企業年度內控實施意見
㈠ 企業有哪些內部控制制度
會計控制制度和管理控制制度
企業內部控制是以專業管理制度為基礎,以防範風險、有效監管為目的,通過全方位建立過程式控制制體系、描述關鍵控制點和以流程形式直觀表達生產經營業務過程而形成的管理規范。
內部控制制度按其控制的目的不同,可分為會計控制和管理控制。
會計控制是指與保護財產物資的安全性、會計信息的真實性和完整性以及財務活動合法性有關的控制;
管理控制是指與保證經營方針、決策的貫徹執行,促進經營活動經濟性、效率性、效果性以及經營目標的實現有關的控制。
會計控制與管理控制並不是相互排斥、互不相容的,有些控制措施既可以用於會計控制,也可以用於管理控制。
拓展資料:
內部控制制度包括的基本要素是:
(1) 明確合理的職責分工制度。
(2) 嚴格的審批檢查制度。
(3) 健全的會計制度和企業管理制度。
(4) 嚴密的保管保衛制度。
(5) 有效的內部審計制度。
(6) 勝任的工作人員。
由於內部控制制度的嚴密程度直接決定著被審單位提供的會計數據和其他經濟資料的可靠性,現代審計總是把被審單位現行的內部控制制度當作審查的起點和重點,通過對內部控制制度的調查、核實和評價確定審計工作的范圍、深度和側重點。
㈡ 企業內部控制審計指引實施意見的關於連續審計時的特殊考慮
在連續審計中,注冊會計師在確定測試的性質、時間安排和范圍時,應當考慮以前年度執行內部控制審計所了解的情況。 除本意見第三部分第(八)項「與控制相關的風險和擬獲取的審計證據之間的關系」所列因素外,下列因素也會影響連續審計中與某項控制相關的風險:
(1)以前年度審計中所實施程序的性質、時間安排和范圍;
(2)以前年度對控制的測試結果以及以前年度發現的缺陷是否得以整改;
(3)上次審計之後,控制或其運行所處的流程是否發生變化。
在考慮本意見所列的風險因素,以及連續審計中可獲取的進一步信息後,如果認為與控制相關的風險水平比以前年度有所下降,注冊會計師在本年度審計中可以減少測試。 在連續審計中,由於完全自動化的應用控制通常不會因人為失誤而失效,因此,注冊會計師可以考慮對自動化應用控制實施與基準相
比較的策略。
與基準相比較的策略,是指如果認為程序變更、訪問許可權及計算機操作方面的一般控制有效,且可持續對其進行測試,並能證實自動化應用控制自最近一次測試之後未發生變化,則可將最近一次測試設為基準,在以後年度測試時,注冊會計師不必重復執行測試,只需將該年的情況與基準相比較,就可以認為自動化應用控制是持續有效的。
注冊會計師為證實控制未發生變化而需獲取審計證據的性質和范圍,可能隨情況的變化而變化。例如,被審計單位程序變更控制的強弱將影響需獲取審計證據的性質和范圍。
自動化應用控制能否一貫有效地運行可能取決於所使用的相關文件、表格、數據和參數的正確性。例如,計算利息收入的自動化應用控制,其運行的有效性可能取決於使用的利率表的正確性。
注冊會計師應當在評價下列風險因素的基礎上,確定是否使用與基準相比較的策略:
(1)應用控制與相關應用程序直接對應的程度;
(2)應用系統的穩定性,即各期間的變化大小;
(3)有關投入使用的程序編譯日期的信息的可獲得性和可靠性(該信息可作為此程序中的控制未發生變化的審計證據)。
當上述因素表明風險較低時,對所評價的控制可能比較適合使用與基準相比較的策略。反之,不宜使用與基準相比較的策略。但是基礎數據的准確性與完整性,以及依賴系統的人工控制部分不適用與基準相比較的策略。
在一段時期之後,注冊會計師應當重新設置自動化應用控制運行
的基準。在確定何時重設基準時,注冊會計師應當考慮下列因素:
(1)信息技術控制環境的有效性,包括針對應用及操作系統和資料庫系統的取得與維護、訪問許可權以及計算機操作而實施控制的有效性;
(2)如果包含控制的具體程序發生變化,注冊會計師對該變化性質的了解;
(3)其他相關測試的性質和時間;
(4)相關應用控制發生錯誤導致的後果;
(5)控制是否易於受到其他可能變化的經營因素的影響。 為使對控制有效性的測試具有不可預見性並能夠應對環境的變化,注冊會計師應當每年改變測試的性質、時間安排和范圍。
注冊會計師可以每年在期中不同的時間測試控制,並增加或減少所執行測試的數量和種類,或者改變所使用測試程序的組合。
㈢ 企業內部控制審計指引實施意見的關於整合審計的進一步考慮
在整合審計中,注冊會計師應當計劃和實施對控制設計和運行有效性的測試,以同時實現下列目標:
(1)獲取充分、適當的審計證據,支持其在內部控制審計中對內部控制的有效性發表的意見;
(2)獲取充分、適當的審計證據,支持其在財務報表審計中對內部控制的擬信賴程度(即評估的控制風險)。 在內部控制審計中,注冊會計師在對內部控制有效性形成結論時,應當同時考慮財務報表審計中實施的、所有針對控制設計和運行有效性測試的結果。
在財務報表審計中,注冊會計師在評估控制風險時,應當同時考
慮內部控制審計中實施的、所有針對控制設計和運行有效性測試的結果。
如果在內部控制審計中識別出某項控制缺陷,注冊會計師應當評價該項缺陷對財務報表審計中擬實施的實質性程序的性質、時間安排和范圍的影響。
在財務報表審計中,無論控制風險或重大錯報風險的評估水平如何,注冊會計師都應當針對所有重大類別的交易、賬戶余額和披露實施實質性程序。為對內部控制的有效性發表意見而實施的測試程序並不減輕該項要求。
在內部控制審計中,注冊會計師應當評價財務報表審計中實施的實質性程序的結果對控制有效性結論的影響。評價內容應當包括:
(1)注冊會計師作出的、與選擇和實施實質性程序相關(尤其是與舞弊相關)的風險評估;
(2)發現的違反法規行為和關聯方交易方面的問題;
