导图社区 2020CPA审计第二十章:内部控制审计
- 113
- 9
- 1
- 举报
2020CPA审计第二十章:内部控制审计
2020CPA审计第二十章:内部控制审计相关笔记总结,根据金鑫松老师讲义整理。点赞,加关注,送课件。
编辑于2020-12-05 17:39:28
- 相似推荐
- 大纲
第二十章 内部控制审计
内部控制审计的基本理论
一、内部控制审计的概念(※※)
1.内部控制审计的含义
内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。其中,财务报告内部控制审计是服务的核心要求。
2.相关内部控制的含义
(1)财务报告内部控制,是指公司的董事会、监事会、经理层及全体员工实施的旨在合理保证财务报告及相关信息真实、完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。
(2)非财务报告内部控制,是指除财务报告内部控制之外的其他控制,通常是指为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标无关的控制。
3.基准日
概念
注册会计师评价内部控制在某一时日是否有效所涉及的基准日,也是被审计单位评价基准日,即最近一个会计期间截止日
辨析
(1)注册会计师对特定基准日内部控制的有效性发表意见,并不意味着注册会计师只测试基准日这一天的内部控制,而是需要考察足够长一段时间内部控制设计和运行的情况
(2)在整合审计中,控制测试所涵盖的期间应当尽量与财务报表审计中拟信赖内部控制的期间保持一致
4.范围
针对财务报告内部控制
注册会计师对其有效性发表审计意见
针对非财务报告内部控制
注册会计师针对其重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露
二、内部控制审计与财务报表审计的辨析(※※)
1.共同点
(1)两者的最终目的一致,虽然各有侧重,但最终目的均为提高财务报表预期使用者对财务报表的信赖程度。
(2)两者都采用风险导向审计方法。
(3)两者运用的重要性水平相同。由于内部控制的目标是合理保证财务报告及相关信息的真实、完整,因此对于同一财务报表,在两种审计中运用的重要性水平应当相同。
(4)两者识别的重要账户、列报及其相关认定相同。注册会计师在识别重要账户、列报及其相关认定时应当评价的重大错报风险因素对于内部控制审计和财务报表审计而言是相同的,因此对于同一财务报表,在两种审计中识别的重要账户、列报及其相关认定应当相同。
(5)两者了解和测试内部控制设计和运行有效性的基本方法相同,都可能实施询问、观察、检查以及重新执行等程序。
2.区别
(1)两者侧重不同。财务报表审计是对财务报表进行审计,重在审计“结果”,而内部控制审计是对保证财务报表质量的内部控制的有效性进行审计,重在审计“过程”。
(2)两者对内部控制进行了解和测试的目的不同。在财务报表审计中,是为了识别、评估和应对重大错报风险,据此确定实质性程序的性质、时间安排和范围,并获取相关的审计证据,以支持对财务报表发表的审计意见;在内部控制审计,是为了对内部控制的有效性发表审计意见。
(3)两者测试内部控制运行有效性的范围要求不同。在财务报表审计中,针对评估的认定层次重大错报风险,注册会计师可能选择采用实质性方案或综合性方案,如果采用实质性方案,注册会计师可以不测试内部控制的运行有效性;在内部控制审计中,注册会计师应当针对所有重要账户和列报的每一个相关认定获取控制设计和运行有效性的审计证据,以便对内部控制整体的有效性发表审计意见。
(4)两者内部控制测试的期间要求不同。在财务报表审计中,如果注册会计师选择综合性方案,需要获取内部控制在整个拟信赖期间运行有效的审计证据;在内部控制审计中,注册会计师对于基准日的内部控制运行有效性发表意见,则仅需要对内部控制在基准日前足够长的时间(可能短于整个审计期间)内的运行有效性获取审计证据。
(5)两者对控制缺陷的评价要求不同。在内部控制审计中,注册会计师应当评价识别出的内部控制缺陷是否构成一般缺陷、重要缺陷或重大缺陷。在财务报表审计中,注册会计师需要确定识别出的内部控制缺陷单独或连同其他缺陷是否构成值得关注的内部控制缺陷。
