内控审计指引解读Word文档下载推荐.docx
- 文档编号:17704218
- 上传时间:2022-12-08
- 格式:DOCX
- 页数:14
- 大小:27.44KB
内控审计指引解读Word文档下载推荐.docx
《内控审计指引解读Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《内控审计指引解读Word文档下载推荐.docx(14页珍藏版)》请在冰豆网上搜索。
(二)各国对内部控制审计的要求
1.其他国家对内部控制审计的要求。
我们对内部控制审计进行了国际比较研究,选择了在内部控制规范制定领域一直走在世界前沿的几个国家和地区,包括美国、日本、欧盟、加拿大和英国,对上述各国及地区出台的内控审计标准进行了比较研究。
研究结论表明:
(1)美国和日本均以法案形式强制要求对企业财务报告内部控制进行审计;
欧盟、加拿大、英国未强制要求进行内控审计,但英国等国的上市规则要求审计师对管理层作出的内部控制声明进行形式上的审阅。
(2)强制要求进行内部控制审计的国家,如美国和日本,内部控制审计与年度财务报表审计整合进行。
其中美国要求由同一家会计师事务所将内部控制审计与财务报表审计整合进行,而日本则不仅如此,要求同一个审计师从计划审计工作、实施审计程序获取审计证据、评价审计证据的充分性和适当性,直到发表审计意见的整个过程中,将两种审计作为一个整体进行。
2.我国对内部控制审计的要求。
《企业内部控制基本规范》及配套指引的发布,要求执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。
注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷,应当提示投资者、债权人和其他利益相关者关注。
这意味着,企业内部控制审计业务由原来的一次性业务或面向少数企业的业务(A股企业原先仅在IPO时需要,或者赴美国和日本等地上市企业需要,或者金融证券等高风险行业需要),变成了与财务报表审计一样的经常性业务,每年需执行一次。
对于执行内部控制审计的会计师事务所来讲,对公司上市前要进行内部控制审计,上市后也要进行内部控制审计。
(三)内部控制审计的定义
内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
1.企业内部控制审计基于特定基准日。
注册会计师基于基准日(如年末12月31日)内部控制的有效性发表意见,而不是对财务报表涵盖的整个期间(如一年)的内部控制的有效性发表意见。
但这并不意味着注册会计师只关注企业基准日当天的内部控制,而是要考察企业一个时期内(足够长的一段时间)内部控制的设计和运行情况。
例如,注册会计师可能在5月份对企业的内部控制进行测试,发现问题后提请企业进行整改,如6月份整改,企业的内部控制在整改后要运行一段时间(如至少一个月),8月份注册会计师再对整改后的内部控制进行测试。
因此,虽然是对企业12月31日(基准日)内部控制的设计和运行发表意见,但这里的基准日不是一个简单的时点概念,而是体现内部控制这个过程向前的延续性。
注册会计师所采用的内部控制审计的程序和方法,也体现了这种延续性。
2.财务报告内部控制与非财务报告内部控制。
审计指引第四条第二款规定,注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
财务报告内部控制,是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。
主要包括下列方面的政策和程序:
(1)保存充分、适当的记录,准确、公允地反映企业的交易和事项;
(2)合理保证按照企业会计准则的规定编制财务报表;
(3)合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权;
(4)合理保证及时防止或发现并纠正XX的、对财务报表有重大影响的交易和事项。
非财务报告内部控制,是指除财务报告内部控制之外的其他控制,通常是指为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标无关的控制。
3.企业内控责任与注册会计师审计责任的关系。
审计指引第三条规定,建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。
