企业内部控制审计指引课件.ppt

1、主要内容主要内容第一部分第一部分 内部控制审计的制度背景内部控制审计的制度背景第二部分第二部分 企业内部控制审计指引企业内部控制审计指引 PCAOB Auditing Standard NO.5 PCAOB Auditing Standard NO.5寻找答案寻找答案l企业内部控制审计，注册会计师需要审计所有的企业内部控制？与企业内部控制评价一样？l企业内部控制审计时制定的重要性与财务报表审计制定的重要性是否一致？大于还是小于？l整合审计？lTopDown Approach？l发现财务报告内部控制存在控制缺陷，但同时审计范围受到限制时，注册会计师应发表何种审计意见？内部控制审计的制度背景内部控

2、制审计的制度背景为整顿上市公司秩序、维护投资者信心，民主党参议员萨班斯（Sar-banes）和共和党众议员奥克斯利（Oxley）联合提出了Sarbanes-Oxley Act，于2002年7月美国总统布什签署获得通过.l 随着美国安然公司、环球电信公司会计造假丑闻的披露，暴露出美国现行公司体制中存在着弊端。Section 404 Section 404 l MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS.RULES REQUIRED.The Commission shall prescribe rules requiring each annual rep

3、ort required by section 13(a)or 15(d)of the Securities Exchange Act of 1934(15 U.S.C.78m or 78o(d)to contain an internal control report,which shall(1)state the responsibility of management for establishing and maintaining an adequate internal control structure and procedures for financial reporting;

4、andSection 404 Section 404(2)contain an assessment,as of the end of the most recent fiscal year of the issuer,of the effectiveness of the internal control structure and procedures of the issuer for financial reporting.Section 404 Section 404(b)INTERNAL CONTROL EVALUATION AND REPORTING.With respect t

5、o the internal control assessment required by subsection(a),each registered public accounting firm that prepares or issues the audit report for the issuer shall attest to,and report on,the assessment made by the management of the issuer.An attestation made under this subsection shall be made in acco

6、rdance with standards for attestation engagements issued or adopted by the Board.Any such attestation shall not be the subject of a separate engagement.第第404404条款条款第404条款:管理层对内部控制的评估（a)证券交易委员会 应要求所有依照1934年证券交易法案第13（a)或第15（d）条款编制的年度报告都包含一份内部控制报告，该报告应：（1）表明公司管理层建立和维护一套充分的财务内部控制系统及相关控制程序充分有效的责任。（2）包含管理

7、层最近一个财务年度年末对财务报告内部控制系统及程序有效性的评估结果。（b)内部控制评估与报告。对公司财务报告进行审核的注册公共会计公司对公司管理层提供的内部控制评价进行签证，并出具鉴证报告。鉴证应当遵守监管委员会颁布或认可的准则。这种鉴证不应成为一项单独的业务。审计准则指南审计准则指南l 20042004年年3 3月月 PCAOB Auditing Standard No.2PCAOB Auditing Standard No.2l 20072007年年6 6月月 PCAOB Auditing Standard No.5PCAOB Auditing Standard No.5我国原有内部控制鉴

8、证规范我国原有内部控制鉴证规范l20012001年中注协发布年中注协发布 内部控制审核指导意见内部控制审核指导意见最大特点是年报审计与内部控制审计独立进行。没有提出自上而下和风险导向的审计思路。内部控制审计的制度背景内部控制审计的制度背景l证监会首次公开发行股票并上市管理办法(2006)“财务与会计一节”规定，发行人的内部控制在所有重大方面是有效的，并由注册会计师出具无保留意见的内部控制鉴证报告，是发行条件之一。内部控制审计的制度背景内部控制审计的制度背景l公开发行证券的公司信息披露内容与格式准则第公开发行证券的公司信息披露内容与格式准则第1 1号号招股说明书招股说明书（20062006）发行

9、人应该披露公司管理层对内部控制完整性、合理性及有效性的自我评估意见以及注册会计师对内部控制的鉴注册会计师对内部控制的鉴证意见。证意见。注册会计师指出公司内部控制存在缺陷的，应予以披露并说明改进措施。内部控制审计的制度背景内部控制审计的制度背景l企业内部控制基本规范企业内部控制基本规范（20082008）执行本规范的上市公司，应当对本公司的内部控制的有效性进行自我评价，披露年度自我评估报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。内部控制审计的制度背景内部控制审计的制度背景财政部发布企业内部控制配套指引财政部发布企业内部控制配套指引 （20102010）2011-

10、1-12011-1-1，在境内外同时上市的公司，在境内外同时上市的公司，6060多家多家2012-1-12012-1-1，沪深主板，沪深主板，10001000多家多家择机，中小板和创业板择机，中小板和创业板鼓励，非上市大中型企业鼓励，非上市大中型企业内部控制审计的制度背景内部控制审计的制度背景l执行企业内部控制规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告其财务报告内部控制的有效性进行审计内部控制的有效性进行审计，出具审计报告。l注册会计师在内部控制审计过程中注意到的企业非财务报告内部

11、控制的重大缺陷，应当提示投资者、债权人和其他利益相关者关注。企业内部控制审计指引企业内部控制审计指引主要内容主要内容l 内部控制审计指引框架内部控制审计指引框架l 审计目标审计目标l 有效性有效性l 财务报告内部控制财务报告内部控制l 整合审计整合审计l 内部控制审计与财务报表审计内部控制审计与财务报表审计l 内部控制审计与内部控制评价内部控制审计与内部控制评价l 内部控制审计的过程内部控制审计的过程l 内部控制审计报告内部控制审计报告企业内部控制审计指引结构企业内部控制审计指引结构l总则总则 （5 5条）条）l计划审计工作（计划审计工作（4 4条）条）l实施审计工作（实施审计工作（1010条

12、）条）l评价控制缺陷评价控制缺陷 （3 3条）条）l完成审计工作完成审计工作 （4 4条）条）l出具审计报告出具审计报告 （4 4条）条）l记录审计工作记录审计工作 （2 2）审计目标审计目标l第二条 本指引所称内部控制审计，是指会计师事务所接受委托，对特定基准日特定基准日内部控制设计与运行的有效性进行审计。注册会计师基于基准日（如年末12月31日）内部控制的有效性发表意见，而不是对财务报表涵盖的整个期间（如一年）的内部控制的有效性发表意见。但这并不意味着注册会计师只关注企业基准日当天的内部控制，而是要考察企业一个时期内（足够长的一段时间）内部控制的设计和运行情况.基准日不是一个简单的时点概念

13、，而是体现内部控制这个过程向前的延续性。审计目标审计目标l第四条 注册会计师执行内部控制审计工作，应当获取充分、适当的证据，为发表内部控制审计意见提供合理保证。注册会计师应当对财务报告内部控制的有效性应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。审计目标审计目标l对特定时点特定时点企业财务报告内部控制的有效性财务报告内部控制的有效性发表审计意见，包括：设计有效性（合理性）运行的有效性l对财务报告内部控制与非财务报告内部控制财务报告内部控制：主动识别非财务报告内部控制：

14、被动关注敬德敬业至诚至真敬德敬业至诚至真有效性有效性第十四条 注册会计师应当测试内部控制设计与运行的有效性。如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行，能够实现控制目标，表明该项控制的设计是有效的。如果某项控制正在按照设计运行,执行人员拥有必要授权和专业胜任能力，能够实现控制目标，表明该项控制的运行是有效的。财务报告内部控制财务报告内部控制l PCAOB No.5 Separate or Combined Reports Definition paragraph A companys internal control over financial reporting

15、 is a process designed to provide reasonable assurance regarding the reliability of financial reporting and the preparation of financial statements for external purposes in accordance with generally accepted accounting principles.Internal Control Over Financial ReportingInternal Control Over Financi

16、al ReportingA companys internal control over financial reporting includes those policies and procedures that(1)pertain to the maintenance of records that,in reasonable detail,accurately and fairly reflect the transactions and dispositions of the assets of the company;(2)provide reasonable assurance

17、that transactions are recorded as necessary to permit preparation of financial statements in accordance with generally accepted accounting principles,and that receipts and expenditures of the company are being made only in accordance with authorizations of management and directors of the company;and

18、(3)provide reasonable assurance regarding prevention or timely detection of unauthorized acquisition,use,or disposition of the companys assets that could have a material effect on the financial statements.Internal Control Over Financial ReportingInternal Control Over Financial ReportingInternal Cont

19、rol Over Financial ReportingInternal Control Over Financial Reporting财务报告内部控制包括下列方面的政策和程序：（1）保存充分、适当的记录，准确、公允地反映企业的交易和事项；（2）合理保证按照企业会计准则的规定编制财务报表；合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权；（3）合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项。财务报告内部控制财务报告内部控制敬德敬业至诚至真敬德敬业至诚至真有效的财务报告内部控制有效的财务报告内部控制l Effective internal control

20、 over financial reporting provides reasonable assurance regarding the reliability of financial reporting and the preparation of financial statements for external purposes.非财务报告内部控制非财务报告内部控制l 非财务报告内部控制非财务报告内部控制，是指除财务报告内部控制之外的其他控制，通常是指为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制，以及用于保护资产安全的内部控制中与财务报告可靠性目标无关的控

21、制。敬德敬业至诚至真敬德敬业至诚至真非财务报告内部控制非财务报告内部控制l 非财务报告内部控制举例非财务报告内部控制举例企业应当建立科学的供应商评估和准入制度 大宗商品采用招标方式，一般物资采用询价，小额零星采用直接购买 企业应当严格执行固定资产的日常维修和大修理计划，定期对固定资产进行维护保养 企业应当强化对生产线等关键设备运转的监控，严格操作流程，实行岗前培训和岗位许可制度，确保设备安全运转内部控制审计和财务报表审计内部控制审计和财务报表审计l 第五条 注册会计师可以单独单独进行内部控制审计，也可将内部控制审计与财务报表审计整合进行（以下简称整合审内部控制审计与财务报表审计整合进行（以下简

22、称整合审计）。计）。在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：（一）获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见。（二）获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。敬德敬业至诚至真敬德敬业至诚至真内部控制审计和财务报表审计的关系内部控制审计和财务报表审计的关系lPCAOB NO.5 PCAOB NO.5 Integrating the AuditsThe audit of internal control over financial reporting should be integrated wit

23、h the audit of the financial statements.The objectives of the audits are not identical,however,and the auditor must plan and perform the work to achieve the objectives of both audits.内部控制审计和财务报表审计的关系内部控制审计和财务报表审计的关系l如果内部控制审计中识别出某项控制缺陷，注册会计师应当评价该缺陷对财务报表审计中拟实施的实质性程序的性质、时间和范围的影响l在财务报表审计中，注册会计师在评估控制风险时，

24、应当同时考虑内部控制审计中实施的、所有针对控制设计和运行有效性的测试结果l在财务报表审计中，无论控制风险或重大错报的风险的评估水平如何，注册会计师都应当针对所有重大的各类交易、账户余额及列报实施实质性程序。为对内部控制的有效性发表意见而实施的测试程序并不能减轻注册会计师遵守上市规定的责任敬德敬业至诚至真敬德敬业至诚至真内部控制审计和财务报表审计的关系内部控制审计和财务报表审计的关系l在内部控制审计中，注册会计师应当评价财务报表审计中实施的实质性程序的结果对控制有效性结论的影响。l注册会计师应当通过直接测试控制而获取控制是否有效的证据，而不能根据实质性程序没有发现错报，推断该项控制的有效性。整合

