1、内部控制审计2012年年7月月 北京国家会计学院北京国家会计学院企业内部控制审计企业内部控制审计基于审计师与管理层交流的视角基于审计师与管理层交流的视角Page 3主讲人简介主讲人简介李杰李杰 管理学博士(金融工程研究方向)管理学博士(金融工程研究方向)n信永中和会计师事务所合伙人信永中和会计师事务所合伙人n注册会计师、资产评估师、税务师注册会计师、资产评估师、税务师n中国注册会计师行业领军人才中国注册会计师行业领军人才n天津市注册会计师协会培训委员会委员、期刊编辑委员会委员天津市注册会计师协会培训委员会委员、期刊编辑委员会委员n中国会计学会成本分会理事中国会计学会成本分会理事n在核心期刊发表
2、研究论文多篇,出版专著及译著数部在核心期刊发表研究论文多篇,出版专著及译著数部Page 4123课程目标缺陷评价与报告审计计划与实施审计依据与思路企业企业&CPA了解了解Page 5目录目录序号序号内容内容一内部控制审计的依据二内控审计、财报审计与整合审计三风险导向与自上而下的审计方法四完成审计工作&出具审计报告附录 内部控制审计的依据内部控制审计的依据 问题:问题:u内控审计的依据标准是什么?内控审计的依据标准是什么?u内部控制审计与企业内部控制建立内部控制审计与企业内部控制建立之间的关系?之间的关系?Page 72011国内内控审计情况国内内控审计情况截至截至2012年年4月月30日,共有
3、日,共有230家上市公司披露了内部控制审计报告。家上市公司披露了内部控制审计报告。报告类型报告类型数量数量(标准)无保留意见内控审计报告225份带强调事项段的无保留意见内控审计报告4份否定意见内控审计报告1份全国有全国有38家证劵资格会计师事务所从事了家证劵资格会计师事务所从事了230家上市公司内部控制审计业务。家上市公司内部控制审计业务。Page 8中国的内控发展:主要规范中国的内控发展:主要规范证监会证券公司内部控制指引2001-1中国人民银行商业银行内部控制指引2002-9财政部7项内部会计控制规范(试行)200104中注协企业内部控制审核指导意见2002-2银监会商业银行内部控制评价试
4、行办法2004-8上交所上交所上市公司内部控制指引2006-5深交所深交所上市公司内部控制指引2006-9 国资委中央企业全面风险管理指引2006-6五部委企业内部控制基本规范 2008-5-22五部委企业内部控制配套指引2010-4-26Page 9企业的重大决策、重大事项、重要人企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当事任免及大额资金支付业务等,应当按照规定的权限和程序实行集体决策按照规定的权限和程序实行集体决策审批或者联签制度审批或者联签制度企业梳理治理结构,应当重点关注企业梳理治理结构,应当重点关注董事、监事、经理及其他高级管理董事、监事、经理及其他高级管理人员
5、的任职资格和履职情况,以及人员的任职资格和履职情况,以及董事会、监事会和经理层的运行效董事会、监事会和经理层的运行效果果v企业梳理内部机构设置,应当重点企业梳理内部机构设置,应当重点关注内部机构设置的合理性和运行的高关注内部机构设置的合理性和运行的高效性等。内部机构设置和运行中存在职效性等。内部机构设置和运行中存在职能交叉、缺失或运行效率低下的,应当能交叉、缺失或运行效率低下的,应当及时解决及时解决企业应当确定具体岗位的名称、企业应当确定具体岗位的名称、职责和工作要求等,明确各个岗职责和工作要求等,明确各个岗位的权限和相互关系位的权限和相互关系企业拥有子公司的,应当建立科学的企业拥有子公司的,
6、应当建立科学的投资管控制度重点关注发展战略、年投资管控制度重点关注发展战略、年度财务预决算、重大投融资、重大担度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设重要人事任免、内部控制体系建设企业应当定期对组织架构设计与企业应当定期对组织架构设计与运行的效率和效果进行全面评估运行的效率和效果进行全面评估 基本规范:处于最高层次,起统驭作用,基本规范:处于最高层次,起统驭作用,描绘了企业建立与实施内控体系必须建立的框架结构,规定了内部描绘了企业建立与实施内控体系必须建立的框架结构,规定了内部控制的定义、目标、原则、要素,是
