《内部控制审计》PPT课件.ppt

《《内部控制审计》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《内部控制审计》PPT课件.ppt（104页珍藏版）》请在三一办公上搜索。

1、2012年7月 北京国家会计学院,企业内部控制审计基于审计师与管理层交流的视角,主讲人简介,李杰 管理学博士（金融工程研究方向）信永中和会计师事务所合伙人注册会计师、资产评估师、税务师中国注册会计师行业领军人才天津市注册会计师协会培训委员会委员、期刊编辑委员会委员中国会计学会成本分会理事在核心期刊发表研究论文多篇，出版专著及译著数部,1,2,3,课程目标,缺陷评价与报告,审计计划与实施,审计依据与思路,沟通,企业&CPA了解,目录,内部控制审计的依据,问题：内控审计的依据标准是什么？内部控制审计与企业内部控制建立之间的关系？,2011国内内控审计情况,截至2012年4月30日，共有230家上市

2、公司披露了内部控制审计报告。,全国有38家证劵资格会计师事务所从事了230家上市公司内部控制审计业务。,中国的内控发展：主要规范,企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度,企业梳理治理结构，应当重点关注董事、监事、经理及其他高级管理人员的任职资格和履职情况，以及董事会、监事会和经理层的运行效果,企业梳理内部机构设置，应当重点关注内部机构设置的合理性和运行的高效性等。内部机构设置和运行中存在职能交叉、缺失或运行效率低下的，应当及时解决,企业应当确定具体岗位的名称、职责和工作要求等，明确各个岗位的权限和相互关系,企业拥有子公司

3、的，应当建立科学的投资管控制度重点关注发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设,企业应当定期对组织架构设计与运行的效率和效果进行全面评估,基本规范：处于最高层次，起统驭作用，描绘了企业建立与实施内控体系必须建立的框架结构，规定了内部控制的定义、目标、原则、要素，是制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据应用指引：处于主体地位，为企业建立健全内部控制体系提供的指引评价指引：为企业管理层对本企业内部控制有效性进行自我评价提供的指引审计指引：为注册会计师执行内部控制审计业务提供执业准则,企业内部控制基本规范,企业内

4、部控制应用指引,控制活动类 1 资金活动 2 采购业务 3资产管理 4销售业务 5研究与开发 6工程项目 7担保业务 8业务外包 9财务报告,内部环境类1组织架构2发展战略3人力资源4社会责任5企业文化,控制手段类1全面预算2合同管理3内部信息传递4信息系统,企业内部控制评价指引,企业内部控制审计指引,企业内部控制体系,没有通用的内部控制,内部控制的各个要素在每个企业中的实施方式取决于：企业规模业务复杂性财务信息处理方法适用的法律法规小型企业业务流程总体上相对简单，相应的控制也趋于简单、非正式化文档记录形式可能多种多样，内容不尽相同，包括：政策制度手册、流程模型、流程图、岗位职责描述及其他文件

5、。文档记录没有统一标准，而其详细程度则取决于企业规模、经营性质、及业务复杂性。,被审计单位与审计师的责任划分,内部控制,责任划分：内控责任与审计责任,被审计单位内控责任,CPA内控审计责任,建立健全和有效实施内部控制评价内部控制有效性是企业董事会（或类似决策机构）的责任,按照审计指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见,财务报告内部控制审计并不能减轻企业管理层的责任,适用范围,2010年4月26日，财政部发布企业内部控制审计指引等配套指引，自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行

6、；在此基础上，择机在中小板和创业板上市公司施行；同时，鼓励非上市大中型企业提前执行。执行企业内控规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷，应当提示投资者、债权人和其他利益相关者关注。,内控审计遵循的政策制度,CPA,概念明晰内控审计的业务性质,审计/审阅/审核？内部控制审计是CPA针对被审计单位内部控制实施合理保证（高水平保证）的鉴证业务,直接报告业务/基于认定的业务？内部控制审计 是CPA直

7、接对被审计单位内部控制的有效性发表意见，是直接报告业务。“企业的内部控制是否按照企业内部控制基本规范和相关规定在所有重大方面保持了有效的财务报告内部控制”财报审计 是基于责任方（被审计单位管理层）认定的业务。（是对财务报告发表审计意见）,概念明晰内控审计的业务对象,时点/时期？内部控制审计企业内部控制审计基于特定基准日。注册会计师基于基准日（如年末12月31日）内部控制的有效性发表意见，而不是对财务报表涵盖的整个期间（如一年）的内部控制的有效性发表意见。但这并不意味着注册会计师只关注企业基准日当天的内部控制，而是要考察企业一个时期内（足够长的一段时间）内部控制的设计和运行情况。,实务：业内一般

