第七章内部控制系统及其评审•第一节内部控制系统第二节财务报告内部控制第三节内部控制的描述第四节内部控制的评价第五节内部控制审计第一节内部控制系统一、内部控制的定义•内部控制是被审计单位为了实现其发展战略、提高经营活动的效率、确保信息的可靠性、保护财产的安全完整、法律法规得到遵守,而由治理层、管理层和相关人员设计并执行的各项政策和相互制约相互联系的关系、是一个严密与完整的体系。可从以下几方面理解内部控制的定义•1.内控的目标是合理保证:(1)财务报告的可靠性;(2)经营的效率和效果;(3)在所有经营活动中遵守法律法规。•2.设计和实施内部控制的责任主体是治理层、管理层和其他人员。•3.实现内部控制目标的手段是设计和执行控制政策及程序。股东会•公司治理层次(corporategovernance)董事会经理层生产工人监事会辅助工人办公人员研发人员销售人员临时人员•内部控制层次(internalcontrol)内部控制的国际发展•内部牵制阶段•内部控制的产生•内部控制两要素阶段•内部控制三要素阶段--内部控制结构•内部控制五要素阶段--内部控制整体框架•内部控制八要素阶段--企业风险管理整体框架内部牵制•内部牵制的理念产生于上世纪40年代以前•主要特点:任何个人或部门不能单独控制任何一项或一部分业务权力,必须进行组织上的责任分工。•内部牵制的形式–实物牵制:例如把保险柜的钥匙交给二个以上的工作人员持有。–机械牵制:例如保险柜的大门若非按正确程序操作就打不开。–体制牵制:采用双重控制预防错误和舞弊的发生。–簿记牵制:定期将明细账与总账进行核对。•内部牵制的基本理念–二个或以上的人或部门无意识地犯同样错误的机会是很小的;–二个或以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。内部控制的产生•1949年,美国会计师协会的审计程序委员会在《内部控制,一种协调制度要素及其对管理当局和独立注册会计师的重要性》的报告中,对内部控制首次作了权威性定义:“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产,检查会计信息的准确性,提高经营效率,推动企业坚持执行既定的管理政策。”•此定义及其相应的解释,当时被普遍认为是对认识内部控制这一概念的重大贡献,因为在此之前内部控制概念从未受到如此的重视。内部控制两要素阶段•1958年10月美国审计程序委员会发布了第29号《审计程序公告》对内部控制进行了重新定义,将内部控制划分为会计控制和管理控制两要素。•内部会计控制:包括组织规划的与财产安全和财物记录可靠性有直接联系的所有方法和程序,包括授权与批准控制、职务分离控制、财产实物控制和内部审计等。•内部管理控制:包括组织规划的与经营效率和贯彻管理方针有关的所有方法和程序,一般包括统计分析、业绩报告、员工培训和质量控制等。内部控制三要素的发展•1988年美国AICPA发布了第55号《审计准则公告》,首次以“内部控制结构”代替“内部控制”,指出“企业的内部控制结构包括所有为确保实现企业特定目标而建立的各种政策和程序”。•内部控制结构包括三个要素:–控制环境:反映董事会、管理者、所有者对控制的态度和行为。–会计系统:规定各项经济业务的确认、归集、分类、登记和编报方法。–控制程序:指管理当局为保证实现目标而制定的政策和程序。内部控制三要素的发展•内部控制结构的特点:–正式将控制环境纳入内部控制范畴。以前人们将控制环境作为内部控制的外部因素,但渐渐地认识到控制环境是内部控制的一个组成部分,是内部控制体系得以建立和运行的基础及保证。–二是不再区分会计控制与管理控制,这是因为通过研究发现,这两者往往是不可分割的,是相互关系的。“COSO”与“美国反欺诈财务报告委员会”•美国反欺诈财务报告委员会(NationalCommissiononFraudulentFinancialReporting)的成立:–由美国会计学会(AAA)、美国注册会计师协会(AICPA)、财务经理协会(FEI)、内部审计师协会(IIA)、管理会计协会(IMA)于1985年发起设立–1985年,美国五大会计职业团体为发起设立Treadway委员会,并成立了一个“发起组织委员会”,这是一个自发的民间组织,其目的是发起设立美国反欺诈财务报告委员会,并提供财务支持。–由包括来自产业界、会计师事务所、投资公司以及纽约交易所代表的六个委员组成–主席由前美国SEC委员JamesTreadway担任,所以简称“Treadway委员会”–主要目的是研究导致财务报告欺诈的因素,为上市公司及其独立审计师、SEC及其他监管者、教育机构提供建议。1987年Treadway报告•研究的主要问题–重大舞弊对财务报表的影响程度–舞弊行为的可预防程度–独立审计在揭露管理欺诈舞弊中的作用–审计准则是否需作进一步的修改“COSO”与“内部控制整体框架”(五要素)•自1987年的Treadway报告和1988年9个审计准则公告发布后,COSO对内部控制问题又进行了较深入系统的研究,于1992年发布了《内部控制——整体框架》报告,该报告是国际内部控制理论发展的又一重要里程碑。•COSO认为,内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的实现而提供合理保证的过程。其构成要素应该来源于管理阶层经营企业的方式,并与管理的过程相结合。内部控制整体框架控制环境风险评估控制活动监督作业活动1作业活动2循遵营经告报信息与沟通“内部控制整体框架”的特点•1.明确对内部控制的“责任”•2.强调内部控制应该与企业的经营管理过程相结合•3.强调内部控制是一个“动态过程”•4.强调“人”的重要性•5.强调“软控制”的作用•6。强调风险意识•7.揉和了管理与控制的界限•8.强调内部控制的分类及目标•9.明确指出内部控制只能做到“合理”保证•10.成本与效益原则控制环境•控制环境不仅包括非正式的经常是无形的软控制,例如道德价值观,诚信原则,管理哲学,胜任的能力等,同时还包括组织结构和职责划分等更为正式的控制。控制的其他要素发挥作用都依赖于这一基础的可靠性。风险评估•在风险评估过程中,管理层识别并分析实现其目标过程中所面临的风险,从而制定决定如何管理风险的制度基础。管理层应该在审计师开始审计之前,识别那些重大的风险,并基于这些风险发生的可能性和影响采取措施缓和这些风险。随后,审计师对这一风险评估过程进行评价。控制活动•控制活动是指确保管理层的指令得以实现的机制,包括那些被识别能够缓和风险的活动。这些控制很大程度上是基于审批活动。运输货物、支付帐单、等待客户定单、购买资产等活动都需要实施具体的,基于活动的控制。所以要求具备大量的有关特定活动的知识来决定应该实施怎样的针对性控制。信息与沟通•COSO框架的第四个控制要素是信息与沟通。信息是指员工能够获得其工作中所需要的信息,沟通是指信息向上的、向下的、横向的、在组织内外自由的流动。监督•监督要素包括经理人员日常的监督,审计师和其他群体定期的审核以及经理人员用以揭示和纠正已知的缺陷与不足的程序。监督可以用来保证其他控制的运行,这也就解释了为什么内部审计被看作是监督的一部分。1987-1997欺诈性财务报告研究•1987年Treadway报告发布后,美国公开发行股票公司财务报告舞弊情况究竟如何,需要进行全面的分析•COSO发起并赞助了对1987.1-1997.12美国欺诈性财务报告的研究•研究者从这11年期间受到SEC处罚的约300家公司中随机选取了约200家公司进行了全面的研究•1999年3月发布了研究报告1987-1997欺诈性财务报告研究•研究发现:–存在财务报告欺诈舞弊问题的一般是小公司,大多不在纽约证券交易所或美洲证券交易所上市的公司–进行欺诈舞弊的大多是公司高层,72%的案例显示由公司CEO参与–有欺诈舞弊情况的公司,董事会和审计委员会都很弱,审计委员会很少碰头,董事会由内部人控制–大部分公司由发起人和公司董事拥有–当公司发生欺诈舞弊情况时,后果非常严重,大部分导致破产、股权重大变更或直接退市安然事件爆发•安然公司1985年成立,2001年财富世界500强中排第16位,营业收入1387亿美元,2001年11月安然重新公布1997-2000年的财务报表,累计减少利润近6亿美金,2001年12月申请破产保护,破产资产总额498亿美元,为美国历史之最。