第3节 程序和方法
一、内部控制审计程序
内部控制审计程序,就是内部控制审计工作从开始到结束的基本步骤。一般将内部控制审计程序划分为审计规划、评估风险、控制测试、分析结果、提出建议、编写报告、跟踪和监督等阶段。
我国财政部、证监会等五部委颁布的《企业内部控制审计指引》把会计师事务所承接的基于鉴证需要的内部控制审计工作分为计划审计工作、实施审计工作、评价控制缺陷、完成审计工作、出具审计报告等主要步骤。
中国内部审计协会发布的《第2201号内部审计具体准则——内部控制审计》将内部审计机构及其人员承接的内部控制审计程序划分为编制项目审计方案、组成审计组、实施现场审查、认定控制缺陷、汇总审计结果、编制审计报告等步骤。
我们认为内部控制审计基本程序包括审计准备、审计实施、审计报告三个阶段,每个阶段又可细分为若干步骤。我们自主编制的内部控制审计业务流程目录如表1-1所示。
表1-1 内部控制审计业务流程目录
(续表)
(续表)
(一)内部控制审计准备
内部控制审计准备是内部控制审计工作的首要环节,是对内部控制审计工作的规划或计划,一般应包括制定规划、确定单位、初步了解、制定方案、成立小组、确定标准、编制程序、准备资料、下发通知、组织进点等步骤。其中,制定方案、成立小组和准备资料很重要。
1.制定规划
制定规划就是审计机构对内部控制审计工作做出事先规划,规划是确定内部控制审计项目的直接依据。
审计机关和内审机构应根据本机构工作目标和重点,提出内部控制审计的重点内容和重点审计单位,编制年度内部控制审计规划(计划),或更长期间的规划,并根据实际工作出现的新情况和新问题及时对规划进行调整。
会计师事务所不需要编制年度内部控制审计计划,而应编制内部控制审计项目计划。项目计划就是对内部控制审计项目的具体安排,基本上可等同于项目工作方案。
2.确定单位
确定单位就是确定内部控制审计的被审计单位。
审计机关和内审机构应依据审计工作规划,根据上级部门和有关领导直接布置的专项工作确定内部控制审计的具体被审计单位。
会计师事务所只能根据委托协议确定需对其实施内部控制审计的客户。
3.初步了解
初步了解也称初步调查,就是初步了解组织的基本情况及其内部控制状况,是制定具有针对性的内部控制审计工作方案的前提。
在确定了被审计单位后,审计人员应对被审计单位的情况进行初步了解。审计准备阶段的初步了解不可能太详细,一般应包括了解被审计单位所处的环境和营业的特点、内部控制的构建和运行状况等。初步了解的程序如下。
(1)确定内部控制有效性审计标准。
(2)收集相关资料和信息,主要包括被审计单位的基本情况、被审计单位正在执行的各种成文的管理制度及其适用范围和所属控制环节、以前年度内部控制审计结果、近一年来其他审计或检查的结果、从其他渠道得到的内部控制信息,等等。
(3)确定审计内容和重点。对照内部控制审计要点,对收集到的相关资料和信息进行分析,判断被审计单位的控制薄弱环节,确定审计的内容和重点。以往审计或检查发现的内部控制执行缺陷必须纳入审计重点。
4.制定方案
制定方案就是制定内部控制审计工作方案。内部控制审计工作方案是实施内部控制审计的具体依据。内部控制审计工作方案相当于内部控制审计工作项目计划,是审计机构及审计人员为完成审计业务、达到预期的审计目的,对内部控制审计工作做出的事先规划,对审计人员及时、有效地开展内部控制审计工作具有重要作用。
内部控制审计工作方案一般包括内部控制审计的目的、时间、范围、方式、内容、人员分工等内容,其中最主要的内容是审计范围、审计人员、审计程序。
会计师事务所的内部控制审计工作项目计划内容包括风险评估程序、计划实施的进一步审计程序、计划实施的其他审计程序,对审计计划的更改。
为了更高效地实施内部控制审计,审计人员应根据被审计单位所处的环境和营业的特点等,充分了解被审计单位的内部控制构建和运行状况及评价状况,考虑审计上的重要性,制定内部控制审计工作方案。
一般来说,在制定内部控制审计工作方案时,审计人员应当考虑以下主要因素:
一是企业所在行业的情况,包括行业景气程度、经营风险、技术进步等;
二是企业的内部情况,包括组织结构、经营特征、资本构成、生产和业务流程、员工素质等;
三是企业近期在经营和内部控制方面的变化;
四是管理层的诚信、能力及发生舞弊的可能性;
五是管理层评价内部控制有效性的方法和证据;
