企业内部控制审计指引详解(PPT 48页).ppt

1、企业内部控制审计指引详解,引言： 一、为什么要如此重视内部控制？ （一）国家整体管制角度 （2001年大陆财政部发布内部会计控制规范） （二）单个企业发展角度 企业（公司）质量与效益的重要性 （二）社会公众需求角度 关注财务报表同时关注相关内部控制,二、什么是企业内部控制,一）内部控制的概念 内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。（全面内部控制理念） （二）内部控制的5目标 合理保证经营合规、资产安全、财务报告及相关信息真实完整、经营有效性，促进企业实现发展战略。美国内控目标如下,美国和国际上通常认为内部控制应实现以下3大目标： 即合理保证实现： （1

2、）财务报告（financial reporting）的可靠性； （2）经营（operation）的效率和效果； （3）对法律法规的遵守（compliance）。 注：资产安全目标哪去了,三）内部控制的5要素,1、内部环境（控制环境） 2、风险评估 3、信息与沟通 4、控制活动 5、内部监督 (对控制的监督,四）内部控制的固有局限性,内部控制存在下列固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证： 1、在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效； 2、可能由于两个或更多人员进行串通或管理层凌驾于内部控制之上而被规避,三、内部控制标准体系,1、企业内部控制基

3、本规范 2、企业内部控制应用指引 3、企业内部控制评价指引 4、企业内部控制审计指引 注：2006年6个部委组建大陆企业内部控制标准委员会，迄今工作成果如下： A, 1、已发布自2009-7-1起上市公司执行（5部位联合发布）。 B, 234于2010-4-26发布，2011-1-1起境内外上市公司执行，2012-1-1起主板执行，在此基础上，择机在中小板和创业板上市公司施行。同时，鼓励非上市大中型企业提前执行,1、企业内部控制基本规范1个 1)五个目标： 合规性、可靠性、安全性、经济性，战略性（美国COSO是：3个目标，无安全性和战略性） 2)五个原则： 全面性、重要性、制衡性、适应性、成本

4、效益 3)五个要素： 内部环境、风险评估、信息与沟通、控制活动、内部监督,2、大陆企业内部控制应用指引21个,总体情况：21个应用指引（此次发布18个，涉及银行、证券和保险等业务的3个指引暂未发布） 18个应用指引的分类： （1）内部环境类指引-5个(侧重企业层面控制） （2）控制活动类指引-9个(侧重业务层面控制） （3）控制手段类指引-4个(侧重企业层面控制） 注：基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项,18个应用指引的内容,1）内部环境类指引5个(侧重企业层面控制） 组织框架（含治理结构、机构设置、职责分配及不相容职务分离）、发展战略、人力资源、企业文化、社会责任（

5、含安全生产，产品质量，环境保护与资源节约等） （注：企业自我评价时要以内部环境为基础） （2）控制活动类指引9个(侧重业务层面控制） 资金活动、资产管理、采购业务、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告 （注：企业自我评价时要以控制活动为重点） （3）控制手段类指引4个(侧重企业层面控制） 全面预算、合同管理、内部信息传递、信息系统 （注：企业自我评价时应当兼顾控制手段） 注：财政部等还将出台具体的操作手册或讲解材料,企业内部控制应用指引框架,第一章：总则 (含本指引制定目的，控制对象（定义），相关风险，关键控制点） 第二至N章：具体规定关键控制点(不相容岗位分离) （总

6、要求是：职责分工与授权控制，全面实现控制目标） 、第一关键控制点 、第二关键控制点 N、评估与披露（第-1个关键控制点,3、企业内部控制评价指引1个,1）管理层要提交内部控制评价报告 （年度评价和专项评价） （2）评价工作的组织与实施 1）谁负责：企业主要负责人 2）谁实施：董事会（或类似决策机构）或其授权机构（可借助CPA或外部专家） 3）遵循原则：全面性、重要性和独立性等原则 4）评价工作程序（即评价方案的设计及实施） 5）评价方法 6）工作底稿编制与复核,3）年度评价和报告的内容 1）评价：对整个年度、所有内部控制在某一基准日 的有效性评价后，发表一个意见。 2）报告：只需且只能报告内控

