国际权威内部控制与审计标准有萨班斯法案、COSO内部控制报告、COC0框架、CobiT框架等规范要求,PCAOB:财务报表审计中对内部控制的审计、国际审计准则6:关于在审计中对会计制度和有关的内部控制的研究和评价、INTOSAI(世界最高审计机关组织):内部控制准则、日本内部控制评价与审计准则等。
萨班斯法案总的原则是把财务报告可靠性和有关内部控制的责任落实到实际执掌公司权力的关键人物身上。302条“公司对财务报告的责任”,规定公司首席执行官和首席财务官,在报备或提交的每一份年度报告或季度报告中应对公司的内部控制设计、运行、评价、内部控制缺陷进行详细披露。404条“管理层对内部控制的评估”,规定上市公司每份年度报告必须包括一份“内部控制报告”,其内容必须包括:管理层对建立和维护与财务报表相关的内部控制具有责任的声明;管理层对与财务报表相关的内部控制的有效性进行评估的报告;外部审计师对管理层的评估过程和结果发表的鉴证报告。404条款主要是与财务报告有关的控制和程序及财产保护,需要外部审计师的审计。
萨班斯法案发布之后,美国证券交易委员会(SEC)通过制定规则,为CEO和CFO对主体财务呈报内部控制和披露控制的报告提供指南;公众公司会计监管委员会通过为注册会计师制定审计准则,直接影响注册会计师该类审计合约的计划与实施;COSO委员会制定内部控制标准框架,作为管理当局和注册会计师进行内部控制评价的基础。为了配合萨班斯法案404条款有关内部控制规定的实施,SEC提出了“财务呈报内部控制”的操作性定义。SEC规则13a-15(f)规定:财务呈报内部控制是一个过程,由发行人的主要执行官员、主要财务官员或者行使类似职权的人员设计或监控,受发行人的董事会、管理当局和其他人员所影响,为财务呈报的可靠性和财务报表(供外部使用的)的编制符合公认会计原则提供合理的保证。管理当局对企业财务呈报内部控制的年度报告,具体为:
①关于管理当局建立和维护适当企业财务呈报内部控制的责任报告;
②管理当局用于评价企业财务呈报内部控制有效性的方法框架的报告;
③管理当局对到最近财年末为止的企业财务呈报内部控制的有效性的评价,包括企业财务呈报内部控制是否有效的声明,其中,必须披露管理当局所确认定的企业财务呈报内部控制的任何重大弱项,如果存在一个或多个重大弱项,则管理当局不得认定其财务呈报内部控制是有效的;
④一个声明,即会计事务所(对公司包含在年报中的财务报表进行审计的机构)已经对管理当局的财务呈报内部控制有效性评价意见签发鉴证报告。会计师事务所的鉴证报告,提供审计人员对管理当局财务呈报内部控制评价意见的鉴证报告。
为了配合审计人员对管理当局财务呈报内部控制有效性评价的审计工作,2004年3月9日,美国公众公司会计监督委员会(PCAOB,以下简称委员会)批准了它的第二号审计准则:《财务报表审计中对内部控制的审计》。AS2提出财务呈报内部控制审计的目标是,对管理当局就企业财务呈报内部控制有效性的评价发表意见。该委员会一直主张建立一套标准,以供注册会计师在对财务报表进行审计和在对管理人员所做的内控有效性评价进行审计时遵循。
(1)审计目标。AS2提出财务呈报内部控制审计的目标是,对管理当局就企业财务呈报内部控制有效性的评价发表意见。
(2)管理层责任。2号审计准则确认了注册会计师获得满意的内控审计结果的前提条件。根据《萨班斯-奥克斯莱法》404条款的要求,管理层必须做到以下各项:
对公司财务报告的内部控制有效性负责;
按照合适的标准(例如,COSO标准)评价公司财务报告的内控有效性;
采用充足的证据支持该评估结果;
在最近的财务会计年度期末提供书面的评估报告;
如果审计师认定管理层未履行以上责任,那么他将不能完成财务报告的内控审计,必须放弃发表审计意见。
(3)管理层的评估过程。一套严格针对财务报告内控的评估流程应该能够产生足够的信息以帮助注册会计师理解公司的内部控制制度,并计划对内部控制的审计程序。根据2号审计准则,管理层实施的对财务报告的内控制度进行评估的过程必须包括:
确定哪些内控需要测试,包括针对所有与财务报告中重要的科目和信息有关的判断所采用的内部控制;
评估内控失效引起财务误报的可能性,评估该误报的影响面,评估其他内控措施在多大程度上可以实现同样的控制目标;
确定有多少下属单位要参加内控评估(针对有很多下属单位的公司);
评估针对所有与财务报告中重要的科目和信息有关的判断所采用的内部控制的设计和执行情况;
确定已经发现的财务报告的内控缺陷是否导致了严重的后果;
与有关方面就发现的各种问题进行沟通;
确认这些发现是否支持评估结论。
虽然显而易见,但是必须强调,管理层不能用注册会计师所采用的程序和获得的证据来支持自身对内控的评估结论。
(4)管理层的证明材料。管理层对内控评估结果的证明材料是管理层、注册会计师和内控咨询专家都非常关心的。清楚、全面的证据便于管理层对财务报告的内控进行评价,并且为注册会计师的审计工作奠定了坚实的基础。在确认管理层的证明材料是否支持其评估结论时,注册会计师应当分析这些证据是否包含如下项目:
所有与财务报告中重要的科目和信息有关的判断所采用的内部控制的设计情况;
关于重要交易申请、授权、记录、处理和报告的信息;
关于业务流程的充分信息,以判断在哪些环节会产生因错误和舞弊所导致的重大误报;
阻止和发现舞弊的内控措施;
期末财务报告的内部控制;
资产保管的内部控制;
管理层对内控的测试以及评估结果。
2号审计准则要求,管理层的这些证据可以是纸制的、电子的或者其他媒体形式,应能够包含一系列的信息,如管理手册、计算模型、流量表、工作描述等。该审计准则没有提供客观标准来判断证据是否充分。需要指出的是,如果管理层未提供充分的证据则会被认为是内控存在缺陷,此种情况将由注册会计师判断其可能导致的后果。
(5)了解内控:穿行测试。2号审计准则指导注册会计师通过以下方法了解针对财务报告的内部控制:
询问内控的实施人员
观察他们的表现
查看内控指引
将内控指引与实际结果对照
准则进一步指出,了解内控的最有效方法就是对公司的重要内控实行穿行测试
在穿行测试中,注册会计师沿着会计流程追踪交易和事件发生的全过程,从最初的起点一直到最后的财务报告。2号审计准则要求注册会计师对每一类重要的内控每年至少实行一次穿行测试,同时鉴于穿行测试涉及到注册会计师的个人判断,因此准则要求其亲自完成。该准则否认重要的内控就是那些与公司的财务报告有显著关系的内控。注册会计师的穿行测试应该包含对会计帐户有明显影响的每一类重要交易的全过程。该准则认为会计个体编制期末财务报告是一项重要的工作。
(6)评价审计委员会监督的有效性。在2号审计准则中,公众公司会计监督委员会表达了它的意见:注册会计师有必要评价公司审计委员会工作的有效性。特别地,该准则强调:“对审计委员会的工作进行评估是由公司董事会负责的。”该准则没有要求注册会计师为评估审计委员会的工作而实施单独、特别的程序。征求意见稿中这方面的条款引起了广泛的注意。
2号审计准则确认了审计委员会在帮助公司建立积极有效的内控方面所承担的关键角色。该准则要求注册会计师应当评价发行股票的公司的审计委员会的有效性,以此作为其了解和评估公司内控环境、监测财务报告的内控组成部分的一个方面;该准则还提到了可供注册会计师参考的各项因素。在注册会计师看来,审计委员会对外部财务报告以及财务报告内控的无效监督,至少是重大疏漏和财务报告内控存在实质性缺陷的强烈信号。另外,该准则要求注册会计师应以书面形式就审计委员会的无效性与董事会进行交流。
影响审计委员会监督外部财务报告和财务报告内控的因素包括其委员相对于管理层的独立程度、委员会工作责任的清晰程度、管理层和审计委员会对这些责任的理解程度以及两者权责制衡的水平。
(7)测试执行的有效性。2号审计准则要求注册会计师每年都要就所有与财务报告中重要的科目和信息有关的判断所采用的内部控制的执行情况获取评价证据。遵从条款,注册会计师应当测试这些内控的执行结果。每年都要独立进行。
为确定一项内控是否得到了很好的执行,注册会计师不仅仅要评价这项内控是否按部就班的实施,还要确认内控的执行者是否具有必要的权限和能力。还有,根据该准则,注册会计师必须获得内控在一段足够长的时间内得到有效执行的证据。在期中某一时间进行的测试必须在期末重做,以保证这些内控整个期间都得被不折不扣的执行。
(8)使用其他人的工作成果。2号审计准则指出注册会计师自身的工作必修能够为其结论提供重要的证据。根据随准则出台的指南文件,其他人的工作包括内部审计师的工作、公司其他部门的工作、在管理层或审计委员会指导下的第三方的工作。
2号审计准则指出:注册会计师在测试与控制环境有关的内控时不应使用其他人的工作,例如为防止和发现舞弊而建立的内控;在实施穿行测试时也不应采用别人的工作成果。该准则允许注册会计师在测试信息技术控制和期末报表编制控制时采用其他人的工作成果。从关于使用其他人工作的指南文件中可以清楚的看到公众公司会计监督委员处心积虑的避免注册会计师过度依赖内部审计人员和其他人员的工作成果。
征求意见稿也排除了内控的三种独特分类和注册会计师在形成结论时使用其他人工作成果的程度限制。在2号审计准则中,“三桶”方法已经被一套概念框架所代替,这些概念强调注册会计师在确定多大程度上借用其他人工作成果时应考虑内控的特性、执行人员的熟练程度和客观性。该准则也指出管理层在采用一套自我评估程序测试内控的执行效果时,自我评估程序的执行人就不再是客观的,相应地,注册会计师不应借用他们的工作成果。
这套概念框架,连同注册会计师亲自获取全面、重要证据的要求,允许注册会计师在审计财务报告的内部控制时自主确定在多大程度上采用其他人的工作成果。
(9)评估测试结果。与征求意见稿一致,2号审计准则要求注册会计师评估所有已经发现的内控漏洞的严重性。征求意见稿于2003年10月发布后,重大内控缺陷的定义引起了激烈的争论。委员会表示大多数反馈意见反对这个定义,因为该定义所确立的重大缺陷的标准太低。很多人认为这样的定义会导致绝大多数内控漏洞被认为是重大缺陷。
在2号审计准则中,委员会保留了重大缺陷和实质性弱点的定义。在解释其意图时,委员会指出内控缺陷不应被孤立的评估,而应接按补救措施的效果来确定特定缺陷的严重性。可以看出,审计委员会对2号审计准则重大缺陷定义的解释部分的反映了很多人对征求意见稿中标准太低的担心。然而判断缺陷是否构成重大缺陷的标准还是保留了下来。
根据2号审计准则,如果在下列方面存在缺陷,则通常这些缺陷会被认为至少是重大缺陷:
会计政策的选择和应用的控制:
反舞弊程序和控制;
非常规和非系统交易的控制;
期末会计报告编制的控制。
另外,下列问题至少是重大缺陷,也是存在实质性弱点的强烈信号:
对已经发布的财务报告中误报的修正;
由注册会计师发现而不是公司发现当前年度的重大误报;
审计委员会的监督无效;
无效的内部审计和风险评估功能,且这些功能对于公司报表生成程序的可信赖性是非常关键的;
被高度监管公司的防止违规的措施无效,特别是一旦无效,违规违法行为就会对财务报告的可信性产生重大影响;
发现了管理高层任何程度的舞弊;
先前发现的、已经通知公司的重大缺陷在合理期限后仍未改正;
控制环境无效。
(10)缺陷和注册会计师的意见。2号审计准则要求注册会计师就财务报告的内控审计发表两条意见:一条是针对管理层给出的自我评估结论;另一条是针对内部控制的有效性。这里与征求意见稿不同。公众公司会计监督委员会作如此规定的原因不在本文讨论范围之内。读者只需清楚,2号审计准则允许以上两条意见可以不一致。
与征求意见稿一致,2号审计准则要求注册会计师在发现财务报告的内控存在实质性弱点后应当发表负面意见。
(11)季度证明。2号审计准则要求注册会计师每个季度实施一定的程序以确定自己是否清楚根据《萨班斯-奥克斯莱法》302条应当披露的财务报告内控的实质性变化。如果注册会计师认为管理层对这些变动的披露和证明不精确,他应当与管理层进行交流并采取一定的措施。
(12)生效日期。前面已经提到,2号审计准则须经美国证券交易委员会批准才能生效。注册会计师应当根据这项准则,审计公司管理层出具的关于财务报告内控有效性的书面评估报告。美国证券交易委员会最近推迟了一项规定,该规定要求交易法案12b-2中所定义的“加速的财务报告提交人”公司要在2004年11月15日或之后报告他们对年末财务报告的内控的评价。非加速的财务报告提交人,包括小企业和外国公司,应在2005年7月15日或之后提交这样的报告。在这些日期之后,公司必须提交注册会计师关于年末财务报告内控的审计结论。
美国公众公司会计监督委员会批准的《财务报表审计中对内部控制的审计》为注册会计师在对财务报表进行审计和在对管理人员所做的内控有效性评价进行审计时遵循建立一套标准。
2号审计准则针对征求意见稿中普遍争论的问题提供了一套使用指南。但是还有很多实际问题没有解决:管理层证明文件的范围、对内控的测试程度、重要会计科目和披露内容的确定、有多个地点的公司的审计范围、审计报告的使用、财务报告内控重大缺陷的确定、当不合格财务报告未获肯定时应报送的事项、资产保管的内部控制的测试范围。
《财务报表审计中对内部控制的审计》对我国注册会计师对企业内部控制进行审计具有借鉴意义,对内部审计进行单位内部控制的审查与评价也具有参考价值。
2007年7月, 美国公众公司会计监督委员会(PCAOB)发布了新的内部控制审计标准《审计准则5号一与财务报表审计相结合的财务报告内部控制审计》以下简称(PCAOB AS5)。PCAOB AS5取代了2004年发布的《审计准则2号》(以下简称PCAOB AS2)。这对内部控制审计和财务报表的审计方式产生重要影响。推出PCAOB AS5主要是PCAOB收到了许多有关PCAOB AS2在执行过程中出现问题的反映,而且AS2在执行过程中也导致相关成本的上升。
(1)强调风险和所需获取的证据之间的关系。PCAOB AS5要求外部审计人员使用自上而下的风险基础审计方法执行内部控制的审计。这种方法首先测试控制环境和了解财务报表,识别和评估重大错报风险,识别需要测试的重要帐户和流程。PCAOB AS5虽调风险评估和把风险评估与在审计过程中所需获取的审计证据联系起来。这就需要摒弃固态的审计方法和以偏概全的思路。尤其是PCAOB AS5要求外部审计人员应该不断调整他们的程序以反映审计人员所获得的信息,包括从内部控制和财务报表中获得的信息。PCAOB AS5也指出审计测试的性质、时间和范围的不同组合能够提供与既定控制相关的风险水平相对应的充分的证据。
PCAOB AS5对风险基础方法的重视也延伸至多区域或多业务单元测试的决策,并允许使用一些双重交叉的测试(double-dipping)。而在PCAOB AS2中,如果实质性测试没有发现错报,不能被用来证明与所测试的认定相关的内部控制是有效的。然而,实质性测试并不能用来取代控制测试,因此PCAOB AS5指出仅依据外部审计人员的实质性侧试没有发现财务报表存在错报并不能推断控制是有效的。
