企业内部控制审计指引

-企业内部控制审计指引解读（一）主讲老师 王生根前言2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范（以下简称基本规范）。基本规范自2009年7月1日起先在上市公司范围内实行，鼓励非上市的其他中大型企业执行。执行基本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的中介机构对内部控制的有效性进行审计。一、全面提升企业经营管理水平的重要举措财政部会计司司长刘玉廷解读企业内部控制配套指引14月26日，财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会，隆重发布了企业内部控制配套指引（以下简称配套指引）。该配套指引连同2008年5月发布的企业内部控制基本规范，共同构建了中国企业内部控制规范体系，自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行。同时，鼓励非上市大中型企业提前执行。2执行企业内部控制规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。3政府监管部门将对相关企业执行内部控制规范体系的情况进行监督检查。这是全面提升上市公司和非上市大中型企业经营管理水平的重要举措，也是我国以便能够对国际金融危机的重要制度安排。4配套指引由21项应用指引（此次发布18项，涉及银行、证券和保险等业务的3项指引暂未发布）、企业内部控制评价指引和企业内部控制审计指引组成。其中，应用指引是对企业按照内控原则和内控“五要素”建立健全本企业内部控制所提供的指引，在配套指引乃至整个内部控制规范体系中占居主体地位；企业内部控制评价指引是为企业管理层对本企业内部控制有效性进行自我评价提供的指引；企业内部控制审计指引是为注册会计师和会计师事务所执行内部控制审计业务的职业准则。三者之间既相互独立，又相互联系，形成一个有机整体。【典型例题多选题】4月26日，财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会，隆重发布了企业内部控制配套指引该配套指引包括（ ）。A企业内部控制基本规范B企业内部控制应用指引C企业内部控制评价指引D企业内部控制审计指引【答案】BCD二、关于企业执行内部控制规范体系准备工作重视和加强实施前的各项准备工作，是确保内部控制规范体系顺利实施的重要前提。为了确保企业内部控制规范体系的顺利贯彻实施，各有关部门、单位要积极行动起来，认真扎实地做好实施前的各项工作。第一，各级财政部门要把宣传培训、学习贯彻内部控制规范体系作为当前及今后一段时间会计和注册会计师行业管理的一项中心工作，精心组织，周密安排，切实抓紧抓好，抓出成绩。一要加强内部控制专业团队建设，制定专人负责，落实责任制，重视和培养业务骨干，全面熟悉和掌握内部控制规范的内容，做好对企业、会计师失误多等有关单位的政策业务指导。二要不断深化内部控制规范的宣传培训工作，先培训上市公司和具有证券期货业务资格的会计师事务所，随后将培训范围逐步扩大到所有大中型企业和大中型会计师事务所。同时，要将内部控制规范纳入会计人员等专业人员继续教育范围，并作为高级会计师专业技术资格考试和注册会计师考试的重要内容。第二，各上市公司和相关大中型企业，应当切实抓紧建立健全本单位的内部控制制度体系并按规定要求稳步有效实施。一是，公司董事会或类似机构对此应予高度重视，真正担当起建立健全和有效实施内部控制规范体系的责任；同时，组成专门领导班子，加强对公司内部控制建设工作的指导。二是，公司应当统筹规划，缜密安排，根据企业内部控制基本规范及企业内部控制配套指引规定，结合经营特点和管理要求，对现行内控制度和管理要求进行梳理优化，健全适合本单位实际的内部控制制度。三是，开展全员培训，公司范围内掀起“人人学内控、人人讲内控、个个受约束”的良好氛围。公司应当积极参加财政部门、中国会计学会等部门或机构组织的正规培训，不参加社会上追逐盈利目的非正规内部控制规范培训活动。四是，加大对企业信息系统的改造或新建投入，充分运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对各类业务和事项的自动控制，减少或消除人为操纵因素。五是，在公司范围内选择管理基础较好的分（子）公司或业务单位等开展内部控制制度试点，发现并及时解决运行过程中存在的问题，总结经验，逐步推广到全公司范围。第三，会计师事务所应当把握好企业内部控制规范发布实施的好机会，拓展业务领域。一要积极组织相关内部培训或参加财政部门等单位组织的正规内部控制规范培训，进一步提升自身执业能力。二要合理调配资源，优化业务结构，组建专业团队。三要深入研究内部控制审计方法，建立内部控制审计质量控制标准。三、关于企业内部控制规范体系实施的监督评价构建企业、注册会计师和有关监管部门三位一体的、有效的内外部监督评价体系是确保企业内部控制规范体系顺利实施的重要保证。