内控内审指引
『壹』 内控和内审有什么区别
内控与内审的区别:
1、目标不同。内部控制是建立相互制约的管理关系,目的是改善经营管理;内部审计是对各种业务进行评价,是否合规。
2、手段不同。内部控制手段主要有环境控制、风险评估、活动控制、信息与沟通、监控等;内部审计主要手段是查证、函证、抽样、座谈、调查等。
3、关注点不同。内部控制的关注点是管理流程、制度和岗位约束、制度的有效性、关键岗位等;内部审计的关注点是各项指标完成情况,异常财务现象,财务规范性等。
4、对象不同。内部控制的对象是整个企业的各个环节;内部审计是相关环节和财务相关信息。
『贰』 内控与内审的区别和联系
内控与来内审的区别:
1、目标不同。内自部控制是建立相互制约的管理关系,目的是改善经营管理;内部审计是对各种业务进行评价,是否合规。
2、手段不同。内部控制手段主要有环境控制、风险评估、活动控制、信息与沟通、监控等;内部审计主要手段是查证、函证、抽样、座谈、调查等。
3、关注点不同。内部控制的关注点是管理流程、制度和岗位约束、制度的有效性、关键岗位等;内部审计的关注点是各项指标完成情况,异常财务现象,财务规范性等。
4、对象不同。内部控制的对象是整个企业的各个环节;内部审计是相关环节和财务相关信息。
『叁』 内部控制审计的内部控制五要素
内部控制审计的内部控制五要素如下:
1、内部控制环境,即评价以公司治理结构、机构设置和权责分配、内部审计、人力资源政策、企业文化在内的内部控制环境对企业经营管理活动的影响。
2、风险评估,即分析企业风险控制目的设置的合理性,评价开展风险评估范畴的全面性、风险评估结果的有效性和风险应对策略的科学性。
3、控制活动,即评价企业根据风险评估结果设置的内部控制措施的科学性和控制效果的有效性。
4、内部控制信息和沟通,即评价企业内部控制相关信息在收集、处理和传递程序的科学性,分析信息技术在内部控制信息和沟通中所发挥作用的情况,判断企业在反舞弊工作重点领域相关工作机制的有效性。
5、内部监督制度,即分析企业内部审计机构和其他内部机构在内部监督中的职责权限情况,判断企业实施内部监督的程序、方法、目的等要求的科学性,有效性。
(3)内控内审指引扩展阅读:
内部控制审计的审计内容:
1、内部控制审计计划及重大修改情况;
2、相关风险评估和选择拟测试的内部控制的主要过程及结果;
3、测试内部控制设计与运行有效性的程序及结果;
4、对识别的控制缺陷的评价;
5、形成的审计结论和意见;
6、其他重要事项。
『肆』 内控内审九大循环
内控内审“九大循环”包括: 采购、生产、销售、薪工、投资、融资、固定资产、资讯(软件、硬件)、研发 。
『伍』 内控与内审放在一个部门会怎样
内审要保持独立,不可以在一个部门。
内控与内审有关联的地方在于:
1、内审是内内控环境的一个要素;
2、内控的建立健全通常是在审计委员会之下由内审部门牵头完成;
3、内控的有效性,要靠内审来评价,就有了“内部控制的内部审计”,在今年的内控指引中叫做“内部控制的评价”。这几个是站在内控的角度去看内审。
反过来,站在内审的角度去看内控。
4、了解被审计单位的内控情况,是开展内审的前期工作。内容控有效的子公司,集团公司对其进行内部审计时,会减少实质性测试的抽样样本。
5、内审报告需要对被审计单位提供管理建议书,其中重要的内容就是如何完善内控。
『陆』 内部控制审计的具体流程是怎么样的
内部控制审计的具体流程为:
1、了解企业的内部控制情况,并做出相应的记录。这是内部控制制度审计的第一步,其主要目的是通过一定手段,了解被审计单位已经建立的内部控制制度及执行的情况,并做出记录、描述。
2、初步评价内部控制的健全性。确认内部控制风险,确定内部控制是否可依赖。在对控制环境、控制程序和会计系统进行调查了解,对被审计单位内部控制有了一个初步的认识的基础上,应对内部控制风险和内部控制的可依赖程度做出初步评价。