7、制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据控制的定义、目标、原则、要素,是制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据应用指引:处于主体地位,为企业建立健全内部控制体系提供的指引应用指引:处于主体地位,为企业建立健全内部控制体系提供的指引评价指引:为企业管理层对本企业内部控制有效性进行自我评价提供的指引评价指引:为企业管理层对本企业内部控制有效性进行自我评价提供的指引审计指引:为注册会计师执行内部控制审计业务提供执业准则审计指引:为注册会计师执行内部控制审计业务提供执业准则企业内部控制基本规范企业内部控制基本规范企业内部控制应用指引企业内部控制应用指引控制活动
8、类控制活动类 1 资金活动资金活动 2 采购业务采购业务 3资产管理资产管理 4销售业务销售业务 5研究与开发研究与开发 6工程项目工程项目 7担保业务担保业务 8业务外包业务外包 9财务报告财务报告内部环境类内部环境类1组织架构组织架构2发展战略发展战略3人力资源人力资源4社会责任社会责任5企业文化企业文化控制手段类控制手段类1全面预算全面预算2合同管理合同管理3内部信息传递内部信息传递4信息系统信息系统企业内部控制评价指引企业内部控制评价指引企业内部控制企业内部控制审计指引审计指引企业内部控制体系企业内部控制体系Page 10没有通用的内部控制没有通用的内部控制n 内部控制的各个要素在每个
9、企业中的实施方式取决于:内部控制的各个要素在每个企业中的实施方式取决于:n 企业规模企业规模n 业务复杂性业务复杂性n 财务信息处理方法财务信息处理方法n 适用的法律法规适用的法律法规n 小型企业业务流程总体上相对简单,相应的控制也趋于简单、非正式化小型企业业务流程总体上相对简单,相应的控制也趋于简单、非正式化n 文档记录形式可能多种多样,内容不尽相同,包括:政策制度手册、流文档记录形式可能多种多样,内容不尽相同,包括:政策制度手册、流程模型、流程图、岗位职责描述及其他文件。程模型、流程图、岗位职责描述及其他文件。n 文档记录没有统一标准,而其详细程度则取决于企业规模、经营性质、文档记录没有统
10、一标准,而其详细程度则取决于企业规模、经营性质、及业务复杂性。及业务复杂性。Page 11被审计单位与审计师的责任划分被审计单位与审计师的责任划分内部控制内部控制被审计单位内控责任被审计单位内控责任CPA内控审计责任内控审计责任建立健全和有效实施内部控制评价内部控制有效性是企业董事会(或类似决策机构)的责任按照审计指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见内部控制自我评价报告内部控制自我评价报告内部控制审计报告内部控制审计报告财务报告内部控制财务报告内部控制审计并不能减轻企审计并不能减轻企业管理层的责任业管理层的责任Page 12适用范围适用范围n 2010年年4月月26
11、日,财政部发布日,财政部发布企业内部控制审计指引企业内部控制审计指引等配套指引,等配套指引,自自2011年年1月月1日起首先在境内外同时上市的公司施行,自日起首先在境内外同时上市的公司施行,自2012年年1月月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。鼓励非上市大中型企业提前执行。n 执行企业内控规范体系的企业,必须对本企业内部控制的有效性进执行企业内控规范体系的企业,必须对本企
12、业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请具有证券期货业务行自我评价,披露年度自我评价报告,同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计,出资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷,应当提示投资者、债权人和其他利益务报告内部控制的重大缺陷,应当提示投资者、债权人和其他利益相关者关注。相关者关注。Page 13内控审计遵循的政策制度内控审计遵循的政策制度CPAPage 14概念明晰概念明
13、晰内控审计的业务性质内控审计的业务性质审计审计/审阅审阅/审核?审核?内部控制审计是内部控制审计是CPACPA针对被审计单位内部针对被审计单位内部控制实施合理保证(高水平保证)的鉴证控制实施合理保证(高水平保证)的鉴证业务业务直接报告业务直接报告业务/基于认定的业务?基于认定的业务?内部控制审计内部控制审计 是是CPACPA直接对被审计单位内部控制的有直接对被审计单位内部控制的有效性发表意见,是直接报告业务。效性发表意见,是直接报告业务。“企业的内部控制企业的内部控制是否按照是否按照企业内部控制基本规范企业内部控制基本规范和相关规定在所和相关规定在所有重大方面保持了有效的财务报告内部控制有重大
