企业内部控制审计初探课件.ppt

企业内部控制审计初探,一、内控报告二、计划审计工作三、测试内部控制五、控制缺陷评价六、信息系统的审计,企业内部控制审计初探,序言内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。这个过程是通过设计完整、有效的制度并通过有效的执行来实现控制目标。内部控制鉴证、审计、评价应该也是从两方面进行制度设计的完整性、有效性制度执行的有效性,控制设计的有效性：如果某项控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定的程序和要求执行，能够实现控制目标，从而有效地防止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊，则表明该项控制的设计是有效的。综合运用询问适当人员、观察经营活动和检查相关文件等程序,3,控制的设计和运行有效性,实施意见第三(九)至(十四)部分,控制运行的有效性：如果某项控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力，能够实现控制目标，则表明该项控制的运行是有效的。综合运用询问适当人员、观察经营活动、检查相关文件以及重新执行等程序,4,控制的设计和运行有效性,实施意见第三(九)至(十四)部分,一、内控报告,（一)内控审计报告 关于2012 年主板上市公司分类分批实施企业内部控制规范体系的通知（30号文） 深圳证券交易所中小企业板上市公司规范运作指引(二)内控鉴证报告 深圳证券交易所创业板上市公司规范运作指引 首次公开发行股票并上市管理办法 首次公开发行股票在创业板上市管理办法(三)内控评价报告 公开发行证券的公司信息披露编报规则第21号年度内部控制评价报告的一般规定,一、内控报告,关于2012 年主板上市公司分类分批实施企业内部控制规范体系的通知（30号文）规定：上市公司在发布年报的同时披露董事会审议通过的内部控制自我评价报告，以及注册会计师出具的财务报告内部控制审计报告主板：上交所上市的60开头的，或深交所上市的000开头的A股 2012-2014年分批披露 特殊情况：豁免 一是主板上市公司因进行破产重整、借壳上市或重大资产重组，无法按照规定时间建立健全内控体系的，原则上应在相关交易完成后的下一个会计年度年报披露的同时，披露内部控制自我评价报告和审计报告 二是新上市的主板上市公司应于上市当年开始建设内控体系，并在上市的下一年度年报披露的同时，披露内部控制自我评价报告和审计报告 三是部分豁免 公司在报告年度发生并购交易的，可豁免本年度对被并购企业财务报告内部控制有效性的评价。-上市公司实施企业内部控制规范体系监管问题解答（2011 年第1 期，总第1 期）-在报告中要披露豁免事项,一、内控报告,深圳证券交易所中小企业板上市公司规范运作指引第七章：“7.8.4上市公司在聘请会计师事务所进行年度审计的同时，应当至少每两年要求会计师事务所对内部控制设计与运行的有效性进行一次审计，出具内部控制审计报告。会计师事务所在内部控制审计报告中，应当对财务报告内部控制的有效性发表审计意见，并披露在内部控制审计过程中注意到的非财务报告内部控制的重大缺陷。本所另有规定的除外。”中小板：002开头的,一、内控报告,深圳证券交易所创业板上市公司规范运作指引第七章：“7.7.18上市公司在聘请会计师事务所进行年度审计的同时，应当至少每两年要求会计师事务所对公司与财务报告相关的内部控制有效性出具一次内部控制鉴证报告。本所另有规定的除外。”首次公开发行股票并上市管理办法 （中国证券监督管理委员会令 第32号2006年）的第二十四条：“发行人的内部控制制度健全且被有效执行，能够合理保证财务报告的可靠性、生产经营的合法性、营运的效率与效果。”；第二十九条：“发行人的内部控制在所有重大方面是有效的，并由注册会计师出具了无保留结论的内部控制鉴证报告”首次公开发行股票在创业板上市管理办法（ 2009年）的第二十一条创业板：300开头的。,一、内控报告,公开发行证券的公司信息披露编报规则第21号年度内部控制评价报告的一般规定第二条凡在中华人民共和国境内公开发行证券并在证券交易所上市的股份有限公司(以下简称公司)，按照有关规定需要披露年度内部控制评价报告或需要参照年度内部控制评价报告披露有关内部控制信息时，应遵循本规则。第三条本规则是对年度内部控制评价报告披露的最低要求。