企业内部控制审计问题解答(会协〔2015〕7号)
除特别说明外,本问题解答以注册会计师将财务报表审计和内部控制审计整合执行(以下简称整合审计)为前提,内部控制均指财务报告内部控制。
一、内部控制审计与财务报表审计有哪些共同点?
答:内部控制审计和财务报表审计之间存在多方面的共同点,例如:
(一)两者的终极目的一致。虽然各有侧重,但终极目的都是提高财务报表预期使用者对财务报表的信赖程度。
(二)两者都采用风险导向审计方法。注册会计师首先实施风险评估程序,识别和评估财务报表重大错报风险(包括由于舞弊导致的重大错报风险),在此基础上,针对评估的重大错报风险,通过设计和实施恰当的应对措施,获取充分、适当的审计证据。
(三)两者运用的重要性水平相同。注册会计师在财务报表审计中运用重要性水平,旨在计划和执行财务报表审计工作,评价识别出的错报对审计的影响以及未更正错报对财务报表和审计意见的影响,以对财务报表整体是否不存在重大错报获取合理保证;注册会计师在内部控制审计中运用重要性水平,旨在计划和执行内部控制审计工作,评价识别出的内部控制缺陷单独或组合起来是否构成内部控制重大缺陷,以对被审计单位是否在所有重大方面保持了有效的内部控制获取合理保证。由于内部控制的目标是合理保证财务报告及相关信息的真实、完整,因此对于同一财务报表,在两种审计中运用的重要性水平应当相同。
(四)两者识别的重要账户、列报及其相关认定相同。注册会计师在识别重要账户、列报及其相关认定时应当评价的重大错报风险因素对于内部控制审计和财务报表审计而言是相同的,因此对于同一财务报表,在两种审计中识别的重要账户、列报及其相关认定应当相同。
(五)两者了解和测试内部控制设计和运行有效性的基本方法相同,都可能实施询问、观察、检查以及重新执行等程序。
二、内部控制审计与财务报表审计有哪些区别?
答:内部控制审计是对内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制重大缺陷进行披露;财务报表审计是对财务报表是否在所有重大方面按照适用的财务报告编制基础编制发表审计意见。虽然内部控制审计和财务报表审计存在多方面的共同点,但财务报表审计是对财务报表进行审计,重在审计 “结果”,而内部控制审计是对保证财务报表质量的内部控制的有效性进行审计,重在审计“过程”。发表审计意见的对象不同,使得两者存在区别,例如:
(一)对内部控制进行了解和测试的目的不同
在财务报表审计和内部控制审计中,注册会计师都需要了解与审计相关的内部控制,并都可能涉及测试相关内部控制运行的有效性,但两者目的不同。注册会计师在财务报表审计中了解和测试内部控制,是为了识别、评估和应对重大错报风险,据此确定实质性程序的性质、时间安排和范围,并获取与财务报表是否在所有重大方面按照适用的财务报告编制基础编制相关的审计证据,以支持对财务报表发表的审计意见;注册会计师在内部控制审计中了解和测试内部控制,是为了对内部控制的有效性发表审计意见。
(二)测试内部控制运行有效性的范围要求不同
在财务报表审计中,针对评估的认定层次重大错报风险,注册会计师可能选择采用实质性方案或综合性方案。如果采用实质性方案,注册会计师可以不测试内部控制的运行有效性;如果采用综合性方案,注册会计师综合运用控制测试和实质性程序,因而需要测试内部控制的运行有效性。根据《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的相关规定,当存在下列情形之一时,注册会计师应当设计和实施控制测试,针对相关控制运行的有效性,获取充分、适当的审计证据:
(1)在评估认定层次重大错报风险时,预期控制的运行是有效的(即在确定实质性程序的性质、时间安排和范围时,注册会计师拟信赖控制运行的有效性);
(2)仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。
也就是说,如果以上两种情况均不存在,注册会计师可能对部分认定,甚至全部认定都不测试内部控制的运行有效性。在内部控制审计中,注册会计师应当针对所有重要账户和列报的每一个相关认定获取控制设计和运行有效性的审计证据,以便对内部控制整体的有效性发表审计意见。
(三)内部控制测试的期间要求不同
首先,在财务报表审计中,针对评估的认定层次重大错报风险,如果注册会计师选择综合性方案,需要获取内部控制在整个拟信赖期间运行有效的审计证据,而在内部控制审计中,注册会计师对于基准日的内部控制运行有效性发表意见,则仅需要对内部控制在基准日前足够长的时间(可能短于整个审计期间)内的运行有效性获取审计证据。
其次,尽管连续审计时注册会计师在财务报表审计和内部控制审计中都可以考虑以前审计中所了解和测试的情况,但在执行内部控制审计时,注册会计师不得采用《中国注册会计师审计准则第1231号— —针对评估的重大错报风险采取的应对措施》第十四条中提及的“每三年至少对控制测试一次”的方法,而应当在每一年度审计中测试内部控制(对自动化应用控制在满足特定条件情况下所采用的与基准相比较策略除外)。
(四)对控制缺陷的评价和沟通要求不同
在内部控制审计中,注册会计师应当评价识别出的内部控制缺陷是否构成一般缺陷、重要缺陷或重大缺陷。在财务报表审计中,注册会计师需要确定识别出的内部控制缺陷单独或连同其他缺陷是否构成值得关注的内部控制缺陷。
相应地,两者的沟通要求存在不同。
在财务报表审计中:
1.注册会计师应当以书面形式及时向治理层通报值得关注的内部控制缺陷,致送书面沟通文件的时间可能根据注册会计师对治理层履行监督责任需要的考虑确定(对于上市实体,治理层可能需要在批准财务报表前收到注册会计师的沟通文件;对于其他实体,注册会计师可能会在较晚日期致送书面沟通文件,但需要满足完成最终审计档案的归档要求)。
2.注册会计师还应当及时向相应层级的管理层通报:
(1)已向或拟向治理层通报的值得关注的内部控制缺陷,除非在具体情况下不适合直接向管理层通报。此项应采用书面方式通报。
(2)在审计过程中识别出的、其他方未向管理层通报而注册会计师根据职业判断认为足够重要从而值得管理层关注的内部控制其他缺陷。此项对沟通形式没有强制要求,可以采用书面或口头形式。
在内部控制审计中:
对于重大缺陷和重要缺陷,注册会计师应当以书面形式与管理层和治理层沟通,书面沟通应在注册会计师出具内部控制审计报告前进行;如果注册会计师认为审计委员会和内部审计机构对内部控制的监督无效,应当就此以书面形式直接与董事会沟通。此外,注册会计师应当以书面形式与管理层沟通其在审计过程中识别的所有其他内部控制缺陷(包括注意到的非财务报告内部控制缺陷),并在沟通完成后告知治理层。
(五)审计报告的形式和内容以及所包括的意见类型不同
内部控制审计报告的形式和内容不同于财务报表审计报告。注册会计师应当分别按照中国注册会计师审计准则和《企业内部控制审计指引》及《企业内部控制审计指引实施意见》的相关规定,出具财务报表审计报告和内部控制审计报告。此外,内部控制审计报告不存在保留意见的意见类型,如果内部控制存在一项或多项重大缺陷,除非审计范围受到限制,注册会计师应当对内部控制发表否定意见;如果审计范围受到限制,注册会计师应当解除业务约定或出具无法表示意见的内部控制审计报告。
三、注册会计师如何基于内部控制审计与财务报表审计的共同点,整合审计工作以同时实现内部控制审计和财务报表审计的目标?
