大学《审计学》课件第07章 内部控制系统及其评审

第七章内部控制及其评价与审计本章内容

第1节内部控制系统第2节财务报告内部控制第3节内部控制的描述第4节内部控制评价第5节内部控制审计7.1内部控制系统一则小故事一位叫阿克顿（1834-1902）的英国历史学家讲过一个分粥的故事，可以给从事企业管理，制定内控制度的人士一些感性的体悟。有七个人组成的小团体，其中每个人都是平凡而且平等的。他们没有凶险祸害之心，但不免自私自利。他们想用非暴力的方式，通过制定制度来解决每天的吃饭问题——要分食一锅粥，但并没有称量用具或有刻度的容器。大家试验了不同的方法，发挥了聪明才智，多次博弈形成了日益完善的制度。大体说来主要有以下几种：制度一：指定一个人负责分粥事宜。很快大家发现，这个人为自己分的粥最多。于是又换了一个人，结果总是主持分粥的人碗里的粥最多最好。阿克顿的结论是：权力会导致腐败；绝对权力绝对腐败。制度二：大家轮流主持分粥，每人一天，这样等于承认了个人为自己分粥的权利，同时给予了每个人为自己多分粥的机会。虽然看起来平等了，但是每个人在一周中只有一天吃的饱而且有剩余，其余六天都饥饿难挨。大家认为这种办法造成了资源浪费。制度三：大家选举一个信得过的人主持分粥。开始这位品德尚属上乘的人还能公平分粥，但不久他开始为自己和溜须拍马的人多分。不能放任其堕落和风气败坏，还得寻找新思路。制度四：选举一个分粥委员会和一个监督委员会,形成监督和制约。公平基本做到了，可是由于监督委员会常提出各种议案，分粥委员会又据理力争，等分粥完毕时，粥早就凉了。可见，如果制度效率不高，就要吃凉粥，就要影响当初制定制度时所想达到的那个目的。最后想出来一个方法：轮流分粥，但分粥的人要等其它人都挑完后拿剩下的最后一碗。为了不让自己吃到最少的，每人都尽量分得平均，就算不平，也只能认了。大家快快乐乐，和和气气，日子越过越好。同样是七个人，不同的分配制度，就会有不同的风气。所以一个单位如果有不好的工作习气，一定是机制问题，一定是没有完全公平公正公开，没有严格的奖勤罚懒。如何制订这样一个制度，是每个领导需要考虑的问题。

1934年美国《证券交易法》，提出“内部会计控制”内部牵制1936年AICPA首次使用了“内部控制”这一术语1949年内控的第一个权威定义，AICPA发表专题报告1953年1972年1988年第一次修正第二、三次修正，最终形成《审计准则公告第1号》AICPA提出内部控制结构定义1992年COSO内部控制整体框架2004年COSO风险管理整合框架2002年SOA法案内部控制制度内部控制结构内部控制整体框架风险管理框架一、内部控制的发展内部控制的发展（一）内部牵制阶段对内部牵制的概念解释最为全面的是《柯勒会计辞典》。《柯勒会计辞典》认为：“内部牵制是指以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。其主要特点是以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织上的责任分工，（一）内部牵制阶段每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。设计有效的内部牵制以使每项业务能完整、正确地经过规定的处理程序，而在这种规定的处理程序中，内部牵制机制永远是一个不可缺少的组成部分。”内部牵制实物牵制体制牵制簿记牵制机械牵制（一）内部牵制阶段（二）内部控制制度阶段最早提出内部会计控制系统的是1934年美国发布的《证券交易法》该法规定：证券发行人应设计并维护一套能提供合理保证的内部会计控制系统。（二）内部控制制度阶段1949年，美国注册会计师协会（AICPA）所属的审计程序委员会发布了题为《内部控制：系统协调的要素及其对管理部门和独立公共会计师的重要性》的特别报告，首次正式提出了内部控制的权威性定义。即“内部控制包括组织机构的设计和企业内部采取的所有协调方法和措施，旨在保护资产，检查会计信息的准确性和可靠性，提高经营效率，促进既定管理政策的贯彻执行”（二）内部控制制度阶段1958年，美国审计程序委员会又发布了《独立审计人员评价内部控制的范围》的报告，将内部控制分为内部会计控制和内部管理控制。内部控制内部会计控制内部管理控制内部会计控制和内部管理控制内部会计控制：涉及与财产安全和会计记录的准确性、可靠性有直接联系的所有方法和程序，如授权与批准控制、从事财物记录与审核的职务及从事经营与财产保管的职务实行分离控制、实物控制和内部审计等。内部管理控制：主要是与贯彻管理方针和提高经营效率有关的所有方法和程序，一般与财务会计只是间接相关，如统计分析、时间动作研究、业绩报告、员工培训、质量控制等。将内部控制一分为二使得审计人员在研究和评价企业内部控制制度的基础上来确定实质性测试的范围和方式成为可能。由此内部控制进入“制度二分法”或“二要素”阶段。（二）内部控制制度阶段1972年，美国审计准则委员会(ASB)在《审计准则公告第1号》中，重新并且更加明确地阐述了内部会计控制和内部管理控制的定义：内部会计控制包括(但不限于)组织规划、保护资产安全以及与财务报表可靠性有关的程序和记录。内部管理控制包括(但不限于)组织规划及与管理当局进行经济业务授权的决策过程有关的程序和记录。（三）内部控制结构阶段1988年，美国注册会计师协会（AICPA）发布《审计准则公告第55号》（SAS55）从1990年1月起取代1972年发布的《审计准则公告第1号》。首次以“内部控制结构”的概念代替“内部控制制度”，明确“企业内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”。

