内控制度审计

1、内控制度审计我们首先看一个案例，通过案例内容，审查该单位内控 制度存在哪些缺陷和错弊：案件简介：某A煤炭销售公司在江西有一 B公司销售代理商。P先 生是该公司负责江西煤炭销售主管，并与当地的各销售代理 商做好发货收货及双方对帐工作。 2006 年 12 月 21， P 先生 冒充 B 公司的名义，并私刻 B 公司的公章，伪造了一份 “要 货计划书 ”发送给 A 公司， 并指明送货地址是 “江西萍乡某区 某街道某号 ”（ 后查明，该地址不是 B 公司的办公地址） ，该 笔煤炭货款价值为 20 万元； 2007 年 4 月 A 公司与 B 公司 进行季度对帐工作时候发现该笔款项有疑问，当即打电话给

2、 所在地的销售主管 P,而P一口咬定是B公司内部管理混乱， 是 B 公司内部员工所为。 为慎重起见， A 公司与 B 公司将该 笔款项所附带的 “货物运输合同 ”仔细查看，发现签收的收货 人不是B公司，而是C公司。通过向C公司追问，才发觉， 这笔货是 P 先生委托 C 公司代为签收， 然后再由 P 先生回签 的。这笔货早已被 P 提走。至此，真相大白， A 公司立即报 案，后 P 被公安机关抓获，检察院以职务侵占罪提起公诉， 经法院审理，判 P 犯职务侵占罪，判处有期徒刑 2 年。但 P 已经将所提的煤炭已经低价销售给了其他经销商， P 本人也 无偿还能力， A 公司即使通过民事诉讼程序，也很

3、难去追讨 自己所遭受的损失。案件分析：这是一起比较严重且典型的公司员工职务侵占罪案件。对 A 公司而言，在以下内控方面存在严重缺陷：1、公司经营管理制度松懈，发货流程存在重大漏洞。 体现在：代理商仅凭 “发货计划书 ”就可以向 A 公司提货。应 该由 A 公司主管销售领导审批， B 公司具体负责人员审核， P 先生签字，方可生效。尽管这个政策的目的是为了促进代 理商加快货物运输速度，提高销售额。但这往往使恶意第三 人抓住该流程漏洞，冒用代理商的名义谋取非法利益。 （内 控制度的建立健全）2、公司对相关员工职务权限下放过大且对职务权限监 督形式流于表面。 如前所述， 在发出 “要货计划书 ”时，

4、没有 任何部门负责人去进行核实，核实 “要货计划书 ”中列明的收 货人与运输合同的收货人是否是同一人。而 P 也正是利用公 司对其高度信任这点， 滥用手中掌握的信息资源 ,监守自盗谋 取私利。如果当时其上级主管或财务人员能认真核实一下， 很容易发现要货人和收货人不一致的问题，从而避免损失。 （内控的授权审批制度：审批权过大，不相容相关部门的监督审核）3、A 公司与外部代理商公司沟通不到位。主要体现在 对帐不及时。作为一对长期贸易合作的相互信赖的公司，以 季度为单位进行财务对帐本意也是为了节约双方资源。但正 是对帐的落后导致信息交流不及时，等到发现自己受到损害 时加害人早已销赃逃脱了。 （销售与

5、收款内控环节：没有树 立正确的应收账款管理目标，会计监督相当薄弱）建议公司从以下几个方面着手：1、在与客户签订合同的时候，可明确约定：不得以现 金结算。以转帐支票结算的，付款人必须将收款人名称填写 清楚，否则，由付款人承担由此造成的损失。2、对长期合作客户，由财务经常对帐（一般以一个月 为周期）及时掌握收款情况，避免只由少数业务员掌控，公 司管理失控的局面。3、专项业务当然由公司专项人员专门负责收款，但其 主管人员也要经常检查监督， 及时掌握情况。 以防从中截留4、加强员工的思想教育法制教育。这是从思想源头上 去防范职务侵占行为发生的政策。特别是对能够经手公司现 金和财产的员工以及各类高级管理

6、人员都要加强这方面的 工作。把握员工的思想脉搏，教育职工对待公司要有主人翁 的精神，这个工作要做细做深入。比如要多了解员工的工作 状况思想态度，关注员工的工作条件福利待遇等是否让员工 满意，要及时发放员工工资，不拖欠，不克扣。因为有部分 职务侵占案件都是因为公司拖欠职工工资引起。同时收集、 保留好员工的个人资料，如：身份证复印件、家庭住址、电 话、领取工资的收据、纳税凭证、由其签字的保密协议、规 章制度等。）5、针对公司的特定情况，制定适合公司的运行监督管 理机制。包括在财务出纳管理制度、发货收货制度、公司资 产盘点制度等。特别是要健全财务制度， 促进资金监管安全。 通过完善公司相关制度建设，

