《张龙平企业内部控制审计指引讲解》由会员分享,可在线阅读,更多相关《张龙平企业内部控制审计指引讲解(48页珍藏版)》请在金锄头文库上搜索。
1、企业内部控制审计指引讲解 张龙平,中南财经政法大学会计学院 教授.博导 中国CPA审计准则委员会 委员 中国财政部会计准则委员会 咨询专家 中国企业内部控制标准委员会 咨询专家 中国国家审计准则技术咨询专家组 专家成员 ZLPCALY,引言: 一、为什么要如此重视内部控制? (一)国家整体管制角度 (2001年大陆财政部发布内部会计控制规范) (二)单个企业发展角度 企业(公司)质量与效益的重要性 (二)社会公众需求角度 关注财务报表同时关注相关内部控制,二、什么是企业内部控制?,(一)内部控制的概念 内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。(全面内部控
2、制理念) (二)内部控制的5目标 合理保证经营合规、资产安全、财务报告及相关信息真实完整、经营有效性,促进企业实现发展战略。美国内控目标如下:,美国和国际上通常认为内部控制应实现以下3大目标: 即合理保证实现: (1)财务报告(financial reporting)的可靠性; (2)经营(operation)的效率和效果; (3)对法律法规的遵守(compliance)。 注:资产安全目标哪去了?,(三)内部控制的5要素,1、内部环境(控制环境) 2、风险评估 3、信息与沟通 4、控制活动 5、内部监督 (对控制的监督),(四)内部控制的固有局限性,内部控制存在下列固有局限性,无论如何设计和
3、执行,只能对财务报告的可靠性提供合理的保证: 1、在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效; 2、可能由于两个或更多人员进行串通或管理层凌驾于内部控制之上而被规避。,三、内部控制标准体系,1、企业内部控制基本规范 2、企业内部控制应用指引 3、企业内部控制评价指引 4、企业内部控制审计指引 注:2006年6个部委组建大陆企业内部控制标准委员会,迄今工作成果如下: A, 1、已发布自2009-7-1起上市公司执行(5部位联合发布)。 B, 234于2010-4-26发布,2011-1-1起境内外上市公司执行,2012-1-1起主板执行,在此基础上,择机在中小板和创业板上市公司
4、施行。同时,鼓励非上市大中型企业提前执行。,1、企业内部控制基本规范1个 1)五个目标: 合规性、可靠性、安全性、经济性,战略性(美国COSO是:3个目标,无安全性和战略性) 2)五个原则: 全面性、重要性、制衡性、适应性、成本效益 3)五个要素: 内部环境、风险评估、信息与沟通、控制活动、内部监督,2、大陆企业内部控制应用指引21个,总体情况:21个应用指引(此次发布18个,涉及银行、证券和保险等业务的3个指引暂未发布) 18个应用指引的分类: (1)内部环境类指引-5个(侧重企业层面控制) (2)控制活动类指引-9个(侧重业务层面控制) (3)控制手段类指引-4个(侧重企业层面控制) 注:
5、基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。,18个应用指引的内容:,(1)内部环境类指引5个(侧重企业层面控制) 组织框架(含治理结构、机构设置、职责分配及不相容职务分离)、发展战略、人力资源、企业文化、社会责任(含安全生产,产品质量,环境保护与资源节约等) (注:企业自我评价时要以内部环境为基础) (2)控制活动类指引9个(侧重业务层面控制) 资金活动、资产管理、采购业务、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告 (注:企业自我评价时要以控制活动为重点) (3)控制手段类指引4个(侧重企业层面控制) 全面预算、合同管理、内部信息传递、信息系统 (注:企
6、业自我评价时应当兼顾控制手段) 注:财政部等还将出台具体的操作手册或讲解材料,企业内部控制应用指引框架,第一章:总则 (含本指引制定目的,控制对象(定义),相关风险,关键控制点) 第二至N章:具体规定关键控制点(不相容岗位分离) (总要求是:职责分工与授权控制,全面实现控制目标) 、第一关键控制点 、第二关键控制点 N、评估与披露(第-1个关键控制点),3、企业内部控制评价指引1个,(1)管理层要提交内部控制评价报告 (年度评价和专项评价) (2)评价工作的组织与实施 1)谁负责:企业主要负责人 2)谁实施:董事会(或类似决策机构)或其授权机构(可借助CPA或外部专家) 3)遵循原则:全面性、
7、重要性和独立性等原则 4)评价工作程序(即评价方案的设计及实施) 5)评价方法 6)工作底稿编制与复核,(3)年度评价和报告的内容 1)评价:对整个年度、所有内部控制在某一基准日 的有效性评价后,发表一个意见。 2)报告:只需且只能报告内控设计或执行存在的 重大缺陷 注1:内部控制缺陷认定有三种: 重大缺陷;重要缺陷;一般缺陷。 注2:2010年上市公司内部控制自我评价报告存在的问题:只报告与财务报告密切相关的内部控制设计和运行情况。这样做对吗?,(4)内部控制评价报告,1)组织实施内部控制评价的总体情况。 2)内部控制责任主体的声明。 3)内部控制评价的范围和内容。 4)内部控制评价的标准和
8、依据。 5)内部控制评价的程序和方法。 6)内部控制重大缺陷及其认定情况。 7)内部控制重大缺陷的整改措施及责任追究情况。 8)内部控制有效性的结论(基准日)。 敬请注意:存在一个或多个内部控制重大缺陷的,应当作出内部控制无效的结论。,正题:企业内部控制审计指引讲解,开场白: 1、CPA和企业的责任都在不断地加大; 2、内控审计结果将成为考核企业的重要指标; 3、与财务报表审计有较大的不同。 建议: CPA和企业(公司)领导层都要高度重视内部控制问题,背景回顾:美国内部控制审计的发展历程,2002年, 萨班斯奥克斯利法案 2004年3月,PCAOB,AS NO2 2007年6月,PCAOB,A
