企业内部控制审计--课件

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,1,企业内部控制审计指引实施意见,讲解,2013,年,10,月,1企业内部控制审计指引实施意见讲解,2,主讲人简介,唐建华，中注协专业标准与技术指导部主任,2主讲人简介,3,我国原有的内部控制鉴证规范,2001,年中注协发布,内部控制审核指导意见,最大特点是年报审计与内部控制审核独立进行。,没有提出自上而下和风险导向的审计思路,3我国原有的内部控制鉴证规范,4,我国内部控制鉴证规范,企业内部控制审计指引,2010,年,4,月,企业内部控制审计指引实施意见,2011,年,10,月,比美国,PCAOB,5,略严，更具体,企业内部控制审计工作底稿编制指南,2011,年,12,月（参考资料，不具有强制性）,4我国内部控制鉴证规范,5,与,内部控制审核指导意见,的关系,明确业务性质是审计,采用整合审计框架,明确了审计思路,自上而下的方法,风险导向审计,利用他人的工作,5与内部控制审核指导意见的关系,6,二、审计思路,6二、审计思路,7,内部控制审计工作做到什么份上？,审计对象是保证财务报表质量的一套机制,要求覆盖每个相关认定,要求覆盖财务报表层次和认定层次的重大错报风险,7内部控制审计工作做到什么份上？,8,审计思路,风险导向审计,自上而下的审计方法,8审计思路,9,风险导向审计,其实质在于：以财务报告内部控制重大缺陷风险的识别、评估和应对作为审计工作主线，在风险评估的基础上，将审计资源投放在高风险领域，以提高审计效率和效果。,审计风险内部控制存在重大缺陷的风险检查风险,内部控制存在重大缺陷的风险,=,控制无效的风险无效导致重大缺陷的风险,9风险导向审计,10,风险导向审计,风险评估的导向作用,确定重要账户,确定相关认定,确定控制测试的性质、时间安排和范围,确定利用他人工作的程度,集团测试范围的确定,10风险导向审计,11,识别、了解和评价企业整体层面控制的设计有效性,从财务报表层次识别重大账户,识别相关认定,识别重要的业务流程和主要的交易类别,识别流程中错报可能发生的环节,识别和测试预防或及时发现错报发生的控制（业务流程层面的控制）,选择拟测试的控制,从报表层次出发,了解内部控制整体风险,自,上,而,下,的,方,法,11识别、了解和评价企业整体层面控制的设计有效性从财务报表层,12,三、关于签订业务约定书,12三、关于签订业务约定书,13,业务约定书,独立性（从网络所范畴考虑）,内部控制审计的前提条件,适用的内部控制标准,就被审计单位认可并理解其责任与治理层和管理层达成一致意见（自我评价工作）,签定单独的业务约定书,审计范围,财务报告内部控制（需要梳理）,豁免,13业务约定书独立性（从网络所范畴考虑）,14,四、计划审计工作,14四、计划审计工作,15,五、实施审计工作,15五、实施审计工作,16,实施审计工作,控制有效性的内涵,控制有效性测试的性质、时间安排和范围,与控制相关的风险,16实施审计工作,17,六、连续审计时的特殊考虑,17六、连续审计时的特殊考虑,18,人工控制（每年必须测试）,自动化控制（可采用对标策略）,增加测试的不可预测性,18,19,七、集团审计时的特殊考虑,19七、集团审计时的特殊考虑,20,八、评价控制缺陷,20八、评价控制缺陷,21,九、完成审计工作,21九、完成审计工作,22,完成审计工作,获取管理层声明,沟通缺陷,评价,企业内部控制评价报告对相关法律法规规定的要素的列报是否完整和恰当,22完成审计工作,23,获取管理层声明,注册会计师应当获取经被审计单位签署的书面声明。