按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。
两者之间的关系和会计责任与审计责任的区分保持一致,即:
建立健全和有效实施内部控制是企业董事会(或类似决策机构,下同)的责任;
按照《企业内部控制审计指引》的要求,在实施审计工作的基础上对企业内部控制的有效性发表审计意见,是注册会计师的责任。
换言之,内控本身有效与否是企业的内控责任,是否遵循审计指引开展内控审计并发表恰当的审计意见是注册会计师的审计责任。
因此,注册会计师在实施内控审计之前,应当在业务约定书中明确双方的责任;
在发表内控审计意见之前,应当取得经企业签署的内控书面声明。
(四)整合审计
审计指引第五条规定,注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(以下简称整合审计)。
理解这一规定,要明确两点,一是内部控制审计与财务报表审计是两种不同的审计业务,两种审计的目标不同;
二是内部控制审计与财务报表审计可以整合起来进行。
1.内部控制审计与财务报表审计的异同。
内部控制审计要求对企业控制设计和运行的有效性进行测试,财务报表审计中,也要求了解企业的内部控制,并在需要时测试控制,这是两种审计的相同之处,也是整合审计中应整合的部分,但由于两种审计的目标不同,审计指引要求在整合审计中,注册会计师对内部控制设计与运行的有效性进行测试,要同时实现两个目的:
(1)获取充分、适当的证据,支持在内部控制审计中对内部控制有效性发表的意见;
(2)获取充分、适当的证据,支持在财务报表审计中对控制风险的评估结果。
2.两种审计的整合。
财务报告内部控制审计与财务报表审计通常使用相同的重要性(或重要性水平),在实务中两者很难分开。
因为注册会计师在审计财务报表时需获得的信息在很大程度上依赖注册会计师对内部控制有效性得出的结论。
注册会计师可以利用在一种审计中获得的结果为另一种审计中的判断和拟实施的程序提供信息。
实施财务报表审计时,注册会计师可以利用内部控制审计的结果来修改实质性程序的性质、时间安排和范围,并且可以利用该结果来支持分析程序中所使用的信息的完整性和准确性。
在确定实质性程序的性质、时间安排和范围时,注册会计师需要慎重考虑识别出的控制缺陷。
实施内部控制审计时,注册会计师需要评估财务报表审计时实质性程序中发现问题的影响。
最重要的是,注册会计师需要重点考虑财务报表审计中发现的财务报表错报,考虑这些错报对评价内控有效性的影响。
二、计划审计工作
(一)总体要求
审计指引第六条指出,注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。
整合审计中项目组人员的配备比较关键。
在计划审计工作时,项目合伙人需要统筹考虑审计工作,挑选相关领域的人员组成项目组,同时对项目组成员进行培训和督导,以合理安排审计工作。
在计划整合审计工作时,注册会计师需要评价下列事项对财务报表和内部控制是否有重要影响,以及有重要影响的事项将如何影响审计工作:
1.与企业相关的风险,包括在评价是否接受与保持客户和业务时,注册会计师了解的与企业相关的风险情况以及在执行其他业务时了解的情况;
2.相关法律法规和行业概况;
3.企业组织结构、经营特点和资本结构等相关重要事项;
4.企业内部控制最近发生变化的程度;
5.与企业沟通过的内部控制缺陷;
6.重要性、风险等与确定内部控制重大缺陷相关的因素;
7.对内部控制有效性的初步判断;
8.可获取的、与内部控制有效性相关的证据的类型和范围。
此外,注册会计师还需要关注与评价财务报表发生重大错报的可能性和内部控制有效性相关的公开信息,以及企业经营活动的相对复杂程度。
(二)重视风险评估的作用
按照审计指引第八条规定,在内部控制审计中,注册会计师应当以风险评估为基础,确定重要账户、列报及其相关认定,选择拟测试的控制,以及确定针对所选定控制所需收集的证据。
风险评估的理念及思路应当贯穿于整合审计过程的始终。
实施风险评估时,可以考虑固有风险及控制风险。
在计划审计工作阶段,对内部控制的固有风险进行评估,作为编制审计计划的依据之一;
根据对控制风险评估的结果,调整计划阶段对固有风险的判断,这是个持续的过程。
内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。