第一，企业应当重视和发挥审计委员会对内部控制实施的监督作用，赋予审计委员会监督内部控制有效实施和内部控制自我评价情况、协调内部控制审计等方面的职能。通常情况下，企业可以授权内部审计机构具体承担内部控制监督检查的职能，接受董事会和审计委员会的领导。同时，企业应当建立内部控制执行情况与员工绩效考核挂钩的制度，并严格执行。第二，注册会计师要严格遵循企业内部控制规范提出的各项要求，开展内部控制审计业务。要强化内部控制审计的独立性，保持应有的职业谨慎态度，遵守职业道德规范，在内部控制审计业务与内部控制咨询业务之间建立牢固的“防火墙”，禁止针对同一客户既承担内部控制审计业务，同时又承担内部控制咨询和代行内部控制自我评价业务。第三，财政部等有关监管部门要将内部控制规范实施有关的政策指导与监督检查结合起来，在为企业、会计师事务所提供良好服务的同时，密切关注和跟踪企业和会计师事务所执行内部控制规范的情况，建立迅速高效的预警、反应和处理机制，妥善处理好内部控制规范实施过程中产生的各种问题。其次，要加强对企业和会计师事务所执行内部控制规范体系的监督检查力度，对违反内部控制规范要求的单位或个人依法严肃处理；要加强部门沟通，协调监管政策，规范监管口径，形成监管合力，提高监管效能。第一部分 为什么要进行内部控制审计【案例导入】横店东磁：内部控制审计报告 2009-3-31 证券时报内部控制审计报告浙天会审20091519号横店集团东磁股份有限公司全体股东：我们审计了截至2008年12月31日横店集团东磁股份有限公司（以下简称横店东磁公司）的内部控制。一、管理层对内部控制的责任在企业治理层的监督下，按照企业内部控制基本规范和相关规定，设计、实施和维护有效的内部控制，并评价其有效性是企业管理层的责任。二、注册会计师的责任我们的责任是在实施审计工作的基础上对内部控制的有效性发表审计意见。我们按照中国注册会计师执业准则的要求执行了审计工作。执业准则要求我们遵守职业道德守则，计划和实施审计工作，以对企业在所有重大方面是否保持了有效的内部控制获取合理保证。审计工作包括获取对内部控制的了解，评估重大缺陷存在的风险，并根据风险评估的结果，测试和评价内部控制设计和运行的有效性。审计工作还包括实施我们认为必要的其他程序。我们相信，我们获取的审计证据是充分、适当的，为发表审计意见提供了基础。三、内部控制审计的范围本报告中内部控制审计的范围，主要是企业为了合理保证财务报告及相关信息真实完整、资产安全而设计和执行的内部控制。用以合理保证资产安全的内部控制，可能涉及合理保证经营效率和效果、经营管理合法合规的内部控制。四、内部控制的固有局限性内部控制具有固有局限性，存在不能防止和发现错报的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制审计结果推测未来内部控制的有效性具有一定风险。五、内部控制审计意见我们认为，截至2008年12月31日，横店东磁公司按照企业内部控制基本规范和相关规定在所有重大方面保持了有效的内部控制。六、提及财务报表审计意见的类型我们还按照中国注册会计师审计准则的规定，审计了横店东磁公司2008年12月31日的资产负债表和合并资产负债表，2008年度的利润表和合并利润表，2008年度的现金流量表和合并现金流量表，2008年度的股东权益变动表和合并股东权益变动表，以及财务报表附注，并在2009年3月30日出具的审计报告中发表了标准无保留意见。浙江天健东方会计师事务所有限公司中国注册会计师钟建国中国杭州中国注册会计师张芹报告日期：2009年3月30日企业内部控制审计指引解读（二）第二部分 什么是内部控制审计一、概念根据财会201011号内部控制审计指引第一条【目的】（以下涉及到的第X条，均指“指引”）为了规范注册会计师执行企业内部控制审计业务，明确工作要求，保证执业质量，根据企业内部控制基本规范中国注册会计师鉴证业务基本准则及相关执业准则，制定本指引。第二条【概念】内部控制审计，是指会计师事务所接受委托，对特定基准日企业内部控制设计与运行的有效性进行审计。它是企业内部控制规范体系实施中引入的强制性要求，既有利于促进企业健全内部控制体系，又能增强企业财务报告的可靠性。美国、日本等国家曾先后做出过类似的制度安排。为了规范注册会计师执行企业内部控制审计业务，我们特别制定了企业内部控制审计指引。【典型例题判断题】内部控制审计，是指会计师事务所接受委托，对特定时期企业内部控制设计与运行的有效性进行审计。（ ）【答案】错误二、内控审计范围是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内控，即财务报告内控。具体讲，内部控制包括下列方面的政策和程序：（1）保存充分、适当的记录，准确、公允地反映企业的交易和事项；（2）合理保证按照企业会计准则的规定编制财务报表；（3）合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权；（4）合理保证及时防止或发现未经授权的、对财务报表有重大影响的交易和事项。