企业内部控制审计-.ppt
《企业内部控制审计-.ppt》由会员分享,可在线阅读,更多相关《企业内部控制审计-.ppt(110页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、企业内部控制审计-2023/6/11 企业内部控制审计-2一、内部控制审计的制度背景 企业内部控制审计-3制度背景 证监会首次公开发行股票并上市管理办法(2006 年)“财务与会计一节”规定,发行人的内部控制在所有重大方面是有效的,并由注册会计师出具了无保留结论的内部控制鉴证报告,是发行条件之一。企业内部控制审计-4制度背景 公开发行证券的公司信息披露内容与格式准则第1 号招股说明书(2006)规定,发行人应披露公司管理层对内部控制完整性、合理性及有效性的自我评估意见以及注册会计师对公司内部控制的鉴证意见。注册会计师指出公司内部控制存在缺陷的,应予披露并说明改进措施。企业内部控制审计-5制度背
2、景 2010 年4 月26 日,财政部发布企业内部控制审计指引等配套指引,自2011 年1 月1 日起首先在境内外同时上市的公司施行,自2012 年1 月1 日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。企业内部控制审计-6制度背景 执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷,应当提示投
3、资者、债权人和其他利益相关者关注。企业内部控制审计-7二、财务报表审计中对内部控制的了解和测试 企业内部控制审计-8企业内部控制审计-9识别和评估重大错报风险在了解被审计单位及其环境过程中识别风险,并考虑各类交易、账户余额、列报将识别的风险与认定层次可能发生错报的领域相联系考虑识别的风险是否重大考虑识别的风险导致财务报表发生重大错报的可能性企业内部控制审计-10应对评估的重大错报风险财务报表层次认定层次企业内部控制审计-11财务报表层次重大错报风险的应对向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性 分派更有经验或具有特殊技能的审计人员,或利用专家的工作提供更多的督导 增加审计
4、程序的不可预测性对拟实施审计程序的性质、时间和范围作出总体修改企业内部控制审计-12认定层次重大错报风险的应对根据评估的风险确定拟实施的进一步审计程序的性质、时间和范围企业内部控制审计-13进一步审计程序控制测试认定层次实质性程序企业内部控制审计-14三、财务报告内部控制审计 企业内部控制审计-15(一)基本定位 企业内部控制审计-16审计的目标 对特点时点企业财务报告内部控制的有效性发表审计意见,包括:设计有效性(合理性)运行有效性企业内部控制审计-17财务报告内部控制的概念 企业为了合理保证财务报告及相关信息真实完整而设计和执行的内部控制,旨在:保存充分、适当的记录,准确、公允地反映企业的
5、交易和事项;合理保证按照企业会计准则的规定编制财务报表;合 理 保 证 收 入 和 支 出 的 发 生 以 及 资 产 的 取 得、使 用 或处置经过适当授权;合 理 保 证 及 时 防 止 或 发 现 未 经 授 权 的、对 财 务 报 表 有重大影响的交易和事项。企业内部控制审计-18内部控制审计与管理层自我评估的关系 企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送。在企业治理层的监督下,按照企业内部控制基本规范和相关规定,设计、实施和维护有效的内部控制,并评价其有效性是企业管理层的责任。按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责
6、任。内部控制审计不能减轻企业管理层的责任。注册会计师在内部控制审计或财务报表审计中实施的程序并不是企业内部控制的组成部分。企业内部控制审计-19(二)审计思路 企业内部控制审计-20审计思路 风险导向审计 自上而下的审计方法企业内部控制审计-21风险导向审计 其实质在于:以财务报告内部控制重大缺陷风险的识别、评估和应对作为审计工作主线,在风险评估的基础上,将审计资源投放在高风险领域,以提高审计效率和效果。审计风险内部控制存在重大缺陷的风险检查风险 内部控制存在重大缺陷的风险=控制无效的风险无效导致重大缺陷的风险 量体裁衣、因地制宜审计是风险导向审计的自然引申。企业内部控制审计-22风险导向审计
