《内部控制审计》由会员分享,可在线阅读,更多相关《内部控制审计(104页珍藏版)》请在金锄头文库上搜索。
1、2012年年7月月 北京国家会计学院北京国家会计学院企业内部控制审计企业内部控制审计基于审计师与管理层交流的视角基于审计师与管理层交流的视角Page 2主讲人简介主讲人简介李杰李杰 管理学博士(金融工程研究方向)管理学博士(金融工程研究方向)n信永中和会计师事务所合伙人信永中和会计师事务所合伙人n注册会计师、资产评估师、税务师注册会计师、资产评估师、税务师n中国注册会计师行业领军人才中国注册会计师行业领军人才n天津市注册会计师协会培训委员会委员、期刊编辑委员会委员天津市注册会计师协会培训委员会委员、期刊编辑委员会委员n中国会计学会成本分会理事中国会计学会成本分会理事n在核心期刊发表研究论文多篇
2、,出版专著及译著数部在核心期刊发表研究论文多篇,出版专著及译著数部Page 3123课程目标缺陷评价与报告审计计划与实施审计依据与思路沟通沟通Page 4目录目录序号序号内容内容一内部控制审计的依据二内控审计、财报审计与整合审计三风险导向与自上而下的审计方法四完成审计工作&出具审计报告附录 内部内部控制审计的依据控制审计的依据 问题:问题:u内控审计的依据标准是什么?内控审计的依据标准是什么?u内部控制审计与企业内部控制建立之内部控制审计与企业内部控制建立之间的关系?间的关系?Page 62011国内内控审计情况国内内控审计情况截至截至2012年年4月月30日,共有日,共有230家上市公司披露
3、了内部控制审计报告。家上市公司披露了内部控制审计报告。报告类型报告类型数量数量(标准)无保留意见内控审计报告225份带强调事项段的无保留意见内控审计报告4份否定意见内控审计报告1份全国有全国有38家证劵资格会计师事务所从事了家证劵资格会计师事务所从事了230家上市公司内部控制审计业务。家上市公司内部控制审计业务。Page 7中国的内控发展:主要规范中国的内控发展:主要规范证监会证券公司内部控制指引2001-1中国人民银行商业银行内部控制指引2002-9财政部7项内部会计控制规范(试行) 200104中注协企业内部控制审核指导意见2002-2银监会商业银行内部控制评价试行办法2004-8上交所上
4、交所上市公司内部控制指引2006-5深交所深交所上市公司内部控制指引2006-9 国资委中央企业全面风险管理指引2006-6五部委企业内部控制基本规范 2008-5-22五部委企业内部控制配套指引2010-4-26Page 8企企业的重大决策、重大事的重大决策、重大事项、重要人、重要人事任免及大事任免及大额资金支付金支付业务等,等,应当当按照按照规定的定的权限和程序限和程序实行集体决策行集体决策审批或者批或者联签制度制度企企业梳理治理梳理治理结构,构,应当重点关注当重点关注董事、董事、监事、事、经理及其他高理及其他高级管理管理人人员的任的任职资格和履格和履职情况,以及情况,以及董事会、董事会、
5、监事会和事会和经理理层的运行效的运行效果果v企企业梳理内部机构梳理内部机构设置,置,应当重点当重点关注内部机构关注内部机构设置的合理性和运行的高置的合理性和运行的高效性等。内部机构效性等。内部机构设置和运行中存在置和运行中存在职能交叉、缺失或运行效率低下的,能交叉、缺失或运行效率低下的,应当当及及时解决解决企企业应当确定具体当确定具体岗位的名称、位的名称、职责和工作要求等,明确各个和工作要求等,明确各个岗位的位的权限和相互关系限和相互关系企企业拥有子公司的,有子公司的,应当建立科学的当建立科学的投投资管控制度重点关注管控制度重点关注发展展战略、年略、年度度财务预决算、重大投融决算、重大投融资、
6、重大担、重大担保、大保、大额资金使用、主要金使用、主要资产处置、置、重要人事任免、内部控制体系建重要人事任免、内部控制体系建设企企业应当定期当定期对组织架构架构设计与与运行的效率和效果运行的效率和效果进行全面行全面评估估 基本基本规范:范:处于最高于最高层次,起次,起统驭作用,作用,描绘了企业建立与实施内控体系必须建立的框架结构,规定了内部描绘了企业建立与实施内控体系必须建立的框架结构,规定了内部控制的定义、目标、原则、要素,是制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据控制的定义、目标、原则、要素,是制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据应用指引:用指引
7、:处于主体地位,于主体地位,为企企业建立健全内部控制体系提供的指引建立健全内部控制体系提供的指引评价指引:价指引:为企企业管理管理层对本企本企业内部控制有效性内部控制有效性进行自我行自我评价提供的指引价提供的指引审计指引:指引:为注册会注册会计师执行内部控制行内部控制审计业务提供提供执业准准则企业内部控制基本规范企业内部控制基本规范企业内部控制应用指引企业内部控制应用指引控制活动类控制活动类 1 资金活动资金活动 2 采购业务采购业务 3资产管理资产管理 4销售业务销售业务 5研究与开发研究与开发 6工程项目工程项目 7担保业务担保业务 8业务外包业务外包 9财务报告财务报告内部环境类内部环境
8、类1组织架构组织架构2发展战略发展战略3人力资源人力资源4社会责任社会责任5企业文化企业文化控制手段类控制手段类1全面预算全面预算2合同管理合同管理3内部信息传递内部信息传递4信息系统信息系统企企业业内内部部控控制制评评价价指指引引企企业业内内部部控控制制审审计计指指引引企业内部控制体系企业内部控制体系Page 9没有通用的内部控制没有通用的内部控制n内部内部控制控制的各个要素的各个要素在每个企业中的实施方式取决于:在每个企业中的实施方式取决于: n企业规模企业规模n业务复杂性业务复杂性n财务信息处理方法财务信息处理方法n适用的法律法规适用的法律法规n小型企业业务流程总体上相对简单,相应的控制
9、也趋于简单、非正式小型企业业务流程总体上相对简单,相应的控制也趋于简单、非正式化化n文档记录形式可能多种多样,内容不尽相同,包括:政策制度手册、流文档记录形式可能多种多样,内容不尽相同,包括:政策制度手册、流程模型、流程图、岗位职责描述及其他文件。程模型、流程图、岗位职责描述及其他文件。 n文档记录没有统一标准,而其详细程度则取决于企业规模、经营性质、文档记录没有统一标准,而其详细程度则取决于企业规模、经营性质、及业务复杂性。及业务复杂性。Page 10被审计单位与审计师的责任划分被审计单位与审计师的责任划分内部控制内部控制被审计单位内控责任被审计单位内控责任CPA内控审计责任内控审计责任建立
10、健全和有效实施内部控制评价内部控制有效性是企业董事会(或类似决策机构)的责任按照审计指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见内部控制自我评价报告内部控制自我评价报告内部控制审计报告内部控制审计报告财务报告内部控制财务报告内部控制审计并不能减轻企审计并不能减轻企业管理层的责任业管理层的责任Page 11适用范围适用范围n2010年年4月月26日,财政部发布日,财政部发布企业内部控制审计指引企业内部控制审计指引等配套指引,等配套指引,自自2011年年1月月1日起首先在境内外同时上市的公司施行,自日起首先在境内外同时上市的公司施行,自2012年年1月月1日起扩大到在上海证券交
11、易所、深圳证券交易所主板上市的公司日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。鼓励非上市大中型企业提前执行。n执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请具有证券期货业务资自我评价,披露年度自我评价报告,同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具格的会计师事务所对其财务报告内部控制的
12、有效性进行审计,出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷,应当提示投资者、债权人和其他利益相报告内部控制的重大缺陷,应当提示投资者、债权人和其他利益相关者关注。关者关注。Page 12内控审计遵循的政策制度内控审计遵循的政策制度企业内部控制基本规范企业内部控制基本规范企业内部控制基本规范企业内部控制基本规范企业内部控制配套指引企业内部控制配套指引企业内部控制配套指引企业内部控制配套指引财政部等五部委财政部等五部委财政部等五部委财政部等五部委其他相关其他相关其他相关其他相关法律法规法律法规法律法
13、规法律法规CPACPACPACPA鉴证业务基本准则鉴证业务基本准则鉴证业务基本准则鉴证业务基本准则相关执相关执相关执相关执业业业业准则准则准则准则(如:(如:(如:(如:1411141114111411考虑内部审计工作考虑内部审计工作考虑内部审计工作考虑内部审计工作& & & &1131113111311131审计工作底稿审计工作底稿审计工作底稿审计工作底稿)财政部财政部财政部财政部CPAPage 13概念明晰概念明晰内控审计的业务性质内控审计的业务性质审计审计/ /审阅审阅/ /审核?审核?内部控制审计是内部控制审计是CPACPA针对被审计单位内部控针对被审计单位内部控制实施合理保证(高水平
14、保证)的鉴证业制实施合理保证(高水平保证)的鉴证业务务直接报告业务直接报告业务/ /基于认定的业务?基于认定的业务?内部控制审计内部控制审计 是是CPACPA直接对被审计单位内部控制的有直接对被审计单位内部控制的有效性发表意见,是直接报告业务。效性发表意见,是直接报告业务。“企业的内部控制企业的内部控制是否按照是否按照企业内部控制基本规范企业内部控制基本规范和相关规定在所和相关规定在所有重大方面保持了有效的财务报告内部控制有重大方面保持了有效的财务报告内部控制”财报审计财报审计 是基于责任方(被审计单位管理层)认定是基于责任方(被审计单位管理层)认定的业务。(是对财务报告发表审计意见)的业务。
15、(是对财务报告发表审计意见)Page 14概念明晰概念明晰内控审计的业务对象内控审计的业务对象时点时点/ /时期?时期?内部控制审计内部控制审计企业内部控制审计基于特定基准日。企业内部控制审计基于特定基准日。注册会计师基于基准日(如年末注册会计师基于基准日(如年末12月月31日)内部控制的有效性发表意见,而日)内部控制的有效性发表意见,而不是对财务报表涵盖的整个期间(如一年)的内部控制的有效性发表意见。不是对财务报表涵盖的整个期间(如一年)的内部控制的有效性发表意见。但这并不意味着注册会计师只关注企业基准日当天的内部控制,而是要考察但这并不意味着注册会计师只关注企业基准日当天的内部控制,而是要
