内部控制审计与内部控制评价之间的关系与区别(2)
内部控制审计的程序
1、了解企业的内部控制情况,并做出相应的记录。这是内部控制制度审计的第一步,其主要目的是通过一定手段,了解被审计单位已经建立的内部控制制度及执行的情况,并做出记录、描述。
2、初步评价内部控制的健全性。确认内部控制风险,确定内部控制是否可依赖。在对控制环境、控制程序和会计系统进行调查了解,对被审计单位内部控制有了一个初步的认识的基础上,应对内部控制风险和内部控制的可依赖程度做出初步评价。
3、实施符合性测试程序,证实有关内部控制的设计和执行的效果。通过对内部控制进行初步评价,可基本掌握被审计单位内部控制的强弱环节,为进行符合性测试确定一个前提。
4、评价内部控制的强弱,评价控制风险,确定在内部控制薄弱的领域扩展审计程序,制定实质性审计方案。
内部控制评价的程序
内部控制评价程序一般包括:制定评价控制方案、组成评价工作组、实施评价工作与测试、认定控制缺陷、汇总评价结果及编报评价报告等环节。
1.制定评价控制方案
企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作。这实际上就为内部控制评价工作的开展设置了专门的职能机构。
2.组成评价工作组
在设置内部控制评价机构的基础上,还要求企业成立专门的评价工作组,接受内部控制评价机构的领导,具体承担内部控制检查评价的任务。评价工作组成员应具备独立性、业务胜任能力和职业道德素养及吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。
对于拥有内部审计部门的企业来说,内审部门很大可能也同样地担当内部控制评价组的工作。如果企业决定利用外聘会计师事务所为其提供内部控制评价服务,根据《基本规范》的要求,该事务所不应同时为企业提供内部控制的审计服务。
3.实施评价工作与测试
评价工作组需通过了解企业公司层面基本情况、各业务层面的主要流程、识别有关主要风险后,才能开展实施及测试设计和运行有效性的内部控制工作。
4.认定内部控制缺陷
(1)内部控制缺陷的分类
①按照内部控制缺陷的本质分类:内部控制缺陷分为设计缺陷和运行缺陷。
1)设计缺陷是指企业缺少为实现控制目标所必需的控制,或者现有控制设计不适当,即使正常运行也难以实现控制目标。
2)运行缺陷是指设计合理及有效的内部控制,但没有按设计意图运行,或者执行人员缺乏必要授权或专业胜任能力,无法有效实施控制。
②按照内部控制缺陷的严重程度分类:内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。
1)重大缺陷(也称实质性漏洞),是指一个或多个控制缺陷的组合,可能严重影响内部整体控制的有效性,进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。
2)重要缺陷,是指一个或多个控制缺陷的组合,其严重程度低于重大缺陷,但仍有可能导致企业偏离控制目标。具体就是内部控制中存在的、其严重程度不如重大缺陷、但足以引起内部控制评价组关注的一个或多个控制缺陷的组合。
3)一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。
下列迹象可能表明企业的内部控制存在重大缺陷:内部控制评价机构发现董事、监事和高级管理人员舞弊;发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报;企业审计委员会和内部审计机构对内部控制的监督无效。
(2)内部控制缺陷的认定程序与整改
对于重大缺陷和重要缺陷的整改方案,应向董事会(审计委员会)、监事会或经理层报告并审定。如果出现不适合向经理层报告的情形,例如存在与管理层舞弊相关的内部控制缺陷,内部控制评价组应当直接向董事会(审计委员会)、监事会报告。重要缺陷并不影响企业内部控制的整体有效性,但是应当引起董事会和管理层的重视。对于一般缺陷,可以向企业管理层报告,并视情况考虑是否需要向董事会(审计委员会)、监事会报告。
5.汇总评价结果
6.编报内部控制评价报告
《企业内部控制评价指引》要求,内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门,即企业董事会或类似权力机构应当对内部控制评价报告的真实性负责。
企业应当以12月31日作为年度内部控制评价报告的基准日,并于基准日后4个月内报出内部控制评价报告。对于基准日至内部控制评价报告发出日之间发生的影响内部控制有效性的因素,企业应当根据其性质和影响程度对评价结论进行相应调整。《企业内部控制应用指引》和《企业内部控制评价指引》只要求企业对控制缺陷尤其是重大缺陷作出说明,不涉及企业内部其他保密信息。
《企业内部控制评价指引》专门对内部控制评价报告进行了规范,要求企业在评价报告中至少披露以下内容:
(1)董事会对内部控制报告真实性的声明,实质就是董事会全体成员对内部控制有效性负责;
(2)内部控制评价工作的总体情况,即概要说明;
(3)内部控制评价的依据,一般指《企业内部控制基本规范》、《企业内部控制评价指引》及企业在此基础上制定的评价办法;
(4)内部控制评价的范围,描述内部控制评价所涵盖的被评价单位,以及纳入评价范围的业务事项;
(5)内部控制评价的程序和方法;
(6)内部控制缺陷及其认定情况,主要描述适用本企业的内部控制缺陷具体认定标准,并声明与以前年度保持一致,同时,根据内部控制缺陷认定标准,确定评价期末存在的重大缺陷、重要缺陷和一般缺陷;
(7)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;
(8)内部控制有效性的结论,对不存在重大缺陷的情形,出具评价期末内部控制有效结论,对存在重大缺陷的情形,不得作出内部控制有效的结论,并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度。
内部控制评价的原则
企业实施内部控制评价至少应当遵循下列原则:
(一)全面性原则。评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
(二)重要性原则。评价工作应当在全面评价的基础上,关注重要业务单位,重大业务事项和高风险领域。
(三)客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
猜你喜欢:
