image.png image.png

一、内部控制审计的范围

内部控制审计的范围”和“审计意见涵盖的范围”是完全不同的概念。

  • 【内部控制审计的范围】严格限定为财务报告内部控制审计。
  • 【审计意见涵盖的范围】针对的是特定基准日(时间范围)的财务报告内部控制(空间范围)设计与运行的有效性,言外之意,注册会计师不对非财务报告内部控制的有效性发表审计意见。
  • 但是,针对内部控制审计过程中注意到的财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

    (一)内部控制审计意见覆盖的范围(关键词)

  1. 针对财务报告内部控制,注册会计师对其有效性发表审计意见;

  2. 针对非财务报告内部控制,注册会计师针对内部控制审计过程中注意到非财务报告内部控制重大缺陷,在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段”予以披露。

    (二)财务报告内部控制内容

  3. 企业层面的内部控制

    1. 控制环境相关的控制
    2. 针对管理层和治理层凌驾于内部控制之上的风险而设计的内部控制
    3. 被审计单位的风险评估过程
    4. 对内部信息传递期末财务报告流程的控制
    5. 对控制有效性的内部监督和内部控制评价
    6. 集中化的处理和控制、监控经营成果的控制,以及重大经营控制风险管理实务的政策
  4. 业务流程、应用系统或交易层面的内部控制
    1. 授权与审批
    2. 信息技术应用控制
    3. 实物控制
    4. 复核和调节

**

二、识别重要账户、列报及其相关认定

(一)重要账户或列报的含义

如果某账户或列报可能存在一个错报,该错报单独或连同其他错报将导致财务报表发生重大错报,则该账户或列报重要账户或列报。

(二)评价重要账户或列报

  1. 评价角度(定量和定性)
    • 在识别重要账户、列报及其相关认定时,注册会计师应当从定量定性两个方面作出评价,包括考虑舞弊的影响。
  2. 定量评价
    1. 超过财务报表整体重要性的账户,无论是在内部控制审计还是财务报表审计中,通常情况下被认定为重要账户;
    2. 一个账户或列报,即使从性质方面考虑与之相关的风险较小,其金额超过财务报表整体重要性越多,该账户或列报被认定为重要账户或列报的可能性就越大;
    3. 一个账户或列报的金额超过财务报表整体重要性,并不必然表明其属于重要账户或列报,因为注册会计师还需要考虑定性的因素。同理,定性的因素也可能导致注册会计师将低于财务报表整体重要性的账户或列报认定为重要账户或列报。
  3. 定性评价
    • 性质上说,注册会计师可能因为某账户或列报受固有风险或舞弊风险的影响而将其确定为重要账户或列报,因为即使该账户或列报从金额上看并不重大,但这些固有风险或舞弊风险很有可能导致重大错报(该错报单独或连同其他错报将导致财务报表发生重大错报)。
    • 在识别重要账户、列报及其相关认定时,注册会计师不应考虑控制的影响,因为内部控制审计的目标本身就是评价控制有效性。
  4. 综合考虑所有可获得的信息
    • 在识别重要账户、列报及其相关认定时,注册会计师还应当确定重大错报的可能来源。注册会计师可以通过考虑在特定的重要账户或列报中错报可能发生的领域和原因,确定重大错报的可能来源
  5. 根据以前年度审计中了解的情况评价
    1. 以前年度审计中了解到的情况影响注册会计师对固有风险的评估,因而应当在确定重要账户、列报及其相关认定时加以考虑
    2. 以前年度审计中识别的错报会影响注册会计师对某账户、列报及其相关认定固有风险的评估


三、控制缺陷的分类

(一)内部控制缺陷按其成因分类

  1. 设计缺陷
    • 缺少为实现控制目标所必需的控制,或现有控制设计不适当、即使正常运行也难以实现预期的控制目标

  2. 运行缺陷

    • 现存设计适当的控制没有按设计意图运行,或执行人员没有获得必要授权或缺乏胜任能力,无法有效地实施内部控制

      (二)内部控制缺陷按其严重程度分类

  3. 重大缺陷

    • 内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合
  4. 重要缺陷
    • 内部控制中存在的、其严重程度不如重大缺陷但足以引起负责监督被审计单位财务报告的人员(如审计委员会或类似机构)关注的一项控制缺陷或多项控制缺陷的组合
  5. 一般缺陷
    • 内部控制中存在的、除重大缺陷和重要缺陷之外的控制缺陷