8、要求内部控制的有效运行期至少为3个月，即：前期或期中测试发现的问题，需在9月底之前整改完毕。注册会计师再对整改后的内部控制进行测试，才能对企业12月31日（基准日）内部控制的设计和运行发表 意见,概念明晰内控审计的业务对象,财务报告内部控制 or 非财务报告内部控制？注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露,概念明晰内控审计的业务对象,财务报告内部控制,政策和程序,（1）保存充分、适当的记录，准确、公允地反映企业的交易和事项；（2）合理保证按照企业会计准

9、则的规定编制财务报表；（3）合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权；（4）合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项,合理保证财务报告及相关信息真实完整保护资产安全的内部控制中与财务报告可靠性目标相关的控制,非财务报告内部控制是指除财务报告内部控制之外的其他控制为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制，以及用于保护资产安全的内部 控制中与财务报告可靠性目标无关的控制,概念明晰内控审计的业务对象（举例）,某大型企业集团2009版内控手册共计1272个控制点，分类如下：,内控审计、财报审计与整合审计,问题：内控审

10、计与大家熟悉的财报审计有什么差别？什么是整合审计？整合审计有什么优点？,整合审计的概念与目标,整合审计注册会计师可以单独进行内部控制审计，也可以将内部控制审计与财务报表审计整合进行（整合审计）,整合基础 内部控制,整合审计的吸引力,提高审计效率,降低成本,使客户尽早获知可能存在的缺陷及早着手进行整改,财报审计利用内控审计的结果修改实质性程序的性质、时间安排和范围支持分析程序中适用的信息的完整性和准确性,内控审计考虑财报审计中发现的问题重点考虑财报审计中发现的错报对内控有效性评价的影响,企业,CPA,财务报表审计与内部控制审计的比较1/3,财务报表审计与内部控制审计的比较2/3,财务报表审计与内

11、部控制审计的比较3/3,财务报表审计与整合审计的关系,重要组成部分的认定相同,财务报表审计计划与整合审计计划的比较,财报审计计划阶段所识别的风险对财报的影响重大账户、重大列报和相关认定重大业务流程业务流程中的内部控制考虑所识别的风险对内部控制的影响识别高风险控制领域确定内控审计的关注领域,总体要求“整合审计”要求注册会计师在实施审计时将对财务报表的审计及对财务报表内部控制的审计结合起来，从整体角度考虑。财务报告内部控制审计和财务报表审计的目标不同，会计师应当计划和执行测试工作，以同时实现二者的目标：支持会计师在与财务报告内部控制相关的审计中对财务报告内部控制的有效性发表的意见；注册会计师在实施

12、报表审计时，是要以对内部控制的风险评估结果作为选择实质性测试方式的依据之一；报表审计的结果又会影响到财务报表内部控制审计的结果。因此注册会计师需要在审计计划、审计方案及审计方法制定及实施各个阶段将两个审计工作紧密结合起来。,整合审计的进一步理解,内部控制审计中对控制有效性的测试应获得充分的证据支持财务报表涵盖期间内部控制有效运行的结论，这说明虽然注册会计师出具的审计报表是关于审计基准日的，但是审计证据应涵盖财务报表期间。在内部控制审计中所需测试的控制，是针对财务报表相关认定所涉及的控制。这一范围与仅对财务报表发表审计意见时，注册会计师需要测试的控制不同。注册会计师在实施财务报表审计时应对某项财

13、务报表认定相关控制的风险程度进行评估，并根据评估结果判断所需测试的控制范围及需得到控制有效运行证据的期间。在实施内部控制审计及财务报表审计过程中，注册会计师在对内部控制有效性形成结论及评估控制风险时，应当同时考虑另一审计工作中实施的、所有针对控制设计和运行有效性测试的结果。,整合审计的进一步理解,财务报表审计中对控制有效性的测试在财务报表审计中，如果将某项财务报表认定的控制风险评估为低于最高水平，注册会计师需要获取拟信赖的相关控制在整个期间有效运行的证据。注册会计师不必将所有相关认定的控制风险评估为低于最高水平，因此，可能不对所有控制的运行有效性进行测试注册会计师可以采取实质性测试的方式。在财

