《 内部控制及其测试与评价（PPT 48页） 》

内部控制及其测试与评价第一节内部控制概述一、内部控制理论的发展（一）“内部牵制”阶段以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织的责任分工，每项业务通过正常发挥其他个人或部门的作用和功能进行交互检查或控制。例如把保险柜的钥匙交给两个以上工作人员持有。如果不同时使用这两把以上的钥匙，保险柜就打不开。第一节内部控制概述（二）“内部控制”阶段20世纪40年代到70年代初，在内部牵制思想的基础上产生了内部控制制度的概念。在这个阶段中，内部控制制度的范围已超出了直接与会计和财务部门功能有关的内容范畴，具体包括会计控制和管理控制两大部分。其中会计控制是指与财产安全和财产记录可靠性有直接联系的方法和程序，如授权批准控制、不相容职务控制、财产接触控制和内部审计等；管理控制是指与提高经营效率和贯彻管理方针有关的方法和程序，如统计分析、动态研究、业绩报告、雇员培训计划和质量控制等。第一节内部控制概述（三）“内部控制结构”阶段美国注册会计师协会于1988年5月发布了《审计准则公告第55号——在财务报表审计中对内部控制结构的考虑》。该公告指出：“企业的内部控制结构包括企业为实现特定目标提供合理保证而建立的各种政策和程序。”公告认为内部控制结构由三个要素构成:控制环境、会计系统和控制程序第一节内部控制概述（四）“内部控制整体框架”阶段进入20世纪90年代后，人们对内部控制的研究又进入了一个全新的阶段。1992年，美国“反对虚假财务报告委员会（TreadwayCommission）”下属的由美国会计学会、注册会计师协会、国际内部审计人员协会、财务经理协会和管理会计学会等组织参与的“发起组织委员会（CommitteeofSponsoringOrganizationoftheTreadwayCommission，简称COSO）”发布了指导内部控制实践的纲领性文件——《内部控制——整体框架》。这份报告堪称内部控制发展史上的又一里程碑。报告指出：“内部控制是由企业董事会、经理层及其他员工实施的，为财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循性等目标的实现提供合理保证的过程。”同时提出了内部控制整体框架由控制环境、风险评估、控制活动、信息系统和沟通、监督五个相互联系的要素构成。第一节内部控制概述（五）“企业风险管理框架”阶段2004年9月，COSO发布了《企业风险管理框架》（EnterpriseRiskManagementFramework）。该框架就是在《内部控制——整体框架》报告的基础上，结合《萨班斯——奥克斯法案》（Sarbnes—OxleyActof2002）在报告方面的要求，明确提出企业风险管理是由企业董事会、管理层和其他员工共同参与的，应用于企业战略制定和企业内部各层次和部门的，用于识别可能对企业造成影响的事项，并在其风险偏好范围内管理风险，为企业目标的实现提供合理保证的过程。同时指出，企业风险管理框架由内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控八个相互关联的要素构成。第一节内部控制概述二、内部控制的内涵《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》将内部控制定义为“内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。”第一节内部控制概述可以从以下几方面理解内部控制：1.内部控制的目标是合理保证：（1）财务报告的可靠性，这一目标与管理层履行财务报告编制责任密切相关；（2）经营的效率和效果，即经济有效地使用企业资源，以最优方式实现企业的目标；（3）在所有经营活动中遵守法律法规的要求，即在法律法规的框架下从事经营活动。2.设计和实施内部控制的责任主体是治理层、管理层和其他人员，组织中的每一个人都对内部控制负有责任。3.实现内部控制目标的手段是设计和执行控制政策和程序。(看内部控制规范意见稿和上市公司内部控制制度例子)第一节内部控制概述三、内部控制的要素控制环境、风险评估、控制活动、信息系统和沟通、对控制的监督（一）控制环境控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。控制环境设定了被审计单位的内部控制基调，影响员工对内部控制的认识和态度。良好的控制环境是实施有效内部控制的基础。第一节内部控制概述构成控制环境的要素包括：1.对诚信和道德价值观念的沟通与落实对诚信和道德价值观念的沟通与落实既包括管理层如何处理不诚实、非法或不道德行为，也包括在被审计单位内部，通过行为规范以及高层管理人员的身体力行，对诚信和道德价值观念的营造和保持。例如，管理层在行为规范中指出，员工不允许从供货商那里获得超过一定金额的礼品，超过部分都须报告和退回。尽管该行为规范本身并不能绝对保证员工都照此执行，但至少意味着管理层已对此进行明示，它连同其他程序，可能构成一个有效的预防机制。第一节内部控制概述2.对胜任能力的重视胜任能力是指具备完成某一职位的工作所应有的知识和能力。3.治理层的参与程度治理层（董事会）对股东会负责，行使以下主要职责：（1）负责召集股东会，并向股东会报告工作；（2）执行股东会的决议；（3）决定公司的经营计划和投资方案；（4）制定公司年度财务预、决算方案；（5）制定公司利润分配方案，弥补亏损方案；第一节内部控制概述（6）制定公司增加或减少注册资本的方案；（7）拟定公司分立、合并、变更公司形式、解散及设立子公司等方案；（8）决定公司内部管理机构的设置；（9）聘任和解聘公司经理。根据经理的提名，聘任或者解聘公司副经理、财务负责人，决定其报酬事项；（10）制定公司的基本管理制度。(本职责源自《中华人民共和国公司法》，以有限责任公司为例。)治理层对控制环境影响的要素有：治理层相对于管理层的独立性、成员的经验和品德、对被审计单位业务活动的参与程度、治理层行为的适当性、治理层所获得的信息、管理层对治理层所提出问题的追踪程度，以及治理层与内部审计人员和注册会计师的联系程度等。第一节内部控制概述4.管理层的理念和经营风格管理层的理念包括管理层对内部控制的理念，即管理层对内部控制以及对具体控制实施环境的重视程度。管理层的经营风格是指管理层所能接受的业务风险的性质。例如，管理层是否经常投资于风险特别高的领域或者在接受风险力面极为保守，不敢越雷池一步。(对评估重大错报风险有意义)第一节内部控制概述5.组织结构及职权与责任的分配被审计单位的组织结构为计划、运作、控制及监督经营活动提供了一个整体框架。6.人力资源政策与实务政策与程序（包括内部控制）的有效性，通常取决于执行人。因此，被审计单位员工的能力与诚信是控制环境中不可缺少的因素。人力资源政策与实务涉及招聘、培训、考核、晋升和薪酬等方面。第一节内部控制概述（二）风险评估过程任何经济组织在经营活动中都会面临各种各样的风险。很多风险并不为经济组织所控制，但管理层应当确定可以承受的风险水平，识别这些风险并采取一定的应对措施。风险评估过程的作用是，识别、评估和管理影响被审计单位实现经营目标能力的各种风险。发展海外经营。海外扩张或收购会带来新的并且往往是特别的风险，进而可能影响内部控制，如外币交易的风险(包括汇率变动可能产生的损失或收益,可进行套期保值)。新的会计准则。采用新的或变化了的会计准则可能会增大财务报告发生重大错报的风险。第一节内部控制概述（三）信息系统与沟通信息系统与沟通是收集与交换被审计单位执行、管理和控制业务活动所需信息的过程，包括收集和提供信息（特别是履行内部控制岗位职责所需的信息）给适当人员，使之能够履行职责。信息系统与沟通的质量直接影响到管理层对经营活动作出正确决策和编制可靠的财务报告的能力。沟通可以采用政策手册、会计和财务报告手册和备忘录等形式进行，也可以通过发送电子邮件、口头沟通和管理层的行动来进行。第一节内部控制概述（四）控制活动控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。1.授权授权包括一般授权和特别授权。一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。特别授权是指管理层针对特定类别的交易或活动逐一设置的授权，如重大资本支出和股票发行等。特别授权也可能用于超过一般授权限制的常规交易。例如，同意因某些特别原因，对某个不符合一般信用条件的客户赊购商品。第一节内部控制概述2.业绩评价业绩评价主要包括被审计单位分析评价实际业绩与预算（或预测、前期业绩）的差异，综合分析财务数据与经营数据的内在关系，将内部数据与外部信息来源相比较，评价职能部门、分支机构或项目活动的业绩（如银行客户信贷经理复核各分行、地区和各种贷款类型的审批和收回），以及对发现的异常差异或关系采取必要的调查与纠正措施。第一节内部控制概述3.信息处理与信息处理有关的控制活动包括信息技术的一般控制和应用控制。信息技术一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行（包括信息的完整性和数据的安全性），支持应用控制作用的有效发挥，通常包括数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制。例如，程序改变的控制、限制接触程序和数据的控制、与新版应用软件包实施有关的控制等都属于信息技术一般控制。第一节内部控制概述信息技术应用控制是指主要在业务流程层面运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通常包括检查数据计算的准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。4.实物控制实物控制主要包括对资产和记录采取适当的安全保护措施，对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对。例如，现金、有价证券和存货的定期盘点控制。实物控制的效果影响资产的安全，从而对财务报表的可靠性及审计产生影响。第一节内部控制概述5.职责分离职责分离主要包括被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。（五）对控制的监督管理层的重要职责之一就是建立和维护控制并保证其持续有效运行，对控制的监督可以实现这一目标。监督是由适当的人员，在适当、及时的基础上，评估控制的设计和运行情况的过程。第一节内部控制概述四、内部控制的固有局限性内部控制存在固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证。内部控制存在的固有局限性包括：（一）被审计单位实施内部控制的成本效益问题会影响其效能.当实施某项控制成本大于控制效果而发生损失时，就没有必要设置控制环节或控制措施。（二）内部控制一般都是针对经常而重复发生的业务而设置的，如果出现不经常发生或未预计到的业务，原有控制就可能不适用。第一节内部控制概述（三）内部控制即便设计完善，也可能因执行人员的粗心大意、精力分散、判断失误以及对指令的误解而失效。（四）内部控制可能因有关人员相互勾结、内外串通而失效。（五）内部控制可能阴险执行人员滥用职权或屈从于外部压力而失效。（六）内部控制可能因经营环境、业务性质的改变而削弱或失效。第一节内部控制概述五、内部控制与审计的关系在确定内部控制与审计的关系时应当明确以下三点：1.审计人员在执行财务报表审计业务时，不论被审计单位规模大小，都应当对与审计相关的内部控制进行充分的了解。2.审计人员应当了解与审计相关的内部控制以识别潜在错报的类型，考虑导致重大错报风险的因素，以及设计和实施进一步审计程序的性质、时间和范围。第一节内部控制概述3.与审计相关的控制内部控制的目标旨在合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守。审计人员审计的目标是对财务报表是