内部控制审计与风险预测

1、内部控制审计ZHMX经济学院研究生课程班 1内部控制审计审计重要性和审计风险内部控制制度审计遵循性审计风险管理审计2内部审计具体准则第17号重要性与审计风险审计重要性审计风险3一、审计重要性4（一）独立审计中的“重要性”独立审计准则第10号审计的重要性：“重要性是指被审计单位会计报表中错报或漏报的严重程度，这一程度在特定环境下可能影响会计报表使用者的判断或决策。”5（一）独立审计中的“重要性”注意：指会计报表审计中的重要性重要性概念是就会计报表使用者决策角度而言的会计报表使用者：具有一定的理解能力并能力地进行决策和判断指的是“重要性水平” 审计人员可以容忍的报表的最大错报金额（可容忍误差）对重

2、要性的评估需要专业判断特定环境：不同企业、同一企业的不同时期重要性不同运用重要性原则的目的：恰当地抽样决策，提高审计效率保证审计质量，降低审计风险6（一）独立审计中的“重要性”“重要性”的特征：（1）数量：金额大的错报和漏报比金额小的错报和漏报更重要。（2）质量：金额不一定大，但性质重要的情形：涉及舞弊与违法行为的错报或漏报蓄意，可信度有问题可能引起合同履行义务的错报或漏报贷款合同义务影响收益趋势的错报或漏报不期望出现的错报或漏报（现金、实收资本账户）小金额错报或漏报的累计。7（一）独立审计中的“重要性”“重要性”的层次：会计报表层次的重要性账户和交易层次的重要性8（一）独立审计中的“重要性”

3、会计报表层次重要性水平的确定：（1）合理选用判断基础；（2）计算方法：固定比率法：重要性水平=判断基础固定百分比%资产总额：0.5%1%净资产：1%营业收入：0.5%1%净利润：5%（大）10%（小）变动比率法：企业规模越大，重要性水平的绝对值大，%越低。可从资产总额或营业收入中较大者选取。（3）选取：各报表重要性水平较低者。9（一）独立审计中的“重要性”账户或交易层次的重要性水平的确定：即：实质性测试的可容忍误差确定方法：（1）分配的方法；（2）不分配的方法。分配的方法项目金额（万元）按比例1% 计算，并分配调整后金额现金1 400148应收账款 4 2004252存货8 40084100固

4、定资产14 000140120资产总计28 00028028010不同审计阶段对重要性的考虑审计计划阶段审计完成阶段初步确定审计重要性水平确定所需要的审计证据数量确定审计程序的性质、时间和范围评价审计结果所用的重要性水平对比评价水平计划水平扩大审计程序，收集更多证据汇总尚未调整的错报或漏报汇总数重要性水平扩大实质性测试的范围，或提请被审计单位调整报表审计实施阶段11（二）内部审计中的“重要性”内部审计具体准则第17号重要性与审计风险重要性，是指被审计单位经营活动及内部控制中存在偏离特定目标的差异或缺陷的严重程度，这一程度的差异或缺陷在特定环境下可能会影响管理层的判断或决策以及组织目标的实现。

5、12（二）内部审计中的“重要性”内部审计具体准则第17号重要性与审计风险第五条：“内部审计人员在编制项目审计计划、实施审计程序及评价审计结果时，应当合理考虑并运用重要性标准。”重要性的考虑贯穿整个审计过程；“重要性标准”：内部审计人员可以容忍的最大差异或缺陷的限度，也是经营活动和内部控制中存在的差异或缺陷严重与否的判断标准。13（二）内部审计中的“重要性”“重要性标准”的特征：（1）数量：产量未实现预算目标的差距；某项内部控制制度未遵循执行的次数；会计报表中金额大的错报和漏报。（2）性质：舞弊与违法行为，致使经营活动出现差异；管理人员超越内部控制，致使内部控制失效；内部人员传统舞弊，致使内部控

