制度基础审计

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,第九章 制度基础审计,1,本章框架,内部控制与制度基础审计,概念,内容,内部控制的程序与方法,制度基础审计的涵义,制度基础审计的内容与要点,制度基础审计的程序与方法,制度基础审计范例：销售业务,2,内部控制是被审计单位为了,合理保证财务报告的可靠性,、,经营的效率和效果,以及,对法律法规的遵守,，由治理层、管理层和其他人员设计和执行的,政策和程序,。这是COSO定义的内部控制。,内部控制制度的概念,3,是指一个组织采取的计划与方法，用以保护其资产的安全，保证其会计数据的准确与可靠，提升经营效率，遵循经理层制定的各项政策(Moeller, 2004,Sarbance-Oxley and the New Internal Auditing Rules, P103)。,该定义说明内部控制涵盖的内容超出了与会计信息的直接关系。,一个常用的定义,4,COSO与内部控制概念,COSO:,C,ommittee,o,f,S,ponsoring,O,rganiz-ations。上世纪70年代末80年代初，美国很多公司因通货膨胀而倒闭，与此相伴随的是公司做假账，注册会计师未能尽到责任。美国国会试图通过立法来规范会计与审计行为，但未能成功。于是成立了一个National Commission on Fraudulent Financial Reporting（虚假财务报告全国委员会）对虚假财务报告进行研究。该委员,5,会由美国五个会计职业团体提供赞助，它们是IIA（内部审计协会）、AICPA（美国注册会计师协会、总会计师协会（FEI）、美国会计学会（AAA）以及管理会计师协IMA）。,1987年，COSO发布了第一份关于内部控制的研究报告，呼吁经理层报告其内部控制系统的有效性。并指出良好的内部控制环境、道德行为规范、尽职且有胜任能力的审计委员会和强健的内部审计是良好内部控制的关键构成要素。,6,1992年9月，COSO发布了名为内部控制整合框架的研究报告（通常称为COSO报告），对内部控制进行了定义并提出了对内部控制进行评价的方法和程序。,2000年，COSO发布了一份名为企业风险模型的研究报告的初稿，对1992年的研究报告进行了扩展。,资料来源：Robert Moeller, 2004. Sarbance-Oxley and the New Internal Auditing Rules, pp.123-124。,7,内部控制包括下列要素：（一）控制环境（二）风险评估过程（三）资讯与沟通（四）控制活动（五）对控制的监督,以下是内部控制要素图。,内部控制制度的内容,8,图9-1内部控制结构图,监控,控制,活动,控制环境,讯,通,风险评估,资,沟,9,10,11,控制环境,控制环境：控制环境是对企业内部控制的建立和实施有重大影响（增强或削弱）的因素的总称。是内部控制的基础。,控制环境包括如下方面：,12,（一）对诚信和道德价值观念的沟通与落实：通常决定于“顶层的基调”（,tone at the top,）毛泽东时期的中国共产党（延安）；员工的行为动机（不切实际的目标，过于严厉的惩罚制度；职责划分；内部审计）：中国的,GDP,与官员晋升；重庆“钉子户”舆论为何一边倒？,（二）对胜任能力的重视：岗位的配备、培训、检查和补救措施。“四大”的招聘为何只考英语？,13,（三）治理层的参与程度：董事会、审计委员会的独立性、胜任能力与工作作风（是否尽职）。,（四）管理层的理念和经营风格：顾雏军的科隆；张瑞敏的海尔。独断专行还是集思广益。,（五）组织结构：组织实际上就是人员配置方式，就是如何通过人员的分工与合作达到组织的目标。“三权分立”制度与美国的伊拉克政策。