企业内部控制测试、评价与审计

企业内部控制测试、评价与审计中南财经政法大学会计学院陈波阳光财税培训项目2023/9/12主讲人简介2武汉大学博士中南财经政法大学副教授、博士后中国注册会计师硕士研究生导师中南财经政法大学审计教研室主任注册会计师全国考试《审计》阅卷组副组长（2007-2009）中南财经政法大学MBA、MPAcc主讲教师2023/9/12主要内容

2.企业内部控制评价3

1.企业内部控制测试

3.企业内部控制审计2023/9/12引例案例：云南铜业股票案4

2006年，云铜公司准备非公开发行股票之际，富邦资产管理有限公司董事长郑海若和昌立明公司郑汝昌欲认购，并与时任云铜公司副总经理、总会计师、董事会秘书的陈少飞共谋，以“贸易融资”方式解决认购资金的问题。2007年2月，戴琨代表昌立明公司与云铜公司签订了铜精矿供需合同；陈少飞安排云铜公司给昌立明公司签发了7亿元的商业承兑汇票和3亿元的银行承兑汇票，并在银行存入4亿元作为商业承兑汇票的贴现保证金。2023/9/12引例案例：云南铜业股票案5郑汝昌、戴琨等人到银行办理汇票贴现，共获贴现资金9.8137亿元，并办理划转款手续，将贴现资金中的3.325亿元提供给富邦公司，富邦公司以每股9.5元的价格认购了3500万股云铜公司非公开发行的股票，昌立明公司将贴现资金中的2.375亿元以同样价格认购了2500万股。后陈少飞通知郑汝昌等从贴现资金中再拆借人民币1.9亿元给富邦公司。事后，富邦公司副总吴宝灿送给陈少飞100万元。云铜股份公司签发给昌立明公司的10亿元汇票到期后，该公司于2007年8月向银行归还了10亿元。以上被昌立明公司、富邦公司用于购买股票和其它经营活动的资金人民币7.6亿元，于2007年9月、10月间归还了云铜股份公司。2023/9/12引例案例：云南铜业股票案6

2009年10月，昆明市中级人民法院日前作出一审判决：云南铜业股份有限公司原副总经理陈少飞因犯受贿罪、与他人合谋挪用公款7.6亿元构成挪用公款罪被判刑20年。与其共同进行资本运作的昌立明公司总经理郑汝昌、副总经理戴琨则因犯挪用公款罪、虚报注册资本罪分别被判刑10年、2年。陈少飞还被没收上海房产一处。2023/9/12引例案例讨论7

云铜股票案暴露了云铜内部控制的哪些缺陷？在云铜股票案中，陈少飞用较为高明资本运作手段使得云铜顺利地完成了股票定向增发，而且云铜也并没有因此而遭受损失。云铜有不少人为其感到十分惋惜。贵公司是否欢迎这样的资本高手？2023/9/12引例个人看法8

云铜股票案至少暴露了云铜内部控制的以下缺陷：（1）授权不当，金额高达10亿人民币的承兑汇票签发未经董事会审批，金额数亿人民币的资金调动也可以由陈少飞一人说了算；（2）控制环境薄弱，治理结构不完善，高管滥用权力缺乏制约，在陈云飞案之前，就已经发生了原董事长、总经理邹韶禄，原副总经理余卫平，云铜地产原总经理汪建伟等人的巨额受贿窝案；早在2003年公司董事会即开会同意开展经常性的“贸易融资”，以售后回购、票据贴现等方式获得现金流，增大销售业绩，对此无人质疑，说明公司董事会缺乏正确价值导向和必要的财务专长。2023/9/12引例个人看法9

如何看待陈云飞这样的资本运作高手？（1）陈云飞的财务专长和资本运作能力深得云铜上下认可和倚重，然而他为公司策划的贸易融资方式实质上是钻政策和监管漏洞，以售后回购方式粉饰销售业绩更是违反会计准则的要求，对云铜长远发展来看是“饮鸩止渴”，因此并不是一位合格的财务总监；（2）司马光在《资治通鉴》中评论说：“才者，德之资也；德者，才之帅也”，“君子挟才以为善，小人挟才以为恶”。云铜用人重才轻德，对于所谓“能人”过分信任和倚重，监督约束机制不到位，所以才接二连三发生重大案件，2008年更是巨亏28亿人民币，濒于破产边缘。2023/9/12内部控制的测试什么是内控测试？10

控制测试（testofcontrols）是对内部控制的设计合理性和运行有效性进行的测试

内部控制有效意味着：（1）控制存在；（2）控制设计合理；（3）控制得到执行；（4）控制由得到适当授权的人执行；（5）控制未得到错误执行；（6）控制得到连续一贯的执行2023/9/12内部控制的测试为何要进行控制测试？11

