《{财务管理内部审计}武汉大学审计学讲义四》由会员分享,可在线阅读,更多相关《{财务管理内部审计}武汉大学审计学讲义四(36页珍藏版)》请在金锄头文库上搜索。
1、第四讲 内部控制及其测试,内部控制的概念及演变 内部控制的要素 内部控制的调查 内部控制运行有效性的测试,重庆市垫江县国家税务局征收员左玲,承担用电脑对税款解缴汇总入库的职责。工作认真负责,上班总是最先到,下班总是最后一个离开,经常帮助同事收缴税款。因“表现出色”,连续几年被该局评为先进工作者。 后偶然发现汇总税款时可删除部分完税证记录后再进行汇总,遂产生贪污税款的念头,共贪污税款8万余元。 2004年11月,垫江县检察院接到群众举报,随即立案侦查,查清其贪污税款的犯罪事实。据其交代,作案时间均选择在同事们下班离开后。 郑州亚西亚商场控制环境 英国巴林银行破产倒闭事件 好制度与坏制度,内部控制
2、的概念与发展,内部控制是被审单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序(借鉴94年美国COSO报告的定义)。 在调查、测试和评价内部控制的基础上进行抽样审计是现代审计的一个重要标志。 内部控制审计可以成为一种审计业务类型。,预防性控制:事前防范预计损失,如客户信用审核、反担保机制 检查性控制:揭示已发生的损失,如编制银行存款余额调节表、账龄分析 纠正性控制:改正已发现的问题, 指导性控制:导向有利的结果,课外读物:农行严控贷后管理“短板”,“根据省级分行的调查,前几年新形成的不良贷款,30由贷前决策失误造成,而高达7
3、0应归咎于贷后管理不到位。”中国农业银行总行信贷管理部负责人说。 提起金融风险,首先牵动神经的是贷款诈骗、内外勾结、权钱交易等及贷款调查不实、审查不严、审批不准等。上述因素是造成信贷风险的重要原因,但更大的“魔鬼”贷后管理。 与其他国内商业银行类似,起初农行也将重点放在规范贷前决策上,而对贷后管理,即贷款审批后到贷款本息全额收回这一段时间内对客户风险、市场风险的全程识别、监控、提示和化解不予重视。 2000年农行开始强力推行审贷部门分离、贷审会民主决策、报备制度、主责任人制度等一系列“信贷新规则”,新增贷款质量提高,但贷后管理的薄弱却凸现出来。因贷后管理不到位,出现了个别集团客户在某分行已出现
4、不良贷款而在另一分行同时新增贷款的现象,以及客户将抵质押物悬空、转移,恶意逃废银行债务,而银行仍高枕无忧。,贷后管理难度大、跨度长,且不能直接带来效益,一直为各级行有意或无意地忽视,对客户“重开发、轻维护”,对贷款“重投放、轻管理”的思想和行为普遍存在。 针对贷后的漏洞,自2003年以来,农行从多方面入手加强风险管理。仅总行在2004、2005年组织的大规模信贷检查就涵盖了37家一级分行,处理主责任人57人次,通报批评15家单位;而全系统2004、2005年收到各类处罚的人次超过万余人次。 截至2005年末,总行和一级分行重点管理户数达到1700户,二级分行重点管理户数达到11000户,总行、
5、一级分行、二级分行重点管理客户贷款余额超过10000亿元。与此同时,农行还初步建立了风险预警及处理机制,提高了风险预警及反应速度。 该负责人说,“贷后管理是一项根本性、长期性、艰巨性的任务。”目前农行贷后管理的一些深层次矛盾仍未得到根本性解决,考核、激励机制尚未到位,贷后检查流于形式、风险信号不敏感、处置风险的手段有限等问题仍不同程度存在。,1939年,AICPA吸取Mckesson & Robbins舞弊事件的教训,要求在审计报告中明确说明被审单位内部控制制度的建立和运行状况 。 我国审计准则指出,注册会计师应了解与审计相关的内部控制以识别潜在错报的类型,考虑导致重大错报风险的因素,以及设计
