内部控制制度审计的主要内容 (一)内部控制审计的定义 虽然内部控制审计由来已久,但国内外学术界和审计实践界对内部控制审计的定义均持有不同的看法,尚未形成统一的定论。 不过,2010年4月15日,财政部会同证监会、审计署、银监会、保监会制定的《企业内部控制审计指引》指出,本指引所称内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。 (二)内部控制审计的对象和内容 内部控制审计的对象主要是控制环境、风险评估、控制活动、信息与沟通和监督等内部控制要素。 内部控制审计的内容是对构成内部控制的各要素进行测试与评价,主要包括:内部控制健全性检查评价;内部控制符合有效性测试;内部控制合理科学性综合评价;内部控制实质性测试。 审计人员在进行内部控制审计时,应该应用通用的作业和报告准则,具备足够的胜任能力,保持应有的职业谨慎,遵循一定的程序,采用适当的方法,以确保内部控制审计报告的质量。通常来说,审计人员应按照如下顺序:审计准备阶段、审计实施阶段、审计报告形成阶段。审计人员应根据审计和评估的内容不同,分别采用适当的方法予以审计和评估。 审计准备阶段 在内部控制审计的准备阶段,审计人员必须做好以下几项工作: (一)计划审计业务 审计人员应对内部控制审计进行适当的计划,以保证在需要时,进行适当的监督。 (二)评估管理层评估的流程 审计人员必须获得对管理层关于公司内部控制有效性评估的过程的了解。主要包括:审计人员决定应当对哪些控制实施测试,包括对财务报表中的所有重要会计科目和披露事项的相关认定的控制;评估控制失败导致错报的可能性、错报的程度以及在其他控制有效实施的情形下,实现同样的控制目标的程度;评估控制设计的有效性;根据评估其实施有效性的程序是否充足,来评估控制实施的有效性;决定内部控制缺陷的程度和导致重要缺陷和实质性漏洞发生的可能性;对审计发现是否合理以及是否支持管理层的评估进行评价。 (三)评估管理层的文档记录 主要包括对与财务报表重要会计科目和披露事项相关的所有认定进行控制的设计;关于重要交易是如何被初始、授权、记录、处理和报告的信息;关于交易流向的足够信息,包括识别可能发生错误或舞弊而导致重大错报的关键点;已设计的防止或发现舞弊的控制,包括谁实施控制以及相关的职责划分;对期末财务报告过程的控制;对资产保护的控制以及管理层进行测试和评估结果。 (四)获得对内部控制的了解 主要通过询问合适的管理层、监督人员和员工;检查公司文件;观察专用控制的应用;通过信息系统追踪与财务报告相关的交易来了解公司内部控制的各个方面。 (五)识别重要会计科目 审计人员应首先在财务报表、会计科目或披露事项因素层次确定重要的会计科目和披露事项。决定财务报表内重要的会计科目和披露事项也是决定特殊控制测试的出发点。 (六)识别重要的流程和主要的交易类别 审计人员应当对每一类主要的影响重要会计科目或几组会计科目的交易的重要流程进行识别。主要的交易类型指的是对财务报表产生重要影响的交易类型。 (七)理解期末财务报告流程 作为了解和评估期末财务报告流程的一部分,审计人员应当评估:公司使用编制年度和季度财务报表的输入和输出方法;期末财务报告过程中使用信息技术的程度;管理层的参与;涉及经营场所的数量;调整分录的类型(例如,标准、非标准、消除和合并);以及包括管理层、董事会和审计委员会在内的适当的机构对流程进行监管的性质和程度。 审计实施阶段 内部控制审计实施阶段主要包括以下几个方面的内容: (一)实施穿行测试 审计人员应当对于每个交易类型实施至少一个穿行测试。审计人员实施的穿行测试应当涉及对单独交易的初始、控制权、记录、处理和报告的整个过程,以及对每个被审计的重要流程所进行的控制,包括旨在发现风险和舞弊的控制。穿行测试可以为审计人员提供如下证据:确保审计人员对于针对内部控制的五大方面所设计的控制进行识别和了解,包括与防止或发现舞弊相关的控制;确保审计人员对于整个流程有所了解,并且根据每个相关的财务报表认定,判断是否在流程中容易发生错报的关键点都被识别出来;评估控制设计的有效性;和确认控制是否被实施。 (二)识别内部控制以进行测试 审计人员应当对与财务报表的所有重要会计科目和披露事项的所有相关认定所进行的内部控制的有效性获得足够的证据。在识别重要会计科目、相关认定和重要流程之后,审计人员应当对如下进行评估:发生错误或舞弊的节点;管理层实施内部控制的性质;内部控制不能有效实施的风险,以识别出可进行测试的控制。 (三)测试和评估设计、运行效果 当预期所实施的内部控制将防止或发现会导致财务报表重大错报的错误或舞弊时,内部控制的设计是有效的。审计人员应当通过如下标准判断公司是否实施了达到内部控制目标的控制:识别公司每一领域的控制目标;识别满足每一目标的控制;判断如果有效地实施了控制,是否可以防止或发现会导致对财务报表重大错报的错误或舞弊。审计人员应当通过判断内部控制是否按计划实施和实施内部控制的人员是否获得了必要的授权和具备有效实施内部控制的来评估内部控制实施的有效性。对实施有效性进行内部控制测试的方式包括询问适当的人员、检查相关记录、观察公司的运营和重新实施内部控制措施等方式的结合。