理解内部控制

1、.理解内部控制那些能够准确解释COSO内部控制框架的审计师为管理层提供了巨大的价值。 内部控制知识是内部审计技能中最基本的。然而，内部控制不是由审计师负责，而是由管理层负责。审计师负责为管理层提供有关内部控制如何运行的信息。美国内部控制的正式定义是由“反虚假财务报告委员会”发起成立的一个赞助组织委员会（COSO）在“内部控制整体框架”的研究报告中提出的。审计师必须能够解释这个框架，从而帮助管理层完成他们的职责。 定义内部控制 根据COSO委员会的定义，内部控制是为达到目标提供合理保证而设计的过程。具体来说，是为了达到提供可靠财务报告、遵循法律法规和提高经营效率效果等目标。COSO内部控制框架中

2、，管理层需要履行的职责包括5个步骤或要素。COSO将内部控制要素以一个金字塔结构提出，其中控制环境作为金字塔的最底部，风险评估和控制活动位于上一层次，信息和沟通接近顶部，监督处于最顶端。 控制环境控制环境不仅包括非正式的，经常是无形的软控制，例如道德价值观，诚信原则，管理哲学，胜任的能力等，同时还包括组织结构和职责划分等更为正式的控制。控制的其他要素发挥作用都依赖于这一基础的可靠性。当经济景气，公司股价持续较高时，金字塔底部的任何弱点可能都不会明显。然而，当经济低迷时，控制环境就可能会受到来自管理层对于持续盈利，奖金红利以及其他一些短期目标的期望的压力。所以在经济景气时期内部控制尚且还可以，但

3、在经济低迷时则需要加强。管理层和内部审计师需要理解处于金字塔底部各因素的状况，但不是为了改变它们，而是要考虑它们对于其他控制要素的影响。许多软控制的特性在于只能由员工自己对其进行评价。为了能理解控制环境，审计师访问员工，使用自我评价工作坊和问卷调查等方法。当审计报告中包含非正式控制，这些自我评价的结果就成为支持非正式控制状况的证据。 风险评估在风险评估过程中，管理层识别并分析实现其目标过程中所面临的风险，从而制定决定如何管理风险的制度基础。管理层应该在审计师开始审计之前，识别那些重大的风险，并基于这些风险发生的可能性和影响采取措施缓和这些风险。随后，审计师对这一风险评估过程进行评价。期望风险评

4、估能够保证完全地识别并提出所有的风险是不可行的。风险评估过程中讨论的目的是为了控制，即由一组人讨论决定如何处理与某一目标有关的三、四个重要风险。控制是实际的讨论，不是风险的结果列示。随着小组成员对于如何处理风险的讨论，他们开始能够更好地理解目标，提高处理其他未知风险的能力。无论是审计师或是其他人都不能代替负责实现组织目标的经理人员和员工进行风险评估。然而，审计师可以对经理和员工进行风险评估技术培训，使工作坊在协助识别和管理风险以及帮助组织建立起一套在评估中使用的通用风险语言方面变得更容易。 控制活动控制活动是指确保管理层的指令得以实现的机制，包括那些被识别能够缓和风险的活动。这些控制很大程度上

5、是基于审批活动。运输货物、支付帐单、等待客户定单、购买资产等活动都需要实施具体的，基于活动的控制。所以要求具备大量的有关特定活动的知识来决定应该实施怎样的针对性控制。COSO控制框架提出风险控制矩阵，分析企业经营目标、风险和控制。这个矩阵只是建立控制活动的一种方法。其他建立控制活动的方法还有流程图；分析业务输入、处理、输出的完整性、准确性、授权、及时性以及维护状况；对内分析自身的优势与劣势，对外分析外界的机会和威胁的SWOT分析等。甚至还存在完整的框架或模型可以适用于该要素。例如，信息及相关技术的控制目标（COBIT）、系统保证与控制（SAC）、全面质量管理（TQM）以及系统开发生命周期（SD

6、LC）就是几种基于活动的控制机制。COSO框架并不是要代替这些控制活动，它所做的是要指出需要控制的活动，然后由管理层决定选取一种最好的方法来完成这一指令。 信息与沟通COSO框架的第四个控制要素是信息与沟通。信息是指员工能够获得其工作中所需要的信息，沟通是指信息向上的、向下的、横向的、在组织内外自由的流动。同控制环境相同，审计师如果不事先访问员工是不能对这一要素做出评价的。因而，自我评价过程常常用来收集审计证据。 监督控制的监督要素包括经理人员日常的监督，审计师和其他群体定期的审核以及经理人员用以揭示和纠正已知的缺陷与不足的程序。监督可以用来保证其他控制的运行，这也就解释了为什么内部审计被看作

7、是监督的一部分。 谁控制？ 管理层负责内部控制。简单回顾一下控制的五要素就不难理解了。管理层对于一个部门的控制环境最具影响力。他们制定经营目标，帮助员工理解目标，鼓励员工对实现目标过程中面临的风险进行讨论。管理层实施控制活动以确保每个人都执行其指令，并负责使部门内的沟通以及信息的流动变得更容易。最后，管理层还要提供日常的监督。因而，如果管理层赞成COSO的定义，他们就应该赞成控制是其主要责任之一的观点。审计师通过向管理层解释什么是内部控制，并集中将COSO作为采用许多其他控制和管理机制的框架使管理层的这种赞同变得更同意了。审计师还应该说明控制的存在是如何帮助实现企业的基本经营目标，如服务客户、销售产品，保障资产安全等。最后，