导图社区 2019CPA-审计-20章 企业内部控制审计
- 362
- 19
- 3
- 举报
2019CPA-审计-20章 企业内部控制审计
整理自2019年CPA审计金鑫松的讲义,审计已通关,分享给大家使用嘻嘻
编辑于2020-06-17 09:37:05- 金鑫松
- 相似推荐
- 大纲
20、企业内部控制审计
内部控制审计的基本理论
一、内部控制审计的概念(※※)
内部控制审计的含义
是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。其中,财务报告内部控制审计是服务的核心要求。
相关内部控制的含义
财务报告内部控制
是指公司的董事会、监事会、经理层及全体员工实施的旨在合理保证财务报告及相关信息真实、完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。
非财务报告内部控制
是指除财务报告内部控制之外的其他控制,通常是指为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标无关的控制。
基准日
概念
注册会计师评价内部控制在某一时日是否有效所涉及的基准日,也是被审计单位评价基准日,即最近一个会计期间截止日
辨析
(1)注册会计师对特定基准日内部控制的有效性发表意见,并不意味着注册会计师只测试基准日这一天的内部控制,而是需要考察足够长一段时间内部控制设计和运行的情况
(2)在整合审计中,控制测试所涵盖的期间应当尽量与财务报表审计中拟信赖内部控制的期间保持一致
范围
针对财务报告内部控制
注册会计师对其有效性发表审计意见
针对非财务报告内部控制
注册会计师针对其重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露
二、内部控制审计与财务报表审计的辨析(※※)
共同点
最终目的
(1)两者的最终目的一致,虽然各有侧重,但最终目的均为提高财务报表预期使用者对财务报表的信赖程度。
风险导向审计方法
(2)两者都采用风险导向审计方法
重要性水平
(3)两者运用的重要性水平相同。由于内部控制的目标是合理保证财务报告及相关信息的真实、完整,因此对于同一财务报表,在两种审计中运用的重要性水平应当相同。
识别的重要账户、列报及其相关认定
(4)两者识别的重要账户、列报及其相关认定相同。注册会计师在识别重要账户、列报及其相关认定时应当评价的重大错报风险因素对于内部控制审计和财务报表审计而言是相同的,因此对于同一财务报表,在两种审计中识别的重要账户、列报及其相关认定应当相同。
基本方法
(5)两者了解和测试内部控制设计和运行有效性的基本方法相同,都可能实施询问、观察、检查以及重新执行等程序
区别
侧重不同: 财报审计:结果 内控审计:过程
(1)两者侧重不同。财务报表审计是对财务报表进行审计,重在审计“结果”,而内部控制审计是对保证财务报表质量的内部控制的有效性进行审计,重在审计“过程”。
目的不同: 财务报表审计——识别评估和应对重大错报风险 内控审计——对内控的有效性发表审计意见
(2)两者对内部控制进行了解和测试的目的不同。在财务报表审计中,是为了识别、评估和应对重大错报风险,据此确定实质性程序的性质、时间安排和范围,并获取相关的审计证据,以支持对财务报表发表的审计意见;在内部控制审计,是为了对内部控制的有效性发表审计意见。
范围要求不同 财报审计:实质性方案:可以不测试内控的运行有效性 内控审计:针对所有重要账户和列报的每一个相关认定获取控制设计和运行有效性的审计证据
(3)两者测试内部控制运行有效性的范围要求不同。在财务报表审计中,针对评估的认定层次重大错报风险,注册会计师可能选择采用实质性方案或综合性方案,如果采用实质性方案,注册会计师可以不测试内部控制的运行有效性;在内部控制审计中,注册会计师应当针对所有重要账户和列报的每一个相关认定获取控制设计和运行有效性的审计证据,以便对内部控制整体的有效性发表审计意见。
