企业内部控制审计.docx
《企业内部控制审计.docx》由会员分享,可在线阅读,更多相关《企业内部控制审计.docx(12页珍藏版)》请在冰豆网上搜索。
企业内部控制审计
《企业内部控制审计指引》之内部控制审计概述
2010-10-2110:
29 中国税网 【大中小】【打印】【我要纠错】
(一)实施内部控制审计的必要性
内部控制作为企业的一项重要管理活动,主要试图解决三方面的基本问题,即财务报告及相关信息的可靠性、资产的安全完整以及对法律法规的遵循。
与此同时,促进提高经营的效率效果,并促进实现企业的发展战略。
安然、世通等一系列公司财务报表舞弊事件发生后,人们认识到健全有效的内部控制对预防此类事件的发生至关重要。
各国政府监管机构、企业界和会计职业界对内部控制的重视程度也进一步提升,从注重财务报告本身可靠性转向注重对保证财务报告可靠性机制的建设,也就是通过过程的有效来保证结果的有效。
资本市场上的投资者甚至社会公众要求企业披露其与内部控制相关的信息,并要求经过注册会计师审计以增强信息的可靠性。
但是,在财务报表审计中,只有在以下两种情况下才强制要求对内部控制进行测试:
在评估认定层次重大错报风险时,预期控制的运行是有效的(即在确定实质性程序的性质、时间安排和范围时,注册会计师拟信赖控制运行的有效性);或者仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。
可见,注册会计师对内部控制的了解和测试不足以对内部控制发表意见,难以满足信息使用者的需求。
因此,内部控制审计逐渐发展起来,很多国家要求注册会计师对内部控制设计和运行的有效性进行审计或鉴证。
例如,美国《萨班斯——奥克斯利法案》404条款和日本《金融商品交易法》要求审计师对企业管理层对财务报告内部控制的评价进行审计;我国《企业内部控制基本规范》要求会计师事务所对企业内部控制的有效性进行审计,出具审计报告,并专门制定《企业内部控制审计指引》规范内部控制审计工作。
(二)各国对内部控制审计的要求
1.其他国家对内部控制审计的要求。
我们对内部控制审计进行了国际比较研究,选择了在内部控制规范制定领域一直走在世界前沿的几个国家和地区,包括美国、日本、欧盟、加拿大和英国,对上述各国及地区出台的内控审计标准进行了比较研究。
研究结论表明:
(1)美国和日本均以法案形式强制要求对企业财务报告内部控制进行审计;欧盟、加拿大、英国未强制要求进行内控审计,但英国等国的上市规则要求审计师对管理层做出的内部控制声明进行形式上的审阅。
(2)强制要求进行内部控制审计的国家,如美国和日本,内部控制审计与年度财务报表审计整合进行。
其中,美国要求由同一家会计师事务所将内部控制审计与财务报表审计整合进行;而日本则不仅如此,要求同一个审计师从计划审计工作、实施审计程序获取审计证据、评价审计证据的充分性和适当性,直到发表审计意见的整个过程中,将两种审计作为一个整体进行。
2.我国对内部控制审计的要求。
《企业内部控制基本规范》及配套指引的发布,要求执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。
注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷,应当提示投资者、债权人和其他利益相关者关注。
这意味着,企业内部控制审计业务由原来的一次性业务或面向少数企业的业务(A股企业原先仅在IPO时需要,或者赴美国和日本等地上市企业需要,或者金融证券等高风险行业需要),变成了与财务报表审计一样的经常性业务,每年需执行一次。
对于执行内部控制审计的会计师事务所来讲,对公司上市前要进行内部控制审计,上市后也要进行内部控制审计。
(三)内部控制审计的定义
内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
1.企业内部控制审计基于特定基准日。
注册会计师基于基准日(如年末12月31日)内部控制的有效性发表意见,而不是对财务报表涵盖的整个期间(如一年)的内部控制的有效性发表意见。
但这并不意味着注册会计师只关注企业基准日当天的内部控制,而是要考察企业一个时期内(足够长的一段时间)内部控制的设计和运行情况。
例如,注册会计师可能在5月份对企业的内部控制进行测试,发现问题后提请企业进行整改,如6月份整改,企业的内部控制在整改后要运行一段时间(如至少一个月),8月份注册会计师再对整改后的内部控制进行测试。
因此,虽然是对企业12月31日(基准日)内部控制的设计和运行发表意见,但这里的基准日不是一个简单的时点概念,而是体现内部控制这个过程向前的延续性。
注册会计师所采用的内部控制审计的程序和方法,也体现了这种延续性。
