財政部會計司及中注協(xié)解讀《企業(yè)內部控制審計指引》

21財政部會計司及中注協(xié)解讀企業(yè)內部控制審計指引實施企業(yè)內部控制注冊會計師審計，是促進企業(yè)尤其是上市公司扎實貫徹企業(yè)內部控制基本規(guī)范和企業(yè)內部控制配套指引的重要制度安排，是注冊會計師行業(yè)開拓執(zhí)業(yè)領域、進一步做大做強新的增長點。為了規(guī)范注冊會計師內部控制審計業(yè)務，明確工作要求，保證執(zhí)業(yè)質量，根據(jù)企業(yè)內部控制基本規(guī)范、中國注冊會計師鑒證業(yè)務基本準則及相關執(zhí)業(yè)準則，財政部制定了企業(yè)內部控制審計指引（以下簡稱審計指引）。財政部等五部委制定的企業(yè)內部控制基本規(guī)范和企業(yè)內部控制應用指引是注冊會計師衡量企業(yè)內部控制是否有效的基礎標準。注冊會計師在執(zhí)行內部控制審計時，除遵守審計指引外，還應當遵守中國注冊會計師相關執(zhí)業(yè)準則。 審計指引共7章35條，并附有4份不同意見類型的內部控制審計報告，闡明了什么是內部控制審計、如何執(zhí)行內部控制審計工作等問題。本文對審計指引的幾個重點問題進行解讀。 一、內部控制審計概述 （一）實施內部控制審計的必要性 內部控制作為企業(yè)的一項重要管理活動，主要試圖解決三方面的基本問題，即財務報告及相關信息的可靠性、資產(chǎn)的安全完整以及對法律法規(guī)的遵循；與此同時，促進提高經(jīng)營的效率效果，并促進實現(xiàn)企業(yè)的發(fā)展戰(zhàn)略。安然、世通等一系列公司財務報表舞弊事件發(fā)生后，人們認識到健全有效的內部控制對預防此類事件的發(fā)生至關重要。各國政府監(jiān)管機構、企業(yè)界和會計職業(yè)界對內部控制的重視程度也進一步提升，從注重財務報告本身可靠性轉向注重對保證財務報告可靠性機制的建設，也就是通過過程的有效保證結果的有效。資本市場上的投資者甚至社會公眾要求企業(yè)披露其與內部控制相關的信息，并要求經(jīng)過注冊會計師審計以增強信息的可靠性。 但是，在財務報表審計中，只有在以下兩種情況下才強制要求對內部控制進行測試：在評估認定層次重大錯報風險時，預期控制的運行是有效的（即在確定實質性程序的性質、時間安排和范圍時，注冊會計師擬信賴控制運行的有效性）；或者僅實施實質性程序并不能夠提供認定層次充分、適當?shù)膶徲嬜C據(jù)。可見，注冊會計師對內部控制的了解和測試不足以對內部控制發(fā)表意見，難以滿足信息使用者的需求。因此，內部控制審計逐漸發(fā)展起來，很多國家要求注冊會計師對內部控制設計和運行的有效性進行審計或鑒證。例如，美國薩班斯奧克斯利法案404條款和日本金融商品交易法要求審計師對企業(yè)管理層對財務報告內部控制的評價進行審計；我國企業(yè)內部控制基本規(guī)范要求會計師事務所對企業(yè)內部控制的有效性進行審計，出具審計報告，并專門制定企業(yè)內部控制審計指引規(guī)范內部控制審計工作。 （二）各國對內部控制審計的要求 1.其他國家對內部控制審計的要求。我們對內部控制審計進行了國際比較研究，選擇了在內部控制規(guī)范制定領域一直走在世界前沿的幾個國家和地區(qū)，包括美國、日本、歐盟、加拿大和英國，對上述各國及地區(qū)出臺的內控審計標準進行了比較研究。研究結論表明: （1）美國和日本均以法案形式強制要求對企業(yè)財務報告內部控制進行審計；歐盟、加拿大、英國未強制要求進行內控審計，但英國等國的上市規(guī)則要求審計師對管理層作出的內部控制聲明進行形式上的審閱。 （2）強制要求進行內部控制審計的國家，如美國和日本，內部控制審計與年度財務報表審計整合進行。其中美國要求由同一家會計師事務所將內部控制審計與財務報表審計整合進行，而日本則不僅如此，要求同一個審計師從計劃審計工作、實施審計程序獲取審計證據(jù)、評價審計證據(jù)的充分性和適當性，直到發(fā)表審計意見的整個過程中，將兩種審計作為一個整體進行。 2.我國對內部控制審計的要求。企業(yè)內部控制基本規(guī)范及配套指引的發(fā)布，要求執(zhí)行企業(yè)內控規(guī)范體系的企業(yè)，必須對本企業(yè)內部控制的有效性進行自我評價，披露年度自我評價報告，同時聘請具有證券期貨業(yè)務資格的會計師事務所對其財務報告內部控制的有效性進行審計，出具審計報告。注冊會計師在內部控制審計過程中注意到的企業(yè)非財務報告內部控制的重大缺陷，應當提示投資者、債權人和其他利益相關者關注。 這意味著，企業(yè)內部控制審計業(yè)務由原來的一次性業(yè)務或面向少數(shù)企業(yè)的業(yè)務（A股企業(yè)原先僅在IPO時需要，或者赴美國和日本等地上市企業(yè)需要，或者金融證券等高風險行業(yè)需要），變成了與財務報表審計一樣的經(jīng)常性業(yè)務，每年需執(zhí)行一次。 