1、chendanpingNanjing Audit University1chendanpingNanjing Audit University2l1、内部控制理论的发展及框架l2、内部控制要素及评价l3、内部控制审计方法chendanpingNanjing Audit University3发展阶段 时间 期望和需求 特点 内部牵制 20世纪 预防舞弊,保护 以组织控制、不相容 20年代 所有者权益 职务分离为核心内容内部控制 20世纪 提高审计的效率,分为会计控制和管理控制 40-70年代 降低审计成本 不考虑环境因素的影响 用于系统基础审计 内部控制 20世纪 提高审计的效率 开始考虑环境
2、对控制的影响结构 70-90年代 降低审计风险,提出三要素:控制环境、用于风险导向审计 会计系统和控制程序内部控制 20世纪90 服务于组织目标的 提出内部控制三目标和整体框架 年代后 实现;同时也用于 五要素:控制环境、风险评估 重大错报风险的评估 控制活动、信息沟通、监督chendanpingNanjing Audit University4一、内部控制概念一、内部控制概念:(一)定义:1、内部控制是组织为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。chendanpingNanjing Audit University5
3、2、COSO提出:提出:l内部控制内部控制-被定义为一个过程,这个过程受企被定义为一个过程,这个过程受企业的董事会、管理层及其他人员的影响。设计业的董事会、管理层及其他人员的影响。设计这个过程是为达成下列目标提供合理的保证这个过程是为达成下列目标提供合理的保证:营运的效果和效率营运的效果和效率;财务报表的可靠性财务报表的可靠性;相关法相关法令的遵循。令的遵循。l“内部控制是由企业董事会、经理阶层和其他内部控制是由企业董事会、经理阶层和其他员工实施的,为运营的效率效果、财务报告的员工实施的,为运营的效率效果、财务报告的可靠性、相关法令的遵循等目标的实现提供合可靠性、相关法令的遵循等目标的实现提供
4、合理保证的过程。理保证的过程。”chendanpingNanjing Audit University6COSO提出“内部控制是由董事会、经理阶层和其他员工实施的”,他们各自承担的责任应该是:1、经理阶层经理阶层总体责任:建立健全内部控制并使之有效运行1-1 总经理确保组织具有积极的内部控制环境,了解下属责任的履行,自我评估和改善;1-2 部门负责人制定与执行与部门目标有关的内部控制 ,确保与组织目标的一致;1-3 更低层次负责人执行与本层次有关的内部控制,处理例外,向上级汇报;1-4 财务主管具有全局性而特殊重要,记录和分析营运状况,制定和执行财务报告内部控制。chendanpingNanj
5、ing Audit University72、董事会董事会的责任2-1 通过选择管理层说明其对操守、价值观的期望;2-2 通过监督活动确认其期望的实现程度;2-3 保留关键决策权和监督权,涉入内部控制。chendanpingNanjing Audit University83、其他人员其他人员的责任3-1 内部审计人员的责任是内部控制的一部分,责任是直接检查、连续监控和建议完善;3-2 其他员工的责任采取行动、提供信息,出现问题时向上报告的责任。chendanpingNanjing Audit University9 萨班斯萨班斯奥克斯利法案奥克斯利法案(Sarbanes-Oxleys Act
6、s)2002年年7月发布的月发布的萨班斯萨班斯奥克斯利法奥克斯利法案案要求公司的管理层评估和报告公司最近年要求公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。还要求公度的财务报告的内部控制的有效性。还要求公司的外部审计师对管理层的评估意见出具司的外部审计师对管理层的评估意见出具“证证明明”,即向股东和公众提供一个信赖管理层对,即向股东和公众提供一个信赖管理层对公司财务报告的内部控制描述的独立理由。公司财务报告的内部控制描述的独立理由。chendanpingNanjing Audit University103、中国内部审计协会(CIIA)2005年在具体准则5中提出:内部控制是
