内部审计在治理、风险和控制中的作用.docx

《内部审计在治理、风险和控制中的作用.docx》由会员分享，可在线阅读，更多相关《内部审计在治理、风险和控制中的作用.docx（140页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、CIAPart I内部审计在治理、风险和控制中的作用目录1 如何应对CIA- 1 -2 当代国际内部审计新发展- 2 -2.1 传统观念- 3 -2.2 内部审计和内部控制的关系- 3 -2.3 内部审计定义关键词- 4 -2.4 21世纪的内审行业- 7 -2.4.1 SOX法案的出台背景- 7 -2.5 萨班斯-奥克斯利法案简介- 13 -2.5.1 法案的目标- 13 -2.5.2 法案的措施- 13 -2.5.3 法案主要内容- 14 -2.6 内部控制整体框架的由来- 17 -2.6.1 COSO内部控制整体框架（1992）- 18 -2.6.2 企业内部控制发展的几个阶段内部控制可

2、靠性模型- 20 -2.6.3 企业目标、风险和内部控制的关系- 21 -2.6.4 COSO框架的三个维度为评价内部控制提供了标准- 22 -2.6.5 五大要素的具体说明- 23 -2.7 审计服务类型- 27 -2.7.1 尽职调查审计（Due Diligence Audits）- 27 -2.7.2 质量审计- 27 -2.7.3 第三方审计- 28 -2.7.4 合同审计- 28 -2.7.5 项目和绩效审计业务- 30 -2.7.6 运（经）营审计业务- 31 -2.8 审计工具- 37 -2.8.1 通用审计软件（GAS）- 37 -2.8.2 测试数据法- 38 -2.8.3

3、整合测试工具（ITF）讲解- 39 -2.8.4 嵌入式审计模块（EAM）- 40 -2.8.5 平行模拟法- 41 -2.8.6 总结- 42 -2.9 信息技术审计-计算机辅助审计技术及应用- 47 -2.9.1 IT审计方法三过程- 47 -2.9.2 定义计算机辅助审计技术- 48 -2.9.3 可用的CAAT工具以及技巧：- 49 -2.9.4 用于数据提取与分析的计算机辅助审计工具和技术- 49 -3 国际内部审计专业实务框架简介- 51 -3.1 关于胜任能力/能力素质的认识- 53 -3.1.1 中国会计师行业的胜任能力建设问题- 54 -3.1.2 关于内部审计人员胜任能力框

4、架- 55 -3.2 实务框架（Professional Practices Framework）- 57 -3.2.1 标准- 58 -3.2.2 1000系列属性标准（Attribute Standards）- 59 -3.2.3 2000系列工作标准（Performance Standards）- 60 -3.2.4 职业道德规范- 62 -3.2.5 PPF总结- 62 -4 遵守IIA的属性标准- 65 -4.1 1000目标、权限和责任- 65 -4.1.1 1000 目标、权限和职责- 65 -4.2 1100独立性和客观性- 68 -4.2.1 1100 独立性和客观性- 69

5、 -4.2.2 1110 组织的独立性- 69 -4.2.3 1120个人的客观性- 69 -4.2.4 1130 独立性或客观性受损- 70 -4.3 1200熟练程度和应有的职业审慎- 73 -4.3.1 1200熟练程度和应有的职业审慎- 73 -4.3.2 1210熟练程度- 73 -4.3.3 1220应有的职业审慎- 75 -4.3.4 1230持续的职业发展- 75 -4.4 1300质量保障和改进方案- 79 -4.4.1 1300质量保障和改进方案- 79 -4.4.2 1310质量方案评估- 79 -4.4.3 1320有关质量方案的报告- 79 -4.4.4 1330运用

6、“根据标准开展业务”的声明- 80 -4.4.5 1340-披露违规行为- 80 -4.5 IIA职业道德规范- 82 -4.5.1 IIA职业道德规范-原则- 82 -4.5.2 IIA职业道德规范-行为规则- 82 -5 建立风险导向计划，确定内部审计活动的重点- 85 -5.1 2000管理内部审计活动- 86 -5.2 2010计划- 86 -5.3 2020沟通和批准- 90 -5.4 2030资源管理- 91 -5.5 2040政策和程序- 92 -5.6 2050协调- 93 -5.7 2060向董事会和高层管理者报告- 95 -6 理解内部审计活动在组织治理中的角色- 99 -

