内部控制作为企业各项管理工作的基础,是衡量现代企业管理水平的重要标志也是企业持续健康发腱的可靠保证。国内外财务丑闻的频频爆发更凸显了内部控制在企业中的地位和作用。近几年来,我国开始重视企业内部控制的建设,先后出台了许多针对上市公司内部控制的规范,如上海证券交易所上市公司内部控制指引、深圳证券交易所上市公司内部控制指引等。与此同时,聘请注册会师对内部控制的有效性鉴证也在世界范围内盛行:中国证监会于2006年5月出台的《首次公开发行股票并上市符理办法》中规定,注册会计师出具了无保留结沦的内部控制鉴证报告是企业公开发行证券的条件之一。
一、内部控制审核的含义
所谓内部控制审核,是是指注册会计师接受委托,,就被审核单位管理层对特定日期与财务报表相关的内部控制有效性的认定进行审核,并发表审核意见。
理解内部控制审核的含义应当掌握以下儿点:
1.内部控制审核业务是一项专门鉴证业务
注册会计师在执行财务报表审计时,根据《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》和《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》等准则对内部控制进行了解和测试,旨在确定控制风险水平。当控制风险水平确定后,注册会计师在整个审计期间都要考虑内部控制的有效性。如果不准备审计某些领域,则无须确定这些领域的控制风险水平。注册会汁师执行内部控制市核业务则是一项专门鉴证业务,应当事先与委托人就内部控制审核范围达成一致意见。凡是业务约定书确定的内部控制审核范围,注册会计师都要进行审核。
2.内部控制审核的范围限于特定日期与财务报表相关的内部控制
通常,注册会计师对特定日期的内部控制进行审核。特定日期可以是会计年度结束日,也可以是某中期结束日。注册会计师对特定日期的内部控制审核时,应在接近此日期之前的一段时间内对内部控制进行了解和测试,并对该日期的内部控制有效性的发表审核意见。意见类型包括无保留意见、保留意见、否定意见和无法表示意见。如果注册会计师对某特定期间的内部控制进行审核,应对该期间的内部控制进行了解和测试,并对该期间的内部控制有效性的发表审核意见。审核意见不宜套用上述四种意见类型,应出具长式审核报告。
内部控制是一重管理过程,用以实现以下目标:财务报表的可靠性、经营的效率与效果,对法律法规的遵循。限于专业胜任能力,注册会计师通常对与财务报表相关的内部控制进行审核。与财务报表相关的内部控制范围不仅包括为保证财务报表的可靠性而涉及的内部控制(按交易循环设计的内部控制),还涉及对财务报表产生影响的内部控制(与经营的效率与效果,对法律法规的遵循相关的部分内部控制),如有关分析程序使用生产统计数据的内部控制和有关遵循所得税规定的内部控制。
3.被审核单位管理层应当就内部控制的有效性提供书面认定
被审核单位管理层就内部控制的有效性提供书面认定,其作用类似于财务报表,它用于明确被审核单位管理建立健全内部控制并保持其有效性的责任。
二、审核计划
在制定审核计划前,注册会计师应当向被审核单位管理层获取有关内部控制有效性的书面认定,以及获取内部控制手册、流程图、凋查问卷和备忘录等文件。
在制定审核计划时,注册会计师应当考虑以下主要因素:(1)被审核单位所在行业的情况,包括行业景气程度、经营风险、技术进步等。(2)被审核单位的内部情况,包括组织结构、经营特征、资本构成、生产和业务流程、员工素质等。(3)被审核单位近期在经营和内部控制方面的变化。(4)管理层的诚信、能力及发生舞弊的可能性。(5)管理层评价内部控制有效性的方法和证据。(6)对重要性水平、固有风险及其他与确定内部控制重大缺陷有关的因素的初步判断。(7)特定内部控制的性质及其在内部控制整体中的重要性。(8)对内部控制有效性的初步判断。(9)从其他专业服务中了解到的有关被审核单位内部控制的情况。
如果被审核单位有多个经营场所,注册会计师应当选择某些经营场所的内部控制进行了解和测试。在选择了解和测试的经营场所时,注册会计师除考虑上述有关因素外。还应当考虑以下因素:(I)不同场所之间经营活动和内部控制的相似性。(2)会计处理的集中程度。(3)控制环境的有效性,尤其是管理层对各经营场所行使授权的控制和有效监督经营活动的能力。(4)各经营场所发生交易的性质和金额。
内部审计的工作结果是管理层评价内部控制有效性的重要基础,注册会计师应当考虑被审核单位内部审计入员的专业能力、独立性及工作范围。
三、审核程序
注册会计师应当根据审核计划,实施以下工作步骤:(1)了解内部控制的设计。(2)评价内部控制设计的合理性。(3)测试和评价内部控制运行的有效性。
(一) 了解内部控制的设计
注册会计师应当实施以下程序,以了解内部控制的设计:(1)询问被审核单位的有关人员。(2)检查内部控制生成的文件和记录。(3)观察被审核单位的经营管理活动。
(二)评价内部控制设计的合理性
注册会计师应当在了解内部控制各要素的基础上,根据内部控制能否防止和发现财务报表有关认定的重大错报,评价内部控制设计的合理性。
在评价内部控制设计的合理性时,注册会计师应当关注内部控制整体能否实现控制目标,而不应孤立地关注特定内部控制。
在确定评价特定内部控制设计合理性的程序时,注册会计师应当考虑以下因素:(1)特定内部控制的性质。(2)特定内部控制的描述方式。(3)经营活动及其管理系统的复杂性。
(三)测试和评价内部控制运行的有效性
注册会计师应当对相关内部控制进行测试,获取充分、适当的证据,以评价内部控制运行的有效性。
在测试内部控制运行的有效性时,注册会计师应当关注该项内部控制是否得到执行、如何执行、由谁执行以及是否得到一贯执行。
在测试内部控制运行的有效性时,注册会计师通常实施以下程序:(1)询问被审核单位的有关人员。(2)检查内部控制生成的文件和记录。(3)观察被审核单位的经营管理活动。(4)重新执行有关内部控制。
在评价获取的证据是否充分、适当时,注册会计师应当运用专业判断,并考虑以下因素:(1)特定内部控制的性质。(2)特定内部控制在实现控制目标巾的重要性。(3)被审核单位对特定内部控制执行有效性进行测试的性质和范围。(4)特定内部控制未得到遵循的风险。
在评价内部控制运行的有效性时,注册会计师可考虑利用管理层对内部控制执行有效性的测试结果,但应获取充分、适当的证据进行印证。
在评价特定内部控制未得到遵循的风险时,注册会计师应当考虑以下因素:(1)交易的数量和性质是否发生变化,以致对特定内部控制的设计和执行产生不利影响。(2)内部控制是否发生变化。(3)特定内部控制对其他内部控制有效性的依赖程度。(4)执行或监控内部控制的关键人员是否发生变动。(5)特定内部控制的执行是依赖人工还是电子设备。(6)特定内部控制的复杂程度。(7)特定控制目标的实现是否依赖于多项内部控制。
某些内部控制是连续执行的,而某些内部控制只在特定时间执行,注册会计师应当根据内部控制的性质及其执行的时Ihl平Il频率,合理确定控制测试的性质、时间和范围。当管理层在做出内部控制有效性认定之前已对内部控制作了改进时,如果注册会计师确定新的内部控制能够实现相关目标,并且已有效执行了适当的时间,可不考虑改进前内部控制设计的合理性和运行的有效性。
对已发现的内部控制重大缺陷,注册会计师应当及时以书面形式与被审核单位进行沟通。在判断某项内部控制缺陷单独或连同其他内部控制缺陷是否为重大缺陷时,注册会计师应当考虑潜在的错误或舞弊可能导致错报的金额和性质。
注册会计师应当就以下重要事项向管理层获取书面声明:
(1)管理层对建立健全内部控制并保持其有效性负责。
(2)管理层已对内部控制的有效性进行了评价。
(3)管理层已做出特定日期与财务报表相关的内部控制有效性的认定。
(4)管理层已向注册会计师告知内部控制在设计和执行方面存在的重大缺陷。
(5)管理层已向注册会计师告知发生的重大舞弊,以及虽不重大但涉及管理人员或在内部控制过程中起关键作用的员工的其他舞弊。
(6)期后发生的内部控制变化和可能影响内部控制的其他因素,包括管理层针对重大缺陷采取的各项改进措施。
如果管理层拒绝提供有关内部控制的书面声明,注册会计师应当将其视为审核范围受到限制,并考虑管理层其他声明的可靠性。
四、审核报告
注册会计师应当复核与评价审核证据,形成审核意见,出具审核报告。
(一)审核报告的基本内容
审核报告应当包括以下基本内容:(1)标题。(2)收件人。(3)引言段。(4)范围段。(5)固有限制段。(6)意见段。(7)签章和会计师事务所地址。(8)报告日期。
上述基本内容是内部控制的基本要素。具体要求如下:
1.审核报告的标题应当统一规范为“内部控制审核报告”。
2.审核报告的收件人应当为审核业务的委托人。审核报告应当载明收件人的全称。
3.审核报告的引言段应当说明以下内容:(1)被审核单位管理层对特定日期与财务报表相关的内部控制有效性的认定。(2)被审核单位管理层的责任。(3)注册会计师的责任。
4.审核报告的范围段应当说明以下内容:(1)审核依据,即《内部控制审核指导意见》。(2)审核程序。(3)实施的审核程序为注册会计师发表审核意见提供了合理的基础j
5.审核报告的固有限制段应当说明以下内容:(1)内部控制的固有限制。(2)根据内部控制评价结果推测未来内部控制有效性的风险。
6.审核报告的意见段应当说明被审核单位于特定日期在所有重大方面是否保持了与财务报表相关的有效的内部控制。
7.审核报告应当由注册会计师签名并盖章,加盖会计师事务所公章,标明会计师事务所地址。
8.报告日期是指注册会计师完成外勤审核T作的日期。