(6)审计报告的形式和内容以及所包括的意见类型不同。企业内部控制审计意见包括无保留意见、否定意见和无法表示意见三种类型。
三、整合审计(※※)
1.内部控制审计的实施方案
注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(即整合审计)。
2.财务报表审计与内部控制审计的整合
财务报表审计与内部控制审计在以下几个方面可以整合共享:
(1)重要性水平的确定;
(2)固有风险的评估;
(3)集团审计中重要组成部分和非重要组成部分的确定;
(4)重要账户、列报及其相关认定的确定;
(5)内部控制设计与运行有效性的测试;
(6)内部控制缺陷的识别和评价。
四、控制有效性测试的相关理论(※※)
1.内部控制的有效性的含义
内部控制的有效性包括内部控制设计的有效性和内部控制运行的有效性。
2.与控制相关的风险
与控制相关的风险越高,注册会计师需要获取的审计证据就越多。
3.测试控制有效性的程序的性质【简答题考点】
询问
仅实施询问程序不能为某一特定控制的有效性提供充分适当的证据,必须与其他测试手段结合使用才能发挥作用
观察
观察是测试运行不留下书面记录的控制的有效方法,也可运用于测试对实物的控制
检查
(1)检查记录和文件可以提供可靠程度不同的审计证据,审计证据的可靠性取决于记录或文件的性质和来源,而在检查内部记录和文件时,其可靠性则取决于生成该记录或文件的内部控制的有效性
(2)通过检查凭证签名获得的审计证据的质量可能不具有说服力
重新执行
重新执行的目的是评价控制的有效性而不是测试特定交易或余额的存在或准确性,即定性而非定量,因此一般不必选取大量的项目,也不必特意选取金额重大的项目进行测试
4.控制测试的时间安排【多选题/简答题考点】
总体原则
(1)对于内部控制审计业务,注册会计师应当获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据
(2)在整合审计中,注册会计师控制测试所涵盖的期间应尽量与财务报表审计中拟信赖内部控制的期间保持一致
(3)对控制有效性测试的实施时间越接近基准日,提供的控制有效性的审计证据越有力
时间安排方案
在整合审计中测试控制在整个会计年度的运行有效性时:
(1)注册会计师可以进行期中测试,然后对剩余期间实施前推测试
(2)将样本分成两部分,一部分在期中测试,剩余部分在临近年末的期间测试
在将期中测试结果前推至基准日时,注册会计师应当考虑下列因素以确定需获取的补充审计证据:
①基准日之前测试的特定控制,包括与控制相关的风险、控制的性质和测试的结果;
②期中获取的有关审计证据的充分性和适当性;
③剩余期间的长短
④期中测试之后,内部控制发生重大变化的可能性;
⑤注册会计师基于对控制的依赖程度拟减少进一步实质性程序的程度(仅适用于整合审计);
⑥控制环境。
对控制发生变化的考虑
(1)如果被审计单位为了提高控制效果和效率或整改控制缺陷而对控制作出改变,注册会计师应当考虑这些变化并适当予以记录
(2)如果注册会计师认为新的控制能够满足控制的相关目标,而且新控制已运行足够长的时间,足以使注册会计师通过实施控制测试评估其设计和运行的有效性,则注册会计师不再需要测试被取代的控制的设计和运行有效性
(3)如果被取代的控制的运行有效性对注册会计师执行财务报表审计时的控制风险评估具有重要影响,注册会计师应当适当地测试这些被取代的控制的设计和运行的有效性
对自动化控制的考虑
(1)如果信息技术一般控制有效且关键的自动化应用控制未发生任何变化,注册会计师就不需要对该自动化控制实施前推测试
(2)如果重要的信息技术一般控制无效,且无法获得其他替代证据以证实关键的自动化应用控制自其上次被测试后未发生变化,注册会计师在执行内部控制审计时,通常就需要获取有关该自动化应用控制在接近基准日的期间内是否有效运行的证据
5.控制测试的范围
(1)测试人工控制的最小样本规模
(2)测试自动化应用控制的最小样本规模
