內(nèi)部控制理論與實務

1、1,內(nèi)部控制理論簡介,監(jiān)察審計部呂曉艷20015年7月,2,內(nèi)部控制理論簡介,1、內(nèi)部控制理論的發(fā)展及框架2、內(nèi)部控制要素及評價3、內(nèi)部控制審計方法,3,內(nèi)部控制理論的演變與發(fā)展,發(fā)展階段 時間 期望和需求 特點 內(nèi)部牽制 20世紀 預防舞弊，保護 以組織控制、不相容

2、 20年代 所有者權益 職務分離為核心內(nèi)容內(nèi)部控制 20世紀 提高審計的效率， 分為會計控制和管理控制 40-70年代 降低審計成本 不考慮環(huán)境因素的影響 用于系統(tǒng)基礎審計 內(nèi)部控制 20世紀

3、 提高審計的效率 開始考慮環(huán)境對控制的影響結構 70-90年代 降低審計風險， 提出三要素：控制環(huán)境、 用于風險導向審計 會計系統(tǒng)和控制程序內(nèi)部控制 20世紀90 服務于組織目標的 提出內(nèi)部控制三目標和整體框架 年代后 實現(xiàn)；同時也用于

4、五要素：控制環(huán)境、風險評估 重大錯報風險的評估 控制活動、信息溝通、監(jiān)督,,,,,,,,,,,,,4,內(nèi)部控制基本框架,一、內(nèi)部控制概念 ：（一）定義： 1、內(nèi)部控制是組織為實現(xiàn)經(jīng)營目標，通過制定和實施一系列制度、程序和方法，對風險進行事前防范、事中控制、事后監(jiān)督和糾正的動態(tài)過程和機制。,5,內(nèi)部控制基本框架,2、COSO提出：內(nèi)部控制 -

5、被定義為一個過程，這個過程受企業(yè)的董事會、管理層及其他人員的影響。設計這個過程是為達成下列目標提供合理的保證:營運的效果和效率;財務報表的可靠性;相關法令的遵循?！皟?nèi)部控制是由企業(yè)董事會、經(jīng)理階層和其他員工實施的，為運營的效率效果、財務報告的可靠性、相關法令的遵循等目標的實現(xiàn)提供合理保證的過程。”,6,內(nèi)部控制基本框架,COSO提出“內(nèi)部控制是由董事會、經(jīng)理階層和其他員工實施的”，他們各自承擔的責任應該是：1、經(jīng)理階層總體責任：建

6、立健全內(nèi)部控制并使之有效運行1-1 總經(jīng)理——確保組織具有積極的內(nèi)部控制環(huán)境，了解下屬責任的履行，自我評估和改善；1-2 部門負責人——制定與執(zhí)行與部門目標有關的內(nèi)部控制 ， 確保與組織目標的一致；1-3 更低層次負責人——執(zhí)行與本層次有關的內(nèi)部控制， 處理例外，向上級匯報；1-4 財務主管——具有全局性而特殊重要， 記錄和分析營運狀況，制定和執(zhí)行財務報告內(nèi)部控制。,7,內(nèi)部控制基本框架,2、董事會的責任2-1 通過選擇管

7、理層說明其對操守、價值觀的期望；2-2 通過監(jiān)督活動確認其期望的實現(xiàn)程度；2-3 保留關鍵決策權和監(jiān)督權，涉入內(nèi)部控制。,8,內(nèi)部控制基本框架,3、其他人員的責任3-1 內(nèi)部審計人員的責任——是內(nèi)部控制的一部分，責任是直接檢查、連續(xù)監(jiān)控和建議完善；3-2 其他員工的責任——采取行動、提供信息，出現(xiàn)問題時向上報告的責任。,9,內(nèi)部控制基本框架,薩班斯—奧克斯利法案（Sarbanes-Oxleys Acts）

