内部控制审计的方法

内部控制审计的方法一、PCAOB:对内部控制的审计（一）产生背景2004年3月9日美国公众公司会计监督委员会（PCA0B，以下简称委员会），为了配合审计人员对财务报表内部控制有效性评上价的审计工作批准了第2号审计准则，即《财务报表审计内部控制的审计》（以下简称准则）。委员会指出，对财务报表的内部控制进行审计是一项庞大的工程另外，维持有效的内部控制，包括定期评估，并不是无成本的，但是，委员会强调建立和完善一套内部控制制度所带来的好处是巨大的。（二）内容精要1．审计目标准则指出：财务呈报内部控制审计的目标是，对管理当局“内部控制有效性评价”发表意见，该目标分解为两个步骤：（1） 管理当局必须对主体的内部控制进行评估并得出结论；（2） 审计人员对管理当局所作评价的结论是否公允作出评价，并发表独立意见。准则指出，管理当局在财务呈报的内部控制评价过程中的责任是：（1） 对企业财务呈报的内部控制的有效性承担责任；（2） 用恰当的控制标准评估企业内部控制的有效性；3）有足够的证据（包括文件）来支持其评估结论；4）就最近财年末为止的企业内部控制的有效性作出书面的评估报如果管理当局未完成上述责任，审计人员应以书面形式与管理当局和审计委员会沟通，明确对财报内部控制的审计无法满意地完成，以致无法发表意见。2．管理层责任审计准则明确了对内部控制结果满意的前提条件。依据《萨班斯法案》404条款的要求，管理当局必须做到以下各项：（1）对公司财务报告的内部控制有效性负责；（2）按照合适的标准（如C0S0标淮）评价公司财务报告内控有效性；（3）采用充足的证据支持该评估结果；（4）在最近的财务会计年度期末提供书面的评估报告；如果审计师认定管理层未履行上述责任，那么他将不能完成财务报告的内控审计，必须放弃发表审计意见。3．管理当局的评估过程根据准则要求，管理层对内部控制评估的过程必须包括：确定哪些内部控制需要测评；评估内控失效引起财务误报的可能性；确定有多少下属单位参与内控评估；评估对所有与财务报告中重要项目和信息有关的内控设计与执行情况；确定已经发现的与财报有关的内控缺陷是否导致了严重的后果；与有关方面就发现的各种问题进行沟通；确认这些发现是否支持评估结论。但必须强调，管理层不能用审计师所采用的程序和获得的证据来支持自身对内控的评估结论。4．管理层的证明材料在确认管理层的证明材料是否支持其评估结论时，审计师应当分析这些证据是否包含如下项目：所有与财务报告中的重要项目和信息有关的判断所采用的内控设计情况；关于重要交易事项、授权、记录、处理和报告的信息；关于业务流程的充分信息，以判断哪些环节会产生错误及舞弊所导致的后果；阻止和发现舞弊的内控措施；期末财务报告的内部控制；资产保管的内部控制；管理层对内部控制的测试以及评估结果。5．了解内控情况了解针对财务报告的内部控制有效性，即询问内控的实施人员；观察他们的表现；查看内控指引；将内控指引与实际结果对照。准则指出，了解内部控制最有效的方法就是对公司的重要内控进行穿行测试。6．评价审计委员会监督的有效性准则要求审计师应当评价上市公司的审计委员工作的有效性，以此作为了解和评估公司内控环境、监测财务报告内控的组成部份，并就审计委员会的无效性与董事会进行交流。准则强调，此项评估工作是由公司董事会负责的。7．测试执行的有效性审计师每年都要测试内控的执行效果，同时还要确认内控的执行者是否具有必要的权限和能力，按部就班的实施，使内部控制制度得到不折不扣地执行。8．使用其他人员的工作成果其他人的工作包括内部审计师的工作、公司其他部门的工作、在管理层和审计委员会指导下第三方的工作等。9．评估测试结果准则要求审计师评估所有己发现的内控漏洞的严重性。通常认为下列方面存在缺陷至少是重大缺陷：会计政策的选择和应用的控制；反舞弊程序和控制；非常规和非系统交易的控制；期末会计报告编制的控制。另外下列问题至少是重大缺陷：对已经发布的财务报告中误报的修正；由注册会计师发现的当前年年报的重大误报；审计委员会的监督无效；无效的内部审计和风险评估功能，且这些功能对公司报表生成程序的可信赖性是非常关键的；被高度监管防止公司违规的措施无效，特别是一旦无效，违规违法行为就会对财务报告的可信性产生重大影响；发现高层管理任何程度的舞弊；先前发现的、已经通知公司的重大缺陷在合理期限后仍未改正；控制环境无效。