第七章内部控制及其测试与评价

审计学第七章内部控制及其测试与评价第七章内部控制及其测试与评价学习目标第一节内部控制的概述第二节内部控制与审计的关系第三节内部控制的了解及其初步评价第四节内部控制的控制测试及其进一步评价本章小结学习目标了解内部控制的概念、目标和局限性。明确内部控制与审计的关系。一般掌握内部控制了解和描述的方法。重点掌握控制测试的时间、性质和范围及内部控制的评价。第一节内部控制概述一、内部控制含义由于内部控制的产生和发展，促使审计工作从详细审计发展成为以测试内部控制为基础的抽样审计。《中国注册会计师审计准则》要求注册会计师在编制审计计划时，应当了解被审计单位及其环境（包括被审单位的内部控制），对拟信赖的内部控制进行控制测试，据以确定实质性测试的性质、时间和范围。（一）内部控制的定义1.美国反舞弊财务报告全国委员会的赞助委员会（COSO）对内部控制的定义是：内部控制是一个受董事会，管理人员和其他人员影响的过程，它的作用是为了合理地保证达到以下目标：（1）经营有效率和有效果；（2）财务报告可靠；（3）遵守相应的法律和规章。2.《中国注册会计师审计准则1211号——了解被审计单位及其环境，并评估重大错报风险》中，对内部控制的定义是：内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员执行的政策和程序。3．财政部内部控制基本规范对内部控制的定义是：所谓内部控制是指由企业董事会（或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构，以下简称董事会）、管理层和全体员工共同实施的、旨在合理保证实现以下基本目标的一系列控制活动：（1）企业战略；（2）经营的效率和效果；（3）财务报告及管理信息的真实、可靠和完整；（4）资产的安全完整；（5）遵循国家法律法规和有关监管要求。4．企业管理对内部控制的定义是：内部控制是指现代企业内部一整套的管理方法、措施和规章制度的总称。（二）内部控制的演变内部控制是人类社会生产力发展到一定阶段的产物。随着社会经济的迅猛发展、企业规模的扩大和业务的纷繁复杂，管理控制水平也不断得到提高。内部控制的内涵不断扩大，其理论研究成果也不断延伸。纵观内部控制的产生、发展过程，可以将其分为以下四个阶段：1.内部牵制在20世纪40年代以前，最初内部控制的表现形式是内部牵制，即通过会计工作的职责分工，对业务程序的联系牵制、审批手段、复核制度等方面进行控制，其目的在于查错防弊。如：钱帐分管等。内部牵制理论建立在两个基本假设之上：其一，两个或两个以上的人或部门无意识地犯同样错误的可能性很小。其二，两个或两个以上的人或部门有意识地串通舞弊的可能性大大低于单独个人或部门舞弊的可能性。这种牵制主要是针对企业经济活动的某一环节或某一过程进行的，在企业规模不断扩大、业务活动日益复杂的情况下，其局限性越来越明显。虽然这种内部牵制在内容上很不完善，方法上也比较简单，但是它为现代意义上的内部控制奠定了理论和实践基础。2.内部控制20世纪40年代以后，审计理论界掀起了内部控制的研究热潮，把注意力转移到内部控制上。1948年美国注册会计师协会首次提出内部控制的概念，但没有考虑控制环境问题。内部控制的形成弥补了内部牵制的不足。企业每次业务活动都是由若干个环节构成的，每一个环节实际上就是一个控制点，对每一个控制点制定相应的控制措施进行控制，形成了每一项业务的控制系统，对企业整个控制系统用文字加以规范就形成了企业内部控制制度。3.内部控制结构1958年10月美国注册会计师协会在其颁布的29号公告中，把内部控制分为会计控制和管理控制（这就是著名的“二元”学说）。1988美国注册会计师协会在其颁布的55号《审计准则说明》（SAS55）中运用了“内部控制结构”一词，并将内部控制定义为“为合理保证公司实现具体目标而设立的一系列政策和程序”。该说明书认为内部控制结构由控制环境、会计系统和控制程序三要素组成（这就是著名的“三元”学说）。