14、方面保持了有效的财务报告内部控制”财报审计财报审计 是基于责任方(被审计单位管理层)认定是基于责任方(被审计单位管理层)认定的业务。(是对财务报告发表审计意见)的业务。(是对财务报告发表审计意见)Page 15概念明晰概念明晰内控审计的业务对象内控审计的业务对象时点时点/时期?时期?内部控制审计内部控制审计企业内部控制审计基于特定基准日。企业内部控制审计基于特定基准日。注册会计师基于基准日(如年末注册会计师基于基准日(如年末12月月31日)内部控制的有效性发表意见,而日)内部控制的有效性发表意见,而不是对财务报表涵盖的整个期间(如一年)的内部控制的有效性发表意见。不是对财务报表涵盖的整个期间(
15、如一年)的内部控制的有效性发表意见。但这并不意味着注册会计师只关注企业基准日当天的内部控制,而是要考察但这并不意味着注册会计师只关注企业基准日当天的内部控制,而是要考察企业一个时期内(足够长的一段时间)内部控制的设计和运行情况。企业一个时期内(足够长的一段时间)内部控制的设计和运行情况。实务:实务:业内一般要求内部控制的有效运行期至少为业内一般要求内部控制的有效运行期至少为3个月,即:前期或期中测试发个月,即:前期或期中测试发现的问题,需现的问题,需在在9月底之前整改完毕月底之前整改完毕。注册会计师再对整改后的内部控制进注册会计师再对整改后的内部控制进行测试行测试,才能,才能对企业对企业12月
16、月31日(基准日)内部控制的设计和运行发表日(基准日)内部控制的设计和运行发表 意见意见Page 16概念明晰概念明晰内控审计的业务对象内控审计的业务对象财务报告内部控制财务报告内部控制 or 非财务报告内部控制非财务报告内部控制?注册会计师注册会计师应当对财务报告内部控制的有效性发表审计意见应当对财务报告内部控制的有效性发表审计意见,并,并对内部控制审对内部控制审计过程中计过程中注意到的注意到的非财务报告内部控制的重大缺陷非财务报告内部控制的重大缺陷,在内部控制审计报告中增,在内部控制审计报告中增加加“非财务报告内部控制重大缺陷描述段非财务报告内部控制重大缺陷描述段”予以披露予以披露Page
17、 17概念明晰概念明晰内控审计的业务对象内控审计的业务对象财务报告内部控制财务报告内部控制政策和程序政策和程序(1)保存充分、适当的记录,准确、公允地反映企业的交易和事项;(2)合理保证按照企业会计准则的规定编制财务报表;(3)合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权;(4)合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项合理保证财务报告及相关合理保证财务报告及相关信息真实完整信息真实完整保护资产安全的内部控制保护资产安全的内部控制中与财务报告可靠性目标中与财务报告可靠性目标相关的控制相关的控制非财务报告内部控制非财务报告内部控制是指除财务报告内部
18、控制之外的其他控制是指除财务报告内部控制之外的其他控制为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制,以及为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制,以及用于保护资产安全的内部用于保护资产安全的内部 控制中与财务报告可靠性目标无关的控制控制中与财务报告可靠性目标无关的控制Page 18概念明晰概念明晰内控审计的业务对象(举例)内控审计的业务对象(举例)n 某大型企业集团某大型企业集团2009版内控手册共计版内控手册共计1272个控制点,分类如下:个控制点,分类如下:控制点控制点合计合计管理相关控制点管理相关控制点与财务报告相与财务报告相关
19、控制点关控制点ERPERP控制点控制点数量数量12721272843843429429161161 内控审计、财报审计与整合审计内控审计、财报审计与整合审计 问题:问题:u内控审计与大家熟悉的财报审计有内控审计与大家熟悉的财报审计有什么差别?什么差别?u什么是整合审计?什么是整合审计?u整合审计有什么优点?整合审计有什么优点?Page 20整合审计的概念与目标整合审计的概念与目标整合审计整合审计注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(整合审计)获取充分、适当的证据,支持其在内部控制审计中对内部控制的有效性发表的意见整合审计整合审计目标目标获取充分、适当的
20、证据,支持其在财务报表审计中对内部控制的风险评估结果整合基础整合基础 内部控制内部控制Page 21整合审计的吸引力整合审计的吸引力提高审计效率提高审计效率降低成本降低成本使客户使客户尽早获知尽早获知可可能存在的能存在的缺陷缺陷及早着手进行整改及早着手进行整改整合审计整合审计财报审计财报审计利用内控审计的结果利用内控审计的结果u修改实质性程序的性质、修改实质性程序的性质、时间安排和范围时间安排和范围u支持分析程序中适用的信支持分析程序中适用的信息的完整性和准确性息的完整性和准确性内控审计内控审计考虑财报审计中发现的问题考虑财报审计中发现的问题u重点考虑财报审计中发现重点考虑财报审计中发现的错报
21、对内控有效性评价的的错报对内控有效性评价的影响影响企业企业CPAPage 22比较项目比较项目内部控制审计内部控制审计财务报表审计财务报表审计审计目的对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露对财务报表是否符合企业会计准则,是否公允反映被审计单位的财务状况和经营成果发表意见了解和测试内部控制的目的直接目的:对内部控制设计和运行有效性发表审计意见了解内控是为了评估重大错报风险测试内控是为了进一步证明了解内控时得出的初步结论,了解和测试内控的最终目的是服务于对财报发表审计意
22、见Page 23比较项目比较项目内部控制审计内部控制审计财务报表审计财务报表审计测试范围对所有重要账户、各类交易和列报的相关认定,都要了解和测试相关的内控只在以下两种情况下强制要求内控测试1)在评估认定层次重大错报风险时,预期控制运行有效。即:在确定实质性程序的性质、时间安排和范围时,CPA拟信赖控制运行的有效性,或,(2)仅实施实质性程序不能提供认定层次充分、适当的审计证据其他情况下,CPA可以不测试内部控制测试时间对特定基准日内控有效性发表意见。不一定要测试整个会计期间,但要测试足够长的时间一旦确定需要测试,则需要测试内控在整个审计期间运行有效性Page 24比较项目比较项目内部控制审计内
23、部控制审计财务报表审计财务报表审计测试样本量对结论可靠性的要求高,测试的样本量大对结论可靠性的要求取决于计划从内部控制中得到保证的程度(或,减少实质性程序工作量的程度)结果报告(1)对外披露(2)以正面、积极的方式对内控有效性发表意见(1)通常不对外披露内控情况,除非是内控影响到对财报发表审计意见(2)以管理建议书的方式向管理层或治理层报告财报审计中发现的内控重大缺陷,但CPA没有义务专门实施审计程序,以发现和报告内控重大缺陷Page 25Page 26重要性水平相同重要性水平相同重要组成部分的认定相同重要组成部分的认定相同财报审计计划阶段所识别的风险对财报的影响财报审计计划阶段所识别的风险对
24、财报的影响重大账户、重大列报和相关认定重大账户、重大列报和相关认定重大业务流程重大业务流程业务流程中的内部控制业务流程中的内部控制考虑所识别的风险对内部控制的影响考虑所识别的风险对内部控制的影响识别高风险控制领域识别高风险控制领域确定内控审计的关注领域确定内控审计的关注领域Page 27总体要求总体要求n“整合审计整合审计”要求注册会计师在实施审计时将对财务报表的审计及对要求注册会计师在实施审计时将对财务报表的审计及对财务报表内部控制的审计结合起来,从整体角度考虑。财务报表内部控制的审计结合起来,从整体角度考虑。n财务报告内部控制审计和财务报表审计的目标不同,会计师应当计划财务报告内部控制审计
25、和财务报表审计的目标不同,会计师应当计划和执行测试工作,以同时实现二者的目标:和执行测试工作,以同时实现二者的目标:n 支持会计师在与财务报告内部控制相关的审计中对财务报告内部控制的有支持会计师在与财务报告内部控制相关的审计中对财务报告内部控制的有效性发表的意见;效性发表的意见;n 注册会计师在实施报表审计时,是要以对内部控制的风险评估结果作为选注册会计师在实施报表审计时,是要以对内部控制的风险评估结果作为选择实质性测试方式的依据之一;择实质性测试方式的依据之一;n 报表审计的结果又会影响到财务报表内部控制审计的结果。报表审计的结果又会影响到财务报表内部控制审计的结果。n因此注册会计师需要在审
