第二十一章 《企业内部控制审计指引》讲解
为了规范注册会计师执行企业内部控制审计业务,明确工作要求,保证执业质量,根据《企业内部控制基本规范》(以下简称《基本规范》)、《中国注册会计师鉴证业务基本准则》及相关执业准则,财政部制定了《企业内部控制审计指引》(以下简称《内控审计指引》)。内控审计指引共7章35条,并附有4份不同意见类型的内部控制审计报告,阐明了什么是内部控制审计、如何执行内部控制审计工作等问题。
与内部控制审计相关的政策制度层面的规定首先是财政部等五部委制定的《基本规范》和《企业内部控制应用指引》(以下简称《内控应用指引》);同时,也应遵守《中国注册会计师鉴证业务基本准则》及相关执业准则。比如,在内控审计过程中,注册会计师如果利用内部审计人员的工作,则需要遵守《中国注册会计师审计准则第1411号——考虑内部审计工作》的规定。又如,注册会计师应当按照《中国注册会计师审计准则第1131号——审计工作底稿》的规定,编制内部控制审计工作底稿,完整记录审计工作情况等。
一、内部控制审计概述
(一)实施内部控制审计的必要性
内部控制作为企业的一项重要管理活动,主要试图解决三方面的基本问题,即财务报告及相关信息的可靠性、资产的安全完整以及对法律法规的遵循;与此同时,促进提高经营的效率效果,并促进实现企业的发展战略。安然、世通等一系列公司财务报表舞弊事件发生后,人们认识到健全有效的内部控制对预防此类事件的发生至关重要。各国政府监管机构、企业界和会计职业界对内部控制的重视程度也进一步提升,从注重财务报告本身可靠性转向注重对保证财务报告可靠性机制的建设,也就是通过过程的有效保证结果的有效。资本市场上的投资者甚至社会公众要求企业披露其与内部控制相关的信息,并要求经过注册会计师审计以增强信息的可靠性。
但是,在财务报表审计中,只有在以下两种情况下才强制要求对内部控制进行测试:在评估认定层次重大错报风险时,预期控制的运行是有效的(即在确定实质性程序的性质、时间安排和范围时,注册会计师拟信赖控制运行的有效性);或者仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。可见,注册会计师对内部控制的了解和测试不足以对内部控制发表意见,难以满足信息使用者的需求。因此,内部控制审计逐渐发展起来,很多国家要求注册会计师对内部控制设计和运行的有效性进行审计或鉴证。例如,美国《萨班斯——奥克斯利法案》404条款和日本《金融商品交易法》要求审计师对企业管理层对财务报告内部控制的评价进行审计;我国《基本规范》要求会计师事务所对企业内部控制的有效性进行审计,出具审计报告,并专门制定《内控审计指引》规范内部控制审计工作。
(二)各国(地区)及我国对内部控制审计的要求
1.各国(地区)对内部控制审计的要求。我们对内部控制审计进行了国际比较研究,选择了在内部控制规范制定领域一直走在世界前沿的几个国家和地区,包括美国、日本、欧盟、加拿大和英国,对上述各国及地区出台的内控审计标准进行了比较研究。研究结论如表21-1所示。
表21-1 内部控制审计国际比较表
| 比较项目 | 美国 | 日本 | 欧盟 | 加拿大 | 英国 |
|---|---|---|---|---|---|
| 是否要求对内部控制进行审计 | SOX法案强制要求 | J-SOX法案强制要求 | 不强制要求 | 不强制要求,可通过签订专项业务约定书进行 | 不强制要求,但上市规则要求审计师对管理层作出的内部控制声明进行形式上的审阅 |
| 内部控制审计的范围 | 财务报告内部控制 | 财务报告内部控制 | 财务报告内部控制 | 财务报告内部控制 | 所有重大的控制 |
| 内部控制审计是与年报审计整合进行还是单独进行 | 同一家会计师事务所将两种审计整合进行 | 同一家会计师事务所的同一审计师将两种审计整合进行 | 不适用 | 不适用 | 不适用 |
| 是否基于基准日对内部控制进行审计 | 是基于基准日 | 是基于基准日 | 不适用 | 不适用 | 不适用 |
| 直接报告还是间接报告 | 直接报告(审计准则第5号规定直接报告,取代了审计准则第2号要求的间接报告) | 间接报告(从审计管理层内部控制评价报告结果的角度实施审计程序,获取审计证据) | 不适用 | 不适用 | 不适用 |
由表21-1可见:
(1)美国和日本均通过法案的形式强制要求对企业财务报告内部控制进行审计;欧盟、加拿大并未强制要求进行内控审计;英国也未强制要求,但英国上市规则要求审计师对管理层作出的内部控制声明进行形式上的审阅。
(2)不论是强制要求进行内部控制审计的国家还是不强制要求审计的国家,如果进行内部控制审计,多是针对财务报告内部控制进行审计。
(3)强制要求进行内部控制审计的国家,如美国和日本,内部控制审计与年度财务报表审计整合进行。其中,美国要求由同一家会计师事务所将内部控制审计与财务报表审计整合进行,而日本则不仅如此,要求同一个审计师从计划审计工作、实施审计程序获取审计证据、评价审计证据的充分性和适当性,直到发表审计意见的整个过程中,将两种审计作为一个整体进行。
2.我国对内部控制审计的要求。2010年4月26日,财政部发布《内控审计指引》,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。
执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷,应当提示投资者、债权人和其他利益相关者关注。
这意味着,企业内部控制审计业务由原来的一次性业务或面向少数企业的业务(A股企业原先仅在IPO时需要,或者赴美国和日本等地上市企业需要,或者金融证券等高风险行业需要),变成了与财务报表审计一样的经常性业务,每年需执行一次。
对于执行内部控制审计的会计师事务所来讲,对公司上市前要进行内部控制审计,上市后也要进行内部控制审计。
(三)内部控制审计的定义
内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
1.企业内部控制审计基于特定基准日。注册会计师基于基准日(如年末12月31日)内部控制的有效性发表意见,而不是对财务报表涵盖的整个期间(如一年)的内部控制的有效性发表意见。但这并不意味着注册会计师只关注企业基准日当天的内部控制,而是要考察企业一个时期内(足够长的一段时间)内部控制的设计和运行情况。例如,注册会计师可能在5月份对企业的内部控制进行测试,发现问题后提请企业进行整改,如6月份整改,企业的内部控制在整改后要运行一段时间(如至少一个月),8月份注册会计师再对整改后的内部控制进行测试。因此,虽然是对企业12月31日(基准日)内部控制的设计和运行发表意见,但这里的基准日不是一个简单的时点概念,而是体现内部控制这个过程向前的延续性。注册会计师所采用的内部控制审计的程序和方法,也体现了这种延续性。
2.财务报告内部控制与非财务报告内部控制。一般认为,财务丑闻的频发导致监管部门要求对企业内部控制进行强制审计,所以,内部控制审计的基本出发点之一是为了保证企业财务信息的可靠性,保护投资者利益。正因为如此,许多国家要求注册会计师对企业内部控制中与财务报告相关的控制(财务报告内部控制)进行审计。但是,如果企业仅关注财务报告内部控制,不利于内部控制规范全面实施以及企业风险管控能力的提升,因此,内控审计指引第四条第二款规定,注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
财务报告内部控制,是指企业为了合理保证财务报告及相关信息真实、完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。主要包括下列方面的政策和程序:
(1)保存充分、适当的记录,准确、公允地反映企业的交易和事项;
(2)合理保证按照企业会计准则的规定编制财务报表;
(3)合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权;
(4)合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项。
非财务报告内部控制,是指除财务报告内部控制之外的其他控制,通常是指为了合理保证除财务报告及相关信息、资产安全外的其他控制目标的实现而设计和运行的内部控制。
3.企业内控责任与注册会计师审计责任的关系。内控审计指引第三条规定,建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。
两者之间的关系和会计责任与审计责任的区分保持一致,即:建立健全和有效实施内部控制是企业董事会(或类似决策机构,下同)的责任;按照《内控审计指引》的要求,在实施审计工作的基础上对企业内部控制的有效性发表审计意见,是注册会计师的责任。换言之,内控本身有效与否是企业的内控责任,是否遵循内控审计指引开展内控审计并发表恰当的审计意见是注册会计师的审计责任。因此,注册会计师在实施内控审计之前,应当在业务约定书中明确双方的责任;在发表内控审计意见之前,应当取得经企业签署的内控书面声明。
(四)整合审计
《内控审计指引》第五条规定,注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(以下简称整合审计)。
理解这一规定,要明确两点:一是内部控制审计与财务报表审计是两种不同的审计业务,两种审计的目标不同;二是内部控制审计与财务报表审计可以整合起来进行。
1.内部控制审计与财务报表审计的异同。表21-2对内部控制审计与财务报表审计进行了比较。
表21-2 内部控制审计与财务报表审计比较
| 比较项目 | 内部控制审计 | 财务报表审计 |
|---|---|---|
| 审计目的 | 对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露 | 对财务报表是否符合企业会计准则,是否公允反映被审计单位的财务状况和经营成果发表意见 |
| 了解和测试内部控制的目的 | 了解和测试内部控制的直接目的是对内部控制设计和运行的有效性发表意见 | 财务报表审计按风险导向审计模式进行,了解内部控制是为了评估重大错报风险,测试内部控制是为了进一步证明了解内部控制时得出初步结论,了解和测试内部控制的最终目的服务于对财务报表发表审计意见的目的 |
| 测试范围 | 对所有重要账户、各类交易和列报的相关认定,都要了解和测试相关的内部控制 | 在财务报表审计中,只有在以下两种情况下才强制要求对内部控制进行测试:在评估认定层次重大错报风险时,预期控制的运行是有效的(即在确定实质性程序的性质、时间安排和范围时,注册会计师拟信赖控制运行的有效性);或者仅实施实质性程序并不能提供认定层次充分、适当的审计证据。 在其他情况下,注册会计师可以不测试内部控制。 |
| 测试时间 | 对特定基准日的内部控制的有效性发表意见,不需要测试整个会计期间,但要测试足够长的期间 | 一旦确定需要测试,则需测试内部控制在整个所审计期间的运行有效性 |
| 测试样本量 | 对结论可靠性的要求高,测试的样本量大 | 对结论可靠性要求取决于计划从控制测试中得到的保证程度(或减少实质性程序工作量的程度),样本量相对要小 |
| 报告结果 | (1)对外披露; (2)以正面、积极的方式对内部控制是否有效发表意见 | (1)通常不对外披露内部控制的情况,除非是内部控制影响到对财务报表发表审计意见; (2)以管理建议书的方式向管理层或治理层报告财务报表审计过程中发现的内部控制重大缺陷,但注册会计师没有义务专门实施审计程序,以发现和报告内部控制重大缺陷。 |
由表21-2可见,内部控制审计要求对企业控制设计和运行的有效性进行测试,财务报表审计中,也要求了解企业的内部控制,并在需要时测试控制,这是两种审计的相同之处,也是整合审计中应整合的部分,但由于两种审计的目标不同,内控审计指引要求在整合审计中,注册会计师对内部控制设计与运行的有效性进行测试,要同时实现两个目的:
(1)获取充分、适当的证据,支持在内部控制审计中对内部控制有效性发表的意见;
(2)获取充分、适当的证据,支持在财务报表审计中对控制风险的评估结果。
2.两种审计的整合。财务报告内部控制审计与财务报表审计通常使用相同的重要性(或重要性水平),在实务中两者很难分开。因为,注册会计师在审计财务报表时需获得的信息在很大程度上依赖注册会计师对内部控制有效性得出的结论。注册会计师可以利用在一种审计中获得的结果为另一种审计中的判断和拟实施的程序提供信息。
实施财务报表审计时,注册会计师可以利用内部控制审计的结果来修改实质性程序的性质、时间安排和范围,并且可以利用该结果来支持分析程序中所使用的信息的完整性和准确性。在确定实质性程序的性质、时间安排和范围时,注册会计师需要慎重考虑识别出的控制缺陷。
实施内部控制审计时,注册会计师需要评估财务报表审计时实质性程序中发现问题的影响。最重要的是,注册会计师需要重点考虑财务报表审计中发现的财务报表错报,考虑这些错报对评价内控有效性的影响。
二、计划审计工作
(一)总体要求
《内控审计指引》第六条指出,注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。
整合审计中项目组人员的配备比较关键。在计划审计工作时,项目合伙人需要统筹考虑审计工作,挑选相关领域的人员组成项目组,同时对项目组成员进行培训和督导,以合理安排审计工作。
在计划整合审计工作时,注册会计师需要评价下列事项对财务报表和内部控制是否有重要影响,以及有重要影响的事项将如何影响审计工作:
1.与企业相关的风险,包括在评价是否接受与保持客户和业务时,注册会计师了解的与企业相关的风险情况以及在执行其他业务时了解的情况;
2.相关法律法规和行业概况;
3.企业组织结构、经营特点和资本结构等相关重要事项;
4.企业内部控制最近发生变化的程度;
5.与企业沟通过的内部控制缺陷;
6.重要性、风险等与确定内部控制重大缺陷相关的因素;
7.对内部控制有效性的初步判断;
8.可获取的、与内部控制有效性相关的证据的类型和范围。
此外,注册会计师还需要关注与评价财务报表发生重大错报的可能性和内部控制有效性相关的公开信息,以及企业经营活动的相对复杂程度。评价企业经营活动的相对复杂程度时,企业规模并非唯一指标,因为不只是规模较小的企业,经营活动比较简单,一些规模较大和较复杂的企业,其某些业务单元或流程也可能比较简单。以下列示的是表明企业经营活动比较简单的因素:(1)经营范围较小;(2)经营流程及财务报告系统较简单;(3)会计职能较集中;(4)高级管理人员广泛参与日常经营活动;(5)管理层级较少,每个层级都有较大的管理范围。
(二)重视风险评估的作用
按照《内控审计指引》第八条规定,在内部控制审计中,注册会计师应当以风险评估为基础,确定重要账户、列报及其相关认定,选择拟测试的控制,以及确定针对所选定控制所需收集的证据。
风险评估的理念及思路应当贯穿于整个审计过程的始终。实施风险评估时,可以考虑固有风险及控制风险。在计划审计工作阶段,对内部控制的固有风险进行评估,作为编制审计计划的依据之一;根据对控制风险评估的结果,调整计划阶段对固有风险的判断,这是个持续的过程。
