企業內部控制審計指引實施意見
企業內部控制審計指引實施意見
為了規範註冊會計師執行財務報告內部控制(以下簡稱內部控制)審計業務,明確工作要求,提高執業質量,維護公眾利益,根據中國註冊會計師審計準則、《企業內部控制基本規範》和《企業內部控制審計指引》,在整 合審計框架下,制定本意見。
目錄
1內容全文 2企業內部控制審計指引實施意見 3關於簽訂業務約定書 內部控制審計的前提條件 簽訂單獨的內部控制審計業務約定書 4關於計劃審計工作 總體審計策略 具體審計計劃 對應對舞弊風險的考慮 5關於實施審計工作 採用自上而下的方法 識別、了解和測試企業層面控制 識別重要賬戶、列報及其相關認定 了解潛在錯報的來源並識別相應的控制
選擇擬測試的控制 測試控制設計的有效性 測試控制運行的有效性 與控制相關的風險和擬獲取的審計證據之間的關係 測試控制有效性的程序 控制測試的涵蓋期間 控制測試的時間安排 控制測試的範圍 控制變更時的特殊考慮 利用他人的工作 對被審計單位使用服務機構的考慮 6關於連續審計時的特殊考慮 影響連續審計中與某項控制相關風險的因素 對自動化應用控制實施與基準相比較的策略
中國註冊會計師協會關於印發《企業內部控制審計指引實施意見》的通知
(會協〔2011〕66號)
各省、自治區、直轄市註冊會計師協會:
為了規範註冊會計師執行內部控制審計業務,明確工作要求,提高執業質量,維護公眾利益,我會制定了《企業內部控制審計指引實施意見》,現予印發,自2012年1月1日起施行。執行中有何問題,請及時反饋我會。
附件:企業內部控制審計指引實施意見
中國註冊會計師協會二○一一年十月十一日
附件:
企業內部控制審計指引實施意見
為了規範註冊會計師執行財務報告內部控制(以下簡稱內部控制)審計業務,明確工作要求,提高執業質量,維護公眾利益,根據中國註冊會計師審計準則、《企業內部控制基本規範》和《企業內部控制審計指引》,在整合審計框架下,制定本意見。
一、關於簽訂業務約定書
只有當內部控制審計的前提條件得到滿足,並且會計師事務所符合獨立性要求,具備專業勝任能力時,會計師事務所才能接受或保持內部控制審計業務。
(一)內部控制審計的前提條件
在確定內部控制審計的前提條件是否得到滿足時,註冊會計師應當:
(1)確定被審計單位採用的內部控制標準是否適當;
(2)就被審計單位認可並理解其責任與治理層和管理層達成一致意見。
被審計單位的責任包括:
(1)按照適用的內部控制標準,建立健全和有效實施內部控制,以使財務報表不存在由於舞弊或錯誤導致的重大錯報;
(2)對內部控制的有效性進行評價並編製內部控制評價報告;
(3)向註冊會計師提供必要的工作條件,包括允許註冊會計師接觸與內部控制審計相關的所有信息(如記錄、文件和其他事項),
允許註冊會計師在獲取審計證據時不受限制地接觸其認為必要的內部人員和其他相關人員等。
(二)簽訂單獨的內部控制審計業務約定書
如果決定接受或保持內部控制審計業務,會計師事務所應當與被審計單位簽訂單獨的內部控制審計業務約定書。業務約定書應當至少包括下列內容:
(1)內部控制審計的目標和範圍;
(2)註冊會計師的責任;
(3)被審計單位的責任;
(4)指出被審計單位採用的內部控制標準;
(5)提及註冊會計師擬出具的內部控制審計報告的形式和內容,以及對在特定情況下出具的內部控制審計報告可能不同於預期形式和內容的說明;
(6)審計收費。
二、關於計劃審計工作
註冊會計師應當貫徹風險導向審計的思路,恰當地計劃內部控制審計工作,制訂總體審計策略和具體審計計劃。
(一)總體審計策略
註冊會計師應當在總體審計策略中體現下列內容:
(1)確定內部控制審計業務特徵,以界定審計範圍。例如,被審計單位採用的內部控制標準、註冊會計師預期內部控制審計工作涵蓋的範圍、對組成部分註冊會計師工作的參與程度、註冊會計師對被審計單位內部控制評價工作的了解以及擬利用被審計單位內部相關人員工作的程度等。
對於按照權益法核算的投資,內部控制審計範圍應當包括針對權益法下相關會計處理而實施的內部控制,但通常不包括針對權益法下被投資方的內部控制。
內部控制審計範圍應當包括被審計單位在內部控制評價基準日(最近一個會計期間截止日,以下簡稱基準日)或在此之前收購的實體,以及在基準日作為終止經營進行會計處理的業務。註冊會計師應當確定是否有必要對與這些實體或業務相關的控制實施測試。
如果法律法規的相關豁免規定允許被審計單位不將某些實體納入內部控制評價範圍,註冊會計師可以不將這些實體納入內部控制審計的範圍。
(2)明確內部控制審計業務的報告目標,以計劃審計的時間安排和所需溝通的性質。例如,被審計單位對外公布或報送內部控制審計報告的時間、註冊會計師與管理層和治理層討論內部控制審計工作的性質、時間安排和範圍,註冊會計師與管理層和治理層討論擬出具內部控制審計報告的類型和時間安排以及溝通的其他事項等。
(3)根據職業判斷,考慮用以指導項目組工作方向的重要因素。例如,財務報表整體的重要性和實際執行的重要性、初步識別的可能存在重大錯報的風險領域、內部控制最近發生變化的程度、與被審計單位溝通過的內部控制缺陷、對內部控制有效性的初步判斷、信息技術和業務流程的變化等。
(4)考慮初步業務活動的結果,並考慮對被審計單位執行其他業務時獲得的經驗是否與內部控制審計業務相關(如適用)。
(5)確定執行內部控制審計業務所需資源的性質、時間安排和範圍。例如,項目組成員的選擇以及對項目組成員審計工作的分派,項目時間預算等。
(二)具體審計計劃
註冊會計師應當在具體審計計劃中體現下列內容:
(1)了解和識別內部控制的程序的性質、時間安排和範圍;
(2)測試控制設計有效性的程序的性質、時間安排和範圍;
(3)測試控制運行有效性的程序的性質、時間安排和範圍。
(三)對應對舞弊風險的考慮
在計劃和實施內部控制審計工作時,註冊會計師應當考慮財務報表審計中對舞弊風險的評估結果。在識別和測試企業層面控制以及選擇其他控制進行測試時,註冊會計師應當評價被審計單位的內部控制是否足以應對識別出的、由於舞弊導致的重大錯報風險,並評價為應對管理層和治理層凌駕於控制之上的風險而設計的控制。
被審計單位為應對這些風險可能設計的控制包括:
(1)針對重大的非常規交易的控制,尤其是針對導致會計處理延遲或異常的交易的控制;
(2)針對期末財務報告流程中編製的分錄和作出的調整的控制;
(3)針對關聯方交易的控制;
(4)與管理層的重大估計相關的控制;
(5)能夠減弱管理層和治理層偽造或不恰當操縱財務結果的動機和壓力的控制。
如果在內部控制審計中識別出旨在防止或發現並糾正舞弊的控制存在缺陷,註冊會計師應當按照《中國註冊會計師審計準則第1141號--財務報表審計中與舞弊相關的責任》的規定,在財務報表審計
中制定重大錯報風險的應對方案時考慮這些缺陷。
三、關於實施審計工作
(一)採用自上而下的方法
註冊會計師應當採用自上而下的方法選擇擬測試的控制。
自上而下的方法始於財務報表層次,以註冊會計師對內部控制整體風險的了解開始,然後,將關注重點放在企業層面的控制上,並將工作逐漸下移至重要賬戶、列報及其相關認定。隨後,驗證其對被審計單位業務流程中風險的了解,並選擇能足以應對評估的每個相關認定的重大錯報風險的控制進行測試。
自上而下的方法分為下列步驟:
(1)從財務報表層次初步了解內部控制整體風險;
(2)識別、了解和測試企業層面控制;
(3)識別重要賬戶、列報及其相關認定;
(4)了解潛在錯報的來源並識別相應的控制;
(5)選擇擬測試的控制。
本部分第(二)至(五)對自上而下的方法的各個步驟進行了規定,第(六)至(十三)對控制有效性測試進行了規定。
(二)識別、了解和測試企業層面控制
註冊會計師應當識別、了解和測試對內部控制有效性有重要影響的企業層面控制。註冊會計師對企業層面控制的評價,可能增加或減少本應對其他控制進行的測試。
1. 企業層面控制對其他控制及其測試的影響
不同的企業層面控制在性質和精確度上存在差異,註冊會計師應當從下列方面考慮這些差異對其他控制及其測試的影響:
(1)某些企業層面控制,如與控制環境相關的控制,對及時防止或發現並糾正相關認定的錯報的可能性有重要影響。雖然這種影響是間接的,但這些控制仍然可能影響註冊會計師擬測試的其他控制,以及測試程序的性質、時間安排和範圍。
(2)某些企業層面控制旨在識別其他控制可能出現的失效情況,能夠監督其他控制的有效性,但還不足以精確到及時防止或發現並糾正相關認定的錯報。當這些控制運行有效時,註冊會計師可以減少對其他控制的測試。
(3)某些企業層面控制本身能夠精確到足以及時防止或發現並糾正相關認定的錯報。如果一項企業層面控制足以應對已評估的錯報風險,註冊會計師就不必測試與該風險相關的其他控制。
2. 企業層面控制的內容
企業層面控制包括下列內容:
(1)與控制環境(即內部環境)相關的控制;
(2)針對管理層和治理層凌駕於控制之上的風險而設計的控制;
(3)被審計單位的風險評估過程;
(4)對內部信息傳遞和期末財務報告流程的控制;
(5)對控制有效性的內部監督(即監督其他控制的控制)和內部控制評價。
此外,集中化的處理和控制(包括共享的服務環境)、監控經營成果的控制以及針對重大經營控制及風險管理實務的政策也屬於企業層面控制。
3. 對期末財務報告流程的評價
期末財務報告流程對內部控制審計和財務報表審計有重要影響,註冊會計師應當對期末財務報告流程進行評價。
期末財務報告流程包括:
(1)將交易總額登入總分類賬的程序;
(2)與會計政策的選擇和運用相關的程序;
(3)總分類賬中會計分錄的編製、批准等處理程序;
(4)對財務報表進行調整的程序;
(5)編製財務報表的程序。
註冊會計師應當從下列方面評價期末財務報告流程:
(1)被審計單位財務報表的編製流程,包括輸入、處理及輸出;
(2)期末財務報告流程中運用信息技術的程度;
(3)管理層中參與期末財務報告流程的人員;
(4)納入財務報表編製範圍的組成部分;
(5)調整分錄及合併分錄的類型;
(6)管理層和治理層對期末財務報告流程進行監督的性質及範圍。
(三)識別重要賬戶、列報及其相關認定
註冊會計師應當基於財務報表層次識別重要賬戶、列報及其相關認定。
如果某賬戶或列報可能存在一個錯報,該錯報單獨或連同其他錯報將導致財務報表發生重大錯報,則該賬戶或列報為重要賬戶或列報。判斷某賬戶或列報是否重要,應當依據其固有風險,而不應考慮相關控制的影響。
如果某財務報表認定可能存在一個或多個錯報,這些錯報將導致財務報表發生重大錯報,則該認定為相關認定。判斷某認定是否為相關認定,應當依據其固有風險,而不應考慮相關控制的影響。
為識別重要賬戶、列報及其相關認定,註冊會計師應當從下列方面評價財務報表項目及附註的錯報風險因素:
(1)賬戶的規模和構成;
(2)易於發生錯報的程度;
(3)賬戶或列報中反映的交易的業務量、複雜性及同質性;
(4)賬戶或列報的性質;
(5)與賬戶或列報相關的會計處理及報告的複雜程度;
(6)賬戶發生損失的風險;
(7)賬戶或列報中反映的活動引起重大或有負債的可能性;
(8)賬戶記錄中是否涉及關聯方交易;
(9)賬戶或列報的特徵與前期相比發生的變化。
在識別重要賬戶、列報及其相關認定時,註冊會計師還應當確定重大錯報的可能來源。註冊會計師可以通過考慮在特定的重要賬戶或列報中錯報可能發生的領域和原因,確定重大錯報的可能來源。
在內部控制審計中,註冊會計師在識別重要賬戶、列報及其相關認定時應當評價的風險因素,與財務報表審計中考慮的因素相同。因此,在這兩種審計中識別的重要賬戶、列報及其相關認定應當相同。
如果某賬戶或列報的各組成部分存在的風險差異較大,被審計單位可能需要採用不同的控制以應對這些風險,註冊會計師應當分別予以考慮。
(四)了解潛在錯報的來源並識別相應的控制
註冊會計師應當實現下列目標,以進一步了解潛在錯報的來源,並為選擇擬測試的控制奠定基礎:
(1)了解與相關認定有關的交易的處理流程,包括這些交易如何生成、批准、處理及記錄;
(2)驗證註冊會計師識別出的業務流程中可能發生重大錯報(包括由於舞弊導致的錯報)的環節;
(3)識別被審計單位用於應對這些錯報或潛在錯報的控制;
(4)識別被審計單位用於及時防止或發現並糾正未經授權的、導致重大錯報的資產取得、使用或處置的控制。
註冊會計師應當親自執行能夠實現上述目標的程序,或對提供直接幫助的人員的工作進行督導。
穿行測試通常是實現上述目標的最有效方式。穿行測試是指追蹤某筆交易從發生到最終被反映在財務報表中的整個處理過程。註冊會計師在執行穿行測試時,通常需要綜合運用詢問、觀察、檢查相關文件及重新執行等程序。
在執行穿行測試時,針對重要處理程序發生的環節,註冊會計師可以詢問被審計單位員工對規定程序及控制的了解程度。實施詢問程序連同穿行測試中的其他程序,可以幫助註冊會計師充分了解業務流程,識別必要控制設計無效或出現缺失的重要環節。為有助於了解業務流程處理的不同類型的重大交易,在實施詢問程序時,註冊會計師不應局限於關注穿行測試所選定的單筆交易。
(五)選擇擬測試的控制
註冊會計師應當針對每一相關認定獲取控制有效性的審計證據,以便對內部控制整體的有效性發表意見,但沒有責任對單項控制的有效性發表意見。
註冊會計師應當對被審計單位的控制是否足以應對評估的每個相關認定的錯報風險形成結論。因此,註冊會計師應當選擇對形成這一評價結論具有重要影響的控制進行測試。
對特定的相關認定而言,可能有多項控制用以應對評估的錯報風險;反之,一項控制也可能應對評估的多項相關認定的錯報風險。註冊會計師沒有必要測試與某項相關認定有關的所有控制。
在確定是否測試某項控制時,註冊會計師應當考慮該項控制單獨或連同其他控制,是否足以應對評估的某項相關認定的錯報風險,而不論該項控制的分類和名稱如何。
(六)測試控制設計的有效性
註冊會計師應當測試控制設計的有效性。
如果某項控制由擁有有效執行控制所需的授權和專業勝任能力的人員按規定的程序和要求執行,能夠實現控制目標,從而有效地防止或發現並糾正可能導致財務報表發生重大錯報的錯誤或舞弊,則表明該項控制的設計是有效的。
(七)測試控制運行的有效性
註冊會計師應當測試控制運行的有效性。
如果某項控制正在按照設計運行、執行人員擁有有效執行控制所需的授權和專業勝任能力,能夠實現控制目標,則表明該項控制的運行是有效的。
如果被審計單位利用第三方的幫助完成一些財務報告工作,註冊會計師在評價負責財務報告及相關控制的人員的專業勝任能力時,可以一併考慮第三方的專業勝任能力。
註冊會計師獲取的有關控制運行有效性的審計證據包括:
(1)控制在所審計期間的相關時點是如何運行的;
(2)控制是否得到一貫執行;
(3)控制由誰或以何種方式執行。
(八)與控制相關的風險和擬獲取的審計證據之間的關係
在測試所選定控制的有效性時,註冊會計師應當根據與控制相關的風險,確定所需獲取的審計證據。
與控制相關的風險包括一項控制可能無效的風險,以及如果該控制無效,可能導致重大缺陷的風險。與控制相關的風險越高,註冊會計師需要獲取的審計證據就越多。
下列因素影響與某項控制相關的風險:
(1)該項控制擬防止或發現並糾正的錯報的性質和重要程度;
(2)相關賬戶、列報及其認定的固有風險;
(3)交易的數量和性質是否發生變化,進而可能對該項控制設計或運行的有效性產生不利影響;
(4)相關賬戶或列報是否曾經出現錯報;
(5)企業層面控制(特別是監督其他控制的控制)的有效性;
(6)該項控制的性質及其執行頻率;
(7)該項控制對其他控制(如控制環境或信息技術一般控制)有效性的依賴程度;
(8)執行該項控制或監督該項控制執行的人員的專業勝任能力,以及其中的關鍵人員是否發生變化;
(9)該項控制是人工控制還是自動化控制;
(10)該項控制的複雜程度,以及在運行過程中依賴判斷的程度。
(九)測試控制有效性的程序
註冊會計師通過測試控制有效性獲取的審計證據,取決於其實施程序的性質、時間安排和範圍的組合。此外,就單項控制而言,註冊會計師應當根據與控制相關的風險對測試程序的性質、時間安排和範圍進行適當的組合,以獲取充分、適當的審計證據。
註冊會計師測試控制有效性的程序,按其提供審計證據的效力,由弱到強排序通常為:詢問、觀察、檢查和重新執行。詢問本身並不能為得出控制是否有效的結論提供充分、適當的審計證據。
測試控制有效性的程序,其性質在很大程度上取決於擬測試控制的性質。某些控制可能存在反映控制有效性的文件記錄,而另外一些控制,如管理理念和經營風格,可能沒有書面的運行證據。
對缺乏正式的控制運行證據的被審計單位或業務單元,註冊會計師可以通過詢問並結合運用其他程序,如觀察活動、檢查非正式的書面記錄和重新執行某些控制,獲取有關控制是否有效的充分、適當的審計證據。
註冊會計師在測試控制設計的有效性時,應當綜合運用詢問適當人員、觀察經營活動和檢查相關文件等程序。註冊會計師執行穿行測試通常足以評價控制設計的有效性。
註冊會計師在測試控制運行的有效性時,應當綜合運用詢問適當人員、觀察經營活動、檢查相關文件以及重新執行等程序。
(十)控制測試的涵蓋期間
對控制有效性的測試涵蓋的期間越長,提供的控制有效性的審計證據越多。
單就內部控制審計業務而言,註冊會計師應當獲取內部控制在基準日之前一段足夠長的期間內有效運行的審計證據。在整合審計中,控制測試所涵蓋的期間應當盡量與財務報表審計中擬信賴內部控制的期間保持一致。
註冊會計師執行內部控制審計業務旨在對基準日內部控制有效性出具報告。如果已獲取有關控制在期中運行有效性的審計證據,註冊會計師應當確定還需要獲取哪些補充審計證據,以證實剩餘期間控制的運行情況。在將期中測試結果更新至基準日時,註冊會計師應當考慮下列因素以確定需要獲取的補充審計證據:
(1)基準日之前測試的特定控制,包括與控制相關的風險、控制的性質和測試的結果;
(2)期中獲取的有關審計證據的充分性和適當性;
(3)剩餘期間的長短;
(4)期中測試之後,內部控制發生重大變化的可能性。
針對所有重要賬戶和列報的每個相關認定,註冊會計師應當獲取控制有效性的審計證據。《中國註冊會計師審計準則第1231號--針對評估的重大錯報風險採取的應對措施》第十四條提及的“三年輪換測試”不適用(本意見第四部分提及的與基準相比較的策略除外)。
(十一)控制測試的時間安排
對控制有效性測試的實施時間越接近基準日,提供的控制有效性的審計證據越有力。為了獲取充分、適當的審計證據,註冊會計師應當在下列兩個因素之間作出平衡,以確定測試的時間:
(1)盡量在接近基準日實施測試;
(2)實施的測試需要涵蓋足夠長的期間。
整改后的內部控制需要在基準日之前運行足夠長的時間,註冊會計師才能得出整改后的內部控制是否有效的結論。因此,在接受或保持內部控制審計業務時,註冊會計師應當儘早與被審計單位溝通這一情況,併合理安排控制測試的時間,留出提前量。例如,註冊會計師在基準日前3個月完成期中測試工作。此外,由於對企業層面控制的評價結果將影響註冊會計師測試其他控制的性質、時間安排和範圍,註冊會計師可以考慮在執行業務的早期階段對企業層面控制進行測試。
(十二)控制測試的範圍
註冊會計師在測試控制的運行有效性時,應當在考慮與控制相關的風險的基礎上,確定測試的範圍(樣本規模)。
註冊會計師確定的測試範圍,應當足以使其獲取充分、適當的審計證據,為基準日內部控制是否不存在重大缺陷提供合理保證。
1.測試人工控制的最小樣本規模
在測試人工控制時,如果採用檢查或重新執行程序,註冊會計師測試的最小樣本量區間參見表1。
表1:測試人工控制的最小樣本量區間
控制運行 頻率 | 控制運行總次數 | 測試的最小樣本量區間 |
| 每年1次 | 1 | 1 |
| 每季1次 | 4 | 2 |
| 每月1次 | 12 | 2-5 |
| 每周1次 | 52 | 5-15 |
| 每天1次 | 250 | 20-40 |
| 每天多次 | 大於250次 | 25-60 |
在運用表1時,註冊會計師應當注意下列事項:
(1)測試的最小樣本量是指所需測試的控制運行次數;
(2)註冊會計師應當根據與控制相關的風險,基於最小樣本量區間確定具體的樣本規模;
(3)表1假設控制的運行偏差率預期為零。如果預期偏差率不為零,註冊會計師應當擴大樣本規模;
(4)如果註冊會計師不能確定控制運行頻率,但是知道控制運行總次數,仍可根據“控制運行總次數”一列確定測試的最小樣本規模。
2. 測試自動化應用控制的最小樣本規模
信息技術處理具有內在一貫性。在信息技術一般控制有效的前提下,除非系統發生變動,註冊會計師只要對自動化應用控制的運行測試一次,即可得出所測試自動化應用控制是否運行有效的結論。
3.發現偏差時的處理
如果發現控制偏差,註冊會計師應當確定其對下列事項的影響:
(1)與所測試控制相關的風險的評估;
(2)需要獲取的審計證據;
(3)控制運行有效性的結論。
評價控制偏差的影響需要註冊會計師運用職業判斷,並受到控制的性質和所發現偏差數量的影響。如果發現的控制偏差是系統性偏差或人為有意造成的偏差,註冊會計師應當考慮舞弊的可能跡象以及對審計方案的影響。
在評價控制測試中發現的某項控制偏差是否為控制缺陷時,註冊會計師可以考慮的因素包括:
(1)該偏差是如何被發現的。例如,如果某控制偏差是被另外一項控制所發現的,則可能意味著被審計單位存在有效的發現性控制。
(2)該偏差是與某一特定的地點、流程或應用系統相關,還是對被審計單位有廣泛影響。
(3)就被審計單位的內部政策而言,該控制出現偏差的嚴重程度。例如,某項控制在執行上晚於被審計單位政策要求的時間,但仍在編製財務報表之前得以執行,還是該項控制根本沒有得以執行。
(4)與控制運行頻率相比,偏差發生的頻率大小。
由於有效的內部控制不能為實現控制目標提供絕對保證,單項控制並非一定要毫無偏差地運行,才被認為有效。在按照表1所列示的樣本規模進行測試的情況下,如果發現控制偏差,註冊會計師應當考慮偏差的原因及性質,並考慮採用擴大樣本量等適當的應對措施以判斷該偏差是否對總體不具有代表性。例如,對每日發生多次的控制,如果初始樣本量為25個,當測試發現一項控制偏差,且該偏差不是系統性偏差時,註冊會計師可以擴大樣本規模進行測試,所增加的樣本量至少為15個。如果測試后再次發現偏差,則註冊會計師可以得出該控制無效的結論。如果擴大樣本量沒有再次發現偏差,則註冊會計師可以得出控制有效的結論。
(十三)控制變更時的特殊考慮
在基準日之前,被審計單位可能為提高控制效率、效果或彌補控制缺陷而改變控制。
對內部控制審計而言,如果新控制實現了相關控制目標,且運行了足夠長的時間,使註冊會計師能夠通過對該控制進行測試評價其設計和運行的有效性,則無需測試被取代的控制。
對財務報表審計而言,如果被取代控制的運行有效性對控制風險的評估有重大影響,註冊會計師應當測試被取代控制的設計和運行的有效性。
(十四)利用他人的工作
註冊會計師應當評估是否利用他人(包括被審計單位的內部審計人員、內部控制評價人員和其他人員以及在管理層或治理層指導下的第三方)的工作以及利用的程度,以減少可能本應由註冊會計師執行的工作。如果他人的工作能夠提供有關內部控制有效性的審計證據,註冊會計師可以利用其工作或者提供的直接幫助。
註冊會計師應當參照《中國註冊會計師審計準則第1411號--利用內部審計人員的工作》的規定,評價他人的專業勝任能力和客觀性,以確定可利用的程度。
在評價他人的專業勝任能力時,註冊會計師應當考慮其專業資格、專業經驗與技能等相關因素。在評價他人的客觀性時,註冊會計師應當考慮是否存在某些因素,將削弱或者增強其客觀性。
無論他人的專業勝任能力如何,註冊會計師都不應利用客觀程度低的人員的工作。同樣,無論他人的客觀程度如何,註冊會計師都不應利用專業勝任能力低的人員的工作。
被審計單位內部負責監督、稽核或合規工作的人員,如內部審計人員,通常擁有較高的專業勝任能力和客觀性。他們的工作可能對註冊會計師有用。
