上市公司内部控制审计案例参考实务

上市公司内部控制审计案例参考实务一、内部控制审计与财务报表审计整合的意义、功能与作用内部控制审计与财务报表审计的整合对于上市公司、注册会计师以及需要使用企业财务信息的相关各方都产生了重要的意义。内部控制审计的提出是审计业务发展过程中的重要变革，整合审计模式对传统的财务报表审计产生了巨大的影响，从长远来看，内部控制审计以及两种审计的整合是企业完善管理、资本市场信息透明化的必经过程。（一）引导改变企业管理理念，建设并有效运行企业内控制度在我国关于内部控制审计的相关文件出台以前，部分追求先进管理理念的企业较为重视企业的内部控制，但多数企业对内部控制的关注不够，内部控制审计政策的出台使得企业必须重视内部控制，内部控制将影响企业的整体价值。完善的内部控制制度将为企业带来诸多利益，有效的内部控制可以使企业的内部资源得到更有效的配置与使用；通过设计内部控制制度可以使企业各部门既保持联系又相互牵制，使企业日常业务有条不紊的进行。内部控制审计以及整合审计的提出成为了推动企业重视内部控制制度建设的最有力的推手，这将对企业管理理念的改变以及内部控制的完善产生重要意义。（二）扩展注册会计师行业的业务范围，同时促进注册会计师执业能力迅速提升内部控制审计的提出拓展了注册会计师行业的业务范围，为注册会计师行业的发展提供了新的动力。将内部控制审计与财务报表审计进行整合是未来审计的大势所趋，尽管我国目前对审计的方式没有做出明确的规定，但统计数据表明，自2010年实施内部控制审计开始，所有需要提供内部控制审计报告的上市公司中，选择将两种审计交由同一家事务所进行整合审计的公司占绝大多数，这说明整合审计在实际操作中更为企业以及会计师事务所接受。整合审计的发展为注册会计师行业带来机遇的同时，也使注册会计师面临重大的考验。但新事物的建立与发展均需要时间，所以整合审计模式的迅速发展将成为促进注册会计加强专业修养、提高自身执业素质的动力，在提高我国注册会计师行业专业水准、人员素质方面起到重要作用。（三）降低财务报表审计及内部控制审计的整体成本，提高审计效率尽管财务报表审计与内部控制审计的目标存在差异，但整合审计需要综合考虑两种审计的情况，设计综合审计计划以达成两种审计的目标。财务报表审计与内部控制审计是两种性质不同的审计，但相互之间也存在着一些共性与联系，这些共性与联系为两种审计的整合提供了整合基础，使得两种审计的审计证据、审计成果可以相互利用，进而起到降低整体审计成本的作用。从会计师事务所的角度看，将节约不少时间与精力，而站在企业的角度看，企业有义务配合注册会计师所提出的要求，提供所有资料。如果不进行整合审计而是将两种审计分开执行，企业将耗费不少的人力与物力与会计师事务所进行配合。由同一家会计师事务所进行整合审计将使沟通、交流进行的更加便捷，这些内容都将促使整合审计产生降低整体审计成本的作用，且这些资源浪费的减少以及时间的节约都将使审计过程变得更富有效率。（四）降低财务报表审计与内部控制审计的风险及提高审计质量制定综合审计计划进行整合审计还可以起到降低财务报表审计与内部控制审计风险，提高两种审计质量的作用。财务报表审计在进行实质性程序之前需要对企业进行内部控制评价，这一步骤如果是在单独进行财务报表审计时，其效果将不如内部控制审计所评估的详细与准确。而整合审计将充分利用内部控制审计的优势，依据审计计划的适当安排，提升内部控制评价的效果，与不进行整合审计相比，将更加有利于财务报表审计应用风险评估的方法对后续的实质性程序的内容、范围进行准确的安排。整合审计中两种审计的相互利用与验证使得两种审计均降低了审计风险，同时由于两种审计间存在着优势互补，也使得两者的审计质量均得到提升。二、内部控制审计与财务报表审计整合流程（一）整合审计的流程设计财务报表审计与内部控制审计在审计的开始阶段所做的工作基本一致，都需要对企业的基本情况、所处环境以及内部控制设计情况进行适当的了解，将这两者整合在一起进行可以提高审计的效率，减少重复工作。