书面声明的内容应当包括：,被审计单位董事会认可其对建立健全和有效实施内部控制负责；,被审计单位已对内部控制进行了评价，并编制了内部控制评价报告；,被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作为评价的基础；,被审计单位根据内部控制标准评价内部控制有效性得出的结论；,被审计单位已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷和重要缺陷；,被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞弊，以及其他不会导致财务报表发生重大错报，但涉及管理层、治理层和其他在内部控制中具有重要作用的员工的所有舞弊；,注册会计师在以前年度审计中识别出的且已与被审计单位沟通的重大缺陷和重要缺陷是否已经得到解决，以及哪些缺陷尚未得到解决；,在基准日后，内部控制是否发生变化，或者是否存在对内部控制产生重要影响的其他因素，包括被审计单位针对重大缺陷和重要缺陷采取的所有纠正措施。,23获取管理层声明,24,沟通缺陷,对于重大缺陷和重要缺陷，注册会计师应当以书面形式与管理层和治理层沟通。书面沟通应当在注册会计师出具内部控制审计报告之前进行。,注册会计师应当以书面形式与管理层沟通其在审计过程中识别的所有其他内部控制缺陷，并在沟通完成后告知治理层。在进行沟通时，注册会计师无需重复自身、内部审计人员或被审计单位其他人员以前书面沟通过的控制缺陷。,24沟通缺陷,25,内部控制审计与管理层自我评估的关系,企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送。,在企业治理层的监督下，按照,企业内部控制基本规范,和相关规定，设计、实施和维护有效的内部控制，并评价其有效性是企业管理层的责任。按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。,内部控制审计不能减轻企业管理层的责任。注册会计师在内部控制审计或财务报表审计中实施的程序并不是企业内部控制的组成部分。,25内部控制审计与管理层自我评估的关系,26,十、出具审计报告,26十、出具审计报告,27,无保留意见审计报告,内部控制不存在重大缺陷,不存在审计范围受到限制的情况,27无保留意见审计报告,28,无保留意见审计报告,股份有限公司全体股东：,按照,企业内部控制审计指引,及中国注册会计师执业准则的相关要求，我们审计了,股份有限公司（以下简称,公司）,年,月,日的财务报告内部控制的有效性。,一、企业对内部控制的责任,按照,企业内部控制基本规范,、,企业内部控制应用指引,、,企业内部控制评价指引,的规定，建立健全和有效实施内部控制，并评价其有效性是企业董事会的责任。,28无保留意见审计报告,29,无保留意见审计报告,二、注册会计师的责任,我们的责任是在实施审计工作的基础上，对财务报告内部控制的有效性发表审计意见，并对发现的非财务报告内部控制的重大缺陷进行描述。,29无保留意见审计报告,30,无保留意见审计报告,三、内部控制的固有局限性,内部控制具有固有局限性，存在不能防止和发现错报的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制审计结果推测未来内部控制的有效性具有一定风险。,30无保留意见审计报告,31,无保留意见审计报告,四、财务报告内部控制审计意见,我们认为，于,年,月,日，,公司按照,企业内部控制基本规范,和相关规定在所有重大方面保持了有效的财务报告内部控制。,31无保留意见审计报告,32,无保留意见审计报告,五、非财务报告内部控制的重大缺陷（,如果有,）,在内部控制审计过程中，我们注意到,公司的非财务报告内部控制存在重大缺陷,描述该缺陷的性质及其对实现相关控制目标的影响程度,。由于存在上述重大缺陷，我们提醒本报告使用者注意相关风险。需要指出的是，我们并不对,公司的非财务报告内部控制发表意见或提供保证。本段内容不影响对财务报告内部控制有效性发表的审计意见。,32无保留意见审计报告,33,带强调事项段的审计报告,无保留意见是前提,强调事项,33带强调事项段的审计报告,34,带强调事项段的情形,管理层内部控制评价报告的表达不完整或不恰当,如果确定管理层评估报告的表达不完整或不恰当，注册会计师应当在审计报告中增加强调事项段，说明这一情况并解释得出该结论的理由。