注冊會計師綜合階段-職業(yè)能力綜合測試(一)-第十八章 內(nèi)部控制審計

第五篇審計報告篇——第十八章內(nèi)部控制審計【考情分析】本章內(nèi)容屬于注冊會計師實務(wù)中的重要業(yè)務(wù)，而且常常與財務(wù)報表審計一并進行，因此具有一定的可考性，建議按照課程中的講解進行掌握。一、企業(yè)內(nèi)部控制審計的定義和范圍企業(yè)內(nèi)部控制審計，是指會計師事務(wù)所接受委托，對特定基準日內(nèi)部控制設(shè)計與運行的有效性進行審計。（一）企業(yè)內(nèi)部控制審計針對特定基準日注冊會計師基于基準日（如年末12月31曰）內(nèi)部控制的有效性發(fā)表意見，而不是對財務(wù)報表涵蓋的整個期間（如一年）的內(nèi)部控制的有效性發(fā)表意見?！咀⒁狻康@并不意味著注冊會計師只關(guān)注企業(yè)基準日當天的內(nèi)部控制。對有些內(nèi)部控制，注冊會計師需要考察足夠長的運行時間，才能得出是否有效的結(jié)論。（二）企業(yè)內(nèi)部控制審計的范圍注冊會計師應(yīng)當對財務(wù)報告內(nèi)部控制的有效性發(fā)表審計意見，并對財務(wù)報告內(nèi)部控制審計過程中注意到的非財務(wù)報告內(nèi)部控制的重大缺陷，在內(nèi)部控制審計報告中增加“非財務(wù)報告內(nèi)部控制重大缺陷描述段”予以披露?！咀⒁狻控攧?wù)報告內(nèi)部控制，是指企業(yè)為了合理保證財務(wù)報告及相關(guān)信息真實完整而設(shè)計和運行的內(nèi)部控制，以及用于保護資產(chǎn)安全的內(nèi)部控制中與財務(wù)報告可靠性目標相關(guān)的控制。財務(wù)報告內(nèi)部控制包括：√保存充分、適當?shù)挠涗?，準確、公允地反映企業(yè)的交易和事項；√合理保證按照企業(yè)會計準則的規(guī)定編制財務(wù)報表；√合理保證收入和支出的發(fā)生以及資產(chǎn)的取得、使用或處置經(jīng)過適當授權(quán)；√合理保證及時防止或發(fā)現(xiàn)并糾正未經(jīng)授權(quán)的、對財務(wù)報表有重大影響的交易和事項。二、計劃審計工作（一）重視風險評估的作用內(nèi)部控制不能防止或發(fā)現(xiàn)并糾正由于舞弊導(dǎo)致的錯報風險，通常高于其不能防止或發(fā)現(xiàn)并糾正由錯誤導(dǎo)致的錯報風險?！咀⒁狻孔詴嫀煈?yīng)當更多地關(guān)注高風險領(lǐng)域，而沒有必要測試那些即使有缺陷、也不可能導(dǎo)致財務(wù)報表重大錯報的控制。（二）利用其他相關(guān)人員的工作1.如果擬利用內(nèi)部審計人員的工作，注冊會計師應(yīng)當按照《中國注冊會計師審計準則第1411號——利用內(nèi)部審計人員的工作》的規(guī)定辦理。【注意】如果擬利用他人的工作，注冊會計師則需要評價該人員的專業(yè)勝任能力和客觀性。通常認為，企業(yè)內(nèi)部負責監(jiān)督、稽核或合規(guī)工作的人員，如內(nèi)部審計人員，通常擁有較高的專業(yè)勝任能力和客觀性，注冊會計師可以考慮更多地利用這些人員的相關(guān)工作。2.在內(nèi)部控制審計中，注冊會計師利用他人工作的程度還受到與被測試控制相關(guān)的風險的影響?！咀⒁狻颗c某項控制相關(guān)的風險越高，可利用他人工作的程度就越低，注冊會計師就需要更多地對該項控制親自進行測試。