註冊會計師利用他人工作的程度還受到與所測試控制相關的風險的影響。與某項控制相關的風險越高,註冊會計師應當越多地親自對該項控制進行測試。
在識別、了解和測試企業層面控制時,註冊會計師不得利用他人的工作。
(十五)對被審計單位使用服務機構的考慮
如果服務機構提供的服務和對服務的控制,構成被審計單位與財務報告相關的信息系統(包括相關業務流程)的一部分,註冊會計師應當按照《中國註冊會計師審計準則第1241號--對被審計單位使用服務機構的考慮》的規定辦理。
註冊會計師在對被審計單位內部控制的有效性發表意見時,不應在內部控制審計報告中提及服務機構註冊會計師的報告。
四、關於連續審計時的特殊考慮
在連續審計中,註冊會計師在確定測試的性質、時間安排和範圍時,應當考慮以前年度執行內部控制審計所了解的情況。
(一)影響連續審計中與某項控制相關風險的因素
除本意見第三部分第(八)項“與控制相關的風險和擬獲取的審計證據之間的關係”所列因素外,下列因素也會影響連續審計中與某項控制相關的風險:
(1)以前年度審計中所實施程序的性質、時間安排和範圍;
(2)以前年度對控制的測試結果以及以前年度發現的缺陷是否得以整改;
(3)上次審計之後,控制或其運行所處的流程是否發生變化。
在考慮本意見所列的風險因素,以及連續審計中可獲取的進一步信息后,如果認為與控制相關的風險水平比以前年度有所下降,註冊會計師在本年度審計中可以減少測試。
(二)對自動化應用控制實施與基準相比較的策略
在連續審計中,由於完全自動化的應用控制通常不會因人為失誤而失效,因此,註冊會計師可以考慮對自動化應用控制實施與基準相比較的策略。
與基準相比較的策略,是指如果認為程序變更、訪問許可權及計算機操作方面的一般控制有效,且可持續對其進行測試,並能證實自動化應用控制自最近一次測試之後未發生變化,則可將最近一次測試設為基準,在以後年度測試時,註冊會計師不必重複執行測試,只需將該年的情況與基準相比較,就可以認為自動化應用控制是持續有效的。
註冊會計師為證實控制未發生變化而需獲取審計證據的性質和範圍,可能隨情況的變化而變化。例如,被審計單位程序變更控制的強弱將影響需獲取審計證據的性質和範圍。
自動化應用控制能否一貫有效地運行可能取決於所使用的相關文件、表格、數據和參數的正確性。例如,計算利息收入的自動化應用控制,其運行的有效性可能取決於使用的利率表的正確性。
註冊會計師應當在評價下列風險因素的基礎上,確定是否使用與基準相比較的策略:
(1)應用控制與相關應用程序直接對應的程度;
(2)應用系統的穩定性,即各期間的變化大小;
(3)有關投入使用的程序編譯日期的信息的可獲得性和可靠性(該信息可作為此程序中的控制未發生變化的審計證據)。
當上述因素表明風險較低時,對所評價的控制可能比較適合使用與基準相比較的策略。反之,不宜使用與基準相比較的策略。但是基礎數據的準確性與完整性,以及依賴系統的人工控制部分不適用與基準相比較的策略。
在一段時期之後,註冊會計師應當重新設置自動化應用控制運行的基準。在確定何時重設基準時,註冊會計師應當考慮下列因素:
(1)信息技術控制環境的有效性,包括針對應用及操作系統和資料庫系統的取得與維護、訪問許可權以及計算機操作而實施控制的有效性;
(2)如果包含控制的具體程序發生變化,註冊會計師對該變化性質的了解;
(3)其他相關測試的性質和時間;
(4)相關應用控制發生錯誤導致的後果;
(5)控制是否易於受到其他可能變化的經營因素的影響。
(三)增加測試的不可預見性
為使對控制有效性的測試具有不可預見性並能夠應對環境的變化,註冊會計師應當每年改變測試的性質、時間安排和範圍。
註冊會計師可以每年在期中不同的時間測試控制,並增加或減少所執行測試的數量和種類,或者改變所使用測試程序的組合。
五、關於集團審計的特殊考慮
(一)識別重要賬戶、列報及其相關認定
在執行集團內部控制審計業務時,註冊會計師應當基於集團財務報表識別重要賬戶、列報及其相關認定。
(二)確定對組成部分執行的工作
1.一般原則
在執行集團內部控制審計業務時,註冊會計師應當採用自上而下的方法,合理運用職業判斷,確定對組成部分執行的工作。
註冊會計師應當評估與組成部分相關的導致集團財務報表發生重大錯報的風險,並根據其風險程度給予相應的審計關注。
在評估與某組成部分相關的導致集團財務報表發生重大錯報的風險時,註冊會計師應當考慮的因素包括:
(1)以前執行的與該組成部分內部控制相關的審計工作的結果;
(2)影響該組成部分重要賬戶的固有風險;
(3)從財務數據角度看,該組成部分的相對重要程度;
(4)風險在各組成部分間的分佈(即風險分佈於數量眾多的小規模組成部分,還是分佈於數量較少但規模較大的組成部分);
(5)組成部分之間業務經營和內部控制的類似程度;
(6)業務流程和財務報告系統的集中化程度;
(7)該組成部分執行交易及相關資產的性質和金額;
(8)該組成部分存在重大未確認義務的可能性;
(9)測試集團企業層面控制的結果,包括控制環境、集團對組成部分實施的監控活動及在組成部分層面運行的企業層面控制的有效性。
2.對重要組成部分執行的工作
註冊會計師應當按照《中國註冊會計師審計準則第1401號--對集團財務報表審計的特殊考慮》的規定,確定重要組成部分。重要組成部分包括:(1)對集團具有財務重大性的組成部分(以下簡稱具有財務重大性的組成部分);(2)由於其特定性質和情況,可能存在導致集團財務報表發生重大錯報的特別風險的組成部分(以下簡稱具有特別風險的組成部分)。註冊會計師應當對重要組成部分的重要賬戶、列報及其相關認定的內部控制實施測試。
(1)對具有財務重大性的組成部分執行的工作
對於具有財務重大性的組成部分,除非通過實施下列測試工作能夠獲取有關控制有效性的充分、適當的審計證據,註冊會計師應當測試該組成部分內與重要賬戶、列報及其相關認定相關的業務流程、應用系統或交易層面的內部控制的有效性:
①對整個集團企業層面控制和該組成部分企業層面控制(包括界於組成部分和整個集團之間層次的其他企業層面控制,下同)的測試;
②對除該組成部分以外的其他組成部分相同賬戶、列報及其相關認定的內部控制已實施的測試。
(2)對具有特別風險的組成部分執行的工作
對具有特別風險的組成部分,註冊會計師應當測試針對該項特別風險的控制。
3.對其他組成部分執行的工作
對於重要組成部分以外的其他組成部分,如果存在重要賬戶、列報及其相關認定,註冊會計師應當首先評價對整個集團企業層面控制和該組成部分企業層面控制的測試以及針對重要組成部分相同的賬戶、列報及其相關認定的內部控制已實施的測試能否提供充分、適當的審計證據。如果不能提供充分、適當的審計證據,註冊會計師應當選擇適當數量的其他組成部分,測試與該重要賬戶、列報及其相關認定相關的業務流程、應用系統或交易層面的控制,直至能夠獲取充分、適當的審計證據為止。
六、關於控制缺陷評價
(一)控制缺陷的分類
內部控制存在的缺陷包括設計缺陷和運行缺陷。
設計缺陷是指缺少為實現控制目標所必需的控制,或現有控制設計不適當、即使正常運行也難以實現預期的控制目標。
運行缺陷是指現存設計適當的控制沒有按設計意圖運行,或執行人員沒有獲得必要授權或缺乏勝任能力,無法有效地實施內部控制。
內部控制存在的缺陷,按其嚴重程度分為重大缺陷、重要缺陷和一般缺陷。
重大缺陷是內部控制中存在的、可能導致不能及時防止或發現並糾正財務報表出現重大錯報的一項控制缺陷或多項控制缺陷的組合。
重要缺陷是內部控制中存在的、其嚴重程度不如重大缺陷但足以引起負責監督被審計單位財務報告的人員(如審計委員會或類似機構)關注的一項控制缺陷或多項控制缺陷的組合。
一般缺陷是內部控制中存在的、除重大缺陷和重要缺陷之外的控制缺陷。
(二)評價控制缺陷的嚴重程度
註冊會計師應當評價其識別的各項控制缺陷的嚴重程度,以確定這些缺陷單獨或組合起來,是否構成內部控制的重大缺陷。但是,在計劃和實施審計工作時,不要求註冊會計師尋找單獨或組合起來不構成重大缺陷的控制缺陷。
控制缺陷的嚴重程度取決於:
(1)控制不能防止或發現並糾正賬戶或列報發生錯報的可能性的大小;
(2)因一項或多項控制缺陷導致的潛在錯報的金額大小。
控制缺陷的嚴重程度與錯報是否發生無關,而取決於控制不能防止或發現並糾正錯報的可能性的大小。
在評價一項控制缺陷或多項控制缺陷的組合是否可能導致賬戶或列報發生錯報時,註冊會計師應當考慮的風險因素包括:
(1)所涉及的賬戶、列報及其相關認定的性質;
(2)相關資產或負債易於發生損失或舞弊的可能性;
(3)確定相關金額時所需判斷的主觀程度、複雜程度和範圍;
(4)該項控制與其他控制的相互作用或關係;
(5)控制缺陷之間的相互作用;
(6)控制缺陷在未來可能產生的影響。
評價控制缺陷是否可能導致錯報時,註冊會計師無需將錯報發生的概率量化為某特定的百分比或區間。
如果多項控制缺陷影響財務報表的同一賬戶或列報,錯報發生的概率會增加。在存在多項控制缺陷時,即使這些缺陷從單項看不重要,但組合起來也可能構成重大缺陷。因此,註冊會計師應當確定,對同一重要賬戶、列報及其相關認定或內部控制要素產生影響的各項控制缺陷,組合起來是否構成重大缺陷。
在評價因一項或多項控制缺陷導致的潛在錯報的金額大小時,註冊會計師應當考慮的因素包括:
(1)受控制缺陷影響的財務報表金額或交易總額;
(2)在本期或預計的未來期間受控制缺陷影響的賬戶餘額或各類交易涉及的交易量。
在評價潛在錯報的金額大小時,賬戶餘額或交易總額的最大多報金額通常是已記錄的金額,但其最大少報金額可能超過已記錄的金額。通常,小金額錯報比大金額錯報發生的概率更高。
在確定一項控制缺陷或多項控制缺陷的組合是否構成重大缺陷時,註冊會計師應當評價補償性控制的影響。在評價補償性控制是否能夠彌補控制缺陷時,註冊會計師應當考慮補償性控制是否有足夠的
精確度以防止或發現並糾正可能發生的重大錯報。
(三)表明可能存在重大缺陷的跡象
如果註冊會計師確定發現的一項控制缺陷或多項控制缺陷的組合將導致審慎的管理人員在執行工作時,認為自身無法合理保證按照適用的財務報告編製基礎記錄交易,應當將這一項控制缺陷或多項控制缺陷的組合視為存在重大缺陷的跡象。下列跡象可能表明內部控制存在重大缺陷:
(1)註冊會計師發現董事、監事和高級管理人員的任何舞弊;
(2)被審計單位重述以前公布的財務報表,以更正由於舞弊或錯誤導致的重大錯報;
(3)註冊會計師發現當期財務報表存在重大錯報,而被審計單位內部控制在運行過程中未能發現該錯報;
(4)審計委員會和內部審計機構對內部控制的監督無效。
(四)被審計單位對存在缺陷的控制進行整改
如果被審計單位在基準日前對存在缺陷的控制進行了整改,整改后的控制需要運行足夠長的時間,才能使註冊會計師得出其是否有效的審計結論。註冊會計師應當根據控制的性質和與控制相關的風險,合理運用職業判斷,確定整改后控制運行的最短期間(或整改后控制的最少運行次數)以及最少測試數量。整改后控制運行的最短期間(或最少運行次數)和最少測試數量參見表2。
表2:整改后控制運行的最短期間(或最少運行次數)和最少測試數量
| 控制運行頻率 | 整改后控制運行的最短期間或 最少運行次數 | 最少測試數量 |
| 每季1次 | 2個季度 | 2 |
| 每月1次 | 2個月 | 2 |
| 每周1次 | 5周 | 5 |
| 每天1次 | 20天 | 20 |
| 每天多次 | 25次(分佈於涵蓋多天的期 間,通常不少於15天) | 25 |
如果被審計單位在基準日前對存在重大缺陷的內部控制進行了整改,但新控制尚沒有運行足夠長的時間,註冊會計師應當將其視為內部控制在基準日存在重大缺陷。
七、關於完成審計工作
(一)形成審計意見
註冊會計師應當評價從各種來源獲取的審計證據,包括對控制的測試結果、財務報表審計中發現的錯報以及已識別的所有控制缺陷,形成對內部控制有效性的意見。在評價審計證據時,註冊會計師應當查閱本年度涉及內部控制的內部審計報告或類似報告,並評價這些報告中指出的控制缺陷。
