内部控制概述

1、第第7 7章章 内部控制内部控制n7.17.1概述概述n7.27.2内部控制的内容与形式内部控制的内容与形式n7.37.3n7.47.4内部控制的了解内部控制的了解n7.57.5内部控制的测试内部控制的测试n7.67.6内部控制的评价内部控制的评价n7.77.7内部控制的审计内部控制的审计7.1概述7.1.1内部控制的历史演进7.1.2内部控制的整体框架7.1.3内部控制的概念内部控制的历史演进内部控制的整体框架20082008年年5 5月，财政部会同证监会、审计署、月，财政部会同证监会、审计署、银监会、保监会印发了银监会、保监会印发了企业内部控制基本规企业内部控制基本规范范，自，自20092

2、009年年7 7月月1 1日起在上市公司范围内施日起在上市公司范围内施行，鼓励非上市的大中型企业执行。行，鼓励非上市的大中型企业执行。20102010年年4 4月月1515日，财政部、证监会、审计署、日，财政部、证监会、审计署、银监会、保监会联合发布了银监会、保监会联合发布了企业内部控制应企业内部控制应用指引第用指引第1 1号号组织架构组织架构等等1818项应用指引、项应用指引、企业内部控制评价指引企业内部控制评价指引和和企业内部控制企业内部控制审计指引审计指引（简称（简称企业内部控制配套指引企业内部控制配套指引），），自自20112011年年1 1月月1 1日起在境内外同时上市的公司施日起在

3、境内外同时上市的公司施行，自行，自20122012年年1 1月月1 1日起在上海证券交易所、深日起在上海证券交易所、深圳证券交易所主板上市公司施行；在此基础上，圳证券交易所主板上市公司施行；在此基础上，择机在中小板和创业板上市公司施行。择机在中小板和创业板上市公司施行。我国内部控制发展现状企业内部控制应用指引：n 内部环境类指引：组织架构、发展战略、人力资源、社会责任、企业文化n 控制活动类指引：资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告n 控制手段类指引：全面预算、合同管理、内部信息传递、信息系统内部控制是指被审计单位为了合理保内部控制是指被审

4、计单位为了合理保证财务报告的可靠性、经营的效率和效证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和管理层和其他人员设计和执行的政策和程序。程序。内控五要素：控制环境、风险评估过内控五要素：控制环境、风险评估过程、控制活动、信息系统与沟通和对控程、控制活动、信息系统与沟通和对控制的监督。制的监督。建立健全内部控制是被审计单位管理建立健全内部控制是被审计单位管理层的责任（会计责任）。层的责任（会计责任）。内部控制的概念7.2 内部控制的内容与形式7.2.1内部控制的主要内容7.2.2内部控制的基本形式（分类）7

5、.2.3与审计相关的内部控制n组织架构组织架构n岗位责任岗位责任n业务流程业务流程 n处理手续处理手续n业务记录业务记录n检查标准检查标准n人员素质人员素质n社会责任社会责任n企业文化企业文化n内部审计内部审计内部控制主要内容内部控制基本形式（分类）审计人员应当重点关注并考虑被审计单位为实现财务报告可靠性财务报告可靠性目标设计和实施的内部控制，即与审计相关的内部控制，也称为与财务报告相关的内部控制。我国与审计相关的内部控制应用指引主要包括：n控制活动类应用指引n控制手段类应用指引与审计相关的内部控制7.3 内部控制的重要性与局限性7.3.1内部控制的重要性7.3.2内部控制的局限性内部控制的重

6、要性q内部控制的设计和运行受制于成本与效益原则。内部控制的设计和运行受制于成本与效益原则。q内部控制一般仅针对常规业务活动而设计，具有内部控制一般仅针对常规业务活动而设计，具有相对稳定性。相对稳定性。q内部控制即便设计完善，也可能因执行人员的粗内部控制即便设计完善，也可能因执行人员的粗心大意、精力分散、判断失误以及对指令的误解心大意、精力分散、判断失误以及对指令的误解而失效。而失效。q内部控制可能因有关人员相互勾结、内外串通而内部控制可能因有关人员相互勾结、内外串通而失效。失效。q内部控制可能因执行人员滥用职权或屈从于外部内部控制可能因执行人员滥用职权或屈从于外部压力而失效。压力而失效。q内部