6、和实施进一步审计程序的性质、时间和范围。 Sarbans & Oxley 302条款要求:公司财务报告的签字人有责任建立和维持一套内部控制程序,将评估其有效性的结论反映在报告中,并向外部审计师和董事会审计委员会报告对财务信息产生不利影响的内部控制设计和执行上的重大缺陷。,内部牵制 内部控制制度 内部控制结构 内部控制框架 披露控制和程序 财务报告内部控制 企业风险管理(2004年),内部控制的局限性,内部控制存在下列固有局限性,无论如何设计和执行,只能对财务报告的可靠性提供合理的保证: 难以控制例外和偶然事项 在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效 可能由于两个或更多的人
7、员进行串通或管理层凌驾于内部控制之上而被规避,不能将控制风险作为审计风险模型的影响因子。注册会计师只要通过控制测试得到了一个比较满意的结果,就理所当然地认为他们已经有了一个比较高的计划检查风险水平,从而减少实质性测试工作量。这就可能为注册会计师的审计埋下很大的隐患。因为,首先控制测试得到的是内部证据,可以被管理当局操纵,其证明力比较差。其次,内部控制在防止无意的错报以及员工舞弊(不包括串通舞弊) 方面有着积极意义,但在防止管理当局舞弊方面无能为力,否则不会有所谓的“内部人控制”问题。也就是说,注册会计师对控制测试的满意程度与管理当局是否存在舞弊没有直接的关联关系。国内外所发生的上市公司舞弊案件
8、中可说明。,内部控制的要素:控制环境,包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。 奠定一个公司的控制文化,影响着人们的控制意识,能增强或弱化公司各种控制政策、程序和措施的作用。 在评价控制环境的设计和实施情况时,注册会计师应了解管理层在治理层的监督下,是否营造并保持了诚实守信和合乎道德的文化,以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。 州官放火与百姓点灯,控制环境的因素: 对诚信和道德价值观念的沟通与落实 对胜任能力的重视 治理层的参与程度:董事会及所属委员会 管理层的理念和经营风格 组织结构 职权与责任的分配 人力资源政策与实务 核心是:管理
9、思想与经营方式(控制态度)、企业组织架钩(控制途径)和人力资源管理(控制执行),案例1:世界通讯激进主义主导的管理风格和企业文化,世界通讯CEO埃柏斯一手创造了公司的辉煌,是公司顶级元老。董事会虽然对公司业绩和大规模的并购决策比较关心,但是这些董事也许是出于对埃伯斯能力的信任,也许是出于便利,绝少怀疑其决策;而公司的普通职员没有机会了解其为公司所做的具体一切和他管理公司事务的方式,但是他们相信世界通讯在不断成长,相信他为此付出的努力。这样,一方面,可能是鉴于埃伯斯的个人能力和人格魅力;另一方面,也鉴于人们对其能力的无限认可与信任,在世界通讯的董事会和各级管理部门中,无形中产生了一个以其个人处事
10、方式为基础、受其意志支配的管理风格,以及相应的企业文化。 在这种企业文化的影响下,经过20世纪90年代中期董事会及下属各委员会的“放权”以及埃伯斯和苏利文(世界通讯的CFO,埃伯斯的得力助手)的“集权”,世界通讯以人为中心的管理方式逐渐占据了优势地位,而包括董事会在内的权力部门对公司并购和财务报告等重大事务的知情权和实质控制权被悄悄地转移到了集权者手中。,案例1续,埃伯斯对公司各个层面事务的影响无所不在,苏利文则几乎掌控了财务工作的各个方面。世界通讯90年代末期非常激进、冒险的并购政策就是带有上述特点的管理风格的产物。 世界通讯以激进主义为主导的管理风格和企业文化的形成,无情地摧毁了公司的控制
11、环境,动摇了公司财务报告的城信原则。埃伯斯渴望由他领航的世界通讯早日坐上美国电讯业的头把交椅;而苏利文除此而外还坚信通过“各式会计手法进行必要的数据变造”是完成这一目标的捷径。世界通讯这两位呼风唤雨的灵魂人物共同的职业理想和苏利文对“会计手法=魔术行为”的执著信奉,交织成了世界通讯财务舞弊文化的根源,也注定了世界通讯财务中心将不可避免地卷入到一场财务报告欺诈的浩劫之中。,世界通讯公司的合并资产负债表(单位:百万美元),内部控制的要素:风险评估,注册会计师应了解被审单位的风险评估过程和结果。风险评估过程包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施。 在评价被审单位风险评估过程的
