制度基础审计

1、内部控制与制度基础审计 概念 内容 内部控制的程序与方法 制度基础审计的涵义制度基础审计的内容与要点制度基础审计的程序与方法制度基础审计范例：销售业务 内部控制是被审计单位为了合理保证财务合理保证财务报告的可靠性报告的可靠性、经营的效率和效果经营的效率和效果以及对对法律法规的遵守法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序政策和程序。这是COSO定义的内部控制。 是指一个组织采取的计划与方法，用以保护其资产的安全，保证其会计数据的准确与可靠，提升经营效率，遵循经理层制定的各项政策(Moeller, 2004,Sarbance-Oxley and the New Intern

2、al Auditing Rules, P103)。 该定义说明内部控制涵盖的内容超出了与会计信息的直接关系。 COSO: Committee of Sponsoring Organiz-ations。上世纪70年代末80年代初，美国很多公司因通货膨胀而倒闭，与此相伴随的是公司做假账，注册会计师未能尽到责任。美国国会试图通过立法来规范会计与审计行为，但未能成功。于是成立了一个National Commission on Fraudulent Financial Reporting（虚假财务报告全国委员会）对虚假财务报告进行研究。该委员 会由美国五个会计职业团体提供赞助，它们是IIA（内部审计协会

3、）、AICPA（美国注册会计师协会、总会计师协会（FEI）、美国会计学会（AAA）以及管理会计师协IMA）。 1987年，COSO发布了第一份关于内部控制的研究报告，呼吁经理层报告其内部控制系统的有效性。并指出良好的内部控制环境、道德行为规范、尽职且有胜任能力的审计委员会和强健的内部审计是良好内部控制的关键构成要素。 1992年9月，COSO发布了名为内部控制整合框架的研究报告（通常称为COSO报告），对内部控制进行了定义并提出了对内部控制进行评价的方法和程序。 2000年，COSO发布了一份名为企业风险模型的研究报告的初稿，对1992年的研究报告进行了扩展。 资料来源：Robert Moel

4、ler, 2004. Sarbance-Oxley and the New Internal Auditing Rules, pp.123-124。 内部控制包括下列要素：（一）控制环境（二）风险评估过程（三）资讯与沟通（四）控制活动（五）对控制的监督 以下是内部控制要素图。图9-1内部控制结构图 监控控制活动控制环境讯通风险评估资沟控制环境：控制环境是对企业内部控制的建立和实施有重大影响（增强或削弱）的因素的总称。是内部控制的基础。 控制环境包括如下方面：（一）对诚信和道德价值观念的沟通与落实：通常决定于“顶层的基调”（tone at the top）毛泽东时期的中国共产党（延安）；员工的行

5、为动机（不切实际的目标，过于严厉的惩罚制度；职责划分；内部审计）：中国的GDP与官员晋升；重庆“钉子户”舆论为何一边倒？（二）对胜任能力的重视：岗位的配备、培训、检查和补救措施。“四大”的招聘为何只考英语？（三）治理层的参与程度：董事会、审计委员会的独立性、胜任能力与工作作风（是否尽职）。（四）管理层的理念和经营风格：顾雏军的科隆；张瑞敏的海尔。独断专行还是集思广益。（五）组织结构：组织实际上就是人员配置方式，就是如何通过人员的分工与合作达到组织的目标。“三权分立”制度与美国的伊拉克政策。（六）职权与责任的分配：与第（五）点紧密相关，高层经理人应当对下属的决策行为承担最终责任。（七）人力资源政

6、策与实务：员工的招聘、岗位安排、培训、考核、晋升、待遇与纪律约束。影响企业达到其目标的因素就是风险。风险评估的三个步骤：1. 评估风险的严重程度；2. 估计风险发生的可能性；3. 考虑应采取哪些措施管理风险。 风险评估：企业采取什么手段来鉴别并管理风险。美国加州原先有一家基金，它将很大一部分资金投入了金融债券，这种债券对银行利率非常敏感。1994年，美联储分五次调高了利率，该基金对此没有作出反映，结果其所持有的债券严重贬值$15亿，该基金被迫破产。 【Question】该例中，如果遵循三步骤的风险评估过程，应当是什么？是指那些确保风险控制措施得到执行的政策和程序。一般包括如下方面： 业绩评价：