,34带强调事项段的情形,35,带强调事项段的情形,期后事项,注册会计师可能知悉在管理层评估日并不存在、但在期后期间发生的事项。如果这类期后事项对内部控制有重大影响，注册会计师应当在审计报告中增加强调事项段，以描述该事项及其影响，或提醒审计报告使用者关注管理层内部控制评估报告中披露的该事项及其影响。,35带强调事项段的情形,36,带强调事项段的情形,其他信息存在对事实重大错报,如果认为其他信息含有对事实的重大错报，注册会计师应当就此与管理层进行讨论。,如果讨论后仍认为存在对事实的重大错报，注册会计师应当以书面形式，将其看法告知管理层和审计委员会。,36带强调事项段的情形,37,带强调事项段内部控制审计报告,以上内容同标准审计报告,六、强调事项,我们提醒内部控制审计报告使用者关注，（描述强调事项的性质及其对内部控制的重大影响）。本段内容不影响已对财务报告内部控制发表的审计意见。,37带强调事项段内部控制审计报告,38,否定意见审计报告,内部控制存在一项或多项重大缺陷,不存在审计范围受到限制的情况,38否定意见审计报告,39,否定意见内部控制审计报告,以上内容同标准审计报告,四、导致否定意见的事项,重大缺陷，,重大缺陷是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。,指出注册会计师已识别出的重大缺陷，并说明重大缺陷的性质及其对财务报告内部控制的影响程度。,有效的内部控制能够为财务报告及相关信息真实完整提供合理保证，而上述重大缺陷使,公司内部控制失去这一功能,。,39否定意见内部控制审计报告,40,否定意见内部控制审计报告,管理层已识别出上述重大缺陷，并将其包含在企业内部控制评价报告中，但未在所有重大方面得到公允反映。（上述重大缺陷尚未包括在企业内部控制评价报告中管理层已识别出上述重大缺陷，并将其包括在企业内部控制评价报告中，且已在所有重大方面得到公允反映）在,公司年财务报表审计中，我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。本报告并未对我们在,年,月,日对,公司年财务报表出具的审计报告产生影响。,40否定意见内部控制审计报告,41,否定意见内部控制审计报告,五、财务报告内部控制审计意见,我们认为，由于存在上述重大缺陷及其对实现控制目标的影响，于, ,年,月,日，,公司未能按照,企业内部控制基本规范,和相关规定在所有重大方面保持有效的财务报告内部控制。,41否定意见内部控制审计报告,42,否定意见内部控制审计报告,六、非财务报告内部控制的重大缺陷,参见标准内部控制审计报告相关段落表述。,42否定意见内部控制审计报告,43,无法表示意见的审计报告,审计范围受到限制,如果已实施的审计程序识别出内部控制重大缺陷，应当在报告中指明,43无法表示意见的审计报告,44,无法表示意见内部控制审计报告,股份有限公司全体股东：,我们接受委托，对,股份有限公司（以下简称,公司）的财务报告内部控制进行审计。,删除注册会计师的责任段，“一、企业对内部控制的责任”和“二、内部控制的固有局限性”参见标准内部控制审计报告相关段落表述。,44无法表示意见内部控制审计报告,45,无法表示意见内部控制审计报告,三、导致无法表示意见的事项,描述审计范围受到限制的具体情况。,45无法表示意见内部控制审计报告,46,无法表示意见内部控制审计报告,四、财务报告内部控制审计意见,由于审计范围受到上述限制，我们未能实施必要的审计程序以获取发表意见所需的充分、适当证据，因此，我们无法对,公司于, ,年,月,日的财务报告内部控制的有效性发表意见。,46无法表示意见内部控制审计报告,47,无法表示意见内部控制审计报告,五、识别的内部控制重大缺陷（如果有）,重大缺陷是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。