内部控制缺陷以及审计的案例

第二节　制度基础审计的内容与要点

制度基础审计具有一定的程式，其审计的主要内容，一是对内部控制制度的结构和功能进行检查和评价，二是对经济资料及经济业务处理的真实性进行实质性测试。一般所指的内部控制制度审计或评价，只是对内部控制制度进行测试和评价，如同货币资金审计、固定资产审计一样，不是一种完整的审计方法，而是按审计内容划分的一种审计类别。

制度基础审计的基本内容主要包括以下五个方面：

（1）检查和评价会计控制制度、管理控制制度和内部审计制度的合理性、适应性与有效性；

（2）确定经营活动及业务处理同方针政策、计划程序、手续规定的相符程度；

（3）确定单位财务会计资料及其他经济资料的真实性、完整性与可靠性；

（4）鉴定对各种资源获取、保护、使用控制的适当性；

（5）检查和评价单位的管理业绩、经营效率和各部门完成本职工作的质量。

上述基本内容（1）、（2）、（4）项属于内部控制制度评价的内容，其他则属于实质性测试的内容。但是不能把它们绝对分开，它们是相互联系的。

一、内部控制制度测评的主要内容

对内部控制进行审计，一般按照内部控制制度的种类来进行测试和评价。因此，其主要内容又可分为会计控制的审计内容、管理控制的审计内容和内部审计控制的审计内容。

（一）会计控制的测评内容

1973年，美国在“审计标准文件第一号”中下的定义是：会计控制包括“组织的计划及保护该组织的财产和保证财务记录的可信性有关的程序和记录”，以便确保经济业务的实施都可以得到管理部门的批准，经济业务都得到完整的记录，以便能根据公认会计原则和其他有关规定来编制财务报表，未经管理部门批准，任何人不得随意接近单位的财产，以保证财产的安全和完善；账面记录和实物每隔一段时期应相互核对，并对差异进行合理的处理。

确切地说，内部会计控制主要是指单位内部应用会计方法和其他有关方法，对财务、会计和有关经济业务所进行的控制。内部会计控制不仅包括内部牵制，即为了保护财产而实行的控制，而且还包括组织机构的设计（单位的计划）以及与财产保护和财务记录的可靠性有关的各种方法和程序。内部会计控制，不仅包括了狭义的会计控制，还包括了资产控制和为保护财产而实行的内部牵制。同时把内部会计控制作为单位管理的一种主要手段，其目的在于保护单位资产，确保财务记录的真实可靠，为攫取最大限度的剩余价值服务。

内部会计控制的主要内容，在资产管理方面包括资产收付保管业务、资产维护手续和资产维护手段等。资产收付保管业务，是指应根据对现金、票据、支票、有价证券、商品、材料物资和固定资产等的收付、保管及其他业务所作的规定或已建立的手续，来正确处理业务。资产维护手续，是指从制度上保护资产和保证权利的各种手续。资产维护手段，系指以确保资产的完整性而采取的人的维护手段或设施的维护手段，使资产免遭舞弊、差错、盗窃、火灾和其他损害。在会计管理方面，主要是健全并有效地运用会计制度，如健全会计核算规程和成本计算规程等；确立账簿组织、账目组织、凭证组织等；现金日报表、银行账户调节及各种报表的编制；现金、物资盘存的制度化等。

内部会计控制一般包括基础控制、纪律控制和实物控制三种。

1．基础控制

基础控制是指通过设计程序来保证完整、正确记录一切合法的经济业务，及时觉察处理过程和记录中出现的错误。通过该种控制以实现会计控制的完整性、合法性、正确性和一致性的目标及保证获得可靠的财务信息。基础控制包括下述四种类型。

（1）完整性控制——保证发生的一切合法性经济业务均记入控制文件。主要通过顺序号、总额控制、从不同的来源测定数据的一致性、登记账簿、掌握档案并运用备忘录等方法来保证记录的完整。

