企业内部控制审计-唐建华.ppt

1 企业内部控制审计指引实施意见 讲解 2013年10月 2 主讲人简介 唐建华 中注协专业标准与技术指导部主任 3 我国原有的内部控制鉴证规范 2001年中注协发布 内部控制审核指导意见 最大特点是年报审计与内部控制审核独立进行 没有提出自上而下和风险导向的审计思路 4 我国内部控制鉴证规范 企业内部控制审计指引 2010年4月 企业内部控制审计指引实施意见 2011年10月比美国PCAOB5略严 更具体 企业内部控制审计工作底稿编制指南 2011年12月 参考资料 不具有强制性 5 与 内部控制审核指导意见 的关系 明确业务性质是审计采用整合审计框架明确了审计思路自上而下的方法风险导向审计利用他人的工作 6 二 审计思路 7 内部控制审计工作做到什么份上 审计对象是保证财务报表质量的一套机制要求覆盖每个相关认定要求覆盖财务报表层次和认定层次的重大错报风险 8 审计思路 风险导向审计自上而下的审计方法 9 风险导向审计 其实质在于 以财务报告内部控制重大缺陷风险的识别 评估和应对作为审计工作主线 在风险评估的基础上 将审计资源投放在高风险领域 以提高审计效率和效果 审计风险 内部控制存在重大缺陷的风险 检查风险内部控制存在重大缺陷的风险 控制无效的风险 无效导致重大缺陷的风险 10 风险导向审计 风险评估的导向作用确定重要账户确定相关认定确定控制测试的性质 时间安排和范围确定利用他人工作的程度集团测试范围的确定 11 自上而下的方法 12 三 关于签订业务约定书 13 业务约定书 独立性 从网络所范畴考虑 内部控制审计的前提条件适用的内部控制标准就被审计单位认可并理解其责任与治理层和管理层达成一致意见 自我评价工作 签定单独的业务约定书审计范围财务报告内部控制 需要梳理 豁免 14 四 计划审计工作 15 五 实施审计工作 16 实施审计工作 控制有效性的内涵控制有效性测试的性质 时间安排和范围与控制相关的风险 17 六 连续审计时的特殊考虑 18 人工控制 每年必须测试 自动化控制 可采用对标策略 增加测试的不可预测性 19 七 集团审计时的特殊考虑 20 八 评价控制缺陷 21 九 完成审计工作 22 完成审计工作 获取管理层声明沟通缺陷评价企业内部控制评价报告对相关法律法规规定的要素的列报是否完整和恰当 23 获取管理层声明 注册会计师应当获取经被审计单位签署的书面声明 书面声明的内容应当包括 被审计单位董事会认可其对建立健全和有效实施内部控制负责 被审计单位已对内部控制进行了评价 并编制了内部控制评价报告 被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作为评价的基础 被审计单位根据内部控制标准评价内部控制有效性得出的结论 被审计单位已向注册会计师披露识别出的所有内部控制缺陷 并单独披露其中的重大缺陷和重要缺陷 被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞弊 以及其他不会导致财务报表发生重大错报 但涉及管理层 治理层和其他在内部控制中具有重要作用的员工的所有舞弊 注册会计师在以前年度审计中识别出的且已与被审计单位沟通的重大缺陷和重要缺陷是否已经得到解决 以及哪些缺陷尚未得到解决 在基准日后 内部控制是否发生变化 或者是否存在对内部控制产生重要影响的其他因素 包括被审计单位针对重大缺陷和重要缺陷采取的所有纠正措施 24 沟通缺陷 对于重大缺陷和重要缺陷 注册会计师应当以书面形式与管理层和治理层沟通 书面沟通应当在注册会计师出具内部控制审计报告之前进行 注册会计师应当以书面形式与管理层沟通其在审计过程中识别的所有其他内部控制缺陷 并在沟通完成后告知治理层 在进行沟通时 