26、计计划、审计方案及审计方法制定及实施各因此注册会计师需要在审计计划、审计方案及审计方法制定及实施各个阶段将两个审计工作紧密结合起来。个阶段将两个审计工作紧密结合起来。整合审计整合审计的进一步理解的进一步理解Page 28内部控制审计中对控制有效性的测试内部控制审计中对控制有效性的测试n应获得充分的证据支持财务报表涵盖期间内部控制有效运行的结论,应获得充分的证据支持财务报表涵盖期间内部控制有效运行的结论,这说明虽然注册会计师出具的审计报表是关于审计基准日的,但是审这说明虽然注册会计师出具的审计报表是关于审计基准日的,但是审计证据应涵盖财务报表期间。计证据应涵盖财务报表期间。n在内部控制审计中所需
27、测试的控制,是针对财务报表相关认定所涉及在内部控制审计中所需测试的控制,是针对财务报表相关认定所涉及的控制。这一范围与仅对财务报表发表审计意见时,注册会计师需要的控制。这一范围与仅对财务报表发表审计意见时,注册会计师需要测试的控制不同。测试的控制不同。n注册会计师在实施财务报表审计时应对某项财务报表认定相关控制的注册会计师在实施财务报表审计时应对某项财务报表认定相关控制的风险程度进行评估,并根据评估结果判断所需测试的控制范围及需得风险程度进行评估,并根据评估结果判断所需测试的控制范围及需得到控制有效运行证据的期间。到控制有效运行证据的期间。n在实施内部控制审计及财务报表审计过程中,注册会计师在
28、对内部控在实施内部控制审计及财务报表审计过程中,注册会计师在对内部控制有效性形成结论及评估控制风险时,应当同时考虑另一审计工作中制有效性形成结论及评估控制风险时,应当同时考虑另一审计工作中实施的、所有针对控制设计和运行有效性测试的结果。实施的、所有针对控制设计和运行有效性测试的结果。整合审计整合审计的进一步理解的进一步理解Page 29财务报表审计中对控制有效性的测试财务报表审计中对控制有效性的测试n在财务报表审计中,如果将某项财务报表认定的控制风险评估为低于在财务报表审计中,如果将某项财务报表认定的控制风险评估为低于最高水平,注册会计师需要获取拟信赖的相关控制在整个期间有效运最高水平,注册会
29、计师需要获取拟信赖的相关控制在整个期间有效运行的证据。行的证据。n注册会计师不必将所有相关认定的控制风险评估为低于最高水平,因注册会计师不必将所有相关认定的控制风险评估为低于最高水平,因此,可能不对所有控制的运行有效性进行测试注册会计师可以采取此,可能不对所有控制的运行有效性进行测试注册会计师可以采取实质性测试的方式。实质性测试的方式。n在财务报表审计中,注册会计师在评估控制风险时,应当同时考虑内在财务报表审计中,注册会计师在评估控制风险时,应当同时考虑内部控制审计中实施的、所有针对控制设计和运行有效性测试的结果。部控制审计中实施的、所有针对控制设计和运行有效性测试的结果。整合审计整合审计的进
30、一步理解的进一步理解Page 30关于实质性程序的要求关于实质性程序的要求n在内部控制审计中识别出的控制缺陷,说明其对应的重大交易及账户中存在错报漏报的可在内部控制审计中识别出的控制缺陷,说明其对应的重大交易及账户中存在错报漏报的可能,因此注册会计师应当评价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时能,因此注册会计师应当评价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时间和范围的影响。间和范围的影响。n注册会计师在财务报表审计过程中必须对所有重大的各类交易、账户余额及列报实施实质注册会计师在财务报表审计过程中必须对所有重大的各类交易、账户余额及列报实施实质性程序。性程序。n指引
31、第二十条列示了四种情况,即注册会计师在财务报表审计实质性程序中根据发现的问题评估对内部指引第二十条列示了四种情况,即注册会计师在财务报表审计实质性程序中根据发现的问题评估对内部控制审计的影响。控制审计的影响。1.注册会计师作出的、与选择和实施实质性程序相关的风险评估,尤其是与舞弊相关的风险评注册会计师作出的、与选择和实施实质性程序相关的风险评估,尤其是与舞弊相关的风险评估估2.发现的违反法规行为和关联方交易方面的问题;发现的违反法规行为和关联方交易方面的问题;3.表明管理层在选择会计政策和作出会计估计时存在偏见的情况;表明管理层在选择会计政策和作出会计估计时存在偏见的情况;4.实施实质性程序发