7、设计或执行存在的 重大缺陷 注1：内部控制缺陷认定有三种： 重大缺陷;重要缺陷;一般缺陷。 注2：2010年上市公司内部控制自我评价报告存在的问题：只报告与财务报告密切相关的内部控制设计和运行情况。这样做对吗,4）内部控制评价报告,1）组织实施内部控制评价的总体情况。 2）内部控制责任主体的声明。 3）内部控制评价的范围和内容。 4）内部控制评价的标准和依据。 5）内部控制评价的程序和方法。 6）内部控制重大缺陷及其认定情况。 7）内部控制重大缺陷的整改措施及责任追究情况。 8）内部控制有效性的结论（基准日）。 敬请注意：存在一个或多个内部控制重大缺陷的，应当作出内部控制无效的结论,正题：企业

8、内部控制审计指引讲解,开场白： 1、CPA和企业的责任都在不断地加大； 2、内控审计结果将成为考核企业的重要指标； 3、与财务报表审计有较大的不同。 建议: CPA和企业（公司）领导层都要高度重视内部控制问题,背景回顾：美国内部控制审计的发展历程,2002年， 萨班斯奥克斯利法案 2004年3月，PCAOB，AS NO2 2007年6月，PCAOB，AS NO5An audit of Internal Control Over Financial Reporting That is Integrated with An audit of Financial Statements CPA与内控关

9、系发展史： 财务报表审计中不关注内控 财务报表审计中关注与审计相关的内控（新旧国际准则要求不同） 单独审核（EXAMINATION） 财务报告内部控制 单独审计财报内控（AUDIT）（跨入双重审计新时代）， 要求公司管理层先得编制内部控制自评报告，后CPA再审计,一、指引（7章35条）的结构,1章、总则 2章、计划审计工作 3章、实施审计工作 4章、评价控制缺陷 5章、完成审计工作 6章、出具审计报告 7章、记录审计工作 附录：4个内部控制审计报告的参考格式 二、各章内容讲解,第一章“总则”讲解（5条,1、制定的目的和依据 第一条 为了规范注册会计师执行企业内部控制审计业务，明确工作要求，保证

10、执业质量，根据企业内部控制基本规范、中国注册会计师鉴证业务基本准则及相关执业准则，制定本指引,2、内部控制审计的定义和责任划分,第二条 本指引所称内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。 第三条 建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。 （注意：CPA审计不能减轻管理层责任,3、总体审计要求 第四条 注册会计师执行内部控制审计工作，应当获取充分、适当的证据，为发表内部控制审计意见提供合理保证。证据 注册会计师应当对财务报告内部控

11、制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。报告,4、内部控制审计与财务报表审计的关系 第五条 注册会计师可以单独进行内部控制审计，也可以将内部控制审计与财务报表审计整合进行（以下简称整合审计）。 在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标： （一）获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见； （二）获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。 （思考问题：两种审计是同一家事务所做，还是不同事务

12、所做,补充讲：两种审计中控制测试和实质性程序之间的关系,1、内部控制审计中对控制有效性的测试 1）注册会计师应当获取内部控制在一段足够长的期间内有效运行的证据，测试的期间可能短于财务报表涵盖的整个期间（通常一年）。（测试时间） 2）注册会计师应当测试所有相关认定的控制，以获取其设计和运行有效性的证据。（测试范围） 如果仅对财务报表发表审计意见，注册会计师可能不需要测试这些控制。 3）在内控审计中，注册会计师在对内控有效性形成结论时，应当同时考虑财务报表审计中实施的、所有针对控制设计和运行有效性测试的结果。（相互利用,2、财务报表审计中对控制有效性的测试,1）如果将某项财务报表认定的控制风险评估

13、为低于最高水平，注册会计师需要获取拟信赖的相关控制在整个期间有效运行的证据。 （测试时间） 2）注册会计师不必将所有相关认定的控制风险评估为低于最高水平，因此，可能不对所有控制的运行有效性进行测试。 （测试范围） 3）在财务报表审计中，注册会计师在评估控制风险时，应当同时考虑内控审计中实施的、所有针对控制设计和运行有效性测试的结果。（相互利用,3、控制有效性的测试对实质性程序的影响 1）如果在内部控制审计中识别出某项控制缺陷，注册会计师应当评价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时间和范围的影响。 2）在财务报表审计中，无论控制风险或重大错报风险的评估水平如何，注册会计师都应当针

14、对所有重大的各类交易、账户余额及列报实施实质性程序。为对内部控制的有效性发表意见而实施的测试程序并不减轻注册会计师遵守上述规定的责任,4、实质性程序对控制有效性结论的影响 1）在内部控制审计中，注册会计师应当评价财务报表审计中实施的实质性程序的结果对控制有效性结论的影响。评价内容应当包括： （1）注册会计师作出的、与选择和实施实质性程序相关的风险评估，尤其是与舞弊相关的风险评估； （2）发现的违反法规行为和关联方交易方面的问题； （3）表明管理层在选择会计政策和作出会计估计时存在偏见的情况； （4）实施实质性程序发现的错报。 2）注册会计师应当通过直接测试控制获取控制是否有效的证据，而不能根据

15、实质性程序没有发现错报，推断该项控制的有效性,第二章“计划审计工作”讲解（4条,1、总体要求 第六条 注册会计师应当恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。 2、考虑因素 第七条 在计划审计工作时，注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响： （一）与企业相关的风险； （二）相关法律法规和行业概况； （三）企业组织结构、经营特点和资本结构等相关重要事项； （四）企业内部控制最近发生变化的程度； （五）与企业沟通过的内部控制缺陷； （六）重要性、风险等与确定内控重大缺陷相关的因素； （七）对内部控制有效性的初步判断； （八）可获

16、取的、与内控有效性相关的证据的类型和范围,3、风险导向 第八条 注册会计师应当以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。 内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多,4、利用其他相关人员的工作 第九条 注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能本应由注册会计师执行的工作。需要判断 1）注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作，应当对其专业胜任能力和客观性进行充分评价。 2）与某项控制相关的风险越高，可利用程度就越低，注册

17、会计师应当更多地对该项控制亲自进行测试。 3）注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。责任 （另外计划时还要考虑：调整审计工作，应对舞弊风险，确定重要性水平，对企业使用服务机构的考虑等问题,第三章“实施审计工作”讲解（20条,1、运用自上而下方法，选择拟测试的控制 第十条 注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行,补充讲1：自上而下的方法 按照下列思路展开,1）从财务报表层

18、次初步了解内部控制整体风险； （2）识别企业层面控制； （3）识别重要账户、列报及其相关认定（注：与业务层面相关）； （4）了解错报的可能来源； （5）选择拟测试的控制。 自上而下的方法是注册会计师识别风险及选择拟测试的控制的思路，但并不一定是实施审计工作的顺序,补充讲2：重要账户、列报及其相关认定的含义,1）如果某账户或列报具有合理可能性包含了一个错报，该错报单独或连同其他错报将对财务报表产生重大影响（需要同时考虑多报和少报的风险），则该账户或列报为重要账户或列报。判断某账户或列报是否重要，应当依据其固有风险，而不应考虑相关控制的影响。 2）如果某财务报表认定具有合理可能性包含了一个或多个错

19、报，这个或这些错报将导致财务报表发生重大错报，则该认定为相关认定。判断某认定是否为相关认定，应当依据其固有风险，而不应考虑相关控制的影响,3） 在内部控制审计中，注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素,与财务报表审计中考虑的因素相同。因此，在这两种审计中识别的重要账户、列报及其相关认定应当相同。 4）在财务报表审计中，注册会计师可能针对非重要账户、列报及其相关认定实施实质性程序,补充讲3：选择拟测试的控制,1）注册会计师应当评价控制是否足以应对评估的每个相关认定的错报风险，并选择其中对形成评价结论具有重要影响的控制进行测试。 2）对特定的相关认定而言，可能有多项控制应对

20、评估的错报风险；反之，一项控制可能应对评估的多个相关认定的错报风险。注册会计师没有必要测试与某个相关认定有关的所有控制。 3）在确定是否测试某项控制时，注册会计师应当考虑该项控制单独或连同其他控制，是否足以应对评估的某项相关认定的错报风险，而不论该项控制的分类和名称如何,2、测试企业层面控制,第十一条 注册会计师测试企业层面控制，应当把握重要性原则，至少应当关注： （一）与内部环境相关的控制； （二）针对董事会、经理层凌驾于控制之上的风险而设计的控制； （三）企业的风险评估过程； （四）对内部信息传递和财务报告流程的控制； （五）对控制有效性的内部监督和自我评价,3、测试业务层面控制,第十二条

21、 注册会计师测试业务层面控制，应当把握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。（与重要账户、列报及其认定相关） 注册会计师应当关注信息系统对内部控制及风险评估的影响。 4、考虑舞弊风险 第十三条 注册会计师在测试企业层面控制和业务层面控制时，应当评价内部控制是否足以应对舞弊风险,5、测试的内容,第十四条 注册会计师应当测试内部控制设计与运行的有效性。 如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行，能够实现控制目标，表明该项控制的设计是有效的。 如果某项控制正在按照设计运行

22、，执行人员拥有必要授权和专业胜任能力，能够实现控制目标，表明该项控制的运行是有效的,6、测试的程序,1）确定原则 第十五条 注册会计师应当根据与内部控制相关的风险，确定拟实施审计程序的性质、时间安排和范围，获取充分、适当的证据。与内部控制相关的风险越高，注册会计师需要获取的证据应越多。风险导向 2）程序种类 第十六条 注册会计师在测试控制设计与运行的有效性时，应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。 询问本身并不足以提供充分、适当的证据,7、测试的时间安排,第十七条 注册会计师在确定测试的时间安排时，应当在下列两个因素之间作出平衡，以获取充分、适当的证据

23、： （一）尽量在接近企业内部控制自我评价基准日实施测试； （二）实施的测试需要涵盖足够长的期间（不是全年,8、控制偏差的处理,第十八条 注册会计师对于内部控制运行偏离设计的情况（即控制偏差），应当确定该偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。 9、连续审计时的考虑 第十九条 在连续审计中，注册会计师在确定测试的性质、时间安排和范围时，应当考虑以前年度执行内部控制审计时了解的情况,第四章“评价控制缺陷”讲解（3条,1、缺陷的种类 第二十条 内部控制缺陷按其成因分为1）设计缺陷和运行缺陷，按其影响程度分为 2）重大缺陷、重要缺陷和一般缺陷。 注册会计师应当评价其识别的各项内

24、部控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷,1）设计缺陷和运行缺陷 企业在内部控制评价中，应对内部控制缺陷进行分类分析。 设计缺陷：缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。 运行缺陷：现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制,2）重大缺陷、重要缺陷和一般缺陷,重大缺陷：是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标的情形。 重要缺陷：是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标的情形。 一般缺陷：是指除重大缺陷、重要缺陷之外的其他控制缺陷。 注意：A,即使财务报表不存在重大错报，内部控制也可能存在重大缺陷. B,如果内部控制存在一项或多项重大缺陷，内部控制应被认定为无效,2、考虑补偿性控制的影响,第二十一条 在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时，注册会计师应当评价补偿性控制（替代性控制）的影响。企业执行的补偿性控制应当具有同样的效果。 3、重大缺陷迹象 第二十二条 表明内部控制可能存在重大缺陷的迹象，主要包括： （一）注册会计师发现董事、监事和高级管理人员舞弊； （二）企业更正已经公布的财务报表； （三）注册会计师发现当期财务报表存在重大错报，而内部控制在运