第一篇:企业内部控制实施的有效性
企业内部控制实施的有效性
摘要:内部控制关系到企业财产物资的安全完整,关系到会计系统对企业经济活动反映的正确性和可靠性。企业为实现既定的管理目标,必须要建立一整套内部控制制度。建立企业内部控制制度,就是在企业内部的职责分工、责任制度、财务会计制度和财产物资管理制度等有关企业管理制度中,都应具体体现内部控制的要求。为此,本文首先讨论了企业内部控制的概论,接着分析了企业内部控制实施中存在的关键问题,最后研究了提高企业内部控制实施有效性的措施。
关键词:企业内部控制;内部控制实施;实施有效性企业内部控制的概论
内部控制是形成一系列具有控制职能的方法、措施、程序,并予以规范化和系统化。使之成为一个严密的、较为完整的体系。内部控制按其控制的目的不同,可以分为会计控制和管理控制。会计控制是与保护财产物资的安全性、会计信息的真实性和完整性以及财务活动的合法性有关的控制;管理控制是指与保证经营方针、决策的贯彻执行,促进经营活动的经济性、效率性、效果性以及经营目标的实现有关的控制。会计控制与管理控制并不是相互排斥、互不相容的.两者共同为企业内部的良好运作保驾护航。
一个健全而有效的内部控制制度,能促使企业从根本上保证国家的有关法律法规和规章制度及单位经营管理方针政策的贯彻执行,提高会计信息质量,避免或降低经营风险,科学、合理地使用资源,顺利地实现企业经营目标。从目前的情况来看,有不少企业的内部控制制度还存在一些问题,控制效果不能达到预期的目标。其原因是复杂的,这里既有内部控制制度本身的缺陷,也有人的素质因素,我们必须针对具体情况,采取相应的措施,使之逐步完善。企业内部控制实施中存在的关键问题
2.1 控制环境薄弱
控制环境是内部控制要素的基础,决定着内部控制的结构与规则,包括最高管理层的完整性、道德观念、能力、管理哲学、经营风格和董事会的关注、指导等。控制环境是内部控制的基础,直接关系到企业内部控制的执行和贯彻。目前,我国企业内部控制环境薄弱,主要表现为:(1)组织机构设置不合理、不完善,内控组织虚位。由于组织结构的不完善,缺乏有效的控制措施,从而产生了大量“内耗”,无形中提高了企业的经营成本。(2)企业制度不健全。一是企业缺乏相应的激励与约束机制。二是人事政策和实务不完善。三是企业制度不全面,没有针对企业经营的各个环节、各个部门制定出相应的规章制度,顾此失彼现象严重。(3)人员素质较低、诚信度不足。(4)企业文化建设没有引起足够的重视。
2.2 管理机制不够完善
许多企业在形式上建立了董事会、监事会,实现了总经理负责制,而在实际工作中,并未建立真正的法人治理结构。董事会的监控作用严重弱化,没有全面行使其应有的职权,履行其应有的职责,无法真正起到约束经营者日常行为、保护股东利益的作用。
2.3 对内部控制的重要性认识不足
内部控制不能直接产生经济效益,其形成的效益需要经过较长时间后才能体现出来。而且建立内部控制体系需要设置众多岗位,制定大量规章制度,增加办事环节和程序。所以有的企业认为加强内部控制,会束缚自己的手脚。影响办事效率,甚至认为这是对本企业人员的不信任,容易产生内部矛盾等。提高企业内部控制实施有效性的措施
3.1 建立科学完整的控制程序
控制程序,它是管理部门为实现其特定控制目的而建立的业务处理的工作步骤。我们可以采取以下三大主要措施:首先是要提高管理人员对内部控制的认识程度。人作为企业的主体,作为企业各项政策的执行者,应该最先从根本上提高自身对企业内部控制的认识程度,这是提高我国企业内部控制效果的首要条件,只有企业各级人员认识上得到了提高,企业各个业务部门或成员才能真正的贯彻企业的各项制度,只有提高认识,才能增强自觉性,企业的内部控制制度才能真正落实到位;其次是要建立有效的信息沟通系统、构筑良好的内控信息平台。通过信息化手段整合企业的整个资源,及时提供各方面所需的会计、管理信息,可以使企业管理者掌权企业的运营状况,以便为生产经营决策提供全面、及时、准确的信息。
3.2 内控人员具有胜任其职责的能力与品行
内部控制制度设计的再完善,若没有称职的人员来执行,也不能发挥作用。内部控制的成功与否,取决于企业员工的控制意识和行为,而企业负责人内部控制的自觉意识和行为是关键。从理论上讲,内部控制本身也具有局限性,其中主要是企业最高领导人控制的随意性或相互串通,搞内部的人为控制。因此,提高企业负责人自觉执行内部控制制度的意识更为重要。
3.3 改进人力资源管理机制
一个企业的人力资源政策直接影响到企业中每一个人的表现和业绩。良好的人力资源政策对培养企业人员,提高企业人员的素质,更好地贯彻和执行企业内部控制有很大的帮助。因此,企业应面向人才市场引入竞争机制,合理配置企业人力资源,形成任人唯贤、优胜劣汰的用人机制。企业经营管理者的素质直接影响到企业的行为,进而影响到企业内部控制的效率和效果。因此,企业应加强对企业经营者的学习教育,从知识、技能到职业道德,经营理念等方面,提高其素质,逐步形成学习型企业,从而提高内部控制的效率。
3.4 重视对各单位内部控制的实务指导
内部控制理论也早已超出早期以核对账簿、账簿记录与财产的一致性以及会计报表数据可靠性为内容的思想范畴,而进入了多元化控制阶段。企业建立了相互制约,相互牵制和相互协调的内部控制制度后还要考虑到解决内部控制的实务运用问题,以确保制度的顺利实施。尤其是在利用信息化技术来实施内部控制制度,实务运用的指导显出了必要性,如果缺乏对计算机理论知识的一些必要了解和操作的熟练性,利用信息化系统进行内部控制会适得其反,因为这些处理系统第一手的基础数据仍然是靠人来实现的。因此我们在进行计算机基础培训的基础上,也对每个信息系统的具体操作进行业务培训,确保不会因为基础信息的不正确影响内部控制的实施。
3.5 强化外部监督
发挥财政、税务、审计等机构的权威性和监督作用,加强对企业内部控制的检查和监督,定期或不定期地对内部控制制度进行检查评价;形成行之有效的外部监督合力,以杜绝企业管理者利用职权对设置或实施的内部控制不予理睬、形同虚设的情况,推动企业不断完善内部控制制度。
3.6 控制标准要明确
考核和评价内部控制的有效性,必须有明确的衡量质量和业绩的标准。内部控制标准,可以在业务预算、工作计划、技术手册中予以规定;每项经营业务的标准,都应书面成文,并把它交给负责实施的人员;具体的内部控制标准可以单独制定,也可以把他们并人各项经营业务的标准中去。
3.7 严格执行规章制度
它包含三层意思:一是会计人员处理业务必须依据事前授权分责的权限行事;二是对一般业务或直接接触客户的业务,均要经过复核,重要业务必须实行双签有效的“四眼”原则,禁止一个人独立处理业务的全过程;三是对于不相容职务必须进行分离。
为适应全球经济一体化的市场竞争,中国企业融入全球经济竞争的深度和广度将成倍增长,所面临的竞争程度也将更加激烈。面对这种无法回避的现实,我国企业要想在世界市场中站住脚并求得发展,就必须在技术和管理两方面下功夫,迎头赶上。管理方面,加强内部控制制度建设是提高经营管理水平的基础工作,也是不可回避的现实需要。建立和完善企业内部控制制度,切实加强企业内部控制,逐步完善法人治理结构,是提升企业管理能力与可持续发展能力的一个重要方面。
参考文献
[1]籍树东.论企业内部控制的发展及启示[J].商业会计,2007,(03).[2]陈容.试论企业内部控制[J].市场周刊.新物流 ,2006,(07).[3]徐鲭.谈强化企业内部控制[J].中国市场, 2006,(28).[4]牟善忠.企业内部控制若干问题探讨[J].集团经济研究,2007,(07).[5]朱海.企业内部控制之道[J].中小企业科技, 2006,(10).
第二篇:论文-企业内部控制有效性研究
指导教师评语
企业内部控制有效性研究
成 绩
指导教师签字
****年**月**日
目 录
内容摘要 ...............................................................1企业内部控制研究综述
.................................................1.1研究背景及意义
.....................................................1.2 研究内容 ..........................................................1.3 研究思路与方法.....................................................2.企业内部控制的现状及主要问题..........................................2.1 我国企业内部控制的内涵及现状 ......................................2.2企业业务流程内部控制的主要问题 .....................................3.有效保障内部控制实施的措施............................................3.1 提高管理层认识 ....................................................3.2 提高会计人员的素质 .................................................3.3 建立一套完整的内部控制制度
.......................................3.4 强化企业的监督机制 ..................................................4 结论 ................................................................参考文献 ...............................................................
Ⅰ1 1 2 2 2 2 3 4 4 4 5 5 6 7 2
内容摘要:建立有效的企业内部控制制度是现代企业管理的重要基础。然而,虽然我国很多企业都实施了内部控制制度,特别是大企业和国有企业,但从我国内部控制制度实施情况来看,仍然存在着很多的问题,阻碍了内部控制制度的有效运行。本文从企业内部控制理论发展着手,分析了内部控制制度包含的内容,深刻分析企业在内部控制制度设计和内部控制业务流程施行过程存在的不足,继而提出规范企业内部控制的建议以及保证企业内部控制有效实施的保障措施,旨在引起该企业对内部控制制度建设的重要性和紧迫性的认识。
关键词:内部控制;控制要素;控制措施
1导言
1.1 研究背景及意义 1.1.1 研究背景
现代企业内部控制是社会经济发展到一定阶段的产物,是随着企业对内加强管理,对外满足社会需要,逐步发展起来的自我检查、调整及制约系统。早在20世纪初期,西方一些国家就已经试行内部牵制组织的方法,1949年,美国就提出了“内部控制”的概念。随着外部审计师的需要和企业管理当局的认识更新,近十几年来,内部控制已在世界各国得到推广和应用,成为大中型企业进行有效管理必不可少的技术。但我国内部控制的理论研究和实践却落后国际先进水平,这表现在我国关于内部控制的规定还不够完善,对企业的指导意义不是很强,我国企业对内部控制的认识还很模糊,没有充分意识到它对于企业生存和发展的重要性,以至于企业内部控制松弛,严重制约了我国经济和企业的发展。1.1.2 研究意义
国内对内部控制的认识与国外相比还存在一定的差距。虽然我国企业在长期的实践过程中总结出了一些行之有效的内部控制措施和方法,但是缺乏对内部控制的总体研究,内部控制业务流程和制度都很不完善。现实中,存在着大量的企业经营失败、会计信息失真及不守法经营的情况,这在很大程度上都要归结为企业内部控制的缺乏或失效。在当前经济危机的情况下,我国企业面临着严峻的挑战,企业必须建立和完善内部控制制度,才能增强企业的竞争力,帮助企业度过难关。因此建立和完善内部控制制度已成为了我国企业当前的一项紧迫任务。
本文通过借鉴国内外最新的理论研究成果和深入企业调查,在结合企业管理实际的基础上,针对企业内部控制中薄弱的环节,提出客观可行的完善企业内部控制的措施,具有一定的理论意义和现实意义。1.2 研究内容
本文在对内部控制的涵义进行了定义,并介绍了内部控制的研究动态的基础上。着重对闪星企业在内部控制制度设计和内部控制业务流程施行过程两方面进行研究分析,找出其中存在的问题,针对问题提出具有可行性的改进建议。最后,在分析其产生问题的深层次的原因后,提出有效保障内部控制执行的措施。1.3 研究思路与方法 1.3.1 基本思路
本文将在对国内外内部控制理论充分了解的情况下去思考湖南锡矿山闪星锑业有限责任企业内部控制需要完善的地方。1.3.2 研究方法
(1)规范研究方面:以COSO报告和国家颁布的一系列关于内部控制方面的法律、法规为基础,研究内部控制。(2)实证研究方面:通过在湖南锡矿山闪星锑业有限责任企业的实习,了解相关信息,并进行信息的搜集工作。我国企业内部控制制度现状分析
2.1 企业内部控制的内涵及现状
2.1.1企业内部控制的内涵
内部控制作为企业管理活动中的一种自我调整和制约的手段,从其形成至完善,大体经历了“内部牵制的采用一制约机制的建立一控制体系的形成”三个阶段。内部控制的职能不仅包括企业管理者用来授权与指挥进行购货,销售,生产等经营活动的各种方式方法,也包括核算,审核、分析各种信息资料及报告的程序与步骤,还包括对企业经营活动进行综合计划、控制和评价而制定和设置的各项规章制度。因此,内部控制
贯穿于企业经营活动的各个方面,只要存在企业生产经营活动,就需要有相应的内部控制。
企业制定内部控制制度的目的,在于保证其经济活动的正常进行,保护企业资产的安全,完整与有效运用,提高经济核算的正确性与可靠性,推动与考核企业各项方针,政策的贯彻执行程度,评价企业的经济效益,提高企业经营管理水平。目前,我国的企业内部控制制度建设和理论相对滞后,使研究企业内部控制的理论与实务成了最紧迫的课题之一。
2.1.2 企业内部控制制度的现状
自20世纪90年代起,我国政府开始加大对企业内部控制的规范力度,制定和颁发了一系列有关法律法规。
然而,对我国来讲全面认识内部控制还刚刚开始,会计信息失真、经营失败及不守法经营等在很大程度上都归结为企业内部控制的失灵。
总体来将,我国企业普遍认识到内部控制的重要性,但对内部控制认识不够;侧重于企业外部环境的梳理,而忽视了内部各环节、各岗位的牵制;侧重于经营环节的程序控制,而忽视了企业整体的协调;侧重于内部控制制度的学习,而忽视了执行制度的人的素质提高;侧重于对货币、实物的控制,而忽视了企业文化环境的建设等。2.2 企业内部控制存在的主要问题 2.2.1 控制环境基础薄弱
控制环境是内部控制的基础,直接关系到企业内部控制的执行和贯彻。它涵盖对建立、加强或削弱特定政策程序及其效率产生影响的各种因素,包括企业管理人员的品行、操守、价值观、素质和能力,管理人员的管理哲学、经营观念,企业各种规章制度、信息沟通体系、业绩评价机制等。
2.2.2 企业内控部门责权不对称,内部控制和监督不力
企业内部控制包括内部管理控制和内部会计控制,而我国的内部控制主要是指内部会计控制。作为承担内部控制主要部门的财会、审计部门存在严重的责权不对称现象。内审部门形同虚设。内部审计作为内部控制的重要组成部分,是企业改善经营管理、提高经济效益的自我需要。但是,在我国,企业的内部审计并没能真正履行其应有的职能, 有效保障内部控制实施的措施
加强且有的内部控制建设,是该企业重新打造自我和提升自我的一个着力点。针对以上内部控制问题和原因,本文认为,改善内部控制现状,提高现有内部控制的效率和效果,建立一套支持其持续稳定发展的、科学有效的内部控制系统,使之符合企业发展战略并日趋完善。具体来讲,应从以下几个方面着手改进,以保证该企业内部控制的有效实施: 3.1 提高管理层认识
