內部控制審計的方法

內部控制審計的方法一、PCAOB:對內部控制的審計（一）產生背景2004年3月9日美國公眾公司會計監(jiān)督委員會（PCA0B，以下簡稱委員會），為了配合審計人員對財務報表內部控制有效性評上價的審計工作批準了第2號審計準則，即《財務報表審計內部控制的審計》（以下簡稱準則）。委員會指出，對財務報表的內部控制進行審計是一項龐大的工程另外，維持有效的內部控制，包括定期評估，并不是無成本的，但是，委員會強調建立和完善一套內部控制制度所帶來的好處是巨大的。（二）內容精要1．審計目標準則指出：財務呈報內部控制審計的目標是，對管理當局“內部控制有效性評價”發(fā)表意見，該目標分解為兩個步驟：（1） 管理當局必須對主體的內部控制進行評估并得出結論；（2） 審計人員對管理當局所作評價的結論是否公允作出評價，并發(fā)表獨立意見。準則指出，管理當局在財務呈報的內部控制評價過程中的責任是：（1） 對企業(yè)財務呈報的內部控制的有效性承擔責任；（2） 用恰當的控制標準評估企業(yè)內部控制的有效性；3）有足夠的證據（包括文件）來支持其評估結論；4）就最近財年末為止的企業(yè)內部控制的有效性作出書面的評估報如果管理當局未完成上述責任，審計人員應以書面形式與管理當局和審計委員會溝通，明確對財報內部控制的審計無法滿意地完成，以致無法發(fā)表意見。2．管理層責任審計準則明確了對內部控制結果滿意的前提條件。依據《薩班斯法案》404條款的要求，管理當局必須做到以下各項：（1）對公司財務報告的內部控制有效性負責；（2）按照合適的標準（如C0S0標淮）評價公司財務報告內控有效性；（3）采用充足的證據支持該評估結果；（4）在最近的財務會計年度期末提供書面的評估報告；如果審計師認定管理層未履行上述責任，那么他將不能完成財務報告的內控審計，必須放棄發(fā)表審計意見。3．管理當局的評估過程根據準則要求，管理層對內部控制評估的過程必須包括：確定哪些內部控制需要測評；評估內控失效引起財務誤報的可能性；確定有多少下屬單位參與內控評估；評估對所有與財務報告中重要項目和信息有關的內控設計與執(zhí)行情況；確定已經發(fā)現(xiàn)的與財報有關的內控缺陷是否導致了嚴重的后果；與有關方面就發(fā)現(xiàn)的各種問題進行溝通；確認這些發(fā)現(xiàn)是否支持評估結論。但必須強調，管理層不能用審計師所采用的程序和獲得的證據來支持自身對內控的評估結論。4．管理層的證明材料在確認管理層的證明材料是否支持其評估結論時，審計師應當分析這些證據是否包含如下項目：所有與財務報告中的重要項目和信息有關的判斷所采用的內控設計情況；關于重要交易事項、授權、記錄、處理和報告的信息；關于業(yè)務流程的充分信息，以判斷哪些環(huán)節(jié)會產生錯誤及舞弊所導致的后果；阻止和發(fā)現(xiàn)舞弊的內控措施；期末財務報告的內部控制；資產保管的內部控制；管理層對內部控制的測試以及評估結果。5．了解內控情況了解針對財務報告的內部控制有效性，即詢問內控的實施人員；觀察他們的表現(xiàn)；查看內控指引；將內控指引與實際結果對照。準則指出，了解內部控制最有效的方法就是對公司的重要內控進行穿行測試。6．評價審計委員會監(jiān)督的有效性準則要求審計師應當評價上市公司的審計委員工作的有效性，以此作為了解和評估公司內控環(huán)境、監(jiān)測財務報告內控的組成部份，并就審計委員會的無效性與董事會進行交流。準則強調，此項評估工作是由公司董事會負責的。