导图社区 第二十章 企业内部控制审计
- 146
- 9
- 1
- 举报
第二十章 企业内部控制审计
2021年注册会计师审计第二十章,企业内部控制审计的知识总结。内部控制审计是通过对被审计单位的内控制度的审查、分析测试、评价,确定其可信程度,从而对内部控制是否有效作出鉴定的一种现代审计方法。
编辑于2021-05-02 14:18:47- 第六章 公司法律制度
2021年注册会计师经济法考试,第六章完整脉络图!内容包含公司法律制度概述、有限责任公司、一人有限责任公司、国有独资公司、股份有限公司五个部分。清晰直观地带你了解公司法律制度的重要知识点,快来一起学习探讨吧!
- 第五章 合伙企业法律制度
2021年注册会计师考试经济法,第五章内容以框架形式展示本章,更加清晰、明了,为注册会计师重要考点,有需要的小伙伴可参考以下笔记。
- 第二章 基本民事法律制度
备考时间紧张,没时间归纳今年CPA考试的重点?本思维导图总结了2021年注册会计师基本民事法律制度的复习重点,必考点已列优先级序号,每一个考点都清清楚楚,给今年的考生参考。赶快收藏学起来吧!
第二十章 企业内部控制审计
社区模板帮助中心,点此进入>>
- 第六章 公司法律制度
2021年注册会计师经济法考试,第六章完整脉络图!内容包含公司法律制度概述、有限责任公司、一人有限责任公司、国有独资公司、股份有限公司五个部分。清晰直观地带你了解公司法律制度的重要知识点,快来一起学习探讨吧!
- 第五章 合伙企业法律制度
2021年注册会计师考试经济法,第五章内容以框架形式展示本章,更加清晰、明了,为注册会计师重要考点,有需要的小伙伴可参考以下笔记。
- 第二章 基本民事法律制度
备考时间紧张,没时间归纳今年CPA考试的重点?本思维导图总结了2021年注册会计师基本民事法律制度的复习重点,必考点已列优先级序号,每一个考点都清清楚楚,给今年的考生参考。赶快收藏学起来吧!
- 相似推荐
- 大纲
企业内部控制审计
内部控制审计的基本理论
内部控制审计的概念
内部控制审计的含义
内部控制审计,指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。其中,财务报告内部控制审计是服务的核心要求
相关内部控制的含义
财务报告内部控制,指公司的董事会、监事会、经理层及全体员工实施的旨在合理保证财务报告及相关信息真实、完整而设计和运行的内部控制,及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制
非财务报告内部控制,指除财务报告内部控制之外的其他控制,通常指为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制,及用于保护资产安全的内部控制中与财务报告可靠性目标无关的控制
基准日
概念
CPA评价内部控制在某一时日是否有效所涉及的基准日,也是被审计单位评价基准日,即最近一个会计期间截止日
辨析
CPA对特定基准日内部控制的有效性发表意见,并不意味着CPA只测试基准日这一天的内部控制,而是需要考察足够长一段时间内部控制设计和运行的情况
在整合审计中,控制测试所涵盖的期间应当尽量与财务报表审计中拟信赖内部控制的期间保持一致
范围
对象
针对财务报告内部控制
CPA对其有效性发表审计意见
针对非财务报告内部控制
CPA针对审计过程中注意到的非财务报告内部控制重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露
整合审计
CPA可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行
内部控制审计与财务报表审计的辨析
共同点
两者最终目的一致,虽然各有侧重,单最终目的均为提高财务报表预期使用者对财务报表的信赖程度
两者都采用风险导向审计方法
两者运用的重要性水平相同。由于内部控制的目标是合理保证财务报表及相关信息的真实、完整,因此对于同一财务报表,在两种审计中运用的重要性水平应当相同
