時至今日，內部控制審計越來越成為審計工作的重要領域，但是真的當問起：內部控制審計具體是做什么的時候。不少小伙伴卻模棱兩可，難以說清。

今天，給大家分享一堆干貨，關于內控審計中的6個主要關系，以幫助大家更好的理解和做好內部控制審計。

01

企業(yè)內控責任與注冊會計師審計責任的關系

兩者之間的關系和會計責任與審計責任的區(qū)分保持一致，即：建立健全和有效實施內部控制是企業(yè)董事會（或類似決策機構，下同）的責任；在實施審計工作的基礎上對企業(yè)內部控制的有效性發(fā)表審計意見，是注冊會計師的責任。

換言之，內控本身有效與否是企業(yè)的內控責任，是否遵循內控審計指引開展內控審計并發(fā)表恰當?shù)膶徲嬕庖娛亲詴嫀煹膶徲嬝熑巍?/span>

因此，注冊會計師在實施內控審計之前，應當在業(yè)務約定書中明確雙方的責任；在發(fā)表內控審計意見之前，應當取得經企業(yè)簽署的內控書面聲明。

02

企業(yè)內控責任與注冊會計師審計責任的關系

第一，企業(yè)內控自我評價與注冊會計師內控審計是相互獨立、并行不悖的。

企業(yè)內控責任與注冊會計師內控審計責任的劃分，決定了企業(yè)實施內控自評和注冊會計師實施內控審計必須按照不同的規(guī)則獨立完成，兩者之間不能相互替代和免除。

第二，注冊會計師在實施內控審計中可以適當利用企業(yè)內控自評工作。

一般而言，企業(yè)內控自評工作應先于注冊會計師內控審計進行，因此，適當利用企業(yè)內控自評工作及其成果，可以相應減少注冊會計師的工作量，提高內控審計效率。

但是，注冊會計師的內控審計責任，不能因為利用了企業(yè)內控自評工作而減輕，這就要求注冊會計師在利用企業(yè)內控自評工作時，必須毫不放松風險意識，特別要在評估企業(yè)內控自評人員客觀性和勝任能力等方面保持應有的職業(yè)謹慎態(tài)度。

下圖揭示了注冊會計師利用企業(yè)內控自評工作應當把握的方法和尺度。

第三，在各負其責的基礎上加強雙方的溝通協(xié)調，是做好企業(yè)內控自評和注冊會計師內控審計不容忽視的重要方法。

一方面，就注冊會計師及其所在的會計師事務所而言，一是要注重樹立整體研判觀念，善于在宏觀層面把握大局、把握實質；

二是要著重關注合規(guī)目標、報告目標和資產安全目標，適當兼顧效率效果目標和戰(zhàn)略目標；

三是要配備經驗豐富、結構合理的內控審計項目負責人和審計或內控人員；

四是要注意項目具體執(zhí)行人員與調查訪談對象身份、權責的大體協(xié)調；

五是要加強內控審計業(yè)務培訓和經驗交流；

六是要重視以前年度審計情況總結分析；

七是要建立與同行的經驗共享、技術合作機制；

八是要加強信息技術等非財會、審計人才的引進和培養(yǎng)。

另一方面，就企業(yè)管理層而言，一是要自覺強化可持續(xù)發(fā)展理念和借力“會診”意識，主動配合支持注冊會計師的審計工作；

二是要建立并理順與注冊會計師的溝通協(xié)調機制，在審前、審中和審后保持坦誠、深入的溝通；

三是要針對注冊會計師的疑慮，提出有說服力的證據；

四是要在第一時間整改注冊會計師識別的控制缺陷，為獲得更為正面的審計意見贏得主動。

03

財務報告內控和非財務報告內控的關系

第一，財務報告內控與非財務報告內控是一個相對概念，恰如會計控制與管理控制的界定一樣。

一般而言，與財務報告真實性、可靠性、完整性直接相關的控制稱為財務報告內控，比如，根據企業(yè)會計準則的要求對經濟交易或事項進行會計確認、計量、記錄和報告的相關控制屬于財務報告內控，除此之外的控制可以歸類為非財務報告內控。

第二，注冊會計師應當對財務報告內部控制的有效性發(fā)表審計意見，并對內部控制審計過程中注意到的非財務報告內部控制的重大缺陷，在內部控制審計報告中增加“非財務報告內部控制重大缺陷描述段”予以描述。

必須強調，這一規(guī)定是實事求是的，既充分考慮了注冊會計師的專業(yè)特長和職業(yè)風險，將注冊會計師的審計重心定位在財務報告內控領域，同時又大膽破除了單純財務報告內控觀念的束縛，促使注冊會計師的內控審計范圍與企業(yè)管理層的內控自評范圍總體上趨于一致，增強了內控審計報告與自評報告的協(xié)調。

04

內控審計和財務報表審計的關系

《企業(yè)內部控制審計指引》規(guī)定，注冊會計師可以將內部控制審計與財務報表審計整合進行（即整合審計），也可以單獨進行內部控制審計。

盡管從法規(guī)的角度為如何進行內控審計和財務報表審計提供了選擇，但從企業(yè)更“經濟”地委托審計分析，我們倡導內控審計和財務報表審計整合進行。

事實上，審計準則所要求的風險導向審計與內控規(guī)范體系所要求的風險評估，在理念和方法上是趨于一致的，因此整合審計具有較好基礎。

整合審計的目的，就是在內控審計中獲取充分、適當?shù)淖C據，支持注冊會計師在財務報表審計中對內部控制的風險評估結果；同時，在財務報表審計中獲取充分、適當?shù)淖C據，支持注冊會計師在內控審計中對內部控制的有效性發(fā)表意見。

