第七章 内部控制及其测试 教学目的与要求:通过本章的学习,应掌握内部控制制度及其内容,内部控制制度的描述和测试的基本原理和基本方法,为具体审计实务打好基础。在学习本章的过程中,要求理解内部控制制度的涵义、种类和内容;了解和掌握内部控制制度描述的三种方法;理解并掌握内部控制制度测试的内容和方法。 教学重点:内部控制制度的概念、种类和内容;内部控制制度的描述;内部控制制度的测试内容和方法。 教学难点:内部控制制度的概念、种类和内容;内部控制制度的测试内容和方法。 教学时数:4课时 教学内容: 第一节 内部控制制度 一、内部部控制的定义与目标 (一)内部控制的定义   人们对内部控制的理解是由一般性的分类向内部控制要素及其内在联系方面发展的。内部控制理论的演变大致经历了以下三个阶段: 1.内部牵制(Internal Check) ??? 20世纪40年代以前,人们通常使用“内部牵制”的概念,这是内部控制的最初形式,主要目的是保护财产的安全与完整。R.H.蒙哥马利认为,所谓内部牵制是指一个人不能完全支配账户,另一个人也不能独立地加以控制的制度。即一名员工与另一名员工必须是相互控制、相互稽核。这一理论是建立在两个基本假设之上的:一是两个或两个以上的人或部门无意识地犯同样错误的可能性很小;二是两个或两个以上的人或部门有意识地串通舞弊的可能性大大低于单个的人或部门舞弊的可能性。内部牵制通常包括实物牵制、物理牵制、分权牵制和薄记牵制四项职能。 2.内部控制(Internal Control) ??? 20世纪40年代至70年代间,企业规模越来越大、业务越来越复杂,尤其是跨国公司、企业集团的出现,审计理论与实务工作者及职业团体把注意力转移到内部控制之上。1949年,美国注册会计师协会所属的审计程序委员会在其专门报告——《内部控制:协调制度的要素及对管理和独立公共会计师的重要性》中将内部控制定义为:“内部控制包括组织机构的设置和企业内部采取的所有协调方法和措施,旨在保护资产、检查会计信息的准确性和可靠性,提高经营效率,促进既定管理政策的贯彻执行。”此定义强调内部控制控制不局限于与会计和财务部门直接有关的控制方面,而且包括预算控制、成本控制、定期报告、统计分析、培训计划和内部审计等,以及属于其他领域的经营活动。 自该定义公布以来,审计人员对该定义一直不满,认为该定义的含义过于宽泛,不利于指导审计实务。因此,1953年,美国注册会计协会所属的审计程序委员会颁布《审计程序说明书》第19号,对内部控制定义进行了正式修正,并将内部控制分为会计控制和管理控制两种。所谓会计控制(Accounting Control),是由组织计划和所有保护资产、保护会计记录可靠性或与此有关的方法与程序构成。包括授权与批准制度;记账、编制会计报表,保管资产等职务分离;财产的实物控制以及内部审计。所谓管理控制(Administration Control),是由组织计划和所有提高经营效率、保证管理部门所制定的各项政策得到贯彻执行或与此有关的方法和程序构成。包括统计分析、时间和动作研究、经营报告、雇员培训计划和质量控制等。 3.内部控制结构(Internal Control Structure) ??? 1988年美国注册师会计协会发布了《审计准则说明书》第55号,该说明书提出了内部控制结构的概念,并将内部控制定义为:“为合理保证公司实现具体目标而设立的一系列政策和程序”。同时认为内部控制要素由三个要素构成:一是控制环境(Control Environment),指对企业控制的建立与实施有重大影响的一组因素的统称,包括管理理念和经营方式、组织结构、董事会、授权和分配责任的方式、管理控制方法、内部审计、人事政策与实务等;二是会计系统(Accounting System),指公司为记录、分类、报告、分析业务处理的各种方法和记录,包括文件预先编号、业务复核、定期调节等。会计系统是内部控制结构的关键因素,也是注册会计师要直接利用的因素;三是控制程序(Control Procedure),是指为合理保证公司目标实现而建立的政策和程序,包括适当授权、恰当的职责分离、充分的凭证和记录、实物控制、业务的独立检查等。   4.内部控制整体框架   1992年9月,美国注册会计师协会、国际内部审计师协会、财务经理协会、美国会计协会、管理会计协会共同组成的专门委员会—— COSO委员会(Committee of Sponsoring Organization),即美国反对虚假财务报告委员会的赞助组织融会。该委员会的研究报告——《内部控制——整体框架》的发表,使内部控制理论迈向成熟。该报告指出:内部控制是企业董事会、经理阶层和其他员工实施的,为营运的效率性、财务报告的可靠性、相关法律的遵循性等目标的达成而提供合理保证的过程。