32、现的错报。实施实质性程序发现的错报。n内部控制审计中的控制有效性测试与财务报表审计中的实质性程序不能相互替代。内部控制审计中的控制有效性测试与财务报表审计中的实质性程序不能相互替代。n注册会计师应当通过直接测试控制获取控制是否有效的证据,而不能根据实质性程序没有发现错报,推注册会计师应当通过直接测试控制获取控制是否有效的证据,而不能根据实质性程序没有发现错报,推断该项控制的有效性。断该项控制的有效性。整合审计整合审计的进一步理解的进一步理解 风险导向审计风险导向审计&自上而下的审计方法自上而下的审计方法 Page 32签订审计业务约定书签订审计业务约定书建立审计项目组建立审计项目组计划审计工作
33、所需评价的事项计划审计工作所需评价的事项针对舞弊风险的评估针对舞弊风险的评估设定重要性水平和多组成部分的审计策略设定重要性水平和多组成部分的审计策略计划审计工作计划审计工作识别重大账户、列报和相关认定识别重大账户、列报和相关认定识别重大业务流程识别重大业务流程识别与重大业务流程相关的信息系统识别与重大业务流程相关的信息系统利用他人的工作利用他人的工作审计计划审计计划Page 33计划审计工作计划审计工作审计业务约定书审计业务约定书被审计单位应当认可并理解的责任包括:被审计单位应当认可并理解的责任包括:按照适用的内部控制标准,设计、执行和维护有效的内部控制,以使财务报表不存在由于舞弊或错误导致的
34、重大错报。按照适用的内控评价标准,对内控进行评价并编制内控评价报对内控进行评价并编制内控评价报告。告。向注册会计师提供必要的工作条件,包括允许注册会计师接触与内控的设计、执行和维护相关的所有信息所有信息,允许注册会计师在获取审计证据时不受限制的接触其认为必要的人员必要的人员。CPA与企业做好充分的沟通。与企业做好充分的沟通。Page 34计划审计工作计划审计工作审计项目组构成审计项目组构成注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。能力的项目组,并对助理人员进行适当的督导。n具有性
35、质和复杂程度类似的内部控制审计经验n了解企业内部控制相关规范和指引要求n了解内控审计指引、指引实施意见和中国注册会计师执业准则的相关要求n拥有与企业所处行业相关的知识n具有职业判断能力Page 35 风险评估风险评估 相关的法律法规和行业概况相关的法律法规和行业概况内部控制最近发生变化的程度内部控制最近发生变化的程度与企业沟通过的内控缺陷与企业沟通过的内控缺陷确定内部控制重大缺陷相关的因素(重要性水平、风险确定内部控制重大缺陷相关的因素(重要性水平、风险)对内部控制有效性的初步判断对内部控制有效性的初步判断可获取的、与内部控制有效性相关的证据的类型和范围可获取的、与内部控制有效性相关的证据的类
36、型和范围计划审计工作计划审计工作所需评价事项所需评价事项组织结构、经营特征和资本结构组织结构、经营特征和资本结构u识别重大识别重大账户、重大账户、重大列报列报&相关相关认定认定u识别重大识别重大业务流程业务流程&相关信息系相关信息系统统Page 36计划审计工作计划审计工作设定重要性水平设定重要性水平 重要性水平:重要性水平:可容忍错报(实际执行的重要性):可容忍错报(实际执行的重要性):=集团财务报表整体的重要性集团财务报表整体的重要性50%70%比率比率资产负债表资产负债表-资产总额资产总额0.5%-1%0.5%-1%资产负债表资产负债表-净资产净资产1%-5%1%-5%损益表损益表-收入
37、收入0.5%-2%0.5%-2%损益表损益表-利润总额利润总额5%-10%5%-10%各个各个CPAs可能会有所差异可能会有所差异u在整合审计中,应使用相同的重要性水平在整合审计中,应使用相同的重要性水平 u中国注册会计师审计准则第中国注册会计师审计准则第1221号号重要性重要性Page 37识别重大账户识别重大账户 定量标准定量标准金额超过可容忍误差。金额超过可容忍误差。定性标准定性标准风险和其他因素(金额可能小于可容忍误差):风险和其他因素(金额可能小于可容忍误差):如果一个重大账户对应了多个单独的业务流程,应考虑根据不同的如果一个重大账户对应了多个单独的业务流程,应考虑根据不同的风险将重
