导图社区 审20-企业内部控制审计
- 72
- 9
- 0
- 举报
审20-企业内部控制审计
CPA《审计》第20章:内部控制审计的基本理论、计划和实施、缺陷评价、审计报告相关考点全覆盖。
编辑于2022-03-12 13:55:33- 内部控制
- 相似推荐
- 大纲
企业内部控制审计
基本理论
概念
内部控制审计
指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计
其中,财务报告内部控制审计是服务的核心要求
相关内部控制
财务报告内部控制
指公司的董事会、监事会、经理层及全体员工实施的旨在合理保证财务报告及相关信息真实、完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制
如存货出入库的控制 不要考虑蝴蝶效应
非财务报告内部控制
指除财务报告内部控制之外的其他控制
通常是为了:
合理保证经营的效率效果
遵守法律法规
实现发展战略
用于保护资产安全的内部控制中与财务报告可靠性目标无关的控制
基准日
含义
CPA评价内部控制在某一时日是否有效所涉及的基准日
被审计单位评价基准日
最近一个会计期间截止日
辨析
CPA对特定基准日内部控制的有效性发表意见,并不意味着CPA只测试基准日这一天的内部控制,而是需要考虑足够长一段时间内部控制设计和运行的情况
在整合审计中,控制测试所涵盖的期间应当尽量与财务报表审计中拟信赖内部控制的期间保持一致
范围
针对财务报告的内部控制
CPA对其有效性发表审计意见
针对非财务报告的内部控制
CPA针对审计过程中注意到的非财务报告内部控制重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露
整合审计
CPA可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计结合进行(即整合审计)
控制有效性测试的相关理论
内部控制有效性的含义
设计的有效性
运行的有效性
与控制相关的风险
与控制相关的风险越高,CPA需要获取的审计证据就越多
测试控制有效性的程序的性质
询问
仅实施询问程序不能为某一特定控制的有效性提供充分、适当的证据,必须与其他测试手段结合使用才能发挥作用
仅询问不足
观察
测试运行不留下书面记录的控制的有效方法,也可运用于测试对实物的控制
检查
检查记录和文件可以提供可靠程度不同的审计证据,审计证据的可靠性取决于记录和文件的性质和来源,而在检查内部记录和文件时,其可靠性取决于生成该记录或文件的内部控制的有效性
通过检查凭证签名获得的审计证据的质量可能不具有说服力
重新执行
通常只有当综合运用询问、观察、检查程序仍无法获取充分、适当的证据时,CPA才会考虑重新执行程序
目的是评价控制的有效性,而不是测试特定交易或余额的存在或准确性,即定性而非定量,因此一般不必选取大量的项目,也不必特意选取金额重大的项目进行测试
控制测试的时间安排
总体原则
对于内部控制审计业务,CPA应当获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据
在整合审计中,CPA控制测试所涵盖的期间应尽量与财务报表审计中拟信赖内部控制的期间保持一致
对控制有效性测试的实施时间越接近基准日,提供的控制有效性的审计证据越有力
两种方法
在整合审计中
CPA可以进行期中测试,然后对剩余期间实施前推测试
将样本分成两部分,一部分在期中测试,剩余部分在临近年末的期间测试
控制测试的范围
测试人工控制的最小样本规模
各事务所的经验数值
测试自动化应用控制的最小样本规模
在信息技术一般控制有效的前提下,除非系统发生变动,CPA或其专家可能只需要对某项自动化应用控制的每一相关属性进行一次系统查询以检查其系统设置,即可得出所测试自动化应用控制是否运行有效的结论
翻译成人话:一般控制有效+应用控制得到执行=应用控制运行有效
发现偏差时的处理
由于有效的内部控制不能为实现控制目标提供绝对保证,单项控制并非一定要毫无偏差地运行,才被认为有效
CPA应当考虑偏差的原因及性质,如果发现的控制偏差是系统性偏差或人为有意造成的偏差,CPA应当考虑舞弊的可能迹象以及对审计方案的影响
当测试发现一项控制偏差,且该偏差不是系统性偏差时,CPA可以扩大样本规模进行测试。如果测试后再次发现偏差,则CPA可以得出该控制无效的结果;如果扩大样本规模没有再次发现偏差,则CPA可以得出控制有效的结论
给它一次机会
计划和实施
计划审计工作
应当考虑的事项
