审计与实务（第二版）课件：内部控制

审计基础与实务

内部控制制度及其评审

【教学目的与要求】

通过本章的学习，使学生理解并掌握内部控制的概念及其内容。以及怎样了解内部控制，怎样评价内部控制以及怎样记录内部控制。【教学要点】1.内部控制的概念及要素2.怎样了解内部控制3.怎样评价内部控制【教学时数】4学时【教学内容】本章共分3节。

审计基础与实务（第二版）

第一节内部控制概述案例引入第一节内部控制概述二、内部控制的概念、要素及其关系内部控制：是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。这些目标包括：合理保证企业经营管理合规合法、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。第一节内部控制概述内部控制制度主要是在企业内部组织分工、业务处理、凭证手续和程序方面所规定的既相互联系又相互制约的一系列管理制度。内部控制应当涵盖单位内部的各项经济业务、各个部门和各个岗位内部控制的核心就是互相牵制，[核心是钱、账、物三分管]{一项业务从开始到结束，不包办}

第一节内部控制概述例如：企业向银行提取现金，要由出纳员在现金支票上注明款项用途，并签章;财会部门负责人审核后加盖财务专用章例如：采购仓库提申请，填请购单-采购部门负责人审批，采购部门询价，选择供应商，填订购单-货物到后，由验收部门验收-财会部门结算案例分析：内部控制的重要性内部控制包括5个要素控制环境风险评估过程信息系统与沟通控制活动监控指对企业内部控制的建立和实施有重大影响的因素的总称。（一）控制环境1、治理结构治理结构也称组织架构，是一个公司的责任权利及管理范围及归属性结构体系，比如董事长管总经理，总经理管3个副总，A副总管设计部、研发部，B副总管生产部、品管部，C副总管销售部、服务部，设计部又分设计1部2部等等，这个管理体系就叫该公司的治理结构。（一）控制环境2、机构设置及权责分配董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等（一）控制环境3、内部审计企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。（一）控制环境（一）控制环境4、人力资源政策企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容：(一)员工的聘用、培训、辞退与辞职。(二)员工的薪酬、考核、晋升与奖惩。(三)关键岗位员工的强制休假制度和定期岗位轮换制度。(四)掌握国家秘密或重要商业秘密的员工离岗的限制性规定。（一）控制环境5、企业文化企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作情神，树立现代管理理念，强化风险意识。董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。企业员工应当遵守员工行为守则，认真履行岗位职责。（二）风险评估过程企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。

（二）风险评估过程企业识别内部风险，应当关注下列因素：(一)董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。(二)组织机构、经营方式、资产管理、业务流程等管理因素。(三)研究开发、技术投入、信息技术运用等自主创新因素。(四)财务状况、经营成果、现金流量等财务因素。(五)营运安全、员工健康、环境保护等安全环保因素。（二）风险评估过程企业识别外部风险、应当关注下列因素：(一)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。(二)法律法规、监管要求等法律因素。(三)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。(四)技术进步、工艺改进等科学技术因素。(五)自然灾害，环境状况等自然环境因素。业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险分担是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。（二）风险评估过程企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物．办公网络等渠道，获取内部信息。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。我们学校有校园内网，现在都是网上发通知，网上回复，网上上交资料。例如：门坏了，网上报修。（三）信息系统与沟通控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。（四）控制活动1、授权审批授权审批控制要求企业根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。

授权的目的在于保证交易和事项在被审计单位授权范围内进行例如：支票都得财务主管签字才生效采购都得采购主管审批才能采购人员的升降职都得人力资源主管审批（四）控制活动2．业绩评价控制。

绩效考评控制要求企业建立和实施绩效考评制度，科学设置考核指标体系，对企业内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据（四）控制活动3、信息处理控制企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行

例如：保护信息的安全完整。例如，财务软件开发人员不得操作软件系统。防止盗取财务信息。（四）控制活动4、实物控制实物控制要求企业建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。企业应当严格限制未经授权的人员接触和处置财产。主要从两个方面进行实物控制1、限制接近。限制接近的对象包括限制接近现金、其他易变现资产、存货。2、定期盘点定期盘点和不定期盘点

（四）控制活动例如：对现金、存货的定期盘点就属于实物控制。5、职责分离控制不相容职务：那些由一个人承担，既可能发生错误和弊端又可掩盖错误和弊端的职务。每一经济业务的处理，最好要经过两个以上职位，才能防止错弊的发生，使控制产生良好效果。[核心是钱、账、物三分管]{一项业务从开始到结束，不包办}