38、大账户进行分解,分别确定个重大账户。风险将重大账户进行分解,分别确定个重大账户。由于错误或舞弊而丢失的可能性由于错误或舞弊而丢失的可能性关联交易关联交易 交易量交易量相对于上期特征的变化相对于上期特征的变化 复杂性复杂性涉及各种形式的激励薪酬的科目;涉及各种形式的激励薪酬的科目;反映的交易或余额遭受损失的风险反映的交易或余额遭受损失的风险由分析人员监控和报告的科目;由分析人员监控和报告的科目;科目的性质,比如,备抵、坏账或科目的性质,比如,备抵、坏账或暂记帐户暂记帐户 该企业或在该行业中曾经发生过该企业或在该行业中曾经发生过差错的会计科目;差错的会计科目;或有负债的可能性或有负债的可能性 包含
39、管理层的估计的科目包含管理层的估计的科目 计划审计工作计划审计工作识别重大账户、列报和认定识别重大账户、列报和认定Page 38识别重大账户识别重大账户u 非重大账户:非重大账户:金额达到或高于可容忍误差,但由于认为该账户只有有限的或没有重金额达到或高于可容忍误差,但由于认为该账户只有有限的或没有重大错报风险,可以确定为非重大账户。大错报风险,可以确定为非重大账户。u 小额账户小额账户u 判断某账户或列报是否重要,应当依据其固有风险,而不应考虑相判断某账户或列报是否重要,应当依据其固有风险,而不应考虑相关控制的影响。关控制的影响。相关认定相关认定并非所有认定对重并非所有认定对重大账户而言都是相
40、关的。大账户而言都是相关的。无需识别非重大账无需识别非重大账户和小额账户的相关认定。户和小额账户的相关认定。可选择组合认定可选择组合认定计划审计工作计划审计工作识别重大账户、列报和认定识别重大账户、列报和认定Page 39计划审计工作计划审计工作识别重大账户、列报和认定识别重大账户、列报和认定n如果某账户或列报可能存在一个如果某账户或列报可能存在一个错报,该错报单独或连同其他错错报,该错报单独或连同其他错报将导致财务报表发生重大错报,报将导致财务报表发生重大错报,则该账户或列报为重要账户或列则该账户或列报为重要账户或列报。报。判断某账户或列报是否重要,判断某账户或列报是否重要,应当依据其固有风
41、险,而不应考应当依据其固有风险,而不应考虑相关控制的影响。虑相关控制的影响。n如果某财务报表认定可能存在一如果某财务报表认定可能存在一个或多个错报,这些错报将导致个或多个错报,这些错报将导致财务报表发生重大错报,则该认财务报表发生重大错报,则该认定为相关认定。定为相关认定。判断某认定是否判断某认定是否为相关认定,应当依据其固有风为相关认定,应当依据其固有风险,而不应考虑相关控制的影响。险,而不应考虑相关控制的影响。财务财务报告报告应收账款应收账款销售流销售流程程采购流程采购流程资金管理资金管理预算管理预算管理应付账应付账款款业务收业务收入入财务错报风险财务错报风险重要会计科目重要会计科目资产管
42、理资产管理信息管理信息管理关键业务流程关键业务流程信息处理目标和财务报表验证目标信息处理目标和财务报表验证目标会计会计政策政策选择选择不当不当会计会计核算核算方法方法错误错误越权越权操作操作账实账实不符不符虚假虚假合同合同或订或订单单收入收入确认确认不当不当。完整性完整性估价与估价与分摊分摊权利与权利与义务义务表达与表达与披露披露存在与存在与发生发生Page 40计划审计工作计划审计工作识别重大业务流程识别重大业务流程 企业的业务流程包括生成、记录、处理和报告。重大业务流程企业的业务流程包括生成、记录、处理和报告。重大业务流程是指对某一重大账户和列报及其相关认定产生重大影响的业务是指对某一重大
43、账户和列报及其相关认定产生重大影响的业务流程。流程。注册会计师需要识别影响每个重大账户和列报的、与认定相关注册会计师需要识别影响每个重大账户和列报的、与认定相关的重大业务流程,以及相关的信息系统。的重大业务流程,以及相关的信息系统。Page 41在评估会计科目的重要性时应考虑在评估会计科目的重要性时应考虑下列几个定性要素:下列几个定性要素:(1)账户的规模和构成;)账户的规模和构成;(2)易于发生错报的程度;)易于发生错报的程度;(3)账户或列报中反映的交易的)账户或列报中反映的交易的业务量、复杂性及同质性;业务量、复杂性及同质性;(4)账户或列报的性质;)账户或列报的性质;(5)与账户或列报
44、相关的会计处)与账户或列报相关的会计处理及报告的复杂程度;理及报告的复杂程度;(6)账户发生损失的风险;)账户发生损失的风险;(7)账户或列报中反映的活动引)账户或列报中反映的活动引起重大或有负债的可能性;起重大或有负债的可能性;(8)账户记录中是否涉及关联方)账户记录中是否涉及关联方交易;交易;(9)账户或列报的特征与前期相)账户或列报的特征与前期相比发生的变化。比发生的变化。计划审计工作计划审计工作识别重大业务流程识别重大业务流程Page 42例如:识别应收账款以及坏账准备账户相关的重大业务流程例如:识别应收账款以及坏账准备账户相关的重大业务流程分析:分析:对企业的了解和以往的经验对企业的
