第51章 制度基础审计(1)

【内容提示】

制度基础审计，亦称系统基础审计法，是当今世界各国审计人员普遍采用的一种现代审计方法。它与账目基础审计和风险基础审计共同构建了审计方法三种不同的模式。什么是内部控制，其目标、结构、程序、方法、责任如何；什么是制度基础审计，与账目基础审计有何不同；以及制度基础审计包括哪些内容，采用何种程序，使用哪些方法，均是本章所阐述的内容。

（第一节）内部控制与制度基础审计

一、内部控制涵义与目标

内部控制是现代企业、事业单位以及其他有关的组织在其内部对经济活动和其他的管理活动所实施的控制。具体地说，它是指一个组织为了提高经营效率和充分地获取和使用各种资源，达到既定的管理目标，而在内部正式实施的各种制约和调节的组织、计划、方法和程序。它是有效执行组织策略的必备工具，是现代化企业重要的任务及管理方式与手段，是实现高效化、专业化、规范化和自动化的最基本条件。之所以要设置内部控制，一是在促使企业迈向获利目标的路上，达成其经营理念，并把意外损失减到最小程度；二是促使管理阶层有能力与日益变化经济相适应，转移顾客的需求，改变需求的优先顺序，并为未来的成长而改组；三是以利于提高效率，减少损失资产的风险，保证财务报表的可靠性，以及遵循法令。

美国职业会计师协会所属的审计程序委员会，1949年第一次提出了内部控制的概念：内部控制包括经济组织的计划及经济组织为保护其财产、检查其会计资料的准确性和可靠性，提高经营效率，保证既定的管理政策得以实施而采取的所有方法和措施。

《世界最高审计机关组织内部控制准则》中规定：内部控制是为达成管理目标，提供合理保证的管理工具。内部控制包括组织计划，以及为达成配合组织任务，保护资源，遵循法律、规章及各项管理作业规定，提供值得信赖的财务及管理资料而采取的管理的态度、方法、程序及评量措施。其控制目标，一是保护资源，以避免因浪费、舞弊、管理不当、错误、欺诈及其他违法事件而遭致损失；二是配合组织任务，使各项作业均能有条不紊，且更经济有效地运行，并提高产品与服务的质量；三是遵循法律、规章及各项管理作业规定；四是提供值得信赖的财务及管理资料，并能适时恰当地揭露有关资料。内部控制主要包括组织计划，管理的态度、方法与程序，评量措施等。

1992年美国COSO报告中认为：内部控制是为达成某些特定目标而设计的过程。即内部控制是一种由企业董事会、管理层与其他人员执行，由管理层设计为达成营运的效果及效率，为财务报告的可靠性和相关性法令的遵循提供合理保证的过程。该定义反映出的基本观念是：内部控制是一种“过程”，讲求的是结果，而非结果本身；内部控制是一种受“人”影响的过程，是由“人”执行，并非仅是政策手册与表格，而是来自组织内每一个阶层的人；内部控制只能为企业管理层与董事会提供“合理保证”，而非绝对保证；不同类别的内部控制相互配合，以一种、多种或重叠性的类别达成多项管理目标。

COSO报告认为：每一个企业均要确定其管理理念，选定其欲达成的目标，以及达成目标的策略。单位欲达成的目标，可以是单位的整体的目标，也可以是单位内某特定作业的目标。虽然有些目标是专门针对某特定单位而设，但是还是有些目标为大家所公认。如下面三个方面目标，即为大多数企业所公认的目标：

(1)营运目标———与企业有效率及有效果地使用资源有关的目标；(2)财务报告目标———与编制可资信赖的对外财务报表有关的目标；(3)遵循法定目标———与企业个体遵循相关法令有关的目标。

《国际审计准则6》第9条规定：内部控制只能为管理人员达到其目标提供合理的确信，因为内部控制有其固有的限制，例如：

(1)管理人员通常要求一项控制是有成本效果的，即一次控制程序的费用不应与因舞弊或错误所造成的可能损失不相称；(2)事实上大多数的控制是借以指导会发生的那类经济业务，而不是针对非常的经济业务；(3)由于粗心、精力分散、判断失误或误解指示而造成人为错误的可能性；(4)可能会通过与单位的外部关系或本单位职员共谋而设法规避控制；(5)某一运用控制的负责人可能会滥用职权，例如管理人员当中的某一成员会对控制置之不理；(5)可能会由于情况变化而使控制变得不适当，并使控制程序的遵守可能发生改变。

