内控审计常见问题

主讲：韩建春

目　录

一、上市公司内控审计非标意见情况

二、上市公司内控审计常见问题

三、如何做好内控审计

一、上市公司内控审计非标意见情况

（一）基本情况

（二）经营层面内控缺陷

（三）非经营层面内控缺陷

（四）上市公司重点关注内控

（一）基本情况

已经出具了内部控制审计报告的上市公司中49家被出具带强调事项段的无保留意见，48家被出具了否定意见审计报告，3家被出具了无法表示意见审计报告。从非标准审计意见情况看，共计100家被出具非标准审计意见（占比4.05%），较2020年度134家（占比4.30%）略有下降。

被出具“否定意见”内部控制审计报告的上市公司对应的财务报表审计报告看，绝大多数上市公司的财务报表审计报告也被出具了非标准审计意见。

（二）经营层面内控缺陷

1.财务报告的编制内控缺陷

2.投资与融资管理内控缺陷

3.关联交易内控缺陷

4.销售与收款内控缺陷

5.内部控制环境缺陷

6.资金管理内控缺陷

7.违规担保

8.合同管理

9.采购与付款

10.印章管理失效

11.账实不符

（三）非经营层面内控缺陷

企业或企业高管涉嫌违纪或舞弊等行为受到公检法机关调查。

对外披露相关事项，主要为企业因对外披露违规而受到监管机构处罚或立案调查的事项。

公司持续经营存在不确定性。

（四）上市公司重点关注内控

1.资金资产舞弊

2.收入舞弊

3.成本费用舞弊

4.投资活动舞弊

5.关联交易舞弊

6.重要风险业务

7.财务报告编制

《财政部 证监会关于进一步提升上市公司财务报告内部控制有效性的通知》（财会〔2022〕8号）

重点关注内控：

谋取以财务业绩为基础的私人报酬最大化、骗取外部资金、侵占资产、违规担保、内幕交易、操纵市场等动机，对财务报告信息作出虚假记载、误导性陈述或者重大遗漏的风险，特别是防范上市公司董事、监事、高级管理层和实际控制人等“关键少数”的舞弊风险。

（一）资金资产活动相关舞弊和错报的风险与控制。

1.加强资金资产管理舞弊风险评估与控制。

一是关注为侵占资金资产、粉饰财务报表等目的，伪造、篡改或销毁原始凭证，隐瞒、截留或侵占收入，私签支票，盗用印鉴，违规提现，虚列费用，设账外账、小金库，伪造或篡改银行单据，资产私用，违规担保等相关风险。

二是关注不相容岗位的有效分离，资金资产交易真实性，账账、账证、账实一致性等相关内部控制流程和控制措施的有效性。

2.加强资金资产活动相关账户及财务报表列报的风险评估与控制。

一是关注货币资金、固定资产、在建工程、存货、无形资产、长期股权投资等报表项目或类别下资金与资产相关账户的发生额、准确性、确认时点、计量金额以及列报风险。

二是关注资金归集管理、银行账户管理、票据管理、支付与授权审批管理、资产管理、坏账管理、担保管理等控制措施的有效性。

三是关注违规占用资金的风险，加强对大股东借款、担保、投融资等活动的审核、追踪、预警和披露的控制。　

（二）收入相关舞弊和错报的风险与控制。

1.加强收入确认政策的合理性及其变更的控制。

一是严格按照企业会计准则规定，评估收入确认政策的合理性，针对不同产品销售与服务提供方式所采用的具体确认方法的合理性，确认时点和确认依据的合理性以及披露的收入确认原则与实际确认方法的一致性。

二是关注对收入确认会计政策变更程序的控制的有效性以及变更内容的合理性。　

2.加强收入舞弊风险的评估与控制。

一是关注为粉饰财务报表等目的虚增收入或提前确认收入，为报告期内降低税负、转移利润等目的少计收入或延后确认收入等相关风险。

二是关注客户资信调查，交易合同商业背景的真实性，资金资产交易的真实性，销售模式的合理性和交易价格的公允性等内部控制流程和控制措施的有效性。

3.加强收入相关账户及财务报表列报的风险评估与控制。

一是结合上市公司的行业特性、商业模式、具体业务和交易模式等，充分关注应收账款、应收票据、营业收入等收入相关账户及其明细账户的完整性、准确性、确认时点、计量金额和列报等风险。