,14,（六）职权与责任的分配：与第（五）点紧密相关，高层经理人应当对下属的决策行为承担最终责任。,（七）人力资源政策与实务：员工的招聘、岗位安排、培训、考核、晋升、待遇与纪律约束。,15,风险评估过程,影响企业达到其目标的因素就是风险。,风险评估的三个步骤：,评估风险的严重程度；,估计风险发生的可能性；,考虑应采取哪些措施管理风险。,16,风险评估：企业采取什么手段来鉴别并管理风险。美国加州原先有一家基金，它将很大一部分资金投入了金融债券，这种债券对银行利率非常敏感。1994年，美联储分五次调高了利率，该基金对此没有作出反映，结果其所持有的债券严重贬值$15亿，该基金被迫破产。,【Question】该例中，如果遵循三步骤的风险评估过程，应当是什么？,17,控制活动,是指那些确保风险控制措施得到执行的政策和程序。一般包括如下方面：,业绩评价：将实际情况与标准进行比较，发现异常情况及时采取纠正措施；,授权批准：一般授权与特殊授权；,信息处理（充分的记录）：保证信息安全；,18,实物控制：实物包括固定资产、存货、现金和有价证券等。实物财产的保管制度、实物盘点；,独立稽核：即监督有关措施是否得到执行；,职责分离（如图,9,2,）：不相容职务分离的目的在于降低错误或舞弊行为的发生。,19,雇员A,财物的,保管,雇员B,独立的,记录,雇员C,雇员C定期盘点A,保管的财物并与B,的记录核对,图9-2：职责分离示意图,【Question】试从该图,说明职责分离有何作用？,20,控制活动通常包括决定应采取哪些措施的政策（风险评估）和如何落实这些措施的程序（控制活动）。如立法与执法。,控制活动必须与风险评估相结合,，控制活动是为了控制识别出的风险，以顺利达到组织的目标。风险发生变化，控制活动也应当相应地作出调整。它们是一个动态的联系。,控制活动应得到主动、自觉并一贯地执行，才能有效发挥作用。,21,资讯与沟通,资讯即信息，沟通即信息的交换。信息系统与信息沟通是两个不同的要素。COSO为了使内部控制的内容简洁一点，将二者合并在一起。,信息系统：信息系统可以是正式的，也可以是非正式的；既有对内部的，也有对外部的。,信息的质量：高质量的信息是内部控制有效发挥作用的必备条件。,22,信息的质量从以下方面进行评价：,信息的内容要恰当（相关性）；,信息的可获得性：要能够及时获得；,信息的时效性：要及时，至起码是可获得的最新的信息；,信息的准确性；,信息的传递要技术：及时传递给相关的责任人。,23,信息沟通,信息的内部沟通：沟通的渠道要畅通，信息沟通是双向的，包括自上而下的沟通和自下而上的沟通；正式的沟通和非正式的沟通；通过正常渠道进行的沟通与秘密的沟通等。,24,沟通的方式,对外的沟通（与供应商、客户的沟通）：也是双向的。对外的沟通不只是公关性质的（宣传自己），而且信息要是外部利益相关者所需要的真实的信息（否则就无异于做假账了）。,沟通的方式：网站、布告、演讲、录像、手册等多种方式。,25,监督,监督：企业采取的用来保证内部控制措施有效运行的程序。内部审计即是一例。,要对内部控制的有效性进行持续的评价，及时对内部控制进行调整，使其适应变化了的环境，从而保持其有效性。,内部控制的评价步骤：了解内部控制的设计辨认采取的内部控制措施测试内部控制的有效性得出结论。与内部控制的测评是一致的。,26,内部控制程序,控制程序（P274）：,确立标准：衡量实际绩效的依据。,衡量结果：即计量实际的业绩。,分析差异：将实际结果（,2,）与标准（,1,）进行比较。,采取补救措施：出现不利时。,检查与评价。,27,内部控制的方法,控制方法：,1、目标控制2、组织控制3、人员控制4、职务分离控制5、授权批准控制 6、业务程序控制7、措施控制8、检查控制,28,制度基础审计的涵义,制度基础审计是指通过对被审计单位内部控制制度的检查、测试和评价（称为符合性测试）,，,确定实质性测试的,重点、规模和方法,的审计。