内部控制审计及其实务操作国家审计署特聘教师高级审计师高级评估师注册会计师郑树全2004.6.30内部控制发展缘由内部控制(INTERNAICONTROL)是社会发展到一定阶段的产物,随着组织强化内部管理和满足社会的需要而不断得到丰富发展的。著名的学者塞缪尔.约翰逊将它定义为:“由一个职员保管的登记簿或帐册,可由他人逐项检查。”内部控制的核心内容主要是:授权与批准以及不相容职务的分离与相互牵制监督检查。按照这一理解,内部控制虽然随着上世纪40年代作为专用名词广为流传,为各国管理者所重视和运用并开始风行世界,但其缘由却早在公元前就有萌芽。据《圣经》记载,公元前1800年—公元95年时期就有内部控制的形式,如对财产实行的双重保管,对称职、诚实官员的需求,以及约束财产使用和职责分工的问题。法老统治时期的古埃及就存在内部控制的萌芽,如:赫曼霍特墓石记载(《蒙哥马利审计学》P7)古罗马时代,会计帐簿的设置和分类已有了发展,同时记帐方法有了很大改进,其中突出的表象为:“双人记帐制”即:一笔经济业务发生同时由两个记帐员同时分别在各自的帐簿上记载,最后定期由第三者将两个记帐员所记的帐对比考核,审查有无作弊和差错以达到控制财产收支目的;此外,还强化了财产的支出检查和复核制度以及限制授权与批准。在古代中国的西周时期也有了内部控制的思想,《周礼》中的有关记载,宋代理学家朱熹在《周礼理财之所出》中指出:“虑夫掌财,用财之吏,渗漏乾(音干)设,或者容奸而肆欺……于是一毫财赋之出入,数人之耳目通焉”既是说:考虑到掌管和使用财赋的官吏可能进行贪污盗窃,弄虚作假,因而规定每笔财赋的出入要经过几个人的耳目,以达到相互牵制的目的。为此著名的史学家迈克尔.查特菲尔德教授评论道:“在内部控制,……方面,周代在古代是无与伦比的。”(迈克尔.查特菲尔德《会计思想史》P86)当前我国内部控制审计的现状1992年Coso委员会发布的《内部控制——整体框架》报告所提出的由“三个目标”“五个要素”组成的内部控制整体框架得到了国际普遍的认可,成为最为权威的内部控制理论。其强调的控制环境是内部控制基础,监督是内部控制的实施保障等也引起了我国审计界的高度重视,我国财政部2001年6月发布了《内部会计控制规范——基本规范(试行)》明确了建立健全和完善内部会计控制体系的基本框架和要求。《内部会计控制规范》试行后,我国财会和审计实践者积极进行了探索,逐步对企业治理、管理控制、管理信息系统、企业文化等进行了研究和实践,逐步认识到了“信息论、系统论、控制论”(简称三论)对企业管理和内部控制以及企业的发展关系重大。三论提示我们:实施企业内部控制必须建立健全相关机构,确立董事会在内部控制框架构建中的核心地位,必须完善内部审计的机构与科学定位以及内部审计资源配置,抓住关键因素:组织机构、人员管理、业务程序的控制,同时,不能忽略控制环境的治理。控制环境是整个控制系统的基础,没有它,其他要素就成了空中楼阁。任何一个组织(企业或公司)的控制环境都要受其组织结构、组织文化以及信息与沟通系统的影响,反过来它又影响着业务流程、员工控制意识、具体控制活动及其监督活动的效率和效果。内部控制本身是一个过程,它不能局限于一些手段和方法的表现形式。因此,每个不同的经济组织的内部控制是有差别的,任何教科书上的或者其他的现成经验都只能作为借鉴之用而不能照搬照抄,具体的经济组织只能是根据自身的特定情况制定自己的控制目标、原则、采用适合自己组织、机构、人员、资源配置状况的的风险评估模式和控制措施、程序与方法。目标是控制的最高宗旨,是控制的出发点和归宿,没有目标就无所谓控制。为监督与评价提供信息和依据控制环境–控制系统组织结构组织文化信息与沟通系统经常性监督定期评价控制目标风险评估控制活动控制系统监督与评价影响控制系统影响控制环境控制环境:是指对建立加强或削弱特定政策、程序及其效率产生影响的各种因素的总称。