第九章風險評估與內部控制評審2023/10/111

第一節風險評估的含義第二節了解被審計單位及其環境第三節內部控制評審第四節識別評估重大錯報風險第五節與管理層和治理層溝通主要內容2023/10/112要點

中國注冊會計師審計準則1211號《了解被審計單位的環境并評估重大錯報風險》

注冊會計師應當了解被審計單位及其環境，以充分識別和評估財務報表的重大錯報風險，設計和實施進一步的審計程序審計準則對風險評估的總體要求2023/10/113要點

了解被審計單位及其環境是一個連續和動態地收集、更新和分析信息的過程，貫穿于整個審計過程的始終注冊會計師應當運用職業判斷確定需要了解被審計單位及其環境的程度CPA是否需要達到管理層對于被審計單位一樣的了解程度?審計準則對風險評估的總體要求2023/10/114第一節風險評估的含義一、風險評估的含義和意義風險評估程序是注冊會計師了解被審計單位及其環境的手段，其內容是幾種單項審計程序的有效組合，其目的在于獲取財務信息和非財務信息來識別和評估財務報表層次和認定層次重大錯報風險，風險評估程序是注冊會計師審計中必須實施的審計程序。2023/10/1151、詢問被審計單位的管理層和內部其他相關人員2、分析程序3、觀察和檢查4.其他審計程序和信息來源二、風險評估程序的內容第一節風險評估的含義2023/10/1161、詢問注冊會計師除了詢問管理層和對財務報告負有責任的人員外,還應考慮詢問內部審計人員、采購人員、生產人員、銷售人員等其他人員，并考慮詢問不同級別的員工，以獲取對識別重大錯報風險有用的信息第一節風險評估的含義2023/10/1172、分析程序注冊會計師實施分析程序有助于識別異常的交易或事項，以及對財務報表和審計產生影響的金額、比率和趨勢如果使用了高度匯總的數據，實施分析程序的結果僅可能初步顯示財務報表存在重大錯報風險，注冊會計師應當將分析結果連同識別重大錯報風險時獲取的其他信息一并考慮第一節風險評估的含義2023/10/1183、觀察與檢查

觀察被審計單位的生產經營活動

檢查文件、記錄和內部控制手冊閱讀由管理層和治理層編制的報告實地察看被審計單位的生產經營場所和設備追蹤交易在財務報告信息系統中的處理過程（穿行測試）第一節風險評估的含義2023/10/119【例題·多選題】A注冊會計師負責審計甲公司2012年度財務報表。在了解內部控制時，A注冊會計師遇到下列事項，請代為做出正確的專業判斷。A注冊會計師執行穿行測試可以實現的目的有（

）。A.確認對業務流程的了解B.識別可能發生錯報的環節C.評價控制設計的有效性D.確定控制是否得到執行【答案】ABCD2023/10/11104、其他審計程序和信息來源其他審計程序（1）詢問被審計單位聘請的外部法律顧問、專業評估師、投資顧問和財務顧問等。（2）閱讀外部信息也可能有助于注冊會計師了解被審計單位及其環境。外部信息包括證券分析師、銀行、評級機構出具的有關被審計單位及其所處行業的經濟或市場環境等狀況的報告，貿易與經濟方面的報紙期刊，法規或金融出版物，以及政府部門或民間組織發布的行業報告和統計數據等。第一節風險評估的含義2023/10/1111其他信息來源（1）對新的審計業務，注冊會計師應在業務承接階段對被審計單位及其環境有一個初步的了解，以確定是否承接該業務。而對連續審計業務，也應在每年的續約過程中對上年審計做總體評價，并更新對被審計單位的了解和風險評估結果，以確定是否續約。注冊會計師還應當考慮向被審計單位提供其他服務（如執行中期財務報表審閱業務）所獲得的經驗是否有助于識別重大錯報風險。（2）對于連續審計業務，如果擬利用在以前期間獲取的信息，注冊會計師應當確定被審計單位及其環境是否已發生變化，以及該變化是否可能影響以前期間獲取的信息在本期審計中的相關性。第一節風險評估的含義2023/10/1112第一節風險評估的含義

問：在獲取審計證據的八種審計程序中，有哪些審計程序在風險評估中沒有用到？2023/10/1113為什么重要？不深入了解被審計單位及其環境，根本就不可能知道被審計單位的財務報表可能在哪里會出錯，也無法界定什么錯報為“重大”，更無法設計有效的審計程序去發現錯報“戰略系統審計觀”要求審計人員具有更廣闊的視野和更發散的思維第二節了解被審計單位及環境2023/10/1114了解被審計單位及其環境為注冊會計師在下列關鍵環節做出職業判斷提供了依據：1.確定重要性水平，并隨著審計工作的進程評估對重要性水平的判斷是否仍然適當；2.考慮會計政策的選擇和運用是否恰當，以及財務報表的列報是否適當；3.識別需要特別考慮的領域，包括關聯方交易、管理層運用持續經營假設的合理性，或交易是否具有合理的商業目的等；4.確定在實施分析程序時所使用的預期值；5.設計和實施進一步審計程序，以將審計風險降至可接受的低水平；6.評價所獲取審計證據的充分性和適當性。了解被審計單位及其環境的作用2023/10/1115【例題·單選題】根據風險導向審計方法對財務報表審計的要求，以下你對注冊會計師了解被審計單位及其環境的作用的觀點中不能認同的是（

）。A.只有通過了解被審計單位及其環境才能確定重要性水平，并隨著審計工作的進程評估對重要性水平的判斷是否仍然適當B.只有通過了解被審計單位及其環境才能確定在實施分析程序時所使用的預期值C.只有通過了解被審計單位及其環境才能設計和實施進一步審計程序，以將重大錯報風險降至可接受的低水平D.只有通過了解被審計單位及其環境才能識別需要特別考慮的領域【答案】C【解析】選項C不恰當。注冊會計師通過了解被審計單位及其環境評估的是財務報表重大錯報風險，通過設計和實施審計程序降低的是審計風險。2023/10/1116總體要求行業狀況、法律環境與監管環境以及其他外部因素被審計單位的性質被審計單位對會計政策的選擇和運用被審計單位的目標、戰略以及相關經營風險被審計單位財務業績的衡量和評價被審計單位的內部控制第二節了解被審計單位及環境2023/10/11171.外部環境因素行業狀況法律及監管環境其他外部因素第二節了解被審計單位及環境2023/10/11182.被審計單位的性質所有權結構治理結構組織結構經營活動投資活動籌資活動子公司或附屬公司（subsidiary）合營企業（jointventures）聯營企業（affiliatesorassociates）第二節了解被審計單位及環境2023/10/11193.被審計單位對會計政策的選擇和運用重要項目的會計政策和行業慣例重大和異常交易的會計處理方法在新領域和缺乏權威性標準或共識的領域，采用重要會計政策產生的影響會計政策的變更被審計單位何時采用以及如何采用新頒布的會計準則和相關會計制度第二節了解被審計單位及環境2023/10/11204.被審計單位的目標、戰略以及相關經營風險經營風險源于對被審計單位實現目標和戰略產生不利影響的重大情況、事項、環境和行動，或源于不恰當的目標和戰略多數經營風險最終都會產生財務后果，從而影響財務報表；注冊會計師應當根據被審計單位的具體情況考慮經營風險是否可能導致財務報表發生重大錯報第二節了解被審計單位及環境2023/10/1121被審計單位的目標、戰略以及相關經營風險審計風險=重大錯報風險×檢查風險經營風險剩余風險財務報表在審計前存在重大錯報的可能性某一認定存在重大錯報而CPA未能發現的可能性第二節了解被審計單位及環境2023/10/11225.被審計單位財務業績的衡量和評價被審計單位內部或外部對財務業績的衡量和評價可能對管理層產生壓力，促使其采取行動改善財務業績或歪曲財務報表第二節了解被審計單位及環境2023/10/11236.被審計單位內部控制(見第三節)第二節了解被審計單位及環境2023/10/1124第三節內部控制評審一、內部控制的概念及其思想的歷史演進二、內部控制的目標與要素三、財務報告內部控制（與審計相關）四、內部控制的描述五、內部控制的評審2023/10/1125一、內部控制的概念及其思想的歷史演進（一）內部牽制階段（InternalCheck）（二）內部控制制度階段