（2）合法性控制——用各种方法检查所记录的经济业务以保证其能如实反映经济事项。主要通过熟悉制度的人员审查会计文件，确定所记录的是否如实发生，其处理过程是否与规定的相一致；查明业务处理是否通过授权与批准，有无越权行事，有无进行严格的比较与核对等。

（3）正确性控制——为了确保每笔经济业务的发生都能用正确的金额及时地记入账户的一种控制。主要通过建立发生额计算、转登及余额计算检查，账户分类检查，双重核对，事先控制与牵制等方法来保证其正确性。

（4）一致性控制——保证会计记录一致性的控制。主要通过盘存、调账、追究不符原因、相互核对等方法来实现会计记录的一致性。

2．纪律控制

纪律控制是指保证基础控制能充分发挥作用的控制。纪律控制具有监视、强制和约束会计工作的特征。严格的基础控制本身并不能说明会计控制的有效性，只有基础控制得到如实实施才能发挥作用。纪律控制能够确保会计程序和基础控制程序永远按设计的那样去发挥作用，同时也能保证及时发现错误与查明错误。纪律控制主要通过职务分工、监督检查的方法来实现。实行职务分工，有利于不相容职务的彼此制约，有利于及时发现差错和防止串通舞弊；实行监督检查，有利于查明会计制度中的弱点与及时纠正差错，没有适当的监督检查，再好的会计制度和基础控制也有发生差错的风险。

3．实物控制

实物控制是指维护实物安全与完整的控制。它主要是通过限制非授权人员接近资产，并采取有效的防范措施及实行永续盘存制等来实现的。不是所有的实物控制都是会计控制，有的实物控制属于管理控制的范畴，如果缺少某种实物控制，不引起计算方面的错误，那么这种控制就是管理控制。

会计控制的内容和会计控制方式，决定了会计控制审计的主要内容是检查和评价会计控制是否适当，也即是否健全和有效，是否能防止和发现会计制度执行中的错误和弊端。重点应审查会计控制是否保证记录在册的业务都是真实的，有无虚假的或未发生的业务被记入会计记录；会计控制是否能保证所有的经济业务都经适当授权，有无发生未经批准的业务；会计控制是否能保证已经发生的业务都记录在册，有无漏记或重记现象；会计控制是否能保证所有的业务在记录时都经正确地计价；会计控制是否能保证所有记录的业务都经正确地分类；会计控制能否保证所有业务都记录于正确的期间；会计控制是否能保证所有的业务都正确地记入日记账、明细账，是否能保证正确地进行汇总并过入总账，是否能保证正确地根据明细账、总账编制财务报表。审查时还应注意以下问题：

（1）识别可能发生的会计错误与弊端的类型；

（2）资产管理与会计程序是否有利于防止与发现错误与弊端；

（3）测试资产管理与经济业务处理，是否遵循了已规定的程序与手续；

（4）查明导致错误与弊端的会计控制制度中的薄弱环节。

（二）管理控制的测评内容

管理控制的审计内容，同样包括了管理控制的内容。一个单位的管理部门不仅对会计和财务方面的控制感兴趣，同时对单位的生产经营、购销活动及人员组织等感兴趣。因此，单位内的管理部门应当建立管理制度，借以保持生产经营的效率，以及保证各个部门贯彻执行既定的政策。“根据一定的经营方针，为合理地并具有效率地进行经营活动而设定的各种管理”，即为内部管理控制。把经营效率和管理方针的程序和方法作为其特征，它是单位内部除会计控制以外的各种控制，它是建立会计控制的基础。