7、控制可能因经营环境、业务性质的改变而削内部控制可能因经营环境、业务性质的改变而削弱或失效。弱或失效。内部控制的局限性7.4 对内部控制的了解7.4.1利用以往的审计经验，初步了解内部控制7.4.2实施一定的审计程序，深入了解内部控制7.4.3研究内部控制要素，充分了解内部控制7.4.4分别整体与业务流程，多层次了解内部控制7.4.5在了解内部控制的基础上，对内部控制描述影响因素主要包括：1、对被审计单位所属行业的了解；2、以往审计取得的对被审计单位情况的了解；3、被审计单位经营和会计制度的复杂性；4、对重要性的初步评估等。利用以往的审计经验，初步了解内部控制利用以往的审计经验，初步了解内部控制

8、 评价控制设计和执行在防止或发现并纠正重评价控制设计和执行在防止或发现并纠正重大错报方面的有效性。大错报方面的有效性。 具体风险评估程序：具体风险评估程序： 1、询问被审计单位的人员；、询问被审计单位的人员； 2、观察特定控制的运用、观察特定控制的运用 ； 3、检查内部控制生成的文件和报告等；、检查内部控制生成的文件和报告等； 4、追踪交易在财务报告信息系统中的处理、追踪交易在财务报告信息系统中的处理过程过程 执行穿行测试执行穿行测试实施一定的审计程序，深入了解内部控制实施一定的审计程序，深入了解内部控制n了解控制环境了解控制环境n了解风险评估过程了解风险评估过程n了解信息系统与沟通了解信息系

9、统与沟通n了解控制活动了解控制活动n了解对控制的监督了解对控制的监督研究内部控制要素，充分了解内部控制研究内部控制要素，充分了解内部控制n了解控制环境了解控制环境 指被审计单位对内部控制及其重要性的态度、指被审计单位对内部控制及其重要性的态度、认识和措施。认识和措施。 影响因素包括影响因素包括： 1、对诚信和道德价值观念的沟通和落实；、对诚信和道德价值观念的沟通和落实； 2、对胜任能力的重视；、对胜任能力的重视； 3、治理层的参与程度；、治理层的参与程度； 4、管理层的理念和经营风格；、管理层的理念和经营风格； 5、组织结构及职权与责任的分配；、组织结构及职权与责任的分配； 6、人力资源政策与

10、实务。、人力资源政策与实务。n了解风险评估过程了解风险评估过程 被审计单位风险评估过程包括识别与财务报告相被审计单位风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。关的经营风险，以及针对这些风险所采取的措施。 在评价被审计单位的风险评估过程时，审计人员在评价被审计单位的风险评估过程时，审计人员应确定管理层应确定管理层： 1、如何识别与财务报告相关的经营风险；、如何识别与财务报告相关的经营风险； 2、如何估计该风险的重要性；、如何估计该风险的重要性； 3、如何评估风险发生的可能性；、如何评估风险发生的可能性； 4、如何采取措施管理这些风险。、如何采取措施管理这些风险。

11、 审计人员还应询问管理层已识别出的经营风险，审计人员还应询问管理层已识别出的经营风险，并考虑这些风险是否可能导致重大错报。并考虑这些风险是否可能导致重大错报。 审计时还应考虑管理层未能识别的重大错报风险。审计时还应考虑管理层未能识别的重大错报风险。 n了解信息系统与沟通了解信息系统与沟通与财务报告相关的与财务报告相关的 与财务报告相关的信息系统，指被审计单位用于与财务报告相关的信息系统，指被审计单位用于确认、计量、记录和报告其交易和事项的财务信息确认、计量、记录和报告其交易和事项的财务信息系统。具体了解：系统。具体了解： 1、被审计单位交易和事项的主要类别；、被审计单位交易和事项的主要类别；

12、2、各类主要交易和事项的发生过程；、各类主要交易和事项的发生过程； 3、重要的会计凭证、账簿记录以及财务报表项目；、重要的会计凭证、账簿记录以及财务报表项目； 4、重大交易和事项的会计处理过程。、重大交易和事项的会计处理过程。n了解信息系统与沟通了解信息系统与沟通与财务报告相关的与财务报告相关的 在了解信息系统时，审计人员应当特别关注由于在了解信息系统时，审计人员应当特别关注由于管理层凌驾于账户记录控制之上，或规避控制行为管理层凌驾于账户记录控制之上，或规避控制行为而产生的重大错报风险，并考虑被审计单位如何纠而产生的重大错报风险，并考虑被审计单位如何纠正不正确的交易处理。正不正确的交易处理。