(3)表明管理層在選擇會計政策和作出會計估計時存在偏見的情況;
(4)實施實質性程序發現的錯報。
注冊會計師應當通過直接測試控制獲取控制是否有效的審計證據,而不能根據實質性程序沒有發現錯報,推斷該項控制的有效性。
㈣ 企業內部控制審計指引實施意見的關於計劃審計工作
注冊會計師應當貫徹風險導向審計的思路,恰當地計劃內部控制審計工作,制訂總體審計策略和具體審計計劃。 注冊會計師應當在總體審計策略中體現下列內容:
(1)確定內部控制審計業務特徵,以界定審計范圍。例如,被審計單位採用的內部控制標准、注冊會計師預期內部控制審計工作涵蓋的范圍、對組成部分注冊會計師工作的參與程度、注冊會計師對被審計單位內部控制評價工作的了解以及擬利用被審計單位內部相關人員工作的程度等。
對於按照權益法核算的投資,內部控制審計范圍應當包括針對權益法下相關會計處理而實施的內部控制,但通常不包括針對權益法下被投資方的內部控制。
內部控制審計范圍應當包括被審計單位在內部控制評價基準日(最近一個會計期間截止日,以下簡稱基準日)或在此之前收購的實體,以及在基準日作為終止經營進行會計處理的業務。注冊會計師應當確定是否有必要對與這些實體或業務相關的控制實施測試。
如果法律法規的相關豁免規定允許被審計單位不將某些實體納入內部控制評價范圍,注冊會計師可以不將這些實體納入內部控制審計的范圍。
(2)明確內部控制審計業務的報告目標,以計劃審計的時間安排和所需溝通的性質。例如,被審計單位對外公布或報送內部控制審計報告的時間、注冊會計師與管理層和治理層討論內部控制審計工作的性質、時間安排和范圍,注冊會計師與管理層和治理層討論擬出具內部控制審計報告的類型和時間安排以及溝通的其他事項等。
(3)根據職業判斷,考慮用以指導項目組工作方向的重要因素。例如,財務報表整體的重要性和實際執行的重要性、初步識別的可能存在重大錯報的風險領域、內部控制最近發生變化的程度、與被審計單位溝通過的內部控制缺陷、對內部控制有效性的初步判斷、信息技術和業務流程的變化等。
(4)考慮初步業務活動的結果,並考慮對被審計單位執行其他業務時獲得的經驗是否與內部控制審計業務相關(如適用)。
(5)確定執行內部控制審計業務所需資源的性質、時間安排和
范圍。例如,項目組成員的選擇以及對項目組成員審計工作的分派,項目時間預算等。 注冊會計師應當在具體審計計劃中體現下列內容:
(1)了解和識別內部控制的程序的性質、時間安排和范圍;
(2)測試控制設計有效性的程序的性質、時間安排和范圍;
(3)測試控制運行有效性的程序的性質、時間安排和范圍。 在計劃和實施內部控制審計工作時,注冊會計師應當考慮財務報表審計中對舞弊風險的評估結果。在識別和測試企業層面控制以及選擇其他控制進行測試時,注冊會計師應當評價被審計單位的內部控制是否足以應對識別出的、由於舞弊導致的重大錯報風險,並評價為應對管理層和治理層凌駕於控制之上的風險而設計的控制。
被審計單位為應對這些風險可能設計的控制包括:
(1)針對重大的非常規交易的控制,尤其是針對導致會計處理延遲或異常的交易的控制;
(2)針對期末財務報告流程中編制的分錄和作出的調整的控制;
(3)針對關聯方交易的控制;
(4)與管理層的重大估計相關的控制;
(5)能夠減弱管理層和治理層偽造或不恰當操縱財務結果的動機和壓力的控制。
如果在內部控制審計中識別出旨在防止或發現並糾正舞弊的控制存在缺陷,注冊會計師應當按照《中國注冊會計師審計准則第1141號——財務報表審計中與舞弊相關的責任》的規定,在財務報表審計
中制定重大錯報風險的應對方案時考慮這些缺陷。
㈤ 如何加強企業內部控制的措施
加強企業內部控制的措施:
1、完善制度建設、實施內部控制。以《企業內部控制規范-基本規范》、《企業內部控制基本規范》、《企業內部控制配套指引》等文件為依據,結合企業實際情況,全面梳理原有管理制度,在符合內部控制要求的前提下,著眼於管理創新、建立適合本企業的內部控制管理體系,明確相關部門人員的指責和許可權,推行全面管理,提倡全員參與,建立彼此牽制、彼此連接、彼此制約的內控制度。
2、明確控制目標,優化內部控制環境。內部控制制度重點是圍繞會計核算和會計監督環節來設置的。一般說來,健全的內部控制制度應能有效預防錯誤和舞弊的發生。即使發生了,也容易及時發覺和糾正。
3、提高會計人員素質。會計人員素質是加強內部控制的關鍵,企業要通過科學合理的聘用、培訓、輪崗、考核、獎勵、晉升、淘汰等辦法,提高財會人員整體素質。
4、加強內部監督。企業內部控制是一個過程,這個過程是通過納入管理制度及活動實現的。因此,要確保內部控制制度被切實地執行,且執行效果良好,其必須被監督。
5、實施預算控制,提高內控水平。實行全面預算,搞好各業務事項的事前預測、事中控制、事後分析,將企業的經營目標轉化為各生產廠、各部門、各崗位以至個人的具體行為目標。
6、加強內外部信息交流與溝通,加強反舞弊機制。企業應建立建立上傳下達的有效機制。通過建立組織機構制定崗位責任制來實現。還應注意信息溝通的有效性和及時性。
拓展資料
一、簡介
企業內控是企業為保證經營管理活動正常有序、合法的運行,採取對財務、人、資產、工作流程實行有效監管的系列活動。 企業內控要求保證企業資產、財務信息的准確性、真實性、有效性、及時性;保證對企業員工、工作流程、物流的有效的管控;建立對企業經營活動的有效的監督機制。
二、結果體現
(一)內部環境。內部環境是企業實施內部控制的基礎,一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。
