(9)第九章风险评估与内部控制评审

第九章风险评估与内部控制评审2023/10/111

第一节风险评估的含义第二节了解被审计单位及其环境第三节内部控制评审第四节识别评估重大错报风险第五节与管理层和治理层沟通主要内容2023/10/112要点

中国注册会计师审计准则1211号《了解被审计单位的环境并评估重大错报风险》

注册会计师应当了解被审计单位及其环境，以充分识别和评估财务报表的重大错报风险，设计和实施进一步的审计程序审计准则对风险评估的总体要求2023/10/113要点

了解被审计单位及其环境是一个连续和动态地收集、更新和分析信息的过程，贯穿于整个审计过程的始终注册会计师应当运用职业判断确定需要了解被审计单位及其环境的程度CPA是否需要达到管理层对于被审计单位一样的了解程度?审计准则对风险评估的总体要求2023/10/114第一节风险评估的含义一、风险评估的含义和意义风险评估程序是注册会计师了解被审计单位及其环境的手段，其内容是几种单项审计程序的有效组合，其目的在于获取财务信息和非财务信息来识别和评估财务报表层次和认定层次重大错报风险，风险评估程序是注册会计师审计中必须实施的审计程序。2023/10/1151、询问被审计单位的管理层和内部其他相关人员2、分析程序3、观察和检查4.其他审计程序和信息来源二、风险评估程序的内容第一节风险评估的含义2023/10/1161、询问注册会计师除了询问管理层和对财务报告负有责任的人员外,还应考虑询问内部审计人员、采购人员、生产人员、销售人员等其他人员，并考虑询问不同级别的员工，以获取对识别重大错报风险有用的信息第一节风险评估的含义2023/10/1172、分析程序注册会计师实施分析程序有助于识别异常的交易或事项，以及对财务报表和审计产生影响的金额、比率和趋势如果使用了高度汇总的数据，实施分析程序的结果仅可能初步显示财务报表存在重大错报风险，注册会计师应当将分析结果连同识别重大错报风险时获取的其他信息一并考虑第一节风险评估的含义2023/10/1183、观察与检查

观察被审计单位的生产经营活动

检查文件、记录和内部控制手册阅读由管理层和治理层编制的报告实地察看被审计单位的生产经营场所和设备追踪交易在财务报告信息系统中的处理过程（穿行测试）第一节风险评估的含义2023/10/119【例题·多选题】A注册会计师负责审计甲公司2012年度财务报表。在了解内部控制时，A注册会计师遇到下列事项，请代为做出正确的专业判断。A注册会计师执行穿行测试可以实现的目的有（

）。A.确认对业务流程的了解B.识别可能发生错报的环节C.评价控制设计的有效性D.确定控制是否得到执行【答案】ABCD2023/10/11104、其他审计程序和信息来源其他审计程序（1）询问被审计单位聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等。（2）阅读外部信息也可能有助于注册会计师了解被审计单位及其环境。外部信息包括证券分析师、银行、评级机构出具的有关被审计单位及其所处行业的经济或市场环境等状况的报告，贸易与经济方面的报纸期刊，法规或金融出版物，以及政府部门或民间组织发布的行业报告和统计数据等。第一节风险评估的含义2023/10/1111其他信息来源（1）对新的审计业务，注册会计师应在业务承接阶段对被审计单位及其环境有一个初步的了解，以确定是否承接该业务。而对连续审计业务，也应在每年的续约过程中对上年审计做总体评价，并更新对被审计单位的了解和风险评估结果，以确定是否续约。注册会计师还应当考虑向被审计单位提供其他服务（如执行中期财务报表审阅业务）所获得的经验是否有助于识别重大错报风险。（2）对于连续审计业务，如果拟利用在以前期间获取的信息，注册会计师应当确定被审计单位及其环境是否已发生变化，以及该变化是否可能影响以前期间获取的信息在本期审计中的相关性。第一节风险评估的含义2023/10/1112第一节风险评估的含义

问：在获取审计证据的八种审计程序中，有哪些审计程序在风险评估中没有用到？2023/10/1113为什么重要？不深入了解被审计单位及其环境，根本就不可能知道被审计单位的财务报表可能在哪里会出错，也无法界定什么错报为“重大”，更无法设计有效的审计程序去发现错报“战略系统审计观”要求审计人员具有更广阔的视野和更发散的思维第二节了解被审计单位及环境2023/10/1114了解被审计单位及其环境为注册会计师在下列关键环节做出职业判断提供了依据：1.确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当；2.考虑会计政策的选择和运用是否恰当，以及财务报表的列报是否适当；3.识别需要特别考虑的领域，包括关联方交易、管理层运用持续经营假设的合理性，或交易是否具有合理的商业目的等；4.确定在实施分析程序时所使用的预期值；5.设计和实施进一步审计程序，以将审计风险降至可接受的低水平；6.评价所获取审计证据的充分性和适当性。了解被审计单位及其环境的作用2023/10/1115【例题·单选题】根据风险导向审计方法对财务报表审计的要求，以下你对注册会计师了解被审计单位及其环境的作用的观点中不能认同的是（

）。A.只有通过了解被审计单位及其环境才能确定重要性水平，并随着审计工作的进程评估对重要性水平的判断是否仍然适当B.只有通过了解被审计单位及其环境才能确定在实施分析程序时所使用的预期值C.只有通过了解被审计单位及其环境才能设计和实施进一步审计程序，以将重大错报风险降至可接受的低水平D.只有通过了解被审计单位及其环境才能识别需要特别考虑的领域【答案】C【解析】选项C不恰当。注册会计师通过了解被审计单位及其环境评估的是财务报表重大错报风险，通过设计和实施审计程序降低的是审计风险。2023/10/1116总体要求行业状况、法律环境与监管环境以及其他外部因素被审计单位的性质被审计单位对会计政策的选择和运用被审计单位的目标、战略以及相关经营风险被审计单位财务业绩的衡量和评价被审计单位的内部控制第二节了解被审计单位及环境2023/10/11171.外部环境因素行业状况法律及监管环境其他外部因素第二节了解被审计单位及环境2023/10/11182.被审计单位的性质所有权结构治理结构组织结构经营活动投资活动筹资活动子公司或附属公司（subsidiary）合营企业（jointventures）联营企业（affiliatesorassociates）第二节了解被审计单位及环境2023/10/11193.被审计单位对会计政策的选择和运用重要项目的会计政策和行业惯例重大和异常交易的会计处理方法在新领域和缺乏权威性标准或共识的领域，采用重要会计政策产生的影响会计政策的变更被审计单位何时采用以及如何采用新颁布的会计准则和相关会计制度第二节了解被审计单位及环境2023/10/11204.被审计单位的目标、战略以及相关经营风险经营风险源于对被审计单位实现目标和战略产生不利影响的重大情况、事项、环境和行动，或源于不恰当的目标和战略多数经营风险最终都会产生财务后果，从而影响财务报表；注册会计师应当根据被审计单位的具体情况考虑经营风险是否可能导致财务报表发生重大错报第二节了解被审计单位及环境2023/10/1121被审计单位的目标、战略以及相关经营风险审计风险=重大错报风险×检查风险经营风险剩余风险财务报表在审计前存在重大错报的可能性某一认定存在重大错报而CPA未能发现的可能性第二节了解被审计单位及环境2023/10/11225.被审计单位财务业绩的衡量和评价被审计单位内部或外部对财务业绩的衡量和评价可能对管理层产生压力，促使其采取行动改善财务业绩或歪曲财务报表第二节了解被审计单位及环境2023/10/11236.被审计单位内部控制(见第三节)第二节了解被审计单位及环境2023/10/1124第三节内部控制评审一、内部控制的概念及其思想的历史演进二、内部控制的目标与要素三、财务报告内部控制（与审计相关）四、内部控制的描述五、内部控制的评审2023/10/1125一、内部控制的概念及其思想的历史演进（一）内部牵制阶段（InternalCheck）（二）内部控制制度阶段

