CPA教材审计2024-第二十章企业内部控制审计
第二十章企业[内部控制]审计
第一节[内部控制]审计的概念
一、[内部控制]的概念和目标
[内部控制],是指由企业董事会、监事会、[管理层]和全体员工实施的旨在实现控制目标的过程。
[内部控制]的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
二、财务报告[内部控制]
财务报告[内部控制],是指公司的董事会、监事会、[管理层]及全体员工实施的旨在合理保证财务报告及相关信息真实、完整而设计和运行的[内部控制],以及用于保护资产安全的[内部控制]中与财务报告[可靠性]目标相关的控制。具体而言,财务报告[内部控制]主要包括下列方面的政策和程序:
1.保存充分、适当的记录,准确、公允地反映企业的交易和事项。
2.合理保证按照适用的[财务报告编制基础]的规定编制财务报告。
3.合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权。
4.合理保证及时防止或发现并纠正未经授权的、对[财务报表]有重大影响的交易和事项。
财务报告[内部控制]以外的其他[内部控制],属于非财务报告[内部控制]。
[CPA]考虑某项控制是否是财务报告[内部控制]的关键依据是控制目标,财务报告[内部控制]是那些与企业财务报告的[可靠性]目标相关的[内部控制]。例如,企业建立的与客户定期对账和差异处理相关的控制与应收账款的存在、权利和义务等认定相关,属于财务报告[内部控制]。又如,企业为达到最佳库存的经营目标而建立的对存货采购间隔时间进行监控的相关控制与经营效率效果相关,而不直接与[财务报表]的认定相关,属于非财务报告[内部控制]。
当然,相当一部分的[内部控制]能够实现多种目标,主要与经营目标或合规性目标相关的控制可能同时也与财务报告[可靠性]目标相关。因此,不能仅因为某一控制与经营日标或合规性目标相关而认定其属于非财务报告[内部控制],[CPA]需要根据控制在特定企业环境中的目标、性质及作用,根据[职业判断]考虑该控制在具体情况下是否属于财务报告[内部控制]。
三、[内部控制]审计的概念和范围
[内部控制]审计,是指[会计师事务所]接受委托,对特定基准日[内部控制]设计与运行的[有效性]进行审计。
尽管这里提及的是[内部控制]审计,但无论从国外审计规定和实践看,还是从我国的相关规定看,[CPA]执行的[内部控制]审计严格限定在财务报告[内部控制]审计。之所以将[内部控制]审计严格限定在财务报告[内部控制]审计,是因为从[CPA]的专业胜任能力、审计成本效益的约束,以及投资者对财务信息质量的需求来看,财务报告[内部控制]审计是服务的核心要求。因此,针对财务报告[内部控制],[CPA]对其[有效性]发表审计意见;针对非财务报告[内部控制],[CPA]对[内部控制]审计过程中注意到的非财务报告[内部控制]的[重大缺陷],在[内部控制][审计报告]中增加“非财务报告[内部控制][重大缺陷]描述段”予以披露。
四、[内部控制]审计基准日
[内部控制]审计基准日,是指[CPA]评价[内部控制]在某一时日是否有效所涉及的基准日,也是被审计单位评价基准日,即最近一个会计期间截止日。
[CPA]不可能对企业[内部控制]在某个期间段(如一年)内每天的运行情况进行描述,然后发表审计意见,这样做不切实际,并且无法向信息使用者提供准确清晰的信息(考虑到期间对[内部控制]缺陷的纠正),甚至会误导信息使用者。
[CPA]对特定基准日[内部控制]的[有效性]发表意见,并不意味着[CPA]只测试基准日这一天的[内部控制],而是需要考察足够长一段时间[内部控制]设计和运行的情况。对控制[有效性]的测试涵盖的期间越长,提供的控制[有效性]的审计证据越多。单就[内部控制]审计业务而言,[CPA]应当获取[内部控制]在基准日之前一段足够长的期间内有效运行的审计证据。在整合审计中,[控制测试]所涵盖的期间应当尽量与[财务报表]审计中拟信赖[内部控制]的期间保持一致。
五、[内部控制]审计和[财务报表]审计的区别
[内部控制]审计是对[内部控制]的[有效性]发表意见,并对[内部控制]审计过程中注意到的非财务报告[内部控制][重大缺陷]进行披露;[财务报表]审计是对[财务报表]是否在所有重大方面按照适用的[财务报告编制基础]编制发表审计意见。由于发表审计意见的对象不同,使得两者存在一定区别。主要的区别如表20-1所示。
表20-1[内部控制]审计与[财务报表]审计的主要区别
微信截图_20240517161320.png
微信截图_20240517161333.png
六、整合审计
如表20-1所示,[内部控制]审计和[财务报表]审计虽然在测试目的等方面存在差异,但是,两者也存在多方面的联系,例如,两者都采用风险导向审计模式,均需要识别重点账户、重要的交易类别等重点审计领域。在技术层面和审计实务中,两者审计模式、程序、方法等存在着共同之处,风险识别、评估和应对等大量工作内容相近,有很多的基础工作可以共享,在一项审计工作中发现的问题还可以为另一项审计工作提供线索和思路。因此,为提高审计效果和效率,注册师可以单独进行[内部控制]审计,也可以将[内部控制]审计和[财务报表]审计整合进行(以下简称“整合审计”)。
第二节计划[内部控制]审计工作
[CPA]应当恰当地计划[内部控制]审计工作,配备具有专业胜任能力的项目组并对助理人员进行适当的督导。
一、计划审计工作时应当考虑的事项
在计划审计工作时,[CPA]应当评价下列事项对财务报告[内部控制]、[财务报表]及审计工作的影响:
(一)与企业相关的风险
了解企业面临的风险可以帮助识别[重大错报风险],继而帮助[CPA]识别重要账户、重要列报和相关认定以及识别重大业务流程,对[内部控制]审计的重大风险形成初出评价。
[CPA]通常通过询问被审计单位的高级管理人员、考虑宏观形势对企业的影响并结合以往的审计经验,了解企业在经营活动中面临的各种风险,并重点关注那些对[财务报表]可能产生重要影响的风险以及这些风险当年的变化。例如,在国家货币政策趋于紧缩的形势下,企业可能较以前年度难于获得银行的贷款而普遍面临资金短缺的压力,如果被审计单位的应收账款余额较高且当年逾期应收账款有明显上升时,被审计单位的坏账风险很可能高于往年。这时,[CPA]可能认为应收账款坏账风险将导致[认定层次][重大错报风险],在计划[内部控制]审计工作时,将应收账款坏账准备识别为重要账户将与计提应收账款坏账准备相关的[内部控制]设定为一项关键控制。
(二)相关法律法规和行业概况
[CPA]通常重点关注可能直接影响[财务报表]金额与披露的法律法规,如税法高度监管行业的监管法规(如适用)等。同时,[CPA]通过询问董事会、管理人员和相关部门人员以及检查被审计单位与监管部门的往来函件,关注被审计单位的违法违规情况,考虑违法违规行为可能导致的罚款、诉讼及其他可能对企业[财务报表]产生重大影响的事件,并初步判断是否可能造成非财务报告[内部控制]的[重大缺陷]。
另外,[CPA]需要了解行业因素以确定其对被审计单位经营环境的影响。例如[CPA]需要考虑:
1.被审计单位的竞争环境,如市场容量、市场份额、竞争优势、季节性因素等;
2.被审计单位与客户及供应商的关系,如信用条件、销售渠道、是否为关联方等;
3.技术的发展,如与企业产品、能源供应及成本有关的技术发展。
(三)企业组织结构、经营特点和资本结构等相关重要事项
[CPA]需要了解被审计单位的股权结构、企业的实际控制人及关联方;企业的子公司、合营公司、联营公司以及[财务报表]合并范围;企业的组织机构、治理结构;业务及区域的分部设置和管理架构;企业的负债结构和主要条款,包括资产负债表外的筹资安排等。[CPA]了解企业的这些情况,以便评价企业是否存在重大的、可能引起[财务报表][重大错报]的非常规业务和关联交易,是否构成[财务报表][重大错报风险],以及相关的[内部控制]是否可能存在[重大缺陷]。
(四)企业[内部控制]最近发生变化的程度
企业[内部控制]的变化(如新增业务流程、原有业务流程变更、[内部控制]执行人变更)将会直接影响[CPA]确定的[内部控制]审计程序的[性质、时间安排和范围]。因此,[CPA]需要了解被审计单位本期[内部控制]发生的变化以及变化的程度,以确定是否需要相应调整审计计划。例如,针对企业新增业务的重大业务流程,[CPA]需要安排有经验的审计人员了解该业务流程,并在实施审计工作的前期识别该流程相关的控制,以尽早与企业沟通该流程中的相关控制是否可能存在重大的设计缺陷。
(五)与企业沟通过的[内部控制]缺陷
[CPA]需要了解被审计单位对以前年度审计中发现的[内部控制]缺陷所采取的整改措施及整改结果,以确定是否需要相应调整本年的[内部控制]审计计划。如果以前年度发现的[内部控制]缺陷未得到有效整改,则[CPA]需要评价这些缺陷对当期的[内部控制]审计意见的影响。
(六)[重要性]、风险等与确定[内部控制][重大缺陷]相关的因素
[CPA]需要对与确定[内部控制][重大缺陷]相关的[重要性]、风险及其他因素进行初步判断。
对于已识别的风险,[CPA]评价其对[财务报表]和[内部控制]的影响程度。[CPA]更多关注[内部控制]审计的高风险领域,而没有必要测试那些即使有缺陷也不可能导致[财务报表][重大错报]的控制。
(七)对[内部控制][有效性]的初步判断
[CPA]综合上述考虑以及借鉴以前年度的审计经验,形成对企业[内部控制][有效性]的初步判断。
对于[内部控制]可能存在[重大缺陷]的领域,[CPA]应给予充分的关注。例如,对相关的[内部控制]亲自进行测试而非利用他人工作;在接近[内部控制]评价基准日的时间测试[内部控制];选择更多的[组成部分]进行测试;扩大相关[内部控制]的[控制测试]范围等。
(八)可获取的、与[内部控制][有效性]相关的证据的类型和范围
[CPA]需要了解可获取的、与[内部控制][有效性]相关的证据的类型和范围。例如是第三方证据还是内部证据,是书面证据还是口头证据,所获得证据可以覆盖所有测试领域还是仅能覆盖部分领域。[CPA]还需要对可获取的审计证据的充分性和适当性进行评价,以更好地计划[内部控制]测试的时间安排、性质和范围。
二、[总体审计策略]和[具体审计计划]
[内部控制]审计计划分为[总体审计策略]和[具体审计计划]两个层次,
(一)[总体审计策略]
[CPA]应当在[总体审计策略]中体现下列内容:
1.确定审计业务的特征,以界定审计范围。
[CPA]通常需要考虑下列方面:
(1)被审计单位采用的[内部控制]标准:
(2)预期审计工作涵盖的范围,包括涵盖的[组成部分]的数量及所在地点;
(3)拟审计的经营分部的性质,包括是否需要具备专门知识;
(4)[CPA]对被审计单位[内部控制]评价工作的了解以及拟利用被审计单位内部相关人员工作的程度;
(5)被审计单位使用服务机构的情况,以及[CPA]如何取得有关服务机构[内部控制]设计和运行[有效性]的证据;
(6)对利用在以前审计工作中或[财务报表]审计工作中获取的审计证据的预期;
(7)信息技术对审计程序的影响,包括数据的可获得性和对使用计算机辅助审计技术的预期。
2.明确审计业务的报告目标,以计划审计的时间安排和所需沟通的性质。
[CPA]通常需要考虑下列方面:
(1)被审计单位对外公布[内部控制][审计报告]的时间安排;
(2)[CPA]与[管理层]和[治理层]讨论[内部控制]审计工作的[性质、时间安排和范围];
(3)[CPA]与[管理层]和[治理层]讨论[CPA]拟出具的报告的类型和时间安排以及沟通的其他事项;
(4)[CPA]与[管理层]讨论预期就整个审计业务中对审计工作的进展进行的沟通:
(5)项目组成员之间沟通的预期性质和时间安排;
(6)预期是否需要与第三方进行其他沟通。
3.根据[职业判断],考虑用以指导项目组工作方向的重要因素。
[CPA]通常需要考虑下列方面:
(1)[财务报表]整体的[重要性]和实际执行的[重要性];
(2)初步识别的可能存在较高[重大错报风险]的领域;
(3)评估的[[财务报表]层次]的[重大错报风险]对指导、监督和复核的影响;
(4)被审计单位经营活动或[内部控制]最近发生变化的程度;
(5)与被审计单位沟通过的[内部控制]缺陷;
(6)有关[管理层]对设计、执行和维护健全的[内部控制]重视程度的证据,包括有关这些控制得以适当记录的证据;
(7)[CPA]对[内部控制][有效性]的初步判断和对[内部控制][重大缺陷]的初步识别;
(8)可获取的、与[内部控制][有效性]相关的证据的类型和范围:;
(9)与评价[财务报表]发生[重大错报]的可能性和[内部控制][有效性]相关的公开信息。
4.考虑[初步业务活动]的结果,并考虑对被审计单位执行其他业务时获得的经验是否与[内部控制]审计业务相关。
[CPA]通常需要考虑下列方面:
(1)[CPA]在执行其他业务时对被审计单位财务报告[内部控制]的了解;
(2)影响被审计单位所处行业的事项,如行业财务报告惯例、经济状况和技术革新等;
(3)与被审计单位相关的法律法规和监管环境;
(4)与被审计单位经营相关的事项,包括组织结构、经营特征和资本结构:
(5)被审计单位经营活动的复杂程度以及与被审计单位相关的风险;
(6)以前审计中对[内部控制]运行[有效性]评价的结果,包括识别出的缺陷的性质和应对措施;