（InternalControl

System）（三）內部控制結構階段（InternalControlStructure）（四）內部控制整體框架結構（InternalControlIntegratedFramework）（五）企業風險管理——綜合框架：演變為內部控制的八個要素（EnterpriseManagementIntegratedFramework）第三節內部控制評審2023/10/11261934年美國《證券交易法》，提出“內部會計控制”內部牽制1936年AICPA首次使用了“內部控制”這一術語1949年內控的第一個權威定義，AICPA發表專題報告1953年1972年1988年第一次修正第二、三次修正，最終形成《審計準則公告第1號》AICPA提出內部控制結構定義1992年COSO內部控制整體框架2004年COSO風險管理整合框架2002年SOA法案內部控制制度內部控制結構內部控制整體框架風險管理框架內部控制的發展2023/10/1127（一）萌芽期一一內部牽制（20世紀40年代前）“Controls”一詞最初從拉丁語“contrarotulus”派生而來，意為“對比卷宗”。它起源于古羅馬時代對會計賬簿實施的“雙人記賬制”，即某筆經濟業務發生后，由兩名記賬人員同時在各自的賬簿上加以登記，然后定期核對雙方賬簿記錄，以檢查有無記賬差錯或舞弊行為，進而達到控制財物收支的目的。2023/10/1128對比卷宗和雙人記賬制體現的是內部牽制思想，其基本原理就是：兩個或兩個以上的人或部門，無意識地犯同樣錯誤的可能性，低于單獨一個人或一個部門錯誤的可能性；有意識地合伙舞弊的可能性，低于單獨一個人或一個部門舞弊的可能性（聯合概率降低）。《柯氏會計詞典》將內部牽制定義為：“用以提供有效的組織和經營，并防止錯誤和其他非法業務發生的業務流程設計。其主要特點是：以任何個人或部門不能單獨控制任何一項或一部分業務權力的方式，進行組織上的責任分工；每項業務通過正常發揮其他個人或部門的功能，進行交叉檢查或交叉控制。”2023/10/1129內部牽制以不相容職務分離和授權批準控制為標志，至今仍然是控制活動的思想精髓。所謂不相容職務，是指那些如果由一個人擔任，既可能發生錯誤和舞弊行為，又可能掩蓋其錯誤和舞弊行為，因而必須予以分離的職務，如授權批準、業務經辦、會計記錄、財產保管和稽核檢查。主要特點：以查錯防弊為目的。以職務分離和賬務核對為方法。以錢、賬、物等會計事項為主要控制對象2023/10/1130內部牽制的表現形式實物牽制：由兩個以上人員共同掌管必要的實物工具，共同完成一定程序的牽制。機械牽制：只有按照正確的程序操作機械，才能完成一定過程的操作。要求按牽制的原則進行程序設置，而且要求所有的業務活動都要建立切實可行的辦理程序。制度牽制：不相容職務相分離。對于每一項經濟業務的處理，都要求有二人或二人以上共同分工負責，以相互牽制，互相制約。通過組織分工來實現。簿記牽制：原始憑證與記賬憑證、會計憑證與賬簿、賬簿與賬簿、賬簿與會計報表之間核對。2023/10/1131（二）發展期一內部控制制度（20世紀40年代至70年代初）1936年AICPA發布的《注冊會計師對財務報表的審查》文告中，內部控制一詞作為審計術語最早出現。美國審計程序委員會下屬的內部控制專門委員會于1949年對內部控制首次做出了如下權威定義：“內部控制是企業所制定的旨在保護資產、保證會計資料可靠性和準確性、提高經營效率，推動管理部門所制定的各項政策得以貫徹執行的組織計劃和相互配套的各種方法及措施”。2023/10/11321958年10月，美國審計程序委員會對內部控制作了如下劃分（制度二分法）：（1）會計控制由組織計劃和所有保護資產、保護會計記錄可靠性或與此有關的方法和程序構成，包括授權與批準制度；記賬、編制財務報表、保管財務資產等職務的分離；財產的實物控制以及內部審計等控制。（2）管理控制由組織計劃和所有為提高經營效率、保證管理部門所制定的各項政策得到貫徹執行或與此直接有關的方法和程序構成，包括統計分析、時動研究、經營報告、雇員培訓計劃和質量控制等。

2023/10/1133美國注冊會計師協會審計準則委員會于1972年12月公布《審計準則公告第1號》(SAS1)，對內部控制定義如下：管理控制包括（但不限于）組織規劃以及管理當局進行經濟業務授權的決策過程有關的程序和記錄。這種授權是與完成該組織目標的職責直接有關的一種管理職能，是對經濟業務建立會計控制的起點。會計控制包括組織規劃以及與保護財產安全和財務報表可靠性有關的程序和記錄，因此它在設計上應能合理保證：1.按管理當局的一般授權或特殊授權處理各項經濟業務。2.經濟業務的記錄必須做到：編制財務報表要遵循公認會計原則，或適用于這些報表的其他標準，保持資產會計責任的記錄。3.只有經管理當局授權才能接近資產。4.在一定的間隔期間，將賬面載明的資產要和實存資產進行核對，對發生的任何差異采取適當的措施。2023/10/11341977年的《反國外賄賂法案（ForeignCorruptPracticesAct）》是最早的關于內部控制要求的法律，要求美國所有的上市公司必須建立內部會計控制制度，以防范公司資金被用于不法目的。但

1980年3月，在國際內部審計師協會代表大會的發言中，凱羅魯斯把內部控制的兩分法描繪為“將美玉擊成了碎片”。他聲稱，在這塊美玉完全修復（破鏡重圓）以前，我們不可能有一個對管理人員有用、為管理人員理解的內部控制定義。2023/10/1135（三）成熟期——內部控制結構（1988）和內部控制整體架構（1992）1.內部控制結構（InternalControlStructure）1988年，美國注冊會計師協會指出：“企業的內部控制結構包括為合理保證企業特定目標的實現而建立的各種政策和程序”。內部控制結構不再將內部控制割裂成會計控制和管理控制兩部分，并正式將控制環境納入內部控制范疇。三要素2023/10/1136（1）控制環境對建立、加強或削弱特定政策和程序效率發生影響的各種因素，反映董事會、經理層、其他管理人員對內部控制的態度、認識和行動

：管理當局的思想和經營作風企業組織機構董事會及其所屬委員會的作用確定職權和責任的方法監控和檢查工作時所有控制方法，包括經營計劃、預算，利潤計劃、責任會計和內部審計人事工作方針及其執行影響本企業業務的各種外部關系2023/10/1137（2）會計系統確認和登記一切合法的經濟業務對各種經濟業務進行按時和適當的分類，作為編制會計報表的依據將各種經濟業務按適當的貨幣價值計價，以便列入會計報表確定經濟業務發生的日期，以便分會計期間進行記錄在會計報表中恰當表述經濟業務以及有關內容2023/10/1138（3）控制程序管理當局所制訂的，用以保證達到一定目標的方針和程序：經濟業務和活動的批準和授權（授權批準控制）明確各個人員的職責分工（不相容職務分離）憑證和賬單的設計和使用應保證經濟業務和活動得到正確的職務分離的記載（如連續編號）財產及其記錄的接觸使用要有保護措施（如限制接近）對已登記的業務及其計價進行復核（獨立稽核）2023/10/11392.內部控制整體架構（InternalControl一IntegratedFramework）