對于執(zhí)行內部控制審計的會計師事務所來講，對公司上市前要進行內部控制審計，上市后也要進行內部控制審計。 （三）內部控制審計的定義 內部控制審計，是指會計師事務所接受委托，對特定基準日內部控制設計與運行的有效性進行審計。 1企業(yè)內部控制審計基于特定基準日。注冊會計師基于基準日（如年末12月31日）內部控制的有效性發(fā)表意見，而不是對財務報表涵蓋的整個期間（如一年）的內部控制的有效性發(fā)表意見。但這并不意味著注冊會計師只關注企業(yè)基準日當天的內部控制，而是要考察企業(yè)一個時期內（足夠長的一段時間）內部控制的設計和運行情況。例如，注冊會計師可能在5月份對企業(yè)的內部控制進行測試，發(fā)現(xiàn)問題后提請企業(yè)進行整改，如6月份整改，企業(yè)的內部控制在整改后要運行一段時間（如至少一個月），8月份注冊會計師再對整改后的內部控制進行測試。因此，雖然是對企業(yè)12月31日（基準日）內部控制的設計和運行發(fā)表意見，但這里的基準日不是一個簡單的時點概念，而是體現(xiàn)內部控制這個過程向前的延續(xù)性。注冊會計師所采用的內部控制審計的程序和方法，也體現(xiàn)了這種延續(xù)性。 2財務報告內部控制與非財務報告內部控制。審計指引第四條第二款規(guī)定，注冊會計師應當對財務報告內部控制的有效性發(fā)表審計意見，并對內部控制審計過程中注意到的非財務報告內部控制的重大缺陷，在內部控制審計報告中增加“非財務報告內部控制重大缺陷描述段”予以披露。 財務報告內部控制，是指企業(yè)為了合理保證財務報告及相關信息真實完整而設計和運行的內部控制，以及用于保護資產(chǎn)安全的內部控制中與財務報告可靠性目標相關的控制。主要包括下列方面的政策和程序： （1）保存充分、適當?shù)挠涗?，準確、公允地反映企業(yè)的交易和事項； （2）合理保證按照企業(yè)會計準則的規(guī)定編制財務報表； （3）合理保證收入和支出的發(fā)生以及資產(chǎn)的取得、使用或處置經(jīng)過適當授權； （4）合理保證及時防止或發(fā)現(xiàn)并糾正未經(jīng)授權的、對財務報表有重大影響的交易和事項。 非財務報告內部控制，是指除財務報告內部控制之外的其他控制，通常是指為了合理保證經(jīng)營的效率效果、遵守法律法規(guī)、實現(xiàn)發(fā)展戰(zhàn)略而設計和運行的控制，以及用于保護資產(chǎn)安全的內部控制中與財務報告可靠性目標無關的控制。 3企業(yè)內控責任與注冊會計師審計責任的關系。審計指引第三條規(guī)定，建立健全和有效實施內部控制，評價內部控制的有效性是企業(yè)董事會的責任。按照本指引的要求，在實施審計工作的基礎上對內部控制的有效性發(fā)表審計意見，是注冊會計師的責任。 兩者之間的關系和會計責任與審計責任的區(qū)分保持一致，即：建立健全和有效實施內部控制是企業(yè)董事會（或類似決策機構，下同）的責任；按照企業(yè)內部控制審計指引的要求，在實施審計工作的基礎上對企業(yè)內部控制的有效性發(fā)表審計意見，是注冊會計師的責任。換言之，內控本身有效與否是企業(yè)的內控責任，是否遵循審計指引開展內控審計并發(fā)表恰當?shù)膶徲嬕庖娛亲詴嫀煹膶徲嬝熑巍Ｒ虼?，注冊會計師在實施內控審計之前，應當在業(yè)務約定書中明確雙方的責任；在發(fā)表內控審計意見之前，應當取得經(jīng)企業(yè)簽署的內控書面聲明。 （四）整合審計 審計指引第五條規(guī)定，注冊會計師可以單獨進行內部控制審計，也可以將內部控制審計與財務報表審計整合進行（以下簡稱整合審計）。 理解這一規(guī)定，要明確兩點，一是內部控制審計與財務報表審計是兩種不同的審計業(yè)務，兩種審計的目標不同；二是內部控制審計與財務報表審計可以整合起來進行。 1內部控制審計與財務報表審計的異同。內部控制審計要求對企業(yè)控制設計和運行的有效性進行測試，財務報表審計中，也要求了解企業(yè)的內部控制，并在需要時測試控制，這是兩種審計的相同之處，也是整合審計中應整合的部分，但由于兩種審計的目標不同，審計指引要求在整合審計中，注冊會計師對內部控制設計與運行的有效性進行測試，要同時實現(xiàn)兩個目的： （1）獲取充分、適當?shù)淖C據(jù)，支持在內部控制審計中對內部控制有效性發(fā)表的意見； （2）獲取充分、適當?shù)淖C據(jù)，支持在財務報表審計中對控制風險的評估結果。 2兩種審計的整合。財務報告內部控制審計與財務報表審計通常使用相同的重要性（或重要性水平），在實務中兩者很難分開。因為注冊會計師在審計財務報表時需獲得的信息在很大程度上依賴注冊會計師對內部控制有效性得出的結論。注冊會計師可以利用在一種審計中獲得的結果為另一種審計中的判斷和擬實施的程序提供信息。 