3.注冊會計師應(yīng)當對發(fā)表的審計意見獨立承擔責任，其責任不因為利用企業(yè)內(nèi)部審計人員、內(nèi)部控制評價人員和其他相關(guān)人員的工作而減輕?！咀⒁狻繜o論是否利用其他注冊會計師的工作，注冊會計師都不應(yīng)在內(nèi)部控制審計報告中提及其他注冊會計師的工作。（三）確定重要性水平在計劃內(nèi)部控制審計工作時，注冊會計師應(yīng)當使用與財務(wù)報表審計相同的重要性水平。三、實施審計工作（一）總體要求在內(nèi)部控制審計中，注冊會計師應(yīng)當運用自上而下的方法選擇擬測試的控制。自上而下的方法按照下列思路展開：（1）從財務(wù)報表層次初步了解內(nèi)部控制整體風險；（2）識別、了解和測試企業(yè)層面控制；（3）識別重要賬戶、列報及其相關(guān)認定；（4）了解錯報的可能來源并識別相應(yīng)的控制；（5）選擇擬測試的控制。（二）識別企業(yè)層面控制注冊會計師應(yīng)當測試對評價內(nèi)部控制有效性有重要影響的企業(yè)層面控制。注冊會計師對企業(yè)層面控制的評價，可能增加或減少本應(yīng)對其他控制所進行的測試。企業(yè)層面控制；（1）與控制環(huán)境（內(nèi)部環(huán)境）相關(guān)的控制；（2）針對管理層和治理層凌駕于控制之上的風險而設(shè)計的控制；（3）企業(yè)的風險評估過程；（4）集中化的處理和控制，包括共享的服務(wù)環(huán)境；（5）監(jiān)控經(jīng)營成果的控制；（6）監(jiān)督其他控制的控制，包括內(nèi)部審計職能、審計委員會的活動及內(nèi)部控制自我評價；（7）對內(nèi)部信息傳遞和期末財務(wù)報告流程的控制；（8）針對重大經(jīng)營控制及風險管理實務(wù)的政策。（三）識別重要賬戶、列報披露及其相關(guān)認定1.如果某賬戶或列報披露具有合理可能性包含了一個錯報，該錯報單獨或連同其他錯報將對財務(wù)報表產(chǎn)生重大影響（需要同時考慮多報和少報的風險），則該賬戶或列報為重要賬戶或列報。2.如果某財務(wù)報表認定具有合理可能性包含了一個或多個錯報，這個或這些錯報將導(dǎo)致財務(wù)報表發(fā)生重大錯報，則該認定為相關(guān)認定?！咀⒁狻颗袛嗄迟~戶或列報以及認定是否為相關(guān)認定，應(yīng)當依據(jù)其固有風險，而不應(yīng)考慮相關(guān)控制的影響。3.在識別重要賬戶、列報及其相關(guān)認定時，注冊會計師還應(yīng)當確定導(dǎo)致財務(wù)報表發(fā)生重大錯報的潛在錯報的可能來源?！咀⒁狻孔詴嫀熆赏ㄟ^考慮在特定的重要賬戶或列報中錯報可能發(fā)生的領(lǐng)域和原因，確定潛在錯報的可能來源。4.在內(nèi)部控制審計中，注冊會計師在識別重要賬戶、列報及其相關(guān)認定時應(yīng)當評價的風險因素，與財務(wù)報表審計中考慮的因素相同。因此，在這兩種審計中識別的重要賬戶、列報及其相關(guān)認定應(yīng)當相同?！咀⒁狻咳绻碀撛谥匾~戶或列報的各組成部分存在的風險差異較大，企業(yè)可能需要采用不同的控制以應(yīng)對這些風險，注冊會計師應(yīng)當分別予以處理。（四）了解錯報的可能來源1.