第二十章 企业内部控制审计
一、企业内部控制审计概述
1.1 内部控制审计的概念
企业内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计,并发表审计意见。
关键要点
- 注册会计师应当对财务报告内部控制的有效性发表审计意见
- 注册会计师应当对内部控制审计和财务报表审计进行整合
- 应当在整合审计的基础上,分别出具内部控制审计报告和财务报表审计报告
1.2 内部控制审计的范围
| 项目 | 说明 |
|---|---|
| 审计对象 | 企业财务报告内部控制的有效性 |
| 审计范围 | 与财务报告相关的内部控制,不包括非财务报告内部控制 |
| 非财务报告内部控制 | 如注意到影响,应当书面告知企业,但不影响内控审计意见 |
1.3 整合审计的要求
注册会计师在内部控制审计中应当:
- 结合财务报表审计对内部控制有效性进行测试
- 获取的审计证据在两项审计中相互利用
- 根据两项审计中发现的所有控制缺陷评价内部控制有效性
- 分别对内部控制和财务报表发表审计意见
二、计划审计工作
2.1 计划内部控制审计工作的内容
计划内部控制审计工作时,应当评价下列事项:
- 与企业相关的风险——可能导致企业财务报告发生重大错报的风险
- 可能出现重大缺陷的领域
- 企业层面控制——包括企业的控制环境
- 重要账户、列报及相关认定
- 企业控制的设计和执行情况
- 其他相关因素——涉及的范围、复杂程度、以前年度审计发现等
2.2 重要性
| 项目 | 说明 |
|---|---|
| 重要性水平 | 在计划和执行内部控制审计时使用的重要性水平,与财务报表审计中的重要性水平一致 |
| 重大缺陷判断 | 某控制缺陷或缺陷组合是否构成重大缺陷,取决于该缺陷是否可能导致财务报表重大错报 |
三、自上而下的方法
3.1 方法概述
核心方法
注册会计师应当采用自上而下的方法选择拟测试的控制:
- 从财务报表层次开始
- 识别重要账户、列报及其相关认定
- 了解与每项认定相关的风险
- 选择拟测试的控制,包括企业层面控制和业务流程层面控制
3.2 识别重要账户、列报及相关认定
确定重要账户和列报时考虑的因素:
- 财务报表中各账户的金额大小和构成内容
- 错报的可能性
- 相关账户或列报是否涉及复杂的会计处理
- 账户或列报的性质
- 相关资产发生损失的可能性
- 或有负债的大小和性质
- 企业经营活动的影响
3.3 了解潜在错报的来源并选择控制
了解可能发生错报的环节(什么会出错),进而识别企业针对这些环节设计和执行的控制。选择拟测试的控制时考虑:
| 考虑因素 | 说明 |
|---|---|
| 控制与认定的关系 | 该控制是否足以应对已识别的错报风险 |
| 控制性质 | 是预防性控制还是检查性控制 |
| 其他控制 | 是否有其他控制也能应对同一认定的错报风险 |
四、测试控制的有效性
4.1 测试企业层面控制
企业层面控制包括以下方面:
- 与控制环境相关的控制
- 针对管理层凌驾控制之上的风险而设计的控制
- 企业的风险评估过程
- 对内部信息传递和期末财务报告流程的控制
- 对控制有效性的内部监督(含内部审计)
- 集中化控制和监控活动(如共享服务中心)
特别关注
某些企业层面控制,如与控制环境相关的控制,虽然不能单独足以将某一认定的错报风险降至可接受的低水平,但会影响注册会计师对其他控制测试的性质、时间安排和范围的决策。
4.2 测试业务流程层面控制
测试内容包括:
| 项目 | 说明 |
|---|---|
| 控制设计有效性 | 如果该控制按规定执行,是否能够有效防止或发现错报 |
| 控制运行有效性 | 相关控制是否按设计的要求运行,执行人员是否具备必要的权限和能力 |
4.3 测试方法
| 测试方法 | 适用说明 |
|---|---|
| 询问 | 单独使用不能提供充分证据 |
| 观察 | 仅限于观察时点,需结合其他程序 |
| 检查 | 检查文件记录,兼具可靠性 |
| 重新执行 | 可靠性最高的控制测试方法 |
| 穿行测试 | 可用于控制设计和运行有效性的初步了解 |
4.4 控制测试的范围
| 影响因素 | 说明 |
|---|---|
| 控制执行频率 | 执行频率越高,测试样本量越大 |