(7)影响被审计单位的重大业务发展变化,包括信息技术和业务流程的变化,关键管理人员变化,以及收购、兼并和处置。
5.确定执行业务所需资源的[性质、时间安排和范围]。
例如,项目组成员的选择以及对项目组成员审计工作的分派,项目时间预算等。
(二)[具体审计计划]
[CPA]应当在[具体审计计划]中体现下列内容:
1.了解和识别[内部控制]的程序的[性质、时间安排和范围]:
2.测试控制设计[有效性]的程序的[性质、时间安排和范围]:
3.测试控制运行[有效性]的程序的[性质、时间安排和范围]。
三、对应对[舞弊风险]的考虑
在计划和实施[内部控制]审计工作时,[CPA]应当考虑[财务报表]审计中对[舞弊风险]的评估结果。在识别和测试[企业层面控制]以及选择其他控制进行测试时,[CPA]应当评价被审计单位的[内部控制]是否足以应对识别出的、舞弊导致的[重大错报风险],并评价为应对[管理层]和[治理层]凌驾于控制之上的风险而设计的控制。
如果在[内部控制]审计中识别出旨在防止或发现并纠正舞弊的控制存在缺陷,[CPA]应当按照《中国[CPA]审计准则第1141号——[财务报表]审计中与舞弊相关的责任》的规定,在[财务报表]审计中制定[重大错报风险]的应对方案时考虑这些缺陷。
第三节自上而下的方法
[CPA]应当采用自上而下的方法选择拟测试的控制。自上而下的方法始于[[财务报表]层次],从[CPA]对财务报告[内部控制]整体风险的了解开始,然后,将关注重点放在企业层面的控制上,并将工作逐渐下移至[重要账户、列报及其相关认定]。随后,确认其对被审计单位业务流程中风险的了解,并选择能足以应对评估的每个相关认定的[重大错报风险]的控制进行测试。
自上而下的方法分为下列步骤:
1.从[[财务报表]层次]初步了解[内部控制]整体风险:
2.识别、了解和测试[企业层面控制];
3.识别[重要账户、列报及其相关认定];
4.了解潜在[错报]的来源并识别相应的控制;
5.选择拟测试的控制。
下面对上述步骤进行具体说明。
一、识别、了解和测试[企业层面控制]
(一)[企业层面控制]的内涵
企业的[内部控制]分为[企业层面控制]和业务流程、应用系统或交易层面的控制两个层面。
企业层面的控制通常为应对企业[财务报表][整体层面]的风险而设计,或作为其他控制运行的“基础设施”,通常在比业务流程更高的层面上乃至整个企业范围内运行,其作用比较广泛,通常不局限于某个具体认定。[企业层面控制]包括下列内容:
1.与控制环境(即内部环境)相关的控制:
2.针对[管理层]和[治理层]凌驾于控制之上的风险而设计的控制;
3.被审计单位的风险评估过程;
4.对内部信息传递和期末财务报告流程的控制;
5.对控制[有效性]的内部监督(即监督其他控制的控制)和[内部控制]评价。
此外,集中化的处理和控制(包括共享的服务环境)、监控经营成果的控制以及针对重大经营控制及风险管理实务的政策也属于[企业层面控制]。
(二)[企业层面控制]对其他控制及其测试的影响
不同的[企业层面控制]在性质和精确度上存在差异,[CPA]应当从下列方面考虑这些差异对其他控制及其测试的影响:
1.某些[企业层面控制],例如某些与控制环境相关的控制,对[重大错报]是否能够被及时防止或发现的可能性有重要影响,虽然这种影响是间接的,但这些控制可能影响[CPA]拟测试的其他控制及其对其他控制所执行程序的[性质、时间安排和范围]。
例如,被审计单位是否制定了合适的经营理念以及管理基调对于一个有效的[内部控制]是非常重要的。虽然这些与控制环境相关的控制与某个[财务报表]的认定没有直接关联同时这些控制不能减少[CPA]为对[财务报表]认定相关的[内部控制]的[有效性]作出结论而所需获得的充分证据,但是由于这些控制可能会对其他控制的有效运行,以及[CPA]对[财务报表]是否存在[重大错报]的风险评估带来普遍性的影响,所以[CPA]可能需要考虑这些控制是否存在缺陷,以制定对其他控制所执行的程序。
2.某些[企业层面控制]能够监督其他控制的[有效性]。[管理层]设计这些控制可能是为了识别其他控制可能出现的失效情况。但是,这些控制本身并非精确到足以及时防止或发现相关认定的[重大错报]。当这些控制运行有效时,[CPA]可以减少原本拟对其他控制的[有效性]进行的测试。
例如,被审计单位的财务总监定期审阅经营收入的详细月度分析报告。由于这个控制没有足够的精确度以及时防止或发现某个[财务报表]相关认定的[重大错报],所以这个控制不可以完全替代[CPA]对其他控制的测试。但是,如果这个控制有效,可能可以使[CPA]修改其原本拟对其他控制所进行的测试程序。
3.某些[企业层面控制]本身能精确到足以及时防止或发现一个或多个相关认定中存在的[重大错报]。如果一项[企业层面控制]足以应对已评估的[重大错报风险],[CPA]可能可以不必测试与该风险相关的其他控制。一般而言,[CPA]可以分析某个控制是否有足够的精确度以及时防止或发现[财务报表][重大错报],并且考虑以下因素:
(1)[内部控制]对应的重要账户及列报的性质:
(2)对某些比较稳定或具备预期内在关系的账户,[管理层]实施的分析对发现[财务报表][重大错报]具有足够的精确度;
(3)[管理层]分析的细化程度。
一般而言,一个更精确的[企业层面控制]可能会对账户按照产品、地区作更细化的分析,并且会与其他资料作出比较分析,以确定[财务报表]相关认定的准确性。
例如,被审计单位制定了[银行存款余额调节表]的监督审阅流程,并且对下属所有分级机构作出定期检查,以确定所有下属单位已经做好[银行存款余额调节表]的编制、审阅及跟踪工作。如果这个监督审阅过程中的程序有足够的精确度以复核各个下属单位的工作是否恰当,那么[CPA]可以考虑测试这个企业层面的控制,并且不必对下属每个单位的[银行余额调节表]相关控制进行测试。
正是由于[企业层面控制]的上述作用,[CPA]应当识别、了解和测试对[内部控制][有效性]结论有重要影响的[企业层面控制]。[CPA]对[企业层面控制]的评价,可能增加或减少本应对其他控制所进行的测试。此外,由于对[企业层面控制]的评价结果将影响[CPA]测试其他控制的性质、时间安排及范围,所以[CPA]可以考虑在执行业务的早期阶段对[企业层面控制]进行测试。在完成对[企业层面控制]的测试后,[CPA]可以根据测试结果评价被审计单位的[企业层面控制]是否有效,并且计划需要测试的其他控制及对其他控制所执行程序的[性质、时间安排和范围]。
本章第五节对[企业层面控制]的测试展开阐述。
二、识别[重要账户、列报及其相关认定]
[CPA]应当基于[[财务报表]层次]识别[重要账户、列报及其相关认定]。
如果某账户或列报可能存在一个[错报],该[错报]单独或连同其他[错报]将导致[财务报表]发生[重大错报],则该账户或列报为重要账户或列报。
如果某[财务报表]认定可能存在一个或多个[错报],这个或这些[错报]将导致[财务报表]发生[重大错报],则该认定为相关认定。
在识别[重要账户、列报及其相关认定]时,[CPA]需要从定性和定量两个方面作出评价,包括考虑舞弊的影响。
超过[[财务报表]整体重要性]的账户,无论是在[内部控制]审计还是在[财务报表]审计中通常情况下被认定为重要账户。一个账户或列报,即使从性质方面考虑与之相关的风险较小,但其金额超过[[财务报表]整体重要性]越多,该账户或列报被认定为重要账户或列报的可能性也就越大。但是,一个账户或列报的金额超过[[财务报表]整体重要性],并不必然表明其属于重要账户或列报,因为[CPA]还需要考虑定性的因素。同理,定性的因素也可能导致[CPA]将低于[[财务报表]整体重要性]的账户或列报认定为重要账户或列报。
从性质上说,[CPA]可能因为某账户或列报受[固有风险]或[舞弊风险]的影响而将其确定为重要账户或列报,因为即使该账户或列报从金额上看并不重大,但这些[固有风险]或[舞弊风险]很有可能导致[重大错报] (该[错报]单独或连同其他[错报]将导致[财务报表]发生[重大错报])。例如,某负债类账户金额不重大,但很可能被显著低估,[CPA]因而将其确定为重要账户。
在识别[重要账户、列报及其相关认定]时,[CPA]不仅需要在重要账户或列报层面考虑风险,还需要深入账户或列报的明细项目(例如,固定资产账户由机器设备、房屋建筑物等部分组成)。如果某账户或列报的各明细项目存在的风险差异较大,被审计单位可能需要采用不同的控制以应对这些风险,[CPA]应当分别予以考虑。
在识别[重要账户、列报及其相关认定]时,[CPA]应当依据其[固有风险],而不应考虑相关控制的影响,因为[内部控制]审计的目标本身就是评价控制的[有效性]。
在识别[重要账户、列报及其相关认定]时,[CPA]还应当确定[重大错报]的可能来源。[CPA]可以通过考虑在特定的重要账户或列报中[错报]可能发生的领域和原因确定[重大错报]的可能来源。
以前年度审计中了解到的情况影响[CPA]对[固有风险]的评估,因而应当在确定[重要账户、列报及其相关认定]时加以考虑。以前年度审计中识别的[错报]会影响[CPA]对某账户、列报及其相关认定[固有风险]的评估。
在[内部控制]审计中,[CPA]在识别[重要账户、列报及其相关认定]时应当评价的风险因素,与[财务报表]审计中考虑的因素相同。因此,在这两种审计中识别的重要账户列报及其相关认定应当相同。
例如,被审计单位本年度发生管理费用总额为1亿元。[CPA]确定的[财务报表]整体的[重要性]为2000万元。由于管理费用的核算较为简单,由于错误或舞弊导致管理费用发生[重大错报]的[固有风险]很低,以前年度审计中从未发现管理费用存在[错报],也从未发现过相关控制缺陷,因此,[CPA]确定管理费用账户属于重要账户,并确定“发生”和“完整性”认定为相关认定,因为只有这两项认定可能存在导致[财务报表]发生[重大错报]的风险。
三、了解潜在[错报]的来源并识别相应的控制
(一)了解潜在[错报]的来源
[CPA]应当实现下列目标,以进一步了解潜在[错报]的来源,并为选择拟测试的控制奠定基础:
1.了解与相关认定有关的交易的处理流程,包括这些交易如何生成、批准、处理及记录;
2.验证[CPA]识别出的业务流程中可能发生[重大错报] (包括舞弊导致的[错报])的环节;
3.识别被审计单位用于应对这些[错报]或潜在[错报]的控制;
4.识别被审计单位用于及时防止或发现并纠正未经授权的、导致[重大错报]的资产取得、使用或处置的控制。
[CPA]应当亲自执行能够实现上述目标的程序,或对提供直接帮助的人员的工作进行督导。
(二)实施[穿行测试]
[穿行测试]通常是实现上述目标和评价控制设计的[有效性]以及确定控制是否得到执行的有效方法。[穿行测试]是指追踪某笔交易从发生到最终被反映在[财务报表]中的整个处理过程。
在下列情况下,[CPA]通常会实施[穿行测试]:
1.存在较高[固有风险]的复杂领域;
2.以前年度审计中识别出的缺陷(需要考虑缺陷的严重程度);
3.由于引入新的人员、新的系统、收购和采取新的会计政策而导致流程发生重大变化。
如果[CPA]首次接受委托执行[内部控制]审计,通常预期[CPA]会对重要流程实施[穿行测试]。
[穿行测试]涵盖交易生成、授权、记录、处理和报告整个过程,以及识别出的重要流程中的控制,包括针对[舞弊风险]的控制。一般而言,对每个重要流程,选取一笔交易或事项实施[穿行测试]即可。如果被审计单位采用集中化的系统为多个[组成部分]执行重要流程,则可能不必在每个重要的经营场所或业务单位选取一笔交易或事项实施[穿行测试]。
[CPA]在实施[穿行测试]时,通常需要综合运用询问、观察、检查相关文件记录。
在实施[穿行测试]时,针对重要处理程序发生的环节,[CPA]可以询问相关人员对既定程序和控制规定的了解程度,确定相关人员是否根据其设计的原意及时执行这些处理程序或控制。[CPA]应当关注那些不符合既定程序和控制规定的例外事项。
[CPA]需要使用与被审计单位人员使用的相同的文件和信息技术对业务流程实施[穿行测试],并向参与该流程或控制重要方面的相关人员进行询问。为此,[CPA]可能需要通过不止一次的访谈,询问参与该流程中重要程序和控制的人员。
四、选择拟测试的控制
(一)基本要求
[CPA]应当针对每一相关认定获取控制[有效性]的审计证据,以便对[内部控制]整体的[有效性]发表意见,但没有责任对单项控制的[有效性]发表意见。
[CPA]应当对被审计单位的控制是否足以应对评估的每个相关认定的[错报]风险形成结论。因此,[CPA]应当选择对形成这一评价结论具有重要影响的控制进行测试。
对特定的相关认定而言,可能有多项控制用以应对评估的[错报]风险;反之,一项控制也可能应对评估的多项相关认定的[错报]风险。[CPA]没有必要测试与某项相关认定有关的所有控制。
在确定是否测试某项控制时,[CPA]应当考虑该项控制单独或连同其他控制是否足以应对评估的某项相关认定的[错报]风险,而不论该项控制的分类和名称如何。
(二)选择拟测试的控制的考虑因素
[CPA]在选取拟测试的控制时,通常不会选取整个流程中的所有控制,而是选择关键控制,即能够为一个或多个重要账户或列报的一个或多个相关认定提供最有效果或最有效率的证据的控制。每个重要账户、认定和/或[重大错报风险]至少应当有一个对应的关键控制。
在选择关键控制时,[CPA]需要考虑:
1.哪些控制是不可缺少的?
2.哪些控制直接针对相关认定?