六是对重要性水平、固有风险及其他与确定内部控制重大缺陷有关的因素的初步判断;
七是特定内部控制的性质及其在内部控制整体中的重要性;
八是对内部控制有效性的初步判断;
九是从其他专业服务中了解到的有关被审计单位内部控制的情况。
在内部控制审计实施过程中,在因条件的变化需要改变方案的内容的情况下,或者在审计实施过程中发现新的重要事项的情况下,审计人员必须合理地调整内部控制审计工作方案,但需要按规定程序进行修改和批准。一般是按内部控制审计工作方案的制定程序制定补充方案。为保证内部控制审计工作方案的有效实施,确保内部控制审计工作的质量,审计人员应严格执行内部控制审计工作方案,不能私自更改内部控制审计工作方案的内容。
5.成立小组
成立小组就是成立内部控制审计组。这是内部控制审计工作能够有效进行的组织和人员上的保证。具有专业胜任能力的审计组是高质量完成内部控制审计的基础。
与一般财务报表审计相比,内部控制审计对审计人员的要求比较高,审计人员除应具备基本的财务审计知识和技能外,还需要具备经营管理知识和能力,更需要具备内部控制和风险管理知识和技能。
审计机构应根据内部控制审计工作的性质、业务量、难度及时间进度,并结合有关领导及部门对内部控制审计任务的特殊要求和规避原则,组织有经验的审计人员和聘请有关专家,组建内部控制审计组,任命组长,并对审计组成员提出任务性质、工作量、完成时间、注意事项等方面的要求,同时进行审计前有关法律法规、主要业务培训,为现场审计打好基础。
6.确定标准
确定标准就是确定内部控制审计具体依据。审计机构在实施内部控制审计前应明确审计标准,并要求所有参与审计的人员认真阅读,必要时应进行审计前的培训。国际上关于内部控制审计的标准有很多,我国政府部门颁布的法规或者规范性文件也不少。
这么多标准到底执行哪个呢?这是在实施内部控制审计之前必须解决的。我国企业的内部控制审计标准应该统一为财政部、证监会、审计署等五部委颁发的《企业内部控制基本规范》及其配套指引。
就一个具体内部控制审计项目而言,本组织的《内部控制管理手册》《内部控制评价手册》《内部控制审计手册》是最具体的标准和指南。
就内审机构而言,通常审计人员应选择组织已制定的内部控制标准为内部控制审计标准。如果审计人员认为已有标准不合适,应向适当的管理层报告;如果管理层没有制定合适的标准,审计人员应基于组织利益最大化的原则选择适当的审计标准。
7.编制程序
编制程序就是编制内部控制审计的具体流程(内部控制审计程序)。这对引导审计人员进行具体审计工作非常有用。内部控制审计程序一定要在内部控制审计标准要求的基础上,结合企业内部控制现状设计,以增强可操作性。
组织结构、经营流程及业务单元的规模和复杂程度影响许多控制目标的实现方式。审计机构应当根据企业的具体情况调整审计工作,以获取充分、适当的证据,支持发表的审计意见。
8.准备资料
准备资料就是准备内部控制审计需要的相关资料,审计机构和被审计单位都需要准备资料。
审计机构需要准备的资料主要包括审计标准、调查问卷、抽样计划、工作底稿、缺陷认定及报告模板等。
在审计工作实施前,让参与审计的人员熟知内部控制审计的具体流程及其相应的工作模板,对提高内部控制审计工作效率和质量具有非常重要的意义。
被审计单位需要准备的资料主要包括内部控制体系文件及相关记录等。根据我们多年的审计工作实践经验,在实施内部控制审计前向被审计单位提供审计资料准备清单有助于被审计单位提前做好准备,从而提高内部控制审计工作效率。
9.下发通知
下发通知就是在实施内部控制审计前下发审计通知书,明确内部控制审计的有关事宜。
一般来说,内部控制审计组于实施现场审计前向被审计单位下发内部控制审计通知书,通知书中应明确被审计单位需要准备的资料、参加审计的人员,同时要求被审计单位要有一名审计工作协调员,负责审计联络工作及有关事项。
下发通知的具体时间是没有明确规定的,可以根据实际需要确定,可以是审计人员进现场的当天,也可以提前几天或几周。若没有特殊情况,内部控制审计组应在进现场前一周下发审计通知书,便于被审计单位做好审前准备。
10.组织进点
组织进点就是组织内部控制审计组入驻被审计单位开始进行内部控制审计现场工作。内部控制审计工作涉及面广、难度大,需要企业各个部门全力配合才能完成。
