内部控制审计.ppt

2012年7月 北京国家会计学院企业内部控制审计——基于审计师与管理层交流的视角Page ￿ 2主讲人简介李杰 管理学博士（金融工程研究方向）n信永中和会计师事务所合伙人n注册会计师、资产评估师、税务师n中国注册会计师行业领军人才n天津市注册会计师协会培训委员会委员、期刊编辑委员会委员n中国会计学会成本分会理事n在核心期刊发表研究论文多篇，出版专著及译著数部Page ￿ 3123课程目标缺陷评价与报告审计计划与实施审计依据与思路Page ￿ 4目录序号内容一内部控制审计的依据二内控审计、财报审计与整合审计三风险导向与自上而下的审计方法四完成审计工作&出具审计报告附录内部控制审计的依据问题： u内控审计的依据标准是什么？ u内部控制审计与企业内部控制建立 之间的关系？Page ￿ 62011国内内控审计情况截至2012年4月30日，共有230家上市公司披露了内部控制审计报告报告类型数量（标准）无保留意见内控审计报告225份带强调事项段的无保留意见内控审计报告4份否定意见内控审计报告1份全国有38家证劵资格会计师事务所从事了230家上市公司内部控制审计业务Page ￿ 7中国的内控发展：主要规范证监会证券公司内部控制指引2001-1中国人民银行商业银行内部控制指引2002-9财政部7项内部会计控制规范(试行) 2001~04中注协企业内部控制审核指导意见2002-2银监会商业银行内部控制评价试行办法2004-8上交所上交所上市公司内部控制指引2006-5深交所深交所上市公司内部控制指引2006-9 国资委中央企业全面风险管理指引2006-6五部委企业内部控制基本规范 2008-5-22五部委企业内部控制配套指引2010-4-26Page ￿ 8企业的重大决策、重大事项、重要人 事任免及大额资金支付业务等，应当 按照规定的权限和程序实行集体决策 审批或者联签制度企业梳理治理结构，应当重点关注 董事、监事、经理及其他高级管理 人员的任职资格和履职情况，以及 董事会、监事会和经理层的运行效 果v企业梳理内部机构设置，应当重点 关注内部机构设置的合理性和运行的高 效性等。

内部机构设置和运行中存在职 能交叉、缺失或运行效率低下的，应当 及时解决企业应当确定具体岗位的名称、 职责和工作要求等，明确各个岗 位的权限和相互关系企业拥有子公司的，应当建立科学的 投资管控制度重点关注发展战略、年 度财务预决算、重大投融资、重大担 保、大额资金使用、主要资产处置、 重要人事任免、内部控制体系建设企业应当定期对组织架构设计与 运行的效率和效果进行全面评估基本规规范：处处于最高层层次，起统驭统驭作用，描绘了企业建立与实施内控体系必须建立的框架结构，规定了内部 控制的定义、目标、原则、要素，是制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据 应应用指引：处处于主体地位，为为企业业建立健全内部控制体系提供的指引 评评价指引：为为企业业管理层对层对本企业业内部控制有效性进进行自我评评价提供的指引 审计审计指引：为为注册会计师执计师执 行内部控制审计业务审计业务 提供执业执业准则则企业内部控制基本规范企业内部控制应用指引控制活动类1 资金活动2 采购业务3资产管理4销售业务5研究与开发6工程项目7担保业务8业务外包9财务报告内部环境类1组织架构 2发展战略 3人力资源 4社会责任 5企业文化控制手段类1全面预算 2合同管理 3内部信息传递 4信息系统企业内部控制评价指引企业内部控制 审计指引企业内部控制体系Page ￿ 9没有通用的内部控制n 内部控制的各个要素在每个企业中的实施方式取决于： n 企业规模n 业务复杂性n 财务信息处理方法n 适用的法律法规n 小型企业业务流程总体上相对简单，相应的控制也趋于简单、非正式化n 文档记录形式可能多种多样，内容不尽相同，包括：政策制度手册、流 程模型、流程图、岗位职责描述及其他文件。