3、实施符合性测试程序,证实有关内部控制的设计和执行的效果。通过对内部控制进行初步评价,可基本掌握被审计单位内部控制的强弱环节,为进行符合性测试确定一个前提。
4、评价内部控制的强弱,评价控制风险,确定在内部控制薄弱的领域扩展审计程序,制定实质性审计方案。
(6)内控内审指引扩展阅读:
内部控制风险识别、评估与防范:
1、内部控制潜在风险识别情况;
2、内部控制潜在风险程度评估情况;
3、内外环境变化时,内部控制潜在风险再识别与再评估及时性情况;
4、内部控制潜在风险防范措施。
内部控制措施与控制活动情况
1、为保证内部控制目标实现而制定的政策、制度、规定、业务流程等;
2、授权与分权情况;
3、经济活动运行的报告、统计情况;
4、复核情况;
5、业务检查与监督情况;
6、非相容岗位的分离设置情况
7、关键过程或环节的控制情况。
内部信息识别与管理:
1、内部控制信息体系的建立与保持情况;
2、内部控制信息的识别、处理、沟通与反馈;
3、内部控制制度的管理;
4、内部控制记录的管理,特别是关键内部控制记录的管理。
『柒』 内控和内审的区别
内控和内审的区别如下:
1、概念不同
内控是内部控制的简称,指一般公司企业内部的控制运作。内部会计控制是指单位为了提高会计信息质量,保护资产的安全、完整,确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。
内审是内部审计的简称,内部审计之父索耶关于内部审计的定义是:对组织中各类业务和控制进行独立评价,以确定是否遵循公认的方针和程序,是否符合规定和标准,是否有效和经济地使用了资源,是否在实现组织目标。
2、范围不同
内审以财务报告内部控制为主。内审的范围,直接决定着审计的质量、成本和责任,决定着审计的可行性。但是以整个内控作为内审的范围,既不明确,也不好把握,容易产生审计风险,审计的可行性会有问题。
3、性质不同
内审是企业外部对企业的内控,是会计师事务所对企业内部控制的有效性进行的审计,是一种独立的鉴证业务。内控是企业内部管理层对企业的内控评价,通常情况,授权内审机构对企业内控进行评价,是一种相对独立的服务业务。
4、责任主体不同
在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。企业内部控制责任是由企业承担的,而内部控制审计责任是由注册会计师承担的。两种责任的分离决定了企业和注册会计师在分别实施内裤和内审的时候必须按照不同的规则独立完成,两者之间不能相互替代和免除。
(7)内控内审指引扩展阅读:
内控的管理局限
1、人为过失。执行内控制度的人在决策过程中因在一定的时间内、基于所掌握的信息以及所受到的压力,作出在事后看来没有产生理想结果的判断。
2、内部控制体系设计中的缺陷。制度是人执行的,在执行的过程中因制度设计的缺陷以及执行的人员培训问题会造成错误。
3、 管理层凌驾内部控制体系。出于个人利益或虚夸主体的财务状况或合规情况等不法企图,而拒绝执行既定的政策或程序。
4、 员工串通或舞弊。
5、 建立控制的相关成本与效益比较。
『捌』 内部控制应用指引、评价指引和审计指引的关系是
内控应用指引是告诉你如何设置内部控制,评价指引是公司自己内部评价内控。审计指引是注册会计师进行内控审计时候看的。。
我给你一点书上的,讲的复杂,但就是我说的那回事。。哈哈
『玖』 企业内部控制审计指引实施意见的关于实施审计工作
注册会计师应当采用自上而下的方法选择拟测试的控制。
自上而下的方法始于财务报表层次,以注册会计师对内部控制整体风险的了解开始,然后,将关注重点放在企业层面的控制上,并将工作逐渐下移至重要账户、列报及其相关认定。随后,验证其对被审计单位业务流程中风险的了解,并选择能足以应对评估的每个相关认定的重大错报风险的控制进行测试。
自上而下的方法分为下列步骤:
(1)从财务报表层次初步了解内部控制整体风险;
(2)识别、了解和测试企业层面控制;
(3)识别重要账户、列报及其相关认定;
(4)了解潜在错报的来源并识别相应的控制;
(5)选择拟测试的控制。
本部分第(二)至(五)对自上而下的方法的各个步骤进行了规定,第(六)至(十三)对控制有效性测试进行了规定。 注册会计师应当识别、了解和测试对内部控制有效性有重要影响的企业层面控制。注册会计师对企业层面控制的评价,可能增加或减少本应对其他控制进行的测试。
1. 企业层面控制对其他控制及其测试的影响
不同的企业层面控制在性质和精确度上存在差异,注册会计师应当从下列方面考虑这些差异对其他控制及其测试的影响:
(1)某些企业层面控制,如与控制环境相关的控制,对及时防止或发现并纠正相关认定的错报的可能性有重要影响。虽然这种影响是间接的,但这些控制仍然可能影响注册会计师拟测试的其他控制,以及测试程序的性质、时间安排和范围。
(2)某些企业层面控制旨在识别其他控制可能出现的失效情况,能够监督其他控制的有效性,但还不足以精确到及时防止或发现并纠正相关认定的错报。当这些控制运行有效时,注册会计师可以减少对其他控制的测试。
(3)某些企业层面控制本身能够精确到足以及时防止或发现并纠正相关认定的错报。如果一项企业层面控制足以应对已评估的错报风险,注册会计师就不必测试与该风险相关的其他控制。
2. 企业层面控制的内容
企业层面控制包括下列内容:
(1)与控制环境(即内部环境)相关的控制;
(2)针对管理层和治理层凌驾于控制之上的风险而设计的控制;
(3)被审计单位的风险评估过程;
(4)对内部信息传递和期末财务报告流程的控制;
(5)对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价。
此外,集中化的处理和控制(包括共享的服务环境)、监控经营成果的控制以及针对重大经营控制及风险管理实务的政策也属于企业层面控制。
3. 对期末财务报告流程的评价
期末财务报告流程对内部控制审计和财务报表审计有重要影响,
注册会计师应当对期末财务报告流程进行评价。
期末财务报告流程包括:
(1)将交易总额登入总分类账的程序;
(2)与会计政策的选择和运用相关的程序;
(3)总分类账中会计分录的编制、批准等处理程序;
(4)对财务报表进行调整的程序;
(5)编制财务报表的程序。
注册会计师应当从下列方面评价期末财务报告流程:
(1)被审计单位财务报表的编制流程,包括输入、处理及输出;
(2)期末财务报告流程中运用信息技术的程度;
(3)管理层中参与期末财务报告流程的人员;
(4)纳入财务报表编制范围的组成部分;
(5)调整分录及合并分录的类型;
(6)管理层和治理层对期末财务报告流程进行监督的性质及范围。 注册会计师应当基于财务报表层次识别重要账户、列报及其相关认定。
如果某账户或列报可能存在一个错报,该错报单独或连同其他错报将导致财务报表发生重大错报,则该账户或列报为重要账户或列报。判断某账户或列报是否重要,应当依据其固有风险,而不应考虑相关控制的影响。
如果某财务报表认定可能存在一个或多个错报,这些错报将导致财务报表发生重大错报,则该认定为相关认定。判断某认定是否为相
关认定,应当依据其固有风险,而不应考虑相关控制的影响。
为识别重要账户、列报及其相关认定,注册会计师应当从下列方面评价财务报表项目及附注的错报风险因素:
(1)账户的规模和构成;
(2)易于发生错报的程度;
(3)账户或列报中反映的交易的业务量、复杂性及同质性;
(4)账户或列报的性质;
(5)与账户或列报相关的会计处理及报告的复杂程度;
(6)账户发生损失的风险;
(7)账户或列报中反映的活动引起重大或有负债的可能性;
(8)账户记录中是否涉及关联方交易;
(9)账户或列报的特征与前期相比发生的变化。
在识别重要账户、列报及其相关认定时,注册会计师还应当确定重大错报的可能来源。注册会计师可以通过考虑在特定的重要账户或列报中错报可能发生的领域和原因,确定重大错报的可能来源。