内部控制结构构成内部控制三要素控制环境会计制度控制程序（三）内部控制结构阶段控制环境管理者的思想和经营作风组织结构董事会及其所属委员会的职能确定职权和责任的方法控制方法外部关系控制程序明确各个人员的职责分工账簿和凭证的设置、记录与使用资产及记录的限制接触已登记的业务及其记录的复核等会计制度对各项经济业务及时和适当的分类将各项经济业务按照适当的货币价值计价确定经济业务发生的日期财务报表中的恰当表述此时的内部控制融会计控制和管理控制于一体，从“制度二分法”步入了“结构分析法”阶段即“三要素阶段”。这是内部控制发展史上的一次重要改变。内部控制结构阶段主要贡献：1.不再区分会计控制和管理控制，而统一以要素来表述；2.首次将控制环境纳入内部控制的范畴。（四）内部控制整合框架阶段COSO《内部控制——整合框架》（InternalControl-IntegratedFramework）整合框架一个定义三项目标五种要素1992年9月，美国反对虚假财务报告委员会下属的由美国会计学会（AAA）、美国注册会计师协会（AICPA）、美国国际内部审计师协会（IIA）、美国财务经理协会（FEI）和美国管理会计学会（IMA)等组织参与的发起组织委员会（COSO）发布报告《内部控制——整合框架》，即“COSO报告”。

这一报告成为内部控制领域最为权威的文献之一。（四）内部控制整合框架阶段COSO《内部控制——整合框架》（InternalControl-IntegratedFramework）一个定义内部控制是由企业董事会、经理阶层以及其他员工实施的，旨在为营运的效率和效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现提供合理保证的过程。三项目标经营目标、报告目标、合规目标内部控制的固有局限管理越权串通舞弊特殊事件成本效益权衡人为错误理解内部控制的局限性（五）风险管理整合框架阶段安然事件2001年12月，美国最大的能源公司之一安然公司突然申请破产，此后上市公司和证券市场丑闻不断，特别是2002年6月的世界通信公司会计丑闻事件，“彻底打击了投资者对资本市场的信心”。SOX法案美国国会和政府加速制定新的法律加强对金融、会计、审计的监管，2002年7月时任美国总统小布什签署出台了《2002年公众公司会计改革和投资者保护法案》，即《萨班斯—奥克斯利法案》（Sarbanes-OxleyAct，简称SOX法案）。参议院银行委员会主席保罗·萨班斯＋众议院金融服务委员会主席迈克·奥克斯利ERM框架ERM框架该框架指出，“全面风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。2004年9月，COSO在借鉴内部控制整合框架的基础上，结合SOX法案在财务报告方面的具体要求，发表了新的研究报告—《企业风险管理框架》(EnterpriseRiskManagementFramework，简称ERM框架)。COSO《企业风险管理框架》(EnterpriseRiskManagementFramework)内部控制无论如何设计和执行只能对财务报告的可行性提供合理保证，其原因是（）A.建立和维护内部控制是公司管理层的职责B.内部控制的成本不应超过预期带来的收益C.在决策时人为判断可能出现错误D.对资产和记录采取适当的安全保护措施是公司管理层应当履行的经营责任C二、建立内部控制的必要性科学管理的要求；法律、法规的要求；成本－效益原则的要求。三、内部控制的目标和要素(一)内部控制的目标