即审计人员的审计工作建立在对内部控制制度进行评价的基础上，也叫系统基础审计。,29,制度基础审计的内容,制度基础审计的主要内容，一是对内部控制制度的结果和功能进行检查和评价（符合性测试），二是对经济资料及经济业务的真实性进行实质性测试（P279）。,制度基础审计的主要内容：五个方面（P279）。,30,内部控制测评的主要内容,内部控制的审计可以分为,会计控制的审计,、,管理控制的审计,和,内部审计控制的审计,三个方面（P280）。,内部会计控制一般包括基础控制、纪律控制和实物控制。,基础控制包括完整性控制、合法性控制、正确性控制和一致性控制。,31,纪律控制实际上就是对基础控制是否得到落实进行的控制。记录控制能够确保会计程序和基础控制程序按照设计的那样去发挥作用，及时发现错误与查明错误。,实物控制：维护实物安全与完整的控制。,32,管理控制的测试,管理控制的内容：,方法程式制度：如采购、生产、销售、财务等职责和方法，记录、复核、报告与分析、审核与观察等程式。,管理过程制度,控制过程制度,各种功能制度,管理控制审计的主要内容：,P283,。,33,内部审计控制的测试,主要内容：P283,有无健全的内部审计组织，其地位如何，是否开展了正常的内部审计工作；,有无明确的内部审计职责和内部审计标准，内部审计的独立性如何；,内部审计是否采取了有效措施及时查明与纠正偏差，其检查资料与报告是否可靠；,内部审计与单位管理部门、外部审计组织是否协调。,34,制度基础审计的程序,制度基础审计包括内部控制审计和真实性审计两个部分（P287）。内部控制审计仅仅是对内部控制制度的有效性的审计。制度基础审计的步骤包括四个方面：,适当性（健全性）测试,实质是考察实际的内部控制的设计是否合理。步骤包括（,1,）确定理想模式（,2,）描述现行制度（,3,）比较与初评，下面的两个表格可以用于对内部控制进行初评。,35,36,37,符合性测试,设计合理的内部控制制度如果没有得到有效的落实，仍然无法发挥作用。符合性测试的实质是对内部控制的实际执行情况进行检查，以确定其实际效果，从而决定内部控制究竟是否值得依赖，以及在多大程度上可以依赖。,符合性测试可以通过业务测试和功能测试来进行（,P290,）。,38,制度总评,制度基础审计的核心思想是完善的内部控制可以减少错弊发生的可能性（,P28,，莫茨和夏拉夫的审计假设），因此，在符合成本效益原则的情况下，可以先对内部控制进行审计，评价其有效性，以决定实质性测试的性质、时间和范围。,内部控制的审计包括三个步骤，即：了解内部控制初步评价内部控制 符合性测试。在此基础上决定实质性测试（如下图）。,39,无,了解、记录内部控制,初步评价内部控制,拟信赖内部控制？,符合性测试,内部控制可信赖程度,计划低水平的,实质性测试,计划高水平的,实质性测试,中,有无可,替代的内部,控制,计划中等水平,的实质性测试,高,有,低,是,否,符合性测试,设计是否合理，执行是否有效,40,实质性测试,如上图下部分红线框中所示为实质性测试，也叫正确性测试，是通过对会计凭证、账簿等会计资料进行直接的检查，以确定财务会计信息是否真实、正确和完整。,41,制度基础审计的方法,对内部控制制度的调查与测试可以使用如下方法：观察法、文字描述法、调查表法、流程图法、强弱点记录法和测试与质疑法。,调查法：包括查阅、观察与询问等手段（,P292,）。,文字描述法：用文字形式简要描述被审计单位内部控制制度的方法。,42,43,调查表法：审计人员利用事先设计好的标准化表格，进行调查询问的一种方法。,流程图法：用特定符号和图形来表示被审计单位的业务处理流程，显示文件凭证在组织内部的产生、传递、检查和保存及其相互关系。