3.哪些控制可以应对错误或舞弊导致的[重大错报风险]?
4.控制的运行是否足够精确?
选取关键控制需要[CPA]作出[职业判断]。[CPA]无需测试那些即使有缺陷也合理预期不会导致[财务报表][重大错报]的控制。
在采用自上而下的方法执行[内部控制]审计时,如果识别并选取了能够充分应对[重大错报风险]的控制,则不需要再测试针对同样认定的其他控制。[CPA]在考虑是否有必要测试业务流程、应用系统或交易层面的控制之前,首先要考虑测试那些与重要账户的认定相关的[企业层面控制]的[有效性]。如果[企业层面控制]是有效的且得到精确执行,能够及时防止或发现并纠正影响一个或多个认定的[重大错报],[CPA]可能不必就所有流程、交易或应用层面的控制的运行[有效性]获取审计证据。
[CPA]需要选择测试那些对形成[内部控制]审计意见有重大影响的控制。对于与所有重要账户和列报相关的所有相关认定,[CPA]都需要取得关于控制设计和运行是否有效的证据。如果存在多个控制均应对相关认定的[重大错报风险],[CPA]通常会选择那个(些)能够以最有效的方式予以测试的控制。
企业[管理层]在执行[内部控制][自我评价]时选择测试的控制,可能多于[CPA]认为为了评价[内部控制]的[有效性]有必要测试的控制。[管理层]的这种决定,不影响[CPA]的[控制测试]决策,[CPA]只需要测试那些对形成[内部控制]审计意见有重大影响的控制。
第四节测试控制的[有效性]
一、[内部控制]的[有效性]
[内部控制]的[有效性]包括[内部控制]设计的[有效性]和[内部控制]运行的[有效性]。
如果某项控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定的程序和要求执行,能够实现控制目标,从而有效地防止或发现并纠正可能导致[财务报表]发生[重大错报]的错误或舞弊,则表明该项控制的设计是有效的。
如果某项控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力,能够实现控制目标,则表明该项控制的运行是有效的。
[CPA]应当测试控制设计的[有效性]和控制运行的[有效性]。
[CPA]获取的有关控制运行[有效性]的审计证据包括:
1.控制在所审计期间的相关时点是如何运行的;
2.控制是否得到一贯执行;
3.控制由谁或以何种方式执行。
二、与控制相关的风险
在测试所选定控制的[有效性]时,[CPA]应当根据与控制相关的风险,确定所需获取的审计证据。
与控制相关的风险包括一项控制可能无效的风险,以及如果该控制无效,可能导致[重大缺陷]的风险。与控制相关的风险越高,[CPA]需要获取的审计证据就越多。
下列因素影响与某项控制相关的风险:
1.该项控制拟防止或发现并纠正的[错报]的性质和重要程度;
2.相关账户、列报及其认定的[固有风险];
3.交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的[有效性]产生不利影响;
4.相关账户或列报是否曾经出现[错报]:
5.[企业层面控制] (特别是监督其他控制的控制)的[有效性];
6.该项控制的性质及其执行频率:
7.该项控制对其他控制(如控制环境或[信息技术一般控制])[有效性]的依赖程度;
8.执行该项控制或监督该项控制执行的人员的专业胜任能力,以及其中的关键人员是否发生变化;
9.该项控制是人工控制还是[自动化控制]:
10.该项控制的复杂程度,以及在运行过程中依赖判断的程度。
在连续审计中,影响与控制相关的风险的因素除上述因素外,还包括:
1:以前审计所执行的审计程序的[性质、时间安排和范围]:
2.以前审计[控制测试]的结果;
3.自上次审计以来控制或流程是否发生变化。
三、测试控制[有效性]的程序
[CPA]测试控制[有效性]的程序通常为询问、观察、检查和重新执行。以下分别对四种审计程序类型予以说明:
(一)询间
[CPA]通过与被审计单位有关人员进行讨论可以取得与[内部控制]相关的信息但是,仅实施询问程序不能为某一特定控制的[有效性]提供充分、适当的证据。[CPA]还需要获取[其他信息]以印证询问所取得的信息,包括被审计单位其他人员的佐证,控制执行时所使用的报告、手册或其他文件等。虽然询问是一种可用的手段,但它必须与其他测试手段结合使用才能发挥作用,
(二)观察
观察是测试运行不留下书面记录的控制的有效方法。例如,对于与职责分离相关的控制,[CPA]需要获得第一手证据,不仅通过询问取得关于责任分工的信息,而且通过实地观察,证实责任分工控制是按规定执行的。
观察也可运用于测试对实物的控制。例如,观察空白支票是否妥善保管。通常情况下,[CPA]通过观察直接获取的证据比间接获取的证据更可靠。
观察可以提供执行有关过程或程序的审计证据,但观察所提供的审计证据仅限于观察发生的时点,而且被观察人员的行为可能因被观察而受到影响,这也会使观察提供的审计证据受到限制。例如,[CPA]可以通过观察处理现金收款的过程以对现金收款的控制进行测试,但是由于观察只针对某一时点,因此,[CPA]需要结合运用询问以及检查相关的文件,以获得更多对于某一段时期内控制运行[有效性]的证据。
(三)检查
检查通常用于确认控制是否得以执行。例如,对偏差报告进行调查与跟进这一控制负责调查和跟进的人员在偏差报告中添加的书面说明、管理人员审核时留下的记号或其他标记都可以作为控制得到执行的证据。[CPA]需要检查显示控制得以执行的、可以合理预期其存在的证据。缺乏证据可能表示控制没有按规定运行,[CPA]需要执行进一步程序以确定事实上是否存在有效的控制。
检查记录和文件可以提供可靠程度不同的审计证据,审计证据的[可靠性]取决于记录或文件的性质和来源,而在检查内部记录和文件时,其[可靠性]则取决于生成该记录或文件的[内部控制]的[有效性]。例如,被审计单位通过定期复核账龄分析表应对应收账款计价认定[错报],如果账龄分析表不准确或不完整,就会影响控制的[有效性]。
在有些情况下,存在书面证据不一定表明控制一定有效。例如,凭证审核是一种常见的控制,但是看到签名不一定能证明审核人员认真审核了凭证,审核人员可能只粗略浏览凭证,甚至未审核而直接签名。因此通过检查凭证签名获得的审计证据的质量可能不具有说服力。
(四)重新执行
通常只有当综合运用询问、观察和检查程序仍无法获取充分、适当的证据时,[CPA]才会考虑重新执行程序。重新执行的目的是评价控制的[有效性],而不是测试特定交易或余额的存在或准确性,即定性而非定量,因此一般不必选取大量的项目,也不必特意选取金额重大的项目进行测试。
例如,测试[管理层]审核[银行存款余额调节表]这一控制时,根据测试目的,[CPA]可以检查[银行存款余额调节表]是否存在,浏览调节事项是否得到适当处理,以及检查调节表上是否有编制者和审批者的签字。如果需要更多的审计证据,如发现调节表上有非正常项目时,可以考虑重新执行调节过程以确定控制是否有效。重新执行通常包括重新执行审核者实施的步骤,例如,将调节表上的金额与相关支持性文件进行核对;查看与非正常调节项目相关的支持性文件及对有关调节事项做进一步调查等。如果[CPA]认为[银行存款余额调节表]编制不当但审核者仍然签名,就需要跟进了解为什么在这种情况下审核者仍然认可调节表,以便决定这种审核是否有效。
四、[控制测试]的时间安排
对控制[有效性]的测试涵盖的期间越长,提供的控制[有效性]的审计证据越多。单就[内部控制]审计业务而言,[CPA]应当获取[内部控制]在基准日之前一段足够长的期间内有效运行的审计证据。在整合审计中,[CPA][控制测试]所涵盖的期间应尽量与[财务报表]审计中拟信赖[内部控制]的期间保持一致。
对控制[有效性]测试的实施时间越接近基准日,提供的控制[有效性]的审计证据越有力。为了获取充分、适当的审计证据,[CPA]应当在下列两个因素之间作出平衡,以确定测试的时间:
1.尽量在接近基准日实施测试;
2.实施的测试需要涵盖足够长的期间。
整改后的[内部控制]需要在基准日之前运行足够长的时间,[CPA]才能得出整改后的[内部控制]是否有效的结论。因此,在接受或保持[内部控制]审计业务时,[CPA]应当尽早与被审计单位沟通这一情况,并合理安排[控制测试]的时间,留出提前量。此外,由于对企业层面[内部控制]的评价结果将影响[CPA]测试其他控制的[性质、时间安排和范围],[CPA]可以考虑在执行业务的早期阶段对[企业层面控制]进行测试。
1.期中测试的两种方法。
在整合审计中测试控制在整个会计年度的运行[有效性]时,[CPA]可以按照既定的样本规模进行期中测试,然后对剩余期间实施前推测试(有关前推测试的介绍详见下文“3.期中测试和前推程序”),或将样本分成两部分,一部分在期中测试,另一部分在临近年末的期间测试。
与所测试的控制相关的风险越低,[CPA]需要对该控制获取的审计证据就越少可能对该控制实施期中测试就可以为其运行[有效性]提供充分、适当的审计证据。相应地如果与所测试的控制相关的风险越高,需要获取的证据就越多,[CPA]应当取得一部分更接近基准日的证据。
2.以前审计获取的有关控制运行[有效性]的审计证据。
对于[财务报表]审计,[CPA]可以在某些方面利用以前审计中获取的有关控制运行[有效性]的审计证据。对于[内部控制]审计,除考虑对自动化[信息处理控制]实施与基准相比较的策略外(完全自动化的控制通常不会因人为失误而失效),[CPA]不能利用以前审计中获取的有关控制运行[有效性]的审计证据,而是需要每年获取有关控制[有效性]的审计证据。
3.期中测试和前推程序。
[CPA]执行[内部控制]审计业务旨在对基准日[内部控制][有效性]出具报告。如果已获取有关控制在期中运行[有效性]的审计证据,[CPA]应当确定还需要获取哪些补充审计证据,以证实剩余期间控制的运行情况。在将期中测试结果前推至基准日时,[CPA]应当考虑下列因素以确定需获取的补充审计证据:
(1)基准日之前测试的特定控制,包括与控制相关的风险、控制的性质和测试的结果;
(2)期中获取的有关审计证据的充分性和适当性;
(3)剩余期间的长短;
(4)期中测试之后,[内部控制]发生重大变化的可能性;
(5)[CPA]基于对控制的依赖程度拟减少进一步[实质性程序]的程度(仅适用于整合审计);
(6)控制环境。
以下举例说明在整合审计中如何将期中[控制测试]的结果前推至基准日。
被审计单位的销售采用客户上门提货的方式,通常情况下产品出库即实现销售。[内部控制]审计的基准日为12月31日。[CPA]测试了截至9月30日应收账款流程中的关键控制(未发现[控制偏差]),并对10月31日的应收账款余额实施了[细节测试]。在确定是否需要在年末审计中对期中测试结果实施前推程序时,[CPA]考虑了自期中测试后到基准日(即剩余期间)之间的间隔长度,以及在制定[财务报表]审计计划时拟对这些控制取得较高程度的保证等因素,决定实施一定的前推测试。[CPA]制定的前推测试计划如下:
控制一:应收账款会计每天将分类账中的收款记录与在线银行收款记录进行核对并调查任何超过某一金额的差异。
由于该控制并不复杂,执行时不需要作出重大判断。因此,[CPA]计划向应收账款会计询问该控制是否得到一贯执行以及在9月30日至12月31日期间是否出现任何异常现象,以为该控制是否持续有效运行提供充分的证据。
控制二:每月末财务总监取得该月最后三天的产品出库报告,将其与当月人账的应收账款明细进行核对,以确保应收账款余额的完整性和存在。
尽管该控制并不复杂,但每月最后一周的产品出库量占全月出库量的比例很重大。此外,通过将当月人账的应收账款与出库记录进行比较,财务总监可以监控是否存在故意[错报]应收账款的行为。因此,[CPA]认为该控制具有多重目的及其运行无效所导致的后果较严重,计划向财务总监和应收账款会计进行询问,并对财务总监执行该复核控制实施数次观察。
控制三:每月末财务总监、首席财务官和客户信用经理复核应收账款账龄分析表并共同决定是否需要对长期未收款的应收账款余额计提坏账准备。在此过程中他们利用了多方面的信息,包括客户以往付款记录以及与客户之间的沟通文件、账龄一年以上和两年以上的应收账款小计金额占应收账款总金额的比例,以及本年度至今为止的坏账核销金额与坏账准备的比较。
由于该控制具有较高的主观性(虽然并不复杂),且对资产负债表和利润表均具有潜在的重大影响,并且涉及[管理层]的估计,存在潜在的[舞弊风险]。因此,[CPA]决定检查关于该控制在基准日之前几次运行情况的证据,包括上述人员共同讨论的记录和与客户沟通的记录。[内部控制]是否持续有效运行,会影响[CPA]如何将期中[实质性程序]的结果延伸至期末。如果[CPA]在实施期中[控制测试]和上述控制前推程序中没有发现任何控制缺陷,[CPA]在制定计划以对10月31日已实施函证程序的应收账款实施前推程序时,可以对控制给予高度的信赖(即获得高度保证)。在这种情况下,[CPA]可能会决定将10月31日的应收账款余额前推至12月31日,并对该期间的收款金额进行非常有限的测试([[实质性[分析程序]]]或选取大额/高风险项目进行[细节测试])。反之,
