审计学第四讲

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,第四讲 内部控制及其测试,内部控制的概念及演变,内部控制的要素,内部控制的调查,内部控制运行有效性的测试,1,重庆市垫江县国家税务局征收员左玲，承担用电脑对税款解缴汇总入库的职责。工作认真负责，上班总是最先到，下班总是最后一个离开，经常帮助同事收缴税款。因“表现出色”，连续几年被该局评为先进工作者。 后偶然发现汇总税款时可删除部分完税证记录后再进行汇总，遂产生贪污税款的念头，共贪污税款8万余元。 2004年11月，垫江县检察院接到群众举报，随即立案侦查，查清其贪污税款的犯罪事实。据其交代，作案时间均选择在同事们下班离开后。,郑州亚西亚商场控制环境,英国巴林银行破产倒闭事件,好制度与坏制度,2,内部控制的概念与发展,内部控制是被审单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序（借鉴94年美国COSO报告的定义）。,在调查、测试和评价内部控制的基础上进行抽样审计是现代审计的一个重要标志。,内部控制审计可以成为一种审计业务类型。,3,预防性控制,：,事前防范预计损失，如客户信用审核、反担保机制,检查性控制,：,揭示已发生的损失，如编制银行存款余额调节表、账龄分析,纠正性控制,：,改正已发现的问题,指导性控制,：,导向有利的结果,4,课外读物：农行严控贷后管理“短板”,“根据省级分行的调查，前几年新形成的不良贷款，30由贷前决策失误造成，而高达70应归咎于贷后管理不到位。”中国农业银行总行信贷管理部负责人说。,提起金融风险，首先牵动神经的是贷款诈骗、内外勾结、权钱交易等及贷款调查不实、审查不严、审批不准等。上述因素是造成信贷风险的重要原因，但更大的“魔鬼”贷后管理。,与其他国内商业银行类似，起初农行也将重点放在规范贷前决策上，而对贷后管理，即贷款审批后到贷款本息全额收回这一段时间内对客户风险、市场风险的全程识别、监控、提示和化解不予重视。,2000年农行开始强力推行审贷部门分离、贷审会民主决策、报备制度、主责任人制度等一系列“信贷新规则”，新增贷款质量提高，但贷后管理的薄弱却凸现出来。因贷后管理不到位，出现了个别集团客户在某分行已出现不良贷款而在另一分行同时新增贷款的现象，以及客户将抵质押物悬空、转移，恶意逃废银行债务，而银行仍高枕无忧。,5,贷后管理难度大、跨度长，且不能直接带来效益，一直为各级行有意或无意地忽视，对客户“重开发、轻维护”，对贷款“重投放、轻管理”的思想和行为普遍存在。,针对贷后的漏洞，自2003年以来，农行从多方面入手加强风险管理。仅总行在2004、2005年组织的大规模信贷检查就涵盖了37家一级分行，处理主责任人57人次，通报批评15家单位；而全系统2004、2005年收到各类处罚的人次超过万余人次。,截至2005年末，总行和一级分行重点管理户数达到1700户，二级分行重点管理户数达到11000户，总行、一级分行、二级分行重点管理客户贷款余额超过10000亿元。与此同时，农行还初步建立了风险预警及处理机制，提高了风险预警及反应速度。,该负责人说，“贷后管理是一项根本性、长期性、艰巨性的任务。”目前农行贷后管理的一些深层次矛盾仍未得到根本性解决，考核、激励机制尚未到位，贷后检查流于形式、风险信号不敏感、处置风险的手段有限等问题仍不同程度存在。,6,1939年，AICPA吸取Mckesson & Robbins舞弊事件的教训，要求在审计报告中明确说明被审单位内部控制制度的建立和运行状况,。,我国审计准则指出，注册会计师应了解与审计相关的内部控制以识别潜在错报的类型，考虑导致重大错报风险的因素，以及设计和实施进一步审计程序的性质、时间和范围。,Sarbans & Oxley 302条款要求,：,公司财务报告的签字人有责任建立和维持一套内部控制程序，将评估其有效性的结论反映在报告中，并向外部审计师和董事会审计委员会报告对财务信息产生不利影响的内部控制设计和执行上的重大缺陷。,7,内部牵制,内部控制制度,内部控制结构,内部控制框架 披露控制和程序 财务报告内部控制,企业风险管理（2004年）,8,内部控制的局限性,内部控制存在下列固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证：,难以控制例外和偶然事项,在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效,可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避,9,不能将控制风险作为审计风险模型的影响因子。,注册会计师只要通过控制测试得到了一个比较满意的结果，就理所当然地认为他们已经有了一个比较高的计划检查风险水平，从而减少实质性测试工作量。这就可能为注册会计师的审计埋下很大的隐患。