内部控制总是存在设计不合理和运行失效的风险，内外环境变化、执行人的理解偏差和操作失误、管理层凌驾于内部控制之上、不同部门员工的串通、内部人与外部人的勾结，都有可能使内部控制失效控制测试能够帮助管理层和审计人员识别内部控制的缺陷，是内部控制评价的基础，未经过严格的控制测试而得出控制有效的结论，是站不住脚、经不起检查的2023/9/12内部控制的测试案例：中海集团资金门12

2008年1月31日，中海集团接报，驻韩国釜山公司大约4000万美元（约合人民币3亿元）的巨额运费收入及部分投资款，被公司内部人非法截留转移，分成一百多次逐步挪出公司账户，主要涉案人员中海集团韩国控股的财务部负责人兼审计李克江在逃。釜山公司为中海集团韩国控股公司下属企业，主营集装箱业务。知情人士透露，中海集团所有驻海外子公司的财务体制是：控股公司掌控下属企业的全部财务和资金结算。截至案发，李克江在韩国控股任职已近10年。一家货运代理公司的财务经理表示，运费是航运公司的主营收入，而像中海这样的大集团在海外的分公司如果是全资子公司，通常都采取独立核算制度，只需要报年账或者大账，不需要报明细账，有些公司甚至连现金流都不用向总部汇报。2023/9/12内部控制的测试案例：中海集团资金门13

2008年4月1日，中海集团正式宣布成立集团风险控制和管理委员会，由集团总裁李绍德亲自担任委员会主任。中海集团对近百家海外分公司和代理办事处进行大检查，主要针对资金往来，尤其是应收账款是否及时到账等日常运营资金流状况。国务院国资委也对本案予以高度重视，已经向包括中海集团、中远集团、五矿集团等多家在海外设有分公司的大型中央企业发出通报。2023/9/12内部控制的测试案例讨论14

中海集团为何会出事？对海外分支机构应如何加强控制，尤其是财务控制？2023/9/12内部控制的测试个人看法15

中海集团对海外分子公司的控制缺陷是其出事的主要原因：（1）李克江一人身兼韩国控股的财务负责人与审计负责人，属于兼任不相容职务，内部审计监督失效；（2）中海集团在出事之后才组织对海外分子公司及代办处的大检查，说明其日常监控缺乏且滞后，资金控制和审计监督尤其薄弱；

（3）李克江在韩国控股关键岗位任职时间过长，说明中海集团缺乏必要的轮岗制度。2023/9/12内部控制的测试个人看法16

加强海外分子公司控制的一些思路：（1）人力资源管控，如财务总监及其他关键管理人员定期轮岗；（2）财务管控，通过互联网技术实现财务集中核算和资金集中控制，改进预算控制和业绩考评控制，将海外分子公司内部控制的健全性和有效性作为重要考核内容，要求海外分子公司报送经营月报和财务月报等；

（3）审计监督，增大外部审计和内部审计的覆盖面和力度，开展对于海外分子公司的内部控制测评。2023/9/12内部控制的测试内控测评的主体17注册会计师内部审计管理层

CPA在财务报表审计中会执行内控测试，其目的是准确评估财务报表重大错报风险并减少实质性测试工作量；在上市公司内部控制审计中，CPA会对内部控制执行范围更广的控制测试，作为对内控有效性发表意见的基础为提高内控测试的覆盖面和有效性，企业各级管理层会被要求进行内控有效性的自查自评上市公司管理层对内部控制的自我评价报告主要依赖内部审计部门的内控测试结果；内控测试结果还可以作为内审部门确定重点审计领域并分配审计资源的重要依据2023/9/12内部控制的测试案例：中国石化内控测试安排18总部检查评价单位自查评价股份公司年度综合检查评价审计部独立检查评价分（子）公司自查总部部门自查由股份公司内控领导小组负责，每年选取一定数量单位进行检查总部有关部门至少每半年对责任业务流程和控制点的有效性穿行测试一次，结合日常专业管理，对分（子）公司的执行情况适当抽查包括业务流程季度穿行测试、分子公司内审抽查和年度自查审计部每年对至少25家分子公司内控实施情况进行独立检查评价2023/9/12内部控制的测试内控测试的计划19

控制测试的要点是确定测试范围（scope）（即哪些控制应纳入本次测试的范围），测试的时间（何时测试）、测试的方法（尤其是属性抽样、穿行测试的应用）、测试的频率和次数（包括属性抽样中应确定多大的样本量）

控制测试的关键是控制偏差（exception）的识别和测定，在此基础上判断偏差是否构成缺陷（deficiency），以及缺陷是否属于重大缺陷（materialweakness，又称实质漏洞）2023/9/12内部控制的测试内控测试的范围（scope）20

