第二十章:企业内部控制审计
本章属于较重要章节。本章难度不高,主要以客观题的形式考查。注重与了解被审计单位的内部控制、控制测试以及审计循环相联系。第一节 内部控制审计的概念1.1 内部控制定义、目标及分类1. 内部控制定义内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。2. 内部控制目标内部控制的目标包括以下五个方面:(1)合理保证财务报告及相关信息的真实完整(报告目标);(2)合理保证资产安全(资产目标);(3)合理保证经营管理合法合规(遵循性目标);(4)提高经营效率效果(经营性目标);(5)促进企业实现发展战略(战略性目标)3. 财务报告内部控制与非财务报告内部控制(1)财务报告内部控制(主要涉及内部控制的报告目标、资产目标)财务报告内部控制,是指公司的董事会、监事会、经理层及全体员工实施的旨在合理保证财务报告及相关信息真实、完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。【理解】主要涉及内部控制的报告目标、资产目标(2)非财务报告内部控制(主要涉及内部控制的遵循性目标、经营性目标和战略性目标)非财务报告内部控制,是指除财务报告内部控制之外的其他控制,通常是指为了合理保证除财务报告及相关信息、资产安全外的其他控制目标的实现而设计和运行的内部控制。1.2 内部控制审计的定义1. 内部审计背景2008 年 7 月,我国财政部会同证监会等部门发布《企业内部控制基本规范》,2010 年 4月发布《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,要求上市公司等企业对内部控制有效性进行自我评价,披露年度自我评价报告,同时聘请具有证券期货业务资格的事务所对其财务报告内部控制的有效性进行审计,出具内部控制审计报告。2. 内部控制审计的含义内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。3. 内部控制审计基准日(1)内部控制审计基准日,是指注册会计师评价内部控制在某一时日是否有效所涉及的基准日,也是被审计单位评价基准日,即最近一个会计期间截止日。(2)注册会计师基于基准日内部控制的有效性发表意见,而不是对财务报表涵盖的整个期间的内部控制的有效性发表意见;(3)对特定基准日内部控制的有效性发表意见,并不意味着注册会计师只测试特定基准日这一天的内部控制,而是需要考察足够长一段时间内部控制设计和运行的情况。(4)注册会计师不可能对企业内部控制在某个期间段(如一年)内每天的运行情况进行描述,然后发表审计意见,这样做不切实际,并且无法向信息使用者提供准确清晰的信息(考虑到中间对内部控制缺陷的纠正),甚至会误导使用者。(5)在整合审计中,控制测试所涵盖的期间应当尽量与财务报表审计中拟信赖内部控制的期间保持一致。4. 整合审计(1)整合审计的含义:整合审计,是指注册会计师将内部控制审计与财务报表审计整合进行。(2)整合审计的目标:在整合审计中,注册会计师应当对内部控制设计与运行的有效性进行测试,以同时实现下列目标:① 获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发表的意见;② 获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结果。5. 内部控制审计与财务报表审计的区别与联系内部控制审计与财务报表审计二者之间既有联系,又有区别,具体情况如下表:比较项目内部控制审计财务报表审计1.审计目的对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露对财务报表是否在所有重大方面按照适用的财务报告编制基础编制并实现公允反映发表审计意见2.了解和测试内部控制的目的为了对内部控制的有效性发表审计意见为了识别、评估和应对重大错报风险,据此确定实质性程序的性质、时间安排和范围,并获取与财务报表是否在所有重大方面按照适用的财务报告编制基础编制相关的审计证据,以支持对财务报表发表的审计意见3. 测试范围注册会计师应当针对所有重要账户和列报的每一个相关认定获取控制设计和运行有效性的审计证据,以便对内部控制整体的有效性发表审计意见控制运行的有效性,获取充分、适当的审计证据:(1)在评估认定层次重大错报风险时,预期控制的运行是有效的(即在确定实质性程序的性质、时间安排和范围时,注册会计师拟信赖控制运行的有效性);(2)仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。如果以上两种情况均不存在,注册会计师可能对部分认定,甚至全部认定都不测试内部控制的运行有效性4.测试期间对特定基准日内部控制的有效性发表意见,不需要测试整个会计期间,但要测试足够长的期间一旦确定需要测试,则需测试内部控制在整个拟信赖的期间的运行有效性5. 测试样本量对结论可靠性的要求高,测试的样本量大对结论可靠性要求取决于计划从控制测试中得到的保证程度(或减少实质性程序工作量的程度),样本量相对要小6.结果报告(1)对外披露;(2)以正面、积极的方式对内部控制是否有效发表审计意见(1)通常不对外披露内部控制的情况,除非是内部控制影响到对财务报表发表的审计意见;(2)以管理建议书的方式向管理层或治理层报告财务报表审计过程中发现的内部控制重大缺陷,但注册会计师没有义务专门实施审计程序,以发现和报告内部控制重大缺陷【2017 年 多选题】下列有关财务报表审计与内部控制审计的共同点的说法中,正确的有( )。A. 两者识别的重要账户、列报及其相关认定相同B. 两者的审计报告意见类型相同C. 两者了解和测试内部控制设计和运行有效性的审计程序类型相同D. 两者测试内部控制运行有效性的范围相同【答案】AC1.3 内部控制审计的范围1. 内部控制审计意见覆盖的范围(1)针对财务报告内部控制,注册会计师对其有效性发表审计意见;(2)针对非财务报告内部控制,注册会计师针对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。2. 财务报告内部控制内容从注册会计师审计的角度,财务报告内部控制包括企业层面的内部控制和业务流程、应用系统或交易层面的内部控制:(1)企业层面的内部控制① 与控制环境相关的控制(如对诚信和道德价值沟通和落实、对胜任能力的重视、治理层的参与程度、管理层的理念和经营风格、组织结构、职权与责任的分配、人力资源政策与实务)。② 针对管理层和治理层凌驾于内部控制之上的风险而设计的内部控制(例如针对重大非常规交易的控制、针对关联方交易的控制、减弱伪造或不恰当操作财务结果的动机和压力的控制)。③ 被审计单位的风险评估过程(如何识别经营风险、估计其重要性、评估其发生的可能性、采取措施应对和管理风险及其结果)。④ 对内部信息传递和期末财务报告流程的控制(例如与会计政策选择和运用的程序、调整分录和合并分录的编制和批准、编制财务报表的)。⑤ 对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价。⑥ 集中化的处理和控制、监控经营成果的控制,以及重大经营控制和风险管理实务的政策。(2)业务流程、应用系统或交易层面的内部控制① 授权与审批;② 信息技术应用控制;③ 实物控制(如保护资产的实物安全、对接触计算机程序和数据文档设置授权、定期盘点并将盘点记录与控制记录相核对);④ 复核和调节。第二节 计划审计工作2.1 计划审计工作时应当考虑的事项内部控制审计计划分为总体审计策略和具体审计计划两个层次,在计划审计工作时,注册会计师应当评价下列事项对财务报告内部控制、财务报表及审计工作的影响:1. 与企业相关的风险(1)了解事项:注册会计师通常通过询问被审计单位的高级管理人员、考虑宏观形势对企业的影响并结合以往的审计经验,了解企业在经营活动中面临的各种风险,并重点关注那些对财务报表可能产生重要影响的风险以及这些风险当年的变化。(2)了解目的:注册会计师了解企业面临的风险可以帮助识别重大错报风险,继而帮助注册会计师识别重要账户、重要列报和相关认定以及识别重大业务流程,对内部控制审计的重大风险形成初步评价。【例】被审计单位应收账款余额较高且逾期应收账款明显上升时(经营风险),坏账风险很可能高于往年(重大错报风险)。注册会计师在整合审计计划阶段,既需要关注应收账款的坏账准备这一重要账户,又需要关注被审计单位计提应收账款坏账准备的这一重大业务流程的内部控制。将此设定为内部控制审计的一个重大风险。2. 相关法律法规和行业概况(1)了解法律法规事项① 注册会计师应当了解与被审计单位业务相关的法律法规及其合规性。在整合审计中,注册会计师应当重点关注可能直接影响财务报表金额与披露的法律法规,如税法、高度监管行业的监管法规(如适用)等。② 注册会计师通过询问董事会、管理人员和相关部门人员以及检查被审计单位与监管部门的往来函件,关注被审计单位的违法违规情况,考虑违法违规行为可能导致的罚款、诉讼及其他可能对企业财务报表产生重大影响的事件,并初步判断是否可能造成非财务报告内部控制的重大缺陷。(2)了解行业概况事项注册会计师应了解行业因素以确定其对被审计单位经营环境的影响。例如,注册会计师应考虑:① 被审计单位的竞争环境,如市场容量、市场份额、竞争优势、季节性因素等;② 被审计单位与客户及供应商的关系,如信用条件、销售渠道、是否为关联方等;③ 技术的发展,如与企业产品、能源供应及成本有关的技术发展。3. 企业组织结构、经营特点和资本结构等相关重要事项其目的是评价企业是否存在重大的、可能引起重大错报的非常规业务和关联交易,是否构成重大错报风险,以及相关的内部控制是否可能存在重大缺陷。4. 企业内部控制最近发生变化的程度(1)了解事项注册会计师应当了解被审计单位本期内部控制发生的变化以及变化的程度,包括新增的业务流程、原有业务流程的更新、内部控制执行人的变更等。(2)了解目的内部控制的变化将会直接影响到内部控制审计程序的性质、时间安排和范围。了解后有助于注册会计师相应地调整审计计划。【例】针对企业新增业务(重大错报风险高的领域)的重大业务流程,应安排有经验的审计人员在实施审计工作中的前期识别相关控制,以尽早地与企业沟通相关控制是否可能存在重大设计缺陷。5. 与企业沟通过的内部控制缺陷(1)注册会计师应当了解被审计单位对以前年度审计中发现的内部控制缺陷所采取的改进措施及改进结果,并相应适当地调整本年的内部控制审计计划。(2)如果以前年度发现的内部控制缺陷未得到有效整改,则注册会计师需要评价这些缺陷对当期的内部控制审计意见的影响。(3)注册会计师应当阅读企业当期的内部审计报告,评价内部审计报告中发现的控制缺陷是否与内部控制审计相关且对内部控制审计程序和审计意见的影响。6. 重要性、风险等与确定内部控制重大缺陷相关的因素(1)注册会计师应当对与确定内部控制重大缺陷相关的重要性、风险及其他因素进行初步判断。(2)注册会计师应当更多地关注内部控制审计的高风险领域,而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。7. 对内部控制有效性的初步判断(1)注册会计师综合上述(六个方面的)考虑以及借鉴以前年度的审计经验,形成对企业内部控制有效性的初步判断。(2)对于内部控制可能存在重大缺陷的领域,注册会计师应给予充分的关注,具体表现在:① 对相关的内部控制亲自进行测试而非利用他人工作;② 在接近内部控制评价基准日的时间测试内部控制;③ 选择更多的子公司或业务部门进行测试;④ 增加相关内部控制的控制测试量等。8. 可获取的、与内部控制有效性相关的证据的类型和范围(1)计划内部控制审计工作时,注册会计师应当了解可获取的、与内部控制有效性相关的证据的类型和范围。例如,第三方证据还是内部证据,书面证据还是口头证据,所获得证据可以覆盖所有测试领域还是仅能覆盖部分领域。(2)内部控制特定领域存在重大缺陷的风险越高,所需获取的审计证据客观性、可靠【简答题】ABC 会计师事务所的 A 注册会计师负责对甲公司与财务报告相关的内部控制实施审计。在实施审计过程中,A 注册会计师需要考虑和处理的部分事项摘录如下:(1)A 注册会计师认为,只要内部控制存在缺陷,无论该缺陷是否导致财务报表发生重大错报,都应当对其进行测试。要求:指出 A 注册会计师做法是否恰当。如不恰当简要说明理由。【答案】不恰当。注册会计师没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。【简答题】ABC 会计师事务所的 A 注册会计师负责对甲公司与财务报告相关的内部控制实施审计。在实施审计过程中,A 注册会计师需要考虑和处理的部分事项摘录如下:(2)对于内部控制可能存在重大缺陷的领域,A 注册会计师拟在测试相关内部控制有效性时利用专家工作。要求:指出 A 注册会计师做法是否恰当。如不恰当简要说明理由。【答案】不恰当。对于内部控制可能存在重大缺陷的领域,注册会计师对相关的内部控制应当亲自进行测试而非利用他人工作。2.2 总体审计策略和具体审计计划1. 总体审计策略与具体审计计划的关系(1)总体审计策略的含义总体审计策略用以总结计划阶段的成果,确定审计的范围、时间和方向,并指导具体审计计划的制定。(2)制定总体审计策略的过程有助于注册会计师结合风险评估程序的结果确定下列事项:① 向具体审计领域分配资源的类别和数量,包括向高风险领域分派经验丰富的项目组成员,向高风险领域分配的审计时间预算等;② 何时分配这些资源,包括是在期中审计阶段还是在关键日期调配资源等;③ 如何管理、指导和监督这些资源,包括预期何时召开项目组预备会和总结会,预期项目合伙人和经理如何进行复核,是否需要实施项目质量控制复核等。2. 总体审计策略的内容注册会计师应当在总体审计策略中体现下列内容:(1)确定审计业务的特征,以界定审计范围。(2)明确审计业务的报告目标,以计划审计的时间安排和所需沟通的性质。(3)根据职业判断,考虑用以指导项目组工作方向的重要因素。(4)考虑初步业务活动的结果,并考虑对被审计单位执行其他业务时获得的经验是否与内部控制审计业务相关。(5)确定执行业务所需资源的性质、时间安排和范围。3. 具体审计计划内容包括项目组成员拟实施的审计程序的性质、时间安排和范围。计划这些审计程序贯穿于审计的整个过程。内容如下:(1)了解和识别内部控制的程序的性质、时间安排和范围;(2)测试控制设计有效性的程序的性质、时间安排和范围;(3)测试控制运行有效性的程序的性质、时间安排和范围。第三节 自上而下的方法3.1 自上而下的方法的要求和步骤1. 自上而下的方法的要求注册会计师应当采用自上而下的方法选择拟测试的控制。2. 自上而下方法的工作思路自上而下的方法始于财务报表层次,以注册会计师对财务报告内部控制整体风险的了解开始,然后,将关注重点放在企业层面的控制上,并将工作逐渐下移至重要账户、列报及其相关认定。随后,验证其对被审计单位业务流程中风险的了解,并选择能足以应对评估的每个相关认定的重大错报风险的控制进行测试。3. 自上而下的方法的步骤(1)从财务报表层次初步了解内部控制整体风险;(2)识别、了解和测试企业层面控制;(3)识别重要账户、列报及其相关认定;(4)了解潜在错报的来源并识别相应的控制;(5)选择拟测试的控制。3.2 识别、了解和测试企业层面控制1. 企业层面控制的内涵(1)企业层面控制的含义企业层面的控制通常为应对企业财务报表整体层面的风险而设计,或作为其他控制运行的“基础设施”,通常在比业务流程更高的层面上乃至整个企业范围内运行,其作用比较广泛,通常不局限于某个具体认定。(2)企业层面控制的内容(多选题)① 与控制环境(即内部环境)相关的控制;② 针对管理层和治理层凌驾于控制之上的风险而设计的控制;③ 被审计单位的风险评估过程;④ 对内部信息传递和期末财务报告流程的控制;⑤ 对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价。此外,集中化的处理和控制(包括共享的服务环境)、监控经营成果的控制以及针对重大经营控制及风险管理实务的政策也属于企业层面控制。(3)企业层面控制与业务流程、应用系统或交易层面控制① 企业的内部控制分为企业层面控制和业务流程、应用系统或交易层面的控制两个层面。② 业务流程、应用系统或交易层面的控制为应对交易和账户余额认定的重大错报风险而设计,通常在业务流程内的交易或账户余额层面上运行,其作用通常能够对应到具体某类交易和账户余额的具体认定。2. 企业层面控制对其他控制及其测试的影响(1)某些企业层面控制,例如某些与控制环境相关的控制,对重大错报是否能够被及时防止或发现的可能性有重要影响,虽然这种影响是间接的,但这些控制可能影响注册会计师拟测试的其他控制及其对其他控制所执行程序的性质、时间安排和范围。