确保企业战略的实现；运营的效果和效率；财务报告的可靠性；资产的安全、完整；符合相关的法律和法规。三、内部控制的要素(二)内部控制的要素2008年发布《企业内部控制基本规范》中提出的内部控制要素有五大类：1.内部环境2.风险评估3.控制活动4.信息与沟通5.内部监督

控制环境是实施内部控制的基础，主要包括以下几点：1.内部环境规范的公司治理结构和议事规则机构设置及权责分配审计委员会内部审计人力资源政策企业文化建设法律顾问制度及重大法律纠纷案件备案制度*注释：摘自《企业内部控制基本规范》内部风险识别管理因素组织结构经营方式资产管理业务流程安全环保因素营运安全员工健康环境保护自主创新因素研究开发技术投入信息技术财务因素财务状况经营成果现金流量人力资源因素职业操守专业胜任能力团队精神2.风险评估**注释：摘自《企业内部控制基本规范》外部风险识别经济因素经济形势产业政策融资环境市场竞争资源供给法律因素法律法规监管要求社会因素安全稳定文化传统社会信用教育水平消费者行为行业技术因素技术进步工艺改进自然环境因素自然灾害环境状况2.风险评估注册会计师对行业状况、法律环境与监管环境以及其他外部因素了解的范围和程度会因被审计单位所处行业、规模以及其他因素的不同而不同。对从事计算机硬件制造的被审计单位，注册会计师可能更关心（）A.宏观经济走势以及货币、财政等方面的宏观经济政策B.环保法规C.资本充足率D.市场和竞争以及技术进步的情况D风险应对策略*注释：摘自《企业内部控制基本规范》风险规避企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。风险分担企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。风险承受企业对风险承受度之内的风险，在权衡成本效益后，不准备采取控制措施降低风险或者减轻损失的策略。2.风险评估控制措施3.控制活动控制活动是公司建立执行的政策章程，以确保管理层的指示可以得到顺利贯彻执行。控制活动必须与风险评估是一个整体。各种控制措施的综合运用风险可承受度预防性控制及发现性控制管理控制及监督控制手工控制及自动控制3.控制活动不相容职务分离控制财产保护控制会计系统控制运营分析控制授权审批控制预算控制绩效考评控制*注释：摘自《企业内部控制基本规范》控制措施3.控制活动4.信息与沟通信息与沟通是获取和交换信息的程序，以使企业能够正常运行，并得到适当的管理及控制及时准确的最新信息；所有层次上对信息、期望和责任的沟通；内部与外部的沟通。信息的收集财务会计资料经营管理资料调研报告内部刊物办公网络等渠道行业协会组织/监管部门社会中介机构业务往来单位市场调查网络媒体等渠道内部信息外部信息合理的筛选、核对、整合可提高信息的有用性4、信息与沟通建立信息与沟通制度内部控制相关信息的收集信息的处理与传递信息的及时沟通信息与沟通系统能及时识别、获取和交流信息，促使管理层和其他员工履行其职责；科学合理的信息与沟通制度可促进内部控制的有效运行。4.信息与沟通

5.内部监督内部控制监督制度企业应制定内部控制监督制度，明确内部审计机构和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求；内部控制监督制度是企业内部控制的重要组成部分，贯穿于内部控制活动的各个环节，是确保企业内部控制高效运行的重要保障。

内部控制缺陷认定标准

企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。其中，内部控制缺陷包括：设计缺陷运行缺陷5.内部监督三、内部控制的目标和要素监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1业务单位A业务单位B活动2活动1业业务务监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1业务单位A业务单位B活动2活动1业业务务控制环境

风险评估

控制活动

信息与沟通监控营运目标战略目标报告目标资产目标合法目标在下列各项中，不属于内部控制要素的是（）A.控制风险B.控制活动C.对控制的监督D.控制环境A

四、内部控制系统的种类

(一)内部控制系统按要素分类1.控制环境;2.风险评估;3.控制活动;4.信息与沟通;5.监控。

四、内部控制系统的种类

(二)内部控制系统按工作范围分类1.内部管理控制系统。内部管理控制系统是以提高经营效率、工作效率为目的,用于行政和业务管理方面的方法、措施和程序。2.内部会计控制系统。内部会计控制系统是以保护财产物资和确保会计资料可靠性为目的,用于会计业务和与之相关的其他业务管理方面的方法、措施和程序。四、内部控制系统的种类

