摘 要] 內部控制審計的內容主要是對構成內部控制的各要素進行測試與評價,包括內部控制健全性檢查評價、內部控制符合有效性測試、內部控制合理科學性綜合評價、內部控制實質性測試。內部控制審計的對象主要是控制環境、風險評估、控制活動、信息與溝通和監督等內部控制要素。審計師在進行內部控制審計時,應該應用通用的作業和報告準則,具備足夠的勝任能力,保持應有的職業謹慎,遵循壹定的程序,采用適當的方法,按照審計準備階段、審計實施階段、審計報告形成階段等順序,根據審計和評估的內容不同,分別采用適當的方法予以審計和評估,以確保內部控制審計報告的質量。
[關鍵詞] 內部控制;內部控制審計;穿行性測試;程序及方法
壹、內部控制制度審計的主要內容
(壹)內部控制審計的定義
雖然內部控制審計由來已久,但國內外學術界和審計實踐界對內部控制審計的定義均持有不同的看法,尚未形成統壹的定論。美國上市公司會計監管委員會發布的《PCAOB審計準則第2號——內部控制審計原則》(2004年)、中國註冊會計師協會發布的《獨立審計具體準則第9號——內部控制與審計風險》(1997年)和中國內部審計協會發布的《內部審計具體準則第5號——內部控制審計》(2003年)中均沒有明確對內部控制審計予以定義。
內部控制審計的含義和性質應該采用廣義的概念,即內部控制審計既可以作為獨立的審計項目組織實施,用以完善內部控制,也可以作為實施其他審計項目的壹個程序或方法,以便確定對其依賴程度和進行內部審計的範圍、重點及方法,有效提高審計工作效率和質量。內部控制審計就是對內部控制的健全性、符合性、合理性及有效性的測試和評價。
(二)內部控制審計的對象和內容
內部控制審計的對象主要是控制環境、風險評估、控制活動、信息與溝通和監督等內部控制要素。
內部控制審計的內容是對構成內部控制的各要素進行測試與評價,主要包括:內部控制健全性檢查評價;內部控制符合有效性測試;內部控制合理科學性綜合評價;內部控制實質性測試。
二、內部控制審計的程序與方法
審計師在進行內部控制審計時,應該應用通用的外業和報告準則,具備足夠的勝任能力,保持應有的職業謹慎。遵循壹定的程序,采用適當的方法,以確保內部控制審計報告的質量。通常來說,審計師應按照如下順序,根據審計和評估的內容不同,分別采用適當的方法予以審計和評估。
(壹)審計準備階段
1.計劃審計業務。審計師應對內部控制審計進行適當的計劃和協助,以保證在需要時,進行適當的監督。
2.評估管理層評估的流程。審計師必須獲得對管理層關於公司內部控制有效性評估的過程的了解。主要包括:審計師決定應當對哪些控制實施測試,包括對財務報表中的所有重要會計科目和披露事項的相關認定的控制;評估控制失敗導致錯報的可能性、錯報的程度以及在其他控制有效實施的情形下,實現同樣的控制目標的程度;評估控制設計的有效性;根據評估其實施有效性的程序是否充足,來評估控制實施的有效性;決定內部控制缺陷的程度和導致重要缺陷和實質性漏洞發生的可能性;對審計發現是否合理以及是否支持管理層的評估進行評價。
3.評估管理層的文檔記錄。主要包括對與財務報表重要會計科目和披露事項相關的所有認定進行控制的設計;關於重要交易是如何被初始、授權、記錄、處理和報告的信息;關於交易流向的足夠信息,包括識別可能發生錯誤或舞弊而導致重大錯報的關鍵點;已設計的防止或發現舞弊的控制,包括誰實施控制以及相關的職責劃分;對期末財務報告過程的控制;對資產保護的控制以及管理層進行測試和評估結果。
4.獲得對內部控制的了解。主要通過詢問合適的管理層、監督人員和員工;檢查公司文件;觀察專用控制的應用;通過信息系統追蹤與財務報告相關的交易來了解公司內部控制的各個方面。
5.識別重要會計科目。審計師應首先在財務報表、會計科目或披露事項因素層次確定重要的會計科目和披露事項。決定財務報表內重要的會計科目和披露事項也是決定特殊控制測試的出發點。
6.識別重要的流程和主要的交易類別。審計師應當對每壹類主要的影響重要會計科目或幾組會計科目的交易的重要流程進行識別。主要的交易類型指的是對財務報表產生重要影響的交易類型。
7.理解期末財務報告流程。作為了解和評估期末財務報告流程的壹部分,審計師應當評估:公司使用編制年度和季度財務報表的輸入和輸出方法;期末財務報告過程中使用信息技術的程度;管理層的參與;涉及經營場所的數量;調整分錄的類型(例如,標準、非標準、消除和合並);以及包括管理層、董事會和審計委員會在內的適當的機構對流程進行監管的性質和程度。