10．缺陷和意见准则要求注册会计师就财务报告的内控审计发表两条意见：一条是针对管理层给出的自我评价结论；另一条是内部控制的有效性。11．季度证明准则要求注册会计师每个季度应实施一定的审计程序，确定公司根据《萨班斯法案》302条款应当披露的财务报告内控是否发生变化。如有应当与管理层进行交流并采取一定的措施。国际审计准则（ISA）6号：对会计制度和有关内控的评价（一）产生背景国际审计准则系由“国际会计师联合会”的“国际审计实务委员会”所颁布。国际审计准则与美国公证执业会计师协会的"职业道德规范"不同并非必须执行的标准。国际审计准则是为了有助于理解国际审计实务委员会的目标和工作程序，以及该委员会所发布的准则的范围和权威性而编写的。（二）内部精要《国际审计淮则6号》由9部分28条款构成，具体内容如下：第1部分：引言，主要指明了管理当局责任及准则目的。（1）《国际会计准则》规定：管理当局应负责保持合适的会计制度以组成适合于经营规模和性质的各种内部控制。审计人员应对会计制度适用性以及记录的正确性，需要有合理的确信。第2部分：主要明确了会计制度和内部控制。（1）会计制度可表述为：单位的一系列工作系统用来处理其经济，作为保持财务记录的一种手段。它应当包括对经济业务的确认、计量、分类、记账、汇总和提出报告。（3）以有效的内部控制作为补充的会计制度，能够为管理人员在保护资产、防止随意使用和处置，以及为完善财务记录、编制财务报告等提供合理依据。（4）当实行内部控制的环境影响具体的控制程序的有效性时，应当强化控制环境。第3部分：主要明确了内部控制的目的。第4部分：主要指出了内部控制的固有限制。内部控制只能为管理人员达到其目的提供合理依据。故内部控制具有局限性。如控制所付出代价不应高于因舞弊或错误所造成的可能损失；员工共谋等。第5部分：明确了审计程序。（1）审计人员对财务报告形成的意见，需要合理的确信各种经济业务都以正确记入会计记录而且无一遗漏。（2）审计人员应知道在处理经济业务和管理资产过程中那些细节会发生错弊。（3）为确信审计所依赖的内部控制是有效的，必须进行制度遵守性审计。（4）要为会计产生数据的完整性、准确性与合法性取得数据证据。（5）审计人员可以根据在执行期初数据的审计程序中所出现的错误修正先前作出的认为内部控制与他的目的相适合的评价。第6部分：主要明确了检查与初步评价。（1）审计人员应当对会计制度和有关内控进行检查，鉴定审计的效果和效能。（2）内控检查主要通过询问不同阶层人员，查对程序手册、工作说明和流程图等。（3）通过会计制度，追踪少量经济业务，可作为制度遵守性审计程序的一部分。4）审计应查明所依赖的内控是否运用于整个期间，否则应分段考虑审计程序。（6）审计人员对内控的初步评价，应当在假定的基础上作出有效地概括说明。第7部分：主要明确了制度遵守情况的审计程序。（1）审计人员必须进行制度遵守性审计程序，以获得所依赖的有效作用的证据。（2）与内控制度发生偏差，可能起因于人员变动、业务量过大、季节性波动和人为错误等因素。对此类事项审计应当提出详细的询问，特别是关键作用的人员。（3）审计应以制度遵守性审计程序结果为基础，评价内控适合性及资科可靠性。（4）如发现依赖具体内控己不适当时，应探明有无另外可依赖内控并加以修正。（5）审计人员的制度遵循性审计程序，应用于整个检查期间所选择的经济业务。第8部分：明确了如何看待小型企业的内部控制。第9部分：明确了内部控制缺陷的通知。为了委托人的利益，内审计人员对内部控制的研究与评价和其他审计程序等所得出的结果，以及内部控制中存在的缺陷，应以书面形式报告管理当局，以引起他们的注意。但要说明其检查不是试图确定内部控制对管理人员目的适当性。上述规范对我国注册会计师进行内部控制审计评价有重要借鉴意义。三、世界最高审计组织（1NT0SA1）：内部控制准则（一）产生背景为了加强财务管理并使政府部门负起应有的责任，最高审计机关国际组织（INT0SAI）成立了内部控制准则委员会。其任务就是制定一套准则来建立并维持有效的内部控制制度。该委员会在制定准则的过程中认识到这些准则不仅用于财务控制，而且可适用于所有的管理。故“内部控制”一词涵盖了广泛的管理控制概念。（二）内容精要《内部控制准则》共5章85条。具体内容如下：第一章，共六条，主要明确了内部控制目标及准则。