企业内部控制学（第二版）第四篇内部控制审计

1、第四篇内部控制审计 第十八章内部控制审计第十八章内部控制审计【学习目标】 本章主要介绍内部控制审计在我国的发展以及主要流程,并通过此部分的学习认识到内部控制审计的重要性及其实施要点。第一节概述第二节计划审计工作第三节实施审计工作第四节内部控制审计报告 第一节概述一、内部控制审计的基本概念 内部控制审计是指会计师事务所接受业务委托,对上市公司特定基准日内部控制设计与运行有效性进行审计,并应该在内部控制审计工作中获取充分、适当的证据,为发表内部控制审计意见提供合理保证。二、内部控制审计与财务报表审计之间的关系(一)内部控制审计和财务报告审计的一致性(二)内部控制审计和财务报告审计的区别第一,对内部

2、控制了解和测试的目的不同。第二,内部控制测试范围存在区别。第三,内部控制测试结果所要达到的可靠程度不完全相同。第四,两者对控制缺陷的评价要求不同。第五,审计报告的内容不同。三、内部控制审计的发展历程四、内部控制审计的现实意义 (1)实施内部控制审计,有利于揭示企业内部控制重大缺陷,促进企业健全内部控制体系,提升经营管理水平和风险防范能力。(2)实施内部控制审计,是提高社会认知度的需要。(3)实施内部控制审计,有利于资本市场的健康发展。(4)实施内部控制审计,有利于增强内部控制信息披露的可靠性,维护投资者的利益。(5)实施内部控制审计,有利于满足政府监管部门对资本市场监管的需要。第二节计划审计工

3、作一、签订内部控制审计业务约定书(1)内部控制审计的目标和范围;(2)注册会计师的责任;(3)被审计单位的责任;(4)指出被审计单位采用的内部控制标准;(5)提及注册会计师拟出具的内部控制审计报告的形式和内容,以及对在特定情况下出具的内部控制审计报告可能不同于预期形式和内容的说明;(6)审计收费。二、制订总体审计策略和具体审计计划(一)总体审计策略(1)确定内部控制审计业务特征,以界定审计范围。(2)明确内部控制审计业务的报告目标,以及计划审计的时间安排和所需沟通的性质。(3)根据职业判断,考虑用以指导项目组工作方向的重要因素。(4)考虑初步业务活动的结果,并考虑对被审计单位执行其他业务时获得

4、的经验是否与内部控制审计业务相关(如适用)。(5)确定执行内部控制审计业务所需资源的性质、时间安排和范围。(二)具体审计计划(1)了解和识别内部控制的程序的性质、时间安排和范围;(2)测试控制设计有效性的程序的性质、时间安排和范围;(3)测试控制运行有效性的程序的性质、时间安排和范围。 在计划具体审计工作时,注册会计师需要评价下列事项对财务报表和内部控制是否有重要影响,以及有重要影响的事项将如何影响审计工作:(1)评估管理层评估的流程。(2)评估管理层的文档记录。(3)获得对内部控制的了解。(4)识别重要会计科目。(5)识别重要的流程和主要的交易类型。(6)理解期末财务报告流程。 三、利用被审

5、计单位内部相关人员工作时的考虑第三节实施审计工作一、内部控制审计的实施思路自上而下的方法按照下列思路展开:(1)从财务报表层次初步了解内部控制整体风险;(2)识别企业层面控制;(3)识别重要账户、列报及相关认定;(4)了解错报的可能来源;(5)选择拟测试的控制。二、内部控制审计工作的实施程序(一)识别企业层面控制(1)与内部环境相关的控制。(2)针对董事会、经理层凌驾于控制之上的风险而设计的控制。(3)企业的风险评估过程。(4)对内部信息传递和财务报告流程的控制。(5)对控制有效性的内部监督和自我评价。 注册会计师应该从企业层面控制的精确度和企业层面控制的内容两方面来对企业层面内部控制进行评价

