規範內控審計行為 促進內控有效實施
——財政部會計司、中注協解讀《企業內部控制審計指引》
實施企業內部控制註冊會計師審計,是促進企業尤其是上市公司紮實貫徹《企業內部控制基本規範》和《企業內部控制配套指引》的重要制度安排,是註冊會計師行業開拓執業領域、進一步做大做強新的增長點。為了規範註冊會計師內部控制審計業務,明確工作要求,保證執業質量,根據《企業內部控制基本規範》、《中國註冊會計師鑒證業務基本準則》及相關執業準則,財政部制定了《企業內部控制審計指引》(以下簡稱審計指引)。財政部等五部委制定的《企業內部控制基本規範》和《企業內部控制應用指引》是註冊會計師衡量企業內部控制是否有效的基礎標準。註冊會計師在執行內部控制審計時,除遵守審計指引外,還應當遵守中國註冊會計師相關執業準則。
審計指引共7章35條,並附有4份不同意見類型的內部控制審計報告,闡明了什麼是內部控制審計、如何執行內部控制審計工作等問題。本文對審計指引的幾個重點問題進行解讀。
一、內部控制審計概述
(一)實施內部控制審計的必要性
內部控製作為企業的一項重要管理活動,主要試圖解決三方面的基本問題,即財務報告及相關信息的可靠性、資産的安全完整以及對法律法規的遵循;與此同時,促進提高經營的效率效果,並促進實現企業的發展戰略。安然、世通等一系列公司財務報表舞弊事件發生後,人們認識到健全有效的內部控制對預防此類事件的發生至關重要。各國政府監管機構、企業界和會計職業界對內部控制的重視程度也進一步提升,從注重財務報告本身可靠性轉向注重對保證財務報告可靠性機制的建設,也就是通過過程的有效保證結果的有效。資本市場上的投資者甚至社會公眾要求企業披露其與內部控制相關的信息,並要求經過註冊會計師審計以增強信息的可靠性。
但是,在財務報表審計中,只有在以下兩種情況下才強制要求對內部控制進行測試:在評估認定層次重大錯報風險時,預期控制的運行是有效的(即在確定實質性程序的性質、時間安排和範圍時,註冊會計師擬信賴控制運行的有效性);或者僅實施實質性程序並不能夠提供認定層次充分、適當的審計證據。可見,註冊會計師對內部控制的了解和測試不足以對內部控制發表意見,難以滿足信息使用者的需求。因此,內部控制審計逐漸發展起來,很多國家要求註冊會計師對內部控制設計和運行的有效性進行審計或鑒證。例如,美國《薩班斯——奧克斯利法案》404條款和日本《金融商品交易法》要求審計師對企業管理層對財務報告內部控制的評價進行審計;我國《企業內部控制基本規範》要求會計師事務所對企業內部控制的有效性進行審計,出具審計報告,並專門制定《企業內部控制審計指引》規範內部控制審計工作。
(二)各國對內部控制審計的要求
1.其他國家對內部控制審計的要求。我們對內部控制審計進行了國際比較研究,選擇了在內部控制規範制定領域一直走在世界前沿的幾個國家和地區,包括美國、日本、歐盟、加拿大和英國,對上述各國及地區出臺的內控審計標準進行了比較研究。研究結論表明:
(1)美國和日本均以法案形式強制要求對企業財務報告內部控制進行審計;歐盟、加拿大、英國未強制要求進行內控審計,但英國等國的上市規則要求審計師對管理層作出的內部控制聲明進行形式上的審閱。
(2)強制要求進行內部控制審計的國家,如美國和日本,內部控制審計與年度財務報表審計整合進行。其中美國要求由同一家會計師事務所將內部控制審計與財務報表審計整合進行,而日本則不僅如此,要求同一個審計師從計劃審計工作、實施審計程序獲取審計證據、評價審計證據的充分性和適當性,直到發表審計意見的整個過程中,將兩種審計作為一個整體進行。
2.我國對內部控制審計的要求。《企業內部控制基本規範》及配套指引的發佈,要求執行企業內控規範體系的企業,必須對本企業內部控制的有效性進行自我評價,披露年度自我評價報告,同時聘請具有證券期貨業務資格的會計師事務所對其財務報告內部控制的有效性進行審計,出具審計報告。註冊會計師在內部控制審計過程中注意到的企業非財務報告內部控制的重大缺陷,應當提示投資者、債權人和其他利益相關者關注。
這意味著,企業內部控制審計業務由原來的一次性業務或面向少數企業的業務(A股企業原先僅在IPO時需要,或者赴美國和日本等地上市企業需要,或者金融證券等高風險行業需要),變成了與財務報表審計一樣的經常性業務,每年需執行一次。
對於執行內部控制審計的會計師事務所來講,對公司上市前要進行內部控制審計,上市後也要進行內部控制審計。
(三)內部控制審計的定義
