企业内部控制审计-

1企业内部控制审计2一、内部控制审计的制度背景3制度背景•证监会《首次公开发行股票并上市管理办法》(2006年)“财务与会计一节”规定，发行人的内部控制在所有重大方面是有效的，并由注册会计师出具了无保留结论的内部控制鉴证报告，是发行条件之一。4制度背景•《公开发行证券的公司信息披露内容与格式准则第1号—招股说明书》（2006)规定，发行人应披露公司管理层对内部控制完整性、合理性及有效性的自我评估意见以及注册会计师对公司内部控制的鉴证意见。注册会计师指出公司内部控制存在缺陷的，应予披露并说明改进措施。5制度背景•2010年4月26日，财政部发布《企业内部控制审计指引》等配套指引，自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行；同时，鼓励非上市大中型企业提前执行。6制度背景•执行企业内控规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷，应当提示投资者、债权人和其他利益相关者关注。7二、财务报表审计中对内部控制的了解和测试845中国注册会计师协会执业准则培训班风险评估思路了解内部控制•控制环境；•被审计单位的风险评估过程•信息系统与沟通•控制活动•对控制的监督了解被审计单位及其环境(不包括内部控制)•了解被审计单位的行业状况、法律环境与监管环境以及其他外部因素•性质•对会计政策的选择和运用•目标、战略以及相关经营风险•财务业绩的衡量和评价评估重大错报风险实施风险评估程序财务报表层次认定层次（各类交易、账户余额、列报（包括披露）9识别和评估重大错报风险在了解被审计单位及其环境过程中识别风险，并考虑各类交易、账户余额、列报将识别的风险与认定层次可能发生错报的领域相联系考虑识别的风险是否重大考虑识别的风险导致财务报表发生重大错报的可能性10应对评估的重大错报风险财务报表层次认定层次11财务报表层次重大错报风险的应对向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性分派更有经验或具有特殊技能的审计人员，或利用专家的工作提供更多的督导增加审计程序的不可预测性对拟实施审计程序的性质、时间和范围作出总体修改12认定层次重大错报风险的应对根据评估的风险确定拟实施的进一步审计程序的性质、时间和范围13进一步审计程序控制测试认定层次实质性程序14三、财务报告内部控制审计15（一）基本定位16审计的目标•对特点时点企业财务报告内部控制的有效性发表审计意见，包括：–设计有效性（合理性）–运行有效性17财务报告内部控制的概念•企业为了合理保证财务报告及相关信息真实完整而设计和执行的内部控制，旨在：–保存充分、适当的记录，准确、公允地反映企业的交易和事项；–合理保证按照企业会计准则的规定编制财务报表；–合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权；–合理保证及时防止或发现未经授权的、对财务报表有重大影响的交易和事项。18内部控制审计与管理层自我评估的关系•企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送。•在企业治理层的监督下，按照《企业内部控制基本规范》和相关规定，设计、实施和维护有效的内部控制，并评价其有效性是企业管理层的责任。按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。•内部控制审计不能减轻企业管理层的责任。注册会计师在内部控制审计或财务报表审计中实施的程序并不是企业内部控制的组成部分。19（二）审计思路20审计思路•风险导向审计•自上而下的审计方法21风险导向审计•其实质在于：以财务报告内部控制重大缺陷风险的识别、评估和应对作为审计工作主线，在风险评估的基础上，将审计资源投放在高风险领域，以提高审计效率和效果。