n 文档记录没有统一标准，而其详细程度则取决于企业规模、经营性质、 及业务复杂性Page ￿ 10被审计单位与审计师的责任划分内部控制被审计单位内控责任CPA内控审计责任建立健全和有效实施 内部控制 评价内部控制有效性 是企业董事会（或类 似决策机构）的责任按照《审计指引》 的要求，在实施审 计工作的基础上对 内部控制的有效性 发表审计意见内部控制自我评价报告内部控制审计报告财务报告内部控制 审计并不能减轻企 业管理层的责任Page ￿ 11适用范围n 2010年4月26日，财政部发布《企业内部控制审计指引》等配套指引 ，自2011年1月1日起首先在境内外同时上市的公司施行，自2012年 1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公 司施行；在此基础上，择机在中小板和创业板上市公司施行；同时 ，鼓励非上市大中型企业提前执行n 执行企业内控规范体系的企业，必须对本企业内部控制的有效性进 行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务 资格的会计师事务所对其财务报告内部控制的有效性进行审计，出 具审计报告注册会计师在内部控制审计过程中注意到的企业非财 务报告内部控制的重大缺陷，应当提示投资者、债权人和其他利益 相关者关注。

Page ￿ 12内控审计遵循的政策制度企业内部控制基本规范企业内部控制基本规范 企业内部控制配套指引企业内部控制配套指引财政部等五部委财政部等五部委其他相关其他相关 法律法规法律法规CPACPA鉴证业务基本准则鉴证业务基本准则 相关执相关执业业准则准则 （如：（如：14111411考虑内部审计工作考虑内部审计工作 & &11311131审计工作底稿审计工作底稿…………））财政部财政部CPAPage ￿ 13概念明晰——内控审计的业务性质审计/审阅/审核？内部控制审计是CPA针对被审计单位内部 控制实施合理保证（高水平保证）的鉴证 业务直接报告业务/基于认定的业务？内部控制审计 是CPA直接对被审计单位内部控制的有 效性发表意见，是直接报告业务企业的内部控制 是否按照《企业内部控制基本规范》和相关规定在所 有重大方面保持了有效的财务报告内部控制”财报审计 是基于责任方（被审计单位管理层）认定 的业务是对财务报告发表审计意见）Page ￿ 14概念明晰——内控审计的业务对象时点/时期？内部控制审计企业内部控制审计基于特定基准日 注册会计师基于基准日（如年末12月31日）内部控制的有效性发表意见，而 不是对财务报表涵盖的整个期间（如一年）的内部控制的有效性发表意见。

