内部控制制度概述

第一节　内部控制制度概述

一、内部控制的内涵和要素

内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。内部控制包括控制环境、风险评估过程、信息系统与沟通、控制活动、对控制的监督五个方面。对内部控制要素的分类提供了了解内部控制的框架，但无论对内部控制要素如何进行分类，注册会计师都应当重点考虑被审计单位某项控制，是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。

(一)控制环境

控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。

在评价控制环境的设计和实施情况时，注册会计师应当了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化，以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。

在评价控制环境的设计时，注册会计师应当考虑构成控制环境的下列要素，以及这些要素如何被纳入被审计单位业务流程。

1.对诚信和道德价值观念的沟通与落实

管理层通过政策公告、行为守则等方式确立的诚信与道德价值观念以及对违反这些观念的职员的惩戒措施都可以体现出一个公司的企业文化。

2.对胜任能力的重视

胜任能力是完成一项工作所需的必要知识和技术。管理层对胜任能力的重视可以表现为明确界定各项工作所需的业务能力水平、为职员提供必要的培训机会等。

3.治理层的参与程度

治理层应独立于管理层。治理层参与并监督管理层的经营管理活动可以降低管理层舞弊的可能性。

4.管理层的理念和经营风格

不同的经营理念、经营方式和风格会影响财务报表及会计记录的可靠性，因此，注册会计师在评价控制环境时需要考虑这一因素。

5.组织结构

了解组织结构的设置情况，既有助于注册会计师评价控制环境，还有助于注册会计师了解被审计单位与控制有关的方针、政策、程序等。

图

71列示的是凯悦公司组织结构图的基本框架，公司董事会下设四个委员会，其中，与会计、审计最相关的是审计委员会。审计委员会的基本职责包括监督企业会计信息的质量、领导内部审计部门(即稽核部)的工作、选聘会计师事务所、与事务所协商审计收费标准，此外，内部审计部门和会计师事务所还需要将审计中发现的重大问题向审计委员会汇报。

6.职权与责任的分配

企业通常会有相关的规章制度明确各个部门的管理、经营职能、隶属关系及报告程序等。根据图71，凯悦公司共设有七个职能部门，总经理办公室负责公司的日常管理、法律事务、行政事务等工作;财务部负责公司的财务管理和会计核算工作;人力资源部负责人事管理与考核等工作;生产计划部负责制定生产计划、完善安全生产措施等工作;采购部负责原材料、办公用品、固定资产等物资的采购工作;市场营销部负责产品的销售、营销策划、售后服务等工作;稽核部负责内部审计工作。

图7-1　凯悦公司组织结构

7.人力资源政策与实务

职员聘用、考核、培训、提升和薪酬制度是内部控制的一项重要内容，也是影响公司经营效率和效果的重要因素。

在确定构成控制环境的要素是否得到执行时，注册会计师应当考虑将询问与其他风险评估程序相结合以获取审计证据。通过询问管理层和员工，注册会计师可能了解管理层如何就业务规程和道德价值观念与员工进行沟通。通过观察和检查，注册会计师可能了解管理层是否建立了正式的行为守则，在日常工作中行为守则是否得到遵守，以及管理层如何处理违反行为守则的情形。

控制环境对重大错报风险的评估具有广泛影响，注册会计师应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的基础，并且未被控制环境中存在的缺陷所削弱。

控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报，注册会计师在评估重大错报风险时应当将控制环境连同其他内部控制要素产生的影响一并考虑。

(二)风险评估过程

风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。

在评价被审计单位风险评估过程的设计和执行时，注册会计师应当确定管理层如何识别与财务报告相关的经营风险，如何估计该风险的重要性，如何评估风险发生的可能性，以及如何采取措施管理这些风险。

注册会计师应当询问管理层识别出的经营风险，并考虑这些风险是否可能导致重大错报。

在审计过程中，如果识别出管理层未能识别的重大错报风险，注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险，以及评估过程是否适合于具体环境。

专栏7-1企业风险管理

1.风险的概念

风险是指对企业产生负面影响的事件。例如:因产品质量存在缺陷导致客户退货或索赔给企业带来的声誉和经济方面的损失。

2006年6月国务院国有资产监督管理委员会出台的《中央企业全面风险管理指引》将风险分为战略风险、财务风险、市场风险、运营风险和法律风险。战略风险是指不确定因素对企业实现战略发展目标和实施发展规划的不利影响，涉及国内外宏观经济政策以及经济运行情况、本行业状况、国家产业政策;科技进步、技术创新的有关内容等方面;财务风险包括利率和汇率的变动、原材料或产品价格波动等不确定因素对企业现金流的不利影响，以及公司在投资、筹资方面的行为对企业经营目标的不利影响;市场风险是指未来市场价格(利率、汇率、股票价格和商品价格)的不确定性对企业实现目标的不利影响;运营风险是指各种资源的合理调配、关键人员的流动等涉及公司运营方面的不确定性因素对公司目标的不利影响;法律风险是指不同国家或地区法律法规环境的差异性、具体法律法规的实施或变动给企业带来的不利影响。