对于管理控制的概念，美国也曾有过两次论述，在“审计程序第33号文件”中指出：管理控制包括组织的计划和为提高经营效率、保证企业既定的管理方针的实施而采取的所有措施和方法。它与财务记录通常只有间接的联系。1973年美国发布的“审计标准文件第一号”，又给管理控制下了新定义，即管理控制所包括的，并不仅仅限于组织的计划和有关导致管理部门批准经济业务的决策过程和记录。这样的批准是与为达到该组织的目标这一责任直接有关的管理部门的功能，同时也是为经济业务建立会计控制的起点。从上述概念的演变可以看出，管理控制不仅包括单位的计划及有关措施、方法和记录，而且包括与该单位实现目标有关管理部门的一切功能。管理控制的主要目的是为了保证单位目标的实现，管理政策的实施；提高经营效率和为会计控制提供基础。

内部管理控制究竟包括哪些内容，目前尚无统一看法。有人认为应该侧重于督促经营目标的贯彻与促进业务效率提高方面的控制，有人认为应该侧重于控制人们的行为；还有人认为应侧重于组织和控制各类责任中心有效地进行生产和经营。不少人认为内部管理控制不能以单独制度形式出现，而应将内部控制原则寓于各种规章制度之中。例如，在下列制度中均要贯彻内部控制原则：

（1）方法程式制度。如采购、生产、销售、财务等职责和方法，记录、复核、报告与分析、审核与观察等程式。

（2）管理过程制度。如规划计划制度、组织经营制度、领导指挥制度、协调控制制度等。

（3）控制过程制度。如确定目标方案制度、衡量比较制度、评估绩效制度、纠正偏差制度等。

（4）各种功能制度。人管人的制度如责任、考勤、考核制度；人管事的制度如成本、事务控制中心制度；事管人及事管事制度如技术、电算化中心制度等。

如果从综合管理功能和经营过程考虑，内部管理控制主要包括六项内容：一是整体计划控制，包括策划、计划、预算等具体制度；二是人员控制，包括组织机构、协调关系、工作设计、人事控制等制度；三是领导指挥控制，包括领导素质要求、授权管理、激励机制、信息沟通等制度；四是资产存量控制，包括政策计划、职责分工、采购作业等制度；五是生产作业控制，包括生产作业控制、质量控制等制度；六是营销作业控制，包括营销标准、营销计划、营销管理等制度。

管理控制的内容和方式，决定了管理审计的主要内容是检查和评价管理控制是否适当，也即是否适当和有效。其主要审计的内容有以下几个方面：

（1）通过对单位各部门相互关系的检查来评价其组织工作；

（2）通过审阅组织系统图及有关说明来评价职务分工情况及对职工的监控是否适当；

（3）通过信息系统检查，评价领导之间、部门之间、上下级之间、干部与群众之间的信息交流是否畅通；

（4）通过对单位方针政策贯彻执行情况检查，评价单位决策及其贯彻，并提示其缺陷。

（三）内部审计控制的测评内容

内部审计控制同样是内部控制的一个重要方面，它是用来检查、评价会计控制、管理控制是否健全、有效的重要手段。内部审计控制是根据系统的控制目标和既定的环境条件，按照一定的依据来审查、调节被审查单位经济活动的一种控制活动。它的主要过程是查明问题，对照标准，找出差距，分析可能，提出措施，监督纠正。内部审计控制是信息反馈控制，它既要反馈给被审计单位或个人，又要反馈给单位主要负责人及有关职能部门。内部审计机构和人员是审计控制的主体，被审计单位或经济业务是审计控制的客体，审计信息系统是审计控制的沟通渠道。

