第103讲企业内部控制审计1文档格式.docx
- 文档编号:16961758
- 上传时间:2022-11-27
- 格式:DOCX
- 页数:15
- 大小:45.73KB
第103讲企业内部控制审计1文档格式.docx
《第103讲企业内部控制审计1文档格式.docx》由会员分享,可在线阅读,更多相关《第103讲企业内部控制审计1文档格式.docx(15页珍藏版)》请在冰豆网上搜索。
内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
(二)内部控制目标
内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
内部控制的目标包括以下五个方面:
1.合理保证财务报告及相关信息的真实完整;
2.合理保证资产安全;
3.合理保证经营管理合法合规;
4.提高经营效率效果;
5.促进企业实现发展战略。
(三)财务报告内部控制与非财务报告内部控制
1.财务报告内部控制
财务报告内部控制,是指公司的董事会、监事会、经理层及全体员工实施的旨在合理保证财务报告及相关信息真实、完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。
2.非财务报告内部控制
非财务报告内部控制,是指除财务报告内部控制之外的其他控制,通常是指为了合理保证除财务报告及相关信息、资产安全外的其他控制目标的实现而设计和运行的内部控制。
(一)内部控制审计的含义
内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
(二)整合审计
1.整合审计的含义
整合审计,是指注册会计师将内部控制审计与财务报表审计整合进行。
2.整合审计的目标
在整合审计中,注册会计师应当对内部控制设计与运行的有效性进行测试,以同时实现下列目标:
(1)获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发表的意见;
(2)获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结果。
(三)内部控制审计与财务报表审计
内部控制审计与财务报表审计二者之间既有联系,又有区别,具体情况如下表:
表20-1 内部控制审计与财务报表审计
比较项目
内部控制审计
财务报表审计
1.审计目的
对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露
对财务报表是否在所有重大方面按照适用的财务报告编制基础编制并实现公允反映发表审计意见
2.了解和测试内部控制的目的
为了对内部控制的有效性发表审计意见
为了识别、评估和应对重大错报风险,据此确定实质性程序的性质、时间安排和范围,并获取与财务报表是否在所有重大方面按照适用的财务报告编制基础编制相关的审计证据,以支持对财务报表发表的审计意见
3.测试范围
注册会计师应当针对所有重要账户和列报的每一个相关认定获取控制设计和运行有效性的审计证据,以便对内部控制整体的有效性发表审计意见
存在下列情形之一时,应当设计和实施控制测试,针对相关控制运行的有效性,获取充分、适当的审计证据:
(1)在评估认定层次重大错报风险时,预期控制的运行是有效的;
(2)仅实施实质性程序并不能够提供认定层次充分、适当的审计证据
4.测试期间
对特定基准日内部控制的有效性发表意见,仅需要针对内部控制在基准日前足够长的时间(可能短于整个审计期间)内的运行有效性获取审计证据
一旦确定需要测试,则应当测试内部控制在整个拟信赖期间运行的有效性
5.测试样本量
对结论可靠性的要求高,测试的样本量大
对结论可靠性要求取决于计划从控制测试中得到的保证程度(或减少实质性程序工作量的程度),样本量相对要小
6.结果报告
(1)对外披露
(2)以正面、积极的方式对内部控制是否有效发表审计意见
(1)通常不对外披露内部控制的情况,除非内部控制影响到对财务报表发表的审计意见
(2)以管理建议书的方式向管理层或治理层报告财务报表审计过程中发现的内部控制重大缺陷,但注册会计师没有义务专门实施审计程序,以发现和报告内部控制重大缺陷
经典题解
【例·
2017·
多选题】下列有关财务报表审计与内部控制审计的共同点的说法中,正确的有( )。
A.两者识别的重要账户、列报及其相关认定相同
B.两者的审计报告意见类型相同
C.两者了解和测试内部控制设计和运行有效性的审计程序类型相同(20.4)
D.两者测试内部控制运行有效性的范围相同
【解析】企业内部控制审计意见类型包括无保留意见、否定意见和无法表示意见三种类型,没有保留意见,故选项B不正确。
在财务报表审计中,如果注册会计师预期控制无效,则不拟进行控制测试,但在内部控制审计中,注册会计师应当针对所有重要账户和列报的每一个相关认定获取控制设计和运行有效性的审计证据,选项D不正确。
【答案】AC
(一)内部控制审计意见覆盖的范围
1.针对财务报告内部控制,注册会计师对其有效性发表审计意见;
2.针对非财务报告内部控制,注册会计师针对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
(二)财务报告内部控制内容
1.企业层面的内部控制
(1)与控制环境相关的控制(如对诚信和道德价值沟通和落实、对胜任能力的重视、治理层的参与程度、管理层的理念和经营风格、组织结构、职权与责任的分配、人力资源政策与实务)。
(2)针对管理层和治理层凌驾于内部控制之上的风险而设计的内部控制(例如针对重大非常规交易的控制、针对关联方交易的控制、减弱伪造或不恰当操作财务结果的动机和压力的控制)。
(3)被审计单位的风险评估过程(如何识别经营风险、估计其重要性、评估其发生的可能性、采取措施应对和管理风险及其结果)。
(4)对内部信息传递和期末财务报告流程的控制(例如会计政策选择和运用的程序、调整分录和合并分录的编制和批准、编制财务报表的控制)。
(5)对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价。
(6)集中化的处理和控制、监控经营成果的控制,以及重大经营控制和风险管理实务的政策。
2.业务流程、应用系统或交易层面的内部控制
(1)授权与审批;
(2)信息技术应用控制;
(3)实物控制(如保护资产的实物安全、对接触计算机程序和数据文档设置授权、定期盘点并将盘点记录与控制记录相核对);
(4)复核和调节。
(一)内部控制审计基准日的定义
内部控制审计基准日,是指注册会计师评价内部控制在某一时日是否有效所涉及的基准日,也是被审计单位评价基准日,即最近一个会计期间截止日。
(二)针对基准日发表意见
1.注册会计师基于基准日内部控制的有效性发表意见,而不是对财务报表涵盖的整个期间的内部控制的有效性发表意见;
2.对特定基准日内部控制的有效性发表意见,并不意味着注册会计师只测试特定基准日这一天的内部控制,而是需要考察足够长一段时间内部控制设计和运行的情况。
(三)并非仅测试基准日这一天
1.考察足够长一段时间
注册会计师对特定基准日内部控制的有效性发表意见,需要考察足够长一段时间内部控制设计和运行的情况,获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据。
2.对控制有效性的测试涵盖的期间越长,提供的控制有效性的审计证据越多。
3.在整合审计中,控制测试所涵盖的期间应当尽量与财务报表审计中拟信赖内部控制的期间保持一致。
第二节 计划审计工作
【考点一】计划审计工作时应当考虑的事项
(一)与企业相关的风险
1.了解目的
识别重要账户、重要列报和相关认定以及识别重大业务流程,对内部控制审计的重大风险形成初步评价。
2.了解事项
通常通过询问被审计单位的高级管理人员、考虑宏观形势对企业的影响并结合以往的审计经验,了解企业在经营活动中面临的各种风险,并重点关注那些对财务报表可能产生重要影响的风险以及这些风险当年的变化。
(二)相关法律法规和行业概况
1.了解与法律法规相关的事项(略)
2.了解与行业概况相关的事项。
例如,注册会计师应考虑:
(1)被审计单位的竞争环境,如市场容量、市场份额、竞争优势、季节性因素等;
(2)被审计单位与客户及供应商的关系,如信用条件、销售渠道、是否为关联方等;
(3)技术的发展,如与企业产品、能源供应及成本有关的技术发展。
(三)企业组织结构、经营特点和资本结构等相关重要事项
评价企业是否存在重大的、可能引起重大错报的非常规业务和关联交易,是否构成重大错报风险,以及相关的内部控制是否可能存在重大缺陷。
(1)股权结构、企业的实际控制人及关联方;
(2)企业的子公司、合营公司、联营公司以及财务报表合并范围;
(3)企业的组织机构、治理结构;
(4)业务及区域的分部设置和管理架构;
(5)企业的负债结构和主要条款,包括资产负债表外的筹资安排和租赁安排等。