第三条【责任划分】建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。内部控制审计不能减轻企业管理层的责任。第四条【审计范围】注册会计师执行内部控制审计工作，应当获取充分、适当的证据，为发布内部控制审计意见提供合理保证。注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。【案例】刘晓庆为什么不坐牢？1999年10月31日公布；2000年7月1日施行。会计法第四条：单位负责人对本单位的会计工作和会计资料的真实性、完整性负责。这就确定了单位负责人的法定职责，明确了单位负责人为会计责任的主体。也就是说，今后单位会计工作出问题，首先要追究单位负责人的责任。对单位会计工作是否依法进行负有法律责任。今后，会计工作已不再是单位领导尤其是企业领导懂不懂、重视不重视的问题了，而是必须懂得、必须重视和必须遵守的问题。这就要求单位负责人必须真正学懂、学通、学透会计法，深刻领会会计法的精神实质，切实掌握会计法的各项规定，从而提高依法组织开展单位会计工作的能力和水平。【典型例题综合案例分析】【资料】陈久霖一审被判4年零3个月并处罚款33.5万新币中航油前总裁陈久霖今日在新加坡被判入狱4年零3个月同时处以33.5万新币罚款。2004年中航油（新加坡）因石油衍生产品交易，总计亏损5.5亿美元。陈久霖06年03月15日正式在新加坡初级法院出庭受审，面临包括欺诈、局内人交易、制造假信息等15项指控。庭审时间原定为2天，但由于控辩双方交锋激烈，故庭审时间延长了一天。在庭审过程中，陈久霖对欺诈、在财务报告中造假、没有及时披露巨亏及局内人交易等6项指控认罪。陈久霖的辩护律师王赐安说，主控方和辩方的焦点主要是如何量刑，律师团觉得陈久霖不应该受到太严厉的惩罚，而主控方的观点相反，认为陈久霖应受到更严厉的惩罚。据当时推测，如果上述罪名成立，陈久霖可能将会面临最高7年的监禁和25万新元（约合15.4万美元）的罚款。据媒体报道，今天上午9时45分，新加坡高等法庭将听证中航油重组计划，该计划核心内容为“引入BP和淡马锡两大投资者，以及对中航油注资1.3亿美元”。新加坡高等法院原定3月14日就听证，但法官要求中航油提呈更多的申请文件，此事被推迟到今天进行。一旦此事顺利过关，中航油新加坡复牌将再无政府方面的阻碍。对此，中航油新闻发言人云大卫表示，这一听证是例行程序，相信会顺利过关；而中航油集团新闻发言人边晖表示，预计中航油复牌将在3月底前实现。2004年12月，中国航由集团唯一的一家海外公司中国航油（新加坡）股份有限公司（以下简称中航油）发布了一个震惊的消息：这家新加坡上市公司因石油衍生产品交易，成生了5.5亿美元的巨额亏损，致使曾作为明星企业的中航油向新加坡法院申请破产保护。该公司自1997年以来，凭借对国内进口航油市场的实质性垄断，净资产由16.8万美元增加至2003年的1.48亿美元，6年增长762倍，成为股市上的明星，其总裁陈久林也被评为“亚洲经济新领袖”。中航油事件被认为是继1995年巴林事件后最大的经济丑闻。事实上，中航油的内控体系是在形式上是一直存在的。而且中航油曾聘请“五大”之一的安永会计师事务所为其编制风险管理手册，专门设有由七人组成的风险管理委员会及软件监控系统。因此，造成中航油巨亏的根本原因是在于企业集团内部控制失控。中国航油集团向中航油董事会派驻了4名成员，包括陈久霖本人，而他也是以集团副总经理的身份兼任中航油董事和执行总裁。但事实上，集团公司出于对陈久霖的信任，使他在实质上成为了集团公司派驻中航油的全权代表和实际监管者。同时，在其任职期间，曾两度调开集团公司派驻的财务经理，从当地另聘财务经理，只听命于他一人。由此可见，不论是在决策、监管层还是在经理层，都没有很好的形成实质上的权力制衡。中航油总裁陈久霖其在获悉公司在2004年第一季度出现580万美元的帐面亏损后，决定不按照内部风险控制的规则进行斩仓止损，也不对市场做任何信息的披露，而是继续扩大仓位。为了避免实际亏损，他将交割日延后至2005年和2006年，并不断加大仓位，但对风险没有做必要的对冲处理，也没有对交易设立上限，孤注一掷，赌油价回落。但到2004年10月，公司亏损累计达到18 000万美元，公司流动资产耗尽。于是，陈久霖向集团公司汇报亏损并请求救助。而中航油集团竟没有阻止中航油的违规行为，也不对风险进行评估，就以私募方式买出部分中航油股份来“挽救”中航油。中航油曾聘请国际“五大”之一的安永会计师事务所为其编制风险管理手册，设有专门的7人风险管理委员会及软件监控系统。其中，风险控制的基本结构是：实施交易员、风险控制委员会、审计部、总裁、董事会层层上报，交叉控制，每名交易员损失20万美元时要向风险控制委员会报告，以征求他们的意见，当损失达到35万美元时要向总裁报告，征求他的意见，在得到总裁的同意后才能继续交易；任何导致50万美元以上的交易将自动平仓。而中航油总共有10位交易员，如果严格的按照风险管理手册执行，损失的最大限额应是500万（10位交易员50万=500万）。但是，中航油最终亏损额高达55 000万美元。从中可以得出，中航油在制定政策方面不惜花血本做的很好。但在执行方面就是不尽人意了。中航油总裁陈久霖在获知2004年第一季度已出现580万美元的帐面亏损后，他决定不按照内部风险控制的规则进行斩仓止损，而是继续扩大仓位。不然，中航油不会在衍生品交易市场不断失力，并导致最终的破产。国家于2001年颁布实施了国有企业境外期货套期保值业务管理办法。在此管理办法中规定不得从事以营利为目的的投机交易，不能在风险极大的海外市场进行交易，交易总量不得大大超过现货交易总量。中航油从2003年下半年起在海外市场进行石油衍生品的交易，并且交易总量大大超过现货交易总量。由此得出，中航油在这三方面的规定上均明显的违背了国家的规定。而母公司在子公司进行了此项违规活动一年多（即2004年10月）才得知。由此可看出中航油集团公司和中航油之间的信息沟通不顺畅，和会计信息的失真。可见母公司对子公司监管的松散程度。中国航油集团是中航油的大股东。作为一家中央级企业，本应该严格执行国家有关制度规定，严格规范子公司行为，对其进行监控，以确保国有资产保值和增值。中国航油集团公司作为连接政府与海外子公司的桥梁，集团公司起着政策的传递和对子公司监督执行的作用。由上面的举例中可以看出，中航油自我评估的缺陷形成了“自己监管自己”的局面。【分析】中航油内部控制设计或执行存在的严重不足，使被审计单位管理层或员工无法在正常行使职能的过程中，及时发现和纠正错误或舞弊引起的财务报表重大错报。内部控制五个要素中都存在控制缺陷。（一）控制环境：中国航油集团向中航油董事会派驻了4名成员，包括陈久霖本人，而他也是以集团副总经理的身份兼任中航油董事和执行总裁。但事实上，集团公司出于对陈久霖的信任，使他在实质上成为了集团公司派驻中航油的全权代表和实际监管者。同时，在其任职期间，曾两度调开集团公司派驻的财务经理，从当地另聘财务经理，只听命于他一人。由此可见，不论是在决策、监管层还是在经理层，都没有很好的形成实质上的权力制衡。（二）风险评估：在风险控制机制中，中航油总裁陈久霖应处于一个中枢地位，对风险的控制和传导起着决定性的作用。其在获悉公司在2004年第一季度出现580万美元的帐面亏损后，决定不按照内部风险控制的规则进行斩仓止损，也不对市场做任何信息的披露，而是继续扩大仓位。为了避免实际亏损，他将交割日延后至2005年和2006年，并不断加大仓位，但对风险没有做必要的对冲处理，也没有对交易设立上限，孤注一掷，赌油价回落。但到2004年10月，公司亏损累计达到18 000万美元，公司流动资产耗尽。于是，陈久霖向集团公司汇报亏损并请求救助。而中航油集团竟没有阻止中航油的违规行为，也不对风险进行评估，就以私募方式买出部分中航油股份来“挽救”中航油。（三）控制活动：中航油曾聘请国际“五大”之一的安永会计师事务所为其编制风险管理手册，设有专门的7人风险管理委员会及软件监控系统。其中，风险控制的基本结构是：实施交易员、风险控制委员会、审计部、总裁、董事会层层上报，交叉控制，每名交易员损失20万美元时要向风险控制委员会报告，以征求他们的意见，当损失达到35万美元时要向总裁报告，征求他的意见，在得到总裁的同意后才能继续交易；任何导致50万美元以上的交易将自动平仓。而中航油总共有10位交易员，如果严格的按照风险管理手册执行，损失的最大限额应是500万（10位交易员50万=500万）。但是，中航油最终亏损额高达55 000万美元。从中可以得出，中航油在制定政策方面不惜花血本做的很好。但在执行方面就是不尽人意了。中航油总裁陈久霖在获知2004年第一季度已出现580万美员的帐面亏损后，他决定不按照内部风险控制的规则进行斩仓止损，而是继续扩大仓位。不然，中航油不会在衍生品交易市场不断失力，并导致最终的破产。（四）信息与沟通：国家于2001年颁布实施了国有企业境外期货套期保值业务管理办法。在此管理办法中规定不得从事以营利为目的的投机交易，不能在风险极大的海外市场进行交易，交易总量不得大大超过现货交易总量。中航油从2003年下半年起在海外市场进行石油衍生品的交易，并且交易总量大大超过现货交易总量。由此得出，中航油在这三方面的规定上均明显的违背了国家的规定。而母公司在子公司进行了此项违规活动一年多（即2004年10月）才得知。由此可看出中航油集团公司和中航油之间的信息沟通不顺畅，和会计信息的失真。可见母公司对子公司监管的松散程度。（五）监控：中国航油集团是中航油的大股东。作为一家中央级企业，本应该严格执行国家有关制度规定，严格规范子公司行为，对其进行监控，以确保国有资产保值和增值。中国航油集团公司作为连接政府与海外子公司的桥梁。集团公司起着政策的传递和对子公司监督执行的作用。由上面的举例中可以看出，中航油自我评估的缺陷形成了“自己监管自己”的局面。