《内部控制审计.pdf》由会员分享,可在线阅读,更多相关《内部控制审计.pdf(81页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、版权所有版权所有主讲:王生根 高级会计师主讲:王生根 高级会计师内部控制审计内部控制审计snai2009-5-12课程框架课程框架一、为什么要进行内部控制审计一、为什么要进行内部控制审计?二、什么是内部控制审计?二、什么是内部控制审计?三、如何开展内部控制审计?三、如何开展内部控制审计?四、计算机环境下如何进行内部控制审计?四、计算机环境下如何进行内部控制审计?五、小型企业内控审计报告怎么出?五、小型企业内控审计报告怎么出?snai2009-5-13一、为什么要进行内部控制审计?一、为什么要进行内部控制审计?snai2009-5-14?案例导入?案例导入横店东磁:内部控制审计报告横店东磁:内部
2、控制审计报告2009-3-31证券时报内部控制审计报告内部控制审计报告浙天会审浙天会审20091519 号号横店集团东磁股份有限公司全体股东:横店集团东磁股份有限公司全体股东:我们审计了截至2008 年12 月31 日横店集团东磁股份有限公司(以下简称横店东磁公司)的内部控制。一、管理层对内部控制的责任一、管理层对内部控制的责任在企业治理层的监督下,按照企业内部控制基本规范和相关规定,设计、实施和维护有效的内部控制,并评价其有效性是企业管理层的责任。snai2009-5-15二、注册会计师的责任二、注册会计师的责任我们的责任是在实施审计工作的基础上对内部控制的有效性发表审计意见。我们按照中国注
3、册会计师执业准则的要求执行了审计工作。执业准则要求我们遵守职业道德守则,计划和实施审计工作,以对企业在所有重大方面是否保持了有效的内部控制获取合理保证。审计工作包括获取对内部控制的了解,评估重大缺陷存在的风险,并根据风险评估的结果,测试和评价内部控制设计和运行的有效性。审计工作还包括实施我们认为必要的其他程序。我们相信,我们获取的审计证据是充分、适当的,为发表审计意见提供了基础。?案例导入?案例导入横店东磁:内部控制审计报告横店东磁:内部控制审计报告snai2009-5-16三、内部控制审计的范围三、内部控制审计的范围本报告中内部控制审计的范围,主要是企业为了合理保证财务报告及相关信息真实完整
4、、资产安全而设计和执行的内部控制。用以合理保证资产安全的内部控制,可能涉及合理保证经营效率和效果、经营管理合法合规的内部控制。四、内部控制的固有局限性四、内部控制的固有局限性内部控制具有固有局限性,存在不能防止和发现错报的可能性。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制审计结果推测未来内部控制的有效性具有一定风险。?案例导入?案例导入横店东磁:内部控制审计报告横店东磁:内部控制审计报告snai2009-5-17五、内部控制审计意见五、内部控制审计意见我们认为,截至2008 年12 月31 日,横店东磁公司按照企业内部控制基本规范和相关规定在
5、所有重大方面保持了有效的内部控制。六、提及财务报表审计意见的类型六、提及财务报表审计意见的类型我们还按照中国注册会计师审计准则的规定,审计了横店东磁公司2008 年12 月31 日的资产负债表和合并资产负债表,2008 年度的利润表和合并利润表,2008 年度的现金流量表和合并现金流量表,2008 年度的股东权益变动表和合并股东权益变动表,以及财务报表附注,并在2009 年3 月30 日出具的审计报告中发表了标准无保留意见。浙江天健东方会计师事务所有限公司中国注册会计师 钟建国中国杭州中国注册会计师 张芹报告日期:2009 年3 月30 日?案例导入?案例导入横店东磁:内部控制审计报告横店东磁
6、:内部控制审计报告snai2009-5-18?为什么要对横店东磁出具内部控制审计报告??为什么要对横店东磁出具内部控制审计报告?中国萨班斯法案企业内部控制基本规范(以下简称规范)对审计的规定。规范第10条 接受企业委托从事内部控制审计的会计师事务所,应当根据本规范及其配套办法和相关执业准则,对企业内部控制的有效性进行审计,出具审计报告。会计师事务所及其签字的从业人员应当对发表的内部控制审计意见负责。为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务。自我评价威胁snai2009-5-19?为什么要对横店东磁出具内部控制审计报告??为什么要对横店东磁出具内部控制审计报告
