企业内部控制审计指引讲解(精)

《企业内部控制审计指引》讲解张龙平•中南财经政法大学会计学院教授.博导•中国CPA审计准则委员会委员•中国财政部会计准则委员会咨询专家•中国企业内部控制标准委员会咨询专家•中国国家审计准则技术咨询专家组专家成员•ZLPCALY8@gmail.com引言：一、为什么要如此重视内部控制？（一）国家整体管制角度（2001年大陆财政部发布《内部会计控制规范》）（二）单个企业发展角度企业（公司）质量与效益的重要性（二）社会公众需求角度关注财务报表→同时关注相关内部控制二、什么是企业内部控制？（一）内部控制的概念内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。（全面内部控制理念）（二）内部控制的5目标合理保证经营合规、资产安全、财务报告及相关信息真实完整、经营有效性，促进企业实现发展战略。美国内控目标如下:美国和国际上通常认为内部控制应实现以下3大目标：即合理保证实现：（1）财务报告（financialreporting）的可靠性；（2）经营（operation）的效率和效果；（3）对法律法规的遵守（compliance）。注：资产安全目标哪去了？（三）内部控制的5要素1、内部环境（控制环境）2、风险评估3、信息与沟通4、控制活动5、内部监督(对控制的监督)（四）内部控制的固有局限性内部控制存在下列固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证：1、在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效；2、可能由于两个或更多人员进行串通或管理层凌驾于内部控制之上而被规避。三、内部控制标准体系1、企业内部控制基本规范2、企业内部控制应用指引3、企业内部控制评价指引4、企业内部控制审计指引注：2006年6个部委组建大陆企业内部控制标准委员会，迄今工作成果如下：A,1、已发布自2009-7-1起上市公司执行（5部位联合发布）。B,234于2010-4-26发布，2011-1-1起境内外上市公司执行，2012-1-1起主板执行，在此基础上，择机在中小板和创业板上市公司施行。同时，鼓励非上市大中型企业提前执行。1、企业内部控制基本规范—1个1)五个目标：合规性、可靠性、安全性、经济性，战略性（美国COSO是：3个目标，无安全性和战略性）2)五个原则：全面性、重要性、制衡性、适应性、成本效益3)五个要素：内部环境、风险评估、信息与沟通、控制活动、内部监督2、大陆企业内部控制应用指引—21个•总体情况：21个应用指引（此次发布18个，涉及银行、证券和保险等业务的3个指引暂未发布）•18个应用指引的分类：（1）内部环境类指引-5个(侧重企业层面控制）（2）控制活动类指引-9个(侧重业务层面控制）（3）控制手段类指引-4个(侧重企业层面控制）注：基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。•18个应用指引的内容：（1）内部环境类指引—5个(侧重企业层面控制）组织框架（含治理结构、机构设置、职责分配及不相容职务分离）、发展战略、人力资源、企业文化、社会责任（含安全生产，产品质量，环境保护与资源节约等）（注：企业自我评价时要以内部环境为基础）（2）控制活动类指引——9个(侧重业务层面控制）资金活动、资产管理、采购业务、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告（注：企业自我评价时要以控制活动为重点）（3）控制手段类指引——4个(侧重企业层面控制）全面预算、合同管理、内部信息传递、信息系统（注：企业自我评价时应当兼顾控制手段）•注：财政部等还将出台具体的操作手册或讲解材料•《企业内部控制应用指引》框架第一章：总则(含本指引制定目的１，控制对象（定义）２，相关风险３，关键控制点４）第二至N章：具体规定关键控制点５(不相容岗位分离６)（总要求是：职责分工与授权控制，全面实现控制目标）２、第一关键控制点３、第二关键控制点．．．．．N、评估与披露（第Ｎ-1个关键控制点）3、企业内部控制评价指引—1个（1）管理层要提交内部控制评价报告（年度评价和专项评价）（2）评价工作的组织与实施1）谁负责：企业主要负责人2）谁实施：董事会（或类似决策机构）或其授权机构（可借助CPA或外部专家）3）遵循原则：全面性、重要性和独立性等原则4）评价工作程序（即评价方案的设计及实施）5）评价方法6）工作底稿编制与复核（3）年度评价和报告的内容1）评价：对整个年度、所有内部控制在某一基准日的有效性评价后，发表一个意见。2）报告：只需且只能报告内控设计或执行存在的重大缺陷注1：内部控制缺陷认定有三种：①重大缺陷;②重要缺陷;③一般缺陷。注2：2010年上市公司内部控制自我评价报告存在的问题：只报告与财务报告密切相关的内部控制设计和运行情况。这样做对吗？（4）内部控制评价报告1）组织实施内部控制评价的总体情况。2）内部控制责任主体的声明。3）内部控制评价的范围和内容。4）内部控制评价的标准和依据。5）内部控制评价的程序和方法。6）内部控制重大缺陷及其认定情况。7）内部控制重大缺陷的整改措施及责任追究情况。8）内部控制有效性的结论（基准日）。敬请注意：存在一个或多个内部控制重大缺陷的，应当作出内部控制无效的结论。正题：企业内部控制审计指引讲解开场白：1、CPA和企业的责任都在不断地加大；2、内控审计结果将成为考核企业的重要指标；3、与财务报表审计有较大的不同。