14、务报表审计中，注册会计师在评估控制风险时，应当同时考虑内部控制审计中实施的、所有针对控制设计和运行有效性测试的结果。,整合审计的进一步理解,关于实质性程序的要求在内部控制审计中识别出的控制缺陷，说明其对应的重大交易及账户中存在错报漏报的可能，因此注册会计师应当评价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时间和范围的影响。注册会计师在财务报表审计过程中必须对所有重大的各类交易、账户余额及列报实施实质性程序。指引第二十条列示了四种情况，即注册会计师在财务报表审计实质性程序中根据发现的问题评估对内部控制审计的影响。注册会计师作出的、与选择和实施实质性程序相关的风险评估，尤其是与舞弊相关的风

15、险评估发现的违反法规行为和关联方交易方面的问题；表明管理层在选择会计政策和作出会计估计时存在偏见的情况；实施实质性程序发现的错报。内部控制审计中的控制有效性测试与财务报表审计中的实质性程序不能相互替代。注册会计师应当通过直接测试控制获取控制是否有效的证据，而不能根据实质性程序没有发现错报，推断该项控制的有效性。,整合审计的进一步理解,风险导向审计&自上而下的审计方法,签订审计业务约定书,建立审计项目组,计划审计工作所需评价的事项,针对舞弊风险的评估,设定重要性水平和多组成部分的审计策略,计划审计工作,识别重大账户、列报和相关认定,识别重大业务流程,识别与重大业务流程相关的信息系统,利用他人的工

16、作,审计计划,计划审计工作审计业务约定书,被审计单位应当认可并理解的责任包括：按照适用的内部控制标准，设计、执行和维护有效的内部控制，以使财务报表不存在由于舞弊或错误导致的重大错报。按照适用的内控评价标准，对内控进行评价并编制内控评价报告。向注册会计师提供必要的工作条件，包括允许注册会计师接触与内控的设计、执行和维护相关的所有信息，允许注册会计师在获取审计证据时不受限制的接触其认为必要的人员。CPA与企业做好充分的沟通。,计划审计工作审计项目组构成,注册会计师应当恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。具有性质和复杂程度类似的内部控制审计经验了解企

17、业内部控制相关规范和指引要求了解内控审计指引、指引实施意见和中国注册会计师执业准则的相关要求拥有与企业所处行业相关的知识具有职业判断能力,风险评估,相关的法律法规和行业概况,内部控制最近发生变化的程度与企业沟通过的内控缺陷,确定内部控制重大缺陷相关的因素（重要性水平、风险）,对内部控制有效性的初步判断,可获取的、与内部控制有效性相关的证据的类型和范围,计划审计工作所需评价事项,组织结构、经营特征和资本结构,识别重大账户、重大列报&相关认定识别重大业务流程&相关信息系统,计划审计工作设定重要性水平,重要性水平：可容忍错报（实际执行的重要性）：=集团财务报表整体的重要性50%70%,各个CPAs可

18、能会有所差异,在整合审计中，应使用相同的重要性水平 中国注册会计师审计准则第1221号重要性,识别重大账户定量标准金额超过可容忍误差。定性标准风险和其他因素（金额可能小于可容忍误差）：如果一个重大账户对应了多个单独的业务流程，应考虑根据不同的风险将重大账户进行分解，分别确定个重大账户。,计划审计工作识别重大账户、列报和认定,识别重大账户非重大账户：金额达到或高于可容忍误差，但由于认为该账户只有有限的或没有重大错报风险，可以确定为非重大账户。小额账户判断某账户或列报是否重要，应当依据其固有风险，而不应考虑相关控制的影响。相关认定并非所有认定对重大账户而言都是相关的。无需识别非重大账户和小额账户的

19、相关认定。可选择组合认定,计划审计工作识别重大账户、列报和认定,计划审计工作识别重大账户、列报和认定,如果某账户或列报可能存在一个错报，该错报单独或连同其他错报将导致财务报表发生重大错报，则该账户或列报为重要账户或列报。判断某账户或列报是否重要，应当依据其固有风险，而不应考虑相关控制的影响。如果某财务报表认定可能存在一个或多个错报，这些错报将导致财务报表发生重大错报，则该认定为相关认定。判断某认定是否为相关认定，应当依据其固有风险，而不应考虑相关控制的影响。,财务报告,应收账款,销售流程,采购流程,资金管理,预算管理,应付账款,业务收入,财务错报风险,重要会计科目,资产管理,信息管理,关键业务