6、制失效。不期望出现的错报或漏报（现金、实收资本账户）14不同内审阶段对重要性的考虑审计计划阶段审计完成阶段初步确定审计重要性标准确定所需要的审计证据数量确定审计程序的性质、时间和范围评价审计结果所用的重要性标准如果修改审计计划重新考虑部分或全部经营活动或内部控制的重要性标准和审计风险汇集已发现的差异或缺陷审计实施阶段确定其性质和金额 是否重要审计报告：对被审计单位经营活动及内部控制制度的适当性、合法性和有效性作出评价。15“重要性”的初步判断编制审计计划阶段进行。初步判断的目的是确定所需的审计证据的数量。初步判断时应该考虑的因素：（1）相关管理层的需要；（2）被审计单位经营活动受法律、法规的影

7、响程度；（3）被审计单位在组织中的重要程度；（4）被审计单位的经营规模、经营风险及各项业务的性质； （5）内部审计人员对被审计单位内部控制适当性、合法性及有效性的预估。16“重要性”的初步判断重要性标准的判断基础：经营活动的业务量业务的复杂性内部控制的执行频率资产总额收入总额计算方法：固定比率法变动比率法17二、审计风险18（一）独立审计风险独立审计准则第17号重要性与审计风险会计报表存在重大错报或漏报，而审计人员审计后发表不恰当审计意见的可能性。19（一）独立审计风险审计风险的原因：CPA的法律责任审计对象的日益复杂和审计内容的日益广泛对审计依赖程度的提高和审计意见影响的扩大审计方法本身的原

8、因审计人员的经验和能力审计人员对风险的重视20（一）独立审计风险独立审计风险模型：审计风险=固有风险控制风险检查风险 AR = IR CR DR21独立审计风险三要素之间的关系可接受的检查风险DR=AR/（IR CR ）CPA可接受的检查风险（DR）CPA对控制风险的评估高中低CPA对固有风险的评估高最低较低中等中较低中等较高低中等较高最高22（二）内部审计风险内部审计具体准则第17号重要性与审计风险审计风险，是指内部审计人员未能发现被审计单位经营活动及内部控制中存在的重大差异或缺陷而做出不恰当审计结论的可能性。如果：要求审计结论的可靠程度为90%，则发表不恰当审计结论的可能性控制在不超过10

9、%，即审计风险水平为10%。23（二）内部审计风险内部审计风险模型：审计风险=重大差异或缺陷风险检查风险 AR = VR DR24重大差异或缺陷风险的评估计划阶段进行。内部审计人员应在评估审计风险的基础上制定项目审计计划和审计方案。内部审计人员应当合理运用专业判断，考虑下列事项：（1）管理层的品德和能力；（2）管理层遭受的异常压力；（3）重要岗位人员的变动情况；（4）经营活动的复杂性；（5）影响被审计单位的环境因素；（6）容易受损失或被挪用的资产；（7）经营活动中运用估计和判断的程度；（8）内部控制设计及执行情况的预估；（9）其他。25重大差异或缺陷风险的评估重大差异或缺陷风险的评估程序：（1

10、）询问被审计单位相关人员及组织相关管理层；（2）查阅被审计单位的经营业务手册、内部控制手册等资料；（3）查阅被审计单位年度经营计划、财务预算等文件；（4）检查交易或事项的凭证和记录；（5）观察被审计单位经营活动及内部控制的执行情况；（6）选择若干交易进行测试。26AR与VR之间的关系重大差异或缺陷风险与检查风险的关系：可接受的检查风险DR=AR/VR重大差异或缺陷风险（高）审计风险（一定）可接受的检查风险（低）对审计结果的可靠性要求（高）审计测试（更详细）审计证据（更多）27与检查风险有关的因素（1）抽样审计方法的应用；没有抽到的部分可能存在重大差异或缺陷措施：扩大抽样范围；采用统计抽样方法（