控制环境分为七个方面:管理哲学与经营方式经营风格、组织结构、董事会及其审计委员会、人力资源及人事政策和程序与实务、授权和分配责任的方式方法、内部审计部门、外部影响。一个组织的控制环境大致可以分为三个方面:组织结构、组织文化、信息与沟通系统。组织结构是内部控制系统的实施载体;组织文化影响内部控制的意识和理念;信息与沟通系统是实施内部控制的必要条件。控制系统,是指为合理保证组织目标的实现而建立的一系列政策程序并实施相应的控制活动的整个过程。树立好目标,使一切行动对准目标,保证目标的实现叫控制。所以,要实施控制,首先要树立好控制的目标,这是控制系统的第一个环节;但目标能否实现,还必须对组织存在与发展的环境中可能发生的各种各样的风险正确地评估,这是控制系统的第二个环节;针对组织的目标和可能存在的风险制定恰当的控制政策和程序并使之有效实施,才能规避风险保证目标的实现,这是控制系统的第三个环节。监督与评价,是指队对内部控制系统运行效果和质量的检查、督促和评价。一个有效的控制应该是带有反馈回路的闭环控制过程,通过关注某个时点的结果并将信息及时反馈传递给控制主体,以纠正偏离目标的差错,这就是监督。评价,是定期对涉及内部控制的各项经济业务、内部机构和岗位在内部控制上存在的问题与缺陷提出改进意见、建议,使内部控制更加完善有效。“控制环境—控制系统—监督评价”此三要素是一个相互联系、综合作用的整体,它们构成对处于变化中的控制环境作出动态反映的整体框架。该框架中,控制环境为控制系统提供支撑,监督评价为控制系统提供保障,控制系统是整个框架的核心。同时,控制环境和控制系统为监督评价提供信息和依据,监督评价反过来影响控制环境和控制系统,为优化控制环境和系统提供意见和建议。内部控制与风险导向审计问题国际内部审计师协会(IIA)2001年1月1日实施了《内部审计实务标准》将机构的内部审计工作导向了风险审计的轨道。风险导向审计就影响组织机构目标的各种系统风险和非系统风险,对内部控制设计是否健全、关键点的控制、执行是否有效、控制薄弱环节、治理和改进措施的可行性等提出认定。2001年版《内部审计实务标准》将内部审计表述为:内部审计是采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它们的效率、帮助机构实现目标。同时第一次提出首席审计师(CAO)的概念资本价值为:风险和报酬组合的函数,而风险是可能给投资人带来的预期损失,风险管理控制成功与否,直接影响企业的收益。一般来说,有些风险是可以事先预计;若等到风险形成就可能已经成为损失。所以,风险控制必须事先控制。风险管理的目标、原则、步骤主要的目标是在成本与效益之间能达到适度平衡,以尽量增大经营生产效率。是在于损失发生之前能做出最有效的安排,使损失发生后所需要的资源,与保持有效经营必要的资源,能达成适度平衡。风险管理的原则:1.权衡轻重、考虑周详。主要对风险的性质、程度作出合理的评估判断,结合企业管理、财务等综合能力,制定风险管理方针和策略。2.避免超复核负载。主要是要弄清楚组织必须承担些什么风险,有能力承担多大的风险。董事会对企业当局的风险管理能力具有质疑能力,避免不稳健的经营策略。3.成本效益原则。对风险管理措施的成本收益进行分析比较,合理择用。风险管理的步骤:通常包括七个步骤:确定范围、识别风险、分析风险、评价风险、沟通与协商、检测和审核。风险范围的确定与识别:经营风险、行为风险(1)经营风险:包括所有者风险和经营风险。所有者风险与资产(不含人力资本)的获取、维护和处理有关;经营风险与运用资产实现目标有关。所有者风险具体为:外在风险:组织控制以外的力量能够影响组织经营过程和目标,如客户、投标人的需求、劳力、财务、产品市场、供应商、竞争者、政府管制、经济的、政治的力量、技术、物理、环境等的力量保管风险:与拥有和防护资产有关。(由于人力资本的不同特性,将其归为行为风险)如资产的放弃、处理或存储中的损害及失窃。