第三章内部控制审计

emailyxy@sina.com学习要点与要求通过本章学习，你应该能够：★了解内部审计的基本程序★掌握内部审计计划的编制★掌握发现问题与解决问题的思路★了解与被审计单位沟通的意义emailyxy@sina.com第一节内部控制评价概述emailyxy@sina.com一、内部审计与内部控制的关系内部审计是保证内部控制体系有效运行和逐步完善的重要措施企业在设计内部控制制度时，由于当时认识的局限或者考虑不周等原因，设计出的内部控制不可能完美无缺；在内部控制实际运行过程中，由于实际情况发生变化、或由于员工对内部控制制度理解上的差异，也可能使内部控制不能很好地发挥其应有的作用，导致内部控制实际运行中或多或少地存在着这样或那样的问题。为此需要对内部控制运行情况实施必要的监督检查，发现其不足和问题乃至于缺陷，从而完善内部控制，提高内部控制的有效性。emailyxy@sina.com续企业内部各职能部门管理者当然是内部控制监督的主体之一。但他们的监督往往是局部的，并且独立性、客观性受到一定程度的影响。内审部门是相对独立的部门，由内部审计对内部控制的设计（是否适当）、执行（是否不折不扣的执行）、及有效性进行测试与评价应该是最全面、最权威的。因此，内部审计是保证内部控制体系有效运行和逐步完善的重要措施。在内部监督制度中，应当明确内部审计机构等类似其他监督机构的职责，明确内部审计机构与和其他内部机构之间的关系，明确开展内部监督的程序、方法和要求等。emailyxy@sina.com二、内部控制评价外审：侧重于把内控评价作为一种审计方式，其目的是在了解、测试与会计报表相关的内部控制的基础上评估其控制风险，再根据控制风险评估结果修订审计计划和确定实质性测试的性质、时间和范围，进而对会计报表发表意见。内审：侧重于把内控评价作为一项审计内容。也可以根据审计的目的，把内控评价作为一种审计方式。内部控制评价，是指由企业董事会和管理层实施的，对企业内部控制有效性进行评价，形成评价结论，出具评价报告的过程。emailyxy@sina.com三、内部控制评价依据内部审计具体准则第5号——内部控制审计（2003年6月）内部审计具体准则第16号——风险管理审计（2005年5月）中央企业财务内部控制评价工作指引(2006年度试点用)企业内部控制评价指引（2008年7月，财政部）评价指引（5章37条）：总则、内部控制评价的内容、内部控制评价的程序、内部控制缺陷的认定、内部控制评价报告。emailyxy@sina.com四、内部控制评价要求企业应当根据国家有关法律法规和《企业内部控制基本规范》的要求，结合企业实际情况，对战略目标、经营管理的效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。emailyxy@sina.com五、企业内部控制评价原则（一）风险导向原则。内部控制评价应当以风险评估为基础，根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。（二）一致性原则。内部控制评价应当采用统一可比的评价方法和标准，保证评价结果的可比性。（三）公允性原则。内部控制评价应当以事实为依据，评价结果应当有适当的证据支持。（四）独立性原则。内部控制评价机构的确定及评价工作的组织实施应当保持相应的独立性。（五）成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。emailyxy@sina.com六、评价的内容和标准企业应当对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价。企业实施内部控制评价，包括对内部控制设计有效性和运行有效性的评价。内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。emailyxy@sina.com续应用信息系统加强内部控制的企业，应当对信息系统的有效性进行评价，包括信息系统一般控制评价和信息系统应用控制评价。一般控制评价应当着重考虑与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求，是否有利于企业内部控制目标的实现，并以此评价信息系统的安全性、可靠性和合理性。应用控制评价应当结合企业业务流程特点，着重考虑信息系统中与业务流程相关的控制点，并以此评价相关应用系统操作数据的真实性、准确性和合规性。emailyxy@sina.com续企业集团对被评价单位内部控制的有效性进行评价，应当至少涉及下列内容：（一）被评价单位内部控制是否在风险评估的基础上涵盖了企业层面的风险和所有重要的业务流程层面的风险。（二）被评价单位内部控制设计的方法是否适当，内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理。（三）被评价单位内部控制设计和运行的组织是否有效，人员配备、职责分工和授权是否合理。（四）被评价单位是否开展内部控制自查并上报有关自查报告。（五）被评价单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。（六）被评价单位在评价期间是否出现过重大风险事故等。emailyxy@sina.com第二节评价的程序和方法emailyxy@sina.com一、内部控制评价的程序第一步，制定评价方案。根据企业整体控制目标,制定内部控制评价工作方案,明确评价目的,范围,组织,标准,方法,进度安排和费用预算等内容,报管理层和董事会审批.第二步，确定评价范围。内部控制评价范围的确定应当遵循风险导向,自上而下的原则来确定需要评价的分支机构,重要业务单元,重点业务领域或流程环节.第三步，实施评价方案。内部审计部门应当根据审批通过的评价方案组织实施内部控制评价工作,通过适当的方法收集,确认,分析相关信息,确定与实现整体控制目标相关的风险及细化控制目标,并在此基础上辨识与细化控制目标相对应的控制活动,然后针对控制活动进行必要的测试,获取充分,相关,可靠的证据对内部控制的有效性进行评价,并做出书面记录.