注册会计师无需重复自身 内部审计人员或被审计单位其他人员以前书面沟通过的控制缺陷 25 内部控制审计与管理层自我评估的关系 企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送 在企业治理层的监督下 按照 企业内部控制基本规范 和相关规定 设计 实施和维护有效的内部控制 并评价其有效性是企业管理层的责任 按照本指引的要求 在实施审计工作的基础上对内部控制的有效性发表审计意见 是注册会计师的责任 内部控制审计不能减轻企业管理层的责任 注册会计师在内部控制审计或财务报表审计中实施的程序并不是企业内部控制的组成部分 26 十 出具审计报告 27 无保留意见审计报告 内部控制不存在重大缺陷不存在审计范围受到限制的情况 28 无保留意见审计报告 股份有限公司全体股东 按照 企业内部控制审计指引 及中国注册会计师执业准则的相关要求 我们审计了 股份有限公司 以下简称 公司 年 月 日的财务报告内部控制的有效性 一 企业对内部控制的责任按照 企业内部控制基本规范 企业内部控制应用指引 企业内部控制评价指引 的规定 建立健全和有效实施内部控制 并评价其有效性是企业董事会的责任 29 无保留意见审计报告 二 注册会计师的责任我们的责任是在实施审计工作的基础上 对财务报告内部控制的有效性发表审计意见 并对发现的非财务报告内部控制的重大缺陷进行描述 30 无保留意见审计报告 三 内部控制的固有局限性内部控制具有固有局限性 存在不能防止和发现错报的可能性 此外 由于情况的变化可能导致内部控制变得不恰当 或对控制政策和程序遵循的程度降低 根据内部控制审计结果推测未来内部控制的有效性具有一定风险 31 无保留意见审计报告 四 财务报告内部控制审计意见我们认为 于 年 月 日 公司按照 企业内部控制基本规范 和相关规定在所有重大方面保持了有效的财务报告内部控制 32 无保留意见审计报告 五 非财务报告内部控制的重大缺陷 如果有 在内部控制审计过程中 我们注意到 公司的非财务报告内部控制存在重大缺陷 描述该缺陷的性质及其对实现相关控制目标的影响程度 由于存在上述重大缺陷 我们提醒本报告使用者注意相关风险 需要指出的是 我们并不对 公司的非财务报告内部控制发表意见或提供保证 本段内容不影响对财务报告内部控制有效性发表的审计意见 33 带强调事项段的审计报告 无保留意见是前提强调事项 34 带强调事项段的情形 管理层内部控制评价报告的表达不完整或不恰当如果确定管理层评估报告的表达不完整或不恰当 注册会计师应当在审计报告中增加强调事项段 说明这一情况并解释得出该结论的理由 35 带强调事项段的情形 期后事项注册会计师可能知悉在管理层评估日并不存在 但在期后期间发生的事项 如果这类期后事项对内部控制有重大影响 注册会计师应当在审计报告中增加强调事项段 以描述该事项及其影响 或提醒审计报告使用者关注管理层内部控制评估报告中披露的该事项及其影响 36 带强调事项段的情形 其他信息存在对事实重大错报如果认为其他信息含有对事实的重大错报 注册会计师应当就此与管理层进行讨论 如果讨论后仍认为存在对事实的重大错报 注册会计师应当以书面形式 将其看法告知管理层和审计委员会 37 带强调事项段内部控制审计报告 以上内容同标准审计报告六 强调事项我们提醒内部控制审计报告使用者关注 描述强调事项的性质及其对内部控制的重大影响 本段内容不影响已对财务报告内部控制发表的审计意见 38 否定意见审计报告 内部控制存在一项或多项重大缺陷不存在审计范围受到限制的情况 39 否定意见内部控制审计报告 以上内容同标准审计报告四 导致否定意见的事项重大缺陷 重大缺陷是内部控制中存在的 可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合 