在内部控制审计中,注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素,与财务报表审计中考虑的因素相同。因此,在这两种审计中识别的重要账户、列报及其相关认定应当相同。
如果某账户或列报的各组成部分存在的风险差异较大,被审计单位可能需要采用不同的控制以应对这些风险,注册会计师应当分别予以考虑。 注册会计师应当实现下列目标,以进一步了解潜在错报的来源,并为选择拟测试的控制奠定基础:
(1)了解与相关认定有关的交易的处理流程,包括这些交易如何生成、批准、处理及记录;
(2)验证注册会计师识别出的业务流程中可能发生重大错报(包括由于舞弊导致的错报)的环节;
(3)识别被审计单位用于应对这些错报或潜在错报的控制;
(4)识别被审计单位用于及时防止或发现并纠正未经授权的、导致重大错报的资产取得、使用或处置的控制。
注册会计师应当亲自执行能够实现上述目标的程序,或对提供直接帮助的人员的工作进行督导。
穿行测试通常是实现上述目标的最有效方式。穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程。注册会计师在执行穿行测试时,通常需要综合运用询问、观察、检查相关文件及重新执行等程序。
在执行穿行测试时,针对重要处理程序发生的环节,注册会计师可以询问被审计单位员工对规定程序及控制的了解程度。实施询问程序连同穿行测试中的其他程序,可以帮助注册会计师充分了解业务流程,识别必要控制设计无效或出现缺失的重要环节。为有助于了解业务流程处理的不同类型的重大交易,在实施询问程序时,注册会计师不应局限于关注穿行测试所选定的单笔交易。 注册会计师应当针对每一相关认定获取控制有效性的审计证据,以便对内部控制整体的有效性发表意见,但没有责任对单项控制的有效性发表意见。
注册会计师应当对被审计单位的控制是否足以应对评估的每个
相关认定的错报风险形成结论。因此,注册会计师应当选择对形成这一评价结论具有重要影响的控制进行测试。
对特定的相关认定而言,可能有多项控制用以应对评估的错报风险;反之,一项控制也可能应对评估的多项相关认定的错报风险。注册会计师没有必要测试与某项相关认定有关的所有控制。
在确定是否测试某项控制时,注册会计师应当考虑该项控制单独或连同其他控制,是否足以应对评估的某项相关认定的错报风险,而不论该项控制的分类和名称如何。 注册会计师应当测试控制设计的有效性。
如果某项控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定的程序和要求执行,能够实现控制目标,从而有效地防止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊,则表明该项控制的设计是有效的。 注册会计师应当测试控制运行的有效性。
如果某项控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力,能够实现控制目标,则表明该项控制的运行是有效的。
如果被审计单位利用第三方的帮助完成一些财务报告工作,注册会计师在评价负责财务报告及相关控制的人员的专业胜任能力时,可以一并考虑第三方的专业胜任能力。
注册会计师获取的有关控制运行有效性的审计证据包括:
(1)控制在所审计期间的相关时点是如何运行的;
(2)控制是否得到一贯执行;
(3)控制由谁或以何种方式执行。 在测试所选定控制的有效性时,注册会计师应当根据与控制相关的风险,确定所需获取的审计证据。
与控制相关的风险包括一项控制可能无效的风险,以及如果该控制无效,可能导致重大缺陷的风险。与控制相关的风险越高,注册会计师需要获取的审计证据就越多。
下列因素影响与某项控制相关的风险:
(1)该项控制拟防止或发现并纠正的错报的性质和重要程度;
(2)相关账户、列报及其认定的固有风险;
(3)交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的有效性产生不利影响;