20、流程,信息处理目标和财务报表验证目标,会计政策选择不当会计核算方法错误越权操作账实不符虚假合同或订单收入确认不当。,计划审计工作识别重大业务流程,企业的业务流程包括生成、记录、处理和报告。重大业务流程是指对某一重大账户和列报及其相关认定产生重大影响的业务流程。注册会计师需要识别影响每个重大账户和列报的、与认定相关的重大业务流程，以及相关的信息系统。,在评估会计科目的重要性时应考虑下列几个定性要素：（1）账户的规模和构成；（2）易于发生错报的程度；（3）账户或列报中反映的交易的业务量、复杂性及同质性；（4）账户或列报的性质；（5）与账户或列报相关的会计处理及报告的复杂程度；（6）账户发生损失的风

21、险；（7）账户或列报中反映的活动引起重大或有负债的可能性；（8）账户记录中是否涉及关联方交易；（9）账户或列报的特征与前期相比发生的变化。,计划审计工作识别重大业务流程,例如：识别应收账款以及坏账准备账户相关的重大业务流程分析：对企业的了解和以往的经验询问恰当的人员对账务记录的分析结论：此外，信息系统：ERP系统和OA系统在销售流程均有涉及,计划审计工作识别重大业务流程,是否经营场所和单位本身就很重要?*,评估文件记录以及测试在每个经营场所和单位的重要控制,特殊或重要风险?,对于这些单位不需进一步的行动,经营场所和单位自身，或即使与其它单位合并在一起也不重要?,针对必要的个别经营场所或业务单位

22、的控制的测试,对这个合并组织的控制是否有文件记录的公司层面控制?,对此合并组织的公司层面的控制进行文件记录评估和测试*,评估文件记录并且测试对于特殊风险的控制,不是,计划审计工作-多组成部分的审计策略,不是,不是,不是,是,是,是,是,-参考,计划审计工作-多组成部分的审计策略,计划审计工作-利用他人的工作,注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员，内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能本应由注册会计师执行的工作。”相关要求：对其专业胜任能力进行充分评价对其客观性进行充分评价,计划审计工作-利用他人的工作,与控制相关的风险和利用

23、他人工作范围的关系,计划审计工作,与企业召开审计计划会议阅读企业相关财务、内控资料了解企业最新情况借鉴以前年度审计经验,审计计划,获取内部控制审计计划所需信息,内部控制审计的方向？,是从风险到控制？还是从控制到风险？,内控审计方向？,自上而下的方法,在财务报告内控审计中，自上而下的方法始于财务报表层次，以注册会计师对财务报告内部控制整体风险的了解开始。然后，注册会计师将关注重点放在企业层面的控制上，并将工作逐渐下移至重大账户、列报及相关的认定。这种方法引导注册会计师将注意力放在显示有可能导致财务报表及相关列报发生重大错报的账户、列报及认定上。之后，注册会计师验证其了解到的业务流程中存在的风险，

24、并就已评估的每个相关认定的错报风险，选择足以应对这些风险的业务层面控制进行测试。在非财务报告内控审计中，自上而下的方法始于企业层面控制，并将审计测试工作逐步下移到业务层面控制。自上而下的方法描述了注册会计师在识别风险以及拟测试的控制时的连续思维过程，但并不一定是注册会计师执行审计程序的顺序。,从财务报表层次初步了解内控整体风险,评估企业层面控制,识别重要账户、列报及其相关认定,了解错报的可能来源,选择拟测试的控制并测试,自上而下方法 总体思路,自上而下的方法,自上而下的方法,评估企业层面控制,审计师了解的企业层面控制要素,审计师选择测试的企业层面内部控制,内部控制审计中，注册会计师应当测试对评

25、价内部控制有效性有重要影响的企业层面内部控制；对企业层面内部控制的评价，可能增加或减少本应对其他控制进行的测试。注册会计师应考虑在执行业务的早期阶段进行企业层面内部控制的评价工作,企业层面内部控制的不同精准层次,不同精准层次企业层面内部控制（示例）,人力资源部门没有获取有关雇员资格相关的证据,对及时防止或发现错报有重要但间接影响的控制,企业的财务总监定期审阅经营收入的详细月度分析报告,企业设立了银行余额调节表的监督审阅流程，并对下属所有分级机构作出定期检查，精准度足以复核各个下属单位的工作是否恰当,设计在精准层次，本身可以及时地防止或发现错报的控制,监督其他控制有效性的控制,这种情况可能导致注