20世紀90年代至21世紀初1992年，COSO報告發布，1994年進行修改。1996年，AICPA發布《審計準則第78號》(SAS78)，全面接受COSO報告的內容，從1997年1月1日起以內部控制框架取代內部控制結構。“內部控制是一個過程，受企業董事會、經理階層和其他員工的影響，旨在保證財務報告的可靠性、經營的效率和效果以及現行法規的遵循。”2023/10/11401992年，美國反財務欺詐委員會下屬的內部控制專門研究委員會COSO（CommitteeofSponsoringOrganizationsoftheTread-wayCommission），提出《內部控制整體框架（InternalControl-IntegratedFramework）》的專題報告（又稱COSO報告），在世界范圍內得到廣泛應用。2023/10/1141COSO報告指出，內部控制是一個過程，受企業董事會、管理當局和其他員工影響，旨在保證財務報告的可靠性、經營的效果和效率以及現行法規的遵循。經營的有效性(做對的事DOtherightthings)和效率(把事情做好Dothethingsright)財務報告的可靠性符合適用的法律和法規2023/10/1142內部控制是一個過程。它是實現目的的手段，而不是目的本身。內部控制由人員來實施。它并不僅僅是政策手冊和表格，還涉及組織中各個層級的人員。內部控制為組織的管理層和董事會提供合理保證，而不是絕對保證。內部控制被用來實現一個或多個彼此獨立又相互交叉的類別的目標。對內部控制定義的理解2023/10/1143過程內部控制并不是一個事項或一種情形，而是滲透到主體的活動中的一系列行為。在組織中的各個單元或職能之內或跨組織單元或職能而實施的經營過程，都是通過規劃、執行和監控等基本的管理過程來加以管理的。內部控制使這些過程得以推行，并對他們的實施和持續的關聯性進行監控。嵌入式的控制有助于降低成本和縮短反應時間。2023/10/1144人員內部控制是由主體的董事會、管理層和其他人員實施的。人員制定主體的目標，并將控制機制付諸實施。同時，內部控制也會影響人員的行動。人們必須知道他們的責任和權限。人員需要把他們所承擔的責任與他們履行這些責任的方式，以及企業的目標明確而密切的聯系起來。董事主要提供監督，但是也提供指導，并審批特定的交易和政策。董事會是內部控制的一個重要元素。2023/10/1145合理保證目標實現的可能性受到所有內部控制都存在的固有局限的影響：決策中的人為判斷可能是錯誤的負責建立控制的人員需要考慮相應的成本和效益可能會由于簡單的誤差或錯誤等人為失誤而發生故障控制會因為兩個或更多人的串通而被規避管理層具有凌駕于內部控制體系之上的能力2023/10/1146人員內部控制是由主體的董事會、管理層和其他人員實施的。人員制定主體的目標，并將控制機制付諸實施。同時，內部控制也會影響人員的行動。人們必須知道他們的責任和權限。人員需要把他們所承擔的責任與他們履行這些責任的方式，以及企業的目標明確而密切的聯系起來。董事主要提供監督，但是也提供指導，并審批特定的交易和政策。董事會是內部控制的一個重要元素。2023/10/1147合理保證目標實現的可能性受到所有內部控制都存在的固有局限的影響：決策中的人為判斷可能是錯誤的負責建立控制的人員需要考慮相應的成本和效益可能會由于簡單的誤差或錯誤等人為失誤而發生故障控制會因為兩個或更多人的串通而被規避管理層具有凌駕于內部控制體系之上的能力2023/10/1148目標主體的目標通常被分為三類：經營(operation)目標——與主體資源利用的有效性和效率有關財務報告(financialreporting)目標——與編制可靠的公開財務報表有關合規(compliance)目標——與主體符合適用的法律和法規有關以上三類目標互相區別又彼此交叉，根據不同的需要，可能是不同管理人員的直接責任。內部控制可以對財務報告目標與合規目標的實現提供合理保證；但對經營目標而言，內部控制只能就管理層以及履行監督職能的董事會及時了解該主體朝著它們邁進的程度進行合理保證。2023/10/1149控制環境（基礎）風險評估（依據）控制活動（手段）信息與溝通（載體）監督（保證）內部控制整合框架(五要素)2023/10/1150五要素及其相互關系

監控控制活動風險評估控制環境信息溝通信息溝通基礎手段保證載體依據2023/10/1151內部控制的構成要素2023/10/1152《中國注冊會計師審計準則第1211號——了解被審計單位及其環境并評估重大錯報風險》中將內部控制定義為：內部控制是被審計單位為了合理保證財務報告的可靠性、經營的效率和效果以及對法律法規的遵循，由治理當局、管理當局和其他人員設計和執行的政策和程序。對內部控制概念的理解，應把握以下幾點：1．內部控制的目標是合理保證：（1）財務報告的可靠性；（2）經營的效果和效率，（3）在所有經營活動中遵守法律法規的要求。2．實現內部控制目標的手段是設計和執行控制政策和程序。3．內部控制貫穿于企業經營管理活動的各個方面，只要存在企業經營管理活動，就需要有相應的內部控制。2023/10/1153（四）最新發展——企業風險管理（enterpriseriskmanagement）2004年9月，COSO委員會順應風險管理與內部控制相融合的趨勢，吸收了風險管理的研究成果，結合《薩班斯——奧克斯萊法案》，正式頒布《企業風險管理整體框架（EnterpriseRiskManagement-IntegratedFramework）》。2023/10/1154該框架對內部控制的定義明確了以下內容：