应当评价下列事项对财务报告内部控制、财务报表及审计工作的影响:
与企业相关的风险
相关法律法规和行业概况
企业组织结构、经营特点和资本结构等相关重要事项
企业内部控制最近发生变化的程度
与企业沟通过的内部控制缺陷
重要性、风险等与确定内部控制重大缺陷相关的因素
对内部控制有效性有初步判断
可获取的、与内部控制有效性相关的证据的类型和范围
总体审计策略
确定审计业务的特征,以界定审计范围
确定审计业务的报告目标,以计划审计的时间安排和所需沟通的性质
根据职业判断,考虑用以指导项目组工作方向的重要因素
考虑初步业务活动的结果,并考虑对被审计单位执行其他业务时所获得的经验是否与内部控制审计业务相关
确定执行业务所需资源的性质、时间安排和范围
具体审计计划
了解和识别内部控制的程序的性质、时间安排和范围
测试控制设计有效性的程序的性质、时间安排和范围
测试控制运行有效性的程序的性质、时间安排和范围
方法论——自上而下
从财务报表层次初步了解内部控制整体风险
识别、了解和测试企业层面控制
含义
企业层面的控制通常为应对企业财务报表整体层面的风险而设计,通常在比业务流程更高的层面乃至整个企业范围内运行
企业层面控制作用比较广泛,通常不局限于某个具体认定
内容
与控制环境相关的控制
针对管理层和治理层凌驾于控制之上的风险而设计的控制
被审计单位的风险评估过程
对内部信息传递和期末财务报告流程的控制
对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价
集中化的处理和控制(包括共享的服务环境)、监控经营成果的控制以及针对重大经营控制及风险管理实务的政策
对其他控制及其测试的影响
与控制环境相关的控制,对及时防止或发现重大错报的可能性有重要影响,可能影响CPA拟测试的其他控制及其对其他控制所执行程序的性质、时间安排和范围
某些企业层面控制能够监督其他控制的有效性,但控制本身并非精确到足以及时防止或发现相关认定的重大错报。当这些控制运行有效时,CPA可以减少对其他控制的有效性测试
某些企业层面控制本身能够精确到足以及时防止或发现并纠正相关认定的重大错报。如果一项企业层面控制足以应对已评估的重大错报风险,CPA可能就不必测试与该风险相关的其他控制
识别重要账户、列报及其相关认定
重要账户、列报及相关认定的含义
CPA应当基于财务报表层次识别重要账户、列报及其相关认定
某账户或列报可能存在一个错报,该错报单独或连同其他错报将导致财务报表发生重大错报,则该账户或列报为重要账户或列报
如果财务报表认定可能存在一个或多个错报,这个或这些错报将导致财务报表发生重大错报,则该认定为相关认定
识别要求
应当从定性和定量两个方面作出评价,包括考虑舞弊的影响。超过财务报表整体重要性的账户,无论是在内部控制审计还是财务报表审计中,通常情况下被认定为重要账户。但是,一个账户或列报的金额超过财务报表整体重要性,并不必然表明其属于重要账户或列报
在识别重要账户、列报及相关认定时,CPA还应当确定重大错报的可能来源
在识别重要账户、列报及相关认定时,CPA不应考虑控制的影响,因为内部控制审计的目标本身就是评价控制的有效性
避免死循环
如果某账户或列报的各明细项目存在的风险差异较大,被审计单位可能需要采用不同的控制以应对这些风险,CPA应当分别予以考虑,并针对各自的风险设计审计程序
以前年度审计中了解到的情况影响CPA对固有风险的评估,因而应当在确定重要账户、列报及相关认定时加以考虑
在内部控制审计中,CPA在识别重要账户、列报及其相关认定时应当评价的风险因素,与财务报表审计中考虑的因素相同。因此,在这两种审计中识别的重要账户、列报及其相关认定应当相同
了解潜在错报的来源并识别相应的控制
穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程,是评价控制设计的有效性以及确定控制是否得到执行的有效方法
CPA在实施穿行测试时,通常需要综合运用询问、观察、检查相关文件记录
选择拟测试的控制
基本要求
CPA应当针对每一相关认定获取控制有效性的审计证据,以便对内部控制整体的有效性发表意见,但没有责任对单项控制的有效性发表意见
CPA有必要测试与某项相关认定有关的所有控制
在确定是否测试某项控制时,CPA应当考虑该项控制单独或连同其他控制,是否足以应对评估的某项相关认定的错报风险
选取关键控制
CPA应当选择测试对形成内部控制审计意见有重大影响的控制,在选取关键控制时,需要作出职业判断
CPA无须测试即使有缺陷也合理预期不会导致财务报表重大错报的控制
业务流程、应用系统或交易层面的控制的测试
了解企业经营活动和业务流程
CPA可以通过检查被审计单位的手册和其他书面指引获得有关信息,还可以通过询问和观察来获得全面的了解
向负责处理具体业务人员的上级进行询问通常更加高效
CPA可以检查并在适当的情况下保存部分被审计单位文件的复印件,可以考虑在图表及流程图上加入自己的文字表述
识别和了解相关控制
控制的类型
预防性控制
检查性控制
应首选询问级别较高的人员,再询问级别较低的人员
从级别较低人员处获取的信息,应向级别较高的人员核实其完整性
CPA并不需要了解与每一控制目标相关的所有控制
控制与认定直接或间接相关,关系越间接,控制对防止或发现并纠正认定错报的效果越小,CPA应考虑识别和了解与认定关系更直接、更有效的控制
信息系统控制的测试
信息技术一般控制测试
信息系统一般控制是指为了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施
信息技术一般控制确保了应用系统控制和依赖计算机处理的自动会计程序得以持续有效地运行
信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行四个方面
信息技术应用控制测试
信息技术应用控制一般要经过输入、处理及输出等环节,与手工控制一样,自动系统控制同样关注信息处理目标的四个要素:完整性、准确性、经过授权和访问限制
所有的自动应用控制都会有一个手工控制与之相对应,在测试的时候,每个自动系统控制都要与其对应的手工控制一起进行测试,才能得到控制是否可信赖的结论
内部控制缺陷评价
控制缺陷的分类
按性质
设计缺陷
指缺少为实现控制目标所必需的控制,或现有的控制设计不适当、即使正常运行也难以实现预期的控制目标
运行缺陷
指现存设计适当的控制没有按设计意图运行,或执行人员没有获得必要授权或缺乏胜任能力,无法有效地实施内部控制
按严重程度
重大缺陷
内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合
重要缺陷
内部控制中存在的、其严重程度不如重大缺陷但足以引起负责监督被审计单位财务报告的人员关注的一项控制缺陷或多项控制缺陷的组合
一般缺陷
内部控制中存在的、除重大缺陷和重要缺陷之外的控制缺陷
评价控制缺陷的严重程度
对CPA的要求
CPA应当评价其识别的各项控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成内部控制的重大缺陷。在计划和实施审计工作时,不要求CPA寻找单独或组合起来不构成重大缺陷的控制缺陷
控制缺陷严重程度的影响因素
发生错报的可能性
控制缺陷的严重程度与错报是否发生无关,而取决于控制不能防止或发现并纠正错报的可能性的大小
评价控制缺陷是否可能导致错报时,CPA无须将错报发生的概率量化为某特定的百分比或区间
CPA应当确定,对于同一重要账户、列报及其相关认定或内部控制要素产生影响的各项控制缺陷,组合起来是否构成重大缺陷
潜在错报的金额
受控制缺陷影响的财务报表金额或交易总额
在本期或预计的未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量
对补偿性控制的考虑
在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时,CPA应当评价补偿性控制的影响
在评价补偿性控制是否足够弥补控制缺陷时,CPA应当考虑补偿性控制是否有足够的精确度以防止或发现并纠正可能发生的重大错报
控制缺陷评价流程——APEC测试
内部控制缺陷整改
如果被审计单位在基准日前对存在缺陷的控制进行整改,整改后的控制需要运行足够长的时间,才能使CPA得出其是否有效的结论
如果新控制尚没有运行足够长的时间,CPA应当将其视为内部控制在基准日存在重大缺陷
内部控制审计报告
形成审计意见
CPA应当评价从各种来源获取的审计证据,包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷,形成对内部控制有效性的意见
在评价审计证据时,CPA应当查阅本年度涉及内部控制的内部审计报告或类似报告,并评价这些报告中指出的控制缺陷
自评报告
在对内部控制的有效性形成意见后,CPA应当评价企业内部控制评价报告对相关法律法规规定的要素的列报是否完整和恰当
自评报告
在整合审计中,CPA在完成内部控制审计和财务报表审计后,应当分别对内部控制和财务报表出具审计报告,并签署相同的日期