•建议:CPA和企业（公司）领导层都要高度重视内部控制问题背景回顾：美国内部控制审计的发展历程2002年，《萨班斯——奥克斯利法案》2004年3月，PCAOB，ASNO22007年6月，PCAOB，ASNO5——AnauditofInternalControlOverFinancialReportingThatisIntegratedwithAnauditofFinancialStatements•CPA与内控关系发展史：→财务报表审计中不关注内控→财务报表审计中关注与审计相关的内控（新旧国际准则要求不同）→单独审核（EXAMINATION）财务报告内部控制→单独审计财报内控（AUDIT）（跨入双重审计新时代），•要求公司管理层先得编制内部控制自评报告，后CPA再审计一、《指引》（7章35条）的结构1章、总则2章、计划审计工作3章、实施审计工作4章、评价控制缺陷5章、完成审计工作6章、出具审计报告7章、记录审计工作附录：4个内部控制审计报告的参考格式二、各章内容讲解第一章“总则”讲解（5条）1、制定的目的和依据第一条为了规范注册会计师执行企业内部控制审计业务，明确工作要求，保证执业质量，根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则，制定本指引。2、内部控制审计的定义和责任划分第二条本指引所称内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。第三条建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。（注意：CPA审计不能减轻管理层责任）3、总体审计要求第四条注册会计师执行内部控制审计工作，应当获取充分、适当的证据，为发表内部控制审计意见提供合理保证。——证据注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。——报告4、内部控制审计与财务报表审计的关系第五条注册会计师可以单独进行内部控制审计，也可以将内部控制审计与财务报表审计整合进行（以下简称整合审计）。在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：（一）获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见；（二）获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。（思考问题：两种审计是同一家事务所做，还是不同事务所做？）补充讲：两种审计中控制测试和实质性程序之间的关系1、内部控制审计中对控制有效性的测试1）注册会计师应当获取内部控制在一段足够长的期间内有效运行的证据，测试的期间可能短于财务报表涵盖的整个期间（通常一年）。（测试时间）2）注册会计师应当测试所有相关认定的控制，以获取其设计和运行有效性的证据。（测试范围）如果仅对财务报表发表审计意见，注册会计师可能不需要测试这些控制。3）在内控审计中，注册会计师在对内控有效性形成结论时，应当同时考虑财务报表审计中实施的、所有针对控制设计和运行有效性测试的结果。（相互利用）2、财务报表审计中对控制有效性的测试1）如果将某项财务报表认定的控制风险评估为低于最高水平，注册会计师需要获取拟信赖的相关控制在整个期间有效运行的证据。（测试时间）2）注册会计师不必将所有相关认定的控制风险评估为低于最高水平，因此，可能不对所有控制的运行有效性进行测试。（测试范围）3）在财务报表审计中，注册会计师在评估控制风险时，应当同时考虑内控审计中实施的、所有针对控制设计和运行有效性测试的结果。（相互利用）3、控制有效性的测试对实质性程序的影响1）如果在内部控制审计中识别出某项控制缺陷，注册会计师应当评价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时间和范围的影响。2）在财务报表审计中，无论控制风险或重大错报风险的评估水平如何，注册会计师都应当针对所有重大的各类交易、账户余额及列报实施实质性程序。为对内部控制的有效性发表意见而实施的测试程序并不减轻注册会计师遵守上述规定的责任。4、实质性程序对控制有效性结论的影响1）在内部控制审计中，注册会计师应当评价财务报表审计中实施的实质性程序的结果对控制有效性结论的影响。评价内容应当包括：（1）注册会计师作出的、与选择和实施实质性程序相关的风险评估，尤其是与舞弊相关的风险评估；（2）发现的违反法规行为和关联方交易方面的问题；（3）表明管理层在选择会计政策和作出会计估计时存在偏见的情况；（4）实施实质性程序发现的错报。2）注册会计师应当通过直接测试控制获取控制是否有效的证据，而不能根据实质性程序没有发现错报，推断该项控制的有效性。第二章“计划审计工作”讲解（4条）1、总体要求第六条注册会计师应当恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。2、考虑因素第七条在计划审计工作时，注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响：（一）与企业相关的风险；（二）相关法律法规和行业概况；（三）企业组织结构、经营特点和资本结构等相关重要事项；（四）企业内部控制最近发生变化的程度；（五）与企业沟通过的内部控制缺陷；（六）重要性、风险等与确定内控重大缺陷相关的因素；（七）对内部控制有效性的初步判断；（八）可获取的、与内控有效性相关的证据的类型和范围。3、风险导向第八条注册会计师应当以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多。4、利用其他相关人员的工作第九条注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能本应由注册会计师执行的工作。——需要判断1）注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作，应当对其专业胜任能力和客观性进行充分评价。2）与某项控制相关的风险越高，可利用程度就越低，注册会计师应当更多地对该项控制亲自进行测试。3）注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。——责任（另外计划时还要考虑：调整审计工作，应对舞弊风险，确定重要性水平，对企业使用服务机构的考虑等问题）第三章“实施审计工作”讲解（20条）1、运用自上而下方法，选择拟测试的控制第十条注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计