(三)内部控制系统按建立的目的分类1.保护财产物资的内部控制系统;2.保证会计资料可靠性和正确性的内部控制系统;3.保证经济活动合法性和效益性的内部控制系统。

四、内部控制系统的种类(四)内部控制系统按控制方式分类1.预防性内部控制系统。预防性内部控制系统是指那些目的在于防止差错和舞弊行为的发生而设置的措施和程序。2.察觉性内部控制系统。察觉性内部控制系统是指当错弊行为发生后,能够立即自动发出信号,并及时采取纠正或补救的方法、措施和程序。单选题下列各项中，属于预防性控制的是（）。A.财务主管定期盘点现金和有价证券B.管理层分析评价实际业绩与预算的差异，并针对超过规定金额的差异调查原因C.董事会复核并批准由管理层编制的财务报表D.由不同的员工负责职工薪酬档案的维护和职工薪酬的计算D

五、内部控制的内容(一)合规、合法性控制建立和健全企业内部控制系统必须符合国家财经政策、法令和财经制度的规定,每一项经济业务活动必须控制在合规、合法的范围内。如一切会计凭证都必须由会计部门认真审核、把关,对不合规不合法的经济业务应坚决予以揭露和制止;生产和销售的产品必须符合质量要求,不许以次充优或生产销售伪劣产品;等等。

五、内部控制的内容(二)授权、分权控制现代企事业单位规模不断扩大、环节日益增多、业务纷繁,企事业单位管理层不可能事必躬亲,包揽一切事务。必须将事、权进行合理划分,对下级授权、分权,规定各级人员处理某些事务的权力。在授权、分权范围内,授权者或分权者有权处理有关事务;未经批准和授权,不得处理有关经济业务。

五、内部控制的内容(三)不相容职务控制所谓不相容职务,指集中于一人办理时,发生差错或舞弊的可能性就会增加的两项或几项职务。1.经济业务处理的分工。2.资产记录与保管的分工。3.各职能部门具有相对独立性。职责分离要求将不相容的职责分配给不同员工。下列职责分离的做法中，正确的是（）A.交易授权、交易执行、交易付款分离B.交易授权、交易记录、交易保管分离C.资产保管、交易执行、交易报告分离D.交易授权、交易付款、交易记录分离B

五、内部控制的内容(四)业务程序标准化控制为了提高工作效率,实行科学化管理,现代企业一般将每一项业务活动,都划分为六个步骤:授权、主办、核准、执行、记录和复核。按照标准化处理程序的要求,会计部门的每一个工作人员必须有严密的组织分工,会计资料力求做到统一格式、统一编号、专人填制、专人保管,防止混乱、丢失。五、内部控制的内容(五)复查核对控制为了保证会计信息的可靠性,规定各项经济业务必须经过复查核对,以免发生差错和舞弊。对业已完成的经济业务记录进行复查核对是控制记录使其正确可靠的重要方法。复查核对一般分为两种:一种是将记录与所记的事物相核实;另一种是记录之间的相互复查核对。

五、内部控制的内容(六)人员素质控制内部控制系统实施是否有效,关键取决于实施内部控制系统人员的素质。要使内部控制系统的功能按预定的目标正常发挥,必须配备与承担的职务相适应的高素质人员。人员素质的控制,除了对人员本身的素质提出较高要求外,还应对人员的选择、使用和培训采取一定的措施和办法,以控制内部控制系统执行人员的素质。7.2财务报告

内部控制一、内部控制对财务报告的影响财务报告由会计人员编制,是会计信息加工后对外公布的结果。它的产生依赖于会计核算系统、日常控制机制的运行,并受到企业内部控制环境的影响。一、内部控制对财务报告的影响建立内部控制系统的目标之一就是保证财务报告的可靠性,但保证财务报告的可靠性并不是内部控制系统的全部。一方面,有效的内部控制系统只能合理保证财务报告的可靠性;另一方面,没有内部控制系统的企业财务报告不一定不可靠。但财务报告一旦不可靠,则企业的内部控制系统必定无效。二、财务报告内部控制的涵义

