內控內審指引
『壹』 內控和內審有什麼區別
內控與內審的區別:
1、目標不同。內部控制是建立相互制約的管理關系,目的是改善經營管理;內部審計是對各種業務進行評價,是否合規。
2、手段不同。內部控制手段主要有環境控制、風險評估、活動控制、信息與溝通、監控等;內部審計主要手段是查證、函證、抽樣、座談、調查等。
3、關注點不同。內部控制的關注點是管理流程、制度和崗位約束、制度的有效性、關鍵崗位等;內部審計的關注點是各項指標完成情況,異常財務現象,財務規范性等。
4、對象不同。內部控制的對象是整個企業的各個環節;內部審計是相關環節和財務相關信息。
『貳』 內控與內審的區別和聯系
內控與來內審的區別:
1、目標不同。內自部控制是建立相互制約的管理關系,目的是改善經營管理;內部審計是對各種業務進行評價,是否合規。
2、手段不同。內部控制手段主要有環境控制、風險評估、活動控制、信息與溝通、監控等;內部審計主要手段是查證、函證、抽樣、座談、調查等。
3、關注點不同。內部控制的關注點是管理流程、制度和崗位約束、制度的有效性、關鍵崗位等;內部審計的關注點是各項指標完成情況,異常財務現象,財務規范性等。
4、對象不同。內部控制的對象是整個企業的各個環節;內部審計是相關環節和財務相關信息。
『叄』 內部控制審計的內部控制五要素
內部控制審計的內部控制五要素如下:
1、內部控制環境,即評價以公司治理結構、機構設置和權責分配、內部審計、人力資源政策、企業文化在內的內部控制環境對企業經營管理活動的影響。
2、風險評估,即分析企業風險控制目的設置的合理性,評價開展風險評估范疇的全面性、風險評估結果的有效性和風險應對策略的科學性。
3、控制活動,即評價企業根據風險評估結果設置的內部控制措施的科學性和控制效果的有效性。
4、內部控制信息和溝通,即評價企業內部控制相關信息在收集、處理和傳遞程序的科學性,分析信息技術在內部控制信息和溝通中所發揮作用的情況,判斷企業在反舞弊工作重點領域相關工作機制的有效性。
5、內部監督制度,即分析企業內部審計機構和其他內部機構在內部監督中的職責許可權情況,判斷企業實施內部監督的程序、方法、目的等要求的科學性,有效性。
(3)內控內審指引擴展閱讀:
內部控制審計的審計內容:
1、內部控制審計計劃及重大修改情況;
2、相關風險評估和選擇擬測試的內部控制的主要過程及結果;
3、測試內部控制設計與運行有效性的程序及結果;
4、對識別的控制缺陷的評價;
5、形成的審計結論和意見;
6、其他重要事項。
『肆』 內控內審九大循環
內控內審「九大循環」包括: 采購、生產、銷售、薪工、投資、融資、固定資產、資訊(軟體、硬體)、研發 。
『伍』 內控與內審放在一個部門會怎樣
內審要保持獨立,不可以在一個部門。
內控與內審有關聯的地方在於:
1、內審是內內控環境的一個要素;
2、內控的建立健全通常是在審計委員會之下由內審部門牽頭完成;
3、內控的有效性,要靠內審來評價,就有了「內部控制的內部審計」,在今年的內控指引中叫做「內部控制的評價」。這幾個是站在內控的角度去看內審。
反過來,站在內審的角度去看內控。
4、了解被審計單位的內控情況,是開展內審的前期工作。內容控有效的子公司,集團公司對其進行內部審計時,會減少實質性測試的抽樣樣本。
5、內審報告需要對被審計單位提供管理建議書,其中重要的內容就是如何完善內控。
『陸』 內部控制審計的具體流程是怎麼樣的
內部控制審計的具體流程為:
1、了解企業的內部控制情況,並做出相應的記錄。這是內部控制制度審計的第一步,其主要目的是通過一定手段,了解被審計單位已經建立的內部控制制度及執行的情況,並做出記錄、描述。
2、初步評價內部控制的健全性。確認內部控制風險,確定內部控制是否可依賴。在對控制環境、控製程序和會計系統進行調查了解,對被審計單位內部控制有了一個初步的認識的基礎上,應對內部控制風險和內部控制的可依賴程度做出初步評價。
3、實施符合性測試程序,證實有關內部控制的設計和執行的效果。通過對內部控制進行初步評價,可基本掌握被審計單位內部控制的強弱環節,為進行符合性測試確定一個前提。
4、評價內部控制的強弱,評價控制風險,確定在內部控制薄弱的領域擴展審計程序,制定實質性審計方案。
(6)內控內審指引擴展閱讀:
內部控制風險識別、評估與防範:
1、內部控制潛在風險識別情況;
2、內部控制潛在風險程度評估情況;
3、內外環境變化時,內部控制潛在風險再識別與再評估及時性情況;
4、內部控制潛在風險防範措施。
內部控制措施與控制活動情況
1、為保證內部控制目標實現而制定的政策、制度、規定、業務流程等;
2、授權與分權情況;
3、經濟活動運行的報告、統計情況;
4、復核情況;
5、業務檢查與監督情況;
6、非相容崗位的分離設置情況
7、關鍵過程或環節的控制情況。
內部信息識別與管理:
1、內部控制信息體系的建立與保持情況;
2、內部控制信息的識別、處理、溝通與反饋;
3、內部控制制度的管理;
4、內部控制記錄的管理,特別是關鍵內部控制記錄的管理。
『柒』 內控和內審的區別
內控和內審的區別如下:
1、概念不同
內控是內部控制的簡稱,指一般公司企業內部的控制運作。內部會計控制是指單位為了提高會計信息質量,保護資產的安全、完整,確保有關法律法規和規章制度的貫徹執行等而制定和實施的一系列控制方法、措施和程序。
內審是內部審計的簡稱,內部審計之父索耶關於內部審計的定義是:對組織中各類業務和控制進行獨立評價,以確定是否遵循公認的方針和程序,是否符合規定和標准,是否有效和經濟地使用了資源,是否在實現組織目標。
2、范圍不同
內審以財務報告內部控制為主。內審的范圍,直接決定著審計的質量、成本和責任,決定著審計的可行性。但是以整個內控作為內審的范圍,既不明確,也不好把握,容易產生審計風險,審計的可行性會有問題。
3、性質不同
內審是企業外部對企業的內控,是會計師事務所對企業內部控制的有效性進行的審計,是一種獨立的鑒證業務。內控是企業內部管理層對企業的內控評價,通常情況,授權內審機構對企業內控進行評價,是一種相對獨立的服務業務。
4、責任主體不同
在實施審計工作的基礎上對內部控制的有效性發表審計意見,是注冊會計師的責任。企業內部控制責任是由企業承擔的,而內部控制審計責任是由注冊會計師承擔的。兩種責任的分離決定了企業和注冊會計師在分別實施內褲和內審的時候必須按照不同的規則獨立完成,兩者之間不能相互替代和免除。
(7)內控內審指引擴展閱讀:
內控的管理局限
1、人為過失。執行內控制度的人在決策過程中因在一定的時間內、基於所掌握的信息以及所受到的壓力,作出在事後看來沒有產生理想結果的判斷。
2、內部控制體系設計中的缺陷。制度是人執行的,在執行的過程中因制度設計的缺陷以及執行的人員培訓問題會造成錯誤。
3、 管理層凌駕內部控制體系。出於個人利益或虛誇主體的財務狀況或合規情況等不法企圖,而拒絕執行既定的政策或程序。
4、 員工串通或舞弊。
5、 建立控制的相關成本與效益比較。
『捌』 內部控制應用指引、評價指引和審計指引的關系是
內控應用指引是告訴你如何設置內部控制,評價指引是公司自己內部評價內控。審計指引是注冊會計師進行內控審計時候看的。。
我給你一點書上的,講的復雜,但就是我說的那回事。。哈哈
『玖』 企業內部控制審計指引實施意見的關於實施審計工作
注冊會計師應當採用自上而下的方法選擇擬測試的控制。
自上而下的方法始於財務報表層次,以注冊會計師對內部控制整體風險的了解開始,然後,將關注重點放在企業層面的控制上,並將工作逐漸下移至重要賬戶、列報及其相關認定。隨後,驗證其對被審計單位業務流程中風險的了解,並選擇能足以應對評估的每個相關認定的重大錯報風險的控制進行測試。
自上而下的方法分為下列步驟:
(1)從財務報表層次初步了解內部控制整體風險;
(2)識別、了解和測試企業層面控制;
