《企业内部控制审计指引》由会员分享,可在线阅读,更多相关《企业内部控制审计指引(35页珍藏版)》请在金锄头文库上搜索。
1、企业内部控制审计指引第一章总则第一条为了规范注册会计师执行企业内部控制审计业务,明确工作要求,保证执业质量,根据中国注册会计师鉴证业务基本准则及相关执业准则,制定本指引。第二条本指引所称内部控制审计,是指会计师事务所接受委托,对截至特定日期企业内部控制的有效性进行审计,并发表审计意见。本指引中内部控制审计的范围,主要是企业为了合理保证财务报告及相关信息真实完整、资产安全而设计和执行的内部控制。用以合理保证资产安全的内部控制,可能涉及合理保证经营效率和效果、经营管理合法合规的内部控制。注册会计师在内部控制审计或财务报表审计中实施的程序并不是企业内部控制的组成部分。第三条在企业治理层的监督下,按照
2、企业内部控制基本规范和相关规定,设计、实施和维护有效的内部控制,并评价其有效性是企业管理层的责任。按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。内部控制审计不能减轻企业管理层的责任。第四条有效的内部控制能够为财务报告及相关信息真实完整、资产安全提供合理保证。如果存在一项或多项重大缺陷,内部控制应被认定为无效。即使财务报表不存在重大错报,内部控制也可能存在重大缺陷。第五条注册会计师应当计划和实施审计工作,获取充分、适当的证据,为截至特定日期内部控制是否不存在重大缺陷提供合理保证,并作为支持审计意见的基础。第二章整合审计第六条注册会计师应当将内部控制审
3、计与财务报表审计整合进行(以下简称整合审计)。内部控制审计和财务报表审计的目标不同。注册会计师应当计划和实施审计工作,以同时实现两者的目标。第七条在整合审计中,注册会计师应当计划和实施对控制设计和运行有效性的测试,以同时实现下列目标:(一)获取充分、适当的证据,支持其在内部控制审计中对内部控制的有效性发表的意见;(二)获取充分、适当的证据,支持其在财务报表审计中对内部控制的风险评估结果第三章计划审计工作第一节总体要求第八条注册会计师应当恰当地计划内部控制审计工作,并对助理人员进行适当的督导。第九条在计划整合审计工作时,注册会计师应当评价下列事项对财务报表和内部控制是否有重要影响,以及有重要影响
4、的事项将如何影响审计工作:(一)注册会计师执行其他业务时了解的情况;(二)在评价是否接受与保持客户和业务时,注册会计师了解的与企业相关的风险情况;(三)影响企业所处行业的事项,如行业财务报告惯例、经济状况和技术革新;(四)与企业相关的法律法规;(五)与企业经营相关的重要事项,包括组织结构、经营特征和资本结构;(六)经营活动的复杂程度;(七)经营活动或内部控制最近发生变化的程度;(八)注册会计师对重要性、风险以及与确定内部控制重大缺陷相关的其他因素所作的初步判断;九)以前与审计委员会或管理层沟通过的控制缺陷;(十)可获取的、与内部控制有效性相关的证据的类型和范围;(十一)对内部控制有效性的初步判
5、断;(十二)与评价财务报表发生重大错报的可能性和内部控制有效性相关的公开信息。第二节风险评估的作用第十条在内部控制审计中,注册会计师应当以风险评估为基础,确定重要账户、列报及其相关认定,选择拟测试的控制,以及确定针对特定控制所需收集的证据。第十一条内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。注册会计师应当更多地关注高风险领域,而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。第十二条在进行风险评估以及确定审计程序时,注册会计师应当考虑企业组织结构、经营流程或业务单元的复杂程度可能产生的重要影响。第三节调整审计工作第十三条企业组织结构、经营流程及业务单元