26、册会计师需要获得更多证据以证明由相关人员执行的其他控制获得了恰当执行，尤其是针对那些由新雇员执行的控制,如控制有效，可能可以使注册会计师修改其原本拟对其他控制所进行的测试程序,可以考虑测试这个企业层面的控制，并且不必对下属每个单位的银行余额调节表相关控制进行测试,CPA了解和测试企业层面内部控制的方法,了解和测试企业层面内部控制的方法包括但不限于：询问观察检查可以通过设计调查问卷协助CPA对企业层面控制的了解仅仅通过询问不能为控制设计和运行的有效性提供充分证据。可能需要将询问和其他测试手段结合使用才能得出企业层面内部控制有效性的结论,实施审计工作步骤,评估企业层面控制,评估业务层面控制,评价控

27、制偏差,特殊事项的考虑,信息系统控制财务报告流程,考虑企业层面控制对重大业务流程的影响实施穿行测试程序，了解重大业务流程识别可能出错项并关联到相关认定识别重大业务流程中的相关控制对控制有效性的初步评价,选择拟测试的控制,测试内部控制,评价控制缺陷,特殊考虑,企业层面控制测试与业务层面控制测试的关系,企业层面控制决定业务层面控制，业务层面控制反作用于企业层面控制企业层面控制：与内部控制诸要素中的基本制度安排直接相关，对企业整体内控目标的实现具有重大影响业务层面控制：与控制活动（控制政策和程序）在具体业务和事项中的运用直接相关，对企业某一或某些方面的内控目标具有重要影响实施企业层面控制测试和业务层

28、面控制测试中，应当坚持自上而下、上下结合的测试方法。自上而下，是指测试控制应当从企业层面控制入手，通过评估、预判企业层面控制，增强业务层面控制测试的科学性、针对性和实效性。强调自上而下进行测试，并不意味着企业层面和业务层面的测试工作是孤立进行、截然分开的，在注册会计师审计实践中，往往将企业层面控制测试和业务层面控制测试结合进行，以企业层面控制弱点锁定业务层面控制重点，以业务层面控制效果反证企业层面控制设计,选择拟测试的控制,不需要测试重大业务流程中的所有控制点重要性原则选择适当的控制点测试（关键控制点）选择测试的控制点需要CPA专业判断对于每个认定对应的每个可能出错项，CPA至少需要选择一个控

29、制进行测试考虑因素预防性控制&发现性控制手工控制&自动执行的控制控制的相关性、充分性和敏感度控制组合,选择拟测试的控制关键控制,关键控制&一般控制当一项控制可以涵盖多个可能出错事项，或者一个可能出错事项只有某项控制能够涵盖时，该项控制应当被认定为关键控制，除此之外，则被认定为一般控制。经验数据表明，在所有业务层面控制中，关键控制一般占到20左右,选择拟测试的控制关键控制（举例）,控制1可以涵盖可能出错事项1、2、3和5，即一项控制可以涵盖多个可能出错事项，因此控制1可被认定为关键控制；对于可能出错事项4，只有控制2能够涵盖，即一个可能出错事项只有一项控制能够涵盖，因此控制2可被认定为关键控制。

30、控制3、4、5为一般控制,问题：哪些是关键控制？哪些是一般控制？,实施审计工作步骤测试内部控制,评估企业层面控制,评估业务层面控制,评价控制偏差,特殊事项的考虑,信息系统控制财务报告流程,选择拟测试的控制,测试内部控制,评价控制缺陷,特殊考虑,测试控制的有效性设计有效性,注册会计师应当测试控制设计的有效性如果控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定执行，能够实现控制目标，从而有效地防止或发现可能导致财务报表发生重大错报的错误或舞弊，则表明控制的设计是有效的。注册会计师在测试控制设计的有效性时，应当综合运用询问适当人员、观察企业经营活动和检查相关文件等程序。注册会计师执行穿行测

31、试通常足以评价控制设计的有效性。,测试控制的有效性运行有效性,运行有效性的含义如果控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力，则表明控制的运行是有效的。如果企业利用第三方的帮助完成一些财务报告工作，注册会计师在评价负责企业财务报告及相关控制的人员的专业胜任能力时，应当一并考虑第三方的专业胜任能力。,控制测试的性质，即测试控制运行有效性的程序询问观察检查重新执行,控制测试的性质（即：控制测试程序）,注册会计师实施控制测试的程序，按提供证据的效力，由弱到强排序为：询问、观察、检查、重新执行。询问本身并不能为得出控制是否有效的结论提供充分、适当的证据。控制测试程序的性质在

