4内控审计

内部控制审计实务与案例研究主讲人：李晓慧huicpa811@qq.com郑重声明本讲稿仅供学员学习使用，请不要私自用于商业目的或上网发布。简介•李晓慧，河南南召，经济学博士，教授，博士生导师，首批资深注册会计师，现任中国注册会计师协会专业技术咨询委员会委员，任中国会计学会会计监督委员会委员，曾在会计师事务所、国有资产管理局和中国注册会计师协会专业标准部工作。•在《会计研究》、《审计研究》、《财政研究》《财务与会计》、《会计之友》、《中国注册会计师》、《中国财经报》和《中国证券报》等上发表近百篇专业论文，近年来主要的论著有《风险管理框架下审计理论与流程研究》（2009）、《资本市场会计信息披露案例》（2011）、《审计案例与实训》（2012年）、《内部控制与风险管理：理论、实务与案例》（2012年）、《审计学：理论与案例》（2013年）、《会计百年通识教材》（2013年）、《审计学：实务与案例（第三版）》（2014年）。主要内容•一、内部控制审计的政策•案例1委托注册会计师审计内部控制的困惑•二、内部控制审计业务流程、方法与底稿•案例2内部控制审计•三、内部控制评价报告与审计报告•案例3第一份否定意见的内部控制审计报告内部控制审计政策你认识的内部控制是什么?•1.是一根绳子？•2.是公司的规章制度？•3.是个过程？•4.内部控制控制什么？•5.谁来实施内部控制？•6.谁对内部控制负责？•7.内部控制五目标：效率目标、可靠性目标、合规性目标、安全性目标、战略性目标。•8.内部控制五要素：内部环境、风险评估、控制活动、信息与沟通、监督。4内部控制审计1/4•内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。•1.企业内部控制审计基于特定基准日。注册会计师基于基准日（如年末12月31日）内部控制的有效性发表意见，而不是对财务报表涵盖的整个期间（如一年）的内部控制的有效性发表意见。但这并不意味着注册会计师只关注企业基准日当天的内部控制，而是要考察企业一个时期内（足够长的一段时间）内部控制的设计和运行情况。内部控制审计2/4•2.审计范围：财务报告内部控制•注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。•财务报告内部控制，是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制，以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。•非财务报告内部控制，是指除财务报告内部控制之外的其他控制，通常是指为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制，以及用于保护资产安全的内部控制中与财务报告可靠性目标无关的控制。内部控制审计3/4•财务报告内部控制主要包括下列方面的政策和程序：•（1）保存充分、适当的记录，准确、公允地反映企业的交易和事项；•（2）合理保证按照企业会计准则的规定编制财务报表；•（3）合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权；•（4）合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项。内部控制审计4/4•3.注册会计师审计责任•建立健全和有效实施内部控制是企业董事会（或类似决策机构，下同）的责任；按照《企业内部控制审计指引》的要求，在实施审计工作的基础上对企业内部控制的有效性发表审计意见，是注册会计师的责任。•注册会计师在实施内控审计之前，应当在业务约定书中明确双方的责任；在发表内控审计意见之前，应当取得经企业签署的内控书面声明。整合审计及其目标•1.整合审计:会计师事务所常把企业内部控制（风险管理）审计和财务报表审计整合进行,简称整合审计•2.