会员登录
会员注册中国注册会计师协会
中国注册会计师协会
从内容来看,《意见》对执行内部控制审计各个关键环节的要求进行补充和细化,从业务约定书签订,到总体审计策略和具体审计计划的制定,以及最终的审计报告出具等都进行了较为详细的规定。
据该负责人介绍,此次发布实施《意见》旨在为注册会计师更有效地执行企业内部控制审计业务提供全面的技术指引。尤其是针对在实务工作中的具体问题,如自上而下和风险导向审计方法的运用、控制测试的涵盖期间、控制测试的时间安排、控制测试的样本量、集团企业控制测试、审计工作底稿编制等,《意见》既给出注册会计师需要考虑的基本原则,又提供了具有可操作性的具体措施。
所谓内部控制审计,是会计师事务所接受委托,对特定基准日企业内部控制设计与运行的有效性进行审计,并发表审计意见。审计内容包括企业治理结构、机构设置、企业文化、人力资源政策等内部控制环境因素,以及企业识别风险的评估程序、应对风险的具体措施和信息传递有效性、保证内部控制规范建设和有效运行的机制等。审计全面评价企业设计和运行的内部控制是否能够合理保证财务报告及相关信息合法、真实、完整,以及用于保护资产安全的内部控制是否可靠。企业内部控制审计意见包括无保留意见、否定意见和无法表示意见三种类型。
与财务报告审计相比,企业内部控制审计提供了更进一步的信息。上述负责人指出,财务报告审计是为了提高财务报告的可信赖程度,重在审计“结果”,而内部控制审计是对保证企业财务报告质量的内在机制的审计,重在审计“过程”。审计对象、重点等的不同,使得二者存在实质性差异,内部控制审计独立于财务报告审计。而在实务工作中,由于两者在程序、方法等方面存在相近之处,有很多基础工作可以共享,完全可以整合进行。
据介绍,作为防范企业财务报告错误和舞弊行为的第一道防线,内部控制得到重视是在美国安然、世通财务舞弊事件发生之后。2002年,美国国会颁布《萨班斯-奥克利法案》,首次提出对“财务报告内部控制”的有效性进行审计的要求。随后,美国公众公司会计监督委员会(PCAOB)发布审计准则,对会计师事务所执行上市公司财务报告内部控制审计工作进行了规范。2008年5月和2010年4月,我国财政部会同证监会、审计署、银监会和保监会分别发布了《企业内部控制基本规范》和《企业内部控制审计指引》等企业内部控制制度,确立了我国企业内部控制审计制度,要求执行内部控制规范体系的企业,必须聘请会计师事务所对其财务报告内部控制有效性进行审计。其中《企业内部控制审计指引》自
背景链接:
中国注册会计师协会关于印发《企业内部控制审计指引实施意见》的通知
会协〔2011〕 66 号
各省、自治区、直辖市注册会计师协会:
为了规范注册会计师执行内部控制审计业务,明确工作要求,提高执业质量,维护公众利益,我会制定了《企业内部控制审计指引实施意见》,现予印发,自
中国注册会计师协会
二○一一年十月十一日
附件:
企业内部控制审计指引实施意见
为了规范注册会计师执行财务报告内部控制(以下简称内部控制)审计业务,明确工作要求,提高执业质量,维护公众利益,根据中国注册会计师审计准则、《企业内部控制基本规范》和《企业内部控制审计指引》,在整合审计框架下,制定本意见。
一、关于签订业务约定书
只有当内部控制审计的前提条件得到满足,并且会计师事务所符合独立性要求,具备专业胜任能力时,会计师事务所才能接受或保持内部控制审计业务。
(一)内部控制审计的前提条件
在确定内部控制审计的前提条件是否得到满足时,注册会计师应当:
(1)确定被审计单位采用的内部控制标准是否适当;
(2)就被审计单位认可并理解其责任与治理层和管理层达成一致意见。
被审计单位的责任包括:
(1)按照适用的内部控制标准,建立健全和有效实施内部控制,以使财务报表不存在由于舞弊或错误导致的重大错报;
