会员登录
会员注册中国注册会计师协会
六、关于控制缺陷评价
(一)控制缺陷的分类
内部控制存在的缺陷包括设计缺陷和运行缺陷。
设计缺陷是指缺少为实现控制目标所必需的控制,或现有控制设计不适当、即使正常运行也难以实现预期的控制目标。
运行缺陷是指现存设计适当的控制没有按设计意图运行,或执行人员没有获得必要授权或缺乏胜任能力,无法有效地实施内部控制。
内部控制存在的缺陷,按其严重程度分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。
重要缺陷是内部控制中存在的、其严重程度不如重大缺陷但足以引起负责监督被审计单位财务报告的人员(如审计委员会或类似机构)关注的一项控制缺陷或多项控制缺陷的组合。
一般缺陷是内部控制中存在的、除重大缺陷和重要缺陷之外的控制缺陷。
(二)评价控制缺陷的严重程度
注册会计师应当评价其识别的各项控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成内部控制的重大缺陷。但是,在计划和实施审计工作时,不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。
控制缺陷的严重程度取决于:
(1)控制不能防止或发现并纠正账户或列报发生错报的可能性的大小;
(2)因一项或多项控制缺陷导致的潜在错报的金额大小。
控制缺陷的严重程度与错报是否发生无关,而取决于控制不能防止或发现并纠正错报的可能性的大小。
在评价一项控制缺陷或多项控制缺陷的组合是否可能导致账户或列报发生错报时,注册会计师应当考虑的风险因素包括:
(1)所涉及的账户、列报及其相关认定的性质;
(2)相关资产或负债易于发生损失或舞弊的可能性;
(3)确定相关金额时所需判断的主观程度、复杂程度和范围;
(4)该项控制与其他控制的相互作用或关系;
(5)控制缺陷之间的相互作用;
(6)控制缺陷在未来可能产生的影响。
评价控制缺陷是否可能导致错报时,注册会计师无需将错报发生的概率量化为某特定的百分比或区间。
如果多项控制缺陷影响财务报表的同一账户或列报,错报发生的概率会增加。在存在多项控制缺陷时,即使这些缺陷从单项看不重要,但组合起来也可能构成重大缺陷。因此,注册会计师应当确定,对同一重要账户、列报及其相关认定或内部控制要素产生影响的各项控制缺陷,组合起来是否构成重大缺陷。
在评价因一项或多项控制缺陷导致的潜在错报的金额大小时,注册会计师应当考虑的因素包括:
(1)受控制缺陷影响的财务报表金额或交易总额;
(2)在本期或预计的未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量。
在评价潜在错报的金额大小时,账户余额或交易总额的最大多报金额通常是已记录的金额,但其最大少报金额可能超过已记录的金额。通常,小金额错报比大金额错报发生的概率更高。
在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时,注册会计师应当评价补偿性控制的影响。在评价补偿性控制是否能够弥补控制缺陷时,注册会计师应当考虑补偿性控制是否有足够的精确度以防止或发现并纠正可能发生的重大错报。
(三)表明可能存在重大缺陷的迹象
如果注册会计师确定发现的一项控制缺陷或多项控制缺陷的组合将导致审慎的管理人员在执行工作时,认为自身无法合理保证按照适用的财务报告编制基础记录交易,应当将这一项控制缺陷或多项控制缺陷的组合视为存在重大缺陷的迹象。下列迹象可能表明内部控制存在重大缺陷:
(1)注册会计师发现董事、监事和高级管理人员的任何舞弊;
(2)被审计单位重述以前公布的财务报表,以更正由于舞弊或错误导致的重大错报;
(3)注册会计师发现当期财务报表存在重大错报,而被审计单位内部控制在运行过程中未能发现该错报;
(4)审计委员会和内部审计机构对内部控制的监督无效。
(四)被审计单位对存在缺陷的控制进行整改
如果被审计单位在基准日前对存在缺陷的控制进行了整改,整改后的控制需要运行足够长的时间,才能使注册会计师得出其是否有效的审计结论。注册会计师应当根据控制的性质和与控制相关的风险,合理运用职业判断,确定整改后控制运行的最短期间(或整改后控制的最少运行次数)以及最少测试数量。整改后控制运行的最短期间(或最少运行次数)和最少测试数量参见表2.
