第六章內部控制及其評審 云南財經大學會計學院 本章主要內容 第一節內部控制概述第二節內部控制評審第三節管理建議書 第一節內部控制概述 一 內部控制的發展歷程二 內部控制的框架體系三 內部控制的目標四 內部控制的局限性五 內部控制與審計的關系 一 內部控制的發展歷程 1 一 內部牽制 階段 1 時間 在20世紀40年代前2 主要特點 以任何個人或部門不能單獨控制任何一項或一部分業務權利的方式進行組織上的責任分工 使每項業務通過正常發揮其他個人或部門的功能進行交叉檢查或交叉控制 以便相互牽制 防止發生錯誤或弊端 3 基本假定 其一 兩個或兩個以上的人或部門無意識地犯同樣錯誤的可能性是很小的 其二 兩個或兩個以上的人或部門有意識地合伙舞弊的可能性大大低于單獨一個人或部門舞弊的可能性 一 內部控制的發展歷程 2 二 內部控制 階段 時間 20世紀40年代到70年代初權威性定義 內部控制包括組織機構的設計和企業內部采取的所有相互協調的方法和措施 這些方法和措施都用于保護企業的財產 檢查會計信息的準確性 提高經營效率 推動企業堅持執行既定的管理方針 內容 內部控制制度具體包括會計控制和管理控制兩大部分 一 內部控制的發展歷程 3 三 內部控制結構 階段 時間 從20世紀80年代以來標志 是美國注冊會計師協會于1988年5月發布的 審計準則公告第55號 該公告首次以 內部控制結構 概念取代了 內部控制制度 一詞 定義 企業的內部控制結構包括為提供取得企業特定目標的合理保證而建立的各種政策和程序 構成要素 內部控制結構由控制環境 會計制度和控制程序三個要素構成 一 內部控制的發展歷程 4 四 內部控制整體框架 階段 時間 1992年9月 美國反虛假財務報告全國委員會的發起者組織委員會 COSO 發布了指導內部控制實踐的綱領性文件COSO研究報告 內部控制 整體框架 定義 內部控制是由企業董事會 經理階層及其他員工實施的 為財務報告的可靠性 經營活動的效率和效果 相關法律法規的遵循性等目標的實現而提供合理保證的過程 構成要素 控制環境 風險評估 控制活動 信息溝通和監督 一 內部控制的發展歷程 5 五 企業風險管理框架 階段 時間 2004年9月 COSO發布了 企業風險管理框架 定義 企業風險管理是由企業董事會 管理層和其它員工共同參與的 應用于企業戰略制定和企業內部各層次和部門的 用于識別可能對企業造成影響的事項 并在其風險偏好范圍內管理風險的 為企業目標的實現提供合理保證的過程 構成要素 企業風險管理框架由內部環境 目標制定 事項識別 風險評估 風險反應 控制活動 信息和溝通 監控等八個相互關聯的要素構成 二 內部控制的目標 1 營運性目標 就是各種經營活動的效果和效率 2 信息性目標 即財會報告的可靠性 完整性和及時性 3 遵從性目標 也就是說對現行法律和規章制度的遵守 這三大目標滿足不同的需要 又相互交叉 一個良好的內控系統應能夠確保上述三大目標的實現 三 內部控制的構成要素 一 控制環境 控制環境決定了一個組織的氣氛 影響該組織中人們的內部控制意識 控制環境是內部控制其他要素的基礎 決定著內部控制的規則與結構 其內容主要包括 1 正直品行與價值觀2 人員勝任能力3 管理哲學和經營風格4 董事會及審計委員會5 組織結構6 權責劃分7 人力資源管理 二 風險評估 風險評估是指與提供符合公認會計原則的財務報告有關的風險的確認 分析和管理 風險評估過程必須判明企業完成既定目標存在的外部風險 分析各種風險的類型和程度 為風險管理提供依據 引起風險的環境因素主要包括 1 經營環境的改變2 新職員的介入3 新技術的引進7 會計政策的變更5 信息系統的更新6 公司的快速成長4 新生產線或新經營活動的出現 三 控制活動 控制活動是指確保管理層指令得以實施的政策和程序 一般來講 與審計活動相關的控制活動具體包括以下內容 1 職務分離2 實物控制3 信息處理控制4 業績獨立檢查 四 信息溝通 一個健全的企業內部控制系統必須擁有一套完善的有關信息傳遞 溝通與反饋的信息系統 企業的組織結構設計必須能夠鼓勵縱橫兩個方向的信息流 以適應組織的信息需求 五 監督 監督是指由管理當局對內部控制效果進行持續或定期的評估 以確保其按預定目標發揮作用及根據情況變化而適時修正 完善 它包括日常的管理監督活動 也包括內部審計及與單位外部團體進行信息交流的監控 意在評估內部控制 具有一定的超然性和獨立性 