内部控制的设计-评价与审计

内部控制设计、评价与审计简介张龙平•中南财经政法大学会计学院院长、教授、博导•中国CPA审计准则委员会、委员•中国CPA技术咨询委员会、委员•中国CPA执业责任鉴定委员会、委员•中国会计准则委员会、咨询专家•中国企业内部控制标准委员会、咨询专家•中国国家审计准则技术咨询专家组、专家成员•ZLPCALY8@gmail.com一、为什么要如此重视内部控制？（一）国家管制角度外部、内部、内外结合型（外部干预型）监管（二）企业发展角度企业（公司）质量与效益的重要性（二）公众需求角度关心财务报表→相关内部控制二、什么是企业内部控制？（一）中国内部控制的概念内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。（全面内部控制理念）（二）中国内部控制的5目标合理保证经营合规、资产安全、财务报告及相关信息真实完整、经营有效性，促进企业实现发展战略。美国内控目标如下:美国和国际上通常认为内部控制应实现以下3大目标：即合理保证实现：（1）财务报告（financialreporting）的可靠性；（2）经营（operation）的效率和效果；（3）对法律法规的遵守（compliance）。注：资产安全目标哪去了？（三）内部控制的5要素1、内部环境（控制环境）2、风险评估3、信息与沟通4、控制活动5、内部监督(对控制的监督)（四）内部控制的固有局限性内部控制存在下列固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证：（一）在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效；（二）可能由于两个或更多人员进行串通或管理层凌驾于内部控制之上而被规避。三、内部控制的发展阶段（一）内部牵制阶段上世纪40年代以前是内部牵制阶段。是为了保证账目正确。基于以下假设：（1）两个或两个以上的人或部门无意识地犯同样错误的机会是很小的；（2）两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。内部牵制分为：（1）实物牵制；（2）机械牵制；（3）体制牵制；（4）簿记牵制。（二）内部控制制度阶段（2分法）20世纪50年代：内部会计控制和内部管理控制（三）内部控制结构阶段（3分法）20世纪70年代：控制环境、会计系统和控制程序（四）内部控制框架阶段（5分法）进入20世纪90年代后，COSO报告：控制环境、风险评估、控制活动、信息和沟通、对控制的监督(五)企业风险管理整合框架（8分法）2004年9月，COSO根据萨班斯法案要求，颁布该框架。定义企业风险管理为：“企业风险管理是一个过程，受企业董事会、管理层和其他员工的影响，包括内部控制及其在战略和整个公司的应用，旨在为实现经营的效率和效果、财务报告的可靠性以及法规的遵循提供合理保证。”COSO框架的构成要素：（1）内部环境；（2）目标设定；（3）事项识别；（4）风险评估；（5）风险应对；（6）控制活动；（7）信息与沟通；（8）监控四、中国内部控制标准体系1、企业内部控制基本规范2、企业内部控制应用指引3、企业内部控制评价指引4、企业内部控制审计指引1、企业内部控制基本规范—1个1)五个目标：合规性、可靠性、安全性、经济性，战略性（美国COSO是：3个目标，无安全性和战略性）2)五个原则：全面性、重要性、制衡性、适应性、成本效益3)五个要素：内部环境、风险评估、信息与沟通、控制活动、内部监督2、企业内部控制应用指引—15个（1）组织框架（含治理结构、机构设置、职责分配及不相容职务分离）、发展战略、人力资源、企业文化、社会责任（评价时以内部环境为基础）（2）资金、资产、采购、销售、研发、工程项目（评价时以生产经营活动为重点）（3）全面预算、合同、内部报告、信息系统（评价时应兼顾控制手段）注：财政部等还将出台具体的操作手册或讲解材料思考问题：如何设计和应用？3、企业内部控制评价指引1）管理层要提交内部控制评价报告（年度评价和专项评价）2）评价工作的组织与实施A.谁负责：企业主要负责人B.谁实施：董事会（或类似决策机构）或其授权机构（可借助CPA或外部专家）C.遵循原则：全面性、重要性和独立性等原则D.评价方案设计及实施E.评价方法（访谈、问卷、专题讨论、穿行测试、统计抽样、比较分析等）F.工作底稿编制与复核3）年度评价和报告的内容A.评价：对整个年度、整个内部控制在某一基准日的有效性评价后，发表一个意见。B.