第5部分 了解内部控制审计

企业内部控制规范体系培训第六部分：了解内部控制审计2011年9月南宁►内控审计的基本过程►内部控制审计与财务报表审计的区别►内部控制审计与自我评价的关系►内部控制审计的范围界定与时间安排►内部控制审计与企业的沟通要求►企业如何做好准备►内控审计的基本过程第3页内部控制审计的基本过程计划审计工作测试控制的设计和执行评价识别的控制缺陷审计报告第4页计划审计工作的主要步骤1.总体要求2.风险评估与调整审计工作3.舞弊风险4.利用他人的工作5.确定重要性水平6.使用服务机构第5页1.总体要求：需关注的可能影响财务报告、与财务报告相关的内部控制、以及影响审计师审计工作的各项因素：1.注册会计师执行其他业务时了解的财务报告内部控制情况2.影响企业所在行业的事项。例如，财务报告实务、经济状况、法律法规和技术革新3.与企业业务相关的事项，包括组织结构、经营特征和资本结构4.企业经营活动或财务报告内部控制最近发生变化的程度5.注册会计师对重要性、风险以及与确定重大缺陷相关的其他因素所作的初步判断6.以前与审计委员会或管理层沟通过的控制缺陷7.和企业相关的法律法规8.可获得的、与财务报告内部控制有效性相关的证据类型和范围9.对财务报告内部控制有效性的初步判断10.与评价财务报表发生重大错报的可能性和财务报告内部控制有效性相关的公开信息11.在评价是否接受与保持客户和业务时，注册会计师了解的与企业相关的风险情况12.经营活动的相对复杂程度计划审计工作的主要步骤对于企业可能的影响和企业的应对企业应当尽早与审计师就上述问题进行沟通第6页2.风险评估与调整审计工作►风险评估的理念及思路应该贯穿于整合审计过程始终►风险评估结果的变化将体现在具体审计步骤及关注点的变化中►风险评估的三个层次：确定重要的账户、披露及其相关认定►风险评估影响拟测试的控制及针对特定控制所需收集的证据►影响风险评估的要素包括企业组织结构、业务单元或流程的复杂程度对于企业可能的影响和企业的应对风险评估的概念同样适用于内部控制自我评估。计划审计工作的主要步骤第7页3.应对舞弊风险►舞弊，是指组织内、外人员采用欺骗等违法违规手段，损害或谋取组织经济利益，同时可能为个人带来不正当利益的行为►舞弊风险评估是风险评估的重要组成部分►管理层越权是舞弊风险发生的主要表现形式►为应对舞弊风险可能采取的控制包括：►针对重大非常规交易，尤其是针对那些导致会计分录延迟或异常交易的控制；►针对期末财务报告过程中编制的分录和作出的调整的控制；►针对关联方交易的控制；►与管理层的重大估计相关的控制；►能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制。对于企业可能的影响和企业的应对对于舞弊风险的考虑同样适用于内部控制自我评估计划审计工作的主要步骤第8页4.利用其他人员工作►其他人员包括被审计单位的内部审计人员、内部控制评价人员和其他相关人员►会计师应当评估是否利用他人工作以及利用程度，从而减少本应由注册会计师执行的工作►评估的要素►拟利用其工作的人员的专业胜任能力►拟利用其工作的人员的客观性►风险的重要性程度对于企业可能的影响和企业的应对企业的自我评估工作质量影响审计师对利用其他人员工作的判断。能够使审计师最大程度上依赖企业的工作成果可以降低合规成本与风险。计划审计工作的主要步骤第9页5.确定重要性水平►在整合审计中，应使用相同的重要性水平►可参照《中国注册会计师审计准则第1221号——重要性》的相关要求对于企业可能的影响和企业的应对企业应当与审计师就重要性水平进行充分的沟通，并尽可能保持一致。计划审计工作的主要步骤第10页6.使用服务机构►服务机构的类型►服务机构的类型主要包括为被审计单位记录交易和处理相关数据（数据中心服务提供商）或为其执行交易并履行受托责任的机构（交易处理服务提供商）►如果企业使用了某个服务机构，那么由该服务机构维护的某些政策、程序和记录便会与企业的财务报告内部控制相关对于企业可能的影响和企业的应对企业应当对是否存在服务机构及其潜在影响与审计师尽早沟通。