[精选]第三章-内控审计

第一节内部控制的概述一、内部控制的发展内部控制整合框架——风险管理阶段2004年4月,美国COSO委员会在广泛吸收各国理论界和实务界研究成果的基础上,颁布了《企业风险管理框架》。该框架在1992年COSO的内部控制整体框架报告的基础上建立企业风险管理框架,将企业管理的重心由内部控制转向风险管理。2004年4月，新的COSO报告增加了一个观念即“风险组合观”,一个目标即“战略目标”,两个概念即“风险偏好”和“风险容忍度”,三个要素即“目标制定”、“事项识别”和“风险反应”。1.内部环境5.风险反映2.目标制定6.控制活动3.事项识别7.信息和沟通4.风险评估8.监控2002年《萨班斯—奥克斯利法案》2002年7月25日，美国国会出台了《公众公司会计改革和投资者保护法案》，该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，又被称作《萨班斯—奥克斯利法案》（简称SOA法案）。该法案对美国1933年《证券法》和1934年《证券交易法》做出不少修订，在政府监管、中介机构监管、公司内部治理等方面做出了许多新的规定。SOA法案解决的问题（2002）1.政府监管问题在安然事件之前，美国经济是自由主义式的发展（民不告官不理）。同时，美国的会计准则是由社会中介机构和社会团体公认形成的，没有很大的强制性。安然事件发生后，美国意识到自治式的会计信息有极大的漏洞，所以必须加强管制，成立公众公司会计监管委员会(PCAOB)，对证劵市场和企业的会计信息进行监管。2002年《萨班斯—奥克斯利法案》SOA法案解决的问题2.中介机构管理问题作为中介机构，安达信的双面角色导致了安达信失去了独立性。SOA法案对中介机构的业务行为专门做了限制性和 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 性的规定，包括强化审计师的独立性以及限制非审计服务业务。2002年《萨班斯—奥克斯利法案》SOA法案解决的问题3.企业内部治理问题加强了管理层对信息披露的责任。萨班斯—奥克斯利法案中，专门明确了公司出现财务问题后，总经理和财务总监应当共同承担责任。强化内部控制。法案明确规定上市公司必须设有内审部门；且要有完善的内部控制制度并要求审计师对其出具鉴证报告，这一做法也很快在世界范围推广2002年《萨班斯—奥克斯利法案》SOA法案对企业管理层的新要求要求上市公司必须在年报中同时提供内部控制评价报告内部控制审计报告；上市公司的注册会计师需要对企业的内部控制系统作出评价。2002年《萨班斯—奥克斯利法案》在美国注册的上市公司和在外国注册而于美国上市的公司，都必须遵守该法案。2010年财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》，2011年1月1日起在境内外同时上市的公司执行，2012年1月1日起在上证和深证主板上市公司执行。二、我国内部控制相关规定2008年五部委联合发布《企业内部控制基本规范》中提出的内部控制目标包括：(一)内部控制的目标1、确保企业战略的实现；2、运营的效果和效率；3、财务报告的可靠性；4、资产的安全、完整；5、符合相关的法律和法规。(二)内部控制的要素2008年五部委联合发布《企业内部控制基本规范》中提出的内部控制要素有五大类：1.控制环境2.风险评估3.控制活动4.信息与沟通5.内部监督内部控制的目标和要素监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1业务单位A业务单位B活动2活动1业业务务监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1业务单位A业务单位B活动2活动1业业务务控制环境风险评估控制活动信息与沟通内部监督营运目标战略目标报告目标资产目标合法目标三、内部控制的局限性p98四、中国企业的内部控制一、内部环境审计二、风险评估审计三、控制活动审计四、信息与沟通审计五、内部监督审计第二节内部控制审计的内容诚信和道德价值观念的沟通与落实对胜任能力的重视治理层的参与程度管理层的理念和经营风格组织结构职权与责任的分配人力资源政策与实务内部控制环境一、内部环境审计（一）审计目标1.组织是否有明确的职责划分；是否存在有效的分工和制衡机制；相关部门的职能是否充分发挥；组织是否为内部控制的建立和执行提供强有力的组织结构保障和工作机制保障。