(2)修改对重要缺陷和重大缺陷的规定。PCAOB AS5用“可能”这个术语替代了PCAOB AS2的“极小可能”,以此来定义重要缺陷和重大缺陷。重大缺陷是指财务报告内部控制中的一个缺陷或若干个缺陷的集合,使公司的年度或中期财务报告的重大错报可能无法被及时地预防和发现。这种可能性包括可能和很可能;重要缺陷是指财务报告内部控制中的一个缺陷或若干个缺陷的集合,比重大缺陷严重性轻一些,但仍很重要,足以引起那些有责任监督公司财务报告系统的人的注意。这是一个重要的改变,用“可能”这个专业术语来定义重要缺陷,会将那些介于“极小可能”和“可能”之间的缺陷排除在重要缺陷之外。这样会减少审计师所识别的重大缺陷和重要缺陷的数量。公司管理层和治理层应明白这些,当外部审计人员识别出的重大缺陷下降时,不要错误认为内部控制是安全的。PCAOB AS5修订了重大缺陷显著征兆的构成,PCAOB AS5取消了需要将已公布的财务情况重述和企业整体层面控制环境失效至少应该看作内部控制重要缺陷和重大缺陷显著征兆考虑的规定。因为这种变化,外部审计师需要使用自己的判断确定何时财务重述或公司整体层面控制失效不必被认为是内部控制的缺陷。这将很可能导致内部控制否定意见的减少。
(3)阐明审计中重要性的角色。PCAOB AS2要求审计人员查找所有的内部控制的潜在缺陷,而不仅仅是与财务报表相关的内部控制。而PCAOB AS5鼓励公司仅仅关注与导致财务报表错报相关的内部控制的缺陷。因此,PCAOB AB5不允许减少与财务报告相关的内部控制整体有效性起核心作用的控制测试。
更明确的是,PCAOB AS5指出审计人员在计划和执行内部控制审计时采用的重要性衡量标应该与计划和执行财务报表审计时所采用的重要性标一致。这一要求使得外部审计人员审计工作的范围发生改变,可以不再检查内部控制的所有的潜在缺陷,而是全力以赴地去寻找导致财务报表重大错报的内部控制的缺陷。
(4)取消对管理层内部控制自我评估程序进行评价的要求。在PCAOB AS55nSEC的新指南下,外部审计人员不再需要评价管理层每年的自我评估程序。然而,为了能够利用其它人员的工作,外部审计人员还需了解管理层的自我评估程序。因此,管理层、内部审计人员以及外部审计师就有必要来协调他们各自的工作。而审计委员会在这一协调过程中发挥着重要的作用。
(5)消除使用其他人员工作的障碍。PCAOB AS5允许外部审计人员基于以前年度的审计工作而在某些领域减少测试。并可利用内部审计师的工作。这就取消了PCAOB AS2要求每年审计师必须依靠当年自己的审计工作的规定。比如PCAOB AS5要求外部审计人员在执行内部控制测试前,考虑以前年度审计(包括财务报表和内部控制审计)所执行的程序的性质、时间和范围和测试的结果,以及自上一次审计以来内部控制或者相关程序的任何变化。在全面的风险评估(包括考虑后续年份)基础上,外部审计人员应该根据与特定控制相联系的风险决定所需要获得的证据。此外,PCAOB AS5还为何时可以利用其他人员的工作建立了一个统一框架。这个统一框架的基础标准是:被测项目的性质(强调风险和相关的活动)、执行测试的人员的胜任能力以及执行测试人员的客观性。而不管这项工作是和公司的内部控制测试有关还是和财务报表审计有关。外部审计师需要研究如何运用这一框架判断在审计中公司员工的工作可以在何种程度上被利用,以及哪些人的工作可以被利用,哪些人的工作不能被利用。
(6)重新调整穿行测试的要求。在PCAOB AS2下,外部审计人员必须对所有主要的交易层次执行穿行测试,而且穿行测试不能由其他人执行。PCAOB AS5则鼓励但不强制要求在每个重要的流程中进行穿行测试,同时,在流程层面支持采用穿行测试并不排除使用除穿行测试以外的其他审计技术来获取对重要流程中的控制的了解。
PCAOB AS5也允许外部审计人员利用其他人提供的直接帮助进行穿行测试。然而外部审计人员仍然必须主要和亲自参与到穿行测试中。在寻求其他人员对穿行测试进行帮助前,外部审计人员需要明确哪些穿行测试是重要的,必须亲自执行,这一点非常重要。
(7)为较小的公司量身定制审计。PCAOB AS5允许外部审计师根据公司的规模和复杂性以及它的营运单元来量身定制其审计程序。
PCAOB AS5代表了管制者对那些不得不遵循S0X404条款地公司提出的问题的合理回应。外部审计人员应该意识到这些变化,并要有意识地探讨如何从资源和应用于财务报表和内部控制审计的方法方面来应对这些变化。
国内内部控制审计方面的主要规范及简要分析
在我国,1996年中国注册会计师协会发布的《独立审计具体准则第9号——内部控制与审计风险》就是为了规范注册会计师在会计报表审计中研究与评价被审计单位的内部控制,评估审计风险,提高审计效率,保证执业质量,根据《独立审计基本准则》制定的。该准则的出台,主要目的更多着眼于审计是通过了解评价被审计单位的内部控制来合理分配审计资源,实现审计效率的提高和审计成本的节约,对管理层建立健全内部控制的责任较少涉及。
2003年4月中国内部审计协会发布的《内部审计具体准则第5 号——内部控制审计》是为了规范内部审计人员进行内部控制审计而制定和发布的。2005年中国内部审计协会发布的《内部审计具体准则第16号——风险管理审计》是为了规范内部审计人员进行风险管理审计而制定和发布的。
2004年2月审计署发布实施的《审计机关内部控制测评准则》,就是为了规范审计人员在审计过程中对被审计单位内部控制的测评行为,保证审计工作质量,根据《中华人民共和国国家审计基本准则》制定的。
2006年2月财政部发布《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》第四章为控制测试,为注册会计师进行控制测试而规范了控制测试的内涵和要求、控制测试的性质、控制测试的时间等内容。2006年2月财政部发布《中国注册会计师审计准则第1211号--了解被审计单位及其环境并评估重大错报风险》第四章重点规范了有关内部控制的内容,是为规范注册会计师进行审计而制定和发布的。
2007年12月6日国资委关于印发《中央企业财务内部控制评价工作指引(2007年度试行)》的通知评价函〔2007〕293号,为规范开展国资委所出资中央企业财务内部控制评价工作,客观反映企业财务内部控制工作的实际状况,促进企业有效执行国家有关法律法规和企业内部规章制度,不断完善财务内部控制机制,堵塞管理漏洞,保证生产经营活动的正常有序进行,特制定本工作指引。企业财务内部控制评价是指通过独立的调查、测试、分析企业在一定经营期间内所采取的各项财务内部控制政策、程序、措施,评价企业财务内部控制体系的建设、实施情况以及运行的有效程度。企业财务内部控制评价工作目的是促进企业内部建立健全运作规范化、管理科学化、监控制度化的财务内部控制体系。
中国保险监督管理委员会制定的《寿险公司内部控制评价办法(试行)》具有一定的操作性,已经在寿险公司被广泛执行。
值得注意的是,为加强对国务院国有资产监督管理委员会履行出资人职责企业的监督管理,规范和加强企业内部控制的建设,督促企业进一步完善内部控制,健全内部控制机制,保证国有资产安全稳健运行,根据《企业国有资产监督管理暂行条例》等国家相关法律法规,国资委一直在研究并想出台中央企业内部控制评价暂行办法。
中国内部审计协会的《内部控制审计指南》已经研究制定了三年之久,计划年底出台。
财政部还发了个企业内部控制评价指引(征求意见稿)。
就我国已经制定的内部控制审计方面的规范简要分析如下:
(一)总体结构
《审计机关内部控制测评准则》未采用分章结构。《中国注册会计师审计准则第1211号--了解被审计单位及其环境并评估重大错报风险》第四章重点规范了有关内部控制的内容。中国内部审计协会制定的《内部审计具体准则第 5 号——内部控制审计》共分五章二十三条。中国保险监督管理委员会的《寿险公司内部控制评价办法(试行)》共分七章五十六条。
(二)内部控制定义
