0关于集团内部控制审计的有关问题.docx
- 文档编号:30478711
- 上传时间:2023-08-15
- 格式:DOCX
- 页数:39
- 大小:45.36KB
0关于集团内部控制审计的有关问题.docx
《0关于集团内部控制审计的有关问题.docx》由会员分享,可在线阅读,更多相关《0关于集团内部控制审计的有关问题.docx(39页珍藏版)》请在冰豆网上搜索。
0关于集团内部控制审计的有关问题
目录
一、开展内部控制审计的政策依据2
二、开展内部控制审计的意义3
三、企业内部控制审计的主要内容,内部控制审计报告对投资人等利益相关者有哪些价值?
5
四、企业内部控制审计与财务报告审计有何联系?
6
五、企业内部控制审计为什么是独立于财务报告审计的单独业务?
在审计工作中,是否能够对二者实施整合审计?
7
六、对集团公司开展内部控制审计的建议9
七、关于集团审计的特殊考虑10
(一)识别重要账户、列报及其相关认定10
(二)确定对组成部分执行的工作10
八、企业内部控制审计的技术问题12
(一)关于业务约定书的签订(略)13
(二)关于计划审计工作13
(三)关于实施审计工作16
(四)关于连续审计时的特殊考虑31
(五)关于控制缺陷评价34
(六)关于完成审计工作37
(七)关于内部控制审计报告40
(八)关于整合审计的进一步考虑45
(九)关于项目质量控制复核47
(十)关于记录审计工作48
附件1、关于加快构建中央企业内部控制体系有关事项的通知
2、企业内部控制审计指引
3、企业内部控制审计指引实施意见
4、集团审计方法指引(中瑞岳华-0620草稿)
5、大唐国际发电股份有限公司2011内部控制审计方案
6、XX公司内部控制评价报告
7、内部控制审计报告(中注协版)
关于中央企业集团公司开展内部控制审计的
有关问题
一、开展内部控制审计的政策依据
财政部和国务院国资委联合下发的“关于加快构建中央企业内部控制体系有关事项的通知”(国资发评价〔2012〕68号)明确指出:
“各中央企业要力争用两年时间,按照《企业内部控制基本规范》和配套指引的要求,建立规范、完善的内部控制体系。
总体安排是:
已在全集团范围内建立起内部控制体系的中央企业,应当重点抓好有效执行和持续改进工作,着力提升内部控制的健全性和有效性;主业资产实现整体上市或所属控股上市公司资产比重超过60%、尚未在全集团范围内启动内部控制建设工作的中央企业,应当统筹规划、协同推进全集团内部控制体系建设,着力抓好集团总部与各类子企业同步建设与稳步实施工作,于2012年建立起覆盖全集团的内部控制体系;其他中央企业应当抓紧启动内部控制体系建设工作,确保2013年全面完成集团内部控制体系的建设与实施工作。
各中央企业要以开展管理提升活动为契机,结合本集团内部控制工作实际,以提高经营效率和效果为目标,以风险管理为导向,以流程梳理为基础,以财务内部控制为切入点,以关键控制活动为重点,制订全集团内部控制整体建设实施方案或持续改进计划,明确总体建设目标和分阶段任务,经董事会(或相应决策机构)批准后,于2012年8月31日前报国资委备案”。
“各中央企业要认真组织开展内部控制年度评价与审计工作,促进内部控制持续改进与优化。
一是要按照内部控制基本原则和要求,设计适合企业自身特点的评价体系和内部控制缺陷认定标准,并在全集团范围内推行应用。
二是企业内部审计或相关部门要组织开展对本集团内部控制的年度自评工作,尤其要加强对重点子企业、基层子企业和关键业务流程内部控制有效性的检查评价;企业可以根据需要,聘请外部中介机构协助开展内部控制评价工作或进行内部控制审计。
三是要加强缺陷管理,通过内部控制评价工作,充分揭示内部控制的设计缺陷和运行缺陷,提出管理改进建议,及时报告董事会和管理层,并跟踪落实缺陷整改,实现内部控制闭环管理,促进控制优化。
四是要建立内部控制重大缺陷追究制度,内部控制评价和审计结果要与履职评估或绩效考核相结合,逐级落实内部控制组织领导责任。
