内部审计学（第2版） 课件 【ch07】内部控制审计

内部控制审计“华信经管创新系列內部审计学（第二版）第七章01内部控制概述内部控制的概念界定内部控制思想的出现有着十分久远的历史。内部控制最早出现的标志可以追溯到苏美尔文化早期的内部牵制制度。继内部牵制制度之后，内部控制又经历了内部控制制度和内部控制结构的发展阶段。随着社会经济环境的发展和企业经营管理的变化，人们对内部控制的认知在逐步深化，对内部控制的定位必然是一个不断完善和不断发展的过程。内部控制概述0102030405促进组织实现发展战略

保证资产的安全提高经营活动的效率和效果确保财务报告及相关信息的真实和完整维护组织经营活动的合法性与合规性内部控制概述内部控制的目标0102030405控制环境

控制活动风险评估过程信息系统与沟通对控制的监督内部控制概述内部控制的基本要素内部控制的局限性(1)在决策时人为判断可能会出现错误，由于人为失误也可能导致内部控制失效。例如，被审计单位的信息技术工作人员没有完全理解系统如何处理销售交易，为使系统能够处理新型产品的销售，可能错误地对系统进行更改；或者对系统的更改是正确的，但是程序员没能把更改转化为正确的程序代码。(2)内部控制可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。例如，管理层可能与客户签订背后协议，对标准的销售合同做出变动，从而导致确认收入发生错误。再如，软件中的编辑控制旨在发现和报告超过赊销信用额度的交易，但这一控制可能被逾越或规避。内部控制概述02内部控制审计概述以内部审计机构为实施主体的内部控制审计是指内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动。内部控制是组织提高经营管理水平和风险防范能力、保障可持续发展的基础。内部控制审计是伴随着组织和内部审计对内部控制认识的逐步深化而发展起来的。内部控制整合框架和相关规范的提出，极大地改变了实施内部控制审计的内外部环境，内部审计要关注与组织目标实现相关的所有风险，因此内部控制审计发展到以风险评估为基础，根据风险发生的可能性和对组织单个或者整体控制目标造成的影响程度，确定审计的范围和重点。以内部审计机构为实施主体的内部控制审计的概念界定内部控制审计概述内部控制审计与内部控制评价、内部控制审计及内部控制评审的联系和区别（一、与内部控制评价的联系和区别）1.与内部控制评价的联系内部控制审计与内部控制评价的联系主要体现在两者的工作目标均是审查和评价组织内部控制的设计和运行的有效性。与此同时，两者都是围绕着控制环境、风险评估、控制活动、信息与沟通、监督等内部控制要素来确定具体审查和评价的内容的，且两者的工作程序也基本一致。如果组织的董事会或者类似权力机构授权内部审计机构和人员负责内部控制评价的具体组织和实施工作，此时两者的工作主体也是一致的。

内部控制审计概述内部控制审计与内部控制评价、内部控制审计及内部控制评审的联系和区别2.与内部控制评价的区别(1)责任主体不同(2)实施的强制性不同(3)遵循的规则不同(4)工作成果的体现不同

内部控制审计概述(二)与以注册会计师为实施主体的内部控制审计的联系和区别1.与注册会计师内部控制审计的联系不论是由内部审计机构实施的内部控制审计，还是由注册会计师实施的内部控制审计，都是针对组织内部控制开展的审计活动，都是为了提升组织内部控制在设计和运行上的有效性，促进组织内部控制目标的实现。内部控制审计概述(二)与以注册会计师为实施主体的内部控制审计的联系和区别2.与注册会计师内部控制审计的区别(1)性质不同(2)强制性不同(3)遵循的规则不同(4)审计侧重点不同(5)实施的频率不同(6)工作成果的体现不同内部控制审计概述1.与审计过程中内部控制评审的联系内部审计机构实施的内部控制审计与审计人员在审计过程中进行的内部控制评审都是针对被审计单位内部控制的设计和运行情况而实施的，审计人员也会采用基本相同的审计方法，如询问、穿行测试、实地观察、检查、重复执行等。能够同时实现双重目标：一是获取充分适当的审计证据以支持内部控制审计中对内部控制有效性的审计结论，二是获取充分适当的审计证据以支持财务报表审计中对控制风险的评估结果。三、与财务报表审计过程中内部控制评审的联系和区别内部控制审计概述2.与审计过程中内部控制评审的区别(1)工作目标不同内部控制审计的工作目标在于评价内部控制设计和运行的有效性，从而为组织实现战略目标提供服务。(2)工作结果不同内部审计机构实施了内部控制审计之后，应当向适当管理层报告审计结果。三、与财务报表审计过程中内部控制评审的联系和区别内部控制审计概述三、内部控制审计的责任划分我国内部审计具体准则第2201号明确规定：“董事会及管理层的责任是建立健全内部控制并使之有效运行。内部审计的责任是对内部控制设计和运行的有效性进行审查和评价，出具客观、公正的审计报告，促进组织改善内部控制及风险管理。”