在首次执行企业内部控制基本规范及其配套指引时，显然需要进行更大范围的内控测试，涵盖公司主要的业务流程和关键的控制，以便于得出公司内控整体有效的结论

控制测试日益强调以风险为基础（riskbased），对于高风险领域的内控（例如针对舞弊风险的内控），可能需要每年都测试；对于其他内控，如果内控未发生变化，则只要两次测试的时间间隔不超过两年，就不必每年都测试，也可以采取轮换测试（rotatingtest）思路，对于拟信赖的内控每年测试一部分2023/9/12内部控制的测试案例：中国石化内控测试的范围与频率21

财务报告相关控制点检查样本抽取数量，根据业务发生频率高低及相关会计科目的重要性确定。序号业务发生频率至少抽样数量1每年一次1笔2每年一次以上至每季度一次2笔3每季度一次以上至每月一次2笔4每月一次以上至每周一次5笔5每周一次以上至每天一次15笔6每天多次25笔

对非财务报告相关控制点的检查评价，至少要抽取3个样本（实际发生业务数量少于3笔的，要全部检查）。2023/9/12内部控制的测试内控测试的范围（scope）22

从上至下（top-down）的测试思路先测试整体层面（entity-level）的内部控制，而后再测试业务流程层面（process-level）的内部控制，将注意力集中在影响企业战略目标实现的关键业务流程和关键内部控制之上整体层面目标业务流程层面目标整体层面风险业务流程层面风险整体层面内控业务流程层面内控2023/9/12内部控制的测试案例：西气东输二线工程东段2010年跟踪审计结果232009年4月，中石油项目经理部未经招标，直接从上海拓发机电设备有限公司采购1.5万套热收缩带（管道防腐材料），且未经检测就用于工程建设。经检测，这些材料的剥离强度低于规定值，且易导致天然气管道被腐蚀、损坏。截至审计时，已有1.35万套用于工程建设。

在辽河东油监理联合体投入西二线宁陕段的71名监理人员中，注册监理工程师仅4人；在大庆石油工程监理有限公司投入湘赣段的89名监理人员中，有25人无相关资质。截至2010年7月，有45.01亿元工程施工招投标不合规，包括将合同金额5.18亿元的23个项目未经招标违规直接发包，将合同金额39.83亿元的73个项目人为拆分标段、违规确定和调整中标人等。2023/9/12内部控制的测试案例：西气东输二线工程东段2010年跟踪审计结果24截至2010年7月，有2.33亿元设备材料采购不合规，占西二线东段设备材料采购合同19.82亿元（不含网上竞价采购钢管）的12%，包括将1.77亿元设备材料采购未经招标违规直接发包、违规确定0.56亿元设备材料中标人等。经批复的初步设计概算不合理和工程价款结算审核不严等，增加工程投资8亿多元。如审计抽查的7.73亿元土石方工程被中石油系统施工单位对外转包后获取价差3.29亿元，相当于合同价款的43%。虽然施工单位将获取的差价作了收入，但增大了工程投资。物资采购中超过国家规定标准多收取中标服务费、材料加工时多计算材料加工费等，共增加投资6亿多元。以虚假发票和“白条”等入账0.43亿元。如中石油项目经理部用虚假发票入账，列支西二线等项目培训费用714.26万元。2023/9/12内部控制的测试案例资料：工程项目招标几种典型违规操作25串标围标陪标即串通招投标，包括招标人与投标人的串通，例如明招暗定、泄露标底等；投标人之间的串通，例如围标、陪标等

若干投标人相互约定，一致抬高或压低投标报价进行投标，通过限制竞争，排挤其他投标供应商，使某个投标人中标串标分子选三家以上的公司陪同自己进行投标，有时会“轮流坐庄”2023/9/12内部控制的测试案例资料：某市卫生院门诊楼招标案例26某市卫生院门诊楼建设工程招标，拦标价为70.5万元，共有4家建筑公司参加投标，报价分别为A公司70.26万元、B公司70.36万元、C公司70.40万元、D公司58.68万元；评标方法采用合理低价中标，具体方法是首先产生评标基准价，即以所有有效投标报价的算术平均值作为评标基准价，然后下浮8个百分点作为合理低价下限，低于此值的报价视为不合理报价，最后对入围的报价按由低到高的顺序进行排列，排序第一名的投标人为中标候选人。按照确定的评标方法，谁会中标？2023/9/12内部控制的测试案例资料：某市卫生院门诊楼招标案例27按此评审方法，上述工程的评标基准价为4家公司的算术平均值67.43万元，下浮8个百分点即合理低价下限为62.04万元，其结果是D公司58.68万元的低报价出围，而A公司70.26万元的高报价中标。这显然是A、B、C三家公司高报价“围标”所致。2023/9/12内部控制的测试案例资料：某市密集架招标案例28某市局密集架招标，采购数量为460立方米，采购预算为55万元，共有4家公司投标，报价分别为A公司29.86万元、B公司59.17万元、C公司42.98万元、D公司57.93万元。评标方法采用综合评分法，其具体计算方法为：以所有合格投标人有效报价的算术平均值作为评标基准值，投标人投标报价等于评标基准值得基本分40分；投标人的投标报价每低于评标基准值1％，在基本分上加1分，最多加10分；投标报价每高于评标基准值1％，在基本分基础上扣1分，扣完为止。按照确定的评标方法，谁会中标？2023/9/12内部控制的测试案例资料：某市密集架招标案例29按此评审方法，报价分的评标基准值为47.49万元，与其相比，A公司报价低37.12％，报价得分为50分；B公司报价高24.59％，报价得分为15.41分；C公司报价低9.50％，报价得分为49.5分；D公司报价高21.98％，报价得分为18.02分此案中，A公司虽然报价最低（比中标的C公司报价低30.53％），但由于B、D两家公司高抬报价，几乎完全抵消了A公司应有的报价优势，使A公司报价得分仅比C公司高0.5分，加上其他不利因素，A公司最终与中标失之交臂2023/9/12企业内部控制设计实务案例分析30

