1、第六章 制度导向审计技术,内部控制,本 章 内 容,制度导向审计流程,控制风险评价技术,成功的经验,内部控制能够帮助我们绕过途中的陷阱,到达目的地- “MOTOROLA” 百年老店-全聚德,第一节 内部控制,“MOTOROLA” 作为中国最大的、最成功的外商投资企业之一,在中国已有16年的历史。摩托罗拉之所以能够成功,最重要的一点就是其有着良好的内部控制。摩托罗拉早在30年前就开始建立自己的流程管理体系,既形成了内部控制标准,也表现了公司的经营原则。该控制标准对涉及收入、采购、工资、制造、融资、财务报告、计算机系统控制、政府法规、知识产权等各项业务的流程都做了详尽的规定,而且还指出如果不按照标
2、准做将会产生何种风险。 据摩托罗拉中国公司的财务经理、曾经的内部控制经理崔学农说,摩托罗拉一旦发现了程序上的问题,不仅要求立即予以解决,而且还要改进原来的程序,以杜绝类似的事件再次发生。所以摩托罗拉创建75年来,还从来没有发生过财务丑闻。正如摩托罗拉公司总裁加利吐克先生所说,“内部控制能够帮助我们绕过途中的陷阱,到达目的地”。,失败的教训,安然(Enron)事件(2001)三鹿事件(2008),一.内部控制概述,(一)内部控制思想的演进 萌芽期内部牵制(Internal Check); 发展期内部会计控制(Internal Accounting Control System) 与内部管理控制
3、; 成熟期内部控制结构(Internal Control Structure) 、内部控制整体框架、(Internal Control Integrated Framework)、企业风险管理框架的内部控制,一、内部控制思想的演进,(一)内部牵制制度(20世纪40年代以前) 在20世纪30年代以前,人们通常使用内部牵制(internal check)概念,内部牵制是内部控制的最初形式,主要出于保护财产安全的目的而设计的。内部牵制的思想是以账目的相互核对为主要内容,并实行岗位分离。在古罗马时代,对会计账簿实施的“双人记账制” 。,1、内部牵制制度,在20世纪30年代以前,人们通常使用内部牵制(i
4、nternal check)概念,内部牵制是内部控制的最初形式,主要出于保护财产安全的目的而设计的。内部牵制的思想是以账目的相互核对为主要内容,并实行岗位分离。在古罗马时代,对会计账簿实施的“双人记账制” 。RH蒙哥马利在1912年出版的审计理论与实践将“内部牵制制度”解释为:指一个人不能完全支配账户,另一个人也不能独立地加以控制的制度。也就是一名员工与另一名员工必须是相互控制、相互稽核的。 他认为:“如果存在良好的内部牵制组织,审计人员就无需进行详细审计。而且,“审计人员如果认为内部牵制组织是适当的,就不需要其他人再重复操作会计业务”,(二)内部控制制度(20世纪40年代后),40年代以后,
5、科学管理思想深入审计。1949年,美国会计师协会出版的内部控制调整组织的各种要素及其对管理当局和独立职业会计师的重要性对内部控制作出了下述定义: 内部控制包括单位内部采用的机构计划和所有有关的调整方法和调整措施,旨在保护单位资产、检查会计数据的准确性和可靠性,提高经营效率,促使有关人员遵循既定的管理方针。1972年,美国准则委员会(ASB)审计准则公告的制定者,循着证券交易法的路线进行研究和讨论,在第1号公告(SAS No.1)中,将内部控制分为内部管理控制和内部会计控制. 与内部牵制相比,内部控制制度已经不在局限于组织内部的分工,其涵盖的范围几乎涉及了单位内部所有的控制程序与方法,但内部会计
6、控制是内部控制的核心,(三)内部控制结构(20世纪80年代后)1988年美国注册会计师协会发布的第55号审计准则说明书提出了内部控制结构的概念:为合理保证公司实现具体目标而设立的一系列政策和程序。 由三个要素构成:1、控制环境2、会计系统3、控制程序,(四)内部控制框架,1992年9月,美国注册会计师协会、国际内部注册会计师协会、财务经理协会、美国会计协会和管理会计协会共同组成的专门委员会(COSO委员会,即美国反对虚假财务报告委员会的赞助组织委员会)发布了内部控制整体框架的研究报告,提出了“内部控制框架”的概念。 COSO委员会提出,内部控制是一个过程,受企业董事会、管理当局和其他员工影响,