如果被审计单位在基准日前对存在重大缺陷的内部控制进行了整改,但新控制尚没有运行足够长的时间,注册会计师应当将其视为内部控制在基准日存在重大缺陷。
七、关于完成审计工作
(一)形成审计意见
注册会计师应当评价从各种来源获取的审计证据,包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷,形成对内部控制有效性的意见。在评价审计证据时,注册会计师应当查阅本年度涉及内部控制的内部审计报告或类似报告,并评价这些报告中指出的控制缺陷。
在对内部控制的有效性形成意见后,注册会计师应当评价企业内部控制评价报告对相关法律法规规定的要素的列报是否完整和恰当。
(二)获取书面声明
注册会计师应当获取经被审计单位签署的书面声明。书面声明的内容应当包括:
(1)被审计单位董事会认可其对建立健全和有效实施内部控制负责;
(2)被审计单位已对内部控制进行了评价,并编制了内部控制评价报告;
(3)被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作为评价的基础;
(4)被审计单位根据内部控制标准评价内部控制有效性得出的结论;
(5)被审计单位已向注册会计师披露识别出的所有内部控制缺陷,并单独披露其中的重大缺陷和重要缺陷;
(6)被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞弊,以及其他不会导致财务报表发生重大错报,但涉及管理层、治理层和其他在内部控制中具有重要作用的员工的所有舞弊;
(7)注册会计师在以前年度审计中识别出的且已与被审计单位沟通的重大缺陷和重要缺陷是否已经得到解决,以及哪些缺陷尚未得到解决;
(8)在基准日后,内部控制是否发生变化,或者是否存在对内部控制产生重要影响的其他因素,包括被审计单位针对重大缺陷和重要缺陷采取的所有纠正措施。
如果被审计单位拒绝提供或以其他不当理由回避书面声明,注册会计师应当将其视为审计范围受到限制,解除业务约定或出具无法表示意见的内部控制审计报告。此外,注册会计师应当评价拒绝提供书面声明这一情况对其他声明(包括在财务报表审计中获取的声明)的可靠性的影响。
注册会计师应当按照《中国注册会计师审计准则第1341号——书面声明》的规定,确定声明书的签署者、涵盖的期间以及何时获取更新的声明书等。
(三)沟通相关事项
对于重大缺陷和重要缺陷,注册会计师应当以书面形式与管理层和治理层沟通。书面沟通应当在注册会计师出具内部控制审计报告之前进行。
注册会计师应当以书面形式与管理层沟通其在审计过程中识别的所有其他内部控制缺陷,并在沟通完成后告知治理层。在进行沟通时,注册会计师无需重复自身、内部审计人员或被审计单位其他人员以前书面沟通过的控制缺陷。
虽然并不要求注册会计师执行足以识别所有控制缺陷的程序,但是,注册会计师应当沟通其注意到的内部控制的所有缺陷。内部控制审计不能保证注册会计师能够发现严重程度低于重大缺陷的所有控制缺陷。注册会计师不应在内部控制审计报告中声明,在审计过程中没有发现严重程度低于重大缺陷的控制缺陷。
如果发现被审计单位存在或可能存在舞弊或违反法规行为,注册会计师应当按照《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》、《中国注册会计师审计准则第1142号——财务报表审计中对法律法规的考虑》的规定,确定并履行自身的责任。
八、关于内部控制审计报告
注册会计师在完成内部控制审计和财务报表审计后,应当分别对内部控制和财务报表出具审计报告,并签署相同的日期。
(一)出具无保留意见内部控制审计报告的条件
如果符合下列所有条件,注册会计师应当对内部控制出具无保留意见的内部控制审计报告:
(1)在基准日,被审计单位按照适用的内部控制标准的要求,在所有重大方面保持了有效的内部控制;
(2)注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作,在审计过程中未受到限制。
(二)内部控制存在重大缺陷时的处理
如果认为内部控制存在一项或多项重大缺陷,除非审计范围受到限制,注册会计师应当对内部控制发表否定意见。否定意见的内部控制审计报告还应当包括重大缺陷的定义、重大缺陷的性质及其对内部控制的影响程度。
如果重大缺陷尚未包含在企业内部控制评价报告中,注册会计师应当在内部控制审计报告中说明重大缺陷已经识别、但没有包含在企业内部控制评价报告中。如果企业内部控制评价报告中包含了重大缺陷,但注册会计师认为这些重大缺陷未在所有重大方面得到公允反映,注册会计师应当在内部控制审计报告中说明这一结论,并公允表达有关重大缺陷的必要信息。此外,注册会计师还应当就这些情况以书面形式与治理层沟通。
