内部控制审计

企业内部控制审计与报告 国富浩华会计师事务所山东分所 提纲 l 内部控制及内部控制审计 l 内部控制审计的必要性 l 内部控制审计程序 l 内部控制审计的准备 l 编制内部控制审计方案 l 了解被审计单位整体层面内部控制 l 评价业务流程层面内部控制 l 控制测试 l 评价控制缺陷 l 完成审计工作 内部控制及内部控制审计 l 内部控制 内部控制：由企业董事会、证监会、经理层和全体员 工实施的、旨在实现控制目标的过程。 内部控制的目标：合理保证企业经营管理合法合规、 资产安全、财务报告及相关信息真实完整，提高经营 效率和效果，促进企业实现发展战略。 l 内部控制审计 内部控制审计是指对特定基准日内部控制设计与运行 的有效性进行的审计。（企业内部控制审计指引） 内部控制审计则是审计机构和审计人员对被审计单位 内部控制的健全性、适当性、有效性所进行的检查和 评价行为。 内部控制及内部控制审计 l 财务报告内部控制 指企业为了合理保证财务报告及相关信息真实完整而设计和运 行的内部控制，以及用于保护资产安全的内部控制中与财务报 告可靠性目标相关的控制。主要包括下列方面的政策和程序： l 保存充分、适当的记录，准确、公允地反映企业的交易和事项； l 合理保证按照企业会计准则的规定编制财务报表； l 合理保证收入和支出的发生以及资产的取得、使用或处置经过适 当授权； l 合理保证及时防止或发现并纠正未经授权的、对财务报表有重大 影响的交易和事项。 l 非财务报告内部控制 指除财务报告内部控制之外的其他控制，通常是指为了合理保 证经营的效率效果、遵守法律法规、实现发展战略而设计和运 行的控制，以及用于保护资产安全的内部控制中与财务报告可 靠性目标无关的控制。 内部控制及内部控制审计 l 内部控制审计与内部控制的关系 内部控制审计的必要性 l 是贯彻法律、法规的要求 2008年 6月，财政部等五部委联合发布了 企 业内部控制基本规范 （财会 2008 7号） 2010年 4月，财政部等五部委联合发布了 企 业内部控制审计指引 （财会 201011号） 内部审计具体准则第 5号 内部控制审计 l 内部控制审计是完善内部控制的重要途 径 l 是审计方法发展的要求 l 提高企业社会认知度的需要 内部控制审计程序 内部控制审计程序 内部控制审计的准备 l 确定审计重点 ,编制内部控制审计计划 编制年度、半年内部控制审计计划 ,并根据实 际工作出现的新情况和新问题及时对计划进行 调整、修改和补充 l 组建内部控制审计工作组 组建内部控制审计工作组 ,任命工作组组长 ,并 对工作组成员提出任务性质、工作量、完成时 间、注意事项等要求 ,同时进行审计前有关法 律法规、主要业务培训 ,为现场审计打好基础 。 编制内部控制审计方案 l 内部控制审计工作组组长负责编制内部 控制审计方案 l 内部控制审计方案主要内容包括内部控 制审计的目的、审计的时间、审计的范 围、审计的方式、审计的内容、人员的 分工等。 l 内部控制审计方案要保证能够使审计工 作达到预期效果。 内部控制审计项目计划和时间表 控制类型与测试方法 下达审计通知书 了解被审计单位整体层面内部控制 l 基本要求 了解被审计单位整体层面内部控制的设计，并记录所获得的了 解。 针对被审计单位 整体层面内部控制的控制目标，记录相关的 控制活动。 执行询问、观察和检查程序，评价控制的执行情况。 记录在了解和评价整体层面内部控制的设计和执行过程中存在 的缺陷以及拟采取的应对措施。 l 工作内容 了解和评价控制环境 了解和评价被审计单位的风险评估过程 了解和评价信息系统与沟通 了解和评价被审计单位对控制的监督 了解整体层面内部控制汇总表 了解和评价控制环境 l 对诚信和道德价值观念的沟通与落实 l 对胜任能力的重视 l 治理层的参与程度 l 管理层的理念和经营风格 l 组织结构 l 职权与责任的分配 l 人力资源的政策与实务 了解和评价被审计单位风险评估过程 l 建立公司整体目标并传达到相关层次 l 建立风险识别、应对机制处理具有普遍 影响的变化 l 会计部门建立流程适应会计准则的重大 变化 l 政策和程序得到有效执行 了解和评价控制信息系统与沟通 l 与财务报告相关的信息系统 向适当人员提供的信息充分、具体且及时，保 证其能够有效地履行职责 