《审计机关内部控制测评准则》认为内部控制,是指被审计单位为了维护资产的安全、完整,确保会计信息的真实、可靠,保证其管理或者经营活动的经济性、效率性和效果性并遵守有关法规,而制定和实施相关政策、程序和措施的过程。《中国注册会计师审计准则第1211号--了解被审计单位及其环境并评估重大错报风险》认为内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。《内部审计具体准则第5 号——内部控制审计》称内部控制是指组织内部为实现经营目标,保护资产完整,保证对国家法律法规的遵循,提高组织运营的效率及效果,而采取的各种政策和程序。
(三)内部控制要素
《审计机关内部控制测评准则》认为内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五个要素组成。《中国注册会计师审计准则第1211号--了解被审计单位及其环境并评估重大错报风险》认为内部控制包括下列要素:控制环境;风险评估过程;信息系统与沟通;控制活动;对控制的监督。《内部审计具体准则第5 号——内部控制审计》规定:内部控制包括控制环境、风险管理、控制活动、信息与沟通、监督等五个要素。
(四)内部控制测评定义
《审计机关内部控制测评准则》认为内部控制测评是指审计人员通过调查了解被审计单位内部控制的设置和运行情况,并进行相关测试,对内部控制的健全性、合理性和有效性作出评价,以确定是否依赖内部控制,并确定实质性测试的性质、范围、时间和重点的活动。《寿险公司内部控制评价办法(试行)》认为寿险公司内部控制是由寿险公司的董事会、经理层和全体员工共同建立并实施的,为实现公司经营管理目标、保证财务报告真实可靠、确保公司依法合规经营而提供合理保证的过程和机制。寿险公司内部控制评价是指对寿险公司内部控制体系建设和实施开展的调查、测试、分析和评估等系统性活动。
(五)内部控制评价范围及内容
《寿险公司内部控制评价办法(试行)》认为寿险公司内部控制评价包括寿险公司开展的自我评估和监管部门组织实施的独立评价。《寿险公司内部控制评价办法(试行)》认为寿险公司内部控制评价应从健全性、合理性和有效性三个方面进行。《寿险公司内部控制评价办法(试行)》认为寿险公司内部控制评价从控制环境、风险识别与评估、控制活动、信息与沟通、监督五个方面进行。
(四)内部控制测评步骤
《审计机关内部控制测评准则》认为内部控制测评的步骤:对内部控制进行调查了解;对内部控制进行初步评价,评估控制风险;对内部控制的执行情况进行符合性测试;提出内部控制测评结果,并利用测评结果,确定实质性测试的范围、重点和方法。《寿险公司内部控制评价办法(试行)》认为监管部门对寿险公司内部控制的评价包括评价准备、评价实施、评价反馈和评价报告形成四个阶段。寿险公司内部控制自我评估参照执行。
(五)符合性测试
《审计机关内部控制测评准则》认为审计人员对内部控制进行符合性测试,可以通过检查文件资料、询问、现场观察、重做某项业务等方法来测试内部控制制度是否得到有效执行。测试的方式主要有以下两种:按照业务处理过程检查业务处理程序中的各项内部控制规定是否得到执行;选择有关经济业务,对业务处理程序中的关键控制点进行测试,检查其是否真正发挥作用。《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》认为控制测试与了解内部控制的目的不同,但两者采用审计程序的类型通常相同,包括询问、观察、检查和穿行测试。此外,控制测试的程序还包括重新执行。
(六)内部控制审计的报告
《内部审计具体准则第5 号——内部控制审计》规定:内部审计人员应向组织的适当管理层报告内部控制的审计结果。审计报告应说明审查和评价内部控制的目的、范围、审计结论、审计决定及对完善内部控制的建议;并应当包括被审计单位的反馈意见。