企业内部控制实行的成功与否,关键看管理者的认识。该企业的管理者应充分认识到:内部控制对于保证企业的高效运行,维护财产物资的安全完整,确保经营目标的实现具有特殊作用;企业的规模越大,经济越发展,内部控制就越重要。要在激烈的市场竞争中立于不败,保持企业持续、稳定、健康地发展,就必须加强企业内部管理建设,注重企业内部控制的构建与实施,确保企业的每个岗位和人员、每项业务或环节都能按规定的制度或程序来办理,并将内部控制的建设作为一项长期任务来完成。同时,还应转变管理层的部分陈旧观念,在构建和实施内部控制时,从建章立制向整体系统的构建和实施转变,从以补救为主的事后控制向与事中和事前控制相结合转变。
3.2 提高会计人员的素质
通过对外招聘,吸引年轻的会计人员,改善企业会计人员年龄结构;加强对会计
人员职业道德教育和业务培训。增强会计人员自我约束能力,自觉执行各项法律法规,遵守财经纪律,做到奉公守法、廉洁自律;加强会计人员的继续教育,要特别重视对那些业务能力差的会计人员的基础业务知识的培训,以提高其工作能力,避免技术差错引起会计信息失真;岗位定期轮换,以加强责任心。3.3 建立一套完整的内部控制制度
为保证内部会计控制实施的有效性,应注意完善内部会计控制机制,即必须遵守职责明确、相互牵制、相互监督的原则以及企业内控制度的要求。首先,制度建设要突破传统观念,应在不违反法律、法规的前提下,最大程度地以风险防范、控制和提高效率为目标,谨慎性原则是会计王作中应坚持的基本原则之一,但谨慎不等于保守,不等于固步自封,而是要在不违反法律、法规的前提下,与业务部门密切配合,从有利于业务发展,风险防范和提高效率的角度出发,敢于打破旧有的条条框框,使内控制度成为促进企业全面发展的动力之一,而不应成为发展的阻力。其次。建立内部会计控制制度的考评体系。内部制度的运行如果没有考核考评、奖励与惩罚,就无法保证该项制度推行和运行,因而只有对内控制度体系的各组织之间进行纵向和横向的比较,客观公正地给予考核评价,奖励或惩罚。才能激励和鞭策与推行内控制度的有关部门及员工尽职尽责地做好内部控制工作。
3.4 强化企业的监督机制
首先要切实转变内部审计职能,内部审计职能应从传统的查错防弊型转向现代的评价、服务和监控型,要拓宽内部审计领域,规范审计行为,突出内部审计的评价职能,以适应现代企业管理需要。再次要努力改进内部审计方式,引进现代管理理论,内部审计方式应由事后审计为主转向以事中审计和事前审计为主,以切实加强对企业生产经营和管理的全过程、全方位的监督和评价,并要从单位实际出发突出决策审计、经济效益审计、内部控制制度审计和经济责任审计等,充分发挥内部审计作用。
最后要实行重大事项报告制度。审计人员对所在单位的重大经营决策、重大经济合同、舞弊等重要事项,应及时书面报告上级企业,并执行上级企业批复意见或者备案处理。结论
内部控制制度是社会经济发展到一定阶段的产物,是现代企业管理中规避风险的重要手段。良好有效的内控机制,对于企业的生存、发展起到至关重要的作用。内部控制不利能够让企业蒙受重大损失,甚至破产。我们知道,有关企业经营的失败、会计信息失真、违法经营等情况在很大程度上都可以归结为企业内部控制制度的缺失或失效, 诸如巴林银行倒闭、中航油巨亏、中海集团财务丑闻等。这其中内部控制失败是最显著的表现。因此,完善企业内部控制制度,保证会计信息质量,对于完善企业治理结构和信息披露制度, 保护投资者合法权益,并保证资本市场有效运行,有着非常重要的意义。
本文围绕企业内部控制现状,以内部控制理论为基础,研究得出我国企业目前存在的问题主要原因是:管理层对内部控制的重要性缺乏认识;会计人员素质有待提高;内部控制制度缺乏系统性和完整性;内部监督不力。
改善内部控制现状,建立一个支持其持续稳定发展的、科学有效的、具有自我更新能力的内部控制系统。该企业应从以下几个方面着手改进:提高管理层认识;加强会计人员的素质;建立一套完整的内部控制制度;强化企业的监督机制。
参考文献
[1] 阎达五.张瑞君.会计控制新论[J],会计研究,2003(5):6-8 [2] 吴水澎.陈汉志.绍贤弟.企业内部控制理论的发展与启示[J],会计研究,2000(5):3-7 [3] 刘明辉.张宜霞.内部控制的经济学思考[J],会计研究,2002(8):56 [4] 杨世鉴.我国企业内部控制研究综述[N],山西广播电视大学学报,2008(2):75 [5] 谷祺.关于强化我国企业内部控制的研究[J],财务与会计,2002(10):30 [6] 贡华章.中油集团内部控制探索与实践[J],会计研究,2004(8):21 [7] 赵虹.我国企业内部控制制度的建设与完善[J],会计之友,2008(1):40 [8] 杨天雪.完善企业内部控制的思考[J],现代管理,2006(1):216 [9] 刘华.中海集团釜山企业内部控制案例分析[J],财政监督,2008(6):4 [10] 曲庆营.萨班斯法案对我国上市企业内部控制建设的启示[J],金融经济,2008(6):47 [11] 卫俏嫔.上市企业内部控制审计[D],北京首都经济贸易大学学位论文,2006(6):15-17 [12] 乔明雅.论加强企业内部控制的必要性[J],经济师,2006(1):188 [13] 李铃华Jim Naughton.COSO新报告下企业内部控制研究[J],天津工业大学学报,2007(8):2-4 [14] 杨洁宇Jim Naughton.企业内部控制研究[J],北京交通大学学位论文,2006(7):29 [15] 张丽.W企业内部控制评估与设计[J],对外经济贸易大学学位论文,2005(5):10-11 [16] Nikolaos Konstantopoulos, Michail G.Bekiarist and Stella Zounta.A Dynamic Simulation Model of the Management Accounting Information Systems(MAIS).American Institute Of Physics2007.[17] Tommaso Agasisti,Michela Arnaboldi ,Giovanni Azzone.Strategic management accounting in universities:the Italian experience.High Educ.2008(55):1–15.
第三篇:浅析企业内部控制
浅析企业内部控制制度 企业内部控制贯穿了企业经营活动的方方面面,只要企业存在经营活动和经济管理,就需要加强企业内部控制,建立相应的内部控制制度。企业内部控制是以专业管理制度为基础,以防范风险、有效监管为目的,通过全方位建立过程控制体系、描述关键控制点和以流程形式直观表达生产经营业务过程而形成的管理规范。企业内部控制在定义和内涵上,属于全面风险管理系统的子系统,涵盖在全面风险管理的范畴内,隶属于其中的一个重要部分。
一、当前企业内部控制存在的问题:
1.领导认识不足,法律意识淡薄。有些企业主管财务的领导、业务经办人员、财会人员利用内部控制不严的漏洞大量收受贿赂、贪污公款,挪用、盗窃资金,或与企业外部不法商人相勾结、非法侵占企业资金等,违法违纪现象时常发生。
2.内部控制制度不健全。目前相当一部分企业对建立内部控制制度不够重视,内部控制制度残缺不全,没有覆盖所有的部门和人员,没有渗透到企业各个业务领域和各个操作环节,使企业会计工作秩序混乱、核算不实而造成会计信息失真现象极为严重。
3.内部审计控制薄弱。内部审计是企业内部控制制度的一个重要组成部分。事实上有不少企业没有设置内部审计机构,即使有内审机构的企业,领导对其缺乏正确的认识,未能充分发挥其应有的作用。
4.风险意识差,内部压力不足。由于社会经济环境的变化,企业间竞争越来越激烈,企业经营风险不断加大,然而从中国中小企业现状来看,其风险意识并没有提到应有的高度,企业管理人员的思想意识中没有经营风险的概念,更缺乏有效的风险防范管理机制,因此企业抗风险能力较差。以上种种问题使得中小企业资信度较差、经营能力低下、企业核心竞争力缺乏。因此,中小企业为了迎接新经济形势下的机遇和挑战,为了自身的发展,必须建立健全内部控制制度。
5.缺乏有效的监督机制。会计的日常控制依赖于会计的日常监督,内部会计监督要求会计人员对本企业内部的经济活动进行会计监督,但是一些企业的管理者经
常干预会计工作,会计人员受到管理者干预或利益的驱使,往往按管理者的意图办事,使会计的监督职能无法履行。
二、建立内部控制系统的指导原则:
1.合法性原则。企业在制定内部控制制度时,必须遵循国家有关法律、法规,如《中华人民共和国会计法》等。
2.健全性原则。即企业的内部控制系统是否规范了各项经济活动,覆盖了对人、财、物的全方位管理。企业内部控制系统,必须包括控制环境、风险评估、控制活动、信息与沟通、监督五项要素,并覆盖各项业务和部门。
3.适用性原则。每一个企业制定何种内部控制制度以及各项内部控制制度包含哪些内容,主要取决于企业生产经营、业务管理的特点和要求,包括组织机构的设计和企业内部采取的相互协调的方针、措施等。
4.可行性原则。企业在制定内部控制制度时,对经济业务的处理程序要有明确规定,要简便易行,便于实际操作和运行。
5.有效性原则。企业在执行内部控制制度时,应定期检查其执行情况,对出现的违规违法现象按规定进行处理,并及时将内部控制制度执行结果与企业原定的经营战略方针比较,出现薄弱环节及时修正并完善。
6.成本效益原则。即要求企业力争以最小的控制成本取得最大的控制效果。因此,在实行内部控制花费的成本和由此而产生的经济效益之间要保持适当的比例,也就是说,因实行内部控制所花费的代价不能超过由此而获得的效益,否则应舍弃该控制措施。7.相互牵制原则。相互牵制原则是指一项完整的经济业务活动,必须分配给具有相互制约关系的两个或两个以上的职位分别完成。即在横向关系上,至少要由彼此独立的两个部门或人员办理,以使该部门或人员的工作接受另一个部门或人员的检查和制约;在纵向关系上,每项经济业务的处理,至少要经过上下级有关人员之手,使下级受上级监督,上级受下级制约,促使上下级均能忠于职守,不可疏忽大意。如费用报销,由经办人填制有关单据,交由部门
主管审核签字,再交由财务部复核其发票的真实性及有效性,再交由企业领导审批签字,才予以报销。
三、实施企业内部控制的措施:
1.组织结构控制。一是明确规定各种岗位的职责范围。按照程序定位和内部牵制的原则,将各职能部门业务分为若干具体的工作岗位,然后再按岗位确定每个人的具体任务,明确单位所有经营管理人员的责任和权限,逐步形成一整套自我制约和自动检查的岗位工作关系。二是强化内部牵制。内部牵制是内部控制的重要形式,体现在人员分工、职责界定、业务处理等各个方面。如会计、出纳业务不许一人兼任;收支款项时,收入不能集开票收款于一人,支出不能把审核、批准、付款由一个人经办;管钱,管物,管账一定要“三足鼎立”,等等。特别是不相容的职务一定要严格分离,做到授权与执行分离,执行与审核分离,执行与记录分离,保管与记录分离。而且在通常情况下,一项经济业务的处理程序至少包括规划、审核、执行、记录和复核5个步骤,每个步骤必须严格分开,不允许“一手清”。
2.授权批准控制。现代企业规模不断扩大,业务纷繁,环节增多,企业领导不可能事必躬亲。因此,必须将事、权进行划分,对下级授权、分权,规定各级业务人员处理某项事务的权力。在日常业务处理中,可以按照规定的权限范围和有关职责自行办理,把各项经济业务在其发生之际就加以控制,使各级业务人员都能“在其位,谋其政”。一项经济业务从发生至结束,谁核准、谁经办、谁复核、谁验收、谁审核都应在制度中予以充分说明,做到分工负责,权责分明。
3.会计记录控制。要建立健全会计凭证的审核制度、账账核对制度、复核制度、检查差错制度和采用会计科目控制、会计凭证控制、账簿控制、报表控制、记账控制以及电算化控制等措施。尤其是采用电算化会计的企业,区别于手工记账方式,会计记录完全以各种指针、索引技术操作日志等不同的形式存在。因此,为正确履行不同职责,企业的管理人员、会计人员都必须了解数据管理系统的基本原理。同时,一个单位的会计机构实行会
计记录控制,建立会计人员岗位责任制,对会计人员进行科学的分工,使之形成相互分离和制约的关系。如有些企业领导授意财务人员无故更改原始凭证、财会报表、伪造企业经济业务等虚增成本来逃税。根据《中华人民共和国会计法》的第五条规定:任何单位或者个人不得以任何方式授意、指使、强令会计机构、会计人员伪造、变造会计凭证、会计账簿和其他会计资料,提供虚假财务会计报告。所以,在做好会计记录控制时,切记注意合法性原则。
4.资产保护控制。资产保护控制主要包括接近控制、盘点控制。广义的资产保护控制还包括资产购入和销售活动的控制等。接近控制主要是指严格限制无关人员对资产的接触,只有经过授权批准的人员才能接触资产。接近控制包括对资产本身的直接接触和通过文件批准的方式对资产使用或分配的间接接触。间接接触可通过保管、批准、记录及不相容职务的分离和授权批准控制来达到。盘点控制是指对实物资产进行盘点,并将盘点结果与会计记录进行比较;盘点结果与会计记录如不一致,可能说明资产管理上出现错误、浪费、损失或其他不正常现象。为了防止差异再次发生,可以加强保护措施,惩罚不称职的员工或采取其他改进措施。
5.员工素质控制。内部控制是否有效,关键取决于实施内部控制员工的素质。要使内部控制的功能按预定的目的正常发挥,必须配备与承担职务相适应的高素质员工。否则,即使内部控制本身是十分完美的,但实施的效果却难以令人满意。员工素质控制体现招聘、使用、培养、奖惩等各个方面对员工进行控制。企业领导人经常要与员工互动、沟通、交换意见、组织各种娱乐活动,如旅游、文艺活动、奖惩分明、升职人人有望等来提高员工的工作激情,增强员工凝聚力,归属感,使企业成为强有力高效的团队,树立企业形象。21世纪不在是一个人单打独的世界,它需要合作、团结才能生存,“团结就是力量”,企业亦如此。
6.全面预算控制。全面预算控制是以全面预算管理为基础实施企业内部控制的一个重要方面。全面预算管理以提高企业效益为目标,以资金流量为纽带,以成本费用控制为重点,以责任报告信息为基础,以经营、财务预
算指标为依据,是一种全新的现代企业管理模式,是企业管理的核心内容之一。通过实施全面预算,能够有效地控制企业经营活动。
7.业绩报告控制。业绩报告是单位内部各级管理层掌握信息,加强内部控制的报告性文件,也是内部控制的重要组成部分。因此,编制业绩报告必须与单位内部的组织结构和其他控制方式相结合,明确反映各级管理层负责人的责任,报告的种类和格式由内部单位根据各自的实际情况自行设计,由财务负责人负责。但是,要注意业绩报告的真实性。
四、企业内部控制的作用:
1.解决会计信息失真、保证国民经济正常运转的客观要求。当前我国会计信息失真现象较为严重,它不仅影响着企业生产经营正常持久地进行,而且有碍于宏观经济的发展。失真现象的背后,体现出在日常工作中,单位的各项制度有章不循或无章可循,各项批准授权不清,相互牵制不到位。财务制度缺乏科学性和连贯性,缺少事前控制制度,多为事后补救措施等问题。当前会计改革应将重点放在解决会计信息失真这一问题上,加强内部会计控制是保证国民经济正常运转之必需。2.建立现代企业制度,强化内部管理,提高经济效益的客观要求。内部控制是现代企业管理的重要组成部分,对确保企业各项工作的正常进行、促进企业经营管理效率的提高及建立现代企业制度有着非常重要的作用。
3.统合企业整体的有力工具。现代企业的经营成功,离不开生产、营销、物资、计划、财务、人事等部门的通力合作,各部门的业务虽有单独的系统,但其个别作业与整体业务又必然发生联系,并受其他部门作业的牵制和监督。
4.防范财务风险的客观要求。企业应当建立规范的对外投资决策和程序,通过重大投资决策集体审议联签责任制度,加强投资项目立项、评估、实施及投资处理等环节的会计控制,以防范投资风险。
5.实现企业的可持续发展的现实需要。随着现代企业大企业、大集团战略的实施,企业内部结构和外部环境发生巨大变化,企业管理层次不断复杂化,内控范围进一步扩大。而企业管理以财务管理为基础,财务管理以资金管理为重点,企业内
控乏力、管理失控,一旦资金链出现问题,将在很大程度上影响企业可持续发展,有的甚至发生一夜之间轰然坍塌的巨变。