2.财务报告内部控制与非财务报告内部控制。
审计指引第四条第二款规定,注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
财务报告内部控制,是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。
主要包括下列方面的政策和程序:
(1)保存充分、适当的记录,准确、公允地反映企业的交易和事项;
(2)合理保证按照企业会计准则的规定编制财务报表;
(3)合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权;
(4)合理保证及时防止或发现并纠正XX的、对财务报表有重大影响的交易和事项。
非财务报告内部控制,是指除财务报告内部控制之外的其他控制,通常是指为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标无关的控制。
3.企业内控责任与注册会计师审计责任的关系。
审计指引第三条规定,建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。
按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。
两者之间的关系和会计责任与审计责任的区分保持一致,即:
建立健全和有效实施内部控制是企业董事会(或类似决策机构,下同)的责任;按照《企业内部控制审计指引》的要求,在实施审计工作的基础上对企业内部控制的有效性发表审计意见,是注册会计师的责任。
换言之,内控本身有效与否是企业的内控责任,是否遵循审计指引开展内控审计并发表恰当的审计意见是注册会计师的审计责任。
因此,注册会计师在实施内控审计之前,应当在业务约定书中明确双方的责任;在发表内控审计意见之前,应当取得经企业签署的内控书面声明。
(四)整合审计
审计指引第五条规定,注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(下称“整合审计”)。
理解这一规定,要明确两点:
一是内部控制审计与财务报表审计是两种不同的审计业务,两种审计的目标不同;二是内部控制审计与财务报表审计可以整合起来进行。
1.内部控制审计与财务报表审计的异同。
内部控制审计要求对企业控制设计和运行的有效性进行测试,在财务报表审计中,也要求了解企业的内部控制,并在需要时测试控制,这是两种审计的相同之处,也是整合审计中应整合的部分,但由于两种审计的目标不同,审计指引要求在整合审计中,注册会计师对内部控制设计与运行的有效性进行测试,要同时实现两个目的:
(1)获取充分、适当的证据,支持在内部控制审计中对内部控制有效性发表的意见;
(2)获取充分、适当的证据,支持在财务报表审计中对控制风险的评估结果。
2.两种审计的整合。
财务报告内部控制审计与财务报表审计通常使用相同的重要性(或重要性水平),在实务中两者很难分开。
因为注册会计师在审计财务报表时需获得的信息在很大程度上依赖注册会计师对内部控制有效性得出的结论。
注册会计师可以利用在一种审计中获得的结果为另一种审计中的判断和拟实施的程序提供信息。
实施财务报表审计时,注册会计师可以利用内部控制审计的结果来修改实质性程序的性质、时间安排和范围,并且可以利用该结果来支持分析程序中所使用的信息的完整性和准确性。
在确定实质性程序的性质、时间安排和范围时,注册会计师需要慎重考虑识别出的控制缺陷。
实施内部控制审计时,注册会计师需要评估财务报表审计时实质性程序中发现问题的影响。
最重要的是,注册会计师需要重点考虑财务报表审计中发现的财务报表错报,考虑这些错报对评价内控有效性的影响。
企业内部控制审计指引
第一章总则
第一条为了规范注册会计师执行企业内部控制审计业务,明确工作要求,保证执业质量,根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则,制定本指引。
第二条本指引所称内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
第三条建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。
按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。
第四条注册会计师执行内部控制审计工作,应当获取充分、适当的证据,为发表内部控制审计意见提供合理保证。
注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
第五条注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(以下简称整合审计)。
在整合审计中,注册会计师应当对内部控制设计与运行的有效性进行测试,以同时实现下列目标:
(一)获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发表的意见;
(二)获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结果。
第二章计划审计工作
第六条注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。
第七条在计划审计工作时,注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响:
(一)与企业相关的风险;
(二)相关法律法规和行业概况;
(三)企业组织结构、经营特点和资本结构等相关重要事项;
(四)企业内部控制最近发生变化的程度;
(五)与企业沟通过的内部控制缺陷;
(六)重要性、风险等与确定内部控制重大缺陷相关的因素;
(七)对内部控制有效性的初步判断;
(八)可获取的、与内部控制有效性相关的证据的类型和范围。
第八条注册会计师应当以风险评估为基础,选择拟测试的控制,确定测试所需收集的证据。
内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。
第九条注册会计师应当对企业内部控制自我评价工作进行评估,判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度,相应减少可能本应由注册会计师执行的工作。
注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作,应当对其专业胜任能力和客观性进行充分评价。
与某项控制相关的风险越高,可利用程度就越低,注册会计师应当更多地对该项控制亲自进行测试。
注册会计师应当对发表的审计意见独立承担责任,其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。
第三章实施审计工作
第十条注册会计师应当按照自上而下的方法实施审计工作。
自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。
注册会计师在实施审计工作时,可以将企业层面控制和业务层面控制的测试结合进行。
第十一条注册会计师测试企业层面控制,应当把握重要性原则,至少应当关注:
(一)与内部环境相关的控制;
(二)针对董事会、经理层凌驾于控制之上的风险而设计的控制;
(三)企业的风险评估过程;
(四)对内部信息传递和财务报告流程的控制;
(五)对控制有效性的内部监督和自我评价。
第十二条注册会计师测试业务层面控制,应当把握重要性原则,结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况,重点对企业生产经营活动中的重要业务与事项的控制进行测试。
注册会计师应当关注信息系统对内部控制及风险评估的影响。
第十三条注册会计师在测试企业层面控制和业务层面控制时,应当评价内部控制是否足以应对舞弊风险。
第十四条注册会计师应当测试内部控制设计与运行的有效性。
如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行,能够实现控制目标,表明该项控制的设计是有效的。
如果某项控制正在按照设计运行,执行人员拥有必要授权和专业胜任能力,能够实现控制目标,表明该项控制的运行是有效的。
第十五条注册会计师应当根据与内部控制相关的风险,确定拟实施审计程序的性质、时间安排和范围,获取充分、适当的证据。
与内部控制相关的风险越高,注册会计师需要获取的证据应越多。
第十六条注册会计师在测试控制设计与运行的有效性时,应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。
询问本身并不足以提供充分、适当的证据。
第十七条注册会计师在确定测试的时间安排时,应当在下列两个因素之间作出平衡,以获取充分、适当的证据:
(一)尽量在接近企业内部控制自我评价基准日实施测试;
(二)实施的测试需要涵盖足够长的期间。
第十八条注册会计师对于内部控制运行偏离设计的情况(即控制偏差),应当确定该偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。
第十九条在连续审计中,注册会计师在确定测试的性质、时间安排和范围时,应当考虑以前年度执行内部控制审计时了解的情况。