【理解】与控制环境相关的企业层面控制既可能有助于提高业务层面控制的效果,也可能削弱业务层面控制的效果。(2)某些企业层面控制能够监督其他控制的有效性。管理层设计这些控制可能是为了识别其他控制可能出现的失效情况。但是,这些控制本身并非精确到足以及时防止或发现相关认定的重大错报。当这些控制运行有效时,注册会计师可以减少原本拟对其他控制的有效性进行的测试。【举例】作为企业层面控制,财务总监定期审阅经营收入的详细月度分析报告。该项企业层面控制虽不足以及时防止或发现并纠正相关认定的重大错报,但能监督其他控制的有效性。如果这个控制有效,有可能减少原拟对其他控制有效性进行的测试。(3)某些企业层面控制本身能精确到足以及时防止或发现一个或多个相关认定中存在的重大错报。如果一项企业层面控制足以应对已评估的重大错报风险,注册会计师可能可以不必测试与该风险相关的其他控制。一般而言,注册会计师可以分析某个控制是否有足够的精确度以及时防止或发现财务报表重大错报,并且考虑以下因素:(1)内部控制对应的重要账户及列报的性质;(2)对某些比较稳定或具备预期内在关系的账户,管理层实施的分析对发现财务报表重大错报具有足够的精确度;(3)管理层分析的细化程度。【举例】被审计单位设立了银行余额调节表的监督审阅流程,并对下属所有分级机构作出定期检查。如果该项企业层面控制程序足够精确,注册会计师可能取消对下属每个单位的银行余额调节表相关控制进行测试。3.3 识别重要账户、列报及其相关认定1. 重要账户或列报的含义(单选题)注册会计师在确定重要性水平之后,应当识别重要账户、列报及其相关认定。如果某账户或列报可能存在一个错报,该错报单独或连同其他错报将导致财务报表发生重大错报,则该账户或列报为重要账户或列报。如某财务报表认定可能存在一个或多个错报,这个或这些错报将导致财务报表发生重大错报,则该认定为相关认定。在识别重要账户、列报及相关认定时,应当依据其固有风险,而不应考虑相关控制的影响。2. 评价重要账户或列报(1)评价标准注册会计师应当从定性和定量两个方面作出评价,包括考虑舞弊的影响。(2)定量评价① 超过财务报表整体重要性的账户,无论是在内部控制审计还是财务报表审计中,通常情况下被认定为重要账户。② 一个账户或列报,即使从性质方面考虑与之相关的风险较小,其金额超过财务报表整体重要性越多,该账户或列报被认定为重要账户或列报的可能性就越大。③ 但是,一个账户或列报的金额超过财务报表整体重要性,并不必然表明其属于重要账户或列报,因为注册会计师还需要考虑定性的因素。④ 定性的因素也可能导致注册会计师将低于财务报表整体重要性的账户或列报认定为重要账户或列报。(3)定性评价① 即使该账户或列报从金额上看并不重大,可能因为某账户或列报受固有风险或舞弊风险的影响而将其确定为重要账户或列报。例如,某负债类账户很可能被显著低估,则该负债类账户应被确定为重要账户。② 在识别重要账户、列报及其相关认定时,注册会计师不应考虑控制的影响,因为内部控制审计的目标本身就是评价控制的有效性。(4)成份评价注册会计师不仅应当在重要账户或列报层面考虑风险,而且应当深入账户或列报的成份。例如,固定资产账户由机器设备、房屋建筑物等部分组成。如果某账户或列报的各成份存在的风险差异较大,被审计单位可能需要采用不同的控制以应对这些风险,注册会计师应当分别予以考虑,并针对各自的风险设计审计程序。(5)评价重大错报的可能来源在确定某账户、列报是否重要和某认定是否相关时,注册会计师应当将所有可获得的信息加以综合考虑。例如,在识别重要账户、列报及其相关认定时,注册会计师还应当确定重大错报的可能来源。注册会计师可以通过考虑在特定的重要账户或列报中错报可能发生的领域和原因,确定重大错报的可能来源。(6)根据以前年度审计中了解的情况评价① 以前年度审计中了解到的情况影响注册会计师对固有风险的评估,因而应当在确定重要账户、列报及其相关认定时加以考虑。② 以前年度审计中识别的错报会影响注册会计师对某账户、列报及其相关认定固有风险的评估。(7)在内部控制审计中,注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素,与财务报表审计中考虑的因素相同。因此,在这两种审计中识别的重要账户、列报及其相关认定应当相同。【2017 年 单选题】注册会计师执行内部控制审计时,下列有关识别重要账户、列报及其相关认定的说法中,错误的是( )。A. 注册会计师应当从定性和定量两个方面识别重要账户、列报及其相关认定B. 在识别重要账户、列报及其相关认定时,注册会计师应当确定重大错报的可能来源C. 注册会计师通常将超过财务报表整体重要性的账户认定为重要账户D. 在识别重要账户、列报及其相关认定时,注册会计师应当考虑控制的影响【答案】D3.4 了解潜在错报的来源并识别相应的控制穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程,是评价控制设计的有效性以及确定控制是否得到执行的有效方法。1. 需要实施穿行测试的情况在某些特定情况下,注册会计师一般会实施穿行测试,这些情况包括:① 存在较高固有风险的复杂领域;② 以前年度审计中识别出的缺陷(需要考虑缺陷的严重程度);③ 由于引入新的人员、新的系统、收购和采取新的会计政策而导致流程发生重大变化。2. 穿行测试的规模① 一般而言,对每个重要流程,选取一笔交易或事项实施穿行测试即可。② 如果被审计单位采用集中化的系统为多个组成部分执行重要流程,则可能不必在每个重要的经营场所或业务单位选取一笔交易或事项实施穿行测试。(3)穿行测试需要涉及的审计程序注册会计师在实施穿行测试时往往综合运用询问、观察、检查和重新执行。【理解】此处的“重新执行”与财务报表审计不同。3.5 选择拟测试的控制1. 选择的基本要求(1)必须测试重要领域的控制应当选择测试也只需要测试对形成内部控制审计意见有重大影响的控制。对于每个重要账户和列报相关的所有相关认定,至少应当有一个对应的关键控制。(2)不必测试非重要领域的控制注册会计师没有责任对单项控制的有效性发表意见。通常不会选取所有控制,也没有必要测试相关认定的所有控制。如果识别并选取了能够充分应对重大错报风险的控制,则不需要再测试针对同样认定的其他控制,更无须测试那些即使有缺陷也合理预期不会导致财务报表重大错报的控制。(3)可以借助企业层面控制如企业层面控制是有效的且得到精确执行,能够及时防止或发现并纠正影响一个或多个认定的重大错报,可能不必就所有流程、交易或应用层面的控制的运行有效性获取审计证据。【简答题】A 注册会计师负责对甲公司与财务报告相关的内部控制实施审计。在审计过程中,需要考虑和处理的部分事项摘录如下:(4)A 注册会计师认为:只要与甲公司财务报告相关的内部控制存在缺陷,就可能根据职业判断认为需要对该项内部控制实施控制测试。要求:指出 A 注册会计师做法是否恰当。如不恰当简要说明理由。【答案】不恰当。注册会计师无须测试那些即使有缺陷也合理预期不会导致财务报表重大错报的控制。2. 关键控制关键控制,即能够为一个或多个重要账户或列报的一个或多个相关认定提供最有效果或最有效率的证据的控制。每个重要账户、认定和/或重大错报风险至少应当有一个对应的关键控制。【2018 年 单选题】在执行内部控制审计时,下列有关注册会计师选择拟测试的控制的说法中,错误的是( )。A. 注册会计师应当选择测试对形成内部控制审计意见有重大影响的控制B. 注册会计师无须测试即使有缺陷也合理预期不会导致财务报表重大错报的控制C. 注册会计师选择拟测试的控制,应当涵盖企业管理层在执行内部控制自我评价时测试的控制D. 注册会计师通常选择能够为一个或多个重要账户或列报的一个或多个相关认定提供最有效果或最有效率的证据进行测试【答案】C本节回顾自上而下整体风险企业层面的控制控制环境:影响监督:减少足够精度:替代重要账户、认定收入:发生应收:存在、计价识别控制穿行测试选择拟测试控制关键控制第四节 测试控制的有效性4.1 控制有效性与控制风险1. 内部控制有效性内部控制的有效性包括控制设计的有效性和控制运行的有效性。(1)控制设计的有效性:按规定和要求执行控制,就能够有效地防止或发现并纠正可能导致重大错报的错误或舞弊。(2)控制运行的有效性:控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力,能够实现控制目标。