企业内部控制审计指引课件.ppt

《企业内部控制审计指引课件.ppt》由会员分享，可在线阅读，更多相关《企业内部控制审计指引课件.ppt（117页珍藏版）》请在三一办公上搜索。

1、,主要内容,第一部分 内部控制审计的制度背景第二部分 企业内部控制审计指引 PCAOB Auditing Standard NO.5,主要内容第一部分 内部控制审计的制度背景,寻找答案,企业内部控制审计，注册会计师需要审计所有的企业内部控制？与企业内部控制评价一样？企业内部控制审计时制定的重要性与财务报表审计制定的重要性是否一致？大于还是小于？整合审计？TopDown Approach？发现财务报告内部控制存在控制缺陷，但同时审计范围受到限制时，注册会计师应发表何种审计意见？,寻找答案企业内部控制审计，注册会计师需要审计所有的企业内部控,内部控制审计的制度背景,为整顿上市公司秩序、维护投资者信

2、心，民主党参议员萨班斯（Sar-banes）和共和党众议员奥克斯利（Oxley）联合提出了Sarbanes-Oxley Act，于2002年7月美国总统布什签署获得通过.,随着美国安然公司、环球电信公司会计造假丑闻的披露，暴露出美国现行公司体制中存在着弊端。,内部控制审计的制度背景为整顿上市公司秩序、维护投资者信心，民,Section 404,MANAGEMENT ASSESSMENT OF INTERNAL CONTROLS.RULES REQUIRED.The Commission shall prescribe rules requiring each annual report req

3、uired by section 13(a)or 15(d)of the Securities Exchange Act of 1934(15 U.S.C.78m or 78o(d)to contain an internal control report,which shall(1)state the responsibility of management for establishing and maintaining an adequate internal control structure and procedures for financial reporting;and,Sec

4、tion 404 MANAGEMENT ASSESSM,Section 404,(2)contain an assessment,as of the end of the most recent fiscal year of the issuer,of the effectiveness of the internal control structure and procedures of the issuer for financial reporting.,Section 404(2)contain an ass,Section 404,(b)INTERNAL CONTROL EVALUA

5、TION AND REPORTING.With respect to the internal control assessment required by subsection(a),each registered public accounting firm that prepares or issues the audit report for the issuer shall attest to,and report on,the assessment made by the management of the issuer.An attestation made under this

6、 subsection shall be made in accordance with standards for attestation engagements issued or adopted by the Board.Any such attestation shall not be the subject of a separate engagement.,Section 404(b)INTERNAL CONTR,第404条款,第404条款:管理层对内部控制的评估（a)证券交易委员会 应要求所有依照1934年证券交易法案第13（a)或第15（d）条款编制的年度报告都包含一份内部控制

7、报告，该报告应：（1）表明公司管理层建立和维护一套充分的财务内部控制系统及相关控制程序充分有效的责任。（2）包含管理层最近一个财务年度年末对财务报告内部控制系统及程序有效性的评估结果。（b)内部控制评估与报告。对公司财务报告进行审核的注册公共会计公司对公司管理层提供的内部控制评价进行签证，并出具鉴证报告。鉴证应当遵守监管委员会颁布或认可的准则。这种鉴证不应成为一项单独的业务。,第404条款第404条款:管理层对内部控制的评估,审计准则指南,2004年3月 PCAOB Auditing Standard No.2 2007年6月 PCAOB Auditing Standard No.5,审计准则

8、指南 2004年3月 PCAOB Auditing,我国原有内部控制鉴证规范,2001年中注协发布 内部控制审核指导意见最大特点是年报审计与内部控制审计独立进行。没有提出自上而下和风险导向的审计思路。,我国原有内部控制鉴证规范2001年中注协发布 内部控制审核,内部控制审计的制度背景,证监会首次公开发行股票并上市管理办法(2006)“财务与会计一节”规定，发行人的内部控制在所有重大方面是有效的，并由注册会计师出具无保留意见的内部控制鉴证报告，是发行条件之一。,内部控制审计的制度背景证监会首次公开发行股票并上市管理办法,内部控制审计的制度背景,公开发行证券的公司信息披露内容与格式准则第1号招股说

9、明书（2006）发行人应该披露公司管理层对内部控制完整性、合理性及有效性的自我评估意见以及注册会计师对内部控制的鉴证意见。注册会计师指出公司内部控制存在缺陷的，应予以披露并说明改进措施。,内部控制审计的制度背景公开发行证券的公司信息披露内容与格式,内部控制审计的制度背景,企业内部控制基本规范（2008）执行本规范的上市公司，应当对本公司的内部控制的有效性进行自我评价，披露年度自我评估报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。,内部控制审计的制度背景企业内部控制基本规范（2008）,内部控制审计的制度背景,财政部发布企业内部控制配套指引（2010）,2011-

10、1-1，在境内外同时上市的公司，60多家,2012-1-1，沪深主板，1000多家,择机，中小板和创业板,鼓励，非上市大中型企业,内部控制审计的制度背景财政部发布企业内部控制配套指引（20,内部控制审计的制度背景,执行企业内部控制规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷，应当提示投资者、债权人和其他利益相关者关注。,内部控制审计的制度背景执行企业内部控制规范体系的企业，必须对,企业内部控制审计

11、指引主要内容,内部控制审计指引框架 审计目标 有效性 财务报告内部控制 整合审计 内部控制审计与财务报表审计 内部控制审计与内部控制评价 内部控制审计的过程 内部控制审计报告,企业内部控制审计指引主要内容 内部控制审计指引框架,企业内部控制审计指引结构,总则（5条）计划审计工作（4条）实施审计工作（10条）评价控制缺陷（3条）完成审计工作（4条）出具审计报告（4条）记录审计工作（2）,企业内部控制审计指引结构总则（5条）,审计目标,第二条 本指引所称内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。注册会计师基于基准日（如年末12月31日）内部控制的有效性

12、发表意见，而不是对财务报表涵盖的整个期间（如一年）的内部控制的有效性发表意见。但这并不意味着注册会计师只关注企业基准日当天的内部控制，而是要考察企业一个时期内（足够长的一段时间）内部控制的设计和运行情况.基准日不是一个简单的时点概念，而是体现内部控制这个过程向前的延续性。,审计目标第二条 本指引所称内部控制审计，是指会计师事务所接受,审计目标,第四条 注册会计师执行内部控制审计工作，应当获取充分、适当的证据，为发表内部控制审计意见提供合理保证。注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内

13、部控制重大缺陷描述段”予以披露。,审计目标第四条 注册会计师执行内部控制审计工作，应当获取充分,审计目标,对特定时点企业财务报告内部控制的有效性发表审计意见，包括：设计有效性（合理性）运行的有效性对财务报告内部控制与非财务报告内部控制财务报告内部控制：主动识别非财务报告内部控制：被动关注,审计目标对特定时点企业财务报告内部控制的有效性发表审计意见，,敬德敬业至诚至真,有效性,第十四条 注册会计师应当测试内部控制设计与运行的有效性。如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行，能够实现控制目标，表明该项控制的设计是有效的。如果某项控制正在按照设计运行,执行人员拥有必要授

14、权和专业胜任能力，能够实现控制目标，表明该项控制的运行是有效的。,敬德敬业至诚至真有效性第十四条 注册会计师应当测试内部控制,财务报告内部控制,PCAOB No.5 Separate or Combined Reports Definition paragraph A companys internal control over financial reporting is a process designed to provide reasonable assurance regarding the reliability of financial reporting and the pre

15、paration of financial statements for external purposes in accordance with generally accepted accounting principles.,财务报告内部控制 PCAOB No.5,Internal Control Over Financial Reporting,A companys internal control over financial reporting includes those policies and procedures that(1)pertain to the maintena

16、nce of records that,in reasonable detail,accurately and fairly reflect the transactions and dispositions of the assets of the company;(2)provide reasonable assurance that transactions are recorded as necessary to permit preparation of financial statements in accordance with generally accepted accoun

17、ting principles,and that receipts and expenditures of the company are being made only in accordance with authorizations of management and directors of the company;and(3)provide reasonable assurance regarding prevention or timely detection of unauthorized acquisition,use,or disposition of the company

18、s assets that could have a material effect on the financial statements.,Internal Control Over Financial Reporting,Internal Control Over Financia,Internal Control Over Financial Reporting,财务报告内部控制包括下列方面的政策和程序：（1）保存充分、适当的记录，准确、公允地反映企业的交易和事项；（2）合理保证按照企业会计准则的规定编制财务报表；合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权；（3）合

19、理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项。,财务报告内部控制,Internal Control Over Financia,敬德敬业至诚至真,有效的财务报告内部控制,Effective internal control over financial reporting provides reasonable assurance regarding the reliability of financial reporting and the preparation of financial statements for external purposes.,敬德敬业

20、至诚至真有效的财务报告内部控制 Effective,非财务报告内部控制,非财务报告内部控制，是指除财务报告内部控制之外的其他控制，通常是指为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制，以及用于保护资产安全的内部控制中与财务报告可靠性目标无关的控制。,非财务报告内部控制 非财务报告内部控制，是指除财务报告内部控,敬德敬业至诚至真,非财务报告内部控制,非财务报告内部控制举例企业应当建立科学的供应商评估和准入制度 大宗商品采用招标方式，一般物资采用询价，小额零星采用直接购买 企业应当严格执行固定资产的日常维修和大修理计划，定期对固定资产进行维护保养 企业应当强化对生产线等

21、关键设备运转的监控，严格操作流程，实行岗前培训和岗位许可制度，确保设备安全运转,敬德敬业至诚至真非财务报告内部控制 非财务报告内部控制举例,内部控制审计和财务报表审计,第五条 注册会计师可以单独进行内部控制审计，也可将内部控制审计与财务报表审计整合进行（以下简称整合审计）。在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：（一）获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见。（二）获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。,内部控制审计和财务报表审计 第五条 注册会计师可以单独进行内,敬德敬业至诚至真,内部控制

22、审计和财务报表审计的关系,PCAOB NO.5 Integrating the AuditsThe audit of internal control over financial reporting should be integrated with the audit of the financial statements.The objectives of the audits are not identical,however,and the auditor must plan and perform the work to achieve the objectives of both

23、 audits.,敬德敬业至诚至真内部控制审计和财务报表审计的关系PCAOB,内部控制审计和财务报表审计的关系,如果内部控制审计中识别出某项控制缺陷，注册会计师应当评价该缺陷对财务报表审计中拟实施的实质性程序的性质、时间和范围的影响在财务报表审计中，注册会计师在评估控制风险时，应当同时考虑内部控制审计中实施的、所有针对控制设计和运行有效性的测试结果在财务报表审计中，无论控制风险或重大错报的风险的评估水平如何，注册会计师都应当针对所有重大的各类交易、账户余额及列报实施实质性程序。为对内部控制的有效性发表意见而实施的测试程序并不能减轻注册会计师遵守上市规定的责任,内部控制审计和财务报表审计的关系如

24、果内部控制审计中识别出某项,敬德敬业至诚至真,内部控制审计和财务报表审计的关系,在内部控制审计中，注册会计师应当评价财务报表审计中实施的实质性程序的结果对控制有效性结论的影响。注册会计师应当通过直接测试控制而获取控制是否有效的证据，而不能根据实质性程序没有发现错报，推断该项控制的有效性。,敬德敬业至诚至真内部控制审计和财务报表审计的关系在内部控制审,整合审计,定位于整合审计，主要考虑审计效率审计成本对客户的负担,整合审计定位于整合审计，主要考虑,时期/时点,考虑到期中企业改进内部控制的可能可选择在期中预审时进行，给企业留出几个月整改的时间注册会计师应当获取内部控制在一段足够长的时间内有效运行的