两者识别的重要账户、列报及其相关认定相同。CPA在识别重要账户、列报及其相关认定时应当评价的重大错报风险因素对于内部控制审计和财务报表审计而言是相同的,因此对于同一财务报表,在两种审计中识别的重要账户、列报及其相关认定应当相同
两者了解和测试颞部控制设计和运行有效性的基本方法相同,都可能实施询问、观察、检查及重新执行等程序
区别
两者侧重不同。财务报表审计是对财务报表进行审计,重在审计“结果”,而内部控制审计是对保证财务报表质量的内部控制的有效性进行审计,重在审计“过程”
两者对内部控制进行了解和测试的目的不同。在财务报表审计中,是为了识别、评估和应对重大错报风险,据此确定实质性程序的性质、时间安排和范围,并获取相关的审计证据,以支持对财务报表发表的审计意见;在内部控制审计,是为了对内部控制的有效性发表审计意见
两者测试内部控制运行有效性的范围要求不同。在财务报表审计中,针对评估的认定层次重大错报风险,CPA可能选择采用实质性方案或综合性方案,如果采用实质性方案,CPA可以不测试内部控制的运行有效性;在内部控制审计中,CPA应当针对所有重要账户和列报的每一个相关认定获取控制设计和运行有效性的审计证据,以便对内部控制整体的有效性发表审计意见
两者内部控制测试的期间要求不同。在财务报表审计中,如果CPA选择综合性方案,需要获取内部控制在整个拟信赖期间运行有效的审计证据;在内部控制审计中,CPA对于基准日的内部控制运行有效性发表意见,则仅需要对内部控制在基准日前足够长的时间内的运行有效性获取审计证据
两者对利用以前审计中获取的审计证据的要求不同。在财务报表审计中,CPA可以在某些方面利用以前审计中获取的有关控制运行有效性的审计证据;在内部控制审计中,除考虑对自动化应用控制实施与基准相比较的策略外(完全自动化的控制通常不会因人为失误而失效),CPA不能利用以前审计中获取的有效控制运行有效性的审计证据,而是需要每年获取有关控制有效性的审计证据
两者对控制缺陷的评价要求不同。在内部控制审计中,CPA应当评价识别出内部控制缺陷是否构成一般缺陷、重要缺陷或重大缺陷。在财务报表审计中,CPA需要确定识别出的内部控制缺陷单独或连同其他缺陷是否构成值得关注的内部控制缺陷
审计报告的形式和内容及所包括的意见类型不同。企业内部控制审计意见包括无保留意见、否定意见和无法表示意见三种类型
控制有效性测试的相关理论
内部控制的有效性的含义
包括内部控制设计的有效性和内部控制运行的有效性
与控制相关的风险
与控制相关的风险越高,CPA需要获取的审计证据就越多
测试控制有效性的程序的性质
询问
仅实施询问程序不能为某一特定控制的有效性提供充分、适当的证据,必须与其他测试手段结合使用才能发挥作用
观察
观察是测试运行不留下书面记录的控制的有效方法,也可运用于测试对事物的控制
检查
检查记录和文件可以提供可靠程度不同的审计证据,审计证据的可靠性取决于记录或文件的性质和来源,而在检查内部记录和文件时,其可靠性则取决于生产该记录或文件的内部控制的有效性
通过检查凭证签名获得的审计证据的质量可能不具有说服力
重新执行
通常只有当综合运用询问、观察和检查程序仍无法获取充分、适当的证据时,CPA才会考虑重新执行程序
重新执行的目的是评价控制的有效性,而不是测试特定交易或余额的存在或准确性,即定性而非定量,因此一般不必选取大量的项目,也不必特意选取金额重大的项目进行测试
控制测试的时间安排
总体原则
对于内部控制审计业务,CPA应当获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据
在整合审计中,CPA控制测试所涵盖的期间应尽量与财务报表审计中拟信赖颞部控制的期间保持一致
对控制有效性测试的实施时间越接近基准日,提供的控制有效性的审计证据越有力
两种方法
在整合审计中测试控制在整个会计年度的运行有效性时
CPA可以进行期中测试,然后对剩余期间实施前推测试
将样本分成两部分,一部分在期中测试,剩余部分在临近年末的期间测试