（1）是一個動態的、貫穿企業實體各個層級和單位的過程（2）受組織內所有層次人的影響（3）應用于戰略制定

（4）旨在識別影響組織的事件并在組織的風險偏好范圍內管理風險（5）能夠為企業實體的管理層和董事會提供合理保證（6）為了實現各類目標演變為內部控制的八個要素。ERM并非替代IC-IF，而是包容了IC-IF，在內控的有關概念上，兩者保持了一致與連貫。企業風險管理框架不僅可以滿足企業加強內部控制的需求，也能促進企業建立更為全面的風險管理體系。2023/10/1155八要素與五要素關系內部環境目標制定事項識別風險評估風險反應控制活動信息與溝通監控控制環境風險評估控制活動信息與溝通監控2023/10/1156風險管理框架包括八大要素：由內部控制轉向風險管理內部環境目標設定事項識別風險評估風險應對控制活動信息與溝通監控風險管理整合框架階段2023/10/1157小結：內部控制發展階段2023/10/1158我國內部控制理論的五部規章制度：1、1996年12月財政部發表的《獨立審計準則第9號———內在控制和審計風險》,是從制度基礎審計的角度對內部控制的定義作出了規定,它認為內部控制包括控制環境、會計系統和控制程序,強調的重點是會計系統。2、1999年修訂的《會計法》第二十七條明確指出“各單位應該建立健全本單位內部會計監督制度”。它是我國第一部體現內部會計控制要求的法律。此條文實際是認為內部控制包括會計控制和其他控制。3、2001年財政部頒布《內部會計控制規范———基本規范(試行)》和《內部會計控制規范———貨幣資金(試行)》。它是從企業自身的角度,從改進企業經營方式的角度對企業內部控制予以要求,強調內控以會計控制為主,同時兼顧與會計相關的控制。4、2007年3月企業內部控制標準委員會發布的征求意見稿。基本規范共分8章，包括總則、內部環境、風險評估、控制措施、信息與溝通、監督檢查、組織實施和附則。具體規范涉及財務報告內部控制和其他方面的控制。5、2008年5月財政部會同證監會、審計署、銀監會、保監會制定了《企業內部控制基本規范》，執行本規范的上市公司，應當對本公司內部控制的有效性進行自我評價，披露年度自我評價報告，并可聘請具有證券、期貨業務資格的會計師事務所對內部控制的有效性進行審計。2023/10/1159《企業內部控制基本規范》2010年1月1日由境外上市公司先期執行，2011年境內上市公司執行。企業內部控制配套指引自2011年1月1日起在境內外同時上市的公司施行，自2012年1月1日起在上海證券交易所、深圳證券交易所主板上市公司施行。在此基礎上，擇機在中小板和創業板上市公司施行，鼓勵非上市大中型企業提前執行。執行《企業內部控制基本規范》及企業內部控制配套指引的上市公司和非上市大中型企業，應當對內部控制的有效性進行自我評價，披露年度自我評價報告，同時應當聘請會計師事務所對財務報告內部控制的有效性進行審計并出具審計報告。內部控制建設的意義2023/10/1160德勤2007-2008年對國內上市公司的內部控制實施狀況，進行了跟蹤調查。德勤發現：56％的公司沒有建立，或現有內部控制機制尚不完善；72％的公司沒有持續監控內部控制的有效機制，或未得到任何改善。就企業內控水平而言，海外上市公司的水平最高，其次是國內的上市公司，隨后是其他未上市的大型企業，中小企業的內控審計建設最為薄弱。內控是對企業業務流程的再造，執行企業需要增設專門崗位和專業人員，制定相應流程。建立以基本規范為統領，以評價指引、應用指引和內部控制鑒證指引為補充的內控標準體系，以法制為推動、以企業實施為主體、以政府監管和社會評價為保障、以各方面積極參與為促進的內控實施體系，已如箭在弦，不得不發。2023/10/1161國際資本市場：“入門證”和“通行證”許多國家通過立法強化企業內部控制，內部控制日益成為企業進入資本市場的“入門證”和“通行證”。研究結果表明，內部控制存在缺陷，是導致企業經營失敗并最終鋌而走險、欺騙投資者和社會公眾的重要原因。我國境外上市企業紛紛花巨資聘請海外機構設計內部控制制度（聘請海外機構做設計，需要5000萬元左右；而請國內公司做設計，需要500萬元左右），以適應上市地的監管要求。2023/10/1162例如，美國SOX法案第404條款（公認最嚴格、最復雜、執行成本最高）強調，公眾公司內控活動的操作流程都必須清楚地定義并保存相關記錄，任何一個崗位的職務、職責都應描述得一目了然，在對交易進行財務記錄的每一個環節都應有相應的內部控制制度，并指出內部控制的缺陷所在。它還特別規定，公眾公司管理層負有建立和維護內部控制系統以及保證相應控制程序充分有效的責任，編制的年度報告須包括內部控制報告，體現管理層對最近財政年度末對內部控制體系及控制程序有效性的評價，并由擔任公司年報審計的會計師事務所對其出具評價報告（但不作為一項單獨的業務）。

2023/10/1163風險控制：天使Or魔鬼內部控制與風險管理是一個事情的兩個方面，正因為有風險才需要控制。為了引導企業進一步加強內部控制，1999年修訂的《會計法》，第一次以法律的形式對建立健全內部控制提出原則要求。但從現實情況看，許多企業管理松弛、內控弱化、風險頻發，資產流失、營私舞弊、損失浪費等問題還比較突出。隨著市場經濟的發展和企業環境的變化，單純依賴會計控制已難以應對企業面對的市場風險，會計控制必須向風險控制發展。2023/10/1164以史為鑒——英國議會曾否決將電力、煤氣引入倫敦的千家萬戶否決引入電力的理由：“如果把電通到千家萬戶之后，每一戶人家至少都得有一個電插頭吧？那個電插頭的殺傷力絕對不可低估，簡直就是現代化的殺傷性武器！如果在全倫敦、全英國普及用電，就等于是給每一個英國人，包括所有的大人、小孩、壞人、精神病患者等等，都發了一把槍，使他們每個人都具備了把別人或者自己隨便殺死的武器和能力。這實在是太可怕了！”2023/10/1165否決引入煤氣的理由：“如果千家萬戶都用煤氣，肯定需要儲存煤氣的巨大煤氣罐吧？把那么多個大煤氣罐擺放在倫敦，那就等于放了數個巨大的‘炸藥包’。任何一個國家總有一些壞人，如果這些壞人自己不想活了，一旦把巨大的‘炸藥包’點著，兩千多年的文明古城豈不是毀于一旦了嗎？難道有誰能承擔得了這個責任嗎？”教訓：內部控制的宗旨是興利除弊，興利是要作“天使”，除弊則是要驅除“魔鬼”，但切忌“好心辦壞事”。英國歷史上的決策失誤——曾否決將電力、煤氣引入倫敦的千家萬戶，就是真理走向謬誤、控制變成桎梏的反面例子。

2023/10/1166COSO：之所以要設置內部控制，就是促使企業在邁向獲利目標的路上，達成管理理念，并把路上的意外驚嚇減到最少。形象地說，健全、完善的內部控制制度是可以“治病救人”的，因為“一個不好的制度會讓好人變成壞人，而一個好的制度會讓壞人變成好人”。

內部控制已成為時下企業管理層、審計師、各國政府，以及相關監管部門萬眾矚目的焦點。這個今日在經濟管理領域的許多方面仍然發揮重要作用的內部控制思想，其發展應歸功于歷代企業家、政府官員、會計人員和著書立說者們的不懈努力。他們不是在實踐中應用這一思想，就是至少提倡應用這一思想。——湯姆.李（Tom.Lee）2023/10/1167二、內部控制的目標與要素（COSO，1992）（一）、含義：內部控制（internalcontrol）是被審計單位為了合理保證財務報告的可靠性、經營的效率和效果以及對法律法規的遵守，由治理層、管理層和其他人員設計和執行的政策和程序

企業內部控制基本規范.doc（不能絕對保證是因為內部控制的局限性）第三節內部控制評審2023/10/1168

內部控制與內部控制制度（internalcontrolsystem，ICS）

內部控制包括內部控制的設計及運行，強調控制的過程

IFAC(InternationalFederationofAutomaticControl

)稱IC=ICS+AS(會計系統),ICS是IC的組成

2023/10/1169（二）、目標：（1）財務報告的可靠性，這一目標與管理層履行財務報告編制責任密切相關；（2）經營的效率和效果，即經濟有效地使用企業資源，以最優方式實現企業的目標；（3）在所有經營活動中遵守法律法規的要求，即在法律法規的框架下從事經營活動。2023/10/1170內部控制的具體目標

保證業務活動按照適當的授權進行保證交易金額的正確、合法、及時反映保證對資產和記錄的接觸、處理均經適當授權保證資產定期核對相符2023/10/11711、內部控制與會計的關系