如果对内部控制的有效性发表否定意见,注册会计师应当确定该意见对财务报表审计意见的影响,并在内部控制审计报告中予以说明。
(三)审计范围受到限制时的处理
注册会计师只有实施了必要的审计程序,才能对内部控制的有效性发表意见。如果审计范围受到限制,注册会计师应当解除业务约定或出具无法表示意见的内部控制审计报告。
如果法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制的评价范围,注册会计师可以不将这些实体纳入内部控制审计的范围。这种情况不构成审计范围受到限制,但注册会计师应当在内部控制审计报告中增加强调事项段或者在注册会计师的责任段中,就这些实体未被纳入评价范围和内部控制审计范围这一情况,作出与被审计单位类似的恰当陈述。注册会计师应当评价相关豁免是否符合法律法规的规定,以及被审计单位针对该项豁免作出的陈述是否恰当。如果认为被审计单位有关该项豁免的陈述不恰当,注册会计师应当提请其作出适当修改。如果被审计单位未作出适当修改,注册会计师应当在内部控制审计报告的强调事项段中说明被审计单位的陈述需要修改的理由。
在出具无法表示意见的内部控制审计报告时,注册会计师应当在内部控制审计报告中指明审计范围受到限制,无法对内部控制的有效性发表意见,并单设段落说明无法表示意见的实质性理由。注册会计师不应在内部控制审计报告中指明所执行的程序,也不应描述内部控制审计的特征,以避免报告使用者对无法表示意见的误解。如果在已执行的有限程序中发现内部控制存在重大缺陷,注册会计师应当在内部控制审计报告中对重大缺陷做出详细说明。
只要认为审计范围受到限制将导致无法获取发表审计意见所需的充分、适当的审计证据,注册会计师不必执行任何其他工作即可对内部控制出具无法表示意见的内部控制审计报告。在这种情况下,内部控制审计报告的日期应为注册会计师已就该报告中陈述的内容获取充分、适当的审计证据的日期。
在因审计范围受到限制而无法表示意见时,注册会计师应当就未能完成整个内部控制审计工作的情况,以书面形式与管理层和治理层沟通。
(四)强调事项
如果认为内部控制虽然不存在重大缺陷,但仍有一项或多项重大事项需要提请内部控制审计报告使用者注意,注册会计师应当在内部控制审计报告中增加强调事项段予以说明。注册会计师应当在强调事项段中指明,该段内容仅用于提醒内部控制审计报告使用者关注,并不影响对内部控制发表的审计意见。
如果确定企业内部控制评价报告对要素的列报不完整或不恰当,注册会计师应当在内部控制审计报告中增加强调事项段,说明这一情况并解释得出该结论的理由。
(五)期后事项
在基准日后至审计报告日前(以下简称期后期间),内部控制可能发生变化,或出现其他可能对内部控制产生重要影响的因素。注册会计师应当询问是否存在这类变化或因素,并获取被审计单位关于这类变化或因素的书面声明。
注册会计师应当针对期后期间,询问并检查下列信息:
(1)在期后期间出具的内部审计报告或类似报告;
(2)其他注册会计师出具的涉及被审计单位内部控制缺陷的报告;
(3)监管机构发布的涉及被审计单位内部控制的报告;
(4)注册会计师在执行其他业务中获取的、有关被审计单位内部控制有效性的信息。
此外,注册会计师还应当考虑获取期后期间的其他文件,并按照《中国注册会计师审计准则第1332号——期后事项》的规定,对其进行检查。
如果知悉对基准日内部控制有效性有重大负面影响的期后事项,注册会计师应当对内部控制发表否定意见。如果注册会计师不能确定期后事项对内部控制有效性的影响程度,应当出具无法表示意见的内部控制审计报告。
如果管理层在评价报告中披露了基准日之后采取的整改措施,注册会计师应当在内部控制审计报告中指明不对这些信息发表意见。
注册会计师可能知悉在基准日并不存在、但在期后期间发生的事项。如果这类期后事项对内部控制有重大影响,注册会计师应当在内部控制审计报告中增加强调事项段,描述该事项及其影响,或提醒内部控制审计报告使用者关注企业内部控制评价报告中披露的该事项及其影响。
在出具内部控制审计报告后,如果知悉在审计报告日已存在的、可能对审计意见产生影响的情况,注册会计师应当按照《中国注册会计师审计准则第1332号——期后事项》第四章第二节和第三节的规定办理。如果被审计单位更正以前公布的财务报表,注册会计师应当按照《中国注册会计师审计准则第1332号——期后事项》第四章第三节的规定重新考虑以前发表的内部控制审计意见的适当性。
(六)其他信息
如果企业内部控制评价报告中除包括法定要求的信息外,还包括其他信息,且该报告的使用者有理由认为该报告包括这些其他信息,注册会计师应当在内部控制审计报告中指明不对这些其他信息发表意见。
