內控工作指引
Ⅰ 企業內部控制審計指引實施意見的關於簽訂業務約定書
只有當內部控制審計的前提條件得到滿足,並且會計師事務所符合獨立性要求,具備專業勝任能力時,會計師事務所才能接受或保持內部控制審計業務。 在確定內部控制審計的前提條件是否得到滿足時,注冊會計師應當:
(1)確定被審計單位採用的內部控制標準是否適當;
(2)就被審計單位認可並理解其責任與治理層和管理層達成一致意見。
被審計單位的責任包括:
(1)按照適用的內部控制標准,建立健全和有效實施內部控制,以使財務報表不存在由於舞弊或錯誤導致的重大錯報;
(2)對內部控制的有效性進行評價並編制內部控制評價報告;
(3)向注冊會計師提供必要的工作條件,包括允許注冊會計師接觸與內部控制審計相關的所有信息(如記錄、文件和其他事項),
允許注冊會計師在獲取審計證據時不受限制地接觸其認為必要的內部人員和其他相關人員等。 如果決定接受或保持內部控制審計業務,會計師事務所應當與被審計單位簽訂單獨的內部控制審計業務約定書。業務約定書應當至少包括下列內容:
(1)內部控制審計的目標和范圍;
(2)注冊會計師的責任;
(3)被審計單位的責任;
(4)指出被審計單位採用的內部控制標准;
(5)提及注冊會計師擬出具的內部控制審計報告的形式和內容,以及對在特定情況下出具的內部控制審計報告可能不同於預期形式和內容的說明;
(6)審計收費。
Ⅱ 如何將《內控手冊》要求融入到企業的管理流程當中
首先行業不同,方式方法也不同,以一個行業為例
XY股份有限公司為符合上市公司內控法規要求,提高企業經營管理水平和風險防範能力,促進企業可持續發展,根據財政部、證監會等五部委印發的企業內部控制基本規范及配套指引的要求,聘請外部咨詢公司,2011年3月起著手進行內控體系建設工作。根據《企業內部控制基本規范》及其配套指引要求,結合國外公司經驗,企業內部控制體系建設通常分為4個階段,內部控制梳理、內部控制整改固化、內部控制自我評價和內部控制審計,其中前3個階段是內控建設核心工作,需由企業主導完成,內控審計由審計師在企業配合下實施。
為做實做好內控規范體系建設工作,公司於2011年3月正式成立內控工作領導小組,由公司董事長牽頭,高層領導主管、總部各部門負責人及各分子公司總經理作為組員,負責組織領導公司內部控制規范化建設工作。2011年3月中旬召開內控實施項目啟動會,對公司內控建設工作進行了部署和動員,並制定公司內控實施計劃及工作方案。
一、建立內控建設組織架構,明確相關人員職責。
內部控制建設作為一項長期系統性地工程,並非一蹴而就,公司決定建立一種長效領導機制持續運作。公司內控體系建設組織架構圖如下,並明確董事長為內部控制實施工作的第一責任人;公司總經理、副總經理為內控實施的具體負責人。
(一)內控領導小組職責
經第六屆第十次董事會審議通過,公司成立風險管理委員會,成員包括董事長、審核委員會主席、總經理、分管主要業務的公司高管及專業人士,作為內控工作領導小組。
風險管理委員會對董事會負責,主要履行以下職責:
(1)負責營造良好的內部控制建設環境;
(2)負責制定公司內部控制戰略規劃,提出總體建設方案;
(3)負責審議重大決策、重大風險、重大事件和重要業務流程的判斷標准或判斷機制,以及重大決策的風險評估報告;
(4)部署內部控制建設、執行及監督活動等;
(5)審議《內控手冊》的編制、修改及更新;
(6)提交《內部控制評價報告》;
(7)協調公司內部控制建設的重大事項;
(8)考核內部控制建設的相關人員,保持公司整體利益和方向的一致性。
(二)內控項目小組職責
1、公司在風險管理委員會下設立風險管理委員會辦公室作為內控項目組,主要履行下列職責:
(1)全面貫徹執行風險管理委員會關於內部控制建設的精神和方針;
(2)制定公司內部控制建設階段性的目標及實施方案,提交風險管理委員會審核;
(3)負責內部控制建設的有效實施和運行,落實內部控制建設的具體責任;
(4)研究提出《內部控制評價報告》;
(5)負責公司《內控手冊》的編制、修改及更新;
(6)審核在內部控制建設過程中存在的問題,督促各部門進行整改。
2、公司在風險管理委員會辦公室細分為4大系統,即風控系統、戰略與證券系統、財務系統和運營系統,明確各系統的具體職責。
3、風險管理委員會辦公室成員主要來自於財務管理部、戰略與證券管理部、風險管理部、管理創新部、營銷中心、質量與客服部、供應鏈中心、法律事務部、研發中心、製造中心及戰略人力資源部,配備33名專職人員。各業務單位、職能部門及子公司(事業部)在風險管理委員會辦公室的指導下共同參與、實施內控建設工作。
4、審核委員會作為公司內部控制體系有效性的監督機構,監督內部控制的有效實施和內部控制自我評價情況,審核及監督外部審計機構是否獨立客觀及審計程序是否有效,審核公司的財務信息及其披露,協調內部控制審計及其他相關事宜。
(三)責任部門及工作預算
與內控工作小組相對應,公司確認了內部控制建設的責任部門,即風險管理部、戰略與證券管理部、財務管理部、管理創新部、營銷中心、供應鏈中心、質量與客服部、法律事務部、製造中心、研發中心、戰略人力資源部。本次內控項目工作制定了相關預算,包括內控咨詢、內控審計及人力成本費用、培訓費用等。為保證內控建設工作的專業化、系統化和合理化,公司聘請詢公司作為外部咨詢機構為公司提供專業支持,協助公司梳理、構建及完善內部控制總體架構,幫助公司識別內部控制存在的薄弱環節和主要風險,有針對性的設計控制的重點流程和內容並協助公司開展內部控制自我評價工作。 風控系統人員將全程參與風險識別及評估、編制風險清單及控制矩陣、內控缺陷整改、開展內控評價等工作,為公司培養內部控制建設及評價人才。
二、內控體系建設工作具體推進
內部控制建設工作,公司將分為五個階段,時間從2011年4月1日至2012年1月31日,總體安排如下:
(一)確定內控實施范圍(2011年4月10日前完成)