7、?开创性地建立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制;要求企业实行内部控制自我评价制度,并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系;国务院有关监管部门有权对企业建立并实施内部控制的情况进行监督检查;明确企业可以可以依法委托会计师事务所对本企业内部控制的有效性进行审计,出具审计报告。snai2009-5-110?为什么要对横店东磁出具内部控制审计报告??为什么要对横店东磁出具内部控制审计报告?美国萨班斯法案302条“公司对财务报告的责任”,规定公司首席执行官和首席财务官,在报备或提交的每一份年度报告或季度报告中应对公司的内部控制设计、运行
8、、评价、内部控制缺陷进行详细披露。404条“管理层对内部控制的评估”,规定上市公司每份年度报告必须包括一份“内部控制报告”,其内容必须包括:管理层对建立和维护与财务报表相关的内部控制具有责任的声明;管理层对与财务报表相关的内部控制的有效性进行评估的报告;外部审计师对管理层的评估过程和结果发表的鉴证报告。404条款主要是与财务报告有关的控制和程序及财产保护,需要外部审计师的审计。snai2009-5-111二、什么是内部控制审计?二、什么是内部控制审计?1概念概念内控审计,是指会计师事务所接受委托,对特定日期(通常与企业内控自我评价基准是一致的)企业内控的有效性进行审计,并发表审计意见。并且,该
9、事务所同时执行同一企业的财务报表审计业务。snai2009-5-112二、什么是内部控制审计?二、什么是内部控制审计?2内控审计范围内控审计范围是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内控,即财务报告内控。具体讲,内部控制包括下列方面的政策和程序:(1)保存充分、适当的记录,准确、公允地反映企业的交易和事项;(2)合理保证按照企业会计准则的规定编制财务报表;(3)合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权;(4)合理保证及时防止或发现未经授权的、对财务报表有重大影响的交易和事项。snai2009-5-113二、什么是内部控制审计?二、什么是内部控制审计?
10、2内控审计范围内控审计范围有效的内部控制能够为财务报告及相关信息真实完整提供合理保证。在企业治理层的监督下,按照企业内部控制基本规范和相关规定,设计、实施和维护有效的内部控制,并评价其有效性是企业管理层的责任;按照企业内部控制审计指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。内部控制审计不能减轻企业管理层的责任。内部控制是否有效,取决于被审计单位的内部控制是否存在重大缺陷。如果存在一项或多项重大缺陷,内部控制应被认定为无效。但由于内部控制审计的范围,是企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制,并未包括被审计单位全部的内部控制,因此
11、,即使财务报表不存在重大错报,内部控制也可能存在重大缺陷。snai2009-5-114二、什么是内部控制审计?二、什么是内部控制审计?3内控目标。内控目标。规范第三条规范第三条:内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。从这个定义中可以看出我国内部控制的目标包括五个方面:一是合法合规性;二是资产安全性;三是财务信息的真实完整性;四是效率效果性;五是战略实现性。snai2009-5-115合法合规性资产安全性内控五目标内控五目标财务信息的真实完整性效率效果性战略实现性?与C0S0报告中的三目标相比,我们的内部控制
12、目标有了较大的超越;?与美国内部控制风险整合框架的四目标相比:我们的目标有超越也有保守。我们肯定了资产安全的目标,但我们的信息目标还是强调了财务信息,而风险整合框架中囊括所有的信息。snai2009-5-116三、如何开展内部控制审计?三、如何开展内部控制审计?整合审计整合审计计划审计工作计划审计工作实施审计工作实施审计工作评价识别的控制缺陷评价识别的控制缺陷完成审计工作完成审计工作内控审计报告内控审计报告snai2009-5-117整合审计整合审计(一)总体要求由于同一会计师事务所同时执行同一企业的内控审计业务和财务报表审计业务,CPA应当将内控审计与财务报表审计整合进行(以下简称整合审计)
