《企业内部控制审计指引》
一、内部控制审计概述
(一)实施内部控制审计的必要性
目标:规范注册会计师执行企业内部控制审计业务,明确工作要求,保证执业质量。 (二)我国对内部控制审计的要求
2010年4月26日,财政部发布《内控审计指引》,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。 (三)内部控制审计的定义
内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。 1.企业内部控制审计基于特定基准日。注册会计师基于基准日(如年末12月31日)内部控制的有效性发表意见,而不是对财务报表涵盖的整个期间(如一年)的内部控制的有效性发表意见。
2.财务报告内部控制与非财务报告内部控制
内控审计指引第四条第二款规定,注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
财务报告内部控制:是指企业为了合理保证财务报告及相关信息真实、完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。 主要包括下列方面的政策和程序:
(1)保存充分、适当的记录,准确、公允地反映企业的交易和事项; (2)合理保证按照企业会计准则的规定编制财务报表;
(3)合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权;
(4)合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项。
非财务报告内部控制:是指除财务报告内部控制之外的其他控制,通常是指为了合理保证除财务报告及相关信息、资产安全外的其他控制目标的实现而设计和运行的内部控制。
3.企业内控责任与注册会计师审计责任的关系。内控审计指引第三条规定,建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。 (四)整合审计
《内控审计指引》第五条规定,注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(以下简称整合审计)。
理解这一规定,要明确两点:一是内部控制审计与财务报表审计是两种不同的审计业务,两种审计的目标不同;二是内部控制审计与财务报表审计可以整合起来进行。 1.内部控制审计与财务报表审计的异同。
内部控制审计要求对企业控制设计和运行的有效性进行测试,财务报表审计中,也要求了解企业的内部控制,并在需要时测试控制,这是两种审计的相同之处,也是整合审计中应整合的部分,但由于两种审计的目标不同,审计指引要求在整合审计中,注册会计师对内部控制设计与运行的有效性进行测试,要同时实现两个目的:
(1)获取充分、适当的证据,支持在内部控制审计中对内部控制有效性发表的意见; (2)获取充分、适当的证据,支持在财务报表审计中对控制风险的评估结果。 2.两种审计的整合。
实施财务报表审计时,注册会计师可以利用内部控制审计的结果来修改实质性程序的性质、时间安排和范围,并且可以利用该结果来支持分析程序中所使用的信息的完整性和准确性。在确定实质性程序的性质、时间安排和范围时,注册会计师需要慎重考虑识别出的控制缺陷。
实施内部控制审计时,注册会计师需要评估财务报表审计时实质性程序中发现问题的影响。最重要的是,注册会计师需要重点考虑财务报表审计中发现的财务报表错报,考虑这些错报对评价内控有效性的影响。 二、计划审计工作 (一)总体要求
在计划整合审计工作时,注册会计师需要评价下列事项对财务报表和内部控制是否有重要影响,以及有重要影响的事项将如何影响审计工作:
1.与企业相关的风险,包括在评价是否接受与保持客户和业务时,注册会计师了解的与企业相关的风险情况以及在执行其他业务时了解的情况; 2.相关法律法规和行业概况;
3.企业组织结构、经营特点和资本结构等相关重要事项;
4.企业内部控制最近发生变化的程度; 5.与企业沟通过的内部控制缺陷;
6.重要性、风险等与确定内部控制重大缺陷相关的因素; 7.对内部控制有效性的初步判断;
8.可获取的、与内部控制有效性相关的证据的类型和范围。 (二)重视风险评估的作用
风险评估的理念及思路应当贯穿于整个审计过程的始终。实施风险评估时,可以考虑固有风险及控制风险。在计划审计工作阶段,对内部控制的固有风险进行评估,作为编制审计计划的依据之一;根据对控制风险评估的结果,调整计划阶段对固有风险的判断,这是个持续的过程。
注册会计师应当更多地关注高风险领域,而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。
(三)利用其他相关人员的工作
如果拟利用他人的工作,注册会计师则需要评价该人员的专业胜任能力和客观性。 专业胜任能力和客观性越高,可利用程度就越高,注册会计师就可以越多地利用其工作。
与某项控制相关的风险越高,可利用他人工作的程度就越低,注册会计师就需要更多地对该项控制亲自进行测试。 三、实施审计工作 (一)自上而下的方法
自上而下的方法按照下列思路展开:
1.从财务报表层次初步了解内部控制整体风险; 2.识别企业层面控制;
3.识别重要账户、列报及其相关认定; 4.了解错报的可能来源; 5.选择拟测试的控制。 (二)识别企业层面控制 1.评价企业层面控制的精确度。
(1)某些企业层面控制,如企业经营理念、管理层的管理风格等与控制环境相关的控制,对及时防止或发现井纠正相关认定的错报的可能性有重要影响。
(2)某些企业层面控制旨在识别其他控制可能出现的失效情况,能够监督其他控制的有效性,但还不足以精确到及时防止或发现并纠正相关认定的错报。 2.企业层面控制的内容。 (1)与内部环境相关的控制。
(2)针对管理层(董事会、经理层)凌驾于控制之上的风险而设计的控制。 (3)企业的风险评估过程。
(4)对内部信息传递和财务报告流程的控制。 (5)对控制有效性的内部监督和自我评价。 此外,企业层面控制还包括:
(1)集中化的处理和控制,包括共享的服务环境。 (2)监控经营成果的控制。
监督经营成果的内部控制范围非常广泛,其中与监督经营成果相关的企业层面控制主要包括:管理层定期将经营成果与预算进行对比分析及复核,分析财务资料是否存在异常情况;定期编制主要经营指标并对这些指标进行审阅及分析,分析财务资料是否存在异常情况;定期更新经营预测,并与期末的实际经营结果进行对比分析。
监督经营成果的控制还包括在控制环境以及风险评估流程方面的监控,主要包括:
——对客户投诉报告的复核及分析,查找企业各下属机构或业务部门是否存在违规、不合法或管理不善的情况;
——对违反企业政策或守则行为的处理的复核;
——对与员工报酬或晋升相关的员工业绩评价流程的复核,以确定企业内部公平及平衡的奖惩制度的执行;
——对企业记录的财务报表编制流程中存在的主要风险的复核,以考虑企业内部及外部存在的重大错报风险是否被清楚地反映。
(3)针对重大经营控制以及风险管理实务而采取的政策。 注册会计师需要考虑的主要因素包括:
①企业的内部环境,例如:公司治理结构和议事规则是否规范;是否有明确的决策、执行、监督等方面的职责权限;是否有专门机构具体负责组织协调内部控制的建立及实施等。
②基于企业整体的发展战略、经营战略和日标,管理层能否充分识别企业各业务流程中存在的内部和外部风险。
③企业是否根据内部控制目标,结合风险评估结果和风险应对策略,针对各种业务和事项,综合运用控制措施,将风险控制在可承受范围之内,同时建立重大风险预警机制和突发事件应急处理机制,确保突发事件得到及时妥善处理。
④为了保证控制活动的有效执行,企业是否进行持续的内部监督,包括日常监督和专项监督,并以书面或者其他适当的形式,妥善保存内部控制建立与实施过程中的相关记录或资料,确保内部控制建立与实施过程的可验证性。
(三)测试控制设计和运行的有效性
注册会计师在测试控制设计与运行的有效性时,应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。注册会计师测试控制有效性实施的程序,按提供证据的效力,由弱到强排序为:询问、观察、检查和重新执行。其中,询问本身并不能为得出控制是否有效的结论提供充分、适当的证据。执行穿行测试通常足以评价控制设计的有效性。 (四)与控制相关的风险与拟获取证据的关系
与控制相关的风险越高,注册会计师需要获取的证据就越多。 与某项控制相关的风险受下列因素的影响:
1.该项控制拟防止或发现并纠正的错报的性质和重要程度; 2.相关账户、列报及其认定的固有风险; 3.相关账户或列报是否曾经出现错报;
4.交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的有效产生不利影响; 5.企业层面控制(特别是对控制有效性的内部监督和自我评价)的有效性; 6.该项控制的性质及其执行频率;
7.该项控制对其他控制(如内部环境或信息技术一般控制)有效性的依赖程度; 8.该项控制的执行或监督人员的专业胜任能力,以及其中的关键人员是否发变化; 9.该项控制是人工控制还是自动化控制;
10.该项控制的复杂程度,以及在运行过程中依赖判断的程度。