企业内部控制审计及审计测试相关内容课件

企业内部控制审计及审计测试一、上市公司内部控制建设及问题分析上市公司内部控制建设及问题分析主要内容：对内控实施的预期；2011年内控实施的情况；内控建设存在的问题及建议；内控审计相关问题。2011年内控实施情况

273家上市公司披露内控自评报告，其中63家披露缺陷。

214家上市公司发布审计报告（63家境内外同时上市公司、147家主板上市公司），5家非标准（1家否定意见）。内控规范体系实施的整体要求内部控制规范体系实施是内控体系建设、内控自评、内控审计的一个不断完善的过程。内部控制梳理：成立专属部门、确定梳理范围、实施风险评估、整理现有制度、辨识内控环节、明确管理规范。内部控制优化：记录内控缺陷、设计整改方案、完善相关制度、更新文档记录。内部控制评价：制定内控评价办法、开展内控评价、跟踪缺陷整改、编制内控评价报告。内部控制审计：进行模拟审计、提供所需证据、出具管理申明、出具审计报告。内控建设存在的问题及建议：1、对内控的理解和重视程度：内控的实施会限制管理层的权力；内控的实施仅为满足监管的要求；内控的实施是制度完善的过程；内控的实施降低企业运行效率。

原因：思想认识不统一、公司领导—合规VS管理提升

运动VS持续工作

中层—抵触

基层员工—切身利益

关注：内控文化是根本

解决：内控实施的责任主体：—董事会对内控的建立和实施负责。

解决方案的思路：一把手工程体现在：自身认识程度、身体力行的推动、解决阻力的决心和魄力。内控建设存在的问题及建议：2、内控建设体现的成果：

-企业管理制度体系

纲领性文件：明确管理组织架构、职能、策略、目标与愿景等。

-制度性文件：规定某项业务工作的目标、方向、原则等，是制定流程及操作性文件的基础和依据。包括但不限于适用范围、编制依据、主要应对风险、职责分工、政策与要求等。

-流程文件/控制文档：流程文件属于制度体系的第三层级文件，是依据基本制度建立的管理文件，在流程层面规定制度文件如何得以执行。包括但不限于管理要求、实施方案、应对风险及控制措施等。

-操作性文件：操作性文件是依据流程文件编制的、指导具体操作的管理文件，详细描述流程层面的具体工作如何开展并符合流程要求，涉及日常管理活动。内控建设存在的问题及建议：3、内控建设体系成果的体现：内控手册

流程图

风险地图

风险控制矩阵

—没有统一要求，反映内控过程，便于理解和执行。内控建设存在的问题及建议：4、内控评价人员所需的知识技能

方法论：内控评价人员需要熟悉内部控制框架理论，内部控制评价的监管要求，并在此基础上开发适合自身企业特点的内部控制评价方法论。

专业技能；在风险评估、内控设计和执行有效性测试、缺陷认定等方面，以及业务、财务、信息技术、企业层面控制等各领域，均需要相关人员具有比较丰富的专业技能和经验。行业经验：除科学的方法论外，丰富的行业经验也是内控评价不可或缺的知识技能之一。不熟悉本企业所处行业的一般运作规律及关键风险，可能导致评价人员并不能真正识别关键评价领域。

项目管理：内控评价很多情况下以项目的形式推进，对大型企业集团来说，内控评价人员的项目管理能力非常重要。内控建设存在的问题及建议：5、规范与管理的结合程度不够：部分企业简单按照18项指引完善自身制度