2.组织是否存在有效的精神、意识和理念，其对内部控制有效性和组织管理目标实现程度的影响。内部环境审计是对内部控制组成要素进行的审计一、内部环境审计（一）审计目标3.人力资源政策是否科学、规范，能否调动员工的积极性和创造性。4.内部审计机构是否健全，内部审计是否发挥了应有的作用。5.组织是否建立健全反舞弊机制，相关部门在其中的职责权限和协调机制是否明确，反舞弊调查处理程序和通报制度是否规范。一、内部环境审计（二）审计内容1.治理结构、内部机构设置与权责分配情况组织机构设置能否适应需求和环境的变化，是否存在机构重叠和效率低下情况。组织是否能够根据经营目标、职能划分和管理要求界定各部门及人员的职责权限，并且分解到具体岗位。所有员工是否了解各自的权限职责。组织有无相关 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 汇编，员工手册、组织结构图、业务流程图、职位说明书等资料。一、内部环境审计（二）审计内容2.企业文化建设情况是否培育健康向上的整体价值观，是否倡导爱岗敬业、进取创新、团队协作精神。管理理念和经营风格是否有利于组织内控目标的实现，是否强化风险意识并克服个人偏好。是否有适用不同层级人员的职业操守准则或行为准则，并且明确相应的监督约束机制。一、内部环境审计（二）审计内容2.企业文化建设情况是否强调了诚信和道德价值观念的重要性，如果违反，是否会受到处罚。是否经常性的对员工进行职业道德宣传、教育，员工是否自觉遵守各项规定，是否勤勉。一、内部环境审计（二）审计内容3.人力资源政策的制定及执行情况人力资源管理制度是否完善，内容是否完整，关键职位是否轮岗，是否对掌握商业秘密及核心技术的员工离岗有限制性规定。选聘员工的 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 ：专业、道德、价值取向等。培训： 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 是否科学、具有针对性等。激励约束机制，奖惩制度的目标是否合理，标准是否明确，考核是否严格。一、内部环境审计（二）审计内容4.内部审计机制的建立情况审计委员会的专业性和独立性。审计委员会职责的履行情况：——审核内控情况并向董事会报告——指导内部审计机构工作及内审与外审的沟通——处理有关投诉与举报——审核财务报告——未设审计委员会的，相关职责是否有人履行内部审计机构是否独立，审计人员是否具备从业资格，是否具备相关的职业操守与专业胜任能力。一、内部环境审计（二）审计内容5.反舞弊机制的设立及执行情况反舞弊机制是否健全，职权是否明确，工作程序是否规范，信息沟通是否及时。组织是否根据自身情况明确反舞弊的重点领域、关键环节及主要内容。是否对高危行为和员工进行重点关注。有无建立和完善投诉、举报管理制度（如匿名举报机制），是否有举报热线，举报处理程序是否清晰明确。内部环境审计需要的主要资料：——国家相关法律法规——企业章程——管理制度汇编——员工手册——组织结构图——业务流程图——职务说明书——权限指引——统计资料——会议记录工作日志——各种宣传规划决策 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 投诉诉讼表彰惩罚处理资料一、内部环境审计一、内部环境审计二、风险评估审计三、控制活动审计四、信息与沟通审计五、内部监督审计第二节内部控制审计的内容二、风险评估审计（一）目标设定审计要点组织是否按照战略目标设定相关的经营目标、财务报告目标、合规性目标及资产安全完整目标。目标设定是否具有层次性、相互补充及衔接。是否根据设定的目标合理确定企业整体风险承受能力及具体业务层次上可接受的风险水平。内部审计学（二）风险识别审计要点组织是否准确识别内部和外部风险因素。——内部因素：人员、管理、技术、安全环保等——外部因素：经济、法律、社会、科技、自然环境等风险识别方法的使用：座谈会、问卷调查、案例分析、咨询等；加强对高危性和多发性风险因素的关注二、风险评估审计内部审计学（三）风险分析审计要点是否从因果两个方面分析了风险发生的可能性和影响程度。采用的定性与定量分析方法是否科学合理。——风险特征——历史数据的充分性与可靠性——管理层进行风险评估的技术能力与成本效益的衡量风险排序的准确性，风险管理决策的恰当性，是否确定了重点关注的风险。