16、考察企业一个时期内(足够长的一段时间)内部控制的设计和运行情况。企业一个时期内(足够长的一段时间)内部控制的设计和运行情况。实务:实务:业内一般要求内部控制的有效运行期至少为业内一般要求内部控制的有效运行期至少为3个月,即:前期或期中测试发个月,即:前期或期中测试发现的问题,需现的问题,需在在9月底之前整改完毕月底之前整改完毕。注册会计师再对整改后的内部控制进注册会计师再对整改后的内部控制进行测试行测试,才能,才能对企业对企业12月月31日(基准日)内部控制的设计和运行发表日(基准日)内部控制的设计和运行发表 意见意见Page 15概念明晰概念明晰内控审计的业务对象内控审计的业务对象财务报告内
17、部控制财务报告内部控制 or 非财务报告内部控制非财务报告内部控制 ?注册会计师注册会计师应当对财务报告内部控制的有效性发表审计意见应当对财务报告内部控制的有效性发表审计意见,并,并对内部控制审计对内部控制审计过程中过程中注意到的注意到的非财务报告内部控制的重大缺陷非财务报告内部控制的重大缺陷,在内部控制审计报告中增加,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段非财务报告内部控制重大缺陷描述段”予以披露予以披露财务报告内部控制的有财务报告内部控制的有效性效性内部控制审计过程中内部控制审计过程中注意到注意到的的非非财务报告内部控制财务报告内部控制的的重大缺陷重大缺陷Page 16
18、概念明晰概念明晰内控审计的业务对象内控审计的业务对象财务财务报告内部控制报告内部控制政策和程序政策和程序(1)保存充分、适当的记录,准确、公允地反映企业的交易和事项;(2)合理保证按照企业会计准则的规定编制财务报表;(3)合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权;(4)合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项合理保证财务报告及相关合理保证财务报告及相关信息真实完整信息真实完整保护资产安全的内部控制保护资产安全的内部控制中与财务报告可靠性目标中与财务报告可靠性目标相关的控制相关的控制非财务报告内部控制非财务报告内部控制是指除财务报告内部控制之
19、外的其他控制是指除财务报告内部控制之外的其他控制为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制,以及为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制,以及用于保护资产安全的内部用于保护资产安全的内部 控制中与财务报告可靠性目标无关的控制控制中与财务报告可靠性目标无关的控制Page 17概念明晰概念明晰内控审计的业务对象(举例)内控审计的业务对象(举例)n某大型企业集团某大型企业集团2009版内控手册共计版内控手册共计1272个控制点,分类如下:个控制点,分类如下:控制点控制点合计合计管理相关控制点管理相关控制点与财务报告相与财务报告相关控制点关
20、控制点ERPERP控制点控制点数量数量12721272843843429429161161 内控审计、财报审计与整合审计内控审计、财报审计与整合审计 问题:问题:u内控审计与大家熟悉的财报审计有什内控审计与大家熟悉的财报审计有什么差别?么差别?u什么是整合审计?什么是整合审计?u整合审计有什么优点?整合审计有什么优点?Page 19整合审计的概念与目标整合审计的概念与目标整合审计整合审计注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(整合审计)获取充分、适当的证据,支持其在内部控制审计中对内部控制的有效性发表的意见整合审计整合审计目标目标获取充分、适当的证据,支
21、持其在财务报表审计中对内部控制的风险评估结果整合基础整合基础 内部控制内部控制Page 20整合审计的吸引力整合审计的吸引力提高审计效率提高审计效率降低成本降低成本使客户使客户尽早获知尽早获知可可能存在的能存在的缺陷缺陷及早着手进行整改及早着手进行整改整合整合审计财报审计财报审计利用内控审计的结果利用内控审计的结果u修改实质性程序的性质、修改实质性程序的性质、时间安排和范围时间安排和范围u支持分析程序中适用的信支持分析程序中适用的信息的完整性和准确性息的完整性和准确性内控审计内控审计考虑财报审计中发现的问题考虑财报审计中发现的问题u重点考虑财报审计中发现重点考虑财报审计中发现的错报对内控有效性
22、评价的的错报对内控有效性评价的影响影响Page 21财务报表审计与内部控制审计的比较1/3比较项目比较项目内部控制审计内部控制审计财务报表审计财务报表审计审计目的对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露对财务报表是否符合企业会计准则,是否公允反映被审计单位的财务状况和经营成果发表意见了解和测试内部控制的目的直接目的:对内部控制设计和运行有效性发表审计意见了解内控是为了评估重大错报风险测试内控是为了进一步证明了解内控时得出的初步结论,了解和测试内控的最终目的是服务于对财
23、报发表审计意见Page 22财务报表审计与内部控制审计的比较2/3比较项目比较项目内部控制审计内部控制审计财务报表审计财务报表审计测试范围对所有重要账户、各类交易和列报的相关认定,都要了解和测试相关的内控只在以下两种情况下强制要求内控测试1)在评估认定层次重大错报风险时,预期控制运行有效。即:在确定实质性程序的性质、时间安排和范围时,CPA拟信赖控制运行的有效性,或,(2)仅实施实质性程序不能提供认定层次充分、适当的审计证据其他情况下,CPA可以不测试内部控制测试时间对特定基准日内控有效性发表意见。不一定要测试整个会计期间,但要测试足够长的时间一旦确定需要测试,则需要测试内控在整个审计期间运行
24、有效性Page 23财务报表审计与内部控制审计的比较3/3比较项目比较项目内部控制审计内部控制审计财务报表审计财务报表审计测试样本量对结论可靠性的要求高,测试的样本量大对结论可靠性的要求取决于计划从内部控制中得到保证的程度(或,减少实质性程序工作量的程度)结果报告(1)对外披露(2)以正面、积极的方式对内控有效性发表意见(1)通常不对外披露内控情况,除非是内控影响到对财报发表审计意见(2)以管理建议书的方式向管理层或治理层报告财报审计中发现的内控重大缺陷,但CPA没有义务专门实施审计程序,以发现和报告内控重大缺陷Page 24财务报表审计与整合审计的关系财务报表审计与整合审计的关系Page 2
25、5重要性水平相同重要性水平相同重要组成部分的认定相同重要组成部分的认定相同财务财务财务财务报表报表报表报表审计计划与审计计划与审计计划与审计计划与整合整合整合整合审计计划的比较审计计划的比较审计计划的比较审计计划的比较财报审计计划阶段所识别的风险对财报的影响财报审计计划阶段所识别的风险对财报的影响重大账户、重大列报和相关认定重大账户、重大列报和相关认定重大业务流程重大业务流程业务流程中的内部控制业务流程中的内部控制考虑所识别的风险对内部控制的影响考虑所识别的风险对内部控制的影响识别高风险控制领域识别高风险控制领域确定内控审计的关注领域确定内控审计的关注领域Page 26总体要求总体要求n“整合
26、审计整合审计”要求注册会计师在实施审计时将对财务报表的审计及对要求注册会计师在实施审计时将对财务报表的审计及对财务报表内部控制的审计结合起来,从整体角度考虑。财务报表内部控制的审计结合起来,从整体角度考虑。n财务报告内部控制审计和财务报表审计的目标不同,会计师应当计划财务报告内部控制审计和财务报表审计的目标不同,会计师应当计划和执行测试工作,以同时实现二者的目标:和执行测试工作,以同时实现二者的目标:n支持会计师在与财务报告内部控制相关的审计中对财务报告内部控制的有支持会计师在与财务报告内部控制相关的审计中对财务报告内部控制的有效性发表的意见;效性发表的意见;n注册会计师在实施报表审计时,是要
27、以对内部控制的风险评估结果作为选注册会计师在实施报表审计时,是要以对内部控制的风险评估结果作为选择实质性测试方式的依据之一;择实质性测试方式的依据之一;n报表审计的结果又会影响到财务报表内部控制审计的结果。报表审计的结果又会影响到财务报表内部控制审计的结果。n因此注册会计师需要在审计计划、审计方案及审计方法制定及实施各因此注册会计师需要在审计计划、审计方案及审计方法制定及实施各个阶段将两个审计工作紧密结合起来。个阶段将两个审计工作紧密结合起来。整合审计整合审计的进一步理解的进一步理解Page 27内部控制审计中对控制有效性的内部控制审计中对控制有效性的测试测试n应应获得充分的证据支持财务报表涵
28、盖期间内部控制有效运行的结论,获得充分的证据支持财务报表涵盖期间内部控制有效运行的结论,这说明虽然注册会计师出具的审计报表是关于审计基准日的,但是审这说明虽然注册会计师出具的审计报表是关于审计基准日的,但是审计证据应涵盖财务报表期间计证据应涵盖财务报表期间。n在内部控制审计中所需测试的控制,是针对财务报表相关认定所涉及在内部控制审计中所需测试的控制,是针对财务报表相关认定所涉及的控制。这一范围与仅对财务报表发表审计意见时,注册会计师需要的控制。这一范围与仅对财务报表发表审计意见时,注册会计师需要测试的控制不同测试的控制不同。n注册会计师在实施财务报表审计时应对某项财务报表认定相关控制的注册会计
29、师在实施财务报表审计时应对某项财务报表认定相关控制的风险程度进行评估,并根据评估结果判断所需测试的控制范围及需得风险程度进行评估,并根据评估结果判断所需测试的控制范围及需得到控制有效运行证据的期间。到控制有效运行证据的期间。n在实施内部控制审计及财务报表审计过程中,注册会计师在对内部控在实施内部控制审计及财务报表审计过程中,注册会计师在对内部控制有效性形成结论及评估控制风险时,应当同时考虑另一审计工作中制有效性形成结论及评估控制风险时,应当同时考虑另一审计工作中实施的、所有针对控制设计和运行有效性测试的结果。实施的、所有针对控制设计和运行有效性测试的结果。整合审计整合审计的进一步理解的进一步理
30、解Page 28财务报表审计中对控制有效性的测试财务报表审计中对控制有效性的测试n在财务报表审计中,如果将某项财务报表认定的控制风险评估为低于在财务报表审计中,如果将某项财务报表认定的控制风险评估为低于最高水平,注册会计师需要获取拟信赖的相关控制在整个期间有效运最高水平,注册会计师需要获取拟信赖的相关控制在整个期间有效运行的证据行的证据。n注册会计师不必将所有相关认定的控制风险评估为低于最高水平,因注册会计师不必将所有相关认定的控制风险评估为低于最高水平,因此,可能不对所有控制的运行有效性进行测试注册会计师可以采取此,可能不对所有控制的运行有效性进行测试注册会计师可以采取实质性测试的方式实质性