實施財務報表審計時，注冊會計師可以利用內部控制審計的結果來修改實質性程序的性質、時間安排和范圍，并且可以利用該結果來支持分析程序中所使用的信息的完整性和準確性。在確定實質性程序的性質、時間安排和范圍時，注冊會計師需要慎重考慮識別出的控制缺陷。 實施內部控制審計時，注冊會計師需要評估財務報表審計時實質性程序中發(fā)現(xiàn)問題的影響。最重要的是，注冊會計師需要重點考慮財務報表審計中發(fā)現(xiàn)的財務報表錯報，考慮這些錯報對評價內控有效性的影響。 二、計劃審計工作 （一）總體要求 審計指引第六條指出，注冊會計師應當恰當?shù)赜媱潈炔靠刂茖徲嫻ぷ?，配備具有專業(yè)勝任能力的項目組，并對助理人員進行適當?shù)亩綄А?整合審計中項目組人員的配備比較關鍵。在計劃審計工作時，項目合伙人需要統(tǒng)籌考慮審計工作，挑選相關領域的人員組成項目組，同時對項目組成員進行培訓和督導，以合理安排審計工作。 在計劃整合審計工作時，注冊會計師需要評價下列事項對財務報表和內部控制是否有重要影響，以及有重要影響的事項將如何影響審計工作： 1與企業(yè)相關的風險，包括在評價是否接受與保持客戶和業(yè)務時，注冊會計師了解的與企業(yè)相關的風險情況以及在執(zhí)行其他業(yè)務時了解的情況； 2相關法律法規(guī)和行業(yè)概況； 3企業(yè)組織結構、經(jīng)營特點和資本結構等相關重要事項； 4企業(yè)內部控制最近發(fā)生變化的程度； 5與企業(yè)溝通過的內部控制缺陷； 6重要性、風險等與確定內部控制重大缺陷相關的因素； 7對內部控制有效性的初步判斷； 8可獲取的、與內部控制有效性相關的證據(jù)的類型和范圍。 此外，注冊會計師還需要關注與評價財務報表發(fā)生重大錯報的可能性和內部控制有效性相關的公開信息，以及企業(yè)經(jīng)營活動的相對復雜程度。 （二）重視風險評估的作用 按照審計指引第八條規(guī)定，在內部控制審計中，注冊會計師應當以風險評估為基礎，確定重要賬戶、列報及其相關認定，選擇擬測試的控制，以及確定針對所選定控制所需收集的證據(jù)。 風險評估的理念及思路應當貫穿于整合審計過程的始終。實施風險評估時，可以考慮固有風險及控制風險。在計劃審計工作階段，對內部控制的固有風險進行評估，作為編制審計計劃的依據(jù)之一；根據(jù)對控制風險評估的結果，調整計劃階段對固有風險的判斷，這是個持續(xù)的過程。 內部控制的特定領域存在重大缺陷的風險越高，給予該領域的審計關注就越多。內部控制不能防止或發(fā)現(xiàn)并糾正由于舞弊導致的錯報風險，通常高于其不能防止或發(fā)現(xiàn)并糾正由錯誤導致的錯報風險。注冊會計師應當更多地關注高風險領域，而沒有必要測試那些即使有缺陷、也不可能導致財務報表重大錯報的控制。 在進行風險評估以及確定審計程序時，企業(yè)的組織結構、業(yè)務流程或業(yè)務單元的復雜程度可能產(chǎn)生的重要影響均是注冊會計師需要考慮的因素。 （三）利用其他相關人員的工作 在計劃審計工作時，注冊會計師需要評估是否利用他人（包括企業(yè)的內部審計人員、內部控制評價人員、其他人員以及在董事會及其審計委員會指導下的第三方）的工作以及利用的程度，以減少可能本應由注冊會計師執(zhí)行的工作。 如果決定利用內部審計人員的工作，注冊會計師應當按照中國注冊會計師審計準則第1411號利用內部審計人員的工作的規(guī)定辦理。 如果擬利用他人的工作，注冊會計師則需要評價該人員的專業(yè)勝任能力和客觀性。專業(yè)勝任能力即具備某種專業(yè)技能、知識或經(jīng)驗，有能力完成分派的任務；客觀性則是公正、誠實地執(zhí)行任務的能力。專業(yè)勝任能力和客觀性越高，可利用程度就越高，注冊會計師就可以越多地利用其工作。當然，無論人員的專業(yè)勝任能力如何，注冊會計師都不應利用那些客觀程度較低的人員的工作。同樣地，無論人員的客觀程度如何，注冊會計師都不應利用那些專業(yè)勝任能力較低的人員的工作。通常認為，企業(yè)的內部審計人員擁有更高的專業(yè)勝任能力和客觀性，注冊會計師可以考慮更多地利用這些人員的相關工作。 在內部控制審計中，注冊會計師利用他人工作的程度還受到與被測試控制相關的風險的影響。與某項控制相關的風險越高，可利用他人工作的程度就越低，注冊會計師就需要更多地對該項控制親自進行測試。 如果其他注冊會計師負責審計企業(yè)的一個或多個分部、分支機構、子公司等組成部分的財務報表和內部控制，注冊會計師應當按照中國注冊會計師審計準則第1401號對集團財務報表審計的特殊考慮的規(guī)定，確定是否利用其他注冊會計師的工作。 三、實施審計工作 （一）自上而下的方法 審計指引第十條規(guī)定，注冊會計師應當按照自上而下的方法實施審計工作。自上而下的方法是注冊會計師識別風險、選擇擬測試控制的基本思路。 自上而下的方法按照下列思路展開： 1從財務報表層次初步了解內部控制整體風險； 2識別企業(yè)層面控制； 3識別重要賬戶、列報及其相關認定； 4了解錯報的可能來源； 5選擇擬測試的控制。 