控制测试的范围
测试人工控制的最小样本规模
测试自动化应用控制的最小样本规模
在信息技术一般控制有效的前提下,除非系统发生变动,CPA或其专家可能只需要对某项自动化应用控制的每一相关属性进行一次系统查询以检查其系统设置,即可得出所测试自动化应用控制是否运行有效的结论
发现偏差时的处理
由于有效的内部控制不能为实现控制目标提供绝对保证,单项控制并非一定要毫无偏差地运行,才被认为有效
CPA应当考虑偏差的原因及性质,如果发现的控制偏差是系统性偏差或人为有意造成的偏差,CPA应当考虑舞弊的可能迹象及审计方案的影响
当测试发现一项控制偏差,且该偏差不是系统性偏差时,CPA可以扩大样本规模进行测试。如果测试后再次发现偏差,则CPA可以得出该控制无效的结论;如果扩大样本规模没有再次发现偏差,则CPA可以得出控制有效的结论
内部控制审计的计划和实施
计划审计工作
计划审计工作时应当考虑的事项
内部控制审计计划划分为总体审计策略和具体审计计划两个层次,在计划审计工作时,CPA应当评价下列事项对财务报告内部控制、财务报表及审计工作的影响
与企业相关的风险
相关法律法规和行业概况
企业组织结构、经营特点和资本结构等相关重要事项
企业内部控制最近发生变化的程度
与企业沟通过的内部控制缺陷
重要性、风险等于确定内容控制重大缺陷相关的因素
对内部控制有效性的初步判断
可获取的、与内部控制有效性相关的证据的类型和范围
总体审计策略
确定审计业务的特征,以界定审计范围
确定审计业务的报告目标,以计划审计的时间安排和所需沟通的性质
根据职业判断,考虑用以指导项目组工作方向的重要因素
考虑初步业务活动的结果,并考虑对被审计单位执行其他业务时获得的经验是否与内部控制审计业务相关
确定执行业务所需资源的性质、时间安排和范围
具体审计计划
了解和识别内部控制的程序的性质、时间安排和范围
测试控制设计有效性的程序的性质、时间安排和范围
测试控制运行有效性的程序的性质、时间安排和范围
内部控制审计的方法论-自上而下的方法
识别、了解和测试企业层面控制
企业层面控制的含义
企业层面的控制通常为应对企业财务报表整体层面的风险而设计,通常在比业务流程更高的层面上乃至整个企业范围内运行。企业层面控制作用比较广泛,通常不局限于某个具体认定
企业层面控制的内容
与控制环境(即内部控制)相关的控制
针对管理层和治理层凌驾于控制之上的风险而设计的控制
被审计单位的风险评估过程
对内部信息传递和期末财务报告流程的控制
对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价
集中化的处理和控制(包括共享的服务环境)、监控经营成果的控制及针对重大经营控制及风险管理实务的政策
企业层面控制对其他控制及其测试的影响
不同的企业层面控制在性质和精确度上存在差异,CPA对企业层面控制的评价,可能增加或减少本应对其他控制所进行的测试
与控制环境相关的控制,对及时防止或发现重大错报的可能性有重要影响,可能影响CPA拟测试的其他控制及其他控制所执行程序的性质、时间安排和范围
某些企业层面控制能够监督其他控制的有效性,但控制本身并非精确到足以及时防治或发现相关认定的重大错报。当这些控制运行有效时,CPA可以减少对其他控制的有效性测试
某些企业层面控制本身能够精确到足以及时防治或发现并纠正相关认定的重大错报。如果一项企业层面控制足以应对已评估的重大错报风险,CPA可能就不必测试与该风险相关的其他控制
三种影响
间接的重要影响
被审计单位是否营造了合适的经营理念和管理基调,虽然这些与控制环境相关的控制与某个财务报表的认定没有直接关联,但由于这些控制可能会对其他控制的有效运行带来普遍性的影响,所以CPA可能需要考虑这些控制是否存在缺陷
不够精确但可以减少对其他控制的测试
被审计单位的财务总监定期审阅经营收入的详细阅读分析报告。由于这个控制没有足够的精确度以及时防止或发现某个财务报表相关认定的重大错报,所以这个控制不可以完全替代CPA对其他控制的测试。但是,如果这个控制有效,可能可以使CPA减少其原本拟对其他控制所进行的测试