内部控制不能防止或发现并纠正由于舞弊导致的错报风险,通常高于其不能防止或发现并纠正由错误导致的错报风险。
注册会计师应当更多地关注高风险领域,而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。
在进行风险评估以及确定审计程序时,企业的组织结构、业务流程或业务单元的复杂程度可能产生的重要影响均是注册会计师需要考虑的因素。
(三)利用其他相关人员的工作
在计划审计工作时,注册会计师需要评估是否利用他人(包括企业的内部审计人员、内部控制评价人员、其他人员以及在董事会及其审计委员会指导下的第三方)的工作以及利用的程度,以减少可能本应由注册会计师执行的工作。
如果决定利用内部审计人员的工作,注册会计师应当按照《中国注册会计师审计准则第1411号——利用内部审计人员的工作》的规定办理。
如果拟利用他人的工作,注册会计师则需要评价该人员的专业胜任能力和客观性。
专业胜任能力即具备某种专业技能、知识或经验,有能力完成分派的任务;
客观性则是公正、诚实地执行任务的能力。
专业胜任能力和客观性越高,可利用程度就越高,注册会计师就可以越多地利用其工作。
当然,无论人员的专业胜任能力如何,注册会计师都不应利用那些客观程度较低的人员的工作。
同样地,无论人员的客观程度如何,注册会计师都不应利用那些专业胜任能力较低的人员的工作。
通常认为,企业的内部审计人员拥有更高的专业胜任能力和客观性,注册会计师可以考虑更多地利用这些人员的相关工作。
在内部控制审计中,注册会计师利用他人工作的程度还受到与被测试控制相关的风险的影响。
与某项控制相关的风险越高,可利用他人工作的程度就越低,注册会计师就需要更多地对该项控制亲自进行测试。
如果其他注册会计师负责审计企业的一个或多个分部、分支机构、子公司等组成部分的财务报表和内部控制,注册会计师应当按照《中国注册会计师审计准则第1401号——对集团财务报表审计的特殊考虑》的规定,确定是否利用其他注册会计师的工作。
三、实施审计工作
(一)自上而下的方法
审计指引第十条规定,注册会计师应当按照自上而下的方法实施审计工作。
自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。
自上而下的方法按照下列思路展开:
1.从财务报表层次初步了解内部控制整体风险;
2.识别企业层面控制;
3.识别重要账户、列报及其相关认定;
4.了解错报的可能来源;
5.选择拟测试的控制。
在财务报告内控审计中,自上而下的方法始于财务报表层次,以注册会计师对财务报告内部控制整体风险的了解开始,然后,注册会计师将关注重点放在企业层面的控制上,并将工作逐渐下移至重大账户、列报及相关的认定。
这种方法引导注册会计师将注意力放在显示有可能导致财务报表及相关列报发生重大错报的账户、列报及认定上。
之后,注册会计师验证其了解到的业务流程中存在的风险,并就已评估的每个相关认定的错报风险,选择足以应对这些风险的业务层面控制进行测试。
在非财务报告内控审计中,自上而下的方法始于企业层面控制,并将审计测试工作逐步下移到业务层面控制。
自上而下的方法描述了注册会计师在识别风险以及拟测试的控制时的连续思维过程,但并不一定是注册会计师执行审计程序的顺序。
(二)识别企业层面控制
从财务报表层次初步了解财务报告内部控制整体风险是自上而下方法的第一步。
通过了解企业与财务报告相关的整体风险,注册会计师首先可以识别出为保持有效的财务报告内部控制而必需的企业层面内部控制。
此外,由于对企业层面内部控制的评价结果将影响注册会计师测试其他控制的性质、时间安排和范围,因此,注册会计师可以考虑在执行业务的早期阶段对企业层面内部控制进行评价。
1.评价企业层面控制的精确度。
不同的企业层面控制在性质和精确度上存在着差异,这些差异可能对其他控制及其测试产生影响。
(1)某些企业层面控制,如企业经营理念、管理层的管理风格等与控制环境相关的控制,对及时防止或发现并纠正相关认定的错报的可能性有重要影响。
虽然这种影响是间接的,但这些控制仍然可能影响注册会计师拟测试的其他控制,以及测试程序的性质、时间安排和范围。
(2)某些企业层面控制旨在识别其他控制可能出现的失效情况,能够监督其他控制的有效性,但还不足以精确到及时防止或发现并纠正相关认定的错报。
当这些控制运行有效时,注册会计师可以减少对其他控制的测试。