在了解企业内部控制的基本情况后，注册会计师应对企业的内部控制情况得出基本判断，评估内部控制风险，依据风险评估的结果设计并执行控制测试。由于是整合审计，注册会计师应根据自己的职业判断率先对财务报表信息相关的内部控制程序进行测试，然后再对不影响财务报表的内部控制进行测试，以帮助财务报表审计评估重大错报风险，进而安排执行后续的实质性程序，这样由控制测试开始分别执行两种审计的后续步骤，得出结论。由于两种审计存在一定的关联性，因此在设计整合审计的程序时，需要添加验证步骤，如果财务报表审计发现了重大错报，则相应的内部控制审计结论上应该有所体现；反之如果内部控制存在重大缺陷，则财务报表是否存在重大错报则难以判断。两种审计结论之间的相互检验虽然不能形成严格的因果对照关系，但也可以在一定程度上减少审计风险，帮助注册会计师更为严谨的得出审计结论。（二）整合审计注意的问题在整合的过程中，为了形成准确的审计结论，注册会计师必须注意如下问题：第一，两种审计的整合使部分审计证据与结论可以相互利用，但当注册会计师使用这些信息时必须保持应有的谨慎，不可盲目借鉴，否则两种审计间的关联性可能会导致某一项审计错误的放大与传递，进而导致审计结论的偏颇；第二，注册会计师应注意把握内部控制审计的范围，内部控制审计本身所涵盖的范围较为广泛，包括企业的控制环境、企业的风险识别、评估、与应对、控制活动、信息与沟通、内部监督制度。这些均属于内部控制审计需要考察的内容，而不是仅局限与财务报表相关联的内部控制内容，将两种审计进行整合以后，容易使注册会计师更侧重于两种审计的共同处而忽视内部控制审计本身的内容，内部控制审计是一项独立完整的审计，而不是辅助另一项审计高效率低风险完成的工具；第三，在实际进行整合审计时，依据企业行业、规模、所处环境的不同，两种审计中的交叉项也会发生变化，并不如流程中所显示的步骤清晰、界限分明。整合审计的实施过程中充满灵活性，每一步骤结束后审计过程的继续推进均需要大量的职业判断，这将是注册会计师的知识结构与执业能力所面临的巨大考验。三、中国海洋石油总公司内控审计编者按：对风险进行管理成为企业高度重视的事情，内部审计作为公司治理重要的监督资源，正在成为企业内控管理的检查者、风险文化的传播者、规范操作的促进者、深入整改的督导者和持续发展的保驾者。今天为您分享中国海油内部审计为优化内部控制体系、推进内控检查测评以及实现中国海油“二次跨越”做出的贡献。（一）、中国海油内部审计总体状况中国海洋石油总公司审计监察部具有内部审计、纪检、监察、风险管理、派出监事会五项职能。内部审计工作按照“统筹协调、分级负责”的管理体制，实行“上下联动、有效统一”的运行机制。在机构编制上，全系统二级以上主要单位设有19个内部审计机构。总公司审计监察部内设2个审计业务管理处，附设1个审计中心，中心设有6个处。全系统审计人员编制160人。在组织运行上，总公司审计监察部统筹全系统审计工作，2个业务管理处主要负责全系统审计组织协调、质量控制、制度建设等工作。审计中心具体负责总公司权限内的审计项目的实施。各二级单位内部审计机构负责本单位投资权限内的投资项目和所属公司审计。（二）、以内控制度体系化建设为抓手，推动全面风险管理工作2007年以来，中国海油成立了总公司领导为组长的“内控优化及推进全面风险管理项目组”，审计监察部下设风险管理办公室，专职负责内控制度建设、流程管理和专业化风险管理工作，将内控及风险管理职能固化下来，内控制度体系化建设逐步推进，内控检查评价分级展开，风险管理理念全面推开，取得了良好的效果。搭建了全面覆盖、重点突出的风险管理框架中国海油本着“统筹规划、整体设计、简洁适用、运行有效”的原则，构建了全面风险管理框架，该框架以战略、运营、报告、合规为目标，参考国内外法律法规，制定了风险管理计划、风险识别、风险评估、风险应对策略及执行、检查与评价、持续改进流程，将效益、效率与风险平衡的风险管理理念贯穿于公司内控制度建设，建立检查评价机制并与绩效挂钩，形成风险防控的“闭环”管理。