（四）控制活动不相容职务不相容职务授权执行授权记录授权保管执行记录执行保管记录保管总账明细账总账日记账开支票编制调节表授权核对执行核对记录核对保管核对5、职责分离控制授权、执行、记录、保管、审核五项工作要分开，由不同的人担任。明细账、总账、日记账要由不同的人登记。（四）控制活动不相容职务不相容职务授权执行授权记录授权保管执行记录执行保管记录保管总账明细账总账日记账开支票编制调节表授权核对执行核对记录核对保管核对企业有内部审计（五）对控制的监督对建立与实施内部控制的情况进行常规、持续的监督检查；

对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。

二、内部控制了解和评价一、了解内部控制应重点考虑的因素(一)考虑与审计相关的控制(二)考虑对内部控制了解的深度(三)考虑内部控制的人工和自动化成分对控制的影响(四)考虑内部控制的局限性(1)内部控制的设计和运行受制于成本效益原则,当实施某项控制的成本大于由于实施该项控制而产生的利益时,就没有必要设置控制环节或控制措施。(2)内部控制一般仅针对常规业务而设计,如出现不经常发生或未预计到的业务,则原有的控制可能就不适用。(3)执行人员的素质和工作量产生不利变化,将引起内部控制失效。(4)串通舞弊。(5)管理层凌驾于内部控制之上,导致内部控制被规避。二、内部控制了解和评价二、了解内部控制及其要素(一)了解控制环境(1)控制环境是被审计单位内部的控制基调,直接影响到员工对内部控制的认识和态度。(2)在评价控制环境的设计和实施情况时,审计人员应特别关注被审计单位是否营造并保持了诚实守信和合乎道德的文化,以及是否建立了防止、发现并纠正舞弊和错误的恰当控制。(3)在了解控制环境的整个过程中,审计人员应始终注意控制的实质,而非形式。(4)控制环境本身并不能防止、发现并纠正各类交易、账户列报认定层次的重大错报,因此,审计人员在评估重大错报风险时,应将其同其他内部控制要素产生的影响一并考虑。二、内部控制了解和评价(二)了解风险评估过程(1)如果被审计单位的风险评估过程符合其具体情况,了解被审计单位的风险评估过程和结果,有助于审计人员识别财务报表重大错报的风险。(2)如果被审计单位的风险评估过程不符合其具体情况,未能识别和发现重大错报风险,审计人员则应考虑被审计单位的风险评估过程为何没有识别出这些风险,并考虑其对财务报表的影响二、内部控制了解和评价(三)了解信息系统与沟通(1)审计人员首先必须了解被审计单位业务的主要类型,还必须想象这些业务的处理过程,包括业务的发生、相关的会计记录以及业务处理的方式,同时考虑财务报表的编制过程,包括建立会计估计的方法。(2)在取得对被审计单位信息系统和相关控制活动的了解的过程中,通常应将整个信息系统划分成若干主要业务流程来进行,这样有利于对整个系统有一个全面的了解,便于从系统的角度把握控制的强点和弱点。(3)审计人员应当了解被审计单位内部是如何对财务报表的岗位职责以及与财务报表相关的重大事项进行沟通,并且实际是怎样进行的。另外,审计人员还应当了解各个管理层级之间是如何沟通的,以及被审计单位与外部相关机构,如监管部门、政府管理部门如何进行沟通的。二、内部控制了解和评价(四)了解控制活动(1)授权控制。(2)业绩评价控制。(3)信息处理控制。(4)实物控制。(5)职责分离控制。(五)了解对控制的监督(1)审计人员在了解被审计单位的内部监督系统时,应充分了解被审计单位使用的监督活动的主要类型,以及在实际运行过程中这些监督活动是如何用来修正内部控制的。(2)一般情况下,被审计单位是通过持续监督、专门评价或者两者的结合,来实现对控制的监督。(3)对控制的监督的了解不是针对某个具体的报表层或认定层,而是从被审计单位整体层面进行了解和初步评估的。(4)审计人员在了解对控制监督的过程中,如拟利用被审计单位监督形成的成果信息,应当考虑这种信息的可靠性。二、内部控制了解和评价(四)了解控制活动(1)授权控制。(2)业绩评价控制。(3)信息处理控制。(4)实物控制。(5)职责分离控制。(五)了解对控制的监督(1)审计人员在了解被审计单位的内部监督系统时,应充分了解被审计单位使用的监督活动的主要类型,以及在实际运行过程中这些监督活动是如何用来修正内部控制的。(2)一般情况下,被审计单位是通过持续监督、专门评价或者两者的结合,来实现对控制的监督。(3)对控制的监督的了解不是针对某个具体的报表层或认定层,而是从被审计单位整体层面进行了解和初步评估的。(4)审计人员在了解对控制监督的过程中,如拟利用被审计单位监督形成的成果信息,应当考虑这种信息的可靠性。三、内部控制了解和评价的总结(一)从整体层面对内部控制的了解和评价(二)从业务流程层面对内部控制的了解和评价(三)内部控制评价决策（一）从整体层面对内部控制的了解和评价审计人员从整体层面对内部控制进行了解和评价，主要是对被审计单位整体层面的内部控制各要素及其结合的设计进行评价，并确定其是否得到执行。1．控制环境会对被审计单位内部控制的整体情况产生重大影响。2．对于连续审计，审计人员应重点关注整体层面的内部控制变化3．特别考虑因舞弊而导致重大错报的可能性及其影响。4．整体层面内部控制状况将直接影响重要业务流程层面控制的有效性，进而影响审计人员拟实施的进一步审计程序的性质、时间和范围。（二）从业务流程层面对内部控制的了解和评价审计人员从整体层面对内部控制进行了解和评价，主要是对被审计单位整体层面的内部控制各要素及其结合的设计进行评价，并确定其是否得到执行。1．通过对被审计单位的了解，包括对被审计单位整体层面内部控制的了解，审计人员可以确定是否有必要进一步从业务流程层面对内部控制进行了解和评价。。2．在业务流程层面对内部控制进行了解和评价时，审计人员一般将被审计单位的经营活动划分为几个重要的业务循环，3．特别考虑因舞弊而导致重大错报的可能性及其影响。3．从业务流程层面对内部控制进行了解和评价时，审计人员应当考虑其识别出针对某项控制的风险，被审计单位是否也识别出了该风险，并采取了适当的措施来降低该风险。4．了解和评价被审计单位财务报告流程及其控制对内部控制的影响。由于财务报告流程与控制与财务报告的列报直接相关，审计人员还应当进一步了解有关信息从具体交易的业务流程过入总账、财务报表的流程，（三）内部控制评价决策1．内部控制本身设计是否合理。2．设计的内部控制是否得到执行。3．审计人员是否拟依赖内部控制并进行控制测试。（三）内部控制评价决策

