内部控制的设计,评价与审计(精)

6）内部控制审计报告标准格式
• • • • • • • • • • • （一）标题；（二）收件人；（三）引言段； （四）企业对内部控制的责任段； （五）注册会计师的责任段； （六）内部控制审计的范围段； （七）内部控制固有局限性的说明段； （八）财务报告内部控制审计意见段； （九）非财务报告内部控制缺陷描述段； （十）财务报表审计意见类型的提及段； （十一）注册会计师的签名和盖章； （十二）会计师事务所的名称、地址及盖章； （十三）报告日期。
问题1：同一单位的内部控制审计 和财务报表审计由谁来做？ A,同一会计师事务所（国外做法） B,不同的会计师事务所 问题2：同一单位的內控的咨询和审计 由谁来做？ (内控基本规范的规定？业务相容?独立道德?)
3）对时点还是时期内控发表意见
A、只对特定时点相关内控有效性发表意见。 （为什么不对时期内控的有效性发表意见？） B、为什么还要同时收集特定时期相关内控的 有效性 讨论：企业该怎么做？
谢谢大家！
敬请批评指正！
四、中国内部控制标准体系 1、企业内部控制基本规范 2、企业内部控制应用指引 3、企业内部控制评价指引 4、企业内部控制审计指引
1、企业内部控制基本规范—1个
1)五个目标： 合规性、可靠性、安全性、经济性，战略 性（美国COSO是：3个目标，无安全性和战略性） 2)五个原则： 全面性、重要性、制衡性、适应性、成本 效益 3)五个要素： 内部环境、风险评估、信息与沟通、控制 活动、内部监督
（四）内部控制的固有局限性
内部控制存在下列固有局限性，无论如 何设计和执行，只能对财务报告的可靠性提 供合理的保证： （一）在决策时人为判断可能出现错误 和由于人为失误而导致内部控制失效； （二）可能由于两个或更多人员进行串 通或管理层凌驾于内部控制之上而被规避。
三、内部控制的发展阶段
（一）内部牵制阶段 上世纪40年代以前是内部牵制阶段。是为了 保证账目正确。基于以下假设： （1）两个或两个以上的人或部门无意识地犯 同样错误的机会是很小的； （2）两个或两个以上的人或部门有意识地合 伙舞弊的可能性大大低于单独一个人或部门舞 弊的可能性。 内部牵制分为：（1）实物牵制；（2）机械 牵制；（3）体制牵制；（4）簿记牵制。
内部控制设计、评价与审计简介 张龙平
• • • • • • • • 中南财经政法大学会计学院院长、教授、博导 中国CPA审计准则委员会、委员 中国CPA技术咨询委员会、委员 中国CPA执业责任鉴定委员会、委员 中国会计准则委员会、咨询专家 中国企业内部控制标准委员会、咨询专家 中国国家审计准则技术咨询专家组、专家成员 ZLPCALY8@gmail.com
（二）内部控制实证研究基本线路
1、内部控制设计、实施、评价效果评价 2、内部控制与行业特征、企业特征 3、内部控制与公司治理 4、内部控制与经营效率 5、内部控制与财务运作 6、内部控制与风险管理 7、内部控制与内部审计 8、内部控制与审计质量（含CPA财务报表审计质量和内部 控制审计质量) 9、内部控制与财务报表的整合审计 10、经典财务舞弊案件与内部控制改良
1、董事会（监事会监督）；2、经理层；3、内部有关单位
5）内部控制评价报告
（一）组织实施内部控制评价的总体情况。 （二）内部控制责任主体的声明。 （三）内部控制评价的范围和内容。 （四）内部控制评价的标准和依据。 （五）内部控制评价的程序和方法。 （六）内部控制重大缺陷及其认定情况。 （七）内部控制重大缺陷的整改措施及责任追 究情况。 （八）内部控制有效性的结论（基准日）。 注意：存在一个或多个内部控制重大缺陷的， 应当作出内部控制无效的结论。
2、企业内部控制应用指引—15个
（1）组织框架（含治理结构、机构设置、职责分配及不 相容职务分离）、发展战略、人力资源、企业文化、社会 责任 （评价时以内部环境为基础） （2）资金、资产、采购、销售、研发、工程项目 （评价时以生产经营活动为重点） （3）全面预算、合同、内部报告、信息系统 （评价时应兼顾控制手段）
美国和国际上通常认为内部控 制应实现以下3大目标：
即合理保证实现：
（1）财务报告（financial reporting）的可 靠性； （2）经营（operation）的效率和效果； （3）对法律法规的遵守（compliance）。
注：资产安全目标哪去了？
（三）内部控制的5要素
1、内部环境（控制环境） 2、风险评估 3、信息与沟通 4、控制活动 5、内部监督 (对控制的监督)
(五)企业风险管理整合框架（8分法）
