人力资源,是指由企业董事、监事、高级管理人员和全体员工组成的整体团队的总称。人力资源是影响企业内部环境的关键因素,它所包括的雇佣、培训、评价、考核、晋升、奖惩等业务向员工传达着有关诚信、道德行为和胜任能力的期望水平方面的信息,这些业务都与企业员工密切相关,而员工正是企业中执行内部控制的主体。
一个良好的人力资源,能够有效地促进内部控制在企业中的顺利实施,并保证其实施的质量。企业应当制定和实施有利于企业可持续发展的人力资源政策。
随着知识经济时代的到来,人力资本在经济发展中的作用越来越突出,企业人力资源管理也面临新的挑战和风险。企业至少应当关注人力资源管理的下列风险:
(1)人力资源缺乏、结构不合理,可能导致企业发展战略难以实现。如:人力资源需求计划不合理,岗位职责安排不科学,可能会导致企业无法获得经营管理所需员工。
(2)人力资源激励约束制度不合理、优胜劣汰机制不完善,可能导致关键人才流失或经营效率低下。
企业在建立与实施人力资源政策内部控制中,应当至少强化对下列关键方面或者关键环节的控制,以有效的防范上述风险:
(1)岗位职责和任职要求应当明确规范,人力资源需求计划应当科学合理;
(2)招聘及离职程序应当规范,人员聘用应当引入竞争机制,培训工作应当能够提高员工道德素养和专业胜任能力;
(3)人力资源考核制度应当科学合理,应当能够引导员工实现企业目标;
(4)薪酬制度应当能保持和吸引优秀人才,并符合国家有关法律法规的要求,薪酬发放标准和程序应当规范。
衍生工具,是指具有下列特征的金融工具或其他合同协议:其价值随特定利率、金融工具价格、商品价格、汇率、价格指数、费率指数、信用等级、信用指数或其他类似变量的变动而变动,变量为非金融变量的,该变量与合同协议的任何一方不存在特定关系;不要求初始净投资,或与市场情况变化有类似反应的其他类型合同协议相比,要求很少的初始净投资;在未来某一日期结算。金融工具,是指形成一个企业的金融资产,并形成其他单位的金融负债或权益工具的合同协议。
衍生工具包括:远期合同、期货合同、互换和期权,以及具有远期合同、期货合同、互换和期权中一种或一种以上特征的工具。嵌入衍生工具,是指嵌入到非衍生工具(即主合同)中,使混合工具的全部或部分现金流量随特定利率、金融工具价格、商品价格、汇率、价格指数、费率指数、信用等级、信用指数或其他类似变量的变动而变动的衍生工具。嵌入衍生工具与主合同构成混合工具,如可转换公司债券等。
《企业会计准则第22号——金融工具确认和计量》中金融工具,是指形成一个企业的金融资产,并形成其他单位的金融负债或权益工具的合同。衍生工具,是指准则涉及的、具有下列特征的金融工具或其他合同:其价值随特定利率、金融工具价格、商品价格、汇率、价格指数、费率指数、信用等级、信用指数或其他类似变量的变动而变动,变量为非金融变量的,该变量与合同在任何一方不存在特定关系;不要求初始净投资,或与对市场情况变化有类似反应的其他类型合同相比,要求很少的初始净投资;在未来某一日期结算。
《企业会计准则第37号——金融工具列报》规定企业应当披露与各类金融工具风险相关的描述性信息和数量信息,企业应当披露与每类金融工具信用风险有关的下列信息:在不考虑可利用的担保物或其他信用增级(如不符合相互抵销条件的净额结算协议等)的情况下,最能代表企业资产负债表日最大信用风险敞口的金额,以及可利用担保物或其他信用增级的信息;尚未逾期和发生减值的金融资产的信用质量信息;原已逾期或发生减值但相关合同条款已重新商定过的金融资产的账面价值。
从企业会计准则对衍生金融工具的定义可以看出,衍生金融工具的特点有:①衍生性:衍生金融工具一般以一个或几个基本金融工具作为标的。②契约性和未来性:衍生金融工具是面向未来的代表权利义务关系的合约。③杠杆性:衍生金融工具的初始净投资很少(甚至为零),经常采用保证金交易的方式,结算时一般采用净值交割。④风险转移性:衍生品交易能够将风险在交易者之间进行转移。⑤创新性:衍生金融工具处于不断地发展创新之中。
衍生金融工具的这些基本特点导致了衍生金融工具还具有如下特性:①衍生性和杠杆性决定了衍生金融工具的价格波动大,不确定性大,风险性高。②风险转移性决定了衍生金融工具的套期保值和投机套利共存。③创新性决定了衍生金融工具会不断地更新,相应的规章制度(尤其是相应的会计准则)往往不能及时更新,因而对衍生工具难以监管。企业在衍生品的内部控制方面应当找到一套适合企业自身特色的方法,以达到内部控制的目的。
对金融资产或金融负债的初始确认按照公允价值计量,这就需要管理人员对所进行的衍生金融业务具备一定的知识和对风险有一定的认识。如果管理人员缺乏责任和风险意识,那么很有可能会给业务人员提供利润操作的空间,将企业置于面临灾难性后果的风险之中。同时,会计职业判断将会出现因会计人员本身专业知识、技能和经验的不同,对同一会计事项进行职业判断的结果不尽相同的现象,从而增加了会计信息的变数。这也给衍生金融工具的内部控制造成一定压力。
企业至少应当关注涉及衍生工具业务的下列风险:衍生工具交易未经适当审核或超越授权审批,可能因重大差错、舞弊、欺诈而导致损失;衍生工具保证金及清算资金的收支未按照规定程序进行,导致企业资金损失;衍生工具交易未按照规定建立持仓预警报告和交易止损机制,导致敞口风险增加甚至发生损失;衍生工具交易未能准确、及时、有序地记录和传递交易指令,导致丧失交易机会或发生交易损失;衍生工具交易过程中的资金收支核算和套期保值盈亏计算错误,导致财务报告信息不真实;衍生工具套期保值业务违反国家法律法规,可能遭受外部处罚、经济损失和信誉损失。
企业内部控制的一个新趋势是实行“控制自我评估”,是指每个企业不定期或定期地对自己的内部控制系统进行评估,评估内部控制的有效性及其实施的效率、效果,以期能更好地达成内部控制的目标。
其基本的特征是:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展评估活动。
“控制自我评估”是为提高组织内部控制的自我意识所做的努力,这种活动经常以研讨会的形式进行。设计的目的是使人们了解哪里存在缺陷以及可能导致的后果,然后让他们自己采取行动改进这种状况,而不是坐等内部审计人员站出来。研究表明,实施“控制自我评估”的方法对于一个企业加强管理、提高劳动生产率、改进内部审计程序和业务经营程序以及控制风险等有着积极的作用。
我国的内部控制规范中也积极的引入了内部控制评价的规定,《企业内部控制基本规范》第46条规定:“企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。”
第一节 框架概述 重要条款解读
一、内部控制评价概述 内部控制评价是指企业董事会(或类似决策机构)或其授权机构,对内部控制设计与运行的有效性进行综合评估的过程。企业应当根据国家有关法律法规和《企业内部控制基本规范》的要求,结合企业实际情况,对战略目标、经营管理效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。
(一)内部控制评价的目标
企业内部控制评价的目标是通过对企业内部控制体系的健全性、合理性和有效性的评价,促使企业切实加强内部控制体系的建设并认真执行,并保证内部控制体系得以持续、有效的改进。
(二)内部控制评价的要求
每个企业的情况不同,设置的内部控制制度有所差异,对于内部控制评价也是一样,应当根据《企业内部控制基本规范》和评价指引的规定,结合企业的实际情况,制定出内部控制评价办法,并明确内部控制评价的原则和内容、程序和方法、以及报告形式等相关内容,确保内部控制评价工作落到实处。企业主要负责人应当对内部控制评价结论的真实性负责。