13、关于沟通，审计人员应当了解：关于沟通，审计人员应当了解： （1）被审计单位内部如何对财务报告的岗位职）被审计单位内部如何对财务报告的岗位职责以及重大事项进行沟通；责以及重大事项进行沟通； （2）管理层与治理层之间的沟通；）管理层与治理层之间的沟通； （3）被审计单位与外部的沟通等。）被审计单位与外部的沟通等。n了解控制活动了解控制活动 控制活动是指有助于确保管理层的指令得以执行控制活动是指有助于确保管理层的指令得以执行的政策和程序。重点了解：的政策和程序。重点了解： 1、交易授权、交易授权 2、职责划分、职责划分 3、凭证与记录控制、凭证与记录控制 4、资产接触与记录使用、资产接触与记录使用

14、5、独立稽核、独立稽核 控制程序是否合理有效，直接影响到会计资料的控制程序是否合理有效，直接影响到会计资料的真实性和可靠性。真实性和可靠性。n了解对控制的监督了解对控制的监督 对控制的监督是指被审计单位评价内部控制在一对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要控制的设计和运行，以及根据情况的变化采取必要的纠正措施。的纠正措施。 通常贯穿于被审计单位的日常经营活动与常规管通常贯穿于被审计单位的日常经营活动与常规管理工作中。理工作中。 利用内部审计人员等进行监督；利用

15、内部审计人员等进行监督； 利用与外部有关各方沟通或交流所获取的信利用与外部有关各方沟通或交流所获取的信息监督。息监督。 n在整体层面了解内部控制在整体层面了解内部控制 一般由项目组中对被审计单位情况比较一般由项目组中对被审计单位情况比较了解且有执业经验的成员负责。了解且有执业经验的成员负责。 认定报表层次的重大错报风险很可能源认定报表层次的重大错报风险很可能源于薄弱的控制环境，在了解被审计单位及于薄弱的控制环境，在了解被审计单位及其环境时，对其整体层面内部控制状况的其环境时，对其整体层面内部控制状况的了解非常重要。了解非常重要。 被审计单位整体层面的内部控制是否有被审计单位整体层面的内部控制是

16、否有效，将直接影响业务流程层面的内部控制效，将直接影响业务流程层面的内部控制的有效性，进而影响审计人员拟进一步实的有效性，进而影响审计人员拟进一步实施审计程序的性质、时间和范围。施审计程序的性质、时间和范围。多层面多层面了解了解内部控制内部控制n在业务层面了解内部控制在业务层面了解内部控制（1）确定重要的业务流程和交易类别；）确定重要的业务流程和交易类别；（2）了解重要的交易流程，并加以记录；）了解重要的交易流程，并加以记录；（3）确定可能发生错报的环节；）确定可能发生错报的环节；（4）识别、了解和记录相关控制；）识别、了解和记录相关控制；（5）证实对重要交易流程和相关控制的了解；）证实对重要

17、交易流程和相关控制的了解；（6）进行初步评价和风险评估。）进行初步评价和风险评估。n在对控制进行初步评价及风险评估后，审计在对控制进行初步评价及风险评估后，审计人员需要利用对内控了解所获得的信息，判人员需要利用对内控了解所获得的信息，判断控制的设计是否合理、控制是否得到执行断控制的设计是否合理、控制是否得到执行及是否更多地信赖控制并实施控制测试。及是否更多地信赖控制并实施控制测试。多层面多层面了解了解内部控制内部控制n文字叙述法文字叙述法 参教材P128表7-1n问卷调查法问卷调查法 参教材P129表7-2n流程图法流程图法 参教材P132图7-2对内部控制对内部控制的描述的描述7.5 内部控

