(撰稿/四川农业大学 黄旖旎;上海国家会计学院 罗甜;摄影/刘荣光)
一、对《企业内部控制基本规范》的认识
(一)历史发展
我国的内部控制基本规范是在
(二)基本含义和主体责任
内部控制是由企业董事会、监事会、经理层和全体员工共同实施的,对企业在以下目标的实现提供合理保证的一个过程:经营管理合法合规;资产安全;财务报告及相关信息真实完整;提高经营效率和效果;促进企业实现发展战略。当前内部控制的主体责任包括企业和管理层的责任和审计师责任。企业和管理层的责任是建立有效的内部控制体系,以及维护其有效运行,对内部控制的有效性进行自我评价,披露年度自我评价报告。聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。而审计师的责任是进行独立审计,出具财务报告内部控制有效性的审计意见。获取充分、适当的审计证据来支持其对内部控制有效性发表的意见。分析并披露在内部控制审计过程中所注意到的非财务报告内部控制的重大缺陷。
(三)整体结构
企业 | 审计师 |
《评价指引》 指导企业执行内部控制有效性评价工作 | 《审计指引》 指导审计师进行外部独立审计工作 |
《应用指引》 由18个指引(包括内部环境、控制活动、控制手段三大类)组成企业应根据实际情况灵活应用 | |
《基本规范》 | |
应用指引主要由18项指引组成,分为三大类,包括内部环境类、控制活动类和控制手段类。内部环境类(5项),组织架构,发展战略,人力资源,社会责任,企业文化;控制活动类(9项),资金活动,采购业务,资产管理,销售业务,研究与开发,工程项目,担保业务,业务外包,财务报告;控制手段类(4项),全面预算,合同管理,内部信息传递,信息系统。
审计指引能指导审计师进行外部独立审计工作。当内部控制存在重大缺陷的迹象,审计师需要项董事会沟通的事项包括:识别的重大缺陷和重要缺陷;认为审计委员会以及内部审计机构的监督无效;审计范围受限的情况。对内部控制的审计意见类别:(1)无保留意见:企业按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及企业自身内部控制制度的要求,在所有重大方面保持了有效的财务报告内部控制;注册会计师按照《企业内部控制审计指引》的要求计划和实施审计工作,在审计过程中未受到限制;(2)否定意见:审计范围受限或不能确定期后事项对内部控制有效性的影响程度;(3)无法表示意见:财务报告内部控制存在一项或多项重大缺陷,除非审计范围受限,应当对财务内部控制发表否定意见。
二、企业内部控制审计——计划审计工作
<!--[if !supportLists]--> (一) <!--[endif]-->初步业务活动
初步业务活动是指注册会计师在本期审计业务开始时开展的有利于计划和执行审计工作,实现审计目标的活动的总称。初步业务活动包括业务接受或保持、前提条件、独立性和胜任能力、审计业务约定书。而计划审计工作考虑的事项包括与企业相关的风险,包括相关法律法规和行业概况、企业组织结构、经营特点和资本结构等、与企业沟通过的内部控制缺陷、重要性、风险等与确定内部控制重大缺陷相关的因素、对内部控制有效性的初步判断、可获取的、与内部控制有效性相关的证据的类型和范围。
<!--[if !supportLists]--> (二) <!--[endif]-->重要性
财务报表审计的重要性,可以从三方面解释:第一,如果合理预期错报(包括漏报)单独或汇总起来可能影响财务报表使用者依据财务报表作出的经济决策,则通常认为错报是重大的。第二,对重要性的判断是根据具体环境作出的,不同的企业重要性会有所不同,就算是同一企业在不同时期的重要性也不一定会相同。重要性受错报的金额或性质的影响,或受两者共同的影响。第三,判断某事项对财务报表使用者是否重大,是在考虑财务报表使用者整体共同的财务信息需求的基础上做出的,因为财务报表使用者太多了,而且每个财务报表使用者对财务信息需求的差异可能很大,所以不考虑个别财务报表使用者对财务信息的需求。内部控制制度审计是指以内部控制为对象,在评审被审计单位内部控制制度的基础上,决定抽查会计资料的内容、范围和程序,据以进行符合性和实质性测试的一种审计方法。
<!--[if !supportLists]--> (三) <!--[endif]-->风险评估
