第六章 内部控制制度及评审

COMPANYNAME审计实务第六章内部控制制度及其测试与评价2课时会计6年冒领工资470万6年间冒领工资470万元，并用赃款买了一座总价500多万元的豪宅，朝阳区青少年活动中心50岁的女会计郭萍，以贪污罪判处郭萍有期徒刑15年。郭萍于1999年11月至2006年5月间，编造领薪人员，私立工资账户，在本单位冒领工资共计473万元据为己有。据本案公诉人、北京市检察院第二分院的检察官介绍，郭萍能成功冒领工资，是因为她掌握着全中心人员工资明细的软盘。这张软盘由郭萍一人制作并交到银行，其他财务人员很难接触到。然而百密一疏，在2006年5月的付薪日，郭萍因为要去开会脱不开身，她破天荒地把工资明细盘交给了财务处的同事。这位细心的同事发现表中赫然列着郭萍哥哥的名字。一个令人瞠目的贪污大案就这样被揭开了。一个小小的会计，如何能欺上瞒下多年？朝阳区青少年活动中心是朝阳教委下属的事业单位，中心有很多外聘教师，具体人员连中心领导都难以计数，这就为郭萍贪污提供了可乘之机，要不是有同事凑巧知道郭萍哥哥的名字，此案恐怕难被发觉。郭萍冒领的都是活动中心支付外聘教师的讲课费。利用负责制作工资明细表并核发工资的职务便利，郭萍6年中开设了12个虚假工资账户，她将12个假冒姓名的账户，加入工资明细表中，再存入软盘交到银行，银行根据明细内容，将工资打入每人的工资卡里。12个账户中，包括了郭萍的哥哥、嫂子、前同事和朋友及用假名开的账户。正常的工资发放应该是郭萍把明细盘打完后交给出纳，出纳核实无误后再把工资明细盘交给银行，但实际上，这么多年来就是郭萍一人把持着工资单的明细。每次发工资，郭萍只是口头告知出纳工资总额，拒绝给出纳看明细单。模仿签字虚报发票贪污20万利用掌握单位财务公章的权利，李某先后20次以单位名义开具了虚假发票，并模仿单位负责人和经办签字，盖公章报销，这一行为持续了14个月，共骗取了公款20万元。李某44岁，是昌吉州某事业单位的一名会计。去年初，李某在一次购物时无意发现某商家为一家单位开具了发票，而开具发票的人称自己并没有买过东西，只是花点小钱开发票后让单位报销。得知这一“妙计”后，李某就常思量：自己是单位的会计，掌握着财务公章，假如自己这么做，报销起来会更方便。去年3月18日，她感觉时机成熟，第一次开具了6000多元的材料款，模仿单位领导和经办人的笔迹签了字，盖上公章入了单位账目后，顺利地领到了现金。直至今年5月底，李某共报销了住宿票、餐票、材料和办公用品等发票20余万元。今年6月10日晚上，该单位负责人和出纳在一起闲聊时发现了单位的账目漏洞。负责人无意中问出纳：“单位的账目应该还有16万元左右吧。“没那么多，只有11万元。您忘记了半个月前单位购买了4万多元的材料。”出纳回答道。“我怎么不知道这事，我记得好像也没签过字。”该单位负责人吃了一惊。第二天，该单位负责人查阅了单位账目，发现了5月26日单位先后两次报销了各项费用4.7万多元，而且还有自己和经办人的签名。该负责人立即封存账目，开始调查此事，并向警方报了案。事情败露后，经警方调查，认定了李某的贪污事实，以贪污罪一审判处李某有期徒刑10年，并没收财产1万元。1/26/2020《审计实务》第4页第一节内部控制制度概述一、内部控制制度概念内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。