指出注册会计师已识别出的重大缺陷 并说明重大缺陷的性质及其对财务报告内部控制的影响程度 有效的内部控制能够为财务报告及相关信息真实完整提供合理保证 而上述重大缺陷使 公司内部控制失去这一功能 40 否定意见内部控制审计报告 管理层已识别出上述重大缺陷 并将其包含在企业内部控制评价报告中 但未在所有重大方面得到公允反映 上述重大缺陷尚未包括在企业内部控制评价报告中 管理层已识别出上述重大缺陷 并将其包括在企业内部控制评价报告中 且已在所有重大方面得到公允反映 在 公司 年财务报表审计中 我们已经考虑了上述重大缺陷对审计程序的性质 时间安排和范围的影响 本报告并未对我们在 年 月 日对 公司 年财务报表出具的审计报告产生影响 41 否定意见内部控制审计报告 五 财务报告内部控制审计意见我们认为 由于存在上述重大缺陷及其对实现控制目标的影响 于 年 月 日 公司未能按照 企业内部控制基本规范 和相关规定在所有重大方面保持有效的财务报告内部控制 42 否定意见内部控制审计报告 六 非财务报告内部控制的重大缺陷 参见标准内部控制审计报告相关段落表述 43 无法表示意见的审计报告 审计范围受到限制如果已实施的审计程序识别出内部控制重大缺陷 应当在报告中指明 44 无法表示意见内部控制审计报告 股份有限公司全体股东 我们接受委托 对 股份有限公司 以下简称 公司 的财务报告内部控制进行审计 删除注册会计师的责任段 一 企业对内部控制的责任 和 二 内部控制的固有局限性 参见标准内部控制审计报告相关段落表述 45 无法表示意见内部控制审计报告 三 导致无法表示意见的事项 描述审计范围受到限制的具体情况 46 无法表示意见内部控制审计报告 四 财务报告内部控制审计意见由于审计范围受到上述限制 我们未能实施必要的审计程序以获取发表意见所需的充分 适当证据 因此 我们无法对 公司于 年 月 日的财务报告内部控制的有效性发表意见 47 无法表示意见内部控制审计报告 五 识别的内部控制重大缺陷 如果有 重大缺陷是内部控制中存在的 可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合 尽管我们无法对 公司财务报告内部控制的有效性发表意见 但在我们实施的有限程序的过程中 发现了以下重大缺陷 指出注册会计师已识别出的重大缺陷 并说明重大缺陷的性质及其对财务报告内部控制的影响程度 有效的内部控制能够为财务报告及相关信息真实完整提供合理保证 而上述重大缺陷使 公司内部控制失去这一功能 48 无法表示意见内部控制审计报告 六 非财务报告内部控制的重大缺陷 参见标准内部控制审计报告相关段落表述 49 十一 财务报告内部控制审计与财务报表审计的整合 50 一 财务报表审计中对内部控制的了解和测试 51 审计目标 第二十五条在执行财务报表审计工作时 注册会计师的总体目标是 一 对财务报表整体是否不存在由于舞弊或错误导致的重大错报获取合理保证 使得注册会计师能够对财务报表是否在所有重大方面按照适用的财务报告编制基础编制发表审计意见 二 按照审计准则的规定 根据审计结果对财务报表出具审计报告 并与管理层和治理层沟通 审计思路 要求注册会计师在审计实务中切实贯彻风险导向审计理念 以重大错报风险的识别 评估和应对作为审计工作的主线 审计风险模型审计风险 重大错报风险 检查风险重大错报风险 固有风险 控制风险 53 54 应对评估的重大错报风险 财务报表层次 认定层次 55 认定层次重大错报风险的应对 根据评估的风险确定拟实施的进一步审计程序的性质 时间和范围 56 进一步审计程序 控制测试 认定层次实质性程序 57 了解内部控制 第十五条注册会计师应当了解与审计相关的内部控制 42 