内部控制的理论及实务

1、chendanpingNanjing Audit University1 chendanpingNanjing Audit University2 l1、内部控制理论的发展及框架 l2、内部控制要素及评价 l3、内部控制审计方法 chendanpingNanjing Audit University3 发展阶段 时间 期望和需求 特点 内部牵制 20世纪 预防舞弊，保护 以组织控制、不相容 20年代 所有者权益 职务分离为核心内容 内部控制 20世纪 提高审计的效率， 分为会计控制和管理控制 40-70年代 降低审计成本 不考虑环境因素的影响 用于系统基础审计 内部控制 20世纪 提高审计的效

2、率 开始考虑环境对控制的影响 结构 70-90年代 降低审计风险， 提出三要素：控制环境、 用于风险导向审计 会计系统和控制程序 内部控制 20世纪90 服务于组织目标的 提出内部控制三目标和 整体框架 年代后 实现；同时也用于 五要素：控制环境、风险评估 重大错报风险的评估 控制活动、信息沟通、监督 chendanpingNanjing Audit University4 一、内部控制概念一、内部控制概念 ： （一）定义： 1、内部控制是组织为实现经营目标， 通过制定和实施一系列制度、程序和方 法，对风险进行事前防范、事中控制、 事后监督和纠正的动态过程和机制。 chendanpingNan

3、jing Audit University5 2、COSO提出：提出： l内部控制内部控制 -被定义为一个过程，这个过程受企被定义为一个过程，这个过程受企 业的董事会、管理层及其他人员的影响。设计业的董事会、管理层及其他人员的影响。设计 这个过程是为达成下列目标提供合理的保证这个过程是为达成下列目标提供合理的保证: 营运的效果和效率营运的效果和效率;财务报表的可靠性财务报表的可靠性;相关法相关法 令的遵循。令的遵循。 l“内部控制是由企业董事会、经理阶层和其他内部控制是由企业董事会、经理阶层和其他 员工实施的，为运营的效率效果、财务报告的员工实施的，为运营的效率效果、财务报告的 可靠性、相关法

4、令的遵循等目标的实现提供合可靠性、相关法令的遵循等目标的实现提供合 理保证的过程。理保证的过程。” chendanpingNanjing Audit University6 COSO提出“内部控制是由董事会、经理阶层和其他员工 实施的”，他们各自承担的责任应该是： 1、经理阶层经理阶层总体责任：建立健全内部控制并使之有效运 行 1-1 总经理确保组织具有积极的内部控制环境，了解 下属责任的履行，自我评估和改善； 1-2 部门负责人制定与执行与部门目标有关的内部控 制 ， 确保与组织目标的一致； 1-3 更低层次负责人执行与本层次有关的内部控制， 处理例外，向上级汇报； 1-4 财务主管具有全局

5、性而特殊重要， 记录和分析营 运状况，制定和执行财务报告内部控制。 chendanpingNanjing Audit University7 2、董事会董事会的责任 2-1 通过选择管理层说明其对操守、价值观 的期望； 2-2 通过监督活动确认其期望的实现程度； 2-3 保留关键决策权和监督权，涉入内部控 制。 chendanpingNanjing Audit University8 3、其他人员其他人员的责任 3-1 内部审计人员的责任是内部控制的 一部分，责任是直接检查、连续监控和 建议完善； 3-2 其他员工的责任采取行动、提供信 息，出现问题时向上报告的责任。 chendanpingN

6、anjing Audit University9 萨班斯萨班斯奥克斯利法案奥克斯利法案（Sarbanes-Oxleys Acts） 2002年年7月发布的月发布的萨班斯萨班斯奥克斯利法奥克斯利法 案案要求公司的管理层评估和报告公司最近年要求公司的管理层评估和报告公司最近年 度的财务报告的内部控制的有效性。还要求公度的财务报告的内部控制的有效性。还要求公 司的外部审计师对管理层的评估意见出具司的外部审计师对管理层的评估意见出具“证证 明明”，即向股东和公众提供一个信赖管理层对，即向股东和公众提供一个信赖管理层对 公司财务报告的内部控制描述的独立理由。公司财务报告的内部控制描述的独立理由。 che

