内部审计与内部控制详解

1、内部控制与内部审计内部控制与内部审计内部控制内部审计内部控制与内部审计的关系一、内部控制灭六国者六国也，非秦也；族秦者秦也，非天下也。唐.杜牧阿房宫赋2010年7月19日，财政部会计司、证监会会计部、中国会计报、中国会计学会联合在京举办“上市公司内部控制规范培训班暨中国内控论坛”，近60家在境内外同时上市公司的董事长、董秘、财务总监及内控部门负责人等近200人参加培训。同时，本次活动还吸引了100多位政府高层官员、企业和高校等方面的内控专家及实务工作者。（一）内部控制的含义COSOCOSO对内部控制的定义对内部控制的定义目前，国际上认同度最高和最具权威的内部控制概念框架当属1992年9月美国C

2、OSO提出的内部控制整合框架（1994年又进行了增补）。该框架指出：“内部控制是由企业董事会、经理阶层以及其他员工实施的，旨在为营运的效率和效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现提供合理保证的过程”美国上市公司会计监管委员会（PCAOB）对内部控制的定义美国上市公司会计监管委员会（PCAOB）发布的“审计准则第2号”规定，注册会计师对企业财务报告进行审计必须关注财务报告内部控制，同时管理层应该对企业内部控制作出评估。所谓财务报告内部控制，是指在企业主要的高级管理人员、主要财务负责人或行使类似职能的人员的监督下设计的一套流程，并由公司的董事会、管理层和其他的人批准生效。我国对内

3、部控制的定义我国对内部控制的定义所谓内部控制，是指一个单位为了实现其经营目标，保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。关于内部控制定义的几点说明关于内部控制定义的几点说明（1）内部控制的主体属于企业的内部人员，即内部控制来自于企业内部需求（2）内部控制的建立与实施是有目的的，其目的在于实现控制目标（3）内部控制只能为上述目标的实现提供“合理保证”，而非“绝对保证”。 “合理保证”意味着内部控制制度的设计和执行并不代表可以“包治百病”，也不意味着企

4、业可以“万事无忧”。（4）内部控制是一个动态的过程，即从整体控制看，包括制度设计、制度执行和制度评价等阶段；从业务控制看，一般应采取事前控制、事中控制和事后控制等措施。（二）内部控制的基本假设（二）内部控制的基本假设1、控制实体假设 所谓控制实体，实质就是控制对象，及内部控制为之服务的特定单位或部门，这是对内部控制活动的空间范围所作出的假定。2、可控性假设 该假设认为内部控制是控制主体对控制客体所实施的控制，则控制的对象必须是可控的，且控制结果是可以监督和评价的，否则内部控制将形同虚设。3、内部牵制假设该假设认为两个或两个以上的人同时做一件事，比一个人做一件事出错和作弊的可能性大大减小。这个假

5、设的理由是：第一，两个或两个以上的人或者部门无意识地犯同样错误的机会很小；第二，两个或两个以上的人或部门有意识的合伙舞弊的可能性大大低于一个人或一个部门舞弊的可能性。-5-5，-5-50,-100,-10-10,0-1，-1坦白抵赖坦白抵赖囚徒困境主管A主管B( (三三) )内部控制的历史演进内部控制的历史演进在公元前3000多年以前，内部控制的思想就已经在人们的日常生活中得以运用。经过人类历史漫长的发展，现代内部控制作为一个完整概念，于20世纪40年代首次提出。此后，内部控制理论不断完善，逐渐被人们了解和接受。具体来说，内部控制理论和实务经历了大致五个发展阶段。1、内部牵制阶段一般认为，上世

6、纪40年代以前是内部牵制阶段。内部牵制就是指一个人不能完全支配账户，另一个人也不能独立地加以控制的制度，某位职员的业务与另一位职员的业务必须是相互弥补、相互牵制的关系，即必须进行组织上的责任分工和业务的交叉检查或交叉控制，以便相互牵制，防止错误或弊端。这就是内部控制的雏形。2、内部控制阶段内部控制制度思想认为内部控制应分为内部会计控制和内部管理控制两个部分。内部会计控制包括与财产安全与财产记录可靠性有关的所有方法和程序。内部会计控制在于保护企业资产、检查会计数据的准确性和可靠性.内部管理控制包括组织规划的所有方法和程序，这些方法和程序主要与经营效率和贯彻执行方针有关。内部管理控制在于提高经营效

