内部控制审计的程序和方法
审计准备阶段
1.计划审计业务。审计师应该适当地计划和协助内部控制审计,以确保必要时进行适当的监督。
2.评估管理评估的过程。审核员必须了解管理层评估内部控制有效性的过程。主要包括:审计师决定测试哪些控制,包括所有重要会计科目和财务报表中披露的控制;评估控制失效导致误报的可能性和程度,以及在有效实施其他控制的情况下达到相同控制目标的程度;评估控制设计的有效性;根据评价控制实施有效性的程序是否充分,评价控制实施的有效性;确定内部控制缺陷的程度以及造成重要缺陷和实质性漏洞的可能性;评价审计发现是否合理,是否支持管理层的评价。
3.评估管理层的文件。主要包括控制与重要会计科目和财务报表披露相关的所有识别的设计;关于如何启动、授权、记录、处理和报告重要交易的信息;有关交易流向的充分信息,包括识别可能发生错误或欺诈、导致重大错报的关键点;为防止或发现欺诈而设计的控制措施,包括实施控制的人员和相关的责任分工;对最终财务报告流程的控制;对资产保护的控制以及管理层进行的测试和评估的结果。
4.了解内部控制。主要通过询问适当的管理层、主管和员工;检查公司文件;观察特殊控制的应用;通过信息系统跟踪与财务报告相关的交易,了解公司内部控制的各个方面。
5.识别重要的会计科目。审计人员应首先在财务报表、会计科目或披露因素层面确定重要的会计科目和披露。决定重要的会计科目和财务报表的披露也是决定特殊控制测试的起点。
6.确定重要流程和主要交易类别。审计人员应当识别影响重要会计科目或几组会计科目交易的每个主要重要过程。主要交易类型是指对财务报表有重要影响的交易类型。
7.了解最终的财务报告流程。作为理解和评价最终财务报告过程的一部分,审计师应该评价:公司使用投入产出法编制年度和季度财务报表;信息技术在最终财务报告中的使用程度;管理层参与;涉及的营业场所数量;调整分录的类型(例如,标准、非标准、抵销和合并);以及包括管理层、董事会和审计委员会在内的适当机构对该过程进行监督的性质和程度。
审计实施阶段
1.执行走查测试。审计人员应对第一种交易类型至少进行一次走查测试。审计人员实施的走查测试应涉及单个交易的启动、控制、记录、处理和报告的全过程,以及对每个重要审计过程的控制,包括旨在发现风险和欺诈的控制。走查测试可以为审计人员提供以下证据:确保审计人员识别和理解为内部控制的五个主要方面而设计的控制,包括与防止或发现舞弊有关的控制;确保审计人员对整个过程有所了解,并根据每一份相关财务报表,确定判断过程中是否容易错报的关键点;评估控制设计的有效性;并确认控制是否实施。
2.确定用于测试的质控品。审计人员应当获取充分的证据,证明对财务报表中所有重要会计科目和披露的控制是有效的。在识别重要会计科目、相关标识和重要流程后,审计人员应评价以下内容,以识别可测试的控制:发生错误或舞弊的节点;管理层实施的控制的性质;控制对实现控制标准目标的重要性以及是否需要一个以上的控制来实现特定目标,或者是否需要添加一个以上的控制来实现特定目标;并控制不能有效实施的风险。
3.测试和评估设计和运行效果。当预计实施的控制将防止或发现导致财务报表重大错报的错误或舞弊时,内部控制的设计是有效的。审计人员应通过以下标准判断公司是否实施了控制以实现控制目标:确定公司各个领域的控制目标;确定符合每个目标的控制措施;判断控制是否得到有效实施,是否能够防止或发现将导致财务报表重大错报的错误或舞弊。审核员应通过判断控制是否按计划实施,以及实施控制的人员是否获得了必要的授权并具备有效实施控制的能力来评价控制实施的有效性。控制和测试实施有效性的方法包括询问适当的人员、检查相关记录、观察公司的运作和重新实施控制措施相结合。
4.对内部控制是否有效形成意见。在对内部控制发表意见时,审计人员应当对获得的所有证据进行评价并发表意见。只有在没有发现实质性漏洞,审计人员的工作没有受到限制的情况下,审计人员才能发表无保留意见。如果存在实质性漏洞,审计师应当对财务报告内部控制发表否定意见。如果工作范围受到限制,审计人员应表示保留意见或无法表示意见,这取决于受限制的范围。
5.评估内部控制的缺陷。审计人员必须评估已经发现的控制缺陷,并决定这些缺陷,无论是单独的还是累积的,是重要的缺陷还是实质性的漏洞。在评价内部控制缺陷的严重程度时,应当考虑以下几个方面:(1)缺陷或缺陷汇总导致某一会计项目的余额或披露出现错报的可能性;由一个或多个缺陷导致的潜在错报的严重程度。
审计报告的形成阶段
1.审计师对管理报告的评价。关于管理层对其内部控制有效性的评价报告,审计师应评价以下事项:管理层是否已声明其对建立和维护适当的内部控制系统负有责任;管理层用于执行评估的框架是否适当;截至公司最近一个会计年度末,对管理层内部控制有效性的评价是否不包含重大错报;管理层是否以可接受的形式表达了其评估。
2.报告的修订。如有下列情况之一,审计师应修改标准报告:管理层的评价不足,或管理层的报告不恰当;公司内部控制存在重大缺陷;对业务约定书范围的限制;对于自己的报告,审计师决定参考其他审计师的一些报告作为依据;自报告日以来发生了重大事后事件;其他信息包含在内部控制管理报告中。
3.审计师评估管理层对内部控制披露的确认。当内部控制变更的原因是纠正实质性漏洞时,管理层有责任确定变更的原因和周围环境是否是充分确定变更的披露具有误导性的重要信息,审计师也应对此进行评估。