7第七章内部控制

第七章内部控制测试与控制风险评估1第一节概述2一、内部控制的产生与发展•1、内部牵制阶段：为提供有效的组织与经营，并防止错误和其他非法来务发生而制定的业务流程，主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行交叉检查或交叉控制•四项牵制：实物牵制；物理牵制；分权牵制；簿记牵制•五种不相容职务：授权批准；业务经办；会计记录；财产保管；稽核•2、内部控制制度阶段（20世纪30年代）分会计控制和管理控制•3、内部控制结构阶段：1988年3一、内部控制的产生与发展控制环境：对企业控制的建立和实施有重大影响的一组因素的统称。如管理理念和经营方式、组织结构、董事会、管理控制方法、内部审计、人事政策等。会计系统：公司为汇总、分析、分类、记录、报告业务处理的各种方法和记录，如预先编号、业务复核等。控制程序：为合理保证公司目标实现而建立的政策和程序。如适当授权、职责分离、凭证和记录的实物控制、业务独立检查等。4一、内部控制的产生与发展4、内部控制整体框架阶段控制环境：对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素，如管理理念、组织机构、审计委员会、权利和责任划分。监控：评估内控运行质量的过程。如各种管理控制方法和内部审计风险评估：确认和分析目标实现相关风险的过程。5一、内部控制的产生与发展信息和沟通：企业通过某种方式，在一定时间内获得并传达相关信息给相关人员，以确保员工能履行其职责。控制活动：帮助管理当局确保有关经营指导方针得以落实的政策和程序，如审批、授权、核实查证、对账、检查、资产安全、责权分离等活动。内部控制整体框架：为达到业务的有效性和效率性、财务报告的可靠性及相关法律和规章的遵从性等三个方面的目的，旨在提供合理的保证，而由单位的董事会、经营者及其他成员实施的一种过程。6二、内部控制的概念与目标（一）内部控制的概念•国际审计准则的定义：–内部控制（internalcontrols），是指管理当局为了确保以有序和有效的方式实现其管理目标，包括遵循管理制度、保护资产的安全、防范和发现错误与舞弊、确保会计记录的准确和完整、及时编制可信的财务信息而制定和实施的管理政策和控制程序。7•我国审计准则将内部控制定义为：–内部控制是指被审计单位为了保证业务活动的有效进行，保护资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序。•内部控制最初的表现形式主要是内部牵制。现逐渐发展成为由组织结构、职务分离、业务程序、处理手续等构成的内部控制制度（internalcontrolsystem）。8（二）内部控制的目标•建立健全内部控制是被审计单位管理当局的会计责任。•审计人员关心、研究与评价内部控制，只是为了在保证执业质量的前提下提高审计工作效率。最终是为了确定在哪些方面可以信赖被审计单位的内部控制，在哪些方面不应信赖被审计单位的内部控制，而应当实施详细的实质性测试程序，以便将审计风险降低至可接受的水平。9•被审计单位管理当局建立健全内部控制，主要是为了实现下列四大管理目标：（1）保证业务活动的有效进行（2）保护资产的安全与完整（3）防止、发现、纠正错误与舞弊（4）保证会计资料的真实、合法、完整。10•与会计系统有关的内部控制，其设计和运行一般应当能够实现以下目标：1．保证业务活动按照适当的授权进行。2．保证所有交易和事项以正确的金额，在恰当的会计期间及时记录于适当的账户，使会计报表的编制符合会计准则的相关要求。3．保证对资产和记录的接触、处理均经过适当的授权。4．保证账面资产与实存资产定期核对相符。11第二节内部控制的内容与形式12一、内部控制的内容•（一）组织结构•（二）岗位责任•（三）业务流程•（四）处理手续•（五）业务记录•（六）检查标准•（七）人员素质•（八）内部审计13二、内部控制的分类（一）内部控制按要素分类•三大要素：–控制环境–会计系统–控制程序（二）内部控制按工作内容分类14•管理控制–是指为保证经营决策正确、有效地贯彻执行以及经营目标的实现，促进经济活动的经济性、效率性和效果性而制定和实施的有关行政和业务管理方面的政策与程序。