(3)某些企业层面控制本身能够精确到足以及时防止或发现并纠正相关认定的错报。
如果一项企业层面控制足以应对已评估的错报风险,注册会计师就不必测试与该风险相关的其他控制。
2.企业层面控制的内容
(1)与内部环境相关的控制。
内部环境,即控制环境,包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。
良好的控制环境是实施有效内部控制的基础。
(2)针对管理层(董事会、经理层)凌驾于控制之上的风险而设计的控制。
该控制对所有企业保持有效的内部控制都有重要影响。
注册会计师可以根据对企业舞弊风险的评估作出判断,选择相关的企业层面控制进行测试,并评价这些控制能否有效应对管理层凌驾于控制之上的风险。
(3)企业的风险评估过程。
风险评估过程包括识别与财务报告相关的经营风险和其他经营管理风险,以及针对这些风险采取的措施。
首先,企业的内部控制能够充分识别企业外部环境(如在经济、政治、法律法规、竞争者行为、债权人需求、技术变革等方面)存在的风险;
其次,充分且适当的风险评估过程需要包括对重大风险的估计、对风险发生可能性的评估以及确定应对风险的方法。
注册会计师可以首先了解企业及其内部环境的其他方面信息,以初步了解企业的风险评估过程。
(4)对内部信息传递和财务报告流程的控制。
财务报告流程的控制可以确保管理层按照适当的会计准则编制合理、可靠的财务报告并对外报告。
(5)对控制有效性的内部监督和自我评价。
企业对控制有效性的内部监督和自我评价可以在企业层面上实施,也可以在业务流程层面上实施,包括:
对运行报告的复核和核对、与外部人士的沟通、对其他未参与控制执行人员的监控活动,以及将信息系统记录数据与实物资产进行核对等。
此外,企业层面控制还包括:
集中化的处理和控制,包括共享的服务环境;
监控经营成果的控制;
针对重大经营控制以及风险管理实务而采取的政策。
(三)测试控制设计和运行的有效性
审计指引第十四条规定,注册会计师应当测试内部控制设计与运行的有效性。
如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行,能够实现控制目标,表明该项控制的设计是有效的。
如果某项控制正在按照设计运行,执行人员拥有必要授权和专业胜任能力,能够实现控制目标,表明该项控制的运行是有效的。
设计不当的控制可能表明控制存在缺陷甚至重大缺陷,注册会计师在测试控制运行的有效性时,首先要考虑控制的设计。
注册会计师在测试控制设计与运行的有效性时,应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。
注册会计师测试控制有效性实施的程序,按提供证据的效力,由弱到强排序为:
询问、观察、检查和重新执行。
其中询问本身并不能为得出控制是否有效的结论提供充分、适当的证据。
执行穿行测试通常足以评价控制设计的有效性。
(四)与控制相关的风险与拟获取证据的关系
在测试所选定控制的有效性时,注册会计师需要根据与控制相关的风险,确定所需获取的证据。
与控制相关的风险包括控制可能无效的风险和因控制无效而导致重大缺陷的风险。
与控制相关的风险越高,注册会计师需要获取的证据就越多。
与某项控制相关的风险受下列因素的影响:
(1)该项控制拟防止或发现并纠正的错报的性质和重要程度;
(2)相关账户、列报及其认定的固有风险;
(3)相关账户或列报是否曾经出现错报;
(4)交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的有效性产生不利影响;
(5)企业层面控制(特别是对控制有效性的内部监督和自我评价)的有效性;
(6)该项控制的性质及其执行频率;
(7)该项控制对其他控制(如内部环境或信息技术一般控制)有效性的依赖程度;
(8)该项控制的执行或监督人员的专业胜任能力,以及其中的关键人员是否发生变化;
(9)该项控制是人工控制还是自动化控制;
(10)该项控制的复杂程度,以及在运行过程中依赖判断的程度。
针对每一相关认定,注册会计师都需要获取控制有效性的证据,以便对内部控制整体的有效性单独发表意见,但注册会计师没有责任对单项控制的有效性发表意见。
对于控制运行偏离设计的情况(即控制偏差),注册会计师需要考虑该偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。