作为国家审计和社会审计来说，也有必要对被审计单位内部审计控制工作进行审计，其审查的主要内容是：

（1）有无健全的内部审计组织，其地位如何，是否开展了正常的内部审计工作；

（2）有无明确的内部审计职责和内部审计标准，内部审计其独立程度如何；

（3）内部审计是否采取了有效措施及时查明与纠正偏差，其检查资料与报告是否可靠；

（4）内部审计与单位管理部门、外部审计组织是否协调等。

二、制度基础审计测评要点

忽略必要的控制，会导致单位目标难以达成；但控制过度，同样会影响营运效率的提高。制度基础审计对内部控制要素测评要点如下。

（一）对控制环境的评估要点

1．操守及价值观评估重点

（1）管理阶层是否订有行为守则或类似规范？如有，该规范是否得到贯彻执行？如无，企业文化是否强调操守的重要性？

（2）管理阶层在与员工、供应商、投资人、债权人、竞争对手及注册会计师等交往时，其行为显示出来的操守与价值观如何？

（3）当员工违反既定政策及程序时，如何补救？如何处罚？

（4）管理阶层对逾越既定控制程序的态度如何？

2．执行能力评估重点

（1）是否制定有职务（或工作）说明书？其清晰程度如何？如无工作说明书，管理阶层如何告诉员工做什么工作、应该怎样做？

（2）管理阶层是否认真分析负责某特定工作的员工需具备哪些知识、技术、能力与素质？是如何进行分析的？

3．董事会及监察人评估重点

（1）董事会及管理阶层期待某些短期目标的达成，及获取报酬的程度如何？员工是否受到达成某些不切实际短期目标的压力？他们的报酬依附于这些目标达成的程度如何？

（2）董事会与管理阶层间独立性如何？监察人与管理阶层间独立性如何？向董事会、监察人负责的员工，其任免及薪给如何决定？

（3）董事们与监察人的知识及经验如何？

（4）董事会成员与财务主管、主办会计、内部稽核、外部审计联系的情况如何？提供指导及监督的程度如何？监察人与这些人联系的情况如何？提供指导及监督的程度如何？

（5）董事及监察人获悉的资讯有多少？其中，熟悉性资讯多少？获悉的速度如何？

（6）董事获悉的资讯是否与单位的目标与策略、财务状况、经营成果、现金流量、重大合约条款有关？能否用于监督企业的营运？

4．管理哲学及经营形态评估重点

（1）管理阶层对承接风险的态度如何？

（2）管理阶层与各营业主管间的互动情形如何？

（3）当可供选择的会计政策超过一个时，管理阶层的态度如何？选用的会计政策保守、稳健的程度如何？揭露重要资讯的意愿如何？编造或伪作书面记录的意向如何？

（4）管理阶层是否对外提出内部控制声明书？

5．组织结构评估重点

（1）组织结构是否合适？各重要主管负担的责任如何？他们了解所负责任的程度如何？

（2）各重要主管的知识及经验如何？履行责任的能力如何？

6．权责分派评估重点

（1）单位规模与作业的复杂性如何？权责如何划分，其适切性如何？授给员工的权力与其担负的责任是否相称？员工数量是否足够？

（2）负责资讯处理、财务及会计职能的员工数量是否足够？

7．人力资源的政策与实行评估重点

（1）如何聘雇员工？如何调查员工的背景？如何培养训练员工？

（2）员工升迁及薪资政策如何？员工的留任及晋升与其绩效间的关系如何？如何汇集用以评估员工绩效的资讯？员工的留任及晋升与行为守则间的关系如何？如何积累该方面资讯？

（二）对风险评估的评估要点

1．单位整体目标的制定评估重点

（1）单位制定了哪些整体目标？

（2）如何使员工及董事会了解单位整体目标？他们了解的程度如何？

（3）如何制定策略？策略与整体目标间的关系如何？

（4）如何制定单位计划与预算？它们与整体目标、策略间的关系如何？目标是否合理可行？

2．作业层级目标的制定评估重点

（1）如何制定作业层级目标？层级目标与整体目标、策略间的关系是否明确？层级目标与营业过程间的攸关程度如何？

