风险评估课件

第六章风险评估教学内容：审计风险的含义与审计风险模型；内部控制理论；重大错报风险的评估。教学重点：审计风险模型，重大错报风险的评估，内部控制理论教学难点：重大错报风险的理解与评估。教学方法：理论讲解＋案例分析教学课时：6课时第六章风险评估教学内容：审计风险的含义与审计风险模型；内（一）基本概念审计风险有广义和狭义之分。广义的审计风险是指审计的职业风险或行业风险。这里讨论的是狭义的审计风险（项目审计风险）。1、（项目）审计风险：指会计报表存在重大错报，而审计人员审计后发表不恰当审计意见的可能性。一、审计风险及其模型（一）基本概念一、审计风险及其模型错报：指某一财务报表项目的金额、分类、列报与披露，与按照适用的财务报表编制基础应当劣势的金额、分类、列报或披露之间存在的差异；或者根据审计师的判断，为使财务报表在所有重大方面实现公允反映，需要对金额、分类、列报或披露做出的必要调整。错报：指某一财务报表项目的金额、分类、列报与披露，与按照适用2、审计风险模型审计人员审计后发表不恰当审计意见的可能性由两方面风险构成：一是财务报表本身存在重大错报的风险，这是一种客观风险；二是审计人员所实施的审计程序没有发现重大错报的风险，这是一种主观风险。而总体审计风险就是客观风险和主观风险共同作用的结果。2、审计风险模型用模型表示即为：审计风险=重大错报风险×检查风险（1）重大错报风险指财务报表在审计前存在重大错报的可能性。它只与被审计对象直接相关，是客观存在的，审计人员不可能改变它，只能通过对被审计单位的充分了解，合理评估其高低，作为确定测试范围的依据。用模型表示即为：包括两个层次：1）报表层次的重大错报风险这常与控制环境有关，并与报表整体存在广泛联系，可能影响多项认定，且难以界定与某类交易、帐户余额、列报有关的具体认定。审计师应评估它，并确定总体应对措施。2）认定层次的重大错报风险。审计师应评估认定层次的重大错报风险，并根据风险模型确定可接受的检查风险DR的水平。认定层次的重大错报风险包括固有风险（IR）和控制风险（CR）。包括两个层次：理解固有风险：P158理解控制风险：P158理解固有风险：P158（2）检查风险（detectionrisk）指某一帐户或交易类别单独或连同其他帐户、交易类别产生重大错报，而未能被审计师发现的可能性。它是与审计人员的检查直接相关的风险，与审计人员的经验、判断能力、审计抽样方法的使用等有关。

审计师应当实施审计程序，评估重大错报风险，并根据评估结果设计和实施进一步审计程序，以控制检查风险。（2）检查风险（detectionrisk）二、风险评估—风险识别风险评估是指审计师了解被审单位及其环境，以识别和评估其财务报表的重大错报风险。风险评估有助于（P257）：确定重要性水平；考虑会计政策的选用以及财务报表的列报是否恰当；识别特别需要考虑的领域；确定使用分析程序时的预期值；设计和实施进一步审计程序；评价获取的审计证据的充分性与适当性。

二、风险评估—风险识别风险评估是指审计师了解被审风险评估：①可以通过实施风险评估程序获取信息，②也可以通过其他审计程序获取信息，③项目组内部的讨论也有助于风险评估。风险评估程序是指审计师为了解被审单位及其环境而实施的审计程序。其具体程序包括询问、观察与检查、分析程序。目的在于识别和评估重大错报风险。（P258-262）主要内容包括：风险评估：①可以通过实施风险评估程序获取信息，②（一）了解被审单位及其环境注意从以下方面了解被审计单位及其环境：A、行业状况、法律环境与监管环境以及其他外部因素；B、被审计单位的性质；C、被审计单位对会计政策的选择和运用；D、被审计单位的目标、战略以及相关经营风险；E、被审计单位财务业绩的衡量和评价。（一）了解被审单位及其环境案例一：审计师在对甲股份有限公司进行风险评估时发现存在下列情况：1、甲公司的竞争者开始延长其产品的保证期间；2、竞争者提高了关键财务和管理人员的薪酬；3、原材料产地气候恶劣导致上等原材料发生短缺；4、顾客所处行业正处于衰退期；案例一：审计师在对甲股份有限公司进行风险评估时发现存在下列情5、顾客的需求发生变化，需要改进产品的功能和质量；6、销售渠道发生改变，从零售店销售向网上销售转型；7、产品的关键专利即将到期，没有重大的可申请新专利的技术进步；8、进入市场的新竞争者技术上领先。5、顾客的需求发生变化，需要改进产品的功能和质量；要求：针对上述情况，识别其风险来源，并分析其对审计可能带来的影响。可以列表回答。表式见下页。要求：针对上述情况，识别其风险来源，并分析其对审计可能带来的.事项编号风险来源对审计可能的影响12345678.事项风险来源对审计可能的影响12345678.事项编号风险来源对审计可能的影响1竞争者延长保证承诺可能要求增加预提保证费用2竞争者决策和信息处理的可靠性可能下降；人工成本的分配可能需要调整；应计职工福利可能需要增加3供应商在标准成本计算公式中废料率和损耗率可能上升；可能产生与购买承诺有关的计价问题4购买者应收账款可能不能以原账面净值收回；可能需要增加坏账准备5购买者库存存货可能陈旧和过时，导致可变现净值下降6购买者现存的销售渠道可能需要关闭，带来重组成本（资产处置、员工解雇成本）7进入市场的新竞争者对于生产产品的资产的投资可能无法收回；企业可能无法持续经营8进入市场的新竞争者投资需要计提减值准备.事项风险来源对审计可能的影响1竞争者延长保证承诺可能要求增（二）了解被审单位的内部控制内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。（二）了解被审单位的内部控制1、了解与审计相关的内部控制（P271）与审计相关的控制——指被审计单位为实现财务报告可靠性目标设计和实施的控制。审计师应当运用职业判断，考虑一项控制单独或连同其他控制是否与评估重大错报风险及针对评估的风险设计和实施进一步审计程序有关。2、了解的深度（P272-273）：（包括评价控制的设计、以及确定是否得到执行，不包括针对是否得到一贯执行的测试）3、人工与自动化条件下的内部控制（P273）1、了解与审计相关的内部控制（P271）4、内部控制的目标：一般应当实现以下目标：（1）保证业务活动按照适当的授权进行；（2）保证所有交易和事项以正确的金额,在恰当的会计期间及时记录于适当的帐户,使会计报表的编制符合会计准则的相关要求；（3）保证对资产和记录的接触、处理均经过适当的授权；（4）保证账面资产与实存资产定期核对相符。4、内部控制的目标：一般应当实现以下目标：