7、6.1 2100工作性质- 100 -6.2 2110风险管理- 103 -6.3 2120控制- 105 -6.3.1 控制的自我评估（CSA）- 108 -6.3.2 其他实务公告- 111 -6.4 2130治理- 112 -7 履行其他的内部审计角色和职责- 113 -7.1 实务公告2100-2：信息安全- 114 -7.2 实务公告2100-3：内部审计在风险管理过程中的角色- 114 -7.3 实务公告2100-4：内部审计在尚未建立风险管理过程的组织中承担的角色- 115 -7.4 实务公告2100-5：在评价法定的合规性项目时的法律考虑事项- 115 -7.5 实务公告210

8、0-6：电子商务活动中的控制和审计含义- 116 -8 治理、风险和控制知识要点- 122 -8.1 公司治理原则- 122 -8.2 可以选择的控制框架- 123 -8.2.1 目标- 123 -8.2.2 承诺- 124 -8.2.3 能力- 124 -8.2.4 监控与学习- 124 -8.3 风险管理概念和技术- 124 -8.3.1 ERM定义- 125 -8.3.2 ERM目标和组成要素- 125 -9 计划业务- 129 -9.1 2200业务计划- 129 -9.2 业务目标和范围- 131 -9.3 业务资源配置- 134 -9.4 业务工作方案- 135 - 1 如何应对C

9、IA 1.一本好的考试复习用书，通读精读各一遍 2.掌握基本概念，基本理念，不要去死记，理解就行 3.合理安排自己的时间，理论卷和习题卷相结合，看完一部分，就去做与此相关的习题，不要看答案，即便选不出答案，也找一个最能说服自己的答案。4.答错的每一题道，都说明自己在某个环节存在薄弱点，某方面的概念没有搞清楚5.不要去背题，不要搞题海战术，认真做好每一道题，分析每一个选项，理解才是最重要的。6.切记：CIA考题考的是理论点及其应用，考题可以千变万化，但考点雷同。拿下每一个考点才是最切实际的办法7.看出关键词，运用一定的考试技巧，学会有效分析题、做对题的本事。8.不用去道听途说，心态要平和，每年的

10、CIA考题中国地区是没有权力公布的，这是中国政府对IIA的承诺，也是每一位CIA考生对IIA的承诺。例某位员工长年不休假，加班工作，这有可能表明： a.单位工作任务重，该员工只能放弃休假，经常加班； b.该员工具有很好的敬业精神； c.单位内部有规定，要求员工加班并尽可能放弃休假； d.单位内部控制薄弱，该员工有可能存在舞弊行为。 答案D 基本的控制活动：交易授权、职务分离、作业监督、资产接触限制、会计记录、独立性核对。 不相容职务相互分离控制示例 工作职责存在的风险同时负责现金的收取和应收账款的会计记录可能会通过注销应收账款和截留应收账款等调节账簿的方法来私自挪用现金同时负责购货订单的审批和

11、货物的收取可能以组织的名义为个人购入货物，在收取货物时利用职务之便将货物占为己有，同时不向会计部门递交原始凭证或者在原始凭证上反映虚假信息同时负责付款的审批和购货订单签发与审核可能会伪造购货业务并支付货款，从而贪污现金2 例题 以下哪项控制薄弱环节最有可能致使舞弊产生： a.计算机化信息管理系统合同期已满的雇员的注册账户没有立即取消； b.负责现金记录的核对工作和银行存款工作的雇员同时负责所有现销工作； c.无论什么时候到货，某雇员都负责将辨别性信息输入存货数据库。经理定期将库存记录同现有的货物进行比较； d.由于人手短缺以及优先考虑事项存在利益冲突，用以核实永续库存系统的实物清点工作经常推迟

12、。 对于组织而言，现金收付职能必须与相应的现金记录职能分离，目的在于: a.确保现金收付的实物防护安全； b.在现金收支的最初确定责任； c.避免现金坐支； d.避免挪用现金。答案D2 当代国际内部审计新发展这样安排，是为了让广大学员：1.认识内审（what、how、why）2.明白内审可以为组织带来效益，为组织增值，也能提升个人的价值3.重视内审是公司治理的一个重要手段（地位的提升）4.了解建立成功内审职能的重要因素（能力素质、道德规范、工具运用）5.充分了解CIA考试的知识点，以及难点、重点6.明确考试动机，把握考试心态7.去掉考前准备的浮躁心理，去掉考试神秘感2.1 传统观念对内部审计的

