财政部会计司、中注协解读《企业内部控制审计指引》
.h1{FONT-WEIGHT:bold;TEXT-JUSTIFY:inter-ideograph;FONT-SIZE:22pt;MARGIN:17pt0cm16.5pt;LINE-HEIGHT:240%;TEXT-ALIGN:justify}.h2{FONT-WEIGHT:bold;TEXT-JUSTIFY:inter-ideograph;FONT-SIZE:16pt;MARGIN:13pt0cm;LINE-HEIGHT:173%;TEXT-ALIGN:justify}.h3{FONT-WEIGHT:bold;TEXT-JUSTIFY:inter-ideograph;FONT-SIZE:16pt;MARGIN:13pt0cm;LINE-HEIGHT:173%;TEXT-ALIGN:justify}
三、实施审计工作
(一)自上而下的方法
审计指引第十条规定,注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。
自上而下的方法按照下列思路展开:
1.从财务报表层次初步了解内部控制整体风险;
2.识别企业层面控制;
5.选择拟测试的控制。
自上而下的方法描述了注册会计师在识别风险以及拟测试的控制时的连续思维过程,但并不一定是注册会计师执行审计程序的顺序。
(二)识别企业层面控制
1.评价企业层面控制的精确度。不同的企业层面控制在性质和精确度上存在着差异,这些差异可能对其他控制及其测试产生影响。
2.企业层面控制的内容
(4)对内部信息传递和财务报告流程的控制。财务报告流程的控制可以确保管理层按照适当的会计准则编制合理、可靠的财务报告并对外报告。
(5)对控制有效性的内部监督和自我评价。企业对控制有效性的内部监督和自我评价可以在企业层面上实施,也可以在业务流程层面上实施,包括:对运行报告的复核和核对、与外部人士的沟通、对其他未参与控制执行人员的监控活动,以及将信息系统记录数据与实物资产进行核对等。
此外,企业层面控制还包括:集中化的处理和控制,包括共享的服务环境;监控经营成果的控制;针对重大经营控制以及风险管理实务而采取的政策。
(三)测试控制设计和运行的有效性
(1)该项控制拟防止或发现并纠正的错报的性质和重要程度;
(4)交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的有效性产生不利影响;
(5)企业层面控制(特别是对控制有效性的内部监督和自我评价)的有效性;
(6)该项控制的性质及其执行频率;
(7)该项控制对其他控制(如内部环境或信息技术一般控制)有效性的依赖程度;
(8)该项控制的执行或监督人员的专业胜任能力,以及其中的关键人员是否发生变化;
(9)该项控制是人工控制还是自动化控制;
(10)该项控制的复杂程度,以及在运行过程中依赖判断的程度。
测试控制有效性实施的程序,其性质在很大程度上取决于拟测试控制的性质。某些控制可能存在文件记录,反映其运行的有效性,而另外一些控制,如管理理念和经营风格,可能没有书面的运行证据。对缺乏正式运行证据的企业或企业的某个业务单元,注册会计师可以通过询问并结合运用观察活动、检查非正式的书面记录和重新执行某些控制等程序,获取有关控制有效性的充分、适当的证据。
(1)尽量在接近企业内部控制自我评价基准日实施测试;
(2)实施的测试需要涵盖足够长的期间。
注册会计师执行内部控制审计业务通常旨在对企业内部控制自我评价基准日(通常为年末)内部控制的有效性发表意见。如果已获取有关控制在期中运行有效性的证据,注册会计师应当确定还需要获取哪些补充证据,以证实在剩余期间控制的运行情况。在将期中测试的结果更新至年末时,注册会计师需要考虑下列因素,以确定需获取的补充证据:
(2)期中获取的有关证据的充分性、适当性;
(3)剩余期间的长短;
(4)期中测试之后,内部控制发生重大变化的可能性及其变化情况。
(五)连续审计时的特殊考虑
(2)以前年度对控制的测试结果;
(3)上次审计之后,控制或其运行流程是否发生变化,尤其是考虑IT环境的变化。