注冊會計師應(yīng)當執(zhí)行下列工作，了解潛在錯報的可能來源以選擇擬測試的控制：（了解）（1）了解與相關(guān)認定有關(guān)的交易的處理流程，包括這些交易如何生成、批準、處理及記錄；（2）驗證注冊會計師已識別出業(yè)務(wù)流程中可能發(fā)生重大錯報（包括舞弊導(dǎo)致的錯報）的環(huán)節(jié)；（3）識別被審計單位用于應(yīng)對這些潛在錯報的控制；（4）識別被審計單位用于及時防止或發(fā)現(xiàn)并糾正未經(jīng)授權(quán)的、導(dǎo)致財務(wù)報表發(fā)生重大錯報的資產(chǎn)取得、使用或處置的控制。2.穿行測試通常是達到上述目的最有效方式。在執(zhí)行穿行測試時，注冊會計師使用的文件和信息技術(shù)應(yīng)當與企業(yè)員工使用的相同?！咀⒁狻孔詴嫀熢趫?zhí)行穿行測試時，通常需要綜合運用詢問、觀察、檢查相關(guān)文件及重新執(zhí)行控制等程序。3.在執(zhí)行穿行測試時，針對重要處理程序發(fā)生的環(huán)節(jié)，注冊會計師可以詢問企業(yè)員工對企業(yè)規(guī)定程序及控制的了解程度。這些試探性提問不應(yīng)僅限于關(guān)注穿行測試所選定的單筆交易，這有助于注冊會計師了解業(yè)務(wù)流程處理的不同類型的重大交易。（五）選擇擬測試的控制注冊會計師應(yīng)當評價控制是否足以應(yīng)對評估的每個相關(guān)認定的錯報風險，并選擇其中對形成評價結(jié)論具有重要影響的控制進行測試?！咀⒁狻孔詴嫀煕]有必要測試與某個相關(guān)認定有關(guān)的所有控制?！咀⒁狻吭诖_定是否測試某項控制時，注冊會計師應(yīng)當考慮該項控制單獨或連同其他控制，是否足以應(yīng)對評估的某項相關(guān)認定的錯報風險，而不論該項控制的分類和名稱如何。（六）測試控制設(shè)計的有效性1.如果控制由擁有有效執(zhí)行控制所需的授權(quán)和專業(yè)勝任能力的人員按規(guī)定執(zhí)行，能夠?qū)崿F(xiàn)控制目標，從而有效地防止或發(fā)現(xiàn)可能導(dǎo)致財務(wù)報表發(fā)生重大錯報的錯誤或舞弊，則表明控制的設(shè)計是有效的。2.注冊會計師在測試控制設(shè)計的有效性時，應(yīng)當綜合運用詢問適當人員、觀察企業(yè)經(jīng)營活動和檢查相關(guān)文件等程序。注冊會計師執(zhí)行穿行測試通常足以評價控制設(shè)計的有效性。（七）測試控制運行的有效性如果控制正在按照設(shè)計運行、執(zhí)行人員擁有有效執(zhí)行控制所需的授權(quán)和專業(yè)勝任能力，則表明控制的運行是有效的。1.風險與擬獲取證據(jù)的關(guān)系在測試所選定控制的有效性時，注冊會計師應(yīng)當根據(jù)與控制相關(guān)的風險，確定所需獲取的證據(jù)。與控制相關(guān)的風險包括控制可能無效的風險和因控制無效而導(dǎo)致重大缺陷的風險。【注意】與控制相關(guān)的風險越高，注冊會計師需要獲取的證據(jù)就越多。2.控制測試程序注冊會計師在測試控制運行的有效性時，應(yīng)當綜合運用詢問適當人員、觀察企業(yè)經(jīng)營活動、檢查相關(guān)文件以及重新執(zhí)行控制等程序。注冊會計師實施控制測試的程序，按提供證據(jù)的效力，由弱到強排序為：詢問、觀察、檢查、重新執(zhí)行。3.控制測試涵蓋的期間·對某項控制，測試的范圍越大，獲取的證據(jù)就越多。·控制測試涵蓋的期間越長，提供的控制有效性的證據(jù)越多?！