7、旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。,监 督结构基础,控 制 环 境,信 息 与 沟 通,控 制 活 动,风 险 评 估,审计准则的内部控制: 内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。,二、内部控制框架理解,(一)控制环境控制环境是指构成一个单位的氛围,提供企业纪律与架构,塑造企业文化,并影响企业员工的控制意识,是所有其它内部控制组成要素的基础 。主要包括:,1、对诚信和道德价值观念的
8、沟通和落实 2、治理层的参与程度 3、对胜任能力的重视 4、管理层的理念和经营风格 5、组织结构 6、职权与责任的分配 7、人力资源的政策与实务,(二)风险评估风险评估指管理层识别和分析对经营、财务报告、符合性目标有影响的内部或外部风险,包括风险识别和风险分析,1、明确目标 2、识别风险 3、环境变化后的风险管理,企业总目标,具体目标,关键因素 与风险,目标与风险,(三)控制活动 1、对企业绩效评价 2、对信息处理的控制,(1)一般控制组织控制 系统开发和维护控制文件资料控制硬件和系统软件控制接触控制数据、程序及网络安全控制,应用控制 输入控制 处理控制 输出控制,3、实物控制 限制接近 限制
9、接近现金 限制接近其他易变现资产 限制接近存货 定期盘点 定期与记录核对 差异调查 记录保护 财产保险 财产记录监控,4、职责分离 企业内部的主要不相容职务间应实行如下分离:授权批准职务与执行业务职务相分离 执行业务职务与监督审计职务相分离 执行业务职务与会计记录职务相分离 财产保管职务与会计记录职务相分离 执行业务职务与财产保管职务相分离,“抢劫一家银行,不如拥有一家银行”,( )为何破产巴林银行在世纪年代前是英国最大的银行之一,有超过年的历史。年期间,巴林银行新加坡分行总经理里森( )从事日本大阪及新加坡交易所之间的日经指数期货套期对冲和债券买卖活动,累积亏损超过亿美元,导致巴林银行于年月
10、破产,最终被荷兰收购。 调查中发现:巴林银行的高层对里森在新加坡的业务并不了解,事发年内居然无人看出里森的问题。其实,巴林银行年就已经发现里森在账上有多万英镑的差额,并对此进行了几次调查,但都被里森以非常轻易的解释蒙骗过去。 造成巴林银行灾难性厄运的原因是,巴林银行缺乏职责划分的机制,里森身兼巴林新加坡分行的交易员和结算员,这使他有机会伪造存款和其他文件,把期货交易带来的损失瞒天过海,最终造成了不可收拾的局面。,“抢劫一家银行,不如拥有一家银行”,另外一个致命问题是,巴林银行的高层对财务报告不重视。巴林银行董事长 曾在年说:若以为审视更多资产负债表的数据就可以增加对一个集团的了解,那真是幼稚无
11、知。但如果有人在年月之前,认真看一下巴林银行任何一天的资产负债表,里面都有明显记录,可以看出里森的问题。遗憾的是,巴林银行高层对财务报表的不重视,使之付出了高昂的代价。 新加坡政府在巴林银行调查报告结论中有这样一段话:“如果巴林集团在年月之前能够及时采取行动,那么他们还有可能避免崩溃。截至年月底,即使已发生重大损失,这些损失毕竟也只是最终损失的。如果说巴林的管理层直到破产之前还对这件事情一无所知,我们只能说他们一直在逃避事实。” 里森在自传中也说:“有一群人本来可以揭穿并阻止我的把戏,但他们没有这么做。我不知道他们在监督上的疏忽与罪犯的疏忽之间的界限何在,也不清楚他们是否对我负有什么责任。”,
12、巴林银行倒台前夕,总部对里森所在的新加坡分部进行过一次内审。内审的报告有点耐人寻味。内审人员发现了里森兼不相容岗位于一身,但是内审做的判断是:在新加坡这么小的分部内,受内部控制的成本约束,这种兼容可能正是经营效率的表现。 这里要注意的是两点: 第一、内审人员已经发现明显的内控漏洞,即岗位不兼容。 第二、内审人员判断这种漏洞是正常的。请问:成本与制度 谁重?,(四)信息与沟通 1、信息企业建立良好的信息系统,必须做到;建立良好的信息系统支持策略,信息系统与企业营运应有效的结合;选择更新信息系统的最佳时间;有很好的信息品质 2、沟通 ()我国企业现在常用的管理文件,a.组织图 b .工作岗位说明
13、c .程序手册(流程图),以下是一集团公司财务管理部门组织图:,总裁,财务总监,财务部,子公司,子公司,办事处,资金处,会计处,预算处,出 纳,资 金,财 务,报 表,预 算,财务分析,案例,作为山东齐鲁增塑剂股份有限公司的一员,笔者亲历了公司2003年3月间发生的被骗事件的始末。 案例概况:我公司2003年3月12日在销售增塑剂产品过程中,出现了销售调拨单及销售章真实,财务专用章及增值税发票系伪造的现象,导致被骗货30吨,案值24万余元的重大损失。具体手段如下: 1.一陌生客户隐匿真实情况,到公司销售公司开具了真实的产品销售调拨单,使用伪造的财务专用章及增值税专用发票,私盖印章,然后到销售处
