内部控制培训(徐荣才)

内部控制审计主讲：徐荣才1内部控制审计：概念、目的和意义一、概念内部控制审计是企业内部控制为审计对象而独立进行的审计项目。内部控制审计和内部控制测评：区别和联系区别：内部控制测评是日常审计程序的一个环节。无论是国家审计还是内部审计或者民间审计，在审计实施过程中都需要进行内部控制测评。其目的是为了了解企业内部控制是否健全，有否有效，从而确定审计的重点、范围和审计抽样的样本数量等等。而内部控制审计则是一个单独的审计项目，有一个完整的审计程序，而不只是一个审计程序中的一个环节。联系：无论是内部控制审计和内部控制测评，其内容基本是一致的，那就是要对内部控制的健全性、合理性、有效性进行评价。(一)健全性是指企业的内部控制制度是否全面、完整；(二)合理性是指企业内部控制制度是否符合国家有关规定，是否存在缺陷，是否提高企业的经济效益；(三)有效性是指企业的内部控制是否得到有效执行。2二、目的此目标与内部控制的目标是一致的。有这样一句歇后语，叫“瞎子打枪——漫无目标”，漫无目标的内部控制措施，犹如瞎子打枪，总是无效的，甚至增加企业的成本，导致不必要的浪费。内部控制总要服务于特定的目的，它是企业管理部门建立内部控制所要达到的预期目的和效果。概括一下，内部控制目标有下面几个：——保证信息的可靠性和完整性我们做任何的决策是需要收集来自各方面的信息，它是作出正确决策的依据。随着组织规模的日益扩大，业务日趋复杂，信息系统也变得越来越重要。信息系统一般分为两信息资料的真实、可靠性资产的安全、完整经济有效地使用资源提高经营效率和效果遵守国家有关法律法规和组织内部制度规章制度内部控制审计目的3大系统：会计信息系统和经营信息系统。会计信息系统生成包括管理人员使用的预算报告和成本报告在内的一系列财务报告。经营信息系统则收集经营活动各方面的信息，并生成各层次的经营活动报告、责任报告等等。这些信息是否真实、可靠，直接关系到组织决策是否科学性、准确。因此，保证信息系统产生的信息真实性和可靠性是内部控制的重要目标，这对于管理层制定决策是非常重要的。需要提醒你的是虽然信息是个宝，但还要用得巧！——提高经营的经济性和有效性“资源的稀缺性”是经济学的一个基本概念。这一概念指的是用于满足人们需要的资源是有限的。它也适用于各个单位，各单位在经营过程中应尽可能减少组织有限资源的耗费，来实现理想的成本水平和效益水平。设备开工不足、人员浪费、费用支出混乱都会对组织造成危害。组织的经济性和有效性并不能在经营过程中直观的反映出来，这一点是审计人员在评价内部控制的过程中必须要注意到的。——保证遵守政策、计划、程序、法律和法规法律、法规来源于组织外部，政策、计划和程序则是由管理层制定的。遵守这一系列规章制度是为了保证组织有计划、系统有序地开展经营活动。内部审计人员要审查企业及员工对这一系列规章制度的遵循情况，此外还要评价管理层制定地政策、计划和程序的适当性。评价政策、计划和程序的适当性是核心所在，也是进行符合性测试的一个必要前提。可以试想一下，如果构成内部控制制度的计划、程序本身已经不适当，那么对内部控制的4符合性测试也就成了无本之木，可是没有丝毫意义的。——保护资产的安全、完整资产是企业经营活动不可缺少的物质条件。保证资产的安全完整是组织开展经营活动的基础，是任何经济组织赖以生存和发展的必要条件。资产管理各个环节缺少有效的内部控制，往往会造成企业资产大量流失，使单位蒙受重大损失。健全完善的内部控制可以通过科学有效的监督和制约措施，确保资产的安全完整，提高使用效率。企业需要建立有效的内部控制，对资产的验收、保管、领用、清查、记录等环节实施控制，防止和减少盗窃等非法行为，减少浪费，提高资产使用效率。三、意义了解内部控制的执行情况评价内部控制的效率性和效果性对内部控制提出整改意见和建议促进内部控制整改内部控制审计意义5内部控制审计：对象和内容内部控制审计的对象，应当是企业的整个内部控制体系，而不能仅局限于内部控制制度。内部控制制度和内部控制体系：还是我们一起先来了解一下内部控制演进的历史吧！——内部牵制你知道吗?内部控制为我们大家所熟悉，作为一个完整的概念被提出是在上个世纪，但在我们人类社会经济发展的过程中，其实早就存在着内部控制的雏形——内部牵制。昀早是在我国西周时期，统治者为防止掌管财物的官吏贪污、盗窃或弄虚作假，就有关于“一毫财赋之出入，数人耳目之通焉”的记载。在国外，古罗马帝国宫廷库房采取的双人记账制度规定，一笔经济业务发生后要由双人同时记录在账簿上，并定期进行对比考核，审查有无错弊，从而达到控制财产收支的目的。15世纪末出现的借贷复式记账法则标志着内部牵制已走向了成熟。纵观这一阶段的内部牵制，它主要是以查错防弊为目的，以钱、账、物等会计事项为主要控制对象，想一想，这大概就是现代内部控制中有关组织控制、职务分离控制的雏形吧！。——内部控制制度进入20世纪，资本主义经济获得迅速发展，特别是40年代以后，随着科技和生产自动化的迅速发展，大型跨国公司不断涌现，竞争日趋激烈，使得各级管理人员不得不进行全面企业管理的研究与探索。企业经营管理者在实践中促使内部控制从对单项经济活动进行独立控制为主向对全部经济活动进行系统控制为主发展，进而形成了包括组织结构、业务程序、岗位职责、处理手续、检查标准、人员条件和内部审计等在内的涵盖范围更广、运行机制更为严密的控制系统。在实践中，人们对内部控制的认识不断深化，推动了人们内部控制的理论研究。1949年，美国会计师协会的审计程序委员会在《内部控制，协调系统诸要素及其管理部门和注册会计师的重要性》的报告中，首次对内部控制作了权威性定义：内部牵制内部控制制度内部控制结构内部控制整体框架6这个定义及其相应的解释，当时被普遍认为是对认识内部控制这一概念的重大贡献，当然喽！在此之前，内部控制概念可从未受到如此的重视。但是这个定义过于宽泛，1958年10月该委员会发布的《审计程序公告第29号》对内部控制定义重新进行表述，将内部控制划分为会计控制和管理控制。内部会计控制由组织计划和所有保护资产、保护会计记录可靠性或与此有关的方法和程序构成。这个控制包括授权与批准制度、从事财务记录和审核与从事经营或财产保管职务分离的控制、财产的实物控制和内部审计。管理控制由组织计划和所有为提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此直接有关的方法和程序构成。它通常只与财务记录间接相关。这些控制一般包括工作节奏研究、经营报告、员工培训计划和质量控制等。——内部控制结构上世纪70年代以后，关于内部控制进一步从一般定义向具体内容深化。1988年美国注册会计师协会发布《审计准则公告第55号》(SAS55)，从1990年1月起取代1972年发布的《审计准则公告第1号》。公告首次以“内部控制结构”代替“内部控制”，指出“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”。内部控制具体包括三个要素，它们是控制环境、会计制度和控制程序。该公告的颁布和实施可视为内部控制理论研究的一个新的突破性成果。——内部控制整体框架时间进入20世纪90年代，内部控制进入了一个新阶段。1992年，美国“反对虚假财务报告委员会（又称Treadway委员会）”下属的专门研究机构——发起组织委员会(COSO)发布报告“内部控制——整体框架”，简称“COSO报告”。其中认为内部控制由五个要素组成，分别是控制环境、风险评估、控制活动、信息与沟通、监督。在这五个要素中，控制环境就像一把保护伞，对其它几个要素起着保护和制约作用。另一个方面，这五个要素相互关联，控制环境是所有员工在从事经营活动，履行控制职责的一种气氛，是其它要素的基础。如果没有一个良好的控制环境，其它四个要素无论质量如何，都难以保证形成有效的控制。在这种气氛下，管理部门评价影响实现企业目标的经营风险。控制活动的实施是为了确保管理部门针对风险作内部控制是企业所制定的旨在保护资产、保证会计资料可靠性和准确性，提高经营效率，推动管理部门所制定的各项政策得以贯彻执行的组织计划和相互配套的各种方法及措施。