如果控制存在缺陷,则[CPA]可能决定对剩余期间的交易金额实施大量[细节测试],甚至对12月31日的应收账款余额再次实施函证程序。
4.针对[信息技术一般控制]和自动化[信息处理控制]的前推程序。
自动化[信息处理控制]一旦被证明其运行有效,通常不会发生运行故障或质量下降的情况,前提是存在适当且持续有效的[信息技术一般控制]。如果[信息技术一般控制]有效且关键的自动化[信息处理控制]未发生任何变化,[CPA]就不需要对该[自动化控制]实施前推测试。但是,如果[CPA]在期中对重要的[信息技术一般控制]实施了测试,则通常还需要对其实施前推程序。
如果[CPA]认为一个或一个以上重要的[信息技术一般控制]无效,[CPA]需要评估其对总体信息技术环境以及对任何依赖这些[信息技术一般控制]的[自动化控制]的持续[有效性]的影响。如果重要的[信息技术一般控制]无效,且无法获得其他替代证据以证实关键的[自动化控制]自其上次被测试后未发生变化,[CPA]在执行[内部控制]审计时通常就需要获取有关该[自动化控制]在接近基准日的期间内是否有效运行的证据
五、[控制测试]的范围
[CPA]在测试控制的运行[有效性]时,应当在考虑与控制相关的风险的基础上确定测试的范围(样本规模)。[CPA]确定的测试范围,应当足以使其能够获取充分、适当的审计证据,为基准日[内部控制]是否不存在[重大缺陷]提供合理保证。
(一)测试人工控制的最小样本规模
在测试人工控制时,如果采用检查或重新执行程序,[CPA]测试的最小样本规模区间参见表20-2。
表20-2测试人工控制的最小样本规模区间
微信截图_20240517162002.png
在运用表20-2时,[CPA]应当注意下列事项:
1.测试的最小样本规模是指所需测试的控制运行次数;
2.[CPA]应当根据与控制相关的风险,基于最小样本规模区间确定具体的样本规模;
3.表20-2假设控制的运行偏差率预计为零,如果预计偏差率不为零,[CPA]应当扩大样本规模;
4.如果[CPA]不能确定控制运行的频率,但是知道控制运行的总次数,仍可根据“控制运行的总次数”确定测试的最小样本规模。
在下列情况下,[CPA]可以使用表20-2中测试的最小样本规模区间的最低值(如对于每天运行多次的控制,选择25个样本规模):
1.与账户及其认定相关的[固有风险]和[舞弊风险]为低水平;
2.是日常控制,执行时需要的判断很少;
3.从[穿行测试]得出的结论和以前年度审计的结果表明未发现控制缺陷;
4.[管理层]针对该项控制的测试结果表明未发现控制缺陷;
5.存在有效的补偿性控制,且[管理层]针对补偿性控制的测试结果为运行有效;
6.根据对控制的性质以及内部审计人员客观性和胜任能力的考虑,[CPA]拟更多地利用他人的工作。
在作出使用表20-2中测试的最小样本规模区间最低值的判断时,上述条件无需全部具备。
例如,某公司存在一项每月运行1次的控制,如某一员工对50个银行账户每月编制[银行存款余额调节表]。第一步,计算控制每年运行的总次数为600次(12×50)。第二步,根据总次数选择表20-2中对应的部分,控制运行的总次数大于250次,控制运行频率为每天多次,样本规模应为25~60。
如果由多个人员执行同一控制,应当分别确定总体,针对每个人员确定样本规模。如果由两个人执行600次控制,样本规模应为25,即应针对每个人测试25次,一共50个样本。
在确定控制运行的总次数时,还要注意拟测试的控制是否是同质的,能否作为一个总体。在本例中,如果由统一的财务主管复核每个人编制的[银行存款余额调节表],通过了解和评价财务主管的复核控制,可以保证经复核的控制是同质的,则可以将两个人执行的控制作为1个总体。
(二)测试自动化[信息处理控制]的最小样本规模
信息技术处理具有内在一贯性,除非系统发生变动,一项自动化[信息处理控制]应当一贯运行。对于一项自动化[信息处理控制],一旦确定被审计单位正在执行该控制,[CPA]通常无需扩大[控制测试]的范围,但需要考虑执行下列测试以确定该控制持续有效运行:
1.测试与该[信息处理控制]有关的[信息技术一般控制]的运行[有效性];
2.确定系统是否发生变动,如果发生变动,是否存在适当的系统变动控制;
3.确定对交易的处理是否使用授权批准的软件版本。
例如,[CPA]可以检查信息系统安全控制记录,以确定是否存在未经授权的接触系统硬件和软件,以及系统是否发生变动。
在[信息技术一般控制]有效的前提下,除非系统发生变动,[CPA]或其专家可能只需要对某项自动化[信息处理控制]的每一相关属性进行一次系统查询以检查其系统设置,即可得出所测试自动化[信息处理控制]是否运行有效的结论。
如果无法采用系统查询的方法,[CPA]或其专家可以考虑采用其他的测试方法。例如,在系统中提交测试数据并与实际数据结果或根据业务规则预期将得到的数据相对比等方法。
除非系统(包括系统使用的表格、文档或其他永久性数据)发生变动,[CPA]通常不需要增加[自动化控制]的测试范围。
(三)发现[控制偏差]时的处理
如果发现[控制偏差],[CPA]应当确定对下列事项的影响:
1.与所测试控制相关的风险的评估;
2.需要获取的审计证据:
3.控制运行[有效性]的结论。
评价[控制偏差]的影响需要[CPA]运用[职业判断],并受到控制的性质和所发现[控制偏差]数量的影响。如果发现的[控制偏差]是系统性偏差或人为有意造成的偏差,[CPA]应当考虑舞弊的可能迹象以及对审计方案的影响。
在评价[控制测试]中所发现的某项[控制偏差]是否为控制缺陷时,[CPA]可以考虑的因素包括:
1.该[控制偏差]是如何被发现的。例如,如果某[控制偏差]是被另外一项控制所发现的则可能意味着被审计单位存在有效的检查性控制。
2.该[控制偏差]是与某一特定的地点、流程或应用系统相关,还是对被审计单位有广泛影响。
3.就被审计单位的内部政策而言,该控制出现偏差的严重程度。例如,某项控制在执行上晚于被审计单位政策要求的时间,但仍在编制[财务报表]之前得以执行,还是该项控制根本没有得以执行。
4.与控制运行频率相比,[控制偏差]发生的频率高低。
由于有效的[内部控制]不能为实现控制目标提供绝对保证,单项控制并非一定要毫无偏差地运行,才被认为有效。在按照表20-2所列示的样本规模进行测试的情况下,如果发现[控制偏差],[CPA]应当考虑[控制偏差]的原因及性质,并考虑采用扩大样本规模等适当的应对措施以判断该[控制偏差]是否对总体不具有代表性。例如,对每日发生多次的控制,如果初始样本规模为25个,当测试发现一项[控制偏差],且该[控制偏差]不是系统性偏差时,[CPA]可以扩大样本规模进行测试。如果测试后再次发现[控制偏差],则[CPA]可以得出该控制无效的结论。如果扩大样本规模没有再次发现[控制偏差],则[CPA]可以得出控制有效的结论,
六、控制变更时的特殊考虑
在基准日前,被审计单位可能为提高效率、效果或弥补控制缺陷而改变控制。
对[内部控制]审计而言,如果新控制实现了相关控制目标,且运行了足够长的时间[CPA]能够通过对该控制进行测试评价其设计和运行的[有效性],则无需测试被取代的控制。
对[财务报表]审计而言,如果被取代控制的运行[有效性]对[控制风险]的评估有重大影响[CPA]应当测试被取代控制的设计和运行的[有效性]。
第五节[企业层面控制]的测试
[CPA]应当采用自上而下的方法选择拟测试的控制。[企业层面控制]的测试是自上而下方法中的重要步骤,本节对此展开阐述。
一、与控制环境相关的控制
控制环境包括治理职能和管理职能,以及[治理层]和[管理层]对[内部控制]及其[重要性]的态度、认识和行动。控制环境设定了被审计单位的[内部控制]基调,影响员工的[内部控制]意识。良好的控制环境是实施有效[内部控制]的基础。在了解和评价控制环境时,[CPA]需要考虑与控制环境有关的各个要素及其相互联系。
在了解和测试控制环境时,[CPA]需要考虑的方面主要包括:
1.[管理层]的理念和经营风格是否促进了有效的财务报告[内部控制];
2.[管理层]在[治理层]的监督下,是否营造并保持了诚信和合乎道德的文化;
3.[治理层]是否了解并监督财务报告过程和[内部控制]。
在进行[内部控制]审计时,[CPA]可以首先了解控制环境的各个要素,在此过程中[CPA]应当考虑其是否得到执行。因为[管理层]可能建立了合理的[内部控制],但却未能有效执行。在了解的基础上,[CPA]可以选择那些对财务报告[内部控制][有效性]的结论产生重要影响的[企业层面控制]进行测试。
二、针对[管理层]和[治理层]凌驾于控制之上的风险而设计的控制
针对[管理层]和[治理层]凌驾于控制之上的风险(以下简称“凌驾风险”)而设计的控制,对所有企业保持有效的财务报告相关的[内部控制]都有重要的影响。在不同的企业[管理层]和[治理层]凌驾于[内部控制]之上的风险水平不同。[CPA]可以根据对被审计单位进行的[舞弊风险]评估作出判断,选择相关的[企业层面控制]进行测试,并评价这些控制是否能有效应对已识别的可能导致[财务报表]发生[重大错报]的凌驾风险,
般而言,针对凌驾风险采用的控制包括但不限于:
1.针对重大的异常交易(尤其是那些导致会计分录延迟或异常的交易)的控制。
重大的异常交易一般指不是在被审计单位正常业务过程中产生,并且对被审计单位而言较为重大的交易。[CPA]可以了解被审计单位对于重大的异常交易的会计处理流程以及被审计单位是否已经建立了相关的控制,并考虑对这些控制的设计及运行[有效性]进行测试,以确定这些控制是否能有效降低[管理层]和[治理层]凌驾于[内部控制]之上的风险。
2.针对关联方交易的控制。
[CPA]可以关注被审计单位的关联方交易管理及业务流程,了解企业的关联方交易是如何产生、审批以及记录在[财务报表]中的,在上述过程中是否存在[管理层]和[治理层]凌驾于[内部控制]之上的风险,以及是否有相关的控制降低有关风险。在了解这些[内部控制]之后,[CPA]可以考虑对能降低与关联方交易相关的凌驾风险的[内部控制]进行测试。
3.与[管理层]的重大估计相关的控制。
[CPA]可以了解被审计单位的[财务报表]中是否有对[财务报表]产生重大影响的会计估计,并了解[管理层]作出这些会计估计的过程。同时,[CPA]可以关注[管理层]针对这些重大会计估计的相关控制,是否能防止[管理层]因操纵这些重大会计估计而导致[财务报表]出现[重大错报]的风险。在了解这些[内部控制]之后,[CPA]可以考虑对能降低与重大会计估计相关的凌驾风险的[内部控制]进行测试。
4.能够减弱[管理层]伪造或不恰当操纵财务结果的动机及压力的控制。
[CPA]可以关注[管理层]的薪酬及激励机制或是否面对较大的业绩压力,导致被审计单位出现较高的凌驾风险。对于这种情况,[CPA]可以了解被审计单位是否有相应的控制,以防止[管理层]因为激励机制及业绩压力而对[财务报表]作出虚假报告。在了解这些[内部控制]之后,[CPA]可以考虑对能降低与[管理层]动机及压力相关的凌驾风险的[内部控制]进行测试。
对于能够减弱[管理层]伪造或不恰当操纵财务结果的动机及压力的控制,[CPA]般可以(但不限于)考虑下列流程及相关控制:
(1)薪酬委员会(或类似机构)在公司制定薪酬及激励过程中的角色,以及其薪酬激励是否通过该委员会的研究及审批,以确保激励部分不会过高从而增加人为[错报]的风险;
(2)[管理层]每年制定的预算是否是基于实际经营状况,并且通过合理的分析而编制的,以确保年度预算不会过于进取或保守从而增加人为[错报]的风险;
(3)内部审计部门是否会关注因[管理层]动机或压力而导致的[错报]风险,并且定期进行检查,查找被审计单位是否存在人为调整财务业绩的情况。
5.建立内部举报投诉制度。
[CPA]可以关注被审计单位是否建立了内部举报投诉制度(如举报热线、电子邮件、举报信箱等)和举报人保护制度,鼓励员工对各类违法或不当行为予以举报,并严禁任何人向善意举报的人或参与调查的人施加报复。[CPA]还可以关注被审计单位对举报投诉的处理程序、办理时限和办理要求,如是否设置了专门机构对投诉内容进行调查处理等。同时,[CPA]还可关注上述相关制度是否已及时传达至全体员工。
三、被审计单位的风险评估过程
风险评估过程包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施。首先,被审计单位需要有充分的[内部控制]去识别来自外部环境的风险,例如监管环境和经营环境的变化、新的或升级的信息系统等方面。其次,充分、适当的风险评估过程应当包括对重大风险的估计,对风险发生可能性的评定以及应对方法的确定。[CPA]可以首先了解[被审计单位及其环境]的其他方面信息,以初步了解被审计单位的风险评估过程。
结合[内部控制]审计业务的目的和性质,在了解和测试被审计单位与风险评估过程相关的[内部控制]时,可以考虑以下因素:
1.被审计单位是否根据既定的控制目标,有计划地全面、系统、持续地收集内外部相关信息,并结合实际情况,及时进行风险评估。
2.被审计单位是否在目标设定的基础上,密切关注内外部主要风险因素,通过日常或定期的评估程序与方法对各种主要风险加以识别,并将各类风险进行分类整理,形成企业的风险清单。
3.被审计单位是否在风险识别的基础上,采用定性和定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。被审计单位在进行风险分析时,是否充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性。
4.被审计单位是否根据[内部控制]目标,结合风险评估结果和风险应对策略,综合运用控制措施,将风险控制在可承受范围之内。
四、对内部信息传递和期末财务报告流程的控制
在企业中,相关信息需要以适当方式及时识别、保存和传递,并被不同层级的人员使用,以支持财务报告目标的实现。[CPA]可以重点关注被审计单位与财务报告相关的内部信息传递。
针对财务报告流程的[内部控制]可以确保[管理层]按照适当的会计准则编制合理、可的财务报告,以对外进行报告,
期末财务报告流程包括:
1.将交易总额登入总分类账的程序;
2.与会计政策的选择和运用相关的程序;
3.总分类账中会计分录的编制、批准等处理程序;
4.对[财务报表]进行调整的程序;
5.编制[财务报表]的程序。
由于期末财务报告流程对[内部控制]审计和[财务报表]审计有重要影响,[CPA]应当从下列方面评价期末财务报告流程:
1.被审计单位[财务报表]的编制流程,包括输入、处理及输出;
2.期末财务报告流程中运用信息技术的程度;
3.[管理层]中参与期末财务报告流程的人员;
4.纳入[财务报表]编制范围的[组成部分];
5.调整分录及合并分录的类型;
6.[管理层]和[治理层]对期末财务报告流程进行监督的性质及范围。
期末财务报告流程通常发生在[管理层]评价日之后,因此,[CPA]一般只能在该日之后测试相关控制。
同时,结合[财务报表]审计的要求,[CPA]还应当了解[管理层]为确保识别期后事项而建立的程序。[CPA]可以基于对财务报告流程的了解,确定可能发生[错报]的环节,识别用于防止或发现并纠正[错报]的控制,并对控制的[有效性]进行评估。
五、对控制[有效性]的内部监督和[内部控制]评价
[管理层]的一项重要职责就是持续不断地建立和维护控制。[管理层]对控制的监督包括考虑控制是否按计划运行,以及控制是否根据情况的变化作出恰当修改。控制监督可以在企业层面或[业务流程层面]上实施。对于企业或[业务流程层面]的监督可以通过持续的监督和管理活动、审计委员会或内部审计部门的活动,以及[自我评价]的方式等来实现。
对控制的监督可能包括:对运营报告的复核和核对、与外部人士的沟通、其他未参与控制执行人员的监控活动,以及信息系统所记录的数据与实物资产的核对等。
在监督的[组成部分]中,一个有效的审计委员会可能针对企业财务报告方面的各项活动提出疑问。例如,审计委员会对[管理层]提出问题,包括对企业重大会计政策和会计计提出问题,以获取相关了解。
结合[内部控制]审计业务的目的和性质,在对被审计单位对控制[有效性]的内部监督进行了解和对其[有效性]进行测试时,[CPA]还可以特别考虑如下因素:
1.[管理层]是否定期地将会计系统中记录的数额与实物资产进行核对。
[管理层]可能进行周期性的存货盘点或者年度的固定资产盘点,将实际盘存资产的数量与相应的明细账记录作比较。通过监盘存货,[CPA]不仅可以获取被审计单位定期盘点的证据,还可以根据实际情况,在必要时对其运行[有效性]进行测试。
2.[管理层]是否为保证内部审计活动的[有效性]而建立了相应的控制
内部审计部门或者执行类似职能的人员对于有效监督企业活动可能具有重要的意义很多被审计单位内部都有集中化的内部审计部门,通过对各业务单元或地区轮流的视察进行控制复核并跟进前期发现的不足之处,实施有效的监控。某些企业的内部审计将工作重点放在评价[内部控制]的设计和测试其运行的[有效性]上,从而识别潜在的缺陷,提供有利于[管理层]做出成本效益分析的信息,并据此提出改进建议。
被审计单位对于内部审计人员的级别、胜任能力和经验应当有适当的控制。内部审计部门在企业组织内部的定位应是适当的,并且内部审计人员应有权向审计委员会或董事会汇报情况。内部审计部门的范围、职责及审计计划应与企业的需求和与财务报告相关的[内部控制]相适应。
3.[管理层]是否建立了相关的控制以保证[自我评价]或定期的系统评价的[有效性]。
[CPA]可以关注被审计单位[管理层]对[内部控制]系统的评价是否有适当的范围和频率。[管理层]需要对[内部控制]进行评价,并且评价过程需由具备相应技能和了解企业控制设计和活动的人员来执行。评价的范围、覆盖深度以及频率都应是恰当的。
根据控制所应对的风险的[重要性]和控制在降低[重大错报风险]方面的[重要性],[管理层]可能分别采用不同范围和频率的评价或[自我评价]措施,以监督[财务报表]相关[内部控制]的[有效性]。应对的风险越高及对于降低特定风险更为关键的控制可能会被更频繁地测试并由更有经验、更客观以及更具胜任能力的人员来实施。
4.[管理层]是否建立了相关的控制以保证监督性控制能够在一个集中的地点有效进行,如共享服务中心等。
在一些被审计单位中,某些重要的监督性控制是在集中处理中心或者共享服务中心以集中化或地区化的方式执行的。这些控制可能有效地监督在那些分散的地点或业务分部的特定控制。
六、集中化的处理和控制
集中化的处理可以视作一种企业内部的“外包”安排,以取得规模效益并通过将某些或全部的财务报告过程与负责经营的[管理层]分离以改进控制环境。例如,被审计单位可能会设立共享服务中心,并向被审计单位内部的其他下属单位或分部提供日常的会计处理及[财务报表]编制服务。由于采用集中化管理可以降低各个下属单位或分部负责人对该单位或分部[财务报表]的影响,并且可能会使[财务报表]相关的[内部控制]更为有效,所以集中化的财务管理可能有助于降低[财务报表][错报]的风险。
[CPA]在对共享服务中心执行审计程序时,可以先了解共享服务中心的服务对象以及服务范围,并分析其服务对象的重大[财务报表][错报]风险。针对这些风险,[CPA]可以分析被审计单位是否有相关的[内部控制]用以降低其下属单位或分部[财务报表]发生[重大错报]的风险。
一般而言,特定服务对象单位与[财务报表]相关的风险越大,[CPA]在进行内控测试过程中可能更需要到共享服务中心或其服务对象单位测试与特定服务对象单位相关的[内部控制]。
由于共享服务中心的[内部控制]的影响较大,[CPA]可以考虑在[内部控制]审计工作初期就开始分析其[内部控制]的性质、对被审计单位的影响等,并且考虑在较早的阶段执行对共享服务中心[内部控制]的[有效性]测试,以确定其对[进一步审计程序]性质、时间安排以及范围的影响。
此外,一般而言,在对共享服务中心的[内部控制]进行了解或测试时,[CPA]还可以关注共享服务中心与[财务报表]相关的信息技术系统,特别是系统的复杂程度、使用的软件等因素,以选择合适的[内部控制]进行测试,其中包括集中处理环境下的信息技术-般控制是否有效。
对于某些被审计单位而言,上级单位可能会定期检查下属单位或分部的财务数据的真实性,以降低下属单位或分部[管理层]在[财务报表]上作出不恰当的人为调整的风险。
七、监督经营成果的控制
监督经营成果的控制可以视为所有监督性[内部控制]的一种。一般而言,[管理层]对于各个单位或业务部门经营情况的监控是企业层面的主要[内部控制]之一。例如,被审计单位[管理层]可能将各个下属单位和业务部门上报的实际生产量、销售量和其他资料,与预算或者其预期的数据作对比分析,并且跟进这些差异(如有)的原因及其合理性,以确定[财务报表]上的金额是否有异常变动。此外,下属单位或业务部门的管理人员可能定期复核其上报的[财务报表]的准确性,并在上报的资料上签字确认,同时下属单位或业务部门对[财务报表]发生的[错报]承担责任。
[CPA]在了解和测试与监督经营成果相关的企业层面的[内部控制]时可以考虑的因素包括(但不限于):
1.[管理层]是否定期将经营成果与预算进行对比分析及复核,以分析财务资料是否存在异常情况;
2.是否定期编制主要经营指标并对这些指标进行审阅及分析,以分析财务资料是否存在异常情况;
3.是否定期更新经营预测,并且与期末的实际经营结果进行对比分析。
此外,监督经营成果的控制还可能包括在控制环境以及风险评估流程方面的监控具体包括(但不限于):
1.对客户投诉报告的复核及分析,以查找被审计单位的各个下属单位或业务部门是否存在违规、不合法或管理不善的情况;
2.对违反被审计单位政策或守则行为的处理的复核:;
3.对与员工报酬或晋升相关的员工业绩评价流程的复核,以确定企业内部公平及平衡的奖惩制度的执行;
4.对企业记录的[财务报表]编制流程中存在的主要风险的复核,以考虑企业内部及外部存在的可能导致[财务报表][错报]的重大风险是否已经被清楚地反映。
在了解监督经营成果相关的控制时,[CPA]可以从性质上分析这些监督经营成果的控制是否有足够的精确程度以取代对业务流程、应用系统或交易层面的控制的测试。例如,如果[管理层]对[财务报表]的定期复核缺乏足够的精确度,[CPA]可能需要对被审计单位的[财务报表]编制流程中的[内部控制]进行测试。但是,如果这些监督经营成果的[内部控制]是有效的,[CPA]可以考虑减少对其他控制的测试。
八、针对重大经营控制及风险管理实务的政策
保持良好的[内部控制]的企业通常针对重大经营控制及风险管理实务采用相应的[内部控制]政策,在对[内部控制]进行审计时,[CPA]在这方面可以考虑的主要因素包括(但不限于):
1.企业是否建立了重大风险预警机制,明确界定哪些风险是重大风险,哪些事项-旦出现必须启动应急处理机制。应急预案、预警机制等相关的政策和方案应非常明确地传达到相关人员,一旦出现紧急情况,企业能够在第一时间作出反应,将损失降到最低。
2.企业是否建立了突发事件应急处理机制,确保突发事件得到及时妥善处理。[CPA]可以关注突发事件应急管理机制,例如,事前的预防、发生突发事件的应急处理事后相关措施的改进。
参考格式20-1列示了控制环境的了解和测试工作底稿。
参考格式20-1:与控制环境(即内部环境)相关的控制
(一)测试控制设计和运行的[有效性]
1.[管理层]的理念和经营风格。
(1)了解[内部控制]。
微信截图_20240517162402.png
微信截图_20240517162415.png
(2)评价[内部控制]的设计[有效性]。
微信截图_20240517162428.png
(3)实施[内部控制]运行[有效性]测试。
微信截图_20240517162439.png
微信截图_20240517162451.png
2.诚信和道德价值观念的沟通与落实。
(1)了解[内部控制]。
微信截图_20240517162502.png
(2)评价[内部控制]的设计[有效性]。
微信截图_20240517162512.png
(3)实施[内部控制]运行[有效性]测试。
微信截图_20240517162523.png
3.[治理层]的参与程度,
(1)了解[内部控制]。
微信截图_20240517162534.png
(2)评价[内部控制]的设计[有效性]。
微信截图_20240517162545.png
(3)实施[内部控制]运行[有效性]测试
微信截图_20240517162600.png
(二)结论
微信截图_20240517162612.png
如识别出控制缺陷,记录对审计工作的影响。
微信截图_20240517162631.png
第六节业务流程、应用系统或交易层面的控制的测试
在[内部控制]审计中,[CPA]需要在初步计划审计工作时识别被审计单位[财务报表]中的[重要账户、列报及其相关认定]。[CPA]应当对每一相关认定获取有关控制[有效性]的审计证据,以便对[内部控制]整体的[有效性]发表意见。对相关认定获取有关控制[有效性]的审计证据包括与认定直接相关的[企业层面控制] (如业绩评价控制)[有效性]的审计证据和关于流程、交易和应用层面控制[有效性]的审计证据。
一、了解企业经营活动和业务流程
在实务中,通常可以将被审计单位的整个经营活动划分为几个重要的业务循环(又称“业务流程”),有助于[CPA]更有效地了解和评估重要业务流程及相关控制。通常,对制造业企业,可以划分为销售与收款循环、采购与付款循环、存货与生产循环、工资与人员循环、筹资与投资循环等。
业务流程通常包括一系列工作:输入数据的核准与修正、数据的分类与合并、计算、更新账簿资料和客户信息记录、生成新的交易、归集数据、列报数据。而与[CPA]审计工作相关的流程通常包括生成、记录、处理和报告交易等活动。例如,在销售与收款流程中这些活动包括输入销售订单、编制货运单据和开具发票、更新应收账款记录等。