根據證監局文件精神,結合公司實際,本次內控實施范圍為股份公司、一家上海子公司及一家廣州子公司。
按照《企業內部控制基本規范》及其配套指引要求,結合公司業務性質,公司將重點關注發展戰略、組織架構、人力資源等公司層面3大流程,以及信息系統、財務報告、信息披露、關聯交易、全面預算、資金活動、采購業務、銷售業務、資產管理等業務層面9大流程。
各流程責任人如下(××代表責任人姓名):
流程第一責任人 具體負責人 內控協調人 中介機構責任
發展戰略 × × ×
組織架構 × × × ×
……
註:上述責任人適用於內控建設中的每個階段。
(二)風險識別及評估(2011年5月31日前完成)
1、流程梳理:公司通過訪談、審閱文檔或問卷調查等方式梳理流程,明確上述12大流程的相應子流程,完善組織架構和審批授權指引,根據統一的模板編制業務流程圖。在流程梳理過程中,及時發現並記錄有遺漏、雜亂、不符合相關法律、不相容職務未分離或許可權設置不合理等內控缺失的工作流程,採取相應的措施規范操作流程,避免內部舞弊等重大風險出現,提高工作效率。
2、風險識別:結合《企業內部控制基本規范》及相關配套指引所列示的風險、公司客戶審核要求、內審報告、提案改善、質量事故等初始資料,從風險發生的可能性和影響程度,對子流程中涉及到的每個控制點進行綜合分析,識別固有風險,評價風險等級,形成風險清單。
3、文檔記錄:根據風險等級,識別流程中的關鍵控制活動,並在流程圖中進行編號;編制流程描述、風險控制矩陣等內控文檔對控制活動和控制點進行記錄。
4、查找內控缺陷:將公司現有制度和控制措施流與風險清單進行比對,通過穿行測試、控制測試等手段,獲取關於內控設計和運行有效性的證據,查找內控缺陷,形成《風險資料庫》和《內控風險診斷和評價報告》。對發現的重大缺陷及時報告董事會及管理層,管理層對發現的內部控制缺陷應及時制定內控缺陷整改方案。
(三)確定內控缺陷整改方案(2011年6月30日前完成)
1、編制《內部控制管理建議書》:公司對發現的內控缺陷進行分類分析,確定內控缺陷的重要性程度,區分設計缺陷和運行缺陷,形成《內部控制管理建議書》。
2、制定內控缺陷整改方案:公司根據《內部控制管理建議書》和具體的控制缺陷,提出整改時間及責任部門、人員,形成內控缺陷整改方案。
3、提交審議:內控缺陷整改方案應當經過風險管理委員會審議通過。
(四)內控缺陷整改(2011年9月30日前完成)
1、落實整改、提交報告:責任部門將按照內控缺陷整改方案對發現的缺陷進行逐一整改,完善公司各項內部控制管理制度和控制措施,提交《內控缺陷整改報告》;內控項目組連同中介機構對缺陷整改情況進行運行有效性測試,形成《內控運行測試報告》。
2、編制《內部控制手冊》:內控項目組根據風險清單和各項內控文檔等資料,編制《內部控制手冊》,並對手冊內容進行實施輔導和推進執行。
3、編制《內控自我評估工作指引》:內控項目組編制《內控自我評估工作指引》,為下一步內控自我評價工作的開展奠定基礎。
4、提交審議:《內控缺陷整改報告》、《內控運行測試報告》、《內部控制手冊》及《內控自我評估工作指引》應報風險管理委員會審議。
(五)內控持續推進和內控自我評價
公司在內控體系成果完成後,將予以持續推進,並根據轄區證監局要求,公司將於每季度結束後的10個工作日內,向證監局報送內控進展情況說明,並在定期報告中予以披露。每季度進展情況說明至少包括該季度內控建設工作的開展情況、與工作方案中計劃進度的對照情況、差異原因以及擬採取的解決措施等。
通過以上工作,公司初步建立健全了內部控制體系,有效提高了內控管理水平。
三、企業內控體系的「落地」和持續推進
XY公司在完成內控體系初步建設完成後具體推行過程中,一些部門和員工或因對新的內控制度理解不夠,或因由於長期工作習慣難以改變,或因內控制度變革觸及自身利益而不願遵循,使得內控制度在一段時期內一直都不能落到實處。如何真正將內控體系有效執行下去,並保持內控體系的持續完善和提高,是管理層迫切需要解決的難題。
為了切實將內控制度體系真正「落地」,XY公司通過全方位內控培訓、加強內控檢查與監督、完善考核及激勵機制以及藉助第三方專業機構的持續輔導等措施,有力地保證了內控建設的持續維護,公司的內控建設取得了卓有成效的進展。
具體來說,採取的主要措施有:
(一)完善內控工作組織架構,成立內控部,強化審計部,建立推進內控工作的組織機構和運行機制。
通過對國際大企業內控建設的現狀和過程的全面考察,XY公司發現要實行有效的內部控制,必須建立相配套的組織架構。為此,公司由管理高層成立了內控工作領導小組,各子公司管理層對應的成立內控管理小組;在部門設置上,XY公司新成立了內控部,各下屬子公司根據其規模大小設立內控部或內控負責崗,負責內控建設工作;在內控監督上,轉變了原有的審計部的職責,增加了內控評價和檢查的功能,並由公司董事會的審計委員會直接領導,在規模較大的子公司同時設立內部審計專員,負責子公司的內控自查。
(二)注重內控環境建設,進行全方位內控培訓。
XY公司通過一系列的培訓和輔導,提高各層級管理人員和基礎員工對內控理念的認識,營造有利的內控工作開展的文化環境。首先,公司抓好以普及內控基本知識、營造內控實施環境的宣傳工作。公司內控部組織編制了《內控宣傳冊》,在股份公司各職能部門和下屬公司主要管理幹部范圍內發放學習。手冊通過生動的案例和形象的語言幫助各級管理人員統一對內控的理解和認識,減少內控推進的思想阻力。
其次,公司根據內控規范實施的進度,圍繞內部控制的各個方面,開展了包括基礎理念、管理制度、風險評估、內控評價、內控考核在內的各類集中的專題培訓,對內控制度的編制和實施起了極大的推進作用。
(三)建立內控推進的溝通機制,保證內控建設持續性和問題解決的及時性。
自內控制度建設正式推進以來,為了保證推進的執行力,公司開展了全方位的信息溝通機制,實現了信息的實時傳遞,和通暢的上傳下達。