在信息技术一般控制有效的前提下,除非系统发生变动,注册会计师或其专家可能只需要对某项自动化应用控制的每一相关属性进行一次系统查询以检查其系统设置,即可得出所测试自动化应用控制是否运行有效的结论。
(3)发现偏差时的处理【简答题考点】
a)由于有效的内部控制不能为实现控制目标提供绝对保证,单项控制并非一定要毫无偏差地运行,才被认为有效。
b)注册会计师应当考虑偏差的原因及性质,如果发现的控制偏差是系统性偏差或人为有意造成的偏差,注册会计师应当考虑舞弊的可能迹象以及对审计方案的影响。
c)当测试发现一项控制偏差,且该偏差不是系统性偏差时,注册会计师可以扩大样本规模进行测试。如果测试后再次发现偏差,则注册会计师可以得出该控制无效的结论;如果扩大样本规模没有再次发现偏差,则注册会计师可以得出控制有效的结论。
点赞,加关注,送课件,详见签名。
内部控制审计的计划和实施
计划审计工作
1.计划审计工作时应当考虑的事项
内部控制审计计划分为总体审计策略和具体审计计划两个层次,在计划审计工作时,注册会计师应当评价下列事项对财务报告内部控制、财务报表及审计工作的影响:
(1)与企业相关的风险
了解企业面临的风险可以帮助识别重大错报风险,继而识别重要账户、重要列报和相关认定以及识别重大业务流程,对内部控制审计的重大风险形成初步评价。
(2)相关法律法规和行业概况
注册会计师应当了解与被审计单位业务相关的法律法规及其合规性,并初步判断是否可能造成非财务报告内部控制的重大缺陷。另外,注册会计师应了解行业因素以确定其对被审计单位经营环境的影响。
(3)企业组织结构、经营特点和资本结构等相关重要事项
注册会计师了解企业的这些情况,以便评价企业是否存在重大的、可能引起重大错报的非常规业务和关联交易,是否构成重大错报风险,以及相关的内部控制是否可能存在重大缺陷。
(4)企业内部控制最近发生变化的程度
注册会计师应当了解被审计单位本期内部控制发生的变化以及变化的程度,从而相应地调整审计计划。
(5)与企业沟通过的内部控制缺陷
a)注册会计师应当了解被审计单位对以前年度审计中发现的内部控制缺陷所采取的改进措施及改进结果,并相应适当地调整本年的内部控制审计计划。如果以前年度发现的内部控制缺陷未得到有效整改,则注册会计师需要评价这些缺陷对当期的内部控制审计意见的影响。
b)注册会计师应当阅读企业当期的内部审计报告,评价内部审计报告中发现的控制缺陷是否与内部控制审计相关且对内部控制审计程序和审计意见的影响。
(6)重要性、风险等与确定内部控制重大缺陷相关的因素
对于已识别的风险,注册会计师应当评价其对财务报表和内部控制的影响程度。注册会计师应当更多地关注内部控制审计的高风险领域,而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。
(7)对内部控制有效性的初步判断
注册会计师综合上述考虑以及借鉴以前年度的审计经验,形成对企业内部控制有效性的初步判断。
(8)可获取的、与内部控制有效性相关的证据的类型和范围
注册内部控制的特定领域存在重大缺陷的风险越高,注册会计师所需获取的审计证据客观性、可靠性越强。
2.总体审计策略[链接第2章]
(1)确定审计业务的特征,以界定审计范围;
(2)明确审计业务的报告目标,以计划审计的时间安排和所需沟通的性质;
(3)根据职业判断,考虑用以指导项目组工作方向的重要因素;
(4)考虑初步业务活动的结果,并考虑对被审计单位执行其他业务时获得的经验是否与内部控制审计业务相关;
(5)确定执行业务所需资源的性质、时间安排和范围。
3.具体审计计划
(1)了解和识别内部控制的程序的性质、时间安排和范围;
(2)测试控制设计有效性的程序的性质、时间安排和范围;
(3)测试控制运行有效性的程序的性质、时间安排和范围。
内部控制审计的方法论——自上而下的方法(※※※)
(一)识别、了解和测试企业层面控制
1.企业层面控制的含义
(1)企业层面的控制通常为应对企业财务报表整体层面的风险而设计,通常在比业务流程更高的层面上乃至整个企业范围内运行;
(2)作用比较广泛,通常不局限于某个具体认定。
2.企业层面控制的内容【多选题考点】