财政部与证监会要求：指引仅为参考，要结合企业实际

监管中将着重考虑内控建设与企业特点的问题。内控建设存在的问题及建议：6、企业内控管理组织机构设立

内控领导小组

内控实施小组

内控责任人内控建设存在的问题及建议：7、企业内控工作建设路线图

企业内控体系建设划分为内控基础建设、内控促进管理、内控融入管理三个阶段。

内控基础建设：现状调研、风险评估、内控体系设计、宣传推广、内控管理平台建设。

通过梳理业务流程，编制内部控制手册，建立内部控制体系基本框架，明确公司对重要风险的关键控制点，提升企业管控的能力。

目标是初步构建以风险为导向的内部控制体系、风险知识库，有效提升对重大风险的管控能力。

内控促进管理

内控体系完善、相关业务管理的完善。

通过内控体系的持续运行与评价，不断推进企业改进管理与业务流程，规范制度建设，优化组织结构，加强风险管理能力，提升企业管理水平。

目标是形成内控与管理的互动机制，完善风险知识库，进一步提升企业管控能力。

内控融入阶段：内控体系的持续改进、相关业务管理的持续改进。

通过持续不断的管理改进，将风险管理与内部控制的理念和方法嵌入公司各项管理活动中

目标是形成完善的、具备自我更新能力并与日常管理活动融为一体的内部控制活动。内控建设存在的问题及建议：8、对内控自我评价工作重视不够

缺乏有效的评价办法、董事会对自身责任认识不够、过于依赖中介机构的服务（内控咨询、评价与审计）、缺乏符合企业实际的缺陷认定标准。

内控评价：制定评价工作方案—组成评价工作组—实施现场测试—认定控制缺陷—汇总评价结果—编报评价报告。克服极端：追求零缺陷，过度整改、

考虑成本效益原则、

内控的动态过程。设计有效性与执行有效性内部控制的设计有效性，是指为实现控制目标所必需的内部控制要素都存在并且设计合理、恰当。

存在性：过程和风险已被充分识别，过程和风险的控制措施得到明确规定并得以保持。

合理性：内部控制的设计在符合内部控制原理的，本着客观、公平、公正的原则制定，对董事会、监事会、经理层和员工具有执行的基础和约束力。

恰当性：内部控制的设计结合企业自身的环境条件、业务范围、经营模式等进行风险识别和评估，确定主要及重大风险控制措施，从而有利于实现控制目标。设计有效性与执行有效性内部控制的运行有效性，是指现有内部控制按照规定程序得到了正确执行。评价运行有效性，可考虑的包括：相关控制是否得到持续一致的运行；相关控制是否由适当的人员执行（执行人员具有相应的权限和能力）；相关控制是否是适当的时间被执行（如某交易在发生前得到相应的授权和审批，而不是在事后补齐授权审批手续）；执行方式恰当（如某控制按规定应执行管理层审批程序，但实际执行人仅进行审阅，没有指示决策意见，则该控制执行不当）；执行结果进行了适当的记录（重要控制环节需要签字、邮件、会议纪要等记录）；执行时发现的差异及时得到了跟进（如对账环节，核对并不是最终目的，最终目的是核对过程中发现的差异均进行了调查跟进）

。。。。。。。。如何评价公司内控建设的充分性、自评的有效性1、公司内部控制规范体系建设的组织形式：以项目的形式开展还是授权某一部门牵头；工作进度的汇报路径及汇报频率；内控工作是否纳入考核体系；牵头部门人员的胜任能力及是否聘请咨询中介机构等。

2、公司内部控制规范体系建设及评价的范围：着眼于全面内控还是财务报告内部控制；是否包括重要业务领域、重要分子公司或分支机构；了解公司经营管理中对信息系统的依赖程度，以及在内控建设及评价过程中对信息系统的关注程度；财务报告内部控制有效性的评价；在确定评价范围时，应包括：重要子公司或业务单元；特殊行业、特殊业务；高风险子公司及领域；有特殊监管要求的子公司或业务单元。

二、内控审计的相关问题内控审计的相关问题1、审计方式问题：

整合审计—不仅仅是同一审计机构的问题，在财务报表审计的基础上附加必要的内控审计程序

根据内控审计师与财务报表审计师沟通频率及沟通内容分析，非整合审计的情况下，内控审计师无法及时、充分获取财务报表审计过程中的审计发现，导致其无法根据财务报表结果充分衡量对内控审计意见的影响，审计程度受限。

独立性要求—内控咨询与审计机构不能为一家。内控审计的相关问题2、关于内控审计费用的问题：部分企业内控审计费用过低，难以保证审计质量。内控审计的相关问题3、关于审计机构的选择：是否具有足够的审计力量；是否有健全的审计程序和质量控制体系；对公司所处行业的了解程度等。内控审计的相关问题4、市场对非标意见和承受度。否定意见内控报告情况：

-多头授信—收款风险未得到有效控制。

-授信额度不超过客户注册资本—未有效执行。

结果：形成大额无法收回的应收款。

媒体、市场、公司对内控缺陷的态度。内控审计的相关问题5、事务所对内控审计业务准备不足缺乏足够培训没有明确的缺陷认定标准和技术指引不同人员理解存在偏差内部控制缺陷评价程序中的关键环节及要素理解存在问题。内控审计的相关问题6、低价竞争内控审计的相关问题7、信息系统审计力量不足。内控审计的相关问题8、与客户沟通不够

