《审计学》课件-第15章 企业内部控制审计

第十五章企业内部控制审计

本章提要第一节内部控制审计概念与计划方法第二节内部控制审计多层面测试第三节信息系统控制的测试第四节内部控制审计缺陷评价第五节出具内部控制审计报告本章学习目标1.理解内部控制概念；2.了解计划审计工作内容；3.理解内部控制审计多层面测试适用情形；4.了解信息系统控制的测试内容；5.掌握内部控制审计缺陷评价内容；6.理解内部控制审计报告相关内容。一、我国内部控制发展2008年7月，我国财政部会同证监会等五部门发布《企业内部控制基本规范》；2010年4月26号，财政部会同证监会等五部门发布《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》；2011年1月1日期首先在境内外同时上市的公司施行；2012年1月1日期扩大到在上海证券交易所、深圳证券交易所主板上市的公司进行施行。

第一节内部控制审计概念定义：内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。范围：（1）针对财务报告内部控制，注册会计师对其有效性发表审计意见；（2）针对非财务报告内部控制，注册会计师针对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。二、内部控制审计范围内部控制审计基准日：指注册会计师评价内部控制在某一时日是否有效所涉及的基准日，也是被审计单位评价基准日，及最近一个会计期间截止日。二、内部控制审计范围财务报告内部控制内容第一节制定审计计划计划审计工作时应当考虑的事项：1.与企业相关的风险2.相关法律法规和行业概况3.企业组织结构、经营特点和资本结构等相关重要事项4.企业内部控制最近发生变化的程度5.与企业沟通过的内部控制缺陷6.重要性、风险等与确定内部控制重大缺陷相关的因素7.对内部控制有效性的初步判断8.可获取的、与内部控制有数性相关的证据的类型和范围总体审计策略和具体审计计划总体审计策略1.确定审计业务的特征，以界定审计范围。2.明确审计业务的报告目标，以计划审计的时间安排和所需沟通的性质。3.根据职业判断，考虑用以指导项目组工作方向的重要因素。4.考虑初步业务活动的结果，并考虑对被审计単位执行其他业务时获得的经验是否与内部控制审计业务相关。5.确定执行业务所需资源的性质、时间安排和范围。总体审计策略和具体审计计划具体审计计划了解和识别内部控制的程序的性质、时间安排和范围；测试控制设计有效性的程序的性质、时间安排和范围；测试控制运行有效性的程序的性质、时间安排和范围。风险识别和评估自上而下的方法步骤：1.从财务报表层次初步了解内部控制整体风险2.识别、了解和测试企业层面控制3.识别重要账户、列报及其相关认定4.了解潜在错报的来源并识别相应的控制5.选择拟测试的控制第二节内部控制审计多层面测试风险应对测试控制的有效性：设计的有效性和运行的有效性。测试方式：询问、观察、检查、重新执行。时间安排：尽量在接近基准日实施测试；实施的测试需要涵盖足够长的期间。第二节内部控制审计多层面测试企业层面控制的测试1、与控制环境相关的控制2、针对管理层和治理层凌驾于控制之上的风险而设计的控制3、被审计单位的风险评估过程4、对内部信息传递和期末财务报告流程的控制5、对控制有效性的内部监督（即监督其他控制的控制）和内部控制评价6、集中化的处理和控制（包括共享的服务环境）7、监督经营成果的控制8、针对重大经营控制及风险管理实务的政策第二节内部控制审计多层面测试具体层面控制的测试1.了解企业经营活动和业务流程2.识别可能发生错报的环节3.识别和了解相关控制

预防性控制/检查性控制4.记录相关控制第二节内部控制审计多层面测试1.自动化控制好处：（1）有效处理大流量交易及数据；（2）不容易被绕过；（3）自动信息系统、数据库及操作系统的相关安全控制可以实现有效地职责分离；（4）自动信息系统可以提高信息的及时性、准确性，并使信息变得更易获取；（5）自动信息系统可以提高管理层对企业业务活动及相关政策的监督水平。第三节信息系统控制的测试2.自动化控制风险：（1）会对数据进行错误处理，也可能会去处理那些本身存在错误的数据；（2）如果无效，会增加对数据信息非授权访问的风险；（3）数据丢失风险或数据无法访问风险，如系统瘫痪；（4）不适当的人工干预，或人为绕过自动控制。第三节信息系统控制的测试信息系统控制的测试1.信息技术一般控制测试：程序开发、程序变更、程序和数据访问以及计算机运行。2.信息技术应用控制测试：完整性、准确性、经过授权和访问限制。第三节信息系统控制的测试内部控制缺陷评价分类：设计缺陷、运行缺陷重大缺陷、重要缺陷、一般缺陷评价控制缺陷的严重程度：1、控制不能防止或发现并纠正账户或列报发生错报的可能性的大小；2、因一项或多项控制缺陷导致的潜在错报的金额大小。第四节内部控制审计缺陷评价内部控制缺陷整改第四节内部控制审计缺陷评价审计报告包含要素（1）公司董事会关于建立健全和有效实施财务报告内部控制是公司董事会的责任，并就公司财务报告内部控制评价报告真实性作出的声明。（2）财务报告内部控制评价的依据。（3）根据自我评价情况，认定于评价基准日存在的财务报告内部控制重大缺陷情况。（4）对发现的重大缺陷已采取或拟采取的整改措施的说明。（5）公司董事会对评价基准日财务报告内部控制有效性的自我评价结论。（6）在财务报告内部控制自我评价过程中关注到的非财务报告内部控制重大缺陷情况。第五节出具内部控制审计报告审计报告类型第五节出具内部控制审计报告强调事项1、企业内部控制评价报告对要素的列报不完整或不恰当；2、在基准日并不存在、但在期后期间发生的事项，且这类期后事项对内部控制有重大影响。第五节出具内部控制审计报告非财务报告内部控制重大缺陷某项或某些控制对企业发展战略、法规遵循、经营的效率效果等控制目标的实现有重大不利影响，确定该项非财务报告内部控制缺陷为重大缺陷的，注册会计师应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进。第五节出具内部控制审计报告本章关键术语：1．内部控制（internal