2. 证实控制有效性的审计证据(1)控制在所审计期间的相关时点是如何运行的;(2)控制是否得到一贯执行;(3)控制由谁或以何种方式执行。4.2 与控制相关的风险1. 与控制相关的风险的内涵与控制相关的风险包括一项控制可能无效的风险,以及如果该控制无效,可能导致重大缺陷的风险。与控制相关的风险越高,注册会计师需要获取的审计证据就越多。2. 一般情况下,影响与控制相关的风险的因素(10 项)(1)该项控制拟防止或发现并纠正的错报的性质和重要程度;(2)相关账户、列报及其认定的固有风险;(3)交易数量和性质是否发生变化进而可能影响控制有效性;(4)相关账户或列报是否曾经出现错报;(5)企业层面控制(特别是监督其他控制的控制)的有效性;(6)该项控制的性质及其执行频率;(7)该项控制对其他控制有效性的依赖程度;(8)执行该项控制或监督该项控制执行的人员的专业胜任能力,以及其中的关键人员是否发生变化;(9)该项控制是人工控制还是自动化控制;(10)该项控制的复杂程度,以及在运行过程中依赖判断的程度。3. 在连续审计中,影响与控制相关的风险的特定因素(1)以前审计所执行的审计程序的性质、时间安排和范围;(2)以前审计控制测试的结果;(3)自上次审计以来控制或流程是否发生变化。4.3 测试控制有效性的程序的性质测试控制有效性的审计程序包括询问、观察、检查和重新执行。1. 询问注册会计师通过与被审计单位有关人员进行讨论以取得与内部控制相关的信息。在讨论中要保持职业怀疑态度。仅实施询问程序不能为某一特定控制的有效性提供充分适当的证据,它必须与其他测试手段结合使用才能发挥作用。2. 观察观察是测试不留下书面记录的控制(例如职责分离)的有效方法,也可用于测试对实物的控制(例如查看仓库门是否锁好,或空白支票是否妥善保管)。通常,通过观察直接获取的证据比间接获取的证据更可靠。但观察所提供的审计证据仅限于观察发生的时点,而且被观察人员的行为可能因被观察而受到影响,这也会使观察提供的审计证据受到限制。3. 检查检查通常用于确认控制是否得以执行。例如检查审核人员留下的记号,可以作为控制得到执行的证据。存在书面证据不一定表明控制一定有效。例如,签名不一定能证明审核人员认真审核了凭证,可能只粗略浏览凭证,甚至未审核而直接签名。因此通过检查凭证签名获得的审计证据的质量可能不具有说服力。检查记录和文件可以提供可靠程度不同的审计证据。证据的可靠性取决于记录或文件的性质和来源,进而取决于生成该记录或文件的内部控制的有效性。4. 重新执行重新执行的目的是评价控制的有效性而不是测试特定交易或余额的存在或准确性,即重新执行属于定性测试而非定量测试,因此一般不必选取大量的项目进行测试,也不必特意选取金额重大的项目进行测试。【简答题】A 注册会计师负责对甲公司与财务报告相关的内部控制实施审计。在实施审计过程中需要考虑和处理的部分事项摘录如下:(1)A 注册会计师在控制测试中使用重新执行程序时,拟选取金额重大项目实施控制测试。要求:指出 A 注册会计师做法是否恰当。如不恰当简要说明理由。【答案】不恰当。重新执行不必特意选取金额重大的项目进行测试。4.4 控制测试的时间安排1. 对基准日与涵盖期间的考虑对控制有效性测试的实施时间越接近基准日,提供的控制有效性的审计证据越有力。对控制有效性的测试涵盖的期间越长,提供的控制有效性的审计证据越多。注册会计师应当获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据。在整合审计中,控制测试所涵盖的期间应尽量与财务报表审计中拟信赖内部控制的期间保持一致。注册会计师应当在下列两个因素之间作出平衡,以确定测试的时间:(1)尽量在接近基准日实施测试;(2)实施的测试需要涵盖足够长的期间。2. 对整合审计的考虑在整合审计中,注册会计师有两种选择:一是在期中实施控制测试,然后对剩余期间实施前推测试;二是将样本分成两部分,一部分在期中测试,剩余部分在临近年末的期间测试。注册会计师对 X 公司(基准日为 12 月 31 日)截至 9 月 30 日的应收账款流程中的关键控制实施了测试。在实施年末审计程序时,注册会计师考虑到自实施期中测试之后到基准日(即剩余期间)之间的间隔长度,以及在制定财务报表审计计划时拟对这些控制取得较高程度的保证,注册会计师决定实施一定的前推测试。注册会计师制定的前推测试计划如下:要点控制一控制描述应收账款会计每天将分类账中的收款记录与在线银行收款记录进行核对,并调查任何超过某一金额的差异性质判断注册会计师期中控制测试时未发现控制偏差,该控制并不复杂,执行时不需要作出重大判断前推程序注册会计师认为向应收账款会计询问该控制是否得到一贯执行以及在 9 月 30 日至 12 月 31 日期间是否出现任何异常现象,就可以为该控制是否持续有效运行提供充分的证据控制二控制描述每月末财务总监取得该月最后三天的产品出库报告,将其与当月入账的应收账款明细进行核对,以确保应收账款余额的完整性和存在性质判断尽管该控制并不复杂,但每月最后一周的产品出库量占全月出库量的比例很重大。财务总监可以据此监控是否存在故意错报应收账款的行为。该控制具有多重目的及其运行无效所导致后果较严重前推程序注册会计师决定向财务总监和应收账款会计进行询问,并对财务总监执行该复核控制实施数次观察控制三控制描述每月末财务总监、首席财务官和客户信用经理复核应收账款账龄分析表并共同决定是否需要对长期未收款的应收账款余额计提坏账准备。在此过程中他们需要利用多方面的信息性质判断该控制具有较高的主观性(虽然并不复杂)且对资产负债表和利润表均具有潜在的重大影响。由于该控制涉及管理层估计,因此还存在潜在的舞弊风险前推程序注册会计师决定检查关于该控制在基准日之前几次运行情况的证据,包括上述人员共同讨论的记录和与客户沟通的记录第一种选择下,在将期中测试结果前推至基准日时,为确定需获取的补充审计证据,应当考虑下列因素:(1)基准日之前测试的特定控制,包括与控制相关的风险、控制的性质和测试结果;(2)期中获取的有关审计证据的充分性和适当性;(3)剩余期间的长短;(4)期中测试之后,内部控制发生重大变化的可能性;(5)基于对控制的依赖程度拟减少进一步实质性程序的程度(仅适用于整合审计);(6)控制环境。3. 对控制变化的考虑(1)如果被审计单位为了提高控制效果和效率或整改控制缺陷而对控制作出改变,注册会计师应当考虑这些变化并适当予以记录。(2)如果认为新的控制能够满足控制的相关目标且已运行足够长时间,足以使注册会计师通过实施控制测试评估其设计和运行的有效性,则不再需要测试被取代控制。(3)如果被取代控制的运行有效性对财务报表审计的控制风险评估具有重要影响,应当适当地测试被取代控制(无论新的控制是否能够满足控制的相关目标以及新的控制是否已运行了足够长时间)。4. 对自动化控制的考虑(1)如果期中对一般控制实施了测试,则通常还需要实施前推程序。(2)如果信息技术一般控制有效且关键的自动化控制未发生任何变化,就不需要对该自动化控制实施前推测试。(3)如果认为重要的一般控制无效,需要评估其对总体信息技术环境及自动化控制的持续有效性的影响。(4)如果重要的一般控制无效,且无法获得替代证据证实关键的自动化控制自上次测试后未发生变化,在执行内部控制审计时,通常就需要获取有关该自动化控制在接近基准日的期间内是否有效运行的证据。4.5 控制测试的范围测试范围应当足以为基准日内部控制是否不存在重大缺陷提供合理保证。1. 测试人工控制的最小样本规模控制运行频率 控制运行的总次数 测试的最小样本规模区间每年 1 次 1 1每季 1 次 4 2每月 1 次 12 2-5每周 1 次 52 5-15每天 1 次 250 20-40每天多次 大于 250 次 25-60在运用上表时,注册会计师应当注意下列事项:(1)测试的最小样本规模是指所需测试的控制运行次数;(2)注册会计师应根据与控制相关的风险,基于最小样本规模区间确定具体样本规模;(3)表 20-1 假设控制的运行偏差率预期为零。如不为零,应当扩大样本规模;(4)如果不能确定控制运行的频率,但是知道控制运行的总次数,可根据“控制运行的总次数”一列确定测试的最小样本规模。存在下列情况之一时,可以使用上表中测试的最小样本规模区间的最低值(如每天运行多次的控制,选择 25 个样本规模):(1)与账户及其认定相关的固有风险和舞弊风险为低水平;(2)是日常控制,执行时需要的判断很少;(3)穿行测试和以前年度审计的结果表明未发现控制缺陷;(4)管理层针对该项控制的测试结果表明未发现控制缺陷;(5)存在有效的补偿性控制,且管理层针对补偿性控制的测试结果为运行有效;(6)根据对控制性质以及内部审计人员客观性和胜任能力的考虑,注册会计师拟更多地利用他人的工作。【案例 3】某公司存在一项每月运行 1 次的控制,如某一员工对 50 个银行账户每月编制银行余额调节表。第一步,计算控制每年运行的总次数,12×50=600。第二步,根据总次数选择表中对应的部分,应为大于 250 次,每天多次,样本规模应为25~60。如果由多个人员执行同一控制,应当分别确定总体,针对每个人员确定样本规模。如果由 2 个人执行 600 次控制,样本规模应为 25,即应针对每个人测试 25 次,一共 50 个样本。在确定控制运行的总次数时,还要注意拟测试的控制是否是同质的,能否作为一个总体。在本例中,如果由统一的财务主管复核每个人编制的银行余额调节表,通过了解和评价财务主管的复核控制,可以保证经复核的控制是同质的,则可以将2 个人执行的控制作为1 个总体。2. 测试自动化应用控制的最小样本规模(1)信息技术处理具有内在一贯性。可能只需要对自动化应用控制的每一相关属性进行一次系统查询以检查其系统设置,即可得出所测试自动化应用控制是否运行有效的结论。(2)对于自动化应用控制,一旦确定在执行,通常无须扩大控制测试的范围,但需要考虑执行下列测试以确定该控制持续有效运行:1)测试与该应用控制有关的一般控制的运行有效性;2)确定系统是否发生变动,如果发生变动,是否存在适当的系统变动控制;3)确定对交易的处理是否使用授权批准的软件版本。例如,注册会计师可以检查信息系统安全控制记录,以确定是否存在未经授权的接触系统硬件和软件,以及系统是否发生变动。3. 控制测试中发现偏差时的处理(1)确定控制偏差对下列各项的影响① 与所测试控制相关的风险的评估;② 需要获取的审计证据;③ 控制运行有效性的结论。评价控制偏差的影响需要注册会计师运用职业判断,并受到控制的性质和所发现偏差数量的影响。如果发现的控制偏差是系统性偏差或人为有意造成的偏差,应当考虑舞弊的可能迹象以及对审计方案的影响。(2)评价偏差是否构成控制缺陷① 该偏差是如何被发现的,例如,如果某控制偏差是被另外一项控制所发现的,则可能意味着被审计单位存在有效的检查性控制。② 该偏差是与某一特定的地点、流程或应用系统相关,还是对被审计单位有广泛影响。③ 该控制出现偏差的严重程度。例如,某项控制在执行上晚于被审计单位政策要求的时间,但仍在编制财务报表之前得以执行,还是该项控制根本没有得以执行。④ 与控制运行频率相比,偏差发生的频率大小。(3)考虑扩大样本规模判断偏差的代表性由于有效的内部控制不能为实现控制目标提供绝对保证,单项控制并非一定要毫无偏差地运行,才被认为有效。如发现控制偏差,应考虑偏差的原因及性质,并考虑采用扩大样本规模等适当的应对措施以判断该偏差是否对总体不具有代表性。例如,对每日发生多次的控制,如果初始样本规模为 25 个,当测试发现一项控制偏差,且该偏差不是系统性偏差,可以扩大样本规模进行测试,所增加的样本规模至少为 15 个。如测试后再次发现偏差,得出控制无效的结论。如扩大样本规模没有再次发现偏差,则注册会计师可以得出控制有效的结论。第五节 企业层面控制的测试5.1 与控制环境相关的控制1. 控制环境的含义控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和行动。【链接】控制环境各个要素:(1)对诚信和道德价值观念的沟通与落实;(2)对胜任能力的重视;(3)治理层的参与程度;(4)管理层的理念和经营风格;(5)组织结构及职权与责任的分配;(6)人力资源政策与实务。2. 考虑控制环境的要素在了解和测试控制环境时,注册会计师需要考虑的方面主要包括:(1)管理层的理念和经营风格是否促进了有效的财务报告内部控制;(2)管理层在治理层的监督下,是否营造并保持了诚信和合乎道德的文化;(3)治理层是否了解并监督财务报告过程和内部控制。5.2 针对凌驾风险而设计的控制1. 凌驾风险管理层和治理层凌驾于控制之上的风险,简称凌驾风险。2. 针对凌驾风险采用的控制包括但不限于:(1)针对重大的异常交易(尤其是那些导致会计分录延迟或异常的交易)的控制;(2)针对关联方交易的控制;(3)与管理层的重大估计相关的控制;(4)能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制;(5)建立内部举报投诉制度。5.3 被审计单位的风险评估过程1. 风险评估过程的含义风险评估过程包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施。注册会计师可以首先了解被审计单位及其环境的其他方面信息,以初步了解被审计单位的风险评估过程。5.4 对内部信息传递和期末财务报告流程的控制1. 期末财务报告流程:(1)将交易总额登入总分类账的程序;(2)与会计政策的选择和运用相关的程序;(3)总分类账中会计分录的编制、批准等处理程序;(4)对财务报表进行调整的程序;(5)编制财务报表的程序。2. 评价财务报告流程的时间由于期末财务报告流程通常发生在管理层评价日之后,注册会计师一般只能在该日之后测试相关控制。结合财务报表审计的要求,还应当了解管理层为确保识别期后事项而建立的程序。5.5 对控制的监督和评价1. 控制监督的两个层次控制监督可以在企业层面或业务流程层面上实施。2. 控制监督的内容(1)对运营报告的复核和核对;(2)与外部人士的沟通;(3)其他未参与控制执行人员的监控活动;(4)信息系统所记录的数据与实物资产的核对等。3. 对控制监督特别考虑的因素(1)管理层是否定期地将会计系统中记录的数额与实物资产进行核对;(2)管理层是否为保证内部审计活动的有效性而建立了相应的控制;(3)管理层是否建立了相关的控制以保证自我评价或定期的系统评价的有效性;(4)管理层是否建立了相关的控制以保证监督性控制能够在一个集中的地点有效进行,如共享服务中心等。5.6 集中化的处理和控制(包括共享的服务环境)1. 集中化的处理可以视作企业内部的“外包”安排,以取得规模效益并通过将某些或全部的财务报告过程与负责经营的管理层的分离以改进控制环境。2. 集中化的财务管理可能有助于降低财务报表错报的风险。3. 由于共享服务中心内部控制的影响较大,可以考虑在较早的阶段执行测试。5.7 监督经营成果的控制1. 对经营情况的监控是企业层面的主要内部控制之一。例如,下属单位或业务部门的管理人员可能定期复核其上报的财务报表的准确性,并在上报的资料上签字确认,同时下属单位或业务部门对财务报表发生的错报承担责任。2. 在了解监督经营成果相关的控制时,注册会计师可以从性质上分析这些控制是否有足够的精确程度以取代或减少对业务流程、应用系统或交易层面的控制的测试。5.8 针对重大经营控制及风险管理实务的政策保持良好的内部控制的企业通常针对重大经营控制及风险管理实务采用相应的内部控制政策。注册会计师可以考虑的主要因素包括但不限于:1. 企业是否建立了重大风险预警机制,明确界定哪些风险是重大风险,哪些事项一旦出现必须启动应急处理机制。2. 企业是否建立了突发事件应急处理机制,确保突发事件得到及时妥善处理。第六节 业务流程、应用系统或交易层面的控制的测试6.1 了解企业经营活动和业务流程1. 划分业务循环对制造业企业,通常可以划分为销售与收款循环、采购与付款循环、存货与生产循环、工资与人员循环、筹资与投资循环等。2. 了解业务流程前应考虑的事项(1)该业务流程中的交易所影响的重要账户及其相关认定;(2)已经识别的有关这些重要账户及其相关认定的经营风险和财务报表重大错报风险;(3)交易生成、记录、处理和报告的过程以及相关的信息技术处理系统。3. 询问活动流程(1)向负责处理具体业务人员的上级进行询问通常更加有效,因为这些人员很可能对分管的整个业务流程十分熟悉。(2)对一些简单的业务,财会人员可以提供足够的信息。(3)通常需要和信息技术处理人员讨论,了解复杂业务是如何发生、处理、记录和报告的信息。6.2 识别可能发生错报的环节1. 根据重要认定确定控制目标尽管不同的被审计单位对业务流程设计和实施不同的控制,但都是为实现某些控制目标。这些控制目标与财务报表重要交易类别、重要账户余额的认定相联系。