企业内部控制审计指引实施意见(会协〔2011〕66号)
发文信息
- 发文机关: 中国注册会计师协会
- 发布日期: 2011-10-11
- 生效日期: 2012-01-01
- 时效性: 现行有效
- 文号: 会协〔2011〕66号
- 原文链接: 中注协
为了规范注册会计师执行财务报告内部控制(以下简称内部控制)审计业务,明确工作要求,提高执业质量,维护公众利益,根据中国注册会计师审计准则、《企业内部控制基本规范》和《企业内部控制审计指引》,在整合审计框架下,制定本意见。
一、关于签订业务约定书
只有当内部控制审计的前提条件得到满足,并且会计师事务所符合独立性要求,具备专业胜任能力时,会计师事务所才能接受或保持内部控制审计业务。
(一)内部控制审计的前提条件
在确定内部控制审计的前提条件是否得到满足时,注册会计师应当:
(1)确定被审计单位采用的内部控制标准是否适当;
(2)就被审计单位认可并理解其责任与治理层和管理层达成一致意见。
被审计单位的责任包括:
(1)按照适用的内部控制标准,建立健全和有效实施内部控制,以使财务报表不存在由于舞弊或错误导致的重大错报;
(2)对内部控制的有效性进行评价并编制内部控制评价报告;
(3)向注册会计师提供必要的工作条件,包括允许注册会计师接触与内部控制审计相关的所有信息(如记录、文件和其他事项),允许注册会计师在获取审计证据时不受限制地接触其认为必要的内部人员和其他相关人员等。
(二)签订单独的内部控制审计业务约定书
如果决定接受或保持内部控制审计业务,会计师事务所应当与被审计单位签订单独的内部控制审计业务约定书。业务约定书应当至少包括下列内容:
(1)内部控制审计的目标和范围;
(2)注册会计师的责任;
(3)被审计单位的责任;
(4)指出被审计单位采用的内部控制标准;
(5)提及注册会计师拟出具的内部控制审计报告的形式和内容,以及对在特定情况下出具的内部控制审计报告可能不同于预期形式和内容的说明;
(6)审计收费。
二、关于计划审计工作
注册会计师应当贯彻风险导向审计的思路,恰当地计划内部控制审计工作,制订总体审计策略和具体审计计划。
(一)总体审计策略
注册会计师应当在总体审计策略中体现下列内容:
(1)确定内部控制审计业务特征,以界定审计范围。例如,被审计单位采用的内部控制标准、注册会计师预期内部控制审计工作涵盖的范围、对组成部分注册会计师工作的参与程度、注册会计师对被审计单位内部控制评价工作的了解以及拟利用被审计单位内部相关人员工作的程度等。对于按照权益法核算的投资,内部控制审计范围应当包括针对权益法下相关会计处理而实施的内部控制,但通常不包括针对权益法下被投资方的内部控制。内部控制审计范围应当包括被审计单位在内部控制评价基准日(最近一个会计期间截止日,以下简称基准日)或在此之前收购的实体,以及在基准日作为终止经营进行会计处理的业务。注册会计师应当确定是否有必要对与这些实体或业务相关的控制实施测试。如果法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制评价范围,注册会计师可以不将这些实体纳入内部控制审计的范围。
(2)明确内部控制审计业务的报告目标,以计划审计的时间安排和所需沟通的性质。例如,被审计单位对外公布或报送内部控制审计报告的时间、注册会计师与管理层和治理层讨论内部控制审计工作的性质、时间安排和范围,注册会计师与管理层和治理层讨论拟出具内部控制审计报告的类型和时间安排以及沟通的其他事项等。
(3)根据职业判断,考虑用以指导项目组工作方向的重要因素。例如,财务报表整体的重要性和实际执行的重要性、初步识别的可能存在重大错报的风险领域、内部控制最近发生变化的程度、与被审计单位沟通过的内部控制缺陷、对内部控制有效性的初步判断、信息技术和业务流程的变化等。
(4)考虑初步业务活动的结果,并考虑对被审计单位执行其他业务时获得的经验是否与内部控制审计业务相关(如适用)。
(5)确定执行内部控制审计业务所需资源的性质、时间安排和范围。例如,项目组成员的选择以及对项目组成员审计工作的分派,项目时间预算等。
(二)具体审计计划
注册会计师应当在具体审计计划中体现下列内容:
(1)了解和识别内部控制的程序的性质、时间安排和范围;
(2)测试控制设计有效性的程序的性质、时间安排和范围;
(3)测试控制运行有效性的程序的性质、时间安排和范围。
(三)对应对舞弊风险的考虑
在计划和实施内部控制审计工作时,注册会计师应当考虑财务报表审计中对舞弊风险的评估结果。在识别和测试企业层面控制以及选择其他控制进行测试时,注册会计师应当评价被审计单位的内部控制是否足以应对识别出的、由于舞弊导致的重大错报风险,并评价为应对管理层和治理层凌驾于控制之上的风险而设计的控制。被审计单位为应对这些风险可能设计的控制包括:
(1)针对重大的非常规交易的控制,尤其是针对导致会计处理延迟或异常的交易的控制;
(2)针对期末财务报告流程中编制的分录和作出的调整的控制;
(3)针对关联方交易的控制;
(4)与管理层的重大估计相关的控制;
(5)能够减弱管理层和治理层伪造或不恰当操纵财务结果的动机和压力的控制。如果在内部控制审计中识别出旨在防止或发现并纠正舞弊的控制存在缺陷,注册会计师应当按照《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》的规定,在财务报表审计中制定重大错报风险的应对方案时考虑这些缺陷。
三、关于实施审计工作
(一)采用自上而下的方法
注册会计师应当采用自上而下的方法选择拟测试的控制。自上而下的方法始于财务报表层次,以注册会计师对内部控制整体风险的了解开始,然后,将关注重点放在企业层面的控制上,并将工作逐渐下移至重要账户、列报及其相关认定。随后,验证其对被审计单位业务流程中风险的了解,并选择能足以应对评估的每个相关认定的重大错报风险的控制进行测试。自上而下的方法分为下列步骤:
(1)从财务报表层次初步了解内部控制整体风险;
(2)识别、了解和测试企业层面控制;
(3)识别重要账户、列报及其相关认定;
(4)了解潜在错报的来源并识别相应的控制;
(5)选择拟测试的控制。
本部分第(二)至(五)对自上而下的方法的各个步骤进行了规定,第(六)至(十三)对控制有效性测试进行了规定。(二)识别、了解和测试企业层面控制注册会计师应当识别、了解和测试对内部控制有效性有重要影响的企业层面控制。注册会计师对企业层面控制的评价,可能增加或减少本应对其他控制进行的测试。
1.企业层面控制对其他控制及其测试的影响
不同的企业层面控制在性质和精确度上存在差异,注册会计师应当从下列方面考虑这些差异对其他控制及其测试的影响:
(1)某些企业层面控制,如与控制环境相关的控制,对及时防止或发现并纠正相关认定的错报的可能性有重要影响。虽然这种影响是间接的,但这些控制仍然可能影响注册会计师拟测试的其他控制,以及测试程序的性质、时间安排和范围。
(2)某些企业层面控制旨在识别其他控制可能出现的失效情况,能够监督其他控制的有效性,但还不足以精确到及时防止或发现并纠正相关认定的错报。当这些控制运行有效时,注册会计师可以减少对其他控制的测试。
(3)某些企业层面控制本身能够精确到足以及时防止或发现并纠正相关认定的错报。如果一项企业层面控制足以应对已评估的错报风险,注册会计师就不必测试与该风险相关的其他控制。
2.企业层面控制的内容
企业层面控制包括下列内容:
(1)与控制环境(即内部环境)相关的控制;
(2)针对管理层和治理层凌驾于控制之上的风险而设计的控制;
(3)被审计单位的风险评估过程;
(4)对内部信息传递和期末财务报告流程的控制;
(5)对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价。
此外,集中化的处理和控制(包括共享的服务环境)、监控经营成果的控制以及针对重大经营控制及风险管理实务的政策也属于企业层面控制。
3.对期末财务报告流程的评价
期末财务报告流程对内部控制审计和财务报表审计有重要影响,注册会计师应当对期末财务报告流程进行评价。
期末财务报告流程包括:
(1)将交易总额登入总分类账的程序;
(2)与会计政策的选择和运用相关的程序;
(3)总分类账中会计分录的编制、批准等处理程序;
(4)对财务报表进行调整的程序;
(5)编制财务报表的程序。
注册会计师应当从下列方面评价期末财务报告流程:
(1)被审计单位财务报表的编制流程,包括输入、处理及输出;
(2)期末财务报告流程中运用信息技术的程度;
(3)管理层中参与期末财务报告流程的人员;
(4)纳入财务报表编制范围的组成部分;
(5)调整分录及合并分录的类型;
(6)管理层和治理层对期末财务报告流程进行监督的性质及范围。
(三)识别重要账户、列报及其相关认定
注册会计师应当基于财务报表层次识别重要账户、列报及其相关认定。如果某账户或列报可能存在一个错报,该错报单独或连同其他错报将导致财务报表发生重大错报,则该账户或列报为重要账户或列报。判断某账户或列报是否重要,应当依据其固有风险,而不应考虑相关控制的影响。如果某财务报表认定可能存在一个或多个错报,这些错报将导致财务报表发生重大错报,则该认定为相关认定。判断某认定是否为相关认定,应当依据其固有风险,而不应考虑相关控制的影响。为识别重要账户、列报及其相关认定,注册会计师应当从下列方面评价财务报表项目及附注的错报风险因素:
(1)账户的规模和构成;
(2)易于发生错报的程度;
(3)账户或列报中反映的交易的业务量、复杂性及同质性;
(4)账户或列报的性质;
(5)与账户或列报相关的会计处理及报告的复杂程度;
(6)账户发生损失的风险;
(7)账户或列报中反映的活动引起重大或有负债的可能性;
(8)账户记录中是否涉及关联方交易;
(9)账户或列报的特征与前期相比发生的变化。
在识别重要账户、列报及其相关认定时,注册会计师还应当确定重大错报的可能来源。注册会计师可以通过考虑在特定的重要账户或列报中错报可能发生的领域和原因,确定重大错报的可能来源。在内部控制审计中,注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素,与财务报表审计中考虑的因素相同。因此,在这两种审计中识别的重要账户、列报及其相关认定应当相同。如果某账户或列报的各组成部分存在的风险差异较大,被审计单位可能需要采用不同的控制以应对这些风险,注册会计师应当分别予以考虑。
(四)了解潜在错报的来源并识别相应的控制
注册会计师应当实现下列目标,以进一步了解潜在错报的来源,并为选择拟测试的控制奠定基础:
(1)了解与相关认定有关的交易的处理流程,包括这些交易如何生成、批准、处理及记录;
(2)验证注册会计师识别出的业务流程中可能发生重大错报(包括由于舞弊导致的错报)的环节;
(3)识别被审计单位用于应对这些错报或潜在错报的控制;
(4)识别被审计单位用于及时防止或发现并纠正未经授权的、导致重大错报的资产取得、使用或处置的控制。注册会计师应当亲自执行能够实现上述目标的程序,或对提供直接帮助的人员的工作进行督导。穿行测试通常是实现上述目标的最有效方式。穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程。注册会计师在执行穿行测试时,通常需要综合运用询问、观察、检查相关文件及重新执行等程序。在执行穿行测试时,针对重要处理程序发生的环节,注册会计师可以询问被审计单位员工对规定程序及控制的了解程度。实施询问程序连同穿行测试中的其他程序,可以帮助注册会计师充分了解业务流程,识别必要控制设计无效或出现缺失的重要环节。为有助于了解业务流程处理的不同类型的重大交易,在实施询问程序时,注册会计师不应局限于关注穿行测试所选定的单笔交易。
(五)选择拟测试的控制