,尽管我们无法对,公司财务报告内部控制的有效性发表意见，但在我们实施的有限程序的过程中，发现了以下重大缺陷：,指出注册会计师已识别出的重大缺陷，并说明重大缺陷的性质及其对财务报告内部控制的影响程度。,有效的内部控制能够为财务报告及相关信息真实完整提供合理保证，而上述重大缺陷使,公司内部控制失去这一功能。,47无法表示意见内部控制审计报告,48,无法表示意见内部控制审计报告,六、非财务报告内部控制的重大缺陷,参见标准内部控制审计报告相关段落表述。,48无法表示意见内部控制审计报告,49,十一、财务报告内部控制审计与财务报表审计的整合,49十一、财务报告内部控制审计与财务报表审计的整合,50,(,一,),财务报表审计中对内部控制的了解和测试,50(一)财务报表审计中对内部控制的了解和测试,51,审计目标,第二十五条,在执行财务报表审计工作时，注册会计师的总体目标是：,（一）对财务报表整体是否不存在由于舞弊或错误导致的重大错报获取合理保证，使得注册会计师能够对财务报表是否在所有重大方面按照适用的财务报告编制基础编制发表审计意见；,（二）按照审计准则的规定，根据审计结果对财务报表出具审计报告，并与管理层和治理层沟通。,51审计目标,审计思路,要求注册会计师在审计实务中切实贯彻风险导向审计理念，以重大错报风险的识别、评估和应对作为审计工作的主线。,审计风险模型,审计风险,=,重大错报风险,检查风险,重大错报风险,=,固有风险,控制风险,审计思路,53,53,54,应,对,评,估,的,重,大,错,报,风,险,财务报表层次,认定层次,54应财务报表层次认定层次,55,认,定,层,次,重,大,错,报,风,险,的,应,对,根据评估的风险确定拟实施的进一,步审计程序的性质、时间和范围,55认根据评估的风险确定拟实施的进一,56,进,一,步,审,计,程,序,控制测试,认定层次实质性程序,56进控制测试认定层次实质性程序,57,了解内部控制,第十五条 注册会计师应当了解与审计相关的内部控制。,42,了解内部控制有助于注册会计师识别潜在错报的类型和影响重大错报风险的因素，以及设计进一步审计程序的性质、时间安排和范围。,57了解内部控制,58,测试内部控制的运行有效性,第八条 当存在下列情形之一时，注册会计师应当设计和实施控制测试，针对相关控制运行的有效性，获取充分、适当的审计证据：,（一）在评估认定层次重大错报风险时，预期控制的运行是有效的（即在确定实质性程序的性质、时间安排和范围时，注册会计师拟信赖控制运行的有效性）；,（二）仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。,58测试内部控制的运行有效性,59,测试内部控制的运行有效性,第十一条 注册会计师应当按照本准则第十二条和第十五条的规定，测试其拟信赖的特定时点或整个期间的控制，为预期信赖程度提供恰当的依据。,59测试内部控制的运行有效性,60,测试内部控制的运行有效性,第十四条,（二）如果未发生变化，注册会计师应当每三年至少对控制测试一次，并且在每年审计中测试部分控制，以避免将所有拟信赖控制的测试集中于某一年，而在之后的两年中不进行任何测试。,60测试内部控制的运行有效性,61,(,二,),财务报告内部控制审计,61(二)财务报告内部控制审计,62,审计的目标,对特点时点企业财务报告内部控制的有效性发表审计意见，包括：,设计有效性（合理性）,运行有效性,有无重大缺陷,62审计的目标,63,内部控制审计工作做到什么份上？,审计对象是保证财务报表质量的一套机制,要求覆盖每个相关认定,要求覆盖财务报表层次和认定层次的重大错报风险,63内部控制审计工作做到什么份上？,64,内部控制审计工作做到什么份上？,64内部控制审计工作做到什么份上？,65,时期,/,时点,定位于时点,注册会计师应当获取内部控制在基准日之前一段足够长的期间运行有效的审计证据,65时期/时点,66,控制测试的时间安排,66控制测试的时间安排,67,审计思路,风险导向审计,自上而下的审计方法,67审计思路,68,(,三,),财务报告内部控制审计与财务报表审计的共同点,68(三)财务报告内部控制审计与财务报表审计的共同点,69,两者的共同点,终极目标都是财务报表的可靠性,都以财务报表重大错报风险评估为起点（舞弊风险及反舞弊控制）,确定的重要性水平相同,确定的重要账户、列报及其相关认定应当相同,69两者的共同点,70,两者的共同点,都必须了解内部控制,有时都涉及测试内控的运行有效性,了解和测试内部控制的方法相同,70两者的共同点,71,(,四,),财务报告内部控制审计与财务报表审计的区别,71(四)财务报告内部控制审计与财务报表审计的区别,72,两者的区别,测试目标,财务报表审计,:,对财务报表发表审计意见,测试财务报表的可靠性，需要评估重大错报风险中的控制风险。,财务报告内控审计：对财务报告内部控制有效性发表意见，测试保证财务报告可靠的内部机制。,72两者的区别,73,两者的区别,测试范围,财务报表审计：在两种情况下必须测试内控，取决于注册会计师采用的审计方案,财务报告内控审计：针对所有相关认定的控制。,73两者的区别,74,两者的区别,测试结果的可靠程度要求,财务报表审计：有一定的弹性，取决于审计方案和审计证据组合,财务报告内控审计：高度保证。,74两者的区别,75,两者的区别,控制环境的运行有效性测试（？）,财务报表审计：无要求涵盖所信赖期间,财务报告内控审计：要测试,75两者的区别,76,两者的区别,缺陷评价,财务报表审计：值得关注的缺陷,财务报告内控审计：严格区分重大缺陷和重要缺陷,76两者的区别,77,两者的区别,实质性程序,财务报表审计：都包含实质性程序,财务报告内控审计：通常不实施。,77两者的区别,78,两者的区别,最终成果,财务报表审计：财务报表审计报告，对所附的财务报表发表意见,财务报告内控审计：内部控制审计报告，不对自我评价报告发表意见。,78两者的区别,79,两者的区别,测试的时间安排,财务报表审计：涵盖所信赖期间,财务报告内控审计：涵盖足够长的期间。,79两者的区别,80,(,五,),财务报告内部控制审计与财务报表审计的整合,80(五)财务报告内部控制审计与财务报表审计的整合,81,Sarbanes-Oxley Act of 2002,，要求年报审计应当与内部控制审计,整合,进行。,(SECTION 404),PCAOB,审计准则第,5,号,81Sarbanes-Oxley Act of 2002，,82,审计目标的整合,内部控制审计和财务报表审计的目标不同。在整合审计中，注册会计师应当计划和实施对控制设计和运行有效性的测试，以同时实现下列目标：,获取充分、适当的证据，支持其在内部控制审计中对内部控制的有效性发表的意见；,获取充分、适当的证据，支持其在财务报表审计中对内部控制的风险评估结果。,82审计目标的整合,整合审计流程图,接受或保持业务,了解被审计单位的行业状况、法律环境与监管环境以及其他外部因素,了解被审计单位的,性质,了解被审计单位,对会计政策的选择和运用,了解被审计单位,目标、战略以及相关经营风险,了解被审计单位,财务业绩的衡量和评价,实施实质性程序,实施其他审计程序、评价内部控制缺陷,对内部控制有效性发表意见,对财务报表发表意见,采用自上而下的方法了解和测试内部控制,整合审计流程图接受或保持业务了解被审计单位的行业状况、法律环,84,整合的核心,内部控制了解和测试工作的整合是关键，原则是就高不就低,84整合的核心,85,审计结果的相互参考,在内部控制审计中，注册会计师在对内部控制有效性形成结论时，应当同时考虑财务报表审计中实施的、所有针对控制设计和运行有效性测试的结果。,在财务报表审计中，注册会计师在评估控制风险时，应当同时考虑内部控制审计中实施的、所有针对控制设计和运行有效性测试的结果。,85审计结果的相互参考,86,审计结果的相互参考,在内部控制审计中，注册会计师应当评价财务报表审计中实施的实质性程序的结果对控制有效性结论的影响。