内部审计理论与实务

《内部审计理论与实务》由会员分享，可在线阅读，更多相关《内部审计理论与实务（144页珍藏版）》请在装配图网上搜索。

1、内部审计理论与实务,西安交通大学管理学院: 张晓红 E-mail: ,主要内容,第一讲 内部审计理论与方法 第二讲 内部控制制度与评价,第一讲 内部审计理论与方法,内部审计 概论,5.现代风险导向的内部审计,4.内部审计的范围和内容,3.内部审计的基本职能,2.内部审计的概念与特征,1.内部审计的产生与发展,内部审计产生与发展,中国内部审计的产生和发展 P1-2 国外内部审计的产生和发展 P2-4 内部审计发展的动因分析 前提：受托经济责任关系； 需要：单位内部管理和控制的； 外部压力：公司法、商法等要求进行内部审计 国际内部审计的发展趋势,审计模式：控制导向风险导向； 着眼点：A、风险经营环

2、境（一般环境、社会环境、行业环境、组织环境、内部审计应用环境）； B、独立更加注重价值； 时间：检查过去着眼未来多角度思考； 职能：评价预测、咨询和保证； 审计知识：会计、审计知识经营知识； 审计种类：财务审计经营审计战略审计； 态度：要我审计我要审计； 审计的主要方式：说服协商。,国际内部审计的发展趋势,返回,内部审计定义,中国内部审计基本准则 “第二条 本准则所称内部审计，是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。 ” 国际内部审计师协会（IIA）的定义。“内部审计是一种独立的客观的保证和咨询活动，旨在增值和

3、改进一个组织的运作效率。它运用系统化、规范化的方法来评价和改进风险管理、内部控制和公司治理过程的有效性，从而实现组织的目标。”,内部审计定义的新涵义,现代内审从传统的财务和合规审计向增值型审计（经营审计与管理审计）发展； 内审的两大基本目标： 为机构增加价值 提高运作效率 内审的两大基本职能：合理保证与提供咨询 发展趋势：融风险管理、内控和治理程序于一体的综合管理审计,内部审计的特征,服务的内向性； 审查和评价的及时性和广泛性； 与本单位目标的紧密相关性。,返回,内审的基本职能,合理保证 保证合规、合法； 保证信息可靠完整； 保证资产安全，资源的充分利用； 保证内控结构合理与执行有效； 保证风

4、险控制的充分、合理。 提供咨询战略管理/风险管理/内控评价监督,返回,内部审计的范围和内容,内部审计范围的扩大，内容涉及： 传统的财务审计； 经济效益审计（经营审计与管理审计）； 内部控制审查； 专项审计； 任期经济责任审计等。,返回,传统内部审计流程路线,传统内部审计通常采用直接测试内部控制，考虑内部控制是否充分有效，风险的大小表明控制的薄弱与健全环节，从而实现防弊或者兴利的目标。 传统内部审计的路线如下图,传统内部审计路线图,固有风险评估,了解内部控制,初步评估控制风险,控制测试（可选）,综合评估控制风险,确定检查风险,传统内部审计的不足,内部审计被埋葬于反映过去的细节之中，结果是建议管理

5、层增加控制点或加强控制，随着时间推移，控制点越来越多，审计业务越来越繁琐缓慢，甚至出现多余控制阻碍各项程序正常运转的情况。 尽管有防弊兴利的审计目标，但是无法与企业目标相关联，导致内部审计无法证明其价值所在，从而引发内部审计的生存危机。,现代风险导向内部审计,所谓风险导向内部审计是指内审人员在审计过程自始至终都以企业风险分析评估为导向，根据量化的风险水平排定审计项目优先次序，依据风险确定审计范围与重点，对企业的风险管理、内部控制和治理程序进行评价，进而提出建设性意见和建议，协助企业管理风险，实现企业价值增值的独立、客观的签证和咨询活动。,风险定义,国际内部审计协会(IIA) 2001年对风险定

6、义为可能对目标的实现产生影响的事件发生的不确定性，并指出风险的衡量标准是后果与可能性。 我国提出的“风险”定 义：不确定性对目标的影响（effect of uncertainty on objectives）。 风险既关注积极面，即机会；也关注消极面，即负面风险。,风险管理,风险管理，主要包括目标确立、风险识别、风险评估和风险应对。 目标的确立有营运目标、财务报导目标和遵循性目标； 风险的识别分为企业整体层次的风险和作业交易层面的风险； 风险的评估主要是估计风险的严重程度/评估风险发生的可能性（或频率）； 风险应对主要考虑应如何管理风险，即应采取怎样的行动（无视、充分注意、转移等）,风险导向内

7、部审计流程路线,风险导向内部审计采取的路线是： 确认企业目标或某项交易的目标； 分析对这些目标产生影响的风险，确定审计风险水平和审计重点，提出风险防范和控制建议； 通过后续审计，测定风险是否得到有效防范和控制。路线如下图,风险导向内部审计路线图,战略分析；宏观经 济分析；行业分析,流程分析：增值活动 分析，核心竞争力,了解内部控制,固有风险分析,控制风险评估,联合风险评估 确定重大错报风险,确定检查风险,风险导向内部审计的优势,内部审计人员关注的并非控制的充分性和遵循性，而是风险是否得到适当管理和控制；,审计直接针对实现目标过程中的主要问题和风险，将事后评价反馈延伸到事前和事中；,内部审计人员