管理當局責任

實施內部控制是企業內部管理的需要建立健全內部控制和監督內部控制有效運行是管理當局的責任組織中的每一個人都對內部控制負有責任，包括治理層、管理層和其他人員。

內部控制對會計數據的影響建立和執行有效的內部控制對保證財務報表信息的可靠性提供了可能實施內部控制的目的不是消除會計報表中一切錯報

2023/10/1172

合理保證：內部控制無論如何設計和執行，只能對財務報告的可靠性提供合理的保證。

內部控制的局限性

成本的限制：被審計單位實施內部控制的成本效益問題會影響其效能。

業務性質和環境（時間）變化的限制：經常發生或未預計到的業務，原有控制就可能不適用。內部控制一般都是針對經常而重復發生的業務而設置的，如果出現不

人為因素的限制在決策時人為判斷可能出現錯誤和由于人為失誤而導致內部控制失效；可能由于兩個或更多的人員進行串通或管理層凌駕于內部控制之上而被規避。如果被審計單位內部行使控制職能的人員素質不適應崗位要求，也會影響內部控制功能的正常發揮。2023/10/1173[2008年，單選]內部控制無論如何設計和執行只能對財務報告的可靠性提供合理保證，其原因是（

）。

A.建立和維護內部控制是X公司管理層的職責

B.內部控制的成本不應超過預期帶來的收益

C.在決策時人為判斷可能出現錯誤

D.對資產和記錄采取適當的安全保護措施是X公司管理層應當履行的經管責任【答案】C【解析】內部控制的作用只能合理保證控制目標的實現，其固有局限性主要有兩個方面，選項C是其中一個方面。2023/10/11742、內部控制與審計的關系

審計準則的規定

了解內部控制是必須的：不論被審計單位規模大小，都應當對相關的內部控制進行充分的了解。決定控制測試和實質性程序：注冊會計師應根據其對被審計單位內部控制的了解，確定是否進行控制測試以及準備進行控制測試的性質、時間和范圍。控制測試的結果絕不能取代實質性程序程序：對于內部控制良好的單位，注冊會計師可能評估其控制風險較低而減少實質性測試的程序，但決不能完全消除實質性測試程序。無論內部控制如何健全，CPA都必須對認定實施實質性程序，不得將實質性程序僅集中于例外事項上，也不能未經評估，直接將重大錯報風險設定為最大值2023/10/1175

審計人員應充分考慮以下內部控制的局限性共謀而避開控制。適當職責分離可以防止單一人員非法侵占資產后又掩蓋其非法行為，但這種控制可以通過共謀而避開。

管理當局超越控制。控制的有效與否取決于管理當局的意愿，高層管理人員可能超越控制，所以不能指望內部控制能夠防止或發現負責監督內部控制的管理人員的舞弊。系統暫時失效。內部控制系統和相關的內部控制活動只有在管理這些控制的人員執行時才有效。但不能保證相關人員在所有的時間都能以一致的態度履行控制職能。①誤解、錯誤判斷、粗心、不注意和疲勞都可能造成系統的暫時失效。②內部控制的暫時性失效也可能發生于環境發生變化，而控制沒有相應及時變化的情況下。如：并購、開設分支機構、增加或減少部門或生產線、會計系統的電算化。

2023/10/1176（三）、內部控制的要素控制環境（controlenvironment）風險評估（RiskAssessment）控制活動（ControlActivities）信息系統與溝通（InformationSystemandCommunication）對控制的監督（Monitoring）2023/10/11772023/10/11781、控制環境控制環境包括治理職能和管理職能，以及治理層和管理層對內部控制及其重要性的態度、認識和措施控制環境設定了組織的基調，影響著其員工的控制意識，它是所有其他要素的基礎控制環境屬于內部環境，它決定了員工對內部控制是否有足夠的認識，能否自覺執行，并接受監督。所有業務活動的核心都是人員——他們的個人特性，包括誠信、道德價值觀和勝任能力——以及他們開展經營所處的環境。2023/10/1179控制環境對誠信和道德價值觀念的溝通與落實對勝任能力的重視治理層的參與程度管理層的理念和經營風格組織結構職權與責任的分配人力資源政策與實務企業文化？2023/10/1180控制環境控制環境與財務報表層次重大錯報風險有關控制環境本身并不能防止或發現并糾正各類交易、賬戶余額、列報認定層次的重大錯報2023/10/1181【2008年，單選】下列情形中，最有可能導致A注冊會計師不能執行財務報表審計的是（

）。

A.X公司管理層沒有清晰區分內部控制要素

B.X公司管理層沒有根據變化的情況修改相關的內部控制

C.X公司管理層凌駕于內部控制之上

D.A注冊會計師對X公司管理層的誠信存在嚴重疑慮【答案】D【解析】注冊會計師通過風險評估程序了解被審計單位及其環境評估重大錯報風險，其中可能討論到被審計單位財務報表的可審性問題，涉及可審性問題的影響因素有兩種情形，選項D是其中的一種。2023/10/11822、風險評估在評價被審計單位風險評估過程的設計和執行時，注冊會計師應當確定管理層如何識別與財務報告相關的經營風險，如何估計該風險的重要性，如何評估風險發生的可能性，以及如何采取措施管理這些風險內部控制與風險管理已更加緊密的結合在一起，COSO最新內部控制標準的名稱就是“企業風險管理框架”2023/10/1183內部風險識別管理因素組織結構經營方式資產管理業務流程安全環保因素營運安全員工健康環境保護自主創新因素研究開發技術投入信息技術財務因素財務狀況經營成果現金流量人力資源因素職業操守專業勝任能力團隊精神2023/10/1184外部風險識別經濟因素經濟形勢產業政策融資環境市場競爭資源供給法律因素法律法規監管要求社會因素安全穩定文化傳統社會信用教育水平消費者行為行業技術因素技術進步工藝改進自然環境因素自然災害環境狀況2023/10/1185風險應對策略*注釋：摘自《企業內部控制基本規范》風險規避企業對超出風險承受度的風險，通過放棄或者停止與該風險相關的業務活動以避免和減輕損失的策略。風險降低企業在權衡成本效益之后，準備采取適當的控制措施降低風險或者減輕損失，將風險控制在風險承受度之內的策略。風險分擔企業準備借助他人力量，采取業務分包、購買保險等方式和適當的控制措施，將風險控制在風險承受度之內的策略。風險承受企業對風險承受度之內的風險，在權衡成本效益后，不準備采取控制措施降低風險或者減輕損失的策略。2023/10/11863、控制活動控制活動是指有助于確保管理層的指令得以執行的政策和程序，包括與授權、業績評價、信息處理、實物控制和職責分離等相關的活動控制活動應根據風險評估的結果而設計，經營風險越高的領域，越需要有效的控制活動2023/10/1187各種控制措施的綜合運用風險可承受度預防性控制及發現性控制管理控制及監督控制手工控制及自動控制2023/10/1188不相容職務分離控制財產保護控制會計系統控制運營分析控制授權審批控制預算控制績效考評控制*注釋：摘自《企業內部控制基本規范》控制措施2023/10/1189控制活動授權（authorization）（一般授權與特別授權）業績評價（performancereview）信息處理（informationprocessing）（一般控制與應用控制）實物控制（physicalcontrol）職責分離（separationofduties）2023/10/1190

思考：某公司20萬元以下的款項可以由財務經理進行決策，20-50萬元由總經理進行決策，50萬元以上由董事長進行決策。請問該公司內部控制設計上有沒有問題？

分析：有問題。因為財政部的內部控制明確規定，一定款項以上一定要由集體審批2023/10/1191不相容職務應實行職務分離對某項經濟業務進行授權批準的職務和該項經濟業務執行的職務應分離執行某項經濟業務的職務和審查稽核該項經濟業務的職務應分離執行某項經濟業務的職務與該項經濟業務的記錄職務應分離保管某項財產物資的職務和該項財產物資的記錄職務應分離保管某項財產物資的職務和對該項財產物資進行清查的職務應分離登記總賬的職務與登記明細賬、日記賬的職務應分離2023/10/1192【例題·單選題】職責分離要求將不相容的職責分配給不同員工。下列職責分離做法中正確的是(

