第七章企业风险评估与内部控制

1、第七章第七章 企业风险评企业风险评估与内部控制估与内部控制第一节第一节 企业风险评估企业风险评估 1，风险评估及其总体要求 2，风险评估的程序 3，被审计单位及其环境信息的了解风险评估及其总体要求风险评估及其总体要求 1，风险评估的含义 2，风险评估的总体要求 审计准则规定CPA应当了解被审计单位及其环境，以充分识别和评估财务报表重大错报风险，设计和实施进一步审计程序。风险评估的程序风险评估的程序1，风险评估的基本程序（1）询问被审计单位管理层和内部其他相关人员（2）实施分析程序（3）观察和检查2，风险评估的其他审计程序被审计单位及其环境信息的了解被审计单位及其环境信息的了解外部因素：外部因素

2、：1，行业状况、法律环境与监管环境以及，行业状况、法律环境与监管环境以及其他外部因素其他外部因素 2，被审计单位财务业绩的衡量和评价，被审计单位财务业绩的衡量和评价被审计单位及其环境信息的了被审计单位及其环境信息的了解解内部因素：内部因素：1，被审计单位性质，被审计单位性质2，被审计单位对会计政策的选择和运用，被审计单位对会计政策的选择和运用3，被审计单位的目标、战略以及相关经，被审计单位的目标、战略以及相关经营风险营风险 4，被审计单位的内部控制，被审计单位的内部控制第二节第二节 内部控制及其评价内部控制及其评价一、内部控制案例分析一、内部控制案例分析二、内部控制的概念二、内部控制的概念三、

3、内部控制的构成要素（内容）三、内部控制的构成要素（内容）四、了解内部控制及控制测试四、了解内部控制及控制测试河南交通厅厅长河南交通厅厅长“前腐后继前腐后继”已连续四任已连续四任“落马落马”“工程上马，干部落马工程上马，干部落马”洛阳到三门峡高速公路在建设过程中曾发生洛阳到三门峡高速公路在建设过程中曾发生严重质量事故，导致公路被炸毁重建严重质量事故，导致公路被炸毁重建;郑州到郑州到许昌、新乡到安阳等高速公路也先后发生严重许昌、新乡到安阳等高速公路也先后发生严重的公路建设质量事故，造成大量追加投资翻修的公路建设质量事故，造成大量追加投资翻修重建。重建。 案例1北京某买场收银员北京某买场收银员“监守

4、自盗监守自盗” 肖某在超市采购物品有1000多元，到收银台结算仅付了1.6元。（小票金额显示为1.6元） 保安发现异常。案例2问题：内部控制是什么？问题：内部控制是什么？ 是被审计单位为了是被审计单位为了【合理保证财务报告合理保证财务报告的可靠性及经营的效率和效果以及对法的可靠性及经营的效率和效果以及对法律法规的遵守律法规的遵守】（目标），由（目标），由【治理层、治理层、管理层和其他人员管理层和其他人员】（责任主体）（责任主体） 【设设计和执行计和执行】（手段）的政策及程序。（手段）的政策及程序。二、内部控制的概念二、内部控制的概念组织内部为实组织内部为实现经营目标现经营目标保护资产完整，保护

5、资产完整，保证对国家法律保证对国家法律法规的遵循法规的遵循提高组织运营的效提高组织运营的效率及效果率及效果采取的所有各种政采取的所有各种政策和程序策和程序对企业内部控制的理解：对企业内部控制的理解：1.内控是一个过程，而不是目的内控是一个过程，而不是目的2.这一过程贯穿企业管理的各个层面这一过程贯穿企业管理的各个层面3.力求实现一个或多个不同类型但相力求实现一个或多个不同类型但相互交叉的目标互交叉的目标4.这一过程为目标的实现提供合理保这一过程为目标的实现提供合理保证。即通过过程把握尽量保证结果证。即通过过程把握尽量保证结果正确正确思考：思考： 要分析一个企业的内部控制，要考虑哪要分析一个企业

6、的内部控制，要考虑哪些方面呢些方面呢? 内部控制的框架是什么内部控制的框架是什么,即内控的构成要即内控的构成要素？素？三、内部控制的构成要素三、内部控制的构成要素（内容）（内容）理论依据（研究成果）：理论依据（研究成果）：美国美国内部控制内部控制整体框架整体框架五要素五要素企业风险管理企业风险管理整合框架整合框架八要素八要素结合我国企业管理实践结合我国企业管理实践2010年年4月月26日，财政部会同日，财政部会同证证监会监会、审计署审计署、国资委国资委、银监会银监会、保监会保监会等部门在北京召开联合发布等部门在北京召开联合发布会，隆重发布了会，隆重发布了企业内部控制配企业内部控制配套指引套指引

