注册会计师应当根据审核计划,实施以下工作步骤:(1)了解内部控制的设计。注册会计师应当在了解内部控制各要素的基础上,根据内部控制能否防止和发现会计报表有关认定的重大错报,评价内部控制设计的合理性。注册会计师应当实施以下程序,以了解内部控制的设计:询问被审核单位的有关人员,检查内部控制生成的文件和记录,观察被审核单位的经营管理活动。(2)评价内部控制设计的合理性。在评价内部控制设计的合理性时,注册会计师应当关注内部控制整体能否实现控制目标,而不应孤立地关注特定内部控制。在确定评价特定内部控制设计合理性的程序时,注册会计师应当考虑以下因素:特定内部控制的性质,特定内部控制的描述方式,经营活动及其管理系统的复杂性。注册会计师应当对相关内部控制进行测试,获取充分、适当的证据,以评价内部控制执行的有效性。(3)测试和评价内部控制执行的有效性。在测试内部控制执行的有效性时,注册会计师应当关注该项内部控制是否得到执行、如何执行、由谁执行以及是否得到一贯执行,通常实施以下程序:询问被审核单位的有关人员;检查内部控制生成的文件和记录,观察被审核单位的经营管理活动,重新执行有关内部控制。在评价获取的证据是否充分、适当时,注册会计师应当运用专业判断,并考虑以下因素:特定内部控制的性质,特定内部控制在实现控制目标中的重要性,被审核单位对特定内部控制执行有效性进行测试的性质和范围,特定内部控制未得到遵循的风险。在评价内部控制执行的有效性时,注册会计师可考虑利用管理当局对内部控制执行有效性的测试结果,但应获取充分、适当的证据进行印证。在评价特定内部控制未得到遵循的风险时,注册会计师应当考虑以下因素:交易的数量和性质是否发生变化,以至于对特定内部控制的设计和执行产生不利影响;内部控制是否发生变化;特定内部控制对其他内部控制有效性的依赖程度;执行或监控内部控制的关键人员是否发生变动;特定内部控制的执行是依赖人工还是电子设备;特定内部控制的复杂程度;特定控制目标的实现是否依赖于多项内部控制。某些内部控制是连续执行的,而某些内部控制只在特定时间执行,注册会计师应当根据内部控制的性质及其执行的时间和频率,合理确定控制测试的性质、时间和范围。当管理当局在做出内部控制有效性认定之前已对内部控制作了改进时,如果注册会计师确定新的内部控制能够实现相关目标,并且已有效执行了适当的时间,可不考虑改进前内部控制设计的合理性和执行的有效性。对已发现的内部控制重大缺陷,注册会计师应当及时以书面形式与被审核单位进行沟通。在判断某项内部控制缺陷单独或连同其他内部控制缺陷是否为重大缺陷时,注册会计师应当考虑潜在的错误或舞弊可能导致错报的金额和性质。注册会计师应当就以下重要事项向管理当局获取书面声明:管理当局对建立健全内部控制并保持其有效性负责;管理当局已对内部控制的有效性进行了评价;管理当局已做出特定日期与会计报表相关的内部控制有效性的认定;管理当局已向注册会计师告知内部控制在设计和执行方面存在的重大缺陷;管理当局已向注册会计师告知发生的重大舞弊,以及虽不重大但涉及管理人员或在内部控制过程中起关键作用的员工的其他舞弊;期后发生的内部控制变化和可能影响内部控制的其他因素,包括管理当局针对重大缺陷采取的各项改进措施。如果管理当局拒绝提供有关内部控制的书面声明,注册会计师应当将其视为审核范围受到限制,并考虑管理当局其他声明的可靠性。注册会计师应当将实施的审核程序及其结果,连同取得的有关资料,形成审核工作底稿。
(四)审核报告
注册会计师应当复核与评价审核证据,形成审核意见,出具审核报告。审核报告应当包括以下基本内容:(1)标题。审核报告的标题应当统一规范为“内部控制审核报告”。(2)收件人。审核报告的收件人应当为审核业务的委托人的全称。(3)引言段。审核报告的引言段应当说明以下内容:被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定,被审核单位管理当局的责任,注册会计师的责任。(4)范围段。审核报告的范围段应当说明以下内容:审核依据,即《内部控制审核指导意见》;审核程序;实施的审核程序为注册会计师发表审核意见提供了合理的基础。(5)固有限制段。审核报告的固有限制段应当说明以下内容:内部控制的固有限制,根据内部控制评价结果推测未来内部控制有效性的风险。(6)意见段。审核报告的意见段应当说明被审核单位于特定日期在所有重大方面是否保持了与会计报表相关的有效的内部控制。(7)签章和会计师事务所地址。审核报告应当由注册会计师签名并盖章,加盖会计师事务所公章,标明会计师事务所地址。(8)报告日期。报告日期是指注册会计师完成外勤审核工作的日期。