第四章评价控制缺陷
第二十条内部控制缺陷按其成因分为设计缺陷和运行缺陷,按其影响程度分为重大缺陷、重要缺陷和一般缺陷。
注册会计师应当评价其识别的各项内部控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成重大缺陷。
第二十一条在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时,注册会计师应当评价补偿性控制(替代性控制)的影响。
企业执行的补偿性控制应当具有同样的效果。
第二十二条表明内部控制可能存在重大缺陷的迹象,主要包括:
(一)注册会计师发现董事、监事和高级管理人员舞弊;
(二)企业更正已经公布的财务报表;
(三)注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报;
(四)企业审计委员会和内部审计机构对内部控制的监督无效。
第五章完成审计工作
第二十三条注册会计师完成审计工作后,应当取得经企业签署的书面声明。
书面声明应当包括下列内容:
(一)企业董事会认可其对建立健全和有效实施内部控制负责;
(二)企业已对内部控制的有效性作出自我评价,并说明评价时采用的标准以及得出的结论;
(三)企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础;
(四)企业已向注册会计师披露识别出的所有内部控制缺陷,并单独披露其中的重大缺陷和重要缺陷;
(五)企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷,是否已经采取措施予以解决;
(六)企业在内部控制自我评价基准日后,内部控制是否发生重大变化,或者存在对内部控制具有重要影响的其他因素。
第二十四条企业如果拒绝提供或以其他不当理由回避书面声明,注册会计师应当将其视为审计范围受到限制,解除业务约定或出具无法表示意见的内部控制审计报告。
第二十五条注册会计师应当与企业沟通审计过程中识别的所有控制缺陷。
对于其中的重大缺陷和重要缺陷,应当以书面形式与董事会和经理层沟通。
注册会计师认为审计委员会和内部审计机构对内部控制的监督无效的,应当就此以书面形式直接与董事会和经理层沟通。
书面沟通应当在注册会计师出具内部控制审计报告之前进行。
第二十六条注册会计师应当对获取的证据进行评价,形成对内部控制有效性的意见。
第六章出具审计报告
第二十七条注册会计师在完成内部控制审计工作后,应当出具内部控制审计报告。
标准内部控制审计报告应当包括下列要素:
(一)标题;
(二)收件人;
(三)引言段;
(四)企业对内部控制的责任段;
(五)注册会计师的责任段;
(六)内部控制固有局限性的说明段;
(七)财务报告内部控制审计意见段;
(八)非财务报告内部控制重大缺陷描述段;
(九)注册会计师的签名和盖章;
(十)会计师事务所的名称、地址及盖章;
(十一)报告日期。
第二十八条符合下列所有条件的,注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告:
(一)企业按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及企业自身内部控制制度的要求,在所有重大方面保持了有效的内部控制;
(二)注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作,在审计过程中未受到限制。
第二十九条注册会计师认为财务报告内部控制虽不存在重大缺陷,但仍有一项或者多项重大事项需要提请内部控制审计报告使用者注意的,应当在内部控制审计报告中增加强调事项段予以说明。
注册会计师应当在强调事项段中指明,该段内容仅用于提醒内部控制审计报告使用者关注,并不影响对财务报告内部控制发表的审计意见。
第三十条注册会计师认为财务报告内部控制存在一项或多项重大缺陷的,除非审计范围受到限制,应当对财务报告内部控制发表否定意见。
注册会计师出具否定意见的内部控制审计报告,还应当包括下列内容:
(一)重大缺陷的定义;
(二)重大缺陷的性质及其对财务报告内部控制的影响程度。
第三十一条注册会计师审计范围受到限制的,应当解除业务约定或出具无法表示意见的内部控制审计报告,并就审计范围受到限制的情况,以书面形式与董事会进行沟通。
注册会计师在出具无法表示意见的内部控制审计报告时,应当在内部控制审计报告中指明审计范围受到限制,无法对内部控制的有效性发表意见。
注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的,应当在内部控制审计报告中对重大缺陷做出详细说明。
