内部控制测评技术与方法

内部控制测评技术与方法中国内部审计协会2006年至2010年工作规划一、工作方针：管理、服务、宣传、交流。二、总目标：1、推进内审工作基本实现从真实性、合规性为导向的财务审计为主向以内部控制和风险管理为导向的管理审计为主的全面转型与发展，促进内部审计事业逐步实现法制化、规范化、现代化。2、全面实现协会工作方式从行政管理型向服务自律型的转变，基本建立起符合我国社会主义市场经济要求和内部审计职业发展规律的职业自律体制和协会工作机制。三、发展完善准则建设工作，以“发展完善”与“组织实施”并重的原则，推进“实务指南”的起草和制作力度。四、加强内部审计理论方法研究。1、组建“内部审计研究中心”；2、组织编写《内部审计学》；3、举办理论研究成果交流会，就内部审计与公司治理、内部控制和风险管理、管理与效益审计、IT审计与相关领域发展的实践经验和研究成果开展开放式的交流；4、引进国外先进内部审计理论与方法，建立主要国家内部审计发展情况的资料库；5、制定内部审计工作质量评价指标体系；6、健全理论和方法研讨的机制，运用“论文评选”、“专题调研”、“典型调研”等多种形式，利用电子信息网络技术，提升研讨效果和效率；7、促进研究成果的利用和转化。五、加强内部审计职业化教育工作。1、并重“专业胜任能力”和“职业道德教育”；2、开展远程教育；3、开展案例教学；4、加大CIA的宣传和推广；5、规范内部审计资格证书的考试，统一考试大纲，制定考试办法和实施细则，规范考试工作；6、引进管理会计师的考试（CMA），拓宽内审高级管理人员的视野；7、规范各考试项目的管理，维护考试的严肃性和权威性；8、加强内审的宣传工作，办好内审网、《中国内部审计》会刊、加强与地方媒体的沟通与合作、做好2008年至2010年度两次全国内部审计“双先”评选活动；9、开展与国外组织和海峡两岸的交流；10、完善体制推动协会建设（发展单位会员、个人会员及行业设立分会）；11、全面加强秘书处建设，做好内审信息、内审咨询等工作（上海审计上海内审网）。多种形式依法开展审计工作提高审计工作效率1、基础审计2、专项审计3、审计专题调查4、审计信息5、审计科研1、基础审计——财政、财务收支审计（以经济活动真实、合法性为审计重点，揭露财政、财务收支活动中违法乱纪及造假等情况。）2、专项审计：（1）经济效益审计（以经济活动的经济性、效果性、效率性为审计重点，使经济活动在结构合理的前提下有质量的进行提升及可持续的发展。）（2）经济责任审计（以明确责任、监督过程、评价结果为审计重点。）（3）财经法纪审计（以查处专案为审计重点。）（4）管理审计（以完善法人治理结构为审计重点。）（5）环境审计（以保护自然及社会环境为审计重点，并注重环境成本的研究。环境成本指生产、使用、运输和回收过程中，为解决和补偿环境污染、生态破坏、资源流失所需费用之和。如在考虑环境成本的情况下产品的价格应由以下三部分组成：＜1＞制造产品的原料价格；＜2＞制造产品的劳动力成本及预期利润之和；＜3＞制造产品及使用该产品过程中对环境造成的危害。）（6）舞弊审计（以预防由于主观动机而损害国家或组织利益、谋取集体或个人利益为审计重点。）（7）固定资产投资审计（以预防重大投资项目资金损失、浪费为审计重点。其审计主要内容是：项目建设程序执行、项目资金来源与使用、项目财务收支情况及项目竣工决算等方面。）（8）内部控制审计（以强化组织内部日常管理、形成自律系统为审计重点，通过促进组织主动建立和加强良性的控制环境，引导、激励人们正确履行责任，实现组织目标，并将控制环境逐步融入组织文化体系。）(9)风险基础管理审计（以识别、评估和控制组织经营活动中出现的相关风险为审计重点，并根据各种经济活动的特点，建立一个长期运行有效的风险管理机制。）（10）其他（根据法律、法规规定和本单位主要负责人或者权力机构要求办理的其他审计事项）注意点：＊上述所有专项审计首先要解决好经济活动的真实、合法问题。其次紧紧围绕内部控制实施情况展开。