总而言之,加强实施内部会计控制是为了保证企业经营有序健康发展,绝不能让内部会计控制成为阻碍企业发展的障碍;加强实施内部会计控制能够规范社会主义市场经济秩序,确保国民经济稳定、持续、健康地向前发展。有活力的内部会计控制制度应该是推动企业创新的制度,只有企业全体职工齐心协力,相互支持,相互激励,企业内部会计控制才能发挥应有的作用。
第四篇:提高我国企业内部控制有效性的分析
提高我国企业内部控制有效性的分析
摘 要
中国经济经过二十多年的发展,取得了举世瞩目的业绩,随之而来也产生了庞大的赴海外募集资金直至谋求上市的企业群体。面对新的形势,企业管理者希望把握机会把企业做大、做强。强化企业内部控制已经成为管理现代企业的重要手段,在国内外的企业中已普遍使用。目前,由于种种原因致使我国很多企业在内部控制制度方面存在着很多问题,内部控制制度实施的有效性有待于进一步提高。本文从内部控制的评价标准归纳和分析影响我国企业内部控制执行有效性的问题,从而针对这些问题提出相应的对策。
关键字:内部控制 有效性 评价标准
Abstract
China's economy after 20 years of development, and achieved remarkable results, followed also had a huge fund-raising until the search for overseas listing of Chinese enterprises.Facing the new situation, managers want the opportunity to the enterprises bigger and stronger.Strengthen internal control has become an important means of managing the modern enterprise, at home and abroad have been widely used in enterprises.Currently, a variety of reasons led to many companies in our internal control system there are many problems in the implementation of the effectiveness of internal control systems need to be further improved.In this paper, the evaluation of internal control standards for induction and analysis on the effectiveness of the implementation of Internal control issues, which address these issues countermeasures
Keywords: Internal control
Effectiveness
Evaluation standards
目 录
摘 要...................................................................0 Abstract.................................................................1 目 录...................................................................2 绪 论...................................................................3
一、内部控制有效性的评价标准.............................................4
1、控制环境...........................................................4
2、风险评估...........................................................4
3、控制活动...........................................................5
4、信息与沟通.........................................................5
5、监督...............................................................5
二、我国企业内部控制存在的问题...........................................5
1、企业人员的素质偏低.................................................5
2、缺乏风险评估机制...................................................7
3、不相容职务未分离...................................................7
4、信息沟通不顺畅.....................................................8
5、董事会在内部控制框架中的核心监督地位没有体现.......................8
三、提高内部控制有效性的措施.............................................9
1、提高企业人员的素质,使内部控制的实施得到落实.......................9
2、强化企业的经营风险意识,进行全面的风险评估.........................9
3、建立严格的职务分离制度............................................10
4、建立良好的信息沟通系统,提高企业内部会计控制的执行效果............10
5、确定董事会在内部控制中的核心地位..................................11 结论....................................................................12 参考文献................................................................13 致 谢...................................................................14
绪 论
内部控制是为了达到经营活动的效率和效果、财务报告的可靠性、保护资产的安全和完整、确保有关法律、法规和规章制度的贯彻执行而制定和实施的一系列控制方法、措施和程序。在经济发达国家,内部控制制度被广泛采用,并且日趋完善,在企业风险管理和审计业务中发挥着积极的作用。
从内部控制发展历程来看,大致可分为四个阶段。一是内部牵制阶段,20世纪40年代前,为适应这一时期生产力落后,大规模商品经济不发达的特点,内部控制主要表现为对会计账目与会计工作实施岗位分离和相互牵制,使得任何一个部门或人员都不能独立地控制会计账目,并且使两个或两个以上的部门和人员能够对会计账目实现交叉检查或交叉控制;二是内部控制制度阶段,20世纪40年代~80年代,适应这一时期资本主义商品经济快速发展、所有权与经营权进一步分离的特点,在注册会计师行业的推动下,内部控制由早期的单一的内部牵制逐渐演变为涉及组织结构、岗位职责、人员素质、业务处理程序和内部审计等比较严密的内部控制制度体系;三是内部控制结构阶段,主要是20世纪80年代,在这一阶段由偏重研究具体的控制程序和方法,发展为对内部控制系统全方位的研究,突出的变化和重要成果,是日益重视对控制环境的研究;四是内部控制整体框架阶段,主要是20世纪90年代至今,这一阶段的标志性成果,是美国科索委员会于1992年提交的研究报告《内部控制——整体框架》,该报告在1994年进行了增补。该委员会在研究报告中提出,内部控制由五个相互联系、相互作用的要素组成,即控制环境、风险评估、控制活动、信息与沟通和监控。
我国内部控制研究是随着审计事业的恢复而逐步发展起来的。早在20世纪80年代,学术界就开始了这一领域的探索和研究,进入新世纪后,我国内部控制建设在政府、行业的推动下,正从理论研究向政策指导、实务应用领域迅速展开。在这期间,颁布了《内部会计控制规范——基本规范》及系列具体的规范性文件是内部控制进入实务规范的新的转折点。这些规范性文件的颁布和实施,标志着我国内部控制建设进入了一个崭新的阶段,并将进一步拓展审计业务领域,促进被审计单位内部控制制度的建立和完善。
企业内部控制是企业管理职能的重要组成部分,从内部控制的提出到目前的内部控制框架,从最初的内部牵制制度、内部会计控制到现在的内部控制框架,内部控制系统理论已经有了长足的发展。而内部控制理论的范围也在逐步扩大,不仅仅停留与会计的范围之内,而是整个企业范围之内,包括公司治理、人事管理等多方面内容的内部体系。可以说一个企业没有与之相适应的内部控制或内部控制失当,则会造成企业管理混乱,阻碍企业的发展。但是目前,由于种种原因,我国大部分企业对内部控制的重要性认识不足,在企业的经营管理过程中并没有将内部控制落实,也没有真正的发挥内部控制的效率,因此提高企业的内部控制执行有效性成了一个刻不容缓的问题。
一、内部控制有效性的评价标准
从内部控制概念的演进过程可以看出,1992年COSO委员会发布的《内部控制——整体框架》的报告,即著名的COSO报告,提出了由“三个目标”和“五个要素”组成的内部控制的整体框架,得到公司董事长、管理当局、投资者、债权者、审计人员及专家学者的普遍认可,因而成为迄今最权威的内部控制理论。结合我国实际情况,内部控制框架体系的五要素的关系是:控制环境是前提,风险评估为基础,控制活动是主体,监督控制为手段,信息沟通为保障。
1、控制环境
内部控制环境主要指企业的核心人员以及这些人的个别属性和所处的工作环境,包括个人的诚实正直、道德价值观与所具备的完成组织承诺的能力、董事会与稽核委员会、管理层的经营理念与营运风格、组织结构、职责划分和人力资源的政策与程序。COSO委员会在1992年发布的COSO报告中,提出内部控制包括五个相关要素,其中将控制环境看作是其他因素构建的基础,由此可以看出控制环境在整个内部控制框架体系中的重要性,控制环境的好坏,直接影响到内部控制框架的实施效果,企业应建立适合现代企业要求的内部控制环境。
2、风险评估
任何企业都面临着来自各方面的风险。按其发生的原因,可以分为内在风险和外在风险;按其表现的形式,可以分为融资风险、供应风险、生产风险、管理风险、销售与信用风险、投资风险等。在内部控制整体框架阶段,风险评估被认为是控制活动的基础,风险评估机制可以帮企业有效的处理不确定性及相关风险、机遇,从而提高增加价值的能力。
3、控制活动
控制活动贯穿于企业内部各个阶层和所有职能部门,包括授权管理、职责划分、业务流程及操作规程、业务记录、规章制度和控制标准。控制活动可以帮助企业保证其已针对实现组织目标所涉及的风险采取的必要防范或减少损失的措施。
4、信息与沟通
围绕在控制活动周围的是信息与沟通系统。企业的信息沟通系统包括企业的财务信息沟通系统和管理信息沟通系统。它是整个内部控制系统的生命线,为管理层监督各项活动和在必要时采取纠正措施提供了保证。一个良好的信息和沟通系统可以使企业及时掌握营运状况,提供高质量的信息,并在有关部门和人员之间进行沟通。
5、监督
监督用于评价企业内部控制业绩质量的过程,按进行的频率,监督可分为持续监督活动和个别评价两种。它对企业内部控制整体框架及其运行状况进行跟踪监测,评估其设计和运作,并采取必要的行动,以确保内部控制能持续有效运作。
以上五个因素是一个相互联系、综合作用的整体,它们构成对处于变化中的环境作出动态反应的整体框架。
COSO报告虽然是目前最成熟、最完善的内部控制理论,对我国内部控制理论研究及实践应用具有一定的启发和借鉴意义,但我们仍然应仔细分析一下报告的五个要素,看其是否适应我国的实际情况,企业在制定内部控制时应当甄别使用。
二、我国企业内部控制存在的问题
1、企业人员的素质偏低
按照COSO委员会1992年的报告,内部控制是受到董事会、高级管理人员和其他
职员影响的一个过程,其控制环境要素中也包含职工的诚实度、胜任能力等因素在内。由此可见,当人们对内部控制的认识由制度、规则等静态的观点发展到以人为中心的动态的观点,尤其强调了内部控制中“人”的重要性。COSO报告中指出,人和环境是推动企业发展的引擎。内部控制是由人来设计和实施的,企业中每位员工都收内部控制的影响,并通过自身的工作影响着他人的工作和整个内部控制系统,所以要求所有员工都应该清楚他们在企业、在内部控制系统中的位置和角色,并协调一致,才能推进内部控制的有效运转。但我国企业由于人员素质偏低,使内部控制的执行失效。
(1)管理者“一言堂”及随意性大
管理者是企业内部控制各部门的负责人,各级管理者的素质在企业经营管理中起十分重要的作用。管理者的品行、操守和价值观直接影响到企业的行为,进而影响到企业内部控制的执行效率和效果。管理者对内部控制有两种作用:保障和破坏。管理者可以将内部控制作为一种重要的管理手段,尽力以自己的权利维护其有效运行,并对运行过程中所发现的控制的纰漏与功能缺陷弥补与完善,以使内部控制为实现企业经营目标服务;同时,管理者有时也会从自我私利出发,拒不执行内部控制中的某项制度,或者采取绕过制度、改变制度、搁置制度和漠视制度的做法随心所欲地处在内部控制的制度之外。可见,在内部控制的实施中,管理者对内部控制的立与破、存与续、繁与简都有决定权,管理者的情绪起伏对内部控制的有效性也会发生重要影响。
然而管理层习惯于集权式的管理方式,对企业制度视而不见,仍乐于相信自己的直觉,以个人的主观判断代替科学决策。如郑亚集团运作中几乎不存在控制活动,或者即使存在所谓的政策和程序,也是名存实亡,未实际发生作用。且看一组数据:亚细亚一年一度的场庆花费都超70万;集团某股东从郑亚商场借出800万元,连借条都没有,后来归还300万元,剩余的500万元商场账面和收据显示是“工程款”;集团另一个股东1993年借走商场57万元,也无人催款;1997年,郑亚商场管理费用高达18.6亿元。郑亚集团如此的控制活动,何以确保管理层的指令得以实现。
(2)企业员工的道德修养和敬业精神欠缺
员工的素质和职业道德,包括基础知识与工作技能、诚实状况和敬业精神等,直接影响到内部控制的执行效率和效果。一方面,员工的诚实、敬业精神及胜任本职工作的能力不仅能保证各项业务的顺利完成和内部控制的有效实施,还可以弥补内部控制制度的局限性,使企业的内部控制始终处于有效状态;另一方面,即使内部控制十分健全、合理,也可能因某些或某个关键岗位员工的有意舞弊或能力不及产生应有的控制效果,甚至出现重大错弊。可见,员工,尤其是关键岗位的员工,应当具备良好的素质和道德
修养。
近几年来,会计队伍迅速扩大,会计人员就业压力迅速增大,但主管部门对会计人员的思想教育、业务培训等方面的后续教育远远没有跟上,有些培训流于形式,根本起不到提高会计人员素质,警示会计人员的作用。突出表现在:一些不具备从业资格、靠人情关系进入会计队伍的人员,仍然呆在会计岗位上。这些只凭长官意志办事,法律、准则、制度懂得不多,但没有不敢造的报表,没有不敢花的钱;还有部分会计人员为了自身的生存,违心地顺从领导意图办事,此所谓“顶得住的站不住,站得住的顶不住”。由于会计人员的这种行为致使企业的内部控制得不到有效的执行。
2、缺乏风险评估机制