二是关注客户管理、销售管理、定价管理、合同管理、往来款项管理、坏账计提及核销等内部控制流程和控制措施的有效性。

（三）成本费用相关舞弊和错报的风险与控制。

1.加强对成本费用相关会计政策和会计估计及其变更合理性的控制。

一是严格按照企业会计准则规定，评估成本费用核算相关会计政策和会计估计的合理性，针对不同业务、产品、采购与生产流程所采用的具体核算方法的合理性，核算时点和核算依据基于商业实质的合理性以及披露的成本核算原则与实际核算方法的一致性。

二是关注对成本费用相关会计政策和会计估计变更程序控制的有效性以及变更内容的合理性。

2.加强成本费用舞弊风险的评估与控制。

一是关注为达到粉饰财务报表的目的少计成本费用、延迟核算成本费用、将费用性支出确认为资本化支出、由第三方承担成本费用、虚假采购以及其他调整成本费用以改变产品利润或利润构成等相关风险。

二是关注营业收入与成本的匹配程度、成本费用归集与分配的准确性和完整性等内部控制流程和控制措施的有效性。

3.加强成本费用相关账户及财务报表列报的风险评估与控制。

一是关注营业成本、销售费用、管理费用、财务费用、研发费用等成本费用相关账户及其明细账户的完整性、准确性、确认时点、计量金额和列报等风险。

二是关注研发管理、采购管理、资金管理、资产管理、合同管理和会计核算等内部控制流程和控制措施的有效性。

（四）投资活动相关舞弊和错报的风险与控制。

1.加强投资活动舞弊风险评估与控制。

一是关注为完成业绩对赌、业绩承诺、满足股权激励行权条件、符合市场预期业绩等目的，以投资活动为名进行财务报表粉饰以及其他影响交易真实性、价格公允性的风险。

二是关注对交易标的真实性、交易价格公允性、交易信息披露真实完整性等内部控制流程和控制措施的有效性。

2.加强投资活动相关账户及财务报表列报的风险评估与控制。

一是关注投资活动的论证与决策控制，包括对投资目标、规模、方式、资金来源、风险与收益等进行评价与控制，在立项与决策、评估与审计、交易价格确定、交易合同管理、股权转让办理和会计核算等重要环节和领域建立并实施有效的内部控制流程和控制措施。

二是关注投资活动相关的资产、负债、所有者权益等账户和列报等风险。

三是关注投后管理内部控制的有效实施，包括股权变更、债务管理、商誉减值测试及减值计提、担保管理、人员委派与考核、股东事务管理等。

四是关注对子公司或投资项目的管控，上市公司应要求子公司或投资项目在规定的合理时间内建立并有效实施内部控制，以便追踪监控子公司或投资项目进展，定期评估风险和内部控制缺陷，并强化整改落实和责任追责。

（五）关联交易相关舞弊和错报的风险与控制。

1.加强关联交易舞弊风险的评估与控制。

一是关注通过复杂交易、规避关联交易或利用关联交易非关联化等手段，影响关联交易真实性、价格公允性，从而粉饰财务报表或进行利益输送的风险。

二是关注交易商业背景的真实性、资金资产交易的真实性、销售模式的合理性和公允性、关联交易金额上限的合规性等内部控制流程和控制措施的有效性。

2.加强关联交易列报风险的评估与控制。关注关联方确认与审批授权、交易类型、资金往来界定、定价管理、合同管理、信用管理和披露等关键环节的内部控制流程和控制措施的有效性。