第五条公司编制的年度内部控制评价报告经董事会审议通过，并按定期报告相关要求审核后，与年度报告一并对外披露。,一、内控报告,二、内控报告,二、内控审计报告,一、标准无保留意见的审计报告 在所有方面保持了有效的财务内部控制 可以存在非财务报告内部控制的重大缺陷 非财务报告内部控制的一般缺陷和重要缺陷与企业董事会和经理层沟通，提醒企业加以改进，但无需在内部控制审计报告中说明二、否定意见的审计保告内部控制存在一项或多项重大缺陷不存在审计范围受到限制的情况注册会计师知悉对企业内部控制自我评价基准日内部控制有效性有重大负面影响的期后事项的，应当对财务报告内部控制发表否定意见。 三、无法表示意见的审计保告审计范围受到限制注册会计师不能确定期后事项对内部控制有效性的影响程度的，应当出具无法表示意见的内部控制审计报告。,二、内控审计报告,四、带强调事项段的审计报告 无保留意见是前提 强调整事项：1、管理层内部控制评价报告的表达不完整或不恰当 如果确定管理层评估报告的表达不完整或不恰当，注册会计师应当在审计报告中增加强调事项段，说明这一情况并解释得出该结论的理由。2、期后事项注册会计师可能知悉在管理层评估日并不存在、但在期后期间发生的事项。如果这类期后事项对内部控制有重大影响，注册会计师应当在审计报告中增加强调事项段，以描述该事项及其影响，或提醒审计报告使用者关注管理层内部控制评估报告中披露的该事项及其影响3、不存在重大缺陷，但仍有一项或者多项重大事项需要提请内部控制审计报告使用者注意的4、其他信息存在对事实重大错报（如董、监、高述职报告）如果认为其他信息含有对事实的重大错报，注册会计师应当就此与管理层进行讨论。如果讨论后仍认为存在对事实的重大错报，注册会计师应当以书面形式，将其看法告知管理层和审计委员会,内部控制审计报告存在的问题,内控审计报告的客观性存疑问存在以无法表示意见代替否定意见的嫌疑否定意见报告数量增加，占比下降，客观性存疑强调事项段被滥用嫌疑被监管机构立案调查作为强调事项或出具标准无保留意见，恰当性存疑持续经营问题作为强调事项，恰当性存疑审计范围问题强调的必要性存疑存在将财务报告内控重大缺陷作为强调事项披露嫌疑非财务报告内部控制缺陷作为强调事项披露恰当性存在以强调事项代替否定意见的嫌疑财务审计报告为保留意见的，内控审计报告出具标准无保留意见,内部控制审计报告存在的问题,内控审计意见非标准内控审计意见的表述不充分 未按要求披露缺陷对财务报告内控影响程度 未按照要求披露重大缺陷对财务报表审计意见的影响 未按照要求披露非财务报告重大缺陷的性质及实现控制目标的影响 披露信息不能充分支持对内控缺陷的认定 强调事项是否与财务报告或者非财务报告内部控制相关以及对内控的影响,内部控制审计报告存在的问题,内控评价意见与内控审计意见出现不一致的。没有充分说明原因内控审计报告相关披露与事实不符，或相关披露不充分审计报告的披露与事实不一致：审计师披露重大缺陷已包括在公司内控评价报告中，实际公司评价报告并未披露该缺陷审计师对重大缺陷的认定结论与公司内控评价报告的结论不一致，但审计师未在审计报告中指出该重大差异,二、内控审计报告-否定意见类型（一）,注册会计师认为上海家化的财务报告内部控制存在如下重大缺陷：（1）关联交易管理中缺少主动识别、获取及确认关联方信息的机制，也未明确关联方清单维护的频率；无法保证关联方及关联方交易被及时识别，并履行相关的审批和披露事宜，影响财务报表中关联方及关联方交易完整性和披露准确性，与之相关财务报告内部控制设计失效。上海家化在2013年12月对上述存在重大缺陷的内部控制进行了整改，但整改后的控制尚未运行足够长的时间。注：关联方应实施的程序：取得企业关联方清单，了解企业识别、获取及确认关联方信息的机制、关联方清单维护的频率，并检查是否按制度执行（2）部分子公司尚未建立在会计期末对当期应付但未付的销售返利和运输费等费用总金额进行统计和预提的内部控制。上述重大缺陷影响财务报表中销售费用和运输费用的交易完整性，准确性和截止性，与之相关财务报告内部控制设计失效。上海家化尚未在2013年度完成对上述存在重大缺陷的内部控制的整改工作，但在编制2013年度财务报表时已对销售返利和运输费等费用进行了恰当预提，并对前期对应数据相应进行了追溯调整及重述。,二、内控审计报告-否定意见类型（一）,（3）对财务人员的专业培训尚不够充分、对最新会计准则的掌握不够准确、财务报告及披露流程中的审核存在部分运行失效，未能及时发现对委外加工业务、销售返利、可供出售的金融资产在长期资产与流动资产的分类、营销类费用在应付账款与其他应付款的分类等会计处理的差错，影响财务报表中多个会计科目的准确性。