在了解业务流程前,[CPA]需要考虑以下事项:
1.该业务流程中的交易所影响的重要账户及其相关认定;
2.[CPA]已经识别的有关这些重要账户及其相关认定的经营风险和[财务报表][重大错报风险];
3.交易生成、记录、处理和报告的过程以及相关的信息技术处理系统。
考虑上述事项可以帮助[CPA]确定询问对象,包括流程管理人员和信息技术人员。
[CPA]可以通过检查被审计单位的手册和其他书面指引获得有关信息,还可以通过询问和观察来获得全面的了解。向适当人员询问通常是比较有效的方法。需要注意的是,很多重要交易的流程涉及被审计单位的多个部门。例如,销售业务可能涉及销售部门(负责订单处理和开票)、会计部门(负责账务处理)和仓库(负责发货)等。因此,[CPA]需要考虑分别向不同部门的适当人员询问。
在了解过程中,[CPA]通常还能注意到许多正在执行的控制。虽然这个阶段的工作重点不是确定控制是否存在,但[CPA]仍需留意可能存在缺乏控制的情况,以及可能发生[错报]而需要控制的环节。
在询问过程中,[CPA]可以检查并在适当的情况下保存部分被审计单位文件(如流程图、程序手册、职责描述、文件、表格等)的复印件,以帮助其了解交易流程通常,[CPA]会获得某些信息系统的文件资料,如系统的文字说明、系统图表以及流程图。为了有助于理解,[CPA]可以考虑在图表及流程图上加入自己的文字表述归纳总结被审计单位提供的有关资料。
如果可行的话,流程图或文字表述应反映所有相关的处理程序,无论这些处理程序是人工还是自动完成的。流程图或文字表述应足够详细,以帮助[CPA]确定在什么环节可能会发生[重大错报]。因此,流程图或文字表述通常会反映业务流程中数据发生人账或修改的活动。在较为复杂的环境中,一份流程图可能需要其他的流程图和文字表述予以支持。
[CPA]需要记录以下信息:(1)输入信息的来源;(2)所使用的重要数据档案如客户清单;(3)重要的处理程序,包括在线输入和更新处理;(4)重要的输出文件报告和记录;(5)基本的职责划分。
二、识别可能发生[错报]的环节
[CPA]需要了解和确认被审计单位应在哪些环节设置控制,以防止或发现并纠正各重要业务流程可能发生的[错报]。[CPA]所关注的控制,是那些能通过防止[错报]的发生,或者通过发现和纠正已有[错报],从而确保每个流程中业务活动(从交易的发生到记录于账目)能够顺利运转的人工或[自动化控制]程序。
尽管不同的被审计单位为确保会计信息的[可靠性]而对业务流程设计和实施不同的控制,但设计控制的目的是为实现某些控制目标(见表20-3)。实际上,这些控制目标与[财务报表]重要账户的相关认定相联系。但[CPA]在此时通常不考虑列报认定,列报及其相关认定通常在财务报告流程中予以考虑。
表20-3控制目标
微信截图_20240517162730.png
对于每个重要交易流程,[CPA]都会考虑这些控制目标。评价是否实现这些目标的重要标志是,是否存在控制来防止[错报]的发生,或发现并纠正[错报],然后重新提交到业务流程处理程序中进行处理。
[CPA]通过设计一系列关于控制目标是否实现的问题,从而确认某项业务流程中需要加以控制的环节。这些问题针对的是业务流程中数据生成、转移或被转换的环节。表20-4列举了部分在销售交易中的控制目标是否实现的问题。
表20-4销售交易中的控制目标示例
微信截图_20240517162745.png
为实现某项审计目标而设计问题的数量,取决于下列因素:
1.业务流程的复杂程度;
2.业务流程中发生[错报]而未能被发现的概率;
3.是否存在一种具有实效的总体控制来实现控制目标。例如,将仓库的发货日志中记录的发货数量与销售日记账中登记的数量定期进行核对调节,这一控制可以同时实现发生、完整性、截止等多个控制目标。
三、识别和了解相关控制
通过对被审计单位的了解,包括对被审计单位[企业层面控制]的了解,以及在上述程序中对重要业务流程的了解,[CPA]需要进一步了解流程、交易和应用层面的控制。针对业务流程中容易发生[错报]的环节,[CPA]应当确定:(1)被审计单位是否建立了有效的控制,以防止或发现并纠正这些[错报];(2)被审计单位是否遗漏了必要的控制;(3)是否识别出可以最有效测试的控制。
(一)控制的类型
1.预防性控制。
预防性控制通常用于正常业务流程的每一项交易,以防止[错报]的发生。在流程中防止[错报]是信息系统的重要目标。缺少有效的预防性控制增加了数据发生[错报]的可能性,特别是在相关账户及其认定存在较高[重大错报风险]时更是如此。
预防性控制可能是人工的,也可能是自动化的。表20-5是预防性控制及其能防止[错报]的示例。
表20-5预防性控制示例
微信截图_20240517162814.png
与简单的业务流程相比,对于较复杂的业务流程,被审计单位通常更依赖[自动化控制]。例如,对于一个简单的业务流程,发运货物的计价控制包括人工对销货发票的复核以确定发票采用了正确的价格和折扣。但在一个较复杂的业务流程中,被审计单位可能依赖数据录入控制判别那些不符合要求的价格和折扣,以及通过访问控制来控制对价格信息记录的访问。
对于处理大量业务的复杂业务流程,被审计单位通常使用对程序修改的控制和访问控制,来确保[自动化控制]的持续有效。
实施针对程序修改的控制,是为了确保所有对计算机程序的修改在实施前都经过适当的授权、测试以及核准。
实施访问控制,是为了确保只有经过授权的人员和程序才有权访问数据,且只能在预先授权情况下才能处理数据(如查询、执行和更新)。
程序修改的控制和访问控制通常不能直接防止[错报],但对于确保[自动化控制]在整个拟信赖期间内的[有效性]有着十分重要的作用。
2.检查性控制。
建立检查性控制的目的是发现流程中可能发生的[错报] (尽管有预防性控制还是会发生的[错报])。被审计单位通过检查性控制,监督其流程和相应的预防性控制能否有效地发挥作用。检查性控制通常是[管理层]用来监督实现流程目标的控制。检查性控制可以由人工执行也可以由信息系统自动执行。
检查性控制通常并不适用于业务流程中的所有交易,而适用于一般业务流程以外的已经处理或部分处理的某类交易,可能一年只运行几次,如每月将应收账款明细账与总账比较;也可能每周运行,甚至一天运行几次。
与预防性控制相比,不同被审计单位之间检查性控制差别很大。许多检查性控制取决于被审计单位的性质,执行人员的能力、习惯和偏好。检查性控制可能是正式建立的程序,如编制[银行存款余额调节表],并追查调节项目或异常项目,也可能是非正式的程序。
有些检查性控制虽然并没有正式地设定,但被审计单位人员会有规律地执行并作记录,这些控制也是被审计单位[内部控制]的有机[组成部分]。例如,财务总监复核月度毛利率的合理性;信用管理部经理可能有一本记录每月到期应收款的备查,以确定这些应收款是否收到,并追查挂账的项目;财务总监实施特定的[分析程序]来确定某些费用与销售的关系是否与经验数据相符,如果不符,调查不符的原因并纠正其中的[错报]等。
表20-6列示了检查性控制及其可能检查出的[错报]的示例。
表20-6检查性控制示例
微信截图_20240517162845.png
如果确信存在以下情况,则可以将检查性控制作为一个主要的手段,来合理保证某特定认定发生[重大错报]的可能性较小:(1)控制所检查的数据是完整、可靠的;(2)控制对于发现[重大错报]足够敏感;(3)发现的所有[重大错报]都将被纠正。
需要注意的是,对控制的分类取决于控制运用的目的和方式,以及被审计单位和[CPA]对控制的认识。从根本上看,控制被归为哪一类并不重要,重要的是它是否有效,以及[CPA]能否测试其[有效性]。业务流程中重要交易类别的控制需同时包括预防性控制和检查性控制,因为没有相应的预防性控制,检查性控制也不能充分发挥作用。
(二)识别和了解方法
[CPA]需要获取有关控制的足够信息,以使其能够识别控制,了解控制如何行、由谁执行,以及执行中所使用的数据报告、文件和其他材料等。[CPA]还需要确认,执行控制后所形成的证据是什么,以及该控制是否足够敏感,是否能够及时防止或发现并纠正[重大错报]。
识别和了解控制采用的主要方法是,询问被审计单位各级别的负责人员。业务流程越复杂,[CPA]越有必要询问信息系统人员,以辨别有关的控制。通常,应首先询问那些级别较高的人员,再询问级别较低的人员,以确定他们认为应该运行哪些控制以及哪些控制是重要的。这种“从高到低”的询问方法使[CPA]能迅速地辨别被审计单位重要的控制,特别是检查性控制。
对于从级别较低人员处获取的信息,[CPA]需要向级别较高的人员核实其完整性,并确定是否与级别较高的人员所理解的预定控制相符。这一步骤不仅可以向[CPA]提供有关实际执行的控制的信息,而且可以使[CPA]了解[管理层]对控制运行情况的熟悉程度。
在询问过程中,[CPA]还应当了解各层次监督和管理人员如何确认预定的预防性控制和检查性控制正在按计划运行。此时,[CPA]可以询问:“你们是怎样防止或发现某项[错报]的?”然后问:“你们采取什么措施来确保这些控制按设想的方式运行?”[CPA]应当重点关注被审计单位相关控制的运行情况,包括预防性控制和检查性控制的运行情况。
在许多情况下,[CPA]可以通过与被审计单位讨论,了解确保信息系统生成数据的完整性与准确性的控制。这些检查性控制可能包括对输入与输出的数据进行比较,定期复核信息记录的数据,或监督生成数据与预期数据的差异。这些控制可能是正式制定的程序,也可能是非正式的程序。对生成数据与预期数据的差异,[CPA]应当了解控制如何识别和判断这些差异,如何追查这些差异以及纠正发现的[错报]。在评价这些控制时,应重点看其是否足够敏感,是否能查出所有重要的[错报],包括那些在自动化信息系统中可能发生的[错报]。
需要指出的是,[CPA]并不需要了解与每一控制目标相关的所有控制。在了解控制时,[CPA]应当重点考虑一项控制活动单独或连同其他控制,是否能够以及如何防止或发现并纠正[重大错报]。如果多项控制能够实现同一目标,[CPA]不必了解与该目标相关的每一项控制。
例如,防止或发现某一特定的[错报]可能需要有多重控制,或者一项特别的控制目标是为了发现一种以上的潜在[错报],为了实现该目标需要设置多项控制。例如,为应对销售的“发生”这一认定,[CPA]可能要识别一项控制,该项控制的作用是保证出库单只为已经发出的货物编制。同时,[CPA]可能还要识别另一项控制,其作用是保证只有在与出库单相匹配时才能开具销售发票并登记入账。然而,[CPA]也可能认定不管存在多少种的潜在[错报],某一特定的控制(如一个设计合理的检查性控制)自身可以足够有效地实现控制目标。例如,对实际发货数量与开票数量进行定期核对调节的程序本身就足以对销售流程中“存在”这一目标提供合理保证,并且也能对销售流程中“完整性”这一目标提供合理保证。因此,在这种情况下,[CPA]可能只需了解对实际发货数量与开票数量进行定期核对调节的控制。
在实务中,[CPA]还会特别考虑一项检查性控制发现和纠正[错报]的能力。例如,将实际发货数量与开票数量进行核对调节的程序,比复核毛利率或进行实际销售与预算销售的比较更能发现未开票的发货,因为进行上述复核或比较的主要目的不是为了查出未开票的发货,也就是说,控制与认定直接或间接相关;关系越间接,控制对防止或发现并纠正认定[错报]的效果越小。[CPA]应考虑识别和了解与认定关系更直接、更有效的控制。
如果在之后的[穿行测试]中,[CPA]发现已识别的控制实际并未得到执行,则应当重新针对该项控制目标识别是否存在其他控制。
四、记录相关控制
在被审计单位已设置的控制中,如果有可以对应“哪个环节需设置控制”问题的[CPA]应将其记录于工作底稿,同时记录由谁执行该控制。[CPA]可以通过备忘录、笔记或复印被审计单位相关资料而逐步使信息趋于完整。
参考格式20-2列示了销售与收款流程[内部控制]测试工作底稿(节选)
参考格式20-2:业务层面——销售与收款流程(部分)[内部控制]测试工作底稿
一、识别[重要账户、列报及其相关认定]
在确定[重要账户、列报及其相关认定]时,[CPA]确定销售收入和应收账款是重要账户。其相关的认定如下:
微信截图_20240517162929.png
二、了解、评估并测试与销售收入相关的业务层面控制
(一)了解业务流程及控制
销售与收款业务流程通常包括以下子流程:订单处理、发货、开票、收款、调整(包括由于销售退回、坏账准备等导致的调整)、主数据维护、职责分离。
微信截图_20240517162954.png
微信截图_20240517163009.png
微信截图_20240517163021.png
微信截图_20240517163030.png
微信截图_20240517163045.png
(二)实施[穿行测试]
微信截图_20240517163055.png
微信截图_20240517163107.png
(三)选取拟测试的控制并测试
微信截图_20240517163118.png