(3)識別重要賬戶、列報及其相關認定;
(4)了解潛在錯報的來源並識別相應的控制;
(5)選擇擬測試的控制。
本部分第(二)至(五)對自上而下的方法的各個步驟進行了規定,第(六)至(十三)對控制有效性測試進行了規定。 注冊會計師應當識別、了解和測試對內部控制有效性有重要影響的企業層面控制。注冊會計師對企業層面控制的評價,可能增加或減少本應對其他控制進行的測試。
1. 企業層面控制對其他控制及其測試的影響
不同的企業層面控制在性質和精確度上存在差異,注冊會計師應當從下列方面考慮這些差異對其他控制及其測試的影響:
(1)某些企業層面控制,如與控制環境相關的控制,對及時防止或發現並糾正相關認定的錯報的可能性有重要影響。雖然這種影響是間接的,但這些控制仍然可能影響注冊會計師擬測試的其他控制,以及測試程序的性質、時間安排和范圍。
(2)某些企業層面控制旨在識別其他控制可能出現的失效情況,能夠監督其他控制的有效性,但還不足以精確到及時防止或發現並糾正相關認定的錯報。當這些控制運行有效時,注冊會計師可以減少對其他控制的測試。
(3)某些企業層面控制本身能夠精確到足以及時防止或發現並糾正相關認定的錯報。如果一項企業層面控制足以應對已評估的錯報風險,注冊會計師就不必測試與該風險相關的其他控制。
2. 企業層面控制的內容
企業層面控制包括下列內容:
(1)與控制環境(即內部環境)相關的控制;
(2)針對管理層和治理層凌駕於控制之上的風險而設計的控制;
(3)被審計單位的風險評估過程;
(4)對內部信息傳遞和期末財務報告流程的控制;
(5)對控制有效性的內部監督(即監督其他控制的控制)和內部控制評價。
此外,集中化的處理和控制(包括共享的服務環境)、監控經營成果的控制以及針對重大經營控制及風險管理實務的政策也屬於企業層面控制。
3. 對期末財務報告流程的評價
期末財務報告流程對內部控制審計和財務報表審計有重要影響,
注冊會計師應當對期末財務報告流程進行評價。
期末財務報告流程包括:
(1)將交易總額登入總分類賬的程序;
(2)與會計政策的選擇和運用相關的程序;
(3)總分類賬中會計分錄的編制、批准等處理程序;
(4)對財務報表進行調整的程序;
(5)編制財務報表的程序。
注冊會計師應當從下列方面評價期末財務報告流程:
(1)被審計單位財務報表的編制流程,包括輸入、處理及輸出;
(2)期末財務報告流程中運用信息技術的程度;
(3)管理層中參與期末財務報告流程的人員;
(4)納入財務報表編制范圍的組成部分;
(5)調整分錄及合並分錄的類型;
(6)管理層和治理層對期末財務報告流程進行監督的性質及范圍。 注冊會計師應當基於財務報表層次識別重要賬戶、列報及其相關認定。
如果某賬戶或列報可能存在一個錯報,該錯報單獨或連同其他錯報將導致財務報表發生重大錯報,則該賬戶或列報為重要賬戶或列報。判斷某賬戶或列報是否重要,應當依據其固有風險,而不應考慮相關控制的影響。
如果某財務報表認定可能存在一個或多個錯報,這些錯報將導致財務報表發生重大錯報,則該認定為相關認定。判斷某認定是否為相
關認定,應當依據其固有風險,而不應考慮相關控制的影響。
為識別重要賬戶、列報及其相關認定,注冊會計師應當從下列方面評價財務報表項目及附註的錯報風險因素:
(1)賬戶的規模和構成;
(2)易於發生錯報的程度;
(3)賬戶或列報中反映的交易的業務量、復雜性及同質性;
(4)賬戶或列報的性質;
(5)與賬戶或列報相關的會計處理及報告的復雜程度;
(6)賬戶發生損失的風險;
(7)賬戶或列報中反映的活動引起重大或有負債的可能性;
(8)賬戶記錄中是否涉及關聯方交易;
(9)賬戶或列報的特徵與前期相比發生的變化。
在識別重要賬戶、列報及其相關認定時,注冊會計師還應當確定重大錯報的可能來源。注冊會計師可以通過考慮在特定的重要賬戶或列報中錯報可能發生的領域和原因,確定重大錯報的可能來源。
