4内部控制审计与内部控制自我评价

返回 相关 举报
4内部控制审计与内部控制自我评价_第1页
第1页 / 共6页
4内部控制审计与内部控制自我评价_第2页
第2页 / 共6页
4内部控制审计与内部控制自我评价_第3页
第3页 / 共6页
4内部控制审计与内部控制自我评价_第4页
第4页 / 共6页
4内部控制审计与内部控制自我评价_第5页
第5页 / 共6页
点击查看更多>>
资源描述
内部控制审计与内部控制自我评价审计指引第九条规定:“注册会计师应当对企业内部控制自我评价工作进行评估,判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度,相应减少可能本应由注册会计师执行的工作。 ”本章中,我们将上述“内部审计人员、内部控制评价人员和其他相关人员”统称为“内部控制评价人员” 。尽管企业内部控制审计与内部控制自我评价工作的主体不同,但其实施的相关工作的方法和内容在很大程度上有着相同或类似之处,如审计和自我评价的具体工作方法、审计程序与评价程序、对内部控制缺陷的判断及出具的审计报告和自我评价报告。因此,注册会计师在进行内部控制审计的过程中,应在充分了解的基础上,对企业内部控制自我评价工作进行评估,以确定是否利用内部控制自我评价人员的工作,提升内部控制审计工作的效率。第一节 企业内部控制自我评价概述基本规范第四十六条规定:“企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。 ”动态地看,企业建立与完善内部控制体系包括设计、实施及评价三个环节,这三个环节构成一个完整的有机循环。自我评价是内部控制体系随着企业发展而不断更新、持续有效运行的重要保障。一、内部控制自我评价的主体评价指引第二条规定:“内部控制自我评价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。 ”由此可见,董事会或类似权力机构是对内部控制自我评价负责的最终责任人。评价指引第十二条规定:“企业可以授权内部审计部门或专门机构负责内部控制评价的具体组织实施。 ”在企业实务工作中,内部控制自我评价是一项常规性的、系统性强而又繁杂的工作,由董事会成员来亲自实施不够现实。通常,董事会根据相关权责分配制度和议事规则,授权某个职能部门来承担内部控制自我评价的具体工作。较为常见的有以下几种情形:(1)设立独立的内部控制部门。企业设立独立的内部控制部门(以下简称“内控部” )专职进行内部控制的组织、协调及评价工作。内控部的职责往往包括编制内部控制体系建设规划,经经理层和董事会批准后组织实施;负责组织各相关部门对内部控制体系进行日常维护;开展内部控制自我评价工作并草拟评价报告,同时对于发现的内部控制缺陷提出改善建议,提请相关控制责任人整改并追踪整改进程;为各部门提供内部控制方面的培训及协调配合注册会计师的内部控制审计工作等。 (2)将内部控制自我评价职责落实在内部审计部门。传统上,内部审计部门(以下简称“内审部” )的职责包括财务报表审计、任期经济责任审计、预算内外资金使用审计、固定资产投资项目审计和其他专项审计等。内部审计人员在履行这些职责时,或多或少会对企业某方面的内部控制运行情况进行检查和测试,将内部控制自我评价的职责授权给内审部,能够充分整合和利用内审部原有的工作内容,提高内部控制自我评价工作的效率。 (3)赋予其他部门内控评价职责,进行内部控制自我评价。有些企业在财务部门或风险管理部门下增设处室,负责企业内部控制自我评价工作的具体实施。企业应根据自身机构设置、人员素质等特点,因地制宜地落实内部控制自我评价职责。一般说来,一个部门在企业里的地位越高、独立性越强,其实施内部控制评价的权威性越高;部门的职责越单一,对工作的投入就越深入。进行内部控制自我评价,要对所有重要的控制活动进行测试,不仅涉及普通员工的工作流程,还包括高级管理人员的政策、流程的设计及执行情况,更需要测试主体具有客观甚至超脱的态度和地位;同时要求测试主体对整个企业的各项业务、各种制度都熟悉甚至精通;另外,为评价而进行的测试需要一定的样本量,且工作时间可能集中在某些时段,内部控制自我评价工作对执行人员的数量和素质的要求都比较高。