二、内部控制制度的目标：总目标保证财务报告的可靠性；保证资产的安全完整；保证所有活动都按照适当的授权；保证业务活动的效率和效果具体目标：账实核对、安全、授权、真实、完整、计价、及时、过账汇总、分类、表达披露1/26/2020《审计实务》第5页三、内部控制制度的内容内部控制制度的内容包括：（一）合规、合法性控制（二）授权控制（三）职务分离控制（四）业务程序标准化控制（五）复查核对控制（六）人员素质控制四、内部控制的要素（一）控制环境（二）风险评估过程（三）信息系统与沟通（四）控制活动（五）对控制的监督第一节内部控制制度概述授权——执行执行——审核执行——记录保管——记录保管——清查总账——明细账授权——主办——核准——执行——记录——复核1/26/2020《审计实务》第8页五、内部控制与审计的关系：以评价内部控制制度为基础的制度基础审计，加速了审计方法的变革，使审计抽样的方法得以广泛应用，提高了审计效率。但是：建立健全内部控制制度是被审计单位的会计责任；；内部控制制度对信息的公允表达只提供合理保证非绝对保证；无论如何设计和执行，内部控制制度都存在固有的局限性，控制风险0，因此无论内控怎么健全有效，都应进行实质性测试。成本限制、例外事项失控、执行人错误、串通舞弊、凌驾控制、修订根本上变化第一节内部控制制度概述第二节内部控制制度的测评内部控制制度的测评的步骤：1.了解被审计单位内部控制制度并描述2.初步评价控制风险，制定审计计划3.进行符合性测试（控制测试）4.最终评价控制风险，据以设计并进行实质性测试计划阶段实施阶段了解内控制度（健全性）初评控制风险符合性测试（有效性）最终评价控制风险风险高直接实质性测试风险高扩大实质性测试风险低有限实质性测试风险低1、了解被审计单位内部控制制度并描述——健全性评审方法：按业务循环了解（销售收款循环、采购付款循环、存货仓储循环、筹资投资循环、货币资金循环）描述：文字说明法——灵活、不直观调查表法——简便、突出重点、缺乏弹性流程图法——直观、技术高内容：•设计是否合理•是否得到执行（存在并正在使用）2、初步评价控制风险，制定审计计划初评不予信赖：不存在、未执行、无法落实有效——控制风险高——直接实质性程序初评准备信赖：存在、执行——控制风险低——符合性测试第二节内部控制制度的测评某公司现金收支内部控制描述（文字描述法）某公司收入现金，先由出纳审核有关凭证，并填写收款收据，收妥现金后，编制记账凭证，并登记现金日记账，而后将此凭证交给会计用以登记相关的账目。每日收到的现金于第二天由出纳送存银行。支出现金，先由出纳审核支出款项的原始凭证(一般为发票），然后填制付款记账凭证，并于款项付出后在原始凭证上加盖付讫的戳记。出纳根据付款凭证登记现金日记账，而后将记账凭证交给会计登记相关的账目。凭证上的复核印章一般先盖好，因此不再复核，出纳每隔9天进行一次核对，如有差异，需报领导审批后处理。月终，由财务负责人进行盘点。评价第二节内部控制制度的测评3、进行符合性测试（控制测试）——有效性评审•方法：•检查法•重新执行•实地观察•讨论法•穿行测试•内容•是否有效•怎样执行•是否一贯执行•由谁？4、最终评价控制风险控制风险高——低信赖程度——增加实质性测试范围控制风险低——高信赖程度——缩小实质性测试范围控制风险中——扩大符合性测试，降低控制风险增加实质性测试（认定层）审计风险=固定风险*控制风险*检查风险重大错报风险1/26/2020《审计实务》第16页三、评审内部控制制度的可信赖程度（一）可信赖程度高可信赖程度高的标志是内部控制制度健全、合理，并且在测试检查有关业务活动时，未发现差错或仅发现极少的差错。审计人员可以较多的信赖、利用被审计单位的内部控制制度，在实施审计时，可相应减少实质性程序的样本数量和范围。（二）可信赖程度一般可信赖程度一般的标志是内部控制制度不很健全、合理，存在着一定的缺陷和薄弱环节，或内部控制制度比较健全、合理，但实际执行不力，并且在测试检查有关业务活动时，发现有一定程度的差错。审计人员应降低信赖并减少利用内部控制制度，扩大实质性程序的深度和广度，增加实质性程序的样本数量和范围。