31、测试的方式。n在财务报表审计中,注册会计师在评估控制风险时,应当同时考虑内在财务报表审计中,注册会计师在评估控制风险时,应当同时考虑内部控制审计中实施的、所有针对控制设计和运行有效性测试的结果。部控制审计中实施的、所有针对控制设计和运行有效性测试的结果。整合审计整合审计的进一步理解的进一步理解Page 29关于实质性程序的要求关于实质性程序的要求n在内部控制审计中识别出的控制缺陷,说明其对应的重大交易及账户中存在错报漏报的可在内部控制审计中识别出的控制缺陷,说明其对应的重大交易及账户中存在错报漏报的可能,因此注册会计师应当评价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时能,因此注册会计
32、师应当评价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时间和范围的影响。间和范围的影响。n注册注册会计师在财务报表审计过程中必须对所有重大的各类交易、账户余额及列报实施实质会计师在财务报表审计过程中必须对所有重大的各类交易、账户余额及列报实施实质性程序性程序。n指引第二十条列示了四种情况,即注册会计师在财务报表审计实质性程序中根据发现的问题评估对内部指引第二十条列示了四种情况,即注册会计师在财务报表审计实质性程序中根据发现的问题评估对内部控制审计的影响。控制审计的影响。1.注册会计师作出的、与选择和实施实质性程序相关的风险评估,尤其是与舞弊相关的风险评估注册会计师作出的、与选择和实施实质
33、性程序相关的风险评估,尤其是与舞弊相关的风险评估2.发现的违反法规行为和关联方交易方面的问题;发现的违反法规行为和关联方交易方面的问题;3.表明管理层在选择会计政策和作出会计估计时存在偏见的情况;表明管理层在选择会计政策和作出会计估计时存在偏见的情况;4.实施实质性程序发现的错报。实施实质性程序发现的错报。n内部控制审计中的控制有效性测试与财务报表审计中的实质性程序不能相互替代。内部控制审计中的控制有效性测试与财务报表审计中的实质性程序不能相互替代。n注册会计师应当通过直接测试控制获取控制是否有效的证据,而不能根据实质性程序没有发现错报,推注册会计师应当通过直接测试控制获取控制是否有效的证据,
34、而不能根据实质性程序没有发现错报,推断该项控制的有效性。断该项控制的有效性。整合审计整合审计的进一步理解的进一步理解 风险导向审计风险导向审计 & 自上而下的审计方法自上而下的审计方法 Page 31签订审计业务约定书签订审计业务约定书建立审计项目组建立审计项目组计划审计工作所需评价的事项计划审计工作所需评价的事项针对舞弊风险的评估针对舞弊风险的评估设定重要性水平和多组成部分的审计策略设定重要性水平和多组成部分的审计策略计划审计工作计划审计工作识别重大账户、列报和相关认定识别重大账户、列报和相关认定识别重大业务流程识别重大业务流程识别与重大业务流程相关的信息系统识别与重大业务流程相关的信息系统
35、利用他人的工作利用他人的工作审计计划审计计划Page 32计划审计工作计划审计工作审计业务约定书审计业务约定书被审计单位应当认可并理解的责任包括:被审计单位应当认可并理解的责任包括:按照适用的内部控制标准,设计、执行和维护有效的内部控制,以使财务报表不存在由于舞弊或错误导致的重大错报。按照适用的内控评价标准,对内控进行评价并编制内控评价报对内控进行评价并编制内控评价报告。告。向注册会计师提供必要的工作条件,包括允许注册会计师接触与内控的设计、执行和维护相关的所有信息所有信息,允许注册会计师在获取审计证据时不受限制的接触其认为必要的人员必要的人员。CPA与企业做好充分的沟通。与企业做好充分的沟通
36、。Page 33计划审计工作计划审计工作审计项目组构成审计项目组构成注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。能力的项目组,并对助理人员进行适当的督导。具有性质和复杂程度类似的内部控制审计经验了解企业内部控制相关规范和指引要求了解内控审计指引、指引实施意见和中国注册会计师执业准则的相关要求拥有与企业所处行业相关的知识具有职业判断能力Page 34 风险评估风险评估 相关的法律法规和行业概况相关的法律法规和行业概况内部控制最近发生变化的程度内部控制最近发生变化的程度与企业沟通过的内
37、控缺陷与企业沟通过的内控缺陷确定内部控制重大缺陷相关的因素(重要性水平、风险确定内部控制重大缺陷相关的因素(重要性水平、风险)对内部控制有效性的初步判断对内部控制有效性的初步判断可获取的、与内部控制有效性相关的证据的类型和范围可获取的、与内部控制有效性相关的证据的类型和范围计划审计计划审计工作工作所需评价事项所需评价事项组织结构、经营特征和资本结构组织结构、经营特征和资本结构u识别重大识别重大账户、重大账户、重大列报列报&相关相关认定认定u识别重大识别重大业务流程业务流程&相关信息系相关信息系统统Page 35计划审计工作计划审计工作设定重要性水平设定重要性水平 重要性水平:重要性水平: 可容
38、忍错报(实际执行的重要性):可容忍错报(实际执行的重要性): =集团财务报表整体的重要性集团财务报表整体的重要性50%70% 比率比率资产负债表资产负债表-资产总额资产总额0.5%-1%0.5%-1%资产负债表资产负债表-净资产净资产1%-5%1%-5%损益表损益表-收入收入0.5%-2%0.5%-2%损益表损益表-利润总额利润总额5%-10%5%-10%各个各个CPAs可能会有所差异可能会有所差异u在整合审计中,应使用相同的重要性水平在整合审计中,应使用相同的重要性水平 u中国注册会计师审计准则第中国注册会计师审计准则第1221号号重要性重要性Page 36识别重大账户识别重大账户定量标准定
39、量标准金额超过可容忍误差。金额超过可容忍误差。定性标准定性标准风险和其他因素(金额可能小于可容忍误差):风险和其他因素(金额可能小于可容忍误差): 如果一个重大账户对应了多个单独的业务流程,应考虑根据不同的如果一个重大账户对应了多个单独的业务流程,应考虑根据不同的风险将重大账户进行分解,分别确定个重大账户。风险将重大账户进行分解,分别确定个重大账户。由于错误或舞弊而丢失的可能性由于错误或舞弊而丢失的可能性关联交易关联交易 交易量交易量相对于上期特征的变化相对于上期特征的变化 复杂性复杂性涉及各种形式的激励薪酬的科目;涉及各种形式的激励薪酬的科目; 反映的交易或余额遭受损失的风险反映的交易或余额
40、遭受损失的风险由分析人员监控和报告的科目;由分析人员监控和报告的科目; 科目的性质,比如,备抵、坏账或科目的性质,比如,备抵、坏账或暂记帐户暂记帐户 该企业或在该行业中曾经发生过差该企业或在该行业中曾经发生过差错的会计科目;错的会计科目; 或有负债的可能性或有负债的可能性 包含管理层的估计的科目包含管理层的估计的科目 计划审计工作计划审计工作识别重大账户、列报和认定识别重大账户、列报和认定Page 37识别重大账户识别重大账户u非重大账户:非重大账户:金额达到或高于可容忍误差,但由于认为该账户只有有限的或没有重大金额达到或高于可容忍误差,但由于认为该账户只有有限的或没有重大错报风险,可以确定为
41、非重大账户。错报风险,可以确定为非重大账户。u小额账户小额账户u判断某账户或列报是否重要,应当依据其固有风险,而不应考虑相判断某账户或列报是否重要,应当依据其固有风险,而不应考虑相关控制的影响。关控制的影响。相关认定相关认定并非所有认定对重并非所有认定对重大账户而言都是相关的。大账户而言都是相关的。无需识别非重大账无需识别非重大账户和小额账户的相关认定。户和小额账户的相关认定。可选择组合认定可选择组合认定计划审计工作计划审计工作识别重大账户、列报和认定识别重大账户、列报和认定Page 38计划审计工作计划审计工作识别重大账户、列报和认定识别重大账户、列报和认定n如果某账户或列报可能存在一个错报
42、,该错报单独或连同其他错报将导致财务报表发生重大错报,则该账户或列报为重要账户或列报。判断某账户或列报是否重要,应当依据其固有风险,而不应考虑相关控制的影响。n如果某财务报表认定可能存在一个或多个错报,这些错报将导致财务报表发生重大错报,则该认定为相关认定。判断某认定是否为相关认定,应当依据其固有风险,而不应考虑相关控制的影响。财务报告应收账款销售流程采购流程资金管理预算管理应付账款业务收入财务错报风险重要会计科目资产管理信息管理关键业务流程信息处理目标和财务报表验证目标会计政策选择不当会计核算方法错误越权操作账实不符虚假合同或订单收入确认不当。完整性估价与分摊权利与义务表达与披露存在与发生P
43、age 39计划审计工作计划审计工作识别重大业务流程识别重大业务流程企业的业务流程包括生成、记录、处理和报告。重大业务流程企业的业务流程包括生成、记录、处理和报告。重大业务流程是指对某一重大账户和列报及其相关认定产生重大影响的业务是指对某一重大账户和列报及其相关认定产生重大影响的业务流程。流程。注册会计师需要识别影响每个重大账户和列报的、与认定相关注册会计师需要识别影响每个重大账户和列报的、与认定相关的重大业务流程,以及相关的信息系统。的重大业务流程,以及相关的信息系统。Page 40在评估会计科目的重要性时应考虑在评估会计科目的重要性时应考虑下列几个定性要素:下列几个定性要素:(1)账户的规
44、模和构成;)账户的规模和构成;(2)易于发生错报的程度;)易于发生错报的程度;(3)账户或列报中反映的交易的)账户或列报中反映的交易的业务量、复杂性及同质性;业务量、复杂性及同质性;(4)账户或列报的性质;)账户或列报的性质;(5)与账户或列报相关的会计处)与账户或列报相关的会计处理及报告的复杂程度;理及报告的复杂程度;(6)账户发生损失的风险;)账户发生损失的风险;(7)账户或列报中反映的活动引)账户或列报中反映的活动引起重大或有负债的可能性;起重大或有负债的可能性;(8)账户记录中是否涉及关联方)账户记录中是否涉及关联方交易;交易;(9)账户或列报的特征与前期相)账户或列报的特征与前期相比
45、发生的变化。比发生的变化。计划审计工作计划审计工作识别重大业务流程识别重大业务流程Page 41例如:识别应收账款以及坏账准备账户相关的重大业务流程例如:识别应收账款以及坏账准备账户相关的重大业务流程分析:分析:对企业的了解和以往的经验对企业的了解和以往的经验询问恰当的人员询问恰当的人员对账务记录的分析对账务记录的分析结论:结论: 此外,信息系统:ERP系统和OA系统在销售流程均有涉及重大业务流程重大业务流程子流程子流程销售流程客户资信管理发货及销售收入的确认应收账款的收回及管理计提坏账准备以及坏账核销.计划审计工作计划审计工作识别重大业务流程识别重大业务流程Page 42是否经营场所和单位是
