第二十三章 企业内部控制审计

内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。注册会计师执行的内部控制审计，是严格限定在财务报告内部控制审计。

一、内部控制审计的概念

（一）内部控制审计的范围

在财务报告内部控制审计中，审计意见覆盖的范围是：

（1）针对财务报告内部控制，注册会计师对其有效性发表审计意见；

（2）针对非财务报告内部控制，注册会计师针对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

（二）内部控制审计基准日

内部控制审计基准日，是指注册会计师评价内部控制在某一时日是否有效所涉及的基准日，也是被审计单位评价基准日，即最近一个会计期间截止日。

注册会计师对特定基准日内部控制的有效性发表意见，并不意味着注册会计师只测试基准日这一天的内部控制，而是需要考察足够长一段时间内部控制设计和运行的情况。

对控制有效性的测试涵盖的期间越长，提供的控制有效性的审计证据越多。

在整合审计中，控制测试所涵盖的期间应当尽量与财务报表审计中拟信赖内部控制的期间保持一致。

注：所谓整合审计，是指财务报表审计和内部控制的审计同时进行。

（三）内部控制审计与财务报表审计的辨析

1.共同点

（1）两者的最终目的一致，虽然各有侧重，但最终目的均为提高财务报表预期使用者对财务报表的信赖程度。

（2）两者都采用风险导向审计方法。

（3）两者运用的重要性水平相同。

（4）两者识别的重要账户、列报及其相关认定相同。注

（5）两者了解和测试内部控制设计和运行有效性的基本方法相同，都可能实施询问、观察、检查以及重新执行等程序。

2.区别

（1）两者侧重不同。财务报表审计是对财务报表进行审计，而内部控制审计是对保证财务报表质量的内部控制的有效性进行审计。

（2）两者测试内部控制运行有效性的范围要求不同。在财务报表审计中，针对评估的认定层次重大错报风险，注册会计师可能选择采用实质性方案或综合性方案，如果采用实质性方案，注册会计师可以不测试内部控制的运行有效性；在内部控制审计中，注册会计师应当针对所有重要账户和列报的每一个相关认定获取控制设计和运行有效性的审计证据，以便对内部控制整体的有效性发表审计意见。

（3）两者内部控制测试的期间要求不同。在财务报表审计中，如果注册会计师选择综合性方案，需要获取内部控制在整个拟信赖期间运行有效的审计证据；在内部控制审计中，注册会计师对于基准日的内部控制运行有效性发表意见，则仅需要对内部控制在基准日前足够长的时间（可能短于整个审计期间）内的运行有效性获取审计证据。

（4）两者对控制缺陷的评价要求不同。在内部控制审计中，注册会计师应当评价识别出的内部控制缺陷是否构成一般缺陷、重要缺陷或重大缺陷。在财务报表审计中，注册会计师需要确定识别出的内部控制缺陷单独或连同其他缺陷是否构成值得关注的内部控制缺陷。

（5）审计报告的形式和内容以及所包括的意见类型不同。企业内部控制审计意见包括无保留意见、否定意见和无法表示意见三种类型。

【例题1·多选题】下列有关财务报表审计与内部控制审计的共同点的说法中，正确的有（　　）。 A.两者识别的重要账户、列报及其相关认定相同 B.两者的审计报告意见类型相同 C.两者了解和测试内部控制设计和运行有效性的审计程序类型相同 D.两者测试内部控制运行有效性的范围相同 【答案】AC 【解释】选项B错误，企业内部控制审计意见包括无保留意见、否定意见和无法表示意见三种类型，没有保留意见；选项D错误，在财务报表审计中，如果预期不信赖内部控制，可以不实施控制测试，不测试内部控制的有效性。在内部控制审计中，注册会计师应当针对所有重要账户和列报的每一个相关认定获取控制设计和运行有效性的审计证据，以便对内部控制整体的有效性发表审计意见。