组织内部有充分畅通的横向沟通渠道，横向信 息传递完整、及时 会计系统中的数据与实物资产定期核对 l 沟通 就岗位职责与员工进行有效沟通 针对不恰当事项和行为建立沟通渠道 了解和评价被审计单位对控制的监督 l 持续监督 内部控制定期评价 内部控制制度对常规工作活动的保障程度能够评价 内部审计工作有效 政策和程序得到有效执行 l 专门评价 对内部控制进行专门评价，专门评价的范围和频率适 当 评价过程、方法是适当的 书面记录适当 工作记录 记录填写要求 l “拟实施的风险评估程序 ”一列，应根据注册会 计师针对控制目标计划采取的审计程序，包括 询问、观察和检查； l “被审计单位的控制 ”一列应记录被审计单位实 际采取的控制活动； l “询问 ”一列应填写该询问对象的姓名、级别、 所在部门以及询问日期。 l 对控制的评价结论可能是： (1) 控制设计合理 ，并得到执行； (2) 控制设计合理，未得到执 行； (3) 控制设计无效或缺乏必要的控制。 在整体层面了解内部控制的结论 l 内部控制存在重大缺陷的情形可能包括 ： 在审计工作中发现了重大错报，而被审计单 位的内部控制没有发现；控制环境薄弱、存在 高层管理人员舞弊迹象（无论涉及金额大小） 等在整体层面了解内部控制的结论 评价业务流程层面内部控制 l 工作内容 了解内部控制设计 控制流程 评价内部控制设计 控制目标及控制活动 确定控制是否得到执行 (穿行测试 ) 汇总结论 l 工作要求 了解被审计单位各业务循环和财务报告相关的内部控制的设计 ，并记录获得的了解。 针对各业务循环的控制目标，记录相关控制活动，以及受该 控制活动影响的交易和账户余额及其认定。 执行穿行测试，证实对交易流程和相关控制的了解，并确定 相关控制是否得到执行。 记录在了解和评价业务循环的控制设计和执行过程中识别的风 险，以及拟采取的应对措施。 了解内部控制设计 控制流程 l 应当采用文字叙述、问卷、核对表和流程图等方式， 或几种方式相结合，记录对控制流程的了解。 l 对重要业务活动控制流程的记录应涵盖自交易开始至 与其他业务循环衔接为止的整个过程。 交易如何生成，包括电子数据交换 (EDI)和其他电子商务形式 的性质和使用程度； 控制执行涉及人员的姓名及其执行的程序； 处理交易采用的重要信息系统； 与处理财务信息相关的政策和程序； 会计记录及其他支持性信息； 主要输出信息 (包括以纸质、电子或其他介质形式存在的信息 ) 及用途； 输入交易信息并过至明细账和总账的程序； 会计分录的生成、记录和处理程序。 l 如果被审计单位针对不同类型的业务分别采用不同的 控制流程和控制活动，应分别予以记录。 了解内部控制设计 控制流程 l 采购与付款循环 l 工薪与人事循环 l 生产与仓储循环 l 销售与收款循环 l 筹资与投资循环 l 固定资产循环 评价内部控制目标及活动 l 如果多项控制活动能够实现同一控制目标，不必了解 与该项控制目标相关的每项控制活动。 l 在某些情况下，某些控制活动单独执行时，并不能完 全达到控制目标，这时注册会计师需要识别与该特定 目标相关的额外的控制活动，并对其进行测试，以获 取达到控制目标的足够的保证程度。 l 一项控制活动可能可以达到多个控制目标。为提高审 计效率，如存在可以达到多个控制目标的控制活动， 可以考虑优先测试该控制活动。 l 如果某一项控制目标没有相关的控制活动或控制活动 设计不合理，应考虑被审计单位控制的有效性以及其 对拟采取的审计策略的影响。 l 如果拟信赖以前审计获取的有效性的审计证据，应当 通过实施询问并结合观察或者检查程序，获取该等控 制是否已发生变化的审计证据，并予以记录。 确定控制是否得到执行 (穿行测试 ) l 通常应执行穿行测试程序，以取得控制是否得 到执行的审计证据，并记录测试过程和结论， 可以保留与所测试的控制活动相关的文件或记 录的复印件，并与审计工作底稿进行索引。 l 应对整个流程执行穿行测试，涵盖交易自发生 至记账的整个过程。 l 如拟实施控制测试，在本循环中执行穿行测试 检查的项目也可以作为控制测试的测试项目之 一。 控制执行情况的评价结果 l “主要业务活动 ”、 “控制目标 ”、 “受影响的相关交易和 账户余额及其认定 ”、 “被审计单位的控制活动 ”以及 “ 控制活动对实现控制目标是否有效 ”栏目的内容根据记 录填写。 