内部控制审计(PPT 150页).ppt

1、第五章,内部控制审计,1,开篇案例我国第一份内部控制审计的否定意见报告,2012年3月23日，信永中和会计师事务所为山东新华制药股份有限公司（以下简称新华制药）2011 年 12 月 31 日财务报告内部控制的有效性出具了审计报告 信永中和认为由于新华制药的内部控制存在重大缺陷及其对实现控制目标的影响，对其内控报告出具了否定意见 从2006年证券交易所的鼓励使我国上市公司陆续开始发布内部控制评价报告及审计意见起，这是我国第一份上市公司非标准的内部控制审计意见,2,开篇案例,3,开篇案例,该重大缺陷使得新华制药对山东欣康祺医药有限公司及与其存在担保关系方形成大额应收款项 60,731 千元，同时

2、，因欣康祺医药经营出现异常，资金链断裂，可能使新华制药遭受较大经济损失。2011 年度，新华制药对应收欣康祺医药及与其存在担保关系方货款计提了 48,585 千元坏账准备。 有效的内部控制能够为财务报告及相关信息的真实完整提供合理保证，而上述重大缺陷使新华制药内部控制失去这一功能，因而信永中和对其内部控制审计报告出具了否定意见,4,开篇案例,结合案例分析并思考： 信永中和是否对新华制药内部控制失效承担责任？ 注册会计师在内部控制审计中的主要风险点及如何控制？,5,本章框架,内部控制概述 内部控制基本理论 内部控制审计,6,内部控制概述,内部控制的历史演进 内部控制的现实意义 我国内部控制法规的

3、发展 我国企业内部控制规范的框架体系,7,8,内部控制的历史演进,内部控制是组织运营和管理活动发展到一定阶段的产物，是科学管理的必然要求 内部控制理论与实践的发展大体上经历了内部牵制、内部控制系统、内部控制结构、内部控制整合框架等四个不同的阶段，并已初步呈现向企业风险管理整合框架演变的趋势,内部牵制阶段,控制一词最早产生于17世纪，其原始含义是“由登记者之外的人对账册进行的核对和检查” 20世纪以前，盛行的观念和实务都停留在内部牵制阶段。这一阶段社会生产力还相对落后，大规模商品生产尚不发达，内部牵制是适应这一阶段的时代背景而产生的,9,内部牵制阶段,这一阶段的主要特点是“以任何个人或部门不能单

4、独控制任何一项或一部分业务权力的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能进行交叉检查或交叉控制。” 内部牵制机能主要包括：分权牵制、实物牵制、机械牵制和簿记牵制 这一阶段的不足之处，在于人们还没有意识到内部控制的整体性，强调内部牵制机能的简单运用，不够系统和完善,10,内部控制体系阶段,这一阶段从时间上看大致为20世纪40年代至80年代 适应这一时期资本主义经济快速发展、所有权与经营权进一步分离的特点，在注册会计师行业的推动下，内部控制由早期的内部牵制逐渐演变为涉及组织结构、岗位职责、人员素质、业务处理程序和内部审计等比较严密的内部控制系统,11,内部控制体系阶段,1

5、972年11月，审计准则执行委员会将内部控制一分为二，由此内部控制进入“制度二分法”或“二要素”阶段。这一阶段的内部控制正式被纳入制度体系之中，同时管理控制成为内部控制的一个重要组成部分 美国会计准则委员会 (ASB)审计准则公告的制定者，循着证券交易法的路线进行研究和讨论，在第 1号公告(SAS No.1)中，提出了管理控制和会计控制,12,内部控制体系阶段,13,内部控制结构阶段,进入20世纪80年代，人们对内部控制的研究重点逐步从一般含义向具体内容深化 1988年美国AICPA发布的审计准则公告第55号首次以“内部控制结构”的概念代替“内部控制系统”，该公告认为，内部控制结构由下列三个要

6、素组成：控制环境，会计系统和控制程序,14,内部控制结构阶段,15,内部控制结构阶段,内部控制结构阶段对于内部控制的发展的贡献主要体现在两个方面： 首次将控制环境纳入内部控制的范畴 不再区分会计控制和管理控制，而统一以要素来表述,16,内部控制整合框架阶段,1992年9月，COSO发布了著名的内部控制整合框架，并于1994年进行了修订 该报告系内部控制发展历程中的一座重要里程碑，它对内部控制下了一个迄今为止最为权威的定义：“内部控制是由主体的董事会、管理层和其他员工实施的，旨在为经营的效率和有效性、财务报告的可靠性、遵循适用的法律法规等目标的实现提供合理保证的过程。”,17,内部控制整合框架阶

7、段,18,19,内部控制整合框架阶段,COSO报告还明确了内部控制的内容，即内部控制包括五个相互独立而又相互联系的构成要素 控制环境 风险评估 控制活动 信息与沟通和监控,内部控制整合框架阶段,20,COSO内部控制整合框架,企业风险管理整合框架阶段,2004年9月，COSO发布了企业风险管理整合框架（简称ERM框架） 该框架指出，“全面风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项、管理风险，以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证”。,21,这一阶段的显著变化是将内部控制上升至全面风险管理