二、内部控制评价的原则和内容 (一)内部控制评价的原则
企业实施内部控制评价,至少应当遵循全面性、重要性和独立性原则,确保评价工作标准统一、客观公正。
1.全面性,是指评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
2.重要性,是指在全面评价的基础上关注重要高风险领域。
3.独立性,是指评价工作应当与内部控制的设计与运行相互分离。
同时需要考虑遵循下列原则:
1.风险导向原则。
2.一致性原则。内部控制评价应当采用统一、可比的评价方法和标准,保证评价结果的可比性。
3.公允性原则。内部控制评价应当以事实为依据,评价结果应当有适当的证据支持。
4.成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。
(二)内部控制评价的内容
1.内部控制五要素的评价
《企业内部控制基本规范》颁布后,企业内部控制评价有了统一的标准,企业应当针对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价。
(1)内部环境的评价。具体评价重点包括经营活动的复杂程度、管理权限的集中程度、管理行为守则的健全性和有效性、管理层对逾越既定控制程度的态度、组织文化的内容及组织成员对此的理解与认同、法人治理结构的健全性和有效性、组织各阶层人员的知识与技能、组织结构和职责划分的合理性、重要岗位人员的权责相称程度及其胜任能力、员工聘用程序及培训制度、员工业绩考核与激励机制。
(2)风险评估的评价。对企业风险评估的评价,应注意的是风险评估整体目标的制定、作业层级目标的制定、风险分析和对变化的管理等。具体评价的重点是被评价企业对抗风险的能力和风险管理的具体办法及效果。
(3)控制活动的评价。关注对企业的每个作业环节是否都定有适当的政策和程序,现有的已确认的控制活动均被适当执行。
(4)信息与沟通的评价。具体评价的要点:获取财务信息、非财务信息的能力、信息处理的及时性和适当性、信息传递渠道的便捷与畅通、管理信息系统的安全可靠性。
(5)内部监督的评价。对内部监督的评价包括:日常监督评价、专项监督评价和缺陷报告评价。
【例3-1】毕马威(KPMG)在其内控指南中提出,董事会和管理层在对企业内部控制进行年度评价时,至少应该考虑以下所列的这些问题:
1.内部控制评价中应考虑的问题
(1)风险评估
①企业是否有明确的目标,并且已经与员工沟通,给员工在风险评估和控制问题中提供了有效的方向?例如:编制包括业绩指标的预算。
②显著的经营风险、财务风险和其他风险是否已经被认定和评估?认定和评估风险的基准是否是持续适用的?(显著风险可能包括和市场、信用、流动性、技术、法律和声誉等相关的问题)
③管理层和企业中其他员工是否清楚地了解董事会可接受的风险?
(2)控制环境和控制措施
①董事会对已认定的风险是否有应对策略?是否制定了处理风险的政策?
②企业文化、行动守则、人力资源政策和绩效考核系统是否支持企业目标和风险管理以及内部控制系统?
③在企业内部,高级管理人员是否通过行动和政策来展示必要的胜任能力、正直和营造互相信任的氛围?
④权责是否明确?决策和执行的人员是否合适?决策和执行是否很好地协调运作?
⑤企业是否和员工沟通企业对他们的期望,以及自由行动的界限?
⑥企业的员工是否具有支持企业目标和有效管理风险使企业目标实现的知识、技术和工具?
⑦内部控制体系是如何调整以适应新的风险以及如何改正内控缺陷的?
(3)信息和沟通
①董事会和管理层能否及时地接收来自企业内外的关于违反企业目标的信息及其可能带来的风险? 例如:员工的态度和顾客的满意度等信息。
②信息缺乏和相关的信息系统是否被重新评估为目标及其风险的改变或者被重新评估为缺陷?
