《企业内部控制审计及审计测试相关内容课件》由会员分享,可在线阅读,更多相关《企业内部控制审计及审计测试相关内容课件(54页珍藏版)》请在金锄头文库上搜索。
1、企业内部控制审计及审计测试企业内部控制审计及审计测试一、上市公司内部控制建设及问题分析上市公司内部控制建设及问题分析主要内容:对内控实施的预期;2021年内控实施的情况;内控建设存在的问题及建议;内控审计相关问题。2021年内控实施情况273家上市公司披露内控自评报告,其中63家披露缺陷。214家上市公司发布审计报告63家境内外同时上市公司、147家主板上市公司,5家非标准1家否认意见。内控标准体系实施的整体要求内部控制标准体系实施是内控体系建设、内控自评、内控审计的一个不断完善的过程。内部控制梳理:成立专属部门、确定梳理范围、实施风险评估、整理现有制度、辨识内控环节、明确管理标准。内部控制优
2、化:记录内控缺陷、设计整改方案、完善相关制度、更新文档记录。内部控制评价:制定内控评价方法、开展内控评价、跟踪缺陷整改、编制内控评价报告。内部控制审计:进行模拟审计、提供所需证据、出具管理申明、出具审计报告。内控建设存在的问题及建议:1、对内控的理解和重视程度:内控的实施会限制管理层的权力;内控的实施仅为满足监管的要求;内控的实施是制度完善的过程;内控的实施降低企业运行效率。原因:思想认识不统一、公司领导合规VS管理提升运动VS持续工作中层抵触基层员工切身利益关注:内控文化是根本解决:内控实施的责任主体:董事会对内控的建立和实施负责。解决方案的思路:一把手工程表达在:自身认识程度、身体力行的推
3、动、解决阻力的决心和魄力。内控建设存在的问题及建议:2、内控建设表达的成果:-企业管理制度体系纲领性文件:明确管理组织架构、职能、策略、目标与愿景等。-制度性文件:规定某项业务工作的目标、方向、原那么等,是制定流程及操作性文件的根底和依据。包括但不限于适用范围、编制依据、主要应对风险、职责分工、政策与要求等。-流程文件/控制文档:流程文件属于制度体系的第三层级文件,是依据根本制度建立的管理文件,在流程层面规定制度文件如何得以执行。包括但不限于管理要求、实施方案、应对风险及控制措施等。-操作性文件:操作性文件是依据流程文件编制的、指导具体操作的管理文件,详细描述流程层面的具体工作如何开展并符合流
4、程要求,涉及日常管理活动。内控建设存在的问题及建议:3、内控建设体系成果的表达:内控手册流程图风险地图风险控制矩阵没有统一要求,反映内控过程,便于理解和执行。内控建设存在的问题及建议:4、内控评价人员所需的知识技能方法论:内控评价人员需要熟悉内部控制框架理论,内部控制评价的监管要求,并在此根底上开发适合自身企业特点的内部控制评价方法论。专业技能;在风险评估、内控设计和执行有效性测试、缺陷认定等方面,以及业务、财务、信息技术、企业层面控制等各领域,均需要相关人员具有比较丰富的专业技能和经验。行业经验:除科学的方法论外,丰富的行业经验也是内控评价不可或缺的知识技能之一。不熟悉本企业所处行业的一般运
5、作规律及关键风险,可能导致评价人员并不能真正识别关键评价领域。工程管理:内控评价很多情况下以工程的形式推进,对大型企业集团来说,内控评价人员的工程管理能力非常重要。内控建设存在的问题及建议:5、标准与管理的结合程度不够:局部企业简单按照18项指引完善自身制度财政部与证监会要求:指引仅为参考,要结合企业实际监管中将着重考虑内控建设与企业特点的问题。内控建设存在的问题及建议:6、企业内控管理组织机构设立内控领导小组内控实施小组内控责任人内控建设存在的问题及建议:7、企业内控工作建设路线图企业内控体系建设划分为内控根底建设、内控促进管理、内控融入管理三个阶段。内控根底建设:现状调研、风险评估、内控体
6、系设计、宣传推广、内控管理平台建设。通过梳理业务流程,编制内部控制手册,建立内部控制体系根本框架,明确公司对重要风险的关键控制点,提升企业管控的能力。目标是初步构建以风险为导向的内部控制体系、风险知识库,有效提升对重大风险的管控能力。内控促进管理内控体系完善、相关业务管理的完善。通过内控体系的持续运行与评价,不断推进企业改进管理与业务流程,标准制度建设,优化组织结构,加强风险管理能力,提升企业管理水平。目标是形成内控与管理的互动机制,完善风险知识库,进一步提升企业管控能力。内控融入阶段:内控体系的持续改进、相关业务管理的持续改进。通过持续不断的管理改进,将风险管理与内部控制的理念和方法嵌入公司