财务报告内部控制是指由公司的首席执行官、首席财务官或者公司行使类似职权的人员设计或监管的,受到公司的董事会、管理层和其他人员影响的,为财务报告的可靠性和满足外部使用的财务报告编制符合公认会计原则提供合理保证的控制程序。二、财务报告内部控制的涵义具体包括以下控制政策和程序:(1)保持详细程度合理的会计记录,准确公允地反映资产的交易和处置情况。(2)为下列事项提供合理的保证:公司对发生的交易进行必要的记录,从而使财务报告的编制满足公认会计原则的要求;公司所有的收支活动经过管理层和董事会的合理授权。(3)为防止或及时发现公司资产未经授权的取得、使用和处置提供合理保证,这种未经授权的取得、使用和处置资产的行为可能对财务报告产生重要影响。三、内部控制要素与财务报告认定内部控制与财务报告可靠性的关系,具体体现在内部控制五要素与财务报告的五大认定之间的关系。存在或发生完整性权利和义务估价或分摊表达与披露特定的内部控制要素与财务报告认定的关系主要有:1.内部环境与财务报告认定的关系内部控制中的基础性要素是内部环境，对财务报告各认定的实现有重大的影响。如果管理层缺乏正直的品格和良好的道德，加上面临改善盈余的内部或外部压力，则可能会有意错报，从而影响整个财务报告的认定。相反，如果管理层具有正直的品质和良好的道德，则会选择公允反映。完善的人力资源政策能够确保执行政策和程序的人员具有胜任能力和正直的品行。管理层对风险的态度可能会影响财务报告的表述。特定的内部控制要素与财务报告认定的关系主要有:2.风险评估与财务报告认定的关系如果企业面临重大的经营风险或财务风险，企业与成本、收益有关的经营目标通过努力无法实现时，则负责预算的员工可能会有意去粉饰实际结果，以达到预算目标。当员工的工资或薪水与预算的有利差异紧密相关时，这种错报的可能性就加大了。在这种情况下，存在或发生、完整性和估价认定的可靠性就值得怀疑。为减少这种可能性，企业必须客观地评估面临的风险，并清晰地说明达到目标的可靠性策略，这些目标和策略与负责具体预算的人确实相关。因此，在制定预算时，应仔细评估实现目标所存在的重要风险。特定的内部控制要素与财务报告认定的关系主要有:3.控制活动与财务报告认定的关系用于防止和发现会计记录差错的控制活动加强了会计信息系统的功能，会产生更为可靠的财务报告，这些控制活动包括批准、授权、安全控制、职责分工等。安全控制用于保护企业的资产，以确保资产安全和记录可靠，与降低存在或发生、完整性、估价或分摊认定的控制风险有关。特定的内部控制要素与财务报告认定的关系主要有:4.信息与沟通与财务报告认定的关系信息的确认和搜集保证财务报告所提供信息的完整性；信息的处理对信息的分类和记录，对记录的适当控制有助于计价认定的实现，对分类的适当控制有助于表达与披露、权利和义务认定的实现；信息的报告是企业编制财务报告的过程，影响财务报告质量的各个方面。沟通大大加强了各个认定的可靠性。财务报告有效的沟通还要求明确地将相关职责分配给执行控制程序的员工，使相关的员工清楚如何进行控制，以及自身在内部控制系统中的角色和责任，这同样会增强财务报告的可靠性。特定的内部控制要素与财务报告认定的关系主要有:5.内部监督与财务报告认定的关系对内部控制进行内部监督的目的是确保其他内部控制要素如设计时一样得到有效执行。内部监督影响到各个认定的实现。单选题下列有关与审计相关的内部控制的说法中，正确的是（）。A.与财务报告相关的内部控制均与审计相关B.与审计相关的内部控制并非均与财务报告相关C.与经营目标相关的内部控制与审计无关D.与合规目标相关的内部控制与审计无关B7.3内部控制的描述

一、文字表述法文字表述法是指审计人员对被审计单位内部控制健全程度和执行情况的文字叙述。这种文字叙述一般是按不同的循环环节,分别写明各个职务所完成的各种工作、办理业务时所经历的各种手续等,还应阐明各项工作的负责人、经办人员以及由他们编写和记录的文件凭证等。在采用文字表述法时,审计人员通常向被审计单位的工作人员提出一系列问题,将这些问题的答案逐一记录下来,并经审计人员实地观察和核实,然后整理、串联起来,即可形成文字表述的书面说明,以描述被审计单位内部控制的实际情况。一、文字表述法优点比较灵活,可对被审计单位内部控制的各个环节作出比较深入和具体的描述,不受任何限制。缺点对内部控制的描述,有时很难用简明易懂的语言来详细说明各个细节,因而有时使用文字表述显得比较冗赘,不利于为有效地进行内部控制评价和控制风险评价提供直接的依据。

一、文字表述法文字表述法几乎适用于任何类型、任何规模的单位,特别适用于内部控制不甚健全、内部控制程序比较简单和比较容易描述的小企业。二、调查表法

调查表法是将那些与保证会计记录的正确性和可靠性以及与保证财产物资的完整性有密切关系的事项列为调查对象,由审计人员设计成标准化的调查表,并利用表格形式,通过征询来了解内部控制的强弱程度。采用调查表法,审计人员应根据内部控制的基本原则及其应达到的目的和要求,把企业各经营环节的关键控制点及主要问题,预先编制一套标准格式的调查表。二、调查表法