25、证据。第十七条 注册会计师在确定测试的时间安排时，应当在下列两个因素之间作出平衡，以获取充分、适当的证据：（一）尽量在接近企业内部控制自我评价基准日实施测试。（二）实施的测试需要涵盖足够长的期间。,时期/时点考虑到期中企业改进内部控制的可能,期中测试后应考虑的因素,在将期中测试的结果更新至年末时，注册会计师需要考虑下列因素，以确定需获取的补充证据：（1）期中测试的特定控制的有关情况，包括与控制相关的风险、控制的性质和测试的结果；（2）期中获取的有关证据的充分性、适当性；（3）剩余期间的长短；（4）期中测试之后，内部控制发生重大变化的可能性及其变化情况。,期中测试后应考虑的因素在将期中测试的结果

26、更新至年末时，注册会,敬德敬业至诚至真,内部控制审计与内部控制评价,内部控制审计指引 第四条 注册会计师应当对财务报告内部控制的有效性发表审计意见，内部控制评价指引 第二条 本指引所称内部控制评价，是指企业董事会或类似权力 机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。,敬德敬业至诚至真内部控制审计与内部控制评价内部控制审计指引,敬德敬业至诚至真,内部控制审计与内部控制评价,评价指引 第二十五条 企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送。内部控制审计不能减轻企业管理层的责任。注册会计师在内部控制审计或财务报表审计中实施的审计程序并不是企业内部控制评价

27、的组成部分。,敬德敬业至诚至真内部控制审计与内部控制评价评价指引 第二十五,敬德敬业至诚至真,内部控制审计与内部控制评价,Use the same control framework The auditor should use the same suitable,recognized control framework to perform his or her audit of internal control over financial reporting as management uses for its annual evaluation of the effectiveness

28、 of the companys internal control over financial reporting,敬德敬业至诚至真内部控制审计与内部控制评价 Use the,敬德敬业至诚至真,内部控制审计过程,Planning the Audit 计划审计工作Using a Top-Down Approach 运用自上而下方法Testing Controls 测试控制Evaluating Identified Deficiencies评价缺陷Wrapping Up 完成审计工作Reporting on Internal Control 出具报告,敬德敬业至诚至真内部控制审计过程Planni

29、ng the A,敬德敬业至诚至真,审计计划,Evaluate important matters 评价的重要事项Role of Risk Assessment风险评估Scaling the audit 审计分类Addressing the Risk of Fraud 舞弊风险应对Using the work of others利用他人工作Materiality重要性,敬德敬业至诚至真审计计划Evaluate important,考虑的重要事项,第七条 在计划审计工作时，注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响：（一）与企业相关的风险（二）相关法律法规和行业概况（三）企

30、业组织结构、经营特点和资本结构等相关重要事项（四）企业内部控制最近发生变化的程度（五）与企业沟通过的内部控制缺陷（六）重要性、风险等与确定内部控制重大缺陷相关的因素（七）对内部控制有效性的初步判断（八）可获取的、与内部控制有效性相关证据的类型和范围,考虑的重要事项 第七条 在计划审计工作时，注册会计师应当评,Knowledge of the companys internal control over financial reporting obtained during other engagements performed by the auditor;Control deficienci

31、es previously communicated to the audit committee or management;Legal or regulatory matters of which the company is aware;Public information about the company relevant to the evaluation of the likelihood of material financial statement misstatements and the effectiveness of the companys internal con

32、trol over financial reporting;The relative complexity of the companys operations.,考虑的重要事项,Knowledge of the companys i,风险评估,第八条 注册会计师应当以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多。On the other hand,it is not necessary to test controls that,even if deficient,would not present a rea