32、很大程度上取决于拟测试控制的性质。某些控制可能存在反映控制运行有效性的文件记录，而另外一些控制，如管理理念和经营风格，可能没有书面的运行证据。对缺乏正式的控制运行证据的企业或业务单元，注册会计师可以通过询问并结合运用其他程序，如观察活动、检查非正式的书面记录和重新执行某些控制，获取有关控制是否有效的充分、适当的证据。,风险与测试控制中拟获取证据的关系,在测试所选定控制的有效性时，注册会计师应当根据与控制相关的风险，确定所需获取的证据。与控制相关的风险包括控制可能无效的风险和因控制无效而导致重大缺陷的风险。与控制相关的风险越高，注册会计师需要获取的证据就越多。注册会计师通过测试控制有效性获取的证

33、据，取决于其实施程序的性质、时间和范围的组合。此外，就单项控制而言，注册会计师应当根据与控制相关的风险对测试程序的性质、时间和范围进行适当的组合，以获取充分、适当的证据。,风险与测试控制中拟获取证据的关系,下列因素影响与某项控制相关的风险：该项控制拟防止或发现的错报的性质和重要程度；相关账户、列报及其认定的固有风险；交易的数量和性质是否发生变化，进而可能对该项控制设计或运行的有效性产生不利影响；相关账户或列报是否曾经出现错报；企业层面控制（特别是监督其他控制的控制）的有效性；该项控制的性质及其执行频率；该项控制对其他控制（如控制环境或信息技术一般控制）有效性的依赖程度；执行该项控制或监督该项控

34、制执行的人员的专业胜任能力，以及其中的关键人员是否发生变化；该项控制是人工控制还是自动化控制；该项控制的复杂程度，以及在运行过程中依赖判断的程度。,控制测试的时间安排,控制测试涵盖的期间越长，提供的控制有效性的证据越多。控制测试实施的时间越接近于管理层评估日，提供的控制有效性的证据越有力。为获取充分、适当的证据，注册会计师应当在下列两个因素之间作出平衡，以确定控制测试的时间：尽量在接近管理层评估日实施控制测试；控制测试需要涵盖足够长的期间。,控制测试的时间安排,注册会计师旨在对截至某特定日期（通常是年末）内部控制的有效性出具报告。如果已获取截至期中某日期控制运行有效性的证据，注册会计师应当确定

35、还需要获取哪些补充证据，以证实剩余期间控制的运行情况。在将期中测试的结果更新至年末时，注册会计师应当考虑下列因素以确定需获取的补充证据：基准日之前测试的特定控制，包括与控制相关的风险、控制的性质和测试的结果；期中获取的有关证据的充分、适当性；剩余期间的长短；期中测试之后，内部控制发生重大变化的可能性。,70,测试人工控制的最小样本量区间,控制变更时的处理,在管理层评估日之前，管理层可能为提高控制效率、效果或弥补控制缺陷而改变企业的控制。如果新控制实现了相关控制目标，且运行足够长的时间，注册会计师能够通过对控制进行测试评价其设计和运行的有效性，则无需测试被取代的控制。如果被取代控制的运行有效性对

36、控制风险的评估有重大影响，注册会计师应当测试被取代控制的设计和运行的有效性。,72,整改后控制运行的最短期间（或最少运行次数）和最少测试数量,实施审计工作步骤评价控制偏差,评估企业层面控制,评估业务层面控制,评价控制偏差,特殊事项的考虑,信息系统控制财务报告流程,选择拟测试的控制,测试内部控制,评价控制缺陷,特殊考虑,评价控制偏差,控制偏差内控测试中，CPA选择进行测试的某个控制没有按照控制设计的要求被有效执行或没有执行。发现控制例外时，CPA首先要确认其是否构成一项控制偏差。如果是，则应该调查控制偏差额属性&形成原因，并评价控制偏差对原定审计程序的影响控制偏差的属性系统性：无需扩大样本量，直

37、接视为内部控制缺陷随机性：确定适当的审计应对措施，如：扩大样本量、直接视为内部控制缺陷,评价控制偏差流程图,对信息系统控制的考虑,CPA测试业务层面控制，应当关注信息系统对内部控制及风险评估的影响确定信息系统范围信息系统环境控制评价信息系统一般控制评价应用系统控制评价电子表格相关控制,对财务报告流程的考虑,财务报告流程将企业会计记录中反映的业务转换为会计报表和相关列报通常作为一个单独的重大业务流程财务报告流程对于业务层面的很多流程都存在联系和影响，因此，CPA应在评估企业层面控制同时考虑这一流程,对财务报告流程的考虑,对财务报告流程进行了解的起点原则：确定对财务报告流程了解的起点，与对各重大业