企业内部控制应用指引第11号——工程项目风险控制

项目招标暗箱操作，存在商业贿赂，可能导致中标人实质上难以承担工程项目、中标价格失实及相关人员涉案。（1）企业的工程项目一般应当采用公开招标的方式，择优选择具有相应资质的承包单位和监理单位。（2）企业应当采取必要的措施，保证评标在严格保密的情况下进行。评标委员会应当按照招标文件确定的标准和方法，对投标文件进行评审和比较，择优选择中标候选人。2023/9/12内部控制的测试内控测试的时间（timing）31

SOX法案第302条款规定：“上市公司主要负责人或财务负责人应评价公司的内部控制在签署报告前90天内的有效性，并在年度报告或季度报告中公布评价的结论。”

我国内部控制评价指引第26条指出：“企业应当以12月31日作为年度内部控制评价报告的基准日。内部控制评价报告应于基准日后4个月内报出。”

我国内部控制审计指引第17条指出：“注册会计师在确定测试的时间安排时，应当在下列两个因素之间作出平衡，以获取充分、适当的证据：（一）尽量在接近企业内部控制自我评价基准日实施测试。（二）实施的测试需要涵盖足够长的期间。”2023/9/12内部控制的测试内控测试的时间（timing）32

虽然内部控制的自我评价和外部审计都是对特定基准日（12月31日）的内控有效性发表意见，但肯定不能只测试基准日内控，而应理解为内控只有持续运行至基准日才是有效的

越是重要的内控，测试时间应尽量接近基准日，并涵盖足够长的时间；在其中测试的内控，还要考虑剩余期间内内控是否发生变化并获取补充证据

2023/9/12内部控制的测试内控测试的时间（timing）33

不同时点内部控制测试结果的简单累加并不足以表明内部控制在整个期间内都是运行有效性，测试人员还必须测试某些有助于维持控制运行有效性的控制措施，例如对于控制的监督

对于财务报告内部控制，公司内部的控制测试和事务所执行的控制测试基本上是重合的，因此需要考虑与外部审计的协调问题

对于非财务报告内部控制，则主要依靠公司内部（特别是内审部门）的测试，时间安排则需要统筹考虑（如何将内控测试与常规审计工作进行时间方面的协调）2023/9/12内部控制的测试内控测试的方法34观察询问检查重新执行穿行测试2023/9/12内部控制的测试内控测试的方法35名称内涵适用性举例观察现场观察内部控制的运行情况适用于不留下书面记录的控制（例如职责分离），需考虑控制在测试人员不在场时未被执行的可能性观察存货盘点控制的执行情况；查看仓库门是否锁好，印鉴是否分开保管，电脑是否设置自动锁屏程序等询问询问有关人员与内控运行情况相关的信息需考虑并印证询问结果的可靠性，不能单独提供内控运行有效性的证据，需要与观察、检查等方法结合使用询问信息系统管理人员是否存在未经授权接触计算机硬件和软件的情况；询问有关人员银行对账单是否由出纳负责领取等；询问银行存款余额调节表复核人员如何进行复核，发现不符事项如何进行处理等2023/9/12内部控制的测试案例：观察和询问在控制测试中的应用36在给某航天技术研究院授课时，所见所闻让本人觉得该企业安全方面（包括信息安全）的内部控制做得非常到位：（1）要求笔者不要开启笔记本电脑的无线上网功能；（2）员工凭电子卡进入办公楼，刷卡后可显示该员工的照片及身份信息；（3）询问该单位财务部处长是谁负责领银行对账单，回答是会计（而非出纳）；（4）询问该单位人员是否有电脑自动锁屏程序，回答为肯定；（5）询问该单位人员是否定期更换操作密码，回答是每周一次，而且系统已设定程序，如果不是每周更换一次，原密码将失效并需要重新申请。2023/9/12内部控制的测试内控测试的方法37名称内涵适用性举例检查检查文件和记录（含内部控制手册）以了解内部控制相关信息适用于运行留有书面记录的内部控制，签字及其他标记都可以作为控制得到执行的证据检查销售发票是否有复核人员签字，检查销售发票是否附有客户订购单和出库单等重新执行测试人员亲自重新执行某些控制活动已验证控制的运行有效性成本较高，只有当询问、观察和检查程序结合在一起仍无法获得充分的证据时才会考虑采用测试人员自己选取一部分销售发票核对销售发票上的价格与统一价格单上的价格是否一致，从而验证核对人员是否认真执行了该项控制措施；测试人员重新编制银行存款余额调节表已证实公司的调节控制确实有效2023/9/12内部控制的测试案例：某事务所销售与收款内控测试记录38序号测试过程记录索引号1随机抽取2010年1－12月开出的销售发票，与销售合同、销售单、商品价目表、销售收入明细账和应收账款明细账等数量、价格和金额相核对，测试相符率为100%Y1-12抽取9月份开出所有的销售发票，发现编号连续，无缺号，只有3张作废发票均盖有“作废”印章Y1-23将发运单、装货单和销售发票核对，未发现货发出不开具发票现象Y1-341－12月份被审计单位未发生销售折扣、折让行为，有两笔销售退回；销售退回附有按顺序编号并经主管人员核准的货项通知单，有仓库签发的退货验收报告，有对方税务部门开具的有关证明，会计处理正确Y1-45经查收款凭证的检查与现金和银行存款符合性测试相同Y1-5结论该循环测试相符率高，可适当简化实质性测试审计程序2023/9/12内部控制的测试内控测试的方法：穿行测试39