内部控制存在成本限制、串通舞弊、人为错误、管理越权、跟不上变化等局限性，因此，对目标实现只能提供合理的保证，而非绝对保证。

将内部控制的内容和方法以文字或流程形式作出具体规定，并付诸实施，使其连续执行，且制度化，即是内部控制制度。内部控制制度的内容、种类、方式取决于内部控制。内部控制制度，是组织内部管理工作的重要组成部分，是为满足该单位的组织、业务和管理目标的需要而设计的。它应当包括与保护资产安全、确保各种信息资料的可靠、有利领导决策、促进管理方针的传达和贯彻、提高工作效率和经济效益有关的管理控制。它的主要任务是控制单位内部一切经济活动严格按照计划规定的预期目标进行，以保证计划任务的完成，以及经营效率的提高。内部控制制度只是内部控制的载体，它们的内涵是一致的，国外一些专家认为它们是一回事，不需作严格的界定。

二、内部控制结构与要素

美国执业会计师协会审计标准委员会在1988年颁布的《审计标准文告》第55号中，从财务报表审计考虑，认为内部控制结构由控制环境、会计制度和控制程序组成。根据美国COSO组织研究成果《内部控制———整体架构》，内部控制包括五个相互有关连的组成要素，它们源自管理层经营企业的方式，且与管理的过程相结合。

1.控制环境

控制环境是内部控制组成要素基础，是所有控制方式与方法赖以存在与运行环境。它对于塑造企业文化、提供纪律约束机制和影响员工控制意识有重要作用。影响控制环境的因素有四个方面：企业人员的操守、价值观及能力；管理阶层的管理哲学与经营风格；管理阶层的授权方式及组织人事管理制度；最高管理当局及董事会对单位管理关注的焦点及指引的方向，如他们对内部控制是否持肯定和支持态度等。

2.风险评估

每个单位均应评估来自内部和外部的不同风险。风险评估系指辨认并分析影响目标达成的各种不确定因素。风险评估是决定风险应如何管理的基础。由于经济、业务、主管机关和营运环境不断变化，风险也因变化而来，因此，辨认并处理这些风险自然就有必要。

3.控制活动

控制活动是指确保管理阶层指令实现的各种政策和程序。它是指针对影响单位目标实现的各种风险而采取的各种措施和手段。单位各阶层和各种职能均渗透有不同的控制活动，如核准、授权、调节、审核营业绩效、保障资产安全以及职务分工等等。由于单位性质、规模、组织方式等不同，其控制活动也有所不同。

4.资讯与沟通

每个单位必须按照一定的方式和时间规定，辨识和取得适当的信息，并加以沟通，以便于员工更好履行其职责。单位资讯系统能产生各种报告，包括与营运、财务及遵循法令有关的资料和信息，这些资讯反映了单位业务运行状况，便于管理者采取控制措施。资讯系统不仅处理单位内部所产生的资讯，同时也处理与外部事项、活动及环境等有关的资讯，这些资讯同样是单位制订决策及对外报告所必不可少的。有效沟通的含义，包括组织内部上下沟通及横向沟通，也包括与外界沟通。单位所有员工必须自最高管理阶层开始，清楚获取须谨慎承担控制责任的各种信息；必须了解自己在内部控制制度中所扮演的角色，以及人体的活动对他人工作的影响，单位必须有向上沟通重要资讯的方法，也应有向顾客、供应商、政府主管机关和股东等进行沟通的方式。

5.监督

监督是一种随着时间的经过而评估内部控制制度执行质量的过程。监督的方式有持续监督、个别评估及综合监督等。持续监督是指在营运过程中的监督，包括例行管理和监督活动，以及其职工为履行职务所采取的行为。个别评估的范围及频率，应根据评估风险的大小及持续监督程序的有效性而定。持续监督和个别评估一起进行，称之为综合监督。各种监督中发现的内部控制的缺失必须向上级呈报，严重者，则须向最高管理层及董事会呈报。

三、内部控制程序与方法

（一）内部控制程序

任何单位的内部控制工作，包括设计制度、执行制度、测试评价、改进制度。

其主要程序包括以下方面。

1.确立标准

控制标准是控制的前提条件，没有标准就没有目标，也就无所谓控制。控制标准是指用来衡量实际绩效的预先确立的依据，标准包含了单位或某个部门的计划目标、规范制度等。每个单位在确立标准时，必须注意对关键的业务活动、关键的资源和关键的费用成本项目进行选择，作为关键的控制目标。

2.衡量结果

衡量结果是根据已确立的标准，衡量所指定任务的执行轨迹和实际完成情况，以控制将来为基础。要做好衡量结果工作，平时应做好记录计算工作，以确认制度实际执行情况；将实际完成情况与计划、定额比较，计算出差异。

