第一篇:中注协就企业内控审计指引实施意见答问
近日,中国注册会计师协会(简称中注协)发布了《企业内部控制审计指引实施意见》(简称《意见》),这是贯彻落实财政部、证监会、审计署、银监会和保监会联合发布的《企业内部控制基本规范》、《企业内部控制审计指引》,提升我国上市公司财务报告信息披露质量和内部控制水平的重要举措。中注协负责人就《意见》的有关问题回答了记者的提问。
记者:《意见》的出台无论是对注册会计师行业,还是上市公司都是一件大事,请谈谈《意见》出台的背景和意义。
答:内部控制是防范企业财务报告错误和舞弊行为的第一道防线,也是保证企业财务报告真实、完整的内在机制。美国安然、世通财务舞弊事件发生后,各国监管机构将监管重心从单纯注重财务报告本身的信息质量,转向财务报告本身信息质量与建立健全财务报告信息质量保证体系并重。
在此背景下,美国国会在2002年颁布的《萨班斯—奥克利法案》中,首次提出对“财务报告内部控制”的有效性进行审计的要求。与此相适应,美国公众公司会计监督委员会(PCAOB)随后发布审计准则,对会计师事务所执行上市公司财务报告内部控制审计工作进行了规范。同样日本《金融商品交易法》也要求审计师对企业财务报告内部控制进行审计。
顺应国际资本市场监管变革趋势,2008年5月和2010年4月,财政部会同证监会、审计署、银监会和保监会分别发布了《企业内部控制基本规范》和《企业内部控制审计指引》等企业内部控制制度,确立了我国企业内部控制审计制度,要求执行内部控制规范体系的企业,必须聘请会计师事务所对其财务报告内部控制有效性进行审计。其中《企业内部控制审计指引》自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行。
企业内部控制审计制度的确立,改变了企业在上市或再融资时才委托注册会计师对内部控制进行审计的局面,使得企业内部控制审计与财务报告审计一样,成为经常性、周期性业务,上市公司每年要与年报一同公布企业内部控制审计报告。
实施企业内部控制审计的意义在于,注册会计师对企业内部控制有效性进行客观、独立的鉴证,不仅能够监督、推动企业将内部控制规范落到实处,促进企业加强内部控制规范建设,提升财务报告风险防范能力,同时也能够进一步提升企业信息披露的透明度,增强投资者对企业财务信息可靠性的信心,对保护投资者权益和社会公众利益具有重要作用。
发布实施《意见》的意义则在于,为注册会计师更有效地执行企业内部控制审计业务提供了全面的技术指引。如果说2010年发布的《企业内部控制审计指引》是“航行的灯塔”,此次发布的《意见》则是走向航行目标的具体“技术路线图”。
具体来说,《意见》在《企业内部控制审计指引》的基础上,对执行内部控制审计各个关键环节的要求进行补充和细化,从业务约定书签订,到总体审计策略和具体审计计划的制定,到审计工作实施,以及控制缺陷评价,形成审计意见到最终的审计报告出具都进行了较为详细的规定,对注册会计师执行企业内部控制审计业务具有较强的指导意义。特别是对在实务工作中的具体操作问题,如自上而下和风险导向审计方法的运用、控制测试的涵盖期间、控制测试的时间安排、控制测试的样本量、集团企业控制测试、审计工作底稿编制等,《意见》既给出注册会计师需要考虑的基本原则,又提供了具有可操作性的具体措施。
记者:企业内部控制审计的主要内容有哪些?内部控制审计报告对投资人等利益相关者的价值何在?
答:内部控制审计是会计师事务所接受委托,对特定基准日企业内部控制设计与运行的有效性进行审计,并发表审计意见,审计内容包括企业治理结构、机构设置、企业文化、人力资源政策等内部控制环境因素,以及企业识别风险的评估程序、应对风险的具体措施和信息传递有效性、保证内部控制规范建设和有效运行的机制等,全面评价企业设计和运行的内部控制是否能够合理保证财务报告及相关信息合法、真实、完整,以及用于保护资产安全的内部控制是否可靠。
企业内部控制审计意见包括无保留意见、否定意见和无法表示意见三种类型。如果注册会计师审计后认为企业内部控制在所有重大方面是有效的,则出具无保留意见的内部控制审计报告;如果注册会计师认为企业内部控制存在重大缺陷,则出具否定意见内部控制审计报告;如果注册会计师审计范围受到限制,则应当解除业务约定或出具无法表示意见的内部控制审计报告。
企业内部控制审计与财务报告审计两种意见类型相互关联,但并非一一对应。例如,在执行内部审计过程中,注册会计师发现企业财务报告内部控制存在重大缺陷,应该出具否定意见的内部控制审计报告。如果该内部控制重大缺陷尚未引起企业财务报告的重大错报,注册会计师则出具标准意见的财务报告审计报告。又如,注册会计师对企业财务报告发表否定意见,意味着财务报告的编制不符合适用的会计准则和会计制度的规定,这种情况下,企业的内部控制也通常存在重大缺陷,应该出具否定意见的内部控制审计报告。
因此,企业内部控制审计能够比财务报告审计提供更进一步的信息,有利于投资者在财务报告审计意见类型基础上,深入分析企业内部控制情况、投资风险和投资价值。
问:企业内部控制审计与财务报告审计有何联系?
答:企业内部控制的了解和测试,及其有效性评估是制定财务报告审计策略、实施进一步审计程序的基础和前提。因此,内部控制审计和财务报告审计存在着多方面联系,主要体现在以下五个方面:
一是两者的最终目的一致,虽然二者各有侧重,但最终目的均为提高财务信息质量,提高财务报告的可靠性,为利益相关者提供高质量的信息。
二是两者都采取风险导向审计模式,注册会计师首先实施风险评估程序,识别和评估重大缺陷(或错报)存在的风险。在此基础上,有针对性地采取应对措施,实施相应的审计程序。
三是两者都要了解和测试内部控制,并且对内部控制有效性的定义和评价方法相同,都可能用到询问、检查、观察、穿行测试、重新执行等方法和程序。
四是两者均要识别重点账户、重要交易类别等重点审计领域。注册会计师在财务报告审计中,需要评价这些重点账户和重要交易类别是否存在重大错报;在内部控制审计中,需要评价这些账户和交易是否被内部控制所覆盖。
五是两者确定的重要性水平相同。注册会计师在财务报告审计中确定重要性水平,旨在检查财务报告中是否存在重大错报;在财务报告内部控制审计中确定重要性水平,旨在检查财务报告内部控制是否存在重大缺陷。由于审计对象、判断标准相同,因此二者在审计中确定的重要性水平亦相同。
记者:既然两者存在多方面的密切联系,企业内部控制审计为什么是独立于财务报告审计的单独业务?在审计工作中,是否能够对二者实施整合审计?
答:虽然二者存在着多方面的联系,但财务报告审计是为了提高财务报告的可信赖程度,重在审计“结果”;而内部控制审计是对保证企业财务报告质量的内在机制的审计,重在审计“过程”。审计对象、重点等的不同,使得二者存在实质性差异,内部控制审计独立于财务报告审计。二者差异主要体现在五个方面:
首先,对内部控制了解和测试的目的不同。注册会计师在财务报告审计中评价内部控制的目的,是为了判断是否可以相应减少实质性程序的工作量,以及支持财务报告的审计意见类型;在内部控制审计中评价内部控制的目的,则是为了对内部控制本身的有效性发表审计意见。
第二,内部控制测试范围存在区别。注册会计师在财务报告审计中,根据成本效益原则可能采取不同的审计策略,对于某些审计领域,可以绕过内部控制测试程序进行审计。而在内部控制审计中,注册会计师则不能绕过内部控制测试程序进行审计,注册会计师应当针对每一审计领域获取控制有效性的证据,以便对内部控制整体的有效性发表意见。
第三,内部控制测试结果所要达到的可靠程度不完全相同。在财务报告审计中,对控制测试的可靠性要求相对较低,注册会计师测试的样本量也有一定的弹性。在内部控制审计中,注册会计师则需要获取内部控制有效性的高度保证,因此对控制测试的可靠性要求较严,样本量选择相对弹性较小。
第四,两者对控制缺陷的评价要求不同。在财务报告审计中,注册会计师仅需将审计过程中识别出的内部控制缺陷区分为值得关注的内部控制缺陷和一般缺陷。而在内部控制审计中,注册会计师需要对内部控制缺陷进行严格的评估,将值得关注的内部控制缺陷进一步区分为重大缺陷和重要缺陷。重大缺陷将影响到审计意见的类型。
第五,审计报告的内容不同。在财务报告审计中,注册会计师一般不对外报告内部控制的情况,除非内部控制影响到对财务报告发表的审计意见。在内部控制审计中,注册会计师应报告内部控制的有效性。
从以上五个方面可以看出,两者差异主要是具体目标、保证程度、评价要求、报告类型等属性上的实质性差异,这些决定了内部控制审计独立于财务报告审计。但在技术层面和实务工作中,两者审计模式、程序、方法等存在着相同之处,风险识别、评估、应对等大量工作内容相近,有很多的基础工作可以共享,在一项审计中发现的问题还可以为另一项审计提供线索和思路。因此,这两项审计工作完全可以整合进行,而由同一家事务所进行整合审计,不仅有利于提高审计效果和效率,降低审计成本,减少重复劳动,而且可以避免审计判断出现不一致的情形,降低企业聘请不同事务所实施审计的负担。
目前,美国《萨班斯——奥克斯利法案》和日本《金融商品交易法》均要求由出具财务报告审计报告的会计师事务所对企业财务报告内部控制进行审计,将企业内部控制审计定位在整合审计。美国的一项调查也显示,企业执行《萨班斯——奥克斯利法案》404条款第二年的成本比第一年下降46%,将两项审计工作更好地整合起来则是其中的一个主要原因。为此,我国《企业内部控制审计指引》也提倡将二者整合进行。
记者:如何保证《意见》的贯彻落实和有效执行?
答:一项制度要发挥好作用,关键在于落实。下一步,中注协将着力抓好以下工作:
第一,不断深化内部控制审计相关规章制度的宣传、动员和培训工作。为了帮助事务所更好提供内部控制审计服务,中注协将举办培训班,指导会计师事务所做好内部控制审计业务,帮助审计人员提高此类审计业务所需的知识和技能。
第二,出台“内部控制审计工作底稿编制指南”,引导事务所切实按照中国注册会计师审计准则、《企业内部控制审计指引》和《意见》执行审计工作,把内部控制审计业务作为一项单独的业务切实做实、做好、做到位。
第三,加强对事务所的专业指导。要求和指导事务所根据自身实际抓紧研究整合审计策略,制定业务规程,建立和完善内部控制审计业务质量控制体系;严格遵守《中国注册会计师职业道德守则》,并对执业过程中获知的信息保密,不得同时为客户提供内部控制咨询和评价服务;提示事务所充分认识到内部控制审计业务时间安排的特殊性,尽早与客户沟通,在期中即开展内部控制审计,以给客户整改内部控制缺陷留下充足时间。
第四,在会计师事务所执业质量检查工作中,中注协将有重点地开展对从事内部控制审计业务会计师事务所的监管,有针对性地加大检查力度,督促其严格遵循执业要求,自觉规范执业行为。发现存在执业质量问题和违背职业道德,将严格惩戒。
记者:您对企业执行内部控制规范有什么建议?
答:企业是内部控制规范建设和执行的主体,对内部控制的有效性承担主体责任,事务所审计则是鉴证监督责任。为保证企业内部控制规范的有效实施,发挥实效,提出以下几点建议:
首先,企业管理层应高度重视内部控制规范体系建设实施工作,要建立健全内部控制领导体制和组织机构,根据基本规范及其配套指引的要求,大力推动内部控制规范体系实施,对业务流程进行系统梳理,识别重要业务流程、流程中容易出错的环节、关键控制点,并抓紧开展内部控制自我评价工作,查漏补缺,为会计师事务所开展内部控制审计工作奠定良好的基础。
其次,企业须尽早落实聘请会计师事务所进行内部控制审计事宜。在财务报表审计中,如果发现重大错报,只要被审计单位最后时刻同意审计调整,注册会计师即可签发无保留意见审计报告。内部控制审计则不同,在内部控制审计中,如果发现被审计单位内部控制存在重大缺陷,注册会计师提请企业整改后,还要跟踪考察整改情况,才能得出控制是否有效的结论,进而决定是否签发无保留意见的审计报告。例如,对于每季运行一次的控制,如果存在重大缺陷,被审计单位需要整改后再运行6个月,注册会计师才能得出控制是否有效的审计结论。因此,企业最好在上半年决定事务所聘请事宜。
再次,推动实现内部控制自我评价工作与内部控制审计工作的良性互动。企业应充分认识内部控制审计业务特点,在开展内部控制自我评价工作时,应当及时与注册会计师沟通和互动,提高自我评价工作可利用程度,降低审计成本,提高工作效率。同时,企业应充分理解内部控制审计工作是一项单独业务,需要事务所增加新的投入,在工作中提供充分的支持。
第二篇:2011-10-11 中注协负责人就发布《企业内部控制审计指引实施意见》答记者问
中注协负责人就发布《企业内部控制审计指引实施意见》答记者问
2011-10-11来源:中注协网站
近日,中国注册会计师协会(简称中注协)发布了《企业内部控制审计指引实施意见》(简称《意见》),这是贯彻落实财政部、证监会、审计署、银监会和保监会联合发布的《企业内部控制基本规范》、《企业内部控制审计指引》,提升我国上市公司财务报告信息披露质量和内部控制水平的重要举措。中注协负责人就《意见》的有关问题回答了记者的提问。
记者:《意见》的出台无论是对注册会计师行业,还是上市公司都是一件大事,请谈谈《意见》出台的背景和意义。
答:内部控制是防范企业财务报告错误和舞弊行为的第一道防线,也是保证企业财务报告真实、完整的内在机制。美国安然、世通财务舞弊事件发生后,各国监管机构将监管重心从单纯注重财务报告本身的信息质量,转向财务报告本身信息质量与建立健全财务报告信息质量保证体系并重。
在此背景下,美国国会在2002年颁布的《萨班斯—奥克利法案》中,首次提出对“财务报告内部控制”的有效性进行审计的要求。与此相适应,美国公众公司会计监督委员会(PCAOB)随后发布审计准则,对会计师事务所执行上市公司财务报告内部控制审计工作进行了规范。同样日本《金融商品交易法》也要求审计师对企业财务报告内部控制进行审计。
顺应国际资本市场监管变革趋势,2008年5月和2010年4月,财政部会同证监会、审计署、银监会和保监会分别发布了《企业内部控制基本规范》和《企业内部控制审计指引》等企业内部控制制度,确立了我国企业内部控制审计制度,要求执行内部控制规范体系的企业,必须聘请会计师事务所对其财务报告内部控制有效性进行审计。其中《企业内部控制审计指引》自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行。
企业内部控制审计制度的确立,改变了企业在上市或再融资时才委托注册会计师对内部控制进行审计的局面,使得企业内部控制审计与财务报告审计一样,成为经常性、周期性业务,上市公司每年要与年报一同公布企业内部控制审计报
告。
实施企业内部控制审计的意义在于,注册会计师对企业内部控制有效性进行客观、独立的鉴证,不仅能够监督、推动企业将内部控制规范落到实处,促进企业加强内部控制规范建设,提升财务报告风险防范能力,同时也能够进一步提升企业信息披露的透明度,增强投资者对企业财务信息可靠性的信心,对保护投资者权益和社会公众利益具有重要作用。
发布实施《意见》的意义则在于,为注册会计师更有效地执行企业内部控制审计业务提供了全面的技术指引。如果说2010年发布的《企业内部控制审计指引》是“航行的灯塔”,此次发布的《意见》则是走向航行目标的具体“技术路线图”。
具体来说,《意见》在《企业内部控制审计指引》的基础上,对执行内部控制审计各个关键环节的要求进行补充和细化,从业务约定书签订,到总体审计策略和具体审计计划的制定,到审计工作实施,以及控制缺陷评价,形成审计意见到最终的审计报告出具都进行了较为详细的规定,对注册会计师执行企业内部控制审计业务具有较强的指导意义。特别是对在实务工作中的具体操作问题,如自上而下和风险导向审计方法的运用、控制测试的涵盖期间、控制测试的时间安排、控制测试的样本量、集团企业控制测试、审计工作底稿编制等,《意见》既给出注册会计师需要考虑的基本原则,又提供了具有可操作性的具体措施。
记者:企业内部控制审计的主要内容有哪些?内部控制审计报告对投资人等利益相关者的价值何在?