再次明白上述各项审计内容彼此间有着密切联系。3、开展专项审计调查：对重点投资项目、对关系人民群众切身利益的财政专项资金使用情况、对组织运行中资金利用、内外部管理和协调、组织经营效益实现及降低组织运行风险等方面的热点及难点问题进行调查或开展绩效评估，等等。4、反映审计信息：及时反映在开展审计工作时发现的相关信息，为决策管理活动提出良好的审计建议。5、审计科研：打好审计理论及实践基础，实施审计发展的战略目标，合理运用审计工作成果（例：如何根据各行业特点来制定科学合理的内部审计制度、合理运用审计技术及评价方法等等）。可参见及阅读如《上海审计》、《中国审计》、《中国内部审计》等文章。审计工作思考体系1、知道是什么？2、知道为什么？3、知道谁去做？4、知道怎样做？开展内部控制审计工作的一些重要概念内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性，促进组织目标的实现。组织发展目标可包括：功能定位、产业结构、形态分布、和谐发展等内容。内部控制实施历程1、基于职责结构的内部控制将组织内部职责进行细分，并研究相互关系和建立制约关系。强调了不相容职务的分离。2、基于业务结构的内部控制将组织的业务类型进行细分，并研究相互关系，并建立关联和制约关系。内部控制的作用范围扩大到经营管理领域，形成了内部管理控制。3、基于组织结构的内部控制在管理层面上，将决策、执行、监督相分离；在业务层面上，将执行与监督相分离。第１、２者注重执行层面；第３者更注重整体性的战略管理特性。•4、基于风险结构的内部控制•内部控制不再局限于单项岗位、单项职责、单项业务、单项流程，而是要包括组织活动的全过程、全体人员，控制视角不仅包括几个关键控制点，还要包括所有可能诱发风险的所有活动上。•5、基于信息结构的内部控制•将基于职责结构、业务结构、组织结构、风险结构的内部控制与信息技术相集成。一是要利用信息技术对职责结构、业务结构、组织结构、风险结构的内部控制进行改造和调整。二是要使内部控制的运作方式信息化。形成一个适于组织的管理信息系统，包括审计管理系统和审计实施系统。对大型组织而言，可能需要高度集成化和网络化，例如集团化组织、跨国和跨地区的组织。•内部控制的内容发生了变化：1、“单要素”的内部控制——内部牵制，是内部控制的最初形态。特点：物理牵制、职责牵制、簿记牵制等。2、“两要素”的内部控制----内部会计控制和内部管理控制,包括组织机构和方法措施。特点是将管理问题纳入控制视野。3、“三要素”的内部控制(上世纪80年代)----控制环境、会计制度、控制程序。特点是以“框架”论取代“制度”。4、五要素内部控制(上世纪90年代)——控制环境、风险评估、控制活动、信息沟通、内部监控。特点是将内部审计引进内部控制视野。5、八要素内部控制（本世纪）——２００４年美国的防止虚假财务报告委员会提出了《企业风险管理框架》，将内部控制内容深化成八项要素：控制环境、目标确定、事件识别、风险评价、风险反应、控制活动、内部监控、信息沟通。特点：内部控制框架与企业风险管理框架相融合。内部控制的演进对内部审计影响1、使内部审计具有双重身分。内部审计既在内部控制之中，又在内部控制之外，发挥着其它监控机制所不能发挥的作用。如开展内部控制自我评估工作。2、使内部审计的工作重心发生变化。内部控制发展对内部审计工作内容产生了决定性的影响。单要素内部控制关心资产及其记录的安全。两要素内部控制进一步关心资产及其记录安全性之外的管理问题。三要素内部控制开始关注控制环境。五要素内部控制又将控制重心转向组织的风险领域。八要素内部控制实际上是从企业风险管理的角度来看待内部控制，将内部控制与风险管理融为一体。３、使内部审计关注的领域发生变化。凡是决策层、管理层、外部利益相关人关注的领域，理当成为内部审计关注的对象和有所作为的领域，如风险管理、经营管理、效率管理等领域。４、使内部审计的实务类型发生了变化。内审实务中出现了风险导向、管理导向、经营导向、业务导向、业绩导向等内部审计类型。