在對內部控制的有效性形成意見后,註冊會計師應當評價企業內部控制評價報告對相關法律法規規定的要素的列報是否完整和恰當。
(二)獲取書面聲明
註冊會計師應當獲取經被審計單位簽署的書面聲明。書面聲明的內容應當包括:
(1)被審計單位董事會認可其對建立健全和有效實施內部控制負責;
(2)被審計單位已對內部控制進行了評價,並編製了內部控制評價報告;
(3)被審計單位沒有利用註冊會計師在內部控制審計和財務報表審計中執行的程序及其結果作為評價的基礎;
(4)被審計單位根據內部控制標準評價內部控制有效性得出的結論;
(5)被審計單位已向註冊會計師披露識別出的所有內部控制缺陷,並單獨披露其中的重大缺陷和重要缺陷;
(6)被審計單位已向註冊會計師披露導致財務報表發生重大錯報的所有舞弊,以及其他不會導致財務報表發生重大錯報,但涉及管理層、治理層和其他在內部控制中具有重要作用的員工的所有舞弊;
(7)註冊會計師在以前年度審計中識別出的且已與被審計單位溝通的重大缺陷和重要缺陷是否已經得到解決,以及哪些缺陷尚未得到解決;
(8)在基準日後,內部控制是否發生變化,或者是否存在對內部控制產生重要影響的其他因素,包括被審計單位針對重大缺陷和重要缺陷採取的所有糾正措施。
如果被審計單位拒絕提供或以其他不當理由迴避書面聲明,註冊會計師應當將其視為審計範圍受到限制,解除業務約定或出具無法表示意見的內部控制審計報告。此外,註冊會計師應當評價拒絕提供書面聲明這一情況對其他聲明(包括在財務報表審計中獲取的聲明)的可靠性的影響。
註冊會計師應當按照《中國註冊會計師審計準則第1341號--書面聲明》的規定,確定聲明書的簽署者、涵蓋的期間以及何時獲取更新的聲明書等。
(三)溝通相關事項
對於重大缺陷和重要缺陷,註冊會計師應當以書面形式與管理層和治理層溝通。書面溝通應當在註冊會計師出具內部控制審計報告之前進行。
註冊會計師應當以書面形式與管理層溝通其在審計過程中識別的所有其他內部控制缺陷,並在溝通完成後告知治理層。在進行溝通時,註冊會計師無需重複自身、內部審計人員或被審計單位其他人員以前書面溝通過的控制缺陷。
雖然並不要求註冊會計師執行足以識別所有控制缺陷的程序,但是,註冊會計師應當溝通其注意到的內部控制的所有缺陷。內部控制審計不能保證註冊會計師能夠發現嚴重程度低於重大缺陷的所有控制缺陷。註冊會計師不應在內部控制審計報告中聲明,在審計過程中沒有發現嚴重程度低於重大缺陷的控制缺陷。
如果發現被審計單位存在或可能存在舞弊或違反法規行為,註冊會計師應當按照《中國註冊會計師審計準則第1141號--財務報表審計中與舞弊相關的責任》、《中國註冊會計師審計準則第1142號--財務報表審計中對法律法規的考慮》的規定,確定並履行自身的責任。
八、關於內部控制審計報告
註冊會計師在完成內部控制審計和財務報表審計后,應當分別對內部控制和財務報表出具審計報告,並簽署相同的日期。
(一)出具無保留意見內部控制審計報告的條件
如果符合下列所有條件,註冊會計師應當對內部控制出具無保留意見的內部控制審計報告:
(1)在基準日,被審計單位按照適用的內部控制標準的要求,在所有重大方面保持了有效的內部控制;
(2)註冊會計師已經按照《企業內部控制審計指引》的要求計劃和實施審計工作,在審計過程中未受到限制。
(二)內部控制存在重大缺陷時的處理
如果認為內部控制存在一項或多項重大缺陷,除非審計範圍受到限制,註冊會計師應當對內部控制發表否定意見。否定意見的內部控制審計報告還應當包括重大缺陷的定義、重大缺陷的性質及其對內部控制的影響程度。
如果重大缺陷尚未包含在企業內部控制評價報告中,註冊會計師應當在內部控制審計報告中說明重大缺陷已經識別、但沒有包含在企業內部控制評價報告中。如果企業內部控制評價報告中包含了重大缺陷,但註冊會計師認為這些重大缺陷未在所有重大方面得到公允反映,註冊會計師應當在內部控制審計報告中說明這一結論,並公允表達有關重大缺陷的必要信息。此外,註冊會計師還應當就這些情況以書面形式與治理層溝通。
如果對內部控制的有效性發表否定意見,註冊會計師應當確定該意見對財務報表審計意見的影響,並在內部控制審計報告中予以說明。
(三)審計範圍受到限制時的處理
註冊會計師只有實施了必要的審計程序,才能對內部控制的有效性發表意見。如果審計範圍受到限制,註冊會計師應當解除業務約定或出具無法表示意見的內部控制審計報告。
如果法律法規的相關豁免規定允許被審計單位不將某些實體納入內部控制的評價範圍,註冊會計師可以不將這些實體納入內部控制
審計的範圍。這種情況不構成審計範圍受到限制,但註冊會計師應當在內部控制審計報告中增加強調事項段或者在註冊會計師的責任段中,就這些實體未被納入評價範圍和內部控制審計範圍這一情況,作出與被審計單位類似的恰當陳述。註冊會計師應當評價相關豁免是否符合法律法規的規定,以及被審計單位針對該項豁免作出的陳述是否恰當。如果認為被審計單位有關該項豁免的陳述不恰當,註冊會計師應當提請其作出適當修改。如果被審計單位未作出適當修改,註冊會計師應當在內部控制審計報告的強調事項段中說明被審計單位的陳述需要修改的理由。
在出具無法表示意見的內部控制審計報告時,註冊會計師應當在內部控制審計報告中指明審計範圍受到限制,無法對內部控制的有效性發表意見,並單設段落說明無法表示意見的實質性理由。註冊會計師不應在內部控制審計報告中指明所執行的程序,也不應描述內部控制審計的特徵,以避免報告使用者對無法表示意見的誤解。如果在已執行的有限程序中發現內部控制存在重大缺陷,註冊會計師應當在內部控制審計報告中對重大缺陷做出詳細說明。
只要認為審計範圍受到限制將導致無法獲取發表審計意見所需的充分、適當的審計證據,註冊會計師不必執行任何其他工作即可對內部控制出具無法表示意見的內部控制審計報告。在這種情況下,內部控制審計報告的日期應為註冊會計師已就該報告中陳述的內容獲取充分、適當的審計證據的日期。
在因審計範圍受到限制而無法表示意見時,註冊會計師應當就未能完成整個內部控制審計工作的情況,以書面形式與管理層和治理層溝通。
(四)強調事項
如果認為內部控制雖然不存在重大缺陷,但仍有一項或多項重大事項需要提請內部控制審計報告使用者注意,註冊會計師應當在內部控制審計報告中增加強調事項段予以說明。註冊會計師應當在強調事項段中指明,該段內容僅用於提醒內部控制審計報告使用者關注,並不影響對內部控制發表的審計意見。
如果確定企業內部控制評價報告對要素的列報不完整或不恰當,註冊會計師應當在內部控制審計報告中增加強調事項段,說明這一情況並解釋得出該結論的理由。
(五)期後事項
在基準日後至審計報告日前(以下簡稱期後期間),內部控制可能發生變化,或出現其他可能對內部控制產生重要影響的因素。註冊會計師應當詢問是否存在這類變化或因素,並獲取被審計單位關於這類變化或因素的書面聲明。
註冊會計師應當針對期後期間,詢問並檢查下列信息:
(1)在期後期間出具的內部審計報告或類似報告;
(2)其他註冊會計師出具的涉及被審計單位內部控制缺陷的報告;
(3)監管機構發布的涉及被審計單位內部控制的報告;
(4)註冊會計師在執行其他業務中獲取的、有關被審計單位內部控制有效性的信息。
此外,註冊會計師還應當考慮獲取期後期間的其他文件,並按照《中國註冊會計師審計準則第1332號--期後事項》的規定,對其進行檢查。
如果知悉對基準日內部控制有效性有重大負面影響的期後事項,註冊會計師應當對內部控制發表否定意見。如果註冊會計師不能確定期後事項對內部控制有效性的影響程度,應當出具無法表示意見的內部控制審計報告。
如果管理層在評價報告中披露了基準日之後採取的整改措施,註冊會計師應當在內部控制審計報告中指明不對這些信息發表意見。
註冊會計師可能知悉在基準日並不存在、但在期後期間發生的事項。如果這類期後事項對內部控制有重大影響,註冊會計師應當在內部控制審計報告中增加強調事項段,描述該事項及其影響,或提醒內部控制審計報告使用者關注企業內部控制評價報告中披露的該事項及其影響。
在出具內部控制審計報告后,如果知悉在審計報告日已存在的、可能對審計意見產生影響的情況,註冊會計師應當按照《中國註冊會計師審計準則第1332號--期後事項》第四章第二節和第三節的規定辦理。如果被審計單位更正以前公布的財務報表,註冊會計師應當按照《中國註冊會計師審計準則第1332號--期後事項》第四章第三節的規定重新考慮以前發表的內部控制審計意見的適當性。
(六)其他信息
如果企業內部控制評價報告中除包括法定要求的信息外,還包括其他信息,且該報告的使用者有理由認為該報告包括這些其他信息,註冊會計師應當在內部控制審計報告中指明不對這些其他信息發表意見。
如果認為其他信息含有對事實的重大錯報,註冊會計師應當就此與管理層進行討論。如果討論后仍認為存在對事實的重大錯報,註冊會計師應當以書面形式將其看法告知管理層和治理層。
如果其他信息未包含在企業內部控制評價報告中,而是包含在年度財務報告中,註冊會計師無需在內部控制審計報告中指明不對其發表意見。但是,如果註冊會計師認為其他信息中存在對事實的重大錯報,應當按照上述要求辦理。
九、關於整合審計的進一步考慮
(一)總體要求
在整合審計中,註冊會計師應當計劃和實施對控制設計和運行有效性的測試,以同時實現下列目標:
(1)獲取充分、適當的審計證據,支持其在內部控制審計中對內部控制的有效性發表的意見;
(2)獲取充分、適當的審計證據,支持其在財務報表審計中對內部控制的擬信賴程度(即評估的控制風險)。
(二)審計證據和結論的相互參照
在內部控制審計中,註冊會計師在對內部控制有效性形成結論時,應當同時考慮財務報表審計中實施的、所有針對控制設計和運行有效性測試的結果。
在財務報表審計中,註冊會計師在評估控制風險時,應當同時考慮內部控制審計中實施的、所有針對控制設計和運行有效性測試的結果。
如果在內部控制審計中識別出某項控制缺陷,註冊會計師應當評價該項缺陷對財務報表審計中擬實施的實質性程序的性質、時間安排和範圍的影響。
在財務報表審計中,無論控制風險或重大錯報風險的評估水平如何,註冊會計師都應當針對所有重大類別的交易、賬戶餘額和披露實施實質性程序。為對內部控制的有效性發表意見而實施的測試程序並不減輕該項要求。
在內部控制審計中,註冊會計師應當評價財務報表審計中實施的實質性程序的結果對控制有效性結論的影響。評價內容應當包括:
(1)註冊會計師作出的、與選擇和實施實質性程序相關(尤其是與舞弊相關)的風險評估;
(2)發現的違反法規行為和關聯方交易方面的問題;
(3)表明管理層在選擇會計政策和作出會計估計時存在偏見的情況;
(4)實施實質性程序發現的錯報。
註冊會計師應當通過直接測試控制獲取控制是否有效的審計證據,而不能根據實質性程序沒有發現錯報,推斷該項控制的有效性。
十、關於項目質量控制複核
會計師事務所應當制定政策和程序,要求對上市實體和符合特定標準的其他實體的內部控制審計業務實施項目質量控制複核。
(一)項目質量控制複核的時間
會計師事務所的政策和程序應當要求在出具內部控制審計報告前完成項目質量控制複核。
(二)項目質量控制複核人員
會計師事務所應當制定政策和程序,解決項目質量控制複核人員的委派問題,明確項目質量控制複核人員的資格要求,包括:
(1)履行職責需要的技術資格,包括精通內部控制審計業務並具備必要的經驗和許可權;
(2)在不損害其客觀性的前提下,項目質量控制複核人員能夠提供業務諮詢的程度。
同時,會計師事務所應當制定政策和程序,以使項目質量控制複核人員保持客觀性。這些政策和程序要求項目質量控制複核人員符合下列規定:
(1)不由項目合伙人挑選;
(2)在複核期間不以其他方式參與該業務;
(3)不代替項目組進行決策;
(4)不存在可能損害複核人員客觀性的其他情形。
(三)項目質量控制複核的內容
