第七章 内部控制及其测试

D/J/D/J第七章内部控制及其测试邓晶cqmudj@126.com教学目的•了解内部控制的含义；•掌握内部控制的构成要素；•了解与评价内部控制；•熟悉管理建议书的作用和撰写。cqmudj@126.com第一节内部控制概述一、内部控制的概念内部控制：是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。包括控制环境、会计系统和控制程序。cqmudj@126.com•被审计单位管理当局有责任建立、健全内部控制。•主要作用表现：–保护财产物资的安全、完整和有效使用；–保证各项经济资料正确、可靠，成为审计工作所依赖的工作基础；–促进企业经营效率的提高和经营目标的实现；–有利于审计人员开展工作。cqmudj@126.com•内部控制的局限性：–内部控制的建立和运行受制于成本—效益原则；–大多数内部控制仅针对经常发生的事项；–执行人员的粗心大意、精力分散、判断失误以及对指令的误解而失效；–可能因某些与内部控制制度相关的人员共同勾结、舞弊而失效；–内部控制可能因执行人员滥用职权或屈从于外界压力而失效；–某些经营环境或业务性质的变化可能导致内部控制失去作用。cqmudj@126.com二、内部控制的目标1.保证业务活动按照适当的授权进行。2.保证所有交易和事项以正确的金额在恰当的会计期间及时记录于适当的账户，使会计报表的编制符合会计准则的相关要求。3.保证对资产和记录的接触、处理均经过适当的授权。4.保证账目资产与实存资产定期核对相符。cqmudj@126.com三、内部控制的要素（一）控制环境1、经营管理观念、方式和风格；2、企业的组织结构；3、审计委员会；4、授权和分配责任的方法；5、管理控制方法；6、内部审计；7、企业的用人政策；8、外部影响。cqmudj@126.com（二）风险评估过程（三）信息系统与沟通（四）控制活动1、交易授权2、职责划分3、凭证与记录控制4、资产接触与记录控制5、独立稽核（五）对控制的监督cqmudj@126.com课堂练习资料1：交大公司会计主管小刚与出纳小文经过交往于最近结婚，公司经理在婚礼上对这对伉俪说：祝你们在生活和工作上都能珠联璧合，为公司做出更大的贡献。资料2：班主任小王于期末寄送成绩报告单给学生，并以现金支付邮费100元，返回后直接凭发票到财会部门作了报销。资料3：某企业厂长经常出差联系业务，回厂后根据发票填制差旅费报销单，在领导批示栏内由厂长自己直接签署同意报销。cqmudj@126.com四、内部控制的表述（一）文字说明法特征：（1）系统中每种凭证和记录的来源。（2）已发生的所有处理过程。（3）系统中每种凭证和记录的处置。（4）与控制风险相关的控制程度。cqmudj@126.com（二）调查表法将那些与保证会计记录的正确性和可靠性以及与保证财产物资的完整性有密切关系的事项列为调查对象，由审计人员设计成标准化的调查表，并利用表格形式，通过询证来了解内部控制的强弱程度。cqmudj@126.com（三）流程图法用特定的符号和图形，将内部控制中的各种业务处理手续以及各种文件或凭证的传递流程，用图解的形式直观地表现。cqmudj@126.com第二节内部控制的了解与评价一、内部控制的了解（一）对控制环境的了解1、对诚信和道德价值观念的沟通与落实；2、对胜任能力的重视；3、治理层的参与程度；4、管理层的理念和经营风格；5、组织结构及职权与责任的分配；6、人力资源政策与实务。cqmudj@126.com（二）对风险评估过程的了解•注册会计师在对被审计单位整体层面的风险评估过程进行了解和评估时，考虑的主要因素包括：–被审计单位是否已建立并沟通其整体目标，并辅助以具体策略和业务流程层面的计划。–被审计单位是否已建立风险评估过程。–被审计单位是否已建立某种机制识别和应对可能对被审计单位产生重大影响的变化；–会计部门是否建立某种流程识别会计准则的重大变化；–当被审计单位业务操作发生变化并影响交易记录的流程时，是否存在沟通渠道以通知会计部门；–风险管理部门是否建立了某种流程识别经营环境和监管环境发生的重大变化。