1、7 内部控制测试与评价,内部控制概述了解和描述内部控制控制测试评价内部控制,一、内部控制的概述,(一)内部控制含义内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。 (二)内部控制的历史演变 “内部牵制”阶段(20世纪40年代以前) “内部控制”阶段(20世纪40年代70年代,两分法) “内部控制结构”阶段(80年代以后,三要素) “内部控制整体框架”阶段( 90年代后,COSO,五要素) “企业风险管理框架”阶段(财务丑闻增多,2004,八要素),(三)内部控制一般应当实现以下目标: 1.保证业务活动按
2、照适当的授权进行; 2.保证所有交易和事项以正确的金额,在恰当的会计期间及时记录于适当的帐户,使会计报表的编制符合会计准则的相关要求; 3.保证对资产和记录的接触、处理均经过适当的授权; 4.保证账面资产与实存资产定期核对相符。,(四)内部控制有其固有的局限性 原因在于: 1、内部控制的设计和运行受制于成本与效益原则; 2、内部控制一般仅针对常规业务活动而设计; 3、执行人员的素质和工作质量; 4、串通舞弊; 5、执行人员滥用职权或屈从于外部压力; 6、经营环境和业务性质的变化 。 故内部控制对会计报表的公允性只能提供合保证,即控制风险始终大于零。,(五)高度重视内部控制1、内部控制与审计的关
3、系A.内部控制 重大错报风险 是否抽样及样本规模B.无论被审计单位规模大小,都必须了解内部控制制度 评估重大错报风险C.了解的目的是确定是否进行控制测试D.了解和控制测试并非审计工作的全部内容,不能全部取消实质性测试2、治理层、管理层构建和完善内部控制的重大意义,二、内部控制的构成要素,按要素划分,包括:控制环境(Control Environment)、风险评估过程、控制活动、信息系统和沟通、对控制的监督。 与审计相关的控制指被审计单位为实现财务报告可靠性目标设计和实施的控制。审计师应当运用职业判断,考虑一项控制单独或连同其他控制是否与评估重大错报风险及针对评估的风险设计和实施进一步审计程序
4、有关。,(一)控制环境,控制环境是指对被审计单位控制的建立和实施有重大影响的一组因素的统称。控制环境包括治理职能与管理职能,以及管理层和治理层对内部控制及其重要性的态度、认识和措施。 控制环境包含的因素主要有:对诚信和道德价值观念的沟通与落实;对人员胜任能力的重视;治理层的参与程度;管理层的理念和经营风格(管理哲学和经营方式等);组织结构及职权与责任的分配; 人力资源管理。,参考:现代企业标准组织结构图,股东大会,董事会,总经理,战略发展委员会,薪酬与考核委员会,审计委员会,董事会秘书,总经理办公室,财务室,人力资源部,生产计划部,采购部,市场营销部,稽核部,分公司1,分公司2,分公司3,分公
5、司4,分公司5,其 他,(二)风险评估,1、指与提供符合公认会计原则的财务报告有关的风险的确认、分析和管理,即管理层确认可以承受的风险水平,识别这些风险,并采取一定的应对措施。 2、管理当局应制定计划、程序和行动来避免具体风险或出于成本和其他因素接受这一风险。 3、引起风险的环境因素: (1)监管及经营环境的改变; (2)新职员的引入; (3)新技术的引进; (4)新生产线或新经营活动的出现(新经营领域);,(5)信息系统的更新; (6)公司的快速成长; (7)会计准则、会计政策的变更。,(三)控制活动 指确保管理层指令得以实施的政策和程序。,(1)交易授权(Transaction autho
6、rization) 交易授权程序的主要目标在于保证交易是管理人员在其授权范围内授权才产生的。一般授权是指授权处理一般性的交易;如购买办公用品。特别授权则指授权处理非常规性的交易,如重大资本性支出和发行股票。交易授权程序通常对“存在或发生”认定,以及某些“估价或分摊”认定的控制风险有直接影响。,(2)职责分离(Segregation of duties) 不相容职务:集中于一个人办理时发生差错或舞弊的可能性会增加的两项或几项职务。 不相容的职责包括:授权执行;执行审查;执行记录;保管记录;保管检查;记录总账与记录明细账、日记账职务分离。,职责划分:是指对某交易涉及的各项职责进行合理划分,使每一个
7、人的工作能自动地相互检查另一个人或更多人的工作。 职责划分的主要目标:是为了预防和及时发现在执行所分配的职责时所产生的错误或舞弊行为。 职责划分通常对“存在或发生”认定、“完整性”认定以及某些“评价与分摊”认定的控制风险有直接影响。,案例:巴林银行倒闭案,1992年7月到1995年2月,巴林银行新加坡交易员Lesson未经授权进行日经指数期货交易,并刻意隐瞒日经指数期货交易产生的约14亿美元损失,最终导致这家有一百多年历史的银行宣布破产,被荷兰银行以象征性的1美元收购。其后,英格兰银行提交的调查报告中指出巴林银行倒闭的主要原因是管理层不了解衍生金融商业的特性;缺乏风险管理;缺乏内部稽核。,巴林
8、银行缺乏有效的职责划分和内部稽核机制, Lesson身兼巴林新加坡分行的交易员和结算员,这使他有机会伪造存款和其他凭证,把期货交易带来的损失瞒天过海。而巴林银行的高层对Lesson在新加坡的业务并不了解,在事发3年内居然无人看出Lesson的问题。最终造成了不可收拾的局面。从内部控制的角度来看,上述案例中巴林银行内控有何缺陷?,(3)实物控制:是指通过对有关资产和记录实施特定保护措施以保证其安全和完整的一种控制方式,具体又可分为接触控制和盘点控制。 接触控制:针对有关重要的资产和文件记录,明确其可以接触和接近的人员以及接触和接近人员的职责范围,并限制其他人员接触或接近以保证安全。 盘点控制:对
9、企业的资产实施定期盘点清查,并将盘点结果与会计记录进行比较以确定其帐实是否相符的一种方法。,(4)信息处理:信息传递过程中,管理人员会采取一系列的控制活动来保证信息的准确性、完整性、安全性。信息处理可分两个层次: 管理文件控制 以书面文件形式明确企业各部门和人员任务、职责、企业方针政策。如:通过系统流程图、组织图、岗位工作说明等来制约和协调企业内部各部门和岗位之间、某项业务各步骤之间关系的一种控制方式。 会计记录控制 通过预先编号、签名盖章、复式记帐、控制帐户等运用,以确保交易信息真实、完整的一种控制方式。,(5)业绩独立检查独立检查是指由独立人员验证与复核另一个人或部门执行工作的正确性。包括
10、:复算各会计记录计算的准确性、核对各相关会计资料记录上的一致性,定期将实际业务活动与预算计划或前期业务活动进行比较,计算各种财务比率等。独立检查同 “估价或分摊”认定 “存在或发生”、“完整性”认定有关。,(四)信息系统(与财务报告有关)与沟通,信息企业的内部控制系统必须有一个完善的信息传递、沟通和反馈的系统。 沟通让每一个员工对于其在内控及财务报告中的作用和责任有一个充分的了解。包括个人对于其行为对他人造成的影响的认识及各部门之间业务活动的相互协调。 纵横方向的信息流组织结构设计不但要有助于部门和雇员之间的沟通,还要有助于消除部门之间的障碍及为员工合作提供机会。 沟通形式设立联络员或专职整合
11、员,成立任务组,引入第三方顾问,进行成员轮换,增加团队间的培训,强调共同使命,进行对话与谈判,编制政策指南,财务报告手册及备忘录等。,(五)对控制的监督,由管理当局对内部控制的效果进行持续或定期的评估,以确保其按预定的目标发挥作用及根据情况变化而适时修正、完善。 包括日常的管理监督活动,也包括内部审计及与单位外部团体进行信息交流的监控。 旨在评估内部控制。 内部审计是控制环境中的一个特殊因素,一方面为内控的组成部分,另一方面又监督内控的运行。,审计师在对甲公司的内部控制进行了解和测试时发现: 1、甲公司产成品发出时,销售部填制一式四联出库单。其中,第三、四联交会计人员乙登记产成品总帐和明细账。
