企业内部控制审计-唐建华.ppt

1 企业内部控制审计指引实施意 见讲解 2013年10月 2 主讲人简介 唐建华，中注协专业标准与技术指导部主任 3 我国原有的内部控制鉴证规范 2001年中注协发布内部控制审核指导意见 最大特点是年报审计与内部控制审核独立进行。 没有提出自上而下和风险导向的审计思路 4 我国内部控制鉴证规范 企业内部控制审计指引2010年4月 企业内部控制审计指引实施意见2011年10月 比美国PCAOB 5 略严，更具体 企业内部控制审计工作底稿编制指南2011年 12月（参考资料，不具有强制性） 5 与内部控制审核指导意见的关系 明确业务性质是审计 采用整合审计框架 明确了审计思路 自上而下的方法 风险导向审计 利用他人的工作 6 二、审计思路 7 内部控制审计工作做到什么份上？ 审计对象是保证财务报表质量的一套机制 要求覆盖每个相关认定 要求覆盖财务报表层次和认定层次的重大 错报风险 8 审计思路 风险导向审计 自上而下的审计方法 9 风险导向审计 其实质在于：以财务报告内部控制重大缺陷风险的识别 、评估和应对作为审计工作主线，在风险评估的基础上 ，将审计资源投放在高风险领域，以提高审计效率和效 果。 审计风险内部控制存在重大缺陷的风险检查风险 内部控制存在重大缺陷的风险=控制无效的风险无效 导致重大缺陷的风险 10 风险导向审计 风险评估的导向作用 确定重要账户 确定相关认定 确定控制测试的性质、时间安排和范围 确定利用他人工作的程度 集团测试范围的确定 11 识别、了解和评价企业整体层面控制的设计有效性 从财务报表层次识别重大账户 识别相关认定 识别重要的业务流程和主要的交易类别 识别流程中错报可能发生的环节 识别和测试预防或及时发现错报发生的控制（业务 流程层面的控制） 选择拟测试的控制 从报表层次出发,了解内部控制整体风险 自 上 而 下 的 方 法 12 三、关于签订业务约定书 13 业务约定书 独立性（从网络所范畴考虑） 内部控制审计的前提条件 适用的内部控制标准 就被审计单位认可并理解其责任与治理层和 管理层达成一致意见（自我评价工作） 签定单独的业务约定书 审计范围 财务报告内部控制（需要梳理） 豁免 14 四、计划审计工作 15 五、实施审计工作 16 实施审计工作 控制有效性的内涵 控制有效性测试的性质、时间安排和范围 与控制相关的风险 17 六、连续审计时的特殊考虑 18 人工控制（每年必须测试） 自动化控制（可采用对标策略） 增加测试的不可预测性 19 七、集团审计时的特殊考虑 20 八、评价控制缺陷 21 九、完成审计工作 22 完成审计工作 获取管理层声明 沟通缺陷 评价企业内部控制评价报告对相关法律法规规 定的要素的列报是否完整和恰当 23 获取管理层声明 注册会计师应当获取经被审计单位签署的书面声明。书面声明的内容应当 包括： 被审计单位董事会认可其对建立健全和有效实施内部控制负责； 被审计单位已对内部控制进行了评价，并编制了内部控制评价报告； 被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作 为评价的基础； 被审计单位根据内部控制标准评价内部控制有效性得出的结论； 被审计单位已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷 和重要缺陷； 被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞弊，以及其他不会导 致财务报表发生重大错报，但涉及管理层、治理层和其他在内部控制中具有重要作用的员 工的所有舞弊； 注册会计师在以前年度审计中识别出的且已与被审计单位沟通的重大缺陷和重要缺陷是否 已经得到解决，以及哪些缺陷尚未得到解决； 在基准日后，内部控制是否发生变化，或者是否存在对内部控制产生重要影响的其他因素 ，包括被审计单位针对重大缺陷和重要缺陷采取的所有纠正措施。 