首先,XY公司建立了周例會制度。內控領導小組每周組織內控工作例會,由公司董事或審計委員會主任主持,參與者包括內控領導小組成員、內控部、審計部、財務部、各子公司的內控負責人等。總部各職能部門及各子公司必須在會上以書面形式上報「內控工作一周報告」,匯報內控的進展情況、存在的問題、解決的方案、遇到的困難以及需要股份給予協助的事項,並由內控領導小組組長對相關的具體問題提出意見和工作指導,會後股份公司內控部負責對每家子公司進行回復,保證所有的問題都能得到及時有效的解決。所有會議記錄和相關文件在會後抄送股份公司的總經理和董事會,並抄送相關子公司的管理層,保證管理高層對內控進展的時刻了解。
其次,公司建立了內控體系的月度工作總結。每月末各個子公司的內控負責人就內控開展情況進行工作總結,由內控部在股份公司管理層、子公司管理層以及相關內控負責人之間進行通報,督促各子公司的內控執行力。
第三,建立了重大項目的單獨匯報機制。各子公司的內控負責人對於子公司內控建設中發現的重大問題要求及時向內控領導小組和股份內控部進行匯報,以實時處理可能的重大風險。此外,股份公司的內控部長、審計部長、財務總監的聯系方式向子公司的所有內控負責人和內控專員公開,作為信息直接傳遞的一個重要渠道,幫助股份公司及時了解下屬子公司內控風險。
(四)完善內控評價檢查機制,建立了多層次的內控檢查體系。
為了保證內控制度的落地和真正有效的執行,公司從各子公司到股份公司的內控部和審計部,再到外部獨立的第三方中介,建立了全方位的內控評價和檢查體系。股份公司內控部對各業務循環定期開展內控檢查,通過發放內控調查清單以及內控專員的現場檢查,發現子公司在內控建設中的不足,並及時下發風險聯系函、風險關注函和風險警示函,以幫助子公司及時進行內控整改和完善。其中聯系函主要是對子公司聯系函件的回復為主;關注函主要是對子公司發生的業務表示關注,一般要求對方在一定時間內給出書面說明;警示函是在關注函的基礎上對於重大風險或執行不到位的情況給予警告。
股份公司審計部對各子公司每年開展兩次的內控評價。為了實現評價的量化和標准化,審計部編制了內控評價底稿通過檢查,對子公司形成內控建設的量化評價,並針對檢查中發現的問題出具改進建議,並要求各子公司在規定的時間內予以整改,總部內控部對子公司整改措施和整改質量進行全程的監督,整改完成後,審計部及時予以復查,確保審計中發現的問題能及時整改。
(五)將內控建設納入績效考核,通過獎懲機制實現內控的有效性。
首先,為有效發揮各下屬子公司的管理者在內控推進中的作用和積極性,自200×年開始,股份公司將審計部對各子公司的內控評價結果納入其管理班子的績效考核的指標中,明確了管理班子對於內部控制建設的責任和關鍵任務。通過這種績效考核,激勵管理層切實關注和推動內控的執行工作,從而為內控工作的推進建立良好環境。
其次,對於股份公司向各子公司委派的重要人員也直接與內控建設掛鉤。公司出台了《委派內控人員績效考核管理辦法》,對各個子公司的內控負責人實施全面的內控建設考核,明確了委派的內控人員的績效考核指標、考核方式和獎懲機制,進一步促進了委派內控人員的工作落實力度;其次,對於股份委派的財務負責人,也在其年度考核的總分中(100分制)納入了相當比重的的內控建設的相關內容,從財務職能加強了對子公司的內控推進。
(六)充分發揮專業中介機構力量
XY公司在開始建立內控體系即聘請的專業咨詢公司提供咨詢服務,在整個體系建立過程中,充分發揮咨詢公司專業力量,並聘請專業顧問對公司人員進行培訓,提高公司人員內控理念和技能。在內控體系初步建立之後,仍繼續與咨詢公司保持合作,藉助咨詢公司在專業及獨立性方面優勢,共同推進公司內控持續建設工作,在內控持續建設工作中,專業咨詢公司提供了大量了專業意見和培訓輔導服務,幫助公司完善各項成果,使得公司的內控持續建設取得了令人矚目的成效。
四、企業內控體系建設過程的經驗和啟示
在公司董事會、各層級管理人員和基礎員工不懈努力下,公司內部控制體系的建設取得了一系列的良好效果,全公司各級員工的風險管理意識顯著提高,對風險的理解和重視切入到各個業務和管理環;強化了各項經營活動的規范化操作,實現了重大經營活動的集體化決策機制,有效防範了決策風險;提高了公司的財務管理水平,保證了從產業公司到股份公司的各層級財務數據的真實公允以及資金、資產的安全;加強了公司對新經營環境下管理風險的關注;完善了公司的風險預警機制,提高了各職能部門對業務發生之後的潛在風險的持續監控、分析和應對。公司在內控體系建設和推進過程中,主要的經驗和啟示有:
1、公司董事會和最高管理層的重視和親自參與
在XY公司董事會,無論是大股東委派董事、非執行董事還是獨立董事,都非常重視和關心內部控制體系的建設工作。作為公司的大股東,集團對股份公司的內控建設給予了極大的理解和支持,有力的推動了產業公司的內控建設的進程。董事會的定期會議都將內部控制進展情況作為重要議題溝通,對於內部控制推進中出現的任何問題,董事會層面時刻給予相應和支持。
在公司管理層方面,成立了內控領導小組,投入了大量的人力和財力,帶領企業員工共同進行內部控制建設,為內部控制的推進提供了良好的內部環境,同時也激發員工的積極性和主動性,推動企業內部控制朝更順利、更完善的方向發展。
2、對內部控制理念以及其與公司其他管理體系關系的認識統一
XY公司在內控推進的第一階段大力推行高頻率、大幅度的培訓,幫助各級管理者以及基層員工了解內部控制的主要原理和價值,減少內控實施中的思想阻力。其次,公司統一了內控體系與其他管理體系的認識,內部控制和風險管理不是一套孤立的新的體系和制度,而是一種基於「目標-風險-控制-監督」框架的管理思路,這種管理思路可以融入到企業的所有其他的管理體系和管理制度中去,是對企業原有的管理制度的整合和提升。
3、制定了清晰明確的內部控制戰略規劃
