注册会计师在了解内部控制时，应当评价控制的设计，并确定其是否得到执行。评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。控制得到执行是指某项控制存在且被审计单位正在使用。设计不当的控制可能表明内部控制存在重大缺陷，注册会计师在确定是否考虑控制得到执行时，应当首先考虑控制的设计。

控制环境

控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。控制环境设定被审计单位的内部控制基调，影响员工对内部控制的认识和态度。良好的控制环境是实施有效内部控制的基础。中国注册会计师审计准则第1211号第六十六条规定，注册会计师应当了解控制环境。

防止或发现并纠正舞弊和错误是被审计单位治理层和管理层的责任。审计准则第1211号第六十七条规定，在评价控制环境的设计和实施情况时，注册会计师应当了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化，以及是否建立了防止或发现并纠正舞弊和错误的恰当控制。实际上，在审计业务承接阶段，注册会计师就需要对控制环境做出初步了解和评价。

控制环境对重大错报风险的评估具有广泛影响，注册会计师应当考虑控制环境的总体优势是否为内部控制的其他要素提供了适当的基础，并且未被控制环境中存在的缺陷所削弱。

控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报，注册会计师在评估重大错报风险时应当将控制环境连同其他内部控制要素产生的影响一并考虑。

风险评估

被审计单位面临的风险及风险评估过程。任何经济组织在经营活动中都会面临各种各样的风险，风险对其生存和竞争能力产生影响。很多风险并不为经济组织所控制，但管理层应当确定可以接受的风险水平，识别这些风险并采取一定的应对措施。可能产生风险的事项和情形包括：

（1）监督及经营环境的变化。监督和经营环境的变化会导致竞争压力的变化以及重大的相关风险。

（2）新员工的加入。新员工可能对内部控制有不同的认识和关注点。

（3）新信息系统的使用或对原系统进行升级。信息系统的重大变化会改变与内部控制相关的风险。

（4）业务快速发展。快速的业务扩张可能会使内部控制难以应对，从而增加内部控制失效的可能性。

（5）新技术。将新技术运用于生产过程和信息系统可能改变与内部控制相关的风险。

（6）新生产型号、产品和业务活动。进入新的业务领域和发生新的交易可能带来新的与内部控制相关的风险。

（7）企业重组。重组能带来裁员年以及管理职责的重新划分，将影响与内部控制相关的风险。

（8）发展海外经营。海外扩张或收购会带来新的并且往往是特别的风险，进而可能影响内部控制，如外币交易的风险。

（9）新的会计准则。采用新的或变化了的会计准则可能会增大财务报告发生重大错报的风险。

风险评估过程的作用是识别、评估和管理影响被审计单位实现经营目标能力的各种风险。而针对财务报告目标的风险评估过程则包括识别与财务报告相关的经营风险，评估风险的重大性和发生的可能性，以及采取措施管理这些风险。例如，风险评估可能会涉及被审计单位如考虑对某些交易未予记录的可能性，或者识别和分析财务报告中的重大会计估计发生错报的可能性。与财务报告相关的风险也可能与特定事项和交易有关。审计准则第1211号第七十三条指出，被审计单位的风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险采取的措施。注册会计师应当了解被审计单位的风险评估过程和结果。

信息系统与沟通

信息系统与沟通是收集与交换被审计单位执行、管理和控制业务活动所需信息的过程，包括收集和提供信息（特别是履行内部控制岗位职责所需的信息）给适当人员，使之能够履行职责。信息系统与沟通的质量直接影响到管理层对经营活动作出正确决策和编制可靠的财务报表的能力。

●与财务报告相关的信息系统

与财务报告相关的信息系统，包括用以生成、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。

交易可能通过人工或自动化程序生成。记录包括识别和收集与交易、事项有关的信息。处理包括编辑、核对、计量、估价、汇总和调节活动，可能由人工或自动化程序来执行。报告是指用电子或书面形式编制财务报告和其他信息，供被审计单位用于衡量和考核财务及其他方面的业绩。与财务报告相关的信息系统应当与业务流程相适应。业务流程是指被审计单位开发、采购、生产、销售、发送产品和提供服务、保证遵守法律法规、记录信息等一系列活动。

●与财务报告相关的信息系统的职能

审计准则第1211号第七十八条第一款指出，与财务报告相关的信息系统所生成信息的质量，对管理层能否作出恰当的经验管理决策以及编制可靠的财务报告具有重大影响。与财务报告相关的信息系统通常包括下列职能：

（1）识别与记录所有的有效交易；

（2）及时、详细地描述交易，以便在财务报告中对交易作出恰当的分类；

（3）恰当计量交易，以便在财务报告中对交易的金额作出准记录；

（4）恰当确定交易生成的会计期间；

（5）在财务报表中恰当列报交易。

控制活动

●了解控制活动的总体要求

审计准则第1211号第八十三条第一款规定，注册会计师应当了解控制活动，以足够评估认定层次的重大错报风险和针对评估风险设计进一步审计程序。

●相关的控制活动

审计准则第1211号第八十三条第二款指出，控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。

（1）授权。(www.daowen.com)

审计准则第1211号第八十四条第一款指出，注册会计师应当了解与授权有关的控制活动，包括一般授权和特别授权。授权的目的在于保证交易在管理层授权范围内进行。第八十四条第二款、第三款分别指出，一般授权是指管理层制定的要求组织内部遵守的普遍适用于某类交易或活动的政策。特别授权是指管理层针对特定类别的交易或活动逐一设置的授权，如重大资本支出和股票发行等。特别授权也可以用于超过一般授权限制的常规交易。例如，同意因某些特别原因，对某个不符合一般信用条件的客户赊购商品。

（2）业绩评价。

审计准则第1211号第八十五条规定，注册会计师应当了解与业绩评价有关的控制活动，主要包括被审计单位分析评价实际业绩与预算（或预测、前期业绩）的差异，综合分析财务数据与经营数据的内在关系，将内部数据与外部信息来源相比较，评价职能部门、分支机构或项目活动的业绩（如银行客户信贷经理复核各分行、地区和各种贷款类性的审批和收回），以及对发现的异常差异或关系采取必要的调查与纠正措施。通过调查非预期的结果和非正常的趋势，管理层可以识别可能影响经营目标实现的情形。管理层对业绩信息的使用（如将这些信息用于经营决策，还是同时用于对财务报告系统报告的非预期结果进行追踪），决定了业绩指标的分析是只用于经营目的，还是同时用于财务报告目的。

（3）信息处理。

审计准则第1211号第八十六条指出，注册会计师应当了解与信息处理有关的控制活动，包括信息技术的一般控制和应用控制。被审计单位通常执行各种措施，检查各种类型信息处理环境下的交易的准确性、完整性和授权。信息处理控制可以是人工的、自动化的，或是基于自动流程的人工控制。信息处理控制分两类，即信息技术的一般控制和应用控制。

信息技术一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行（包括信息的完整性和数据的安全性），支持应用控制作用的有效发挥，通常包括数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制。例如，程序改变的控制、限制接触程序和数据的控制、与新版应用软件包实施有关的控制等都属于信息技术一般控制。

信息技术应用控制是指主要在业务流程层面运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通常包括检查数据计算的准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。

（4）实物控制。

审计准则第1211号第八十七条指出，注册会计师应当了解实物控制，主要包括了解对资产和记录采取适当的安全保护措施，对访问计算机程序和数据文件设置授权，以及定期盘点并将盘点记录与会计记录相核对。例如，现金、有价证券和存货的定期盘点控制。实物控制的效果影响资产的安全，从而对会计报表的可靠性及审计产生影响。

（5）职责分离。

审计准则第1211号第八十七条指出，注册会计师应当了解职责分离，主要包括了解被审计单位如何将交易授权、记录交易以及资产保管等职责分配给不同员工，以防范同一员工在履行多项职责时可能发生的舞弊或错误。当信息技术运用于信息系统时，职责分离可以通过设置安全控制来实现。

对控制的监督

●了解对控制的监督的总体要求

审计准则第1211号第九十二条第一款规定，注册会计师应当了解被审计单位对与财务报告相关的内部控制的监督活动，并了解如何采取纠正措施。

●对控制的监督的含义

管理层的重要职责之一就是建立和维护控制并保证其持续有效运行，对控制的监督可以实现这一目标。审计准则第1211号第九十二条第二款指出，对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程，该过程包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。例如，管理层对是否定期编制银行存款余额调节表进行复核，内部审计人员评价销售人员是否遵守公司有关销售合同条款的政策，法律部门定期监控公司的道德规范和商务行为准则是否得以遵循等。监督对控制的持续有效运行十分重要。假如没有对银行存款余额调节表是否得到及时和准确的编制进行监督，该项控制可能无法得到持续的执行。

【案例】

从一起报销舞弊案例看内部控制建设

一、案例情况

2004年7月初，甲公司对原公司老总进行离任审计中发现，有一份报销单背后所附的发票有缺失。而这张缺失的发票后来竟然在另一份不相干的报销单所附的原始凭证中发现。显然，这张发票被重复报销了。同时，新任公司老总发现，部分报销单上自己的签名是他人摹仿后签上的。作为这些报销业务的经办人，公司出纳Y成为怀疑对象。于是，本来针对公司经济责任的离任审计，却将一名公司出纳“审”了出来。

经过调查，2000年12月，Y第一次尝试将自己消费的发票夹带在领导的报销单中报销了。之后，他在为领导填写报销单时，故意只写单项而不写合计，等经手领导签名后，夹带上自己的消费发票再填写总数，找另一领导审核签名。有时，他又将别人已经报销了的原始凭证抽出若干张，附在自己伪造的报销单上，再冒充领导签名予以报销。Y甚至找发票贩子购买或向熟识的商店营业员讨要空白发票，回来自己填上金额，然后冒充领导消费，又让彼领导审核，几年下来，随着Y摹仿的领导签名日益增多，他的“克隆”技术也日见娴熟，而犯罪金额更是“稳定增长”，从2000年12月至2004年7月案发，Y贪污的公款已有证据证实就达50万余元。基于上述犯罪事实，Y于2005年10月26日被法院以职务侵占罪判处有期徒刑9年。

本案例中的报销流程大致如下：公司报销申请人（即本案例中的“经手领导”）提供相关的报销凭证、在确认报销内容无误后签字确认，并交付给Y，Y将修改凭证及确认亲自交给公司报销审核人（即本案例中的“另一领导”），报销审核人确认无误后签字并将相关资料凭证交还给Y，Y再将相关凭证签字等资料交给公司相关部门（如公司财务部门）并取得现金，之后Y将现金交给报销申请人，整个报销流程结束。

二、分析与启示

Y舞弊实际从整体上暴露了甲公司内部控制的脆弱。比如，报销由于涉及现金支付，其本来就属于高风险的控制环节。报销流程的巨大漏洞体现了公司从整体上欠缺有效的内控风险评估，而风险评估作为建立内部控制的逻辑起点，这种欠缺可能反映公司整体控制意识上的薄弱。再比如，本案例中并非由专门控制手段查出舞弊，而是由离任审计“碰巧”查出。从这一点可以合理推测：如果Y没有留下发票“搬家”这种非常明显的舞弊痕迹，或者离任审计人员没有进行追究，Y完全可能仍然逍遥法外。这些反映了公司缺乏最基本的监督手段和信息沟通。此外，Y的报销活动实际服务于较高的管理层次，即为“领导”报销。含有夹带的发票能够非常轻松地获得另一个领导的签字认可、“伪造”的领导签名能够轻易过关，这些至少反映了对公司高管的报销管理非常薄弱。因此，这里还可能存在内部控制被公司高管凌驾的情况。