注册会计师通过测试控制有效性获取的证据,取决于实施程序的性质、时间安排和范围的组合。
就单项控制而言,注册会计师应当根据与该项控制相关的风险,适当确定实施程序的性质、时间安排和范围,以获取充分、适当的证据。
测试控制有效性实施的程序,其性质在很大程度上取决于拟测试控制的性质。
某些控制可能存在文件记录,反映其运行的有效性,而另外一些控制,如管理理念和经营风格,可能没有书面的运行证据。
对缺乏正式运行证据的企业或企业的某个业务单元,注册会计师可以通过询问并结合运用观察活动、检查非正式的书面记录和重新执行某些控制等程序,获取有关控制有效性的充分、适当的证据。
对控制有效性的测试涵盖的期间越长,提供的控制有效性的证据越多。
注册会计师需要获取内部控制在企业内部控制自我评价基准日前足够长的期间内有效运行的证据。
对控制有效性的测试实施的时间安排越接近企业内部控制自我评价基准日,提供的控制有效性的证据越有力。
因此,审计指引第十七条规定,注册会计师在确定测试的时间安排时,应当在下列两个因素之间作出平衡,以获取充分、适当的证据:
(1)尽量在接近企业内部控制自我评价基准日实施测试;
(2)实施的测试需要涵盖足够长的期间。
在企业内部控制自我评价基准日之前,管理层可能为提高控制效率、效果或弥补控制缺陷而改变企业的控制。
如果新控制实现了相关控制目标,运行足够长的时间,且注册会计师能够测试并评价该项控制设计和运行的有效性,则无需测试被取代的控制。
如果被取代控制设计和运行的有效性对控制风险的评估有重大影响,注册会计师则需要测试该项控制的有效性。
注册会计师执行内部控制审计业务通常旨在对企业内部控制自我评价基准日(通常为年末)内部控制的有效性发表意见。
如果已获取有关控制在期中运行有效性的证据,注册会计师应当确定还需要获取哪些补充证据,以证实在剩余期间控制的运行情况。
在将期中测试的结果更新至年末时,注册会计师需要考虑下列因素,以确定需获取的补充证据:
(1)期中测试的特定控制的有关情况,包括与控制相关的风险、控制的性质和测试的结果;
(2)期中获取的有关证据的充分性、适当性;
(3)剩余期间的长短;
(4)期中测试之后,内部控制发生重大变化的可能性及其变化情况。
(五)连续审计时的特殊考虑
在连续审计中,注册会计师在确定测试的性质、时间安排和范围时,还需要考虑以前年度执行内部控制审计时了解的情况。
影响连续审计中与某项控制相关的风险的因素除第(四)部分“风险与拟获取证据的关系”中所列的10项因素外,还包括:
(1)以前年度审计中所实施程序的性质、时间安排和范围;
(2)以前年度对控制的测试结果;
(3)上次审计之后,控制或其运行流程是否发生变化,尤其是考虑IT环境的变化。
在考虑上述所列的风险因素以及连续审计中可获取的进一步信息之后,只有当认为与控制相关的风险水平比以前年度有所下降时,注册会计师在本年度审计中才可以减少测试。
为保证控制测试的有效性,使测试具有不可预见性,并能应对环境的变化,注册会计师需要每年改变控制测试的性质、时间安排和范围。
每年在期中不同的时段测试控制,并增加或减少所执行测试的数量和种类,或者改变所使用测试程序的组合等。
四、评价控制缺陷
(一)评价控制缺陷的总体要求
如果某项控制的设计、实施或运行不能及时防止或发现并纠正财务报表错报,则表明内部控制存在缺陷。
如果企业缺少用以及时防止或发现并纠正财务报表错报的必要控制,同样表明存在内部控制缺陷。
内部控制缺陷包括设计缺陷和运行缺陷。
设计缺陷是指缺少为实现控制目标所必需的控制,或者现有控制设计不适当,即使正常运行也难以实现控制目标。
运行缺陷是指设计适当的控制没有按设计意图运行,或者执行人员缺乏必要授权或专业胜任能力,无法有效实施控制。
内部控制存在的缺陷,按严重程度分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。
具体到财务报告内部控制上,就是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表重大错报的一个或多个控制缺陷的组合。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。
具
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 内控 审计 指引 解读