随着社会经济环境的变化,企业经营风险不断提高。企业必须设立可辨认、分析和管理相关风险的机制,了解自身所面临的风险,并适时加以处理。风险评估是识别和分析妨碍实现经营管理目标的困难因素的活动,对风险的分析评估构成风险管理决策的基础。一般来说,企业的风险管理就是按公司规定的经营战略,选用各种风险分析技术,找出业务风险点,并采取恰当的方法降低风险。我国许多企业缺乏有效的风险管理机制。
如爱多公司在融资方面就缺乏风险评估,一直被认为是有独到办法的甚至创造了一个“市场制胜”的经典案例:通过要求代理商交纳保证金的手段,爱多就无偿筹得资金2亿元。对于产品的材料和配件,胡志标也通过先发货后付款的方式获得了供应商的支持。但这种方式是建立在产品持续畅销、企业信用和声誉良好的基础上的。时间一长,市场稍有动荡,就可能造成供应商、经销商关系的恶化,爱多公司的覆灭也可以说是缘于此时埋下的祸根。
3、不相容职务未分离
职务分离控制在内部控制系统中处于基础地位,是内部控制的一个最基本的原则。不相容职务分离的核心就是内部牵制,即一种职责分配、工作分工和业务记录方法的制度。在这种制度下,一名或一组职员的工作必须与其他雇员的工作相一致或与其他雇员的工作相联系,并要受到连续不断的复核检查。
如巴林银行,20世纪初,巴林银行荣幸的获得了一个特殊的客户:英国皇室。由于巴林银行的卓越贡献,巴林家族先后获得了五个世袭的爵位。然而如此辉煌的一家银行竞在1995年破产。追溯其原因,巴林最根本的问题在于把交易与清算角色的混淆。里森在1992年去新加坡后,任职巴林新加坡期货交易部兼清算部经理。在这期间,里森
所犯得的错误没有被及时查出,致使错误达到了无法弥补的境界,最后导致巴林银行倒闭。
4、信息沟通不顺畅
畅通的信息沟通渠道可以保证有关各个方面及时对于企业经营活动实施管理和控制,有助于提高企业内部控制的效率和效果。而现实中有些企业的信息沟通极不顺畅:企业员工无法得到最高管理层发出的有关员工控制职责的明确信息;企业最高管理层无法得到普通员工反馈的信息;企业与顾客、供应商、外部审计机构等之间信息沟通受阻。
瀛海威向中国百姓开启了通向信息高速路的大门,然而在公司内部,却缺乏应有的信息传递与沟通的渠道。在瀛海威,绝大部分员工并不知道自己的前途,不知道公司的前景,也不知道张总在做些什么。一位部门经理1996年底奉命计算1997年公司网上游戏的全年利润,目标是1000万元。“不知道这数字是如何定出的?因为怎么算也达不到1000万元,即使所有中继线用满24小时。公司称没关系,想办法,有点像大跃进,不行就加中继线,可加中继线的钱是实际利润的二倍。最后,我也不知道怎么搞的居然算出了1200万元。”这位经理说。瀛海威的这种情况数不胜数,也正是因为如此,瀛海威很快就黯然落幕。
5、董事会在内部控制框架中的核心监督地位没有体现
内部控制制度的建设及有效运行,有赖于企业内部良好的法人治理结构。现代企业的所有权与经营权的分离,使管理范围增大,管理层次增多,管理职能逐步分解,客观上需要一个规范的法人治理结构,加强内部控制制度,以保障所有者、经营者、债权人等的合法权益。在股份有限公司,存在着股东大会、董事会、监事会,其中股东大会选举产生董事会,董事会要对股东大会负责。董事会对公司的发展目标和重大经营活动做出决策,聘任经营者,并对经营者的业绩进行考核和评价。从我国《公司法》规定的董事会、股东大会、总经理之间的权责划分看,董事会在公司管理中居于核心地位。董事会应该对公司内部控制的建立、完善和有效运行负责,原因在于:(1)对于董事会而言,建立内部控制框架是为了通过“不丧失控制的授权”来保证公司有效运行、完成公司的目标;(2)内部控制是董事会抑制管理人员在获取短期盈利机会中的机会主义倾向,保证法律、公司政策及董事会决议切实贯彻实施的手段。但是在我国,公司制企业虽然都按《公司法》的要求设立了董事会,但对相当一部分企业来说,董事会并未发挥应有作用,有的甚至形同虚设。
而现在我国很多上市公司在形式上建立了董事会,聘用了总经理班子,但实际工作中,董事会在表现上还存在许多误区,真正的法人治理结构并未建立,董事不“懂事”,经常只是一个虚职,或者董事长和总经理由一人担任,董事会和总经理班子人员重叠,“一套人马两块牌子”,董事会的监控作用严重弱化。如中航油巨亏事件,中航油(新加坡)公司60%的股权控制在中航油集团公司手中,作为一国家有资产控股企业,天生的“产权虚置”导致了内部人控制。据公开的信息披露,在“内部人控制”的该公司,公司总裁权利至上,缺乏有效的制约机制,公司章程如同废纸。公司治理的相互制衡效能基本不存在,董事会并没有起到控制、监督的作用,致使总裁在进行投机交易时,无人知晓更无人阻止,才酿成中航油的悲剧。
三、提高内部控制有效性的措施
1、提高企业人员的素质,使内部控制的实施得到落实
(1)大力宣传内部控制的作用
必须向全体员工加强说明内部控制的重要性,使他们知道自己在内部控制程序中的重要作用。企业管理当局可以充分利用一切宣传工具和手段,大力宣传企业内部控制的内容和要求,使之家喻户晓,人人皆知,以创造浓厚的控制文化氛围。
(2)树立典型人物代表
典型人物代表能够以其特有的感染力、影响力和号召力为企业员工提供可以仿效的具体榜样,而企业员工也可以从典型人物代表的价值标准追求、工作态度和言行表现中理解到内部控制文化的实质和意义。所以,企业管理当局要善于观察、分析和发现内部控制执行过程中的先进人物,并对其突出表现进行归纳和表彰,以达到感染他人的目的。
(3)通过培训教育强化内部控制意识
有目的的培训和教育,能够使企业员工系统接受和强化认同企业所倡导的内部控制文化。如在国家有关内部控制法规颁发以后,要积极采取一些措施对企业员工进行培训,使他们及时了解和掌握法规中的要求和各自应承担的职责;在《基本规范》中强调了单位负责人对各单位内部控制的建立健全及有效实施负责,培训过程中就应该重点向单位负责人宣传这一规定,使各单位的负责人真正认识到自己的责任并发挥在内部控制中的核心作用。
2、强化企业的经营风险意识,进行全面的风险评估
环境控制和风险评估,是提高企业内部控制效率和效果的关键。当今社会经济发展迅速,经济环境变化很大,企业间竞争越来越激烈,企业经营风险增大,其内部控制的执行也深受影响。对内部控制的研究不可能脱离其赖以生存的环境及企业内外部各种风险因素。
如在战略管理中常用的“SWO”分析法,就是一种常见的风险分析方法,企业应对内分析自身的优势与劣势;对外分析外界的机遇和威胁,考虑自己的生存环境。企业不仅要在战略目标的制定过程中进行“SWO”分析,而且在企业日常的内部控制过程中也应该时时进行“SWO”分析,只有这样才能将内部控制目标的风险降至最低。企业进行风险评估一般要经历风险辨析、分析、管理、控制等过程。特别要注意的是,当企业内外部环境发生变化时,风险最容易发生,因此,企业应加强对环境变化时的财务管理工作。
3、建立严格的职务分离制度
职务分离制度要求企业按照不相容植物职务相分离的原则,合理设置会计及相关工作岗位,明确职责权限,形成相互制衡机制,不相容职务主要包括:授权审批与业务经办分离,会计记录与财产保管分离,业务经办与业务稽核分离,授权审批与监督检查分离等。一个人不能同时兼任可以隐匿自己所犯错误和不轨行为的职务。记账职务与经营保管的职务相分离,可以有效地防止那些接近资产的人挪用资产,并采取涂改会计记录的办法隐匿这些行为。不相容的经济业务至少要有两个或两个以上的人和部门参加,只要这些人员和部门不互相勾结,差错和不轨行为就很容易被发现,通过职务分离不但能提高作业效率,而且也使内部会计控制得到实施,有效保证会计信息的真实完整。
比如实物资产控制,它主要包括限制接近控制和定期清查两种,这是会计人员对企业实物资产安全采取的控制措施。主要有两条: 信息沟通系统。要让每位员工清楚地知道控制制度的有关方面,自己承担的职责及扮演的角色,与他人工作的关系,以及与他人沟通的方式和渠道等。如建立从上至下的信息沟通渠道,企业最高管理层应向全体员工发出各自的控制职责必须得到认真履行的明确信息,企业每位员工都必须了解内部控制的有关方面。建立从下至上的信息沟通渠道,应有一个自下而上报告重大信息的有效途径。建立横向的信息沟通渠道,企业与顾客、供应商、外部审计人员、政府部门、银行等部门之间也应该加强信息交流,从外界团体了解各种对本企业发展有价值的信息。
如intranet是实现企业内部信息交流的最好工具。一方面,上下级之间的信息沟通可以用来协调组织上层和下层间的活动较低级的雇员应该依据上层目标进行工作,上层的管理者应该了解下层的工作活动和工作完成情况。上下级的信息沟通包括分送给管理者的定期报告,书面信息和以intranet为基础的沟通,intranet信息沟通系统使不同层级之间的上下沟通更为有效。如微软的首席执行官通过其公司的电子邮件系统与属下进行定期的沟通,每天要处理很多的个人信息;另一方面,各部门之间的信息沟通可以用来消除部门之间的障碍,为员工提供机会,以便共同努力,实现组织目标各部门间可以通过直接联系设立专职整合员,建立intranet信息系统等策略来改善组织间的的横向合作和信息沟通。直接联系是一种部门之间进行合作和交流最常用的手段,如果直接联系不能实现,可设立一个专门的职位和部门,独立于各个部门之外负责各个部门之间的协调,这是一种强有力的横向沟通的手段;intranet信息系统是现代组织实现横向沟通的一个重要手段,它可以使遍布组织的管理者和一线员工就问题、机会、活动和决策进行例行信息交流,可以跨越时间和空间的界限。
5、确定董事会在内部控制中的核心地位
要确定董事会在内部控制中的核心地位,必须从自身建设抓起,完善独立董事制度,提高董事会的决策科学性,有利于发挥董事会的监督作用。
实证研究表明,在董事会中设立一定数量的独立董事,可以有效地减少财务报告舞弊,提高董事会的职能作用。如Bearly Mark.检验75个舞弊公司和75个非舞弊公司董事会组成的差异时发现,财务报告非舞弊的公司董事会和审计委员会中独立董事的比例显著高于财务报告舞弊的公司;独立董事在其他公司拥有的董事身份数量的下降,财务报告舞弊的可能性也下降。在董事会下设立主要由独立董事组成的委员会结构,如审计委员会、薪酬委员会、提名委员会等,以有效约束控股股东和经理的行为,使董事会真正发挥其作用。
结论
我国企业内部控制制度作为实现其经营管理目标的一种手段,在企业内部管理监控系统中发挥着举足轻重的作用。随着社会主义市场经济的不断发展、经济全球化的形成,我国企业将面对更加激烈的市场竞争环境,建立良好的内部控制将有助于企业在未来激烈的竞争中求的生存和发展。因此,政府应当致力于出台有关内部控制制度的法律法规,使企业在建立内部控制制度时有法可依;注册会计师要提高执业水平,真正发挥外部监督作用;企业应当健全内部控制制度,加强内部控制制度的执行强度;员工要加强自身素质的培养,使内部控制制度真正落到实处。随着信息产业的发展,不断完善企业内部控制制度,对于防范舞弊,减少损失,提高资本的再生能力具有积极的意义。
参考文献
[1]朱荣恩.内部控制评价[M].北京:中国时代经济出版社,2002.[2]友联时骏管理顾问.企业内部控制和风险管理—《萨班斯—奥克斯利法案》释义[M].上海:复旦大学出版社,2005.[3]刘金文.内部控制基本理论研究[M].北京:中国财政经济出版社,2005.[4]朱荣恩,徐建新.现代企业内部控制制度[M].北京:中国审计出版社,2001.[5]杨有红.企业内部控制框架:构建与运行[M].浙江:浙江人民出版社,2001.[6]虞文钧.企业内部控制制度的构建[M].上海:上海财经大学出版社,2002.[7]朱荣恩,应唯,袁敏.企业内部控制制度设计[M].上海:上海财经大学出版社,2005.[8]张立辉,张翯,皮飞峰.内部控制与公司治理:战略的观点[M].北京:中国税务出版社,2005.[9]张宜霞,舒惠好.内部控制国际比较研究[M].北京:中国财政经济出版社,2006.[10] 朱荣恩.内部控制案例[M].上海:复旦大学出版社,2005.[11]徐掌元.中小企业内部控制存在的问题与对策[J].产业与科技论坛,2008,致 谢
第五篇:企业内部控制审计指引实施意见
中国注册会计师协会 企业内部控制审计指引实施意见
____________________________________________________________________________________
会协〔2011〕 66 号
各省、自治区、直辖市注册会计师协会:
为了规范注册会计师执行内部控制审计业务,明确工作要求,提高执业质量,维护公众利益,我会制定了《企业内部控制审计指引实施意见》,现予印发,自2012年1月1日起施行。执行中有何问题,请及时反馈我会。
附件:企业内部控制审计指引实施意见
中国注册会计师协会 二○一一年十月十一日
中注协负责人就发布
《企业内部控制审计指引实施意见》答记者问
近日,中国注册会计师协会(简称中注协)发布了《企业内部控制审计指引实施意见》(简称《意见》),这是贯彻落实财政部、证监会、审计署、银监会和保监会联合发布的《企业内部控制基本规范》、《企业内部控制审计指引》,提升我国上市公司财务报告信息披露质量和内部控制水平的重要举措。中注协负责人就《意见》的有关问题回答了记者的提问。
记者:《意见》的出台无论是对注册会计师行业,还是上市公司都是一件大事,请谈谈《意见》出台的背景和意义。
答:内部控制是防范企业财务报告错误和舞弊行为的第一道防线,也是保证企业财务报告真实、完整的内在机制。美国安然、世通财务舞弊事件发生后,各国监管机构将监管重心从单纯注重财务报告本身的信息质量,转向财务报告本身信息质量与建立健全财务报告信息质量保证体系并重。
在此背景下,美国国会在2002年颁布的《萨班斯—奥克利法案》中,首次提出对“财务报告内部控制”的有效性进行审计的要求。与此相适应,美国公众公司会计监督委员会(PCAOB)随后发布审计准则,对会计师事务所执行上市公司财务报告内部控制审计工作进行了规范。同样日本《金融商品交易法》也 要求审计师对企业财务报告内部控制进行审计。
顺应国际资本市场监管变革趋势,2008年5月和2010年4月,财政部会同证监会、审计署、银监会和保监会分别发布了《企业内部控制基本规范》和《企业内部控制审计指引》等企业内部控制制度,确立了我国企业内部控制审计制度,要求执行内部控制规范体系的企业,必须聘请会计师事务所对其财务报告内部控制有效性进行审计。其中《企业内部控制审计指引》自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行。
企业内部控制审计制度的确立,改变了企业在上市或再融资时才委托注册会计师对内部控制进行审计的局面,使得企业内部控制审计与财务报告审计一样,成为经常性、周期性业务,上市公司每年要与年报一同公布企业内部控制审计报告。
实施企业内部控制审计的意义在于,注册会计师对企业内部控制有效性进行客观、独立的鉴证,不仅能够监督、推动企业将内部控制规范落到实处,促进企业加强内部控制规范建设,提升财务报告风险防范能力,同时也能够进一步提升企业信息披露的透明度,增强投资者对企业财务信息可靠性的信心,对保护投资者权益和社会公众利益具有重要作用。
发布实施《意见》的意义则在于,为注册会计师更有效地执行企业内部控制审计业务提供了全面的技术指引。如果说2010年发布的《企业内部控制审计指引》是“航行的灯塔”,此次发布的《意见》则是走向航行目标的具体“技术路线图”。
具体来说,《意见》在《企业内部控制审计指引》的基础上,对执行内部控制审计各个关键环节的要求进行补充和细化,从业务约定书签订,到总体审计策略和具体审计计划的制定,到审计工作实施,以及控制缺陷评价,形成审计意见到最终的审计报告出具都进行了较为详细的规定,对注册会计师执行企业内部控制审计业务具有较强的指导意义。特别是对在实务工作中的具体操作问题,如自上而下和风险导向审计方法的运用、控制测试的涵盖期间、控制测试的时间安排、控制测试的样本量、集团企业控制测试、审计工作底稿编制等,《意见》既给出注册会计师需要考虑的基本原则,又提供了具有可操作性的具体措施。
记者:企业内部控制审计的主要内容有哪些?内部控制审计报告对投资人等利益相关者的价值何在?
