第7章 内部控制,7.1概述 7.2内部控制的内容与形式 7.3内部控制的重要性与局限性 7.4内部控制的了解 7.5内部控制的测试 7.6内部控制的评价 7.7内部控制的审计,7.1概述,7.1.1内部控制的历史演进 7.1.2内部控制的整体框架 7.1.3内部控制的概念,内部控制 的历史演进,内部控制 的整体框架,2008年5月,财政部会同证监会、审计署、银监会、保监会印发了《企业内部控制基本规范》,自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行 2010年4月15日,财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》和《企业内部控制审计指引》(简称企业内部控制配套指引),自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行;在此基础上,择机在中小板和创业板上市公司施行我国 内部控制 发展现状,企业内部控制应用指引: ——内部环境类指引:组织架构、发展战略、人力资源、社会责任、企业文化 ——控制活动类指引:资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告 ——控制手段类指引:全面预算、合同管理、内部信息传递、信息系统,内部控制是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。
内控五要素:控制环境、风险评估过程、控制活动、信息系统与沟通和对控制的监督 建立健全内部控制是被审计单位管理层的责任(会计责任)内部控制 的概念,7.2 内部控制的内容与形式,7.2.1内部控制的主要内容 7.2.2内部控制的基本形式(分类) 7.2.3与审计相关的内部控制,组织架构 岗位责任 业务流程 处理手续 业务记录 检查标准 人员素质 社会责任 企业文化 内部审计,内部控制 主要内容,内部控制 基本形式 (分类),审计人员应当重点关注并考虑被审计单位为实现财务报告可靠性目标设计和实施的内部控制,即与审计相关的内部控制,也称为与财务报告相关的内部控制 我国与审计相关的内部控制应用指引主要包括: 控制活动类应用指引 控制手段类应用指引,与审计相关 的内部控制,7.3 内部控制的重要性与局限性,7.3.1内部控制的重要性 7.3.2内部控制的局限性,内部控制 的重要性,内部控制的设计和运行受制于成本与效益原则 内部控制一般仅针对常规业务活动而设计,具有相对稳定性 内部控制即便设计完善,也可能因执行人员的粗心大意、精力分散、判断失误以及对指令的误解而失效 内部控制可能因有关人员相互勾结、内外串通而失效。
内部控制可能因执行人员滥用职权或屈从于外部压力而失效 内部控制可能因经营环境、业务性质的改变而削弱或失效内 部 控 制 的 局 限 性,7.4 对内部控制的了解,7.4.1利用以往的审计经验,初步了解内部控制 7.4.2实施一定的审计程序,深入了解内部控制 7.4.3研究内部控制要素,充分了解内部控制 7.4.4分别整体与业务流程,多层次了解内部控制 7.4.5在了解内部控制的基础上,对内部控制描述,影响因素主要包括: 1、对被审计单位所属行业的了解; 2、以往审计取得的对被审计单位情况的了解; 3、被审计单位经营和会计制度的复杂性; 4、对重要性的初步评估等利用以往的审计经验,初步了解内部控制,评价控制设计和执行在防止或发现并纠正重大错报方面的有效性 具体风险评估程序: 1、询问被审计单位的人员; 2、观察特定控制的运用 ; 3、检查内部控制生成的文件和报告等; 4、追踪交易在财务报告信息系统中的处理过程 ——执行穿行测试,实施一定的审计程序,深入了解内部控制,了解控制环境 了解风险评估过程 了解信息系统与沟通 了解控制活动 了解对控制的监督,研究内部控制要素,充分了解内部控制,了解控制环境 指被审计单位对内部控制及其重要性的态度、认识和措施。
影响因素包括: 1、对诚信和道德价值观念的沟通和落实; 2、对胜任能力的重视; 3、治理层的参与程度; 4、管理层的理念和经营风格; 5、组织结构及职权与责任的分配; 6、人力资源政策与实务了解风险评估过程 被审计单位风险评估过程包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施 在评价被审计单位的风险评估过程时,审计人员应确定管理层: 1、如何识别与财务报告相关的经营风险; 2、如何估计该风险的重要性; 3、如何评估风险发生的可能性; 4、如何采取措施管理这些风险 审计人员还应询问管理层已识别出的经营风险,并考虑这些风险是否可能导致重大错报 审计时还应考虑管理层未能识别的重大错报风险了解信息系统与沟通——与财务报告相关的 与财务报告相关的信息系统,指被审计单位用于确认、计量、记录和报告其交易和事项的财务信息系统具体了解: 1、被审计单位交易和事项的主要类别; 2、各类主要交易和事项的发生过程; 3、重要的会计凭证、账簿记录以及财务报表项目; 4、重大交易和事项的会计处理过程了解信息系统与沟通——与财务报告相关的 在了解信息系统时,审计人员应当特别关注由于管理层凌驾于账户记录控制之上,或规避控制行为而产生的重大错报风险,并考虑被审计单位如何纠正不正确的交易处理。
