(五)连续审计时的特殊考虑
1.影响连续审计中与某项控制相关的风险的因素
除第(四)部分“风险与拟获取证据的关系”中所列的10项因素外,还包括: (1)以前年度审计中所实施程序的性质、时间安排和范围; (2)以前年度对控制的测试结果;
(3)上次审计之后,控制或其运行流程是否发生变化,尤其是考虑IT环境的变化。 2.实施对标策略。
如果认为程序变更、访问权限及计算机操作方面的一般控制有效,且可持续对其进行测试,并能证实自动化应用控制自最近一次测试之后未发生变化,则注册会计师不必重复执行测试,就可以认为自动化应用控制持续有效。
注册会计师在确定是否使用对标策略时,首先要评价下列风险因素: (1)应用控制与相关应用程序直接对应的程度; (2)应用系统的稳定性(即各期间的变化大小);
(3)有关投人使用的程序,其汇编日期报告的可获得性和可靠性,该信息可作为此程序中的控制未发生变化的证据。
在一段时期之后,注册会计师应重新设置自动化应用控制运行的测试基准。在确定何时重设测试基准时,注册会计师应当评价下列因素:
(1)信息技术控制环境的有效性,包括针对应用及操作系统的开发与维护、访问权限以及计算机操作实施的控制的有效性;
(2)如果含有控制的具体程序发生变化,注册会计师对该变化性质的了解; (3)其他相关测试的性质和时间安排;
(4)与被设为测试基准的应用控制相关的错误导致的后果; (5)控制是否易于受到其他可能变化的经营因素的影响。
3.增加测试的不可预见性。
每年在不同的时段进行测试控制,并增加或减少所执行测试的数量和种类,或者改变所使用测试程序的组合等。
四、评价控制缺陷 评价控制缺陷的总体要求
内部控制缺陷包括设计缺陷和运行缺陷。
内部控制存在的缺陷,按严重程度分为重大缺陷、重要缺陷和一般缺陷。 ◆ 下列迹象可能表明企业的内部控制存在重大缺陷: 1.注册会计师发现董事、监事和高级管理人员舞弊; 2.企业更正已经公布的财务报表;
3.注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报; 4.企业审计委员会和内部审计机构对内部控制的监督无效。 ◆ 财务报告内部控制缺陷的严重程度取决于: 1.控制缺陷导致账户余额或列报错报的可能性;
2.因一个或多个控制缺陷的组合导致潜在错报的金额大小。 五、完成审计工作 (一)形成审计意见
只有在审计范围没有受到限制时,注册会计师才能对内部控制的有效性形成意见。如果审计范围受到限制,注册会计师需要解除业务约定或出具无法表示意见的内部控制审计报告。 (二)获取管理层书面声明
注册会计师需要取得经企业认可的书面声明,书面声明需要包括下列内容: 1.企业董事会认可其对建立健全和有效实施内部控制负责;
2.企业已对内部控制的有效性作出自我评价,并说明评价时采用的标准以及得出的结论; 3.企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础;
4.企业已向注册会计师披露识别出的内部控制所有缺陷,并单独披露其中的大缺陷和重要缺陷;
5.对于注册会计师在以前年度审计中识别的、已与审计委员会沟通的重大缺和重要缺陷,企业是否已经采取措施予以解决;
6.在企业内部控制自我评价基准日后,内部控制是否发生重大变化,或者存对内部控制具有重要影响的其他因素。
(三)沟通相关事项
《中国注册会计师审计准则第1152号—向治理层和管理层通报内部控制缺陷》要求注册会计师以书面形式及时向治理层通报审计过程中识别出的值得关注的内部控制缺陷。其中,值得关注的内部控制缺陷包括重大缺陷和重要缺陷。
对于重大缺陷,注册会计师需要以书面形式与企业的董事会及其审计委员会进行沟通。如果认为审计委员会和内部审计机构对内部控制的监督无效,注册会计师需要就此以书面形式直接与董事会和经理层沟通。 对于重要缺陷,注册会计师需要以书面形式与审计委员会沟通。
在进行沟通时,注册会计师无须重复自身、内部审计人员或企业其他人员以前书面沟通过的控制缺陷。 如果发现企业存在或可能存在舞弊或违反法规行为,注册会计师需要按照《中国注册会计师审计准则第1141号—财务报表审计中对舞弊的考虑》、《中国注册会计师审计准则第1142号—财务报表审计中对法律法规的考虑》的规定,确定并履行自身的责任。 六、出具审计报告 (一)总体要求
注册会计师需要在审计报告中清楚地表达对内部控制有效性的意见,并对出具的审计报告负责。 注册会计师在整合完成内部控制审计和财务报表审计后,需要分别对内部控制和财务报表出具审计报告。 内部控制审计不能保证注册会计师能够发现严重程度低于重大缺陷的所有控制缺陷。注册会计师不应在审计报告中声明,在审计过程中没有发现严重程度低于重大缺陷的所有控制缺陷。 (二)标准内部控制审计报告 括下列要素:/p>