四 內部控制的局限性 一 成本效益限制 二 例外事件限制 三 人員素質限制 四 串通舞弊限制 五 濫用職權限制 六 時間效用限制 五 內部控制與審計的關系 聯系 對內部控制的重視與信賴 加速了審計方法的變革 節約了審計時間和審計費用 同時也擴大了審計范圍 完善了審計職能 在確定內部控制與審計的關系時 應當注意以下幾點 1 注冊會計師在執行會計報表審計業務時 不論被審計單位規模大小 都應當對相關的內部控制進行充分的了解 2 注冊會計師應根據其對被審計單位內部控制的了解 確定是否進行符合性測試以及準備進行的符合性測試的性質 時間和范圍 3 對被審計單位內部控制的了解和符合性測試 并非會計報表審計工作的全部內容 第二節內部控制評審 一 對內部控制的了解與描述二 評價內部控制設計的合理性三 測試和評價內部控制執行的有效性 一 對內部控制的了解與描述 1 一 內部控制的了解注冊會計師了解被審計單位內部控制的途徑主要有以下幾個方面 1 查閱相關內部控制文件 了解內部控制 2 利用以往的審計經驗 了解內部控制3 通過觀察和詢問 了解內部控制4 通過穿行測試 了解內部控制 二 內部控制的描述 審計人員在充分了解和掌握上述內部控制的情況后 應當用適當的方法對內部控制加以描述 以供修訂和修改審計計劃和程序之用 或供日后查考之用 用于內部控制描述的方法主要有文字表述法 問卷調查法和流程圖法等 1 文字表述法 審計人員將所了解到的被審計單位業務的授權 批準 執行 記錄 保管等程序及其實際執行情況用敘述性文字記錄下來 以形成對內部控制描述的一種方法 2 問卷調查法 審計人員根據被審計單位的業務類型 業務循環 內部控制等 將內部控制的必要事項特別是與保證會計記錄的正確 可靠以及保證財產物資的安全 完整有關的主要事項作為調查項目 事先設計出一系列有針對性 標準化的調查表 利用調查表來了解被審單位內部控制是否健全完善 從而對內部控制加以描述的一種方法 3 流程圖法 指用特定的語言符號或圖形 將被審計單位的組織結構 職責分工 權限范圍 會計記錄 業務處理流程等內部控制情況 以圖解的形式直觀 形象地加以描述的一種方法 二 評價內部控制設計的合理性 注冊會計師通常在了解內部控制各要素的基礎上 根據內部控制能否防止和發現會計報表有關認定的重大錯報 評價內部控制設計的合理性 在確定評價特定內部控制設計合理性的程序時 注冊會計師應當考慮以下因素 特定內部控制的性質 特定內部控制的描述方式 經營活動及其管理系統的復雜性等 三 測試和評價內部控制執行的有效性 一 內部控制執行有效性的測試在測試內部控制執行的有效性時 注冊會計師通常實施以下程序 1 詢問被審核單位的有關人員內部控制的運行情況 2 檢查內部控制生成的文件和記錄 3 觀察被審核單位的經營管理活動 4 重新執行有關內部控制 二 內部控制執行有效性的評價 審計人員完成執行測試后 應對被審計單位內部控制的有效性進行評價 對內部控制最終的評價結果 根據可信賴程度的高低 可以分為以下三種類型 1 高信賴程度2 中信賴程度3 低信賴程度 第三節管理建議書 一 管理建議書的概念管理建議書 注冊會計師針對審計過程中注意到的 可能導致被審計單位會計報表產生重大錯報或漏報的內部控制重大缺陷提出的書面建議 管理建議書提及的內部控制重大缺陷 僅為注冊會計師在審計過程中注意到的 并非內部控制可能存在的全部缺陷 管理建議書不應被視為注冊會計師對被審計單位內部控制整體發表的意見 也不能減輕或免除被審計單位管理當局建立健全內部控制的責任 注冊會計師出具管理建議書 不應影響其應當發表的審計意見 二 管理建議書的基本內容 管理建議書 一般應包括下列基本內容 1 標題2 收件人3 財務報表審計目的及管理建議書的性質4 內部控制重大缺陷及其影響和改進建議5 使用范圍及使用責任6 注冊會計師及事務所簽章7 日期 三 管理建議書與審計報告的區別 1 對象不同 管理建議書是針對被審計單位與審計相關的內部控制提出的 而審計的對象是被審計單位的會計報表 由此而形成的審計報告是針對會計報表提出的 2 責任不同 注冊會計師在會計報表審計后就內部控制缺陷向被審計單位管理當局提供管理建議 不是一種法定業務 沒有法定責任 而審計報告是注冊會計師審計完畢后對會計報表形成的專業意見 是法定的業務 具有法定的責任 3 作用不同 管理建議書僅僅提供給被審計單位管理當局 僅供內部參考 不對外報