,强弱点记录法,测试与质疑法：包括事项复查与事项测试。,44,45,46,47,48,制度基础审计思路举例,制度基础审计的核心思路即通过对内部控制的调查与评价，根据其有效性调整实质性测试的范围和重点，即实质性检查样本的大小和检查重点的确定。,某被审计单位（A公司）的销售业务内部的有关内部控制措施如下图所示：,49,A,CPO,客户采购订单,被否决,填置一式两联预,先编号销售订单,检查和信,用批准,经批准的客户,名单和信用额度,批准,CPO,SO1,SO2,在CPO和SO1,SO2上记录,是,SO1,终结业务并,将SO1归档,否,SO2,批准,CPO,归档,N,销售订单,CPO,SO1,SO2,注：财务经理编制一,份通过信用审批的客户,名单和赊销额度。新客,户必须经过财务经理的,信用审批方可进行下一,步处理,输入销售订单,传往开单部门,N：表示按编号,归档,50,A,SO1,开具一式三联发,票和一式两联装,箱单(预先编号）,输入发票价格,价格表,(每周更新),SO1,BL2,装箱单BL1,SI3,SI2,SI1,销售发票,归档,N,B,注：销售部每周一次,更新消息价格表，表,上注明了有效日期。,注：在单据往后传递前，开,单部门的负责人审阅销售订,单、销售发票、装箱单,传往装运部门,开具发票,客户,注：发票在其填制完成后,一星期邮寄给客户,SI1,BL1和BL2传往下一步,51,B,BL2,BL1,SI3,准备要装运,的货物,在BL和SI3,标明装运数量,BL2,BL1,SI3,C,归档,N,客户,传递给会计部门,注：发出的货物数量记录在,SI3上，如果与订单数量不,同，则通知有关部门，以便,调整SI1和SI2,注：BL1随货物一起发出,发货,52,注：由不同的人员登记销售,账户和应收账款账户，主管,人员核对。,登记销售收入的人员负责检,查SI的编号是否连续。,C,SI3,根据SI3登记,销售收入,根据SI3登记,应收账款,销售活动,应收账款,账户,销售收入和,应收账款总账,SI3,归档,N,销售报告,应收账款,报告,将两个报告的,总数进行对比并,纠正差异,向管理层提交,报告,账务处理,客户的编码有一个验证码，在,录入应收账款时对其进行验证,53,A公司销售业务内部控制调查问卷,54,续表,55,续表,56,续表,57,续表,58,续表,59,续表,60,对A公司销售业务内部控制的评价,综合前述流程图和调查问卷，可以对A公司销售业务的内部控制形成以下结论：,职务分离,：A公司销售业务的职务分离比较到位，销售订单的处理、开单、发货及销售业务的会计处理之间进行了职责分离，而且，销售业务的会计处理之间也进行了合适的职务分离。,缺陷1,：信用审批的职责分离不够完善，A公司的信用审批是由销售部门进行的，应由独立部门进行，影响应收账款的计价。,61,信息处理控制：,授权批准：有明确的业务批准程序，建立了客户信用审批和价格批准的一般程序，只有在具备了经过批准的发货单和销售发票才能发货。,单据和记录的使用：使用的单据和记录是合理的，关键的单据都进行了事先连续编号。,缺陷1：销售收入账簿是根据SI3进行登记的，如果销售发票的日期有误或传递不及时，可能导致销售收入的账簿记录不及时。,62,缺陷3：由于发运部门根据实际发送的货物数量对SI3进行调整，并通知有关部门调整其他单据（SI1和SI2），但如果未及时通知，则会导致错误，如货物未发送，但发票已寄出。这影响销售收入金额的准确性（计价）。,独立复核：,A公司的销售业务设置了一系列重要的复核制度，包括：在SI3上记录的是实际发送的数量，并与发货单进行核对。开单负责人对销售订单、销售发票和发货单进行了独立的核对。登记应收账款时对客户进行验,63,证，以确保应收账款记入了相应的客户。