(4)相关账户或列报是否曾经出现错报;
(5)企业层面控制(特别是监督其他控制的控制)的有效性;
(6)该项控制的性质及其执行频率;
(7)该项控制对其他控制(如控制环境或信息技术一般控制)有效性的依赖程度;
(8)执行该项控制或监督该项控制执行的人员的专业胜任能力,以及其中的关键人员是否发生变化;
(9)该项控制是人工控制还是自动化控制;
(10)该项控制的复杂程度,以及在运行过程中依赖判断的程度。 注册会计师通过测试控制有效性获取的审计证据,取决于其实施
程序的性质、时间安排和范围的组合。此外,就单项控制而言,注册会计师应当根据与控制相关的风险对测试程序的性质、时间安排和范围进行适当的组合,以获取充分、适当的审计证据。
注册会计师测试控制有效性的程序,按其提供审计证据的效力,由弱到强排序通常为:询问、观察、检查和重新执行。询问本身并不能为得出控制是否有效的结论提供充分、适当的审计证据。
测试控制有效性的程序,其性质在很大程度上取决于拟测试控制的性质。某些控制可能存在反映控制有效性的文件记录,而另外一些控制,如管理理念和经营风格,可能没有书面的运行证据。
对缺乏正式的控制运行证据的被审计单位或业务单元,注册会计师可以通过询问并结合运用其他程序,如观察活动、检查非正式的书面记录和重新执行某些控制,获取有关控制是否有效的充分、适当的审计证据。
注册会计师在测试控制设计的有效性时,应当综合运用询问适当人员、观察经营活动和检查相关文件等程序。注册会计师执行穿行测试通常足以评价控制设计的有效性。
注册会计师在测试控制运行的有效性时,应当综合运用询问适当人员、观察经营活动、检查相关文件以及重新执行等程序。 对控制有效性的测试涵盖的期间越长,提供的控制有效性的审计证据越多。
单就内部控制审计业务而言,注册会计师应当获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据。在整合审计中,控制测试所涵盖的期间应当尽量与财务报表审计中拟信赖内部控制
的期间保持一致。
注册会计师执行内部控制审计业务旨在对基准日内部控制有效性出具报告。如果已获取有关控制在期中运行有效性的审计证据,注册会计师应当确定还需要获取哪些补充审计证据,以证实剩余期间控制的运行情况。在将期中测试结果更新至基准日时,注册会计师应当考虑下列因素以确定需要获取的补充审计证据:
(1)基准日之前测试的特定控制,包括与控制相关的风险、控制的性质和测试的结果;
(2)期中获取的有关审计证据的充分性和适当性;
(3)剩余期间的长短;
(4)期中测试之后,内部控制发生重大变化的可能性。
针对所有重要账户和列报的每个相关认定,注册会计师应当获取控制有效性的审计证据。《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》第十四条提及的“三年轮换测试”不适用(本意见第四部分提及的与基准相比较的策略除外)。 对控制有效性测试的实施时间越接近基准日,提供的控制有效性的审计证据越有力。为了获取充分、适当的审计证据,注册会计师应当在下列两个因素之间作出平衡,以确定测试的时间:
(1)尽量在接近基准日实施测试;
(2)实施的测试需要涵盖足够长的期间。
整改后的内部控制需要在基准日之前运行足够长的时间,注册会计师才能得出整改后的内部控制是否有效的结论。因此,在接受或保持内部控制审计业务时,注册会计师应当尽早与被审计单位沟通这一
情况,并合理安排控制测试的时间,留出提前量。例如,注册会计师在基准日前3个月完成期中测试工作。此外,由于对企业层面控制的评价结果将影响注册会计师测试其他控制的性质、时间安排和范围,注册会计师可以考虑在执行业务的早期阶段对企业层面控制进行测试。 注册会计师在测试控制的运行有效性时,应当在考虑与控制相关的风险的基础上,确定测试的范围(样本规模)。
注册会计师确定的测试范围,应当足以使其获取充分、适当的审计证据,为基准日内部控制是否不存在重大缺陷提供合理保证。