7、将实际情况与标准进行比较，发现异常情况及时采取纠正措施； 授权批准：一般授权与特殊授权； 信息处理（充分的记录）：保证信息安全；实物控制：实物包括固定资产、存货、现金和有价证券等。实物财产的保管制度、实物盘点；独立稽核：即监督有关措施是否得到执行；职责分离（如图92）：不相容职务分离的目的在于降低错误或舞弊行为的发生。雇员雇员A财物的财物的保管保管雇员雇员B独立的独立的记录记录雇员雇员C雇员雇员C定期盘点定期盘点A保管的财物并与保管的财物并与B的记录核对的记录核对图图9-29-2：职责分离示意图：职责分离示意图【Question】试从该图说明职责分离有何作用？ 控制活动通常包括决定应采取哪些措

8、施的政策（风险评估）和如何落实这些措施的程序（控制活动）。如立法与执法。 控制活动必须与风险评估相结合控制活动必须与风险评估相结合，控制活动是为了控制识别出的风险，以顺利达到组织的目标。风险发生变化，控制活动也应当相应地作出调整。它们是一个动态的联系。 控制活动应得到主动、自觉并一贯地执行，才能有效发挥作用。资讯即信息，沟通即信息的交换。信息系统与信息沟通是两个不同的要素。COSO为了使内部控制的内容简洁一点，将二者合并在一起。信息系统：信息系统可以是正式的，也可以是非正式的；既有对内部的，也有对外部的。信息的质量：高质量的信息是内部控制有效发挥作用的必备条件。 信息的质量从以下方面进行评价：

9、信息的内容要恰当（相关性）；信息的可获得性：要能够及时获得；信息的时效性：要及时，至起码是可获得的最新的信息；信息的准确性；信息的传递要技术：及时传递给相关的责任人。 信息的内部沟通：沟通的渠道要畅通，信息沟通是双向的，包括自上而下的沟通和自下而上的沟通；正式的沟通和非正式的沟通；通过正常渠道进行的沟通与秘密的沟通等。 对外的沟通（与供应商、客户的沟通）：也是双向的。对外的沟通不只是公关性质的（宣传自己），而且信息要是外部利益相关者所需要的真实的信息（否则就无异于做假账了）。 沟通的方式：网站、布告、演讲、录像、手册等多种方式。 监督：企业采取的用来保证内部控制措施有效运行的程序。内部审计即是

10、一例。 要对内部控制的有效性进行持续的评价，及时对内部控制进行调整，使其适应变化了的环境，从而保持其有效性。 内部控制的评价步骤：了解内部控制的设计辨认采取的内部控制措施测试内部控制的有效性得出结论。与内部控制的测评是一致的。控制程序（P274）：1. 确立标准：衡量实际绩效的依据。2. 衡量结果：即计量实际的业绩。3. 分析差异：将实际结果（2）与标准（1）进行比较。4. 采取补救措施：出现不利时。5. 检查与评价。 控制方法： 1、目标控制 2、组织控制 3、人员控制 4、职务分离控制 5、授权批准控制 6、业务程序控制 7、措施控制 8、检查控制 制度基础审计是指通过对被审计单位内部控制

11、制度的检查、测试和评价（称为符合性测试），确定实质性测试的重点、规模重点、规模和方法和方法的审计。即审计人员的审计工作建立在对内部控制制度进行评价的基础上，也叫系统基础审计。 制度基础审计的主要内容，一是对内部控制制度的结果和功能进行检查和评价（符合性测试），二是对经济资料及经济业务的真实性进行实质性测试（P279）。 制度基础审计的主要内容：五个方面（P279）。 内部控制的审计可以分为会计控制的审计、管理控制的审计和内部审计控制的审计三个方面（P280）。 内部会计控制一般包括基础控制、纪律控制和实物控制。 基础控制包括完整性控制、合法性控制、正确性控制和一致性控制。 纪律控制实际上就是对