内部控制审计概述03内部控制审计的内容组织层面内部控制审计的内容THECONNOTATIONOFCORPORATECULTURE1.组织架构(1)组织架构的设计是否符合国家有关法律法规的规定，是否明确了董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，是否能够确保决策、执行和监督相互分离，形成制衡。(2)组织架构是否形成了重大决策、重大事项、重大人事任免以及大额资金支付业务等的集体决策或联签制度。(3)组织架构是否按照科学、精简、高效、透明、制衡的原则，合理设置了内部职能机构，并明确体现了不相容职务分离的要求。审查与评价内部环境内部控制审计的内容组织层面内部控制审计的内容THECONNOTATIONOFCORPORATECULTURE(4)组织架构是否对其治理结构和内部机构的设置进行了梳理，是否能够保证其运行的合理性和有效性。(5)组织架构中是否建立了科学的投资管控制度。(6)组织是否定期对组织架构设计及运行的效率和效果进行评估，对存在的缺陷是否已经进行了优化调整。审查与评价内部环境内部控制审计的内容审查与评价内部环境2.发展战略(1)组织在制定发展目标时是否进行了充分的调查研究、科学分析预测和广泛征求意见。(2)组织是否依据发展目标制定了战略规划。(3)董事会是否下设战略委员会或指定相关机构负责发展战略管理工作，其职责和议事原则是否明确。(4)组织是否根据发展战略制订了年度工作计划、并编制了全面预算。(5)组织是否对发展战略的实施情况进行了监控和定期分析。

内部控制审计的内容审查与评价内部环境3.人力资源(1)组织是否根据人力资源总体规划，结合生产经营实际需要，制订了年度人力资源需求计划，完善人力资源引进制度。(2)人力资源选聘程序是否符合职位要求、公开、公平。(3)组织是否依法与员工签订了劳动合同。(4)组织是否建立了培训等人才培养的长效机制。(5)组织是否建立了人力资源的激励约束机制和绩效考核制度。(6)组织是否制定了定期轮岗制度。(7)组织是否建立健全了员工退出制度。

内部控制审计的内容组织层面内部控制审计的内容THECONNOTATIONOFCORPORATECULTURE4.组织文化(1)组织是否根据自身发展战略和实际情况培育了具有自身特点的组织文化。(2)董事、监事、经理和其他高级管理人员是否发挥了主导和模范作用。(3)组织文化是否渗透到组织的生产经营全过程，并得到了全员的遵守。(4)组织是否定期对组织文化进行评估，并对存在的问题采取措施加以改进。审查与评价内部环境内部控制审计的内容审查与评价内部环境5.社会责任(1)组织是否建立了严格的安全生产管理体系、操作规范和应急预案，是否强化安全生产责任追究制度。(2)组织的安全生产措施是否到位、责任是否落实。(3)组织是否建立了严格的产品质量控制、检验制度及售后服务制度。(4)组织是否建立了环境保护与资源节约制度，是否认真落实节能减排责任，是否积极开发和使用节能产品，是否发展循环经济，是否降低污染物排放，是否提高资源综合利用效率。(5)组织是否依法保护员工的合法权益。