7、使监管具有可操作性。只有这 样，才能及时发现问题，从而能堵塞公司运行中出现的漏洞， 防止造成更大的损失。内控制度审计企业内部控制贯穿整个企业经营之中，现在企业不再仅仅依靠企业自身闯市场的能力，而更加注重于企业内部管理的完善，依靠企业自身内部的管理机制的成熟来提高管理能 力。企业内部规范的框架结构及内容企业内部控制基本规范企业内部控制应用指引企业内部控制评价 指引企业内部控制鉴证指引目标原则和实施体系要素22项内容3项内容注册会计师内控定义内控目标（5个方面） 原则（5个方面）实施体系（3个方面）内控要素（5个方面）1、财务报表直接或间接体现的的项目，或者就是 对财务与信息披露的内在 要求。如资

8、金、米购、存货、 销售、工程项目、固定资产、 无形资产、长期股权投资、 筹资、成本费用、担保、财 务报告编制与披露、衍生工 具、企业合并、关联交易等1、评价的原则和内容2、评价的程序和方法3、内部控制评价报告针对查找出来的问题找出失控原因， 对缺陷进行分析，提出相应改进、补救 措施。应当遵循（五个）一定的基本原 贝U,按照一定的内容（8项），改进方法 要具有可操作性。内部控制鉴证指引旨在为注册会计师企 业内部控制鉴证业务提供专业规范和指 导。内部控制基本规范第 10条规定：接 受企业委托从事内部控制审计的会计师 事务所，应当根据规范及其配套办法的 相关准则，对企业内部控制的有效性进 行审计，出

9、具审计报告。内控设计2、对财务报表、财务管理有重大影响的项目， 如全面预算、合同、业务 外包、对子公司控制等针对要素出现的内控措施设计程序（4个方面） 内控措施（7个方面）3、为生成财务报表提供人力和技术支撑的项 目，如人力资源、信息系 统、内部报表等。第一章 内部控制的一些具体概念现代意义上的企业内部控制是在长期的经营活动过程中，随着企业对内加强管理和对外满足社会需要，逐渐产生 并发展起来的自我检查、自我调整和自我制约的系统。我们 现依据的是2008年6月，五部委（财政部、证监会、审计 署，银监会、保监会）联合发布了我国首部企业内部控制 基本规范，在 2009年7月1日起首先在上市公司范围内

10、 施行，并鼓励非上和有其他大中型企业执行。它的制定有4个原则，5个意义。一、内部控制基本规范（一）内部控制定义基本规范将内部控制定义为：由董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。（二）内部控制的目标1、合理保证企业经营管理合法合规2、合理保证企业资产安全3、合理保证财务报告及相关信息真实4、提高经营效率和效果5、促进企业实现发展战略报告目标：对内对外报告的可靠性经营目标：对风险做出适当反应，促进运营的效率和效益（为企业目标的实现提供合理保证）合规目标：法律法规、商业行为的内部政策（三）内部控制原则全面性、重要性、制衡性、适应性和成本效益性。2、重要性原则。内部控制应当在

11、全面控制的基础上， 关注重要业务事项和高风险领域。3、制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。制衡性：横向和纵向双方牵制使得错 弊减少到最低程度。一项完整的经济业务，如果是经过两 个以上的有相互制约环节对其进行监督和核查，其发生错弊现象的几率就很低。就具体的内部控制措施来说，相互 牵制必须考虑横向控制和纵向控制两个方面的制约关系。 它要求企业生产经营活动中较为重要的事项不能由同一人 或者同一部门单独完成，而必须在其他部门或者人员的监督 与制约之下，形成互相牵制的效应，以防止违法、舞弊等现 象的发生。4、适应性原则。内部控制

12、应当与企业经营规模、业 务范围、竞争状况和风险水平等相适应，并随着情况的变 化及时加以调整。（四）内部控制实施体系1、以法制为推进，2、以企业实施为主体3、以政府监督和社会评价为保障（五）内部控制要素（5个方面）内部控制的内容，归恨结底是由基本要素组成的。这 些要素及其构成方式，决定着内部控制的内容与形式。人力资源政策应当包括下列内容：（一）员工的聘用、培训、辞退与辞职。（二）员工的薪酬、考核、晋升与奖惩。（四）掌握国家秘密或重要商业秘密的员工离岗的限 制性规定。2.风险评估每个企业都面临来自内部和外部的不同风险，这些风险都必须加以评估。评估风险的先决条件，是制定目标。 风险评估就是分析和辨认

