CPA鉴证第五章内部控制审计

第五章内部控制审计1开篇案例——我国第一份内部控制审计的否定意见报告•2012年3月23日，信永中和会计师事务所为山东新华制药股份有限公司（以下简称新华制药）2011年12月31日财务报告内部控制的有效性出具了审计报告•信永中和认为由于新华制药的内部控制存在重大缺陷及其对实现控制目标的影响，对其内控报告出具了否定意见•从2006年证券交易所的鼓励使我国上市公司陆续开始发布内部控制评价报告及审计意见起，这是我国第一份上市公司非标准的内部控制审计意见2开篇案例新华制药下属子公司山东新华医药贸易有限（以下简称医贸公司）内部控制制度对多头授信无明确规定，在实际执行中，医贸公司的鲁中分公司、工业销售部门、商业销售部门等三个部门分别向同一客户授信，使得授信额度过大重大缺陷一新华制药下属子公司医贸公司内部控制制度规定对客户授信额度不大于客户注册资本，但医贸公司在实际执行中，对部分客户超出客户注册资本授信，使得授信额度过大，同时医贸公司也存在未授信的发货情况重大缺陷二3开篇案例•该重大缺陷使得新华制药对山东欣康祺医药有限公司及与其存在担保关系方形成大额应收款项60,731千元，同时，因欣康祺医药经营出现异常，资金链断裂，可能使新华制药遭受较大经济损失。2011年度，新华制药对应收欣康祺医药及与其存在担保关系方货款计提了48,585千元坏账准备。•有效的内部控制能够为财务报告及相关信息的真实完整提供合理保证，而上述重大缺陷使新华制药内部控制失去这一功能，因而信永中和对其内部控制审计报告出具了否定意见4开篇案例结合案例分析并思考：•信永中和是否对新华制药内部控制失效承担责任？•注册会计师在内部控制审计中的主要风险点及如何控制？5本章框架•内部控制概述•内部控制基本理论•内部控制审计6内部控制概述•内部控制的历史演进•内部控制的现实意义•我国内部控制法规的发展•我国企业内部控制规范的框架体系7内部牵制内部控制系统内部控制结构内部控制整合框架企业风险管理整合框架8内部控制的历史演进※内部控制是组织运营和管理活动发展到一定阶段的产物，是科学管理的必然要求※内部控制理论与实践的发展大体上经历了内部牵制、内部控制系统、内部控制结构、内部控制整合框架等四个不同的阶段，并已初步呈现向企业风险管理整合框架演变的趋势内部牵制阶段•控制一词最早产生于17世纪，其原始含义是“由登记者之外的人对账册进行的核对和检查”•20世纪以前，盛行的观念和实务都停留在内部牵制阶段。这一阶段社会生产力还相对落后，大规模商品生产尚不发达，内部牵制是适应这一阶段的时代背景而产生的9内部牵制阶段•这一阶段的主要特点是“以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。”•内部牵制机能主要包括：分权牵制、实物牵制、机械牵制和簿记牵制•这一阶段的不足之处，在于人们还没有意识到内部控制的整体性，强调内部牵制机能的简单运用，不够系统和完善10内部控制体系阶段•这一阶段从时间上看大致为20世纪40年代至80年代•适应这一时期资本主义经济快速发展、所有权与经营权进一步分离的特点，在注册会计师行业的推动下，内部控制由早期的内部牵制逐渐演变为涉及组织结构、岗位职责、人员素质、业务处理程序和内部审计等比较严密的内部控制系统11内部控制体系阶段•1972年11月，审计准则执行委员会将内部控制一分为二，由此内部控制进入“制度二分法”或“二要素”阶段。