因为，首先控制测试得到的是内部证据，可以被管理当局操纵，其证明力比较差。其次，内部控制在防止无意的错报以及员工舞弊（不包括串通舞弊） 方面有着积极意义，但在防止管理当局舞弊方面无能为力，否则不会有所谓的“内部人控制”问题。也就是说，注册会计师对控制测试的满意程度与管理当局是否存在舞弊没有直接的关联关系。国内外所发生的上市公司舞弊案件中可说明。,10,内部控制的要素：控制环境,包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。,奠定一个公司的控制文化，影响着人们的控制意识，能增强或弱化公司各种控制政策、程序和措施的作用。,在评价控制环境的设计和实施情况时，注册会计师应了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化，以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。,州官放火与百姓点灯,11,控制环境的因素：,对诚信和道德价值观念的沟通与落实,对胜任能力的重视,治理层的参与程度：董事会及所属委员会,管理层的理念和经营风格,组织结构,职权与责任的分配,人力资源政策与实务,核心是：管理思想与经营方式（控制态度）、企业组织架钩（控制途径）和人力资源管理（控制执行）,12,案例1：世界通讯激进主义主导的管理风格和企业文化,世界通讯CEO埃柏斯一手创造了公司的辉煌，是公司顶级元老。董事会虽然对公司业绩和大规模的并购决策比较关心，但是这些董事也许是出于对埃伯斯能力的信任，也许是出于便利，绝少怀疑其决策；而公司的普通职员没有机会了解其为公司所做的具体一切和他管理公司事务的方式，但是他们相信世界通讯在不断成长，相信他为此付出的努力。这样，一方面，可能是鉴于埃伯斯的个人能力和人格魅力；另一方面，也鉴于人们对其能力的无限认可与信任，在世界通讯的董事会和各级管理部门中，无形中产生了一个以其个人处事方式为基础、受其意志支配的管理风格，以及相应的企业文化。,在这种企业文化的影响下，经过20世纪90年代中期董事会及下属各委员会的“放权”以及埃伯斯和苏利文（世界通讯的CFO，埃伯斯的得力助手）的“集权”，世界通讯以人为中心的管理方式逐渐占据了优势地位，而包括董事会在内的权力部门对公司并购和财务报告等重大事务的知情权和实质控制权被悄悄地转移到了集权者手中。,13,案例1续,埃伯斯对公司各个层面事务的影响无所不在，苏利文则几乎掌控了财务工作的各个方面。世界通讯90年代末期非常激进、冒险的并购政策就是带有上述特点的管理风格的产物。,世界通讯以激进主义为主导的管理风格和企业文化的形成，无情地摧毁了公司的控制环境，动摇了公司财务报告的城信原则。埃伯斯渴望由他领航的世界通讯早日坐上美国电讯业的头把交椅；而苏利文除此而外还坚信通过“各式会计手法进行必要的数据变造”是完成这一目标的捷径。世界通讯这两位呼风唤雨的灵魂人物共同的职业理想和苏利文对“会计手法=魔术行为”的执著信奉，交织成了世界通讯财务舞弊文化的根源，也注定了世界通讯财务中心将不可避免地卷入到一场财务报告欺诈的浩劫之中。,14,世界通讯公司的合并资产负债表,（单位：百万美元）,15,内部控制的要素：风险评估,注册会计师应了解被审单位的风险评估过程和结果。风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。,在评价被审单位风险评估过程的设计和执行时，注册会计师应确定管理层如何识别与财务报告相关的经营风险，如何估计该风险的重要性，如何评估风险发生的可能性，以及如何采取措施管理这些风险。,注册会计师应询问管理层识别出的经营风险，并考虑这些风险是否可能导致财务报表重大错报。,中航油和英国巴林银行的教训,16,案例2：中航油新加波公司忽视风险管理导致经营失败和虚假财务报告,新加坡中航油公司于2001年12月6日在新加坡交易所上市，其核心业务是航油采购，交易的衍生品包括互换和期货。公司于2003年下半年开始交易石油期货，由于交易初期的盈利而忽视了风险管理，最终因为期货交易导致巨额亏损，于2004年11月30日向法院申请破产保护。,根据新加坡中航油CEO陈久霖提供的法庭证词，2004年6月份，中航油进行期货交易已发生账面亏损3580万美元，但是该公司在当年8月份公布的第二季度财务报告中，不但对期货交易的亏损只字不提，却虚报了大约1000万美元的盈利；到2004年11月16日，公司在期货交易中已经亏损3.02亿美元，却仍然在其第三季度报告中公布盈利约550万美元。如果中航油能够根据行业标准正确评估期权组合价值及其风险，提高财务报告的可靠性和准确程度，就能够及时发现已经产生的交易损失，从而引起公司股东和董事会的关注，公司的损失应该可以及时得到控制，也就不会沦落到破产的地步。