13、实现所定目标可能发生的风险。具体包括：目标、风险、环境变化后的管理等等。3.控制活动企业管理阶层辩识风险，继之应针对这种风险发出必要的指令。控制活动，是确保管理阶层的指令得以执行的 政策及程序，如核准、授权、验证、调节、复核营业绩效、 保障资产安全及职务分工等。控制活动在企业内的各个阶层和职能之间都会出现，这主要包括：高层经理人员对 企业绩效进行分析、直接部门管理、对信息处理的控制 实体控制、绩效指标的比较、分工。内控活动中不仅包括高层管理人员，还包括中层及具体员工。4信息与沟通企业在其经营过程中，需按某种形式辨识、取得确切 的信息，并进行沟通，以使员工能够履行其责任。信息系 统不仅处理企业内

14、部所产生的信息，同时也处理与外部的事项、活动及环境等有关的信息。企业所有员工必须从最 高管理阶层清楚地获取承担控制责任的信息，而且必须有向上级部门沟通重要信息的方法，并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。主要包括：信息系 统、沟通5.监控（六）内部控制环节一般来说，企业资金的内部控制体系主要可以分为事前防 范，事中控制和事后监督三个环节。事前防范在企业的管理过程中，要合理设置职能部门，明确各 部门的职责，各司其职，建立财务控制和职能分离体系。 充分考虑不兼容职务和相互分离的制衡要求。各部门、各 岗位形成相互制约、相互监督的格局。我公司有部分单位没有完整的内部控制制度，而是以一

15、 些相关的管理办法做为服务，管理手段，内控制度应是一套 完整的管理体系，也是内控审计的重要依据。事中控制事中审计也可以称之为跟踪审计，其贯穿于企业经济活动实施（重点在于工程实时）的每一个阶段，及时发现问题、 解决问题，从源头上制止决策失误、在事中控制违规操作。 例如工程建设过程中，就应做好预算，做好施工管理，避免 浪费。事后监督（七）内控活动米取的措施企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的 控制措施，将风险控制在可承受度之内。1、不相容职务分离控制要求企业全面系统地分析、梳 理业务流程中所涉及的不相容职务，实施相应的分离措 施，形成各司

16、其职、各负其责、相互制约的工作机制。通常有6大类：（1）授权进行某项经济业务和执行该项业务的职 务要分离；（2）执行某些经济业务和审核某些经济业务的职 务要分离；（3）执行某项经济业务和记录该项业务的职务要 分离；（4）保管某些财产物资和对其进行记录的职务要 分离；（5）保管某些财产物资和使用这些财产物资的职 务要分离；（6）执行某项经济业务与监督这些经济业务的职 务要分离。2、授权审批控制要求企业根据常规授权和特别授权 的规定，明确各岗位办理业务和事项的权限范围、审批程 序和相应责任。企业应当编制常规授权的权限指引，规范特别授权的范围、权限、程序和责任，严格控制特别授权。常规授权 是指企业在

17、日常经营管理活动中按照既定的职责和程序 进行的授权。特别授权是指企业在特殊情况、特定条件下 进行的授权。企业各级管理人员应当在授权范围内行使职权和承担责任。企业对于重大的业务和事项，应当实行集体决策审批 或者联签制度，任何个人不得单独进行决策或者擅自改变 集体决策。企业所有人员不经合法授权，不能行使相应权利，这 是最起码的要求；不经合法授权，任何人不能审批；有权 授权的人则应在规定的权限范围内行事，不得越权授权。 企业的所有业务不经授权不能执行。企业业务一经授权必须给予执行。大中型企业应当设置总会计师。设置总会计师的企 业，不得设置与其职权重叠的副职。记账人员与经济业务事项和会计事项的审批人员

18、，经办 人员、财物保管人员的职责权限应当明确，并相互分离、相互制约；工作交接。企业基本规范第八十七条 各单位应当建立会计人员岗位责任制度。主要内容包括：会计人员的工 作岗位设置；备会计工作岗位的职责和标准；各会计工作岗位的人员和具体分工； 会计工作岗 位轮换办法；对各会计工 作岗位的考核办法。5、预算控制要求企业实施全面预算管理制度，明确 各责任单位在预算管理中的职责权限，规范预算的编制、 审定、下达和执行程序，强化预算约束。6、运营分析控制要求企业建立运营情况分析制度， 经理层应当综合运用生产、购销、投资、筹资、财务等方 面的信息，通过因素分析、对比分析、趋势分析等方法， 定期开展运营情况分