上海家化尚未在2013年度完成对上述存在重大缺陷的内部控制的整改工作，但在编制2013年度财务报表时已对这些可能存在的会计差错予以关注、避免和纠正，并对前期对应数据相应进行了追溯调整及重述。 根据2014年3月11日董事会决议上海家化对2013年度财务报表的前期对应数据相应进行了追溯调整及重述，增加披露了2012 年度的关联方和相关关联方交易，并更正了涉及主营业务收入、其他业务收入、主营业务成本、其他业务成本、销售费用、应收账款、存货、其他流动资产、可供出售金融资产、其他应付款、应付账款以及未分配利润等会计科目前期对应数据的重大会计差错。 有效的内部控制能够为财务报告及相关信息的真实完整提供合理保证，注册会计师认为上述重大缺陷使上海家化内部控制失去这一功能。,二、内控审计报告-否定意见类型（二）,注册会计师认为西部矿业的财务报告内部控制存在如下重大缺陷：（1）西部矿业下属子公司中国西部矿业（香港）有限公司（简称“西矿香港”）在2013年存在对长期贸易合同未按公司内部控制制度所规定的流程完整履行授权审批程序即予以签订并执行的情况，与之相关的财务报告内部控制执行失效，该重大缺陷可能导致西部矿业出现资金损失及合同诉讼等风险；（2）西部矿业下属子公司西矿香港在2013年存在未按公司内部控制制度所规定的流程完整履行授权审批程序即对部分客户进行授信并赊销销售的情况，与之相关的财务报告内部控制执行失效，该重大缺陷可能导致应收账款到期无法收回而产生坏账损失等风险。 西部矿业尚未在2013年度完成对存在上述重大缺陷的内部控制的整改工作，但在编制2013年度财务报表时已对上述内控失效可能导致的会计差错予以关注、避免和纠正。有效的内部控制能够为财务报告及相关信息的正是完整提供合理保证注册会计师认为上述重大缺陷使贵公司内部控制失去这一功能。西部矿业管理层已识别出上述重大缺陷，并将其包含在企业内部控制评价报告中。在西部矿业2013年财务报表审计中，注册会计师已经考虑了上述重大缺陷对审计程序的影响。,二、内控审计报告-否定意见类型（三）,在内部控制审计中，注册会计师注意到航天通信具有客户资信等级评估、授信额度管理方面的内控设计程序，但业务部门在与客户交易的过程中未严格执行，航天通信对客户资信等级评估、授信额度管理等方面的内部控制在执行层面存在重大缺陷。同时，注册会计师注意到，由于未严格执行该内部控制程序，已经给航天通信造成了重大损失。近年来，航天通信与上海中澜和新疆艾萨尔一直开展代理进口原毛业务，上海中澜的实际控制人和其控制的新疆艾萨尔公司对航天通信做了9000万元的最高额担保，航天通信未对上海中澜的实际控制人和新疆艾萨尔公司是否有能力承担担保义务进行详细调查，并超过最高担保额9000万元后仍向上海中澜和新疆艾萨尔发货，后因对方出现严重的资金问题，造成航天通信应收款项1.35亿元人民币不能按期收回。注册会计师认为，航天通信未对上海中澜的实际控制人和新疆艾萨尔公司是否有能力承担担保义务进行详细调查，属于客户资信等级评估执行层面内部控制程序存在重大缺陷，超过授信额度超额发货，属于授信额度管理内部控制程序存在重大缺陷。,二、内控审计报告-否定意见类型（四）,注册会计师认为泰达股份的财务报告内部控制存在如下重大缺陷：,二、内控审计报告-否定意见类型（四）,二、内控审计报告-否定意见类型（四）,泰达股份（普华永道中天事务所审计，2014）,二、内控审计报告-否定意见类型（四）,二、内控审计报告-否定意见类型（四）,二、计划审计工作,（一）初步业务活动（二）重要性（三）了解被审计单位及其环境（不包括内部控制）（四）了解被审计单位整体层面的内部控制（五）了解被审计单位业务流程层面的内部控制（六）风险评估（七）应对舞弊风险（八）利用他人的工作,计划审计工作：核心准则,1101号 财务报表审计的目标和一般原则 确立审计模型，即：审计风险取决于重大错报风险 & 检查风险 要求围绕重大错报风险的识别、评估和应对， 计划和实施审计工作 1211号 了解被审计单位及其环境并评估重大错报风险 要求从六个方面了解被审计单位及其环境 根据了解的信息，识别和评估重大错报风险 两个层次的重大错报风险：财务报表层次 & 认定层次 1231号 针对评估的重大错报风险实施的程序 针对评估的 财务报表层次重大错报风险 确定 总体应对措施 针对评估的 认定层次重大错报风险 设计和实施 