《内部控制》第十章-内部控制审计

任务二

内部控制审计1、

计划审计工作2、

实施审计工作3、

评价控制缺陷4、

完成审计工作5、

出具审计报告引例企业内部控制审计成会计师事务所新增业务“企业内部控制报告必须经过会计师事务所审计并出具报告,这对我们注册会计师行业来说是一个重大利好消息!”2010年4月26日的企业内部控制配套指引发布会上,信永中和会计师事务所董事长张克、立信会计师事务所董事长朱建弟、中天恒会计师事务所总经理李三喜等业内人士难掩兴奋之情。在开拓新业务领域方面,注册会计师行业又一次获得了有力的政策支持。内部控制审计的含义与流程一、含义:内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。二、内部控制审计中注册会计师的责任我国《企业内部控制审计指引》指出，建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。因此，注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。内部控制审计的含义与流程

我国《企业内部控制审计指引》第四条规定，注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。三、内部控制审计的工作流程：

内部控制审计的工作流程与财务报表审计的工作流程相同，即计划审计工作、审计实施、完成审计工作。其中审计实施工作包括内部控制的了解、控制测试、评价内部控制设计与运行的有效性。计划审计工作计划审计工作审计人员根据所掌握的控制环境及其对财务报告完整性的影响，制定审计计划，确定项目负责人和项目团队成员，界定角色、责任和资源，制定项目计划、方法和报告要求。同时，将对风险的考虑贯穿整个计划过程，考虑利用其他相关人员的工作。计划审计工作贯彻风险评估原则计划审计工作重点关注的内容：人员安排总体要求评估重要事项及其影响利用内部审计人员的工作利用其他相关人员的工作利用他人的工作整合审计编制审计工作底稿计划审计工作一、总体要求□1、人员安排注册会计师进行内部控制审计业务，首先应当恰当地进行内部控制审计工作计划，配备具有专业胜任能力的注册会计师组成项目组。计划审计工作2、评估重要事项及其影响在计划审计工作时，注册会计师需要评价下列事项对财务报表和内部控制是否有重要影响，以及有重要影响的事项将如何影响审计工作：与企业相关的风险，包括在评价是否接受与保持客户和业务时，注册会计师了解的与企业相关的风险情况以及在执行其他业务时了解的情况；相关法律法规和行业概况；计划审计工作企业组织结构、经营特点和资本结构等相关重要事项；事业内部控制最近发生变化的程度；与企业沟通过的内部控制缺陷；重要性、风险等与确定内部控制重大缺陷的相关因素；对内部控制有效性的初步判断；可获取的、与内部控制有效性相关的证据的类型和范围。计划审计工作二、贯彻风险评估原则风险评估的理念及思路应当贯穿于整个审计过程的始终。实施风险评估时，作为编制审计计划的依据之一；根据对控制风险评估的结果，调整计划阶段对固有风险的判断，这是个持续的过程。计划审计工作三、利用其他相关人员的工作在计划审计工作时，注册会计师需要评估是否利用他人（包括企业的内部审计人员、内部控制评价人员、其他人员以及在董事会及其审计委员会指导下的第三方）的工作以及利用的程度，以减少可能本应由注册会计师执行的工作。计划审计工作四、整合审计整合审计的定义：注册会计师可以可以将内部控制审计与财务报表审计整合进行，即整合审计。计划审计工作四、整合审计在实务中，注册会计师为什么更适合于进行整合审计？首先，内部控制审计与财务报表审计可以同时进行。其次，内部控制审计与财务报表审计两者很难分开。最后，由于内部控制审计和财务报表审计要在规定的时间内一同完成，同时企业要在同一时间同时公布审计报告和内部控制审计报告。计划审计工作五、编制审计工作底稿内部控制审计工作底稿，是注册会计师对制定的审计计划、实施的审计程序、获取的相关审计证据，以及得出的审计结论作出的记录。计划审计工作五、编制审计工作底稿审计工作底稿中应记录的内容：内部控制审计计划及重大修改情况；相关风险评估和选择拟测试的内部控制的主要过程及结果；测试内部控制设计与运行有效性的程序及结果；对识别的控制缺陷的评价；形成的审计结论和意见；其他重要事项。实施审计工作实施审计工作在实施审计工作阶段，包括：1、内部控制的了解2、控制测试3、评价内部控制设计与运行的有效性。注册会计师宜分别从以下18个方面了解被审单位的内部控制制度：、组织架构：是指股东大会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要的制度安排。组织架构属于非财务信息的内部控制制度。、发展战略：是指企业制定并实施的长远发展目标和战略规划。属于非财务信息的内部控制制度。、人力资源：是指企业组织生产经营活动而录用的各种人员。属于非财务信息的内部控制制度。、社会责任：是指企业在经营发展过程中应当履行的社会职责和义务。属于非财务信息的内部控制制度。、企业文化：指企业整体团队所认同并遵守的价值、经营理念和企业精神以及在此基础上形成的行为规范的总称。1、对内部控制的了解资金活动：是指企业筹资、投资和资金营运等活动的总称采购制度：是指购买物资（或接受劳务）及支付款项等相关活动。资产管理制度：销售制度：是指企业出售商品（或提供劳务）及收取款项等相关活动。研发制度：是指企业为获取新产品、新技术、新工艺等所开展的各种研发活动。11）工程项目制度：是指企业自行或者委托其他单位所进行的建造、安装工程。12）担保制度：指企业作为担保人按照公平、自愿、互利的原则与债权人约定，当债务人不履行债务时，依照法律规定和合同协议承担相应法律责任的行为。13)外包制度：指企业利用专业化分工优势，将日常经营中的部分业务委托给本企业以外的专业服务机构或其他经济组织完成的经营行为。财务报告制度：全面预算制度：指企业对一定期间经营活动、投资活动、财务活动等作了的预算安排。属于非财务信息的内部控制制度。合同管理制度：属于非财务信息的内部控制制度。信息传递制度：指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。信息系统：指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。2、控制测试在进行控制测试时，注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。控制测试分为企业层面控制和业务层面控制的测试。1）识别与评价企业层面控制企业层面控制的内容与内部环境相关的控制针对管理层（董事会、经理层）凌驾于控制之上的风险而设计的控制风险评估过程内部信息传递和财务报告流程的控制对控制有效性的内部监督和自我评价实施审计工作识别与评价企业层面控制评价企业层面控制的精确度

某些企业层面控制与控制环境相关的控制，对及时防止或发现并纠正相关认定的错报的可能性有重要影响。

某些企业层面控制旨在识别其他控制可能出现的实效情况，能够监督其他控制的有效性，但还不足以精确到及时防止或发现并纠正相关认定的错报。

某些企业层面控制本身能够精确到足以及时防止或发现并纠正相关认定的错报。2）注册会计师测试业务层面控制，应当把握重要性原则，结合实际，企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。控制测试的测试方法应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。P132实施审计工作三、测试控制设计和运行的有效性注册会计师测试控制有效性实施的程序，按提供证据的效力，由弱到强排序为：询问、观察、检查和重新执行。其中，询问本身并不能为得出控制是否有效的结论提供充分、适当的证据。执行穿行测试通常足以评价控制设计的有效性。实施审计工作四、评估控制风险并获取相关证据在测试所选定控制的有效性时，注册会计师需要根据与控制相关的风险，确定所需获取的证据。与控制相关的风险包括控制可能无效的风险和因控制无效而导致重大缺陷的风险。与控制相关的风险越高，注册会计师需要获取的证据就越多。注册会计师通过测试控制有效性获取的证据，取决于实施程序的性质、时间安排和范围的组合。就单项控制而言，注册会计师应当根据与该项控制相关的风险，适当确定实施程序的性质、时间安排和范围，以获取充分、适当的证据。一..A公司主要经营电视机产品的生产和销售。产品销售以仓库为交货地点。A公司目前主要采用手工会计系统。注册会计师对A公司的货币资金内部控制进行了解、测试与评价。并在审计工作底稿中记录了测试情况，部分内容摘录如下：（1）关于银行存款的内部控制：财务处处长负责支票的签署，外出时其职责由副处长代为履行；副处长负责银行预留印鉴的保管和财务专用章的管理，外出时其职责由厂长代为履行；财务人员乙负责空白支票的管理，仅在出差期间交由财务处长管理。负责签署支票的财务处长的个人名章由其本人亲自掌管，仅在出差期间交由副处长临时代管。【要求】1.指出上述内部控制是否存在重大缺陷，说明原因，并提出相应的改进建议。针对资料第(1)和第(2)项，假定不考虑其他条件，应出具何种意见的内部控制审计报告？为什么？写出审计报告的说明段及以后的段落一、【答案】（1）有严重缺陷。理由：因为如果财务处长与财务人员乙同时出差，则空白支票、签署支票的个人名章、财务专用章、银行预留印鉴将全部落入副处长之手。同样地，如果副处长与财务人员乙同时出差，空白支票、签署支票的个人名章、财务专用章、银行预留印鉴将全部将全部落入处长之手，这就违反了签发支票的全部印鉴不能由一个人掌管的规定，难以防止银行存款被贪污的情况。建议：财务处长、副处长外出期间，分别指定与货币资金支付无关的专门人员掌管印鉴。（2）货币资金的支付制度存在严重缺陷。理由：因为一是未对财务处长的审批权限规定任何限制，违反了“对重要货币资金支付业务，应当实行集体决策”的规定，无法防范贪污、侵占、挪用货币资金的行为；二是货币资金支付在前，复核在后，至多能及时发现问题，而无法防止问题的发生。建议：经董事会指定财务处长的审批权限，对超过权限的货币资金支付业务，实行集体决策；支付货币资金之前，应由专职的复核人员进行复核，复核货币资金的批准范围、权限、程序、手续、金额、支付方式、支付单位等是否妥当。复核无误后交由出纳员办理支付业务。二.畅达会计师事务所的注册会计师张怡编制对华西公司财务报表审计项目的审计计划前，需要研究评价华西公司销售业务的内部控制。【资料一】华西公司为扩大销售渠道，在甲地区设立了一家销售网点，委派当地人员赵涛担任该网点的经理，网点的会计则由公司本部直接委派会计人员王军前往担任。为满足经营需要，华西公司在工商银行甲分行开设了专门账户，供该销售网点支付相关费用。公司规定，销售网点的支票由会计人员王军保管，财务章由赵涛掌管。使用支票支付费用须由赵涛和王军共同签发，并指定王军持签发的支票到银行办理支取手续。作为会计人员，王军除登记银行日记账外，每月还必须按时从银行取得对账单进行核对。支票存根、作废支票、银行对账单等均由王军保管。王军每月必须编制现金支出报告送交公司总部。【资料二】经了解相关内部控制后，张怡注册会计师决定将开具销售发票这一环节作为控制测试的重点。这一环节具体包括填制连续编号的销售发票并向顾客寄送。【要求】分析华西公司现金支出内部控制中存在的一个最严重的缺陷，指出这一缺陷可能导致错报的具体情况，并提出针对性的改进建议。对于开具销售发票这一环节，注册会计师主要应关心哪些问题？这些问题分别与管理层对销售业务的何种认定相对应？为了降低开具销售发票过程中出现重复、遗漏、错误计价或其他差错，华西公司应设立哪些控制程序？针对资料二，张怡注册会计师应如何对这一环节的内部控制实施控制测试？二、答案：（1）会计人员王军同时拥有管账(银行存款日记账)、管钱（银行存款的支取)、管物(支票、支票存根、作废支票)以及账实核对(银行存款对账单的取得及核对)的职权，严重违反了不相容职务分离的基本控制原则，极易造成贪污银行存款的情况发生。具体地说，王军可以利用支付费用时由赵涛签发的支票取得银行存款而加以贪污，同时向赵涛声称支票作废而另行签发。因作废支票由王军保管，赵涛无法察觉此种舞弊行为；银行存款对账单的核对及银行存款余额的调节均由王军进行，致使这种舞弊不能通过与银行的核对而察觉；交公司总部的支出报告亦由王军编写及呈送，又必然导致公司总部对王军的失查。可见，由于王军集各种不相容职务于一身，通常难以发现舞弊的内部控制，包括日记账与支票存根的核对、日记账与对账单的核对、拨入金额与支付金额的核对等关键内部控制均名存实亡。建议：作废的支票必须由赵涛签字，并注以明显的作废标记；银行对账单中列支的每一笔费用均须得到赵涛的确认；公司总部财务部门定期核对向该销售网点的拨款金额、由赵涛签发的支付金额、该网点银行存款余额进行核对。（2）张怡注册会计师主要应关心以下与开具销售发票相关的主要问题①是否对所有装运的货物都开具了销售发票。这涉及管理层对销售业务的“完整性”认定；②是否在货物发出后才开具账单，有无重复开具销售发票或虚构交易。这涉及管理层对销售交易的“存在、发生”认定；③是否按已授权批准的商品价目表所列价格开具销售发票。这一问题涉及管理层对销货交易的“计价和分摊”认定。（3）为了降低开具销售发票过程中出现重复、遗漏、错误计价或其他差错，华西公司应设立如下控制程序：①在开具每张销售发票之前，开票人员应独立检查是否存在装运凭证和相应的经批准的销售单；②应依据已授权的商品价目表和装运凭证上的商品数量编制销售发票；③独立检查销售发票的计价和计算的正确性；④将装运凭证上的商品总数与相对应的销售发票上的商品总数进行比较。（4）张怡注册会计师应从销售发票中抽取一个适当的样本，进行如下测试：①检查样本中的每张发票副本是否附有装运凭证和经批准的销售单，装运凭证与销售单的数量、名称时间等是否相吻合；②核对销售发票副本记载的商品数量与装运凭证的一致性，核对销售发票的单价与商品价目表的一致性；③检查销售发票副本上有无独立检查人员的签章；④询问独立检查人员，确证其检查的内容是否包括将销售发票与装运凭证的核对以及销售发票与商品价目表的核对。第四节

评价控制缺陷评价控制缺陷按其影响程度一、内部控制缺陷的认定内部控制缺陷的分类设计缺陷按其成因运行缺陷重大缺陷重要缺陷一般缺陷评价控制缺陷一、内部控制缺陷的认定注册会计师需要评价其注意到的各项控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷。财务报告内部控制缺陷的严重程度取决于：（1）控制缺陷导致账户余额或列报错报的可能性；（2）因一个或多个控制缺陷的组合导致潜在错报的金额大小。控制缺陷的严重程度与账户余额或列报是否发生错报无必然对应关系，而取决于控制缺陷是否可能导致错报。评价控制缺陷时，注册会计师需要根据财务报表审计中确定的重要性水平，支持对财务报告控制缺陷重要性的评价。评价控制缺陷二、内部控制缺陷的处理财务报告内部控制缺陷的处理注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的，应当在内部控制审计报告中对重大缺陷作出详细说明。评价控制缺陷二、内部控制缺陷的处理非财务报告内部控制缺陷的处理注册会计师认为非财务报告内部控制缺陷为一般缺陷的，应当与企业进行沟通，提醒企业加以改进，但无需在内部控制审计报告中说明。注册会计师认为非财务报告内部控制缺陷为重要缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进，但无需在内部控制审计报告中说明。评价控制缺陷（3）注册会计师认为非财务报告内部控制缺陷为重大缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进；同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。第五节

完成审计工作完成审计工作在完成审计工作阶段，主要工作包括：对内部控制形成审计意见获取管理层书面声明沟通事项完成审计工作一、形成审计意见注册会计师需要评价从各种渠道获取的证据，包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷，以形成对内部控制有效性的意见。在评价证据时，注册会计师需要查阅本年度与内部控制相关的内部审计报告或类似报告，并评价这些报告中提到的控制缺陷。完成审计工作二、获取管理层书面声明管理层书面声明应当包括下列内容：（一）企业董事会认可其对建立健全和有效实施内部控制负责；（二）企业已对内部控制的有效性作出自我评价，并说明评价时采用的标准以及得出的结论；（三）企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础；（四）企业已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷和重要缺陷；完成审计工作（五）企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷，是否已经采取措施予以解决；（六）企业在内部控制自我评价基准日后，内部控制是否发生重大变化，或者存在对内部控制具有重要影响的其他因素。完成审计工作三、沟通事项注册会计师需要与企业沟通审计过程中识别的所有控制缺陷。对于其中的重大缺陷和重要缺陷，需要以书面形式与董事会和经理层沟通。虽然并不要求注册会计师执行足以识别所有控制缺陷的程序，但是，注册会计师需要沟通其注意到的内部控制的所有缺陷。第六节

出具审计报告出具审计报告我国《企业内部控制审计指引》指出，内部控制审计报告分为以下四种类型：标准内部控制审计报告带强调事项段的无保留意见内部控制审计报告否定意见内部控制审计报告无法表示意见内部控制审计报告出具审计报告一、标准内部控制审计报告当注册会计师出具的无保留意见的内部控制审计报告不附加说明段、强调事项段或任何修饰性用语时，该报告成为标准内部控制审计报告。出具审计报告一、标准内部控制审计报告标准内部控制审计报告包括下列因素：（一）标题。（二）收件人。（三）引言段。（四）企业对内部控制的责任段。（五）注册会计师的责任段。（六）内部控制固有局限性的说明段。出具审计报告（七）财务报告内部控制审计意见段。（八）非财务报告内部控制重大缺陷描述段。（九）注册会计师的签名和盖章。（十）会计师事务所的名称、地址及盖章。（十一）报告日期。出具审计报告二、非标准内部控制审计报告□带强调事项段的非标准内部控制审计报告注册会计