二、计划审计工作

（一）总体审计策略和具体审计计划

总体审计策略体现的内容	具体审计计划体现的内容
（1）确定审计业务的特征，以界定审计范围。 （2）明确审计业务的报告目标，以计划审计的时间安排和所需沟通的性质； （3）根据职业判断，考虑用以指导项目组工作方向的重要因素。 （4）考虑初步业务活动的结果，并考虑对被审计单位执行其他业务时获得的经验是否与内部控制审计业务相关； （5）确定执行业务所需资源的性质、时间安排和范围。	（1）了解和识别内部控制的程序的性质、时间安排和范围； （2）测试控制设计有效性的程序的性质、时间安排和范围； （3）测试控制运行有效性的程序的性质、时间安排和范围。

三、实施审计工作

（一）选择拟测试的控制方法（自上而下的方法）

1.识别、了解和测试企业层面控制

（1）企业层面控制的内涵

（2）企业层面控制的内容

①与控制环境（即内部环境）相关的控制；

②针对管理层和治理层凌驾于控制之上的风险而设计的控制；

③被审计单位的风险评估过程；

④对内部信息传递和期末财务报告流程的控制；

⑤对控制有效性的内部监督（即监督其他控制的控制）和内部控制评价；

⑥集中化的处理和控制（包括共享的服务环境）、监控经营成果的控制以及针对重大经营控制及风险管理实务的政策。

3.企业层面控制对其他控制及其测试的影响

（1）某些与控制环境相关的控制，对及时防止或发现重大错报的可能性有间接的重要影响，可能影响注册会计师拟测试的其他控制及其对其他控制所执行程序的性质、时间安排和范围。

（2）某些企业层面控制能够监督其他控制的有效性。这些控制本身并非精确到足以及时防止或发现相关认定的重大错报。当这些控制运行有效时，注册会计师可以减少原本拟对其他控制的有效性进行测试。

（3）某些企业层面控制本身能精确到足以及时防止或发现一个或多个相关认定中存在的重大错报。如果一项企业层面控制足以应对已评估的重大错报风险，注册会计师可能可以不必测试与该风险相关的其他控制。

4.识别重要账户、列报及其相关认定

注册会计师在确定重要性水平之后，应当识别重要账户、列报及其相关认定。

重要账户或列报	如果某账户或列报可能存在一个错报，该错报单独或连同其他错报将导致财务报表发生重大错报，则该账户或列报为重要账户或列报。
相关认定	如果某财务报表认定可能存在一个或多个错报，这个或这些错报将导致财务报表发生重大错报，则该认定为相关认定。

 

在识别重要账户、列报及其相关认定时，识别要求如下：

（1）会计师应当从定性和定量两个方面作出评价。

①定性：考虑舞弊和固有风险。

②定量：超过财务报表整体重要性的账户，通常情况下被认定为重要账户，但一个账户或列报的金额超过财务报表整体重要性，并不必然表明其属于重要账户或列报，还要考虑定性问题。

（2）在识别重要客户、列报及其相关认定时，注册会计师应当确定重大错报的可能来源。

（3）注册会计师不应考虑控制的影响，因为内部控制审计的目标本身就是评价控制的有效性。

（4）考虑以前年度审计中了解到的情况影响注册会计师对固有风险的评估。

（5）应当评价的风险因素，与财务报表审计中考虑的因素相同。因此，在这两种审计中识别的重要账户、列报及其相关认定应当相同。

【例题2·单选题】注册会计师执行内部控制审计时，下列有关识别重要账户、列报及其相关认定的说法中，错误的是（  ）。（2017年） A.注册会计师应当从定性和定量两个方面识别重要账户、列报及其相关认定 B.在识别重要客户、列报及其相关认定时，注册会计师应当确定重大错报的可能来源 C.注册会计师通常将超过财务报表整体重要性的账户认定为重要账户 D.在识别重要账户、列报及其相关认定时，注册会计师应当考虑控制的影响 【答案】D 【解析】在识别重要账户、列报及其相关认定时，注册会计师不应考虑控制的影响，因为内部控制审计的目标本身就是评价控制的有效性。