8、的高度来认识 基于这一认识，COSO提出了战略目标、运营目标、报告目标和合规目标等四类目标，并指出风险管理包括八个相互关联的构成要素：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控,企业风险管理整合框架阶段,22,企业风险管理整合框架,企业风险管理整合框架阶段,23,整合框架的创新点,内部控制的现实意义,衡量一项制度的价值，不在于其历史渊源多么长久，而在于其在当今社会是否具有普遍的现实意义 随着生产力的发展、企业经营方式的改变、企业制度的变迁，内部控制在企业经营管理活动中的重要性越发凸显，已经逐渐成为企业防范和抵御风险的有效屏障和保障企业实现健康、科学、可持续发展

9、的保护伞,24,25,内部控制的现实意义,内部控制作为组织内部的一种制度安排，意义有以下三点：,我国内部控制法规的发展,26,我国内部控制法规的起步阶段,我国内部控制法规的发展,亚洲金融危机影响下我国内部控制法规的发展 1999年10月新修订的会计法颁布，该法在第二十七条中明确提出：“各单位应当建立、健全本单位内部会计监督制度，单位内部会计监督制度应当符合下列要求：记账人员与经济业务事项和会计事项的审批人员、经办人员、财物保管人员的职责权限应当明确，并相互分离、相互制约；重大对外投资、资产处置、资金调度和财产清查的范围、期限和组织程序应当明确；对会计资料定期进行内部审计的办法和程序应当明确。”

10、,27,我国内部控制法规的发展,SOX法案推动下的我国内部控制法规建设 2004年底和2005年6月，国务院领导就强化我国企业内部控制问题作出重要批示，要求“由财政部牵头，联合有关部委，积极研究制定一套完整公认的企业内部控制指引”,28,金融危机和后危机时代我国内部控制法规的完善 2008年5月，财政部等5部委联合发布了企业内部控制基本规范，要求2009年7月1日起在上市公司范围内施行，并且鼓励非上市的大中型企业也执行基本规范 2010年4月15日，财政部等5部委出台企业内部控制应用指引第1号组织架构等18项应用指引、企业内部控制评价指引和企业内部控制审计指引，要求2011年1月1日起在境内外

11、同时上市的公司实行，在上海证券交易所、深圳证券交易所主板上市公司2012年1月1日起施行，并择机在中小板和创业板上市公司施行，同时也鼓励非上市大中型企业提前执行,我国企业内部控制规范的框架体系,2008年5月22日，财政部会同证监会、审计署、银监会、保监会出台企业内部控制基本规范（以下简称“基本规范”） 2010年4月15日，又发布了企业内部控制应用指引第1号组织架构等18项应用指引、企业内部控制评价指引和企业内部控制审计指引。内部控制基本规范和配套指引的发布，标志着我国内部控制规范体系的形成，是我国内部控制制度发展的里程碑,29,我国企业内部控制规范的框架体系,30,我国企业内部控制规范的框

12、架体系,31,我国企业内部控制规范的框架体系,基本规范是内部控制体系的最高层次，起统驭作用，是制定应用指引、评价指引、审计指引和企业内部控制制度的基本依据 内部控制目标规定了五个方面，即合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略,32,基本规范,我国企业内部控制规范的框架体系,基本规范第四条规定了企业建立与实施内部控制的五项原则：一是全面性原则；二是重要性原则；三是制衡性原则；四是适应性原则；五是成本效益原则 基本规范第五条规定了内部控制的五要素，即内部环境、风险评估、控制活动、信息与沟通和内部监督,33,基本规范,我国企业内部

13、控制规范的框架体系,34,我国企业内部控制规范的框架体系,内部环境应用指引包括组织架构、发展战略、人力资源、社会责任和企业文化等指引 控制业务类应用指引是对各项具体业务活动实施的控制，此类指引包括资金活动、采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告等指引 控制手段类应用指引包括全面预算、合同管理、内部信息传递和信息系统等指引,35,我国企业内部控制规范的框架体系,内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程 内部控制评价指引主要内容包括：实施内部控制评价应遵循的原则、内控评价的内容、内控评价的程序、

14、内控缺陷的认定以及内控评价报告,36,内部控制评价指引,我国企业内部控制规范的框架体系,内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计 审计指引主要内容包括：审计责任划分、审计范围、整合审计、计划审计工作、实施审计工作、评价控制缺陷、出具审计报告以及记录审计工作,37,内部控制审计指引,内部控制基本理论,内部控制的定义 内部控制的目标 内部控制的原则 内部控制的要素 内部控制的局限性,38,内部控制的定义,根据企业内部控制基本规范的解释，“内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程”,39,内部控制的定义,内部控制是一种

