《内部稽核与内部控制教材(DOC).doc》由会员分享,可在线阅读,更多相关《内部稽核与内部控制教材(DOC).doc(27页珍藏版)》请在三一办公上搜索。
1、第一章 内部稽核的功能与责任在过去的三十年内,产生了新的稽核观念及新的稽核职能,除了为维护企业的正常运转,更重视企业经营的改善。何谓现代内部稽核?内部稽核即是以超然独立之立场评估及衡量企业组织内部经营活动。内部稽核本身就是一种管理控制,管理者经常运用此一管理控制来衡量企业其他控制的效能。传统的内部稽核总是着重历史资料的查核以便对已发生的事项提出建议,并就未来的记录及活动再查核,以对事后改善情形表示意见。此种稽核观念,对企业经营确实有所助益,但通常稽核部门的建议提出太迟,企业无法及时采取改善对策。事实上,内部稽核员除了要检查目前发生的事项,更应着重将来可能发生的影响,以避免不必要的费用及损失。此
2、种观念的改变在过去三十年中更形加速,随着企业组织不断的扩展,管理者已无法亲身掌理企业所有的活动,而必须依赖制度、控制程序及其他人员来使他了解企业的经营情形。然而经由各管理阶层所提供的资料,常渗有个人的立场及意见,并且有时发现这些资料被严重的歪曲或误解。再者,管理者为维护企业经营效能所建立的制度及控制往往是无效率或根本不为企业之从业人员所遵行。因此管理者须要藉重-超然独立的组织来确保企业的制度、控制、程序、政策是有效率的并且为企业各部门所遵行。同时,确定各部门所提供的报表、资料是客观正确的,这些资料并不具有个人因素或对管理者的政策及要求有所误解。内部稽核员也就是在此需求下产生而具有以下的职能及责
3、任: 一、评估及衡量企业内部财务控制制度; 二、确定企业政策、制度、程序等是否有效,是否为企业人员所遵行; 三、确定企业政策内部所产生之报表资料的正确性及可靠性;四、评估企业组织各部门的绩效;五、确保企业资源财产的安全性。 内 部 稽 核 VS 外 部 稽 核 内部稽核(会计师) 外部稽核 内部资讯取得不易。 因经授权较容易收集内部资讯。 较难以完整之交易或作业指出问题点。 出席公司内部重要会议,能藉接近经营者 而认知其意图。 不易或不常接近经营者而不能认知经营者 易于察知事实之真伪等。 的意图。 不易查知帐外交易及辨识事实之真伪等。 由于接近经营者,容易提出建言或劝告。 表示意见时受重要性原
4、则之限制。 问题发生时,易于迅速回应。 受时间及经济上之限制,影响抽查行为。 较不受时间及经济上之限制,可扩大稽核 之范围与深度。 无法窥知企业经营之全貌与展望。 能藉宏观以判断公司整体之经营展望。 QUALITY OF THE AUDITOR MANAGEMENT AWARENESS 管理感知 PERSONAL DRIVE 个人行动 INSIGHT 洞察力 OBJECTIVITY 客观 SENSE OF VALUE 价值意识 COMMUNICATION ABILITY 沟通能力 PERSEVERANCE 坚韧不拔 TECHNICAL COMPETENCE 技术本位 INNOVATIVENES
5、S 创新 TACT 机智 SUPERVISORY ABILITY 主管能力第二章 内部稽核部门与稽核员内部稽核部门为一利润中心 现代内部稽核的一项争议是内部稽核应着重财务稽核?业务稽核?管理稽核?绩效稽核?甚或管理者顾问?其实,要解决这个争议须先了解内部稽核的目标。 没有明确的目标,就像哥伦布当年离开西班牙: 他不知正要去哪儿? 当他到了一个地方,他不知是何处? 当他回到西班牙,他不知曾到过哪些地方? 而他却花费了他人的金钱来从事此次航海? 那么,内部稽核的目标是什么呢?从第一章所列的内部稽核功能与责任,可归纳为下 述几点: 提供企业管理者管理服务 建议企业经营改善方案 评估内部控制 检查及平
6、衡 资产的保管 为管理阶层的耳目 节省成本 内部稽核员有其独特且令人羡慕的机会来达成上述的目标。然而,唯一的目标即是利 润。 内部稽核部门为一企业内部组织,网罗有经验、有职业素养之稽核员以达成企业的利 润目标。一、 内部稽核员内部稽核员如何能具有足够的知识,以衡量企业专业功能的绩效?答案非常简单,内部 稽核员无法兼具有与企业各专业功能人员相等的专门知识与技能。不过,此等专业知识与技 能对稽核工作之执行并不重要。当然稽核员对受查单位的功能越熟悉,稽核工作就越容易。 然而最重要的是稽核员应具有执行任务之独特的权利与能力,他必须是内部控制评估及成本 效益分析的专家。 内部稽核员与企业各部门应经常联系
7、,并要了解各部门的关系,同时要具有与经营者相 同的想法。许多稽核员会自我提示说当然我具有经营者的想法但是,经常会听到一些对 稽核员的评语稽核员都是一丘之貉,他们的建议都不切实际且太费成本。假设他们处在我 们的职务上,他们才不会做这样的建议。稽核员只建议如何节省一分钱而我们却正忙着赚上 千元。许多稽核员给人的印象都不好,因此一般企业的经理、课长等都对稽核员敬而远之, 而不愿与稽核员合作,甚至有些人认为稽核员是工作上令人讨厌,专找麻烦的人。 要改变受查者的态度,保持自己良好的形象,稽核员必须懂得推销自己。各部门的经理、 课长等当然不喜欢缺点被报告到上级。但是,如果稽核员能处理得当并提供足够的事实及
8、资 料来支持自己的建议以改善经营效率,那么,他将会获得必要的合作。 在评估企业内部控制时,困难点在于成本是有形的,可衡量的,且是立即的。但是,利 益却往往是无形的,非可有效衡量的,同时与企业将来的变数息息相关。因此,必须搜集完 整的事实以做合理的判断,此为稽核员从事稽核工作所不可或缺的技能。 内部稽核员应熟知协助判断的技巧,但是,正确的判断却依赖足够的经验、常识及不重 复犯错的能力。稽核员有时认为只提出建议而不做判断比较容易且安全。然而稽核员如果希 望自己的建议被接受,他必须做必要的判断,并且有担负责任的意愿。 内部稽核员应具备下列职业素养: 良好的工作态度 (ATTITUDE) 实事求是的精
9、神 (PRACTICALITS) 丰富的想象力 (IMAGINATION) 客观的立场 (OBJECTIVE) 内 部 稽 核 员专业知识技能及纪律合 格 稽 核 员适 当 管 理 稽核主管应制订良好规范 确定稽核计划徹底执行 确定工作计划适当且完整 确定稽核报告正确、公正、明确及适时 确定稽核目的之达成 具备执行稽核业务之知识及技能 良好纪律 遵守作业准则 具备专业知识技能及良好纪律 良好人际关系有沟通能力 不断进修 敬业精神 第三章 稽核之定义 所谓稽核,乃系就某人所为之特定行为或其结果,为了利害关系人,由独立于行为人之第三人,来评定(评价、判断)其行为,必要时对行为人进行建言或予以劝告,
10、就其结果对利害关系人表明意见之意。 内部稽核打拼的伙伴 一、内部稽核的远景(VISION)VISION超越方针与目的,它代表着对未来的期望。因此,VISION的订定总是比较高远,比较乐观。内部稽核的VISION如下:1 我们是内部稽核专业领域的主导者,必须不断地提升内部稽核的技能与专业标准。2 我们是创造企业利润的伙伴,提供各管理阶层掌握提升利润的潜在机会。3 我们是健全内部管理控制的建言者,提供各管理阶层内部管理控制的知识与改善建议。二、 内部稽核的任务(MISSION)内部稽核的主要功能在提供各管理阶层,关于健全公司管理控制的客观性预测、分析、评核、观察、建议、咨询与资讯,俾协助他们有效率
11、及有效果地执行任务。内部稽核提供全公司如下的服务:1 检查管理制度规章遵行的情形。2 评估管理及会计控制的有效性。3 确认资产的安全性,以防止或举发可能的舞弊。4 检查财务会计资讯的正确性、完整性与允当性。5 评估经营管理活动的效率与效果。6 检查各项活动(如:CWQI、零缺点、整洁竞赛等)的推行情形。7 协助掌握提升利润的潜在机会。8 确定营运方针与目标达成的情形。9 协助培植管理人才。三、 内部稽核的成功要素(KEY TO SUCCESS)内部稽核的功能是否能有效发挥,依赖以下的条件:1 管理者的参与及认同。2 主管的支持。3 内部稽核的立场要超然独立。4 内部稽核在执行工作时态度要客观。
12、5 内部稽核要精通专业技能。6 内部稽核的稽核范围要涵盖遵行稽核与管理稽核。7 内部稽核的工作绩效要具专业标准。8 内部稽核组织要有适当的管理。内 部 稽 核 专 业 特 质 条 件 方 法 功 能 目 的忠 诚客 观胜 任职业道德知 识技 能专业能力管理阶层有效率有效果地运用资源协助组织成员有效解除其责任确 保组织的效益董事会成员达 成企业营运目标超 然 独 立实质外观分析评核建议+评 估(检查及评估组织活动)咨询资讯+ 第四章 内部稽核专业特质标准 1000目的、授权、责任 1100独立与客观 1110组织的独立性 1120客观性 1130损害独立性或客观性 1200专精与专业应有之注意
