企业内部控制审计指引详解_第1页
企业内部控制审计指引详解_第2页
企业内部控制审计指引详解_第3页
企业内部控制审计指引详解_第4页
企业内部控制审计指引详解_第5页
已阅读5页,还剩43页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

企业内部控制审计 指引详解 引言: 一、为什么要如此重视内部控制? (一)国家整体管制角度 ( 2001年大陆财政部发布 内部会计控制 规范 ) (二)单个企业发展角度 企业(公司)质量与效益的重要性 (二)社会公众需求角度 关注 财务报表 同时关注 相关内部控制 二、什么是企业内部控制? (一)内部控制的概念 内部控制是由企业董事会、监事会、经 理层和全体员工实施的、旨在实现控制目 标的过程。 (全面内部控制理念) (二)内部控制的 5目标 合理保证 经营合规 、 资产安全 、 财务报 告及相关信息 真实完整 、 经营有效性 ,促 进企业实现 发展战略 。美国内控目标如下 : 美国和国际上通常认为内部控 制应实现以下 3大目标: 即合理保证实现: ( 1)财务报告( financial reporting)的可 靠性; ( 2)经营( operation)的效率和效果; ( 3)对法律法规的遵守( compliance)。 注:资产安全目标哪去了? (三)内部控制的 5要素 1、 内部环境(控制环境) 2、 风险评估 3、 信息与沟通 4、 控制活动 5、 内部监督 (对控制的监督 ) (四)内部控制的固有局限性 内部控制存在下列固有局限性,无论如 何设计和执行,只能对财务报告的可靠性提 供合理的保证: 1、在决策时 人为判断 可能出现错误和由 于 人为失误 而导致内部控制失效; 2、可能由于两个或更多人员进行 串通 或 管理层凌驾 于内部控制之上而被规避。 三、内部控制标准体系 1、 企业内部控制基本规范 2、 企业内部控制应用指引 3、 企业内部控制评价指引 4、 企业内部控制审计指引 注: 2006年 6个部委组建大陆企业内部控制标准委员 会,迄今工作成果如下: A, 1、已发布自 2009-7-1起上市公司执行( 5部位联 合发布)。 B, 234于 2010-4-26发布, 2011-1-1起境内外上市 公司执行, 2012-1-1起主板执行,在此基础上,择机 在中小板和创业板上市公司施行。同时,鼓励非上市大 中型企业提前执行。 1、 企业内部控制基本规范 1个 1)五个目标: 合规性、可靠性、安全性、经济性,战略性 (美国 COSO是: 3个目标,无安全性和战略性 ) 2)五个原则: 全面性、重要性、制衡性、适应性、成本效 益 3)五个要素: 内部环境、风险评估、信息与沟通、控制活 动、内部监督 2、 大陆企业内部控制应用指引 21个 总体情况: 21个应用指引(此次发布 18个 ,涉及银行、证券和保险等业务的 3个指引 暂未发布) 18个应用指引的分类: ( 1) 内部环境类 指引 -5个 (侧重企业层面控制) ( 2) 控制活动类 指引 -9个 (侧重业务层面控制) ( 3) 控制手段类 指引 -4个 (侧重企业层面控制) 注:基本涵盖了 企业资金流、实物流、人力企业资金流、实物流、人力 流和信息流流和信息流 等各项业务和事项。 18个应用指引的内容: ( 1)内部环境类指引 5 个 (侧重企业层面控制) 组织框架 (含治理结构、机构设置、职责分配及不相 容职务分离)、 发展战略、人力资源、企业文化、社会责 任 (含安全生产,产品质量,环境保护与资源节约等) (注:企业自我评价时要以内部环境为基础) ( 2)控制活动类指引 9 个 (侧重业务层面控制) 资金活动、资产管理、采购业务、销售业务、研究与 开发、工程项目、担保业务、业务外包、财务报告 (注:企业自我评价时要以控制活动为重点) ( 3)控制手段类指引 4 个 (侧重企业层面控制) 