18、制的测试7.5.1 控制测试的含义和要求7.5.2 控制测试的性质7.5.3 控制测试的时间7.5.4 控制测试的范围n控制测试的含义控制测试的含义 是指为了评价关于控制防止或发现并纠正认是指为了评价关于控制防止或发现并纠正认定层次重大错报的有效性而实施的测试。控制定层次重大错报的有效性而实施的测试。控制测试的目的是评价控制是否有效运行。测试的目的是评价控制是否有效运行。 审计人员应当选择为相关认定提供证据的控审计人员应当选择为相关认定提供证据的控制进行测试。制进行测试。 区别于区别于“对内部控制的了解对内部控制的了解”和实质性程序。和实质性程序。n控制测试的基本要求控制测试的基本要求两种情形

19、两种情形 情形情形1：只有认为控制设计合理、能够防止：只有认为控制设计合理、能够防止或发现并纠正认定层次的重大错报，审计人员或发现并纠正认定层次的重大错报，审计人员才有必要对控制运行的有效性实施测试。才有必要对控制运行的有效性实施测试。 情形情形2：如果认为仅实施实质性程序获取的：如果认为仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可审计证据无法将认定层次重大错报风险降至可接受的水平，审计人员应当实施相关的控制测接受的水平，审计人员应当实施相关的控制测试，以获取控制运行有效性的证据。试，以获取控制运行有效性的证据。 应就控制在相关期间或时点的运行有效性获应就控制在相关期间或时点

20、的运行有效性获取充分、适当的审计证据。取充分、适当的审计证据。 n是指控制测试所使用的审计程序的是指控制测试所使用的审计程序的类型及其组合。类型及其组合。n控制测试采用的审计程序类型：控制测试采用的审计程序类型：l询问询问l观察观察l检查检查l穿行测试穿行测试l重新执行重新执行控制测试控制测试的性质的性质n是指何时实施控制测试以及测试所针对是指何时实施控制测试以及测试所针对的控制适用的时点和期间。的控制适用的时点和期间。n根据控制测试目的确定控制测试时间：根据控制测试目的确定控制测试时间：l 如果只需要测试控制在特定时点的运行如果只需要测试控制在特定时点的运行的有效性（如对被审计单位期末库存盘

21、点的有效性（如对被审计单位期末库存盘点进行控制测试），审计人员只需要获取该进行控制测试），审计人员只需要获取该时点的审计证据；时点的审计证据；l 如果需获取控制在某一期间有效运行的如果需获取控制在某一期间有效运行的审计证据，审计人员应辅以其他控制测试审计证据，审计人员应辅以其他控制测试（包括测试被审计单位对控制的监督），（包括测试被审计单位对控制的监督），其他控制测试应当能够提供相关控制在所其他控制测试应当能够提供相关控制在所有相关时点都运行有效的审计证据。有相关时点都运行有效的审计证据。控制测试控制测试的时间的时间n是指某项控制活动的测试次数。是指某项控制活动的测试次数。n考虑下列因素：考虑

22、下列因素：l在整个拟信赖的期间，被审计单位执行在整个拟信赖的期间，被审计单位执行控制的频率控制的频率l在所审计期间，审计人员拟信赖控制运在所审计期间，审计人员拟信赖控制运行有效性的时间长度行有效性的时间长度l所需获取审计证据的相关性和可靠性所需获取审计证据的相关性和可靠性l通过测试与认定相关的其他控制获取的通过测试与认定相关的其他控制获取的审计证据的范围审计证据的范围l在风险评估时拟信赖控制运行有效性的在风险评估时拟信赖控制运行有效性的程度程度l控制的预期偏差控制的预期偏差控制测试控制测试的范围的范围7.6.1 什么是内部控制评价？7.6.2 内部控制评价的方法7.6.3 如何评价内部控制的有

23、效性？7.6.4 内部控制审计的基本问题7.6.5 内部控制缺陷7.6.6 内部控制审计报告7.6 内部控制评价与审计321内部控制内部控制评价评价评价内容：对内部控评价内容：对内部控制设计有效性和运行制设计有效性和运行有效性的评价。有效性的评价。是什么？是指由是什么？是指由企业董事会和管企业董事会和管理层实施的，对理层实施的，对企业内部控制有企业内部控制有效性进行评价，效性进行评价，形成评价结论，形成评价结论，出具评价报告的出具评价报告的过程。过程。按照目的分类：年度按照目的分类：年度评价和专项评价。评价和专项评价。什么是内部控制评价？什么是内部控制评价？内部控制评价的方法内部控制评价的方法