客户是否具备可审计条件

审计在于真实反映内控现状，运行时间短对审计意见的可能影响

与客户的意见分歧内控审计的相关问题对关键审计技术的理解存在偏差。1、不理解风险为导向的整合审计思路，将事务所风险及责任无限放大。2、业务约定书与审计计划

业务约定书一般单独签订

总体审计策略和具体审计计划：涵盖内控审计要点。

3、流程描述过于简单，测试控制点与流程描述缺乏匹配关系。

4、内部控制执行测试样本规模及样本量选择存在偏差。

5、事务所内控审计工作入场晚导致审计程序出现偏差

-过分依赖上市公司自评工作，未就其胜任能力客观性进行评估，未就其自评识别的关键流程、关键控制点是否全面进行分析

-利用财务报表审计预审时实施的内控测试工作成果，根据内控审计要求补充部分测试程序出具报告

-审计现场工作进场时间较晚，测试发现内部控制缺陷后上市公司无足够时间整改或整改后运行时间不够。企业层面控制的测试三、企业层面控制的测试企业层面控制的测试对企业层面控制的考虑1、财务报表审计：

注册会计师应当了解与审计相关的内部控制。在了解与审计相关的控制时，注册会计师应当综合运用询问被审计单位内部人员和其他程序，以评价这些控制的设计并确定其是否得到执行。（审计准则第1211号第15条、16条）2、内部控制审计注册会计师应当识别、了解和测试对内部控制有效性有重要影响的企业层面控制。（实施意见第三（二）部分）企业层面控制的测试企业层面控制：是指那些确保管理层设在公司内部各个领域、各个业务层面的控制机制得以有效运转的机制。企业层面控制的内容：

1、与控制环境（即内部环境）相关的控制。

2、针对管理层和治理层凌驾于控制之上的风险而设计的控制。

3、被审计单位的风险评估过程。

4、对内部信息传递和期末财务报告流程的控制。

5、对控制有效性的内部监督（即监督其他控制的控制）和内部控制评价。企业层面控制的测试测试控制的设计和运行1、测试控制设计的有效性如果某项控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定的程序和要求执行，能够实现控制目标，从而有效地防止或发现并纠正可能导致财务发生重大错报的错误或舞弊，则表明该项控制的设计是有效的。综合运用询问适当人员、观察经营活动和检查相关文件等程序。企业层面控制的测试测试控制的设计和运行2测试控制运行的有效性：如果某项控制正在按照设计运行，执行人员拥有有效执行控制所需的授权和专业胜任能力，能够实现控制目标，则表明该项控制的运行是有效的。综合运用询问适当人员、观察经营活动、检查相关文件以及重新执行等程序。

在识别、了解和测试企业层面控制时，注册会计师不得利用他人的工作。企业层面控制的测试1、与控制环境（即内部环境）相关的控制控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和行动。控制环境设定了被审计单位的内部控制基调，影响员工的内部控制意识。在了解和测试控制环境时，注册会计师需要考虑的方面主要包括：管理层的理念和经营风格是否促进了有效的财务报告内部控制；管理层在治理层的监督下，是否营造并保持了诚信守信和合乎道德的文化；治理层是否了解并监督财务报告过程和内部控制。与控制环境（即内部环境）相关的控制—基本内容1、与控制环境（即内部环境）相关的控制控制环境的要素：