进一步审计程序 目标是将审计风险降至可接受的低水平,财务报表审计中了解内部控制在评估重大错报风险中的方位,29,了解内部控制,评估重大错报风险,了解被审计单位的行业状况、法律环境与监管环境以及其他外部因素性质对会计政策的选择和运用目标、战略以及相关经营风险财务业绩的衡量和评价,控制环境；被审计单位的风险评估过程信息系统与沟通控制活动对控制的监督,财务报表层次,认定层次（各类交易、账户余额、列报（包括披露）,实施风险评估程序,了解被审计单位及其环境(不包括内部控制),内部控制审计中的自上而下的方法,30,整合审计流程图,31,计划审计工作-初步业务活动,业务接受或保持（B4） 注意底稿编制时间进现场之前前提条件： 管理层声明书可以单独，也可以是合并被审计单位责任（1）设立标准，建立健全内控（2）对内控有效性编制评价报告（3）开放所有资料，不受限独立性和胜任能力(B4) 注意底稿编制时间进现场之前审计业务约定书：财务审计和内控审计可以单独签，也可以合并签,计划审计工作-重要性,对应底稿B7财务报表与财报内控审计重要性是同一水平财务报表审计的重要性概念和作用重大错报风险内部控制审计的重要性控制缺陷评价标准,计划工作-内部控制缺陷评价标准,财务报告内部控制缺陷评价的定量标准财务报告内部控制缺陷评价的定性标准非财务报告内部控制缺陷评价的定量标准非财务报告内部控制缺陷评价的定性标准,计划工作-财报内部控制缺陷评价标准（定量）,潜在错报：不是实际已发生的错报，而是可能的错报,计划工作-财报内部控制缺陷评价标准（定性）,重大缺陷：公司会计报表、财务报告及信息披露等方面发生重大违规事件；公司审计委员会和内部审计机构未能有效发挥监督职能；注册会计师对公司财务报表出具无保留意见之外的其他三种意见审计报告；重要缺陷：公司会计报表、财务报告编制不完全符合企业会计准则和披露要求，导致财务报表出现重要错报；公司以前年度公告的财务报告出现重要错报需要进行追溯调整；一般缺陷：未构成重大缺陷、重要缺陷标准的其他内部控制缺陷,计划工作-非财报内部控制缺陷评价标准（定量）,计划工作-非财报内部控制缺陷评价标准（定性）,重大缺陷：1. 公司经营活动严重违反国家法律、行政法规和规范性文件； 2.重大决策程序不合规； 3.关键岗位管理人员和技术人员严重流失； 4.信息披露内部控制失效，导致公司被监管部门公开谴责； 5.内部控制评价的结果特别是重大缺陷或重要缺陷未得到整改。 重要缺陷：1.公司因管理失误发生依据上述定量标准认定的重要财产损失，控制活动未能防范失误; 2.财产损失虽然未达到和超过该重要性水平，但从性质上看，仍应引起董事会和管理层重视; 3.其他对公司产生较大负面影响的情况。 一般缺陷：未构成重大缺陷、重要缺陷标准的其他内部控制缺陷,重大缺陷的迹象, 发现董事、监事和高级管理人员舞弊 企业更正已经公布的财务报表 发现当期财务报表重大错报，内部控制运行未能发现该错报 审计委员会和内部审计机构对内部控制的监督无效,计划审计工作-了解被审计单位及其环境（不包括内部控制）,40,（一）行业状况、法律环境与监管环境以及其他外部因素（二）被审计单位的性质（三）被审计单位对会计政策的选择和运用（四）被审计单位的目标、战略以及相关经营风险（五）被审计单位财务业绩的衡量和评价,计划审计工作-了解被审计单位及其环境（不包括内部控制）,1.1行业状况，主要包括： 所在行业的需求与竞争 生产经营的季节性和周期性 产品生产技术的变化 能源供应与成本 行业的关键指标和统计数据,识别与行业相关的重大错报风险。 比如：建筑施工企业往往采用建造合同 确认收入，完工百分比的确定往往存在重大错报。,形成财务报表结果的预期，确定在分析程序中使 用的预期值 评价持续经营假设的合理性,计划审计工作-了解被审计单位及其环境（不包括内部控制）,1.2法律环境及监管环境 适用的会计准则会计制度和行业特定惯例 对经营活动产生重大影响的法律法规及监管活动 对开展业务产生重大影响的政府政策 货币财政税收和贸易等政策 与被审计单位所处行业和所从事经营活动相关的环保要求 其他外部因素 宏观经济的景气度 利率和资金供求状况 通货膨胀水平及币值变动 国际经济环境和汇率变动,可能对被审计单位经营活动有重大影响，如不遵守将导致停业等严重后果（持续经营、监管要求） 如质量保证法律要求，可能规定了被审计单位在某些方面的责任和义务（预计负债） 决定了被审计单位需要遵循的行业惯例和核算要求（会计核算） 