,17,巴林银行倒闭的教训：,管理层必须对所经营管理的业务有充分地认识：跨国经营，业务、利润和风险来源的多元化，产品创新和信息技术的飞速发展使欺诈更隐蔽和快捷，损失放大,各项业务的职责必须明确并明示（矩阵式的组织结构下也应有充分的信息沟通渠道），在对组织结构进行重大调整时应注意防范利益冲突和权责不清带来的风险，如前台的交易业务与后台的清算、稽核活动应有效分离,设立专门的风险管理机制，及早发现危机隐患，采取应对策略,建立强势的内部审计机构，对整个业务进行监督检查，并将内控漏洞迅速反馈最高管理层，以便采取补救措施或进行业务整改,18,信息系统与沟通,与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。,与财务报告相关的信息系统包括下列职能：,识别与记录所有的有效交易,及时、详细地描述交易，以便在财务报告中对交易作出恰当分类,恰当计量交易，以便在财务报告中对交易的金额作出准确记录,恰当确定交易生成的会计期间,在财务报表中恰当列报交易,19,注册会计师应从下列方面了解与财务报告相关的信息系统,：,在被审单位经营过程中，对财务报表具有重大影响的各类交易,在信息技术和人工系统中，对交易生成、记录、处理和报告的程序,与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目,信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况；,被审单位编制财务报告的过程，包括作出的重大会计估计和披露,20,控制活动,注册会计师应了解控制活动，以足够评估认定层次的重大错报风险和针对评估的风险设计进一步审计程序。,控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。,21,控制活动的内容：,授权：,一,般授权（普遍适用于某类交易的或活动的政策）和特别授权（针对特定交易或活动特定设置的授权）,业绩评价：,分析实际与预算差异，综合分析财务数据与经营数据的内在关系，将内部数据与外部信息来源相比较，评价职能部门、分支机构或项目活动的业绩，以及对发现的异常差异或关系采取必要的调查与纠正措施,22,信息处理,：,信息技术一般控制（与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行，包括信息的完整性和数据的安全性，支持应用控制作用的有效发挥，通常包括数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制）和信息技术应用控制（主要在业务流程层次运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通常包括检查数据计算准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预）,23,实物控制：,了解对资产和记录采取适当的安全保护措施，对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对。实物控制的效果影响资产的安全，从而对财务报表的可靠性及审计产生影响,职责分离：,了解被审单位如何将交易授权、交易记录、资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误,24,对控制活动的监督,对控制的监督指被审单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。,注册会计师应了解被审单位对控制的持续监督活动和专门的评价活动。持续的监督活动通常贯穿于被审单位的日常经营活动与常规管理工作中。,被审单位可使用,内部审计,人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价。,被审单位也可利用与外部有关各方沟通或交流所获取的信息监督相关的控制活动。,25,案例3：“湘缆”破产案的背后,基本案情：,湖南湘潭电缆厂92年是年产值25亿的全国电线电缆骨干企业，曾居全国500家重点企业之列。95年5月后，陈海燕为首的一批人钻进湘缆后公司陷入困境，至98年上半年，集团产值较上年同期下降55，销售收入下降70，增加亏损5000余万元，职工生活无法保障，集团决策层9名领导有8名集体提出辞职。同年9月，国务院稽查特派员来湘缆查办此案。检查表明，湘缆集团实有资产10.46亿元，负债达12.02亿元，已资不抵债；作为党委书记兼总经理的陈海燕主管湘缆1000天，国有资产大量流失，湘缆净亏损3.61亿元。,湖南省审计厅和湘潭市审计局此后经过1年零5个月的工作，对湘缆集团28家全资和控股子公司的资产、负债和损益进行了全面审计，并与有关部门密切配合，延伸审计了与湘缆集团有经济往来的7家陈海燕等人私营、合伙经营公司，彻底查明了以陈海燕为首的特大经济犯罪案的主要犯罪事实：利用职务之便，挪用公款共计金额4700余万元，贪污侵吞公款43余万元，虚开增值税发票，造成国家税收损失175万元，偷税45万余元。