注册会计师在此时通常不考虑列报认定,此类认定通常在财务报告流程中予以考虑。控制目标1. 完整性:所有的有效交易都已记录必须有程序确保没有漏记实际发生的交易2. 存在/发生:每项已记录的交易均真实发生必须有程序确保会计记录中没有虚构的或重复入账的项目3. 准确性:准确计量交易必须有程序确保交易以准确的金额入账4. 截止:恰当确定交易 生成的会计期间必须有程序确保交易在适当的会计期间内入账(例如,月、季度、年等)5. 分类必须有程序确保将交易记入正确的总分类账,必要时,记入相应的明细账6. 正确汇总和过账必须有程序确保所有作为账簿记录中的借贷方余额都正确地归集(加总),确保加总后的金额正确过入总账和明细分类账2. 根据控制目标确认控制程序针对控制目标,确认是否存在控制来防止错报的发生,或发现并纠正错报,然后重新提交到业务流程处理程序中进行处理。3. 根据控制目标实现情况确定易错环节注册会计师通过设计一系列关于控制目标是否实现的问题,从而确认某项业务流程中需要加以控制的环节。例如:控制目标是否实现相关认定怎样确保没有记录虚构或重复的销售?发生怎样确保所有的销售和收款都已记录?完整性怎样保证货物运送给正确的收货人?发生怎样保证发货单据只有在实际发货时才开具?发生怎样保证发票正确反映了发货的数量?准确性6.3 识别和了解相关控制针对业务流程中容易发生错报的环节,注册会计师应当确定被审计单位是否建立了有效的控制,是否遗漏了必要的控制,是否识别了可以最有效测试的控制。1. 预防性控制预防性控制通常用于正常业务流程的每一项交易,以防止错报的发生。对控制的描述控制用来防止的错报计算机程序自动生成收货报告,同时更新采购档案防止出现购货漏记账的情况更新采购档案前须先有收货报告防止记录了未收到货物的采购交易销货发票上的价格根据价格清单上的信息确定防止销货计价错误计算机将各凭证上的账户号码与会计科目表对比,然后进行一系列的逻辑测试防止出现分类错报2. 检查性控制建立检查性控制的目的是发现流程中可能发生的错报。例如,按月编制银行存款余额调节表,并追查调节项目或异常项目。检查性控制通常并不适用于所有交易,而适用于一般业务流程以外已经处理或部分处理的某类交易,可能一年只运行几次,也可能每周运行,甚至一天运行几次。3. 识别和了解方法(1)识别和了解控制的主要方法是,询问各级别的负责人员。业务流程越复杂,越有必要询问信息系统人员,以辨别有关的控制。(2)首先询问级别较高的人员,再询问级别较低的人员。这种询问方法能迅速地辨别重要的控制,特别是检查性控制。(3)注册会计师不需要了解与每一控制目标相关的所有控制。如果多项控制能够实现同一目标,不必了解与该目标相关的每一项控制。6.4 记录相关控制注册会计师可以通过备忘录、笔记或复印被审计单位相关资料而逐步使信息趋于完整。第七节 信息系统控制的测试7.1 与信息技术相关的控制1. 自动化控制的好处(1)自动控制能够有效处理大流量交易及数据,因为自动信息系统可以提供与业务规则一致的系统处理方法;(2)自动控制比较不容易被绕过;(3)自动信息系统、数据库及操作系统安全控制可实现职责分离;(4)自动信息系统可以提高信息的及时性、准确性,并使信息变得更易获取;(5)自动信息系统可提高管理层对业务活动及政策的监督水平。2. 自动化控制的风险(1)信息系统或相关系统程序可能会对数据进行错误处理,也可能会去处理那些本身存在错误的数据;(2)自动信息系统、数据库及操作系统的相关安全控制如果无效,会增加对数据信息非授权访问的风险;(3)数据丢失风险或数据无法访问风险,如系统瘫痪;(4)不适当的人工干预,或人为绕过自动控制。3. 自动化控制不能代替人工控制采用信息系统处理业务,并不意味着手工控制被完全取代,与财务报告相关的控制活动一般由一系列手工控制和自动控制所组成。由于被审计单位信息技术的特点及复杂程度不同,被审计单位的手工及自动控制的组合方式往往会有所区别。7.2 信息技术应用控制测试1. 信息技术一般控制测试信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行四个方面。由于程序变更控制、计算机操作控制及程序数据访问控制影响到系统驱动组件的持续有效运行,注册会计师需要对这三个领域实施控制测试。如果信息技术一般控制存在缺陷,注册会计师在财务报表审计中可能不能信赖应用控制。2. 信息技术应用控制测试应用控制造成的影响程度比信息技术一般控制要显著得多,并且需要进一步的手工调查。所有的自动应用控制都会有一个手工控制与之相对应。每个自动系统控制都要与其对应的手工控制一起进行测试,才能得到控制是否可信赖的结论。自动系统控制关注信息处理目标的四个要素:完整性、准确性、经过授权和访问限制。第八节 内部控制缺陷评价8.1 控制缺陷的分类按其产生的原因分为设计缺陷和运行缺陷。内部控制类别含义设计缺陷指缺少为实现控制目标所必需的控制,或现有的控制设计不适当、即使正常运行也难以实现预期的控制目标运行缺陷指现存设计适当的控制没有按设计意图运行,或执行人员没有获得必要授权或缺乏胜任能力,无法有效地实施内部控制按其严重程度分为重大缺陷、重要缺陷和一般缺陷。内部控制类别含义重大缺陷指内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合重要缺陷指内部控制中存在的、其严重程度不如重大缺陷但足以引起负责监督被审计单位财务报告的人员(如审计委员会或类似机构)关注的一项控制 缺陷或多项控制缺陷的组合一般缺陷指内部控制中存在的、除重大缺陷和重要缺陷 之外的控制缺陷8.2 评价控制缺陷的严重程度1. 总体要求(1)注册会计师应当评价其识别的各项控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成内部控制的重大缺陷。(2)在计划和实施审计工作时,不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。控制缺陷严重程度取决于:(1)控制不能防止或发现并纠正账户或列报发生错报的可能性。评价时无需将错报发生的概率量化为百分比或区间。(2)因一项或多项控制缺陷导致的潜在错报的金额大小。控制缺陷的严重程度与错报是否发生无关。2. 评价错报发生的可能性应当考虑的风险因素包括:(1)所涉及的账户、列报及其相关认定的性质;(2)相关资产或负债易于发生损失或舞弊的可能性;(3)确定相关金额时所需判断的主观程度、复杂程度和范围;(4)该项控制与其他控制的相互作用或关系;(5)控制缺陷的相互作用;(6)控制缺陷在未来可能产生的影响。3. 评价潜在错报的金额大小(1)应当考虑的因素包括:① 受控制缺陷影响的财务报表金额或交易总额。② 在本期或预计未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量。(2)在评价潜在错报的金额大小时,账户余额或交易总额得最大多报金额通常是已记录的金额,但其最大少报金额可能超过已记录的金额。(3)通常,小金额错报比大金额错报发生的概率更高。4. 评价控制缺陷的组合影响注册会计师应当确定,对同一重要账户、列报及其相关认定或内部控制要素产生影响的各项控制缺陷组合起来是否构成重大缺陷。(1)如果多项控制缺陷影响财务报表的同一账户或列报,错报发生的概率会增加。(2)在存在多项控制缺陷时,即使单项不重要,但组合起来也可能构成重大缺陷。(3)在确定一项或多项控制缺陷的组合是否构成重大缺陷时,应评价补偿性控制的影响。评价时,应当考虑补偿性控制是否有足够的精确度以防止或发现并纠正可能发生的重大错报。发行的缺陷是否与认定直接相关否∣↓是∣缺陷的组合是否可能不能纺织或发现财务报表错报否∣∣↓是↓缺陷可能导致潜在错报的金额,对财报的影响程度是否重大否——→∣重要程度是否足以引起监督人员的关注否——→一般缺陷(考虑汇总)↓是∣是↓是是否存在补偿性控制— ∣知情、胜任能力并客观的人员是否会认为缺陷重大↓否是←——否——→重要缺陷(考虑汇总)重大缺陷【案例 1】一般缺陷A 注册会计师执行甲公司的内部控制审计,财务报表整体重要性确定为 2000 万元,实际执行的重要性水平为 1000 万元。在对付款授权进行控制测试时,其中一项程序是检查付款发票是否有适当的审批且有相关的文件对其进行支持这一关键控制。这项控制活动与 1600 万元的发票交易相关,选择 25 笔付款并测试它们是否经过了适当的审批,理想状态下应没有异常。