二、风险评估审计*注释：摘自《企业内部控制基本规范》风险规避企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。风险分担企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。风险承受企业对风险承受度之内的风险，在权衡成本效益后，不准备采取控制措施降低风险或者减轻损失的策略。（四）风险应对策略审计要点是否区分不同情况采取应对策略:二、风险评估审计一、内部环境审计二、风险评估审计三、控制活动审计四、信息与沟通审计五、内部监督审计第二节内部控制审计的内容不相容职务分离控制财产保护控制会计系统控制运营分析控制授权审批控制预算控制绩效考评控制*注释：摘自《企业内部控制基本规范》控制活动控制活动是确保管理阶层的指令得以执行的政策及程序。控制活动审计主要是对职责分工、授权、审批核准、预算、财产保护、会计系统、内部报告、经济活动分析、绩效考评、信息技术等控制措施进行审计。三、控制活动审计内部审计学（一）职责分工审计要点职能部门和工作岗位设置是否考虑了单位目标及职能任务，是否遵循科学、精简、高效的原则，各部门、岗位职权是否明确。职责分工是否遵守不相容职务分离的制衡原则——授权、批准、执行、记录、保管、稽核组织是否根据经济业务与事项的流程和特征分析设置不相容职位。组织是否建立规范的岗位轮换制度等。三、控制活动审计内部审计学（二）授权控制审计要点组织是否根据职责分工明确各单位及岗位的授权范围、审批程序和相应责任等。组织是否设置常规授权与临时授权两种方式。常规授权内容是否有权限指引，是否公开发布以提高透明度；临时性授权是否有严格规定并且详细记录以反映执行过程和结果。金额重大、技术性强、重要性高、风险程度高影响广的经济活动是否采取集体决策审批或者联签制度（如：固定资产购建业务）。组织是否存在未经授权或越权审批行为。三、控制活动审计（三）审核批准审计要点组织各部门、岗位是否遵循授权程序和岗位责任，对相关经济业务与事项的真实性、客观性、合理性及资料的完整性进行复核与审计，并通过签字、盖章或签署意见以示负责。三、控制活动审计（四）预算控制审计要点预算制度是否科学，适用。预算项目是否明确，标准是否合理。预算编制、审定、下达和执行程序是否科学可行。是否及时分析和控制预算差异，有无积极采取改进措施，确保其执行。三、控制活动审计（五）财产保护审计要点组织有无采取财产记录、实物保管、安全防护、定期盘点、账实核对、财产保险、岗位轮换及限制接近等措施确保财产安全，措施是否得到贯彻执行；是否发生过重大财产损失事故。三、控制活动审计内部审计学（六）会计系统控制审计要点组织是否依据有关法规制定适合本单位需要的会计制度。会计制度是否明确会计凭证、账簿和财务报告及信息的披露的处理程序。会计制度是否规范会计政策选用标准及审批程序。会计制度是否规范会计档案保管和会计工作交接办法。会计制度是否规范了会计岗位责任制、会计监督职责以确保会计信息及财务报告的真实、可靠和完整。三、控制活动审计三、控制活动审计（七）内部报告控制审计要点内部报告制度是否完善，相关信息的收集、分析、报告和处理程序是否明确。能否及时提供相关信息，能否全面反映经济活动，以增强内部管理的时效性和针对性。报告形式是否多样化：例行报告、实时报告、专题报告、综合报告等。三、控制活动审计（八）经济活动分析控制审计要点组织是否建立经济活动分析制度，利用各方面信息采用比较、比率、因素、趋势等分析方法，定期对经管活动进行分析。是否根据存在问题提出改进意见和措施。三、控制活动审计（九）绩效考评控制审计要点考核指标体系是否健全科学。是否对各部门及员工均进行业绩考核。是否根据考核结果及时兑现奖惩，以强化对各部门和员工的激励与约束。三、控制活动审计（十）信息系统控制审计要点组织是否根据实际需求及本单位IT应用程度建立本单位信息控制流程，以提高效率。组织是否强化对IT开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，以保证信息系统安全及有效运用。一、内部环境审计二、风险评估审计三、控制活动审计四、信息与沟通审计五、内部监督审计第2节内部控制审计的内容四、信息与沟通审计（一）信息收集与加工审计要点组织能否准确识别、全面收集单位内外的财务与非财务信息，为内控有效运行提供信息支持。信息来源是否充分，方式是否多样，内容是否完整。