7、ndanpingNanjing Audit University10 3、中国内部审计协会（CIIA)2005年在具 体准则5中提出： 内部控制是指组织内部为实现经营内部控制是指组织内部为实现经营 目标，保护资产安全完整，保证遵循国目标，保护资产安全完整，保证遵循国 家法律法规，提高组织营运效率及效果家法律法规，提高组织营运效率及效果 而采取的各种政策和程序。而采取的各种政策和程序。 chendanpingNanjing Audit University11 全面理解其内涵： （1）目的性：为实现一定目标而实施； （2）过程性：使组织活动依循既定目标进行的过程； （3）结合散布性：与组织活动相

8、结合，散布于各项活动 中； （4）环境影响：环境深刻地影响内部控制的有效性； （5）人的特殊地位：人既是控制的主体，又是控制的客 体； （6）文化性：组织内部存在的“控制观念”直接影响控 制效果。 chendanpingNanjing Audit University12 二、内部控制主体： 行政领导、职能部门、有关人员 三、目的： （1）确保国家法律规定和组织内部规章制度的 贯彻执行； （2）确保组织发展战略和经营目标的全面实施 和充分实现； （3）确保风险管理体系的有效性； （4）确保业务记录、财务信息和其他管理信息 的及时、真实和完整。 chendanpingNanjing Audit

9、University13 四、内部控制措施： （1）组织控制与职务分离； （2）授权批准控制； （3）文件记录控制； （4）实物安全控制； （5）人员素质控制； （6）预算控制与业绩报告； （7）内部审计等。 chendanpingNanjing Audit University14 五、内部控制类型 1、预防性控制：防止错弊和损失的发生 例如：对客户信用进行审核以减少坏帐发生；采用招标 方式选择理想的供应商等。 2、检查性控制：将已经发生或存在的错误检查出来 例如：核对银行对帐单，检查预防性控制的执行情况等。 3、纠正性控制：对检查出来的错误进行更正 例如：当计算机检查出输入有误的供应商号码

10、，可以从 供应商取出正确的号码进行更正。 chendanpingNanjing Audit University15 4、指导性控制：为实现有利结果的控制 例如：上级对下级人员的督导等。 5、补充性控制：针对某些控制环节的不足 而采取的补充 例如：业主或经理的亲自督导经常能弥补 小规模组织的职务分离不足等。 chendanpingNanjing Audit University16 六、内部控制的局限性 1、成本限制（成本效益原则） 2、串通舞弊 3、人为错误 4、管理越权 5、修订跟不上变化（时效性） chendanpingNanjing Audit University17 一、内部控制的

11、要素 l1992年美国的COSO报告最初提出时，就明确 了内部控制五要素的整体架构；2002年美国发 布的萨班斯-奥克斯莱法案，又再次肯定了 COSO报告所提出的内部控制五要素的整体架 构。内部控制五要素论认为内部控制整体框架 是由控制环境、风险评估、内部控制活动、信 息交流以及监督等五要素组成的。2004年又增 加二个要素：事件识别、风险反映。 chendanpingNanjing Audit University18 1、控制环境：是内部控制组成要素的基础，是 所有控制方式方法赖以存在的运行环境。这对 塑造企业文化、提供纪律约束机制和影响员工 控制意识有着重要作用。影响控制环境的因素 有员

12、工品德与能力、管理哲学与经营风格、组 织结构与权责划分、人力资源运用与发展、董 事会的关注与指导等。 2、风险评估：其目的是为了辨认并分析影响目 标达成的各种不确定因素。 chendanpingNanjing Audit University19 3、事件识别：识别是否构成风险事项或潜在风 险因素。 4、风险反映：确定组织可接受的风险水平及风 险损失等。 5、内部控制活动：是确保管理阶层指令实现的 各种政策和程序总称，其主要内容包含：核准、 授权、验证、调节、复核、资产保全、职务分 工。 chendanpingNanjing Audit University20 6、信息与沟通，目的在于确保整