股票最高价超过90美元,最低价不到20美分。2002年1月16日,纽约证交所将安然公司摘牌,公司正式破产,整个案件造成市值损失320亿美元,财产损失500亿美元。世通事件爆发•世通公司是美国第二大电信公司,2002年,被发现利用将营运性开支列作资本性开支等弄虚作假的手法,在1998-2002期间,虚报收入110亿美元。事发之后,世通的股价从最高的64.5美元暴跌至3美元。世通于2002年7月申请破产保护令,以1070亿美元的资产、410亿美元的债务成为美国历史上最大的破产个案,刷新了美国历史上的破产规模记录。7月30日,纳斯达克证交所将世通公司摘牌。整个案件造成市值损失1200亿美元,财产损失1000亿美元。2002年美国《萨班斯法案》•2002年7月25日美国通过的《公司改革法案》(Sarbanes-OxleyAct),使传统的注册会计师行业自律模式被打破,代之以政府监督下的独立监管为主的模式,即由美国证券交易委员会(SEC)监督下的公众公司会计监管委员会(PCAOB)来负责制定或审批审计准则、事务所质量控制准则、职业道德准则、独立性准则以及其他与审计报告相关的准则。实际上意味着AICPA正在逐步失去审计准则制定权。2002年美国《萨班斯法案》•302条款:由CEO和CFO在内的企业管理层,对公司财务报告的内部控制按季度和年度就以下事项发表声明:–对建立和维护与财务报告有关的内部控制负责。–设计所需的内部控制,以保证管理层能知道该公司及其子公司的所有重大信息,尤其是报告期内的重大信息。–与财务报告有关的内部控制的任何变更都已得到恰当的披露,这里的变更指最近一个会计季度已经产生,或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。–对IT内部控制的有效性予以评估。2002年美国《萨班斯法案》•404条款:管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容:–管理层有责任为企业建立和维护恰当的与财务报告有关的内部控制。–识别管理层所采用的内部控制框架,以便按要求评估公司与财务报告有关的内部控制的有效性。–对从一上个会计年度末以来与财务报告有关的内部控制的有效性予以评估,其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。2002年美国《萨班斯法案》•404条款(续):–年度审计报告中,注册会计师事务所发表的财务审计报告,包括管理层对与财务报告有关的内部控制有效性评估的证明报告。–管理层关于公司针对财务报告内部控制有效性评估的书面结论,应包含在其对财务报告内部控制的报告和其对审计师的信函中。管理层对公司面向财务报告的内部控制的有效性必须发表直接意见。–如果与财务报告有关的内部控制中有一个或多个重要缺陷,管理层将不能对财务报告的内部控制有效性作出评估结论,而且,管理层应该披露自最近一个会计年度末以来财务报告内部控制方面的所有重要缺陷。2002年美国《萨班斯法案》•404条款要求,每个公司都要将公司任何一个岗位的职务、职责描述得一目了然,这项工作需要大量材料和文件支持。同时上市公司要保证在对交易进行财务记录的每一个环节都有相应的内部控制制度(例如产品销售的条件、记录付款的时间和人员等)。此外,还要指出内部控制的缺陷所在。•要完成这些工作绝非易事,特别是对于组织分散,业务范围复杂的大型公司而言,组织越分散,业务越复杂就意味着要做的工作越繁杂,这促使他们不得不投入更多来实施404条款所要求的内部控制措施。2002年美国《萨班斯法案》•404条款的遵循成本第一年最高,包括关键