chendanpingNanjingAuditUniversity1内部控制理论与实务南京审计学院陈丹萍2007年7月chendanpingNanjingAuditUniversity2内部控制理论与实务1、内部控制理论的发展及框架2、内部控制要素及评价3、内部控制审计方法chendanpingNanjingAuditUniversity3内部控制理论的演变与发展发展阶段时间期望和需求特点内部牵制20世纪预防舞弊,保护以组织控制、不相容20年代所有者权益职务分离为核心内容内部控制20世纪提高审计的效率,分为会计控制和管理控制40-70年代降低审计成本不考虑环境因素的影响用于系统基础审计内部控制20世纪提高审计的效率开始考虑环境对控制的影响结构70-90年代降低审计风险,提出三要素:控制环境、用于风险导向审计会计系统和控制程序内部控制20世纪90服务于组织目标的提出内部控制三目标和整体框架年代后实现;同时也用于五要素:控制环境、风险评估重大错报风险的评估控制活动、信息沟通、监督chendanpingNanjingAuditUniversity4内部控制基本框架一、内部控制概念:(一)定义:1、内部控制是组织为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。chendanpingNanjingAuditUniversity5内部控制基本框架2、COSO提出:内部控制-被定义为一个过程,这个过程受企业的董事会、管理层及其他人员的影响。设计这个过程是为达成下列目标提供合理的保证:营运的效果和效率;财务报表的可靠性;相关法令的遵循。“内部控制是由企业董事会、经理阶层和其他员工实施的,为运营的效率效果、财务报告的可靠性、相关法令的遵循等目标的实现提供合理保证的过程。”chendanpingNanjingAuditUniversity6内部控制基本框架COSO提出“内部控制是由董事会、经理阶层和其他员工实施的”,他们各自承担的责任应该是:1、经理阶层总体责任:建立健全内部控制并使之有效运行1-1总经理——确保组织具有积极的内部控制环境,了解下属责任的履行,自我评估和改善;1-2部门负责人——制定与执行与部门目标有关的内部控制,确保与组织目标的一致;1-3更低层次负责人——执行与本层次有关的内部控制,处理例外,向上级汇报;1-4财务主管——具有全局性而特殊重要,记录和分析营运状况,制定和执行财务报告内部控制。chendanpingNanjingAuditUniversity7内部控制基本框架2、董事会的责任2-1通过选择管理层说明其对操守、价值观的期望;2-2通过监督活动确认其期望的实现程度;2-3保留关键决策权和监督权,涉入内部控制。chendanpingNanjingAuditUniversity8内部控制基本框架3、其他人员的责任3-1内部审计人员的责任——是内部控制的一部分,责任是直接检查、连续监控和建议完善;3-2其他员工的责任——采取行动、提供信息,出现问题时向上报告的责任。chendanpingNanjingAuditUniversity9内部控制基本框架萨班斯—奥克斯利法案(Sarbanes-OxleysActs)2002年7月发布的《萨班斯—奥克斯利法案》要求公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。还要求公司的外部审计师对管理层的评估意见出具“证明”,即向股东和公众提供一个信赖管理层对公司财务报告的内部控制描述的独立理由。chendanpingNanjingAuditUniversity10内部控制基本框架3、中国内部审计协会(CIIA)2005年在具体准则5中提出:内部控制是指组织内部为实现经营目标,保护资产安全完整,保证遵循国家法律法规,提高组织营运效率及效果而采取的各种政策和程序。chendanpingNanjingAuditUniversity11内部控制基本框架全面理解其内涵:(1)目的性:为实现一定目标而实施;(2)过程性:使组织活动依循既定目标进行的过程;(3)结合散布性:与组织活动相结合,散布于各项活动中;(4)环境影响:环境深刻地影响内部控制的有效性;(5)人的特殊地位:人既是控制的主体,又是控制的客体;(6)文化性:组织内部存在的“控制观念”直接影响控制效果。chendanpingNanjingAuditUniversity12内部控制基本框架二、内部控制主体:行政领导、职能部门、有关人员三、目的:(1)确保国家法律规定和组织内部规章制度的贯彻执行;(2)确保组织发展战略和经营目标的全面实施和充分实现;(3)确保风险管理体系的有效性;(4)确保业务记录、财务信息和其他管理信息的及时、真实和完整。chendanpingNanjingAuditUniversity13内部控制基本框架四、内部控制措施:(1)组织控制与职务分离;(2)授权批准控制;(3)文件记录控制;(4)实物安全控制;(5)人员素质控制;(6)预算控制与业绩报告;(7)内部审计等。chendanpingNanjingAuditUniversity14内部控制基本框架五、内部控制类型1、预防性控制:防止错弊和损失的发生例如:对客户信用进行审核以减少坏帐发生;采用招标方式选择理想的供应商等。2、检查性控制:将已经发生或存在的错误检查出来例如:核对银行对帐单,检查预防性控制的执行情况等。3、纠正性控制:对检查出来的错误进行更正例如:当计算机检查出输入有误的供应商号码,可以从供应商取出正确的号码进行更正。chendanpingNanjingAuditUniversity15内部控制基本框架4、指导性控制:为实现有利结果的控制例如:上级对下级人员的督导等。5、补充性控制:针对某些控制环节的不足而采取的补充例如:业主或经理的亲自督导经常能弥补小规模组织的职务分离不足等。chendanpingNanjingAuditUniversity16内部控制基本框架六、内部控制的局限性1、成本限制(成本效益原则)2、串通舞弊3、人为错误4、管理越权5、修订跟不上变化(时效性)chendanpingNanjingAuditUniversity17内部控制要素及评价一、内部控制的要素1992年美国的COSO报告最初提出时,就明确了内部控制五要素的整体架构;2002年美国发布的《萨班斯-奥克斯莱法案》,又再次肯定了COSO报告所提出的内部控制五要素的整体架构。内部控制五要素论认为内部控制整体框架是由控制环境、风险评估、内部控制活动、信息交流以及监督等五要素组成的。2004年又增加二个要素:事件识别、风险反映。chendanpingNanjingAuditUniversity18内部控制要素及评价1、控制环境:是内部控制组成要素的基础,是所有控制方式方法赖以存在的运行环境。这对塑造企业文化、提供纪律约束机制和影响员工控制意识有着重要作用。影响控制环境的因素有员工品德与能力、管理哲学与经营风格、组织结构与权责划分、人力资源运用与发展、董事会的关注与指导等。2、风险评估:其目的是为了辨认并分析影响目标达成的各种不确定因素。chendanpingNanjingAuditUniversity19内部控制要素及评价3、事件识别:识别是否构成风险事项或潜在风险因素。4、风险反映:确定组织可接受的风险水平及风险损失等。5、内部控制活动:是确保管理阶层指令实现的各种政策和程序总称,其主要内容包含:核准、授权、验证、调节、复核、资产保全、职务分工。chendanpingNanjingAuditUniversity20内部控制基本框架6、信息与沟通,目的在于确保整个内部控制中资讯的辩识、取得以及内外的有效沟通。7、监督,是指随着时间流逝而评估内部控制制度执行质量的过程。监督方式有三种:持续监督、个别评估、综合监督。内部控制缺失严重的,则必须向最高管理阶层及董事会呈报。chendanpingNanjingAuditUniversity21内部控制要素及评价二、内部控制的设计原则1、设计程序正确分段一般分段:计划申请审核批准办理手续实施执行记录登记核实核对2、考虑不相溶职责分工:(1)授权批准某项业务与执行该业务职责分离(2)执行某项业务与审核该业务职责分离chendanpingNanjingAuditUniversity22内部控制要素及评价(3)执行某项业务与记录该业务职责分离(4)资产保管与资产记录职责分离(5)资产保管与资产清查职责分离(6)记录总账与记录明细帐、日记账职责分离电子数据处理系统下:系统分析员、编程员、计算机操作员、资料保管员、数据控制小组等应职责分离chendanpingNanjingAuditUniversity23内部控制要素及评价三、组织内部控制设计中控制风险责任追究制度:1、董事会、高级管理层应当对内部控制失效造成的重大损失承担责任;2、内部审计部门应当对检查发现问题隐瞒不报、上报虚假情况或检查监督不力,承担相应的责任;3、业务部门应当及时纠正内部控制存在的问题,并对出现的风险和损失承担相应的责任;4、高级管理层应当对违反内部控制的人员,依据法律规定、内部管理制度追究责任和予以处分,并承担处理不力的责任。chendanpingNanjingAuditUniversity24内部控制要素及评价四、萨克斯法案对内部控制的影响1、由于美国《萨班斯-奥克斯莱法》和美国证券交易委员会的有关指南,要求上市公司的高层管理人员对提交的财务报告提供保证,因此执行管理层是控制环境和财务资料的责任人。2、外部审计师为财务报告作公证,他要向财务报告使用者保证报告中的资料是按照公认会计准则公允地反映了组织的财务状况。3、内部审计师则负责向审计委员会或其它委员会保证,组织为编制财务报告所设置的内部控制制度是有效的。内部审计执行主管要经常及时地与审计委员会沟通。chendanpingNanjingAuditUniversity25内部控制要素及评价为了帮助高级管理人员履行法定义务和要求,内部审计执行主管应将财务报告编制内部控制有效性评价和财务报告过程审计列入年度审计工作计划,并分配适当的资源。chendanpingNanjingAuditUniversity26内部控制要素及评价五、财务报表有关的内部控制有效性评价:1、组织是否有浓厚的道德文化环境(1)董事和高级管理人员是否以身作则遵守组织的道德行为规范,为员工树立榜样。(2)组织的道德行为规范是否通过培训使全体员工了解,并成为组织道德文化的倡导者和执行者。(3)组织有无公开的沟通渠道,使管理人员获得所需的信息。(4)组织的目标和激励措施是否恰当,有无过分强调短期行为的现象。(5)财务报告有无不实的表述和舞弊。chendanpingNanjingAuditUniversity27内部控制要素及评价2、组织怎样进行风险管理(1)组织有无风险管理程序?是否有效?(2)高级管理层是否依靠整个组织来控制风险?(3)管理层是否开诚布公地与董事会讨论主要风险?chendanpingNanjingAuditUniversity28内部控制要素及评价3、组织的控制制度是否有效(1)组织对财务报告过程的控制是否全面?是否包括收集资料、编制财务报表及其附注,以及规定要披露的和自主披露的事项(2)高级管理层和相关管理层是否声明对控制有效性承担责任?(3)组织的财务报告或财务披露是否反映出高级管理层、董事会或组织事故不断?chendanpingNanjingAuditUniversity29内部控制要素及评价(4)整个组织是否有良好的沟通渠道和报告制度?(5)控制制度被视为促进目标实现的积极因素,还是绊脚石?(6)雇用的人员是否合格?是否经过充分的培训?(7)解决问题是否及时和有效?chendanpingNanjingAuditUniversity30内部控制要素及评价4、组织是否有有效的监督(1)董事会是否独立于管理当局,没有利益衝突,信息灵通,对