24 沟通缺陷 对于重大缺陷和重要缺陷，注册会计师应当以 书面形式与管理层和治理层沟通。书面沟通应 当在注册会计师出具内部控制审计报告之前进 行。 注册会计师应当以书面形式与管理层沟通其在 审计过程中识别的所有其他内部控制缺陷，并 在沟通完成后告知治理层。在进行沟通时，注 册会计师无需重复自身、内部审计人员或被审 计单位其他人员以前书面沟通过的控制缺陷。 25 内部控制审计与管理层自我评估的关系 企业内部控制审计报告应当与内部控制评价报 告同时对外披露或报送。 在企业治理层的监督下，按照企业内部控制 基本规范和相关规定，设计、实施和维护有 效的内部控制，并评价其有效性是企业管理层 的责任。按照本指引的要求，在实施审计工作 的基础上对内部控制的有效性发表审计意见， 是注册会计师的责任。 内部控制审计不能减轻企业管理层的责任。注 册会计师在内部控制审计或财务报表审计中实 施的程序并不是企业内部控制的组成部分。 26 十、出具审计报告 27 无保留意见审计报告 内部控制不存在重大缺陷 不存在审计范围受到限制的情况 28 无保留意见审计报告 股份有限公司全体股东： 按照企业内部控制审计指引及中国注册 会计师执业准则的相关要求，我们审计了股 份有限公司（以下简称公司） 年 月 日的财务报告内部控制的有效性。 一、企业对内部控制的责任 按照企业内部控制基本规范、企业内 部控制应用指引、企业内部控制评价指引 的规定，建立健全和有效实施内部控制，并 评价其有效性是企业董事会的责任。 29 无保留意见审计报告 二、注册会计师的责任 我们的责任是在实施审计工作的基础上，对 财务报告内部控制的有效性发表审计意见，并 对发现的非财务报告内部控制的重大缺陷进行 描述。 30 无保留意见审计报告 三、内部控制的固有局限性 内部控制具有固有局限性，存在不能防止和 发现错报的可能性。此外，由于情况的变化可 能导致内部控制变得不恰当，或对控制政策和 程序遵循的程度降低，根据内部控制审计结果 推测未来内部控制的有效性具有一定风险。 31 无保留意见审计报告 四、财务报告内部控制审计意见 我们认为，于 年 月 日， 公司按照企业内部控制基本规范和相 关规定在所有重大方面保持了有效的财务 报告内部控制。 32 无保留意见审计报告 五、非财务报告内部控制的重大缺陷（如果有） 在内部控制审计过程中，我们注意到公 司的非财务报告内部控制存在重大缺陷描述该 缺陷的性质及其对实现相关控制目标的影响程 度。由于存在上述重大缺陷，我们提醒本报告 使用者注意相关风险。需要指出的是，我们并 不对公司的非财务报告内部控制发表意见或 提供保证。本段内容不影响对财务报告内部控 制有效性发表的审计意见。 33 带强调事项段的审计报告 无保留意见是前提 强调事项 34 带强调事项段的情形 管理层内部控制评价报告的表达不完整或不恰 当 如果确定管理层评估报告的表达不完整或不恰当，注册 会计师应当在审计报告中增加强调事项段，说明这一情 况并解释得出该结论的理由。 35 带强调事项段的情形 期后事项 注册会计师可能知悉在管理层评估日并不存在、 但在期后期间发生的事项。如果这类期后事项 对内部控制有重大影响，注册会计师应当在审 计报告中增加强调事项段，以描述该事项及其 影响，或提醒审计报告使用者关注管理层内部 控制评估报告中披露的该事项及其影响。 36 带强调事项段的情形 其他信息存在对事实重大错报 如果认为其他信息含有对事实的重大错报，注册 会计师应当就此与管理层进行讨论。 