5、内部控制有其固有的局限性原因在于：（1）内部控制的设计和运行受制于成本与效益原则；（2）内部控制一般仅针对常规业务活动而设计；（3）执行人员的素质和工作质量；（4）串通舞弊；（5）执行人员滥用职权或屈从于外部压力；（6）经营环境和业务性质的变化。故内部控制对会计报表的公允性只能提供合保证，即控制风险始终大于零。5、内部控制有其固有的局限性（三）内部控制的构成要素内部控制的历史演变“内部牵制”阶段（20世纪40年代以前）“内部控制”阶段（20世纪40年代——70年代，两分法）“内部控制结构”阶段（80年代以后，三要素）“内部控制整体框架”阶段（90年代后，COSO，五要素）“企业风险管理框架”阶段（财务丑闻增多，2004，八要素）（三）内部控制的构成要素内部控制的历史演变按要素划分，包括：控制环境(ControlEnvironment)、风险评估过程、控制活动、信息系统和沟通、对控制的监督。A、控制环境控制环境是指对被审计单位控制的建立和实施有重大影响的一组因素的统称。控制环境包括治理职能与管理职能，以及管理层和治理层对内部控制及其重要性的态度、认识和措施。按要素划分，包括：控制环境(ControlEnvironm控制环境包含的因素主要有：对诚信和道德价值观念的沟通与落实；对人员胜任能力的重视；治理层的参与程度；管理层的理念和经营风格（管理哲学和经营方式等）；组织结构及职权与责任的分配；人力资源管理（政策与实务）。控制环境包含的因素主要有：对诚信和道德价值观念的沟通与落实；B、风险评估1、指与提供符合公认会计原则的财务报告有关的风险的确认、分析和管理，即管理层确认可以承受的风险水平，识别这些风险，并采取一定的应对措施。2、管理当局应制定计划、程序和行动来避免具体风险或出于成本和其他因素接受这一风险。3、引起风险的环境因素：（1）监管及经营环境的改变；（2）新职员的引入；B、风险评估1、指与提供符合公认会计原则的财务报告有关的风险（3）新技术的引进；（4）新生产线或新经营活动的出现（新经营领域）；（5）信息系统的更新；（6）公司的快速成长；（7）会计准则、会计政策的变更。（3）新技术的引进；C、控制活动

指确保管理层指令得以实施的政策和程序。（1）交易授权(Transactionauthorization)

交易授权程序的主要目标在于保证交易是管理人员在其授权范围内授权才产生的。

一般授权是指授权处理一般性的交易；如购买办公用品。

特别授权则指授权处理非常规性的交易，如重大资本性支出和发行股票。交易授权程序通常对“存在或发生”认定，以及某些“估价或分摊”认定的控制风险有直接影响。C、控制活动

指确保管理层指令得以实施的政策和程序。（1）交

（2）职责分离(Segregationofduties)不相容职务：集中于一个人办理时发生差错或舞弊的可能性会增加的两项或几项职务。不相容的职责包括：授权——执行；执行——审查；执行——记录；保管——记录；保管——检查；记录总账与记录明细账、日记账职务分离。

（2）职责分离(Segregationofdutie

职责划分：是指对某交易涉及的各项职责进行合理划分，使每一个人的工作能自动地相互检查另一个人或更多人的工作。职责划分的主要目标：是为了预防和及时发现在执行所分配的职责时所产生的错误或舞弊行为。职责划分通常对“存在或发生”认定、“完整性”认定以及某些“评价与分摊”认定的控制风险有直接影响。职责划分：是指对某交易涉及的各项职责进行合理划分，使每一个案例：巴林银行倒闭案

1992年7月到1995年2月，巴林银行（世界首家商业银行）新加坡交易员Lesson未经授权进行日经指数期货交易，并刻意隐瞒日经指数期货交易产生的约14亿美元损失，最终导致这家有一百多年历史的银行宣布破产，被荷兰银行以象征性的1美元收购。其后，英格兰银行提交的调查报告中指出巴林银行倒闭的主要原因是管理层不了解衍生金融商业的特性；缺乏风险管理；缺乏内部稽核。

案例：巴林银行倒闭案1992年7月到199

巴林银行缺乏有效的职责划分和内部稽核机制，Lesson身兼巴林新加坡分行的交易员和结算员，这使他有机会伪造存款和其他凭证，把期货交易带来的损失瞒天过海。而巴林银行的高层对Lesson在新加坡的业务并不了解，在事发3年内居然无人真正看出Lesson的问题。最终造成了不可收拾的局面。

思考题：从内部控制的角度来看，上述案例中巴林银行内控有何缺陷？巴林银行缺乏有效的职责划分和内部稽核机制（3）实物控制：是指通过对有关资产和记录实施特定保护措施以保证其安全和完整的一种控制方式，具体又可分为接触控制和盘点控制。接触控制：针对有关重要的资产和文件记录，明确其可以接触和接近的人员以及接触和接近人员的职责范围，并限制其他人员接触或接近以保证安全。盘点控制：对企业的资产实施定期盘点清查，并将盘点结果与会计记录进行比较以确定其帐实是否相符的一种方法。

（3）实物控制：是指通过对有关资产和记录实施特定保护措施以保（4）信息处理：信息传递过程中，管理人员会采取一系列的控制活动来保证信息的准确性、完整性、安全性。信息处理可分两个层次：①管理文件控制：以书面文件形式明确企业各部门和人员任务、职责、企业方针政策。如：通过系统流程图、组织图、岗位工作说明等来制约和协调企业内部各部门和岗位之间、某项业务各步骤之间关系的一种控制方式。②会计记录控制：通过预先编号、签名盖章、复式记帐、控制帐户等运用，以确保交易信息真实、完整的一种控制方式。（4）信息处理：信息传递过程中，管理人员会采取一系列的控制活（5）业绩独立检查独立检查是指由独立人员验证与复核另一个人或部门执行工作的正确性。包括：复算各会计记录计算的准确性、核对各相关会计资料记录上的一致性，定期将实际业务活动与预算计划或前期业务活动进行比较，计算各种财务比率等。独立检查同“估价或分摊”认定“存在或发生”、“完整性”认定有关。