13、1210专精 1220专业应有之助益 1230持续专业发展 1300品质确保与遵循 1310品质保证计划之评核 1320内部评核 1330独立审核 1340品质确保与遵循之报告 1350依准则执行之使用 1360未遵循之揭露 第五章 内部稽核绩效标准 2000内部稽核活动之管理 2010规划 2020沟通与核准 2030资源管理 2040政策与程序 2050协调 2060报告董事会与资深管理阶层 2100工作性质 2100风险管理 2120控制 2130监理 2200工作规划 2210工作目的 2220工作范围 2230工作资源分配 2240工作程式 2300工作执行 2310辨识资讯 232
14、0分析与评估 2330记录资讯 2340工作监督 2400结果之沟通 2410沟通标准 2420沟通品质 2430工作未遵循准则之揭露 2440结果发布 2500监控程序 2510管理阶层承受风险 第六章 内部控制 内部控制的意义 什么是企业内部控制呢?所谓内部控制就是企业为达到下列目的所采取的各种办法:1 确定企业政策、制度之推行和效益2 确定企业内部所产生报表、资料之正确性3 衡量各部门之绩效4 确保企业资源、财产之安全及利用 建立内部控制制度 建立企业内部控制制度应了解企业的组织及经营特性,依据各项作业内容规定应有的 内部牵制,职务划分,职能授权等必要之内部控制程序。 内部稽核与内部控制
15、 美国内部稽核协会所颁布的内部稽核员责任中强调内部稽核员的管理功能即在评 估及衡量企业内部其他控制的效能。所以,内部控制制度的衡量是内部稽核员的基本责任。 何谓内部控制的衡量?简单地说,就是比较目前的实际情形与应有的标准(Comparing What is to what should BE) 。 一、何谓内部控制(一) 内部控制的定义1 内部控制与管理过程(internal control and management process) Internal Control and the Management Process Management Activities Internal Con
16、trol Entity-level objective setting mission ,value statements Strategic planning Establishing control environment factors Activity-level objective setting Ristk identification and analysis Risk management Conducting control activities Information identification, capture and communication Monitoring
17、Corrective actions 来源:COSO报告:架构,第17页2 证期会:谓公开发行公司管理阶层所设计,并由董事会、管理阶层及其他员工执行之管理过程,以合理确保下列目标之达成:(1)营运之效果及效率。 (2)财务报导之可靠性。 (3)相关法令之遵循。 前项营运之效果及效率目标,包括获利、绩效及保障资产安全等目标。3 COSO报告:Internal control is broadly defined as a process , effected by an entitys board of directors, management and other personnel , de
18、signed to provide reasonable assuranceregarding the achievement of objectives in the following categories: Effectiveness and efficiency of operations. Reliability of financial reporting . Compliance with applicable laws and regulations. 4美国审计准则公报第78号(1996年): 与COSO报告的定义相同,但目标之顺序不同。(二) COSO委员会及COSO报告1