•会计控制–是指为保护财产物资的安全完整、保证会计信息的正确真实以及财务活动的合法有效而制定和实施的有关会计业务及相关业务的政策与程序。15（三）内部控制按控制目标分类1．财产物资控制2．会计资料控制3．经营决策控制4．经济效益控制（四）内部控制按控制方式分类1．预防性控制2．察觉性控制16三、内部控制要素（一）控制环境•控制环境是对企业控制的建立和实施有重大影响的多种因素的统称。•控制环境的好坏直接影响到被审计单位特定控制程序的有效性。•通常，与控制环境有关的主要因素包括：171．经营管理的观念、方式和风格•企业管理当局在建立一个有利的控制环境中起着关键性的作用。•极大影响控制环境的方面：（1）管理当局对待经营风险态度和控制经营风险的方法（2）为实现预算、利润和其他财务及经营目标，企业对管理的重视程度（3）管理当局对会计报表所持的态度和所采取的行动。182．组织结构和权力、职责的划分方法•组织结构是指企业计划、协调和控制经营活动的整体框架。•设置合理的组织结构，有助于建立良好的内部控制环境。•组织结构的要素一般包括：组织单位的存在形式和性质；各个组成部分的管理、经营职能；隶属关系和报告程序；组织内部职责和权利的划分方式。193．控制系统•控制系统指管理当局制定和实施的各种管理控制方法、内部审计职能、人事聘用政策与实务等。•管理控制方法是管理当局对其他人的授权使用情况直接控制和对整个企业的活动实行监督的方法的总称，包括经营计划、预算、预测、利润计划、责任会计等。20（二）会计系统（制度）•会计系统（制度）是指被审计单位用于确认、计量、记录和报告其交易和事项的财务信息系统。•有效的会计系统应能达到以下目标：1．确认并记录一切真实的交易和事项；2．及时对各项交易和事项进行适当的分类，作为编制会计报表的依据；213．将各项交易和事项按适当的货币价值计价，以便列入会计报表；4．确定交易和事项发生的日期，以便记录在适当的会计期间；5．在会计报表中适当地表达交易和事项以及披露相关内容。22（三）控制程序•控制程序是指被审计单位管理当局为了实现其特定的管理目标而制定的除控制环境以外的各项政策和程序。•控制程序可以分为以下五类：1．交易授权•保证每笔交易或每项业务活动都经过适当授权。•授权有一般授权和特别授权之分。232．职责划分•是指对某交易涉及的各项职责进行合理划分，使每一个人的工作能自动地相互检查另一个人或更多人的工作。•主要目的：避免任何职员担任不相容职务，预防和及时发现在执行所分配的职责时所产生的错误或舞弊行为。•不相容职务：如果由一个人或一个部门兼任，容易产生错误或舞弊的几项职责（工作）。例如：•（1）授权与执行；•（2）执行与审核；•（3）执行与记录；•（4）保管与记录•（5）记录与核对；•（6）保管与清点；•（7）总帐与明细帐、日记帐；•（8）系统分析、程序设计、数据处理、设备维护。243．凭证与记录•被审计单位必须设计和使用适当的凭证和记录，以确保各种交易和事项得以全面、完整、准确地记录。•对凭证的安全性、记录的完整性进行控制。例如：•(1)凭证经签名或盖章；•(2)凭证预先编号；•(3)作废凭证妥善保管；•(4)及时编制有关凭证；•(5)及时、完整地记录帐户；•(6)定期核对。254．资产接触与记录使用•主要是指被审计单位对接触、使用资产和记录，应当有适当的防护措施，未经授权，不相关人员或部门不得接触和使用资产与记录，以保证资产和记录的安全。•对资产和记录的安全性进行的控制。例如：•(1)妥善保管；•(2)专人负责；•(3)设施良好；•(4)定期盘点；•(5)科学管理。•5．独立稽核•是指验证由另一个人或部门执行的工作和验证所记录金额估价的正确性。