XXXX企业内部控制审计指引实施意见

1企业内部控制审计指引实施意见2012年8月·厦门2一、内部控制审计的制度背景3制度背景Sarbanes-OxleyActof2002，要求发行者管理层对其内部控制进行自我评估，并要求由出具财务报表审计报告的会计师事务所对管理层的自我评估进行独立鉴证并出具报告。年报审计应当与内部控制审计整合进行。(SECTION404)JOBSACT2012对年营业收入在10亿美元的小型公众公司予以豁免。4制度背景•证监会《首次公开发行股票并上市管理办法》(2006年)“财务与会计一节”规定，发行人的内部控制在所有重大方面是有效的，并由注册会计师出具了无保留结论的内部控制鉴证报告，是发行条件之一。5制度背景•《公开发行证券的公司信息披露内容与格式准则第1号—招股说明书》（2006)规定，发行人应披露公司管理层对内部控制完整性、合理性及有效性的自我评估意见以及注册会计师对公司内部控制的鉴证意见。注册会计师指出公司内部控制存在缺陷的，应予披露并说明改进措施。6制度背景•《企业内部控制基本规范》（2008)规定，执行本规范的上市公司，应当对本公司的内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。•接受企业委托从事内部控制审计的会计师事务所，应当根据本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。7制度背景•2010年4月26日，财政部发布《企业内部控制审计指引》等配套指引，自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行；同时，鼓励非上市大中型企业提前执行。8制度背景•执行企业内控规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷，应当提示投资者、债权人和其他利益相关者关注。9制度背景•执行企业内控规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷，应当提示投资者、债权人和其他利益相关者关注。10制度背景财政部、证监会《关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知》［财办会[2012]30号•中央和地方国有控股上市公司，应于2012年全面实施企业内部控制规范体系，并在披露2012年公司年报的同时，披露董事会对公司内部控制的自我评价报告以及注册会计师出具的财务报告内部控制审计报告。11制度背景•非国有控股主板上市公司，且于2011年12月31日公司总市值（证监会算法）在50亿元以上，同时2009年至2011年平均净利润在3000万元以上的，应在披露2013年公司年报的同时，披露董事会对公司内部控制的自我评价报告以及注册会计师出具的财务报告内部控制审计报告。•其他主板上市公司，应在披露2014年公司年报的同时，披露董事会对公司内部控制的自我评价报告以及注册会计师出具的财务报告内部控制审计报告。12制度背景•特殊情况：一是主板上市公司因进行破产重整、借壳上市或重大资产重组，无法按照规定时间建立健全内控体系的，原则上应在相关交易完成后的下一个会计年度年报披露的同时，披露内部控制自我评价报告和审计报告，且不早于参照上述（一）至（三）原则确定的披露时间；二是新上市的主板上市公司应于上市当年开始建设内控体系，并在上市的下一年度年报披露的同时，披露内部控制自我评价报告和审计报告，且不早于参照上述（一）至（三）原则确定的披露时间。•在上述规定时间范围内，鼓励公司在自愿的基础上提前执行企业内部控制规范体系的披露要求。13国外内部控制鉴证规范美国•AICPAAT501，适用于非公众公司•美国PCAOBNo.5，适用于公众公司14国外内部控制鉴证规范•国际审计与鉴证准则理事会•尚无类似项目•ISAE3402,AssuranceReportsonaServiceOrganization'sControls15我国原有的内部控制鉴证规范2001年中注协发布《内部控制审核指导意见》•最大特点是年报审计与内部控制审核独立进行。•没有提出自上而下和风险导向的审计思路16我国内部控制鉴证规范•《企业内部控制审计指引》2010年4月•《企业内部控制审计指引实施意见》2011年10月•《企业内部控制审计工作底稿编制指南》2011年12月（参考资料，不具有强制性）17二、财务报表审计中对内部控制的了解和测试1845中国注册会计师协会执业准则培训班风险评估思路了解内部控制•控制环境；•被审计单位的风险评估过程•信息系统与沟通•控制活动•对控制的监督了解被审计单位及其环境(不包括内部控制)•了解被审计单位的行业状况、法律环境与监管环境以及其他外部因素•性质•对会计政策的选择和运用•目标、战略以及相关经营风险•财务业绩的衡量和评价评估重大错报风险实施风险评估程序财务报表层次认定层次（各类交易、账户余额、列报（包括披露）19识别和评估重大错报风险在了解被审计单位及其环境过程中识别风险，并考虑各类交易、账户余额、列报将识别的风险与认定层次可能发生错报的领域相联系考虑识别的风险是否重大考虑识别的风险导致财务报表发生重大错报的可能性20应对评估的重大错报风险财务报表层次认定层次21财务报表层次重大错报风险的应对向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性分派更有经验或具有特殊技能的审计人员，或利用专家的工作提供更多的督导增加审计程序的不可预测性对拟实施审计程序的性质、时间和范围作出总体修改22认定层次重大错报风险的应对根据评估的风险确定拟实施的进一步审计程序的性质、时间和范围23进一步审计程序控制测试认定层次实质性程序24三、财务报告内部控制审计25（一）基本定位26鉴证业务的性质•审计/审阅/审核•直接报告业务/基于认定的业务27审计的目标•对特点时点企业财务报告内部控制的有效性发表审计意见，包括：–设计有效性（合理性）–运行有效性28内部控制的目标与要素29财务报告内部控制的概念•企业为了合理保证财务报告及相关信息真实完整而设计和执行的内部控制，旨在：–保存充分、适当的记录，准确、公允地反映企业的交易和事项；–合理保证按照企业会计准则的规定编制财务报表；–合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权；–合理保证及时防止或发现未经授权的、对财务报表有重大影响的交易和事项。30非财务报告内部控制举例《企业内部控制应用指引第7号——采购业务》中的部分非财务报告内部控制•企业的采购业务应当集中、避免多头采购，以提高采购业务效率，降低采购成本，堵塞管理漏洞。（第五条）•企业应当建立科学的供应商评估和准入制度，确定合格供应商清单，与选定的供应商签订质量保证协议，建议供应商管理信息系统，对供应商提供物资或劳务的质量、价格、交货及时性、供货条件及其资信、经营状况等进行实时管理和综合评价，根据评价结果对供应商进行合理选择和调整。（第七条）•企业应当根据市场情况和采购计划合理选择采购方式。大宗采购应当采用招标方式，合理确定招投标的范围、标准、实施程序和评标规则，一般物资或劳务等的采购可以采用询价或定向采购的方式并签订合同协议；小额零星物资或劳务等的采购可以采用直接购买等方式。（第八条）•企业应当建立采购物资定价机制，采取协议采购、招标采购、谈判采购、询比价采购等多种方式合理确定采购价格，最大限度地减少市场变化对企业采购价格的影响。大宗采购等应当采用招投标方式确定采购价格，其他商品或劳务的采购，应当根据市场行情制定最高采购限价，并对最高采购限价适时调整。（第九条）•企业应当根据生产建设进度和采购物资特性，选择合理的运输工具和运输方式，办理运输、投保等事宜。（第十条）•企业应当加强物资采购供应过程的管理，依据采购合同中确定的主要条款跟踪合同履行情况，对可能影响生产或工程进度的异常情况，出具书面报告并及时提出解决方案。（第十二条第一款）31非财务报告内部控制举例《企业内部控制应用指引第9号——资产管理》中的部分非财务报告内部控制•企业应当根据各种存在采购间隔期和当前库存，综合考虑企业生产经营计划、市场供求等因素，充分利用信息系统，合理确定存货采购日期和数量，确保存货处于最佳库存状态。（第十一条）•企业应当加强房屋、机器设备等各类固定资产的管理，重视固定资产的维护和更新改造，不断提升固定资产的使用效能，积极促进固定资产处于良好状态。•企业应当严格执行固定资产日常维修和大修理计划，定期对固定资产进行维护保养，切实消除安全隐患。•企业应当强化对生产线等关键设备运转的监控，严格操作流程，实行岗前培训和岗位许可制度，确保设备安全运转。•企业应当根据发展战略，充分利用国家有关自主创新政策，加大技改投入，不断促进固定资产升级，淘汰落后设备，切实做到保持本企业固定资产技术的先进性和企业发展的可持续性。32时期/时点•定位于时点33整合审计•定位于整合审计，主要考虑：–审计效率–审计成本–对客户的负担34（二）关于签订业务约定书35业务约定书•独立性要求•内部控制审计的前提条件–适用的内部控制标准–就被审计单位认可并理解其责任与治理层和管理层达成一致意见•签定单独的业务约定书–审计范围财务报告内部控制（需要梳理）豁免36（三）计划审计工作37总体审计策略•确定内部控制审计业务特征，以界定审计范围。•明确内部控制审计业务的报告目标，以计划审计的时间安排和所需沟通的性质。•根据职业判断，考虑用以指导项目组工作方向的重要因素。•考虑初步业务活动的结果，并考虑对被审计单位执行其他业务时获得的经验是否与内部控制审计业务相关•确定执行内部控制审计业务所需资源的性质、时间安排和范围。38总体审计策略•确定审计重要性水平•对舞弊风险的特别考虑•利用相关人员工作•被审计单位利用服务机构•多经营场所测试范围的确定39具体审计计划•了解和识别内部控制的程序的性质、时间安排和范围；•测试控制设计有效性的程序的性质、时间安排和范围；•测试控制运行有效性的程序的性质、时间安排和范围。40（四）审计思路41审计思路•风险导向审计•自上而下的审计方法42风险导向审计•其实质在于：以财务报告内部控制重大缺陷风险的识别、评估和应对作为审计工作主线，在风险评估的基础上，将审计资源投放在高风险领域，以提高审计效率和效果。•审计风险＝内部控制存在重大缺陷的风险＊检查风险•内部控制存在重大缺陷的风险=控制无效的风险＊无效导致重大缺陷的风险•量体裁衣、因地制宜审计是风险导向审计的自然引申。43风险导向审计•风险评估的导向作用–确定重要账户–确定相关认定–确定控制测试的性质、时间安排和范围–确定利用他人工作的程度–集团测试范围的确定44“自上而下”的工作思路•识别、了解和评价企业整体层面控制的设计有效性•从财务报表层次识别重大账户•识别与每个重大账户相关的认定•识别重要的业务流程和主要的交易类别•识别流程中错报可能发生的环节•识别和测试预防或及时发现错报发生的控制（业务流程、交易和应用控制层面的控制）45识别、了解和评价企业整体层面控制的设计有效性从财务报表层次识别重大账户识别相关认定识别重要的业务流程和主要的交易类别识别流程中错报可能发生的环节识别和测试预防或及时发现错报发生的控制（业务流程层面的控制）选择拟测试的控制46为什么“自上而下”•好处：提高审计效率和效果–充分利用企业层面的控制的作用，确定合理的测试范围和策略–将一些不重要的账户、披露和认定予以剔除，所谓“不重要”是指包含能够引起财务报表产生重大错报的错报的可能性很小。–防止注册会计师花费不必要的时间和精力了解不重要的业务流程或控制。所