(1)与控制环境(即内部环境)相关的控制;
(2)针对管理层和治理层凌驾于控制之上的风险而设计的控制;
(3)被审计单位的风险评估过程;
(4)对内部信息传递和期末财务报告流程的控制;
(5)对控制有效性的内部监督(即监督其他控制的控制) 和内部控制评价;
(6)集中化的处理和控制(包括共享的服务环境) 、监控经营成果的控制以及针对重大经营控制及风险管理实务的政策。
3.企业层面控制对其他控制及其测试的影响
不同的企业层面控制在性质和精确度上存在差异,注册会计师对企业层面控制的评价,可能增加或减少本应对其他控制所进行的测试
(1)与控制环境相关的控制,对及时防止或发现并纠正相关认定的错报的可能性有间接的重要影响,可能影响注册会计师拟测试的其他控制及其对其他控制所执行程序的性质、时间安排和范围。[链接第7章]
(2)某些企业层面控制能够监督其他控制的有效性,但本身并非精确到足以及时防止或发现相关认定的重大错报。当这些控制运行有效时,注册会计师可以减少对其他控制的测试。
(3)某些企业层面控制本身能够精确到足以及时防止或发现并纠正相关认定的错报。如果一项企业层面控制足以应对已评估的错报风险,注册会计师就不必测试与该风险相关的其他控制。
(二)识别重要账户、列报及其相关认定
1.重要账户、列报及相关认定的含义【单选题考点】
(1)注册会计师在确定重要性水平之后,应当识别重要账户、列报及其相关认定。
(2)某账户或列报可能存在一个错报,该错报单独或连同其他错报将导致财务报表发生重大错报,则该账户或列报为重要账户或列报。
(3)如果某财务报表认定可能存在一个或多个错报,这些错报将导致财务报表发生重大错报,则该认定为相关认定。
(4)在识别重要账户、列报及相关认定时,应当依据其固有风险,而不应考虑相关控制的影响。
2.识别要求【单选题考点】
(1)注册会计师应当从定性和定量两个方面作出评价;
定性
考虑固有风险或舞弊风险
定量
a)超过财务报表整体重要性的账户,通常被认定为重要账户
b)一个账户或列报的金额超过财务报表整体重要性,不必然表明其属于重要账户或列报
(2)在识别重要账户、列报及其相关认定时,注册会计师还应当确定重大错报的可能来源;
(3)在识别重要账户、列报及其相关认定时,注册会计师不应考虑控制的影响,因为内部控制审计的目标本身就是评价控制的有效性;
(4)如果某账户或列报的各成分存在的风险差异较大,被审计单位可能需要采用不同的控制以应对这些风险,注册会计师应当分别予以考虑;
(5)以前年度审计中了解到的情况影响注册会计师对固有风险的评估,因而应当在确定重要账户、列报及其相关认定时加以考虑;
(6)在内部控制审计中,注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素,与财务报表审计中考虑的因素相同。因此,在这两种审计中识别的重要账户、列报及其相关认定应当相同。
(三)了解潜在错报的来源并识别相应的控制
穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程,是评价控制设计的有效性以及确定控制是否得到执行的有效方法。注册会计师在执行穿行测试时,通常需要综合运用询问、观察、检查相关文件记录及重新执行等程序。
(四)选择拟测试的控制
1.基本要求【单选题考点】
(1)注册会计师应当针对每一相关认定获取控制有效性的审计证据,以便对内部控制整体的有效性发表意见,但没有责任对单项控制的有效性发表意见。
(2)注册会计师没有必要测试与某项相关认定有关的所有控制。
(3)在确定是否测试某项控制时,注册会计师应当考虑该项控制单独或连同其他控制,是否足以应对评估的某项相关认定的错报风险。
2.选取关键控制【单选题考点】
(1)注册会计师应当选择测试对形成内部控制审计意见有重大影响的控制,在选取关键控制时,需要作出职业判断。
(2)注册会计师无须测试即使有缺陷也合理预期不会导致财务报表重大错报的控制。
企业层面控制的测试(※)
1.与控制环境相关的控制
在了解和测试控制环境时,注册会计师需要考虑的方面主要包括:
(1)管理层的理念和经营风格是否促进了有效的财务报告内部控制;
(2)管理层在治理层的监督下,是否营造并保持了诚信和合乎道德的文化;
(3)治理层是否了解并监督财务报告过程和内部控制。
2.针对管理层和治理层凌驾于控制之上的风险而设计的控制
针对凌驾风险采用的控制可以包括但不限于:
(1)针对重大的异常交易(尤其是那些导致会计分录延迟或异常的交易)的控制;
(2)针对关联方交易的控制;
(3)与管理层的重大估计相关的控制;
(4)能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制;
(5)建立内部举报投诉制度。
3.被审计单位的风险评估过程
注册会计师可以首先了解被审计单位及其环境的其他方面信息,以初步了解被审计单位的风险评估过程。
4.对内部信息传递和期末财务报告流程的控制
要求
(1)期末财务报告流程对内部控制审计和财务报表审计有重要影响,注册会计师应当对期末财务报告流程进行评价
(2)注册会计师还应当了解管理层为确保识别期后事项而建立的程序
流程
(1)将交易总额登入总分类账的程序
(2)与会计政策的选择和运用相关的程序
(3)总分类账中会计分录的编制、批准等处理程序
(4)对财务报表进行调整的程序
(5)编制财务报表的程序
评价内容
(1)被审计单位财务报表的编制流程,包括输入、处理及输出
(2)期末财务报告流程中运用信息技术的程度
(3)管理层中参与期末财务报告流程的人员
(4)纳入财务报表编制范围的组成部分
(5)调整分录及合并分录的类型
(6)管理层和治理层对期末财务报告流程进行监督的性质及范围
5.对控制有效性的内部监督(监督其他控制的控制)和内部控制评价
监督方式
控制监督可以在企业层面或业务流程层面上实施,可以通过持续的监督和管理活动、审计委员会或内部审计部门的活动,以及自我评价的方式等来实现
考虑因素
(1)管理层是否定期地将会计系统中记录的数额与实物资产进行核对
(2)管理层是否为保证内部审计活动的有效性而建立了相应的控制
(3)管理层是否建立了相关的控制以保证自我评价或定期的系统评价的有效性
(4)管理层是否建立了相关的控制以保证监督性控制能够在一个集中的地点有效进行,如共享服务中心等
6.集中化的处理和控制(包括共享的服务环境)
(1)采用集中化管理可以降低各个下属单位或分部负责人对该单位或分部财务报表的影响,并且可能会使财务报表相关的内部控制更为有效,所以集中化的财务管理可能有助于降低财务报表错报的风险。
(2)特定服务对象单位与财务报表相关的风险越大,注册会计师在进行内控测试过程中可能更需要到共享服务中心或其服务对象单位测试与特定服务对象单位相关的内部控制。
(3)注册会计师可以考虑在较早的阶段执行对共享服务中心内部控制的有效性测试。
(4)注册会计师还可以关注共享服务中心与财务报表相关的信息技术系统。
7.监督经营成果的控制
控制内容
(1)管理层对于各个单位或业务部门经营情况的监控
(2)对客户投诉报告的复核及分析
(3)对违反被审计单位政策或守则行为的处理的复核
(4)对与员工报酬或晋升相关的员工业绩评价流程的复核
(5)对企业记录的财务报表编制流程中存在的主要风险的复核
测试要求
(1)在了解监督经营成果相关的控制时,注册会计师可以从性质上分析这些监督经营成果的控制是否有足够的精确程度以取代对业务流程、应用系统或交易层面的控制的测试
(2)如果这些监督经营成果的内部控制是有效的,注册会计师可以考虑减少对其他控制的测试
8.针对重大经营控制及风险管理实务的政策
注册会计师在这方面可以考虑的主要因素包括但不限于:
(1)企业是否建立了重大风险预警机制;
(2)企业是否建立了突发事件应急处理机制。
业务流程、应用系统或交易层面的控制的测试
1.了解企业经营活动和业务流程
(1)注册会计师可以通过检查被审计单位的手册和其他书面指引获得有关信息,还可以通过询问和观察来获得全面的了解。
(2)向负责处理具体业务人员的上级进行询问通常更加有效。
(3)注册会计师可以检查并在适当的情况下保存部分被审计单位文件(如流程图、程序手册、职责描述、文件、表格等)的复印件,可以考虑在图表及流程图上加入自己的文字表述。
