Page1内控审计理论、实务与案例立信锐思杨芳Page2杨芳博士上海立信锐思信息管理有限公司执行合伙人,复旦大学会计学博士。精通项目管理及内控理论与实务。多年企业内部控制咨询与培训经验,组织与领导数百家上市公司的企业内部控制咨询与培训。曾为东风汽车、中国石油、中材国际、杉杉股份、宁波银亿集团、海通证券、中国移动、上海电力集团等国内知名上市公司进行内部控制培训;为复旦大学总裁班和管理学院EMBA讲授内控系列课程;厦门大学EDP客座教授,宁波大学特邀讲师,为上海各区国资委、财政部做内控培训,并作内控专题报告。受邀为上交所董秘班、深交所独董班、上海会计学会、山东银行协会班、广州会计师公会、各地证监局组织的企业进行专业培训。电话:021-6321923115921979746Email:yangfang@lx-rs.comfyang_2009@163.com地址:上海市九江路69号5楼(200002)Page3目录序号内容一内部控制审计的依据二内控审计、财报审计与整合审计三审计计划四风险导向与自上而下的审计方法五完成审计工作&出具审计报告附录第一部分内部控制审计的依据问题:内控审计的依据标准是什么?内部控制审计的性质?Page5内部控制审计意见类型沪市主板深市主板中小企业板创业板合计标准无保留意见7073384741096带强调事项段的无保留意见23120035否定意见81009无法表示意见10001非标准审计意见小计32130045合计7393514741141非标准审计意见比例4.33%3.70%003.94%2013年度上市公司内控审计总体情况统计Page62013年度上市公司内控审计报告否定意见上海家化北大荒西部矿业五洲交通大有能源泰达股份天津磁卡华锐风电风神股份无法表示意见青鸟华光带强调事项段无保留意见武汉控股桂冠电力钱江摩托大连热电上海物贸标准股份云煤能源ST狮头美利纸业*ST传媒方大炭素深物业A西藏天路*ST亚星昌九生化天威保变百视通川化股份凯迪电力中银绒业*ST长油上海三毛凤凰光学酒鬼酒*ST凤凰ST宜纸*ST南化北部湾港康达尔莲花味精华银电力恒源煤电阳煤化工*ST二重泸天化Page7中国的内控发展:主要规范证监会证券公司内部控制指引2001-1中国人民银行商业银行内部控制指引2002-9财政部7项内部会计控制规范(试行)2001~04中注协企业内部控制审核指导意见2002-2银监会商业银行内部控制评价试行办法2004-8上交所上交所上市公司内部控制指引2006-5深交所深交所上市公司内部控制指引2006-9国资委中央企业全面风险管理指引2006-6五部委企业内部控制基本规范2008-5-22五部委企业内部控制配套指引2010-4-26Page8企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当按照规定的权限和程序实行集体决策审批或者联签制度企业梳理治理结构,应当重点关注董事、监事、经理及其他高级管理人员的任职资格和履职情况,以及董事会、监事会和经理层的运行效果企业梳理内部机构设置,应当重点关注内部机构设置的合理性和运行的高效性等。内部机构设置和运行中存在职能交叉、缺失或运行效率低下的,应当及时解决企业应当确定具体岗位的名称、职责和工作要求等,明确各个岗位的权限和相互关系企业拥有子公司的,应当建立科学的投资管控制度重点关注发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设企业应当定期对组织架构设计与运行的效率和效果进行全面评估基本规范:处于最高层次,起统驭作用,描绘了企业建立与实施内控体系必须建立的框架结构,规定了内部控制的定义、目标、原则、要素,是制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据应用指引:处于主体地位,为企业建立健全内部控制体系提供的指引评价指引:为企业管理层对本企业内部控制有效性进行自我评价提供的指引审计指引:为注册会计师执行内部控制审计业务提供执业准则企业内部控制基本规范企业内部控制应用指引控制活动类1资金活动2采购业务3资产管理4销售业务5研究与开发6工程项目7担保业务8业务外包9财务报告内部环境类1组织架构2发展战略3人力资源4社会责任5企业文化控制手段类1全面预算2合同管理3内部信息传递4信息系统企业内部控制评价指引企业内部控制审计指引企业内部控制体系Page9没有通用的内部控制内部控制的各个要素在每个企业中的实施方式取决于:企业规模业务复杂性财务信息处理方法适用的法律法规小型企业业务流程总体上相对简单,相应的控制也趋于简单、非正式化文档记录形式可能多种多样,内容不尽相同,包括:政策制度手册、流程模型、流程图、岗位职责描述及其他文件。文档记录没有统一标准,而其详细程度则取决于企业规模、经营性质、及业务复杂性。Page10从“会计兼出纳”的招聘广告所引发的讨论?没有通用的内部控制——一个探讨一定是内控的严重缺陷吗?预防性控制检查性控制Page11被审计单位与审计师的责任划分内部控制被审计单位内控责任CPA内控审计责任建立健全和有效实施内部控制评价内部控制有效性是企业董事会(或类似决策机构)的责任按照《审计指引》的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见内部控制自我评价报告内部控制审计报告财务报告内部控制审计并不能减轻企业管理层的责任Page12适用范围2010年4月26日,财政部发布《企业内部控制审计指引》等配套指引2011年1月1日起在境内外同时上市的公司施行2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;鼓励非上市大中型企业提前执行。