19、 美国COSO委员会:Treadway委员会的赞助者所组成的委员会(Committee of Sponsoring Organization of the Treadway Commission)其任务在探讨内部控制之定义及标准,于1987年成立美国Treadway 委员会:不实财务报导全国委员(National Commission Fraudulent Financial Reporting),其目的在探讨不实财务报表的问题,涉及内部控制,于1985年成立。2 COSO委员会及Treadway委员会之赞助机构:(1) 美国会计师公会(American Institute of CPA)(2
20、) 美国会计学会(American Accounting Association)(3) 内部稽核协会(the Institute of Internal Auditors)(4) 管理会计人员协会(Institute of Management Accountants)(5) 财务主管协会(Financial Executive Institute)3COSO委员会成立的缘由:Treadway 委员会于1987年之报告中,建议自己的赞助机构再成立一个COSO委员会,进一步研究与内部控制有关之问题。4 COSO报告:COSO委员会首次发表之内部控制的报告(1992年)及其后发出的 补篇(199
21、4年)。 COSO报告之内容说明:(1) 何为内部控制?(2) 如何判断内部控制之好坏?(3) 公司应设置哪些内部控制?到哪种程度?(4) 内部控制可以做到什么?做不到什么?(5) 如何评估内部控制?(6) 如何就评估结果对外做出声明? 自公司立场看内部控制之报告 报告外观:(1) 1992年报告之内容:执行首长总览(Executive Summary)架构(Framework)对外报告(Reporting to External Parties)评估工具(Evaluation Tools)(2) 1994年补篇:只针对对外报告。 (三)有效的内部控制: 有效之内部控制(effective i
22、nternal control),系指一种内部控制的状况。在 这种状况下,董事会及管理阶层能合理担保下列事项:1 董事会及管理阶层了解该公开发行公司达成其经营目标之程度(营运目标)2 对外公开之财务报表为可靠(财务报导目标),及/或3 符合相关法令(守法目标)。 当内部控制有效时,内部控制无重大缺失(material weakness)。 重大缺失:对与财务报导有关之内部控制而言,重大缺失即重大之应报导情况 (reportable condition)。在这种情况下,某一个或若干个内部控制组成要素的 设计或执行有缺失,缺失的程度已达无法让员工在其执行正常职务的过程中, 把未能及时侦出可能发生重
23、大财务报表错误的风险降至相对低水准的程度。 (四)内部控制之分类:1 按内部控制欲达成之目标分:(1) 与营运有关之内部控制(2) 与财务报道有关之内部控制(3) 与遵行法令有关之内部控制 或(1) 与保障资产安全有关之内部控制(2) 与检查会计资料之精确性及可靠性有关之内部控制(3) 与提高营业效率有关之内部控制(4) 与鼓励员工遵守既定之管理政策有关之内部控制2 用控制之方法分:(1) 控制环境(2) 会计制度(3) 控制政策及程序 或(1) 控制环境(2) 风险评估(3) 控制活动(4) 资讯与沟通,及(5) 监督3 按被控制之标的分:(1) 对销货及收款交易循环之内部控制(2) 对采购