五是要做好与风险管理工作的有机结合,内部控制是风险管理的有效措施,各中央企业要紧密结合风险管理实践,充分利用风险管理体系框架,加强工作协同,形成工作合力,共同推动企业管理的持续改进。
”
二、开展内部控制审计的意义
内部控制是防范企业财务报告错误和舞弊行为的第一道防线,也是保证企业财务报告真实、完整的内在机制。
美国安然、世通财务舞弊事件发生后,各国监管机构将监管重心从单纯注重财务报告本身的信息质量,转向财务报告本身信息质量与建立健全财务报告信息质量保证体系并重。
在此背景下,美国国会在2002年颁布的《萨班斯—奥克利法案》中,首次提出对“财务报告内部控制”的有效性进行审计的要求。
与此相适应,美国公众公司会计监督委员会(PCAOB)随后发布审计准则,对会计师事务所执行上市公司财务报告内部控制审计工作进行了规范。
同样日本《金融商品交易法》也要求审计师对企业财务报告内部控制进行审计。
顺应国际资本市场监管变革趋势,2008年5月和2010年4月,财政部会同证监会、审计署、银监会和保监会分别发布了《企业内部控制基本规范》和《企业内部控制审计指引》等企业内部控制制度,确立了我国企业内部控制审计制度,要求执行内部控制规范体系的企业,必须聘请会计师事务所对其财务报告内部控制有效性进行审计。
其中《企业内部控制审计指引》自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行。
企业内部控制审计制度的确立,改变了企业在上市或再融资时才委托注册会计师对内部控制进行审计的局面,使得企业内部控制审计与财务报告审计一样,成为经常性、周期性业务,上市公司每年要与年报一同公布企业内部控制审计报告。
实施企业内部控制审计的意义在于,注册会计师对企业内部控制有效性进行客观、独立的鉴证,不仅能够监督、推动企业将内部控制规范落到实处,促进企业加强内部控制规范建设,提升财务报告风险防范能力,同时也能够进一步提升企业信息披露的透明度,增强投资者对企业财务信息可靠性的信心,对保护投资者权益和社会公众利益具有重要作用。
三、企业内部控制审计的主要内容,内部控制审计报告对投资人等利益相关者有哪些价值?
内部控制审计是会计师事务所接受委托,对特定基准日企业内部控制设计与运行的有效性进行审计,并发表审计意见,审计内容包括企业治理结构、机构设置、企业文化、人力资源政策等内部控制环境因素,以及企业识别风险的评估程序、应对风险的具体措施和信息传递有效性、保证内部控制规范建设和有效运行的机制等,全面评价企业设计和运行的内部控制是否能够合理保证财务报告及相关信息合法、真实、完整,以及用于保护资产安全的内部控制是否可靠。
企业内部控制审计意见包括无保留意见、否定意见和无法表示意见三种类型。
如果注册会计师审计后认为企业内部控制在所有重大方面是有效的,则出具无保留意见的内部控制审计报告;如果注册会计师认为企业内部控制存在重大缺陷,则出具否定意见内部控制审计报告;如果注册会计师审计范围受到限制,则应当解除业务约定或出具无法表示意见的内部控制审计报告。
企业内部控制审计与财务报告审计两种意见类型相互关联,但并非一一对应。
例如,在执行内部审计过程中,注册会计师发现企业财务报告内部控制存在重大缺陷,应该出具否定意见的内部控制审计报告。
如果该内部控制重大缺陷尚未引起企业财务报告的重大错报,注册会计师则出具标准意见的财务报告审计报告。
又如,注册会计师对企业财务报告发表否定意见,意味着财务报告的编制不符合适用的会计准则和会计制度的规定,这种情况下,企业的内部控制也通常存在重大缺陷,应该出具否定意见的内部控制审计报告。
因此,企业内部控制审计能够比财务报告审计提供更进一步的信息,有利于投资者在财务报告审计意见类型基础上,深入分析企业内部控制情况、投资风险和投资价值。
四、企业内部控制审计与财务报告审计有何联系?