7、各项管理活动中目标是形成完善的、具备自我更新能力并与日常管理活动融为一体的内部控制活动。内控建设存在的问题及建议:8、对内控自我评价工作重视不够缺乏有效的评价方法、董事会对自身责任认识不够、过于依赖中介机构的效劳内控咨询、评价与审计、缺乏符合企业实际的缺陷认定标准。内控评价:制定评价工作方案组成评价工作组实施现场测试认定控制缺陷汇总评价结果编报评价报告。克服极端:追求零缺陷,过度整改、考虑本钱效益原那么、内控的动态过程。设计有效性与执行有效性内部控制的设计有效性,是指为实现控制目标所必需的内部控制要素都存在并且设计合理、恰当。存在性:过程和风险已被充分识别,过程和风险的控制措施得到明确规定并得
8、以保持。合理性:内部控制的设计在符合内部控制原理的,本着客观、公平、公正的原那么制定,对董事会、监事会、经理层和员工具有执行的根底和约束力。恰当性:内部控制的设计结合企业自身的环境条件、业务范围、经营模式等进行风险识别和评估,确定主要及重大风险控制措施,从而有利于实现控制目标。设计有效性与执行有效性内部控制的运行有效性,是指现有内部控制按照规定程序得到了正确执行。评价运行有效性,可考虑的包括:相关控制是否得到持续一致的运行;相关控制是否由适当的人员执行执行人员具有相应的权限和能力;相关控制是否是适当的时间被执行如某交易在发生前得到相应的授权和审批,而不是在事后补齐授权审批手续;执行方式恰当如某
9、控制按规定应执行管理层审批程序,但实际执行人仅进行审阅,没有指示决策意见,那么该控制执行不当;执行结果进行了适当的记录重要控制环节需要签字、邮件、会议纪要等记录;执行时发现的差异及时得到了跟进如对账环节,核对并不是最终目的,最终目的是核对过程中发现的差异均进行了调查跟进。如何评价公司内控建设的充分性、自评的有效性1、公司内部控制标准体系建设的组织形式:以工程的形式开展还是授权某一部门牵头;工作进度的汇报路径及汇报频率;内控工作是否纳入考核体系;牵头部门人员的胜任能力及是否聘请咨询中介机构等。2、公司内部控制标准体系建设及评价的范围:着眼于全面内控还是财务报告内部控制;是否包括重要业务领域、重要
10、分子公司或分支机构;了解公司经营管理中对信息系统的依赖程度,以及在内控建设及评价过程中对信息系统的关注程度;财务报告内部控制有效性的评价;在确定评价范围时,应包括:重要子公司或业务单元;特殊行业、特殊业务;高风险子公司及领域;有特殊监管要求的子公司或业务单元。二、内控审计的相关问题内控审计的相关问题1、审计方式问题:整合审计不仅仅是同一审计机构的问题,在财务报表审计的根底上附加必要的内控审计程序根据内控审计师与财务报表审计师沟通频率及沟通内容分析,非整合审计的情况下,内控审计师无法及时、充分获取财务报表审计过程中的审计发现,导致其无法根据财务报表结果充分衡量对内控审计意见的影响,审计程度受限。
11、独立性要求内控咨询与审计机构不能为一家。内控审计的相关问题2、关于内控审计费用的问题:局部企业内控审计费用过低,难以保证审计质量。内控审计的相关问题3、关于审计机构的选择:是否具有足够的审计力量;是否有健全的审计程序和质量控制体系;对公司所处行业的了解程度等。内控审计的相关问题4、市场对非标意见和承受度。否认意见内控报告情况:-多头授信收款风险未得到有效控制。-授信额度不超过客户注册资本未有效执行。结果:形成大额无法收回的应收款。媒体、市场、公司对内控缺陷的态度。内控审计的相关问题5、事务所对内控审计业务准备缺乏缺乏足够培训没有明确的缺陷认定标准和技术指引不同人员理解存在偏差内部控制缺陷评价程