穿行测试（walkthrough）又叫跟单测试，是通过追踪某笔或某几笔交易在业务流程中如何生成、记录、处理和报告以及相关的控制如何执行，以确定公司的交易流程和相关控制是否与此前通过其他程序所获得的了解一致，并确定相关控制是否得到有效执行穿行测试不是单独的一种程序，而是将多种程序按特定审计需要进行结合运用的方法参见某企业商务车管理内部控制穿行测试工作底稿2023/9/12内部控制的测试内控测评手册的编制40

内部控制手册主要是反映内控设计结果，是内控执行的依据，而内部控制测评手册主要是用于指导内控测试与评价，方便测评过程和结果的记录，设计合理的内控测评手册可以大大提高内控测评的效率内控手册对于内控测评手册的编制有重大影响，内控手册编制好了，内控测试的对象和标准也就明确了，内控手册中的有关控制矩阵稍加变动即可成为内控测评的底稿，没有内控手册而单独编制测评手册，工作量很大参见某事务所的内部控制了解与测试工作底稿；和某企业内部控制审计程序表2023/9/12内部控制的评价内部控制评价的基本要求41

企业内部控制基本规范第45条：企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告

企业内部控制基本规范第46条：企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告

企业内部控制评价指引第17条：重大缺陷、重要缺陷和一般缺陷的具体认定标准，由企业根据上述要求自行确定2023/9/12内部控制的评价内部控制评价的基本要求42内部控制评价的核心内容是内部控制缺陷的识别和评估，合理界定、准确识别、如实披露重大缺陷是企业管理层在内控方面应履行的基本责任，也是企业风险管理的重要内容

企业董事会负责制定重大缺陷的认定标准并对重大缺陷进行最终认定，财务报告内部控制重大缺陷和非财务报告内部控制重大缺陷的认定虽然可以遵循相近的原理，但具体的认定标准则存在差异

在内部控制测试和评价的过程中，应详细记录内部控制缺陷的识别和认定过程，提供内控缺陷汇总表等基本底稿2023/9/12内部控制的评价内部控制评价的基本要求43公司层面的内部控制评价需要以内控基本规范和配套指引，以及公司内部控制的基本制度为依据，制定一套评价指标体系，以主观评价和定性评价为主

业务流程层面的内部控制评价则主要是以内部控制测试的结果作为依据，以客观评价和定量评价为主参见财政部会计司发布的企业内部控制评价指引解读的附件：内部控制核心评价指标2023/9/12内部控制的评价案例：我亲历的采购黑洞44

当知道自己要被调去搞采购时，我知道，该我发财了。要搞钱，几个因素必须齐备：首先是公司管理不严。其次是用料部门领导“懂不懂事”。没有不贪的猫，在金钱的诱惑下，设备科长和我一拍即合。再次，是要找到一个可靠的供货方。在我们公司，除作为固定资产的整机购买要总公司老总们批准外，一般的损耗配件购买，只需下面经手领导批就行了。因此，用料部门平时就“莽”起开条子去库管那儿领，领来当然没用，都存起了。工地上的事，管理部门啷个晓得呢？要领些啥子，领导间相互打个招呼就批了。还有就是“报废”特别多。一个上万元的配件，刚领走几天就“报废”了，接着就急急忙忙来领新的。2023/9/12内部控制的评价案例：我亲历的采购黑洞45看看存的料多了，用料部门就会打报告给公司。需要买些什么当然已经列得清清楚楚的了。随后接到公司采购任务通知的采购员，就把存下的料发到已联系好了的供货部门手里。其间，供货方充当了一个洗钱的角色。我们对供货方要求是能提供齐全的合法手续。未买之前，我还会把供方的价格，所购配件数量等详细情况再传回去请老总批准。买后不能直接带回公司，要通过运输部门，以防万一清查时，好拿得出个凭证。购货款纳完税，扣除实际购货的金额，剩下的我们和供货方一般是七三分。2023/9/12内部控制的评价案例：我亲历的采购黑洞46去年八月，我在一个建筑机械配件门市买了10万元钱的液压配件，实际只花了500元钱买新货，其余配件都是自己从公司发出去的。一些配件被反复的“买来买去”，自己都认熟了。我们公司谁都知道效益差，说起你都不信，我一个月只拿不到2000元。但我做采购三年，买了一套价值七位数的别墅，老婆没工作、娃儿读的贵族学校。采购中这种“找钱”方式其实很普遍，像建筑行业、电力、铁路等不少行业的采购人员都在这样搞。2023/9/12内部控制的评价案例讨论47请评价该单位采购业务内部控制存在的漏洞。2023/9/12内部控制的评价个人看法48该公司采购业务存在的控制漏洞主要包括：（1）用料部门可以大量、无节制地领用货物，说明缺乏预算和定额控制；（2）缺乏存货报废及处置的严格审批程序；（3）采购业务中职责分离不到位，执行采购者不应负责确定供应商，采购业务量大的企业，可考虑设立采购委员会，实施采购招标制；（4）采购货物缺乏严格的验收程序，如果有专人负责验收，不难发现多次采购的配件系同一产品的事实；2023/9/12内部控制的评价个人看法49（5）公司自己的货物能够顺利地运出至供应商，说明该公司缺乏必要的安保（如门卫）控制；（6）缺少有效的内部审计制度，如果内审部门能够对采购业务进行独立核查的话，仅仅通过分析程序就可以发现设备科采购量过大和设备报废率过高的事实；（7）“工地上的事，管理部门啷个晓得呢”说明该单位建筑施工缺乏现场控制。2023/9/12内部控制的评价内部控制评价的组织50基本规范及评价指引要求企业授权内部审计机构或者其他专门机构作为内部控制评价机构，负责内部控制评价的具体组织实施工作在设置内部控制评价机构的基础上，还要求企业成立专门的评价工作组，接受内部控制评价机构的领导，具体承担内部控制评价工作的组织企业可以委托中介机构实施内部控制评价。为企业提供内部控制审计服务的会计师事务所，不得同时为同一企业提供内部控制评价服务2023/9/12内部控制的评价内部控制评价的工作流程51开始制定评价工作方案组成评价工作组实施现场测试认定控制缺陷汇总评价结果编报评价报告完成2023/9/12内部控制的评价内部控制缺陷的界定52财务报告内部控制缺陷是指内部控制的设计或运行不能使得管理层或员工在履行其职责的正常过程中及时预防或发现错报（PCAOB，2007）

设计缺陷运行缺陷设计缺陷（deficiencyindesign）：（1）实现控制目标所必需的控制缺失；（2）现有的控制设计不当，即使控制按照设计运行，控制目标也无法实现运行缺陷（deficiencyinoperation）：设计适当的的控制未按照设计运行，或者执行控制的人员不具备有效执行控制所必需的授权或专长2023/9/12内部控制的评价案例：美女经理侵吞8辆宝马车款大肆挥霍53

2008年8月22日，武汉一家进口汽车销售公司高层主管，去汉口黄浦路4S销售展厅进行盘库时，觉得奇怪：前不久还停这儿的128.5万元的越野宝马车怎么不见了？调看保安门岗监控记录，更觉得离谱，失踪的宝马是销售经理李琳8月6日开走的，没在财务办理任何手续。继续盘库，情况离谱得越来越怵目惊心：一辆客户已付133.6万元预定款的宝马X5越野车也不见了，款项被李琳挪于其他客户的应交车款。再次调看监控录像，该车也是李琳开走的。盘库进一步深入，车库账目越来越清晰得令人震惊：李琳一共开走了8辆宝马！2023/9/12内部控制的评价案例：美女经理侵吞8辆宝马车款大肆挥霍54

今年（2009年）24岁的李琳大学毕业后，前年元月应聘到这家汽车销售公司工作，1年后因业绩出色被提拔为销售经理。由于长期售车，她慢慢发现公司管理有漏洞。2007年5月9日，她将公司一辆36万余元的宝马320L轿车出售，客户付款时，她说公司POS机坏了，请客户将车款打入她的账户。很快，36万元被她挥霍一空。可这“窟窿”怎么补呢？一阵恐慌之后，她冷静下来，用后面卖出的汽车款，垫付先挪用的前一辆车的车款。她就这样“拆东墙补西墙”，“窟窿”一个个得以补上。可她没料到自己的贪心，比“窟窿”的增速快得多。时间久了，补“窟窿”越来越吃力，而“窟窿”也越来越大。

