四、认真做好内部控制审计
事务所要准确理解和全面把握《企业内部控制审计指引》和《企业内部控制审计指引实施意见》精神,恰当计划和执行内部控制审计工作。事务所要处理好财务报表审计和内部控制审计之间的关系,既要体现内部控制审计的目的,又要保持与财务报表审计的联系。同时承接一家被审计单位年报审计业务和内部控制审计业务的,事务所应当单独与上市公司签订内控审计业务约定书。
(一)风险评估和内部控制测试
注册会计师要深入贯彻风险导向审计的思路和要求,在实施审计工作时,采用“自上而下”的方法,在财务报表层次对内部控制整体风险了解的基础上,将关注重点放在企业层面控制上,并将工作逐渐下移至重要账户、列报及其相关认定。注册会计师要验证对被审计单位业务流程中风险的了解,并选择能足以应对评估的每个相关认定的重大错报风险的控制进行测试。在测试中,注册会计师应直接获取内部控制设计及运行有效的审计证据,不能根据财务报表审计未发现错报来推断内部控制有效。
对于连续审计,注册会计师在确定测试的性质、时间安排和范围时,要考虑以前年度执行内部控制审计所了解的情况,要跟踪内控缺陷及整改情况,并考虑对本年财务报表审计和内部控制审计的影响。
(二)缺陷评价
在评价控制缺陷时,注册会计师要明确内控缺陷的认定步骤和认定标准。在评价缺陷的严重程度时,注册会计师关注的应是缺陷对财务报表的潜在错报,而非实际错报;在考虑补偿性控制时,关注补偿性控制是有足够的精确度以防止或发现并纠正可能发生的重大错报;应对可能表明内部控制存在重大缺陷的迹象予以特别关注;要使用定性或定量的方法,客观评价识别的各项控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成内部控制的重大缺陷。
(三)内部控制审计报告
在出具内部控制审计报告前,注册会计师应当与被审计单位沟通审计过程中识别的所有控制缺陷,并就重大缺陷和重要缺陷以书面形式与管理层及治理层进行沟通。注册会计师要全面评价获取的审计证据,包括控制测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷,并据以形成对内部控制有效性的意见。在评价内部控制审计获取的审计证据和形成的结论时,应同时考虑财务报表审计中实施的、所有针对控制测试和运行有效性测试的结果,避免出现审计判断不一致的情况。
注册会计师如实发表内控审计意见,规范出具内控审计报告,不得利用在内控审计报告中增加强调事项段,或将财务报告内控重大缺陷作为非财务报告内控重大缺陷披露等方式规避出具否定意见的内控审计报告。