(二)風險評估。風險評估是企業及時識別、系統分析經營活動中與實現內部控制目標相關的風險,合理確定風險應對策略。
(三)控制活動。控制活動是企業根據風險評估結果,採用相應的控制措施,將風險控制在可承受度之內。
(四)信息與溝通。信息與溝通是企業及時、准確地收集、傳遞與內部控制相關的信息,確保信息在企業內部、企業與外部之間進行有效溝通。
(五)內部監督。內部監督是企業對內部控制建立與實施情況進行監督檢查,評價內部控制的有效性,發現內部控制缺陷,應當及時加以改進。
㈥ 企業內部控制審計指引實施意見的關於集團審計的特殊考慮
1.一般原則
在執行集團內部控制審計業務時,注冊會計師應當採用自上而下的方法,合理運用職業判斷,確定對組成部分執行的工作。
注冊會計師應當評估與組成部分相關的導致集團財務報表發生重大錯報的風險,並根據其風險程度給予相應的審計關注。
在評估與某組成部分相關的導致集團財務報表發生重大錯報的風險時,注冊會計師應當考慮的因素包括:
(1)以前執行的與該組成部分內部控制相關的審計工作的結果;
(2)影響該組成部分重要賬戶的固有風險;
(3)從財務數據角度看,該組成部分的相對重要程度;
(4)風險在各組成部分間的分布(即風險分布於數量眾多的小規模組成部分,還是分布於數量較少但規模較大的組成部分);
(5)組成部分之間業務經營和內部控制的類似程度;
(6)業務流程和財務報告系統的集中化程度;
(7)該組成部分執行交易及相關資產的性質和金額;
(8)該組成部分存在重大未確認義務的可能性;
(9)測試集團企業層面控制的結果,包括控制環境、集團對組成部分實施的監控活動及在組成部分層面運行的企業層面控制的有效性。
2.對重要組成部分執行的工作
注冊會計師應當按照《中國注冊會計師審計准則第1401號——對集團財務報表審計的特殊考慮》的規定,確定重要組成部分。重要組成部分包括:(1)對集團具有財務重大性的組成部分(以下簡稱具有財務重大性的組成部分);(2)由於其特定性質和情況,可能存在導致集團財務報表發生重大錯報的特別風險的組成部分(以下簡稱具有特別風險的組成部分)。注冊會計師應當對重要組成部分的重要賬戶、列報及其相關認定的內部控制實施測試。
(1)對具有財務重大性的組成部分執行的工作
對於具有財務重大性的組成部分,除非通過實施下列測試工作能
夠獲取有關控制有效性的充分、適當的審計證據,注冊會計師應當測試該組成部分內與重要賬戶、列報及其相關認定相關的業務流程、應用系統或交易層面的內部控制的有效性:
①對整個集團企業層面控制和該組成部分企業層面控制(包括界於組成部分和整個集團之間層次的其他企業層面控制,下同)的測試;
②對除該組成部分以外的其他組成部分相同賬戶、列報及其相關認定的內部控制已實施的測試。
(2)對具有特別風險的組成部分執行的工作
對具有特別風險的組成部分,注冊會計師應當測試針對該項特別風險的控制。
3.對其他組成部分執行的工作
對於重要組成部分以外的其他組成部分,如果存在重要賬戶、列報及其相關認定,注冊會計師應當首先評價對整個集團企業層面控制和該組成部分企業層面控制的測試以及針對重要組成部分相同的賬戶、列報及其相關認定的內部控制已實施的測試能否提供充分、適當的審計證據。如果不能提供充分、適當的審計證據,注冊會計師應當選擇適當數量的其他組成部分,測試與該重要賬戶、列報及其相關認定相關的業務流程、應用系統或交易層面的控制,直至能夠獲取充分、適當的審計證據為止。
㈦ 企業內部控制審計指引實施意見的關於簽訂業務約定書
只有當內部控制審計的前提條件得到滿足,並且會計師事務所符合獨立性要求,具備專業勝任能力時,會計師事務所才能接受或保持內部控制審計業務。 在確定內部控制審計的前提條件是否得到滿足時,注冊會計師應當:
(1)確定被審計單位採用的內部控制標準是否適當;
(2)就被審計單位認可並理解其責任與治理層和管理層達成一致意見。
被審計單位的責任包括:
(1)按照適用的內部控制標准,建立健全和有效實施內部控制,以使財務報表不存在由於舞弊或錯誤導致的重大錯報;
(2)對內部控制的有效性進行評價並編制內部控制評價報告;
(3)向注冊會計師提供必要的工作條件,包括允許注冊會計師接觸與內部控制審計相關的所有信息(如記錄、文件和其他事項),
允許注冊會計師在獲取審計證據時不受限制地接觸其認為必要的內部人員和其他相關人員等。 如果決定接受或保持內部控制審計業務,會計師事務所應當與被審計單位簽訂單獨的內部控制審計業務約定書。業務約定書應當至少包括下列內容:
(1)內部控制審計的目標和范圍;
(2)注冊會計師的責任;
(3)被審計單位的責任;
(4)指出被審計單位採用的內部控制標准;
(5)提及注冊會計師擬出具的內部控制審計報告的形式和內容,以及對在特定情況下出具的內部控制審計報告可能不同於預期形式和內容的說明;
(6)審計收費。
㈧ 企業內部控制審計指引實施意見的關於控制缺陷評價
內部控制存在的缺陷包括設計缺陷和運行缺陷。
設計缺陷是指缺少為實現控制目標所必需的控制,或現有控制設計不適當、即使正常運行也難以實現預期的控制目標。
運行缺陷是指現存設計適當的控制沒有按設計意圖運行,或執行人員沒有獲得必要授權或缺乏勝任能力,無法有效地實施內部控制。
內部控制存在的缺陷,按其嚴重程度分為重大缺陷、重要缺陷和一般缺陷。
重大缺陷是內部控制中存在的、可能導致不能及時防止或發現並糾正財務報表出現重大錯報的一項控制缺陷或多項控制缺陷的組合。
重要缺陷是內部控制中存在的、其嚴重程度不如重大缺陷但足以引起負責監督被審計單位財務報告的人員(如審計委員會或類似機構)關注的一項控制缺陷或多項控制缺陷的組合。