在財務報告內控審計中，自上而下的方法始于財務報表層次，以注冊會計師對財務報告內部控制整體風險的了解開始，然后，注冊會計師將關注重點放在企業(yè)層面的控制上，并將工作逐漸下移至重大賬戶、列報及相關的認定。這種方法引導注冊會計師將注意力放在顯示有可能導致財務報表及相關列報發(fā)生重大錯報的賬戶、列報及認定上。之后，注冊會計師驗證其了解到的業(yè)務流程中存在的風險，并就已評估的每個相關認定的錯報風險，選擇足以應對這些風險的業(yè)務層面控制進行測試。在非財務報告內控審計中，自上而下的方法始于企業(yè)層面控制，并將審計測試工作逐步下移到業(yè)務層面控制。 自上而下的方法描述了注冊會計師在識別風險以及擬測試的控制時的連續(xù)思維過程，但并不一定是注冊會計師執(zhí)行審計程序的順序。 （二）識別企業(yè)層面控制 從財務報表層次初步了解財務報告內部控制整體風險是自上而下方法的第一步。通過了解企業(yè)與財務報告相關的整體風險，注冊會計師首先可以識別出為保持有效的財務報告內部控制而必需的企業(yè)層面內部控制。此外，由于對企業(yè)層面內部控制的評價結果將影響注冊會計師測試其他控制的性質、時間安排和范圍，因此，注冊會計師可以考慮在執(zhí)行業(yè)務的早期階段對企業(yè)層面內部控制進行評價。 1.評價企業(yè)層面控制的精確度。不同的企業(yè)層面控制在性質和精確度上存在著差異，這些差異可能對其他控制及其測試產(chǎn)生影響。 （1）某些企業(yè)層面控制，如企業(yè)經(jīng)營理念、管理層的管理風格等與控制環(huán)境相關的控制，對及時防止或發(fā)現(xiàn)并糾正相關認定的錯報的可能性有重要影響。雖然這種影響是間接的，但這些控制仍然可能影響注冊會計師擬測試的其他控制，以及測試程序的性質、時間安排和范圍。 （2）某些企業(yè)層面控制旨在識別其他控制可能出現(xiàn)的失效情況，能夠監(jiān)督其他控制的有效性，但還不足以精確到及時防止或發(fā)現(xiàn)并糾正相關認定的錯報。當這些控制運行有效時，注冊會計師可以減少對其他控制的測試。 （3）某些企業(yè)層面控制本身能夠精確到足以及時防止或發(fā)現(xiàn)并糾正相關認定的錯報。如果一項企業(yè)層面控制足以應對已評估的錯報風險，注冊會計師就不必測試與該風險相關的其他控制。 2.企業(yè)層面控制的內容 （1）與內部環(huán)境相關的控制。內部環(huán)境，即控制環(huán)境，包括治理職能和管理職能，以及治理層和管理層對內部控制及其重要性的態(tài)度、認識和措施。良好的控制環(huán)境是實施有效內部控制的基礎。 （2）針對管理層（董事會、經(jīng)理層）凌駕于控制之上的風險而設計的控制。該控制對所有企業(yè)保持有效的內部控制都有重要影響。注冊會計師可以根據(jù)對企業(yè)舞弊風險的評估作出判斷，選擇相關的企業(yè)層面控制進行測試，并評價這些控制能否有效應對管理層凌駕于控制之上的風險。 （3）企業(yè)的風險評估過程。風險評估過程包括識別與財務報告相關的經(jīng)營風險和其他經(jīng)營管理風險，以及針對這些風險采取的措施。首先，企業(yè)的內部控制能夠充分識別企業(yè)外部環(huán)境（如在經(jīng)濟、政治、法律法規(guī)、競爭者行為、債權人需求、技術變革等方面）存在的風險；其次，充分且適當?shù)娘L險評估過程需要包括對重大風險的估計、對風險發(fā)生可能性的評估以及確定應對風險的方法。注冊會計師可以首先了解企業(yè)及其內部環(huán)境的其他方面信息，以初步了解企業(yè)的風險評估過程。 （4）對內部信息傳遞和財務報告流程的控制。財務報告流程的控制可以確保管理層按照適當?shù)臅嫓蕜t編制合理、可靠的財務報告并對外報告。 （5）對控制有效性的內部監(jiān)督和自我評價。企業(yè)對控制有效性的內部監(jiān)督和自我評價可以在企業(yè)層面上實施，也可以在業(yè)務流程層面上實施，包括：對運行報告的復核和核對、與外部人士的溝通、對其他未參與控制執(zhí)行人員的監(jiān)控活動，以及將信息系統(tǒng)記錄數(shù)據(jù)與實物資產(chǎn)進行核對等。 此外，企業(yè)層面控制還包括：集中化的處理和控制，包括共享的服務環(huán)境；監(jiān)控經(jīng)營成果的控制；針對重大經(jīng)營控制以及風險管理實務而采取的政策。 （三）測試控制設計和運行的有效性 審計指引第十四條規(guī)定，注冊會計師應當測試內部控制設計與運行的有效性。如果某項控制由擁有必要授權和專業(yè)勝任能力的人員按照規(guī)定的程序與要求執(zhí)行，能夠實現(xiàn)控制目標，表明該項控制的設計是有效的。如果某項控制正在按照設計運行，執(zhí)行人員擁有必要授權和專業(yè)勝任能力，能夠實現(xiàn)控制目標，表明該項控制的運行是有效的。 