到目前为止,内部控制审计越来越成为审计工作的重要领域,但确实有必要问一问:什么是内部控制审计?很多小伙伴模棱两可,难以解释。
今天给大家分享一堆关于内部控制审计六大主要关系的干货,帮助大家更好地理解和做好内部控制审计。
01
企业内部控制责任与注册会计师审计责任的关系
它们之间的关系以及会计责任和审计责任的区分是一致的,即有效建立和完善内部控制是企业董事会的责任;注册会计师有责任在实施审计工作的基础上,对企业内部控制的有效性发表审计意见。
换句话说,内部控制本身是否有效是企业的内部控制责任,是否遵循内部控制审计准则并出具适当的审计意见是注册会计师的审计责任。
因此,在实施内部控制审计之前,注册会计师应在业务协议中明确双方的责任;在出具内部控制审计意见前,应当取得企业签署的内部控制书面声明。
02
企业内部控制责任与注册会计师审计责任的关系
第一,企业内部控制自我评价与注册会计师内部控制审计是独立并行的。
企业内部控制责任与注册会计师内部控制审计责任的划分,决定了企业内部控制自我评价与注册会计师内部控制审计必须按照不同的规则独立完成,不能相互替代或相互免除。
其次,注册会计师在实施内部控制审计时,可以适当利用企业内部控制自我评估。
一般来说,企业内部控制自我评估应在注册会计师内部控制审计之前进行。因此,正确运用企业内部控制自我评估及其结果,可以减少注册会计师的工作量,提高内部控制审计的效率。
然而,注册会计师的内部控制审计责任并不能通过使用企业内部控制自我评估工作来减轻,这就要求注册会计师在使用企业内部控制自我评估工作时,尤其是在评价企业内部控制自我评估人员的客观性和胜任能力时,不应放松风险意识。
下图揭示了注册会计师在运用企业内部控制自我评估工作时应掌握的方法和尺度。
再次,在各自职责的基础上加强双方的沟通协调,是做好企业内部控制自我评价和注册会计师内部控制审计不可忽视的重要方法。
一方面,就注册会计师及其会计师事务所而言,一是要注意树立整体判断的理念,善于在宏观层面把握全局和本质;
二是要围绕合规目标、报告目标、资产安全目标,兼顾效率效益目标和战略目标;
三是要配备经验丰富、结构合理的内部控制审计项目负责人和审计人员或内部控制人员;
第四,要注意具体项目实施者与受访者之间身份、权责的总体协调;
五是要加强内部控制审计业务培训和经验交流;
六是要注重对往年审计情况的总结分析;
七是要与同行建立经验分享和技术合作机制;
八是加强信息技术等非会计、审计人才的引进和培养。
另一方面,就企业管理而言,一是要自觉强化可持续发展理念,利用“咨询”意识,积极配合和支持注册会计师审计工作;
二是建立并理顺与注册会计师的沟通协调机制,在审前、审中、审后保持坦诚深入的沟通;
三是需要针对注册会计师的疑虑提出令人信服的证据;
四是要对注册会计师第一时间认定的控制缺陷进行整改,争取主动获得更多正面审计意见。
03
财务报告内部控制与非财务报告内部控制的关系
首先,财务报告内部控制和非财务报告内部控制是一个相对的概念,就像会计控制和管理控制的定义一样。
一般来说,直接关系到财务报告真实性、可靠性和完整性的控制称为财务报告内部控制。例如,根据《企业会计准则》的要求,与经济交易或事项的会计确认、计量、记录和报告相关的控制属于财务报告内部控制,其他控制可以归类为非财务报告内部控制。
二是注册会计师应对财务报告内部控制的有效性发表审计意见,在内部控制审计报告中增加“非财务报告内部控制重大缺陷说明”,对非财务报告内部控制重大缺陷进行说明。
必须强调的是,这一规定具有实践性和现实性,既充分考虑了注册会计师的专业特长和职业风险,又将注册会计师的审计重点放在财务报告内部控制领域,大胆打破纯财务报告内部控制概念的束缚,从而推动注册会计师内部控制审计范围与企业管理层内部控制自我评估范围总体一致,增强了内部控制审计报告与自我评估报告的协调性。
04
内部控制审计与财务报表审计的关系
《企业内部控制审计指引》规定,注册会计师可以将内部控制审计与财务报表审计相结合,也可以独立进行内部控制审计。