8、通过风险与企业目标的实现直接联系起来，其服务对公司治理层及管理层而言非常有价值，使内部审计成为企业价值链中的必要环节。,第一讲 内部审计理论与方法,内部审计 程序,4.后续审计,2.审计实施阶段,1.审计准备阶段,3.审计终结阶段,审计准备阶段,选择审计项目确认被审计事项，确定相关风险因素并评估其重要性程度； 委派审计人员，编制项目审计计划 制定审计实施方案，向被审计者发出审计通知书,审计实施阶段,调查和内部控制测试描述内部控制系统/实地考察与测试/内部控制系统评估 扩大测试和审计结果 扩大测试：是在调查和初步测试的基础上，运用扩展性的检查、观察、复核和定量分析等方法来检查、分析和评价被审计事

9、项的相关证据的可靠性、完整性和证明力； 审计结果：是内部审计人员基于掌握的信息对被审计对象的特定部分所做出的职业判断，也是审计人员出具审计报告的基础； 审计结果的基本要素,审计结果的基本要素,评判标准：内部审计师做出评价或确认时所依据的准则、措施或期望达到的水平； 事实：内部审计师所发现的证据； 原因：实际存在的事实与期望的水平存在差异； 影响：由于评判标准不一可能给被审计单位带来的风险。,返回,审计终结阶段,编制内部审计报告 p65-71 有效沟通内部审计报告的内容 现场审计结束时与被审计单位的沟通：撤点会议 征求被审计单位对审计报告的意见 与被审计单位领导层的沟通 报送内部审计报告 归集整

10、理审计档案,后续审计,后续审计的定义：是指内部审计机构为检查被审计单位对审计发现的问题所采取的纠正措施及其效果而实施的审计； 后续审计的目的是确认被审计对象对审计结果采取了适当的行动，其判断的标准就是已经采取的纠正行动和正在达到的效果及不采取行动而产生的风险； 后续审计的主要步骤,后续审计的主要步骤,认真分析被审计单位的反馈 对反馈不充分及没有反馈的问题与被审计单位进行探讨； 对重大的审计结果进行进行现场追踪审计和测试； 针对已采取的各项措施进行评估，对控制风险重新进行评估； 提交后续审计报告,第一讲 内部审计理论与方法,审计技术 方法,4.审计抽样,2.审计的一般方法,1.审计证据,3.分析

11、性复核,5.计算机信息系统控制与审计技术方法,审计证据,审计证据的定义：是指内部审计人员在从事审计活动中，通过实施审计程序所获得的，用以证实审计事项，做出审计结论和建议的依据； 获取审计证据的途径和方法：询问法/复算法/详细测试法/观察或检查法/统计抽样法/函证法/审阅法/分析性复核 审计证据的类型 审计证据的特性,审计证据的类型,按审计证据的外形特征分：实物证据/书面证据/口头证据/环境证据 按审计证据的来源方式分：内部证据/内-外证据/外-内证据/外部证据/ 按审计证据证明力分：具有充分证明力证据/具有部分证明力证据/无证明能力证据 按审计证据在形成审计结论中的地位分：直接证据/间接证据

12、按审计证据与推断审计结论的逻辑关系分：正面证据/反面证据,返回,审计证据的特性,充分性：是对审计证据数量的衡量，主要与确定的样本量有关。审计证据的数量应能足以支持审计结论和建议，是形成审计结果所需证据的最低数量要求。 适当性：是对审计证据质量的衡量，即审计证据要具有证明力、与审计目标相关以及有用，审计证据要具有相关性和可靠性。,审计证据的充分性,衡量证据是否充分的尺度是：其他具有专业谨慎的人员能依据该证据得出与审计人员相同的审计结论。 判断审计证据是否充分，应当考虑以下因素： 重大错报风险的评估水平； 具体审计项目的重要性程度； 审计人员的经验； 审计过程中是否发现错误或舞弊； 审计证据的类型

13、与获取途径。,返回,审计证据的相关性,审计证据的相关性：是指能支持审计结果和审计意见、审计建议的，是与审计目标一致和相关联的。在确定审计证据的相关性时应考虑： 特定的审计程序可能只为某些认定提供相关的审计证据，而与其他认定无关； 针对同一项认定可以从不同来源获取审计证据或获取不同性质的审计证据； 只与特定认定相关的审计证据并不能替代与其它认定相关的审计证据。,审计证据的可靠性,审计证据的可靠性：是指证据的可信程度。审计证据的可靠性受其来源和性质的影响，并取决于获取审计证据的具体环境。在判断审计证据可靠性时，通常会考虑下列原则： 从外部独立来源获取的审计证据比从其他来源获取的审计证据更可靠； 内

14、控有效时内部生成的审计证据比内控薄弱时生成的审计证据更可靠； 直接获取的审计证据比间接获取或推论得出的审计证据更可靠； 文件记录形式存在的审计证据比口头形式的证据更可靠； 从原件获取的证据比传真或复印件获取的审计证据更可靠。,审计证据充分性和适当性之间的关系,充分性和适当性是审计证据的两个重要特征，两者缺一不可，只有充分且适当的审计证据才是有证明力的。 审计证据的适当性会影响其充分性。一般而言，审计证据的相关与可靠程度越高，则所需审计证据的数量就可减少。但如果审计证据的质量存在缺陷，仅靠获取更多的审计证据可能无法弥补其质量上的缺陷 。,返回,审计的一般方法,询问法 审核法 观察法 函证法：积极

15、函证/消极函证 监盘法： 编制监盘计划 确定盘点时间 盘点记录（设计盘点表） 监盘过程 无法盘点的替代程序 盘点结果的处理,返回,分析性 复核,4.分析性复核的步骤,2.分析性复核应考虑的主要关系,1.分析性复核的概念,3.分析性复核的方法,5.分析性复核结果的处理,分析性复核的概念,是指审计人员对被审单位重要的金额、比率或趋势等进行比较和分析，并对异常变动和异常项目予以重点关注的审计方法。 是通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系，对财务数据做出评价。并还包括调查识别出的、与其它信息不一致或与预期数据严重偏离的波动和关系。,分析性复核的目的,分析性复核的特点,分析性复