13、一些传统观念l 成本中心 通常分为成本中心、收入中心和利润中心三类。l 非增值部门l 负责寻找麻烦的工作，小事化大l 工作不受重视l 是一个可有可无的部门上述观念在中国很具普遍性，核心原因是对内部审计的定位不明晰，从业人员能力素质不匹配造成的。如果企业不设立内审部门，或者内部工作不到位，董事会、高管层只能依靠各主要业务部门负责人来评价各部门执行内部控制过程的优劣，而这将导致:l 内部控制缺乏客观性l 可能因其它工作压力而被忽视l 董事会得到的信心保证大减l 经营风险上升l 内部控制过程严重崩溃。2.2 内部审计和内部控制的关系1939年，AICPA第1号审计程序公告；1949年，第一个内部控制

14、定义1977年，FCPA1992年，COSO2002年，SOX4042004年，PCAOB第2号审计准则企业的管理层大多不会亲自对企业每一部分运营工作进行控制，一般会依赖企业系统中的内部控制，代替其执行控制管理的工作，而这就容易产生“代理 委托-代理关系，可能会出现委托代理的背离。人”的问题所以，高层管理者需要委派独立的人员，代他们履行职责，审核企业的所有内部控制过程是否正常运转。早期的内部审计从财务审计向运营审计的转变是意义深远而长久性的。内部审计师早期的目标主要是围绕资产的安全保障。全美产业研究委员会对内部审计的早期动机研究（20世纪40年代）：保护公司财产和察觉舞弊行为是内部审计的主要目

15、标。因此，审计师们将他们的注意力主要集中在对财务记录的检查和对那些很容易被盗用的资产的确认上。几十年前在管理人员中一个非常流行的观点就是：审计方案的主要目的就是从心理上威慑做错事的员工。20世纪40年代，曾经由内部审计师开展的会计记录核对工作由自动化查验程序完成，内部审计师开始拓展审计范围，超出传统的财务审计范畴。他们努力转向通过运用各种方法来辅助管理层。1948年，阿瑟肯特首次在内部审计师杂志提出“运营审计”的概念。到1975年，IIA的调查表明：95%的受调查人员都在开展运营审计，运营审计的目的是判断运营的效率、效果和经济性。这份研究还发现审计时间中有51%用于运营审计。1957年IIA内

16、部审计职责声明：l 检查和评价会计、财务以及运营控制的合理性、适当性和适用性。l 确定对规定政策、计划和程序的遵循情况。l 确定对组织各类资产的负责程度以及免于各类损失的保障程度。l 确定组织内部所产生的会计及其数据的可靠性。l 评价履行职责的工作质量。1963年全美产业研究委员会对内部审计目标的研究表明：l 确定内部控制系统的适当性。l 调查对组织政策和程序的遵循情况。l 确认资产的存在性，确保保持对资产的合理保障或发现舞弊行为。l 核对会计和报告系统的可靠性。l 向管理层报告有关的发现并在必要时建议纠正措施。事实上，内部审计应该是：是一种独立、客观的确认和咨询活动，旨在增加组织的价值和改善

17、组织的运营。它通过应用系统化、规范化的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。-国际内部审计师协会 （IIA，1999）2.3 内部审计定义关键词l 独立的l 客观的l 确认和咨询服务l 增值l 改善运营l 帮助组织实现目标确认服务：为了对组织的风险管理、控制和治理过程提供独立的评估而客观检查证据的活动。范例可以包括财务审计、运营审计、绩效审计、合规性审计、系统安全审计和尽职审计。咨询服务：是一种顾问及相应的客户服务活动，这种服务的性质和范围通过与客户协商确定，意在使内部审计师不承担管理责任的同时，为组织增值以及改善组织的治理、风险管理和控制过程。范例可以包括商议、

18、建议、协调和培训等。独立性 不会威胁客观性或客观性外表的情况。这种对客观性的威胁一定要在内部审计师、业务、职能和组织的层面进行管理。客观性 是一种无偏的精神姿态，它要求内部审计师在开展业务时，对他们的工作成果持有诚实的信念，没有重大的质量妥协。客观性要求内部审计师不能把对其他事务的判断凌驾于对审计事务的判断之上。 内部审计定义（1993）：内部审计是组织内部设立并服务于组织的一种独立的评价活动。它是一种控制，通过检查和评价其他控制的适当性和有效性来发挥作用。内部审计的目的是协助组织的管理层有效地履行其职责。为此，内部审计向他们提供与所审核的活动有关的分析、评价、建议、忠告和信息。内部审计的目标

19、包括以合理的成本促进有效的控制。变化老定义新定义地位独立的独立的、客观的性质评价活动确认和咨询活动目标以合理的成本促进有效的控制目的是增加组织价值和改善织织的运营责任帮助机构成员有效履行职责帮助机构实现其目标方法对与被审核活动有关的信息进行分析、评价、建议和咨询系统化、规范化的方法工作范围通过检查和评价其他控制的适当性和有效性来发挥作用评价和改善风险管理、控制和治理过程的效果另外，内部审计和外部审计存在重大的区别内部审计外部审计公司内部管理、治理机制、控制机制的组成部分完全独立于公司架构对公司和董事局负责对公司股东负责对公司的运营和财务工作进行审核、评价对公司年度财务报表是否真实、公允发表意见

20、针对公司管理层关注作重点调查（财务或非财务范围）针对会计账簿、凭证和有关资料进行实质性检查非定期性定期进行例题1.从现代内部审计的角度看，以下哪项声明表明内部审计活动是对管理层最为重要的收益： a.确保已公布的财务报表的准确性； b.确保可以检查出舞弊活动； c.确保组织遵守法律规定； d.确保对日常的运营进行合理的控制。 答案d2.建立内部审计活动的主要原因是：a.减轻过重的管理责任，建立有效的控制； b.安全保障委托给组织的资源；c.确保财务、经营信息的可靠性和完整性；d.评价并改进控制过程的效果。答案d例题1.内部审计能提供确认和咨询活动。确认服务的范例是：a.顾问业务；b.协调性业务；

21、c.培训业务；d.合规性业务。答案d2.乔治是XYZ公司新来的内部审计师，他曾在10个月之前负责公司的薪酬工作。如果乔治开展以下哪项和薪酬有关的服务，将使独立性或客观性受损： a.咨询服务； b.确认服务； c.确认或咨询服务； d.既非确认服务，也非咨询服务。答案b在评估自己以前负责的具体业务时，内部审计师应该回避。倘若某位审计人员为自己在以前年度中负责的活动提供了确认服务，可以假定客观性受损（标准1130.A1）。因此，倘若乔治提供薪酬方面的确认服务，就可以认定其客观性受损。内部审计师可以对他们以前负责的相关业务提供咨询服务（标准1130.C1）。2.4 21世纪的内审行业21世纪的全球内

22、部审计行业，在SOX、COSO内部控制整体框架、COSO企业风险管理整体框架、COBIT框架、BASEL II以及PCAOB有关准则的推动下，正在迅速发展，行业地位明显改善，内部审计已成为有效公司治理的基石之一。2002年，21世纪的美国上市公司治理原则发布，明确提出了有效公司治理的10项原则，并得到IIA及相关行业部门、管制部门的认同，他们相信：董事会、管理层、外部审计师和内部审计师构成了有效公司治理的基石。因此，内部审计在组织治理中的角色大大提升。2002年，萨班斯-奥克斯利法案的出台，完全改变了财务审计、公司治理、外部审计、内部审计机构的角色以及其他的众多规则2.4.1 SOX法案的出台

23、背景连续的会计丑闻是萨班斯-奥克斯利法案出台的直接原因。2001年年底美国安然、世通、施乐、默克制药、泰科等一批大公司会计丑闻接连曝光，诚信危机震撼着美国及国际社会，为了提高民众对美国金融市场和政府经济政策的信心。2002年7月美国总统布什签署了萨班斯-奥克斯利法案，SOA，这是一部管制美国上市公司会计和审计实务的联邦立法，也称“上市公司改革和投资者保护法案”。同年美国上市公司会计监督委员会（PCAOB）成立，这是一家对公共会计师行业进行监管、并制定财务审计准则的独立机构，它从AICPA手中接管了制定审计准则的程序。内部审计迎来了发展的大好良机，2002年，时代周刊头一次将三位女性评选为时代年

24、度人物。从某种角度看，这三位女性都是“小人物”，但她们涉及的是大问题。她们勇于揭示政府机构与大公司中的问题，而政府机构和大公司都是民众生命财产的守护者。时代周刊用两句名言阐释了她们行为的正当：马丁路德金说:“我们的生命终止于我们对要紧事物沉默之时。”人民公敌中有句台词:“社会就像一艘船，每个人都要准备掌舵。”世通公司内部审计师 辛西娅库珀（ Cynthia Cooper）2002年，揭发世通在以往年度隐瞒亏损，把应计当期费用资本化为固定资产，透过折旧把当期费用分年摊销入损益表。调查结果，世通从2000和2001年度原审核净利润76亿美元和24 亿美元调整为净亏损489亿美元和92 亿美元，虚增

25、资产、少计费用及错计收入等共虚报利润高达740亿多美元。公布利润需要作出调整之后，股价由最高64美元跌至最低0.9美元，裁减员工17,000人。安然公司副总裁莎朗沃特金斯（Sherron Watkins）2001年10月份，安然突然传出接近6亿美元亏损的季度财务报告。调查结果，安然被迫承认做了假账，自1997年以来，虚报盈利大约6亿美元，并把即将到期的39亿美元的债务隐瞒了24亿美元。2001年11月28日，曾高逾90美元的安然公司股票一天之内暴跌75%；两天后，又跌至每股0.26美元，股价缩水到不足高峰时期的0.3%。12月2日，安然向法院申请破产保护。安然破产，不仅使数以千计的普通工人失业

26、，JP摩根、花旗银行等大财团的损失也以百亿美元计算。联邦调查局干员科琳罗利（Coleen Rowley）2002年5月，她向联邦调查局局长米勒提交一份备忘录，强调联邦调查局并未重视她早先对穆萨维的怀疑，以至丧失有可能避免“911”事件发生的机会。所以说，当前的内部审计正在走向前台国内外上市公司的会计信息失真情况越趋严重而当前推进内部审计职能发展的逻辑关系是当然，内部审计也在面临挑战其实，有关内部审计何处去的讨论早在2000年3月就开始了，当时由J.P摩根、霍尼韦尔、花旗银行、美国股票交易所等全球知名公司发起，IBM、戴尔、科达、美林、GE、普华永道等公司高层管理者参与的内部审计领导者论坛，就内

27、部审计行业的发展达成以下共识。中国的内部审计也在进步之中。l 全球内部审计导向在演变l 全球内部审计职能在转变l 全球内部审计的方法在改变l 全球领先级的内部审计职能在七个主题方面的改变l 全球企业对内部审计的期望在增加l 中国在海外上市企业的治理结构受到挑战，内部审计职能的建设已引起高管层关注。l 中国有关监管机构（如国资委、银监会）的内部审计法规正在相继出台。l 中国知名企业内部审计人员招聘正体现出现代内部审计工作的多样化。中国地区参加CIA考试的人数近年已达到全球报名人数的三分之二。全球内部审计导向在演变全球内部审计职能在转变 全球内部审计的方法在改变 全球领先级的内部审计职能 现代内部

28、审计正在改变的七个主题 l 领导层l 具有商业运作的背景，不再是单纯的职业审计人员。l 平均在任两年，两年至三年后转到其他岗位。l 具有前瞻性的观点以及更加深厚的经验。l 较90年代中期发生了本质的变化。l 组织特性l 内部审计的领导者获得更高的重视，被看作是企业管理的强有力角色。l 可接触到最高管理层。l 在必要时有质询权。l 个性特征：l 非常进取l 严格要求。l 目标重塑l 对风险和控制事项提供审计和咨询服务。l 最终目标：提供增值服务。l 注重价值l 对风险、控制和治理过程进行独立评价。 l 与企业运营单位是合作伙伴关系。l 为企业培育人力资本。l 优化运营活动。l 改变的速度l 企业