审计报告类型
无保留意见内部控制审计报告
符合下列条件时应当出具:
在基准日,被审计单位按照适用的内部控制标准的要求,在所有重大方面保持了有效的内部控制
CPA已经按照《企业内部控制指引》的要求计划和实施审计工作,在审计过程中未受到限制
否定意见内部控制审计报告
适用情形
如果认为内部控制存在一项或多项重大缺陷,除非审计范围受到限制,CPA应当对内部控制发表否定意见
重大缺陷+范围不受限
沟通和说明
否定意见的内部控制审计报告应当包括重大缺陷的定义、性质及其对内部控制的影响程度
CPA应当就这些情况以书面形式与治理层沟通
对企业内部控制评价报告的考虑
如果重大缺陷尚未包括在企业内部控制评价报告中,CPA应当在内部控制审计报告中说明重大缺陷已经识别、但没有包含在企业内部控制评价报告中
如果企业内部控制评价报告中包含了重大缺陷,但CPA认为这些重大缺陷未在所有重大方面得到公允反映,CPA应当在内部控制审计报告中说明这一结论,并公允表达有关重大缺陷的必要信息
对财务报表审计意见的影响
如果拟对内部控制的有效性发表否定意见,在财报审计中,CPA不应依赖存在重大缺陷的控制,需要实施实质性程序确定与该控制相关的账户是否存在重大错报
如果实施实质性程序的结果表明该账户不存在重大错报,CPA可以对财务报表发表无保留意见
如果对财务报表发表的审计意见未受影响,CPA应当在内部控制审计报告的导致否定意见的事项段中增加以下类似说明:“在**公司**年财务报表审计中,我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。本报告并未对我们在**年**月**日对**公司**年度财务报表出具的审计报告产生影响”,这一说明对于保证审计报告使用者理解CPA对财务报表发表无保留意见非常重要
如果对财务报表发表的审计意见受到影响,CPA应当在内部控制审计报告的导致否定意见的事项段中增加以下类似说明:“在**公司**年财务报表审计中,我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。”
无法表示意见内部控制审计报告
适用情形
如果审计范围受到限制
解约或无法表示意见
如果法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制的评价范围,CPA可以不将这些实体纳入内部控制审计的范围,这种情况不构成审计范围受到限制,但应当在内部控制审计报告中增加强调事项段,或者在注册会计师的责任段中作出恰当陈述
特例
沟通和说明
CPA不应在内部控制审计报告中指明所执行的程序,也不应描述内部控制审计的特征,以避免产生误解
如果在已执行的有限程序中发现内部控制存在重大缺陷,CPA应当在内部控制审计报告中对重大缺陷做出详细描述
只要认为审计范围受到限制将导致无法获取发表审计意见所需的充分、适当的审计证据,CPA不必执行其他任何工作即可对内部控制出具无法表示意见的内部控制审计报告。在这种情况下,内部控制审计报告的日期应为CPA已就该报告中陈述的内容获取充分、适当的审计证据的日期
在因审计范围受到限制而无法表示意见时,CPA应当以书面形式与管理层和治理层进行沟通
强调事项
总体原则
如果认为内部控制虽然不存在重大缺陷,但仍有一项或多项重大事项需要提请内部控制审计报告使用者注意,CPA应当在内部控制审计报告中增加强调事项段予以说明
CPA应当在强调事项段中指明,该段内容仅用于提醒内部控制审计报告使用者关注,并不影响对内部控制发表的审计意见
应当增加强调段的情形
企业内部控制评价报告对要素的列报不完整或不恰当,CPA应当在内部控制审计报告中增加强调事项段,说明这一情况并解释得出该结论的理由
CPA知悉在基准日并不存在、但在期后期间发生的事项,且这类期后事项对内部控制有重大影响,CPA应当在内部控制审计报告中增加强调事项段,描述该事项及其影响,或提醒内部控制审计报告使用者关注企业内部控制评价报告中披露的该事项及其影响
根据法律法规相关豁免规定允许被审计单位不将某些实体纳入内部控制评价范围的情形
非财务报告内部控制重大缺陷
对于审计过程中注意到的非财务报告内部控制缺陷,如果确定该项非财务报告内部控制缺陷为重大缺陷的,CPA应当以书面形式与企业董事会和经理层沟通,提醒企业加以改进
不能坐视不理
在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露,提示内部控制审计报告使用者注意相关风险,但无须对其发表审计意见
证监会:不要在强调事项段描述