（InternalControl

System）（三）内部控制结构阶段（InternalControlStructure）（四）内部控制整体框架结构（InternalControlIntegratedFramework）（五）企业风险管理——综合框架：演变为内部控制的八个要素（EnterpriseManagementIntegratedFramework）第三节内部控制评审2023/10/11261934年美国《证券交易法》，提出“内部会计控制”内部牵制1936年AICPA首次使用了“内部控制”这一术语1949年内控的第一个权威定义，AICPA发表专题报告1953年1972年1988年第一次修正第二、三次修正，最终形成《审计准则公告第1号》AICPA提出内部控制结构定义1992年COSO内部控制整体框架2004年COSO风险管理整合框架2002年SOA法案内部控制制度内部控制结构内部控制整体框架风险管理框架内部控制的发展2023/10/1127（一）萌芽期一一内部牵制（20世纪40年代前）“Controls”一词最初从拉丁语“contrarotulus”派生而来，意为“对比卷宗”。它起源于古罗马时代对会计账簿实施的“双人记账制”，即某笔经济业务发生后，由两名记账人员同时在各自的账簿上加以登记，然后定期核对双方账簿记录，以检查有无记账差错或舞弊行为，进而达到控制财物收支的目的。2023/10/1128对比卷宗和双人记账制体现的是内部牵制思想，其基本原理就是：两个或两个以上的人或部门，无意识地犯同样错误的可能性，低于单独一个人或一个部门错误的可能性；有意识地合伙舞弊的可能性，低于单独一个人或一个部门舞弊的可能性（联合概率降低）。《柯氏会计词典》将内部牵制定义为：“用以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。其主要特点是：以任何个人或部门不能单独控制任何一项或一部分业务权力的方式，进行组织上的责任分工；每项业务通过正常发挥其他个人或部门的功能，进行交叉检查或交叉控制。”2023/10/1129内部牵制以不相容职务分离和授权批准控制为标志，至今仍然是控制活动的思想精髓。所谓不相容职务，是指那些如果由一个人担任，既可能发生错误和舞弊行为，又可能掩盖其错误和舞弊行为，因而必须予以分离的职务，如授权批准、业务经办、会计记录、财产保管和稽核检查。主要特点：以查错防弊为目的。以职务分离和账务核对为方法。以钱、账、物等会计事项为主要控制对象2023/10/1130内部牵制的表现形式实物牵制：由两个以上人员共同掌管必要的实物工具，共同完成一定程序的牵制。机械牵制：只有按照正确的程序操作机械，才能完成一定过程的操作。要求按牵制的原则进行程序设置，而且要求所有的业务活动都要建立切实可行的办理程序。制度牵制：不相容职务相分离。对于每一项经济业务的处理，都要求有二人或二人以上共同分工负责，以相互牵制，互相制约。通过组织分工来实现。簿记牵制：原始凭证与记账凭证、会计凭证与账簿、账簿与账簿、账簿与会计报表之间核对。2023/10/1131（二）发展期一内部控制制度（20世纪40年代至70年代初）1936年AICPA发布的《注册会计师对财务报表的审查》文告中，内部控制一词作为审计术语最早出现。美国审计程序委员会下属的内部控制专门委员会于1949年对内部控制首次做出了如下权威定义：“内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性、提高经营效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施”。2023/10/11321958年10月，美国审计程序委员会对内部控制作了如下划分（制度二分法）：（1）会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此有关的方法和程序构成，包括授权与批准制度；记账、编制财务报表、保管财务资产等职务的分离；财产的实物控制以及内部审计等控制。（2）管理控制由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接有关的方法和程序构成，包括统计分析、时动研究、经营报告、雇员培训计划和质量控制等。

2023/10/1133美国注册会计师协会审计准则委员会于1972年12月公布《审计准则公告第1号》(SAS1)，对内部控制定义如下：管理控制包括（但不限于）组织规划以及管理当局进行经济业务授权的决策过程有关的程序和记录。这种授权是与完成该组织目标的职责直接有关的一种管理职能，是对经济业务建立会计控制的起点。会计控制包括组织规划以及与保护财产安全和财务报表可靠性有关的程序和记录，因此它在设计上应能合理保证：1.按管理当局的一般授权或特殊授权处理各项经济业务。2.经济业务的记录必须做到：编制财务报表要遵循公认会计原则，或适用于这些报表的其他标准，保持资产会计责任的记录。3.只有经管理当局授权才能接近资产。4.在一定的间隔期间，将账面载明的资产要和实存资产进行核对，对发生的任何差异采取适当的措施。2023/10/11341977年的《反国外贿赂法案（ForeignCorruptPracticesAct）》是最早的关于内部控制要求的法律，要求美国所有的上市公司必须建立内部会计控制制度，以防范公司资金被用于不法目的。但

1980年3月，在国际内部审计师协会代表大会的发言中，凯罗鲁斯把内部控制的两分法描绘为“将美玉击成了碎片”。他声称，在这块美玉完全修复（破镜重圆）以前，我们不可能有一个对管理人员有用、为管理人员理解的内部控制定义。2023/10/1135（三）成熟期——内部控制结构（1988）和内部控制整体架构（1992）1.内部控制结构（InternalControlStructure）1988年，美国注册会计师协会指出：“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”。内部控制结构不再将内部控制割裂成会计控制和管理控制两部分，并正式将控制环境纳入内部控制范畴。三要素2023/10/1136（1）控制环境对建立、加强或削弱特定政策和程序效率发生影响的各种因素，反映董事会、经理层、其他管理人员对内部控制的态度、认识和行动