•审计风险＝内部控制存在重大缺陷的风险＊检查风险•内部控制存在重大缺陷的风险=控制无效的风险＊无效导致重大缺陷的风险•量体裁衣、因地制宜审计是风险导向审计的自然引申。22风险导向审计•风险评估的导向作用–确定重要账户–确定相关认定–确定控制测试的性质、时间安排和范围–确定利用他人工作的程度23“自上而下”的工作思路•识别、了解和评价企业整体层面控制的设计有效性•从财务报表层次识别重大账户•识别与每个重大账户相关的认定•识别重要的业务流程和主要的交易类别•识别流程中错报可能发生的环节•识别和测试预防或及时发现错报发生的控制（业务流程、交易和应用控制层面的控制）24为什么“自上而下”•好处：提高审计效率和效果–充分利用企业层面的控制的作用，确定合理的测试范围和策略–将一些不重要的账户、披露和认定予以剔除，所谓“不重要”是指包含能够引起财务报表产生重大错报的错报的可能性很小。–防止注册会计师花费不必要的时间和精力了解不重要的业务流程或控制。所谓“不重要”是指不影响财务报表是否发生重大错报的可能性。–将审计资源引向高风险领域注：自上而下的方法不仅用于识别重要账户、列报及其相关认定和拟测试的控制，还用于评估风险以及分配审计资源。25企业整体层面的控制企业整体层面控制包括：•与控制环境相关的控制；•针对管理层凌驾于控制之上的风险而设计的控制；•企业的风险评估过程；•集中化的处理和控制，包括共享的服务环境；•监控经营成果的控制；•监督其他控制的控制，包括内部审计职能、审计委员会的活动及内部控制自我评价；•对期末财务报告流程的控制；•针对重大经营控制及风险管理实务的政策。26与控制环境相关的控制•对诚信和道德价值观的沟通与落实。•对胜任能力的重视。•治理层的参与程度。•管理层的理念和经营风格。•组织结构。•职权与责任的分配。•人力资源政策与实务。27针对舞弊风险和管理层凌驾内控风险的控制企业为应对这些风险可能采取的控制包括：•针对重大的非常规交易的控制，尤其是导致会计处理延迟或异常的交易；•针对期末财务报告流程中编制的分录和作出的调整的控制；•针对关联方交易的控制；•与管理层的重大估计相关的控制；•能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制。28针对舞弊风险和管理层凌架内控风险的控制•培育诚信和道德的价值观•审计委员会的监督•畅通举报通道•会计分录控制29企业整体层面控制的作用•对其他控制的运行有效性发挥基础作用•对其他控制的运行有效性发挥监督作用•替代其他控制30识别重要账户、列报及其相关认定•重要账户、列报如果某账户或列报具有合理可能性包含了一个错报，该错报单独或连同其他错报将对财务报表产生重大影响（需要同时考虑多报和少报的风险），则该账户或列报为重要账户或列报。判断某账户或列报是否重要，应当依据其固有风险，而不应考虑相关控制的影响。•相关认定如果某财务报表认定具有合理可能性包含了一个或多个错报，这个或这些错报将导致财务报表发生重大错报，则该认定为相关认定。判断某认定是否为相关认定，应当依据其固有风险，而不应考虑相关控制的影响。注：确定相关账户、列报和相关认定是内部控制审计中审计考虑范围决策的‘[重要组成部分。但在财务报表审计中，注册会计师可能针对非重要账户、列报及其相关认定实施实质性程序。31识别重要账户、列报及其相关认定为识别重要账户、列报及其相关认定，注册会计师应当从下列方面评价财务报表项目及附注的错报风险因素：–账户的规模和构成；–易于发生错报的程度；–账户中处理的或列报中反映的交易的业务量、复杂性及同质性；–账户或列报的性质；–与账户或列报相关的会计处理及报告的复杂程度；–账户发生损失的风险；–由账户或列报中反映的活动引起重大或有负债的可能性；–账户记录中是否涉及关联方交易；–账户或列报的特征与前期相比发生的变化。上述判断标准既有定性考虑，也有定量考虑32识别重要账户、列报及其相关认定•在识别重要账户、列报及其相关认定时，注册会计师还应当确定导致财务报表发生重大错报的潜在错报的可能来源。