1.测试人工控制的最小样本规模
在测试人工控制时,如果采用检查或重新执行程序,注册会计师测试的最小样本量区间参见表1。
表1:测试人工控制的最小样本量区间 控制运行频率 控制运行总次数 测试的最小样本量区间 每年1次 1 1 每季1次 4 2 每月1次 12 2-5 每周1次 52 5-15 每天1次 250 20-40 每天多次 大于250次 25-60 在运用表1时,注册会计师应当注意下列事项:
(1)测试的最小样本量是指所需测试的控制运行次数;
(2)注册会计师应当根据与控制相关的风险,基于最小样本量
区间确定具体的样本规模;
(3)表1假设控制的运行偏差率预期为零。如果预期偏差率不为零,注册会计师应当扩大样本规模;
(4)如果注册会计师不能确定控制运行频率,但是知道控制运行总次数,仍可根据“控制运行总次数”一列确定测试的最小样本规模。
2. 测试自动化应用控制的最小样本规模
信息技术处理具有内在一贯性。在信息技术一般控制有效的前提下,除非系统发生变动,注册会计师只要对自动化应用控制的运行测试一次,即可得出所测试自动化应用控制是否运行有效的结论。
3.发现偏差时的处理
如果发现控制偏差,注册会计师应当确定其对下列事项的影响:
(1)与所测试控制相关的风险的评估;
(2)需要获取的审计证据;
(3)控制运行有效性的结论。
评价控制偏差的影响需要注册会计师运用职业判断,并受到控制的性质和所发现偏差数量的影响。如果发现的控制偏差是系统性偏差或人为有意造成的偏差,注册会计师应当考虑舞弊的可能迹象以及对审计方案的影响。
在评价控制测试中发现的某项控制偏差是否为控制缺陷时,注册会计师可以考虑的因素包括:
(1)该偏差是如何被发现的。例如,如果某控制偏差是被另外一项控制所发现的,则可能意味着被审计单位存在有效的发现性控制。
(2)该偏差是与某一特定的地点、流程或应用系统相关,还是对被审计单位有广泛影响。
(3)就被审计单位的内部政策而言,该控制出现偏差的严重程度。例如,某项控制在执行上晚于被审计单位政策要求的时间,但仍在编制财务报表之前得以执行,还是该项控制根本没有得以执行。
(4)与控制运行频率相比,偏差发生的频率大小。
由于有效的内部控制不能为实现控制目标提供绝对保证,单项控制并非一定要毫无偏差地运行,才被认为有效。在按照表1所列示的样本规模进行测试的情况下,如果发现控制偏差,注册会计师应当考虑偏差的原因及性质,并考虑采用扩大样本量等适当的应对措施以判断该偏差是否对总体不具有代表性。例如,对每日发生多次的控制,如果初始样本量为25个,当测试发现一项控制偏差,且该偏差不是系统性偏差时,注册会计师可以扩大样本规模进行测试,所增加的样本量至少为15个。如果测试后再次发现偏差,则注册会计师可以得出该控制无效的结论。如果扩大样本量没有再次发现偏差,则注册会计师可以得出控制有效的结论。 在基准日之前,被审计单位可能为提高控制效率、效果或弥补控制缺陷而改变控制。
对内部控制审计而言,如果新控制实现了相关控制目标,且运行了足够长的时间,使注册会计师能够通过对该控制进行测试评价其设计和运行的有效性,则无需测试被取代的控制。
对财务报表审计而言,如果被取代控制的运行有效性对控制风险的评估有重大影响,注册会计师应当测试被取代控制的设计和运行的
有效性。 注册会计师应当评估是否利用他人(包括被审计单位的内部审计人员、内部控制评价人员和其他人员以及在管理层或治理层指导下的第三方)的工作以及利用的程度,以减少可能本应由注册会计师执行的工作。如果他人的工作能够提供有关内部控制有效性的审计证据,注册会计师可以利用其工作或者提供的直接帮助。
注册会计师应当参照《中国注册会计师审计准则第1411号——利用内部审计人员的工作》的规定,评价他人的专业胜任能力和客观性,以确定可利用的程度。
在评价他人的专业胜任能力时,注册会计师应当考虑其专业资格、专业经验与技能等相关因素。在评价他人的客观性时,注册会计师应当考虑是否存在某些因素,将削弱或者增强其客观性。
