1、1企业内部控制审计指引实施意企业内部控制审计指引实施意见见讲解讲解2013年10月2主讲人简介唐建华,中注协专业标准与技术指导部主任3我国原有的内部控制鉴证规范2001年中注协发布内部控制审核指导意见 最大特点是年报审计与内部控制审核独立进行。没有提出自上而下和风险导向的审计思路4我国内部控制鉴证规范 企业内部控制审计指引2010年4月 企业内部控制审计指引实施意见2011年10月 比美国PCAOB 5略严,更具体 企业内部控制审计工作底稿编制指南2011年12月(参考资料,不具有强制性)5与内部控制审核指导意见的关系 明确业务性质是审计 采用整合审计框架 明确了审计思路自上而下的方法风险导向
2、审计 利用他人的工作6二、审计思路二、审计思路 7内部控制审计工作做到什么份上?审计对象是保证财务报表质量的一套机制 要求覆盖每个相关认定 要求覆盖财务报表层次和认定层次的重大错报风险8审计思路 风险导向审计 自上而下的审计方法9风险导向审计 其实质在于:以财务报告内部控制重大缺陷风险的识别、评估和应对作为审计工作主线,在风险评估的基础上,将审计资源投放在高风险领域,以提高审计效率和效果。审计风险内部控制存在重大缺陷的风险检查风险 内部控制存在重大缺陷的风险=控制无效的风险无效导致重大缺陷的风险10风险导向审计 风险评估的导向作用确定重要账户确定相关认定确定控制测试的性质、时间安排和范围确定利
3、用他人工作的程度集团测试范围的确定11识别、了解和评价企业整体层面控制的设计有效性从财务报表层次识别重大账户识别相关认定识别重要的业务流程和主要的交易类别识别流程中错报可能发生的环节识别和测试预防或及时发现错报发生的控制(业务流程层面的控制)选择拟测试的控制从报表层次出发,了解内部控制整体风险自上而下的方法12三、关于签订业务约定书三、关于签订业务约定书 13业务约定书 独立性(从网络所范畴考虑)内部控制审计的前提条件适用的内部控制标准就被审计单位认可并理解其责任与治理层和管理层达成一致意见(自我评价工作)签定单独的业务约定书审计范围财务报告内部控制(需要梳理)豁免14四、计划审计工作四、计划
4、审计工作 15五、实施审计工作五、实施审计工作 16实施审计工作 控制有效性的内涵 控制有效性测试的性质、时间安排和范围 与控制相关的风险17六、连续审计时的特殊考虑六、连续审计时的特殊考虑 18 人工控制(每年必须测试)自动化控制(可采用对标策略)增加测试的不可预测性19七、集团审计时的特殊考虑七、集团审计时的特殊考虑 20八、评价控制缺陷八、评价控制缺陷 21九、完成审计工作九、完成审计工作 22完成审计工作 获取管理层声明 沟通缺陷 评价企业内部控制评价报告对相关法律法规规定的要素的列报是否完整和恰当23获取管理层声明注册会计师应当获取经被审计单位签署的书面声明。书面声明的内容应当包括:
5、被审计单位董事会认可其对建立健全和有效实施内部控制负责;被审计单位已对内部控制进行了评价,并编制了内部控制评价报告;被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作为评价的基础;被审计单位根据内部控制标准评价内部控制有效性得出的结论;被审计单位已向注册会计师披露识别出的所有内部控制缺陷,并单独披露其中的重大缺陷和重要缺陷;被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞弊,以及其他不会导致财务报表发生重大错报,但涉及管理层、治理层和其他在内部控制中具有重要作用的员工的所有舞弊;注册会计师在以前年度审计中识别出的且已与被审计单位沟通的重大缺陷和重要缺陷是
6、否已经得到解决,以及哪些缺陷尚未得到解决;在基准日后,内部控制是否发生变化,或者是否存在对内部控制产生重要影响的其他因素,包括被审计单位针对重大缺陷和重要缺陷采取的所有纠正措施。24沟通缺陷 对于重大缺陷和重要缺陷,注册会计师应当以书面形式与管理层和治理层沟通。书面沟通应当在注册会计师出具内部控制审计报告之前进行。注册会计师应当以书面形式与管理层沟通其在审计过程中识别的所有其他内部控制缺陷,并在沟通完成后告知治理层。在进行沟通时,注册会计师无需重复自身、内部审计人员或被审计单位其他人员以前书面沟通过的控制缺陷。25内部控制审计与管理层自我评估的关系 企业内部控制审计报告应当与内部控制评价报告同