答:内部控制审计是会计师事务所接受委托,对特定基准日企业内部控制设计与运行的有效性进行审计,并发表审计意见,审计内容包括企业治理结构、机构设置、企业文化、人力资源政策等内部控制环境因素,以及企业识别风险的评估程序、应对风险的具体措施和信息传递有效性、保证内部控制规范建设和有效运行的机制等,全面评价企业设计和运行的内部控制是否能够合理保证财务报告及相关信息合法、真实、完整,以及用于保护资产安全的内部控制是否可靠。
企业内部控制审计意见包括无保留意见、否定意见和无法表示意见三种类型。如果注册会计师审计后认为企业内部控制在所有重大方面是有效的,则出具无保留意见的内部控制审计报告;如果注册会计师认为企业内部控制存在重大缺
陷,则出具否定意见内部控制审计报告;如果注册会计师审计范围受到限制,则应当解除业务约定或出具无法表示意见的内部控制审计报告。
企业内部控制审计与财务报告审计两种意见类型相互关联,但并非一一对应。例如,在执行内部审计过程中,注册会计师发现企业财务报告内部控制存在重大缺陷,应该出具否定意见的内部控制审计报告。如果该内部控制重大缺陷尚未引起企业财务报告的重大错报,注册会计师则出具标准意见的财务报告审计报告。又如,注册会计师对企业财务报告发表否定意见,意味着财务报告的编制不符合适用的会计准则和会计制度的规定,这种情况下,企业的内部控制也通常存在重大缺陷,应该出具否定意见的内部控制审计报告。
因此,企业内部控制审计能够比财务报告审计提供更进一步的信息,有利于投资者在财务报告审计意见类型基础上,深入分析企业内部控制情况、投资风险和投资价值。
问:企业内部控制审计与财务报告审计有何联系?
答:企业内部控制的了解和测试,及其有效性评估是制定财务报告审计策略、实施进一步审计程序的基础和前提。因此,内部控制审计和财务报告审计存在着多方面联系,主要体现在以下五个方面:
一是两者的最终目的一致,虽然二者各有侧重,但最终目的均为提高财务信息质量,提高财务报告的可靠性,为利益相关者提供高质量的信息。
二是两者都采取风险导向审计模式,注册会计师首先实施风险评估程序,识别和评估重大缺陷(或错报)存在的风险。在此基础上,有针对性地采取应对措施,实施相应的审计程序。
三是两者都要了解和测试内部控制,并且对内部控制有效性的定义和评价方法相同,都可能用到询问、检查、观察、穿行测试、重新执行等方法和程序。
四是两者均要识别重点账户、重要交易类别等重点审计领域。注册会计师在财务报告审计中,需要评价这些重点账户和重要交易类别是否存在重大错报;在内部控制审计中,需要评价这些账户和交易是否被内部控制所覆盖。
五是两者确定的重要性水平相同。注册会计师在财务报告审计中确定重要性水平,旨在检查财务报告中是否存在重大错报;在财务报告内部控制审计中确定重要性水平,旨在检查财务报告内部控制是否存在重大缺陷。由于审计对象、判
断标准相同,因此二者在审计中确定的重要性水平亦相同。
记者:既然两者存在多方面的密切联系,企业内部控制审计为什么是独立于财务报告审计的单独业务?在审计工作中,是否能够对二者实施整合审计?
答:虽然二者存在着多方面的联系,但财务报告审计是为了提高财务报告的可信赖程度,重在审计“结果”;而内部控制审计是对保证企业财务报告质量的内在机制的审计,重在审计“过程”。审计对象、重点等的不同,使得二者存在实质性差异,内部控制审计独立于财务报告审计。二者差异主要体现在五个方面:
首先,对内部控制了解和测试的目的不同。注册会计师在财务报告审计中评价内部控制的目的,是为了判断是否可以相应减少实质性程序的工作量,以及支持财务报告的审计意见类型;在内部控制审计中评价内部控制的目的,则是为了对内部控制本身的有效性发表审计意见。
第二,内部控制测试范围存在区别。注册会计师在财务报告审计中,根据成本效益原则可能采取不同的审计策略,对于某些审计领域,可以绕过内部控制测试程序进行审计。而在内部控制审计中,注册会计师则不能绕过内部控制测试程序进行审计,注册会计师应当针对每一审计领域获取控制有效性的证据,以便对内部控制整体的有效性发表意见。
第三,内部控制测试结果所要达到的可靠程度不完全相同。在财务报告审计中,对控制测试的可靠性要求相对较低,注册会计师测试的样本量也有一定的弹性。在内部控制审计中,注册会计师则需要获取内部控制有效性的高度保证,因此对控制测试的可靠性要求较严,样本量选择相对弹性较小。
第四,两者对控制缺陷的评价要求不同。在财务报告审计中,注册会计师仅需将审计过程中识别出的内部控制缺陷区分为值得关注的内部控制缺陷和一般缺陷。而在内部控制审计中,注册会计师需要对内部控制缺陷进行严格的评估,将值得关注的内部控制缺陷进一步区分为重大缺陷和重要缺陷。重大缺陷将影响到审计意见的类型。
第五,审计报告的内容不同。在财务报告审计中,注册会计师一般不对外报告内部控制的情况,除非内部控制影响到对财务报告发表的审计意见。在内部控制审计中,注册会计师应报告内部控制的有效性。
从以上五个方面可以看出,两者差异主要是具体目标、保证程度、评价要求、报告类型等属性上的实质性差异,这些决定了内部控制审计独立于财务报告审计。但在技术层面和实务工作中,两者审计模式、程序、方法等存在着相同之处,风险识别、评估、应对等大量工作内容相近,有很多的基础工作可以共享,在一项审计中发现的问题还可以为另一项审计提供线索和思路。因此,这两项审计工作完全可以整合进行,而由同一家事务所进行整合审计,不仅有利于提高审计效果和效率,降低审计成本,减少重复劳动,而且可以避免审计判断出现不一致的情形,降低企业聘请不同事务所实施审计的负担。
目前,美国《萨班斯——奥克斯利法案》和日本《金融商品交易法》均要求由出具财务报告审计报告的会计师事务所对企业财务报告内部控制进行审计,将企业内部控制审计定位在整合审计。美国的一项调查也显示,企业执行《萨班斯——奥克斯利法案》404条款第二年的成本比第一年下降46%,将两项审计工作更好地整合起来则是其中的一个主要原因。为此,我国《企业内部控制审计指引》也提倡将二者整合进行。
记者:如何保证《意见》的贯彻落实和有效执行?
答:一项制度要发挥好作用,关键在于落实。下一步,中注协将着力抓好以下工作:
第一,不断深化内部控制审计相关规章制度的宣传、动员和培训工作。为了帮助事务所更好提供内部控制审计服务,中注协将举办培训班,指导会计师事务所做好内部控制审计业务,帮助审计人员提高此类审计业务所需的知识和技能。
第二,出台“内部控制审计工作底稿编制指南”,引导事务所切实按照中国注册会计师审计准则、《企业内部控制审计指引》和《意见》执行审计工作,把内部控制审计业务作为一项单独的业务切实做实、做好、做到位。
第三,加强对事务所的专业指导。要求和指导事务所根据自身实际抓紧研究整合审计策略,制定业务规程,建立和完善内部控制审计业务质量控制体系;严格遵守《中国注册会计师职业道德守则》,并对执业过程中获知的信息保密,不得同时为客户提供内部控制咨询和评价服务;提示事务所充分认识到内部控制审计业务时间安排的特殊性,尽早与客户沟通,在期中即开展内部控制审计,以给客户整改内部控制缺陷留下充足时间。
第四,在会计师事务所执业质量检查工作中,中注协将有重点地开展对从事
内部控制审计业务会计师事务所的监管,有针对性地加大检查力度,督促其严格遵循执业要求,自觉规范执业行为。发现存在执业质量问题和违背职业道德,将严格惩戒。
记者:您对企业执行内部控制规范有什么建议?
答:企业是内部控制规范建设和执行的主体,对内部控制的有效性承担主体责任,事务所审计则是鉴证监督责任。为保证企业内部控制规范的有效实施,发挥实效,提出以下几点建议:
首先,企业管理层应高度重视内部控制规范体系建设实施工作,要建立健全内部控制领导体制和组织机构,根据基本规范及其配套指引的要求,大力推动内部控制规范体系实施,对业务流程进行系统梳理,识别重要业务流程、流程中容易出错的环节、关键控制点,并抓紧开展内部控制自我评价工作,查漏补缺,为会计师事务所开展内部控制审计工作奠定良好的基础。
其次,企业须尽早落实聘请会计师事务所进行内部控制审计事宜。在财务报表审计中,如果发现重大错报,只要被审计单位最后时刻同意审计调整,注册会计师即可签发无保留意见审计报告。内部控制审计则不同,在内部控制审计中,如果发现被审计单位内部控制存在重大缺陷,注册会计师提请企业整改后,还要跟踪考察整改情况,才能得出控制是否有效的结论,进而决定是否签发无保留意见的审计报告。例如,对于每季运行一次的控制,如果存在重大缺陷,被审计单位需要整改后再运行6个月,注册会计师才能得出控制是否有效的审计结论。因此,企业最好在上半年决定事务所聘请事宜。
再次,推动实现内部控制自我评价工作与内部控制审计工作的良性互动。企业应充分认识内部控制审计业务特点,在开展内部控制自我评价工作时,应当及时与注册会计师沟通和互动,提高自我评价工作可利用程度,降低审计成本,提高工作效率。同时,企业应充分理解内部控制审计工作是一项单独业务,需要事务所增加新的投入,在工作中提供充分的支持。
第三篇:企业内部控制审计指引实施意见
中国注册会计师协会 企业内部控制审计指引实施意见
____________________________________________________________________________________
会协〔2011〕 66 号
各省、自治区、直辖市注册会计师协会:
为了规范注册会计师执行内部控制审计业务,明确工作要求,提高执业质量,维护公众利益,我会制定了《企业内部控制审计指引实施意见》,现予印发,自2012年1月1日起施行。执行中有何问题,请及时反馈我会。
附件:企业内部控制审计指引实施意见
中国注册会计师协会 二○一一年十月十一日
中注协负责人就发布
《企业内部控制审计指引实施意见》答记者问
近日,中国注册会计师协会(简称中注协)发布了《企业内部控制审计指引实施意见》(简称《意见》),这是贯彻落实财政部、证监会、审计署、银监会和保监会联合发布的《企业内部控制基本规范》、《企业内部控制审计指引》,提升我国上市公司财务报告信息披露质量和内部控制水平的重要举措。中注协负责人就《意见》的有关问题回答了记者的提问。
记者:《意见》的出台无论是对注册会计师行业,还是上市公司都是一件大事,请谈谈《意见》出台的背景和意义。
答:内部控制是防范企业财务报告错误和舞弊行为的第一道防线,也是保证企业财务报告真实、完整的内在机制。美国安然、世通财务舞弊事件发生后,各国监管机构将监管重心从单纯注重财务报告本身的信息质量,转向财务报告本身信息质量与建立健全财务报告信息质量保证体系并重。
在此背景下,美国国会在2002年颁布的《萨班斯—奥克利法案》中,首次提出对“财务报告内部控制”的有效性进行审计的要求。与此相适应,美国公众公司会计监督委员会(PCAOB)随后发布审计准则,对会计师事务所执行上市公司财务报告内部控制审计工作进行了规范。同样日本《金融商品交易法》也 要求审计师对企业财务报告内部控制进行审计。
顺应国际资本市场监管变革趋势,2008年5月和2010年4月,财政部会同证监会、审计署、银监会和保监会分别发布了《企业内部控制基本规范》和《企业内部控制审计指引》等企业内部控制制度,确立了我国企业内部控制审计制度,要求执行内部控制规范体系的企业,必须聘请会计师事务所对其财务报告内部控制有效性进行审计。其中《企业内部控制审计指引》自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行。
企业内部控制审计制度的确立,改变了企业在上市或再融资时才委托注册会计师对内部控制进行审计的局面,使得企业内部控制审计与财务报告审计一样,成为经常性、周期性业务,上市公司每年要与年报一同公布企业内部控制审计报告。
实施企业内部控制审计的意义在于,注册会计师对企业内部控制有效性进行客观、独立的鉴证,不仅能够监督、推动企业将内部控制规范落到实处,促进企业加强内部控制规范建设,提升财务报告风险防范能力,同时也能够进一步提升企业信息披露的透明度,增强投资者对企业财务信息可靠性的信心,对保护投资者权益和社会公众利益具有重要作用。
发布实施《意见》的意义则在于,为注册会计师更有效地执行企业内部控制审计业务提供了全面的技术指引。如果说2010年发布的《企业内部控制审计指引》是“航行的灯塔”,此次发布的《意见》则是走向航行目标的具体“技术路线图”。
具体来说,《意见》在《企业内部控制审计指引》的基础上,对执行内部控制审计各个关键环节的要求进行补充和细化,从业务约定书签订,到总体审计策略和具体审计计划的制定,到审计工作实施,以及控制缺陷评价,形成审计意见到最终的审计报告出具都进行了较为详细的规定,对注册会计师执行企业内部控制审计业务具有较强的指导意义。特别是对在实务工作中的具体操作问题,如自上而下和风险导向审计方法的运用、控制测试的涵盖期间、控制测试的时间安排、控制测试的样本量、集团企业控制测试、审计工作底稿编制等,《意见》既给出注册会计师需要考虑的基本原则,又提供了具有可操作性的具体措施。
记者:企业内部控制审计的主要内容有哪些?内部控制审计报告对投资人等利益相关者的价值何在?
答:内部控制审计是会计师事务所接受委托,对特定基准日企业内部控制设计与运行的有效性进行审计,并发表审计意见,审计内容包括企业治理结构、机构设置、企业文化、人力资源政策等内部控制环境因素,以及企业识别风险的评估程序、应对风险的具体措施和信息传递有效性、保证内部控制规范建设和有效运行的机制等,全面评价企业设计和运行的内部控制是否能够合理保证财务报告及相关信息合法、真实、完整,以及用于保护资产安全的内部控制是否可靠。
企业内部控制审计意见包括无保留意见、否定意见和无法表示意见三种类型。如果注册会计师审计 后认为企业内部控制在所有重大方面是有效的,则出具无保留意见的内部控制审计报告;如果注册会计师认为企业内部控制存在重大缺陷,则出具否定意见内部控制审计报告;如果注册会计师审计范围受到限制,则应当解除业务约定或出具无法表示意见的内部控制审计报告。
企业内部控制审计与财务报告审计两种意见类型相互关联,但并非一一对应。例如,在执行内部审计过程中,注册会计师发现企业财务报告内部控制存在重大缺陷,应该出具否定意见的内部控制审计报告。如果该内部控制重大缺陷尚未引起企业财务报告的重大错报,注册会计师则出具标准意见的财务报告审计报告。又如,注册会计师对企业财务报告发表否定意见,意味着财务报告的编制不符合适用的会计准则和会计制度的规定,这种情况下,企业的内部控制也通常存在重大缺陷,应该出具否定意见的内部控制审计报告。
因此,企业内部控制审计能够比财务报告审计提供更进一步的信息,有利于投资者在财务报告审计意见类型基础上,深入分析企业内部控制情况、投资风险和投资价值。
问:企业内部控制审计与财务报告审计有何联系?
答:企业内部控制的了解和测试,及其有效性评估是制定财务报告审计策略、实施进一步审计程序的基础和前提。因此,内部控制审计和财务报告审计存在着多方面联系,主要体现在以下五个方面:
一是两者的最终目的一致,虽然二者各有侧重,但最终目的均为提高财务信息质量,提高财务报告的可靠性,为利益相关者提供高质量的信息。
二是两者都采取风险导向审计模式,注册会计师首先实施风险评估程序,识别和评估重大缺陷(或错报)存在的风险。在此基础上,有针对性地采取应对措施,实施相应的审计程序。
三是两者都要了解和测试内部控制,并且对内部控制有效性的定义和评价方法相同,都可能用到询问、检查、观察、穿行测试、重新执行等方法和程序。
四是两者均要识别重点账户、重要交易类别等重点审计领域。注册会计师在财务报告审计中,需要评价这些重点账户和重要交易类别是否存在重大错报;在内部控制审计中,需要评价这些账户和交易是否被内部控制所覆盖。
五是两者确定的重要性水平相同。注册会计师在财务报告审计中确定重要性水平,旨在检查财务报告中是否存在重大错报;在财务报告内部控制审计中确定重要性水平,旨在检查财务报告内部控制是否存在重大缺陷。由于审计对象、判断标准相同,因此二者在审计中确定的重要性水平亦相同。
记者:既然两者存在多方面的密切联系,企业内部控制审计为什么是独立于财务报告审计的单独业务?在审计工作中,是否能够对二者实施整合审计?
答:虽然二者存在着多方面的联系,但财务报告审计是为了提高财务报告的可信赖程度,重在审计“结果”;而内部控制审计是对保证企业财务报告质量的内在机制的审计,重在审计“过程”。审计对象、重点等的不同,使得二者存在实质性差异,内部控制审计独立于财务报告审计。二者差异主要体现在五个方 面:
首先,对内部控制了解和测试的目的不同。注册会计师在财务报告审计中评价内部控制的目的,是为了判断是否可以相应减少实质性程序的工作量,以及支持财务报告的审计意见类型;在内部控制审计中评价内部控制的目的,则是为了对内部控制本身的有效性发表审计意见。
第二,内部控制测试范围存在区别。注册会计师在财务报告审计中,根据成本效益原则可能采取不同的审计策略,对于某些审计领域,可以绕过内部控制测试程序进行审计。而在内部控制审计中,注册会计师则不能绕过内部控制测试程序进行审计,注册会计师应当针对每一审计领域获取控制有效性的证据,以便对内部控制整体的有效性发表意见。
第三,内部控制测试结果所要达到的可靠程度不完全相同。在财务报告审计中,对控制测试的可靠性要求相对较低,注册会计师测试的样本量也有一定的弹性。在内部控制审计中,注册会计师则需要获取内部控制有效性的高度保证,因此对控制测试的可靠性要求较严,样本量选择相对弹性较小。
第四,两者对控制缺陷的评价要求不同。在财务报告审计中,注册会计师仅需将审计过程中识别出的内部控制缺陷区分为值得关注的内部控制缺陷和一般缺陷。而在内部控制审计中,注册会计师需要对内部控制缺陷进行严格的评估,将值得关注的内部控制缺陷进一步区分为重大缺陷和重要缺陷。重大缺陷将影响到审计意见的类型。
第五,审计报告的内容不同。在财务报告审计中,注册会计师一般不对外报告内部控制的情况,除非内部控制影响到对财务报告发表的审计意见。在内部控制审计中,注册会计师应报告内部控制的有效性。
从以上五个方面可以看出,两者差异主要是具体目标、保证程度、评价要求、报告类型等属性上的实质性差异,这些决定了内部控制审计独立于财务报告审计。但在技术层面和实务工作中,两者审计模式、程序、方法等存在着相同之处,风险识别、评估、应对等大量工作内容相近,有很多的基础工作可以共享,在一项审计中发现的问题还可以为另一项审计提供线索和思路。因此,这两项审计工作完全可以整合进行,而由同一家事务所进行整合审计,不仅有利于提高审计效果和效率,降低审计成本,减少重复劳动,而且可以避免审计判断出现不一致的情形,降低企业聘请不同事务所实施审计的负担。
目前,美国《萨班斯——奥克斯利法案》和日本《金融商品交易法》均要求由出具财务报告审计报告的会计师事务所对企业财务报告内部控制进行审计,将企业内部控制审计定位在整合审计。美国的一项调查也显示,企业执行《萨班斯——奥克斯利法案》404条款第二年的成本比第一年下降46%,将两项审计工作更好地整合起来则是其中的一个主要原因。为此,我国《企业内部控制审计指引》也提倡将二者整合进行。
记者:如何保证《意见》的贯彻落实和有效执行?
答:一项制度要发挥好作用,关键在于落实。下一步,中注协将着力抓好以下工作: 第一,不断深化内部控制审计相关规章制度的宣传、动员和培训工作。为了帮助事务所更好提供内部控制审计服务,中注协将举办培训班,指导会计师事务所做好内部控制审计业务,帮助审计人员提高此类审计业务所需的知识和技能。
第二,出台“内部控制审计工作底稿编制指南”,引导事务所切实按照中国注册会计师审计准则、《企业内部控制审计指引》和《意见》执行审计工作,把内部控制审计业务作为一项单独的业务切实做实、做好、做到位。
第三,加强对事务所的专业指导。要求和指导事务所根据自身实际抓紧研究整合审计策略,制定业务规程,建立和完善内部控制审计业务质量控制体系;严格遵守《中国注册会计师职业道德守则》,并对执业过程中获知的信息保密,不得同时为客户提供内部控制咨询和评价服务;提示事务所充分认识到内部控制审计业务时间安排的特殊性,尽早与客户沟通,在期中即开展内部控制审计,以给客户整改内部控制缺陷留下充足时间。
第四,在会计师事务所执业质量检查工作中,中注协将有重点地开展对从事内部控制审计业务会计师事务所的监管,有针对性地加大检查力度,督促其严格遵循执业要求,自觉规范执业行为。发现存在执业质量问题和违背职业道德,将严格惩戒。
记者:您对企业执行内部控制规范有什么建议?
答:企业是内部控制规范建设和执行的主体,对内部控制的有效性承担主体责任,事务所审计则是鉴证监督责任。为保证企业内部控制规范的有效实施,发挥实效,提出以下几点建议:
首先,企业管理层应高度重视内部控制规范体系建设实施工作,要建立健全内部控制领导体制和组织机构,根据基本规范及其配套指引的要求,大力推动内部控制规范体系实施,对业务流程进行系统梳理,识别重要业务流程、流程中容易出错的环节、关键控制点,并抓紧开展内部控制自我评价工作,查漏补缺,为会计师事务所开展内部控制审计工作奠定良好的基础。
其次,企业须尽早落实聘请会计师事务所进行内部控制审计事宜。在财务报表审计中,如果发现重大错报,只要被审计单位最后时刻同意审计调整,注册会计师即可签发无保留意见审计报告。内部控制审计则不同,在内部控制审计中,如果发现被审计单位内部控制存在重大缺陷,注册会计师提请企业整改后,还要跟踪考察整改情况,才能得出控制是否有效的结论,进而决定是否签发无保留意见的审计报告。例如,对于每季运行一次的控制,如果存在重大缺陷,被审计单位需要整改后再运行6个月,注册会计师才能得出控制是否有效的审计结论。因此,企业最好在上半年决定事务所聘请事宜。
再次,推动实现内部控制自我评价工作与内部控制审计工作的良性互动。企业应充分认识内部控制审计业务特点,在开展内部控制自我评价工作时,应当及时与注册会计师沟通和互动,提高自我评价工作可利用程度,降低审计成本,提高工作效率。同时,企业应充分理解内部控制审计工作是一项单独业务,需要事务所增加新的投入,在工作中提供充分的支持。附件
企业内部控制审计指引实施意见
为了规范注册会计师执行财务报告内部控制(以下简称内部控制)审计业务,明确工作要求,提高执业质量,维护公众利益,根据 中国注册会计师审计准则、《企业内部控制基本规范》和《企业内部 控制审计指引》,在整合审计框架下,制定本意见。
一、关于签订业务约定书 只有当内部控制审计的前提条件得到满足,并且会计师事务所符 合独立性要求,具备专业胜任能力时,会计师事务所才能接受或保持 内部控制审计业务。
(一)内部控制审计的前提条件 在确定内部控制审计的前提条件是否得到满足时,注册会计师应 当:
(1)确定被审计单位采用的内部控制标准是否适当;
(2)就被审计单位认可并理解其责任与治理层和管理层达成一致意见。
被审计单位的责任包括:
(1)按照适用的内部控制标准,建立健全和有效实施内部控制,以使财务报表不存在由于舞弊或错误导致的重大错报;
(2)对内部控制的有效性进行评价并编制内部控制评价报告;
(3)向注册会计师提供必要的工作条件,包括允许注册会计师 接触与内部控制审计相关的所有信息(如记录、文件和其他事项)
允许注册会计师在获取审计证据时不受限制地接触其认为必要的内 部人员和其他相关人员等。
(二)签订单独的内部控制审计业务约定书 如果决定接受或保持内部控制审计业务,会计师事务所应当与被 审计单位签订单独的内部控制审计业务约定书。业务约定书应当至少 包括下列内容:
(1)内部控制审计的目标和范围;
(2)注册会计师的责任;
(3)被审计单位的责任;
(4)指出被审计单位采用的内部控制标准;
(5)提及注册会计师拟出具的内部控制审计报告的形式和内容,以及对在特定情况下出具的内部控制审计报告可能不同于预期形式 和内容的说明;
(6)审计收费。
二、关于计划审计工作 注册会计师应当贯彻风险导向审计的思路,恰当地计划内部控制 审计工作,制订总体审计策略和具体审计计划。
(一)总体审计策略 注册会计师应当在总体审计策略中体现下列内容:
(1)确定内部控制审计业务特征,以界定审计范围。例如,被 审计单位采用的内部控制标准、注册会计师预期内部控制审计工作涵 盖的范围、对组成部分注册会计师工作的参与程度、注册会计师对被 审计单位内部控制评价工作的了解以及拟利用被审计单位内部相关 人员工作的程度等。对于按照权益法核算的投资,内部控制审计范围应当包括针对权 益法下相关会计处理而实施的内部控制,但通常不包括针对权益法下 被投资方的内部控制。内部控制审计范围应当包括被审计单位在内部控制评价基准日(最近一个会计期间截止日,以下简称基准日)或在此之前收购的实体,以及在基准日作为终止经营进行会计处理的业务。注册会计师应 当确定是否有必要对与这些实体或业务相关的控制实施测试。如果法律法规的相关豁免规定允许被审计单位不将某些实体纳 入内部控制评价范围,注册会计师可以不将这些实体纳入内部控制审 计的范围。
(2)明确内部控制审计业务的报告目标,以计划审计的时间安 排和所需沟通的性质。例如,被审计单位对外公布或报送内部控制审 计报告的时间、注册会计师与管理层和治理层讨论内部控制审计工作 的性质、时间安排和范围,注册会计师与管理层和治理层讨论拟出具 内部控制审计报告的类型和时间安排以及沟通的其他事项等。
(3)根据职业判断,考虑用以指导项目组工作方向的重要因素。例如,财务报表整体的重要性和实际执行的重要性、初步识别的可能 存在重大错报的风险领域、内部控制最近发生变化的程度、与被审计 单位沟通过的内部控制缺陷、对内部控制有效性的初步判断、信息技 术和业务流程的变化等。
(4)考虑初步业务活动的结果,并考虑对被审计单位执行其他 业务时获得的经验是否与内部控制审计业务相关(如适用)。
(5)确定执行内部控制审计业务所需资源的性质、时间安排和范围。例如,项目组成员的选择以及对项目组成员审计工作的分派,项目时间预算等。
(二)具体审计计划 注册会计师应当在具体审计计划中体现下列内容:
(1)了解和识别内部控制的程序的性质、时间安排和范围;
(2)测试控制设计有效性的程序的性质、时间安排和范围;
(3)测试控制运行有效性的程序的性质、时间安排和范围。
(三)对应对舞弊风险的考虑 在计划和实施内部控制审计工作时,注册会计师应当考虑财务报 表审计中对舞弊风险的评估结果。在识别和测试企业层面控制以及选 择其他控制进行测试时,注册会计师应当评价被审计单位的内部控制 是否足以应对识别出的、由于舞弊导致的重大错报风险,并评价为应 对管理层和治理层凌驾于控制之上的风险而设计的控制。被审计单位为应对这些风险可能设计的控制包括:
(1)针对重大的非常规交易的控制,尤其是针对导致会计处理 延迟或异常的交易的控制;(2)针对期末财务报告流程中编制的分录和作出的调整的控制;
(3)针对关联方交易的控制;
(4)与管理层的重大估计相关的控制;
(5)能够减弱管理层和治理层伪造或不恰当操纵财务结果的动 机和压力的控制。如果在内部控制审计中识别出旨在防止或发现并纠正舞弊的控 制存在缺陷,注册会计师应当按照 《中国注册会计师审计准则第 1141 号——财务报表审计中与舞弊相关的责任》的规定,在财务报表审计中制定重大错报风险的应对方案时考虑这些缺陷。
三、关于实施审计工作
(一)采用自上而下的方法 注册会计师应当采用自上而下的方法选择拟测试的控制。自上而下的方法始于财务报表层次,以注册会计师对内部控制整 体风险的了解开始,然后,将关注重点放在企业层面的控制上,并将 工作逐渐下移至重要账户、列报及其相关认定。随后,验证其对被审 计单位业务流程中风险的了解,并选择能足以应对评估的每个相关认 定的重大错报风险的控制进行测试。自上而下的方法分为下列步骤:
(1)从财务报表层次初步了解内部控制整体风险;
(2)识别、了解和测试企业层面控制;
(3)识别重要账户、列报及其相关认定;
(4)了解潜在错报的来源并识别相应的控制;
(5)选择拟测试的控制。本部分第(二)至
(五)对自上而下的方法的各个步骤进行了规 定,第(六)至
(十三)对控制有效性测试进行了规定。
(二)识别、了解和测试企业层面控制 注册会计师应当识别、了解和测试对内部控制有效性有重要影响 的企业层面控制。注册会计师对企业层面控制的评价,可能增加或减 少本应对其他控制进行的测试。
1.企业层面控制对其他控制及其测试的影响 不同的企业层面控制在性质和精确度上存在差异,注册会计师应 当从下列方面考虑这些差异对其他控制及其测试的影响:
(1)某些企业层面控制,如与控制环境相关的控制,对及时防 止或发现并纠正相关认定的错报的可能性有重要影响。虽然这种影响 是间接的,但这些控制仍然可能影响注册会计师拟测试的其他控制,以及测试程序的性质、时间安排和范围。
(2)某些企业层面控制旨在识别其他控制可能出现的失效情况,能够监督其他控制的有效性,但还不足以精确到及时防止或发现并纠 正相关认定的错报。当这些控制运行有效时,注册会计师可以减少对 其他控制的测试。
(3)某些企业层面控制本身能够精确到足以及时防止或发现并 纠正相关认定的错报。如果一项企 业层面控制足以应对已评估的错报 风险,注册会计师就不必测试与该风险相关的其他控制。
2.企业层面控制的内容 企业层面控制包括下列内容:
(1)与控制环境(即内部环境)相关的控制;
(2)针对管理层和治理层凌驾于控制之上的风险而设计的控制;
(3)被审计单位的风险评估过程;
(4)对内部信息传递和期末财务报告流程的控制;
(5)对控制有效性的内部监督(即监督其他控制的控制)和内 部控制评价。此外,集中化的处理和控制(包括共享的服务环境)、监控经营 成果的控制以及针对重大经营控制及风险管理实务的政策也属于企 业层面控制。
3.对期末财务报告流程的评价 期末财务报告流程对内部控制审计和财务报表审计有重要影响,注册会计师应当对期末财务报告流程进行评价。期末财务报告流程包括:
(1)将交易总额登入总分类账的程序;
(2)与会计政策的选择和运用相关的程序;
(3)总分类账中会计分录的编制、批准等处理程序;
(4)对财务报表进行调整的程序;
(5)编制财务报表的程序。
注册会计师应当从下列方面评价期末财务报告流程:
(1)被审计单位财务报表的编制流程,包括输入、处理及输出;
(2)期末财务报告流程中运用信息技术的程度;
(3)管理层中参与期末财务报告流程的人员;
(4)纳入财务报表编制范围的组成部分;
(5)调整分录及合并分录的类型;
(6)管理层和治理层对期末财务报告流程进行监督的性质及范围。
(三)识别重要账户、列报及其相关认定 注册会计师应当基于财务报表层次识别重要账户、列报及其相关 认定。如果某账户或列报可能存在一个错报,该错报单独或连同其他错 报将导致财务报表发生重大错报,则该账户或列报为重要账户或列 报。判断某账户或列报是否重要,应当依据其固有风险,而不应考虑 相关控制的影响。如果某财务报表认定可能存在一个或多个错报,这些错报将导致 财务报表发生重大错报,则该认定为相关认定。判断某认定是否为相关认定,应当依据其固有风险,而不应考虑相关控制的影响。为识别重要账户、列报及其相关认定,注册会计师应当从下列方 面评价财务报表项目及附注的错报风险因素:
(1)账户的规模和构成;(2)易于发生错报的程度;
(3)账户或列报中反映的交易的业务量、复杂性及同质性;
(4)账户或列报的性质;
(5)与账户或列报相关的会计处理及报告的复杂程度;
(6)账户发生损失的风险;
(7)账户或列报中反映的活动引起重大或有负债的可能性;
(8)账户记录中是否涉及关联方交易;
(9)账户或列报的特征与前期相比发生的变化。在识别重要账户、列报及其相关认定时,注册会计师还应当确 定重大错报的可能来源。注册会计师可以通过考虑在特定的重要账户 或列报中错报可能发生的领域和原因,确定重大错报的可能来源。在内部控制审计中,注册会计师在识别重要账户、列报及其相关 认定时应当评价的风险因素,与财务报表审计中考虑的因素相同。因 此,在这两种审计中识别的重要账户、列报及其相关认定应当相同。如果某账户或列报的各组成部分存在的风险差异较大,被审计单 位可能需要采用不同的控制以应对这些风险,注册会计师应当分别予 以考虑。
(四)了解潜在错报的来源并识别相应的控制 注册会计师应当实现下列目标,以进一步了解潜在错报的来源,并为选择拟测试的控制奠定基础:
(1)了解与相关认定有关的交易的处理流程,包括这些交易如 何生成、批准、处理及记录;
(2)验证注册会计师识别出的业务流程中可能发生重大错报(包 括由于舞弊导致的错报)的环节;
(3)识别被审计单位用于应对这些错报或潜在错报的控制;
(4)识别被审计单位用于及时防止或发现并纠正未经授权的、导致重大错报的资产取得、使用或处臵的控制。注册会计师应当亲自执行能够实现上述目标的程序,或对提供直 接帮助的人员的工作进行督导。穿行测试通常是实现上述目标的最有效方式。穿行测试是指追踪 某笔交易从发生到最终被反映在财务报表中的整个处理过程。注册会 计师在执行穿行测试时,通常需要综合运用询问、观察、检查相关文 件及重新执行等程序。在执行穿行测试时,针对重要处理程序发生的环节,注册会计师 可以询问被审计单位员工对规定程序及控制的了解程度。实施询问程 序连同穿行测试中的其他程序,可以帮助注册会计师充分了解业务流 程,识别必要控制设计无效或出现缺失的重要环节。为有助于了解业 务流程处理的不同类型的重大交易,在实施询问程序时,注册会计师 不应局限于关注穿行测试所选定的单笔交易。
(五)选择拟测试的控制 注册会计师应当针对每一相关认定获取控制有效性的审计证据,以便对内部控制整体的有效性发表意见,但没有责任对单项控制的有 效性发表意见。注册会计师应当对被审计单位的控制是否足以应对评估的每个相关认定的错报风险形成结论。因此,注册会计师应当选择对形 成这 一评价结论具有重要影响的控制进行测试。对特定的相关认定而言,可能有多项控制用以应对评估的错报风 险;反之,一项控制也可能应对评估的多项相关认定的错报风险。注 册会计师没有必要测试与某项相关认定有关的所有控制。在确定是否测试某项控制时,注册会计师应当考虑该项控制单独 或连同其他控制,是否足以应对评估的某项相关认定的错报风险,而 不论该项控制的分类和名称如何。
(六)测试控制设计的有效性 注册会计师应当测试控制设计的有效性。如果某项控制由拥有有效执行控制所需的授权和专业胜任能力 的人员按规定的程序和要求执行,能够实现控制目标,从而有效地防 止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊,则表 明该项控制的设计是有效的。
(七)测试控制运行的有效性 注册会计师应当测试控制运行的有效性。如果某项控制正在按照设计运行、执行人员拥有有效执行控制所 需的授权和专业胜任能力,能够实现控制目标,则表明该项控制的运 行是有效的。如果被审计单位利用第三方的帮助完成一些财务报告工作,注册 会计师在评价负责财务报告及相关控制的人员的专业胜任能力时,可 以一并考虑第三方的专业胜任能力。注册会计师获取的有关控制运行有效性的审计证据包括:
(1)控制在所审计期间的相关时点是如何运行的;(2)控制是否得到一贯执行;
(3)控制由谁或以何种方式执行。
(八)与控制相关的风险和拟获取的审计证据之间的关系 在测试所选定控制的有效性时,注册会计师应当根据与控制相关 的风险,确定所需获取的审计证据。与控制相关的风险包括一项控制可能无效的风险,以及如果该控 制无效,可能导致重大缺陷的风险。与控制相关的风险越高,注册会 计师需要获取的审计证据就越多。下列因素影响与某项控制相关的风险:
(1)该项控制拟防止或发现并纠正的错报的性质和重要程度;
(2)相关账户、列报及其认定的固有风险;
(3)交易的数量和性质是否发生变化,进而可能对该项控制设 计或运行的有效性产生不利影响;
(4)相关账户或列报是否曾经出现错报;
(5)企业层面控制(特别是监督其他控制的控制)的有效性;
(6)该项控制的性质及其执行频率;
(7)该项控制对其他控制(如控制环境或信息技术一般控制)有效性的依赖程度;
(8)执行该项控制或监督该项控制执行的人员的专业胜任能力,以及其中的关键人员是否发生变化;
(9)该项控制是人工控制还是自动化控制;
(10)该项控制的复杂程度,以及在运行过程中依赖判断的程度。
(九)测试控制有效性的程序 注册会计师通过测试控制有效性获取的审计证据,取决于其实施程 序的性质、时间安排和范围的组合。此外,就单项控制而言,注册 会计师应当根据与控制相关的风险对测试程序的性质、时间安排和范 围进行适当的组合,以获取充分、适当的审计证据。注册会计师测试控制有效性的程序,按其提供审计证据的效力,由弱到强排序通常为:询问、观察、检查和重新执行。询问本身并不 能为得出控制是否有效的结论提供充分、适当的审计证据。测试控制有效性的程序,其性质在很大程度上取决于拟测试控制 的性质。某些控制可能存在反映控制有效性的文件记录,而另外一些 控制,如管理理念和经营风格,可能没有书面的运行证据。对缺乏正式的控制运行证据的被审计单位或业务单元,注册会计 师可以通过询问并结合运用其他程序,如观察活动、检查非正式的书 面记录和重新执行某些控制,获取有关控制是否有效的充分、适当的 审计证据。注册会计师在测试控制设计的有效性时,应当综合运用询问适当 人员、观察经营活动和检查相关文件等程序。注册会计师执行穿行测 试通常足以评价控制设计的有效性。注册会计师在测试控制运行的有效性时,应当综合运用询问适当 人员、观察经营活动、检查相关文件以及重新执行等程序。
(十)控制测试的涵盖期间 对控制有效性的测试涵盖的期间越长,提供的控制有效性的审计 证据越多。单就内部控制审计业务而言,注册会计师应当获取内部控制在基 准日之前一段足够长的期间内有效运行的审计证据。在整合审计中,控制测试所涵盖的期间应当尽量与财务报表审计中拟信赖内部控制的期间保持一致。注册会计师执行内部控制审计业务旨在对基准日内部控制有效 性出具报告。如果已获取有关控制在期中运行有效性的审计证据,注 册会计师应当确定还需要获取哪些补充审计证据,以证实剩余期间控 制的运行情况。在将期中测试结果更新至基准日时,注册会计师应当 考虑下列因素以确定需要获取的补充审计证据:
(1)基准日之前测试的特定控制,包括与控制相关的风险、控 制的性质和测试的结果;
(2)期中获取的有关审计证据的充分性和适当性;
(3)剩余期间的长短;
(4)期中测试之后,内部控制发生重大变化的可能性。针对所有重要账户和列报的每个相关认定,注册会计师应当获取 控制有效性的审计证据。《中国注册会计师审计准则第 1231 号——针 对评估的重大错报风险采取的应对措施》第十四条提及的“三年轮换 测试”不适用(本意见第四部分提及的与基准相比较的策略除外)。
(十一)控制测试的时间安排 对控制有效性测试的实施时间越接近基准日,提供的控制有效性 的审计证据越有力。为了获取充分、适当的审计证据,注册会计师应 当在下列两个因素之间作出平衡,以确定测试的时间:
(1)尽量在接近基准日实施测试;
(2)实施的测试需要涵盖足够长的期间。整改后的内部控制需要在基准日之前运行足够长的时间,注册会 计师才能得出整改后的内部控制是否有效的结论。因此,在接受或保 持内部控制审计业务时,注 册会计师应当尽早与被审计单位沟通这一情况,并合理安排控制测试的时间,留出提前量。例如,注册会计师 在基准日前3个月完成期中测试工作。此外,由于对企业层面控制的 评价结果将影响注册会计师测试其他控制的性质、时间安排和范围,注册会计师可以考虑在执行业务的早期阶段对企业层面控制进行测试。
(十二)控制测试的范围 注册会计师在测试控制的运行有效性时,应当在考虑与控制相关 的风险的基础上,确定测试的范围(样本规模)。注册会计师确定的测试范围,应当足以使其获取充分、适当的审 计证据,为基准日内部控制是否不存在重大缺陷提供合理保证。
1.测试人工控制的最小样本规模在测试人工控制时,如果采用检查或重新执行程序区间确定具体的样本规模;
(3)表 1 假设控制的运行偏差率预期为零。如果预期偏差率不 为零,注册会计师应当扩大样本规模;
(4)如果注册会计师不能确定控制运行频率,但是知道控制运 行总次数,仍可根据“控制运行总次数”一列确定测试的最小样本规 模。
2.测试自动化应用控制的最小样本规模 信息技术处理具有内在一贯性。在信息技术一般控制有效的前提 下,除非系统发生变动,注册会计师只要对自动化应用控制的运行测 试一次,即可得出所测试自动化应用控制是否运行有效的结论。
3.发现偏差时的处理 如果发现控制偏差,注册会计师应当确定其对下列事项的影响:
(1)与所测试控制相关的风险的评估;
(2)需要获取的审计证据;
(3)控制运行有效性的结论。评价控制偏差的影响需要注册会计师运用职业判断,并受到控制 的性质和所发现偏差数量的影响。如果发现的控制偏差是系统性偏差 或人为有意造成的偏差,注册会计师应当考虑舞弊的可能迹象以及对 审计方案的影响。在评价控制测试中发现的某项控制偏差是否为控制缺陷时,注册会计师可以考虑的因素包括:
(1)该偏差是如何被发现的。例如,如果某控制偏差是被另外 一项控制所发现的,则可能意味着被审计单位存在有效的发现性控 制。
(2)该偏差是与某一特定的地点、流程或应用系统相关,还是 对被审计单位有广泛影响。
(3)就被审计单位的内部政策而言,该控制出现偏差的严重程 度。例如,某项控制在执行上晚于被审计单位政策要求的时间,但仍 在编制财务报表之前得以执行,还是该项控制根本没有得以执行。
(4)与控制运行频率相比,偏差发生的频率大小。由于有效的内部控制不能为实现控制目标提供绝对保证,单项控 制并非一定要毫无偏差地运行,才被认为有效。在按照表 1 所列示的 样本规模进行测试的情况下,如果发现控制偏差,注册会计师应当考 虑偏差的原因及性质,并考虑采用扩大样本 量等适当的应对措施以判 断该偏差是否对总体不具有代表性。例如,对每日发生多次的控制,如果初始样本量为 25 个,当测试发现一项控制偏差,且该偏差不是 系统性偏差时,注册会计师可以扩大样本规模进行测试,所增加的样 本量至少为 15 个。如果测试后再次发现偏差,则注册会计师可以得 出该控制无效的结论。如果扩大样本量没有再次发现偏差,则注册会 计师可以得出控制有效的结论。