全面预算、合同管理、内部信息传递、信息系统 (注:企业自我评价时应当兼顾控制手段) 注:财政部等还将出台具体的操作手册或讲解材料 企业内部控制应用指引 框架 第一章:总则 (含本指引制定目的,控制对象(定义),相关 风险,关键控制点) 第二至 N章: 具体规定关键控制点 (不相容岗位分 离 ) (总要求是:职责分工与授权控制,全面实现控制 目标) 、第一关键控制点 、第二关键控制点 N、评估与披露(第 -1个关键控制点) 3、 企业内部控制评价指引 1个 ( 1) 管理层要提交内部控制评价报告 (年度评价和专项评价) ( 2)评价工作的组织与实施 1) 谁负责: 企业主要负责人 2) 谁实施: 董事会(或类似决策机构)或其授权机 构(可借助 CPA或外部专家) 3) 遵循原则: 全面性、重要性和独立性等原则 4) 评价工作程序(即评价方案的设计及实施) 5) 评价方法 6) 工作底稿编制与复核 ( 3) 年度评价和报告的内容 1)评价: 对 整个年度、所有内部控制 在某一基准日 的有效性评价后,发表 一个意见 。 2)报告: 只需且只能报告内控设计或执行存在的 重大缺陷 注 1:内部控制缺陷认定有三种: 重大缺陷 ; 重要缺 陷 ; 一般缺陷。 注 2: 2010年上市公司内部控制自我评价报告存在的问 题:只报告与财务报告密切相关的内部控制设计和运 行情况。这样做对吗? ( 4)内部控制评价报告 1)组织实施内部控制评价的总体情况。 2)内部控制责任主体的声明。 3)内部控制评价的范围和内容。 4)内部控制评价的标准和依据。 5)内部控制评价的程序和方法。 6)内部控制重大缺陷及其认定情况。 7)内部控制重大缺陷的整改措施及责任追究情 况。 8)内部控制有效性的结论(基准日)。 敬请注意:存在一个或多个内部控制重大缺陷 的,应当作出内部控制无效的结论。 正题:企业内部控制审计指引讲解 开场白: 1、 CPA和企业的责任都在不断地加大; 2、 内控审计结果将成为考核企业的重要指标; 3、 与财务报表审计有较大的不同。 建议 : CPA和企业(公司)领导层都要高度重 视内部控制问题 背景回顾:美国内部控制审计的发展历程 2002年, 萨班斯 奥克斯利法案 2004年 3月, PCAOB, AS NO2 2007年 6月, PCAOB, AS NO5 An audit of Internal Control Over Financial Reporting That is Integrated with An audit of Financial Statements CPA与内控关系发展史: 财务报表审计中 不关注 内控 财务报表审计中 关注 与审计相关的内控 (新旧国际准则要求 不同) 单独审核 ( EXAMINATION) 财务报告内部 控制 单独 审计 财报内控( AUDIT)(跨入双重审计新时代) , 要求公司管理层先得编制内部控制自评报告,后 CPA再审计 一、 指引 ( 7章 35条)的结构 1章、总则 2章、计划审计工作 3章、实施审计工作 4章、评价控制缺陷 5章、完成审计工作 6章、出具审计报告 7章、记录审计工作 附录: 4个内部控制审计报告的参考格式 二、各章内容讲解 第一章 “ 总则 ” 讲解( 5条) 1、制定的目的和依据 第一条 为了 规范注册会计师执 行企业内部控制审计业务,明确工作 要求,保证执业质量, 根据 企业内 部控制基本规范 、 中国注册会计 师鉴证业务基本准则 及相关执业准 则,制定本指引。 2、内部控制审计的定义和责任划分 第二条 本指引所称内部控制审计,是指会计 师事务所接受委托,对 特定基准日 内部控制内部控制 设计与 运行 的有效性进行审计。 第三条 建立健全和有效实施内部控制,评价 内部控制的有效性是 企业董事会 的责任。按照本指 引的要求,在实施审计工作的基础上对内部控制的 有效性发表审计意见,是 注册会计师 的责任。 (注意: CPA审计不能减轻管理层责任) 3、总体审计要求 第四条 注册会计师执行内部控制 审计工作,应当 获取充分、适当的证 据 ,为发表内部控制审计意见提供合 理保证。 证据 注册会计师应当对 财务报告内部 控制 的有效性发表审计意见,并对内 部控制审计过程中注意到的 非财务报 告内部控制 的重大缺陷,在内部控制 审计报告中增加 “非财务报告内部控制 重大缺陷描述段 ”予以披露。 报告 4、内部控制审计与财务报表审计的关系 第五条 注册会计师 可以单独 进行内部控制审 计,也可以将内部控制审计与财务报表审计 整合 进行 (以下简称整合审计)。 在整合审计中,注册会计师应当 对内部控制 设计与运行的有效性进行测试 ,以同时实现下列 目标: (一)获取充分、适当的证据,支持其在内部 控制审计中对内部控制有效性发表的意见; (二)获取充分、适当的证据,支持其在财务 报表审计中对控制风险的评估结果。 (思考问题:两种审计是同一家事务所做,还是不 同事务所做?) 补充讲:两种审计中控制测试和实质性程序 之间的关系 1、内部控制审计中对控制有效性的测试 1)注册会计师应当获取内部控制在一段足够长的 期间内有效运行的证据,测试的期间 可能短于财务报表 涵盖的整个期间 (通常一年)。 (测试时间) 2)注册会计师应当测试 所有相关认定 的控制,以 获取其设计和运行有效性的证据。 (测试范围) 如果仅对财务报表发表审计意见,注册会计师可 能不需要测试这些控制 。 3)在内控审计中,注册会计师在对内控有效性形 成结论时,应当 同时考虑 财务报表审计中实施的、所有 针对控制设计和运行有效性测试的结果。 (相互利用) 2、财务报表审计中对控制有效性的测试 1)如果将某项财务报表认定的控制风险评估为 低于最高水平,注册会计师需要获取拟信赖的相关控 制在 整个期间 有效运行的证据。 (测试时间) 2)注册会计师不必将 所有相关认定 的控制风险 评估为低于最高水平,因此,可能不对所有控制的运 行有效性进行测试。 (测试范围) 3)在财务报表审计中,注册会计师在评估控制 风险时,应当 同时考虑 内控审计中实施的、所有针对 控制设计和运行有效性测试的结果。 (相互利用) 3、控制有效性的测试对实质性程序的影响 1)如果在内部控制审计中识别出某项控制缺陷 ,注册会计师应当 评价该项缺陷 对财务报表审计中 拟实施的实质性程序的性质、时间和范围的影响。 2)在财务报表审计中,无论控制风险或重大 错报风险的评估水平如何,注册会计师都应当针对 所有重大的各类交易、账户余额及列报实施实质性 程序。 为对内部控制的有效性发表意见而实施的测 试程序并不减轻注册会计师遵守上述规定的责任 。 4、实质性程序对控制有效性结论的影响 1)在内部控制审计中,注册会计师 应当评价 财务报表审计中实施的实质性程序的结果对控制 有效性结论的影响 。评价内容应当包括: ( 1)注册会计师作出的、与选择和实施实质 性程序相关的风险评估,尤其是与舞弊相关的风 险评估; ( 2)发现的违反法规行为和关联方交易方面 的问题; ( 3)表明管理层在选择会计政策和作出会计 估计时存在偏见的情况; ( 4)实施实质性程序发现的错报。 2)注册会计师应当通过直接测试控制获取控 制是否有效的证据, 而不能根据实质性程序没有 发现错报,推断该项控制的有效性 。 第二章 “ 计划审计工作 ” 讲解( 4条) 1、总体要求 第六条 注册会计师应当恰当地计划内部控制审计工作,配备 具有专业胜任能力的项目组,并对助理人员进行适当的督导。 2、考虑因素 第七条 在计划审计工作时,注册会计师应当评价下列事项对 内部控制、财务报表以及审计工作的影响: (一)与企业相关的风险; (二)相关法律法规和行业概况; (三)企业组织结构、经营特点和资本结构等相关重要事项; (四)企业内部控制最近发生变化的程度; (五)与企业沟通过的内部控制缺陷; (六)重要性、风险等与确定内控重大缺陷相关的因素; (七)对内部控制有效性的初步判断; (八)可获取的、与内控有效性相关的证据的类型和范围。 