11、2）内部审计人员的专业胜任能力及职业道德水准；专业胜任能力：审计测试和专业判断出差错的可能性职业道德：应有的职业谨慎（3）内部审计人员所用审计方法的适当性及有效性；（4）其他。28三、重要性与审计风险的关系29重要性与审计风险之间的关系反向关系重要性标准高5000元低3000元审计风险（低）审计风险（高）扩大审计范围追加审计程序30005000元之间的错报或漏报也要查了更多的审计证据30内部审计具体准则第5号内部控制审计 内部控制审计31何谓内部控制？ （internal control）内部审计具体准则第5号内部控制审计 : “内部控制，是指组织内部为实现经营目标，保护资产安全完整，保证遵循

12、国家法律法规，提高组织运营的效率及效果，而采取的各种政策和程序。 ” 32内部控制的目的内部控制是一系列政策与程序实现经营目标保证遵循国家法律法规保护资产安全完整提高组织运营的效率及效果33内部控制的分类内部控制控制的作用范围控制的目的控制的时间总体控制局部控制财产物资控制会计信息控制经营决策控制事前控制事后控制事中控制34内部控制要素风险管理信息与沟通监督控制活动控制环境内部控制要素35内部控制要素控制要素控制要素（1）经济性质和经营类型； （2）管理层的经营理念； （3）管理层倡导的组织文化； （4）法人治理结构； （5）各项职责的分工及相应人员的胜任能力； （6）人力资源政策及其执行。

13、一种氛围，无法直接观察，但非常重要指对企业内部控制的建立和实施具有重要影响的因素的统称。36内部控制要素风险管理风险管理（1）识别影响组织目标实现的各类风险；风险识别（2）建立风险管理机制。风险分析风险是不可避免的。企业要管理风险，减少损失。指企业各级管理层对企业内部和外部风险的确认。37内部控制要素控制活动控制活动（1）所有经营活动应有适当的授权； 一般授权特殊授权（2）不相容职务应当分离；业务的批准与执行；业务的执行与记录；资产的保管与记账、账实核对。（3）有效控制凭证和记录的真实性；凭证种类齐全、内容完整；预先连续编号；空白收据和支票要专人保管； （4）资产和记录的接近限制； 资产接触与

14、记录使用制度（5）独立的业务审核。 独立稽核：业务经办员以外的独立人士。针对风险的防范措施，贯穿于企业的各层次和各部门。指企业管理部门为了保证既定目标得以顺利实现而制定并执行的各项控制政策和程序。38内部控制要素信息与沟通信息与沟通（1）及时、准确、完整地记录所有信息； （2）保证管理信息系统的有序运行； （3）保证管理信息系统的安全可靠。 一个完整的信息与沟通系统，应该包括会计系统、信息系统和传递机制。指为了准确、及时并最大限度地获取和运用来自企业内、外部与企业有关的技术、市场和管理等各方面的信息，并在企业内部进行纵向和横向的有效传递，企业必须建立一个良好的信息沟通系统。39内部控制要素监督

15、监督（1）内部审计机构实施的独立监督； （2）管理层对内部控制的自我评估。 内部审计是监督的一个主要手段。为了保证企业内部控制的效果，必须对正步控制的执行过程进行恰当地监督，并通过监督活动对内部控制的某个薄弱环节加以必要的修正。40内部控制的局限性内部控制的局限性内部控制的设计和运行受制于成本-效益原则内部控制可能因串通舞弊或滥用职权而失效内部控制一般仅仅针对常规业务活动而设计内部控制可能因经营环境或业务性质的改变而削弱或失效建立、健全内部控制并使之有效运行是组织高级管理层的责任。内部控制目标的实现有赖于组织所有人员的参与。 内部控制是对组织目标实现的相对保证。 41内部控制的审查与评价 内部