7、率，促使有关人员遵守既定的管理方针。3、内部控制结构阶段进入20世纪80年代以来，内部控制的理论研究又有了新的发展，人们对内部控制的研究重点逐步从一般涵义向具体内容深化。其标志是美国AICPA于1988年5月发布的审计准则公告第55号(SAS55)。与以前的内部控制定义相比，内部控制结构有两个特点：一是将内部控制环境纳入内部控制的范畴，二是不再区分会计控制和管理控制。至此，在企业管理实践中产生的内部控制活动，经过审计人员的理论总结，已经完成从实践到理论的升华。4、内部控制整合框架理论在1992年，由美国会计学会、注册会计师协会、美国内部审计师协会、财务经理人员协会和管理会计师协会等组织成立的专

8、门研究内部控制问题的美国虚假财务报告全国委员会的后援组织委员会(COSO委员会)发布了指导内部控制的纲领性文件COSO报告内部控制整体框架，并于1994年进行了增补，这份报告堪称内部控制发展史上的又一里程碑。COSO报告指出，内部控制是由公司董事会、管理层和其他员工实施的，为实现经营的效果性和效率性、财务报告的可靠性以及适用法律法规的遵循性等目标提供合理保证的一个过程。根据COSO委员会的这一定义，内部控制是为达到目标提供合理保证而设计的过程。具体来说，是为了达到提供可靠财务报告、遵循法律法规和提高经营效率效果等目标。（三个目标）。COSO提出了企业内部控制的整体框架，在COSO内部控制框架中

9、，管理层需要履行的职责包括5个步骤或要素：控制环境(Control environment)、风险评估(Risk assessment)、控制活动(Control activities)、信息与沟通(Information and communication)和监控(Monitoring)。（五个要素）5、风险管理整合框架阶段背景：安然事件股东损失亿美元世通事件亿美元的会计舞弊案萨班斯法案企业风险管理架构在1992年COSO报告的基础上，结合萨班斯-奥克斯法案在财务报告方面的要求，进行了扩展研究。COSO对风险管理框架的定义是：“企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员

10、实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理的保证”。与1992年COSO报告提出的内部控制整体架构相比，企业风险管理架构增加了一个观念、一个目标、两个概念和三个要素，即“风险组合观”、“战略目标”、“风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。（四）内部控制的五要素（四）内部控制的五要素内部控制要素内部控制要素 - 1.- 1.控制环境控制环境控制环境提供企业纪律与架构，塑造企业文化，并影响企业员工的控制意识，是所有其它内部控制组成要素的基础。控制环境的因素具体包

11、括：诚信的原则和道德价值观、评定员工的能力、董事会和审计委员会、管理哲学和经营风格、组织结构、责任的分配与授权、人力资源政策及实务。内部控制要素内部控制要素 - 2.- 2.风险评估风险评估每个企业都面临来自内部和外部的不同风险，这些风险都必须加以评估。评估风险的先决条件，是制定目标。风险评估就是分析和辨认实现所定目标可能发生的风险。具体包括：目标、风险、环境变化后的管理等等。内部控制要素内部控制要素 - 3.- 3.控制活动控制活动企业管理阶层辩识风险，继之应针对这种风险发出必要的指令。控制活动，是确保管理阶层的指令得以执行的政策及程序，如核准、授权、验证、调节、复核营业绩效、保障资产安全及

12、职务分工等。 控制活动在企业内的各个阶层和职能之间都会出现，这主要包括：高层经理人员对企业绩效进行分析、直接部门管理、对信息处理的控制 、实体控制、绩效指标的比较、分工。内部控制要素内部控制要素 - 4.- 4.信息与沟通信息与沟通企业在其经营过程中，需按某种形式辨识、取得确切的信息，并进行沟通，以使员工能够履行其责任。信息系统不仅处理企业内部所产生的信息，同时也处理与外部的事项、活动及环境等有关的信息。企业所有员工必须从最高管理阶层清楚地获取承担控制责任的信息，而且必须有向上级部门沟通重要信息的方法，并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。主要包括：信息系统、沟通内部控制要素

13、内部控制要素 - 5.- 5.监控监控内部控制系统需要被监控。监控是由适当的人员，在适当及时的基础下，评估控制的设计和运作情况的过程。监控活动由持续监控、个别评估所组成，其可确保企业内部控制能持续有效的运作。二、内部审计内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。内部审计主要要素包括：内部审计的本质:是一种“保证工作和咨询活动”。内部审计的目标：是为本机构增加价值并提高机构的运作效率。即内部审计要为加强企业管理服务、为企业决策服务和为提高企业经济效益服务，否则内部审计就没有存在的必要。内部审计的工作内容：是