4.内部控制整体框架在内部控制发展史上，真正具有里程碑意义的事件应该是1992年COSO委员会研究报告《内部控制：整体框架》的发布。这是因为：第一，是一个由美国注册会计师协会（AICPA）、国际内部注册会计师协会（IIA）、财务经理协会（FEI）、美国会计协会(AAA）、管理会计协会（IMA）共同组成的专门委员会，在研究机构上突破了以往由AICPA主导对内部控制研究并发布研究成果的格局，从而更加具有广泛性和代表性。第二，COSO在其研究报告中将内部控制解释为由董事会、经理层和其他员工共同实施的，为营运效率、财务报告的可靠性和相关法规的遵守等目标的达成而提供合理保证的过程。经过1994年修订，对内部控制进行了更广泛的定义，并提出了内部控制的五个构成要素，它们是：控制环境、风险评估、控制活动、信息与沟通、监督等五大要素组成。内部控制整体框架的定义与以前的定义相比，进一步拓宽了内部控制的视野，而且这个概念更加详细和具有可操作性。国际著名的反虚假财务报告委员会(COSO)于2004年年底，针对国际企业界频繁发生的高层管理人员舞弊现象，废除了沿用很久的企业内部控制报告，颁布了一个概念全新的COSO报告：即《企业风险管理：总体框架》（简称ERM）。与传统内部控制内容相比，新框架有了较多的变化。主要包括：内部环境、目标设定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等八个相互关联的要素，各要素贯穿在企业的管理过程之中。二内部控制的目标建立、健全内部控制是被审单位管理层的会计责任。相关内部控制一般应当实现下列目标：（1）保证业务活动按照适当的授权进行。企业应对业务活动进行适当的分工，一般可分为四步：审批，执行，复核和记录。[授权]（2）保证所有交易和事项以正确的金额，在恰当的会计期间及时记录于适当的帐户，使会计报表的编制符合会计准则的相关要求。[核算]（3）保证对资产和记录的接触、处理均经过适当的授权。[限制接近]（4）保证帐面资产与实存资产定期核对相符。[账实相符](5).保证资产的安全和完整。三、内部控制组成要素内部控制的要素与企业管理过程紧密相连。COSO在《内部控制：整体框架》中认为，内部控制要素包括：控制环境、风险评估、控制活动、信息与沟通和监控。（一）控制环境控制环境是实施内部控制的基础性要素，是推动内部控制工作的发动机，是所有其他内控要素的基础和约束条件，包括企业文化、企业价值观、激励与诱导机制、精神指导、员工能力、管理哲学与经营风格、组织结构、规章制度和人事政策等。（二）风险评估风险评估是指分析和评估阻碍实现经营管理目标可能存在的因素的活动，对风险的分析、评估是企业风险管理的基础。风险评估活动，包括整体发展目标和具体业务目标的制定与衔接、企业内外部风险的识别与分析、影响目标实现与变化的认识及各项政策与工作程序的调整。（三）控制活动控制活动是指为了合理保证经营管理目标的实现，指导员工有效实施管理层指令，预防、管理并化解风险而采取的政策和程序，包括管理层检查、直接管理、信息加工、实物控制、确定指标、规范权限、职责分离等内容。例如：企业是否将资产保管与会计记录职责相分离，以降低员工盗窃的风险（存在或发生认定、）？企业是否将处理现金支出同银行调节账户分离，以降低不记录支票付款的风险（完整性认定）？（四）信息与沟通信息与沟通是指存在于所有经营管理活动中，使员工可以搜集和交换为开展经营、从事管理和进行控制等活动所需要的信息，包括管理层对员工的工作业绩的经常性评价。主要体现在：企业是否建设了有效的取得外部及内部信息的渠道，以确保管理层取得及时的信息？企业是否设立了保密通报怀疑违规行为的渠道，并清楚通知员工有关渠道的存在？企业是否设立了有效的沟通机制，以确保职工清楚其在财务报告编制流程中的职责？（五）监控监控是指管理部门对内部控制的管理监督和内部审计部门对内部控制的再监督与再评价活动的总称。