た刂茰y試實施的時間越接近于基準日，提供的控制有效性的證據(jù)越有力。【注意】為獲取充分、適當?shù)淖C據(jù)，注冊會計師應(yīng)當在下列兩個因素之間作出平衡，以確定控制測試的時間：·盡量在接近基準日實施控制測試；·控制測試需要涵蓋足夠長的期間。【注意】注冊會計師旨在對截至某特定日期（通常是年末）內(nèi)部控制的有效性出具報告。如果已獲取截至期中某日期控制運行有效性的證據(jù)，注冊會計師應(yīng)當確定還需要獲取哪些補充證據(jù)，以證實剩余期間控制的運行情況。在將期中測試的結(jié)果更新至基準日時，注冊會計師應(yīng)當考慮下列因素以確定需獲取的補充證據(jù)：·基準日之前測試的特定控制，包括與控制相關(guān)的風險、控制的性質(zhì)和測試的結(jié)果；·期中獲取的有關(guān)證據(jù)的充分、適當性；·剩余期間的長短；·期中測試之后，內(nèi)部控制發(fā)生重大變化的可能性?！ぷ詴嫀熁趯刂频囊蕾嚦潭葦M減少進一步實質(zhì)性程序的程度（僅適用于整合審計）;·控制環(huán)境。4.控制發(fā)生變化時的處理如果新控制實現(xiàn)了相關(guān)控制目標，且運行足夠長的時間，注冊會計師能夠通過對控制進行測試評價其設(shè)計和運行的有效性，則無需測試被取代的控制?！咀⒁狻咳绻蝗〈刂频倪\行有效性對控制風險的評估有重大影響，注冊會計師應(yīng)當測試被取代控制的設(shè)計和運行的有效性。5.發(fā)現(xiàn)控制偏差時的處理如果發(fā)現(xiàn)控制偏差，注冊會計師應(yīng)當確定其對與所測試控制相關(guān)的風險評估、需要獲取的證據(jù)以及控制運行有效性結(jié)論的影響?！咀⒁狻坑捎谟行У膬?nèi)部控制不能為實現(xiàn)控制目標提供絕對保證，單項控制并非一定要毫無偏差地運行，才被認為是有效的。（八）連續(xù)審計時的特殊考慮在連續(xù)審計中，注冊會計師在確定測試的性質(zhì)、時間安排和范圍時，還需要考慮以前年度執(zhí)行內(nèi)部控制審計時了解的情況。1.只有當認為與控制相關(guān)的風險水平比以前年度有所下降時，注冊會計師在本年度審計中才可以減少測試。2.實施對標策略通常，完全自動化的應(yīng)用控制不會因人為失誤而失效。在連續(xù)審計中，對這類控制，注冊會計師可以某一年度為測試基準，重點考慮該年度后內(nèi)部控制發(fā)生的變化（即實施對標策略）?！咀⒁狻咳绻J為程序變更、訪問權(quán)限及計算機操作方面的一般控制有效，且可持續(xù)對其進行測試，并能證實自動化應(yīng)用控制自最近一次測試之后未發(fā)生變化，則注冊會計師不必重復(fù)執(zhí)行測試，就可以認為自動化應(yīng)用控制持續(xù)有效?！咀⒁狻孔詣踊瘧?yīng)用控制能否一貫有效地運行可能取決于所使用的相關(guān)文件、表格、數(shù)據(jù)和參數(shù)的正確性。3.增加測試的不可預(yù)見性注冊會計師需要每年改變控制測試的性質(zhì)、時間安排和范圍。每年在期中不同的時段測試控制，并增加或減少所執(zhí)行測試的數(shù)量和種類，或者改變所使用測試程序的組合等。四、評價控制缺陷（一）設(shè)計缺陷和運行缺陷1.如果某項控制的設(shè)計、實施或運行不能及時防止或發(fā)現(xiàn)并糾正財務(wù)報表錯報，則表明內(nèi)部控制存在缺陷。