12、序中的关键环节及要素理解存在问题。内控审计的相关问题6、低价竞争内控审计的相关问题7、信息系统审计力量缺乏。内控审计的相关问题8、与客户沟通不够客户是否具备可审计条件审计在于真实反映内控现状,运行时间短对审计意见的可能影响与客户的意见分歧内控审计的相关问题对关键审计技术的理解存在偏差。1、不理解风险为导向的整合审计思路,将事务所风险及责任无限放大。2、业务约定书与审计方案业务约定书一般单独签订总体审计策略和具体审计方案:涵盖内控审计要点。3、流程描述过于简单,测试控制点与流程描述缺乏匹配关系。4、内部控制执行测试样本规模及样本量选择存在偏差。5、事务所内控审计工作入场晚导致审计程序出现偏差-过
13、分依赖上市公司自评工作,未就其胜任能力客观性进行评估,未就其自评识别的关键流程、关键控制点是否全面进行分析-利用财务报表审计预审时实施的内控测试工作成果,根据内控审计要求补充局部测试程序出具报告-审计现场工作进场时间较晚,测试发现内部控制缺陷后上市公司无足够时间整改或整改后运行时间不够。企业层面控制的测试三、企业层面控制的测试企业层面控制的测试对企业层面控制的考虑1、财务报表审计:注册会计师应当了解与审计相关的内部控制。在了解与审计相关的控制时,注册会计师应当综合运用询问被审计单位内部人员和其他程序,以评价这些控制的设计并确定其是否得到执行。审计准那么第1211号第15条、16条2、内部控制审
14、计注册会计师应当识别、了解和测试对内部控制有效性有重要影响的企业层面控制。实施意见第三二局部企业层面控制的测试企业层面控制:是指那些确保管理层设在公司内部各个领域、各个业务层面的控制机制得以有效运转的机制。企业层面控制的内容:1、与控制环境即内部环境相关的控制。2、针对管理层和治理层凌驾于控制之上的风险而设计的控制。3、被审计单位的风险评估过程。4、对内部信息传递和期末财务报告流程的控制。5、对控制有效性的内部监督即监督其他控制的控制和内部控制评价。企业层面控制的测试测试控制的设计和运行1、测试控制设计的有效性如果某项控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定的程序和要求执行,
15、能够实现控制目标,从而有效地防止或发现并纠正可能导致财务发生重大错报的错误或舞弊,那么说明该项控制的设计是有效的。综合运用询问适当人员、观察经营活动和检查相关文件等程序。企业层面控制的测试测试控制的设计和运行2测试控制运行的有效性:如果某项控制正在按照设计运行,执行人员拥有有效执行控制所需的授权和专业胜任能力,能够实现控制目标,那么说明该项控制的运行是有效的。综合运用询问适当人员、观察经营活动、检查相关文件以及重新执行等程序。在识别、了解和测试企业层面控制时,注册会计师不得利用他人的工作。企业层面控制的测试1、与控制环境即内部环境相关的控制控制环境包括治理职能和管理职能,以及治理层和管理层对内
16、部控制及其重要性的态度、认识和行动。控制环境设定了被审计单位的内部控制基调,影响员工的内部控制意识。在了解和测试控制环境时,注册会计师需要考虑的方面主要包括:管理层的理念和经营风格是否促进了有效的财务报告内部控制;管理层在治理层的监督下,是否营造并保持了诚信守信和符合道德的文化;治理层是否了解并监督财务报告过程和内部控制。与控制环境即内部环境相关的控制根本内容1、与控制环境即内部环境相关的控制控制环境的要素:管理层的理念和经营风格组织结构职权与责任的分配对胜任能力的重视人力资源政策与实务对诚信和道德价值观念的沟通和落实治理层的参与程度与控制环境即内部环境相关的控制管理层的理念和经营风格1与控制
17、环境即内部环境相关的控制管理层的理念和经营风格2与控制环境即内部环境相关的控制对诚信和道德价值观念的沟通和落实控制的有效性受负责创立、管理和监控内部控制的人员的诚信和道德价值观的影响注册会计师在了解和测试此局部控制的有效性时可以考虑但不限于以下因素:被审计单位是否有书面的行为标准并且有监督各级别员工贯彻执行行为标准的控制。管理层是否对违反相关行为标准的行为采取适当的措施。管理层是否有使得鼓励员工与设定不切实际业绩目标之间得以平衡的控制。与控制环境即内部环境相关的控制治理层的参与程度被审计单位的治理层如董事会、监事会等通常通过其自身的活动,并在审计委员会或类似机构的支持下,监督被审计单位的财务报