③周期报告包括半年报和年报的程序是否有效地传达企业的现状和前景?
④是否建立了个人报告内控制度漏洞或其他不合适之处的沟通渠道?
(4)内部监督
①企业是否制定了全面风险管理和内部控制的监督程序?
②这些监督程序是否具有监控企业重新评估风险及有效地调整控制以适应企业目标、业务和内部环境改变的能力?
③是否存在有效的后续程序保证内控体系的改变以适应风险的变化?
④与董事会(或董事会专门委员会)沟通风险和控制事件监控程序的有效性的方式是否合适?应该包括及时地报告任何显著的内控失效和控制弱点。
⑤是否存在内控监督和向董事会报告重大风险的具体安排?这些可能包括违法违规行为或者对公司的声誉和财务状况产生负面影响的行为。
2.内部控制评价中应特别关注的内容
(1)企业内部控制评价应当以内部环境为基础,重点关注:①治理结构是否形同虚设;②发展战略是否可行;③机构设置是否重叠;④权责分配是否明晰;⑤不相容岗位是否分离;⑥人力资源政策和激励约束机制是否科学合理;⑦企业文化是否促进员工勤勉尽责;⑧社会责任是否有效履行等。
(2)企业内部控制评价应当以生产经营活动为重点,至少关注:①资金的筹集、投放和营运过程是否存在资金链断裂;②资产运行中是否存在效能低下或资产流失;③采购与销售环节是否存在舞弊行为;④研发项目是否经过科学论证;⑤工程项目是否存在商业贿赂等。
(3)企业内部控制评价应当兼顾控制手段,至少关注:①全面预算是否具有约束力;②合同履行是否存在纠纷;③信息系统是否与内部控制有机结合;④内部报告是否及时传递和有效沟通等。
三、内部控制评价的程序和方法 (一)内部控制评价的组织机构
企业应当指定内部审计机构或其他机构具体组织实施内部控制评价工作,根据内部控制评价办法制定评价方案,组成评价小组,明确分工和进度安排,采取现场检查等方式开展内部控制评价。
企业可以借助中介机构或外部专家实施内部控制评价,参与企业内部控制评价的中介机构不得同时为同一企业提供内部控制审计服务。
(二)内部控制评价的程序
企业内部控制评价可以按照三个阶段进行,即制定评价方案、实施评价活动、编制评价报告。
1.制定评价方案。评价方案应明确本次评价的目的、范围、准则、时间安排和相应的资源配置。在制定后,应报管理层和董事会审批。
内部控制评价范围的确定应当遵循风险导向、自上而下的原则来确定需要评价的分支机构、重要业务单元、重点业务领域或流程环节。
2.实施评价活动。评价人员应按照审批通过的评价方案实施评价。在评价实施中应就评价人员之间以及评价人员与被评价机构之间的沟通作出正式安排,通过适当的方法收集与评价目的、范围和准则有关的信息,根据评价方案对被评价项目进行测试,对有关数据进行确认和分析,并予以记录。
3.编制评价报告。评价人员对检查出来的各类问题统一进行复核和确认,汇总检查评价结果,根据评价实施情况,编制评价报告,并向有关人员和机构报告。
(三)内部控制评价的方法
企业内部控制评价的方法有多种,主要介绍以下几种常用的方法:
1.个别访谈法。是指企业根据检查评价需要,对被检查单位员工进行单独访谈,以获取有关信息。通过找有关人员谈话,可以调查了解内部控制制度,还可以针对可疑账项或异常情况等向有关人员提出询问。具体的运用流程是:
(1)设计访谈提纲。
(2)恰当进行提问。要想通过访谈获取所需资料,对提问有特殊的要求。在表述上要求简单、清楚、明了、准确,并尽可能地适合受访者;在类型上可以有开放型与封闭型、具体型与抽象型、清晰型与含混型之分;另外适时、适度的追问也十分重要。