一般缺陷是內部控制中存在的、除重大缺陷和重要缺陷之外的控制缺陷。 注冊會計師應當評價其識別的各項控制缺陷的嚴重程度,以確定這些缺陷單獨或組合起來,是否構成內部控制的重大缺陷。但是,在計劃和實施審計工作時,不要求注冊會計師尋找單獨或組合起來不構成重大缺陷的控制缺陷。
控制缺陷的嚴重程度取決於:
(1)控制不能防止或發現並糾正賬戶或列報發生錯報的可能性的大小;
(2)因一項或多項控制缺陷導致的潛在錯報的金額大小。
控制缺陷的嚴重程度與錯報是否發生無關,而取決於控制不能防止或發現並糾正錯報的可能性的大小。
在評價一項控制缺陷或多項控制缺陷的組合是否可能導致賬戶或列報發生錯報時,注冊會計師應當考慮的風險因素包括:
(1)所涉及的賬戶、列報及其相關認定的性質;
(2)相關資產或負債易於發生損失或舞弊的可能性;
(3)確定相關金額時所需判斷的主觀程度、復雜程度和范圍;
(4)該項控制與其他控制的相互作用或關系;
(5)控制缺陷之間的相互作用;
(6)控制缺陷在未來可能產生的影響。
評價控制缺陷是否可能導致錯報時,注冊會計師無需將錯報發生的概率量化為某特定的百分比或區間。
如果多項控制缺陷影響財務報表的同一賬戶或列報,錯報發生的概率會增加。在存在多項控制缺陷時,即使這些缺陷從單項看不重要,但組合起來也可能構成重大缺陷。因此,注冊會計師應當確定,對同一重要賬戶、列報及其相關認定或內部控制要素產生影響的各項控制缺陷,組合起來是否構成重大缺陷。
在評價因一項或多項控制缺陷導致的潛在錯報的金額大小時,注冊會計師應當考慮的因素包括:
(1)受控制缺陷影響的財務報表金額或交易總額;
(2)在本期或預計的未來期間受控制缺陷影響的賬戶余額或各類交易涉及的交易量。
在評價潛在錯報的金額大小時,賬戶余額或交易總額的最大多報金額通常是已記錄的金額,但其最大少報金額可能超過已記錄的金額。通常,小金額錯報比大金額錯報發生的概率更高。
在確定一項控制缺陷或多項控制缺陷的組合是否構成重大缺陷時,注冊會計師應當評價補償性控制的影響。在評價補償性控制是否能夠彌補控制缺陷時,注冊會計師應當考慮補償性控制是否有足夠的
精確度以防止或發現並糾正可能發生的重大錯報。 如果注冊會計師確定發現的一項控制缺陷或多項控制缺陷的組合將導致審慎的管理人員在執行工作時,認為自身無法合理保證按照適用的財務報告編制基礎記錄交易,應當將這一項控制缺陷或多項控制缺陷的組合視為存在重大缺陷的跡象。下列跡象可能表明內部控制存在重大缺陷:
(1)注冊會計師發現董事、監事和高級管理人員的任何舞弊;
(2)被審計單位重述以前公布的財務報表,以更正由於舞弊或錯誤導致的重大錯報;
(3)注冊會計師發現當期財務報表存在重大錯報,而被審計單位內部控制在運行過程中未能發現該錯報;
(4)審計委員會和內部審計機構對內部控制的監督無效。 如果被審計單位在基準日前對存在缺陷的控制進行了整改,整改後的控制需要運行足夠長的時間,才能使注冊會計師得出其是否有效的審計結論。注冊會計師應當根據控制的性質和與控制相關的風險,合理運用職業判斷,確定整改後控制運行的最短期間(或整改後控制的最少運行次數)以及最少測試數量。整改後控制運行的最短期間(或最少運行次數)和最少測試數量參見表2。
表2:整改後控制運行的最短期間(或最少運行次數)和最少測試數量 控制運行頻率 整改後控制運行的最短期間或最少運行次數 最少測試數量 每季1次 2個季度 2 每月1次 2個月 2 每周1次 5周 5 每天1次 20天 20 每天多次 25次(分布於涵蓋多天的期間,通常不少於15天) 25 如果被審計單位在基準日前對存在重大缺陷的內部控制進行了整改,但新控制尚沒有運行足夠長的時間,注冊會計師應當將其視為內部控制在基準日存在重大缺陷。
㈨ 企業內控如何分工明確
也就是說,你賣給客戶什麼並不重要,重要的是你為客戶做了什麼,你所做的與你要達到的目的之間有什麼重要關聯。內控職能的發揮也應基於這種理念,這樣才會讓業務部門主動接納而不是消極對抗,才能使內控成為「產品」,能贏得客戶。 雙內控的構成,主要指為實現內控管理對業務經營的制衡作用,各內控部門之間如何界定各自的職責,使它們之間既能分工清晰又能互相協作。一般來說,研究雙內控的構成,就是研究三大內控部門(合規管理部、風險控制部、稽核審計部),作為雙內控的「監控」層面,是如何各盡其能、各司其職,按照自己的工作重點科學有效地開展工作的。 有人可能會問,內控就內控好了,為什麼還要分工,這不是增加企業管理成本嗎?錯了,分工是提高效率的秘訣,道理很簡單,人不是萬能的,只有分工才能專注,從而精通某項業務。但分工並不是簡單地分開,只有分開沒有協作,就不能產生合力,同樣會造成浪費。 不管是在生產上還是在管理上,這一道理都同樣適用。高明的治理結構一定是全方位的、無縫隙的治理,將權力拆分,使權力獨立運作又互相制約。現代國家治理體系就是如此,立法、行政、司法一定是分開的,但是互相又形成一種制約關系,環環相扣,使腐敗和決策失誤不易發生。「雙內控」各個環節的運作與此相類似。 企業應該以「提高合規管理工作的事前規范性,提高風險管理工作的准確預見性,提高審計管理工作的科學導向性」為中心,形成一個立體交叉的內部控制工作管控模式。 經濟學家們發現,「只有把產品當做服務,才能取得最佳效果」。也就是說,你賣給客戶什麼並不重要,重要的是你為客戶做了什麼,你所做的與你要達到的目的之間有什麼重要關聯。內控職能的發揮也應基於這種理念,這樣才會讓業務部門主動接納而不是消極對抗,才能使內控成為「產品」,能贏得客戶,從而真正對公司的業務經營發揮實效。 