內部控制審計,是指會計師事務所接受委託,對特定基準日內部控制設計與運行的有效性進行審計。
1.企業內部控制審計基於特定基準日。註冊會計師基於基準日(如年末12月31日)內部控制的有效性發表意見,而不是對財務報表涵蓋的整個期間(如一年)的內部控制的有效性發表意見。但這並不意味著註冊會計師只關注企業基準日當天的內部控制,而是要考察企業一個時期內(足夠長的一段時間)內部控制的設計和運行情況。例如,註冊會計師可能在5月份對企業的內部控制進行測試,發現問題後提請企業進行整改,如6月份整改,企業的內部控制在整改後要運行一段時間(如至少一個月),8月份註冊會計師再對整改後的內部控制進行測試。因此,雖然是對企業12月31日(基準日)內部控制的設計和運行發表意見,但這裡的基準日不是一個簡單的時點概念,而是體現內部控制這個過程向前的延續性。註冊會計師所採用的內部控制審計的程序和方法,也體現了這種延續性。
2.財務報告內部控制與非財務報告內部控制。審計指引第四條第二款規定,註冊會計師應當對財務報告內部控制的有效性發表審計意見,並對內部控制審計過程中注意到的非財務報告內部控制的重大缺陷,在內部控制審計報告中增加“非財務報告內部控制重大缺陷描述段”予以披露。
財務報告內部控制,是指企業為了合理保證財務報告及相關信息真實完整而設計和運行的內部控制,以及用於保護資産安全的內部控制中與財務報告可靠性目標相關的控制。主要包括下列方面的政策和程序:
(1)保存充分、適當的記錄,準確、公允地反映企業的交易和事項;
(2)合理保證按照企業會計準則的規定編制財務報表;
(3)合理保證收入和支出的發生以及資産的取得、使用或處置經過適當授權;
(4)合理保證及時防止或發現並糾正未經授權的、對財務報表有重大影響的交易和事項。
非財務報告內部控制,是指除財務報告內部控制之外的其他控制,通常是指為了合理保證經營的效率效果、遵守法律法規、實現發展戰略而設計和運行的控制,以及用於保護資産安全的內部控制中與財務報告可靠性目標無關的控制。
3.企業內控責任與註冊會計師審計責任的關係。審計指引第三條規定,建立健全和有效實施內部控制,評價內部控制的有效性是企業董事會的責任。按照本指引的要求,在實施審計工作的基礎上對內部控制的有效性發表審計意見,是註冊會計師的責任。
兩者之間的關係和會計責任與審計責任的區分保持一致,即:建立健全和有效實施內部控制是企業董事會(或類似決策機構,下同)的責任;按照《企業內部控制審計指引》的要求,在實施審計工作的基礎上對企業內部控制的有效性發表審計意見,是註冊會計師的責任。換言之,內控本身有效與否是企業的內控責任,是否遵循審計指引開展內控審計併發表恰當的審計意見是註冊會計師的審計責任。因此,註冊會計師在實施內控審計之前,應當在業務約定書中明確雙方的責任;在發表內控審計意見之前,應當取得經企業簽署的內控書面聲明。
(四)整合審計
審計指引第五條規定,註冊會計師可以單獨進行內部控制審計,也可以將內部控制審計與財務報表審計整合進行(以下簡稱整合審計)。
理解這一規定,要明確兩點,一是內部控制審計與財務報表審計是兩種不同的審計業務,兩種審計的目標不同;二是內部控制審計與財務報表審計可以整合起來進行。
1.內部控制審計與財務報表審計的異同。內部控制審計要求對企業控制設計和運行的有效性進行測試,財務報表審計中,也要求了解企業的內部控制,並在需要時測試控制,這是兩種審計的相同之處,也是整合審計中應整合的部分,但由於兩種審計的目標不同,審計指引要求在整合審計中,註冊會計師對內部控制設計與運行的有效性進行測試,要同時實現兩個目的:
(1)獲取充分、適當的證據,支持在內部控制審計中對內部控制有效性發表的意見;
(2)獲取充分、適當的證據,支持在財務報表審計中對控制風險的評估結果。
2.兩種審計的整合。財務報告內部控制審計與財務報表審計通常使用相同的重要性(或重要性水平),在實務中兩者很難分開。因為註冊會計師在審計財務報表時需獲得的信息在很大程度上依賴註冊會計師對內部控制有效性得出的結論。註冊會計師可以利用在一種審計中獲得的結果為另一種審計中的判斷和擬實施的程序提供信息。
實施財務報表審計時,註冊會計師可以利用內部控制審計的結果來修改實質性程序的性質、時間安排和範圍,並且可以利用該結果來支持分析程序中所使用的信息的完整性和準確性。在確定實質性程序的性質、時間安排和範圍時,註冊會計師需要慎重考慮識別出的控制缺陷。