9、S NO5An audit of Internal Control Over Financial Reporting That is Integrated with An audit of Financial Statements CPA与内控关系发展史: 财务报表审计中不关注内控 财务报表审计中关注与审计相关的内控(新旧国际准则要求不同) 单独审核(EXAMINATION) 财务报告内部控制 单独审计财报内控(AUDIT)(跨入双重审计新时代), 要求公司管理层先得编制内部控制自评报告,后CPA再审计,一、指引(7章35条)的结构,1章、总则 2章、计划审计工作 3章、实施审计工作 4章、评
10、价控制缺陷 5章、完成审计工作 6章、出具审计报告 7章、记录审计工作 附录:4个内部控制审计报告的参考格式 二、各章内容讲解,第一章“总则”讲解(5条),1、制定的目的和依据 第一条 为了规范注册会计师执行企业内部控制审计业务,明确工作要求,保证执业质量,根据企业内部控制基本规范、中国注册会计师鉴证业务基本准则及相关执业准则,制定本指引。,2、内部控制审计的定义和责任划分,第二条 本指引所称内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。 第三条 建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。按照本指引的要求,在实施审计工作的基础
11、上对内部控制的有效性发表审计意见,是注册会计师的责任。 (注意:CPA审计不能减轻管理层责任),3、总体审计要求 第四条 注册会计师执行内部控制审计工作,应当获取充分、适当的证据,为发表内部控制审计意见提供合理保证。证据 注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。报告,4、内部控制审计与财务报表审计的关系 第五条 注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(以下简称整合审计)。 在整合审计中,注册会计师应当对内部控制设
12、计与运行的有效性进行测试,以同时实现下列目标: (一)获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发表的意见; (二)获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结果。 (思考问题:两种审计是同一家事务所做,还是不同事务所做?),补充讲:两种审计中控制测试和实质性程序之间的关系,1、内部控制审计中对控制有效性的测试 1)注册会计师应当获取内部控制在一段足够长的期间内有效运行的证据,测试的期间可能短于财务报表涵盖的整个期间(通常一年)。(测试时间) 2)注册会计师应当测试所有相关认定的控制,以获取其设计和运行有效性的证据。(测试范围) 如果仅对财务报表发表审计意见
13、,注册会计师可能不需要测试这些控制。 3)在内控审计中,注册会计师在对内控有效性形成结论时,应当同时考虑财务报表审计中实施的、所有针对控制设计和运行有效性测试的结果。(相互利用),2、财务报表审计中对控制有效性的测试,1)如果将某项财务报表认定的控制风险评估为低于最高水平,注册会计师需要获取拟信赖的相关控制在整个期间有效运行的证据。 (测试时间) 2)注册会计师不必将所有相关认定的控制风险评估为低于最高水平,因此,可能不对所有控制的运行有效性进行测试。 (测试范围) 3)在财务报表审计中,注册会计师在评估控制风险时,应当同时考虑内控审计中实施的、所有针对控制设计和运行有效性测试的结果。(相互利
14、用),3、控制有效性的测试对实质性程序的影响 1)如果在内部控制审计中识别出某项控制缺陷,注册会计师应当评价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时间和范围的影响。 2)在财务报表审计中,无论控制风险或重大错报风险的评估水平如何,注册会计师都应当针对所有重大的各类交易、账户余额及列报实施实质性程序。为对内部控制的有效性发表意见而实施的测试程序并不减轻注册会计师遵守上述规定的责任。,4、实质性程序对控制有效性结论的影响 1)在内部控制审计中,注册会计师应当评价财务报表审计中实施的实质性程序的结果对控制有效性结论的影响。评价内容应当包括: (1)注册会计师作出的、与选择和实施实质性程序
15、相关的风险评估,尤其是与舞弊相关的风险评估; (2)发现的违反法规行为和关联方交易方面的问题; (3)表明管理层在选择会计政策和作出会计估计时存在偏见的情况; (4)实施实质性程序发现的错报。 2)注册会计师应当通过直接测试控制获取控制是否有效的证据,而不能根据实质性程序没有发现错报,推断该项控制的有效性。,第二章“计划审计工作”讲解(4条),1、总体要求 第六条 注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。 2、考虑因素 第七条 在计划审计工作时,注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响: (一)与企业相关的风险
16、; (二)相关法律法规和行业概况; (三)企业组织结构、经营特点和资本结构等相关重要事项; (四)企业内部控制最近发生变化的程度; (五)与企业沟通过的内部控制缺陷; (六)重要性、风险等与确定内控重大缺陷相关的因素; (七)对内部控制有效性的初步判断; (八)可获取的、与内控有效性相关的证据的类型和范围。,3、风险导向 第八条 注册会计师应当以风险评估为基础,选择拟测试的控制,确定测试所需收集的证据。 内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。,4、利用其他相关人员的工作 第九条 注册会计师应当对企业内部控制自我评价工作进行评估,判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度,相应减少可能本应由注册会计师执行的工作。需要判断 1)注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作,应当对其专业胜任能力和客观性进行充分评价。 2)