(十三)控制变更时的特殊考虑 在基准日之前,被审计单位可能为提高控制效率、效果或弥补控 制缺陷而改变控制。对内部控制审计而言,如果新控制实现了相关控制目标,且运行 了足够长的时间,使注册会计师能够通过对该控制进行测试评价其设 计和运行的有效性,则无需测试被取代的控制。对财务报表审计而言,如果被取代控制的运行有效性对控制风险 的评估有重大影响,注册会计师应当测试被取代控制的设计和运行的有效性。
(十四)利用他人的工作 注册会计师应当评估是否利用他人(包括被审计单位的内部审计 人员、内部控制评价人员和其他人员以及在管理层或治理层指导下的 第三方)的工作以及利用的程度,以减少可能本应由注册会计师执行 的工作。如果他人的工作能够提供有关内部控制有效性的审计证据,注册会计师可以利用其工作或者提供的直接帮助。注册会计师应当参照《中国注册会计师审计准则第 1411 号—— 利用内部审计人员的工作》的规定,评价他人的专业胜任能力和客观 性,以确定可利用的程度。在评价他人的专业胜任能力时,注册会计师应当考虑其专业资 格、专业经验与技能等相关因素。在评价他人的客观性时,注册会计 师应当考虑是否存在某些因素,将削弱或者增强其客观性。无论他人的专业胜任能力如何,注册会计师都不应利用客观程度 低的人员的工作。同样,无论他人的客观程度如何,注册会计师都不 应利用专业胜任能力低的人员的工作。被审计单位内部负责监督、稽核或合规工作的人员,如内部审计 人员,通常拥有较高的专业胜任能力和客观性。他们的工作可能对注 册会计师有用。注册会计师利用他人工作的程度还受到与所测试控制相关的风 险的影响。与某项控制相关的风险越高,注册会计师应当越多地亲自 对该项控制进行测试。在识别、了解和测试企业层面控制时,注册会计师不得利用他人 的工作。
(十五)对被审计单位使用服务机构的考虑 如果服务机构提供的服务和对服务的控制,构成被审计单位与财 务报告相关的信息系统(包括相关业务流程)的一部分,注册会计师 应当按照《中国注册会计师审计准则第 1241 号——对被审计单位使 用服务机构的考虑》的规定办理。注册会计师在对被审计单位内部控制的有效性发表意见时,不应 在内部控制审计报告中提及服务机构注册会计师的报告。
四、关于连续审计时的特殊考虑 在连续审计中,注册会计师在确定测试的性质、时间安排和范围 时,应当考虑以前执行内部控制审计所了解的情况。
(一)影响连续审计中与某项控制相关风险的因素 除本意见第三部分第(八)项“与控制相关的风险和拟获取的审 计证据之间的关系”所列因素外,下列因素也会影响连续审计中与某 项控制相关的风险:(1)以前审计中所实施程序的性质、时间安排和范围;
(2)以前对控制的测试结果以及以前发现的缺陷是否 得以整改;
(3)上次审计之后,控制或其运行所处的流程是否发生变化。在考虑本意见所列的风险因素,以及连续审计中可获取的进一步 信息后,如果认为与控制相关的风险水平比以前有所下降,注册 会计师在本审计中可以减少测试。
(二)对自动化应用控制实施与基准相比较的策略 在连续审计中,由于完全自动化的应用控制通常不会因人为失误 而失效,因此,注册会计师可以考虑对自动化应用控制实施与基准相比较的策略。与基准相比较的策略,是指如果认为程序变更、访问权限及计算 机操作方面的一般控制有效,且可持续对其进行测试,并能证实自动 化应用控制自最近一次测试之后未发生变化,则可将最近一次测试设 为基准,在以后测试时,注册会计师不必重复执行测试,只需将 该年的情况与基准相比较,就可以认为自动化应用控制是持续有效 的。注册会计师为证实控制未发生变化而需获取审计证据的性质和 范围,可能随情况的变化而变化。例如,被审计单位程序变更控制的 强弱将影响需获取审计证据的性质和范围。自动化应用控制能否一贯有效地运行可能取决于所使用的相关 文件、表格、数据和参数的正确性。例如,计算利息收入的自动化应 用控制,其运行的有效性可能取决于使用的利率表的正确性。注册会计师应当在评价下列风险因素的基础上,确定是否使用与 基准相比较的策略:
(1)应用控制与相关应用程序直接对应的程度;
(2)应用系统的稳定性,即各期间的变化大小;
(3)有关投入使用的程序编译日期的信息的可获得性和可靠性(该信息可作为此程序中的控制未发生变化的审计证据)。当上述因素表明风险较低时,对所评价的控制可能比较适合使用 与基准相比较的策略。反之,不宜使用与基准相比较的策略。但是基 础数据的准确性与完整性,以及依赖系统的人工控制部分不适用与基 准相比较的策略。在一段时期之后,注册会计师应当重新设臵自动化应用控制运行的基准。在确定何时重设基准时,注册会计师应当考虑下列因素:
(1)信息技术控制环境的有效性,包括针对应用及操作系统和 数据库系统的取得与维护、访问权限以及计算机操作而实施控制的有 效性;
(2)如果包含控制的具体程序发生变化,注册会计师对该变化 性质的了解;
(3)其他相关测试的性质和时间;
(4)相关应用控制发生错误导致的后果;
(5)控制是否易于受到其他可能变化的经营因素的影响。
(三)增加测试的不可预见性 为使对控制有效性的测试具有不可预见性并能够应对环境的变 化,注册会计师应当每年改变测试的性质、时间安排和范围。注册会计师可以每年在期中不同的时间测试控制,并增加或减少 所执行测试的数量和种类,或者改变所使用测试程序的组合。
五、关于集团审计的 特殊考虑
(一)识别重要账户、列报及其相关认定 在执行集团内部控制审计业务时,注册会计师应当基于集团财务 报表识别重要账户、列报及其相关认定。
(二)确定对组成部分执行的工作
1.一般原则 在执行集团内部控制审计业务时,注册会计师应当采用自上而下 的方法,合理运用职业判断,确定对组成部分执行的工作。注册会计师应当评估与组成部分相关的导致集团财务报表发生 重大错报的风险,并根据其风险程度给予相应的审计关注。在评估与某组成部分相关的导致集团财务报表发生重大错报的 风险时,注册会计师应当考虑的因素包括:
(1)以前执行的与该组成部分内部控制相关的审计工作的结果;
(2)影响该组成部分重要账户的固有风险;
(3)从财务数据角度看,该组成部分的相对重要程度;
(4)风险在各组成部分间的分布(即风险分布于数量众多的小 规模组成部分,还是分布于数量较少但规模较大的组成部分);
(5)组成部分之间业务经营和内部控制的类似程度;
(6)业务流程和财务报告系统的集中化程度;
(7)该组成部分执行交易及相关资产的性质和金额;
(8)该组成部分存在重大未确认义务的可能性;
(9)测试集团企业层面控制的结果,包括控制环境、集团对组 成部分实施的监控活动及在组成部分层面运行的企业层面控制的有 效性。
2.对重要组成部分执行的工作 注册会计师应当按照《中国注册会计师审计准则第 1401 号—— 对集团财务报表审计的特殊考虑》的规定,确定重要组成部分。重要 组成部分包括:
(1)对集团具有财务重大性的组成部分(以下简称具 有财务重大性的组成部分)
(2)由于其特定性质和情况,可能存在 ; 导致集团财务报表发生重大错报的特别风险的组成部分(以下简称具 有特别风险的组成部分)。注册会计师应当对重要组成部分的重要账 户、列报及其相关认定的内部控制实施测试。(1)对具有财务重大性的组成部分执行的工作 对于具有财务重大性的组成部分,除非通过实施下列测试工作能够获取有关控制有效性的充分、适当的审计证据,注册会计师应当测 试该组成部分内与重要账户、列报及其相关认定相关的业务流程、应 用系统或交易层面的内部控制的有效性: ①对整个集团企业层面控制和该组成部分企业层面控制(包括界 于组成部分和整个集团之间层次的其他企业层面控制,下同)的测试; ②对除该组成部分以外的其他组成部分相同账户、列报及其相关 认定的内部控制已实施的测试。
(2)对具有特别风险的组成部分执行的工作 对具有特别风险的组成部分,注册会计师应当测试针 对该项特别 风险的控制。3.对其他组成部分执行的工作 对于重要组成部分以外的其他组成部分,如果存在重要账户、列 报及其相关认定,注册会计师应当首先评价对整个集团企业层面控制 和该组成部分企业层面控制的测试以及针对重要组成部分相同的账 户、列报及其相关认定的内部控制已实施的测试能否提供充分、适当 的审计证据。如果不能提供充分、适当的审计证据,注册会计师应当 选择适当数量的其他组成部分,测试与该重要账户、列报及其相关认 定相关的业务流程、应用系统或交易层面的控制,直至能够获取充分、适当的审计证据为止。
六、关于控制缺陷评价
(一)控制缺陷的分类 内部控制存在的缺陷包括设计缺陷和运行缺陷。设计缺陷是指缺少为实现控制目标所必需的控制,或现有控制设 计不适当、即使正常运行也难以实现预期的控制目标。运行缺陷是指现存设计适当的控制没有按设计意图运行,或执行 人员没有获得必要授权或缺乏胜任能力,无法有效地实施内部控制。内部控制存在的缺陷,按其严重程度分为重大缺陷、重要缺陷和 一般缺陷。重大缺陷是内部控制中存在的、可能导致不能及时防止或发现并 纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。重要缺陷是内部控制中存在的、其严重程度不如重大缺陷但足以 引起负责监督被审计单位财务报告的人员(如审计委员会或类似机 构)关注的一项控制缺陷或多项控制缺陷的组合。一般缺陷是内部控制中存在的、除重大缺陷和重要缺陷之外的控 制缺陷。
(二)评价控制缺陷的严重程度 注册会计师应当评价其识别的各项控制缺陷的严重程度,以确定 这些缺陷单独或组合起来,是否构成内部控制的重大缺陷。但是,在 计划和实施审计工作时,不要求注册会计师寻找单独或组合起来不构 成重大缺陷的控制缺陷。控制缺陷的严重程度取决于:
(1)控制不能防止或发现并纠正账户或列报发生错报的可能性 的大小;
(2)因一项或多项控制缺陷导致的潜在错报的金额大小。控制缺陷的严重程度与错报是否发生无关,而取决于控制不能防 止或发现并纠正错报的可能性的大小。在评价一项控制缺陷或多项控制缺陷的组合是否可能导致账户 或列报发生错报时,注册会计师应当考虑的风险因素包括:
(1)所涉及的账户、列报及其相关认定的性质;
(2)相关资产或负债易于发生损失或舞弊的可能性;
(3)确定相关金额时所需判断的主观程度、复杂程度和范围;
(4)该项控制与其他控制的相互作用或关系;
(5)控制缺陷之间的相互作用;
(6)控制缺陷在未来可能产生的影响。评价控制缺陷是否可能导致错报时,注册会计师无需将错报发生 的概率量化为某特定的百分比或区间。如果多项控制缺陷影响财务报表的同一账户或列报,错报发生的 概率会增加。在存在多项控制缺陷时,即使这些缺陷从单项看不重要,但组合起来也可能构成重大缺陷。因此,注册会计师应当确定,对同 一重要账户、列报及其相关认定或内部控制要素产 生影响的各项控制 缺陷,组合起来是否构成重大缺陷。在评价因一项或多项控制缺陷导致的潜在错报的金额大小时,注 册会计师应当考虑的因素包括:
(1)受控制缺陷影响的财务报表金额或交易总额;
(2)在本期或预计的未来期间受控制缺陷影响的账户余额或各 类交易涉及的交易量。在评价潜在错报的金额大小时,账户余额或交易总额的最大多报 金额通常是已记录的金额,但其最大少报金额可能超过已记录的金 额。通常,小金额错报比大金额错报发生的概率更高。在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷 时,注册会计师应当评价补偿性控制的影响。在评价补偿性控制是否 能够弥补控制缺陷时,注册会计师应当考虑补偿性控制是否有足够的精确度以防止或发现并纠正可能发生的重大错报。
(三)表明可能存在重大缺陷的迹象 如果注册会计师确定发现的一项控制缺陷或多项控制缺陷的组 合将导致审慎的管理人员在执行工作时,认为自身无法合理保证按照 适用的财务报告编制基础记录交易,应当将这一项控制缺陷或多项控 制缺陷的组合视为存在重大缺陷的迹象。下列迹象可能表明内部控制 存在重大缺陷:
(1)注册会计师发现董事、监事和高级管理人员的任何舞弊;
(2)被审计单位重述以前公布的财务报表,以更正由于舞弊或 错误导致的重大错报;
(3)注册会计师发现当期财务报表存在重大错报,而被审计单 位内部控制在运行过程中未能发现该错报;
(4)审计委员会和内部审计机构对内部控制的监督无效。
(四)被审计单位对存在缺陷的控制进行整改 如果被审计单位在基准日前对存在缺陷的控制进行了整改,整改 后的控制需要运行足够长的时间,才能使注册会计师得出其是否有效 的审计结论。注册会计师应当根据控制的性质和与控制相关的风险,合理运用职业判断,确定整改后控制运行的最短期间(或整改后控制 的最少运行次数)以及最少测试数量。整改后控制运行的最短期间(或 最少运行次数)和最少测试数量参见表 2。
七、关于完成审计工作
(一)形成审计意见 注册会计师应当评价从各种来源获取的审计证据,包括对控制的 测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷,形成对内部控制有效性的意见。在评价审计证据时,注册会计师应当 查阅本涉及内部控制的内部审计报告或类似报告,并评价这些报 告中指出的控制缺陷。在对内部控制的有效性形成意见后,注册会计师应当评价企业内 部控制评价报告对相关法律法规规定的要素的列报是否完整和恰当。
(二)获取书面声明 注册会计师应当获取经被审计单位签署的书面声明。书面声明的 内容应当包括:(1)被审计单位董事会认可其对建立健全和有效实施内部控制 负责;(2)被审计单位已对内部 控制进行了评价,并编制了内部控制 评价报告;(3)被审计单位没有利用注册会计师在内部控制审计和财务报 表审计中执行的程序及其结果作为评价的基础;(4)被审计单位根据内部控制标准评价内部控制有效性得出的 结论;(5)被审计单位已向注册会计师披露识别出的所有内部控制缺 陷,并单独披露其中的重大缺陷和重要缺陷;(6)被审计单位已向注册会计师披露导致财务报表发生重大错 报的所有舞弊,以及其他不会导致财务报表发生重大错报,但涉及管 理层、治理层和其他在内部控制中具有重要作用的员工的所有舞弊;(7)注册会计师在以前审计中识别出的且已与被审计单位 沟通的重大缺陷和重要缺陷是否已经得到解决,以及哪些缺陷尚未得 到解决;(8)在基准日后,内部控制是否发生变化,或者是否存在对内 部控制产生重要影响的其他因素,包括被审计单位针对重大缺陷和重 要缺陷采取的所有纠正措施。如果被审计单位拒绝提供或以其他不当理由回避书面声明,注册 会计师应当将其视为审计范围受到限制,解除业务约定或出具无法表 示意见的内部控制审计报告。此外,注册会计师应当评价拒绝提供书 面声明这一情况对其他声明(包括在财务报表审计中获取的声明)的 可靠性的影响。注册会计师应当按照《中国注册会计师审计准则第 1341 号—— 书面声明》的规定,确定声明书的签署者、涵盖的期间以及何时获取 更新的声明书等。
(三)沟通相关事项 对于重大缺陷和重要缺陷,注册会计师应当以书面形式与管理层 和治理层沟通。书面沟通应当在注册会计师出具内部控制审计报告之前进行。注册会计师应当以书面形式与管理层沟通其在审计过程中识别 的所有其他内部控制缺陷,并在沟通完成后告知治理层。在进行沟通 时,注册会计师无需重复自身、内部审计人员或被审计单位其他人员 以前书面沟通过的控制缺陷。虽然并不要求注册会计师执行足以识别所有控制缺陷的程序,但 是,注册会计师应当沟通其注意到的内部控制的所有缺陷。内部控制 审计不能保证注册会计师能够发现严重程度低于重大缺陷的所有控 制缺陷。注册会计师不应在内部控制审计报告中声明,在审计过程中 没有发现严重程度低于重大缺陷的控制缺陷。如果发现被审计单位存在或可能存在舞弊或违反法规行为,注册 会计师应当按照《中国注册会计师审计准则第 1141 号——财务报表 审计中与舞弊相关的责任》 《中国注册会计师审计准则第 1142 号、——财务报表审计中对法律法规的考虑》的规定,确定并履行自身的 责任。
八、关于内部控制审计报告 注册会计师在完成内部控制审计和财务报表审计后,应当分别对 内部控制和财务报表出具审计报告,并签署相同的日期。
(一)出具无保留意见内部控制审计报告的条件 如果符合下列所有条件,注册会计师应当对内部控制出具无保留 意见的内部控制审计报告:
(1)在基准日,被审计单位按照适用的内部控制标准的要求,在所有重大方面保持了有效的内部控制;
(2)注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作,在审计过程中未受到限制。
(二)内部控制存在重大缺陷时的处理 如果认为内部控制存在一项或多项重大缺陷,除非审计范 围受到 限制,注册会计师应当对内部控制发表否定意见。否定意见的内部控 制审计报告还应当包括重大缺陷的定义、重大缺陷的性质及其对内部 控制的影响程度。如果重大缺陷尚未包含在企业内部控制评价报告中,注册会计师 应当在内部控制审计报告中说明重大缺陷已经识别、但没有包含在企 业内部控制评价报告中。如果企业内部控制评价报告中包含了重大缺 陷,但注册会计师认为这些重大缺陷未在所有重大方面得到公允反 映,注册会计师应当在内部控制审计报告中说明这一结论,并公允表 达有关重大缺陷的必要信息。此外,注册会计师还应当就这些情况以 书面形式与治理层沟通。如果对内部控制的有效性发表否定意见,注册会计师应当确定该 意见对财务报表审计意见的影响,并在内部控制审计报告中予以说 明。
(三)审计范围受到限制时的处理 注册会计师只有实施了必要的审计程序,才能对内部控制的有效 性发表意见。如果审计范围受到限制,注册会计师应当解除业务约定 或出具无法表示意见的内部控制审计报告。如果法律法规的相关豁免规定允许被审计单位不将某些实体纳 入内部控制的评价范围,注册会计师可以不将这些实体纳入内部控制审计的范围。这种情况不构成审计范围受到限制,但注册会计师应当 在内部控制审计报告中增加强调事项段或者在注册会计师的责任段 中,就这些实体未被纳入评价范围和内部控制审计范围这一情况,作 出与被审计单位类似的恰当陈述。注册会计师应当评价相关豁免是否 符合法律法规的规定,以及被审计单位针对该项豁免作出的陈述是否 恰当。如果认为被审计单位有关该项豁免的陈述不恰当,注册会计师 应当提请其作出适当修改。如果被审计单位未作出适当修改,注册会 计师应当在内部控制审计报告的强调事项段中说明被审计单位的陈 述需要修改的理由。在出具无法表示意见的内部控制审计报告时,注册会计师应当在 内部控制审计报告中指明审计范围受到限制,无法对内部控制的有效 性发表意见,并单设段落说明无法表示意见的实质性理由。注册会计 师不应在内部控制审计报告中指明所执行的程序,也不应描述内部控 制审计的特征,以避免报告使用者对无法表示意见的误解。如果在已 执行的有限程序中发现内部控制存在重大缺陷,注册会计师应当在内 部控制审计报告中对重大缺陷做出详细说明。只要认为审计范围受到限制将导致无法获取发表审计意见所需 的充分、适当的审计证据,注册会计师不必执行任何其他工作即可对 内部控制出具无法表示意见的内部控制审计报告。在这种情况下,内 部控制审计报告的日期应为注册会计师已就该报告中陈述的内容获 取充分、适当的审计证据的日期。在因审计范围受到限制而无法表示意见时,注册会计师应当就未能完成整个内部控制审计工作的情况,以书面形式与管理层和治理层 沟通。
(四)强调事项 如果认为内部控制虽然不存在重大缺陷,但仍有一项或多项重大 事项需要提请内部控制审计报告使用者注意,注册会计师应当在内部 控制审计报告中增加强调事项段予以说明。注册会计师应当在强调事 项段中指明,该段内容仅用于提醒内部控制审计报告使用者关注,并 不影响对内部控制发表的审计意见。如果确定企业内部控制评价报告对要素的列报不完整或不恰当,注册会计师应当在内部控制审计报告中增加强调事项段,说明这一情 况并解释得出该结论的理由。
(五)期后事项 在基准日后至审计报告日前(以下简称期后期间),内部控制可 能发生变化,或出现其他可能对内部控制产生重要影响的因素。注册 会计师应当询问是否存在这类变化或因素,并获取被审计单位关于这 类变化或因素的书面声明。注册会计师应当针对期后期间,询问并检查下列信息:(1)在期后期间出具的内部审计报告或类似报告;(2)其他注册会计师出具的涉及被审计单位内部控制缺陷的报 告;(3)监管机构发布的涉及被审计单位内部控制的报告;(4)注册会计师在执行其他业务中获取的、有关被审计单位内部控制有效性的信息。此外,注册会计师还应当考虑获取期后期间的其他文件,并按照 《中国注册会计师审计准则第 1332 号——期后事项》的规定,对其 进行检查。如果知悉对基准日内部控制有效性有重大负面影响的期后事项,注册会计师应当对内部控制发表否定意见。如果注册会计师不能确定 期后事项对内部控制有效性的影响程度,应当出具无法表示意见的内 部控制审计报告。如果管理层在评价报告中披露了基准日之后采取的整改措施,注 册会计师应当在内部控制审计报告中指明不对这些信息发表意见。注册会计师可能知悉在基准日并不存在、但在期后期间发生的事 项。如果这类期后事项对内部控制有重大影响,注册会计师应当在内 部控制审计报告中增加强调事项段,描述该事项及其影响,或提醒内 部控制审计报告使用者关注企业内部控制评价报告中披露的该事项 及其影响。在出具内部控制审计报告后,如果知悉在审计报告日已存在的、可能对审计意见产生影响的情况,注册会计师应当按照《中国注册会 计师审计准则第 1332 号——期后事项》第四章第二节和第三节的规 定办理。如果被审计单位更正以前公布的财务报表,注册会计师应当 按照《中国注册会计师审计准则第 1332 号——期后事项》第四章第 三节的规定重新考虑以前发表的内部控制审计意见的适当性。
(六)其他信息 如果企业内部控制评价报告中除包括法定要求的信息外,还包括其他信息,且该报告的使用者有理由认为该报告包括这些其他信息,注册会计师应当在内部控制审计报告中指明不对这些其他信息发表 意见。如果认为其他信息含有对事实的重大错报,注册会计师应当就此 与管理层进行讨论。如果讨论后仍认为存在对事实的重大错报,注册 会计师应当以书面形式将其看法告知管理层和治理层。如果其他信息未包含在企业内部控制评价报告中,而是包含在年 度财务报告中,注册会计师无需在内部控制审计报告中指明不对其发 表意见。但是,如果注册会计师认为其他信息中存在对事实的重大错 报,应当按照上述要求办理。
九、关于整合审计的进一步考虑
(一)总体要求 在整合审计中,注册会计师应当计划和实施对控制设计和运行有 效性的测试,以同时实现下列目标:(1)获取充分、适当的审计证据,支持其在内部控制审计中对 内部控制的有效性发表的意见;(2)获取充分、适当的审计证据,支持其在财务报表审计中对 内部控制的拟信赖程度(即评估的控制风险)。
(二)审计证据和结论的相互参照 在内部控制审计中,注册会计师在对内部控制有效性形成结论 时,应当同时考虑财务报表审计中实施的、所有针对控制设计和运行 有效性测试的结果。在财务报表审计中,注册会计师在评估控制风险时,应当同时考虑内部控制审计中实施的、所有针对控制设计和运行有效性测试的结 果。如果在内部控制审计中识别出某项控制缺陷,注册会计师应当评 价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时间安排 和范围的影响。在财务报表审计中,无论控制风险或重大错报风险的评估水平如 何,注册会计师都应当针对所有重大类别的交易、账户余额和披露实 施实质性程序。为对内部控制的有效性发表意见而实施的测试程序并 不减轻该项要求。在内部控制审计中,注册会计师应当评价财务报表审计中实施的 实质性程序的结果对控制有效性结论的影响。评价内容应当包括:(1)注册会计师作出的、与选择和实施实质性程序相关(尤其 是与舞弊相关)的风险评估;(2)发现的违反法规行为和关联方交易方面的问题;(3)表明管理层在选择会计政策和作出会计估计时存在偏见的 情况;(4)实施实质性程序发现的错报。注册会计师应当通过直接测试控制获取控制是否有效的审计证 据,而不能根据实质性程序没有发现错报,推断该项控制的有效性。
十、关于项目质量控制复核 会计师事务所应当制定政策和程序,要求对上市实体和符合特定 标准的其他实体的内部控制审计业务实施项目质量控制复核。
(一)项目质量控制复核的时间 会计师事务所的政策和程序应当要求在出具内部控制审计报告前完成项目质量控制复核。
(二)项目质量控制复核人员 会计师事务所应当制定政策和程序,解决项目质量控制复核人员 的委派问题,明确项目质量控制复核人员的资格要求,包括:(1)履行职责需要的技术资格,包括精通内部控制审计业务并 具备必要的经验和权限;(2)在不损害其客观性的前提下,项目质量控制复核人员能够 提供业务咨询的程度。同时,会计师事务所应当制定政策和程序,以使项目质量控制复 核人员保持客观性。这些政策和程序要求项目质量控制复核人员符合 下列规定:(1)不由项目合伙人挑选;(2)在复核期间不以其他方式参与该业务;(3)不代替项目组进行决策;(4)不存在可能损害复核人员客观性的其他情形。
(三)项目质量控制复核的内容 项目质量控制复核人员应当客观地评价项目组作出的重大判断 以及在编制内部控制审计报告时得出的结论。评价工作应当涉及下列 内容:(1)与项目合伙人讨论重大事项;(2)复核拟出具的内部控制审计报告;(3)复核选取的与项目组作出的重大判断和得出的结论相关的 审计工作底稿;(4)评价在编制内部控制审计报告时得出的结论,并考虑拟出具内部控制审计报告的恰当性。对于上市实体内部控制审计,项目质量控制复核人员还应当考虑 下列事项:(1)项目组就具体业务对会计师事务所独立性作出的评价;(2)项目组是否已就涉及意见分歧的事项,或者其他疑难问题 或争议事项进行适当咨询,以及咨询得出的结论;(3)选取的用于复核的审计工作底稿,是否反映项目组针对重 大判断执行的工作,以及是否支持得出的结论。
十一、关于记录审计工作 注册会计师应当在审计工作底稿中清楚地显示内部控制审计的 过程和结 果。注册会计师应当就下列内容形成审计工作记录:(1)制定的内部控制总体审计策略和具体审计计划及重大修改 情况;(2)对企业层面控制的识别、了解和测试;(3)确定重要账户、列报及其相关认定的过程,包括对拟测试 组成部分的确定;(4)选择拟测试控制的主要过程及结果;(5)测试控制设计和运行有效性的程序及结果;(6)利用他人工作的程度,以及对他人胜任能力和客观性的评 估;(7)对识别的控制缺陷的评价;(8)可能导致出具非标准内部控制审计报告的其他审计发现;(9)形成的审计结论和意见;(10)其他重要事项。
第四篇:中国石化内控审计评价指引
中国石化审〔2015〕678号
中国石化内部控制审计评价业务规范指引
1基本要求
1.1中国石油化工集团公司、中国石油化工股份有限公司(以下统称中国石化)及各企事业单位、股份公司各分(子)公司(以下统称企业)审计部门应按照内部管理及相关监管要求,检查评价中国石化及企业内部控制设计和运行的有效性。
1.2企业审计部门可根据本单位内部控制及其审计评价的实际情况,制定本单位的内部控制审计评价规范,确保内控审计评价的程序规范、内容完整、方法科学、结论恰当,确保内控审计评价项目质量。1.3审计部门开展内控审计评价项目,执行《中国石化审计项目业务流程》中规定的一般审计项目适用流程。
2审计部门职责
2.1审计局负责组织制定和修订内部控制审计评价业务规范指引,指导并监督审计分局按照本规范指引和企业审计部门按照本规范指引或本单位相关规范开展内控审计评价项目。
2.2审计分局和企业审计部门负责内部控制审计评价业务规范指引的贯彻落实,按照相关要求开展内部控制审计评价工作,提出修改完善的意见和建议。
3审计评价程序及内容、方法
3.1审前准备中国石化及企业的审计项目计划确定后,各级审计部门按照计划组织开展内控审计评价项目。3.1.1审计部门按照规定程序成立审计组,确定审计组长和主审。审计组长应符合《中国石化审计项目组长负责制管理办法》中要求的任职资格条件。
3.1.2审计组长组织制定审计实施方案前应认真做好审前准备工作。需要开展审前调查的,应当开展审前调查,并尽可能组织采取远程调查的方式。
3.1.2.1审前调查的内容主要包括:
(1)了解被审计企业公司层面控制情况,包括主要经营管理者的风险偏好、内部环境、风险管理组织体系、信息与沟通以及内部监督架构等。
(2)了解被审计企业内控制度建设情况,包括内部控制实施细则和内部管理制度的制定、修订及内控管理信息系统线上维护情况。
(3)了解被审计企业业务流程适用情况和审计区间内主要业务的发生情况以及业务流程控制点的执行情况等。
(4)了解被审计企业信息系统建设及维护情况,主要包括ERP系统、资金集中管理系统、会计集中核算系统等应用系统的实施与管理情况。