16、核局限性,分析性程序在审计准备阶段的运用及目的,目的是为了了解被审单位及其环境，识别那些可能存在重大风险的异常变化，确定重点审计领域，编制有针对性的审计方案； 本阶段运用分析程序是强制性要求； 应重点关注关键的帐户余额、趋势和财务比率等方面，对其形成合理预期，并与被审单位记录的金额、依据记录金额计算的比率或趋势进行比较； 无须在了解被审单位及其环境的每一个方面都实施分析程序,当运用分析程序比细节测试能更有效地将检查风险降至可接受的水平时，分析程序可用作实质性程序，在审计上称实质性分析程序； 实质性分析程序的运用不是强制性的； 分析性程序并不适用所有的审计具体目标； 实质性分析程序运用的步骤,分

17、析性程序在审计实施阶段的运用及目的,实质性分析程序运用的步骤,识别需运用分析程序的帐户余额或交易； 确定期望值； 确定可接受的差异额； 识别需进一步调查的差异； 调查异常数据关系； 评估分析程序的结果。,分析程序在审计报告阶段的运用及目的,在审计结束或临近结束时对被审计事项整体合理性进行总体复核； 运用的目的是确定被审计事项整体是否与其对被审单位的了解一致； 本阶段运用分析程序是强制要求。,返回,分析性复核的特点,降低审计成本，提高审计效率 帮助发现会计资料存在的认为错误或舞弊 提供整体合理性的证据,返回,分析性复核的局限性,分析性复核的使用有一定的前提： 信息资料间必须存在某种相互印证、互为

18、说明和互为因果的关系；并且这种依存关系必须是可预期的； 信息资料必须具有可靠性； 存在一个基本假定：在不存在已知的相反情况时，会计资料间及其与非会计资料间将继续保持各种预期的关系。 分析性复核难以得到精确的结论 其有效运用对审计人员的要求较高,返回,分析性复核应考虑的主要关系,内部会计信息各构成要素之间的关系 内部会计信息与相关非会计信息之间的关系 被审单位会计资料与同行业平均水平或同行业中规模相近的其他单位的资料之间的关系,返回,分析性复核的方法,趋势分析法是指审计人员将被审计单位若干期财务或非财务数据进行比较和分析，从中找出规律或发现异常变动的方法； 比率分析法是指审计人员利用本审计单位的

19、财务数据，计算一些通用的财务比率，并将这些比率与一些标准进行比较的方法； 简单合理性分析是利用彼此相关的帐户金额和可能变化的各种因素对帐户金额进行预测的一种方法。,返回,分析性复核的步骤,确定要执行分析性复核的对象； 估计预期值：历史数据/同行业数据/预算预测/估计值等； 确定重大差异的标准； 确认是否存在重大差异； 调查重大差异的原因； 确定进一步的审计程序。,返回,分析性复核结果的处理,分析性复核结果若出现与预期金额存在重大偏差，或与其他相关信息严重不一致时，应实施以下适当审计程序： 询问被审计单位管理层，并对其答复给予验证； 对被审计单位未予解释或解释不当的异常差异，审计人员应当实施其他

20、审计程序。,返回,审计抽样,4.实质性测试中抽样技术的运用,2. 审计抽样的基本程序,1. 审计抽样的相关概念,3.控制测试中抽样技术的运用,审计抽样的相关概念 （一）,审计抽样的思路：总体-抽样-总体 审计抽样的定义：是指审计师在实施审计程序时，从审计对象总体中选取一定数量的样本进行测试，并根据测试结果，推断审计对象总体特征的一种方法。 审计抽样不适用的审计程序：询问、观察和分析性复核程序。 抽样审计不同于详细审计。详细审计是指对审计对象总体中的全部项目进行审计，并根据审计结果形成审计意见。 审计抽样也不同于抽查。抽查作为一种技术，可以用来了解情况，确定重点，取得审计证据，其在使用中并无严格

21、要求。,审计抽样的相关概念（二）,审计对象总体与抽样单位。 审计对象总体指全部项目。确定审计对象总体时要注意相关性和完整性。 抽样单位指构成审计对象总体的个别项目。 可信赖程度（与样本量成正比关系）：可信赖程度通常用预计抽样结果能够代表审计对象总体特征的百分比来表示。可信赖程度与样本量成正比关系，审计师对可信赖程度要求越高，需选取的样本量就应越大。,抽样风险和非抽样风险 抽样风险（与抽样相关的不确定性）：抽样风险是审计师依据抽样结果得出的结论与审计对象总体特征不相符合的可能性。抽样风险与样本量成反比，样本量越大，抽样风险越低。 非抽样风险：是相对于抽样风险而言，即采用不恰当的审计程序或方法，或

22、因误解审计证据等而未能发现重大误差的可能性。其产生的原因主要有：人为错误，错误解释样本结果。,审计抽样的相关概念（三）,抽样风险,审计师在进行控制测试时，关注的抽样风险： 信赖不足风险后悔 -这是指抽样结果使审计师没有充分信赖实际上应予信赖的内部控制的可能性。导致执行额外审计程序，降低审计效率。 信赖过度风险后怕 -这是指抽样结果使审计师对内部控制的信赖超过了其实际上可予信赖程度的可能性。导致错误结论，降低审计效果。 审计师在进行实质性测试时，关注的抽样风险： 误受风险（风险）-是指抽样结果表明不存在重大错误而实际上存在重大错误的可能性。导致形成不正确的审计结论，降低审计效果。 误拒风险（风险

