内部控制整合审计指引
- 格式:docx
- 大小:100.19 KB
- 文档页数:14
内部控制整合审计指引
说明:本内部控制整合审计指引为了读者迅速理解内部控制整合审计的要点及与年度财务报告审计的差别,并非内部控制整合审计的全部内容。拟全部掌握内部控制审计的要点,需掌握《企业内部控制审计指引》、中注协下发的《企业内部控制审计指南》、财政部课题组《企业内部控制审计政策解读与操作指南》和会计师事务所有关内部控制审计相关的具体指引等。
一、 内部控制审计的基本概念
根据《审计指引》的定义,内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行的审计。
(一) 业务性质
对于内部控制审计而言属于合理保证的鉴证业务,审计对象是被审计单位的内部控制,采用积极方式提出审计意见。标准是指有关的内部控制的法规、规范和指引。以前的内部控制审阅(审核)报告属于有限保证的鉴证业务,审计对象为被审计单位的内控自我评估报告,采用消极方式提出审计意见。
(二) 业务对象
1、时点/期间 根据我国的规定,内部控制审计针对的特定基准日被审计单位内部控制的有效性发表意见,即采纳时点的概念。采纳时点概念并不意味着注册会计师可以只关注企业基准日当天的内部控制,而是考察企业一个是时期(足够长的一段时间)内部控制的设计和运行情况。根据业界经验,一般要求内部控制的有效运行期间至少为3个月。
中注协关于有效运行及测试的规定:整改后控制运行的最短期间(或最少运行次数)和
最少测试数量
控制运行频率 整改后控制运行的最短期间 或最少运行次数 最少测试次数
每季一次 2个季度 2
每月一次 2个月 2
每周一次 5个星期 2
每天一次 20天 10
一日数次 25次(分布于涵盖多天的期
间,通常不少于15天) 25
注:如果被审计单位在基准日前对存在重大缺陷的内部控制进行了整改,但新控制尚没有运行足够长的时间,注册会计师应当将其视为内部控制在基准日存在重大缺陷。
2、财务报告/非财务报告
财务报告内部控制是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。我国的内部控制审计是对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
(三) 其他重要概念
1、 内部控制有效性及其判定标准
内部控制的有效性是指被审计单位建立和实施内部控制对实现目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。
内部控制的设计有效性是指所设计的内部控制单独或者连同其他内部控制能够合理保证实现内部控制的目标。设计有效性的外在判断标准主要体现为内部控制设计的合理性和适当性。
内部控制的运行有效性是指内部控制能够在各个不同的时点按照既定设计得以一贯执行,从而合理保证实现内部控制的目标。
2、 内部控制的缺陷 内部控制缺陷包括设计缺陷和运行缺陷。对内部控制缺陷的认定,需要借助一套系统遵循的认定标准,认定过程还需要内部控制评价人员的职业判断,并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
3、 重大账户
根据账户的金额大小,并结合风险和其他因素来判断是否重大账户。如果一个重大账户对应了多个单独的业务流程,还应考虑根据不同的风险将重大账户进行分解,然后分别确定各个重大账户。
4、 相关认定
相关认定是指可能导致发生重大错报的、与重大账户或列报相关的额认定。在识别重大账户和列报后,应确定哪些与重大账户和列报相关的财务报表认定,并非所有认定对重大账户而言都是相关的。
二、 整合审计
《审计指引》第五条规定,注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(简称整合审计)。
(一) 财务报表审计与内部控制审计的关系
1、内控审计、财务报表审计分别进行的路径
理解业务和行业内控审计财务报表审计程序就否依赖内控?内控是否有效内控审计意见财务报表审计意见风险评估和认定拟定审计范围与方案风险评估和认定拟定审计范围与方案
2、内控审计、财务报表审计整合审计的路径 理解业务和行业风险评估和认定拟定审计范围与方案内控审计财务报表审计程序就否依赖内控?内控是否有效内控审计意见财务报表审计意见
3、内控审计与财务报表审计的关系
内部控制审计与财务报表审计比较 比较项目 内部审计控制 财务报表审计
审计目的 对财务报表内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露 对财务报表是否符合企业会计准则,是否公允地反应被审计单位的财务状况和经营成果发表意见
了解和测试内部控制的了解和测试内部控制的直接目的是对内部控制设计和运行的有效性发表意见 财务表表审计按风险导向审计模式进行,了解内部控制是为了评估重大错误风险,测试内部控制是为了进一步证明了解内部控制时得出的初步结论,了解和测试内部控制的最终目的服务于对财务报表发目的 表审计意见的目的
测试范围 对所有重要账户、各类交易和列报的相关认定,都要了解和测试相关的内部控制 在财务表表审计中,只有在下面两种情况下才强制要求对内部控制进行测试:(1)在评估认定层次重大错误风险时,预期控制的运行是有效的(即在确定实质性程序的性质、时间安排和范围时,注册会计师拟信赖控制运行的有效性);(2)或者仅实施实质性程序并不能够提供认定层次充分/适当的审计证据。
