企业内部控制审计指引.doc

2010年财政部等五部委企业内部控制审计指引企业内部控制审计指引目标：规范注册会计师执行企业内部控制审计业务，明确工作要求，保证执业质量。定义：本指引所称内部控制审计，是指会计师事务所接受委托，对企业内部控制设计与运行的有效性进行审计，并发表审计意见。企业内控责任与注册会计师审计责任：建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。内审的独立性、权威性 审计署去前年对中央企业内审情况的专题调查部分结果： 户特大型央企中，有10户至今未单设内审机构。 二级单位中内审机构缺位的达到三分之二。 美国SEC惩戒处罚了一个公司，暴露出两个方面的问题： 一、内审的频率问题 二、审计人员的专业能力问题 人力资源政策问题 人是社会关系的总和。 马克思 松下幸之助曾经的名言：他的松下是制造产品，更是制造人的地位。 人力资源政策问题正面例子生益科技股份有限公司 反应出来的一个企业的文化氛围、管理氛围、人力资源政策环境是比较宽松、比较和谐的。人力资源问题反面例子 锦化集团内盗损失3900万 保安抽“中华”烟引出罕见内盗大案 企业浪费没人心疼，“不拿白不拿” “严密制度”不堪一击 人力资源政策环境中的轮岗制问题 案例：前几年一个老牌财务公司，财务部工作人员利用银行承兑汇票作案，造成两千多万元的经济损失。 出现问题的原因之一： 此票据工作人员在同一岗位上工作达16年之久，想不出问题都难。 注册会计师与内控渊源深远内控五大阶段之“二分法”起步1941年修订的美国证券交易委员会（SEC）的规定即要求注册会计师在计划审计工作时考虑企业的内部控制。规定指出，在确定审计测试范围时，注册会计师应当适当考虑企业内部检查和控制。审计指引中需要注意的问题 财务报告与非财务报告内控审计要求：注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以描述。整合审计：注册会计师可以将内部控制审计与财务报表审计整合进行（以下简称整合审计），也可以单独进行内部控制审计。内部控制审计的类型：（1）单独进行的内部控制审计仅对内部控制设计与运用的有效性进行审计并发表审计意见。（2）整合审计将内部控制审计与财务报表审计整合进行。在整合审计中，注册会计师应当对内部控制设计和运行的有效性进行测试，以同时实现下列目标：（一）获取充分、适当的证据，支持其在内部控制审计中对内部控制的有效性发表的意见；（二）获取充分、适当的证据，支持其在财务报表审计中对控制的风险评估结果。 计划审计工作配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。在计划审计工作时，注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响： （一）与企业相关的风险。（二）相关法律法规和行业概况。（三）企业组织结构、经营特点和资本结构等相关重要事项。（四）企业内部控制最近发生变化的程度。（五）与企业沟通过的内部控制缺陷。（六）重要性、风险等与确定内部控制重大缺陷相关的因素。（七）对内部控制有效性的初步判断。 （八）可获取的、与内部控制有效性相关的证据的类型和范围。以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多。对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能本应由注册会计师执行的工作。注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。确认审计范围首先需要确认重要性水平。 重要性水平是指一项漏报或误报的金额（个别来说或合计起来），在其所处环境的影响下，使得一个依赖该会计报表的理性人员的判断会因该漏报或误报改变或受到影响。 注册会计师应当在两个层次考虑重要性: 与会计报表整体相关的总体层次计划重要性水平；个别账户层次可容忍误差计划重要性水平的确定：一般应采用从持续经营中获得的税前利润的 5%作为计划重要性水平。这样做的假设是小于 5% 的审计差异常常是无关紧要的。可容忍误差的确定：通常可容忍误差设定为计划重要性水平的 50%。 利用内部审计人员、内部控制评价人员和其他相关人员的工作可以利用的内部审计人员、内部控制评价人员和其他相关人员的工作包括：用来支持评价与财务报告相关的内部控制是否有效及评估财务报告审计控制风险而进行的控制测试 评价控制环境，包括特别为预防和检查舞弊而设置的控制针对重大交易类别或重大过程进行的穿行测试，该穿行测试需要在注册会计师的帮助和监督下进行与某项控制相关的风险越高，可利用程度就越低，注册会计师应当越多地亲自对该项控制进行测试。 注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。 25-15号审计准则计划审计工作风险评估的作用使审计工作具有适应性关注舞弊风险运用他人的工作重要性应用由上至下的方法识别实体层面控制（控制环境、期末财务报告过程1）识别重要的会计科目和披露事项以及相关的声明理解可能产生虚假陈述的源头执行穿行测试选择控制加以测试测试控制测试设计的有效性测试运行的有效性风险与将获取的证据之间的关系（控制测试的性质、时间、范围和推进程序）对来年审计的特殊考虑评估业已识别的缺陷实质性漏洞的迹象或者信号汇总审计工作形成审计意见获得书面声明就某些问题进行沟通报告内部控制单独的或者联合的报告报告日期实质性漏洞资产负债表日后事项按照自上而下的方法实施审计工作。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。测试企业层面控制应当把握重要性原则，至少应当关注：（一）与内部环境相关的控制。（二）针对董事会、经理层凌驾于控制之上的风险而设计的控制。 （三）企业的风险评估过程。（四）对内部信息传递和财务报告流程的控制。（五）对控制有效性的内部监督和自我评价。企业层面控制测试企业层面控制的测试方法注册会计师可以通过观察客户程序、检查客户文件（如：阅读它的利益冲突政策）及询问客户来补充我们已经获得的认识（如：通过与客户人员的各种接触和我们可能已经执行的其他程序）。注册会计师可以事先设计的问卷或核对清单来保证企业层面控制穿行测试的完整性。企业层面控制的测试样本数量根据控制的发生频率确定，因为很多企业层面控制为一次性的控制或是一年执行一次的控制，所以可以在进行穿行测试时同时进行企业层面控制的测试。 选择要测试的控制通过依赖控制测试的审计策略，会计师可以调整实质性审计程序的性质、时间和范围。选择经过识别、了解和初步评价，能够减少会计报表相关认定中的可能出错项的控制组合。业务层面控制可分为关键控制和一般控制。一个控制如果符合以下一个或多个要点，则可被定义为关键控制：一个控制可以涵盖已确认的多个可能出错项一个已认定的可能出错项只有一个控制可以涵盖除关键控制以外，其他控制则被定义为一般控制。 控制测试的时间：在确定测试的时间安排时，应当在下列两个因素之间作出平衡，以获取充分、适当的证据：（一）尽量在接近企业内部控制自我评价基准日实施测试；（二）实施的测试需要涵盖足够长的期间。 控制测试的目标：在执行控制测试时，注册会计师应执行足够多的程序以得出结论认为：识别的控制已经过正确设计且能够有效运行。控制测试的方法：询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。 询问本身并不足以提供充分适当的证据。注册会计师应当把握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。 注册会计师应当关注信息系统对内部控制及风险评估的影响。重大交易类别或重大过程进行的穿行测试执行穿行测试应考虑： 与所有穿行测试相关的考虑 与控制的穿行测试相关的考虑 与穿行测试过程中进行的询问相关的考虑 估计交易类别的穿行测试的相关考虑 非常规交易类别的穿行测试的相关考虑 需要关注的有关穿行测试的绩效考虑 评价控制缺陷内部控制缺陷按其成因分为设计缺陷和运行缺陷，按其影响程度分为重大缺陷、重要缺陷和一般缺陷。注册会计师应当评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷。在确定一项内部控制缺陷或多项内部控制缺陷的组合是