1企业内部控制审计指引实施意见企业内部控制审计指引实施意见2012年8月厦门2一、内部控制审计的制度背景一、内部控制审计的制度背景 3制度背景Sarbanes-Oxley Act of 2002,要求发行者管理层对其内部控制进行自我评估,并要求由出具财务报表审计报告的会计师事务所对管理层的自我评估进行独立鉴证并出具报告年报审计应当与内部控制审计整合进行 (SECTION 404) JOBSACT2012 对年营业收入在10亿美元的小型公众公司予以豁免4制度背景证监会首次公开发行股票并上市管理办法(2006年)“财务与会计一节”规定,发行人的内部控制在所有重大方面是有效的,并由注册会计师出具了无保留结论的内部控制鉴证报告,是发行条件之一 5制度背景公开发行证券的公司信息披露内容与格式准则第1号招股说明书(2006) 规定,发行人应披露公司管理层对内部控制完整性、合理性及有效性的自我评估意见以及注册会计师对公司内部控制的鉴证意见注册会计师指出公司内部控制存在缺陷的,应予披露并说明改进措施6制度背景企业内部控制基本规范(2008)规定,执行本规范的上市公司,应当对本公司的内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。
接受企业委托从事内部控制审计的会计师事务所,应当根据本规范及其配套办法和相关执业准则,对企业内部控制的有效性进行审计,出具审计报告7制度背景2010年4月26日,财政部发布企业内部控制审计指引等配套指引,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行8制度背景执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷,应当提示投资者、债权人和其他利益相关者关注9制度背景执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷,应当提示投资者、债权人和其他利益相关者关注。
10制度背景财政部、证监会关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知财办会201230号中央和地方国有控股上市公司,应于2012年全面实施企业内部控制规范体系,并在披露2012年公司年报的同时,披露董事会对公司内部控制的自我评价报告以及注册会计师出具的财务报告内部控制审计报告11制度背景非国有控股主板上市公司,且于2011年12月31日公司总市值(证监会算法)在50亿元以上,同时2009年至2011年平均净利润在3000万元以上的,应在披露2013年公司年报的同时,披露董事会对公司内部控制的自我评价报告以及注册会计师出具的财务报告内部控制审计报告其他主板上市公司,应在披露2014年公司年报的同时,披露董事会对公司内部控制的自我评价报告以及注册会计师出具的财务报告内部控制审计报告12制度背景特殊情况:一是主板上市公司因进行破产重整、借壳上市或重大资产重组,无法按照规定时间建立健全内控体系的,原则上应在相关交易完成后的下一个会计年度年报披露的同时,披露内部控制自我评价报告和审计报告,且不早于参照上述(一)至(三)原则确定的披露时间;二是新上市的主板上市公司应于上市当年开始建设内控体系,并在上市的下一年度年报披露的同时,披露内部控制自我评价报告和审计报告,且不早于参照上述(一)至(三)原则确定的披露时间。
在上述规定时间范围内,鼓励公司在自愿的基础上提前执行企业内部控制规范体系的披露要求13国外内部控制鉴证规范美国AICPAAT 501,适用于非公众公司美国PCAOB No.5,适用于公众公司14国外内部控制鉴证规范国际审计与鉴证准则理事会尚无类似项目ISAE 3402, Assurance Reports on a Service Organizations Controls15我国原有的内部控制鉴证规范2001年中注协发布内部控制审核指导意见最大特点是年报审计与内部控制审核独立进行没有提出自上而下和风险导向的审计思路16我国内部控制鉴证规范企业内部控制审计指引2010年4月企业内部控制审计指引实施意见2011年10月企业内部控制审计工作底稿编制指南2011年12月(参考资料,不具有强制性)17二、财务报表审计中对内部控二、财务报表审计中对内部控制的了解和测试制的了解和测试 1819识识别别和和评评估估重重大大错错报报风风险险在了解被审计单位及其环境过程中识别风险,并考虑各类交易、账户余额、列报将识别的风险与认定层次可能发生错报的领域相联系考虑识别的风险是否重大考虑识别的风险导致财务报表发生重大错报的可能性20应应对对评评估估的的重重大大错错报报风风险险财务报表层次认定层次21财财务务报报表表层层次次重重大大错错报报风风险险的的应应对对向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性 分派更有经验或具有特殊技能的审计人员,或利用专家的工作提供更多的督导 增加审计程序的不可预测性对拟实施审计程序的性质、时间和范围作出总体修改22认认定定层层次次重重大大错错报报风风险险的的应应对对根据评估的风险确定拟实施的进一步审计程序的性质、时间和范围23进进一一步步审审计计程程序序控制测试认定层次实质性程序24三、财务报告内部控制审计三、财务报告内部控制审计 25(一)基本定位(一)基本定位 26鉴证业务的性质审计/审阅/审核直接报告业务/基于认定的业务27审计的目标对特点时点企业财务报告内部控制的有效性发表审计意见,包括:设计有效性(合理性)运行有效性28内部控制的目标与要素 29财务报告内部控制的概念企业为了合理保证财务报告及相关信息真实完整而设计和执行的内部控制,旨在: 保存充分、适当的记录,准确、公允地反映企业的交易和事项;合理保证按照企业会计准则的规定编制财务报表;合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权;合理保证及时防止或发现未经授权的、对财务报表有重大影响的交易和事项。
30非财务报告内部控制举例 企业内部控制应用指引第7号采购业务中的部分非财务报告内部控制企业的采购业务应当集中、避免多头采购,以提高采购业务效率,降低采购成本,堵塞管理漏洞第五条)企业应当建立科学的供应商评估和准入制度,确定合格供应商清单,与选定的供应商签订质量保证协议,建议供应商管理信息系统,对供应商提供物资或劳务的质量、价格、交货及时性、供货条件及其资信、经营状况等进行实时管理和综合评价,根据评价结果对供应商进行合理选择和调整第七条)企业应当根据市场情况和采购计划合理选择采购方式大宗采购应当采用招标方式,合理确定招投标的范围、标准、实施程序和评标规则,一般物资或劳务等的采购可以采用询价或定向采购的方式并签订合同协议;小额零星物资或劳务等的采购可以采用直接购买等方式第八条)企业应当建立采购物资定价机制,采取协议采购、招标采购、谈判采购、询比价采购等多种方式合理确定采购价格,最大限度地减少市场变化对企业采购价格的影响 大宗采购等应当采用招投标方式确定采购价格,其他商品或劳务的采购,应当根据市场行情制定最高采购限价,并对最高采购限价适时调整第九条)企业应当根据生产建设进度和采购物资特性,选择合理的运输工具和运输方式,办理运输、投保等事宜。
第十条)企业应当加强物资采购供应过程的管理,依据采购合同中确定的主要条款跟踪合同履行情况,对可能影响生产或工程进度的异常情况,出具书面报告并及时提出解决方案第十二条第一款)31非财务报告内部控制举例 企业内部控制应用指引第9号资产管理中的部分非财务报告内部控制企业应当根据各种存在采购间隔期和当前库存,综合考虑企业生产经营计划、市场供求等因素,充分利用信息系统,合理确定存货采购日期和数量,确保存货处于最佳库存状态第十一条)企业应当加强房屋、机器设备等各类固定资产的管理,重视固定资产的维护和更新改造,不断提升固定资产的使用效能,积极促进固定资产处于良好状态企业应当严格执行固定资产日常维修和大修理计划,定期对固定资产进行维护保养,切实消除安全隐患企业应当强化对生产线等关键设备运转的监控,严格操作流程,实行岗前培训和岗位许可制度,确保设备安全运转企业应当根据发展战略,充分利用国家有关自主创新政策,加大技改投入,不断促进固定资产升级,淘汰落后设备,切实做到保持本企业固定资产技术的先进性和企业发展的可持续性32时期/时点定位于时点33整合审计定位于整合审计,主要考虑:审计效率审计成本对客户的负担34(二)关于签订业务约定书(二)关于签订业务约定书 35业务约定书独立性要求内部控制审计的前提条件适用的内部控制标准就被审计单位认可并理解其责任与治理层和管理层达成一致意见签定单独的业务约定书审计范围财务报告内部控制(需要梳理)豁免36(三)计划审计工作(三)计划审计工作 37总体审计策略确定内部控制审计业务特征,以界定审计范围。
明确内部控制审计业务的报告目标,以计划审计的时间安排和所需沟通的性质根据职业判断,考虑用以指导项目组工作方向的重要因素考虑初步业务活动的结果,并考虑对被审计单位执行其他业务时获得的经验是否与内部控制审计业务相关确定执行内部控制审计业务所需资源的性质、时间安排和范围38总体审计策略确定审计重要性水平对舞弊风险的特别考虑利用相关人员工作被审计单位利用服务机构多经营场所测试范围的确定39具体审计计划了解和识别内部控制的程序的性质、时间安排和范围;测试控制设计有效性的程序的性质、时间安排和范围;测试控制运行有效性的程序的性质、时间安排和范围40(四)审计思路(四)审计思路 41审计思路风险导向审计自上而下的审计方法42风险导向审计其实质在于:以财务报告内部控制重大缺陷风险的识别、评估和应对作为审计工作主线,在风险评估的基础上,将审计资源投放在高风险领域,以提高审计效率和效果审计风险内部控制存在重大缺陷的风险检查风险内部控制存在重大缺陷的风险=控制无效的风险无效导致重大缺陷的风险量体裁衣、因地制宜审计是风险导向审计的自然引申43风险导向审计风险评估的导向作用确定重要账户确定相关认定确定控制测试的性质、时间安排和范围确定利用他人工作的程度集团测试范围的确定44“自上而下”的工作思路识别、了解和评价企业整体层面控制的设计有效性从财务报表层次识别重大账户识别与每个重大账户相关的认定识别重要的业务流程和主要的交易类别识别流程中错报可能发生的环节识别和测试预防或及时发现错报发生的控制(业务流程、交易和应用控制层面的控制)45识别、了解和评价企业整体层面控制的设计有效性从财务报表层次识别重大账户识别相关认定识别重要的业务流程和主要的交易类别识别流程中错报可能发生的环节识别和测试预防或及时发现错报发生的控制(业务流程层面的控制)选择拟测试的控制46为什么“自上而下”好处:提高审计效率和效果充分利用企业层面的控制的作用,确定合理的测试范围和策略将一些不重要的账户、披露和认定予以剔除,所谓“不重要”是指包含能够引起财务报表产生重大错报的错报的可能性很小。
防止注册会计师花费不必要的时间和精力了解不重要的业务流程或控制所谓“不重要”是指不影响财务报表是否发生重大错报的可能性将审计资源引向高风险领域注:自上而下的方法不仅用于识别重要账户、列报及其相关认定 和拟测试的控制,还用于评估风险以及分配审计资源47企业整体层面的控制企业整体层面控制包括:与控制环境相关的控制;针对管理层凌驾于控制之上的风险而设计的控制。