設計不當?shù)目刂瓶赡鼙砻骺刂拼嬖谌毕萆踔林卮笕毕?，注冊會計師在測試控制運行的有效性時，首先要考慮控制的設計。注冊會計師在測試控制設計與運行的有效性時，應當綜合運用詢問適當人員、觀察經(jīng)營活動、檢查相關文件、穿行測試和重新執(zhí)行等方法。注冊會計師測試控制有效性實施的程序，按提供證據(jù)的效力，由弱到強排序為：詢問、觀察、檢查和重新執(zhí)行。其中詢問本身并不能為得出控制是否有效的結論提供充分、適當?shù)淖C據(jù)。執(zhí)行穿行測試通常足以評價控制設計的有效性。 （四）與控制相關的風險與擬獲取證據(jù)的關系 在測試所選定控制的有效性時，注冊會計師需要根據(jù)與控制相關的風險，確定所需獲取的證據(jù)。與控制相關的風險包括控制可能無效的風險和因控制無效而導致重大缺陷的風險。與控制相關的風險越高，注冊會計師需要獲取的證據(jù)就越多。 與某項控制相關的風險受下列因素的影響： （1）該項控制擬防止或發(fā)現(xiàn)并糾正的錯報的性質和重要程度； （2）相關賬戶、列報及其認定的固有風險； （3）相關賬戶或列報是否曾經(jīng)出現(xiàn)錯報； （4）交易的數(shù)量和性質是否發(fā)生變化，進而可能對該項控制設計或運行的有效性產(chǎn)生不利影響； （5）企業(yè)層面控制（特別是對控制有效性的內部監(jiān)督和自我評價）的有效性； （6）該項控制的性質及其執(zhí)行頻率； （7）該項控制對其他控制（如內部環(huán)境或信息技術一般控制）有效性的依賴程度； （8）該項控制的執(zhí)行或監(jiān)督人員的專業(yè)勝任能力，以及其中的關鍵人員是否發(fā)生變化； （9）該項控制是人工控制還是自動化控制； （10）該項控制的復雜程度，以及在運行過程中依賴判斷的程度。 針對每一相關認定，注冊會計師都需要獲取控制有效性的證據(jù)，以便對內部控制整體的有效性單獨發(fā)表意見，但注冊會計師沒有責任對單項控制的有效性發(fā)表意見。 對于控制運行偏離設計的情況（即控制偏差），注冊會計師需要考慮該偏差對相關風險評估、需要獲取的證據(jù)以及控制運行有效性結論的影響。 注冊會計師通過測試控制有效性獲取的證據(jù)，取決于實施程序的性質、時間安排和范圍的組合。就單項控制而言，注冊會計師應當根據(jù)與該項控制相關的風險，適當確定實施程序的性質、時間安排和范圍，以獲取充分、適當?shù)淖C據(jù)。 測試控制有效性實施的程序，其性質在很大程度上取決于擬測試控制的性質。某些控制可能存在文件記錄，反映其運行的有效性，而另外一些控制，如管理理念和經(jīng)營風格，可能沒有書面的運行證據(jù)。對缺乏正式運行證據(jù)的企業(yè)或企業(yè)的某個業(yè)務單元，注冊會計師可以通過詢問并結合運用觀察活動、檢查非正式的書面記錄和重新執(zhí)行某些控制等程序，獲取有關控制有效性的充分、適當?shù)淖C據(jù)。 對控制有效性的測試涵蓋的期間越長，提供的控制有效性的證據(jù)越多。注冊會計師需要獲取內部控制在企業(yè)內部控制自我評價基準日前足夠長的期間內有效運行的證據(jù)。對控制有效性的測試實施的時間安排越接近企業(yè)內部控制自我評價基準日，提供的控制有效性的證據(jù)越有力。因此，審計指引第十七條規(guī)定，注冊會計師在確定測試的時間安排時，應當在下列兩個因素之間作出平衡，以獲取充分、適當?shù)淖C據(jù)： （1）盡量在接近企業(yè)內部控制自我評價基準日實施測試； （2）實施的測試需要涵蓋足夠長的期間。 在企業(yè)內部控制自我評價基準日之前，管理層可能為提高控制效率、效果或彌補控制缺陷而改變企業(yè)的控制。如果新控制實現(xiàn)了相關控制目標，運行足夠長的時間，且注冊會計師能夠測試并評價該項控制設計和運行的有效性，則無需測試被取代的控制。如果被取代控制設計和運行的有效性對控制風險的評估有重大影響，注冊會計師則需要測試該項控制的有效性。 注冊會計師執(zhí)行內部控制審計業(yè)務通常旨在對企業(yè)內部控制自我評價基準日（通常為年末）內部控制的有效性發(fā)表意見。如果已獲取有關控制在期中運行有效性的證據(jù)，注冊會計師應當確定還需要獲取哪些補充證據(jù)，以證實在剩余期間控制的運行情況。在將期中測試的結果更新至年末時，注冊會計師需要考慮下列因素，以確定需獲取的補充證據(jù)： （1）期中測試的特定控制的有關情況，包括與控制相關的風險、控制的性質和測試的結果； （2）期中獲取的有關證據(jù)的充分性、適當性； （3）剩余期間的長短； （4）期中測試之后，內部控制發(fā)生重大變化的可能性及其變化情況。 （五）連續(xù)審計時的特殊考慮 在連續(xù)審計中，注冊會計師在確定測試的性質、時間安排和范圍時，還需要考慮以前年度執(zhí)行內部控制審計時了解的情況。 