公司根據自身實際情況,在訂並提出了內部控制的五年兩步走的規劃,並將其納入到公司的5年戰略規劃中。第一階段(3年),通過自上而下的剛性要求,構建全面的統一化的集團內部控制架構,並通過理念灌輸形成內控推進的文化范圍;第二階段(2年),通過自下而上的,自覺的內控體系的完善,形成各個產業公司的特色化內部控制。這一從強制到自覺,從理念普及到制度完善再到內控手冊的表格化提升的建設步驟,使得公司從管理高層到基層員工的各級人員都明確內部控制不同時期的不同任務及不同發展狀態,穩步推進,逐步加深,為內部控制的發展道路勾畫了清晰路徑。
4、因企制宜的實施方案
XY公司意識到對於集團化企業,內部控制不能是一刀切的,公司要實行內部控制,需要根據自身的業務類型、公司規模、公司所處階段來選擇適宜的內部控制方法。
首先公司在吸收了五部委內部控制基本規范和配套指引的相關精髓的基礎上,結合企業經營實踐,基於先主後次的重要性原則以及成本收益原則,提出了以若干業務循環作為公司內控建設的主要循環范圍。
其次,考慮公司的人員能力和素質,在內控成果上也沒有一步到位冊,而是以制度建設為基礎,通過制度規范,到流程優化再到風險提煉,逐步實現內部控制的層層遞進。
第三,在內控推進上,公司充分考慮下屬各產業公司的業務特點,確定適合各公司的內部控制方式和側重點。
5、循序漸進的實施步驟
(1)自上而下的理念推進向自下而上的流程推進的遞進。
在內控實施的第一階段,公司強調自上而下的理念推進。公司通過內部培訓、各種工作會議達成內控理念的統一,並向各子公司傳達,之後各子公司則進行自下而上的內控流程推進,即各產業公司根據自身的內部流程,進行制度的完善,並經由公司內控部審核後實施。
(2)由總部出台框架性的制度到各個子公司制訂針對性的業務流程的遞進。
公司內控部結合外部力量制定框架性的制度,明確各業務循環的關鍵控制點和操作要求,各產業公司根據自身業務情況,在滿足框架制度要求的前提下制定適合企業自身的管理制度,以求更貼近產業公司的經營管理實踐。
(3)普遍性、通用性的風險點向專業性、針對性的風險點的遞進。
公司首先根據對產業公司實際情況的調研,繪制公司的全面風險資料庫,梳理出具有普遍性的通用性主要風險點,之後,各產業公司在實際操作中不斷發現專業性、針對不同企業業務特色的獨特風險,以實現內部控制的完善。
(4)抓重點公司,抓主要循環和風險、抓典型事件。
公司的內部控制遵循重要性原則,關注重點公司級重要循環與風險,並關注典型事件,以期通過重點帶動全面,推動內部控制的發展。
6、藉助外部專業中介機構推動內控建設
外部專業機構相對具有更豐富的內控專業力量和實施經驗,並且具有客觀性和獨立性,XY公司在整個體系建立過程中,充分發揮咨詢公司專業力量,但也沒有完全依賴中介機構甩手不管,而是充分參與和配合,在內控建設過程中,實現知識傳遞和內控人才培養,取得了較好的實施效果。
--------------轉自新浪微博《馬軍生-內部控制博客》
Ⅲ 保險公司內部審計指引(試行)的第四章 工作機制
第二十條 保險公司董事會審計委員會應當至少每半年一次向董事會報告審計工作情況,並通報管理層和監事會。
第二十一條 保險公司董事會審計委員會和管理層應當至少每季度一次聽取審計責任人關於審計工作進展情況的報告。
第二十二條保險公司董事會審計委員會可以通過聘請中介機構等多種形式,評估內部審計體系的健全性和有效性,監督評價內部審計工作質量。
第二十三條 保險公司董事會審計委員會應當及時對審計責任人提交的內部控制評估報告進行審議,並就公司內部控制存在的問題向董事會提出意見和建議。
第二十四條 保險公司董事會審計委員會對其關注的重大問題,可以要求管理層組織調查,也可以在其職權范圍內直接調查,或者委託獨立的中介機構調查。
第二十五條 保險公司董事會審計委員會在審議議案和報告時,可以要求內部審計人員列席,對相關事項做出說明或者回答董事的提問。
第二十六條 保險公司內部審計責任人應當至少每年一次向審計委員會和管理層提交內部控制評估報告和審計工作報告。
第二十七條 保險公司內部審計部門應當根據國家相關規定,結合公司發展戰略,在分析評估風險分布狀況的基礎上明確審計重點、制訂年度審計計劃。
內部審計年度工作計劃、審計預算應當在徵求管理層意見後,報董事會審計委員會批准。沒有設立董事會的,由總經理批准。
第二十八條 內部審計部門和審計人員應當嚴格按照審計程序,採取科學方法開展審計工作,並定期實施審計質量自我評估。
第二十九條 保險公司監事會可以對內部審計工作進行指導和監督。
第三十條 保險公司應當建立審計復議制度。對審計結論存在異議的,被審計對象可以依照規定向保險公司相關機構提出復議。
第三十一條 保險公司應當建立內部審計信息系統,推廣應用輔助審計軟體,積極開展非現場審計,提高內部審計的信息化水平和審計效率。
第三十二條 保險公司內部審計部門經董事會審計委員會或者公司管理層批准後,可以聘請中介機構承擔內部審計項目。
外聘中介機構應當具備足夠的獨立性、客觀性和專業勝任能力。
第三十三條 保險公司應當建立通暢的投訴舉報機制,鼓勵員工舉報公司經營管理中違法違規及其他不符合內部控制要求的行為,並嚴格為舉報人保密。
第三十四條 保險公司應當按照以下要求向中國保監會報告:
(一)每年四月三十日前向中國保監會提交內部審計工作報告和經董事會審議的內部控制評估報告;
(二)及時向中國保監會報告審計中發現的重大風險問題;
(三)內部審計部門對下屬分支公司進行審計的,應當同時將審計報告抄報審計對象所在地的中國保監會派出機構;
(四)保險公司對內部審計中發現的問題未予有效整改處理的,審計責任人應當直接向中國保監會報告相關情況;
(五)中國保監會要求的其他事項。
Ⅳ 什麼是審計指引
審計指引【正式稿】
第一章 總 則
第一條 為了規范注冊會計師執行企業內部控制審計業務,明確工作要求,保證執業質量,根據《企業內部控制基本規范》、《中國注冊會計師鑒證業務基本准則》及相關執業准則,制定本指引。