足够精确故可以取代对其他控制的测试
被审计单位设立了银行余额调节表的监督审阅流程,并且对下属所有分级机构进行定期检查。如果这个监督审阅过程中的程序有足够的精确度以复核各个下属单位的工作,那么CPA可以考虑测试这个企业层面的控制,并且不必对下属每个单位的相关控制进行测试
识别重要账户、列报及其相关认定
重要账户、列报及相关认定的含义
CPA应当基于财务报表层次识别重要账户、列报及其相关认定
某账户或列报可能存在一个错报,该错报单独或连同其他错报将导致财务报表发生重大错报,则该账户或列报为重要账户或列报
如果某财务报表认定可能存在一个或多个错报,这个或这些错报将导致财务报表发生重大错报,则该认定为相关认定
识别要求
CPA应当从定性和定量两个方面作出评价,包括考虑舞弊的影响。超过财务报表整体重要性的账户,无论是在内部控制审计还是财务报表审计中,通常情况下被认定为重要账户。但是,一个账户或列报的金额超过财务报表整体重要性,并不必然表明其属于重要账户或列报
在识别重要账户、列报及其相关认定时,CPA还应当确定重大错报的可能来源
在识别重要账户、列报及其相关认定时,CPA不应考虑控制的影响,因为内部控制审计的目标本身就是评价控制的有效性
如果某账户或列报的各明细项目存在的风险差异较大,被审计单位可能需要采用不同的控制以应对这些风险,CPA应当分别予以考虑,并针对各自的风险涉及审计程序
以前年度审计中了解到的情况影响CPA对固有风险的评估,因而应当在确定重要账户、列报及其相关认定时加以考虑
在内部控制审计中,CPA在识别重要账户、列报及其相关认定时应当评价的风险因素,与财务报表审计中考虑的因素相同。因此在这两种审计中识别的重要账户、列报及其相关认定应当相同
了解潜在错报的来源并识别相应的控制
穿行测试指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程,是评价控制设计的有效性及确定控制是否得到执行的有效方法。CPA在实际穿行测试时,通常需要综合运用询问、观察、检查相关文件记录
选择拟测试的控制
基本要求
CPA应当针对每一相关认定获取控制有效性的审计证据,以便对内部控制整体的有效性发表意见,但没有责任对单项控制的有效性发表意见
CPA没有必要测试与某项相关认定有关的所有控制
在确定是否测试某项控制时,CPA应当考虑该项控制单独或连同其他控制,是否足以应对评估的某项相关认定的错报风险
选取关键控制
CPA应当选择测试对形成内部控制审计意见有重大影响的控制,在选取关键控制时,需要作出职业判断
CPA无须测试即使有缺陷也合理预期不会导致财务报表重大错报的控制
业务流程、应用系统或交易层面的控制的测试
了解企业经营活动和业务流程
CPA可以通过检查被审计单位的手册和其他书面指引获得有关信息,还可以通过询问和观察来获得全面的了解
向负责处理具体业务人员的上级进行询问通常更加有效
CPA可以检查并在适当的情况下保存部分被审计单位的复印件,可以考虑在图标及流程图上加入自己的文字表述
识别和了解相关控制
控制的类型包括预防性控制和检查性控制
应首先询问级别较高的人员,再询问级别较低的人员
从级别较低人员处获取的信息,影响级别较高的人员核实其完整性
CPA并不需要了解与每一控制目标相关的所有控制
控制与认定直接或间接相关,关系月间接,控制对防止或发现并纠正认定错报的效果越小,CPA应考虑识别和了解与认定关系更直接、更有效的控制
信息系统控制的测试
信息技术一般控制测试
信息系统一般控制是指为了保证信息系统的安全,对整个信息系统及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施
信息技术一般控制确保了应用系统控制和依赖计算机处理的自动会计程序得以持续有效地运行
信息技术一般控制包括程序开发、程序变更、程序和数据访问及计算机运行四个方面
信息技术应用控制测试