24、及付款循环之内部控制(3) 对生产循环之内部控制(4) 对薪工循环之内部控制(5) 对融资循环之内部控制(6) 对固定资产循环之内部控制(7) 对投资循环之内部控制(8) 对研发循环之内部控制4 按控制之性质分:(1) 侦察性控制(detective control)(2) 预防性控制(preventive control)(3) 指导性控制(directive control)5 内部控制制度,除包括对各种交易循环类型之控制活动外,尚应包括对印鉴使 用管理、票据领用管理、预算管理、财产管理、背书保证、负债承诺及或事项 管理、职务授权及代理人制度、资金贷予他人作业、资讯管理等之控制活动。 (五
25、)内部控制的目的 依照美国内部稽核执业准则公报第一号之规定,内部控制的主要目的在于确保:1 资讯的可靠性与完整性。2 政策、计划、程序与法令之遵循。3 资产之保障。4 资源运用之经济与有效。5 组织目的与营运或专业计划目标之达成。 二、内部控制与内部稽核之关系(一) 内部稽核之目的内部稽核之目的,在于检查、评估内部控制制度之缺失及衡量营运之效率,适时提供改进建议,以确保该制度得以持续有效实施,并协助董事会及管理阶层确实履行其责任。(二) 内部稽核与内部控制之关系1 内部控制之组成要素2 内部稽核与监督之关系3 内部控制含内部稽核(三) 内部稽核之项目:内部稽核为一个组织内部控制之一环。内部稽核
26、之范围涵盖检查及评估组织内部控制制度之充分性及有效性,既组织内各单位完成所赋予责任之绩效品质。具体言之,内部稽核之范围包括:1 检查财务及营运资讯的可靠性与忠实性,及用以辨识、衡量、分类及报导此等 资讯的方法。2 检查现有制度,以确保重大政策、计划、程序及法令之遵循。3 检查保障资产之方法,必要时,并验证此等资产是否存在。4 评估资源之使用是否经济有效。5 检查营运或专案计划,以确定其结果是否与既定目的及目标一致,及照原订计划进行。 三、如何落实内部控制(一) 落实制度并定期复核1 管理阶层应体认内部控制制度之重要性,负责制度之建立及修订,并确保制度 持续有效运作。2 建立内部控制制度,应配合
27、业务、财务及管理之需要,涵盖以交易循环为基础 之控制及非交易循环之管理控制。3 组织规划应予合理化,并明确划分权责。交易事项之授权、核准、执行及记录 等步骤,应由不同之部门或人员负责,资产之记录与保管等职能宜予分立,俾 相互验证其正确性。4 建立健全会计制度,俾正确记录交易事项,适时提供有效会计资讯。5 建立员工甄选、任用、升迁、培训等人事制度,俾以适当之工作人员提高内部控制之效能。6 设置内部稽核人员,协助管理阶层调查、评估内部控制制度,适时建议改进,以求有效持续实施 。7 确实建立代理人制度,并实施轮调制度。(二) 避免错误之内部控制观念1本公司员工操守佳,所以,内部控制无问题。2本公司正
28、派经营,所以,内部控制佳。3本公司无两套帐,所以,内部控制无问题。4本公司定存单(或其他实体资产)由总经理亲自保管,所以,内部控制好。5本公司支票上需要盖的印鉴计有四个,所以,内部控制严密;只要是控制严密, 控制就好,因此,本公司的内部控制好。6本公司订定的办法、规章有一大堆,厚厚一叠,所以,内部控制好。7本公司的内部表单上,该签名的地方,都有人签名,所以,内部控制好。8本公司已请会计师查帐多年,所以,内部控制无问题。9自从本公司设置内部控制之后,就有一堆规章要遵守,一堆表格要填、章要盖, 绑手绑脚,官僚作风,欠缺人性。10本公司内部控制佳,何劳本经理人费神评估。 11内部控制时,为何要评估操
29、守?操守看不见,与内部控制何干! 12本公司已付钱请会计师查内部控制,何劳我管理阶层再费心评估内部控制。 13为了防止舞弊,本公司才设内部控制,所以,只要有内部控制,舞弊不可能 再发生。 14内部控制我不爱,对我没好处,只是多花钱而已,若不是证管会,我才不要 设。 15甲公司的内部控制严格,可见甲公司必采集权制管理;乙公司采分权制管理, 因此,其内部控制一定不佳。 16有了内部控制,万事不愁,管理阶层不必再操心,凡事都由内部控制自己运 作即可。 第七章 内部控制组成要素 来源:COSO报告,架构,第13页1 控制环境(control environment): 性质:塑造组织文化、影响员工控制