實施內部控制審計時,註冊會計師需要評估財務報表審計時實質性程序中發現問題的影響。最重要的是,註冊會計師需要重點考慮財務報表審計中發現的財務報表錯報,考慮這些錯報對評價內控有效性的影響。
二、計劃審計工作
(一)總體要求
審計指引第六條指出,註冊會計師應當恰當地計劃內部控制審計工作,配備具有專業勝任能力的項目組,並對助理人員進行適當的督導。
整合審計中項目組人員的配備比較關鍵。在計劃審計工作時,項目合夥人需要統籌考慮審計工作,挑選相關領域的人員組成項目組,同時對項目組成員進行培訓和督導,以合理安排審計工作。
在計劃整合審計工作時,註冊會計師需要評價下列事項對財務報表和內部控制是否有重要影響,以及有重要影響的事項將如何影響審計工作:
1.與企業相關的風險,包括在評價是否接受與保持客戶和業務時,註冊會計師了解的與企業相關的風險情況以及在執行其他業務時了解的情況;
2.相關法律法規和行業概況;
3.企業組織結構、經營特點和資本結構等相關重要事項;
4.企業內部控制最近發生變化的程度;
5.與企業溝通過的內部控制缺陷;
6.重要性、風險等與確定內部控制重大缺陷相關的因素;
7.對內部控制有效性的初步判斷;
8.可獲取的、與內部控制有效性相關的證據的類型和範圍。
此外,註冊會計師還需要關注與評價財務報表發生重大錯報的可能性和內部控制有效性相關的公開信息,以及企業經營活動的相對複雜程度。
(二)重視風險評估的作用
按照審計指引第八條規定,在內部控制審計中,註冊會計師應當以風險評估為基礎,確定重要賬戶、列報及其相關認定,選擇擬測試的控制,以及確定針對所選定控制所需收集的證據。
風險評估的理念及思路應當貫穿于整合審計過程的始終。實施風險評估時,可以考慮固有風險及控制風險。在計劃審計工作階段,對內部控制的固有風險進行評估,作為編制審計計劃的依據之一;根據對控制風險評估的結果,調整計劃階段對固有風險的判斷,這是個持續的過程。
內部控制的特定領域存在重大缺陷的風險越高,給予該領域的審計關注就越多。內部控制不能防止或發現並糾正由於舞弊導致的錯報風險,通常高於其不能防止或發現並糾正由錯誤導致的錯報風險。註冊會計師應當更多地關注高風險領域,而沒有必要測試那些即使有缺陷、也不可能導致財務報表重大錯報的控制。
在進行風險評估以及確定審計程序時,企業的組織結構、業務流程或業務單元的複雜程度可能産生的重要影響均是註冊會計師需要考慮的因素。
(三)利用其他相關人員的工作
在計劃審計工作時,註冊會計師需要評估是否利用他人(包括企業的內部審計人員、內部控制評價人員、其他人員以及在董事會及其審計委員會指導下的第三方)的工作以及利用的程度,以減少可能本應由註冊會計師執行的工作。
如果決定利用內部審計人員的工作,註冊會計師應當按照《中國註冊會計師審計準則第1411號——利用內部審計人員的工作》的規定辦理。
如果擬利用他人的工作,註冊會計師則需要評價該人員的專業勝任能力和客觀性。專業勝任能力即具備某種專業技能、知識或經驗,有能力完成分派的任務;客觀性則是公正、誠實地執行任務的能力。專業勝任能力和客觀性越高,可利用程度就越高,註冊會計師就可以越多地利用其工作。當然,無論人員的專業勝任能力如何,註冊會計師都不應利用那些客觀程度較低的人員的工作。同樣地,無論人員的客觀程度如何,註冊會計師都不應利用那些專業勝任能力較低的人員的工作。通常認為,企業的內部審計人員擁有更高的專業勝任能力和客觀性,註冊會計師可以考慮更多地利用這些人員的相關工作。
在內部控制審計中,註冊會計師利用他人工作的程度還受到與被測試控制相關的風險的影響。與某項控制相關的風險越高,可利用他人工作的程度就越低,註冊會計師就需要更多地對該項控制親自進行測試。
如果其他註冊會計師負責審計企業的一個或多個分部、分支機構、子公司等組成部分的財務報表和內部控制,註冊會計師應當按照《中國註冊會計師審計準則第1401號——對集團財務報表審計的特殊考慮》的規定,確定是否利用其他註冊會計師的工作。
三、實施審計工作
(一)自上而下的方法
審計指引第十條規定,註冊會計師應當按照自上而下的方法實施審計工作。自上而下的方法是註冊會計師識別風險、選擇擬測試控制的基本思路。
自上而下的方法按照下列思路展開:
1.從財務報表層次初步了解內部控制整體風險;
2.識別企業層面控制;
3.識別重要賬戶、列報及其相關認定;
4.了解錯報的可能來源;
5.選擇擬測試的控制。
