企业内部控制重大缺陷的相关规定及注意事项
2012年第5期 作者:孙柯 阅读(13676)
【来源:《上海注册会计师》 查看本期目录】
2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司需要执行《企业内部控制基本规范》及企业内部控制配套指引,应对内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。内部控制审计报告中注册会计师的责任是:在实施审计工作的基础上,对财务报告内部控制的有效性发表审计意见,并对注意到的非财务报告内部控制的重大缺陷进行披露。
开展企业内部控制审计,标志着审计服务正在向纵深方向发展,审计的外延已经被重新定义。因此正确把握并认识企业内部控制的重大缺陷对我们审计企业内部控制的有效性具有特别重要的现实意义。
一、什么是企业内部控制的重大缺陷
《企业内部控制评价指引》第十七条规定:企业在日常监督、专项监督和年度评价工作中,应当充分发挥内部控制评价工作组的作用。内部控制评价工作组应当根据现场测试获取的证据,对内部控制缺陷进行初步认定,并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。
《企业内部控制基本规范》第三条第二款规定:内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
二、企业内部控制重大缺陷的认定部门
《企业内部控制评价指引》第十九条规定:企业内部控制评价部门应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。
企业对于认定的重大缺陷,应当及时采取应对策略,切实将风险控制在可承受度之内,并追究有关部门或相关人员的责任。
三、注册会计师如何识别企业内部控制重大缺陷
《企业内部控制审计指引》对注册会计师如何识别企业内部控制重大缺陷有如下规定(本文仅为摘要,下同):
1.第七条在计划审计工作时,注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响:
(六)重要性、风险等与确定内部控制重大缺陷相关的因素。
2.第八条注册会计师应当以风险评估为基础,选择拟测试的控制,确定测试所需收集的证据。
内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。
3.第二十条内部控制缺陷按其成因分为设计缺陷和运行缺陷,按其影响程度分为重大缺陷、重要缺陷和一般缺陷。
注册会计师应当评价其识别的各项内部控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成重大缺陷。
4.第二十一条在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时,注册会计师应当评价补偿性控制(替代性控制)的影响。企业执行的补偿性控制应当具有同样的效果。
5.第二十二条表明内部控制可能存在重大缺陷的迹象,主要包括:
(一)注册会计师发现董事、监事和高级管理人员舞弊。
(二)企业更正已经公布的财务报表。
(三)注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报。
(四)企业审计委员会和内部审计机构对内部控制的监督无效。
《企业内部控制审计工作底稿编制指南》中明确注册会计师评价内部控制缺陷需要运用职业判断,相关表述内容如下:
控制缺陷的严重程度取决于:控制不能防止或发现并纠正账户或列报发生错报的可能性大小,因一项或多项控制缺陷导致的潜在错报的金额大小。
在评价控制缺陷时,注册会计师应当运用职业判断,考虑并衡量定量和定性因素。同时要对整个思考判断过程进行记录,尤其是详细记录关键判断和得出结论的理由。在评价控制缺陷严重程度的记录中,注册会计师应当对“可能性”和“错报金额的大小”的判断作出明确的陈述。
四、注册会计师恰当沟通和披露内部控制的重大缺陷
(一)沟通
《企业内部控制审计指引》第三十二条规定:注册会计师对在审计过程中注意到的非财务报告内部控制缺陷,应当区别具体情况予以处理:
1.注册会计师认为非财务报告内部控制缺陷为一般缺陷的,应当与企业进行沟通,提醒企业加以改进,但无需在内部控制审计报告中说明。
2.注册会计师认为非财务报告内部控制缺陷为重要缺陷的,应当以书面形式与企业董事会和经理层沟通,提醒企业加以改进,但无需在内部控制审计报告中说明。
3.注册会计师认为非财务报告内部控制缺陷为重大缺陷的,应当以书面形式与企业董事会和经理层沟通,提醒企业加以改进;同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露,提示内部控制审计报告使用者注意相关风险。