46、否经营场所和单位本身本身就很就很重要重要? *评估文件记录以及测试在每个经营评估文件记录以及测试在每个经营场所和单位的重要控制场所和单位的重要控制特殊或重要风险特殊或重要风险?对于这些单位不需进一步的行动对于这些单位不需进一步的行动 经营场所和单位自身,或即使经营场所和单位自身,或即使与其它单位合并在一起也不重与其它单位合并在一起也不重要要?针对必要的个别经营场所或业务单针对必要的个别经营场所或业务单位的控制的测试位的控制的测试对这个合并组织的控制是否有对这个合并组织的控制是否有文件记录的公司层面控制文件记录的公司层面控制?对此合并组织的公司层面的控制进对此合并组织的公司层面的控制进行文件记录
47、评估和测试行文件记录评估和测试*评估文件记录并且测试对于特殊风评估文件记录并且测试对于特殊风险的控制险的控制不是不是计划审计工作计划审计工作-多组成部分的审计策略多组成部分的审计策略不是不是不是不是不是不是是是是是是是是是Page 43 类型类型特点特点全面范围CPA执行的程序、取得的审计证据与企业整体内控审计类似特定范围CPA针对该组成部分所采用的审计程序是根据集团整体层面考虑确定有限范围CPA通常实施以分析性复核为主的审计程序不纳入范围 CPA无需执行审计程序-参考参考计划审计工作计划审计工作-多组成部分的审计策略多组成部分的审计策略Page 44计划审计工作计划审计工作- 利用他人的工作
48、利用他人的工作注册会计师应当对企业内部控制自我评价工作进行评估,判断是否利用企业内部审计人员,内部控制评价人员和其他相关人员的工作以及可利用的程度,相应减少可能本应由注册会计师执行的工作。”相关要求:相关要求:对其专业胜任能专业胜任能力进行充分评价对其客观性客观性进行充分评价Page 45计划审计工作计划审计工作- 利用他人的工作利用他人的工作与控制相关的风险和利用他人工作范围的关系Page 46计划审计工作计划审计工作审计程序审计程序团队成员团队成员审计分工审计分工总体时间表总体时间表审计范围审计范围l与企业召开审计计划会议与企业召开审计计划会议l阅读企业相关财务、内控资料阅读企业相关财务、
49、内控资料l了解企业最新情况了解企业最新情况l借鉴以前年度审计经验借鉴以前年度审计经验CPA与企业的沟通与企业的沟通审计计划审计计划获取内部控制审计计划获取内部控制审计计划所需信息所需信息Page 47内部控制审计的方向?内部控制审计的方向?是从风险到控制?是从风险到控制?还是从控制到风险?还是从控制到风险?内控审计内控审计方向?方向?Page 48自上而下的方法自上而下的方法n在财务报告内控审计中,自上而下的方法在财务报告内控审计中,自上而下的方法始于财务报表层次始于财务报表层次,以注册,以注册会计师对会计师对财务报告内部控制整体风险的了解开始财务报告内部控制整体风险的了解开始。然后,注册会计
50、师。然后,注册会计师将关注重点放在将关注重点放在企业层面的控制企业层面的控制上,并将工作逐渐下移至上,并将工作逐渐下移至重大账户、重大账户、列报及相关的认定列报及相关的认定。这种方法引导注册会计师将注意力放在显示有可。这种方法引导注册会计师将注意力放在显示有可能导致财务报表及相关列报发生重大错报的账户、列报及认定上。能导致财务报表及相关列报发生重大错报的账户、列报及认定上。n之后,注册会计师验证其了解到的之后,注册会计师验证其了解到的业务流程业务流程中存在的风险,并就已评中存在的风险,并就已评估的每个相关认定的错报风险,选择足以应对这些风险的业务层面控估的每个相关认定的错报风险,选择足以应对这
51、些风险的业务层面控制进行测试。制进行测试。n在非财务报告内控审计中,自上而下的方法始于企业层面控制,并将在非财务报告内控审计中,自上而下的方法始于企业层面控制,并将审计测试工作逐步下移到业务层面控制。审计测试工作逐步下移到业务层面控制。n自上而下的方法描述了注册会计师在识别风险以及拟测试的控制时的自上而下的方法描述了注册会计师在识别风险以及拟测试的控制时的连续思维过程,但并不一定是注册会计师执行审计程序的顺序。连续思维过程,但并不一定是注册会计师执行审计程序的顺序。Page 49从财务报表层次初步了解内控整体风险从财务报表层次初步了解内控整体风险评估企业层面控制评估企业层面控制识别重要账户、列
52、报及其相关认定识别重要账户、列报及其相关认定了解错报的可能来源了解错报的可能来源选择拟测试的控制并测试选择拟测试的控制并测试自上而下方法自上而下方法 总体思路总体思路自上而下的方法自上而下的方法Page 50自上而下的方法自上而下的方法Page 51评估企业层面控制评估企业层面控制对企业具有广泛影响对企业具有广泛影响在企业的较高层次执行在企业的较高层次执行“基调型内部控制基调型内部控制”不会直接影响特不会直接影响特定会计账户及认定定会计账户及认定为直接影响特定会计账户及认定的内为直接影响特定会计账户及认定的内部控制建立有效执行的基础部控制建立有效执行的基础企业层面内部控制企业层面内部控制特征特
53、征Page 52审计师了解的企业层面控制要素审计师了解的企业层面控制要素与内部环境与内部环境相关的控制相关的控制治理结构和议事治理结构和议事规则规则机构设置和权责机构设置和权责分配分配内部审计内部审计人力资源人力资源企业文化企业文化针对管理层(董事会、针对管理层(董事会、经理层)凌驾于控制经理层)凌驾于控制之上的风险而设计的之上的风险而设计的控制控制对所有企业保持对所有企业保持有效的内部控制有效的内部控制都有重要影响。都有重要影响。可以根据对企业舞弊风险可以根据对企业舞弊风险的评估作出判断,选择相的评估作出判断,选择相关的企业层面控制进行测关的企业层面控制进行测试,并评价这些控制能否试,并评价
54、这些控制能否有效应对管理层凌驾于控有效应对管理层凌驾于控制之上的风险制之上的风险企业的风险企业的风险评估过程评估过程包括识别与财务报告包括识别与财务报告相关的经营风险和其相关的经营风险和其他经营管理风险,以他经营管理风险,以及针对这些风险采取及针对这些风险采取的措施的措施企业的内部控制能够充分企业的内部控制能够充分识别企业外部环境(如在识别企业外部环境(如在经济、政治、法律法规、经济、政治、法律法规、竞争者行为、债权人需求、竞争者行为、债权人需求、技术变革等方面)存在的技术变革等方面)存在的风险风险充分且适当的风险评估过充分且适当的风险评估过程需要包括对重大风险的程需要包括对重大风险的估计、对
55、风险发生可能性估计、对风险发生可能性的评估以及确定应对风险的评估以及确定应对风险的方法。的方法。企业的信息企业的信息与沟通过程与沟通过程对内部信息传递和对内部信息传递和财务报告流程的控财务报告流程的控制制企业的内部企业的内部监督监督可以在企业层面可以在企业层面上实施,也可以上实施,也可以在业务流程层面在业务流程层面上实施上实施包括:对运行报告的复核包括:对运行报告的复核和核对、与外部人士的沟和核对、与外部人士的沟通、对其他未参与控制执通、对其他未参与控制执行人员的监控活动,以及行人员的监控活动,以及将信息系统记录数据与实将信息系统记录数据与实物资产进行核对等物资产进行核对等Page 53审计师
56、选择审计师选择测试的企业层面内部控制测试的企业层面内部控制n内部控制审计中,注册会计师应当内部控制审计中,注册会计师应当测试对评价内部控制有效性有重要测试对评价内部控制有效性有重要影响的企业层面内部控制影响的企业层面内部控制;对企业层面内部控制的评价,可能增加或;对企业层面内部控制的评价,可能增加或减少本应对其他控制进行的测试。减少本应对其他控制进行的测试。n注册会计师应考虑在执行业务的注册会计师应考虑在执行业务的早期阶段早期阶段进行企业层面内部控制的评进行企业层面内部控制的评价工作价工作Page 54企业层面内部控制的不同精准层次企业层面内部控制的不同精准层次精准层次精准层次对审计的影响对审
57、计的影响1.对及时防止或发现错报具有重要但对及时防止或发现错报具有重要但间接影响的控制(间接影响的控制(与控制环境相关的与控制环境相关的控制控制)可能影响选择进行测试的其可能影响选择进行测试的其他控制,以及对其他控制所他控制,以及对其他控制所实施程序的性质、时间和范实施程序的性质、时间和范围围2.监督其他控制有效性的控制,可以监督其他控制有效性的控制,可以被用来识别其他层次控制的可能缺陷,被用来识别其他层次控制的可能缺陷,但其自身的精准程度不能充分应对某但其自身的精准程度不能充分应对某认定的错报不能被及时防止或发现的认定的错报不能被及时防止或发现的风险风险此类控制运行有效时,可以此类控制运行有
58、效时,可以减少原本拟对其他控制的有减少原本拟对其他控制的有效性进行的测试效性进行的测试3.设计在精准层次,本身可以及时地设计在精准层次,本身可以及时地防止或发现错报的控制防止或发现错报的控制如果某此类控制充分地应对如果某此类控制充分地应对所评估的某项错报风险,就所评估的某项错报风险,就不需要测试与这项风险相关不需要测试与这项风险相关的其他控制的其他控制Page 55不同精准层次企业层面内部控制不同精准层次企业层面内部控制(示例示例)人力资源部门没有人力资源部门没有获取有关雇员资格获取有关雇员资格相关的证据相关的证据 对及时防止或发现对及时防止或发现错报有重要但间接影错报有重要但间接影响的控制响
59、的控制企业的财务总监定期企业的财务总监定期审阅经营收入的详细审阅经营收入的详细月度分析报告月度分析报告企业设立了银行余额调节表企业设立了银行余额调节表的监督审阅流程,并对下属的监督审阅流程,并对下属所有分级机构作出定期检查,所有分级机构作出定期检查,精准度足以复核各个下属单精准度足以复核各个下属单位的工作是否恰当位的工作是否恰当设计在精准层次,设计在精准层次,本身可以及时地防本身可以及时地防止或发现错报的控止或发现错报的控制制监督其他控制有效性监督其他控制有效性的控制的控制 这种情况可能导致注册会计师需这种情况可能导致注册会计师需要获得更多证据以证明由相关人要获得更多证据以证明由相关人员执行的
60、其他控制获得了恰当执员执行的其他控制获得了恰当执行,尤其是针对那些由新雇员执行,尤其是针对那些由新雇员执行的控制行的控制 如控制有效,可能可以使注如控制有效,可能可以使注册会计师修改其原本拟对其册会计师修改其原本拟对其他控制所进行的测试程序他控制所进行的测试程序可以考虑测试这个企业层可以考虑测试这个企业层面的控制,并且不必对下面的控制,并且不必对下属每个单位的银行余额调属每个单位的银行余额调节表相关控制进行测试节表相关控制进行测试Page 56CPA了解和测试企业层面内部控制的方法了解和测试企业层面内部控制的方法n了解和测试企业层面内部控制的方法包括但不限于:了解和测试企业层面内部控制的方法包