第三十二条注册会计师对在审计过程中注意到的非财务报告内部控制缺陷,应当区别具体情况予以处理:
(一)注册会计师认为非财务报告内部控制缺陷为一般缺陷的,应当与企业进行沟通,提醒企业加以改进,但无需在内部控制审计报告中说明;
(二)注册会计师认为非财务报告内部控制缺陷为重要缺陷的,应当以书面形式与企业董事会和经理层沟通,提醒企业加以改进,但无需在内部控制审计报告中说明;
(三)注册会计师认为非财务报告内部控制缺陷为重大缺陷的,应当以书面形式与企业董事会和经理层沟通,提醒企业加以改进;同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露,提示内部控制审计报告使用者注意相关风险。
第三十三条在企业内部控制自我评价基准日并不存在、但在该基准日之后至审计报告日之前(以下简称期后期间)内部控制可能发生变化,或出现其他可能对内部控制产生重要影响的因素。
注册会计师应当询问是否存在这类变化或影响因素,并获取企业关于这些情况的书面声明。
注册会计师知悉对企业内部控制自我评价基准日内部控制有效性有重大负面影响的期后事项的,应当对财务报告内部控制发表否定意见。
注册会计师不能确定期后事项对内部控制有效性的影响程度的,应当出具无法表示意见的内部控制审计报告。
第七章记录审计工作
第三十四条注册会计师应当按照《中国注册会计师审计准则第1131号——审计工作底稿》的规定,编制内部控制审计工作底稿,完整记录审计工作情况。
第三十五条注册会计师应当在审计工作底稿中记录下列内容:
(一)内部控制审计计划及重大修改情况;
(二)相关风险评估和选择拟测试的内部控制的主要过程及结果;
(三)测试内部控制设计与运行有效性的程序及结果;
(四)对识别的控制缺陷的评价;
(五)形成的审计结论和意见;
(六)其他重要事项。
附录:
内部控制审计报告的参考格式
1.标准内部控制审计报告
内部控制审计报告
××股份有限公司全体股东:
按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求,我们审计了××股份有限公司(以下简称××公司)××年×月×日的财务报告内部控制的有效性。
一、企业对内部控制的责任
按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》的规定,建立健全和有效实施内部控制,并评价其有效性是企业董事会的责任。
二、注册会计师的责任
我们的责任是在实施审计工作的基础上,对财务报告内部控制的有效性发表审计意见,并对注意到的非财务报告内部控制的重大缺陷进行披露。
三、内部控制的固有局限性
内部控制具有固有局限性,存在不能防止和发现错报的可能性。
此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制审计结果推测未来内部控制的有效性具有一定风险。
四、财务报告内部控制审计意见
我们认为,××公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。
五、非财务报告内部控制的重大缺陷
在内部控制审计过程中,我们注意到××公司的非财务报告内部控制存在重大缺陷[描述该缺陷的性质及其对实现相关控制目标的影响程度]。
由于存在上述重大缺陷,我们提醒本报告使用者注意相关风险。
需要指出的是,我们并不对××公司的非财务报告内部控制发表意见或提供保证。
本段内容不影响对财务报告内部控制有效性发表的审计意见。
××会计师事务所中国注册会计师:
×××(签名并盖章)
(盖章)中国注册会计师:
×××(签名并盖章)
中国××市××年×月×日
2.带强调事项段的无保留意见内部控制审计报告
内部控制审计报告
××股份有限公司全体股东:
按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求,我们审计了××股份有限公司(以下简称××公司)××年×月×日的财务报告内部控制的有效性。
[“一、企业对内部控制的责任”至“五、非财务报告内部控制的重大缺陷”参见标准内部控制审计报告相关段落表述。
]
六、强调事项
我们提醒内部控制审计报告使用者关注,(描述强调事项的性质及其对内部控制的重大影响)。
本段内容不影响已对财务报告内部控制发表的审计意见。
××会计师事务所中国注册会计师:
×××(签名并盖章)
(盖章)中国注册会计师:
×××(签名并盖章)
中国××市××年×月×日
3.否定意见内部控制审计报告
内部控制审计报告
××股份有限公司全体股东:
按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求,我们审计了××股份有限公司(
升级会员 