第二條 本指引所稱內部控制審計,是指會計師事務所接受委託,對特定基準日內部控制設計與運用的有效性進行審計。
第三條 建立健全和有效實施內部控制,評價內部控制的有效性是企業董事會的責任。按照本指引的要求,在實施審計工作的基礎上對內部控制的有效性發表審計意見,是注冊會計師的責任。
第四條 注冊會計師執行內部控制審計工作,應當獲取充分、適當的證據,為發布內部控制審計意見提供合理保證。
注冊會計師應當對財務報告內部控制的有效性發表審計意見,並對內部控制審計過程中注意到的非財務報告內部控制的重大缺陷,在內部控制審計報告中增加「非財務報告內部控制重大缺陷描述段」予以披露。
第五條 注冊會計師可以單獨進行內部控制審計,也可將內部控制審計與財務報表審計整合進行(以下簡稱整合審計)。
在整合審計中,注冊會計師應當對內部控制設計和運行的有效性進行測試,以同時實現下列目標:
(一)獲取充分、適當的證據,支持其在內部控制審計中對內部控制的有效性發表的意見;
(二)獲取充分、適當的證據,支持其在財務報表審計中對控制的風險評估結果。
第二章 計劃審計工作
第六條 注冊會計師應當恰當地計劃內部控制審計工作,配備具有專業勝任能力的項目組,並對助理人員進行適當的督導。
第七條 在計劃審計工作時,注冊會計師應當評價下列事項對內部控制、財務報表以及審計工作的影響:
(一)與企業相關的風險
(二)相關法律法規和行業概況;
(三)企業組織結構、經營特徵和資本結構等相關重要事項;
(四)企業內部控制最近發生變化的程度;
(五)與企業溝通過的內部控制缺陷;
(六)重要性、風險等與確定內部控制重大缺陷相關的因素;
(七)對內部控制有效性的初步判斷;
(八)可獲取的、與內部控制有效性相關的證據的類型和范圍;
第八條 注冊會計師應當以風險評估為基礎,選擇擬測試的控制,確定針測試所需收集的證據。
內部控制的特定領域存在重大缺陷的風險越高,給予該領域的審計關注就越多。
第九條 注冊會計師應當對企業內部控制自我評價工作進行評估,判斷是否利用企業內部審計人員、內部控制評價人員和其他相關人員的工作以及利用的程度,相應減少可能本應由注冊會計師執行的工作。
注冊會計師利用企業內部審計人員、內部控制評價人員和其他相關人員的工作,應當對其專業勝任能力和客觀性進行充分評價。
與某項控制相關的風險越高,可利用程度就越低,注冊會計師應當越多地親自對該項控制進行測試。
注冊會計師應當對發表的審計意見獨立承擔責任,其責任不應為利用企業內部審計人員、內部控制評價人員和其他相關人員的工作而減輕。
參考資料:http://wenku..com/view/e04db989680203d8ce2f24af.html
Ⅳ 企業內部控制審計指引實施意見的關於實施審計工作
注冊會計師應當採用自上而下的方法選擇擬測試的控制。
自上而下的方法始於財務報表層次,以注冊會計師對內部控制整體風險的了解開始,然後,將關注重點放在企業層面的控制上,並將工作逐漸下移至重要賬戶、列報及其相關認定。隨後,驗證其對被審計單位業務流程中風險的了解,並選擇能足以應對評估的每個相關認定的重大錯報風險的控制進行測試。
自上而下的方法分為下列步驟:
(1)從財務報表層次初步了解內部控制整體風險;
(2)識別、了解和測試企業層面控制;
(3)識別重要賬戶、列報及其相關認定;
(4)了解潛在錯報的來源並識別相應的控制;
(5)選擇擬測試的控制。
本部分第(二)至(五)對自上而下的方法的各個步驟進行了規定,第(六)至(十三)對控制有效性測試進行了規定。 注冊會計師應當識別、了解和測試對內部控制有效性有重要影響的企業層面控制。注冊會計師對企業層面控制的評價,可能增加或減少本應對其他控制進行的測試。
1. 企業層面控制對其他控制及其測試的影響
不同的企業層面控制在性質和精確度上存在差異,注冊會計師應當從下列方面考慮這些差異對其他控制及其測試的影響:
(1)某些企業層面控制,如與控制環境相關的控制,對及時防止或發現並糾正相關認定的錯報的可能性有重要影響。雖然這種影響是間接的,但這些控制仍然可能影響注冊會計師擬測試的其他控制,以及測試程序的性質、時間安排和范圍。
(2)某些企業層面控制旨在識別其他控制可能出現的失效情況,能夠監督其他控制的有效性,但還不足以精確到及時防止或發現並糾正相關認定的錯報。當這些控制運行有效時,注冊會計師可以減少對其他控制的測試。
(3)某些企業層面控制本身能夠精確到足以及時防止或發現並糾正相關認定的錯報。如果一項企業層面控制足以應對已評估的錯報風險,注冊會計師就不必測試與該風險相關的其他控制。
2. 企業層面控制的內容
企業層面控制包括下列內容:
(1)與控制環境(即內部環境)相關的控制;
(2)針對管理層和治理層凌駕於控制之上的風險而設計的控制;
(3)被審計單位的風險評估過程;
(4)對內部信息傳遞和期末財務報告流程的控制;
(5)對控制有效性的內部監督(即監督其他控制的控制)和內部控制評價。
此外,集中化的處理和控制(包括共享的服務環境)、監控經營成果的控制以及針對重大經營控制及風險管理實務的政策也屬於企業層面控制。
3. 對期末財務報告流程的評價
期末財務報告流程對內部控制審計和財務報表審計有重要影響,
注冊會計師應當對期末財務報告流程進行評價。
期末財務報告流程包括:
(1)將交易總額登入總分類賬的程序;
(2)與會計政策的選擇和運用相關的程序;
(3)總分類賬中會計分錄的編制、批准等處理程序;
(4)對財務報表進行調整的程序;
(5)編制財務報表的程序。
注冊會計師應當從下列方面評價期末財務報告流程:
(1)被審計單位財務報表的編制流程,包括輸入、處理及輸出;
(2)期末財務報告流程中運用信息技術的程度;
(3)管理層中參與期末財務報告流程的人員;
(4)納入財務報表編制范圍的組成部分;
(5)調整分錄及合並分錄的類型;