这一阶段的内部控制正式被纳入制度体系之中，同时管理控制成为内部控制的一个重要组成部分•美国会计准则委员会(ASB)《审计准则公告》的制定者，循着《证券交易法》的路线进行研究和讨论，在第1号公告(SASNo.1)中，提出了管理控制和会计控制12内部控制体系阶段会计控制由组织计划以及与保护资产和保证财务资料可靠性有关的程序和记录构成会计控制旨在保证：经济业务的执行符合管理部门的一般授权或特殊授权的要求；经济业务的记录必须有利于按照一般公认会计原则或其它有关标准编制财务报表，以及落实资产责任；只有在得到管理部门批准的情况下，才能接触资产；按照适当的间隔期限，将资产的账面记录与实物资产进行对比，一经发现差异，应采取相应的补救措施会计控制管理控制包括但不限于组织计划以及与管理部门授权办理经济业务的决策过程有关的程序及其记录这种授权活动是管理部门的职责，它直接与管理部门执行该组织的经营目标有关，是对经济业务进行会计控制的起点管理控制13内部控制结构阶段•进入20世纪80年代，人们对内部控制的研究重点逐步从一般含义向具体内容深化•1988年美国AICPA发布的《审计准则公告第55号》首次以“内部控制结构”的概念代替“内部控制系统”，该公告认为，内部控制结构由下列三个要素组成：控制环境，会计系统和控制程序14内部控制结构阶段控制环境•对建立、加强或削弱特定政策和程序效率发生影响的各种因素•具体包括：管理者的思想和经营作风；企业组织结构；董事会及其所属委员会，特别是审计委员会发挥的职能；确定职权和责任的方法；管理者监控和检查工作时所用的控制方法，包括经营计划、预算、预测、利润计划、责任会计和内部审计；人事工作方针及其执行、影响本企业业务的各种外部关系。例如由银行指定代理人的检查等会计系统•会计系统规定各项经济业务的鉴定、分析、归类、登记和编报的方法，明确各项资产和负债的经营管理责任•健全的会计系统应实现下列目标：鉴定和登记一切合法的经济业务；对各项经济业务按时进行适当分类，作为编制财务报表的依据；将各项经济业务按适当的货币价值计价，以使列入财务报表；确定经济业务发生的日期，以便按照会计期间进行记录；在财务报表中恰当地表述经济业务以及对有关内容进行揭示控制程序•管理当局所制订的用以保证达到一定目的的方针和程序•包括下列内容：经济业务和经济活动的批准权；明确各个人员的职责分工，防止有关人员对正常业务图谋不轨的隐藏错弊；职责分工包括:指派不同人员分别承担批准业务、记录业务和保管财产的职责；凭证和账单的设置和使用，应保证业务和活动得到正确的记载：对财产及其记录的接触和使用要有何保护措施；对已登记的业务及其计价要进行复核15内部控制结构阶段内部控制结构阶段对于内部控制的发展的贡献主要体现在两个方面：•首次将控制环境纳入内部控制的范畴•不再区分会计控制和管理控制，而统一以要素来表述16内部控制整合框架阶段•1992年9月，COSO发布了著名的《内部控制——整合框架》，并于1994年进行了修订•该报告系内部控制发展历程中的一座重要里程碑，它对内部控制下了一个迄今为止最为权威的定义：“内部控制是由主体的董事会、管理层和其他员工实施的，旨在为经营的效率和有效性、财务报告的可靠性、遵循适用的法律法规等目标的实现提供合理保证的过程。”17内部控制整合框架阶段内部控制是一个过程，它是实现目标的手段，而不是目标本身内部控制是由人员来实施的，它并不仅仅是政策手册和表格，还涉及组织中各个层级人员的活动内部控制只能为主体目标的实现提供合理保证，而不是绝对保证内部控制被用来实现一个或多个彼此独立又相互交叉的类别的目标，内部控制目标包括经营目标、财务报告目标和合规目标18监控控制环境风险评估控制活动信息与沟通19内部控制整合框架阶段COSO报告还明确了内部控制的内容，即内部控制包括五个相互独立而又相互联系的构成要素控制环境风险评估控制活动信息与沟通和监控内部控制整合框架阶段20COSO内部控制整合框架企业风险管理整合框架阶段•2004年9月，COSO发布了《企业风险管理——整合框架》（简称ERM框架）•该框架指出，“全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项、管理风险，以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证”。