15、全员控制 内部控制是一种全员控制，即内部控制强调全员参与，人人有责 内部控制的“全员控制”与董事会、监事会和经理层在内部控制的建设和实施过程中的领导作用并不矛盾，领导者与普通员工仅仅是分工不同、承担的权责大小不同，但都是内部控制的参与主体,40,内部控制的定义,内部控制是一种全面控制 内部控制是一种全面控制，是指内部控制的覆盖范围要足够广泛，涵盖企业所有的业务和事项，包含每个层级和环节，而且还要体现多重控制目标的要求 应当注意的是，内部控制只能为控制目标的实现提供“合理保证”，而不是“绝对保证”，这是因为企业目标的实现除了受制于企业自身限制外，还会受到外部环境的影响，而内部控制无法作用于外部环

16、境,41,内部控制的定义,内部控制是一种全程控制 内部控制是一种全程控制，是指内部控制是一个完整的内部控制体系 时间顺序上看，可分为 内容上看，可分为,42,事前控制 事中控制 事后控制,制度设计 制度执行 监督评价,内部控制的定义,以上是从不同角度对内部控制的理解。内部控制的定义在内部控制概念框架中处于基础地位，是内部控制目标、原则、要素推演的理论依据和逻辑起点，也是企业设计和执行内部控制的最基本的要求 只有真正做到了全员控制、全面控制和全程控制，内部控制的设计才不会出现盲点，内部控制的执行才会合理有效，内部控制的作用才能真正发挥,43,内部控制的目标,44,内部控制的目标,经营管理合法合规

17、目标 经营管理合法合规目标是指内部控制要合理保证企业在国家法律和法规允许的范围内开展经营活动，严禁违法经营 经营管理合法合规是企业生存和发展的客观前提，是内部控制的基础性目标，是实现其他内控目标的保证,45,内部控制的目标,资产安全目标 资产安全目标主要是为了防止资产流失。保护资产的安全与完整是企业开展经营活动的物质前提 资产安全目标有两个层次： 确保资产在使用价值上的完整性，主要是指防止货币资金和实物资产被挪用、转移、侵占、盗窃以及对无形资产控制权的旁落 确保资产在价值量上的完整性，主要是防止资产被低价出售，损害企业利益,46,内部控制的目标,资产安全目标 内部控制的基本思想在于制衡，因为有

18、了制衡，两个人同时犯同一错误的概率大大减少，从而加大了不法分子实施犯罪计划、进行贪污舞弊行为的难度，从而保护企业的资产被非法侵蚀或占用，保障企业正常经营活动的顺利开展,47,财务报告及相关信息真实完整目标 财务报告及相关信息的真实完整目标是指内部控制要合理保证企业提供了真实可靠的财务信息及其他信息,内部控制的目标,财务报告及相关信息真实完整目标 为确保财务报告及相关信息真实完整应做到： 应按照企业会计准则的有关会计制度如实地核算经济业务、编制财务报告，满足会计信息的一般质量要求 应通过内部控制制度的设计，包括不相容职务分离控制制度、授权审批控制制度、日常信息核对制度、惩罚制度等，来防止提供虚假

19、会计信息，抑制虚假交易的发生,48,49,内部控制的目标,提高经营的效率和效果目标 提高经营的效率和效果是内部控制要达到的最直接也是最根本的目标 良好的内部控制可以从以下四个方面来提高企业的经营效率和效果： （1）组织精简、权责划分明确，各部门之间、工作环节之间要密切配合，协调一致，充分发挥资源潜力，充分有效的使用资源，提高经营绩效,内部控制的目标,提高经营的效率和效果目标 （2）优化与整合内部控制业务流程，避免出现控制点的交叉和冗余，也要防止出现内控盲点，要设计最优的内控流程并严格执行，最大限度地提高执行效率 （3）建立良好的信息和沟通体系，提高管理层的经济决策和反应的效率 （4）建立有效的

20、内部考核机制，提高工作的效率和效果,50,内部控制的目标,促进企业实现发展战略目标 促进企业实现发展战略是内部控制的最高目标，也是终极目标。战略与企业目标相关联并且支持其实现的基础，是管理者为实现企业价值最大化的根本目标而针对环境做出的一种反应和选择,51,内部控制的目标,内部控制目标之间的关系 内部控制的五个目标不是彼此孤立的，而是相互联系、共同构成了一个完整的内部控制目标体系 其中，战略目标是最高目标，是与企业使命相联系的终极目标；经营目标是战略目标的细化、分解与落实，是战略目标的短期化与具体化，是内部控制的核心目标；资产目标是实现经营目标的物质前提；报告目标是经营目标的成果体现与反映；合

21、规目标是实现经营目标的有效保证,52,内部控制的目标,53,内部控制目标之间的关系,内部控制的原则,54,内部控制的原则,全面性原则 全面性原则即内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项 内部控制的建立在层次上应该涵盖企业董事会、管理层全体和员工，在对象上应该覆盖各项业务和管理活动，在流程上应该渗透到决策、监督、反馈等各个环节，避免内部控制出现空白和漏洞 总之，内部控制应该是全程控制、全员控制和全面控制,55,内部控制的原则,重要性原则 内部控制的重要性原则即内部控制应当在兼顾全面的基础上突出重点，针对重要业务和事项、高风险领域和环节采取更为严格的控制措施，