重大错报风险评估为所谓重大错报风险即是指财务报表在审计前存在重大错报的可能性,重大非常规交易是注册会计师在审计工作中发现的被审计单位超出正常经营过程的重大交易,或基于对被审计单位及其环境的了解以及在审计过程中获取的其他信息,认为显得异常的重大交易。
图1:风险评估总流程
(四)整合审计计划
整合审计资源是指围绕一定的审计工作目标,对审计资源各要素进行整理、组合的过程。其目的是为了更加充分、有效地发挥审计组织的职能作用。整合包括两个方面的含义:一是提高各构成要素自身的效能;二是搞好各要素之间的科学配比。整合审计资源所追求的目标,是在提高各构成要素自身效能的基础上实现最佳结构效益。
如何制定整合审计计划,包括重要性、重大错报风险(固有风险)的评估、重要账户、列报及其相关认定、内部控制测试、控制缺陷评价、项目组的整合、工作底稿的整合。在财务报表审计的基础上,初步业务活动同时考虑两种业务,重要账户、列报及相关认定,企业层面和业务流程层面内部控制,进一步审计程序的总体方案,测试内部控制有效性,时间安排和间隔。
图2:整合审计流程图
三、业务流程层面内部控制测试的基本原理
(一)内部控制的有效性
内部控制的有效性包括控制设计有效性和控制运行的有效性。控制设计的有效性表示某项控制由拥有有效执行控制所需的授权和专业胜任能力的人员按照规定的程序和要求执行,能够实现控制目标,从而有效防止或发现并纠正可能重大错报的错误和舞弊。控制运行的有效性表示控制按照设计运行,执行人员拥有必要的授权和专业胜任能力,能够实现控制目标。
内部控制的有效性受众多因素的影响,包括控制设计的有效性、控制的性质、控制的频率、执行控制的人员的知识和经验、信息的可靠性、控制涵盖的期间等因素。而能够体现内部控制的有效性的审计证据包括控制在所审计期间的相关时点是如何运行的、控制是否得到一贯执行以及控制由谁以何种方式执行。
(二)选取拟测试的控制
注册会计师应当针对每一相关认定获取控制有效性的审计证据,以便对财务报表内部控制整体的有效性发表意见。在《企业内部控制审计实施意见》中,注册会计师应当对控制是否足以应对你评估的每个相关认定的错报风险形成结论。因此,注册会计师应当选择对形成这一评价结论具有重要影响的控制进行测试。
选取拟测试的控制是关键控制。关键控制指的是单独或连同其他控制可以有效应对评估认定层次的重大错报风险,并且可以测试的控制。而每个重要账户的相关认定至少应当有一个对应的关键控制。一项控制可能应对评估的多项相关认定的错报风险。
(三)与控制相关的风险
根据与控制相关的风险,确定所需获取的审计证据。影响与控制相关的风险因素包括:该项控制拟防治或发现并纠正的错报的性质和重要程度;相关账户、列报及其认定的固有风险;交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的有效性产生不利影响;相关账户或列报是否曾经出现错报;企业层面控制(特别是监督其他控制的控制)有效性;该项控制的性质及其执行频率;该项控制对其他控制(如控制环境或信息技术一般控制)有效性的依赖程度;执行该项控制或监督该项控制的人员的专业胜任能力,以及其中的关键人员是否发生变化;该项控制是人工控制还是自动化控制;该项控制的复杂程度,以及在运行过程中依赖判断的程度。
(四)其他事项
除以上需要注意的事项以外,需要考虑其他事项,包括连续审计、控制测试的性质、时间安排以及测试范围。第一,连续审计,以前年度审计中所实施程序的性质、时间安排和范围;以前年度对控制的测试结果以及以前年度发现的缺陷是否得到整改;上次审计后,控制或其运需要行所处的流程是否发生变化。第二,控制测试的性质,是否需要在所需流程/账户的控制测试中实施重新执行程序?如所需保证较低,是否可能仅通过实施穿行测试。第三,控制测试的时间安排,测试日与基准日的接近程度及更新测试。第四,测试范围,考虑需要获得的保证程度、对控制环境的评估结果、拟获取的审计证据的相关性和可靠性、控制累计程度、预期偏差。
通过秦洁老师给暑期学子们介绍的有关于企业内部控制审计的知识,帮助我们领悟到了企业内部控制审计的新知识,包括控制测试的程序、控制测试的性质、时间安排。除此之外,不断学习是我们提升自己的一种有效方法,可以帮助我们源源不断地吸收新知识,学习到内部审计的最新实务操作方法,梳理相关的理论框架。
财政部微信
上海国家会计学院微信
