6 内部控制及其评价

第一节  内部控制的涵义及要素

一、内部控制的含义

COSO报告中：内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的和程序。

1、内部控制的目标是：（1）合理保证财务报告的可靠性；（2）合理保证经营的效率和效果，即经济有效地使用企业资源，以最优方式实现企业的目标；（3）合理保证在所有经营活动中遵守法律法规。

2、设计和执行内部控制的责任主体是治理层、管理层和其他人员。

3、实现内部控制目标的手段是设计和执行合理的控制和程序。

二、内部控制的要素

（1）控制环境；（2）风险评估过程；（3）信息系统与沟通；（4）控制活动；（5）对控制的监督。

（一）控制环境

控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。包括：

1、对诚信和道德价值观念的沟通与落实

诚信和道德价值观念是控制环境的重要组成部分，影响到重要业务流程的设计和运行。这依赖于管理层如何处理不诚实、非法或不道德行为，高层管理人员通过身体力行来营造和保持诚信和道德价值观念。

例如，管理层在行为规范中指出，员工不允许从供货商那里获得超过一定金额的礼品，超过部分都须报告和退回。

     沟通与落实包括：（1）是否有书面的行为规范并向所有员工传达；（2）企业文化是否强调诚信和道德价值观念的重要性；（3）管理层是否身体力行，高级管理人员是否起表率作用；（4）对违反有关和行为规范的情况，管理层是否采取适当的惩罚措施。

2、对胜任能力的重视

   胜任能力是指具备完成某一职位的工作所应有的知识和能力。

（1）财会人员以及信息管理人员是否具备与被审计单位业务性质和复杂程度相称的足够的胜任能力和培训，在发生错误时，是否通过调整人员来加以处理；

（2）管理层是否配备足够的财会人员以适应业务发展和有关方面的需要；

（3）财会人员是否具备理解和运用会计准则所需的技能。

3、治理层的参与程度

治理层应关注本单位的财务报告，并监督会计以及内部、外部的审计工作和结果。

4、管理层的理念和经营风格

管理层的理念包括管理层对内部控制的理念，即管理层对内部控制以及对具体控制实施环境的重视程度。衡量管理层对内部控制重视程度的重要标准，是管理层收到有关内部控制缺陷及违规事件的报告时是否做出适当反映。

管理层的经营风格是指管理层所能接受的业务风险的性质。例如，管理层是否经常投资于风险特别高的领域或者极度保守。

5、组织结构的职权与责任的分配

6、人力资源与实务

人力资源与实务涉及招聘、培训、考核、晋升和薪酬等方面。被审计单位是否有能力招聘并保留一定数量既有能力又有责任心的员工在很大程度上取决于其人事与实务。

（二）风险评估过程

   任何经济组织在经营活动中都会面临各种各样的风险，风险对其生存和竞争能力生产影响。

可能产生风险的事项和情形包括：

1、监管及经营环境的变化。监管和经营环境的变化会导致竞争压力的变化以及重大的相关风险。

2、新员工的加入。新员工可能对内部控制有不同的认识和关注点。

3、新信息系统的使用或对原系统进行升级。信息系统和重大变化会改变与内部控制相关的风险。

4、业务快速发展。快速的业务扩张可能会使内部控制难以应对，从而增加内部控制失效的可能性。

5、新技术。将新技术运用于生产过程和信息系统可能改变与内部控制相关的风险。

6、新生产型号、产品和业务活动。进入新的业务领域和发生新的交易可能带来新的与内部控制相关的风险。

7、企业重组。重组可能带来裁员以及管理职责的重新划分，将影响与内部控制相关的风险。

8、发展海外经营。海外扩张或收购会带来新的并且往往是特别的风险，进而可能影响内部控制，如外币交易的风险。

9、新的会计准则。采用新的或变化了的会计准则可能会增大财务报告发生重大错报的风险。

风险评估过程的作用是识别、评估和影响被审计单位实现经营目标能力的各种风险。

被审计单位的风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。

（三）信息系统与沟通

    与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。

与财务相关的信息系统应当与业务流程相适应。与财务报告相关的信息系统通常包括下列职能：（1）识别与记录所有的有效交易；（2）及时、详细地描述交易，以便在财务报告中对交易做出恰当分类；（3）恰当计量交易，以便在财务报告中对交易的金额做出准确记录；（4）恰当确定交易生成的会计期间；（5）在财务报表中恰当列报交易。