内部控制调查表中的“问题”,是针对内部控制是否严密、有效,综合考虑各方面的因素提出的。问题的拟订应针对各项业务或业务循环的特点,既要抓住要害,又要便于回答。对表中提出的问题,要求被审计单位有关工作人员据实作出“是”、“否”或“不适用”的回答,借以查明被审计单位的实际情况。二、调查表法

优点简单易行；能对所调查的对象提供一个概括说明，有利于审计人员分析评价；编制调查表省时省力；调查表“否”栏集中反映内部控制存在的问题。缺点对被审计单位某一环节的内部控制只能按所提问题分别考察，往往难以提供一个完整、系统、全面的分析评价；调查表格式固定，缺乏弹性；调查人员机械地照表提问，往往会使被调查人员漫不经心，流于形式。

三、流程图法流程图法是指用特定的符号和图形,将内部控制中的各种业务处理手续,以及各种文件或凭证的传递流程,用图解的形式直观地表现内部控制的实际情况。

三、流程图法绘制流程图一般有两种方法:一种是纵向流程图;另一种是横向流程图。纵向流程图是将业务的处理过程按照先后次序,用一条主线垂直串联起来,并将经济业务发生的凭证编制、传递、记账程序等从上至下用图形符号描绘出来。横向流程图则横向表示业务处理程序,按业务部门设置若干竖栏,将业务处理程序由左到右,由上向下,用图形符号表示凭证的编制、传递、保管、记账、复核乃至编表的过程,并用流程线把各项业务活动串联起来。三、流程图法

优点简明的形式描绘内部控制的实际情况,便于较快地检查出内部控制逻辑上的薄弱环节,也便于评审；便于表达内部控制的特征,同时便于修改,在下次评审时,只要根据修改后的内部控制实际情况,稍微变动几根线条、几个符号,就能更新整个流程图。缺点需具备较娴熟的技术和较丰富的工作经验,也颇费时间；不能将内部控制中的控制弱点明显地标出来,在评价时,往往需要与其他两种方法结合使用。材料收发业务流程图描述内部控制的三种方法并不相互排斥,而是相互依赖和相互补充的。在描述某一单位内部控制时,可对不同业务环节使用不同的方法,也可同时使用两种或三种方法,三者结合使用,往往比采用某一种方法效果更好。7.4内部控制

评价一、内部控制评价的定义《企业内部控制评价指引》第二条规定：企业内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。注意：企业可以授权内部审计部门或专门机构负责内部控制评价的具体组织实施工作，也可以委托中介机构实施内部控制评价。为企业提供内部控制审计服务的会计师事务所，不得同时为同一企业提供内部控制评价服务。从以下三个角度进行理解：（1）内部控制评价的主体是董事会或类似权力机构。（2）内部控制评价的对象是内部控制的有效性。（3）内部控制评价是一个过程。内部控制运行的有效性内部控制设计的有效性内部控制的有效性，是指企业建立与实施内部控制对实现控制目标提供合理保证的程度。

内部控制的有效性控制过程控制过程控制目标合规目标内部控制的有效性资产目标内部控制的有效性报告目标内部控制的有效性经营目标内部控制的有效性战略目标内部控制的有效性（1）全面性原则（2）重要性原则核心要求：坚持风险导向的思路坚持重点突出的思路（3）客观性原则二、内部控制评价的原则三、内部控制评价的内容内部环境风险评估控制活动信息与沟通内部监督三、内部控制评价的内容

1、内部环境评价。企业应以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据，结合本企业的内部控制制度，对内部环境的设计及实际运行情况进行认定和评价。2、风险评估评价。企业应以《企业内部控制基本规范》有关风险评估的要求，以及各项应用指引中所列主要风险为依据，结合本企业的内部控制制度，对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。3、控制活动评价。企业应以《企业内部控制基本规范》和各项应用指引中的控制措施为依据，结合本企业的内部控制，对相关控制措施的设计和运行情况进行认定和评价。三、内部控制评价的内容

4、信息与沟通评价。企业应以内部信息传递、财务报告、信息系统等相关应用指引为依据，结合本企业的内部控制制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。5、内部监督评价。企业组织开展内部监督评价，应以《企业内部控制基本规范》有关内部监督的要求，以及各项应用指引中有关日常管控的规定为依据，结合本企业的内部控制制度，对内部监督机制的有效性进行认定和评价，重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。四、内部控制评价的程序制定评价工作方案组成评价工作组实施现场测试认定控制缺陷汇总评价结果编制评价报告四、内部控制评价的程序