在内部控制审计实施前利用进点会或其他形式对被审计单位的高管人员及其员工进行动员或宣讲是十分必要的。审计组进点后应按照内部控制审计工作方案的要求,按照具体分组、分工及时投入实际审计工作。
在实际内部控制审计工作中,审计准备阶段的上述工作不可能人为割裂开来,在顺序上也不是固定的,在内容上也可多可少。
(二)内部控制审计实施
审计实施是内部控制审计的核心环节,是内部控制审计最具实质性的阶段,一般包括调查了解、初步评价、评估风险、选择控制、控制测试、应对舞弊、获取证据、评价缺陷和形成意见等步骤。
1.调查了解
调查了解,专业上称“了解内部控制”程序,是内部控制审计实施阶段的首要环节,是在前期对内部控制现状初步了解基础上的深入调查和了解。内部控制审计组应了解被审计单位内部控制体系的基本情况,确认审计范围,确定被审计单位的内部控制体系的健全程度,然后决定实施测试时所采用的方法。
这一部分的工作是在审计准备阶段的基础上进行的,涉及的具体内容很多,也因企业的不同而不同,大致可分为以下两个方面。一是从整体层面了解内部控制,这包括对控制环境、风险评估、控制活动、信息与沟通、内部监督五要素的了解。二是从业务层面了解内部控制,通常包括如下步骤:确定重要业务流程和重要交易类别;了解重要交易流程,并记录;确定可能发生错报的环节;识别和了解相关控制。
对内部控制整体层面和业务层面的了解都很重要,不能仅限于对内部控制五要素的调查和了解。调查了解内部控制也不必面面俱到,要突出重点,主要调查被审计单位或部门是否遵循了不相容职务控制、业务程序标准化控制、复查核对控制等程序。
可通过审阅被审计单位的规章制度、组织机构设置表和前一年度的审计工作底稿,或通过现场询问有关人员,以及通过实地观察等方式,调查了解被审计单位内部控制系统的详细情况之后采用一定的方法将调查结果表述出来。内部控制审计应调查的内容应视具体的项目而定,并使用调查清单载明调查内容及要点,以免遗漏。
2.初步评价
初步评价也称适当性测试。内部控制适当性测试是指采用抽样方法将现行内部控制与理想内部控制模式进行比较,以评价组织应有的内部控制环节是否齐全,是否符合组织的实际需要,以及有无欠妥之处。内部控制适当性测试步骤包括确定理想的内部控制模式、描述现行内部控制、比较现行内部控制与理想内部控制模式、进行初步评价等。
(1)确定理想的内部控制模式。理想的内部控制模式是完整无缺的内部控制制度具有的良好风险控制所需的所有环节和手段。它实际上是内部控制评价的依据,回答了被审计单位的内部控制系统究竟应该怎样建立、符合什么标准才达到健全完善的程度等问题。
审计人员要搞清楚内部控制控制什么、如何控制、为什么而控制、控制标准如何等。在确定理想的内部控制模式时,既要考虑国家对内部控制方面的要求,又要借鉴国内外先进的内部控制模式。在内部控制调查的基础上,进一步明确风险点与控制点,明确各项控制措施的目标与功能,明确为特定控制目标需要设计的特定措施与方法,明确如何将内部控制与主要经营环节及业务相互衔接与配套,构成有机的系统,以确定对现行内部控制进行适当性评价的标准。
(2)描述现行内部控制。当理想的内部控制模式确定后,审计人员应对现行的内部控制进行描述。这方面的工作主要包括:在充分搜集各种成文的制度资料的基础上,编制有关文字说明;采用调查表法、询问法及观察法了解主要业务处理的受控过程、受控成效及存在的薄弱环节,并编制文字说明或绘制业务流程图;审查与鉴别控制方法实施与控制职责实现,是否能有效防止错误与舞弊。内部控制描述的重点,应该是主要业务处理程序、主要控制程序、有重大影响的内部控制弱点、主要业务处理的类型和工作量等。
(3)比较现行内部控制与理想内部控制模式。将组织现行的内部控制与理想的内部控制模式进行比较时,应注意:现行控制程序与理想控制目标是否相联系;现行控制方法是否适合既定的控制目标,能否满足标准的要求;现行制度与应该有的控制有多大差距;关键的控制制度是否都有;关键的控制点是否得到应有的控制;控制的优点和弱点在哪里。
(4)进行初步评价。在内部控制审计中,进行内部控制初步评价(简称“初评”)的主要目的是确定控制测试的重点和范围。
初评主要考虑的问题包括:根据一般规律和被审计单位的具体情况,被审计单位可能会发生哪些方面的舞弊、浪费、低效率和失职等不良行为;按照内部控制的原理,被审计单位应该建立哪些方面的控制制度才能有效地防止和纠正各种失控现象;被审计单位是否具有应有的控制制度,如果没有,是否存在相应补救措施;等等。