（5）业绩独立检查D、信息系统（与财务报告有关）与沟通信息——企业的内部控制系统必须有一个完善的信息传递、沟通和反馈的系统。沟通——让每一个员工对于其在内控及财务报告中的作用和责任有一个充分的了解。包括个人对于其行为对他人造成的影响的认识及各部门之间业务活动的相互协调。纵横方向的信息流——组织结构设计不但要有助于部门和雇员之间的沟通，还要有助于消除部门之间的障碍及为员工合作提供机会。沟通形式——设立联络员或专职整合员，成立任务组，引入第三方顾问，进行成员轮换，增加团队间的培训，强调共同使命，进行对话与谈判，编制政策指南，财务报告手册及备忘录等。D、信息系统（与财务报告有关）与沟通信息——企业的内部控制系E、对控制的监督——由管理当局对内部控制的效果进行持续或定期的评估，以确保其按预定的目标发挥作用及根据情况变化而适时修正、完善。——包括日常的管理监督活动，也包括内部审计及与单位外部团体进行信息交流的监控。——旨在评估内部控制。——内部审计是控制环境中的一个特殊因素，一方面为内控的组成部分，另一方面又监督内控的运行。E、对控制的监督——由管理当局对内部控制的效果进行持续或定期审计师在对甲公司的内部控制进行了解和测试时发现：1、甲公司产成品发出时，销售部填制一式四联出库单。其中，第三、四联交会计人员乙登记产成品总帐和明细账。2、材料采购经授权批准后进行。货物运达后，验收部门根据订购单的要求验收货物，并编制未连续编号的验收单。案例分析二：审计师在对甲公司的内部控制进行了解和测试时发现：案例分析二：3、会计部门审核付款凭单后，支付采购款项。甲公司授权会计部经理签署支票，经理将支票的填制与审核交由会计人员丁办理，但保留了支票印章。4、计划部门根据批准签发预先编号的生产通知单，生产部门根据该通知单填制领料单，仓库和会计部门凭该领料单发料和记帐。5、甲公司的控股股东的法定代表人同时兼任甲公司的法定代表人。3、会计部门审核付款凭单后，支付采购款项。甲公司授权会计部经.6、甲公司设立了内部审计部，并直接对董事长负责。7、甲公司设有现金出纳员和银行出纳员，前者负责现金收支与存取，后者负责票据的取送和登记银行存款日记帐。要求：1、分析甲公司的上述内部控制有无缺陷？如有，请提出改进意见。2、上述缺陷与哪些会计报表项目或科目的何种认定有关？好难啦！.6、甲公司设立了内部审计部，并直接对董事长负责。好难啦！解答：1、乙同时负责登记产成品总账和明细账，监督失效。建议：分离。与应收账款、主营业务收入等账户的存在和发生、估价与分摊认定有关。2、未连续编号，漏记、重记。建议连续编号。与存货的完整性认定有关。解答：3、支票的填制与审核不应由一人负责。建议：出纳签发支票，经理审核并签章。与银行存款、现金、应付账款的完整性认定相关。4、仓库与会计部门只根据领料单登账，而无适当的授权凭证与牵制手段。建议：计划部门的生产通知单为一式多联。与存货及成本费用类账户的估价和分摊认定相关。3、支票的填制与审核不应由一人负责。建议：出纳签发支票，经理5、相关法律规定，甲公司的控股股东的法定代表人不得同时担任甲公司的法定代表人。建议：按相关法律的要求和程序，确定公司的法定代表人。6、内部审计部门应对董事会负责。7、甲公司分设现金出纳和银行出纳，但银行出纳员只负责到银行送取支票等票据，不负责现金存取，却又负责登记银行存款日记账和编制对账单，这将导致银行存款日记账与公司的实际收支不符，出现大量未达账项。5、相关法律规定，甲公司的控股股东的法定代表人不得同时担任甲建议：将二者合二为一，或由银行出纳员负责现金的存取。该缺陷与银行存款的存在与发生和完整性认定有关。建议：将二者合二为一，或由银行出纳员负责现金的存取。（四）从整体层面和业务流程层面了解内部控制1、在整体层面了解内部控制应当对整体层面的内部控制的设计进行评价，并确定其是否得到执行。2、在业务流程层面了解内部控制（1）确定被审单位的重要业务流程和重要交易类别；（2）了解并记录重要交易流程；（3）确定可能发生错报的环节；（四）从整体层面和业务流程层面了解内部控制1、在整体层面了解（4）识别和了解相关控制；（5）执行穿行测试，证实对交易流程和相关内部控制的了解；（6）进行初步评价和风险评估。此外，还应专门了解财务报告流程。方法同上（1）-（6）。了解内部控制针对的是内部控制是否存在、是否合理、是否得到执行。至于执行是否有效则是控制测试要解决的问题。（4）识别和了解相关控制；可能表明被审计单位存在重大错报风险的事项和情况：在经济不稳定的国家或地区开展业务；在高度波动的市场开展业务；在严厉复杂的监管环境中开展业务；待业环境发生变化；供应链发展变化；开发新产品或提供新服务；融资能力受到限制；开辟新的经营场所；发生重大收购、重组或其他非经常性事项；重大关联方交易；关键人员变动；内部控制可能表明被审计单位存在重大错报风险的事项和情况：薄弱、经营活动或财务报告受到监管机构的调查；以往存在重大错报或本期期未出现重大会计调整；存在按管理层特定意图记录的交易；应用新颁布的会计准则或相关会计制度；会计计量过程复杂；事项或交易在计量时存在重大不确定性；存在未决诉讼和或有负债。薄弱、经营活动或财务报告受到监管机构的调查；以往存在重大错报内部控制经典：沃尔玛公司案例

沃尔玛百货有限公司（Walmart）公司由美国人山姆·沃尔顿于1962年创立。在短短几十年间，它由一家小型折扣商店发展成为世界上最大的零售企业之一，2002年《财富》评选的“500强”中，沃尔玛以2189.12亿美元的销售收入位居首位。早在20世纪80年代，沃尔玛就建立起了自己的商用卫星系统。在强大的技术支持下，如今的沃尔玛已形成了“四个一”，即“天上一颗星”——通过卫星传输市场信息；“地上一张网”——有一个便于用计算机网络进行管理的采购供销网络；“送货一条龙”——通过与内部控制经典：沃尔玛公司案例沃尔玛百货有

供应商建立的计算机化连接，供货商自己就可以对沃尔玛的货架进行补货；“管理一棵树”——利用计算机网络把顾客、分店或山姆会员店和供货商象一棵大树一样有机地联系在一起。如此庞大的信息系统，沃尔玛是采用什么方法对它进行控制呢？

下面运用COSO报告中的标准与评价方法，从控制环境、风险评估过程、信息系统与沟通、控制活动和对控制的监督这五个方面对沃尔玛的物流信息系统的内部控制进行分析。

1、控制环境企业控制环境决定了其他控制要素能否发挥作用，供应商建立的计算机化连接，供货商自己就可以对沃尔玛的是内部控制其他控制要素发挥作用的基础，直接影响到企业内部控制的贯彻和执行以及企业内部控制目标的实现，是企业内部控制的核心。20世纪80年代初期，一家企业建立一个卫星系统几乎是不可想象的。那么，沃尔玛的管理层对此持何种态度呢？在提出要建立自己的卫星系统时，山姆·沃尔顿是不太赞成的。他认为目前的信息系统已经可以使沃尔玛在同业中处于领先地位，不必要再将如此多的资金投进行。然而公司的其他高层，包括几位董事和技

是内部控制其他控制要素发挥作用的基础，直接影响到企业

术总监，深知投资新技术对公司发展和控制成本、提高管理的重要性，他们勇于不断地向山姆施压，以大量的数据证明了建立卫星系统的可行性及将会给沃尔玛来带来的巨大效益。在其他高管的不懈努力下，山姆终于被说服了。待意见统一后，沃尔玛立刻花费大约7亿美元建成目前拥有的计算机和卫星系统。可以说，如果没有高管人员的当初远见卓识，如果没有他们对信息系统的强力支持，沃尔玛不可能有今天的规模和地位。2、风险评估过程术总监，深知投资新技术对公司发展和控制成本、提高管理

风险评估是提高企业内部控制效率和效果的关键。沃尔玛在不断引进新技术的基础上，仍保持着非常谨慎的态度。每次有哪位主管想建立新系统，山姆总要求他们认真评估应用该系统后可能带来的风险，并且谨慎地选择系统的应用范围，循序渐进，逐渐推广。1981年，沃尔玛开始试验利用商品条码和电子扫描器实现存货自动控制。公司先选定商店，在收款台安装读取商品条码的设备。两年后，试验范围扩大到25家店，1984年扩大到70家店，1985年公司宣布将在所有的商店安风险评估是提高企业内部控制效率和效果的关键。沃尔玛在

装条码识别系统，当年又扩大了200多家。到80年代末，沃尔玛所有商店和配送中心都安装了电子条码扫描系统。一个系统从试验到全面应用相隔差不多十年时间。其风险意识之强由此可见一斑！

3、信息系统与沟通一个良好的信息与沟通系统有助于提高内部控制的效率和效果。企业需要按照某种形式在某个时间之内取得适当的信息，并进行沟通，确保员工顺利履行其职责。沃尔玛的信息不仅供内部分店中使用，而且与供应商共享。装条码识别系统，当年又扩大了200多家。到80年代末