1/26/2020《审计实务》第17页（三）可信赖程度低可信赖程度低的标志是内部控制制度不健全、不合理，或虽设置了良好健全的内部控制制度，但并没有执行，同时在测试有关业务活动时，差错的发生非常频繁，差错发生率很高。在这种情况下，审计人员应大幅度扩大实质性程序的样本数量和范围，以获取足够的、有充分证明力的审计证据，来支持其提出的审计意见和作出的审计结论。在被审计单位的内部控制制度可信赖程度很低的情况下，审计人员可考虑取消审计业务约定书，拒绝接受被审计单位的委托审计业务。1/26/2020《审计实务》第18页实质性测试：是为了证实交易与事项及账户余额的真实性、正确性，获得审计证据，得出审计结论而实施的审计测试。实质性程序包括：1、细节测试是为了直接检查账户余额和报表项目金额的真实性、正确性和完整性而进行的审计测试。交易实质性测试账户余额实质性测试细节测试适用于对各类交易、账户余额、列报认定的测试，尤其是对存在或发生、计价认定的测试2、分析性复核（实质性分析程序）：对交易、账户余额的合理性测试，发现非常规状况及差异波动。第三节实质性测试书上P102-103案例1、2、3例3常诚和王朝是一对好朋友，都是注册会计师，分别供职于不同的会计师事务所。有一天在共进午餐时，他们谈起了内部控制在决定应收集的审计证据的数量方面的重要性。常诚认为，在任何公司，不管其规模如何，都应该以类似的方式对内部控制进行细致的调查和评价。他所在的会计师事务所，要求在执行每一项审计业务时，都要使用事务所设计的标准内部控制调查问卷表，对于每类经济业务，都应该编制内部控制流程图。另外，事务所还要求注册会计师仔细评价内部控制制度，根据内部控制的强弱，调整拟收集的审计证据的数量。王朝则指出，他所审计的大量小规模企业，不可能有充分的、严密的内部控制。因此，他在从事审计时，通常假设内部控制不充分，从而忽略内部控制，直接进行大量的实质性测试。他说，“当我一开始就知道内部控制制度中存在各种各样的弱点时，我干吗要浪费大量的时间和精力去调查内部控制、评价控制风险?我宁愿把钱花在填写内部控制调查评价表格上的时间，用在测试财务报表的表述是否正确上。”要求：(1)概括大型企业和小型企业内部控制制度的主要区别。(2)评价注册会计师王朝和常诚的观点。(3)规模不同的企业，在调查内部控制、评价控制风险方面有何共性和区别?解答：(1)相比大型企业，小型企业业务相对简单，人员较少，不相容职务分离不充分，业主或管理层积极地参与各种积极业务，因此，内部控制制度相对不健全，不严密。(2)常诚和王朝的观点都有些偏颇。常诚认为不管企业规模大小，都应该细致的对内部控制制度进行调查和评价。这一点对于大部分小企业来说不适用。审计是需要成本的。当知道小企业内部控制制度不完善、不可能显著地降低控制风险时，还花打量的时间去了解内部控制制度，不符合成本效益原则。王朝认为小企业的内部控制不充分、不严密，不应该花时间去了解内部控制制度，而应该直接进行实质性测试。王朝忽略了虽然小企业内部控制一般都不够充分严密，但毕竟企业与企业之间情况不同，内部控制的不健全有程度上的差别，不是所有小企业内部控制都不可信赖。而且，评价控制风险、设计恰当的实质性测试程序，不是调查企业的内部控制制度的唯一目的。对小企业的内部控制制度进行初步的调查和分析，有助于支撑会计师评估财务报表的可审性，预测企业财务报表中的潜在错误，抓住审计重点。另外，注册会计师除了对企业的财务报表发表审计意见外，还可以就内部控制可以改进的方面向企业提出建议，这也要求对内部控制有所了解。(3)共性：不管审计大企业，小企业，都要对内部控制进行调查。区别：企业的规模不同，对内部控制调查的程度可能不同。大企业内部控制较健全，评估的控制风险较低，因而对内部控制调查的程度较深。小企业内部控制相对不健全，评估的控制风险确定得较高甚至最高，因而对内部控制调查的程度较浅。