《企业内部控制审计指引讲解综述》由会员分享,可在线阅读,更多相关《企业内部控制审计指引讲解综述(48页珍藏版)》请在金锄头文库上搜索。
1、企业内部控制审计指引讲解 王 芸 中审亚太云南 引言: 一、为什么要如此重视内部控制? (一)国家整体管制角度 (2001年大陆财政部发布内部会计控制 规范) (二)单个企业发展角度 企业(公司)质量与效益的重要性 (二)社会公众需求角度 关注财务报表同时关注相关内部控制 二、什么是企业内部控制? (一)内部控制的概念 内部控制是由企业董事会、监事会、经 理层和全体员工实施的、旨在实现控制目 标的过程。(全面内部控制理念) (二)内部控制的5目标 合理保证经营合规、资产安全、财务报 告及相关信息真实完整、经营有效性,促 进企业实现发展战略。美国内控目标如下: 美国和国际上通常认为内部控 制应实
2、现以下3大目标: 即合理保证实现: (1)财务报告(financial reporting)的可 靠性; (2)经营(operation)的效率和效果; (3)对法律法规的遵守(compliance)。 注:资产安全目标哪去了? (三)内部控制的5要素 1、内部环境(控制环境) 2、风险评估 3、信息与沟通 4、控制活动 5、内部监督 (对控制的监督) (四)内部控制的固有局限性 内部控制存在下列固有局限性,无论如 何设计和执行,只能对财务报告的可靠性提 供合理的保证: 1、在决策时人为判断可能出现错误和由 于人为失误而导致内部控制失效; 2、可能由于两个或更多人员进行串通或 管理层凌驾于内部
3、控制之上而被规避。 三、内部控制标准体系 1、企业内部控制基本规范 2、企业内部控制应用指引 3、企业内部控制评价指引 4、企业内部控制审计指引 注:2006年6个部委组建大陆企业内部控制标准委员 会,迄今工作成果如下: A, 1、已发布自2009-7-1起上市公司执行(5部位联 合发布)。 B, 234于2010-4-26发布,2011-1-1起境内外上市 公司执行,2012-1-1起主板执行,在此基础上,择机 在中小板和创业板上市公司施行。同时,鼓励非上市大 中型企业提前执行。 1、企业内部控制基本规范1个 1)五个目标: 合规性、可靠性、安全性、经济性,战略性 (美国COSO是:3个目标
4、,无安全性和战略性) 2)五个原则: 全面性、重要性、制衡性、适应性、成本效 益 3)五个要素: 内部环境、风险评估、信息与沟通、控制活 动、内部监督 2、大陆企业内部控制应用指引21个 总体情况:21个应用指引(此次发布18 个,涉及银行、证券和保险等业务的3个指 引暂未发布) 18个应用指引的分类: (1)内部环境类指引-5个(侧重企业层面控制) (2)控制活动类指引-9个(侧重业务层面控制) (3)控制手段类指引-4个(侧重企业层面控制) 注:基本涵盖了企业资金流、实物流、人力企业资金流、实物流、人力 流和信息流流和信息流等各项业务和事项。 18个应用指引的内容: (1)内部环境类指引5
5、个(侧重企业层面控制) 组织框架(含治理结结构、机构设设置、职责职责 分配及不相 容职务职务 分离)、发展战略、人力资源、企业文化、社会责 任(含安全生产产,产产品质质量,环环境保护护与资资源节约节约 等) (注:企业自我评价时要以内部环境为基础) (2)控制活动类指引9个(侧重业务层面控制) 资金活动、资产管理、采购业务、销售业务、研究与 开发、工程项目、担保业务、业务外包、财务报告 (注:企业自我评价时要以控制活动为重点) (3)控制手段类指引4个(侧重企业层面控制) 全面预算、合同管理、内部信息传递、信息系统 (注:企业自我评价时应当兼顾控制手段) 注:财政部等还将出台具体的操作手册或讲