分析企业财务报表的总体合理性（确定分析预期）,计划审计工作-了解被审计单位及其环境（不包括内部控制）,所有权结构 治理结构 组织结构,有助于识别关联方以及了解被审计单位的决策过程 良好治理结构可对被审计单位的经营和财务运作实施有效监督，降低财务报表发生重大错报的风险 复杂组织结构可能导致某些特定的重大错报风险 财务报表合并 商誉确认和减值 长期股权投资核算,1.3了解被审计单位性质,计划审计工作-了解被审计单位及其环境（不包括内部控制）,经营活动 主营业务的性质 与生产产品或提供劳务相关的市场信息 业务的开展情况 联盟合营与外包情况 从事电子商务的情况 地区与行业分布 生产设施仓库的地理位置及办公地点 关键客户 重要供应商 劳动用工情况 研究与开发活动及其支出 关联方交易,预期在财务报表中反映的主要交易类别、重要帐户余额和列报,1.3了解被审计单位性质,计划审计工作-了解被审计单位及其环境（不包括内部控制）,经营活动-关键客户风险识别示例,计划审计工作-了解被审计单位及其环境（不包括内部控制）,投资活动 审计期间内已实施或近期拟实施的并购活动与资产处置情况 证券委托贷款的发生与处置 资本性投资活动 固定资产和无形资产投资 近期或计划发生的变动 不纳入合并范围的投资,被审计单位在经营策略和方向上的重大变化 预期财务报表中的反映,1.3了解被审计单位性质,计划审计工作-了解被审计单位及其环境（不包括内部控制）,筹资活动 债务结构和相关条款 包括：担保情况及表外融资 租入固定资产 关联方融资 衍生金融工具的运用,预期财务报表中的反映（租赁、或有事项披露、关联方） 形成某些财务数据关系预期（如：财务费用的金额） 考虑被审计单位的持续经营能力,1.3了解被审计单位性质,计划审计工作-了解被审计单位及其环境（不包括内部控制）,1.4了解被审计单位的目标战略以及相关经营风险目标 被审计单位财务报表的错报可能源于不恰当的目标设定 战略 战略选择中的错误可能会增加财务报表发生错报的可能性 经营风险 源于对被审计单位实现目标和战略产生不利影响的重大情况事项环境和行动，或源于不恰当的目标和战略 经营风险可能对帐户层次和报表层次产生直接影响 多数经营风险最终都会产生财务后果,从而影响财务报表 但是，并非所有的经营风险都会导致重大错报风险 比如：受欧盟政策调整的影响，某光伏设备生产企业产品销售低迷，未审财务报表显示本期销售收入较上期减少了近60%。,被审计单位的目标战略以及相关经营风险,示例： 企业目标：扩大销售规模 战略：以成立合资公司方式进入国外市场 经营风险 与当地合资方在经营活动、企业文化方面的协调 控制权或共同控制权 当地市场情况 当地对合资公司的税收、外汇管制、利润汇回、汇率风险 财务报表错报风险 合资公司是属于子公司、合营企业、联营企业的判断 长期股权投资核算、是否存在减值问题 合资企业的财务报表编制基础差异 外币折算 ,1.5了解被审计单位对会计政策的选择和运用,会计政策的选择与财务报表的合法性和公允性紧密相关 需了解的内容 重要的会计政策、会计估计和行业惯例 重大和异常交易的会计处理方法 在新领域、缺乏权威性标准或共识的领域采用不同会计政策产生的影响 会计政策和会计估计变更 新颁布的会计准则和相关会计制度 列报和披露要求及执行情况 ,了解被审计单位对会计政策的选择和运用,案例：如何选择收入确认 某企业采用订单化生产组织方式，每个订单下包括若干具体产品，订单中的产品是分期交付的，但是这些产品在客户处共同组成一个整体发挥作用。同时，订单的付款结算也是分期进行的。但该付款结算周期与产品发货周期并不一致。 问题：如何确认产品销售收入？ 是否使用建造合同？ 如果不使用建造合同，如何选择收入的确认时点,1.6了解被审计单位财务业绩的衡量和评价,通常需关注的信息: 关键业绩指标 业绩趋势 预测预算和差异分析 管理层和员工业绩考核与激励性报酬政策 分部信息与不同层次部门的业绩报告 与竞争对手的业绩比较 外部机构提出的报告 还应关注 超出预期的事项或趋势 管理层的调查结果和纠正措施 财务业绩衡量指标的可靠性,内部控制的五大要素,内部控制五大要素 控制环境 风险评估过程 信息系统和沟通 控制活动 对控制的监督,实施意见第三(九)至（十一）部分,53,控制可能与某一“认定”直接相关，也可能与某一“认定”间接相关。 关系越间接，控制在防止或发现并纠正该认定中错报的有效性越小。