13、个内部控制中 资讯的辩识、取得以及内外的有效沟通。 7、监督，是指随着时间流逝而评估内部控制制 度执行质量的过程。监督方式有三种：持续监 督、个别评估、综合监督。内部控制缺失严重 的，则必须向最高管理阶层及董事会呈报。 chendanpingNanjing Audit University21 二、内部控制的设计原则 1、设计程序正确分段 一般分段：计划申请 审核批准 办理手续 实施执行 记录登记 核实核对 2、考虑不相溶职责分工： （1）授权批准某项业务与执行该业务职责 分离 （2）执行某项业务与审核该业务职责分离 chendanpingNanjing Audit University22

14、（3）执行某项业务与记录该业务职责分离 （4）资产保管与资产记录职责分离 （5）资产保管与资产清查职责分离 （6）记录总账与记录明细帐、日记账职责 分离 电子数据处理系统下：系统分析员、编程 员、计算机操作员、资料保管员、数据 控制小组等应职责分离 chendanpingNanjing Audit University23 三、组织内部控制设计中控制风险责任追究制度： 1、董事会、高级管理层应当对内部控制失效 造成的重大损失承担责任； 2、内部审计部门应当对检查发现问题隐瞒不 报、上报虚假情况或检查监督不力，承担相应 的责任； 3、业务部门应当及时纠正内部控制存在的问 题，并对出现的风险和损失

15、承担相应的责任； 4、高级管理层应当对违反内部控制的人员， 依据法律规定、内部管理制度追究责任和予以 处分，并承担处理不力的责任。 chendanpingNanjing Audit University24 四、萨克斯法案对内部控制的影响 1、由于美国萨班斯-奥克斯莱法和美国证券 交易委员会的有关指南，要求上市公司的高层 管理人员对提交的财务报告提供保证，因此执 行管理层是控制环境和财务资料的责任人。 2、外部审计师为财务报告作公证，他要向财务 报告使用者保证报告中的资料是按照公认会计 准则公允地反映了组织的财务状况。 3、内部审计师则负责向审计委员会或其它委员 会保证，组织为编制财务报告所设

16、置的内部控 制制度是有效的。内部审计执行主管要经常及 时地与审计委员会沟通。 chendanpingNanjing Audit University25 为了帮助高级管理人员履行法定义务 和要求，内部审计执行主管应将财务报 告编制内部控制有效性评价和财务报告 过程审计列入年度审计工作计划，并分 配适当的资源。 chendanpingNanjing Audit University26 五、财务报表有关的内部控制有效性评价： 1、组织是否有浓厚的道德文化环境 （1）董事和高级管理人员是否以身作则遵守组织的道德 行为规范，为员工树立榜样。 （2）组织的道德行为规范是否通过培训使全体员工了解， 并成

17、为组织道德文化的倡导者和执行者。 （3）组织有无公开的沟通渠道，使管理人员获得所需的 信息。 （4）组织的目标和激励措施是否恰当，有无过分强调短 期行为的现象。 （5）财务报告有无不实的表述和舞弊。 chendanpingNanjing Audit University27 2、组织怎样进行风险管理 （1）组织有无风险管理程序？是否有效？ （2）高级管理层是否依靠整个组织来控 制风险？ （3）管理层是否开诚布公地与董事会讨 论主要风险？ chendanpingNanjing Audit University28 3、组织的控制制度是否有效 （1）组织对财务报告过程的控制是否全面？ 是否包括收集

18、资料、编制财务报表及其附注， 以及规定要披露的和自主披露的事项 （ 2）高级管理层和相关管理层是否声明对控制 有效性承担责任？ （3）组织的财务报告或财务披露是否反映出 高级管理层、董事 会或组织事故不断？ chendanpingNanjing Audit University29 （4）整个组织是否有良好的沟通渠道和报 告制度？ （5）控制制度被视为促进目标实现的积极 因素，还是绊脚石？ （6）雇用的人员是否合格？是否经过充分 的培训？ （7）解决问题是否及时和有效？ chendanpingNanjing Audit University30 4、组织是否有有效的监督 （1）董事会是否独立于