(2)对内部控制的有效性进行评价并编制内部控制评价报告;
(3)向注册会计师提供必要的工作条件,包括允许注册会计师接触与内部控制审计相关的所有信息(如记录、文件和其他事项),允许注册会计师在获取审计证据时不受限制地接触其认为必要的内部人员和其他相关人员等。
(二)签订单独的内部控制审计业务约定书
如果决定接受或保持内部控制审计业务,会计师事务所应当与被审计单位签订单独的内部控制审计业务约定书。业务约定书应当至少包括下列内容:
(1)内部控制审计的目标和范围;
(2)注册会计师的责任;
(3)被审计单位的责任;
(4)指出被审计单位采用的内部控制标准;
(5)提及注册会计师拟出具的内部控制审计报告的形式和内容,以及对在特定情况下出具的内部控制审计报告可能不同于预期形式和内容的说明;
(6)审计收费。
二、关于计划审计工作
注册会计师应当贯彻风险导向审计的思路,恰当地计划内部控制审计工作,制订总体审计策略和具体审计计划。
(一)总体审计策略
注册会计师应当在总体审计策略中体现下列内容:
(1)确定内部控制审计业务特征,以界定审计范围。例如,被审计单位采用的内部控制标准、注册会计师预期内部控制审计工作涵盖的范围、对组成部分注册会计师工作的参与程度、注册会计师对被审计单位内部控制评价工作的了解以及拟利用被审计单位内部相关人员工作的程度等。
对于按照权益法核算的投资,内部控制审计范围应当包括针对权益法下相关会计处理而实施的内部控制,但通常不包括针对权益法下被投资方的内部控制。
内部控制审计范围应当包括被审计单位在内部控制评价基准日(最近一个会计期间截止日,以下简称基准日)或在此之前收购的实体,以及在基准日作为终止经营进行会计处理的业务。注册会计师应当确定是否有必要对与这些实体或业务相关的控制实施测试。
如果法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制评价范围,注册会计师可以不将这些实体纳入内部控制审计的范围。
(2)明确内部控制审计业务的报告目标,以计划审计的时间安排和所需沟通的性质。例如,被审计单位对外公布或报送内部控制审计报告的时间、注册会计师与管理层和治理层讨论内部控制审计工作的性质、时间安排和范围,注册会计师与管理层和治理层讨论拟出具内部控制审计报告的类型和时间安排以及沟通的其他事项等。
(3)根据职业判断,考虑用以指导项目组工作方向的重要因素。例如,财务报表整体的重要性和实际执行的重要性、初步识别的可能存在重大错报的风险领域、内部控制最近发生变化的程度、与被审计单位沟通过的内部控制缺陷、对内部控制有效性的初步判断、信息技术和业务流程的变化等。
(4)考虑初步业务活动的结果,并考虑对被审计单位执行其他业务时获得的经验是否与内部控制审计业务相关(如适用)。
(5)确定执行内部控制审计业务所需资源的性质、时间安排和范围。例如,项目组成员的选择以及对项目组成员审计工作的分派,项目时间预算等。
(二)具体审计计划
注册会计师应当在具体审计计划中体现下列内容:
(1)了解和识别内部控制的程序的性质、时间安排和范围;
(2)测试控制设计有效性的程序的性质、时间安排和范围;
(3)测试控制运行有效性的程序的性质、时间安排和范围。
(三)对应对舞弊风险的考虑
在计划和实施内部控制审计工作时,注册会计师应当考虑财务报表审计中对舞弊风险的评估结果。在识别和测试企业层面控制以及选择其他控制进行测试时,注册会计师应当评价被审计单位的内部控制是否足以应对识别出的、由于舞弊导致的重大错报风险,并评价为应对管理层和治理层凌驾于控制之上的风险而设计的控制。
被审计单位为应对这些风险可能设计的控制包括:
(1)针对重大的非常规交易的控制,尤其是针对导致会计处理延迟或异常的交易的控制;
(2)针对期末财务报告流程中编制的分录和作出的调整的控制;
(3)针对关联方交易的控制;
(4)与管理层的重大估计相关的控制;
(5)能够减弱管理层和治理层伪造或不恰当操纵财务结果的动机和压力的控制。
如果在内部控制审计中识别出旨在防止或发现并纠正舞弊的控制存在缺陷,注册会计师应当按照《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》的规定,在财务报表审计中制定重大错报风险的应对方案时考虑这些缺陷。
三、关于实施审计工作
(一)采用自上而下的方法
注册会计师应当采用自上而下的方法选择拟测试的控制。
自上而下的方法始于财务报表层次,以注册会计师对内部控制整体风险的了解开始,然后,将关注重点放在企业层面的控制上,并将工作逐渐下移至重要账户、列报及其相关认定。随后,验证其对被审计单位业务流程中风险的了解,并选择能足以应对评估的每个相关认定的重大错报风险的控制进行测试。
自上而下的方法分为下列步骤:
(1)从财务报表层次初步了解内部控制整体风险;
(2)识别、了解和测试企业层面控制;
(3)识别重要账户、列报及其相关认定;
(4)了解潜在错报的来源并识别相应的控制;
(5)选择拟测试的控制。
本部分第(二)至(五)对自上而下的方法的各个步骤进行了规定,第(六)至(十三)对控制有效性测试进行了规定。
(二)识别、了解和测试企业层面控制
注册会计师应当识别、了解和测试对内部控制有效性有重要影响的企业层面控制。注册会计师对企业层面控制的评价,可能增加或减少本应对其他控制进行的测试。
1. 企业层面控制对其他控制及其测试的影响
不同的企业层面控制在性质和精确度上存在差异,注册会计师应当从下列方面考虑这些差异对其他控制及其测试的影响:
(1)某些企业层面控制,如与控制环境相关的控制,对及时防止或发现并纠正相关认定的错报的可能性有重要影响。虽然这种影响是间接的,但这些控制仍然可能影响注册会计师拟测试的其他控制,以及测试程序的性质、时间安排和范围。
(2)某些企业层面控制旨在识别其他控制可能出现的失效情况,能够监督其他控制的有效性,但还不足以精确到及时防止或发现并纠正相关认定的错报。当这些控制运行有效时,注册会计师可以减少对其他控制的测试。
(3)某些企业层面控制本身能够精确到足以及时防止或发现并纠正相关认定的错报。如果一项企业层面控制足以应对已评估的错报风险,注册会计师就不必测试与该风险相关的其他控制。
2. 企业层面控制的内容
企业层面控制包括下列内容:
(1)与控制环境(即内部环境)相关的控制;
(2)针对管理层和治理层凌驾于控制之上的风险而设计的控制;
(3)被审计单位的风险评估过程;
(4)对内部信息传递和期末财务报告流程的控制;
(5)对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价。
此外,集中化的处理和控制(包括共享的服务环境)、监控经营成果的控制以及针对重大经营控制及风险管理实务的政策也属于企业层面控制。
3. 对期末财务报告流程的评价
期末财务报告流程对内部控制审计和财务报表审计有重要影响,注册会计师应当对期末财务报告流程进行评价。
期末财务报告流程包括:
(1)将交易总额登入总分类账的程序;
(2)与会计政策的选择和运用相关的程序;
(3)总分类账中会计分录的编制、批准等处理程序;
(4)对财务报表进行调整的程序;
(5)编制财务报表的程序。
注册会计师应当从下列方面评价期末财务报告流程:
(1)被审计单位财务报表的编制流程,包括输入、处理及输出;
(2)期末财务报告流程中运用信息技术的程度;
(3)管理层中参与期末财务报告流程的人员;
(4)纳入财务报表编制范围的组成部分;
(5)调整分录及合并分录的类型;
(6)管理层和治理层对期末财务报告流程进行监督的性质及范围。
(三)识别重要账户、列报及其相关认定
注册会计师应当基于财务报表层次识别重要账户、列报及其相关认定。
如果某账户或列报可能存在一个错报,该错报单独或连同其他错报将导致财务报表发生重大错报,则该账户或列报为重要账户或列报。判断某账户或列报是否重要,应当依据其固有风险,而不应考虑相关控制的影响。
如果某财务报表认定可能存在一个或多个错报,这些错报将导致财务报表发生重大错报,则该认定为相关认定。判断某认定是否为相关认定,应当依据其固有风险,而不应考虑相关控制的影响。
为识别重要账户、列报及其相关认定,注册会计师应当从下列方面评价财务报表项目及附注的错报风险因素:
(1)账户的规模和构成;
(2)易于发生错报的程度;
(3)账户或列报中反映的交易的业务量、复杂性及同质性;
(4)账户或列报的性质;
(5)与账户或列报相关的会计处理及报告的复杂程度;
(6)账户发生损失的风险;
(7)账户或列报中反映的活动引起重大或有负债的可能性;
(8)账户记录中是否涉及关联方交易;
(9)账户或列报的特征与前期相比发生的变化。
在识别重要账户、列报及其相关认定时,注册会计师还应当确定重大错报的可能来源。注册会计师可以通过考虑在特定的重要账户或列报中错报可能发生的领域和原因,确定重大错报的可能来源。
在内部控制审计中,注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素,与财务报表审计中考虑的因素相同。因此,在这两种审计中识别的重要账户、列报及其相关认定应当相同。
如果某账户或列报的各组成部分存在的风险差异较大,被审计单位可能需要采用不同的控制以应对这些风险,注册会计师应当分别予以考虑。
(四)了解潜在错报的来源并识别相应的控制
注册会计师应当实现下列目标,以进一步了解潜在错报的来源,并为选择拟测试的控制奠定基础:
(1)了解与相关认定有关的交易的处理流程,包括这些交易如何生成、批准、处理及记录;
(2)验证注册会计师识别出的业务流程中可能发生重大错报(包括由于舞弊导致的错报)的环节;
(3)识别被审计单位用于应对这些错报或潜在错报的控制;
(4)识别被审计单位用于及时防止或发现并纠正未经授权的、导致重大错报的资产取得、使用或处置的控制。
注册会计师应当亲自执行能够实现上述目标的程序,或对提供直接帮助的人员的工作进行督导。
穿行测试通常是实现上述目标的最有效方式。穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程。注册会计师在执行穿行测试时,通常需要综合运用询问、观察、检查相关文件及重新执行等程序。
在执行穿行测试时,针对重要处理程序发生的环节,注册会计师可以询问被审计单位员工对规定程序及控制的了解程度。实施询问程序连同穿行测试中的其他程序,可以帮助注册会计师充分了解业务流程,识别必要控制设计无效或出现缺失的重要环节。为有助于了解业务流程处理的不同类型的重大交易,在实施询问程序时,注册会计师不应局限于关注穿行测试所选定的单笔交易。
(五)选择拟测试的控制
注册会计师应当针对每一相关认定获取控制有效性的审计证据,以便对内部控制整体的有效性发表意见,但没有责任对单项控制的有效性发表意见。
注册会计师应当对被审计单位的控制是否足以应对评估的每个相关认定的错报风险形成结论。因此,注册会计师应当选择对形成这一评价结论具有重要影响的控制进行测试。
对特定的相关认定而言,可能有多项控制用以应对评估的错报风险;反之,一项控制也可能应对评估的多项相关认定的错报风险。注册会计师没有必要测试与某项相关认定有关的所有控制。
在确定是否测试某项控制时,注册会计师应当考虑该项控制单独或连同其他控制,是否足以应对评估的某项相关认定的错报风险,而不论该项控制的分类和名称如何。
来源:中国注册会计师协会网站
责任编辑:奇奇