注册会计师应当针对每一相关认定获取控制有效性的审计证据,以便对内部控制整体的有效性发表意见,但没有责任对单项控制的有效性发表意见。注册会计师应当对被审计单位的控制是否足以应对评估的每个相关认定的错报风险形成结论。因此,注册会计师应当选择对形成这一评价结论具有重要影响的控制进行测试。对特定的相关认定而言,可能有多项控制用以应对评估的错报风险;反之,一项控制也可能应对评估的多项相关认定的错报风险。注册会计师没有必要测试与某项相关认定有关的所有控制。在确定是否测试某项控制时,注册会计师应当考虑该项控制单独或连同其他控制,是否足以应对评估的某项相关认定的错报风险,而不论该项控制的分类和名称如何。
(六)测试控制设计的有效性
注册会计师应当测试控制设计的有效性。如果某项控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定的程序和要求执行,能够实现控制目标,从而有效地防止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊,则表明该项控制的设计是有效的。
(七)测试控制运行的有效性
注册会计师应当测试控制运行的有效性。如果某项控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力,能够实现控制标,则表明该项控制的运行是有效的。如果被审计单位利用第三方的帮助完成一些财务报告工作,注册会计师在评价负责财务报告及相关控制的人员的专业胜任能力时,可以一并考虑第三方的专业胜任能力。注册会计师获取的有关控制运行有效性的审计证据包括:
(1)控制在所审计期间的相关时点是如何运行的;
(2)控制是否得到一贯执行;
(3)控制由谁或以何种方式执行。
(八)与控制相关的风险和拟获取的审计证据之间的关系
在测试所选定控制的有效性时,注册会计师应当根据与控制相关的风险,确定所需获取的审计证据。与控制相关的风险包括一项控制可能无效的风险,以及如果该控制无效,可能导致重大缺陷的风险。与控制相关的风险越高,注册会计师需要获取的审计证据就越多。
下列因素影响与某项控制相关的风险:
(1)该项控制拟防止或发现并纠正的错报的性质和重要程度;
(2)相关账户、列报及其认定的固有风险;
(3)交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的有效性产生不利影响;
(4)相关账户或列报是否曾经出现错报;
(5)企业层面控制(特别是监督其他控制的控制)的有效性;
(6)该项控制的性质及其执行频率;
(7)该项控制对其他控制(如控制环境或信息技术一般控制)有效性的依赖程度;
(8)执行该项控制或监督该项控制执行的人员的专业胜任能力,以及其中的关键人员是否发生变化;
(9)该项控制是人工控制还是自动化控制;
(10)该项控制的复杂程度,以及在运行过程中依赖判断的程度。
(九)测试控制有效性的程序
注册会计师通过测试控制有效性获取的审计证据,取决于其实施程序的性质、时间安排和范围的组合。此外,就单项控制而言,注册会计师应当根据与控制相关的风险对测试程序的性质、时间安排和范围进行适当的组合,以获取充分、适当的审计证据。注册会计师测试控制有效性的程序,按其提供审计证据的效力,由弱到强排序通常为:询问、观察、检查和重新执行。询问本身并不能为得出控制是否有效的结论提供充分、适当的审计证据。测试控制有效性的程序,其性质在很大程度上取决于拟测试控制的性质。某些控制可能存在反映控制有效性的文件记录,而另外一些控制,如管理理念和经营风格,可能没有书面的运行证据。对缺乏正式的控制运行证据的被审计单位或业务单元,注册会计师可以通过询问并结合运用其他程序,如观察活动、检查非正式的书面记录和重新执行某些控制,获取有关控制是否有效的充分、适当的审计证据。注册会计师在测试控制设计的有效性时,应当综合运用询问适当人员、观察经营活动和检查相关文件等程序。注册会计师执行穿行测试通常足以评价控制设计的有效性。注册会计师在测试控制运行的有效性时,应当综合运用询问适当人员、观察经营活动、检查相关文件以及重新执行等程序。
(十)控制测试的涵盖期间
对控制有效性的测试涵盖的期间越长,提供的控制有效性的审计证据越多。单就内部控制审计业务而言,注册会计师应当获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据。在整合审计中,控制测试所涵盖的期间应当尽量与财务报表审计中拟信赖内部控制的期间保持一致。
注册会计师执行内部控制审计业务旨在对基准日内部控制有效性出具报告。如果已获取有关控制在期中运行有效性的审计证据,注册会计师应当确定还需要获取哪些补充审计证据,以证实剩余期间控制的运行情况。在将期中测试结果更新至基准日时,注册会计师应当考虑下列因素以确定需要获取的补充审计证据:
(1)基准日之前测试的特定控制,包括与控制相关的风险、控制的性质和测试的结果;
(2)期中获取的有关审计证据的充分性和适当性;
(3)剩余期间的长短;
(4)期中测试之后,内部控制发生重大变化的可能性。
针对所有重要账户和列报的每个相关认定,注册会计师应当获取控制有效性的审计证据。《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》第十四条提及的“三年轮换测试”不适用(本意见第四部分提及的与基准相比较的策略除外)。
(十一)控制测试的时间安排
对控制有效性测试的实施时间越接近基准日,提供的控制有效性的审计证据越有力。为了获取充分、适当的审计证据,注册会计师应当在下列两个因素之间作出平衡,以确定测试的时间:
(1)尽量在接近基准日实施测试;
(2)实施的测试需要涵盖足够长的期间。
整改后的内部控制需要在基准日之前运行足够长的时间,注册会计师才能得出整改后的内部控制是否有效的结论。因此,在接受或保持内部控制审计业务时,注册会计师应当尽早与被审计单位沟通这一情况,并合理安排控制测试的时间,留出提前量。例如,注册会计师在基准日前3个月完成期中测试工作。此外,由于对企业层面控制的评价结果将影响注册会计师测试其他控制的性质、时间安排和范围,注册会计师可以考虑在执行业务的早期阶段对企业层面控制进行测试。
(十二)控制测试的范围