报告认为内部控制只能为其目标的实现提供一个合理保证,它不能杜绝错误与舞弊的发生,信息风险客观存在。 (二)内部控制的目标 COSO报告认为,内部控制的目标是:(1)提高经营效率,取得好的经营效果;(2)合理保证财务报告的可靠性;(3)遵循有关的法规制度。企业建立内部控制的目的是为了确保公司整体目标的实现,具体来说,一般包括: 1.提高经营效率,良好的经营效果; 2.提供准确、可靠的信息; 3.保护各项资产和记录的安全; 4.保证企业计划和战略决策的有效实施; 5.规范企业的有关活动。 (三)内部控制的固有限制 内部控制的固有限制主要表现在以下方面: (1)内部控制的设计和运行受制于成本与效益原则。 (2)内部控制一般仅针对常规业务活动而设计。 (3)即使是设计完整的内部控制,也可能因执行人员的粗心大意、精力分散、判断失误以及对指令的误解而失效。 (4)内部控制可能因有关人员相互勾结、内外串通而失效。 (5)内部控制可能因执行人员滥用职权或屈从于外部压力而失效。 (6)内部控制可能因经营环境、业务性质的改变而削弱或失效。 (四)内部控制与审计的关系 内部控制既是被审计单位对其经济活动进行组织、制约、考核和调节的重要工具,也是注册会计师用以确定审计程序的重要依据。在注册会计师审计的发展过程中,对内部控制的重视与信赖,加速了现代审计方法的变革,节约了审计时间和审计费用,同时也扩大了审计范围,完善了审计的职能。 二、内部控制要素 COSO委员会提出,企业所设定的目标是一个企业努力的方向,而内部控制组成要素则是实现或达成该目标所必需的条件,两者之间存在直接的关系。每一组成要素都适用于所有的目标类型,每一个组成要素也与每一个目标都有关。对任何企业或企业中的任何部门,内部控制都极为重要。COSO报告认为,内部控制构成要素包括:控制环境、监督、风险评估、信息与沟通和控制活动。 1.控制环境(Control Environment) 控制环境是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素,具体包括管理理念和经营方式、组织结构、审计委员会、权利和责任的划分、人力资源管理等。 2.监督(Monitoring) 监督是指评估内部控制运行质量的过程,是管理当局用来监督会计系统和相关控制程序的手段。监督主要包括两个方面:一是管理控制方法。通常运用预算和其他财务报告来监督各项工作的进行;二是内部审计。 3.风险评估(Risk Assessment) 风险评估是企业确认和分析与其目标实现相关风险的过程,是风险管理的基础。风险评估要对与按照公认会计原则编制的会计报表有关的风险进行确认、分析和管理,要考虑可能发生的外部与内部事件及对管理当局在会计报表中的认定有影响的记录处理、汇总、报告的环境。 4.信息和沟通(Information and Communication) 企业在一定的时间内要以一定的形式确认、收集和交换信息,从而使员工能够行使责任。一个组织的信息系统是指为了确认、汇总、分析、分类、记录以及报告企业交易的相关事件与情况,并保持对相关资产和负债的受托责任而建立的方法和记录。信息的沟通依赖于有效的信息传导机制,有效控制信息在传输过程中的丢失与失真。 5.控制活动(Control Activities) 控制活动是指为了保证管理指令得到实施而制定并执行的控制政策和程序。控制活动存在于整个组织内,并出现于各管理阶层及职能部门中。控制活动应包括以下内容: (1)授权与批准控制 (2)凭证与记录控制 (3)职务分离控制 (4)接近控制 (5)独立稽核控制 第二节 内部控制的调查与测试 一、业务循环及其分类 (一)销售与收款循环 该循环主要包括发出订单、购买存货,验收入库,记录债务,审核付款,支付款项等程序。 (二)购货与付款循环 该循环主要包括接受订单,审查客户资信,发运货物,开具发票,托收款项,记录收入和债权,反映货币资金收取等程序。 (一)?? 生产循环   该循环主要包括仓库发料(生产领料),折旧计提,费用分摊,差异结转,计算生产成本等程序。 (二)?? 筹资与投资循环   该循环主要包括授权、核准、执行和记录有关借款、融资租赁、公司债券和股本(实收资本)、短期投资与长期投资等会计业务事项。 二、调查与记录内部控制 (一)内部控制的调查 1.调查内部控制的程序 调查内容控制的方法主要是:审阅、询问 对于重要的内部控制,审计人员通常需要实施以下的程序: (1)询问被审计单位有关人员,并查阅相关内部控制文件。 (2)检查内部控制生成的文件和记录。 (3)观察被审计单位的业务活动和内部控制的运行情况。 (4)选择若干具有代表性的交易和事项进行“穿行测试”。 2.调查内部控制的内容 调查内部控制的内容主要包括: (1)控制环境 (2)会计系统 (3)控制程序 (4)初步评价控制风险 (二)内部控制的记录 1.