卫星系统每天可将销售点的资料快速、直接地传递给4000多家供应商，以便供应商及时了解市场需求。对于沃尔玛来说，他们的物流链已经远远超出了本公司的范围，沃尔玛的供应商也被包括进来。20世纪80年代未，通过计算机联网和电子数据交换系统与供应商分享信息，从而建立起伙伴关系。比如说，皇后公司和沃尔玛的合作。两个公司的计算机进行联网，让供应商随时了解其商品在沃尔玛各分店的销售和库存变动情况，据此调整公司的生产和发货，提高效率，降低成本。卫星系统每天可将销售点的资料快速、直接地传递给4004、控制活动控制活动是确保管理层的指令得以实现的政策和程序。在建立了卫星系统后，沃尔玛针对这个交互式的通讯系统重新设定了一系列的控制活动。在沃尔玛总部，高速电脑和各个发货中心及各家分店的电脑连接，商店付款台上的激光扫描器会把每件货物的条形码输入电脑，再由电脑进行分类统计。当某一货品库减少到一定数量时，电脑会发出信号，提醒商店及时向总部要求进货。总部安排货源后，送往

4、控制活动

离商店最近的一个发货中心，再由发货中心的电脑安排发送时间和路线。这样，从商店发出订单到接到货物并把货物提上货架销售，一整套工作完成只要36个小时。这保证了它在拥有巨大规模的同时仍保持高效。5、对控制的监督要确保内部控制制度切实执行且执行的效果良好、内部控制能够随时适应新情况等，就必须对内部控制进行必要的监控。沃尔玛的卫星系统可以监控到全集团的所有店铺、配送中记和经营的所有商品，每天发生的一切与经营有关的购销调存等信息。离商店最近的一个发货中心，再由发货中心的电脑安排发送

沃尔玛有统一的产品代码——UPC。经理们选择一件商品、扫描一下该商品的UPC代码，不仅可以知道商目前有多少这种商品，订货量是多少，而且知道有多少这种产品正在运输到商店的途中、会在什么时候运到。这些数据都是通过主干网和通信卫星传递到数据中心。管理人员不但能对销售情况、物流情况等实时进行监控，还可知道当天回收多少张失窃的信用卡、信用卡认可体系是否正常工作，并监督每天的交易数量。沃尔玛的数据中心也与供应商建立了联系，沃尔玛有统一的产品代码——UPC。经理们

从而实现了快速反应的供应链管理。厂商通过运营系统可以进入沃尔玛的电脑分销系统和数据中心，直接从POS上得到某供应商的商品流通动态信息，如不同店铺及不同商品的销售统计数据沃尔玛各仓库的调配状态、销售预测、电子邮件与付款通知等等，以此作为安排生产、供货和送货的依据。通过这个信息系统，管理人员掌握到第一手的资料，并对日常运营与企业战略作出分析和决策。从而实现了快速反应的供应链管理。厂商通过运营系统可以进要求：结合沃尔玛的案例，谈谈你对我国中小企业内部控制的看法（问题与解决思路）。要求：（五）对内部控制的描述1、列表调查法2、文字叙述法3、流程图法（五）对内部控制的描述1、列表调查法三、评估重大错报风险（一）评估财务报表层次和认定层次的重大错报风险P2971、评估重大错报风险时应考虑的因素2、评估重大错报风险的审计程序（步骤）：（1）在了解被审计单位及其环境的整个过程中识别风险，并考虑各类交易、帐户余额、列报；（2）将识别的风险与认定层次可能发生错报的领域相联系；（3）考虑识别的风险是否重大；（4）考虑识别的风险导致财务报表发生重大错报的可能性三、评估重大错报风险（一）评估财务报表层次和认定层次的重大错3、识别财务报表层次和各类交易、账户余额、列报与披露认定层次的重大错报风险4、特别考虑：（1）控制环境影响对报表层次的重大错报风险的评估；（2）控制还影响对认定层次的重大错报风险的评估；（3）财务报表的可审性。3、识别财务报表层次和各类交易、账户余额、列报与披露认定层次（二）特别考虑：1、特别风险：审计师识别和评估的、根据判断认为需要特别考虑的重大错报风险。

在确定风险的性质时应考虑：（1）风险是否属于舞弊风险；（2）是否与近期经济环境、会计处理方法和其他方面的重大变化有关；（3）交易的复杂程度；（4）是否涉及重大的关联方交易；（5）财务信息计量的主观程度；（6）是否涉及异常或超出正常经营过程的重大交易。（二）特别考虑：另外，特别风险通常与非常规交易和判断事项有关。P3002、仅通过实质性程序无法应对的重大错报风险。此种情况下，应当评价被审单位针对这些风险涉及的控制，并确定其执行情况。另外，特别风险通常与非常规交易和判断事项有关。P300案例：1、案例介绍1964年初，耶鲁捷运公司公布了经过审计的1963年12月31日的财务报表。同时按照1934年证券交易法的要求：将报表提交给了证券交易委员会。同一时期，毕马威会计师事务所为耶鲁捷运提供了一系列管理咨询服务。在服务时期，注册会计师们发现财务报表的资产被高估，财务报表是令人误解的。案例：不幸的是，当时美国注册会计师协会对此并未作任何规定。直到1965年管理咨询服务结束，注册会计师才将发现问题向证券交易委员会汇报。但对耶鲁捷运的债权人和股东们来说，实在是太迟了。注册会计师遭到了起诉。事后，毕马威会计师事务所以65万美元的代价，在庭外和解了此事。

不幸的是，当时美国注册会计师协会对此并未作任何规定。直到19该案至少有两个复杂因素：第一，当发现高估时，按照1934年证券交易法，注册会计师就已不再有资格成为独立注册会计师了。注册会计师进行的管理咨询服务不适于律师相似的“支持者”角色，他们是顾问。于是出现一个问题：在这种情况下，注册会计师是否应该转换角色而成为独立注册会计师?该案至少有两个复杂因素：第二，注册会计师直到报告公布后，才发现报表有问题。那时，美国注册会计师协会并未要求注册会计师披露报表发布后所发现的与报表不符的事实。从那时起，美国注册会计师协会发布准则，要求注册会计师承担此义务。2、案例分析第二，注册会计师直到报告公布后，才发现报表有问题。那时，美国如果外部使用者较大程度地信赖财务报表，降低审计风险是恰当的。在使用者较大程度地信赖财务报表的情况下，财务报表中的重大错误若不被发现，就会造成很大的社会损失。在重大错误一旦真的存在就会给使用者带来巨大损失的情况下，增加证据的成本(察觉风险增加)是值得的。外部使用者对财务报表的信赖程度，可以从下述几个方面来判断：如果外部使用者较大程度地信赖财务报表，降低审计风险是恰当的。(1)客户的规模。一般地说，客户的经营规模越大，其财务报表的用途越广，则影响越广泛。(2)所有权分布。股份公开上市的公司的报表，其使用者通常要多于股份不公开上市的公司，一旦失误，受到追诉的可能性就越大。(3)负债的性质和金额。财务报表所列负债的金额较大时，使用财务报表的现有或潜在债权人就可能比债务少时要多。(1)客户的规模。一般地说，客户的经营规模越大，其财务报表的审计风险的评估贯穿了审计整个过程。进行审计时，审计人员最关键的是要按审计程序执行，以便把审计风险降到最低。在不同条件下选择不同审计程序，可按照以下两条原则设计（选择）审计程序：第一，确保项目的固有属性和内部控制结构、使错误评估会计报表的风险最低而设计审计程序；第二，为直接证实一个项目，可以使审计人员有确切把握将该领域的重大错报查出而设计审计程序。审计风险的评估贯穿了审计整个过程。进行审计时，审计人员最关键审计报告签发出去以后，若客户被迫宣告破产或遭受一笔重大损失，要求审计人员为审计质量作辩解的可能性就随之增加。审计人员很难事先预料到客户的财务失利，不过，有几个因素可看作是财务失利可能性增加的标志。

