(1)管理层的理念和经营风格。管理当局的观念和经营风格在企业的控制环境中起着关键性的作用。若管理当局从根本意识上把组织的生存与发展作为头等大事,就必然会重视经营风险并强化控制经营风险的措施。员工们就会感知并自觉地严加约束自己的行为,尽职尽责地遵守规章制度,形成从上到下按章办事的风气,则内部控制的有效性就比较高,也就是说组织的内部控制能在良好的控制环境中发挥出最佳的效能。若管理当局不重视内部管理,滥用职权,朝令夕改,员工们也就渐渐明白管理当局对内部控制的重要性只是口头形式而已,没有给予切实的支持和重视,员工就会自觉不自觉地放松对自己的约束,这样一来,违背内部控制的情况就会司空见惯。因此,管理当局的理念和行为,能够清楚地为员工提供有关内部控制是否重要的信号,直接影响到普通员工的道德行为、思维方式和品行,是影响控制环境的主要因素。
(2)组织结构的设置。组织结构是内部控制的重要载体,在整个管理系统中起着“骨架”的作用。在具体设置组织结构时,应考虑组织结构设置的合理性、向管理当局提供信息的沟通能力、组织结构随组织环境变化的应变能力等。
良好的组织结构具有清晰的职位层次、流畅的信息沟通渠道、有效的协调与合作体系,能为管理当局统驭、协调和控制经营活动提供坚实的基础。同时,还需明确各层次的员工具体进行业务活动的“权”与“责”,以及相互沟通的渠道和方式。这关系到个人与团体在处理业务时的主动性,也关系到员工在履行职责时所具备的知识和经验。
通过组织结构的设置和权利职责的划分,可以使各个职能部门及其成员都明白自己在企业中的位置,了解自己拥有的权利,承担的责任,可接受的业务活动,处理利害冲突的方式、方法等。若管理当局与各业务职能部门之间形成一个事事有人管、人人有专职、办事有标准、工作有检查的组织结构体系,就有利于建立良好的内部控制环境。
(3)董事会及其所属审计委员会。董事会对一个企业负有重要的受托管理责任。若在董事会内成立一个有效的审计委员会,也有利于企业保持良好的内部控制。董事会负责监督企业的各种经营活动,审计委员会除了协助董事会履行其职责外,还有助于保证董事会与企业外部及内部审计人员之间的直接沟通。
(4)授予权利和责任的方式。它将影响到企业各部门及员工对所授予的权利和责任的理解与贯彻。例如,若将组织中有关的政策及规定,以正式书面文件的形式落实下来,下发到有关人员,并督促大家严格遵守,就可以大大增强有关人员对这些规定的控制意识及履行这些规定的自觉性。
(5)员工的素质与人事政策。任何一种控制制度都需要人去执行,因此人员素质是决定内部控制效果的重要因素。企业员工的诚实状况、敬业精神、业务知识以及在工作技能、创新能力等方面素质的优劣,是内部控制有效与否的重要决定因素。如果员工诚实可靠、专业能力强,即使企业缺乏相关的控制,企业也能够编制出可靠的会计报表。反之,如果员工尤其是关键岗位上的员工不诚实、不可靠或者专业能力差,即使企业设置了许多的控制措施,也将得不到有效的执行。这就需要企业不仅要对员工本身的素质与条件提出较高的要求,而且应对员工录用、专业培训、职业道德教育、待遇、调整、业绩考评、晋升、辞退、开除等人事政策作出明确、合理的规定,以提高员工的素质和最大限度地调动员工的积极性,形成企业效益与员工效益双赢的局面。所以,企业的人事政策影响到企业员工素质的高低,员工素质的高低又直接影响到控制效果的好坏。
(6)外部影响。它是指来自企业外部的各种因素对企业内部控制环境的影响。例如,企业的主管部门、国家各职能部门对企业实施的监督、检查及提出的要求可能提高企业的控制意识;国家实施的新法律、方针、政策或产业政策的调整,也可能影响管理当局采用临时或特殊的控制政策和程序;来自银行、税务、财政及证监会等部门对企业的检查等,也会对企业内部控制产生影响。
(7)内部审计。内部审计是企业自我独立评价的一种活动,内部审计可以通过协助管理当局监督其他控制政策和程序的有效性来促成好的控制环境的建立。此外,内部审计还能为改进内部控制提供建设性意见。内部审计的有效性与其权限、人员的资格以及可使用的资源密切相关。内部审计部门及人员必须独立于被审计部门,并且必须直接向董事会或审计委员会报告。
控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报,注册会计师在评估重大错报风险时应当将控制环境连同其他内部控制要素产生的影响一并考虑。
在小型被审计单位,可能无法获取以文件形式存在的有关控制环境要素的审计证据,注册会计师应当重点了解管理层对内部控制设计的态度、认识和措施。
