CPA审计是提升内控有效性的制度安排(二).doc

CPA审计是提升内控有效性的制度安排(二).txt珍惜生活上帝还让你活着，就肯定有他的安排。雷锋做了好事不留名，但是每一件事情都记到日记里面。 CPA审计是提升内控有效性的制度安排（二） 中国会计报 无论是企业内控自评，还是注册会计师内控审计，都需要对企业层面控制和业务层面控制进行测试。一般认为，与内部控制诸要素中的基本制度安排直接相关，对企业整体内控目标的实现具有重大影响的控制属于企业层面控制；与控制活动（控制政策和程序）在具体业务和事项中的运用直接相关，对企业某一或某些方面的内控目标具有重要影响的控制属于业务层面控制。由此可以推论，企业层面控制决定业务层面控制，业务层面控制反作用于企业层面控制。 因此，在实施企业层面控制测试和业务层面控制测试中，应当坚持自上而下、上下结合的测试方法。所谓自上而下，是指测试控制应当从企业层面控制入手，通过评估、预判企业层面控制，增强业务层面控制测试的科学性、针对性和实效性。同时应当注意，强调自上而下进行测试，并不意味着企业层面和业务层面的测试工作是孤立进行、截然分开的，在注册会计师审计实践中，往往将企业层面控制测试和业务层面控制测试结合进行，以企业层面控制弱点锁定业务层面控制重点，以业务层面控制效果反证企业层面控制设计。 需要注意的是，在测试业务层面控制时，一定要把握关键控制和一般控制。当一项控制可以涵盖多个可能出错事项，或者一个可能出错事项只有某项控制能够涵盖时，该项控制应当被认定为关键控制，除此之外，则被认定为一般控制。经验数据表明，在所有业务层面控制中，关键控制一般占到20左右。下图为认定关键控制提供了一种可供参考的方法。 （六）重大缺陷披露与其他缺陷沟通的关系。 内部控制缺陷按其影响程度分为重大缺陷（实质性漏洞）、重要缺陷和一般缺陷。重大缺陷既可能源于设计缺陷和运行缺陷，又可能源于错弊事项性质和金额的严重程度。企业内部控制审计指引规定，当注册会计师发现企业董事、监事和高级管理人员舞弊，或者注册会计师发现当期财务报表存在重大错报，而企业内部控制在运行过程中未能发现该错报，或者企业更正已经公布的财务报表，或者企业审计委员会和内部审计机构对内部控制的监督无效，应当认定企业财务报告内控存在重大缺陷，对企业财务报告内控有效性发表否定意见，并通过内控审计报告予以披露。对于其他控制缺陷，包括重要缺陷和一般缺陷，应当区别情况与企业沟通。一般地，对于重要缺陷，应当以书面形式与企业董事会和经理层沟通；对于一般缺陷，应当以书面形式与企业有关职能部门沟通。 从美国上市公司近年来披露的财务报告内控缺陷尤其是重大缺陷来看，在信息技术、收入确认、付款或有关费用的控制方面存在的薄弱环节较为显著（见下图）。这也提示我国注册会计师在实施企业内控审计时，应当着力把握易于出现错弊的关键领域和重要环节，切实揭示出企业财务报告内控重大缺陷。 三、进一步深化企业内控注册会计师审计应当研究解决的几个重要问题 企业内部控制审计指引的发布，为实施企业内控审计提供了执业准则和操作指南；同时，随着企业内控审计的不断深入，也势必反映出这样那样的各种具体问题。在当前和今后一段时间，应当着力研究解决以下几个重要问题。 （一）非财务报告内控测试的范围界定和方法技术问题。 关于非财务报告内控测试的范围。相对而言，财务报告内控测试范围较为明确，而非财务报告内控测试范围有一定弹性。鉴于注册会计师审计的职业特性、胜任能力和审计成本的客观限制，要求注册会计师事无巨细地关注非财务报告内控的方方面面是不现实的。