企业内部控制审计指引解读（三）第三部分 如何开展内部控制审计一、整合审计（一）总体要求第五条 注册会计师可以单独进行内部控制审计，也可将内部控制审计与财务报表审计整体结合进行（以下简称整合审计）。由于同一会计师事务所同时执行同一企业的内控审计业务和财务报表审计业务，CPA应当将内控审计与财务报表审计整合进行（以下简称整合审计）。在整合审计中，注册会计师应当对内部控制设计和运行的有效性进行测试，以同时实现下列目标：（1）获取充分、适当的证据，支持其在内部控制审计中对内部控制的有效性发表的意见；（2）获取充分、适当的证据，支持其在财务报表审计中对控制的风险评估结果。整合审计可以提升效率，也是国际上普遍采用的方法，我们鼓励这种做法。需要特别指出的是，此处所指的“整合”，不包括注册会计师对同一家企业既做咨询又做审计的情形。在企业内部控制基本规范中对此已有明确规定，即：“为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制审计服务”。（二）内控审计和财务报表审计的关系1相同或相似有3个方面：内部控制审计业务作为注册会计师执行的其他鉴证业务，与财务报表审计业务有许多相同或相似的基本要求需要注册会计师遵循，包括：（1）注册会计师应当计划和实施审计工作，获取充分、适当的证据，为特定日期内部控制是否不存在重大缺陷提供合理保证，并作为支持审计意见的基础。（2）注册会计师在执行内部控制审计业务时，应当将企业内部控制审计指引与中国注册会计师执业准则体系中相关准则结合使用。（3）注册会计师在执行内部控制审计业务时，应当遵守职业道德守则，恪守独立、客观、公正的原则，保持专业胜任能力和应有的关注，并对执业过程中获知的信息保密。2区别有4个方面，如下表：区别内控审计财务报表审计目标不同在整合审计中，CPA应当计划和实施对控制设计和运行有效性的测试，以同时实现：（1）获取充分、适当的证据，支持其在内控审计中对内控有效性发表的意见；（2）获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果合法性、公允性对控制有效性的测试1应当获取财务报表涵盖期间内控有效运行的证据，并测试所有相关认定的控制，以获取其设计和运行有效性的证据；2如果仅对财务报表发表审计意见，CPA可能不需要测试这些控制；3在对内控有效性形成结论时，应当同时考虑财务报表审计中实施的、所有针对控制设计和运行有效性测试的结果1如果将某项财务报表认定的控制风险评估为低于最高水平，CPA需要获取拟信赖的相关控制在整个期间有效运行的证据。但CPA不必将所有相关认定的控制风险评估为低于最高水平，因此，可能不对所有控制的运行有效性进行测试；2在评估控制风险时，应当同时考虑内控审计中实施的、所有针对控制设计和运行有效性测试的结果控制有效性的测试对实质性程序的影响识别出某项控制缺陷，CPA应当评价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时间和范围的影响无论控制风险或重大错报风险的评估水平如何，CPA都应当针对所有重大的各类交易、账产余额及列报实施实质性程序。为对内控的有效性发表意见而实施的测试程序并不减轻CPA遵守上述规定的责任实质性程序对控制有效性结论的影响1应当评价财务报表审计中实施的实质性程序的结果对控制有效性结论的影响。评价内容应当包括：（l）CPA作出的、与选择和实施实质性程序相关的风险评估，关的风险评估（2）发现的违反法规行为和关联方交易方面的问题（3）表明管理层在选择会计政策和作出会计估计时存在偏见的情况；尤其是与舞弊相关的风险评估（4）实施实质性程序发现的错报2应当通过直接测试控制获取控制是否有效的证据，而不能根据实质性程序没有发现错报，推断该项控制的有效性根据实质性程序没有发现错报，推断该项控制的有效（三）内控审计步骤二、计划审计工作（一）总体要求第六条 注册会计师应当恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。第七条 在计划审计工作时，注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响：（1）与企业相关的风险；（2）相关法律法规和行业概况；（3）企业组织结构、经营特征和资本结构等相关重要事项；（4）企业内部控制最近发生变化的程度；（5）与企业沟通过的内部控制缺陷；（6）重要性、风险等与确定内部控制重大缺陷相关的因素；（7）对内部控制有效性的初步判断；（8）可获取的、与内部控制有效性相关的证据的类型和范围。第八条 注册会计师应当以风险评估为基础，选择拟测试的控制，确定针测试所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多。第九条 注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及利用的程度，相应减少可能本应由注册会计师执行的工作。