8、 2002年7月發(fā)布的《薩班斯—奧克斯利法案》要求公司的管理層評估和報告公司最近年度的財務報告的內(nèi)部控制的有效性。還要求公司的外部審計師對管理層的評估意見出具“證明”，即向股東和公眾提供一個信賴管理層對公司財務報告的內(nèi)部控制描述的獨立理由。,10,內(nèi)部控制基本框架,3、中國內(nèi)部審計協(xié)會（CIIA)2005年在具體準則5中提出： 內(nèi)部控制是指組織內(nèi)部為實現(xiàn)經(jīng)營目標，保護資產(chǎn)安全完整，保證遵循國家法律法規(guī)，提高組織營運

9、效率及效果而采取的各種政策和程序。,11,內(nèi)部控制基本框架,全面理解其內(nèi)涵：（1）目的性：為實現(xiàn)一定目標而實施；（2）過程性：使組織活動依循既定目標進行的過程；（3）結合散布性：與組織活動相結合，散布于各項活動中；（4）環(huán)境影響：環(huán)境深刻地影響內(nèi)部控制的有效性；（5）人的特殊地位：人既是控制的主體，又是控制的客體；（6）文化性：組織內(nèi)部存在的“控制觀念”直接影響控制效果。,12,內(nèi)部控制基本框架,二、內(nèi)部控制主體：

10、 行政領導、職能部門、有關人員三、目的：（1）確保國家法律規(guī)定和組織內(nèi)部規(guī)章制度的貫徹執(zhí)行； （2）確保組織發(fā)展戰(zhàn)略和經(jīng)營目標的全面實施和充分實現(xiàn)； （3）確保風險管理體系的有效性； （4）確保業(yè)務記錄、財務信息和其他管理信息的及時、真實和完整。,13,內(nèi)部控制基本框架,四、內(nèi)部控制措施：（1）組織控制與職務分離；（2）授權批準控制；（3）文件記錄控制；（4）實物安全控制；（5）人員素質控制；（6）預算控制

11、與業(yè)績報告；（7）內(nèi)部審計等。,14,內(nèi)部控制基本框架,五、內(nèi)部控制類型1、預防性控制：防止錯弊和損失的發(fā)生例如：對客戶信用進行審核以減少壞帳發(fā)生；采用招標方式選擇理想的供應商等。2、檢查性控制：將已經(jīng)發(fā)生或存在的錯誤檢查出來例如：核對銀行對帳單，檢查預防性控制的執(zhí)行情況等。3、糾正性控制：對檢查出來的錯誤進行更正例如：當計算機檢查出輸入有誤的供應商號碼，可以從供應商取出正確的號碼進行更正。,15,內(nèi)部控制基本框架,4、指

12、導性控制：為實現(xiàn)有利結果的控制例如：上級對下級人員的督導等。5、補充性控制：針對某些控制環(huán)節(jié)的不足而采取的補充例如：業(yè)主或經(jīng)理的親自督導經(jīng)常能彌補小規(guī)模組織的職務分離不足等。,16,內(nèi)部控制基本框架,六、內(nèi)部控制的局限性1、成本限制（成本效益原則）2、串通舞弊3、人為錯誤4、管理越權5、修訂跟不上變化（時效性）,17,內(nèi)部控制要素及評價,一、內(nèi)部控制的要素1992年美國的COSO報告最初提出時，就明確了內(nèi)部控制五要素的

13、整體架構；2002年美國發(fā)布的《薩班斯-奧克斯萊法案》，又再次肯定了COSO報告所提出的內(nèi)部控制五要素的整體架構。內(nèi)部控制五要素論認為內(nèi)部控制整體框架是由控制環(huán)境、風險評估、內(nèi)部控制活動、信息交流以及監(jiān)督等五要素組成的。2004年又增加二個要素：事件識別、風險反映。,18,內(nèi)部控制要素及評價,1、控制環(huán)境：是內(nèi)部控制組成要素的基礎，是所有控制方式方法賴以存在的運行環(huán)境。這對塑造企業(yè)文化、提供紀律約束機制和影響員工控制意識有著重要作用。影

14、響控制環(huán)境的因素有員工品德與能力、管理哲學與經(jīng)營風格、組織結構與權責劃分、人力資源運用與發(fā)展、董事會的關注與指導等。2、風險評估：其目的是為了辨認并分析影響目標達成的各種不確定因素。,19,內(nèi)部控制要素及評價,3、事件識別：識別是否構成風險事項或潛在風險因素。4、風險反映：確定組織可接受的風險水平及風險損失等。 5、內(nèi)部控制活動：是確保管理階層指令實現(xiàn)的各種政策和程序總稱，其主要內(nèi)容包含：核準、授權、驗證、調(diào)節(jié)、復核、資產(chǎn)保全、職