(6)管理層和治理層對期末財務報告流程進行監督的性質及范圍。 注冊會計師應當基於財務報表層次識別重要賬戶、列報及其相關認定。
如果某賬戶或列報可能存在一個錯報,該錯報單獨或連同其他錯報將導致財務報表發生重大錯報,則該賬戶或列報為重要賬戶或列報。判斷某賬戶或列報是否重要,應當依據其固有風險,而不應考慮相關控制的影響。
如果某財務報表認定可能存在一個或多個錯報,這些錯報將導致財務報表發生重大錯報,則該認定為相關認定。判斷某認定是否為相
關認定,應當依據其固有風險,而不應考慮相關控制的影響。
為識別重要賬戶、列報及其相關認定,注冊會計師應當從下列方面評價財務報表項目及附註的錯報風險因素:
(1)賬戶的規模和構成;
(2)易於發生錯報的程度;
(3)賬戶或列報中反映的交易的業務量、復雜性及同質性;
(4)賬戶或列報的性質;
(5)與賬戶或列報相關的會計處理及報告的復雜程度;
(6)賬戶發生損失的風險;
(7)賬戶或列報中反映的活動引起重大或有負債的可能性;
(8)賬戶記錄中是否涉及關聯方交易;
(9)賬戶或列報的特徵與前期相比發生的變化。
在識別重要賬戶、列報及其相關認定時,注冊會計師還應當確定重大錯報的可能來源。注冊會計師可以通過考慮在特定的重要賬戶或列報中錯報可能發生的領域和原因,確定重大錯報的可能來源。
在內部控制審計中,注冊會計師在識別重要賬戶、列報及其相關認定時應當評價的風險因素,與財務報表審計中考慮的因素相同。因此,在這兩種審計中識別的重要賬戶、列報及其相關認定應當相同。
如果某賬戶或列報的各組成部分存在的風險差異較大,被審計單位可能需要採用不同的控制以應對這些風險,注冊會計師應當分別予以考慮。 注冊會計師應當實現下列目標,以進一步了解潛在錯報的來源,並為選擇擬測試的控制奠定基礎:
(1)了解與相關認定有關的交易的處理流程,包括這些交易如何生成、批准、處理及記錄;
(2)驗證注冊會計師識別出的業務流程中可能發生重大錯報(包括由於舞弊導致的錯報)的環節;
(3)識別被審計單位用於應對這些錯報或潛在錯報的控制;
(4)識別被審計單位用於及時防止或發現並糾正未經授權的、導致重大錯報的資產取得、使用或處置的控制。
注冊會計師應當親自執行能夠實現上述目標的程序,或對提供直接幫助的人員的工作進行督導。
穿行測試通常是實現上述目標的最有效方式。穿行測試是指追蹤某筆交易從發生到最終被反映在財務報表中的整個處理過程。注冊會計師在執行穿行測試時,通常需要綜合運用詢問、觀察、檢查相關文件及重新執行等程序。
在執行穿行測試時,針對重要處理程序發生的環節,注冊會計師可以詢問被審計單位員工對規定程序及控制的了解程度。實施詢問程序連同穿行測試中的其他程序,可以幫助注冊會計師充分了解業務流程,識別必要控制設計無效或出現缺失的重要環節。為有助於了解業務流程處理的不同類型的重大交易,在實施詢問程序時,注冊會計師不應局限於關注穿行測試所選定的單筆交易。 注冊會計師應當針對每一相關認定獲取控制有效性的審計證據,以便對內部控制整體的有效性發表意見,但沒有責任對單項控制的有效性發表意見。
注冊會計師應當對被審計單位的控制是否足以應對評估的每個
相關認定的錯報風險形成結論。因此,注冊會計師應當選擇對形成這一評價結論具有重要影響的控制進行測試。
對特定的相關認定而言,可能有多項控制用以應對評估的錯報風險;反之,一項控制也可能應對評估的多項相關認定的錯報風險。注冊會計師沒有必要測試與某項相關認定有關的所有控制。
在確定是否測試某項控制時,注冊會計師應當考慮該項控制單獨或連同其他控制,是否足以應對評估的某項相關認定的錯報風險,而不論該項控制的分類和名稱如何。 注冊會計師應當測試控制設計的有效性。
如果某項控制由擁有有效執行控制所需的授權和專業勝任能力的人員按規定的程序和要求執行,能夠實現控制目標,從而有效地防止或發現並糾正可能導致財務報表發生重大錯報的錯誤或舞弊,則表明該項控制的設計是有效的。 注冊會計師應當測試控制運行的有效性。
如果某項控制正在按照設計運行、執行人員擁有有效執行控制所需的授權和專業勝任能力,能夠實現控制目標,則表明該項控制的運行是有效的。
如果被審計單位利用第三方的幫助完成一些財務報告工作,注冊會計師在評價負責財務報告及相關控制的人員的專業勝任能力時,可以一並考慮第三方的專業勝任能力。
注冊會計師獲取的有關控制運行有效性的審計證據包括:
(1)控制在所審計期間的相關時點是如何運行的;
(2)控制是否得到一貫執行;
(3)控制由誰或以何種方式執行。 在測試所選定控制的有效性時,注冊會計師應當根據與控制相關的風險,確定所需獲取的審計證據。
與控制相關的風險包括一項控制可能無效的風險,以及如果該控制無效,可能導致重大缺陷的風險。與控制相關的風險越高,注冊會計師需要獲取的審計證據就越多。
下列因素影響與某項控制相關的風險:
(1)該項控制擬防止或發現並糾正的錯報的性質和重要程度;
(2)相關賬戶、列報及其認定的固有風險;
(3)交易的數量和性質是否發生變化,進而可能對該項控制設計或運行的有效性產生不利影響;
(4)相關賬戶或列報是否曾經出現錯報;
(5)企業層面控制(特別是監督其他控制的控制)的有效性;
(6)該項控制的性質及其執行頻率;
(7)該項控制對其他控制(如控制環境或信息技術一般控制)有效性的依賴程度;
(8)執行該項控制或監督該項控制執行的人員的專業勝任能力,以及其中的關鍵人員是否發生變化;
(9)該項控制是人工控制還是自動化控制;
(10)該項控制的復雜程度,以及在運行過程中依賴判斷的程度。 注冊會計師通過測試控制有效性獲取的審計證據,取決於其實施
程序的性質、時間安排和范圍的組合。此外,就單項控制而言,注冊會計師應當根據與控制相關的風險對測試程序的性質、時間安排和范圍進行適當的組合,以獲取充分、適當的審計證據。
注冊會計師測試控制有效性的程序,按其提供審計證據的效力,由弱到強排序通常為:詢問、觀察、檢查和重新執行。詢問本身並不能為得出控制是否有效的結論提供充分、適當的審計證據。