答:内部控制审计是会计师事务所接受委托,对特定基准日企业内部控制设计与运行的有效性进行审计,并发表审计意见,审计内容包括企业治理结构、机构设置、企业文化、人力资源政策等内部控制环境因素,以及企业识别风险的评估程序、应对风险的具体措施和信息传递有效性、保证内部控制规范建设和有效运行的机制等,全面评价企业设计和运行的内部控制是否能够合理保证财务报告及相关信息合法、真实、完整,以及用于保护资产安全的内部控制是否可靠。
企业内部控制审计意见包括无保留意见、否定意见和无法表示意见三种类型。如果注册会计师审计 后认为企业内部控制在所有重大方面是有效的,则出具无保留意见的内部控制审计报告;如果注册会计师认为企业内部控制存在重大缺陷,则出具否定意见内部控制审计报告;如果注册会计师审计范围受到限制,则应当解除业务约定或出具无法表示意见的内部控制审计报告。
企业内部控制审计与财务报告审计两种意见类型相互关联,但并非一一对应。例如,在执行内部审计过程中,注册会计师发现企业财务报告内部控制存在重大缺陷,应该出具否定意见的内部控制审计报告。如果该内部控制重大缺陷尚未引起企业财务报告的重大错报,注册会计师则出具标准意见的财务报告审计报告。又如,注册会计师对企业财务报告发表否定意见,意味着财务报告的编制不符合适用的会计准则和会计制度的规定,这种情况下,企业的内部控制也通常存在重大缺陷,应该出具否定意见的内部控制审计报告。
因此,企业内部控制审计能够比财务报告审计提供更进一步的信息,有利于投资者在财务报告审计意见类型基础上,深入分析企业内部控制情况、投资风险和投资价值。
问:企业内部控制审计与财务报告审计有何联系?
答:企业内部控制的了解和测试,及其有效性评估是制定财务报告审计策略、实施进一步审计程序的基础和前提。因此,内部控制审计和财务报告审计存在着多方面联系,主要体现在以下五个方面:
一是两者的最终目的一致,虽然二者各有侧重,但最终目的均为提高财务信息质量,提高财务报告的可靠性,为利益相关者提供高质量的信息。
二是两者都采取风险导向审计模式,注册会计师首先实施风险评估程序,识别和评估重大缺陷(或错报)存在的风险。在此基础上,有针对性地采取应对措施,实施相应的审计程序。
三是两者都要了解和测试内部控制,并且对内部控制有效性的定义和评价方法相同,都可能用到询问、检查、观察、穿行测试、重新执行等方法和程序。
四是两者均要识别重点账户、重要交易类别等重点审计领域。注册会计师在财务报告审计中,需要评价这些重点账户和重要交易类别是否存在重大错报;在内部控制审计中,需要评价这些账户和交易是否被内部控制所覆盖。
五是两者确定的重要性水平相同。注册会计师在财务报告审计中确定重要性水平,旨在检查财务报告中是否存在重大错报;在财务报告内部控制审计中确定重要性水平,旨在检查财务报告内部控制是否存在重大缺陷。由于审计对象、判断标准相同,因此二者在审计中确定的重要性水平亦相同。
记者:既然两者存在多方面的密切联系,企业内部控制审计为什么是独立于财务报告审计的单独业务?在审计工作中,是否能够对二者实施整合审计?
答:虽然二者存在着多方面的联系,但财务报告审计是为了提高财务报告的可信赖程度,重在审计“结果”;而内部控制审计是对保证企业财务报告质量的内在机制的审计,重在审计“过程”。审计对象、重点等的不同,使得二者存在实质性差异,内部控制审计独立于财务报告审计。二者差异主要体现在五个方 面:
首先,对内部控制了解和测试的目的不同。注册会计师在财务报告审计中评价内部控制的目的,是为了判断是否可以相应减少实质性程序的工作量,以及支持财务报告的审计意见类型;在内部控制审计中评价内部控制的目的,则是为了对内部控制本身的有效性发表审计意见。
第二,内部控制测试范围存在区别。注册会计师在财务报告审计中,根据成本效益原则可能采取不同的审计策略,对于某些审计领域,可以绕过内部控制测试程序进行审计。而在内部控制审计中,注册会计师则不能绕过内部控制测试程序进行审计,注册会计师应当针对每一审计领域获取控制有效性的证据,以便对内部控制整体的有效性发表意见。
第三,内部控制测试结果所要达到的可靠程度不完全相同。在财务报告审计中,对控制测试的可靠性要求相对较低,注册会计师测试的样本量也有一定的弹性。在内部控制审计中,注册会计师则需要获取内部控制有效性的高度保证,因此对控制测试的可靠性要求较严,样本量选择相对弹性较小。
第四,两者对控制缺陷的评价要求不同。在财务报告审计中,注册会计师仅需将审计过程中识别出的内部控制缺陷区分为值得关注的内部控制缺陷和一般缺陷。而在内部控制审计中,注册会计师需要对内部控制缺陷进行严格的评估,将值得关注的内部控制缺陷进一步区分为重大缺陷和重要缺陷。重大缺陷将影响到审计意见的类型。
第五,审计报告的内容不同。在财务报告审计中,注册会计师一般不对外报告内部控制的情况,除非内部控制影响到对财务报告发表的审计意见。在内部控制审计中,注册会计师应报告内部控制的有效性。
从以上五个方面可以看出,两者差异主要是具体目标、保证程度、评价要求、报告类型等属性上的实质性差异,这些决定了内部控制审计独立于财务报告审计。但在技术层面和实务工作中,两者审计模式、程序、方法等存在着相同之处,风险识别、评估、应对等大量工作内容相近,有很多的基础工作可以共享,在一项审计中发现的问题还可以为另一项审计提供线索和思路。因此,这两项审计工作完全可以整合进行,而由同一家事务所进行整合审计,不仅有利于提高审计效果和效率,降低审计成本,减少重复劳动,而且可以避免审计判断出现不一致的情形,降低企业聘请不同事务所实施审计的负担。
目前,美国《萨班斯——奥克斯利法案》和日本《金融商品交易法》均要求由出具财务报告审计报告的会计师事务所对企业财务报告内部控制进行审计,将企业内部控制审计定位在整合审计。美国的一项调查也显示,企业执行《萨班斯——奥克斯利法案》404条款第二年的成本比第一年下降46%,将两项审计工作更好地整合起来则是其中的一个主要原因。为此,我国《企业内部控制审计指引》也提倡将二者整合进行。
记者:如何保证《意见》的贯彻落实和有效执行?
答:一项制度要发挥好作用,关键在于落实。下一步,中注协将着力抓好以下工作: 第一,不断深化内部控制审计相关规章制度的宣传、动员和培训工作。为了帮助事务所更好提供内部控制审计服务,中注协将举办培训班,指导会计师事务所做好内部控制审计业务,帮助审计人员提高此类审计业务所需的知识和技能。
第二,出台“内部控制审计工作底稿编制指南”,引导事务所切实按照中国注册会计师审计准则、《企业内部控制审计指引》和《意见》执行审计工作,把内部控制审计业务作为一项单独的业务切实做实、做好、做到位。
第三,加强对事务所的专业指导。要求和指导事务所根据自身实际抓紧研究整合审计策略,制定业务规程,建立和完善内部控制审计业务质量控制体系;严格遵守《中国注册会计师职业道德守则》,并对执业过程中获知的信息保密,不得同时为客户提供内部控制咨询和评价服务;提示事务所充分认识到内部控制审计业务时间安排的特殊性,尽早与客户沟通,在期中即开展内部控制审计,以给客户整改内部控制缺陷留下充足时间。
第四,在会计师事务所执业质量检查工作中,中注协将有重点地开展对从事内部控制审计业务会计师事务所的监管,有针对性地加大检查力度,督促其严格遵循执业要求,自觉规范执业行为。发现存在执业质量问题和违背职业道德,将严格惩戒。
记者:您对企业执行内部控制规范有什么建议?
答:企业是内部控制规范建设和执行的主体,对内部控制的有效性承担主体责任,事务所审计则是鉴证监督责任。为保证企业内部控制规范的有效实施,发挥实效,提出以下几点建议:
首先,企业管理层应高度重视内部控制规范体系建设实施工作,要建立健全内部控制领导体制和组织机构,根据基本规范及其配套指引的要求,大力推动内部控制规范体系实施,对业务流程进行系统梳理,识别重要业务流程、流程中容易出错的环节、关键控制点,并抓紧开展内部控制自我评价工作,查漏补缺,为会计师事务所开展内部控制审计工作奠定良好的基础。
其次,企业须尽早落实聘请会计师事务所进行内部控制审计事宜。在财务报表审计中,如果发现重大错报,只要被审计单位最后时刻同意审计调整,注册会计师即可签发无保留意见审计报告。内部控制审计则不同,在内部控制审计中,如果发现被审计单位内部控制存在重大缺陷,注册会计师提请企业整改后,还要跟踪考察整改情况,才能得出控制是否有效的结论,进而决定是否签发无保留意见的审计报告。例如,对于每季运行一次的控制,如果存在重大缺陷,被审计单位需要整改后再运行6个月,注册会计师才能得出控制是否有效的审计结论。因此,企业最好在上半年决定事务所聘请事宜。
再次,推动实现内部控制自我评价工作与内部控制审计工作的良性互动。企业应充分认识内部控制审计业务特点,在开展内部控制自我评价工作时,应当及时与注册会计师沟通和互动,提高自我评价工作可利用程度,降低审计成本,提高工作效率。同时,企业应充分理解内部控制审计工作是一项单独业务,需要事务所增加新的投入,在工作中提供充分的支持。附件
企业内部控制审计指引实施意见
为了规范注册会计师执行财务报告内部控制(以下简称内部控制)审计业务,明确工作要求,提高执业质量,维护公众利益,根据 中国注册会计师审计准则、《企业内部控制基本规范》和《企业内部 控制审计指引》,在整合审计框架下,制定本意见。
一、关于签订业务约定书 只有当内部控制审计的前提条件得到满足,并且会计师事务所符 合独立性要求,具备专业胜任能力时,会计师事务所才能接受或保持 内部控制审计业务。
(一)内部控制审计的前提条件 在确定内部控制审计的前提条件是否得到满足时,注册会计师应 当:
(1)确定被审计单位采用的内部控制标准是否适当;
(2)就被审计单位认可并理解其责任与治理层和管理层达成一致意见。
被审计单位的责任包括:
(1)按照适用的内部控制标准,建立健全和有效实施内部控制,以使财务报表不存在由于舞弊或错误导致的重大错报;
(2)对内部控制的有效性进行评价并编制内部控制评价报告;
(3)向注册会计师提供必要的工作条件,包括允许注册会计师 接触与内部控制审计相关的所有信息(如记录、文件和其他事项)
允许注册会计师在获取审计证据时不受限制地接触其认为必要的内 部人员和其他相关人员等。
(二)签订单独的内部控制审计业务约定书 如果决定接受或保持内部控制审计业务,会计师事务所应当与被 审计单位签订单独的内部控制审计业务约定书。业务约定书应当至少 包括下列内容:
(1)内部控制审计的目标和范围;
(2)注册会计师的责任;
(3)被审计单位的责任;
(4)指出被审计单位采用的内部控制标准;
(5)提及注册会计师拟出具的内部控制审计报告的形式和内容,以及对在特定情况下出具的内部控制审计报告可能不同于预期形式 和内容的说明;
(6)审计收费。
二、关于计划审计工作 注册会计师应当贯彻风险导向审计的思路,恰当地计划内部控制 审计工作,制订总体审计策略和具体审计计划。
(一)总体审计策略 注册会计师应当在总体审计策略中体现下列内容:
(1)确定内部控制审计业务特征,以界定审计范围。例如,被 审计单位采用的内部控制标准、注册会计师预期内部控制审计工作涵 盖的范围、对组成部分注册会计师工作的参与程度、注册会计师对被 审计单位内部控制评价工作的了解以及拟利用被审计单位内部相关 人员工作的程度等。对于按照权益法核算的投资,内部控制审计范围应当包括针对权 益法下相关会计处理而实施的内部控制,但通常不包括针对权益法下 被投资方的内部控制。内部控制审计范围应当包括被审计单位在内部控制评价基准日(最近一个会计期间截止日,以下简称基准日)或在此之前收购的实体,以及在基准日作为终止经营进行会计处理的业务。注册会计师应 当确定是否有必要对与这些实体或业务相关的控制实施测试。如果法律法规的相关豁免规定允许被审计单位不将某些实体纳 入内部控制评价范围,注册会计师可以不将这些实体纳入内部控制审 计的范围。
(2)明确内部控制审计业务的报告目标,以计划审计的时间安 排和所需沟通的性质。例如,被审计单位对外公布或报送内部控制审 计报告的时间、注册会计师与管理层和治理层讨论内部控制审计工作 的性质、时间安排和范围,注册会计师与管理层和治理层讨论拟出具 内部控制审计报告的类型和时间安排以及沟通的其他事项等。
(3)根据职业判断,考虑用以指导项目组工作方向的重要因素。例如,财务报表整体的重要性和实际执行的重要性、初步识别的可能 存在重大错报的风险领域、内部控制最近发生变化的程度、与被审计 单位沟通过的内部控制缺陷、对内部控制有效性的初步判断、信息技 术和业务流程的变化等。
(4)考虑初步业务活动的结果,并考虑对被审计单位执行其他 业务时获得的经验是否与内部控制审计业务相关(如适用)。
(5)确定执行内部控制审计业务所需资源的性质、时间安排和范围。例如,项目组成员的选择以及对项目组成员审计工作的分派,项目时间预算等。
(二)具体审计计划 注册会计师应当在具体审计计划中体现下列内容:
(1)了解和识别内部控制的程序的性质、时间安排和范围;
(2)测试控制设计有效性的程序的性质、时间安排和范围;
(3)测试控制运行有效性的程序的性质、时间安排和范围。
(三)对应对舞弊风险的考虑 在计划和实施内部控制审计工作时,注册会计师应当考虑财务报 表审计中对舞弊风险的评估结果。在识别和测试企业层面控制以及选 择其他控制进行测试时,注册会计师应当评价被审计单位的内部控制 是否足以应对识别出的、由于舞弊导致的重大错报风险,并评价为应 对管理层和治理层凌驾于控制之上的风险而设计的控制。被审计单位为应对这些风险可能设计的控制包括:
(1)针对重大的非常规交易的控制,尤其是针对导致会计处理 延迟或异常的交易的控制;(2)针对期末财务报告流程中编制的分录和作出的调整的控制;
(3)针对关联方交易的控制;
(4)与管理层的重大估计相关的控制;