如果认为其他信息含有对事实的重大错报,注册会计师应当就此与管理层进行讨论。如果讨论后仍认为存在对事实的重大错报,注册会计师应当以书面形式将其看法告知管理层和治理层。
如果其他信息未包含在企业内部控制评价报告中,而是包含在年度财务报告中,注册会计师无需在内部控制审计报告中指明不对其发表意见。但是,如果注册会计师认为其他信息中存在对事实的重大错报,应当按照上述要求办理。
九、关于整合审计的进一步考虑
(一)总体要求
在整合审计中,注册会计师应当计划和实施对控制设计和运行有效性的测试,以同时实现下列目标:
(1)获取充分、适当的审计证据,支持其在内部控制审计中对内部控制的有效性发表的意见;
(2)获取充分、适当的审计证据,支持其在财务报表审计中对内部控制的拟信赖程度(即评估的控制风险)。
(二)审计证据和结论的相互参照
在内部控制审计中,注册会计师在对内部控制有效性形成结论时,应当同时考虑财务报表审计中实施的、所有针对控制设计和运行有效性测试的结果。
在财务报表审计中,注册会计师在评估控制风险时,应当同时考虑内部控制审计中实施的、所有针对控制设计和运行有效性测试的结果。
如果在内部控制审计中识别出某项控制缺陷,注册会计师应当评价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时间安排和范围的影响。
在财务报表审计中,无论控制风险或重大错报风险的评估水平如何,注册会计师都应当针对所有重大类别的交易、账户余额和披露实施实质性程序。为对内部控制的有效性发表意见而实施的测试程序并不减轻该项要求。
在内部控制审计中,注册会计师应当评价财务报表审计中实施的实质性程序的结果对控制有效性结论的影响。评价内容应当包括:
(1)注册会计师作出的、与选择和实施实质性程序相关(尤其是与舞弊相关)的风险评估;
(2)发现的违反法规行为和关联方交易方面的问题;
(3)表明管理层在选择会计政策和作出会计估计时存在偏见的情况;
(4)实施实质性程序发现的错报。
注册会计师应当通过直接测试控制获取控制是否有效的审计证据,而不能根据实质性程序没有发现错报,推断该项控制的有效性。
十、关于项目质量控制复核
会计师事务所应当制定政策和程序,要求对上市实体和符合特定标准的其他实体的内部控制审计业务实施项目质量控制复核。
(一)项目质量控制复核的时间
会计师事务所的政策和程序应当要求在出具内部控制审计报告前完成项目质量控制复核。
(二)项目质量控制复核人员
会计师事务所应当制定政策和程序,解决项目质量控制复核人员的委派问题,明确项目质量控制复核人员的资格要求,包括:
(1)履行职责需要的技术资格,包括精通内部控制审计业务并具备必要的经验和权限;
(2)在不损害其客观性的前提下,项目质量控制复核人员能够提供业务咨询的程度。
同时,会计师事务所应当制定政策和程序,以使项目质量控制复核人员保持客观性。这些政策和程序要求项目质量控制复核人员符合下列规定:
(1)不由项目合伙人挑选;
(2)在复核期间不以其他方式参与该业务;
(3)不代替项目组进行决策;
(4)不存在可能损害复核人员客观性的其他情形。
(三)项目质量控制复核的内容
项目质量控制复核人员应当客观地评价项目组作出的重大判断以及在编制内部控制审计报告时得出的结论。评价工作应当涉及下列内容:
(1)与项目合伙人讨论重大事项;
(2)复核拟出具的内部控制审计报告;
(3)复核选取的与项目组作出的重大判断和得出的结论相关的审计工作底稿;
(4)评价在编制内部控制审计报告时得出的结论,并考虑拟出具内部控制审计报告的恰当性。
对于上市实体内部控制审计,项目质量控制复核人员还应当考虑下列事项:
(1)项目组就具体业务对会计师事务所独立性作出的评价;
(2)项目组是否已就涉及意见分歧的事项,或者其他疑难问题或争议事项进行适当咨询,以及咨询得出的结论;
(3)选取的用于复核的审计工作底稿,是否反映项目组针对重大判断执行的工作,以及是否支持得出的结论。
十一、关于记录审计工作
注册会计师应当在审计工作底稿中清楚地显示内部控制审计的过程和结果。
注册会计师应当就下列内容形成审计工作记录:
(1)制定的内部控制总体审计策略和具体审计计划及重大修改情况;
(2)对企业层面控制的识别、了解和测试;
(3)确定重要账户、列报及其相关认定的过程,包括对拟测试组成部分的确定;
(4)选择拟测试控制的主要过程及结果;
(5)测试控制设计和运行有效性的程序及结果;
(6)利用他人工作的程度,以及对他人胜任能力和客观性的评估;
(7)对识别的控制缺陷的评价;
(8)可能导致出具非标准内部控制审计报告的其他审计发现;
(9)形成的审计结论和意见;
(10)其他重要事项。
来源:中国注册会计师协会网站
责任编辑:奇奇