23、）-是指抽样结果表明存在重大错误而实际上不存在重大错误的可能性。降低审计效率。 审计师更关注信赖过度和误受风险（真正的审计风险），这很可能会导致审计师形成不正确的审计结论。,审计抽样的相关概念（四）,可容忍误差：是审计师认为抽样结果可以达到审计目的而愿意接受的审计对象总体的最大误差。 在进行控制测试时，可容忍误差是审计师在不改变对内部控制的可信赖程度的条件下所愿意接受的最大误差。 在进行实质性测试时，可容忍误差是审计师在能够对某一账户余额或某类经济业务总体特征做出合理评价的条件下所愿意接受的最大金额误差。 可容忍误差与样本量成反比关系，可容忍误差越小，需选取的样本量就应越大。,预期总体误差：审

24、计师应根据前期审计所发现的误差、被审计单位经营业务和经营环境的变化、内部控制的评价及分析性复核的结果等，来确定审计对象总体的预期误差。如果存在预期总体误差，则应当选取较大的样本量。,审计抽样的相关概念（五）,返回,审计抽样的基本程序,确定审计的总体范围 确定样本量 样本的选取 审查样本 抽样结果评价,样本的选取,样本选取的要求：机会均等。 样本选取的方法： 随机选样 系统选样 分层选样 随意选样是以随意的方式选取样本。很难完全无偏见地选取样本项目。,返回,随机选样,随机选样是指对审计对象总体或次级总体的所有项目，按随机规则选取样本。 使用随机数表时，首先应建立表中数字与总体中项目的一一对应关系

25、。其次应选择一个起点和一个选号路线。最后按选号路线依次选样。 优点：选定的号码是均匀落在总体范围内。 说明： 每一数字都是随机的n位数字； 建立表中数字与总体中项目的一一对应关系。没有对应关系的不选。 可任意选择一个起点和一个选号路线 自起点起按照选号路线依次选样。,返回,系统选样,系统选样(等距选样)思路：间隔-起点-选取样本；条件：总体是否随机排列 系统选样也称等距选样，是指首先计算选样间隔，确定选样起点，然后再根据间隔顺序选取样本的一种选样方法。 举例：审计师欲从2000张凭单中按系统选样方法选出25张作为样本，确定的选样起点为326，则抽样间隔、所能选列的最小的凭单编号及最大的凭单编号

26、分别是( )。 A，40，9和1250 B200，3和2086 C80，6和1926 D80，16和1946 答案C 解析抽样间隔为2000/25=80；以326作为第1号，往前选，最小号码为326-80 x4=6；往后选，最大号码为326+80 x20=1926。,返回,分层：是将某一审计对象总体划分若干具有相似特征的次级总体的过程。审计师可以利用分层重点审计可能有较大错误的项目，并减少样本量。 分层时应注意的问题： 总体中的每一抽样单位必须属于一个层次，而且只属于这一层次。 必须有事先能够确定的、有形的、具体的差别来区分不同层次。 必须能够事先确定每一层次中抽样单位的准确数字。（最重要项目

27、的层次实施全部审查）,分层抽样法,返回,抽样结果的评价,分析样本误差 推断总体误差 重估抽样风险 在进行实质性测试时，如果推断的总体误差超过可容忍误差，经重估后的抽样风险不能接受，应增加样本量或执行替代审计程序。 在进行控制测试时，审计师如果认为抽样结果无法达到其对所测试的内部控制的预期信赖程度，则应考虑增加样本量或修改实质性测试程序。 形成审计结论,返回,控制测试中抽样技术的运用（一）,固定样本量抽样：所抽取样本的数量是固定的，是一种属性抽样，常用于估计审计对象总体中某种误差发生的比例。 其基本步骤如下： 确定审计目的 定义“误差” 定义审计对象总体 确定样本选取的方法 确定样本量的大小 选

28、取样本并进行审计 评价抽样结果： 审计师对选取的样本进行审查之后，应将查出的误差加以汇总，并评价抽样结果。评价时不仅需要考虑误差的次数，而且也需要考虑误差的性质。如审计师在审查样本时发现有欺诈舞弊或逃避内部控制的情形发生，不论其误差率是高还是低，均应采用其他程序 书面说明抽样程序 举例：P122,停走抽样：是固定样本量抽样的一种特殊形式。是从预期总体误差为零开始，通过边抽样边评价来完成抽样审计工作。这种方法能够有效地提高工作效率，降低审计费用。 采用停走抽样，一般要进行以下三个步骤： 确定可容忍误差、风险水平和初始样本量； 根据初始样本中发现的误差系数和风险水平查表得到风险系数； 用风险系数除

29、以当前样本量的结果与可容忍误差比较，小于可容忍误差则“停”，大于可容忍误差则“走”（增加样本量）。可容忍误差去除风险系数，如果样本容量达到原来的三倍，则停，确定不信赖内部控制。,控制测试中抽样技术的运用（二）,发现抽样：是在既定的可信赖程度下，在假设误差以既定的误差率存在于总体之中的情况下，至少查出一个误差的抽样方法。 发现抽样主要用于查找重大非法事件，它能够以极高的可信赖程度（如99.5%以上）确保查出误差率仅在0.5%1%之间的误差。 使用发现抽样时，当发现重大的误差，无论发生次数多少，审计师都可能放弃一切抽样程序，而对总体进行全面彻底的检查。 若发现抽样未发现任何例外，审计师可得出下列结