微信截图_20240517163127.png
微信截图_20240517163140.png
微信截图_20240517163150.png
微信截图_20240517163200.png
第七节[信息技术控制]的测试
一、运用信息技术导致的风险
在信息技术环境下,传统的人工控制越来越多地被[自动化控制]代替。但是,信息技术在改进企业控制的同时,也产生了特定的风险:
1.信息系统或相关系统程序可能会对数据进行错误处理,也可能会去处理那些本身存在错误的数据;
2.自动化信息系统、数据库及操作系统的相关安全控制如果无效,会增加对数据信息非授权访问的风险,这种风险可能导致系统内数据遭到破坏和系统对非授权交易或不存在的交易作出记录,系统、系统程序、数据遭到不适当的改变,系统对交易进行不适当的记录,以及信息技术人员获得超过其职责范围的过大系统权限等;
3.数据丢失风险或数据无法访问风险,如系统瘫痪:
4.不适当的人工干预,或人为绕过[自动化控制]。
二、[信息技术内部控制]测试
在信息技术环境下,人工控制的基本原理与方式在信息环境下并不会发生实质性的改变,[CPA]仍需要按照标准执行相关的审计程序,而对于[自动化控制],就需要从[信息技术一般控制]测试与[信息处理控制]测试两方面进行考虑。
(一)[信息技术一般控制]测试
[信息技术一般控制]是指为了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施,[信息技术一般控制]通常会对实现部分或全部财务报告认定做出间接贡献。在有些情况下,[信息技术一般控制]也可能对实现信息处理目标和财务报告认定做出直接贡献。这是因为有效的[信息技术一般控制]确保了应用系统控制和依赖计算机处理的自动化会计程序得以持续有效地运行。当人工控制依赖系统生成的信息时,[信息技术一般控制]同样重要。
[信息技术一般控制]包括程序开发、程序变更、程序和数据访问以及计算机运行四个方面。
1.程序开发。
程序开发领域的目标是确保系统的开发、配置和实施能够实现[管理层]的[信息处理控制]目标。程序开发控制的一般要素包括:
(1)对开发和实施活动的管理;
(2)项目启动、分析和设计;
(3)对程序开发实施过程的控制软件包的选择;
(4)测试和质量确保;
(5)数据迁移;
(6)程序实施;
(7)记录和培训;
(8)职责分离。
2.程序变更。
程序变更领域的目标是确保对程序和相关基础组件的变更是经过申请、授权、执行测试和实施的,以达到[管理层]的[信息处理控制]目标。程序变更一般包括以下要素:
(1)对维护活动的管理;
(2)对变更请求的规范、授权与跟踪;
(3)测试和质量保证;
(4)测试和质量确保;
(5)数据迁移;
(6)程序实施;
(7)记录和培训;
(8)职责分离。
3.程序和数据访问。
程序和数据访问这一领域的目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的。程序和数据访问的子组件一般包括安全活动管理、安全管理、数据安全、操作系统安全、网络安全和实物安全。
4.计算机运行。
计算机运行这一领域的目标是确保生产系统根据[管理层]的控制目标完整准确地运行,确保运行问题被完整准确地识别并解决,以维护财务数据的完整性。计算机运行的子组件一般包括计算机运行活动的总体管理、批调度和批处理、实时处理、备份和问题管理以及灾难恢复。
[CPA]需要清晰记录[信息技术一般控制]与关键的自动化[信息处理控制]及接口、关键的自动化会计程序、关键人工控制使用的系统生成数据和报告,或生成人工日记账时使用系统生成的数据和报告的关系。
由于程序变更控制、计算机运行控制及程序数据访问控制影响[信息处理控制]的持续有效运行,[CPA]需要对上述三个领域实施[控制测试]。
(二)[信息处理控制]测试
[信息处理控制]既包括人工进行的控制,也包括[自动化控制]。[信息处理控制]一般要经过输人、处理及输出等环节,与人工控制一样,自动化[信息处理控制]关注信息处理目标的四个要素:完整性、准确性、授权和访问限制。
1.完整性。
(1)顺序标号,可以保证系统每笔日记账都是唯一的,并且系统不会接受相同编号或者在编号范围外的凭证。如果存在例外,系统将生成例外事项报告,相关人员需进行调查跟进;
(2)编辑检查,以确保无重复交易录人。
2.准确性。
(1)编辑检查,包括限制检查、合理性检查、存在性检查和格式检查等;
(2)将客户、供应商、发票和采购订单等信息与现有数据进行比较。
3.授权。
(1)交易流程中必须存在恰当的授权;
(2)将客户、供应商、发票和采购订单等信息与现有数据进行比较
4.访问限制。
(1)对于某些特殊的会计记录的访问,必须经过数据所有者的正式授权。[管理层]必须定期检查系统的访问权限来确保只有经过授权的用户才能够拥有访问权限,并且符合职责分离原则。如果存在例外,必须进行调查。
(2)访问控制必须满足适当的职责分离,例如,交易的审批和处理必须由不同的人员执行。
(3)对每个系统的访问控制都要单独考虑。密码必须要定期更换,并且在规定次数内不能重复;定期生成多次登录失败导致用户账号锁定的报告,[管理层]必须跟踪这些登录失败的具体原因。
所有的自动化[信息处理控制]都会有一个人工控制与之相对应。例如,通过批次汇总的方式验证数据传输的准确性和完整性时,如果出现例外,就需要有相应的人工控制进行跟踪调查。理论上,在测试的时候,每个自动化[信息处理控制]都要与其对应的人工控制一起进行测试,才能得到控制是否可信赖的结论。
(三)[信息处理控制]与[信息技术一般控制]之间的关系
[信息处理控制]是设计在计算机应用系统中的、有助于达到信息处理目标的控制。例如,许多应用系统中包含很多编辑检査来帮助确保录入数据的准确性。编辑检查可能包括格式检查(如日期格式或数字格式)、存在性检查(如客户编码存在于客户主数据文档之中),或合理性检查(如最大支付金额)。如果录入数据的某一要素未通过编辑检查那么系统可能拒绝录入该数据或系统可能将该录入数据拖入系统生成的例外报告之中,留待后续跟进和处理。
如果带有关键的编辑检查功能的应用系统所依赖的计算机环境存在[信息技术一般控制]的缺陷,[CPA]可能就不能信赖上述编辑检查功能按设计发挥作用。例如,程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程逻辑进行修改,以至于系统接受不准确的录人数据。此外,与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查,而该合理性检查在其他方面将使系统无法处理金额超过最大容差范围的支付操作。表20-7列示了考虑是否将信息系统纳人审计范围的记录示例。
表20-7考虑是否将信息系统纳入审计范围的记录示例
微信截图_20240517163406.png
第八节[内部控制]缺陷评价
一、控制缺陷的分类
[内部控制]存在的缺陷包括设计缺陷和运行缺陷。
设计缺陷是指缺少为实现控制日标所必需的控制,或现有控制设计不适当,即使正常运行也难以实现预期的控制目标。
运行缺陷是指现存设计适当的控制没有按设计意图运行,或执行人员没有获得必要授权或缺乏胜任能力,无法有效地实施[内部控制]。
[内部控制]存在的缺陷,按其严重程度分为[重大缺陷]、重要缺陷和一般缺陷。
[重大缺陷]是[内部控制]中存在的、可能导致不能及时防止或发现并纠正[财务报表]出现[重大错报]的一项控制缺陷或多项控制缺陷的组合。
重要缺陷是[内部控制]中存在的、其严重程度不如[重大缺陷]但足以引起负责监督被审计单位财务报告的人员(如审计委员会或类似机构)关注的一项控制缺陷或多项控制缺陷的组合。
-般缺陷是[内部控制]中存在的、除[重大缺陷]和重要缺陷之外的控制缺陷
二、评价控制缺陷的严重程度
[CPA]应当评价其识别的各项控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成[内部控制]的[重大缺陷]。但是,在计划和实施审计工作时,不要求[CPA]寻找单独或组合起来不构成[重大缺陷]的控制缺陷。
控制缺陷的严重程度取决于:
1.控制不能防止或发现并纠正账户或列报发生[错报]的可能性的大小;
2.因一项或多项控制缺陷导致的潜在[错报]的金额大小。
控制缺陷的严重程度与[错报]是否发生无关,而取决于控制不能防止或发现并纠正[错报]的可能性的大小。
在评价一项控制缺陷或多项控制缺陷的组合是否可能导致账户或列报发生[错报]时,[CPA]应当考虑的风险因素包括:
1.所涉及的账户、列报及其相关认定的性质;
2.相关资产或负债易于发生损失或舞弊的可能性;
3.确定相关金额时所需判断的主观程度、复杂程度和范围:
4.该项控制与其他控制的相互作用或关系;
5.控制缺陷之间的相互作用;
6.控制缺陷在未来可能产生的影响。
评价控制缺陷是否可能导致[错报]时,[CPA]无需将[错报]发生的概率量化为某特定的百分比或区间。
如果多项控制缺陷影响[财务报表]的同一账户或列报,[错报]发生的概率会增加。在存在多项控制缺陷时,即使这些缺陷从单项看不重要,但组合起来也可能构成[重大缺陷]因此,[CPA]应当确定,对同一[重要账户、列报及其相关认定]或[内部控制]要素产生影响的各项控制缺陷,组合起来是否构成[重大缺陷]。
在评价因一项或多项控制缺陷导致的潜在[错报]的金额大小时,[CPA]应当考虑的因素包括:
1.受控制缺陷影响的[财务报表]金额或交易总额;
2.在本期或预计的未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量。
在评价潜在[错报]的金额大小时,账户余额或交易总额的最大多报金额通常是已记录的金额,但其最大少报金额可能超过已记录的金额。通常,小金额[错报]比大金额[错报]发生的概率更高。
在确定一项控制缺陷或多项控制缺陷的组合是否构成[重大缺陷]时,[CPA]应当评价补偿性控制的影响。在评价补偿性控制是否能够弥补控制缺陷时,[CPA]应当考虑补偿性控制是否有足够的精确度以防止或发现并纠正可能发生的[重大错报]。图20-1展示了[内部控制]缺陷评价的步骤。
微信截图_20240517163407.png
图20-1控制缺陷评价流程
以下举例说明控制缺陷评价流程:
例一:
一般缺陷
A[CPA]执行甲公司[内部控制]审计,确定[财务报表]整体的[重要性]为2000万元,实际执行的[重要性]为1000万元。A[CPA]将付款经适当审批并附有支持性文件作为一项关键控制(该项控制与1600万元的交易相关)进行[控制测试],预计偏差率为零。A[CPA]选择了25笔付款进行测试后,发现1笔与维修相关的付款未经审批。
步骤一:发现的缺陷是否与一个或多个[财务报表]认定直接相关?
该缺陷涉及支出,直接影响[财务报表]认定。
步骤二:该项缺陷是否可能无法防止或发现[财务报表][错报]?
付款未经审批,可能导致[错报]。
步骤三:该项缺陷可能导致[财务报表]潜在[错报]的金额大小?
涉及1600万元的交易,大于实际执行的[重要性]。
步骤四:是否存在补偿性控制,并有效运行,足以防止或发现[财务报表][重大错报]?
经了解和测试,维修与维护服务环节存在下列补偿性控制:
维修与维护服务环节的采购订单审批和付款审批流程中存在职责分离(已测试且该控制有效)。
对采购订单的审批与既定控制保持一致(已测试且该控制有效)。
每月将实际成本和费用与预算数据进行比较,如果差异大于100万元,将进行调查(已测试且控制有效)。
步骤五:该缺陷的重要程度是否足以引起负责监督企业财务报告的相关人员的关注?
否。
因此,该缺陷为一般缺陷。
例二:
[重大缺陷]
A[CPA]执行甲公司[内部控制]审计,确定[财务报表]整体的[重要性]为2000万元实际执行的[重要性]为1000万元。每月末,甲公司应收账款会计核对银行存款日记账和银行对账单,编制[银行存款余额调节表]。如存在差异,查明原因并进行差异调节说明。会计主管复核[银行存款余额调节表],对需要调整的调节项目及时处理,并签字确认。A[CPA]将这项控制作为一项关键控制(控制与6000万元的交易相关)进行[控制测试],预计偏差率为零。A[CPA]选取了两个月的[银行存款余额调节表]进行测试后,发现银行存款余额和银行对账单存在200万元的重大差异,[银行存款余额调节表]中未对差异进行说明,并且差异已超过1年。
步骤一:发现的缺陷是否与一个或多个[财务报表]认定直接相关?
涉及银行存款和收付款问题,直接影响[财务报表]认定。
步骤二:该项缺陷是否可能无法防止或发现[财务报表][错报]?
没有对差异及时进行处理,对账没有完成,可能导致错误不能及时发现。
步骤三:该项缺陷可能导致[财务报表]潜在[错报]的金额大小?
这项控制与交易相关且所涉及金额大于6000万元,大于实际执行的[重要性]。
步骤四:是否存在补偿性控制,并有效运行,足以防止或发现[财务报表][重大错报]?