29、整体更易于接受快速转变。l 电子商务市场速度的挑战。l 影响内部审计人才招聘和薪酬。l 人力l 稳定人才和薪酬是主要的挑战。l 运营经验是持续提供增值的重要能力。l 金字塔型变为钻石型的人力资源架构。l 更少的职业审计师，更多领域的专才，不仅仅是财会人员。l 电子商务l 崭新的不断改进的商业模式。l 电子商务不仅仅是一种技术。l 对现行的活动带来新的风险。l 信息技术/信息系统审计益发重要。l 全球企业对内部审计的期望在增加 2.5 萨班斯-奥克斯利法案简介2.5.1 法案的目标l 提高公司根据证券法或其他目的的要求做出披露的准确性和可靠性l 加强公司治理，重建投资者的信心。2.5.2 法案的

30、措施l 设立上市公司会计监督委员会（PCAOB）l 加强独立审计师的独立性l 强化公司的责任以及审计委员会的责任l 更新财务披露的要求l 设立了犯罪惩戒条款并进一步加强了白领犯罪的惩罚措施。管理层在新法案下需要承担的法律责任CEO和CFO必须签署书面声明如下：（a）302条款（民事）-管理层对财务报表的责任l 审核了公司历史财务报告l 确认财务报告的披露准确、完整、公允l 承担责任，保证维护及评估财务报告出具的相关披露控制及程序l 建立并且维护“披露控制和程序”的制度l 生效：2002年8月29日（b）404条款-管理层对内部控制的责任l 对公司设立和维持适当的财务报告内部控制系统负有责任l

31、对公司内部控制在过去90天内评估，并披露其效果（必须有足够的文本证据）l 已向独立审计师和审计委员会披露了内部控制的重大缺陷l 生效：在2005年7月15日当日或之后结束的首个财政年度结束时（c）906条款（刑事）-向美国证监会呈报的期报的责任l 报告完全遵循美国1934年证券交易法的规定和要求l 在所有重大方面，其信息披露都要公允地反映了公司财务情况和运营l 对于违反本条款，公司主管处罚额高达500万美元，并可判处高达20年的监禁l 生效：2002年7月30日。2.5.3 法案主要内容（a）对“财务报告的内部控制”的定义l 引用COSO内部控制整体框架体系l 包括“财产保管控制”以及“防止舞

32、弊欺诈”的控制（b）管理层在年报中声明：l 管理层声明管理层有职责建立并保持一套完整的有关财务报告的内部控制体系和程序l 管理层对公司财政年底时财务报告内部控制的执行效果进行的评估l 声明管理层评估内部控制所采用的框架标准，并由公司年报财务审计的会计师事务所对管理层的财务报告内部控制评估进行特别审计并出具审计意见。PCAOB第2号审计准则简介（1）PCAOB于2004年3月9日发布了审计准则第2号与财务报表审计协同进行的对于财务报告的内部控制的审计。（2）该准则已于2004年6月17是由美国证监会批准，成为审计师对财务报告的内部控制进行审计的法律依据。（3）明确了管理层的责任：（a）识别评估对

33、象（b）识别评估范畴（c）评估控制的失效风险（d）评估控制效果（e）评估缺陷的严重性（f）就主要发现与相关方面进行沟通（g）评估主要发现是否和评估结果相一致。（4）审计师需要确定管理层是否开展了以上工作。（5）准则明确了管理层在内部控制审计中应承担的责任：l 管理层对内部控制的效果负责l 管理层应使用适当的标准（COSO）来评估公司内部控制的效果l 管理层应取得并保留充分的证据（包括文本记录）作为其对内控评估的依据l 管理层应从2005年12月31日起，在公司年报中发表对于财务报告内部控制效果的书面评估意见。（6）准则要求审计师：l 评价管理层对内控的评估流程是否令人信服，以确保管理层评估结论

34、是在合理的基础上得出的l 独立测试内部控制的效果，以确认管理层的评估是否正确，并得到了公允地表达。因此，准则要求审计师在报告中发表两项意见：一项意见针对管理层的评估流程，另一项意见则直接针对内部控制的效果。（7）准则要求当财务报告的内部控制存在一个或一个以上重大弱点（material weakness）时，审计师必须对公司内部控制的效果发表否定意见。重要缺陷（significant deficiency）是一个内控缺陷，或是多个缺陷的组合，负面地影响公司依照公认会计准则可靠地进行初始、授权、记录、处理或报告对外财务数据的能力，进而导致无法防范或发现公司年度或中期财务报表中存在并较为重要的错报。

35、重大弱点是一个重要缺陷，或是多个重要缺陷的组合，进而导致年报或中期报告中显著错报不能被预防或发现的可能比较大。（8）管理层需要对内部控制制定充分的文本记录审计师将评价管理文件是否对管理层的评估提供了合理依据，以及这些记录是否包括以下内容：l 与所有财务报表的重要会计科目和披露事项的相关认定的内部控制的设计，包括对于财务报告有关的内部控制的五大要素（控制环境、风险评估、控制活动、信息与沟通、监控）以及公司层面的内部控制的文本记录l 重大交易如何初始、授权、记录、处理和报告的信息l 关于交易流程的充分信息，以便能发现可能产生的重大错报（一般由于错误或舞弊）l 为预防或发现舞弊而设计的控制，包括内部

36、控制的责任人和相关职责分工l 对于期末财务报告流程的内部控制l 对于资产安全保障的内部控制l 管理层测试和评价的结果。（9）审计师的职责审计师需针对每一个影响重要会计科目或会计科目的主要交易类型，确定对应的重要流程。对于每一个重要流程，审计师应当l 了解交易流程，包括交易是如何初始、授权、记录、处理和报告的l 确定流程中可能产生相关财务报表认定错报的环节（包括由于舞弊产生的错报）l 明确管理层为防止潜在错报而实施的内控l 明确管理层针对防止或及时发现未授权取得、使用或处置公司资产而实施的内控。（10）准则要求审计师在每次年度审计中，对每个主要交易类别至少实施一次跟单作业（walkthrough

37、）。在跟单作业中，审计师要从原始凭证开始，跟踪至公司的会计信息系统和财务报告的准备流程，直至财务报表跟单作业可以帮助审计师确定其对流程的了解是否准确，并为审计师评价财务报告的内部控制设计效果提供必要的信息。内部控制测试（1）内部控制设计l 准则要求审计师通过评估内控是否实现公司的内控目标，来评价内控设计的效果l 准则还要求审计师通过执行内控测试来获得相应的证据，以证实与所有重要会计科目和披露事项的相关财务报表认定相关的内控执行有效性l 对内控的测试量应覆盖业务交易金额的60%-70%。（2）内部控制执行l 每年，审计师都必须获取足够的证据来证明整个公司财务报告的内部控制（包括对所有内控要素的内

38、控）都得到有效的执行l 同时准则要求审计师应当每年都应变更测试的方法。（3）2006年7月15日之后，中国在美上市企业将面临SOA考验l 目前，许多中国公司都在内部控制流程的记录、文档准备和IT控制活动的测试方面花了很多时间，有的公司建立了涉及企业经营、IT系统控制、投融资管理、财务监控、法律法规监督等方面涵盖几百个风险点的内部控制体系。这些是内部控制测评所要求的“硬件”程序，“硬件”比较容易通过。相对公司控制环境的“软件”而言，其实施难度要比“硬件”大得多，有些控制环境涉及整个公司治理结构，已超出了CEO、CFO控制力的范围。l 为了少走一些较早实施“SOA法案”美国公司已经走过的弯路，建议

39、中国公司应从一开始就注重实施公司治理层面的改进工作。例如，公司的CEO和CFO应成为遵守内部控制制度的表率，充分发挥审计委员会和内部审计的作用，重视对员工遵守职业道德的培训，严格执行职责分离、工作分配、岗位描述等方面的规章制度，在公司内部形成一个自上而下有效贯彻内部控制的过程。l 2006年7月15日之前，各公司的CEO和CFO还要为对外披露的财务报告的可靠性签字而实施内部控制自我评估。由于在美国上市的中国公司大多都是规模很大的公司，需要测试所有重要的控制点。如果某一个公司有30个省级公司或分公司，每个省级公司又有5-8个市级公司，从流程上讲每个省级公司以及分公司都会有10多个或者更多的业务流

40、程，每个业务流程有可能有5-10个重要的控制点。如果用3-4个小时测试一个控制点，计算下来，测试的工作量非常庞大。而这只是初步的测试，对测试发现的问题还需要改进，随后对改进的情况还需要进行再测试，从而达到没有重大的控制缺陷。l 1938年，麦克森-罗宾斯丑闻，当时的SEC对内部控制实务的研究是：所有审计关键的、基本的问题被很多会计师以一种草率的方式处理。因为在对财务报表进行审核的过程中，对很多审核事项都采用测试和抽样程序，所以对我们来说，全面了解客户的内部审核和控制体系的必要性怎么强调也不过分。l 1949年，会计职业团体提出第一个内部控制定义：内部控制包括在组织内部采用的，以保证资产的安全性