30、论：在既定的误差率范围内没有发现重大误差。 使用发现抽样时，审计师需确定可信赖程度及可容忍误差。然后，在预期总体误差为0%的假设下，参阅适当的属性抽样表，即可得出所需的样本量。 思路： 若发现错误-全面检查； 若未发现错误-出下列结论：在既定的误差率范围内没有发现重大误差。,控制测试中抽样技术的运用（三）,返回,实质性测试中抽样技术的运用,在实质性测试中运用的抽样技术主要是变量抽样法。 变量抽样的基本步骤： 确定审计目的； 定义审计对象总体； 选定抽样方法； 确定样本量； 确定样本选取方法； 选取样本并进行审计； 评价抽样结果； 书面说明抽样程序。,变量抽样的方法,单位平均估计抽样是通过抽样审

31、查确定样本的平均值，再根据样本平均值推断总体的平均值和总值的方法。样本评价时，若实际抽样误差大于计划抽样误差，应考虑增加样本量以降低实际抽样误差。 比率估计抽样 差额估计抽样,比率估计抽样,比率估计抽样：是以样本实际价值与账面价值之间的比率关系来估计总体实际价值与账面价值之间的比率关系，然后再以这个比率去乘总体的账面价值，从而求出总体实际价值的估计金额的一种抽样方法。其公式如下： 比率=样本实际价值（一般用“审计后认定的价值”）之和/样本账面价值之和 估计的总体实际价值=总体账面价值比率 适用范围：当误差与账面价值成比例关系时，通常动用比率估计抽样。,差额估计抽样,差额估计抽样：是以样本实际价

32、值与账面价值的平均差额来估计总体实际价值与账面价值的平均差额，然后再以这个平均差额乘以总体项目个数，从而求出总体的实际价值与账面价值差额的一种方法。差额估计抽样的计算公式如下： 平均差额=（样本总账面价值-正确值）/抽取的样本量 估计的总体差额=平均差额总体项目个数 估计的总体价值=账面总值+估计的总体差额 适用范围：当误差与账面价值不成比例时，通常运用差额估计抽样。,返回,计算机系统控制与审计技术方法,计算机系统控制 一般控制 应用控制 计算机信息系统测试方法,72,Types of Computer Controls,Policies and procedures that relate

33、to many applications,Manual or automated procedures that operate at a business process level,计算机系统控制一般控制,一般控制通常包括： 对信息中心运作的控制如作业系统操作员行为、备份和恢复程序等； 对系统软件的控制对系统软件（作业系统数据库安全防护软件）的取得、实施与维护等； 存取安全控制； 对应用系统的开发及维护控制。,74,General IT-controls,General Controls,Data centre & network operations,Systems acquisitio

34、n, development & maintenance,Access security,Application system acquisition, development & maintenance,75,General IT-controls - Examples,General controls,Restriction of access,Passwords,Backups,Service & maintenance agreement,Operating logs,Disaster recovery plan,Virus software,Firewalls,返回,是单位用于对应用

35、软件处理的控制，目的是确保交易的处理、授权是真实、完整和正确。包括： 系统输入的控制； 系统处理过程的控制； 系统输出的控制。 一般控制和应用控制彼此关联，前者能确保应用控制功能的有效发挥；信息处理是否完整及精确，则在于两者功能的共同发挥。,计算机系统控制应用控制,77,Application Controls,Controls over input Controls over processing Controls over output Controls over standing data,返回,78,Any use of a computer to aid the audit proc

36、ess,Audit software,Test data,Used for substantive testing Typical tests Re-performing calculations Sampling AR,Computer-Assisted Audit Techniques,Used to test controls Typical uses Test data Test transactions Integrated test facility,计算机信息系统测试方法,两大类： 数据测试test data 程序测试audit software 程序测试的典型测试方法： 测试数

37、据法：p128-129 平行模拟法: p129-130,返回,内部控制 制度与评价,3.内部审计人员在内部控制中的角色,2.内部控制测试与评价,1.内部控制概述,内部 控制 概述,3.内部控制与内部审计,2.内部控制的特征,1.内部控制的产生和发展,返回,内部控制的产生与发展,内部控制理论的发展是一个逐步演变的过成程分为以下几个阶段： 内部牵制阶段 内部控制制度阶段 内部控制结构阶段 内部控制整体框架阶段 风险管理框架阶段,内部牵制阶段,内部牵制的概念进行经济业务活动，处理经济事项都要有两个或两个以上的人或部门经受的会计工作制度。 此阶段的特点相互核对是此阶段内部控制的主要内容，设定岗位分离是

38、内控的主要方式，这在漫长的几千年内被认为是一种最实用的控制方法。,返回,内部控制制度阶段,1973年美国审计程序委员会在美国审计程序公告55 号中，对内部控制制度的定义是内部控制制度有两类：内部会计控制和内部管理控制。管理控制主要与有效经营这一内控目标和执行管理方针有关。会计控制主要与资产保护和财务信息的可信赖性有关。 但是会计界对内部控制人为分为二部分会计控制和管理控制，遭到了企业实务界的反对。,返回,内部控制结构阶段,1988年美国审计准则委员会发布的第55 号审计准则公告（SAS 55）财务报表审计中内部控制结构的考虑，较大幅度地修改了对内部控制的定义: 内部控制被认为是为合理保证企业特

39、定目标的实现而建立的各种政策、程序和方法； 提出内部控制由三个要素组成：,审计准则公告55号的内控三要素,控制环境对企业内部会计控制程序和方法的选择及其有效性有重要影响的各种因素，即为内部会计控制环境。包括7个方面内容： 管理哲学与经营方式； 组织机构； 审计委员会； 人事政策和程序； 授权和分配责任的方法； 内部审计部门； 外部影响如国家审计。,返回,会计系统,为确认、汇总、分析、分类、记录和报告企业经济活动，并保持对相关资产和负债的受托责任而建立的一套方法和核算程序，即为会计系统或会计制度。 其内容主要包括： 会计科目表、会计手册和会计分录； 业务凭证制度如各种凭证连续编号； 业务检查应有

