- 相关推荐
内部控制审计的程序与方法
审计师在进行内部控制审计时,应该应用通用的外业和报告准则,具备足够的胜任能力,保持应有的职业谨慎。遵循一定的程序,采用适当的方法,以确保内部控制审计报告的质量。通常来说,审计师应按照如下顺序,根据审计和评估的内容不同,分别采用适当的方法予以审计和评估。下面是yjbys小编为大家带来的内部控制审计的程序与方法的知识,欢迎阅读。
步骤/方法
审计准备阶段
1.计划审计业务。审计师应对内部控制审计进行适当的计划和协助,以保证在需要时,进行适当的监督。
2.评估管理层评估的流程。审计师必须获得对管理层关于公司内部控制有效性评估的过程的了解。主要包括:审计师决定应当对哪些控制实施测试,包括对财务报表中的所有重要会计科目和披露事项的相关认定的控制;评估控制失败导致错报的可能性、错报的程度以及在其他控制有效实施的情形下,实现同样的控制目标的程度;评估控制设计的有效性;根据评估其实施有效性的程序是否充足,来评估控制实施的有效性;决定内部控制缺陷的程度和导致重要缺陷和实质性漏洞发生的可能性;对审计发现是否合理以及是否支持管理层的评估进行评价。
3.评估管理层的文档记录。主要包括对与财务报表重要会计科目和披露事项相关的所有认定进行控制的设计;关于重要交易是如何被初始、授权、记录、处理和报告的信息;关于交易流向的足够信息,包括识别可能发生错误或舞弊而导致重大错报的关键点;已设计的防止或发现舞弊的控制,包括谁实施控制以及相关的职责划分;对期末财务报告过程的控制;对资产保护的控制以及管理层进行测试和评估结果。
4.获得对内部控制的了解。主要通过询问合适的管理层、监督人员和员工;检查公司文件;观察专用控制的应用;通过信息系统追踪与财务报告相关的交易来了解公司内部控制的各个方面。
5.识别重要会计科目。审计师应首先在财务报表、会计科目或披露事项因素层次确定重要的会计科目和披露事项。决定财务报表内重要的会计科目和披露事项也是决定特殊控制测试的出发点。
6.识别重要的流程和主要的交易类别。审计师应当对每一类主要的影响重要会计科目或几组会计科目的交易的重要流程进行识别。主要的交易类型指的是对财务报表产生重要影响的交易类型。
7.理解期末财务报告流程。作为了解和评估期末财务报告流程的一部分,审计师应当评估:公司使用编制年度和季度财务报表的输入和输出方法;期末财务报告过程中使用信息技术的程度;管理层的参与;涉及经营场所的数量;调整分录的类型(例如,标准、非标准、消除和合并);以及包括管理层、董事会和审计委员会在内的适当的机构对流程进行监管的性质和程度。
审计实施阶段
1.实施穿行测试。审计师应当对于第一交易类型实施至少一个穿行测试。审计师实施的穿行测试应当涉及对单独交易的初始、控制权、记录、处理和报告的整个过程,以及对每个被审计的重要流程所进行的控制,包括旨在发现风险和舞弊的控制。穿行测试可以为审计师提供如下证据:确保审计师对于针对内部控制的五大方面所设计的控制进行识别和了解,包括与防止或发现舞弊相关的控制;确保审计师对于整个流程有所了解,并且根据每个相关的财务报表认定,判断是否在流程中容易发生错报的关键点都被识别出来;评估控制设计的有效性;和确认控制是否被实施。
2.识别控制以进行测试。审计师应当对与财务报表的所有重要会计科目和披露事项的所有相关认定所进行的控制的有效性获得足够的证据。在识别重要会计科目、相关认定和重要流程之后,审计师应当对如下进行评估以识别出可以进行测试的控制:发生错误或舞弊的节点;管理层实施控制的性质;为实现控制标准目标而进行的控制的重要性和为实现某一特定目标,是否需要一个以上的控制,或者为实现某一特定目标,补入一个以上的控制是必要的;以及控制不能有效实施的风险。
3.测试和评估设计、运行效果。当预期所实施的控制将防止或发现会导致财务报表重大错报的错误或舞弊时,内部控制的设计是有效的。审计师应当通过如下标准判断公司是否实施了达到控制目标的控制:识别公司每一领域的控制目标;识别满足每一目标的控制;判断如果有效地实施了控制,是否可以防止或发现会导致对财务报表重大错报的错误或舞弊。审计师应当通过判断控制是否按计划实施和实施控制的人员是否获得了必要的授权和具备有效实施控制的来评估控制实施的有效性。对实施有效性进行控制测试的方式包括询问适当的人员、检查相关记录、观察公司的运营和重新实施控制措施等方式的结合。
