搜索
企业内部控制配套指引20讲--审计指引山东财政学院主讲:教授硕士生导师赵英林第20讲:企业内部控制审计指引前面我们在第19讲已经明确企业在年终要编制内部控制评价报告,财政部等五部门专门下发了《内部控制评价指引》,作出了规定。对于这个评价报告,要经有资质的注册会计师事务所审计审计,出具审计报告。因此对于审计事项专门发布《内部控制审计指引》,规范注册会计师的审计行为,本讲就是这个指引的讲解:在这一讲里,我主要讲述七个大问题:一、内部控制审计指引框架二、计划审计工作三、实施审计工作四、评价内部控制缺陷五、完成审计工作六、审计报告七、记录审计工作一、内部控制审计指引框架为了规范注册会计师执行企业内部控制审计业务,保证执业质量,根据《企业内部控制基本规范》和《中国注册会计师审计业务基本准则》以及其他相关执业准则,制定企业内部控制审计指引,共计七章35条,我们归纳总结其框架概述如下:第一章《总则》.第1-5条。1.审计指引出台的目的。为了指导注册会计师执行企业内部控制(以下简称内部控制)鉴证业务,明确工作要求,保证执业质量。2.内部控制审计的定义。企业内部控制审计,是指会计师事务所接受委托,对企业与财务报告相关的内部控制的有效性进行鉴证,并发表审计意见。3.管理层和注册会计师的责任。管理层的责任:按照国家有关法律法规的要求,设计、实施和维护有效的内部控制,并评估其有效性。注册会计师的责任:按照《企业内部控制审计指引》的要求,在实施审计工作的基础上对内部控制有效性发表审计意见。内部控制审计不能减轻管理层的责任。4.审计工作应获取适当证据,为发表审计意见提供保证。5.注册会计师可以单独进行内部控制审计,也可将内部控制审计与财务报表审计整合进行(以下简称整合审计)。第二章《计划审计工作》,第6-9条共4条。1注册会计师应制定内部控制审计工作计划。2.评价对财务报告与内部控制的影响因素。3.风险评估在内部控制审计业务中的运用注册会计师应当充分认识风险评估在内部控制审计中的作用,以适当的风险评估为基础,有效地计划和执行内部控制审计工作。特别关注舞弊风险对内部控制审计业务的影响,在计划和执行内部控制审计工作时,注册会计师应当考虑舞弊风险的评估结果。注册会计师应当评价企业的控制是否足以应对已识别的由舞弊导致的重大错报风险,并评价为应对管理层凌驾于其他控制之上的风险设计的控制。4.考虑利用其他人员的工作。如果利用他人的工作能够提供内部控制有效性的证据,注册会计师应当考虑利用企业内部审计人员、其他人以及在管理层或审计委员会指导下工作的第三方的工作,或者接受他们的直接帮助。第三章《实施审计工作》,10-19条共10条。1.注册会计师应按自上而下的方法实施审计。2.内部控制的测试包括企业和业务两个层面的测试。企业层面控制的测试包括:与内部环境相关的控制;针对管理层凌驾于内部控制之上而采用的控制;企业的风险评估;集中处理和控制,包括共享的服务环境;监督经营结果的控制;业务层面控制测试包括:内部审计职能部门、审计委员会等的活动;针对期末财务报告流程的控制;应对重大经营控制及风险管理实务的政策。3.注册会计师应测试内部控制设计与运行的有效性。如某项控制由拥有必要授权的人按规定程序执行,能够达到控制目标,就表明该项设计是有效的。4.注册会计师应根据内部控制与相关风险,确定实施审计的性质,获取证据。内控风险越大的部位,获取证据应该越多。5.测试内部控制设计与运行有效性时,应询问有关人员,检查相关文件,可以采用穿行测试和重新执行等方法。6.测试时间安排应在下面两个因素之间平衡:其一,尽量接近企业内部控制自我评价基准日;其二,实施的测试需要涵盖足够长的时间。7.对内部控制的运行偏离设计的情况(即控制差),应确定偏差和评估风险,获取证据,以证明其对运行有效结论的影响。8.连续审计的,要在测试安排时,考虑以前年审计时了解的情况。第四章《评价控制缺陷》,第20-22共3条。1.内部控制缺陷的分类,按其严重程度可以分为一般缺陷、重要缺陷和重大缺陷。