要管理好一个公司必须依靠其内控;财务报表真实且公允地反映某个公司的财务状况和经营成果也必须靠其内控。每次年报审计,审计人员在某个公司现场审计很短的时间(是年度时长的十二分之二,或十二分之一,或更短),且现场审计主要靠抽查等审计程序,很难完全发现被审计单位所有的重大财务事项(问题),因此,必须靠内控来管控实际与报表列示数(包括未审数和审计调整后数)之间可能存在的(较大)偏差,将其控制在公司管理层和治理层可接受的水平。 另一方面,因出具的是内部控制审计报告,不同于以往的内部控制鉴证报告,两者的保证程度和法律效力不同。同时,内部控制审计报告所形成的底稿应符合相关要求,并能接受外部监管机构的检查等。 一、审计计划阶段 除通常财务报表审计的审计计划阶段需注意的事项外,在制定内部控制审计的总体审计策略时需主要注意以下几点: 1.时间安排 与正常的财务报表审计相比,内部控制审计的时间安排有其特殊性。 按照《企业内部控制审计指引》的要求,注册会计师在确定测试的时间安排时,应当尽量在接近企业内部控制自我评价基准日实施测试,实施的测试需要涵盖足够长的时间。 首次进行内部控制审计时,企业和注册会计师应当在当期会计年度的上半年即开始准备该年度的内部控制审计工作,从而保证整改后的控制运行有足够长的时间。在接受或开展内部控制审计业务时,项目经理应当尽早与企业沟通内部控制审计计划,并合理安排内部控制测试的时间。 在连续进行内部控制审计的过程中,项目经理应当考虑以前年度执行内部控制审计时所了解的情况以及当年企业发生的相关变化,在此基础上确定适当的内部控制审计工作方案和时间安排。 虽然内部控制审计报告仅是对截止某年末的时点发表的审计意见,但实际上内控测试样本涵盖了当年的1月至12月。与会计报表认定相关的内部控制审计,大致可分为两个阶段:第一阶段,即每年的10月至11月(主要考虑给被审计单位留一至两个月的整改时间),主要是对当年1~9月(或1~10月)的内部控制进行审计;第二阶段,即次年的1月至3月,主要是对所审计年度(即上年)10~12月(或11~12月)的内部控制实施相应的“前推程序”等,同时,测试上次期中审计已发现的内部控制缺陷的整改情况。 2.总体上采用自上而下的方法 自上而下的方法是识别风险、选择拟测试控制的基本思路,其主要程序:(1)从财务报表层次初步了解内部控制整体风险;(2)识别企业层面控制;(3)识别重要账户、列报及其相关认定;(4)了解错报的可能来源;(5)选择拟测试的控制。 3.与被审计单位需作两次以上的沟通 一次是对当年1~9月(或1~10月)的内部控制审计后的沟通;另一次是上述第二阶段现场审计结束前的沟通。 4.内部控制审计的具体审计计划 应编制单独的内部控制审计的具体审计计划,主要包括内部控制审计的具体要求、审计思路(策略),人员的分工,各个分子公司的具体审计日程安排等事项。 5.重要性(水平) 在整合审计中,内部控制审计与财务报表审计确定的重要性(水平)相同。 二、审计现场实施阶段 内部控制审计的现场实施阶段主要分为以下两大部分: (一)企业层面的内控了解、测试与评价 此项内容在日常财务报表审计的风险导向审计底稿中已涉及,此处不再赘述。 (二)各业务循环的内控了解、测试与评价 各业务循环的测试,主要包括以下步骤(程序): 1.获取管理层内部控制自我评价报告及公司内部审计部门的相关底稿 外部审计人员进点时,应向被审计单位列出需提供资料的清单,其中应包括管理层有关公司内部控制自我评价报告和公司内部审计部门的有关内控自查(自测)和评价的所有电子底稿等。 收集了相关资料后,外部审计人员认为公司内部审计人员所编制的调查问卷和测试底稿等资料可利用的,应充分利用,减少不必要的重复工作,以提高现场审计工作效率。 2.初步了解沟通(调查问卷等) 通过调查问卷,可了解各个业务循环的主要概况,调查问卷可采用由审计人员当面与被调查者沟通询问的方法。这样,可观察被调查者的外者反映,看其是完全了解被问事项的相关情况,还是“不知调查者所云”,这样,调查者对询问事项就有一个大致的判断。 3.各业务循环流程层面内控了解和评价 各业务循环分为三大类: (1)内部环境类:公司组织架构,发展战略,人力资源,社会责任,企业文化。此类与上述“企业层面的内控了解、测试与评价”内容有交叉。 (2)控制活动类:资金活动(包括筹资与投资、资金营运等活动),采购业务,资产管理(包括生产与仓储、固定资产等),销售业务,研究与开发,工程项目(土建),担保业务,业务外包,财务报告。 (3)控制手段类:全面预算,合同管理,内部信息传递,信息系统。 以上三大类基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。 需说明的是:每一次内控审计时,并不需要编制所有业务循环的底稿,而是按照“自上而下方法”的审计策略,测试与财务报表认定相关的“关键控制(点)”的业务循环。 各业务循环流程层面内控了解和评价主要运用以下表式: