内部审计
南京审计学院
张文秀
第五章 内部控制审计
第一节 内部控制概述
第二节 内部控制审计的内容
第三节 内部控制审计程序与方法
第四节 内部控制审计要求
第五节 内部控制审计案例分析
第一节 内部控制概述
内部控制的定义
内部控制的构成要素
内部控制的基本方式
内部控制的类型
内部控制责任
一、内部控制的发展历程
内部牵制阶段:账目间的相互核对是内控的主要内容,设定岗位分离是内控
的主要方式,这在早期被认为是确保所有账目正确无误的一种理想控制方法
内部控制制度阶段:内部控制的重点是建立健全规章制度
内部控制结构阶段:内部控制被认为是为合理保证企业特定目标的实现
而建立的各种政策和程序,分为内控环境、会计制度和控制程序三个方面
内部控制整体框架阶段
COSO:内部控制一体化架构、企业风险管理整体框架
(ERM,2004)
财政部、证监会、审计署、银监会、保监会五部委联合
发布《企业内部控制基本规范》(2008)
二、内部控制的定义
内部控制是受企业董事会、管理层和其他人
员影响,为经营的效率效果、财务报告的可
靠性、相关法规的遵循性等目标的实现而提
供合理保证的过程。(COSO报告,1992)
二、内部控制的定义
财政部等五部委发布的《企业内部控制基本
规范》,2008:
内部控制是由企业董事会、监事会、经理层
和全体员工实施的、旨在实现控制目标的过
程。控制目标是合理保证企业经营管理合法
合规、资产安全、财务报告及相关信息真实
完整,提高经营效率和效果,促进企业实现
发展战略。
三、内部控制要素
内部控制的构成要素(COSO)
控制环境(Control environment)
风险评估( Risk assessment )
控制活动( Control activities )
信息与沟通( Information and communication )
监督( Monitoring )
内部控制整合框架(1992)
三、内部控制要素
中国内部控制两大问题:
科学设计
有效执行 案例视频
COSO报告 企业内部控制基本规范 具体准则第2201号
控制环境 内部环境 内部环境
风险评估 风险评估 风险评估
控制活动 控制活动 控制活动
资讯与沟通 信息与沟通 信息与沟通
监督 内部监督 内部监督
四、内部控制的基本方式
目标控制
组织控制
人员控制
职务分离控制
授权批准控制
业务程序控制
措施控制与检查控制
五、内部控制的类型
预防性控制
(事先控制)
检查性控制
(事后控制)
纠正性控制——原始业务发生过程中实施
指导性控制——为实现有利结果
补偿性控制——针对某些环节不足或缺陷
内部控制
主要类型
职能分离、监督检查、双重检查
编辑校验、合理性校验
完整性校验、正确性校验
复核
核对
盘点
观察
无论何种类型的控制,目的都是要使关键环节(控制点)
得到控制。
五、内部控制的类型
小练习:
公司规定,必须从经过审批的卖方清单上的
供应商处进行采购,这是以下哪种控制的范
例?
a、预防型控制
b、检查型控制
c、纠正型控制
d、监测型控制
答案:a
六、内部控制的责任
管理层:对内部控制直接负责
董事会:保留关键控制、提供监督、选择管
理层
内部审计人员:对内部控制的有效性进行监
督检查
其他员工:报告
确定目标确定目标
评估风险评估风险
分析控制分析控制
目标、风险和内部控制的关系是什么?目标、风险和内部控制的关系是什么?