6、。1.评价企业层面控制的精确度2.评价企业层面控制的内容(1)与内部环境相关的控制。(2)针对管理层(董事会、经理层)凌驾于控制之上的风险而设计的控制。(3)企业的风险评估过程。风险评估过程包括识别与财务报告相关的经营风险和其他经营管理风险,以及针对这些风险采取的措施。(4)对内部信息传递和财务报告流程的控制。(5)对控制有效性的内部监督和自我评价。(二)在业务层面识别重要账户、列报及相关认定(1)如果某账户或列报具有合理可能性包含了一个错报,该错报单独或连同其他错报将对财务报表产生重大影响(需要同时考虑多报和少报的风险),则该账户或列报为重要账户或列报。(2)如果某财务报表认定具有合理可能性

7、包含了一个或多个错报,这个或这些错报将导致财务报表发生重大错报,则该认定为相关认定。(3)在内部控制审计中,注册会计师在识别重要账户、列报及相关认定时应当评价的风险因素,与财务报表审计中考虑的因素相同。(4)在财务报表审计中,注册会计师可能针对非重要账户、列报及相关认定实施实质性程序。(三)测试内部控制设计和运行的有效性(四)与控制相关的风险与拟获取证据的关系(1)该项控制以防止或发现并纠正的错报的性质和重要程度;(2)相关账户、列报及相关认定的固有风险;(3)相关账户或列报是否曾经出现错报;(4)交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的有效性产生不利影响;(5)企业层面控

8、制(特别是对控制有效性的内部监督和自我评价)的有效性;(6)该项控制的性质及其执行频率;(7)该项控制对其他控制(如内部环境或信息技术一般控制)有效性的依赖程度;(8)该项控制的执行或监督人员的专业胜任能力,以及其中的关键人员是否发生变化;(9)该项控制是人工控制还是自动化控制;(10)该项控制的复杂程度,以及在运行过程中依赖判断的程度。(五)评价内部控制缺陷(六)完成审计工作(1)企业董事会认可其对建立健全和有效实施内部控制负责。(2)企业已对内部控制的有效性作出自我评价,并说明评价时采用的标准以及得出的结论。(3)企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础。(4)企业已

9、向注册会计师披露识别出的所有内部控制缺陷,并单独披露其中的重大缺陷和重要缺陷。(5)企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷,是否已经采取措施予以解决。(6)企业在内部控制自我评价基准日后,内部控制是否发生重大变化,或者存在对内部控制具有重要影响的其他因素。三、实施内部控制审计时应注意的事项(一)连续审计时的特殊考虑(1)以前年度审计中所实施程序的性质、时间安排和范围;(2)以前年度对控制的测试结果;(3)上次审计之后,控制或其运行流程是否发生变化,尤其是考虑IT环境的变化。(二)对应对舞弊风险的考虑被审计单位为应对这些风险可能设计的控制包括:(1)针对重大的非常规交易的控制

10、,尤其是针对导致会计处理延迟或异常的交易的控制;(2)针对期末财务报告流程中编制的分录和作出的调整的控制;(3)针对关联方交易的控制;(4)与管理层的重大估计相关的控制;(5)能够减弱管理层和治理层伪造或不恰当操纵财务结果的动机和压力的控制。第四节内部控制审计报告一、内部控制审计报告的内容(1)标题;(2)收件人;(3)引言段;(4)企业对内部控制的责任段;(5)注册会计师的责任段;(6)内部控制固有局限性的说明段;(7)财务报告内部控制审计意见段;(8)非财务报告内部控制重大缺陷描述段;(9)注册会计师的签名和盖章;(10)会计师事务所的名称、地址及盖章;(11)报告日期。二、内部控制审计报告的意见类型 企业内部控制审计意见包括无保留意见、否定意见和无法表示意见三种类型。(一)无保留意见的内部控制审计报告 符合下列所有条件的,注册会计师应当对财务报告内部控制审计出具无保留意见的内部控制审计报告(也称标准内部控制审计