cqmudj@126.com（三）对信息系统与沟通的了解•1、对信息系统的了解•2、对沟通的了解包括：–管理层就员工的职责和控制责任是否进行了有效地沟通；–针对可疑的不恰当事项和行为是否建立了沟通渠道；–组织内部沟通的充分性是否能够使人员有效地履行职责；–对于与客户、供应商、监管者和其他外部人士的沟通，管理层是否及时采取适当的进一步行动；–被审计单位是否受到某些监管机构发布的监管要求的约束；外部人士如客户和供应商在多大程度上获知被审计单位的行为准则。cqmudj@126.com（四）对控制活动的了解在了解控制活动时，注册会计师应当重点考虑一项控制活动单独或连同其他控制活动，是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。cqmudj@126.com（五）对内部控制监督的了解（1）被审计单位是否定期评价内部控制；（2）被审计单位人员在履行正常职责时，能够在多大程度上获得内部控制是否有效运行的证据；（3）与外部的沟通能够在多大程度上证实内部产生的信息或者指出存在的问题；（4）管理层是否采纳内部审计人员和注册会计师有关内部控制的建议；（5）管理层是否及时纠正控制运行中的偏差；（6）是否存在协助管理层监督内部控制的职能部门。cqmudj@126.com案例分析：郑州亚细亚的兴衰cqmudj@126.com对“亚细亚”内部控制失败的系统分析1、控制环境失败（1）经营者品行、操守、价值观•“海南商联”，郑亚集团没有投资，法人代表是王xx本人。郑亚集团公司重事会作出决定，委托海南商联管理和经营郑亚集团股份公司；并在郑亚集团董事会1995年6月28目的会议纪要中，明确规定“董事会同意公司经营者（海南商联）按销售额1%的比例提取管理费。于是就形成了海南商联受托经营郑亚集团的运作模式，并与郑亚集团一套人马，两块牌子，总部设在广州。从此总经理在外地遥控实施对郑亚集团和商场的管理。王xx既是海南商联的法人代表，又是郑亚集团的总经理，可以随意抽调人员与资金。这种制度安排的结果是亚细亚的信誉和人员被海南商联利用，亚细亚的经营利润被海南商联占有，而这一切都是无偿的.cqmudj@126.com•（2）董事会•在郑亚集团公司内部，董事会一直处于瘫痪状态。郑亚集团公司的注册日期是1993年10月，但直到1995年6月才最后确立。在近两年的时间里，集团公司决策层一直处于不断演变的状态之申，没有按章程规范化运作，董事会从未召集董事们就重大决策进行过表决，凡事都由总经理王xx一人拍板。1995年初，亚细亚的主要股东中原不动产公司董事长易人，新任重事长认为前任批准的股权转让造成公司资产流失，不予承认，表示股权纠纷问题不解决就不参加董事会。从此，郑亚集团最高决策机构、监督机构陷于瘫痪。比如，冠名权展于无形资产，其转让照理应该经董事会讨论通过，但实际上是王xx一个人说了算，只要他签字同意，别人就可建个“亚细亚”，如许昌、安阳、洛阳、商丘的亚细亚都是他签字同意的。在郑亚集团，总经理成了国王，董事会如同虚设。cqmudj@126.com•（3）企业的用人政策•1.以貌取人。1995年底，广州、上海、北京三地大型商场相继开业，管理人员严重不足。亚细亚从西安招聘了几百名青年，经过短期培训后，准备派往三地。由于不了解个人情况，只好对名观相，五官端正、口齿清楚的派往广州、上海或北京的商场当经理或处长，其他人员则当营业员。•2.随意用人。亚细亚商场艺术团的报幕员周XX，不值管理不会看帐，被任命为开封亚细亚商场的总经理。•3.任人唯亲。亚细亚某领导的一位表弟，原郑州市郊的农民，被任命为北京一家大型商场总经理；某领导的两位妻弟，山东农民，也被委以重任；就连他家的小保姆也被任命为亚细亚集团配送中心的财务总监。•4.排斥异己。亚细亚曾有四位年轻的副总，因他们不附和总经理的意见，在1990年借故被派往外地办事处。1991年夏，亚细亚驻外办事处撤销，四位副总返回商场时，他们的位置已被别人取代，接着半年闲试，被调离商场。cqmudj@126.com2、对风险评估和把握问题•第一是“对市场认识不足，对形势认识不足”。在我们前进的过程中，不但遇到了国内商业同行的压力，而且国外零售业的大举进入也给我们造成了很大的冲击，导致我们认为较先进的经营模式一下子就被冲得体无完肤。•第二是“过于自信、乐观、想当然，其结果是骄兵必败”。•第三是“面对零售业艰难的状况，我们的应变能力差，整个经营进入死胡同，最后到了山穷水尽的地步”。•第四是“抗风险能力差，一近事阵脚就乱了。”这几个教训说明，在郑亚集团管理层的思想中缺乏风险概念，没有设置风险管理机制，因此抗险能力极低。cqmudj@126.com3、信息系统与沟通•在郑亚集团内部，信息沟通系统几乎不存在。据称，集团内部一不需要成本信息二不计算投资回收期及投资回报率，三不收集市场方面的信息。会计信息系统由管理层随意控制队资金被大量挪用，却不知去向何方。在郑亚集团，信息系统已经不再是一个管理和控制的工具，而是上层管理人员的话筒，信息随其意愿而变。cqmudj@126.com4、缺乏适当控制活动•郑亚集团运作中几乎不存在控制活动，或者即使存在所谓的政策和程序，也是名存实亡，未实际发生作用。且看一组数据：亚细亚一年一度的场庆花费都超70万元；集团某股东从郑亚商场借出800万元，连借条也没有，后来归还300万元，剩余500万元商场帐面和收据显示是“工程款”；集团另一个股东1993年借走商场57万元，也无人催要；1997年，郑亚商场管理费用就高达18.6亿元。郑亚集团的控制活动若此，何以确保管理层的指令得以实现？cqmudj@126.com5、内部监督缺乏•在亚细亚，自开业以来，没有进行过一次全面彻底的审计。偶尔的局部的内部审计中曾发现几笔几百万元资金被转移出去的事，后来也不了了之。任何事情都是总经理说了算，属下当然包括内部审计人员在内，全无发言权，可见内部监督极度缺乏是既成事实。cqmudj@126.com二、内部控制的评价（一）评价内部控制的健全性内部控制的健全性：一是指企业已根据生产经营的需要设置了完整的内部控制制度，且该制度能对生产经营活动的全过程实施控制；二是指内部控制制度的设计是适用和经济的，能以合理的代价真正起到事先控制的作用。cqmudj@126.com•评价内部控制是否健全的方法和步骤：1、设计合理的内部控制评价模式2、调查内部控制的现状3、评价内部控制的健全性cqmudj@126.com（二）评价内部控制的有效性内部控制的有效性：一是指企业的内部控制政策和措施未与国家的法律法规相抵触；二是健全的内部控制能够得到贯彻执行并发挥作用。•内部控制有效性与健全性的关系：有效性以健全性为基础；健全性以有效性为目的。cqmudj@126.com评价内部控制的有效性1、符合性测试的种类（1）同步符合性测试：是审计人员取得对内部控制的了解时，同时执行的测试。（2）追加符合性测试：在外勤工作中执行，其目的是为了进一步降低审计人员对控制风险的估计水平。（3）计划符合性测试：在外勤工作中执行，在选用较低的控制风险估计水平下必须执行这种测试，其目的是为了支持审计人员计划的实质性测试水平。cqmudj@126.com2、符合性测试的性质•符合性测试的性质：是指测试时采用什么样的审计程序。•具体包括：–检查交易和事项的凭证、账簿和报告；–询问被审计单位有关人员；–重新执行相关内部控制程序；–观察相关的活动。cqmudj@126.com3、符合性测试的时间：期中后期4、符合性测试的范围：审计人员执行符合性测试时，范围并不是越大越好，而是要求审计人员从最经济、有效地实现审计目标的总体需要出发，合理确定符合性测试的范围，其大小直接受计划控制风险评估水平的影响。cqmudj@126.com（三）评价内部控制制度的风险水平控制风险评价：是指评价内部控制防止、发现和纠