以各业务单元、风险管理机构、内部监督机构为责任主体，以风险管理信息系统为工具，建设以风险为导向的内部控制体系，将风险管理流程融人内控制度体系，实现全员参与、全过程控制、全方位监督。(1)明确了风险协向、有机融入日常经营管理的内控理念在内控制度编修过程中组织各部门充分沟通，准确识别主要风险点，系统审视内部控制，补充、修订各项措施，即在制度文件中设置专门章节，分析相关业务可能涉及到的风险，以及风险发生可能带来的影响，在制订管理措施时，针对分析的风险，明确应采取的应对措施。将风险识别、评估和应对纳人内控制度的做法，编写制度文件的过程即为风险识别、评估和思考应对的过程。通过将风险管理理念、既往管理经验、最新企业实践融人新版内控制度体系，解决了风险管理与现有管控体系“两张皮”的问题。新版体系发布后，原有规章制度全部废止，为今后持续更新奠定了坚实的基础。(2)确立注重平衡、兼顾风险控制与效益效率的内控原则在内控制度体系化建设过程中一方面融人风险管理理念，加强对关键风险点的管控，另一方面优化流程、合理减少冗余控制环节，降低管理成本，从而实现风险控制与效益、效率的最佳平衡。(3)形成顶层设计、上下一致、各有特色的内控模式在系统分析公司业务特点后，将内控制度体系框架设计为:横向划分成14个子体系，覆盖所有业务领域的各个环节，纵向划分为基本制度、管理办法和操作细则三个层级,覆盖所有业务流程和关键控制点，落实所有关键控制点的责任岗位。各所属单位按照总公司的统一部署，建立了本单位的内控制度体系，既在体系建设总体要求上与总公司保持一致，又体现各自业务特色。如公司下属子公司中海油田服务股份有限公司建立了包括市场管理、装备管理、债务管理、投资者及公共关系管理等在内的13个体系;下属子公司财务公司根据自身作为存款类金融企业的特点，在总公司设计的基础业务体系上增加了结算管理、信贷管理、投资管理、外汇管理等4个子体系，形成满足公司经营管理需要的9个体系。中国海油的内控制度体系设计借鉴了国际内部控制与风险管理理念、满足《中央企业全面风险管理指引》、《企业内部控制基本规范))及其配套指引的要求。特别是14个内控制度体系在框架设计上充分考虑18项《企业内部控制应用指引》，使风险管理理念、内部控制要求得以落地，同时全面覆盖各项业务，集成公司经营管理理念与实践，切合公司实际，可操作性强。(4)坚持整体设计、整体流理、整版发布、整版更新的内控做法制度建设打破部门界限，由总公司审计监察部按体系建设的要求统一组织梳理，改变各部门各自出台制度的“政出多门”的管理习惯。从内控整体角度，系统梳理、分析、整合原有各项管理制度，对制度文件统一设计、统一编号、统一发文，规范同类同质业务流程，避免了产生涉及同类业务的相关规定存在衔接不畅、有歧义等问题。整体梳理、整版发布、整版更新的做法，便于制度复制，有利于制度执行、检查、修订的持续性。(5)采用区别对待、符合公司治理要求的内控手段根据公司当前股权多元化的管理现状，在内控制度体系中，设计了针对不同股权性质的单位，在制度管理上要求有所不同，既体现了大股东的管理意图，也符合公司治理规范。如全资、控股子公司、分公司，须将总公司的制度转化为本公司的制度，其制度呈报该公司的童事会批准之前，应先履行总公司内部的批准或核准程序，再报本公司董事会或董事会授权批准，其制度不应与总公司的相关文件相抵触。总公司的项目组等非法人单位，则须统一执行总公司的制度，或报总公司批准。(6)建立专职管理、克服“短板”效应的内控职能总公司审计监察部下设风险管理办公室作为内控制度的专职管理机构，负责统一设计制度框架，组织起草、发布、贯彻、检查、修订内控制度。专职管理加快了推进内控制度体系化的步伐，避免了业务部门独立制定制度、独立解释制度的“球员兼任裁判”现象，同时便于推行风险管理理念、复制经验，克服“短板”效应。(7)构建信息支持、固化流程的内控平台公司开发了风险管理信息系统，与其他业务信息