调查表 文字描述法是指审计人员对被审计单位内部控制健全程度和执行情况的书面叙述。描述时应注意把握以下关键内容: 1.说明内部控制制度及其相关经济业务执行的全部过程。 2.说明内部控制制度及其相关经济业务执行过程中的每一项凭证、资料的来源。 3.说明内部控制制度及其相关经济业务执行过程中各项资料所处的位置和去向。 4.说明与控制风险评价有关的控制手续和方法。 5.说明各关键控制点的构成及其有可能生产的潜在错弊。 文字描述法的优点是可以对调查对象做出比较深入和具体的描述,可以描述内部控制制度任何特殊情况。其缺点是文字叙述较为冗长,对业务流程及其控制的反映不够直观,特别是对于比较复杂的业务,有时不宜说明清楚,从而在一定程度上阻碍了审计人员从总体上对被审计单位的内部控制制度进行分析评价。因此,文字描述法一般适用于内部控制程序比较简单,比较容易描述的小企业。 2.文字表述 调查表也称调查问卷表,是审计人员根据被审计单位的业务类别、业务循环和内部控制等,将内部控制的必要事项,特别是与确保会计记录的准确性和可靠性以及资产的安全、完整有关的主要事项作为调查项目,并系统地加以罗列的表格。 调查表法的主要优点是简便易行,省时省力,在表上便可以直接判断出企业内部控制是否健全,很容易发现被审计单位内部控制制度中的缺点和控制弱点,适用于对所有类型经济业务内部控制问题的调查和描绘。这种方法的缺点是所了解的内部控制制度仅限于表内问题的范围,一旦有疏漏便难以正确地了解内部控制制度状况,提出的问题也过于固定,缺乏弹性。 3.流程图 流程图是审计人员用符号和图形来表示被审计单位业务和文件在组织机构内部的流动,从而直观地描述内部控制系统现状的一种方法。 流程图的优点是:能从整体的角度,直观地反映内部控制系统的实际情况,便于审计人员了解企业的控制程序和检查控制点的设置,而且便于根据控制程序的变化随时作出修改。 流程图的缺点是;由于缺少文字说明,较复杂的业务不宜理解;需要一定的绘制技术,尤其是较复杂的业务,绘制难度较大;流程图不能将内部控制系统中的控制弱点明显地标明出来,故评价时往往需与其他两种方法相结合。 三、内部控制的测试 (一)控制测试的概念 1.定义   对内部控制进行测试,即为符合性测试,是为了确定内部控制的设计和执行是否有效而实施的审计程序。符合性测试是在了解内部控制的基础上,来确定其设计和执行的有效性。 2.内容 符合性测试内容主要包括业务测试、功能测试 3.方法 符合性测试的方法包括:检查证据法、穿行测试法、观察现场法 (二)控制测试的范围和时间 1.测试范围 符合性测试的范围并不是越大越好,而是要求审计人员人最经济有效地实现审计目标的总体需要出发,合理确定测试范围。符合性测试的范围直接受计划控制风险估计水平的影响。若出现下列情况之一时,审计人员可不进行符合性测试,而直接实施实质性测试程序: (1)相关控制点不存在。 (2)相关内部控制虽然存在,但审计人员通过了解发现其并未有效运行。 (3)符合性测试的工作量可能大于进行符合性测试所减少的实质性测试的工作量。 2.测试时间 审计准则要求,审计人员必须取得被审会计报表所覆盖的整个年度是控制有效的证据。因此,从审计有效性的角度来看,符合性测试应尽可能安排在期中的后期执行。 ? 第三节 内部控制的评价 一、评价内控制度的健全性 二、评价内控制度的有效性 三、评价控制风险水平 对于内部控制的评价结果,根据不同情况,可以分为三个层次,对实施审计有不同影响。(一)高信赖程度(低度控制风险) 高信赖程度的标志是企业内部控制制度健全、合理,并且在测试检查有关业务活动时,未发现差错或仅发现极少的差错。审计人员可以较多地信赖、利用被审计单位的内部控制制度。在实施审计时,可相应减少实质性测试的样本数量和范围,节约审计资源,提高审计效率。 (二)中信赖程度(中度控制风险) 中信赖程度一般的标志是内部控制制度不很健全、合理,还存在一定的缺陷或薄弱环节或内部控制比较健全、合理,但实际执行不力,并且在测试检查有关业务活动时,发现有一定程度的差错。审计人员应降低信赖和利用内部控制制度,扩大实质性测试的深度和广度,增加实质性测试的样本数量和范围。 (三)低信赖程度(高度风险控制) ?  低信赖程度的标志是内部控制制度不健全、不合理,或虽设置了良好健全的内部控制制度,但并没有执行,在测试有关业务活动时,差错的发生非常频繁,大部分交易事项和会计记录处于失控状态,从而导致内部控制难以信赖和利用。在这种情况下,符合性测试已失去意义,审计人员应大幅度扩大实质性测试的样本数量和范围,以获取足够的,有充分证明力的审计证据,支持其提出的审计意见和作出的审计结论。在被审计单位的内部控制制度可信赖程度很低的情况下,审计人员可以考虑取消审计业务约定书,拒绝接受被审计单位的委托审计业务。