25、审计整合审计l定位于整合审计，主要考虑定位于整合审计，主要考虑审计效率审计成本对客户的负担时期时期/时点时点l考虑到期中企业改进内部控制的可能考虑到期中企业改进内部控制的可能可选择在期中预审时进行，给企业留出几个月整改的时间注册会计师应当获取内部控制在一段足够长的时间内有效运行的证据。l第十七条 注册会计师在确定测试的时间安排时，应当在下列两个因素之间作出平衡，以获取充分、适当的证据：（一）尽量在接近企业内部控制自我评价基准日实施测试。（二）实施的测试需要涵盖足够长的期间。期中测试后应考虑的因素期中测试后应考虑的因素在将期中测试的结果更新至年末时，注册会计师需要考虑下列因素，以确定需获取的补充

26、证据：（1）期中测试的特定控制的有关情况，包括与控制相关的风险、控制的性质和测试的结果；（2）期中获取的有关证据的充分性、适当性；（3）剩余期间的长短；（4）期中测试之后，内部控制发生重大变化的可能性及其变化情况。敬德敬业至诚至真敬德敬业至诚至真内部控制审计与内部控制评价内部控制审计与内部控制评价l内部控制审计指引 第四条 注册会计师应当对财务报告内应当对财务报告内部控制的有效性部控制的有效性发表审计意见，l内部控制评价指引 第二条 本指引所称内部控制评价，是指企业董事会或类似权力 机构对内部控制的有效性进行内部控制的有效性进行全面评价全面评价、形成评价结论、出具评价报告的过程。敬德敬业至诚至

27、真敬德敬业至诚至真内部控制审计与内部控制评价内部控制审计与内部控制评价l评价指引 第二十五条 企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送。l内部控制审计不能减轻企业管理层的责任。注册会计师在内部控制审计或财务报表审计中实施的审计程序并不是企业内部控制评价的组成部分。敬德敬业至诚至真敬德敬业至诚至真内部控制审计与内部控制评价内部控制审计与内部控制评价l Use the same control framework The auditor should use the same suitable,recognized control framework to perform hi

28、s or her audit of internal control over financial reporting as management uses for its annual evaluation of the effectiveness of the companys internal control over financial reporting敬德敬业至诚至真敬德敬业至诚至真内部控制审计过程内部控制审计过程lPlanning the Audit Planning the Audit 计划审计工作计划审计工作lUsingUsing a Top-Down Approach a

29、Top-Down Approach 运用自上而下方法运用自上而下方法lTesting Controls Testing Controls 测试控制测试控制lEvaluating Identified DeficienciesEvaluating Identified Deficiencies评价缺陷评价缺陷lWrapping Up Wrapping Up 完成审计工作完成审计工作lReporting on Internal Control Reporting on Internal Control 出具报告出具报告敬德敬业至诚至真敬德敬业至诚至真审计计划审计计划lEvaluate import

30、ant matters Evaluate important matters 评价的重要事项评价的重要事项lRole of Risk AssessmentRole of Risk Assessment风险评估风险评估lScaling the audit Scaling the audit 审计分类审计分类lAddressing the Risk of Fraud Addressing the Risk of Fraud 舞弊风险应对舞弊风险应对lUsing the work of othersUsing the work of others利用他人工作利用他人工作lMaterialityMat

31、eriality重要性重要性考虑的重要事项考虑的重要事项l 第七条 在计划审计工作时，注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响：（一）与企业相关的风险（二）相关法律法规和行业概况（三）企业组织结构、经营特点和资本结构等相关重要事项（四）企业内部控制最近发生变化的程度（五）与企业沟通过的内部控制缺陷（六）重要性、风险等与确定内部控制重大缺陷相关的因素（七）对内部控制有效性的初步判断（八）可获取的、与内部控制有效性相关证据的类型和范围l Knowledge of the companys internal control over financial reporting o