15、務分工。,20,內(nèi)部控制基本框架,6、信息與溝通，目的在于確保整個內(nèi)部控制中資訊的辯識、取得以及內(nèi)外的有效溝通。7、監(jiān)督，是指隨著時間流逝而評估內(nèi)部控制制度執(zhí)行質量的過程。監(jiān)督方式有三種：持續(xù)監(jiān)督、個別評估、綜合監(jiān)督。內(nèi)部控制缺失嚴重的，則必須向最高管理階層及董事會呈報。,21,內(nèi)部控制要素及評價,二、內(nèi)部控制的設計原則1、設計程序正確分段一般分段：計劃申請 審核批準 辦理手續(xù) 實施執(zhí)行 記錄登記 核實核對2

16、、考慮不相溶職責分工：（1）授權批準某項業(yè)務與執(zhí)行該業(yè)務職責分離（2）執(zhí)行某項業(yè)務與審核該業(yè)務職責分離,22,內(nèi)部控制要素及評價,（3）執(zhí)行某項業(yè)務與記錄該業(yè)務職責分離（4）資產(chǎn)保管與資產(chǎn)記錄職責分離（5）資產(chǎn)保管與資產(chǎn)清查職責分離（6）記錄總賬與記錄明細帳、日記賬職責分離電子數(shù)據(jù)處理系統(tǒng)下：系統(tǒng)分析員、編程員、計算機操作員、資料保管員、數(shù)據(jù)控制小組等應職責分離,23,內(nèi)部控制要素及評價,三、組織內(nèi)部控制設計中控制風險責任追

17、究制度： 　1、董事會、高級管理層應當對內(nèi)部控制失效造成的重大損失承擔責任； 　2、內(nèi)部審計部門應當對檢查發(fā)現(xiàn)問題隱瞞不報、上報虛假情況或檢查監(jiān)督不力，承擔相應的責任； 　3、業(yè)務部門應當及時糾正內(nèi)部控制存在的問題，并對出現(xiàn)的風險和損失承擔相應的責任； 　4、高級管理層應當對違反內(nèi)部控制的人員，依據(jù)法律規(guī)定、內(nèi)部管理制度追究責任和予以處分，并承擔處理不力的責任。,24,內(nèi)部控制要素及評價,四、薩克斯法案對內(nèi)部控制的影響1、由于

18、美國《薩班斯-奧克斯萊法》和美國證券交易委員會的有關指南，要求上市公司的高層管理人員對提交的財務報告提供保證，因此執(zhí)行管理層是控制環(huán)境和財務資料的責任人。2、外部審計師為財務報告作公證，他要向財務報告使用者保證報告中的資料是按照公認會計準則公允地反映了組織的財務狀況。3、內(nèi)部審計師則負責向審計委員會或其它委員會保證，組織為編制財務報告所設置的內(nèi)部控制制度是有效的。內(nèi)部審計執(zhí)行主管要經(jīng)常及時地與審計委員會溝通。,25,內(nèi)部控制要素及評

19、價,為了幫助高級管理人員履行法定義務和要求，內(nèi)部審計執(zhí)行主管應將財務報告編制內(nèi)部控制有效性評價和財務報告過程審計列入年度審計工作計劃，并分配適當?shù)馁Y源。,26,內(nèi)部控制要素及評價,五、財務報表有關的內(nèi)部控制有效性評價：1、組織是否有濃厚的道德文化環(huán)境（1）董事和高級管理人員是否以身作則遵守組織的道德行為規(guī)范，為員工樹立榜樣。（2）組織的道德行為規(guī)范是否通過培訓使全體員工了解，并成為組織道德文化的倡導者和執(zhí)行者。（3）組織有無公開