14、盖销售章,最后到储运车间提货,导致事故发生。2.利用财务部在三楼办公,销售公司在一楼营业,储运发货在公司后区的劣势,经过长期预谋,使用假牌照的报废车作案。骗过了公司财务部收款开发票关、销售公司对接关、储存车间发货核对关、保卫科车辆出入口验收关、齐鲁石化股份公司门卫查证关。 思考:你认为识别虚假与信息沟通哪个容易?,(五)监控 内部控制系统需被监控。监控是由适当的人员,在适当、及时的基础下,评估控制的设计和运作情况的过程 1、持续的监控活动 2、个别评估,三、主要业务的内部控制要点,(一)账务处理控制系统,(二)材料采购控制系统,(三)材料领存控制系统,(四)产品销售控制系统,报表,账务处理控制
15、系统流程图,原始凭证,审批,原始凭证,编审,审核,转账凭证,结算,收款凭证,付款凭证,复核,记账,汇总记账凭证,明细账,复核,记账,总账,核对,报表,记账,现金 日记账,银行 日记账,核对,审签,财务处理内部控制系流程图说明,返回,审批,采购计划2 2,采购计划3 2,签约,采购合同1 2,采购合同2 2,采购合同3 2,发票副本,验收单1,验收,验收 单2,验收单3,入库,入库单1,台账,实物 账,核对,记账凭证,记账,材料 明细账,有关 明细账,总账,核对,清理,承付 意见书2,审核,材料采购内部控制系统流程图说明,BACK,审批,计划定额,领料单 项 2,稽核,价格表,领料单 项 3,核
16、发,发料汇总表,记账凭证,记账,记账,实物账,材料,总账,核对,核对,记账,记账凭证,盘点,盘点表,批准,盈亏处理表 达式 2,材料领存内部控制系统流程图说明,BACK,销售计划,签约,销售合同1,销售合同2,销售合同3,审签,销售发票 (1-5) (,发票业务联,运单,托收,记账,销售,有关账,销售提货联,签发,记账,实物账,核对,核对,记账,清理,验证,发票出门联,登记簿,台账,产品销售内部控制系统流程图说明,四、内部控制的固有限制,内部控制的设计和运行受制于成本与效益原则,内部控制一般仅针对常规业务活动而设计,执行人员的素质和工作质量,串通舞弊,执行人员滥用职权或屈从于外部压力,经营环境
17、和业务性质的变化,返回,第二节 制度导向审计流程,一、制度导向审计概述制度导向审计是世界各国审计人员普遍采用的一种现代审计方式,它是在详查法和抽查法基础上发展起来的一种审计方法 制度导向审计是从研究和分析内部控制入手,通过复核性测试,对控制风险做出评价,在以此为基础,决定对被审计项目进行实质性程序的范围和内容,并据此修订审计计划,然后在审计计划执行过程中,形成审计意见,提出审计报告。,二、制度导向审计的基本流程,基本流程如图所示:,开始,停止,控制测试,审计计划,评估固有风险,评估控制风险,记录到了解的情况,进行了解,评估控制风险,纪录结论,终结审计阶段,中期审计阶段,评估控制风险,编制审计方
18、案,报告,实施,计划,审计报告,是否需要进一步降低,是,否,开始,了解控制,纪录了解情况,评估控制风险并纪录结论,设计实质性程序,评估控制风险并纪录结论,实施额外测试,某些认定需进一步降低吗,可取得的有效的证据,否,否,第一步通常询问客户的相关人员,确定审计程序的步骤,控制风险评估流程分解图,第二步 评估控制风险,第三步得出结果,第四步设计出实质性程序,三、内部控制的了解、测试与评价,(一)了解内部控制并初步评估控制风险水平 审计人员通常可实施以下程序: (1)询问被审计单位的有关人员,了解他们的工作内容及向谁汇报。 (2)查阅内部控制或管理手册; (3)内部控制生成的文件和记录; (4)观察
19、被审计单位的业务活动和内部控制的运行情况; (5)选择若干具有代表性的交易和事项进行“穿行测试”;所谓“穿行测试”,即追查几笔通过会计系统的交易:,从不同的层面了解和评估内部控制,内部控制要素 整体层面 业务流程层面 控制环境 风险评估过程 对控制的监督 与报告相关的 信息系统和沟通 控制活动,在初步评价时,审计人员应遵行稳健性原则: 当存在以下三种情况的任何一种,注册会计师可以评估控制风险为最高水平,内部控制政策和程序不可能与特定认定相关(例如,客户根本没有对认定进行控制),附加测试将取得的证据不可能证明控制风险会有所降低(测试可能会证明对认定的控制是软弱的),取得附加证据以证明控制风险水平