内部控制审计的内容1.组织战略和目标的沟通(1)组织目标是否适当，是否与组织的战略、组织所处的内外部环境相适应，组织目标是否已经传达到组织的各个相关层次。(2)组织在具体策略和业务流程层面的目标与组织整体目标是否保持协调。(3)组织是否已经明确影响整体战略实施的关键因素。(4)组织的各级管理人员是否能够参与组织目标的制定，是否明确了相关的责任。审查与评价风险评估内部控制审计的内容2.风险评估过程(1)组织是否已经建立了完备的风险识别机制。(2)组织是否已经建立了有效的风险评估方法。(3)组织的风险分析是否是通过正式的分析程序进行的。审查与评价风险评估内部控制审计的内容3.对风险的管理(1)组织是否建立了识别和应对可能对组织产生重大且普遍影响的风险的完备机制。(2)组织风险管理部门是否建立了必要的流程以识别、评估和应对运营环境中出现的各种风险以及可能发生的重大变化。(3)组织是否建立了对风险管理效果进行定期监督和评价的机制。审查与评价风险评估内部控制审计的内容审查与评价控制活动1.授权审批控制(1)组织对一般授权和特别授权的界定是否清晰。(2)组织设置的授权审批控制是否具有充分的依据，是否做到了依事不依人，授权者对下级的授权是否在自己的权限范围内，是否建立了针对授权的监督保障机制。(3)组织是否存在越权审批、随意审批的情况。(4)组织的授权和审批是否采取了适当的书面形式。

内部控制审计的内容审查与评价控制活动2.不相容职责分离控制(1)可行性研究与决策审批是否相分离；(2)业务执行与决策审批是否相分离；(3)业务执行与审核监督是否相分离；(4)会计记录与业务执行是否相分离；(5)业务执行与财产保管是否相分离；(6)财产保管与会计记录是否相分离。

内部控制审计的内容3.会计系统控制(1)组织管理层是否依据具体情况选择了适当的会计准则和相关的会计制度。(2)会计政策的选择是否适当，变更会计政策是否有合理的理由。(3)会计估计的确定是否合理。(4)文件和凭证控制措施是否健全，是否对经济业务进行适当记录并且对相关凭证进行连续编号。(5)会计档案的保管是否妥当。(6)组织是否依法设置了会计机构，配备了合格的会计人员。(7)组织是否建立了适当的会计岗位制度。审查与评价控制活动内部控制审计的内容4.财产保护控制(1)组织是否建立了财产档案，全面及时地反映财产的增减变动。(2)组织是否建立了对财产的实物保管制度，严格限制未经授权人员接触资产。(3)组织是否建立了定期或者不定期的财产盘点清查制度。审查与评价控制活动内部控制审计的内容审查与评价控制活动5.预算控制(1)组织是否建立和完善了预算编制工作制度，明确编制依据、编制程序、编制方法等内容，确保预算编制依据合理、程序适当、方法科学，全面预算是否按照相关法律法规及组织章程的规定报经审议批准，并以文件形式下达执行。(2)组织的预算执行是否严格，确需调整预算的，是否履行严格的审批程序。(3)组织是否建立了严格的预算执行考核制度，对各预算执行单位和个人进行考核，切实做到有奖有惩、奖惩分明。

内部控制审计的内容审查与评价控制活动6.运营分析控制(1)组织采用的运营分析方法是否恰当；(2)组织是否根据发现的问题查找了原因；(3)组织是否在分析问题并查找原因的基础上，提出了改进的措施。

内部控制审计的内容审查与评价控制活动THECONNOTATIONOFCORPORATECULTURE(1)考核主体与客体是否恰当；(2)考核评价的目标是否明确；(3)考核评价指标是否科学合理；(4)考核评价标准是否适当；(5)考核评价方法是否科学合理；(6)考核结果是否公正。7.绩效考评控制内部控制审计的内容审查与评价控制活动THECONNOTATIONOFCORPORATECULTURE(1)组织是否建立了分级授权的合同管理制度；(2)组织是否实行统一归口管理；(3)各业务部门作为合同的承办部门是否进行了明确的职责分工；(4)组织是否建立健全了合同管理考核与责任追究制度，并开展了合同后评估。8.合同管理控制内部控制审计的内容审查与评价信息与沟通1.内部信息传递(1)内部信息传递系统是否功能安全、内容完整。(2)内部信息传递系统向适当人员提供的信息是否充分、具体和及时，使之能够有效履行其职责。(3)内部信息传递系统是否明确规定了内部信息传递的内容、保密要求及密级分类、传递方式、传递范围以及各管理层级的职责权限。(4)内部信息传递系统对不恰当事项和行为是否建立了沟通渠道。