注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作，应当对其专业胜任能力和客观性进行充分评价。与某项控制相关的风险越高，可利用程度就越低，注册会计师应当越多地亲自对该项控制进行测试。注册会计师应当对发表的审计意见独立承担责任，其责任不应为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。【典型例题判断题】与某项控制相关的风险越高，可利用程度就越低，注册会计师应当越多地亲自对该项控制进行测试。( )【答案】正确企业内部控制审计指引解读（四）计划审计工作6步骤：风险评估的作用（二）具体内容和要求内容要求1风险评估以风险评估为基础，确定重要账户、列报及其相关认定，选择拟测试的控制，以及确定针对所选定控制需要收集的证据2调整审计工作根据企业具体情况调整审计工作，以获取充分、适当的证据，支持审计意见3应对舞弊风险考虑财务报表审计中对舞弊风险的评估结果。在识别并测试企业层面控制以及选择其他控制进行测试时，CPA应当评价企业的控制是否足以应对已识别的、由舞弊导致的重大错报风险，并评价为应对管理层凌驾于控制之上的风险而设计的控制4利用其他相关人员的工作（1）利用内部审计人员等相关人员的工作（2）利用其他CPA的工作5确定重要性水平在计划内控审计工作时，应当使用与财务报表审计相同的重要性水平6对企业使用服务机构的考虑（1）了解服务机构中与企业内控相关的控制以及企业针对服务机构活动所实施的控制；获取相关控制运行有效的证据（2）不应在审计报告中提及服务机构CPA的报告三、实施审计工作（一）总体要求第十条 注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。自上而下的方法是CPA识别风险及选择拟测试的控制的思路，但并不一定是实施审计工作的顺序。自上而下的方法按照下列思路展开：自上而下方法5步骤：（二）具体内容和要求内容要求1测试企业层面控制第十一条 注册会计师测试企业层面控制，应当把握重要性原则，至少应当关注：（1）与内部环境相关的控制（2）针对董事会、管理层凌驾于控制之上的风险而设计的控制（3）企业的风险评估过程（4）对内部信息传递和财务报告流程的控制（5）对控制有效性的内部监督和自我评价2测试业务层面控制第十二条 注册会计师测试业务层面控制，应当把握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。注册会计师应当关注信息系统对内部控制及风险评估的影响3评价内部控制第十三条 注册会计师在测试企业层面控制和业务层面控制时，应当评价内部控制是否足以应对舞弊风险4测试控制设计的有效性第十四条 注册会计师应当测试内部控制设计与运行的有效性。如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行，能够实现控制目标，表明该项控制的设计是有效的5测试控制运行的有效性如果某项控制正在按照设计运行，执行人员拥有必要授权和专业胜任能力，能够实现控制目标，表明该项控制的运行时有效的。第十六条注册会计师在测试控制设计与运行的有效性时，应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等等方法。询问本身并不足以提供充分适当的证据6风险与拟获取证据的关系第十五条注册会计师应当根据与内部控制相关的风险，确定拟实施审计程序的性质、时间安排和范围，获取充分、适当的证据。与内部控制相关的风险越高，注册会计师需要获取的证据应越多。正向关系：（1）风险与拟获取证据的关系（2）影响审计中与某项控制相关的风险因素（3）控制偏差（4）测试控制有效性实施的程序（5）测试时间（6）控制的改变（7）期中测试结果的更新7连续审计时的特殊考虑第十九条在连续审计中，注册会计师在确定测试的性质、时间安排和范围时，应当考虑以前年度执行内部控制审计时了解的情况。（1）影响审计中与某项控制相关的风险因素（2）自动化应用控制（3）增强测试的不可预见性【案例】控制测试方法：控制测试方法与控制类型的关系：控制类型测试方法备注检查证据穿行测试实地观察实物控制SN/AP批准与授权PSN/A稽核PSN/A职务分离SN/APP控制测试的主要方法S控制测试的次要方法N/A不适用控制测试方法示例：客户：*股份公司签名日期项目：采购预付款循环企业内部控制测试编制人*M2-1截止日：2007.1.1-2007.12.31复核人*1一、测试目标1确定所记录的购货都已收到物品或已接受劳务，并符合购货方最大的利益2确定已发生的购货业务均已记录3所记录的购货业务估价正确4购货业务的分类正确5购货业务按正确的日期记录6购货业务被正确计入应付账款和存货等明细账中，并被准确汇总二、测试程序执行情况说明索引号1测试请购申请的提出是否符合规定，是否每张请购单都有主管人员签字已执行M2-22测试采购是否经过适当授权，订货单是否连续编号，是否一是多联，分送相关部门