如果企業(yè)缺少用以及時防止或發(fā)現(xiàn)并糾正財務(wù)報表錯報的必要控制，同樣表明存在內(nèi)部控制缺陷。2.內(nèi)部控制缺陷包括設(shè)計缺陷和運行缺陷。設(shè)計缺陷是指缺少為實現(xiàn)控制目標所必需的控制，或者現(xiàn)有控制設(shè)計不適當，即使正常運行也難以實現(xiàn)控制目標。運行缺陷是指設(shè)計適當?shù)目刂茮]有按設(shè)計意圖運行，或者執(zhí)行人員缺乏必要授權(quán)或?qū)I(yè)勝任能力，無法有效實施控制。（二）重大缺陷、重要缺陷和一般缺陷1.內(nèi)部控制存在的缺陷，按嚴重程度分為重大缺陷、重要缺陷和一般缺陷。（1）重大缺陷，是指一個或多個控制缺陷的組合，可能導(dǎo)致企業(yè)嚴重偏離控制目標。【注意】具體到財務(wù)報告內(nèi)部控制上，就是內(nèi)部控制中存在的、可能導(dǎo)致不能及時防止或發(fā)現(xiàn)并糾正財務(wù)報表重大錯報的一個或多個控制缺陷的組合。（2）重要缺陷，是指一個或多個控制缺陷的組合，其嚴重程度和經(jīng)濟后果低于重大缺陷，但仍有可能導(dǎo)致企業(yè)偏離控制目標。【注意】具體就是內(nèi)部控制中存在的、其嚴重程度不如重大缺陷、但足以引起企業(yè)財務(wù)報告監(jiān)督人員關(guān)注的一個或多個控制缺陷的組合。（3）一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。2.注冊會計師需要評價其注意到的各項控制缺陷的嚴重程度，以確定這些缺陷單獨或組合起來，是否構(gòu)成重大缺陷?！咀⒁狻吭诖_定一項內(nèi)部控制缺陷或多項內(nèi)部控制缺陷的組合是否構(gòu)成重大缺陷時，注冊會計師應(yīng)當評價補償性控制（替代性控制）的影響。企業(yè)執(zhí)行的補償性控制應(yīng)當具有同樣的效果。3.下列跡象可能表明企業(yè)的內(nèi)部控制存在重大缺陷：·注冊會計師發(fā)現(xiàn)董事、監(jiān)事和高級管理人員舞弊；·企業(yè)更正已經(jīng)公布的財務(wù)報表；·注冊會計師發(fā)現(xiàn)當期財務(wù)報表存在重大錯報，而內(nèi)部控制在運行過程中未能發(fā)現(xiàn)該錯報；·企業(yè)審計委員會和內(nèi)部審計機構(gòu)對內(nèi)部控制的監(jiān)督無效。五、完成審計工作（一）形成審計意見注冊會計師需要評價從各種來源獲取的證據(jù)。在評價證據(jù)時，注冊會計師需要查閱本年度與內(nèi)部控制相關(guān)的內(nèi)部審計報告或類似報告，并評價這些報告中提到的控制缺陷?！咀⒁狻恐挥性趯徲嫹秶鷽]有受到限制時，注冊會計師才能對內(nèi)部控制的有效性形成意見。·如果審計范圍受到限制，注冊會計師需要解除業(yè)務(wù)約定或出具無法表示意見的內(nèi)部控制審計報告。（二）獲取管理層書面聲明1.注冊會計師完成審計工作后，應(yīng)當取得經(jīng)企業(yè)簽署的書面聲明。書面聲明需要包括下列內(nèi)容：（1）企業(yè)董事會認可其對建立健全和有效實施內(nèi)部控制負責；（2）企業(yè)已對內(nèi)部控制的有效性作出自我評價，并說明評價時采用的標準以及得出的結(jié)論；（3）企業(yè)沒有利用注冊會計師執(zhí)行的審計程序及其結(jié)果作為自我評價的基礎(chǔ)；（4）企業(yè)已向注冊會計師披露識別出的內(nèi)部控制所有缺陷，并單