内部控制审计培训_终稿.pptx

1 2011年度内部控制审计工作问题 2012年8月 北京 2 一、观念问题 二、技术问题 三、管理问题 四、审计结果 五、改进建议 主要内容 2 3 一、观念问题 4 一、 观念问题 观念问题：本年度内控审计的主观、客观环境。 会计师行业内外对内控审计的认识存在较大偏差。 会计师行业外部 上市公司群体对内控审计意义的认识不足 对事务所审计能力的认知 社会公众对会计师事务所内控审计质量的宽容态度 5 一、 观念问题 会计师行业内部的自我认知 对审计能力的认知 对审计目的的认知 6 二、技术问题 7 二、技术问题 审计计划不充份 内控审计及财表审计概念混淆 审计程序不足 缺陷评价过程缺失 8 二、技术问题 （一）内控审计计划不充分 未能以风险为导向评估确定审计范围 被审计单位重要业务单元未纳入审计范围 被审计单位重要业务流程未纳入审计范围 重大风险领域未得到识别及评估 未能灵活把握及判断具体审计计划及审计方式 9 二、技术问题 （一）内控审计计划不充分 重大风险领域未得到识别及评估 例如：在“了解被审计单位及其环境”中记录，“公司产品主要通过销售子公司对外销售，公司产品出售给销售公司时保留一定的毛利率，公司对销售公司一般持股35%，其他股东为销售公司高管和员工，销售子公司实行分区域经营，一般不跨区销售，合力通过销售公司在全国大部分范围内布下销售网点。” 10 二、技术问题 （一）内控审计计划不充分 重大风险领域未得到识别及评估 风险分析： （1）股份公司提供给销售公司的价格是否保持的合理的毛利率？毛利率如何确定？股份公司提供给不同销售公司的价格是否一致，如果不一致，那么销售价格的审批权限如何确定？ （2）销售公司其他股东如何确定？是否有销售公司谁可以参股的选择和评价的流程？ （3）股份公司对销售公司的控制程度，包括但不限于：销售公司高管工资薪酬的如何制定；销售公司管理层权限（向最终用户销售的定价权；审批权）； （4）销售公司销售收入的回款情况等等。 11 二、技术问题 （一）内控审计计划不充分 重大风险领域未得到识别及评估 例如：关联方交易流程 工作底稿“了解被审计单位及其环境”中记录“公司组织结构复杂，分子公司众多，内部往来、内部交易复杂，且金额较大，财务报表合并抵消过程复杂”。 工作底稿“了解被审计单位及其环境”中记录，审计师判断“公司有专门的合并报表会计负责合并报表的编制，公司的财务软件总服务器在股份本部，在股份公司本部即可查询所有分子公司的账务，公司定期核对内部往来和内部交易，相关内控严密”。 审计师未针对关联方交易相关内部控制实施相应程序。 12 二、技术问题 （一）内控审计计划不充分 未能灵活把握及判断具体审计计划及审计方式 13 二、技术问题 （一）内控审计计划不充分 未经评价利用他人工作 利用被审计单位内部控制评价文档记录 利用其他专业人员的工作 14 二、技术问题 （二）内控审计及财表审计概念混淆 以财表审计过程中实施的内部控制测试工作作为出具内控审计报告的依据 以财表审计过程中实施的实质性测试替代内控审计程序 15 二、技术问题 （三）审计程序不足 公司层面内部控制 对公司层面内控范围及内部控制要求的理解不够深入，未能充分识别控制要求 公司层面内控测试缺乏文字记录以及相应支持性文档 关于分子公司公司层面内部控制是否需要单独评价的问题 16 二、技术问题 （三）审计程序不足 流程层面内部控制 – 流程文档记录 存在的问题：控制矩阵中控制点描述不细致、精确度不足，导致关键控制要素未被识别，因此也未能被测试。 例如：会计师工作底稿记录“货物出库后，财务部会计人员在系统中做出库操作，系统自动确认销售收入”。 17 二、技术问题 （三）审计程序不足 流程层面内部控制 – 穿行性测试 穿行性测试底稿记录不全面 穿行性测试缺少支持性文档，或支持性文档内容无索引，无法判断样本内容是否相关 18 二、技术问题 （三）审计程序不足 流程层面内部控制 – 控制有效性测试 样本量选择随意 难点：识别测试内容/测试目标 取决于流程文档中控制活动描述的细致、精确程度 根据内部控制的认定做判断 19 二、技术问题 （三）审计程序不足 信息系统审计程序 缺少信息系统审计专业人才 缺乏对实施信息系统审计必要性的基本认识 实施信息系统审计，需要一般审计人员与IT审计人员的配合 一般审计人员应具备对是否需要实施信息系统审计的判断能力，以及对信息系统应用控制的识别能力 信息系统审计能力有待加强