内部控制审计的内容审查与评价信息与沟通2.财务报告(1)组织是否按照国家统一的会计准则和制度规定进行会计记录和财务报告的编制。(2)财务报告是否内容完整、数字真实、计算准确、没有漏报。(3)组织是否定期进行收入、费用、成本、资产、负债、现金流量等的财务分析，并传达给有关管理层。

内部控制审计的内容审查与评价信息与沟通3.信息系统(1)组织信息系统的开发及其变更是否与组织战略计划相适应。(2)管理层是否提供适当的人力和财力以开发必需的信息系统。(3)组织信息系统是否建立了严格的用户管理制度。(4)组织信息系统是否建立了系统数据定期备份制度。(5)组织是否对信息系统进行了安全策略的保护。

内部控制审计的内容010203组织对经营业绩以及变化趋势是否进行定期的监督；组织是否进行定期的内部控制评价，评价是否取得了良好的效果；组织管理层是否会采纳监督人员的建议，及时纠正内部控制运行中的偏差；内部控制审计的内容审查与评价内部监督04组织是否建立了协助管理层进行监督的职能部门(如监事会、审计委员会或者内部审计机构),这些机构的工作职责和工作效果等。确定重要业务流程和重要交易类别了解重要交易流程确定需要设置内部控制的环节评价内部控制内部控制审计的内容业务层面内部控制审计04内部控制审计的组织方式和程序0102030405(一)审计范围

(四)审计方式全面内部控制审计能够较为全面地、综合地评价被审计单位的经营管理和内部控制状况。(二)审计作用全面内部控制审计由于涉及的工作量较大，审计的范围也较为广泛。(三)审计方法(五)审计结果内部控制审计的组织方式和程序内部控制审计的组织方式全面内部控制审计涉及组织经营管理的所有环节，属于全面审计。全面内部控制审计工作量大、审计时间长、人力分散，审计成本较高，对内部审计人员的综合素质也具有较高的要求。全面内部控制审计的审计结果主要集中在对被审计单位经营管理和内部控制的全方位评价之上，属于对组织的经营管理和内部控制的“横切面”剖析。(1)编制项目审计方案；1.对组织的内部控制进行了解2.制订审计计划3.下达审计通知(2)组成审计组；(3)实施现场审查；1.对内部控制进行了解2.对内部控制进行测试3.详细记录内部控制审计工作底稿(4)认定控制缺陷；1.内部控制缺陷的定义和分类2.内部控制缺陷的识别3.内部控制缺陷的认定标准4.内部控制缺陷的认定程序(5)汇总审计结果；(6)编制审计报告。内部控制审计的程序内部控制审计的组织方式和程序05内部控制审计的方法个别访谈法个别访谈法是指内部审计人员与被审计单位某管理人员或者其他相关人员单独面对面地直接进行交谈，以获取有用信息的方法。个别访谈法主要用于了解组织内部控制的设计和运行现状，在调查了解组织整体层面和具体业务层面内部控制过程中被广泛运用。运用这一方法时应当注意：第一，确定适当的访谈对象。第二，设计好访谈提纲。第三，把握访谈技巧。

内部控制审计的方法调查问卷法是指内部审计人员按照内部控制设计和运行的一般要求，考虑理想的控制模式，将需要调查的全部内容以提问的方式列出并制成固定式样的表格，然后交由被审计单位回答，以此来了解和测试内部控制的一种方法。调查问卷法的优点是调查范围明确，问题突出，容易发现被审计单位内部控制中存在的缺陷和薄弱环节。该方法的缺点是反映问题不够全面，仅限于被调查事项的范围。调查问卷法内部控制审计的方法内部审计