注册会计师审计是提升企业内控有效性的重要制度安排Word文档下载推荐.docx

注册会计师审计是提升企业内控有效性的重要制度安排Word文档下载推荐.docx

《注册会计师审计是提升企业内控有效性的重要制度安排Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《注册会计师审计是提升企业内控有效性的重要制度安排Word文档下载推荐.docx（7页珍藏版）》请在冰豆网上搜索。

同年，欧盟修订“欧洲议会和欧盟理事会指令”，明确要求注册会计师应向公司审计委员会报告财务报告内部控制重大缺陷。

通过实施企业内控审计识别、分析、认定、报告内控缺陷尤其是重大缺陷，是注册会计师审计的重要职责。

注册会计师根据有关法律法规的规定和《企业内部控制基本规范》、《企业内部控制审计指引》的要求将认定的内控重大缺陷报告给企业投资者和社会公众，有利于投资者、社会公众和其他利益相关者全面、及时、准确地了解和掌握企业内控现状，提高决策的科学性和针对性，防止和降低决策失误风险，从而有效维护投资者利益和资本市场健康稳定发展。

（二）实施企业内控注册会计师审计，有助于增强企业内部控制效能，促进企业全面提升风险防范能力和经营管理水平。

注册会计师的独立性和专业性，决定了其在实施内控审计过程中可以更超脱、更全面、更深入、更客观、更精准地查找、剖析企业内部控制中存在的重大风险、薄弱环节和突出问题，较之企业内部控制自我评价在一定程度上难以完全回避的“不识庐山真面目，只缘身在此山中”的固有约束，注册会计师提出的审计意见往往更具针对性、深刻性和建设性；

同时，注册会计师审计报告具有法律效力和威慑性，使得企业管理层必须高度重视注册会计师的审计意见，围绕注册会计师提出的内控缺陷采取及时有效的整改措施，从而促进企业强化缺陷整改的严肃性、自觉性和紧迫性，为企业举一反三健全管控、杜塞漏洞，实现又好又快可持续发展提供助推力。

（三）实施企业内控注册会计师审计，有助于促进注册会计师行业紧密适应市场需求推动业务转型升级、实现加快发展。

为了支持和促进我国注册会计师行业跨越式发展、维护国家经济信息安全，2009年10月，国务院办公厅转发财政部《关于加快发展我国注册会计师行业的若干意见》（简称“国办56号文件”），明确提出“在巩固财务会计报告审计、资本验证、涉税鉴证等业务的基础上，积极向企事业单位内部控制、管理咨询、并购重组、资信调查、专项审计、业绩评价、司法鉴定、投资决策、政府购买服务等相关业务领域延伸，推动大型会计师事务所业务转变和升级，加速向高端型、高附加值、国际化业务发展”。

实施企业内控审计，是落实国办56号文件精神的具体体现，是扩大会计师事务所执业领域、扶持注册会计师行业加快发展的重大利好。

二、实施企业内控注册会计师审计中应当正确处理的几个关系

（一）企业内控责任与注册会计师审计责任的关系。

两者之间的关系和会计责任与审计责任的区分保持一致，即：

建立健全和有效实施内部控制是企业董事会（或类似决策机构，下同）的责任；

按照《企业内部控制审计指引》的要求，在实施审计工作的基础上对企业内部控制的有效性发表审计意见，是注册会计师的责任。

换言之，内控本身有效与否是企业的内控责任，是否遵循内控审计指引开展内控审计并发表恰当的审计意见是注册会计师的审计责任。

因此，注册会计师在实施内控审计之前，应当在业务约定书中明确双方的责任；

在发表内控审计意见之前，应当取得经企业签署的内控书面声明。

（二）企业内控自我评价与注册会计师内控审计的关系。

第一，企业内控自我评价与注册会计师内控审计是相互独立、并行不悖的。

企业内控责任与注册会计师内控审计责任的划分，决定了企业实施内控自评和注册会计师实施内控审计必须按照不同的规则独立完成，两者之间不能相互替代和免除。

第二，注册会计师在实施内控审计中可以适当利用企业内控自评工作。

一般而言，企业内控自评工作应先于注册会计师内控审计进行，因此，适当利用企业内控自评工作及其成果，可以相应减少注册会计师的工作量，提高内控审计效率。

但是，注册会计师的内控审计责任，不能因为利用了企业内控自评工作而减轻，这就要求注册会计师在利用企业内控自评工作时，必须毫不放松风险意识，特别要在评估企业内控自评人员客观性和胜任能力等方面保持应有的职业谨慎态度。

下图揭示了注册会计师利用企业内控自评工作应当把握的方法和尺度。

对企业自评人员

对企业自评人员客观性的评估

胜任能力的评估

高

中

低

最大程度利用

中等程度利用

不利用

较小程度利用

第三，在各负其责的基础上加强双方的沟通协调，是做好企业内控自评和注册会计师内控审计不容忽视的重要方法。

一方面，就注册会计师及其所在的会计师事务所而言，一是要注重树立整体研判观念，善于在宏观层面把握大局、把握实质；

二是要着重关注合规目标、报告目标和资产安全目标，适当兼顾效率效果目标和战略目标；

三是要配备经验丰富、结构合理的内控审计项目负责人和经理人员；

四是要注意项目具体执行人员与调查访谈对象身份、权责的大体协调；

五是要加强内控审计业务培训和经验交流；

六是要重视以前年度审计情况总结分析；

七是要建立与同行的经验共享、技术合作机制；

八是要加强信息技术等非财会、审计人才的引进和培养。

另一方面，就企业管理层而言，一是要自觉强化可持续发展理念和借力“会诊”意识，主动配合支持注册会计师的审计工作；

二是要建立并理顺与注册会计师的沟通协调机制，在审前、审中和审后保持坦诚、深入的沟通；

三是要针对注册会计师的疑虑，提出有说服力的证据；

四是要在第一时间整改注册会计师识别的控制缺陷，为获得更为正面的审计意见赢得主动。

（三）财务报告内控和非财务报告内控的关系。

第一，财务报告内控与非财务报告内控是一个相对概念，恰如会计控制与管理控制的界定一样。

一般而言，与财务报告真实性、可靠性、完整性直接相关的控制称为财务报告内控，比如，根据企业会计准则的要求对经济交易或事项进行会计确认、计量、记录和报告的相关控制属于财务报告内控，除此之外的控制可以归类为非财务报告内控。