；采购合同是否符合企业内部控制的要求已执行M2-3M2-43验收单是否与订购单内容相符，不符的是否得到恰当处理，验收单是否连续编号已执行M2-54测试应付凭单是否与验收单、订货单内容一致，计算是否正确等已执行M2-65测试购货业务入账是否及时，所附凭单是否合法、完备，是否定期对账已执行/控制良好M2-76测试付款环节是否经过适当授权，负债是否按期偿还等已执行M2-8企业内部控制评价：客户：*股份公司签名日期项目：采购预付款循环企业内部控制测试编制人*2007.3.9索引号M2-1截止日：2007.1.1-2007.12.31复核人*2007.3.9页次1应付账款明细账是否有原始凭证原始凭证是否与账务记录一致是否有与总账余额核对标记是否有与供应商对账的标记备注日期记账凭证编号金额11/1211-12334 50011/2011-12523 46511/2011-13278 90011/2111-13712 00111/2111-14511 78011/2111-15116 800CPA意见及结论：应付款项明细账记录清晰，每一笔记录对应的记账凭证都附有相应的经批准的原始凭证，原始凭证的内容与记账凭证的记录一致，每月的明细账余额与总账余额核对相符。但是，本环节中，缺乏明细账与供应商对账的企业内部控制，发生错记、漏记负债，或弄虚作假及贪污挪用购货资金等问题的风险增大。同时也检查了与应付账款对应的资产账户，没有发现异常情况企业内部控制审计指引解读（八）五、完成审计工作内容要求（一）获取书面声明（案例）横店东磁：董事会审计委员会关于2008年度内部控制的自我评价报告第二十三条 注册会计师完成审计工作后，应当取得经企业签署的书面声明。书面声明应当包括下列内容:（一）企业董事会认可其对建立健全和有效实施内部控制负责；（二）企业已对内部控制的有效性作出自我评价，并说明评价时采用的标准以及得出的结论；（三）企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础；（四）企业已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷和重要缺陷；（五）企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷，是否已经采取措施予以解决；（六）企业在内部控制自我评价基准日后，内部控制是否发生重大变化，或者存在对内部控制具有重要影响的其他因素。第二十四条 如果企业拒绝提供或以其他不当理由回避书面声明，注册会计师应当将其视为审计范围受到限制，解除业务约定或出具无法表示意见的审计报告【案例】横店东磁：关于2008年度内部控制的自我评价报告（一）公司基本情况（二）公司内部控制的原则和目标（三）公司内部控制体系1内部环境2风险评估3控制活动4信息与沟通5内部监督（四）内部控制的总体评价（五）加强公司内部控制的措施横店集团东磁股份有限公司董事会审计委员会二九年三月三十日横店东磁：董事会审计委员会关于2008年度内部控制的自我评价报告横店集团东磁股份有限公司董事会审计委员会关于2008年度内部控制的自我评价报告（一）公司基本情况横店集团东磁股份有限公司（以下简称“公司”）由横店集团公司（现己改制并更名为南华发展集团有限公司）为主发起人，联合东阳市化纤纺织厂、东阳市有机合成化工九厂等4家法人共同发起设立，经浙江省人民政府浙政199938号文关于设立横店集团高科技产业股份有限公司的批复批准，于1999年3月30日在浙江省工商行政管理局登记注册的股份制公司。2006年7月，公司经中国证监会以证监发行字200629号文核准，向社会公开发行人民币普遍股（A股）股票6 000万股，每股面值人民币1元，发行价10.6元，募集资金净额61 041万元。2007年10月，经中国证监会以证监发行字2007279号文核准，向社会公开增发普遍股（A股）股票2 545万股，每股面值人民币1元，发行价36.14元，募集资金净额为89 484万元。现有注册资本410 900 000元，股份总数410 900 000股（每股面值1元）。其中，有限售条件的流通股份（A股）228 003 150股；无限售条件的流通股（A股）182 896 850股。法定代表人：何时金行业性质：电子元器件制造业经营范围：磁性器材、电池、电子产品的生产、销售；高科技产品的开发及技术咨询；实业投资；经营进出口业务（范围详见外经贸部门批文）；为接待本公司客人提供餐饮、住宿、舞厅、卡拉OK服务（凭许可证经营）。主要产品或提供的劳务：永磁铁氧体和软磁铁氧体。（二）公司内部控制的原则和目标为加强公司内部控制，促进公司规范运作和健康发展，保护投资者合法权益，保障公司资产的安全和完整，防范和控制公司风险，依据公司法证券法上市公司治理准则企业内部控制基本规范中小企业板上市公司内部审计工作指引等有关法律法规和规范性文件的要求，公司审计委员会本着客观、审慎原则的对公司内部控制的执行效果和效率进行了认真的评估，以不断完善公司治理，健全内部控制体系，强化内控制度检查，促进公司规范运作，有效防范经营决策及管理风险，确保公司稳健经营。