文档介绍:审计风险评估与应对
第一页,共104页。
目录 1/2
风险导向审计的含义
风险评估
了解被审计单位及其环境
了解被审计单位的内部控制
内部控制的概念
内部控制的发展历史
内造假的重要性,并呼吁经理层报告其内部控制系统的有效性。报告还指出良好的内部控制环境、道德行为规范、尽职且有胜任能力的审计委员会和强健的内部审计是良好内部控制的关键构成要素。
*
第十六页,共104页。
*
1992年9月,COSO发布了名为《内部控制——整体框架》的研究报告(通常称为COSO报告),对内部控制进行了定义并提出了对内部控制进行评价的方法和程序。
2000年,COSO发布了一份名为《企业风险模型》的研究报告的初稿,对1992年的研究报告进行了扩展。
资料来源:Robert Moeller, 2004. Sarbance-Oxley and the New Internal Auditing Rules, -124。
*
第十七页,共104页。
2006年,COSO发布《财务报告控制——小型公共公司指南》;
2009年,发布《监督内部控制指南》;
2013年,发布修订版《内部控制——整体框架》;
此外,COSO还分别于1987、1999和2010年组织了对虚假财务报告的研究。
*
*
第十八页,共104页。
COSO系列研究报告
*
*
第十九页,共104页。
*
内部控制包括下列要素:(一)控制环境(二)风险评估过程(三)信息与沟通(四)控制活动(五)监督活动。
以下是内部控制要素图。
内部控制制度的要素()
*
第二十页,共104页。
新框架中的内控要素图
*
*
第二十一页,共104页。
从上图可以看到,内部控制有三个目标,五个要素,并在各个层次存在,即内部控制应该是无处不在的。
2013年COSO修订的《内部控制整体框架》将五个要素进一步细化为十七条原则。
*
第二十二页,共104页。
*
控制环境
控制环境:控制环境是对企业内部控制的建立和实施有重大影响(增强或削弱)的因素的总称。是内部控制的基础。
控制环境包括如下方面:
(一)对诚信和道德价值观念的沟通与落实:通常决定于“顶层的基调” ;员工的行为动机(不切实际的目标,过于严厉的惩罚制度;职责划分;内部审计)
*
第二十三页,共104页。
*
(二)对胜任能力的重视:岗位的配备、培训、检查和补救措施。
(三)治理层的参与程度:董事会、审计委员会的独立性、胜任能力与工作作风(是否尽职)。
(四)管理层的理念和经营风格。
(五)组织结构:组织实际上就是人员配置方式,就是如何通过人员的分工与合作达到组织的目标。“三权分立”制度与美国的伊拉克政策。
*
第二十四页,共104页。
控制环境的五条具体原则
*
第二十五页,共104页。
*
风险评估过程
影响企业达到其目标的因素就是风险。
风险评估的三个步骤:
评估风险的严重程度;
估计风险发生的可能性;
考虑应采取哪些措施管理风险。
*
第二十六页,共104页。
风险评估的四条原则
*
第二十七页,共104页。
*
控制活动
是指那些确保风险控制措施得到执行的政策和程序。一般包括如下方面:
业绩评价:将实际情况与标准进行比较,发现异常情况及时采取纠正措施;
授权批准:一般授权与特殊授权;
信息处理(充分的记录):保证信息安全;
*
第二十八页,共104页。
*
实物控制:实物包括固定资产、存货、现金和有价证券等。实物财产的保管制度、实物盘点;
独立稽核:即监督有关措施是否得到执行;
职责分离(如图2):不相容职务分离的目的在于降低错误或舞弊行为的发生。
*
第二十九页,共104页。
控制活动的三条原则
*
第三十页,共104页。
*
信息与沟通
沟通就是信息的交换。信息系统与信息沟通是两个不同的要素。COSO为了使内部控制的内容简洁一点,将二者合并在一起。
信息系统:信息系统可以是正式的,也可以是非正式的;既有对内部的,也有对外部的。
信息的质量:高质量的信息是内部控制有效发挥作用的必备条件。
*
第三十一页,共104页。
*
信息沟通
信息的内部沟通:沟通的渠道要畅通,信息沟通是双向的,包括自上而下的沟通和自下而上的沟通;正式的沟通和非正式的沟通;通过正常渠道进行的沟通与秘密的沟通等。
*
第三十二页,共104页。
*
沟通的方式
对外的沟通(与供应商、客户的沟通):也是双向的。对外的沟通不只是公关性质的(宣传自己),而且信息要是外部利益相关者所