对被审计单位内部控制的了解和把握

第二节　对被审计单位内部控制的了解和把握

“没有规矩，不成方圆”，一个企业有效而正常的运转，离不开各种制度和纪律的约束，除了行政上约束、法律上约束以及工人组织监督外，财务会计方面很重要的手段就是企业的内部控制。内部控制是企事业单位在经济活动、财务活动及管理活动中采取的各种约束和控制手段，用以保证财经纪律的遵守、企业利益的完整和实现。内控制度是与企业、公司的产生一起产生的，内部控制制度在企业中出现并逐步完善，现在已经成为现代企业制度中一个不可替代的管理组成部分。内部控制的存在和有效运作，在一定程度上保证了财务行为的规范和准确，保证了会计资料的真实和完整，因而内部控制不仅对企业的管理决策者而言是必需的，而且能从一个侧面反映出整个企业经营管理是否秩序化、规范化。所以，虽然现代企业组织各自的经营规模大小、业务特点迥异，但建立健全相应的内部控制都是十分必要的。

尽管从上面的说明中我们不难得出结论，内部控制制度的建立、健全原则上属于企业单位自身的责任，但是这里仍要强调内部控制对于审计活动的特殊意义和作用。现代审计是由最初的详细审计发展而来的，与它的最初模式——英式详细审计相比，最大的特点就是建立在内部控制基础上采用抽样的方法进行审计，这一点与内部控制自身的特性分不开。我们知道，内控制度是经营管理中针对财务活动和会计活动的一系列具有控制力的方法和程序，绝大部分的财会行为均要在内控制度的直接约束或者间接约束下进行。因此，内部控制不仅是企业经营活动的一种约束规范，同时也是组织展开财会活动的企业环境，所以，内部控制执行的好坏可以反映出会计资料真实可靠的程度，一个良好的内部控制环境下的会计信息、数据比一个较差环境中产生的各类信息数据更为可信。在一定程度上，对审计人员而言，企业内部控制的状况是一种较灵敏有效的指示剂，因而审计人员可以通过评审内部控制去评估各种具体资料的可靠性，估算企业控制风险的大小，这样就产生了对内部控制执行过程的评审。现代审计中，内部控制的评审是审计程序的重要步骤之一，因而也是我们必须牢牢掌握的。

一、内部控制的内涵

内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。因此内部控制是经济控制活动，实质上是一种作用，是一系列的概念与要求。按实施内部控制的范围分类，内部控制可分为会计控制和管理控制。内部管理控制又被称为业务性内部控制，它是根据单位的经营方针、经营政策，为合理而有效地进行正常经营活动而设置的各种管理程序与方法。按实施内部控制的方法分类，内部控制又可分为预防性控制和察觉性控制。预防性控制是用来防止发生错弊；察觉性控制则是为了使错弊出现后能够尽快地发现与纠正。

从内部控制的内涵中，我们不难发现内部控制设立的三个主要目的：

(一)维护财产安全、完整和有效运作

内部控制中许多内容均是针对财产安全而设，比如不相容职务必须分离，银行存款的出纳人员与余额调节表的编制人员不可为同一人，仓库库存货物的记账员与保管员必须分离，执行者与审批者必须分离等等，就是为了防止由于分工不严密而导致的贪污、盗窃、侵吞企业财产的行为。同时内部控制制度的存在也有利于一旦财产失窃后能明确责任，找到线索，及时地索赔和追查，保证堵上会计制度中不够完善的一些漏洞。总之，完善内部控制制度能进行权力上的牵制和监督，使会计手续更加合理完善。

(二)保证会计信息的准确可靠

所谓会计，本质上就是一个收集、反馈和评价各种财务信息数据的系统，会计信息真实与否，不仅会影响企业本身正确地评估自身、确立未来的发展计划，而且会影响诸多会计信息使用人的决策。审计活动本身也就是对会计信息真实性、可靠性提供一种鉴证，因而确保会计信息的正确有着十分重要的意义，而内部控制制度在这个方面有相当大的作用，比如内部控制制度对于会计各程序审核手续的规定，一定程度上减少了错误信息产生的可能。

