cpa审计是提功升内控有效性的制度安排(二).docVIP

CPA审计是提升内控有效性的制度安排（二） 　 中国会计报 　　无论是企业内控自评，还是注册会计师内控审计，都需要对企业层面控制和业务层面控制进行测试。一般认为，与内部控制诸要素中的基本制度安排直接相关，对企业整体内控目标的实现具有重大影响的控制属于企业层面控制；与控制活动（控制政策和程序）在具体业务和事项中的运用直接相关，对企业某一或某些方面的内控目标具有重要影响的控制属于业务层面控制。由此可以推论，企业层面控制决定业务层面控制，业务层面控制反作用于企业层面控制。 　　因此，在实施企业层面控制测试和业务层面控制测试中，应当坚持自上而下、上下结合的测试方法。所谓自上而下，是指测试控制应当从企业层面控制入手，通过评估、预判企业层面控制，增强业务层面控制测试的科学性、针对性和实效性。同时应当注意，强调自上而下进行测试，并不意味着企业层面和业务层面的测试工作是孤立进行、截然分开的，在注册会计师审计实践中，往往将企业层面控制测试和业务层面控制测试结合进行，以企业层面控制弱点锁定业务层面控制重点，以业务层面控制效果反证企业层面控制设计。 　　需要注意的是，在测试业务层面控制时，一定要把握关键控制和一般控制。当一项控制可以涵盖多个可能出错事项，或者一个可能出错事项只有某项控制能够涵盖时，该项控制应当被认定为关键控制，除此之外，则被认定为一般控制。经验数据表明，在所有业务层面控制中，关键控制一般占到20％左右。下图为认定关键控制提供了一种可供参考的方法。 　　（六）重大缺陷披露与其他缺陷沟通的关系。 　　内部控制缺陷按其影响程度分为重大缺陷（实质性漏洞）、重要缺陷和一般缺陷。重大缺陷既可能源于设计缺陷和运行缺陷，又可能源于错弊事项性质和金额的严重程度。《企业内部控制审计指引》规定，当注册会计师发现企业董事、监事和高级管理人员舞弊，或者注册会计师发现当期财务报表存在重大错报，而企业内部控制在运行过程中未能发现该错报，或者企业更正已经公布的财务报表，或者企业审计委员会和内部审计机构对内部控制的监督无效，应当认定企业财务报告内控存在重大缺陷，对企业财务报告内控有效性发表否定意见，并通过内控审计报告予以披露。对于其他控制缺陷，包括重要缺陷和一般缺陷，应当区别情况与企业沟通。一般地，对于重要缺陷，应当以书面形式与企业董事会和经理层沟通；对于一般缺陷，应当以书面形式与企业有关职能部门沟通。 　　从美国上市公司近年来披露的财务报告内控缺陷尤其是重大缺陷来看，在信息技术、收入确认、付款或有关费用的控制方面存在的薄弱环节较为显著（见下图）。这也提示我国注册会计师在实施企业内控审计时，应当着力把握易于出现错弊的关键领域和重要环节，切实揭示出企业财务报告内控重大缺陷。 　　三、进一步深化企业内控注册会计师审计应当研究解决的几个重要问题 　　《企业内部控制审计指引》的发布，为实施企业内控审计提供了执业准则和操作指南；同时，随着企业内控审计的不断深入，也势必反映出这样那样的各种具体问题。在当前和今后一段时间，应当着力研究解决以下几个重要问题。 　　（一）非财务报告内控测试的范围界定和方法技术问题。 　　关于非财务报告内控测试的范围。相对而言，财务报告内控测试范围较为明确，而非财务报告内控测试范围有一定弹性。鉴于注册会计师审计的职业特性、胜任能力和审计成本的客观限制，要求注册会计师事无巨细地关注非财务报告内控的方方面面是不现实的。因此，我们倾向于紧密围绕内控目标，建立一套非财务报告内控测试的核心指标体系，这一核心指标体系应涵盖企业层面控制和业务层面控制的关键控制点，其中：对内部环境的测试聚焦于组织架构、人力资源政策、企业文化、社会责任和发展战略等方面，特别是董事会、监事会建设和审计委员会监督职能的发挥情况；对风险评估的测试聚焦于风险识别、分析、应对的基本制度安排和基础方法应用；对控制活动的测试聚焦于控制政策和程序在企业重大经营业务和事项中的运用情况；对信息与沟通的测试聚焦于信息收集、处理、应对机制和对内对外沟通制度的完善，以及信息系统开发、建设和运行状况；对内部监督的测试聚焦于日常监督和持续性监控的落实情况，特别是企业内控自评工作的开展成效以及内控缺陷的整改情况。 　　关于非财务报告内控测试的方法。总体而言，应与财务报告内控测试方法基本相同或相近，比如需要综合运用询问适当人员、观察经营活动、检查相关文件、执行穿行测试等方法，但非财务报告内控测试又往往因测试内容的复杂性和难以量化性具有其独特之处。下面以对企业文化的面询为例，为注册会计师提供一个测试、审视企业文化的新视角。 　　企业