风险也可以分为固有风险与剩余风险。前者与后者是相对于采取某一风险应对措施而言的。尚未采取这一风险应对措施前的风险称为固有风险，在采取了风险应对措施后的风险称为剩余风险。

风险可能源于企业内部的各个部门、子公司、分支机构，也可能源于企业外部的金融市场、产品市场、供应商、客户、竞争对手、监管机构等。

风险的存在，可能会影响企业战略目标、经营目标(一般是指实现经营的效率和效果)、报告目标(一般是指合理保证财务报告的可靠性)、合规性目标(一般是指遵守各项法律法规)的实现。

2.风险评估

企业应从多个角度进行风险评估，既需要考虑与企业各层次目标有关的战略风险、财务风险、市场风险、运营风险和法律风险，也需要考虑企业内部各部门、子公司、分支机构、各种业务类型存在的风险以及企业外部金融市场、产品市场、供应商、客户、监管机构等给企业带来的风险。在进行风险评估时，不仅需要考虑未来将要发生的事项，还有必要考虑未来可能发生的潜在事项对企业的不利影响。

除了确定风险的具体类型以外，风险评估阶段还需要评价某种风险出现的可能性及其影响程度。从这一角度出发，企业的风险可以分为四类:发生可能性大、对企业影响大的风险;发生可能性大、对企业影响小的风险;发生可能性小、对企业影响大的风险;发生可能性小、对企业影响小的风险。

3.风险应对

在正确评估了风险之后，企业应针对不同类型的风险采取恰当的应对措施，包括:回避风险、降低风险、与其他方面共同承担风险、接受风险。

参考文献:

1.The Committee of Sponsoring Organizations of the Treadway Commission(COSO)，Enterprise Risk Management—Integrated Framework，http://www.coso.org.

2.国务院国有资产监督管理委员会:《中央企业全面风险管理指引》，2006年6月。

(三)信息系统与沟通

与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。

与财务报告相关的信息系统应当与业务流程相适应。与财务报告相关的信息系统所生成信息的质量，对管理层能否作出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。

与财务报告相关的信息系统通常包括下列职能:

(1)识别与记录所有的有效交易;

(2)及时、详细地描述交易，以便在财务报告中对交易作出恰当分类;

(3)计量交易，以便在财务报告中对交易的金额作出准确记录;

(4)确定交易生成的会计期间;

(5)在财务报表中恰当列报交易。

注册会计师应当从下列方面了解与财务报告相关的信息系统:

(1)在被审计单位经营过程中，对财务报表具有重大影响的各类交易;

(2)在信息技术和人工系统中，对交易生成、记录、处理和报告的程序;

(3)与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目;

(4)信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况;

(5)被审计单位编制财务报告的过程，包括作出的重大会计估计和披露。

在了解与财务报告相关的信息系统时，注册会计师应当特别关注由于管理层凌驾于账户记录控制之上，或规避控制行为而产生的重大错报风险，并考虑被审计单位如何纠正不正确的交易处理。

与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责、员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。

注册会计师应当了解被审计单位内部如何对财务报告的岗位职责，以及与财务报告相关的重大事项进行沟通。

注册会计师还应当了解管理层与治理层之间的沟通，以及被审计单位与外部的沟通。

(四)控制活动

控制活动是指有助于确保管理层的指令得以执行的政策和程序，包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。注册会计师应当了解控制活动，以评估认定层次的重大错报风险和针对评估的风险设计进一步审计程序。

1.与授权有关的控制活动

与授权有关的控制活动，包括一般授权和特别授权。一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。特别授权是指管理层针对特定类别的交易或活动逐一设置的授权。譬如，如果客户的购货金额在1000—5000元时，商场的营业员可以决定是否给予客户3%以下的折扣，这就是一般授权;如果客户购货金额超过5000元或者客户要求3%以上的折扣，那么营业员就须向经理请示，即需要特殊授权。

2.与业绩评价有关的控制活动

与业绩评价有关的控制活动，主要包括被审计单位分析评价实际业绩与预算(或预测、前期业绩)的差异，综合分析财务数据与经营数据的内在关系，将内部数据与外部信息来源相比较，评价职能部门、分支机构或项目活动的业绩，以及对发现的异常差异或关系采取必要的调查与纠正措施。

3.与信息处理有关的控制活动

与信息处理有关的控制活动，包括信息技术一般控制和应用控制。

信息技术一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性)，支持应用控制作用的有效发挥，通常包括数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制。

信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通常包括检查数据计算准确性、审核账户和试算平衡表、设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。

4.实物控制

实物控制，主要包括对资产和记录采取适当的安全保护措施、对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对。实物控制的效果影响资产的安全，从而对财务报表的可靠性及审计产生影响。