(四)企业内部控制最近发生变化的程度
本期内部控制最近发生的变化以及变化的程度,有助于注册会计师相应地调整审计计划。
注册会计师应当了解被审计单位本期内部控制发生的变化以及变化的程度,包括新增的业务流程、原有业务流程的更新、内部控制执行人的变更等。
(五)与企业沟通过的内部控制缺陷
评价内部审计报告中发现的控制缺陷是否与内部控制审计相关且对内部控制审计程序和审计意见的影响。
对以前年度审计中发现的内部控制缺陷所采取的改进措施及改进结果,并相应适当地调整本年的内部控制审计计划。
如果以前年度发现的内部控制缺陷未得到有效整改,则注册会计师需要评价这些缺陷对当期的内部控制审计意见的影响。
(六)重要性、风险等与确定内部控制重大缺陷相关的因素
注册会计师应当更多地关注内部控制审计的高风险领域,而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。
(七)对内部控制有效性的初步判断
1.注册会计师综合上述考虑以及借鉴以前年度的审计经验,形成对企业内部控制有效性的初步判断。
2.对于内部控制可能存在重大缺陷的领域,注册会计师应给予充分的关注,具体表现在:
(1)对相关的内部控制亲自进行测试而非利用他人工作;
(2)在接近内部控制评价基准日的时间测试内部控制;
(3)选择更多的子公司或业务部门进行测试;
(4)增加相关内部控制的控制测试量等。
(八)可获取的、与内部控制有效性相关的证据的类型和范围
1.注册会计师应当了解可获取的、与内部控制有效性相关的证据的类型和范围。
2.注册会计师应当根据《中国注册会计师审计准则第1301号—审计证据》对可获取的审计证据的充分性和适当性进行评价,以更好地计划内部控制测试的时间、性质和范围。
3.内部控制的特定领域存在重大缺陷的风险越高,注册会计师所需获取的审计证据客观性、可靠性越强。
【考点二】总体审计策略和具体审计计划(重点)
(一)总体审计策略内容
1.确定审计业务的特征,以界定审计范围。
2.明确审计业务的报告目标,以计划审计的时间安排和所需沟通的性质。
3.根据职业判断,考虑用以指导项目组工作方向的重要因素。
4.考虑初步业务活动的结果,并考虑对被审计单位执行其他业务时获得的经验是否与内部控制审计业务相关。
5.确定执行业务所需资源的性质、时间安排和范围。
(二)具体审计计划内容
注册会计师应当在具体审计计划中体现下列内容:
1.了解和识别内部控制的程序的性质、时间安排和范围;
2.测试控制设计有效性的程序的性质、时间安排和范围;
3.测试控制运行有效性的程序的性质、时间安排和范围。
(三)总体审计策略与具体审计计划内在联系
制定总体审计策略的过程有助于注册会计师结合风险评估程序的结果确定下列事项:
1.向具体审计领域分配资源的类别和数量,包括向高风险领域分派经验丰富的项目组成员,向高风险领域分配的审计时间预算等;
2.何时分配这些资源,包括是在期中审计阶段还是在关键日期调配资源等;
3.如何管理、指导和监督这些资源,包括预期何时召开项目组预备会和总结会,预期项目合伙人和经理如何进行复核,是否需要实施项目质量控制复核等。
第三节 自上而下的方法
【考点一】自上而下的方法的步骤
(一)自上而下的方法的工作思路
1.始于财务报表层次
自上而下的方法始于财务报表层次,以注册会计师对财务报告内部控制整体风险的了解开始;
2.重点放在企业层面
然后,将关注重点放在企业层面的控制上,并将工作逐渐下移至重要账户、列报及其相关认定。
3.落实到评估的每个相关认定
随后,确认其对被审计单位业务流程中风险的了解,并选择能足以应对评估的每个相关认定的重大错报风险的控制进行测试。
(二)自上而下的方法的步骤
1.从财务报表层次初步了解内部控制整体风险;
2.识别、了解和测试企业层面控制;
3.识别重要账户、列报及其相关认定;
4.了解潜在错报的来源并识别相应的控制;
5.选择拟测试的控制。
【考点二】识别、了解和测试企业层面控制
(一)企业层面控制的内涵
1.企业层面控制的含义
企业层面的控制通常为应对企业财务报表整体层面的风险而设计,或作为其他控制运行的“基础设施”,通常在比业务流程更高的层面上乃至整个企业范围内运行,其作用比较广泛,通常不局限于某个具体认定。
2.企业层面控制与业务流程、应用系统或交易层面控制的关系
业务流程、应用系统或交易层面的控制为应对交易和账户余额认定的重大错报风险而设计,通常在业务流程内的交易或账户余额层面上运行,其作用通常能够对应到具体某类交易和账户余额的具体认定。