7、 风险评估的导向作用确定重要账户确定相关认定确定控制测试的性质、时间安排和范围确定利用他人工作的程度企业内部控制审计-23“自上而下”的工作思路 识别、了解和评价企业整体层面控制的设计有效性 从财务报表层次识别重大账户 识别与每个重大账户相关的认定 识别重要的业务流程和主要的交易类别 识别流程中错报可能发生的环节 识别和测试预防或及时发现错报发生的控制(业务流程、交易和应用控制层面的控制)企业内部控制审计-24为什么“自上而下”好处:提高审计效率和效果 充分利用企业层面的控制的作用,确定合理的测试范围和策略 将一些不重要的账户、披露和认定予以剔除,所谓“不重要”是指包含能够引起财务报表产生重大
8、错报的错报的可能性很小。防止注册会计师花费不必要的时间和精力了解不重要的业务流程或控制。所谓“不重要”是指不影响财务报表是否发生重大错报的可能性。将审计资源引向高风险领域注:自上而下的方法不仅用于识别重要账户、列报及其相关认定 和拟测试的控制,还用于评估风险以及分配审计资源。企业内部控制审计-25企业整体层面的控制企业整体层面控制包括:与控制环境相关的控制;针对管理层凌驾于控制之上的风险而设计的控制;企业的风险评估过程;集中化的处理和控制,包括共享的服务环境;监控经营成果的控制;监 督 其 他 控 制 的 控 制,包 括 内 部 审 计 职 能、审 计 委 员 会的活动及内部控制自我评价;对期
9、末财务报告流程的控制;针对重大经营控制及风险管理实务的政策。企业内部控制审计-26与控制环境相关的控制 对诚信和道德价值观的沟通与落实。对胜任能力的重视。治理层的参与程度。管理层的理念和经营风格。组织结构。职权与责任的分配。人力资源政策与实务。企业内部控制审计-27针对舞弊风险和管理层凌驾内控风险的控制企业为应对这些风险可能采取的控制包括:针对重大的非常规交易的控制,尤其是导致会计处理延迟或异常的交易;针对期末财务报告流程中编制的分录和作出的调整的控制;针对关联方交易的控制;与管理层的重大估计相关的控制;能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制。企业内部控制审计-28针对舞弊风
10、险和管理层凌架内控风险的控制 培育诚信和道德的价值观 审计委员会的监督 畅通举报通道 会计分录控制企业内部控制审计-29企业整体层面控制的作用 对其他控制的运行有效性发挥基础作用 对其他控制的运行有效性发挥监督作用 替代其他控制企业内部控制审计-30识别重要账户、列报及其相关认定 重要账户、列报 如果某账户或列报具有合理可能性包含了一个错报,该错报单独或连同其他错报将对财务报表产生重大影响(需要同时考虑多报和少报的风险),则该账户或列报为重要账户或列报。判断某账户或列报是否重要,应当依据其固有风险,而不应考虑相关控制的影响。相关认定 如果某财务报表认定具有合理可能性包含了一个或多个错报,这个或
11、这些错报将导致财务报表发生重大错报,则该认定为相关认定。判断某认定是否为相关认定,应当依据其固有风险,而不应考虑相关控制的影响。注:确定相关账户、列报和相关认定是内部控制审计中审计考虑范围决策的重要组成部分。但在财务报表审计中,注册会计师可能针对非重要账户、列报及其相关认定实施实质性程序。企业内部控制审计-31识别重要账户、列报及其相关认定 为识别重要账户、列报及其相关认定,注册会计师应当从下列方面评价财务报表项目及附注的错报风险因素:账户的规模和构成;易于发生错报的程度;账户中处理的或列报中反映的交易的业务量、复杂性及同质性;账户或列报的性质;与账户或列报相关的会计处理及报告的复杂程度;账户
12、发生损失的风险;由账户或列报中反映的活动引起重大或有负债的可能性;账户记录中是否涉及关联方交易;账户或列报的特征与前期相比发生的变化。上述判断标准既有定性考虑,也有定量考虑企业内部控制审计-32识别重要账户、列报及其相关认定 在识别重要账户、列报及其相关认定时,注册会计师还应当确定导致财务报表发生重大错报的潜在错报的可能来源。注册会计师可通过考虑在特定的重要账户或列报中错报可能发生的领域和原因,确定潜在错报的可能来源。在内部控制审计中,注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素,与财务报表审计中考虑的因素相同。因此,在这两种审计中识别的重要账户、列报及其相关认定应当相同。如
13、果某潜在重要账户或列报的各组成部分存在的风险差异较大,企业可能需要采用不同的控制以应对这些风险,注册会计师应当分别予以处理。企业内部控制审计-33了解错报的可能来源 注册会计师应当实现下列目标,以了解潜在错报的可能来源以选择拟测试的控制:了解与相关认定有关的交易的处理流程,包括这些交易如何生成、批准、处理及记录;验证注册会计师已识别出业务流程中可能发生重大错报(包括舞弊导致的错报)的环节;识别管理层用于应对这些潜在错报的控制;识别管理层用于及时防止或发现未经授权的、导致财务报表发生重大错报的资产取得、使用或处置的控制。企业内部控制审计-34了解错报的可能来源 注册会计师应当亲自执行上述工作,或
14、参照中国注册会计师审计准则第1411 号考虑内部审计工作的规定,对提供直接帮助的人员的工作进行督导。企业内部控制审计-35了解错报的可能来源 穿行测试通常是完成上述规定的工作的最有效方式。穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程。在执行穿行测试时,注册会计师使用的文件和信息技术应当与企业员工使用的相同。注册会计师在执行穿行测试时,通常需要综合运用询问、观察、检查相关文件及重新执行控制等程序。在执行穿行测试时,针对重要处理程序发生的环节,注册会计师可以询问企业员工对企业规定程序及控制的了解程度。这些试探性提问连同穿行测试中的其他程序,可以帮助注册会计师充分了解业务流程
15、,识别必要控制设计无效或出现缺失的重要环节。试探性提问不应仅限于关注穿行测试所选定的单笔交易,这有助于注册会计师了解业务流程处理的不同类型的重大交易。企业内部控制审计-36选择拟测试的控制 注册会计师应当评价控制是否足以应对评估的每个相关认定的错报风险,并选择其中对形成评价结论具有重要影响的控制进行测试。对特定的相关认定而言,可能有多项控制应对评估的错报风险;反之,一项控制可能应对评估的多个相关认定的错报风险。注册会计师没有必要测试与某个相关认定有关的所有控制。在确定是否测试某项控制时,注册会计师应当考虑该项控制单独或连同其他控制,是否足以应对评估的某项相关认定的错报风险,而不论该项控制的分类
16、和名称如何。企业内部控制审计-37业务流程层面的控制控制活动包括:业绩评价。信息处理。信息系统控制活动的两大类是应用控制和信息技术一般控制。实物控制。实物控制包括下列控制:保证资产的实物安全,包括恰当的安全保护措施,如针对接触资产和记录的安全设施;对接触计算机程序和数据文档设置授权;定期盘点并将盘点记录与控制记录相核对。职责分离。企业内部控制审计-38了解业务流程内部控制 思路 识别重要业务流程 识别容易发生错报的环节 识别关键的控制活动,并评价控制的设计 执行穿行测试 万变不离其宗 准则指南 权威审计教材企业内部控制审计-39业务流程层面的控制 企业可将其经营活动划分为几个业务流程:销售与收
17、款循环;采购与付款循环;工薪与人事循环;生产与仓储循环;筹资与投资循环;其他循环 企业内部控制审计-40(三)计划审计工作 企业内部控制审计-41审计重要性水平 与财务报表审计中确定的审计重要性水平相同,这是整合审计的必须要求企业内部控制审计-42对舞弊风险的特别考虑 考虑财务报表审计中识别的舞弊风险,包括管理层凌驾于控制之上的风险 体现整合审计的要求企业内部控制审计-43利用相关人员工作 利用内部审计、其他注册会计师等人的工作可以降低审计成本 需评价客观性和专业胜任能力 与控制相关的风险对利用他人工作的制约企业内部控制审计-44其他考虑 被审计单位利用服务机构 多经营场所测试范围的确定企业内
18、部控制审计-45多经营场所测试范围的确定 当一家企业有多个经营场所或业务单元时,注册会计师应当基于合并财务报表识别重要账户、列报及其相关认定。在识别重要账户、列报及其相关认定后,注册会计师应当对多个经营场所或业务单元的测试范围作出恰当决策。在对多个经营场所或业务单元的测试范围作出决策时,注册会计师应当评估与经营场所或业务单元相关的财务报表发生重大错报的风险,并根据其风险程度给予适当的审计关注。如果某些经营场所或业务单元单独或连同其他经营场所或业务单元不具有合理可能性导致合并财务报表出现重大错报,注册会计师无需进一步考虑这些经营场所或业务单元。企业内部控制审计-46多经营场所测试范围的确定 在评
19、估和应对风险时,如果某项风险具有合理可能性导致企业合并财务报表发生重大错报,注册会计师应当测试针对该项风险而实施的控制。对风险较低的经营场所或业务单元,注册会计师可以首先评价,测试企业层面控制能否为注册会计师提供充分、适当的证据。如果能提供充分、适当的证据,注册会计师对这些经营场所或业务单元可以仅测试企业层面控制。在确定拟实施测试的经营场所或业务单元时,注册会计师可以考虑利用其他人员代表管理层执行的工作。例如,如果内部审计人员计划对某些经营场所或业务单元执行相关审计工作,注册会计师可以与内部审计人员进行协调,以减少本应由注册会计师测试的经营场所或业务单元的数量。在连续审计中,注册会计师应当改变
20、对经营场所或业务单元的控制实施测试的性质、时间和范围。企业内部控制审计-47(四)实施审计工作 企业内部控制审计-48测试控制的设计有效性 注册会计师应当测试控制设计的有效性。如果控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定执行,能够实现控制目标,从而有效地防止或发现可能导致财务报表发生重大错报的错误或舞弊,则表明控制的设计是有效的。注册会计师在测试控制设计的有效性时,应当综合运用询问适当人员、观察企业经营活动和检查相关文件等程序。注册会计师执行穿行测试通常足以评价控制设计的有效性。企业内部控制审计-49测试控制的运行有效性 运行有效性的含义 如果控制正在按照设计运行、执行人员拥
21、有有效执行控制所需的授权和专业胜任能力,则表明控制的运行是有效的。如果企业利用第三方的帮助完成一些财务报告工作,注册会计师在评价负责企业财务报告及相关控制的人员的专业胜任能力时,应当一并考虑第三方的专业胜任能力。企业内部控制审计-50测试控制的运行有效性 控制测试的性质,即测试控制运行有效性的程序询问观察检查重新执行企业内部控制审计-51风险与测试控制中拟获取证据的关系 在测试所选定控制的有效性时,注册会计师应当根据与控制相关的风险,确定所需获取的证据。与控制相关的风险包括控制可能无效的风险和因控制无效而导致重大缺陷的风险。与控制相关的风险越高,注册会计师需要获取的证据就越多。注册会计师应当针
22、对每一相关认定获取控制有效性的证据,以便对内部控制整体的有效性发表意见,但没有责任对单项控制的有效性发表意见。得出控制运行无效的结论通常比得出其运行有效的结论所需证据的数量少。企业内部控制审计-52风险与测试控制中拟获取证据的关系 下列因素影响与某项控制相关的风险:该项控制拟防止或发现的错报的性质和重要程度;相关账户、列报及其认定的固有风险;交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的有效性产生不利影响;相关账户或列报是否曾经出现错报;企业层面控制(特别是监督其他控制的控制)的有效性;该项控制的性质及其执行频率;该项控制对其他控制(如控制环境或信息技术一般控制)有效性的依赖程度
23、;执行该项控制或监督该项控制执行的人员的专业胜任能力,以及其中的关键人员是否发生变化;该项控制是人工控制还是自动化控制;该项控制的复杂程度,以及在运行过程中依赖判断的程度。企业内部控制审计-53风险与测试控制中拟获取证据的关系 注册会计师通过测试控制有效性获取的证据,取决于其实施程序的性质、时间和范围的组合。此外,就单项控制而言,注册会计师应当根据与控制相关的风险对测试程序的性质、时间和范围进行适当的组合,以获取充分、适当的证据。注册会计师实施控制测试的程序,按提供证据的效力,由弱到强排序为:询问、观察、检查、重新执行。询问本身并不能为得出控制是否有效的结论提供充分、适当的证据。控制测试程序的
24、性质在很大程度上取决于拟测试控制的性质。某些控制可能存在反映控制运行有效性的文件记录,而另外一些控制,如管理理念和经营风格,可能没有书面的运行证据。对缺乏正式的控制运行证据的企业或业务单元,注册会计师可以通过询问并结合运用其他程序,如观察活动、检查非正式的书面记录和重新执行某些控制,获取有关控制是否有效的充分、适当的证据。企业内部控制审计-54风险与测试控制中拟获取证据的关系 控制测试涵盖的期间越长,提供的控制有效性的证据越多。控制测试实施的时间越接近于管理层评估日,提供的控制有效性的证据越有力。为获取充分、适当的证据,注册会计师应当在下列两个因素之间作出平衡,以确定控制测试的时间:尽量在接近
25、管理层评估日实施控制测试;控制测试需要涵盖足够长的期间。企业内部控制审计-55风险与测试控制中拟获取证据的关系 在管理层评估日之前,管理层可能为提高控制效率、效果或弥补控制缺陷而改变企业的控制。如果新控制实现了相关控制目标,且运行足够长的时间,注册会计师能够通过对控制进行测试评价其设计和运行的有效性,则无需测试被取代的控制。如果被取代控制的运行有效性对控制风险的评估有重大影响,注册会计师应当测试被取代控制的设计和运行的有效性。企业内部控制审计-56风险与测试控制中拟获取证据的关系 注册会计师旨在对截至某特定日期(通常是年末)内部控制的有效性出具报告。如果已获取截至期中某日期控制运行有效性的证据
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业内部 控制 审计
限制150内