1．内部控制目标。（1） 配合组织任务，使各项作业均能有条不紊且更经济地运作，并提高产品与服务的品质。（2） 保证资源，以避免因浪费、舞弊、管理不当、错误、欺诈及其他违法事件而造成损失。（3） 遵纪守法。遵守法律、规章及各项管理作业的规定。2．内部控制准则。这些准则构成内部控制制度的架构，其有：合理保证；支持态度；忠诚与能力；控制目标；监督控制；书面文件；交易与事件记录的迅速与适当；交易与事件的授权与执行；职能分工；督导；资源及记录的运用与财务管理责任。第二章共9条，主要明确了内部控制的标准及限制。1．有效的内部控制应符合的基本标准，有三条：（1）内部控制必须在正确地方及涉有风险的地方作适当控制。（2）内部控制在原计的期限内，必须一贯性的复合功能设计。（3）内部控制的成本不应超出所获得的效益。2．内部控制有效性的限制，有三项：（1）无论内部控制制度多严谨，仍无法保证企业均能有效率的运作记录均能万全正确的制作，无力也无法完全杜绝浪费、错误及舞弊，尤其是在某些涉有特别受权和信赖的情况下。（2）任何依赖人的内部控制，容易受设计不当、判断和解释错误、蔬忽、误解、倦怠等因素影响。（3）组织的变动与管理的方式，对内部控制制度的有效性及执行此项控制的个人具有深远影响。因此，管理当局必须不断地更新内部控制、详细说明变动所在，并建立一套控制所应遵循的典范。第三章共48条，主要探讨了六项内容：1．建立一套内部控制准则是必要的，尤其在政府部门，更须根据其规模、复杂度、业务量、相关档案的卷数、有关的法令规章等妥善拟订。2．内部控制准则可分为一般准则和详细准则。它不仅对各项作业基本的内部控制架构加以定义，也可作为拟定及评价内部控制时的标准。3．一般准则包括“合理保证”、“支持态度”、“忠诚与能力”、“控制目标”、与“执行的监控”等，为组织提供适当的环境。4．详细准则是达成控制目标的方法和程序，包括（但不限于）特定政策、工作程序、组织规划（含职务分工）及硬件防护，如门锁及火灾警报器等。5．控制应于实际应用上达成预定目标。6．有效内控所运用的控制方法，主要有五种：（1）关于书面文件的规定：内部控制制度、所有交易及重大事件均以书面形式记载，且随时可供检核；书面文件应包括组织架构、方针政策作业类别、目标及控制程序，且应附载于管理指南、行政政策、作业程序手册以及会计作业手册中。（2）关于授权与执行的规定：交易与重大事件的核准与执行必须在授权范围内才能为之。它是确保只有管理层核准的交易或事件方可进行的基本法则。（3）关于职能分工的规定：关于交易或事件的授权、处理、记录及复核，应划分每人的主要职务与责任，以减少错误、浪费和不当行为引发的风险。（4）关于督导的规定：有效而适当的督导能确保内部控制目标的达成。督导者应适当的检阅并核对分配给员工的工作，并给员工提供必要的指导与培训，以减少错识、浪费及不当行为造成的损失。（5）关于资源（记录）运用及财务管理责任的规定：各项资源（及记录）的运用，应限制由授权负责保管或使用者始可为之。为确保财务责任，各项资源应定期与记录相核对，以确保账实相符，并依资产易损性来决定核对的次数。第四章共7条，主要明确了内部控制架构。1．设置一特定机关负责制定并公布各级政府内部控制制度的定义、该内部控制制度所要达成的目标，以及设计该结构时所需遵循的准则。2．在某些国家，内部控制制度的整体目标，是由立法机关所制定，而详细的内部控制准则，则由权责机关所制定。3．不论权责机关如何，最高审计机关在内部控制制度的开发上扮演者举足轻重的角色。而此角色的扮演，不论直接或间接，应视最高审计机关的合法权责与该国家的管理系统的组织架构而定。4．如果由最高审计机关负责公布内部控制准则，则对于该准则与每一机关所各自建立的特定内部控制程序之间须有明确区分。最高审计机关负有确保受查单位的内部控制符合要求之责，而不应对任何受查单位内部控制程序的执行负责。5．在某些情况下，控制或许十分特殊，而在另一方面，特别是管理控制，而又必须更具一般性。因此，内部控制均应允许管理者有适度的裁量与执行权。以针对作业的经济与效率进行改善。6．负有权责的中央机关应随时检核其内部控制。并作必要的修正。而此内部准则及修正结果，必须有完善的书面文件记载，并立即传送到所有使用的机关。7．经立法颁布的特定内部控制准则与程序，不应