因此，我们倾向于紧密围绕内控目标，建立一套非财务报告内控测试的核心指标体系，这一核心指标体系应涵盖企业层面控制和业务层面控制的关键控制点，其中：对内部环境的测试聚焦于组织架构、人力资源政策、企业文化、社会责任和发展战略等方面，特别是董事会、监事会建设和审计委员会监督职能的发挥情况；对风险评估的测试聚焦于风险识别、分析、应对的基本制度安排和基础方法应用；对控制活动的测试聚焦于控制政策和程序在企业重大经营业务和事项中的运用情况；对信息与沟通的测试聚焦于信息收集、处理、应对机制和对内对外沟通制度的完善，以及信息系统开发、建设和运行状况；对内部监督的测试聚焦于日常监督和持续性监控的落实情况，特别是企业内控自评工作的开展成效以及内控缺陷的整改情况。 关于非财务报告内控测试的方法。总体而言，应与财务报告内控测试方法基本相同或相近，比如需要综合运用询问适当人员、观察经营活动、检查相关文件、执行穿行测试等方法，但非财务报告内控测试又往往因测试内容的复杂性和难以量化性具有其独特之处。下面以对企业文化的面询为例，为注册会计师提供一个测试、审视企业文化的新视角。 企业文化 备注 1.贵公司是如何建立员工行为准则和高管人员职业道德准则的？ 2.这些行为准则、职业道德准则多长时间检查和更新一次？ 3.董事会居于何种考虑建立上述行为准则和职业道德准则？a.您认为达到董事会的目标了吗？达到了能叙述一下是如何达到的吗？没达到您认为未能达到目标的主要障碍是什么？ 4.如果公司管理层认识到存在不可接受的行为，那么将采取什么程序来调查这个问题？a.您能举出一些具体的例子吗？b.公司如何让员工们了解到管理层在这个问题上采取的行动？ 5.董事会已经识别了那些可能 诱导不道德行为的薪酬政策或者其他激励措施了吗？是的这些政策是什么？您如何监督这些政策？没有在制定薪酬政策或措施的时候，考虑的是什么标准？ 6.在过去三年中，管理层认识到内部控制的任何缺陷了吗？a.您是怎么认识到的？b.采取了什么措施来加以改进？ 7.您得到了有效完成您的工作的全部信息了吗？是的它是可靠的吗？及时的吗？没有为什么没有得到？ 8.董事会定期讨论企业文化和“高层的调子”吗？它们如何影响内部控制的整体有效性？是的董事会发现了什么？没有是什么防碍了你们做这些事情？在询问结束后，注册会计师要初步评估：与企业文化有关的控制政策看起来是何种程度的，以此作为对企业文化的初步测试结论。 （二）内控测试评价的样本选取问题。 基于净利润、资产总额等指标的计划重要性水平确定抽样规模，是财务报表审计的重要方法。但是，企业内控审计的外延和内涵大大超越财务报表审计，因此，如何确定内控测试评价的抽样规模，是一个亟待解决的突出问题。截至目前，尚未形成具有统一性、公认性的抽样标准，但部分国际会计公司在执行404审计中逐步探索出一些经验数据，值得研究思考并在此基础上予以完善。 （三）首次执行内控审计与连续实施内控审计的策略问题。 根据财政部、证监会、审计署、银监会、保监会等五部委的统一部署，包括企业内部控制审计指引在内的企业内部控制配套指引自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行；在此基础上，择机在中小板和创业板上市公司施行；鼓励非上市大中型企业提前执行。因此，除按萨班斯奥克斯利法案404条款要求为在美上市公司提供财务报告内控审计的会计师事务所外，其他多数会计师事务所及其注册会计师属于首次执行内控审计的范畴。首次执行内控审计，特别是同时也属首次执行财务报表审计，意味着注册会计师对某一特定企业（客户）的了解尚不全面、系统、深入，因此，首次执行内控审计应在计划重要性水平、可容忍的错报程度、测试范围和样本量选取、审计方法运用等方面采取更为严格的要求。相应地，在以后年度的内控连续审计中，由于对企业的生产经营情况特别是高风险业务环节有了一定程度的了解，因此可以突出审计重点、简化部分程序，更多地关注高风险领域、企业层面控制和业务层面控制出现的新变化及其对实现控制目标的影响程度。首次执行内控审计与连续实施内控审计的策略变化，对企业和会计师事务所是“双赢”之举，应当予以重视。