●一、内部控制
●定义:一个受到实体董事会、管理者和其他人影响的过程,该过程旨在为实现经营、报告与合规三个目标提供合理保证
●内部控制的局限性
●3个目标
●经营的目标:提升效果和效率;资产监管
●报告的目标:财务报告的可靠性
●合规的目标:要求企业采取措施,通常是一些特定的措施来遵守适用的法律法规
●5个要素
●控制环境:不同角色职责(诚信与道德价值、独立与监督、结构与权力、有胜任力的人才、个人责任)
●风险评估:(目标确定、风险识别、潜在的舞弊行为、识别变化)
●风险容忍度:
●可能性×影响
●固有风险&剩余风险
●风险的应对措施:接受、规避、降低、分担
●对舞弊风险的评估
●控制活动(降低风险活动、对于技术的控制活动、实时活动)
●交易控制
●授权与批准
●记录
●处理和监管资产
●盘点和核对
●其他控制活动
●充分的文档记录
●预编码号
●独立核查(强制轮休、轮岗)
●预防控制——职责分离
●检查控制
●信息与沟通(有关信息、内部沟通、外部沟通)
●监督活动(独立评估、沟通缺陷)
●17条原则(如上)
●内部控制的作用与局限
●作用:为高层增加信心;及时反馈减少意外;满足进入资本市场的要求
●局限:目标适用性;决策中人的偏见;管理层凌驾;合谋规避内控;外部事件发生
●内控隐含原因:内部控制的设计需要遵循成本效益原则且不阻碍正常运作效率
●二、外部审计
●可接受的审计风险=固有风险*控制风险*检查风险
●固有风险(Inherent risks):在内部控制体系缺失的情况下,财务报告中出现重大错报的可能性
●控制风险(control risk):内部控制系统可能无法预防或发现的重大错报。
●审计风险(audit risk):会计报表存在重大错误或漏报,而注会审计后发表不恰当审计意见的可能性
●检查风险(detection risk):审计证据未能发现重大错报
●舞弊三角
●动机/压力(首要原因:管理层或员工外部激励或压力)
●机会(客观条件:环境为人提供机会)
●态度/合理化(主观意愿:存在一种态度、特质或伦理价值,人做出蝇营狗苟之事;或某种环境产生的压力足以让他们为自己所做的不当或者不法之事给一个合理的理由)
●审计师责任
●审计意见
●无保留意见:在所有重大方面都公允地反馈
●附有说明段或修正措辞的无保留意见
●保留意见:错报是重大的但不具有广泛性
●否定意见:在所有重大方面都没有公允地反映
●拒绝发表意见:无法获得用于形成审计意见充分适当的审计证据
●三、与内控相关的法律
●《海外反腐败法》
●反行贿条款:禁止美国公司向海外官员贿赂
●会计控制条款:公司必须设立一套“内部会计控制条款”为管理层授权的交易提供合理保证
●塞班斯法案
●201条款——审计师执业范围之外的业务
●203条款——负责审计合伙人的轮换
●204条款——审计师向审计委员会报告
●302条款——公司对财务报告的责任
●404条款——管理层对内部控制的评价
●407条款——有关审计委员会财务专家的信息披露
●上市公司会计监察委员会(PGAOB)——《第5号审计公告》
●1.引入了基于风险的规则,重点是针对事实和环境的企业层面控制的有消息,关注管理层的内控能力
●2.要求外部审计师关注最严重的风险
●3.剔除那些对实现期望目的没有价值的审计步骤
●由上至下的方法按比例调节法(关注企业层级的控制,并向下至重要的账户)
●四、系统控制与安全措施
●一般控制
●职责划分:程序员和系统操作员是最主要的职责划分
●逻辑访问控制和物理访问控制
●备份——祖-父-子三级备份,异地备份
●灾后恢复计划——冷站、热站、温站、实时镜像
●应用控制
●输入控制
●验证程序:数字总和,校验位数,完整性检查,顺序检查,合理性测试,批总量,限制性测试
●处理控制
●文档的密码保护,错误列表,审计跟踪
●输出控制
●信息安全
●输入操作
●程序变更
●文档直接变更
●数据窃取
●恶意破损
●钓鱼:通过直接诱骗受害者,使其将一些诸如密码、存款等重要的信息给到网络诈骗者
●病毒:自由复制和自我执行
●木马:不会自我复制,但会有后台操作
●流程图
●系统流程图:在一个系统中确定整体和主要的运营流向,说明输入的产出,输入的次序,处理模式以及输出的形式或内容
●程序流程图:主要是有系统开发人员使用,与系统流程图类似,更关注详细的处理功能
●分析流程图:用于确定一个应用系统所在重要的处理程序并重点分析实施控制的任务流程
●文件流程图:用于列出应用系统中所使用的的所有文档并确定这些文档组织、分步和最终处置的控制点