在內部控制審計中,注冊會計師在識別重要賬戶、列報及其相關認定時應當評價的風險因素,與財務報表審計中考慮的因素相同。因此,在這兩種審計中識別的重要賬戶、列報及其相關認定應當相同。
如果某賬戶或列報的各組成部分存在的風險差異較大,被審計單位可能需要採用不同的控制以應對這些風險,注冊會計師應當分別予以考慮。 注冊會計師應當實現下列目標,以進一步了解潛在錯報的來源,並為選擇擬測試的控制奠定基礎:
(1)了解與相關認定有關的交易的處理流程,包括這些交易如何生成、批准、處理及記錄;
(2)驗證注冊會計師識別出的業務流程中可能發生重大錯報(包括由於舞弊導致的錯報)的環節;
(3)識別被審計單位用於應對這些錯報或潛在錯報的控制;
(4)識別被審計單位用於及時防止或發現並糾正未經授權的、導致重大錯報的資產取得、使用或處置的控制。
注冊會計師應當親自執行能夠實現上述目標的程序,或對提供直接幫助的人員的工作進行督導。
穿行測試通常是實現上述目標的最有效方式。穿行測試是指追蹤某筆交易從發生到最終被反映在財務報表中的整個處理過程。注冊會計師在執行穿行測試時,通常需要綜合運用詢問、觀察、檢查相關文件及重新執行等程序。
在執行穿行測試時,針對重要處理程序發生的環節,注冊會計師可以詢問被審計單位員工對規定程序及控制的了解程度。實施詢問程序連同穿行測試中的其他程序,可以幫助注冊會計師充分了解業務流程,識別必要控制設計無效或出現缺失的重要環節。為有助於了解業務流程處理的不同類型的重大交易,在實施詢問程序時,注冊會計師不應局限於關注穿行測試所選定的單筆交易。 注冊會計師應當針對每一相關認定獲取控制有效性的審計證據,以便對內部控制整體的有效性發表意見,但沒有責任對單項控制的有效性發表意見。
注冊會計師應當對被審計單位的控制是否足以應對評估的每個
相關認定的錯報風險形成結論。因此,注冊會計師應當選擇對形成這一評價結論具有重要影響的控制進行測試。
對特定的相關認定而言,可能有多項控制用以應對評估的錯報風險;反之,一項控制也可能應對評估的多項相關認定的錯報風險。注冊會計師沒有必要測試與某項相關認定有關的所有控制。
在確定是否測試某項控制時,注冊會計師應當考慮該項控制單獨或連同其他控制,是否足以應對評估的某項相關認定的錯報風險,而不論該項控制的分類和名稱如何。 注冊會計師應當測試控制設計的有效性。
如果某項控制由擁有有效執行控制所需的授權和專業勝任能力的人員按規定的程序和要求執行,能夠實現控制目標,從而有效地防止或發現並糾正可能導致財務報表發生重大錯報的錯誤或舞弊,則表明該項控制的設計是有效的。 注冊會計師應當測試控制運行的有效性。
如果某項控制正在按照設計運行、執行人員擁有有效執行控制所需的授權和專業勝任能力,能夠實現控制目標,則表明該項控制的運行是有效的。
如果被審計單位利用第三方的幫助完成一些財務報告工作,注冊會計師在評價負責財務報告及相關控制的人員的專業勝任能力時,可以一並考慮第三方的專業勝任能力。
注冊會計師獲取的有關控制運行有效性的審計證據包括:
(1)控制在所審計期間的相關時點是如何運行的;
(2)控制是否得到一貫執行;
(3)控制由誰或以何種方式執行。 在測試所選定控制的有效性時,注冊會計師應當根據與控制相關的風險,確定所需獲取的審計證據。
與控制相關的風險包括一項控制可能無效的風險,以及如果該控制無效,可能導致重大缺陷的風險。與控制相關的風險越高,注冊會計師需要獲取的審計證據就越多。
下列因素影響與某項控制相關的風險:
(1)該項控制擬防止或發現並糾正的錯報的性質和重要程度;
(2)相關賬戶、列報及其認定的固有風險;
(3)交易的數量和性質是否發生變化,進而可能對該項控制設計或運行的有效性產生不利影響;
(4)相關賬戶或列報是否曾經出現錯報;
(5)企業層面控制(特別是監督其他控制的控制)的有效性;
(6)該項控制的性質及其執行頻率;
