解抓企业内部控制审计指引三大技术亮点

解抓企业内部控制审计指引三大技术亮点

解抓《企业内部控制审计指引》的三大技术亮点
2012年０3月2２日10：59来源：《财务与会计》2０11年第９期作者：唐建华 字号
打印纠错 分享 推荐 浏览量 2010 年4月26日,《企业内部控制审计指引》等内部控制基本规范配套指引发布,并自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市的公司施行。《企业内部控制审计指引》（以下简称《指引》)生效后，２0０1年发布的《内部控制审核指导意见》将废止。本文旨在从技术角度解析新旧规范的重大变化，供注册会计师执业时参考.

估和应对是风险管理思想的核心内容。将这一思想具体运用到财务报
告内部控制审计中，就要求注册会计师以财务报告内部控制重大缺陷
风险的识别、评估和应对作为审计工作的主线,在风险评估的基础上，
将审计资源投放在高风险领域，以提高审计的效率和效果。 ??
原有的《内部控制审核指导意见》更多是一些具体审计程序方面的规
定，没有从审计方的高度进行规范.《指引》特别强调了风险导
向审计思想，突出了风险评估的基础作用和对审计资源配置的导向作

用。内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审 计关注就越多，具体体现为以下几点:

解抓企业内部控制审计指引三大技术亮点

?首先,风险评估结果是确定重要账户（列报）和相关认定的依据。对于重要账户（列报）及相关认定，注册会计师需要将其纳入审计考虑的范围；对于不重要账户（列报）及不相关认定，注册会计师在审计时可将其剔除.如果某账户或列报具有合理可能性包含了一个错报,该错报单独或连同其他错报将对财务报表产生重大影响（需要同时考虑多报和少报的风险），则该账户或列报为重要账户或列报。如果某财务报表认定具有合理可能性包含了一个或多个错报，这个或这些错报将导致财务报表发生重大错报,则该认定为相关认定。是否具有合理可能性，与财务报表项目及附注的错报风险因素相关.这些因素包

括该账户的规模和构成;易于发生错报的程度;账户中处理的或列报中 反映的交易的业务量、复杂性及同质性;账户或列报的性质；与账户 否涉及关联方交易；账户或列报的特征与前期相比发生的变化；等等。

其次,风险评估是选择拟测试的控制的依据.《指引》第要求,注册会计师应当以风险评估为基础，选择拟测试的控制.注册会计师应当更多地关注高风险领域，而没有必要测试那些即使有缺陷也不可能导致财务报表重大错报的控制。 ??再者，风险评估是确定针对特定控制所需测试的性质、时间安排和范围的依据。《指引》第十五

条要求，注册会计师应当根据与内部控制相关的风险，确定拟实施审 计程序的性质、时间安排和范围,获取充分、适当的证据.审计程序的

解抓企业内部控制审计指引三大技术亮点

性质具体是指询问、观察、检查和重新执行等；审计程序的时间安排既包括测试内部控制所针对的期间（时间），也包括何时实施控制测试;审计程序的范围主要指测试的样本量。与内部控制相关的风险越高，注册会计师需要获取的证据应越多，可靠性要求越高。 ??第四,风险评估结果是确定在多大程度上利用被审计单位自我评价工作的依据。为避免重复劳动，《指引》鼓励注册会计师利用被审计单位的自我评价工作.但是《指引》第九条特别指出，与某项控制相关的风险越高，被审计单位内部审计人员、内部控制评价人员和其他相关人员工作的可利用程度就越低，注册会计师应当更多地对该项控制亲自进行测试.

连同其他经营场所或业务单元不具有合理可能性导致合并财务报表
出现重大错报，注册会计师无需进一步考虑这些经营场所或业务单元。

对风险较低的经营场所或业务单元，注册会计师可以首先评价,测试企业层面控制能否为注册会计师提供充分、适当的证据.如果能提供适当的证据，注册会计师对这些经营场所或业务单元可以仅测充分、
试企业层面控制。如果某项风险具有合理可能性导致企业合并财务报表发生重大错报，注册会计师应当测试针对该项风险而实施的控制。

?	二、强调“自上而下”的审计思路?