整合審計的互動關系見下圖。

從美國公共會計公司（會計師事務所）整合進行財務報表審計和財務報告內控審計（404審計）的通常做法看，內控審計團隊一般先于財務報表審計團隊1－2個月的時間進入被審企業(yè)，在對財務報告內控有效性作出總體評估的基礎上，對實施財務報表審計的性質、時間和范圍作出適當調整和完善，之后，通過對財務報表的實質性分析復核，再來驗證財務報告內控的有效性。

由此可見，所謂整合審計，實際上是整合協(xié)調審計時間、整合協(xié)調審計方法、整合協(xié)調審計意見，這是值得我國會計師事務所研究借鑒的。

05

企業(yè)層面控制測試與業(yè)務層面控制測試的關系

無論是企業(yè)內控自評，還是注冊會計師內控審計，都需要對企業(yè)層面控制和業(yè)務層面控制進行測試。

一般認為，與內部控制諸要素中的基本制度安排直接相關，對企業(yè)整體內控目標的實現(xiàn)具有重大影響的控制屬于企業(yè)層面控制；與控制活動（控制政策和程序）在具體業(yè)務和事項中的運用直接相關，對企業(yè)某一或某些方面的內控目標具有重要影響的控制屬于業(yè)務層面控制。由此可以推論，企業(yè)層面控制決定業(yè)務層面控制，業(yè)務層面控制反作用于企業(yè)層面控制。

因此，在實施企業(yè)層面控制測試和業(yè)務層面控制測試中，應當堅持自上而下、上下結合的測試方法。

所謂自上而下，是指測試控制應當從企業(yè)層面控制入手，通過評估、預判企業(yè)層面控制，增強業(yè)務層面控制測試的科學性、針對性和實效性。同時應當注意，強調自上而下進行測試，并不意味著企業(yè)層面和業(yè)務層面的測試工作是孤立進行、截然分開的，在注冊會計師審計實踐中，往往將企業(yè)層面控制測試和業(yè)務層面控制測試結合進行，以企業(yè)層面控制弱點鎖定業(yè)務層面控制重點，以業(yè)務層面控制效果反證企業(yè)層面控制設計。

需要注意的是，在測試業(yè)務層面控制時，一定要把握關鍵控制和一般控制。當一項控制可以涵蓋多個可能出錯事項，或者一個可能出錯事項只有某項控制能夠涵蓋時，該項控制應當被認定為關鍵控制，除此之外，則被認定為一般控制。

經驗數(shù)據表明，在所有業(yè)務層面控制中，關鍵控制一般占到20％左右。下圖為認定關鍵控制提供了一種可供參考的方法。

上圖中，控制1可以涵蓋可能出錯事項1、2、3和5，即一項控制可以涵蓋多個可能出錯事項，因此控制1可被認定為關鍵控制；而對于可能出錯事項4，只有控制2能夠涵蓋，即一個可能出錯事項只有一項控制能夠涵蓋，因此控制2可被認定為關鍵控制。由此分析得出，控制3、4和5應為一般控制。

06

重大缺陷披露與其他缺陷溝通的關系

內部控制缺陷按其影響程度分為重大缺陷（實質性漏洞）、重要缺陷和一般缺陷。

重大缺陷既可能源于設計缺陷和運行缺陷，又可能源于錯弊事項性質和金額的嚴重程度。

當注冊會計師發(fā)現(xiàn)企業(yè)董事、監(jiān)事和高級管理人員舞弊，或者注冊會計師發(fā)現(xiàn)當期財務報表存在重大錯報，而企業(yè)內部控制在運行過程中未能發(fā)現(xiàn)該錯報，或者企業(yè)更正已經公布的財務報表，或者企業(yè)審計委員會和內部審計機構對內部控制的監(jiān)督無效，應當認定企業(yè)財務報告內控存在重大缺陷，對企業(yè)財務報告內控有效性發(fā)表否定意見，并通過內控審計報告予以披露。

對于其他控制缺陷，包括重要缺陷和一般缺陷，應當區(qū)別情況與企業(yè)溝通。

一般地，對于重要缺陷，應當以書面形式與企業(yè)董事會和經理層溝通；對于一般缺陷，應當以書面形式與企業(yè)有關職能部門溝通。

從美國上市公司近年來披露的財務報告內控缺陷尤其是重大缺陷來看，在信息技術、收入確認、付款或有關費用的控制方面存在的薄弱環(huán)節(jié)較為顯著（見下圖）。

這也提示我國注冊會計師在實施企業(yè)內控審計時，應當著力把握易于出現(xiàn)錯弊的關鍵領域和重要環(huán)節(jié)，切實揭示出企業(yè)財務報告內控重大缺陷。

本文來源：中國會計報 CIA內審師小站整理編輯，版權歸原作者所有，（轉載，請注明以上信息）本號轉載僅用于交流與學習，如有侵權請聯(lián)系后臺刪除