(7)該項控制對其他控制(如控制環境或信息技術一般控制)有效性的依賴程度;
(8)執行該項控制或監督該項控制執行的人員的專業勝任能力,以及其中的關鍵人員是否發生變化;
(9)該項控制是人工控制還是自動化控制;
(10)該項控制的復雜程度,以及在運行過程中依賴判斷的程度。 注冊會計師通過測試控制有效性獲取的審計證據,取決於其實施
程序的性質、時間安排和范圍的組合。此外,就單項控制而言,注冊會計師應當根據與控制相關的風險對測試程序的性質、時間安排和范圍進行適當的組合,以獲取充分、適當的審計證據。
注冊會計師測試控制有效性的程序,按其提供審計證據的效力,由弱到強排序通常為:詢問、觀察、檢查和重新執行。詢問本身並不能為得出控制是否有效的結論提供充分、適當的審計證據。
測試控制有效性的程序,其性質在很大程度上取決於擬測試控制的性質。某些控制可能存在反映控制有效性的文件記錄,而另外一些控制,如管理理念和經營風格,可能沒有書面的運行證據。
對缺乏正式的控制運行證據的被審計單位或業務單元,注冊會計師可以通過詢問並結合運用其他程序,如觀察活動、檢查非正式的書面記錄和重新執行某些控制,獲取有關控制是否有效的充分、適當的審計證據。
注冊會計師在測試控制設計的有效性時,應當綜合運用詢問適當人員、觀察經營活動和檢查相關文件等程序。注冊會計師執行穿行測試通常足以評價控制設計的有效性。
注冊會計師在測試控制運行的有效性時,應當綜合運用詢問適當人員、觀察經營活動、檢查相關文件以及重新執行等程序。 對控制有效性的測試涵蓋的期間越長,提供的控制有效性的審計證據越多。
單就內部控制審計業務而言,注冊會計師應當獲取內部控制在基準日之前一段足夠長的期間內有效運行的審計證據。在整合審計中,控制測試所涵蓋的期間應當盡量與財務報表審計中擬信賴內部控制
的期間保持一致。
注冊會計師執行內部控制審計業務旨在對基準日內部控制有效性出具報告。如果已獲取有關控制在期中運行有效性的審計證據,注冊會計師應當確定還需要獲取哪些補充審計證據,以證實剩餘期間控制的運行情況。在將期中測試結果更新至基準日時,注冊會計師應當考慮下列因素以確定需要獲取的補充審計證據:
(1)基準日之前測試的特定控制,包括與控制相關的風險、控制的性質和測試的結果;
(2)期中獲取的有關審計證據的充分性和適當性;
(3)剩餘期間的長短;
(4)期中測試之後,內部控制發生重大變化的可能性。
針對所有重要賬戶和列報的每個相關認定,注冊會計師應當獲取控制有效性的審計證據。《中國注冊會計師審計准則第1231號——針對評估的重大錯報風險採取的應對措施》第十四條提及的「三年輪換測試」不適用(本意見第四部分提及的與基準相比較的策略除外)。 對控制有效性測試的實施時間越接近基準日,提供的控制有效性的審計證據越有力。為了獲取充分、適當的審計證據,注冊會計師應當在下列兩個因素之間作出平衡,以確定測試的時間:
(1)盡量在接近基準日實施測試;
(2)實施的測試需要涵蓋足夠長的期間。
整改後的內部控制需要在基準日之前運行足夠長的時間,注冊會計師才能得出整改後的內部控制是否有效的結論。因此,在接受或保持內部控制審計業務時,注冊會計師應當盡早與被審計單位溝通這一
情況,並合理安排控制測試的時間,留出提前量。例如,注冊會計師在基準日前3個月完成期中測試工作。此外,由於對企業層面控制的評價結果將影響注冊會計師測試其他控制的性質、時間安排和范圍,注冊會計師可以考慮在執行業務的早期階段對企業層面控制進行測試。 注冊會計師在測試控制的運行有效性時,應當在考慮與控制相關的風險的基礎上,確定測試的范圍(樣本規模)。
注冊會計師確定的測試范圍,應當足以使其獲取充分、適當的審計證據,為基準日內部控制是否不存在重大缺陷提供合理保證。
1.測試人工控制的最小樣本規模
在測試人工控制時,如果採用檢查或重新執行程序,注冊會計師測試的最小樣本量區間參見表1。