12、基础控制是否得到落实进行的控制。记录控制能够确保会计程序和基础控制程序按照设计的那样去发挥作用，及时发现错误与查明错误。 实物控制：维护实物安全与完整的控制。管理控制的内容：1. 方法程式制度：如采购、生产、销售、财务等职责和方法，记录、复核、报告与分析、审核与观察等程式。2. 管理过程制度3. 控制过程制度4. 各种功能制度管理控制审计的主要内容：P283。主要内容：P283 有无健全的内部审计组织，其地位如何，是否开展了正常的内部审计工作； 有无明确的内部审计职责和内部审计标准，内部审计的独立性如何； 内部审计是否采取了有效措施及时查明与纠正偏差，其检查资料与报告是否可靠； 内部审计与单位

13、管理部门、外部审计组织是否协调。制度基础审计包括内部控制审计和真实性审计两个部分（P287）。内部控制审计仅仅是对内部控制制度的有效性的审计。制度基础审计的步骤包括四个方面：1. 适当性（健全性）测试实质是考察实际的内部控制的设计是否合理。步骤包括（1）确定理想模式（2）描述现行制度（3）比较与初评，下面的两个表格可以用于对内部控制进行初评。2. 符合性测试设计合理的内部控制制度如果没有得到有效的落实，仍然无法发挥作用。符合性测试的实质是对内部控制的实际执行情况进行检查，以确定其实际效果，从而决定内部控制究竟是否值得依赖，以及在多大程度上可以依赖。符合性测试可以通过业务测试和功能测试来进行（P

14、290）。3. 制度总评制度基础审计的核心思想是完善的内部控制可以减少错弊发生的可能性（P28，莫茨和夏拉夫的审计假设），因此，在符合成本效益原则的情况下，可以先对内部控制进行审计，评价其有效性，以决定实质性测试的性质、时间和范围。内部控制的审计包括三个步骤，即：了解内部控制初步评价内部控制 符合性测试。在此基础上决定实质性测试（如下图）。刘爱松40无了解、记录内部控制了解、记录内部控制初步评价内部控制初步评价内部控制拟信赖内部控制？拟信赖内部控制？符合性测试符合性测试内部控制可信赖程度内部控制可信赖程度计划低水平的计划低水平的实质性测试实质性测试计划高水平的计划高水平的实质性测试实质性测试中

15、中有无可有无可替代的内部替代的内部控制控制计划中等水平计划中等水平的实质性测试的实质性测试高高有有低低是是否否符合性符合性测试测试设计是否合设计是否合理，执行是理，执行是否有效否有效 实质性测试 如上图下部分红线框中所示为实质性测试，也叫正确性测试，是通过对会计凭证、账簿等会计资料进行直接的检查，以确定财务会计信息是否真实、正确和完整。对内部控制制度的调查与测试可以使用如下方法：观察法、文字描述法、调查表法、流程图法、强弱点记录法和测试与质疑法。1. 调查法：包括查阅、观察与询问等手段（P292）。2. 文字描述法：用文字形式简要描述被审计单位内部控制制度的方法。3. 调查表法：审计人员利用事

16、先设计好的标准化表格，进行调查询问的一种方法。4. 流程图法：用特定符号和图形来表示被审计单位的业务处理流程，显示文件凭证在组织内部的产生、传递、检查和保存及其相互关系。5. 强弱点记录法6. 测试与质疑法：包括事项复查与事项测试。 制度基础审计的核心思路即通过对内部控制的调查与评价，根据其有效性调整实质性测试的范围和重点，即实质性检查样本的大小和检查重点的确定。 某被审计单位（A公司）的销售业务内部的有关内部控制措施如下图所示：A CPO客户采购订单被否决填置一式两联预先编号销售订单检查和信用批准经批准的客户名单和信用额度批准CPOSO1SO2在CPO和SO1SO2上记录是SO1终结业务并将