注册会计师在测试控制的运行有效性时,应当在考虑与控制相关的风险的基础上,确定测试的范围(样本规模)。注册会计师确定的测试范围,应当足以使其获取充分、适当的审计证据,为基准日内部控制是否不存在重大缺陷提供合理保证。
1.测试人工控制的最小样本规模
在测试人工控制时,如果采用检查或重新执行程序,注册会计师测试的最小样本量区间参见表1。
表1:测试人工控制的最小样本量区间
控制运行频率 | 控制运行总次数 | 测试的最小样本量区间 |
---|---|---|
每年1次 | 1 | 1 |
每季1次 | 4 | 2 |
每月1次 | 12 | 2-5 |
每周1次 | 52 | 5-15 |
每天1次 | 250 | 20-40 |
每天多次 | 大于250次 | 25-60 |
在运用表1时,注册会计师应当注意下列事项:
(1)测试的最小样本量是指所需测试的控制运行次数;
(2)注册会计师应当根据与控制相关的风险,基于最小样本量区间确定具体的样本规模;
(3)表1假设控制的运行偏差率预期为零。如果预期偏差率不为零,注册会计师应当扩大样本规模;
(4)如果注册会计师不能确定控制运行频率,但是知道控制运行总次数,仍可根据“控制运行总次数”一列确定测试的最小样本规模。
2.测试自动化应用控制的最小样本规模
信息技术处理具有内在一贯性。在信息技术一般控制有效的前提下,除非系统发生变动,注册会计师只要对自动化应用控制的运行测试一次,即可得出所测试自动化应用控制是否运行有效的结论。
3.发现偏差时的处理
如果发现控制偏差,注册会计师应当确定其对下列事项的影响:
(1)与所测试控制相关的风险的评估;
(2)需要获取的审计证据;
(3)控制运行有效性的结论。
评价控制偏差的影响需要注册会计师运用职业判断,并受到控制的性质和所发现偏差数量的影响。如果发现的控制偏差是系统性偏差或人为有意造成的偏差,注册会计师应当考虑舞弊的可能迹象以及对审计方案的影响。在评价控制测试中发现的某项控制偏差是否为控制缺陷时,注册会计师可以考虑的因素包括:
(1)该偏差是如何被发现的。例如,如果某控制偏差是被另外一项控制所发现的,则可能意味着被审计单位存在有效的发现性控制。
(2)该偏差是与某一特定的地点、流程或应用系统相关,还是对被审计单位有广泛影响。
(3)就被审计单位的内部政策而言,该控制出现偏差的严重程度。例如,某项控制在执行上晚于被审计单位政策要求的时间,但仍在编制财务报表之前得以执行,还是该项控制根本没有得以执行。
(4)与控制运行频率相比,偏差发生的频率大小。
由于有效的内部控制不能为实现控制目标提供绝对保证,单项控制并非一定要毫无偏差地运行,才被认为有效。在按照表1所列示的样本规模进行测试的情况下,如果发现控制偏差,注册会计师应当考虑偏差的原因及性质,并考虑采用扩大样本量等适当的应对措施以判断该偏差是否对总体不具有代表性。例如,对每日发生多次的控制,如果初始样本量为25个,当测试发现一项控制偏差,且该偏差不是系统性偏差时,注册会计师可以扩大样本规模进行测试,所增加的样本量至少为15个。如果测试后再次发现偏差,则注册会计师可以得出该控制无效的结论。如果扩大样本量没有再次发现偏差,则注册会计师可以得出控制有效的结论。
(十三)控制变更时的特殊考虑
在基准日之前,被审计单位可能为提高控制效率、效果或弥补控制缺陷而改变控制。对内部控制审计而言,如果新控制实现了相关控制目标,且运行了足够长的时间,使注册会计师能够通过对该控制进行测试评价其设计和运行的有效性,则无需测试被取代的控制。对财务报表审计而言,如果被取代控制的运行有效性对控制风险的评估有重大影响,注册会计师应当测试被取代控制的设计和运行的有效性。
(十四)利用他人的工作
注册会计师应当评估是否利用他人(包括被审计单位的内部审计人员、内部控制评价人员和其他人员以及在管理层或治理层指导下的第三方)的工作以及利用的程度,以减少可能本应由注册会计师执行的工作。如果他人的工作能够提供有关内部控制有效性的审计证据,注册会计师可以利用其工作或者提供的直接帮助。注册会计师应当参照《中国注册会计师审计准则第1411号——利用内部审计人员的工作》的规定,评价他人的专业胜任能力和客观性,以确定可利用的程度。在评价他人的专业胜任能力时,注册会计师应当考虑其专业资格、专业经验与技能等相关因素。在评价他人的客观性时,注册会计师应当考虑是否存在某些因素,将削弱或者增强其客观性。无论他人的专业胜任能力如何,注册会计师都不应利用客观程度低的人员的工作。同样,无论他人的客观程度如何,注册会计师都不应利用专业胜任能力低的人员的工作。被审计单位内部负责监督、稽核或合规工作的人员,如内部审计人员,通常拥有较高的专业胜任能力和客观性。他们的工作可能对注册会计师有用。注册会计师利用他人工作的程度还受到与所测试控制相关的风险的影响。与某项控制相关的风险越高,注册会计师应当越多地亲自对该项控制进行测试。在识别、了解和测试企业层面控制时,注册会计师不得利用他人的工作。
(十五)对被审计单位使用服务机构的考虑
如果服务机构提供的服务和对服务的控制,构成被审计单位与财务报告相关的信息系统(包括相关业务流程)的一部分,注册会计师应当按照《中国注册会计师审计准则第1241号——对被审计单位使用服务机构的考虑》的规定办理。注册会计师在对被审计单位内部控制的有效性发表意见时,不应在内部控制审计报告中提及服务机构注册会计师的报告。
四、关于连续审计时的特殊考虑
在连续审计中,注册会计师在确定测试的性质、时间安排和范围时,应当考虑以前年度执行内部控制审计所了解的情况。
(一)影响连续审计中与某项控制相关风险的因素
除本意见第三部分第(八)项“与控制相关的风险和拟获取的审计证据之间的关系”所列因素外,下列因素也会影响连续审计中与某项控制相关的风险:
(1)以前年度审计中所实施程序的性质、时间安排和范围;
(2)以前年度对控制的测试结果以及以前年度发现的缺陷是否得以整改;
(3)上次审计之后,控制或其运行所处的流程是否发生变化。
在考虑本意见所列的风险因素,以及连续审计中可获取的进一步信息后,如果认为与控制相关的风险水平比以前年度有所下降,注册会计师在本年度审计中可以减少测试。