4.形成关于内部控制是否有效的意见。在对内部控制发表意见时,审计师应当对获得的所有证据进行评估并发表意见,只有在没有发现实质性漏洞和审计师的工作没有受到限制的情况下,审计师才可以发表无保留意见。如果存在实质性漏洞,审计师应当对财务报告的内部控制发表否定意见,如果工作范围受到限制,审计师应当发表保留意见或无法表示意见,视受限制的范围所定。
5.评估内部控制的缺陷。审计师必须评估已发现的控制缺陷,并且决定这些缺陷单独或累加之后,是否是重要缺陷或实质性漏洞。对内部控制中缺陷的严重性进行评估时应当考虑以下几个方面:某缺陷或缺陷汇总会导致某会计科目余额或披露事项产生错报的可能性;某缺陷或多个缺陷造成的潜在错报的严重程度。
审计报告形成阶段
1.审计师对管理层报告的评估。关于管理层对其内控有效性评估的报告,审计师应当评估下列事件:管理层对适当的内部控制制度的建立和维护是否已经声明了它的责任;由管理层用来执行评估的框架是否是适当的;到公司最近财年结束时,管理层内部控制有效性的评估,是否不包含重大的错报;管理层是否已经用一种可接受的形式表达了它的评估。
2.报告的修订。如果存在以下任何一种情况,审计师就应当修订标准报告:管理层的评估是不充分的,或管理层报告是不适当的;在公司的内部控制中有某个重要缺陷;在业务约定书的范围方面的限制;为了自己的报告,审计师决定参阅其他审计师的部分报告作为基础;自报告日期以来,发生了某个重大的期后事项;在内部控制的管理层报告中包含了其他信息。
3.审计师评估管理层对内部控制披露事项的确认。当内部控制中某一变化的理由是对某个实质性漏洞的纠正时,管理层就有责任来确定和审计师就应当评估:变化的理由和变化周围的环境是否重要的信息来充分的确定披露该变化有误导。
内部控制审计的程序
1.计划审计工作
注册会计师需恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。
2.实施审计工作
注册会计师按照自上而下的方法实施审计工作,将企业层面控制和业务层面控制的测试结合进行。
3.评价控制缺陷
注册会计师对内部控制缺陷的分类和认定标准与企业内部控制自我评价中内部控制缺陷的分类和认定标准类似,相对而言,注册会计师更关注财务报告内部控制缺陷的认定。注册会计师在对内部控制设计与运行的有效性进行测试的基础上,需评价其识别的各项内部控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成重大缺陷并影响其审计结论。
4.完成审计工作
(1)取得书面声明。注册会计师完成审计工作后,需取得经企业签署的书面声明。
(2)沟通控制缺陷。注册会计师应与企业沟通审计过程中识别的所有控制缺陷,重大缺陷和重要缺陷须以书面形式与董事会和经理层沟通。
(3)形成审计意见。注册会计师对获取的证据进行评价,形成对内部控制有效性的意见,出具审计报告。
内部控制审计报告
1.审计报告内容
标准内部控制审计报告包括下列要素:标题;收件人;引言段;企业对内部控制的责任段;注册会计师的责任段;内部控制固有局限的说明段;财务报告内部控制审计意见段;非财务报告内部控制重大缺陷描述段;注册会计师的签名和盖章;会计师事务所的名称、地址及盖章和报告日期。
2.审计意见类型
①无保留审计意见。发表无保留审计意见必须同时符合两个条件:企业按照内部控制有关法律法规以及企业内部控制制度要求,在所有重大方面建立并实施有效的内部控制;注册会计师按照有关内部控制审计准则的要求计划和实施审计工作,在审计过程中未受到限制。
②带强调段的无保留意见。注册会计师认为财务报告内部控制虽不存在重大缺陷,但仍有一项或者多项重大事项需要提请审计报告使用者注意的,应在审计报告中增加强调事项段予以说明,该段内容仅用于提醒内部控制审计报告使用者关注,并不影响对财务报告内部控制发表的审计意见。
③否定意见。注册会计师认为财务报告内部控制存在一项或多项重大缺陷的,除非审计范围受到限制,应对财务报告内部控制发表否定意见。注册会计师出具否定意见的内部控制审计报告中需包括重大缺陷的定义、重大缺陷的性质及其对财务报告内部控制的影响程度等内容。
④无法表示意见。注册会计师审计范围受到限制的,应当解除业务约定或出具无法表示意见的内部控制审计报告,在报告中指明审计范围受到限制,无法对内部控制有效性发表意见。注册会计师在已执行的有效程序中发现内部控制存在重大缺陷的,应当在“无法表示意见”的审计报告中对已发现的重大缺陷作出详细说明。
3.审计期后事项
期后事项是指在企业内部控制评价基准日并不存在、但在该基准日之后至审计报告日之前内部控制可能发生变化,或出现其他可能对内部控制产生重要影响的因素。注册会计师应当询问是否存在这类变化或影响因素,并获取企业关于这些情况的书面声明。注册会计师知悉对企业内部控制评价基准日财务报告内部控制有效性有重大负面影响的期后事项的,应对财务报告内部控制发表否定意见。注册会计师不能确定期后事项对内部控制有效性的影响程度的,应当出具无法表示意见的审计报告。
【例题】甲公司系20xx年首发股票并同时在境内外上市的公司,其A股在上海证劵交易所上市。根据五部委联合发布的《企业内部控制基本规范》及其配套指引和据此修订的《企业内部控制手册》,甲公司应于20xx年起实施内部控制评价制度。甲公司决定由审计部牵头拟定内部控制评价方案。该方案摘要如下:
(1)关于内部控制评价的组织领导和职责分工
董事会及其审计委员会负责内部控制评价的领导和监督。经理层负责实施内部控制评价,并对本公司内部控制有效性负全责,审计部具体组织实施内部控制评价工作,拟定评价计划、组织评价工作组、实施现场评价、审定内部控制重大缺陷、草拟内部控制评价报告,及时向董事会、监事会或经理层报告。其他有关业务部门负责组织本部门的内控自查工作。
(2)关于内部控制评价的内容和方法
内部控制评价围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等五个要素展开。鉴于本公司已按《公司法》和公司章程建立了科学规范的组织架构,组织架构相关内容不再纳入企业层面评价范围。同时,本着重要性原则,在实施业务层面评价时,主要评价上海证券交易所重点关注的对外担保、关联交易和信息披露等业务或事项。
在内部控制评价中,可以采用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法。考虑到公司现阶段经营压力较大,为了减轻评价工作对正常经营活动的影响,在本次内部控制评价中,仅采用调查问卷和专题讨论实施测试和评价。
(3)关于实施现场评价
评价工作组应与被评价单位进行充分沟通,了解被评价单位的基本情况,合理调整已确定的评价范围、检查重点和抽样数量。评价人员要根据《企业内部控制基本规范》及其配套指引和《企业内部控制手册》,实施现场检查测试,按要求填写评价工作底稿,记录测试过程及结果,并对发现的内部控制缺陷进行初步认定。现场评价结束后,评价工作组汇总评价人员的工作底稿,形成现场评价报告。现场评价报告无须和被评价单位沟通,只需评价工作组负责人审核、签字确认后报审计部,审计部应编制内部控制缺陷认定汇总表,对内部控制缺陷进行综合分析和全面复核。
(4)关于内部控制评价报告
审计部在完成现场评价和缺陷汇总、复核后,负责起草内部控制评价报告。评价报告应当包括:董事会对内部控制报告真实性的声明、内部控制评价工作的总体概括、内部控制评价的依据、内部控制评价的范围、内部控制评价的程序和方法、内部控制缺陷及其认定情况、内部控制缺陷的整改情况、内部控制有效性的结论等内容。对于重大缺陷及其整改情况,只进行内部通报,不对外披露。内部控制评价报告经董事会审核后对外披露。
(5)关于内部控制审计
聘请某具有证券期货业务资格的大型会计师事务所对本公司内部控制有效性进行审计,重点审计本公司内部控制评价的范围、内容、程序和方法等,并出具相关审计意见。
要求:根据《企业内部控制基本规范》及其配套指引的要求,逐项判断甲公司内部控制评价方案中的(1)-(5)项内容是否存在不当之处;存在不当之处的,请逐项指出不当之处,并分别说明理由。