2004年9月，COSO根据萨班斯法案要求， 颁布该框架。定义企业风险管理为 ：“企业风险 管理是一个过程，受企业董事会、管理层和其他 员工的影响，包括内部控制及其在战略和整个公 司的应用，旨在为实现经营的效率和效果、财务 报告的可靠性以及法规的遵循提供合理保证。” COSO框架的构成要素：（1）内部环境；（ 2）目标设定；（3）事项识别；（4）风险评估 ；（5）风险应对；（6）控制活动；（7）信息 与沟通；（8）监控
注：财政部等还将出台具体的操作手册或讲解材料 思考问题：如何设计和应用？
3、企业内部控制评价指引
1）管理层要提交内部控制评价报告 （年度评价和专项评价） 2）评价工作的组织与实施 A.谁负责：企业主要负责人 B.谁实施：董事会（或类似决策机构）或其授权机构 （可借助CPA或外部专家） C.遵循原则：全面性、重要性和独立性等原则 D.评价方案设计及实施 E.评价方法（访谈、问卷、专题讨论、穿行测试、 统计抽样、比较分析等） F.工作底稿编制与复核
4、内部控制审计
引子：
1、CPA和企业的责任在不断加大 2、内部控制审计结果将成为企业的重要 考核指标 3、与财务报表审计有很大不同 结论: 企业（公司）领导层要高度重视
1）内控审计的范围
1、只负责审计财务报告内部控制
本指引中内部控制审计的范围，是指企业为了合理保 证财务报告及相关信息真实完整而设计和运行的内部控制 ，即财务报告内部控制。
B,重大缺陷、重要缺陷和一般缺陷
1、重大缺陷，是指一个或多个控制缺陷的组合，可 能导致企业严重偏离控制目标的情形。 2、重要缺陷，是指一个或多个控制缺陷的组合，其 严重程度和经济后果低于重大缺陷，但仍有可能导 致企业偏离控制目标的情形。 3、一般缺陷，是指除重大缺陷、重要缺陷之外的其 他控制缺陷。 注意：上述缺陷的整改责任人不同：
3）年度评价和报告的内容
A.评价：对整个年度、整个内部控制在某一基准日 的有效性评价后，发表一个意见。 B.报告：内控设计或执行方面的重大缺陷
注：内部控制缺陷有三种： A)重大缺陷 B)重要缺陷 C)一般缺陷
4）内部控制缺陷的认定
A，设计缺陷和运行缺陷
企业在内部控制评价中，应对内部控制 缺陷进行分类分析。 1、设计缺陷：缺少为实现控制目标所 必需的控制，或现存控制设计不适当、即使 正常运行也难以实现控制目标。 2、运行缺陷：现存设计完好的控制没 有按设计意图运行，或执行者没有获得必要 授权或缺乏胜任能力以有效地实施控制。
一、为什么要如此重视内部控制？
（一）国家管制角度 外部、内部、内外结合型（外部干预型）监管 （二）企业发展角度 企业（公司）质量与效益的重要性
（二）公众需求角度 关心财务报表→相关内部控制
二、什么是企业内部控制？
（一）中国内部控制的概念 内部控制是由企业董事会、监事会、经 理层和全体员工实施的、旨在实现控制目 标的过程。（全面内部控制理念） （二）中国内部控制的5目标 合理保证经营合规、资产安全、财务报 告及相关信息真实完整、经营有效性，促 进企业实现发展战略。美国内控目标如下:
（二）内部控制制度阶段（2分法） 20世纪50年代：内部会计控制和内部管 理控制 （三）内部控制结构阶段（3分法） 20世纪70年代：控制环境、会计系统和 控制程序 （四）内部控制框架阶段（5分法） 进入20世纪90年代后， COSO报告： 控制环境、风险评估、控制活动、信息和沟 通、对控制的监督
4）与财务报表审计整合进行
• 整合审计要点——内部控制了解和测试 • 风险导向思路（即以风险评估为基础） • 自上而下方法（以此法选择拟测试的控制）
注意：重大缺陷与重大错报的联系与区别
5）内部控制审计意见及审计处理
1、需要几种审计意见（只有3种，不准发表保留意见） 1）有重大缺陷：否定意见（发现一个后还继续查吗？） 2）有范围限制：撤消业务约定，或无法表示意见（此时在报 告里，还要说明范围受限前，执行有限审计程序所发现的重大 缺陷吗？） 2. 查出内控缺陷的层次及不同的审计处理： 1）Deficiency_缺陷_可能沟通 2）Significant Defi._重要缺陷_仅沟通即可 3）Material Weakness_重大缺陷_影响审计报告
wk.baidu.com
2、对非财务报告内部控制的责任
1）注册会计师应当向企业询问非财务报告内部控制设 计的合理性和执行的有效性，并取得董事会对非财务报告 内部控制遵循情况的书面声明。 2）对内部控制审计过程中注意到的非财务报告内部控 制的缺陷，注册会计师应当在内部控制审计报告中予以描 述，但无需对其有效性发表审计意见。
2）内控审计业务由谁来做？
5、内部控制相关研究课题
（一）内部控制规范研究基本线路 1、内部控制理论问题研究 2、内部控制立法问题研究 3、内部控制监管问题研究（内外部监管） 4、内部控制信息化及一体化问题研究 5、行业内部控制最佳实务问题研究（含内部控 制的设计、实施和评价） 6、特定企业内部控制最佳实务问题研究（含内 部控制的设计、实施和评价） 7、政府及非盈利组织内控问题研究