内部控制测试期间要求不同: 财报审计:整个拟信赖期间 内控审计:基准日前足够长的时间内(可能短于整个审计期间)
(4)两者内部控制测试的期间要求不同。在财务报表审计中,如果注册会计师选择综合性方案,需要获取内部控制在整个拟信赖期间运行有效的审计证据;在内部控制审计中,注册会计师对于基准日的内部控制运行有效性发表意见,则仅需要对内部控制在基准日前足够长的时间(可能短于整个审计期间)内的运行有效性获取审计证据。
对控制缺陷的评价要求不同: 财报审计:值得关注的内部控制缺陷 内控审计:一般缺陷/重要缺陷/重大缺陷
(5)两者对控制缺陷的评价要求不同。在内部控制审计中,注册会计师应当评价识别出的内部控制缺陷是否构成一般缺陷、重要缺陷或重大缺陷。在财务报表审计中,注册会计师需要确定识别出的内部控制缺陷单独或连同其他缺陷是否构成值得关注的内部控制缺陷。
报告形式和内容以及意见类型 财报审计:无保留/保留/否定/无法表示意见 内控审计:无保留/否定/无法表示意见
(6)审计报告的形式和内容以及所包括的意见类型不同。企业内部控制审计意见包括无保留意见、否定意见和无法表示意见三种类型。
三、整合审计(※※)
内部控制审计的实施方案
注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(即整合审计)。
财务报表审计与内部控制审计的整合
财务报表审计与内部控制审计在以下几个方面可以整合共享:
(1)重要性水平的确定;
(2)固有风险的评估;
(3)集团审计中重要组成部分和非重要组成部分的确定;
(4)重要账户、列报及其相关认定的确定;。
(5)内部控制设计与运行有效性的测试;
(6)内部控制缺陷的识别和评价
四、控制有效性测试的相关理论(※※)
内部控制的有效性的含义
内部控制的有效性包括
内部控制设计的有效性
内部控制运行的有效性。
与控制相关的风险
与控制相关的风险越高,注册会计师需要获取的审计证据就越多
测试控制有效性的程序的性质【简答题考点】
询问
仅实施询问程序不能为某一特定控制的有效性提供充分适当的证据,必须与其他测试手段结合使用才能发挥作用
观察
观察是测试运行不留下书面记录的控制的有效方法,也可运用于测试对实物的控制
检查
(1)检查记录和文件可以提供可靠程度不同的审计证据,审计证据的可靠性取决于记录或文件的性质和来源,而在检查内部记录和文件时,其可靠性则取决于生成该记录或文件的内部控制的有效性
(2)通过检查凭证签名获得的审计证据的质量可能不具有说服力
重新执行
重新执行的目的是评价控制的有效性而不是测试特定交易或余额的存在或准确性,即定性而非定量,因此一般不必选取大量的项目,也不必特意选取金额重大的项目进行测试
控制测试的时间安排【多选题/简答题考点】
总体原则
(1)对于内部控制审计业务,注册会计师应当获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据
(2)在整合审计中,注册会计师控制测试所涵盖的期间应尽量与财务报表审计中拟信赖内部控制的期间保持一致
(3)对控制有效性测试的实施时间越接近基准日,提供的控制有效性的审计证据越有力
时间安排方案
在整合审计中测试控制在整个会计年度的运行有效性时:
(1)注册会计师可以进行期中测试,然后对剩余期间实施前推测试
(2)将样本分成两部分,一部分在期中测试,剩余部分在临近年末的期间测试
【提示】[链接第8章]
在将期中测试结果前推至基准日时,注册会计师应当考虑下列因素以确定需获取的补充审计证据:
①基准日之前测试的特定控制,包括与控制相关的风险、控制的性质和测试的结果;
②期中获取的有关审计证据的充分性和适当性;
③剩余期间的长短;
④期中测试之后,内部控制发生重大变化的可能性;
⑤注册会计师基于对控制的依赖程度拟减少进一步实质性程序的程度(仅适用于整合审计);
⑥控制环境
对控制发生变化的考虑