(1)流动性状况。如果客户总是缺乏现金或营运资本，则表明它未来可能无法支付有关款项，陷入财务危机。审计报告签发出去以后，若客户被迫宣告破产或遭受一笔重大损失

(2)以前年度的盈利(或亏损)。如果客户的利润连续下降或者亏损连年上升，审计人员就应当意识到客户将面临的偿债问题。

(3)筹资的方法。客户越是依靠举债作为集资手段，则在经营不利时，出现财务困难的可能性就越大。查明长期资产是否由长期或短期负债集资而购置的，也是一个重要的方面。在一个短时期内需要付出大量的现金，可以迫使一个公司陷人破产。(2)以前年度的盈利(或亏损)。如果客户的利润连续下降或者

(4)客户经营的性质。有些企业的风险本身就高于别的企业。例如，在其他条件相同的情况下，高新技术公司破产的可能性比公用事业公司要大得多。

(5)管理人员的能力。有能力的管理人员能随时警惕潜在的财务困境并及时调整经营方针，以减轻短期经营困难的影响。评价破产或陷入困境的可能性时，必须评价管理当局的能力。(4)客户经营的性质。有些企业的风险本身就高于别的企业。确定期望审计风险水平之前，审计人员必须调查其客户，评价影响财务报表使用者对财务报表信赖程度和审计完成之后客户遭到财务困难的可能性的各个因素。根据这些调查和评价的结果，审计人员就能够对财务报表中在审计结束后存在重大错误的风险，确定一个试探性的、非常主观的风险水平。随着审计过程的进展和新的信息的获取，再对预期审计风险水平作适当的调整。确定期望审计风险水平之前，审计人员必须调查其客户在期望审计风险的确认与计量方面，有一个问题值得探讨：在相似的情况下，不同的审计人员对同一审计项目确定的期望风险水平是否应当相同？有的学者主张对相似的审计客户应确定大体相同的审计风险，这是由以下几个因素决定的：（1）诉讼和其他惩罚。（2）会计师事务所的竞争。（3）职业精神。在期望审计风险的确认与计量方面，有一个问题值得探与上述主张相反的是，另外一些人认为，不同的审计人员在相似的条件下确定不同的审计风险水平，其主要理由是以下几点：(1)审计风险难以计量。(2)对审计风险的偏好。(3)能力水平不同。我们认为，通过竞争、法律责任及其他惩罚和职业精神，能够缩小在条件相似时审计风险水平之间的差距。但是，必须承认，不同审计人员在相似条件下所确定的期望审计风险水平是不可能完全一致的。与上述主张相反的是，另外一些人认为，不同的审计人员在相似的条审计人员在为整个财务报表确定了可以接受的审计风险水平（例如5％）之后，通常对每个账户余额和所有的相关认定也运用同样的审计风险水平。这是因为审计风险的影响因素是与整个审计而不是个别项目的认定有关的。如果审计人员对不同的账户或不同的循环，甚或不同的认定使用不同的审计风险水平，那么最终无法根据这些不同的审计风险水平，来确定整个财务报表已达到的总的审计风险水平。审计人员在为整个财务报表确定了可以接受的审计风险水平（例如53、复习思考题：1．注册会计师在执行会计服务时，如何规避审计风险？2．为保护财务报表的使用者，怎样认识重大错报风险？3．注册会计师在发表审计报告时，应注意哪些问题防范风险？

3、复习思考题：

本章结束，再见！

本章结束，再见！演讲完毕，谢谢观看！演讲完毕，谢谢观看！第六章风险评估教学内容：审计风险的含义与审计风险模型；内部控制理论；重大错报风险的评估。教学重点：审计风险模型，重大错报风险的评估，内部控制理论教学难点：重大错报风险的理解与评估。教学方法：理论讲解＋案例分析教学课时：6课时第六章风险评估教学内容：审计风险的含义与审计风险模型；内（一）基本概念审计风险有广义和狭义之分。广义的审计风险是指审计的职业风险或行业风险。这里讨论的是狭义的审计风险（项目审计风险）。1、（项目）审计风险：指会计报表存在重大错报，而审计人员审计后发表不恰当审计意见的可能性。一、审计风险及其模型（一）基本概念一、审计风险及其模型错报：指某一财务报表项目的金额、分类、列报与披露，与按照适用的财务报表编制基础应当劣势的金额、分类、列报或披露之间存在的差异；或者根据审计师的判断，为使财务报表在所有重大方面实现公允反映，需要对金额、分类、列报或披露做出的必要调整。错报：指某一财务报表项目的金额、分类、列报与披露，与按照适用2、审计风险模型审计人员审计后发表不恰当审计意见的可能性由两方面风险构成：一是财务报表本身存在重大错报的风险，这是一种客观风险；二是审计人员所实施的审计程序没有发现重大错报的风险，这是一种主观风险。而总体审计风险就是客观风险和主观风险共同作用的结果。2、审计风险模型用模型表示即为：审计风险=重大错报风险×检查风险（1）重大错报风险指财务报表在审计前存在重大错报的可能性。它只与被审计对象直接相关，是客观存在的，审计人员不可能改变它，只能通过对被审计单位的充分了解，合理评估其高低，作为确定测试范围的依据。用模型表示即为：包括两个层次：1）报表层次的重大错报风险这常与控制环境有关，并与报表整体存在广泛联系，可能影响多项认定，且难以界定与某类交易、帐户余额、列报有关的具体认定。审计师应评估它，并确定总体应对措施。2）认定层次的重大错报风险。审计师应评估认定层次的重大错报风险，并根据风险模型确定可接受的检查风险DR的水平。认定层次的重大错报风险包括固有风险（IR）和控制风险（CR）。包括两个层次：理解固有风险：P158理解控制风险：P158理解固有风险：P158（2）检查风险（detectionrisk）指某一帐户或交易类别单独或连同其他帐户、交易类别产生重大错报，而未能被审计师发现的可能性。它是与审计人员的检查直接相关的风险，与审计人员的经验、判断能力、审计抽样方法的使用等有关。

审计师应当实施审计程序，评估重大错报风险，并根据评估结果设计和实施进一步审计程序，以控制检查风险。（2）检查风险（detectionrisk）二、风险评估—风险识别风险评估是指审计师了解被审单位及其环境，以识别和评估其财务报表的重大错报风险。风险评估有助于（P257）：确定重要性水平；考虑会计政策的选用以及财务报表的列报是否恰当；识别特别需要考虑的领域；确定使用分析程序时的预期值；设计和实施进一步审计程序；评价获取的审计证据的充分性与适当性。