影響連續(xù)審計中與某項控制相關的風險的因素除第（四）部分“風險與擬獲取證據(jù)的關系”中所列的10項因素外，還包括： （1）以前年度審計中所實施程序的性質、時間安排和范圍； （2）以前年度對控制的測試結果； （3）上次審計之后，控制或其運行流程是否發(fā)生變化，尤其是考慮IT環(huán)境的變化。 在考慮上述所列的風險因素以及連續(xù)審計中可獲取的進一步信息之后，只有當認為與控制相關的風險水平比以前年度有所下降時，注冊會計師在本年度審計中才可以減少測試。 為保證控制測試的有效性，使測試具有不可預見性，并能應對環(huán)境的變化，注冊會計師需要每年改變控制測試的性質、時間安排和范圍。每年在期中不同的時段測試控制，并增加或減少所執(zhí)行測試的數(shù)量和種類，或者改變所使用測試程序的組合等。 四、評價控制缺陷 （一）評價控制缺陷的總體要求 如果某項控制的設計、實施或運行不能及時防止或發(fā)現(xiàn)并糾正財務報表錯報，則表明內部控制存在缺陷。如果企業(yè)缺少用以及時防止或發(fā)現(xiàn)并糾正財務報表錯報的必要控制，同樣表明存在內部控制缺陷。 內部控制缺陷包括設計缺陷和運行缺陷。設計缺陷是指缺少為實現(xiàn)控制目標所必需的控制，或者現(xiàn)有控制設計不適當，即使正常運行也難以實現(xiàn)控制目標。運行缺陷是指設計適當?shù)目刂茮]有按設計意圖運行，或者執(zhí)行人員缺乏必要授權或專業(yè)勝任能力，無法有效實施控制。 內部控制存在的缺陷，按嚴重程度分為重大缺陷、重要缺陷和一般缺陷。 重大缺陷，是指一個或多個控制缺陷的組合，可能導致企業(yè)嚴重偏離控制目標。具體到財務報告內部控制上，就是內部控制中存在的、可能導致不能及時防止或發(fā)現(xiàn)并糾正財務報表重大錯報的一個或多個控制缺陷的組合。 重要缺陷，是指一個或多個控制缺陷的組合，其嚴重程度和經(jīng)濟后果低于重大缺陷，但仍有可能導致企業(yè)偏離控制目標。具體就是內部控制中存在的、其嚴重程度不如重大缺陷、但足以引起企業(yè)財務報告監(jiān)督人員關注的一個或多個控制缺陷的組合。 一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。 注冊會計師需要評價其注意到的各項控制缺陷的嚴重程度，以確定這些缺陷單獨或組合起來，是否構成重大缺陷。但是，在計劃和實施審計工作時，不要求注冊會計師尋找單獨或組合起來不構成重大缺陷的控制缺陷。 下列跡象可能表明企業(yè)的內部控制存在重大缺陷： （1）注冊會計師發(fā)現(xiàn)董事、監(jiān)事和高級管理人員舞弊； （2）企業(yè)更正已經(jīng)公布的財務報表； （3）注冊會計師發(fā)現(xiàn)當期財務報表存在重大錯報，而內部控制在運行過程中未能發(fā)現(xiàn)該錯報； （4）企業(yè)審計委員會和內部審計機構對內部控制的監(jiān)督無效。 財務報告內部控制控制缺陷的嚴重程度取決于： （1）控制缺陷導致賬戶余額或列報錯報的可能性； （2）因一個或多個控制缺陷的組合導致潛在錯報的金額大小。 控制缺陷的嚴重程度與賬戶余額或列報是否發(fā)生錯報無必然對應關系，而取決于控制缺陷是否可能導致錯報。評價控制缺陷時，注冊會計師需要根據(jù)財務報表審計中確定的重要性水平，支持對財務報告控制缺陷重要性的評價。注冊會計師需要運用職業(yè)判斷，考慮并衡量定量和定性因素。同時要對整個思考判斷過程進行記錄，尤其是詳細記錄關鍵判斷和得出結論的理由。而且，對于“可能性”和“重大錯報”的判斷，在評價控制缺陷嚴重性的記錄中，注冊會計師需要給予明確地考量和陳述。 （二）評價控制缺陷舉例 1單個控制缺陷的識別。下面以未按時進行公司間對賬為例,舉例說明如何評價財務報告內部控制的控制缺陷。 例如，某公司每月處理大量的公司間常規(guī)交易。公司間的單項交易并不重大，主要是涉及資產(chǎn)負債表的活動。公司制度要求逐月進行公司間對賬，并在業(yè)務單元間函證余額。注冊會計師了解到，目前公司沒有按時開展對賬工作，但公司管理層每月執(zhí)行相應的程序對挑選出的大額公司間賬目進行調查，并編制詳細的營業(yè)費用差異分析表來評估其合理性。 基于上述情況，注冊會計師可以確定此控制缺陷為重要缺陷。因為，由于該控制缺陷引起的財務報表錯報可以被合理地預計為介于重要和重大之間，由于公司間單項交易并不重大，這些交易限于資產(chǎn)負債表科目，而且每月執(zhí)行的補償性控制應該能夠發(fā)現(xiàn)重大錯報。 仍用上例，如果公司每月處理的大量公司間交易涉及廣泛的業(yè)務活動，包括涉及公司間利潤的存貨轉移，研究開發(fā)成本向業(yè)務單元的分攤，公司間單項交易常常是重大的。公司制度要求逐月進行公司間對賬，并在業(yè)務單元間函證余額。注冊會計師了解到，目前公司沒有按時開展對賬工作，這些賬目經(jīng)常出現(xiàn)重大差異。而且，公司管理層沒有執(zhí)行任何補償性控制來調查重大的公司間賬目差異。 