计划审计工作的主要步骤第11页1.识别企业层面控制2.识别重大的账户、披露及其相关认定3.了解错报的可能来源4.选择拟测试的控制使用自上而下的方法对于企业可能的影响和企业的应对内部控制审计的执行与内部控制自我评估在很大程度上存在相通。企业应当与审计师进行充分沟通。第12页1.测试控制设计的有效性►审计师判断有效控制设计需具备的要素►由拥有有效执行控制所需的授权和专业胜任能力的人员按规定执行►控制执行能够实现控制目标►控制执行能够有效地防止或发现可能导致财务报表发生重大错报的错误或舞弊►控制设计有效性的测试方式►控制设计有效性测试的方法：穿行性测试测试控制的设计和执行对于企业可能的影响和企业的应对内部控制审计测试与企业的内部控制测试在很大程度上相通。企业应当与审计师进行充分沟通，在测试策略的制定方面保持一致。第13页2.测试控制运行的有效性►有效的控制运行需具备的要素：►控制正在按照设计运行►控制的执行人员拥有有效执行控制所需的授权和专业胜任能力►控制运行有效性的测试方式：►询问适当人员►观察企业经营活动►检查相关文件►重新执行内部控制等程序测试控制的设计和执行第14页3.风险与拟获取证据的关系►与控制相关的风险包括：►控制可能无效的风险►因控制无效而导致重大缺陷的风险►与控制相关的风险越高，需要获取的证据就越多。审计师会针对高风险领域增加测试工作测试控制的设计和执行第15页4.对后续年度审计的特殊考虑►后续年度的审计时可借鉴以前年度执行财务报告内部控制审计所了解的情况，确定测试的性质、时间和范围►后续年度审计时就某项控制相关风险进行评估时需考虑►以前年度审计中所实施程序的性质、时间和范围►以前年度控制测试的结果►上次审计之后，控制或其运行流程是否发生变化测试控制的设计和执行对于企业可能的影响和企业的应对企业应当每年与审计师沟通年度内部控制审计计划，从而更好的理解与协调内部控制审计工作第16页•评价控制缺陷的严重程度•重大缺陷可能由一个单独的控制缺陷或若干个控制缺陷组合而成;•重要缺陷其严重程度和经济后果低于重大缺陷•不要求审计师寻找单独或组合起来不构成重大缺陷的控制缺陷•控制缺陷的严重程度与错报是否已实际发生无关，而取决于是否存在控制不能防止或发现错报的合理可能性，以及导致错报的影响程度评价识别的控制缺陷对于企业可能的影响和企业的应对企业与审计师就缺陷的判断标准达成共识，并随时沟通可能在工作进程中发现的控制缺陷，以便尽早开始整改工作。第17页财务报告内部控制缺陷的严重程度分类重大缺陷：内部控制中存在的、可能导致不能及时防治或发现并纠正财务报表重大错报的一个或多个缺陷的组合。重大错报一般以财务报告重要性水平作为衡量的标准评价识别的控制缺陷对于企业可能的影响和企业的应对在整合审计的情况下，企业与审计师需要就财务报表重要性水平达成共识；在独立审计的情况下，财务审计与内控审计机构需要就财务报表重要性水平达成共识，还需要企业的认同。第18页2.可能存在重大缺陷的迹象►可能存在重大缺陷的迹象包括：（一）注册会计师发现董事、监事和高级管理人员舞弊；（二）企业更正已经公布的财务报表；（三）注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报；（四）企业审计委员会和内部审计机构对内部控制的监督无效。►对管理人员胜任能力的考虑评价识别的控制缺陷第19页缺陷认定的参考流程：第一步：缺陷是否与财务报表认定直接相关？第二步：缺陷（或汇总）是否存在合理可能以导致财务报表错报？第三步：缺陷（或汇总）可能导致的错报是否对财务报表构成重大影响？第四步：是否存在有效的足以预防或发现重大错报的补偿性控制？第五步：缺陷（或汇总）重要程度是否足以引起财务主管或相关负责人的重视？第六步：知情、有能力、客观的人员是否能认为是重大缺陷？第七步：最后，是否能得出此特殊事项不是控制缺陷的结论？