20、并非最有效的审计途径(实质性程序比控制测试更易执行),审计人员在了解内部控制之后应根据以下两个因素决定是否继续考虑内部控制问题:,继续对内部控制进行测试是否可能缩减实质性程序的工作量 继续对内部控制进行测试所花费的成本是否会低于可能获得的好处,(二)控制测试,1控制测试的种类 2同步控制测试是在注册会计师取得对内部控制制度的了解时,也同时提供了有关控制政策和程序是否有效的证据 3追加控制测试是为了进一步降低注册会计师对控制风险估计水平而进行的测试 ,同时,必须考虑是否符合成本效益原则 4计划控制测试是在选用较低控制风险估计水平法下必须执行的测试,它是为了支持注册会计师计划的实质性程序水平 5控
21、制测试范围,(三)评估控制风险水平,控制风险(Control Risk,简称CR):某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性,其水平的高低取决于两个方面:一是内部控制的健全程度和合理性;二是内部控制的有效执行。内部控制是否有效执行须通过控制测试来检查和评价,其可信赖程度分为: 高信赖程度 中信赖程度 低信赖程度,控制风险评价表,控制风险评估结果对审计程序的影响可分为三种情况:(1)控制风险为100,审计人员没有进行控制测试或控制测试表明内部控制完全不可靠,可以推定控制风险为最高水平。在此情况下,对相关的报表认定应完全依靠实质性程序(
22、包括经济业务测试、实质性分析程序和直接测试账户余额等方法)。 (2)控制风险略低于100,审计人员获得证据表明内部控制有些可靠,但没有进行控制测试或控制测试表明不能进一步降低风险水平。在此情况下,对相关的报表认定应主要依靠实质性程序。 (3)控制风险远低于100,审计人员获得证据表明内部控制非常可靠,而且控制测试表明可以进一步降低风险水平。在此情况下,可以较多地减少实质性程序的时间和数量。,(四)设计实质性程序以发现重大潜在错报,注册会计师对内部控制考虑的结果是评估控制风险,该评估将在对交易类别或账户余额的不同认定进行规划实质性程序时运用 :,与存在相关的实质性程序,与完整性相关的实质性程序,
23、与所有损益表账户审计目标相关的实质性程序,实质性程序的时间安排,点击返回,第三节 控制风险评价技术,一、控制风险的评价过程 (一)控制风险评价的概念评价控制风险,是评价内部控制在防止或者发现和更正财务报表里的重要错报和漏报的有效程度的过程,确定该项认定可能发生哪些潜在的错报或漏报 确定哪些控制可以防止或者发现和更正这些错报或漏报 执行控制测试,获取这些控制是否设计适当和有效执行的证据 (如果控制风险为高水平,此步骤不需要) 评价所获得的证据 评价该项认定的控制风险,(二)控制风险评价的过程评价步骤 :,在确定控制风险之后,我们根据控制风险水平就可以确定进一步实质性程序的内容了,并通过审计风险模
24、型的运用来控制检查风险水平。评价结果对实质性程序的影响如下:,(1)只有通过控制检查风险,才能降低审计风险至可接受水平(2)要控制检查风险降至可接受水平,只有增强实质性程序的有效性(3)内控目标与审计目标相关联,无效的内控必然导致增加实质性程序的工作量(4)不论固有风险和控制风险的评估结果,均要进行实质性程序(5)小规模企业的内控较薄弱,风险较高,应主要或全部依赖实质性程序程序获取审计证据,二、内部控制设计的评价技术,(一)记述法,(二)调查表法,避免提出笼统的问题,避免提出双重意义的问题,避免提出诱导性问题,避免直接询问与财务信息正确性或经济业务合法性有关的问题,内部控制调查表 调查对象:,
25、(三)流程图法,流程图的符号,绘制流程图的要求,(3)流程图法的优缺点,(四)内部控制执行的评价技术,证据检查法,穿行试验法,实地观察法,测试方法与控制措施间的关系如下表:,P提供审计证据的主要方法 S提供审计证据的次要方法 NA不适用,(五)内部控制的报告技术,管理建议书:审计人员针对审计过程中注意到的可能导致被审计单位财务报表产生重大错报或漏报的内部控制重大缺陷提出的书面建议,1、管理建议书的含义表明,(1)内部控制缺陷,只是审计人员在审计过程中注意到的内部控制缺陷,而非内部控制的全部缺陷 (2)将注意到的内部控制存在的缺陷或问题告知被审计单位有关人员是审计人员的责任 (3)管理建议书是一种书面建议,2、管理建议书的内容,(1)标题 (2)收件人 (3)管理建议书的性质 (4)内部控制重大缺陷及其影响和改 进建议 (5)使用范围和使用责任 (6)签章和日期,3、管理建议与审计意见的区别,(1)对象不同 (2)责任不同 (3)作用及影响不同,内容总结,第六章,