12、 2、材料采购经授权批准后进行。货物运达后,验收部门根据订购单的要求验收货物,并编制未连续编号的验收单。,案例分析:,3、会计部门审核付款凭单后,支付采购款项。甲公司授权会计部经理签署支票,经理将支票的填制与审核交由会计人员丁办理,但保留了支票印章。 4、计划部门根据批准签发预先编号的生产通知单,生产部门根据该通知单填制领料单,仓库和会计部门凭该领料单发料和记帐。 5、甲公司的控股股东的法定代表人同时兼任甲公司的法定代表人。,.,6、甲公司设立了内部审计部,并直接对董事长负责。 7、甲公司设有现金出纳员和银行出纳员,前者负责现金收支与存取,后者负责票据的取送和登记银行存款日记帐。 要求: 1、
13、分析甲公司的上述内部控制有无缺陷?如有,请提出改进意见。 2、上述缺陷与哪些会计报表项目或科目的何种认定有关?,好难啦!,解答: 1、乙同时负责登记产成品总账和明细账,监督失效。建议:分离。 与应收账款、主营业务收入等账户的存在和发生、估价与分摊认定有关。 2、未连续编号,漏记、重记。建议连续编号。 与存货的完整性认定有关。,3、支票的填制与审核不应由一人负责。建议:出纳签发支票,经理审核并签章。 与银行存款、现金、应付账款的完整性认定相关。 4、仓库与会计部门只根据领料单登账,而无适当的授权凭证与牵制手段。建议:计划部门的生产通知单为一式多联。 与存货及成本费用类账户的估价和分摊认定相关。,
14、5、相关法律规定,甲公司的控股股东的法定代表人不得同时担任甲公司的法定代表人。 建议:按相关法律的要求和程序,确定公司的法定代表人。 6、内部审计部门应对董事会负责。 7、甲公司分设现金出纳和银行出纳,但银行出纳员只负责到银行送取支票等票据,不负责现金存取,却又负责登记银行存款日记账和编制对账单,这将导致银行存款日记账与公司的实际收支不符,出现大量未达账项。,建议:讲二者合二为一,或由银行出纳员负责现金的存取。 该缺陷与银行存款的存在与发生和完整性认定有关。,内部控制的经典:沃尔玛公司案例,沃尔玛百货有限公司(Walmart)公司由美国人山姆 沃尔顿于1962年创立。在短短几十年间,它由一家小
15、型折扣商店发展成为世界上最大的零售企业之一,2002年财富评选的“500强”中,沃尔玛以2189.12亿美元的销售收入位居首位。早在20世纪80年代,沃尔玛就建立起了自己的商用卫星系统。在强大的技术支持下,如今的沃尔玛已形成了“四个一”,即“天上一颗星”通过卫星传输市场信息;“地上一张网”有一个便于用计算机网络进行管理的采购供销网络;“送货一条龙”通过与,供应商建立的计算机化连接,供货商自己就可以对沃尔玛的货架进行补货;“管理一棵树”利用计算机网络把顾客、分店或山姆会员店和供货商象一棵大树一样有机地联系在一起。如此庞大的信息系统,沃尔玛是采用什么方法对它进行控制呢?下面运用COSO报告中的标准
16、与评价方法,从控制环境、风险评估过程、信息系统与沟通、控制活动和对控制的监督这五个方面对沃尔玛的物流信息系统的内部控制进行分析 1、控制环境 企业控制环境决定了其他控制要素能否发挥作用,是内,部控制其他控制要素发挥作用的基础,直接影响到企业内部控制的贯彻和执行以及企业内部控制目标的实现,是企业内部控制的核心。20世纪80年代初期,一家企业建立一个卫星系统几乎是不可想象的。那么,沃尔玛的管理层对此持何种态度呢?在提出要建立自己的卫星系统时,山姆 沃尔顿是不太赞成的。他认为目前的信息系统已经可以使沃尔玛在同业中处于领先地位,不必要再将如此多的资金投进行。然而公司的其他高层,包括几位董事和技,术总监
17、,深知投资新技术对公司发展和控制成本、提高管理的重要性,他们勇于不断地向山姆施压,以大量的数据证明了建立卫星系统的可行性及将会给沃尔玛来带来的巨大效益。在其他高管的不懈努力下,山姆终于被说服了。待意见统一后,沃尔玛立刻花费大约7亿美元建成目前拥有的计算机和卫星系统。可以说,如果没有高管人员的当初远见卓识,如果没有他们对信息系统的强力支持,沃尔玛不可能有今天的规模和地位。 2、风险评估过程,风险评估是提高企业内部控制效率和效果的关键。沃尔玛在不断引进新技术的基础上,仍保持着非常谨慎的态度。每次有哪位主管想建立新系统,山姆总要求他们认真评估应用该系统后可能带来的风险,并且谨慎地选择系统的应用范围,