26第三节内部控制的重要性及局限性27一、内部控制的重要性内部控制的重要性，表现在内部控制的作用上，是指内部控制的固有功能在实际工作中对企业生产经营活动及外部社会经济活动所产生的影响和效果。•主要表现为以下几个方面：1．保护财产物资的安全完整和有效使2．保证会计资料的真实可靠及财务活动的合法有效3．保证国家的各项政策和财经法规的贯彻执行4．保证企业经营决策和规章制度的正确落实5．保证企业经营目标的实现28二、内部控制的局限性内部控制所提供的只是一种合理保证，这是因为内部控制本身存在固有限制而使其具有一定的局限性。1．内部控制的设计和运行受制于成本与效益原则。2．内部控制一般仅针对常规业务活动而设计。3．即使是设计完善的内部控制，也可能因执行人员的粗心大意、精力分散、判断失误以及对指令的误解而失效。4．内部控制可能因有关人员相互勾结、内外串通而失效。5．内部控制可能因执行人员滥用职权或屈从于外部压力而失效。6．内部控制可能因经营环境、业务性质的改变而削弱或失效。29第四节内部控制的了解与描述30•对内部控制所做的研究和评价一般分为三个步骤：第一，了解被审计单位的内部控制情况，并作出相应的记录；第二，实施符合性测试程序，证实有关内部控制的设计和执行的效果；第三，评价内部控制的强弱，即评价控制风险，确定在内部控制薄弱的领域扩展审计程序，来降低审计风险。31二、了解内部控制•独立审计具体准则规定，在编制审计计划时，审计人员应当了解被审计单位内部控制的设计和运行情况。•审计人员此时无需确定被审计单位内部控制的有效性，且无需寻找内部控制在运行中的缺陷。32（一）了解内部控制的程序1．询问被审计单位有关人员，并查阅相关内部控制文件2．检查内部控制生成的文件和记录3．观察被审计单位的业务活动和内部控制的运行情况4．选择若干具有代表性的交易和事项进行穿行测试33•穿行测试（walk-throughtest），也称全程测试、了解性测试，是指在每一类业务循环中选择一笔或若干笔交易或事项进行测试•目的：以验证内部控制的实际运行是否与审计工作底稿上所描述的内部控制相一致。•如果选出的交易具有代表性，那么该程序可作为符合性测试的一部分。34（二）了解内部控制要素（三）内部审计的利用•审计人员应当考虑下列因素：1．内部审计人员的独立性2．内部审计人员的经验和能力3．内部审计程序的性质、时间和范围4．内部审计人员所获取的审计证据的充分性和适当性5．管理当局对内部审计工作的重视程度35（四）控制风险的初步评估•审计人员在了解内部控制之后，应对控制风险作出初步评估。•初步评估实际上就是评价企业会计与内部控制在防止、发现或纠正重要错报或漏报中的有效性的过程。•审计人员应当遵循稳健性原则，宁可高估控制风险，不可低估控制风险。36•当出现下列情况之一时，审计人员应当将重要账户或交易类别的某些或全部认定的控制风险评估为高水平：1．被审计单位内部控制失效2．审计人员难以对内部控制的有效性作出评估3．审计人员不拟进行符合性测试37•只有同时出现下列情况时，不应将控制风险评估为高水平：1、相关内部控制可能防止、发现或纠正重大错报或漏报。2、审计人员拟进行符合性测试。38三、内部控制的描述•审计人员对调查了解到的内部控制情况和所做的控制风险的初步评估，必须用适当的方法及时记录，形成工作底稿，作为编制和修改审计计划及审计程序的依据。•内部控制调查记录的方法通常有四种，即文字叙述、调查问卷、流程图和核对表。39（一）文字叙述•指审计人员对被审计单位业务的授权、批准、执行、记录、保管等程序及其实际执行情况，用叙述性文字记录下来，形成内部控制说明书。•通常用于记录控制环境、一般控制和实物控制等方面的情况。•适用于内部控制程序比较简单、比较容易描述的中小企业。40（二）调查问卷•也称调查表，对业务处理的关键控制点及其控制措施，由事务所预先设计成一系列标准化的调查表，交由被审计单位有关人员填写或由审计人员根据调查的结果自行填写，以此来了解被审计单位内部控制是否行之有效。•大多采用问答式，按调查对象分别设计•关键控制点是