13、。snai2009-5-118整合审计整合审计(二)内控审计和财务报表审计的关系1、相同或相似有3个方面:内部控制审计业务作为注册会计师执行的其他鉴证业务,与财务报表审计业务有许多相同或相似的基本要求需要注册会计师遵循,包括:(1)注册会计师应当计划和实施审计工作,获取充分、适当的证据,为特定日期内部控制是否不存在重大缺陷提供合理保证,并作为支持审计意见的基础。(2)注册会计师在执行内部控制审计业务时,应当将企业内部控制审计指引与中国注册会计师执业准则体系中相关准则结合使用。(3)注册会计师在执行内部控制审计业务时,应当遵守职业道德守则,恪守独立、客观、公正的原则,保持专业胜任能力和应有的关注
14、,并对执业过程中获知的信息保密。snai2009-5-119整合审计整合审计区别区别内控审计内控审计财务报表审计财务报表审计目标不同在整合审计中,CPA应当计划和实施对控制设计和运行有效性的测试,以同时实现:(1)获取充分、适当的证据,支持其在内控审计中对内控有效性发表的意见;(2)获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结果合法性、公允性(二)内控审计和财务报表审计的关系2、区别有4个方面,如下表:snai2009-5-120(二)内控审计和财务报表审计的关系2、区别有4个方面,如下表:区别区别内控审计内控审计财务报表审计财务报表审计对控制有效性的测试1、应当获取财务报表
15、涵盖期间内控有效运行的证据,并测试所有相关认定的控制,以获取其设计和运行有效性的证据;2、如果仅对财务报表发表审计意见,CPA可能不需要测试这些控制;3、在对内控有效性形成结论时,应当同时考虑财务报表审计中实施的、所有针对控制设计和运行有效性测试的结果1、如果将某项财务报表认定的控制风险评估为低于最高水平,CPA需要获取拟信赖的相关控制在整个期间有效运行的证据。但CPA不必将所有相关认定的控制风险评估为低于最高水平,因此,可能不对所有控制的运行有效性进行测试;2、在评估控制风险时,应当同时考虑内控审计中实施的、所有针对控制设计和运行有效性测试的结果snai2009-5-121(二)内控审计和财
16、务报表审计的关系2、区别有4个方面,如下表:区别区别内控审计内控审计财务报表审计财务报表审计控制有效性的测试对实质性程序的影响识别出某项控制缺陷,CPA应当评价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时间和范围的影响无论控制风险或重大错报风险的评估水平如何,CPA都应当针对所有重大的各类交易、账产余额及列报实施实质性程序。为对内控的有效性发表意见而实施的测试程序并不减轻CPA遵守上述规定的责任snai2009-5-122(二)内控审计和财务报表审计的关系2、区别有4个方面,如下表:区别区别内控审计内控审计财务报表审计财务报表审计实质性程序对控制有效性结论的影响1、应当评价财务报表审计
17、中实施的实质性程序的结果对控制有效性结论的影响。评价内容应当包括:(1)CPA作出的、与选择和实施实质性程序相关的风险评估,关注风险评估;(2)发现的违反法规行为和关联方交易方面的问题;(3)表明管理层在选择会计政策和作出会计估计时存在偏见的情况;尤其是与舞弊相关的风险评估;(4)实施实质性程序发现的错报2、应当通过直接测试控制获取控制是否有效的证据,而不能根据实质性程序没有发现错报,推断该项控制的有效性。根据实质性程序没有发现错报,推断该项控制的有效性snai2009-5-123(三)内控审计步骤(三)内控审计步骤计划审计工作计划审计工作计划审计工作计划审计工作实施审计工作实施审计工作实施审
18、计工作实施审计工作评价识别控制缺陷评价识别控制缺陷评价识别控制缺陷评价识别控制缺陷完成审计工作完成审计工作完成审计工作完成审计工作整合审计整合审计snai2009-5-124计划审计工作计划审计工作(一)总体要求CPA应当恰当地计划内控审计工作,并对助理人员进行适当的督导。在计划整合审计工作时,CPA应当考虑下列12个事项对财务报表和内控是否有重要影响,以及有重要影响的事项将如何影响CPA的审计工作:snai2009-5-125计划审计工作计划审计工作(1)注册会计师执行其他业务时了解的情况;(2)在评价是否接受与保持客户和业务时,注册会计师了解的与企业相关的风险情况;(3)影响企业所处行业的