由此也启示会计师事务所，一定要未雨绸缪、早做准备、注重积累，不断建立健全不同行业、企业的风险案例库，为提升内控审计质量和内控咨询服务水平奠定扎实基础。 （四）内控审计报告的披露形式问题。 企业内部控制审计指引明确了内控审计报告的格式和内容，但并未对如何公布、披露内控审计报告作出详细规定。从美国的情况看，企业管理层的财务报告内控自评报告和公共会计公司的财务报告内控审计报告，一般在企业年度报告一并公布。从我国部分上市公司近年来先行先试内控审计的做法看，既有在年度报告中单作一部分予以披露的，也有自成体系形成一个专门报告单独披 露的。两种做法各有利弊，我们尊重企业的自主选择权。同时，考虑到内控自评报告和审计报告与管理层讨论和分析、年度财务报告、财务报表审计报告等具有直接内在关联，我们倾向于建议企业在年度报告中一并披露内控审计报告，以利于投资者、债权人、社会公众和其他利益相关者在通盘了解企业经营状况、财务状况、内控状况的基础上作出正确决策。但是应当强调，在年度报告中一并披露的内控审计报告是一个独立的报告，不同于财务报表审计报告，否则与传统做法没有区别，也易于弱化内控审计。 （五）内控审计信息系统的开发建设问题。 会计师事务所及其注册会计师执行企业内控审计，必须开发建设审计软件，将内控审计程序固化在信息系统之中，形成可供查验的内控审计工作底稿和有关档案记录。从部分国际会计公司执行404审计的工作实践看，其财务报告内控审计软件主要包括以下数据包： 1.审计项目概述。 2.审计项目计划，包括企业审计回顾摘要、抽样判断、穿行测试清单、上一年度测试结论、测试时间和经费预算等。 3.内控审计模型，包括与财务报表整合进行的审计模型、上一年度审计范围分析、企业遵循萨奥法案404条款计划文件、企业内控自评记录、404审计流程与控制测试等。 4.审核相关备忘录（MRC），包括404缺陷备忘录等。 5.控制测试概览，包括：控制评估与记录；企业层面控制测试；承诺义务与或有事项；工薪循环控制测试；存货循环控制测试；现金收入（含销售业务）循环控制测试；现金支付（含采购业务）循环控制测试；财务报表结账程序控制测试；固定资产循环控制测试；负债循环控制测试；所得税控制测试；股东权益控制测试等。以对固定资产的控制测试为例，需要测试固定资产购置指令、固定资产发票取得与接收记录、固定资产明细科目、固定资产使用状态、固定资产相关费用会计处理、固定资产处置情况等。 6.对内控缺陷的集合与评估。 7.就控制缺陷与企业管理层的沟通情况。 8.就控制缺陷与企业董事会审计委员会的沟通情况。 9.内控审计报告，包括会计师事务所的404审计意见、企业管理层的内控声明书等。尽管我国企业内控审计的范围与美国404审计有所差异，但开发建设内控审计软件的基本思路和总体要求是一致的，应当迅速行动起来，通过联合开发、自主开发等多种形式，在利用信息技术实施内控审计中赢得先机。 （六）内控审计结果的利用问题。 构建政府、企业、注册会计师行业和社会有关方面有机协调、相互促进的良性互动关系，是贯彻实施企业内控基本规范和配套指引的内在要求，也是我国推进企业内控体系建设的重要创新。要实现这一目标，必须以充分利用企业内控审计结果为抓手。对政府有关部门而言，通过分析、利用企业内控审计结果，可以增强政府监督的针对性和实效性；同时，通过汇总、分析各类企业尤其是上市公司内控审计结果，发布上市公司内部控制年度综合分析报告，可以为改进宏观调控、完善资本市场提供直接有力的决策参考。对企业而言，通过反思内控审计结果尤其是内控重大缺陷，并将内控有效性情况纳入绩效考评体系，可以促进健全内控机制，培育内控文化，推动内控理念和制度深入人心、落地生根。对注册会计师行业而言，通过测试、评价企业内控有效性，由点及面、积少成多，可以丰富、充实企业内控经验教训案例库，为延伸专业服务链条，提供高端型、高附加值增值服务提供强有力的支持。对社会有关方面，包括理论界而言，内控