7、。该配套指引连同。该配套指引连同2008年年6月发布的月发布的企业内部控制基本规企业内部控制基本规范范，共同构建了中国企业内部控，共同构建了中国企业内部控制规范体系。制规范体系。我国内控的构成要素：财政部、审计署、证监会、银监会和保监会联财政部、审计署、证监会、银监会和保监会联合公布的基本规范中包括合公布的基本规范中包括5 5大目标、大目标、5 5大原则和大原则和5 5大要素。大要素。内部控制包括下列内部控制包括下列5 5要素：要素：1.1.控制环境控制环境2.2.风险评估过程风险评估过程3.3.信息系统与沟通信息系统与沟通4.4.控制活动控制活动5.5.对控制的监督对控制的监督 企业内部控制

8、涵盖企业经营管理的各个层级、各个方面企业内部控制涵盖企业经营管理的各个层级、各个方面和各项业务环节。和各项业务环节。要素的分析：要素的分析：第一要素：控制环境第一要素：控制环境 指构成一个组织的内部控制氛围。影指构成一个组织的内部控制氛围。影响控制环境的因素有两大因素：响控制环境的因素有两大因素：一个是一个是“人人”的因素的因素一个是一个是程序和组织问题程序和组织问题控制环境主要控制环境主要包括的内容包括的内容 经济性质和经营类型经济性质和经营类型管理层的经营理念管理层的经营理念管理层倡导的组织文化管理层倡导的组织文化法人治理结构法人治理结构 各项职责的分工及相应人员的各项职责的分工及相应人员

9、的胜任能力胜任能力 其人力资源政策及其执行其人力资源政策及其执行领导者与执行者的态度与素质领导者的态度与素质领导者的态度与素质态态度度素质素质理念理念意识意识积极积极管理哲学管理哲学经营风格经营风格可有可无可有可无带头犯错带头犯错破坏制度破坏制度为人为人胜任能力胜任能力执行者的态度与素质执行者的态度与素质职业道德和操守职业道德和操守参与程度参与程度胜任能力胜任能力程序和组织问题程序和组织问题内部监督机构内部监督机构人力资源政策与实务人力资源政策与实务组织机构设置组织机构设置职责权限划分职责权限划分【2005年试题年试题】控制环境是内部控制的要素之一其内容包括： A管理当局的观念和经营风格 B组

10、织结构的设置 C员工的素质 D人事政策 E审计风险的评估第二要素：风险评估1.1.含义：风险评估过程包括管理层含义：风险评估过程包括管理层识别与财务报告相关的经营风险，识别与财务报告相关的经营风险，及针对这些风险所采取的措施。及针对这些风险所采取的措施。2.2.作用作用: : 识别、评估和管理影响企识别、评估和管理影响企业实现经营目标能力的各种风险。业实现经营目标能力的各种风险。提问：提问：某厂商要将其生产的产品某厂商要将其生产的产品运送到运送到销售商手中，运送销售商手中，运送过程中存在如下风险：车过程中存在如下风险：车辆损坏、损失产品和人身辆损坏、损失产品和人身伤害，有哪些风险应对策伤害，有

11、哪些风险应对策略？略？回答：回答：风险控制策略有：风险控制策略有：1.风险规避：选择外包运送业务风险规避：选择外包运送业务2.风险降低：有效的司机招聘、培风险降低：有效的司机招聘、培 训和管理训和管理3.风险分担：投保风险分担：投保4.风险承受：自营运送，不采用严格风险承受：自营运送，不采用严格的风险控制措施的风险控制措施 风险管理主要措施包风险管理主要措施包括的内容括的内容识别影响企业目标识别影响企业目标实现的各类风险实现的各类风险建立风险管理机制，建立风险管理机制，分析各类风险分析各类风险结论：结论：第三要素：信息系统与沟通第三要素：信息系统与沟通 是收集与交换各种信息的过程,包括收集和提

12、供信息给适当人员,使之能够履行职责. 其质量直接影响到管理层对经营活动作出正确决策; 其质量直接影响到管理层编制可靠的财务报告的能力.1与财务报告相关的信息系统与财务报告相关的信息系统识别与记录所有的有效交易识别与记录所有的有效交易及时详细地描述交易及时详细地描述交易,以便在财务报告中对交易作出恰当分类以便在财务报告中对交易作出恰当分类恰当计量交易恰当计量交易,以便在财务报告中对交易的金额作出准确记录以便在财务报告中对交易的金额作出准确记录恰当确定交易生成的会计期间恰当确定交易生成的会计期间在财务报表中恰当列报在财务报表中恰当列报(程序和记录程序和记录)发生、完整性发生、完整性分类分类计价和计