目标 风险 控制
短期目标-业务目
标
经营成本
降低15%
购买不需要或质次
价高的原材料
未履行招标程序
消耗定额制定得不
合理
不恰当、重复付款
库存挪用、盗窃、
毁损
舞弊行为
外汇风险
•由生产车间根据需要填写“材料
采购申请表”,3000元以下由采
购部经理审批,3000元以上由主
管副经理审批。
•采购部设质量组、财务组、仓库、
招标组等四个部门,各负其责。
•生产车间定期分析材料费用定额
的执行情况,对超支和结余情况
进行总结和分析。
•支付货款前,请有关负责人审批,
付款后,及时登记相应的账簿记
录,并在已付过款的购货凭证上
做记号。
•订购的材料到达仓库后,仓库管
理员王某负责验收,核算员小张
负责记录。
第二节 内部控制审计的内容
一、含义
内部控制审计是指组织内部审计机构和人员通过系统、规范
的方法审计和评价被审计单位的内部控制设计和运行的适当
性、合法性和有效性。
二、原则
1、以本企业内部控制为核心,围绕五大控制要素,以风险评
估为基础,结合管理需求和业务活动特点,确定内部控制评
价的范围、内容和重点,对内部控制设计与运行进行审查和
评价。
2、内部控制评价内容记录于工作底稿,包括评价要素、主要
风险点、采取的风险措施有关证据资料及认定结果。
第二节 内部控制审计的内容
三、内部环境审计:
审计治理结构、内部机构设置与权责分配情况
审计企业文化建设情况
审计人力资源政策的制定与执行情况
审计内部审计机制的设立情况
审计反舞弊机制的设立与执行情况
第二节 内部控制审计的内容
四、风险评估审计:
目标设定审计
风险识别审计
风险分析审计
风险应对策略审计
第二节 内部控制审计的内容
五、控制活动审计:
职责分工
授权控制
审核批准
预算控制
财产保护
第二节 内部控制审计的内容
会计系统控制
内部报告控制
经济活动分析控制
绩效考评控制
信息系统控制
六、信息与沟通审计:
信息收集与加工
信息沟通
七、内部监督审计:
持续监督检查
专项监督检查
第二节 内部控制审计的内容
一、内部控制审计程序:
(1)描述组织内部控制
(2)测试内部控制制度
(3)评价内部控制
(4)出具内部控制审计报告
第三节 内部控制审计程序方法
二、审计与评价的方法
(1)个别访谈
(2)调查问卷
(3)专题讨论
(4)穿行测试
(5)实地查验
(6)抽样
(7)比较分析
(8)评分体系法
第三节 内部控制审计程序方法
三、描述内部控制的方法
文字描述法
流程图法
调查表法
第三节 内部控制审计程序方法
四、内部控制测试与评价
内部控制测试方法:
书面文档检查
穿行测试
限制测试
小样本测试
第三节 内部控制审计程序方法
四、内部控制测试与评价
第三节 内部控制审计程序方法
Text
Text
测 试 内 容
设计
健全性
合理性
测试
公司
层面
控制
测试
业务
活动
层面
控制
测试
信息
系统
总体
控制
测试
四、内部控制测试与评价
内部控制评价方法:
内部控制矩阵图
内部控制评价表
内部控制评价指标体系
第三节 内部控制审计程序方法
五、内部控制缺陷的认定:
(1)包括内部控制设计缺陷和运行缺陷。
(2)对内部控制缺陷的认定以日常监督和专项监督为基础,
由内部控制评价部门综合分析后提出认定意见。按照规定的
权限和程序进行审核后予与最终认定。
(3)内部控制缺陷认定分类。内部控制评价的审计发现分为
两大类:
良好实践(BP):内部控制的制定合理并得到遵循,不
存在设计和运行的任何缺陷。
不符项又分为:重大缺陷(LNP),重要缺陷(INP),
一般缺陷(NP)
第三节 内部控制审计程序方法
五、内部控制缺陷的认定:
第三节 内部控制审计程序方法
关键控制点的设计或运行缺陷,导致企业无法及时防范
或发现偏离内部控制具体控制目标,但尚不足以对内部
控制整体目标的实现造成影响。
指一个或多个一般缺陷的组合,其严重程度低于重大缺
陷,但导致企业无法及时防范或发现偏离整体控制目标
的严重程度较大,须引起企业管理层关注。
指一个或多个一般缺陷的组合,可能严重影响内部整体
控制的有效性,进而导致企业无法及时防范或发现严重
偏离整体控制目标的情形。
一般缺陷
(NP):
重要缺陷
(INP):
重大缺陷
(LNP):
对于存在一个或多个重大缺陷的
情形,直接认定针对该项整体控
制目标的内部控制是无效的。
六、内部控制评价报告:
1、内部控制评价报告应分别对内部环境、风险评估、控制
活动、信息与沟通、内部监督等要素进行设计,对内部控制