二、风险评估—风险识别风险评估是指审计师了解被审风险评估：①可以通过实施风险评估程序获取信息，②也可以通过其他审计程序获取信息，③项目组内部的讨论也有助于风险评估。风险评估程序是指审计师为了解被审单位及其环境而实施的审计程序。其具体程序包括询问、观察与检查、分析程序。目的在于识别和评估重大错报风险。（P258-262）主要内容包括：风险评估：①可以通过实施风险评估程序获取信息，②（一）了解被审单位及其环境注意从以下方面了解被审计单位及其环境：A、行业状况、法律环境与监管环境以及其他外部因素；B、被审计单位的性质；C、被审计单位对会计政策的选择和运用；D、被审计单位的目标、战略以及相关经营风险；E、被审计单位财务业绩的衡量和评价。（一）了解被审单位及其环境案例一：审计师在对甲股份有限公司进行风险评估时发现存在下列情况：1、甲公司的竞争者开始延长其产品的保证期间；2、竞争者提高了关键财务和管理人员的薪酬；3、原材料产地气候恶劣导致上等原材料发生短缺；4、顾客所处行业正处于衰退期；案例一：审计师在对甲股份有限公司进行风险评估时发现存在下列情5、顾客的需求发生变化，需要改进产品的功能和质量；6、销售渠道发生改变，从零售店销售向网上销售转型；7、产品的关键专利即将到期，没有重大的可申请新专利的技术进步；8、进入市场的新竞争者技术上领先。5、顾客的需求发生变化，需要改进产品的功能和质量；要求：针对上述情况，识别其风险来源，并分析其对审计可能带来的影响。可以列表回答。表式见下页。要求：针对上述情况，识别其风险来源，并分析其对审计可能带来的.事项编号风险来源对审计可能的影响12345678.事项风险来源对审计可能的影响12345678.事项编号风险来源对审计可能的影响1竞争者延长保证承诺可能要求增加预提保证费用2竞争者决策和信息处理的可靠性可能下降；人工成本的分配可能需要调整；应计职工福利可能需要增加3供应商在标准成本计算公式中废料率和损耗率可能上升；可能产生与购买承诺有关的计价问题4购买者应收账款可能不能以原账面净值收回；可能需要增加坏账准备5购买者库存存货可能陈旧和过时，导致可变现净值下降6购买者现存的销售渠道可能需要关闭，带来重组成本（资产处置、员工解雇成本）7进入市场的新竞争者对于生产产品的资产的投资可能无法收回；企业可能无法持续经营8进入市场的新竞争者投资需要计提减值准备.事项风险来源对审计可能的影响1竞争者延长保证承诺可能要求增（二）了解被审单位的内部控制内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。（二）了解被审单位的内部控制1、了解与审计相关的内部控制（P271）与审计相关的控制——指被审计单位为实现财务报告可靠性目标设计和实施的控制。审计师应当运用职业判断，考虑一项控制单独或连同其他控制是否与评估重大错报风险及针对评估的风险设计和实施进一步审计程序有关。2、了解的深度（P272-273）：（包括评价控制的设计、以及确定是否得到执行，不包括针对是否得到一贯执行的测试）3、人工与自动化条件下的内部控制（P273）1、了解与审计相关的内部控制（P271）4、内部控制的目标：一般应当实现以下目标：（1）保证业务活动按照适当的授权进行；（2）保证所有交易和事项以正确的金额,在恰当的会计期间及时记录于适当的帐户,使会计报表的编制符合会计准则的相关要求；（3）保证对资产和记录的接触、处理均经过适当的授权；（4）保证账面资产与实存资产定期核对相符。4、内部控制的目标：一般应当实现以下目标：

5、内部控制有其固有的局限性原因在于：（1）内部控制的设计和运行受制于成本与效益原则；（2）内部控制一般仅针对常规业务活动而设计；（3）执行人员的素质和工作质量；（4）串通舞弊；（5）执行人员滥用职权或屈从于外部压力；（6）经营环境和业务性质的变化。故内部控制对会计报表的公允性只能提供合保证，即控制风险始终大于零。5、内部控制有其固有的局限性（三）内部控制的构成要素内部控制的历史演变“内部牵制”阶段（20世纪40年代以前）“内部控制”阶段（20世纪40年代——70年代，两分法）“内部控制结构”阶段（80年代以后，三要素）“内部控制整体框架”阶段（90年代后，COSO，五要素）“企业风险管理框架”阶段（财务丑闻增多，2004，八要素）（三）内部控制的构成要素内部控制的历史演变按要素划分，包括：控制环境(ControlEnvironment)、风险评估过程、控制活动、信息系统和沟通、对控制的监督。A、控制环境控制环境是指对被审计单位控制的建立和实施有重大影响的一组因素的统称。控制环境包括治理职能与管理职能，以及管理层和治理层对内部控制及其重要性的态度、认识和措施。按要素划分，包括：控制环境(ControlEnvironm控制环境包含的因素主要有：对诚信和道德价值观念的沟通与落实；对人员胜任能力的重视；治理层的参与程度；管理层的理念和经营风格（管理哲学和经营方式等）；组织结构及职权与责任的分配；人力资源管理（政策与实务）。控制环境包含的因素主要有：对诚信和道德价值观念的沟通与落实；B、风险评估1、指与提供符合公认会计原则的财务报告有关的风险的确认、分析和管理，即管理层确认可以承受的风险水平，识别这些风险，并采取一定的应对措施。2、管理当局应制定计划、程序和行动来避免具体风险或出于成本和其他因素接受这一风险。3、引起风险的环境因素：（1）监管及经营环境的改变；（2）新职员的引入；B、风险评估1、指与提供符合公认会计原则的财务报告有关的风险（3）新技术的引进；（4）新生产线或新经营活动的出现（新经营领域）；（5）信息系统的更新；（6）公司的快速成长；（7）会计准则、会计政策的变更。（3）新技术的引进；C、控制活动

指确保管理层指令得以实施的政策和程序。（1）交易授权(Transactionauthorization)

交易授权程序的主要目标在于保证交易是管理人员在其授权范围内授权才产生的。

一般授权是指授权处理一般性的交易；如购买办公用品。

特别授权则指授权处理非常规性的交易，如重大资本性支出和发行股票。交易授权程序通常对“存在或发生”认定，以及某些“估价或分摊”认定的控制风险有直接影响。C、控制活动

指确保管理层指令得以实施的政策和程序。（1）交

（2）职责分离(Segregationofduties)不相容职务：集中于一个人办理时发生差错或舞弊的可能性会增加的两项或几项职务。不相容的职责包括：授权——执行；执行——审查；执行——记录；保管——记录；保管——检查；记录总账与记录明细账、日记账职务分离。

（2）职责分离(Segregationofdutie

职责划分：是指对某交易涉及的各项职责进行合理划分，使每一个人的工作能自动地相互检查另一个人或更多人的工作。职责划分的主要目标：是为了预防和及时发现在执行所分配的职责时所产生的错误或舞弊行为。职责划分通常对“存在或发生”认定、“完整性”认定以及某些“评价与分摊”认定的控制风险有直接影响。职责划分：是指对某交易涉及的各项职责进行合理划分，使每一个案例：巴林银行倒闭案

1992年7月到1995年2月，巴林银行（世界首家商业银行）新加坡交易员Lesson未经授权进行日经指数期货交易，并刻意隐瞒日经指数期货交易产生的约14亿美元损失，最终导致这家有一百多年历史的银行宣布破产，被荷兰银行以象征性的1美元收购。其后，英格兰银行提交的调查报告中指出巴林银行倒闭的主要原因是管理层不了解衍生金融商业的特性；缺乏风险管理；缺乏内部稽核。

案例：巴林银行倒闭案1992年7月到199

巴林银行缺乏有效的职责划分和内部稽核机制，Lesson身兼巴林新加坡分行的交易员和结算员，这使他有机会伪造存款和其他凭证，把期货交易带来的损失瞒天过海。而巴林银行的高层对Lesson在新加坡的业务并不了解，在事发3年内居然无人真正看出Lesson的问题。最终造成了不可收拾的局面。

思考题：从内部控制的角度来看，上述案例中巴林银行内控有何缺陷？巴林银行缺乏有效的职责划分和内部稽核机制（3）实物控制：是指通过对有关资产和记录实施特定保护措施以保证其安全和完整的一种控制方式，具体又可分为接触控制和盘点控制。接触控制：针对有关重要的资产和文件记录，明确其可以接触和接近的人员以及接触和接近人员的职责范围，并限制其他人员接触或接近以保证安全。盘点控制：对企业的资产实施定期盘点清查，并将盘点结果与会计记录进行比较以确定其帐实是否相符的一种方法。