整合审计目标•注册会计师对内部控制设计与运行的有效性进行测试，要同时实现两个目的：•（1）获取充分、适当的证据，支持在内部控制审计中对内部控制有效性发表的意见；•（2）获取充分、适当的证据，支持在财务报表审计中对控制风险的评估结果。整合审计中的内部控制审计与财务报表审计的协调•1.识别的重要账户及相关认定相同•2.确定的重要性水平相同•3.两者均采用风险导向审计模式，都以风险评估作为工作起点•4.内部控制了解和测试的方法相同•5.审计结果的相互印证和相互利用内部控制评价与内部控制审计1/2•一、不同•1.主体不同•企业董事会及其审计委员会负责领导本企业的内部控制评价工作。•在实施审计工作的基础上对企业内部控制的有效性发表审计意见，是注册会计师的责任。•2.报告不同•内部控制评价（评估）报告一般是详式报告,是对报告期内一段时间的内部控制有效性进行评价•内部控制审计报告是规范的简式报告，是对截止到基准日的内部控制内部控制有效性进行鉴证内部控制评价与内部控制审计2/2•二、联系•1.了解、评价和测试内部控制的方法相同•2.对内部控制一般缺陷、重要缺陷和重大缺陷的专业判断的标准相同•3.注册会计师在执行内部控制审计业务时要考虑合理利用内部审计评价的工作。•4.公司对外披露的内部控制评价报告是内部控制审计的直接对象，内部控制审计对公司内部控制有效性发表意见实质上就是对内部控制评价报告的再鉴证。我国企业内部控制评价与报告体系公司董事会、管理层注册会计师内部控制财务报告内部控制对内报告对外报告审计报告内部控制总体运行情况财务报告内部控制有效性结论财务报告内部控制有效性的意见监事会、股东大会[案例1]委托注册会计师审计内部控制的困惑•华中集团公司在构建内部控制体系时，聘请京信会计师事务所为其提供咨询服务。三年来，集团公司的内部控制运行良好，且每年集团公司都会委托集团总部的审计机构按照风险点对不同的子公司进行内部控制评价，审计委员会讨论内部审计机构出具的内部控制审计报告后会把企业存在的问题及其改进建议提交董事会，以此决定来年的经营管理活动的改进。2010年，华中集团公司准备增发股票融资，按要求需要提供其内部控制审计报告，注册会计师拟聘请京信会计师事务所为其提供内部控制审计服务。但在董事会会议讨论中，人们提出了以下的疑问：14[案例1]委托注册会计师审计内部控制的困惑•1.京信会计师事务所为公司提供内部控制设计的咨询服务后，是否可以再为公司提供内部控制审计业务？•2.由于每年内部审计机构出具的内部审计报告中涉及到许多公司经营管理的机密问题，如果让注册会计师承办内部控制审计业务，这些涉及机密的问题是否一定要出现在内部控制审计报告中？•3.注册会计师承办内部控制审计业务与内部审计机构提供的内部控制评价业务有什么不同？如何协调？•4.是聘请同一家会计师事务所为公司同时提供年报审计和内部控制审计业务呢？或是分别聘请不同的会计师事务所呢？如何处理？•5.注册会计师在提供年报审计和内部控制审计中都应对内部控制进行了解、评价和测试，这些工作是否重复？如何处理？15内部控制评价、审计的责任划分1/3•1.企业董事会及其审计委员会•企业董事会应当对内部控制评价报告的真实性负责。董事会可以通过审计委员会来承担对内部控制评价的组织、领导、监督职责。董事会或审计委员会应听取内部控制评价报告，审定内控重大缺陷、重要缺陷整改意见，对内部控制部门在督促整改中遇到的困难，积极协调，排除障碍。•2.企业监事会•监事会应审议内部控制评价报告，对董事会建立与实施内部控制进行监督。内部控制评价、审计的责任划分2/3•3.经理层•经理层应结合日常掌握的业务情况，为内部控制评价方案提出应重点关注的业务或事项，审定内部控制评价方案和听取内部控制评价报告，对于内部控制评价中发现的问题或报告的缺陷，要按照董事会或审计委员会的整改意见积极采取有效措施予以整改。•4.企业各业务部门或所属单位•1）建立健全并不断完善自身的内部控制；•2）组织自身内控自我评价；•3）配合企业全面的内部控制检查评价工作；•4）及时整改内部控制检查评价中发现的缺陷，对不能立即整改的，制定缺陷整改的实施计划。