3.评估风险
评估风险是指风险评估程序,是整个内部控制审计的基础。按照风险导向审计理论,审计人员进行内部控制审计也应当以风险评估为基础,选择拟测试的控制,确定测试所需要收集的证据。
就内部控制审计而言,实施风险评估程序的作用在于确定存在重大缺陷的高风险领域,评估结果是确定重要的账户、列报及其相关认定,选择拟进行测试的控制,以及确定针对特定控制所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。
这与财务报表审计中的风险评估程序有所不同。财务报表审计中的风险评估程序的作用是识别和评估财务报表层次的重大错报风险,评估结果是确定重要性水平、识别需要特别考虑的领域、设计和实施进一步审计程序。
4.选择控制
选择控制就是审计人员根据风险评估的结果识别和选择需要测试的控制。自上而下是审计人员识别风险、选择拟测试控制的基本思路。基于财务报告内部控制,识别和选择要测试的控制,主要包括识别整体层面的控制,识别重要账户、列报及其相关认定,了解错报的可能来源,选择拟测试的控制。
(1)识别整体层面的控制。整体层面的控制包括:与控制环境相关的控制;针对管理层凌驾于控制之上的风险而设计的控制;组织的风险评估过程;集中化的处理和控制,包括共享的服务环境;监控经营成果的控制;监督其他控制的控制,包括内部审计职能、审计委员会的活动及内部控制自我评价;对期末财务报告流程的控制;针对重大经营控制及风险管理实务而采取的政策。
审计人员应当测试对评价内部控制有效性有重要影响的整体层面控制。对整体层面控制的测试,可能增加或减少本应对其他控制进行的测试。
(2)识别重要账户、列报及其相关认定。审计人员应当识别重要账户、列报及其相关认定。相关认定是这样一些财务报表认定:它们包含的一个错报会以相当的可能性导致财务报表发生重大错报。财务报表认定包括存在或发生、完整性、计价或分摊、权利和义务、列报和披露。
为识别重要账户、列报及其相关认定,审计人员应当从以下方面评价财务报表项目及附注的错报风险因素:账户的规模和构成;易于发生错报的程度;账户或列报中反映的交易的业务量、复杂性及同质性;账户或列报的性质;与账户或列报相关的会计处理及报告的复杂程度;账户发生损失的风险;账户或列报中反映的活动引起重大或有负债的可能性;账户记录中是否涉及关联方交易;账户或列报的特征与前期相比发生的变化。
在识别重要账户、列报及其相关认定时,审计人员还应当确定对财务报表产生重大影响的潜在错报的可能来源。审计人员可通过考虑在特定的重要账户或列报中错报可能发生的领域和原因,确定潜在错报的可能来源。
在内部控制审计中,审计人员在识别重要账户、列报及其相关认定时应当评价的风险因素,与财务报表审计中考虑的因素相同。在财务报表审计中,审计人员可能针对非重要账户、列报及其相关认定实施实质性程序。如果某潜在重要账户或列报的各组成部分存在的风险差异较大,组织可能采用不同的控制以应对这些风险,审计人员应当分别处理。
(3)了解错报的可能来源。为了进一步了解潜在错报的可能来源,以及作为选择要测试控制的一部分工作,审计人员应当了解与相关认定有关的交易的处理流程,包括这些交易如何生成、批准、处理及记录;验证审计人员已识别出的业务流程中可能发生重大错报(尤其是由舞弊导致的错报)的环节;识别管理层用于应对这些潜在错报的控制;识别管理层用于及时防止或发现未经授权的、导致财务报表重大错报的资产取得、使用或处置的控制。
审计人员应当了解信息技术如何影响企业的业务流程。穿行测试通常是审计人员完成上述工作最有效的方式之一。穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程。在执行穿行测试时,审计人员使用的文件和信息技术应当与企业员工使用的相同。在执行穿行测试时,通常需要综合运用询问适当人员、观察经营活动、检查相关文件及重新执行控制等程序。
在执行穿行测试时,针对特定交易的重要处理环节,审计人员可以询问企业员工对规定程序及控制的了解程度。这些试探性提问连同穿行测试中的其他程序,可以帮助审计人员充分了解业务流程,识别必要控制设计无效或出现缺失的重要环节。