（3）实物控制：是指通过对有关资产和记录实施特定保护措施以保（4）信息处理：信息传递过程中，管理人员会采取一系列的控制活动来保证信息的准确性、完整性、安全性。信息处理可分两个层次：①管理文件控制：以书面文件形式明确企业各部门和人员任务、职责、企业方针政策。如：通过系统流程图、组织图、岗位工作说明等来制约和协调企业内部各部门和岗位之间、某项业务各步骤之间关系的一种控制方式。②会计记录控制：通过预先编号、签名盖章、复式记帐、控制帐户等运用，以确保交易信息真实、完整的一种控制方式。（4）信息处理：信息传递过程中，管理人员会采取一系列的控制活（5）业绩独立检查独立检查是指由独立人员验证与复核另一个人或部门执行工作的正确性。包括：复算各会计记录计算的准确性、核对各相关会计资料记录上的一致性，定期将实际业务活动与预算计划或前期业务活动进行比较，计算各种财务比率等。独立检查同“估价或分摊”认定“存在或发生”、“完整性”认定有关。

（5）业绩独立检查D、信息系统（与财务报告有关）与沟通信息——企业的内部控制系统必须有一个完善的信息传递、沟通和反馈的系统。沟通——让每一个员工对于其在内控及财务报告中的作用和责任有一个充分的了解。包括个人对于其行为对他人造成的影响的认识及各部门之间业务活动的相互协调。纵横方向的信息流——组织结构设计不但要有助于部门和雇员之间的沟通，还要有助于消除部门之间的障碍及为员工合作提供机会。沟通形式——设立联络员或专职整合员，成立任务组，引入第三方顾问，进行成员轮换，增加团队间的培训，强调共同使命，进行对话与谈判，编制政策指南，财务报告手册及备忘录等。D、信息系统（与财务报告有关）与沟通信息——企业的内部控制系E、对控制的监督——由管理当局对内部控制的效果进行持续或定期的评估，以确保其按预定的目标发挥作用及根据情况变化而适时修正、完善。——包括日常的管理监督活动，也包括内部审计及与单位外部团体进行信息交流的监控。——旨在评估内部控制。——内部审计是控制环境中的一个特殊因素，一方面为内控的组成部分，另一方面又监督内控的运行。E、对控制的监督——由管理当局对内部控制的效果进行持续或定期审计师在对甲公司的内部控制进行了解和测试时发现：1、甲公司产成品发出时，销售部填制一式四联出库单。其中，第三、四联交会计人员乙登记产成品总帐和明细账。2、材料采购经授权批准后进行。货物运达后，验收部门根据订购单的要求验收货物，并编制未连续编号的验收单。案例分析二：审计师在对甲公司的内部控制进行了解和测试时发现：案例分析二：3、会计部门审核付款凭单后，支付采购款项。甲公司授权会计部经理签署支票，经理将支票的填制与审核交由会计人员丁办理，但保留了支票印章。4、计划部门根据批准签发预先编号的生产通知单，生产部门根据该通知单填制领料单，仓库和会计部门凭该领料单发料和记帐。5、甲公司的控股股东的法定代表人同时兼任甲公司的法定代表人。3、会计部门审核付款凭单后，支付采购款项。甲公司授权会计部经.6、甲公司设立了内部审计部，并直接对董事长负责。7、甲公司设有现金出纳员和银行出纳员，前者负责现金收支与存取，后者负责票据的取送和登记银行存款日记帐。要求：1、分析甲公司的上述内部控制有无缺陷？如有，请提出改进意见。2、上述缺陷与哪些会计报表项目或科目的何种认定有关？好难啦！.6、甲公司设立了内部审计部，并直接对董事长负责。好难啦！解答：1、乙同时负责登记产成品总账和明细账，监督失效。建议：分离。与应收账款、主营业务收入等账户的存在和发生、估价与分摊认定有关。2、未连续编号，漏记、重记。建议连续编号。与存货的完整性认定有关。解答：3、支票的填制与审核不应由一人负责。建议：出纳签发支票，经理审核并签章。与银行存款、现金、应付账款的完整性认定相关。4、仓库与会计部门只根据领料单登账，而无适当的授权凭证与牵制手段。建议：计划部门的生产通知单为一式多联。与存货及成本费用类账户的估价和分摊认定相关。3、支票的填制与审核不应由一人负责。建议：出纳签发支票，经理5、相关法律规定，甲公司的控股股东的法定代表人不得同时担任甲公司的法定代表人。建议：按相关法律的要求和程序，确定公司的法定代表人。6、内部审计部门应对董事会负责。7、甲公司分设现金出纳和银行出纳，但银行出纳员只负责到银行送取支票等票据，不负责现金存取，却又负责登记银行存款日记账和编制对账单，这将导致银行存款日记账与公司的实际收支不符，出现大量未达账项。5、相关法律规定，甲公司的控股股东的法定代表人不得同时担任甲建议：将二者合二为一，或由银行出纳员负责现金的存取。该缺陷与银行存款的存在与发生和完整性认定有关。建议：将二者合二为一，或由银行出纳员负责现金的存取。（四）从整体层面和业务流程层面了解内部控制1、在整体层面了解内部控制应当对整体层面的内部控制的设计进行评价，并确定其是否得到执行。2、在业务流程层面了解内部控制（1）确定被审单位的重要业务流程和重要交易类别；（2）了解并记录重要交易流程；（3）确定可能发生错报的环节；（四）从整体层面和业务流程层面了解内部控制1、在整体层面了解（4）识别和了解相关控制；（5）执行穿行测试，证实对交易流程和相关内部控制的了解；（6）进行初步评价和风险评估。此外，还应专门了解财务报告流程。方法同上（1）-（6）。了解内部控制针对的是内部控制是否存在、是否合理、是否得到执行。至于执行是否有效则是控制测试要解决的问题。（4）识别和了解相关控制；可能表明被审计单位存在重大错报风险的事项和情况：在经济不稳定的国家或地区开展业务；在高度波动的市场开展业务；在严厉复杂的监管环境中开展业务；待业环境发生变化；供应链发展变化；开发新产品或提供新服务；融资能力受到限制；开辟新的经营场所；发生重大收购、重组或其他非经常性事项；重大关联方交易；关键人员变动；内部控制可能表明被审计单位存在重大错报风险的事项和情况：薄弱、经营活动或财务报告受到监管机构的调查；以往存在重大错报或本期期未出现重大会计调整；存在按管理层特定意图记录的交易；应用新颁布的会计准则或相关会计制度；会计计量过程复杂；事项或交易在计量时存在重大不确定性；存在未决诉讼和或有负债。薄弱、经营活动或财务报告受到监管机构的调查；以往存在重大错报内部控制经典：沃尔玛公司案例

沃尔玛百货有限公司（Walmart）公司由美国人山姆·沃尔顿于1962年创立。在短短几十年间，它由一家小型折扣商店发展成为世界上最大的零售企业之一，2002年《财富》评选的“500强”中，沃尔玛以2189.12亿美元的销售收入位居首位。早在20世纪80年代，沃尔玛就建立起了自己的商用卫星系统。在强大的技术支持下，如今的沃尔玛已形成了“四个一”，即“天上一颗星”——通过卫星传输市场信息；“地上一张网”——有一个便于用计算机网络进行管理的采购供销网络；“送货一条龙”——通过与内部控制经典：沃尔玛公司案例沃尔玛百货有