基于上述情況，注冊會計師可以確定此控制缺陷為重大缺陷。因為，由于該控制缺陷引起的財務報表錯報可以被合理地預計為是重大的，由于公司間單項交易常常是重大的，而且涉及大范圍活動。另外，在公司間賬目上尚未對賬的差異是重要的，由于這種錯報常常發(fā)生，財務報表錯報可能出現(xiàn)，而且補償性控制無效。 2多個控制缺陷的識別示例 例如，注冊會計師識別出以下控制缺陷： （1）對特定信息系統(tǒng)訪問控制的權限分配不當； （2）存在若干明細賬不合理交易記錄（交易無論單個還是合計都是不重要的）； （3）缺乏對受不合理交易記錄影響的賬戶余額的及時對賬。 上述每個缺陷均單獨代表一個重要缺陷?；谶@一情況，注冊會計師可以確定這些重要缺陷合并構成重大缺陷。因為，就個別重要缺陷而言，這些缺陷有一定可能性，各自導致金額未達到重要性水平的財務報表錯報?？墒?，這些重要缺陷影響同類會計賬戶，有一定可能性導致不能防止或發(fā)現(xiàn)并糾正重大錯報的發(fā)生。因此，這些重要缺陷組合在一起符合重大缺陷的定義。 五、完成審計工作 （一）形成審計意見 注冊會計師需要評價從各種來源獲取的證據(jù)，包括對控制的測試結果、財務報表審計中發(fā)現(xiàn)的錯報以及已識別的所有控制缺陷，以形成對內部控制有效性的意見。在評價證據(jù)時，注冊會計師需要查閱本年度與內部控制相關的內部審計報告或類似報告，并評價這些報告中提到的控制缺陷。 只有在審計范圍沒有受到限制時，注冊會計師才能對內部控制的有效性形成意見。如果審計范圍受到限制，注冊會計師需要解除業(yè)務約定或出具無法表示意見的內部控制審計報告。 （二）獲取管理層書面聲明 注冊會計師需要取得經(jīng)企業(yè)認可的書面聲明，書面聲明需要包括下列內容： （1）企業(yè)董事會認可其對建立健全和有效實施內部控制負責； （2）企業(yè)已對內部控制的有效性作出自我評價，并說明評價時采用的標準以及得出的結論； （3）企業(yè)沒有利用注冊會計師執(zhí)行的審計程序及其結果作為自我評價的基礎； （4）企業(yè)已向注冊會計師披露識別出的內部控制所有缺陷，并單獨披露其中的重大缺陷和重要缺陷； （5）對于注冊會計師在以前年度審計中識別的、已與審計委員會溝通的重大缺陷和重要缺陷，企業(yè)是否已經(jīng)采取措施予以解決； （6）在企業(yè)內部控制自我評價基準日后，內部控制是否發(fā)生重大變化，或者存在對內部控制具有重要影響的其他因素。 此外，書面聲明中還包括導致財務報表重大錯報的所有舞弊，以及不會導致財務報表重大錯報，但涉及管理層和其他在內部控制中具有重要作用的員工的所有舞弊。 如果企業(yè)拒絕提供或以其他不當理由回避書面聲明，注冊會計師需要將其視為審計范圍受到限制，解除業(yè)務約定或出具無法表示意見的內部控制審計報告。同時，注冊會計師需要評價，企業(yè)拒絕提供書面聲明對其他聲明（包括在財務報表審計中獲取的聲明）的可靠性產(chǎn)生的影響。 注冊會計師需要按照中國注冊會計師審計準則第1341號書面聲明的規(guī)定，確定聲明書的簽署者、聲明書涵蓋的期間以及何時獲取更新的聲明書等。 （三）溝通相關事項 注冊會計師需要與企業(yè)溝通審計過程中識別的所有控制缺陷。對于其中的重大缺陷和重要缺陷，需要以書面形式與董事會和經(jīng)理層溝通。中國注冊會計師審計準則第1152號向治理層和管理層通報內部控制缺陷要求注冊會計師以書面形式及時向治理層通報審計過程中識別出的值得關注的內部控制缺陷。其中，值得關注的內部控制缺陷包括重大缺陷和重要缺陷。 對于重大缺陷，注冊會計師需要以書面形式與企業(yè)的董事會及其審計委員會進行溝通。如果認為審計委員會和內部審計機構對內部控制的監(jiān)督無效，注冊會計師需要就此以書面形式直接與董事會和經(jīng)理層溝通。 對于重要缺陷，注冊會計師需要以書面形式與審計委員會溝通。 雖然并不要求注冊會計師執(zhí)行足以識別所有控制缺陷的程序，但是，注冊會計師需要溝通其注意到的內部控制的所有缺陷。如果發(fā)現(xiàn)企業(yè)存在或可能存在舞弊或違反法規(guī)行為，注冊會計師需要按照中國注冊會計師審計準則第1141號財務報表審計中對舞弊的考慮、中國注冊會計師審計準則第1142號財務報表審計中對法律法規(guī)的考慮的規(guī)定，確定并履行自身的責任。 六、出具審計報告 （一）標準內部控制審計報告 當注冊會計師出具的無保留意見的內部控制審計報告不附加說明段、強調事項段或任何修飾性用語時，該報告稱為標準內部控制審計報告。標準內部控制審計報告包括下列要素： 1標題。內部控制審計報告的標題統(tǒng)一規(guī)范為“內部控制審計報告”。 2收件人。內部控制審計報告的收件人是指注冊會計師按照業(yè)務約定書的要求致送內部控制審計報告的對象，一般是指審計業(yè)務的委托人。 3引言段。內部控制審計報告的引言段說明企業(yè)的名稱和內部控制已經(jīng)過審計。 4企業(yè)對內部控制的責任段。