企业可以授权内部审计部门或专门机构（以下简称内部控制评价部门）负责内部控制评价的具体组织实施工作。

1、制定评价工作方案。企业内部控制评价部门应当拟订评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经董事会或其授权机构审批后实施。

2、组成评价工作组。企业内部控制评价部门应当根据经批准的评价方案，组成内部控制评价工作组，具体实施内部控制评价工作。评价工作组应当吸收企业内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。三、内部控制评价的程序

3、实施现场测试。内部控制评价工作组应当对被评价单位进行现场测试，综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。

4.认定控制缺陷内部控制缺陷，是指内部控制的设计存在漏洞，不能有效防范错误、舞弊及其他风险，或者内部控制的运行存在弱点和偏差，不能及时发现并纠正错误、舞弊及其他风险的情形。内部控制缺陷成因性质

设计缺陷

运行缺陷

重大缺陷

重要缺陷

一般缺陷4.认定控制缺陷运行缺陷设计缺陷内部控制缺陷现存设计完好的控制没有按设计意图运行；执行者没有获得必要授权或缺乏胜任能力以有效地实施控制内部控制不健全、内部控制制度不适当、缺少实现控制目标所必需的控制；现存控制设计不恰当，即使正常运行也难以实现控制目标4.认定控制缺陷一般缺陷重大缺陷内部控制缺陷重要缺陷一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标除重大缺陷、重要缺陷之外的其他缺陷一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标4.认定控制缺陷内部控制缺陷的重要性和影响程度是相对于内部控制目标而言的。按照对财务报告目标和其他内部控制目标实现的影响的具体表现形式，下面区分财务报告内部控制缺陷和非财务报告内部控制缺陷分别阐述内部控制缺陷的认定标准。4.认定控制缺陷非财务报告内部控制财务报告内部控制企业为了合理保证除财务报表及相关信息可靠、资产安全完整外的其他控制目标的实现而设计和运行的内部控制。例如，决策程序控制，重要业务制度控制，关键岗位业务人员的聘用制度企业为了合理保证财务报表及相关信息真实完整而设计和运行的内部控制，以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制4.认定控制缺陷（1）财务报告内部控制缺陷的认定标准与财务报告内部控制相关的内部控制缺陷所采用的认定标准直接取决于由于该内部控制缺陷的存在可能导致的财务报告错报的重要程度。其中，所谓“重要程度”主要取决于两个方面的因素：（1）该缺陷是否具备合理可能性导致企业的内部控制不能及时防止或发现并纠正财务报告错报。（2）该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。一般而言，如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中的重大错报，就应将该缺陷认定为重大缺陷一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中错报的金额虽然未达到和超过重要性水平、但仍应引起董事会和管理层重视，就应将该缺陷认定为重要缺陷。不构成重大缺陷和重要缺陷的内部控制缺陷，应认定为一般缺陷。一旦企业的财务报告内部控制存在一项或多项重大缺陷，就不能得出该企业的财务报告内部控制有效的结论。财务报告内部控制重大缺陷的认定十分关键，而区分一项内部控制缺陷是否构成了重大缺陷的分水岭是“重要性水平”，重要性水平之上的为重大错报，重要性水平之下的为重要错报或者一般错报。出现以下迹象之一则通常表明财务报告内部控制可能存在重大缺陷：（1）董事、监事和高级管理人员舞弊；（2）企业更正已公布的财务报告；（3）注册会计师发现当期财务报告存在重大错报，而内部控制在运行过程中未能发现该错报；（4）企业审计委员会和内部审计机构对内部控制的监督无效。（2）非财务报告内部控制缺陷的认定标准非财务报告内部控制缺陷是指除财务报告目标之外的与其他目标相关的内部控制缺陷，包括战略内部控制缺陷、经营内部控制缺陷、合规内部控制缺陷、资产内部控制缺陷。非财务报告目标内部控制缺陷的认定具有涉及面广、认定难度大的特点，尤其是战略内部控制缺陷和经营内部控制缺陷。以下迹象通常表明非财务报告内部控制可能存在重大缺陷：国有企业缺乏民主决策程序，如缺乏“三重一大”决策程序；企业决策程序不科学，如决策失误，导致并购不成功；违犯国家法律、法规，如环境污染；管理人员或技术人员纷纷流失；媒体负面新闻频现；内部控制评价的结果特别是重大或重要缺陷未得到整改；重要业务缺乏制度控制或制度系统性失效。表A公司的非财务报告缺陷认定标准

三、内部控制评价的程序

5、汇总评价结果。企业内部控制评价工作组应当建立评价质量交叉复核制度，评价工作组负责人应当对评价工作底稿进行严格审核，并对所认定的评价结果签字确认后，提交企业内部控制评价部门。