7、时对外披露或报送。在企业治理层的监督下,按照企业内部控制基本规范和相关规定,设计、实施和维护有效的内部控制,并评价其有效性是企业管理层的责任。按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。内部控制审计不能减轻企业管理层的责任。注册会计师在内部控制审计或财务报表审计中实施的程序并不是企业内部控制的组成部分。26十、出具审计报告十、出具审计报告 27无保留意见审计报告 内部控制不存在重大缺陷 不存在审计范围受到限制的情况28无保留意见审计报告股份有限公司全体股东:按照企业内部控制审计指引及中国注册会计师执业准则的相关要求,我们审计了股份有限公司(以下简
8、称公司)年 月 日的财务报告内部控制的有效性。一、企业对内部控制的责任 按照企业内部控制基本规范、企业内部控制应用指引、企业内部控制评价指引的规定,建立健全和有效实施内部控制,并评价其有效性是企业董事会的责任。29无保留意见审计报告 二、注册会计师的责任 我们的责任是在实施审计工作的基础上,对财务报告内部控制的有效性发表审计意见,并对发现的非财务报告内部控制的重大缺陷进行描述。30无保留意见审计报告 三、内部控制的固有局限性 内部控制具有固有局限性,存在不能防止和发现错报的可能性。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制审计结果推测未来内部
9、控制的有效性具有一定风险。31无保留意见审计报告 四、财务报告内部控制审计意见 我们认为,于 年 月 日,公司按照企业内部控制基本规范和相关规定在所有重大方面保持了有效的财务报告内部控制。32无保留意见审计报告 五、非财务报告内部控制的重大缺陷(如果有)在内部控制审计过程中,我们注意到公司的非财务报告内部控制存在重大缺陷描述该缺陷的性质及其对实现相关控制目标的影响程度。由于存在上述重大缺陷,我们提醒本报告使用者注意相关风险。需要指出的是,我们并不对公司的非财务报告内部控制发表意见或提供保证。本段内容不影响对财务报告内部控制有效性发表的审计意见。33带强调事项段的审计报告 无保留意见是前提 强调
10、事项34带强调事项段的情形 管理层内部控制评价报告的表达不完整或不恰当 如果确定管理层评估报告的表达不完整或不恰当,注册会计师应当在审计报告中增加强调事项段,说明这一情况并解释得出该结论的理由。35带强调事项段的情形 期后事项 注册会计师可能知悉在管理层评估日并不存在、但在期后期间发生的事项。如果这类期后事项对内部控制有重大影响,注册会计师应当在审计报告中增加强调事项段,以描述该事项及其影响,或提醒审计报告使用者关注管理层内部控制评估报告中披露的该事项及其影响。36带强调事项段的情形 其他信息存在对事实重大错报 如果认为其他信息含有对事实的重大错报,注册会计师应当就此与管理层进行讨论。如果讨论
11、后仍认为存在对事实的重大错报,注册会计师应当以书面形式,将其看法告知管理层和审计委员会。37带强调事项段内部控制审计报告 以上内容同标准审计报告 六、强调事项 我们提醒内部控制审计报告使用者关注,(描述强调事项的性质及其对内部控制的重大影响)。本段内容不影响已对财务报告内部控制发表的审计意见。38否定意见审计报告 内部控制存在一项或多项重大缺陷 不存在审计范围受到限制的情况39否定意见内部控制审计报告 以上内容同标准审计报告 四、导致否定意见的事项 重大缺陷,重大缺陷是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。指出注册会计师已识别