19、事项,如行业财务报告惯例、经济形势和技术革新;(4)与企业相关的法律法规;(5)与企业经营相关的重要事项,包括组织结构、经营特征和资本结构;(6)经营活动的复杂程度;(7)企业经营活动或内部控制最近发生变化的程度;(8)注册会计师对重要性、风险以及与确定内部控制重大缺陷相关的其他因素所作的初步判断:(9)以前与审计委员会或管理层沟通过的控制缺陷;(10)可获取的、与内部控制有效性相关的证据的类型和范围;(11)对内部控制有效性的初步判断;(12)与评价财务报表发生重大错报的可能性和内部控制有效性相关的公开信息。snai2009-5-126风险评估风险评估风险评估风险评估调整审计工作调整审计工作
20、调整审计工作调整审计工作应对舞弊风险应对舞弊风险应对舞弊风险应对舞弊风险利用其他相关人员的工作利用其他相关人员的工作利用其他相关人员的工作利用其他相关人员的工作确定重要性水平确定重要性水平确定重要性水平确定重要性水平对企业使用服务机构的考虑对企业使用服务机构的考虑对企业使用服务机构的考虑对企业使用服务机构的考虑计划审计工作计划审计工作6步骤步骤计划审计工作计划审计工作6步骤步骤计划审计工作计划审计工作snai2009-5-127风险评估的作用被审计单位的性质被审计单位的性质被审计单位对会计政策的选择和运用被审计单位对会计政策的选择和运用目标、战略与相关经营风险目标、战略与相关经营风险财务业绩的
21、衡量与评价财务业绩的衡量与评价风险评估风险评估实施进一步审计程序实施进一步审计程序识别识别通过风险评估程序通过风险评估程序行业状况、法律与监管环境以及其他外部因素行业状况、法律与监管环境以及其他外部因素了解被审计单位及其环境了解被审计单位及其环境内部控制内部控制评估评估snai2009-5-128计划审计工作计划审计工作内容内容要求要求1、风险评估以风险评估为基础,确定重要账户、列报及其相关认定,选择拟测试的控制,以及确定针对所选定控制需要收集的证据2、调整审计工作根据企业具体情况调整审计工作,以获取充分、适当的证据,支持审计意见3、应对舞弊风险考虑财务报表审计中对舞弊风险的评估结果。在识别并
22、测试企业层面控制以及选择其他控制进行测试时,CPA应当评价企业的控制是否足以应对已识别的、由舞弊导致的重大错报风险,并评价为应对管理层凌驾于控制之上的风险而设计的控制(二)具体内容和要求snai2009-5-129计划审计工作计划审计工作内容内容要求要求4、利用其他相关人员的工作1利用内部审计人员等相关人员的工作2利用其他CPA的工作5、确定重要性水平在计划内控审计工作时,应当使用与财务报表审计相同的重要性水平6、对企业使用服务机构的考虑1.(1)了解服务机构中与企业内控相关的控制以及企业针对服务机构活动所实施的控制;(2)获取相关控制运行有效的证据2不应在审计报告中提及服务机构CPA的报告(
23、二)具体内容和要求snai2009-5-130实施审计工作实施审计工作(一)总体要求在内控审计中,CPA应当以风险评估为基础,运用自上而下自上而下的方法,选择拟测试的控制。自上而下自上而下的方法是CPA识别风险及选择拟测试的控制的思路,但并不一定是实施审计工作的顺序。自上而下的方法按照下列思路展开:snai2009-5-131从财务报表层次初步了解内控整体风险从财务报表层次初步了解内控整体风险从财务报表层次初步了解内控整体风险从财务报表层次初步了解内控整体风险识别企业层面控制识别企业层面控制识别企业层面控制识别企业层面控制识别重要账户、列报及其相关认定识别重要账户、列报及其相关认定识别重要账户
24、、列报及其相关认定识别重要账户、列报及其相关认定了解错报的可能来源了解错报的可能来源了解错报的可能来源了解错报的可能来源选择拟测试的控制选择拟测试的控制选择拟测试的控制选择拟测试的控制自上而下方法自上而下方法5步骤步骤自上而下方法自上而下方法5步骤步骤实施审计工作实施审计工作snai2009-5-132实施审计工作实施审计工作内容内容要求要求1识别企业层面控制测试对评价内控有效性有重要影响的企业层面控制2识别重要账户、列报及其相关认定1重要账户、列报及其相关认定;2识别重要账户、列报及其相关认定;3多个经营场所或业务单元;4审计范围;5相关豁免3了解错报的可能来源亲自执行穿行测试4选择拟测试的
25、控制应当评价控制是否足以应对评估的每个相关认定的错报风险形成审计结论和审计意见具有重要影响的控制进行测试(二)具体内容和要求(二)具体内容和要求snai2009-5-133内容内容要求要求5测试控制设计的有效性应当综合运用询问适当人员、观察经营活动和检查相关文件等程序。在审计实务中,CPA执行穿行测试通常就足以评价控制设计的有效性6测试控制运行的有效性应当综合运用询问适当人员、观察经营活动、检查相关文件以及重新执行控制等程序7风险与拟获取证据的关系正向关系;1风险与拟获取证据的关系;2影响审计中与某项控制相关的风险因素;3控制偏差;4测试控制有效性实施的程序;5测试时间;6控制的改变;7期中测
26、试结果的更新8连续审计时的特殊考虑1影响审计中与某项控制相关的风险因素;2自动化应用控制;3增强测试的不可预见性实施审计工作实施审计工作(二)具体内容和要求(二)具体内容和要求snai2009-5-134案例案例控制测试方法控制测试方法snai2009-5-135控制测试方法与控制类型的关系控制测试方法与控制类型的关系检查证据检查证据控制类型控制类型测试方法测试方法实物控制实物控制职务分离职务分离稽核稽核批准与授权批准与授权穿行测试穿行测试 实地观察实地观察S SP PN/AN/AP PS SN/AN/AP PS SN/AN/AS SN/AN/AP PP控制测试的主要方法S控制测试的次要方法N
27、/A不适用P控制测试的主要方法S控制测试的次要方法N/A不适用备注备注snai2009-5-136控制测试方法示例控制测试方法示例客户:*股份公司签名日期项目:采购预付款循环企业内部控制测试编制人*M2-1截止日:2007.1.1-2007.12.31复核人*1一、测试目标1.确定所记录的购货都已收到物品或已接收劳务,并符合购货方的最大利益。2.确定已发生的购货业务均已记录。3.所记录的购货业务估价正确。4.购货业务的分类正确。5.购货业务按正确的日期记录。6.购货业务被正确记入应付账款和存货等明细账中,并被准确汇总。二、测试程序执行情况说明索引号1.测试请购申请的提出是否符合规定,是否每张请
28、购单都要有主管人员签字。已执行M2-22.测试采购是否经过适当授权,订货单是否连续编号,是否一式多联,分送相关部门;采购合同是否符合企业内部控制的要求。已执行M2-3M2-43.验收单是否与订购单内容相符,不符的是否得到恰当处理,验收单是否连续编号。已执行M2-54.测试应付凭单是否与验收单、订货单内容一致,计算是否正确等。已执行M2-65.测试购货业务入账是否及时,所附凭单是否合法、完备,是否定期对账。已执行/控制良好M2-76.测试付款环节是否经过适当授权,负债是否按其偿还等。已执行M2-8客户:*股份公司签名日期项目:采购预付款循环企业内部控制测试编制人*M2-1截止日:2007.1.1
29、-2007.12.31复核人*1一、测试目标1.确定所记录的购货都已收到物品或已接收劳务,并符合购货方的最大利益。2.确定已发生的购货业务均已记录。3.所记录的购货业务估价正确。4.购货业务的分类正确。5.购货业务按正确的日期记录。6.购货业务被正确记入应付账款和存货等明细账中,并被准确汇总。二、测试程序执行情况说明索引号1.测试请购申请的提出是否符合规定,是否每张请购单都要有主管人员签字。已执行M2-22.测试采购是否经过适当授权,订货单是否连续编号,是否一式多联,分送相关部门;采购合同是否符合企业内部控制的要求。已执行M2-3M2-43.验收单是否与订购单内容相符,不符的是否得到恰当处理,
30、验收单是否连续编号。已执行M2-54.测试应付凭单是否与验收单、订货单内容一致,计算是否正确等。已执行M2-65.测试购货业务入账是否及时,所附凭单是否合法、完备,是否定期对账。已执行/控制良好M2-76.测试付款环节是否经过适当授权,负债是否按其偿还等。已执行M2-8snai2009-5-137企业内部控制评价企业内部控制评价客户:*股份公司签名日期项目:采购预付款循环企业内部控制测试编制人*2007.3.9索引号M2-1截止日:2007.1.1-2007.12.31复核人*2007.3.9页次1应付账款明细账是否有原始凭证原始凭证是否与账务记录一致是否有与总账余额核对标记是否有与供应商对账
31、的标记备注日期记帐凭证编号金额11/1211-1233450011/2011-1252346511/2011-1327890011/2111-1371200111/2111-1451178011/2111-15116800CPA意见及结论:应付款项明细账记录清晰,每一笔记录对应的记帐凭证都附有相应的经批准的原始凭证,原始凭证的内容与记账凭证的记录一致,每月的明细账余额与总账余额核对相符。但是,本环节中,缺乏明细账与供应商对账的企业内部控制,发生错记、漏记负债,或弄虚作假及贪污挪用购货资金等问题的风险增大。同时也检查了与应付账款对应的资产账户,没有发现异常情况。客户:*股份公司签名日期项目:采购
