2011年度部分上市公司进行了内控审计的试点工作,自2012年1月1日起,主板上市公司被要求在年报发布时,同时发布内部控制制度自我评价报告和内部控制审计报告。笔者结合实际审计工作经验,对内部控制审计的程序和方法进行探究。
一、初步业务活动
内部控制审计的首要环节为初步业务活动。在本阶段需要关注的是内控审计前提条件的判断。
在实务中,内控审计的前提条件,可以从以下几个方面进行了解分析:①查阅以前年度工作底稿,了解内部控制的基本情况;②与内控建设小组人员沟通,查阅控制手册、流程图、备忘录等;③与企业的高层管理人员进行沟通,了解近期经营和内部控制方面的变化;④与企业聘请的咨询结构及企业自我评价人员沟通,查阅自评价和、自评报告、实施过程、结果以及了解自评人员的专业能力、独立性和识别的内控缺陷。
二、关于集团审计的策略
根据证监会上市部函[2011]031号,2011年内控试点上市公司可以选择母公司及重要子公司实施内控自评和审计。2012年内控审计全面实施后,所有的子公司都应包括在范围内。所以,执行集团上市公司内控审计前,应对集团组成的情况进行分析和判断,这是一项比较关键的工作。
1.从重要性判断,一般通过集团财务报表来识别重要账户、列报及相关认定。
2.从风险的角度看,应考虑所属单位发生重大错漏的可能性,对集团财务数据的相对重要性,即从定性和定量两个方面分析组成部分的重要性。
3.从实务的角度,首先需要确定具有较高内控失效风险的单位,其次需要考虑对集团具有重大影响的单位,包括该单位占集团总资产或总收入的比例等。
4.依上述条件判断下属公司是否为具有财务重大性的组成部分和具有特别风险的组成部分,形成对组成部分实施分析的工作底稿。
5.根据不同的组成部分执行不同的审计策略:
三、关键控制点的选择
1.内控审计中比较重要的一个环节就是关键控制点的选择。内部控制的关键控制点在某种程度上有一定的共性,常见的关键控制点包括以下方面:与财务报告相关的控制点;公司层面的内部控制;重要交易授权、记录和报告的控制;选择会计政策的控制;资产保护的控制;避免或发现舞弊行为的控制;重大非经常性交易的控制;其他针对重要会计科目的控制。
2.关键控制点的识别程序。
(1)了解被审计单位内控的基本情况,识别公司层面内控。可采用问卷调查、询问、查阅文件、穿行测试等方法了解公司管理、重大决策层面以及对业务流程或应用层控制具有重大影响的控制。
(2)确定与重要会计科目和披露事项相关的会计报表认定,并分析相关认定发生错漏可能性。
(3)针对重要业务流程和主要交易,应了解交易的处理程序、找出流程中可能发生错漏的风险点,找出用于控制上述错漏的控制点及用于预防或检查未经授权的控制点。
(4)确定关键控制点。根据上述程序找到重要科目和会计认定对应的关键控制点,再考虑该控制点对于实现控制目标的重要性。
四、关键控制点的测试
1.对关键控制点的测试可分为设计和运行有效性测试。设计有效性测试包括:识别控制目标、识别控制措施、判断当正确执行控制措施时,能否预防或发现可能造成财务报告重大错漏的错误或舞弊。运行有效性测试包括:是否按设计要求正常执行,执行人是否有适当授权以及具有足够履职能力。
2.穿行测试是评估内控设计和执行有效性的重要程序。可以巩固对交易处理流程的了解,判断业务流程中所有风险点是否都识别到了,进而初步评估内控设计和运行的有效性。
3.内控测试可采用的方法。
4.样本量的选择及流程评估。在内部审计中,对样本的选取需要遵循一定的选样方法。人工控制最小样本量区间可以参考企业内部控制审计指引实施意见中给出的人工控制最小样本规模区间。如果与控制相关的风险高,则选取最小样本规模区间的最大样本量。
对样本的选取应综合考虑控制点的性质、频率、重要性、执行人的胜任能力、以前是否曾经出现缺陷、测试人员的业务经验等。样本总体的定义方法,比如采购:可以采用存货的明细账作为样本总体,对于采用ERP系统进行业务处理的企业,也可以从业务模块中导出采购订单作为样本总体进行抽样。样本量的选择时间应尽量接近审计基准日实施测试更有效。选样时9-12月的样本量可占70%,1-8月样本量可占30%。
五、内部控制缺陷的评价
1.根据内部控制缺陷影响整体控制目标实现的严重程度,将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷。
2.企业内控缺陷的评价和报告需要从定性和定量两方面进行衡量。定性是从性质的角度考虑某些缺陷是否重大。审计人员应首先分析缺陷性质。如控制环境无效、涉及违法及舞弊行为的缺陷,影响收益趋势的缺陷,可能影响报表使用者正确判断、影响合同履行的缺陷。
定量是指从缺陷数量的角度来评估缺陷的重要性程度。一般定量分析从财务报告的金额入手。常用的定量指标如下表:
定量指标也可结合审计确定的重要性水平去分析。
六、审计报告
测试完成后,对内部控制缺陷的沟通应以书面形式进行,属重大缺陷和重要缺陷应分别与管理层及治理层进行沟通。获取被审计单位的书面声明后形成审计意见,出具审计报告。
目前,内部控制审计为初始阶段,在加紧建设内部控制的大环境下,审计的程序和方法还有待于更多专业人士在实践中不断地总结和完善。
全文2.1千字,阅读预计需要8分钟
不想阅读,直接问律师,最快3分钟有答案