表1:測試人工控制的最小樣本量區間 控制運行頻率 控制運行總次數 測試的最小樣本量區間 每年1次 1 1 每季1次 4 2 每月1次 12 2-5 每周1次 52 5-15 每天1次 250 20-40 每天多次 大於250次 25-60 在運用表1時,注冊會計師應當注意下列事項:
(1)測試的最小樣本量是指所需測試的控制運行次數;
(2)注冊會計師應當根據與控制相關的風險,基於最小樣本量
區間確定具體的樣本規模;
(3)表1假設控制的運行偏差率預期為零。如果預期偏差率不為零,注冊會計師應當擴大樣本規模;
(4)如果注冊會計師不能確定控制運行頻率,但是知道控制運行總次數,仍可根據「控制運行總次數」一列確定測試的最小樣本規模。
2. 測試自動化應用控制的最小樣本規模
信息技術處理具有內在一貫性。在信息技術一般控制有效的前提下,除非系統發生變動,注冊會計師只要對自動化應用控制的運行測試一次,即可得出所測試自動化應用控制是否運行有效的結論。
3.發現偏差時的處理
如果發現控制偏差,注冊會計師應當確定其對下列事項的影響:
(1)與所測試控制相關的風險的評估;
(2)需要獲取的審計證據;
(3)控制運行有效性的結論。
評價控制偏差的影響需要注冊會計師運用職業判斷,並受到控制的性質和所發現偏差數量的影響。如果發現的控制偏差是系統性偏差或人為有意造成的偏差,注冊會計師應當考慮舞弊的可能跡象以及對審計方案的影響。
在評價控制測試中發現的某項控制偏差是否為控制缺陷時,注冊會計師可以考慮的因素包括:
(1)該偏差是如何被發現的。例如,如果某控制偏差是被另外一項控制所發現的,則可能意味著被審計單位存在有效的發現性控制。
(2)該偏差是與某一特定的地點、流程或應用系統相關,還是對被審計單位有廣泛影響。
(3)就被審計單位的內部政策而言,該控制出現偏差的嚴重程度。例如,某項控制在執行上晚於被審計單位政策要求的時間,但仍在編制財務報表之前得以執行,還是該項控制根本沒有得以執行。
(4)與控制運行頻率相比,偏差發生的頻率大小。
由於有效的內部控制不能為實現控制目標提供絕對保證,單項控制並非一定要毫無偏差地運行,才被認為有效。在按照表1所列示的樣本規模進行測試的情況下,如果發現控制偏差,注冊會計師應當考慮偏差的原因及性質,並考慮採用擴大樣本量等適當的應對措施以判斷該偏差是否對總體不具有代表性。例如,對每日發生多次的控制,如果初始樣本量為25個,當測試發現一項控制偏差,且該偏差不是系統性偏差時,注冊會計師可以擴大樣本規模進行測試,所增加的樣本量至少為15個。如果測試後再次發現偏差,則注冊會計師可以得出該控制無效的結論。如果擴大樣本量沒有再次發現偏差,則注冊會計師可以得出控制有效的結論。 在基準日之前,被審計單位可能為提高控制效率、效果或彌補控制缺陷而改變控制。
對內部控制審計而言,如果新控制實現了相關控制目標,且運行了足夠長的時間,使注冊會計師能夠通過對該控制進行測試評價其設計和運行的有效性,則無需測試被取代的控制。
對財務報表審計而言,如果被取代控制的運行有效性對控制風險的評估有重大影響,注冊會計師應當測試被取代控制的設計和運行的
有效性。 注冊會計師應當評估是否利用他人(包括被審計單位的內部審計人員、內部控制評價人員和其他人員以及在管理層或治理層指導下的第三方)的工作以及利用的程度,以減少可能本應由注冊會計師執行的工作。如果他人的工作能夠提供有關內部控制有效性的審計證據,注冊會計師可以利用其工作或者提供的直接幫助。
注冊會計師應當參照《中國注冊會計師審計准則第1411號——利用內部審計人員的工作》的規定,評價他人的專業勝任能力和客觀性,以確定可利用的程度。
在評價他人的專業勝任能力時,注冊會計師應當考慮其專業資格、專業經驗與技能等相關因素。在評價他人的客觀性時,注冊會計師應當考慮是否存在某些因素,將削弱或者增強其客觀性。