（六）重要风险业务和重大风险事件相关的风险与控制。

1.加强重要风险业务的风险评估及控制。

一是定期评估重要风险业务可能导致的财务报告错报风险，尤其应关注以复杂交易掩盖业务实质和以表面上合法合规掩盖实质上违法违规行为的风险。

二是针对重要风险业务建立并持续完善闭环控制流程，强化合规论证、外部咨询、集体决策、定期培训、加强监控预警等控制措施，并定期评估控制效果。

2.加强重大风险因素和事件预警及应急处置机制建设与实施。当内外部重大风险因素变化或风险事件发生时，应能够及时识别可能蒙受的资产损失、负面影响以及可能导致的财务报告错报风险。上市公司要制定重大风险事件报告、披露等管理制度，及时准确披露信息，合理预计或有负债和其他财务报告影响，深入剖析原因，及时完善控制措施，避免风险事件再次发生并定期评估控制效果。

（七）财务报告编制相关的风险与控制。

1.加强财务报告流程相关风险评估与控制。

一是关注会计政策和会计估计选择与变更、合并报表范围确定、重大会计事项处理、交易确认时点、合并抵销、披露事项等财务报告编制和审批流程，评估财务报告错报风险所对应控制措施的有效性。

二是关注财务报告在收入和成本确认、关联交易、担保、并购重组、期后重大会计调整、持续经营等方面可能存在漏报、错报、侵占上市公司利益等风险的评估和控制的有效性。

2.加强对与财务报告编制相关的信息系统风险评估与控制。

一是实施有效的信息系统总体控制，确保信息系统操作的可追溯性。

二是实施有效的信息系统应用控制，包括对重要业务系统建立有效的访问权限管理、禁止不相容岗位用户账号的交叉操作以及建立实施不同信息系统之间的接口配置、系统配置、校验等其他重要的应用控制。

3.重点关注“关键少数”舞弊导致的财务报告重大错报风险，并建立有效的反舞弊机制。

一是实施有效措施，确保上市公司与其控股股东、实际控制人及其关联方不违反法律法规和公司章程干涉上市公司的运作。

二是形成有效机制，确保股东（大）会、董事会、监事会、管理层在决策、执行和监督等方面的分工和制衡，完善公司治理。

三是明确董事会、管理层与相关部门在反舞弊工作中的职责权限，建立舞弊线索的发现、举报、调查、处理、报告和纠正程序，确保举报、投诉渠道通畅。

二、上市公司内控审计常见问题

（一）常见内控审计底稿问题

（二）识别重要账户、列报及其相关认定和控制方面

（三）控制测试方面

（四）评价控制缺陷及完成审计工作方面

（一）常见内控审计底稿问题

1．管理层凌驾于内控之上未能发现

2．穿行测试不够全面，未充分识别控制点和关键证据

3．未恰当选取测试样本

4．关键控制点缺失

5．未发现不相容岗位未有效分离的情况

6．未对控制偏差进行合理评价

7．未发表恰当的内控审计意见类型

8．未充分考虑内控审计意见对财务报告审计意见的影响

（二）识别重要账户、列报及其相关认定和控制方面

一是个别项目在审计计划记录应收账款的完整性存在重大错报风险，但又将其识别为不相关认定，未进行控制测试。

二是在识别相关控制时，部分项目未记录相关控制执行的具体情况，未对具体业务流程中的部分控制点是否识别为关键控制点进行记录和评价。

（三）控制测试方面

一是样本选择不恰当。

如未明确记录控制发生频率及控制运行总次数，未说明筛选样本数量的依据；样本量少于最低要求；未根据与控制相关的风险合理确定样本规模；未根据预期偏差率扩大样本规模。个别项目样本集中在上半年，且未进一步获取补充审计证据。

二是未对部分重要内部控制实施测试。

个别项目在筹资与投资循环控制测试中，将投资的完整性、存在、权力与义务、计价和分摊、列报确认为相关认定，但未对上述全部认定执行控制测试。个别项目将应收账款、存货列为重大账户，但未对应收账款及存货减值相关的会计估计执行控制测试。