2.确定一项重大缺陷或多项缺陷组合时,应当评价补偿性的影响,企业执行的补偿性应具有同样影响。3.表明重大缺陷可能存在的迹象:(1)注册会计师发现董事、监事和高级管理人员舞弊。(2)企业更正已经公布的财务报表。(4)注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报。(4)企业审计委员会和内部审计机构对内部控制的监督无效。第五章《完成审计工作》,第23-26条共4条。1.完成审计工作后,应取得经企业签署的书面声明,该声明包括六项具体内容。2.如果企业拒绝提供或以其他不正当理由回避书面声明,注册会计师应当将其视为审计范围受到限制,并解除业务约定或出具无法表示意见的审计报告。3.注册会计师应当与企业沟通审计过程中识别的所有缺陷。对于其中的重要缺陷与重大缺陷应当以书面形式与董事会和经理层沟通。书面沟通应当在注册会计师出具内部控制审计报告之前进行。4.注册会计师应对获取的证据进行评价,形成对内部控制的有效意见第六章《出具审计报告》,第27-33条共7条。1.标准审计报告应包括的11个要素。2.出具无保留意见的审计报告两项要求。3.虽不存在重大缺陷,但仍有需要审计报告使用者注意的事项,应在审计报告中增加强调事项段加以说明。4.存在一项或多项重大缺陷的,除非审计范围受到限制,应当发表否定意见。5.注册会计师审计范围受限的,应解除业务约定或出具无法表示意见的报告。并就审计受限情况以书面形式与董事会沟通。6.对非财务报告内部控制内部控制缺陷,区别三种情况处理。7.对于内部控制自我评价报告基准日后至审计报告报出前,内部控制可能发生的问题,称为期后事项,注册会计师应询问,并获取书面声明。期后事项如对内部控制有负面影响,可发表否定意见。第七章《记录审计工作》,34-35条共2条。1.注册会计师应当形成审计工作记录的内容,并说明注册会计师编制内部控制审计工作底稿可以参看《中国注册会计师审计准则第1131号——一审计工作底稿》的规定。2.规定审计工作底稿应记录的六项具体内容:(1)内部控制审计计划及重大修改情况。(2)相关风险评估和选择拟测试的内部控制的主要过程及结果。(3)测试内部控制设计与运行有效性的程序及结果。(4)对识别的控制缺陷的评价。(5)形成的审计结论和意见。(6)其他重要事项。二、计划审计工作注册会计师应当恰当的计划所接受的内部控制审计工作,配备有胜任能力的人员,并对助理人员进行督导。在这个大问题中我要讲四个具体问题:(一)在制定审计计划时,注册会计师应当评价下列事项对企业财务报表和内部控制是否具有重要影响:(1)与企业相关的风险。(2)相关法律法规和行业概况。(3)企业组织结构、经营特点和资本结构等相关重要事项。(4)企业内部控制最近发生变化的程度。(5)与企业沟通过的内部控制缺陷。(6)重要性、风险等与确定内部控制重大缺陷相关的因素。(7)对内部控制有效性的初步判断。(8)可获取的、与内部控制有效性相关的证据的类型和范围。(二)注册会计师应当充分认识风险评估在内部控制审计中的作用根据风险评估结果,确定重要的账户、列报和相关认定,选择拟进行测试的控制,以及确定针对特定控制所需收集的证据。在进行风险评估以及确定必要的程序时,注册会计师应当考虑企业组织结构、经营单位或流程的复杂程度可能产生的重要影响和作用。企业组织结构、经营单位或流程的复杂程度可能影响企业实现控制目标的方式。企业的规模和复杂程度也可能影响错报风险以及应对该风险所需实施的控制。注册会计师应当根据企业情况调整工作范围,以获取充分、适当的证据,支持发表的意见。(三)舞弊对内部控制审计计划的影响注册会计师应当高度关注与舞弊风险相关的领域。对舞弊风险进行评估,包括评价企业的控制是否足以应对已识别的由舞弊导致的重大错报风险,并评价为应对管理层凌驾于其他控制之上的风险设计的控制。企业为应对这些风险可能采取的控制包括:1.针对重大的非常规交易,尤其是针对那些导致记账分录延迟或异常的交易的控制;2.