7．測試執(zhí)行的有效性審計師每年都要測試內控的執(zhí)行效果，同時還要確認內控的執(zhí)行者是否具有必要的權限和能力，按部就班的實施，使內部控制制度得到不折不扣地執(zhí)行。8．使用其他人員的工作成果其他人的工作包括內部審計師的工作、公司其他部門的工作、在管理層和審計委員會指導下第三方的工作等。9．評估測試結果準則要求審計師評估所有己發(fā)現(xiàn)的內控漏洞的嚴重性。通常認為下列方面存在缺陷至少是重大缺陷：會計政策的選擇和應用的控制；反舞弊程序和控制；非常規(guī)和非系統(tǒng)交易的控制；期末會計報告編制的控制。另外下列問題至少是重大缺陷：對已經發(fā)布的財務報告中誤報的修正；由注冊會計師發(fā)現(xiàn)的當前年年報的重大誤報；審計委員會的監(jiān)督無效；無效的內部審計和風險評估功能，且這些功能對公司報表生成程序的可信賴性是非常關鍵的；被高度監(jiān)管防止公司違規(guī)的措施無效，特別是一旦無效，違規(guī)違法行為就會對財務報告的可信性產生重大影響；發(fā)現(xiàn)高層管理任何程度的舞弊；先前發(fā)現(xiàn)的、已經通知公司的重大缺陷在合理期限后仍未改正；控制環(huán)境無效。10．缺陷和意見準則要求注冊會計師就財務報告的內控審計發(fā)表兩條意見：一條是針對管理層給出的自我評價結論；另一條是內部控制的有效性。11．季度證明準則要求注冊會計師每個季度應實施一定的審計程序，確定公司根據《薩班斯法案》302條款應當披露的財務報告內控是否發(fā)生變化。如有應當與管理層進行交流并采取一定的措施。國際審計準則（ISA）6號：對會計制度和有關內控的評價（一）產生背景國際審計準則系由“國際會計師聯(lián)合會”的“國際審計實務委員會”所頒布。國際審計準則與美國公證執(zhí)業(yè)會計師協(xié)會的"職業(yè)道德規(guī)范"不同并非必須執(zhí)行的標準。國際審計準則是為了有助于理解國際審計實務委員會的目標和工作程序，以及該委員會所發(fā)布的準則的范圍和權威性而編寫的。（二）內部精要《國際審計淮則6號》由9部分28條款構成，具體內容如下：第1部分：引言，主要指明了管理當局責任及準則目的。（1）《國際會計準則》規(guī)定：管理當局應負責保持合適的會計制度以組成適合于經營規(guī)模和性質的各種內部控制。審計人員應對會計制度適用性以及記錄的正確性，需要有合理的確信。第2部分：主要明確了會計制度和內部控制。（1）會計制度可表述為：單位的一系列工作系統(tǒng)用來處理其經濟，作為保持財務記錄的一種手段。它應當包括對經濟業(yè)務的確認、計量、分類、記賬、匯總和提出報告。（3）以有效的內部控制作為補充的會計制度，能夠為管理人員在保護資產、防止隨意使用和處置，以及為完善財務記錄、編制財務報告等提供合理依據。（4）當實行內部控制的環(huán)境影響具體的控制程序的有效性時，應當強化控制環(huán)境。第3部分：主要明確了內部控制的目的。第4部分：主要指出了內部控制的固有限制。內部控制只能為管理人員達到其目的提供合理依據。故內部控制具有局限性。如控制所付出代價不應高于因舞弊或錯誤所造成的可能損失；員工共謀等。第5部分：明確了審計程序。（1）審計人員對財務報告形成的意見，需要合理的確信各種經濟業(yè)務都以正確記入會計記錄而且無一遺漏。（2）審計人員應知道在處理經濟業(yè)務和管理資產過程中那些細節(jié)會發(fā)生錯弊。