在財務報告內控審計中,自上而下的方法始於財務報表層次,以註冊會計師對財務報告內部控制整體風險的了解開始,然後,註冊會計師將關注重點放在企業層面的控制上,並將工作逐漸下移至重大賬戶、列報及相關的認定。這種方法引導註冊會計師將注意力放在顯示有可能導致財務報表及相關列報發生重大錯報的賬戶、列報及認定上。之後,註冊會計師驗證其了解到的業務流程中存在的風險,並就已評估的每個相關認定的錯報風險,選擇足以應對這些風險的業務層面控制進行測試。在非財務報告內控審計中,自上而下的方法始於企業層面控制,並將審計測試工作逐步下移到業務層面控制。
自上而下的方法描述了註冊會計師在識別風險以及擬測試的控制時的連續思維過程,但並不一定是註冊會計師執行審計程序的順序。
(二)識別企業層面控制
從財務報表層次初步了解財務報告內部控制整體風險是自上而下方法的第一步。通過了解企業與財務報告相關的整體風險,註冊會計師首先可以識別出為保持有效的財務報告內部控制而必需的企業層面內部控制。此外,由於對企業層面內部控制的評價結果將影響註冊會計師測試其他控制的性質、時間安排和範圍,因此,註冊會計師可以考慮在執行業務的早期階段對企業層面內部控制進行評價。
1.評價企業層面控制的精確度。不同的企業層面控制在性質和精確度上存在著差異,這些差異可能對其他控制及其測試産生影響。
(1)某些企業層面控制,如企業經營理念、管理層的管理風格等與控制環境相關的控制,對及時防止或發現並糾正相關認定的錯報的可能性有重要影響。雖然這種影響是間接的,但這些控制仍然可能影響註冊會計師擬測試的其他控制,以及測試程序的性質、時間安排和範圍。
(2)某些企業層面控制旨在識別其他控制可能出現的失效情況,能夠監督其他控制的有效性,但還不足以精確到及時防止或發現並糾正相關認定的錯報。當這些控制運行有效時,註冊會計師可以減少對其他控制的測試。
(3)某些企業層面控制本身能夠精確到足以及時防止或發現並糾正相關認定的錯報。如果一項企業層面控制足以應對已評估的錯報風險,註冊會計師就不必測試與該風險相關的其他控制。
2.企業層面控制的內容
(1)與內部環境相關的控制。內部環境,即控制環境,包括治理職能和管理職能,以及治理層和管理層對內部控制及其重要性的態度、認識和措施。良好的控制環境是實施有效內部控制的基礎。
(2)針對管理層(董事會、經理層)淩駕於控制之上的風險而設計的控制。該控制對所有企業保持有效的內部控制都有重要影響。註冊會計師可以根據對企業舞弊風險的評估作出判斷,選擇相關的企業層面控制進行測試,並評價這些控制能否有效應對管理層淩駕於控制之上的風險。
(3)企業的風險評估過程。風險評估過程包括識別與財務報告相關的經營風險和其他經營管理風險,以及針對這些風險採取的措施。首先,企業的內部控制能夠充分識別企業外部環境(如在經濟、政治、法律法規、競爭者行為、債權人需求、技術變革等方面)存在的風險;其次,充分且適當的風險評估過程需要包括對重大風險的估計、對風險發生可能性的評估以及確定應對風險的方法。註冊會計師可以首先了解企業及其內部環境的其他方面信息,以初步了解企業的風險評估過程。
(4)對內部信息傳遞和財務報告流程的控制。財務報告流程的控制可以確保管理層按照適當的會計準則編制合理、可靠的財務報告並對外報告。
(5)對控制有效性的內部監督和自我評價。企業對控制有效性的內部監督和自我評價可以在企業層面上實施,也可以在業務流程層面上實施,包括:對運行報告的復核和核對、與外部人士的溝通、對其他未參與控制執行人員的監控活動,以及將信息系統記錄數據與實物資産進行核對等。
此外,企業層面控制還包括:集中化的處理和控制,包括共享的服務環境;監控經營成果的控制;針對重大經營控制以及風險管理實務而採取的政策。
(三)測試控制設計和運行的有效性
審計指引第十四條規定,註冊會計師應當測試內部控制設計與運行的有效性。如果某項控制由擁有必要授權和專業勝任能力的人員按照規定的程序與要求執行,能夠實現控制目標,表明該項控制的設計是有效的。如果某項控制正在按照設計運行,執行人員擁有必要授權和專業勝任能力,能夠實現控制目標,表明該項控制的運行是有效的。
設計不當的控制可能表明控制存在缺陷甚至重大缺陷,註冊會計師在測試控制運行的有效性時,首先要考慮控制的設計。註冊會計師在測試控制設計與運行的有效性時,應當綜合運用詢問適當人員、觀察經營活動、檢查相關文件、穿行測試和重新執行等方法。註冊會計師測試控制有效性實施的程序,按提供證據的效力,由弱到強排序為:詢問、觀察、檢查和重新執行。其中詢問本身並不能為得出控制是否有效的結論提供充分、適當的證據。執行穿行測試通常足以評價控制設計的有效性。