评价识别的控制缺陷第20页获得管理层声明（一）企业董事会认可其对建立健全和有效实施内部控制负责；（二）企业已对内部控制的有效性作出自我评价，并说明评价时采用的标准以及得出的结论；（三）企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础；（四）企业已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷和重要缺陷；（五）企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷，是否已经采取措施予以解决；（六）企业在内部控制自我评价基准日后，内部控制是否发生重大变化，或者存在对内部控制具有重要影响的其他因素。•董事会是否可以将签署声明的职责交给管理层完成？完成审计工作与审计报告►企业如果拒绝提供或以其他不当理由回避书面声明，注册会计师应当将其视为审计范围受到限制，解除业务约定或出具无法表示意见的内部控制审计报告（注意：与财务报表审计中拒绝出具声明书后果的区别。）第21页注册会计师在完成内部控制审计工作后，应当出具内部控制审计报告。标准内部控制审计报告要素►直接报告、合理保证、积极方式的意见►出具审计报告之前的工作：计划、实施审计，缺陷评价，获得书面声明，企业沟通，完成底稿，形成意见。►整合审计和分别审计都应该出具独立的内控审计报告►内控审计报告日期在企业内控自我评价报告日期之后。在整合审计情况下，与财务报告审计报告同期；在非整合审计情况下，不得早于财务报告审计报告日期。审计报告的种类►无保留意见的内部控制审计报告►带有强调事项段的无保留意见的内部控制审计报告（无重大缺陷，但有重大事项需提请注意）►否定意见的内部控制审计报告►无法发表意见完成审计工作与审计报告第22页►标准无保留审计意见►条件：1.企业在所有重大方面保持有效的内部控制；2.注册会计师已按要求计划和实施审计工作，审计工作中未收到限制►实施审计工作包括：审计测试、评价控制缺陷、完成审计工作。►带强调事项段的无保留审计意见►构成强调事项的条件：1.对财务报告内控有重大影响，但经过处理，并出具书面声明；2.不构成内控重大缺陷，不影响审计意见类型►适用情形：1.以前年度的重大缺陷；2.重大不确定事项；3.参考财务审计报告中涉及的强调事项；4.期后事项不适用。►提请使用者关注某些事项，但是无重大缺陷►不得以强调事项段代替否定或无法表示意见完成审计工作与审计报告第23页►否定审计意见►条件：1.存在一项或多项重大缺陷；2.自我评价基准日后，对内控有效性有重大负面影响事项►导致否定意见事项的描述►无法表示意见►条件：1.审计范围受限；2.不能确定期后事项对内控有效性影响程度的►说明无法表示意见的理由►对受限事项沟通，实施替代程序完成审计工作与审计报告第24页►期后事项►期后：自我评价基准日至审计报告日►事项：内控变化，或出现对内控有重要影响的因素►会计师：询问，不需要测试，判断事项性质，考虑对审计意见的影响►有些期后事项表明财务报告内控在基准日存在缺陷（如被担保方财务恶化，担保事项没有披露）►有些期后事项不影响基准日的内控有效性（如ERP系统崩溃）►企业：书面声明完成审计工作与审计报告第25页►记录审计工作►目的：1.提供充分、恰当的记录，作为出具审计报告的基础；2.提供证据，证明会计师已按照审计准则和相关法律法规的规定计划和执行了审计工作►内容：审计程序和重大事项完成审计工作与审计报告►内部控制审计与财务报表审计的区别第27页财务报告内部控制►审计师仅对财务报告内部控制的有效性发表审计意见►企业财务报告控制目标包括合理保证企业财务报告的真实完整►如果企业建立了有效的财务报告内部控制，那么：1.保存足够详细的记录，准确、公允地反映企业的交易和资产处置情况2.合理保证按照企业会计准则和相关会计制度编制财务报表，发生的收入和支出已经过企业管理层和董事会的授权3.合理保证及时防止或发现未经授权的、对财务报表有重大影响的取得、使用或处置企业资产对于企业可能的影响和企业的应对企业应与审计师就财务报告内部控制的具体定义达成一致，并落实到具体各业务环节的关键控制点上。内部控制审计与财务报表审计的区别第