61、括但不限于:n询问询问n观察观察n检查检查n可以通过设计调查问卷协助可以通过设计调查问卷协助CPACPA对企业层面控制的了解对企业层面控制的了解n仅仅通过询问仅仅通过询问不能不能为控制设计和运行的有效性提供充分证据为控制设计和运行的有效性提供充分证据。可能需。可能需要将询问和其他测试手段结合使用才能得出企业层面内部控制有效性要将询问和其他测试手段结合使用才能得出企业层面内部控制有效性的结论的结论Page 57实施审计工作实施审计工作步骤步骤评估企业层面控制评估企业层面控制评估业务层面控制评估业务层面控制评价控制偏差评价控制偏差特殊事项的考虑特殊事项的考虑信息系统控制信息系统控制财务报告财务报告
62、流程流程考虑企业层面考虑企业层面控制对控制对重大业务重大业务流程的影响流程的影响u实施穿行测试程序,了解重大实施穿行测试程序,了解重大业务流程业务流程u识别可能出错项并关联到相关识别可能出错项并关联到相关认定认定u识别重大业务流程中的相关控识别重大业务流程中的相关控制制u对控制有效性的初步评价对控制有效性的初步评价选择拟测试的控制选择拟测试的控制测试内部控制测试内部控制评价评价控制缺陷控制缺陷特殊考虑特殊考虑Page 58企业层面控制测试与业务层面控制测试的关系企业层面控制测试与业务层面控制测试的关系n企业层面控制决定业务层面控制,业务层面控制反作用于企业层面控企业层面控制决定业务层面控制,业
63、务层面控制反作用于企业层面控制制企业层面控制企业层面控制:与内部控制诸要素中的基本制度安排直接相关,对企业与内部控制诸要素中的基本制度安排直接相关,对企业整体内控目标的实现具有重大影响整体内控目标的实现具有重大影响业务层面控制业务层面控制:与控制活动(控制政策和程序)在具体业务和事项中的与控制活动(控制政策和程序)在具体业务和事项中的运用直接相关,对企业某一或某些方面的内控目标具有重要影响运用直接相关,对企业某一或某些方面的内控目标具有重要影响n实施企业层面控制测试和业务层面控制测试中,应当坚持自上而下、实施企业层面控制测试和业务层面控制测试中,应当坚持自上而下、上下结合的测试方法。上下结合的
64、测试方法。自上而下,是指测试控制应当从企业层面控制入手,通过评估、预判企自上而下,是指测试控制应当从企业层面控制入手,通过评估、预判企业层面控制,增强业务层面控制测试的科学性、针对性和实效性。业层面控制,增强业务层面控制测试的科学性、针对性和实效性。强调自上而下进行测试,并不意味着企业层面和业务层面的测试工作是强调自上而下进行测试,并不意味着企业层面和业务层面的测试工作是孤立进行、截然分开的,在注册会计师审计实践中,往往将企业层面控孤立进行、截然分开的,在注册会计师审计实践中,往往将企业层面控制测试和业务层面控制测试结合进行,以企业层面控制弱点锁定业务层制测试和业务层面控制测试结合进行,以企业
65、层面控制弱点锁定业务层面控制重点,以业务层面控制效果反证企业层面控制设计面控制重点,以业务层面控制效果反证企业层面控制设计Page 59选择拟测试的控制选择拟测试的控制n不需要测试重大业务流程中的所有控制点不需要测试重大业务流程中的所有控制点n重要性原则重要性原则选择适当的控制点测试(关键控制点)选择适当的控制点测试(关键控制点)n选择测试的控制点需要选择测试的控制点需要CPA专业判断专业判断n对于每个认定对应的每个可能出错项,对于每个认定对应的每个可能出错项,CPA至少需要选择一个控制进至少需要选择一个控制进行测试行测试n考虑因素考虑因素预防性控制预防性控制&发现性控制发现性控制手工控制手工
66、控制&自动执行的控制自动执行的控制控制的相关性、充分性和敏感度控制的相关性、充分性和敏感度控制组合控制组合Page 60选择拟测试的控制选择拟测试的控制关键控制关键控制n关键控制关键控制&一般控制一般控制n当一项控制可以涵盖多个可能出错事项,或者一个可能出错事项只有某当一项控制可以涵盖多个可能出错事项,或者一个可能出错事项只有某项控制能够涵盖时,该项控制应当被认定为项控制能够涵盖时,该项控制应当被认定为关键控制关键控制,除此之外,则被,除此之外,则被认定为认定为一般控制一般控制。n经验数据表明,在所有业务层面控制中,关键控制一般占到经验数据表明,在所有业务层面控制中,关键控制一般占到20左右左
67、右Page 61选择拟测试的控制选择拟测试的控制关键控制(举例)关键控制(举例)可能出错事项可能出错事项控制控制1 12 23 34 45 51 12 23 34 45 5控制1可以涵盖可能出错事项1、2、3和5,即一项控制可以涵盖多个可能出错事项,因此控制1可被认定为关键控制;对于可能出错事项4,只有控制2能够涵盖,即一个可能出错事项只有一项控制能够涵盖,因此控制2可被认定为关键控制。控制3、4、5为一般控制问题:哪些是关键控制?哪些是一般控制?问题:哪些是关键控制?哪些是一般控制?Page 62实施审计工作实施审计工作步骤步骤测试内部控制测试内部控制评估企业层面控制评估企业层面控制评估业务
68、层面控制评估业务层面控制评价控制偏差评价控制偏差特殊事项的考虑特殊事项的考虑信息系统控制信息系统控制财务报告财务报告流程流程选择拟测试的控制选择拟测试的控制测试内部控制测试内部控制评价评价控制缺陷控制缺陷特殊考虑特殊考虑Page 63测试控制的有效性测试控制的有效性设计有效性设计有效性n注册会计师应当测试控制注册会计师应当测试控制设计的有效性设计的有效性如果控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规如果控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定执行,能够实现控制目标,从而有效地防止或发现可能导致财务报定执行,能够实现控制目标,从而有效地防止或发现可能导致财务报表发
69、生重大错报的错误或舞弊,则表明控制的设计是有效的。表发生重大错报的错误或舞弊,则表明控制的设计是有效的。注册会计师在测试控制设计的有效性时,应当综合运用询问适当人员、注册会计师在测试控制设计的有效性时,应当综合运用询问适当人员、观察企业经营活动和检查相关文件等程序。观察企业经营活动和检查相关文件等程序。注册会计师执行穿行测试通常足以评价控制设计的有效性。注册会计师执行穿行测试通常足以评价控制设计的有效性。设计设计有效性有效性执行执行有效性有效性内控内控有效性有效性Page 64测试控制的有效性测试控制的有效性运行有效性运行有效性n运行有效性的含义运行有效性的含义如果控制正在按照设计运行、执行人
70、员拥有有效执行控制所需如果控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力,则表明控制的运行是有效的。的授权和专业胜任能力,则表明控制的运行是有效的。 如果企业利用第三方的帮助完成一些财务报告工作,注册会计如果企业利用第三方的帮助完成一些财务报告工作,注册会计师在评价负责企业财务报告及相关控制的人员的专业胜任能力师在评价负责企业财务报告及相关控制的人员的专业胜任能力时,应当一并考虑第三方的专业胜任能力。时,应当一并考虑第三方的专业胜任能力。n控制测试的性质,即测试控制运行有效性的程序控制测试的性质,即测试控制运行有效性的程序询问询问观察观察检查检查重新执行重新执行Page
71、 65控制测试的性质(即:控制测试程序)控制测试的性质(即:控制测试程序)n注册会计师实施控制测试的程序,按提供证据的效力,由弱到强排注册会计师实施控制测试的程序,按提供证据的效力,由弱到强排序为:询问、观察、检查、重新执行。序为:询问、观察、检查、重新执行。n询问本身并不能为得出控制是否有效的结论提供充分、适当的证据。询问本身并不能为得出控制是否有效的结论提供充分、适当的证据。n控制测试程序的性质在很大程度上取决于拟测试控制的性质。某些控制测试程序的性质在很大程度上取决于拟测试控制的性质。某些控制可能存在反映控制运行有效性的文件记录,而另外一些控制,控制可能存在反映控制运行有效性的文件记录,
72、而另外一些控制,如管理理念和经营风格,可能没有书面的运行证据。如管理理念和经营风格,可能没有书面的运行证据。n对缺乏正式的控制运行证据的企业或业务单元,注册会计师可以通对缺乏正式的控制运行证据的企业或业务单元,注册会计师可以通过询问并结合运用其他程序,如观察活动、检查非正式的书面记录过询问并结合运用其他程序,如观察活动、检查非正式的书面记录和重新执行某些控制,获取有关控制是否有效的充分、适当的证据。和重新执行某些控制,获取有关控制是否有效的充分、适当的证据。Page 66风险与测试控制中拟获取证据的关系风险与测试控制中拟获取证据的关系n在测试所选定控制的有效性时,注册会计师应当根据与控制相关的
73、在测试所选定控制的有效性时,注册会计师应当根据与控制相关的风险,确定所需获取的证据。风险,确定所需获取的证据。n与控制相关的风险包括控制可能无效的风险和因控制无效而导致重与控制相关的风险包括控制可能无效的风险和因控制无效而导致重大缺陷的风险。与控制相关的风险越高,注册会计师需要获取的证大缺陷的风险。与控制相关的风险越高,注册会计师需要获取的证据就越多。据就越多。n注册会计师通过测试控制有效性获取的证据,取决于其实施程序的注册会计师通过测试控制有效性获取的证据,取决于其实施程序的性质、时间和范围的组合。此外,就单项控制而言,注册会计师应性质、时间和范围的组合。此外,就单项控制而言,注册会计师应当
74、根据与控制相关的风险对测试程序的性质、时间和范围进行适当当根据与控制相关的风险对测试程序的性质、时间和范围进行适当的组合,以获取充分、适当的证据。的组合,以获取充分、适当的证据。Page 67风险与测试控制中拟获取证据的关系风险与测试控制中拟获取证据的关系下列因素影响与某项控制相关的风险:下列因素影响与某项控制相关的风险:n该项控制拟防止或发现的错报的性质和重要程度;该项控制拟防止或发现的错报的性质和重要程度;n相关账户、列报及其认定的固有风险;相关账户、列报及其认定的固有风险;n交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的有效性产交易的数量和性质是否发生变化,进而可能对该项控
75、制设计或运行的有效性产生不利影响;生不利影响;n相关账户或列报是否曾经出现错报;相关账户或列报是否曾经出现错报;n企业层面控制(特别是监督其他控制的控制)的有效性;企业层面控制(特别是监督其他控制的控制)的有效性;n该项控制的性质及其执行频率;该项控制的性质及其执行频率;n该项控制对其他控制(如控制环境或信息技术一般控制)有效性的依赖程度;该项控制对其他控制(如控制环境或信息技术一般控制)有效性的依赖程度;n执行该项控制或监督该项控制执行的人员的专业胜任能力,以及其中的关键人执行该项控制或监督该项控制执行的人员的专业胜任能力,以及其中的关键人员是否发生变化;员是否发生变化;n该项控制是人工控制