虽然从法律法规的角度为如何进行内部控制审计和财务报表审计提供了一种选择,但我们更主张从企业委托审计分析的角度出发,将内部控制审计和财务报表审计进行整合。
事实上,审计准则要求的风险导向审计和内部控制标准体系要求的风险评估在理念和方法上趋于一致,因此集成审计具有良好的基础。
综合审计的目的是在内部控制审计中获取充分、适当的证据,以支持注册会计师在财务报表审计中对内部控制的风险评估结果;同时,在财务报表审计中获得充分、适当的证据,支持注册会计师在内部控制审计中对内部控制的有效性发表意见。
集成审计的交互关系见下图。
按照美国公共会计公司将财务报表审计与财务报告内部控制审计相结合的通行做法,内部控制审计组一般在财务报表审计组之前1-2个月进入被审计企业,在对财务报告内部控制有效性进行整体评价的基础上,对实施财务报表审计的性质、时间和范围进行适当调整和完善,然后通过对财务报表的实质性分析和审查,验证财务报告内部控制的有效性。
可见,所谓整合审计,其实就是对审计时间、审计方法、审计意见进行整合协调,值得我国会计师事务所借鉴。
05
企业级控制测试与业务级控制测试的关系
无论是企业内部控制自我评价还是注册会计师内部控制审计,都需要检验企业层面的控制和业务层面的控制。
一般认为,与内部控制要素之间的基本制度安排直接相关,对企业整体内部控制目标的实现有重大影响的控制,属于企业级控制;与控制活动在特定业务和事件中的应用直接相关并对企业的一个或某些方面的内部控制目标有重要影响的控制是业务级控制。可以推断,企业级控制决定业务级控制,业务级控制反作用于企业级控制。
因此,在实施企业级控制测试和业务级控制测试时,要坚持自上而下和自下而上相结合的测试方法。
自上而下意味着测试控制要从企业级控制入手,通过对企业级控制的评估和预测,增强业务级控制测试的科学性、针对性和有效性。同时需要注意的是,强调自上而下的测试并不意味着企业级和业务级的测试工作是孤立的、完全分离的。在注册会计师审计实践中,企业级控制测试和业务级控制测试经常结合在一起,企业级控制弱点锁定业务级控制优先级,业务级控制效果否定企业级控制设计。
需要注意的是,测试业务级管控时,一定要把握重点管控和一般管控。当一个控件可以覆盖多个可能的错误项,或者一个可能的错误项只能被某个控件覆盖时,该控件应被视为关键控件,否则应被视为一般控件。
经验数据显示,关键控制一般占所有业务级控制的20%左右。下图提供了识别关键控件的参考方法。
上图中,控件1可以覆盖可能的错误项1、2、3、5,即一个控件可以覆盖多个可能的错误项,所以控件1可以看作是按键控件;对于可能的错误4,只有控件2可以覆盖,即一个可能的错误只能被一个控件覆盖,所以控件2可以视为关键控件。从该分析中,得出结论,控制3、4和5应该是一般控制。
06
重大缺陷的披露与其他缺陷的沟通之间的关系
内部控制缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷。
重大缺陷可能是由于设计缺陷和操作缺陷,也可能是由于错误和错误项目的性质和严重性。
当注册会计师发现企业董事、监事、高级管理人员存在舞弊行为,或者注册会计师发现当期财务报表存在重大错报,但企业内部控制在经营过程中未发现该错报,或者企业更正已公布的财务报表,或者企业审计委员会、内部审计机构对内部控制的监督不力时, 应当认定企业财务报告内部控制存在重大缺陷,对企业财务报告内部控制的有效性发表否定意见,并通过内部控制审计报告予以披露。
对于其他控制缺陷,包括重要缺陷和一般缺陷,需要根据不同情况与企业进行沟通。
一般对于重要缺陷,应以书面形式与企业董事会、经理层沟通;对于一般缺陷,应以书面形式与企业相关职能部门沟通。
从近年来美国上市公司披露的财务报告内部控制缺陷,特别是重大缺陷来看,在信息技术、收入确认、支付或相关费用控制等方面存在明显的薄弱环节。
这也建议中国注册会计师在实施企业内部控制审计时,应重点把握容易出现差错和弊端的关键领域和重要环节,有效揭示企业财务报告内部控制的重大缺陷。