四、形成审计意见

(一)形成审计意见的基础(关键词)

注册会计师应当评价从各种来源获取的审计证据,包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷,形成对内部控制有效性的意见。

(二)对审计范围受到限制的考虑

  1. 只有在审计范围没有受到限制时,注册会计师才能对内部控制的有效性形成意见。

  2. 如果审计范围受到限制,注册会计师需要解除业务约定或出具无法表示意见的内部控制审计报告。

    (三)年度报告中应披露的财务报告内部控制评价报告

    根据中国证监会《上市公司实施企业内部控制规范体系监管问题解答》的规定,公开发行证券的公司在年度报告中应披露的财务报告内部控制评价报告应包括以下内容

  3. 公司董事会关于建立健全和有效实施财务报告内部控制是公司董事会的责任,并就公司财务报告内部控制评价报告真实性作出的声明

  4. 财务报告内部控制评价的依据。
  5. 根据自我评价情况,认定于评价基准日存在的财务报告内部控制重大缺陷情况。
  6. 对发现的重大缺陷已采取或拟采取的整改措施的说明。
  7. 公司董事会对评价基准日财务报告内部控制有效性的自我评价结论
  8. 在财务报告内部控制自我评价过程中关注到的非财务报告内部控制重大缺陷情况。

五、无保留意见的内部控制审计报告

(一)适用情况

如果符合下列所有条件,注册会计师应当对内部控制出具无保留意见的内部控制审计报告:

  1. 基准日,被审计单位按照适用的内部控制标准的要求,在所有重大方面保持了有效的内部控制。

  2. 注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作,在审计过程未受到限制

    (二)无保留意见内部控制审计报告要素

  3. 标题

  4. 收件人
  5. 引言段
  6. 企业对内部控制的责任段
  7. 注册会计师的责任段
  8. 内部控制固有局限性的说明段
  9. 财务报告内部控制审计意见段
  10. 注册会计师的签名和盖章
  11. 会计师事务所的名称、地址及盖章
  12. 报告日期

    (三)无保留意见内部控制审计报告举例

    内部控制审计报告(1-标题)
    ××股份有限公司全体股东:(2-收件人)
    按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求,我们审计了××股份有限公司(以下简称××公司)××年××月××日的财务报告内部控制的有效性。(3-引言段)
    一、企业对内部控制的责任
    按照《企业内部控制基本规范》《企业内部控制应用指引》《企业内部控制评价指引》的规定,建立健全和有效实施内部控制,并评价其有效性是××公司董事会的责任。(4-企业对内部控制的责任段)
    二、注册会计师的责任
    我们的责任是在实施审计工作的基础上,对财务报告内部控制的有效性发表审计意见,并对注意到的财务报告内部控制的重大缺陷进行披露(5-注册会计师的责任段)
    三、内部控制的固有局限性(“2+3”)
    内部控制具有固有局限性,存在不能防止和发现错报的可能性。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制审计结果推测未来内部控制的有效性具有一定风险。(6-内部控制固有局限性的说明段)
    四、财务报告内部控制审计意见
    我们认为,××公司于××年××月××日按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制(7-财务报告内部控制审计意见段)
××会计师事务所 中国注册会计师:×××
(签名并盖章)
(盖章) 中国注册会计师:×××
(签名并盖章)
中国××市 (8-注册会计师的签名和盖章)
(9-会计师事务所的名称、地址和盖章)
二0×二年×月×日
(10-报告日期)

六、非无保留意见的内部控制审计报告

(一)内部控制存在重大缺陷时的处理

  1. 发表否定意见
    1. 如果认为内部控制存在一项或多项重大缺陷除非审计范围受到限制,注册会计师应当对内部控制发表否定意见。
    2. 否定意见的内部控制审计报告还应当包括重大缺陷的定义、重大缺陷的性质及其对内部控制的影响程度。
  2. 企业内部控制评价报告中是否包含重大缺陷
    1. 如果重大缺陷尚未包含在企业内部控制评价报告中,注册会计师应当在内部控制审计报告中说明重大缺陷已经识别、但没有包含在企业内部控制评价报告中。
    2. 如果企业内部控制评价报告中包含了重大缺陷,但注册会计师认为这些重大缺陷未在所有重大方面得到公允反映,注册会计师应当在内部控制审计报告中说明这一结论,并公允表达有关重大缺陷的必要信息。此外,注册会计师还应当就这些情况以书面形式与治理层沟通。

  3. 财务报表审计中不应依赖重大缺陷的控制

    1. 如果拟对内部控制的有效性发表否定意见,在财务报表审计中,注册会计师不应依赖存在重大缺陷的控制。然而,需要实施实质性程序确定与该控制相关的账户是否存在重大错报。如果实施实质性程序的结果表明该账户不存在重大错报,注册会计师可以对财务报表发表无保留意见。在这种情况下,注册会计师应当确定该意见对财务报表审计意见的影响,并在内部控制审计报告中予以说明。
    2. 如果对财务报表发表的审计意见未受影响,注册会计师应当在内部控制审计报告的导致否定意见的事项段中增加以下类似说明:“在××公司××年财务报表审计中,我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。本报告并未对我们在××年×月×日对×公司××年财务报表出具的审计报告产生影响。”
    3. 如果对财务报表发表的审计意见受到影响,注册会计师应当在内部控制审计报告的导致否定意见的事项段中增加以下类似说明:“在××公司××年财务报表审计中,我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。”

      (二)审计范围受到限制时的处理

  4. 解除业务约定或出具无法表示意见

    • 注册会计师只有实施了必要的审计程序,才能对内部控制的有效性发表意见。如果审计范围受到限制,注册会计师应当解除业务约定或出具无法表示意见的内部控制审计报告。
  5. 考虑相关豁免规定
    1. 考虑相关豁免规定不构成审计范围受到限制
      • 如果法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制的评价范围,注册会计师可以不将这些实体纳入内部控制审计的范围。这种情况不构成审计范围受到限制,但注册会计师应当在内部控制审计报告中增加强调事项段或者在注册会计师的责任段中,就这些实体未被纳入评价范围和内部控制审计范围这一情况,作出与被审计单位类似的恰当陈述。
    2. 考虑相关豁免规定,豁免权的陈述不恰当
      • 如果认为被审计单位有关该项豁免的陈述不恰当,注册会计师应当提请其作出适当修改。如果被审计单位未作出恰当修改,注册会计师应当在内部控制审计报告的强调事项段中说明被审计单位的陈述需要修改的理由
  6. 发表无法表示意见
    • 在出具无法表示意见的内部控制审计报告时,注册会计师应当在内部控制审计报告中指明审计范围受到限制,无法对内部控制的有效性发表意见,并单设段落说明无法表示意见的实质性理由。注册会计师不应在内部控制审计报告中指明所执行的程序,也不应描述内部控制审计的特征,以避免对无法表示意见的误解。如果在已执行的有限程序中发现内部控制存在重大缺陷,注册会计师应当在内部控制审计报告中对重大缺陷做出详细说明。

**

七、强调事项、非财务报告内部控制重大缺陷

(一)强调事项

  1. 总体要求
    • 如果认为内部控制虽然不存在重大缺陷,但仍有一项或多项重大事项需要提请内部控制审计报告使用者注意,注册会计师应当在内部控制审计报告中增加强调事项段予以说明。
  2. 增加强调事项段情形
    1. 如果确定企业内部控制评价报告对要素的列报不完整不恰当,注册会计师应当在内部控制审计报告中增加强调事项段说明这一情况并解释得出该结论的理由。
    2. 如果注册会计师知悉基准日并不存在、但在期后期间发生的事项,且这类期后事项对内部控制有重大影响,注册会计师应当在内部控制审计报告中增加强调事项段描述该事项及其影响,或提醒内部控制审计报告使用者关注企业内部控制评价报告披露的该事项及其影响。
  3. 强调事项段举例

    我们提醒内部控制审计报告使用者关注,[描述强调事项的性质及其对内部控制的重大影响]。本段内容不影响已对财务报告内部控制发表的审计意见。

(二)非财务报告内部控制重大缺陷

  1. 注册会计师应当以书面形式与企业董事会和经理层沟通其审计过程中注意到的非财务报告内部控制的重大缺陷,提醒企业加以改进。
  2. 在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露,提示内部控制审计报告使用者注意相关风险,但无需对其发表审计意见。
  3. 非财务报告内部控制重大缺陷举例

    在内部控制审计过程中,我们注意到××公司的财务报告内部控制存在重大缺陷[描述该缺陷的性质及其对实现相关控制目标的影响程度]。由于存在上述重大缺陷,我们提醒本报告使用者注意相关风险。需要指出的是,我们并不对××公司的非财务报告内部控制发表意见提供保证。本段内容不影响对财务报告内部控制有效性发表的审计意见。