(三)提高经营效率和确保既定经营方针的实现

除了防止错漏和财产损失以外，内部控制制度还针对经营管理的一些具体手续及各部门间的协作关系作出了规定，使各部门明确职责，各司其职。由于分工明确，授权清楚，企业内部可以减少许多不必要的推诿和重复职责的现象，提高了经营效率和管理效率，同时各部门之间协调加强，信息传递更加通畅，也有利于企业经营方针和经营目标的实现，使整个企业作为一个有机联系的整体，更好地运作，增加竞争力。

二、内部控制的要素

内部控制制度作为一个有机联系的系统，包括五方面要素：控制环境、风险评估过程、信息系统与沟通、控制活动、对控制的监督。内部控制要素的分类可以提供了解内部控制的框架。

(一)控制环境

控制环境是指对企业控制的建立和实施有重大影响的一组因素的统称，是企业内部控制制度运作的内外环境。虽然会计报表的各项栏目和具体数据不是根据控制环境直接产生，但是其真实性、准确度等指标皆与控制环境有关，因而控制环境是内部控制制度的要素之一。控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报，注册会计师在评估重大错报风险时应当将控制环境连同其他内部控制要素产生的影响一并考虑。控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。

在评价控制环境的设计和实施情况时，注册会计师应当了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化，以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。在评价控制环境的设计时，注册会计师应当考虑构成控制环境的下列要素，以及这些要素如何被纳入被审计单位业务流程：(1)对诚信和道德价值观念的沟通与落实；(2)对胜任能力的重视；(3)治理层的参与程度；(4)管理层的理念和经营风格；(5)组织结构；(6)职权与责任的分配；(7)人力资源政策与实务。

在确定构成控制环境的要素是否得到执行时，注册会计师应当考虑将询问与其他风险评估程序相结合以获取审计证据。通过询问管理层和员工，注册会计师可能了解管理层如何就业务规程和道德价值观念与员工进行沟通。通过观察和检查，注册会计师可能了解管理层是否建立了正式的行为守则，在日常工作中行为守则是否得到遵守，以及管理层如何处理违反行为守则的情形。

(二)被审计单位的风险评估过程

风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。在评价被审计单位风险评估过程的设计和执行时，注册会计师应当确定管理层如何识别与财务报告相关的经营风险，如何估计该风险的重要性，如何评估风险发生的可能性，以及如何采取措施管理这些风险。

注册会计师应当询问管理层识别出的经营风险，并考虑这些风险是否可能导致重大错报。在审计过程中，如果识别出管理层未能识别的重大错报风险，注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险，以及评估过程是否适合于具体环境。

(三)信息系统与沟通

与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。与财务报告相关的信息系统应当与业务流程相适应。

与财务报告相关的信息系统所生成信息的质量，对管理层能否作出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。与财务报告相关的信息系统通常包括下列职能：(1)识别与记录所有的有效交易；(2)及时、详细地描述交易，以便在财务报告中对交易作出恰当分类；(3)恰当计量交易，以便在财务报告中对交易的金额作出准确记录；(4)恰当确定交易生成的会计期间；(5)在财务报表中恰当列报交易。

注册会计师应当从下列方面了解与财务报告相关的信息系统：(1)在被审计单位经营过程中，对财务报表具有重大影响的各类交易；(2)在信息技术和人工系统中，对交易生成、记录、处理和报告的程序；(3)与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目；(4)信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况；(5)被审计单位编制财务报告的过程，包括作出的重大会计估计和披露。

(四)控制活动

控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。注册会计师应当了解与授权有关的控制活动，包括一般授权和特别授权。一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。特别授权是指管理层针对特定类别的交易或活动逐一设置的授权。注册会计师应当了解与业绩评价有关的控制活动，主要包括被审计单位分析评价实际业绩与预算(或预测、前期业绩)的差异，综合分析财务数据与经营数据的内在关系，将内部数据与外部信息来源相比较，评价职能部门、分支机构或项目活动的业绩，以及对发现的异常差异或关系采取必要的调查与纠正措施。