：管理当局的思想和经营作风企业组织机构董事会及其所属委员会的作用确定职权和责任的方法监控和检查工作时所有控制方法，包括经营计划、预算，利润计划、责任会计和内部审计人事工作方针及其执行影响本企业业务的各种外部关系2023/10/1137（2）会计系统确认和登记一切合法的经济业务对各种经济业务进行按时和适当的分类，作为编制会计报表的依据将各种经济业务按适当的货币价值计价，以便列入会计报表确定经济业务发生的日期，以便分会计期间进行记录在会计报表中恰当表述经济业务以及有关内容2023/10/1138（3）控制程序管理当局所制订的，用以保证达到一定目标的方针和程序：经济业务和活动的批准和授权（授权批准控制）明确各个人员的职责分工（不相容职务分离）凭证和账单的设计和使用应保证经济业务和活动得到正确的职务分离的记载（如连续编号）财产及其记录的接触使用要有保护措施（如限制接近）对已登记的业务及其计价进行复核（独立稽核）2023/10/11392.内部控制整体架构（InternalControl一IntegratedFramework）

20世纪90年代至21世纪初1992年，COSO报告发布，1994年进行修改。1996年，AICPA发布《审计准则第78号》(SAS78)，全面接受COSO报告的内容，从1997年1月1日起以内部控制框架取代内部控制结构。“内部控制是一个过程，受企业董事会、经理阶层和其他员工的影响，旨在保证财务报告的可靠性、经营的效率和效果以及现行法规的遵循。”2023/10/11401992年，美国反财务欺诈委员会下属的内部控制专门研究委员会COSO（CommitteeofSponsoringOrganizationsoftheTread-wayCommission），提出《内部控制整体框架（InternalControl-IntegratedFramework）》的专题报告（又称COSO报告），在世界范围内得到广泛应用。2023/10/1141COSO报告指出，内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。经营的有效性(做对的事DOtherightthings)和效率(把事情做好Dothethingsright)财务报告的可靠性符合适用的法律和法规2023/10/1142内部控制是一个过程。它是实现目的的手段，而不是目的本身。内部控制由人员来实施。它并不仅仅是政策手册和表格，还涉及组织中各个层级的人员。内部控制为组织的管理层和董事会提供合理保证，而不是绝对保证。内部控制被用来实现一个或多个彼此独立又相互交叉的类别的目标。对内部控制定义的理解2023/10/1143过程内部控制并不是一个事项或一种情形，而是渗透到主体的活动中的一系列行为。在组织中的各个单元或职能之内或跨组织单元或职能而实施的经营过程，都是通过规划、执行和监控等基本的管理过程来加以管理的。内部控制使这些过程得以推行，并对他们的实施和持续的关联性进行监控。嵌入式的控制有助于降低成本和缩短反应时间。2023/10/1144人员内部控制是由主体的董事会、管理层和其他人员实施的。人员制定主体的目标，并将控制机制付诸实施。同时，内部控制也会影响人员的行动。人们必须知道他们的责任和权限。人员需要把他们所承担的责任与他们履行这些责任的方式，以及企业的目标明确而密切的联系起来。董事主要提供监督，但是也提供指导，并审批特定的交易和政策。董事会是内部控制的一个重要元素。2023/10/1145合理保证目标实现的可能性受到所有内部控制都存在的固有局限的影响：决策中的人为判断可能是错误的负责建立控制的人员需要考虑相应的成本和效益可能会由于简单的误差或错误等人为失误而发生故障控制会因为两个或更多人的串通而被规避管理层具有凌驾于内部控制体系之上的能力2023/10/1146人员内部控制是由主体的董事会、管理层和其他人员实施的。人员制定主体的目标，并将控制机制付诸实施。同时，内部控制也会影响人员的行动。人们必须知道他们的责任和权限。人员需要把他们所承担的责任与他们履行这些责任的方式，以及企业的目标明确而密切的联系起来。董事主要提供监督，但是也提供指导，并审批特定的交易和政策。董事会是内部控制的一个重要元素。2023/10/1147合理保证目标实现的可能性受到所有内部控制都存在的固有局限的影响：决策中的人为判断可能是错误的负责建立控制的人员需要考虑相应的成本和效益可能会由于简单的误差或错误等人为失误而发生故障控制会因为两个或更多人的串通而被规避管理层具有凌驾于内部控制体系之上的能力2023/10/1148目标主体的目标通常被分为三类：经营(operation)目标——与主体资源利用的有效性和效率有关财务报告(financialreporting)目标——与编制可靠的公开财务报表有关合规(compliance)目标——与主体符合适用的法律和法规有关以上三类目标互相区别又彼此交叉，根据不同的需要，可能是不同管理人员的直接责任。内部控制可以对财务报告目标与合规目标的实现提供合理保证；但对经营目标而言，内部控制只能就管理层以及履行监督职能的董事会及时了解该主体朝着它们迈进的程度进行合理保证。2023/10/1149控制环境（基础）风险评估（依据）控制活动（手段）信息与沟通（载体）监督（保证）内部控制整合框架(五要素)2023/10/1150五要素及其相互关系

监控控制活动风险评估控制环境信息沟通信息沟通基础手段保证载体依据2023/10/1151内部控制的构成要素2023/10/1152《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》中将内部控制定义为：内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵循，由治理当局、管理当局和其他人员设计和执行的政策和程序。对内部控制概念的理解，应把握以下几点：1．内部控制的目标是合理保证：（1）财务报告的可靠性；（2）经营的效果和效率，（3）在所有经营活动中遵守法律法规的要求。2．实现内部控制目标的手段是设计和执行控制政策和程序。3．内部控制贯穿于企业经营管理活动的各个方面，只要存在企业经营管理活动，就需要有相应的内部控制。2023/10/1153（四）最新发展——企业风险管理（enterpriseriskmanagement）2004年9月，COSO委员会顺应风险管理与内部控制相融合的趋势，吸收了风险管理的研究成果，结合《萨班斯——奥克斯莱法案》，正式颁布《企业风险管理整体框架（EnterpriseRiskManagement-IntegratedFramework）》。2023/10/1154该框架对内部控制的定义明确了以下内容：