三是未发现与公司年报信息披露相关的内部控制执行存在问题。

个别项目年报信息披露存在错误，如合同负债重分类金额错误、其他应收款前五大信息披露不准确，反映出公司相关内部控制执行存在问题，但在内部控制有效性测试中未能发现。

（四）评价控制缺陷及完成审计工作方面

一是部分项目对识别出的内部控制缺陷，未综合考虑相关风险因素，未充分评价控制缺陷的严重程度，并考虑其对内部控制审计及财务报表审计的影响。

二是个别项目审计师未汇总所有与内控相关的重大缺陷、重要缺陷与管理层或治理层进行书面沟通。

三、如何做好内控审计

（一）内控审计工作流程

（二）公司层面内控测试

（三）业务层面内控测试

（四）评价缺陷与审计意见

（一）内控审计工作流程

（二）公司层面内控测试

1．了解、评价和测试企业层面控制

集中化的处理和控制（包括共享的服务环境）、监控经营成果的控制以及针对重大经营控制及风险管理实务的政策也属于企业层面控制。

　　2．了解出错点，识别关键控制

（1）识别可能出错点

可能出错点是指在重大业务流程中由于错误或舞弊而导致的错报风险。在了解重大业务流程的过程中，CPA需要识别可能出错项，并将重点放在那些对相关认定有重大影响的可能出错项。

（2）识别相关控制

针对每一项相关认定及其可能的出错项，CPA需要识别相关的控制。我们应当确定：①被审计单位是否建立了有效的控制，以防止或发现并纠正这些错报；②被审计单位是否遗漏了必要的控制；③是否识别出可以最有效测试的控制。

识别和了解控制采用的主要方法是：询问被审计单位各级别的负责人员。

我们并不需要了解与每一控制目标相关的所有控制，而只需关注关键控制即可。如果多项控制能够实现同一目标，我们也不必了解与该目标相关的每一项控制。

货币资金业务的不相容岗位

（1）货币资金支付的审批与执行

（2）货币资金的保管与盘点清查

（3）货币资金的会计记录与审计监督。

出纳人员不得兼任稽核、会计档案保管和收入、支出、费用、债权债务账目的登记工作。

货币资金循环6个关键控制

归纳——自上而下、风险导向的方法步骤

（三）业务层面内控测试

1．业务流程内部控制测试的目的

在内部控制审计中，在识别财务报表中的重要账户、列报及其相关认定后，应当对每一相关认定获取有关控制有效性的审计证据，以便对内部控制整体的有效性发表意见。

2．内控测试的方法

Tips：重新执行只适用于测试控制运行的有效性，对于设计的有效性并不适用。

3．控制测试的时间安排

4．控制测试的范围

测试人工控制的最小样本规模区间

Tips：上表假设控制的运行偏差率预期为零，如果不为零，还需扩大样本规模。

如何选择测试样本

5．控制缺陷

（四）评价缺陷与审计意见

1．控制缺陷——内控缺陷按照成因分析

2．控制缺陷——内控缺陷严重程度区分

3．评价控制缺陷七步曲

（1）考虑发现的控制缺陷与财务报表认定是否直接相关

（2）确定缺陷是否可能不能防止或发现并纠正财务报表错报

（3）确定缺陷可能导致的报表错报，对财务报表影响程度是否重大

（4）评价是否存在补偿性控制并有效运行，足以防止或发现纠正报表重大错报

（5）评价该项缺陷的重要程度是否足以引起负责监督企业财务报告的人员的关注

（6）考虑一个正常的管理人员是否会认为该控制缺陷为重大缺陷

（7）判断重大审计调整、前期差错更正等情况是否并不表明存在控制缺陷

4．缺陷改正

整改后控制运行的最短期间和最少测试数量

5．缺陷评价与整改

如果在基准日前对存在的重大缺陷进行了整改，但新控制尚没有运行足够长的时间，应将其视为内控在基准日存在重大缺陷，出具否定意见报告。

内控审计应提前进行，一般考虑9月份完成审计工作，以留出足够长的时间进行整改。

6．内控审计报告类型

7．期后事项的考虑