具體來說,內控部門的職能分工應該是這樣的:合規管理應側重於教練員,並像保健中心;風險管理應側重於邊線員,並像體檢中心;審計管理應側重於裁判員,並像健身中心(如定期開展的壓力測試、情景模擬等)。這樣的形象定位不僅明確了各自的職責,而且也便於業務部門很好地接受這種「產品」。另外,這種清晰的分工既可以解決部門與部門之間存在的壁壘,又可以避免內控部門之間或公司規模小隻有一個內控部門的不同崗位之間在合作過程中出現各自為政、沖突不斷、矛盾重重的情形。 1、合規管理部門的事前規范性 合規管理部門應以全面提高合規管理的事前規范性為目標,進一步強化其執行力和有效性,通過柔性的管理方法,不斷優化運行機制,實現合規管理的常態運行,即通過日常管理、合規檢查或專項工作,發現問題、識別風險,並採取措施進行監督整改,以規避合規風險。 某證券公司的合規管理部在一次審查服務部翻牌材料時發現,公司證券服務部營業執照登記的地址與證監局開業批復中批準的地址不一致。此事項存在未經審批已搬遷問題,違反了相關監管規定。合規管理部據此向經紀業務管理總部發出合規風險警示,要求經紀業務管理總部進行自查,並及時將自查情況向證監局溝通匯報。最後,證監局將該事項列為自查自糾行為,並未採取處罰措施。 事前的風險防範並不一定每次都能及時檢查到問題,為了提高事前風險防範的成功率,可以採用以下舉措:制訂合規管理工作計劃,及時關注法律法規變化,協助公司完善管理制度和業務流程,提供合規咨詢和建議,按照規定對公司內部管理制度、重大決策、新產品和新業務方案等出具合規審查意見。通過這些舉措,可以提前介入、及時發現,防範合規風險和法律風險隱患。合規管理部門還可以通過咨詢、培訓、溝通以及制度梳理等方式來實現對業務部門的服務支持,促進合規管理部門與業務部門的和諧發展。 2、風險控制部門的准確預見性 風險控制部門在企業風險管理和風險控制的各項工作中,負責風險評估、風險監督監控和風險量化分析,重點監控市場風險、操作風險和流動性風險,協助各級管理人員對業務經營的各類風險進行識別、評估和管理控制,並提出風險控制的措施。通過提高效率、科學管理,風險控制向數量化、指標化、規范化的管控模式轉變,有助於全面完成對各項業務、投資、信貸、運營、凈資本變化、資產管理、信息技術、財務管理等的監控工作。通過努力探索風險量化模型管理在各業務條線的應用,風險控制部門應積極完成分類監管模擬自評工作,逐步提高風險控制的准確預見性,保障各項業務健康發展。 對於具體的風險評價,風險控制部門可以按照以下幾個步驟來進行: (1)實施分析性程序。確定重要性標准,初步評價可接受風險和固有風險;依據風險評價模型,確定風險水平,制訂風險控制總體計劃和具體計劃。 (2)如果初步評價控制風險水平較低,則實施控制測試,依據控制測試的結果,確定是否擴大交易的實質性內容;如果初步評價控制風險水平較高,則應直接轉入交易的實質性測試,評價財務報表的可能性。 (3)對財務數據及賬戶余額的實質性測試。在該種模式下,除採用賬戶項目導向和系統導向模式外,還可採用分析性程序的方法,如趨勢分析法、比率分析法、絕對額比較法、垂直分析法等。 3、稽核審計部門的科學導向性 稽核審計部門的作用是通過綜合的、系統的、獨立的和定期的審計工作,並結合財務指標,利用掌握的各項財務與非財務數據,對公司戰略的合理性和有效性進行分析、判斷,尋找經營管理中可能存在的各種風險因素,強化各項規則的有效實施,使其與公司目標規劃形成一致導向,從而發揮指揮棒的作用。 具有內部審計職能的審計委員會應該具有獨特的地位,它有權詢問最高管理層如何落實各項制度責任,確保他們採納針對運營風險的糾正方案。當最高管理層凌駕於內部控制之上或發生違規事件時,審計委員會必須指出其危害和後果,並果斷採取整改糾偏的行動。 在審計策略的選擇上,既要注重降低經營風險,又要注重節省審計成本,在審計效果和效率之間尋找到均衡點。同時,稽核審計工作應跟上政策、監管的思路,及時把新的監管動態延伸到具體的業務操作中去;也要跟上公司業務創新發展的步伐和管理理念以及重點工作的變化,強化以風險管理為導向的稽核審計原則。 為保證審計工作的有效性,對分支機構、網點較多的企業(銀行、證券公司、保險公司等),應加大審計力度,實施一線配合審計、專人專項審計、相互交叉審計、總部委派審計等方法,提高審計工作效率。 一線配合審計是指在公司關鍵崗位人員強制休假期間,由其所在部門的風險管理專員(合規聯絡人)組成審計小組,按照事先確定的審計內容和規程完成審計任務,出具內部稽核報告並向審計部門報備。 專人專項審計是針對外部監管關注的問題、合規工作聯動的問題、相關管理部門發現的違規事項延伸審計的問題,以及董事會、總經理、首席風險官(合規總監)交辦的審計事項,由審計部門指定審計人員進行稽核審計,並出具專項審計報告。 相互交叉審計是指由業務不相容、無利害關系的部門風險管理專員(合規聯絡人)組成審計小組,在公司總部稽核專員的指導和監督下,按照事先確定的審計檢查要點及審計規程的要求開展現場常規審計,完成審計報告,並對審計內容承擔責任,同時對被審計部門下達整改意見書,並對審計出的問題進行跟蹤整改。 總部委派審計是在審計部門人員相對不足或審計任務較重的情況下,由一批有審計和現場工作經驗的審計專人及風險管理專員(合規聯絡人)組成審計小組,接受審計任務,獨立完成審計工作,起草審計報告,對審計內容承擔責任,對被審計部門下達整改意見書,並對審計結果進行跟蹤。 (本文作者介紹:雙內控陽光管理理論創始人、財經作家) 本文為作者獨家授權新浪財經使用,請勿轉載。所發表言論不代表本站觀點。
㈩ 企業內部控制審計指引實施意見的關於實施審計工作
注冊會計師應當採用自上而下的方法選擇擬測試的控制。
