2013高级会计师考试辅导：内部控制审计

　　（一）内部控制审计的定义

　　内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。内部控制审计是内部控制外部评价的重要形式之一。

　　1．内部控制审计与内部控制评价

　　内部控制审计属于注册会计师外部评价，内部控制评价属于企业董事会自我评价，两者有着本质的区别。首先，两者的责任主体不同。建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任；在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。其次，两者的评价目标不同。内部控制评价是企业董事会对各类内部控制目标实施的全面评价；内部控制审计是注册会计师侧重对财务报告内部控制目标实施的审计评价。最后，两者的评价结论不同。企业董事会对内部控制整体有效性发表意见，并在内部控制评价报告中出具内部控制有效性结论；注册会计师仅对财务报告内部控制的有效性发表意见，对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

　　虽然内部控制审计与内部控制评价具有上述区别，但两者往往依赖同样的证据、遵循类似的测试方法、使用同一基准日，因此也必然存在一些内在的联系。在内部控制审计过程中，注册会计师可以根据实际情况对企业内部控制评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用程度，从而相应减少本应由注册会计师执行的工作。

　　2．内部控制审计与财务报表审计

　　内部控制审计与财务报表审计的目标不同。前者是对被审计单位内部控制设计与运行的有效性进行审计，并重点就财务报告内部控制的有效性发表审计意见；后者是对财务报表是否按照国家统一的会计准则制度的规定编制、是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量发表审计意见。审计目标的不同导致两者在审计程序上也有着较大区别。但由于两者均关注财务报告质量和审计风险，审计过程中形成的审计证据又可以相互支持、相互利用，为此，注册会计师在计划和执行内部控制审计工作时，可以根据实际情况将内部控制审计与财务报表审计进行整合，以降低审计成本、提高审计质量。在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现两类目标：（1）获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见；（2）获取充分、适当的证据，支持其在财务报表审计中对控制风险的评价结果。

　　3．内部控制审计与内部控制监管

　　内部控制监管是指政府监管部门根据国家有关法律法规和监管要求，以《企业内部控制基本规范》及其配套指引为依据，对企业内部控制建立与实施情况进行监督检查和评价。内部控制监管与内部控制审计作为内部控制外部评价的两种主要形式，相互支持，相互促进，共同保障企业内部控制的有效建立与实施。比如，财政部门可以从规范公司治理、健全内控机制，加强会计监督、提高信息质量等角度，对企业内部控制设计与运行的有效性提出监管要求。同时，可以会同国家审计机关对行政事业单位和国有企业使用财政资金过程中的内部控制情况实施监管评价。

　　聘请会计师事务所开展内部控制审计是建设与实施内部控制的重要环节，是检验内部控制有效性的重要手段和有力保障。需要强调的是，内部控制审计是一项区别于财务报告审计的独立业务，企业应就该项业务与会计师事务所签订单独的业务约定书。同时，企业也应权衡审计成本与审计效益，在业务约定书中明确有关费用标准，并对会计师事务所审计资源的投入和审计质量提出明确要求。内部控制审计费用是企业实施内部控制规范体系应当承担的成本，企业应安排相应经费确保审计工作的及时、有效开展。

　　（二）内部控制审计的程序

　　1．计划审计工作

　　注册会计师需恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。

　　计划审计工作时，注册会计师应当评价有关事项对内部控制及其审计工作的影响：①与企业相关的风险；②相关法律法规和行业概况；③企业组织结构、经营特点和资本结构等相关重要事项；④企业内部控制最近发生变化的程度；⑤与企业沟通过的内部控制缺陷；⑥重要性、风险等与确定内部控制重大缺陷相关的因素；⑦对内部控制有效性的初步判断；⑧可获取的、与内部控制有效性相关的证据的类型和范围。

　　注册会计师应当充分认识风险评估在计划审计工作中的作用，以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注应越多。