通常,对企业整体风险的评估和把握由富有经验的项目管理人员完成。风险评估结果的变化将体现在具体审计步骤及关注点的变化中。
内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。内部控制不能防止或发现并纠正由于舞弊导致的错报风险,通常高于其不能防止或发现并纠正由错误导致的错报风险。注册会计师应当更多地关注高风险领域,而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。
在进行风险评估以及确定审计程序时,企业的组织结构、业务流程或业务单元的复杂程度可能产生的重要影响均是注册会计师应当考虑的因素。
(三)利用其他相关人员的工作
在计划审计工作时,注册会计师需要评估是否利用他人(包括企业的内部审计人员、内部控制评价人员、其他人员以及在董事会及其审计委员会指导下的第三方)的工作以及利用的程度,以减少可能本应由注册会计师执行的工作。
如果决定利用内部审计人员的工作,注册会计师应当按照《中国注册会计师审计准则第1411号——利用内部审计人员的工作》的规定办理。
如果拟利用他人的工作,注册会计师则需要评价该人员的专业胜任能力和客观性。专业胜任能力即具备某种专业技能、知识或经验,有能力完成分派的任务;客观性则是公正、诚实地执行任务的能力。专业胜任能力和客观性越高,可利用程度就越高,注册会计师就可以越多地利用其工作。当然,无论人员的专业胜任能力如何,注册会计师都不应利用那些客观程度较低的人员的工作。同样地,无论人员的客观程度如何,注册会计师都不应利用那些专业胜任能力较低的人员的工作。通常认为,企业的内部审计人员拥有更高的专业胜任能力和客观性,注册会计师可以考虑更多地利用这些人员的相关工作。
在内部控制审计中,注册会计师利用他人工作的程度还受到与被测试控制相关的风险的影响。与某项控制相关的风险越高,可利用他人工作的程度就越低,注册会计师就需要更多地对该项控制亲自进行测试。
如果其他注册会计师负责审计企业的一个或多个分部、分支机构、子公司等组成部分的财务报表和内部控制,注册会计师应当按照《中国注册会计师审计准则第1401号——对集团财务报表审计的特殊考虑》的规定,确定是否利用其他注册会计师的工作。
三、实施审计工作
(一)自上而下的方法
《内控审计指引》第十条规定,注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。
自上而下的方法按照下列思路展开:
1.从财务报表层次初步了解内部控制整体风险;
2.识别企业层面控制;
3.识别重要账户、列报及其相关认定;
4.了解错报的可能来源;
5.选择拟测试的控制。
在财务报告内控审计中,自上而下的方法始于财务报表层次,以注册会计师对财务报告内部控制整体风险的了解开始,然后,注册会计师将关注重点放在企业层面的控制上,并将工作逐渐下移至重大账户、列报及相关的认定。这种方法引导注册会计师将注意力放在显示有可能导致财务报表及相关列报发生重大错报的账户、列报及认定上。之后,注册会计师验证其了解到的业务流程中存在的风险,并就已评估的每个相关认定的错报风险,选择足以应对这些风险的业务层面控制进行测试。在非财务报告内控审计中,自上而下的方法始于企业层面控制,并将审计测试工作逐步下移到业务层面控制。
自上而下的方法描述了注册会计师在识别风险以及拟测试的控制时的连续思维过程,但并不一定是注册会计师执行审计程序的顺序。
(二)识别企业层面控制
从财务报表层次初步了解财务报告内部控制整体风险是自上而下方法的第一步。通过了解企业与财务报告相关的整体风险,注册会计师首先可以识别出为保持有效的财务报告内部控制而必需的企业层面内部控制。此外,由于对企业层面内部控制的评价结果将影响注册会计师测试其他控制的性质、时间安排和范围,因此,注册会计师可以考虑在执行业务的早期阶段对企业层面内部控制进行评价。
1.评价企业层面控制的精确度。不同的企业层面控制在性质和精确度上存在着差异,这些差异可能对其他控制及其测试产生影响。
(1)某些企业层面控制,如企业经营理念、管理层的管理风格等与控制环境相关的控制,对及时防止或发现并纠正相关认定的错报的可能性有重要影响。虽然这种影响是间接的,但这些控制仍然可能影响注册会计师拟测试的其他控制,以及测试程序的性质、时间安排和范围。
(2)某些企业层面控制旨在识别其他控制可能出现的失效情况,能够监督其他控制的有效性,但还不足以精确到及时防止或发现并纠正相关认定的错报。当这些控制运行有效时,注册会计师可以减少对其他控制的测试。
【例21-1】某电子游戏企业持有大量的银行账户,企业的会计职员负责根据事先确定的计划(一些账户的截止日期不同)编制账户的银行存款余额调节表。通过询问管理人员,注册会计师得知该企业的财务总监是一位经验丰富的会计师,每月审查该会计职员编制的银行存款余额调节表,以确定是否及时编制了调节表、编制调节表过程中识别的调节项目的性质以及调节项目是否及时解决等。该案例中,注册会计师在评价财务总监审查的精准度时需要考虑该项控制的目标。注册会计师发现,财务总监审查的目的是查看会计职员是否以上述方式执行了调整。因此,注册会计师不能指望财务总监对调节表的审查本身能够足够精准到发现错报。但是,财务总监的审查仍然可以影响注册会计师的风险评估,因为它提供了关于调节程序的性质、一贯性的额外信息。注册会计师通过询问、检查文件获取关于财务总监审查的证据,评价该审查的有效性,并且根据评估的风险水平确定所需直接测试的调节控制的数量。如果认为财务总监审查有效且没有其他风险迹象,注册会计师可能减少对调节控制的直接测试。
又如,企业的财务总监定期审阅经营收入的详细月度分析报告,但该项控制尚未精确到足以及时防止或发现并纠正财务报表相关认定的重大错报,即该项控制不能完全替代注册会计师对其他控制的测试。但是,如果该项控制运行有效,注册会计师可以修改其原本拟对其他控制实施的测试程序。
(3)某些企业层面控制本身能够精确到足以及时防止或发现并纠正相关认定的错报。如果一项企业层面控制足以应对已评估的错报风险,注册会计师就不必测试与该风险相关的其他控制。
【例21-2】某企业的财务总监为企业工作了10年,非常了解业务流程,其中包括工资流程,并且每周审查工资汇总报告。财务总监对企业的业务循环和工作流程十分了解,熟悉预算和报告流程,能迅速识别工资处理不恰当的信号及其内在的原因,如与某个项目、加班、聘用或临时解聘等情况相关。必要时,财务总监将展开调查以确定是否出现错报或者内部控制运行无效,并采取整改措施。根据对控制环境和针对管理层凌驾于控制之上的控制的了解,注册会计师发现,该财务总监具备诚信的品质,并努力保证内部控制有效。
该案例中,注册会计师评价财务总监审查的有效性,包括其精准度。注册会计师询问了财务总监的审查过程,并且获取了审查的其他证据。注册会计师注意到,财务总监调查偏离预期值的重大差异的临界值,足以发现导致财务报表重大错报的错报。注册会计师选择了一些财务总监标记的、偏离预期值的重大差异,以确定财务总监是否为确定这些差异由错报导致而对其进行了适当调查。在将整个审计过程中获取的证据一并进行考虑时,注册会计师发现财务报表审计程序的结果没有识别出与工资相关的成本和费用的可能错报。注册会计师认为,由于财务总监调查偏离预期值的重大差异的临界值恰当,审查工作可以发现工资处理的错报。但是,注册会计师认为该项控制需要依赖企业IT系统生成的报告,只有当这些报告的完整性和准确性控制有效时,财务总监的审查才能有效。在测试了相关计算机控制以后,注册会计师认为财务总监的审查结合报告的相关控制,能够实现上述工资处理方面的控制目标。
一般情况下,注册会计师通过考虑以下因素可以分析某项控制是否有足够的精确度及时防止或发现并纠正重大错报:
①内部控制对应的重大账户及列报的性质,如某些比较稳定或具备预期内在关系的会计科目,通过管理层进行的分析程序可以获得足够的精确度;
②管理层分析的细化程度,如企业层面控制可能会对会计科目按照产品、地区作细化分析,并且会与其他相关资料进行比较分析,以确定财务报表相关认定的准确性。
例如,企业设立了银行余额调节表的监督审阅流程,并且对所有下属机构进行定期检查,确定所有下属机构已做好银行余额调节表的编制、审阅及跟踪工作。如果监督审阅过程中的程序有足够的精确度以复核各个下属机构的工作是否恰当,那么注册会计师可以考虑测试该项企业层面控制,并且不必对每个下属机构银行余额调节表的相关控制进行测试。
2.企业层面控制的内容。
(1)与内部环境相关的控制。内部环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。良好的内部环境是实施有效内部控制的基础。在了解和评价内部环境时,注册会计师需要考虑与内部环境有关的各个要素及其相互联系,尤其要注意的是,内部环境任一构成要素存在重大缺陷,都会影响其他要素的有效性。在了解和评价内部环境时,注册会计师需要考虑的因素主要包括:管理层的理念和经营风格是否促进了内部控制的有效执行;管理层在治理层的监督下,是否营造并保持了诚信和合乎道德的文化;治理层是否了解并监督财务报告的过程和内部控制。
注册会计师可以首先了解内部环境的各个要素,并考虑其是否得到执行。管理层可能建立了合理的内部控制制度,但却未能有效执行。在了解的基础上,注册会计师可以选择那些对内部控制有效性的审计结论产生重要影响的企业层面内部控制进行测试。
(2)针对管理层(董事会、经理层)凌驾于控制之上的风险而设计的控制。该控制对所有企业保持有效的内部控制都有重要影响。企业规模不同,管理层凌驾于内部控制之上的风险水平也不同。由于较小企业的高级管理人员更多地参与控制的执行和期末财务报告过程,其管理层凌驾于控制之上的风险可能更大,因此,采用的控制可能与大企业采用的不同。注册会计师可以根据对企业舞弊风险的评估作出判断,选择相关的企业层面控制进行测试,并评价这些控制能否有效应对管理层凌驾于控制之上的风险。
【例21-3】某企业的审计委员会至少每年召开一次会议,讨论其对管理层凌驾于内部控制之上的风险的评估,包括管理层凌驾于控制之上的动机以及这些凌驾行为是如何被掩盖的。审计委员会实施以下程序以应对管理层凌驾于控制之上的风险:审查管理层制定重大估计的假设和判断;审查企业举报流程及相关报告是否发挥作用,并不时地询问不直接负责财务报告的经理(包括销售、采购、人力资源及其他部门等),以获取关于企业内部对诚信和道德价值观的看法或有关管理层凌驾于控制之上的迹象。
在该案例描述的情况下,注册会计师需要根据多种来源的证据评价审计委员会的监督。如通过参加讨论管理层凌驾于控制之上的风险和举报方案的审计委员会会议,或者检查讨论这些事项的会议的纪要。在向审计委员会询问舞弊风险时,注册会计师还可以讨论与控制被凌驾的风险相关的事项,包括审计委员会如何评估管理层凌驾于控制之上的风险、审计委员会获取的关于管理层可能凌驾于控制之上的信息,以及审计委员会对管理层凌驾于控制之上的风险的担心是如何解决的。这些信息均可能影响注册会计师对管理层凌驾于控制之上的风险的评估以及对相关控制的测试。
(3)企业的风险评估过程。风险评估过程包括识别与财务报告相关的经营风险和其他经营管理风险,以及针对这些风险采取的措施。首先,企业的内部控制能够充分识别企业外部环境(如在经济、政治、法律法规、竞争者行为、债权人需求、技术变革等方面)存在的风险;其次,充分且适当的风险评估过程需要包括对重大风险的估计、对风险发生可能性的评估以及确定应对风险的方法。注册会计师可以首先了解企业及其内部环境的其他方面信息,以初步了解企业的风险评估过程。
(4)对内部信息传递和财务报告流程的控制。财务报告流程的控制可以确保管理层按照适当的会计准则编制合理、可靠的财务报告并对外报告。期末财务报告流程包括:将交易总额过入总分类账的程序;与会计政策的选择和运用相关的程序;总分类账中会计分录的编制、批准等处理程序;对财务报表进行调整的程序;编制财务报表的程序。
由于期末财务报告流程通常发生在管理层评价日之后(即期末财务报告流程),注册会计师一般只能在该日之后测试相关控制。注册会计师可以从下列方面评价期末财务报告流程:企业财务报表的编制流程,包括输入、处理及输出;期末财务报告流程中运用信息技术的程度;管理层中参与期末财务报告流程的人员;期末财务报告流程涉及的经营场所;调整分录及合并分录的类型;经理层、董事会和审计委员会对期末财务报告流程进行监督的性质及范围。
(5)对控制有效性的内部监督和自我评价。企业对控制有效性的内部监督和自我评价可以在企业层面上实施,也可以在业务流程层面上实施,包括:对运行报告的复核和核对、与外部人士的沟通、对其他未参与控制执行人员的监控活动,以及将信息系统记录数据与实物资产进行核对等。
企业的审计委员会可能针对企业财务和非财务方面的各项活动提出疑问,包括对企业重要会计政策和需要判断的会计估计等方面。企业的内部审计部门可能经常性地提出有关强化内部控制的建议。许多企业的内部审计开始将工作重点放在评价内部控制的设计和测试其执行的有效性上面,从而识别潜在的缺陷,提供有利于管理层做出成本效益分析的信息,并据此提出改进建议。在监督企业日常活动时,内部审计部门或者执行类似职能的人员对于有效监督企业活动可能具有重要的意义。很多企业内部都有一个集中化的内部审计部门,通过对各业务单元或地区轮流的视察,进行控制复核并根据前期发现的不足之处,对其实施有效监控。
此外,企业层面控制还包括:
(1)集中化的处理和控制,包括共享的服务环境。集中化的处理可以视作企业内部为取得规模效益的一种“外包”安排,通过将某些或全部的财务报告过程与负责经营的管理层分离以改进内部环境。通常,企业设立共享服务中心,并向企业内部的其他下属机构提供日常的会计处理及财务报表编制服务。由于采用集中化管理可以降低各个下属机构负责人对该机构财务报表的影响,从而使财务报告内部控制更有效,所以集中化的管理和控制有助于降低财务报表错报风险。
注册会计师在审计共享服务中心时,可以先了解共享服务中心的服务对象以及服务范围,并分析其服务对象的重大财务报表错报风险。针对这些风险,注册会计师可以分析企业是否有相关的控制用以降低其下属机构财务报表发生重大错报的风险。
一般而言,共享服务中心某服务对象错报风险越大,注册会计师需要测试的该机构的内部控制就越多。同时,注册会计师可能还需要到共享服务中心及其服务对象分别进行内部控制审计工作。
由于共享服务中心内部控制对企业的影响较大,注册会计师可以考虑在审计工作初期就分析其内部控制的性质、对企业的影响等,并且考虑在较早阶段对共享服务中心内部控制的有效性进行测试,以确定其对进一步审计程序性质、时间安排以及范围的影响。同时,注册会计师还需要关注共享服务中心与财务报表等相关的信息技术系统,特别关注是该系统的复杂程度、使用的软件等因素,以选择合适的控制进行测试,包括集中处理环境下的信息技术一般控制是否有效。
(2)监控经营成果的控制。监督经营成果的控制是监督性内部控制(或称发现性内部控制,下同)的一种。通常,企业管理层对于各单位或业务部门经营情况的监控是监督性内部控制中一种主要的企业层面内部控制。例如,企业管理层可能会将各个下属机构和业务部门上报的实际生产量、销售量和其他资料,与原来预算或者预期的数字进行对比分析,并且根据形成两者之间差异的原因及差异是否合理,以确定财务报表上的金额是否发生异常变动。此外,下属机构或业务部门的管理人员可能会定期复核其上报的财务报表的准确性,并在上报的资料上签字确认,对财务报表发生的错报承担责任。
监督经营成果的内部控制范围非常广泛,其中与监督经营成果相关的企业层面控制主要包括:管理层定期将经营成果与预算进行对比分析及复核,分析财务资料是否存在异常情况;定期编制主要经营指标并对这些指标进行审阅及分析,分析财务资料是否存在异常情况;定期更新经营预测,并与期末的实际经营结果进行对比分析。
监督经营成果的控制还包括在控制环境以及风险评估流程方面的监控,主要包括:对客户投诉报告的复核及分析,查找企业各下属机构或业务部门是否存在违规、不合法或管理不善的情况;对违反企业政策或守则行为的处理的复核;对与员工报酬或晋升相关的员工业绩评价流程的复核,以确定企业内部公平及平衡的奖惩制度的执行;对企业记录的财务报表编制流程中存在的主要风险的复核,以考虑企业内部及外部存在的重大错报风险是否被清楚地反映。
在了解监督经营成果的控制时,注册会计师可以从性质上分析这些控制是否有足够的精确度以取代对业务流程层面控制的测试。例如,如果管理层对财务报表的定期复核缺乏足够的精确度以确保报表金额是准确的,注册会计师就需要对企业财务报表编制流程中的控制进行测试。但是,如果上述监督经营成果的控制是有效的,注册会计师可以考虑减少对其他控制的测试。
(3)针对重大经营控制以及风险管理实务而采取的政策。在企业针对重大经营控制以及风险管理实务而采取的政策方面,注册会计师需要考虑的主要因素包括:
①企业的内部环境,例如:公司治理结构和议事规则是否规范;是否有明确的决策、执行、监督等方面的职责权限;是否有专门机构具体负责组织协调内部控制的建立及实施等。
②基于企业整体的发展战略、经营战略和目标,管理层能否充分识别企业各业务流程中存在的内部和外部风险,例如:是否设定各类风险的承受度,其中包括企业整体对风险的承受能力和在业务流程层面可接受的风险水平;是否对风险进行分析,包括定性分析与定量分析;根据风险分析的结果,是否确定风险应对策略,包括风险规避、风险降低、风险分担和风险承受等;是否持续收集与风险变化相关的信息,并据此进行风险识别和风险分析,及时调整风险应对策略。
③企业是否根据内部控制目标,结合风险评估结果和风险应对策略,针对各种业务和事项,综合运用控制措施,将风险控制在可承受范围之内,同时建立重大风险预警机制和突发事件应急处理机制,确保突发事件得到及时妥善处理。
④为了保证控制活动的有效执行,企业是否进行持续的内部监督,包括日常监督和专项监督,并以书面或者其他适当的形式,妥善保存内部控制建立与实施过程中的相关记录或资料,确保内部控制建立与实施过程的可验证性。
(三)测试控制设计和运行的有效性
《内控审计指引》第十四条规定,注册会计师应当测试内部控制设计与运行的有效性。如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行,能够实现控制目标,表明该项控制的设计是有效的。如果某项控制正在按照设计运行,执行人员拥有必要授权和专业胜任能力,能够实现控制目标,表明该项控制的运行是有效的。
设计不当的控制可能表明控制存在缺陷甚至重大缺陷,注册会计师在测试控制运行的有效性时,首先要考虑控制的设计。注册会计师在测试控制设计与运行的有效性时,应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。注册会计师测试控制有效性实施的程序,按提供证据的效力,由弱到强排序为:询问、观察、检查和重新执行。其中,询问本身并不能为得出控制是否有效的结论提供充分、适当的证据。执行穿行测试通常足以评价控制设计的有效性。
以测试销售与收款流程中现金收款的内控设计和运行的有效性为例。注册会计师可以首先通过询问企业的出纳和会计,了解企业现金收款和入账流程的具体规定及实际操作过程;然后,注册会计师观察出纳的实际收款活动是否与了解的各个环节相一致;注册会计师可以抽查企业某日的付款单、现金收支表、银行存款单、当月银行对账单和银行调节表。通过执行上述的询问、观察和检查程序后,注册会计师了解到企业现金收款主要流程如下:
1.出纳收到客户根据销售人员填写的付款单交来的现金;
2.出纳核实现金与付款单无误后,在付款单上签字盖章,同时经手人和客户签字确认;
3.将当天每笔现金收款信息记录在“现金收支表”中;
4.出纳在下班前将保险柜中的现金存入银行;
5.出纳将银行存款单上交会计,并由会计在系统中编制凭证;
6.系统自动将凭证信息过入明细账和总账;
7.月末,会计将银行对账单与系统中银行存款账面余额进行核对,编制银行调节表;
8.财务主管审核,并在银行调节表上签字确认。
在详细了解以上流程后,注册会计师根据职业判断认为可以针对以下几个重要控制点进行测试:
1.检查付款单是否有出纳、经手人和客户的签字和盖章,以保证交易真实发生。
2.抽查某日全部付款单,核对“现金收支表”是否已将当日每笔收款记录在内,以确保当日“现金收支表”信息完整正确。
3.抽查某日的银行存款单,并与当日的“现金收支表”进行核对,以确保出纳将全部收款已及时存入银行。
4.当月结账后,检查系统中每家银行存款的账面余额以及对应的银行对账单和银行调节表,以确保银行调节表由会计按时编制并且编制正确。
5.检查财务主管是否在银行调节表上签字,以确保其每月已进行复核。
通过对以上控制点的测试,注册会计师可以得出现金收款流程内控的运行是否有效的结论。
规模较小、业务较简单的企业实现其控制目标的方式与规模较大、业务较复杂的企业不同。例如,一家业务较简单的小企业可能只有较少的会计人员,难以实行职责分离,导致企业需要运用补偿性控制以实现控制目标。在这种情况下,注册会计师需要评价这些补偿性控制的有效性。
如果企业利用第三方的帮助完成一些财务报告工作,注册会计师在评价负责企业财务报告及相关控制的人员的专业胜任能力时,还需要评价第三方的专业胜任能力。
(四)与控制相关的风险与拟获取证据的关系
在测试所选定控制的有效性时,注册会计师需要根据与控制相关的风险,确定所需获取的证据。与控制相关的风险包括控制可能无效的风险和因控制无效而导致重大缺陷的风险。与控制相关的风险越高,注册会计师需要获取的证据就越多。
与某项控制相关的风险受下列因素的影响:
1.该项控制拟防止或发现并纠正的错报的性质和重要程度;
2.相关账户、列报及其认定的固有风险;
3.相关账户或列报是否曾经出现错报;
4.交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的有效性产生不利影响;
5.企业层面控制(特别是对控制有效性的内部监督和自我评价)的有效性;
6.该项控制的性质及其执行频率;
7.该项控制对其他控制(如内部环境或信息技术一般控制)有效性的依赖程度;
8.该项控制的执行或监督人员的专业胜任能力,以及其中的关键人员是否发生变化;
9.该项控制是人工控制还是自动化控制;
10.该项控制的复杂程度,以及在运行过程中依赖判断的程度。
针对每一相关认定,注册会计师都需要获取控制有效性的证据,以便对内部控制整体的有效性单独发表意见,但注册会计师没有责任对单项控制的有效性发表意见。
对于控制运行偏离设计的情况(即控制偏差),注册会计师需要考虑该偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。
例如,注册会计师在测试某项关于现金支付的控制有效性时,在抽取的25个样本中发现某样本没有按照该项控制的设计要求由适当层级的人员签字,此时,注册会计师通常会要求企业的相关人员予以解释,并判断解释的合理性,同时相应扩大样本量,如果没有再发现控制偏差,则认为该控制偏差并不构成控制缺陷。
注册会计师通过测试控制有效性获取的证据,取决于实施程序的性质、时间安排和范围的组合。就单项控制而言,注册会计师应当根据与该项控制相关的风险,适当确定实施程序的性质、时间安排和范围,以获取充分、适当的证据。
测试控制有效性实施的程序,其性质在很大程度上取决于拟测试控制的性质。某些控制可能存在文件记录,反映其运行的有效性,而另外一些控制,如管理理念和经营风格,可能没有书面的运行证据。对缺乏正式运行证据的企业或企业的某个业务单元,注册会计师可以通过询问并结合运用观察活动、检查非正式的书面记录和重新执行某些控制等程序,获取有关控制有效性的充分、适当的证据。
对控制有效性的测试涵盖的期间越长,提供的控制有效性的证据越多。注册会计师需要获取内部控制在企业内部控制自我评价基准日前足够长的期间内有效运行的证据。对控制有效性的测试实施的时间安排越接近企业内部控制自我评价基准日,提供的控制有效性的证据越有力。因此,《内控审计指引》第十七条规定,注册会计师在确定测试的时间安排时,应当在下列两个因素之间作出平衡,以获取充分、适当的证据:
1.尽量在接近企业内部控制自我评价基准日实施测试;
2.实施的测试需要涵盖足够长的期间。
在企业内部控制自我评价基准日之前,管理层可能为提高控制效率、效果或弥补控制缺陷而改变企业的控制。如果新控制实现了相关控制目标,运行足够长的时间,且注册会计师能够测试并评价该项控制设计和运行的有效性,则无须测试被取代的控制。如果被取代控制设计和运行的有效性对控制风险的评估有重大影响,注册会计师则需要测试该项控制的有效性。
注册会计师执行内部控制审计业务通常旨在对企业内部控制自我评价基准日(通常为年末)内部控制的有效性发表意见。如果已获取有关控制在期中运行有效性的证据,注册会计师应当确定还需要获取哪些补充证据,以证实在剩余期间控制的运行情况。在将期中测试的结果更新至年末时,注册会计师需要考虑下列因素,以确定需获取的补充证据:
1.期中测试的特定控制的有关情况,包括与控制相关的风险、控制的性质和测试的结果;
2.期中获取的有关证据的充分性、适当性;
3.剩余期间的长短;
4.期中测试之后,内部控制发生重大变化的可能性及其变化情况。
(五)连续审计时的特殊考虑
在连续审计中,注册会计师在确定测试的性质、时间安排和范围时,还需要考虑以前年度执行内部控制审计时了解的情况。
1.影响连续审计中与某项控制相关的风险的因素。影响连续审计中与某项控制相关的风险的因素除第八部分“风险与拟获取证据的关系”中所列的10项因素外,还包括:
(1)以前年度审计中所实施程序的性质、时间安排和范围;
(2)以前年度对控制的测试结果;
(3)上次审计之后,控制或其运行流程是否发生变化,尤其是考虑IT环境的变化。
在考虑上述所列的风险因素以及连续审计中可获取的进一步信息之后,只有当认为与控制相关的风险水平比以前年度有所下降时,注册会计师在本年度审计中才可以减少测试。
2.实施对标策略。通常,完全自动化的应用控制不会因人为失误而失效。在连续审计中,对这类控制,注册会计师可以某一年度为测试基准,重点考虑该年度后内部控制发生的变化(即实施对标策略)。
如果认为程序变更、访问权限及计算机操作方面的一般控制有效,且可持续对其进行测试,并能证实自动化应用控制自最近一次测试之后未发生变化,则注册会计师不必重复执行测试,就可以认为自动化应用控制持续有效。注册会计师为证实控制未发生变化而需获取证据的性质和范围,可能随情况的变化而变化。例如,对于程序变更控制,如果变更的范围大、影响广,则注册会计师就需要获取更具有说服力的证据,并且所需的证据比程序变更范围小时需要获取的证据要多。
自动化应用控制能否一贯有效地运行可能取决于所使用的相关文件、表格、数据和参数的正确性。例如,计算利息收入的自动化应用控制的运行有效性可能取决于计算所使用利率表的一贯正确性。
注册会计师在确定是否使用对标策略时,首先要评价下列风险因素:
(1)应用控制与相关应用程序直接对应的程度;
(2)应用系统的稳定性(即各期间的变化大小);
(3)有关投入使用的程序,其汇编日期报告的可获得性和可靠性,该信息可作为此程序中的控制未发生变化的证据。
当上述因素表明风险较低时,对所评价的控制可能比较适合使用对标策略。当这些因素表明风险较高时,对所评价的控制不宜使用对标策略。
当程序发生变化的可能性很小时,例如,在卖方不允许访问或修改源代码时,对使用外购软件的企业采取自动化应用控制对标策略尤其有效。
在一段时期之后,注册会计师应重新设置自动化应用控制运行的测试基准。在确定何时重设测试基准时,注册会计师应当评价下列因素:
(1)信息技术控制环境的有效性,包括针对应用及操作系统的开发与维护、访问权限以及计算机操作实施的控制的有效性;
(2)如果含有控制的具体程序发生变化,注册会计师对该变化性质的了解;
(3)其他相关测试的性质和时间安排;
(4)与被设为测试基准的应用控制相关的错误导致的后果;
(5)控制是否易于受到其他可能变化的经营因素的影响。例如,一项自动化控制的设计可能基于文件中仅存在正数的假设,如果有负数(贷项)过入账户,此控制可能失效。
3.增加测试的不可预见性。为保证控制测试的有效性,使测试具有不可预见性,并能应对环境的变化,注册会计师需要每年改变控制测试的性质、时间安排和范围。每年在不同的时段进行测试控制,并增加或减少所执行测试的数量和种类,或者改变所使用测试程序的组合等。
四、评价控制缺陷
(一)评价控制缺陷的总体要求
如果某项控制的设计、实施或运行不能及时防止或发现并纠正财务报表错报,则表明内部控制存在缺陷。如果企业缺少用以及时防止或发现并纠正财务报表错报的必要控制,同样表明存在内部控制缺陷。
内部控制缺陷包括设计缺陷和运行缺陷。设计缺陷是指缺少为实现控制目标所必需的控制,或者现有控制设计不适当,即使正常运行也难以实现控制目标。运行缺陷是指设计适当的控制没有按设计意图运行,或者执行人员缺乏必要授权或专业胜任能力,无法有效实施控制。
内部控制存在的缺陷,按严重程度分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。具体到财务报告内部控制上,就是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表重大错报的一个或多个控制缺陷的组合。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。具体就是内部控制中存在的、其严重程度不如重大缺陷,但足以引起企业财务报告监督人员关注的一个或多个控制缺陷的组合。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
注册会计师需要评价其注意到的各项控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成重大缺陷。但是,在计划和实施审计工作时,不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。
下列迹象可能表明企业的内部控制存在重大缺陷:
1.注册会计师发现董事、监事和高级管理人员舞弊;
2.企业更正已经公布的财务报表;
3.注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报;
4.企业审计委员会和内部审计机构对内部控制的监督无效。
财务报告内部控制缺陷的严重程度取决于:
1.控制缺陷导致账户余额或列报错报的可能性;
2.因一个或多个控制缺陷的组合导致潜在错报的金额大小。
控制缺陷的严重程度与账户余额或列报是否发生错报无必然对应关系,而取决于控制缺陷是否可能导致错报。评价控制缺陷时,注册会计师需要根据财务报表审计中确定的重要性水平,支持对财务报告控制缺陷重要性的评价。注册会计师需要运用职业判断,考虑并衡量定量和定性因素。同时要对整个思考判断过程进行记录,尤其是详细记录关键判断和得出结论的理由。而且,对于“可能性”和“重大错报”的判断,在评价控制缺陷严重性的记录中,注册会计师需要给予明确地考量和陈述。
(二)评价控制缺陷举例
1.单个控制缺陷的识别。下面以未按时进行公司间对账为例,举例说明如何评价财务报告内部控制的控制缺陷。
【例21-4】某公司每月处理大量的公司间常规交易。公司间的单项交易并不重大,主要是涉及资产负债表的活动。公司制度要求逐月进行公司间对账,并在业务单元间函证余额。注册会计师了解到,目前公司没有按时开展对账工作,但公司管理层每月执行相应的程序对挑选出的大额公司间账目进行调查,并编制详细的营业费用差异分析表来评估其合理性。
基于上述情况,注册会计师可以确定此控制缺陷为重要缺陷。因为,由于该控制缺陷引起的财务报表错报可以被合理地预计为介于重要和重大之间,由于公司间单项交易并不重大,这些交易限于资产负债表科目,而且每月执行的补偿性控制应该能够发现重大错报。
仍用上例,如果公司每月处理的大量公司间交易涉及广泛的业务活动,包括涉及公司间利润的存货转移,研究开发成本向业务单元的分摊,公司间单项交易常常是重大的。公司制度要求逐月进行公司间对账,并在业务单元间函证余额。注册会计师了解到,目前公司没有按时开展对账工作,这些账目经常出现重大差异。而且,公司管理层没有执行任何补偿性控制来调查重大的公司间账目差异。
基于上述情况,注册会计师可以确定此控制缺陷为重大缺陷。因为,由于该控制缺陷引起的财务报表错报可以被合理地预计为是重大的,由于公司间单项交易常常是重大的,而且涉及大范围活动。另外,在公司间账目上尚未对账的差异是重要的,由于这种错报常常发生,财务报表错报可能出现,而且补偿性控制无效。
2.多个控制缺陷的识别示例
例如,注册会计师识别出以下控制缺陷:
(1)对特定信息系统访问控制的权限分配不当;
(2)存在若干明细账不合理交易记录(交易无论单个还是合计都是不重要的);
(3)缺乏对受不合理交易记录影响的账户余额的及时对账。
上述每个缺陷均单独代表一个重要缺陷。基于这一情况,注册会计师可以确定这些重要缺陷合并构成重大缺陷。因为,就个别重要缺陷而言,这些缺陷有一定可能性,各自导致金额未达到重要性水平的财务报表错报。可是,这些重要缺陷影响同类会计账户,有一定可能性导致不能防止或发现并纠正重大错报的发生。因此,这些重要缺陷组合在一起符合重大缺陷的定义。
例如,注册会计师识别出以下控制缺陷:
(1)信贷损失估计的控制设计无效;
(2)那些对信贷损失备抵的初始处理以及复核调整的控制执行无效;
(3)旨在防止和发现利息收入认定不当的控制执行无效。
上述每个缺陷均单独代表一个重要缺陷。另外,在过去一年中,公司的贷款余额大幅增长,并预计来年将进一步增长。基于这一情况,注册会计师可以确定这些重要缺陷合并构成重大缺陷。因为,受这些重要缺陷影响的贷款账户余额上年已经增加,并预计在未来仍会增加。贷款余额的增加,加上上述重要缺陷的联合作用,导致信贷损失或利息收入备抵的重要错报有可能发生。因此,这些重要缺陷组合在一起符合重大缺陷的定义。
五、完成审计工作
(一)形成审计意见
注册会计师需要评价从各种来源获取的证据,包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷,以形成对内部控制有效性的意见。在评价证据时,注册会计师需要查阅本年度与内部控制相关的内部审计报告或类似报告,并评价这些报告中提到的控制缺陷。
只有在审计范围没有受到限制时,注册会计师才能对内部控制的有效性形成意见。如果审计范围受到限制,注册会计师需要解除业务约定或出具无法表示意见的内部控制审计报告。
(二)获取管理层书面声明
注册会计师需要取得经企业认可的书面声明,书面声明需要包括下列内容:
1.企业董事会认可其对建立健全和有效实施内部控制负责;
2.企业已对内部控制的有效性作出自我评价,并说明评价时采用的标准以及得出的结论;
3.企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础;
4.企业已向注册会计师披露识别出的内部控制所有缺陷,并单独披露其中的重大缺陷和重要缺陷;
5.对于注册会计师在以前年度审计中识别的、已与审计委员会沟通的重大缺陷和重要缺陷,企业是否已经采取措施予以解决;
6.在企业内部控制自我评价基准日后,内部控制是否发生重大变化,或者存在对内部控制具有重要影响的其他因素。
此外,书面声明中还包括导致财务报表重大错报的所有舞弊,以及不会导致财务报表重大错报,但涉及管理层和其他在内部控制中具有重要作用的员工的所有舞弊。
如果企业拒绝提供或以其他不当理由回避书面声明,注册会计师需要将其视为审计范围受到限制,解除业务约定或出具无法表示意见的内部控制审计报告。同时,注册会计师需要评价,企业拒绝提供书面声明对其他声明(包括在财务报表审计中获取的声明)的可靠性产生的影响。
注册会计师需要按照《中国注册会计师审计准则第1341号——书面声明》的规定,确定声明书的签署者、声明书涵盖的期间以及何时获取更新的声明书等。
(三)沟通相关事项
注册会计师需要与企业沟通审计过程中识别的所有控制缺陷。对于其中的重大缺陷和重要缺陷,需要以书面形式与董事会和经理层沟通。《中国注册会计师审计准则第1152号——向治理层和管理层通报内部控制缺陷》要求注册会计师以书面形式及时向治理层通报审计过程中识别出的值得关注的内部控制缺陷。其中,值得关注的内部控制缺陷包括重大缺陷和重要缺陷。
对于重大缺陷,注册会计师需要以书面形式与企业的董事会及其审计委员会进行沟通。如果认为审计委员会和内部审计机构对内部控制的监督无效,注册会计师需要就此以书面形式直接与董事会和经理层沟通。
对于重要缺陷,注册会计师需要以书面形式与审计委员会沟通。
注册会计师需要以书面形式与董事会沟通其在审计过程中识别的内部控制存在的所有缺陷,并在沟通完成后告知审计委员会。在进行沟通时,注册会计师无须重复自身、内部审计人员或企业其他人员以前书面沟通过的控制缺陷。
虽然并不要求注册会计师执行足以识别所有控制缺陷的程序,但是,注册会计师需要沟通其注意到的内部控制的所有缺陷。如果发现企业存在或可能存在舞弊或违反法规行为,注册会计师需要按照《中国注册会计师审计准则第1141号——财务报表审计中对舞弊的考虑》、《中国注册会计师审计准则第1142号——财务报表审计中对法律法规的考虑》的规定,确定并履行自身的责任。
六、出具审计报告
(一)总体要求
注册会计师需要评价根据审计证据得出的结论,以作为对内部控制的有效性形成审计意见的基础。
注册会计师需要在审计报告中清楚地表达对内部控制有效性的意见,并对出具的审计报告负责。
注册会计师在整合完成内部控制审计和财务报表审计后,需要分别对内部控制和财务报表出具审计报告。
内部控制审计不能保证注册会计师能够发现严重程度低于重大缺陷的所有控制缺陷。注册会计师不应在审计报告中声明,在审计过程中没有发现严重程度低于重大缺陷的所有控制缺陷。