1.标题。内部控制审计报告的标题统一规范为“内部控制审计报告”。
2.收件人。内部控制审计报告的收件人是指注册会计师按照业务约定书的要求致送内部控制审计报告的对象,一般是指审计业务的委托人。内部控制审计报告需要载明收件人的全称。 3.引言段。内部控制审计报告的引言段说明企业的名称和内部控制已经过审计。
4.企业对内部控制的责任段。企业对内部控制的责任段说明,按照《基本规范》、《内控应用指引》、《内控评价指引》的规定,建立健全和有效实施内部控制,并评价其有效性是企业董事会的责任。 5.注册会计师的责任段。注册会计师的责任段说明,在实施审计工作的基础上,对财务报告内部控制的有效性发表审计意见,并对注意到的非财务报告内部控制的重大缺陷进行披露是注册会计师的责任。 6.内部控制固有局限性的说明段。内部控制无论如何有效,都只能为企业实现控制目标提供合理保证。内部控制实现目标的可能性受其固有限制的影响,包括:
(1)在决策时人为判断可能出现错误和因人为失误而导致内部控制失效。例如,控制的设计和修改可能存在失误。
(2)控制的运行也可能无效。例如,由于负责复核信息的人员不了解复核的目的或没有采取适当的措施,使内部控制生成的信息(如例外报告)没有得到有效使用。
(3)控制可能由于两个或更多的人员进行串通舞弊或管理层不当地凌驾于内部控制之上而被规避。例如,管理层可能与客户签订背后协议,修改标准的销售合同条款和条件,从而导致不适当的收人确认。再如,软件中的编辑控制旨在识别和报告超过赊销信用额度的交易,但这一控制可能被凌驾。
(4)在设计和执行控制时,如果存在选择执行的控制以及选择承担的风险,管理层在确定控制的性质和范围时需要作出主观判断。
7.财务报告内部控制审计意见段。如果符合下列所有条件的,注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告:
(1)企业按照《基本规范》、《内控应用指引》、《内控评价指引》以及企业自身内部控制制度的要求,在所有重大方面保持了有效的内部控制;
(2)注册会计师已经按照《内控审计指引》的要求计划和实施审计工作,在审计过程中未受到限制。 8.非财务报告内部控制重大缺陷描述段。 9.注册会计师的签名和盖章。
10.会计师事务所的名称、地址及盖章。 11.报告日期。
(三)非标准内部控制审计报告
1.带强调事项段的非标准内部控制审计报告。
注册会计师认为财务报告内部控制虽不存在重大缺陷,但仍有一项或者多项重大事项需要提请内部控制审计报告使用人注意的,需要在内部控制审计报告中增加强调事项段予以说明。 2.否定意见的内部控制审计报告。
注册会计师认为财务报告内部控制存在一项或多项重大缺陷的,除非审计范围受到限制,需要对财务报告内部控制发表否定意见。
3.无法表示意见的内部控制审计报告。
注册会计师审计范围受到限制的,需要解除业务约定或出具无法表示意见的内部控制审计报告,并就审计范围受到限制的情况,以书面形式与董事会进行沟通。 4.期后事项与非标准内部控制审计报告。
注册会计师需要按照((中国注册会计师审计准则第1131号—审计工作底稿》的规定,编制内部控制审计工作底稿,完整记录审计工作情况。 1.内部控制审计计划及重大修改情况;
2.相关风险评估和选择拟测试的内部控制的主要过程及结果; 3.测试内部控制设计与运行有效性的程序及结果; 4.对识别的控制缺陷的评价; 5.形成的审计结论和意见; 6.其他重要事项。
第一章 总 则
第一条 为了规范注册会计师执行企业内部控制审计业务,明确工作要求,保证执业质量,根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则,制定本指引。
第二条 本指引所称内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
第三条 建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。
第四条 注册会计师执行内部控制审计工作,应当获取充分、适当的证据,为发表内部控制审计意见提供合理保证。
注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。 第五条 注册会计师可以单独进行内部控制审计,也可将内部控制审计与财务报表审计整合进行(以下简称整合审计)。
在整合审计中,注册会计师应当对内部控制设计与运行的有效性进行测试,以同时实现下列目标: