福建省注册会计师协会专家提示第25号——内部控制审计

内部控制审计

福建省注册会计师协会专家提示第25号      2020-12-01

　　本专家提示由福建省注册会计师协会起草，不能替代中国注册会计师审计准则及其应用指南的相关要求，仅供注册会计师在执业过程中参考。由于被审计单位的情况千差万别，专家提示亦并非对所有可能出现问题的全面描述，其结论亦可能会因不同情况而有所改变，注册会计师在使用时应当合理运用职业判断。

　　根据《企业内部控制基本规范》、《企业内部控制审计指引》、《企业内部控制审计指引实施意见》(以下简称实施意见)的相关规定，内部控制审计为注册会计师针对被审计单位的内部控制实施合理保证的鉴证业务。注册会计师在执行内部审计工作过程中应重视内部控制审计程序的充分实施及证据的获取，现就内部控制审计进行如下提示：

　　1.在计划审计工作时应重点考虑的事项：

　　(1)与企业相关的风险。重点关注那些对财务报表可能产生重要影响的风险及这些风险当年的变化情况。

　　(2)相关法律法规和行业情况。应重点关注可能直接影响财务报表金额和披露的法律法规，如税法、行业监管法规等。

　　(3)企业组织结构、经营特点和资本结构等相关重要事项。通过了解被审计单位的合营公司、联营公司以及财务报表合并范围，企业的组织结构、治理结构，业务及区域的分部设置和管理架构等情况，以便评价被审计单位是否存在重大的、可能引起财务报表重大错报的非常规业务和关联方交易，是否构成财务报表重大错报风险，以及相关的内部控制是否可能存在重大缺陷。

　　(4)企业内部控制最近发生变化的程度。通过了解被审计单位本期内部控制发生的变化以及变化程度，从而相应地调整审计计划。这些变化包括新增的业务流程、原有业务流程的变更、内部控制执行人的变更等。

　　(5)与企业沟通过的内部控制缺陷。通过了解被审计单位对以前年度审计中发现的内部控制缺陷所采取的整改措施及整改结果，并相应调整本年的内部控制审计计划。如果以前年度发现的内部控制缺陷未得到有效整改，则需要评价这些缺陷对当期的内部控制审计意见的影响。

　　通过阅读被审计单位当期的内部审计报告，评价内部审计报告中披露的控制缺陷是否与内部控制审计相关并考虑其对内部控制审计程序和审计意见的影响。对于在内部审计报告中提及的可能导致财务报表发生重大错报的内部控制缺陷，应当做好缺陷记录，关注企业相应的整改计划和实施情况，并评价其对内部控制审计意见的影响。

　　(6)在计划阶段，应当对与确定内部控制重大缺陷相关的重要性、风险等的因素进行初步判断，并更多地关注内部控制审计的高风险领域。特定领域存在的重大缺陷风险越高，所需要获得的审计证据的相关性、可靠性越强。

　　2.在测试控制的设计及运行有效性时，可采用询问、观察、检查和重新执行等程序。应特别注意，询问本身并不能为得出控制是否有效的结论提供充分、适当的审计证据。应当在测试控制设计及运行的有效性时，综合运用询问适当人员、观察经营活动、检查相关文件以及重新执行等程序。

　　3.在测试控制的运行有效性时，应当在考虑与控制相关的风险的基础上确定测试的范围。确定的测试范围，应当足以使其获取充分、适当的审计证据，为基准日内部控制是否不存在重大缺陷提供合理保证。

　　(1)在未发现控制例外的情况下，测试的样本量不得小于实施意见中最小样本量。

　　(2)若发现例外情况，应进一步判断是否存在控制偏差，对于确认为非系统性偏差的情况下，应当根据实施意见考虑偏差的原因及性质，并考虑采用扩大样本量等适当的应对措施以判断该偏差是否对总体不具有代表性。若该项偏差对总体具有代表性则将与系统性偏差处理一样视做一项内部控制缺陷。

　　4.在内部控制审计中应当基于财务报表层次识别重要账户、列报及其相关认定，并注意识别的重要账户、列报及其相关认定与财务报表审计中识别的重要账户、列报及其相关认定是否相同。