項目質量控制複核人員應當客觀地評價項目組作出的重大判斷以及在編製內部控制審計報告時得出的結論。評價工作應當涉及下列內容:
(1)與項目合伙人討論重大事項;
(2)複核擬出具的內部控制審計報告;
(3)複核選取的與項目組作出的重大判斷和得出的結論相關的審計工作底稿;
(4)評價在編製內部控制審計報告時得出的結論,並考慮擬出具內部控制審計報告的恰當性。
對於上市實體內部控制審計,項目質量控制複核人員還應當考慮下列事項:
(1)項目組就具體業務對會計師事務所獨立性作出的評價;
(2)項目組是否已就涉及意見分歧的事項,或者其他疑難問題或爭議事項進行適當諮詢,以及諮詢得出的結論;
(3)選取的用於複核的審計工作底稿,是否反映項目組針對重大判斷執行的工作,以及是否支持得出的結論。
十一、關於記錄審計工作
註冊會計師應當在審計工作底稿中清楚地顯示內部控制審計的過程和結果。
註冊會計師應當就下列內容形成審計工作記錄:
(1)制定的內部控制總體審計策略和具體審計計劃及重大修改情況;
(2)對企業層面控制的識別、了解和測試;
(3)確定重要賬戶、列報及其相關認定的過程,包括對擬測試組成部分的確定;
(4)選擇擬測試控制的主要過程及結果;
(5)測試控制設計和運行有效性的程序及結果;
(6)利用他人工作的程度,以及對他人勝任能力和客觀性的評估;
(7)對識別的控制缺陷的評價;
(8)可能導致出具非標準內部控制審計報告的其他審計發現;
(9)形成的審計結論和意見;
(10)其他重要事項。
中國註冊會計師協會關於印發《企業內部控制審計指引實施意見》的通知
企業內部控制審計指引實施意見
為了規範註冊會計師執行內部控制審計業務,明確工作要求,提高執業質量,維護公眾利益,我會制定了《企業內部控制審計指引實施意見》,現予印發,自2012年1月1日起施行。執行中有何問題,請及時反饋我會。
附件:企業內部控制審計指引實施意見
中國註冊會計師協會
二○一一年十月十一日
附件:
企業內部控制審計指引實施意見
只有當內部控制審計的前提條件得到滿足,並且會計師事務所符合獨立性要求,具備專業勝任能力時,會計師事務所才能接受或保持內部控制審計業務。
在確定內部控制審計的前提條件是否得到滿足時,註冊會計師應當:
(1)確定被審計單位採用的內部控制標準是否適當;
(2)就被審計單位認可並理解其責任與治理層和管理層達成一致意見。
被審計單位的責任包括:
(1)按照適用的內部控制標準,建立健全和有效實施內部控制,以使財務報表不存在由於舞弊或錯誤導致的重大錯報;
(2)對內部控制的有效性進行評價並編製內部控制評價報告;
(3)向註冊會計師提供必要的工作條件,包括允許註冊會計師接觸與內部控制審計相關的所有信息(如記錄、文件和其他事項),
允許註冊會計師在獲取審計證據時不受限制地接觸其認為必要的內部人員和其他相關人員等。
如果決定接受或保持內部控制審計業務,會計師事務所應當與被審計單位簽訂單獨的內部控制審計業務約定書。業務約定書應當至少包括下列內容:
(1)內部控制審計的目標和範圍;
(2)註冊會計師的責任;
(3)被審計單位的責任;
(4)指出被審計單位採用的內部控制標準;
(5)提及註冊會計師擬出具的內部控制審計報告的形式和內容,以及對在特定情況下出具的內部控制審計報告可能不同於預期形式和內容的說明;
(6)審計收費。
註冊會計師應當貫徹風險導向審計的思路,恰當地計劃內部控制審計工作,制訂總體審計策略和具體審計計劃。
註冊會計師應當在總體審計策略中體現下列內容:
(1)確定內部控制審計業務特徵,以界定審計範圍。例如,被審計單位採用的內部控制標準、註冊會計師預期內部控制審計工作涵蓋的範圍、對組成部分註冊會計師工作的參與程度、註冊會計師對被審計單位內部控制評價工作的了解以及擬利用被審計單位內部相關人員工作的程度等。
對於按照權益法核算的投資,內部控制審計範圍應當包括針對權益法下相關會計處理而實施的內部控制,但通常不包括針對權益法下被投資方的內部控制。
內部控制審計範圍應當包括被審計單位在內部控制評價基準日(最近一個會計期間截止日,以下簡稱基準日)或在此之前收購的實體,以及在基準日作為終止經營進行會計處理的業務。註冊會計師應當確定是否有必要對與這些實體或業務相關的控制實施測試。
如果法律法規的相關豁免規定允許被審計單位不將某些實體納入內部控制評價範圍,註冊會計師可以不將這些實體納入內部控制審計的範圍。
(2)明確內部控制審計業務的報告目標,以計劃審計的時間安排和所需溝通的性質。例如,被審計單位對外公布或報送內部控制審計報告的時間、註冊會計師與管理層和治理層討論內部控制審計工作的性質、時間安排和範圍,註冊會計師與管理層和治理層討論擬出具內部控制審計報告的類型和時間安排以及溝通的其他事項等。
(3)根據職業判斷,考慮用以指導項目組工作方向的重要因素。例如,財務報表整體的重要性和實際執行的重要性、初步識別的可能存在重大錯報的風險領域、內部控制最近發生變化的程度、與被審計單位溝通過的內部控制缺陷、對內部控制有效性的初步判斷、信息技術和業務流程的變化等。
(4)考慮初步業務活動的結果,並考慮對被審計單位執行其他業務時獲得的經驗是否與內部控制審計業務相關(如適用)。
(5)確定執行內部控制審計業務所需資源的性質、時間安排和
範圍。例如,項目組成員的選擇以及對項目組成員審計工作的分派,項目時間預算等。
註冊會計師應當在具體審計計劃中體現下列內容:
(1)了解和識別內部控制的程序的性質、時間安排和範圍;
(2)測試控制設計有效性的程序的性質、時間安排和範圍;
(3)測試控制運行有效性的程序的性質、時間安排和範圍。
在計劃和實施內部控制審計工作時,註冊會計師應當考慮財務報表審計中對舞弊風險的評估結果。在識別和測試企業層面控制以及選擇其他控制進行測試時,註冊會計師應當評價被審計單位的內部控制是否足以應對識別出的、由於舞弊導致的重大錯報風險,並評價為應對管理層和治理層凌駕於控制之上的風險而設計的控制。
被審計單位為應對這些風險可能設計的控制包括:
(1)針對重大的非常規交易的控制,尤其是針對導致會計處理延遲或異常的交易的控制;
(2)針對期末財務報告流程中編製的分錄和作出的調整的控制;
(3)針對關聯方交易的控制;
(4)與管理層的重大估計相關的控制;
(5)能夠減弱管理層和治理層偽造或不恰當操縱財務結果的動機和壓力的控制。
如果在內部控制審計中識別出旨在防止或發現並糾正舞弊的控制存在缺陷,註冊會計師應當按照《中國註冊會計師審計準則第1141號——財務報表審計中與舞弊相關的責任》的規定,在財務報表審計
中制定重大錯報風險的應對方案時考慮這些缺陷。
註冊會計師應當採用自上而下的方法選擇擬測試的控制。
自上而下的方法始於財務報表層次,以註冊會計師對內部控制整體風險的了解開始,然後,將關注重點放在企業層面的控制上,並將工作逐漸下移至重要賬戶、列報及其相關認定。隨後,驗證其對被審計單位業務流程中風險的了解,並選擇能足以應對評估的每個相關認定的重大錯報風險的控制進行測試。
自上而下的方法分為下列步驟:
(1)從財務報表層次初步了解內部控制整體風險;
(2)識別、了解和測試企業層面控制;
(3)識別重要賬戶、列報及其相關認定;
(4)了解潛在錯報的來源並識別相應的控制;
(5)選擇擬測試的控制。
本部分第(二)至(五)對自上而下的方法的各個步驟進行了規定,第(六)至(十三)對控制有效性測試進行了規定。
註冊會計師應當識別、了解和測試對內部控制有效性有重要影響的企業層面控制。註冊會計師對企業層面控制的評價,可能增加或減少本應對其他控制進行的測試。
1. 企業層面控制對其他控制及其測試的影響
不同的企業層面控制在性質和精確度上存在差異,註冊會計師應當從下列方面考慮這些差異對其他控制及其測試的影響:
(1)某些企業層面控制,如與控制環境相關的控制,對及時防止或發現並糾正相關認定的錯報的可能性有重要影響。雖然這種影響是間接的,但這些控制仍然可能影響註冊會計師擬測試的其他控制,以及測試程序的性質、時間安排和範圍。
(2)某些企業層面控制旨在識別其他控制可能出現的失效情況,能夠監督其他控制的有效性,但還不足以精確到及時防止或發現並糾正相關認定的錯報。當這些控制運行有效時,註冊會計師可以減少對其他控制的測試。
(3)某些企業層面控制本身能夠精確到足以及時防止或發現並糾正相關認定的錯報。如果一項企業層面控制足以應對已評估的錯報風險,註冊會計師就不必測試與該風險相關的其他控制。
2. 企業層面控制的內容
企業層面控制包括下列內容:
(1)與控制環境(即內部環境)相關的控制;
(2)針對管理層和治理層凌駕於控制之上的風險而設計的控制;
(3)被審計單位的風險評估過程;
(4)對內部信息傳遞和期末財務報告流程的控制;
(5)對控制有效性的內部監督(即監督其他控制的控制)和內部控制評價。
此外,集中化的處理和控制(包括共享的服務環境)、監控經營成果的控制以及針對重大經營控制及風險管理實務的政策也屬於企業層面控制。
3. 對期末財務報告流程的評價
期末財務報告流程對內部控制審計和財務報表審計有重要影響,
註冊會計師應當對期末財務報告流程進行評價。
期末財務報告流程包括:
(1)將交易總額登入總分類賬的程序;
(2)與會計政策的選擇和運用相關的程序;
(3)總分類賬中會計分錄的編製、批准等處理程序;
(4)對財務報表進行調整的程序;
(5)編製財務報表的程序。
註冊會計師應當從下列方面評價期末財務報告流程:
(1)被審計單位財務報表的編製流程,包括輸入、處理及輸出;
(2)期末財務報告流程中運用信息技術的程度;
(3)管理層中參與期末財務報告流程的人員;
(4)納入財務報表編製範圍的組成部分;
(5)調整分錄及合併分錄的類型;
(6)管理層和治理層對期末財務報告流程進行監督的性質及範圍。
註冊會計師應當基於財務報表層次識別重要賬戶、列報及其相關認定。
如果某賬戶或列報可能存在一個錯報,該錯報單獨或連同其他錯報將導致財務報表發生重大錯報,則該賬戶或列報為重要賬戶或列報。判斷某賬戶或列報是否重要,應當依據其固有風險,而不應考慮相關控制的影響。
如果某財務報表認定可能存在一個或多個錯報,這些錯報將導致財務報表發生重大錯報,則該認定為相關認定。判斷某認定是否為相
關認定,應當依據其固有風險,而不應考慮相關控制的影響。
為識別重要賬戶、列報及其相關認定,註冊會計師應當從下列方面評價財務報表項目及附註的錯報風險因素:
(1)賬戶的規模和構成;
(2)易於發生錯報的程度;
(3)賬戶或列報中反映的交易的業務量、複雜性及同質性;
(4)賬戶或列報的性質;
(5)與賬戶或列報相關的會計處理及報告的複雜程度;
(6)賬戶發生損失的風險;
(7)賬戶或列報中反映的活動引起重大或有負債的可能性;
(8)賬戶記錄中是否涉及關聯方交易;
(9)賬戶或列報的特徵與前期相比發生的變化。
在識別重要賬戶、列報及其相關認定時,註冊會計師還應當確定重大錯報的可能來源。註冊會計師可以通過考慮在特定的重要賬戶或列報中錯報可能發生的領域和原因,確定重大錯報的可能來源。
在內部控制審計中,註冊會計師在識別重要賬戶、列報及其相關認定時應當評價的風險因素,與財務報表審計中考慮的因素相同。因此,在這兩種審計中識別的重要賬戶、列報及其相關認定應當相同。
如果某賬戶或列報的各組成部分存在的風險差異較大,被審計單位可能需要採用不同的控制以應對這些風險,註冊會計師應當分別予以考慮。
註冊會計師應當實現下列目標,以進一步了解潛在錯報的來源,並為選擇擬測試的控制奠定基礎:
(1)了解與相關認定有關的交易的處理流程,包括這些交易如何生成、批准、處理及記錄;
(2)驗證註冊會計師識別出的業務流程中可能發生重大錯報(包括由於舞弊導致的錯報)的環節;
(3)識別被審計單位用於應對這些錯報或潛在錯報的控制;
(4)識別被審計單位用於及時防止或發現並糾正未經授權的、導致重大錯報的資產取得、使用或處置的控制。