45、了解和以往的经验 询问恰当的人员询问恰当的人员 对账务记录的分析对账务记录的分析结论:结论:此外,信息系统:ERP系统和OA系统在销售流程均有涉及重大业务流程重大业务流程子流程子流程销售流程客户资信管理发货及销售收入的确认应收账款的收回及管理计提坏账准备以及坏账核销.计划审计工作计划审计工作识别重大业务流程识别重大业务流程Page 43是否经营场所和单位是否经营场所和单位本身本身就很就很重要重要?*评估文件记录以及测试在每个经营评估文件记录以及测试在每个经营场所和单位的重要控制场所和单位的重要控制特殊或重要风险特殊或重要风险?对于这些单位不需进一步的行动对于这些单位不需进一步的行动 经营场所和
46、单位自身,或即使经营场所和单位自身,或即使与其它单位合并在一起也不重与其它单位合并在一起也不重要要?针对必要的个别经营场所或业务单针对必要的个别经营场所或业务单位的控制的测试位的控制的测试对这个合并组织的控制是否有对这个合并组织的控制是否有文件记录的公司层面控制文件记录的公司层面控制?对此合并组织的公司层面的控制进对此合并组织的公司层面的控制进行文件记录评估和测试行文件记录评估和测试*评估文件记录并且测试对于特殊风评估文件记录并且测试对于特殊风险的控制险的控制不是不是计划审计工作计划审计工作-多组成部分的审计策略多组成部分的审计策略不是不是不是不是不是不是是是是是是是是是Page 44 类型类
47、型特点特点全面范围CPA执行的程序、取得的审计证据与企业整体内控审计类似特定范围CPA针对该组成部分所采用的审计程序是根据集团整体层面考虑确定有限范围CPA通常实施以分析性复核为主的审计程序不纳入范围 CPA无需执行审计程序-参考参考计划审计工作计划审计工作-多组成部分的审计策略多组成部分的审计策略Page 45计划审计工作计划审计工作-利用他人的工作利用他人的工作注册会计师应当对企业内部控制自我评价工作进行评估,判断是否利用企业内部审计人员,内部控制评价人员和其他相关人员的工作以及可利用的程度,相应减少可能本应由注册会计师执行的工作。”相关要求:相关要求:n 对其专业胜任能专业胜任能力进行充
48、分评价n 对其客观性客观性进行充分评价Page 46计划审计工作计划审计工作-利用他人的工作利用他人的工作与控制相关的风险和利用他人工作范围的关系Page 47计划审计工作计划审计工作审计程序审计程序团队成员团队成员审计分工审计分工总体时间表总体时间表审计范围审计范围l与企业召开审计计划会议与企业召开审计计划会议l阅读企业相关财务、内控资料阅读企业相关财务、内控资料l了解企业最新情况了解企业最新情况l借鉴以前年度审计经验借鉴以前年度审计经验CPA与企业的沟通与企业的沟通审计计划审计计划获取内部控制审计计划获取内部控制审计计划所需信息所需信息Page 48内部控制审计的方向?内部控制审计的方向?
49、是从风险到控制?是从风险到控制?还是从控制到风险?还是从控制到风险?内控审计内控审计方向?方向?Page 49自上而下的方法自上而下的方法n 在财务报告内控审计中,自上而下的方法在财务报告内控审计中,自上而下的方法始于财务报表层次始于财务报表层次,以注册,以注册会计师对会计师对财务报告内部控制整体风险的了解开始财务报告内部控制整体风险的了解开始。然后,注册会计师。然后,注册会计师将关注重点放在将关注重点放在企业层面的控制企业层面的控制上,并将工作逐渐下移至上,并将工作逐渐下移至重大账户、重大账户、列报及相关的认定列报及相关的认定。这种方法引导注册会计师将注意力放在显示有可。这种方法引导注册会计
50、师将注意力放在显示有可能导致财务报表及相关列报发生重大错报的账户、列报及认定上。能导致财务报表及相关列报发生重大错报的账户、列报及认定上。n 之后,注册会计师验证其了解到的之后,注册会计师验证其了解到的业务流程业务流程中存在的风险,并就已评中存在的风险,并就已评估的每个相关认定的错报风险,选择足以应对这些风险的业务层面控估的每个相关认定的错报风险,选择足以应对这些风险的业务层面控制进行测试。制进行测试。n 在非财务报告内控审计中,自上而下的方法始于企业层面控制,并将在非财务报告内控审计中,自上而下的方法始于企业层面控制,并将审计测试工作逐步下移到业务层面控制。审计测试工作逐步下移到业务层面控制