17、SO1归档否 SO2批准CPO归档N销售订单CPOSO1SO2注：财务经理编制一份通过信用审批的客户名单和赊销额度。新客户必须经过财务经理的信用审批方可进行下一步处理输入销售订单传往开单部门N：表示按编号归档ASO1开具一式三联发票和一式两联装箱单(预先编号）输入发票价格价格表(每周更新)SO1BL2装箱单BL1SI3SI2 SI1销售发票归档NB注：销售部每周一次更新消息价格表，表上注明了有效日期。注：在单据往后传递前，开单部门的负责人审阅销售订单、销售发票、装箱单传往装运部门开具发票客户注：发票在其填制完成后一星期邮寄给客户SI1,BL1和BL2传往下一步BBL2BL1SI3准备要装运的货

18、物在BL和SI3标明装运数量BL2BL1SI3C归档N客户传递给会计部门注：发出的货物数量记录在SI3上，如果与订单数量不同，则通知有关部门，以便调整SI1和SI2注：BL1随货物一起发出发货注：由不同的人员登记销售注：由不同的人员登记销售账户和应收账款账户，主管账户和应收账款账户，主管人员核对。人员核对。登记销售收入的人员负责检登记销售收入的人员负责检查查SI的编号是否连续。的编号是否连续。CSI3根据SI3登记销售收入根据SI3登记应收账款销售活动应收账款账户销售收入和应收账款总账SI3归档N销售报告应收账款报告将两个报告的总数进行对比并纠正差异向管理层提交报告账务处理客户的编码有一个验证

19、码，在客户的编码有一个验证码，在录入应收账款时对其进行验证录入应收账款时对其进行验证控制目标/控制程序是 否 N/A备注授权批准授权批准1. 客户的赊销都经过独立于销售部门的相关部门的批准。信用批准是由销售部门批准的，不是独立部门。2.新客户的信用额度和现有客户信用额度的变更都经过恰当的审批。财务部对客户的信用进行检查并确定其信用额度。3.设立价目表，销售相关单据均采用最新价格，设定折扣标准和付款条款。价目表标明了有效期，降低了错误使用过期的价格的可能性。控制目标/控制程序是 否 N/A备注4.定期更新价目表，确保使用的价格为最新价目表规定的价格。销售部门每周更新价目表，该职能独立于其他销售业

20、务。5.货物的发送必须以经过合法审批的单据为依据，货物的接近受到严格限制，以防未经批准发送货物。发运部门只有在同时收到了经过批准的发货单和销售发票后才发出货物。6.货物发送部门的人员不得从事销售业务其他环节事项的处理。7.开单人员不得从事其他销售事项的处理。续表续表控制目标/控制程序是 否 N/A备注真实性、完整性和计价真实性、完整性和计价1.销售业务都有恰当的支持证据，证明业务都经过了适当的审批程序。公司使用销售订单、销售发票和发货单等单据，这些单据都要经过相应的审批。2.销售订单是事先连续编号的，并定期清点，以确保所有经过审批的订单都得到了执行。销售订单是事先连续编号的，但没有专门对经审批

21、的订单进行定期清点。3.销售发票是事先连续编号的，并定期清点以确保所有的销售业务都包括在账簿记录中。进行账务处理时，由会计人员对销售发票编号的连续性进行独立清点。续表续表控制目标/控制程序是 否 N/A备注4.对发货单事先连续编号，并定期进行清点，以确保所有发货单都开具了相应的销售发票。发货单是连续编号的，但没有对其编号连续性进行检查。同时开具发票和发货单可以从一定程度上降低以发货业务未被记录的可能性。5.发货单和销售发票与对应的经批准的销售订单放在一起，并对其准确性进行复核。续表续表6.销售业务记录在恰当的会计期间。由于会计处理是根据SI3进行的，因此销售业务的记录可能滞后于发货单的日期。7