40、事前、事中和事后检查； 交易处理方法。,返回,控制程序,控制程序主要包括以下方面： 人员的胜任能力 政策和程序手册； 计划、预算和业绩报告； 分权制经营； 资产保护程序； 定期盘点存货、清点现金和证券。,控制结构管理认定图2-1-1,控制结构管理认定图2-1-2,控制结构管理认定图2-1-,返回,内部控制整体框架阶段,1992年9月，COSO委员会提出了内部控制整体框架的报告（简称COSO报告，1994年进行了增补），指出： “内部控制是受企业董事会、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。” COSO内部控制框架所述内容如下

41、图：,COSO内部控制框架内容图表,COSO内部控制框架内容图表,COSO内部控制五要素,“五要素”,控制环境,风险评估,控制活动,(Information & communication),(Risk assessment),(Control Activities ),信息与沟通,监督,（Control Environment）,（Monitor）,内部控制要素,控制环境,包括7个方面内容： 操守及价值观； 胜任的能力； 董事会及监督委员会 管理哲学及经营风格； 组织结构； 权责划分合理授权； 人力资源的政策及实行；,返回,风险定义,国际内部审计协会(IIA) 2001年对风险定义为可能对目

42、标的实现产生影响的事件发生的不确定性，并指出风险的衡量标准是后果与可能性。 我国提出的“风险”定 义：不确定性对目标的影响（effect of uncertainty on objectives）。 风险既关注积极面，即机会；也关注消极面，即负面风险。,风险的分析，主要包括： 估计风险的严重程度； 评估风险发生的可能性（或频率）； 考虑应如何管理风险，即应采取怎样的行动（无视、充分注意、转移等）,内控5要素：风险评估,返回,控制活动两个要素：政策及程序。 政策在于规定应该做什么； 程序在于规定怎样做，使政策产生效果； 政策是程序的基础。 控制活动应与风险评估相结合：管理阶层在进行风险评估的同时

43、，应决定针对风险所应采取的行动，并付诸实行。,内控5要素：控制活动1,控制活动按控制目标进行划分，可分为： 高层经理人的复核； 直接功能管理或直接作业管理； 对资讯处理的控制； 实体的控制； 绩效指标的使用； 职责划分,内控5要素：控制活动2,返回,内控5要素：信息与沟通1,策略与信息系统的整合： 信息系统支持策略； 信息系统与营运相结合。 信息的质量要求： 适当性； 及时性； 正确性； 最新度； 获取的容易度,内控5要素：信息与沟通2,信息沟通包括内部沟通和外部沟通： 内部沟通包括向下沟通、向上沟通及管理阶层和董事会沟通； 外部沟通包括与股东、政府主管机关、财务咨询单位、财政、税务 、外部审

44、计人员以及其他外界个体的沟通。,返回,内控5要素：监督,监督是由适当的人在适当及时的情况下，评估控制的设计和运作，并采取必要的行动。 监督的方法有两种：持续监督和个别评估 持续监督应纳入单位正规、重复的营业活动之中，它是过程中的监督，对环境的改变做出动态的反应，能较快的辨别问题，比个别评估更有效； 个别评估是在事情发生后进行，不如持续监督及时，但即使有健全的持续监督，也需定期对内控进行一次个别评估。,其他内部控制框架,COSO内部控制框架不是唯一的内部控制框架, 其他类似框架中最著名的是加拿大注册会计师公会所属的控制基准委员会COCO，于1995年11月发行控制指导纲要。 COCO提出了种更精

45、简、更具动态，使用更多管理术语的内部控制基本架构。 COCO报告从四个方面：目的、承诺、能力、监督与学习，提出20项控制基准。,返回,内部控制 -整体框架,COSO委员会在内部控制 -整体框架的基础上，于2003年出台了最新报告企业风险管理框架。企业风险管理框架继承并包含了内部控制-整体框架的主体内容，同时扩展了三个要素，增加了一个目标，更新了一些观念，旨在为各国的企业风险管理提供一个统一术语与概念体系。,风险管理框架,2004年9月企业风险管理整合框架中认为“企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项

46、，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。” 该框架拓展了内部控制，更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。,风险管理过程,风险管理，主要包括目标确立、风险识别、风险评估和风险应对。 目标的确立有营运目标、财务报导目标和遵循性目标； 风险的识别分为企业整体层次的风险和作业交易层面的风险； 风险的评估主要是估计风险的严重程度/评估风险发生的可能性（或频率）； 风险应对主要考虑应如何管理风险，即应采取怎样的行动（无视、充分注意、转移等）,风险管理框架的要素及特点,风险管理框架包括了八大要素： 内部环境 目标设定 事项识别 风险评估 风险应对 控制活动 信

47、息与沟通 监控 企业风险管理并不是一个严格的顺次过程，一个构成要素并不是仅仅影响接下来的那个构成要素。它是一个多方向的、反复的过程，在这个过程中几乎每一个构成要素都能够、也的确会影响其他构成要素。,内部控制与风险管理的关系,内部控制与风险管理有着密切的联系，coso认为，内部控制是风险管理的一部分； 从coso的两份报告来看，企业风险管理与内部控制有以下相似或不同之处：,它们都是由“企业董事会、管理层以及其他人员共同实施的”，强调了全员参与的观点，指出各方在内部控制或风险管理中都有相应的角色与职责。 它们都明确是一个“过程”，不能当作某种静态的东西，如制度文件、技术模型等，也不是单独或额外的活