3、风险导向 第八条 注册会计师应当 以 风险评估 为 基础,选择拟测试的控制,确定测试所需 收集的证据。 内部控制的特定领域存在重大缺陷的风 险越高,给予该领域的审计关注就越多。 4、利用其他相关人员的工作 第九条 注册会计师 应当对企业内部控制自我评价工 作进行评估,判断是否利用企业内部审计人员、内部控制 评价人员和其他相关人员的工作以及可利用的程度 ,相应 减少可能本应由注册会计师执行的工作。 需要判断 1)注册会计师利用企业内部审计人员、内部控制评 价人员和其他相关人员的工作, 应当对其专业胜任能力和 客观性进行充分评价。 2)与某项控制相关的风险越高,可利用程度就越低 ,注册会计师应当更多地对该项控制亲自进行测试。 3)注册会计师应当对发表的审计意见独立承担责任 ,其责任不因为利用企业内部审计人员、内部控制评价人 员和其他相关人员的工作而减轻。 责任 (另外计划时还要考虑:调整审计工作,应对舞弊风险 ,确定重要性水平,对企业使用服务机构的考虑等问题) 第三章 “ 实施审计工作 ” 讲解( 20条) 1、运用自上而下方法,选择拟测试的控制 第十条 注册会计师应当按照 自上而下 的方法 实施审计工作。自上而下的方法是 注册会计师 识别风险 、 选择拟测试控制 的 基本思路。注册会计师在实施审计工作时 ,可以将 企业层面控制和业务层面控制 的 测试结合进行。 补充讲 1:自上而下的方法 按照下列思路展开: ( 1)从财务报表层次初步了解内部控制整体风险; ( 2)识别 企业层面 控制; ( 3)识别 重要账户、列报及其相关认定(注:与业 务层面相关) ; ( 4)了解错报的可能来源; ( 5)选择拟测试的控制。 自上而下的方法是注册会计师识别风险及选择拟 测试的控制的思路,但并不一定是实施审计工作 的顺序。 补充讲 2:重要账户、列报 及其相关认定的含义 1)如果 某账户或列报 具有合理可能性包含了一个 错报,该错报单独或连同其他错报将 对财务报表 产生重大影响 (需要同时考虑多报和少报的风险 ),则该账户或列报为重要账户或列报。判断某 账户或列报是否重要,应当 依据其固有风险 ,而 不应考虑相关控制的影响。 2)如果 某财务报表认定 具有合理可能性包含了一 个或多个错报,这个或这些错报将 导致财务报表 发生重大错报 ,则该认定为相关认定。判断某认 定是否为相关认定,应当 依据其固有风险 ,而不 应考虑相关控制的影响。 3) 在内部控制审计中,注册会计师在识别 重要账户、列报及其相关认定时应当评价 的风险因素 ,与财务报表审计中考虑的因素 相同。因此, 在这两种审计中识别的重要 账户、列报及其相关认定应当相同 。 4)在财务报表审计中,注册会计师可能针 对 非重要 账户、列报及其相关认定实施实 质性程序。 补充讲 3:选择拟测试的控制 1)注册会计师应当评价控制是否足以应对评估的 每个相关认定的错报风险,并 选择其中对形成评 价结论具有重要影响的控制进行测试 。 2)对特定的相关认定而言,可能有多项控制应对 评估的错报风险;反之,一项控制可能应对评估 的多个相关认定的错报风险。注册会计师 没有必 要测试与某个相关认定有关的所有控制 。 3)在确定是否测试某项控制时,注册会计师应当 考虑该项控制单独或连同其他控制,是否足以应 对评估的某项相关认定的错报风险, 而不论该项 控制的分类和名称如何。 2、测试企业层面控制 第十一条 注册会计师测试企业层面控制,应当把握 重要性原则, 至少应当关注: (一)与内部环境相关的控制; (二)针对董事会、经理层凌驾于控制之上的风险 而设计的控制; (三)企业的风险评估过程; (四)对内部信息传递和财务报告流程的控制; (五)对控制有效性的内部监督和自我评价。 