但测试结果表明有 1 笔付款(与维修维护相关)未经过授权。步骤一:发现的缺陷是否与一个或多个财务报表认定直接相关?由于该缺陷涉及支出,直接影响财务报表认定。步骤二:该项缺陷是否可能不能防止或发现财务报表错报?是,付款没有得到审批,有可能导致错报。步骤三:缺陷可能导致潜在错报金额的大小?涉及支出问题总金额1600万元,大于1000万元的实际执行重要性水平。步骤四:是否存在补偿性控制并有效运行,足以防止或发现财务报表重大错报?经了解和测试,存在有效补偿性控制:步骤五:该缺陷的重要程度是否足以引起负责监督企业财务报告的相关人员的关注?否。因此,该缺陷为一般缺陷。【案例 2】重大缺陷A 注册会计师执行甲公司内部控制审计,财务报表整体重要性确定为 2000 万元,实际执行的重要性水平为 1000 万元。在对月度银行对账进行控制测试时,其中一项程序是检查公司每月是否对其付款账户与银行对账。这项控制活动与 6000 万元的现金收据以及付款相关。选择两笔对账并且确定是否每笔对账都已完成以及是否对所有重大或异常事件进行了调查并及时解决,理想状态下应没有例外。但测试结果表明这两笔银行对账都没有完全完成,存在重大未对账差异(共计 200 万元)且差异存在已超过 1 年。步骤一:发现的缺陷是否与一个或多个财务报表认定直接相关?是,涉及银行存款和付款的问题,直接影响财务报表认定。步骤二:该项缺陷是否可能不能防止或发现财务报表错报?是,对账没有完成,有可能导致错误不能及时发现。步骤三:该项缺陷可能导致财务报表潜在错报的金额大小?这项控制与交易相关且所涉及金额大于 6000 万元,超过了判定指标。步骤四:是否存在补偿性控制并有效运行,足以防止或发现财务报表重大错报?会计经理会对每次银行对账进行审核并签字确认,但没有发现这些重大对账错误,因此补偿性控制也被判断为失效。因此,该缺陷为重大缺陷。【2017 年 单选题】注册会计师执行内部控制审计时,下列有关评价控制缺陷的说法中,错误的是( )。A. 如果一项控制缺陷存在补偿性控制,注册会计师不应将该控制缺陷评价为重大缺陷B. 注册会计师评价控制缺陷的严重程度时,无需考虑错报是否已经发生C. 注册会计师评价控制缺陷是否可能导致错报时,无需量化错报发生的概率D. 注册会计师评价控制缺陷导致的潜在错报的金额大小时,应当考虑本期或未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量【答案】A8.3 内部控制缺陷整改1. 注册会计师应当根据控制的性质和与控制相关的风险,合理运用职业判断,确定整改后控制运行的最短期间(或最少运行次数)以及最少测试数量。2. 如被审计单位在基准日前对存在缺陷的控制进行整改,整改后的控制需要运行足够长的时间,才能得出其是否有效的审计结论。3. 如被审计单位在基准日前对存在重大缺陷的内部控制进行了整改,但新控制没有运行足够长时间,应视为内部控制在基准日存在重大缺陷。控制运行频率 整改后控制运行的最短期间或最少运行次数 最少测试数量每季 1 次 2 个季度 2每月 1 次 2 个月 2每周 1 次 5 周 5每天 1 次 20 天 20每天多次 25 次(分布于涵盖多天的期间,通常不少于 15 天) 25第九节 出具审计报告9.1 形成审计意见1. 总体要求注册会计师应当对获取的证据进行评价,形成对内部控制有效性的意见。2. 形成审计意见的基础注册会计师应当评价从各种来源获取的审计证据,包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷,形成对内部控制有效性的意见。3. 对审计范围受到限制的考虑(1)只有在审计范围没有受到限制时,注册会计师才能对内部控制的有效性形成意见。(2)如果审计范围受到限制,注册会计师需要解除业务约定或出具无法表示意见的内部控制审计报告。9.2 无保留意见1. 发表无保留意见的条件如果符合下列所有条件,注册会计师应当对内部控制出具无保留意见的内部控制审计报告:(1)在基准日,被审计单位按照适用的内部控制标准的要求,在所有重大方面保持了有效的内部控制;(2)注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作,在审计过程中未受到限制。2. 无保留意见审计报告的要素(1)标题:内部控制审计报告。(2)收件人:需载明收件人全称。一般是指审计业务的委托人。(3)引言段:说明企业的名称和内部控制已经过审计。(4)企业对内部控制的责任段按照企业内部控制基本规范、应用指引、评价指引的规定,建立健全和有效实施内部控制,并评价其有效性。(5)注册会计师的责任段在实施审计工作的基础上,对财务报告内部控制的有效性发表审计意见,并对注意到的非财务报告内部控制的重大缺陷进行披露。(6)内部控制固有局限性的说明段内部控制具有固有局限性,存在不能防止和发现错报的可能性。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制审计结果推测未来内部控制的有效性具有一定风险。(7)财务报告内部控制审计意见段企业是否按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。(8)注册会计师的签名和盖章(9)会计师事务所的名称、地址及盖章(10)报告日期审计报告的日期不应早于注册会计师获取充分、适当审计证据(包括董事会认可对内部控制及评价报告的责任且已批准评价报告的证据),并在此基础上对内部控制的有效性形成审计意见的日期。如果内部控制审计和财务报表审计整合进行,注册会计师对内部控制审计报告和财务报表审计报告需要签署相同的日期。内部控制审计报告XX 股份有限公司全体股东:按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求,我们审计了 XX股份有限公司(以下简称 XX 公司)XX 年 X 月 X 日的财务报告内部控制的有效性。一、企业对内部控制的责任按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》的规定,建立健全和有效实施内部控制,并评价其有效性是 XX 公司董事会的责任。二、注册会计师的责任我们的责任是在实施审计工作的基础上,对财务报告内部控制的有效性发表审计意见,并对注意到的非财务报告内部控制的重大缺陷进行披露。三、内部控制的固有局限性内部控制具有固有局限性,存在不能防止和发现错报的可能性。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制审计结果推测未来内部控制的有效性具有一定风险。四、财务报告内部控制审计意见我们认为,XX 公司于 XX 年 X 月 X 日按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。XX 会计师事务所 中国注册会计师:XXX(盖章) (签名并盖章)中国注册会计师:XXX(签名并盖章)中国 XX 市 二〇XX 年 X 月 X 日9.3 无法表示意见1. 发表无法表示意见的条件只要认为审计范围受到的限制将导致无法获取充分、适当的审计证据,注册会计师即可解除业务约定或发表无法表示意见。(1)注册会计师应就未能完成整个内部控制审计工作的情况,以书面形式与管理层和治理层进行沟通。(2)内部控制审计报告的日期应为注册会计师已就该报告中陈述的内容获取充分、适当的审计证据的日期。(3)不应在内部控制审计报告中指明所执行的程序,也不应描述内部控制审计的特征,以对无法表示意见的误解。2. 强调法规豁免的审计范围(1)如果法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制的评价范围,注册会计师可以不将这些实体纳入内部控制审计的范围。这种情况不构成审计范围受到限制,但应当在内部控制审计报告中增加强调事项段或者在注册会计师的责任段中,就这一情况作出与被审计单位类似的恰当陈述。(2)注册会计师应当评价被审计单位针对该项豁免权作出的陈述是否恰当。如认为不恰当,应当提请其作出适当修改。如果被审计单位未作出恰当修改,应当在强调事项段中说明被审计单位的陈述需要修改的理由。3. 