48、动，如检查评估等，最好是内置于企业日常管理过程中，作为一种常规运行的机制来建设。 它们都是为企业目标的实现提供合理的保证。风险管理增加了战略目标，即与企业的远景或使命相关的高层次目标。这意味着风险管理不仅仅是确保经营的效率与效果，而且介入了企业战略（包括经营目标）制定过程。,风险管理增加了目标设定、事件识别和风险对策三个要素。重合的要素中，内涵也有所扩展，风险管理的“内部环境” 还包括风险管理哲学、风险偏好（risk appetite）和风险文化三个新内容。在风险评估要素中，风险管理要求考虑内在风险与剩余风险，以期望值、最坏情形值或概率分布度量风险，考虑时间偏好以及风险之间的关联作用。在信息与

49、沟通方面，风险管理强调了过去、现在以及关于未来的相关数据的获取与分析处理，规定了信息的深度与及时性等。,风险管理提出了风险组合与整体风险管理（integrated risk management）的新观念。防止两种倾向：一是部门的风险处于风险偏好可承受能力之内，但总体效果可能超出企业的承受限度（相乘效果）；二是个别部门的风险暴露超过其限度，但总体风险水平还没超出企业的承受范围（抵消的效果）。统一考虑风险事件之间以及风险对策之间的交互影响，统筹制定风险管理方案。,内部控制各阶段的特征比较图表,COSO报告的特色,COSO内部控制模型强调了以下几点： 强调“软控制”的功能更加强调那些属于管理文化层

50、面的软性管理因素 如预算编制、员工守则； 突出强调信息系统的作用完备的信息处理系统是实现内部控制目标的重要保障 ； 明确对“内部控制的责任”组织中的每一个人都对内部控制环节负有责任； 强调内部控制的目标和分类目标的设定是内部控制的先决条件，也是促成内部控制的要件 ； 内部控制只能做到“合理保证”不论设计及执行有多么完整完善的内部控制，都只能为管理阶层及股东达成企业经营目标提供合理保证。 强调内部控制应与企业的经营管理过程相结合内部控制只是管理的一种工具，并不能取代管理 ；,COSO报告中企业公认的三方面目标,营运目标与企业有效率及有效果地使用资源有关的目标； 财务报告目标与编制可信的对外财务报

51、表有关的目标； 遵循法律规定目标与企业遵循相关法令有关的目标。,返回,现代企业经营管理的基本观念,销售观念扩大销售，控制市场 价格观念薄利多销 生产观念产品好是根本 财务观念资金的效率与收益率 利润观念以营利为目的，控制支出,返回,内部控制的局限性,国际审计准则6规定：内部控制只能为管理人员达到其目标提供合理的保证，因其有固有的限制，包括： 成本限制考虑成本效益原则； 对突发和非经常项目的发生无法控制； 人为错误如可能发生粗心、精力分散、判断失误或误解指示； 串通舞弊如有内外勾结规避控制的可能； 管理越权如有关键控制人员滥用职权的可能； 修订跟不上变化因控制程序总要随着情况的变化而不断更新和

52、完善。,应对内部控制局限性的考虑,人员素质的提高； 不相容职务的分离； 经济业务执行中的授权； 经济业务记录的适当性； 对接触资产的限制防止非授权接触资产； 经常进行会计记录和资产的核对。,返回,管理的基本职能1,计划职能是指确定目标，制定战略、政策和经营计划，拟定决策；即为确定目标和为达到预定目标而制定的行动方案和实施方法；,组织职能是指进行组织设计，即对各个部门之间的工作进行协调与统一的设计，即是指有意识形成的职能结构或岗位结构；,领导职能是指人与人之间围绕共同目标，在交往过程中，管理人员努力影响职员去完成既定的任务目标，其目的在于激发员工潜能，发挥统御功能；,管理的基本职能,控制职能控制

53、是指对一个物体、一个组织或一个系统的活动所进行的约束或指导；控制活动是用计划标准来衡量所取得的成果，并纠正所发生的偏差，以保证计划目标的实现。,激励职能是在既定生产水平下，能够通过激发职工内在的动力，大幅度地提高工作效率。,战略规划与控制系统,一个单位的整体管理方式是建立在战略规划与控制的整体系统这一基础上的，这个系统由战略规划、管理控制和作业控制所组成。如下图：,战略规划 与 控制系统,战略规划,管理控制,作业控制,在规划控制系统中，管 理控制处于中心地位， 这是由其全面性和政策 性决定的。其更具有行 为性，更接近管理本质。 解释见后,规划与控制系统,战略规划是一种长期性、策略性与政策性的规

54、划，以变更单位的特性及发展方向为目的；主要决定企业今后有关设备、资金、组织各种活动的基本框架。 管理控制是指管理人员依照策略规划所设立的框架，正确有效地获取及利用各种资源，以达到单位目的的一种程序；其作用在于促使管理人员能够自动采取符合企业最佳利益的行动，使其个人目的与企业目的一致。,管理控制与战略规划的区别,作业控制及其与管理控制的区别,作业控制指企业为保证某项具体任务得以正确有效进行所规定的管理程序，其对象是具体的单纯的任务，可以程序化，但不能违反管理控制所设定的程序和原则。 管理控制与作业控制的区别： .管理控制的有效性取决于管理人员的管理判断，作业控制的有效性则取决于所含规则的自动应用