20、的溝通渠道，使管理人員獲得所需的信息。（4）組織的目標和激勵措施是否恰當，有無過分強調(diào)短期行為的現(xiàn)象。（5）財務報告有無不實的表述和舞弊。,27,內(nèi)部控制要素及評價,2、組織怎樣進行風險管理（1）組織有無風險管理程序？是否有效？（2）高級管理層是否依靠整個組織來控制風險？　　 （3）管理層是否開誠布公地與董事會討論主要風險？,28,內(nèi)部控制要素及評價,3、組織的控制制度是否有效（1）組織對財務報告過程的控制是否全面？是

21、否包括收集資料、編制財務報表及其附注，以及規(guī)定要披露的和自主披露的事項（ 2）高級管理層和相關管理層是否聲明對控制有效性承擔責任？（3）組織的財務報告或財務披露是否反映出高級管理層、董事 會或組織事故不斷？,29,內(nèi)部控制要素及評價,（4）整個組織是否有良好的溝通渠道和報告制度？（5）控制制度被視為促進目標實現(xiàn)的積極因素，還是絆腳石？（6）雇用的人員是否合格？是否經(jīng)過充分的培訓？ （7）解決問題是否及時和有效？,30,內(nèi)部控

22、制要素及評價,4、組織是否有有效的監(jiān)督（1）董事會是否獨立于管理當局，沒有利益衝突，信息靈通，對存在的問題及時進行了調(diào)查？（2）內(nèi)部審計是否得到高級管理層和審計委員會的支持？（3）內(nèi)部審計師和外部審計師是否與高級管理層和審計委員會進行開誠布公的溝通和私人接觸？（4）各級管理人員是否對控制過程進行監(jiān)督？（5）對外購審計過程是否進行了監(jiān)督？,31,內(nèi)部控制要素及評價,六、存在的問題： 1、 組織內(nèi)控制度實務中存在的

23、多種問題，歸納起來主要有：——無章可循，內(nèi)控制度不健全；——有章難循，內(nèi)控制度脫離企業(yè)實際；——有章不循，缺乏制度執(zhí)行機制；——違章不糾，缺乏必要獎懲制約。,32,內(nèi)部控制要素及評價,2、傳統(tǒng)管理觀念的負面影響：——以“家長制”為主的管理構架，缺乏對員工權益和民主的足夠重視；——以個人忠誠為基本管理關系紐帶，用人有明顯的感情關系；——重視可見資產(chǎn)和短期利益，忽視隱形資產(chǎn)和長遠利益；——習慣于封閉式管理方式，漠視環(huán)境變化的

24、影響；,33,內(nèi)部控制要素及評價,——唯上級的指令和紅頭文件為管理依據(jù)，忽視客觀規(guī)律和員工的主觀能動作用；——唯行政隸屬關系為管理關系紐帶，忽視產(chǎn)權關系、科學與法制；——利益分配平均化和主觀化，忽視團體和個人的貢獻；——習慣于條塊分割式規(guī)模管理，忽視系統(tǒng)科學的網(wǎng)絡管理。,34,內(nèi)部控制要素及評價,七、內(nèi)部控制評價方法1、一般方法1-1 利用以前年度審計獲得的信息，并作適當更新；1-2 詢問管理和其他人員，并加以印證；1-3

25、 審閱各項管理制度和相關文件；,35,內(nèi)部控制要素及評價,1-4 檢查內(nèi)部控制執(zhí)行過程中生成的記錄和憑證；1-5 實地觀察，針對關鍵控制點；1-6 對具有代表性業(yè)務進行穿行測試；1-7 調(diào)查表法,36,內(nèi)部控制要素及評價,2、 內(nèi)部控制調(diào)查舉例：采購業(yè)務循環(huán)的內(nèi)部控制調(diào)查2-1 業(yè)務流程描述采購業(yè)務是組織從外部獲得商品或勞務并支付價款的過程。該循環(huán)通常包括：（1）提出采購申請，由采購部門或倉庫部門根據(jù)存貨庫存水平或生產(chǎn)需要提

26、出；,37,內(nèi)部控制要素及評價,（2）編制和批準訂貨單，包括供應商的選擇和價格比較；（3）與供貨商簽定采購合同；（4）驗收貨物，包括質量檢驗；（5）確認債務或支付貨款。,38,內(nèi)部控制要素及評價,采購 審批 采購 入庫 付款 記帳 （使用）（領導）（供應） （倉庫）（財務） （財務） 請購單 請購單 供應計劃 質

