期的设计，审计师应继续采用原来的风险评估值；如果控制测试表明控制的运行不太有效，审计师就需要重新考虑控制风险评估值我们是多么的谨慎！我们是多么的谨慎！）3030下面是如何进行控制测试？下面是如何进行控制测试？•1. 用什么方法测试（四种测试程序）–学问恰当的客户职员–检查凭证、记录和报告–观察与控制相关的活动–重新执行客户程序•2. 控制测试的范围(取决于控制风险的预期评估值,低:意味更详细得控制测试)–信赖以前年度的审计证据(以前有效,今年咋办?)–测试期间未覆盖整个审计期间–控制测试的轮换3131•控制测试与了解内部控制控制测试与了解内部控制程序程序之间的关系之间的关系? ?–你会觉得他们有交叉?询问、检查和观察都用。

–区别：•了解：针对所有控制使用这些程序；控制测试：仅限于关键控•了解：设计一个或多个业务，或仅仅在某一时点（执行观察程序时）；控制测试：选取的业务量较大（可能是20~100个业务）；而且往往需要在多个时点执行观察程序•对于关键控制而言，除了重新执行，其他程序实际上都是了解内控的相关程序的延伸如果在审计之初就拟采用低水平的控制风险评估值，审计师就应该将两种类型的程序结合起来同时执行•关系图如下：3232程序程序类型类型控制风险评估值高水平：仅执行了解内部控制程序较低水平：控制测试询问是——大范围是——小范围观察是——结合业务穿行测试 是——采用抽样检查是——结合业务穿行测试 是——在多个时点重新执行否否是是——采用抽样采用抽样控制测试与了解内部控制控制测试与了解内部控制程序程序之间的关系之间的关系3333总结：了解内控和评价控制风险34343535案例:投资和筹资内部控制监督• 。