32、btained during other engagements performed by the auditor;l Control deficiencies previously communicated to the audit committee or management;l Legal or regulatory matters of which the company is aware;l Public information about the company relevant to the evaluation of the likelihood of material fi

33、nancial statement misstatements and the effectiveness of the companys internal control over financial reporting;l The relative complexity of the companys operations.考虑的重要事项考虑的重要事项风险评估风险评估l 第八条 注册会计师应当以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多。l On the other hand,it is not neces

34、sary to test controls that,even if deficient,would not present a reasonable possibility of material misstatement to the financial statements.敬德敬业至诚至真敬德敬业至诚至真审计分类审计分类l The size and complexity of the company,its business processes,and business units,may affect the way in which the company achieves man

35、y of its control objectives.The size and complexity of the company also might affect the risks of misstatement and the controls necessary to address those risks.lScaling is most effective as a natural extension of the risk-based approach and applicable to the audits of all companies.敬德敬业至诚至真敬德敬业至诚至真

36、审计分类审计分类l当一家企业有多个经营场所或业务单元时，注册会计师应当基于合并财务报表识别重要账户、列报及其相关认定。l如果某些经营场所或业务单元单独或连同其他经营场所或业务单元不具有合理可能性导致合并财务报表出现重大错报，注册会计师无需进一步考虑这些经营场所或业务单元。l在连续审计中，注册会计师应当改变对经营场所或业务单元的控制实施测试的形式、时间和范围。敬德敬业至诚至真敬德敬业至诚至真舞弊风险的考虑舞弊风险的考虑l the auditor should evaluate whether the companys controls sufficiently address identifie

37、d risks of material misstatement due to fraud and controls intended to address the risk of management override of other controls.l Controls that might address these risks include-Controls over significant,unusual transactions,particularly those that result in late or unusual journal entries;敬德敬业至诚至真

38、敬德敬业至诚至真舞弊风险的考虑舞弊风险的考虑Controls over journal entries and adjustments made in the period-end financial reporting process;Controls over related party transactions;Controls related to significant management estimates;andControls that mitigate incentives for,and pressures on,management to falsify or inap

39、propriately manage financial results.敬德敬业至诚至真敬德敬业至诚至真利用他人的工作利用他人的工作l 第九条 注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能本应由注册会计师执行的工作。注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作，应当对其专业胜任能力和客观性进行充分评价。与某项控制相关的风险越高，可利用程度就越低，注册会计师应当更多地对该项控制亲自进行测试。注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内

40、部控制评价人员和其他相关人员的工作而减轻。敬德敬业至诚至真敬德敬业至诚至真重要性重要性Materiality20.In planning the audit of internal control over financial reporting,the auditor should use the same materiality considerations he or she would use in planning the audit of the companys annual financial statements.敬德敬业至诚至真敬德敬业至诚至真运用自上而下方法运用自上而下方

41、法l 第十条 注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。敬德敬业至诚至真敬德敬业至诚至真运用自上而下方法运用自上而下方法l 自上而下方法自上而下方法l 自上而下方法的思路自上而下方法的思路l 为什么自上而下为什么自上而下l 企业层面企业层面l 识别重要账户、列报及相关认定识别重要账户、列报及相关认定l 了解错报的可能来源了解错报的可能来源l 穿行测试穿行测试l 选择拟测试的控制选择拟测试的控制敬德敬业至诚至真敬德敬业至诚至真A top-down approachl A top-down approach begins at th

42、e financial statement level and with the auditors understanding of the overall risks to internal control over financial reporting.The auditor then focuses on entity-level controls and works down to significant accounts and disclosures and their relevant assertions.敬德敬业至诚至真敬德敬业至诚至真“自上而下自上而下”方法的思路方法的思

43、路l自上而下的方法按照下列思路展开：1从财务报表层次初步了解内部控制整体风险；2识别企业层面控制；3识别重要账户、列报及其相关认定；4了解错报的可能来源；5选择拟测试的控制。敬德敬业至诚至真敬德敬业至诚至真A top-down approachlhe top-down approach describes the auditors sequential thought process in identifying risks and the controls to test,not necessarily the order in which the auditor will perform