(5)能够减弱管理层和治理层伪造或不恰当操纵财务结果的动 机和压力的控制。如果在内部控制审计中识别出旨在防止或发现并纠正舞弊的控 制存在缺陷,注册会计师应当按照 《中国注册会计师审计准则第 1141 号——财务报表审计中与舞弊相关的责任》的规定,在财务报表审计中制定重大错报风险的应对方案时考虑这些缺陷。
三、关于实施审计工作
(一)采用自上而下的方法 注册会计师应当采用自上而下的方法选择拟测试的控制。自上而下的方法始于财务报表层次,以注册会计师对内部控制整 体风险的了解开始,然后,将关注重点放在企业层面的控制上,并将 工作逐渐下移至重要账户、列报及其相关认定。随后,验证其对被审 计单位业务流程中风险的了解,并选择能足以应对评估的每个相关认 定的重大错报风险的控制进行测试。自上而下的方法分为下列步骤:
(1)从财务报表层次初步了解内部控制整体风险;
(2)识别、了解和测试企业层面控制;
(3)识别重要账户、列报及其相关认定;
(4)了解潜在错报的来源并识别相应的控制;
(5)选择拟测试的控制。本部分第(二)至
(五)对自上而下的方法的各个步骤进行了规 定,第(六)至
(十三)对控制有效性测试进行了规定。
(二)识别、了解和测试企业层面控制 注册会计师应当识别、了解和测试对内部控制有效性有重要影响 的企业层面控制。注册会计师对企业层面控制的评价,可能增加或减 少本应对其他控制进行的测试。
1.企业层面控制对其他控制及其测试的影响 不同的企业层面控制在性质和精确度上存在差异,注册会计师应 当从下列方面考虑这些差异对其他控制及其测试的影响:
(1)某些企业层面控制,如与控制环境相关的控制,对及时防 止或发现并纠正相关认定的错报的可能性有重要影响。虽然这种影响 是间接的,但这些控制仍然可能影响注册会计师拟测试的其他控制,以及测试程序的性质、时间安排和范围。
(2)某些企业层面控制旨在识别其他控制可能出现的失效情况,能够监督其他控制的有效性,但还不足以精确到及时防止或发现并纠 正相关认定的错报。当这些控制运行有效时,注册会计师可以减少对 其他控制的测试。
(3)某些企业层面控制本身能够精确到足以及时防止或发现并 纠正相关认定的错报。如果一项企 业层面控制足以应对已评估的错报 风险,注册会计师就不必测试与该风险相关的其他控制。
2.企业层面控制的内容 企业层面控制包括下列内容:
(1)与控制环境(即内部环境)相关的控制;
(2)针对管理层和治理层凌驾于控制之上的风险而设计的控制;
(3)被审计单位的风险评估过程;
(4)对内部信息传递和期末财务报告流程的控制;
(5)对控制有效性的内部监督(即监督其他控制的控制)和内 部控制评价。此外,集中化的处理和控制(包括共享的服务环境)、监控经营 成果的控制以及针对重大经营控制及风险管理实务的政策也属于企 业层面控制。
3.对期末财务报告流程的评价 期末财务报告流程对内部控制审计和财务报表审计有重要影响,注册会计师应当对期末财务报告流程进行评价。期末财务报告流程包括:
(1)将交易总额登入总分类账的程序;
(2)与会计政策的选择和运用相关的程序;
(3)总分类账中会计分录的编制、批准等处理程序;
(4)对财务报表进行调整的程序;
(5)编制财务报表的程序。
注册会计师应当从下列方面评价期末财务报告流程:
(1)被审计单位财务报表的编制流程,包括输入、处理及输出;
(2)期末财务报告流程中运用信息技术的程度;
(3)管理层中参与期末财务报告流程的人员;
(4)纳入财务报表编制范围的组成部分;
(5)调整分录及合并分录的类型;
(6)管理层和治理层对期末财务报告流程进行监督的性质及范围。
(三)识别重要账户、列报及其相关认定 注册会计师应当基于财务报表层次识别重要账户、列报及其相关 认定。如果某账户或列报可能存在一个错报,该错报单独或连同其他错 报将导致财务报表发生重大错报,则该账户或列报为重要账户或列 报。判断某账户或列报是否重要,应当依据其固有风险,而不应考虑 相关控制的影响。如果某财务报表认定可能存在一个或多个错报,这些错报将导致 财务报表发生重大错报,则该认定为相关认定。判断某认定是否为相关认定,应当依据其固有风险,而不应考虑相关控制的影响。为识别重要账户、列报及其相关认定,注册会计师应当从下列方 面评价财务报表项目及附注的错报风险因素:
(1)账户的规模和构成;(2)易于发生错报的程度;
(3)账户或列报中反映的交易的业务量、复杂性及同质性;
(4)账户或列报的性质;
(5)与账户或列报相关的会计处理及报告的复杂程度;
(6)账户发生损失的风险;
(7)账户或列报中反映的活动引起重大或有负债的可能性;
(8)账户记录中是否涉及关联方交易;
(9)账户或列报的特征与前期相比发生的变化。在识别重要账户、列报及其相关认定时,注册会计师还应当确 定重大错报的可能来源。注册会计师可以通过考虑在特定的重要账户 或列报中错报可能发生的领域和原因,确定重大错报的可能来源。在内部控制审计中,注册会计师在识别重要账户、列报及其相关 认定时应当评价的风险因素,与财务报表审计中考虑的因素相同。因 此,在这两种审计中识别的重要账户、列报及其相关认定应当相同。如果某账户或列报的各组成部分存在的风险差异较大,被审计单 位可能需要采用不同的控制以应对这些风险,注册会计师应当分别予 以考虑。
(四)了解潜在错报的来源并识别相应的控制 注册会计师应当实现下列目标,以进一步了解潜在错报的来源,并为选择拟测试的控制奠定基础:
(1)了解与相关认定有关的交易的处理流程,包括这些交易如 何生成、批准、处理及记录;
(2)验证注册会计师识别出的业务流程中可能发生重大错报(包 括由于舞弊导致的错报)的环节;
(3)识别被审计单位用于应对这些错报或潜在错报的控制;
(4)识别被审计单位用于及时防止或发现并纠正未经授权的、导致重大错报的资产取得、使用或处臵的控制。注册会计师应当亲自执行能够实现上述目标的程序,或对提供直 接帮助的人员的工作进行督导。穿行测试通常是实现上述目标的最有效方式。穿行测试是指追踪 某笔交易从发生到最终被反映在财务报表中的整个处理过程。注册会 计师在执行穿行测试时,通常需要综合运用询问、观察、检查相关文 件及重新执行等程序。在执行穿行测试时,针对重要处理程序发生的环节,注册会计师 可以询问被审计单位员工对规定程序及控制的了解程度。实施询问程 序连同穿行测试中的其他程序,可以帮助注册会计师充分了解业务流 程,识别必要控制设计无效或出现缺失的重要环节。为有助于了解业 务流程处理的不同类型的重大交易,在实施询问程序时,注册会计师 不应局限于关注穿行测试所选定的单笔交易。
(五)选择拟测试的控制 注册会计师应当针对每一相关认定获取控制有效性的审计证据,以便对内部控制整体的有效性发表意见,但没有责任对单项控制的有 效性发表意见。注册会计师应当对被审计单位的控制是否足以应对评估的每个相关认定的错报风险形成结论。因此,注册会计师应当选择对形 成这 一评价结论具有重要影响的控制进行测试。对特定的相关认定而言,可能有多项控制用以应对评估的错报风 险;反之,一项控制也可能应对评估的多项相关认定的错报风险。注 册会计师没有必要测试与某项相关认定有关的所有控制。在确定是否测试某项控制时,注册会计师应当考虑该项控制单独 或连同其他控制,是否足以应对评估的某项相关认定的错报风险,而 不论该项控制的分类和名称如何。
(六)测试控制设计的有效性 注册会计师应当测试控制设计的有效性。如果某项控制由拥有有效执行控制所需的授权和专业胜任能力 的人员按规定的程序和要求执行,能够实现控制目标,从而有效地防 止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊,则表 明该项控制的设计是有效的。
(七)测试控制运行的有效性 注册会计师应当测试控制运行的有效性。如果某项控制正在按照设计运行、执行人员拥有有效执行控制所 需的授权和专业胜任能力,能够实现控制目标,则表明该项控制的运 行是有效的。如果被审计单位利用第三方的帮助完成一些财务报告工作,注册 会计师在评价负责财务报告及相关控制的人员的专业胜任能力时,可 以一并考虑第三方的专业胜任能力。注册会计师获取的有关控制运行有效性的审计证据包括:
(1)控制在所审计期间的相关时点是如何运行的;(2)控制是否得到一贯执行;
(3)控制由谁或以何种方式执行。
(八)与控制相关的风险和拟获取的审计证据之间的关系 在测试所选定控制的有效性时,注册会计师应当根据与控制相关 的风险,确定所需获取的审计证据。与控制相关的风险包括一项控制可能无效的风险,以及如果该控 制无效,可能导致重大缺陷的风险。与控制相关的风险越高,注册会 计师需要获取的审计证据就越多。下列因素影响与某项控制相关的风险:
(1)该项控制拟防止或发现并纠正的错报的性质和重要程度;
(2)相关账户、列报及其认定的固有风险;
(3)交易的数量和性质是否发生变化,进而可能对该项控制设 计或运行的有效性产生不利影响;
(4)相关账户或列报是否曾经出现错报;
(5)企业层面控制(特别是监督其他控制的控制)的有效性;
(6)该项控制的性质及其执行频率;
(7)该项控制对其他控制(如控制环境或信息技术一般控制)有效性的依赖程度;
(8)执行该项控制或监督该项控制执行的人员的专业胜任能力,以及其中的关键人员是否发生变化;
(9)该项控制是人工控制还是自动化控制;
(10)该项控制的复杂程度,以及在运行过程中依赖判断的程度。
(九)测试控制有效性的程序 注册会计师通过测试控制有效性获取的审计证据,取决于其实施程 序的性质、时间安排和范围的组合。此外,就单项控制而言,注册 会计师应当根据与控制相关的风险对测试程序的性质、时间安排和范 围进行适当的组合,以获取充分、适当的审计证据。注册会计师测试控制有效性的程序,按其提供审计证据的效力,由弱到强排序通常为:询问、观察、检查和重新执行。询问本身并不 能为得出控制是否有效的结论提供充分、适当的审计证据。测试控制有效性的程序,其性质在很大程度上取决于拟测试控制 的性质。某些控制可能存在反映控制有效性的文件记录,而另外一些 控制,如管理理念和经营风格,可能没有书面的运行证据。对缺乏正式的控制运行证据的被审计单位或业务单元,注册会计 师可以通过询问并结合运用其他程序,如观察活动、检查非正式的书 面记录和重新执行某些控制,获取有关控制是否有效的充分、适当的 审计证据。注册会计师在测试控制设计的有效性时,应当综合运用询问适当 人员、观察经营活动和检查相关文件等程序。注册会计师执行穿行测 试通常足以评价控制设计的有效性。注册会计师在测试控制运行的有效性时,应当综合运用询问适当 人员、观察经营活动、检查相关文件以及重新执行等程序。
(十)控制测试的涵盖期间 对控制有效性的测试涵盖的期间越长,提供的控制有效性的审计 证据越多。单就内部控制审计业务而言,注册会计师应当获取内部控制在基 准日之前一段足够长的期间内有效运行的审计证据。在整合审计中,控制测试所涵盖的期间应当尽量与财务报表审计中拟信赖内部控制的期间保持一致。注册会计师执行内部控制审计业务旨在对基准日内部控制有效 性出具报告。如果已获取有关控制在期中运行有效性的审计证据,注 册会计师应当确定还需要获取哪些补充审计证据,以证实剩余期间控 制的运行情况。在将期中测试结果更新至基准日时,注册会计师应当 考虑下列因素以确定需要获取的补充审计证据:
(1)基准日之前测试的特定控制,包括与控制相关的风险、控 制的性质和测试的结果;
(2)期中获取的有关审计证据的充分性和适当性;
(3)剩余期间的长短;
(4)期中测试之后,内部控制发生重大变化的可能性。针对所有重要账户和列报的每个相关认定,注册会计师应当获取 控制有效性的审计证据。《中国注册会计师审计准则第 1231 号——针 对评估的重大错报风险采取的应对措施》第十四条提及的“三年轮换 测试”不适用(本意见第四部分提及的与基准相比较的策略除外)。
(十一)控制测试的时间安排 对控制有效性测试的实施时间越接近基准日,提供的控制有效性 的审计证据越有力。为了获取充分、适当的审计证据,注册会计师应 当在下列两个因素之间作出平衡,以确定测试的时间:
(1)尽量在接近基准日实施测试;
(2)实施的测试需要涵盖足够长的期间。整改后的内部控制需要在基准日之前运行足够长的时间,注册会 计师才能得出整改后的内部控制是否有效的结论。因此,在接受或保 持内部控制审计业务时,注 册会计师应当尽早与被审计单位沟通这一情况,并合理安排控制测试的时间,留出提前量。例如,注册会计师 在基准日前3个月完成期中测试工作。此外,由于对企业层面控制的 评价结果将影响注册会计师测试其他控制的性质、时间安排和范围,注册会计师可以考虑在执行业务的早期阶段对企业层面控制进行测试。
(十二)控制测试的范围 注册会计师在测试控制的运行有效性时,应当在考虑与控制相关 的风险的基础上,确定测试的范围(样本规模)。注册会计师确定的测试范围,应当足以使其获取充分、适当的审 计证据,为基准日内部控制是否不存在重大缺陷提供合理保证。
1.测试人工控制的最小样本规模在测试人工控制时,如果采用检查或重新执行程序区间确定具体的样本规模;
(3)表 1 假设控制的运行偏差率预期为零。如果预期偏差率不 为零,注册会计师应当扩大样本规模;
(4)如果注册会计师不能确定控制运行频率,但是知道控制运 行总次数,仍可根据“控制运行总次数”一列确定测试的最小样本规 模。
2.测试自动化应用控制的最小样本规模 信息技术处理具有内在一贯性。在信息技术一般控制有效的前提 下,除非系统发生变动,注册会计师只要对自动化应用控制的运行测 试一次,即可得出所测试自动化应用控制是否运行有效的结论。
3.发现偏差时的处理 如果发现控制偏差,注册会计师应当确定其对下列事项的影响:
(1)与所测试控制相关的风险的评估;
(2)需要获取的审计证据;
(3)控制运行有效性的结论。评价控制偏差的影响需要注册会计师运用职业判断,并受到控制 的性质和所发现偏差数量的影响。如果发现的控制偏差是系统性偏差 或人为有意造成的偏差,注册会计师应当考虑舞弊的可能迹象以及对 审计方案的影响。在评价控制测试中发现的某项控制偏差是否为控制缺陷时,注册会计师可以考虑的因素包括:
(1)该偏差是如何被发现的。例如,如果某控制偏差是被另外 一项控制所发现的,则可能意味着被审计单位存在有效的发现性控 制。
(2)该偏差是与某一特定的地点、流程或应用系统相关,还是 对被审计单位有广泛影响。
(3)就被审计单位的内部政策而言,该控制出现偏差的严重程 度。例如,某项控制在执行上晚于被审计单位政策要求的时间,但仍 在编制财务报表之前得以执行,还是该项控制根本没有得以执行。
(4)与控制运行频率相比,偏差发生的频率大小。由于有效的内部控制不能为实现控制目标提供绝对保证,单项控 制并非一定要毫无偏差地运行,才被认为有效。在按照表 1 所列示的 样本规模进行测试的情况下,如果发现控制偏差,注册会计师应当考 虑偏差的原因及性质,并考虑采用扩大样本 量等适当的应对措施以判 断该偏差是否对总体不具有代表性。例如,对每日发生多次的控制,如果初始样本量为 25 个,当测试发现一项控制偏差,且该偏差不是 系统性偏差时,注册会计师可以扩大样本规模进行测试,所增加的样 本量至少为 15 个。如果测试后再次发现偏差,则注册会计师可以得 出该控制无效的结论。如果扩大样本量没有再次发现偏差,则注册会 计师可以得出控制有效的结论。
(十三)控制变更时的特殊考虑 在基准日之前,被审计单位可能为提高控制效率、效果或弥补控 制缺陷而改变控制。对内部控制审计而言,如果新控制实现了相关控制目标,且运行 了足够长的时间,使注册会计师能够通过对该控制进行测试评价其设 计和运行的有效性,则无需测试被取代的控制。对财务报表审计而言,如果被取代控制的运行有效性对控制风险 的评估有重大影响,注册会计师应当测试被取代控制的设计和运行的有效性。
(十四)利用他人的工作 注册会计师应当评估是否利用他人(包括被审计单位的内部审计 人员、内部控制评价人员和其他人员以及在管理层或治理层指导下的 第三方)的工作以及利用的程度,以减少可能本应由注册会计师执行 的工作。如果他人的工作能够提供有关内部控制有效性的审计证据,注册会计师可以利用其工作或者提供的直接帮助。注册会计师应当参照《中国注册会计师审计准则第 1411 号—— 利用内部审计人员的工作》的规定,评价他人的专业胜任能力和客观 性,以确定可利用的程度。在评价他人的专业胜任能力时,注册会计师应当考虑其专业资 格、专业经验与技能等相关因素。在评价他人的客观性时,注册会计 师应当考虑是否存在某些因素,将削弱或者增强其客观性。无论他人的专业胜任能力如何,注册会计师都不应利用客观程度 低的人员的工作。同样,无论他人的客观程度如何,注册会计师都不 应利用专业胜任能力低的人员的工作。被审计单位内部负责监督、稽核或合规工作的人员,如内部审计 人员,通常拥有较高的专业胜任能力和客观性。他们的工作可能对注 册会计师有用。注册会计师利用他人工作的程度还受到与所测试控制相关的风 险的影响。与某项控制相关的风险越高,注册会计师应当越多地亲自 对该项控制进行测试。在识别、了解和测试企业层面控制时,注册会计师不得利用他人 的工作。
(十五)对被审计单位使用服务机构的考虑 如果服务机构提供的服务和对服务的控制,构成被审计单位与财 务报告相关的信息系统(包括相关业务流程)的一部分,注册会计师 应当按照《中国注册会计师审计准则第 1241 号——对被审计单位使 用服务机构的考虑》的规定办理。注册会计师在对被审计单位内部控制的有效性发表意见时,不应 在内部控制审计报告中提及服务机构注册会计师的报告。
四、关于连续审计时的特殊考虑 在连续审计中,注册会计师在确定测试的性质、时间安排和范围 时,应当考虑以前执行内部控制审计所了解的情况。
(一)影响连续审计中与某项控制相关风险的因素 除本意见第三部分第(八)项“与控制相关的风险和拟获取的审 计证据之间的关系”所列因素外,下列因素也会影响连续审计中与某 项控制相关的风险:(1)以前审计中所实施程序的性质、时间安排和范围;
(2)以前对控制的测试结果以及以前发现的缺陷是否 得以整改;
(3)上次审计之后,控制或其运行所处的流程是否发生变化。在考虑本意见所列的风险因素,以及连续审计中可获取的进一步 信息后,如果认为与控制相关的风险水平比以前有所下降,注册 会计师在本审计中可以减少测试。
(二)对自动化应用控制实施与基准相比较的策略 在连续审计中,由于完全自动化的应用控制通常不会因人为失误 而失效,因此,注册会计师可以考虑对自动化应用控制实施与基准相比较的策略。与基准相比较的策略,是指如果认为程序变更、访问权限及计算 机操作方面的一般控制有效,且可持续对其进行测试,并能证实自动 化应用控制自最近一次测试之后未发生变化,则可将最近一次测试设 为基准,在以后测试时,注册会计师不必重复执行测试,只需将 该年的情况与基准相比较,就可以认为自动化应用控制是持续有效 的。注册会计师为证实控制未发生变化而需获取审计证据的性质和 范围,可能随情况的变化而变化。例如,被审计单位程序变更控制的 强弱将影响需获取审计证据的性质和范围。自动化应用控制能否一贯有效地运行可能取决于所使用的相关 文件、表格、数据和参数的正确性。例如,计算利息收入的自动化应 用控制,其运行的有效性可能取决于使用的利率表的正确性。注册会计师应当在评价下列风险因素的基础上,确定是否使用与 基准相比较的策略:
(1)应用控制与相关应用程序直接对应的程度;
(2)应用系统的稳定性,即各期间的变化大小;
(3)有关投入使用的程序编译日期的信息的可获得性和可靠性(该信息可作为此程序中的控制未发生变化的审计证据)。当上述因素表明风险较低时,对所评价的控制可能比较适合使用 与基准相比较的策略。反之,不宜使用与基准相比较的策略。但是基 础数据的准确性与完整性,以及依赖系统的人工控制部分不适用与基 准相比较的策略。在一段时期之后,注册会计师应当重新设臵自动化应用控制运行的基准。在确定何时重设基准时,注册会计师应当考虑下列因素:
(1)信息技术控制环境的有效性,包括针对应用及操作系统和 数据库系统的取得与维护、访问权限以及计算机操作而实施控制的有 效性;
(2)如果包含控制的具体程序发生变化,注册会计师对该变化 性质的了解;
(3)其他相关测试的性质和时间;
(4)相关应用控制发生错误导致的后果;
(5)控制是否易于受到其他可能变化的经营因素的影响。
(三)增加测试的不可预见性 为使对控制有效性的测试具有不可预见性并能够应对环境的变 化,注册会计师应当每年改变测试的性质、时间安排和范围。注册会计师可以每年在期中不同的时间测试控制,并增加或减少 所执行测试的数量和种类,或者改变所使用测试程序的组合。
五、关于集团审计的 特殊考虑
(一)识别重要账户、列报及其相关认定 在执行集团内部控制审计业务时,注册会计师应当基于集团财务 报表识别重要账户、列报及其相关认定。
(二)确定对组成部分执行的工作
1.一般原则 在执行集团内部控制审计业务时,注册会计师应当采用自上而下 的方法,合理运用职业判断,确定对组成部分执行的工作。注册会计师应当评估与组成部分相关的导致集团财务报表发生 重大错报的风险,并根据其风险程度给予相应的审计关注。在评估与某组成部分相关的导致集团财务报表发生重大错报的 风险时,注册会计师应当考虑的因素包括:
(1)以前执行的与该组成部分内部控制相关的审计工作的结果;
(2)影响该组成部分重要账户的固有风险;
(3)从财务数据角度看,该组成部分的相对重要程度;
(4)风险在各组成部分间的分布(即风险分布于数量众多的小 规模组成部分,还是分布于数量较少但规模较大的组成部分);
(5)组成部分之间业务经营和内部控制的类似程度;
(6)业务流程和财务报告系统的集中化程度;
(7)该组成部分执行交易及相关资产的性质和金额;
(8)该组成部分存在重大未确认义务的可能性;
(9)测试集团企业层面控制的结果,包括控制环境、集团对组 成部分实施的监控活动及在组成部分层面运行的企业层面控制的有 效性。
2.对重要组成部分执行的工作 注册会计师应当按照《中国注册会计师审计准则第 1401 号—— 对集团财务报表审计的特殊考虑》的规定,确定重要组成部分。重要 组成部分包括:
(1)对集团具有财务重大性的组成部分(以下简称具 有财务重大性的组成部分)
(2)由于其特定性质和情况,可能存在 ; 导致集团财务报表发生重大错报的特别风险的组成部分(以下简称具 有特别风险的组成部分)。注册会计师应当对重要组成部分的重要账 户、列报及其相关认定的内部控制实施测试。(1)对具有财务重大性的组成部分执行的工作 对于具有财务重大性的组成部分,除非通过实施下列测试工作能够获取有关控制有效性的充分、适当的审计证据,注册会计师应当测 试该组成部分内与重要账户、列报及其相关认定相关的业务流程、应 用系统或交易层面的内部控制的有效性: ①对整个集团企业层面控制和该组成部分企业层面控制(包括界 于组成部分和整个集团之间层次的其他企业层面控制,下同)的测试; ②对除该组成部分以外的其他组成部分相同账户、列报及其相关 认定的内部控制已实施的测试。
(2)对具有特别风险的组成部分执行的工作 对具有特别风险的组成部分,注册会计师应当测试针 对该项特别 风险的控制。3.对其他组成部分执行的工作 对于重要组成部分以外的其他组成部分,如果存在重要账户、列 报及其相关认定,注册会计师应当首先评价对整个集团企业层面控制 和该组成部分企业层面控制的测试以及针对重要组成部分相同的账 户、列报及其相关认定的内部控制已实施的测试能否提供充分、适当 的审计证据。如果不能提供充分、适当的审计证据,注册会计师应当 选择适当数量的其他组成部分,测试与该重要账户、列报及其相关认 定相关的业务流程、应用系统或交易层面的控制,直至能够获取充分、适当的审计证据为止。
六、关于控制缺陷评价
(一)控制缺陷的分类 内部控制存在的缺陷包括设计缺陷和运行缺陷。设计缺陷是指缺少为实现控制目标所必需的控制,或现有控制设 计不适当、即使正常运行也难以实现预期的控制目标。运行缺陷是指现存设计适当的控制没有按设计意图运行,或执行 人员没有获得必要授权或缺乏胜任能力,无法有效地实施内部控制。内部控制存在的缺陷,按其严重程度分为重大缺陷、重要缺陷和 一般缺陷。重大缺陷是内部控制中存在的、可能导致不能及时防止或发现并 纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。重要缺陷是内部控制中存在的、其严重程度不如重大缺陷但足以 引起负责监督被审计单位财务报告的人员(如审计委员会或类似机 构)关注的一项控制缺陷或多项控制缺陷的组合。一般缺陷是内部控制中存在的、除重大缺陷和重要缺陷之外的控 制缺陷。
(二)评价控制缺陷的严重程度 注册会计师应当评价其识别的各项控制缺陷的严重程度,以确定 这些缺陷单独或组合起来,是否构成内部控制的重大缺陷。但是,在 计划和实施审计工作时,不要求注册会计师寻找单独或组合起来不构 成重大缺陷的控制缺陷。控制缺陷的严重程度取决于:
(1)控制不能防止或发现并纠正账户或列报发生错报的可能性 的大小;
(2)因一项或多项控制缺陷导致的潜在错报的金额大小。控制缺陷的严重程度与错报是否发生无关,而取决于控制不能防 止或发现并纠正错报的可能性的大小。在评价一项控制缺陷或多项控制缺陷的组合是否可能导致账户 或列报发生错报时,注册会计师应当考虑的风险因素包括:
(1)所涉及的账户、列报及其相关认定的性质;
(2)相关资产或负债易于发生损失或舞弊的可能性;
(3)确定相关金额时所需判断的主观程度、复杂程度和范围;
(4)该项控制与其他控制的相互作用或关系;
(5)控制缺陷之间的相互作用;
(6)控制缺陷在未来可能产生的影响。评价控制缺陷是否可能导致错报时,注册会计师无需将错报发生 的概率量化为某特定的百分比或区间。如果多项控制缺陷影响财务报表的同一账户或列报,错报发生的 概率会增加。在存在多项控制缺陷时,即使这些缺陷从单项看不重要,但组合起来也可能构成重大缺陷。因此,注册会计师应当确定,对同 一重要账户、列报及其相关认定或内部控制要素产 生影响的各项控制 缺陷,组合起来是否构成重大缺陷。在评价因一项或多项控制缺陷导致的潜在错报的金额大小时,注 册会计师应当考虑的因素包括:
(1)受控制缺陷影响的财务报表金额或交易总额;
(2)在本期或预计的未来期间受控制缺陷影响的账户余额或各 类交易涉及的交易量。在评价潜在错报的金额大小时,账户余额或交易总额的最大多报 金额通常是已记录的金额,但其最大少报金额可能超过已记录的金 额。通常,小金额错报比大金额错报发生的概率更高。在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷 时,注册会计师应当评价补偿性控制的影响。在评价补偿性控制是否 能够弥补控制缺陷时,注册会计师应当考虑补偿性控制是否有足够的精确度以防止或发现并纠正可能发生的重大错报。
(三)表明可能存在重大缺陷的迹象 如果注册会计师确定发现的一项控制缺陷或多项控制缺陷的组 合将导致审慎的管理人员在执行工作时,认为自身无法合理保证按照 适用的财务报告编制基础记录交易,应当将这一项控制缺陷或多项控 制缺陷的组合视为存在重大缺陷的迹象。下列迹象可能表明内部控制 存在重大缺陷:
(1)注册会计师发现董事、监事和高级管理人员的任何舞弊;
(2)被审计单位重述以前公布的财务报表,以更正由于舞弊或 错误导致的重大错报;
(3)注册会计师发现当期财务报表存在重大错报,而被审计单 位内部控制在运行过程中未能发现该错报;
(4)审计委员会和内部审计机构对内部控制的监督无效。
(四)被审计单位对存在缺陷的控制进行整改 如果被审计单位在基准日前对存在缺陷的控制进行了整改,整改 后的控制需要运行足够长的时间,才能使注册会计师得出其是否有效 的审计结论。注册会计师应当根据控制的性质和与控制相关的风险,合理运用职业判断,确定整改后控制运行的最短期间(或整改后控制 的最少运行次数)以及最少测试数量。整改后控制运行的最短期间(或 最少运行次数)和最少测试数量参见表 2。