(二)对自动化应用控制实施与基准相比较的策略
在连续审计中,由于完全自动化的应用控制通常不会因人为失误而失效,因此,注册会计师可以考虑对自动化应用控制实施与基准相比较的策略。
与基准相比较的策略,是指如果认为程序变更、访问权限及计算机操作方面的一般控制有效,且可持续对其进行测试,并能证实自动化应用控制自最近一次测试之后未发生变化,则可将最近一次测试设为基准,在以后年度测试时,注册会计师不必重复执行测试,只需将该年的情况与基准相比较,就可以认为自动化应用控制是持续有效的。注册会计师为证实控制未发生变化而需获取审计证据的性质和范围,可能随情况的变化而变化。例如,被审计单位程序变更控制的强弱将影响需获取审计证据的性质和范围。自动化应用控制能否一贯有效地运行可能取决于所使用的相关文件、表格、数据和参数的正确性。例如,计算利息收入的自动化应用控制,其运行的有效性可能取决于使用的利率表的正确性。注册会计师应当在评价下列风险因素的基础上,确定是否使用与基准相比较的策略:
(1)应用控制与相关应用程序直接对应的程度;
(2)应用系统的稳定性,即各期间的变化大小;
(3)有关投入使用的程序编译日期的信息的可获得性和可靠性(该信息可作为此程序中的控制未发生变化的审计证据)。
当上述因素表明风险较低时,对所评价的控制可能比较适合使用与基准相比较的策略。反之,不宜使用与基准相比较的策略。但是基础数据的准确性与完整性,以及依赖系统的人工控制部分不适用与基准相比较的策略。在一段时期之后,注册会计师应当重新设置自动化应用控制运行的基准。在确定何时重设基准时,注册会计师应当考虑下列因素:
(1)信息技术控制环境的有效性,包括针对应用及操作系统和数据库系统的取得与维护、访问权限以及计算机操作而实施控制的有效性;
(2)如果包含控制的具体程序发生变化,注册会计师对该变化性质的了解;
(3)其他相关测试的性质和时间;
(4)相关应用控制发生错误导致的后果;
(5)控制是否易于受到其他可能变化的经营因素的影响。
(三)增加测试的不可预见性
为使对控制有效性的测试具有不可预见性并能够应对环境的变化,注册会计师应当每年改变测试的性质、时间安排和范围。注册会计师可以每年在期中不同的时间测试控制,并增加或减少所执行测试的数量和种类,或者改变所使用测试程序的组合。
五、关于集团审计的特殊考虑
(一)识别重要账户、列报及其相关认定
在执行集团内部控制审计业务时,注册会计师应当基于集团财务报表识别重要账户、列报及其相关认定。
(二)确定对组成部分执行的工作
1.一般原则
在执行集团内部控制审计业务时,注册会计师应当采用自上而下的方法,合理运用职业判断,确定对组成部分执行的工作。注册会计师应当评估与组成部分相关的导致集团财务报表发生重大错报的风险,并根据其风险程度给予相应的审计关注。在评估与某组成部分相关的导致集团财务报表发生重大错报的风险时,注册会计师应当考虑的因素包括:
(1)以前执行的与该组成部分内部控制相关的审计工作的结果;
(2)影响该组成部分重要账户的固有风险;
(3)从财务数据角度看,该组成部分的相对重要程度;
(4)风险在各组成部分间的分布(即风险分布于数量众多的小规模组成部分,还是分布于数量较少但规模较大的组成部分);
(5)组成部分之间业务经营和内部控制的类似程度;
(6)业务流程和财务报告系统的集中化程度;
(7)该组成部分执行交易及相关资产的性质和金额;
(8)该组成部分存在重大未确认义务的可能性;
(9)测试集团企业层面控制的结果,包括控制环境、集团对组成部分实施的监控活动及在组成部分层面运行的企业层面控制的有效性。
2.对重要组成部分执行的工作
注册会计师应当按照《中国注册会计师审计准则第1401号——对集团财务报表审计的特殊考虑》的规定,确定重要组成部分。重要组成部分包括:(1)对集团具有财务重大性的组成部分(以下简称具有财务重大性的组成部分);(2)由于其特定性质和情况,可能存在导致集团财务报表发生重大错报的特别风险的组成部分(以下简称具有特别风险的组成部分)。注册会计师应当对重要组成部分的重要账户、列报及其相关认定的内部控制实施测试。
(1)对具有财务重大性的组成部分执行的工作
对于具有财务重大性的组成部分,除非通过实施下列测试工作能够获取有关控制有效性的充分、适当的审计证据,注册会计师应当测试该组成部分内与重要账户、列报及其相关认定相关的业务流程、应用系统或交易层面的内部控制的有效性:
①对整个集团企业层面控制和该组成部分企业层面控制(包括界于组成部分和整个集团之间层次的其他企业层面控制,下同)的测试;
②对除该组成部分以外的其他组成部分相同账户、列报及其相关认定的内部控制已实施的测试。
(2)对具有特别风险的组成部分执行的工作
对具有特别风险的组成部分,注册会计师应当测试针对该项特别风险的控制。
3.对其他组成部分执行的工作
对于重要组成部分以外的其他组成部分,如果存在重要账户、列报及其相关认定,注册会计师应当首先评价对整个集团企业层面控制和该组成部分企业层面控制的测试以及针对重要组成部分相同的账户、列报及其相关认定的内部控制已实施的测试能否提供充分、适当的审计证据。如果不能提供充分、适当的审计证据,注册会计师应当选择适当数量的其他组成部分,测试与该重要账户、列报及其相关认定相关的业务流程、应用系统或交易层面的控制,直至能够获取充分、适当的审计证据为止。
六、关于控制缺陷评价
(一)控制缺陷的分类
内部控制存在的缺陷包括设计缺陷和运行缺陷。
设计缺陷是指缺少为实现控制目标所必需的控制,或现有控制设计不适当、即使正常运行也难以实现预期的控制目标。运行缺陷是指现存设计适当的控制没有按设计意图运行,或执行人员没有获得必要授权或缺乏胜任能力,无法有效地实施内部控制。内部控制存在的缺陷,按其严重程度分为重大缺陷、重要缺陷和一般缺陷。重大缺陷是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。重要缺陷是内部控制中存在的、其严重程度不如重大缺陷但足以引起负责监督被审计单位财务报告的人员(如审计委员会或类似机构)关注的一项控制缺陷或多项控制缺陷的组合。一般缺陷是内部控制中存在的、除重大缺陷和重要缺陷之外的控制缺陷。