76、还是自动化控制;该项控制是人工控制还是自动化控制; n该项控制的复杂程度,以及在运行过程中依赖判断的程度该项控制的复杂程度,以及在运行过程中依赖判断的程度。 Page 68控制测试的时间安排控制测试的时间安排n控制测试涵盖的期间越长,提供的控制有效性的证据越多。控制测试涵盖的期间越长,提供的控制有效性的证据越多。n控制测试实施的时间越接近于管理层评估日,提供的控制有效控制测试实施的时间越接近于管理层评估日,提供的控制有效性的证据越有力。性的证据越有力。n为获取充分、适当的证据,注册会计师应当在下列两个因素之为获取充分、适当的证据,注册会计师应当在下列两个因素之间作出平衡,以确定控制测试的时间:
77、间作出平衡,以确定控制测试的时间:尽量在接近管理层评估日实施控制测试;尽量在接近管理层评估日实施控制测试;控制测试需要涵盖足够长的期间。控制测试需要涵盖足够长的期间。 Page 69控制测试的时间安排控制测试的时间安排n注册会计师旨在对截至某特定日期(通常是年末)内部控制的有效性出具注册会计师旨在对截至某特定日期(通常是年末)内部控制的有效性出具报告。如果已获取截至期中某日期控制运行有效性的证据,注册会计师应报告。如果已获取截至期中某日期控制运行有效性的证据,注册会计师应当确定还需要获取哪些补充证据,以证实剩余期间控制的运行情况。当确定还需要获取哪些补充证据,以证实剩余期间控制的运行情况。n在
78、将期中测试的结果更新至年末时,注册会计师应当考虑下列因素以确定在将期中测试的结果更新至年末时,注册会计师应当考虑下列因素以确定需获取的补充证据:需获取的补充证据:基准日之前测试的特定控制,包括与控制相关的风险、控制的性质和基准日之前测试的特定控制,包括与控制相关的风险、控制的性质和测试的结果;测试的结果;期中获取的有关证据的充分、适当性;期中获取的有关证据的充分、适当性;剩余期间的长短;剩余期间的长短;期中测试之后,内部控制发生重大变化的可能性。期中测试之后,内部控制发生重大变化的可能性。Page 7070测试人工控制的最小样本量区间测试人工控制的最小样本量区间 控制运行控制运行频率频率 控制
79、运行总次数控制运行总次数 测试的最小样本量区间测试的最小样本量区间 每年1次 11每季1次 42每月1次 122-5每周1次 525-15每天1次25020-40每天多次大于25025-60Page 71控制变更时的处理控制变更时的处理n在管理层评估日之前,管理层可能为提高控制效率、效果或弥补控在管理层评估日之前,管理层可能为提高控制效率、效果或弥补控制缺陷而改变企业的控制。制缺陷而改变企业的控制。n如果新控制实现了相关控制目标,且运行足够长的时间,注册会计如果新控制实现了相关控制目标,且运行足够长的时间,注册会计师能够通过对控制进行测试评价其设计和运行的有效性,则无需测师能够通过对控制进行测
80、试评价其设计和运行的有效性,则无需测试被取代的控制。试被取代的控制。n如果被取代控制的运行有效性对控制风险的评估有重大影响,注册如果被取代控制的运行有效性对控制风险的评估有重大影响,注册会计师应当测试被取代控制的设计和运行的有效性。会计师应当测试被取代控制的设计和运行的有效性。Page 7272整改后控制运行的最短期间(或最少运行次数)和整改后控制运行的最短期间(或最少运行次数)和最少测试数量最少测试数量 控制运行控制运行频率频率 整改后控制运行的最短期间或整改后控制运行的最短期间或最少运行次数最少运行次数 测试的最数测试的最数量量 每年1次 11每季1次 2季2每月1次 2月2每周1次 5周
81、5每天1次20天20每天多次25次(分布于涵盖多天的期间,通常不少于15天) 25-60Page 73实施审计工作实施审计工作步骤步骤评价控制偏差评价控制偏差评估企业层面控制评估企业层面控制评估业务层面控制评估业务层面控制评价控制偏差评价控制偏差特殊事项的考虑特殊事项的考虑信息系统控制信息系统控制财务报告财务报告流程流程选择拟测试的控制选择拟测试的控制测试内部控制测试内部控制评价评价控制缺陷控制缺陷特殊考虑特殊考虑Page 74评价控制偏差评价控制偏差n控制偏差控制偏差内控测试中,内控测试中,CPA选择进行测试的某个控制没有按照控制设计的选择进行测试的某个控制没有按照控制设计的要求被有效执行或
82、没有执行。要求被有效执行或没有执行。发现控制例外时,发现控制例外时,CPA首先要确认其是否构成一项控制偏差。如首先要确认其是否构成一项控制偏差。如果是,则应该调查控制偏差额属性果是,则应该调查控制偏差额属性&形成原因,并评价控制偏差形成原因,并评价控制偏差对原定审计程序的影响对原定审计程序的影响p控制偏差的属性控制偏差的属性l系统性:无需扩大样本量,直接视为内部控制缺陷系统性:无需扩大样本量,直接视为内部控制缺陷l随机性:确定适当的审计应对措施,如:扩大样本量、直接视为随机性:确定适当的审计应对措施,如:扩大样本量、直接视为内部控制缺陷内部控制缺陷Page 75评价控制偏差流程图评价控制偏差流
83、程图Page 76对信息系统控制的考虑对信息系统控制的考虑nCPA测试业务层面控制,应当关注信息系统对内部控制及风险评估的测试业务层面控制,应当关注信息系统对内部控制及风险评估的影响影响确定信息系统范围确定信息系统范围信息系统环境控制信息系统环境控制评价信息系统一般控制评价信息系统一般控制评价应用系统控制评价应用系统控制评价电子表格相关控制评价电子表格相关控制Page 77对财务报告流程的考虑对财务报告流程的考虑n财务报告流程将企业会计记录中反映的业务转换为会计报表和相关列财务报告流程将企业会计记录中反映的业务转换为会计报表和相关列报报n通常作为一个单独的重大业务流程通常作为一个单独的重大业务
84、流程n财务报告流程对于业务层面的很多流程都存在联系和影响,因此,财务报告流程对于业务层面的很多流程都存在联系和影响,因此,CPA应在评估企业层面控制同时考虑这一流程应在评估企业层面控制同时考虑这一流程Page 78对财务报告流程的考虑对财务报告流程的考虑n对财务报告流程进行了解的起点对财务报告流程进行了解的起点原则:确定对财务报告流程了解的起点,与对各重大业务流程了解的终点重合原则:确定对财务报告流程了解的起点,与对各重大业务流程了解的终点重合常规的重大业务流程:业务分录过帐到总账常规的重大业务流程:业务分录过帐到总账包含会计估计的重大业务流程:包括会计估计的真个过程,或,从会计估计的中包含会
85、计估计的重大业务流程:包括会计估计的真个过程,或,从会计估计的中途开始途开始n对财务报告流程进行了解的程度对财务报告流程进行了解的程度取决于财务报告流程的复杂性取决于财务报告流程的复杂性考虑:董事会、经理层凌驾于已识别财务报告流程控制之上的风险考虑:董事会、经理层凌驾于已识别财务报告流程控制之上的风险&以往审计中获以往审计中获得的对企业的经验和认识,以及,审计中发现的错报的数量和性质得的对企业的经验和认识,以及,审计中发现的错报的数量和性质n执行穿行测试,了解财务报告各子流程执行穿行测试,了解财务报告各子流程编制试算平衡表,并进行任何必要的合并编制试算平衡表,并进行任何必要的合并生成、授权和记
86、录记账分录生成、授权和记录记账分录编制财务报表及相关列报编制财务报表及相关列报n识别可能出错项识别可能出错项n识别相关控制识别相关控制Page 79实施审计工作实施审计工作步骤步骤评价控制缺陷评价控制缺陷评估企业层面控制评估企业层面控制评估业务层面控制评估业务层面控制评价控制偏差评价控制偏差特殊事项的考虑特殊事项的考虑信息系统控制信息系统控制财务报告财务报告流程流程选择拟测试的控制选择拟测试的控制测试内部控制测试内部控制评价评价控制缺陷控制缺陷特殊考虑特殊考虑Page 80内部控制缺陷一般可分为设内部控制缺陷一般可分为设计缺陷和运行缺陷:计缺陷和运行缺陷:n设计缺陷设计缺陷是指缺少为实现是指缺
87、少为实现控制目标所必需的控制,或控制目标所必需的控制,或现存控制设计不适当、即使现存控制设计不适当、即使正常运行也难以实现控制目正常运行也难以实现控制目标。标。n运行缺陷运行缺陷是指现存设计完是指现存设计完好的控制没有按设计意图运好的控制没有按设计意图运行,或执行者没有获得必要行,或执行者没有获得必要授权或缺乏胜任能力以有效授权或缺乏胜任能力以有效地实施控制。地实施控制。内部控制缺陷分类内部控制缺陷分类重大缺陷,是指一个或多个一般缺陷的重大缺陷,是指一个或多个一般缺陷的组合,可能严重影响内部整体控制的有组合,可能严重影响内部整体控制的有效性,进而导致企业无法及时防范或发效性,进而导致企业无法及
88、时防范或发现严重偏离整体控制目标的情形现严重偏离整体控制目标的情形 重要缺陷,是指一个或多个一般缺重要缺陷,是指一个或多个一般缺陷的组合,其严重程度低于重大缺陷的组合,其严重程度低于重大缺陷,但导致企业无法及时防范或发陷,但导致企业无法及时防范或发现偏离整体控制目标的严重程度依现偏离整体控制目标的严重程度依然重大,须引起企业管理层关注。然重大,须引起企业管理层关注。一般缺陷,除重大缺陷、重要一般缺陷,除重大缺陷、重要缺陷之外的其他缺陷缺陷之外的其他缺陷Page 81评价控制缺陷的严重程度评价控制缺陷的严重程度注册会计师应当评价其识别的各项控制缺陷的严重程度,以确定这些缺陷单独或注册会计师应当评
89、价其识别的各项控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成内部控制的重大缺陷。组合起来,是否构成内部控制的重大缺陷。不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。“注册会计师无须测试那些即使有缺陷也合理预期不会导致财务报表重大错注册会计师无须测试那些即使有缺陷也合理预期不会导致财务报表重大错报的控制报的控制”“注册会计师没有必要测试与某项相关认定的所有控制注册会计师没有必要测试与某项相关认定的所有控制”评价一项控制缺陷或多项控制缺陷的组合是否可能导致账户或列报发生错报时,注册会计师评价一项控制缺陷或多项控制
90、缺陷的组合是否可能导致账户或列报发生错报时,注册会计师应考虑的应考虑的“风险因素风险因素”包括:包括:1.所涉及的账户、列报及相关认定的性质;所涉及的账户、列报及相关认定的性质;2.相关资产或负债易于发生损失或舞弊的可能性;相关资产或负债易于发生损失或舞弊的可能性;3.确定相关金额时所需判断的主观程度、复杂程度和范围;确定相关金额时所需判断的主观程度、复杂程度和范围;4.该项控制与其他控制的相互作用或关系;该项控制与其他控制的相互作用或关系;5.控制缺陷之间的相互作用;控制缺陷之间的相互作用;6.控制缺陷在未来可能产生的影响。控制缺陷在未来可能产生的影响。Page 82评价控制缺陷的严重程度评