二、风险评估过程
注册会计师应当了解被审计单位的风险评估过程和结果。风险评估是指企业各级管理层对企业内部和外部风险的确认。风险评估过程包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施。
风险评估是管理控制的基础。任何一个企业乃至其中的各个责任中心,无时无刻不面临着诸多风险的侵袭。例如,就企业财务而言,所面临的风险包括投资风险、筹资风险、经营失败而引起的资金周转困难风险及分配风险等。企业的各个部门应该能够及时识别来自企业内、外部的各种风险,并针对每一种风险采取科学的措施加以防范,以使企业规避风险,减少损失。
在小型被审计单位,管理层可能没有正式的风险评估过程,注册会计师应当与管理层讨论其如何识别经营风险以及如何应对这些风险。
三、信息系统与沟通
信息与沟通主要指信息的记录系统及其传递与报告。从某种程度上讲,内部控制主要是信息反馈控制,依据所传递的信息及时发现偏差,并分析偏差产生的原因,同时提出有针对性的控制措施,以消除可能的影响。
与财务报告相关的信息系统,包括用以生成、记录、处理和报告交易、事项和情况,对相关资产、负债和所有者权益履行经营管理责任的程序和记录。
与财务报告相关的信息系统应当与业务流程相适应。与财务报告相关的信息系统所生成信息的质量,对管理层能否作出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。
信息沟通是指与财务报告目标相关的信息系统方法与记录。为了能够准确、及时并最大限度地获取和运用来自单位内、外部与本单位有关的技术、市场和管理等各方面的信息,建立一个良好的信息沟通系统,使信息在单位内部进行纵向与横向的有效传递。若要拥有健全的内部控制系统,就必须建立起一套有效的、完善的传递、沟通及反馈的信息系统。与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责、员工之间的工作联系,以及向适当级别的管理层报告例外事项的方式。注册会计师应当了解被审计单位内部如何对财务报告的岗位职责,以及与财务报告相关的重大事项进行沟通。注册会计师还应当了解管理层与治理层之间的沟通,以及被审计单位与外部的沟通。
在小型被审计单位,与财务报告相关的信息系统和沟通可能不如大型被审计单位正式和复杂,注册会计师应当考虑这种特征对评估重大错报风险的影响。
四、控制活动
注册会计师应当了解控制活动,以足够评估认定层次的重大错报风险和针对评估的风险设计进一步审计程序。控制活动是指有助于确保管理层的指令得以执行的政策和程序,包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。一般而言,控制因单位的性质、规模、组织方式不同而存在差异,但为了实现组织的目标,通常都应对影响组织目标实现的各种风险因素实施有效的控制措施和手段。单位的各层次和各种职能均渗透着不同的控制活动,是内部控制的主要组成部分。
1.授权控制
注册会计师应当了解与授权有关的控制活动。授权控制的目的在于保证每一笔业务都必须是管理人员在其授权范围内授权产生的。经过授权,可以尽可能地减少不合法或不合规、不合理业务的发生,从而保证决策和计划的正确执行。
授权包括一般授权和特别授权。一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。如销售人员对符合企业一般信用标准的顾客赊销商品。特别授权是指管理层针对特定类别的交易或活动逐一设置的授权。它意味着该项业务必须经过特别准许方可执行,如重大资本支出、发行债券、发行股票等。
2.业绩评价控制
注册会计师应当了解与业绩评价有关的控制活动,主要包括被审计单位分析评价实际业绩与预算(或预测、前期业绩)的差异,综合分析财务数据与经营数据的内在关系,将内部数据与外部信息来源相比较,评价职能部门、分支机构或项目活动的业绩,以及对发现的异常差异或关系采取必要的调查与纠正措施。
3.信息处理控制
注册会计师应当了解与信息处理有关的控制活动,包括信息技术一般控制和应用控制。
信息技术一般控制是指与多个应用系统有关的政策和程序,有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性),支持应用控制作用的有效发挥,通常包括数据中心和网络运行控制,系统软件的购置、修改及维护控制,接触或访问权限控制,应用系统的购置、开发及维护控制。