沟通包括使员工了解与财务报告有关的内部控制方面的角色和职责，员工之间的工作联系，以及向适当级别的管理层报告例外事项的方式。

（四）控制活动

控制活动是指有助于确保管理层的指令得以执行的和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。

1、授权。包括一般授权和特别制授权。

授权的目的在于保证交易在管理层授权范围内进行。

2、业绩评价。

3、信息处理。

处理控制可以是人工的、自动化的，或是基于自动流程的人工控制。信息处理控制分为两类，即信息技术的一般控制和应用控制。

4、实物控制。例如，现金、有价证券和存货的定期盘点控制。实物控制的效果影响资产的安全，从而对财务报表的可靠性及审计产生影响。

5、职责分离。将交易授权、交易记录以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。

（五）对控制的监督

管理层的重要职责之一就是建立和维护控制并保证其持续有效运行，对控制的监督可以实现这一目标。例如，管理层对是否定期编制银行存款调节表进行复核，内部审计人员评价销售人员是否遵守公司关于销售合同条款的。

第二节   内部控制的描述

内部控制调查记录的方法通常有：调查表（问卷）、文字表述、流程图和核对表。

（一）调查表

调查表就是将那些与保证会计记录的正确性和可靠性以及与保证资产的完整性有密切关系的事项列作调查对象，由会计师事务所自行设计成标准化的调查表，交由企业有关人员填写或由注册会计师根据调查的结果自行填写。调查表大多采用问答式，一般要按调查对象分别设计。

调查表的基本格式如表6-1所示。

表6-1               销货内部控制调查表

                                         索引号     页次       

被审计单位名称：                               编制人     日期      

被审计期间：                                   复核人     日期      

文字表述是注册会计师对被审计单位内部控制健全程度和执行情况的书面叙述。

（三）流程图

流程图是用符号和图形来表示被审计单位经济业务和文件凭证在组织机构内部有序流动的文件。

第三节   内部控制的评价

注册会计师完成控制测试后，应对内部控制进行再评价。

一、控制风险评价的概念

评价控制风险，是评价内部控制在防止或者发现并纠正会计报表里的重大错报的有效程度的过程。注册会计师是为了会计报表的认定

二、控制风险评价

控制风险可评价为高水平，也可评价为低水平。

控制风险为高水平，意味着内部控制不能及时防止或者发现和纠正某项认定中的重大错报的可能性很大。

注册会计师只有在确认以下事项的情况下，才能将控制风险评价为高水平：（1）控制和程序与认定不相关；（2）控制和程序无效；（3）取得证据来评价控制和程序显得不经济（即不进行控制测试）。

注册会计师只有在确认以下事项的情况下，才能将控制风险评价为低水平：（1）控制和程序与认定相关；（2）通过控制测试已获得证据证明控制有效。

三、内部控制评价结果对实质性程序的       

影响

如果注册会计师评价控制风险越低（内部控制的可信赖程度越高），注册会计师就可以执行越有限的实质性测试。反之，注册会计师只有依靠执行更多的实质性程序，才能控制检查风险处于低水平，进而控制审计风险处于低水平。只有这样，才能保证审计的质量。

第四节  内部控制审核报告

（一）审核报告的基本内容

审核报告应当包括以下基本内容：（1）标题。（2）收件人。（3）引言段。（4）范围段。（5）固有段、说明段。（6）意见段。（7）签章和会计师事务所地址。（8）报告日期。

1、审核报告的标题应当统一规范为“内部控制审核报告”。

2、审核报告的收件人为审核业务的委托人（全称）。

3、审核报告的引言段应当说明以下内容：（1）被审计单位管理层对特定日期与财务报表相关的内部擦身有效性的认定。（2）被审核单位管理层的责任。（3）注册会计师的责任。

4、审核报告的范围段应当说明以下内容：（1）审计依据，即《内部控制审核指导意见》。（2）审核程序。（3）实施的审核程序为注册会计师发表审核意见提供了合理的基础。

5、审核报告的固有段应当说明以下内容：（1）内部控制的固有。（2）根据内部控制评价结果推测未来内部控制有效性的风险。

6、审核报告的意见段应当说明被审核单位于特定日期在所在重大方面是否保持了与财务报表相关的有效的内部控制。

7、审核报告应当由注册会计师签名并盖章，加盖会计师事务所公章，标明会计师事务所地址。

（二）审核报告的意见类型

审核报告包括无保留意见、保留意见、否定意见和无法表示意见四种意见类型。

1、无保留意见（参考格式）

内部控制审核报告

XX股份有限公司：

     我们接受委托，审核了贵公司管理层对   年  月  日与财务报表相关的内部控制有效性的认定。贵公司管理层的责任是建立健全内部控制并保持其有效性，我们的责任是对贵公司内部控制的有效性发表意见。