| 依赖控制的程度 | 依赖程度越高,需获取的证据越多 |
| 控制的性质 | 人工控制 vs 自动化控制影响测试范围 |
| 控制的复杂性 | 越复杂测试范围越大 |
| 控制变更情况 | 发生变更需重新测试 |
| 控制是否存在被规避的可能 | 存在可能性时扩大测试范围 |
4.5 利用他人的工作
注册会计师在内部控制审计中可以利用他人工作的范围:
- 内部审计人员——应评价其胜任能力、客观性和结论的可靠性
- 其他人员——应充分考虑其工作是否可用及在多大程度上可用
限制
注册会计师不应利用他人的工作来减少自身的工作量至不充分的程度。对于控制环境、管理层凌驾控制等领域,应亲自执行足够的测试。
五、内部控制缺陷的评价
5.1 缺陷分类
| 缺陷级别 | 定义 |
|---|---|
| 重大缺陷 | 一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标(合理可能性+重大影响) |
| 重要缺陷 | 一个或多个控制缺陷的组合,其严重程度和经济后果不如重大缺陷,但仍然重要到需要引起治理层关注 |
| 一般缺陷 | 除重大缺陷和重要缺陷之外的内部控制缺陷 |
5.2 评价控制缺陷的严重程度
评价时应考虑以下两个方面:
- 可能性——该缺陷单独或连同其他缺陷是否可能导致无法及时防止或发现账户余额或列报的错报
- 影响程度——如果发生错报,潜在错报的金额大小
5.3 重大缺陷的迹象
以下迹象可能说明存在重大缺陷:
- 控制环境无效
- 企业风险评估过程无效
- 发现注册会计师此前未识别的重大错报(表明相关控制存在重大缺陷)
- 审计委员会对财务报告和内部控制的监督无效
- 内部控制运行中发现的重大且未纠正的问题
5.4 缺陷的沟通
| 沟通事项 | 沟通对象 |
|---|---|
| 所有识别出的内部控制缺陷 | 管理层 |
| 重大缺陷和重要缺陷 | 治理层(书面沟通) |
| 以前年度沟通过的缺陷仍未整改 | 再次以书面方式沟通 |
六、出具审计报告
6.1 审计意见类型
| 意见类型 | 适用情形 |
|---|---|
| 无保留意见 | 财务报告内部控制在所有重大方面是有效的 |
| 带强调事项段的无保留意见 | 需对某些事项予以强调但不影响意见 |
| 否定意见 | 存在一个或多个重大缺陷 |
| 无法表示意见 | 审计范围受到重大限制 |
核心规则
- 存在重大缺陷→ 应当发表否定意见
- 存在审计范围限制→ 应当解除业务约定或出具无法表示意见
- 注册会计师不应出具保留意见的内部控制审计报告
6.2 非财务报告内部控制重大缺陷
如在审计过程中注意到非财务报告内部控制的重大缺陷:
- 应当以书面形式告知企业
- 该缺陷不影响内部控制审计意见
- 应当在内部控制审计报告中增加其他事项段予以说明
6.3 审计报告的要素
| 要素 | 说明 |
|---|---|
| 标题 | "审计报告" |
| 收件人 | 按照业务约定书的约定 |
| 引言段 | 说明审计的内部控制及基准日 |
| 管理层责任段 | 管理层对建立健全和有效实施内部控制负责 |
| 注册会计师责任段 | 按照审计准则执行审计、发表意见 |
| 内部控制固有局限性段 | 声明内部控制的固有局限性 |
| 财务报告内部控制审计意见段 | 表达审计意见 |
| 签章和盖章 | 注册会计师签名盖章、事务所盖章 |
| 报告日期 | 不早于获取充分适当证据的日期 |
七、企业内部控制审计与财务报表审计的关系
7.1 相互影响
| 方面 | 说明 |
|---|---|
| 内控审计→财报审计 | 内控审计中发现的控制有效性证据可降低财报审计中实质性程序的范围 |
| 财报审计→内控审计 | 财报审计中发现的错报可能是内部控制缺陷的迹象 |
| 证据共享 | 两项审计中获取的审计证据可以相互利用 |
7.2 审计结论的相互影响
注意
- 对财务报表发表的审计意见不能替代对内部控制发表的审计意见
- 如果内部控制存在重大缺陷,注册会计师应评估其对财务报表审计意见的影响
- 在内部控制审计中识别的重大缺陷,需要考虑是否可能导致财务报表重大错报
7.3 报告日期
- 内部控制审计报告日期应与财务报表审计报告日期一致
- 如果不一致,注册会计师应在内部控制审计报告中作出说明