(二)评价控制缺陷的严重程度
注册会计师应当评价其识别的各项控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成内部控制的重大缺陷。但是,在计划和实施审计工作时,不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。控制缺陷的严重程度取决于:
(1)控制不能防止或发现并纠正账户或列报发生错报的可能性的大小;
(2)因一项或多项控制缺陷导致的潜在错报的金额大小。
控制缺陷的严重程度与错报是否发生无关,而取决于控制不能防止或发现并纠正错报的可能性的大小。
在评价一项控制缺陷或多项控制缺陷的组合是否可能导致账户或列报发生错报时,注册会计师应当考虑的风险因素包括:
(1)所涉及的账户、列报及其相关认定的性质;
(2)相关资产或负债易于发生损失或舞弊的可能性;
(3)确定相关金额时所需判断的主观程度、复杂程度和范围;
(4)该项控制与其他控制的相互作用或关系;
(5)控制缺陷之间的相互作用;
(6)控制缺陷在未来可能产生的影响。
评价控制缺陷是否可能导致错报时,注册会计师无需将错报发生的概率量化为某特定的百分比或区间。如果多项控制缺陷影响财务报表的同一账户或列报,错报发生的概率会增加。在存在多项控制缺陷时,即使这些缺陷从单项看不重要,但组合起来也可能构成重大缺陷。因此,注册会计师应当确定,对同一重要账户、列报及其相关认定或内部控制要素产生影响的各项控制缺陷,组合起来是否构成重大缺陷。
在评价因一项或多项控制缺陷导致的潜在错报的金额大小时,注册会计师应当考虑的因素包括:
(1)受控制缺陷影响的财务报表金额或交易总额;
(2)在本期或预计的未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量。
在评价潜在错报的金额大小时,账户余额或交易总额的最大多报金额通常是已记录的金额,但其最大少报金额可能超过已记录的金额。通常,小金额错报比大金额错报发生的概率更高。在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时,注册会计师应当评价补偿性控制的影响。在评价补偿性控制是否能够弥补控制缺陷时,注册会计师应当考虑补偿性控制是否有足够的精确度以防止或发现并纠正可能发生的重大错报。
(三)表明可能存在重大缺陷的迹象
如果注册会计师确定发现的一项控制缺陷或多项控制缺陷的组合将导致审慎的管理人员在执行工作时,认为自身无法合理保证按照适用的财务报告编制基础记录交易,应当将这一项控制缺陷或多项控制缺陷的组合视为存在重大缺陷的迹象。下列迹象可能表明内部控制存在重大缺陷:
(1)注册会计师发现董事、监事和高级管理人员的任何舞弊;
(2)被审计单位重述以前公布的财务报表,以更正由于舞弊或错误导致的重大错报;
(3)注册会计师发现当期财务报表存在重大错报,而被审计单位内部控制在运行过程中未能发现该错报;
(4)审计委员会和内部审计机构对内部控制的监督无效。
(四)被审计单位对存在缺陷的控制进行整改
如果被审计单位在基准日前对存在缺陷的控制进行了整改,整改后的控制需要运行足够长的时间,才能使注册会计师得出其是否有效的审计结论。注册会计师应当根据控制的性质和与控制相关的风险,合理运用职业判断,确定整改后控制运行的最短期间(或整改后控制的最少运行次数)以及最少测试数量。整改后控制运行的最短期间(或最少运行次数)和最少测试数量参见表2。
表2:整改后控制运行的最短期间(或最少运行次数)和最少测试数量
控制运行频率 | 整改后控制运行的最短期间或最少运行次数 | 最少测试数量 |
---|---|---|
每季1次 | 2个季度 | 2 |
每月1次 | 2个月 | 2 |
每周1次 | 5周 | 5 |
每天1次 | 20天 | 20 |
每天多次 | 25次(分布于涵盖多天的期间,通常不少于15天) | 25 |
如果被审计单位在基准日前对存在重大缺陷的内部控制进行了整改,但新控制尚没有运行足够长的时间,注册会计师应当将其视为内部控制在基准日存在重大缺陷。
七、关于完成审计工作
(一)形成审计意见
注册会计师应当评价从各种来源获取的审计证据,包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷,形成对内部控制有效性的意见。在评价审计证据时,注册会计师应当查阅本年度涉及内部控制的内部审计报告或类似报告,并评价这些报告中指出的控制缺陷。在对内部控制的有效性形成意见后,注册会计师应当评价企业内部控制评价报告对相关法律法规规定的要素的列报是否完整和恰当。
(二)获取书面声明
注册会计师应当获取经被审计单位签署的书面声明。书面声明的内容应当包括:
(1)被审计单位董事会认可其对建立健全和有效实施内部控制负责;
(2)被审计单位已对内部控制进行了评价,并编制了内部控制评价报告;
(3)被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作为评价的基础;
(4)被审计单位根据内部控制标准评价内部控制有效性得出的结论;
(5)被审计单位已向注册会计师披露识别出的所有内部控制缺陷,并单独披露其中的重大缺陷和重要缺陷;
(6)被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞弊,以及其他不会导致财务报表发生重大错报,但涉及管理层、治理层和其他在内部控制中具有重要作用的员工的所有舞弊;
(7)注册会计师在以前年度审计中识别出的且已与被审计单位沟通的重大缺陷和重要缺陷是否已经得到解决,以及哪些缺陷尚未得到解决;
