企业内部控制审计常见问题

　　六、如何理解内部控制审计与企业内部控制自我评价之间的关系，如两者的测试范围是否需要一致?注册会计师需要对企业内部控制自我评价执行什么工作?

　　答：根据《企业内部控制基本规范》的规定，企业应当对内部控制的有效性进行自我评价，出具自我评价报告，并聘请会计师事务所对内部控制的有效性进行审计。同时，根据《企业内部控制审计指引实施意见》的规定，被审计单位认可并理解其责任，其中包括对内部控制的有效性进行评价并编制内部控制评价报告的责任，也是注册会计师接受或保持内部控制审计业务的.前提之一。

　　内部控制审计与内部控制自我评价之间的关系可以概括为“各自独立、单方面利用”。也就是说，两者之间是相互独立的。内部控制审计可以根据《企业内部控制审计指引实施意见》“利用他人的工作”部分的具体要求，考虑利用内部控制自我评价的工作(企业层面内部控制除外)。同时，根据《企业内部控制审计指引》的规定，注册会计师完成审计工作后，应当取得经企业签署的书面声明，声明企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础。

　　内部控制审计与内部控制自我评价是相互独立的，两者测试工作的具体内容可能不同。企业应当根据《企业内部控制评价指引》的规定对自身的内部控制进行测试、评价并编制自我评价报告。在执行内部控制审计时，注册会计师所选取测试的组成部分、控制活动和测试方法，可能与企业在进行自我评价时选取纳入测试范围的组成部分、控制活动和测试方法不同。注册会计师应当根据《企业内部控制审计指引》和《企业内部控制审计指引实施意见》的要求，运用职业判断，选取拟测试的组成部分和控制活动，并确定测试方法，无须受企业在自我评价中确定的测试工作的限制。

　　根据《企业内部控制审计指引》的规定，注册会计师是对财务报告内部控制的有效性直接发表审计意见，并非是对企业内部控制评价报告发表审计意见。在内部控制审计中，注册会计师对企业内部控制自我评价开展的工作主要包括：

　　1.注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能本应由注册会计师执行的工作。对此，在实务中，注册会计师可以在每个年度的较早时期与管理层就内部控制自我评价工作(包括自我评价的工作范围、工作方法、样本选取方法及样本规模等)进行沟通，并获取必要的管理层自我评价文档。如果管理层就内部控制评价工作定期召开会议，注册会计师可以要求参加会议以及时了解内部控制自我评价工作的实际进展以及前期遇到的问题。上述步骤及获取的文档有助于注册会计师确定其内部控制审计的时间安排，以及在多大程度上可以利用被审计单位的评价工作。

　　2.注册会计师应当识别、了解和测试对内部控制有效性具有重要影响的企业层面控制。企业内部控制自我评价是企业层面控制的重要组成部分，与控制环境、对控制的监督这两项要素相关，注册会计师应将其包括在企业层面控制的范围进行考虑。

　　3.在形成审计意见时，注册会计师应当查阅从各种来源获取的审计证据，包括企业本年度涉及内部控制的内部审计报告或类似报告，并评价这些报告中指出的控制缺陷。

　　4.考虑企业内部控制评价报告的影响。注册会计师还需要按照《企业内部控制审计指引实施意见》的相关要求，考虑企业内部控制评价报告对注册会计师内部控制审计报告的可能影响，包括评价企业内部控制评价报告对相关法律法规规定要素的列报是否完整和恰当;如果内部控制存在重大缺陷，企业是否已经在内部控制评价报告中对其进行了公允反映等。

　　七、如果集团企业有部分子公司尚未按照企业内部控制规范体系的标准建立健全其内部控制，注册会计师应当如何考虑其对内部控制审计的影响?