18、循序渐进,逐渐推广。1981年,沃尔玛开始试验利用商品条码和电子扫描器实现存货自动控制。公司先选定商店,在收款台安装读取商品条码的设备。两年后,试验范围扩大到25家店,1984年扩大到70家店,1985年公司宣布将在所有的商店安,装条码识别系统,当年又扩大了200多家。到80年代末,沃尔玛所有商店和配送中心都安装了电子条码扫描系统。一个系统从试验到全面应用相隔差不多十年时间。其风险意识之强由此可见一斑!3、信息系统与沟通 一个良好的信息与沟通系统有助于提高内部控制的效率和效果。企业需要按照某种形式在某个时间之内取得适当的信息,并进行沟通,确保员工顺利履行其职责。沃尔玛的信息不仅供内部分店中使用
19、,而且与供应商共享。,卫星系统每天可将销售点的资料快速、直接地传递给4000多家供应商,以便供应商及时了解市场需求。对于沃尔玛来说,他们的物流链已经远远超出了本公司的范围,沃尔玛的供应商也被包括进来。20世纪80年代未,通过计算机联网和电子数据交换系统与供应商分享信息,从而建立起伙伴关系。比如说,皇后公司和沃尔玛的合作。两个公司的计算机进行联网,让供应商随时了解其商品在沃尔玛各分店的销售和库存变动情况,据此调整公司的生产和发货,提高效率,降低成本。,4、控制活动控制活动是确保管理层的指令得以实现的政策和程序。在建立了卫星系统后,沃尔玛针对这个交互式的通讯系统重新设定了一系列的控制活动。在沃尔玛
20、总部,高速电脑和各个发货中心及各家分店的电脑连接,商店付款台上的激光扫描器会把每件货物 的条形码输入电脑,再由电脑进行分类统计。当某一货品库减少到一定数量时,电脑会发出信号,提醒商店及时向总部要求进货。总部安排货源后,送往,离商店最近的一个发货中心,再由发货中心的电脑安排发送时间和路线。这样,从商店发出订单到接到货物并把货物提上货架销售,一整套工作完成只要36个小时。这保证了它在拥有巨大规模的同时仍保持高效。 5、对控制的监督要确保内部控制制度切实执行且执行的效果良好、内部控制能够随时适应新情况等,就必须对内部控制进行必要的监控。沃尔玛的卫星系统可以监控到全集团的所有店铺、配送中记和经营的所有
21、商品,每天发生,的一切与经营有关的购销调存等信息。沃尔玛有统一的产品代码UPC。经理们选择一件商品、扫描一下该商品的UPC代码,不仅可以知道商目前有多少这种商品,订货量是多少,而且知道有多少这种产品正在运输到商店的途中、会在什么时候运到。这些数据都是通过主干网和通信卫星传递到数据中心。管理人员不但能对销售情况、物流情况等实时进行监控,还可知道当天回收多少张失窃的信用卡、信用卡认可体系是否正常工作,并监督每天的交易数量。沃尔玛的数据中心也与供应商建立了联系,,从而实现了快速反应的供应链管理。厂商通过运营系统可以进入沃尔玛的电脑分销系统和数据中心,直接从POS上得到某供应商的商品流通动态信息,如不
22、同店铺及不同商品的销售统计数据沃尔玛各仓库的调配状态、销售预测、电子邮件与付款通知等等,以此作为安排生产、供货和送货的依据。通过这个信息系统,管理人员掌握到第一手的资料,并对日常运营与企业战略作出分析和决策。,要求:结合沃尔玛的案例,谈谈你对我国中小企业内部控制的看法(问题与解决思路)。,三、内部控制评审,风险评估程序的重点是内部控制的评审。内部控制的设计和执行的测试和评价,目的有两个:一是确定被审计单位内部控制设计的合理性和健全性,执行的有效性,以健全和完善内部控制;二是评估内部控制风险,进而确定实质性程序的性质、时间和范围。 评审一般分三个步骤: A.了解和描述内控(评价内控是否存在和设计