, 对五大要素实施的程序 主要测试：控制活动和对控制的监督 防止、发现并纠正财务报表重大错报 对“认定”的直接作用 控制环境、风险评估程序、信息系统和沟通 对“认定”的间接作用 较难确定运行的有效性,三、了解企业层面内部控制,企业层面的控制对内部控制在所有业务流程中得到严格的设计和执行具有重要影响。 企业层面的控制较差甚至可能使最好的业务流程层面控制失效。企业层面重要关注领域： 公司治理：生产经营的独立性、关键管理人员的稳定性 关联方及其交易：关联交易审批、资金占用、关联方及其交易的披露 内部监督：内部审计,计划审计工作-了解企业层面控制,三、识别、了解企业层面控制B101、与控制环境(即内部环境)相关的控制；2、针对管理层和治理层凌驾于控制之上的风险而设计的控制；3、被审计单位的风险评估过程；4、对内部信息传递和期末财务报告流程的控制；5、对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价。 此外，集中化的处理和控制(包括共享的服务环境)、监控经营成果的控制以及针对重大经营控制及风险管理实务的政策也属于企业层面控制。,1.与控制环境（即内部环境）相关的控制,控制环境的要素：设定了一个组织的基调影响员工的控制意识管理层的理念和经营风格对经营风险、财务报告、信息处理和会计职能的态度组织结构职权与责任的分配对胜任能力的重视人力资源政策与实务对诚信和道德价值观念的沟通和落实治理层的参与程度控制环境对重大错报风险的评估具有广泛影响 控制环境本身并不能防止或发现并纠正各类交易帐户余额列报认定层次的重大错报，但是会产生广泛影响,审计准则第1211号指南第70条,56,程序：询问管理层和员工 了解管理层如何就业务规程和道德价值观念与员工进行沟通； 观察和检查 了解管理层是否建立了正式的行为守则，在日常工作中行为守则是否得到遵守，以及管理层如何处理违反行为守则的情形。,57,管理层的理念和经营风格,58,管理层的理念和经营风格,对诚信和道德价值观念的沟通和落实,控制的有效性受负责创建、管理和监控内部控制的人员的诚信和道德价值观的影响注册会计师在了解和测试此部分控制的有效性时可以考虑但不限于以下因素：被审计单位是否有书面的行为规范并且有监督各级别员工贯彻执行行为规范的控制管理层是否对违反相关行为规范的行为采取适当的措施管理层是否有使得激励员工与设定不切实际业绩目标之间得以平衡的控制,审计准则第1211号附录1,59,治理层的参与程度,被审计单位治理层（例如：董事会、监事会等）通常通过其自身的活动，并在审计委员会或类似机构的支持下，监督被审计单位的财务报告政策和程序。被审计单位的控制意识在很大程度上受治理层的影响。注册会计师在了解和测试此部分控制有效性时可以考虑但不限于以下因素：董事会、审计委员会成员是否独立于管理层，其经验与品德注册会计师可以对审计委员会成员的背景进行了解治理层收到的信息及其对经营活动的详细检查是否与内部审计及注册会计师进行适当的互动并定期沟通，并对注册会计师提出的问题作出反馈治理层采取的措施的适当性，包括提出问题的难度和对问题的跟进程度董事会、审计委员会是否评估在有效监管下管理层凌驾于内部控制之上的风险,60,与控制环境（即内部环境）相关的控制-示例,61,与控制环境（即内部环境）相关的控制-示例(续),62,* 执行程序的结果，包括询问内容等另附工作底稿记录,2. 针对管理层和治理层凌驾于控制之上的风险而设计的控制,63,实施意见二(三)部分,针对管理层和治理层凌驾于控制之上的风险而设计的控制-示例,64,针对管理层和治理层凌驾于控制之上的风险而设计的控制-示例(续),65,* 执行程序的结果，包括询问内容等另附工作底稿记录,了解被审计单位的风险评估过程,66,企业风险评估过程的作用 识别、评估和管理影响被审计单位实现经营目标能力的各种风险。 针对财务报告目标的风险评估过程包括 识别与财务报告相关的经营风险 评估风险的重大性和发生的可能性 采取措施管理这些风险 如何降低发生的可能性 如何减少风险发生时的影响,了解被审计单位的风险评估过程,67,向管理层询问其已经识别出的经营风险 询问如何识别、如何评估、如何应对与财务报告相关的经营风险 注册会计师应考虑这些风险是否可能会导致重大错报 识别出管理层未能识别的重大错报风险 应当考虑被审计单位的风险评估程序为何没有识别这些风险,以及评估过程是否适合于具体环境 如果被审计单位的风险评估过程存在重大缺陷，应该就此与治理层沟通,3. 