19、析，发现存在的问题，及时查明原因 并加以改进。7、绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全 体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。二、企业内部控制的应用指引内部控制内容1、内部会计控制2、内部管理控制无论是内部会计控制还是内部管理控制，都是间接或直接体现在财务报表中。内部控制应用的22个方面（1、货币2、采购3、存货、4销售5、工程项目6、固定资产7、 无形资产&长期股权投资9、筹资10、全面预算11、成本 费用12、担保13、合同14、业务外包15、对子公司的控制 16、财

20、务报表的编制和披露 17、人力资源18、信息系统19、 衍生工具20、企业并购21、关联交易22、内部报告）1、财务报表直接或间接体现的的项目，或者就是对财务与信息披露的内在要求。如资金、采购、存货、销售、工程项目、固定资产、无形资产、长期股权投资、筹资、 成本费用、担保、财务报告编制与披露、衍生工具、企业 合并、关联交易等。2、对财务报表、财务管理有重大影响的项目，如全 面预算、合同、业务外包、对子公司控制等3、为生成财务报表提供人力和技术支撑的项目，如 人力资源、信息系统、内部报表等。企业管理层重生产、轻经营、重开发、轻内部管理，甚 至把内部控制看成仅仅是财务管理部门的事，而没有把内部 控

21、制放在整个企业经营管理的策略高度来考虑。第二章内部控制审计内部控制审计是通过对被审计单位的内控制度的审 查、分析测试、评价，确定其可信程度，从而对内部控制 是否有效作出鉴定的一种现代审计方法二、内部控制审计与其他审计区别财务收支审计主要是评价和监督企业是否做到资产完 整、财务信息真实及经济活动收支的合规性、合理性及合法 性经济责任审计是评价企业内部机构、人员在一定时期内 从事的经济活动，以确定其经营业绩、明确经济责任，经济效益审计审计重点是在保证社会效益的前提下 以实现经济效益的程序和途径为内容，对企业的经营效果、 投资效果、资金使用效果做出判断和评价，其中基建工程预 决算审计应为重中之重。财

22、务收支审计对会计记录和报表分析提供资料真实性 和公允性证明经济责任审计是企事单位的法定代表人或经营承包人 在任期内或承包期内应负的经济责任的履行情况所进行的 审计。三、内部控制审计程序我们最初应了解该单位的（1）经济性质、经营规模、组织体系、经营方式、机构设置、人员编制情况；（2）该单位制定了哪些制度，如：内控制度、企业经营管理办法、经 营考核制度及奖惩办法、各基层单位指标的计划及考核制度 等等；（3）该单位的财务核算体系，财务说明书及报表（4）该单位领导班子分工。 -（实施方案）4、评价内部控制的强弱，评价控制风险，确定在内 部控制薄弱的领域扩展审计程序，做出审计报告。（审 计报告）四、内部

23、控制审计方法内部控制制度审计的范围是极为广泛的，其手段也是多种多样的，但内部控制制度审计一般包括内部控制制度的方法 和评价两方面，大体上分三个步骤：（一）了解和描述内部控制制度这一步骤的主要目的是通过一定手段，了解被审单位已经建立的内部控制制度及执行的情况，并对其进行描述。内部控制制度审计的第一步工作就是进行了解，这一步 骤可以通过查阅有关规章制度、方针及政策等文件，查看组 织机构系统图，询问有关人员进行实地观察、查阅前期审计 报告或审计工作底稿等手段来实现。它为描述企业内部控制制度奠定了基础。描述反映企业内部的制度的方法主要有以 下几种：1. 书面说明法。即将所了解掌握的内部控制制度的实际

24、情况完全以文字的形式描述出来。这种描述方法一般是按不 同的业务经营环节，分别说明各个业务处理环节上应完成的 各种工作，办理业务所填制的各种凭证，有关人员所管的记 录和实物，以及他们的职务分工情况等，表述控制点存在情 况。这种方法的优点是比较灵活，又能表达被审系统的一切 特殊情况，不受什么限制。几乎适用于任何类型、任何规模 的单位。其局限性是对于业务环节较多的大型单位，用文字 说明显得冗长，对复杂情况不易说明清楚。2 .调查表法。调查表法是指利用表格形式，通过查询来 了解内部控制制度强弱情况的一种方法。例如，审计人员可 以把被审单位业务环节的控制点及其主要问题预先编制一 套标准格式的调查表。在表