　　5.在执行集团内部控制审计业务时，注册会计师应当按照《中国注册会计师审计准则第1401号——对集团财务报表审计的特殊考虑》的规定，确定重要组成部分。

　　对重要组成部分的重要账户、列报及其相关认定的业务流程、应用系统、交易层面的内部控制的有效性实施测试。

　　(1)对具有财务重大性的组成部分执行的工作

　　对于具有财务重大性的组成部分，除非通过实施下列测试工作能够获取有关控制有效性的充分、适当的审计证据，注册会计师应当测试该组成部分内与重要账户、列报及其相关认定相关的业务流程、应用系统或交易层面的内部控制的有效性：

　　①对整个集团企业层面控制和该组成部分企业层面控制(包括界于组成部分和整个集团之间层次的其他企业层面控制，下同)的测试;

　　②对除该组成部分以外的其他组成部分相同账户、列报及其相关认定的内部控制已实施的测试。

　　(2)对具有特别风险的组成部分执行的工作

　　对具有特别风险的组成部分，注册会计师应当测试针对该项特别风险的控制。

　　对重要组成部分以外的其他组成部分，如果存在重要账户、列报及其相关认定，应当首先评价对整个集团企业层面控制和该组成部分企业层面控制的测试以及针对重要组成部分相同的账户、列报及其相关认定的内部控制已实施的测试能否提供充分、适当的审计证据。如果不能提供充分、适当的审计证据，应当选择适当数量的其他组成部分，测试与该重要账户、列报及其相关认定相关的业务流程、应用系统或交易层面的控制，直至能够获取充分、适当的审计证据为止。

　　6.应当对已经识别出的各项控制缺陷的严重程度进行评价，以确定这些缺陷单独或组合起来，是否构成内部控制的重大或重要缺陷。在评价过程中，应考虑控制不能防止或发现并纠正账户或列报发生错报的可能性的大小，以及因一项或多项控制缺陷导致的潜在错报的金额大小等因素。

　　7.应当在底稿中充分记录对内部控制缺陷分类汇总情况。分类应当区分财务报告内部控制缺陷、非财务报告内部控制缺陷，并按照严重程度进行归类。对于重大缺陷和重要缺陷，在出具内部控制审计报告之前，应当以书面形式与管理层和治理层沟通。同时应当以书面形式与管理层沟通其在审计过程中识别的所有其他内部控制缺陷，并在沟通完成后告知治理层。所有书面沟通记录以及汇报记录均应形成相应工作底稿。

　　8.与财务报表审计不同，在进行内部控制审计时，通常不专门针对基准日之后的财务报告内部控制进行具体测试，但是应关注是否存在期后事项的迹象，询问是否存在内部控制的变化或出现其他可能对内部控制产生重要影响的因素，获取被审计单位关于这些情况的书面声明，并按照《中国注册会计师审计准则第1332号——期后事项》的规定，对获取的期后期间的相关文件资料进行检查。一旦发现内部控制在期后有重大改变或存在对内部控制有重大影响的事项，则需要判断期后事项的性质，考虑对审计报告的影响。

　　9.在财务报表被出具非无保留意见，以及注册会计师对财务报表进行了重大错报调整的情况下，应合理评价相应内部控制缺陷的严重程度，并充分考虑对内部控制审计报告意见的影响。

　　10.在整合审计中，应关注财务报表审计与内部控制审计之审计证据和结论的相互参照。特别应当评价财务报表审计中实施的实质性程序的结果对控制有效性结论的影响。评价时应关注财务报表审计中实施实质性程序所发现的以下问题是否表明存在财务报告相关的内部控制缺陷：(1)违反法律法规行为和关联方交易方面的问题;(2)管理层在选择会计政策和作出会计估计时存在偏向的情况;(3)实施实质性程序发现的单项或单一性质与方式累积超过重要性水平的错报，一般表明与财务报表相关内部控制存在重大缺陷，应谨慎判断对内部控制审计结论的影响。

　　11.整合审计时，在财务报表审计报告中注册会计师责任段，应描述为：“了解与审计相关的内部控制，以设计恰当的审计程序”，而不能错误的描述为：“了解与审计相关的内部控制，以设计恰当的审计程序，但目的并非对内部控制的有效性发表意见”。

福建省注册会计师协会

2020年12月1日