审计学第七章 内部控制及其评审

第7章

内部控制及其评审武汉科技大学管理学院会计系审计学内部控制概述内部控制评审管理建议书第一节内部控制概述内部控制的含义与开展内部控制的构成要素内部控制的目标及其局限性内部控制与审计的关系一、内部控制的含义与开展经营有效率和效果；财务报告可靠；遵守相应的法律和规章。内部控制是一个受董事会、管理人员和其他人员影响的过程，它的作用是为了合理保证到达以下目标：我国独立审计准那么对内部控制的定义是：〔一〕牵制阶段〔二〕“内部控制〞阶段1949年，美国注册会计师协会首次提出内部控制的概念，也就是我们所说的内部控制制度。没有考虑控制环境问题〔三〕“内部控制结构〞阶段从20世纪80年代以来，内部控制的理论研究又有了新的开展，会计与审计界研究的重点逐步从一般涵义向具体内容深化。其标志是美国注册会计师协会于1988年5月发布的?审计准那么公告第55号——在财务报表审计中对内部控制结构的考虑?。该公告首次以“内部控制结构〞的概念取代了“内部控制制度〞一词。内部控制结构控制环境会计系统控制程序〔三〕“内部控制结构〞阶段〔四〕“内部控制整体框架〞阶段1、定义内部控制是由企业董事会、经理层及其他员工实施的，为财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性等目标的实现提供合理保证的过程。2、构成要素内部控制控制环境风险评估控制活动信息和沟通监督〔五〕企业风险管理框架阶段2004年9月，COSO发布了?企业风险管理框架?〔EnterpriseRiskManagementFramework〕。该框架明确提出企业风险管理是由企业董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各层次和部门的，用于识别可能对企业造成影响的事项，并在其风险偏好范围内管理风险，为企业目标的实现提供合理保证的过程。指出，企业风险管理框架由内部环境、目标制定、事项识别、风险评估、风险反响、控制活动、信息和沟通、监控八个相互关联的要素构成。风险管理框架突出了内部控制的关键在于风险管理。COSO对内部控制认识的演进控制环境控制活动会计系统控制环境风险评估控制活动监控信息与沟通内部环境战略目标设定风险识别风险评估风险应对控制活动信息与沟通监控经营报告遵循子公司业务单位分支机构企业整体层次内部控制的内容有三种提法：1.内部控制包括控制环境、会计系统和控制程序；2.内部控制包括内部会计控制和内部管理控制；3.COSO报告：控制环境、风险评估、控制活动、信息与沟通、监督。〔√〕二、内部控制的构成要素二、内部控制的构成要素控制环境风险评估控制活动信息和沟通监督〔一〕控制环境控制环境是对企业内部控制的建立和实施有重大影响的因素的总称。控制环境通过影响人们的控制意识而影响一个组织的气氛，是内部控制其他局部的根底。控制环境包括：控制环境的主要内容：1、正直品行与价值观正直品行与价值观是控制环境的根本因素，影响着其他因素的设计、实施和监管。为使内部控制有效执行，管理当局应通过制定行为准那么等方式，使员工减少舞弊、不道德或非法的行为。2、人员胜任能力3、管理哲学和经营风格管理当局对内部控制的态度，深刻影响着内部控制；管理人员对风险的态度和追逐利润的风格也会影响其对内部控制的态度。5、组织结构确定组织单位的形式和性质，包括确认相关的管理职能和报告关系；为每个组织单位内部划分责任权限制定方法。组织结构是指公司方案、协调和控制经营活动的整体框架。公司的组织结构包括：组织机构设置美国模式股东大会董事会管理当局审计委员会内部审计日本模式股东大会董事会监事会管理当局德国模式股东大会监事会董事会管理当局多数企业的组织机构控制主要是公司治理结构问题6、权责划分岗位职责的划分方法也会影响到内部控制。通过书面的方式明确职权的划分，并传到达各有关人员，使各个部门及其成员了解接受的业务活动、处理利害关系的方式等。7、人力资源管理7、人力资源管理人力资源管理主要包括：人员的雇用、培训、待遇确定、业绩考评及晋升等。〔二〕风险评估风险评估组织确认和分析实现其目标过程中的各种风险的过程。财务报告的风险评估主要是确认、分析财务报告是否按公认会计准那么编制的风险。在评估潜在风险时，需要考虑不同类型的风险。丧失未来的营利/利润失去公众信任财物的价值损害与公众对立存货成本名誉损害现金损失销售量降低法律诉讼成本无法吸纳人才财务风险名声问题风险评估三、控制活动职务别离实物控制信息处理控制业绩独立检查与审计活动相关的控制活动具体包括以下内容：不相容职务别离的前提两个人或两个部门〔以上〕同时发生错误的可能性小于单独一个人或部门发生错误的可能性；两个或两个以上部门或人员伙同舞弊的可能性小于单独一个人或部门舞弊的可能性。至少两双眼睛同时看住一件交易.---四眼原那么防止错误、监督和发现资产管理中的滥用行为没有一个人可以同时承担如下工作:提议授权记录执行审核实物控制内部牵制别离的主要不相容职务授权和执行的职务要别离；执行与审核的职务要别离；执行与记录的职务要别离；保管与记录的职务要别离。保管与财产清查的职务别离；会计工作中，总帐、明细帐、日记帐相别离。2、实物控制实物控制是指通过对有关资产和记录实施特定保护措施以保证其平安和完整的一种控制方式，具体又分为接触控制和盘点控制。接触控制：是指针对有关重要的资产和文件记录，明确其可以接触和接近的人员以及接触和接近人员的职责范围，限制其他人员接触或接近以保护资产和记录的平安完整。盘点控制：是指通过对企业的资产实施定期盘点清查，并将盘点结果与会计记录进行比较以确定其是否账实相符的一种控制方式。3、信息处理控制在企业信息传递过程中，管理人员会采取一系列的控制活动来保证信息的准确性、完整性和平安性。信息处理控制可分为两个层次：管理文件控制会计记录控制4、业绩独立检查业绩独立检查是指由有关部门中独立人员验证与复核另一人或部门执行工作正确性的一种控制活动或方式。通过业绩独立检查，可以及时发现已发生但尚未造成影响或损失的错误或舞弊，还可以揭示企业内部控制中存在的缺陷。业绩评价指标体系财务指标增长指标经营指标盈利能力资本回报率剩余收益EBITDA单位销售额、产品组合、分销渠道等效率、周转率、生命周期、质量等顾客指标市场占有率、顾客满意度、反响时间等创新指标投放市场时机、培训措施、新产品或效劳的销售额和功能等〔四〕信息和沟通信息和沟通是指将有关信息以及时、有效的方式进行识别、归集，并传递给相关人员，使其有效地履行职责。审计人员关注的是会计信息系统。会计信息系统信息沟通1、会计信息系统确认和记录所有的真实交易；及时且充分详细地描述交易，以便在财务报表上做适当的分类；以一定的方式记录交易的价值，以便在财务报表中适当地记录它的货币价值；确定交易发生的时间，以便使交易记入恰当的会计期间；在财务报表中恰当地表达交易，披露相关的事项。会计信息系统是识别、归集、分类、分析、记录和报告其交易，并明确对相关资产、负债和所有者权益责任的方法和记录。一个良好的会计信息系统包括：2、信息沟通适当的信息沟通，应能让每一个职工理解他们的角色和与财务报告相关的责任。沟通的方式包括：〔五〕监督持续监督独立评价监督是指由管理当局对内部控制效果进行持续或定期的评估，以确保其按预定目标发挥作用及根据情况变化而适时修正、完善。包括：例如：内部审计三、内部控制的目标及其局限性三、内部控制的目标及其局限性内部控制的局限性无论设计多么完善的内部控制都只能为实现既定目标提供合理保证而非绝对保证。内部控制的局限性通常表现为以下几方面：本钱效益限制例外事件限制人员素质限制滥用职权限制串通舞弊限制时间效用限制四、内部控制与审计的关系当内部控制设计合理和执行有效时，会计数据出现错、弊的可能性就小；反之，错、弊的可能性就大。正是基于这一点，在审计中引入了内部控制的概念。在会计报表审计中，评价内部控制的强弱不是CPA的真正目的，而是把内部控制作为一种审计的工具，来确定查账〔实质性测试〕的重点和数量。四、内部控制与审计的关系在确定内部控制与审计的关系时，应注意以下几点：注册会计师在执行财务报表审计业务时，不管被审计单位规模大小，都应当对相关的内部控制进行充分的了解。注册会计师应根据其对被审计单位内部控制的了解，确定是否进行符合性控制测试以及准备进行的符合性控制测试的性质、时间和范围。对被审计单位内部控制的了解和符合性测试，并非财务报表审计工作的全部内容。也就是说，对于内部控制良好额单位，注册会计师可能评估其控制风险较低而减少实质性测试程序，但决不能完全取消实质性测试程序。第二节内部控制评审内部控制评审就是对内部控制设计与执行情况的测试与评价，其目的有两个：确定被审计单位内部控制设计的合理性和健全性、执行的有效性，进而帮助被审计单位健全和完善内部控制；评估内部控制风险，进而确定实质性测试的性质、时间和范围。内部控制评审的根本步骤：内部控制的了解与描述初步评估控制风险进行控制测试控制风险的再评估一、对内部控制的了解与描述对内部控制的了解查阅相关内部控制文件利用以往的审计经验观察和询问穿行测试对内部控制的描述穿行测试穿行测试是指审计人员在每一类交易循环中选择一笔或假设干笔通过了会计系统的业务进行追踪审核，以验证内部控制的实际运行是否与文件所述的内部控制相一致。穿行测试的特点：笔数不多；每一笔都通过了会计系统。穿行测试例如，为了检查购货与付款循环的内部控制，CPA可以选取一笔或假设干笔材料采购业务，从请购→订货→验收入库→仓库保管→核准发票→付款→登帐，对整个采购程序进行检查。

注意：穿行测试有助于CPA了解整个业务系统的实际流程，但由于笔数不多这样的特点，决定了穿行测试实际上不是一个深入细致的测试，那么这样的测试不能足以把CR评估为的水平，不能为其提供充分的证据。〔二〕对内部控制的描述文字表述法问卷调查法流程图法1、文字表述法文字表述法是指审计人员将所了解到的被审计单位业务的授权、批准、执行、记录、保管等程序及其实际执行情况用表达性文字记录下来，以形成对内部控制描述的一种方法。实例：2、问卷调查法〔调查表法〕

优点

缺点

实例调查表法的优点：调查表法的优点：简便易行，审计人员容易上手操作；能对所调查问题给予明确答复，有利于对内部控制作进一步分析评价；由于调查范围明确，调查内容可同时由假设干人分头进行，有利于节约审计时间，提高审计效率；调查表中“否〞栏几种反映了内部控制存在的问题，能引起审计人员的高度重视。调查表法的缺点：调查内容只限于明确的调查事项，不易了解其他方面的有关信息，从而难以提供一个完整的、系统的、全面的分析评价；调查事项如果设计不当，所填答案就不能正确反映内部控制的健全情况；格式固定的调查表缺乏弹性而难以适用于不同行业的被审计单位或特殊情况；审计人员如果机械地照表提问，往往会使被调查人员漫不经心，使调查流于形式。3、流程图法流程图法是指用特定的语言符号或图形，将被审计单位的组织结构、职责分工、权限范围、会计记录、业务处理流程等内部控制情况，以图解的形式直观、形象地加以描述的一种方法。实例：几种记录方法的特点优点缺点调查表法应用简便，较快获得对初步印象无法整体概况且适用面有局限流程图法清晰、直观地了解内部控制地运行绘制烦琐文字说明法可对内部控制做较深入和具体的描述内部控制的细节很难用语言完全描述出来二、评价内部控制设计的合理性注册会计师通常在了解内部控制各要素的根底上，根据内部控制能否防止和发现财务报表有关认定的重大错报，评价内部控制设计的合理性。三、测试和评价内部控制执行的有效性内部控制执行有效性的测试控制测试的条件控制测试的种类控制测试的方法内部控制执行有效性的评价1、控制测试的条件审计人员并不是对所有内部控制都要加以测试，通常满足以下两个条件时应当进行控制测试：注册会计师准备信赖内部控制；这种信赖从经济上是合算的。2、控制测试的种类同步控制测试追加控制测试方案控制测试见图8－166〔1〕同步控制测试在CPA执行对内部控制的了解时执行的控制测试。〔不是必须的〕通过“同步控制测试〞取得的证据，只能使CPA评价控制风险的估计水平处在略低于最高水平到中等水平的范围之内。67〔2〕追加控制测试也称“额外控制测试〞。执行“追加控制测试〞是为了进一步降低CPA对控制风险的估计水平。CPA在执行这种测试之前，必须考虑是否符合本钱效益原那么，以及有没有可能获得额外的证据。〔不是必须的〕68执行这一测试是为了支持CPA方案的实质性测试水平。〔必须执行〕〔3〕方案控制测试控制测试的方法检查证据法

实地观察法

重新执行法

注册会计师在抽取出来的账表、凭证等书面资料上，对照内部控制的要求，验证是否存在一定的控制措施实施后留下的证据，以判断有关控制措施是否得到有效贯彻执行的一种方法注册会计师抽取某项控制系统的几笔业务，采用被审单位规定的业务处理程序，从头到尾重做一遍，以验证有关控制措施是否得到贯彻执行的一种方法注册会计师到被测试工程的工作现场，实地观察有关人员的工作情况，以检查验证有关的控制措施是否得到贯彻执行的一种方法控制测试的方法——询问比方，向有关人员询问内部控制的执行情况。财务主管审计人员你们是如何执行内部控制的？询问本身缺乏以获取充分、适当的审计证据。控制测试的重点在测试内部控制执行的有效性时，注册会计师应当关注该项内部控制执行的四个方面：是否得到执行；如何执行；由谁执行；是否得到一贯执行。执行测试的重点是初步评价后所确定的内部控制的弱点和关键控制点。〔二〕内部控制执行有效性的评价内部控制可信赖吗可信赖程度高实质性测试范围可缩小，抽样的样本数量可以少可信赖程度中可信赖程度低适当增加样本量详细的实质性测试或解除审计委托合约

有效无效第三节管理建议书管理建议书的主要作用管理建议书的根本内容与实例管理建议书与审计报告的区别一、管理建议书的主要作