註冊會計師應當親自執行能夠實現上述目標的程序,或對提供直接幫助的人員的工作進行督導。
穿行測試通常是實現上述目標的最有效方式。穿行測試是指追蹤某筆交易從發生到最終被反映在財務報表中的整個處理過程。註冊會計師在執行穿行測試時,通常需要綜合運用詢問、觀察、檢查相關文件及重新執行等程序。
在執行穿行測試時,針對重要處理程序發生的環節,註冊會計師可以詢問被審計單位員工對規定程序及控制的了解程度。實施詢問程序連同穿行測試中的其他程序,可以幫助註冊會計師充分了解業務流程,識別必要控制設計無效或出現缺失的重要環節。為有助於了解業務流程處理的不同類型的重大交易,在實施詢問程序時,註冊會計師不應局限於關注穿行測試所選定的單筆交易。
註冊會計師應當針對每一相關認定獲取控制有效性的審計證據,以便對內部控制整體的有效性發表意見,但沒有責任對單項控制的有效性發表意見。
註冊會計師應當對被審計單位的控制是否足以應對評估的每個
相關認定的錯報風險形成結論。因此,註冊會計師應當選擇對形成這一評價結論具有重要影響的控制進行測試。
對特定的相關認定而言,可能有多項控制用以應對評估的錯報風險;反之,一項控制也可能應對評估的多項相關認定的錯報風險。註冊會計師沒有必要測試與某項相關認定有關的所有控制。
在確定是否測試某項控制時,註冊會計師應當考慮該項控制單獨或連同其他控制,是否足以應對評估的某項相關認定的錯報風險,而不論該項控制的分類和名稱如何。
註冊會計師應當測試控制設計的有效性。
如果某項控制由擁有有效執行控制所需的授權和專業勝任能力的人員按規定的程序和要求執行,能夠實現控制目標,從而有效地防止或發現並糾正可能導致財務報表發生重大錯報的錯誤或舞弊,則表明該項控制的設計是有效的。
註冊會計師應當測試控制運行的有效性。
如果某項控制正在按照設計運行、執行人員擁有有效執行控制所需的授權和專業勝任能力,能夠實現控制目標,則表明該項控制的運行是有效的。
如果被審計單位利用第三方的幫助完成一些財務報告工作,註冊會計師在評價負責財務報告及相關控制的人員的專業勝任能力時,可以一併考慮第三方的專業勝任能力。
註冊會計師獲取的有關控制運行有效性的審計證據包括:
(1)控制在所審計期間的相關時點是如何運行的;
(2)控制是否得到一貫執行;
(3)控制由誰或以何種方式執行。
在測試所選定控制的有效性時,註冊會計師應當根據與控制相關的風險,確定所需獲取的審計證據。
與控制相關的風險包括一項控制可能無效的風險,以及如果該控制無效,可能導致重大缺陷的風險。與控制相關的風險越高,註冊會計師需要獲取的審計證據就越多。
下列因素影響與某項控制相關的風險:
(1)該項控制擬防止或發現並糾正的錯報的性質和重要程度;
(2)相關賬戶、列報及其認定的固有風險;
(3)交易的數量和性質是否發生變化,進而可能對該項控制設計或運行的有效性產生不利影響;
(4)相關賬戶或列報是否曾經出現錯報;
(5)企業層面控制(特別是監督其他控制的控制)的有效性;
(6)該項控制的性質及其執行頻率;
(7)該項控制對其他控制(如控制環境或信息技術一般控制)有效性的依賴程度;
(8)執行該項控制或監督該項控制執行的人員的專業勝任能力,以及其中的關鍵人員是否發生變化;
(9)該項控制是人工控制還是自動化控制;
(10)該項控制的複雜程度,以及在運行過程中依賴判斷的程度。
註冊會計師通過測試控制有效性獲取的審計證據,取決於其實施
程序的性質、時間安排和範圍的組合。此外,就單項控制而言,註冊會計師應當根據與控制相關的風險對測試程序的性質、時間安排和範圍進行適當的組合,以獲取充分、適當的審計證據。
註冊會計師測試控制有效性的程序,按其提供審計證據的效力,由弱到強排序通常為:詢問、觀察、檢查和重新執行。詢問本身並不能為得出控制是否有效的結論提供充分、適當的審計證據。
測試控制有效性的程序,其性質在很大程度上取決於擬測試控制的性質。某些控制可能存在反映控制有效性的文件記錄,而另外一些控制,如管理理念和經營風格,可能沒有書面的運行證據。
對缺乏正式的控制運行證據的被審計單位或業務單元,註冊會計師可以通過詢問並結合運用其他程序,如觀察活動、檢查非正式的書面記錄和重新執行某些控制,獲取有關控制是否有效的充分、適當的審計證據。
註冊會計師在測試控制設計的有效性時,應當綜合運用詢問適當人員、觀察經營活動和檢查相關文件等程序。註冊會計師執行穿行測試通常足以評價控制設計的有效性。
註冊會計師在測試控制運行的有效性時,應當綜合運用詢問適當人員、觀察經營活動、檢查相關文件以及重新執行等程序。
對控制有效性的測試涵蓋的期間越長,提供的控制有效性的審計證據越多。
單就內部控制審計業務而言,註冊會計師應當獲取內部控制在基準日之前一段足夠長的期間內有效運行的審計證據。在整合審計中,控制測試所涵蓋的期間應當盡量與財務報表審計中擬信賴內部控制
的期間保持一致。
註冊會計師執行內部控制審計業務旨在對基準日內部控制有效性出具報告。如果已獲取有關控制在期中運行有效性的審計證據,註冊會計師應當確定還需要獲取哪些補充審計證據,以證實剩餘期間控制的運行情況。在將期中測試結果更新至基準日時,註冊會計師應當考慮下列因素以確定需要獲取的補充審計證據:
(1)基準日之前測試的特定控制,包括與控制相關的風險、控制的性質和測試的結果;
(2)期中獲取的有關審計證據的充分性和適當性;
(3)剩餘期間的長短;
(4)期中測試之後,內部控制發生重大變化的可能性。
針對所有重要賬戶和列報的每個相關認定,註冊會計師應當獲取控制有效性的審計證據。《中國註冊會計師審計準則第1231號——針對評估的重大錯報風險採取的應對措施》第十四條提及的“三年輪換測試”不適用(本意見第四部分提及的與基準相比較的策略除外)。
對控制有效性測試的實施時間越接近基準日,提供的控制有效性的審計證據越有力。為了獲取充分、適當的審計證據,註冊會計師應當在下列兩個因素之間作出平衡,以確定測試的時間:
(1)盡量在接近基準日實施測試;
(2)實施的測試需要涵蓋足夠長的期間。
整改后的內部控制需要在基準日之前運行足夠長的時間,註冊會計師才能得出整改后的內部控制是否有效的結論。因此,在接受或保持內部控制審計業務時,註冊會計師應當儘早與被審計單位溝通這一
情況,併合理安排控制測試的時間,留出提前量。例如,註冊會計師在基準日前3個月完成期中測試工作。此外,由於對企業層面控制的評價結果將影響註冊會計師測試其他控制的性質、時間安排和範圍,註冊會計師可以考慮在執行業務的早期階段對企業層面控制進行測試。
註冊會計師在測試控制的運行有效性時,應當在考慮與控制相關的風險的基礎上,確定測試的範圍(樣本規模)。
註冊會計師確定的測試範圍,應當足以使其獲取充分、適當的審計證據,為基準日內部控制是否不存在重大缺陷提供合理保證。
1.測試人工控制的最小樣本規模
在測試人工控制時,如果採用檢查或重新執行程序,註冊會計師測試的最小樣本量區間參見表1。
表1:測試人工控制的最小樣本量區間
| 控制運行頻率 | 控制運行總次數 | 測試的最小樣本量區間 |
| 每年1次 | 1 | 1 |
| 每季1次 | 4 | 2 |
| 每月1次 | 12 | 2-5 |
| 每周1次 | 52 | 5-15 |
| 每天1次 | 250 | 20-40 |
| 每天多次 | 大於250次 | 25-60 |
在運用表1時,註冊會計師應當注意下列事項:
(1)測試的最小樣本量是指所需測試的控制運行次數;
(2)註冊會計師應當根據與控制相關的風險,基於最小樣本量
區間確定具體的樣本規模;
(3)表1假設控制的運行偏差率預期為零。如果預期偏差率不為零,註冊會計師應當擴大樣本規模;
(4)如果註冊會計師不能確定控制運行頻率,但是知道控制運行總次數,仍可根據“控制運行總次數”一列確定測試的最小樣本規模。
2. 測試自動化應用控制的最小樣本規模
信息技術處理具有內在一貫性。在信息技術一般控制有效的前提下,除非系統發生變動,註冊會計師只要對自動化應用控制的運行測試一次,即可得出所測試自動化應用控制是否運行有效的結論。
3.發現偏差時的處理
如果發現控制偏差,註冊會計師應當確定其對下列事項的影響:
(1)與所測試控制相關的風險的評估;
(2)需要獲取的審計證據;
(3)控制運行有效性的結論。
評價控制偏差的影響需要註冊會計師運用職業判斷,並受到控制的性質和所發現偏差數量的影響。如果發現的控制偏差是系統性偏差或人為有意造成的偏差,註冊會計師應當考慮舞弊的可能跡象以及對審計方案的影響。
在評價控制測試中發現的某項控制偏差是否為控制缺陷時,註冊會計師可以考慮的因素包括:
(1)該偏差是如何被發現的。例如,如果某控制偏差是被另外一項控制所發現的,則可能意味著被審計單位存在有效的發現性控制。
(2)該偏差是與某一特定的地點、流程或應用系統相關,還是對被審計單位有廣泛影響。
(3)就被審計單位的內部政策而言,該控制出現偏差的嚴重程度。例如,某項控制在執行上晚於被審計單位政策要求的時間,但仍在編製財務報表之前得以執行,還是該項控制根本沒有得以執行。
(4)與控制運行頻率相比,偏差發生的頻率大小。
由於有效的內部控制不能為實現控制目標提供絕對保證,單項控制並非一定要毫無偏差地運行,才被認為有效。在按照表1所列示的樣本規模進行測試的情況下,如果發現控制偏差,註冊會計師應當考慮偏差的原因及性質,並考慮採用擴大樣本量等適當的應對措施以判斷該偏差是否對總體不具有代表性。例如,對每日發生多次的控制,如果初始樣本量為25個,當測試發現一項控制偏差,且該偏差不是系統性偏差時,註冊會計師可以擴大樣本規模進行測試,所增加的樣本量至少為15個。如果測試后再次發現偏差,則註冊會計師可以得出該控制無效的結論。如果擴大樣本量沒有再次發現偏差,則註冊會計師可以得出控制有效的結論。
在基準日之前,被審計單位可能為提高控制效率、效果或彌補控制缺陷而改變控制。
對內部控制審計而言,如果新控制實現了相關控制目標,且運行了足夠長的時間,使註冊會計師能夠通過對該控制進行測試評價其設計和運行的有效性,則無需測試被取代的控制。
對財務報表審計而言,如果被取代控制的運行有效性對控制風險的評估有重大影響,註冊會計師應當測試被取代控制的設計和運行的
有效性。
註冊會計師應當評估是否利用他人(包括被審計單位的內部審計人員、內部控制評價人員和其他人員以及在管理層或治理層指導下的第三方)的工作以及利用的程度,以減少可能本應由註冊會計師執行的工作。如果他人的工作能夠提供有關內部控制有效性的審計證據,註冊會計師可以利用其工作或者提供的直接幫助。
註冊會計師應當參照《中國註冊會計師審計準則第1411號——利用內部審計人員的工作》的規定,評價他人的專業勝任能力和客觀性,以確定可利用的程度。
在評價他人的專業勝任能力時,註冊會計師應當考慮其專業資格、專業經驗與技能等相關因素。在評價他人的客觀性時,註冊會計師應當考慮是否存在某些因素,將削弱或者增強其客觀性。
無論他人的專業勝任能力如何,註冊會計師都不應利用客觀程度低的人員的工作。同樣,無論他人的客觀程度如何,註冊會計師都不應利用專業勝任能力低的人員的工作。
被審計單位內部負責監督、稽核或合規工作的人員,如內部審計人員,通常擁有較高的專業勝任能力和客觀性。他們的工作可能對註冊會計師有用。
註冊會計師利用他人工作的程度還受到與所測試控制相關的風險的影響。與某項控制相關的風險越高,註冊會計師應當越多地親自對該項控制進行測試。
在識別、了解和測試企業層面控制時,註冊會計師不得利用他人的工作。
如果服務機構提供的服務和對服務的控制,構成被審計單位與財務報告相關的信息系統(包括相關業務流程)的一部分,註冊會計師應當按照《中國註冊會計師審計準則第1241號——對被審計單位使用服務機構的考慮》的規定辦理。
註冊會計師在對被審計單位內部控制的有效性發表意見時,不應在內部控制審計報告中提及服務機構註冊會計師的報告。