控制环境风险评估监督信息与沟通控制活动7出的指令得以贯彻执行。同时应收集包括财务信息在内的各种相关信息在企业进行沟通，另外管理当局还要对控制的全过程进行监督，并根据情况的变化进行修改。内部控制审计应不仅仅是对内部控制制度的审查和评价，而应当是对内部控制体系或者说内部控制整体框架的审计和评价1．控制环境审查与评价控制环境，是指对企业内部控制的建立和实施具有重要影响的因素的统称。控制环境的优劣直接决定着企业的各项控制措施能否执行及执行的效果。根据《内部审计具体准则第5——内部控制审计》第六条的规定：控制环境主要包括以下内容：审查与评价控制环境审查与评价风险管理审查与评价控制活动审查与评价信息与沟通内部控制审计内容8如果控制环境不好，一方面很难建立完备的内部控制；另一方面即使建立了完备的内部控制制度，也不会取得好的效果，也照样出问题，如巴林银行。控制环境主要包括的内容经济性质和经营类型管理层的经营理念管理层倡导的组织文化法人治理结构各项职责的分工及相应人员的胜任能力人力资源政策及其执行92、风险管理的审查与评价《风险管理框架》：“企业风险管理是一个过程。这个过程受董事会、管理层和其它人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业实现既定的目标。”要素——企业风险管理框架的构成企业风险管理由内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控八个相互关联的要素构成，各要素贯穿在企业的管理过程之中。¾事件识别不确定性的存在，使得企业的管理者需要对这些事项进行识别。而潜在事项对企业可能有正面的影响、负面的影响或者两者同时存在。有负面影响的事项是企业的风险，要求企业的管理者对其进行评估和反应。因此，风险是指某对企业目标的实观可能造成负面影响的事项发生的可能性。对企业有正面影响的事重点审查经营活动的复杂程度管理行为守则的健全性和有效性管理层对逾越既定控制程序的态度组织文化的内容及组织成员对此的理解与认同法人治理结构的健全性和有效性组织各阶层人员的知识与技能组织结构和职责划分的合理性重要岗位人员的权责相称程度及其胜任能力员工聘用程序及培训制度管理权限的集中程度员工业绩考核与激励机制10项，或者是企业的机遇，或者是可以抵消风险对企业的负面影响的事项。机遇可以在企业战略或目标制定的过程中加以考虑，以确定有关行动抓住机遇。可能潜在的抵消风险的和负面影响的事项则应在风险的评估和反应阶段予以考虑。¾风险评估风险评估可以使管理者了解潜在事项如何影响企业目标的实现。管理者应从两个方面对风险进行评估——风险发生的可能性和影响。风险发生的可能性是指某一特定事项发生的可能性，影响则是指事项的发生将会带来的影响。对于风险的评估应从企业战略和目标的角度进行。首先，应对企业的固有风险进行评估。确定对固有风险的风险反应模式才能够确定对固有风险的管理措施。其次，管理者应在对固有风险采取有关管理措施的基础上，对企业的残存风险进行评估。¾风险反应风险反应可以分为规避风险、减少风险、共担风险和接受风险四类。规避风险是指采取措施退出会给企业带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或两者同时减少。共担风险是指通过转嫁风险或与他人共担风险，降低风险发生的可能性或降低风险对企业的影响。接受风险则是不采取任何行动而接受可能发生的风险及其影响。对于每一个重要的风险，企业都应考虑所有的风险反应方案。有效的风险管理要求管理者选择可以使企业风险发生的可能性和影响都落在风险容忍度之内的风险反应方案。选定某一风险反应方案后，管理者应在残存风险的基础上重新评估风险，即从企业总体的角度，或者组合风险的角度重新计量风险。各行政部门、职能部门或者业务部门的管理者应采取一定的措施对该部门的风险进行复合式评估并选择相应的风险反应方案。¾监控对企业风险管理的监控是指评估