企业内部控制审计指引.docx
《企业内部控制审计指引.docx》由会员分享,可在线阅读,更多相关《企业内部控制审计指引.docx(20页珍藏版)》请在冰豆网上搜索。
企业内部控制审计指引
《企业内部控制审计指引》
一、内部控制审计概述
(一)实施内部控制审计的必要性
目标:
规范注册会计师执行企业内部控制审计业务,明确工作要求,保证执业质量。
(二)我国对内部控制审计的要求
2010年4月26日,财政部发布《内控审计指引》,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行;同时,鼓励非上市大中型企业提前执行。
(三)内部控制审计的定义
内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
1.企业内部控制审计基于特定基准日。
注册会计师基于基准日(如年末12月31日)内部控制的有效性发表意见,而不是对财务报表涵盖的整个期间(如一年)的内部控制的有效性发表意见。
2.财务报告内部控制与非财务报告内部控制
内控审计指引第四条第二款规定,注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
财务报告内部控制:
是指企业为了合理保证财务报告及相关信息真实、完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。
主要包括下列方面的政策和程序:
(1)保存充分、适当的记录,准确、公允地反映企业的交易和事项;
(2)合理保证按照企业会计准则的规定编制财务报表;
(3)合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权;
(4)合理保证及时防止或发现并纠正XX的、对财务报表有重大影响的交易和事项。
非财务报告内部控制:
是指除财务报告内部控制之外的其他控制,通常是指为了合理保证除财务报告及相关信息、资产安全外的其他控制目标的实现而设计和运行的内部控制。
3.企业内控责任与注册会计师审计责任的关系。
内控审计指引第三条规定,建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。
按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。
(四)整合审计
《内控审计指引》第五条规定,注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(以下简称整合审计)。
理解这一规定,要明确两点:
一是内部控制审计与财务报表审计是两种不同的审计业务,两种审计的目标不同;二是内部控制审计与财务报表审计可以整合起来进行。
1.内部控制审计与财务报表审计的异同。
内部控制审计要求对企业控制设计和运行的有效性进行测试,财务报表审计中,也要求了解企业的内部控制,并在需要时测试控制,这是两种审计的相同之处,也是整合审计中应整合的部分,但由于两种审计的目标不同,审计指引要求在整合审计中,注册会计师对内部控制设计与运行的有效性进行测试,要同时实现两个目的:
(1)获取充分、适当的证据,支持在内部控制审计中对内部控制有效性发表的意见;
(2)获取充分、适当的证据,支持在财务报表审计中对控制风险的评估结果。
2.两种审计的整合。
实施财务报表审计时,注册会计师可以利用内部控制审计的结果来修改实质性程序的性质、时间安排和范围,并且可以利用该结果来支持分析程序中所使用的信息的完整性和准确性。
在确定实质性程序的性质、时间安排和范围时,注册会计师需要慎重考虑识别出的控制缺陷。
实施内部控制审计时,注册会计师需要评估财务报表审计时实质性程序中发现问题的影响。
最重要的是,注册会计师需要重点考虑财务报表审计中发现的财务报表错报,考虑这些错报对评价内控有效性的影响。
二、计划审计工作
(一)总体要求
在计划整合审计工作时,注册会计师需要评价下列事项对财务报表和内部控制是否有重要影响,以及有重要影响的事项将如何影响审计工作:
1.与企业相关的风险,包括在评价是否接受与保持客户和业务时,注册会计师了解的与企业相关的风险情况以及在执行其他业务时了解的情况;
2.相关法律法规和行业概况;
3.企业组织结构、经营特点和资本结构等相关重要事项;
4.企业内部控制最近发生变化的程度;
5.与企业沟通过的内部控制缺陷;
6.重要性、风险等与确定内部控制重大缺陷相关的因素;
7.对内部控制有效性的初步判断;
8.可获取的、与内部控制有效性相关的证据的类型和范围。
(二)重视风险评估的作用
风险评估的理念及思路应当贯穿于整个审计过程的始终。
实施风险评估时,可以考虑固有风险及控制风险。
在计划审计工作阶段,对内部控制的固有风险进行评估,作为编制审计计划的依据之一;根据对控制风险评估的结果,调整计划阶段对固有风险的判断,这是个持续的过程。
注册会计师应当更多地关注高风险领域,而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。
(三)利用其他相关人员的工作
如果拟利用他人的工作,注册会计师则需要评价该人员的专业胜任能力和客观性。
专业胜任能力和客观性越高,可利用程度就越高,注册会计师就可以越多地利用其工作。
与某项控制相关的风险越高,可利用他人工作的程度就越低,注册会计师就需要更多地对该项控制亲自进行测试。
三、实施审计工作
(一)自上而下的方法
自上而下的方法按照下列思路展开:
1.从财务报表层次初步了解内部控制整体风险;
2.识别企业层面控制;
3.识别重要账户、列报及其相关认定;
4.了解错报的可能来源;
5.选择拟测试的控制。
(二)识别企业层面控制
1.评价企业层面控制的精确度。
(1)某些企业层面控制,如企业经营理念、管理层的管理风格等与控制环境相关的控制,对及时防止或发现井纠正相关认定的错报的可能性有重要影响。
(2)某些企业层面控制旨在识别其他控制可能出现的失效情况,能够监督其他控制的有效性,但还不足以精确到及时防止或发现并纠正相关认定的错报。
2.企业层面控制的内容。
(1)与内部环境相关的控制。
(2)针对管理层(董事会、经理层)凌驾于控制之上的风险而设计的控制。
(3)企业的风险评估过程。
(4)对内部信息传递和财务报告流程的控制。
(5)对控制有效性的内部监督和自我评价。
此外,企业层面控制还包括:
(1)集中化的处理和控制,包括共享的服务环境。
(2)监控经营成果的控制。
监督经营成果的内部控制范围非常广泛,其中与监督经营成果相关的企业层面控制主要包括:
管理层定期将经营成果与预算进行对比分析及复核,分析财务资料是否存在异常情况;定期编制主要经营指标并对这些指标进行审阅及分析,分析财务资料是否存在异常情况;定期更新经营预测,并与期末的实际经营结果进行对比分析。
监督经营成果的控制还包括在控制环境以及风险评估流程方面的监控,主要包括:
——对客户投诉报告的复核及分析,查找企业各下属机构或业务部门是否存在违规、不合法或管理不善的情况;
——对违反企业政策或守则行为的处理的复核;
——对与员工报酬或晋升相关的员工业绩评价流程的复核,以确定企业内部公平及平衡的奖惩制度的执行;
——对企业记录的财务报表编制流程中存在的主要风险的复核,以考虑企业内部及外部存在的重大错报风险是否被清楚地反映。
(3)针对重大经营控制以及风险管理实务而采取的政策。
注册会计师需要考虑的主要因素包括:
①企业的内部环境,例如:
公司治理结构和议事规则是否规范;是否有明确的决策、执行、监督等方面的职责权限;是否有专门机构具体负责组织协调内部控制的建立及实施等。
②基于企业整体的发展战略、经营战略和日标,管理层能否充分识别企业各业务流程中存在的内部和外部风险。
③企业是否根据内部控制目标,结合风险评估结果和风险应对策略,针对各种业务和事项,综合运用控制措施,将风险控制在可承受范围之内,同时建立重大风险预警机制和突发事件应急处理机制,确保突发事件得到及时妥善处理。
④为了保证控制活动的有效执行,企业是否进行持续的内部监督,包括日常监督和专项监督,并以书面或者其他适当的形式,妥善保存内部控制建立与实施过程中的相关记录或资料,确保内部控制建立与实施过程的可验证性。
(三)测试控制设计和运行的有效性
注册会计师在测试控制设计与运行的有效性时,应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。
注册会计师测试控制有效性实施的程序,按提供证据的效力,由弱到强排序为:
询问、观察、检查和重新执行。
其中,询问本身并不能为得出控制是否有效的结论提供充分、适当的证据。
执行穿行测试通常足以评价控制设计的有效性。
(四)与控制相关的风险与拟获取证据的关系
与控制相关的风险越高,注册会计师需要获取的证据就越多。
与某项控制相关的风险受下列因素的影响:
1.该项控制拟防止或发现并纠正的错报的性质和重要程度;
2.相关账户、列报及其认定的固有风险;
3.相关账户或列报是否曾经出现错报;
4.交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的有效产生不利影响;
5.企业层面控制(特别是对控制有效性的内部监督和自我评价)的有效性;
6.该项控制的性质及其执行频率;
7.该项控制对其他控制(如内部环境或信息技术一般控制)有效性的依赖程度;
8.该项控制的执行或监督人员的专业胜任能力,以及其中的关键人员是否发变化;
9.该项控制是人工控制还是自动化控制;
10.该项控制的复杂程度,以及在运行过程中依赖判断的程度。
(五)连续审计时的特殊考虑
1.影响连续审计中与某项控制相关的风险的因素
除第(四)部分“风险与拟获取证据的关系”中所列的10项因素外,还包括:
(1)以前年度审计中所实施程序的性质、时间安排和范围;
(2)以前年度对控制的测试结果;
(3)上次审计之后,控制或其运行流程是否发生变化,尤其是考虑IT环境的变化。
2.实施对标策略。
如果认为程序变更、访问权限及计算机操作方面的一般控制有效,且可持续对其进行测试,并能证实自动化应用控制自最近一次测试之后未发生变化,则注册会计师不必重复执行测试,就可以认为自动化应用控制持续有效。
注册会计师在确定是否使用对标策略时,首先要评价下列风险因素:
(1)应用控制与相关应用程序直接对应的程度;
(2)应用系统的稳定性(即各期间的变化大小);
(3)有关投人使用的程序,其汇编日期报告的可获得性和可靠性,该信息可作为此程序中的控制未发生变化的证据。
在一段时期之后,注册会计师应重新设置自动化应用控制运行的测试基准。
在确定何时重设测试基准时,注册会计师应当评价下列因素:
(1)信息技术控制环境的有效性,包括针对应用及操作系统的开发与维护、访问权限以及计算机操作实施的控制的有效性;
(2)如果含有控制的具体程序发生变化,注册会计师对该变化性质的了解;
(3)其他相关测试的性质和时间安排;
(4)与被设为测试基准的应用控制相关的错误导致的后果;
(5)控制是否易于受到其他可能变化的经营因素的影响。
3.增加测试的不可预见性。
每年在不同的时段进行测试控制,并增加或减少所执行测试的数量和种类,或者改变所使用测试程序的组合等。
四、评价控制缺陷
评价控制缺陷的总体要求
内部控制缺陷包括设计缺陷和运行缺陷。
内部控制存在的缺陷,按严重程度分为重大缺陷、重要缺陷和一般缺陷。
◆下列迹象可能表明企业的内部控制存在重大缺陷:
1.注册会计师发现董事、监事和高级管理人员舞弊;
2.企业更正已经公布的财务报表;
3.注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报;
4.企业审计委员会和内部审计机构对内部控制的监督无效。
◆财务报告内部控制缺陷的严重程度取决于:
1.控制缺陷导致账户余额或列报错报的可能性;
2.因一个或多个控制缺陷的组合导致潜在错报的金额大小。
五、完成审计工作
(一)形成审计意见
只有在审计范围没有受到限制时,注册会计师才能对内部控制的有效性形成意见。
如果审计范围受到限制,注册会计师需要解除业务约定或出具无法表示意见的内部控制审计报告。
(二)获取管理层书面声明
注册会计师需要取得经企业认可的书面声明,书面声明需要包括下列内容:
1.企业董事会认可其对建立健全和有效实施内部控制负责;
2.企业已对内部控制的有效性作出自我评价,并说明评价时采用的标准以及得出的结论;
3.企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础;
4.企业已向注册会计师披露识别出的内部控制所有缺陷,并单独披露其中的大缺陷和重要缺陷;
5.对于注册会计师在以前年度审计中识别的、已与审计委员会沟通的重大缺和重要缺陷,企业是否已经采取措施予以解决;
6.在企业内部控制自我评价基准日后,内部控制是否发生重大变化,或者存对内部控制具有重要影响的其他因素。
(三)沟通相关事项
《中国注册会计师审计准则第1152号—向治理层和管理层通报内部控制缺陷》要求注册会计师以书面形式及时向治理层通报审计过程中识别出的值得关注的内部控制缺陷。
其中,值得关注的内部控制缺陷包括重大缺陷和重要缺陷。
对于重大缺陷,注册会计师需要以书面形式与企业的董事会及其审计委员会进行沟通。
如果认为审计委员会和内部审计机构对内部控制的监督无效,注册会计师需要就此以书面形式直接与董事会和经理层沟通。
对于重要缺陷,注册会计师需要以书面形式与审计委员会沟通。
在进行沟通时,注册会计师无须重复自身、内部审计人员或企业其他人员以前书面沟通过的控制缺陷。
如果发现企业存在或可能存在舞弊或违反法规行为,注册会计师需要按照《中国注册会计师审计准则第1141号—财务报表审计中对舞弊的考虑》、《中国注册会计师审计准则第1142号—财务报表审计中对法律法规的考虑》的规定,确定并履行自身的责任。
六、出具审计报告
(一)总体要求
注册会计师需要在审计报告中清楚地表达对内部控制有效性的意见,并对出具的审计报告负责。
注册会计师在整合完成内部控制审计和财务报表审计后,需要分别对内部控制和财务报表出具审计报告。
内部控制审计不能保证注册会计师能够发现严重程度低于重大缺陷的所有控制缺陷。
注册会计师不应在审计报告中声明,在审计过程中没有发现严重程度低于重大缺陷的所有控制缺陷。
(二)标准内部控制审计报告
括下列要素:
/p>
1.标题。
内部控制审计报告的标题统一规范为“内部控制审计报告”。
2.收件人。
内部控制审计报告的收件人是指注册会计师按照业务约定书的要求致送内部控制审计报告的对象,一般是指审计业务的委托人。
内部控制审计报告需要载明收件人的全称。
3.引言段。
内部控制审计报告的引言段说明企业的名称和内部控制已经过审计。
4.企业对内部控制的责任段。
企业对内部控制的责任段说明,按照《基本规范》、《内控应用指引》、《内控评价指引》的规定,建立健全和有效实施内部控制,并评价其有效性是企业董事会的责任。
5.注册会计师的责任段。
注册会计师的责任段说明,在实施审计工作的基础上,对财务报告内部控制的有效性发表审计意见,并对注意到的非财务报告内部控制的重大缺陷进行披露是注册会计师的责任。
6.内部控制固有局限性的说明段。
内部控制无论如何有效,都只能为企业实现控制目标提供合理保证。
内部控制实现目标的可能性受其固有限制的影响,包括:
(1)在决策时人为判断可能出现错误和因人为失误而导致内部控制失效。
例如,控制的设计和修改可能存在失误。
(2)控制的运行也可能无效。
例如,由于负责复核信息的人员不了解复核的目的或没有采取适当的措施,使内部控制生成的信息(如例外报告)没有得到有效使用。
(3)控制可能由于两个或更多的人员进行串通舞弊或管理层不当地凌驾于内部控制之上而被规避。
例如,管理层可能与客户签订背后协议,修改标准的销售合同条款和条件,从而导致不适当的收人确认。
再如,软件中的编辑控制旨在识别和报告超过赊销信用额度的交易,但这一控制可能被凌驾。
(4)在设计和执行控制时,如果存在选择执行的控制以及选择承担的风险,管理层在确定控制的性质和范围时需要作出主观判断。
7.财务报告内部控制审计意见段。
如果符合下列所有条件的,注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告:
(1)企业按照《基本规范》、《内控应用指引》、《内控评价指引》以及企业自身内部控制制度的要求,在所有重大方面保持了有效的内部控制;
(2)注册会计师已经按照《内控审计指引》的要求计划和实施审计工作,在审计过程中未受到限制。
8.非财务报告内部控制重大缺陷描述段。
9.注册会计师的签名和盖章。
10.会计师事务所的名称、地址及盖章。
11.报告日期。
(三)非标准内部控制审计报告
1.带强调事项段的非标准内部控制审计报告。
注册会计师认为财务报告内部控制虽不存在重大缺陷,但仍有一项或者多项重大事项需要提请内部控制审计报告使用人注意的,需要在内部控制审计报告中增加强调事项段予以说明。
2.否定意见的内部控制审计报告。
注册会计师认为财务报告内部控制存在一项或多项重大缺陷的,除非审计范围受到限制,需要对财务报告内部控制发表否定意见。
3.无法表示意见的内部控制审计报告。
注册会计师审计范围受到限制的,需要解除业务约定或出具无法表示意见的内部控制审计报告,并就审计范围受到限制的情况,以书面形式与董事会进行沟通。
4.期后事项与非标准内部控制审计报告。
注册会计师需要按照((中国注册会计师审计准则第1131号—审计工作底稿》的规定,编制内部控制审计工作底稿,完整记录审计工作情况。
1.内部控制审计计划及重大修改情况;
2.相关风险评估和选择拟测试的内部控制的主要过程及结果;
3.测试内部控制设计与运行有效性的程序及结果;
4.对识别的控制缺陷的评价;
5.形成的审计结论和意见;
6.其他重要事项。
第一章总则
第一条为了规范注册会计师执行企业内部控制审计业务,明确工作要求,保证执业质量,根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则,制定本指引。
第二条本指引所称内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
第三条建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。
按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。