14、对风险管理、内部控制和治理程序进行评价，而不仅仅是只对内部控制进行评价。内部审计的方法：是运用系统化和规范化的方法。内部审计的主要职能:评价和咨询。通过评价和咨询职能的发挥，以服务于组织的最终目标增加价值。内部审计的特点:独立和客观。内部审计要完成以上任务，必须是独立的机构，只有独立的机构才能做到客观的评价。因此，独立是客观的保证。三、内部控制与内部审计的关系内部审计在企业内部天然的监督作用使其自然成为内部控制方式之一，同时又是对内部控制执行情况的一种监督形式，是对内部控制的控制。内部审计在内部控制中可以发挥评价内部控制，参与重大控制程序的制定与修订;监督内部控制的运行;提供管理咨询等方面的作

15、用。1986年4月，最高审计机关国际组织在第十二届大会上发表的总声明，对内部控制作了权威性解释:“内部控制作为完整的财务和其他控制体系，包括组织结构、方法程序和内部审计。它是由管理当局根据总体目标而建立的，目的在于帮助企业的经营活动合法化，具有经济性、效率性和效果性，保证管理决策的贯彻，维护资产和资源的安全，保证会计记录的准确和完整，并提供及时的、可靠的财务和管理信息。”在这个定义里把内部审计作为内部控制的一个重要组成部分。（一）内部审计在内部控制中的作用 第一，评价内部控制，参与重大控制程序的制定与修订，这是内部审计将要发挥的主要作用。 内部审计对内部控制的评价主要有以下几条途径: 1.开展

16、财务收支审计时对与会计控制系统相关的内部控制进行评价。 2.开展经常性的管理审计时对内部控制系统的评价。比如，内部审计可以按照企业的业务循环，就某一循环过程牵涉到的岗位设置、业务流程、文件流转、工作效率等各方面进行全面考评，以确定其健全性与有效性。 3.对“非正常事件”的处理。企业发生“非正常事件”往往是暴露内部控制薄弱环节的最佳时机，内部审计师应该有敏锐的洞察力发现并及时对相关的内部控制进行评价，并提出完善内部控制的建议。 内部审计和注册会计师审计都涉及到对内部控制制度的评价，但两者在目的、范围、责任、时间和方法等方面是不同的。注册会计师审计时对内控制度的评价，主要是为了确定实质性测试的性质

17、、时间和范围，是为报表的认定服务的，其评价范围主要是影响企业会计报表内容的相关内控制度，出具的管理建议书也仅是建议性的。内部审计对内控制度的评价是全方位的、涉及管理的各个方面，主要目的是为了保证企业经营目标的实现、保护资产安全、防止舞弊的发生。内部审计出具的审计意见对企业内部的各个部门和所有员工、甚至总经理都具有强制性。注册会计师对内部控制的评价只是实施审计的一个重要环节，而内部审计对内部控制的评价既可以是实施审计的一个步骤，也可以是单独实施的一个审计项目。第二，监督内部控制的运行是内部审计的日常性工作。第二，监督内部控制的运行是内部审计的日常性工作。内部控制是由一系列控制政策、制度与程序组成

18、的整体系统，在这个系统中充分体现了管理者的管理理念、管理风格和对管理目标的追求。为了确保这些政策与程序得到全面、准确地执行，必须要有监督。第三，提供管理咨询。第三，提供管理咨询。 由于内部审计师在内部控制中所起的重要作用，使其对内部控制极为熟悉，为企业的相关部门、组织或员工提供管理咨询便成为内部审计师的一项自然“服务”。（二）内部控制与内部审计的关系1、二者的最终目标一致 内部审计的目标是通过审查和评价的方式，在成本效益原则上进行有效的控制，协助管理层，促进实现控制目标。内部控制的目标是保证资产安全、财务信息真实完整、经营管理合法合规，提高经营效率，实现最终企业战略目标。内部控制的实际操作中，

19、经营管理部门需要不断修正和改进，修正和改进正是在内部审计部门提出的独立评价意见的基础上进行的。由此可见，二者的最终目标是一致的，内部审计的目标是实现内部控制系统的目标，都是为了保证组织目标得以顺利实现。2、内部审计是内部控制的组成部分在内部控制整休框架五个要素中，控制环境要素是指企业核心人员以及这些人的个别属性和所处的工作环境，包括个人诚信道德价值观与能力、董事会与审计委员会、管理者理念与风格、组织结构、权限及职责划分、内部审计、人力资源政策及程序等。很明显，内部审计是控制环境的组成部分之一，也就是内部控制的组成部分之一。它不仅是内部控制的一部分，也是对内部控制实施监控的重要途径。3、内部审计对内部控制的促进作用内部审计评审内部控制制度，纠正错弊，来促成良好控制环境的建立，从而有效的促进组织的内部控制目标的达成。内部控制存在于组织经营管理、各项业务的每个方面，影响经营环境的因素包括政治的、经济的等，任何一个因素变化，都导致组织经营环境很大的变化，内部控制制度应应对所发生的变化进行相应的调整。在调整过程中，内部审计对完善内部控制制