(二)企业层面控制对其他控制及其测试的影响
1.某些企业层面控制,例如某些与控制环境相关的控制,对重大错报是否能够被及时防止或发现的可能性有重要影响,虽然这种影响是间接的,但这些控制可能影响注册会计师拟测试的其他控制及其对其他控制所执行程序的性质、时间安排和范围。
2.某些企业层面控制能够监督其他控制的有效性。
管理层设计这些控制可能是为了识别其他控制可能出现的失效情况。
但是,这些控制本身并非精确到足以及时防止或发现相关认定的重大错报。
当这些控制运行有效时,注册会计师可以减少原本拟对其他控制的有效性进行的测试。
3.某些企业层面控制本身能精确到足以及时防止或发现一个或多个相关认定中存在的重大错报。
如果一项企业层面控制足以应对已评估的重大错报风险,注册会计师可能可以不必测试与该风险相关的其他控制。
一般而言,注册会计师可以分析某个控制是否有足够的精确度以及时防止或发现财务报表重大错报,并且考虑以下因素:
(1)内部控制对应的重要账户及列报的性质;
(2)对某些比较稳定或具备预期内在关系的账户,管理层实施的分析对发现财务报表重大错报具有足够的精确度;
(3)管理层分析的细化程度。
【考点三】识别重要账户、列报及其相关认定
(一)重要账户或列报的含义
如果某账户或列报可能存在一个错报,该错报单独或连同其他错报将导致财务报表发生重大错报,则该账户或列报为重要账户或列报。
(二)评价重要账户或列报
1.评价标准
在识别重要账户、列报及其相关认定时,注册会计师应当从定性和定量两个方面作出评价,包括考虑舞弊的影响。
2.定量评价
(1)超过财务报表整体重要性的账户,无论是在内部控制审计还是财务报表审计中,通常情况下被认定为重要账户。
(2)一个账户或列报,即使从性质方面考虑与之相关的风险较小,其金额超过财务报表整体重要性越多,该账户或列报被认定为重要账户或列报的可能性就越大。
一个账户或列报的金额超过财务报表整体重要性,并不必然表明其属于重要账户或列报,因为注册会计师还需要考虑定性的因素。
同理,定性的因素也可能导致注册会计师将低于财务报表整体重要性的账户或列报认定为重要账户或列报。
3.定性评价
从性质上说,注册会计师可能因为某账户或列报受固有风险或舞弊风险的影响而将其确定为重要账户或列报,因为即使该账户或列报从金额上看并不重大,但这些固有风险或舞弊风险很有可能导致重大错报(该错报单独或连同其他错报将导致财务报表发生重大错报)。
【提示】在识别重要账、列报及其相关认定时,注册会计师不应考虑控制的影响,因为内部控制审计的目标本身就是评价控制的有效性。
4.评价重大错报的可能来源
在确定某账户、列报是否重要和某认定是否相关时,注册会计师应当将所有可获得的信息加以综合考虑。
例如,在识别重要账户、列报及其相关认定时,注册会计师还应当确定重大错报的可能来源。
注册会计师可以通过考虑在特定的重要账户或列报中错报可能发生的领域和原因,确定重大错报的可能来源。
5.根据以前年度审计中了解的情况评价
(1)以前年度审计中了解到的情况影响注册会计师对固有风险的评估,因而应当在确定重要账户、列报及其相关认定时加以考虑。
(2)以前年度审计中识别的错报会影响注册会计师对某账户、列报及其相关认定固有风险的评估。
单选题】注册会计师执行内部控制审计时,下列有关识别重要账户、列报及其相关认定的说法中,错误的是( )。
A.注册会计师应当从定性和定量两个方面识别重要账户、列报及其相关认定
B.在识别重要客户、列报及其相关认定时,注册会计师应当确定重大错报的可能来源
C.注册会计师通常将超过财务报表整体重要性的账户认定为重要账户
D.在识别重要账户、列报及其相关认定时,注册会计师应当考虑控制的影响
【解析】在识别重要账户、列报及其相关认定时,注册会计师不应考虑控制的影响,因为内部控制审计的目标本身就是评价控制的有效性,故选项D错误。
【答案】D
【考点四】了解潜在错报的来源并识别相应的控制(重点)
(一)了解潜在错报的来源
注册会计师应当实现下列目标,以进一步了解潜在错报的来源,并为选择拟测试的控制奠定基础:
1.了解与相关认定有关的交易的处理流程,包括这些交易如何生成、批准、处理及记录;
2.验证注册会计师识别出的业务流程中可能发生重大错报(包括由于舞弊导致的错报)的环节;
3.识别被审计单位用于应对这些错报或潜在错报的控制;
4.识别被审计单位用于及时防止或发现并纠正XX的、导致重大错报的资产取得、使用或处置的控制。
注册会计师应当亲自执行能够实现上述目标的程序,或对提供直接帮助的人员的工作进行督导。
(二)实施穿行测试
1.穿行测试的性质
(1)穿行测试通常是实现上述目标和评价控制设计的有效性以及确定控制是否得到执行的有效方法。
(2)穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程。
(3)在内部控制审计中,注册会计师应当实施程序以了解被审计单位流程中可能导致潜在错报的来源和识别管理层为应对这些潜在错报风险而执行的控制。
2.需要实施穿行测试的情况
在某些特定情况下,注册会计师一般会实施穿行测试,这些情况包括:
(1)存在较高固有风险的复杂领域;
(2)以前年度审计中识别出的缺陷(需要考虑缺陷的严重程度);
(3)由于引入新的人员、新的系统、收购和采取新的会计政策而导致流程发生重大变化。
如果注册会计师首次接受委托执行内部控制审计,通常预期注册会计师会对重要流程实施穿行测试。
3.穿行测试的规模
(1)一般而言,对每个重要流程,选取一笔交易或事项实施穿行测试即可。
(2)如果被审计单位采用集中化的系统为多个组成部分执行重要流程,则可能不必在每个重要的经营场所或业务单位选取一笔交易或事项实施穿行测试。
4.穿行测试需要涉及的审计程序
注册会计师在实施穿行测试时往往综合运用询问、观察、检查和重新执行。
穿行测试是一种评估设计有效性的有效方法。
【考点五】选择拟测试的控制(重点)
(一)选择拟测试控制的基本要求
1.针对每一相关认定
注册会计师应当针对每一相关认定获取控制有效性的审计证据,以便对内部控制整体的有效性发表意见,但没有责任对单项控制的有效性发表意见。
2.选择具有重要影响的控制进行测试
注册会计师应当对被审计单位的控制是否足以应对评估的每个相关认定的错报风险形成结论。
因此,注册会计师应当选择对形成这一评价结论具有重要影响的控制进行测试。
3.没有必要测试与某项相关认定有关的所有控制
对特定的相关认定而言,可能有多项控制用以应对评估的错报风险;
反之,一项控制也可能应对评估的多项相关认定的错报风险。
注册会计师没有必要测试与某项相关认定有关的所有控制。
4.确定是否测试某项控制
在确定是否测试某项控制时,注册会计师应当考虑该项控制单独或连同其他控制,是否足以应对评估的某项相关认定的错报风险,而不论该项控制的分类和名称如何。
(二)选择拟测试的控制的考虑因素
1.选择关键控制测试
注册会计师在选取拟测试的控制时,通常不会选取整个流程中的所有控制,而是选择关键控制,即能够为一个或多个重要账户或列报的一个或多个相关认定提供最有效果或最有效率的证据的控制。
每个重要账户、认定和/或重大错报风险至少应当有一个对应的关键控制。
2.选择关键控制应考虑的因素
(1)哪些控制是不可缺少的?
(2)哪些控制直接针对相关认定?
(3)哪些控制可以应对错误或舞弊导致的重大错报风险?
(4)控制的运行是否足够精确。
3.可能不必测试所有流程、交易或应用层面的控制
(1)在采用自上而下的方法执行内部控制审计时,如果识别并选取了能够充分应对重大错报风险的控制,则不需要再测试针对同样认定的其他控制。
(2)注册会计师在考虑是否有必要测试业务流程、应用系统或交易层面的控制之前,首先要考虑测试那些与重要账户的认定相关的企业层面控制的有效性。
(3)如果企业层面控制是有效的且得到精确执行,能够及时防止或发现并纠正影响一个或多个认定的重大错报,注册会计师可能不必就所有流程、交易或应用层面的控制的运行有效性获取审计证据。
4.选择最有效的方式予以测试的控制
(1)注册会计师应当选择测试那些对形成内部控制审计意见有重大影响的控制。
对于与所有重要账户和列报相关的所有相关认定,注册会计师都需要取得关于控制设计和运行是否有效的证据。
(2)如果存在多个控制均应对相关认定的重大错报风险,注册会计师通常会选择那个(些)能够以最有效的方式予以测试的控制。
5.管理层执行内部控制自我评价时选择测试的控制可能多于注册会计师测试的控制
(1)企业管理层在执行内部控制自我评价时选择测试的控制,可能多于注册会计师认为为了评价内部控制的有效性有必要测试的控制。
(2)管理层执行内部控制自我评价时选择测试控制的决定,不影响注册会计师的控制测试决策,注册会计师只需要测试那些对形成内部控制审计意见有重大影响的控制。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 103 企业内部 控制 审计