无论他人的专业胜任能力如何,注册会计师都不应利用客观程度低的人员的工作。同样,无论他人的客观程度如何,注册会计师都不应利用专业胜任能力低的人员的工作。
被审计单位内部负责监督、稽核或合规工作的人员,如内部审计人员,通常拥有较高的专业胜任能力和客观性。他们的工作可能对注册会计师有用。
注册会计师利用他人工作的程度还受到与所测试控制相关的风险的影响。与某项控制相关的风险越高,注册会计师应当越多地亲自对该项控制进行测试。
在识别、了解和测试企业层面控制时,注册会计师不得利用他人的工作。 如果服务机构提供的服务和对服务的控制,构成被审计单位与财务报告相关的信息系统(包括相关业务流程)的一部分,注册会计师应当按照《中国注册会计师审计准则第1241号——对被审计单位使用服务机构的考虑》的规定办理。
注册会计师在对被审计单位内部控制的有效性发表意见时,不应在内部控制审计报告中提及服务机构注册会计师的报告。
『拾』 企业内部控制审计指引实施意见的关于连续审计时的特殊考虑
在连续审计中,注册会计师在确定测试的性质、时间安排和范围时,应当考虑以前年度执行内部控制审计所了解的情况。 除本意见第三部分第(八)项“与控制相关的风险和拟获取的审计证据之间的关系”所列因素外,下列因素也会影响连续审计中与某项控制相关的风险:
(1)以前年度审计中所实施程序的性质、时间安排和范围;
(2)以前年度对控制的测试结果以及以前年度发现的缺陷是否得以整改;
(3)上次审计之后,控制或其运行所处的流程是否发生变化。
在考虑本意见所列的风险因素,以及连续审计中可获取的进一步信息后,如果认为与控制相关的风险水平比以前年度有所下降,注册会计师在本年度审计中可以减少测试。 在连续审计中,由于完全自动化的应用控制通常不会因人为失误而失效,因此,注册会计师可以考虑对自动化应用控制实施与基准相
比较的策略。
与基准相比较的策略,是指如果认为程序变更、访问权限及计算机操作方面的一般控制有效,且可持续对其进行测试,并能证实自动化应用控制自最近一次测试之后未发生变化,则可将最近一次测试设为基准,在以后年度测试时,注册会计师不必重复执行测试,只需将该年的情况与基准相比较,就可以认为自动化应用控制是持续有效的。
注册会计师为证实控制未发生变化而需获取审计证据的性质和范围,可能随情况的变化而变化。例如,被审计单位程序变更控制的强弱将影响需获取审计证据的性质和范围。
自动化应用控制能否一贯有效地运行可能取决于所使用的相关文件、表格、数据和参数的正确性。例如,计算利息收入的自动化应用控制,其运行的有效性可能取决于使用的利率表的正确性。
注册会计师应当在评价下列风险因素的基础上,确定是否使用与基准相比较的策略:
(1)应用控制与相关应用程序直接对应的程度;
(2)应用系统的稳定性,即各期间的变化大小;
(3)有关投入使用的程序编译日期的信息的可获得性和可靠性(该信息可作为此程序中的控制未发生变化的审计证据)。
当上述因素表明风险较低时,对所评价的控制可能比较适合使用与基准相比较的策略。反之,不宜使用与基准相比较的策略。但是基础数据的准确性与完整性,以及依赖系统的人工控制部分不适用与基准相比较的策略。
在一段时期之后,注册会计师应当重新设置自动化应用控制运行
的基准。在确定何时重设基准时,注册会计师应当考虑下列因素:
(1)信息技术控制环境的有效性,包括针对应用及操作系统和数据库系统的取得与维护、访问权限以及计算机操作而实施控制的有效性;
(2)如果包含控制的具体程序发生变化,注册会计师对该变化性质的了解;
(3)其他相关测试的性质和时间;
(4)相关应用控制发生错误导致的后果;
(5)控制是否易于受到其他可能变化的经营因素的影响。 为使对控制有效性的测试具有不可预见性并能够应对环境的变化,注册会计师应当每年改变测试的性质、时间安排和范围。
注册会计师可以每年在期中不同的时间测试控制,并增加或减少所执行测试的数量和种类,或者改变所使用测试程序的组合。