七、关于完成审计工作
(一)形成审计意见 注册会计师应当评价从各种来源获取的审计证据,包括对控制的 测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷,形成对内部控制有效性的意见。在评价审计证据时,注册会计师应当 查阅本涉及内部控制的内部审计报告或类似报告,并评价这些报 告中指出的控制缺陷。在对内部控制的有效性形成意见后,注册会计师应当评价企业内 部控制评价报告对相关法律法规规定的要素的列报是否完整和恰当。
(二)获取书面声明 注册会计师应当获取经被审计单位签署的书面声明。书面声明的 内容应当包括:(1)被审计单位董事会认可其对建立健全和有效实施内部控制 负责;(2)被审计单位已对内部 控制进行了评价,并编制了内部控制 评价报告;(3)被审计单位没有利用注册会计师在内部控制审计和财务报 表审计中执行的程序及其结果作为评价的基础;(4)被审计单位根据内部控制标准评价内部控制有效性得出的 结论;(5)被审计单位已向注册会计师披露识别出的所有内部控制缺 陷,并单独披露其中的重大缺陷和重要缺陷;(6)被审计单位已向注册会计师披露导致财务报表发生重大错 报的所有舞弊,以及其他不会导致财务报表发生重大错报,但涉及管 理层、治理层和其他在内部控制中具有重要作用的员工的所有舞弊;(7)注册会计师在以前审计中识别出的且已与被审计单位 沟通的重大缺陷和重要缺陷是否已经得到解决,以及哪些缺陷尚未得 到解决;(8)在基准日后,内部控制是否发生变化,或者是否存在对内 部控制产生重要影响的其他因素,包括被审计单位针对重大缺陷和重 要缺陷采取的所有纠正措施。如果被审计单位拒绝提供或以其他不当理由回避书面声明,注册 会计师应当将其视为审计范围受到限制,解除业务约定或出具无法表 示意见的内部控制审计报告。此外,注册会计师应当评价拒绝提供书 面声明这一情况对其他声明(包括在财务报表审计中获取的声明)的 可靠性的影响。注册会计师应当按照《中国注册会计师审计准则第 1341 号—— 书面声明》的规定,确定声明书的签署者、涵盖的期间以及何时获取 更新的声明书等。
(三)沟通相关事项 对于重大缺陷和重要缺陷,注册会计师应当以书面形式与管理层 和治理层沟通。书面沟通应当在注册会计师出具内部控制审计报告之前进行。注册会计师应当以书面形式与管理层沟通其在审计过程中识别 的所有其他内部控制缺陷,并在沟通完成后告知治理层。在进行沟通 时,注册会计师无需重复自身、内部审计人员或被审计单位其他人员 以前书面沟通过的控制缺陷。虽然并不要求注册会计师执行足以识别所有控制缺陷的程序,但 是,注册会计师应当沟通其注意到的内部控制的所有缺陷。内部控制 审计不能保证注册会计师能够发现严重程度低于重大缺陷的所有控 制缺陷。注册会计师不应在内部控制审计报告中声明,在审计过程中 没有发现严重程度低于重大缺陷的控制缺陷。如果发现被审计单位存在或可能存在舞弊或违反法规行为,注册 会计师应当按照《中国注册会计师审计准则第 1141 号——财务报表 审计中与舞弊相关的责任》 《中国注册会计师审计准则第 1142 号、——财务报表审计中对法律法规的考虑》的规定,确定并履行自身的 责任。
八、关于内部控制审计报告 注册会计师在完成内部控制审计和财务报表审计后,应当分别对 内部控制和财务报表出具审计报告,并签署相同的日期。
(一)出具无保留意见内部控制审计报告的条件 如果符合下列所有条件,注册会计师应当对内部控制出具无保留 意见的内部控制审计报告:
(1)在基准日,被审计单位按照适用的内部控制标准的要求,在所有重大方面保持了有效的内部控制;
(2)注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作,在审计过程中未受到限制。
(二)内部控制存在重大缺陷时的处理 如果认为内部控制存在一项或多项重大缺陷,除非审计范 围受到 限制,注册会计师应当对内部控制发表否定意见。否定意见的内部控 制审计报告还应当包括重大缺陷的定义、重大缺陷的性质及其对内部 控制的影响程度。如果重大缺陷尚未包含在企业内部控制评价报告中,注册会计师 应当在内部控制审计报告中说明重大缺陷已经识别、但没有包含在企 业内部控制评价报告中。如果企业内部控制评价报告中包含了重大缺 陷,但注册会计师认为这些重大缺陷未在所有重大方面得到公允反 映,注册会计师应当在内部控制审计报告中说明这一结论,并公允表 达有关重大缺陷的必要信息。此外,注册会计师还应当就这些情况以 书面形式与治理层沟通。如果对内部控制的有效性发表否定意见,注册会计师应当确定该 意见对财务报表审计意见的影响,并在内部控制审计报告中予以说 明。
(三)审计范围受到限制时的处理 注册会计师只有实施了必要的审计程序,才能对内部控制的有效 性发表意见。如果审计范围受到限制,注册会计师应当解除业务约定 或出具无法表示意见的内部控制审计报告。如果法律法规的相关豁免规定允许被审计单位不将某些实体纳 入内部控制的评价范围,注册会计师可以不将这些实体纳入内部控制审计的范围。这种情况不构成审计范围受到限制,但注册会计师应当 在内部控制审计报告中增加强调事项段或者在注册会计师的责任段 中,就这些实体未被纳入评价范围和内部控制审计范围这一情况,作 出与被审计单位类似的恰当陈述。注册会计师应当评价相关豁免是否 符合法律法规的规定,以及被审计单位针对该项豁免作出的陈述是否 恰当。如果认为被审计单位有关该项豁免的陈述不恰当,注册会计师 应当提请其作出适当修改。如果被审计单位未作出适当修改,注册会 计师应当在内部控制审计报告的强调事项段中说明被审计单位的陈 述需要修改的理由。在出具无法表示意见的内部控制审计报告时,注册会计师应当在 内部控制审计报告中指明审计范围受到限制,无法对内部控制的有效 性发表意见,并单设段落说明无法表示意见的实质性理由。注册会计 师不应在内部控制审计报告中指明所执行的程序,也不应描述内部控 制审计的特征,以避免报告使用者对无法表示意见的误解。如果在已 执行的有限程序中发现内部控制存在重大缺陷,注册会计师应当在内 部控制审计报告中对重大缺陷做出详细说明。只要认为审计范围受到限制将导致无法获取发表审计意见所需 的充分、适当的审计证据,注册会计师不必执行任何其他工作即可对 内部控制出具无法表示意见的内部控制审计报告。在这种情况下,内 部控制审计报告的日期应为注册会计师已就该报告中陈述的内容获 取充分、适当的审计证据的日期。在因审计范围受到限制而无法表示意见时,注册会计师应当就未能完成整个内部控制审计工作的情况,以书面形式与管理层和治理层 沟通。
(四)强调事项 如果认为内部控制虽然不存在重大缺陷,但仍有一项或多项重大 事项需要提请内部控制审计报告使用者注意,注册会计师应当在内部 控制审计报告中增加强调事项段予以说明。注册会计师应当在强调事 项段中指明,该段内容仅用于提醒内部控制审计报告使用者关注,并 不影响对内部控制发表的审计意见。如果确定企业内部控制评价报告对要素的列报不完整或不恰当,注册会计师应当在内部控制审计报告中增加强调事项段,说明这一情 况并解释得出该结论的理由。
(五)期后事项 在基准日后至审计报告日前(以下简称期后期间),内部控制可 能发生变化,或出现其他可能对内部控制产生重要影响的因素。注册 会计师应当询问是否存在这类变化或因素,并获取被审计单位关于这 类变化或因素的书面声明。注册会计师应当针对期后期间,询问并检查下列信息:(1)在期后期间出具的内部审计报告或类似报告;(2)其他注册会计师出具的涉及被审计单位内部控制缺陷的报 告;(3)监管机构发布的涉及被审计单位内部控制的报告;(4)注册会计师在执行其他业务中获取的、有关被审计单位内部控制有效性的信息。此外,注册会计师还应当考虑获取期后期间的其他文件,并按照 《中国注册会计师审计准则第 1332 号——期后事项》的规定,对其 进行检查。如果知悉对基准日内部控制有效性有重大负面影响的期后事项,注册会计师应当对内部控制发表否定意见。如果注册会计师不能确定 期后事项对内部控制有效性的影响程度,应当出具无法表示意见的内 部控制审计报告。如果管理层在评价报告中披露了基准日之后采取的整改措施,注 册会计师应当在内部控制审计报告中指明不对这些信息发表意见。注册会计师可能知悉在基准日并不存在、但在期后期间发生的事 项。如果这类期后事项对内部控制有重大影响,注册会计师应当在内 部控制审计报告中增加强调事项段,描述该事项及其影响,或提醒内 部控制审计报告使用者关注企业内部控制评价报告中披露的该事项 及其影响。在出具内部控制审计报告后,如果知悉在审计报告日已存在的、可能对审计意见产生影响的情况,注册会计师应当按照《中国注册会 计师审计准则第 1332 号——期后事项》第四章第二节和第三节的规 定办理。如果被审计单位更正以前公布的财务报表,注册会计师应当 按照《中国注册会计师审计准则第 1332 号——期后事项》第四章第 三节的规定重新考虑以前发表的内部控制审计意见的适当性。
(六)其他信息 如果企业内部控制评价报告中除包括法定要求的信息外,还包括其他信息,且该报告的使用者有理由认为该报告包括这些其他信息,注册会计师应当在内部控制审计报告中指明不对这些其他信息发表 意见。如果认为其他信息含有对事实的重大错报,注册会计师应当就此 与管理层进行讨论。如果讨论后仍认为存在对事实的重大错报,注册 会计师应当以书面形式将其看法告知管理层和治理层。如果其他信息未包含在企业内部控制评价报告中,而是包含在年 度财务报告中,注册会计师无需在内部控制审计报告中指明不对其发 表意见。但是,如果注册会计师认为其他信息中存在对事实的重大错 报,应当按照上述要求办理。
九、关于整合审计的进一步考虑
(一)总体要求 在整合审计中,注册会计师应当计划和实施对控制设计和运行有 效性的测试,以同时实现下列目标:(1)获取充分、适当的审计证据,支持其在内部控制审计中对 内部控制的有效性发表的意见;(2)获取充分、适当的审计证据,支持其在财务报表审计中对 内部控制的拟信赖程度(即评估的控制风险)。
(二)审计证据和结论的相互参照 在内部控制审计中,注册会计师在对内部控制有效性形成结论 时,应当同时考虑财务报表审计中实施的、所有针对控制设计和运行 有效性测试的结果。在财务报表审计中,注册会计师在评估控制风险时,应当同时考虑内部控制审计中实施的、所有针对控制设计和运行有效性测试的结 果。如果在内部控制审计中识别出某项控制缺陷,注册会计师应当评 价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时间安排 和范围的影响。在财务报表审计中,无论控制风险或重大错报风险的评估水平如 何,注册会计师都应当针对所有重大类别的交易、账户余额和披露实 施实质性程序。为对内部控制的有效性发表意见而实施的测试程序并 不减轻该项要求。在内部控制审计中,注册会计师应当评价财务报表审计中实施的 实质性程序的结果对控制有效性结论的影响。评价内容应当包括:(1)注册会计师作出的、与选择和实施实质性程序相关(尤其 是与舞弊相关)的风险评估;(2)发现的违反法规行为和关联方交易方面的问题;(3)表明管理层在选择会计政策和作出会计估计时存在偏见的 情况;(4)实施实质性程序发现的错报。注册会计师应当通过直接测试控制获取控制是否有效的审计证 据,而不能根据实质性程序没有发现错报,推断该项控制的有效性。
十、关于项目质量控制复核 会计师事务所应当制定政策和程序,要求对上市实体和符合特定 标准的其他实体的内部控制审计业务实施项目质量控制复核。
(一)项目质量控制复核的时间 会计师事务所的政策和程序应当要求在出具内部控制审计报告前完成项目质量控制复核。
(二)项目质量控制复核人员 会计师事务所应当制定政策和程序,解决项目质量控制复核人员 的委派问题,明确项目质量控制复核人员的资格要求,包括:(1)履行职责需要的技术资格,包括精通内部控制审计业务并 具备必要的经验和权限;(2)在不损害其客观性的前提下,项目质量控制复核人员能够 提供业务咨询的程度。同时,会计师事务所应当制定政策和程序,以使项目质量控制复 核人员保持客观性。这些政策和程序要求项目质量控制复核人员符合 下列规定:(1)不由项目合伙人挑选;(2)在复核期间不以其他方式参与该业务;(3)不代替项目组进行决策;(4)不存在可能损害复核人员客观性的其他情形。
(三)项目质量控制复核的内容 项目质量控制复核人员应当客观地评价项目组作出的重大判断 以及在编制内部控制审计报告时得出的结论。评价工作应当涉及下列 内容:(1)与项目合伙人讨论重大事项;(2)复核拟出具的内部控制审计报告;(3)复核选取的与项目组作出的重大判断和得出的结论相关的 审计工作底稿;(4)评价在编制内部控制审计报告时得出的结论,并考虑拟出具内部控制审计报告的恰当性。对于上市实体内部控制审计,项目质量控制复核人员还应当考虑 下列事项:(1)项目组就具体业务对会计师事务所独立性作出的评价;(2)项目组是否已就涉及意见分歧的事项,或者其他疑难问题 或争议事项进行适当咨询,以及咨询得出的结论;(3)选取的用于复核的审计工作底稿,是否反映项目组针对重 大判断执行的工作,以及是否支持得出的结论。
十一、关于记录审计工作 注册会计师应当在审计工作底稿中清楚地显示内部控制审计的 过程和结 果。注册会计师应当就下列内容形成审计工作记录:(1)制定的内部控制总体审计策略和具体审计计划及重大修改 情况;(2)对企业层面控制的识别、了解和测试;(3)确定重要账户、列报及其相关认定的过程,包括对拟测试 组成部分的确定;(4)选择拟测试控制的主要过程及结果;(5)测试控制设计和运行有效性的程序及结果;(6)利用他人工作的程度,以及对他人胜任能力和客观性的评 估;(7)对识别的控制缺陷的评价;(8)可能导致出具非标准内部控制审计报告的其他审计发现;(9)形成的审计结论和意见;(10)其他重要事项。
点击咨询 