(4)选择拟测试的控制。审计人员应当评价控制是否足以应对评估的每个相关认定的错报风险,并选择其中对形成评价结论具有重要影响的控制进行测试。
就特定的相关认定而言,可能有多项控制用于应对评估的错报风险;反之,一项控制可能用于应对评估的多个相关认定的错报风险。
审计人员没有必要测试与某个相关认定有关的所有控制。在确定是否测试某项控制时,不论该项控制的分类和名称如何,审计人员应当考虑其单独或连同其他控制是否足以应对评估的某项相关认定的错报风险。
就内部控制审计而言,识别和选择要测试的控制主要包括识别和选择整体层面的控制、识别和选择业务层面的控制两个方面。
5.控制测试
控制测试就是审计人员在了解内部控制的基础上现场测试内部控制设计和运行的有效性,获取充分、适当的证据以评价内部控制有效性的行为,是内部控制审计的核心程序。
内部控制审计中的控制测试是必需的程序,而财务报表审计中的控制测试不是必需的程序,两者还有诸多不同之处,不能等同。审计人员应当选择适当类型的审计程序以获取有关控制设计和运行有效性的保证。
内部控制测试应分为整体层面控制测试和业务层面控制测试两个方面。审计人员在实施测试工作时,可以结合进行整体层面控制测试和业务层面控制测试。不论是整体层面控制测试还是业务层面控制测试,测试内容包括测试控制设计和运行的有效性两个方面。在内部控制审计实践中,关于内部控制设计有效性和运行有效性的审计是分别进行的。
审计人员在测试内部控制设计的有效性时,应当综合运用询问适当人员、观察经营活动和检查相关文件等程序。内部控制设计有效性的审计程序如下。
一是描述组织的经营管理流程和业务流程,查找风险点。
二是通过风险评估确定应进行控制的风险点(控制点)。对业务流程和经营管理流程中的各风险点进行风险评估,对影响经营合法性、财务报表真实性、资产安全性和经营效率性的风险点进行确认、记录,并对其可能产生的风险和风险程度进行评估。
三是确定组织应当建立的内部控制措施。根据风险评估的结果,并结合对以往审计结果的分析,确定组织应当建立的内部控制措施。
四是分析、评价组织已建立的内部控制的有效性。将组织应当建立的内部控制和组织已建立的内部控制进行比较、分析,评价组织已建立的内部控制的覆盖程度和适应情况,具体包括:是否在每一个需要控制的地方都设置了控制措施;设置的控制措施是否能够控制相对应的风险;是否安排了过多或不必要的控制点或控制措施;控制职能是否划分清楚;内部控制是否有重点,对风险程度高的控制点是否设置了强有力的控制措施;以往审计发现的内部控制设计缺陷是否得到改善;等等。
审计人员在测试内部控制运行的有效性时,应当综合运用询问适当人员、观察经营活动、检查相关文件及重新执行控制等程序。内部控制运行有效性的审计程序如下。
一是初步调查被审计单位内部控制的执行情况。
二是对内部控制执行情况进行测试。对内部控制执行情况进行测试的过程,也就是对初步调查结果进行查证核实的过程,要查明被审计单位的各项控制措施是否真实地存在于经营管理活动之中、是否得到贯彻执行、执行程度如何、薄弱环节是哪些等。
事实上,实际工作中内部控制设计有效性和运行有效性应一并进行测试,很难人为割裂开来。尽管很多有关内部控制的文献特别区分了内部控制设计和运行的有效性,但实际上,最终管理层对内部控制的运行而不是设计的有效性做出认定。
6.应对舞弊
舞弊风险危害极大,内部控制是防范舞弊风险的一种有效手段。在内部控制审计准备阶段,审计机构应当考虑舞弊风险的评估结果。在测试整体层面控制和业务层面控制时,审计人员应当评价内部控制是否足以应对舞弊风险。就财务报告内部控制而言,可以应对舞弊风险的控制包括:①对重大的异常交易的控制,特别是那些导致延迟或异常日记账记录的交易;②对日记账记录及在期末财务报告流程内做出调整的控制;③对关联方交易的控制;④与重要的管理层估计相关的控制;⑤会减轻管理层虚构或不当管理财务结果的动机或压力的控制。
7.获取证据
获取证据是内部控制审计的核心工作,贯穿内部控制审计实施阶段的始终。获取充分、适当的证据是实施审计工作的主要内容,也是确保审计工作质量的关键。