19、管理当局，没有利益 衝突，信息灵通，对存在的问题及时进行了调 查？ （2）内部审计是否得到高级管理层和审计委 员会的支持？ （3）内部审计师和外部审计师是否与高级管 理层和审计委员会进行开诚布公的沟通和私人 接触？ （4）各级管理人员是否对控制过程进行监督？ （5）对外购审计过程是否进行了监督？ chendanpingNanjing Audit University31 六、存在的问题： 1、 组织内控制度实务中存在的多种 问题，归纳起来主要有： 无章可循，内控制度不健全； 有章难循，内控制度脱离企业实际； 有章不循，缺乏制度执行机制； 违章不纠，缺乏必要奖惩制约。 chendanpingNa

20、njing Audit University32 2、传统管理观念的负面影响： 以“家长制”为主的管理构架，缺乏对员工 权益和民主的足够重视； 以个人忠诚为基本管理关系纽带，用人有明 显的感情关系； 重视可见资产和短期利益，忽视隐形资产和 长远利益； 习惯于封闭式管理方式，漠视环境变化的影 响； chendanpingNanjing Audit University33 唯上级的指令和红头文件为管理依据，忽视 客观规律和员工的主观能动作用； 唯行政隶属关系为管理关系纽带，忽视产权 关系、科学与法制； 利益分配平均化和主观化，忽视团体和个人 的贡献； 习惯于条块分割式规模管理，忽视系统科学 的网

21、络管理。 chendanpingNanjing Audit University34 七、内部控制评价方法 1、一般方法 1-1 利用以前年度审计获得的信息，并作适 当更新； 1-2 询问管理和其他人员，并加以印证； 1-3 审阅各项管理制度和相关文件； chendanpingNanjing Audit University35 1-4 检查内部控制执行过程中生成的记录和 凭证； 1-5 实地观察，针对关键控制点； 1-6 对具有代表性业务进行穿行测试； 1-7 调查表法 chendanpingNanjing Audit University36 2、 内部控制调查举例：采购业务循环的 内部控

22、制调查 2-1 业务流程描述 采购业务是组织从外部获得商品或劳务并 支付价款的过程。该循环通常包括： （1）提出采购申请，由采购部门或仓库部 门根据存货库存水平或生产需要提出； chendanpingNanjing Audit University37 （2）编制和批准订货单，包括供应商的选 择和价格比较； （3）与供货商签定采购合同； （4）验收货物，包括质量检验； （5）确认债务或支付货款。 chendanpingNanjing Audit University38 采购 审批 采购 入库 付款 记帐 （使用）（领导）（供应） （仓库）（财务） （财务） 请购单 请购单 供应计划 质检单

23、付款凭证 记帐 供货合同 入库单 凭证 发票 发运单 chendanpingNanjing Audit University39 2-3 采购业务循环内部控制调查表内容举例 （1）申请采购。 例如：采购计划是否经主管负责人核准；对主要原材料 和其他金额较大的物资采购重大事项，是否通过会议 或其他形式的集体决策；采购是否与请购、审批、运 送、验收的职责相分离；对重要物资的采购价格是否 由内部价格信息部门审核。 （2）购入货物。 例如：大宗货物入库前是否有质量检验部门的鉴定手续； 收到货物的品种、数量和质量与合同、发票不符的是 否记录并采取相应措施等。 chendanpingNanjing Aud

24、it University40 （3）确认和记录采购和应付款项 例如；会计部门是否根据进货单和购货发票登记 材料采购帐户；财务部门和仓储部门是否定期 核对购货入库情况；是否定期与常年和供货商 核对应付帐款等。 （4）评价结论： 采购业务循环的控制风险为（高、中、低）； 是否进行符合性测试（是、否）。 chendanpingNanjing Audit University41 3、 符合性测试举例： 3-1采购业务循环内部控制测试程序表（工 作底稿） chendanpingNanjing Audit University42 测试方法 测试内容 执行情况 索引号 1、询问 （1）取得与采购业务相

