內部控制審計的具體流程是:計劃審計工作、實施審計工作、評價控制缺陷、完成審計工作4個內容。
內部控制審計的程序:
(壹)計劃審計工作
註冊會計師需恰當地計劃內部控制審計工作,配備具有專業勝任能力的項目組,並對助理人員進行適當的督導。
計劃審計工作時,註冊會計師應當評價有關事項對內部控制及其審計工作的影響:
與企業相關的風險;
相關法律法規和行業概況;
企業組織結構、經營特點和資本結構等相關重要事項;
企業內部控制最近發生變化的程度;
與企業溝通過的內部控制缺陷;
重要性、風險等與確定內部控制重大缺陷相關的因素;
對內部控制有效性的初步判斷;8.可獲取的、與內部控制有效性相關的證據的類型和範圍。
註冊會計師應當充分認識風險評估在計劃審計工作中的作用,以風險評估為基礎,選擇擬測試的控制,確定測試所需收集的證據。內部控制的特定領域存在重大缺陷的風險越高,給予該領域的審計關註應越多。
在進行風險評估以及確定必要的程序時,註冊會計師應當考慮企業組織結構、經營單位或流程的復雜程度可能產生的重要影響和作用。企業組織結構、經營單位或流程的復雜程度可能影響企業實現控制目標的方式。企業的規模和復雜程度也可能影響錯報風險以及應對該風險所需實施的控制。註冊會計師應當根據企業情況調整工作範圍,以獲取充分、適當的證據,支持發表的意見。
註冊會計師應當在計劃審計階段對企業董事會的內部控制評價工作進行評估,判斷是否在內部控制審計工作中利用企業內部審計人員、內部控制評價人員和其他相關人員的工作以及可利用的程度,相應減少可能應由註冊會計師執行的工作。註冊會計師利用企業內部審計人員、內部控制評價人員和其他相關人員的工作,應當對其專業勝任能力和客觀性進行充分評價。壹般而言,與某項控制相關的風險越高,可利用程度就越低,註冊會計師應當更多地對該項控制親自進行測試。需要強調的是,註冊會計師對發表的審計意見獨立承擔責任,其責任不因為利用企業內部審計人員、內部控制評價人員和其它相關人員的工作而減輕。
(二)實施審計工作
註冊會計師按照自上而下的方法實施審計工作,自上而下的方法是註冊會計師識別風險、選擇擬測試控制的基本思路。註冊會計師在實施審計工作時,可以將企業層面控制和業務層面控制的測試結合進行。
測試企業層面控制。
註冊會計師測試企業層面的控制,在把握重要性原則的基礎上,壹般關註:與內部環境相關的控制;針對董事會、經理層淩駕於控制之上的風險而設計的控制;企業的風險評估過程;對內部信息傳遞和財務報告流程的控制;對控制有效性的內部監督和自我評價。
測試業務層面控制。
註冊會計師測試業務層面的控制,在把握重要性原則的基礎上,結合企業實際、內部控制相關法律法規要求和企業層面控制的測試情況,重點對企業生產經營活動中的重要業務與事項的控制進行測試。註冊會計師需關註信息系統對內部控制及風險評估的影響。
測試與舞弊風險相關的控制。
註冊會計師在測試企業層面控制和業務層面控制時,應評價內部控制是否足以應對舞弊風險。舞弊風險因素是指註冊會計師在了解被審計單位及其內部環境時識別的、可能表明存在舞弊動機、壓力或機會的事項或情況,以及被審計單位對可能存在的舞弊行為的合理化解釋。與舞弊風險相關的控制通常包括:針對重大的非常規交易的控制;針對關聯方交易的控制;與管理層的重大會計政策和會計估計相關的控制;針對期末財務報告中編制的分錄和作出的調整的控制;能夠減弱管理層偽造或不恰當操縱財務結果的動機及壓力的控制等。註冊會計師應當根據舞弊風險評估結果,對上述控制實施有針對性的測試。
測試內部控制設計與運行的有效性。如果某項控制由擁有必要授權和專業勝任能力的人員按照規定的程序與要求執行,能夠實現控制目標,表明該項控制的設計是有效的;如果某項控制正在按照設計運行,執行人員擁有必要授權和專業勝任能力,能夠實現控制目標,表明該項控制的運行是有效的。