32、预付款循环企业内部控制测试编制人*2007.3.9索引号M2-1截止日:2007.1.1-2007.12.31复核人*2007.3.9页次1应付账款明细账是否有原始凭证原始凭证是否与账务记录一致是否有与总账余额核对标记是否有与供应商对账的标记备注日期记帐凭证编号金额11/1211-1233450011/2011-1252346511/2011-1327890011/2111-1371200111/2111-1451178011/2111-15116800CPA意见及结论:应付款项明细账记录清晰,每一笔记录对应的记帐凭证都附有相应的经批准的原始凭证,原始凭证的内容与记账凭证的记录一致,每月的明细
33、账余额与总账余额核对相符。但是,本环节中,缺乏明细账与供应商对账的企业内部控制,发生错记、漏记负债,或弄虚作假及贪污挪用购货资金等问题的风险增大。同时也检查了与应付账款对应的资产账户,没有发现异常情况。snai2009-5-138客户订单客户订单赊销信用赊销信用装运凭证装运凭证/提货单提货单销售发票销售发票记录销售记录销售销售退回、折扣和折让销售退回、折扣和折让记录收款业务记录收款业务坏账处理坏账处理接受订单接受订单销售单销售单批准批准仓库供货仓库供货装运货物装运货物向顾客开具帐单向顾客开具帐单一系列凭证或账簿一系列凭证或账簿穿行测试示例穿行测试示例snai2009-5-139企业内部控制与实
34、质性审计关系企业内部控制与实质性审计关系控制测试结果(控制成功%)控制测试结果(控制成功%)99%以上99%以上95%-99%95%-99%90%-95%90%-95%90%以下90%以下对系统的最终评价对系统的最终评价优优良良一般一般差差企业内部控制可信程度企业内部控制可信程度高高中中低低零零实质性审计要求的置信程度实质性审计要求的置信程度75%75%80%80%90%90%95%95%snai2009-5-140评价识别的控制缺陷评价识别的控制缺陷(一)评价控制缺陷的严重程度1控制缺陷的类别如果控制的设计或运行不能使管理层或员工在正常履行职责的过程中及时防止或发现错报,则表明内控存在缺陷。
35、内控存在的缺陷包括设计缺陷和运行缺陷。设计缺陷设计缺陷是指缺少为实现控制目标所必需的控制,或者控制设计不适当、即使正常运行也难以实现控制目标。运行缺陷运行缺陷是指现存设计适当的控制没有按设计意图运行,或执行人员没有获得必要授权或专业胜任能力,无法有效地实施控制。在下列情况之一,企业应当认定内部控制存在设计或运行设计或运行缺陷:未实现规定的控制目标;未执行规定的控制活动;突破规定的权限;不能及时提供控制运行有效的相关证据。snai2009-5-141评价识别的控制缺陷评价识别的控制缺陷内控存在的缺陷,按其严重程度分为重大缺陷(也称实质性漏洞)、重要缺陷和一般缺陷。重大缺陷重大缺陷是内控中存在的、
36、可能导致财务报表重大错报的一项控制缺陷或多项控制缺陷的组合。重要缺陷重要缺陷是内控中存在的、其严重程度不如重大缺陷但足以引起负责监督企业财务报告的人员关注的一项控制缺陷或多项控制缺陷的组合。一般缺陷一般缺陷是内控中存在的、除重大缺陷和重要缺陷之外的控制缺陷。snai2009-5-142影响会计报表缺陷影响会计报表缺陷其他会计信息质量缺陷其他会计信息质量缺陷IT控制缺陷IT控制缺陷内控重大事故事件缺陷内控重大事故事件缺陷内部控制缺陷内部控制缺陷非财务报告缺陷(企业内部管理缺陷)非财务报告缺陷(企业内部管理缺陷)财务报告缺陷财务报告缺陷内控缺陷是指在内控设计和运行方面,已经发生的内控程序不足或产生
37、不足的可能性并影响企业内部控制整体有效性。内控缺陷是指在内控设计和运行方面,已经发生的内控程序不足或产生不足的可能性并影响企业内部控制整体有效性。评价识别的控制缺陷评价识别的控制缺陷snai2009-5-143财务报告缺陷财务报告缺陷财务报告缺陷财务报告缺陷非财务报告缺陷非财务报告缺陷非财务报告缺陷非财务报告缺陷填写填写“内部控制缺陷认定汇总表内部控制缺陷认定汇总表”实质性漏洞实质性漏洞实质性漏洞实质性漏洞重要缺陷重要缺陷重要缺陷重要缺陷一般缺陷一般缺陷一般缺陷一般缺陷结果结果结果结果一般缺陷一般缺陷一般缺陷一般缺陷一般情况下一般情况下评价识别的控制缺陷评价识别的控制缺陷snai2009-5-
38、144评价识别的控制缺陷评价识别的控制缺陷2控制缺陷的严重程度CPA应当评价其注意到的各项控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成内控的重大缺陷。但是,在计划和实施审计工作时,不要求CPA寻找单独或组合起来不构成重大缺陷的控制缺陷。控制缺陷的严重程度取决于:(1)控制缺陷导致账户余额或列报错报的可能性:(2)因一项控制缺陷或多项控制缺陷导致的潜在错报的金额大小。snai2009-5-145评价识别的控制缺陷评价识别的控制缺陷3评价控制缺陷是否具有导致错报的可能性控制缺陷的严重程度与错报是否发生无关,而取决于控制不能防止或发现错报是否具有可能性。在评价一项控制缺陷或多项控制缺陷
39、的组合是否可能导致账户余额或列报发生错报时,CPA应当考虑的风险因素包括:(1)所涉及的账户、列报及其相关认定的性质;(2)相关资产或负债易于发生损失或舞弊的程度;(3)确定相关金额时所需判断的主观、复杂程度及范围;(4)该项控制与其他控制的相互作用或关系;(5)控制缺陷之间的相互作用;(6)控制缺陷在未来可能产生的影响。snai2009-5-146评价识别的控制缺陷评价识别的控制缺陷3评价控制缺陷是否具有导致错报的可能性评价控制缺陷是否具有导致错报的可能性时,CPA无需将错报发生的概率量化为某特定的百分比或区间。如果多项控制缺陷影响财务报表的同一账户或列报,错报发生的概率就会增加。在存在多项
40、控制缺陷时,即使从单项看不重要,但组合起来可能构成重大缺陷。因此,CPA应当确定,对同一重要账户、列报及其相关认定或内控组成部分产生影响的各项控制缺陷,组合起来是否构成重大缺陷。snai2009-5-147评价识别的控制缺陷评价识别的控制缺陷4评价控制缺陷导致的潜在错报的金额大小在评价因一项控制缺陷或多项控制缺陷的组合导致的潜在错报的金额大小时,CPA应当考虑的因素包括:(1)受控制缺陷影响的财务报表金额或交易总额;(2)在本期或预计的未来期间受控制缺陷影响的账产余额或各类交易涉及的交易量。在评价潜在错报的金额大小时,账户余额或交易总额的最大多报金额通常是已记录的金额,但其最大少报金额可能超过
41、已记录的金额。通常,小金额错报比大金额错报发生的概率更高。snai2009-5-148评价识别的控制缺陷评价识别的控制缺陷5评价替代性控制的影响在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时,CPA应当评价替代性控制的影响。为减弱控制缺陷的不利影响,企业执行的替代性控制应当具有同样的效果,以防止或发现可能发生的重大错报。snai2009-5-149(二)表明可能存在重大缺陷的迹象下列迹象可能表明内控存在重大缺陷:(1)CPA发现高级管理人员的任何舞弊;(2)企业重述以前公布的财务报表,以反映重大错报的更正情况;(3)CPA发现当期财务报表存在重大错报,而内控在运行过程中未能发现该错报
42、;(4)审计委员会对财务报告及内控的监督无效。如果CPA确定发现的一项控制缺陷或多项控制缺陷的组合将导致审慎的管理人员执行工作时,认为自身无法合理保证按照企业会计准则的规定记录交易,应当将这一项控制缺陷或多项控制缺陷的组合视为存在重大缺陷的迹象。评价识别的控制缺陷评价识别的控制缺陷snai2009-5-150内控重大事故事件缺陷:以未经授权、舞弊或内控重大事故事件缺陷:以未经授权、舞弊或IT控制不善造成财产损失或影响给股东带来利益损害为判别依据。控制不善造成财产损失或影响给股东带来利益损害为判别依据。缺陷认定等级缺陷认定等级直接财产损失金额直接财产损失金额重大负面影响重大负面影响一般缺陷一般缺
43、陷10万元(含万元(含10万元)万元)500万元万元或受到省级(含省级)以下政府部或受到省级(含省级)以下政府部门处罚但未对公司定期报告披露造门处罚但未对公司定期报告披露造成负面影响成负面影响重要缺陷重要缺陷500万元(含万元(含500万元)万元)-1000万元万元或受到国家政府部门处罚但未对股或受到国家政府部门处罚但未对股份公司定期报告披露造成负面影响份公司定期报告披露造成负面影响实质性漏洞实质性漏洞1000万元及以上万元及以上或已经对外正式披露并对公司定期或已经对外正式披露并对公司定期报告披露造成负面影响报告披露造成负面影响案例案例snai2009-5-151一般缺陷一般缺陷坏账准备怎么提
44、?坏账准备怎么提?坏账准备应该调整至坏账准备应该调整至100万元万元现有的内控是如何要求的增加准备金无负面影响现有的内控是如何要求的增加准备金无负面影响snai2009-5-152重要缺陷重要缺陷坏账准备怎么提?坏账准备怎么提?坏账准备应该调整至坏账准备应该调整至800万元万元现有的内控是如何要求的增加准备金有负面影响现有的内控是如何要求的增加准备金有负面影响snai2009-5-153实质性漏洞实质性漏洞坏账准备怎么提?坏账准备怎么提?坏账准备应该调整至坏账准备应该调整至5000万元万元现有的内控是如何要求的增加准备金有负面影响现有的内控是如何要求的增加准备金有负面影响snai2009-5-