7、指组织内部为实现经营内部控制是指组织内部为实现经营目标,保护资产安全完整,保证遵循国目标,保护资产安全完整,保证遵循国家法律法规,提高组织营运效率及效果家法律法规,提高组织营运效率及效果而采取的各种政策和程序。而采取的各种政策和程序。chendanpingNanjing Audit University11全面理解其内涵:(1)目的性:为实现一定目标而实施;(2)过程性:使组织活动依循既定目标进行的过程;(3)结合散布性:与组织活动相结合,散布于各项活动中;(4)环境影响:环境深刻地影响内部控制的有效性;(5)人的特殊地位:人既是控制的主体,又是控制的客体;(6)文化性:组织内部存在的“控制观
8、念”直接影响控制效果。chendanpingNanjing Audit University12二、内部控制主体:行政领导、职能部门、有关人员三、目的:(1)确保国家法律规定和组织内部规章制度的贯彻执行;(2)确保组织发展战略和经营目标的全面实施和充分实现;(3)确保风险管理体系的有效性;(4)确保业务记录、财务信息和其他管理信息的及时、真实和完整。chendanpingNanjing Audit University13四、内部控制措施:(1)组织控制与职务分离;(2)授权批准控制;(3)文件记录控制;(4)实物安全控制;(5)人员素质控制;(6)预算控制与业绩报告;(7)内部审计等。che
9、ndanpingNanjing Audit University14五、内部控制类型1、预防性控制:防止错弊和损失的发生例如:对客户信用进行审核以减少坏帐发生;采用招标方式选择理想的供应商等。2、检查性控制:将已经发生或存在的错误检查出来例如:核对银行对帐单,检查预防性控制的执行情况等。3、纠正性控制:对检查出来的错误进行更正例如:当计算机检查出输入有误的供应商号码,可以从供应商取出正确的号码进行更正。chendanpingNanjing Audit University154、指导性控制:为实现有利结果的控制例如:上级对下级人员的督导等。5、补充性控制:针对某些控制环节的不足而采取的补充例如
10、:业主或经理的亲自督导经常能弥补小规模组织的职务分离不足等。chendanpingNanjing Audit University16六、内部控制的局限性1、成本限制(成本效益原则)2、串通舞弊3、人为错误4、管理越权5、修订跟不上变化(时效性)chendanpingNanjing Audit University17一、内部控制的要素l1992年美国的COSO报告最初提出时,就明确了内部控制五要素的整体架构;2002年美国发布的萨班斯-奥克斯莱法案,又再次肯定了COSO报告所提出的内部控制五要素的整体架构。内部控制五要素论认为内部控制整体框架是由控制环境、风险评估、内部控制活动、信息交流以及
11、监督等五要素组成的。2004年又增加二个要素:事件识别、风险反映。chendanpingNanjing Audit University181、控制环境:是内部控制组成要素的基础,是所有控制方式方法赖以存在的运行环境。这对塑造企业文化、提供纪律约束机制和影响员工控制意识有着重要作用。影响控制环境的因素有员工品德与能力、管理哲学与经营风格、组织结构与权责划分、人力资源运用与发展、董事会的关注与指导等。2、风险评估:其目的是为了辨认并分析影响目标达成的各种不确定因素。chendanpingNanjing Audit University193、事件识别:识别是否构成风险事项或潜在风险因素。4、风险
12、反映:确定组织可接受的风险水平及风险损失等。5、内部控制活动:是确保管理阶层指令实现的各种政策和程序总称,其主要内容包含:核准、授权、验证、调节、复核、资产保全、职务分工。chendanpingNanjing Audit University206、信息与沟通,目的在于确保整个内部控制中资讯的辩识、取得以及内外的有效沟通。7、监督,是指随着时间流逝而评估内部控制制度执行质量的过程。监督方式有三种:持续监督、个别评估、综合监督。内部控制缺失严重的,则必须向最高管理阶层及董事会呈报。chendanpingNanjing Audit University21二、内部控制的设计原则1、设计程序正确分段
13、一般分段:计划申请 审核批准 办理手续 实施执行 记录登记 核实核对2、考虑不相溶职责分工:(1)授权批准某项业务与执行该业务职责分离(2)执行某项业务与审核该业务职责分离chendanpingNanjing Audit University22(3)执行某项业务与记录该业务职责分离(4)资产保管与资产记录职责分离(5)资产保管与资产清查职责分离(6)记录总账与记录明细帐、日记账职责分离电子数据处理系统下:系统分析员、编程员、计算机操作员、资料保管员、数据控制小组等应职责分离chendanpingNanjing Audit University23三、组织内部控制设计中控制风险责任追究制度:1