第四条注册会计师执行内部控制审计工作,应当获取充分、适当的证据,为发表内部控制审计意见提供合理保证。
注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
第五条注册会计师可以单独进行内部控制审计,也可将内部控制审计与财务报表审计整合进行(以下简称整合审计)。
在整合审计中,注册会计师应当对内部控制设计与运行的有效性进行测试,以同时实现下列目标:
(一)获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发表的意见。
(二)获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结果。
第二章计划审计工作
第六条注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。
第七条在计划审计工作时,注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响:
(一)与企业相关的风险。
(二)相关法律法规和行业概况。
(三)企业组织结构、经营特点和资本结构等相关重要事项。
(四)企业内部控制最近发生变化的程度。
(五)与企业沟通过的内部控制缺陷。
(六)重要性、风险等与确定内部控制重大缺陷相关的因素。
(七)对内部控制有效性的初步判断。
(八)可获取的、与内部控制有效性相关的证据的类型和范围。
第八条注册会计师应当以风险评估为基础,选择拟测试的控制,确定测试所需收集的证据。
内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。
第九条注册会计师应当对企业内部控制自我评价工作进行评估,判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度,相应减少可能本应由注册会计师执行的工作。
注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作,应当对其专业胜任能力和客观性进行充分评价。
与某项控制相关的风险越高,可利用程度就越低,注册会计师应当更多地对该项控制亲自进行测试。
注册会计师应当对发表的审计意见独立承担责任,其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。
第三章实施审计工作
第十条注册会计师应当按照自上而下的方法实施审计工作。
自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。
注册会计师在实施审计工作时,可以将企业层面控制和业务层面控制的测试结合进行。
第十一条注册会计师测试企业层面控制,应当把握重要性原则,至少应当关注:
(一)与内部环境相关的控制。
(二)针对董事会、经理层凌驾于控制之上的风险而设计的控制。
(三)企业的风险评估过程。
(四)对内部信息传递和财务报告流程的控制。
(五)对控制有效性的内部监督和自我评价。
第十二条注册会计师测试业务层面控制,应当把握重要性原则,结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况,重点对企业生产经营活动中的重要业务与事项的控制进行测试。
注册会计师应当关注信息系统对内部控制及风险评估的影响。
第十三条注册会计师在测试企业层面控制和业务层面控制时,应当评价内部控制是否足以应对舞弊风险。
第十四条注册会计师应当测试内部控制设计与运行的有效性。
如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行,能够实现控制目标,表明该项控制的设计是有效的。
如果某项控制正在按照设计运行,执行人员拥有必要授权和专业胜任能力,能够实现控制目标,表明该项控制的运行是有效的。
第十五条注册会计师应当根据与内部控制相关的风险,确定拟实施审计程序的性质、时间安排和范围,获取充分、适当的证据。
与内部控制相关的风险越高,注册会计师需要获取的证据应越多。
第十六条注册会计师在测试控制设计与运行的有效性时,应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。
询问本身并不足以提供充分、适当的证据。
第十七条注册会计师在确定测试的时间安排时,应当在下列两个因素之间作出平衡,以获取充分、适当的证据:
(一)尽量在接近企业内部控制自我评价基准日实施测试。
(二)实施的测试需要涵盖足够长的期间。
第十八条注册会计师对于内部控制运行偏离设计的情况(即控制偏差),应当确定该偏差对相关风险评估、需要获取