由上述五要素的含义可以看出，从控制环境、风险评估、控制活动、信息与沟通到监控，五个要素涉及到的控制目标发生了明显的变化，法律法规的遵循性呈减弱趋势，财务报告的可靠性有所增强，而经营效果和经营效率的提升则明显增强。五、内部控制与[注册会计师]审计的关系注册会计师在进行审计时，首先要研究与评价被审计单位的内部控制制度。①注册会计师在执行审计任务时，不论被审计单位规模大小，都应当对相关的内部控制制度进行充分的了解。②注册会计师应根据其对被审计单位内部控制制度的了解，确定是否进行符合性测试以及将要执行的符合性测试的性质、时间和范围。③对被审计单位内部控制制度的了解和测试，并非审计工作的全部内容。内控好，评估CR低，实测少；但决不能完全取消实测。六、有关内部控制的一般考虑[注册会计师研究内控时的注意事项]（1）管理当局的责任。建立、修正和维护公司的各项控制，并监督控制政策和程序到持续有效地执行，其责任在于管理当局。（2）合理的保证。①公司管理当局应在综合考虑控制的成本效益的基础上，建立能为公司会计报表的公允表达提供合理（但不是绝对的）保证的内部控制。一些理想的内部控制往往因成本过高而不为管理当局所采用。②管理当局在建立内部控制时还须注意，控制程序不应对工作效率或获利能力有不利影响。23（3）固有的限制。[天然的局限性][结合“审计目标与审计范围]内部控制为企业经营管理活动符合计划与规则的要求提供了重要的保证。然而，内部控制并非绝对有效，内部控制无论设计与运行得多么完善，都无法消除其本身所固有的局限性，注册会计师在确定内部控制的可信赖程度时，应当保持应有的职业谨慎，充分关注内部控制的以下固有限制：①内部控制的设计和运行受制于成本与效益原则；[合算]设置内部控制要受成本效益原则的限制。一个内部控制系统所寻求的保证水平有必要根据制度耗费的成本来决定。一般来说，控制程序的成本不能超过风险或错误可能造成的损失和浪费，否则，内部控制措施就不符合经济性。②内部控制仅针对常规业务活动而设计；[非偶然]企业原有的内部控制一般都是为那些重复发生的业务类型而设计，这些控制措施对于不正常或未能预料到的业务类型的控制则无能为力。24③因执行人员因素而失效；[人员素质]人为错误。内部控制发挥作用的关链在于执行人员准确的操作。④因有关人员相互勾结、内外串通而失效；[两个或两个以上不忠实的员工]串通舞弊。不相容职务的恰当分离可以为避免单独的一人从事和隐瞒不合规行为提供一定的保证。但是，两名或更多的人员合伙即可以逃避这种控制。25⑤因执行人员滥用职权或屈从于外部压力而失效；[执行者]挪用主要指对资产的违规转移和隐瞒。对于低层次的人员对资产的挪用可以通过文件凭证、限制接近和职责分离等措施来防止。然而，高层管理人员一旦越权挪用，则任何内部控制程序都难以防止。错误陈述主要指管理部门或主要管理者极力弄虚作假，故意错报财务状况和经营成果等。⑥因经营环境、业务性质的改变而削弱或失效。[时过境迁]内部控制可能因为经营环境、业务性质的改变而削弱或失效。企业针对经常变化的环境势必要经常调整经营策略，这就会导致原有的控制程序对新增的业务内容失去控制作用，在变化过程中可能会发生差错或不合规行为。26由于公司建立的内部控制只能为会计报表的公允性提供合理（但不是绝对的）保证，并存在上述固有限制，因此，会计报表审计总存在一定的控制风险，即审计风险模型中的控制风险始终应大于零。这就要注册会计师必须注意，不管被审计单位的内部控制设计和运行得多么有效，都应对会计报表的重要账户或交易类别进行实质性测试。知识点练习练习1、[单选题]在会计报表审计时，以下哪项内部控制的目标不能满足注册会计师的要求（）。A、保证业务活动按照适当授权进行B、保证业务活动有效进行C、保证对资产和记录的接触、处理经过适当授权D、保证帐面资产与实存资产定期核对相符E、保证会计报表的编制符合会计准则的要求[答案]B；[解析]业务活动是否有效进行与会计报表没有直接关系。练习2、[单选题]被审计单位建立内部控