供应商建立的计算机化连接，供货商自己就可以对沃尔玛的货架进行补货；“管理一棵树”——利用计算机网络把顾客、分店或山姆会员店和供货商象一棵大树一样有机地联系在一起。如此庞大的信息系统，沃尔玛是采用什么方法对它进行控制呢？

下面运用COSO报告中的标准与评价方法，从控制环境、风险评估过程、信息系统与沟通、控制活动和对控制的监督这五个方面对沃尔玛的物流信息系统的内部控制进行分析。

1、控制环境企业控制环境决定了其他控制要素能否发挥作用，供应商建立的计算机化连接，供货商自己就可以对沃尔玛的是内部控制其他控制要素发挥作用的基础，直接影响到企业内部控制的贯彻和执行以及企业内部控制目标的实现，是企业内部控制的核心。20世纪80年代初期，一家企业建立一个卫星系统几乎是不可想象的。那么，沃尔玛的管理层对此持何种态度呢？在提出要建立自己的卫星系统时，山姆·沃尔顿是不太赞成的。他认为目前的信息系统已经可以使沃尔玛在同业中处于领先地位，不必要再将如此多的资金投进行。然而公司的其他高层，包括几位董事和技

是内部控制其他控制要素发挥作用的基础，直接影响到企业

术总监，深知投资新技术对公司发展和控制成本、提高管理的重要性，他们勇于不断地向山姆施压，以大量的数据证明了建立卫星系统的可行性及将会给沃尔玛来带来的巨大效益。在其他高管的不懈努力下，山姆终于被说服了。待意见统一后，沃尔玛立刻花费大约7亿美元建成目前拥有的计算机和卫星系统。可以说，如果没有高管人员的当初远见卓识，如果没有他们对信息系统的强力支持，沃尔玛不可能有今天的规模和地位。2、风险评估过程术总监，深知投资新技术对公司发展和控制成本、提高管理

风险评估是提高企业内部控制效率和效果的关键。沃尔玛在不断引进新技术的基础上，仍保持着非常谨慎的态度。每次有哪位主管想建立新系统，山姆总要求他们认真评估应用该系统后可能带来的风险，并且谨慎地选择系统的应用范围，循序渐进，逐渐推广。1981年，沃尔玛开始试验利用商品条码和电子扫描器实现存货自动控制。公司先选定商店，在收款台安装读取商品条码的设备。两年后，试验范围扩大到25家店，1984年扩大到70家店，1985年公司宣布将在所有的商店安风险评估是提高企业内部控制效率和效果的关键。沃尔玛在

装条码识别系统，当年又扩大了200多家。到80年代末，沃尔玛所有商店和配送中心都安装了电子条码扫描系统。一个系统从试验到全面应用相隔差不多十年时间。其风险意识之强由此可见一斑！

3、信息系统与沟通一个良好的信息与沟通系统有助于提高内部控制的效率和效果。企业需要按照某种形式在某个时间之内取得适当的信息，并进行沟通，确保员工顺利履行其职责。沃尔玛的信息不仅供内部分店中使用，而且与供应商共享。装条码识别系统，当年又扩大了200多家。到80年代末

卫星系统每天可将销售点的资料快速、直接地传递给4000多家供应商，以便供应商及时了解市场需求。对于沃尔玛来说，他们的物流链已经远远超出了本公司的范围，沃尔玛的供应商也被包括进来。20世纪80年代未，通过计算机联网和电子数据交换系统与供应商分享信息，从而建立起伙伴关系。比如说，皇后公司和沃尔玛的合作。两个公司的计算机进行联网，让供应商随时了解其商品在沃尔玛各分店的销售和库存变动情况，据此调整公司的生产和发货，提高效率，降低成本。卫星系统每天可将销售点的资料快速、直接地传递给4004、控制活动控制活动是确保管理层的指令得以实现的政策和程序。在建立了卫星系统后，沃尔玛针对这个交互式的通讯系统重新设定了一系列的控制活动。在沃尔玛总部，高速电脑和各个发货中心及各家分店的电脑连接，商店付款台上的激光扫描器会把每件货物的条形码输入电脑，再由电脑进行分类统计。当某一货品库减少到一定数量时，电脑会发出信号，提醒商店及时向总部要求进货。总部安排货源后，送往

4、控制活动

离商店最近的一个发货中心，再由发货中心的电脑安排发送时间和路线。这样，从商店发出订单到接到货物并把货物提上货架销售，一整套工作完成只要36个小时。这保证了它在拥有巨大规模的同时仍保持高效。5、对控制的监督要确保内部控制制度切实执行且执行的效果良好、内部控制能够随时适应新情况等，就必须对内部控制进行必要的监控。沃尔玛的卫星系统可以监控到全集团的所有店铺、配送中记和经营的所有商品，每天发生的一切与经营有关的购销调存等信息。离商店最近的一个发货中心，再由发货中心的电脑安排发送

沃尔玛有统一的产品代码——UPC。经理们选择一件商品、扫描一下该商品的UPC代码，不仅可以知道商目前有多少这种商品，订货量是多少，而且知道有多少这种产品正在运输到商店的途中、会在什么时候运到。这些数据都是通过主干网和通信卫星传递到数据中心。管理人员不但能对销售情况、物流情况等实时进行监控，还可知道当天回收多少张失窃的信用卡、信用卡认可体系是否正常工作，并监督每天的交易数量。沃尔玛的数据中心也与供应商建立了联系，沃尔玛有统一的产品代码——UPC。经理们

从而实现了快速反应的供应链管理。厂商通过运营系统可以进入沃尔玛的电脑分销系统和数据中心，直接从POS上得到某供应商的商品流通动态信息，如不同店铺及不同商品的销售统计数据沃尔玛各仓库的调配状态、销售预测、电子邮件与付款通知等等，以此作为安排生产、供货和送货的依据。通过这个信息系统，管理人员掌握到第一手的资料，并对日常运营与企业战略作出分析和决策。从而实现了快速反应的供应链管理。厂商通过运营系统可以进要求：结合沃尔玛的案例，谈谈你对我国中小企业内部控制的看法（问题与解决思路）。要求：（五）对内部控制的描述1、列表调查法2、文字叙述法3、流程图法（五）对内部控制的描述1、列表调查法三、评估重大错报风险（一）评估财务报表层次和认定层次的重大错报风险P2971、评估重大错报风险时应考虑的因素2、评估重大错报风险的审计程序（步骤）：（1）在了解被审计单位及其环境的整个过程中识别风险，并考虑各类交易、帐户余额、列报；（2）将识别的风险与认定层次可能发生错报的领域相联系；（3）考虑识别的风险是否重大；（4）考虑识别的风险导致财务报表发生重大错报的可能性三、评估重大错报风险（一）评估财务报表层次和认定层次的重大错3、识别财务报表层次和各类交易、账户余额、列报与披露认定层次的重大错报风险4、特别考虑：（1）控制环境影响对报表层次的重大错报风险的评估；（2）控制还影响对认定层次的重大错报风险的评估；（3）财务报表的可审性。3、识别财务报表层次和各类交易、账户余额、列报与披露认定层次（二）特别考虑：1、特别风险：审计师识别和评估的、根据判断认为需要特别考虑的重大错报风险。

在确定风险的性质时应考虑：（1）风险是否属于舞弊风险；（2）是否与近期经济环境、会计处理方法和其他方面的重大变化有关；（3）交易的复杂程度；（4）是否涉及重大的关联方交易；（5）财务信息计量的主观程度