报告：内控设计或执行方面的重大缺陷注：内部控制缺陷有三种：A)重大缺陷B)重要缺陷C)一般缺陷4）内部控制缺陷的认定A，设计缺陷和运行缺陷企业在内部控制评价中，应对内部控制缺陷进行分类分析。1、设计缺陷：缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。2、运行缺陷：现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。B,重大缺陷、重要缺陷和一般缺陷1、重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标的情形。2、重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标的情形。3、一般缺陷，是指除重大缺陷、重要缺陷之外的其他控制缺陷。注意：上述缺陷的整改责任人不同：1、董事会（监事会监督）；2、经理层；3、内部有关单位5）内部控制评价报告（一）组织实施内部控制评价的总体情况。（二）内部控制责任主体的声明。（三）内部控制评价的范围和内容。（四）内部控制评价的标准和依据。（五）内部控制评价的程序和方法。（六）内部控制重大缺陷及其认定情况。（七）内部控制重大缺陷的整改措施及责任追究情况。（八）内部控制有效性的结论（基准日）。注意：存在一个或多个内部控制重大缺陷的，应当作出内部控制无效的结论。4、内部控制审计引子：1、CPA和企业的责任在不断加大2、内部控制审计结果将成为企业的重要考核指标3、与财务报表审计有很大不同结论:企业（公司）领导层要高度重视1）内控审计的范围1、只负责审计财务报告内部控制本指引中内部控制审计的范围，是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制，即财务报告内部控制。2、对非财务报告内部控制的责任1）注册会计师应当向企业询问非财务报告内部控制设计的合理性和执行的有效性，并取得董事会对非财务报告内部控制遵循情况的书面声明。2）对内部控制审计过程中注意到的非财务报告内部控制的缺陷，注册会计师应当在内部控制审计报告中予以描述，但无需对其有效性发表审计意见。2）内控审计业务由谁来做？问题1：同一单位的内部控制审计和财务报表审计由谁来做？A,同一会计师事务所（国外做法）B,不同的会计师事务所问题2：同一单位的內控的咨询和审计由谁来做？(内控基本规范的规定？业务相容?独立道德?)3）对时点还是时期内控发表意见A、只对特定时点相关内控有效性发表意见。（为什么不对时期内控的有效性发表意见？）B、为什么还要同时收集特定时期相关内控的有效性讨论：企业该怎么做？4）与财务报表审计整合进行•整合审计要点——内部控制了解和测试•风险导向思路（即以风险评估为基础）•自上而下方法（以此法选择拟测试的控制）注意：重大缺陷与重大错报的联系与区别5）内部控制审计意见及审计处理1、需要几种审计意见（只有3种，不准发表保留意见）1）有重大缺陷：否定意见（发现一个后还继续查吗？）2）有范围限制：撤消业务约定，或无法表示意见（此时在报告里，还要说明范围受限前，执行有限审计程序所发现的重大缺陷吗？）2.查出内控缺陷的层次及不同的审计处理：1）Deficiency_缺陷_可能沟通2）SignificantDefi._重要缺陷_仅沟通即可3）MaterialWeakness_重大缺陷_影响审计报告6）内部控制审计报告标准格式•（一）标题；（二）收件人；（三）引言段；•（四）企业对内部控制的责任段；•（五）注册会计师的责任段；•（六）内部控制审计的范围段；•（七）内部控制固有局限性的说明段；•（八）财务报告内部控制审计意见段；•（九）非财务报告内部控制缺陷描述段；•（十）财务报表审计意见类型的提及段；•（十一）注册会计师的签名和盖章；•（十二）会计师事务所的名称、地址及盖章；•（十三）报告日期。5、内部控制相关研究课题（一）内部控制规范研究基本线路1、内部控制理论问题研究2、内部控制立法问题研究3、内部控制监管问题研究（内外部监管）4、内部控制信息化及一体化问题研究5、行业内部控制最佳实务问题研究（含内部控制的设计、实施和评价）6、特定企业内部控制最佳实务问题研究（含内部控制的设计、实施和评价）7、政府及非盈利组织内控问题研究（二）内部控制实证研究基本线路1、内部控制设计、实施、评价效果评价2、内部控制与行业特征、企业特征3、内部控制与公司治理4、内部控制与经营效率5、内部控制与财务运作6、内部控制与风险管理7、内部控制与内部审计8、内部控制与审计质量（含CPA财务报表审计质量和内部控制审计质量)9、内部控制与财务报表的整合审计10、经典财务舞弊案件与内部控制改良谢谢大家！敬请批评指正！