湘缆随即进入破产清算程序。,26,案例分析：,1“湘缆”的控制环境,（1）“湘缆”的董事会。公司治理结构是现代企业制度的核心，应形成股东会授权、董事会决策、监事会监督、经理层执行的职责明确、岗位清晰、各司其职、各负其责、互相制衡、协调高效的运行机制。陈海燕从1995年5月起，以国家工作人员身份到湘缆任职，作为国有独资企业湘缆集团总公司的领导，陈海燕集党委书记、厂长、总经理于一身，监事会、董事会不过是摆设，这些内部监督机构不能也不敢履行职责，权利约束机制起不到应有的制衡和监督。,（2）“湘缆”经营者的品性操守。企业管理当局与职工的能力与操守，对于内部控制的成效有举足轻重的影响。而陈海燕是如何坐上湘缆的宝座的呢？1992年10月。陈海燕在申请辞职未获批准的情况下离职，与李世平等人参加由香港良乐公司等公司合资筹建的深圳大阳电工公司，并利用他们原在湘缆掌握的技术生命线和业务关系，挤占湘缆市场。陈海燕背弃湘缆、私欲膨胀，利用地方政界关系，弄虚作假、投机钻营、一度成为湖南炙手可热的企业家，在其转干不到八个月，摇身一变成为厅级干部。从其日后的所作所为中不难发现，隐患这时就已经埋下了。,27,（）“湘缆”的组织机构。企业各职能部门之间必须有明确的职权责划分，才能形成有效的内部控制环境。陈海燕登上湘缆总经理宝座后肆无忌惮地采用“高进低出”手段从私营企业购进高价原材料，而后将湘缆产品低价售给其私营企业，非法牟利。陈海燕利用双边兼职的便利条件，以贸易为名，依靠湘缆的人才、资金、产品、市场，培育壮大私人企业，一旦私营公司遇到资金困难，便到国企“请款”。湘缆的组织机构成为陈的用以牟利的工具。,（）“湘缆”的人事政策。内部控制是否有效，关键在于实施内部控制人员的素质。,惟我独尊，顺昌逆亡。陈海燕对不听招呼的财务人员，随意撤换，内审部门提供的审计报告不合意的不予签发，内审机构形成虚设，湘缆原来的审计处长因为审计了他原来任职的公司，揭露了亏损的真实情况而被撤换。,任人唯亲。陈海燕将私营公司的亲信和骨干安插到湘缆的各个重要岗位，如陆续将亲信任命为湘缆控股的大阳电磁线公司总经理，全湘公司总经理等,。,28,（5）内部审计。陈上台前，7名审计人员每年可为企业挽回近千万元的损失。之后，审计机构名存实亡。,2“湘缆”的会计系统。成为陈的传声筒，惟其马首是瞻。, “湘缆”的控制程序。管理混乱，各种控制政策和制度形同虚设。,案件引发的思考：,2000年2月，陈等被判处无期徒刑，案件尘埃落定，但给国家、企业和职工带来的损失不可估量，企业破产。构建法人治理结构，完善内部控制，特别是改善控制环境，任重道远。,29,内部控制的调查与评价,为风险评估程序,交易循环模式,调查方法：,询问被审单位的人员,观察特定控制的运用,检查生成的文件和报告,追踪交易在财务报告信息系统中的处理过程（穿行测试）,30,描述方式,文字说明法,问卷调查法,流程图法,31,内部控制的评价,在调查了解内部控制时，应评价,控制的设计，并确定其是否得到执行。,评价控制的设计指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。,控制得到执行指某项控制存在且被审单位正在使用。,设计不当的控制可能表明内部控制存在重大缺陷（而非报表的错报，只是增大风险），注册会计师在确定是否考虑控制得到执行时，应首先考虑控制的设计。,32,内部控制的测试,实施控制测试的两种情形：,在评估认定层次重大错报风险时，预期控制的运行是有效的，应就控制在相关期间或时点的运行有效性获取充分、适当的审计证据。即只有认为控制设计合理、能够防止或发现并纠正认定层次的重大错报，注册会计师才有必要对控制运行的有效性实施测试,仅实施实质性程序获取的审计证据不足以将认定层次重大错报风险降低到可接受的低水平,33,控制测试的目的与属性：,目的是评价控制运行的有效性，属于,进一步审计程序,。,测试控制运行的有效性与确定控制是否得到执行所需获取的审计证据不同。,在实施风险评估程序以获取控制是否得到执行的审计证据时，注册会计师应确定某项控制是否存在，被审单位是否正在使用。,在测试控制运行的有效性时，注册会计师应从下列方面获取控制是否有效运行的审计证据：,控制在所审计期间的不同时点是如何运行的,控制是否得到一贯执行,控制由谁执行,控制以何种方式运行,如果某些控制是由被授权的人员在被审年度适当且一贯地应用，说明控制政策和程序得到了有效执行,。,相反，则说明控制执行失效,。,34,控制测试的方法：,为评价控制设计和确定控制是否得到执行而实施的某些风险评估程序并非专为控制测试而设计，但可能提供有关控制运行有效性的审计证据，注册会计师应考虑这些审计证据是否足以实现控制测试的目的。,注册会计师可考虑在评价控制设计和获取其得到执行的审计证据的同时测试控制运行有效性，以提高审计效率,同步测试,。,控制测试采用的审计程序通常包括询问、观察、检查、穿行测试和重新执行。,35,沃尔马公司内部控制案例,王英姿：审计学原理与实务,36,