关于沟通,审计人员应当了解: (1)被审计单位内部如何对财务报告的岗位职责以及重大事项进行沟通; (2)管理层与治理层之间的沟通; (3)被审计单位与外部的沟通等了解控制活动 控制活动是指有助于确保管理层的指令得以执行的政策和程序重点了解: 1、交易授权 2、职责划分 3、凭证与记录控制 4、资产接触与记录使用 5、独立稽核 控制程序是否合理有效,直接影响到会计资料的真实性和可靠性了解对控制的监督 对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程,该过程包括及时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施 通常贯穿于被审计单位的日常经营活动与常规管理工作中 ——利用内部审计人员等进行监督; ——利用与外部有关各方沟通或交流所获取的信息监督在整体层面了解内部控制 一般由项目组中对被审计单位情况比较了解且有执业经验的成员负责 认定报表层次的重大错报风险很可能源于薄弱的控制环境,在了解被审计单位及其环境时,对其整体层面内部控制状况的了解非常重要 被审计单位整体层面的内部控制是否有效,将直接影响业务流程层面的内部控制的有效性,进而影响审计人员拟进一步实施审计程序的性质、时间和范围。
多层面 了解 内部控制,在业务层面了解内部控制 (1)确定重要的业务流程和交易类别; (2)了解重要的交易流程,并加以记录; (3)确定可能发生错报的环节; (4)识别、了解和记录相关控制; (5)证实对重要交易流程和相关控制的了解; (6)进行初步评价和风险评估 在对控制进行初步评价及风险评估后,审计人员需要利用对内控了解所获得的信息,判断控制的设计是否合理、控制是否得到执行及是否更多地信赖控制并实施控制测试多层面 了解 内部控制,文字叙述法 参教材P128表7-1 问卷调查法 参教材P129表7-2 流程图法 参教材P132图7-2,对内部控制 的描述,7.5 内部控制的测试,7.5.1 控制测试的含义和要求 7.5.2 控制测试的性质 7.5.3 控制测试的时间 7.5.4 控制测试的范围,控制测试的含义 是指为了评价关于控制防止或发现并纠正认定层次重大错报的有效性而实施的测试控制测试的目的是评价控制是否有效运行 审计人员应当选择为相关认定提供证据的控制进行测试 区别于“对内部控制的了解”和实质性程序控制测试的基本要求——两种情形 情形1:只有认为控制设计合理、能够防止或发现并纠正认定层次的重大错报,审计人员才有必要对控制运行的有效性实施测试。
情形2:如果认为仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受的水平,审计人员应当实施相关的控制测试,以获取控制运行有效性的证据 应就控制在相关期间或时点的运行有效性获取充分、适当的审计证据是指控制测试所使用的审计程序的类型及其组合 控制测试采用的审计程序类型: 询问 观察 检查 穿行测试 重新执行,控制测试 的性质,是指何时实施控制测试以及测试所针对的控制适用的时点和期间 根据控制测试目的确定控制测试时间: 如果只需要测试控制在特定时点的运行的有效性(如对被审计单位期末库存盘点进行控制测试),审计人员只需要获取该时点的审计证据; 如果需获取控制在某一期间有效运行的审计证据,审计人员应辅以其他控制测试(包括测试被审计单位对控制的监督),其他控制测试应当能够提供相关控制在所有相关时点都运行有效的审计证据控制测试 的时间,是指某项控制活动的测试次数 考虑下列因素: 在整个拟信赖的期间,被审计单位执行控制的频率 在所审计期间,审计人员拟信赖控制运行有效性的时间长度 所需获取审计证据的相关性和可靠性 通过测试与认定相关的其他控制获取的审计证据的范围 在风险评估时拟信赖控制运行有效性的程度 控制的预期偏差,控制测试 的范围,7.6.1 什么是内部控制评价? 7.6.2 内部控制评价的方法 7.6.3 如何评价内部控制的有效性? 7.6.4 内部控制审计的基本问题 7.6.5 内部控制缺陷 7.6.6 内部控制审计报告,7.6 内部控制评价与审计,,,,,3,2,1,内部控制评价,评价内容:对内部控制设计有效性和运行有效性的评价。
是什么?是指由企业董事会和管理层实施的,对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程按照目的分类:年度评价和专项评价什么是内部控制评价?,内部控制评价的方法,如何评价内部控制的有效性?,,是指审计机构接受委托,对特定基准日内部控制设计与运行的有效性进行审计 对特定基准日的内部控制进行审计; 对财务报告内部控制发表审计意见,对相关审计过程中注意到的非财务报告内部控制重大缺陷,应增加描述段予以说明; 对企业内部控制设计与运行的有效性进行审计,而不是对内部控制自评报告进行审计 可单独进行内部控制审计,也可将内部控制审计与财务报表审计整合进行,内部控制审计的基本问题,内部控制 审计程序,内部控制缺陷,表明内部控制可能存在重大缺陷的迹象: (1)审计发现董事、监事和高级管理人员舞弊; (2)企业更正已经发布的财务报表; (3)审计发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报; (4)企业审计委员会和内部审计机构对内部控制的监督无效内部控制审计报告的类型,截至2012年4月3日,事务所共为173家上市公司出具了内部控制审计报告,其中,标准内部控制审计报告171份,带强调事项段的无保留意见内部控制审计报告1份,否定意见的内部控制审计报告1份。
大华会计师事务所对华孚色纺股份有限公司2011年度内部控制出具了带强调事项段的无保留意见审计报告 强调事项 我们提醒内部控制审计报告使用者关注,华孚色纺股份有限公司母公司及重要子公司截止2011年12月31日尚未建立风险管理制度和无形资产管理制度截至审计报告日,华孚色纺股份有限公司母公司及重要子公司已经对上述缺陷进行了整改,分别制定了《风险管理程序》和《无形资产管理作业指导书》,规范了相应的业务操作流程 本段内容不影响已对财务报告内部控制发表的审计意见2011 年 新华 制药 内部 控制 否定 意见 审计 报告,注册会计师对在审计过程中注意到的非财务报告内部控制缺陷,应当区别具体情况予以处理: (1)注册会计师认为非财务报告内部控制缺陷为一般缺陷的,应当与企业进行沟通,提醒企业加以改进,但无需在内部控制审计报告中说明 (2)注册会计师认为非财务报告内部控制缺陷为重要缺陷的,应当以书面形式与企业董事会和经理层沟通,提醒。