信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序,与用于生成、记录、处理、报告交易或其他财务数据的程序相关,通常包括检查数据计算准确性、审核账户和试算平衡表、设置对输入数据和数字序号的自动检查,以及对例外报告进行人工干预。
4.实物控制
注册会计师应当了解实物控制,主要包括了解对资产和记录采取适当的安全保护措施、对访问计算机程序和数据文件设置授权,以及定期盘点并将盘点记录与会计记录相核对。
实物控制的效果影响资产的安全,从而对财务报表的可靠性及审计产生影响。
实物控制的主要目的是限制接近资产和重要的记录,以保证资产与记录的安全和完整。实物控制的一般要求是采取实物保护措施,未经授权与批准的不相关人员不得接触这些资产与记录,如将存货存入仓库、现金放入保险柜等都是实物保护措施。它包括实物的防护措施和人员的防护措施,前者包括建立耐震、耐火设备的仓库,设置防盗用的围墙、栅栏、锁、保险柜,设置消防备用水池、灭火器等;后者包括建立财产物资的专人负责保管制度、实行定期或不定期的财产清查盘点制度、加强护卫人员的巡视等。
5.职责分离控制
注册会计师应当了解职责分离,主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工,以防范同一员工在履行多项职责时可能发生的舞弊或错误。
职责分工控制的主要目的是为了预防和及时发现有关人员在履行其职责时所发生的错误或舞弊行为。它要求互不相容的职责不应由一个人兼任,以减少发生错弊的可能性。不相容的职务是指经营业务的授权、批准、执行和记录等完全由一个部门或一个人办理时,发生错弊的可能性就会增大的两项或两项以上的职务。不相容的、必须分离的职务主要有:
(1)业务的批准与执行相分离。批准某项交易的职责与经办该项交易的职责不应由一个人兼任。例如,批准供货单位发票的付款应与签发付款支票的职责相分离。
(2)业务的执行与记录相分离。执行某项交易的人员不得兼任对该项交易的记录。如采购员、售货员不能同时兼任记账、出纳工作。
(3)各种会计责任之间相分离。一项业务活动从填制凭证开始到最后过入总分类账的过程应分别由不同的会计人员来完成。例如,记录现金收入日记账的职责应与记录销售日记账的职责相分离,记录明细账、日记账的职责应与记录总账的职责相分离等。各种会计责任之间进行适当的分工,可以使不同会计人员间的记录有一个相互核对检验的机会,以减少记账错误的发生。
(4)资产的保管与会计相分离。保管资产的人员不得兼任该项资产的会计工作。例如,出纳员不得既负责保管现金,又负责登记现金总账和应收账款账,否则就会为出纳员发生舞弊行为创造条件。例如,该出纳员可以在将其所收到的客户交来的现金据为己有的同时,采取漏记销货或虚列应收账款贷方发生额的手段调整会计记录,从而达到其掩盖违法行为的目的。
在了解控制活动时,注册会计师应当重点考虑一项控制活动单独或连同其他控制活动,是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。如果多项控制活动能够实现同一目标,注册会计师不必了解与该目标相关的每项控制活动。在了解其他内部控制要素时,如果获取了控制活动是否存在的信息,注册会计师应当确定是否有必要进一步了解这些控制活动。
小型被审计单位通常难以实施适当的职责分离,注册会计师应当考虑小型被审计单位采取的控制活动能否有效实现控制目标。
五、对控制的监督
注册会计师应当了解被审计单位对与财务报告相关的内部控制的监督活动,并了解如何采取纠正措施。对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程,该过程包括及时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施。为了保证单位内部控制的效果,必须对整个内部控制的执行过程进行恰当的监督,并通过监督活动对内部控制的某个薄弱环节加以必要的修正。
注册会计师应当了解被审计单位对控制的持续监督活动和专门的评价活动。持续的监督活动通常贯穿于被审计单位的日常经营活动与常规管理工作中。被审计单位可能使用内部审计人员或具有类似职能的人员对内部控制的设计和执行进行专门的评价。被审计单位也可能利用与外部有关各方沟通或交流所获取的信息监督相关的控制活动。
