如何将内部控制审计做到位

       财务报告内部控制审计(以下简称内部控制审计)制度自2011年试点实施以来，已逐步推广至全部主板上市公司。作为一项新的审计业务，如何将其做到位是一个值得审视的问题。本文从理论上阐述内部控制审计应有的工作力度，并通过示例演示实务中如何将其做到位。

       一、内部控制审计应有的工作力度

       在财务报表审计中，注册会计师需要运用“认定”的概念。其基本逻辑是：注册会计师要对整套财务报表发表审计意见，就需要知道财务报表反映的各账户余额、各类交易和各项列报是否有错报；而要知道各账户余额、各类交易和各项列报是否有错报，就需要确定各账户余额、各类交易和各项列报的各项认定是否有错报。因此，注册会计师要围绕各账户余额、各类交易和各项列报的各项认定收集充分、适当的审计证据。可以说，“认定”是财务报表审计精细化的基石。

       同样，在内部控制审计业务中，注册会计师对内部控制的了解和测试工作应当涵盖每项相关认定。如果某财务报表认定可能存在一个或多个错报，这些错报将具有合理可能性导致财务报表发生重大错报，则该认定为相关认定。有效的内部控制应当能够合理保证财务报表的可靠性。财务报表反映的是一项项认定，有效的内部控制也应当能够合理保证财务报表中反映的每项相关认定不存在重大错报。因此，《企业内部控制审计指引实施意见》规定，注册会计师应当针对每一相关认定获取控制有效性的审计证据，以便对内部控制整体的有效性发表意见；注册会计师应当对被审计单位的控制是否足以应对评估的每个相关认定的错报风险形成结论。针对每项相关认定，注册会计师至少应当测试一项关键控制。

       换个角度看，在财务报表审计中，注册会计师需要在充分了解被审计单位及其环境的基础上，识别和评估财务报表层次和认定层次的重大错报风险。在内部控制审计中，注册会计师需要确定是否有控制足以应对这两个层次的重大错报风险。换言之，内部控制审计应当至少涵盖识别的两个层次的重大错报风险。

       二、示例分析

       (一)示例一：每月手工调节控制

       注册会计师在审计XYZ公司的财务报告内部控制时，确定应收账款是一个重要账户。通过与被审计单位人员进行讨论和查阅公司的文件记录，注册会计师了解到被审计单位人员每月将应收账款明细账与总账进行调节。为确定是否能及时发现应收账款的错报(存在、计价和完整性)，注册会计师决定对每月调节程序中存在的控制进行测试。根据应收账款账户的数量、金额和账户中发生的交易量，选取应收账款调节表若干样本，对调节控制进行测试。注册会计师决定在10月份实施测试调节控制的程序，控制测试的对象总体是1月份到9月份的调节控制。在测试调节控制时，注册会计师执行如下程序：

       1.向实施此控制的被审计单位人员进行询问。注册会计师向执行调节流程的人员提出了若干问题，这些问题包括：

       (1)是否有文件记录描述账户调节流程？

       (2)从事该项工作多长时间？

       (3)处理调节项目的过程？

       (4)有关人员对调节表进行正式复核和签署的频率？

       (5)向谁报告调节过程中发现的重大问题？

       (6)每月平均有多少个调节项目？

       (7)如何处理长期存在的调节项目？

       (8)如何在信息系统中对调节项目作出更正(如有需要)？

       (9)调节项目的一般性质？

       2.观察和检查控制的执行。注册会计师观察被审计单位人员实施调节的过程。对于非经常性的调节项目，注册会计师检查调节表是否针对每个项目的性质、采取的解决措施以及该项目是否得到及时解决作出了清晰的说明。

       3.重新执行该控制。最后，注册会计师检查调节表并重新执行调节程序。对于5月份和9月份的调节表，注册会计师以抽查的形式将调节项目与原始文件进行核对。这些调节表中包括的调节项目只有前一天放入保险箱但尚未记入客户账户的现金。注册会计师继续追查这些项目，以确定这些调节项已在下一个工作日得到处理。

       注册会计师还粗略浏览了包含本年度所有调节表的文件夹，发现调节表均已及时完成。为了解被审计单位至年末的剩余期间里有没有对调节控制程序作出重大变更，注册会计师向被审计单位人员进行询问，确定这些程序在剩余期间内未发生变化。因此，注册会计师通过浏览月度账户调节表证实控制在剩余期间得到及时执行，从而验证控制在剩余期间仍然有效。

       此外，注册会计师评价和测试了计算机一般控制，包括程序变化(例如确认对软件功能没有未经授权的更改，对报告的更改已经适当授权、在实施前已经测试和批准)和逻辑接触(例如用户对存货和应付账款模块的接触和对报告源代码保管地的接触)，得出结论认为这些控制运行有效。既然计算机被认为以系统的方式运行，注册会计师认为只需对一个项目执行穿行测试就已经足够。

       根据注册会计师实施的程序，注册会计师认为截至本年末，该调节控制是有效的。

       (二)示例二：每日手工预防性控制

       注册会计师在审计XYZ公司的财务报告内部控制时，确定银行存款和应付账款是重要账户。通过与被审计单位人员进行讨论，注册会计师了解到公司人员只有在将发票与订购单信息核对一致后，才会付款。为确定是否能及时地预防银行存款(存在)和应付账款(存在、计价和完整性)中存在的错报，注册会计师对“将发票与订购单信息核对一致后再付款”这一控制实施了测试。