信息的获取是否及时，如何把信息及时提供给适当员工。组织建立或修正信息系统，是否适应单位整体规划，是否有利于单位目标的实现，功能是否得到充分发挥。管理层对待信息系统的态度如何，是否从人力、物力、财力的投入方面支持相关工作。（二）信息沟通审计要点组织传递共享信息的方式：互联网、电话短信、信息快报、例会、专题报告、调查研究、员工手册、教育培训、内部刊物等。信息的真实可靠性能否通过筛选核对得到保证。员工能够是否能够通过特别沟通方式秘密举报不当行为，管理层针对相关举报是否积极调查并恰当反馈给举报者，并且保护举报者的隐私。员工对自己的工作目标职责是否清楚并且正确履行。与外部利益相关者的沟通是否顺畅，是否强化本单位道德和标准的对外沟通。四、信息与沟通审计一、内部环境审计二、风险评估审计三、控制活动审计四、信息与沟通审计五、内部监督审计第2节内部控制审计的内容（一）持续性监督审计要点审计委员会、内部审计机构或实际履行内控监督职责的其他机构能否根据法规要求和组织授权，采取适当程序和方法对内控的建立和实施进行监督检查并出具检查报告。监督机构及人员胜任能力、独立性能否得到保障，相关道德规范是否的到遵守。工作范围是否适当，责任是否清晰。五、内部监督审计（二）专项监督检查审计要点专项监督检查的内容、范围、深度。专项监督检查的程序是否适当。专项检查所使用的检查表，问卷等工具是否适当，检查小组的胜任能力。相关评估资料是否齐全，记录过程是否详细。五、内部监督审计（三）缺失报告的审计要点已发现的内部控制缺失（设计和执行）是否进行汇总并报告。报告方式是否适当，是直接报告上级还是向更高层主管或董事会报告。是否对原因进行分析并采取纠正措施并对措施的执行情况进行后续跟踪。五、内部监督审计一、描述组织内部控制二、测试内部控制三、评价内部控制四、出具内部控制审计报告第三节内部控制审计的程序与方法一、描述组织内部控制二、测试内部控制三、评价内部控制四、出具内部控制审计报告第三节内部控制审计的程序与方法二、内部控制测试审计师控制测试程序的类型：询问观察检查重新执行一、描述组织内部控制二、测试内部控制三、评价内部控制四、出具内部控制审计报告第三节内部控制审计的程序与方法三、评价内部控制（一）控制评价则主要内容1.组织结构是否健全，职责分工是否明确；2.反映制度的各种文件是否规范；3.管理制度、会计制度及审计制度是否完整；4.业务处理与记录程序是否完善、正确；5.授权、审批、执行、记录、核对、报告等手续是否完备；（一）控制评价则主要内容6.职员的招聘、录用、培训、考核、晋升和轮岗是否科学合理；7.是否有严格的岗位责任制和奖惩制度；8.关键的控制是否都建立有必要的控制措施；9.内部控制制度及有关职能措施是否经济有效。三、评价内部控制三、评价内部控制2.评价标准内部控制设计的健全性——根据企业经营的需要应该设置的内部控制是否都已设置，对企业的经营管理活动全过程是否进行自始至终的控制。内部控制设计的合理性——内部控制设计和执行时的适用性和经济性，是否符合成本效益原则内部控制执行的有效性——企业制定的政策和措施是否遵守相关法规；——内部控制能否得到一贯执行且为提高经营效率效果，提供可靠财务报告和遵循法律法规提供合理保障的目标。一、描述组织内部控制二、测试内部控制三、评价内部控制四、出具内部控制审计报告第三节内部控制审计的程序与方法四、出具内部控制审计报告内部审计人员在对组织的内部控制评价的基础上，报告内部控制缺陷、执行情况及改进建议。在撰写过程中，要听取被审计单位的意见。报告提交之后，内部审计人员还必须关注意见的落实，进行后续审计。甲和乙两位内审师于2013年8月对集团下属的A公司的销售收款业务的内部控制进行审计，在审计工作中作了如下记录：A公司销售商品时，正常的销售程序如下：1.由销售部填制未连续编号一式二联的销售单，然后查阅该公司的授信额度，确定是否可予以赊销，将可以赊销的金额书面通知财务部。同时，公司近期开拓海外市场，对国外新客户期望比较高，减少对其的深入调查，以顺应公司的海外拓展战略，节约时间成本。2.销售部将销售单传递至仓库，由仓库据以发货。3.仓库根据销售单发货后，将出库单传递给销售部门及财务部门。4.销售部门根据仓库的出库单，由专人给客户开具销售发票，同时将附有销售发票副本及出库单的销售单传递给财务部门。5.财务部门根据销售单、出库单、销售发票副本进行相应会计处理。［要求］请你替甲和乙分析A公司销售收款的内部控制存在哪些缺陷，并提出改进建议。［案例］