自上而下的方法始於財務報表層次,以注冊會計師對內部控制整體風險的了解開始,然後,將關注重點放在企業層面的控制上,並將工作逐漸下移至重要賬戶、列報及其相關認定。隨後,驗證其對被審計單位業務流程中風險的了解,並選擇能足以應對評估的每個相關認定的重大錯報風險的控制進行測試。
自上而下的方法分為下列步驟:
(1)從財務報表層次初步了解內部控制整體風險;
(2)識別、了解和測試企業層面控制;
(3)識別重要賬戶、列報及其相關認定;
(4)了解潛在錯報的來源並識別相應的控制;
(5)選擇擬測試的控制。
本部分第(二)至(五)對自上而下的方法的各個步驟進行了規定,第(六)至(十三)對控制有效性測試進行了規定。 注冊會計師應當識別、了解和測試對內部控制有效性有重要影響的企業層面控制。注冊會計師對企業層面控制的評價,可能增加或減少本應對其他控制進行的測試。
1. 企業層面控制對其他控制及其測試的影響
不同的企業層面控制在性質和精確度上存在差異,注冊會計師應當從下列方面考慮這些差異對其他控制及其測試的影響:
(1)某些企業層面控制,如與控制環境相關的控制,對及時防止或發現並糾正相關認定的錯報的可能性有重要影響。雖然這種影響是間接的,但這些控制仍然可能影響注冊會計師擬測試的其他控制,以及測試程序的性質、時間安排和范圍。
(2)某些企業層面控制旨在識別其他控制可能出現的失效情況,能夠監督其他控制的有效性,但還不足以精確到及時防止或發現並糾正相關認定的錯報。當這些控制運行有效時,注冊會計師可以減少對其他控制的測試。
(3)某些企業層面控制本身能夠精確到足以及時防止或發現並糾正相關認定的錯報。如果一項企業層面控制足以應對已評估的錯報風險,注冊會計師就不必測試與該風險相關的其他控制。
2. 企業層面控制的內容
企業層面控制包括下列內容:
(1)與控制環境(即內部環境)相關的控制;
(2)針對管理層和治理層凌駕於控制之上的風險而設計的控制;
(3)被審計單位的風險評估過程;
(4)對內部信息傳遞和期末財務報告流程的控制;
(5)對控制有效性的內部監督(即監督其他控制的控制)和內部控制評價。
此外,集中化的處理和控制(包括共享的服務環境)、監控經營成果的控制以及針對重大經營控制及風險管理實務的政策也屬於企業層面控制。
3. 對期末財務報告流程的評價
期末財務報告流程對內部控制審計和財務報表審計有重要影響,
注冊會計師應當對期末財務報告流程進行評價。
期末財務報告流程包括:
(1)將交易總額登入總分類賬的程序;
(2)與會計政策的選擇和運用相關的程序;
(3)總分類賬中會計分錄的編制、批准等處理程序;
(4)對財務報表進行調整的程序;
(5)編制財務報表的程序。
注冊會計師應當從下列方面評價期末財務報告流程:
(1)被審計單位財務報表的編制流程,包括輸入、處理及輸出;
(2)期末財務報告流程中運用信息技術的程度;
(3)管理層中參與期末財務報告流程的人員;
(4)納入財務報表編制范圍的組成部分;
(5)調整分錄及合並分錄的類型;
(6)管理層和治理層對期末財務報告流程進行監督的性質及范圍。 注冊會計師應當基於財務報表層次識別重要賬戶、列報及其相關認定。
如果某賬戶或列報可能存在一個錯報,該錯報單獨或連同其他錯報將導致財務報表發生重大錯報,則該賬戶或列報為重要賬戶或列報。判斷某賬戶或列報是否重要,應當依據其固有風險,而不應考慮相關控制的影響。
如果某財務報表認定可能存在一個或多個錯報,這些錯報將導致財務報表發生重大錯報,則該認定為相關認定。判斷某認定是否為相
關認定,應當依據其固有風險,而不應考慮相關控制的影響。
為識別重要賬戶、列報及其相關認定,注冊會計師應當從下列方面評價財務報表項目及附註的錯報風險因素:
(1)賬戶的規模和構成;
(2)易於發生錯報的程度;
(3)賬戶或列報中反映的交易的業務量、復雜性及同質性;
(4)賬戶或列報的性質;
(5)與賬戶或列報相關的會計處理及報告的復雜程度;
(6)賬戶發生損失的風險;
(7)賬戶或列報中反映的活動引起重大或有負債的可能性;
(8)賬戶記錄中是否涉及關聯方交易;
(9)賬戶或列報的特徵與前期相比發生的變化。
在識別重要賬戶、列報及其相關認定時,注冊會計師還應當確定重大錯報的可能來源。注冊會計師可以通過考慮在特定的重要賬戶或列報中錯報可能發生的領域和原因,確定重大錯報的可能來源。
在內部控制審計中,注冊會計師在識別重要賬戶、列報及其相關認定時應當評價的風險因素,與財務報表審計中考慮的因素相同。因此,在這兩種審計中識別的重要賬戶、列報及其相關認定應當相同。
如果某賬戶或列報的各組成部分存在的風險差異較大,被審計單位可能需要採用不同的控制以應對這些風險,注冊會計師應當分別予以考慮。 注冊會計師應當實現下列目標,以進一步了解潛在錯報的來源,並為選擇擬測試的控制奠定基礎:
(1)了解與相關認定有關的交易的處理流程,包括這些交易如何生成、批准、處理及記錄;
(2)驗證注冊會計師識別出的業務流程中可能發生重大錯報(包括由於舞弊導致的錯報)的環節;
(3)識別被審計單位用於應對這些錯報或潛在錯報的控制;
(4)識別被審計單位用於及時防止或發現並糾正未經授權的、導致重大錯報的資產取得、使用或處置的控制。
注冊會計師應當親自執行能夠實現上述目標的程序,或對提供直接幫助的人員的工作進行督導。
穿行測試通常是實現上述目標的最有效方式。穿行測試是指追蹤某筆交易從發生到最終被反映在財務報表中的整個處理過程。注冊會計師在執行穿行測試時,通常需要綜合運用詢問、觀察、檢查相關文件及重新執行等程序。
在執行穿行測試時,針對重要處理程序發生的環節,注冊會計師可以詢問被審計單位員工對規定程序及控制的了解程度。實施詢問程序連同穿行測試中的其他程序,可以幫助注冊會計師充分了解業務流程,識別必要控制設計無效或出現缺失的重要環節。為有助於了解業務流程處理的不同類型的重大交易,在實施詢問程序時,注冊會計師不應局限於關注穿行測試所選定的單筆交易。 注冊會計師應當針對每一相關認定獲取控制有效性的審計證據,以便對內部控制整體的有效性發表意見,但沒有責任對單項控制的有效性發表意見。
注冊會計師應當對被審計單位的控制是否足以應對評估的每個
相關認定的錯報風險形成結論。因此,注冊會計師應當選擇對形成這一評價結論具有重要影響的控制進行測試。
對特定的相關認定而言,可能有多項控制用以應對評估的錯報風險;反之,一項控制也可能應對評估的多項相關認定的錯報風險。注冊會計師沒有必要測試與某項相關認定有關的所有控制。
在確定是否測試某項控制時,注冊會計師應當考慮該項控制單獨或連同其他控制,是否足以應對評估的某項相關認定的錯報風險,而不論該項控制的分類和名稱如何。 注冊會計師應當測試控制設計的有效性。
如果某項控制由擁有有效執行控制所需的授權和專業勝任能力的人員按規定的程序和要求執行,能夠實現控制目標,從而有效地防止或發現並糾正可能導致財務報表發生重大錯報的錯誤或舞弊,則表明該項控制的設計是有效的。 注冊會計師應當測試控制運行的有效性。
如果某項控制正在按照設計運行、執行人員擁有有效執行控制所需的授權和專業勝任能力,能夠實現控制目標,則表明該項控制的運行是有效的。
如果被審計單位利用第三方的幫助完成一些財務報告工作,注冊會計師在評價負責財務報告及相關控制的人員的專業勝任能力時,可以一並考慮第三方的專業勝任能力。
注冊會計師獲取的有關控制運行有效性的審計證據包括:
(1)控制在所審計期間的相關時點是如何運行的;
(2)控制是否得到一貫執行;
(3)控制由誰或以何種方式執行。 在測試所選定控制的有效性時,注冊會計師應當根據與控制相關的風險,確定所需獲取的審計證據。
與控制相關的風險包括一項控制可能無效的風險,以及如果該控制無效,可能導致重大缺陷的風險。與控制相關的風險越高,注冊會計師需要獲取的審計證據就越多。
下列因素影響與某項控制相關的風險:
(1)該項控制擬防止或發現並糾正的錯報的性質和重要程度;
(2)相關賬戶、列報及其認定的固有風險;
(3)交易的數量和性質是否發生變化,進而可能對該項控制設計或運行的有效性產生不利影響;
(4)相關賬戶或列報是否曾經出現錯報;
(5)企業層面控制(特別是監督其他控制的控制)的有效性;
(6)該項控制的性質及其執行頻率;
(7)該項控制對其他控制(如控制環境或信息技術一般控制)有效性的依賴程度;
(8)執行該項控制或監督該項控制執行的人員的專業勝任能力,以及其中的關鍵人員是否發生變化;
(9)該項控制是人工控制還是自動化控制;
(10)該項控制的復雜程度,以及在運行過程中依賴判斷的程度。 注冊會計師通過測試控制有效性獲取的審計證據,取決於其實施
程序的性質、時間安排和范圍的組合。此外,就單項控制而言,注冊會計師應當根據與控制相關的風險對測試程序的性質、時間安排和范圍進行適當的組合,以獲取充分、適當的審計證據。
注冊會計師測試控制有效性的程序,按其提供審計證據的效力,由弱到強排序通常為:詢問、觀察、檢查和重新執行。詢問本身並不能為得出控制是否有效的結論提供充分、適當的審計證據。
測試控制有效性的程序,其性質在很大程度上取決於擬測試控制的性質。某些控制可能存在反映控制有效性的文件記錄,而另外一些控制,如管理理念和經營風格,可能沒有書面的運行證據。
對缺乏正式的控制運行證據的被審計單位或業務單元,注冊會計師可以通過詢問並結合運用其他程序,如觀察活動、檢查非正式的書面記錄和重新執行某些控制,獲取有關控制是否有效的充分、適當的審計證據。
注冊會計師在測試控制設計的有效性時,應當綜合運用詢問適當人員、觀察經營活動和檢查相關文件等程序。注冊會計師執行穿行測試通常足以評價控制設計的有效性。
注冊會計師在測試控制運行的有效性時,應當綜合運用詢問適當人員、觀察經營活動、檢查相關文件以及重新執行等程序。 對控制有效性的測試涵蓋的期間越長,提供的控制有效性的審計證據越多。
單就內部控制審計業務而言,注冊會計師應當獲取內部控制在基準日之前一段足夠長的期間內有效運行的審計證據。在整合審計中,控制測試所涵蓋的期間應當盡量與財務報表審計中擬信賴內部控制
的期間保持一致。
注冊會計師執行內部控制審計業務旨在對基準日內部控制有效性出具報告。如果已獲取有關控制在期中運行有效性的審計證據,注冊會計師應當確定還需要獲取哪些補充審計證據,以證實剩餘期間控制的運行情況。在將期中測試結果更新至基準日時,注冊會計師應當考慮下列因素以確定需要獲取的補充審計證據:
(1)基準日之前測試的特定控制,包括與控制相關的風險、控制的性質和測試的結果;
(2)期中獲取的有關審計證據的充分性和適當性;
(3)剩餘期間的長短;
(4)期中測試之後,內部控制發生重大變化的可能性。
針對所有重要賬戶和列報的每個相關認定,注冊會計師應當獲取控制有效性的審計證據。《中國注冊會計師審計准則第1231號——針對評估的重大錯報風險採取的應對措施》第十四條提及的「三年輪換測試」不適用(本意見第四部分提及的與基準相比較的策略除外)。 對控制有效性測試的實施時間越接近基準日,提供的控制有效性的審計證據越有力。為了獲取充分、適當的審計證據,注冊會計師應當在下列兩個因素之間作出平衡,以確定測試的時間:
(1)盡量在接近基準日實施測試;
(2)實施的測試需要涵蓋足夠長的期間。