解抓企业内部控制审计指引三大技术亮点

企业内部控制包括整体和业务流程两个层面。业务流程层面的控制为应对交易和账户余额认定的重大错报风险而设计,通常在业务流程内的交易或账户余额层面上运行,其作用通常能够对应到具体某类交易和账户余额的具体认定。企业整体层面的控制通常为应对企业财务报表整体层面的风险而设计，或作为其他控制运行的“基础设施”，通常在比业务流程更高的层面上乃至整个企业范围内运行,其作用比较广泛，通常不局限于某个具体认定。企业整体层面控制包括：(1）与控制环境相关的控制;（２)针对管理层凌驾于控制之上的风险而设计的控制;（３）企业的风险评估过程；(4）集中化的处理和控制，包括

共享的服务中心;(5）监控经营成果的控制；（６)监督其他控制的控 制，包括内部审计职能、审计委员会的活动及内部控制自我评价;（７) 告等环节，内部控制要素中的“控制活动”要素中，除业绩评价控制外

的绝大部分可归于业务流程层面的控制. ??原有的《内部控制审核指导意见》没有区别这两个层面的内部控制.《指引》将这两个层面的内部控制予以区分,要求注册会计师采取“自上而下"的审计思路，以提高审计效果和效率。通俗地讲，这里的“上”为企业整体层面的控制，“下"为业务流程层面的控制.“自上而下"按照下列工作步骤展开:(1）识别、了解和评价企业整体层面控制的设计有效性；(2）从财务报表层次识

别重大账户;（3)识别与每个重大账户相关的认定;(4）识别重要的业务 流程和主要的交易类别;(５）识别流程中错报可能发生的环节；（6）

解抓企业内部控制审计指引三大技术亮点

识别和测试预防或及时发现错报发生的控制(业务流程层面的控制）。

采用“自上而下"的审计思路能够优先考虑并充分利用企业整体层面控制的作用，确定合理的测试范围和策略，提高审计效果和效率。某些企业整体层面控制,如与控制环境相关的控制,对及时防止或发现相关认定的错报的可能性有重要影响。虽然这种影响是间接的，但这些控制仍然可能影响注册会计师拟测试的其他控制,以及测试程序的性质、时间安排和范围。某些企业整体层面控制旨在识别其他控制可能

出现的失效情况，能够监督其他控制的有效性，但还不足以精确到及 时防止或发现相关认定的错报。当这些控制运行有效时，注册会计师 以应对已评估的错报风险,注册会计师就不必测试与该风险相关的其

他控制。由于企业整体层面控制影响的广泛性,注册会计师应当优先予以测试，因为其测试结果将影响注册会计师对业务流程层面控制的测试策略。?
采用“自上而下”的审计思路要求注册会计师从财务报表整体层面出发,然后下潜到重要账户和相关认定,这样层层深入的方式能够将一些不重要的账户、披露和不相关认定予以剔除，进而防止注册会计师

花费不必要的时间和精力了解和测试不重要的业务流程或控制。所谓 “不重要”是指包含能够引起财务报表产生重大错报的可能性很小。如

解抓企业内部控制审计指引三大技术亮点

果注册会计师首先测试业务流程层面的控制，就可能导致在测试结束后,发现所测试的控制针对的是不重要的账户、披露和不相关认定,或者针对的是不能导致财务报表产生重大错报的风险,从而浪费了审计资源。

?可见，“自上而下"的方法不仅用于识别重要账户、列报及其相 当然,“自关认定和拟测试的控制，还用于评估风险以及分配审计资源。

上而下”的方法是注册会计师识别风险及选择拟测试的控制的思路,并不一定是实施审计工作的顺序. ??三、强调财务报告内部控制审计与财务报表审计的有机整合

《内部控制审核指导意见》发布于2001 年。当时聘请会计师事 管理的需要而提出的特殊要求;二是满足证券监督管理部门针对发行

新股企业提出的特殊要求。可以说,当时的内部控制审核业务更多的是一次性的或者说非经常性的业务。基于这样的背景，《内部控制审核指导意见》没有考虑财务报告内部控制审计与财务报表审计的关系，将其视为进行的两项业务。

?从发布背景看，《指引》不同于《内部控制审核指导意见。》关于印发企业内部控制配套指引的通知》(财会［2０10]11号)指出，执行企业内控规范体系的企业，必须对本企业内部控制的有效性进行 自我评价，披露年度自我评价报告,同时聘请具有证券期货业务资格