（1）是一个动态的、贯穿企业实体各个层级和单位的过程（2）受组织内所有层次人的影响（3）应用于战略制定

（4）旨在识别影响组织的事件并在组织的风险偏好范围内管理风险（5）能够为企业实体的管理层和董事会提供合理保证（6）为了实现各类目标演变为内部控制的八个要素。ERM并非替代IC-IF，而是包容了IC-IF，在内控的有关概念上，两者保持了一致与连贯。企业风险管理框架不仅可以满足企业加强内部控制的需求，也能促进企业建立更为全面的风险管理体系。2023/10/1155八要素与五要素关系内部环境目标制定事项识别风险评估风险反应控制活动信息与沟通监控控制环境风险评估控制活动信息与沟通监控2023/10/1156风险管理框架包括八大要素：由内部控制转向风险管理内部环境目标设定事项识别风险评估风险应对控制活动信息与沟通监控风险管理整合框架阶段2023/10/1157小结：内部控制发展阶段2023/10/1158我国内部控制理论的五部规章制度：1、1996年12月财政部发表的《独立审计准则第9号———内在控制和审计风险》,是从制度基础审计的角度对内部控制的定义作出了规定,它认为内部控制包括控制环境、会计系统和控制程序,强调的重点是会计系统。2、1999年修订的《会计法》第二十七条明确指出“各单位应该建立健全本单位内部会计监督制度”。它是我国第一部体现内部会计控制要求的法律。此条文实际是认为内部控制包括会计控制和其他控制。3、2001年财政部颁布《内部会计控制规范———基本规范(试行)》和《内部会计控制规范———货币资金(试行)》。它是从企业自身的角度,从改进企业经营方式的角度对企业内部控制予以要求,强调内控以会计控制为主,同时兼顾与会计相关的控制。4、2007年3月企业内部控制标准委员会发布的征求意见稿。基本规范共分8章，包括总则、内部环境、风险评估、控制措施、信息与沟通、监督检查、组织实施和附则。具体规范涉及财务报告内部控制和其他方面的控制。5、2008年5月财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》，执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。2023/10/1159《企业内部控制基本规范》2010年1月1日由境外上市公司先期执行，2011年境内上市公司执行。企业内部控制配套指引自2011年1月1日起在境内外同时上市的公司施行，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行。在此基础上，择机在中小板和创业板上市公司施行，鼓励非上市大中型企业提前执行。执行《企业内部控制基本规范》及企业内部控制配套指引的上市公司和非上市大中型企业，应当对内部控制的有效性进行自我评价，披露年度自我评价报告，同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。内部控制建设的意义2023/10/1160德勤2007-2008年对国内上市公司的内部控制实施状况，进行了跟踪调查。德勤发现：56％的公司没有建立，或现有内部控制机制尚不完善；72％的公司没有持续监控内部控制的有效机制，或未得到任何改善。就企业内控水平而言，海外上市公司的水平最高，其次是国内的上市公司，随后是其他未上市的大型企业，中小企业的内控审计建设最为薄弱。内控是对企业业务流程的再造，执行企业需要增设专门岗位和专业人员，制定相应流程。建立以基本规范为统领，以评价指引、应用指引和内部控制鉴证指引为补充的内控标准体系，以法制为推动、以企业实施为主体、以政府监管和社会评价为保障、以各方面积极参与为促进的内控实施体系，已如箭在弦，不得不发。2023/10/1161国际资本市场：“入门证”和“通行证”许多国家通过立法强化企业内部控制，内部控制日益成为企业进入资本市场的“入门证”和“通行证”。研究结果表明，内部控制存在缺陷，是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因。我国境外上市企业纷纷花巨资聘请海外机构设计内部控制制度（聘请海外机构做设计，需要5000万元左右；而请国内公司做设计，需要500万元左右），以适应上市地的监管要求。2023/10/1162例如，美国SOX法案第404条款（公认最严格、最复杂、执行成本最高）强调，公众公司内控活动的操作流程都必须清楚地定义并保存相关记录，任何一个岗位的职务、职责都应描述得一目了然，在对交易进行财务记录的每一个环节都应有相应的内部控制制度，并指出内部控制的缺陷所在。它还特别规定，公众公司管理层负有建立和维护内部控制系统以及保证相应控制程序充分有效的责任，编制的年度报告须包括内部控制报告，体现管理层对最近财政年度末对内部控制体系及控制程序有效性的评价，并由担任公司年报审计的会计师事务所对其出具评价报告（但不作为一项单独的业务）。

2023/10/1163风险控制：天使Or魔鬼内部控制与风险管理是一个事情的两个方面，正因为有风险才需要控制。为了引导企业进一步加强内部控制，1999年修订的《会计法》，第一次以法律的形式对建立健全内部控制提出原则要求。但从现实情况看，许多企业管理松弛、内控弱化、风险频发，资产流失、营私舞弊、损失浪费等问题还比较突出。随着市场经济的发展和企业环境的变化，单纯依赖会计控制已难以应对企业面对的市场风险，会计控制必须向风险控制发展。2023/10/1164以史为鉴——英国议会曾否决将电力、煤气引入伦敦的千家万户否决引入电力的理由：“如果把电通到千家万户之后，每一户人家至少都得有一个电插头吧？那个电插头的杀伤力绝对不可低估，简直就是现代化的杀伤性武器！如果在全伦敦、全英国普及用电，就等于是给每一个英国人，包括所有的大人、小孩、坏人、精神病患者等等，都发了一把枪，使他们每个人都具备了把别人或者自己随便杀死的武器和能力。这实在是太可怕了！”2023/10/1165否决引入煤气的理由：“如果千家万户都用煤气，肯定需要储存煤气的巨大煤气罐吧？把那么多个大煤气罐摆放在伦敦，那就等于放了数个巨大的‘炸药包’。任何一个国家总有一些坏人，如果这些坏人自己不想活了，一旦把巨大的‘炸药包’点着，两千多年的文明古城岂不是毁于一旦了吗？难道有谁能承担得了这个责任吗？”教训：内部控制的宗旨是兴利除弊，兴利是要作“天使”，除弊则是要驱除“魔鬼”，但切忌“好心办坏事”。英国历史上的决策失误——曾否决将电力、煤气引入伦敦的千家万户，就是真理走向谬误、控制变成桎梏的反面例子。

2023/10/1166COSO：之所以要设置内部控制，就是促使企业在迈向获利目标的路上，达成管理理念，并把路上的意外惊吓减到最少。形象地说，健全、完善的内部控制制度是可以“治病救人”的，因为“一个不好的制度会让好人变成坏人，而一个好的制度会让坏人变成好人”。

内部控制已成为时下企业管理层、审计师、各国政府，以及相关监管部门万众瞩目的焦点。这个今日在经济管理领域的许多方面仍然发挥重要作用的内部控制思想，其发展应归功于历代企业家、政府官员、会计人员和著书立说者们的不懈努力。他们不是在实践中应用这一思想，就是至少提倡应用这一思想。——汤姆.李（Tom.Lee）2023/10/1167二、内部控制的目标与要素（COSO，1992）（一）、含义：内部控制（internalcontrol）是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序

企业内部控制基本规范.doc（不能绝对保证是因为内部控制的局限性）第三节内部控制评审2023/10/1168

内部控制与内部控制制度（internalcontrolsystem，ICS）

内部控制包括内部控制的设计及运行，强调控制的过程

IFAC(InternationalFederationofAutomaticControl

)称IC=ICS+AS(会计系统),ICS是IC的组成

2023/10/1169（二）、目标：（1）财务报告的可靠性，这一目标与管理层履行财务报告编制责任密切相关；（2）经营的效率和效果，即经济有效地使用企业资源，以最优方式实现企业的目标；（3）在所有经营活动中遵守法律法规的要求，即在法律法规的框架下从事经营活动。2023/10/1170内部控制的具体目标

保证业务活动按照适当的授权进行保证交易金额的正确、合法、及时反映保证对资产和记录的接触、处理均经适当授权保证资产定期核对相符2023/10/11711、内部控制与会计的关系