)。A.交易授權、交易執行、交易付款分離B.交易授權、交易記錄、資產保管分離C.資產保管、交易執行、交易報告分離D.交易授權、交易付款、交易記錄分離【答案】B【解析】本題考查的是對于控制活動的職責分離的掌握。注冊會計師了解控制活動的職責分離主要是了解被審計單位如何將交易授權、交易記錄以及資產保管等職責分配給不同員工，目的是為了防范同一員工在履行多項職責時可能發生的舞弊或錯誤。選項B正確。2023/10/1193

思考：某公司采購固定資產、材料時，由會計人員甲詢價并確定從哪一家供應商進貨，另一名會計人員乙記錄，還有一個人驗收。請問該公司內部控制設計上有沒有問題？

分析：有問題。因為財政部的內部控制明確規定，詢價與確定供應商的職責必須分開2023/10/1194

思考：某公司應付賬款部門的負責人按照到期的時間要求、根據合同的約定到期簽發付款審批手續，由出納人員小丁支付款項，并在月末編制銀行存款余額調節表。請問該公司內部控制設計上有沒有問題？

分析：有問題。根據財政部的內部控制規范出納不能編制銀行存款余額調節表2023/10/11954、信息系統與溝通與財務報告相關的信息系統，包括用以生成、記錄、處理和報告交易、事項和情況，對相關資產、負債和所有者權益履行經營管理責任的程序和記錄與財務報告相關的溝通包括使員工了解各自在與財務報告有關的內部控制方面的角色和職責，員工之間的工作聯系，以及向適當級別的管理層報告例外事項的方式2023/10/1196信息的收集財務會計資料經營管理資料調研報告內部刊物辦公網絡等渠道行業協會組織/監管部門社會中介機構業務往來單位市場調查網絡媒體等渠道內部信息外部信息合理的篩選、核對、整合可提高信息的有用性2023/10/1197建立信息與溝通制度內部控制相關信息的收集信息的處理與傳遞信息的及時溝通信息與溝通系統能及時識別、獲取和交流信息，促使管理層和其他員工履行其職責；科學合理的信息與溝通制度可促進內部控制的有效運行。2023/10/11985、對于控制的監督對控制的監督是指被審計單位評價內部控制在一段時間內運行有效性的過程，該過程包括及時評價控制的設計和運行，以及根據情況的變化采取必要的糾正措施注冊會計師應當了解被審計單位對控制的持續監督活動和專門的評價活動建立和維護內部控制是治理層和管理層的責任，而不是審計人員的責任2023/10/1199

內部控制缺陷認定標準

企業應當制定內部控制缺陷認定標準，對監督過程中發現的內部控制缺陷，應當分析缺陷的性質和產生的原因，提出整改方案，采取適當的形式及時向董事會、監事會或者經理層報告。其中，內部控制缺陷包括：設計缺陷運行缺陷2023/10/11100美國沃爾瑪公司案例