14、、董事会、高级管理层应当对内部控制失效造成的重大损失承担责任;2、内部审计部门应当对检查发现问题隐瞒不报、上报虚假情况或检查监督不力,承担相应的责任;3、业务部门应当及时纠正内部控制存在的问题,并对出现的风险和损失承担相应的责任;4、高级管理层应当对违反内部控制的人员,依据法律规定、内部管理制度追究责任和予以处分,并承担处理不力的责任。chendanpingNanjing Audit University24四、萨克斯法案对内部控制的影响1、由于美国萨班斯-奥克斯莱法和美国证券交易委员会的有关指南,要求上市公司的高层管理人员对提交的财务报告提供保证,因此执行管理层是控制环境和财务资料的责任人。
15、2、外部审计师为财务报告作公证,他要向财务报告使用者保证报告中的资料是按照公认会计准则公允地反映了组织的财务状况。3、内部审计师则负责向审计委员会或其它委员会保证,组织为编制财务报告所设置的内部控制制度是有效的。内部审计执行主管要经常及时地与审计委员会沟通。chendanpingNanjing Audit University25为了帮助高级管理人员履行法定义务和要求,内部审计执行主管应将财务报告编制内部控制有效性评价和财务报告过程审计列入年度审计工作计划,并分配适当的资源。chendanpingNanjing Audit University26五、财务报表有关的内部控制有效性评价:1、组织
16、是否有浓厚的道德文化环境(1)董事和高级管理人员是否以身作则遵守组织的道德行为规范,为员工树立榜样。(2)组织的道德行为规范是否通过培训使全体员工了解,并成为组织道德文化的倡导者和执行者。(3)组织有无公开的沟通渠道,使管理人员获得所需的信息。(4)组织的目标和激励措施是否恰当,有无过分强调短期行为的现象。(5)财务报告有无不实的表述和舞弊。chendanpingNanjing Audit University272、组织怎样进行风险管理(1)组织有无风险管理程序?是否有效?(2)高级管理层是否依靠整个组织来控制风险?(3)管理层是否开诚布公地与董事会讨论主要风险?chendanpingNan
17、jing Audit University283、组织的控制制度是否有效(1)组织对财务报告过程的控制是否全面?是否包括收集资料、编制财务报表及其附注,以及规定要披露的和自主披露的事项(2)高级管理层和相关管理层是否声明对控制有效性承担责任?(3)组织的财务报告或财务披露是否反映出高级管理层、董事 会或组织事故不断?chendanpingNanjing Audit University29(4)整个组织是否有良好的沟通渠道和报告制度?(5)控制制度被视为促进目标实现的积极因素,还是绊脚石?(6)雇用的人员是否合格?是否经过充分的培训?(7)解决问题是否及时和有效?chendanpingNanj
18、ing Audit University304、组织是否有有效的监督(1)董事会是否独立于管理当局,没有利益衝突,信息灵通,对存在的问题及时进行了调查?(2)内部审计是否得到高级管理层和审计委员会的支持?(3)内部审计师和外部审计师是否与高级管理层和审计委员会进行开诚布公的沟通和私人接触?(4)各级管理人员是否对控制过程进行监督?(5)对外购审计过程是否进行了监督?chendanpingNanjing Audit University31六、存在的问题:1、组织内控制度实务中存在的多种问题,归纳起来主要有:无章可循,内控制度不健全;有章难循,内控制度脱离企业实际;有章不循,缺乏制度执行机制;违
19、章不纠,缺乏必要奖惩制约。chendanpingNanjing Audit University322、传统管理观念的负面影响:以“家长制”为主的管理构架,缺乏对员工权益和民主的足够重视;以个人忠诚为基本管理关系纽带,用人有明显的感情关系;重视可见资产和短期利益,忽视隐形资产和长远利益;习惯于封闭式管理方式,漠视环境变化的影响;chendanpingNanjing Audit University33唯上级的指令和红头文件为管理依据,忽视客观规律和员工的主观能动作用;唯行政隶属关系为管理关系纽带,忽视产权关系、科学与法制;利益分配平均化和主观化,忽视团体和个人的贡献;习惯于条块分割式规模管理,