当内部控制被评价为不可信赖，即高风险时，通常情况下，不再进行符合性测试，直接进行实质性测试只有当内部控制被评价为可信赖，及控制风险低时，并且因为信赖内部控制而减少实质性测试的工作量大于符合性测试的工作时，执行符合性测试才是经济的，符合成本效益原则。进行符合性测试，判断内控是否存在并有效，是否为低风险。四、记录对内部控制的了解和评价（一）内部控制调查表（例表6-1）（二）文字描述

（三）流程图法四、记录对内部控制的了解和评价第三节管理建议书一、管理建议书的概念及含义管理建议书是审计人员针对审计过程中注意和识别出的、可能导致被审计单位财务报表产生重大错报或漏报的内部控制重大缺陷提出的书面建议。根据管理建议书的概念可以看出,管理建议书具有如下含义:(1)管理建议书中指出的内部控制缺陷,仅指审计人员在执行审计业务过程中注意和识别出的内部控制缺陷,并非被审计单位内部控制的全部缺陷。(2)管理建议书中指出的内部控制缺陷是重大的,内部控制缺陷是否重大,应以是否会导致财务报表产生重大错报或漏报为标准。(3)管理建议书是审计人员就内部控制设计或执行方面的重大缺陷向被审计单位提出的一种书面建议,是审计人员履行告知义务的一种形式。第三节管理建议书(一)管理建议书的一般内容(1)标题。标题一般统一确定为“管理建议书”。(2)收件人。管理建议书的收件人一般是公司相应的管理层或治理层,可以写“××公司董事会”等。(3)管理建议书的性质。应指出审计目的是对财务报表发表意见,管理建议书中指出的内部控制缺陷,仅指审计人员在执行审计业务过程中注意和识别出的内部控制缺陷,并非对被审计单位内部控制发表的鉴证意见,该意见也不具有强制性和公证性。(4)内部控制重大缺陷及其影响和改进建议。管理建议书应当指明审计人员在审计过程中注意到的内部控制设计及运行方面的重大缺陷,包括前