（3）為確信審計所依賴的內部控制是有效的，必須進行制度遵守性審計。（4）要為會計產生數據的完整性、準確性與合法性取得數據證據。（5）審計人員可以根據在執(zhí)行期初數據的審計程序中所出現(xiàn)的錯誤修正先前作出的認為內部控制與他的目的相適合的評價。第6部分：主要明確了檢查與初步評價。（1）審計人員應當對會計制度和有關內控進行檢查，鑒定審計的效果和效能。（2）內控檢查主要通過詢問不同階層人員，查對程序手冊、工作說明和流程圖等。（3）通過會計制度，追蹤少量經濟業(yè)務，可作為制度遵守性審計程序的一部分。4）審計應查明所依賴的內控是否運用于整個期間，否則應分段考慮審計程序。（6）審計人員對內控的初步評價，應當在假定的基礎上作出有效地概括說明。第7部分：主要明確了制度遵守情況的審計程序。（1）審計人員必須進行制度遵守性審計程序，以獲得所依賴的有效作用的證據。（2）與內控制度發(fā)生偏差，可能起因于人員變動、業(yè)務量過大、季節(jié)性波動和人為錯誤等因素。對此類事項審計應當提出詳細的詢問，特別是關鍵作用的人員。（3）審計應以制度遵守性審計程序結果為基礎，評價內控適合性及資科可靠性。（4）如發(fā)現(xiàn)依賴具體內控己不適當時，應探明有無另外可依賴內控并加以修正。（5）審計人員的制度遵循性審計程序，應用于整個檢查期間所選擇的經濟業(yè)務。第8部分：明確了如何看待小型企業(yè)的內部控制。第9部分：明確了內部控制缺陷的通知。為了委托人的利益，內審計人員對內部控制的研究與評價和其他審計程序等所得出的結果，以及內部控制中存在的缺陷，應以書面形式報告管理當局，以引起他們的注意。但要說明其檢查不是試圖確定內部控制對管理人員目的適當性。上述規(guī)范對我國注冊會計師進行內部控制審計評價有重要借鑒意義。三、世界最高審計組織（1NT0SA1）：內部控制準則（一）產生背景為了加強財務管理并使政府部門負起應有的責任，最高審計機關國際組織（INT0SAI）成立了內部控制準則委員會。其任務就是制定一套準則來建立并維持有效的內部控制制度。該委員會在制定準則的過程中認識到這些準則不僅用于財務控制，而且可適用于所有的管理。故“內部控制”一詞涵蓋了廣泛的管理控制概念。（二）內容精要《內部控制準則》共5章85條。具體內容如下：第一章，共六條，主要明確了內部控制目標及準則。1．內部控制目標。（1） 配合組織任務，使各項作業(yè)均能有條不紊且更經濟地運作，并提高產品與服務的品質。（2） 保證資源，以避免因浪費、舞弊、管理不當、錯誤、欺詐及其他違法事件而造成損失。（3） 遵紀守法。遵守法律、規(guī)章及各項管理作業(yè)的規(guī)定。2．內部控制準則。這些準則構成內部控制制度的架構，其有：合理保證；支持態(tài)度；忠誠與能力；控制目標；監(jiān)督控制；書面文件；交易與事件記錄的迅速與適當；交易與事件的授權與執(zhí)行；職能分工；督導；資源及記錄的運用與財務管理責任。第二章共9條，主要明確了內部控制的標準及限制。1．有效的內部控制應符合的基本標準，有三條：（1）內部控制必須在正確地方及涉有風險的地方作適當控制。（2）內部控制在原計的期限內，必須一貫性的復合功能設計。（3）內部控制的成本不應超出所獲得的效益。2．內部控制有效性的限制，有三項：（1）無論內部控制制度多嚴謹，仍無法保證企業(yè)均能有效率的運作記錄均能萬全正確的制作，無力也無法完全杜絕浪費、錯誤及舞弊，尤其是在某些涉有特別受權和信賴的情況下。