(3)准确捕捉信息,及时收集有关资料。访谈法收集资料的主要形式是“倾听”。“倾听”可以在不同的层面上进行:在态度上,访谈者应该是“积极关注的听”,而不应该是“表面的或消极的听”;在情感层面上,访谈者要“有感情的听”和“共情的听”,避免“无感情的听”;在认知层面,要随时将受访者所说的话或信息迅速地纳入自己的认知结构中加以理解和同化,必要时还要与对方进行对话,与对方进行平等的交流,共同建构新的认识和意义。另外“倾听”还需要特别遵循两个原则:不要轻易地打断对方和容忍沉默。
(4)适当地做出回应。访谈者不只是提问和倾听,还需要将自己的态度、意向和想法及时地传递给对方。回应的方式多种多样,可以是诸如“对”、“是吗”、“很好”等言语行为,也可以是点头、微笑等非言语行为,还可以是重复、重组和总结。
(5)及时作好访谈记录,一般还要录音或录像。
2.调查问卷法。是指企业设置问卷调查表,分别对不同层次的员工进行问卷调查,根据调查结果对相关项目做出评价。
【例3-2】销售内部控制调查问卷表
问题回答是否不适用评价评注
一、登记入账的销货确系已发运给真实的顾客
登记入账的销货是否有已经审批的发运单和顾客订单为依据
二、销货业务已经过适当的审批
1.对顾客赊销是否经负责人批准
2.任何商品出厂是否都要求有事先编号的书面发运单
三、现有的销货业务都已登记入账
1.发运单是否由企业采用适当的方式予以控制,以保证所有发货都已开票收款
2.发运单是否均预先编号并登记入账
3.销货发票是否均预先编号并登记入账
四、登记入账的销货确系订购的数额,且已正确开票收款
1.销货发票和发运单所列的数量是否核对相符
2.销货发票是否经过单价检查、乘积复核和加总复核
3.是否定期给常年顾客发出对账单
五、销货业务已及时登记入账
登记入账的日期与发运单的日期是否经过比较核对
六、销货业务在明细账中的记录与总账相符,明细账是否加总复核,是否与总账核对相符 |
3.专题讨论会法。是指通过召集与业务流程相关的管理人员就业务流程的特定项目或具体问题进行讨论及评估的一种方法。
4.穿行测试和重新执行法。
穿行测试是指通过抽取一份全过程的文件,来了解整个业务流程执行情况的评估评价方法。
重新执行是指通过对某一控制活动全过程的重新执行来评估控制执行情况的方法。
5.抽样法。是指企业针对具体的内部控制业务流程,按照业务发生频率及固有风险的高低,从确定的抽样总体中抽取一定比例的业务样本,对业务样本的符合性进行判断,进而对业务流程控制运行的有效性做出评价。
6.比较分析法。是指通过分析、比较数据间的关系、趋势或比率来取得评价证据的方法。
常用的计算及比较方法包括下列各类:
(1)绝对额比较。例如,将本期金额(如某账户余额)和预期金额进行简单比较等。
(2)共同比分析,也称垂直分析。是指先计算出某财务报表的各组成要素占有关总额的百分比(例如,现金占总资产的百分比、毛利占销售收入的百分比),再将此比例与预期数比较。
(3)比率分析。是注册会计师和财务分析人员常用的分析方法。此方法要求先计算出各种比率,再将其与预期比率进行比较。对计算出来的比率可单独分析,也可归类(如偿债能力、效率及获利比率等)分析。在分析中常用的财务比率有:
①速动比率
速动比率=(速动资产÷流动负债)×100%
=[(流动资产-存货-待摊费用-1年内到期的非流动资产及其他流动资产)÷流动负债]×100%=[(货币资金+交易性金融资产+应收、预付款项)÷流动负债]×100%
它用以衡量被审计单位用现金和非现金资产对短期债权人所提供的保障程度。这个比率越大,流动性越大,短期偿债能力就越强。
②流动比率
流动比率=(流动资产÷流动负债)×100%
它用以衡量流动负债被流动资产偿还的程度,此比率越高,流动负债可被及时偿还的保证越大。
③资产负债率
资产负债率=(负债÷资产)×100%