　　注册会计师应当在计划审计阶段对企业董事会的内部控制评价工作进行评估，判断是否在内部控制审计工作中利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能应由注册会计师执行的工作。注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作，应当对其专业胜任能力和客观性进行充分评价。一般而言，与某项控制相关的风险越高，他人工作的可利用程度就越低，注册会计师应当更多地对该项控制亲自进行测试。需要强调的是，注册会计师对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。

　　2．实施审计工作

　　注册会计师按照自上而下的方法实施审计工作，将企业层面控制和业务层面控制的测试结合进行。

　　（1）测试企业层面控制。注册会计师测试企业层面的控制，在把握重要性原则的基础上，一般关注：①与内部环境相关的控制；②针对董事会、经理层凌驾于控制之上的风险而设计的控制；③企业的风险评估过程；④ 对内部信息传递和财务报告流程的控制；⑤对控制有效性的内部监督和自我评价。

　　（2）测试业务层面控制。注册会计师测试业务层面的控制，在把握重要性原则的基础上，结合企业实际、内部控制相关法律法规要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。注册会计师需关注信息系统对内部控制及风险评估的影响。

　　（3）测试与舞弊风险相关的控制。注册会计师在测试企业层面控制和业务层面控制时，应评价内部控制是否足以应对舞弊风险。舞弊风险因素是指注册会计师在了解被审计单位及其内部环境时识别的、可能表明存在舞弊动机、压力或机会的事项或情况，以及被审计单位对可能存在的舞弊行为的合理化解释。与舞弊风险相关的控制通常包括：①针对重大的非常规交易的控制；②针对关联方交易的控制；③与管理层的重大会计政策和会计估计相关的控制；④针对期末财务报告中编制的分录和作出的调整的控制；⑤能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制等。注册会计师应当根据舞弊风险评估结果，对上述控制实施有针对性的测试。

　　（4）测试内部控制设计与运行的有效性。如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行，能够实现控制目标，表明该项控制的设计是有效的；如果某项控制正在按照设计运行，执行人员拥有必要授权和专业胜任能力，能够实现控制目标，表明该项控制的运行是有效的。

　　（5）获取内部控制有效设计与运行的证据。注册会计师在测试内部控制设计与运行的有效性时，可综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法，获取充分、适当的证据以支持审计结论。与内部控制相关的风险越高，注册会计师需要获取的证据越多。为确保证据的充分性和适当性，注册会计师通常需对测试时间安排进行权衡，既要尽量在接近企业内部控制自我评价基准日实施测试，又要保证实施的测试能够涵盖足够长的期间。注册会计师对于内部控制运行偏离设计的情况（即控制偏差），应确定该偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。在连续审计中，注册会计师有必要考虑以前年度执行内部控制审计时了解的情况，以合理确定测试的性质、时间安排和范围。

　　3．评价控制缺陷

　　注册会计师对内部控制缺陷的分类和认定标准与企业内部控制自我评价中内部控制缺陷的分类和认定标准类似，相对而言，注册会计师更关注财务报告内部控制缺陷的认定。注册会计师在对内部控制设计与运行的有效性进行测试的基础上，需评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷并影响其审计结论。在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时，注册会计师还应评价补偿性控制（替代性控制）的影响。

　　（1）财务报告内部控制缺陷。表明企业财务报告内部控制可能存在重大缺陷的迹象，主要包括：

　　①注册会计师发现董事、监事和高级管理人员舞弊；

　　②企业更正已经公布的财务报表；

　　③注册会计师发现当期财务报表存在重大错报，而在内部控制运行过程中未能发现该错报；

　　④企业审计委员会和内部审计机构对内部控制的监督无效。

　　（2）非财务报告内部控制缺陷。注册会计师对在审计过程中注意到的非财务报告内部控制缺陷，区别具体情况予以处理：

　　①注册会计师认为非财务报告内部控制缺陷为一般缺陷的，应当与企业进行沟通，提醒企业加以改进，但无需在内部控制审计报告中说明；

　　②注册会计师认为非财务报告内部控制缺陷为重要缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进，但无需在内部控制审计报告中说明；

　　③注册会计师认为非财务报告内部控制缺陷为重大缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进；同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。