但这并不意味着注册会计师只关注企业基准日当天的内部控制，而是要考察 企业一个时期内（足够长的一段时间）内部控制的设计和运行情况实务： 业内一般要求内部控制的有效运行期至少为3个月，即：前期或期中测试发 现的问题，需在9月底之前整改完毕注册会计师再对整改后的内部控制进 行测试，才能对企业12月31日（基准日）内部控制的设计和运行发表 意见Page ￿ 15概念明晰——内控审计的业务对象财务报告内部控制 or 非财务报告内部控制 ？注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计 过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“ 非财务报告内部控制重大缺陷描述段”予以披露Page ￿ 16概念明晰——内控审计的业务对象财务报告内部控制政策和程序（1）保存充分、适当的记录，准确、公允地反 映企业的交易和事项； （2）合理保证按照企业会计准则的规定编制财 务报表； （3）合理保证收入和支出的发生以及资产的取 得、使用或处置经过适当授权； （4）合理保证及时防止或发现并纠正未经授权 的、对财务报表有重大影响的交易和事项合理保证财务报告及相关 信息真实完整 保护资产安全的内部控制 中与财务报告可靠性目标 相关的控制非财务报告内部控制 是指除财务报告内部控制之外的其他控制 为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制，以及 用于保护资产安全的内部 控制中与财务报告可靠性目标无关的控制Page ￿ 17概念明晰——内控审计的业务对象（举例）n 某大型企业集团2009版内控手册共计1272个控制点，分类如下：控制点合计计管理相关控制点与财务报财务报 告相 关控制点ERP控制点数量1272843429161内控审计、财报审计与整合审计问题： u内控审计与大家熟悉的财报审计有 什么差别？ u什么是整合审计？ u整合审计有什么优点？Page ￿ 19整合审计的概念与目标整合审计注册会计师可以单独进行内部 控制审计，也可以将内部 控制审计与财务报表审计 整合进行（整合审计）获取充分、适当 的证据，支持其 在内部控制审计 中对内部控制的 有效性发表的意 见整合审计 目标Ø 获取充分、适 当的证据，支持 其在财务报表审 计中对内部控制 的风险评估结果整合基础 内部控制Page ￿ 20整合审计的吸引力提高审计效率降低成本使客户尽早获知可 能存在的缺陷及早着手进行整改整合审计审计财报审计 利用内控审计的结果u修改实质性程序的性质、 时间安排和范围 u支持分析程序中适用的信 息的完整性和准确性内控审计 考虑财报审计中发现的问题u重点考虑财报审计中发现 的错报对内控有效性评价的 影响Page ￿ 21财务报表审计与内部控制审计的比较财务报表审计与内部控制审计的比较1/31/3比较项目内部控制审计财务报表审计审计目的对财务报告内部控制的有效性发 表审计意见，并对内部控制审计 过程中注意到的非财务报告内部 控制的重大缺陷，在内部控制审 计报告中增加“非财务报告内部 控制重大缺陷描述段”予以披露对财务报表是否符合企业 会计准则，是否公允反映 被审计单位的财务状况和 经营成果发表意见了解和测试内部控 制的目的直接目的：对内部控制设计和运 行有效性发表审计意见了解内控是为了评估重大 错报风险 测试内控是为了进一步证 明了解内控时得出的初步 结论，了解和测试内控的 最终目的是服务于对财报 发表审计意见Page ￿ 22财务报表审计与内部控制审计的比较财务报表审计与内部控制审计的比较2/32/3比较项目内部控制审计财务报表审计测试范围对所有重要账户、各 类交易和列报的相关 认定，都要了解和测 试相关的内控只在以下两种情况下强制要求内控 测试1）在评估认定层次重大错报 风险时，预期控制运行有效。

即： 在确定实质性程序的性质、时间安 排和范围时，CPA拟信赖控制运行 的有效性，或，（2）仅实施实质性 程序不能提供认定层次充分、适当 的审计证据 其他情况下，CPA可以不测试内部 控制 测试时间对特定基准日内控有 效性发表意见不一 定要测试整个会计期 间，但要测试足够长 的时间一旦确定需要测试，则需要测试内 控在整个审计期间运行有效性Page ￿ 23财务报表审计与内部控制审计的比较财务报表审计与内部控制审计的比较3/33/3比较项目内部控制审计财务报表审计测试样本量对结论可靠性的要求高， 测试的样本量大对结论可靠性的要求取决于计 划从内部控制中得到保证的程 度（或，减少实质性程序工作 量的程度）结果报告（1）对外披露 （2）以正面、积极的方式 对内控有效性发表意见（1）通常不对外披露内控情况 ，除非是内控影响到对财报发 表审计意见 （2）以管理建议书的方式向管 理层或治理层报告财报审计中 发现的内控重大缺陷，但CPA 没有义务专门实施审计程序， 以发现和报告内控重大缺陷Page ￿ 24财务报表审计与整合审计的关系财务报表审计与整合审计的关系Page ￿ 25重要性水平相同重要组成部分的认定相同财务财务报表报表审计计划与审计计划与整合整合审计计划的比较审计计划的比较财报审计计划阶段所识别的风险对财报的影响重大账户、重大列报和相关认定重大业务流程业务流程中的内部控制考虑所识别的风险对内部控制的影响识别高风险控制领域确定内控审计的关注领域Page ￿ 26总体要求n“整合审计”要求注册会计师在实施审计时将对财务报表的审计及对财 务报表内部控制。