（2）各作业层级目标是否相一致？

3．风险的分析评估重点

（1）引发单位整体风险的内、外因素有哪些？如何辨识？如何分析每一种因素发生的可能程度及其所引起后果的严重程度？

（2）引发单位层级风险的内、外因素有哪些？如何辨识？如何分析每一种因素发生的可能程度及其所引起后果的严重程度？

4．对改变的管理评估重点

哪些改变会对单位产生重大影响？哪些情况需要高阶层主管加以注意？如何辨认？单位须对哪些改变做出回应？

（三）对控制作业的评估要点

对控制作业的评估重点是：每一项作业的控制政策和程序如何？是否能有效降低已经辨认出来的风险？设计是否有效？控制政策和程序是否已经执行？执行的效果如何？评估时，不仅要注意各项控制作业的要求，还要与内部控制各组成要素联系；在各项作业活动评估结果的基础上，再汇总整体内部控制制度评估结果。

（四）对资讯和沟通的评估要点

1．资讯评估重点

（1）如何取得内、外部资讯？

（2）如何制定和不断修正资讯系统？

（3）管理阶层支持设置资讯系统的程度如何？投入了多少人力、物力？

2．沟通评估重点

（1）取得的资讯给谁用？什么时候给，详细程度如何？如何将绩效资讯提供给各相关部门？

（2）如何告诉员工应负责的任务、应负责的控制作业，以及员工了解的程度？

（3）如何把员工的不当行为或迹象告诉管理阶层？

（4）管理阶层接纳员工建议的态度与能力如何？

（5）单位内各部门如何进行沟通？资讯完整性如何？资讯传递时间与速度如何？

（6）如何与顾客、供应商及其他外部进行沟通？得到资讯后如何告诉相关人员？管理阶层如何反应？采取何种性质的行动？

（7）外界如何了解本单位的道德标准？了解程度如何？

（五）对监督的评估要点

1．持续性监督评估重点

（1）主管如何监督员工进行营业活动？

（2）是否借外界的资讯判断内部资讯的正确性？如有，如何做？

（3）在哪些情况下，会计记录与实际资产比较？如何比较？多久比较一次？

2．个别评估的评估要点

（1）有无设立独立的内部审计机构或专职的审计人员？其人员能力、经验及资格是否符合要求？内部审计向谁负责？人数是否适当？是否兼有审计以外的任务？

（2）审计人员如何执行其审计任务？评估哪些事项？多长时间评估一次？评估的对象是什么？如何评估？评估的方法是否合乎逻辑？是否适当？

（3）评估的结果是否做成书面记录？书面记录是否完备？何人及如何使用这些书面记录？

（4）管理阶层对内、外部审计人员所提建议的态度如何？

3．缺失的报告评估重点

（1）如何报告已辨认的内部控制缺失？报告内容是否详细？报告是否迅速？向谁报告？

（2）缺失报告之后有无采取后续行动？其有效性如何？

制度基础审计除了对五要素测评以外，还要对单位各项作业进行测评。单位内部的主要活动有与外界的互动、主要作业、基础作业、管理作业和控制作业等。企业与外界个体间的互动为最高的一个层次——环境层次。主要作业由进货、营运、出货、营销及销货、顾客服务五个基本价值链作业构成。价值链作业介于供应商与买主之间。这些主要作业又被四个基础作业所支持。这四个基础作业是管理、人力资源、科技发展和采购，每一项作业均接收商品、服务或资讯，均加以处理，并均依次作业。管理作业，由财务管理、企业活动管理、外部关系管理、提供行政管理服务、资讯科技管理、风险管理、法律事务管理、企划管理所组成。财务管理又可进一步分为控制、资金、税务、稽核，其中控制作业又可以分为应付账款的处理、应收账款的处理、资金的处理、固定资产的处理、分析与调节、退休金、薪资处理、税务事务处理、生产成本处理、提出财务报告及管理报告等。对每一项作业进行测评时，首先要明确每一项作业控制的目标是什么，属于什么样的性质；其次要分析影响目标实现的各种风险因素；最后是检查和评价所采取措施的恰当性。