23、的合理性) B.测试和评价内控执行的有效性(是否执行和是否有效) C.对内部控制再次评估,并修正DR,进而修正实质性程序的性质、时间、范围。,(一)了解和描述内部控制 了解包括在了解的基础上评价控制的设计,确定控制是否得到执行。,1、了解内部控制的途径: (1) 查阅相关内部控制文件(工作制度、手册); (2 )合理利用以往的审计经验(进行专业判断) ; (3)观察被审计单位的业务活动和内部控制的运行情况;询问管理当局和员工,了解其对内控的看法,并与内控文件相核对。 (4)穿行测试 :就是测试一项业务的整个处理流程。一般在每一类交易循环中选择一笔或若干笔业务进行追踪审核,以验证内控的实际运行是
24、否与文件所述一致。一般只需选择若干重要环节进行验证即可。但对于特别重要的业务系统,必须进行全面的检查验证。,2、在整体层面和业务流程层面了解内部控制 (1)整体层面:整体层面内部控制各要素的情况、实施的风险评估程序及其结果等,并形成底稿。报表层次的重大错报风险很可能源于薄弱的控制环境。主要是识别报表层次的重大错报风险。整体层面的内部控制是否有效将直接影响到重要业务流程层面内部控制的有效性,并进而影响到拟实施的进一步审计程序的性质、时间、范围。 (2)业务流程层面:识别交易及认定层次的重大错报风险,步骤: 确定被审单位的重要业务流程和重要交易类别; 了解重要交易流程,并予以记录; 确定可能发生错
25、报的环节; 识别和了解相关控制; 执行穿行测试,证实对交易流程和相关控制的了解; 进行初步评价和风险评估。,3、描述内部控制 包括调查表 (Questionnaires)法、文字说明(Narrative memoranda)法、流程图(flow chart)法。分述如下:,(1)调查表法,调查表也称调查问卷表,是审计人员根据被审计单位的业务类别、业务循环和内部控制等,将内部控制的必要事项,特别是与确保会计记录的准确性和可靠性以及资产的安全、完整有关的主要事项作为调查项目,并系统地加以罗列的表格 优缺点及适用范围 常用。,(2)文字描述法,文字表述是审计人员运用文字说明的形式,将了解到的内部控制
26、情况进行记录的方法。在表述时,审计人员应根据各业务循环,围绕各环节由谁负责、经办人应履行的工作、办理业务的基本要求等逐一记录 优缺点及适用范围 常用,(3)流程图法,流程图是审计人员用符号和图形来表示被审计单位业务和文件在组织机构内部流动的方法 优缺点及适用范围,(二)控制测试,1、定义:控制测试是指测试控制运行的有效性。 区别“了解内部控制”和“控制测试” 2、需要实施控制测试的两种情形: (1)控制设计测试在评价认定层次的重大错报风险时,预期控制的运行是有效的。即 了解内部控制时认为内控可以依赖。 (2)仅实施实质性程序不足以获得认定层次充分、适当的审计证据。,3、控制测试的种类 同步控制
27、测试 是在CPA取得对内部控制的了解时,同时执行的测试 (不是必需的) 追加控制测试 是CPA为了降低控制风险的估计水平而进行的进一步测试 (在主要证实法下用,目的是为了进一步降低CPA对CR的估计水平;不是必需的) 计划控制测试 是在选用较低的控制风险估计水平法下而执行的测试(目的是为了支持CPA计划的实质性测试的水平;必需执行),4、控制测试的性质 检查交易和事项的凭证; 询问并实地观察未留下审计轨迹的内部控制的运行情况; 重新执行 按相关内控的规定,将相关业务重新执行一遍,以验证相关内控是否得到了严格执行。如重新核对银行对帐单和银行存款日记帐,编制余额调节表,并与被审计单位所编的核对。)
28、,5、控制测试的范围 直接受计划的控制风险估计水平的影响。 6、控制测试的时间 追加的或计划的控制测试常在期中工作进行,且很有可能在审计年度结束前几个月里进行。 7、控制测试中利用内部审计人员的工作 一是同内审人员协调审计工作;二是内审直接支持CPA,8、双重目的测试 当在期中执行有关交易的某些详细实质性测试时,可以同时针对相同的交易执行控制测试,称为双重目的测试。 优点:更加经济有效,(三)内部控制再评价,1、控制风险评价的概念 是评价内控在防止或发现和更正报表中的重要错报的有效程度的过程。 CR的评价是以与某认定相关的各内控要素里的控制政策和程序为基础。 应合理运用专业判断。,2、控制风险