38、务流程了解的终点重合常规的重大业务流程：业务分录过帐到总账包含会计估计的重大业务流程：包括会计估计的真个过程，或，从会计估计的中途开始对财务报告流程进行了解的程度取决于财务报告流程的复杂性考虑：董事会、经理层凌驾于已识别财务报告流程控制之上的风险&以往审计中获得的对企业的经验和认识，以及，审计中发现的错报的数量和性质执行穿行测试，了解财务报告各子流程编制试算平衡表，并进行任何必要的合并生成、授权和记录记账分录编制财务报表及相关列报识别可能出错项识别相关控制,实施审计工作步骤评价控制缺陷,评估企业层面控制,评估业务层面控制,评价控制偏差,特殊事项的考虑,信息系统控制财务报告流程,选择拟测试的控制

39、,测试内部控制,评价控制缺陷,特殊考虑,内部控制缺陷分类,重大缺陷，是指一个或多个一般缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形,重要缺陷，是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大，须引起企业管理层关注。,一般缺陷，除重大缺陷、重要缺陷之外的其他缺陷,评价控制缺陷的严重程度,注册会计师应当评价其识别的各项控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成内部控制的重大缺陷。不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。“注册会计师无须测试

40、那些即使有缺陷也合理预期不会导致财务报表重大错报的控制”“注册会计师没有必要测试与某项相关认定的所有控制”,评价一项控制缺陷或多项控制缺陷的组合是否可能导致账户或列报发生错报时，注册会计师应考虑的“风险因素”包括：所涉及的账户、列报及相关认定的性质；相关资产或负债易于发生损失或舞弊的可能性；确定相关金额时所需判断的主观程度、复杂程度和范围；该项控制与其他控制的相互作用或关系；控制缺陷之间的相互作用；控制缺陷在未来可能产生的影响。,评价控制缺陷的严重程度,严重程度取决于：控制不能防止或发现并纠正账户或列报发生错报的可能性大小；因一项或多项控制缺陷导致的潜在错报的金额大小。,考虑发生错报的机率：评

41、价控制缺陷时候可能导致错报时，无需将错报发生的概率量化为某特定的百分比或区间。如多项控制影响财务报表的同一账户或列报，错报发生的概率会增加。存在多项控制缺陷时，即使缺陷从单项看不重要，但组合起来也可能构成重大缺陷。,考虑错报影响的金额程度：受控制缺陷影响的财务报表或交易金额；在本期或预计的将来期间受控制缺陷影响的账户余额或各类交易涉及的交易量。,评估错报可能性,围绕信访权限的信息系统总体控制缺陷舞弊缺陷或许多缺陷同时存在金额错误低于重要性水平（判断）明显为独立单一事项,增加重大错报的可能性,重大错报可能性不大,评估错报重大程度,根据财务报表审计中确定的重要性水平从定量的角度出发，考虑是否可能导

42、致财务报表错报，该错报在金额上对财务报表具有重大影响，且不能被一项控制或多项控制的组合所房子或及时发现并纠正从定性的角度出发，考虑一项缺陷或缺陷组合导致财务报表错报的严重程度的相关因素，以及针对依赖该信息进行决策的人员预期需要考虑的因素（如关联交易披露、潜在收购/合并信息、重大合同签订等）,控制缺陷评估步骤,内控缺陷评价步骤,补偿性控制,在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时，注册会计师应当评价补偿性控制的影响。在评价补偿性控制是否能够弥补控制缺陷时，注册会计师应当考虑补偿性控制是否有足够的精确度以防止或发现并纠正可能发生的重大错报。,在得出补偿性控制是否有效运行的结论前，注

43、册会计师应当首先分析该补偿性控制是否达到一定程度的精确性，注册会计师应当对补偿性控制开展必要的测试工作，获取并记录补偿性控制运行有效的证据。由于某些控制缺陷发生在企业的组成部分（如子公司）层面，而相关的补偿性控制可能存在于集团层面。因此，在对补偿性控制进行测试时，注册会计师应当考虑补偿性控制执行的层面及其对测试的影响。集团项目组应当与组成部分注册会计师及时开展充分、有效的沟通，及时识别补偿性控制并进行相应的测试，以便准确判断补偿性控制是否可以降低财务报表错误的可能性和严重程度。,注册会计师发现董事、监事和高级管理人员舞弊,企业更正已经公布的财务报表,企业审计委员会和内部 审计机构对内部控制的监