22、确保不存在重大缺陷。 “三重一大”，是指“重大决策、重大事项、重要人事任免及大额资金使用”,56,57,内部控制的原则,重要性原则 三重 一大,重大决策事项：企业贯彻执行党和国家的路线方针政策、法律法规和上级重要决定的重大措施，企业发展战略、破产、改制、兼并重组、资产调整、产权转让、对外投资、利益调配、机构调整等方面的重大决策，企业党的建设和安全稳定的重大决策，以及其他重大决策事项 重要人事任免事项：企业直接管理的领导人员以及其他经营管理人员的职务调整事项 重大项目安排事项：企业资产规模、资本结构、盈利能力以及生产装备、技术状况等产生重要影响的项目的设立和安排 大额度资金运作事项：超过由企业或

23、者履行国有资产出资人职责的机构所规定的企业领导人员有权调动、使用的资金限额的资金调动和使用,内部控制的原则,制衡性原则 内部控制的制衡性原则要求内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率,58,内部控制的原则,适应性原则 适应性原则的思想是基于“权变”理论，根据权变理论，建立内部控制制度不可能一劳永逸，而应当与其经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。在当今日益激烈的市场竞争环境中，经营风险更具复杂性和多变性,59,60,内部控制的原则,成本效益原则 内部控制 的成本,内部控制的设计成本： 内部控制的

24、实施成本 内部控制的鉴证成本：聘请注册会计师实施内部控制审计的鉴证费用,自行设计成本 外包设计成本,评价和监督人员的工资 实施内部控制因降低了效率带来的机会成本 内部控制制度嵌入到信息系统后的信息系统的运行和维护成本,61,内部控制的原则,成本效益原则 成本效益原则要求实施内部控制应当权衡成本与预期效益，以适当的成本实现有效控制 成本效益原则要义 值得说明的是，内部控制的建立和实施要符合成本效益原则，也是内部控制对目标的保证程度不是绝对保证、而是合理保证的重要原因之一,努力降低内部控制的成本 合理确定内部控制带来的经济利益,内部控制的要素,62,企业内部控制基本规范内部控制五要素框架图示,内部

25、控制的要素,63,内部环境,内部环境是企业实施内部控制的基础，一般包括： 治理结构 机构设置及权责分配 内部审计 人力资源政策 企业文化等,64,内部环境,企业应当根据国家有关法律法规和企业章程，建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制 股东（大）会享有法律法规和企业章程规定的合法权利，依法行使企业经营方针、筹资、投资、利润分配等重大事项的表决权 董事会对股东（大）会负责，依法行使企业的经营决策权,65,内部环境,监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责 经理层负责组织实施股东（大）会、董事会决议

26、事项，主持企业的生产经营管理工作 从内部控制角度来讲，决策权和经营权相分离，体现了内部控制理念。董事会和经理层应当厘清定位，履行各自相应的职责。董事会应更多地从战略角度对企业发展的重大问题进行决策，经理层应落实董事会决议，更多地抓好决策执行,66,内部环境,治理结构 治理结构是由股东大会、董事会、监事会和管理层组成的，决定公司内部决策过程和利益相关者参与公司治理的办法，主要作用在于协调公司内部不同产权主体之间的经济利益矛盾，克服或减少代理成本,67,人力资源政策 人力资源政策应当包括下列内容：员工的聘用、培训、辞退与辞职；员工的薪酬、考核、晋升与奖惩；关键岗位员工的强制休假制度和定期岗位轮换制

27、度；掌握国家秘密或重要商业秘密的员工离岗的限制性规定；有关人力资源管理的其他政策,内部环境,企业文化 企业文化是一切从事经济活动的组织之中形成的组织文化，是企业在长期的经营实践中形成的共同思想、作风、价值观念和行为准则，是一种具有企业个性的信念和行为方式。企业文化包含四个要素：制度文化、物质文化、行为文化、精神文化。这四者相互影响、相互作用，共同构成企业文化的完整体系。 企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念，强化风险意识,68,风险评估,69,风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风

28、险，合理确定风险应对策略,风险评估,风险评估由目标设定、风险识别、风险分析和风险应对构成 风险评估是内部控制的重要环节，在企业生产经营过程中，只有进行科学的风险评估，自觉地将风险控制在可承受范围之内，才能实现企业的可持续发展,70,风险评估,企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估 企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度 风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平,71,风险评估,72,风险评估风险识别、分析与评估,73,风险评估风险应对,风险应对可以分为四