管理层的理念和经营风格

—组织结构

—职权与责任的分配

—对胜任能力的重视

—人力资源政策与实务对诚信和道德价值观念的沟通和落实治理层的参与程度与控制环境（即内部环境）相关的控制—管理层的理念和经营风格1相关要素考虑因素管理层的理念和经营风格管理层清晰地传达他们对财务报告和财务报告部门的态度和行为，以及用以保证选择适当会计政策的控制。管理层适当进行财务报告相关的授权。组织结构即被审计单位为实现目标而计划、执行、控制及评价其活动的框架，被审计单位组织结构是否恰当部分取决于被审计单位的规模和经营活动的性质。管理层是否定义职权和责任的关键范围，并建立适当的重要职员报告途径。管理层是否有适当的控制以管理重要职能（如信息技术、财务和内部审计）的员工离职，如对离职原因进行分析等。职权与责任的分配对于关键人员（如会计人员、资产管理人员等）的职权和责任进行恰当分配。与控制环境（即内部环境）相关的控制—管理层的理念和经营风格2相关要素考虑因素对胜任能力的重视管理层是否分析一些特定岗位所承担的职责所必需的知识和技能。管理层是否运用正式或非正式的职位描述去定义特定职责所需执行的工作。人力资源政策与实务针对参与财务报告内部控制的人员，被审计单位的人力资源部门是否制定适当的招聘（包括对一些重要员工的背景调查）、培训、考核、晋升、薪酬奖励、内部调动和辞退员工政策。管理层是否做出适当行动以应对违反公司政策和程序的行为，同时与员工沟通并监控员工对公司政策的正确执行。与控制环境（即内部环境）相关的控制—对诚信和道德价值观念的沟通和落实控制的有效性受负责创建、管理和监控内部控制的人员的诚信和道德价值观的影响注册会计师在了解和测试此部分控制的有效性时可以考虑但不限于以下因素：被审计单位是否有书面的行为规范并且有监督各级别员工贯彻执行行为规范的控制。管理层是否对违反相关行为规范的行为采取适当的措施。管理层是否有使得激励员工与设定不切实际业绩目标之间得以平衡的控制。与控制环境（即内部环境）相关的控制—治理层的参与程度被审计单位的治理层（如董事会、监事会等）通常通过其自身的活动，并在审计委员会或类似机构的支持下，监督被审计单位的财务报告政策和程序。被审计单位的控制意识在很大程度上受治理层的影响。注册会计师了解和测试此部分控制有效性时可以考虑但不限于以下因素：董事会、审计委员会成员是否独立于管理层，有明确的相关职责，了解并且具备适当条件去执行那些职责。注册会计师可以对审计委员会成员的背景进行了解，并获得他们执行相关职责的证据。董事会、审计委员会是否与注册会计师进行适当的互动并定期沟通，并对注册会计师提出的问题作出反馈。治理层是否充分参与了监督财务报告编制的过程。董事会、审计委员会是否评估在有效监管下管理凌驾于内部控制之上的风险。与控制环境（即内部环境）相关的控制—示例要点内部控制控制描述·当需要招聘人员时，由拟聘用该人员的部门拟定招聘计划（包括岗位具体职责、教育背景等任职条件及工作经验要求等），经部门负责人、人力资源部负责人和总经理批准后，由人力资源部负责招聘。·应聘人员提交的资料首先由人力资源部经理进行背景调查（包括但不限于联络推荐人，获取资格/专业证书复印件等），通过背景调查的人员由人力资源部负责人和相关部门负责人面试，其聘用需经人力资源部负责人和相关部门负责人共同批准。重要管理层岗位（包括部门负责人、承担重要财务报告职责的人员等）的任命还需总经理批准。·被聘用的人员需与企业签订标准的劳动合同，包含了工资、雇佣期限、试用期、保密要求等关键劳动合同条款。期末：·如中期测试结论为控制有效，期末对人力资源部负责人进行询问，确定员工的聘用流程在剩余的期间是否发生变化。与控制环境（即内部环境）相关的控制—示例（续）要点测试程序控制特点·人工控制·截至8月执行期中测试时约新聘员工300人，视为每天多次的人工控制。·与控制相关的风险较低。·人力资源部负责人多年人力资源管理经验，各部门负责人均具有行业经验了解本部门所需人员的能力。测试控制的设计·询问人力资源部负责人企业的聘用流程·查阅一位新聘用员工的档案资料，检查其招聘计划是否经过相关部门负责人、人力资源部负责人和总经理的审批；人力资源部经理是否对其进行背景调查；该员工的聘用是否经适当批准；是否已签订标准的劳动合同。测试控制的运行中期：·查阅当年度入职的25名员工的档案资料，确定其招聘计划是否经部门负责人、人力资源部负责人和总经理审批；人力资源部经理是否已对其进行背景调查；其聘用是否经适当批准；是否已签订标准劳动合同。与控制环境（即内部环境）相关的控制—针对管理层和治理层凌驾于控制之上的风险而设计的控制针对管理层和治理层凌驾于控制之上的风险而设计的控制