91、价控制缺陷的严重程度严重程度取决于:严重程度取决于:1.控制不能防止或发现并纠正账户或列报发生错报的控制不能防止或发现并纠正账户或列报发生错报的可能性大小可能性大小;2.因一项或多项控制缺陷因一项或多项控制缺陷导致的潜在错报的金额大小导致的潜在错报的金额大小。考虑发生错报的机率:考虑发生错报的机率:1.评价控制缺陷时候可能导致错报时,无需将错评价控制缺陷时候可能导致错报时,无需将错报发生的概率量化为某特定的百分比或区间。报发生的概率量化为某特定的百分比或区间。2.如多项控制影响财务报表的同一账户或列报,如多项控制影响财务报表的同一账户或列报,错报发生的概率会增加。错报发生的概率会增加。3.存在
92、多项控制缺陷时,即使缺陷从单项看不重存在多项控制缺陷时,即使缺陷从单项看不重要,但组合起来也可能构成重大缺陷。要,但组合起来也可能构成重大缺陷。考虑错报影响的金额程度:考虑错报影响的金额程度:1.受控制缺陷影响的财务报表或交易金额;受控制缺陷影响的财务报表或交易金额;2.在本期或预计的将来期间受控制缺陷影响的在本期或预计的将来期间受控制缺陷影响的账户余额或各类交易涉及的交易量。账户余额或各类交易涉及的交易量。Page 83评估错报可能性评估错报可能性围绕信访权限的信息系统总体控制缺陷围绕信访权限的信息系统总体控制缺陷舞弊缺陷或许多缺陷同时存在舞弊缺陷或许多缺陷同时存在金额错误低于重要性水平金额
93、错误低于重要性水平 (判断)(判断)明显为独立单一事项明显为独立单一事项增加重大错报的可能性增加重大错报的可能性重大错报可能性不大重大错报可能性不大Page 84评估错报重大程度评估错报重大程度根据财务报表审计中确定的重要性水平根据财务报表审计中确定的重要性水平从定量的角度出发,考虑是否可能导致财务报表错报,该错报在金额上从定量的角度出发,考虑是否可能导致财务报表错报,该错报在金额上对财务报表具有重大影响,且不能被一项控制或多项控制的组合所房子对财务报表具有重大影响,且不能被一项控制或多项控制的组合所房子或及时发现并纠正或及时发现并纠正从定性的角度出发,考虑一项缺陷或缺陷组合导致财务报表错报的
94、严重从定性的角度出发,考虑一项缺陷或缺陷组合导致财务报表错报的严重程度的相关因素,以及针对依赖该信息进行决策的人员预期需要考虑的程度的相关因素,以及针对依赖该信息进行决策的人员预期需要考虑的因素(如关联交易披露、潜在收购因素(如关联交易披露、潜在收购/合并信息、重大合同签订等)合并信息、重大合同签订等)Page 85控制缺陷评估步骤控制缺陷评估步骤Page 87补偿性控制补偿性控制在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时,注册会计师应在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时,注册会计师应当当评价补偿性控制的影响评价补偿性控制的影响。在评价补偿性控制是否能够弥补控
95、制缺陷时,注册会计师应当考虑补偿性控制是在评价补偿性控制是否能够弥补控制缺陷时,注册会计师应当考虑补偿性控制是否有否有足够的精确度足够的精确度以防止或发现并纠正可能发生的重大错报。以防止或发现并纠正可能发生的重大错报。n在得出补偿性控制是否有效运行的结论前,注册会计师应当首先分析在得出补偿性控制是否有效运行的结论前,注册会计师应当首先分析该补偿性控制是否达到一定程度的精确性,注册会计师应当对补偿性该补偿性控制是否达到一定程度的精确性,注册会计师应当对补偿性控制开展必要的测试工作,获取并记录补偿性控制运行有效的证据。控制开展必要的测试工作,获取并记录补偿性控制运行有效的证据。n由于某些控制缺陷发
96、生在企业的组成部分(如子公司)层面,而相关由于某些控制缺陷发生在企业的组成部分(如子公司)层面,而相关的补偿性控制可能存在于集团层面。因此,在对补偿性控制进行测试的补偿性控制可能存在于集团层面。因此,在对补偿性控制进行测试时,注册会计师应当考虑补偿性控制执行的层面及其对测试的影响。时,注册会计师应当考虑补偿性控制执行的层面及其对测试的影响。集团项目组应当与组成部分注册会计师及时开展充分、有效的沟通,集团项目组应当与组成部分注册会计师及时开展充分、有效的沟通,及时识别补偿性控制并进行相应的测试,以便准确判断补偿性控制是及时识别补偿性控制并进行相应的测试,以便准确判断补偿性控制是否可以降低财务报表
97、错误的可能性和严重程度。否可以降低财务报表错误的可能性和严重程度。Page 88注册会计师发现董事、注册会计师发现董事、 监事和高级管理人员监事和高级管理人员舞弊舞弊企业更正已经公布企业更正已经公布的财务报表的财务报表企业审计委员会和内企业审计委员会和内部部 审计机构对内部审计机构对内部控制的监督无效控制的监督无效存在重大缺存在重大缺陷的迹象陷的迹象注册会计师发现当期注册会计师发现当期财务报表存在重大错财务报表存在重大错报,而内部控制在运报,而内部控制在运行过程中未能发现该行过程中未能发现该错报错报重大缺陷迹象重大缺陷迹象Page 89缺陷评价统计(美国数据)缺陷评价统计(美国数据)一般缺陷一
98、般缺陷重要缺陷重要缺陷重大缺陷重大缺陷企业层面控制企业层面控制3%3%4%4%9%9%信息技术控制信息技术控制30%30%22%22%21%21%收入确认控制收入确认控制13%13%10%10%6%6%固定资产控制固定资产控制10%10%7%7%9%9%财务报告和结账控制财务报告和结账控制9%9%16%16%12%12%采购付款控制采购付款控制9%9%13%13%12%12%工资和福利费用控制工资和福利费用控制8%8%6%6%15%15%其他其他12%12%22%22%16%16%合合 计计100%100%100%100%100%100%美国上市公司近年来披露的财务报告内控缺陷尤其是重大缺陷来
99、看,在信美国上市公司近年来披露的财务报告内控缺陷尤其是重大缺陷来看,在信息技术、收入确认、付款或有关费用的控制方面存在的薄弱环节较为显著息技术、收入确认、付款或有关费用的控制方面存在的薄弱环节较为显著Page 90非财务报告内部控制非财务报告内部控制n财务报告内控和非财务报告内控的关系财务报告内控和非财务报告内控的关系n财务报告内控与非财务报告内控是一个相对概念,恰如会计控制与财务报告内控与非财务报告内控是一个相对概念,恰如会计控制与管理控制的界定一样。管理控制的界定一样。与财务报告真实性、可靠性、完整性直接相关的控制称为财务报告内控,与财务报告真实性、可靠性、完整性直接相关的控制称为财务报告
100、内控,比如,根据企业会计准则的要求对经济交易或事项进行会计确认、计量、比如,根据企业会计准则的要求对经济交易或事项进行会计确认、计量、记录和报告的相关控制属于财务报告内控,除此之外的控制可以归类为记录和报告的相关控制属于财务报告内控,除此之外的控制可以归类为非财务报告内控。非财务报告内控。n对财务报告内控和非财务报告内控提出了差异化的审计要求对财务报告内控和非财务报告内控提出了差异化的审计要求注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制控制审计过程中注意
101、到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加审计报告中增加“非财务报告内部控制重大缺陷描述段非财务报告内部控制重大缺陷描述段”予以描述予以描述非非财财务务报报告告内内部部控控制制缺缺陷陷评评价价步步骤骤完成完成审计审计工作工作 & 出具审计报告出具审计报告 Page 93完成审计工作完成审计工作n获取管理层声明获取管理层声明n沟通缺陷沟通缺陷n形成对企业内部控制有效性的意见形成对企业内部控制有效性的意见Page 94完成审计工作完成审计工作获取管理层声明获取管理层声明n注册会计师应当获取经被审计单位签署的书面声明。书面声明的内容应当注册会计师应当获取经被审计单位签署的书面声明。书
102、面声明的内容应当包括:包括:n被审计单位董事会认可其对建立健全和有效实施内部控制负责;被审计单位董事会认可其对建立健全和有效实施内部控制负责;n被审计单位已对内部控制进行了评价,并编制了内部控制评价报告;被审计单位已对内部控制进行了评价,并编制了内部控制评价报告;n被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作为评价的基础;为评价的基础;n被审计单位根据内部控制标准评价内部控制有效性得出的结论;被审计单位根据内部控制标准评价内部控制有效性得出的结论;n被审计单位已向注册会计师披露识别出
103、的所有内部控制缺陷,并单独披露其中的重大缺陷被审计单位已向注册会计师披露识别出的所有内部控制缺陷,并单独披露其中的重大缺陷和重要缺陷;和重要缺陷;n被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞弊,以及其他不会导被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞弊,以及其他不会导致财务报表发生重大错报,但涉及管理层、治理层和其他在内部控制中具有重要作用的员致财务报表发生重大错报,但涉及管理层、治理层和其他在内部控制中具有重要作用的员工的所有舞弊;工的所有舞弊;n注册会计师在以前年度审计中识别出的且已与被审计单位沟通的重大缺陷和重要缺陷是否注册会计师在以前年度审计中识别出
104、的且已与被审计单位沟通的重大缺陷和重要缺陷是否已经得到解决,以及哪些缺陷尚未得到解决;已经得到解决,以及哪些缺陷尚未得到解决;n在基准日后,内部控制是否发生变化,或者是否存在对内部控制产生重要影响的其他因素,在基准日后,内部控制是否发生变化,或者是否存在对内部控制产生重要影响的其他因素,包括被审计单位针对重大缺陷和重要缺陷采取的所有纠正措施。包括被审计单位针对重大缺陷和重要缺陷采取的所有纠正措施。Page 95完成审计工作完成审计工作沟通缺陷沟通缺陷n对于重大缺陷和重要缺陷,注册会计师应当以书面形式与管理层和对于重大缺陷和重要缺陷,注册会计师应当以书面形式与管理层和治理层沟通。治理层沟通。n书
105、面沟通应当在注册会计师出具内部控制审计报告之前进行。书面沟通应当在注册会计师出具内部控制审计报告之前进行。n注册会计师应当以书面形式与管理层沟通其在审计过程中识别的所注册会计师应当以书面形式与管理层沟通其在审计过程中识别的所有其他内部控制缺陷,并在沟通完成后告知治理层。在进行沟通时,有其他内部控制缺陷,并在沟通完成后告知治理层。在进行沟通时,注册会计师无需重复自身、内部审计人员或被审计单位其他人员以注册会计师无需重复自身、内部审计人员或被审计单位其他人员以前书面沟通过的控制缺陷。前书面沟通过的控制缺陷。Page 96审计报告的类型审计报告的类型1.标准内部控制审计报告标准内部控制审计报告2.非