(1)风险与获取证据的关系。在风险导向审计方式下,审计人员应当根据与内部控制相关的风险,确定拟实施内部控制审计程序的性质、时间和范围,获取充分、适当的证据。审计人员应当根据与内部控制相关的风险,确定所需获取的证据。与内部控制相关的风险包括控制可能无效的风险和因控制无效而导致重大缺陷的风险,具体包括:该项控制拟防止或发现的错报的性质和重要程度;相关账户、列报及其认定的固有风险;相关账户或列报是否曾经出现错报;交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的有效性产生不利影响;整体层面控制(特别是监督其他控制的控制)的有效性;该项控制的性质及其执行频率;该项控制对其他控制(如内部环境或信息技术一般控制)有效性的依赖程度;该项控制的执行或监督人员的专业胜任能力,以及其中的关键人员是否发生变化;该项控制是人工控制还是自动化控制;该项控制的复杂程度,以及在运行过程中依赖判断的程度。与内部控制相关的风险越高,审计风险也越大,审计人员需要获取的证据也越多。当然,这也要考虑获取的证据的证明力,也就是说要考虑获取的审计证据的质量,而不能仅考虑证据的数量,要考量成本与效率的平衡。
(2)获取证据的方法。获取证据的方法,也就是审计方法。审计人员在测试控制设计与运行的有效性时,应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行控制等方法。获取证据的方法不同,获取的证据的效力也就不同。一般来说,获取证据的方法按证据效力由弱到强的排序为:询问、观察、检查和重新执行(即重新执行控制)。询问本身并不足以提供充分、适当的证据。审计人员在测试控制设计与运行的有效性时,根据所测试控制的性质、范围等的不同可选用一种或几种方法来获取充分、适当的证据。
(3)获取证据的时间范围。对鉴证类内部控制审计,审计人员应当尽量在接近企业内部控制自我评价基准日的时间实施测试。审计人员要对企业内部控制自我评价报告做出鉴证性的审计意见,在越接近企业内部控制自我评价基准日的时间实施测试,就越能获取充分、适当的证据,测试提供的反映控制有效性的证据越有力。审计人员在确定测试的时间时,要确保实施的测试涵盖足够长的期间。从理论上讲,对控制有效性的测试涵盖的期间越长,提供的反映控制有效性的证据越多。这个足够长的期间到底是多长,没有明确的规范要求,这需要审计人员的专业判断。
(4)控制偏差对获取证据的影响。控制偏差是指内部控制运行偏离设计的情况。对于控制偏差,审计人员应当确定该偏差对相关风险评估的影响,应当确定该偏差对需要获取的证据的影响,应当确定该偏差对控制运行有效性结论的影响。
此外,审计人员为证实控制未发生变化而需获取证据的性质和范围,可能随情况的变化而变化。例如,企业程序变更控制的强弱将影响需获取证据的性质和范围。
8.评价缺陷
评价缺陷即评价控制缺陷,就是审计人员以公认的方法和标准,对内部控制存在的设计和运行有效性方面的问题进行分析,进而评估内部控制缺陷导致财务报告错报的影响程度及发生可能性的过程,是内部控制审计实施阶段的重要环节。
内部控制缺陷评价不是一个简单的过程。在具体的评价过程中,审计人员应将已经调查了解到的内部控制系统的现状和事先确定的理想内部控制模式进行对照,以揭示哪些法规规定的控制程序未被采用。对对照中发现的控制缺陷,审计人员应当按照不同内容分类,并记录在内部控制系统缺陷登记表中。对已发现的内部控制重大缺陷,审计人员应当及时以书面形式和被审计单位沟通,核对测试结果和数据,确认内部控制缺陷事实并在缺陷认定底稿上签章。在判断某项内部控制缺陷单独或连同其他内部控制缺陷是否为重大缺陷时,审计人员应当考虑潜在的错误或舞弊可能导致错报的金额和性质。
9.形成意见
形成意见即形成审计意见。审计意见就是对被审计单位内部控制有效性的审计结论。内部控制审计意见应该为被审计单位内部控制有效或无效,不需要过多修辞。
内部控制审计工作就是为了形成对内部控制有效性的审计意见。如果内部控制审计工作未能形成对内部控制有效性的审计意见,内部控制审计工作目标就没有实现,甚至成了无效审计。
审计意见的形成是个复杂的过程,需要做很多工作,以下几个方面是非常重要的。
一是对获取的证据进行分析评价。内部控制审计的实施过程就是获取证据以形成对内部控制有效性的意见的过程。审计证据是形成对内部控制有效性的意见的直接依据,审计人员应当评价从各种来源获取的证据。我们认为审计评价是审计工作的一个重要环节,要让审计评价贯穿审计工作始终,并要进行独立的评价程序,编制专门的审计评价工作底稿。
二是就审计事实进行现场沟通。一般来说,审计人员在审计外勤工作结束前就审计事实与被审计单位进行充分的沟通是十分重要的。这不仅有利于被审计单位理解和支持审计意见,而且有利于提高审计质量和效率。审计人员与被审计单位需要沟通的事项很多,审计人员应当与被审计单位沟通审计过程中识别的所有控制缺陷。沟通的形式是多种多样的,对于重大缺陷和重要缺陷,审计人员应当以书面形式与董事会和经理层沟通。若审计人员认为审计委员会和内部审计机构对内部控制的监督是无效的,应当就此以书面形式直接与董事会和经理层沟通。不论是何种沟通,审计人员都应做好沟通记录,形成审计工作底稿。审计过程中的各种沟通最好在审计人员审计外勤工作结束前进行,最晚应当在审计机构出具内部控制审计报告前进行。
三是获取企业签署的书面声明。获取管理层书面声明是注册会计师执业准则的基本要求,注册会计师应当按照《中国注册会计师审计准则第1341号——书面声明》的规定,确定声明书的签署者、声明书涵盖的期间及何时获取更新的声明书等。《企业内部控制审计指引》明确要求:“注册会计师完成审计工作后,应当取得经企业签署的书面声明。”审计机构进行内部控制审计都应当取得经企业签署的书面声明。书面声明获取的时间最好是在审计准备阶段。书面声明的内容因审计机构、审计类型要求的不同而不同,也因被审计单位实际情况的不同而不同。就会计师事务所承接的鉴证类内部控制审计而言,书面声明应当包括以下内容:企业董事会认可其对建立健全和有效实施内部控制负责;企业已对内部控制的有效性做出自我评价,并说明评价时采用的标准及得出的结论;企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础;企业已向注册会计师披露识别出的所有内部控制缺陷,并单独披露其中的重大缺陷和重要缺陷;企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷,是否已经采取措施予以解决;企业在内部控制自我评价基准日后,内部控制是否发生重大变化,或者存在对内部控制具有重要影响的其他因素。企业如果拒绝提供或以其他不当理由回避书面声明,注册会计师应当将其视为审计范围受到限制,解除业务约定或出具无法表示意见的内部控制审计报告。
(三)内部控制审计报告
审计机构在完成内部控制审计现场工作后应当出具内部控制审计报告,而不能在实施内部控制审计前或审计工作未完成或未经审计时就出具内部控制审计报告。
审计机关、内审机构、会计师事务所出具的内部控制审计报告在格式、体例、要素和内容等方面不完全一样,应注意其区别。
审计机构在出具内部控制审计报告的基础上,根据需要或委托要求可出具一份致管理部门的意见书或改进建议书。审计报告及意见书既可以作为管理者改进内部控制、加强经营管理的依据,也可以作为审计人员履行职责的依据,还可以作为下次审计选择重点或线索的依据。
内部控制审计报告是审计人员根据内部控制审计计划对内部控制实施必要的审计程序后出具的,全面、客观、准确地反映内部控制审计结果的书面文件,是将审计人员在内部控制审计过程中的发现、查明的事实、获得的结论与建议,以书面文字形式通知组织有关的管理层的重要环节。简单地说,出具内部控制审计报告是内部控制审计工作的重要环节,内部控制审计报告是内部控制审计成果的集中体现。
内部控制审计报告是将审计结果转达成建议改善或通知纠正的手段,是提供给有关方面做行动决定的根据。因此,内部控制审计报告的基本作用是促请有关管理层及时采取增进效能与提高效率的行动。鉴证类内部控制审计报告还具有重要的鉴证作用。
内部控制审计报告的出具应该遵循一定的程序。出具内部控制审计报告是一项复杂的工作,具体报告流程或程序尚没有统一的规定,审计机构之间的做法也不一致。根据我们的工作经验,内部控制审计报告的基本流程包括复核底稿、分析缺陷、核定意见、起草报告、复核报告、征求意见、审定签发、结果利用和总结归档等工作步骤。
1.复核底稿
复核底稿就是复核内部控制审计工作底稿。这是出具内部控制审计报告前必须完成的重要工作。复核工作底稿的具体步骤如图1-1所示。
图1-1 复核工作底稿的具体步骤
2.分析缺陷
分析缺陷就是汇总分析审计实施过程中形成的各类缺陷。分析性复核程序的具体步骤如图1-2所示。
图1-2 分析性复核程序的具体步骤