測試控制有效性的程序,其性質在很大程度上取決於擬測試控制的性質。某些控制可能存在反映控制有效性的文件記錄,而另外一些控制,如管理理念和經營風格,可能沒有書面的運行證據。
對缺乏正式的控制運行證據的被審計單位或業務單元,注冊會計師可以通過詢問並結合運用其他程序,如觀察活動、檢查非正式的書面記錄和重新執行某些控制,獲取有關控制是否有效的充分、適當的審計證據。
注冊會計師在測試控制設計的有效性時,應當綜合運用詢問適當人員、觀察經營活動和檢查相關文件等程序。注冊會計師執行穿行測試通常足以評價控制設計的有效性。
注冊會計師在測試控制運行的有效性時,應當綜合運用詢問適當人員、觀察經營活動、檢查相關文件以及重新執行等程序。 對控制有效性的測試涵蓋的期間越長,提供的控制有效性的審計證據越多。
單就內部控制審計業務而言,注冊會計師應當獲取內部控制在基準日之前一段足夠長的期間內有效運行的審計證據。在整合審計中,控制測試所涵蓋的期間應當盡量與財務報表審計中擬信賴內部控制
的期間保持一致。
注冊會計師執行內部控制審計業務旨在對基準日內部控制有效性出具報告。如果已獲取有關控制在期中運行有效性的審計證據,注冊會計師應當確定還需要獲取哪些補充審計證據,以證實剩餘期間控制的運行情況。在將期中測試結果更新至基準日時,注冊會計師應當考慮下列因素以確定需要獲取的補充審計證據:
(1)基準日之前測試的特定控制,包括與控制相關的風險、控制的性質和測試的結果;
(2)期中獲取的有關審計證據的充分性和適當性;
(3)剩餘期間的長短;
(4)期中測試之後,內部控制發生重大變化的可能性。
針對所有重要賬戶和列報的每個相關認定,注冊會計師應當獲取控制有效性的審計證據。《中國注冊會計師審計准則第1231號——針對評估的重大錯報風險採取的應對措施》第十四條提及的「三年輪換測試」不適用(本意見第四部分提及的與基準相比較的策略除外)。 對控制有效性測試的實施時間越接近基準日,提供的控制有效性的審計證據越有力。為了獲取充分、適當的審計證據,注冊會計師應當在下列兩個因素之間作出平衡,以確定測試的時間:
(1)盡量在接近基準日實施測試;
(2)實施的測試需要涵蓋足夠長的期間。
整改後的內部控制需要在基準日之前運行足夠長的時間,注冊會計師才能得出整改後的內部控制是否有效的結論。因此,在接受或保持內部控制審計業務時,注冊會計師應當盡早與被審計單位溝通這一
情況,並合理安排控制測試的時間,留出提前量。例如,注冊會計師在基準日前3個月完成期中測試工作。此外,由於對企業層面控制的評價結果將影響注冊會計師測試其他控制的性質、時間安排和范圍,注冊會計師可以考慮在執行業務的早期階段對企業層面控制進行測試。 注冊會計師在測試控制的運行有效性時,應當在考慮與控制相關的風險的基礎上,確定測試的范圍(樣本規模)。
注冊會計師確定的測試范圍,應當足以使其獲取充分、適當的審計證據,為基準日內部控制是否不存在重大缺陷提供合理保證。
1.測試人工控制的最小樣本規模
在測試人工控制時,如果採用檢查或重新執行程序,注冊會計師測試的最小樣本量區間參見表1。
表1:測試人工控制的最小樣本量區間 控制運行頻率 控制運行總次數 測試的最小樣本量區間 每年1次 1 1 每季1次 4 2 每月1次 12 2-5 每周1次 52 5-15 每天1次 250 20-40 每天多次 大於250次 25-60 在運用表1時,注冊會計師應當注意下列事項:
(1)測試的最小樣本量是指所需測試的控制運行次數;
(2)注冊會計師應當根據與控制相關的風險,基於最小樣本量
區間確定具體的樣本規模;
(3)表1假設控制的運行偏差率預期為零。如果預期偏差率不為零,注冊會計師應當擴大樣本規模;
(4)如果注冊會計師不能確定控制運行頻率,但是知道控制運行總次數,仍可根據「控制運行總次數」一列確定測試的最小樣本規模。
2. 測試自動化應用控制的最小樣本規模
信息技術處理具有內在一貫性。在信息技術一般控制有效的前提下,除非系統發生變動,注冊會計師只要對自動化應用控制的運行測試一次,即可得出所測試自動化應用控制是否運行有效的結論。
3.發現偏差時的處理
如果發現控制偏差,注冊會計師應當確定其對下列事項的影響:
(1)與所測試控制相關的風險的評估;
(2)需要獲取的審計證據;
(3)控制運行有效性的結論。
評價控制偏差的影響需要注冊會計師運用職業判斷,並受到控制的性質和所發現偏差數量的影響。如果發現的控制偏差是系統性偏差或人為有意造成的偏差,注冊會計師應當考慮舞弊的可能跡象以及對審計方案的影響。
在評價控制測試中發現的某項控制偏差是否為控制缺陷時,注冊會計師可以考慮的因素包括:
(1)該偏差是如何被發現的。例如,如果某控制偏差是被另外一項控制所發現的,則可能意味著被審計單位存在有效的發現性控制。
(2)該偏差是與某一特定的地點、流程或應用系統相關,還是對被審計單位有廣泛影響。
(3)就被審計單位的內部政策而言,該控制出現偏差的嚴重程度。例如,某項控制在執行上晚於被審計單位政策要求的時間,但仍在編制財務報表之前得以執行,還是該項控制根本沒有得以執行。
(4)與控制運行頻率相比,偏差發生的頻率大小。
由於有效的內部控制不能為實現控制目標提供絕對保證,單項控制並非一定要毫無偏差地運行,才被認為有效。在按照表1所列示的樣本規模進行測試的情況下,如果發現控制偏差,注冊會計師應當考慮偏差的原因及性質,並考慮採用擴大樣本量等適當的應對措施以判斷該偏差是否對總體不具有代表性。例如,對每日發生多次的控制,如果初始樣本量為25個,當測試發現一項控制偏差,且該偏差不是系統性偏差時,注冊會計師可以擴大樣本規模進行測試,所增加的樣本量至少為15個。如果測試後再次發現偏差,則注冊會計師可以得出該控制無效的結論。如果擴大樣本量沒有再次發現偏差,則注冊會計師可以得出控制有效的結論。 在基準日之前,被審計單位可能為提高控制效率、效果或彌補控制缺陷而改變控制。
對內部控制審計而言,如果新控制實現了相關控制目標,且運行了足夠長的時間,使注冊會計師能夠通過對該控制進行測試評價其設計和運行的有效性,則無需測試被取代的控制。
對財務報表審計而言,如果被取代控制的運行有效性對控制風險的評估有重大影響,注冊會計師應當測試被取代控制的設計和運行的
有效性。 注冊會計師應當評估是否利用他人(包括被審計單位的內部審計人員、內部控制評價人員和其他人員以及在管理層或治理層指導下的第三方)的工作以及利用的程度,以減少可能本應由注冊會計師執行的工作。如果他人的工作能夠提供有關內部控制有效性的審計證據,注冊會計師可以利用其工作或者提供的直接幫助。
注冊會計師應當參照《中國注冊會計師審計准則第1411號——利用內部審計人員的工作》的規定,評價他人的專業勝任能力和客觀性,以確定可利用的程度。
在評價他人的專業勝任能力時,注冊會計師應當考慮其專業資格、專業經驗與技能等相關因素。在評價他人的客觀性時,注冊會計師應當考慮是否存在某些因素,將削弱或者增強其客觀性。
無論他人的專業勝任能力如何,注冊會計師都不應利用客觀程度低的人員的工作。同樣,無論他人的客觀程度如何,注冊會計師都不應利用專業勝任能力低的人員的工作。
被審計單位內部負責監督、稽核或合規工作的人員,如內部審計人員,通常擁有較高的專業勝任能力和客觀性。他們的工作可能對注冊會計師有用。
注冊會計師利用他人工作的程度還受到與所測試控制相關的風險的影響。與某項控制相關的風險越高,注冊會計師應當越多地親自對該項控制進行測試。
在識別、了解和測試企業層面控制時,注冊會計師不得利用他人的工作。 如果服務機構提供的服務和對服務的控制,構成被審計單位與財務報告相關的信息系統(包括相關業務流程)的一部分,注冊會計師應當按照《中國注冊會計師審計准則第1241號——對被審計單位使用服務機構的考慮》的規定辦理。
注冊會計師在對被審計單位內部控制的有效性發表意見時,不應在內部控制審計報告中提及服務機構注冊會計師的報告。
Ⅵ 如何通過內部審計促進財務工作的進一步規范
依據《財政部企業內部控制配套指引》包括18項《企業內部控制應用指引》、版《企業內部控制權評價指引》和《企業內部控制審計指引》,連同此前發布的《企業內部控制基本規范》。其中,內部審計部門可以依據《企業內部控制評價指引》定期對企業內部控制體系進行自我評價。
內部審計部門根據企業內部情況對財務系統實施內控建設(雖然違背獨立性原則,但是以專家身份對企業內控規范也是大部分企業的做法)和監督。
Ⅶ 企業內部控制審計指引實施意見的關於計劃審計工作
注冊會計師應當貫徹風險導向審計的思路,恰當地計劃內部控制審計工作,制訂總體審計策略和具體審計計劃。 注冊會計師應當在總體審計策略中體現下列內容:
(1)確定內部控制審計業務特徵,以界定審計范圍。例如,被審計單位採用的內部控制標准、注冊會計師預期內部控制審計工作涵蓋的范圍、對組成部分注冊會計師工作的參與程度、注冊會計師對被審計單位內部控制評價工作的了解以及擬利用被審計單位內部相關人員工作的程度等。
對於按照權益法核算的投資,內部控制審計范圍應當包括針對權益法下相關會計處理而實施的內部控制,但通常不包括針對權益法下被投資方的內部控制。
內部控制審計范圍應當包括被審計單位在內部控制評價基準日(最近一個會計期間截止日,以下簡稱基準日)或在此之前收購的實體,以及在基準日作為終止經營進行會計處理的業務。注冊會計師應當確定是否有必要對與這些實體或業務相關的控制實施測試。
如果法律法規的相關豁免規定允許被審計單位不將某些實體納入內部控制評價范圍,注冊會計師可以不將這些實體納入內部控制審計的范圍。
(2)明確內部控制審計業務的報告目標,以計劃審計的時間安排和所需溝通的性質。例如,被審計單位對外公布或報送內部控制審計報告的時間、注冊會計師與管理層和治理層討論內部控制審計工作的性質、時間安排和范圍,注冊會計師與管理層和治理層討論擬出具內部控制審計報告的類型和時間安排以及溝通的其他事項等。
(3)根據職業判斷,考慮用以指導項目組工作方向的重要因素。例如,財務報表整體的重要性和實際執行的重要性、初步識別的可能存在重大錯報的風險領域、內部控制最近發生變化的程度、與被審計單位溝通過的內部控制缺陷、對內部控制有效性的初步判斷、信息技術和業務流程的變化等。
(4)考慮初步業務活動的結果,並考慮對被審計單位執行其他業務時獲得的經驗是否與內部控制審計業務相關(如適用)。
(5)確定執行內部控制審計業務所需資源的性質、時間安排和
范圍。例如,項目組成員的選擇以及對項目組成員審計工作的分派,項目時間預算等。 注冊會計師應當在具體審計計劃中體現下列內容:
(1)了解和識別內部控制的程序的性質、時間安排和范圍;
(2)測試控制設計有效性的程序的性質、時間安排和范圍;
(3)測試控制運行有效性的程序的性質、時間安排和范圍。 在計劃和實施內部控制審計工作時,注冊會計師應當考慮財務報表審計中對舞弊風險的評估結果。在識別和測試企業層面控制以及選擇其他控制進行測試時,注冊會計師應當評價被審計單位的內部控制是否足以應對識別出的、由於舞弊導致的重大錯報風險,並評價為應對管理層和治理層凌駕於控制之上的風險而設計的控制。
被審計單位為應對這些風險可能設計的控制包括:
(1)針對重大的非常規交易的控制,尤其是針對導致會計處理延遲或異常的交易的控制;
(2)針對期末財務報告流程中編制的分錄和作出的調整的控制;
(3)針對關聯方交易的控制;
(4)與管理層的重大估計相關的控制;
(5)能夠減弱管理層和治理層偽造或不恰當操縱財務結果的動機和壓力的控制。
如果在內部控制審計中識別出旨在防止或發現並糾正舞弊的控制存在缺陷,注冊會計師應當按照《中國注冊會計師審計准則第1141號——財務報表審計中與舞弊相關的責任》的規定,在財務報表審計
中制定重大錯報風險的應對方案時考慮這些缺陷。