18、告政策和程序。被审计单位的控制意识在很大程度上受治理层的影响。注册会计师了解和测试此局部控制有效性时可以考虑但不限于以下因素:董事会、审计委员会成员是否独立于管理层,有明确的相关职责,了解并且具备适当条件去执行那些职责。注册会计师可以对审计委员会成员的背景进行了解,并获得他们执行相关职责的证据。董事会、审计委员会是否与注册会计师进行适当的互动并定期沟通,并对注册会计师提出的问题作出反响。治理层是否充分参与了监督财务报告编制的过程。董事会、审计委员会是否评估在有效监管下管理凌驾于内部控制之上的风险。与控制环境即内部环境相关的控制例如与控制环境即内部环境相关的控制例如续与控制环境即内部环境相关的控
19、制针对管理层和治理层凌驾于控制之上的风险而设计的控制针对管理层和治理层凌驾于控制之上的风险而设计的控制针对重大的非常规交易的控制,尤其是针对导致处理延迟或异常的交易的控制。针对关联方交易的控制。与管理层的重大估计相关的控制。能够减弱管理层和治理层伪造或不恰当操纵财务结果的动机和压力的控制。针对管理层和治理层凌驾于控制之上的风险而设计的控制-例如针对管理层和治理层凌驾于控制之上的风险而设计的控制-例如续与控制环境即内部环境相关的控制被审计单位的风险评估过程风险评估过程包括识别与财务报告相关的经营风险和其他经营风险,以及针对这些风险采取的措施设定控制目标根据企业实际情况设定具体控制目标。收集相关信
20、息内部信息和外部信息识别风险内部风险人力资源、管理、自主创新、财务、平安环保、其它;外部风险经济、法律、社会、科学技术、自然、其他风险分析定性与定量相结合,确定关注重点和风险优先级确定风险承受度整体风险承受能力和业务层面可接受风险水平风险应对策略风险躲避、风险降低、风险分担、风险承受持续评估结合企业开展不同阶段,持续收集相关信息,进行风险识别和风险分析,及时调整风险应对策略另外也包括针对重大经营控制及风险管理实务的政策。风险管理过程1、确定所处位置和背景2、识别风险3、分析风险4、评价风险并排序5、处置风险风险躲避、风险降低、风险分担、风险承受应当关注的风险1、战略风险:营销战略风险、经营模式
21、风险、收购兼并风险、消费行为风险、政治立法风险2、财务风险:资金管理风险、信用管理风险、财务舞弊风险、税收金融风险、实物资产风险3、经营风险:产品设计风险、工艺流程风险、产品平安风险、雇员平安风险、劳资关系风险4、商业风险:客户关系风险、供给关系风险、商业道德风险、违法违规风险5、技术风险:研究开发风险、技术更新风险、设备故障风险、环境保护风险被审计单位的风险评估过程与控制环境即内部环境相关的控制被审计单位的风险评估过程针对重大经营控制及风险管理实务的政策注册会计师在这方面可以考虑的主要因素包括但不限于:企业是否建立了重大风险预警机制,明确界定哪些风险是重大风险,哪些事项一旦出现必须启动应急处
22、理机制。应急预案、预警机制等相关的政策和方案应非常明确地传到达相关人员,一旦出现紧急情况,企业能够在第一时间作出反响,将损失降到最低。企业是否建立了突发事件应急处理机制,确保突发事件得到及时妥善处理。注册会计可以关注突发事件应急管理机制的以下方面:事前的预防发生突发事件的应急处理事后相关措施的改进被审计单位的风险评估过程-例如被审计单位的风险评估过程-例如续对控制有效性的内部监督即监督其他控制的控制和内部控制评价对控制有效性的内部监督和内部控制评价可以在企业层面实施,也可以在业务流程层面实施。包括:监督经营成果的控制集中化的处理和控制对运行报告的复核和核对与外部人士的沟通将信息系统记录数据与实物资产进行核对内部审计监督经营成果的控制监督经营成果的控制可以视为所有监督性内部控制的一种。一般而言,管理层对于各个单位或业务部门的经营情况的监控是其中一种主要的企业层面的内部控制。注册会计师在了解和与监督经营成果相关的企业层面的内部控制时可以考虑的因素包括但不限于:管理层是否认期将经营成果与预算进行比照分析及复核,以分析财务资料是否存在异常情况。是否认期编制主要经营指标并对这些指标进行审阅及分析,以分析财务资料是否存在异常情况。是否认期更新经营预测,并且与期末的实际经营结果进行比照分析。监督经营成果的控制例如监督经营成果的控制例如续谢 谢 大 家!