美國沃爾瑪公司（Wal-Mart，以下簡稱沃爾瑪）為世界上最大的連鎖零售商，成立于1962年。目前，沃爾瑪在全球開設了超過8,000家商場，員工總數210多萬人，每周光臨的顧客達2億人次。2010年《財富》雜志最新公布的美國五百強企業榜，沃爾瑪蟬聯榜首。事實上，沃爾瑪的年銷售額相當于全美所有百貨公司的總和，開業至今銷售額年增長率達到40%。沃爾瑪能在短短半個世紀的時間內實現如此迅猛的發展，不得不說是零售業的一個奇跡。細究其商業成功，良好的內部控制作為中樞神經系統和推動企業健康發展的引擎功不可沒。2023/10/11101⒈控制環境——誠實原則與道德價值觀沃爾瑪不怕員工犯錯誤，而且會有專門的人幫助員工去改正錯誤。但是有一個錯誤是不可以被原諒的，那就是不誠實，因為“誠實”是沃爾瑪對員工最基本、也是最重要的要求。沃爾瑪在招聘員工時，非常看重員工的誠信，即使學歷再高，為人不誠實依然無法得到聘用。沃爾瑪也被視作最遵紀守法的企業，并連續兩年榮登《財富》雜志的“最受尊敬企業”榜。2023/10/11102沃爾瑪所提倡的道德價值觀，可以歸結為顧客第一、員工第二、管理層第三：（1）顧客就是上帝沃爾瑪的創辦人山姆·沃爾頓（SamWalton）曾說過，“顧客能夠解雇我們公司的每一個人，他們只需要到其他地方去花錢，就可做到這一點”。以顧客為本，沃爾瑪采取了“低加價”的零售經營模式，喊出“天天低價”的口號。沃爾瑪不僅向顧客提供價廉物美的商品，同時還向顧客提供最優秀的服務。它有個特別經典的顧客服務原則：第一條，顧客永遠是對的；第二條，如果對此有疑義，請參照第一條執行。2023/10/11103站在顧客角度，沃爾瑪提出“三米微笑（10-footRule）”和“日落原則（SundownRule）”。“三米微笑”要求員工對三米（10英尺）之內的顧客微笑、并看著顧客的眼睛，認真回答顧客的提問，永遠不要說“不知道”。“日落原則”則要求員工在收到顧客、供應商或其他員工的電話當天日落之前，對這些電話做出答復。以“幫顧客節省每一分錢”為宗旨，也使公司在快速的業務擴張中直接受益。2023/10/11104（2）尊重每一位員工沃爾瑪不把員工當作“雇員”看待，而是視為“合伙人”和“同事”，認為他們是公司最寶貴的資源。員工的姓名標牌上，除了名字，就只有一個標語“我們的員工與眾不同（OURPEOPLEMAKEDIFFERENCE）”。這也意味著每個人都是公司內平等而重要的一員，只是分工不同而已。在處理員工關系方面，沃爾瑪運用最多的方法是激勵，而不是批評或者是處罰。2023/10/11105（3）管理者每天追求卓越沃爾瑪已經連續多年位居全球商業企業榜首，但管理層仍然堅持著“每天追求卓越”的企業精神。對于沃爾瑪商店經理來說，他們每周至少要到周圍其它商店10次以上，看看自己的商品價格是不是最低，看看競爭對手有哪些長處值得學習，絲毫不敢懈怠。其他諸如勇敢堅韌、善于創新、精力充沛、誠實公正等品質，也時刻滲透到從決策到監督、從采購到銷售的內部管理控制過程中。2023/10/11106⒉控制命門——人力資源保障與激勵西方諺語云：“內部控制是靠人去設計的，也是靠人去執行的”，人力資源可謂內部控制的命門。沃爾瑪非常重視對員工的培養與教育，60％的管理人員是從普通營業員成長起來的。伴隨著每個員工的成長，公司在每個關鍵環節都會組織員工進行與崗位或職位相對應的培訓，如剛剛加入公司新員工的入職培訓，普通員工的崗位技能培訓和部門專業知識培訓，部門主管和經理的基礎領導藝術培訓，賣場副總經理以上高管人員的高級管理藝術培訓、不定期地從世界各地選拔工作表現優秀且有發展潛力的管理人員前往沃爾頓學院接受的系統培訓。2023/10/11107員工在剛進入公司時，也不一定非得從基層做起，受教育多的人可以被安排到比受教育少的人更高的位置。只要是人才，能在工作中做出成績，證明自己的能力，很快就能得到提拔。沃爾瑪還利用利潤分享計劃、雇員購股計劃和損耗獎勵計劃三管齊下，對員工進行有效激勵：（1）利潤分享計劃保證每個在公司工作了1年以上，以及每年至少工作1000個小時的員工，都有資格分享公司利潤。運用一個與利潤增長相關的公式，把每個夠格的員工工資的一定百分比歸入這個計劃，員工們離開公司時以現金方式，或以公司股票方式取走相應的份額。2023/10/11108（2）雇員購股計劃讓員工通過工資扣除的方式，以低于市值15%的價格購買股票（公司股票在紐約證交所、太平洋股票交易所、多倫多股票交易所上市）。如今沃爾瑪80%以上的員工，擁有公司股票。（3）損耗獎勵計劃通過與員工共享公司因減少損耗而獲得的盈利，來控制偷竊的發生。公司對商品的損耗，規定了最低標準，低于損耗指標者可得到一定的獎金。讓員工直接從節約中得利，大大激發了員工的積極性，這也使得沃爾瑪的損耗率僅為零售業平均水平的一半。2023/10/11109公司還實行與銷售業績掛鉤的年薪制度，區域以上的管理人員的年薪同整個公司的業績掛鉤，商店經理收入同該店的銷售業績直接掛鉤，業績好的收入甚至超過區域經理。⒊控制活動——科技與成本節省沃爾瑪運用科技手段促進業務發展，為各界樹立了成功的典范。沃爾瑪最早使用計算機跟蹤存貨（1969年），最早使用條形碼和電子掃描器來管理商品（1981年），最早將衛星用于零售業（1983年），最早采用電子數據交換系統（1985年），并最早采用電子防盜系統（1988年）。2023/10/11110沃爾瑪建立了專門的電腦管理系統、衛星定位系統和電視調度系統。每一家沃爾瑪分店銷售的任一商品，都會即時通過與收款機相連的電腦記錄下來，這些零散的信息如同涓涓細流被及時匯總起來，通過衛星通信系統，反饋到配送中心和沃爾瑪總部，直至沃爾瑪的5000多家供應商。全球門店可在1小時內對每種商品的庫存、上架和銷售量等信息全部盤點一遍，并通知貨車司機最新路況，調整車輛送貨的最佳路線，做到商店的銷售與配送保持同步、配送中心與供應商運轉一致，實現物流、商流和信息流的完美統一。2023/10/11111靈活高效的物流配送，使得沃爾瑪的各分店即使維持少數存貨，也能保持正常銷售，從而大大節省了存貯空間和存貨成本。沃爾瑪處處精打細算，降低成本和各項費用支出。一是“苛刻地挑選供應商，頑強地討價還價”，以盡可能低的價位向制造商直接采購。二是實現采購本地化，既節約成本，又適應當地顧客的消費習慣。在中國，沃爾瑪商店銷售的95％商品都是“中國制造”。2023/10/11112三是講究精簡實用。比如新店開業，不追求裝潢，也不作廣告宣傳；辦公費用（包括總公司和地區經理們的薪水、辦公室的開支，以及配送中心和電腦系統的投入）只許占營業額的2%。四是通過“點子大王”的傳統，激勵員工不斷向管理層提供各種節省費用的點子。⒋控制渠道——信息溝通與監控溝通是收集信息、分享信息最重要的途徑。沃爾瑪認為，溝通須親力親為，管理人員必須親臨基層，及時了解和處理店中事務。2023/10/11113沃爾瑪不僅倡導類似通用電氣的“Opendoor”做法，而且做得更為徹底和有效。它不僅倡導管理層的大門向員工敞開，更為倡導走出房間、走進基層員工，原因在于：（1）如果不是碰到特別重要的問題，基層員工是不會貿然地走進總裁大門的；（2）距離總部太遠的員工，是難有機會走進總裁大門的，所以這扇被打開的大門對他們來說形同虛設；（3）基層員工走進總裁大門，有越級匯報之嫌，盡管決策層倡導越級匯報，但是員工出于顧慮不會輕易地這樣做。也就是說，形式主義的門戶開放，往往成為一些企業領導人坐在辦公室聽下級匯報的一種溝通方式，信息失真的可能性增大。2023/10/11114沃爾瑪強調適度授權，將責任和職權下授給第一線的工作人員，尤其是清理貨架和經常接觸顧客的部門經理。例如采取“店中有店”的方法，每個人所負責的區域就是一個“店”，每個人就是自己店的總經理。在授權過程中，產生了實施監督的需要。沃爾瑪認為，信息共享是解決監督問題的有效辦法。對員工來說，經營方式、采購價格、運輸成本和利潤等所有的資料都是透明的。通過適當的授權和良性的競爭，調動員工的積極性和創造性，同時達到有效監督的目的，以人為本的內控制度得以展開。2023/10/11115沃爾瑪的商店在美國星羅棋布，它是如何監控這一超大規模的商業帝國的呢？事實是，通過清晰的責任配置，沃爾瑪輕松地破解了這一難題。其監控機構設置之精簡程度令人咋舌，圖示如下：2023/10/111162023/10/11117每家分店由一位經理和至少二位助理經營管理，經理負責整個商店的運營，助理經理則分別負責耐用商品和非耐用商品的管理，他們領導著約36個商品部門經理。分店經理向地區經理匯報工作，每位地區經理負責約12家分店。地區經理向區域副總裁匯報工作，每位副總裁下設3-4位地區經理。區域副總裁向公司執行副總裁匯報工作，另外還有2位高級副總裁分別負責新店發展和公司財務。各區域副總裁是核心，他們負責整個公司的溝通和運營管理。雖然沃爾瑪的商業規模早已今非昔比，但是這一監控機制基本與初建時同樣簡單、精煉和有效。2023/10/11118⒌控制啟示——沃爾瑪經驗（1）控制環境是建設良性內部控制的基礎，需要管理者主動放下身段。控制環境是內部控制的基礎，而管理層恰恰為內部控制定下基調，是內部控制的重心。必須承認，企業制定的任何制度，都不可能超越設立這些制度的人；企業內部控制的有效性，同樣也無法超越那些創造、管理與監督制度的人。因此，需要特別注意內部控制的風向標——管理層的經營風格和管理哲學，注重提高管理者的控制意識與觀念，以免“上梁不正下梁歪”。2023/10/11119我國企業普遍忽視控制環境建設，尤其是管理者高高在上，內部控制往往“對下不對上”。誠實原則和“顧客第一、員工第二，管理層第三”的道德價值觀，不僅為沃爾瑪樹立了良好的企業形象，更是其長遠發展的必要條件和有力保障，值得我們反思、學習和借鑒。2023/10/11120（2）人力資源是企業護住控制命門的關鍵，需要全面提升員工的素質與凝聚力。人是最重要的“軟資產”，生產經營和管理活動如此，內部控制亦不例外。沃爾瑪將人力資源作為一項系統工程來抓，細摳招聘、培訓、激勵和晉升等細節，體現出以人為本的控制思想。我國企業也應制訂科學合理的人力資源政策，特別是加強對在職人員的培訓和激勵，使其遵紀守法、精通業務，不斷保持和提高勝任能力。2023/10/11121（3）科技手段是控制活動的助推器，需要將先進控制理論和思想，與現代的高科技手段有機結合。沃爾瑪是傳統行業利用科技手段獲得核心競爭力的最好范例，借助高科技平臺，得以實現物流、商流和信息流的統一，達成實質性降低成本、提高效率和加強運營管理等多重目的。我們還注意到，在科技手段的支持下，任何一個供應商都可以進入沃爾瑪的零售鏈接系統，了解他們的產品今天、昨天、上一周、上個月和去年賣得怎么樣，通過電腦監視其產品在沃爾瑪各分店的銷售及存貨情況，然后據此調整它們的生產和銷售計劃，使庫存降到最低限度。正是數據交換給供應商帶來的商業價值，才使得沃爾瑪“苛刻地挑選供應商，頑強地討價還價”成為可能。2023/10/11122（4）信息溝通與監控是企業正常的控制渠道，需要以實用、高效為前提，注重信息共享和責任配置的清晰化。沃爾瑪的管理層奉行“門戶開放”政策，既拓寬了信息溝通渠道，也保證了信息溝通效果；而信息共享和機構精簡，既讓控制無處不在，又讓控制不失于簡明。我國企業需要建立適當的溝通渠道，方便部門和雇員之間的溝通，消除部門間障礙及為員工合作提供機會。同時，還要按照相互牽制、相互協調的原則，合理界定關鍵區域的權責，防止發生權力重疊，避免出現權力真空。