25、中，为每个问题设置是”否”不适用”和备控”等专栏，通过填写结果，了解被审单位内部 控制情况。这种方法的优点是简便易行，节省审计工作量， 对表中列示的 否”专栏，可以引起审计人员的关注，其缺点 是调查表格式固定，缺乏弹性，遇有特殊情况，往往因 不适 用”栏境得过多而作用不大。3 .流程图法。流程图法是指用图解形式来描述业务程 序及其控制点，显示有关控制环节和凭证记录的产生、传递、检查、保存及其相互关系，便于直观地表现内部控制制度实 际状况的一种方法。它是目前在国外审计工作中广泛应用的 一种方法。采用这种方法要求审计人员熟悉每一业务环节及 其相互关系，识别其中的控制点，牢握制图的技术与方法。 这种

26、方法的优点是形象直观，便于评审，能帮助审计人员进 行思考，并较快地检查出被审系统逻辑上的薄弱环节，并且 应用灵活方便，只需变动图中的若干符号，就可更新整个流 程图。其缺点是绘制新图，特别是描绘较复杂的业务环节时 技术难度较高。上述三种方法，并非孤立应用，相互排斥，在描述某一 单位内部制度制度时，可对不同业务环节使用不同的方法， 三者结合使用，往往比采用一种方法效果更好。（二）测试内部控制制度方法1.个别访谈法。是指企业根据检查评价需要，对被 查单位员工进行单独访谈，以获取有关信息。2 .调查问卷法。是指企业设置问卷调查表，分别对 不同层次的员工进行问卷调查，根据调查结果对相关项目作出评价。3

27、.比较分析法。是指通过分析、比较数据间的关系、 趋势或比率来取得评价证据的方法。4 .标杆法。是指通过与组织内外部相同或相似经营 活动的最佳实务进行比较而对控制设计有效性评价的方 法。5 .穿行测试法。是指通过抽取一份全过程的文件， 来了解整个业务流程执行情况的评估评价方法。6 .抽样法。（审阅法）是指企业针对具体的内部控 制业务流程，按照业务发生频率及固有风险的高低，从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进行判断， 进而对业务流程控制运行的有效性作出 评价。7 .实地查验法。是指企业对财产进行盘点、清查， 以及对存货出、入库等控制环节进行现场查验。8 .重新执行法。是指

28、通过对某一控制活动全过程的 重新执行来评估控制执行情况的方法。9 .专题讨论会法。是指通过召集与业务流程相关的 管理人员就业务流程的特定项目或具体问题进行讨论及 评估的一种方法。（三）内部控制制度评价1.内部控制评价至少应当包括下列内容：（1）内部控制评价的目的和责任主体。（2）内部控制评价的内容和所依据的标准。（3）内部控制评价的程序和所采用的方法。（4）衡量重大缺陷严重偏离的定义，以及确定严重偏离的方法。（5）被评估的内部控制整体目标是否有效的结论。（6）被评估的内部控制整体目标如果无效，存在的重大缺陷及其可能的影响。（7）造成重大缺陷的原因及相关责任人。（8）所有在评估过程中发现的控制缺

29、陷，以及针对这些缺陷的补救措施及补救措施的实施计划等。2 .内部控制评价注意的事项（2）注重科学性。内部控制的内容必须科学合理，符合客观科学规律，方法得当，权责明确。不要用装饰性语言，不要超出审计内容，要实事求是。对内部控制制度的评价测试一方面是对各项制度本身是否健全、合理进行评价，并且指出其薄弱环节的部分。另一 方面是对制度的执行情况进行评价，即评价已有的制度在经 济活动中的实际执行情况和功能。最后把评价测试分析的结 果，列入审计工作底稿，写出内部控制制度评审报告。上述步骤，构成一个完整的内部控制制度审计程序，最后形成内控审计报告。举例：1、内控制度不健全（成本列支）2010年某运业公司财务核算比较混乱：一是出车补助发放无标准、天数、无出车记录、随意性较强。二是所有 的设备修理无预算、无记录、无经办人签字、无领导审批， 无维修设备名称。三是大额支付现金无明确用途 （144,965.00元），部分会计凭证无记录或记录不明确，债务人挂账名