偶然事件(与过程风险分担):与资产的损失或损害有关,由火灾、自然的或人为的灾害及意外的损失引起。机会成本(与行为风险分担):这是对资产的获取及处理作出次优决定的成本,如购买错误的资产、支付过多、销售资产过早或过晚、销售造成过于便宜及处置了错误的资产。(2)经营过程风险具体包括:偶然事件(与过程风险分担):与资产的损失或损害有关,由火灾、自然的或人为的灾害及意外的损失引起。错误、疏漏或延误:产生于人们或机器运行过程中的随机差异,如计划或操作中的拙劣判断、不适当的或过时的控制机制以及机器功能失调。舞弊:产生与供应商、雇员几客户的故意的虚假陈述,如盗窃、投标做套、行贿、回扣方案和客户的不当行为。(3)行为风险通常包括:生产力受损(与过程风险分担)产生于拙劣的管理实践和拙劣的工作约定,如无效用的人力资源,拙劣的领导、偏好、缺乏工作框架和纪律,不一致的管理决策和个人与工作的冲突。功能不良的工作地点:这种对雇员的风险产生于功能不良环境,对组织的风险产生于诸如上述环境的雇员工作如性别与种族困扰、过度压力、雇员盗窃和破坏行为,工作地点损毁、雇员诉讼和工作地点暴力。机会成本(与所有者风险分担):这是对人力资源(人员、知识和技能)获取及处理做出次优决定的成本,如运用不当的人员和技能。拙劣的补救系统、通过辞职、解雇或外包使不适当的人员或技能脱离组织。分析、评价:对风险的性质、发生的可能性、发生的频率做出合理评估,是制定风险管理的方针和决策的前提。风险性质一般有“灾难性、主要、中等、次要、不重要”等;概率一般有“几乎确定、很可能、不太可能、很少”等;发生频率一般有“高中低”之分风险管理策略与方法:(1)风险规避——不作为。对与组织经营目标根本不相容的业务,为规避风险,在业务上根本不予涉猎。(2)保留或承担。当某种风险不能避免,或因敢冒风险可获厚利时,由自己保留承担的风险。这有主动和被动之分,被动保留,如不知有风险存在,而未加以处理,或虽明知有风险存在而疏于处理;主动保留,如明知有风险的存在而无适当处理方法,或因自己承担风险较其他处理方法更为经济,或因风险过小自己能力足以承担者既是。(3)预防与控制:与风险处理的其他方法在性质上有所不同,因直接面对风险诸因素而采取行动,以减少损失的发生。损失的预防——即消除或减少损失发生的原因;损失的抑制——即当损失预防措施不能充分发挥作用时,力求损失严重程度减轻。(4)风险中和。是将损失机会与获利机会予以平均看待的方法。比如:“套购”(即现买现卖HEDGE)就是风险中和方法的最为显著的操作方法。(5)风险转移。一般有直接与间接两种直接转移:即将与风险有关的财产或业务,直接转移给其他个人或组织。主要采用方法:转让(ASSIGNMENT)如某公司出售建筑物,即将建筑物所有权有关的各种风险转移给予受让人。此法与规避相似,但又有不同,规避或避免则为消极的不作为。转包(SUBCONTRACT)间接转移即仅将与财产或业务有关的风险转移,而财产或业务本身并不转移。主要采取的方法有三:租赁(LEASC)保险(SURETYBOND)集合或分散:企业合并或分离、分立或剥离4.沟通和协调:沟通的渠道通畅,冲突的解决,阻碍的排除都有助于风险的控制,而技术术语、噪声、敌对、不信任、权利游戏、滞留信息等障碍就会造成风险控制的失败。5.监测和审核。对于业务性质变数最多、风险最大的地方要对风险管理全过程施行紧密频繁的检测和评价。风险导向的内部控制审计程序问题:1.编制审计计划2.选择被审计者3.审计目标与测试4.审计发现与审计报告5.后续审计内部控制与错弊之间具有因果关系,西方国家已经运用数学方法将这种关系作了富有成果的研究,其企业普遍实行了内部控制制度,并将内部控制制度汇编成册作为管理人员的工作指南人手一册,而且重视研究其客户的内部控制制度,籍以研究合作或营销对策。如今随着计算机引入生产经营管理领域,内部控制的范围又拓展了许多。加之公司规模的扩大化、分散化、跨国跨区域化引起了权力的控制多层次化,使得