财务经理每月复核[银行存款余额调节表]并签字确认。由于财务经理没有发现这些重大差异,补偿性控制运行无效。
因此,该缺陷为[重大缺陷]。
三、表明可能存在[重大缺陷]的迹象
如果[CPA]确定发现的一项控制缺陷或多项控制缺陷的组合将导致审慎的管理人员在执行工作时,认为自身无法合理保证按照适用的[财务报告编制基础]记录交易,应当将这一项控制缺陷或多项控制缺陷的组合视为存在[重大缺陷]的迹象。下列迹象可能表明[内部控制]存在[重大缺陷]:
1.[CPA]发现董事、监事和高级管理人员的任何舞弊;
2.被审计单位重述以前公布的[财务报表],以更正舞弊或错误导致的[重大错报];
3.[CPA]发现当期[财务报表]存在[重大错报],而被审计单位[内部控制]在运行过程中未能发现该[错报];
4.审计委员会和内部审计机构对[内部控制]的监督无效
四、[内部控制]缺陷整改
如果被审计单位在基准日前对存在缺陷的控制进行了整改,整改后的控制需要运行足够长的时间,才能使[CPA]得出其是否有效的审计结论。[CPA]应当根据控制的性质和与控制相关的风险,合理运用[职业判断],确定整改后控制运行的最短期间(或整改后控制的最少运行次数)以及最少测试数量。整改后控制运行的最短期间(或最少运行次数)和最少测试数量参见表20-8。
表20-8整改后控制运行的最短期间(或最少运行次数)和最少测试数量
微信截图_20240517163858.png
如果被审计单位在基准日前对存在[重大缺陷]的[内部控制]进行了整改,但新控制尚没有运行足够长的时间,[CPA]应当将其视为[内部控制]在基准日存在[重大缺陷]。
参考格式20-3列示了[内部控制]缺陷(部分)及评价的汇总表。
参考格式20-3:[内部控制]缺陷(部分)及评价的记录示例
[内部控制]缺陷(部分)及评价的汇总表
微信截图_20240517163924.png
第九节完成[内部控制]审计工作
一、形成[内部控制]审计意见
[CPA]应当评价从各种来源获取的审计证据,包括对控制的测试结果、[财务报表]审计中发现的[错报]以及已识别的所有控制缺陷,形成对[内部控制][有效性]的意见。在评价审计证据时,[CPA]应当查阅本年度涉及[内部控制]的内部[审计报告]或类似报告并评价这些报告中指出的控制缺陷。
在对[内部控制]的[有效性]形成意见后,[CPA]应当评价企业[内部控制]评价报告对相关法律法规规定的要素的列报是否完整和恰当。
根据中国证监会《上市公司实施企业[内部控制]规范体系监管问题解答》的规定,公开发行证券的公司在[年度报告]中应披露的财务报告[内部控制]评价报告应包括以下内容:
1.公司董事会关于建立健全和有效实施财务报告[内部控制]是公司董事会的责任,并就公司财务报告[内部控制]评价报告真实性作出的声明;
2.财务报告[内部控制]评价的依据;
3.根据[自我评价]情况,认定于评价基准日存在的财务报告[内部控制][重大缺陷]情况;
4.对发现的[重大缺陷]已采取或拟采取的整改措施的说明;
5.公司董事会对评价基准日财务报告[内部控制][有效性]的[自我评价]结论;
6.在财务报告[内部控制][自我评价]过程中关注到的非财务报告[内部控制][重大缺陷]情况。
二、获取[书面声明]
[CPA]应当获取经被审计单位签署的[书面声明]。[书面声明]的内容应当包括
1.被审计单位董事会认可其对建立健全和有效实施[内部控制]负责;
2.被审计单位已对[内部控制]进行了评价,并编制了[内部控制]评价报告;
3.被审计单位没有利用[CPA]在[内部控制]审计和[财务报表]审计中执行的程序及其结果作为评价的基础;
4.被审计单位根据[内部控制]标准评价[内部控制][有效性]得出的结论;
5.被审计单位已向[CPA]披露识别出的所有[内部控制]缺陷,并单独披露其中的[重大缺陷]和重要缺陷;
6.被审计单位已向[CPA]披露导致[财务报表]发生[重大错报]的所有舞弊,以及其他不会导致[财务报表]发生[重大错报],但涉及[管理层]、[治理层]和其他在[内部控制]中具有重要作用的员工的所有舞弊;
7.[CPA]在以前年度审计中识别出的且已与被审计单位沟通的[重大缺陷]和重要缺陷是否已经得到解决,以及哪些缺陷尚未得到解决;
8.在基准日后,[内部控制]是否发生变化,或者是否存在对[内部控制]产生重要影响的其他因素,包括被审计单位针对[重大缺陷]和重要缺陷采取的所有纠正措施。
如果被审计单位拒绝提供或以其他不当理由回避[书面声明],[CPA]应当将其视为审计范围受到限制,解除业务约定或出具[无法表示意见]的[内部控制][审计报告]。此外[CPA]应当评价拒绝提供[书面声明]这一情况对其他声明(包括在[财务报表]审计中获取的声明)的[可靠性]的影响。
三、沟通相关事项
对于[重大缺陷]和重要缺陷,[CPA]应当以书面形式与[管理层]和[治理层]沟通。书面沟通应当在[CPA]出具[内部控制][审计报告]之前进行。
[CPA]应当以书面形式与[管理层]沟通其在审计过程中识别的所有其他[内部控制]缺陷,并在沟通完成后告知[治理层]。在进行沟通时,[CPA]无需重复自身、内部审计人员或被审计单位其他人员以前书面沟通过的控制缺陷。
虽然并不要求[CPA]执行足以识别所有控制缺陷的程序,但是,[CPA]应当沟通其注意到的[内部控制]的所有缺陷。[内部控制]审计不能保证[CPA]能够发现严重程度低于[重大缺陷]的所有控制缺陷。[CPA]不应在[内部控制][审计报告]中声明,在审计过程中没有发现严重程度低于[重大缺陷]的控制缺陷。
如果发现被审计单位存在或可能存在舞弊或[违反法律法规行为],[CPA]应当按照《中国[CPA]审计准则第1141号——[财务报表]审计中与舞弊相关的责任》《中国[CPA]审计准则第1142号——[财务报表]审计中对法律法规的考虑》的规定,确定并履行自身的责任。
第十节出具[内部控制][审计报告]
一、[内部控制][审计报告]要素
标准[内部控制][审计报告]应当包括下列要素:
1.标题。[内部控制][审计报告]的标题统一规范为“[内部控制][审计报告]”
2.收件人。[内部控制][审计报告]的收件人是指[CPA]按照业务约定书的要求致送[内部控制][审计报告]的对象,一般是指审计业务的委托人。[内部控制][审计报告]需要载明收件人的全称。
3.引言段。[内部控制][审计报告]的引言段说明企业的名称和[内部控制]已经过审计。
4.企业对[内部控制]的责任段。企业对[内部控制]的责任段说明,按照《企业[内部控制]基本规范》《企业[内部控制]应用指引》《企业[内部控制]评价指引》的规定,建立健全和有效实施[内部控制],并评价其[有效性]是企业董事会的责任。
5.[CPA]的责任段。[CPA]的责任段说明,在实施审计工作的基础上,对财务报告[内部控制]的[有效性]发表审计意见,并对注意到的非财务报告[内部控制]的[重大缺陷]进行披露是[CPA]的责任。
6.[内部控制]固有局限性的说明段。[内部控制]无论如何有效,都只能为企业实现控制目标提供合理保证。[内部控制]实现目标的可能性受其[固有限制]的影响,包括:(1)在决策时人为判断可能出现错误和因人为失误而导致[内部控制]失效;(2)控制的运行也可能无效;(3)控制可能由于两个或更多的人员进行串通舞弊或[管理层]不当地凌驾于[内部控制]之上而被规避;(4)在设计和执行控制时,如果存在选择执行的控制以及选择承担的风险,[管理层]在确定控制的性质和范围时需要作出主观判断。
因此,[CPA]需要在[内部控制]固有局限性的说明段说明,[内部控制]具有固有局限性,存在不能防止和发现[错报]的可能性。此外,由于情况的变化可能导致[内部控制]变得不恰当,或对控制政策和程序遵循的程度降低,根据[内部控制]审计结果推测未来[内部控制]的[有效性]具有一定风险。
7.财务报告[内部控制]审计意见段。审计意见段应当说明企业是否按照《企业[内部控制]基本规范》和相关规定在所有重大方面保持了有效的财务报告[内部控制]。
8.非财务报告[内部控制][重大缺陷]描述段。[CPA]应当在本段披露非财务报告[内部控制]的[重大缺陷]的性质及其对实现相关控制目标的影响程度。
9.[CPA]的签名和盖章。
10.[会计师事务所]的名称、地址及盖章。
11.报告日期。[审计报告]的日期不应早于[CPA]获取充分、适当的审计证据(包括董事会认可对[内部控制]及评价报告的责任且已批准评价报告的证据),并在此基础上对[内部控制]的[有效性]形成审计意见的日期。如果[内部控制]审计和[财务报表]审计整合进行,[CPA]应对[内部控制][审计报告]和[财务报表][审计报告]签署相同的日期。
二、[内部控制][审计报告]的意见类型
(一)[无保留意见]
如果符合下列所有条件,[CPA]应当对财务报告[内部控制]出具[无保留意见]的内部控鴦秆昂軼酯阵[审计报告]:
1.在基准日,被审计单位按照适用的[内部控制]标准的要求,在所有重大方面保持了有效的[内部控制];
2.[CPA]已经按照《企业[内部控制]审计指引》的要求计划和实施审计工作,在审计过程中未受到限制。
(二)[非无[保留意见]]
1.财务报告[内部控制]存在[重大缺陷]时的处理。
如果认为财务报告[内部控制]存在一项或多项[重大缺陷],除非审计范围受到限制,[CPA]应当对财务报告[内部控制]发表[否定意见]。[否定意见]的[内部控制][审计报告]还应当包括[重大缺陷]的定义、[重大缺陷]的性质及其对[内部控制]的影响程度。
如果财务报告[内部控制]存在的[重大缺陷]尚未包含在企业[内部控制]评价报告中,[CPA]应当在[内部控制][审计报告]中说明[重大缺陷]已经识别、但没有包含在企业[内部控制]评价报告中。如果企业[内部控制]评价报告中包含了[重大缺陷],但[CPA]认为这些[重大缺陷]未在所有重大方面得到公允反映,[CPA]应当在[内部控制][审计报告]中说明这一结论,并公允表达有关[重大缺陷]的必要信息。
如果对财务报告[内部控制]的[有效性]发表[否定意见],[CPA]应当确定该意见对[财务报表]审计意见的影响,并在[内部控制][审计报告]中予以说明。例如,如果对[财务报表]发表的审计意见受到影响,[CPA]应当在[内部控制][审计报告]的导致[否定意见]的事项段中增加以下类似说明:“在××公司××年[财务报表]审计中,我们已经考虑了上述[重大缺陷]对审计程序的[性质、时间安排和范围]的影响。
2.审计范围受到限制时的处理。
[CPA]只有实施了必要的审计程序,才能对[内部控制]的[有效性]发表意见。如果审计范围受到限制,[CPA]应当解除业务约定或出具[无法表示意见]的[内部控制][审计报告]。
如果法律法规的相关豁免规定允许被审计单位不将某些实体纳入[内部控制]的评价范围,[CPA]可以不将这些实体纳人[内部控制]审计的范围。这种情况不构成审计范围受到限制,但[CPA]应当在[内部控制][审计报告]中增加[强调事项段]或者在[CPA]的责任段中,就这些实体未被纳入评价范围和[内部控制]审计范围这一情况,作出与被审计单位类似的恰当陈述。[CPA]应当评价相关豁免是否符合法律法规的规定,以及被审计单位针对该项豁免作出的陈述是否适当。如果认为被审计单位有关该项豁免的陈述不恰当,[CPA]应当提请其作出适当修改。如果被审计单位未作出恰当修改,[CPA]应当在[内部控制][审计报告]的[强调事项段]中说明被审计单位的陈述需要修改的理由。
在出具[无法表示意见]的[内部控制][审计报告]时,[CPA]应当在[内部控制][审计报告]中指明审计范围受到限制,无法对[内部控制]的[有效性]发表意见,并单设段落说明[无法表示意见]的实质性理由。[CPA]不应在[内部控制][审计报告]中指明所执行的程序,也不应描述[内部控制]审计的特征,以避免对[无法表示意见]的误解。如果在已执行的有限程序中发现[内部控制]存在[重大缺陷],[CPA]应当在[内部控制][审计报告]中对[重大缺陷]作出详细说明。
只要认为审计范围受到限制将导致无法获取发表审计意见所需的充分、适当的审计证据,[CPA]不必执行任何其他工作即可对[内部控制]出具[无法表示意见]的[内部控制][审计报告]。在这种情况下,[内部控制][审计报告]的日期应为[CPA]已就该报告中陈述的内容获取充分、适当的审计证据的日期。
三、强调事项
如果认为[内部控制]虽然不存在[重大缺陷],但仍有一项或多项重大事项需要提请[内部控制][审计报告]使用者注意,[CPA]应当在[内部控制][审计报告]中增加[强调事项段]予以说明。[CPA]应当在[强调事项段]中指明,该段内容仅用于提醒[内部控制][审计报告]使用者关注,并不影响对[内部控制]发表的审计意见。
如果确定企业[内部控制]评价报告对要素的列报不完整或不恰当,[CPA]应当在[内部控制][审计报告]中增加[强调事项段],说明这一情况并解释得出该结论的理由。
四、对期后事项的考虑
在基准日后至[审计报告]日前(以下简称期后期间),[内部控制]可能发生变化,或出现其他可能对[内部控制]产生重要影响的因素。[CPA]应当询问是否存在这类变化或因素,并获取被审计单位关于这类变化或因素的[书面声明]。
[CPA]应当针对期后期间,询问并检查下列信息:
1.在期后期间出具的内部[审计报告]或类似报告;
2.其他[CPA]出具的涉及被审计单位[内部控制]缺陷的报告;
3.监管机构发布的涉及被审计单位[内部控制]的报告;
4.[CPA]在执行其他业务中获取的、有关被审计单位[内部控制][有效性]的信息。
此外,[CPA]还应当考虑获取期后期间的其他文件,并按照《中国[CPA]审计准则第1332号——期后事项》的规定,对其进行检查。
如果知悉对基准日[内部控制][有效性]有重大负面影响的期后事项,[CPA]应当对[内部控制]发表[否定意见]。如果[CPA]不能确定期后事项对[内部控制][有效性]的影响程度,应当出具[无法表示意见]的[内部控制][审计报告]。
如果[管理层]在评价报告中披露了基准日之后采取的整改措施,[CPA]应当在[内部控制][审计报告]中指明不对这些信息发表意见
[CPA]可能知悉在基准日并不存在、但在期后期间发生的事项。如果这类期后事项对[内部控制]有重大影响,[CPA]应当在[内部控制][审计报告]中增加[强调事项段]描述该事项及其影响,或提醒[内部控制][审计报告]使用者关注企业[内部控制]评价报告中披露的该事项及其影响。
在出具[内部控制][审计报告]后,如果知悉在[审计报告]日已存在的、可能对审计意见产生影响的情况,[CPA]应当按照《中国[CPA]审计准则第1332号——期后事项》的相关规定处理。如果被审计单位更正以前公布的[财务报表],[CPA]应当按照《中国[CPA]审计准则第1332号——期后事项》的相关规定重新考虑以前发表的[内部控制]审计意见的适当性。
五、非财务报告[内部控制][重大缺陷]
如果在审计过程中注意到存在非财务报告[内部控制]缺陷,[CPA]应当区分具体情况予以处理:
1.如果认为非财务报告[内部控制]缺陷为一般缺陷,[CPA]应当与企业进行沟通,提醒企业加以改进,但无需在[内部控制][审计报告]中说明:
2.如果认为非财务报告[内部控制]缺陷为重要缺陷,[CPA]应当以书面形式与企业董事会和[管理层]沟通,提醒企业加以改进,但无需在[内部控制][审计报告]中说明:
3.如果认为非财务报告[内部控制]缺陷为[重大缺陷],[CPA]应当以书面形式与企业董事会和[管理层]沟通,提醒企业加以改进;同时应当在[内部控制][审计报告]中增加非财务报告[内部控制][重大缺陷]描述段,对[重大缺陷]的性质及其对实现相关控制目标的影响程度进行披露,提示[内部控制][审计报告]使用者注意相关风险,但无需对其发表审计意见。
参考格式20-4、参考格式20-5、参考格式20-6、参考格式20-7、参考格式20-8列示了不同类型的[内部控制]报告。
参考格式20-4:[无保留意见][内部控制][审计报告]
[内部控制][审计报告]
微信截图_20240517164212.png
微信截图_20240517164228.png
参考格式20-5:带[强调事项段]的[无保留意见][内部控制][审计报告]
[内部控制][审计报告]
微信截图_20240517164241.png
参考格式20-6:[否定意见][内部控制][审计报告]
[内部控制][审计报告]
微信截图_20240517164253.png
微信截图_20240517164308.png
微信截图_20240517164317.png
参考格式20-7:[无法表示意见][内部控制][审计报告]
[内部控制][审计报告]
微信截图_20240517164331.png
微信截图_20240517164346.png
参考格式20-8:非财务报告[重大缺陷]的[内部控制][审计报告]
[内部控制][审计报告]
微信截图_20240517164400.png
End
|
微信扫码,自愿捐赠。天涯同道,共谱新篇。
微信捐赠不显示捐赠者个人信息,如需要,请注明联系方式。 |