3.核定意见
核定意见就是在复核审计工作底稿,汇总分析控制缺陷的基础上,审计组对内部控制审计人员形成的审计意见进行审核和确定的过程。
根据《企业内部控制审计指引》的要求,注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。这考虑了注册会计师的专业胜任能力,重点是要对财务报告内部控制的有效性发表审计意见,限制了发表审计意见的内部控制范围。一般来说,注册会计师出具的内部控制审计报告意见类型有无保留意见、带有强调事项段的无保留意见、否定意见、无法表示意见等。
4.起草报告
起草报告就是起草内部控制审计报告的具体工作。审计人员应根据审计结果起草内部控制审计报告。
内部控制审计报告起草工作应该始于对每个具体项目审计完后所提出的单项审计结果报告;进入最终报告的起草阶段,应将各单项审计结果报告进行整理、汇总,撰写最终报告的草稿。起草报告时应由审计组组长或指定人员执笔,执笔人员必须具有一定的经验、学识,掌握一定的写作技巧。
5.复核报告
复核报告就是对起草的内部控制审计报告进行多层次的复核工作。一般审计人员起草的内部控制审计报告由审计组组长或审计机构负责人复核,审计组组长起草的内部控制审计报告由审计机构负责人复核。复核时,应充分考虑报告主题和整体着眼点的需要,检验并消除可能的矛盾,如工作底稿与报告内容的矛盾、报告中不同章节内容的矛盾;并复核表达的正确性、合理性及文辞修饰的恰当性。
6.征求意见
征求意见就是在将复核后的内部控制审计报告提交审定前,向被审计单位征求意见,听取被审计单位对内部控制审计报告意见与建议的反馈。这有利于审计机构表达对被审计单位的尊重和开诚布公的态度,避免猜忌误会;有利于审计机构预告内部控制审计报告内容及意见,并与被审计单位通过讨论协商达成共识,以减少日后贯彻落实意见的阻力。
7.审定签发
审定签发就是就内部控制审计报告征求被审计单位的意见后,审计机构按照内部管理程序审定签发内部控制审计报告。
《企业内部控制审计指引》明确了内部控制审计报告的格式和内容,但并未对如何公布、披露内部控制审计报告做出详细规定。
从国际的情况看,管理层的财务报告内部控制自评报告和公共会计公司的财务报告内部控制审计报告,一般同年度报告一并公布。从我国部分上市公司近年来先行先试内部控制审计的做法看,既有在年度报告中单独作为一部分予以披露的,也有自成体系形成一个专门报告予以披露的。这两种做法各有利弊,审计机构应尊重企业的自主选择权。同时,考虑到内部控制自评报告和内部控制审计报告与管理层讨论和分析、年度财务报告、财务报表审计报告等具有直接、内在的关联,我们倾向于建议企业在年度报告中一并披露内部控制审计报告,以利于投资者、债权人、社会公众和其他利益相关者在通盘了解企业经营状况、财务状况、内部控制状况的基础上做出正确决策。但是应当强调,在年度报告中一并披露的内部控制审计报告是一个独立的报告,不同于财务报表审计报告,否则与传统做法没有区别,也容易弱化内部控制审计。
8.结果利用
结果利用就是内部控制审计报告的利用。这是内部控制审计发挥作用的主要表现。
对企业而言,其通过反思内部控制审计结果,尤其是内部控制重大缺陷,将内部控制有效性情况纳入绩效考评体系,可以促进健全内部控制机制,培育内部控制文化,推动内部控制理念和制度落地生根。
对政府有关部门而言,其通过分析、利用企业内部控制审计结果,可以增强政府监督的针对性和实效性;同时,通过汇总、分析各类企业尤其是上市公司内部控制审计结果,发布上市公司内部控制年度综合分析报告,可以为改进宏观调控、完善资本市场制度提供直接有力的决策参考。
对审计机构而言,其通过测试、评价企业内部控制有效性,由点及面、积少成多,可以丰富、充实企业内部控制经验教训案例库,为今后的内部控制审计提供强有力的支持。对社会有关方面,包括理论界而言,内部控制审计报告为深度研究公司治理、风险管理和内部控制问题提供了丰富素材,在此基础上归纳、拓展、提升,可以为深化企业内部控制建设提供科学理论指导。
9.总结归档
内部控制审计工作完成后,审计机构应对审计过程、审计方法等方面进行总结,以及时积累经验、改进问题,不断提高内部控制审计质量。企业应当建立内部控制审计工作档案管理制度。内部控制审计的有关文件资料、工作底稿和证明材料等应当被妥善保管。