　　答：《企业内部控制基本规范》第四条指出，企业建立与实施内部控制，应当遵循全面性原则等五项原则。其中，全面性原则要求企业的内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。因此，对于按照相关法律法规的规定应当实施企业内部控制规范体系(包括《企业内部控制基本规范》和《企业内部控制配套指引》)的企业，原则上应当在其所有子公司按照企业内部控制规范体系的标准建立健全内部控制。

　　企业在按照企业内部控制规范体系的标准建立健全内部控制时，可能由于各种原因未能覆盖所有子公司。注册会计师应当评估其对内部控制审计的影响，在实施风险评估、控制测试及缺陷评价中充分考14虑这一情况的影响，并据此得出审计结论和出具审计报告。在此过程中，注册会计师需要考虑的因素可能包括：

　　1.尚未按照企业内部控制规范体系的标准建立健全内部控制的子公司的财务信息在集团财务报表整体中的重要程度，例如，是否是重要组成部分，是否存在对集团财务报表有重大影响的重要账户、列报及其相关认定;

　　2.企业的董事会及管理层是否以及如何采取措施，以确保相关子公司在尚未按照企业内部控制规范体系的标准建立健全内部控制体系时，仍能保持有效的财务报告内部控制;

　　3.未按照企业内部控制规范体系的标准建立健全内部控制的子公司是否存在其他替代性的内部控制制度和程序，虽然不完全符合内部控制规范体系的要求，仍能够有效防止、发现并纠正影响集团财务报表的重大错报;

　　4.在以前年度及当年度审计中，是否发现这些尚未按照企业内部控制规范体系的标准建立健全内部控制的子公司存在内部控制重大缺陷或财务报表重大错报。

　　注册会计师应当结合内部控制审计中发现的问题，向企业的治理层和管理层沟通，提请其尽快全面贯彻实施企业内部控制规范体系的要求。

　　如果法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制评价范围，注册会计师可以不将这些实体纳入内部控制审计　的范围。这种情况不构成审计范围受到限制，但注册会计师应当在内部控制审计报告中增加强调事项段或者在注册会计师的责任段中，就这些实体未被纳入评价范围和内部控制审计范围这一情况，作出与被审计单位类似的恰当陈述。1注册会计师应当评价相关豁免是否符合法律法规的规定，以及被审计单位有关该项豁免的陈述是否恰当。如果认为被审计单位有关该项豁免的陈述不恰当，注册会计师应当提请其作出适当修改。如果被审计单位未作出适当修改，注册会计师应当在内部控制审计报告的强调事项段中说明被审计单位的陈述需要修改的理由。

　　八、在开展整合审计时，会计师事务所如何组建项目组?

　　答：当财务报表审计延伸成为整合审计后，审计的范围和复杂程度大大增加，需要注册会计师作出很多新的职业判断，这些判断包括集团审计中确定组成部分内部控制审计的范围、利用他人工作的程度、设计控制测试以实现整合审计的双重目标、财务报表审计中发现的问题对内部控制审计的影响、评价控制缺陷的严重程度等。

　　会计师事务所在开展整合审计时，需要统筹考虑，挑选具有胜任能力的人员组成项目组。在组建项目组时，需要考虑下列事项：

　　1.委派掌握内部控制审计知识和方法的审计人员，如有可能，考虑配备有内部控制审计经验的审计人员;

　　2.必要时配备专家，如信息系统等方面的专家。这些专家在审计项目的前期就要参与审计工作，从而判断在审计过程中哪些领域需要更深参与才能对相关内部控制的设计和运行有效性获取充分、适当的审计证据。

　　项目合伙人及其他有经验的项目组成员需要参与整合审计计划的制定，以便及时作出上述职业判断，避免项目组中经验较少的成员作出不恰当的决定从而影响审计效果和效率。特别是在首次执行整合审计时，项目合伙人、项目经理以及参与审计项目的有关专家往往需要付出更多时间。项目合伙人要做出恰当安排，确保在执行审计的过程中及时指导并复核审计工作，充分考虑财务报表审计和内部控制审计的互相参照与整合。另外，会计师事务所应当按照《企业内部控制审计指引实施意见》的规定，考虑是否委派适当的项目质量控制复核人员，以客观评价项目组作出的重大判断以及在编制内部控制审计报告时得出的结论。

　　在整合审计中，财务报表审计和内部控制审计原则上应由同一个项目组执行。如果项目组又被划分为承担不同具体工作的团队，则需要考虑团队间的沟通和协调配合，不同的团队需要站在“整合”的角度来制定审计策略、评估测试结果，一方面减少重复工作，另一方面兼顾两类审计的要求，保证内部控制审计和财务报表审计的审计证据和结论可以相互参照，避免审计判断出现不一致的情况。