13、价和分摊分摊截止截止与列报相关的认定与列报相关的认定2 .与财务报告相关的沟通与财务报告相关的沟通 让员工了解各自的角色和职责,加强员工之间的工作联系,尤其在与财务报告有关的内部控制方面.【政策手册、会计和财务报告手册、政策手册、会计和财务报告手册、备忘录、电子邮件、口头沟通、行动备忘录、电子邮件、口头沟通、行动】 控制活动是指有助于确保管理层的指令得以执行的政策和程序。控制活动主要控制活动主要包括的内容包括的内容所有经营活动应有适当的授权所有经营活动应有适当的授权 不相容职务应当分离不相容职务应当分离有效控制凭证和记录的真实性有效控制凭证和记录的真实性资产和记录的接近限制资产和记录的接近限制

14、 独立的业务审核独立的业务审核提问：提问： 企业控制活动过程中有哪些职责要分离？企业控制活动过程中有哪些职责要分离？ 职责职责 分离分离业务的批准与执行相分离业务的批准与执行相分离 业务的执行与记录相分离业务的执行与记录相分离各种会计责任之间相分离各种会计责任之间相分离资产的保管与会计相分离资产的保管与会计相分离 资产的保管与账实核对相分离资产的保管与账实核对相分离负责账实核对的人员应由保管资负责账实核对的人员应由保管资产以外的人员来担任产以外的人员来担任EDPEDP部门内部的职责分离部门内部的职责分离提问？提问？下列事项存在控制活动问题的有：下列事项存在控制活动问题的有：A、仓库管理员私自销

15、售彩电、仓库管理员私自销售彩电B、出纳负责编制银行存款余额调节表、出纳负责编制银行存款余额调节表C、出纳负责现金和银行存款日记账登记、出纳负责现金和银行存款日记账登记D、记账凭证复核处无人员签章、记账凭证复核处无人员签章第五要素：对控制的监督第五要素：对控制的监督监督主要包括的内容监督主要包括的内容内部审计机构实内部审计机构实施的独立的监督施的独立的监督管理层对内部控管理层对内部控制的自我评估制的自我评估 对控制的监督的具体内容？对控制的监督的具体内容？ 该过程包括及时评价控制的设计和运该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正行，以及根据情况的变化采取必要的纠正措施

16、。措施。(1)(1)持续的专业监督活动持续的专业监督活动 ；(2)(2)内部审计等人员的专门评价活动。内部审计等人员的专门评价活动。四、了解内部控制及控制测试四、了解内部控制及控制测试1、了解内部控制的方法（具体程序）、了解内部控制的方法（具体程序）2、控制测试、控制测试问题：问题：1、内部控制的、内部控制的主体是主体是？2、了解内部控制及控制测试的、了解内部控制及控制测试的主体是主体是？1、了解内部控制的方法（具体程序）了解内部控制的方法（具体程序） 询问有关人员。如对控制环境、采购程询问有关人员。如对控制环境、采购程序序 检查及内部控制生成的文件。检查及内部控制生成的文件。 如会计如会计系

17、统系统 观察被审计单位的业务活动和内部控制观察被审计单位的业务活动和内部控制的运行情况。如是否有闲置的设备的运行情况。如是否有闲置的设备 选择若干具有代表性的交易和事项进行选择若干具有代表性的交易和事项进行穿行测试（穿行测试（walking through test)walking through test)穿行测试：指在每类交易循环中选择一笔或若干笔业务进行穿行测试：指在每类交易循环中选择一笔或若干笔业务进行测试以验证工作底稿上描述的内部控制的客观性和真实性。测试以验证工作底稿上描述的内部控制的客观性和真实性。2、控制测试、控制测试v控制测试的含义控制测试的含义 是测试控制运行的有效性 获取

18、证据的方面： 在不同时点如何运行 是否一贯执行 由谁执行 以何种方式运行控制测试审计程序的类型包括：控制测试审计程序的类型包括：（1）询问；）询问；（2）观察；）观察；（3）检查；）检查；（4）穿行测试；）穿行测试；（5）重新执行。）重新执行。注意：重新执行是指注册会计师重新独立执行注意：重新执行是指注册会计师重新独立执行被审单位内部控制组成部分的程序或控制。被审单位内部控制组成部分的程序或控制。练习：练习：【2007年试题年试题】 审计人员在调查被审计单位内部控制时，可以审计人员在调查被审计单位内部控制时，可以采用的方法有：采用的方法有：A.运用分析性复核方法检查有关数据和资料的总运用分析性