12、出的重大缺陷,并说明重大缺陷的性质及其对财务报告内部控制的影响程度。有效的内部控制能够为财务报告及相关信息真实完整提供合理保证,而上述重大缺陷使公司内部控制失去这一功能。40否定意见内部控制审计报告 管理层已识别出上述重大缺陷,并将其包含在企业内部控制评价报告中,但未在所有重大方面得到公允反映。(上述重大缺陷尚未包括在企业内部控制评价报告中管理层已识别出上述重大缺陷,并将其包括在企业内部控制评价报告中,且已在所有重大方面得到公允反映)在公司年财务报表审计中,我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。本报告并未对我们在 年 月 日对公司年财务报表出具的审计报告产生影响。4
13、1否定意见内部控制审计报告 五、财务报告内部控制审计意见 我们认为,由于存在上述重大缺陷及其对实现控制目标的影响,于 年 月 日,公司未能按照企业内部控制基本规范和相关规定在所有重大方面保持有效的财务报告内部控制。42否定意见内部控制审计报告 六、非财务报告内部控制的重大缺陷 参见标准内部控制审计报告相关段落表述。43无法表示意见的审计报告 审计范围受到限制 如果已实施的审计程序识别出内部控制重大缺陷,应当在报告中指明44无法表示意见内部控制审计报告 股份有限公司全体股东:我们接受委托,对股份有限公司(以下简称公司)的财务报告内部控制进行审计。删除注册会计师的责任段,“一、企业对内部控制的责任
14、”和“二、内部控制的固有局限性”参见标准内部控制审计报告相关段落表述。45无法表示意见内部控制审计报告 三、导致无法表示意见的事项 描述审计范围受到限制的具体情况。46无法表示意见内部控制审计报告 四、财务报告内部控制审计意见 由于审计范围受到上述限制,我们未能实施必要的审计程序以获取发表意见所需的充分、适当证据,因此,我们无法对公司于 年 月 日的财务报告内部控制的有效性发表意见。47无法表示意见内部控制审计报告 五、识别的内部控制重大缺陷(如果有)重大缺陷是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。尽管我们无法对公司财务报告内
15、部控制的有效性发表意见,但在我们实施的有限程序的过程中,发现了以下重大缺陷:指出注册会计师已识别出的重大缺陷,并说明重大缺陷的性质及其对财务报告内部控制的影响程度。有效的内部控制能够为财务报告及相关信息真实完整提供合理保证,而上述重大缺陷使公司内部控制失去这一功能。48无法表示意见内部控制审计报告 六、非财务报告内部控制的重大缺陷 参见标准内部控制审计报告相关段落表述。49十一、财务报告内部控制审计十一、财务报告内部控制审计与财务报表审计的整合与财务报表审计的整合 50(一一)财务报表审计中对内部控财务报表审计中对内部控制的了解和测试制的了解和测试 51审计目标 第二十五条 在执行财务报表审计
16、工作时,注册会计师的总体目标是:(一)对财务报表整体是否不存在由于舞弊或错误导致的重大错报获取合理保证,使得注册会计师能够对财务报表是否在所有重大方面按照适用的财务报告编制基础编制发表审计意见;(二)按照审计准则的规定,根据审计结果对财务报表出具审计报告,并与管理层和治理层沟通。审计思路 要求注册会计师在审计实务中切实贯彻风险导向审计理念,以重大错报风险的识别、评估和应对作为审计工作的主线。审计风险模型 审计风险=重大错报风险检查风险 重大错报风险=固有风险控制风险5354应应对对评评估估的的重重大大错错报报风风险险财务报表层次认定层次55认认定定层层次次重重大大错错报报风风险险的的应应对对根
17、据评估的风险确定拟实施的进一步审计程序的性质、时间和范围56进进一一步步审审计计程程序序控制测试认定层次实质性程序57了解内部控制 第十五条 注册会计师应当了解与审计相关的内部控制。42了解内部控制有助于注册会计师识别潜在错报的类型和影响重大错报风险的因素,以及设计进一步审计程序的性质、时间安排和范围。58测试内部控制的运行有效性 第八条 当存在下列情形之一时,注册会计师应当设计和实施控制测试,针对相关控制运行的有效性,获取充分、适当的审计证据:(一)在评估认定层次重大错报风险时,预期控制的运行是有效的(即在确定实质性程序的性质、时间安排和范围时,注册会计师拟信赖控制运行的有效性);(二)仅实
18、施实质性程序并不能够提供认定层次充分、适当的审计证据。59测试内部控制的运行有效性 第十一条 注册会计师应当按照本准则第十二条和第十五条的规定,测试其拟信赖的特定时点或整个期间的控制,为预期信赖程度提供恰当的依据。60测试内部控制的运行有效性第十四条 (二)如果未发生变化,注册会计师应当每三年至少对控制测试一次,并且在每年审计中测试部分控制,以避免将所有拟信赖控制的测试集中于某一年,而在之后的两年中不进行任何测试。61(二二)财务报告内部控制审计财务报告内部控制审计 62审计的目标 对特点时点企业财务报告内部控制的有效性发表审计意见,包括:设计有效性(合理性)运行有效性 有无重大缺陷63内部控
19、制审计工作做到什么份上?审计对象是保证财务报表质量的一套机制 要求覆盖每个相关认定 要求覆盖财务报表层次和认定层次的重大错报风险64内部控制审计工作做到什么份上?65时期/时点 定位于时点 注册会计师应当获取内部控制在基准日之前一段足够长的期间运行有效的审计证据66控制测试的时间安排67审计思路 风险导向审计 自上而下的审计方法68(三三)财务报告内部控制审计与财务报告内部控制审计与财务报表审计的共同点财务报表审计的共同点 69两者的共同点 终极目标都是财务报表的可靠性 都以财务报表重大错报风险评估为起点(舞弊风险及反舞弊控制)确定的重要性水平相同 确定的重要账户、列报及其相关认定应当相同70
20、两者的共同点 都必须了解内部控制 有时都涉及测试内控的运行有效性 了解和测试内部控制的方法相同71(四四)财务报告内部控制审计与财务报告内部控制审计与财务报表审计的区别财务报表审计的区别 72两者的区别 测试目标 财务报表审计:对财务报表发表审计意见,测试财务报表的可靠性,需要评估重大错报风险中的控制风险。财务报告内控审计:对财务报告内部控制有效性发表意见,测试保证财务报告可靠的内部机制。73两者的区别 测试范围 财务报表审计:在两种情况下必须测试内控,取决于注册会计师采用的审计方案 财务报告内控审计:针对所有相关认定的控制。74两者的区别 测试结果的可靠程度要求 财务报表审计:有一定的弹性,
21、取决于审计方案和审计证据组合 财务报告内控审计:高度保证。75两者的区别 控制环境的运行有效性测试(?)财务报表审计:无要求涵盖所信赖期间 财务报告内控审计:要测试76两者的区别 缺陷评价 财务报表审计:值得关注的缺陷 财务报告内控审计:严格区分重大缺陷和重要缺陷77两者的区别 实质性程序 财务报表审计:都包含实质性程序 财务报告内控审计:通常不实施。78两者的区别 最终成果 财务报表审计:财务报表审计报告,对所附的财务报表发表意见 财务报告内控审计:内部控制审计报告,不对自我评价报告发表意见。79两者的区别 测试的时间安排 财务报表审计:涵盖所信赖期间 财务报告内控审计:涵盖足够长的期间。8
22、0(五五)财务报告内部控制审计与财务报告内部控制审计与财务报表审计的整合财务报表审计的整合 81Sarbanes-Oxley Act of 2002,要求年报审计应当与内部控制审计整合进行。(SECTION 404)PCAOB 审计准则第5号82审计目标的整合 内部控制审计和财务报表审计的目标不同。在整合审计中,注册会计师应当计划和实施对控制设计和运行有效性的测试,以同时实现下列目标:获取充分、适当的证据,支持其在内部控制审计中对内部控制的有效性发表的意见;获取充分、适当的证据,支持其在财务报表审计中对内部控制的风险评估结果。整合审计流程图接受或保持业务接受或保持业务了解被审计单位的行业了解被
23、审计单位的行业状况、法律环境与监管状况、法律环境与监管环境以及其他外部因素环境以及其他外部因素了解被审了解被审计单位的计单位的性质性质了解被审计单了解被审计单位位对会计政策对会计政策的选择和运用的选择和运用了解被审计单位了解被审计单位目标、战略以及目标、战略以及相关经营风险相关经营风险了解被审计单位了解被审计单位财务业绩的衡量财务业绩的衡量和评价和评价实施实质性程序实施实质性程序实施其他审计程序、实施其他审计程序、评价内部控制缺陷评价内部控制缺陷对内部控制有对内部控制有效性发表意见效性发表意见对财务报表发对财务报表发表意见表意见采用自上而下的方法采用自上而下的方法了解和测试内部控制了解和测试内
24、部控制84整合的核心内部控制了解和测试工作的整合是关键,原则是就高不就低85审计结果的相互参考 在内部控制审计中,注册会计师在对内部控制有效性形成结论时,应当同时考虑财务报表审计中实施的、所有针对控制设计和运行有效性测试的结果。在财务报表审计中,注册会计师在评估控制风险时,应当同时考虑内部控制审计中实施的、所有针对控制设计和运行有效性测试的结果。86审计结果的相互参考 在内部控制审计中,注册会计师应当评价财务报表审计中实施的实质性程序的结果对控制有效性结论的影响。如果在内部控制审计中识别出某项控制缺陷,注册会计师应当评价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时间和范围的影响。87审
25、计结果的相互参考 如果对财务报告内部控制发表了否定意见,注册会计师应当确定该意见对财务报表审计意见的影响。如果对财务报表发表了否定意见,注册会计师应当确定该意见对财务报告内部控制审计意见的影响。88整合作用的极限 注册会计师应当通过直接测试控制获取控制是否有效的证据,而不能根据实质性程序没有发现错报,推断该项控制的有效性。在财务报表审计中,无论控制风险或重大错报风险的评估水平如何,注册会计师都应当针对所有重大的各类交易、账户余额及列报实施实质性程序。为对内部控制的有效性发表意见而实施的测试程序并不减轻注册会计师遵守上述规定的责任。89有关整合的几个思考题 审计项目组,一个还是两个?审计计划,一
26、个还是两个?审计工作底稿,一套还是两套?审计报告的签署者及日期,一个还是两个?集团审计的整合?90十二、项目质量控制复核十二、项目质量控制复核 91十三、审计工作底稿十三、审计工作底稿 92审计工作底稿 预期的变化 必须形成记录的内容 制定的内部控制总体审计策略和具体审计计划及重大修改情况;对企业层面控制的识别、了解和测试;确定重要账户、列报及其相关认定的过程,包括对拟测试组成部分的确定;选择拟测试控制的主要过程及结果;测试控制设计和运行有效性的程序及结果;利用他人工作的程度,以及对他人胜任能力和客观性的评估;对识别的控制缺陷的评价;可能导致出具非标准内部控制审计报告的其他审计发现;形成的审计
27、结论和意见;其他重要事项。93 谢 谢! (一)2011年 427家公司中,258家公司聘请审计机构进行了内控审计(其中审计153家、审核105家),较之2010年的229家略有上升,其中自愿披露审计(审核)报告的公司为195家 其中有一家公司内控审计报告被出具了否定意见,新华制药(000756)占比0.39%94(二)2012年上市公司内部控制信息披露总体情况1。内部控制评价报告披露情况2012年,共有2244家上市公司披露了内部控制评价报告,占沪、深交易所2492家上市公司的比例为90.05%。2。内部控制审计报告披露情况2012年,共有1532家上市公司披露了内部控制审计报告,占沪、深交
28、易所2492家上市公司的比例为61.48%。其中,内部控制审计结论为标准无保留意见的上市公司为1506家,占比98.30%;非标意见共26家,其中带强调事项段的无保留意见为22家,占比1.44%,否定意见为4家,分别是:北大荒(600598)、贵糖股份(6.45,-0.12,-1.83%)(000833)、天津磁卡(600800)、海联讯(300277),占比0.26%。如表3所示。95财务报告与非财务报告内控 1、新员工入职培训,该培训没培训 2、应收账款对账控制 3、产品质量控制,次品流向市场 4、仓库入库商品的验收,没有入库单 5、银行借款该由董事会审批的,董事长批 6、企业采购规定200万以上的应当招标,企业有一笔250万的采购没有进行招标96缺陷是否与财务报表认定直接相关 1、年末固定资产 2、人力资源考核失控,导致功效倒挂 3、新信息系统上线,对数据转换的控制 4、信息系统对销售三单的审批控制 5、信息系统对数据转入进行审核 6、企业月度经营分析97