答:财务报表审计和内部控制审计存在多方面的共同点。注册会计师基于统一的风险评估,为财务报表审计和内部控制审计制定整合的审计计划,有助于实现整合审计的目标,减少重复工作,提高审计效率和效果。
具体而言,财务报表审计与内部控制审计至少在以下几个方面是可以整合共享的:
1.重要性水平的确定;
2.固有风险的评估;
3.集团审计中重要组成部分和非重要组成部分的确定;
4.重要账户、列报及其相关认定的确定;
5.内部控制设计与运行有效性的测试;
6.内部控制缺陷的识别和评价。在审计工作的具体执行过程中,注册会计师还需要按照《企业内部控制审计指引实施意见》第九部分中有关“审计证据和结论的相互参照”的指引,在财务报表审计中考虑内部控制审计中实施的、所有针对内部控制设计与运行有效性的测试结果对所计划实施的实质性程序性质、时间安排和范围的影响。同时,也要在内部控制审计中评价财务报表审计中所实施实质性程序的结果对控制有效性结论的影响。
实务中,在整合审计的情况下,注册会计师可以只编制一套整合的审计工作底稿,将内部控制审计和财务报表审计的整合考虑贯穿审计的整个过程,以更有效地实现整合审计的目标,并同时满足财务报表审计和内部控制审计的需要。
四、注册会计师如何计划内部控制设计与运行有效性的测试工作,以实现内部控制审计和财务报表审计的有机整合?
答:《企业内部控制审计指引》第五条规定,在整合审计中,注册会计师应当对内部控制设计与运行的有效性进行测试,以同时实现下列目标:
1.获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发表的意见。
2.获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结果。
考虑到财务报表审计与内部控制审计中对内部控制设计和运行有效性测试的共同点和区别,注册会计师可以做出以下安排:
一是在适当的情况下,尽量对重要账户和列报的相关认定采用综合性方案。通过综合性方案中内部控制设计和运行有效性的测试,注册会计师在获取证据以支持其对内部控制有效性发表意见的同时,如果内部控制设计和运行测试有效,也能够基于对控制风险的评估结果,相应调整实质性程序的性质、时间安排和范围,例如,当重大错报风险(由固有风险和控制风险决定)评估为低时,注册会计师可能不需要调整实质性程序的性质以获取更具说服力的审计证据,或者认为可以在期中而非期末实施某些审计程序,从而节省实施实质性程序所需的审计资源,更有效率地实现整合审计的目标。
二是控制测试的时间安排尽量同时满足内部控制审计和财务报表审计的要求。具体包括,在确定测试某项控制运行涵盖的期间时,在内部控制审计所要求的“足够长的期间”和财务报表审计中所要求的“拟信赖的期间”中取其长者;同时,注册会计师可以通过合理安排控制测试的时间,给被审计单位留有整改的时间。
此外,注册会计师在每年度的整合审计中需要针对所有重要账户和列报的每个相关认定获取内部控制设计和运行有效的审计证据,而不利用《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》第十四条提及的“每三年至少对控制测试一次”的方法(对自动化应用控制在满足特定条件情况下所采用的与基准相比较策略除外)。
五、在内部控制审计过程中,注册会计师如何区分财务报告内部控制和非财务报告内部控制?