(四)與控制相關的風險與擬獲取證據的關係
在測試所選定控制的有效性時,註冊會計師需要根據與控制相關的風險,確定所需獲取的證據。與控制相關的風險包括控制可能無效的風險和因控制無效而導致重大缺陷的風險。與控制相關的風險越高,註冊會計師需要獲取的證據就越多。
與某項控制相關的風險受下列因素的影響:
(1)該項控制擬防止或發現並糾正的錯報的性質和重要程度;
(2)相關賬戶、列報及其認定的固有風險;
(3)相關賬戶或列報是否曾經出現錯報;
(4)交易的數量和性質是否發生變化,進而可能對該項控制設計或運行的有效性産生不利影響;
(5)企業層面控制(特別是對控制有效性的內部監督和自我評價)的有效性;
(6)該項控制的性質及其執行頻率;
(7)該項控制對其他控制(如內部環境或信息技術一般控制)有效性的依賴程度;
(8)該項控制的執行或監督人員的專業勝任能力,以及其中的關鍵人員是否發生變化;
(9)該項控制是人工控制還是自動化控制;
(10)該項控制的複雜程度,以及在運行過程中依賴判斷的程度。
針對每一相關認定,註冊會計師都需要獲取控制有效性的證據,以便對內部控制整體的有效性單獨發表意見,但註冊會計師沒有責任對單項控制的有效性發表意見。
對於控制運行偏離設計的情況(即控制偏差),註冊會計師需要考慮該偏差對相關風險評估、需要獲取的證據以及控制運行有效性結論的影響。
註冊會計師通過測試控制有效性獲取的證據,取決於實施程序的性質、時間安排和範圍的組合。就單項控制而言,註冊會計師應當根據與該項控制相關的風險,適當確定實施程序的性質、時間安排和範圍,以獲取充分、適當的證據。
測試控制有效性實施的程序,其性質在很大程度上取決於擬測試控制的性質。某些控制可能存在文件記錄,反映其運行的有效性,而另外一些控制,如管理理念和經營風格,可能沒有書面的運行證據。對缺乏正式運行證據的企業或企業的某個業務單元,註冊會計師可以通過詢問並結合運用觀察活動、檢查非正式的書面記錄和重新執行某些控制等程序,獲取有關控制有效性的充分、適當的證據。
對控制有效性的測試涵蓋的期間越長,提供的控制有效性的證據越多。註冊會計師需要獲取內部控制在企業內部控制自我評價基準日前足夠長的期間內有效運行的證據。對控制有效性的測試實施的時間安排越接近企業內部控制自我評價基準日,提供的控制有效性的證據越有力。因此,審計指引第十七條規定,註冊會計師在確定測試的時間安排時,應當在下列兩個因素之間作出平衡,以獲取充分、適當的證據:
(1)儘量在接近企業內部控制自我評價基準日實施測試;
(2)實施的測試需要涵蓋足夠長的期間。
在企業內部控制自我評價基準日之前,管理層可能為提高控制效率、效果或彌補控制缺陷而改變企業的控制。如果新控制實現了相關控制目標,運行足夠長的時間,且註冊會計師能夠測試並評價該項控制設計和運行的有效性,則無需測試被取代的控制。如果被取代控制設計和運行的有效性對控制風險的評估有重大影響,註冊會計師則需要測試該項控制的有效性。
註冊會計師執行內部控制審計業務通常旨在對企業內部控制自我評價基準日(通常為年末)內部控制的有效性發表意見。如果已獲取有關控制在期中運行有效性的證據,註冊會計師應當確定還需要獲取哪些補充證據,以證實在剩餘期間控制的運行情況。在將期中測試的結果更新至年末時,註冊會計師需要考慮下列因素,以確定需獲取的補充證據:
(1)期中測試的特定控制的有關情況,包括與控制相關的風險、控制的性質和測試的結果;
(2)期中獲取的有關證據的充分性、適當性;
(3)剩餘期間的長短;
(4)期中測試之後,內部控制發生重大變化的可能性及其變化情況。
(五)連續審計時的特殊考慮
在連續審計中,註冊會計師在確定測試的性質、時間安排和範圍時,還需要考慮以前年度執行內部控制審計時了解的情況。
影響連續審計中與某項控制相關的風險的因素除第(四)部分“風險與擬獲取證據的關係”中所列的10項因素外,還包括:
(1)以前年度審計中所實施程序的性質、時間安排和範圍;
(2)以前年度對控制的測試結果;
(3)上次審計之後,控制或其運行流程是否發生變化,尤其是考慮IT環境的變化。