45、154完成审计工作完成审计工作形成审计意见形成审计意见形成审计意见形成审计意见获取管理层书面声明获取管理层书面声明获取管理层书面声明获取管理层书面声明沟通相关事项沟通相关事项沟通相关事项沟通相关事项完成审计工作完成审计工作3步骤步骤完成审计工作完成审计工作3步骤步骤snai2009-5-155完成审计工作完成审计工作内容要求内容要求(一)形成审计意见评价从各种来源获取的证据,包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷,形成对内控有效性的意见;应当查阅本年度内容涉及内控的内部审计报告或类似报告,并评价这些报告中指出的控制缺陷;增加强调事项段;否定意见;存在范围限制,C
46、PA应当解除业务约定或出具无法表示意见snai2009-5-156完成审计工作完成审计工作内容要求内容要求(二)获取管理层书面声明(案例)(案例)横店东磁:董事会审计委员会关于2008年度内部控制的自我评价报告1、包括:(1)管理层认可其对建立和保持有效的内控负责;(2)管理层己对内控的有效性作出评价,并说明评价运用的控制标准;(3)管理层没有利用CPA在内控审计和财务报表审计中执行的程序及其结果作为管理层自我评价的基础;(4)管理层根据控制标准评价内控有效性得出的结论;(5)管理层已向CPA披露识别出的、内控在设计或运行方面存在的所有缺陷,包括已专门向CPA披露的所有重大缺陷或重要缺陷;(6
47、)导致财务报表发生重大错报的所有舞弊,以及其他不会导致财务报表发生重大错报,但涉及管理层和其他在内控中具有重要作用的员工的所有舞弊:(7)CPA在以前年度审计中识别的且己与审计委员会沟通的重大或重要缺陷是否已经得到解决,以及哪些缺陷尚未得到解决;(8)在企业内控自我评价基准日后,内控是否发生变化,或者是否存在对内控产生重要影响的其他因素,包括管理层针对重大缺陷和重要缺陷采取的所有纠正措施。2、拒绝提供书面声明,或因其他原因未能获取书面声明,CPA应当将其视为审计范围受到限制,解除业务约定或出具无法表示意见snai2009-5-157内容要求内容要求(三)沟通相关事项1应当以:书面形式与管理层和
48、审计委员会沟通审计过程中识别的所有重大缺陷。书面沟通应当在CPA出具内控审计报告之前进行。如果认为审计委员会对财务报告及其内控的监督无效,CPA应当就这一事项以书面形式与董事会沟通。2CPA应当考虑其识别的一项控制缺陷或多项控制缺陷的组合是否构成重要缺陷。如果构成重要缺陷,则应当就此以书面形式与审计委员会沟通。3尽管并不要求CPA执行足以识别所有控制缺陷的程序,但是,CPA应当以书面形式与管理层沟通其在审计过程中识别的内控存在的所有缺陷,并在沟通完成后告知审计委员会。在进行沟通时,CPA无需重复自身、内部审计人员或企业其他人员以前书面沟通过的控制缺陷。4内控审计不能保证CPA能够发现严重程度低
49、于重大缺陷的所有控制缺陷。因此,CPA不应在审计报告中声明,在审计过程中没有发现严重程度低于重大缺陷的控制缺陷。5如果发现企业存在或可能存在舞弊或违反法规行为,CPA应当遵守第1141号、1142号准则的规定完成审计工作完成审计工作snai2009-5-158案例案例横店东磁:横店东磁:关于关于2008年度内部控制的自我评价报告年度内部控制的自我评价报告关于2008 年度内部控制的自我评价报告一、公司基本情况二、公司内部控制的原则和目标三、公司内部控制体系(一)内部环境(二)风险评估(三)控制活动(四)信息与沟通(五)内部监督四、内部控制的总体评价五、加强公司内部控制的措施横店集团东磁股份有限
50、公司董事会审计委员会二九年三月三十日snai2009-5-159内控审计报告内控审计报告(一)总体要求1CPA应当评价根据审计证据得出的结论,以作为对内控的有效性形成审计意见的基础。2CPA应当在审计报告中清楚地表达对内控有效性的意见,并对出具的审计报告负责。3CPA在完成内控审计和财务报表审计后,应当分分别别对内控和财务报表出具审计报告。当CPA出具的无保留意见的审计报告不附加说明段、强调事项段或任何修饰性用语时,该报告称为标准审计报告。(二)标准内控审计报告要素snai2009-5-160内控审计报告XX股份有限公司全体股东:我们审计了XX年X月X日XX股份有限公司(以下简称XX公司)的财
黑公网安备:91230400333293403D