说明已发现的重大缺陷出具无法表示意见时,如果在已执行的有限程序中发现内部控制存在重大缺陷,应当在内部控制审计报告的“识别的财务报告内部控制重大缺陷”部分对重大缺陷做出详细说明,该部分还应当包括下列内容:(1)重大缺陷的定义;(2)对识别出重大缺陷的描述,包括重大缺陷的性质,重大缺陷在存在期间对企业编制的财务报表产生的实际和潜在影响等信息。内部控制审计报告XX 股份有限公司全体股东:我们接受委托,对 XX 股份有限公司(以下简称 XX 公司)XX 年 X 月 X 日的财务报告内部控制进行审计。一、企业对内部控制的责任(略)二、内部控制的固有局限性(略)三、导致无法表示意见的事项(描述审计范围受限的具体情况)四、财务报告内部控制审计意见由于审计范围受到上述限制,我们未能实施必要的审计程序以获取发表意见所需的充分、适当证据,因此,我们无法对 XX 公司财务报告内部控制的有效性发表意见。五、识别的财务报告内部控制重大缺陷重大缺陷是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。尽管我们无法对 XX 公司财务报告内部控制的有效性发表意见,但在我们实施的有限程序的过程中,发现了以下重大缺陷:[指出注册会计师已识别出的重大缺陷,并说明重大缺陷的性质及其对财务报告内部控制的影响程度。]有效的内部控制能够为财务报告及相关信息的真实完整提供合理保证,而上述重大缺陷使 XX 公司内部控制失去这一功能。XX 会计师事务所 中国注册会计师:XXX(盖章) (签名并盖章)中国注册会计师:XXX(签名并盖章)中国 XX 市 二〇XX 年 X 月 X 日9.4 否定意见1. 发表否定意见的条件(1)如果认为内部控制存在一项或多项重大缺陷,并且审计范围没有受到限制,应当对内部控制发表否定意见。(2)否定意见的内部控制审计报告还应当包括重大缺陷的定义、重大缺陷的性质及其对内部控制的影响程度。(3)无法表示意见优先于否定意见。如果在发现内部控制重大缺陷后审计范围受到限制,应当发表无法表示意见而不是否定意见。2. 考虑评价报告的反映(1)只要存在重大缺陷,即使管理层已识别内部控制重大缺陷并已反映在内部控制评价报告中,注册会计师仍应发表否定意见,但需在审计报告中提及评价报告的反映。(2)如果评价报告中包含了重大缺陷,但注册会计师认为这些重大缺陷未在所有重大方面得到公允反映,应当在内部控制审计报告中说明这一结论,并公允表达重大缺陷的必要信息。注册会计师还应当就这些情况以书面形式与治理层沟通。(3)如重大缺陷尚未包含在评价报告中,应在内部控制审计报告中说明重大缺陷已经识别、但没有包含在企业内部控制评价报告中。3. 说明重大缺陷对审计的影响如果拟对内部控制的有效性发表否定意见,那么在财务报表审计中不应依赖存在重大缺陷的控制,而是通过实施实质性程序确定与该控制相关的账户是否存在重大错报。(1)如果实施实质性程序的结果表明该账户存在重大错报,注册会计师可以对财务报表发表非无保留意见。(2)如果实施实质性程序的结果表明该账户不存在重大错报,注册会计师可以对财务报表发表无保留意见。可见,注册会计师应当分情况说明针对内部控制发表的否定意见对财务报表审计意见的影响,以免引起审计报告使用者的误解:在第(1)种情况下,对针对财务报表发表的审计意见受到影响,注册会计师应当在导致否定意见的事项段中增加以下类似说明:“在 XX 公司 XX 年财务报表审计中,我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。”在第(2)中情况下。对财务报表发表的审计意见未受影响,应当在导致否定意见的事项段中增加以下说明:“在 XX 公司 XX 年财务报表审计中,我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。本报告并未对我们在 XX 年 X 月 X 日对 X 公司 XX 年财务报表出具的审计报告产生影响。”内部控制审计报告XX 股份有限公司全体股东:按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求,我们审计了 XX股份有限公司(以下简称 XX 公司)XX 年 X 月 X 日的财务报告内部控制的有效性。一、企业对内部控制的责任(略)二、注册会计师的责任(略)三、内部控制的固有局限性(略)四、导致否定意见的事项重大缺陷是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。[指出注册会计师已识别出的重大缺陷,并说明重大缺陷的性质及其对财务报告内部控制的影响程度。]有效的内部控制能够为财务报告及相关信息的真实完整提供合理保证,而上述重大缺陷使 XX 公司内部控制失去这一功能。XX 公司管理层已识别出上述重大缺陷,并将其包含在企业内部控制评价报告中。上述缺陷在所有重大方面得到公允反映。在 XX 公司 XX 年财务报表审计中,我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。本报告并未对我们在 XX 年 X 月 X 对 X 日公司 XX 年财务报表出具的审计报告产生影响。五、财务报告内部控制审计意见我们认为,由于存在上述重大缺陷及其对实现控制目标的影响,XX 公司于 XX 年 X 月 X日未能按照《企业内部控制基本规范》和相关规定在所有重大方面保持有效的财务报告内部控制。XX 会计师事务所 中国注册会计师:XXX(盖章) (签名并盖章)中国 XX 市 中国注册会计师:XXX(签名并盖章)二〇XX 年 X 月 X 日9.5 强调事项段如果认为内部控制虽然不存在重大缺陷,但仍有一项或多项重大事项需要提请内部控制审计报告使用者注意,应当在内部控制审计报告中增加强调事项段予以说明,并指明该段内容仅用于提醒内部控制审计报告使用者关注,不影响对内部控制发表的审计意见。如果存在下列情况,应当考虑增加强调事项段:(1)企业内部控制评价报告对要素的列报不完整或不恰当。(2)注册会计师知悉在基准日不存在、但在期后期间发生的事项,且这类期后事项对内部控制有重大影响。(3)法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制的评价范围。内部控制审计报告(略)五、强调事项我们提醒内部控制审计报告使用者关注,[描述强调事项的性质及其对内部控制的重大影响]。本段内容不影响已对财务报告内部控制发表的审计意见。(略)9.6 非财务报告内部控制重大缺陷对于审计过程中注意到的非财务报告内部控制缺陷,如果发现某项或某些控制对企业发展战略、法规遵循、经营的效率效果等控制目标的实现有重大不利影响,确定该项非财务报告内部控制缺陷为重大缺陷的,注册会计师应当以书面形式与企业董事会和经理层沟通,提醒企业加以改进;同时在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露,提示内部控制审计报告使用者注意相关风险,但无需对其发表审计意见。内部控制审计报告(略)五、非财务报告内部控制重大缺陷在内部控制审计过程中,我们注意到 XX 公司的非财务报告内部控制存在重大缺陷[描述该缺陷的性质及其对实现相关控制目标的影响程度]。由于存在上述重大缺陷,我们提醒本报告使用者注意相关风险。需要指出的是,我们并不对 XX 公司的非财务报告内部控制发表意见或提供保证。本段内容不影响对财务报告内部控制有效性发表的审计意见。【2018 多选题】在执行内部控制审计时,如果审计范围受到限制,导致注册会计师无法获取充分、适当的审计证据,下列做法中,正确的有( )。A. 在内部控制审计报告中指明已执行的有限程序B. 出具无法表示意见的内部控制审计报告C. 在内部控制审计报告中对在已执行的有限程序中发现的内部控制重大缺陷进行详细说明D. 在内部控制审计报告中指明审计范围受到限制【答案】BCD【2018 年 多选题】在执行内部控制审计时,下列有关非财务报告内部控制重大缺陷的说法中,正确的有( )。A. 注册会计师应当以书面形式与被审计单位董事会沟通发现的非财务报告内部控制重大缺陷B. 非财务报告内部控制重大缺陷不影响内部控制审计报告的意见类型C. 注册会计师可以以书面或口头形式与被审计单位经理层沟通发现的非财务报告内部控制重大缺陷D. 注册会计师应当在内部控制审计报告中披露非财务报告内部控制重大缺陷【答案】ABD本节回顾无保留内控有效/审计范围未受限否定内控无效/审计范围未受限无法表示审计范围受限强调事项不完整或不恰当、期后、豁免非财务内控描述