12、设计和执行时,注册会计师应确定管理层如何识别与财务报告相关的经营风险,如何估计该风险的重要性,如何评估风险发生的可能性,以及如何采取措施管理这些风险。 注册会计师应询问管理层识别出的经营风险,并考虑这些风险是否可能导致财务报表重大错报。 中航油和英国巴林银行的教训,案例2:中航油新加波公司忽视风险管理导致经营失败和虚假财务报告,新加坡中航油公司于2001年12月6日在新加坡交易所上市,其核心业务是航油采购,交易的衍生品包括互换和期货。公司于2003年下半年开始交易石油期货,由于交易初期的盈利而忽视了风险管理,最终因为期货交易导致巨额亏损,于2004年11月30日向法院申请破产保护。 根据新加坡
13、中航油CEO陈久霖提供的法庭证词,2004年6月份,中航油进行期货交易已发生账面亏损3580万美元,但是该公司在当年8月份公布的第二季度财务报告中,不但对期货交易的亏损只字不提,却虚报了大约1000万美元的盈利;到2004年11月16日,公司在期货交易中已经亏损3.02亿美元,却仍然在其第三季度报告中公布盈利约550万美元。如果中航油能够根据行业标准正确评估期权组合价值及其风险,提高财务报告的可靠性和准确程度,就能够及时发现已经产生的交易损失,从而引起公司股东和董事会的关注,公司的损失应该可以及时得到控制,也就不会沦落到破产的地步。,巴林银行倒闭的教训: 管理层必须对所经营管理的业务有充分地认
14、识:跨国经营,业务、利润和风险来源的多元化,产品创新和信息技术的飞速发展使欺诈更隐蔽和快捷,损失放大 各项业务的职责必须明确并明示(矩阵式的组织结构下也应有充分的信息沟通渠道),在对组织结构进行重大调整时应注意防范利益冲突和权责不清带来的风险,如前台的交易业务与后台的清算、稽核活动应有效分离 设立专门的风险管理机制,及早发现危机隐患,采取应对策略 建立强势的内部审计机构,对整个业务进行监督检查,并将内控漏洞迅速反馈最高管理层,以便采取补救措施或进行业务整改,信息系统与沟通,与财务报告相关的信息系统,包括用以生成、记录、处理和报告交易、事项和情况,对相关资产、负债和所有者权益履行经营管理责任的程
15、序和记录。 与财务报告相关的信息系统包括下列职能: 识别与记录所有的有效交易 及时、详细地描述交易,以便在财务报告中对交易作出恰当分类 恰当计量交易,以便在财务报告中对交易的金额作出准确记录 恰当确定交易生成的会计期间 在财务报表中恰当列报交易,注册会计师应从下列方面了解与财务报告相关的信息系统: 在被审单位经营过程中,对财务报表具有重大影响的各类交易 在信息技术和人工系统中,对交易生成、记录、处理和报告的程序 与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目 信息系统如何获取除各类交易之外的对财务报表具有重大影响的事项和情况; 被审单位编制财务报告的过程,包括作出
16、的重大会计估计和披露,控制活动,注册会计师应了解控制活动,以足够评估认定层次的重大错报风险和针对评估的风险设计进一步审计程序。 控制活动是指有助于确保管理层的指令得以执行的政策和程序,包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。,控制活动的内容: 授权:一般授权(普遍适用于某类交易的或活动的政策)和特别授权(针对特定交易或活动特定设置的授权) 业绩评价:分析实际与预算差异,综合分析财务数据与经营数据的内在关系,将内部数据与外部信息来源相比较,评价职能部门、分支机构或项目活动的业绩,以及对发现的异常差异或关系采取必要的调查与纠正措施,信息处理:信息技术一般控制(与多个应用系统有关的政策和程序,有助于保证信息系统持续恰当地运行,包括信息的完整性和数据的安全性,支持应用控制作用的有效发挥,通常包括数据中心
