27050《内部审计》讲义(第五章).doc

内部控制审计 内部控制是内部审计的核心内容之一，这在IPPF和我国内部审计准则中都有明确的规定和体现。继发起组织委员会(以下简称COSO)的“内部控制一体化架构”和“企业风险管理整体框架(ERM)”两份研究报告分别于1992年和2004年发布之后，我国有关部门和各大企业纷纷开始重视内部控制制度、规范和标准的设计与执行推动工作。本章以上述报告、规范和内部审计准则为依据，从内部控制基本理论到内部控制审计的基本内容、基本程序和主要方法等方面进行系统阐述。重点把握1234即1个简答（内部控制制度的方法）、2个论述（内部控制的构成要素、述内部控制评价的主要内容）、3个案例（围绕内部控制方法、原则、要素等分析内控缺陷和内控设计不当之处）、4个名词（目标控制、穿行测试法、组织控制、内部控制） 第一节内部 一、内部控制的定义 1992年，美国“反虚假财务报告委员会”下属的COSO发布了《内部控制COSO报告”，开了内部控制的新纪元。COSO报告中， 2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布(以下简称基本规范)。2010年发布了企业内部 二、内部控制的构成要素及比较 (一)COSO内部控制整体架构 内部控制要素源自管理层经营企业的方式，且与管理的过程相结合。根据COSO报告的内容，内部控制要素包括五个方面。 1． 控制环境是其内部控制组成要素基础，是所有控制方式与方法赖以存在与运 2．风险评估 每个企业均应评估来自内部和外部的不同风险。评估风险的先决条件是制定达成的各种不确定因素。风险评估是决定风险应如何管理的基础。由于经济、业务、主管机关和营运环境等不断变化，风险也因变化而来，因此，辨认并处理这些风险自然就很有必要。 3．控制活动控制活动是指确保管理层指令实现的各种政策和程序。它是指针对影响单位4．资讯与沟通每个单位必须按照一定的方式和时间规定，辩识和取得适当的信息，以沟通5．监督监督是评估内部控制制度执行质量的过程。监督的方式有持续监督、个别评(二)企业内部控制基本规范架构 cOSO框架为基础，充分考虑中国企业实际情1．内部环境内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责2．风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的3．控制活动控制活动是企业根据风险评估结果，采取相应的控制措施，将风险控制在可4．信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信5．内部监督内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的可见，COSO还是我国的五部委，都明确了构成内部控制的五大要5一l。 表5—1C00与我国五部委内部控制构成要素内容比较 COSO 我国五部委的企业内部控制基本规范 控制环境 内部环境 风险评估 风险评估 控制活动 控制活动 资讯与沟通 信息与沟通 监督 内部监督 三、内部控制基本方式 尽管各个单位的性质和经营特点有差异，但建立内部控制制度时总是根据实 (一)目标控制 目标控制系指一个单位的内部管理工作应该遵循其创建的目标，分期对生 (二)组织控制 组织控制系指对组织内部的组织机构设置的合理性和有效性所进行的控制。 (三)人员控制 人员控制系指采用一定的方法和手段对职工的思想品德，业务技能和工作能力 (四)职务分离控制 职务分离控制系指对于组织内部的不相容职务必须进行分工负责，不能由一 (五)授权批准控制 授权批准控制系指组织内部各级工作人员必须经过授权和批准才能对有关的 (六)业务程序控制 业务程序控制系指对重复发生的业务采用规范化、标准化的手段对业务处理 (七)措施控制 措施控制系指以特定的控制目标为其控制对象的控制措施，如方针政策控方针政策控制实质是一种纪律控制，主要以单位的方针、政策、计划、预 信息质量控制，即采取一系列的财产安全控制是指为了确保财产物资的安全完整而采取的各项措施和方法。 案例分析资料： 2008年9月15日上午10：00，拥有158年历史的美国第四大投资银行RM公司向法院申请破产保护，消息转瞬间通过电视、广播和网络传遍地球的各个角落。令人匪夷所思的是，在如此明朗的情况下，KFW银行竟然在lO分钟之后仍按照外汇掉期协议的交易，通过计算机自动付款系统向RM公司即将冻结的银行帐户转入了3亿欧元。毫无疑问，这3亿欧元是有去无回的。以下是法律事务所调查员向国会和财政部递交的调查报告，它记载了银行各部门的数十名职员在这10分钟内所做的事情。 首席执行官w：我知道今天要按照协议预先的约定转帐，至于是否撤销这笔巨额交易，应该让董事会开会讨论决定。 董事长B：我们还没有得到风险评估报告，无法及时做出正确的决策。 董事会秘书S：我打电话给国际业务部催要风险评估报告，可那里总是占线，我想还是隔一