应收账款和销售收入的登记由不同的人进行并由第三人进行核对。进行账簿登记时对销售发票编号的连续性进行检查，以确保业务的登记是全面的。,缺陷4：没有对销售订单进行复核，以确保已发生的销售业务都在账簿中进行了登记，这可能会影响销售收入的完整性。,缺陷5：没有对销售发票中的单价进行独立复核，可能影响其准确性，从而导致账簿记录的错误（计价）。,64,缺陷6：没有对发货单的编号连续性进行复核，这可能导致以发货的业务没有开具发票从而发生遗漏。也可能无法发现那些并未真正发生的业务进行了记录（如虚开销售发票进行账务处理。,实物控制：,A公司限制了对存货的进入，相关的文件和记录都进行了恰当的保管。,65,对审计的影响（审计计划）,控制目标/控制程序,控制风险,对审计的影响,授权批准,销售业务（信用审查、货物的发送、销售价格、付款条款）经过恰当的批准。,中等,销售业务基本上有恰当的审批程序，但信用审查的批准是由销售部门进行的。,对审计的影响：,1.付款条款、货物的发运的内部控制可以信赖。,2. 对应收账款的可回收性（坏账）要加以关注。,66,控制目标/控制程序,控制风险,对审计的影响,真实性,所有记录的销售业务是实际发生了的。,中等,A公司恰当地使用了销售订单、发货单、销售发票等文件和记录对销售业务进行控制，发生虚假销售业务的可能性较低。但SI3处理的缺陷可能导致一定的问题。,对审计的影响：,1.对销售发票数量的正确性进行检查，尤其关注SI3进行过修改的业务。,2.与真实性相关的其他内部控制可以信赖。,67,控制目标/控制程序,控制风险,对审计的影响,完整性,所有实际发生的销售业务都在账簿中进行了登记。,低,A公司没有对发货单的序号进行检查，这可能导致遗漏。但由于发货单是事先连续编号的，而且发货单与销售发票是同时填制的，可以在一定程度上降低遗漏的可能性。,对审计的影响：,1.对内部控制进行测试，以确定是否值得信赖。,2.抽取小样本的发货单，检查是否有相应的销售发票并在销售日记账进行登记。,68,控制目标/控制程序,控制风险,对审计的影响,计价,销售业务是按照正确的单价和数量进行登记的，在确定销售业务的金额时恰当地考虑了付款条款和现金折扣的影响。,高,A公司存在三个方面的问题：没有对单价进行检查，信用审批存在漏洞（不独立）、销售发票的数量可能存在错误。,对审计的影响：,1.进行大样本的实质性测试检查销售业务的单价的正确性。,2.对应收账款的可回首性进行实质性测试。,3.进行实质性测试检查销售业务数量的正确性。,69,控制目标/控制程序,控制风险,对审计的影响,及时性,销售业务记录在恰当的会计期间。,中等,A公司根据SI3登记销售业务，如果SI3存在时滞，可能导致销售业务记录到错误的会计期间。,对审计的影响：,1.对内部控制不予信赖。,2.进行截止测试以检验销售业务是否记录于正确的会计期间，从SI3中选取样本，将其日期与发货单的日期进行对照，判断其会计期间是否正确。,70,控制目标/控制程序,控制风险,对审计的影响,分类,销售业务记录在正确的明细账中。,较低,A公司应收账款账户有客户验证码，因此，应收账款明细账登记到不正确的客户的可能性较低。,对审计的影响：,1.进行符合性测试以判断内部控制是否值得信赖，不需进行实质性测试。,71,控制目标/控制程序,控制风险,对审计的影响,记账与汇总,销售业务的记账是正确的，其总计数是正确的。,低,A公司销售收入账户和应收账款账户是由不同人员分别进行登记的，有关单据都事先连续编号并进行独立核对，降低了记账错误的可能性。,对审计的影响：,1.主要依赖内部控制。,2.检查对账记录。,72,复习思考题,什么是内部控制制度？它包括哪些内容,?,什么是制度基础审计？制度基础审计包括哪些基本内容？,简述调查法、文字描述法、调查表法、强弱点记录法的具体做法。,73,