2012年7月北京国家会计学院企业内部控制审计——基于审计师与管理层交流的视角Page2主讲人简介李杰管理学博士(金融工程研究方向)信永中和会计师事务所合伙人注册会计师、资产评估师、税务师中国注册会计师行业领军人才天津市注册会计师协会培训委员会委员、期刊编辑委员会委员中国会计学会成本分会理事在核心期刊发表研究论文多篇,出版专著及译著数部Page3123课程目标缺陷评价与报告审计计划与实施审计依据与思路Page4目录序号内容一内部控制审计的依据二内控审计、财报审计与整合审计三风险导向与自上而下的审计方法四完成审计工作&出具审计报告附录内部控制审计的依据问题:内控审计的依据标准是什么?内部控制审计与企业内部控制建立之间的关系?Page62011国内内控审计情况截至2012年4月30日,共有230家上市公司披露了内部控制审计报告。报告类型数量(标准)无保留意见内控审计报告225份带强调事项段的无保留意见内控审计报告4份否定意见内控审计报告1份全国有38家证劵资格会计师事务所从事了230家上市公司内部控制审计业务。Page7中国的内控发展:主要规范证监会证券公司内部控制指引2001-1中国人民银行商业银行内部控制指引2002-9财政部7项内部会计控制规范(试行)2001~04中注协企业内部控制审核指导意见2002-2银监会商业银行内部控制评价试行办法2004-8上交所上交所上市公司内部控制指引2006-5深交所深交所上市公司内部控制指引2006-9国资委中央企业全面风险管理指引2006-6五部委企业内部控制基本规范2008-5-22五部委企业内部控制配套指引2010-4-26Page8企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当按照规定的权限和程序实行集体决策审批或者联签制度企业梳理治理结构,应当重点关注董事、监事、经理及其他高级管理人员的任职资格和履职情况,以及董事会、监事会和经理层的运行效果企业梳理内部机构设置,应当重点关注内部机构设置的合理性和运行的高效性等。内部机构设置和运行中存在职能交叉、缺失或运行效率低下的,应当及时解决企业应当确定具体岗位的名称、职责和工作要求等,明确各个岗位的权限和相互关系企业拥有子公司的,应当建立科学的投资管控制度重点关注发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设企业应当定期对组织架构设计与运行的效率和效果进行全面评估基本规范:处于最高层次,起统驭作用,描绘了企业建立与实施内控体系必须建立的框架结构,规定了内部控制的定义、目标、原则、要素,是制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据应用指引:处于主体地位,为企业建立健全内部控制体系提供的指引评价指引:为企业管理层对本企业内部控制有效性进行自我评价提供的指引审计指引:为注册会计师执行内部控制审计业务提供执业准则企业内部控制基本规范企业内部控制应用指引控制活动类1资金活动2采购业务3资产管理4销售业务5研究与开发6工程项目7担保业务8业务外包9财务报告内部环境类1组织架构2发展战略3人力资源4社会责任5企业文化控制手段类1全面预算2合同管理3内部信息传递4信息系统企业内部控制评价指引企业内部控制审计指引企业内部控制体系Page9没有通用的内部控制内部控制的各个要素在每个企业中的实施方式取决于:企业规模业务复杂性财务信息处理方法适用的法律法规小型企业业务流程总体上相对简单,相应的控制也趋于简单、非正式化文档记录形式可能多种多样,内容不尽相同,包括:政策制度手册、流程模型、流程图、岗位职责描述及其他文件。文档记录没有统一标准,而其详细程度则取决于企业规模、经营性质、及业务复杂性。Page10被审计单位与审计师的责任划分内部控制被审计单位内控责任CPA内控审计责任建立健全和有效实施内部控制评价内部控制有效性是企业董事会(或类似决策机构)的责任按照《审计指引》的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见内部控制自我评价报告内部控制审计报告财务报告内部控制审计并不能减轻企业管理层的责任Page11适用范围2010年4月26日,财政部发布《企业内部控制审计指引》等配套指引,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷,应当提示投资者、债权人和其他利益相关者关注。Page12内控审计遵循的政策制度企业内部控制基本规范企业内部控制配套指引财政部等五部委其他相关法律法规CPA鉴证业务基本准则相关执业准则(如:1411考虑内部审计工作&1131审计工作底稿……)财政部Page13概念明晰——内控审计的业务性质审计/审阅/审核?内部控制审计是CPA针对被审计单位内部控制实施合理保证(高水平保证)的鉴证业务直接报告业务/基于认定的业务?内部控制审计是CPA直接对被审计单位内部控制的有效性发表意见,是直接报告业务。“企业的内部控制是否按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制”财报审计是基于责任方(被审计单位管理层)认定的业务。(是对财务报告发表审计意见)Page14概念明晰——内控审计的业务对象时点/时期?内部控制审计企业内部控制审计基于特定基准日。注册会计师基于基准日(如年末12月31日)内部控制的有效性发表意见,而不是对财务报表涵盖的整个期间(如一年)的内部控制的有效性发表意见。但这并不意味着注册会计师只关注企业基准日当天的内部控制,而是要考察企业一个时期内(足够长的一段时间)内部控制的设计和运行情况。