24、如何评价内部控制的有效性？如何评价内部控制的有效性？ 是指审计机构接受委托，对特定基准日内部是指审计机构接受委托，对特定基准日内部控制设计与运行的有效性进行审计。控制设计与运行的有效性进行审计。对特定基准日的内部控制进行审计；对特定基准日的内部控制进行审计；对财务报告内部控制发表审计意见，对财务报告内部控制发表审计意见，对相关审对相关审计过程中注意到的非财务报告内部控制重大缺计过程中注意到的非财务报告内部控制重大缺陷，陷，应应增加描述段予以说明增加描述段予以说明；对企业内部控制设计与运行的有效性进行审计，对企业内部控制设计与运行的有效性进行审计，而不是对内部控制自评报告进行审计。而不是对内部控

25、制自评报告进行审计。可单独进行内部控制审计，也可将内部控制审可单独进行内部控制审计，也可将内部控制审计与财务报表审计整合进行计与财务报表审计整合进行内部控制审计的基本问题内部控制审计的基本问题内部控制内部控制审计程序审计程序内部控制缺陷内部控制缺陷 表明内部控制可能存在重大缺陷的迹象： （1 1）审计发现董事、监事和高级管理人）审计发现董事、监事和高级管理人员舞弊；员舞弊； （2 2）企业更正已经发布的财务报表；）企业更正已经发布的财务报表； （3 3）审计发现当期财务报表存在重大错）审计发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报，而内部控制在运行过程中未能发现该错报；

26、报； （4 4）企业审计委员会和内部审计机构对）企业审计委员会和内部审计机构对内部控制的监督无效。内部控制的监督无效。内部控制审计报告的类型内部控制审计报告的类型 截至截至20122012年年4 4月月3 3日，事务所共为日，事务所共为173173家上市公司出具了内家上市公司出具了内部控制审计报告，其中，标准内部控制审计报告部控制审计报告，其中，标准内部控制审计报告171171份，带强份，带强调事项段的无保留意见内部控制审计报告调事项段的无保留意见内部控制审计报告1 1份，否定意见的内份，否定意见的内部控制审计报告部控制审计报告1 1份。份。 大华会计师事务所对华孚色纺股份有限公司大华会计师事

27、务所对华孚色纺股份有限公司20112011年度内年度内部控制出具了带强调事项段的无保留意见审计报告。部控制出具了带强调事项段的无保留意见审计报告。 强调事项强调事项 我们提醒内部控制审计报告使用者关注，华孚色纺股份我们提醒内部控制审计报告使用者关注，华孚色纺股份有限公司母公司及重要子公司截止有限公司母公司及重要子公司截止20112011年年1212月月3131日尚未建立日尚未建立风险管理制度和无形资产管理制度。截至审计报告日，华孚风险管理制度和无形资产管理制度。截至审计报告日，华孚色纺股份有限公司母公司及重要子公司已经对上述缺陷进行色纺股份有限公司母公司及重要子公司已经对上述缺陷进行了整改，分

28、别制定了了整改，分别制定了风险管理程序风险管理程序和和无形资产管理作无形资产管理作业指导书业指导书，规范了相应的业务操作流程。，规范了相应的业务操作流程。 本段内容不影响已对财务报告内部控制发表的审计意见本段内容不影响已对财务报告内部控制发表的审计意见。20112011年年新华新华制药制药内部内部控制控制否定否定意见意见审计审计报告报告n注册会计师对在审计过程中注意到的非财务报告内部控非财务报告内部控制缺陷制缺陷，应当区别具体情况予以处理：n（1）注册会计师认为非财务报告内部控制缺陷为一般缺陷的，应当与企业进行沟通，提醒企业加以改进，但无需在内部控制审计报告中说明。 n（2）注册会计师认为非财务报告内部控制缺陷为重要缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进，但无需在内部控制审计报告中说明。 n（3）注册会计师认为非财务报告内部控制缺陷为重大缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进；同时应当在内部控制审计报告中增加非财非财务报告内部控制重大缺陷描述段务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。n课后练习题课后练习题1答案：答案：n课后练习题课后练习题2答案