如果认为被审核单位内部控制存在重大缺陷,而管理当局已在书面声明及认定中恰当地说明了内部控制的重大缺陷及其对实现控制目标的影响,注册会计师应当在审核意见段前增设说明段说明重大缺陷,并视其重要程度发表保留意见或否定意见。如果认为被审核单位内部控制存在重大缺陷,而管理当局未在其书面声明及认定中说明内部控制的重大缺陷及其对实现控制目标的影响,或虽已说明重大缺陷,却认定其内部控制依然有效,注册会计师应当发表否定意见。如果审核范围受到限制,注册会计师应当视其重要程度,发表保留意见或拒绝表示意见。当存在下列情况时,注册会计师应当考虑其对审核报告的影响:管理当局的认定仅涉及部分内部控制的有效性;管理当局的认定仅涉及内部控制设计的合理性。如果认为期后事项严重影响内部控制的有效性,注册会计师应当视其重要程度,发表保留意见或否定意见;如果不能确定其影响,注册会计师应当发表拒绝表示意见。
(五)内部控制审核报告参考格式
1.无保留意见
内部控制审核报告
×股份有限公司:
我们接受委托,审核了贵公司管理当局对×年×月×日与会计报表相关的内部控制有效性的认定。贵公司管理当局的责任是建立健全内部控制并保持其有效性,我们的责任是对贵公司内部控制的有效性发表意见。
我们的审核是依据《内部控制审核指导意见》进行的。在审核过程中,我们实施了包括了解、测试和评价内部控制设计的合理性和执行的有效性,以及我们认为必要的其他程序。我们相信,我们的审核为发表意见提供了合理的基础。
内部控制具有固有限制,存在由于错误或舞弊而导致错报发生和未被发现的可能性。此外,由于情况的变化可能导致内部控制变得不恰当,或降低对控制政策、程序遵循的程度,根据内部控制评价结果推测未来内部控制有效性具有一定的风险。
我们认为,贵公司按照×标准于×年×月×日在所有重大方面保持了与会计报表相关的有效的内部控制。
××会计师事务所(公章)地址
中国注册会计师(签名并盖章)年月日
2.保留意见
内部控制审核报告
×股份有限公司:
我们接受委托,审核了贵公司管理当局对×年×月×日与会计报表相关的内部控制有效性的认定。贵公司管理当局的责任是建立健全内部控制并保持其有效性,我们的责任是对贵公司内部控制的有效性发表意见。
我们的审核是依据《内部控制审核指导意见》进行的。在审核过程中,我们实施了包括了解、测试和评价内部控制设计的合理性和执行的有效性,以及我们认为必要的其他程序。我们相信,我们的审核为发表意见提供了合理的基础。
内部控制具有固有限制,存在由于错误或舞弊而导致错报发生和未被发现的可能性。此外,由于情况的变化可能导致内部控制变得不恰当,或降低对控制政策、程序遵循的程度,根据内部控制评价结果推测未来内部控制有效性具有一定的风险。
(描述内部控制的重大缺陷及其对实现控制目标的影响)有效的内部控制能够为企业及时防止或发现会计报表中的重大错报提供合理保证,而上述重大缺陷使贵公司内部控制失去这一功能。
我们认为,除上述内部控制的重大缺陷及其对实现控制目标的影响外,贵公司按照×标准于×年×月×日在所有重大方面保持了与会计报表相关的有效的内部控制。
××会计师事务所(公章)地址
中国注册会计师(签名并盖章)年月日
3.否定意见
内部控制审核报告
×股份有限公司:
我们接受委托,审核了贵公司管理当局对×年×月×日与会计报表相关的内部控制有效性的认定。贵公司管理当局的责任是建立健全内部控制并保持其有效性,我们的责任是对贵公司内部控制的有效性发表意见。
我们的审核是依据《内部控制审核指导意见》进行的。在审核过程中,我们实施了包括了解、测试和评价内部控制设计的合理性和执行的有效性,以及我们认为必要的其他程序。我们相信,我们的审核为发表意见提供了合理的基础。
内部控制具有固有限制,存在由于错误或舞弊而导致错报发生和未被发现的可能性。此外,由于情况的变化可能导致内部控制变得不恰当,或降低对控制政策、程序遵循的程度,根据内部控制评价结果推测未来内部控制有效性具有一定的风险。