33、sonable possibility of material misstatement to the financial statements.,风险评估 第八条 注册会计师应当以风险评估为基础，选择拟测,敬德敬业至诚至真,审计分类,The size and complexity of the company,its business processes,and business units,may affect the way in which the company achieves many of its control objectives.The size and complexi

34、ty of the company also might affect the risks of misstatement and the controls necessary to address those risks.Scaling is most effective as a natural extension of the risk-based approach and applicable to the audits of all companies.,敬德敬业至诚至真审计分类 The size and comp,敬德敬业至诚至真,审计分类,当一家企业有多个经营场所或业务单元时，注

35、册会计师应当基于合并财务报表识别重要账户、列报及其相关认定。如果某些经营场所或业务单元单独或连同其他经营场所或业务单元不具有合理可能性导致合并财务报表出现重大错报，注册会计师无需进一步考虑这些经营场所或业务单元。在连续审计中，注册会计师应当改变对经营场所或业务单元的控制实施测试的形式、时间和范围。,敬德敬业至诚至真审计分类当一家企业有多个经营场所或业务单元时,敬德敬业至诚至真,舞弊风险的考虑,the auditor should evaluate whether the companys controls sufficiently address identified risks of mat

36、erial misstatement due to fraud and controls intended to address the risk of management override of other controls.Controls that might address these risks include-Controls over significant,unusual transactions,particularly those that result in late or unusual journal entries;,敬德敬业至诚至真舞弊风险的考虑 the aud

37、itor sh,敬德敬业至诚至真,舞弊风险的考虑,Controls over journal entries and adjustments made in the period-end financial reporting process;Controls over related party transactions;Controls related to significant management estimates;andControls that mitigate incentives for,and pressures on,management to falsify or i

38、nappropriately manage financial results.,敬德敬业至诚至真舞弊风险的考虑Controls over j,敬德敬业至诚至真,利用他人的工作,第九条 注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能本应由注册会计师执行的工作。注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作，应当对其专业胜任能力和客观性进行充分评价。与某项控制相关的风险越高，可利用程度就越低，注册会计师应当更多地对该项控制亲自进行测试。注册会计师应当对发表的审计意见独立承担责

39、任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。,敬德敬业至诚至真利用他人的工作 第九条 注册会计师应当对企业,敬德敬业至诚至真,重要性,Materiality20.In planning the audit of internal control over financial reporting,the auditor should use the same materiality considerations he or she would use in planning the audit of the companys annual financial

40、 statements.,敬德敬业至诚至真重要性Materiality,敬德敬业至诚至真,运用自上而下方法,第十条 注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。,敬德敬业至诚至真运用自上而下方法 第十条 注册会计师应当按,敬德敬业至诚至真,运用自上而下方法,自上而下方法 自上而下方法的思路 为什么自上而下 企业层面 识别重要账户、列报及相关认定 了解错报的可能来源 穿行测试 选择拟测试的控制,敬德敬业至诚至真运用自上而下方法 自上而下方法,敬德敬业至诚至真,A top-down approach,A top-down approa

41、ch begins at the financial statement level and with the auditors understanding of the overall risks to internal control over financial reporting.The auditor then focuses on entity-level controls and works down to significant accounts and disclosures and their relevant assertions.,敬德敬业至诚至真A top-down

42、approach A,敬德敬业至诚至真,“自上而下”方法的思路,自上而下的方法按照下列思路展开：1从财务报表层次初步了解内部控制整体风险；2识别企业层面控制；3识别重要账户、列报及其相关认定；4了解错报的可能来源；5选择拟测试的控制。,敬德敬业至诚至真“自上而下”方法的思路自上而下的方法按照下列,敬德敬业至诚至真,A top-down approach,he top-down approach describes the auditors sequential thought process in identifying risks and the controls to test,not n

