企业内部控制审计-唐建华

1《企业内部控制审计指引实施意见》讲解2013年10月2主讲人简介唐建华，中注协专业标准与技术指导部主任3我国原有的内部控制鉴证规范2001年中注协发布《内部控制审核指导意见》•最大特点是年报审计与内部控制审核独立进行。•没有提出自上而下和风险导向的审计思路4我国内部控制鉴证规范•《企业内部控制审计指引》2010年4月•《企业内部控制审计指引实施意见》2011年10月•比美国PCAOB5略严，更具体•《企业内部控制审计工作底稿编制指南》2011年12月（参考资料，不具有强制性）5与《内部控制审核指导意见》的关系•明确业务性质是审计•采用整合审计框架•明确了审计思路–自上而下的方法–风险导向审计•利用他人的工作6二、审计思路7内部控制审计工作做到什么份上？•审计对象是保证财务报表质量的一套机制•要求覆盖每个相关认定•要求覆盖财务报表层次和认定层次的重大错报风险8审计思路•风险导向审计•自上而下的审计方法9风险导向审计•其实质在于：以财务报告内部控制重大缺陷风险的识别、评估和应对作为审计工作主线，在风险评估的基础上，将审计资源投放在高风险领域，以提高审计效率和效果。•审计风险＝内部控制存在重大缺陷的风险＊检查风险•内部控制存在重大缺陷的风险=控制无效的风险＊无效导致重大缺陷的风险10风险导向审计•风险评估的导向作用–确定重要账户–确定相关认定–确定控制测试的性质、时间安排和范围–确定利用他人工作的程度–集团测试范围的确定11识别、了解和评价企业整体层面控制的设计有效性从财务报表层次识别重大账户识别相关认定识别重要的业务流程和主要的交易类别识别流程中错报可能发生的环节识别和测试预防或及时发现错报发生的控制（业务流程层面的控制）选择拟测试的控制从报表层次出发,了解内部控制整体风险自上而下的方法12三、关于签订业务约定书13业务约定书•独立性（从网络所范畴考虑）•内部控制审计的前提条件–适用的内部控制标准–就被审计单位认可并理解其责任与治理层和管理层达成一致意见（自我评价工作）•签定单独的业务约定书–审计范围财务报告内部控制（需要梳理）豁免14四、计划审计工作15五、实施审计工作16实施审计工作•控制有效性的内涵•控制有效性测试的性质、时间安排和范围•与控制相关的风险17六、连续审计时的特殊考虑18•人工控制（每年必须测试）•自动化控制（可采用对标策略）•增加测试的不可预测性19七、集团审计时的特殊考虑20八、评价控制缺陷21九、完成审计工作22完成审计工作•获取管理层声明•沟通缺陷•评价企业内部控制评价报告对相关法律法规规定的要素的列报是否完整和恰当23获取管理层声明•注册会计师应当获取经被审计单位签署的书面声明。书面声明的内容应当包括：–被审计单位董事会认可其对建立健全和有效实施内部控制负责；–被审计单位已对内部控制进行了评价，并编制了内部控制评价报告；–被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作为评价的基础；–被审计单位根据内部控制标准评价内部控制有效性得出的结论；–被审计单位已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷和重要缺陷；–被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞弊，以及其他不会导致财务报表发生重大错报，但涉及管理层、治理层和其他在内部控制中具有重要作用的员工的所有舞弊；–注册会计师在以前年度审计中识别出的且已与被审计单位沟通的重大缺陷和重要缺陷是否已经得到解决，以及哪些缺陷尚未得到解决；–在基准日后，内部控制是否发生变化，或者是否存在对内部控制产生重要影响的其他因素，包括被审计单位针对重大缺陷和重要缺陷采取的所有纠正措施。24沟通缺陷•对于重大缺陷和重要缺陷，注册会计师应当以书面形式与管理层和治理层沟通。书面沟通应当在注册会计师出具内部控制审计报告之前进行。•注册会计师应当以书面形式与管理层沟通其在审计过程中识别的所有其他内部控制缺陷，并在沟通完成后告知治理层。在进行沟通时，注册会计师无需重复自身、内部审计人员或被审计单位其他人员以前书面沟通过的控制缺陷。25内部控制审计与管理层自我评估的关系•企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送。•在企业治理层的监督下，按照《企业内部控制基本规范》和相关规定，设计、实施和维护有效的内部控制，并评价其有效性是企业管理层的责任。按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。•内部控制审计不能减轻企业管理层的责任。注册会计师在内部控制审计或财务报表审计中实施的程序并不是企业内部控制的组成部分。26十、出具审计报告27无保留意见审计报告•内部控制不存在重大缺陷•不存在审计范围受到限制的情况28无保留意见审计报告××股份有限公司全体股东：按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了××股份有限公司（以下简称××公司）××××年××月××日的财务报告内部控制的有效性。一、企业对内部控制的责任按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》的规定，建立健全和有效实施内部控制，并评价其有效性是企业董事会的责任。29无保留意见审计报告二、注册会计师的责任我们的责任是在实施审计工作的基础上，对财务报告内部控制的有效性发表审计意见，并对发现的非财务报告内部控制的重大缺陷进行描述。30无保留意见审计报告三、内部控制的固有局限性内部控制具有固有局限性，存在不能防止和发现错报的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制审计结果推测未来内部控制的有效性具有一定风险。31无保留意见审计报告四、财务报告内部控制审计意见我们认为，于××××年××月××日，××公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。32无保留意见审计报告五、非财务报告内部控制的重大缺陷（如果有）在内部控制审计过程中，我们注意到××公司的非财务报告内部控制存在重大缺陷[描述该缺陷的性质及其对实现相关控制目标的影响程度]。由于存在上述重大缺陷，我们提醒本报告使用者注意相关风险。需要指出的是，我们并不对××公司的非财务报告内部控制发表意见或提供保证。本段内容不影响对财务报告内部控制有效性发表的审计意见。33带强调事项段的审计报告•无保留意见是前提•强调事项34带强调事项段的情形•管理层内部控制评价报告的表达不完整或不恰当如果确定管理层评估报告的表达不完整或不恰当，注册会计师应当在审计报告中增加强调事项段，说明这一情况并解释得出该结论的理由。35带强调事项段的情形•期后事项注册会计师可能知悉在管理层评估日并不存在、但在期后期间发生的事项。如果这类期后事项对内部控制有重大影响，注册会计师应当在审计报告中增加强调事项段，以描述该事项及其影响，或提醒审计报告使用者关注管理层内部控制评估报告中披露的该事项及其影响。36带强调事项段的情形•其他信息存在对事实重大错报如果认为其他信息含有对事实的重大错报，注册会计师应当就此与管理层进行讨论。如果讨论后仍认为存在对事实的重大错报，注册会计师应当以书面形式，将其看法告知管理层和审计委员会。37带强调事项段内部控制审计报告以上内容同标准审计报告六、强调事项我们提醒内部控制审计报告使用者关注，（描述强调事项的性质及其对内部控制的重大影响）。本段内容不影响已对财务报告内部控制发表的审计意见。38否定意见审计报告•内部控制存在一项或多项重大缺陷•不存在审计范围受到限制的情况39否定意见内部控制审计报告以上内容同标准审计报告四、导致否定意见的事项重大缺陷，重大缺陷是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。[指出注册会计师已识别出的重大缺陷，并说明重大缺陷的性质及其对财务报告内部控制的影响程度。]有效的内部控制能够为财务报告及相关信息真实完整提供合理保证，而上述重大缺陷使××公司内部控制失去这一功能。40否定意见内部控制审计报告管理层已识别出上述重大缺陷，并将其包含在企业内部控制评价报告中，但未在所有重大方面得到公允反映。（上述重大缺陷尚未包括在企业内部控制评价报告中／管理层已识别出上述重大缺陷，并将其包括在企业内部控制评价报告中，且已在所有重大方面得到公允反映）在××公司××年财务报表审计中，我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。本报告并未对我们在××××年××月××日对×公司××年财务报表出具的审计报告产生影响。41否定意见内部控制审计报告五、财务报告内部控制审计意见我们认为，由于存在上述重大缺陷及其对实现控制目标的影响，于××××年××月××日，××公司未能按照《企业内部控制基本规范》和相关规定在所有重大方面保持有效的财务报告内部控制。42否定意见内部控制审计报告六、非财务报告内部控制的重大缺陷[参见标准内部控制审计报告相关段落表述。]43无法表示意见的审计报告•审计范围受到限制•如果已实施的审计程序识别出内部控制重大缺陷，应当在报告中指明44无法表示意见内部控制审计报告××股份有限公司全体股东：我们接受委托，对××股份有限公司（以下简称××公司）的财务报告内部控制进行审计。[删除注册会计师的责任段，“一、企业对内部控制的责任”和“二、内部控制的固有局限性”参见标准内部控制审计报告相关段落表述。]45无法表示意见内部控制审计报告三、导致无法表示意见的事项[描述审计范围受到限制的具体情况。]46无法表示意见内部控制审计报告四、财务报告内部控制审计意见由于审计范围受到上述限制，我们未能实施必要的审计程序以获取发表意见所需的充分、适当证据，因此，我们无法对××公司于××××年××月××日的财务报告内部控制的有效性发表意见。47无法表示意见内部控制审计报告五、识别的内部控制重大缺陷（如果有）重大缺陷是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。尽管我们无法对××公司财务报告内部控制的有效性发表意见，但在我们实施的有限程序的过程中，发现了以下重大缺陷：[指出注册会计师已识别出的重大缺陷，并说明重大缺陷的性质及其对财务报告内部控制的影响程度。]有效的内部控制能够为财务报告及相关信息真实完整提供合理保证，而上述重大缺陷使××公司内部控制失去这一功能。48无法表示意见内部控制审计报告六、非财务报告内部控制的重大缺陷[参见标准内部控制审计报告相关段落表述。]49十一、财务报告内部控制审计与财务报表审计的整合50(一)财务报表审计中对内部控制的了解和测试51审计目标•第二十五条在执行财务报表审计工作时，注册会计师的总体目标是：•（一）对财务报表整体是否不存在由于舞弊或错误导致的重大错报获取合理保证，使得注册会计师能够对财务报表是否在所有重大方面按照适用的财务报告编制基础编制发表审计意见；•（二）按照审计准则的规定，根据审计结果对财务报表出具审计报告，并与管理层和治理层沟通。审计思路•要求注册会计师在审计实务中切实贯彻风险导向审计理念，以重大错报风险的识别、评估和应对作为审计工作的主线。•审计风险模型审计风险=重大错报风险×检查风险重大错报风险=固有风险×控制风险5345中国注册会计师协会执业准则培训班风险评估思路了解内部控制•控制环境；•被审计单位的风险评估过程•信息系统与沟通•控制活动•对控制的监督了解被审计单位及其环境(不包括内部控制)•了解被审计单位的行业状况、法律环境与监管环境以及其他外部因素•性质•对会计政策的选择和运用•目标、战略以及相关经营风险•财务业绩的衡量和评价评估重大错报风险实施风险评估程序财务报表层次认定层次（各类交易、账户余额、列报（包括披露）54应对评估的重大错报风险财务报表层次认定层次55认定层次重大错报风险的应对根据评估的风险确定拟实施的进一步审计程序的性质、时间和范围56进一步审计程序控制测试认定层次实质性程序57了解内部控制第十五条