因此,企业内部控制评价部门必须有相对独立和权威的地位,能够独立地对内部控制体系进行监督;同时,应配备足够数量的具备专业胜任能力和职业素养的工作人员。自我评价部门是否拥有奖惩权力(至少是建议权)是确保其权威性的重要手段之一。实务中,很多企业将内部控制的遵循性设为考核指标中的扣减项,即若内部控制出现缺陷,就在现有的考核指标得分中减分,对于重大缺陷,内部控制评价部门往往拥有一票否决权。评价指引第十四条规定:“企业可以委托中介机构实施内部控制评价。为企业提供内部控制审计服务的会计师事务所,不得同时为同一企业提供内部控制评价服务。 ”值得注意的是,即使内部控制自我评价工作被委托给中介机构,其内部控制评价活动仅构成董事会委托下的工作,最终对内部控制负全面责任的主体仍然是董事会,同时,为确保中介机构更好地贯彻董事会对内部控制评价工作的关注重点,董事会应加强对中介机构的监督与指导。为了确保审计的独立性,中介机构不得为同一家企业同时提供内部控制审计和内部控制评价服务。 二、内部控制自我评价的内容与程序内部控制自我评价的对象是内部控制体系的有效性。 评价指引第五条规定:“企业应当根据企业内部控制基本规范 、应用指引以及本企业的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面评价。 ”内部控制自我评价的内容是全面内部控制,包括财务报告内部控制与非财务报告内部控制,这一点与内部控制审计有明显的区别,后者仅针对财务报告内部控制进行审计并发表审计意见。评价指引第十二条规定:“企业应当按照内部控制评价办法规定的程序,有序开展内部控制评价工作。内部控制评价程序一般包括:制订评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。 ”评价指引第十三条规定:“企业内部控制评价部门应当拟订评价工作方案,明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容,报经董事会或其授权机构审批后实施。 ”实务工作中,企业在确定了内部控制评价部门及其职责后,应制定内部控制自我评价的政策和流程,报经董事会批准。这类政策和流程一般以“内部控制自我评价手册”或者“内部控制自我评价工作指导方案” (以下均简称“自我评价手册” )的形式体现,其中往往规定了内部控制自我评价的原则、方法、程序、评价小组的组织原则、评价人员的素质要求、缺陷认定标准、评价报告后续跟进等。内部控制评价部门编制的评价方案通常在年初完成,构成部门年度工作计划的一部分,报经经理层和董事会批准后实施。在实施过程中,可以根据实际情况对方案进行修订并再次报批。评价指引第十一条规定:“内部控制评价工作应当形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。 ”在实务中,内部控制自我评价部门往往会设计一套自我评价工作底稿,通常以电子表格形式体现,用以记载内部控制自我评价工作的完整过程。企业应按照档案保管的相关规定恰当保存内部控制自我评价工作底稿,以备董事会或其他机构在需要时核查。三、内部控制自我评价报告评价指引第十九条规定:“企业内部控制评价部门应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。 ”实务中,对于重大缺陷、重要缺陷和一般缺陷,包括财务报告内部控制缺陷和非财务报告内部控制缺陷,企业一般会在自我评价手册中制定明确的缺陷认定标准,并传达到所有内部控制评价人员。为了确保内部控制自我评价的客观性及不同期间的可比性,缺陷认定的原则和方法不应随意调整。相对于非财务报告内部控制缺陷而言,财务报告内部控制缺陷的判断中,定量的方法更常用一些;企业在对非财务报告内部控制缺陷进行判断时,可以参考财务报告内部控制缺陷的定量判断方法。企业在对缺陷的严重程度进行认定时,应同时从定量和定性两个角度进行。