41、、检查会计数据的准确性和可靠性、提高运营效率、促进管理政策的贯彻和实施为目的的计划，以及所有与之相协调的方法和措施。2.6 内部控制整体框架的由来 20世纪70年代中期的水门事件调查:确认出一些美国公司存在违反的政治捐赠，包括向国外政府官员贿赂。这样就产生了对内部控制的不断关注。 反国外贿赂法案（FCPA，1977）:美国国会根据“水门事件”调查结果举行了听证会，并颁布了FCPA，包含有关会计和内部控制的条款，这些条款要求公司管理层保持适当的簿记和记录，并设计内部会计控制系统。 SEC （1979）:SEC提议了针对机构内部会计控制的强制性管理报告规则。这些提议的规则还要求独立审计师的报告。密

42、纳汉委员会 （1979）:AICPA建立的有关内部控制的专门委员会，该委员会提供了有关建立并评价内部控制的指南。 科恩科员会报告 （1978）:这份由AICPA发起的有关审计师责任的研究，建议公司管理层在披露财务报表时附上一份披露公司内部控制制度的报告。该报告得到了FEI的认可。 财务经理人研究基金会 （1980）:该研究的在内部控制上的主要贡献是对内部控制特性、条件、做法和程序进行分类。 特雷德威委员会报告 （1987）:其主要目标是识别出欺诈性财务报告的偶然因素，并建议减少这种偶然性。许多建议都针对内部控制，要求发起组织合作，来统一内部控制概念和定义。2.6.1 COSO内部控制整体框架（

43、1992） COSO内部控制由三大目标和五大要素组成：（1）三大目标运营的效果和效率财务报告的可靠性遵守适用的法律法规。（2）五大要素控制环境风险评估控制活动信息沟通监控（3）在COSO下内部控制的定义为：受组织的董事会、管理层和其他人员影响的一个过程，内部控制的设计为组织以下目标的实现提供了合理的保证：l 内部控制是一个过程(工具)，它是达到目的的方式，内控本身并不是目的；l 内部控制（内部控制体系不等同于文档，还涉及到执行的问题，更多的企业是执行的问题，而不是内控文档的问题。问题在于，执行的阻力来自于哪里？来自于哪些方面？）通过人起作用，它不是纯粹的政策手册和表格，而是通过组织中各个层次的

44、人员起作用；l 内部控制可以被期望为对组织的管理层或委员会提供合理的保证，但不是绝对的保证；l 内部控制的目的是为了实现一个、多个独立但相互重叠的组织目标（关于目标量化的问题。彼得.德鲁克，你无法测量他，那么你就无法管理它）。（4） 对内部控制的态度l 我们经常使用内部控制，但我们对它还有很多误解。因此，我们需要花些时间来研究内部控制的本质和我们通过内部控制能得到什么不能得到什么。l 首先，强有力的内部控制系统意味着公司能够提高效率和效果，加强对外部事物的控制能力。l 另外，人们可以得到可靠的相关信息, 他们可以在合适的时间和地点来使用。良好的管理和有效的内部控制可以保证一个组织随时处理出现的

45、不利情况，限制其不利影响。有效的控制可以给公司成员充分的自由度来发挥其判断力和想象力，管理错误行为带来的风险,从而帮助公司走向成功。l 可是，内部控制并不能保证公司的成功（内控的目的在于防止最坏，而非实现最好）。内部控制只是管理过程的一个部分,而不是全部。无论内部控制设计得如何完美，执行得如何良好，它也只能对企业所要达到的目标提供合理的保证。l 内部控制不能解决企业的所有问题，内部控制只是一种防范机制。案例：摩托罗拉对内部控制的态度SOX与COSO的关系 2.6.2 企业内部控制发展的几个阶段内部控制可靠性模型（1）不可靠级：控制处在未经设计或不运行的未知环境中。（2）不正式级：控制得到设计并运行，但没有适当的记录；控制多数情况下取决于人；对控制没有正式的培训或沟通。