答:根据《企业内部控制基本规范》第三条的规定,内部控制的目标包括合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。所谓财务报告内部控制,即由公司的董事会、监事会、经理层及全体员工实施的旨在合理保证财务报告及相关信息真实、完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。具体而言,财务报告内部控制主要包括下列方面的政策和程序:
1.保存充分、适当的记录,准确、公允地反映企业的交易和事项;
2.合理保证按照适用的财务报告编制基础的规定编制财务报表;
3.合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权;
4.合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项。
财务报告内部控制以外的其他内部控制,属于非财务报告内部控制。
注册会计师考虑某一控制是否是财务报告内部控制的关键依据是控制目标,财务报告内部控制是那些与企业的财务报告可靠性目标相关的内部控制。例如,《企业内部控制应用指引第9号——销售业务》第十二条要求“企业应当指定专人通过函证等方式,定期与客户核对应收账款、应收票据、预收账款等往来款项”,企业为此建立的定期对账及差异处理控制与其往来款项的存在、权利和义务、计价和分摊等认定相关,属于财务报告内部控制;《企业内部控制应用指引第8号—— 资产管理》第十一条要求“企业应当根据各种存货采购间隔期和当期库存,综合考虑企业生产经营计划、市场供求等因素、充分利用信息系统,合理确定存货采购日期和数量,确保存货处于最佳库存状态”,企业为达到最佳库存的经营目标而建立的对存货采购间隔时间进行监控的相关控制与经营效率效果相关,而不直接与财务报表的认定相关,属于非财务报告内部控制。
当然,相当一部分的内部控制能够实现多种目标,主要与经营目标或合规性目标相关的控制可能同时也与财务报告可靠性目标相关。因此,不能仅仅因为某一控制与经营目标或合规性目标相关而认定其属于非财务报告内部控制,注册会计师需要考虑特定控制在特定企业环境中的目标、性质及作用,根据职业判断考虑该控制在具体情况下是否属于财务报告内部控制。
需要指出的是,在实务中注册会计师对财务报告内部控制的考虑是融于其所采用的自上而下的审计方法过程中的。《企业内部控制审计指引实施意见》要求注册会计师采用自上而下的方法选择拟测试的内部控制,其中包括从财务报表层次初步了解内部控制整体风险,识别、了解和测试企业层面控制,基于财务报表层次识别重要账户、列报及其相关认定,了解潜在错报的来源,并识别企业用于应对这些错报或潜在错报的控制,然后选择拟测试的内部控制。基于自上而下的方法,注册会计师需要识别财务报表的重要账户和列报及其相关认定,以及与相关认定有关的业务流程中可能发生重大错报的环节。鉴于注册会计师识别的相关认定以及可能发生重大错报的环节均与财务报表相关,注册会计师针对这些错报或潜在错报来源识别的相应内部控制通常是财务报告内部控制。
六、如何理解内部控制审计与企业内部控制自我评价之间的关系,如两者的测试范围是否需要一致?注册会计师需要对企业内部控制自我评价执行什么工作?
答:根据《企业内部控制基本规范》的规定,企业应当对内部控制的有效性进行自我评价,出具自我评价报告,并聘请会计师事务所对内部控制的有效性进行审计。同时,根据《企业内部控制审计指引实施意见》的规定,被审计单位认可并理解其责任,其中包括对内部控制的有效性进行评价并编制内部控制评价报告的责任,也是注册会计师接受或保持内部控制审计业务的前提之一。
内部控制审计与内部控制自我评价之间的关系可以概括为“各自独立、单方面利用”。也就是说,两者之间是相互独立的。内部控制审计可以根据《企业内部控制审计指引实施意见》“利用他人的工作”部分的具体要求,考虑利用内部控制自我评价的工作(企业层面内部控制除外)。同时,根据《企业内部控制审计指引》的规定,注册会计师完成审计工作后,应当取得经企业签署的书面声明,声明企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础。
内部控制审计与内部控制自我评价是相互独立的,两者测试工作的具体内容可能不同。企业应当根据《企业内部控制评价指引》的规定对自身的内部控制进行测试、评价并编制自我评价报告。在执行内部控制审计时,注册会计师所选取测试的组成部分、控制活动和测试方法,可能与企业在进行自我评价时选取纳入测试范围的组成部分、控制活动和测试方法不同。注册会计师应当根据《企业内部控制审计指引》和《企业内部控制审计指引实施意见》的要求,运用职业判断,选取拟测试的组成部分和控制活动,并确定测试方法,无须受企业在自我评价中确定的测试工作的限制。