整改後的內部控制需要在基準日之前運行足夠長的時間,注冊會計師才能得出整改後的內部控制是否有效的結論。因此,在接受或保持內部控制審計業務時,注冊會計師應當盡早與被審計單位溝通這一
情況,並合理安排控制測試的時間,留出提前量。例如,注冊會計師在基準日前3個月完成期中測試工作。此外,由於對企業層面控制的評價結果將影響注冊會計師測試其他控制的性質、時間安排和范圍,注冊會計師可以考慮在執行業務的早期階段對企業層面控制進行測試。 注冊會計師在測試控制的運行有效性時,應當在考慮與控制相關的風險的基礎上,確定測試的范圍(樣本規模)。
注冊會計師確定的測試范圍,應當足以使其獲取充分、適當的審計證據,為基準日內部控制是否不存在重大缺陷提供合理保證。
1.測試人工控制的最小樣本規模
在測試人工控制時,如果採用檢查或重新執行程序,注冊會計師測試的最小樣本量區間參見表1。
表1:測試人工控制的最小樣本量區間 控制運行頻率 控制運行總次數 測試的最小樣本量區間 每年1次 1 1 每季1次 4 2 每月1次 12 2-5 每周1次 52 5-15 每天1次 250 20-40 每天多次 大於250次 25-60 在運用表1時,注冊會計師應當注意下列事項:
(1)測試的最小樣本量是指所需測試的控制運行次數;
(2)注冊會計師應當根據與控制相關的風險,基於最小樣本量
區間確定具體的樣本規模;
(3)表1假設控制的運行偏差率預期為零。如果預期偏差率不為零,注冊會計師應當擴大樣本規模;
(4)如果注冊會計師不能確定控制運行頻率,但是知道控制運行總次數,仍可根據「控制運行總次數」一列確定測試的最小樣本規模。
2. 測試自動化應用控制的最小樣本規模
信息技術處理具有內在一貫性。在信息技術一般控制有效的前提下,除非系統發生變動,注冊會計師只要對自動化應用控制的運行測試一次,即可得出所測試自動化應用控制是否運行有效的結論。
3.發現偏差時的處理
如果發現控制偏差,注冊會計師應當確定其對下列事項的影響:
(1)與所測試控制相關的風險的評估;
(2)需要獲取的審計證據;
(3)控制運行有效性的結論。
評價控制偏差的影響需要注冊會計師運用職業判斷,並受到控制的性質和所發現偏差數量的影響。如果發現的控制偏差是系統性偏差或人為有意造成的偏差,注冊會計師應當考慮舞弊的可能跡象以及對審計方案的影響。
在評價控制測試中發現的某項控制偏差是否為控制缺陷時,注冊會計師可以考慮的因素包括:
(1)該偏差是如何被發現的。例如,如果某控制偏差是被另外一項控制所發現的,則可能意味著被審計單位存在有效的發現性控制。
(2)該偏差是與某一特定的地點、流程或應用系統相關,還是對被審計單位有廣泛影響。
(3)就被審計單位的內部政策而言,該控制出現偏差的嚴重程度。例如,某項控制在執行上晚於被審計單位政策要求的時間,但仍在編制財務報表之前得以執行,還是該項控制根本沒有得以執行。
(4)與控制運行頻率相比,偏差發生的頻率大小。
由於有效的內部控制不能為實現控制目標提供絕對保證,單項控制並非一定要毫無偏差地運行,才被認為有效。在按照表1所列示的樣本規模進行測試的情況下,如果發現控制偏差,注冊會計師應當考慮偏差的原因及性質,並考慮採用擴大樣本量等適當的應對措施以判斷該偏差是否對總體不具有代表性。例如,對每日發生多次的控制,如果初始樣本量為25個,當測試發現一項控制偏差,且該偏差不是系統性偏差時,注冊會計師可以擴大樣本規模進行測試,所增加的樣本量至少為15個。如果測試後再次發現偏差,則注冊會計師可以得出該控制無效的結論。如果擴大樣本量沒有再次發現偏差,則注冊會計師可以得出控制有效的結論。 在基準日之前,被審計單位可能為提高控制效率、效果或彌補控制缺陷而改變控制。
對內部控制審計而言,如果新控制實現了相關控制目標,且運行了足夠長的時間,使注冊會計師能夠通過對該控制進行測試評價其設計和運行的有效性,則無需測試被取代的控制。
對財務報表審計而言,如果被取代控制的運行有效性對控制風險的評估有重大影響,注冊會計師應當測試被取代控制的設計和運行的
有效性。 注冊會計師應當評估是否利用他人(包括被審計單位的內部審計人員、內部控制評價人員和其他人員以及在管理層或治理層指導下的第三方)的工作以及利用的程度,以減少可能本應由注冊會計師執行的工作。如果他人的工作能夠提供有關內部控制有效性的審計證據,注冊會計師可以利用其工作或者提供的直接幫助。
注冊會計師應當參照《中國注冊會計師審計准則第1411號——利用內部審計人員的工作》的規定,評價他人的專業勝任能力和客觀性,以確定可利用的程度。
在評價他人的專業勝任能力時,注冊會計師應當考慮其專業資格、專業經驗與技能等相關因素。在評價他人的客觀性時,注冊會計師應當考慮是否存在某些因素,將削弱或者增強其客觀性。
無論他人的專業勝任能力如何,注冊會計師都不應利用客觀程度低的人員的工作。同樣,無論他人的客觀程度如何,注冊會計師都不應利用專業勝任能力低的人員的工作。
被審計單位內部負責監督、稽核或合規工作的人員,如內部審計人員,通常擁有較高的專業勝任能力和客觀性。他們的工作可能對注冊會計師有用。
注冊會計師利用他人工作的程度還受到與所測試控制相關的風險的影響。與某項控制相關的風險越高,注冊會計師應當越多地親自對該項控制進行測試。
在識別、了解和測試企業層面控制時,注冊會計師不得利用他人的工作。 如果服務機構提供的服務和對服務的控制,構成被審計單位與財務報告相關的信息系統(包括相關業務流程)的一部分,注冊會計師應當按照《中國注冊會計師審計准則第1241號——對被審計單位使用服務機構的考慮》的規定辦理。
注冊會計師在對被審計單位內部控制的有效性發表意見時,不應在內部控制審計報告中提及服務機構注冊會計師的報告。