信息技术应用控制一般要经过输入、处理及输出等环节,与手工控制一样,自动系统控制同样关注信息处理目标的四个要素:完整性、准确性、经过授权和访问限制
所有的自动应用控制都会有一个手工控制与之相对应,在测试的时候,每个自动系统控制都要与其对应的手工控制一起进行测试,才能得到控制是否可信赖的结论
内部控制缺陷评价
控制缺陷的分类
按照性质划分
设计缺陷
指缺少为实现控制目标所必需的控制,或现有的控制设计不适当、即使正常运行也难以实现预期的控制目标
运行缺陷
指现存涉及适当的控制没有按设计意图运行,或执行人员没有获得必要授权或缺乏胜任能力,无法有效地实施内部控制
按照严重程度划分
重大缺陷
内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合
重要缺陷
是内部控制中存在的、其严重程度不如重大缺陷但足以引起负责监督被审计单位财务报告的人员关注的一项控制缺陷或多项控制缺陷的组合
一般缺陷
内部控制中存在的、除重大缺陷和重要缺陷之外的控制缺陷
评价控制缺陷的严重程度
对CPA的要求
CPA应当评价其识别的各项控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成内部控制的重大缺陷。在计划和实施审计工作时,不要求CPA寻找单独或组合起来不构成重大缺陷的控制缺陷
控制缺陷严重程度的影响因素
发生错报的可能性
指控制不能防止或发现并纠正账户或列报发生错报的可能性的大小,具体而言
控制缺陷的严重程度与错报是否发生无关,而取决于控制不能防止或发现并纠正错报的可能性的大小
评价控制缺陷是否可能导致错报时,CPA无须将错报发生的概率量化为某特定的百分比或区间
CPA应当确定,对于同一重要账户、列报及其相关认定或内部控制要素产生影响的各项控制缺陷,组合起来是否构成重大缺陷
潜在错报的金额
指因一项或多项控制缺陷导致的潜在错报的金额大小,CPA应当考虑的因素包括
受控制缺陷影响的财务报表金额或交易总额
在本期或预计的未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量
对补偿性控制的考虑
在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时,CPA应当评价补偿性控制的影响
在评价补偿性控制是否能够弥补控制缺陷时,CPA应当考虑补偿性控制是否有足够的精确度以防止或发现并纠正可能发生的重大错报
控制缺陷评价流程-APEC流程
内部控制缺陷整改
如果被审计单位在基准日前对存在缺陷的控制进行整改,整改后的控制需要运行足够长的时间,才能是CPA得出其是否有效的审计结论。如果被审计单位在基准日前对存在重大缺陷的内部控制进行了整改,但新控制没有运行足够长的时间,CPA应当将其视为内部控制在基准日存在重大缺陷
内部控制审计报告
形成审计意见
CPA应当评价从各种来源获取的审计证据,包括对控制测试结果、财务报表审计中发现的错报及已识别的所有控制缺陷,形成对内部控制有效性的意见
在评价审计证据时,CPA应当查阅本年度涉及内部控制的内部审计报告或类似报告,并评价这些报告中指出的控制缺陷
在对内部控制的有效性形成意见后,CPA应当评价企业内部控制评价报告对相关法律法规规定的要素的列报是否完整和恰当
在整合审计中,CPA在完成内部控制审计和财务报表审计后,应当分别对内部控制和财务报表出具审计报告,并签署相同的日期
审计报告类型
无保留意见内部控制审计报告
如果符合下列所有条件,CPA应当对内部控制出具无保留意见的内部控制审计报告
在基准日,被审计单位按照适用的内部控制标准的要求,在所有重大方面保持了有效的内部控制
CPA已经按照《企业内部控制审计指引》的要求计划和实施审计工作,在审计过程中未受到限制
否定意见的内部控制审计报告
适用情形
如果认为内部控制存在一项或多项重大缺陷,除非审计范围受到限制,CPA应当对内部控制发表否定意见
沟通和说明
否定意见的内部控制审计报告应当包括重大缺陷的定义、重大缺陷的性质及其对内部控制的影响程度
