对特定基准日内部控制设计与运行的有效性进行审计,应包括财务报告内部控制的有效性发布审计意见,并对内部控制审计中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
单独进行内部控制审计,也可将内部控制审计与财务报表审计整合进行:在整合审计中,应当对内部控制审计与运行的有效性进行测试,可以同时实现下列目标:
一是获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发表的意见;
二是获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结果。
实施审计工作,采用自上而下的方法,将测试分为企业层面控制测试和业务层面控制测试。
企业层面测试要紧紧围绕内部控制5个要素,业务层面测试按照企业内部控制各项应用指引的要求和企业层面控制测试情况,重点对企业生产经营活动中的主要业务与事项的控制进行测试。可以把企业层面控制和业务层面控制的测试结合进行,围绕内部控制5个要素,遵循内部控制基本规范和各项应用指引,对企业内控设计和运行的有效性进行认定和评价,具体如下:
内部测试评价的依据和对象
序号 |
内部控制要素 |
评价依据 |
认定和评价对象 |
1 |
内部环境 |
组织架构、发展战略、人力资源、企业文化、社会责任等应用指引。 |
内部环境的设计和实际运行情况。 |
2 |
风险评估 |
基本规范、各项应用指引中所列主要风险。 |
日常经营管理过程中的风险识别、风险分析、应对策略。 |
3 |
控制活动 |
基本规范和应用指引中的控制措施。 |
控制措施的设计和运行情况。 |
4 |
信息与沟通 |
内部信息传递、财务报告、信息系统等应用指引。 |
信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性。 |
5 |
内部监督 |
基本规范、应用指引中有关日常管控的规定。 |
内部监督机制的有效性,重点关注监事会、审计委员会、内部审计机构等是否有效发挥监督作用。 |
测试程序(方法)包括:询问(适当人员)、调查问卷、专题讨论、观察(经营活动)、检查(相关文件)、穿行测试、重新执行、抽样和比较分析等。但应注意,询问本身并不足以提供充分、适当的证据。
内部控制缺陷按照影响程度分为:重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标;重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标;一般缺陷:是指除重大缺陷、重要缺陷之外的其他缺陷。
具体认定标准,由企业根据上述要求自行确定。
确认重大缺陷时,应当评价补偿性控制(替代性控制)的影响,关注可能存在重大缺陷的迹象:
1. 董事、监事和高级管理人员舞弊;
2. 企业更正已经公布的财务报表;
3. 当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报;
4. 企业审计委员会和内部审计机构对内部控制的监督无效。
内部控制缺陷分财务报告内部控制中的缺陷和非财务报告内部控制中的缺陷。前者中的重大缺陷直接影响审计报告类型,后者不会影响审计报告类型,如果发现非财务报告内部控制重大缺陷,只需在报告中增加描述段。
非财务报告内部控制中的缺陷分类及其处理
序号 |
分类 |
与企业沟通方式 |
报告处理方式 |
1 |
一般缺陷 |
与企业沟通,提醒加以改进。 |
无需在报告中说明。 |
2 |
重要缺陷 |
以书面形式与企业董事会和经理层沟通,提醒加以改进。 |
无需在报告中说明。 |
3 |
重大缺陷 |
以书面形式与企业董事会和经理层沟通,提醒加以改进。 |
在报告中增加非财务报告内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露,提示内部控制审计报告使用者注意相关风险。 |
完成审计工作后,应该取得经企业签署的书面声明,该声明应包括下列内容:
1.企业董事会认可其对建立健全和有效实施内部控制负责。
2.企业已对内部控制的有效性作出自我评价,并说明评价时采用的标准和得出的结论。
3.企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础。
4.企业已向注册会计师披露识别出所有的内部控制缺陷,并单独披露其中的重大缺陷和重要缺陷。
5.企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷,是否已经采取措施加以解决。
6.企业在内部控制自我评价基准日后,内部控制是否发生重大变化,或者存在对内部控制具有重要影响的其他因素。
企业如果拒绝或以其他不当理由回避书面声明,应视为审计范围受到限制,解除业务约定或出具无法表示意见的内部控制审计报告。
序号 |
报告类型 |
定义 |
处理方法 |
1 |
标准报告 |
企业在所有重大方面保持了有效的内部控制;审计过程未受到限制 |
如发现非财务报告内部控制重大缺陷,可增加描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露;提示内部控制审计报告使用者注意相关风险。但注明该段内容不影响对财务报告内部控制有效性发表的审计意见。 |
2 |
带强调事项段的无保留意见报告 |
财务报告内部控制虽不存在重大缺陷但仍有一项或者多项重大事项需要提请内部控制审计报告使用者注意, |
在报告中增加强调事项段予以说明。描述强调事项的性质及其对内部控制的重大影响。 |
3 |
否定意见报告 |
财务报告内部控制存在重大缺陷,且审计范围未受到限制。 |
对财务报告内部控制发表否定意见,在报告中说明: (1)重大缺陷的定义; (2)重大缺陷的限制及其对财务报告内部控制的影响程度。 当知悉对内控自我评估基准日内部控制有效性有重大负面影响的期后事项时,应当对财务报告内部控制发表否定意见。 |
4 |
无法表示意见报告 |
审计范围受到限制。如不能取得企业关于内部控制声明书、不能确定期后事项对内部控制有效性的影响程度时。 |
在报告中指出审计范围受到限制,无法对内部控制的有效性发表意见。 就审计范围受到限制情况,以书面形式与董事会进行沟通。 在已执行的有限程序中发现财务报告内部控制存在重大缺陷,应在报告中对重大缺陷作出详细说明。 |
根据财务报告内部控制中的缺陷影响情况和审计范围是否受限,内部控制审计报告分4种格式,财务报告内部控制中的重大缺陷直接影响报告类型。
(作者单位:上海上咨会计师事务所)