第五章内部控制审计第一节内部控制概述一、内部控制的定义1992年，美国“反虚假财务报告委员会”下属的COSO发布了《内部控制整体架构》即著名的“COSO报告”，开创了内部控制的新纪元。

COSO报告中，对内部控制下的定义是：内部控制是受企业董事会、管理层和其他人员影响，为营运的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。

【名】2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》(以下简称基本规范)。

2010年发布了企业内部控制应用指引和配套实施指引。

基本规范对内部控制的定义是：内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。

【名】内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

【选】二、内部控制的构成要素及比较(一)COSO内部控制整体架构内部控制要素源自管理层经营企业的方式，且与管理的过程相结合。

根据COSO报告的内容，内部控制要素包括五个方面。

【案】1．控制环境控制环境是其内部控制组成要素基础，是所有控制方式与方法赖以存在与运行的环境。

它对于塑造企业文化、提供纪律约束机制和影响员工控制意识有重要作用。

【判】影响控制环境的因素有四个方面：企业人员的操守、价值观及能力；管理层的管理哲学与经营风格；管理层的授权方式及组织人事管理制度；最高管理当局及董事会对单位管理关注的焦点及指引的方向，如他们对内部控制是否持肯定和支持态度等。

【选】2．风险评估每个企业均应评估来自内部和外部的不同风险。

评估风险的先决条件是制定：目标，各不同层级的目标，必须保持一致性。

风险评估系指辨认并分析影响目标达成的各种不确定因素。

风险评估是决定风险应如何管理的基础。

由于经济、业务、主管机关和营运环境等不断变化，风险也因变化而来，因此，辨认并处理这些风险自然就很有必要。

3．控制活动控制活动是指确保管理层指令实现的各种政策和程序。

它是指针对影响单位目标实现的各种风险而采取的各种制约措施和手段。

单位各阶层与各种职能都渗透有不同的控制活动，如核准、授权、调节、审核营运绩效、保障资产安全以及职责分工等。

由于单位性质、规模、组织方式等不同，其控制活动内容也有所不同。

4．资讯与沟通每个单位必须按照一定的方式和时间规定，辩识和取得适当的信息，以沟通的方式，便于员工更好履行其职责。

单位资讯系统能产生各种报告，包括与营运、财务及遵循法令有关的资料和信息，这些资讯反映了单位业务运行状况，便于管理者采取控制措施。

资讯系统不仅处理单位内部所产生的资讯，同时也处理与外部事项、活动及环境等有关的资讯，这些资讯同样是单位制定决策及对外报告所必不可少的。

有效沟通的含义，包括组织内部上下沟通及横向沟通，也包括与外界沟通。

单位所有员工必须自最高管理层开始，清楚获得需要谨慎承担控制责任的各种讯息；必须了解自己在内部控制制度中所扮演的角色，以及每个人的活动对他人工作的影响，单位必须有向上沟通重要资讯的方法，也应有向顾客、供应商、政府主管机关和股东等进行沟通的方式。

5．监督监督是评估内部控制制度执行质量的过程。

监督的方式有持续监督、个别评估及综合监督等。

持续监督是指在营运过程中的监督，包括例行管理和监督活动，以及职工为履行其职务所采取的行为。

个别评估的范围及频率，应根据评估风险的大小及持续监督程序的有效性而定。

持续监督和个别评估一起进行，称之为综合监督。

各种监督中发现的内部控制的缺失必须向上级呈报，严重者，必须向最高管理层及董事会呈报。

(二)企业内部控制基本规范架构我国五部委制定的基本规范以cOSO框架为基础，充分考虑中国企业实际情况，明确了我国企业内部控制的五大要素内容，即内部环境、风险评估、控制活动、信息与沟通和内部监督。

【论】1．内部环境内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。

【选】2．风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。

3．控制活动控制活动是企业根据风险评估结果，采取相应的控制措施，将风险控制在可承受度之内。

4．信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。

5．内部监督内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。

可见，无论是COSO还是我国的五部委，都明确了构成内部控制的五大要素，其具体内容和内容比较见下表5一l。

表5—1C0S0与我国五部委内部控制构成要素内容比较三、内部控制基本方式【案】尽管各个单位的性质和经营特点有差异，但建立内部控制制度时总是根据实际情况把各种控制方式、方法有机地结合起来，形成一个系统的控制以实现控制的目标。

内部控制的方式、方法多种多样，但其基本的控制方式有目标控制、组织控制、人员控制、职务分离控制、授权批准控制、业务程序控制、措施控制与检查控制。

(一)目标控制目标控制系指一个单位的内部管理工作应该遵循其创建的目标，分期对生产、经营、销售、财务、成本等方面制订切实可行的计划，并对计划执行情况进行控制的方式。

【名】目标控制是一种事前控制方式。

其主要过程包括确定目标，执行控制，检查执行成果并与目标比较，进行结论反馈。

(二)组织控制组织控制系指对组织内部的组织机构设置的合理性和有效性所进行的控制。

【名】组织控制也是一种事前控制方式，其主要手段包括采用合理的组织方案，采用合理的组织结构和建立组织系统图等。

(三)人员控制人员控制系指采用一定的方法和手段对职工的思想品德，业务技能和工作能力的控制，以保证组织各级人员具有与他们所负责的工作相适应的素质，从而保证任务的完成。