在其他情况下,注册会计师可以不测试内部控制
测试时间 对特定基准日内部控制的有效性发表意见,不需要测试整个会计期间,但要测试足够长的期间 一旦确定需要测试,则需测试内部控制在整个所审计期间(拟信赖期间)的运行有效性
测试样本量
(保证程度差异,如下表二) 对结论可靠性的要求高,测试的样本量大 对结论可靠性的要求取决于计划从控制测试中得到的保证程度(或减少实质性程序工作量的程度),样本量相对要小
报告结果 (1)对外披露;
(2)以正面、积极的方式对被不控制是否有效发表审计意见 (1)通常不对外披露内部控制的情况,除非是内部控制影响到对财务报表发表的审计意见
(2)以管理建议书的方式向管理层或治理层报告财务报表审计过程中发现的内部控制重大缺陷,但注册会计师没有义务专门实施审计程序,以发现和报告内部控制重大缺陷
总之,内部控制审计与财务报表审计中内部控制测试的审计程序是一样,最大的不同在于:
(1)审计范围:内部控制审计的审计范围为所有重要账户、各类交易和列报的相关认定;而财务报表审计中内部控制测试的范围取决于审计策略,即预期内部控制运行有效,注册会计师拟信赖内部控制或仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。一般来讲,内部控制审计的范围远大于财务报表审计中内部控制测试范围。
(2)审计结论的程度:内部控制审计要求的审计结果可靠性比较高,需要依此发表意见,取决于监管和事务所的质量标准要求。而财务报表审计中对于内部控制的测试结论(或程度),可以根据实际情况和审计策略来调整,一般可分为高中低三档。
(3)涵盖测试期间:内部控制审计满足中注协关于内部控制整改后控制运行的最短期间(或最少运行次数)就可,一般最晚在10-12月有效运行即可。财务报表审计中对于内部控制的测试期间为所审计的期间。
故在整合审计时,要特别考虑审计范围、审计结论程度、涵盖测试期间等的影响,判断内部控制审计的结论能否有效支持年度财务报表审计,即符合年度财务报表中关于内部控制测试的要求。此外,整合审计的基本前提是两者使的重要性水平一致。特别在子公司单独出具审计报告的情况下,尤其注意对于子公司的内部控制审计使用的重要性水平是否和年度财务报表审计采用的重要性水平一致。
(二) 两种审计整合的必要性
内部控制审计要求对被审计单位内部控制设计和运行的有效性进行测试,财务报表审计中,也要求了解被审计单位的内部控制,并在需要时测试控制,这是两种审计的相同之处,也是整合审计应整合的二部分。提高效率和合理利用彼此的工作,是整合审计的必要性所在。而两者在审计技术上的相同性则决定了整合审计的可行性。整合审计包括审计目标、审计过程、审计结果的整合和利用。
(三) 两种审计整合的思路
由于两种审计的目标不同,《审计指引》要求在整合审计中,注册会计师对内部控制设计与运行的有效性进行测试,要同时实现两个目标:
(1) 获取充分、适当的证据,支持在内部控制审计中对内部控制有效性发表的意见;
(2) 获取充分、适当的证据,支持在财务报表审计中对控制风险的评估结果。
内部控制审计与财务报表审计通常使用相同的重要性(或重要性水平),在实务中两者很难分开。注册会计师可以利用在一种审计中获得的结果为另一种审计中的判断和拟实施的程序提供信息。
实施财务报表审计时,注册会计师可以利用内部控制审计的结果来修改实质性程序的性质、时间安排和范围,并可以利用该结果来支持分析性成中所使用的信息的完整性和准确性。在确定实质性程序的性质、时间安排和范围时,注册会计师需要慎重考虑识别出控制缺陷。
实施内部控制审计时,注册会计师需要评估财务报表审计时实质性程序中发现问题的影响。最重要的是,注册会计师需要考虑财务报表审计中发现财务报表错报,考虑这些错报对评价内控有效性的影响。
1、 采用风险的理念 风险评估是准则中整个审计过程的基础。因此,注册会计师的风险评估应对内部控制审计具有普遍深入的影响。公司财务报告内部控制的具体领域中重大缺陷可能存在的风险程度与重大缺陷对该领域应给与的关注之间具有直接的关系。相应地,注册会计师应当将审计重点放在风险最大的区域,以最大程度上减少重大缺陷被漏审的可能。在某一具体领域,重大缺陷存在的风险越低,注册会计师在该领域所要投入的关注也越少。相应地,注册会计师没有必要对即使存在控制缺陷,也不存在造成财务报表实质性错报的合理可能的领域进行测试。
重大缺陷的风险评估应对内部控制审计具有普遍影响。从重大缺陷开始对公司的重大缺陷风险进行评估开始,以至对单独账户、论断或控制层面风险的分析,注册会计师应不断调整审计程序,以反映注册会计师掌握的信息,包括内部控制审计和财务报表审计的经验。将审计重点放在风险最大的区域会使审计更有效,并显著增加发现曾被忽视的重大缺陷的几率。合理使用风险评估同样可以提高审计效率,因为注册会计师不会花费时间对那些不会导致财务报告实质性错报的控制进行测试,即便这些控制并不完善。
因此,这一关于内部控制审计的准则提案要求注册会计师在每一决策点的风险评估中采用从上至下的方法注册会计师对重要账目和相关论断的确定要求注册会计师应清楚存在的相关风险,以及风险如何影响注册会计师的决策。
2、 采用自上而下的方法