6、的规模和复杂程度影响许多控制目标的实现方式。注册会计师应当根据企业具体情况调整审计工作,以获取充分、适当的证据,支持发表的审计意见。第四节应对舞弊风险第十四条在计划和实施内部控制审计工作时,注册会计师应当考虑财务报表审计中对舞弊风险的评估结果。在识别和测试企业层面控制以及选择其他控制进行测试时,注册会计师应当评价企业的控制是否足以应对已识别的、由舞弊导致的重大错报风险,并评价为应对管理层凌驾于控制之上的风险而设计的控制。第十五条在内部控制审计中,如果识别出旨在防止或发现舞弊的控制存在缺陷,注册会计师在财务报表审计中应当按照中国注册会计师审计准则第1141号财务报表审计中对舞弊的考虑的规定,在制
7、定应对重大错报风险的方案时考虑这些缺陷。第五节利用其他相关人员的工作第十六条注册会计师应当评估是否利用他人(包括企业的内部审计人员、其他人员以及在管理层或审计委员会指导下的第三方)的工作以及利用的程度,以减少可能本应由注册会计师执行的工作。如果决定利用内部审计人员的工作,注册会计师应当按照中国注册会计师审计准则第1411号考虑内部审计工作的规定办理第十七条如果拟利用他人的工作,注册会计师应当评价该人员的专业胜任能力和客观性,以确定可利用程度。第十八条在内部控制审计中,注册会计师利用他人工作的程度还受到与被测试控制相关的风险的影响。与某项控制相关的风险越高,可利用他人工作的程度就越低,注册会计师
8、应当越多地亲自对该项控制进行测试。第十九条如果其他注册会计师负责审计企业的一个或多个分部、分支机构、子公司等组成部分的财务报表和内部控制,注册会计师应当按照中国注册会计师审计准则第1401号利用其他注册会计师的工作的规定,确定自己能否担任主审注册会计师,以及是否利用其他注册会计师的工作。第六节确定重要性水平第二十条在计划内部控制审计工作时,注册会计师应当使用与财务报表审计相同的重要性水平。第七节对企业使用服务机构的考虑第二十一条在内部控制审计中,如果服务机构执行企业的交易,并履行受托责任,该服务机构的服务可能影响企业的内部控制。在这种情况下,注册会计师应当按照中国注册会计师审计准则第1212号
9、对被审计单位使用服务机构的考虑的规定办理。第四章实施审计工作第一节总体要求第二十二条管理层实施的内部控制评价应当以控制环境(也称内部环境)为基础,以生产经营活动为重点,并兼顾控制手段。相应地,在内部控制审计中,注册会计师应当以风险评估为基础,运用自上而下的方法,选择拟测试的控制。第二十三条自上而下的方法按照下列思路展开:(一)从财务报表层次初步了解内部控制整体风险;(二)识别企业层面控制;(三)识别重要账户、列报及其相关认定;(四)了解错报的可能来源;(五)选择拟测试的控制。自上而下的方法是注册会计师识别风险、选择拟测试的控制的思路,但并不一定是实施审计工作的顺序。第二节识别企业层面控制第二十
10、四条注册会计师应当测试对评价内部控制有效性有重要影响的企业层面控制。对企业层面控制的评价,可能增加或减少本应对其他控制进行的测试。第二十五条企业层面控制包括:与控制环境相关的控制;(二)针对管理层凌驾于控制之上的风险而设计的控制;(三)企业的风险评估过程;(四)集中化的处理和控制,包括共享的服务环境;(五)监控经营成果的控制;(六)监督其他控制的控制,包括内部审计职能、审计委员会的活动及内部控制自我评价;(七)对期末财务报告流程的控制;(八)针对重大经营控制及风险管理实务而采取的政策。第二十六条控制环境对保持有效的内部控制有重要影响,注册会计师应当评价企业的控制环境。第二十七条期末财务报告流程
11、对内部控制审计和财务报表审计有重要影响,注册会计师应当评价期末财务报告流程。期末财务报告流程包括:(一)将交易总额登入总分类账的程序;二)与会计政策的选择和运用相关的程序;三)总分类账中会计分录的编制、批准等处理程序;(四)对财务报表进行调整的程序;(五)编制财务报表的程序。由于期末财务报告流程通常发生在管理层评价日之后,注册会计师一般只能在该日之后测试相关控制。第三节识别重要账户、列报及其相关认定第二十八条注册会计师应当识别重要账户、列报及其相关认定。如果某账户或列报可能包含了一个错报,该错报单独或连同其他错报将对财务报表产生重大影响(需要同时考虑多报和少报的风险),则该账户或列报为重要账户