3、测试业务层面控制 第十二条 注册会计师测试业务层面控制,应当把 握重要性原则,结合企业实际、企业内部控制各项 应用指引的要求和企业层面控制的测试情况,重点 对企业生产经营活动中的重要业务与事项的控制进 行测试。 (与重要账户、列报及其认定相关) 注册会计师应当关注信息系统对内部控制及风 险评估的影响。 4、考虑舞弊风险 第十三条 注册会计师在测试企业层面控制和业务 层面控制时,应当评价内部控制是否足以应对舞弊 风险。 5、测试的内容 第十四条 注册会计师应当测试内部控制 设 计 与 运行 的有效性。 如果某项控制由拥有必要授权和专业胜 任能力的人员按照规定的程序与要求执行 ,能够实现控制目标, 表明该项控制的设 计是有效的 。 如果某项控制正在按照设计运行,执行 人员拥有必要授权和专业胜任能力,能够 实现控制目标, 表明该项控制的运行是有 效的 。 6、测试的程序 1)确定原则 第十五条 注册会计师应当 根据与内部控制相关的 风险, 确定拟实施审计程序的性质、时间安排和 范围,获取充分、适当的证据。与内部控制相关 的风险越高,注册会计师需要获取的证据应越多 。 风险导向 2)程序种类 第十六条 注册会计师在测试控制设计与运行的有 效性时,应当综合运用 询问 适当人员、 观察 经营 活动、 检查 相关文件、 穿行测试 和 重新执行 等方 法。 询问本身并不足以提供充分、适当的证据。 7、测试的时间安排 第十七条 注册会计师在确定测试的时间安 排时,应当在下列两个因素之间作出平衡 ,以获取充分、适当的证据: (一)尽量在接近企业内部控制自我评 价基准日实施测试; (二)实施的测试需要涵盖 足够长 的期 间 (不是全年!) 。 8、控制偏差的处理 第十八条 注册会计师对于内部控制运行偏离设计 的情况(即控制偏差), 应当确定该偏差对相关 风险评估、需要获取的证据以及控制运行有效性 结论的影响 。 9、连续审计时的考虑 第十九条 在连续审计中,注册会计师在确定测试 的性质、时间安排和范围时, 应当考虑以前年度 执行内部控制审计时了解的情况 。 第四章 “ 评价控制缺陷 ” 讲解( 3条) 1、缺陷的种类 第二十条 内部控制缺陷按其成因分为 1) 设计缺陷和运行缺陷 ,按其影响程度分为 2)重大缺陷、重要缺陷和一般缺陷 。 注册会计师应当评价其识别的各项内部 控制缺陷的严重程度,以 确定这些缺陷单 独或组合起来,是否构成重大缺陷 。 1)设计缺陷和运行缺陷 企业在内部控制评价中,应对内部控制 缺陷进行分类分析。 设计缺陷: 缺少为实现控制目标所必 需的控制,或现存控制设计不适当、即使正 常运行也难以实现控制目标。 运行缺陷: 现存设计完好的控制没有 按设计意图运行,或执行者没有获得必要授 权或缺乏胜任能力以有效地实施控制。 2)重大缺陷、重要缺陷和一般缺陷 重大缺陷: 是指一个或多个控制缺陷的组合,可能 导致企业严重偏离控制目标的情形。 重要缺陷: 是指一个或多个控制缺陷的组合,其严 重程度和经济后果低于重大缺陷,但仍有可能导致 企业偏离控制目标的情形。 一般缺陷: 是指除重大缺陷、重要缺陷之外的其他 控制缺陷。 注意: A,即使财务报表不存在重大错报,内部控制也 可能存在重大缺陷 . B,如果内部控制存在一项或多项重大缺陷,内 部控制应被认定为无效 . 2、考虑补偿性控制的影响 第二十一条 在确定一项内部控制缺陷或多项内部控制缺 陷的组合是否构成重大缺陷时,注册会计师应当评价补偿 性控制(替代性控制)的影响。企业执行的补偿性控制应 当具有同样的效果。 3、重大缺陷迹象 第二十二条 表明内部控制可能存在重大缺陷的迹象,主 要包括: (一)注册会计师发现董事、监事和高级管理人员舞弊; (二)企业更正已经公布的财务报表; (三)注册会计师发现当期财务报表存在重大错报,而内 部控制在运行过程中未能发现该错报; (

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论