2023/10/11123案例分析分組案例分析：1、萬科2、華為3、海爾4、三鹿5、巨人6、美國通用電氣7、科龍2023/10/11124第三節內部控制評審三、財務報告內部控制內部控制的參與者（責任人）內部控制的關注者董事會管理層內部審計其他員工外部審計債權人供應商客戶立法與監管機構其他2023/10/11125管理層：內部控制的設計者及實施者董事會：管理層向董事會負責，董事會提供治理、指導和監督。董事會通過下設委員會：審計委員會、薪酬委員會、財務委員會等來參與內部控制。內部審計師：評價內部控制的有效性，即監控。其他人員：參與所有人對內部控制都負有責任，內部控制應能明確界定所有人員的職能與責任，并有效地溝通。COSO報告：職能與責任——內部人員2023/10/11126外部審計師：審計師必須充分了解內部控制體系，以便對財務報告發表意見。即便主體的內部控制無效，審計師也可以發表“公允反映”的意見。審計師關注的是財務報表而不是內部控制。審計師在財務報告審計中，可通過下列方式向管理層提供內部控制的有關信息：通過向管理層溝通審計中發現的問題、分析性信息以及采取必要行動以實現主體既定目標的建議；通過溝通審計師注意到的有關內部控制缺陷的問題和改進建議。COSO報告：職能與責任——外部各方2023/10/11127但在薩班斯-奧克斯法案中，對內部控制的關注被進一步加強：如404條款：要求美國證券交易委員會SEC(SecuritiesandExchangeCommission)強制規定，企業編制的年度報告中應當包括內部控制報告。公司管理層應建立和維護內部控制系統，保證相應控制程序充分有效，最近財政年度末管理層應對內部控制進行評價，并由擔任公司年報審計的會計公司對其進行測試和評價，出具內部控制評價報告。2023/10/11128立法者與監管者制定規則，推動管理層確保內部控制體系滿足最低的法律和監管要求對特定主體進行檢查，對內部控制體系提出建議。與主體往來的各方客戶、供應商可以提供對主體實現目標的相關信息，主體必須建立接收這些信息并采取適當行動的機制。債權人可能通過某些手段進行監督。財務分析師、債券評級師和新聞媒體管理層應當考慮財務分析師等相關方面所作出的分析信息。COSO報告：職能與責任——外部各方2023/10/11129什么是財務報告內部控制？《會計研究》（2011，3）：財務報告內部控制---一個悖論2023/10/11130(一)內部控制對財務報告的影響

財務報告由會計人員編制，是會計信息加工后對外公布的結果。它的產生依賴于會計核算系統、日常控制機制的運行，并受到企業內部控制環境的影響。有效的內部控制系統的目標之一是保證財務報告的可靠性，但保證財務報告的可靠性并不是內部控制系統的全部。有效的內部控制系統只能合理保證財務報告的可靠性；但是，沒有內部控制系統的企業財務報告不一定不可靠，而財務報告一旦不可靠，則企業的內部控制系統必定無效。2023/10/11131（二）財務報告內部控制的涵義

根據SEC2003年6月正式發布的最終規則中的定義，財務報告內部控制是指由公司的首度執行官、首席財務官或者公司行使類似職權的人員設計或監管的，受到公司的董事會、管理層和其他人員影響的，為財務報告的可靠性和滿足外部使用的財務報告編制的符合公認會計原則提供合理保證的控制程序，具體包括以下控制政策和程序。

1、保持詳細程度合理的會計記錄，準確公允地反映資產的交易和處置情況。

2、為下列事項提供合理的保證：公司對發生的交易進行必要的記錄，從而使財務報告的編制滿足公認會計原則的要求；公司所有的收支活動經過管理層和董事會的合理授權。

3、為防止或及時發現公司資產未經授權的取得、使用和處置提供合理保證，這種未經授權的取得、使用和處置資產的行為可能對財務報告產生重要影響。2023/10/11132（三）財務報告內部控制（與審計相關）與審計相關的控制，包括被審計單位為實現財務報告可靠性目標設計和實施的控制如果用以保證經營效率、效果的控制以及對法律法規遵守的控制與實施審計程序時評價或使用的數據相關，注冊會計師應當考慮這些控制可能與審計相關第三節內部控制評審2023/10/11133（四）對內部控制了解的深度

注冊會計師在了解內部控制時，應當評價控制的設計，并確定其是否得到執行注冊會計師在確定是否考慮控制得到執行時，應當首先考慮控制的設計對內部控制的了解并不涉及控制的運行有效性除非存在某些可以使控制得到一貫運行的自動化控制，注冊會計師對控制的了解并不能夠代替對控制運行有效性的測試2023/10/111342023/10/11135內部控制的了解內部控制的了解方法詢問被審計單位的人員觀察控制活動和經營活動的實施情況檢查相關的內部控制記錄和文件以前年度的審計工作底稿被審計單位的內部審計報告追蹤交易在財務報告信息系統中的處理過程（穿行測試）

穿行測試是指測試一項業務的整個處理流程

2023/10/11136對內部控制五要素的了解

對控制環境的了解對被審計單位風險評估過程的了解對信息與溝通的了解對控制活動的了解對控制監督的了解

2023/10/11137四、內部控制的描述

文字敘述法含義：是審計人員對被審計單位的內部控制情況的書面敘述，故也稱書面說明法優點：簡便易行，機動靈活，不受任何限制，可對被審計單位內部控制的各個業務循環加以描述缺點：是對內部控制的描述，有時很難用簡明易懂的語言來詳細說明各個細節，或者可能使文字敘述顯得較為冗長，還有可能遺漏內部控制設計中的重要環節，不便于資料整理和進行對比分析適用：內控簡單的企業第三節內部控制評審2023/10/11138調查表法含義：將了解的有關制度用一定的表格概括地描述出來優點：簡便易行，便于操作；能對所調查問題給予明確答復；節省審計時間，加快審計進度，提高審計效率；有利于突出審計重點，大大減少審計人員忽略重要控制的可能性缺點：調查內容只限于表中的調查事項，調查事項如果設計不當，所填答案就不能正確地反映內部控制的真實狀況；如果被調查人員漫不經心，馬虎填寫，調查就流于形式，從而失去調查表的意義2023/10/11139流程圖法含義：指用特定的符號和圖形，將被審計單位的組織機構，職責分工，權限范圍，文件編制及順序，會計記錄，業務處理流程，會計檔案的種類，及存放地點等內部控制情況，以圖解