５、使内部审计理论迅速给予更新。以风险管理为例：比较传统的观点和实务是内部审计部门需要评估组织的风险管理体系，出具评估风险的报告。比较激进的观点和实务是直接评估和报告风险。我国将全面推进及实施内部控制制度1、满足外部监管机构的要求；2、完善业务流程，提高公司管理和控制水平与效率；3、完善规章制度，明确职责，加强监督；4、更好的理解企业所面领的风险，有效地规避风险；5、全面风险管理将成为企业管理的标准规范。中国《企业内部控制基本规范》是我国实行内部控制规范性的文件财政部会同证监会、审计署、银监会、保监会，于2008年6月28日正式发布《企业内部控制基本规范》（以下简称《内控规范》，2009年7月1日起强制在上市公司范围内实施（现在已修改执行日期）；为了配合《企业内部控制基本规范》的施行，财政部、证监会、审计署、银监会、保监会又联合发布了《企业内部控制评价指引》、《企业内部控制应用指引》和中注协主持起草的《企业内部控制鉴证指引》等配套规范的征求意见稿，届时我国上市公司的内部控制的建立和评审的体系就基本确立。根据财政部、证监会、审计署、银监会、保监会关于印发《企业内部控制基本规范》的通知，《企业内部控制基本规范》（以下简称“基本规范”）自2009年7月1日（原决定）起在上市公司范围内施行，鼓励非上市的大中型企业执行。根据本规范第一章总则第二条，本规范适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。大中型企业和小企业的划分标准根据国家有关规定执行内部控制基本规范。确立内部控制审计目标一、审计总目标：适当、合法、有效。内部控制审计总目标：健全、合理、有效。二、审计的具体目标的制定：必须是十分明确而具体的，易于理解并且可以实现的。有两种表达方式：一是将审计目标写成审计之后要达到的一种状态。二是列示一些问题，审计之后要对这些问题进行回答。一般审计具体目标：1、存在性；2、准确性；3、完整性；4、所有权；5、合法性；6、估价；7、截止期；8、披露(根据各审计项目要求还需进一步细化）。内部控制审计的具体目标：（1）授权（2）真实性（3）完整性（4）计价（5）截止期（6）分类（7）过账和汇总。上述具体目标根据各审计项目要求还可进一步细化,并将其内容体现在审计方案中。中国实施内部控制五要素内容（我国目标体系与COSO的对比）明确内部控制五大原则•（一）全面性原则•内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。•内部控制应覆盖企业的各项业务活动、各个部门和各级人员，并应针对业务处理过程中的关键控制点，将内部控制活动渗透到决策、执行、监督等各个经营环节，即要在企业内部实行全过程、全员性的控制，不能存在内部控制活动的空白点。•（二）重要性原则•重要性原则要求企业在对各项经济业务活动实施全面控制的基础上，要有针对性的关注重要的业务领域和可能面临较高经营风险和财务风险的业务活动。•对重要性的应用需要一定的专业判断，企业应当根据所处行业环境和自身经营特点，从业务活动的性质和涉及金额两方面来考虑是否需实行重点内部控制。（详后重要性标准）•重要性评定标准有数量和质量两方面的特征，根据行业特点制定。以下供参考•1、制度健全性：90%以上，健全；80—89%，基本健全；79%以下，不够健全。•2、资产负债差错率2%以内真实；2%-5%基本真实；5%以上不真实。•3、损益差错率5%以内真实；5%-10%以内基本真实；10%以上不真实。•4、所有者权益差错率0.5%以内，真实；0.5%-1%，基本真实；1%以上不真实。•（三）制衡性原则•内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。•制衡性原则强调企业的机构、岗位设置和权责分配应当合理并符合内部控制的基本要求。确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。•横向：完