(描述内部控制的重大缺陷及其对实现控制目标的影响)有效的内部控制能够为企业及时防止或发现会计报表中的重大错报提供合理保证,而上述重大缺陷使贵公司内部控制失去这一功能。
我们认为,由于上述内部控制的重大缺陷及其对实现控制目标的影响,贵公司未能按照×标准于×年×月×日保持与会计报表相关的有效的内部控制。
××会计师事务所(公章)地址
中国注册会计师(签名并盖章)年月日
4.无法表示意见
内部控制审核报告
×股份有限公司:
我们接受委托审核贵公司管理当局对×年×月×日与会计报表相关的内部控制有效性的认定。贵公司管理当局的责任是建立健全内部控制并保持其有效性。
内部控制具有固有限制,存在由于错误或舞弊而导致错报发生和未被发现的可能性。此外,由于情况的变化可能导致内部控制变得不恰当,或降低对控制政策、程序遵循的程度,根据内部控制评价结果推测未来内部控制有效性具有一定的风险。
由于管理当局(描述范围限制),我们未能实施必要的审核程序以获取充分的证据,因此,我们无法对贵公司内部控制的有效性发表意见。
××会计师事务所(公章)地址
中国注册会计师(签名并盖章)年月日
(六)内部控制审核的几个问题
1.内部控制与会计报表的有效性
在提出对内部控制系统各组成部分表明意见的权威性标准之前,审计人员暂时不对整个内部控制系统的有效性表明意见是适当的。总的来说,“内部控制是令人满意的”这一词句不是恰当的结论,除非紧接着对不那么满意的个别方面进行了具体说明。内部控制系统就像平底锅或木桶。除了一个小洞之外,平底锅一般来说是良好的,但是,事实上它是漏水的,在补好漏洞前,平底锅是毫无用处的。木桶装水多少,则取决于最短的那根木条。而会计报表审计的最终判断不像一根链条而像一捆树干。如果其中一根树干过细或被折断,当然会削弱整捆的力量,但这并不说明整捆树干都没有了力量。
2.内部控制鉴证服务的定性
审核与审计的区别通常在于对象不同,例如审核对象可以是未来的会计信息或内部控制,但审核在取证范围上同样是广泛的,保证程度为高水平,意见表述形式为积极式,在报告的分发使用方面是没有限制的。在公司治理结构远未具备一定基础和内部控制规范尚未充分建立的条件下,注册会计师从事该项业务的风险过大,且成本极高,责任过重。而美国证券交易委员会(SEC)对注册会计师提交的内部控制报告并未施加很重的压力和责任,要求的保证程度较低,并以消极保证的方式进行表述,同时对报告的分发和使用做出了严格的限制。
3.内部控制审核与会计报表审计中对内部控制的考虑
一般认为,我国内部控制评价中内部控制是“结果”,而在会计报表审计中对内部控制的考虑是“手段”。美国的经验则是,证券监管部门要求注册会计师提供内部控制报告的目的显然在于强化注册会计师在执行会计报表审计过程中对内部控制的考虑,这两者的目标是一致的,并且相互加强。
4.内部控制评价的时间范围
内部控制鉴证服务的目标和功能是有限的,对整个年度的内部控制做出评价,成本极其高昂,也是无法实现的。COSO报告倾向于某一特定时点的报告,认为这样可以使管理层关注于及时解决问题,而不是去披露已经得到改善的控制缺陷,因此成本较低。美国SEC的内部控制报告范例表明,注册会计师针对的是特定时点的内部控制,而且往往与期末资产负债表日一致。目前中国证监会尚未就内部控制评价涉及的时间范围做出具体要求。
二、管理建议书
(一)管理建议书的责任
管理建议书是指注册会计师针对审计过程中注意到的、可能导致被审计单位会计报表产生重大错报或漏报的内部控制重大缺陷提出的书面建议。注册会计师对审计过程中注意到的内部控制重大缺陷,应当告知被审计单位管理当局。必要时,可出具管理建议书。对审计过程中注意到的内部控制一般问题,可以口头或其他适当方式向被审计单位有关人员提出。在审计过程中注意到的内部控制缺陷以及与被审计单位的沟通情况,应当记录于审计工作底稿。管理建议书提及的内部控制重大缺陷,仅为注册会计师在审计过程中注意到的,并非内部控制可能存在的全部缺陷。管理建议书不应被视为注册会计师对被审计单位内部控制整体发表的意见,也不能减轻或免除被审计单位管理当局建立健全内部控制的责任。注册会计师出具管理建议书,不应影响其应当发表的审计意见。除有特别规定者外,注册会计师在征得被审计单位管理当局同意之前,不得将管理建议书的内容泄露给任何第三者。
(二)内容与格式