企业内部控制的了解和测试,及其有效性评估是制定财务报告审计策略、实施进一步审计程序的基础和前提。
因此,内部控制审计和财务报告审计存在着多方面联系,主要体现在以下五个方面:
一是两者的最终目的一致,虽然二者各有侧重,但最终目的均为提高财务信息质量,提高财务报告的可靠性,为利益相关者提供高质量的信息。
二是两者都采取风险导向审计模式,注册会计师首先实施风险评估程序,识别和评估重大缺陷(或错报)存在的风险。
在此基础上,有针对性地采取应对措施,实施相应的审计程序。
三是两者都要了解和测试内部控制,并且对内部控制有效性的定义和评价方法相同,都可能用到询问、检查、观察、穿行测试、重新执行等方法和程序。
四是两者均要识别重点账户、重要交易类别等重点审计领域。
注册会计师在财务报告审计中,需要评价这些重点账户和重要交易类别是否存在重大错报;在内部控制审计中,需要评价这些账户和交易是否被内部控制所覆盖。
五是两者确定的重要性水平相同。
注册会计师在财务报告审计中确定重要性水平,旨在检查财务报告中是否存在重大错报;在财务报告内部控制审计中确定重要性水平,旨在检查财务报告内部控制是否存在重大缺陷。
由于审计对象、判断标准相同,因此二者在审计中确定的重要性水平亦相同。
五、企业内部控制审计为什么是独立于财务报告审计的单独业务?
在审计工作中,是否能够对二者实施整合审计?
财务报告审计是为了提高财务报告的可信赖程度,重在审计“结果”;内部控制审计是对保证企业财务报告质量的内在机制的审计,重在审计“过程”。
审计对象、重点等的不同,使得二者存在实质性差异,内部控制审计独立于财务报告审计。
二者差异主要体现在五个方面:
首先,对内部控制了解和测试的目的不同。
注册会计师在财务报告审计中评价内部控制的目的,是为了判断是否可以相应减少实质性程序的工作量,以及支持财务报告的审计意见类型;在内部控制审计中评价内部控制的目的,则是为了对内部控制本身的有效性发表审计意见。
第二,内部控制测试范围存在区别。
注册会计师在财务报告审计中,根据成本效益原则可能采取不同的审计策略,对于某些审计领域,可以绕过内部控制测试程序进行审计。
而在内部控制审计中,注册会计师则不能绕过内部控制测试程序进行审计,注册会计师应当针对每一审计领域获取控制有效性的证据,以便对内部控制整体的有效性发表意见。
第三,内部控制测试结果所要达到的可靠程度不完全相同。
在财务报告审计中,对控制测试的可靠性要求相对较低,注册会计师测试的样本量也有一定的弹性。
在内部控制审计中,注册会计师则需要获取内部控制有效性的高度保证,因此对控制测试的可靠性要求较严,样本量选择相对弹性较小。
第四,两者对控制缺陷的评价要求不同。
在财务报告审计中,注册会计师仅需将审计过程中识别出的内部控制缺陷区分为值得关注的内部控制缺陷和一般缺陷。
而在内部控制审计中,注册会计师需要对内部控制缺陷进行严格的评估,将值得关注的内部控制缺陷进一步区分为重大缺陷和重要缺陷。
重大缺陷将影响到审计意见的类型。
第五,审计报告的内容不同。
在财务报告审计中,注册会计师一般不对外报告内部控制的情况,除非内部控制影响到对财务报告发表的审计意见。
在内部控制审计中,注册会计师应报告内部控制的有效性。
从以上五个方面可以看出,两者差异主要是具体目标、保证程度、评价要求、报告类型等属性上的实质性差异,这些决定了内部控制审计独立于财务报告审计。
但在技术层面和实务工作中,两者审计模式、程序、方法等存在着相同之处,风险识别、评估、应对等大量工作内容相近,有很多的基础工作可以共享,在一项审计中发现的问题还可以为另一项审计提供线索和思路。
因此,这两项审计工作完全可以整合进行,而由同一家事务所进行整合审计,不仅有利于提高审计效果和效率,降低审计成本,减少重复劳动,而且可以避免审计判断出现不一致的情形,降低企业聘请不同事务所实施审计的负担。
我国《企业内部控制审计指引》也提倡将二者整合进行。
六、对集团公司开展内部控制审计的建议
