【文章內(nèi)容簡介】 用服務組織了嗎？ 外包的活動、流程和職能對財務報告內(nèi)部控制來說重大嗎？ 針對外包的流程存在 SAS70報告嗎？ 是第二種類型的 SAS70報告嗎？ SAS70報告充分應對了外包流程相關信息處理目標的內(nèi)部控制嗎？ SAS70報告期間至少包括 6個月的活動，并且表明的日期在財務年度末 6個月之內(nèi)嗎？ 不需要采取進一步行動 管理層能夠要求適當范圍和時間的第二種類型的 SAS70報告嗎？ 是 是 是 是 是 否 否 否 是 （續(xù)下圖） 管理層已經(jīng)評價和測試了報告中包括的使用者控制的運行有效性，并確定實施了適當?shù)膬?nèi)部控制以支持服務組織的活動嗎？ 2．七個階段 （ 3）評價服務組織的內(nèi)部控制 SAS70報告期間至少包括 6個月的活動，并且表明的日期在財務年度末 6個月之內(nèi)嗎？ 是 是 （續(xù)上圖） 意見是無保留的嗎？ 管理層已經(jīng)評價了報告中包括的每一個控制缺陷并斷定對內(nèi)部控制支持相關信息處理目標的能力沒有影響嗎？ 是 管理層已經(jīng)評價和測試了報告中包括的使用者控制的運行有效性，并確定實施了適當?shù)膬?nèi)部控制以支持服務組織的活動嗎？ 管理層能夠要求適當范圍和時間的第二種類型的 SAS70報告嗎？ 管理層應當實施替代程序（如測試使用者控制，測試服務組織的控制，或要求服務組織的審計師實施商定程序），以應對服務組織支持相關信息處理目標而實施的內(nèi)部控制。 管理層應當就其信賴服務組織控制的能力得出結論。 否 否 是 2．七個階段 （ 4）記錄 相關記錄是管理層評價財務呈報內(nèi)部控制的依據(jù)和證據(jù)。 為了履行職責，管理層在記錄內(nèi)部控制時應當實施四個步驟： 確定記錄的范圍 記錄相關流程 記錄相關控制 評估控制的設計 2．七個階段 （ 5）測試以確定內(nèi)部控制的運行有效性 測試相關的控制，這些控制必須包括每個單獨重要場所的所有重大賬戶和披露的所有認定的每一個內(nèi)部控制要素以及其他場所的特別風險領域。公司必須測試證據(jù)以支持管理層對財務呈報內(nèi)部控制的評估。 識別要測試的控制 確定將要實施測試的人 制定和實施測試計劃 評價測試結果 工作步驟 2．七個階段 （ 6）內(nèi)部控制缺陷的評價與報告 按重要性劃分 內(nèi)部控制缺陷 重大缺陷 （ significant deficiency） 實質性漏洞 （ material weakness） 識別缺陷 了解和評估缺陷 評估錯報的可能性 評估潛在的錯報大小 識別彌補型控制 確定缺陷的類別 評估缺陷的組合 內(nèi)部控制缺陷的識別、評估 和分類程序 7步驟 2．七個階段 （ 7）溝通 管理層必須將其發(fā)現(xiàn)的所有顯著缺陷和實質性漏洞告知審計委員會和外部審計師。 v一 v二 內(nèi)部控制審計的歷史演進 內(nèi)部控制審計的概念框架 第 二 節(jié) 內(nèi)部控制審計 一、內(nèi)部控制審計的歷史演進 （一）麥克森 羅賓斯公司破產(chǎn)事件 1938年 債權人 米利安 湯普森 羅賓斯藥材公司 經(jīng)濟往來的過程中 麥克森 羅賓斯公司 發(fā)現(xiàn)麥克森 羅賓斯公司的原料部門的 現(xiàn)金積累 和 存貨金額 存在嚴重的問題。 （一）麥克森 羅賓斯公司破產(chǎn)事件 SEC立案調(diào)查 表象 ?十余年來的財務報表是由 PWC執(zhí)行審計的，并一直對公司的財務狀況和經(jīng)營成果發(fā)表了“ 正確、適當 ”的審計意見 實際 ?1937年 12月 31日的合并資產(chǎn)負債表的總資產(chǎn)8700萬美元之中，有 ；1937年的合并損益表上 虛假的銷售收入和毛利分別達到 1820萬美元和 180萬美元 。 ?菲利普 科斯特是一位使用化名爬上公司領導崗位的有犯罪前科的詐騙犯，與他同謀的三位兄弟也使用化名，并在公司竊據(jù)重要地位。 ?正是他們 合伙舞弊 ，利用公司內(nèi)部控制的薄弱，從公司貪污了巨款，使股東和債權人蒙受損失。 （一）麥克森 羅賓斯公司破產(chǎn)事件 影響 該破產(chǎn)案件的披露，給社會和民間審計職業(yè)帶來了很大的震動，暴露了審計程序與內(nèi)部控制的嚴重缺陷，審計職業(yè)的社會聲譽受到巨大沖擊，引發(fā)了社會公眾對獨立審計職業(yè)的熱烈討論以及 SEC的嚴重關注。 ?SEC認識到審計程序和內(nèi)部控制存在嚴重缺陷，通過它們無法發(fā)現(xiàn)管理當局合謀舞弊行為，所以試圖通過修訂有關審計的各項規(guī)則來強化監(jiān)督權。 ?美國會計師協(xié)會和美國注冊會計師協(xié)會也就該事件紛紛作出積極的反應，分別制定了相關的文件、補充規(guī)定、專題報告以及九項公認審計準則。 人們在重視內(nèi)部控制的同時，也開始關注內(nèi)部控制審計 …… （二） 《 反國外行賄法案 》 及相關公告 20世紀 70年代以前 重視內(nèi)部控制的主要是公司管理當局自身 1973年至 1976年美國“水門事件” 立法機關和行政機關開始注意到 內(nèi)部控制問題 。調(diào)查顯示，過去不少美國大公司進行了 非法的國外捐款、可疑的或違法的國外支付 。 1977年 12月 19日 美國國會正式批準并通過了 《 反國外行賄法案 》 （ Foreign Corrupt Practices Act，簡稱 FCPA） ，該法案除了規(guī)定禁止各種形式的行賄或具有行賄可疑的行為外，法案還要求在證券交易委員會管轄下的每一家公司必須 擁有持續(xù)的內(nèi)部會計控制 ，以合理保證所有交易事項都得到公司管理當局的授權和認可。 （二） 《 反國外行賄法案 》 及相關公告 該法有關內(nèi)部會計控制的部分內(nèi)容： ?建立和保持賬簿、記錄和賬戶，它們應該充分、詳細、正確和公允地反映公司（指上市公司）的各類交易業(yè)務和資產(chǎn)的處理； ?設計和保持充分的內(nèi)部會計控制制度，并保證依據(jù)公司管理當局的一般授權或特殊授權處理各種交易業(yè)務； ?交易業(yè)務的記錄必須遵守一般公認會計原則，或其他使用于財務報表編制的標準，維護對資產(chǎn)的經(jīng)管責任，只有經(jīng)過公司管理當局的一般授權或特殊授權才能接觸資產(chǎn)； ?對管理資產(chǎn)的責任記錄應當在適當?shù)臅r間間隔內(nèi)同實有資產(chǎn)進行比較，校對有關差異采取適當?shù)募m正行動。 （二） 《 反國外行賄法案 》 及相關公告 1978年 2月 16日 美國證券交易委員會發(fā)表了證券交易法第 14478號公告，題為“頒布 1977年反國外行賄法的通知”。 由于 《 反國外行賄法案 》 簽署生效，對受新法要求的發(fā)行者，要審查其會計程序、內(nèi)部會計控制制度和營業(yè)慣例，以促使他們采取符合法律要求的必要措施。 （二） 《 反國外行賄法案 》 及相關公告 影響 FCPA的頒布使得管理當局的內(nèi)部控制這一特權被剝奪，建立適當有效的內(nèi)部控制成為上市股份公司遵守法律規(guī)范的必要行動。同時，檢查和評價客戶的內(nèi)部會計控制也成為外部審計人員進行年度受托財務報表審計不可缺少的內(nèi)容，這也督促美國的公司致力于建立健全內(nèi)部控制，并對其進行審計，以贏得較好的社會聲譽。 （三） COSO報告及 SAS78 1985年 美國注冊會計師協(xié)會(AICPA) 美國會計學會(AAA) 內(nèi)部審計師協(xié)會 ( IAA) 財務經(jīng)理協(xié)會(FEA) 全國會計師協(xié)會(NAA) 反舞弊財務報告委員會 （ National Commission On Fraudulent Financial Reporting，亦稱 Treadway Commission） 研究舞弊性財務報告產(chǎn)生的原因及其相關領域（包括內(nèi)部控制不健全的問題）。 （三） COSO報告及 SAS78 1987年 Treadway 委員會 建議 COSO委員會 （ The Committee of Sponsoring Organization) 1992年 9月 《 內(nèi)部控制 — 整體框架 》 （ Internal ControlIntegrated Framework）專題報告，簡稱 COSO報告 內(nèi)部控制發(fā)展史上的一個里程碑！ （三） COSO報告及 SAS78 1996年 AICPA 發(fā)布 《 審計準則公告第 78號 》 （ SAS78） （ SAS 55） 取代 內(nèi)部控制是由公司董事會、經(jīng)理階層和其他員工實施的，為財務報告的可靠性、經(jīng)營的效果和效率、相關法令的遵循性等目標的達成提供合理保證的過程，其構成要素應來源于管理階層經(jīng)營公司的方式，并與公司管理的過程相結合。 （三） COSO報告及 SAS78 ?COSO報告第一次全面論述了公司的內(nèi)部控制，將人們關注的焦點牽引到內(nèi)部控制問題上來。 ?《 審計準則公告第 78號 》 是對內(nèi)部控制的進一步肯定和細化，提出風險控制的意識，進一步促進