（三）公司内部控制体系1内部环境（1）完善的法人治理结构根据公司法证券法等法律法规要求，公司建立了较为完善的法人治理结构，权力机构、决策机构和监督机构，与经营层之间权责分明、各司其职、相互制衡、科学决策、协调运作。在公司法人治理方面制定了公司章程股东大会议事规则董事会议事规则监事会议事规则独立董事制度等重大规章制度，以保证公司规范运作、健康发展。（2）机构设置及权责分配公司根据“服务、提高、控制、产业”的机构设置指导思想，设立了企划部、证券部、生产技术工程部、生产技术支援部、市场营销部、财务部、证券部、资材战略调达部、技术开发部、永磁事业部、软磁事业部等，各职能部门之间职责明确，相互制衡，保证了公司生产经营活动的有序进行。根据公司章程，公司设立了监事会，代表全体股东监督董事会对企业的管理。（3）内部审计公司设立了专门的内部审计部门，配备专职的审计人员对公司财务收支和经济活动进行内部审计监督。公司内部审计部门直接对董事会负责，在审计委员会指导下，独立行使审计职权，不受其他部门和个人干涉。（4）人力资源政策根据劳动法及有关法律法规，公司实行全员劳动合同制，制定了详细的人事管理制度，对新员工的录用、干部的选聘、工资薪酬、福利保障、绩效考核、人事调动、职务升迁等进行了详细规定，并建立了一套完善的绩效考核体系。（5）内部控制制度的建设与实施情况为规范管理，控制经营风险，公司已经建立起了一套较为完善的内部控制制度。内部控制活动基本涵盖公司所有营运环节，包括但不限于：生产、采购、销售、资产管理、存货管理、资金管理、信息披露等方面，具有较强的指导性。具体包括：资金的内部控制制度存货、采购与付款控制制度生产经营及仓储循环控制制度销售与应收款控制制度固定资产和在建工程控制制度投资控制制度合同管理控制制度关联交易控制制度对外担保控制内部审计制度和信息披露内部控制制度等各项内部控制制度。2008年公司根据自身管理需要和深圳证劵交易所出台的相关政策制定和修订了如下制度，便于更有效的实施与执行。具体包括：公司独立董年报工作制度公司审计委员会对年度财务报告审计工作规则公司证劵投资管理办法公司独立董事制度公司关联交易决策制度公司信息披露管理制度公司章程公司高级管理人员薪酬管理制度公司高层人员持股变动管理办法公司内部审计制度公司审计委员会议事规则公司股东大会议事规则公司董事会议事规则和公司募集资金管理办法。2风险评估公司根据战略目标和发展思路，结合行业特点，制定和完善风险管理政策和措施，实施内部控制制度执行情况的检查和监督，确保业务交易风险的可知、可防与可控，确保公司经营安全。将企业的风险控制在可承受的范围内，如在日常经营风险管理中对“逾期应收账款”“超三个月以上的库存材料和产品”“供应商信用的跟踪和考评”等风险指标进行实时监控，同时避免从事与公司战略目标发展不相符的业务，对符合公司战略发展方向，但同时存在经营风险的业务，也充分认清风险实质并积极采取有效降低、分担等策略来有效防范风险。3控制活动2008年度，公司本着重要性和成本效益原则，采取预防与控制相结合方式和灵活多样的控制措施，实施了有效地内部控制。（1）日常经营过程中实施的控制活动不相容职务分离控制：公司会计部依据各部门的规模大小和会计业务的需要设立相应的财务职能机构，明确要求在岗会计人员需持证上岗。资材调达部亦建议了存货管理责任人制度、定期清查盘点制度、存货损失审批制度、总库仓库管理制度等，并明确了上述相关岗位的职责、权限，确保不相容岗位相互分离、制约和监督。授权审批控制：在日常经营中公司为规范管理、减少层次明确了公司各事业部享有的生产性开支资金审批权限、公司副部长以下、正部长以上出差支款的审批权限、各类宣传广告费等审批权限，并相应明确了备用金借支、费用报销等流程。对于重大合同、重大交易、关联交易等特列事项，超过权限范围的按照公司董事会和股东大会议事规则的规定决策程序执行。会计系统控制：公司设有财务部门，财务管理内部控制主要包括货币资金管理、存货管理、固定资产管理、财务审批权限的管理等，该部门配备具有会计执业资格的会计从业人员，严格执行国家统一的企业会计准则，明确了会计凭证、会计账簿和财务会计报告的处理程序。财产保护控制：公司将固定资产、在建工程、存货等资产投了财产综合险以保护财产的安全。同时，公司对生产和办公所需的基础设施及相应的配套设施、存货等进行每年一次的定期盘点和期间抽查，采取财产记录、实物保管、财物核对等措施确保财产安全。运营分析控制：公司在运营分析上，一方面公司每月汇总各事业部、有经营权的工厂、分子公司在日常生产经营中的各种内部重大信息；另一方面经营层定期召开各事业部，有经营权工厂的生产经营、品质、销售情况通报会和公司管理层工作例会，对公司有关生产、销售、投资以及财务费用等方面进行综合讨论分析，并根据相关情况及时调整公司的经营思路，确保公司发展战略的实现。绩效考评控制：公司建立了绩效考评制度，对公司高级管理人员、