6、解材料 企业内部控制应用指引框架 第一章:总则 (含本指引制定目的,控制对象(定义),相关 风险,关键控制点) 第二至N章:具体规定关键控制点(不相容岗位分 离) (总要求是:职责分工与授权控制,全面实现控制 目标) 、第一关键控制点 、第二关键控制点 N、评估与披露(第-1个关键控制点) 3、企业内部控制评价指引1个 (1)管理层要提交内部控制评价报告 (年度评价和专项评价) (2)评价工作的组织与实施 1)谁负责:企业主要负责人 2)谁实施:董事会(或类似决策机构)或其授权机 构(可借助CPA或外部专家) 3)遵循原则:全面性、重要性和独立性等原则 4)评价工作程序(即评价方案的设计及实施
7、) 5)评价方法 6)工作底稿编制与复核 (3)年度评价和报告的内容 1)评价:对整个年度、所有内部控制在某一基准日 的有效性评价后,发表一个意见。 2)报告:只需且只能报告内控设计或执行存在的 重大缺陷 注1:内部控制缺陷认定有三种: 重大缺陷;重要缺 陷;一般缺陷。 注2:2010年上市公司内部控制自我评价报告存在的问 题:只报告与财务报告密切相关的内部控制设计和运 行情况。这样做对吗? (4)内部控制评价报告 1)组织实施内部控制评价的总体情况。 2)内部控制责任主体的声明。 3)内部控制评价的范围和内容。 4)内部控制评价的标准和依据。 5)内部控制评价的程序和方法。 6)内部控制重大
8、缺陷及其认定情况。 7)内部控制重大缺陷的整改措施及责任追究情 况。 8)内部控制有效性的结论(基准日)。 敬请注意:存在一个或多个内部控制重大缺陷 的,应当作出内部控制无效的结论。 正题:企业内部控制审计指引讲解 开场白: 1、CPA和企业的责任都在不断地加大; 2、内控审计结果将成为考核企业的重要指标; 3、与财务报表审计有较大的不同。 建议: CPA和企业(公司)领导层都要高度重 视内部控制问题 背景回顾:美国内部控制审计的发展历程 2002年, 萨班斯奥克斯利法案 2004年3月,PCAOB,AS NO2 2007年6月,PCAOB,AS NO5An audit of Internal
9、 Control Over Financial Reporting That is Integrated with An audit of Financial Statements CPA与内控关系发展史: 财务报表审计中不关注内控 财务报表审计中关注与审计相关的内控(新旧国际准则要求 不同) 单独审核(EXAMINATION) 财务报告内部控制 单独审计财报内控(AUDIT)(跨入双重审计新时代), 要求公司管理层先得编制内部控制自评报告,后CPA再审计 一、指引(7章35条)的结构 1章、总则 2章、计划审计工作 3章、实施审计工作 4章、评价控制缺陷 5章、完成审计工作 6章、出具审计报
10、告 7章、记录审计工作 附录:4个内部控制审计报告的参考格式 二、各章内容讲解 第一章“总则”讲解(5条) 1、制定的目的和依据 第一条 为了规范注册会计师执 行企业内部控制审计业务,明确工作 要求,保证执业质量,根据企业内 部控制基本规范、中国注册会计 师鉴证业务基本准则及相关执业准 则,制定本指引。 2、内部控制审计的定义和责任划分 第二条 本指引所称内部控制审计,是指会计 师事务所接受委托,对特定基准日内部控制内部控制设计与 运行的有效性进行审计。 第三条 建立健全和有效实施内部控制,评价 内部控制的有效性是企业董事会的责任。按照本指 引的要求,在实施审计工作的基础上对内部控制的 有效性
11、发表审计意见,是注册会计师的责任。 (注意:CPA审计不能减轻管理层责任) 3、总体审计要求 第四条 注册会计师执行内部控制 审计工作,应当获取充分、适当的证 据,为发表内部控制审计意见提供合 理保证。证据 注册会计师应当对财务报告内部 控制的有效性发表审计意见,并对内 部控制审计过程中注意到的非财务报 告内部控制的重大缺陷,在内部控制 审计报告中增加“非财务报告内部控制 重大缺陷描述段”予以披露。报告 4、内部控制审计与财务报表审计的关系 第五条 注册会计师可以单独进行内部控制 审计,也可以将内部控制审计与财务报表审计整 合进行(以下简称整合审计)。 在整合审计中,注册会计师应当对内部控制
12、设计与运行的有效性进行测试,以同时实现下列 目标: (一)获取充分、适当的证据,支持其在内 部控制审计中对内部控制有效性发表的意见; (二)获取充分、适当的证据,支持其在财 务报表审计中对控制风险的评估结果。 (思考问题:两种审计是同一家事务所做,还是不 同事务所做?) 补充讲:两种审计中控制测试和实质性程序 之间的关系 1、内部控制审计中对控制有效性的测试 1)注册会计师应当获取内部控制在一段足够长 的期间内有效运行的证据,测试的期间可能短于财务报 表涵盖的整个期间(通常一年)。(测试时间) 2)注册会计师应当测试所有相关认定的控制,以 获取其设计和运行有效性的证据。(测试范围) 如果仅对财
13、务报表发表审计意见,注册会计师可 能不需要测试这些控制。 3)在内控审计中,注册会计师在对内控有效性形 成结论时,应当同时考虑财务报表审计中实施的、所有 针对控制设计和运行有效性测试的结果。(相互利用) 2、财务报表审计中对控制有效性的测试 1)如果将某项财务报表认定的控制风险评估为 低于最高水平,注册会计师需要获取拟信赖的相关控 制在整个期间有效运行的证据。 (测试时间) 2)注册会计师不必将所有相关认定的控制风险 评估为低于最高水平,因此,可能不对所有控制的运 行有效性进行测试。 (测试范围) 3)在财务报表审计中,注册会计师在评估控制 风险时,应当同时考虑内控审计中实施的、所有针对 控制
14、设计和运行有效性测试的结果。(相互利用) 3、控制有效性的测试对实质性程序的影响 1)如果在内部控制审计中识别出某项控制缺 陷,注册会计师应当评价该项缺陷对财务报表审计 中拟实施的实质性程序的性质、时间和范围的影响 。 2)在财务报表审计中,无论控制风险或重大 错报风险的评估水平如何,注册会计师都应当针对 所有重大的各类交易、账户余额及列报实施实质性 程序。为对内部控制的有效性发表意见而实施的测 试程序并不减轻注册会计师遵守上述规定的责任。 4、实质性程序对控制有效性结论的影响 1)在内部控制审计中,注册会计师应当评 价财务报表审计中实施的实质性程序的结果对控 制有效性结论的影响。评价内容应当
15、包括: (1)注册会计师作出的、与选择和实施实质 性程序相关的风险评估,尤其是与舞弊相关的风 险评估; (2)发现的违反法规行为和关联方交易方面 的问题; (3)表明管理层在选择会计政策和作出会计 估计时存在偏见的情况; (4)实施实质性程序发现的错报。 2)注册会计师应当通过直接测试控制获取 控制是否有效的证据,而不能根据实质性程序没 有发现错报,推断该项控制的有效性。 第二章“计划审计工作”讲解(4条) 1、总体要求 第六条 注册会计师应当恰当地计划内部控制审计工作,配备 具有专业胜任能力的项目组,并对助理人员进行适当的督导。 2、考虑因素 第七条 在计划审计工作时,注册会计师应当评价下列
16、事项对 内部控制、财务报表以及审计工作的影响: (一)与企业相关的风险; (二)相关法律法规和行业概况; (三)企业组织结构、经营特点和资本结构等相关重要事项; (四)企业内部控制最近发生变化的程度; (五)与企业沟通过的内部控制缺陷; (六)重要性、风险等与确定内控重大缺陷相关的因素; (七)对内部控制有效性的初步判断; (八)可获取的、与内控有效性相关的证据的类型和范围。 3、风险导向 第八条 注册会计师应当以风险评估为 基础,选择拟测试的控制,确定测试所需 收集的证据。 内部控制的特定领域存在重大缺陷的 风险越高,给予该领域的审计关注就越多 。 4、利用其他相关人员的工作 第九条 注册会计师应当对企业内部控制自我评价工 作进行评估,判断是否利用企业内部审计人员、内部控制 评价人员和其他相关人员的工作以及可利用的程度,相应 减少可能本应由注册会计师执行的工作。需要判断 1)注册会计师利用企业内部审计人员、内部控制评 价人员和其他相关人