(1)如果被审计单位为了提高控制效果和效率或整改控制缺陷而对控制作出改变,注册会计师应当考虑这些变化并适当予以记录
(2)如果注册会计师认为新的控制能够满足控制的相关目标,而且新控制已运行足够长的时间,足以使注册会计师通过实施控制测试评估其设计和运行的有效性,则注册会计师不再需要测试被取代的控制的设计和运行有效性
(3)如果被取代的控制的运行有效性对注册会计师执行财务报表审计时的控制风险评估具有重要影响,注册会计师应当适当地测试这些被取代的控制的设计和运行的有效性
对自动化控制的考虑
(1)如果信息技术一般控制有效且关键的自动化应用控制未发生任何变化,注册会计师就不需要对该自动化控制实施前推测试
(2)如果重要的信息技术一般控制无效,且无法获得其他替代证据以证实关键的自动化应用控制自其上次被测试后未发生变化,注册会计师在执行内部控制审计时,通常就需要获取有关该自动化应用控制在接近基准日的期间内是否有效运行的证据
控制测试的范围
(1)测试人工控制的最小样本规模
(2)测试自动化应用控制的最小样本规模
在信息技术一般控制有效的前提下,除非系统发生变动,注册会计师或其专家可能只需要对某项自动化应用控制的每一相关属性进行一次系统查询以检查其系统设置,即可得出所测试自动化应用控制是否运行有效的结论。
(3)发现偏差时的处理【简答题考点】
a)由于有效的内部控制不能为实现控制目标提供绝对保证,单项控制并非一定要毫无偏差地运行,才被认为有效。
b)注册会计师应当考虑偏差的原因及性质,如果发现的控制偏差是系统性偏差或人为有意造成的偏差,注册会计师应当考虑舞弊的可能迹象以及对审计方案的影响。
c)当测试发现一项控制偏差,且该偏差不是系统性偏差时,注册会计师可以扩大样本规模进行测试。如果测试后再次发现偏差,则注册会计师可以得出该控制无效的结论;如果扩大样本规模没有再次发现偏差,则注册会计师可以得出控制有效的结论。
内部控制审计的计划和实施
一、计划审计工作
计划审计工作时应当考虑的事项
两个层次
总体审计策略
具体审计计划
应当评价
与企业相关的风险
相关法律法规和行业概况
企业组织结构、经营特点和资本结构等相关重要事项
企业内部控制最近发生变化的程度
与企业沟通过的内部控制缺陷
a)注册会计师应当了解被审计单位对以前年度审计中发现的内部控制缺陷所采取的改进措施及改进结果,并相应适当地调整本年的内部控制审计计划。如果以前年度发现的内部控制缺陷未得到有效整改,则注册会计师需要评价这些缺陷对当期的内部控制审计意见的影响。
b)注册会计师应当阅读企业当期的内部审计报告,评价内部审计报告中发现的控制缺陷是否与内部控制审计相关且对内部控制审计程序和审计意见的影响。
重要性、风险等与确定内部控制重大缺陷相关的因素
对于已识别的风险,注册会计师应当评价其对财务报表和内部控制的影响程度。注册会计师应当更多地关注内部控制审计的高风险领域,而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。
对内部控制有效性的初步判断
可获取的、与内部控制有效性相关的证据的类型和范围
总体审计策略
[链接第2章]
(1)确定审计业务的特征,以界定审计范围;
(2)明确审计业务的报告目标,以计划审计的时间安排和所需沟通的性质;
(3)根据职业判断,考虑用以指导项目组工作方向的重要因素;
(4)考虑初步业务活动的结果,并考虑对被审计单位执行其他业务时获得的经验是否与内部控制审计业务相关;
(5)确定执行业务所需资源的性质、时间安排和范围。
具体审计计划
(1)了解和识别内部控制的程序的性质、时间安排和范围;
(2)测试控制设计有效性的程序的性质、时间安排和范围;
(3)测试控制运行有效性的程序的性质、时间安排和范围。
二、内部控制审计的方法论——自上而下的方法(※※※)
自上而下的方法
(一)识别、了解和测试企业层面控制
企业层面控制的含义
(1)企业层面的控制通常为应对企业财务报表整体层面的风险而设计,通常在比业务流程更高的层面上乃至整个企业范围内运行;