针对期末财务报告过程中编制的记账分录和调整分录的控制;3针对关联方交易的控制;4.与管理层的重大估计相关的控制;5.能够缓解管理层伪造或不恰当操纵财务结荣的动机及压力的控制。(四)对其他人员工作的利用为了实现内部控制审计的目的,如果利用他人的工作能够提供内部控制有效性的证据,注册会计师应当考虑利用企业内部审计人员、其他人员以及在管理层或审计委员会指导下工作的第三方的工作,或者接受他们的直接帮助。如内部审计的工作结果是管理层评价内部控制有效性的重要基础,注册会计师应当考虑被审核单位内部审计人员的专业能力、独立性及工作范围。值得注意的是,在内部控制审计中,注册会计师可能利用其他人员工作的程度还受到与被测试控制有关的风险的影响。随着与某项控制有关的风险的增加.注册会计师应相应地扩大对该项控制执行测试的范围。三、实施审计工作注册会计师应当根据审计计划,测试内部控制设计和运行的有效性。在这个大问题中,我要讲以下四个具体问题:企业层面的控制测试、企业业务层面测试、测试内部控制设计的有效性、测试内部控制运行的有效性。(一)企业层面的控制测试企业层面的控制包括的内容:1.与内部环境相关的控制。由于内部环境对维护有效的内部控制具有重要影响,注册会计师应当评价企业的内部环境。在评价内部环境时,注册会计师应当评估下列事项:其一,管理层的理念和经营风格是否能够促进有效的内部控制;其二,健全的诚实正直和道德价值观(特别是高层管理人员的)是否已经形成并为大家所了解;其三,审计委员会是否了解并履行对财务报告和内部控制的监督责任。2.针对管理层凌驾于内部控制之上而采用的控制。3.企业的风险评估。4.集中处理和控制,包括共享的服务环境。5.监督经营结果的控制。6.对其他控制的监督控制.包括内部审计职能部门、审计委员会等的活动。7.针对期末财务报告流程的控制。由于期末财务报告流程对财务报告以及注册会计师针对内部控制发表的意见具有重要影响,注册会计师应当对期末财务报告流程进行评价。(二)企业业务层面控制的测试业务层面控制的测试表现为识别重大的账户、列报及相关认定,具体内容包括:1.账户的规模和构成;2.对因错误或舞弊导致的错报的敏感度;3.通过账户处理或在列报中反映的交易的业务量、复杂性及同质性;4.与账户或列报相关的会计处理及报告的复杂程度;5.账户容易发生损失的程度;6.由账户或列报中反映的活动引起重大或有负债的可能性;7.账户中关联方交易的存在情况;8.账户或列报特征与前期相比发生的变化。注册会计师可根据在特定的重大账户或列报中错报发生的领域,确定潜在错报的可能来源。当一家企业有多个经营场所或经营单位时,注册会计师应当在合并财务报表的基础上识别重要的账户、列报及相关认定。(三)测试内部控制设计的有效性在测试控制设计的有效性时,注册会计师应当确定企业的内部控制,如果由拥有有效执行控制所需的授权和专业胜任能力的人员按规定执行,能否实现控制目标和有效地防止或发现可能导致财务报表发生重大错报的错误或舞弊。在评价内部控制设计的合理性时,注册会计师应当关注内部控制整体能否实现控制目标,而不应孤立地关注特定内部控制。注册会计师应当实施以下程序,以了解内部控制的设计:①询问被审核单位的有关人员。②检查内部控制生成的文件和记录。③观察被审核单位的经营管理活动。(四)测试内部控制运行的有效性在测试控制运行的有效性时,注册会计师应当确定控制是否正在按照设计运行,执行人员是否拥有有效执行控制所需的授权和专业胜任能力。在测试内部控制运行的有效性时,注册会计师应当关注该项内部控制是否得到执行、如何执行、由谁执行以及是否得到一贯执行。在测试内部控制运行的有效性时,注册会计师通常实施以下程序;①询问被审计单位的有关人员。②检查内部控制生成的文件和记录。③观察被审计单位的经营管理活动。④重新执行有关内部控制,看其效果。注册会计师在确定测试控制的日期时,应尽量在接近管理层评估日执行控制测试,并使测试涵盖足够长的期间。四、评价内部控制