3.分析差异

差异即是指控制目标与实际执行结果的差额或差距（或者说是执行结果偏离控制目标的现象）。分析时，主要是找出形成差异的各项因素，以及分析各项因素对差异的影响程度。

4.采取补救措施

通过造成差异主、客观因素分析后，即应寻求纠正的办法。一是要根据存在问题的性质而采取适当的措施，二是要根据差异程度而决定采取措施的先后顺序，三是要充分考虑采取措施的成本问题。

5.检查与评价

检查与评估是指对内部控制过程进行全过程检查和评价，即包括适当性测试、符合性测试与综合评价等。

（二）内部控制的方法

尽管各个单位的性质和经营特点有差异，但在建立内部控制制度时总是根据实际情况把各种控制方式、方法有机地组合起来，形成一个系统的控制以实现控制的目标。内部控制的方式、方法多种多样，但其基本的控制方式有目标控制、组织控制、人员控制、职务分离控制、授权批准控制、业务程序控制、措施控制与检查控制。有些内容在控制结构与要素中已作了介绍，在这里只阐述未介绍过的内容。

1.目标控制

目标控制是指一个单位的内部管理工作应该遵循其创建的目标，分期对生产、经营、销售、财务、成本等方面制定切实可行的计划，并对计划执行情况进行控制的方式。目标控制是一种事前控制方式，其主要过程包括确定目标、执行控制、测查执行成果与目标比较、进行测查结论反馈。

2.组织控制

组织控制是指对组织内部的组织机构设置的合理性和有效性所进行的控制。组织控制也是一种事前控制方式，其主要手段包括采用合理的组织方案，采用合理的组织结构和建立组织系统图等。

3.人员控制

人员控制是指采用一定的方法和手段对职工的思想品德、业务技能和工作能力的控制，以保证组织各级人员具有与他们所负责的工作适应的素质，从而保证任务的完成。工作质量、人员素质控制应做到：根据各级人员政治与素质委派工作，使各级人员能胜任自己的工作；进行上岗前业务培训并建立职工技术业务的考核制度；建立管理人员业绩考核制度，调离不胜任本职工作的管理人员；建立职业道德和业务技术轮训制度；建立激励、奖惩制度；建立职务轮换控制等。

4.职务分离控制

职务分离控制是指对于组织内部的不相容职务必须分工负责，不能由一个人同时兼任，以减少差错和舞弊的发生。任何单位应做到授权批准与执行分离，执行与审查稽核分离，执行与记录分离，保管与记录分离，保管与清查分离，总账记录与明细账或日记账记录分离等。出纳人员不得兼任稽核、会计档案保管和收入、支出、费用、债权、债务账目的登记工作。

5.授权批准控制

授权批准控制是指组织内部各级人员必须经过授权和批准才能对有关的经济业务进行处理，未经授权和批准，这些人员不允许接触和处理这些业务。这一控制方式使经济业务发生时就得到了有效的控制。

6.业务程序控制

业务程序控制是指对重复发生的业务采用规范化、标准化的手段对业务处理过程进行控制，因此也叫标准化控制。程序控制也是一种事前控制，主要规定凭证传递程序、记账程序、供产销及主要经济业务处理程序等。程序控制还包括了将业务处理过程的程序、要求、注意事项等编制成书面文件，便于有关人员执行。

7.措施控制

措施控制是指以特定的控制目标为其控制对象的控制措施，如方针政策控制、信息质量控制和财产安全控制等。方针政策控制实质上是一种纪律控制，主要以单位的方针、政策、计划、预算、标准、定额等作为控制的手段，以保证单位合法、合规的经营。

信息质量控制，即采取一系列的措施和方法，以保证会计信息的真实、及时、可靠和准确，保证会计信息能够满足组织内部和外部使用人的需要。信息质量控制的手段主要包括凭证审核、凭证连续编号、复核、核对、签章、传递与分析等。

财产安全控制是指为了确保财产物资的安全完整而采取的各项措施和方法。直接与财产安全有关的控制措施和方法有及时登记、限制接近、永续盘存制、财产清查制、出库入库手续、职务轮换制等。

8.检查控制

检查控制是指对内部控制制度的贯彻、执行情况所进行的监督检查，以保证控制功能的充分发挥。内部审计即是一种专业检查，是指组织通过建立内部审计部门对组织的各项业务进行审计检查的一种监督手段。

四、内部控制责任

组织中的每一个人对内部控制都负有一定的责任，单位最高负责人拥有内部控制制度的所有权，负责最终的责任。

（一）管理层的责任

管理层对单位的所有活动都直接负责，其中也包括对内部控制直接负责。

单位中不同阶层的负责人所担负的内部控制的责任当然不同，而在不同单位中同一部门的负责人所担负的责任也有显著的差异。

1.单位主要负责人责任