企業(yè)對內部控制的責任段說明，按照企業(yè)內部控制基本規(guī)范、企業(yè)內部控制應用指引、企業(yè)內部控制評價指引的規(guī)定，建立健全和有效實施內部控制，并評價其有效性是企業(yè)董事會的責任。 5注冊會計師的責任段。注冊會計師的責任段說明，在實施審計工作的基礎上，對財務報告內部控制的有效性發(fā)表審計意見，并對注意到的非財務報告內部控制的重大缺陷進行披露是注冊會計師的責任。 6內部控制固有局限性的說明段。內部控制無論如何有效，都只能為企業(yè)實現(xiàn)控制目標提供合理保證。內部控制實現(xiàn)目標的可能性受其固有限制的影響，注冊會計師需要在內部控制固有局限性的說明段說明，內部控制具有固有局限性，存在不能防止和發(fā)現(xiàn)錯報的可能性。此外，由于情況的變化可能導致內部控制變得不恰當，或對控制政策和程序遵循的程度降低，根據(jù)內部控制審計結果推測未來內部控制的有效性具有一定風險。 7財務報告內部控制審計意見段。如果符合下列所有條件的，注冊會計師應當對財務報告內部控制出具無保留意見的內部控制審計報告： （1）企業(yè)按照企業(yè)內部控制基本規(guī)范、企業(yè)內部控制應用指引、企業(yè)內部控制評價指引以及企業(yè)自身內部控制制度的要求，在所有重大方面保持了有效的內部控制； （2）注冊會計師已經(jīng)按照企業(yè)內部控制審計指引的要求計劃和實施審計工作，在審計過程中未受到限制。 8非財務報告內部控制重大缺陷描述段。對于審計過程中注意到的非財務報告內部控制缺陷，如果發(fā)現(xiàn)某項或某些控制對企業(yè)發(fā)展戰(zhàn)略、法規(guī)遵循、經(jīng)營的效率效果等控制目標的實現(xiàn)有重大不利影響，確定該項非財務報告內部控制缺陷為重大缺陷的，應當以書面形式與企業(yè)董事會和經(jīng)理層溝通，提醒企業(yè)加以改進；同時在內部控制審計報告中增加非財務報告內部控制重大缺陷描述段，對重大缺陷的性質及其對實現(xiàn)相關控制目標的影響程度進行披露，提示內部控制審計報告使用者注意相關風險，但無需對其發(fā)表審計意見。 9注冊會計師的簽名和蓋章。 10會計師事務所的名稱、地址及蓋章。 11報告日期。 如果內部控制審計和財務報表審計整合進行，注冊會計師對內部控制審計報告和財務報表審計報告需要簽署相同的日期。 （二）非標準內部控制審計報告 1.帶強調事項段的非標準內部控制審計報告。注冊會計師認為財務報告內部控制雖不存在重大缺陷，但仍有一項或者多項重大事項需要提請內部控制審計報告使用人注意的，需要在內部控制審計報告中增加強調事項段予以說明。注冊會計師需要在強調事項段中指明，該段內容僅用于提醒內部控制審計報告使用者關注，并不影響對財務報告內部控制發(fā)表的審計意見。 2.否定意見的內部控制審計報告。注冊會計師認為財務報告內部控制存在一項或多項重大缺陷的，除非審計范圍受到限制，需要對財務報告內部控制發(fā)表否定意見。注冊會計師出具否定意見的內部控制審計報告，還需要包括下列重大缺陷的定義、重大缺陷的性質及其對財務報告內部控制的影響程度。 3.無法表示意見的內部控制審計報告。注冊會計師只有實施了必要的審計程序，才能對內部控制的有效性發(fā)表意見。注冊會計師審計范圍受到限制的，需要解除業(yè)務約定或出具無法表示意見的內部控制審計報告，并就審計范圍受到限制的情況，以書面形式與董事會進行溝通。 注冊會計師在出具無法表示意見的內部控制審計報告時，需要在內部控制審計報告中指明審計范圍受到限制，無法對內部控制的有效性發(fā)表意見，并單設段落說明無法表示意見的實質性理由。注冊會計師不應在內部控制審計報告中指明所執(zhí)行的程序，也不應描述內部控制審計的特征，以避免對無法表示意見的誤解。注冊會計師在已執(zhí)行的有限程序中發(fā)現(xiàn)財務報告內部控制存在重大缺陷的，需要在內部控制審計報告中對重大缺陷做出詳細說明。 4.期后事項與非標準內部控制審計報告。在企業(yè)內部控制自我評價基準日并不存在、但在該基準日之后至審計報告日之前（以下簡稱期后期間）內部控制可能發(fā)生變化，或出現(xiàn)其他可能對內部控制產(chǎn)生重要影響的因素。注冊會計師需要詢問是否存在這類變化或影響因素，并獲取企業(yè)關于這些情況的書面聲明。 注冊會計師知悉對企業(yè)內部控制自我評價基準日內部控制有效性有重大負面影響的期后事項的，需要對財務報告內部控制發(fā)表否定意見。注冊會計師不能確定期后事項對內部控制有效性的影響程度的，需要出具無法表示意見的內部控制審計報告。 在出具內部控制審計報告之后，如果知悉在審計報告日已存在的、可能對審計意見產(chǎn)生影響的情況，注冊會計師需要按照中國注冊會計師審計準則第1332號期后事項的規(guī)定辦理。 審計指引第三十四條和第三十五條要求注冊會計師編制內部控制審計工作底稿，完整記錄審計工作情況。 21 / 21