被审计单位的风险评估过程,68,被审计单位就风险评估过程建立的相关控制，包括：管理层如何识别与编制财务报表相关的经营风险（包括舞弊风险、持续经营风险及管理层凌驾于控制之上的风险），并评估这些风险的重要性和发生的可能性评估频率管理层采取哪些措施以及如何管理风险管理层如何就其对舞弊风险的识别和应对过程与审计委员会沟通有关重要经营控制和风险管理措施的政策识别和评估可能存在的违反法律法规行为（包括非法行为）的政策和程序,对信息传递和期末财务报告流程的控制,69,与财务报告相关的信息系统 包括用以生成记录处理和报告交易事项和情况,对相关资产负债和所有者权益履行经营管理责任的程序和记录 信息系统具有重大影响 管理层能否作出恰当的经营管理决策 编制可靠的财务报告 总体要求 与财务报告相关的信息系统应当与业务流程相适应 业务流程 被审计单位开发采购生产销售发送产品和提供服务保证遵守法律法规记录信息等一系列活动,对信息传递和期末财务报告流程的控制,70,职能 识别与记录所有的有效交易 及时详细地描述交易,以在财务报告中对交易作出恰当分类 恰当计量交易,以在财务报告中对交易地货币金额作出准确记录 恰当确定交易生成的会计期间 在财务报表中恰当列报交易及相关披露 信息系统的职能更多地在业务流程层面体现,对信息传递和期末财务报告流程的控制,71,与财务报告相关的沟通，包括 使员工了解各自在与财务报告有关的内部控制方面的角色和职责 使员工清晰地了解相互之间的工作联系 向适当级别的管理层报告例外事项的方式 注册会计师应当了解 财务报告的岗位职责在被审计单位内部是如何设计的 与财务报告相关的重大事项如何进行沟通 管理层与治理层之间的沟通方式、方法和频率 被审计单位与外部的沟通：部门、方式、频率等,5. 对控制有效性的内部监督（即监督其他控制的控制）和内部控制评价,被审计单位评价内部控制在一段时间内运行是否有效性的过程 该过程包括及时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施。例如：监督经营成果的控制集中化的处理和控制（包括共享的服务环境）对运行报告的复核和核对内部审计对控制有效性的内部监督和内部控制评价可以在企业层面实施，也可以在业务流程层面上实施,72,监督经营成果的控制,企业层面监督经营成果的控制可以视为所有监督性内部控制的一种。一般而言，管理层对于各个单位或业务部门的经营情况的监控是其中一种主要的企业层面的内部控制注册会计师在了解和测试与监督经营成果相关的企业层面的内部控制时可以考虑的因素包括（但不限于）：管理层是否定期将经营成果与预算进行对比分析及复核，以分析财务资料是否存在异常情况是否定期编制主要经营指标并对这些指标进行审阅及分析，以分析财务资料是否存在异常情况业务流程层面上是否定期更新经营预测，并且与期末的实际经营结果进行对比分析管理层对于是否定期编制银行存款余额调节表进行检查 内部审计人员评价销售人员是否遵守公司关于销售合同条款的政策 对发现缺陷及时沟通和整改,73,内部审计-示例,74,对控制有效性的内部监督和内部控制评价-内部审计示例（续）,* 执行程序的结果，包括询问内容等另附工作底稿记录,75,四、了解业务流程层面内部控制,业务流程层面审计重要关注领域 重大投资管理：重大项目投资、对子公司管理、金融资产投资管理 销售与收款管理：收入确认、授信管理 采购与付款管理 票据与资金管理工薪,了解业务流程层面内部控制,（一）业务流程层面内控审计的步骤：1.了解各业务流程层面的控制2.判定哪些是影响财务报告内控的关键控制能够为一个或多个重要账户或列报的一个或多个相关认定提供最有效果或最有效率的证据的控制。每个重要账户、认定和重大错报风险至少应当有一个对应的关键控制。主要考虑以不四个因素： (1)控制是否不可缺少； (2)控制是否直接针对相关认定； (3)控制是否应对重大错报风险； (4)控制运行是否精确。3.选取拟测试的控制：比如要对订单、开票的控制进行测试4.穿行测试,了解业务流程层面内部控制,5.拟实施的程序：取得相关的销售订单、提货单和发票并实施以下程序：(1) 检查订单上是否有销售经理的签名批准；(2) 检查提货单是否经客户或物流公司人员签字确认收货；(3) 将订单、提货单和发票上的客户名称、产品规格、购买数量、单位、总价互相核对一致。6.定义总体：比如授信额度的审批：企业一年批一次，价格调整一年有20次，发货单有几万张7.对偏差进行定义：如将以下定义为偏差订单未经销售经理签字批准。提货单上没有客户或物流公司的签字确认；订单、提货单、发票上的客户名称、产品规格、购买数量、单价和总价存在差异。8.选取样本（展示应付账款付款的样本选取）,了解业务流程层面内部控制,8.确定所测试项目的数量并选取项目，测试人工控制的最小样本规模参照下表：最小样本规模注册会计师应当根据与控制相关的风险，基于最小样本量区间确定具体的样本规模最小样本量假设控制的运行偏差率预期为零。如果预期偏差率不为零，注册会计师应当扩大样本规模。不能确定控制运行频率，但知道控制运行总次数，仍可根据“控制运行总次数”一列确定测试的 对某些类型的控制（如有关职责分离的控制）或执行与书面证据无关的其他程序通常不适用上述样本量。,实施意见第三 (十二)部分,79,是否预留足够的时间以便被审计单位对存在重大缺陷的内部控制进行整改？,控制测试的时间安排,80,了解业务流程层面内部控制 销售与收款管理,9.实施控制测试并评估结果10.判断偏差是否被视为控制缺陷（七步法）11、报告：重大缺陷-影响审计意见类型不出具内控审计报告：（1）做到第4步穿行测试：了解阶段得出内控不可信赖，大量执行实质性程序（2）做到第9步实施控制测试：了解阶段得出内控可以信赖执行控制测试，影响实质性程序的样本出具内控审计报告：做到第11步,计划审计工作-风险评估,重大错报风险评估 B12-B13重大缺陷风险评估重要账户按重要性水平 重要账户：大于重要性水平 重大非重要账户：大于重要性水平变动不大 不重要账户相关认定损益类相关认定：发生/完整、准确性、截止、分类资产负债表相关认定：存在/完整、权利和义务、计价和分摊列报和披露：除上述 可理解性,计划审计工作-风险评估,1.识别风险因素风险因素：可能阻止组织顺利实现其目标的任何事件或行为 风险与目标直接相关 2.建立风险因素与财务报表的关联 （1）根据识别的风险因素，直接对重大错报风险作出判断。 （2）综合风险因素与对未审财务报表的分析，对重大错报风险作出判断 例如毛利变化与行业不一致，可能影响收入的发生，成本费用的完整存货的存在和计价可能存在重大错报风险,计划审计工作-风险评估,计划审计工作-应对财务报表层次重大错报风险 (可以没有）,了解被审计单位及其环境-认定层次的风险识别、了解企业层面控制-报表层次的风险识别、了解企业内部控制活动-认定层次的风险,计划审计工作-应对财务报表层次重大错报风险 (可以没有）,应对措施1向项目组强调保持职业怀疑的必要性 2指派更有经验或具有特殊技能的审计人员，或利用专家的工作 审计项目组成员中应有一定比例的人员曾经参与过被审计单位以前年度的审计， 或具有被审计单位所处特定行业的相关审计经验。 必要时，要考虑利用信息技术、税务、评估、精算等方面的专家的工作。 3提供更多的督导。 项目组的高级别成员，如项目合伙人、项目经理等经验较丰富的人员，要对其他成员提供更详细、更经常、更及时的指导和监督并加强项目质量复核。,总体应对措施 加强人,计划审计工作-应对 财务报表层次 重大错报风险,4选择拟实施的进一步审计程序时融入更多的不可预见因素 1)对某些未测试过的低于设定的重要性水平或风险较小的账户余额和认定实施实质性程序； (2)调整实施审计程序的时间，使被审计单位不可预期； (3)采取不同的审计抽样方法，使得当期抽取的测试样本与以前有所不同； (4)选取不同的地点实施审计程序，或预先不告知被审计单位所选定的测试地点。 5对拟实施审计程序的性质、时间安排或范围作出总体修改 (1)在期末而非期中实施更多的审计程序。时间 (2)通过实施实质性程序获取更广泛的审计证据。性质 (3)增加拟纳入审计范围的经营地点的数量。范围,总体应对措施 加强 审计证据 获取审计证据的过程 审计程序提示： 一定要形成工作底稿,计划审计工作-应对 财务报表层次 重大错报风险,总体应对措施对实施进一步审计程序的总体方案的影响 当评估的财务报表层次重大错报风险属于高风险水平 相应采取总体应对措施 更强调审计程序不可预见性 重视调整审计程序的性质、时间和范围等 拟实施进一步审计程序的总体方案往往更倾向于实质性方案,计划审计工作-应对财务报表层次重大错报风险,中国证监会处罚 ，2014年 IPO审计底稿计划类工作底稿 2012年“风险评估汇总表” 将销售收款循环评估为财务报表层次的重大错报风险，最高风险，并将对报表的影响描述为虚增营业收入和虚增应收账款； 将固定资产循环评估为高风险，对报表的影响描述为虚增资产，涉及在建工程、固定资产科目。 总体应对措施： “控制测试及实质性测试”。 也没有就认定层次重大错报风险设计进一步