5.职责分离

职责分离，主要是指将交易授权、交易记录以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。所谓不相容职务是指由同一人办理会增加发生错误和舞弊的可能性，或者增加了发生错误舞弊以后进行掩饰的可能性的那些职务。不相容职务主要包括:授权批准、业务经办、会计记录、财产保管、稽核检查等职务。例如，在现金销售方式下，收款与销售业务的记录应由不同的人员负责。如果一位职员既负责收款，又负责记录销售业务，就有可能出现该职员故意在账面漏记或少记销售收入、截留部分收入据为己有的情况。

通常情况下，以下不相容职务应实行职责分离:

(1)某项经济业务授权批准的职务与该项经济业务执行的职务应分离。例如，在销售业务中，核准赊销与发货、开具发票的职务应由不同的人员担任。

(2)执行某项经济业务的职务和审查该项经济业务的职务应分离。例如，负责登记银行存款日记账的人员通常不应再参与银行存款余额调节表的编制。

(3)执行某项经济业务的职务与该项经济业务的记录职务应分离。例如，在销售业务中，核准赊销、发货或开具发票的人员不能负责登记主营业务收入明细账或应收账款明细账等账簿。

(4)保管某项财产物资的职务与该项财产物资的记录职务应分离。例如，负责保管存货的仓库保管员就不能再负责登记存货明细账或总账。

(5)保管某项财产物资的职务和对该项财产物资进行清查的职务应分离。例如，负责保管存货的仓库保管员最好不要再参加存货的盘点。

(6)登记总账的职务与登记明细账、日记账的职务应分离。

(五)对控制的监督

对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。注册会计师应当了解被审计单位对与财务报告相关的内部控制的监督活动，并了解如何采取纠正措施。

注册会计师应当了解被审计单位对控制的持续监督活动和专门的评价活动。持续的监督活动通常贯穿于被审计单位的日常经营活动与常规管理工作中。被审计单位可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价。被审计单位也可能利用与外部有关各方沟通或交流所获取的信息监督相关的控制活动。注册会计师应当了解与被审计单位监督活动相关的信息来源，以及管理层认为信息具有可靠性的依据。

二、内部控制的局限性

内部控制存在下列固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证。

(1)在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。例如，因执行人员的粗心大意、精力分散、判断失误以及对指令的误解会造成内部控制失效。

(2)可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。例如，执行不相容职务的人员相互串通、共同实施舞弊，就会导致内部控制失效;管理层利用自己的职权、无视企业规章制度的约束，也会导致内部控制失效。

(3)内部控制的设计和运行受制于成本与效益原则。内部控制的设计与运行都不得不权衡其成本与效益，只有那些运行成本低于其相应的内部控制才可能被采用，从而导致内部控制的设计与运行存在一定的缺陷。

(4)内部控制一般仅针对常规业务活动而设计。内部控制的设计一般只考虑到常规业务，一些特殊业务的内部控制可能未包括在内部控制中。

(5)内部控制可能因经营环境、业务性质的改变而削弱或失效。例如，企业从手工记账转换到电算化会计处理系统，其内部控制内容就会发生变化，如果此时仍沿用旧的内部控制制度，则可能会导致企业内部控制失效。

专栏7-2有关内部控制局限性的案例

家乐福的促销现金券遭遇了“李鬼”，短短4个月内出现了3406张克隆券，给超市带来了17万元的损失。数量如此庞大的假券，竟然是超市的两名保安伪造的。

2006年3月初，家乐福的工作人员在做财务统计时，发现有笔账目出现了严重的收支不平衡。2005年12月1日起，超市搞促销活动时，发放了2539张50元面值的现金券，如今券的使用期限还没到，竟已收回了5945张，多出了整整3406张。

经过调查，伪造的现金券几乎都是超市内7个收银员收进的。在询问后，7人承认，这些现金券全是已经离职的两名保安兑换的。家乐福超市立即向警方报了案，已经离职的两名保安到案后，警方从两人家中找到尚未使用的1500张现金券。

在庭审中，已经离职的两名保安对自己所做的事实供认不讳。他们称超市的现金券除了促销发放外，还会发给员工作为福利。虽然券上明确写着，“不能兑换现金，只可抵扣消费金额”。但很多同事通过和关系好的收银员之手，把券变成现金。这个漏洞成为两名保安赚钱的机会。一名保安联系关系较好的营业员，另一名保安则负责假券的制造。从2005年12月到2006年3月，两人先后花了3000多元印刷制造了2万张现金券，共兑换了17万余元现金。

两名保安称，他们屡屡得手，离不开收银员的“帮忙”，但他们也为此付出了不少好处费——17万余元获利中有4万余元用来堵收银员的口。

记者获悉，家乐福已经开除了这7名收银员。但这7人不满超市的处罚，已向普陀法院提起劳动争议的诉讼。

资料来源:陈轶珺、贾非商:“家乐福两保安勾结收银员作案伪造现金券套现17万”，《青年报》，2006年8月2日。根据需要对原文部分内容略作删节。