在連續審計中,註冊會計師在確定測試的性質、時間安排和範圍時,應當考慮以前年度執行內部控制審計所了解的情況。
除本意見第三部分第(八)項“與控制相關的風險和擬獲取的審計證據之間的關係”所列因素外,下列因素也會影響連續審計中與某項控制相關的風險:
(1)以前年度審計中所實施程序的性質、時間安排和範圍;
(2)以前年度對控制的測試結果以及以前年度發現的缺陷是否得以整改;
(3)上次審計之後,控制或其運行所處的流程是否發生變化。
在考慮本意見所列的風險因素,以及連續審計中可獲取的進一步信息后,如果認為與控制相關的風險水平比以前年度有所下降,註冊會計師在本年度審計中可以減少測試。
在連續審計中,由於完全自動化的應用控制通常不會因人為失誤而失效,因此,註冊會計師可以考慮對自動化應用控制實施與基準相
比較的策略。
與基準相比較的策略,是指如果認為程序變更、訪問許可權及計算機操作方面的一般控制有效,且可持續對其進行測試,並能證實自動化應用控制自最近一次測試之後未發生變化,則可將最近一次測試設為基準,在以後年度測試時,註冊會計師不必重複執行測試,只需將該年的情況與基準相比較,就可以認為自動化應用控制是持續有效的。
註冊會計師為證實控制未發生變化而需獲取審計證據的性質和範圍,可能隨情況的變化而變化。例如,被審計單位程序變更控制的強弱將影響需獲取審計證據的性質和範圍。
自動化應用控制能否一貫有效地運行可能取決於所使用的相關文件、表格、數據和參數的正確性。例如,計算利息收入的自動化應用控制,其運行的有效性可能取決於使用的利率表的正確性。
註冊會計師應當在評價下列風險因素的基礎上,確定是否使用與基準相比較的策略:
(1)應用控制與相關應用程序直接對應的程度;
(2)應用系統的穩定性,即各期間的變化大小;
(3)有關投入使用的程序編譯日期的信息的可獲得性和可靠性(該信息可作為此程序中的控制未發生變化的審計證據)。
當上述因素表明風險較低時,對所評價的控制可能比較適合使用與基準相比較的策略。反之,不宜使用與基準相比較的策略。但是基礎數據的準確性與完整性,以及依賴系統的人工控制部分不適用與基準相比較的策略。
在一段時期之後,註冊會計師應當重新設置自動化應用控制運行
的基準。在確定何時重設基準時,註冊會計師應當考慮下列因素:
(1)信息技術控制環境的有效性,包括針對應用及操作系統和資料庫系統的取得與維護、訪問許可權以及計算機操作而實施控制的有效性;
(2)如果包含控制的具體程序發生變化,註冊會計師對該變化性質的了解;
(3)其他相關測試的性質和時間;
(4)相關應用控制發生錯誤導致的後果;
(5)控制是否易於受到其他可能變化的經營因素的影響。
為使對控制有效性的測試具有不可預見性並能夠應對環境的變化,註冊會計師應當每年改變測試的性質、時間安排和範圍。
註冊會計師可以每年在期中不同的時間測試控制,並增加或減少所執行測試的數量和種類,或者改變所使用測試程序的組合。
在執行集團內部控制審計業務時,註冊會計師應當基於集團財務報表識別重要賬戶、列報及其相關認定。
1.一般原則
在執行集團內部控制審計業務時,註冊會計師應當採用自上而下的方法,合理運用職業判斷,確定對組成部分執行的工作。
註冊會計師應當評估與組成部分相關的導致集團財務報表發生重大錯報的風險,並根據其風險程度給予相應的審計關注。
在評估與某組成部分相關的導致集團財務報表發生重大錯報的風險時,註冊會計師應當考慮的因素包括:
(1)以前執行的與該組成部分內部控制相關的審計工作的結果;
(2)影響該組成部分重要賬戶的固有風險;
(3)從財務數據角度看,該組成部分的相對重要程度;
(4)風險在各組成部分間的分佈(即風險分佈於數量眾多的小規模組成部分,還是分佈於數量較少但規模較大的組成部分);
(5)組成部分之間業務經營和內部控制的類似程度;
(6)業務流程和財務報告系統的集中化程度;
(7)該組成部分執行交易及相關資產的性質和金額;
(8)該組成部分存在重大未確認義務的可能性;
(9)測試集團企業層面控制的結果,包括控制環境、集團對組成部分實施的監控活動及在組成部分層面運行的企業層面控制的有效性。
2.對重要組成部分執行的工作
註冊會計師應當按照《中國註冊會計師審計準則第1401號——對集團財務報表審計的特殊考慮》的規定,確定重要組成部分。重要組成部分包括:(1)對集團具有財務重大性的組成部分(以下簡稱具有財務重大性的組成部分);(2)由於其特定性質和情況,可能存在導致集團財務報表發生重大錯報的特別風險的組成部分(以下簡稱具有特別風險的組成部分)。註冊會計師應當對重要組成部分的重要賬戶、列報及其相關認定的內部控制實施測試。
(1)對具有財務重大性的組成部分執行的工作
對於具有財務重大性的組成部分,除非通過實施下列測試工作能
夠獲取有關控制有效性的充分、適當的審計證據,註冊會計師應當測試該組成部分內與重要賬戶、列報及其相關認定相關的業務流程、應用系統或交易層面的內部控制的有效性:
①對整個集團企業層面控制和該組成部分企業層面控制(包括界於組成部分和整個集團之間層次的其他企業層面控制,下同)的測試;
②對除該組成部分以外的其他組成部分相同賬戶、列報及其相關認定的內部控制已實施的測試。
(2)對具有特別風險的組成部分執行的工作
對具有特別風險的組成部分,註冊會計師應當測試針對該項特別風險的控制。
3.對其他組成部分執行的工作
對於重要組成部分以外的其他組成部分,如果存在重要賬戶、列報及其相關認定,註冊會計師應當首先評價對整個集團企業層面控制和該組成部分企業層面控制的測試以及針對重要組成部分相同的賬戶、列報及其相關認定的內部控制已實施的測試能否提供充分、適當的審計證據。如果不能提供充分、適當的審計證據,註冊會計師應當選擇適當數量的其他組成部分,測試與該重要賬戶、列報及其相關認定相關的業務流程、應用系統或交易層面的控制,直至能夠獲取充分、適當的審計證據為止。
內部控制存在的缺陷包括設計缺陷和運行缺陷。
設計缺陷是指缺少為實現控制目標所必需的控制,或現有控制設計不適當、即使正常運行也難以實現預期的控制目標。
運行缺陷是指現存設計適當的控制沒有按設計意圖運行,或執行人員沒有獲得必要授權或缺乏勝任能力,無法有效地實施內部控制。
內部控制存在的缺陷,按其嚴重程度分為重大缺陷、重要缺陷和一般缺陷。
重大缺陷是內部控制中存在的、可能導致不能及時防止或發現並糾正財務報表出現重大錯報的一項控制缺陷或多項控制缺陷的組合。
重要缺陷是內部控制中存在的、其嚴重程度不如重大缺陷但足以引起負責監督被審計單位財務報告的人員(如審計委員會或類似機構)關注的一項控制缺陷或多項控制缺陷的組合。
一般缺陷是內部控制中存在的、除重大缺陷和重要缺陷之外的控制缺陷。
註冊會計師應當評價其識別的各項控制缺陷的嚴重程度,以確定這些缺陷單獨或組合起來,是否構成內部控制的重大缺陷。但是,在計劃和實施審計工作時,不要求註冊會計師尋找單獨或組合起來不構成重大缺陷的控制缺陷。
控制缺陷的嚴重程度取決於:
(1)控制不能防止或發現並糾正賬戶或列報發生錯報的可能性的大小;
(2)因一項或多項控制缺陷導致的潛在錯報的金額大小。
控制缺陷的嚴重程度與錯報是否發生無關,而取決於控制不能防止或發現並糾正錯報的可能性的大小。
在評價一項控制缺陷或多項控制缺陷的組合是否可能導致賬戶或列報發生錯報時,註冊會計師應當考慮的風險因素包括:
(1)所涉及的賬戶、列報及其相關認定的性質;
(2)相關資產或負債易於發生損失或舞弊的可能性;
(3)確定相關金額時所需判斷的主觀程度、複雜程度和範圍;
(4)該項控制與其他控制的相互作用或關係;
(5)控制缺陷之間的相互作用;
(6)控制缺陷在未來可能產生的影響。
評價控制缺陷是否可能導致錯報時,註冊會計師無需將錯報發生的概率量化為某特定的百分比或區間。
如果多項控制缺陷影響財務報表的同一賬戶或列報,錯報發生的概率會增加。在存在多項控制缺陷時,即使這些缺陷從單項看不重要,但組合起來也可能構成重大缺陷。因此,註冊會計師應當確定,對同一重要賬戶、列報及其相關認定或內部控制要素產生影響的各項控制缺陷,組合起來是否構成重大缺陷。
在評價因一項或多項控制缺陷導致的潛在錯報的金額大小時,註冊會計師應當考慮的因素包括:
(1)受控制缺陷影響的財務報表金額或交易總額;
(2)在本期或預計的未來期間受控制缺陷影響的賬戶餘額或各類交易涉及的交易量。
在評價潛在錯報的金額大小時,賬戶餘額或交易總額的最大多報金額通常是已記錄的金額,但其最大少報金額可能超過已記錄的金額。通常,小金額錯報比大金額錯報發生的概率更高。
在確定一項控制缺陷或多項控制缺陷的組合是否構成重大缺陷時,註冊會計師應當評價補償性控制的影響。在評價補償性控制是否能夠彌補控制缺陷時,註冊會計師應當考慮補償性控制是否有足夠的
精確度以防止或發現並糾正可能發生的重大錯報。
如果註冊會計師確定發現的一項控制缺陷或多項控制缺陷的組合將導致審慎的管理人員在執行工作時,認為自身無法合理保證按照適用的財務報告編製基礎記錄交易,應當將這一項控制缺陷或多項控制缺陷的組合視為存在重大缺陷的跡象。下列跡象可能表明內部控制存在重大缺陷:
(1)註冊會計師發現董事、監事和高級管理人員的任何舞弊;
(2)被審計單位重述以前公布的財務報表,以更正由於舞弊或錯誤導致的重大錯報;
(3)註冊會計師發現當期財務報表存在重大錯報,而被審計單位內部控制在運行過程中未能發現該錯報;
(4)審計委員會和內部審計機構對內部控制的監督無效。
如果被審計單位在基準日前對存在缺陷的控制進行了整改,整改后的控制需要運行足夠長的時間,才能使註冊會計師得出其是否有效的審計結論。註冊會計師應當根據控制的性質和與控制相關的風險,合理運用職業判斷,確定整改后控制運行的最短期間(或整改后控制的最少運行次數)以及最少測試數量。整改后控制運行的最短期間(或最少運行次數)和最少測試數量參見表2。
表2:整改后控制運行的最短期間(或最少運行次數)和最少測試數量
| 控制運行頻率 | 整改后控制運行的最短期間或最少運行次數 | 最少測試數量 |
| 每季1次 | 2個季度 | 2 |
| 每月1次 | 2個月 | 2 |
| 每周1次 | 5周 | 5 |
| 每天1次 | 20天 | 20 |
| 每天多次 | 25次(分佈於涵蓋多天的期間,通常不少於15天) | 25 |
如果被審計單位在基準日前對存在重大缺陷的內部控制進行了整改,但新控制尚沒有運行足夠長的時間,註冊會計師應當將其視為內部控制在基準日存在重大缺陷。
註冊會計師應當評價從各種來源獲取的審計證據,包括對控制的測試結果、財務報表審計中發現的錯報以及已識別的所有控制缺陷,形成對內部控制有效性的意見。在評價審計證據時,註冊會計師應當查閱本年度涉及內部控制的內部審計報告或類似報告,並評價這些報告中指出的控制缺陷。
在對內部控制的有效性形成意見后,註冊會計師應當評價企業內部控制評價報告對相關法律法規規定的要素的列報是否完整和恰當。
註冊會計師應當獲取經被審計單位簽署的書面聲明。書面聲明的內容應當包括:
(1)被審計單位董事會認可其對建立健全和有效實施內部控制負責;
(2)被審計單位已對內部控制進行了評價,並編製了內部控制評價報告;
(3)被審計單位沒有利用註冊會計師在內部控制審計和財務報表審計中執行的程序及其結果作為評價的基礎;
(4)被審計單位根據內部控制標準評價內部控制有效性得出的結論;
(5)被審計單位已向註冊會計師披露識別出的所有內部控制缺陷,並單獨披露其中的重大缺陷和重要缺陷;
(6)被審計單位已向註冊會計師披露導致財務報表發生重大錯報的所有舞弊,以及其他不會導致財務報表發生重大錯報,但涉及管理層、治理層和其他在內部控制中具有重要作用的員工的所有舞弊;
(7)註冊會計師在以前年度審計中識別出的且已與被審計單位溝通的重大缺陷和重要缺陷是否已經得到解決,以及哪些缺陷尚未得到解決;