19、复核方法检查有关数据和资料的总体合理性体合理性B. 询问管理人员和其他有关人员询问管理人员和其他有关人员C. 检查内部控制过程中生成的文件和记录检查内部控制过程中生成的文件和记录D. 向有关第三方进行函证向有关第三方进行函证E. 观察业务活动和内部控制的实际运行情况观察业务活动和内部控制的实际运行情况第三节第三节 重大错报风险评估重大错报风险评估一、重大错报风险的识别和评估过程二、需要特别考虑的重大错报风险三、仅通过实质性程序无法应对的重大错报风险一、重大错报风险的识别和评一、重大错报风险的识别和评估过程估过程 执行风险评估程序评估财务报表层次和认定层次重大错报风险1、在了解被审计单位及其环境

20、的整个过程中识别风险，并考虑各类交易、账户余额、列报和披露。2、将识别的风险与认定层次可能发生错报的领域相联系。3、考虑识别的风险是否重大。4、考虑识别的风险导致财务报表发生重大错报的可能性。 审计人员应当运用各项风险评估程序，在了解被审计单位及其环境的整个过程中识别风险，并将识别的风险与各类交易、账户余额和列报联系起来。 例如，被审计单位因相关环境法规的实施需要更新设备，将导致对原有设备提取减值准备；宏观经济的低迷可能预示应收账款的回收存在问题：竞争者开发的新产品上市，可能导致被审计单位的主要产品在短期内过时，预示将出现存货跌价和长期资产(如同定资产等)的减值。 CPA需要考虑识别的风险的性

21、质需要考虑识别的风险的性质 审计人员应当将识别的风险与认定层次可能发生错报的领域联系起来。例如。销售困难使产品的市场价格下降，可能导致年末存货成本高于其可变现净值而需要计提存货跌价准备，这表明存货的计价认定可能发生错报。 CPA需要考虑识别的风险的性质需要考虑识别的风险的性质 风险是否重大是指风险造成后果的严重程度。 例如，在由于销售困难使产品的市场价格下降的情况下，除考虑产品市场价格下降因素外，审计人员还应当考虑产品的市场价格下降的幅度、该产品在被审计单位产品中的比重等，以确定识别的风险对财务报表的影响是否重大。 假如产品市场价格大幅下降，导致产品销售收入不能抵偿成本，毛利率为负。那么年末存

22、货跌价问题严重，存货计价认定发生错报的风险重大；假如价格下降的产品在被审计单位销售收入中所占比例很小，被审计单位其他产品销售毛利率很高，尽管该产品的毛利率为负，但可能不会使年末存货发生重大跌价问题。怎样判断风险是否重大？怎样判断风险是否重大？ 例如，考虑存货的账面余额是否重大，是否已适当计提了存货跌价准备等。在某些情况下，尽管识别的风险重大，但仍不至于导致财务报表发生重大错报风险。如期末财务报表中存货的余额较低，尽管识别的风险重大，但不至于导致存货的计价认定发生重大错报风险。 又如，被审计单位对存货跌价准备的计提实施了比较有效的内部控制，管理层已根据存货的可变现净值计提了相应的跌价准备。在这种

23、情况下，财务报表发生重大错报的可能性将相应降低。CPA还需要考虑识别的风险是否会导致报表发生重大错报还需要考虑识别的风险是否会导致报表发生重大错报二、需要特别考虑的重大错报风险二、需要特别考虑的重大错报风险 作为风险评估的一部分，审计人员应当运用职业判断，确定识别的风险哪些是需要特别考虑的重大错报风险(简称特别风险)。特别风险的判定特别风险的判定 在确定哪些风险是特别风险时，审计人员应当在考虑识别出效果前，根据风险的性质、潜在错报的重要程度(该风险是否可能导致多项错报)和发生的可能性。判断风险是否属于特别风险时，审计人员判断风险是否属于特别风险时，审计人员应当考虑下列事项：应当考虑下列事项：(

24、1) 风险是否属于舞弊风险；(2) 风险是否与近期经济环境、会计处理方法和其他方面的重大变化有关；(3) 交易的复杂程度；(4) 风险是否涉及重大的关联方交易； (5) 财务信息计量的主观程度，特别是对不确定事项的计量存在较大区间；(6) 风险是否涉及异常或超出正常经营过程的重大交易。 特别风险通常与重大的非常规交易和判断事项有关，而日常的、简单的、常规处理的交易不大可能产生特别风险。非常规交易是指由于金额或性质异常而不经常发生的交易。判断事项通常是指作出的会计估计。如资产减值准备金额的估计、需要运用复杂估值技术确定的公允价值计量等。 与重大非常规交易相关的特别风险可能导致更高的重大错报风险，

