浅谈企业内部控制审计的框架.docx

1、浅谈企业内部控制审计的框架 摘要： 关键词：企业 内部控制 审计 框架 2010年 4月 26日，财政部出台了企业内部控制规范，并规定执行企业内部控制规范的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请会计师事务所对其财务报告的内部控制的有效性进行审计，出具审计报告。注册会计师在内部控制审计过程中，注意到企业非财务报告的内部控制重大缺陷的，应当提示投资者、债权方和其他利益相关方关注。 一、企业内部控制审计的定位： 1、审计业务，非审阅业务。收集的审计证据比较充分，高度保证。 2、基于认定（内部控制自我评价报告）的审计业务。 3、 对特定时点的财务报告的内部控制的

2、有效性发表审计意见。 4、范围：财务报告内部控制，对非财务报告内部控制，只是适当关注。 5、内容：财务报告内部控制设计和运行的有效性。 6、目的：对财务报告内部控制的可靠性、经营的效果效率、经营活动的合法性发表审计意见。 7、责任的划分：建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。 二、企业内部控制审计的思路： 1、风险导向审计思路，以财务报告内部控制重大 缺陷风险的识别、评估、应对作为审计工作主线，在风险评估的基础上，把审计资源放在高风险领域，提高审计效率和效果。 2、自上而下的工作思路，旨在充

3、分利用企业层面的控制作用，具体包括： 、识别、了解和评价企业整体层面控制设计的有效性。 、从财务报表层次识别重大账户。 、识别与重大帐户相关的认定。 、识别重要的业务流程和主要的交易类别。 三、企业内部控制审计的测试方法： 测试方法一般包括询问、观察、检查、重新执行、穿行测试等，但是询问本身并不足以为得出控制是否有效的结论提供充分适当 的审计证据。注册会计师应当对每一相关认定获得相关证据，以便对内部控制整体的有效性发表审计意见，但没有责任对单项的控制发表审计意见。 时间安排：越接近管理层评估日越有效，涵盖的期间越长越有效。 每年的内部控制审计都应该独立进行，对于连续审计，可以减少测试的工作量，

4、但绝对不允许完全不测；对自动化控制，如果确实没有变化的，可以不测。 每年都要改变控制测试的性质、时间和程序，增加不可预见性。 四、评价企业内部控制缺陷： 1、内部控制缺陷按起因分为两种： 设计缺陷：指缺少为实现 某个控制目标所必需的控制。 运行缺陷：现存设计完好的控制没有按照实际意图执行，或者执行人员没有必要的授权，或者缺乏专业胜任能力。 2、内部控制缺陷按影响程度分为三种： 重大缺陷：是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。 重要缺陷：内部控制中存在的，其严重程度不如重大缺陷，但足以引起负责监督企业财务报告的人员关注的一项或多项控制缺陷。 一般缺陷：除重大缺陷、重要缺陷以

5、外的其他缺陷。 评价错报可能性的时候需要考虑的因素： 1、所涉及的账 户、列报及其相关认定的性质。 2、相关资产和负债易于发生舞弊或错误的程度。 3、确定相关金额是所需判断的主要难度和复杂程度。 4、该项控制与其他控制的相互作用和关系。 5、控制缺陷之间的相互作用。 五、审计报告 1、出具无保留意见的内部控制审计报告的条件：在所有重大方面保持了有效的内部控制；审计范围未受到限制。 2、出具带强调事项段的内部控制审计报告的条件：存在一项或多项重大事项需要提请报告使用者注意，但财务报告内部控制不存在重大缺陷。 3、出具否定 意见的内部控制审计报告的条件：审计范围未受到限制，但是内部控制存在一项或多

6、项重大缺陷的。 4、出具无法表示意见的内部控制审计报告的条件：审计范围受到限制。 六、内部控制审计与财务报告审计的整合关系 美国和日本强制要求内部控制审计与财务报告审计必须由一家事务所来做，在我们国家，指引里面只是鼓励两个审计由一家事务所来做。 两者的联系：都必须要了解内部控制；在某些情况下，都需要测试内部控制；了解和测试的方法是相同的。 两者的区别： 范围：财务报告审计只有在两种情况下才测试内部控制，而在内部控制审计中，针对所有的相关认定都必须测试内控。 数量：财务报告审计中，只测试信赖期间，在内部控制审计中，测试要涵盖足够长的时间。 两者的整合：目标不同；重要性水平相同，重要账户列报以及相

7、关认定相同；财务报告审计中，实施实质性程序的结果对内部控制审计有影响；内部控制审计中，识别的某项控制缺陷，对财务报告审计中的审计程序有影响；两者的审计意见未必一样。 整合作用的极限：注册会计师应该通过直接测试内部控制是否有效，而不能因为财务报告实质性程序没有发现重大错报而推断该项内控没有缺陷；在财务 报告审计中，无论你评估的控制风险、重大错报风险如何，都必须对重要的账户、交易、列报实施实质性程序。 七、美国实施内部控制审计的经验 在可行的情况下，以企业内部控制评价为基础；尽早和经常与管理层进行沟通；与管理层协调自我评估的时间，在准则允许的情况下，最大程度利用管理层的工作；尽早识别和评估那些对财务报告内部控制有效性评估有广泛影响的风险和控制；一定要将财务报告审计和内部控制审计作为一个工作整合来做；在适当情况下，尽可能依赖内部控制审计；尽量采用双重目的的审计程序。 参考文献：企业 内部控制基本规范企业内部控制配套指引审计 思想汇报