手机网站
手机网站
< p >
到目前为止,内部控制审计已经成为审计工作的一个重要领域,但是当我们真正问:内部控制审计具体做什么我的许多朋友模棱两可,难以解释。
关系1
企业内部控制责任与美国注册会计师协会的审计责任
,会计责任与审计责任的区别是一致的,即建立、改进和有效实施内部控制是企业董事会(或类似决策机构,下同)的责任;注册会计师有责任在实施审计工作的基础上,对企业内部控制的有效性发表审计意见。
换言之,内部控制本身是否有效是企业的内部控制责任,是否遵循内部控制审计准则开展内部控制审计并出具适当的审计意见是注册会计师的审计责任
因此,注册会计师在实施内部控制审计之前,应在业务协议中明确双方的责任。在出具内部控制审计意见之前,应当取得企业签署的内部控制书面声明
关系2
企业内部控制自我评价VS社会内部控制审计
首先,注册会计师的企业内部控制自我评价和内部控制审计是相互独立和平行的
企业内部控制责任和注册会计师内部控制审计责任的划分,决定了企业内部控制自我评价和注册会计师内部控制审计的实施必须按照不同的规则独立完成,两者不能相互替代或相互免除。
二、注册会计师可以在实施内部控制审计中适当运用企业内部控制自我评估工作。
一般来说,企业内部控制自我评价应先于注册会计师的内部控制审计。因此,正确运用企业内部控制自我评价及其结果,可以减轻注册会计师的工作量,提高内部控制审计的效率。
但是,注册会计师的内部控制审计责任不能因使用企业内部控制自我评估工作而减少,这就要求注册会计师在使用企业内部控制自我评估工作时不能放松风险意识,在评估企业内部控制自我评估人员的客观性和胜任能力时必须保持应有的职业谨慎等。
下图揭示了注册会计师在运用企业内部控制自我评估工作时应掌握的方法和标准
< p >
第三,在各自职责的基础上加强双方的沟通与协调,是做好企业内部控制自我评估和注册会计师内部控制审计工作不可忽视的重要方法。
一方面,就注册会计师及其会计师事务所而言:另一方面,
应注意树立整体判断的观念,善于从宏观层面把握全局和本质;
2关注合规目标、报告目标和资产安全目标,并适当考虑效率和有效性目标以及战略目标;
3是要配备有经验的、合理的内部控制审核项目负责人和审核或内部控制人员;
4是注意项目具体执行者和被访谈者的身份、权利和责任的总体协调;
5是加强内部控制审计业务培训和经验交流;
6是注意总结和分析以往年度审计情况;
7是与同行建立经验分享和技术合作机制;
8是加强信息技术等非会计和审计人才的引进和培养
另一方面,就企业管理而言,
是自觉强化可持续发展理念和“咨询”意识,积极配合和支持注册会计师的审计工作。
2是建立和理顺与注册会计师的沟通协调机制,保持审判前、审判中和审判后坦诚、深入的沟通。
3是提供有说服力的证据来反驳注册会计师的怀疑。
4首先是纠正注册会计师发现的控制缺陷,从而赢得获得更多正面审计意见的主动权
关系3
财务报告内部控制VS非财务报告内部控制
首先,财务报告内部控制和非财务报告内部控制是相对的概念,正如会计控制和管理控制的定义一样
一般来说,与财务报告的真实性、可靠性和完整性直接相关的控制称为财务报告内部控制。例如,根据《企业会计准则》的要求,与经济交易或事件的会计确认、计量、记录和报告有关的控制是财务报告的内部控制。其他控制可以归类为非财务报告的内部控制
第二,注册会计师应对财务报告内部控制的有效性发表审计意见,并在内部控制审计报告中增加“非财务报告内部控制重大缺陷说明部分”,说明内部控制审计过程中注意到的非财务报告内部控制的重大缺陷。
必须强调这一规定是切实可行的。它不仅充分考虑了注册会计师的专业特长和专业风险,而且将注册会计师审计的重点放在财务报告内部控制领域。同时,大胆打破财务报告内部控制概念的束缚,促进注册会计师内部控制审计范围与企业管理内部控制自我评价范围的普遍一致,增强内部控制审计报告与自我评价报告的协调性
关系4
内部控制审计VS财务报表审计
《企业内部控制审计准则》规定,注册会计师可以将内部控制审计与财务报表审计(即综合审计)相结合,也可以独立进行内部控制审计
虽然从法律法规的角度为如何进行内部控制审计和财务报表审计提供了选择,但我们主张从更“经济”的角度对企业进行委托审计分析,将内部控制审计和财务报表审计结合起来。
事实上,审计准则所要求的风险导向审计和内部控制标准体系所要求的风险评估在概念和方法上趋于一致,因此综合审计具有良好的基础。
综合审计的目的是在内部控制审计中获得充分和适当的证据,以支持注册会计师在财务报表审计中对内部控制的风险评估结果。同时,在财务报表审计中获取充分、适当的证据,支持注册会计师在内部控制审计中对内部控制的有效性发表意见。
综合审计的互动关系如下图所示:
从美国公共会计公司(会计师事务所)综合财务报表审计和财务报告内部控制审计(404审计)的一般做法来看,内部控制审计小组一般在财务报表审计小组之前1-2个月进入被审计企业。在全面评价财务报告内部控制有效性的基础上,对财务报表审计的性质、时间和实施范围进行适当调整和完善,然后通过对财务报表的实质性分析和审查,验证财务报告内部控制的有效性。
由此表明,所谓综合审计实际上是审计时间的整合与协调,审计方法的整合与协调,审计意见的整合与协调,这是值得我国会计师事务所学习和借鉴的。
关系5
企业级控制测试VS业务级控制测试
企业级控制和业务级控制都需要在注册会计师内部控制自我评估和内部控制审计中进行测试。
一般认为,与内部控制各要素之间的基本制度安排直接相关并对企业整体内部控制目标的实现有重大影响的控制属于企业级控制。它与控制活动(控制政策和程序)在具体业务和事项中的应用直接相关,在一个或某些方面对企业内部控制目标有重要影响的控制是业务级控制。由此可以推断,企业级控制决定业务级控制,而业务级控制反作用于企业级控制。
因此,在实施企业级控制测试和业务级控制测试时,应坚持自上而下和自上而下的测试方法。
所谓自上而下,是指测试控制应从企业级控制入手,通过对企业级控制的评价和预判,来增强企业级控制测试的科学性、针对性和有效性同时,应该注意的是,强调自上而下的测试并不意味着企业级和业务级的测试工作是孤立和完全分离的。在注册会计师的审计实践中,企业级控制测试和业务级控制测试往往被结合起来,将业务级控制的重点锁定在企业级控制的薄弱环节上,而业务级的控制效果则被用来否定企业级的控制设计
需要注意的是,在测试业务级控制时,必须掌握关键控制和一般控制。当一个控件可以覆盖多个可能的错误,或者只有某个控件可以覆盖一个可能的错误时,该控件应被视为一个键控件,否则,它应被视为一个通用控件。
经验数据显示,关键控制通常占所有业务级别控制的20%左右下图提供了识别关键控件的参考方法。在上图
中,控件1可以覆盖可能的错误事件1、2、3和5,即一个控件可以覆盖多个可能的错误事件,因此控件1可以被识别为键控件;然而,对于可能的错误4,只有控件2可以覆盖,即只有一个控件可以覆盖可能的错误,因此控件2可以被认为是键控件。从这一分析可以得出结论,控制3、4和5应该是一般控制。
关系6
重大缺陷的披露与其他缺陷的沟通
内部控制缺陷根据其影响程度分为重大缺陷(实质性缺陷)、重大缺陷和一般缺陷
的主要缺陷可能由设计缺陷和操作缺陷引起,也可能由医疗事故的性质和严重程度引起
注册会计师发现企业董事、监事和高级管理人员舞弊,或者注册会计师发现当期财务报表存在重大错报,企业内部控制未发现经营过程中的错报,或者企业更正已公布的财务报表,或者企业审计委员会和内部审计机构对内部控制的监督无效, 识别企业财务报告内部控制的主要缺陷,对企业财务报告内部控制的有效性发表否定意见,并通过内部控制审计报告予以披露
对于其他控制缺陷,包括重要缺陷和一般缺陷,应区别情况与企业沟通
一般情况下,重要缺陷应以书面形式与董事会和经理沟通。对于一般缺陷,应以书面形式与企业相关职能部门沟通