2023/9/12内部控制的评价案例：美女经理侵吞8辆宝马车款大肆挥霍55

检察机关侦查发现，前年5月至去年8月，李琳共用两种手段侵占公司车款：一是将客户购车款不入公司账户，直接打入她的指定账户；二是利用公司销售款到账时间差，用后面的售车款“填补”前面的售车款。才一年半，李琳先后私卖宝马车8辆，获车款900余万元，除去陆续归还的200余万元，共侵吞车款600余万元。李琳所在4S店财务人员称：李琳共从她那里拿走8份发票，每份发票的1-6联全拿走，至今未还。8份发票如果财务没收上来，公司总部就无法掌握展厅的销售情况，车库少了车，总部也无法实时监控。这就是李琳“私自卖车”直到盘库才被发现的原因。爱慕虚荣的李琳，用侵占的车款，购买了3辆轿车（奔驰、迈腾、福克斯各一辆）代步，戴10多万元一块的名表，每月都要去香港购物。案发前，她曾在汉口金融中心租下一套湖景豪装房，预交了3个月2.4万元的房租，不料仅住了18天，就被抓获归案。2023/9/12内部控制的评价案例讨论56请分析该单位内部控制存在哪些设计缺陷和运行缺陷。2023/9/12内部控制的评价个人看法57该公司汽车销售内部控制的设计缺陷包括：（1）未明确销售人员不得接触货款，货款必须直接存入公司制定账户；（2）未明确必须交足款项后，提供盖有财务收款章的有效发票或提货单方可提车；（3）从2007年5月李琳侵占第一笔车款开始，经过一年多时间才通过盘库被发现，这说明该公司盘库程序设计不合理。该公司售车内部控制的运行缺陷可能包括：（1）公司保安可能未严格检查提车单据就予以放行；（2）李琳拿走全部6联发票且迟迟未能返还给财务，财务人员未能阻止，且未能及时报告。2023/9/12内部控制的评价内部控制缺陷的界定58一般缺陷（deficiency）重要缺陷（significantdeficiency）重大缺陷（materialweakness）除重大缺陷、重要缺陷之外的其他缺陷一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标2023/9/12内部控制的评价内部控制缺陷的界定59财务报告内部控制重大缺陷与财务报表重大错报内部控制重大缺陷财务报表重大错报

财务报表不存在重大错报（materialmisstatement）并不意味着内部控制不存在重大缺陷；当财务报表存在重大错报时，内部控制一定存在重大缺陷2023/9/12内部控制的评价内部控制缺陷的界定60缺陷认定的两个维度错报不能被内控预防或发现的可能性潜在错报的金额大小合理可能重大足够重要重大缺陷重要缺陷2023/9/12内部控制的评价内部控制缺陷的认定标准61企业在评价内控缺陷时，往往采取定性标准与定量标准相结合的方法定量标准，既可以根据缺陷造成直接财产损失的绝对金额制定，也可以根据缺陷的直接损失占本企业资产、销售收入或利润等的比率确定定性标准，可以根据缺陷潜在负面影响的性质、范围等因素确定内部控制缺陷认定标准一经确定，必须在不同评价期间保持一致，不得随意变更2023/9/12内部控制的评价内部控制缺陷的认定标准62案例资料：某集团公司省级分公司财报内控认定定量标准项目\重要程度不重要重要重大比例金额(亿)比例金额(亿)比例金额(亿)利润总额潜在错报＜3%＜0.6[3%,5%)[0.6,1)≥5%≥1资产总额潜在错报＜0.5%＜2.5[0.5%,1%)[2.5,5)≥1%≥5经营收入潜在错报＜0.5%＜0.75[0.5%,1%)[0.75,1.5)≥1%≥1.5所有者权益潜在错报＜0.5%＜1[0.5%,1%)[1,2)≥1%≥22023/9/12内部控制的评价内部控制缺陷的认定标准63案例资料：某集团省级公司财务报告内控重大缺陷定性标准

发现管理层存在任何程度的舞弊

控制环境无效

影响收益趋势的缺陷

影响关联方交易总额超过股东批准的关联交易额度的缺陷

外部审计发现的重大错报不是由公司首先发现的已经发现并报告给管理层的重大缺陷在经过合理时间后并未改正2023/9/12内部控制的评价内部控制缺陷的认定标准64案例分析：中国铁建的内部控制是否存在重大缺陷中国铁建2010年10月26日公告，公司承建的沙特麦加萨法至穆戈达莎轻轨项目计划于2010年11月13日开通运营。该项目在实施过程中，因实际工程数量比签约时预计工程量大幅增加等原因（项目签约时只有概念设计），预计将发生大额亏损，按2010年9月30日的汇率折算，总的亏损额预计约为人民币41.53亿元。2023/9/12内部控制的评价内部控制缺陷的认定标准65案例分析：中国人寿内部控制是否存在重大缺陷