22、.发货数量进过了独立的复核，即所有货物的数量都进行了两次清点。SI3和发货单都记载了发出货物的数量，如果实际发送的数量与初始记录（如销售订单）不一致，当开单部门没有收到通知时，发票的数量可能出现差错。续表续表控制目标/控制程序是 否 N/A备注分类，记账与汇总分类，记账与汇总1.对销售业务进行账务处理的人员没有从事销售业务的其他处理。很好地做到了不相容职务的分离。2.按月给客户寄送往来对账单。由于发票的寄送与货物的发送是相互分开的，因此，当货物丢失时，客户应当能够发现。3.采取相应措施确保应收账款记入了恰当的客户。客户的编码包含了验证码。续表续表控制目标/控制程序是 否 N/A备注4.将销售收

23、入的账簿记录与应收账款数据进行核对。由会计主管进行核对。5.将销售收入账户和应收账款账户进行汇总并与总账核对。续表续表 综合前述流程图和调查问卷，可以对A公司销售业务的内部控制形成以下结论： 职务分离职务分离：A公司销售业务的职务分离比较到位，销售订单的处理、开单、发货及销售业务的会计处理之间进行了职责分离，而且，销售业务的会计处理之间也进行了合适的职务分离。缺陷缺陷1：信用审批的职责分离不够完善，A公司的信用审批是由销售部门进行的，应由独立部门进行，影响应收账款的计价。 信息处理控制：信息处理控制： 授权批准：有明确的业务批准程序，建立了客户信用审批和价格批准的一般程序，只有在具备了经过批准

24、的发货单和销售发票才能发货。 单据和记录的使用：使用的单据和记录是合理的，关键的单据都进行了事先连续编号。 缺陷1：销售收入账簿是根据SI3进行登记的，如果销售发票的日期有误或传递不及时，可能导致销售收入的账簿记录不及时。 缺陷3：由于发运部门根据实际发送的货物数量对SI3进行调整，并通知有关部门调整其他单据（SI1和SI2），但如果未及时通知，则会导致错误，如货物未发送，但发票已寄出。这影响销售收入金额的准确性（计价）。 独立复核：独立复核： A公司的销售业务设置了一系列重要的复核制度，包括：在SI3上记录的是实际发送的数量，并与发货单进行核对。开单负责人对销售订单、销售发票和发货单进行了独

25、立的核对。登记应收账款时对客户进行验 证，以确保应收账款记入了相应的客户。应收账款和销售收入的登记由不同的人进行并由第三人进行核对。进行账簿登记时对销售发票编号的连续性进行检查，以确保业务的登记是全面的。 缺陷4：没有对销售订单进行复核，以确保已发生的销售业务都在账簿中进行了登记，这可能会影响销售收入的完整性。 缺陷5：没有对销售发票中的单价进行独立复核，可能影响其准确性，从而导致账簿记录的错误（计价）。 缺陷6：没有对发货单的编号连续性进行复核，这可能导致以发货的业务没有开具发票从而发生遗漏。也可能无法发现那些并未真正发生的业务进行了记录（如虚开销售发票进行账务处理。 实物控制：实物控制：

26、A公司限制了对存货的进入，相关的文件和记录都进行了恰当的保管。控制目标/控制程序控制风险对审计的影响授权批准授权批准销售业务（信用审查、货物的发送、销售价格、付款条款）经过恰当的批准。中等销售业务基本上有恰当的审批程序，但信用审查的批准是由销售部门进行的。对审计的影响：1.付款条款、货物的发运的内部控制可以信赖。2. 对应收账款的可回收性（坏账）要加以关注。控制目标/控制程序控制风险对审计的影响真实性真实性所有记录的销售业务是实际发生了的。中等A公司恰当地使用了销售订单、发货单、销售发票等文件和记录对销售业务进行控制，发生虚假销售业务的可能性较低。但SI3处理的缺陷可能导致一定的问题。对审计的影响：1.对销售发票数量的正确性进行检查，尤其关注SI3进行过修改的业务。2.与真实性相关的其他内部控制可以信赖。控制目标/控制程序 控制风险对审计的影响完整性完整性所有实际发