55、，随自动化程度的提高而提高； .管理控制建立在以货币计量的财务结构上，作业控制则不然； .管理控制包括整个企业活动，作业控制只限于某一级管理层狭窄的活动范围。,对决策层次的控制内容,决策包括企业战略发展方向、生产经营规模、公司管理体制以及生产经营规划、计划、预算等。,检查决策是否遵循既定的决策程序；,对决策错误及产生的不良后果，提出建议；,审计下属企业是否存在违规决策事项及授权范围内的经营决策对经济效益产生的影响。,对管理层的控制内容,管理层是把企业战略决策和制度、计划变为现实的纽带和桥梁。,检查公司规章制度是否有效执行；,资源配置和经营决策是否体现经济性、效率性和效果性；,影响经济效益结果的

56、经营风险、财务风险和管理风险是否存在和有效防范。,对作业层次的控制内容,作业层次体现了广大劳动者创造经济效益的重要贡献。作业层次的活动会直接影响增加收入、降低成本等经济效益的结果。,发现作业层次存在的资源浪费、效率低下和内部控制的薄弱漏洞问题，促进完善企业的作业流程，降低作业的资源消耗， 提高作业的质量和效率。,内部控制各阶段的特征比较图表,返回,内部控制的特征,全面性是对单位一切业务活动的全面考核控制，非局部性控制； 经常性不是阶段性或突击性的工作，涉及日常作业与各种管理职能的经常性检查考核； 潜在性内控行为表现不明显，但隐藏与融汇在一切工作中； 关联性在单位内部各项控制工作中，彼此之间相互

57、关联，一种控制行为成功与否，会影响到另一控制行为。,返回,内部控制与内部审计,内控的目的在于促进组织的有效运营；内审的目的在于协调管理阶层，调查、评估内控、适时提出改进意见，使其得以持续实施。 内部审计承担对内部控制的评核任务和责任，内部审计为组织内的一种超然评估活动，通过查核组织的业务而达到服务管理者的目的，它是内部控制制度的一个环节，是内部控制的重要组成部分，凭借衡量、评估内控措施而发挥其功能。,返回,内部控制测试与评价,内部控制评价步骤 内部控制评价方法 内部控制自我评价,内部控制评价步骤,制度基础的审计步骤包括：内部控制调查、健全性测试、符合性测试、综合评价、实质性测试等；而内部控制评

58、价只是制度基础审计程序中的一部分，主要包括：健全性测试、符合性测试、综合评价及结果报告等。其程序详见下图,调查了解内部控制,评价内部控制的健全性,符合性测试,综合评价内部控制,确定审计范围、重点和方法,实质性测试,审计报告,健全,不健全,有效,无效,健全性测试,主要是指对内控制度的调查与描述，评价其应有控制环节是否业已规定齐全，有无欠妥之处，主要方法如下： 确定理想的控制模式； 描述现行的内控制度； 现行制度与理想模式比较,符合性测试,符合性测试旨在检查现行制度是否充分有效或取得预定结果。一般测试程序如下： 业务测试是指检查人员按照业务对每个类型编号，对单位重要经济业务所做的检查，借以判明内控

59、系统中不应缺少的几个控制在业务处理过程中是否确实存在； 功能测试是指对内控功能进行抽样检查，即对关键控制点作用发挥的情况进行检查，目的是为了查明关键控制是否存在，是否有效发挥作用而有利于目标实现，其有效程度是否令人满意，该控制点有无漏过不正确的业务。,综合评价,评价重点： 单位组织机构是否健全，职责分工是否明确； 反映制度的各种文件是否规范； 各种管理制度、会计制度及审计制度是否完整； 业务处理与记录是否完善、正确； 授权、批准、执行、记录、核对、报告等手续是否完备； 人员的选聘、使用、培训、考核、晋升及轮岗 是否合理、科学； 是否有严格的岗位责任制及奖惩制度； 关键的控制是否都建立有必要的控

60、制措施； 内控制度及有关措施是否经济有效。,结果报告,管理者提交的内控评价报告的主要内容包括： 达成内控的目标与目的的效果与效率； 改进缺失的计划。 审计中关于内控的报告基本内容包括： 主要的建议或必要补救措施以能改进完善内控； 作为决定审计需要进行抽样的基础（决定审计范围的基础）。,返回,内部控制评价方法,制度调查法制度调查技术包括：审阅（查阅）法、询问法、观察法和调查表法； 制度描述法文字说明法、制表法、流程图； 制度初评方法流程图法； 符合性测试方法，包括两类： 测试程度的确定方法：统计抽样法与经验估计法 具体测试技术：检查证据法、重新处理法与实地观察法 综合评价方法包括可信赖程度评价与

61、薄弱环节评价。,返回,内部控制自我评价,实施内部控制自我评价的原因 实施内部控制自我评价的意义 内部控制自我评价结构 内部控制自我评价应注意的问题,实施控制自我评价的原因,有利于内审部门证明其向组织提供的价值； 有利于获取事实真相； 可以有效评价柔性控制与非正式控制； 有助于将控制责任转化给每一个职员； 有助于适应变化的控制环境。,返回,实施控制自我评价的意义,对于内审组织的意义： 改进内审的程序； 强化内审的作用； 提高内审人员学习新技术的积极性； 缩小审计范围，减少审计工作量； 缩短审计时间，节约资源。 对于业务经营活动的意义： 揭示问题产生的原因； 重新确立过程控制管理的责任； 对于管理方法的意义； 对于风险评价的意义； 对于研讨会参加者的意义。,返回,内部控制自我评价结构,管理者的支持与承诺； 建立工作小组； 召开研讨会； 搜集和分析数据； 报告结果； 建立行动计划,返回,内部控制自我评价应注意的问题,必须选择有效的协调人； 必须建立一个毫无偏见的研讨会环境； 期望更多的优质信息。,The End,谢谢诸位！,