27、檢單 付款憑證 記帳 供貨合同 入庫單 憑證 發(fā)票 發(fā)運單,,,,,,,,,,,,,,39,內(nèi)部控制要素及評價,2-3 采購業(yè)務循環(huán)內(nèi)部控制調(diào)查表內(nèi)容舉

28、例（1）申請采購。例如：采購計劃是否經(jīng)主管負責人核準；對主要原材料和其他金額較大的物資采購重大事項，是否通過會議或其他形式的集體決策；采購是否與請購、審批、運送、驗收的職責相分離；對重要物資的采購價格是否由內(nèi)部價格信息部門審核。（2）購入貨物。例如：大宗貨物入庫前是否有質量檢驗部門的鑒定手續(xù)；收到貨物的品種、數(shù)量和質量與合同、發(fā)票不符的是否記錄并采取相應措施等。,40,內(nèi)部控制要素及評價,（3）確認和記錄采購和應付款項例如；會

29、計部門是否根據(jù)進貨單和購貨發(fā)票登記材料采購帳戶；財務部門和倉儲部門是否定期核對購貨入庫情況；是否定期與常年和供貨商核對應付帳款等。（4）評價結論： 采購業(yè)務循環(huán)的控制風險為（高、中、低）；是否進行符合性測試（是、否）。,41,內(nèi)部控制要素及評價,3、 符合性測試舉例：3-1采購業(yè)務循環(huán)內(nèi)部控制測試程序表（工作底稿）,42,內(nèi)部控制要素及評價,測試方法 測試內(nèi)容

30、 執(zhí)行情況 索引號1、詢問 （1）取得與采購業(yè)務相關的管理規(guī)定、 進貨報告和記錄； （2）詢問采購業(yè)務相關人員有關內(nèi)部控制 執(zhí)行情況，重點是批準手續(xù)和復核對帳。2、觀察 對不相容職務的分離情況進行觀察3、檢查書 （1）采購合同 面文檔 （2）核對采購

31、合同與采購單、訂購單、 入庫單、付款和記帳憑證等是否一致； （3）檢查采購合同與請購單的授權批準； （4）檢查重要物資的采購價格審批情況；,,,,43,內(nèi)部控制要素及評價,測試方法 測試內(nèi)容 執(zhí)行情況 索引號檢

32、查書面 （5）收貨記錄文檔 （6）檢查沒有購貨合同的進貨采購前 是否已獲批準  （7）應付帳款明細帳：是否有對帳記錄； 入帳是否附有購貨發(fā)票，沒有購貨發(fā)票 是否根據(jù)估計成本計算債務；入帳是否

33、 以已收貨物或勞務為基礎。  結論：經(jīng)內(nèi)部控制測試評價，確認采購業(yè)務循環(huán)的控制風險為： 高（ ） 中（ ） 低（ ）,,,,,44,內(nèi)部控制要素及評價,3-2要素評價的工具（以監(jiān)督要素為例）一.持續(xù)的監(jiān)督(一)1.··········結論/所

34、需的措施二.個別評估(一)1.··········結論/所需的措施三.缺失的報導(一)1.···········結論/所需的措施·······

35、···本要素的匯整—結論/所需的措施,,,,,,,45,內(nèi)部控制要素及評價,4、要素評價4-1控制環(huán)境評價 4-1-1操守及價值觀評價 ?有否員工行為守則 ?高層道德指引 ?管理階層交往 ?對違反行為的懲罰 ?對逾越控制的態(tài)度 ?誘惑與獎勵,46,內(nèi)部控制要素及評價,4-1-2執(zhí)行能力 ?職務說明書 ?技能分析4-1-3董事會及監(jiān)督委員會 ?獨立與

36、質疑 ?子委員會 ?知識與經(jīng)驗 ?與相關方面聯(lián)系,47,內(nèi)部控制要素及評價,?資訊獲取 ?資訊評估?重要決定的監(jiān)督?高層道德觀念?監(jiān)督行為,48,內(nèi)部控制要素及評價,4-2目標風險評估4-2-1整體目標制訂?整體目標及特定性 ?整體目標傳達 ?策略與整體目標關系 ?計劃預算與整體目標關系4-2-2作業(yè)層級目標制訂 ?作業(yè)層級目標與整體目標的關系,49,內(nèi)部控制要素及評