30、意识的综合因素。 影响控制环境之因素: (1)员工的操守(integrity) 、价值观(ethical values)及能力(competence) (2)管理阶层的管理哲学(management philosophy)及经营风格(operating style) (3)管理阶层聘雇、训练(develop)、组织(organize)员工及指派其责权的方式(way) (4)董事会及监察人所给予的关注(attention)及指导(direction)。2 风险评估(risk assessments): 辨认风险,并予评估的过程。 风险: 意义:目标不能达成的可能性 发生的原因:企业内部因素及外部
31、因素 层级:企业整体层级及作业层级 作业层级的风险:某一企业单位或某一企业功能(如:制造部门、销货部门、研发 部门)不能达成其目标的可能性。 分析的过程:(1) 辨认目标及致目标不能达成之内、外在因素:先辨认企业整体层级的因素,后辨认作业层级因素。(2) 估计内、外在因素之影响程度(significance)、发生之可能性(或频率)(3) 评估可采取之风险管理行动。 风险分析之释例:(1) 某制造部门之目标:维持适当的存货上述目标不能达成之因素:送来之原料规格不合送来之原料数量不对送来之原料品质不对送来之原料价格不对。(2) 估计上述因素之影响程度及发生之可能性。(3) 企业可采取之风险管理行
32、动:可 能 情 形行 动第 一 种第 二 种第 三 种第 四 种 改变与供应商沟通规格之方式 编制生产预测 寻求其他的供应商 寻求其他的供应商或改变寻价之方法(4) 评估可采取之行动。3 控制活动(control activities): 意义:帮助保证管理阶层的指令(directives)被执行的政策(policies)及程序(procedures) 订定原则:针对已辨认的风险。 释例: 核准(approval)或授权(authorization) 验证(verification) 调节(reconciliation) 主管覆核营业成果(reviews of operating perfor
33、mance) 与计划、预算或前期绩效比较 采用绩效指标 保障资产实体安全(security of assets)之控制 定期盘点及与记录相核对 分工(segregation) 分类: 预防性控制(preventive control) 侦察性控制(detective control) 指导性控制(directive control)。 人工控制(manual control) 电脑控制(computer control); 有广义及狭义二种可能 广义:对电脑之控制(control over computer) 狭义:用电脑作的控制(control by computer) 机械控制 管理控制(
34、management control)4 资讯与沟通4 1资讯(information): 意义:系资讯系统辨认、衡量、处理及报道之对象。 性质: 财务性资讯,或 非财务性资讯 与营业目标有关之资讯 与财务报导目标有关之资讯,或 与守法目标有关之资讯 由内部产生之资讯,或 由外部取得之资讯 目的:帮助内、外部决策者作成决策。 内部决策人,包括企业个体内各层级之资讯使用人,他们需用资讯以助其达成营 业、财务报导及守法三类目标。 条件:与企业个体各个层级之各类目标均有关。 4 2沟通(communication): 意义:把资讯告诉他人,使他人也获得资讯的过程。 性质:属于广义资讯系统之一环。 分
35、类:组织之内的沟通 组织之外的沟通 组织之内的沟通 目标:使企业的所有员工清楚了解:(1) 主管所交付之责任(2) 自身在内部控制制度中所扮演之角色,以及(3) 自己的工作与他人工作间的关系。 方式:向上沟通 向下沟通,及 横向沟通 组织之外的沟通 须沟通的外部团体: 顾客 供应商 政府主管机关,及 股东等。5 监督(monitoring): 意义:亦译监控,系指评估内部控制执行品质之过程。 目的:决定内部控制制度是否仍然有关、是否仍然能够辨认风险及是否会把所发现的内 部控制缺失向上报告,使内部控制之设计及执行均持续有效。 分类:持续性监督(ongoing monitoring) 个别评估(separate evaluation) 第八章 如何建立(设计)内部控制 一、 考量因素:1 目标:目标为内部控制之前提(precondition),分企业整体层级、作业层级2 目标达不成之原因3 目