解抓企业内部控制审计指引三大技术亮点

的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。可以说，对于执行内部控制规范体系的企业而言,财务报告内部控制审计将成为一项每年都将发生的经常性业务。因此,《指引》考虑了财务报告内部审计与财务报表审计之间的固有联系，提倡将两者予以有机整合。整合主要体现在以下方面：?
（ 一）要求合理计划和实施审计工作，
以同时实现两种审计的目标
?财务报告内部控制审计与财务报表审计是联系紧密而又相互区别的两项业务，一个是对过程进行鉴证，一个是对结果进行鉴证。由

于两种审计的目标不同,在设计和实施整合审计工作时，注册会计师 对内部控制设计与运行的有效性进行测试，要同时实现两个目的：（1） 获取充分、 制风险的评估结果。鉴于这两项审计工作在测试范围、涵盖期间和样

本量等方面存在区别，有必要改变财务报表审计中采取的审计策略,尽可能对更多认定采取综合性方案，这样可以兼顾两种审计目标的同时实现，做到一箭双雕。采用综合性方案,可通过节省财务报表审计中实质性测试的成本来部分抵销财务报告内部控制审计增加的成本。长期以来,我国会计师事务所更擅长于运用实质性方案，采用绕过内部控制的方式进行审计。在新形势下,需要及时更新审计技能,学会运

用综合性方案。

解抓企业内部控制审计指引三大技术亮点

（二）两种审计识别的重要账户及相关认定相同

在计划财务报表审计和财务报告内部控制审计工作中，都需要确定重要账户(列报）及相关认定.《指引》指出，在内部控制审计中,注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素，与财务报表审计中考虑的因素相同.因此，在这两种审计中识别的重要账户、列报及其相关认定应当相同。

（ ?三）两种审计确定的重要性水平相同 ??在财务报表审注册会计师旨在检查财务报表中是否存在重大错报。本着这个计中，

目的，注册会计师需要确定重要性水平。而在财务报告内部控制审计 中，注册会计师旨在检查财务报告内部控制是否存在重大缺陷.所谓 合。因此，《指引》指出，财务报告内部控制审计与财务报表审计中

确定的审计重要性水平相同.

（ ?四）两种审计都基于同样的风险评估结果 ??在财务报表审计中，注册会计师采用风险导向审计模式,需要首先实施风险评估程序,识别和评估财务报表层次和认定层次的重大错报风险，在此基础上分别予以应对。而在财务报告内部控制审计中,采用的也是风险导向审计的模式，注册会计师需要首先识别内部控制存在重大缺陷的风险,然后有针对性地应对。内部控制是否存在重大缺陷，是指财务 报告内部控制是否足以应对财务报表层次和认定层次的重大错报风

解抓企业内部控制审计指引三大技术亮点

险,包括舞弊引起的重大错报风险。因此,可以说两者对固有风险的评估方法和结果应当相同。?
（ 五）两种审计的结果应当相互印证、相互利用

根据整合审计的要求，在财务报告内部控制审计与财务报表审计中获取的审计证据应当相互印证，相互利用。具体体现在：?
在财务报告内部控制审计中,注册会计师在对内部控制有效性形成结论时，应当同时考虑财务报表审计中实施的、所有针对控制设计和运行有效性测试的结果。在财务报表审计中，注册会计师在评估控

制风险时,应当同时考虑内部控制审计中实施的、所有针对控制设计 和运行有效性测试的结果。如果在内部控制审计中识别出某项控制缺 陷， 注册会计师应当评价财务报表审计中实施的实质性程序的结果对控

制有效性结论的影响。评价内容应当包括：(1)注册会计师作出的、与选择和实施实质性程序相关的风险评估,尤其是与舞弊相关的风险评估;（2)发现的违反法规行为和关联方交易方面的问题;(3)表明管理层在选择会计和作出会计估计时存在偏见的情况；(4)实施实质性程序发现的错报。 ??只有在厘清两者的内在逻辑关系的基础上，并将其进行有机整合，真正实现“2合1”审计，才能达到证据相互利用、结果相互印证的效果，同时提高审计效率，也可减少对客户的干扰.