2.内容
(1)授权与审批;
(2)信息技术应用控制;
(3)实物控制(如保护资产的实物安全、对接触计算机程序和数据文档设置授权、定期盘点并将盘点记录与控制记录相核对);
(4)复核和调节。
3.识别可能发生错报的环节
(1)注册会计师所关注的控制,是那些能通过防止错报的发生,或者通过发现和纠正已有错报,从而确保每个流程中业务活动能够顺利运转的人工或自动化控制程序。
(2)注册会计师通过设计一系列关于控制目标是否实现的问题,从而确认某项业务流程中需要加以控制的环节。
(3)为实现某项审计目标而设计问题的数量,取决于下列因素:
a)业务流程的复杂程度;
b)业务流程中发生错报而未能被发现的概率;
c)是否存在一种具有实效的总体控制来实现控制目标。
4.识别和了解相关控制
(1)控制的类型包括预防性控制和检查性控制。[链接第7章]
(2)应首先询问级别较高的人员,再询问级别较低的人员。
(3)从级别较低人员处获取的信息,应向级别较高的人员核实其完整性。
(4)注册会计师并不需要了解与每一控制目标相关的所有控制。
(5)控制与认定直接或间接相关,关系越间接,控制对防止或发现并纠正认定错报的效果越小,注册会计师应考虑识别和了解与认定关系更直接、更有效的控制。
5.记录相关控制
针对被审计单位已设置的控制,注册会计师应将其记录于工作底稿,同时记录由谁执行该控制。
信息系统控制的测试
1.信息技术一般控制测试
(1)信息系统一般控制是指为了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施;
(2)信息技术一般控制确保了应用系统控制和依赖计算机处理的自动会计程序得以持续有效地运行;
(3)信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行四个方面。
2.信息技术应用控制测试
(1)信息技术应用控制一般要经过输入、处理及输出等环节,与手工控制一样,自动系统控制同样关注信息处理目标的四个要素:完整性、准确性、经过授权和访问限制。
(2)所有的自动应用控制都会有一个手工控制与之相对应,在测试的时候,每个自动系统控制都要与其对应的手工控制一起进行测试,才能得到控制是否可信赖的结论。
3.信息技术应用控制与信息技术一般控制之间的关系
(1)许多应用系统中包含很多编辑检查来帮助确保录入数据的准确性。编辑检查可能包括格式检查(如日期格式或数字格式)、存在性检查(如客户编码存在于客户主数据文档之中),或合理性检查(如最大支付金额)。
(2)如果带有关键的编辑检查功能的应用系统所依赖的计算机环境存在信息技术一般控制的缺陷,注册会计师可能就不能信赖上述编辑检查功能按设计发挥作用。
内部控制缺陷评价
控制缺陷的分类
1.按照性质划分
设计缺陷
指缺少为实现控制目标所必需的控制,或现有的控制设计不适当、即使正常运行也难以实现预期的控制目标
运行缺陷
指现存设计适当的控制没有按设计意图运行,或执行人员没有获得必要授权或缺乏胜任能力,无法有效地实施内部控制
2.按照严重程度划分
重大缺陷
内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合
重要缺陷
是内部控制中存在的、其严重程度不如重大缺陷但足以引起负责监督被审计单位财务报告的人员(如审计委员会或类似机构)关注的一项控制缺陷或多项控制缺陷的组合
一般缺陷
内部控制中存在的、除重大缺陷和重要缺陷之外的控制缺陷
评价控制缺陷的严重程度(※※)
1.对注册会计师的要求
(1)注册会计师应当评价其识别的各项控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成内部控制的重大缺陷。
(2)在计划和实施审计工作时,不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷
2.控制缺陷严重程度的影响因素【多选题考点】
发生错报的可能性
(1)控制不能防止或发现并纠正账户或列报发生错报的可能性的大小:
a)控制缺陷的严重程度与错报是否发生无关,而取决于控制不能防止或发现并纠正错报的可能性的大小
b)评价控制缺陷是否可能导致错报时,注册会计师无需将错报发生的概率量化为某特定的百分比或区间
c)注册会计师应当确定,对于同一重要账户、列报及其相关认定或内部控制要素产生影响的各项控制缺陷,组合起来是否构成重大缺陷
潜在错报的金额
(2)因一项或多项控制缺陷导致的潜在错报的金额大小:
a)在评价因一项或多项控制缺陷导致的潜在错报的金额大小时,注册会计师应当考虑的因素包括:
①受控制缺陷影响的财务报表金额或交易总额;
②在本期或预计的未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量
b)在评价潜在错报的金额大小时,账户余额或交易总额的最大多报金额通常是已记录的金额,但其最大少报金额可能超过已记录的金额
3.对补偿性控制的考虑
(1)在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时,注册会计师应当评价补偿性控制的影响。
(2)在评价补偿性控制是否能够弥补控制缺陷时,注册会计师应当考虑补偿性控制是否有足够的精确度以防止或发现并纠正可能发生的重大错报。
总结
在评价一项控制缺陷或多项控制缺陷的组合是否可能导致账户或列报发生错报时,注册会计师应当考虑的风险因素包括:
(1)所涉及的账户、列报及其相关认定的性质;
(2)相关资产或负债易于发生损失或舞弊的可能性;
(3)确定相关金额时所需判断的主观程度、复杂程度和范围;
(4)该项控制与其他控制的相互作用或关系;
(5)控制缺陷之间的相互作用;
(6)控制缺陷在未来可能产生的影响。
4.控制缺陷评价流程——APEC测试
内部控制缺陷整改
1.内部控制缺陷整改及评价
(1)如果被审计单位在基准日前对存在缺陷的控制进行整改,整改后的控制需要运行足够长的时间,才能使注册会计师得出其是否有效的审计结论。
(2)如果被审计单位在基准日前对存在重大缺陷的内部控制进行了整改,但新控制尚没有运行足够长的时间,注册会计师应当将其视为内部控制在基准日存在重大缺陷。
2.内部控制缺陷整改的测试
注册会计师应当根据控制的性质和与控制相关的风险,合理运用职业判断,确定整改后控制运行的最短期间(或整改后控制的最少运行次数)以及最少测试数量。
内部控制审计报告
形成审计意见
1.注册会计师应当评价从各种来源获取的审计证据,包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷,形成对内部控制有效性的意见。
2.在评价审计证据时,注册会计师应当查阅本年度涉及内部控制的内部审计报告或类似报告,并评价这些报告中指出的控制缺陷。
3.在对内部控制的有效性形成意见后,注册会计师应当评价企业内部控制评价报告对相关法律法规规定的要素的列报是否完整和恰当。
4.在整合审计中,注册会计师在完成内部控制审计和财务报表审计后,应当分别对内部控制和财务报表出具审计报告,并签署相同的日期。
审计报告类型(※※※)
审计意见
无保留意见
否定意见
无法表示意见
强调事项
非财务报告内部控制重大缺陷
(一)无保留意见内部控制审计报告
1.适用情形
(1)在基准日,被审计单位按照适用的内部控制标准的要求,在所有重大方面保持了有效的内部控制;
(2)注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作,在审计过程中未受到限制。
同时满足
(二)否定意见的内部控制审计报告
1.适用情形
如果认为内部控制存在一项或多项重大缺陷,除非审计范围受到限制,注册会计师应当对内部控制发表否定意见。
2.沟通和说明
(1)否定意见的内部控制审计报告应当包括重大缺陷的定义、重大缺陷的性质及其对内部控制的影响程度。
(2)注册会计师应当就这些情况以书面形式与治理层沟通。
3.对企业内部控制评价报告的考虑
(1)如果重大缺陷尚未包含在企业内部控制评价报告中,注册会计师应当在内部控制审计报告中说明重大缺陷已经识别、但没有包含在企业内部控制评价报告中。