(2)作用比较广泛,通常不局限于某个具体认定
企业层面控制的内容【多选题考点】
(1)与控制环境(即内部环境)相关的控制;
(2)针对管理层和治理层凌驾于控制之上的风险而设计的控制;
(3)被审计单位的风险评估过程;
(4)对内部信息传递和期末财务报告流程的控制;
(5)对控制有效性的内部监督(即监督其他控制的控制) 和内部控制评价;
(6)集中化的处理和控制(包括共享的服务环境) 、监控经营成果的控制以及针对重大经营控制及风险管理实务的政策。
企业层面控制对其他控制及其测试的影响
不同的企业层面控制在性质和精确度上存在差异,注册会计师对企业层面控制的评价,可能增加或减少本应对其他控制所进行的测试
(1)与控制环境相关的控制,对及时防止或发现并纠正相关认定的错报的可能性有间接的重要影响,可能影响注册会计师拟测试的其他控制及其对其他控制所执行程序的性质、时间安排和范围。
[链接第7章]
(2)某些企业层面控制能够监督其他控制的有效性,但本身并非精确到足以及时防止或发现相关认定的重大错报。当这些控制运行有效时,注册会计师可以减少对其他控制的测试。
(3)某些企业层面控制本身能够精确到足以及时防止或发现并纠正相关认定的错报。如果一项企业层面控制足以应对已评估的错报风险,注册会计师就不必测试与该风险相关的其他控制。
(二)识别重要账户、列报及其相关认定
重要账户、列报及相关认定的含义【单选题考点】
(1)注册会计师在确定重要性水平之后,应当识别重要账户、列报及其相关认定。
(2)某账户或列报可能存在一个错报,该错报单独或连同其他错报将导致财务报表发生重大错报,则该账户或列报为重要账户或列报。
(3)如果某财务报表认定可能存在一个或多个错报,这些错报将导致财务报表发生重大错报,则该认定为相关认定。
(4)在识别重要账户、列报及相关认定时,应当依据其固有风险,而不应考虑相关控制的影响。
三、企业层面控制的测试(※)
1.与控制环境相关的控制
2.针对管理层和治理层凌驾于控制之上的风险而设计的控制
3.被审计单位的风险评估过程
4.对内部信息传递和期末财务报告流程的控制
要求
流程内容
评价内容
5.对控制有效性的内部监督(监督其他控制的控制)和内部控制评价
6.集中化的处理和控制(包括共享的服务环境)
7.监督经营成果的控制
8.针对重大经营控制及风险管理实务的政策
四、业务流程、应用系统或交易层面的控制的测试
1.了解企业经营活动和业务流程
2.内容
3.识别可能发生错报的环节
4.识别和了解相关控制
5.记录相关控制
五、信息系统控制的测试
1.信息技术一般控制测试
所有的应用或控制模块
程序开发、程序变更、程序和数据访问以及计算机运行
2.信息技术应用控制测试
输入、处理及输出
完整性、准确性、经过授权和访问限制。
都要与其对应的手工控制一起进行测试
3.信息技术应用控制与信息技术一般控制之间的关系
编辑检查
格式检查(如日期格式或数字格式)
存在性检查(如客户编码存在于客户主数据文档之中)
合理性检查(如最大支付金额)。
计算机环境存在信息技术一般控制的缺陷
可能就不能信赖上述编辑检查功能按设计发挥作用。
内部控制缺陷评价
一、控制缺陷的分类
1.按照性质划分
设计缺陷
指缺少为实现控制目标所必需的控制,或现有的控制设计不适当、即使正常运行也难以实现预期的控制目标
运行缺陷
指现存设计适当的控制没有按设计意图运行,或执行人员没有获得必要授权或缺乏胜任能力,无法有效地实施内部控制
2.按照严重程度划分
重大缺陷
内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合
重要缺陷
是内部控制中存在的、其严重程度不如重大缺陷但足以引起负责监督被审计单位财务报告的人员(如审计委员会或类似机构)关注的一项控制缺陷或多项控制缺陷的组合
一般缺陷
内部控制中存在的、除重大缺陷和重要缺陷之外的控制缺陷
二、评价控制缺陷的严重程度(※※)