,如果在内部控制审计中识别出某项控制缺陷，注册会计师应当评价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时间和范围的影响。,86审计结果的相互参考,87,审计结果的相互参考,如果对财务报告内部控制发表了否定意见，,注册会计师应当确定该意见对财务报表审计意见的影响。,如果对财务报表发表了否定意见，,注册会计师应当确定该意见对财务报告内部控制审计意见的影响。,87审计结果的相互参考,88,整合作用的极限,注册会计师应当通过直接测试控制获取控制是否有效的证据，而不能根据实质性程序没有发现错报，推断该项控制的有效性。,在财务报表审计中，无论控制风险或重大错报风险的评估水平如何，注册会计师都应当针对所有重大的各类交易、账户余额及列报实施实质性程序。为对内部控制的有效性发表意见而实施的测试程序并不减轻注册会计师遵守上述规定的责任。,88整合作用的极限,89,有关整合的几个思考题,审计项目组，一个还是两个？,审计计划，一个还是两个？,审计工作底稿，一套还是两套？,审计报告的签署者及日期，一个还是两个？,集团审计的整合？,89有关整合的几个思考题,90,十二、项目质量控制复核,90十二、项目质量控制复核,91,十三、审计工作底稿,91十三、审计工作底稿,92,审计工作底稿,预期的变化,必须形成记录的内容,制定的内部控制总体审计策略和具体审计计划及重大修改情况；,对企业层面控制的识别、了解和测试；,确定重要账户、列报及其相关认定的过程，包括对拟测试组成部分的确定；,选择拟测试控制的主要过程及结果；,测试控制设计和运行有效性的程序及结果；,利用他人工作的程度，以及对他人胜任能力和客观性的评估；,对识别的控制缺陷的评价；,可能导致出具非标准内部控制审计报告的其他审计发现；,形成的审计结论和意见；,其他重要事项。,92审计工作底稿,93,谢 谢！,93,(一)2011年,427家公司中，258家公司聘请审计机构进行了内控审计(其中审计153家、审核105家)，较之2010年的229家略有上升，其中自愿披露审计(审核)报告的公司为195家,其中有一家公司内控审计报告被出具了否定意见，新华制药(000756) 占比0.39%,94,(一)2011年94,(,二,)2012,年上市公司内部控制信息披露总体情况,1,。内部控制评价报告披露情况,2012,年，共有,2244,家上市公司披露了内部控制评价报告，占沪、深交易所,2492,家上市公司的比例为,90.05%,。,2,。内部控制审计报告披露情况,2012,年，共有,1532,家上市公司披露了内部控制审计报告，占沪、深交易所,2492,家上市公司的比例为,61.48%,。其中，内部控制审计结论为标准无保留意见的上市公司为,1506,家，占比,98.30%,；非标意见共,26,家，其中带强调事项段的无保留意见为,22,家，占比,1.44%,，否定意见为,4,家，分别是：北大荒,(600598),、,贵糖股份,(6.45, -0.12, -1.83%)(000833),、,天津磁卡,(600800),、海联讯,(300277),，占比,0.26%,。如表,3,所示。,95,(二)2012年上市公司内部控制信息披露总体情况95,财务报告与非财务报告内控,1、新员工入职培训，该培训没培训,2、应收账款对账控制,3、产品质量控制，次品流向市场,4、仓库入库商品的验收，没有入库单,5、银行借款该由董事会审批的，董事长批,6、企业采购规定200万以上的应当招标，企业有一笔250万的采购没有进行招标,96,财务报告与非财务报告内控1、新员工入职培训，该培训没培训96,缺陷是否与财务报表认定直接相关,1,、年末固定资产,2,、人力资源考核失控，导致功效倒挂,3,、新信息系统上线，对数据转换的控制,4,、信息系统对销售三单的审批控制,5,、信息系统对数据转入进行审核,6,、企业月度经营分析,97,缺陷是否与财务报表认定直接相关1、年末固定资产97,