首先,企业管理层应高度重视内部控制规范体系建设实施工作,要建立健全内部控制领导体制和组织机构,根据基本规范及其配套指引的要求,大力推动内部控制规范体系实施,对业务流程进行系统梳理,识别重要业务流程、流程中容易出错的环节、关键控制点,并抓紧开展内部控制自我评价工作,查漏补缺,为会计师事务所开展内部控制审计工作奠定良好的基础。
其次,企业须尽早落实聘请会计师事务所进行内部控制审计事宜。
在财务报表审计中,如果发现重大错报,只要被审计单位最后时刻同意审计调整,注册会计师即可签发无保留意见审计报告。
内部控制审计则不同,在内部控制审计中,如果发现被审计单位内部控制存在重大缺陷,注册会计师提请企业整改后,还要跟踪考察整改情况,才能得出控制是否有效的结论,进而决定是否签发无保留意见的审计报告。
例如,对于每季运行一次的控制,如果存在重大缺陷,被审计单位需要整改后再运行6个月,注册会计师才能得出控制是否有效的审计结论。
因此,企业最好在上半年决定事务所聘请事宜。
再次,推动实现内部控制自我评价工作与内部控制审计工作的良性互动。
企业应充分认识内部控制审计业务特点,在开展内部控制自我评价工作时,应当及时与注册会计师沟通和互动,提高自我评价工作可利用程度,降低审计成本,提高工作效率。
同时,企业应充分理解内部控制审计工作是一项单独业务,需要事务所增加新的投入,在工作中提供充分的支持。
七、关于集团审计的特殊考虑
(一)识别重要账户、列报及其相关认定
在执行集团内部控制审计业务时,注册会计师应当基于集团财务报表识别重要账户、列报及其相关认定。
(二)确定对组成部分执行的工作
1.一般原则
在执行集团内部控制审计业务时,注册会计师应当采用自上而下的方法,合理运用职业判断,确定对组成部分执行的工作。
注册会计师应当评估与组成部分相关的导致集团财务报表发生重大错报的风险,并根据其风险程度给予相应的审计关注。
在评估与某组成部分相关的导致集团财务报表发生重大错报的风险时,注册会计师应当考虑的因素包括:
(1)以前执行的与该组成部分内部控制相关的审计工作的结果;
(2)影响该组成部分重要账户的固有风险;
(3)从财务数据角度看,该组成部分的相对重要程度;
(4)风险在各组成部分间的分布(即风险分布于数量众多的小规模组成部分,还是分布于数量较少但规模较大的组成部分);
(5)组成部分之间业务经营和内部控制的类似程度;
(6)业务流程和财务报告系统的集中化程度;
(7)该组成部分执行交易及相关资产的性质和金额;
(8)该组成部分存在重大未确认义务的可能性;
(9)测试集团企业层面控制的结果,包括控制环境、集团对组成部分实施的监控活动及在组成部分层面运行的企业层面控制的有效性。
2.对重要组成部分执行的工作
注册会计师应当按照《中国注册会计师审计准则第1401号——对集团财务报表审计的特殊考虑》的规定,确定重要组成部分。
重要组成部分包括:
(1)对集团具有财务重大性的组成部分(以下简称具有财务重大性的组成部分);
(2)由于其特定性质和情况,可能存在导致集团财务报表发生重大错报的特别风险的组成部分(以下简称具有特别风险的组成部分)。
注册会计师应当对重要组成部分的重要账户、列报及其相关认定的内部控制实施测试。
(1)对具有财务重大性的组成部分执行的工作
对于具有财务重大性的组成部分,除非通过实施下列测试工作能 够获取有关控制有效性的充分、适当的审计证据,注册会计师应当测试该组成部分内与重要账户、列报及其相关认定相关的业务流程、应用系统或交易层面的内部控制的有效性:
①对整个集团企业层面控制和该组成部分企业层面控制(包括界于组成部分和整个集团之间层次的其他企业层面控制,下同)的测试;
②对除该组成部分以外的其他组成部分相同账户、列报及其相关认定的内部控制已实施的测试。
(2)对具有特别风险的组成部分执行的工作
对具有特别风险的组成部分,注册会计师应当测试针对该项特别风险的控制。
3.对其他组成部分执行的工作
对于重要组成部分以外的其他组成部分,如果存在重要账户、列报及其相关认定,注册会计师应当首先评价对整个集团企业层面控制和该组成部分企业层面控制的测试以及针对重要组成部分相同的账户、列报及其相关认定的内部控制已实施的测试能否提供充分、适当的审计证据。
如果不能提供充分、适当的审计证据,注册会计师应当选择适当数量的其他组成部分,测试与该重要账户、列报及其相关认定相关的业务流程、应用系统或交易层面的控制,直至能够获取充分、适当的审计证据为止。
八、企业内部控制审计的技术问题
中国注册会计师协会下发了关于印发《企业内部控制审计指引实施意见》的通知(会协〔2011〕66号),为了规范注册会计师执行财务报告内部控制审计业务,明确工作要求,提高执业质量,维护公众利益,根据中国注册会计师审计准则、《企业内部控制基本规范》和《企业内部控制审计指引》,在整合审计框架下,制定了企业内部控制审计指引实施意见。
(一)关于业务约定书的签订(略)
(二)关于计划审计工作
注册会计师应当贯彻风险导向审计的思路,恰当地计划内部控制审计工作,制订总体审计策略和具体审计计划。
1、总体审计策略
注册会计师应当在总体审计策略中体现下列内容:
(1)审计目标
在整合审计中,注册会计师应当对内部控制设计与运行的有效性进行测试,以同时实现下列目标:
获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发表的意见;
获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结果。
(2)确定内部控制审计业务特征,以界定审计范围
例如,被审计单位采用的内部控制标准、注册会计师预期内部控制审计工作涵盖的范围、对组成部分注册会计师工作的参与程度、注册会计师对被审计单位内部控制评价工作的了解以及拟利用被审计单位内部相关人员工作的程度等。
对于按照权益法核算的投资,内部控制审计范围应当包括针对权益法下相关会计处理而实施的内部控制,但通常不包括针对权益法下被投资方的内部控制。
内部控制审计范围应当包括被审计单位在内部控制评价基准日(最近一个会计期间截止日,以下简称基准日)或在此之前收购的实体,以及在基准日作为终止经营进行会计处理的业务。
注册会计师应当确定是否有必要对与这些实体或业务相关的控制实施测试。
如果法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制评价范围,注册会计师可以不将这些实体纳入内部控制审计的范围。
(3)明确内部控制审计业务的报告目标,以计划审计的时间安排和所需沟通的性质
例如,被审计单位对外公布或报送内部控制审计报告的时间、注册会计师与管理层和治理层讨论内部控制审计工作的性质、时间安排和范围,注册会计师与管理层和治理层讨论拟出具内部控制审计报告的类型和时间安排以及沟通的其他事项等。
(4)根据职业判断,考虑用以指导项目组工作方向的重要因素
例如,财务报表整体的重要性和实际执行的重要性、初步识别的可能存在重大错报的风险领域、内部控制最近发生变化的程度、与被审计单位沟通过的内部控制缺陷、对内部控制有效性的初步判断、信息技术和业务流程的变化等。
(5)考虑初步业务活动的结果,并考虑对被审计单位执行其他业务时获得的经验是否与内部控制审计业务相关(如适用)。
(6)在计划审计工作时,注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响:
与企业相关的风险;
相关法律法规和行业概况;
企业组织结构、经营特点和资本结构等相关重要事项;
企业内部控制最近发生变化的程度;
与企业沟通过的内部控制缺陷;
重要性、风险等与确定内部控制重大缺陷相关的因素;
对内部控制有效性的初步判断;
可获取的、与内部控制有效性相关的证据的类型和范围
(7)确定执行内部控制审计业务所需资源的性质、时间安排和
范围
例如,项目组成员的选择以及对项目组成员审计工作的分派,项目时间预算等。
2、具体审计计划
注册会计师应当在具体审计计划中体现下列内容:
(1)了解和识别内部控制的程序的性质、时间安排和范围;
(2)测试控制设计有效性的程序的性质、时间安排和范围;
(3)测试控制运行有效性的程序的性质、时间安排和范围。
3、对应对舞弊风险的考虑
在计划和实施内部控制审计工作时,注册会计师应当考虑财务报表审计中对舞弊风险的评估结果。
在识别和测试企业层面控制以及选择其他控制进行测试时,注册会计师应当评价被审计单位的内部控制是否足以应对识别出的、由于舞弊导致的重大错报风险,并评价为应对管理层和治理层凌驾于控制之上的风险而设计的控制。
被审计单位为应对这些风险可能设计的控制包括:
(1)针对重大的非常规交易的控制,尤其是针对导致会计处理延迟或异常的交易的控制;
(2)针对期末财务报告流程中编制的分录和作出的调整的控制;
(3)针对关联方交易的控制;
(4)与管理层的重大估计相关的控制;
(5)能够减弱管理层和治理层伪造或不恰当操纵财务结果的动机和压力的控制。
如果在内部控制审计中识别出旨在防止或发现并纠正舞弊的控制存在缺陷,注册会计师应当按照《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》的规定,在财务报表审计
中制定重大错报风险的应对方案时考虑这些缺陷。
(三)关于实施审计工作
1、采用自上而下的方法
注册会计师应当采用自上而下的方法选择拟测试的控制。
自上而下的方法始于财务报表层次,以注册会计师对内部控制整体风险的了解开始,然后,将关注重点放在企业层面的控制上,并将工作逐渐下移至重要账户、列报及其相关认定。
随后,验证其对被审计单位业务流程中风险的了解,并选择能足以应对评估的每个相关认定的重大错报风险的控制进行测试。
自上而下的方法分为下列步骤:
(1)从财务报表层次初步了解内部控制整体风险;
(2)识别、了解和测试企业层面控制;
(3)识别重要账户、列报及其相关认定;
(4)了解潜在错报的来源并识别相应的控制;
(5)选择拟测试的控制。
2、识别、了解和测试企业层面控制
注册会计师应当识别、了解和测试对内部控制有效性有重要影响的企业层面控制。
注册会计师对企业层面控制的评价,可能增加或减少本应对其他控制进行的测试。
(1)企业层面控制对其他控制及其测试的影响
不同的企业层面控制在性质和精确度上存在差异,注册会计师应当从下列方面考虑这些差异对其他控制及其测试的影响:
某些企业层面控制,如与控制环境相关的控制,对及时防止或发现并纠正相关认定的错报的可能性有重要影响。
虽然这种影响是间接的,但这些控制仍然可能影响注册会计师拟测试的其他控制,以及测试程序的性质、时间安排和范围。
某些企业层面控制旨在识别其他控制可能出现的失效情况,能够监督其他控制的有效性,但还不足以精确到及时防止或发现并纠正相关认定的错报。
当这些控制运行有效时,注册会计师可以减少对其他控制的测试。
某些企业层面控制本身能够精确到足以及时防止或发现并纠正相关认定的错报。
如果一项企业层面控制足以应对已评估的错报风险,注册会计师就不必测试与该风险相关的其他控制。
(2)企业层面控制的内容
企业层面控制包括下列内容:
与控制环境(即内部环境)相关的控制;
针对管理层和治理层凌驾于控制之上的风险而设计的控制;
被审计单位的风险评估过程;
对内部信息传递和期末财务报告流程的控制;
对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价。
此外,集中化的处理和控制(包括共享的服务环境)、监控经营成果的控制以及针对重大经营控制及风险管理实务的政策也属于企业层面控制。
(3)对期末财务报告流程的评价
期末财务报告流程对内部控制审计和财务报表审计有重要影响,注册会计师应当对期末财务报告流程进行评价。
期末财务报告流程包括:
将交易总额登入总分类账的程序;
与会计政策的选择和运用相关的程序;
总分类账中会计分录的编制、批准等处理程序;
对财务报表进行调整的程序;
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 关于 集团 内部 控制 审计 有关 问题