12、或列报。判断某账户或列报是否为重要账户或列报,应当依据其固有风险,而不应考虑相关控制的影响。如果某财务报表认定可能包含了一个或多个错报,这个或这些错报将导致财务报表重大错报,则该认定为相关认定。判断某认定是否为相关认定,应当依据其固有风险,而不应考虑相关控制的影响。第二十九条为识别重要账户、列报及其相关认定,注册会计师应当从下列方面评价财务报表项目及附注的错报风险因素:(一)账户的规模和构成;二)易于发生错报的程度;(三)账户或列报中反映的交易的业务量、复杂性及同质性;(四)账户或列报的性质;(五)与账户或列报相关的会计处理及报告的复杂程度;(六)账户发生损失的风险;(七)账户或列报中反映的活
13、动引起重大或有负债的可能性;(八)账户记录中是否涉及关联方交易;(九)账户或列报的特征与前期相比发生的变化。第三十条在识别重要账户、列报及其相关认定时,注册会计师还应当确定对财务报表产生重大影响的潜在错报的可能来源。注册会计师可通过考虑在特定的重要账户或列报中错报可能发生的领域和原因,确定潜在错报的可能来源。第三十一条在内部控制审计中,注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素,与财务报表审计中考虑的因素相同。因此,在这两种审计中识别的重要账户、列报及其相关认定应当相同。在财务报表审计中,注册会计师可能针对非重要账户、列报及其相关认定实施实质性程序。第三十二条如果某潜在重要
14、账户或列报的各组成部分存在的风险差异较大,企业可能采用不同的控制以应对这些风险,注册会计师应当分别处理。第四节了解错报的可能来源第三十三条注册会计师应当执行下列工作,了解潜在错报的可能来源,以选择拟测试的控制:(一)了解与相关认定有关的交易的处理流程,包括这些交易如何生成、批准、处理及记录;(二)验证注册会计师已识别出的、业务流程中可能发生重大错报(尤其是由舞弊导致的错报)的环节;(三)识别管理层用于应对这些潜在错报的控制;(四)识别管理层用于及时防止或发现未经授权的、导致财务报表重大错报的资产取得、使用或处置的控制。第三十四条注册会计师应当了解信息技术如何影响企业的业务流程。注册会计师应当按
15、照中国注册会计师审计准则第1211号了解被审计单位及其环境并评估重大错报风险的规定,考虑信息技术对内部控制及风险评估的影响。第三十五条穿行测试通常是完成本指引第三十三条所规定工作的最有效方式。穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程。在执行穿行测试时,注册会计师使用的文件和信息技术应当与企业员工使用的相同在执行穿行测试时,通常需要综合运用询问适当人员、观察经营活动、检查相关文件及重新执行控制等程序。第三十六条在执行穿行测试时,针对特定交易的重要处理环节,注册会计师可以询问企业员工对规定程序及控制的了解程度。这些试探性提问连同穿行测试中的其他程序,可以帮助注册会计师充分了解业务流程,识别必要控制设计无效或出现缺失的重要环节。第五节选择拟测试的控制第三十七条注册会计师应当评价控制是否足以应对评估的每个相关认定的错报风险,并选择其中对形成评价结论具有重要影响的控制进行测试。第三十八条对特定的相关认定而言,可能有多项控制应对评估的错报风险;反之,一项控制可能应对评估的多个相关认定的错报风险。注册会计师没有必要测试与某个相关认定有关的所有控制。第三十九条在确定是否测试某项控制时,不论该项控制的分类和名称如何,注册会计师应当考虑其单独或连同其他控制,是否足以应对评估的某项相关