(5)了解被审计企业近年来内审外查发现的问题和问题形成的原因以及整改情况,分析掌握内部控制方面存在的问题及薄弱环节。3.1.2.2为确保审前调查取得良好效果,审计组在有效采用访谈、询问、查阅、测试等方法的同时,还可运用问卷调查等方法。
3.1.2.3审计组在收集整理和综合分析上述情况资料的基础上,应对企业公司层面控制的各项内容、内控制度的健全性、重要业务流程执行的有效性以及信息系统的安全性作出初步判断和评价,并结合企业风险清单,初步识别和评估被审计企业内部控制方面所面临的主要风险和风险的主要方面。
3.1.3审计组应依据审前准备或调查得出的初步判断和评价结论,对照《内部控制综合审计评价方案》的要求,规范编制操作性强的审计实施方案。审计实施方案应明确下列内容:
3.1.3.1审计评价目的。促进企业规范经营管理行为、防范经营管理风险、实现控制目标。3.1.3.2审计评价依据。依据国家《企业内部控制基本规范》及其配套指引、总部下发的《企业内控手册》和《内控审计评价业务规范指引、《企业内控实施细则》等。
3.1.3.3审计评价对象及范围。被审计企业公司层面控制、主要业务流程、资产或收入所占比重较大的单位,特别是内控问题多、风险大的单位、业务领域和控制环节。
3.1.3.4审计评价内容及重点。根据审前调查掌握的线索和风险评估初步结果,具体明确审计检查的重点内容和方向。
(1)公司层面控制。应将被审计企业在内部环境、风险评估、信息与沟通以及内部监督等方面存在控制基础薄弱、管控措施不落实以及发生较多或重大案件问题的领域列为审计重点。
(2)业务层面控制。应将被审计企业主要业务流程和高风险的业务以及管控问题较多的业务列为审计重点,加强监督检查。对于IT应用控制点的审计,应将权限及职责分离类控制方面用户权限是否与其工作职责相符、不相容岗位是否有效分离,配臵及业务操作类控制方面系统配臵是否符合控制要求、系统功能是否得到有效执行、业务操作是否准确、及时、合规等列为审计重点。(3)内部控制缺陷的认定。应根据审计检查结果,对照中国石化内部控制手册中的内控缺陷(重大缺陷、重要缺陷和一般缺陷)认定标准,区分财务报告内控缺陷和非财务报告内控缺陷,对缺陷等级予以正确区分和认定。
(4)内部控制总体评价。依据审计检查结果和缺陷认定情况对被审计企业内部控制作出总体评价,凡未发现存在重大缺陷的,审计评价结论应认定为“总体有效”;凡发现存在重大缺陷的,审计评价结论应认定为“无效”。另外,审计组还应根据内部控制检查结果计算公司层面和业务层面控制设计及执行总体有效率。
3.1.3.5审计评价方法。对内部控制进行检查评价,应借助信息化审计手段,主要采取随机和判断抽样,实施符合性测试和实质性检查的方法。同时,根据实际情况和需要,可运用查阅、专题讨论、个别访谈、问卷调查、对比分析、实地查验等方法。3.1.3.6审计分工及时间安排。审计组长应根据审计组人员情况,合理进行审计分工,并对总体审计评价工作的时间作出统筹安排。3.1.3.7被审计企业需提供的资料。明确被审计企业应准备的内部控制审计评价所需的相关资料。
3.1.4下达审计通知书。审计通知书由主审按规定程序填写、上报审核和办理签发手续。与其他审计项目一并开展的内控审计评价项目,可合并下达审计通知书。
3.1.5审计组长在正式进驻被审计企业前,应组织审前培训。培训主要内容包括:学习和讲解公司及企业相关内部控制制度;介绍被审计企业经营管理情况和内控基本情况;讲解审计的目的、依据、范围和重点内容,审前准备或调查对企业内部控制健全性及执行有效性的初步评价结论,以及审计具体分工、审计方法和工作要求等。3.2审计实施
3.2.1进驻时应召开审计进点动员会,进点会上要向被审计企业讲清审计的目的、依据、范围和内容、重点和方法、时间安排和要求、审计工作及廉政纪律等。与其他审计项目一并开展的内控审计项目,可合并召开进点会。
3.2.2审计进点会召开后,审计组长及主审可围绕被审计企业公司层面控制、业务层面控制可能存在漏洞或内控缺陷的领域及相应的控制措施,与被审计企业领导班子成员以及有关部门、所属单位负责人等开展针对性访谈,并根据访谈结果组织实施相应的审计检查程序。3.2.3审计人员运用审阅、复核、对比分析等审计程序,对控制环境和相关财务及业务数据的变化情况进行符合性和分析性检查,并根据检查整体情况对审计方向和重点适时作出合理调整。
3.2.4实施审计抽样,开展符合性测试和实质性检查。依据审计实施方案确定和调整的审计方向及重点,审计人员应采用判断抽样和随机抽样相结合的审计方法予以符合性测试和实质性检查。审计抽样的主要步骤包括:
3.2.4.1确定样本量。一般按照业务发生的频率并参照国际通行的抽样矩阵确定抽样数量,即对业务每年发生一次的,抽1笔;每年一次以上至每月一次的,至少抽2笔;每月一次以上至每周一次的,至少抽5笔;每周一次以上至每天一次的,至少抽15笔;每天多次的,至少抽25笔。
3.2.4.2抽取样本。确定样本数量后,审计人员应根据所检查业务流程的经济业务特性和样本分布情况,按审计抽样的相关规定选择合适的样本。
3.2.4.3在实施审计抽样时,还应考虑以下因素:
(1)应侧重抽取发生业务的重要下属单位和异常业务发生单位的样本。
(2)应侧重抽取主要的供应商及客户等重要业务发生对象和异常业务发生对象的样本。
(3)应侧重抽取年初、年末或半年末、季度末的样本。
(4)应侧重抽取金额较大和金额异常的样本。
(5)应侧重抽取某些特定或非正常事项的样本,如销售及成本费用红字冲销、大额修理费用暂估、ERP上线企业手工结转成本、预算外支出等事项。
3.2.4.4对于检查发现存在缺陷或问题较多的业务(或控制点),审计人员应主要运用判断抽样的方法适当增加样本量,并对存在问题或缺陷的关键控制点进行实质性检查。
3.2.5 IT应用控制点的检查。IT应用控制点中,权限及职责分离类控制要求的检查,由BASIS人员和审计人员共同完成;配臵及业务操作类控制要求的检查,由审计人员与企业关键用户共同完成。3.2.6控制点的审计评价。审计人员应对所检查公司层面和业务层面控制点设计及执行的有效性进行客观评价。
3.2.6.1评价设计有效性。应以风险为导向,以总部下发的企业内控手册为标准,结合内部控制五大控制目标和成本效益原则,对内控设计的有效性作出恰当评价。对于判断设计无效的控制点,应说明依据和理由以及造成的实际影响等。
3.2.6.2评价执行有效性。评价内控执行的有效性,主要依据控制措施是否得到有效执行、是否实现了控制目标作出评价。具体评价因素包括:
(1)相关控制是否得到持续一致的运行。
(2)各控制环节是否由适当的人员执行。
(3)是否在适当的时间被执行。
(4)执行方式是否恰当。
(5)执行结果是否进行了适当的记录。
(6)执行时发现的差异是否及时得到了跟进。
3.2.7填写审计评价底稿。审计人员按要求检查完毕并收集完证据后,应严格按照内控审计评价底稿模板的要求,如实规范填写检查底稿。对于检查结论为“无效”的控制点,应详细记录问题样本,描述具体问题、产生的原因、所涉及的风险、整改意见及建议,构成缺陷的还应描述所涉及的具体缺陷,并留存有关证据材料。对于内控审计发现的重大、重要缺陷和造成重要影响或较大损失的一般缺陷,必须落实责任。
3.2.8内控审计评价底稿编制完成并经相关人员复核后,审计组应与被审计企业交换意见,交由相关流程责任部门负责人签字并加盖单位(或部门)公章。同时收回《审计人员廉洁纪律执行情况意见反馈表》。
3.2.9审计工作要求。
3.2.9.1审计组长和主审应加强业务指导和质量控制,合理掌控审计进度,积极引导审计人员深入查找问题、严格落实责任,及时召开审计组碰头会,准确把握审计方向,研究解决审计中发现的问题或难题;审计人员应按照审计实施方案的分工安排,各司其职,相互配合,以问题和风险为导向,积极主动并创造性地开展内控审计工作,确保审计程序到位。
3.2.9.2在审计查证过程中,审计组应积极利用内外部审计以及其他监督机构的成果,对审计区间内发生且截至审计日仍未整改或虽已整改、但造成重大外部影响的问题,经审计组长认定后可作为评价内部控制和认定缺陷的依据。
3.2.9.3审计组实施现场审计过程中,应加强与被审计企业的信息沟通与交流。对审计发现的问题,应与被审计企业及时沟通,深入剖析问题产生的原因及可能引起的风险,督促制定整改措施。3.3审计终结
3.3.1内控审计评价底稿签字确认后,审计组长应指定主审起草内控审计评价报告。报告应具备标题、正文、报告日期等要素,具体格式参见内部控制审计评价报告模板。
3.3.2内控审计评价报告撰写完成后,审计组长应组织审计人员进行认真讨论和修改,形成内控审计评价报告初稿,以审计组名义与被审计企业初步交换意见并进行现场讲评。
3.3.3审计报告的审理、签发与送达。审计组根据反馈意见和查证的事实对审计报告进行修改完善,相关责任人在审计报告封面背书签字后,连同审计评价底稿等资料一并按规定程序和时间要求报送审理。审计报告经审计部门负责人审阅后签发。审计报告主送被审计企业,抄送内控管理等相关部门和审计实施机构。
3.3.4审计决定的下达。对审计发现的涉及会计账目调整、资金追缴等需要纠正的事项和严重违纪违规的行为,应下达审计处理决定。主审起草审计决定书,按规定程序和时间要求报送审理。审计决定书经审计部门负责人审阅后签发。审计决定书主送被审计企业,抄送内控管理等相关部门和审计实施机构。
3.3.5审计组长和主审以及审计机构应跟踪内控审计评价报告和审计决定书中审计意见及建议的落实情况,督促被审计企业按规定日期报送审计问题整改相关资料,并可根据需要组织实施后续审计。3.3.6内控审计评价项目结束后,主审和审理人员应及时组织做好资料的收集、整理和立卷归档工作,并按照规定做好审计档案的保管和移交工作。
4监督与考核
4.1本规范指引是审计部门开展内控审计评价工作的遵循,是审理和考核内控审计项目的主要依据。
4.2审计部门应依据本规范指引严格审理内控审计评价项目,并加强对审计实施机构、审计组长、主审以及审计人员的监督和考核。4.3审计局负责对总部组织开展的内控审计评价项目进行监督考核,并通过审计工作督导等方式对企业审计部门开展的内控审计评价项目进行监督和指导。
4.4审计组及审计人员违反本规范指引导致内控审计评价项目出现质量问题,按照《中国石化审计项目质量考核评估办法》等规定进行处理。
第五篇:企业内部控制审计指引实施意见发布三
企业内部控制审计指引实施意见发布(附全文)
(三)2011年10月19日 15:22 来源: 作者: 字号
打印 纠错 分享 推荐 浏览量
中国注册会计师协会
六、关于控制缺陷评价
(一)控制缺陷的分类
内部控制存在的缺陷包括设计缺陷和运行缺陷。
设计缺陷是指缺少为实现控制目标所必需的控制,或现有控制设计不适当、即使正常运行也难以实现预期的控制目标。
运行缺陷是指现存设计适当的控制没有按设计意图运行,或执行人员没有获得必要授权或缺乏胜任能力,无法有效地实施内部控制。
内部控制存在的缺陷,按其严重程度分为重大缺陷、重要缺陷和一般缺陷。重大缺陷是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。
重要缺陷是内部控制中存在的、其严重程度不如重大缺陷但足以引起负责监督被审计单位财务报告的人员(如审计委员会或类似机构)关注的一项控制缺陷或多项控制缺陷的组合。
一般缺陷是内部控制中存在的、除重大缺陷和重要缺陷之外的控制缺陷。
(二)评价控制缺陷的严重程度
注册会计师应当评价其识别的各项控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成内部控制的重大缺陷。但是,在计划和实施审计工作时,不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。
控制缺陷的严重程度取决于:
(1)控制不能防止或发现并纠正账户或列报发生错报的可能性的大小;(2)因一项或多项控制缺陷导致的潜在错报的金额大小。
控制缺陷的严重程度与错报是否发生无关,而取决于控制不能防止或发现并纠正错报的可能性的大小。在评价一项控制缺陷或多项控制缺陷的组合是否可能导致账户或列报发生错报时,注册会计师应当考虑的风险因素包括:
(1)所涉及的账户、列报及其相关认定的性质;(2)相关资产或负债易于发生损失或舞弊的可能性;
(3)确定相关金额时所需判断的主观程度、复杂程度和范围;(4)该项控制与其他控制的相互作用或关系;(5)控制缺陷之间的相互作用;(6)控制缺陷在未来可能产生的影响。
评价控制缺陷是否可能导致错报时,注册会计师无需将错报发生的概率量化为某特定的百分比或区间。
如果多项控制缺陷影响财务报表的同一账户或列报,错报发生的概率会增加。在存在多项控制缺陷时,即使这些缺陷从单项看不重要,但组合起来也可能构成重大缺陷。因此,注册会计师应当确定,对同一重要账户、列报及其相关认定或内部控制要素产生影响的各项控制缺陷,组合起来是否构成重大缺陷。在评价因一项或多项控制缺陷导致的潜在错报的金额大小时,注册会计师应当考虑的因素包括:
(1)受控制缺陷影响的财务报表金额或交易总额;
(2)在本期或预计的未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量。
在评价潜在错报的金额大小时,账户余额或交易总额的最大多报金额通常是已记录的金额,但其最大少报金额可能超过已记录的金额。通常,小金额错报比大金额错报发生的概率更高。
在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时,注册会计师应当评价补偿性控制的影响。在评价补偿性控制是否能够弥补控制缺陷时,注册会计师应当考虑补偿性控制是否有足够的精确度以防止或发现并纠正可能发生的重大错报。
(三)表明可能存在重大缺陷的迹象
如果注册会计师确定发现的一项控制缺陷或多项控制缺陷的组合将导致审慎的管理人员在执行工作时,认为自身无法合理保证按照适用的财务报告编制基础记录交易,应当将这一项控制缺陷或多项控制缺陷的组合视为存在重大缺陷的迹象。下列迹象可能表明内部控制存在重大缺陷:(1)注册会计师发现董事、监事和高级管理人员的任何舞弊;
(2)被审计单位重述以前公布的财务报表,以更正由于舞弊或错误导致的重大错报;
(3)注册会计师发现当期财务报表存在重大错报,而被审计单位内部控制在运行过程中未能发现该错报;
(4)审计委员会和内部审计机构对内部控制的监督无效。