管理当局责任

实施内部控制是企业内部管理的需要建立健全内部控制和监督内部控制有效运行是管理当局的责任组织中的每一个人都对内部控制负有责任，包括治理层、管理层和其他人员。

内部控制对会计数据的影响建立和执行有效的内部控制对保证财务报表信息的可靠性提供了可能实施内部控制的目的不是消除会计报表中一切错报

2023/10/1172

合理保证：内部控制无论如何设计和执行，只能对财务报告的可靠性提供合理的保证。

内部控制的局限性

成本的限制：被审计单位实施内部控制的成本效益问题会影响其效能。

业务性质和环境（时间）变化的限制：经常发生或未预计到的业务，原有控制就可能不适用。内部控制一般都是针对经常而重复发生的业务而设置的，如果出现不

人为因素的限制在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效；可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。如果被审计单位内部行使控制职能的人员素质不适应岗位要求，也会影响内部控制功能的正常发挥。2023/10/1173[2008年，单选]内部控制无论如何设计和执行只能对财务报告的可靠性提供合理保证，其原因是（

）。

A.建立和维护内部控制是X公司管理层的职责

B.内部控制的成本不应超过预期带来的收益

C.在决策时人为判断可能出现错误

D.对资产和记录采取适当的安全保护措施是X公司管理层应当履行的经管责任【答案】C【解析】内部控制的作用只能合理保证控制目标的实现，其固有局限性主要有两个方面，选项C是其中一个方面。2023/10/11742、内部控制与审计的关系

审计准则的规定

了解内部控制是必须的：不论被审计单位规模大小，都应当对相关的内部控制进行充分的了解。决定控制测试和实质性程序：注册会计师应根据其对被审计单位内部控制的了解，确定是否进行控制测试以及准备进行控制测试的性质、时间和范围。控制测试的结果绝不能取代实质性程序程序：对于内部控制良好的单位，注册会计师可能评估其控制风险较低而减少实质性测试的程序，但决不能完全消除实质性测试程序。无论内部控制如何健全，CPA都必须对认定实施实质性程序，不得将实质性程序仅集中于例外事项上，也不能未经评估，直接将重大错报风险设定为最大值2023/10/1175

审计人员应充分考虑以下内部控制的局限性共谋而避开控制。适当职责分离可以防止单一人员非法侵占资产后又掩盖其非法行为，但这种控制可以通过共谋而避开。

管理当局超越控制。控制的有效与否取决于管理当局的意愿，高层管理人员可能超越控制，所以不能指望内部控制能够防止或发现负责监督内部控制的管理人员的舞弊。系统暂时失效。内部控制系统和相关的内部控制活动只有在管理这些控制的人员执行时才有效。但不能保证相关人员在所有的时间都能以一致的态度履行控制职能。①误解、错误判断、粗心、不注意和疲劳都可能造成系统的暂时失效。②内部控制的暂时性失效也可能发生于环境发生变化，而控制没有相应及时变化的情况下。如：并购、开设分支机构、增加或减少部门或生产线、会计系统的电算化。

2023/10/1176（三）、内部控制的要素控制环境（controlenvironment）风险评估（RiskAssessment）控制活动（ControlActivities）信息系统与沟通（InformationSystemandCommunication）对控制的监督（Monitoring）2023/10/11772023/10/11781、控制环境控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施控制环境设定了组织的基调，影响着其员工的控制意识，它是所有其他要素的基础控制环境属于内部环境，它决定了员工对内部控制是否有足够的认识，能否自觉执行，并接受监督。所有业务活动的核心都是人员——他们的个人特性，包括诚信、道德价值观和胜任能力——以及他们开展经营所处的环境。2023/10/1179控制环境对诚信和道德价值观念的沟通与落实对胜任能力的重视治理层的参与程度管理层的理念和经营风格组织结构职权与责任的分配人力资源政策与实务企业文化？2023/10/1180控制环境控制环境与财务报表层次重大错报风险有关控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报2023/10/1181【2008年，单选】下列情形中，最有可能导致A注册会计师不能执行财务报表审计的是（

）。

A.X公司管理层没有清晰区分内部控制要素

B.X公司管理层没有根据变化的情况修改相关的内部控制

C.X公司管理层凌驾于内部控制之上

D.A注册会计师对X公司管理层的诚信存在严重疑虑【答案】D【解析】注册会计师通过风险评估程序了解被审计单位及其环境评估重大错报风险，其中可能讨论到被审计单位财务报表的可审性问题，涉及可审性问题的影响因素有两种情形，选项D是其中的一种。2023/10/11822、风险评估在评价被审计单位风险评估过程的设计和执行时，注册会计师应当确定管理层如何识别与财务报告相关的经营风险，如何估计该风险的重要性，如何评估风险发生的可能性，以及如何采取措施管理这些风险内部控制与风险管理已更加紧密的结合在一起，COSO最新内部控制标准的名称就是“企业风险管理框架”2023/10/1183内部风险识别管理因素组织结构经营方式资产管理业务流程安全环保因素营运安全员工健康环境保护自主创新因素研究开发技术投入信息技术财务因素财务状况经营成果现金流量人力资源因素职业操守专业胜任能力团队精神2023/10/1184外部风险识别经济因素经济形势产业政策融资环境市场竞争资源供给法律因素法律法规监管要求社会因素安全稳定文化传统社会信用教育水平消费者行为行业技术因素技术进步工艺改进自然环境因素自然灾害环境状况2023/10/1185风险应对策略*注释：摘自《企业内部控制基本规范》风险规避企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。风险分担企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。风险承受企业对风险承受度之内的风险，在权衡成本效益后，不准备采取控制措施降低风险或者减轻损失的策略。2023/10/11863、控制活动控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动控制活动应根据风险评估的结果而设计，经营风险越高的领域，越需要有效的控制活动2023/10/1187各种控制措施的综合运用风险可承受度预防性控制及发现性控制管理控制及监督控制手工控制及自动控制2023/10/1188不相容职务分离控制财产保护控制会计系统控制运营分析控制授权审批控制预算控制绩效考评控制*注释：摘自《企业内部控制基本规范》控制措施2023/10/1189控制活动授权（authorization）（一般授权与特别授权）业绩评价（performancereview）信息处理（informationprocessing）（一般控制与应用控制）实物控制（physicalcontrol）职责分离（separationofduties）2023/10/1190

思考：某公司20万元以下的款项可以由财务经理进行决策，20-50万元由总经理进行决策，50万元以上由董事长进行决策。请问该公司内部控制设计上有没有问题？

分析：有问题。因为财政部的内部控制明确规定，一定款项以上一定要由集体审批2023/10/1191不相容职务应实行职务分离对某项经济业务进行授权批准的职务和该项经济业务执行的职务应分离执行某项经济业务的职务和审查稽核该项经济业务的职务应分离执行某项经济业务的职务与该项经济业务的记录职务应分离保管某项财产物资的职务和该项财产物资的记录职务应分离保管某项财产物资的职务和对该项财产物资进行清查的职务应分离登记总账的职务与登记明细账、日记账的职务应分离2023/10/1192【例题·单选题】职责分离要求将不相容的职责分配给不同员工。下列职责分离做法中正确的是(

)。A.交易授权、交易执行、交易付款分离B.交易授权、交易记录、资产保管分离C.资产保管、交易执行、交易报告分离D.交易授权、交易付款、交易记录分离【答案】B【解析】本题考查的是对于控制活动的职责分离的掌握。注册会计师了解控制活动的职责分离主要是了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工，目的是为了防范同一员工在履行多项职责时可能发生的舞弊或错误。选项B正确。2023/10/1193

思考：某公司采购固定资产、材料时，由会计人员甲询价并确定从哪一家供应商进货，另一名会计人员乙记录，还有一个人验收。请问该公司内部控制设计上有没有问题？

分析：有问题。因为财政部的内部控制明确规定，询价与确定供应商的职责必须分开2023/10/1194

思考：某公司应付账款部门的负责人按照到期的时间要求、根据合同的约定到期签发付款审批手续，由出纳人员小丁支付款项，并在月末编制银行存款余额调节表。请问该公司内部控制设计上有没有问题？

分析：有问题。根据财政部的内部控制规范出纳不能编制银行存款余额调节表2023/10/11954、信息系统与沟通与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责，员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式2023/10/1196信息的收集财务会计资料经营管理资料调研报告内部刊物办公网络等渠道行业协会组织/监管部门社会中介机构业务往来单位市场调查网络媒体等渠道内部信息外部信息合理的筛选、核对、整合可提高信息的有用性2023/10/1197建立信息与沟通制度内部控制相关信息的收集信息的处理与传递信息的及时沟通信息与沟通系统能及时识别、获取和交流信息，促使管理层和其他员工履行其职责；科学合理的信息与沟通制度可促进内部控制的有效运行。2023/10/11985、对于控制的监督对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施注册会计师应当了解被审计单位对控制的持续监督活动和专门的评价活动建立和维护内部控制是治理层和管理层的责任，而不是审计人员的责任2023/10/1199

内部控制缺陷认定标准

企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。其中，内部控制缺陷包括：设计缺陷运行缺陷2023/10/11100美国沃尔玛公司案例

