内部审计学第六章内部控制审计

1、第六章 内部控制审计学习目标了解内部控制的发展阶段了解内部控制审计与注册会计师内部控制审计的联系与区别理解内部控制的含义及其与外部控制的关系理解内部控制审计的定义与意义掌握内部控制的五要素及关系掌握内部控制审计的目标与内容掌握内部控制审计的程序与方法本章大纲1内部控制概述2内部控制审计的目标与内容3内部控制审计的程序与方法传统的内部审计： 揭露错误和舞弊， 防弊功能政治、经济环境变化： 内部审计的对象已经扩展到内部控制、风险管理、公司治理， 兴利功能 第一节 内部控制概述一、内部控制的发展阶段：4个（一）内部牵制阶段：保证账目正确。两个假设：两个或以上无意识犯同样错误机会很小 两个或以上主体有

2、意识地合伙舞弊的可能性低。团伙作弊、乌合之众四种内部牵制：实物牵制：多人合作 保险柜机械牵制：保险柜密码 电子摄像体制牵制：开支票 岗位轮换簿记牵制：账目核对（二）内部控制制度阶段1.内部会计控制：授权与审批、职务分离、实物控制、内部审计2.内部管理控制：统计分析、时动研究、经营报告、雇员培训计划、质量控制（三）内部控制结构阶段1.控制环境：对特定政策和程序效率产生影响的因素2.会计系统：明确各项资产负责的经营管理责任3.控制程序：保证达到一定目的的方针和程序（四）内部控制框架阶段COSO五要素：控制环境、风险评估、控制活动、信息与沟通、监督 核心工作 基础与保障美国反虚假财务报告委员会下属的

3、发起人委员会内部控制五要素二、内部控制的含义（一）内部控制的定义 根据COSO报告，企业内部控制是由企业董事会、经理层以及其他员工共同实施的，为财务报告的准确性、经营活动的效率与效果、相关法律法规的遵循等目标的实现而提供合理保证的过程。（一）内部控制与外部控制的关系 内部控制：是动力源于内部、设计结构基于内部、部署实施限于内部的管理行为。 外部控制：是来自组织外部的控制，比如税务、财政、物价、卫生、工商、审计等。两者的共性都具有控制目标和控制手段两个基本方面均具有控制主体和客体都具有控制信息反馈的渠道和方式等内部控制的特征1.内在性：设置内部控制是组织内部的自觉管理行为2.广域性：针对所有生产

4、经营和管理活动3.适时性：效力是连续的、适时的，第一时间发现、分析、解决问题4.潜在性：除体现在制度文本之外，也隐藏与融入思想意识当中，潜移默化地发挥作用5.关联性：控制活动之间互补或制约三、内部控制要素 5个（一）控制环境1.治理结构 协调不同主体之间的利益和矛盾，降低代理成本。2.机构设置及权责分配 董事会、监事会、管理层3.内部审计 公司治理、内部控制4.人力资源政策 内部控制的成效取决于人力资源的素质5.企业文化 制度、物质、行为、精神四类文化6.法律环境 法律意识、法律风险（二）风险评估1.目标设置 风险承受度。整体承受能力、业务层面的风险可接受水平。2.风险识别 存在哪些风险？其中

5、应该关注的是哪些？风险原因？后果及严重程度？风险识别方法。3.风险分析 定量、定性。关注重点和优先控制的风险。4.风险应对 风险规避、风险降低、风险分担、风险承受（三）控制活动1.不相容职务分离控制2.授权审批控制3.会计系统控制4.财产保护控制5.预算控制6.运营分析控制7.绩效考评控制8.合同管理控制（四）信息与沟通1.信息收集2.信息传递3.信息共享4.反舞弊机制（五）内部监督1.日常监督2.专项监督四、内部控制与内部审计的关系1.内部审计是内部控制的重要组成部分2.内部审计能促进内部控制体系的完善3.内部审计工作依赖于内部控制体系第二节 内部控制审计的目标与内容一、内部控制审计概述（一