了解内部控制有助于注册会计师识别潜在错报的类型和影响重大错报风险的因素 以及设计进一步审计程序的性质 时间安排和范围 58 测试内部控制的运行有效性 第八条当存在下列情形之一时 注册会计师应当设计和实施控制测试 针对相关控制运行的有效性 获取充分 适当的审计证据 一 在评估认定层次重大错报风险时 预期控制的运行是有效的 即在确定实质性程序的性质 时间安排和范围时 注册会计师拟信赖控制运行的有效性 二 仅实施实质性程序并不能够提供认定层次充分 适当的审计证据 59 测试内部控制的运行有效性 第十一条注册会计师应当按照本准则第十二条和第十五条的规定 测试其拟信赖的特定时点或整个期间的控制 为预期信赖程度提供恰当的依据 60 测试内部控制的运行有效性 第十四条 二 如果未发生变化 注册会计师应当每三年至少对控制测试一次 并且在每年审计中测试部分控制 以避免将所有拟信赖控制的测试集中于某一年 而在之后的两年中不进行任何测试 61 二 财务报告内部控制审计 62 审计的目标 对特点时点企业财务报告内部控制的有效性发表审计意见 包括 设计有效性 合理性 运行有效性有无重大缺陷 63 内部控制审计工作做到什么份上 审计对象是保证财务报表质量的一套机制要求覆盖每个相关认定要求覆盖财务报表层次和认定层次的重大错报风险 64 内部控制审计工作做到什么份上 65 时期 时点 定位于时点注册会计师应当获取内部控制在基准日之前一段足够长的期间运行有效的审计证据 66 控制测试的时间安排 67 审计思路 风险导向审计自上而下的审计方法 68 三 财务报告内部控制审计与财务报表审计的共同点 69 两者的共同点 终极目标都是财务报表的可靠性都以财务报表重大错报风险评估为起点 舞弊风险及反舞弊控制 确定的重要性水平相同确定的重要账户 列报及其相关认定应当相同 70 两者的共同点 都必须了解内部控制有时都涉及测试内控的运行有效性了解和测试内部控制的方法相同 71 四 财务报告内部控制审计与财务报表审计的区别 72 两者的区别 测试目标财务报表审计 对财务报表发表审计意见 测试财务报表的可靠性 需要评估重大错报风险中的控制风险 财务报告内控审计 对财务报告内部控制有效性发表意见 测试保证财务报告可靠的内部机制 73 两者的区别 测试范围财务报表审计 在两种情况下必须测试内控 取决于注册会计师采用的审计方案财务报告内控审计 针对所有相关认定的控制 74 两者的区别 测试结果的可靠程度要求财务报表审计 有一定的弹性 取决于审计方案和审计证据组合财务报告内控审计 高度保证 75 两者的区别 控制环境的运行有效性测试 财务报表审计 无要求涵盖所信赖期间财务报告内控审计 要测试 76 两者的区别 缺陷评价财务报表审计 值得关注的缺陷财务报告内控审计 严格区分重大缺陷和重要缺陷 77 两者的区别 实质性程序财务报表审计 都包含实质性程序财务报告内控审计 通常不实施 78 两者的区别 最终成果财务报表审计 财务报表审计报告 对所附的财务报表发表意见财务报告内控审计 内部控制审计报告 不对自我评价报告发表意见 79 两者的区别 测试的时间安排财务报表审计 涵盖所信赖期间财务报告内控审计 涵盖足够长的期间 80 五 财务报告内部控制审计与财务报表审计的整合 81 Sarbanes OxleyActof2002 要求年报审计应当与内部控制审计整合进行 SECTION404 PCAOB审计准则第5号 82 审计目标的整合 内部控制审计和财务报表审计的目标不同 在整合审计中 注册会计师应当计划和实施对控制设计和运行有效性的测试 以同时实现下列目标 获取充分 适当的证据 支持其在内部控制审计中对内部控制的有效性发表的意见 获取充分 适当的证据 支持其在财务报表审计中对内部控制的风险评估结果 整合审计流程图 