1.对注册会计师的要求
应当评价其识别的各项控制缺陷的严重程度
以确定这些缺陷单独或组合起来,是否构成内部控制的重大缺陷。
不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。
2.控制缺陷严重程度的影响因素【多选题考点】
发生错报的可能性
(1)控制不能防止或发现并纠正账户或列报发生错报的可能性的大小:
a)控制缺陷的严重程度与错报是否发生无关,而取决于控制不能防止或发现并纠正错报的可能性的大小
b)评价控制缺陷是否可能导致错报时,注册会计师无需将错报发生的概率量化为某特定的百分比或区间
c)注册会计师应当确定,对于同一重要账户、列报及其相关认定或内部控制要素产生影响的各项控制缺陷,组合起来是否构成重大缺陷
潜在错报的金额
(2)因一项或多项控制缺陷导致的潜在错报的金额大小:
a)在评价因一项或多项控制缺陷导致的潜在错报的金额大小时,注册会计师应当考虑的因素包括:①受控制缺陷影响的财务报表金额或交易总额;②在本期或预计的未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量
b)在评价潜在错报的金额大小时,账户余额或交易总额的最大多报金额通常是已记录的金额,但其最大少报金额可能超过已记录的金额
3.对补偿性控制的考虑
(1)在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时,注册会计师应当评价补偿性控制的影响。
(2)在评价补偿性控制是否能够弥补控制缺陷时,注册会计师应当考虑补偿性控制是否有足够的精确度以防止或发现并纠正可能发生的重大错报。
4.控制缺陷评价流程——APEC测试
三、内部控制缺陷整改
1.内部控制缺陷整改及评价
2.内部控制缺陷整改的测试
内部控制审计报告
一、形成审计意见
1.注册会计师应当评价从各种来源获取的审计证据,包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷,形成对内部控制有效性的意见。
2.在评价审计证据时,注册会计师应当查阅本年度涉及内部控制的内部审计报告或类似报告,并评价这些报告中指出的控制缺陷。
3.在对内部控制的有效性形成意见后,注册会计师应当评价企业内部控制评价报告对相关法律法规规定的要素的列报是否完整和恰当。
4.在整合审计中,注册会计师在完成内部控制审计和财务报表审计后,应当分别对内部控制和财务报表出具审计报告,并签署相同的日期。
二、审计报告类型(※※※)
(一)无保留意见内部控制审计报告
(1)在基准日,被审计单位按照适用的内部控制标准的要求,在所有重大方面保持了有效的内部控制;
(2)注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作,在审计过程中未受到限制。
(二)否定意见的内部控制审计报告
1.适用情形
如果认为内部控制存在一项或多项重大缺陷,除非审计范围受到限制,注册会计师应当对内部控制发表否定意见。
2.沟通和说明
(1)否定意见的内部控制审计报告应当包括重大缺陷的定义、重大缺陷的性质及其对内部控制的影响程度。
(2)注册会计师应当就这些情况以书面形式与治理层沟通。
3.对企业内部控制评价报告的考虑
(1)如果重大缺陷尚未包含在企业内部控制评价报告中,注册会计师应当在内部控制审计报告中说明重大缺陷已经识别、但没有包含在企业内部控制评价报告中。
(2)如果企业内部控制评价报告中包含了重大缺陷,但注册会计师认为这些重大缺陷未在所有重大方面得到公允反映,注册会计师应当在内部控制审计报告中说明这一结论,并公允表达有关重大缺陷的必要信息。
4.对财务报表审计意见的影响【多选题/简答题考点】
(1)如果拟对内部控制的有效性发表否定意见,在财务报表审计中,注册会计师不应依赖存在重大缺陷的控制,需要实施实质性程序确定与该控制相关的账户是否存在重大错报。