注册会计师可通过考虑在特定的重要账户或列报中错报可能发生的领域和原因，确定潜在错报的可能来源。•在内部控制审计中，注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素，与财务报表审计中考虑的因素相同。因此，在这两种审计中识别的重要账户、列报及其相关认定应当相同。•如果某潜在重要账户或列报的各组成部分存在的风险差异较大，企业可能需要采用不同的控制以应对这些风险，注册会计师应当分别予以处理。33了解错报的可能来源•注册会计师应当实现下列目标，以了解潜在错报的可能来源以选择拟测试的控制：–了解与相关认定有关的交易的处理流程，包括这些交易如何生成、批准、处理及记录；–验证注册会计师已识别出业务流程中可能发生重大错报（包括舞弊导致的错报）的环节；–识别管理层用于应对这些潜在错报的控制；–识别管理层用于及时防止或发现未经授权的、导致财务报表发生重大错报的资产取得、使用或处置的控制。34了解错报的可能来源•注册会计师应当亲自执行上述工作，或参照《中国注册会计师审计准则第1411号——考虑内部审计工作》的规定，对提供直接帮助的人员的工作进行督导。35了解错报的可能来源•穿行测试通常是完成上述规定的工作的最有效方式。穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程。•在执行穿行测试时，注册会计师使用的文件和信息技术应当与企业员工使用的相同。•注册会计师在执行穿行测试时，通常需要综合运用询问、观察、检查相关文件及重新执行控制等程序。•在执行穿行测试时，针对重要处理程序发生的环节，注册会计师可以询问企业员工对企业规定程序及控制的了解程度。这些试探性提问连同穿行测试中的其他程序，可以帮助注册会计师充分了解业务流程，识别必要控制设计无效或出现缺失的重要环节。•试探性提问不应仅限于关注穿行测试所选定的单笔交易，这有助于注册会计师了解业务流程处理的不同类型的重大交易。36选择拟测试的控制•注册会计师应当评价控制是否足以应对评估的每个相关认定的错报风险，并选择其中对形成评价结论具有重要影响的控制进行测试。•对特定的相关认定而言，可能有多项控制应对评估的错报风险；反之，一项控制可能应对评估的多个相关认定的错报风险。注册会计师没有必要测试与某个相关认定有关的所有控制。•在确定是否测试某项控制时，注册会计师应当考虑该项控制单独或连同其他控制，是否足以应对评估的某项相关认定的错报风险，而不论该项控制的分类和名称如何。37业务流程层面的控制控制活动包括:•业绩评价。•信息处理。信息系统控制活动的两大类是应用控制和信息技术一般控制。•实物控制。实物控制包括下列控制：–保证资产的实物安全，包括恰当的安全保护措施，如针对接触资产和记录的安全设施；–对接触计算机程序和数据文档设置授权；–定期盘点并将盘点记录与控制记录相核对。•职责分离。38了解业务流程内部控制•思路–识别重要业务流程–识别容易发生错报的环节–识别关键的控制活动，并评价控制的设计–执行穿行测试•万变不离其宗–准则指南–权威审计教材39业务流程层面的控制•企业可将其经营活动划分为几个业务流程：•销售与收款循环；•采购与付款循环；•工薪与人事循环；•生产与仓储循环；•筹资与投资循环；•其他循环40（三）计划审计工作41审计重要性水平•与财务报表审计中确定的审计重要性水平相同，这是整合审计的必须要求42对舞弊风险的特别考虑•考虑财务报表审计中识别的舞弊风险，包括管理层凌驾于控制之上的风险•体现整合审计的要求43利用相关人员工作•利用内部审计、其他注册会计师等人的工作可以降低审计成本•需评价客观性和专业胜任能力•与控制相关的风险对利用他人工作的制约44其他考虑•被审计单位利用服务机构•多经营场所测试范围的确定45多经营场所测试范围的确定•当一家企业有多个经营场所或业务单元时，注册会计师应当基于合并财务报表识别重要账户、列报及其相关认定。•在识别重要账户、列报及其相关认定后，注册会计师应当