16、控制审计内容内部审计人员在评价内部控制时，按照项目的性质和需要，既可以对全部控制要素进行评价，也可以只对部分控制要素进行评价。控制环境的检查与评价风险管理的检查与评价控制活动的检查与评价信息与沟通的检查与评价 42内部控制的审查与评价 控制环境评价（1）经营活动的复杂程度； （2）管理权限的集中程度； （3）管理行为守则的健全性和有效性； （4）管理层对逾越既定控制程序的态度； （5）组织文化的内容及组织成员对此的理解与认同； （6）法人治理结构的健全性和有效性； （7）组织各阶层人员的知识与技能； （8）组织结构和职责划分的合理性； （9）重要岗位人员的权责相称程度及其胜任能力； （10）员

17、工聘用程序及培训制度； （11）员工业绩考核与激励机制。关键要评价被审计单位的意识和态度43内部控制的审查与评价 风险管理评价（1）可能引发风险的内外因素； （2）风险发生的可能性和预计带来的后果； （3）对抗风险的能力； （4）风险管理的具体方法及效果。风险管理机制的健全性和有效性 44内部控制的审查与评价 控制活动评价(1)控制活动建立的适当性； (2)控制活动对风险的识别和规避； (3)控制活动对组织目标实现的作用； (4)控制活动执行的有效性。 关键要评价控制活动的适当性、合法性、有效性。45内部控制的审查与评价 信息与沟通评价（1）获取财务信息、非财务信息的能力； （2）信息处理的及

18、时性和适当性； （3）信息传递渠道的便捷与畅通； （4）管理信息系统的安全可靠性。组织获取及处理信息的能力 46内部控制的评价标准内部审计人员首先应判断组织已有标准的适当性。如果认为已有标准不合适，应向适当管理层报告； 如果管理层没有制定合适的标准，内部审计人员可以基于组织利益最大化的原则选择适当的评价标准。 47内部控制的审查与评价 内部控制审计过程调查描述初步评价控制测试总体评价方法：询问、查阅、观察、“穿行测试”方法：文字说明、调查表、流程图内容：（1）建全性（2）合理性注意：关键控制点方法：（1）业务程序测试 （2）某控制环节的功能测试确定控制风险水平： 高风险、中等风险、低风险审计报

19、告48控制风险水平信赖程度控制风险水平含义审计师的对策高低内部控制健全且执行良好。差错的发生率较低。可以较多地依赖和利用内部控制，并相应减少实质性测试的数量和范围。中中等比较健全，但存在一定的薄弱环节和缺陷，会影响到经济业务和会计资料的真实性和正确性。有保留地信赖。扩大实质性测试的数量和范围。低高设置不健全，或执行无效，经济业务和会计资料大部分失效。不予信赖。实施较为详细的实质性测试。49内部审计具体准则第12号遵循性审计 遵循性审计50遵循性审计内部审计具体准则第12号遵循性审计 遵循性审计，是指内部审计机构和人员审查组织在经营过程中遵守相关法规、政策、计划、预算、程序、合同等遵循性标准的情

20、况并作出相应评价的审计活动。遵循性审计是内部控制审计的基本内容之一，是实施内部审计过程中不可缺少的环节。 51遵循性审计过程遵循性标准法规、政策计划、预算、程序合同组织管理层内审机构和人员审查、评价确定、制定即：遵循性审计保密原则了解和询问：（1）组织经营、财务等相关方面负责人；（2）组织的法律顾问；（3）投资人、合同方；（4）政府及其他主管机构；（5）外部审计人员；（6）其他。审计完成，出具审计报告严重者，出具专项审计报告及时告知52遵循性审计 内部审计人员在实施遵循性审计时，应当充分关注组织的以下情况：（1）受到政府有关部门的调查或处罚；（2）重要的法律诉讼；（3）异常的交易或事项；（4）