(2)如果实施实质性程序的结果表明该账户不存在重大错报,注册会计师可以对财务报表发表无保留意见。
(3)如果对财务报表发表的审计意见未受影响,注册会计师应当在内部控制审计报告的导致否定意见的事项段中增加以下类似说明:“在XX公司XX年财务报表审计中,我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。本报告并未对我们在XX年X月X日对X公司XX年财务报表出具的审计报告产生影响”,这一说明对于保证审计报告使用者理解注册会计师为何对财务报表发表无保留意见非常重要。
(4)如果对财务报表发表的审计意见受到影响,注册会计师应当在内部控制审计报告的导致否定意见的事项段中增加以下类似说明:“在XX公司XX年财务报表审计中,我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。”
(三)无法表示意见的内部控制审计报告
1.适用情形【多选题/简答题考点】
(1)如果审计范围受到限制,注册会计师应当解除业务约定或出具无法表示意见的内部控制审计报告。
(2)如果法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制的评价范围,注册会计师可以不将这些实体纳入内部控制审计的范围,这种情况不构成审计范围受到限制,但应当在内部控制审计报告中增加强调事项段,或者在注册会计师的责任段中作出恰当陈述。
2.沟通和说明【多选题/简答题考点】
(1)注册会计师不应在内部控制审计报告中指明所执行的程序,也不应描述内部控制审计的特征,以避免误解。
(2)如果在已执行的有限程序中发现内部控制存在重大缺陷,注册会计师应当在内部控制审计报告中对重大缺陷做出详细说明。
(3)只要认为审计范围受到限制将导致无法获取发表审计意见所需的充分、适当的审计证据,注册会计师不必执行任何其他工作即可对内部控制出具无法表示意见的内部控制审计报告。在这种情况下,内部控制审计报告的日期应为注册会计师已就该报告中陈述的内容获取充分、适当的审计证据的日期。
(4)在因审计范围受到限制而无法表示意见时,注册会计师应当以书面形式与管理层和治理层进行沟通。
(四)强调事项
1.总体原则
(1)如果认为内部控制虽然不存在重大缺陷,但仍有一项或多项重大事项需要提请内部控制审计报告使用者注意,注册会计师应当在内部控制审计报告中增加强调事项段予以说明。
(2)注册会计师应当在强调事项段中指明,该段内容仅用于提醒内部控制审计报告使用者关注,并不影响对内部控制发表的审计意见。
2.适用情形【多选题/简答题考点】
如果存在下列情况,注册会计师应当考虑在内部控制审计报告中增加强调事项段:
(1)企业内部控制评价报告对要素的列报不完整或不恰当,注册会计师应当在内部控制审计报告中增加强调事项段,说明这一情况并解释得出该结论的理由。
(2)注册会计师知悉在基准日并不存在、但在期后期间发生的事项,且这类期后事项对内部控制有重大影响,注册会计师应当在内部控制审计报告中增加强调事项段,描述该事项及其影响,或提醒内部控制审计报告使用者关注企业内部控制评价报告中披露的该事项及其影响。
(2)如果法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制的评价范围,注册会计师可以不将这些实体纳入内部控制审计的范围,这种情况不构成审计范围受到限制,但应当在内部控制审计报告中增加强调事项段,或者在注册会计师的责任段中作出恰当陈述。
(五)非财务报告内部控制重大缺陷
1.沟通和说明【多选题/简答题考点】
(1)对于审计过程中注意到的非财务报告内部控制缺陷,如果确定该项非财务报告内部控制缺陷为重大缺陷的,注册会计师应当以书面形式与企业董事会和经理层沟通。
(2)在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露,提示内部控制审计报告使用者注意相关风险,但无需对其发表审计意见。