在考慮上述所列的風險因素以及連續審計中可獲取的進一步信息之後,只有當認為與控制相關的風險水平比以前年度有所下降時,註冊會計師在本年度審計中才可以減少測試。
為保證控制測試的有效性,使測試具有不可預見性,並能應對環境的變化,註冊會計師需要每年改變控制測試的性質、時間安排和範圍。每年在期中不同的時段測試控制,並增加或減少所執行測試的數量和種類,或者改變所使用測試程序的組合等。
四、評價控制缺陷
(一)評價控制缺陷的總體要求
如果某項控制的設計、實施或運行不能及時防止或發現並糾正財務報表錯報,則表明內部控制存在缺陷。如果企業缺少用以及時防止或發現並糾正財務報表錯報的必要控制,同樣表明存在內部控制缺陷。
內部控制缺陷包括設計缺陷和運行缺陷。設計缺陷是指缺少為實現控制目標所必需的控制,或者現有控制設計不適當,即使正常運行也難以實現控制目標。運行缺陷是指設計適當的控制沒有按設計意圖運行,或者執行人員缺乏必要授權或專業勝任能力,無法有效實施控制。
內部控制存在的缺陷,按嚴重程度分為重大缺陷、重要缺陷和一般缺陷。
重大缺陷,是指一個或多個控制缺陷的組合,可能導致企業嚴重偏離控制目標。具體到財務報告內部控制上,就是內部控制中存在的、可能導致不能及時防止或發現並糾正財務報表重大錯報的一個或多個控制缺陷的組合。
重要缺陷,是指一個或多個控制缺陷的組合,其嚴重程度和經濟後果低於重大缺陷,但仍有可能導致企業偏離控制目標。具體就是內部控制中存在的、其嚴重程度不如重大缺陷、但足以引起企業財務報告監督人員關注的一個或多個控制缺陷的組合。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
註冊會計師需要評價其注意到的各項控制缺陷的嚴重程度,以確定這些缺陷單獨或組合起來,是否構成重大缺陷。但是,在計劃和實施審計工作時,不要求註冊會計師尋找單獨或組合起來不構成重大缺陷的控制缺陷。
下列跡象可能表明企業的內部控制存在重大缺陷:
(1)註冊會計師發現董事、監事和高級管理人員舞弊;
(2)企業更正已經公佈的財務報表;
(3)註冊會計師發現當期財務報表存在重大錯報,而內部控制在運行過程中未能發現該錯報;
(4)企業審計委員會和內部審計機構對內部控制的監督無效。
財務報告內部控制控制缺陷的嚴重程度取決於:
(1)控制缺陷導致賬戶餘額或列報錯報的可能性;
(2)因一個或多個控制缺陷的組合導致潛在錯報的金額大小。
控制缺陷的嚴重程度與賬戶餘額或列報是否發生錯報無必然對應關係,而取決於控制缺陷是否可能導致錯報。評價控制缺陷時,註冊會計師需要根據財務報表審計中確定的重要性水平,支持對財務報告控制缺陷重要性的評價。註冊會計師需要運用職業判斷,考慮並衡量定量和定性因素。同時要對整個思考判斷過程進行記錄,尤其是詳細記錄關鍵判斷和得出結論的理由。而且,對於“可能性”和“重大錯報”的判斷,在評價控制缺陷嚴重性的記錄中,註冊會計師需要給予明確地考量和陳述。
(二)評價控制缺陷舉例
1.單個控制缺陷的識別。下面以未按時進行公司間對賬為例,舉例説明如何評價財務報告內部控制的控制缺陷。
例如,某公司每月處理大量的公司間常規交易。公司間的單項交易並不重大,主要是涉及資産負債表的活動。公司制度要求逐月進行公司間對賬,並在業務單元間函證餘額。註冊會計師了解到,目前公司沒有按時開展對賬工作,但公司管理層每月執行相應的程序對挑選出的大額公司間賬目進行調查,並編制詳細的營業費用差異分析表來評估其合理性。
基於上述情況,註冊會計師可以確定此控制缺陷為重要缺陷。因為,由於該控制缺陷引起的財務報表錯報可以被合理地預計為介於重要和重大之間,由於公司間單項交易並不重大,這些交易限于資産負債表科目,而且每月執行的補償性控制應該能夠發現重大錯報。
仍用上例,如果公司每月處理的大量公司間交易涉及廣泛的業務活動,包括涉及公司間利潤的存貨轉移,研究開發成本向業務單元的分攤,公司間單項交易常常是重大的。公司制度要求逐月進行公司間對賬,並在業務單元間函證餘額。註冊會計師了解到,目前公司沒有按時開展對賬工作,這些賬目經常出現重大差異。而且,公司管理層沒有執行任何補償性控制來調查重大的公司間賬目差異。
基於上述情況,註冊會計師可以確定此控制缺陷為重大缺陷。因為,由於該控制缺陷引起的財務報表錯報可以被合理地預計為是重大的,由於公司間單項交易常常是重大的,而且涉及大範圍活動。另外,在公司間賬目上尚未對賬的差異是重要的,由於這種錯報常常發生,財務報表錯報可能出現,而且補償性控制無效。