(二)披露
《企业内部控制审计指引》对注册会计师执行审计程序后发现被审计单位存在内部控制重大缺陷时有如下规定:
第四条注册会计师执行内部控制审计工作,应当获取充分、适当的证据,为发表内部控制审计意见提供合理保证。
注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
第二十七条注册会计师在完成内部控制审计工作后,应当出具内部控制审计报告。
第二十九条注册会计师认为财务报告内部控制虽不存在重大缺陷,但仍有一项或者多项重大事项需要提请内部控制审计报告使用者注意的,应当在内部控制审计报告中增加强调事项段予以说明。
第三十条注册会计师认为财务报告内部控制存在一项或多项重大缺陷的,除非审计范围受到限制,应当对财务报告内部控制发表否定意见。
注册会计师出具否定意见的内部控制审计报告,还应当包括下列内容:
1.重大缺陷的定义。
2.重大缺陷的性质及其对财务报告内部控制的影响程度。
第三十一条注册会计师审计范围受到限制的,应当解除业务约定或出具无法表示意见的内部控制审计报告,并就审计范围受到限制的情况,以书面形式与董事会进行沟通。
注册会计师在出具无法表示意见的内部控制审计报告时,应当在内部控制审计报告中指明审计范围受到限制,无法对内部控制的有效性发表意见。
注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的,应当在内部控制审计报告中对重大缺陷作出详细说明。
五、中央企业内部控制审计中注册会计师的特别责任
2012年5月7日国资委、财政部下发《关于加快构建中央企业内部控制体系有关事项的通知》(国资发评价〔2012〕68号),要求中央企业分类分步推进,确保2013年全面完成集团内部控制体系的建设与实施工作。
中央企业可以根据需要,聘请外部中介机构协助开展内部控制评价工作或进行内部控制审计。但对于在监督检查中发现的重大缺陷,企业在自我评价和审计工作中未充分揭示或未及时报告的,将追究内部控制评价部门和外部中介机构的责任。
六、其他需要引起注册会计师注意的事项
1.内部控制鉴证报告、内部控制审计报告、财务报告审计报告是有区别的
内部控制鉴证报告:审计依据《中国注册会计师其他鉴证业务准则第3101号—历史财务信息审计或审阅以外的鉴证业务》的规定。目前适用范围:拟在中国大陆上市(俗称IPO)和再融资企业。
内部控制审计报告:审计依据《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》的规定。目前适用范围:境内外同时上市的公司及在上海证券交易所、深圳证券交易所主板上市公司。
财务报告审计报告:审计依据中国注册会计师审计准则的规定。目前适用范围:法定财务报告需要审计的公司。
2.企业存在内部控制重大缺陷时不一定被出具非标准意见财务报告审计报告
根据《企业内部控制审计指引》的相关规定,注册会计师发现企业财务报告内部控制存在重大缺陷,应该出具否定意见的内部控制审计报告。但是,如果该内部控制重大缺陷尚未引起企业财务报告的重大错报,注册会计师出具标准意见的财务报告审计报告。
注册会计师对企业财务报告发现否定意见,意味着企业财务报告的编制不符合适用的会计准则和会计制度的规定。这种情况下,企业的内部控制也通常存在重大缺陷,应该出具否定意见的内部控制审计报告。
3.企业整改了内部控制重大缺陷也可能被出具非无保留意见内部控制审计报告
《企业内部控制审计工作底稿编制指南》指出,如果被审计单位在基准日前对存在缺陷的控制进行了整改,整改后的控制需要运行足够长的时间,才能使用注册会计师得出其是否有效的审计结论。如果整改后的控制尚未运行足够长的时间,注册会计师应当将其视为内部控制在基准日存在重大缺陷。注册会计师应当根据控制的性质和与控制相关的风险,合理运用职业判断,确定整改后的控制运行的最短期间(或整改后控制的最少运行次数)以及最少测试数量。
4.针对管理层和治理层凌驾于控制之上的风险而设计的控制
《企业内部控制审计工作底稿编制指南》指出:不同的企业其管理层和治理层凌驾于控制之上的风险水平不同,注册会计师选择相关的企业层面控制进行测试,并评价这些控制是否有效应对已识别的可能导致财务报表发生重大错报的管理层和治理层凌驾于控制之上的风险。
针对管理层和治理层凌驾于控制之上而设计的控制措施包括但不限于:针对重大的异常交易控制,针对关联方交易的控制,与管理层的重大估计相关的控制,能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制,建立内部举报投诉制度。
作者单位:立信会计师事务所