工作质量、人员素质控制应做到：根据各级人员政治与业务素质委派工作，使各级人员能胜任自己的工作；进行上岗前业务考核并建立职工技术业务的考核制度；建立管理人员业绩考核制度，调离不胜任本职工作的管理人员；建立职业道德和业务技术轮训制度；建立激励、奖惩制度；建立职务轮换制度等。

【案】(四)职务分离控制职务分离控制系指对于组织内部的不相容职务必须进行分工负责，不能由一个人同时兼任，以减少差错和舞弊的发生。

任何单位应做到授权批准与执行分离，总账记录与明细账或日记账记录分离等。

【案】(五)授权批准控制授权批准控制系指组织内部各级工作人员必须经过授权和批准才能对有关的经济业务进行处理，未经授权和批准，这些人员不允许接触和处理这些业务。

这一控制方式使经济业务在发生时就得到了有效的控制。

【案】(六)业务程序控制业务程序控制系指对重复发生的业务采用规范化、标准化的手段对业务处理过程进行控制，因此也叫做标准化控制。

程序控制也是一种事前控制，主要规定凭证传递程序、供产销及主要经济业务处理品程序等。

程序控制还包括了将业务处理过程的程序、要求、注意事项等编制成书面文件，便于有关人员执行。

(七)措施控制措施控制系指以特定的控制目标为其控制对象的控制措施，如方针政策控制、信息质量控制和财产安全控制等。

方针政策控制实质是一种纪律控制，主要以单位的方针、政策、计划、预算、标准、定额等作为控制的手段，以保证单位合法、合规的经营。

信息质量控制，即采取一系列的措施和方法，以保证会计信息的真实、及时、可靠和准确，保证会计信息能够满足组织内部和外部使用人的需要。

信息质量控制的手段主要包括凭证审核、凭证连续编号、复核、核对、签章、传递与分析等。

财产安全控制是指为了确保财产物资的安全完整而采取的各项措施和方法。

直接与财产安全有关的控制措施和方法有及时登记、限制接近【案】、永续盘存制、财产清查制、出库入库手续、职务轮换等。

四、内部控制类型内部控制可以分为预防性控制、检查性控制、纠正性控制、指导性控制和补偿性控制。

五、内部控制责任组织中的每一个人都对内部控制负有责任。

(一)管理层企业负责人对内部控制负最终责任，并且对此制度拥有所有权。

(二)董事会管理阶层应对董事会负责，董事会则统治、引导及监督管理阶层。

(三)内部审计人员在评估控制制度的有效性方面，内部审计人员扮演重要角色，并对内部控制的持续有效性做出贡献。

(四)其他员工在某种程度上，内部控制是组织中每个人的责任，所以每个人的工作说明书中均应有一定明述或暗示的部分，以说明这个责任。

基本上企业内的每个人都在产生内部控制制度所使用的资讯，或采取一些影响控制的其他行动；还有，对于营运中所产生的问题、违背行为准则或其他政策，或不法行为事情的资讯，每个人也都担负向上报告的责任。

不少外部团体也常对企业目标的达成做出贡献。

不过，外界团体既不须对企业内部控制制度负责，也不是内部控制的一部分。

第二节内部控制审计的内容问题的提出1．在一次内部审计培训中，一位曾经在会计师事务所工作的内部审计人员I提出，内部控制审计和风险管理审计并不是什么新鲜事，其实就是内部控制基础审计和风险基础审计，你如何理解?2．王文是某外贸公司财务部出纳，工作踏实，有口皆碑，她主要负责现金报销与银行账户管理，还负责每日现金汇总表的收支记录和银行存款余额调节表的编制，除了外部会计师审计外，没有人再审计现金和银行对账单。

公司总经理认为，勤奋努力的王文就是公司的“控制”，你怎么看待?内部控制审计，顾名思义就是对内部控制的审计。

建立、健全与执行内部控制是管理者的责任，审计和评价内部控制则是内部审计的责任。

内部控制审计是指组织内部审计机构和人员通过系统、规范的方法审计和评价被审计单位内部控制的适当性、合法性和有效性。

【名】IIA最新发布的IPPF中的标准“2130控制”指出“内部审计部门必须评估控制的效果和效率，并促进控制持续改进，从而协助组织维持有效的控制”。

中国内部审计协会《内部审计具体准则——内部控制审计》中审计的内容主要围绕内部控制五大要素展开。

一、内部环境审计内部环境审计主要包括对治理结构、内部机构设置与权责分配、企业文化、人力资源政策、内部审计机制和反舞弊机制五方面内容的审计。

二、风险评估审计风险评估审计有风险识别审计、风险分析审计、风险应对策略审计三、控制活动审计控制活动审计，主要包括应对职责分工、授权、审核批准、预算、财产保护、会计系统、内部报告、经济活动分析、绩效考评、信息技术等控制措施审计。

四、信息与沟通审计信息与沟通审计，主要是查明组织所建立的信息收集系统和信息沟通渠道，能否确保与影响内部控制其他要素有关的信息有效传递，促进决策层、管理层和全体员工正确履行相应的职能。

其主要内容包括信息收集审计和信息沟通审计。

五、内部监督审计内部监督审计，主要是查明组织所采用的对内部控制制度监督检查方式方法的合理性和有效性。