从本案例中可得到以下启示：

1.内部控制的建立往往是一个自上而下的过程。一般而言，设置内部控制并维持其有效性是管理层的责任，从这个角度来说，本案例中的相关“领导”也应该承担一定的责任。内部控制的原则是明确的，但对具体公司而言，更重要的是形成加强内部控制的动机。如果缺乏这些起点，那么内部控制可能只能成为追究具体责任时各方的借口。

2.内部控制本身就是对个体行为的制度限制。事发之后，相关报道更多地将原因归结为当事人的“贪欲”。这并未切中要害。个人的贪婪是非常主观和平常的因素，而内控制度的主旨就在于将这些主观因素限制在一定的范围之内。

3.内部控制的是一个动态调整的过程。内部控制需要根据环境的变化，通过不断的风险评估、流程分析和制度重构来实现不间断调整。这个案例之后，相信甲公司会对报销流程进行调整，但是如果缺乏动态的内控调整，可以预见局部调整的静态内控仍然无法应付形式更为复杂、手段更为高明的潜在舞弊。

三、一个参考报销支付流程

事实上，本案例中有多组信息可供对照，至少包括：报销申请人申请报销的金额与报销审核人审核的金额、报销实际支付的金额与报销申请人实际取得的金额、Y经手提供的凭证与报销申请人提供的凭证。只要其中任何一组信息得到及时对照和反馈，Y的舞弊行为都无法成功。结合前文的分析，在考虑甲公司情况的前提下，一个可供参考的报销支付流程（下文简称“参考流程”）如图8-3所示。

对应本案例，按照报销审核前和审核后划分，Y舞弊的步骤可以归结于参考流程中的步骤3和步骤7。审核前：在步骤3中，Y可以在取得的凭证中“夹带”其他凭证（包括伪造申请人签字），然后骗取报销审核人签字（甚至直接伪造审核人签字），然后加入后续步骤骗取现金报销；审核后：在步骤7中，Y可以在已经签字的凭证中“夹带”其他凭证，然后加入后续步骤骗取现金报销。

图8-3　报销支付流程图

然而在参考流程中，Y上述舞弊被发现的可能性会大大提高。审核前：如果Y在步骤3中夹带凭证，则报销申请人申请报销的金额会小于报销审核的金额，通过报销金额确认回执（步骤11），申请人即可发现。如果，配合必要的报销限额管理，申请即有动机进行举报。审核后：如果Y在步骤7中舞弊，则报销申请金额会小于报销实际支付金额，在审核金额和实际支付金额的日常核对中很容易发现。总之，有关业务人员在关键控制环节的行为的信息都会在另一方得到归集，并进行对照和比较，这在客观上形成了一种多方牵制机制。参考流程如果配合必要的职务分离（如业务人员A、B和C）、差异处理程序、内部审计、外部审计、凭证管理、报销限额管理、奖惩措施、定期职务轮换措施等，舞弊可能性会进一步降低。

当然，相对于本案例中Y“一手包办”的报销支付程序，参考流程涉及过多的内部凭证、人员和流程，其运作成本可能有一定的提高。然而报销涉及现金支出，这就决定了其必然需要面对很高的舞弊风险。审核人作为不报销过程中的最重要控制环节，对其经手的审核信息进行归档非常必要。而申请人与审核人之间的信息沟通（回执制度设计）则是从根本上降低信息不对称的必要手段。对于控制成本，公司还能够通过设置报销金额范围、审核时间间隔等进行调整（例如考虑到案例中报销申请人通常是公司高管，因此参考流程采取了向其定期递交报销金额确认回执的形式）。此外，主要满足必要的职务分离，有些环节并不需要配备专职人员，其控制成本也能够相应降低。

（资料来源：冯萌.从一起报销舞弊案例看内部控制建设.中国注册会计师，2007-3）