它可以衡量企业在清算时保护债权人利益的程度。资产负债率越低,企业偿债越有保证,贷款越安全。资产负债率还代表企业的举债能力。一个企业的资产负债率越低,举债越容易。如果资产负债率高到一定程度,没有人愿意提供贷款了,则表明企业的举债能力已经用尽。
④产权比率
产权比率=(负债总额÷股东权益)×100%
它用以衡量企业负债经营的情况,通常此比率不会超过100%,因为此比率超过100%,债权人将比所有者承担更大的风险。
⑤利息保障倍数
利息保障倍数=息税前利润÷利息费用
=(净利润+利息费用+所得税费用)÷利息费用
它用以衡量企业以盈余支付固定利息的倍数。如果利息保障倍数小于1,表明自身产生的经营收益不能支持现有的债务规模。利息保障倍数等于1也是很危险的,因为息税前利润受经营风险的影响,是不稳定的,而利息的支付却是固定数额。利息保障倍数越大,公司拥有的偿还利息的缓冲资金越多。
⑥应收账款周转率
应收账款周转率是应收账款与销售收入的比率。它有三种表现形式:应收账款周转次数、应收账款周转天数和应收账款与收入的比,具体计算公式如下:
应收账款周转次数=销售收入÷应收账款
应收账款周转天数=365÷(销售收入÷应收账款)
应收账款与收入的比=应收账款÷销售收入
它用以衡量一定期间内应收账款收回的次数,在具体分析时,还要关注销售收入的赊销比例问题,计算上采用赊销额代替销售收入更加恰当。一般的,应收账款的周转天数是越少越好。应收账款是赊销引起的,如果赊销有可能比现金销售更有利,周转天数就不会越少越好,收现时间的长短与企业的信用政策有关。
⑦存货周转率
存货周转率是销售收入与存货的比值,也有三种计算方式,其计算公式如下:
存货周转次数=销售收入(或销售成本)÷存货
存货周转天数=365÷〔销售收入(或销售成本)÷存货〕
存货与收入比=存货÷销售收入
它用以衡量存货周转的速度。在计算存货周转率时,使用“销售收入”还是“销售成本”作为周转额,要看分析的目的。在短期偿债能力分析中,为了评估资产的变现能力需要计量存货转换为现金的数量和时间,应采用“销售收入”。在分解总资产周转率时,为系统分析各项资产的周转情况并识别主要的影响因素,应当使用“销售收入”计算周转率。如果是为了评估存货管理的业绩,应当使用“销售成本”计算存货周转率,使其分子和分母保持口径一致。实际上,两种周转率的差额是毛利引起的,使用哪一个计算都能够达到分析的目的。
⑧销售利润率
销售利润率=(净利润÷销售收入)×100%
它表明1元销售收入与其成本费用之间可以“挤”出来的净利润,该比率越大则企业的盈利能力越强。
⑨总资产报酬率
总资产报酬率=净利润÷总资产×100%
它用以衡量总资产的获利能力。比率越高,表示公司能比较有效地使用资产。
⑩权益净利率
权益净利率=(净利润÷股东权益)×100%
它用以衡量管理层以所有者投资的资本赚取适当报酬的能力。此比率通常必须达到10%,以确保能提供发放股利及公司发展所需的资金。 |
(4)趋势分析。趋势分析是指比较两个以上会计期间的特定数据(绝对值、共同比或比率)以确定难以由本期和前期比较看出的重大变动。
7.标杆法。是指通过与组织内外部相同或相似经营活动的最佳实务进行比较而对控制设计有效性评价的方法。
标杆法是将本企业经营的各方面状况和环节与竞争对手或行业内外一流的企业进行对照分析的过程,是一种评价自身企业和研究其他组织的手段,是将外部企业的持久业绩作为自身企业的内部发展目标并将外界的最佳做法移植到本企业的经营环节中去的一种方法。实施标杆法的公司必须不断对竞争对手或一流企业的产品、服务、经营业绩等进行评价来发现优势和不足。
8.实地查验法。是指企业对财产进行盘点、清查,以及对存货出、入库等控制环节进行现场查验。
(四)内部控制有效性的评价