根据《企业内部控制审计指引》的规定,注册会计师是对财务报告内部控制的有效性直接发表审计意见,并非是对企业内部控制评价报告发表审计意见。在内部控制审计中,注册会计师对企业内部控制自我评价开展的工作主要包括:
1.注册会计师应当对企业内部控制自我评价工作进行评估,判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度,相应减少可能本应由注册会计师执行的工作。
对此,在实务中,注册会计师可以在每个年度的较早时期与管理层就内部控制自我评价工作(包括自我评价的工作范围、工作方法、样本选取方法及样本规模等)进行沟通,并获取必要的管理层自我评价文档。如果管理层就内部控制评价工作定期召开会议,注册会计师可以要求参加会议以及时了解内部控制自我评价工作的实际进展以及前期遇到的问题。上述步骤及获取的文档有助于注册会计师确定其内部控制审计的时间安排,以及在多大程度上可以利用被审计单位的评价工作。
2.注册会计师应当识别、了解和测试对内部控制有效性具有重要影响的企业层面控制。企业内部控制自我评价是企业层面控制的重要组成部分,与控制环境、对控制的监督这两项要素相关,注册会计师应将其包括在企业层面控制的范围进行考虑。
3.在形成审计意见时,注册会计师应当查阅从各种来源获取的审计证据,包括企业本年度涉及内部控制的内部审计报告或类似报告,并评价这些报告中指出的控制缺陷。
4.考虑企业内部控制评价报告的影响。注册会计师还需要按照《企业内部控制审计指引实施意见》的相关要求,考虑企业内部控制评价报告对注册会计师内部控制审计报告的可能影响,包括评价企业内部控制评价报告对相关法律法规规定要素的列报是否完整和恰当;如果内部控制存在重大缺陷,企业是否已经在内部控制评价报告中对其进行了公允反映等。
七、如果集团企业有部分子公司尚未按照企业内部控制规范体系的标准建立健全其内部控制,注册会计师应当如何考虑其对内部控制审计的影响?
答:《企业内部控制基本规范》第四条指出,企业建立与实施内部控制,应当遵循全面性原则等五项原则。其中,全面性原则要求企业的内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。因此,对于按照相关法律法规的规定应当实施企业内部控制规范体系(包括《企业内部控制基本规范》和《企业内部控制配套指引》)的企业,原则上应当在其所有子公司按照企业内部控制规范体系的标准建立健全内部控制。
企业在按照企业内部控制规范体系的标准建立健全内部控制时,可能由于各种原因未能覆盖所有子公司。注册会计师应当评估其对内部控制审计的影响,在实施风险评估、控制测试及缺陷评价中充分考虑这一情况的影响,并据此得出审计结论和出具审计报告。在此过程中,注册会计师需要考虑的因素可能包括:
1.尚未按照企业内部控制规范体系的标准建立健全内部控制的子公司的财务信息在集团财务报表整体中的重要程度,例如,是否是重要组成部分,是否存在对集团财务报表有重大影响的重要账户、列报及其相关认定;
2.企业的董事会及管理层是否以及如何采取措施,以确保相关子公司在尚未按照企业内部控制规范体系的标准建立健全内部控制体系时,仍能保持有效的财务报告内部控制;
3.未按照企业内部控制规范体系的标准建立健全内部控制的子公司是否存在其他替代性的内部控制制度和程序,虽然不完全符合内部控制规范体系的要求,仍能够有效防止、发现并纠正影响集团财务报表的重大错报;
4.在以前年度及当年度审计中,是否发现这些尚未按照企业内部控制规范体系的标准建立健全内部控制的子公司存在内部控制重大缺陷或财务报表重大错报。
注册会计师应当结合内部控制审计中发现的问题,向企业的治理层和管理层沟通,提请其尽快全面贯彻实施企业内部控制规范体系的要求。
如果法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制评价范围,注册会计师可以不将这些实体纳入内部控制审计的范围。这种情况不构成审计范围受到限制,但注册会计师应当在内部控制审计报告中增加强调事项段或者在注册会计师的责任段中,就这些实体未被纳入评价范围和内部控制审计范围这一情况,作出与被审计单位类似的恰当陈述。 注册会计师应当评价相关豁免是否符合法律法规的规定,以及被审计单位有关该项豁免的陈述是否恰当。如果认为被审计单位有关该项豁免的陈述不恰当,注册会计师应当提请其作出适当修改。如果被审计单位未作出适当修改,注册会计师应当在内部控制审计报告的强调事项段中说明被审计单位的陈述需要修改的理由。
八、在开展整合审计时,会计师事务所如何组建项目组?