第四步，提交评价报告。内部控制评价机构应当根据评估结果和经核实的证据,确认内部控制缺陷,出具评价结论,编制评价报告,报送管理层和董事会审阅.emailyxy@sina.com二、评价方法（一）个别访谈法。（二）调查问卷法。（三）比较分析法。（四）标杆法。是指通过与组织内外部相同或相似经营活动的最佳实务进行比较而对控制设计有效性评价的方法。（五）穿行测试法。是指通过抽取一份全过程的文件，来了解整个业务流程执行情况的评估评价方法。（六）抽样法。是指企业针对具体的内部控制业务流程，按照业务发生频率及固有风险的高低，从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进行判断，进而对业务流程控制运行的有效性作出评价。（七）实地查验法。（八）重新执行法。是指通过对某一控制活动全过程的重新执行来评估控制执行情况的方法。（九）专题讨论法。emailyxy@sina.com三、获取审计证据企业应当根据通过评估和测试获取与内部控制有效性相关的证据，并合理保证证据的充分性和适当性。证据的充分性是指获取证据的数量应当能合理保证相关控制的有效；证据的适当性是指获取的证据应当与相关控制的设计与运行有关，并能可靠地反映控制的实际运行状况。企业应当根据所收集的证据，判断相关控制的设计与运行是否有效。企业在判断内部控制设计与运行有效性时，应当充分考虑下列因素：1、是否针对风险设置了合理的细化控制目标。2、是否针对细化控制目标设置了对应的控制活动。3、相关控制活动是如何运行的。4、相关控制活动是否得到了持续一致的运行。5、实施相关控制活动的人员是否具备必需的权限和能力。emailyxy@sina.com续企业应当充分评估下列因素导致内部控制失效的风险：（一）控制活动的类型，一般包括人工控制和自动控制、预防性控制和发现性控制等。（二）控制活动的复杂性，通常与企业组织结构、市场环境、经营规模、人员素质等相关。（三）管理层逾越内部控制的风险。（四）实施控制活动所需要的职业判断的程度。（五）控制活动所针对风险事项的性质及其重要性。（六）一项控制活动对其他控制活动有效性的依赖程度。内部控制评价机构应当根据评估结果和经核实的证据，确认内部控制缺陷，出具评价结论，编制评价报告，报送管理层和董事会审阅。emailyxy@sina.com四、内部控制缺陷认定企业在对内部控制进行内部监督发现内部控制缺陷时，需要对内部控制的缺陷进行认定和报告。为此，企业应当根据自身的实际情况，制定本企业内部控制缺陷认定标准。内部控制缺陷包括设计缺陷和运行缺陷。emailyxy@sina.com1、关于设计缺陷所谓设计缺陷，是指缺少为实现控制目标所必需的控制，或现存内部控制设计不适当、即使正常运行也难以实现控制目标而形成的内部控制缺陷，即建立的内部控制不能充分实现内部控制目标而形成的内部控制缺陷。emailyxy@sina.com案例：废纸打印不挨骂小李是一家公司的职员，由于公司刚开始创业，经理特别强调成本控制，把厉行节约列为绩效考核的重要内容。他对办公室员工提出了要求：节约用纸，非正式文件不得使用空白纸。有一次，废纸用完了，小李只好用空白纸打印，经理看到用的不是废纸，立刻责问：……小李委屈地说，废纸用完了，只好……经理有点不相信：一天打印那么多文件，怎么会一张废纸都没有了呢？于是自已动手，进行检查，还真找出了几张废纸。第二天，经理在开会时点名批评了小李，还扣发了当月奖金。从此以后，每当没有废纸可用的时候，小李特别着急。后来，一位老员工俏俏地告诉她：……从此，小李再也没有挨批了。请问：老员工俏俏告诉小李什么了？这个故事说明了什么？emailyxy@sina.com2、关于运行缺陷所谓运行缺陷，是指现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效实施控制而产生的内部控制缺陷，即内部控制不能按照建立阶段的意图运行，或运行中错误很多，或实施内部控制的人员不能正确理解内部控制的内容和目标等而产生的内部控制缺陷。某一企业的内部控制体系虽然设计得很完善，但由于实施过程中的偏差，导致内部控制运行缺陷。内部控制的缺陷可以是单项的缺陷，也可以是多项组合的缺陷。emailyxy@sina.com3、内部控制缺陷认定存在下列情况之一,应当认定内部控制存在设计或运行缺陷:未实现规定的控制目标.未执行规定的控制活动.突破规定的权限.不能及时提供控制运行有效的相关证据.内部审计在判断和认定内部控制缺陷是否构成重大缺陷,应当考虑下列因素:影响整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷.针对同一细化控制目标所采取的不同控制活动之间的相互作用.针对同一细化控制目标是否存在其他补偿性控制活动.emailyxy@sina.com4、内部控制缺陷分类按照内部控制缺陷影响整体控制目标实现的严重程度，内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷。重大缺陷是指一个或多个一般缺陷的组合，可能严重影响内部控制整体的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。重要缺陷是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大，须引起企业管理层关注。除重要缺陷和重大缺陷以外的其他缺陷，则为一般缺陷。emailyxy@sina.com5、发现缺陷的处理在对内部控制进行内部监督的过程中，根据确定的标准对内部监督所发现的内部控制缺陷进行认定，分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。企业还应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。emailyxy@sina.