(四)被审计单位对存在缺陷的控制进行整改
如果被审计单位在基准日前对存在缺陷的控制进行了整改,整改后的控制需要运行足够长的时间,才能使注册会计师得出其是否有效的审计结论。注册会计师应当根据控制的性质和与控制相关的风险,合理运用职业判断,确定整改后控制运行的最短期间(或整改后控制的最少运行次数)以及最少测试数量。整改后控制运行的最短期间(或最少运行次数)和最少测试数量参见表2.如果被审计单位在基准日前对存在重大缺陷的内部控制进行了整改,但新控制尚没有运行足够长的时间,注册会计师应当将其视为内部控制在基准日存在重大缺陷。
七、关于完成审计工作
(一)形成审计意见
注册会计师应当评价从各种来源获取的审计证据,包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷,形成对内部控制有效性的意见。在评价审计证据时,注册会计师应当查阅本涉及内部控制的内部审计报告或类似报告,并评价这些报告中指出的控制缺陷。
在对内部控制的有效性形成意见后,注册会计师应当评价企业内部控制评价报告对相关法律法规规定的要素的列报是否完整和恰当。
(二)获取书面声明
注册会计师应当获取经被审计单位签署的书面声明。书面声明的内容应当包括:
(1)被审计单位董事会认可其对建立健全和有效实施内部控制负责;(2)被审计单位已对内部控制进行了评价,并编制了内部控制评价报告;(3)被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作为评价的基础;
(4)被审计单位根据内部控制标准评价内部控制有效性得出的结论;(5)被审计单位已向注册会计师披露识别出的所有内部控制缺陷,并单独披露其中的重大缺陷和重要缺陷;
(6)被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞弊,以及其他不会导致财务报表发生重大错报,但涉及管理层、治理层和其他在内部控制中具有重要作用的员工的所有舞弊;
(7)注册会计师在以前审计中识别出的且已与被审计单位沟通的重大缺陷和重要缺陷是否已经得到解决,以及哪些缺陷尚未得到解决;
(8)在基准日后,内部控制是否发生变化,或者是否存在对内部控制产生重要影响的其他因素,包括被审计单位针对重大缺陷和重要缺陷采取的所有纠正措施。
如果被审计单位拒绝提供或以其他不当理由回避书面声明,注册会计师应当将其视为审计范围受到限制,解除业务约定或出具无法表示意见的内部控制审计报告。此外,注册会计师应当评价拒绝提供书面声明这一情况对其他声明(包括在财务报表审计中获取的声明)的可靠性的影响。
注册会计师应当按照《中国注册会计师审计准则第1341号——书面声明》的规定,确定声明书的签署者、涵盖的期间以及何时获取更新的声明书等。
(三)沟通相关事项
对于重大缺陷和重要缺陷,注册会计师应当以书面形式与管理层和治理层沟通。书面沟通应当在注册会计师出具内部控制审计报告之前进行。
注册会计师应当以书面形式与管理层沟通其在审计过程中识别的所有其他内部控制缺陷,并在沟通完成后告知治理层。在进行沟通时,注册会计师无需重复自身、内部审计人员或被审计单位其他人员以前书面沟通过的控制缺陷。虽然并不要求注册会计师执行足以识别所有控制缺陷的程序,但是,注册会计师应当沟通其注意到的内部控制的所有缺陷。内部控制审计不能保证注册会计师能够发现严重程度低于重大缺陷的所有控制缺陷。注册会计师不应在内部控制审计报告中声明,在审计过程中没有发现严重程度低于重大缺陷的控制缺陷。如果发现被审计单位存在或可能存在舞弊或违反法规行为,注册会计师应当按照《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》、《中国注册会计师审计准则第1142号——财务报表审计中对法律法规的考虑》的规定,确定并履行自身的责任。
八、关于内部控制审计报告
注册会计师在完成内部控制审计和财务报表审计后,应当分别对内部控制和财务报表出具审计报告,并签署相同的日期。
(一)出具无保留意见内部控制审计报告的条件
如果符合下列所有条件,注册会计师应当对内部控制出具无保留意见的内部控制审计报告:
(1)在基准日,被审计单位按照适用的内部控制标准的要求,在所有重大方面保持了有效的内部控制;
(2)注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作,在审计过程中未受到限制。
(二)内部控制存在重大缺陷时的处理
如果认为内部控制存在一项或多项重大缺陷,除非审计范围受到限制,注册会计师应当对内部控制发表否定意见。否定意见的内部控制审计报告还应当包括重大缺陷的定义、重大缺陷的性质及其对内部控制的影响程度。
如果重大缺陷尚未包含在企业内部控制评价报告中,注册会计师应当在内部控制审计报告中说明重大缺陷已经识别、但没有包含在企业内部控制评价报告中。如果企业内部控制评价报告中包含了重大缺陷,但注册会计师认为这些重大缺陷未在所有重大方面得到公允反映,注册会计师应当在内部控制审计报告中说明这一结论,并公允表达有关重大缺陷的必要信息。此外,注册会计师还应当就这些情况以书面形式与治理层沟通。
如果对内部控制的有效性发表否定意见,注册会计师应当确定该意见对财务报表审计意见的影响,并在内部控制审计报告中予以说明。
(三)审计范围受到限制时的处理
注册会计师只有实施了必要的审计程序,才能对内部控制的有效性发表意见。如果审计范围受到限制,注册会计师应当解除业务约定或出具无法表示意见的内部控制审计报告。
如果法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制的评价范围,注册会计师可以不将这些实体纳入内部控制审计的范围。这种情况不构成审计范围受到限制,但注册会计师应当在内部控制审计报告中增加强调事项段或者在注册会计师的责任段中,就这些实体未被纳入评价范围和内部控制审计范围这一情况,作出与被审计单位类似的恰当陈述。注册会计师应当评价相关豁免是否符合法律法规的规定,以及被审计单位针对该项豁免作出的陈述是否恰当。如果认为被审计单位有关该项豁免的陈述不恰当,注册会计师应当提请其作出适当修改。如果被审计单位未作出适当修改,注册会计师应当在内部控制审计报告的强调事项段中说明被审计单位的陈述需要修改的理由。
在出具无法表示意见的内部控制审计报告时,注册会计师应当在内部控制审计报告中指明审计范围受到限制,无法对内部控制的有效性发表意见,并单设段落说明无法表示意见的实质性理由。注册会计师不应在内部控制审计报告中指明所执行的程序,也不应描述内部控制审计的特征,以避免报告使用者对无法表示意见的误解。如果在已执行的有限程序中发现内部控制存在重大缺陷,注册会计师应当在内部控制审计报告中对重大缺陷做出详细说明。
只要认为审计范围受到限制将导致无法获取发表审计意见所需的充分、适当的审计证据,注册会计师不必执行任何其他工作即可对内部控制出具无法表示意见的内部控制审计报告。在这种情况下,内部控制审计报告的日期应为注册会计师已就该报告中陈述的内容获取充分、适当的审计证据的日期。
在因审计范围受到限制而无法表示意见时,注册会计师应当就未能完成整个内部控制审计工作的情况,以书面形式与管理层和治理层沟通。
(四)强调事项
如果认为内部控制虽然不存在重大缺陷,但仍有一项或多项重大事项需要提请内部控制审计报告使用者注意,注册会计师应当在内部控制审计报告中增加强调事项段予以说明。注册会计师应当在强调事项段中指明,该段内容仅用于提醒内部控制审计报告使用者关注,并不影响对内部控制发表的审计意见。如果确定企业内部控制评价报告对要素的列报不完整或不恰当,注册会计师应当在内部控制审计报告中增加强调事项段,说明这一情况并解释得出该结论的理由。
(五)期后事项
在基准日后至审计报告日前(以下简称期后期间),内部控制可能发生变化,或出现其他可能对内部控制产生重要影响的因素。注册会计师应当询问是否存在这类变化或因素,并获取被审计单位关于这类变化或因素的书面声明。
注册会计师应当针对期后期间,询问并检查下列信息:(1)在期后期间出具的内部审计报告或类似报告;
(2)其他注册会计师出具的涉及被审计单位内部控制缺陷的报告;(3)监管机构发布的涉及被审计单位内部控制的报告;
(4)注册会计师在执行其他业务中获取的、有关被审计单位内部控制有效性的信息。
此外,注册会计师还应当考虑获取期后期间的其他文件,并按照《中国注册会计师审计准则第1332号——期后事项》的规定,对其进行检查。
如果知悉对基准日内部控制有效性有重大负面影响的期后事项,注册会计师应当对内部控制发表否定意见。如果注册会计师不能确定期后事项对内部控制有效性的影响程度,应当出具无法表示意见的内部控制审计报告。
如果管理层在评价报告中披露了基准日之后采取的整改措施,注册会计师应当在内部控制审计报告中指明不对这些信息发表意见。
注册会计师可能知悉在基准日并不存在、但在期后期间发生的事项。如果这类期后事项对内部控制有重大影响,注册会计师应当在内部控制审计报告中增加强调事项段,描述该事项及其影响,或提醒内部控制审计报告使用者关注企业内部控制评价报告中披露的该事项及其影响。
在出具内部控制审计报告后,如果知悉在审计报告日已存在的、可能对审计意见产生影响的情况,注册会计师应当按照《中国注册会计师审计准则第1332号——期后事项》第四章第二节和第三节的规定办理。如果被审计单位更正以前公布的财务报表,注册会计师应当按照《中国注册会计师审计准则第1332号——期后事项》第四章第三节的规定重新考虑以前发表的内部控制审计意见的适当性。
(六)其他信息 如果企业内部控制评价报告中除包括法定要求的信息外,还包括其他信息,且该报告的使用者有理由认为该报告包括这些其他信息,注册会计师应当在内部控制审计报告中指明不对这些其他信息发表意见。
如果认为其他信息含有对事实的重大错报,注册会计师应当就此与管理层进行讨论。如果讨论后仍认为存在对事实的重大错报,注册会计师应当以书面形式将其看法告知管理层和治理层。
如果其他信息未包含在企业内部控制评价报告中,而是包含在财务报告中,注册会计师无需在内部控制审计报告中指明不对其发表意见。但是,如果注册会计师认为其他信息中存在对事实的重大错报,应当按照上述要求办理。
九、关于整合审计的进一步考虑
(一)总体要求
在整合审计中,注册会计师应当计划和实施对控制设计和运行有效性的测试,以同时实现下列目标:
(1)获取充分、适当的审计证据,支持其在内部控制审计中对内部控制的有效性发表的意见;
(2)获取充分、适当的审计证据,支持其在财务报表审计中对内部控制的拟信赖程度(即评估的控制风险)。
(二)审计证据和结论的相互参照
在内部控制审计中,注册会计师在对内部控制有效性形成结论时,应当同时考虑财务报表审计中实施的、所有针对控制设计和运行有效性测试的结果。在财务报表审计中,注册会计师在评估控制风险时,应当同时考虑内部控制审计中实施的、所有针对控制设计和运行有效性测试的结果。
如果在内部控制审计中识别出某项控制缺陷,注册会计师应当评价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时间安排和范围的影响。在财务报表审计中,无论控制风险或重大错报风险的评估水平如何,注册会计师都应当针对所有重大类别的交易、账户余额和披露实施实质性程序。为对内部控制的有效性发表意见而实施的测试程序并不减轻该项要求。
在内部控制审计中,注册会计师应当评价财务报表审计中实施的实质性程序的结果对控制有效性结论的影响。评价内容应当包括:
(1)注册会计师作出的、与选择和实施实质性程序相关(尤其是与舞弊相关)的风险评估;(2)发现的违反法规行为和关联方交易方面的问题;
(3)表明管理层在选择会计政策和作出会计估计时存在偏见的情况;(4)实施实质性程序发现的错报。
注册会计师应当通过直接测试控制获取控制是否有效的审计证据,而不能根据实质性程序没有发现错报,推断该项控制的有效性。
十、关于项目质量控制复核
会计师事务所应当制定政策和程序,要求对上市实体和符合特定标准的其他实体的内部控制审计业务实施项目质量控制复核。
(一)项目质量控制复核的时间
会计师事务所的政策和程序应当要求在出具内部控制审计报告前完成项目质量控制复核。
(二)项目质量控制复核人员
会计师事务所应当制定政策和程序,解决项目质量控制复核人员的委派问题,明确项目质量控制复核人员的资格要求,包括:
(1)履行职责需要的技术资格,包括精通内部控制审计业务并具备必要的经验和权限;
(2)在不损害其客观性的前提下,项目质量控制复核人员能够提供业务咨询的程度。
同时,会计师事务所应当制定政策和程序,以使项目质量控制复核人员保持客观性。这些政策和程序要求项目质量控制复核人员符合下列规定:
(1)不由项目合伙人挑选;
(2)在复核期间不以其他方式参与该业务;(3)不代替项目组进行决策;
(4)不存在可能损害复核人员客观性的其他情形。
(三)项目质量控制复核的内容
项目质量控制复核人员应当客观地评价项目组作出的重大判断以及在编制内部控制审计报告时得出的结论。评价工作应当涉及下列内容:(1)与项目合伙人讨论重大事项;(2)复核拟出具的内部控制审计报告;
(3)复核选取的与项目组作出的重大判断和得出的结论相关的审计工作底稿;
(4)评价在编制内部控制审计报告时得出的结论,并考虑拟出具内部控制审计报告的恰当性。
对于上市实体内部控制审计,项目质量控制复核人员还应当考虑下列事项:(1)项目组就具体业务对会计师事务所独立性作出的评价;
(2)项目组是否已就涉及意见分歧的事项,或者其他疑难问题或争议事项进行适当咨询,以及咨询得出的结论;
(3)选取的用于复核的审计工作底稿,是否反映项目组针对重大判断执行的工作,以及是否支持得出的结论。
十一、关于记录审计工作
注册会计师应当在审计工作底稿中清楚地显示内部控制审计的过程和结果。注册会计师应当就下列内容形成审计工作记录:
(1)制定的内部控制总体审计策略和具体审计计划及重大修改情况;(2)对企业层面控制的识别、了解和测试;
(3)确定重要账户、列报及其相关认定的过程,包括对拟测试组成部分的确定;
(4)选择拟测试控制的主要过程及结果;(5)测试控制设计和运行有效性的程序及结果;
(6)利用他人工作的程度,以及对他人胜任能力和客观性的评估;(7)对识别的控制缺陷的评价;
(8)可能导致出具非标准内部控制审计报告的其他审计发现;(9)形成的审计结论和意见;(10)其他重要事项。
来源:中国注册会计师协会网站