执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷,应当提示投资者、债权人和其他利益相关者关注实施步骤Page13内控审计遵循的政策制度企业内部控制基本规范企业内部控制配套指引财政部等五部委其他相关法律法规CPA鉴证业务基本准则相关执业准则(如:1411考虑内部审计工作&1131审计工作底稿……)财政部中注协发布:企业内部控制审计指引实施意见内部控制审计工作底稿编制指南Page14内部控制审计的性质、对象审计性质(不是审阅或审核)基于时点(不是时期)直接报告业务(不是基于认定业务)财务报告内控(仅对注意到的非财务报告内控)内部控制审计Page15内部控制审计的性质、对象——需要明确的问题时点/时期?内部控制审计企业内部控制审计基于特定基准日。注册会计师基于基准日(如年末12月31日)内部控制的有效性发表意见,而不是对财务报表涵盖的整个期间(如一年)的内部控制的有效性发表意见。但这并不意味着注册会计师只关注企业基准日当天的内部控制,而是要考察企业一个时期内(足够长的一段时间)内部控制的设计和运行情况。实务:业内一般要求内部控制的有效运行期至少为3个月,即:前期或期中测试发现的问题,需在9月底之前整改完毕。注册会计师再对整改后的内部控制进行测试,才能对企业12月31日(基准日)内部控制的设计和运行发表意见财务报告内部控制or非财务报告内部控制?注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露Page16内部控制审计的对象——需要明确的问题财务报告内部控制政策和程序(1)保存充分、适当的记录,准确、公允地反映企业的交易和事项;(2)合理保证按照企业会计准则的规定编制财务报表;(3)合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权;(4)合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项合理保证财务报告及相关信息真实完整保护资产安全的内部控制中与财务报告可靠性目标相关的控制非财务报告内部控制是指除财务报告内部控制之外的其他控制为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标无关的控制内部环境目标设定事项识别风险评估风险应对控制活动信息与沟通监控子公司业务单元分部企业层次Page17内部控制审计的对象(举例)某大型企业集团2009版内控手册共计1272个控制点,分类如下:控制点合计管理相关控制点与财务报告相关控制点ERP控制点数量1272843429161Page18内部控制审计的对象(举例)控制环节控制描述控制频率人工/自动预防性/检查性认定是否关键控制判断是否为关键控制的理由……发货销售经理每周五查看已批准未发货的销售订单汇总表,调查延迟发货的原因并予以相应处理每周1次人工预防性不适用否该项控制旨在确保企业的经营效率和服务质量,与财务报告认定无关,不属于财务报告内部控制。……例如:销售和收款循环中,以下的控制活动第二部分内控审计、财报审计与整合审计问题:内控审计与大家熟悉的财报审计有什么差别?什么是整合审计?整合审计有什么优点?Page20整合审计的概念与目标整合审计注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(整合审计)获取充分、适当的证据,支持其在内部控制审计中对内部控制的有效性发表的意见整合审计目标获取充分、适当的证据,支持其在财务报表审计中对内部控制的风险评估结果整合基础内部控制Page21整合审计的吸引力提高审计效率降低成本使客户尽早获知可能存在的缺陷及早着手进行整改整合审计财报审计利用内控审计的结果修改实质性程序的性质、时间安排和范围支持分析程序中适用的信息的完整性和准确性内控审计考虑财报审计中发现的问题重点考虑财报审计中发现的错报对内控有效性评价的影响Page22整合审计的吸引力美国《萨班斯——奥克斯利法案》和日本《金融商品交易法》均要求由出具财务报告审计报告的会计师事务所对企业财务报告内部控制进行审计,将企业内部控制审计定位在整合审计。美国的一项调查显示,企业执行《萨班斯——奥克斯利法案》404条款第二年的成本比第一年下降46%,将两项审计工作更好地整合起来则是其中的一个主要原因。我国《企业内部控制审计指引》也提倡将二者整合进行Page23财务报表审计与内部控制审计的比较1/3比较项目内部控制审计财务报表审计审计目的对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露对财务报表是否符合企业会计准则,是否公允反映被审计单位的财务状况和经营成果发表意见了解和测试内部控制的目的直接目的:对内部控制设计和运行有效性发表审计意见了解内控是为了评估重大错报风险测试内控是为了进一步证明了解内控时得出的初步结论,了解和测试内控的最终目的是服务于对财报发表审计意见Page24财务报表审计与内部控制审计的比较2/3比较项目内部控制审计财务报表审计测试范围对所有重要账户、各类交易和列报的相关认定,都要了解和测试相关的内控只在以下两种情况下强制要求内控测试1)在评估认定层次重大错报风险时,预期控制运行有效。即:在确定实质性程序的性质、时间安排和范围时,CPA拟信赖控制运行的有效性,或,(2)仅实施实质性程序不能提供认定层次充分、适当的审计证据其他情况下,CPA可以不测试内部控制测试时间对特定基准日内控有效性发表意见。不一定要测试整个会计期间,但要测试足够长的时间一旦确定需要测试,则需要测试内控在整个审计期间运行有效性Page25财务报表审计与内部控制审计的比较3/3比较项目内部控制审计财务报表审计测试样本量对结论可靠性的要求高,测试的样本量大对结论可靠性的要求取决于计划从内部控制