43、ecessarily the order in which the auditor will perform the auditing procedures.,敬德敬业至诚至真A top-down approachhe,敬德敬业至诚至真,为什么“自上而下”,提高设计效率和效果充分利用企业层面控制的作用，确定合理的测试范围防止注册会计师花费不必要的时间和精力了解不重要的业务流程和控制。所谓不重要是指不影响财务报表是否发生重大错报的可能性。将审计资源引向高风险领域，合理分配审计资源,敬德敬业至诚至真为什么“自上而下”提高设计效率和效果,敬德敬业至诚至真,企业层面控制,第十一条 注册会计师测试企业层

44、面控制，应当把握重要性原则，至少应当关注：（一）与内部环境相关的控制。（二）针对董事会、经理层凌驾于控制之上的风险而设计的控制。（三）企业的风险评估过程。（四）对内部信息传递和财务报告流程的控制。（五）对控制有效性的内部监督和自我评价。,敬德敬业至诚至真企业层面控制第十一条 注册会计师测试企业层,敬德敬业至诚至真,Entitylevel controls,Entity-level controls include Centralized processing and controls,including shared service environments;Controls to monit

45、or results of operations;And Policies that address significant business control and risk management practices.,敬德敬业至诚至真Entitylevel controlsE,敬德敬业至诚至真,A top-down approach,企业层面内部控制审计的内容,敬德敬业至诚至真A top-down approach企业层,敬德敬业至诚至真,业务层面控制,第十二条 注册会计师测试业务层面控制，应当把握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业

46、生产经营活动中的重要业务与事项的控制进行测试。注册会计师应当关注信息系统对内部控制及风险评估的影响。,敬德敬业至诚至真业务层面控制第十二条 注册会计师测试业务层,敬德敬业至诚至真,业务层面控制,销售与收款循环 采购与付款循环 生产与仓储循环 工薪与人士循环 筹资与投资循环 其他循环,敬德敬业至诚至真业务层面控制 销售与收款循环,敬德敬业至诚至真,业务层面控制测试和评价流程,内控基本情况 调查表 访谈记录 绘制业务流程图 业务流程图 识别关键控制点 执行穿行测试 穿行测试表 绘制风险控制矩阵 业务循环风险控制矩阵 执行控制测试 控制测试表 评价测试结果 业务循环内控评价表,敬德敬业至诚至真业务层

47、面控制测试和评价流程 内控基本情况,敬德敬业至诚至真,Identifying Significant Accounts and Disclosures and Their Relevant Assertions,重要账户、列报如果某账户或列报具有合理可能性包含了一个错报，改错报单独或连同其他错报将对财务报表产生重大影响，则该账户或列报为重要账户或列报。判断某账户或列报是否重要，应当依据其固有风险，而不应该考虑相关控制。,敬德敬业至诚至真Identifying Significan,敬德敬业至诚至真,识别重要账户、列报及其相关认定,相关认定如果某财务报表认定具有合理可能性包含了一个或多个错报，这

48、个或这些认定将导致财务报表发生重大错报，则该认定为相关认定。判断某认定是否为相关认定，应当依据其固有风险，而不应该考虑相关控制。Existence or occurrenceCompletenessValuation or allocationRights and obligationsPresentation and disclosure,敬德敬业至诚至真识别重要账户、列报及其相关认定相关认定,敬德敬业至诚至真,识别重要账户、列报及其相关认定,Risk factors relevant to the identification of significant accounts and dis

49、closures and their relevant assertions include Size and composition of the account;Susceptibility to misstatement due to errors or fraud;Volume of activity,complexity,and homogeneity of the individual transactions processed through the account or reflected in the disclosure;Nature of the account or

50、disclosure;Accounting and reporting complexities associated with the account or disclosure;.,敬德敬业至诚至真识别重要账户、列报及其相关认定 Risk f,敬德敬业至诚至真,识别重要账户、列报及其相关认定,Exposure to losses in the account;Possibility of significant contingent liabilities arising from the activities reflected in the account or disclosure;