106、标准内部控制审计报告非标准内部控制审计报告n带强调事项段的非标准内部控制审计报告。带强调事项段的非标准内部控制审计报告。注册会计师认为财务报告内部控制虽不存在重大缺陷,但仍有一项或者多项注册会计师认为财务报告内部控制虽不存在重大缺陷,但仍有一项或者多项重大事项需要提请内部控制审计报告使用人注意的,需要在内部控制审计报重大事项需要提请内部控制审计报告使用人注意的,需要在内部控制审计报告中增加强调事项段予以说明告中增加强调事项段予以说明n否定意见的内部控制审计报告。否定意见的内部控制审计报告。n无法表示意见的内部控制审计报告无法表示意见的内部控制审计报告Page 97互相交流互相交流共同进步共同进
107、步附附 录录 Page 99全球资本市场监管发展情况全球资本市场监管发展情况n2002n美国萨班斯奥克斯利法案(简称SOX)生效n南非出台公司治理报告法规(TheKingCodeof2002)n德国发布德国公司治理准则n2003n澳大利亚证券交易所(ASX)及其公司治理委员会采纳良好公司治理原则和最佳实务操作建议n法国金融安全法n英国TheCombinedCodeonCorporateGovernancen加拿大证券管理委员会发布MI52-109,2004年1月生效,于2008年更新为NI52-109n2004n澳大利亚发布澳大利亚发布澳洲公司报告澳洲公司报告和信息披露法和信息披露法(CLER
108、P9)n香港联交所公布香港联交所公布公司治理实公司治理实务和公司治理报告的准则务和公司治理报告的准则n2006n欧盟:欧盟:欧盟新公司法第八号欧盟新公司法第八号指令指令n日本发布日本发布日本金融商品交易日本金融商品交易法法(简称(简称J-SOX)n上海与深圳证券交易所发布上上海与深圳证券交易所发布上市公司内部控制指引市公司内部控制指引n2008n中国中国5部委发布部委发布企业内部控制企业内部控制基本规范基本规范n2010n中国中国5部委发布企业内部控制部委发布企业内部控制配套指引配套指引发布发布Page 100对公司内部控制的要求对公司内部控制的要求-海外监管机构海外监管机构第第404条款:条
109、款:管理层对内部控制管理层对内部控制的评价。的评价。(a)内部控制方面的要求内部控制方面的要求SEC应应当相应的规定,要求按当相应的规定,要求按1934年年证券交易法证券交易法编制的年度报告中编制的年度报告中包括内部控制报告,包括:包括内部控制报告,包括:(1)强调公司管理层建立和维护强调公司管理层建立和维护财务报告内部控制系统及相应控财务报告内部控制系统及相应控制程序充分有效的责任;制程序充分有效的责任;(2)发行人管理层最近财政年度发行人管理层最近财政年度末对财务报告内部控制体系及控末对财务报告内部控制体系及控制程序有效性的评价;制程序有效性的评价;(b)内部控制评价报告内部控制评价报告对
110、于本对于本节节(a)中要求的管理层对内部控制中要求的管理层对内部控制的评价,的评价,担任公司年报审计的会担任公司年报审计的会计公司应当对其进行测试和评价,计公司应当对其进行测试和评价,并出具评价报告并出具评价报告。上述评价和报。上述评价和报告应当遵循委员会发布或认可的告应当遵循委员会发布或认可的准则。上述评价过程不应当作为准则。上述评价过程不应当作为一项单独的业务。一项单独的业务。美国美国 萨班斯法案萨班斯法案第第24条第条第4款之四款之四 第第1项项必须提交有价证券报告的公司必须提交有价证券报告的公司应在每个财年按照内阁政府的应在每个财年按照内阁政府的府令对公司的体制进行评估及府令对公司的体
111、制进行评估及提交报告(以下简称提交报告(以下简称“内部控内部控制报告制报告”)第第193条第条第2款款 第第2项项必须按照第必须按照第24条第条第4款之四的款之四的规定提交的内部控制报告必须规定提交的内部控制报告必须接受与其无特殊利害关系的注接受与其无特殊利害关系的注册会计师或会计师事务所的审册会计师或会计师事务所的审计证明。计证明。日本日本 金融商品交易法金融商品交易法香港上市规则附录香港上市规则附录14企业管企业管治常规守则治常规守则第第C2.1条条董事应最少每年检讨一次发行董事应最少每年检讨一次发行人及其附属公司的人及其附属公司的内部监控系内部监控系统统是否有效,并在是否有效,并在企业管
112、治企业管治报告报告中向股东汇报已经完成中向股东汇报已经完成有关检讨。有关检讨。有关检讨应涵盖所有重要的监有关检讨应涵盖所有重要的监控方面,包括财务监控、运作控方面,包括财务监控、运作监控及合规监控及风险管理功监控及合规监控及风险管理功能。能。香港香港 上市规则上市规则Page 1012006年,国资委颁布年,国资委颁布中中央企业全面风险管理指引央企业全面风险管理指引,对央企开展风险管理工作提对央企开展风险管理工作提出明确要求:出明确要求:n建立健全风险管理组建立健全风险管理组织体系织体系n对重要业务管理与流对重要业务管理与流程进行动态风险评估程进行动态风险评估n依据风险管理策略,依据风险管理策
113、略,制定重大风险管理解制定重大风险管理解决方案(包括内控方决方案(包括内控方案)案)n建立贯穿的风险管理建立贯穿的风险管理流程,加强风险管理流程,加强风险管理监督改进,至少每年监督改进,至少每年出具出具风险管理监督风险管理监督评价报告评价报告国资委国资委2008年年6月月28日,财政部等五部委颁布日,财政部等五部委颁布企业内部控制基本企业内部控制基本规范规范,自,自2009年年7月月1日日率先在中国境内的上市公司执行。率先在中国境内的上市公司执行。2010年年4月月15日,颁布日,颁布企业内部控制配套指引企业内部控制配套指引,包括:,包括:n企业内部控制应用指引企业内部控制应用指引,涵盖组织结
114、构、发展,涵盖组织结构、发展战略、人力资源、社会责任、企业文化、资金活动、战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理等采购业务、资产管理等18项指引。项指引。n企业内部控制评价指引企业内部控制评价指引,要求企业应对其内部,要求企业应对其内部控制的设计和运行状况定期评价,出具评价报告。控制的设计和运行状况定期评价,出具评价报告。n企业内部控制审计指引企业内部控制审计指引,为注册会计师执行企,为注册会计师执行企业内部控制鉴证业务提供专业规范和指导。业内部控制鉴证业务提供专业规范和指导。上市公司必须、鼓励其他大中型企业制定内部控制制度并有上市公司必须、鼓励其他大中型企业制定内部
115、控制制度并有效实施,并应委托从事内部控制审计的会计师事务所对企业效实施,并应委托从事内部控制审计的会计师事务所对企业内部控制的有效性进行审计,出具审计报告。内部控制的有效性进行审计,出具审计报告。自自2011年年1月月1日起在境内外同时上市的公司施行,自日起在境内外同时上市的公司施行,自2012年年1月月1日起在上海证券交易所、深圳证券交易所主板上市公司日起在上海证券交易所、深圳证券交易所主板上市公司施行施行;在此基础上,择机在中小板和创业板上市公司施行。;在此基础上,择机在中小板和创业板上市公司施行。财政部财政部 审计署审计署 证监会证监会 银监会银监会 保监会保监会 对公司内部控制的要求对
116、公司内部控制的要求-国内监管机构国内监管机构Page 102证券交易所上市公司内部控制指引证券交易所上市公司内部控制指引上海证券交易所深圳证券交易所颁布日/生效日n2006年6月5日n2006年7月1日生效n2006年9月2日颁布n2007年7月1日生效内部控制定义和目标n上市公司为了保证公司战略目标的实现,而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。它是由公司董事会、管理层及全体员工共同参与的一项活动。 n建立健全内部控制制度,保证内控制度的完整性、合理性及实施的有效性,以提高公司经营的效果与效率,增强公司信息披露的可靠性,确保公司行为合法合规。 n上市公司董事会、监事会、
117、高级管理人员及其他有关人员为实现下列目标而提供合理保证的过程:n(一)遵守国家法律、法规、规章及其他相关规定;(二)提高公司经营的效益及效率;(三)保障公司资产的安全;(四)确保公司信息披露的真实、准确、完整和公平。内部控制责任人n公司董事会n公司董事会内部控制基本要素n内部环境 n目标设定 n风险确认 n风险评估 n风险管理策略选择 n控制活动 n信息沟通 n检查监督 n内部环境n目标设定n事项识别n风险评估n风险对策n控制活动n信息与沟通n检查监督Page 103证券交易所上市公司内部控制指引(续)证券交易所上市公司内部控制指引(续)上海证券交易所深圳证券交易所内部控制要求:n内部控制应涵
118、盖经营活动中所有业务环节 n印章使用管理、票据领用管理、预算管理、资产管理、质量管理、担保管理、职务授权及代理制度、定期沟通制度、信息披露管理制度及对附属公司的管理制度 n信息管理的内控制度 n内部会计控制规范 n完善公司治理结构n完善的控制架构n内部控制活动应涵盖公司所有营运环节n关联交易的控制政策及程序n印章使用管理、票据领用管理、预算管理、资产管理、担保管理、资金借贷管理、职务授权及代理人制度、信息披露管理、信息系统安全管理等专门管理制度n建立完整的风险评估体系n内部信息和外部信息的管理政策n设立专门负责监督检查的内部审计部门重点关注的控制活动n收购和出售资产、关联交易、从事衍生品交易、
119、提供财务资助、为他人提供担保、募集资金使用、委托理财等重大事项作为内部控制检查监督计划的必备事项 n对控股子公司的管理控制n关联交易的内部控制n对外担保的内部控制n募集资金使用的内部控制n重大投资的内部控制n信息披露的内部控制Page 104上海证券交易所深圳证券交易所内部控制检查n定期和不定期的检查 n确定专门职能部门负责内部控制的日常检查监督工作 n制定内部控制检查监督办法 n制定年度内部控制检查监督计划 n董事会对内部控制检查监督工作进行指导,并审阅检查监督部门提交的内部控制检查监督工作报告 n设立内部审计部门n制定自查制度和年度内控自查计划n内部审计内部控制的信息披露/报告n监督部门应在年度和半年度结束后向董事会提交内部控制检查监督工作报告 n在内部控制的检查监督中如发现内部控制存在重大缺陷或存在重大风险,应及时向董事会报告。公司董事会应及时向本所报告该事项。经本所认定,公司董事会应及时发布公告n内部控制自我评估报告n会计师事务所对内部控制自我评估报告的核实评价意见 n内部控制自我评价报告n注册会计师就财务报告内部控制出具评价意见证券交易所上市公司内部控制指引(续)证券交易所上市公司内部控制指引(续)