第二，《企业内部控制审计指引》对财务报告内控和非财务报告内控提出了差异化的审计要求，即：

注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以描述。

必须强调，这一规定是实事求是的，既充分考虑了注册会计师的专业特长和职业风险，将注册会计师的审计重心定位在财务报告内控领域，同时又大胆破除了单纯财务报告内控观念的束缚，促使注册会计师的内控审计范围与企业管理层的内控自评范围总体上趋于一致，增强了内控审计报告与自评报告的协调。

（四）内控审计和财务报表审计的关系。

《企业内部控制审计指引》规定，注册会计师可以将内部控制审计与财务报表审计整合进行（即整合审计），也可以单独进行内部控制审计。

尽管从法规的角度为如何进行内控审计和财务报表审计提供了选择，但从企业更“经济”地委托审计分析，我们倡导内控审计和财务报表审计整合进行。

事实上，审计准则所要求的风险导向审计与内控规范体系所要求的风险评估，在理念和方法上是趋于一致的，因此整合审计具有较好基础。

整合审计的目的，就是在内控审计中获取充分、适当的证据，支持注册会计师在财务报表审计中对内部控制的风险评估结果；

同时，在财务报表审计中获取充分、适当的证据，支持注册会计师在内控审计中对内部控制的有效性发表意见。

整合审计的互动关系见下图。

从美国公共会计公司（会计师事务所）整合进行财务报表审计和财务报告内控审计（404审计）的通常做法看，内控审计团队一般先于财务报表审计团队1－2个月的时间进入被审企业，在对财务报告内控有效性作出总体评估的基础上，对实施财务报表审计的性质、时间和范围作出适当调整和完善，之后，通过对财务报表的实质性分析复核，再来验证财务报告内控的有效性。

由此可见，所谓整合审计，实际上是整合协调审计时间、整合协调审计方法、整合协调审计意见，这是值得我国会计师事务所研究借鉴的。

（五）企业层面控制测试与业务层面控制测试的关系。

无论是企业内控自评，还是注册会计师内控审计，都需要对企业层面控制和业务层面控制进行测试。

一般认为，与内部控制诸要素中的基本制度安排直接相关，对企业整体内控目标的实现具有重大影响的控制属于企业层面控制；

与控制活动（控制政策和程序）在具体业务和事项中的运用直接相关，对企业某一或某些方面的内控目标具有重要影响的控制属于业务层面控制。

由此可以推论，企业层面控制决定业务层面控制，业务层面控制反作用于企业层面控制。

因此，在实施企业层面控制测试和业务层面控制测试中，应当坚持自上而下、上下结合的测试方法。

所谓自上而下，是指测试控制应当从企业层面控制入手，通过评估、预判企业层面控制，增强业务层面控制测试的科学性、针对性和实效性。

同时应当注意，强调自上而下进行测试，并不意味着企业层面和业务层面的测试工作是孤立进行、截然分开的，在注册会计师审计实践中，往往将企业层面控制测试和业务层面控制测试结合进行，以企业层面控制弱点锁定业务层面控制重点，以业务层面控制效果反证企业层面控制设计。

需要注意的是，在测试业务层面控制时，一定要把握关键控制和一般控制。

当一项控制可以涵盖多个可能出错事项，或者一个可能出错事项只有某项控制能够涵盖时，该项控制应当被认定为关键控制，除此之外，则被认定为一般控制。

经验数据表明，在所有业务层面控制中，关键控制一般占到20％左右。

下图为认定关键控制提供了一种可供参考的方法。

可能出错事项

控制

1

2

3

4

5

×

上图中，控制1可以涵盖可能出错事项1、2、3和5，即一项控制可以涵盖多个可能出错事项，因此控制1可被认定为关键控制；

而对于可能出错事项4，只有控制2能够涵盖，即一个可能出错事项只有一项控制能够涵盖，因此控制2可被认定为关键控制。

由此分析得出，控制3、4和5应为一般控制。

（六）重大缺陷披露与其他缺陷沟通的关系。

内部控制缺陷按其影响程度分为重大缺陷（实质性漏洞）、重要缺陷和一般缺陷。

重大缺陷既可能源于设计缺陷和运行缺陷，又可能源于错弊事项性质和金额的严重程度。

《企业内部控制审计指引》规定，当注册会计师发现企业董事、监事和高级管理人员舞弊，或者注册会计师发现当期财务报表存在重大错报，而企业内部控制在运行过程中未能发现该错报，或者企业更正已经公布的财务报表，或者企业审计委员会和内部审计机构对内部控制的监督无效，应当认定企业财务报告内控存在重大缺陷，对企业财务报告内控有效性发表否定意见，并通过内控审计报告予以披露。

对于其他控制缺陷，包括重要缺陷和一般缺陷，应当区别情况与企业沟通。

一般地，对于重要缺陷，应当以书面形式与企业董事会和经理层沟通；

对于一般缺陷，应当以书面形式