44、the auditing procedures.敬德敬业至诚至真敬德敬业至诚至真为什么为什么“自上而下自上而下”l 提高设计效率和效果充分利用企业层面控制的作用，确定合理的测试范围防止注册会计师花费不必要的时间和精力了解不重要的业务流程和控制。所谓不重要是指不影响财务报表是否发生重大错报的可能性。将审计资源引向高风险领域，合理分配审计资源敬德敬业至诚至真敬德敬业至诚至真企业层面控制企业层面控制第十一条 注册会计师测试企业层面控制，应当把握重要性原则，至少应当关注：（一）与内部环境相关的控制。（二）针对董事会、经理层凌驾于控制之上的风险而设计的控制。（三）企业的风险评估过程。（四）对内部信息传递

45、和财务报告流程的控制。（五）对控制有效性的内部监督和自我评价。敬德敬业至诚至真敬德敬业至诚至真Entitylevel controlsEntitylevel controlsEntity-level controls includel Centralized processing and controls,including shared service environments;l Controls to monitor results of operations;l And Policies that address significant business control and ris

46、k management practices.敬德敬业至诚至真敬德敬业至诚至真A top-down approachl企业层面内部控制审计的内容企业层面内部控制审计的内容敬德敬业至诚至真敬德敬业至诚至真业务层面控制业务层面控制第十二条 注册会计师测试业务层面控制，应当把握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。注册会计师应当关注信息系统对内部控制及风险评估的影响。敬德敬业至诚至真敬德敬业至诚至真业务层面控制业务层面控制l 销售与收款循环销售与收款循环l 采购与付款循环采购与付款循环l 生产与仓储循

47、环生产与仓储循环l 工薪与人士循环工薪与人士循环l 筹资与投资循环筹资与投资循环l 其他循环其他循环敬德敬业至诚至真敬德敬业至诚至真业务层面控制测试和评价流程业务层面控制测试和评价流程l 内控基本情况内控基本情况 调查表调查表 访谈记录访谈记录l 绘制业务流程图绘制业务流程图 业务流程图业务流程图l 识别关键控制点识别关键控制点 l 执行穿行测试执行穿行测试 穿行测试表穿行测试表l 绘制风险控制矩阵绘制风险控制矩阵 业务循环风险控制矩阵业务循环风险控制矩阵l 执行控制测试执行控制测试 控制测试表控制测试表l 评价测试结果评价测试结果 业务循环内控评价表业务循环内控评价表敬德敬业至诚至真敬德敬业

48、至诚至真Identifying Significant Accounts and Disclosures Identifying Significant Accounts and Disclosures and Their Relevant Assertionsand Their Relevant Assertionsl重要账户、列报重要账户、列报如果某账户或列报具有合理可能性包含了一个错报，改错报单独或连同其他错报将对财务报表产生重大影响，则该账户或列报为重要账户或列报。判断某账户或列报是否重要，应当依据其固有风险，而不应该考虑相关控制。敬德敬业至诚至真敬德敬业至诚至真识别重要账户、列报及其

49、相关认定识别重要账户、列报及其相关认定l相关认定如果某财务报表认定具有合理可能性包含了一个或多个错报，这个或这些认定将导致财务报表发生重大错报，则该认定为相关认定。判断某认定是否为相关认定，应当依据其固有风险，而不应该考虑相关控制。Existence or occurrenceCompletenessValuation or allocationRights and obligationsPresentation and disclosure敬德敬业至诚至真敬德敬业至诚至真识别重要账户、列报及其相关认定识别重要账户、列报及其相关认定l Risk factors relevant to the

50、identification of significant accounts and disclosures and their relevant assertions include Size and composition of the account;Susceptibility to misstatement due to errors or fraud;Volume of activity,complexity,and homogeneity of the individual transactions processed through the account or reflect