(二)标准内部控制审计报告
当注册会计师出具的无保留意见的内部控制审计报告不附加说明段、强调事项段或任何修饰性用语时,该报告称为标准内部控制审计报告。标准内部控制审计报告包括下列要素:
1.标题。内部控制审计报告的标题统一规范为“内部控制审计报告”。
2.收件人。内部控制审计报告的收件人是指注册会计师按照业务约定书的要求致送内部控制审计报告的对象,一般是指审计业务的委托人。内部控制审计报告需要载明收件人的全称。
3.引言段。内部控制审计报告的引言段说明企业的名称和内部控制已经过审计。
4.企业对内部控制的责任段。企业对内部控制的责任段说明,按照《基本规范》、《内控应用指引》、《内控评价指引》的规定,建立健全和有效实施内部控制,并评价其有效性是企业董事会的责任。
5.注册会计师的责任段。注册会计师的责任段说明,在实施审计工作的基础上,对财务报告内部控制的有效性发表审计意见,并对注意到的非财务报告内部控制的重大缺陷进行披露是注册会计师的责任。
6.内部控制固有局限性的说明段。内部控制无论如何有效,都只能为企业实现控制目标提供合理保证。内部控制实现目标的可能性受其固有限制的影响,包括:
(1)在决策时人为判断可能出现错误和因人为失误而导致内部控制失效。例如,控制的设计和修改可能存在失误。
(2)控制的运行也可能无效。例如,由于负责复核信息的人员不了解复核的目的或没有采取适当的措施,使内部控制生成的信息(如例外报告)没有得到有效使用。
(3)控制可能由于两个或更多的人员进行串通舞弊或管理层不当地凌驾于内部控制之上而被规避。例如,管理层可能与客户签订背后协议,修改标准的销售合同条款和条件,从而导致不适当的收入确认。再如,软件中的编辑控制旨在识别和报告超过赊销信用额度的交易,但这一控制可能被凌驾。
(4)在设计和执行控制时,如果存在选择执行的控制以及选择承担的风险,管理层在确定控制的性质和范围时需要作出主观判断。
因此,注册会计师需要在内部控制固有局限性的说明段说明,内部控制具有固有局限性,存在不能防止和发现错报的可能性。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制审计结果推测未来内部控制的有效性具有一定风险。
7.财务报告内部控制审计意见段。如果符合下列所有条件的,注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告:
(1)企业按照《基本规范》、《内控应用指引》、《内控评价指引》以及企业自身内部控制制度的要求,在所有重大方面保持了有效的内部控制;
(2)注册会计师已经按照《内控审计指引》的要求计划和实施审计工作,在审计过程中未受到限制。
8.非财务报告内部控制重大缺陷描述段。对于审计过程中注意到的非财务报告内部控制缺陷,如果发现某项或某些控制对企业发展战略、法规遵循、经营的效率效果等控制目标的实现有重大不利影响,确定该项非财务报告内部控制缺陷为重大缺陷的,应当以书面形式与企业董事会和经理层沟通,提醒企业加以改进;同时在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露,提示内部控制审计报告使用者注意相关风险,但无须对其发表审计意见。
9.注册会计师的签名和盖章。
10.会计师事务所的名称、地址及盖章。
11.报告日期。
如果内部控制审计和财务报表审计整合进行,注册会计师对内部控制审计报告和财务报表审计报告需要签署相同的日期。
(三)非标准内部控制审计报告
1.带强调事项段的非标准内部控制审计报告。注册会计师认为财务报告内部控制虽不存在重大缺陷,但仍有一项或者多项重大事项需要提请内部控制审计报告使用人注意的,需要在内部控制审计报告中增加强调事项段予以说明。注册会计师需要在强调事项段中指明,该段内容仅用于提醒内部控制审计报告使用者关注,并不影响对财务报告内部控制发表的审计意见。
2.否定意见的内部控制审计报告。注册会计师认为财务报告内部控制存在一项或多项重大缺陷的,除非审计范围受到限制,需要对财务报告内部控制发表否定意见。注册会计师出具否定意见的内部控制审计报告,还需要包括下列重大缺陷的定义、重大缺陷的性质及其对财务报告内部控制的影响程度。
3.无法表示意见的内部控制审计报告。注册会计师只有实施了必要的审计程序,才能对内部控制的有效性发表意见。注册会计师审计范围受到限制的,需要解除业务约定或出具无法表示意见的内部控制审计报告,并就审计范围受到限制的情况,以书面形式与董事会进行沟通。
注册会计师在出具无法表示意见的内部控制审计报告时,需要在内部控制审计报告中指明审计范围受到限制,无法对内部控制的有效性发表意见,并单设段落说明无法表示意见的实质性理由。注册会计师不应在内部控制审计报告中指明所执行的程序,也不应描述内部控制审计的特征,以避免对无法表示意见的误解。注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的,需要在内部控制审计报告中对重大缺陷做出详细说明。
4.期后事项与非标准内部控制审计报告。在企业内部控制自我评价基准日并不存在、但在该基准日之后至审计报告日之前(以下简称期后期间)内部控制可能发生变化,或出现其他可能对内部控制产生重要影响的因素。注册会计师需要询问是否存在这类变化或影响因素,并获取企业关于这些情况的书面声明。
注册会计师需要针对期后期间,询问并检查下列信息:在期后期间出具的内部审计报告或类似报告;其他注册会计师出具的涉及企业内部控制缺陷的报告;监管机构发布的涉及企业内部控制的报告;注册会计师在执行其他业务中获取的、有关企业内部控制有效性的信息。
注册会计师还需要考虑获取期后期间的其他文件,并按照《中国注册会计师审计准则第1332号——期后事项》的规定,对其进行检查。
注册会计师知悉对企业内部控制自我评价基准日内部控制有效性有重大负面影响的期后事项的,需要对财务报告内部控制发表否定意见。注册会计师不能确定期后事项对内部控制有效性的影响程度的,需要出具无法表示意见的内部控制审计报告。
在出具内部控制审计报告之后,如果知悉在审计报告日已存在的、可能对审计意见产生影响的情况,注册会计师需要按照《中国注册会计师审计准则第1332号——期后事项》的规定办理。
七、记录审计工作
注册会计师需要按照《中国注册会计师审计准则第1131号——审计工作底稿》的规定,编制内部控制审计工作底稿,完整记录审计工作情况。
内部控制审计工作底稿为注册会计师提供证据,作为得出企业内控有效性结论的基础,同时证明注册会计师按照《内控审计指引》、相关执业准则和相关法律法规的规定计划和执行了审计工作。
记录完备的内部控制审计工作底稿有助于项目组计划和实施审计工作;有助于负责督导的项目组成员按照《中国注册会计师审计准则第1121号——对财务报表审计实施的质量控制》的规定,履行指导、监督与复核审计工作的责任;有助于项目组说明其执行审计工作的情况;有助于保留对未来审计工作持续产生重大影响的事项的记录;有助于会计师事务所按照《质量控制准则第5101号——会计师事务所对执行财务报表审计和审阅、其他鉴证和相关服务业务实施的质量控制》的规定,实施质量控制复核与检查;有助于会计师事务所接受来自政府监管部门和注册会计师协会的执业质量检查。
注册会计师需要在内部控制审计工作底稿中记录下列内容:
1.内部控制审计计划及重大修改情况;
2.相关风险评估和选择拟测试的内部控制的主要过程及结果;
3.测试内部控制设计与运行有效性的程序及结果;
4.对识别的控制缺陷的评价;
5.形成的审计结论和意见;
6.其他重要事项。