(8)在基准日后,内部控制是否发生变化,或者是否存在对内部控制产生重要影响的其他因素,包括被审计单位针对重大缺陷和重要缺陷采取的所有纠正措施。如果被审计单位拒绝提供或以其他不当理由回避书面声明,注册会计师应当将其视为审计范围受到限制,解除业务约定或出具无法表示意见的内部控制审计报告。此外,注册会计师应当评价拒绝提供书面声明这一情况对其他声明(包括在财务报表审计中获取的声明)的可靠性的影响。注册会计师应当按照《中国注册会计师审计准则第1341号——书面声明》的规定,确定声明书的签署者、涵盖的期间以及何时获取更新的声明书等。
(三)沟通相关事项
对于重大缺陷和重要缺陷,注册会计师应当以书面形式与管理层和治理层沟通。
书面沟通应当在注册会计师出具内部控制审计报告之前进行。注册会计师应当以书面形式与管理层沟通其在审计过程中识别的所有其他内部控制缺陷,并在沟通完成后告知治理层。在进行沟通时,注册会计师无需重复自身、内部审计人员或被审计单位其他人员以前书面沟通过的控制缺陷。虽然并不要求注册会计师执行足以识别所有控制缺陷的程序,但是,注册会计师应当沟通其注意到的内部控制的所有缺陷。内部控制审计不能保证注册会计师能够发现严重程度低于重大缺陷的所有控制缺陷。注册会计师不应在内部控制审计报告中声明,在审计过程中没有发现严重程度低于重大缺陷的控制缺陷。
如果发现被审计单位存在或可能存在舞弊或违反法规行为,注册会计师应当按照《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》、《中国注册会计师审计准则第1142号——财务报表审计中对法律法规的考虑》的规定,确定并履行自身的责任。
八、关于内部控制审计报告
注册会计师在完成内部控制审计和财务报表审计后,应当分别对内部控制和财务报表出具审计报告,并签署相同的日期。
(一)出具无保留意见内部控制审计报告的条件
如果符合下列所有条件,注册会计师应当对内部控制出具无保留意见的内部控制审计报告:
(1)在基准日,被审计单位按照适用的内部控制标准的要求,在所有重大方面保持了有效的内部控制;
(2)注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作,在审计过程中未受到限制。
(二)内部控制存在重大缺陷时的处理
如果认为内部控制存在一项或多项重大缺陷,除非审计范围受到限制,注册会计师应当对内部控制发表否定意见。否定意见的内部控制审计报告还应当包括重大缺陷的定义、重大缺陷的性质及其对内部控制的影响程度。如果重大缺陷尚未包含在企业内部控制评价报告中,注册会计师应当在内部控制审计报告中说明重大缺陷已经识别、但没有包含在企业内部控制评价报告中。如果企业内部控制评价报告中包含了重大缺陷,但注册会计师认为这些重大缺陷未在所有重大方面得到公允反映,注册会计师应当在内部控制审计报告中说明这一结论,并公允表达有关重大缺陷的必要信息。此外,注册会计师还应当就这些情况以书面形式与治理层沟通。如果对内部控制的有效性发表否定意见,注册会计师应当确定该意见对财务报表审计意见的影响,并在内部控制审计报告中予以说明。
(三)审计范围受到限制时的处理
注册会计师只有实施了必要的审计程序,才能对内部控制的有效性发表意见。如果审计范围受到限制,注册会计师应当解除业务约定或出具无法表示意见的内部控制审计报告。如果法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制的评价范围,注册会计师可以不将这些实体纳入内部控制审计的范围。这种情况不构成审计范围受到限制,但注册会计师应当在内部控制审计报告中增加强调事项段或者在注册会计师的责任段中,就这些实体未被纳入评价范围和内部控制审计范围这一情况,作出与被审计单位类似的恰当陈述。注册会计师应当评价相关豁免是否符合法律法规的规定,以及被审计单位针对该项豁免作出的陈述是否恰当。如果认为被审计单位有关该项豁免的陈述不恰当,注册会计师应当提请其作出适当修改。如果被审计单位未作出适当修改,注册会计师应当在内部控制审计报告的强调事项段中说明被审计单位的陈述需要修改的理由。在出具无法表示意见的内部控制审计报告时,注册会计师应当在内部控制审计报告中指明审计范围受到限制,无法对内部控制的有效性发表意见,并单设段落说明无法表示意见的实质性理由。注册会计师不应在内部控制审计报告中指明所执行的程序,也不应描述内部控制审计的特征,以避免报告使用者对无法表示意见的误解。如果在已执行的有限程序中发现内部控制存在重大缺陷,注册会计师应当在内部控制审计报告中对重大缺陷做出详细说明。只要认为审计范围受到限制将导致无法获取发表审计意见所需的充分、适当的审计证据,注册会计师不必执行任何其他工作即可对内部控制出具无法表示意见的内部控制审计报告。在这种情况下,内部控制审计报告的日期应为注册会计师已就该报告中陈述的内容获取充分、适当的审计证据的日期。在因审计范围受到限制而无法表示意见时,注册会计师应当就未能完成整个内部控制审计工作的情况,以书面形式与管理层和治理层沟通。
(四)强调事项
如果认为内部控制虽然不存在重大缺陷,但仍有一项或多项重大事项需要提请内部控制审计报告使用者注意,注册会计师应当在内部控制审计报告中增加强调事项段予以说明。注册会计师应当在强调事项段中指明,该段内容仅用于提醒内部控制审计报告使用者关注,并不影响对内部控制发表的审计意见。如果确定企业内部控制评价报告对要素的列报不完整或不恰当,注册会计师应当在内部控制审计报告中增加强调事项段,说明这一情况并解释得出该结论的理由。
(五)期后事项
在基准日后至审计报告日前(以下简称期后期间),内部控制可能发生变化,或出现其他可能对内部控制产生重要影响的因素。注册会计师应当询问是否存在这类变化或因素,并获取被审计单位关于这类变化或因素的书面声明。注册会计师应当针对期后期间,询问并检查下列信息:
(1)在期后期间出具的内部审计报告或类似报告;
(2)其他注册会计师出具的涉及被审计单位内部控制缺陷的报告;
(3)监管机构发布的涉及被审计单位内部控制的报告;
(4)注册会计师在执行其他业务中获取的、有关被审计单位内部控制有效性的信息。