2.多個控制缺陷的識別示例
例如,註冊會計師識別出以下控制缺陷:
(1)對特定信息系統訪問控制的權限分配不當;
(2)存在若干明細賬不合理交易記錄(交易無論單個還是合計都是不重要的);
(3)缺乏對受不合理交易記錄影響的賬戶餘額的及時對賬。
上述每個缺陷均單獨代表一個重要缺陷。基於這一情況,註冊會計師可以確定這些重要缺陷合併構成重大缺陷。因為,就個別重要缺陷而言,這些缺陷有一定可能性,各自導致金額未達到重要性水平的財務報表錯報。可是,這些重要缺陷影響同類會計賬戶,有一定可能性導致不能防止或發現並糾正重大錯報的發生。因此,這些重要缺陷組合在一起符合重大缺陷的定義。
五、完成審計工作
(一)形成審計意見
註冊會計師需要評價從各種來源獲取的證據,包括對控制的測試結果、財務報表審計中發現的錯報以及已識別的所有控制缺陷,以形成對內部控制有效性的意見。在評價證據時,註冊會計師需要查閱本年度與內部控制相關的內部審計報告或類似報告,並評價這些報告中提到的控制缺陷。
只有在審計範圍沒有受到限制時,註冊會計師才能對內部控制的有效性形成意見。如果審計範圍受到限制,註冊會計師需要解除業務約定或出具無法表示意見的內部控制審計報告。
(二)獲取管理層書面聲明
註冊會計師需要取得經企業認可的書面聲明,書面聲明需要包括下列內容:
(1)企業董事會認可其對建立健全和有效實施內部控制負責;
(2)企業已對內部控制的有效性作出自我評價,並説明評價時採用的標準以及得出的結論;
(3)企業沒有利用註冊會計師執行的審計程序及其結果作為自我評價的基礎;
(4)企業已向註冊會計師披露識別出的內部控制所有缺陷,並單獨披露其中的重大缺陷和重要缺陷;
(5)對於註冊會計師在以前年度審計中識別的、已與審計委員會溝通的重大缺陷和重要缺陷,企業是否已經採取措施予以解決;
(6)在企業內部控制自我評價基準日後,內部控制是否發生重大變化,或者存在對內部控制具有重要影響的其他因素。
此外,書面聲明中還包括導致財務報表重大錯報的所有舞弊,以及不會導致財務報表重大錯報,但涉及管理層和其他在內部控制中具有重要作用的員工的所有舞弊。
如果企業拒絕提供或以其他不當理由回避書面聲明,註冊會計師需要將其視為審計範圍受到限制,解除業務約定或出具無法表示意見的內部控制審計報告。同時,註冊會計師需要評價,企業拒絕提供書面聲明對其他聲明(包括在財務報表審計中獲取的聲明)的可靠性産生的影響。
註冊會計師需要按照《中國註冊會計師審計準則第1341號——書面聲明》的規定,確定聲明書的簽署者、聲明書涵蓋的期間以及何時獲取更新的聲明書等。
(三)溝通相關事項
註冊會計師需要與企業溝通審計過程中識別的所有控制缺陷。對於其中的重大缺陷和重要缺陷,需要以書面形式與董事會和經理層溝通。《中國註冊會計師審計準則第1152號——向治理層和管理層通報內部控制缺陷》要求註冊會計師以書面形式及時向治理層通報審計過程中識別出的值得關注的內部控制缺陷。其中,值得關注的內部控制缺陷包括重大缺陷和重要缺陷。
對於重大缺陷,註冊會計師需要以書面形式與企業的董事會及其審計委員會進行溝通。如果認為審計委員會和內部審計機構對內部控制的監督無效,註冊會計師需要就此以書面形式直接與董事會和經理層溝通。
對於重要缺陷,註冊會計師需要以書面形式與審計委員會溝通。
雖然並不要求註冊會計師執行足以識別所有控制缺陷的程序,但是,註冊會計師需要溝通其注意到的內部控制的所有缺陷。如果發現企業存在或可能存在舞弊或違反法規行為,註冊會計師需要按照《中國註冊會計師審計準則第1141號——財務報表審計中對舞弊的考慮》、《中國註冊會計師審計準則第1142號——財務報表審計中對法律法規的考慮》的規定,確定並履行自身的責任。
六、出具審計報告
(一)標準內部控制審計報告
當註冊會計師出具的無保留意見的內部控制審計報告不附加説明段、強調事項段或任何修飾性用語時,該報告稱為標準內部控制審計報告。標準內部控制審計報告包括下列要素:
1.標題。內部控制審計報告的標題統一規範為“內部控制審計報告”。
2.收件人。內部控制審計報告的收件人是指註冊會計師按照業務約定書的要求致送內部控制審計報告的對象,一般是指審計業務的委託人。
3.引言段。內部控制審計報告的引言段説明企業的名稱和內部控制已經過審計。
4.企業對內部控制的責任段。企業對內部控制的責任段説明,按照《企業內部控制基本規範》、《企業內部控制應用指引》、《企業內部控制評價指引》的規定,建立健全和有效實施內部控制,並評價其有效性是企業董事會的責任。
5.註冊會計師的責任段。註冊會計師的責任段説明,在實施審計工作的基礎上,對財務報告內部控制的有效性發表審計意見,並對注意到的非財務報告內部控制的重大缺陷進行披露是註冊會計師的責任。
6.內部控制固有局限性的説明段。內部控制無論如何有效,都只能為企業實現控制目標提供合理保證。內部控制實現目標的可能性受其固有限制的影響,註冊會計師需要在內部控制固有局限性的説明段説明,內部控制具有固有局限性,存在不能防止和發現錯報的可能性。此外,由於情況的變化可能導致內部控制變得不恰當,或對控制政策和程序遵循的程度降低,根據內部控制審計結果推測未來內部控制的有效性具有一定風險。
7.財務報告內部控制審計意見段。如果符合下列所有條件的,註冊會計師應當對財務報告內部控制出具無保留意見的內部控制審計報告:
(1)企業按照《企業內部控制基本規範》、《企業內部控制應用指引》、《企業內部控制評價指引》以及企業自身內部控制制度的要求,在所有重大方面保持了有效的內部控制;
(2)註冊會計師已經按照《企業內部控制審計指引》的要求計劃和實施審計工作,在審計過程中未受到限制。
8.非財務報告內部控制重大缺陷描述段。對於審計過程中注意到的非財務報告內部控制缺陷,如果發現某項或某些控制對企業發展戰略、法規遵循、經營的效率效果等控制目標的實現有重大不利影響,確定該項非財務報告內部控制缺陷為重大缺陷的,應當以書面形式與企業董事會和經理層溝通,提醒企業加以改進;同時在內部控制審計報告中增加非財務報告內部控制重大缺陷描述段,對重大缺陷的性質及其對實現相關控制目標的影響程度進行披露,提示內部控制審計報告使用者注意相關風險,但無需對其發表審計意見。
9.註冊會計師的簽名和蓋章。
10.會計師事務所的名稱、地址及蓋章。
11.報告日期。
如果內部控制審計和財務報表審計整合進行,註冊會計師對內部控制審計報告和財務報表審計報告需要簽署相同的日期。
(二)非標準內部控制審計報告
1.帶強調事項段的非標準內部控制審計報告。註冊會計師認為財務報告內部控制雖不存在重大缺陷,但仍有一項或者多項重大事項需要提請內部控制審計報告使用人注意的,需要在內部控制審計報告中增加強調事項段予以説明。註冊會計師需要在強調事項段中指明,該段內容僅用於提醒內部控制審計報告使用者關注,並不影響對財務報告內部控制發表的審計意見。
2.否定意見的內部控制審計報告。註冊會計師認為財務報告內部控制存在一項或多項重大缺陷的,除非審計範圍受到限制,需要對財務報告內部控制發表否定意見。註冊會計師出具否定意見的內部控制審計報告,還需要包括下列重大缺陷的定義、重大缺陷的性質及其對財務報告內部控制的影響程度。
3.無法表示意見的內部控制審計報告。註冊會計師只有實施了必要的審計程序,才能對內部控制的有效性發表意見。註冊會計師審計範圍受到限制的,需要解除業務約定或出具無法表示意見的內部控制審計報告,並就審計範圍受到限制的情況,以書面形式與董事會進行溝通。
註冊會計師在出具無法表示意見的內部控制審計報告時,需要在內部控制審計報告中指明審計範圍受到限制,無法對內部控制的有效性發表意見,並單設段落説明無法表示意見的實質性理由。註冊會計師不應在內部控制審計報告中指明所執行的程序,也不應描述內部控制審計的特徵,以避免對無法表示意見的誤解。註冊會計師在已執行的有限程序中發現財務報告內部控制存在重大缺陷的,需要在內部控制審計報告中對重大缺陷做出詳細説明。
4.期後事項與非標準內部控制審計報告。在企業內部控制自我評價基準日並不存在、但在該基準日之後至審計報告日之前(以下簡稱期後期間)內部控制可能發生變化,或出現其他可能對內部控制産生重要影響的因素。註冊會計師需要詢問是否存在這類變化或影響因素,並獲取企業關於這些情況的書面聲明。
註冊會計師知悉對企業內部控制自我評價基準日內部控制有效性有重大負面影響的期後事項的,需要對財務報告內部控制發表否定意見。註冊會計師不能確定期後事項對內部控制有效性的影響程度的,需要出具無法表示意見的內部控制審計報告。
在出具內部控制審計報告之後,如果知悉在審計報告日已存在的、可能對審計意見産生影響的情況,註冊會計師需要按照《中國註冊會計師審計準則第1332號——期後事項》的規定辦理。
審計指引第三十四條和第三十五條要求註冊會計師編制內部控制審計工作底稿,完整記錄審計工作情況。