2010年11月6日，北京市二中院一审以诈骗罪、职务侵占罪判处中国人寿北京市密云支公司女职工马玉春有期徒刑19年，并处罚金1.5万元。马玉春在密云支公司任职期间，于2007年至2009年间，以为事主办理保险为名，使用伪造的《国寿永泰团体年金保险承保确认书》、保险费专用发票等文件，骗取19名投保人899万余元。马玉春还于2009年2月至4月间，利用担任密云支公司收付费岗柜员的职务便利，伪造《借款申请书》、《保全付费业务审批表》等文件，并开具支票，将本单位公款490万元非法占有。2023/9/12内部控制的评价案例讨论66请分别指出中国铁建和中国人寿内部控制存在哪些缺陷，以及是否构成重大缺陷。2023/9/12内部控制的评价个人看法67中国铁建的内部控制缺陷主要表现在工程项目（特别是海外工程）的风险评估、合同控制不到位。工程项目未经过深入的可行性研究和审慎的项目评审，合同签订未经认真论证和审批，导致遭受巨额损失。从性质上看，铁建的内控缺陷表明公司的重大决策机制存在问题；从金额上看，损失金额约占2009年度营业利润（约82亿）的50%。因此，该控制缺陷可认定为内部控制重大缺陷。中国人寿北京密云支公司的内部控制缺陷主要体现了缺乏职责分工控制（保险经纪人员可以收取保费，甚至还可以开支票）和内部核查程序，使得马玉春可以通过伪造文件和单据侵占公司资金。从金额上看，该缺陷不足以构成中国人寿的内控重大缺陷。但要考虑其性质，包括该缺陷是否意味着基层保险业务的全面失控。2023/9/12内部控制的评价补偿性控制的考虑68当某一控制未有效发挥作用时，能够实现该控制之目标、有助于将风险降低至可接受水平的另一控制称为补偿性控制（compensatingcontrol）（SEC，2007）补偿性控制能够发挥抵减作用（mitigatingeffect），可以将某一缺陷导致的潜在错报的可能性或金额降低，从而减轻缺陷的严重程度在评估重大缺陷时，必须识别是否存在补偿性控制2023/9/12内部控制的评价非财务报告内控的考虑69在非财务报告内控领域，内部控制缺陷的认定更加主观，更加缺乏公认标准，例如，公司未建立举报投诉制度和举报人保护制度，未设置举报专线，对公司将造成多大的潜在损失，从而应该被认为为何种缺陷？

非财务报告内控重大缺席的认定，需要结合公司的风险偏好（riskappetite）和风险容忍度（risktolerance）来加以确定，如果一项内控缺陷导致的潜在损失有可能超过风险容忍度，则很有可能被认定为存在重要缺陷甚至重大缺陷2023/9/12内部控制的评价内部控制评价结果的记录与汇总70内部控制评价指引第11条规定：内部控制评价工作应形成工作底稿，详细记录企业执行评价工作的内容，包括评价要素、主要风险点、采取的控制措施、有关证据资料及认定结果等实际工作中，评价工作底稿一般是通过一系列评价表格来体现的，通过对每个核心要素指标的分别分解、评价，最终汇总出评价结果请参阅中国石化内部控制评价底稿模板2023/9/12内部控制的审计何为内部控制审计？为何要执行内部控制审计？71

《企业内部控制审计指引》第2条规定：内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计广义的内部控制审计还包括由企业内部审计部门对内部控制设计与运行有效性进行的独立评价与审核内部控制审计制度是与内部控制的管理层评价制度相伴而生的，内部控制的管理层自我评价报告面临和财务报表同样的可信度问题，因此需要审计人员提供可信度保证2023/9/12内部控制的审计为什么需要内部控制审计？72对于上市公司，内部控制审计必须做。对于非上市公司，聘请外部审计机构对企业的内部控制有效性进行全面诊断并出具意见，也有助于改进企业的风险管理与内部控制体系

未来将会有越来越多的企业主动选择内部控制审计，作为取得银行贷款、竞标重要合同的依据，而银行、政府机构也会越来越重视企业的内部控制审计结果因此，未雨绸缪，多了解一些内控审计很有意义！2023/9/12内部控制的审计内部控制审计的目标与性质73

《企业内部控制审计指引》第4条规定：注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露美国的内部控制审计只针对财务报告内部控制，我国的内控审计虽然针对所有内部控制，但注册会计师只需要对财务报告内部控制的有效性发表意见，对非财务报告内控部分的审计不是严格意义的审计，也不承担真正的审计责任2023/9/12内部控制的审计财务报表审计与内控审计的“整合审计”74美国上市公司监管委员会（PCAOB）审计准则第5号则明确规定，财报内控审计必须与财务报表