美国沃尔玛公司（Wal-Mart，以下简称沃尔玛）为世界上最大的连锁零售商，成立于1962年。目前，沃尔玛在全球开设了超过8,000家商场，员工总数210多万人，每周光临的顾客达2亿人次。2010年《财富》杂志最新公布的美国五百强企业榜，沃尔玛蝉联榜首。事实上，沃尔玛的年销售额相当于全美所有百货公司的总和，开业至今销售额年增长率达到40%。沃尔玛能在短短半个世纪的时间内实现如此迅猛的发展，不得不说是零售业的一个奇迹。细究其商业成功，良好的内部控制作为中枢神经系统和推动企业健康发展的引擎功不可没。2023/10/11101⒈控制环境——诚实原则与道德价值观沃尔玛不怕员工犯错误，而且会有专门的人帮助员工去改正错误。但是有一个错误是不可以被原谅的，那就是不诚实，因为“诚实”是沃尔玛对员工最基本、也是最重要的要求。沃尔玛在招聘员工时，非常看重员工的诚信，即使学历再高，为人不诚实依然无法得到聘用。沃尔玛也被视作最遵纪守法的企业，并连续两年荣登《财富》杂志的“最受尊敬企业”榜。2023/10/11102沃尔玛所提倡的道德价值观，可以归结为顾客第一、员工第二、管理层第三：（1）顾客就是上帝沃尔玛的创办人山姆·沃尔顿（SamWalton）曾说过，“顾客能够解雇我们公司的每一个人，他们只需要到其他地方去花钱，就可做到这一点”。以顾客为本，沃尔玛采取了“低加价”的零售经营模式，喊出“天天低价”的口号。沃尔玛不仅向顾客提供价廉物美的商品，同时还向顾客提供最优秀的服务。它有个特别经典的顾客服务原则：第一条，顾客永远是对的；第二条，如果对此有疑义，请参照第一条执行。2023/10/11103站在顾客角度，沃尔玛提出“三米微笑（10-footRule）”和“日落原则（SundownRule）”。“三米微笑”要求员工对三米（10英尺）之内的顾客微笑、并看着顾客的眼睛，认真回答顾客的提问，永远不要说“不知道”。“日落原则”则要求员工在收到顾客、供应商或其他员工的电话当天日落之前，对这些电话做出答复。以“帮顾客节省每一分钱”为宗旨，也使公司在快速的业务扩张中直接受益。2023/10/11104（2）尊重每一位员工沃尔玛不把员工当作“雇员”看待，而是视为“合伙人”和“同事”，认为他们是公司最宝贵的资源。员工的姓名标牌上，除了名字，就只有一个标语“我们的员工与众不同（OURPEOPLEMAKEDIFFERENCE）”。这也意味着每个人都是公司内平等而重要的一员，只是分工不同而已。在处理员工关系方面，沃尔玛运用最多的方法是激励，而不是批评或者是处罚。2023/10/11105（3）管理者每天追求卓越沃尔玛已经连续多年位居全球商业企业榜首，但管理层仍然坚持着“每天追求卓越”的企业精神。对于沃尔玛商店经理来说，他们每周至少要到周围其它商店10次以上，看看自己的商品价格是不是最低，看看竞争对手有哪些长处值得学习，丝毫不敢懈怠。其他诸如勇敢坚韧、善于创新、精力充沛、诚实公正等品质，也时刻渗透到从决策到监督、从采购到销售的内部管理控制过程中。2023/10/11106⒉控制命门——人力资源保障与激励西方谚语云：“内部控制是靠人去设计的，也是靠人去执行的”，人力资源可谓内部控制的命门。沃尔玛非常重视对员工的培养与教育，60％的管理人员是从普通营业员成长起来的。伴随着每个员工的成长，公司在每个关键环节都会组织员工进行与岗位或职位相对应的培训，如刚刚加入公司新员工的入职培训，普通员工的岗位技能培训和部门专业知识培训，部门主管和经理的基础领导艺术培训，卖场副总经理以上高管人员的高级管理艺术培训、不定期地从世界各地选拔工作表现优秀且有发展潜力的管理人员前往沃尔顿学院接受的系统培训。2023/10/11107员工在刚进入公司时，也不一定非得从基层做起，受教育多的人可以被安排到比受教育少的人更高的位置。只要是人才，能在工作中做出成绩，证明自己的能力，很快就能得到提拔。沃尔玛还利用利润分享计划、雇员购股计划和损耗奖励计划三管齐下，对员工进行有效激励：（1）利润分享计划保证每个在公司工作了1年以上，以及每年至少工作1000个小时的员工，都有资格分享公司利润。运用一个与利润增长相关的公式，把每个够格的员工工资的一定百分比归入这个计划，员工们离开公司时以现金方式，或以公司股票方式取走相应的份额。2023/10/11108（2）雇员购股计划让员工通过工资扣除的方式，以低于市值15%的价格购买股票（公司股票在纽约证交所、太平洋股票交易所、多伦多股票交易所上市）。如今沃尔玛80%以上的员工，拥有公司股票。（3）损耗奖励计划通过与员工共享公司因减少损耗而获得的盈利，来控制偷窃的发生。公司对商品的损耗，规定了最低标准，低于损耗指标者可得到一定的奖金。让员工直接从节约中得利，大大激发了员工的积极性，这也使得沃尔玛的损耗率仅为零售业平均水平的一半。2023/10/11109公司还实行与销售业绩挂钩的年薪制度，区域以上的管理人员的年薪同整个公司的业绩挂钩，商店经理收入同该店的销售业绩直接挂钩，业绩好的收入甚至超过区域经理。⒊控制活动——科技与成本节省沃尔玛运用科技手段促进业务发展，为各界树立了成功的典范。沃尔玛最早使用计算机跟踪存货（1969年），最早使用条形码和电子扫描器来管理商品（1981年），最早将卫星用于零售业（1983年），最早采用电子数据交换系统（1985年），并最早采用电子防盗系统（1988年）。2023/10/11110沃尔玛建立了专门的电脑管理系统、卫星定位系统和电视调度系统。每一家沃尔玛分店销售的任一商品，都会即时通过与收款机相连的电脑记录下来，这些零散的信息如同涓涓细流被及时汇总起来，通过卫星通信系统，反馈到配送中心和沃尔玛总部，直至沃尔玛的5000多家供应商。全球门店可在1小时内对每种商品的库存、上架和销售量等信息全部盘点一遍，并通知货车司机最新路况，调整车辆送货的最佳路线，做到商店的销售与配送保持同步、配送中心与供应商运转一致，实现物流、商流和信息流的完美统一。2023/10/11111灵活高效的物流配送，使得沃尔玛的各分店即使维持少数存货，也能保持正常销售，从而大大节省了存贮空间和存货成本。沃尔玛处处精打细算，降低成本和各项费用支出。一是“苛刻地挑选供应商，顽强地讨价还价”，以尽可能低的价位向制造商直接采购。二是实现采购本地化，既节约成本，又适应当地顾客的消费习惯。在中国，沃尔玛商店销售的95％商品都是“中国制造”。2023/10/11112三是讲究精简实用。比如新店开业，不追求装潢，也不作广告宣传；办公费用（包括总公司和地区经理们的薪水、办公室的开支，以及配送中心和电脑系统的投入）只许占营业额的2%。四是通过“点子大王”的传统，激励员工不断向管理层提供各种节省费用的点子。⒋控制渠道——信息沟通与监控沟通是收集信息、分享信息最重要的途径。沃尔玛认为，沟通须亲力亲为，管理人员必须亲临基层，及时了解和处理店中事务。2023/10/11113沃尔玛不仅倡导类似通用电气的“Opendoor”做法，而且做得更为彻底和有效。它不仅倡导管理层的大门向员工敞开，更为倡导走出房间、走进基层员工，原因在于：（1）如果不是碰到特别重要的问题，基层员工是不会贸然地走进总裁大门的；（2）距离总部太远的员工，是难有机会走进总裁大门的，所以这扇被打开的大门对他们来说形同虚设；（3）基层员工走进总裁大门，有越级汇报之嫌，尽管决策层倡导越级汇报，但是员工出于顾虑不会轻易地这样做。也就是说，形式主义的门户开放，往往成为一些企业领导人坐在办公室听下级汇报的一种沟通方式，信息失真的可能性增大。2023/10/11114沃尔玛强调适度授权，将责任和职权下授给第一线的工作人员，尤其是清理货架和经常接触顾客的部门经理。例如采取“店中有店”的方法，每个人所负责的区域就是一个“店”，每个人就是自己店的总经理。在授权过程中，产生了实施监督的需要。沃尔玛认为，信息共享是解决监督问题的有效办法。对员工来说，经营方式、采购价格、运输成本和利润等所有的资料都是透明的。通过适当的授权和良性的竞争，调动员工的积极性和创造性，同时达到有效监督的目的，以人为本的内控制度得以展开。2023/10/11115沃尔玛的商店在美国星罗棋布，它是如何监控这一超大规模的商业帝国的呢？事实是，通过清晰的责任配置，沃尔玛轻松地破解了这一难题。其监控机构设置之精简程度令人咋舌，图示如下：2023/10/111162023/10/11117每家分店由一位经理和至少二位助理经营管理，经理负责整个商店的运营，助理经理则分别负责耐用商品和非耐用商品的管理，他们领导着约36个商品部门经理。分店经理向地区经理汇报工作，每位地区经理负责约12家分店。地区经理向区域副总裁汇报工作，每位副总裁下设3-4位地区经理。区域副总裁向公司执行副总裁汇报工作，另外还有2位高级副总裁分别负责新店发展和公司财务。各区域副总裁是核心，他们负责整个公司的沟通和运营管理。虽然沃尔玛的商业规模早已今非昔比，但是这一监控机制基本与初建时同样简单、精炼和有效。2023/10/11118⒌控制启示——沃尔玛经验（1）控制环境是建设良性内部控制的基础，需要管理者主动放下身段。控制环境是内部控制的基础，而管理层恰恰为内部控制定下基调，是内部控制的重心。必须承认，企业制定的任何制度，都不可能超越设立这些制度的人；企业内部控制的有效性，同样也无法超越那些创造、管理与监督制度的人。因此，需要特别注意内部控制的风向标——管理层的经营风格和管理哲学，注重提高管理者的控制意识与观念，以免“上梁不正下梁歪”。2023/10/11119我国企业普遍忽视控制环境建设，尤其是管理者高高在上，内部控制往往“对下不对上”。诚实原则和“顾客第一、员工第二，管理层第三”的道德价值观，不仅为沃尔玛树立了良好的企业形象，更是其长远发展的必要条件和有力保障，值得我们反思、学习和借鉴。2023/10/11120（2）人力资源是企业护住控制命门的关键，需要全面提升员工的素质与凝聚力。人是最重要的“软资产”，生产经营和管理活动如此，内部控制亦不例外。沃尔玛将人力资源作为一项系统工程来抓，细抠招聘、培训、激励和晋升等细节，体现出以人为本的控制思想。我国企业也应制订科学合理的人力资源政策，特别是加强对在职人员的培训和激励，使其遵纪守法、精通业务，不断保持和提高胜任能力。2023/10/11121（3）科技手段是控制活动的助推器，需要将先进控制理论和思想，与现代的高科技手段有机结合。沃尔玛是传统行业利用科技手段获得核心竞争力的最好范例，借助高科技平台，得以实现物流、商流和信息流的统一，达成实质性降低成本、提高效率和加强运营管理等多重目的。我们还注意到，在科技手段的支持下，任何一个供应商都可以进入沃尔玛的零售链接系统，了解他们的产品今天、昨天、上一周、上个月和去年卖得怎么样，通过电脑监视其产品在沃尔玛各分店的销售及存货情况，然后据此调整它们的生产和销售计划，使库存降到最低限度。正是数据交换给供应商带来的商业价值，才使得沃尔玛“苛刻地挑选供应商，顽强地讨价还价”成为可能。2023/10/11122（4）信息沟通与监控是企业正常的控制渠道，需要以实用、高效为前提，注重信息共享和责任配置的清晰化。沃尔玛的管理层奉行“门户开放”政策，既拓宽了信息沟通渠道，也保证了信息沟通效果；而信息共享和机构精简，既让控制无处不在，又让控制不失于简明。我国企业需要建立适当的沟通渠道，方便部门和雇员之间的沟通，消除部门间障碍及为员工合作提供机会。同时，还要按照相互牵制、相互协调的原则，合理界定关键区域的权责，防止发生权力重叠，避免出现权力真空。