37、價,?各作業(yè)層級目標的一致性?各作業(yè)層級與重大業(yè)務間相關性?各作業(yè)層級明確性?實現(xiàn)目標所需資源的適當性?辨識層級目標的重要性?參與及承諾,50,內(nèi)部控制要素及評價,5、控制自我評估 5-1 20世紀80年代始，北美洲一些公司將內(nèi)部控制和風險管理交由各營運單位管理層自行負責，并取得顯著成效后，這一被稱為“控制自我評價”的做法在美國和許多國家傳播和推廣。 控制自我評價的關鍵內(nèi)容是

38、：由營運組織定期開會和分析，通過思考和坦誠溝通，找出作業(yè)流程和控制的問題所在，并提出改善的行動方案。 控制自我評價本質是一種管理實務，并非審計活動，但內(nèi)部審計可以參與其中。,51,內(nèi)部控制要素及評價,5-2控制自我評價的過程（1）取得管理層的支持：建立審計與管理層的合作關系（2）建立工作小組：至少有兩個協(xié)調(diào)人，組織研討會（3）召開研討會：分享信息與經(jīng)驗，加以評價（4）分析數(shù)據(jù)；（5）報告結果；（6）形成行動

39、計劃。,52,內(nèi)部控制要素及評價,5-3、內(nèi)部審計在自我評價中的作用5-3-1 一般作用：——設計、培訓和承辦活動；——擔任自我評價活動的顧問；——為工作小組配備協(xié)調(diào)人和專家；——擔任小組評價報告的最后核實；——協(xié)助管理層建立和完善風險管理和控制系統(tǒng)。,53,內(nèi)部控制要素及評價,5-3-2 配備合格的協(xié)調(diào)人每項評價至少有兩個合格的內(nèi)部審計人員擔任協(xié)調(diào)人：——一名是熟悉研討單位的營運作業(yè)流程，以確保討論不會離題；——一位

40、是研討會的核心人物，應用各種技巧控制研討會。,54,內(nèi)部控制制度評價與審計,一、內(nèi)部控制評價步驟 （1）健全性測試（2）符合性測試（3）制度總評（4）結果報告 二、方法 通常與制度基礎審計程序相聯(lián)系，在不同階段分別采用不同的技術方法。,55,內(nèi)部控制制度評價與審計,（一）調(diào)查了解內(nèi)控的方法利用以前年度審計中獲得的內(nèi)控信息，并根據(jù)情況作適當更新1、詢問被審單位的有關人員2、查閱被審單位的政策和規(guī)章制度手冊

41、3、審查內(nèi)部控制生成的憑證和記錄4、觀察被審單位的經(jīng)營管理活動5、選擇若干具有代表性的交易和事項進行穿行測試,56,內(nèi)部控制制度評價與審計,（二）符合性測試的方法1、詢問法2、實地觀察法3、書面文檔檢查法4、重復執(zhí)行法,57,內(nèi)部控制制度評價與審計,（三）評價控制風險的方法1、確認該賬戶或交易類別可能發(fā)生哪些潛在錯報2、確認哪些控制可以防止或發(fā)現(xiàn)這些錯報3、評價符合性測試所獲得的有關控制是否被適當設置和有效執(zhí)行的證據(jù)

42、4、評價賬戶或交易類別的控制風險水平,58,內(nèi)部控制制度評價與審計,（四）對測評結果的利用1、確定實質性測試的范圍、重點和方法（1）定量方法：根據(jù)審計風險模型，確定檢查風險水平將以確定的檢查風險水平轉化為實質性測試可信賴程度（互為補數(shù)）計算樣本規(guī)模,59,內(nèi)部控制制度評價與審計,（2）定性方法：風險矩陣表 可靠程度很低、低、中、高、*等級別很低、低：審計重點——詳細審計中、高：抽樣審計*：不作檢查然后根據(jù)樣本特