21•这一阶段的显著变化是将内部控制上升至全面风险管理的高度来认识•基于这一认识，COSO提出了战略目标、运营目标、报告目标和合规目标等四类目标，并指出风险管理包括八个相互关联的构成要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控企业风险管理整合框架阶段22企业风险管理整合框架企业风险管理整合框架阶段目标•ERM框架不仅涵盖了内部控制框架中的经营、财务报告和合规三个目标，而且还新提出了一个更具管理意义和管理层次的战略管理目标，同时还扩大了报告的范畴内容•ERM框架除了包括内部控制整合框架中的五个要素外，还增加了目标制定、风险识别和风险应对三个管理要素概念•ERM框架提出了两个新概念——风险偏好和风险容忍度观念•ERM框架提出了一个新的观念——风险组合观23整合框架的创新点内部控制的现实意义•衡量一项制度的价值，不在于其历史渊源多么长久，而在于其在当今社会是否具有普遍的现实意义•随着生产力的发展、企业经营方式的改变、企业制度的变迁，内部控制在企业经营管理活动中的重要性越发凸显，已经逐渐成为企业防范和抵御风险的有效屏障和保障企业实现健康、科学、可持续发展的保护伞2425内部控制的现实意义内部控制作为组织内部的一种制度安排，意义有以下三点：1实施内部控制有助于提升企业管理水平2实施内部控制有助于提高企业的风险防御能力3实施内部控制有助于维护社会公众的利益我国内部控制法规的发展1985年《会计法》对会计稽核所作出的规定，是我国首次在法律文件上对内部牵制提出的明确要求1996年6月，财政部颁发了《会计基础工作规范》1997年5月，我国专门针对内控的第一个行政规定出台，中国人民银行颁布了《加强金融机构内部控制的指导原则》，其中要求金融机构建立健全有效的内部控制运行机制。该指导原则对于金融机构内部控制的建设意义重大，为我国金融机构的内部控制制度建设和发展奠定了基础26我国内部控制法规的起步阶段我国内部控制法规的发展亚洲金融危机影响下我国内部控制法规的发展•1999年10月新修订的《会计法》颁布，该法在第二十七条中明确提出：“各单位应当建立、健全本单位内部会计监督制度，单位内部会计监督制度应当符合下列要求：记账人员与经济业务事项和会计事项的审批人员、经办人员、财物保管人员的职责权限应当明确，并相互分离、相互制约；重大对外投资、资产处置、资金调度和财产清查的范围、期限和组织程序应当明确；对会计资料定期进行内部审计的办法和程序应当明确。”27我国内部控制法规的发展SOX法案推动下的我国内部控制法规建设•2004年底和2005年6月，国务院领导就强化我国企业内部控制问题作出重要批示，要求“由财政部牵头，联合有关部委，积极研究制定一套完整公认的企业内部控制指引”28金融危机和后危机时代我国内部控制法规的完善•2008年5月，财政部等5部委联合发布了《企业内部控制基本规范》，要求2009年7月1日起在上市公司范围内施行，并且鼓励非上市的大中型企业也执行基本规范•2010年4月15日，财政部等5部委出台《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》，要求2011年1月1日起在境内外同时上市的公司实行，在上海证券交易所、深圳证券交易所主板上市公司2012年1月1日起施行，并择机在中小板和创业板上市公司施行，同时也鼓励非上市大中型企业提前执行我国企业内部控制规范的框架体系•2008年5月22日，财政部会同证监会、审计署、银监会、保监会出台《企业内部控制基本规范》（以下简称“基本规范”）•2010年4月15日，又发布了《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》。内部控制基本规范和配套指引的发布，标志着我国内部控制规范体系的形成，是我国内部控制制度发展的里程碑29我国企业内部控制规范的框架体系基本规范•内部控制体系的最高层次，起统驭作用•三大指引之间既相互独立，又相互联系，形成一个有机整体应用指引•对企业按照内部控制原则和内部控制五要素建立健全本企业内部控制所提供的