·针对重大的非常规交易的控制，尤其是针对导致处理延迟或异常的交易的控制。

·针对关联方交易的控制。

·与管理层的重大估计相关的控制。

·能够减弱管理层和治理层伪造或不恰当操纵财务结果的动机和压力的控制。针对管理层和治理层凌驾于控制之上的风险而设计的控制-示例要点内部控制控制描述·公司设立了举报专线鼓励员工举报任何违反《操守准则》要求的行为或舞弊等违规行为。举报专线由独立的第三方负责维护，公司政策明确禁止对善意举报人施加报复。对于进行报复行为的人，公司将采取适当的处罚措施·举报专线已公布在公司网页，供员工随时了解·对于举报的违规行为，内审部及人力资源部负责进行调查并按照公司政策进行惩戒，员工受到的惩戒会在其年度业绩评价中予以考虑控制特点·人工控制·截至2011年8月期中测试时，举报专线共记录违规行为2项，视为每季一次的控制·与控制相关的风险较高·内审部及人力资源部负责人均从业多年，具有适当经验针对管理层和治理层凌驾于控制之上的风险而设计的控制-示例（续）要点测试程序测试控制的设计·就举报专线的设置、违反公司政策的惩戒规定及举报信息的处理等向内审部和人力资源部负责人进行交叉询问·检查企业公布举报专线的内部网页·获取企业的举报专线记录，抽取其中一项举报信息，检查其反映违规行为的调查结果及处理记录测试控制的运行中期：·查阅企业的举报专线记录，检查举报反映的员工违规行为是否已经恰当处理·在针对流程层面执行控制设计有效性测试时，询问员工对违反公司政策的惩戒规定以及举报专线信息的了解期末：·如中期测试结论为控制有效，期末就举报信息的处理和惩戒是否有变化，对人力资源部和内审部负责人进行交叉询问·查阅2011年剩余期间的举报专线记录，并检查举报的违规行为是否已经恰当处理。与控制环境（即内部环境）相关的控制—被审计单位的风险评估过程风险评估过程包括识别与财务报告相关的经营风险和其他经营风险，以及针对这些风险采取的措施

·设定控制目标—根据企业实际情况设定具体控制目标。

·收集相关信息—内部信息和外部信息

·识别风险—内部风险（人力资源、管理、自主创新、财务、安全环保、其它）；外部风险（经济、法律、社会、科学技术、自然、其他）

·风险分析—定性与定量相结合，确定关注重点和风险优先级

·确定风险承受度—整体风险承受能力和业务层面可接受风险水平

·风险应对策略—风险规避、风险降低、风险分担、风险承受

·持续评估—结合企业发展不同阶段，持续收集相关信息，进行风险识别和风险分析，及时调整风险应对策略另外也包括针对重大经营控制及风险管理实务的政策。风险管理过程1、确定所处位置和背景2、识别风险3、分析风险4、评价风险并排序5、处置风险（风险规避、风险降低、风险分担、风险承受）应当关注的风险1、战略风险：营销战略风险、经营模式风险、收购兼并风险、消费行为风险、政治立法风险2、财务风险：资金管理风险、信用管理风险、财务舞弊风险、税收金融风险、实物资产风险3、经营风险：产品设计风险、工艺流程风险、产品安全风险、雇员安全风险、劳资关系风险4、商业风险：客户关系风险、供应关系风险、商业道德风险、违法违规风险5、技术风险：研究开发风险、技术更新风险、设备故障风险、环境保护风险被审计单位的风险评估过程可能产生风险的事项和情形监管环境和经营环境的变化新员工新的或升级的信息系统快速增长新技术新业务模式企业重组扩张海外经营新的会计政策与控制环境（即内部环境）相关的控制—被审计单位的风险评估过程针对重大经营控制及风险管理实务的政策注册会计师在这方面可以考虑的主要因素包括但不限于：企业是否建立了重大风险预警机制，明确界定哪些风险是重大风险，哪些事项一旦出现必须启动应急处理机制。应急预案、预警机制等相关的政策和方案应非常明确地传达到相关人员，一旦出现紧急情况，企业能够在第一时间作出反应，将损失降到最低。企业是否建立了突发事件应急处理机制，确保突发事件得到及时妥善处理。注册会计可以关注突发事件应急管理机制的下列方面：事前的预防发生突发事件的应急处理事后相关措施的改进被审计单位的风险评估过程-示例要点内部控制控制描述企业设有专门的风险管理委员会，负责对风险的监控和管理，其执行机构为风险管理部。风险管理部人本公司内部（包括中层及上层管理层及董事）及外部（包括分析师、律师、审计师等）人员收集信息，考虑内外部风险进行风险评估，并提出应对措施。风险管理部每季度汇总编制风险评估报告并向风险管理委员会报告。控制特点·人工控制·每季一次·风险管理部和风险管理委员会均独立于业务部门，负责人具有适当的管理经验·控制相关风