29、评价的过程 高信赖度:10以下 中信赖度:1040之间 低信赖度:40以上 3、对控制风险再评价的记录 4、评价结果对实质性测试的影响 CR评估水平高执行更多的实质性程序 CR评估水平低执行有限的实质性程序 !,!,四、管理建议书,1、定义:CPA针对审计过程中注意到的、可能导致被审计单位会计报表产生重大错报或漏报的内部控制的重大缺陷提出的书面建议。 2、主要作用 3、基本内容 4、与审计意见的区别 对象不同 责任不同(法定/非法定) 作用及影响的程度不同(对外不起鉴证作用),课堂讨论:,什么情况下应当实施控制测试? 什么情况下不进行控制测试? 什么情况下应当进行计划控制测试? 了解内部控制和
30、测试内部控制的区别?,课堂讨论:,结合内部控制的评价,回答: 什么情况下,CPA评价控制风险为最高水平? 什么情况下,CPA评价控制风险为较低水平? 什么情况下,CPA评价控制风险不为最高水平?,补充:实质性测试,实质性测试的涵义 实质性测试程序 分析性测试 细节测试,一、实质性测试的涵义,实质性测试的含义实质性测试是指CPA为取得证明被审计单位管理当局对会计报表的各项认定是否公允的证据而实施的测试。 实质性测试种类(1)分析性复核(2)交易的详细测试(3)余额的详细测试 实质性测试的目标,二、实质性测试程序,确定实质性测试的时间和范围 执行实质性测试方法 评价实质性测试的结果,三、分析性测试
31、Analytical test,分析性测试是指通过分析各种会计信息与非会计信息数据间的关系来获得必要的审计证据的测试方法,也称为分析性复核程序。 分析性测试的目的 分析性测试时应考虑的有关因素 分析性测试的方式 分析性测试结果的判断,四、细节测试,详细测试是指在分析性测试的方向性指导下,对交易和账户余额的正确性进行测试的方法 1、交易详细测试。主要包括交易的“顺查”和“逆查”。 2、余额详细测试。是直接获得有关账户余额的证据,而不是从构成余额的单个借贷发生项目取得证据 。分析性复核主要是为会计数据的变动是否合理提供依据,并为进一步提供线索和方向。由于CPA是对会计报表的公允性发表审计意见,因此
32、,CPA可以利用分析性复核来提高审计效率,但直接形成审计意见是不充分的。,例:假设CPA已获得某客户及行业的有关资料,要求分析该客户2003年的财务状况。,控制测试与实质性测试的比较,思考题,有人认为任何一个企业的内部控制不可能是尽善尽美的,您是否同意?请作出说明。 假如某客户的内部控制不很健全,您认为CPA是否有必要对其内部控制实施控制测试,在何种情况下,应当实施控制测试,又在什么情况下,可以不进行控制测试? 控制测试和实质性测试在哪些方面有所不同?,习题集,某公司有三位员工必须分担以下工作: 1)记录并保管总帐 2)记录并保管应付帐款明细帐 3)记录并保管应收帐款明细帐 4)记录货币资金日
33、记帐 5)保管、填写支票 6)发出销货退回及折让的贷项通知单 7)调节银行存款日记帐与银行存款对帐单 8)保管并送存现金收入,上述工作中,除第6和第7两项工作量较小外,其余各项工作量大体相当。 若这三位员工的工作能力都不成问题,而且只需要他们做上面列出的工作。请说明应如何将这八项工作分配给三位员工,才能达到内部控制制度的要求。,下列哪些职务是不相容职务?,1)授权执行某项业务 2)审查某项业务 3)保管某项财产物资 4)记录明细帐 5)记录日记帐 6)记录总帐 7)进行帐实核对 8)执行某项经济业务 9)记录某项经济业务 10)记录某项财产物资,答:18,28,310,37,46,56,89。,