25、这是因为在非常规交易中，管理层会更多地介入会计处理，数据收集和处理将涉及更多的人工成分，业务处理将涉及复杂的计算或会计处理方法，而且非常规交易的性质可能使被审计单位难以对由此产生的特别风险实施有效控制。 重大判断事项： 一方面，对涉及会计估计、收入确认等方面的会计原则存在不同的理解； 另一方面，所要求的判断可能是主观和复杂的，或需要对未来事项作出假设，所以，与重大判断事项相关的特别风险也可能导致更高的重大错报风险。 特别风险的处理特别风险的处理 审计人员应当了解和评价被审计单位针对特别风险的控制的设计情况，并确定其是否已经得到执行。 如果管理层没有实施控制以恰当应对特别风险，审计人员应当认为内

26、部控制存在重大缺陷，并考虑其对风险评估的影响。在此情况下，审计人员应当考虑就此类事项与治理层沟通。三、仅通过实质性程序无法应对的重大错报风险三、仅通过实质性程序无法应对的重大错报风险 审计人员应当评价被审计单位针对这些风险设计的控制，并确定其执行情况。 在被审计单位对日常交易采用高度自动化处理的情况下，审计证据可能仅以电子形式存在，其充分性和适当性通常取决于自动化信息系统相关控制的有效性，审计人员应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。 某企业通过高度自动化的系统确定采购品种和数量，生成采购订单，并通过系统中设定的收货确认和付款条件进行付款。除了系统中的相关信息以外，该

27、企业没有其他有关订单和收货的记录。在这种情况下，如果认为仅通过实质性程序不能获取充分、适当的审计证据，审计人员应当考虑依赖的相关控制的有效性，并对其进行了解、评估和测试。 案例：案例：识别的重大错报风险汇总表识别的重大错报风险汇总表识别的识别的重大错重大错报风险报风险对财务报表对财务报表的影响的影响相关的交易相关的交易类别、账户类别、账户余额和列报余额和列报认定认定是否与财务是否与财务报表整体广报表整体广泛相关泛相关是否属于是否属于特别风险特别风险是否属于仅通是否属于仅通过实质性程序过实质性程序无法应对的重无法应对的重大错报风险大错报风险记录识记录识别的重别的重大错报大错报风险风险描述对财务描

28、述对财务报表的影响报表的影响和导致财务和导致财务报表发生重报表发生重大错报的可大错报的可能性能性列示相关的列示相关的各类交易、各类交易、账户余额、账户余额、列报及其认列报及其认定定考虑是否属考虑是否属于财务报表于财务报表层次的重大层次的重大错报风险错报风险考虑是否考虑是否属于特别属于特别风险风险考虑是否属于考虑是否属于仅通过实质性仅通过实质性程序无法应对程序无法应对的重大错报风的重大错报风险险第四节第四节 审计风险应对措施与程审计风险应对措施与程序序一、总体应对措施二、进一步审计程序一、总体应对措施一、总体应对措施 针对财务报表层次重大错报风险 内容：1、职业怀疑态度；2、专业与特长3、指导与

29、监督4、程序的非预见性5、程序的弹性 二、进一步审计程序二、进一步审计程序 针对认定层次重大错报风险 内容：1、控制测试2、实质性程序-细节测试和实质性分析程序（P156）案例案例 X公司系公开发行上市公司公司系公开发行上市公司,主要经营计算主要经营计算机硬件的开发机硬件的开发.集成与销售集成与销售,cpa于于2003年年初对初对X公司公司2002年度会计报表进行审计，年度会计报表进行审计，初步了解该公司初步了解该公司2002年度的经营形势年度的经营形势.管管理及经营机构与理及经营机构与2001年度比较未发生重大年度比较未发生重大变化，且未发生重大重组行为。其他相关资变化，且未发生重大重组行为。其他相关资料如下：料如下： 如资料：如资料：x公司公司0102年度巳审未审利润年度巳审未审利润表如下表如下 项项 目目02年未审年未审01年已审年已审一、主营业务收入一、主营业务收入10430058900减：主营业务成本减：主营业务成本9184553599 主营业务税金及附加主营业务税金及附加560350二、主营业务利润二、主营业务利润118954951加：其他业务利润加：其他业务利润4056减：营业费用减：营业费用28001610 管理费用管理费用23803260 财务费用财务费用180150三、营