如果讨论后仍认为存在对事实的重大错报，注册 会计师应当以书面形式，将其看法告知管理层 和审计委员会。 37 带强调事项段内部控制审计报告 以上内容同标准审计报告 六、强调事项 我们提醒内部控制审计报告使用者关 注，（描述强调事项的性质及其对内部控 制的重大影响）。本段内容不影响已对财 务报告内部控制发表的审计意见。 38 否定意见审计报告 内部控制存在一项或多项重大缺陷 不存在审计范围受到限制的情况 39 否定意见内部控制审计报告 以上内容同标准审计报告 四、导致否定意见的事项 重大缺陷，重大缺陷是内部控制中存在的、可能导致 不能及时防止或发现并纠正财务报表出现重大错报的一 项控制缺陷或多项控制缺陷的组合。 指出注册会计师已识别出的重大缺陷，并说明重大 缺陷的性质及其对财务报告内部控制的影响程度。 有效的内部控制能够为财务报告及相关信息真实完 整提供合理保证，而上述重大缺陷使公司内部控制失 去这一功能。 40 否定意见内部控制审计报告 管理层已识别出上述重大缺陷，并将其包含 在企业内部控制评价报告中，但未在所有重大 方面得到公允反映。（上述重大缺陷尚未包括 在企业内部控制评价报告中管理层已识别出 上述重大缺陷，并将其包括在企业内部控制评 价报告中，且已在所有重大方面得到公允反映 ）在公司年财务报表审计中，我们已经考 虑了上述重大缺陷对审计程序的性质、时间安 排和范围的影响。本报告并未对我们在 年 月 日对公司年财务报表出具的审计报 告产生影响。 41 否定意见内部控制审计报告 五、财务报告内部控制审计意见 我们认为，由于存在上述重大缺陷及其对实 现控制目标的影响，于 年 月 日， 公司未能按照企业内部控制基本规范和 相关规定在所有重大方面保持有效的财务报告 内部控制。 42 否定意见内部控制审计报告 六、非财务报告内部控制的重大缺陷 参见标准内部控制审计报告相关段落 表述。 43 无法表示意见的审计报告 审计范围受到限制 如果已实施的审计程序识别出内部控 制重大缺陷，应当在报告中指明 44 无法表示意见内部控制审计报告 股份有限公司全体股东： 我们接受委托，对股份有限公司（以下简 称公司）的财务报告内部控制进行审计。 删除注册会计师的责任段，“一、企业对内 部控制的责任”和“二、内部控制的固有局限性” 参见标准内部控制审计报告相关段落表述。 45 无法表示意见内部控制审计报告 三、导致无法表示意见的事项 描述审计范围受到限制的具体情况。 46 无法表示意见内部控制审计报告 四、财务报告内部控制审计意见 由于审计范围受到上述限制，我们未能实施 必要的审计程序以获取发表意见所需的充分、 适当证据，因此，我们无法对公司于 年 月 日的财务报告内部控制的有效性发表 意见。 47 无法表示意见内部控制审计报告 五、识别的内部控制重大缺陷（如果有） 重大缺陷是内部控制中存在的、可能导致不能及时 防止或发现并纠正财务报表出现重大错报的一项控制缺 陷或多项控制缺陷的组合。 尽管我们无法对公司财务报告内部控制的有效性 发表意见，但在我们实施的有限程序的过程中，发现了 以下重大缺陷： 指出注册会计师已识别出的重大缺陷，并说明重大 缺陷的性质及其对财务报告内部控制的影响程度。 有效的内部控制能够为财务报告及相关信息真实完 整提供合理保证，而上述重大缺陷使公司内部控制失 去这一功能。 48 无法表示意见内部控制审计报告 六、非财务报告内部控制的重大缺陷 参见标准内部控制审计报告相关段落 表述。 49 十一、财务报告内部控制审计 与财务报表审计的整合 50 (一)财务报表审计中对内部控 制的了解和测试 51 审计目标 第二十五条 在执行财务报表审计工作时， 注册会计师的总体目标是： （一）对财务报表整体是否不存在由于舞弊 或错误导致的重大错报获取合理保证，使得注 册会计师能够对财务报表是否在所有重大方面 按照适用的财务报告编制基础编制发表审计意 见； （二）按照审计准则的规定，根据审计结果 对财务报表出具审计报告，并与管理层和治理 层沟通。 审计思路 要求注册会计师在审计实务中切实贯彻风 险导向审计理念，以重大错报风险的识别 、评估和应对作为审计工作的主线。 审计风险模型 审计风险=重大错报风险检查风险 重大错报风险=固有风险控制风险 53 54 应 对 评 估 的 重 大 错 报 风 险 财务报表层次 认定层次 55 认 定 层 次 重 大 错 报 风 险 的 应 对 根据评估的风险确定拟实施的进一 步审计程序的性质、时间和范围 56 进 一 步 审 计 程 序 控制测试 认定层次实质性程序 57 了解内部控制 第十五条 注册会计师应当了解与审 计相关的内部控制。 42了解内部控制有助于注册会计师识别 潜在错报的类型和影响重大错报风险的因 素，以及设计进一步审计程序的性质、时 间安排和范围。 58 测试内部控制的运行有效性 第八条 当存在下列情形之一时，注册会计师应 当设计和实施控制测试，针对相关控制运行的 有效性，获取充分、适当的审计证据： （一）在评估认定层次重大错报风险时，预期 控制的运行是有效的（即在确定实质性程序的 性质、时间安排和范围时，注册会计师拟信赖 控制运行的有效性）； （二）仅实施实质性程序并不能够提供认定层 次充分、适当的审计证据。 59 测试内部控制的运行有效性 第十一条 注册会计师应当按照本准则第 十二条和第十五条的规定，测试其拟信赖 的特定时点或整个期间的控制，为预期信 赖程度提供恰当的依据。 60 测试内部控制的运行有效性 第十四条 （二）如果未发生变化，注册会计师应当 每三年至少对控制测试一次，并且在每年 审计中测试部分控制，以避免将所有拟信 赖控制的测试集中于某一年，而在之后的 两年中不进行任何测试。 61 (二)财务报告内部控制审计 62 审计的目标 对特点时点企业财务报告内部控制的有效 性发表审计意见，包括： 设计有效性（合理性） 运行有效性 有无重大缺陷 63 内部控制审计工作做到什么份上？ 审计对象是保证财务报表质量的一套机制 要求覆盖每个相关认定 要求覆盖财务报表层次和认定层次的重大 错报风险 64 内部控制审计工作做到什么份上？ 65 时期/时点 定位于时点 注册会计师应当获取内部控制在基准 日之前一段足够长的期间运行有效的 审计证据 66 控制测试的时间安排 67 审计思路 风险导向审计 自上而下的审计方法 68 (三)财务报告内部控制审计与 财务报表审计的共同点 69 两者的共同点 终极目标都是财务报表的可靠性 都以财务报表重大错报风险评估为起点（ 舞弊风险及反舞弊控制） 确定的重要性水平相同 确定的重要账户、列报及其相关认定应当 相同 70 两者的共同点 都必须了解内部控制 有时都涉及测试内控的运行有效性 了解和测试内部控制的方法相同 71 (四)财务报告内部控制审计与 财务报表审计的区别 72 两者的区别 测试目标 财务报表审计:对财务报表发表审计意见,测试财务 报表的可靠性，需要评估重大错报风险中的控制 风险。 财务报告内控审计：对财务报告内部控制有效性 发表意见，测试保证财务报告可靠的内部机制。 73 两者的区别 测试范围 财务报表审计：在两种情况下必须测试内控，取 决于注册会计师采用的审计方案 财务报告内控审计：针对所有相关认定的控制。 74 两者的区别 测试结果的可靠程度要求 财务报表审计：有一定的弹性，取决于审计方案 和审计证据组合 财务报告内控审计：高度保证。 75 两者的区别 控制环境的运行有效性测试（？） 财务报表审计：无要求涵盖所信赖期间 财务报告内控审计：要测试 76 两者的区别 缺陷评价 财务报表审计：值得关注的缺陷 财务报告内控审计：严格区分重大缺陷和重要缺 陷 77 两者的区别 实质性程序 财务报表审计：都包含实质性程序 财务报告内控审计：通常不实施。 78 两者的区别 最终成果 财务报表审计：财务报表审计报告，对所附的财 务报表发表意见 财务报告内控审计：内部控制审计报告，不对自 我评价报告发表意见。 79 两者的区别 测试的时间安排 财务报表审计：涵盖所信赖期间 财务报告内控审计：涵盖足够长的期间。 80 (五)财务报告内部控制审计与 财务报表审计的整合 81 Sarbanes-Oxley Act of 2002，要求年报审计应 当与内部控制审计整合进行。 (SECTION 404) PCAOB 审计准则第5号 82 审计目标的整合 内部控制审计和财务报表审计的目标不同 。在整合审计中，注册会计师应当计划和 实施对控制设计和运行有效性的测试，以 同时实现下列目标： 获取充分、适当的证据，支持其在内部控制 审计中对内部控制的有效性发表的意见； 获取充分、适当的证据，支持其在财务报表 审计中对内部控制的风险评估结果。 整合审计流程图 接受或保持业务 了解被审计单位的行业 状况、法律环境与监管 环境以及其他外部因素 了解被审 计单位的 性质 了解被审计单 位对会计政策 的选择和运用 了解被审计单位 目标、战略以及 相关经营风险 了解被审计单位 财务业绩的衡量 和评价 实施实质性程序 实施其他审计程序 、评价内部控制缺 陷 对内部控制有 效性发表意见 对财务报表发 表意见 采用自上而下的方法 了解和测试内部控制 84 整合的核心 内部控制了解和测试工作的整合是关键 ，原则是就高不就低 85 审计结果的相互参考 在内部控制审计中，注册会计师在对内部 控制有效性形成结论时，应当同时考虑财 务报表审计中实施的、所有针对控制设计 和运行有效性测试的结果。 在财务报表审计中，注册会计师在评估控 制风险时，应当同时考虑内部控制审计中 实施的、所有针对控制设计和运行有效性 测试的结果。 86 审计结果的相互参考 在内部控制审计中，注册会计师应当评价 财务报表审计中实施的实质性程序的结果 对控制有效性结论的影响。 如果在内部控制审计中识别出某项控制缺 陷，注册会计师应当评价该项缺陷对财务 报表审计中拟实施的实质性程序的性质、 时间和范围的影响。 87 审计结果的相互参考 如果对财务报告内部控制发表了否定意见 ，注册会计师应当确定该意见对财务报表 审计意见的影响。 如果对财务报表发表了否定意见，注册会 计师应当确定该意见对财务报告内部控制 审计意见的影响。 88 整合作用的极限 注册会计师应当通过直接测试控制获取控制是 否有效的证据，而不能根据实质性程序没有发 现错报，推断该项控制的有效性。 在财务报表审计中，无论控制风险或重大错报 风险的评估水平如何，注册会计师都应当针对 所有重大的各类交易、账户余额及列报实施实 质性程序。为对内部控制的有效性发表意见而 实施的测试程序并不减轻注册会计师遵守上述 规定的责任。 89 有关整合的几个思考题 审计项目组，一个还是两个？ 审计计划，一个还是两个？ 审计工作底稿，一套还是两套？ 审计报告的签署者及日期，一个还是两个 ？ 集团审计的整合？ 90 十二、项目质量控制复核 91 十三、审计工作底稿 92 审计工作底稿 预期的变化 必须形成记录的内容 制定的内部控制总体审计策略和具体审计计划及重大修改情况； 对企业层面控制的识别、了解和测试； 确定重要账户、列报及其相关认定的过程，包括对拟测试组成部分的 确定； 选择拟测试控制的主要过程及结果； 测试控制设计和运行有