1、企业内部控制审计指引财政部会计司及中注协解读2国际内审师doc二、计划审计工作(一)总体要求审计指引第六条指出,注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。整合审计中项目组人员的配备比较关键。在计划审计工作时,项目合伙人需要统筹考虑审计工作,挑选相关领域的人员组成项目组,同时对项目组成员进行培训和督导,以合理安排审计工作。在计划整合审计工作时,注册会计师需要评价下列事项对财务报表和内部控制是否有重要影响,以及有重要影响的事项将如何影响审计工作:1与企业相关的风险,包括在评价是否接受与保持客户和业务时,注册会计师了解的与企业相关的风险情况以
2、及在执行其他业务时了解的情况;2相关法律法规和行业概况;3企业组织结构、经营特点和资本结构等相关重要事项;4企业内部控制最近发生变化的程度;5与企业沟通过的内部控制缺陷;6重要性、风险等与确定内部控制重大缺陷相关的因素;7对内部控制有效性的初步判断;8可获取的、与内部控制有效性相关的证据的类型和范围。此外,注册会计师还需要关注与评价财务报表发生重大错报的可能性和内部控制有效性相关的公开信息,以及企业经营活动的相对复杂程度。(二)重视风险评估的作用按照审计指引第八条规定,在内部控制审计中,注册会计师应当以风险评估为基础,确定重要账户、列报及其相关认定,选择拟测试的控制,以及确定针对所选定控制所需
3、收集的证据。风险评估的理念及思路应当贯穿于整合审计过程的始终。实施风险评估时,可以考虑固有风险及控制风险。在计划审计工作阶段,对内部控制的固有风险进行评估,作为编制审计计划的依据之一;根据对控制风险评估的结果,调整计划阶段对固有风险的判断,这是个持续的过程。内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。内部控制不能防止或发现并纠正由于舞弊导致的错报风险,通常高于其不能防止或发现并纠正由错误导致的错报风险。注册会计师应当地关注高风险领域,而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。在进行风险评估以及确定审计程序时,企业的组织结构、业务流程或业务单元的
4、复杂程度可能产生的重要影响均是注册会计师需要考虑的因素。(三)利用其他相关人员的工作在计划审计工作时,注册会计师需要评估是否利用他人(包括企业的内部审计人员、内部控制评价人员、其他人员以及在董事会及其审计委员会指导下的第三方)的工作以及利用的程度,以减少可能本应由注册会计师执行的工作。如果决定利用内部审计人员的工作,注册会计师应当按照中国注册会计师审计准则第1411号利用内部审计人员的工作的规定办理。如果拟利用他人的工作,注册会计师则需要评价该人员的专业胜任能力和客观性。专业胜任能力即具备某种专业技能、知识或经验,有能力完成分派的任务;客观性则是公正、诚实地执行任务的能力。专业胜任能力和客观性
5、越高,可利用程度就越高,注册会计师就可以越多地利用其工作。当然,无论人员的专业胜任能力如何,注册会计师都不应利用那些客观程度较低的人员的工作。同样地,无论人员的客观程度如何,注册会计师都不应利用那些专业胜任能力较低的人员的工作。通常认为,企业的内部审计人员拥有更高的专业胜任能力和客观性,注册会计师可以考虑地利用这些人员的相关工作。在内部控制审计中,注册会计师利用他人工作的程度还受到与被测试控制相关的风险的影响。与某项控制相关的风险越高,可利用他人工作的程度就越低,注册会计师就需要地对该项控制亲自进行测试。如果其他注册会计师负责审计企业的一个或多个分部、分支机构、子公司等组成部分的财务报表和内部
6、控制,注册会计师应当按照中国注册会计师审计准则第1401号对集团财务报表审计的特殊考虑的规定,确定是否利用其他注册会计师的工作。12三、实施审计工作(一)自上而下的方法审计指引第十条规定,注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。自上而下的方法按照下列思路展开:1从财务报表层次初步了解内部控制整体风险;2识别企业层面控制;3识别重要账户、列报及其相关认定;4了解错报的可能;5选择拟测试的控制。在财务报告内控审计中,自上而下的方法始于财务报表层次,以注册会计师对财务报告内部控制整体风险的了解开始,然后,注册会计师将关注重点放在企业
7、层面的控制上,并将工作逐渐下移至重大账户、列报及相关的认定。这种方法引导注册会计师将注意力放在显示有可能导致财务报表及相关列报发生重大错报的账户、列报及认定上。之后,注册会计师验证其了解到的业务流程中存在的风险,并就已评估的每个相关认定的错报风险,选择足以应对这些风险的业务层面控制进行测试。在非财务报告内控审计中,自上而下的方法始于企业层面控制,并将审计测试工作逐步下移到业务层面控制。自上而下的方法描述了注册会计师在识别风险以及拟测试的控制时的连续思维过程,但并不一定是注册会计师执行审计程序的顺序。(二)识别企业层面控制从财务报表层次初步了解财务报告内部控制整体风险是自上而下方法的第一步。通过
8、了解企业与财务报告相关的整体风险,注册会计师首先可以识别出为保持有效的财务报告内部控制而必需的企业层面内部控制。此外,由于对企业层面内部控制的评价结果将影响注册会计师测试其他控制的性质、时间安排和范围,因此,注册会计师可以考虑在执行业务的早期阶段对企业层面内部控制进行评价。1.评价企业层面控制的精确度。不同的企业层面控制在性质和精确度上存在着差异,这些差异可能对其他控制及其测试产生影响。(1)某些企业层面控制,如企业经营理念、管理层的管理风格等与控制环境相关的控制,对及时防止或发现并纠正相关认定的错报的可能性有重要影响。虽然这种影响是间接的,但这些控制仍然可能影响注册会计师拟测试的其他控制,以
9、及测试程序的性质、时间安排和范围。(2)某些企业层面控制旨在识别其他控制可能出现的失效情况,能够监督其他控制的有效性,但还不足以精确到及时防止或发现并纠正相关认定的错报。当这些控制运行有效时,注册会计师可以减少对其他控制的测试。(3)某些企业层面控制本身能够精确到足以及时防止或发现并纠正相关认定的错报。如果一项企业层面控制足以应对已评估的错报风险,注册会计师就不必测试与该风险相关的其他控制。2.企业层面控制的内容(1)与内部环境相关的控制。内部环境,即控制环境,包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。良好的控制环境是实施有效内部控制的基础。(2)针对管
10、理层凌驾于控制之上的风险而设计的控制。该控制对所有企业保持有效的内部控制都有重要影响。注册会计师可以根据对企业舞弊风险的评估作出判断,选择相关的企业层面控制进行测试,并评价这些控制能否有效应对管理层凌驾于控制之上的风险。(3)企业的风险评估过程。风险评估过程包括识别与财务报告相关的经营风险和其他经营管理风险,以及针对这些风险采取的措施。首先,企业的内部控制能够充分识别企业外部环境(如在经济、政治、法律法规、竞争者行为、债权人需求、技术变革等方面)存在的风险;其次,充分且适当的风险评估过程需要包括对重大风险的估计、对风险发生可能性的评估以及确定应对风险的方法。注册会计师可以首先了解企业及其内部环
11、境的其他方面信息,以初步了解企业的风险评估过程。(4)对内部信息传递和财务报告流程的控制。财务报告流程的控制可以确保管理层按照适当的会计准则编制合理、可靠的财务报告并对外报告。(5)对控制有效性的内部监督和自我评价。企业对控制有效性的内部监督和自我评价可以在企业层面上实施,也可以在业务流程层面上实施,包括:对运行报告的复核和核对、与外部人士的沟通、对其他未参与控制执行人员的监控活动,以及将信息系统记录数据与实物资产进行核对等。此外,企业层面控制还包括:集中化的处理和控制,包括共享的服务环境;监控经营成果的控制;针对重大经营控制以及风险管理实务而采取的政策。(三)测试控制设计和运行的有效性审计指
12、引第十四条规定,注册会计师应当测试内部控制设计与运行的有效性。如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行,能够实现控制目标,表明该项控制的设计是有效的。如果某项控制正在按照设计运行,执行人员拥有必要授权和专业胜任能力,能够实现控制目标,表明该项控制的运行是有效的。设计不当的控制可能表明控制存在缺陷甚至重大缺陷,注册会计师在测试控制运行的有效性时,首先要考虑控制的设计。注册会计师在测试控制设计与运行的有效性时,应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。注册会计师测试控制有效性实施的程序,按提供证据的效力,由弱到强排序为:询问、观察
13、、检查和重新执行。其中询问本身并不能为得出控制是否有效的结论提供充分、适当的证据。执行穿行测试通常足以评价控制设计的有效性。(四)与控制相关的风险与拟获取证据的关系在测试所选定控制的有效性时,注册会计师需要根据与控制相关的风险,确定所需获取的证据。与控制相关的风险包括控制可能无效的风险和因控制无效而导致重大缺陷的风险。与控制相关的风险越高,注册会计师需要获取的证据就越多。与某项控制相关的风险受下列因素的影响:(1)该项控制拟防止或发现并纠正的错报的性质和重要程度;(2)相关账户、列报及其认定的固有风险;(3)相关账户或列报是否曾经出现错报;(4)交易的数量和性质是否发生变化,进而可能对该项控制
14、设计或运行的有效性产生不利影响;(5)企业层面控制(特别是对控制有效性的内部监督和自我评价)的有效性;(6)该项控制的性质及其执行频率;(7)该项控制对其他控制(如内部环境或信息技术一般控制)有效性的依赖程度;(8)该项控制的执行或监督人员的专业胜任能力,以及其中的关键人员是否发生变化;(9)该项控制是人工控制还是自动化控制;(10)该项控制的复杂程度,以及在运行过程中依赖判断的程度。针对每一相关认定,注册会计师都需要获取控制有效性的证据,以便对内部控制整体的有效性单独发表意见,但注册会计师没有责任对单项控制的有效性发表意见。对于控制运行偏离设计的情况(即控制偏差),注册会计师需要考虑该偏差对
15、相关风险评估、需要获取的证据以及控制运行有效性结论的影响。注册会计师通过测试控制有效性获取的证据,取决于实施程序的性质、时间安排和范围的组合。就单项控制而言,注册会计师应当根据与该项控制相关的风险,适当确定实施程序的性质、时间安排和范围,以获取充分、适当的证据。测试控制有效性实施的程序,其性质在很大程度上取决于拟测试控制的性质。某些控制可能存在文件记录,反映其运行的有效性,而另外一些控制,如管理理念和经营风格,可能没有书面的运行证据。对缺乏正式运行证据的企业或企业的某个业务单元,注册会计师可以通过询问并结合运用观察活动、检查非正式的书面记录和重新执行某些控制等程序,获取有关控制有效性的充分、适
16、当的证据。对控制有效性的测试涵盖的期间越长,提供的控制有效性的证据越多。注册会计师需要获取内部控制在企业内部控制自我评价基准日前足够长的期间内有效运行的证据。对控制有效性的测试实施的时间安排越接近企业内部控制自我评价基准日,提供的控制有效性的证据越有力。因此,审计指引第十七条规定,注册会计师在确定测试的时间安排时,应当在下列两个因素之间作出平衡,以获取充分、适当的证据:(1)尽量在接近企业内部控制自我评价基准日实施测试;(2)实施的测试需要涵盖足够长的期间。在企业内部控制自我评价基准日之前,管理层可能为提高控制效率、效果或弥补控制缺陷而改变企业的控制。如果新控制实现了相关控制目标,运行足够长的
17、时间,且注册会计师能够测试并评价该项控制设计和运行的有效性,则无需测试被取代的控制。如果被取代控制设计和运行的有效性对控制风险的评估有重大影响,注册会计师则需要测试该项控制的有效性。注册会计师执行内部控制审计业务通常旨在对企业内部控制自我评价基准日(通常为年末)内部控制的有效性发表意见。如果已获取有关控制在期中运行有效性的证据,注册会计师应当确定还需要获取哪些补充证据,以证实在剩余期间控制的运行情况。在将期中测试的结果更新至年末时,注册会计师需要考虑下列因素,以确定需获取的补充证据:(1)期中测试的特定控制的有关情况,包括与控制相关的风险、控制的性质和测试的结果;(2)期中获取的有关证据的充分
18、性、适当性;(3)剩余期间的长短;(4)期中测试之后,内部控制发生重大变化的可能性及其变化情况。(五)连续审计时的特殊考虑在连续审计中,注册会计师在确定测试的性质、时间安排和范围时,还需要考虑以前年度执行内部控制审计时了解的情况。影响连续审计中与某项控制相关的风险的因素除第(四)部分风险与拟获取证据的关系中所列的10项因素外,还包括:(1)以前年度审计中所实施程序的性质、时间安排和范围;(2)以前年度对控制的测试结果;(3)上次审计之后,控制或其运行流程是否发生变化,尤其是考虑IT环境的变化。在考虑上述所列的风险因素以及连续审计中可获取的进一步信息之后,只有当认为与控制相关的风险水平比以前年度有所下降时,注册会计师在本年度审计中才可以减少测试。为保证控制测试的有效性,使测试具有不可预见性,并能应对环境的变化,注册会计师需要每年改变控制测试的性质、时间安排和范围。每年在期中不同的时段测试控制,并增加或减少所执行测试的数量和种类,或者改变所使用测试程序的组合等。12