内部控制评价、审计的责任划分3/3•5.内部审计监察部门及其审计人员•1）组织企业内部控制自我评价工作；•2）对企业内部控制自我评价结果进行抽查，执行独立评价•3）出具企业内部控制评价报告，跟踪、督促和复查内部控制缺陷的整改。•6.外部注册会计师•按照审计指引的要求，在实施上级工作的基础上对内部控制有效性发表审计意见，是注册会计师的责任。•内部控制审计不能减轻管理层的责任。内部控制审计业务范围•一、美国《萨班斯——奥克斯利法案》和日本《金融商品交易法》均要求由出具财务报告审计报告的会计师事务所对企业财务报告内部控制进行审计，将企业内部控制审计定位在整合审计。•二、英国等国的上市规则要求审计师对管理层做出的内部控制声明进行形式上的审阅•三、《企业内部控制基本规范》及配套指引的发布，要求执行企业内控规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷，应当提示投资者、债权人和其他利益相关者关注。•内部控制审计业务流程、方法与底稿内部控制审计的前提条件•1.确定被审计单位采用的内部控制标准是否适当;•2.就被审计单位认可并理解其责任与治理层和管理层达成一致意见。•被审计单位的责任包括:•(1)按照适用的内部控制标准，建立健全和有效实施内部控制，以使财务报表不存在由于舞弊或错误导致的重大错报;•(2)对内部控制的有效性进行评价并编制内部控制评价报告;•(3)向注册会计师提供必要的工作条件，包括允许注册会计师接触与内部控制审计相关的所有信息(如记录、文件和其他事项)，允许注册会计师在获取审计证据时不受限制地接触其认为必要的内部人员和其他相关人员等。内部控制审计业务实务流程计划审计工作实施审计测试企业层面控制测试流程层面控制测试评价控制缺陷形成审计意见获取管理当局声明沟通相关事项出具内控审计报告计划审计工作1/5•（一）了解和评价下列事项对财务报表和内部控制是否有重要影响，以及有重要影响的事项将如何影响注册会计师的审计工作：•1.注册会计师执行其他业务时了解的情况；•2.影响企业所处行业的事项，如行业财务报告惯例、经济状况和技术革新；•3.与企业相关的法律法规；•4.与企业经营相关的重要事项，包括组织结构、经营特征和资本结构；•5.经营活动的复杂程度；计划审计工作2/5•6.企业经营活动或内部控制最近发生变化的程度；•7.注册会计师对重要性、风险以及与确定内部控制重大缺陷相关的其他因素所作的初步判断；•8.以前与审计委员会或管理层沟通过的控制缺陷；•9.可获取的、与内部控制有效性相关的证据的类型和范围；•10.对内部控制有效性的初步判断；•11.与评价财务报表发生重大错报的可能性和内部控制有效性相关的公开信息；•12.在评价是否接受与保持客户和业务时，注册会计师了解的与企业相关的风险情况。计划审计工作3/5•（二）风险评估、关注和应对舞弊风险•注册会计师应当评价企业的控制是否足以应对已识别的、由舞弊导致的重大错报风险，并评价为应对管理层凌驾于控制之上的风险而设计的控制，这些控制包括：•1.针对重大的非常规交易的控制，尤其是针对导致会计处理延迟或异常的交易的控制；•2.针对期末财务报告流程中编制的分录和作出的调整的控制；针对关联方交易的控制；•3.与管理层的重大估计相关的控制；•4.能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制。计划审计工作4/5•(三）确定重要性水平•在计划内部控制审计工作时，注册会计师应当使用与财务报表审计相同的重要性水平。•（四）考虑利用其他相关人员或机构的工作•注册会计师需要评估是否利用他人（包括企业的内部审计人员、内部控制评价人员、其他人员以及在董事会及其审计委员会指导下的第三方）的工作以及利用的程度，以减少可能本应由注册会计师执行的工作。•1.评价该人员的专业胜任能力和客观性•2.利用他