29、类： 避免风险：指采取措施退出会给企业带来高风险的活动 减少风险：指减少风险发生的可能性或其影响 转移风险：指通过转嫁风险或与他人共担风险，降低风险发生时对企业的影响度 接受风险：指直接接受可能发生的风险及其影响 风险管理的目的不是去消灭风险，而是将企业风险发生的可能性和影响都控制在可接受的范围内,74,风险评估风险应对,75,风险评估风险应对,规避风险 采取措施退出会产生风险的活动 风险规避可能包括退出一个产品线、减少向新地区市场的扩张或出售某分公司 任何经济单位对风险的对策，首先考虑到的是避免风险，尤其是对静态风险尽可能予以避免,76,风险评估风险应对,规避风险 避免风险的方法还可以分为完

30、全避免和部分避免两种 完全避免，就要不惜放弃伴随风险而来的盈利机会 部分避免，主要取决于成本因素和非经济因素。如果避免收益大于避免成本，就可以考虑避免，否则可以不要避免,77,风险评估风险应对,规避风险 对一些风险过大的方案应加以回避，如： 拒绝与不守信用的厂商业务往来 放弃可能明显导致亏损的投资项目 新产品在试制阶段发现诸多问题而果断停止试制 对突发性、高风险，其损失巨大而又难以回避的，有意识地采取避险措施 风险规避可以从三个层面展开：战略风险规避、项目性风险规避、方案风险规避,78,风险评估风险应对,减少风险 减少风险采取措施减少风险发生的可能性，减少风险的影响或者两者同时减少。这可能包括

31、各种日常经营决策 事先从制度、文化、决策、组织和控制上，从培育核心能力上提高企业的防御风险的能力 减少风险主要有两方面意思：一是控制风险因素，减少风险的发生；二是控制风险发生的频率和降低风险损害程度,79,风险评估风险应对,80,减少风险,风险评估风险应对,共担风险 通过转嫁风险或与他人共担风险，采取措施降低风险发生的可能性或降低风险对企业的影响 普通的风险共担技术包括购买保险产品、共同分担风险、参与套期交易或者外购活动,81,风险评估风险应对,共担风险 企业以一定代价（如保险费、赢利机会、担保费和利息），采取某种方式（如参加保险、信用担保、租赁经营、套期交易、票据贴现等等），将风险损失转嫁给

32、他人承担，以避免可能给企业带来灾难性损失 向专业性保险公司投保 风险共担，如实行合资、联营、增发新股、发行债券、联合开发等 风险主体转移。如通过技术转让、特许经营、战略联盟、租赁经营和业务外包转让经营风险；通过委托开发、购买专利来转移技术风险,82,风险评估风险应对,共担风险 由于风险转移必然带来利益的流失，因此，企业应当在识别风险的类型和大小，权衡得失后，选择恰当的方式转移。一般地，自然风险宜用投保，较大的财务风险宜用风险共担，过大的技术风险和生产风险宜用风险主体转移,83,风险评估风险应对,接受风险 不采取任何行动而接受可能发生的风险及其影响 如果企业有足够的财力和能力承受风险损失时，可以

33、采取风险自担和风险自保，自行消化风险损失 风险自担，就是风险损失发生时，直接将损失摊入成本或费用，或冲减利润。 风险自保，就是企业预留一笔风险金或随着生产经营的进行，有计划计提风险基金如呆账损失、大修理基金等。这适用于损失较小的风险,84,控制活动,控制活动是指结合具体业务和事项，运用相应的控制政策和程序，或称控制手段去实施控制 控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制等 企业应通过采用手工控制与自动控制、防护性控制与发现性控制相结合的方法实施相应的控制措施,85,信息与沟通,信息与沟通是企业及时、准确地收集、传递与内

34、部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通 信息与沟通的主要环节有：确认、计量、记录有效的经济业务；在财务报告中恰当揭示财务状况、经营成果和现金流量；保证管理层与单位内部、外部的顺畅沟通 信息与沟通的方式是灵活多样的，但无论哪种方式，都应当保证信息的真实性、及时性和有用性,86,内部监督,内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进 内部监督分为日常监督和专项监督 日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查 专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较

35、大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定,87,内部控制的局限性,内部控制制度在保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略方面具有一定的作用 但内部控制仅仅为以上目标的实现提供合理保证，而不是绝对保证，原因就在于内部控制本身具有一定的局限性,88,内部控制的局限性,越权操作 内部控制制度的重要实施手段之一是授权批准控制，授权批准控制使处于不同组织层级的人员和部门拥有大小不等的业务处理和决定权限，但是当内部人控制的威力超过内部控制制

36、度本身的力量时，越权操作就成为了可能 越权操作的危害极大，不仅打乱了正常的工作秩序和工作流程，而且还会徇私舞弊、违法违规创造了一定的条件,89,内部控制的局限性,合谋串通 内部控制制度源于内部牵制的理念：因为相互有了制衡，在经办一项交易或事项时，两个或两个以上人员或部门无意识地犯同样的错误的概率要大大小于一个人或部门 串通的结果则完全破坏了内部牵制的设想，消弱了制度的约束力，使内部控制制度无效,90,内部控制的局限性,成本限制 根据成本效益原则，内部控制的设计和运行是要花费代价的，企业应当充分权衡实施内部控制带来的潜在收益与成本，运用科学、合理的方法，有目的、有重点地选择控制点，实现有效控制。