1.有效性是企业内部控制评价的一个重要方面,但是准确的说是对于内部控制的两个方面有效性的评价,即设计有效性和运行有效性。
内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。
评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报,控制得到执行是指某项控制存在且正在使用。设计不当的控制可能表明内部控制存在重大缺陷。
2.采用信息系统加强内部控制的企业,对信息系统有效性的评价
信息系统控制可以是人工的、自动化的,或是基于自动流程的人工控制。信息系统控制分为两类,即信息技术的一般控制和应用控制。
(1)一般控制是指与多个应用系统有关的政策和程序,有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性),支持应用控制作用的有效发挥,通常不包括数据中心和网络运行控制,系统软件的购置、修改及维护控制,接触或访问权限控制,应用系统的购置、开发及维护控制。例如,程序改变的控制、限制接触程序和数据的控制、与新版应用软件包实施有关的控制等都属于信息技术的一般控制。
应用控制是指主要在业务流程层面运行的人工或自动化程序,与用于生成、记录、处理、报告交易或其他财务数据的程序有关,通常包括检查数据计算的准确性,审核账户和试算平衡表,设置对输入数据和数字序号的自动检查,以及对例外报告进行人工干预。
(2)一般控制评价应当着重考虑与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求,是否有利于企业内部控制目标的实现,并以此评价信息系统的安全性、可靠性和合理性。
应用控制评价应当结合企业业务流程特点,着重考虑信息系统中与业务流程相关的控制点,并以此评价相关应用系统操作数据的真实性、准确性和合规性。
(五)内部控制缺陷认定
1.内部控制缺陷的分类
内部控制缺陷,是指内部控制的设计存在漏洞,不能有效防范错误与舞弊,或者内部控制的运行存在弱点和偏差,不能及时发现并纠正错误与舞弊的情形。内部控制缺陷包括设计缺陷和运行缺陷。
(1)设计缺陷
设计缺陷是指缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常运行也难以实现控制目标。
(2)运行缺陷
运行缺陷是指现存设计完好的控制没有按设计意图运行,或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。
2.内部控制缺陷的认定标准
企业对内部控制评价过程中发现的问题,应当从定性和定量等方面进行衡量,判断是否构成内部控制缺陷,以及缺陷是属于一般缺陷、重要缺陷还是重大缺陷。
3.内部控制缺陷整改机制
企业通过内部控制评价发现内部控制的缺陷,应当建立内部控制缺陷整改机制,明确内部各管理层级和单位整改的职责分工,确保内部控制设计与运行中的主要问题和重大风险得到及时解决和有效控制。
(六)内部控制评价的证据
企业应当通过评估和测试获取与内部控制有效性相关的证据,并合理保证证据的充分性和适当性。
1.内部控制设计和运行有效性的判断应考虑的因素
(1)是否针对风险设置了合理的细化控制目标。
(2)是否针对细化控制目标设置了对应的控制活动。
(3)相关控制活动是如何运行的。
(4)相关控制活动是否得到了持续一致的运行。
(5)实施相关控制活动的人员是否具备必需的权限和能力。
2.导致内部控制失效的风险
企业应当充分评估下列因素导致内部控制失效的风险:
(1)控制活动的类型,一般包括人工控制和自动控制、预防性控制和检查性控制等。
(2)控制活动的复杂性,通常与企业组织结构、市场环境、经营规模、人员素质等相关。