25、关的管理规定、 进货报告和记录； （2）询问采购业务相关人员有关内部控制 执行情况，重点是批准手续和复核对帐。 2、观察 对不相容职务的分离情况进行观察 3、检查书 （1）采购合同 面文档 （2）核对采购合同与采购单、订购单、 入库单、付款和记帐凭证等是否一致； （3）检查采购合同与请购单的授权批准； （4）检查重要物资的采购价格审批情况； chendanpingNanjing Audit University43 测试方法 测试内容 执行情况 索引号 检查书面 （5）收货记录 文档 （6）检查没有购货合同的进货采购前 是否已获批准 （7）应付帐款明细帐：是否有对帐记录； 入帐是否附有购货发票

26、，没有购货发票 是否根据估计成本计算债务；入帐是否 以已收货物或劳务为基础。 结论：经内部控制测试评价，确认采购业务循环的控制风险为： 高（ ） 中（ ） 低（ ） chendanpingNanjing Audit University44 3-2要素评价的工具（以监督要素为例） 一一.持续的监督持续的监督 (一一) 1. 结论结论/所需的措施所需的措施 二二.个别评估个别评估 (一一) 1. 结论结论/所需的措施所需的措施 三三.缺失的报导缺失的报导 (一一) 1. 结论结论/所需的措施所需的措施 本要素的汇整本要素的汇整结论结论/所需的措施所需的措施 chendanpingNanjing

27、Audit University45 4、要素评价要素评价 4-1控制环境评价控制环境评价 4-1-1操守及价值观评价操守及价值观评价 有否员工行为守则有否员工行为守则 高层道德指引高层道德指引 管理阶层交往管理阶层交往 对违反行为的惩罚对违反行为的惩罚 对逾越控制的态度对逾越控制的态度 诱惑与奖励诱惑与奖励 chendanpingNanjing Audit University46 4-1-2执行能力执行能力 职务说明书职务说明书 技能分析技能分析 4-1-3董事会及监督委员会董事会及监督委员会 独立与质疑独立与质疑 子委员会子委员会 知识与经验知识与经验 与相关方面联系与相关方面联系 ch

28、endanpingNanjing Audit University47 资讯获取资讯获取 资讯评估资讯评估 重要决定的监督重要决定的监督 高层道德观念高层道德观念 监督行为监督行为 chendanpingNanjing Audit University48 4-2目标风险评估目标风险评估 4-2-1整体目标制订整体目标制订 整体目标及特定性 整体目标传达 策略与整体目标关系 计划预算与整体目标关系 4-2-2作业层级目标制订作业层级目标制订 作业层级目标与整体目标的关系 chendanpingNanjing Audit University49 各作业层级目标的一致性 各作业层级与重大业务间相

29、关性 各作业层级明确性 实现目标所需资源的适当性 辨识层级目标的重要性 参与及承诺 chendanpingNanjing Audit University50 5、控制自我评估 5-1 20世纪80年代始，北美洲一些公司将 内部控制和风险管理交由各营运单位管理层自 行负责，并取得显著成效后，这一被称为“控 制自我评价”的做法在美国和许多国家传播和 推广。 控制自我评价的关键内容是：由营运组织定 期开会和分析，通过思考和坦诚沟通，找出作 业流程和控制的问题所在，并提出改善的行动 方案。 控制自我评价本质是一种管理实务，并非审 计活动，但内部审计可以参与其中。 chendanpingNanjing Audit University51 5-2控制自我评价的过程 （1）取得管理层的支持：建立审计与管理层的 合作关系 （2）建立工作小组：至少有两个协调人，组织 研讨会 （3）召开研讨会：分享信息与经验，加以评价 （4）分析数据； （5）报告结果； （6）形成行动计划。 chendanpingNanjing Audit University52 5-3、内部审计在自我评价中的作用 5-3-1 一般作用： 设计、培训和承办活动； 担任自我评价活动的顾问