企业可能会与审计师就缺陷的认定原则和标准进行讨论,如认定标准中涉及的重要性水平,注册会计师可以与企业分享重要性水平的确定方法。为了避免评价者与发生缺陷的相关控制的负责人或其他相关人员之间造成误解,内部控制评价人员会就发现并认定的缺陷与相关负责人进行反复核实,确认评价人员的理解正确,即确认缺陷的存在,在此基础上,内部控制评价小组中的核心技术人员会对内部控制自我评价工作底稿中记载的缺陷情况进行复核,确保缺陷的认定符合自我评价手册中确定的缺陷认定标准及各方理解无误,并进行恰当的汇总评估,从而最终形成自我评价意见并报告。内部控制自我评价报告应经经理层和董事会批准后对外披露或报告。值得强调的是,内部控制自我评价工作的价值不仅在于编制评价报告,对内部控制有效性的相关信息进行报告或披露,更重要的是,应针对识别出的控制缺陷,提出可操作性强的改善建议与相关部门及人员进行讨论,协商确定整改的方案及具体完成时限,督促该部门进行整改,并在到达完成时限时,跟踪检查整改的完成情况并向经理层或董事会汇报。按照相关规定对外披露或报告以 12 月 31 日为基准日的内部控制自我评价报告是企业的法定责任。此外,企业可能基于管理目的而编制内部控制自我评价报告供内部使用或用于其他特殊目的,其基准日、评价对象与范围、报告内容与报告目的等可能与法定责任规定的评价报告不同。如可能是针对重大缺陷及建议的整改措施的专门报告,或针对集团内某些子公司某方面的内部控制有效性的评价报告等。这些报告虽然不属于对外披露的法定内容,但由于其所含信息比较广泛、深入,针对性强,可能帮助注册会计师更深入地了解企业的内部控制状况,值得注册会计师关注。第二节 利用内部控制自我评价提高审计效率审计准则第 1411 号-考虑内部审计工作 (以下简称“1411 号准则” )对注册会计师考虑和利用企业的内部审计(包括对内部控制的监督工作)进行了规范,尽管该准则适用于注册会计师执行财务报表审计业务,但注册会计师在执行财务报告内部控制审计业务及整合审计中,可以参考借鉴 1411 号准则的相关规定,对企业内部控制自我评价工作进行了解、评价,进而确定是否利用及如何利用自我评价工作提高审计效率。一、了解内部控制自我评价的目的根据审计指引第九条的规定,注册会计师对企业内部控制自我评价的相关工作进行了解的最主要目的,是通过了解内部控制自我评价工作对内部控制评价人员的专业胜任能力和客观性进行评估,以确定对他们工作的利用程度。1411 号准则第三条规定:“本准则所称内部审计,是指由被审计单位内部机构或人员,对其内部控制的有效性、财务信息的真实性和完整性以及经营活动的效率和效果等开展的一种评价工作。 ”此处明确的内部审计工作范围,与注册会计师内部控制审计或整合审计的工作范围有一定程度的重叠,注册会计师对这些工作进行了解,有助于增进注册会计师对企业内部控制的理解。1411 号准则第十二条规定:“注册会计师应当根据内部审计职能的评估结果,确定在实施风险评估以及修改进一步审计程序的性质、时间和范围时是否利用内部审计。 ”类似地,注册会计师在开展财务报告内部控制审计工作前,若希望考虑利用企业的内部控制自我评价工作,则应先了解企业内部控制自我评价职能及其相关工作的情况,以评估和确定在内部控制审计时是否利用、如何利用内部控制自我评价工作。二、应了解的内部控制自我评价的内容审计指引第九条规定:“注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作,应当对其专业胜任能力和客观性进行充分评价。 ”具体说来,注册会计师应考虑下列重要因素:内部控制自我评价的组织地位及其对客观性的影响;内部控制自我评价的职责范围;内部控制自我评价人员的专业胜任能力;内部控制自我评价人员应有的职业关注。如本章第一节所述,内部控制自我评价部门在企业里的地位越高、独立性越强,其权威性越高,客观性也就越强。企业开展内部控制自我评价应遵循三个原则,即全面性、重要性和客观性。全面性是指内部控制涵盖的范围应覆盖到各分子公司、各业务及职能部门的全部业务。重要性是指坚持风险导向,将重要的领域纳入评价范围。重要性是以全面性为前提,即应考虑将哪些领域作为重要领域。客观性是指客观地评价内部控制的有效性。客观性是企业内部控制自我评价的灵魂,如果失去客观性,内部控制自我评价报告及相应的工作底稿将失去基本的意义,对注册会计师也没有任何价值。因此,注册会计师在了解内部控制自我评价工作时,首先要做的就是了解内部控制自我评价部门在企业中的地位,包括其直接汇报上级,是否在集团内集中统一管理或垂直管理等,并在此基础上分析是否有影响其客观性的因素及影响程度,如内控自我评价部门直接汇报给首席财务官和直接汇报给审计委员会,二者的地位是不一样的,相应地,其独立性和客观性是不一样的。考虑客观性时还应关注另一个维度,即内部控制自我评价工作的具体安排,原则上应采取回避制度,即内部控制评价人员应避免测试一定期间内由本人执行或其直接上级执行的工作。如本章第一节所述,部门的职责越单一,对工作的投入就越深入。一般说来,那些专职的内部控制评价部门会比同时兼任其他职能的部门对内部控制评价投入更多的时间和精力。因此,注册会计师要了解内部控制评价部门的全部职责,并查看该部门的年度工作计划等相关文档,以判断其对内部控制自我评价工作的投入程度。内部控制评价是一项对人员素质要求很高的工作。注册会计师应了解内部控制自我评价人员的专业胜任能力。一般说来,内部控制评价人员应掌握一定的内部控制专业技能,具有一定的财务背景知识,了解企业的各项业务,具有良好的沟通和表达能力。注册会计师可以通过查阅内部控制自我评价工作底稿等方式了解评价人员的专业胜任能力。内部控制评价人员应具备应有的职业关注,应遵循职业道德规范,并以应有的职业谨慎态度执行内部控制评价的相关工作。注册会计师在了解内部控制评价人员的胜任能力的同时,可通过询问、查阅记录等方式了解他们是否接受了相关培训以及是否存在类似的执业规范,继而通过审阅内部控制评价相关工作底稿来对自己的判断进行初步验证。三、利用内部控制评价人员的工作提高审计工作效率在对内部控制评价人员的胜任能力及客观性进行了解和评价后,注册会计师应初步确定是否拟利用其工作,在什么程度和什么范围内利用内部控制评价人员的工作,以减少可能本由注册会计师执行的工作。 审计指引第九条规定:“与某项控制相关的风险越高,可利用程度就越低,注册会计师应当更多地对该项控制亲自进行测试。 ”注册会计师确定利用内部控制评价人员的工作时,不仅考虑该等人员的专业胜任能力和客观性,同时还应考虑拟利用该等人员进行测试的控制的风险,对于被评价为风险较高的领域,如由集团内各分子公司共享的集中控制、复杂的信息系统自动控制等,注册会计师应更多地亲自实施审计程序;对于被评价为风险较低的领域,如金额较小、性质普通的常规交易,注册会计师可更多地利用内部控制评价人员的工作。审计指引第九条规定:“注册会计师应当对发表的审计意见独立承担责任,其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。 ”注册会计师是否利用内部控制评价人员的工作,以及在什么程度、什么范围上利用该等人员的工作,仅是注册会计师审计策略和审计方法的取向,不影响注册会计师对内部控制审计意见的责任,即无论注册会计师是否利用内部控制评价人员的工作,注册会计师仍需对其发表的内部控制审计意见独立承担责任,注册会计师不能以利用了他人工作为由,逃避承担内部控制审计责任。值得注意的是,如果企业未对内部控制进行自我评价,或自我评价工作不完善,如自我评价的政策或流程不完整、自我测试工作流于形式、缺陷评价的标准明显不合理、内部控制评价人员的胜任能力及客观性不足等,注册会计师应充分了解这些情况,并分析这些情况出现的原因,综合分析评估这些因素对内部控制审计甚至整合审计工作的影响,必要时调整审计策略。同时,注册会计师还应就已发现的内部控制自我评价工作的不足与企业经理层及董事会进行书面沟通
展开阅读全文
相关资源
相关搜索
资源标签
网站客服QQ:736505653
中华第一财税网文库分网版权所有
粤ICP备15045937号