我们的审核是依据《内部控制审核意见》进行的。在审核过程中，我们实施了包括了解、测试和评价内部控制设计的合理性和运行的有效性，以及我们认为必要的其他程序。我们相信，我们的审核为发表意见提供了合理的基础。

内部控制具有固有，存在由于错误或舞弊而导致错报发生和未被发现的可能性。此外，由于情况的变化可能导致内部控制定得不恰当，或降低对控制、程序遵循的程度，根据内部控制评价结果推测未来内部控制有效性具有一定的风险。

我们认为，贵公司按照XX标准于   年月   日在所有重大方面保持了与财务报表相关的有效的内部控制。

会计师事务所（公章）      中国注册会计师（签章）

      地址：                 中国注册会计师（签章）                                          

年  月  日

2、保留意见（参考格式）

内部控制审核报告

XXX股份有限公司：

我们接受委托，审核了贵公司管理层对XXX年XX月XX日与财务报表相关的内部控制有效性的认定。贵公司管理层的责任是建立健全内部控制并保持其有效性，我们的责任是对贵公司内部控制的有效性发表意见。

我们的审核是依据《内部控制审核指导意见》进行的。在审核过程中，我们实施了包括了解、测试和评价内部控制设计的合理性和运行的有效性，以及我们认为必要的其他程序。我们相信，我们的审核为发表意见提供了合理的基础。

内部控制具有固有，存在由于错误或舞弊而导致错报发生和未被发现的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或降低对控制、程序遵循的程度，根据内部控制评价结果推测未来内部控制有效性具有一定的风险。

（描述内部控制的重大缺陷及其对实现控制目标的影响），有效的内部控制能够为企业及时防止或发现财务报表中的重大错报提供合理保证，而上述重大缺陷使贵公司内部控制失去这一功能。

我们认为，除上述内部控制的重大缺陷及其对实现控制目标的影响外，贵公司按照XX标准于   年  月  日在所有重大方面保持了与财务报表相关的有效的内部控制。

XX会计师事务所（公章）       中国注册会计师（签章）

      地址：                     中国注册会计师（签章）                                                                           ________________________________________________________________________________________________        

年  月  日

3、否定意见（参考格式）

内部控制审核报告

XX股份有限公司：

我们接受委托，审核了贵公司管理层对XXX年XX月XX日与财务报表相关的内部控制有效性的认定。贵公司管理层的责任是建立健全内部控制并保持其有效性，我们的责任是对贵公司内部控制的有效性发表意见。

我们的审核是依据《内部控制审核指导意见》进行的。在审核过程中，我们实施了包括了解、测试和评价内部控制设计的合理性和运行的有效性，以及我们认为必要的其他程序。我们相信，我们的审核为发表意见提供了合理的基础。

内部控制具有固有，存在由于错误或舞弊而导致错报发生和未被发现的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或降低对控制、程序遵循的程度，根据内部控制评价结果推测未来内部控制有效性具有一定的风险。

（描述内部控制的重大缺陷及其对实现控制目标的影响），有效的内部控制能够为企业及时防止或发现财务报表中的重大错报提供合理保证，而上述重大缺陷使贵公司内部控制失去这一功能。

我们认为，由于上述内部控制的重大缺陷及其对实现控制目标的影响，贵公司未能按照XX标准于XXX年XX月XX日保持了与财务报表相关的有效的内部控制。

XX会计师事务所（公章）       中国注册会计师（签章）

      地址：                      中国注册会计师（签章） 

                                             年  月  日

4、无法表示意见（参考格式）

内部控制审核报告

XX股份有限公司：

我们接受委托，审核贵公司管理层对XXXX年XX月XX日与财务报表相关的内部控制有效性的认定。贵公司管理层的责任是建立健全内部控制并保持其有效性。

我们的审核是依据《内部控制审核指导意见》进行的。在审核过程中，我们实施了包括了解、测试和评价内部控制设计的合理性和运行的有效性，以及我们认为必要的其他程序。我们相信，我们的审核为发表意见提供了合理的基础。

内部控制具有固有，存在由于错误或舞弊而导致错报发生和未被发现可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或降低对控制、程序遵循的程度，根据内部控制评价结果推测未来内部控制有效性具有一定的风险。

由于管理层（描述范围），我们未能实施必要的审核程序以获取充分的证据。因此，我们无法对贵公司内部控制的有效性发表意见。

XX会计师事务所（公章）         中国注册会计师（签章）

    地址：                         中国注册会计师（签章）

                                            年  月  日