答:当财务报表审计延伸成为整合审计后,审计的范围和复杂程度大大增加,需要注册会计师作出很多新的职业判断,这些判断包括集团审计中确定组成部分内部控制审计的范围、利用他人工作的程度、设计控制测试以实现整合审计的双重目标、财务报表审计中发现的问题对内部控制审计的影响、评价控制缺陷的严重程度等。
会计师事务所在开展整合审计时,需要统筹考虑,挑选具有胜任能力的人员组成项目组。在组建项目组时,需要考虑下列事项:
1.委派掌握内部控制审计知识和方法的审计人员,如有可能,考虑配备有内部控制审计经验的审计人员;
2.必要时配备专家,如信息系统等方面的专家。这些专家在审计项目的前期就要参与审计工作,从而判断在审计过程中哪些领域需要更深参与才能对相关内部控制的设计和运行有效性获取充分、适当的审计证据。
项目合伙人及其他有经验的项目组成员需要参与整合审计计划的制定,以便及时作出上述职业判断,避免项目组中经验较少的成员作出不恰当的决定从而影响审计效果和效率。特别是在首次执行整合审计时,项目合伙人、项目经理以及参与审计项目的有关专家往往需要付出更多时间。项目合伙人要做出恰当安排,确保在执行审计的过程中及时指导并复核审计工作,充分考虑财务报表审计和内部控制审计的互相参照与整合。另外,会计师事务所应当按照《企业内部控制审计指引实施意见》的规定,考虑是否委派适当的项目质量控制复核人员,以客观评价项目组作出的重大判断以及在编制内部控制审计报告时得出的结论。
在整合审计中,财务报表审计和内部控制审计原则上应由同一个项目组执行。如果项目组又被划分为承担不同具体工作的团队,则需要考虑团队间的沟通和协调配合,不同的团队需要站在“整合”的角度来制定审计策略、评估测试结果,一方面减少重复工作,另一方面兼顾两类审计的要求,保证内部控制审计和财务报表审计的审计证据和结论可以相互参照,避免审计判断出现不一致的情况。
九、确定与控制相关的风险对确定控制测试的性质、时间安排和范围有什么作用?
答:与控制相关的风险,包括一项控制可能无效的风险,以及如果该控制无效,可能导致重大缺陷的风险。与控制相关的风险越高,注册会计师需要获取的审计证据就越多。注册会计师对控制相关风险的评价将直接影响控制测试的性质、时间安排和范围。
(一)对控制测试性质的影响
注册会计师在测试控制的有效性时,应当综合运用询问、观察、检查和重新执行等方法。注册会计师测试控制有效性实施的程序,按提供证据的效力,由弱到强排序通常为:询问、观察、检查和重新执行。其中询问本身并不能为得出控制是否有效的结论提供充分、适当的证据。
在内部控制审计中,与控制相关的风险越高,注册会计师对审计证据的效力要求也越高。
(二)对控制测试时间安排的影响
一般而言,与控制相关的风险越高,注册会计师对控制的测试时间越应接近基准日。当注册会计师选择内部控制测试期间时,还应当考虑测试涵盖的期间能否为内部控制在基准日之前一段足够长的期间内有效运行提供足够的审计证据。
即便注册会计师认为与控制相关的风险较高,因而决定对控制的测试时间应接近基准日,仍可在期中测试,但应调整针对剩余期间进行的前推测试的性质和范围。
(三)对控制测试范围的影响
注册会计师确定的控制测试范围,应当足以使其获取充分、适当的审计证据,为基准日内部控制是否不存在重大缺陷提供合理保证。
与控制相关的风险越高,注册会计师需要获取的证据就越多。对于人工控制,《企业内部控制审计指引实施意见》提供了采用检查或重新执行程序测试控制运行有效性时的最小样本量区间表,供注册会计师参照使用。