37、 内部控制的实施受制于成本与效益的权衡。内部控制的根本目标在于服务于企业价值创造，如果设计和执行一项控制带来的收益不能弥补其所耗费的成本，就应该放弃该项控制,91,内部控制审计,审计范围与审计目标 计划审计工作 实施审计工作 评价控制缺陷 出具审计报告,92,审计范围与审计目标,93,审计范围与审计目标,内部控制审计的范围的确定需要考虑以下因素： 注册会计师的胜任能力 成本效益的约束 投资者的需求 对非财务报告内部控制审计的做法,94,审计范围与审计目标,内部控制审计的业务范围界定 我国内部控制审计的业务范围：我国企业内部控制审计指引中规定注册会计师应当对财务报告内部控制的有效性发表审计意见，

38、并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露,95,审计范围与审计目标,96,内部控制审计时间的确定方式,审计范围与审计目标,我国内部控制审计的时间范围： 我国企业内部控制审计指引从三种方式的互动中寻求平衡，从程序上要求注册会计师应在特定期间对内部控制进行了解和有限测试，从结果上要求注册会计师针对特定时点的内部控制的有效性发表意见,97,审计范围与审计目标,内部控制审计的目标 2007年6月12日，PCAOB发布的AS5第3段规定，财务报告内部控制审计的目标是对公司财务报告内部控制的有效性发表意见 COSO认为

39、，如果董事会和管理层能够合理保证下述事项，那么就可以认为内部控制是有效的：他们了解公司的经营目标在何种程度上得到了实现；公布的财务报表是可信赖的；适用的法律和规章得到了遵循,98,审计范围与审计目标,内部控制审计的目标 我国企业内部控制审计指引第四条规定，注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露,99,审计范围与审计目标,内部控制审计中注册会计师的责任 我国企业内部控制审计指引指出，建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。按照

40、本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任 因此，注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻,100,审计范围与审计目标,101,内部控制审计与财务报表审计的联系,审计范围与审计目标,102,内部控制审计与财务报表审计的区别,审计范围与审计目标,103,审计范围与审计目标,104,计划审计工作,审计人员根据所掌握的控制环境及其对财务报告完整性的影响，制定审计计划，确定项目负责人和项目团队成员，界定角色、责任和资源，制定项目计划、方法和报告要求 同时，将对风险的考虑贯穿整个计

41、划过程，考虑利用其他相关人员的工作,105,计划审计工作,计划审计工作重点关注的内容： 总体要求 贯彻风险评估原则 利用其他相关人员的工作 整合审计 编制审计工作底稿,计划审计工作,人员安排 注册会计师进行内部控制审计业务，首先应当恰当地进行内部控制审计工作计划，配备具有专业胜任能力的注册会计师组成项目组,107,总体要求,计划审计工作,评估重要事项及其影响 在计划审计工作时，注册会计师需要评价下列事项对财务报表和内部控制是否有重要影响，以及有重要影响的事项将如何影响审计工作： 与企业相关的风险，包括在评价是否接受与保持客户和业务时，注册会计师了解的与企业相关的风险情况以及在执行其他业务时了解

42、的情况 相关法律法规和行业概况,108,总体要求,计划审计工作,企业组织结构、经营特点和资本结构等相关重要事项 事业内部控制最近发生变化的程度 与企业沟通过的内部控制缺陷 重要性、风险等与确定内部控制重大缺陷的相关因素 对内部控制有效性的初步判断 可获取的、与内部控制有效性相关的证据的类型和范围 此外，注册会计师还需要关注与财务报表发生重大错报的可能性和内部控制有效性相关的公开信息，以及企业经营活动的相对复杂程度,109,计划审计工作,风险评估的理念及思路应当贯穿于整个审计过程的始终 实施风险评估时，可以考虑固有风险及控制风险。在计划审计工作阶段，对内部控制的固有风险进行评估，作为编制审计计划

43、的依据之一；根据对控制风险评估的结果，调整计划阶段对固有风险的判断，这是个持续的过程,110,贯彻风险评估原则,计划审计工作,在计划审计工作时，注册会计师需要评估是否利用他人（包括企业的内部审计人员、内部控制评价人员、其他人员以及在董事会及其审计委员会指导下的第三方）的工作以及利用的程度，以减少可能本应由注册会计师执行的工作,111,利用其他相关人员的工作,计划审计工作,整合审计的定义： 注册会计师可以可以将内部控制审计与财务报表审计整合进行，即整合审计,112,整合审计,计划审计工作,在实务中，注册会计师为什么更适合于进行整合审计？ 首先，内部控制审计与财务报表审计可以同时进行。 其次，内部