獲取內部控制有效設計與運行的證據。註冊會計師在測試內部控制設計與運行的有效性時,可綜合運用詢問適當人員、觀察經營活動、檢查相關文件、穿行測試和重新執行等方法,獲取充分、適當的證據以支持審計結論。與內部控制相關的風險越高,註冊會計師需要獲取的證據越多。為確保證據的充分性和適當性,註冊會計師通常需對測試時間安排進行權衡,既要盡量在接近企業內部控制自我評價基準日實施測試,又要保證實施的測試能夠涵蓋足夠長的期間。註冊會計師對於內部控制運行偏離設計的情況(即控制偏差),應確定該偏差對相關風險評估、需要獲取的證據以及控制運行有效性結論的影響。在連續審計中,註冊會計師有必要考慮以前年度執行內部控制審計時了解的情況,以合理確定測試的性質、時間安排和範圍。
(三)評價控制缺陷
註冊會計師在對內部控制設計與運行的有效性進行測試的基礎上,需評價其識別的各項內部控制缺陷的嚴重程度,以確定這些缺陷單獨或組合起來,是否構成重大缺陷並影響其審計結論。在確定壹項內部控制缺陷或多項內部控制缺陷的組合是否構成重大缺陷時,註冊會計師還應評價補償性控制(替代性控制)的影響。
1.財務報告內部控制缺陷。表明企業財務報告內部控制可能存在重大缺陷的跡象,主要包括:
(1)註冊會計師發現董事、監事和高級管理人員舞弊;
(2)企業更正已經公布的財務報表;
(3)註冊會計師發現當期財務報表存在重大錯報,而在內部控制運行過程中未能發現該錯報;
(4)企業審計委員會和內部審計機構對內部控制的監督無效。
2.非財務報告內部控制缺陷。註冊會計師對在審計過程中註意到的非財務報告內部控制缺陷,區別具體情況予以處理:
註冊會計師認為非財務報告內部控制缺陷為壹般缺陷的,應當與企業進行溝通,提醒企業加以改進,但無需在內部控制審計報告中說明。
註冊會計師認為非財務報告內部控制缺陷為重要缺陷的,應當以書面形式與企業董事會和經理層溝通,提醒企業加以改進,但無需在內部控制審計報告中說明。
註冊會計師認為非財務報告內部控制缺陷為重大缺陷的,應當以書面形式與企業董事會和經理層溝通,提醒企業加以改進;同時應當在內部控制審計報告中增加非財務報告內部控制重大缺陷描述段,對重大缺陷的性質及其對實現相關控制目標的影響程度進行披露,提示內部控制審計報告使用者註意相關風險。
(四)完成審計工作
1.取得書面聲明。註冊會計師完成審計工作後,需取得經企業簽署的書面聲明。書面聲明通常包括下列內容:
(1)企業董事會認可其對建立健全和有效實施內部控制負責;
(2)企業已對內部控制的有效性作出自我評價,並說明評價時采用的標準以及得出的結論;
(3)企業沒有利用註冊會計師執行的審計程序及其結果作為自我評價的基礎;
(4)企業已向註冊會計師說明識別出的所有內部控制缺陷,並單獨說明其中的重大缺陷和重要缺陷;
(5)企業對於註冊會計師在以前年度審計中識別的重大缺陷和重要缺陷,是否已經采取措施予以解決;
(6)企業在內部控制自我評價基準日後,內部控制是否發生重大變化,或者產生對內部控制具有重要影響的其他因素。
企業如果拒絕提供或以其他不當理由回避書面聲明,註冊會計師應將其視為審計範圍受到限制,解除業務約定或出具無法表示意見的內部控制審計報告。
2.溝通控制缺陷。註冊會計師應與企業溝通審計過程中識別的所有控制缺陷,重大缺陷和重要缺陷須以書面形式與董事會和經理層溝通。註冊會計師認為企業審計委員會和內部審計機構對內部控制監督無效的,應以書面形式直接與董事會和經理層溝通。書面溝通需在註冊會計師出具內部控制審計報告之前進行。
3.形成審計意見。註冊會計師對獲取的證據進行評價,形成對內部控制有效性的意見,出具審計報告。