2023/10/11123案例分析分组案例分析：1、万科2、华为3、海尔4、三鹿5、巨人6、美国通用电气7、科龙2023/10/11124第三节内部控制评审三、财务报告内部控制内部控制的参与者（责任人）内部控制的关注者董事会管理层内部审计其他员工外部审计债权人供应商客户立法与监管机构其他2023/10/11125管理层：内部控制的设计者及实施者董事会：管理层向董事会负责，董事会提供治理、指导和监督。董事会通过下设委员会：审计委员会、薪酬委员会、财务委员会等来参与内部控制。内部审计师：评价内部控制的有效性，即监控。其他人员：参与所有人对内部控制都负有责任，内部控制应能明确界定所有人员的职能与责任，并有效地沟通。COSO报告：职能与责任——内部人员2023/10/11126外部审计师：审计师必须充分了解内部控制体系，以便对财务报告发表意见。即便主体的内部控制无效，审计师也可以发表“公允反映”的意见。审计师关注的是财务报表而不是内部控制。审计师在财务报告审计中，可通过下列方式向管理层提供内部控制的有关信息：通过向管理层沟通审计中发现的问题、分析性信息以及采取必要行动以实现主体既定目标的建议；通过沟通审计师注意到的有关内部控制缺陷的问题和改进建议。COSO报告：职能与责任——外部各方2023/10/11127但在萨班斯-奥克斯法案中，对内部控制的关注被进一步加强：如404条款：要求美国证券交易委员会SEC(SecuritiesandExchangeCommission)强制规定，企业编制的年度报告中应当包括内部控制报告。公司管理层应建立和维护内部控制系统，保证相应控制程序充分有效，最近财政年度末管理层应对内部控制进行评价，并由担任公司年报审计的会计公司对其进行测试和评价，出具内部控制评价报告。2023/10/11128立法者与监管者制定规则，推动管理层确保内部控制体系满足最低的法律和监管要求对特定主体进行检查，对内部控制体系提出建议。与主体往来的各方客户、供应商可以提供对主体实现目标的相关信息，主体必须建立接收这些信息并采取适当行动的机制。债权人可能通过某些手段进行监督。财务分析师、债券评级师和新闻媒体管理层应当考虑财务分析师等相关方面所作出的分析信息。COSO报告：职能与责任——外部各方2023/10/11129什么是财务报告内部控制？《会计研究》（2011，3）：财务报告内部控制---一个悖论2023/10/11130(一)内部控制对财务报告的影响

财务报告由会计人员编制，是会计信息加工后对外公布的结果。它的产生依赖于会计核算系统、日常控制机制的运行，并受到企业内部控制环境的影响。有效的内部控制系统的目标之一是保证财务报告的可靠性，但保证财务报告的可靠性并不是内部控制系统的全部。有效的内部控制系统只能合理保证财务报告的可靠性；但是，没有内部控制系统的企业财务报告不一定不可靠，而财务报告一旦不可靠，则企业的内部控制系统必定无效。2023/10/11131（二）财务报告内部控制的涵义

根据SEC2003年6月正式发布的最终规则中的定义，财务报告内部控制是指由公司的首度执行官、首席财务官或者公司行使类似职权的人员设计或监管的，受到公司的董事会、管理层和其他人员影响的，为财务报告的可靠性和满足外部使用的财务报告编制的符合公认会计原则提供合理保证的控制程序，具体包括以下控制政策和程序。

1、保持详细程度合理的会计记录，准确公允地反映资产的交易和处置情况。

2、为下列事项提供合理的保证：公司对发生的交易进行必要的记录，从而使财务报告的编制满足公认会计原则的要求；公司所有的收支活动经过管理层和董事会的合理授权。

3、为防止或及时发现公司资产未经授权的取得、使用和处置提供合理保证，这种未经授权的取得、使用和处置资产的行为可能对财务报告产生重要影响。2023/10/11132（三）财务报告内部控制（与审计相关）与审计相关的控制，包括被审计单位为实现财务报告可靠性目标设计和实施的控制如果用以保证经营效率、效果的控制以及对法律法规遵守的控制与实施审计程序时评价或使用的数据相关，注册会计师应当考虑这些控制可能与审计相关第三节内部控制评审2023/10/11133（四）对内部控制了解的深度

注册会计师在了解内部控制时，应当评价控制的设计，并确定其是否得到执行注册会计师在确定是否考虑控制得到执行时，应当首先考虑控制的设计对内部控制的了解并不涉及控制的运行有效性除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解并不能够代替对控制运行有效性的测试2023/10/111342023/10/11135内部控制的了解内部控制的了解方法询问被审计单位的人员观察控制活动和经营活动的实施情况检查相关的内部控制记录和文件以前年度的审计工作底稿被审计单位的内部审计报告追踪交易在财务报告信息系统中的处理过程（穿行测试）

穿行测试是指测试一项业务的整个处理流程

2023/10/11136对内部控制五要素的了解

对控制环境的了解对被审计单位风险评估过程的了解对信息与沟通的了解对控制活动的了解对控制监督的了解

2023/10/11137四、内部控制的描述

文字叙述法含义：是审计人员对被审计单位的内部控制情况的书面叙述，故也称书面说明法优点：简便易行，机动灵活，不受任何限制，可对被审计单位内部控制的各个业务循环加以描述缺点：是对内部控制的描述，有时很难用简明易懂的语言来详细说明各个细节，或者可能使文字叙述显得较为冗长，还有可能遗漏内部控制设计中的重要环节，不便于资料整理和进行对比分析适用：内控简单的企业第三节内部控制评审2023/10/11138调查表法含义：将了解的有关制度用一定的表格概括地描述出来优点：简便易行，便于操作；能对所调查问题给予明确答复；节省审计时间，加快审计进度，提高审计效率；有利于突出审计重点，大大减少审计人员忽略重要控制的可能性缺点：调查内容只限于表中的调查事项，调查事项如果设计不当，所填答案就不能正确地反映内部控制的真实状况；如果被调查人员漫不经心，马虎填写，调查就流于形式，从而失去调查表的意义2023/10/11139流程图法含义：指用特定的符号和图形，将被审计单位的组织机构，职责分工，权限范围，文件编制及顺序，会计记录，业务处理流程，会计档案的种类，及存放地点等内部控制情况，以图解