CPA应当就这些情况以书面形式与治理层沟通
对企业内部控制评价报告的考虑
如果重大缺陷尚未包含在企业内部控制评价报告中,CPA应当在内部控制审计报告中说明重大缺陷已经识别、但没有包含在企业内部控制评价报告中
如果企业内部控制评价报告中包含了重大缺陷,但CPA认为这些重大缺陷未在所有重大方面得到公允反映,CPA应当在内部控制审计报告中说明这一结论,并公允表达有关中大缺陷的必要信息
对财务报表审计意见的影响
如果拟对内部控制的有效性发表否定意见,在财务报表审计中,CPA不应依赖存在重大缺陷的控制,需要实施实质性程序确定与该控制相关的账户是否存在重大错报
如果实施实质性程序的结果表明该账户不存在重大错报,CPA可以对财务报表发表无保留意见
如果对财务报表发表的审计意见未受影响,CPA应当在内部控制审计报告的导致否定意见的事项段中增加以下类似说明:“在XX公司XX年财务报表审计中,我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。本报告并未对我们在XX年X月X日对XX公司XX年财务报表出具的审计报告产生影响”,这一说明对于保证审计报告使用者理解CPA为何对财务报表发表无保留意见非常重要
如果对财务报表发表的审计意见受到影响,CPA应当在内部控制审计报告的导致否定意见的事项段中增加以下类似说明“在XX公司XX年财务报表审计中,我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响”
无法表示意见的内部控制审计报告
适用情形
如果审计范围受到限制,CPA应当解除业务约定或出具无法表示意见的内部控制审计报告
如果法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制的评价范围,CPA可以不将这些实体纳入内部控制审计的范围,这种情况不构成审计范围受到限制,但应当在内部控制审计报告汇总增加强调事项段,或CPA的责任段中作出恰当陈述
沟通和说明
CPA不应在内部控制审计报告中指明所执行的程序,也不应描述内部控制审计的特征,以避免产生误解
如果在已执行的有限程序中发现内部控制存在重大缺陷,CPA应当在内部控制审计报告中对重大缺陷作出详细说明
只要认为审计范围受到限制将导致无法获取发表审计意见所需的充分、适当的审计证据,CPA不必执行任何其他工作即可对内部控制出具无法表示意见的内部控制审计报告。在这种情况下,内部控制审计报告的日期应为CPA已就该报告中陈述的内容获取充分、适当的审计证据的日期
在因审计范围受到限制而无法表示意见时,CPA应当以书面形式与管理层和治理层进行沟通
强调事项
总体原则
如果认为内部控制虽然不存在重大缺陷,但仍有一项或多项重大事项需要提请内部控制审计报告使用者注意,CPA应当在内部控制审计报告中增加强调事项段予以说明
CPA应当在强调事项段中指明,该段内容仅用于提醒内部控制审计报告使用者关注,并不影响对内部控制发表的审计意见
适用情形
如果存在下列情况,CPA应当考虑在内部控制审计报告中增加强调事项段
企业内部控制评价报告对要素的列报不完整或不恰当,CPA应当在内部控制审计报告中增加强调事项段,说明这一情况并解释得出该结论的理由
CPA知悉在基准日并不存在、但在后期期间发生的事项,且这类期后事项对内部控制有重大影响,CPA应当在内部控制审计报告中增加强调事项段,描述该事项及其影响,或提醒内部控制审计报告使用者关注企业内部控制评价报告中披露的该事项及其影响
非财务报告内部控制重大缺陷
对于审计过程中注意到的非财务报告内部控制缺陷,如果确定该项非财务报告内部控制缺陷为重大缺陷的,CPA应当以书面形式与企业董事会和治理层沟通,提醒企业加以改进
在内部控制审计报告中增加非财务报表内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露,提示内部控制审计报告使用者注意相关风险,但无须对其发表审计意见