注册会计师应当了解职责分离，主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。

总之，控制手段主要有以下几种：

(1)职务的分离。不相容职务必须分离，互相牵制，防止和减少人为的或无意的各种弊端和错误。具体如：①某项业务的授权者和执行者必须分离，执行者与审核者职业分离。比如，出纳人员不能同管现金账的记录；仓库保管不能兼任存货收发记录工作；支票的签发人员不能同做银行存款余额调节表的编制工作。②经营责任与会计责任相分离。经营部门不能负责会计记录的管理，必须保持会计部门的独立性，一般说会计人员应完全独立，直接由企业的财务副总经理领导而不受业务管理方面的领导管辖。

(2)恰当的审批手续。明确恰当的授权、严格的审批是会计记录和会计报表真实可靠的保证，企业组织中的各级人员在进行业务处理时必须得到授权和批准。其中发生在其管理职责范围以内的业务无需请求批准便可处理，这就是授权，而超出其职责范围或权限时，管理人员必须在上级批准后才能处理这些业务，这就是批准。授权与批准相结合，既能保证业务的迅速处理，又能保证各项业务均能得到负责。审批分为一般审批和特别审批，凡属正常业务范围的，管理人员均有权处理，如批准赊销限额、备用金领用等等，而超出正常业务范围的，必须由上级主管部门特别审批才行，如长期投资和股份转让等重大决定。有些业务根据自身的规模分一般审批和特别审批，如可以规定5万元以下的采购可由采购人员定，5万元以上的需要申报批准再定，具体的划分视企业本身规模和经营方式而定。重要的业务必须规定特殊审批手续以防止让企业遭遇过大的风险，一般小业务则要权力下放以提高工作效率。一个企业，一般审批与特别审批界限的适当划分，体现了领导者的管理艺术。

(3)合理地设计、使用凭证和记录。合规合理地使用凭证和记录目的在于保证会计信息的真实可靠。由于凭证和记录是各种经济业务的书面证据，是会计账簿数据的来源与依据，因而保证这两者的可靠性和真实性有着重大意义。一般来说有以下一些原则：①原始凭证应具备专人审核制度，记账凭证则必须附有原始凭证并与之一致；②凭证应当连续编号，应按业务先后顺序填写，领用空白凭证必须登记；③定期复核，核查各项凭证的编制并把凭证和有关账目核对；④各项业务必须及时准确地编入凭证和记录；⑤建立凭证传递流程，规定各流经部门的职责；⑥完善记账手续，各种经济业务有相应的记录程序并且经办人员签名盖章。

(4)资产及记录的接近控制。为确保企业财产、物资和各类记录账户的安全，必须建立有效的保护制度，主要包括两方面：一方面，对贵重财产物资必须专人负责保管，使用先进保安设施，配齐防盗门，保险柜、灭火器、防腐器材、耐火仓库等以防不测；另一方面，在财会制度上也有足够的安全性规定，如未经授权批准不得接近资产和记录，必须定期地清点财产，保证账实相符，一般盈亏均追清原委，经过合格程序再处理等。

(5)独立检查。各项经济业务完成后必须经由内部独立检查，这是业务程序控制的一个方面，一般由内部审计机构执行。最关键的是独立性的独立审查复核，才能保证业务可靠合规。

(五)对控制的监督

注册会计师应当了解被审计单位对与财务报告相关的内部控制的监督活动，并了解如何采取纠正措施。对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。

注册会计师应当了解被审计单位对控制的持续监督活动和专门的评价活动。持续的监督活动通常贯穿于被审计单位的日常经营活动与常规管理工作中。被审计单位可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价。被审计单位也可能利用与外部有关各方沟通或交流所获取的信息监督相关的控制活动。