(2)如果企业内部控制评价报告中包含了重大缺陷,但注册会计师认为这些重大缺陷未在所有重大方面得到公允反映,注册会计师应当在内部控制审计报告中说明这一结论,并公允表达有关重大缺陷的必要信息。
4.对财务报表审计意见的影响【多选题/简答题考点】
(1)如果拟对内部控制的有效性发表否定意见,在财务报表审计中,注册会计师不应依赖存在重大缺陷的控制,需要实施实质性程序确定与该控制相关的账户是否存在重大错报。
(2)如果实施实质性程序的结果表明该账户不存在重大错报,注册会计师可以对财务报表发表无保留意见。
(3)如果对财务报表发表的审计意见未受影响,注册会计师应当在内部控制审计报告的导致否定意见的事项段中增加以下类似说明:“在XX公司XX年财务报表审计中,我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。本报告并未对我们在XX年X月X日对X公司XX年财务报表出具的审计报告产生影响”,这一说明对于保证审计报告使用者理解注册会计师为何对财务报表发表无保留意见非常重要。
(4)如果对财务报表发表的审计意见受到影响,注册会计师应当在内部控制审计报告的导致否定意见的事项段中增加以下类似说明:“在XX公司XX年财务报表审计中,我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。”
(三)无法表示意见的内部控制审计报告
1.适用情形【多选题/简答题考点】
(1)如果审计范围受到限制,注册会计师应当解除业务约定或出具无法表示意见的内部控制审计报告。
(2)如果法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制的评价范围,注册会计师可以不将这些实体纳入内部控制审计的范围,这种情况不构成审计范围受到限制,但应当在内部控制审计报告中增加强调事项段,或者在注册会计师的责任段中作出恰当陈述。
2.沟通和说明【多选题/简答题考点】
(1)注册会计师不应在内部控制审计报告中指明所执行的程序,也不应描述内部控制审计的特征,以避免误解。
(2)如果在已执行的有限程序中发现内部控制存在重大缺陷,注册会计师应当在内部控制审计报告中对重大缺陷做出详细说明。
(3)只要认为审计范围受到限制将导致无法获取发表审计意见所需的充分、适当的审计证据,注册会计师不必执行任何其他工作即可对内部控制出具无法表示意见的内部控制审计报告。在这种情况下,内部控制审计报告的日期应为注册会计师已就该报告中陈述的内容获取充分、适当的审计证据的日期。
(4)在因审计范围受到限制而无法表示意见时,注册会计师应当以书面形式与管理层和治理层进行沟通。
(四)强调事项
1.总体原则
(1)如果认为内部控制虽然不存在重大缺陷,但仍有一项或多项重大事项需要提请内部控制审计报告使用者注意,注册会计师应当在内部控制审计报告中增加强调事项段予以说明。
(2)注册会计师应当在强调事项段中指明,该段内容仅用于提醒内部控制审计报告使用者关注,并不影响对内部控制发表的审计意见。
2.适用情形【多选题/简答题考点】
如果存在下列情况,注册会计师应当考虑在内部控制审计报告中增加强调事项段:
(1)企业内部控制评价报告对要素的列报不完整或不恰当,注册会计师应当在内部控制审计报告中增加强调事项段,说明这一情况并解释得出该结论的理由。
(2)注册会计师知悉在基准日并不存在、但在期后期间发生的事项,且这类期后事项对内部控制有重大影响,注册会计师应当在内部控制审计报告中增加强调事项段,描述该事项及其影响,或提醒内部控制审计报告使用者关注企业内部控制评价报告中披露的该事项及其影响。
(五)非财务报告内部控制重大缺陷
1.沟通和说明【多选题/简答题考点】
(1)对于审计过程中注意到的非财务报告内部控制缺陷,如果确定该项非财务报告内部控制缺陷为重大缺陷的,注册会计师应当以 书面 形式与企业董事会和经理层沟通。
(2)在内部控制审计报告中 增加 非财务报告内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露,提示内部控制审计报告使用者注意相关风险,但无需对其发表审计意见。