無論他人的專業勝任能力如何,注冊會計師都不應利用客觀程度低的人員的工作。同樣,無論他人的客觀程度如何,注冊會計師都不應利用專業勝任能力低的人員的工作。
被審計單位內部負責監督、稽核或合規工作的人員,如內部審計人員,通常擁有較高的專業勝任能力和客觀性。他們的工作可能對注冊會計師有用。
注冊會計師利用他人工作的程度還受到與所測試控制相關的風險的影響。與某項控制相關的風險越高,注冊會計師應當越多地親自對該項控制進行測試。
在識別、了解和測試企業層面控制時,注冊會計師不得利用他人的工作。 如果服務機構提供的服務和對服務的控制,構成被審計單位與財務報告相關的信息系統(包括相關業務流程)的一部分,注冊會計師應當按照《中國注冊會計師審計准則第1241號——對被審計單位使用服務機構的考慮》的規定辦理。
注冊會計師在對被審計單位內部控制的有效性發表意見時,不應在內部控制審計報告中提及服務機構注冊會計師的報告。
『拾』 企業內部控制審計指引實施意見的關於連續審計時的特殊考慮
在連續審計中,注冊會計師在確定測試的性質、時間安排和范圍時,應當考慮以前年度執行內部控制審計所了解的情況。 除本意見第三部分第(八)項「與控制相關的風險和擬獲取的審計證據之間的關系」所列因素外,下列因素也會影響連續審計中與某項控制相關的風險:
(1)以前年度審計中所實施程序的性質、時間安排和范圍;
(2)以前年度對控制的測試結果以及以前年度發現的缺陷是否得以整改;
(3)上次審計之後,控制或其運行所處的流程是否發生變化。
在考慮本意見所列的風險因素,以及連續審計中可獲取的進一步信息後,如果認為與控制相關的風險水平比以前年度有所下降,注冊會計師在本年度審計中可以減少測試。 在連續審計中,由於完全自動化的應用控制通常不會因人為失誤而失效,因此,注冊會計師可以考慮對自動化應用控制實施與基準相
比較的策略。
與基準相比較的策略,是指如果認為程序變更、訪問許可權及計算機操作方面的一般控制有效,且可持續對其進行測試,並能證實自動化應用控制自最近一次測試之後未發生變化,則可將最近一次測試設為基準,在以後年度測試時,注冊會計師不必重復執行測試,只需將該年的情況與基準相比較,就可以認為自動化應用控制是持續有效的。
注冊會計師為證實控制未發生變化而需獲取審計證據的性質和范圍,可能隨情況的變化而變化。例如,被審計單位程序變更控制的強弱將影響需獲取審計證據的性質和范圍。
自動化應用控制能否一貫有效地運行可能取決於所使用的相關文件、表格、數據和參數的正確性。例如,計算利息收入的自動化應用控制,其運行的有效性可能取決於使用的利率表的正確性。
注冊會計師應當在評價下列風險因素的基礎上,確定是否使用與基準相比較的策略:
(1)應用控制與相關應用程序直接對應的程度;
(2)應用系統的穩定性,即各期間的變化大小;
(3)有關投入使用的程序編譯日期的信息的可獲得性和可靠性(該信息可作為此程序中的控制未發生變化的審計證據)。
當上述因素表明風險較低時,對所評價的控制可能比較適合使用與基準相比較的策略。反之,不宜使用與基準相比較的策略。但是基礎數據的准確性與完整性,以及依賴系統的人工控制部分不適用與基準相比較的策略。
在一段時期之後,注冊會計師應當重新設置自動化應用控制運行
的基準。在確定何時重設基準時,注冊會計師應當考慮下列因素:
(1)信息技術控制環境的有效性,包括針對應用及操作系統和資料庫系統的取得與維護、訪問許可權以及計算機操作而實施控制的有效性;
(2)如果包含控制的具體程序發生變化,注冊會計師對該變化性質的了解;
(3)其他相關測試的性質和時間;
(4)相關應用控制發生錯誤導致的後果;
(5)控制是否易於受到其他可能變化的經營因素的影響。 為使對控制有效性的測試具有不可預見性並能夠應對環境的變化,注冊會計師應當每年改變測試的性質、時間安排和范圍。
注冊會計師可以每年在期中不同的時間測試控制,並增加或減少所執行測試的數量和種類,或者改變所使用測試程序的組合。