6、）内部控制审计的含义 内部控制审计是指通过对被审计单位的内部控制制度的审查、分析、测试和评价，确定企业内部控制有效性的过程，包括确认和评价企业内部控制设计、运行缺陷和缺陷等级，分析缺陷形成原因，提出改进内部控制的建议。（二）内部控制审计的意义1.更加准确、有效，而且成本更低，评价更及时。2.有效履行其内部控制方面的受托管理责任，以减少代理成本，增强内部控制的其他子系统乃至整个内部控制系统控制的有效性。（三）概念辨析内部控制审计与注册会计师内部控制审计联系：（1）审计客体均为企业内部控制，以内控设计和运行的实际情况为基础，以五要素为评价内容。（2）目的都是为了提升内控设计和运行有效性。（3）注册

7、会计师可以利用前者的结果以减少工作量；企业也可以通过前者来降低审计成本。区别：（1）性质不同：内部监督、外部独立客观鉴证（2）强制性不同（3）遵循的规则不同：内审准则、企业规范等（4）审计侧重点不同：后者关注财务报告（5）实施的频率不同：无要求、后者每年一次（6）工作成果不同：后者共4类审计报告内部控制审计与审计过程中的内部控制测评联系：（1）工作对象均是被审计单位内部控制的设计和运行情况。（2）采用许多相同的方法，如询问、穿行测试、实地观察、重复执行等。区别：（1）主要目标不同前者：评价内控设计和运行的有效性后者：确定内控是否可以依赖（2）工作结果不同前者：出具审计报告后者：只是审计业务工作

8、的一部分内部控制审计与内部控制（自我）评价联系：（1）工作目标均是审查和评价组织内部控制的设计和运行的有效性。（2）具体审查评价的内容均是围绕着控制环境、风险评估、控制活动、信息与沟通、监督等内部控制要素来确定。（3）工作程序基本一致。区别：（1）责任主体不同：内审人员、管理人员（2）实施的强制性不同：上市公司强制自我评价（3）遵循的规则不同：自我评价遵循企业规范等（4）工作成果体现不同：后者需对外披露二、内部控制审计目标 P194三、内部控制审计的内容 包括公司层面的内部控制审计和业务层面的内部控制审计，从这两个层面对内部控制设计和执行的有效性做出审查和评价。具体内容(与P186多有重复，更

9、细致)控制环境审计风险评估审计控制活动审计信息与沟通审计监督审计控制环境审计主要包括对治理结果、内部机构设置与权责分配、企业文化、人力资源政策、内部审计机制、反舞弊机制五方面内容的审计。要点：审计治理结构、内部机构设置与权责分配情况；审计企业文化建设情况；审计人力资源政策的制定与执行情况；审计内部审计机制的设立情况；审计反舞弊机制的设立与执行情况。控制环境审计主要资料依据：国家有关法律法规，企业章程，各项管理制度汇编，员工手册，组织结构图，业务流程图，职务说明书，权限指引，统计资料，会议记录工作日志及各种宣传、规划、决策、合同、投诉、诉讼、表彰、惩罚处理资料。风险评估审计要点：组织是否明确了目

10、标，以便识别和分析与实现这些目标相关的风险；组织是否识别了与实现其目标相关的各种风险，并对这些风险加以分析，从而为风险管理奠定基础；组织是否考虑了在评估及实现与目标相关道德风险过程中存在舞弊的可能性；组织是否识别并评估了可能对内部控制产生重大影响的各种变化。风险评估审计主要集中在风险识别、风险分析、风险应对这三个方面。风险评估还包括目标设置(承受能力)控制活动审计 对职责分工、授权、审批批准、预算、财产保护、会计系统、内部报告、经济活动分析、绩效考评、信息技术等控制措施的审计。要点：不相容职务分离控制授权审批控制会计系统控制财产保护控制预算控制运营分析控制绩效考评控制合同管理控制信息与沟通审计

11、主要包括信息收集审计和信息沟通审计。主要审计如下方面：内部信息收集、加工和传递信息系统财务报告监督审计 主要包括对持续监督、专项监督、内部监督缺失和追查行动等内容进行审计。主要审计如下方面：组织对经营业绩是否进行监督；组合是否进行定期的内部控制评价；组织管理层是否会采纳监督人员的建议，及时纠正控制运行中的偏差；组织是否建立协助管理层进行监督的职能部门（监事会、审计委员会、内部审计部门等）。四、内部控制审计的原则内部控制审计包括两个方面：内部控制设计的健全性、执行的有效性合法性原则：法规、制度相关性原则：与总目标、具体目标相关可行性原则：切合本单位实际，可操作协调性原则：制度之间相互衔接、制约业

12、务程序标准化原则：有效控制关键点职务分管控制原则：不相容职务分离牵制责权一致原则：责、权、利三者结合检查核对原则：对记录检查、核对，信息可靠效益性原则：有利于生产经营、项目开发适时性原则：内控制度及时检查修订。第三节 内部控制审计的程序与方法一、内部控制审计程序（一）审计计划阶段1.确定审计范围应当遵循风险导向，以自上而下的原则来确定需要进行审计评价的分支机构、重要业务单元、重点业务领域或流程环节。2.制订审计方案明确审计目的、审计标准、审计方法、审计资源配置、审计进度安排和费用预算等内容。3.制订具体审计计划需要考虑控制目标、流程风险和审计步骤。（二）审计实施阶段1.了解与描述内部控制2.执

13、行控制测试3.进行综合评价4.认定控制缺陷内部控制缺陷包括设计缺陷和运行缺陷。内部控制存在的缺陷，按严重程度分为重大缺陷、重要缺陷和一般缺陷。（三）审计报告阶段标准内部控制审计报告包括下列要素12项：标题、收件人、引言段、企业对内部控制的责任段、内部审计师的责任段、内部控制固有局限性的说明段、内部控制审计意见段、内部控制重大缺陷描述段、对改善内部控制的建议、被审计单位的反馈意见、内部审计部门负责人及内部审计师的签名和签章、报告日期。内部审计人员应根据报告中反映的问题进行追踪审计，并撰写落实情况，对所属单位的整改措施进行评估。二、内部控制审计方法（一）描述内部控制的方法1.文字叙述法2.调查问卷

14、法3.流程图法（二）测试内部控制的方法1.询问2.实地观察3.书面文档检查4.穿行测试5.限制测试：用抽样来检查系统的各个要素。注重职业判断。6.小样本测试7.扩大性测试：确认结论（三）评价内部控制的方法 评价内部控制就是将之前对内部控制的了解和测试过程中掌握的有关情况与相关标准进行对比，从而对内部控制的适当性和有效性作出评价。1.内部控制矩阵图2.内部控制评价表 P208表6-33.评价结论的形成内部控制评价思路总体可分为五个基本要素：内部控制水平分级、评价指标、评价标准、评价指标权重、测试评价结果。（1）内部控制水平分级级别描述分值A内部控制系统完整有效80100B内部控制系统基本完整有效

15、6080C内部控制系统存在明显缺陷4060D内部控制系统存在重大缺陷2040E内部控制系统无效或基本没有控制020（2）评价指标指标大类：内部控制五要素二级指标：各要素的分解指标控制要点：各二级指标所关注的内部控制要点（3）评价标准内控设计的健全性、合理性和内控执行的有效性（4）评价指标权重权重体系分为三个层次，权重取值为01之间，每个层次评价指标权重值之和为1。考虑因素：企业规模、所处行业特点及行业成熟度、业务复杂性、财务信息处理方法、适用法律法规等。确定权重的方法：专家意见平均法、德尔菲法（匿名专家调查法）、秩和运算法、层次分析法等。（5）测试评价结果确定指标总体可信赖程度，分为不可信赖、部分信赖、基本可信赖、比较可信赖、完全可信赖五种类型。集体打分内部控制总得分=COSO要素权重各项具体内容权重各项具体内容得分根据评价结果，提出改进内部控制缺陷、完善内部控制体系的方法和建议。本章内容结构本章思考与探索什么是控制？什么是内部控制？内部控制与外部控制有什么关系？简述内部控制审计的目标与内容。简述内部控制审计的程序与方法。在一次全国性的高层管理论坛中，某公司老总称：“我公