21、计划、预算执行结果严重偏离标准；（5）信息严重失真或资料不完整；（6）缺乏相关的内部控制或相关内部控制无效；（7）其他可能导致违反遵循性标准的情况。53遵循性审计在评价遵循性标准的执行情况时，若相关标准之间存在不一致，应当按照以下原则进行处理：（1）国家制定的法规之间存在不一致时，应当按照中华人民共和国立法法的规定处理；（2）行业、部门的政策之间存在不一致时，应当由其共同的上一级机构进行裁决和解释；（3）组织内部的计划、预算、程序之间存在不一致时，应当按照标准制定者的管理层次由高至低进行取舍；（4）涉及合同问题，应按照中华人民共和国合同法的规定处理。54内部审计具体准则第6号舞弊的预防、检查与

22、报告 舞弊审计55什么是舞弊（fraud）IIA内部审计实务标准：舞弊是有益的不正当、不合法的欺骗行为内部审计具体准则第6号舞弊的预防、检查与报告 ：舞弊，是指组织内、外人员采用欺骗等违法违规手段，损害或谋取组织经济利益，同时可能为个人带来不正当利益的行为。56舞弊行为的特征目的：故意行为手段：违法违规结果：舞弊者获益，他人受损57舞弊的分类广泛：雇员舞弊、管理舞弊、投资者骗局、供应商舞弊、顾客舞弊，等等一般分类：雇员舞弊（employee fraud）管理舞弊（management fraud）主要表现是财务报表舞弊不等于管理者腐败（在职消费）58舞弊的原因压力、机会、品行内部控制的固有局限

23、其他（一）管理人员品质不佳； （二）管理人员遭受异常压力； （三）经营活动中存在异常交易事项； （四）组织内部个人利益、局部利益和整体利益存在较大冲突； （五）内部审计机构在审计中难以获取充分、相关、可靠的证据。 59舞弊行为的结果分类损害组织经济利益的舞弊 谋取组织经济利益的舞弊 （1）收受贿赂或回扣； （2）将正常情况下可以使组织获利的交易事项转移给他人； （3）贪污、挪用、盗窃组织资财； （4）使组织为虚假的交易事项支付款项； （5）故意隐瞒、错报交易事项； （6）泄露组织的商业秘密； （7）其他损害组织经济利益的舞弊行为。 （1）支付贿赂或回扣； （2）出售不存在或不真实的资产； （3

24、）故意错报交易事项、记录虚假的交易事项，使财务报表使用者误解而作出不适当的投融资决策； （4）隐瞒或删除应对外披露的重要信息； （5）从事违法违规的经营活动； （6）偷逃税款； （7）其他谋取组织经济利益的舞弊行为。 。 舞弊行为60舞弊行为的控制舞弊的预防 采取适当行动防止舞弊的发生，或在舞弊行为发生时将其危害控制在最低限度以内。 组织管理层的责任内部控制制度：建立健全、有效执行舞弊的检查舞弊的报告指实施必要的检查程序，以确定舞弊迹象所显示的舞弊行为是否已经发生。 指内部审计人员以书面或口头形式向适当管理层报告舞弊预防、检查的情况及结果。 内部审计人员、专业的舞弊调查人员、法律顾问及其他专家

25、 内部审计人员协助建议评价应有的职业谨慎但非：绝对保证胜任、独立性；保密报告内容：舞弊行为的性质、涉及人员、舞弊手段及原因、检查结论、处理意见、提出的建议、纠正措施61舞弊审计报告舞弊检查过程中，应及时向适当管理层报告的情况： （1）可以合理确信舞弊已经发生，并需深入调查； （2）舞弊行为已导致对外披露的财务报表严重失实； （3）发现犯罪线索，并获得应当移送司法机关处理的证据。 内部审计人员完成必要的舞弊检查程序后，应从舞弊行为的性质和金额两方面考虑其严重程度，出具相应的审计报告。（1）若发现的舞弊行为性质较轻且金额较小时，可一并纳入常规审计报告； （2）若发现的舞弊行为性质严重或金额较大，应出具专项审计报告，如果涉及敏感