44、督无效,存在重大缺陷的迹象,注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报,重大缺陷迹象,缺陷评价统计（美国数据）,美国上市公司近年来披露的财务报告内控缺陷尤其是重大缺陷来看，在信息技术、收入确认、付款或有关费用的控制方面存在的薄弱环节较为显著,非财务报告内部控制,财务报告内控和非财务报告内控的关系财务报告内控与非财务报告内控是一个相对概念，恰如会计控制与管理控制的界定一样。与财务报告真实性、可靠性、完整性直接相关的控制称为财务报告内控，比如，根据企业会计准则的要求对经济交易或事项进行会计确认、计量、记录和报告的相关控制属于财务报告内控，除此之外的控制可以归类为非

45、财务报告内控。对财务报告内控和非财务报告内控提出了差异化的审计要求注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以描述,非财务报告内部控制缺陷评价步骤,完成审计工作&出具审计报告,完成审计工作,获取管理层声明沟通缺陷形成对企业内部控制有效性的意见,完成审计工作获取管理层声明,注册会计师应当获取经被审计单位签署的书面声明。书面声明的内容应当包括：被审计单位董事会认可其对建立健全和有效实施内部控制负责；被审计单位已对内部控制进行了评价，并编制了内部控制评价报告；被审计单

46、位没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作为评价的基础；被审计单位根据内部控制标准评价内部控制有效性得出的结论；被审计单位已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷和重要缺陷；被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞弊，以及其他不会导致财务报表发生重大错报，但涉及管理层、治理层和其他在内部控制中具有重要作用的员工的所有舞弊；注册会计师在以前年度审计中识别出的且已与被审计单位沟通的重大缺陷和重要缺陷是否已经得到解决，以及哪些缺陷尚未得到解决；在基准日后，内部控制是否发生变化，或者是否存在对内部控制产生重要影响的其他因素，包

47、括被审计单位针对重大缺陷和重要缺陷采取的所有纠正措施。,完成审计工作沟通缺陷,对于重大缺陷和重要缺陷，注册会计师应当以书面形式与管理层和治理层沟通。书面沟通应当在注册会计师出具内部控制审计报告之前进行。注册会计师应当以书面形式与管理层沟通其在审计过程中识别的所有其他内部控制缺陷，并在沟通完成后告知治理层。在进行沟通时，注册会计师无需重复自身、内部审计人员或被审计单位其他人员以前书面沟通过的控制缺陷。,审计报告的类型,标准内部控制审计报告非标准内部控制审计报告带强调事项段的非标准内部控制审计报告。注册会计师认为财务报告内部控制虽不存在重大缺陷，但仍有一项或者多项重大事项需要提请内部控制审计报告使

48、用人注意的，需要在内部控制审计报告中增加强调事项段予以说明否定意见的内部控制审计报告。无法表示意见的内部控制审计报告,互相交流共同进步,附 录,全球资本市场监管发展情况,2002美国萨班斯奥克斯利法案（简称SOX）生效南非出台公司治理报告法规（The King Code of 2002）德国发布德国公司治理准则2003澳大利亚证券交易所（ASX）及其公司治理委员会采纳良好公司治理原则和最佳实务操作建议法国金融安全法英国 The Combined Code on Corporate Governance加拿大证券管理委员会发布MI 52-109，2004年1月生效，于2008年更新为NI 52-

49、109,2004澳大利亚发布澳洲公司报告和信息披露法（CLERP9）香港联交所公布公司治理实务和公司治理报告的准则2006欧盟：欧盟新公司法第八号指令日本发布日本金融商品交易法（简称J-SOX）上海与深圳证券交易所发布上市公司内部控制指引2008中国5部委发布企业内部控制基本规范2010中国5部委发布企业内部控制配套指引发布,对公司内部控制的要求-海外监管机构,2006年，国资委颁布中央企业全面风险管理指引，对央企开展风险管理工作提出明确要求：建立健全风险管理组织体系对重要业务管理与流程进行动态风险评估依据风险管理策略，制定重大风险管理解决方案（包括内控方案）建立贯穿的风险管理流程，加强风险管

50、理监督改进，至少每年出具风险管理监督评价报告,国资委,2008年6月28日，财政部等五部委颁布企业内部控制基本规范，自2009年7月1日率先在中国境内的上市公司执行。2010年4月15日，颁布企业内部控制配套指引，包括：企业内部控制应用指引，涵盖组织结构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理等18项指引。企业内部控制评价指引，要求企业应对其内部控制的设计和运行状况定期评价，出具评价报告。企业内部控制审计指引，为注册会计师执行企业内部控制鉴证业务提供专业规范和指导。上市公司必须、鼓励其他大中型企业制定内部控制制度并有效实施，并应委托从事内部控制审计的会计师事务所对