l 对 “是否测试该控制活动运行有效性 ”一栏，如果某项 控制设计不合理或虽然设计合理，但未得到执行，不 拟测试该控制活动运行的有效性，则应填写 “否 ”，并注 明理由。 l 如拟信赖以前审计获取的某些控制活动运行有效性的 审计证据，不再实施控制测试，则应在 “是否测试该控 制活动运行有效性 ”一栏中填写 “否 ”，并注明理由。 控制测试 样本数量与测试结论 发 生 频 率 初始 样 本数量 异常 样 本数量 补 充 样 本数量 新异常 样 本数量 测试结论 每年 发 生一次 1 0 控制有效 1 控制失效 每半年 发 生一次 2 0 控制有效 1 控制失效 每季度 发 生一次 2 0 控制有效 1 控制失效 每月 发 生一次 3 0 控制有效 1 2 0 控制有效 1 控制失效 2 控制失效 每周 发 生一次 10 0 控制有效 1 6 0 控制有效 1 控制失效 2 控制失效 常 规业务 25 0 控制有效 1 控制有效 2 15 0 控制有效 1 控制失效 3 控制失效 控制测试汇总表 控制测试汇结论 评价控制缺陷 l 内部控制缺陷按其成因分为设计缺陷和运行缺陷，按 其影响程度分为重大缺陷、重要缺陷和一般缺陷。 l 在确定一项内部控制缺陷或多项内部控制缺陷的组合 是否构成重大缺陷时，审计人员应当评价补偿性控制 （替代性 控制）的影响。企业执行的补偿性控制应当 具有同样的效果。 l 表明内部控制可能存在重大缺陷的迹象，主要包 括： 发现董事、监事和高级管理人员舞弊。 企业更正已经公布的财务报表。 注册会计师发现当期财务报表存在重大错报，而内部控制 在 运行过程中未能发现该错报。 企业审计委员会和内部审计机构对内部控制的监督无效。 适 用 于 所 有 行 业 定量方法一 评 分 低 中 高 定量方法二 企 业财务损 失占税前 利 润 的百分比 (% ） 1%-5% 6%-10% 11%-20% 定性方法 文字描述一 轻 微的 中等的 重大的 文字描述二 低 中等 高 文 字 描 述 三 企 业 日常运行 轻 度影响 (造成 轻 微 的人身 伤 害，情况立 刻受到控制 ) 中度影响 (造成一定人身 伤 害，需要医 疗 救援， 情况需要外部支持才能 得到控制 ) 严 重影响 (企 业 失去一些 业务 能力，造成 严 重人 身 伤 害，情况失控，但无 致命影响 ) 财务损 失 轻 微的 财务损 失 中等的 财务损 失 重大的 财务损 失 企 业 声誉 负 面消息在当地局部 流 传 ， 对 企 业 声誉 造成 轻 微 损 害 负 面消息在某区域流 传 ， 对 企 业 声誉造成中等 损 害 负 面消息在全国各地流 传 ， 对 企 业 声誉造成重大 损 害 适 用 于 开 采 业 、 制 造 业 定 性 与 定 量 结 合 安 全 严 重影响一位 职 工或 公民健康 严 重影响多位 职 工或公 民健康 导 致一位 职 工或公民死亡 营 运 -对营 运影响 轻 微 -受到 监 管者 责难 -在 时间 、人力或成 本方面超出 预 算 1%- 5% -减慢 营业 运作 -受到法 规惩罚 或被 罚 款等 -在 时间 、人力或成本方 面超出 预 算 6%-10% -无法达到部分 营 运目 标 或关 键业绩 指 标 -受到 监 管者的限制 -在 时间 、人力或成本方 面超出 预 算 11%-20% 环 境 -对环 境或社会造成 一定的影响 -应 通知政府有关部 门 -对环 境造成中等影响 -需一定 时间 才能恢复 -出 现 个 别 投 诉 事件 -应执 行一定程度的 补 救措施 -造成主要 环 境損害 -需要相当 长 的 时间 来恢 复 -大 规 模的公众投 诉 -应执 行重大的 补 救措施 完成审计工作 l 完成审计工作后，应当取得经企业签署 书面声 明。 l 企业如果拒绝提供或以其他不当理由回避书面 声 明，应当将其视为审计范围受到限制。 l 应当与企业沟通审计过程中识别的所有控制缺 陷。对于其中的重大缺陷和重要缺陷，应当以 书面形式与董事会和经理层沟通。 l 应当对获取的证据进行评价，形成对内部控制 有效性的意见。 出具审计报告 l 财务报告内部控制虽不存在重大缺陷，但仍有 一项或者多项重大事项需要提请内部控制审计 报告使用 者注意的，应当在内部控