44、控制审计与财务报表审计两者很难分开。 最后，由于内部控制审计和财务报表审计要在规定的时间内一同完成，同时企业要在同一时间同时公布审计报告和内部控制审计报告,113,整合审计,计划审计工作,内部控制审计工作底稿，是注册会计师对制定的审计计划、实施的审计程序、获取的相关审计证据，以及得出的审计结论作出的记录,114,编制审计工作底稿,计划审计工作,审计工作底稿中应记录的内容： 内部控制审计计划及重大修改情况 相关风险评估和选择拟测试的内部控制的主要过程及结果 测试内部控制设计与运行有效性的程序及结果 对识别的控制缺陷的评价 形成的审计结论和意见 其他重要事项,115,编制审计工作底稿,实施审计工作

45、,在实施审计工作阶段，按照自上而下的方法，注册会计师的工作主要包括从财务层面层次初次了解内部控制整体风险，识别与评价企业层面控制，识别重要账户、列报及其相关认定，了解错报的可能来源，选择拟测试的控制，测试控制设计的有效性，测试控制运行的有效性,116,从财务报表层次初步了解内部控制整体风险 识别与评价企业层面控制 测试控制设计和运行的有效性 评估控制风险并获取相关证据,识别与评价企业层面控制,企业层面控制的内容 与内部环境相关的控制 针对管理层（董事会、经理层）凌驾于控制之上的风险而设计的控制 风险评估过程 内部信息传递和财务报告流程的控制 对控制有效性的内部监督和自我评价,117,识别与评价

46、企业层面控制,评价企业层面控制的精确度 某些企业层面控制与控制环境相关的控制，对及时防止或发现并纠正相关认定的错报的可能性有重要影响 某些企业层面控制旨在识别其他控制可能出现的实效情况，能够监督其他控制的有效性，但还不足以精确到及时防止或发现并纠正相关认定的错报 某些企业层面控制本身能够精确到足以及时防止或发现并纠正相关认定的错报,118,测试控制设计和运行的有效性,注册会计师测试控制有效性实施的程序，按提供证据的效力，由弱到强排序为：询问、观察、检查和重新执行 其中，询问本身并不能为得出控制是否有效的结论提供充分、适当的证据 执行穿行测试通常足以评价控制设计的有效性,119,评估控制风险并获

47、取相关证据,在测试所选定控制的有效性时，注册会计师需要根据与控制相关的风险，确定所需获取的证据 与控制相关的风险包括控制可能无效的风险和因控制无效而导致重大缺陷的风险。与控制相关的风险越高，注册会计师需要获取的证据就越多 注册会计师通过测试控制有效性获取的证据，取决于实施程序的性质、时间安排和范围的组合 就单项控制而言，注册会计师应当根据与该项控制相关的风险，适当确定实施程序的性质、时间安排和范围，以获取充分、适当的证据,120,评价控制缺陷,内部控制缺陷的认定 内部控制缺陷的处理,121,内部控制缺陷的认定,内部控制缺陷的分类 按其成因 按其影响程度,设计缺陷 运行缺陷,重大缺陷 重要缺陷

48、一般缺陷,内部控制缺陷的认定,重大缺陷（Material Weakness）：一项或若干项缺陷具有能使年度或中期报告中的重大错报不能被有效预防或及时察觉的合理可能性，该缺陷构成实质性漏洞，它可以是一项缺陷，亦可以是若干项缺陷的组合（PCAOB,2004） 重要缺陷（Significant Deficiency）： 控制缺陷或控制缺陷的组合，会对公司按照普遍接受的会计原则可靠的形成，授权，记录，处理，或报告外部财务数据造成不利影响，比如，很可能该公司的年度或中期财务报表的无关紧要的误报不会防止或发现（PCAOB,2004）,123,内部控制缺陷的认定,124,内部控制评价指引对内控缺陷的定义,内

49、部控制缺陷的认定,注册会计师需要评价其注意到的各项控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷 财务报告内部控制缺陷的严重程度取决于：（1）控制缺陷导致账户余额或列报错报的可能性；（2）因一个或多个控制缺陷的组合导致潜在错报的金额大小 控制缺陷的严重程度与账户余额或列报是否发生错报无必然对应关系，而取决于控制缺陷是否可能导致错报。评价控制缺陷时，注册会计师需要根据财务报表审计中确定的重要性水平，支持对财务报告控制缺陷重要性的评价,125,内部控制缺陷的处理,财务报告内部控制缺陷的处理 注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的，应当在内部控制审计报告

50、中对重大缺陷作出详细说明,126,内部控制缺陷的处理,127,非财务报告内部控制缺陷的处理,完成审计工作,对内部控制形成审计意见 获取管理层书面声明 沟通事项,128,对内部控制形成审计意见,注册会计师需要评价从各种渠道获取的证据，包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷，以形成对内部控制有效性的意见 在评价证据时，注册会计师需要查阅本年度与内部控制相关的内部审计报告或类似报告，并评价这些报告中提到的控制缺陷,129,获取管理层书面声明,管理层书面声明应当包括下列内容： 企业董事会认可其对建立健全和有效实施内部控制负责 企业已对内部控制的有效性作出自我评价，并说明