实务:业内一般要求内部控制的有效运行期至少为3个月,即:前期或期中测试发现的问题,需在9月底之前整改完毕。注册会计师再对整改后的内部控制进行测试,才能对企业12月31日(基准日)内部控制的设计和运行发表意见Page15概念明晰——内控审计的业务对象财务报告内部控制or非财务报告内部控制?注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露财务报告内部控制的有效性内部控制审计过程中注意到的非财务报告内部控制的重大缺陷Page16概念明晰——内控审计的业务对象财务报告内部控制政策和程序(1)保存充分、适当的记录,准确、公允地反映企业的交易和事项;(2)合理保证按照企业会计准则的规定编制财务报表;(3)合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权;(4)合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项合理保证财务报告及相关信息真实完整保护资产安全的内部控制中与财务报告可靠性目标相关的控制非财务报告内部控制是指除财务报告内部控制之外的其他控制为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标无关的控制Page17概念明晰——内控审计的业务对象(举例)某大型企业集团2009版内控手册共计1272个控制点,分类如下:控制点合计管理相关控制点与财务报告相关控制点ERP控制点数量1272843429161内控审计、财报审计与整合审计问题:内控审计与大家熟悉的财报审计有什么差别?什么是整合审计?整合审计有什么优点?Page19整合审计的概念与目标整合审计注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(整合审计)获取充分、适当的证据,支持其在内部控制审计中对内部控制的有效性发表的意见整合审计目标获取充分、适当的证据,支持其在财务报表审计中对内部控制的风险评估结果整合基础内部控制Page20整合审计的吸引力提高审计效率降低成本使客户尽早获知可能存在的缺陷及早着手进行整改整合审计财报审计利用内控审计的结果修改实质性程序的性质、时间安排和范围支持分析程序中适用的信息的完整性和准确性内控审计考虑财报审计中发现的问题重点考虑财报审计中发现的错报对内控有效性评价的影响Page21财务报表审计与内部控制审计的比较1/3比较项目内部控制审计财务报表审计审计目的对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露对财务报表是否符合企业会计准则,是否公允反映被审计单位的财务状况和经营成果发表意见了解和测试内部控制的目的直接目的:对内部控制设计和运行有效性发表审计意见了解内控是为了评估重大错报风险测试内控是为了进一步证明了解内控时得出的初步结论,了解和测试内控的最终目的是服务于对财报发表审计意见Page22财务报表审计与内部控制审计的比较2/3比较项目内部控制审计财务报表审计测试范围对所有重要账户、各类交易和列报的相关认定,都要了解和测试相关的内控只在以下两种情况下强制要求内控测试1)在评估认定层次重大错报风险时,预期控制运行有效。即:在确定实质性程序的性质、时间安排和范围时,CPA拟信赖控制运行的有效性,或,(2)仅实施实质性程序不能提供认定层次充分、适当的审计证据其他情况下,CPA可以不测试内部控制测试时间对特定基准日内控有效性发表意见。不一定要测试整个会计期间,但要测试足够长的时间一旦确定需要测试,则需要测试内控在整个审计期间运行有效性Page23财务报表审计与内部控制审计的比较3/3比较项目内部控制审计财务报表审计测试样本量对结论可靠性的要求高,测试的样本量大对结论可靠性的要求取决于计划从内部控制中得到保证的程度(或,减少实质性程序工作量的程度)结果报告(1)对外披露(2)以正面、积极的方式对内控有效性发表意见(1)通常不对外披露内控情况,除非是内控影响到对财报发表审计意见(2)以管理建议书的方式向管理层或治理层报告财报审计中发现的内控重大缺陷,但CPA没有义务专门实施审计程序,以发现和报告内控重大缺陷Page24财务报表审计与整合审计的关系Page25风险评估程序相同重要性水平相同重要组成部分的认定相同财务报表审计计划与整合审计计划的比较财报审计计划阶段所识别的风险对财报的影响重大账户、重大列报和相关认定重大业务流程业务流程中的内部控制考虑所识别的风险对内部控制的影响识别高风险控制领域确定内控审计的关注领域Page26总体要求“整合审计”要求注册会计师在实施审计时将对财务报表的审计及对财务报表内部控制的审计结合起来,从整体角度考虑。财务报告内部控制审计和财务报表审计的目标不同,会计师应当计划和执行测试工作,以同时实现二者的目标:支持会计师在与财务报告内部控制相关的审计中对财务报告内部控制的有效性发表的意见;注册会计师在实施报表审计时,是要以对内部控制的风险评估结果作为选择实质性测试方式的依据之一;报表审计的结果又会影响到财务报表内部控制审计的结果。因此注册会计师需要在审计计划、审计方案及审计方法制定及实施各个阶段将两个审计工作紧密结合起来。整合审计的进一步理解Page27内部控制审计中对控制有效性的测试应获得充分的证据支持财务报表涵盖期间内部控制有效运行的结论,这说明虽然注册会计师出具的审计报表是关于审计基准日的,但是审计证据应涵盖财务报表期间。在内部控制审计中所需测试的控制,是针对财务报表相关认定所涉及的控制。这一范围与仅对财务报表发表审计意见时,注册会计师需要测试的控制不同。注册会计师在实施财务报表审计时应对某项财务报表认定相关控制的风险程度进行评估,