(二)審計實施階段
1.實施穿行測試。審計師應當對於第壹交易類型實施至少壹個穿行測試。審計師實施的穿行測試應當涉及對單獨交易的初始、控制權、記錄、處理和報告的整個過程,以及對每個被審計的重要流程所進行的控制,包括旨在發現風險和舞弊的控制。穿行測試可以為審計師提供如下證據:確保審計師對於針對內部控制的五大方面所設計的控制進行識別和了解,包括與防止或發現舞弊相關的控制;確保審計師對於整個流程有所了解,並且根據每個相關的財務報表認定,判斷是否在流程中容易發生錯報的關鍵點都被識別出來;評估控制設計的有效性;和確認控制是否被實施。
2.識別控制以進行測試。審計師應當對與財務報表的所有重要會計科目和披露事項的所有相關認定所進行的控制的有效性獲得足夠的證據。在識別重要會計科目、相關認定和重要流程之後,審計師應當對如下進行評估以識別出可以進行測試的控制:發生錯誤或舞弊的節點;管理層實施控制的性質;為實現控制標準目標而進行的控制的重要性和為實現某壹特定目標,是否需要壹個以上的控制,或者為實現某壹特定目標,補入壹個以上的控制是必要的;以及控制不能有效實施的風險。
3.測試和評估設計、運行效果。當預期所實施的控制將防止或發現會導致財務報表重大錯報的錯誤或舞弊時,內部控制的設計是有效的。審計師應當通過如下標準判斷公司是否實施了達到控制目標的控制:識別公司每壹領域的控制目標;識別滿足每壹目標的控制;判斷如果有效地實施了控制,是否可以防止或發現會導致對財務報表重大錯報的錯誤或舞弊。
審計師應當通過判斷控制是否按計劃實施和實施控制的人員是否獲得了必要的授權和具備有效實施控制的來評估控制實施的有效性。對實施有效性進行控制測試的方式包括詢問適當的人員、檢查相關記錄、觀察公司的運營和重新實施控制措施等方式的結合。
4.形成關於內部控制是否有效的意見。在對內部控制發表意見時,審計師應當對獲得的所有證據進行評估並發表意見,只有在沒有發現實質性漏洞和審計師的工作沒有受到限制的情況下,審計師才可以發表無保留意見。如果存在實質性漏洞,審計師應當對財務報告的內部控制發表否定意見,如果工作範圍受到限制,審計師應當發表保留意見或無法表示意見,視受限制的範圍所定。
5.評估內部控制的缺陷。審計師必須評估已發現的控制缺陷,並且決定這些缺陷單獨或累加之後,是否是重要缺陷或實質性漏洞。對內部控制中缺陷的嚴重性進行評估時應當考慮以下幾個方面:某缺陷或缺陷匯總會導致某會計科目余額或披露事項產生錯報的可能性;某缺陷或多個缺陷造成的潛在錯報的嚴重程度。
(三)審計報告形成階段
1.審計師對管理層報告的評估。關於管理層對其內控有效性評估的報告,審計師應當評估下列事件:管理層對適當的內部控制制度的建立和維護是否已經聲明了它的責任;由管理層用來執行評估的框架是否是適當的;到公司最近財年結束時,管理層內部控制有效性的評估,是否不包含重大的錯報;管理層是否已經用壹種可接受的形式表達了它的評估。
2.報告的修訂。如果存在以下任何壹種情況,審計師就應當修訂標準報告:管理層的評估是不充分的,或管理層報告是不適當的;在公司的內部控制中有某個重要缺陷;在業務約定書的範圍方面的限制;為了自己的報告,審計師決定參閱其他審計師的部分報告作為基礎;自報告日期以來,發生了某個重大的期後事項;在內部控制的管理層報告中包含了其他信息。
3.審計師評估管理層對內部控制披露事項的確認。當內部控制中某壹變化的理由是對某個實質性漏洞的糾正時,管理層就有責任來確定和審計師就應當評估:變化的理由和變化周圍的環境是否重要的信息來充分的確定披露該變化有誤導。
[參 考 文 獻]
[1]董建華.美國SOX法案視角下對我國上市公司內部控制的思考[J].集團經濟研究,2007(22)
[2]朱光.試論內部控制制度審計[J].集團經濟研究,2007(1)
[3]周樹大.試論內部控制審計的性質[J].審計與經濟研究,1999(6)
[4]陳夢.COSO報告對我國審計事業的啟示[J].財會通訊,2001(8)
[5]趙麗芳.開展內部控制審計的相關問題研究[J].內蒙古財經學院學報,2001(4)
[6]劉連香.論我國企業的內部控制[J].集團經濟研究,2007(2)