三、内部控制评价的程序

6、编制评价报告。企业应当设计内部控制评价报告的种类、格式和内容，明确内部控制评价报告编制程序和要求，按照规定的权限报经批准后对外报出。内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计，对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。图

内部控制评价报告的形成示意图6.内部控制评价报告（1）内部控制评价报告可分为对内报告和对外报告。对外报告是为了满足外部信息使用者的需求，需要对外披露，在时间上具有强制性，披露内容和格式强调符合披露要求。对内报告主要是为了满足管理层或治理层改善管控水平的需要，不具有强制性，内容、格式和披露时间由企业自行决定。（2）企业内部控制评价报告分为定期内控测试报告和年度内部控制评价报告。定期内控测试报告：企业内部控制责任部门（单位）应当至少每季度开展内部控制测试，企业内部控制管理部门应根据内控测试情况，编制内控测试报告，经本单位内部控制管理部门负责人签字后，并将前期问题整改结果等相关附件一并上报董事会（或上级部门）。年度内部控制评价报告：企业内部控制管理部门根据内部控制评价评价部门现场检查评价以及日常监督、专项监督和其他监督检查评价结果等，结合整改情况，编制本企业年度内部控制自我评价报告。年度内部控制评价报告的内容1.董事会声明。2.内部控制评价工作的总体情况。3.内部控制工作的开展情况。4.内部控制评价的依据。5.内部控制评价的范围。6.内部控制评价的程序和方法。7.内部控制缺陷及其认定。8.内部控制缺陷的整改情况。9.内部控制有效性的结论。10.对企业内部控制工作的意见和建议。6.内部控制评价报告《企业内部控制评价指引要求》，内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。企业应当以12月31日作为年度内部控制评价报告的基准日，并于基准日后4个月内报出。6.内部控制评价报告企业应以书面或其他形式妥善保管内部控制评价资料，确保内部控制建立与实施过程的可验证性。内部控制检查评价相关资料的保存期限应当不少于十年，内部控制自我评价报告永久性保存。对载于内控管理信息系统的各类检查评价资料，按照企业信息系统管理有关规定予以备份和保管。否明确企业内部控制目标制定内部控制评价方案报董事会审批评价方案是否通过审批否组成评价工作组是实施内部控制现场检查与测试是否存在缺陷是设计缺陷运行缺陷编制现场报告，并向被评价单位通报编制企业内部控制评价报告跟踪缺陷的整改落实情况汇总图

内部控制评价的程序

单选题注册会计师执行内部控制审计时，下列有关评价控制缺陷的说法中，错误的是（）。A.如果一项控制缺陷存在补偿性控制，注册会计师不应将该控制缺陷评价为重大缺陷B.注册会计师评价控制缺陷是否可能导致错报时，无需量化错报发生的概率C.注册会计师评价控制缺陷导致的潜在错报的金额大小时，应当考虑本期或未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量D.注册会计师评价控制缺陷的严重程度时，无需考虑错报是否已经发生A7.5内部控制

审计一、内部控制审计的定义企业内部控制审计，是指会计师事务所接受委托，对特定基准日（12月31日）内部控制设计与运行的有效性进行审计。《企业内部控制审计指引》要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。二、内部控制审计程序计划审计工作实施审计工作评价控制缺陷完成审计工作计划审计工作实施审计工作计划审计工作计划审计工作实施审计工作计划审计工作实施审计工作计划审计工作评价控制缺陷实施审计工作计划审计工作评价控制缺陷实施审计工作计划审计工作完成审计工作评价控制缺陷实施审计工作计划审计工作完成审计工作评价控制缺陷实施审计工作计划审计工作完成审计工作评价控制缺陷实施审计工作计划审计工作完成审计工作评价控制缺陷实施审计工作计划审计工作关注期后事项出具审计报告完成审计工作评价控制缺陷实施审计工作计划审计工作记录审计工作1.计划审计工作评价相关事项对内部控制、财务报表以及审计工作的影响以风险评估为基础评估企业内部控制自我评价工作

2.实施审计工作测试企业层面控制和业务层面控制测试控制设计和运行的有效性风险与拟获取证据的关系3.评价控制缺陷按成因分类设计缺陷运行缺陷按影响程度分类重大缺陷重要缺陷一般缺陷4.完成审计工作

注册会计师认为非财务报告内部控制为一般缺陷和重要缺陷的，无须在内部控制审计报告中说明。如若为重大缺陷，应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，但此内容不影响对财务报告内部控