51、评价时采用的标准以及得出的结论 企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础,130,获取管理层书面声明,企业已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷和重要缺陷 企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷，是否已经采取措施予以解决 企业在内部控制自我评价基准日后，内部控制是否发生重大变化，或者存在对内部控制具有重要影响的其他因素,131,获取管理层书面声明,企业如果拒绝提供或以其他不当理由回避书面声明，注册会计师应当将其视为审计范围受到限制，解除业务约定或出具无法表示意见的内部控制审计报告,132,沟通事项,注册会计师需要与企业沟通

52、审计过程中识别的所有控制缺陷。对于其中的重大缺陷和重要缺陷，需要以书面形式与董事会和经理层沟通 虽然并不要求注册会计师执行足以识别所有控制缺陷的程序，但是，注册会计师需要沟通其注意到的内部控制的所有缺陷,133,出具审计报告,我国企业内部控制审计指引指出，内部控制审计报告分为以下四种类型： 标准内部控制审计报告 带强调事项段的无保留意见内部控制审计报告 否定意见内部控制审计报告 无法表示意见内部控制审计报告,134,标准内部控制审计报告,当注册会计师出具的无保留意见的内部控制审计报告不附加说明段、强调事项段或任何修饰性用语时，该报告成为标准内部控制审计报告,135,标准内部控制审计报告,标准内

53、部控制审计报告包括下列因素： 标题 收件人 引言段 企业对内部控制的责任段 注册会计师的责任段 内部控制固有局限性的说明段,136,标准内部控制审计报告,财务报告内部控制审计意见段 非财务报告内部控制重大缺陷描述段 注册会计师的签名和盖章 会计师事务所的名称、地址及盖章 报告日期,137,标准内部控制审计报告,符合下列所有条件的，注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告： 企业按照企业内部控制基本规范、企业内部控制应用指引、企业内部控制评价指引以及企业自身内部控制制度的要求，在所有重大方面保持了有效的内部控制 注册会计师已经按照企业内部控制审计指引的要求计划和实施审计工

54、作，在审计过程中未受到限制,138,标准内部控制审计报告,内部控制审计报告 股份有限公司全体股东： 按照企业内部控制审计指引及中国注册会计师执业准则的相关要求，我们审计了股份有限公司（以下简称公司）年月日的财务报告内部控制的有效性。 一、企业对内部控制的责任 按照企业内部控制基本规范、企业内部控制应用指引、企业内部控制评价指引的规定，建立健全和有效实施内部控制，并评价其有效性是企业董事会的责任。 二、注册会计师的责任 我们的责任是在实施审计工作的基础上，对财务报告内部控制的有效性发表审计意见，并对注意到的非财务报告内部控制的重大缺陷进行披露。,139,三、内部控制的固有局限性 内部控制具有固有

55、局限性，存在不能防止和发现错报的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制审计结果推测未来内部控制的有效性具有一定风险。 四、财务报告内部控制审计意见 我们认为，公司按照企业内部控制基本规范和相关规定在所有重大方面保持了有效的财务报告内部控制。 五、非财务报告内部控制的重大缺陷 在内部控制审计过程中，我们注意到公司的非财务报告内部控制存在重大缺陷描述该缺陷的性质及其对实现相关控制目标的影响程度。由于存在上述重大缺陷，我们提醒本报告使用者注意相关风险。需要指出的是，我们并不对公司的非财务报告内部控制发表意见或提供保证。本段内容不影响对财

56、务报告内部控制有效性发表的审计意见。 会计师事务所 中国注册会计师：（签名并盖章） （盖章） 中国注册会计师：（签名并盖章） 中国市 年月日,140,带强调事项段的非标准内部控制审计报告,注册会计师认为财务报告内部控制虽不存在重大缺陷，但仍有一项或者多项重大事项需要提醒内部控制审计报告使用人注意的，需要在内部控制审计报告中增加强调事项段予以说明 注册会计师应当在强调事项段中指明，该段内容仅用于提醒内部控制审计报告使用者关注，并不影响对财务报告内部控制发表的审计意见,141,带强调事项段的非标准内部控制审计报告,内部控制审计报告 股份有限公司全体股东： 按照企业内部控制审计指引及中国注册会计师执业准则的相关要求，我们审计了股份有限公司（以下简称公司）年月日的财务报告内部控制的有效性。 “一、企业对内部控制的责任”至“五、非财务报告内部控制的重大缺陷”参见标准内部控制审计报告相关段落表述。 六、强调事项 我们提醒内部控制审计报告使用者关注，（描述强调事项的性质及其对内部控制的重大影响）。本段内容不影响已对财务报告内部控制发表的审计意见。 会计师事务所 中国注册会计师：（签名并盖章） （盖章） 中国注册会计师：（签名并盖章） 中国市 年月日,142,否定意见的内部控制审计报告,注册会计师认为财务报告内部控制存在一项或多项重大缺陷，除非审计范围受到限制，需