评价过程、内部控制缺陷认定及整改、内部控制有效性的结
论等相关信息做出披露。
第三节 内部控制审计程序方法
2、内部控制评价报告的内容:
(1)董事会对内部控制评价报告真实性的声明;
(2)内部控制评价工作总体情况;
(3)内部控制评价的依据;
(4)内部控制评价范围;
(5)内部控制评价程序和方法;
(6)内部控制缺陷及其认定情况;
(7)内部控制缺陷整改情况及重大缺陷拟采取的措施;
(8)内部控制有效性的措施。
第三节 内部控制审计程序方法
3、内部控制评价报告的管理:
(1)每年四月前报上一年度评价报告;
(2)按规定权限报批后,与审计报告一起对外披露或报送。
第三节 内部控制审计程序方法
(一)概念:
由内部审计人员与被评估单位的管理者组成一个小
组,对本部门内部控制系统的有效性及其实施的效
率效果进行评价,然后根据评价和集体讨论来提出
改进建议报告,并由管理者实施。
内部控制自我评估是一种包括自我调查和研讨的方
法,是组织内部管理人员和内部审计师评价和确认
内部控制过程适当性的有效方法。
《内部审计具体准则第21号——内部审计的控制自我
评估法》
内部控制的自我评估
(二)控制自我评估的作用
1、内部审计部门向组织证明其价值;
2、管理者、每个职员广泛参与到内部控制中来;
3、评价并降低控制风险;
4、及时发现问题,提高内部控制效果,提高内部审
计部门工作的效率;
5、有利于获取事实真相,并有效评价软控制。
内部控制的自我评估
软控制:控制环境(包括:操守与价值观、
管理哲学与经营风格、公司治理、组织结构、权责
分配、胜任能力、人力资源政策及实行)
硬控制:控制活动
(三)内部审计机构在控制自评中的作用
1、对某些自评项目进行指导。
2、为工作小组配备协调员和专家,给予人力支持。
3、担任自评项目顾问,为小组评价报告担任核实。
4、通过自评协助管理人员建立和完善风险管理和控
制系统。
为了保持内部审计机构的独立性和审计人员的
客观性,内审主管在参与控制自评的过程中,要监
测审计人员的客观性,以保证评价结果的客观性。
内部控制的自我评估
(四)内部控制自我评估的主要内容
1、确定组织整体或职能部门的目标,识别其主
要风险;
2、评估组织内部控制的适当性、合法性和有效
性;
3、确认内部控制重大缺陷或重大风险点;
4、评估组织的非正式控制及其有效性;
5、评估组织的业务流程及其运行效率;
6、对评估过程中发现的主要问题提出改进建议
内部控制的自我评估
(五)内部控制自我评估的程序
1、制订内部控制自我评估工作计划;
2、与管理者沟通、协调相关事项;
3、确定自我评估的时间和具体方式;
4、召集相关管理者开展自我评估;
5、实施评估并做好记录;
6、信息反馈并提交控制自我评估报告。
内部控制的自我评估
(六)内部控制自我评估的具体方法
1、举办内部控制专题研讨会/引导会议;
就特定的专题,由各业务部门或职能部门不
同层次的人员参加,组成工作小组并进行讨
论和评估。
以目标为基础:围绕实现目标的最佳方式展开讨论,并评价现有
内部控制是否能促进组织目标的实现;
以风险为基础:强调对影响目标实现的各种风险进行识别,并确
定现有风险管理过程是否适当、有效;
以控制为基础:对现有内部控制的运行情况,评估其有效性;
以程序为基础:对组织业务流程的各个环节进行讨论和分析,以
提出改善或简化流程的建议。
内部控制的自我评估
2、调查法
一般使用问卷调查形式。这种形式在人数多、
地区分散不宜集中举办研讨班,或者文化环
境不便于公开坦诚的讨论,以及管理人员为
了节省时间和成本的情况下比较可取。
内部控制的自我评估
3、管理分析法
内部审计人员就内部控制的特定方面或过程向相关
管理人员收集信息,并将之与其他来源的信息一起
进行综合分析的一种方法。
通常上述三种形式可以综合运用,西方用得较多
的是专题研讨会/引导会议法。
内部控制的自我评估
控制自我评估报告:
大多在研讨会中产生。报告记录小组的一致意见,
在提交最终报告之前,小组要对报告进行审议,在
意见不一致的情况下应进行无记名投票,以反映各
种观点。
三个部分:
本次评估的内部控制范围和评价过程中的特殊情况;
内部控制各个环节的风险程度;
对高风险环境进行具体陈述,提出改进方案。
内部控制的自我评估
七、内部控制审计要求
选择适当的审计方式
正确选择审计对象与审计时间
注重成本效益原则,把握关键控制点
选择合适的内部控制评价标准
第四节 内部控制审计要求
第五节 内部控制审计案例