5.了解潜在错报的来源并识别相应的控制

穿行测试通常是评价控制设计的有效性以及确定控制是否得到执行的有效方法。

如果注册会计师首次接受委托执行内部控制审计，通常预期会对重要流程实施穿行测试。（可以利用他人工作）

6.选择拟测试的控制

（1）选择拟测试控制的基本要求

注册会计师应当针对每一相关认定获取控制有效性的审计证据，以便对内部控制整体的有效性发表意见，但没有责任对单项控制的有效性发表意见。

注册会计师没有必要测试与某些相关认定有关的所有控制。

在确定是否测试某项控制时，注册会计师应当考虑该项控制单独或连同其他控制，是否足以应对评估的某项相关认定的错报风险，而不论该项控制的分类和名称如何。

（2）选择拟测试的控制的考虑因素

注册会计师通常不会选取整个流程中的所有控制，而是选择关键控制，需要注册会计师作出职业判断。

注册会计师无须测试那些即使有缺陷也合理预期不会导致财务报表重大错报的控制。

对于与所有重要账户和列报相关的所有相关认定，注册会计师都需要取得关于控制设计和运行是否有效的证据。

（二）测试控制的有效性

内部控制的有效性包括内部控制设计的有效性和内部控制运行的有效性。注册会计师应当测试控制设计和运行的有效性。

1.控制设计的有效性

如果某项控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定的程序和要求执行，能够实现控制目标，从而有效地防止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊，则表明该项控制的设计是有效的。

2.控制运行的有效性

如果某项控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力，能够实现控制目标，则表明该项控制的运行是有效地。

如果被审计单位利用第三方的帮助完成一些财务报告工作，注册会计师在评价负责财务报告及相关控制的人员的专业胜任能力时，可以一并考虑第三方的专业胜任能力。

注册会计师获取的有关控制运行有效性的审计证据包括：

（1）控制在所审计期间的相关时点是如何运行的；

（2）控制是否得到一贯执行；

（3）控制由谁或以何种方式执行。

3.与控制相关的风险

在测试所选定控制的有效性时，注会应当根据与控制相关的风险，确定所需要获取的审计证据。

与控制相关的风险包括一项控制可能无效的风险，以及如果该控制无效，可能导致重大缺陷的风险。与控制相关的风险越高，注册会计师需要获取的审计证据就越多。

4.测试控制有效性的程序的性质

测试控制有效性的审计程序类型包括询问、观察、检查和重新执行。

1.询问	仅实施询问程序不能为某一特定控制的有效性提供充分适当的证据。注册会计师通常需要获取其他信息以印证询问所取得的信息，这些其他信息包括被审计单位其他人员的佐证，控制执行时所使用的报告、手册或其他文件等。
2.观察	观察是测试运行不留下书面记录的控制的有效方法。观察也可运用于测试对实物的控制。观察可以提供执行有关过程或程序的审计证据，但是观察所提供的审计证据，仅仅限于观察发生的时点，而且被观察人员的行为可能因被观察而受到影响，这也会使观察提供的审计证据受到限制。
3.检查	检查通常用于确认控制是否得以执行。但是有些情况下，存在书面证据不一定表明控制一定有效。
4.重新执行	重新执行的目的是评价控制的有效性而不是测试特定交易或余额的存在或准确性，即定性而非定量，因此一般不必选取大量的项目，也不必特意选取金额重大的项目进行测试。

5.控制测试的时间安排

（1）内部控制审计业务

对于内部控制审计业务，注会应当获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据。

对控制有效性测试的实施时间越接近基准日，提供的控制有效性的审计证据越有力。

（2）整合审计

在整合审计中，注会控制测试所涵盖的期间应尽量与财务报表审计中拟信赖内部控制的期间保持一致。

在整合审计中测试控制在整个会计年度的运行有效性时：

①注册会计师可以进行期中测试，然后对剩余期间实施前推测试；

②将样本分成两部分，一部分在期中测试，剩余部分在临近年末的期间测试。

如果信息技术一般控制有效且关键的自动化控制未发生任何变化，注册会计师就不需要对该自动化控制实施前推测试。