（2）任何依賴人的內部控制，容易受設計不當、判斷和解釋錯誤、蔬忽、誤解、倦怠等因素影響。（3）組織的變動與管理的方式，對內部控制制度的有效性及執(zhí)行此項控制的個人具有深遠影響。因此，管理當局必須不斷地更新內部控制、詳細說明變動所在，并建立一套控制所應遵循的典范。第三章共48條，主要探討了六項內容：1．建立一套內部控制準則是必要的，尤其在政府部門，更須根據其規(guī)模、復雜度、業(yè)務量、相關檔案的卷數、有關的法令規(guī)章等妥善擬訂。2．內部控制準則可分為一般準則和詳細準則。它不僅對各項作業(yè)基本的內部控制架構加以定義，也可作為擬定及評價內部控制時的標準。3．一般準則包括“合理保證”、“支持態(tài)度”、“忠誠與能力”、“控制目標”、與“執(zhí)行的監(jiān)控”等，為組織提供適當的環(huán)境。4．詳細準則是達成控制目標的方法和程序，包括（但不限于）特定政策、工作程序、組織規(guī)劃（含職務分工）及硬件防護，如門鎖及火災警報器等。5．控制應于實際應用上達成預定目標。6．有效內控所運用的控制方法，主要有五種：（1）關于書面文件的規(guī)定：內部控制制度、所有交易及重大事件均以書面形式記載，且隨時可供檢核；書面文件應包括組織架構、方針政策作業(yè)類別、目標及控制程序，且應附載于管理指南、行政政策、作業(yè)程序手冊以及會計作業(yè)手冊中。（2）關于授權與執(zhí)行的規(guī)定：交易與重大事件的核準與執(zhí)行必須在授權范圍內才能為之。它是確保只有管理層核準的交易或事件方可進行的基本法則。（3）關于職能分工的規(guī)定：關于交易或事件的授權、處理、記錄及復核，應劃分每人的主要職務與責任，以減少錯誤、浪費和不當行為引發(fā)的風險。（4）關于督導的規(guī)定：有效而適當的督導能確保內部控制目標的達成。督導者應適當的檢閱并核對分配給員工的工作，并給員工提供必要的指導與培訓，以減少錯識、浪費及不當行為造成的損失。（5）關于資源（記錄）運用及財務管理責任的規(guī)定：各項資源（及記錄）的運用，應限制由授權負責保管或使用者始可為之。為確保財務責任，各項資源應定期與記錄相核對，以確保賬實相符，并依資產易損性來決定核對的次數。第四章共7條，主要明確了內部控制架構。1．設置一特定機關負責制定并公布各級政府內部控制制度的定義、該內部控制制度所要達成的目標，以及設計該結構時所需遵循的準則。2．在某些國家，內部控制制度的整體目標，是由立法機關所制定，而詳細的內部控制準則，則由權責機關所制定。3．不論權責機關如何，最高審計機關在內部控制制度的開發(fā)上扮演者舉足輕重的角色。而此角色的扮演，不論直接或間接，應視最高審計機關的合法權責與該國家的管理系統(tǒng)的組織架構而定。4．如果由最高審計機關負責公布內部控制準則，則對于該準則與每一機關所各自建立的特定內部控制程序之間須有明確區(qū)分。最高審計機關負有確保受查單位的內部控制符合要求之責，而不應對任何受查單位內部控制程序的執(zhí)行負責。5．在某些情況下，控制或許十分特殊，而在另一方面，特別是管理控制，而又必須更具一般性。因此，內部控制均應允許管理者有適度的裁量與執(zhí)行權。以針對作業(yè)的經濟與效率進行改善。6．負有權責的中央機關應隨時檢核其內部控制。并作必要的修正。而此內部準則及修正結果，必須有完善的書面文件記載，并立即傳送到所有使用的機關。7．經立法頒布的特定內部控制準則與程序，不應