(8)在基準日後,內部控制是否發生變化,或者是否存在對內部控制產生重要影響的其他因素,包括被審計單位針對重大缺陷和重要缺陷採取的所有糾正措施。
如果被審計單位拒絕提供或以其他不當理由迴避書面聲明,註冊會計師應當將其視為審計範圍受到限制,解除業務約定或出具無法表示意見的內部控制審計報告。此外,註冊會計師應當評價拒絕提供書面聲明這一情況對其他聲明(包括在財務報表審計中獲取的聲明)的可靠性的影響。
註冊會計師應當按照《中國註冊會計師審計準則第1341號——書面聲明》的規定,確定聲明書的簽署者、涵蓋的期間以及何時獲取更新的聲明書等。
對於重大缺陷和重要缺陷,註冊會計師應當以書面形式與管理層和治理層溝通。書面溝通應當在註冊會計師出具內部控制審計報告之
前進行。
註冊會計師應當以書面形式與管理層溝通其在審計過程中識別的所有其他內部控制缺陷,並在溝通完成後告知治理層。在進行溝通時,註冊會計師無需重複自身、內部審計人員或被審計單位其他人員以前書面溝通過的控制缺陷。
雖然並不要求註冊會計師執行足以識別所有控制缺陷的程序,但是,註冊會計師應當溝通其注意到的內部控制的所有缺陷。內部控制審計不能保證註冊會計師能夠發現嚴重程度低於重大缺陷的所有控制缺陷。註冊會計師不應在內部控制審計報告中聲明,在審計過程中沒有發現嚴重程度低於重大缺陷的控制缺陷。
如果發現被審計單位存在或可能存在舞弊或違反法規行為,註冊會計師應當按照《中國註冊會計師審計準則第1141號——財務報表審計中與舞弊相關的責任》、《中國註冊會計師審計準則第1142號——財務報表審計中對法律法規的考慮》的規定,確定並履行自身的責任。
註冊會計師在完成內部控制審計和財務報表審計后,應當分別對內部控制和財務報表出具審計報告,並簽署相同的日期。
如果符合下列所有條件,註冊會計師應當對內部控制出具無保留意見的內部控制審計報告:
(1)在基準日,被審計單位按照適用的內部控制標準的要求,在所有重大方面保持了有效的內部控制;
(2)註冊會計師已經按照《企業內部控制審計指引》的要求計
划和實施審計工作,在審計過程中未受到限制。
如果認為內部控制存在一項或多項重大缺陷,除非審計範圍受到限制,註冊會計師應當對內部控制發表否定意見。否定意見的內部控制審計報告還應當包括重大缺陷的定義、重大缺陷的性質及其對內部控制的影響程度。
如果重大缺陷尚未包含在企業內部控制評價報告中,註冊會計師應當在內部控制審計報告中說明重大缺陷已經識別、但沒有包含在企業內部控制評價報告中。如果企業內部控制評價報告中包含了重大缺陷,但註冊會計師認為這些重大缺陷未在所有重大方面得到公允反映,註冊會計師應當在內部控制審計報告中說明這一結論,並公允表達有關重大缺陷的必要信息。此外,註冊會計師還應當就這些情況以書面形式與治理層溝通。
如果對內部控制的有效性發表否定意見,註冊會計師應當確定該意見對財務報表審計意見的影響,並在內部控制審計報告中予以說明。
註冊會計師只有實施了必要的審計程序,才能對內部控制的有效性發表意見。如果審計範圍受到限制,註冊會計師應當解除業務約定或出具無法表示意見的內部控制審計報告。
如果法律法規的相關豁免規定允許被審計單位不將某些實體納入內部控制的評價範圍,註冊會計師可以不將這些實體納入內部控制
審計的範圍。這種情況不構成審計範圍受到限制,但註冊會計師應當在內部控制審計報告中增加強調事項段或者在註冊會計師的責任段中,就這些實體未被納入評價範圍和內部控制審計範圍這一情況,作出與被審計單位類似的恰當陳述。註冊會計師應當評價相關豁免是否符合法律法規的規定,以及被審計單位針對該項豁免作出的陳述是否恰當。如果認為被審計單位有關該項豁免的陳述不恰當,註冊會計師應當提請其作出適當修改。如果被審計單位未作出適當修改,註冊會計師應當在內部控制審計報告的強調事項段中說明被審計單位的陳述需要修改的理由。
在出具無法表示意見的內部控制審計報告時,註冊會計師應當在內部控制審計報告中指明審計範圍受到限制,無法對內部控制的有效性發表意見,並單設段落說明無法表示意見的實質性理由。註冊會計師不應在內部控制審計報告中指明所執行的程序,也不應描述內部控制審計的特徵,以避免報告使用者對無法表示意見的誤解。如果在已執行的有限程序中發現內部控制存在重大缺陷,註冊會計師應當在內部控制審計報告中對重大缺陷做出詳細說明。
只要認為審計範圍受到限制將導致無法獲取發表審計意見所需的充分、適當的審計證據,註冊會計師不必執行任何其他工作即可對內部控制出具無法表示意見的內部控制審計報告。在這種情況下,內部控制審計報告的日期應為註冊會計師已就該報告中陳述的內容獲取充分、適當的審計證據的日期。
在因審計範圍受到限制而無法表示意見時,註冊會計師應當就未
能完成整個內部控制審計工作的情況,以書面形式與管理層和治理層溝通。
如果認為內部控制雖然不存在重大缺陷,但仍有一項或多項重大事項需要提請內部控制審計報告使用者注意,註冊會計師應當在內部控制審計報告中增加強調事項段予以說明。註冊會計師應當在強調事項段中指明,該段內容僅用於提醒內部控制審計報告使用者關注,並不影響對內部控制發表的審計意見。
如果確定企業內部控制評價報告對要素的列報不完整或不恰當,註冊會計師應當在內部控制審計報告中增加強調事項段,說明這一情況並解釋得出該結論的理由。
在基準日後至審計報告日前(以下簡稱期後期間),內部控制可能發生變化,或出現其他可能對內部控制產生重要影響的因素。註冊會計師應當詢問是否存在這類變化或因素,並獲取被審計單位關於這類變化或因素的書面聲明。
註冊會計師應當針對期後期間,詢問並檢查下列信息:
(1)在期後期間出具的內部審計報告或類似報告;
(2)其他註冊會計師出具的涉及被審計單位內部控制缺陷的報告;
(3)監管機構發布的涉及被審計單位內部控制的報告;
(4)註冊會計師在執行其他業務中獲取的、有關被審計單位內
部控制有效性的信息。
此外,註冊會計師還應當考慮獲取期後期間的其他文件,並按照《中國註冊會計師審計準則第1332號——期後事項》的規定,對其進行檢查。
如果知悉對基準日內部控制有效性有重大負面影響的期後事項,註冊會計師應當對內部控制發表否定意見。如果註冊會計師不能確定期後事項對內部控制有效性的影響程度,應當出具無法表示意見的內部控制審計報告。
如果管理層在評價報告中披露了基準日之後採取的整改措施,註冊會計師應當在內部控制審計報告中指明不對這些信息發表意見。
註冊會計師可能知悉在基準日並不存在、但在期後期間發生的事項。如果這類期後事項對內部控制有重大影響,註冊會計師應當在內部控制審計報告中增加強調事項段,描述該事項及其影響,或提醒內部控制審計報告使用者關注企業內部控制評價報告中披露的該事項及其影響。
在出具內部控制審計報告后,如果知悉在審計報告日已存在的、可能對審計意見產生影響的情況,註冊會計師應當按照《中國註冊會計師審計準則第1332號——期後事項》第四章第二節和第三節的規定辦理。如果被審計單位更正以前公布的財務報表,註冊會計師應當按照《中國註冊會計師審計準則第1332號——期後事項》第四章第三節的規定重新考慮以前發表的內部控制審計意見的適當性。
如果企業內部控制評價報告中除包括法定要求的信息外,還包括
其他信息,且該報告的使用者有理由認為該報告包括這些其他信息,註冊會計師應當在內部控制審計報告中指明不對這些其他信息發表意見。
如果認為其他信息含有對事實的重大錯報,註冊會計師應當就此與管理層進行討論。如果討論后仍認為存在對事實的重大錯報,註冊會計師應當以書面形式將其看法告知管理層和治理層。
如果其他信息未包含在企業內部控制評價報告中,而是包含在年度財務報告中,註冊會計師無需在內部控制審計報告中指明不對其發表意見。但是,如果註冊會計師認為其他信息中存在對事實的重大錯報,應當按照上述要求辦理。
在整合審計中,註冊會計師應當計劃和實施對控制設計和運行有效性的測試,以同時實現下列目標:
(1)獲取充分、適當的審計證據,支持其在內部控制審計中對內部控制的有效性發表的意見;
(2)獲取充分、適當的審計證據,支持其在財務報表審計中對內部控制的擬信賴程度(即評估的控制風險)。
在內部控制審計中,註冊會計師在對內部控制有效性形成結論時,應當同時考慮財務報表審計中實施的、所有針對控制設計和運行有效性測試的結果。
在財務報表審計中,註冊會計師在評估控制風險時,應當同時考
慮內部控制審計中實施的、所有針對控制設計和運行有效性測試的結果。
如果在內部控制審計中識別出某項控制缺陷,註冊會計師應當評價該項缺陷對財務報表審計中擬實施的實質性程序的性質、時間安排和範圍的影響。
在財務報表審計中,無論控制風險或重大錯報風險的評估水平如何,註冊會計師都應當針對所有重大類別的交易、賬戶餘額和披露實施實質性程序。為對內部控制的有效性發表意見而實施的測試程序並不減輕該項要求。
在內部控制審計中,註冊會計師應當評價財務報表審計中實施的實質性程序的結果對控制有效性結論的影響。評價內容應當包括:
(1)註冊會計師作出的、與選擇和實施實質性程序相關(尤其是與舞弊相關)的風險評估;
(2)發現的違反法規行為和關聯方交易方面的問題;
(3)表明管理層在選擇會計政策和作出會計估計時存在偏見的情況;
(4)實施實質性程序發現的錯報。
註冊會計師應當通過直接測試控制獲取控制是否有效的審計證據,而不能根據實質性程序沒有發現錯報,推斷該項控制的有效性。
會計師事務所應當制定政策和程序,要求對上市實體和符合特定標準的其他實體的內部控制審計業務實施項目質量控制複核。
會計師事務所的政策和程序應當要求在出具內部控制審計報告
前完成項目質量控制複核。
會計師事務所應當制定政策和程序,解決項目質量控制複核人員的委派問題,明確項目質量控制複核人員的資格要求,包括:
(1)履行職責需要的技術資格,包括精通內部控制審計業務並具備必要的經驗和許可權;
(2)在不損害其客觀性的前提下,項目質量控制複核人員能夠提供業務諮詢的程度。
同時,會計師事務所應當制定政策和程序,以使項目質量控制複核人員保持客觀性。這些政策和程序要求項目質量控制複核人員符合下列規定:
(1)不由項目合伙人挑選;
(2)在複核期間不以其他方式參與該業務;
(3)不代替項目組進行決策;
(4)不存在可能損害複核人員客觀性的其他情形。
項目質量控制複核人員應當客觀地評價項目組作出的重大判斷以及在編製內部控制審計報告時得出的結論。評價工作應當涉及下列內容:
(1)與項目合伙人討論重大事項;
(2)複核擬出具的內部控制審計報告;
(3)複核選取的與項目組作出的重大判斷和得出的結論相關的審計工作底稿;
(4)評價在編製內部控制審計報告時得出的結論,並考慮擬出
具內部控制審計報告的恰當性。
對於上市實體內部控制審計,項目質量控制複核人員還應當考慮下列事項:
(1)項目組就具體業務對會計師事務所獨立性作出的評價;
(2)項目組是否已就涉及意見分歧的事項,或者其他疑難問題或爭議事項進行適當諮詢,以及諮詢得出的結論;
(3)選取的用於複核的審計工作底稿,是否反映項目組針對重大判斷執行的工作,以及是否支持得出的結論。
註冊會計師應當在審計工作底稿中清楚地顯示內部控制審計的過程和結果。
註冊會計師應當就下列內容形成審計工作記錄:
(1)制定的內部控制總體審計策略和具體審計計劃及重大修改情況;
(2)對企業層面控制的識別、了解和測試;
(3)確定重要賬戶、列報及其相關認定的過程,包括對擬測試組成部分的確定;
(4)選擇擬測試控制的主要過程及結果;
(5)測試控制設計和運行有效性的程序及結果;
(6)利用他人工作的程度,以及對他人勝任能力和客觀性的評估;
(7)對識別的控制缺陷的評價;
(8)可能導致出具非標準內部控制審計報告的其他審計發現;
(9)形成的審計結論和意見;
(10)其他重要事項。
基本信息
- 中文名
- 企業內部控制審計指引實施意見
- 目的
- 規範註冊會計師執行財務內部控制
- 影響
- 明確工作要求,提高執業質量
- 參考法律
- 《企業內部控制基本規範》