此外,注册会计师还应当考虑获取期后期间的其他文件,并按照《中国注册会计师审计准则第1332号——期后事项》的规定,对其进行检查。如果知悉对基准日内部控制有效性有重大负面影响的期后事项,注册会计师应当对内部控制发表否定意见。如果注册会计师不能确定期后事项对内部控制有效性的影响程度,应当出具无法表示意见的内部控制审计报告。如果管理层在评价报告中披露了基准日之后采取的整改措施,注册会计师应当在内部控制审计报告中指明不对这些信息发表意见。注册会计师可能知悉在基准日并不存在、但在期后期间发生的事项。如果这类期后事项对内部控制有重大影响,注册会计师应当在内部控制审计报告中增加强调事项段,描述该事项及其影响,或提醒内部控制审计报告使用者关注企业内部控制评价报告中披露的该事项及其影响。在出具内部控制审计报告后,如果知悉在审计报告日已存在的、可能对审计意见产生影响的情况,注册会计师应当按照《中国注册会计师审计准则第1332号——期后事项》第四章第二节和第三节的规定办理。如果被审计单位更正以前公布的财务报表,注册会计师应当按照《中国注册会计师审计准则第1332号——期后事项》第四章第三节的规定重新考虑以前发表的内部控制审计意见的适当性。
(六)其他信息
如果企业内部控制评价报告中除包括法定要求的信息外,还包括其他信息,且该报告的使用者有理由认为该报告包括这些其他信息,注册会计师应当在内部控制审计报告中指明不对这些其他信息发表意见。如果认为其他信息含有对事实的重大错报,注册会计师应当就此与管理层进讨论。如果讨论后仍认为存在对事实的重大错报,注册会计师应当以书面形式将其看法告知管理层和治理层。如果其他信息未包含在企业内部控制评价报告中,而是包含在年度财务报告中,注册会计师无需在内部控制审计报告中指明不对其发表意见。但是,如果注册会计师认为其他信息中存在对事实的重大错报,应当按照上述要求办理。
九、关于整合审计的进一步考虑
(一)总体要求
在整合审计中,注册会计师应当计划和实施对控制设计和运行有效性的测试,以同时实现下列目标:
(1)获取充分、适当的审计证据,支持其在内部控制审计中对内部控制的有效性发表的意见;
(2)获取充分、适当的审计证据,支持其在财务报表审计中对内部控制的拟信赖程度(即评估的控制风险)。
(二)审计证据和结论的相互参照
在内部控制审计中,注册会计师在对内部控制有效性形成结论时,应当同时考虑财务报表审计中实施的、所有针对控制设计和运行有效性测试的结果。
在财务报表审计中,注册会计师在评估控制风险时,应当同时考虑内部控制审计中实施的、所有针对控制设计和运行有效性测试的结果。如果在内部控制审计中识别出某项控制缺陷,注册会计师应当评价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时间安排和范围的影响。在财务报表审计中,无论控制风险或重大错报风险的评估水平如何,注册会计师都应当针对所有重大类别的交易、账户余额和披露实实质性程序。为对内部控制的有效性发表意见而实施的测试程序并不减轻该项要求。在内部控制审计中,注册会计师应当评价财务报表审计中实施的实质性程序的结果对控制有效性结论的影响。评价内容应当包括:
(1)注册会计师作出的、与选择和实施实质性程序相关(尤其是与舞弊相关)的风险评估;
(2)发现的违反法规行为和关联方交易方面的问题;
(3)表明管理层在选择会计政策和作出会计估计时存在偏见的情况;
(4)实施实质性程序发现的错报。
注册会计师应当通过直接测试控制获取控制是否有效的审计证据,而不能根据实质性程序没有发现错报,推断该项控制的有效性。
十、关于项目质量控制复核
会计师事务所应当制定政策和程序,要求对上市实体和符合特定标准的其他实体的内部控制审计业务实施项目质量控制复核。
(一)项目质量控制复核的时间
会计师事务所的政策和程序应当要求在出具内部控制审计报告前完成项目质量控制复核。
(二)项目质量控制复核人员
会计师事务所应当制定政策和程序,解决项目质量控制复核人员的委派问题,明确项目质量控制复核人员的资格要求,包括:
(1)履行职责需要的技术资格,包括精通内部控制审计业务并具备必要的经验和权限;
(2)在不损害其客观性的前提下,项目质量控制复核人员能够提供业务咨询的程度。
同时,会计师事务所应当制定政策和程序,以使项目质量控制复核人员保持客观性。这些政策和程序要求项目质量控制复核人员符合下列规定:
(1)不由项目合伙人挑选;
(2)在复核期间不以其他方式参与该业务;
(3)不代替项目组进行决策;
(4)不存在可能损害复核人员客观性的其他情形。
(三)项目质量控制复核的内容
项目质量控制复核人员应当客观地评价项目组作出的重大判断以及在编制内部控制审计报告时得出的结论。评价工作应当涉及下列内容:
(1)与项目合伙人讨论重大事项;
(2)复核拟出具的内部控制审计报告;
(3)复核选取的与项目组作出的重大判断和得出的结论相关的审计工作底稿;
(4)评价在编制内部控制审计报告时得出的结论,并考虑拟出具内部控制审计报告的恰当性。对于上市实体内部控制审计,项目质量控制复核人员还应当考虑下列事项:
(1)项目组就具体业务对会计师事务所独立性作出的评价;
(2)项目组是否已就涉及意见分歧的事项,或者其他疑难问题或争议事项进行适当咨询,以及咨询得出的结论;
(3)选取的用于复核的审计工作底稿,是否反映项目组针对重大判断执行的工作,以及是否支持得出的结论。
十一、关于记录审计工作
注册会计师应当在审计工作底稿中清楚地显示内部控制审计的过程和结果。
注册会计师应当就下列内容形成审计工作记录:
(1)制定的内部控制总体审计策略和具体审计计划及重大修改情况;
(2)对企业层面控制的识别、了解和测试;
(3)确定重要账户、列报及其相关认定的过程,包括对拟测试组成部分的确定;
(4)选择拟测试控制的主要过程及结果;
(5)测试控制设计和运行有效性的程序及结果;
(6)利用他人工作的程度,以及对他人胜任能力和客观性的评估;
(7)对识别的控制缺陷的评价;
(8)可能导致出具非标准内部控制审计报告的其他审计发现;
(9)形成的审计结论和意见;
(10)其他重要事项。