最近一些审计失败案例表明,内部控制审核极其重要。注册会计师如何实施内部控制审核并出具报告便成为职业界迫切需要解决的课题。文中指出制定内部控制审核计划应当关注的因素;注册会计师在了解、测试及评价内部控制时需要特殊考虑的内容。
注册会计师应当制定对内部控制有效性实施审核的工作计划,以确定内部控制测试和证价的程序和范围。在编制审核计划时,应当考虑以下因素:(1)影响被审核单位所在行业的情况等;(2)被审核单位的经营情况;(3)被审核单位最近在经营和内部控制方面的变化;(4)被审核单位依据控制标准评价内部控制有效性的方法;(5)对确定与内部控制重大缺陷有关的重要性水平、固有风险及其他因素的初步判断;(6)支持管理当局关于内部控制有效性认定证据的类型和范围;(7)为实现控制目标而设计的特定控制的性质及其在内部控制整体中的重要性;(8)对内部控制有效性的初步判断;(9)从其他专业服务中了解的有关被审核单位内部控制的情况。
如果被审核单位涉及多个经营场所,注册会计师编制审核计划需考虑的因素与执行会计报表审计相似,可选择某些场所的内部控制进行了解和测试。在选择测试的经营场所时,注册会计师应特别考虑以下因素:(1)不同场所经营活动和内部控制的相似性;(2)会计处理的集中程度;(3)控制环境的有效性,尤其是管理当局对各个场所授权的控制和进行有效监督的能力;(4)各场所发生的交易及相关资产的性质和金额。
被审核单位是否拥有内部审计是注册会计师编制审核计划需要考虑的又一重要因素。注册会计师需要评价内部审计人员的能力、独立性、工作的完成程度等对制定审核计划的影响。
注册会计师根据已制订的审核计划,实施以下程序:(1)了解内部控制设计;(2)评价内部控制设计的适当性;(3)测试和评价内部控制执行的有效性。
注册会计师通过询问被审核单位的管理层及员工、检查有关文件、观察经营活动获取某些内部控制的信息。值得注意的是,注册会计师应当关注内部控制设计的合理性和完整性。注册会计师评价内部控制设计合理性和完整性的着眼点在于特定内部控制能否防止或发现与会计报表认定有关的重大错报,
在测试内部控制执行的有效性时,注册会计师应当关注该项内部控制如何执行、由谁执行以及是否得到一贯执行,并实施以下审核程序:(1)询问被审核单位的监管者和职员;(2)检查有关文件;(3)观察经营活动;(4)重新执行相关内部控制。
注册会计师对测试时间的判断往往会随着控制的性质以及特定控制和特殊政策的实施而改变。注册会计师应当据此合理确定拟执行内部控制测试的性质、时间和范围。
注册会计师在评价特定内部控制未得到遵循的风险时,应考虑以下因素:(1)交易的数量和性质是否发生变化,以致对特定内部控制的设计和执行产生不利影响;(2)内部控制是否发生变化;(3)特定内部控制对其他控制有效性的依赖程度;(3)执行或监控内部控制的关键人员是否发生变动;(4)特定内部控制的执行是依赖人工还是电子设备;(5)特定内部控制的复杂程度;(5)特定控制目标是否依赖于多项内部控制。
如果被审核单位管理当局在做出内部控制认定前已对内部控制作了改进,则注册会计师无需考虑被替换的控制程序,只需考虑改进后的内部控制是否已运行了适当的时间,能否实现特定控制目标。
对于已发现的内部控制存在缺陷的重要事项,注册会计师应当及时以书面形式与被审核单位审计委员会或类似机构进行沟通;如果所沟通的缺陷导致会计报表发生重大错报的风险为高水平,注册会计师应将其视为重大缺陷。
注册会计师必须向管理当局获取“内部控制声明书”,以此作为出具内部控制审核报告的基础。内部控制声明书包括:(1)管理当局对建立健全并保持有效的内部控制负责;(2)管理当局已按控制标准对内部控制的有效性进行了评价;(3)管理当局对特定日期的内部控制有效性做出了认定;(4)管理当局已向注册会计师揭示内部控制在设计和执行方面存在缺陷的所有重要事项;(5)管理当局已向注册会计师披露存在的重大舞弊,以及虽不重大但涉及管理人员或关键员工的舞弊;(6)期后发生的内部控制的变化和可能影响内部控制的其他因素,包括管理当局针对重大缺陷采取的改进措施。