20、忽视系统科学的网络管理。chendanpingNanjing Audit University34七、内部控制评价方法1、一般方法1-1 利用以前年度审计获得的信息,并作适当更新;1-2 询问管理和其他人员,并加以印证;1-3 审阅各项管理制度和相关文件;chendanpingNanjing Audit University351-4 检查内部控制执行过程中生成的记录和凭证;1-5 实地观察,针对关键控制点;1-6 对具有代表性业务进行穿行测试;1-7 调查表法chendanpingNanjing Audit University362、内部控制调查举例:采购业务循环的内部控制调查2-1 业务
21、流程描述采购业务是组织从外部获得商品或劳务并支付价款的过程。该循环通常包括:(1)提出采购申请,由采购部门或仓库部门根据存货库存水平或生产需要提出;chendanpingNanjing Audit University37(2)编制和批准订货单,包括供应商的选择和价格比较;(3)与供货商签定采购合同;(4)验收货物,包括质量检验;(5)确认债务或支付货款。chendanpingNanjing Audit University38采购 审批 采购 入库 付款 记帐(使用)(领导)(供应)(仓库)(财务)(财务)请购单 请购单 供应计划 质检单 付款凭证 记帐 供货合同 入库单 凭证 发票 发运单
22、chendanpingNanjing Audit University392-3 采购业务循环内部控制调查表内容举例(1)申请采购。例如:采购计划是否经主管负责人核准;对主要原材料和其他金额较大的物资采购重大事项,是否通过会议或其他形式的集体决策;采购是否与请购、审批、运送、验收的职责相分离;对重要物资的采购价格是否由内部价格信息部门审核。(2)购入货物。例如:大宗货物入库前是否有质量检验部门的鉴定手续;收到货物的品种、数量和质量与合同、发票不符的是否记录并采取相应措施等。chendanpingNanjing Audit University40(3)确认和记录采购和应付款项例如;会计部门是否
23、根据进货单和购货发票登记材料采购帐户;财务部门和仓储部门是否定期核对购货入库情况;是否定期与常年和供货商核对应付帐款等。(4)评价结论:采购业务循环的控制风险为(高、中、低);是否进行符合性测试(是、否)。chendanpingNanjing Audit University413、符合性测试举例:3-1采购业务循环内部控制测试程序表(工作底稿)chendanpingNanjing Audit University42测试方法 测试内容 执行情况 索引号1、询问 (1)取得与采购业务相关的管理规定、进货报告和记录;(2)询问采购业务相关人员有关内部控制 执行情况,重点是批准手续和复核对帐。2、
24、观察 对不相容职务的分离情况进行观察3、检查书 (1)采购合同 面文档 (2)核对采购合同与采购单、订购单、入库单、付款和记帐凭证等是否一致;(3)检查采购合同与请购单的授权批准;(4)检查重要物资的采购价格审批情况;chendanpingNanjing Audit University43测试方法 测试内容 执行情况 索引号检查书面 (5)收货记录文档 (6)检查没有购货合同的进货采购前 是否已获批准 (7)应付帐款明细帐:是否有对帐记录;入帐是否附有购货发票,没有购货发票 是否根据估计成本计算债务;入帐是否 以已收货物或劳务为基础。结论:经内部控制测试评价,确认采购业务循环的控制风险为:高
25、()中()低()chendanpingNanjing Audit University443-2要素评价的工具(以监督要素为例)一一.持续的监督持续的监督(一一)1.结论结论/所需的措施所需的措施二二.个别评估个别评估(一一)1.结论结论/所需的措施所需的措施三三.缺失的报导缺失的报导(一一)1.结论结论/所需的措施所需的措施本要素的汇整本要素的汇整结论结论/所需的措施所需的措施chendanpingNanjing Audit University454、要素评价要素评价4-1控制环境评价控制环境评价 4-1-1操守及价值观评价操守及价值观评价 有否员工行为守则有否员工行为守则 高层道德指引高
26、层道德指引 管理阶层交往管理阶层交往 对违反行为的惩罚对违反行为的惩罚 对逾越控制的态度对逾越控制的态度 诱惑与奖励诱惑与奖励 chendanpingNanjing Audit University464-1-2执行能力执行能力 职务说明书职务说明书 技能分析技能分析4-1-3董事会及监督委员会董事会及监督委员会 独立与质疑独立与质疑 子委员会子委员会 知识与经验知识与经验 与相关方面联系与相关方面联系 chendanpingNanjing Audit University47资讯获取资讯获取 资讯评估资讯评估重要决定的监督重要决定的监督高层道德观念高层道德观念监督行为监督行为chendanp
27、ingNanjing Audit University484-2目标风险评估目标风险评估4-2-1整体目标制订整体目标制订整体目标及特定性 整体目标传达 策略与整体目标关系 计划预算与整体目标关系4-2-2作业层级目标制订作业层级目标制订 作业层级目标与整体目标的关系 chendanpingNanjing Audit University49各作业层级目标的一致性各作业层级与重大业务间相关性各作业层级明确性实现目标所需资源的适当性辨识层级目标的重要性参与及承诺chendanpingNanjing Audit University50 5、控制自我评估 5-1 20世纪80年代始,北美洲一些公司
28、将内部控制和风险管理交由各营运单位管理层自行负责,并取得显著成效后,这一被称为“控制自我评价”的做法在美国和许多国家传播和推广。控制自我评价的关键内容是:由营运组织定期开会和分析,通过思考和坦诚沟通,找出作业流程和控制的问题所在,并提出改善的行动方案。控制自我评价本质是一种管理实务,并非审计活动,但内部审计可以参与其中。chendanpingNanjing Audit University515-2控制自我评价的过程(1)取得管理层的支持:建立审计与管理层的合作关系(2)建立工作小组:至少有两个协调人,组织研讨会(3)召开研讨会:分享信息与经验,加以评价(4)分析数据;(5)报告结果;(6)形
29、成行动计划。chendanpingNanjing Audit University525-3、内部审计在自我评价中的作用5-3-1 一般作用:设计、培训和承办活动;担任自我评价活动的顾问;为工作小组配备协调人和专家;担任小组评价报告的最后核实;协助管理层建立和完善风险管理和控制系统。chendanpingNanjing Audit University535-3-2 配备合格的协调人每项评价至少有两个合格的内部审计人员担任协调人:一名是熟悉研讨单位的营运作业流程,以确保讨论不会离题;一位是研讨会的核心人物,应用各种技巧控制研讨会。chendanpingNanjing Audit Univers
30、ity54一、一、内部控制评价步骤(1)健全性测试(2)符合性测试(3)制度总评(4)结果报告 二、方法 通常与制度基础审计程序相联系,在不同阶段分别采用不同的技术方法。chendanpingNanjing Audit University55(一)调查了解内控的方法(一)调查了解内控的方法利用以前年度审计中获得的内控信息,并根据情况作适当更新1、询问被审单位的有关人员2、查阅被审单位的政策和规章制度手册3、审查内部控制生成的凭证和记录4、观察被审单位的经营管理活动5、选择若干具有代表性的交易和事项进行穿行测试chendanpingNanjing Audit University56(二)符合
31、性测试的方法1、询问法2、实地观察法3、书面文档检查法4、重复执行法chendanpingNanjing Audit University57(三)评价控制风险的方法1、确认该账户或交易类别可能发生哪些潜在错报2、确认哪些控制可以防止或发现这些错报3、评价符合性测试所获得的有关控制是否被适当设置和有效执行的证据4、评价账户或交易类别的控制风险水平chendanpingNanjing Audit University58(四)对测评结果的利用1、确定实质性测试的范围、重点和方法(1)定量方法:l根据审计风险模型,确定检查风险水平l将以确定的检查风险水平转化为实质性测试可信赖程度(互为补数)l计算样本规模chendanpingNanjing Audit University59(2)定性方法:风险矩阵表 可靠程度很低、低、中、高、*等级别v很低、低:审计重点详细审计v中、高:抽样审计v*:不作检查然后根据样本特征,进一步确定审阅法、盘点法等技术方法