内部控制审计的方法一、PCAOB:对内部控制的审计(一)产生背景2004年3月9日美国公众公司会计监督委员会(PCA0B,以下简称委员会),为了配合审计人员对财务报表内部控制有效性评上价的审计工作,批准了第2号审计准则,即《财务报表审计内部控制的审计》(以下简称准则)。委员会指出,对财务报表的内部控制进行审计是一项庞大的工程;另外,维持有效的内部控制,包括定期评估,并不是无成本的,但是,委员会强调建立和完善一套内部控制制度所带来的好处是巨大的。(二)内容精要1.审计目标准则指出:财务呈报内部控制审计的目标是,对管理当局“内部控制有效性评价”发表意见,该目标分解为两个步骤:(1)管理当局必须对主体的内部控制进行评估并得出结论;(2)审计人员对管理当局所作评价的结论是否公允作出评价,并发表独立意见。准则指出,管理当局在财务呈报的内部控制评价过程中的责任是:(1)对企业财务呈报的内部控制的有效性承担责任;(2)用恰当的控制标准评估企业内部控制的有效性;(3)有足够的证据(包括文件)来支持其评估结论;(4)就最近财年末为止的企业内部控制的有效性作出书面的评估报告。如果管理当局未完成上述责任,审计人员应以书面形式与管理当局和审计委员会沟通,明确对财报内部控制的审计无法满意地完成,以致无法发表意见。2.管理层责任审计准则明确了对内部控制结果满意的前提条件。依据《萨班斯法案》404条款的要求,管理当局必须做到以下各项:(1)对公司财务报告的内部控制有效性负责;(2)按照合适的标准(如C0S0标淮)评价公司财务报告内控有效性;(3)采用充足的证据支持该评估结果;(4)在最近的财务会计年度期末提供书面的评估报告;如果审计师认定管理层未履行上述责任,那么他将不能完成财务报告的内控审计,必须放弃发表审计意见。3.管理当局的评估过程根据准则要求,管理层对内部控制评估的过程必须包括:确定哪些内部控制需要测评;评估内控失效引起财务误报的可能性;确定有多少下属单位参与内控评估;评估对所有与财务报告中重要项目和信息有关的内控设计与执行情况;确定已经发现的与财报有关的内控缺陷是否导致了严重的后果;与有关方面就发现的各种问题进行沟通;确认这些发现是否支持评估结论。但必须强调,管理层不能用审计师所采用的程序和获得的证据来支持自身对内控的评估结论。4.管理层的证明材料在确认管理层的证明材料是否支持其评估结论时,审计师应当分析这些证据是否包含如下项目:所有与财务报告中的重要项目和信息有关的判断所采用的内控设计情况;关于重要交易事项、授权、记录、处理和报告的信息;关于业务流程的充分信息,以判断哪些环节会产生错误及舞弊所导致的后果;阻止和发现舞弊的内控措施;期末财务报告的内部控制;资产保管的内部控制;管理层对内部控制的测试以及评估结果。5.了解内控情况了解针对财务报告的内部控制有效性,即询问内控的实施人员;观察他们的表现;查看内控指引;将内控指引与实际结果对照。准则指出,了解内部控制最有效的方法就是对公司的重要内控进行穿行测试。6.评价审计委员会监督的有效性准则要求审计师应当评价上市公司的审计委员工作的有效性,以此作为了解和评估公司内控环境、监测财务报告内控的组成部份,并就审计委员会的无效性与董事会进行交流。准则强调,此项评估工作是由公司董事会负责的。7.测试执行的有效性审计师每年都要测试内控的执行效果,同时还要确认内控的执行者是否具有必要的权限和能力,按部就班的实施,使内部控制制度得到不折不扣地执行。8.使用其他人员的工作成果其他人的工作包括内部审计师的工作、公司其他部门的工作、在管理层和审计委员会指导下第三方的工作等。9.评估测试结果准则要求审计师评估所有己发现的内控漏洞的严重性。通常认为下列方面存在缺陷至少是重大缺陷:会计政策的选择和应用的控制;反舞弊程序和控制;非常规和非系统交易的控制;期末会计报告编制的控制。另外下列问题至少是重大缺陷:对已经发布的财务报告中误报的修正;由注册会计师发现的当前年年报的重大误报;审计委员会的监督无效;无效的内部审计和...