84 整合的核心 内部控制了解和测试工作的整合是关键 原则是就高不就低 85 审计结果的相互参考 在内部控制审计中 注册会计师在对内部控制有效性形成结论时 应当同时考虑财务报表审计中实施的 所有针对控制设计和运行有效性测试的结果 在财务报表审计中 注册会计师在评估控制风险时 应当同时考虑内部控制审计中实施的 所有针对控制设计和运行有效性测试的结果 86 审计结果的相互参考 在内部控制审计中 注册会计师应当评价财务报表审计中实施的实质性程序的结果对控制有效性结论的影响 如果在内部控制审计中识别出某项控制缺陷 注册会计师应当评价该项缺陷对财务报表审计中拟实施的实质性程序的性质 时间和范围的影响 87 审计结果的相互参考 如果对财务报告内部控制发表了否定意见 注册会计师应当确定该意见对财务报表审计意见的影响 如果对财务报表发表了否定意见 注册会计师应当确定该意见对财务报告内部控制审计意见的影响 88 整合作用的极限 注册会计师应当通过直接测试控制获取控制是否有效的证据 而不能根据实质性程序没有发现错报 推断该项控制的有效性 在财务报表审计中 无论控制风险或重大错报风险的评估水平如何 注册会计师都应当针对所有重大的各类交易 账户余额及列报实施实质性程序 为对内部控制的有效性发表意见而实施的测试程序并不减轻注册会计师遵守上述规定的责任 89 有关整合的几个思考题 审计项目组 一个还是两个 审计计划 一个还是两个 审计工作底稿 一套还是两套 审计报告的签署者及日期 一个还是两个 集团审计的整合 90 十二 项目质量控制复核 91 十三 审计工作底稿 92 审计工作底稿 预期的变化必须形成记录的内容制定的内部控制总体审计策略和具体审计计划及重大修改情况 对企业层面控制的识别 了解和测试 确定重要账户 列报及其相关认定的过程 包括对拟测试组成部分的确定 选择拟测试控制的主要过程及结果 测试控制设计和运行有效性的程序及结果 利用他人工作的程度 以及对他人胜任能力和客观性的评估 对识别的控制缺陷的评价 可能导致出具非标准内部控制审计报告的其他审计发现 形成的审计结论和意见 其他重要事项 93 谢谢 一 2011年427家公司中 258家公司聘请审计机构进行了内控审计 其中审计153家 审核105家 较之2010年的229家略有上升 其中自愿披露审计 审核 报告的公司为195家其中有一家公司内控审计报告被出具了否定意见 新华制药 000756 占比0 39 94 二 2012年上市公司内部控制信息披露总体情况1 内部控制评价报告披露情况2012年 共有2244家上市公司披露了内部控制评价报告 占沪 深交易所2492家上市公司的比例为90 05 2 内部控制审计报告披露情况2012年 共有1532家上市公司披露了内部控制审计报告 占沪 深交易所2492家上市公司的比例为61 48 其中 内部控制审计结论为标准无保留意见的上市公司为1506家 占比98 30 非标意见共26家 其中带强调事项段的无保留意见为22家 占比1 44 否定意见为4家 分别是 北大荒 600598 贵糖股份 6 45 0 12 1 83 000833 天津磁卡 600800 海联讯 300277 占比0 26 如表3所示 95 财务报告与非财务报告内控 1 新员工入职培训 该培训没培训2 应收账款对账控制3 产品质量控制 次品流向市场4 仓库入库商品的验收 没有入库单5 银行借款该由董事会审批的 董事长批6 企业采购规定200万以上的应当招标 企业有一笔250万的采购没有进行招标 96 缺陷是否与财务报表认定直接相关 1 年末固定资产2 人力资源考核失控 导致功效倒挂3 新信息系统上线 对数据转换的控制4 信息系统对销售三单的审批控制5 信息系统对数据转入进行审核6 企业月度经营分析 97