(3)管理层逾越内部控制的风险。
(4)实施控制活动所需要的职业判断的程度。
(5)控制活动所针对风险事项的性质及其重要性。
(6)一项控制活动对其他控制活动有效性的依赖程度。
四、内部控制评价报告 企业应当根据内部控制评价结果和整改情况,编制内部控制评价报告。内部控制评价报告至少应当包括下列内容:
(1)组织实施内部控制评价的总体情况;
(2)内部控制责任主体的声明;
(3)内部控制评价的范围和内容;
(4)内部控制评价的标准和依据;
(5)内部控制评价的程序和方法;
(6)内部控制重大缺陷及其认定情况;
(7)内部控制重大缺陷的整改措施及责任追究情况;
(8)内部控制有效性的结论;
存在一个或多个内部控制重大缺陷的,应当作出内部控制无效的结论。
《深圳证券交易所上市公司内部控制指引》自我评价报告至少应包括以下内容:
(1)对照本指引及有关规定,说明公司内部控制制度是否建立健全和有效运行,是否存在缺陷;
(2)说明本指引重点关注的控制活动的自查和评估情况;
(3)说明内部控制缺陷和异常事项的改进措施(如适用);
(4)说明上一年度的内部控制缺陷及异常事项的改善进展情况(如适用)
《上海证券交易所上市公司内部控制指引》公司内部控制自我评估报告至少应包括如下内容:
(1)内控制度是否建立健全;
(2)内控制度是否有效实施;
(3)内部控制检查监督工作的情况;
(4)内控制度及其实施过程中出现的重大风险及其处理情况;
(5)对本年度内部控制检查监督工作计划完成情况的评价;
(6)完善内控制度的有关措施;
(7)下一年度内部控制有关工作计划
《萨班斯一奥克斯利法案》上市公司披露的管理层内部控制报告主要包括:
(1)强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任;
(2)发行人管理层最近财务年度末对内部控制体系及控制程序有效性的评价
PCAOB审计准则第2号管理层关于财务报告内部控制的报告必须包括下列内容:
(1)管理层建立和维护适当的公司财务报告内部控制的职责声明;
(2)由管理层所使用的、用来执行公司财务报告内部控制的有效性的必要评估的框架确定声明;
(3)在最近的财务年度结束时,公司的财务报告内部控制的有效性评估,包括一份清晰的关于财务报告内部控制是否有效的声明;
(4)对包括在年度报告中的财务报表进行了审计的会计师事务所签发的一份关于管理层对公司财务报告内部控制评估的验证报告的声明 |
(二)内部控制评价报告的报出
1.内部控制评价的分类
企业内部控制评价,一般包括年度评价和专项评价。年度评价是指企业根据内部控制目标,对企业某一年度建立与实施内部控制的有效性进行的评价。例如,企业按照有关法规的要求,每年都必须进行内部控制自我评估并出具内部控制自我评估报告。专项评价是指企业在特定时点对特定范围的内部控制的有效性进行的评价。例如,对企业的货币资金内部控制有效性进行专项评价。
在实务中,还可以将内部控制评价分为全面内部控制评价和专项内部控制评价。全面内部控制评价是指对企业内部控制体系进行评价,包括控制环境、风险评估、控制活动、信息与沟通以及内部监督五个要素,对企业的所有业务和管理活动的内部控制进行全面的评价。专项评价是指针对内部控制中的某一个要素,比如针对控制活动本身、或者针对企业的某项或者某些业务和管理活动的内部控制进行评价。
2.内部控制评价报告批准机构
企业内部控制评价报告应当报企业经理层审核、董事会审定后公布。
3.内部控制评价报告期限
企业应当以12月31日作为年度内部控制评价报告的基准日,也可选择6月30日为基准日。内部控制评价报告应于基准日后4个月内报出。
在《企业内部控制基本规范》的印发文件中也明确规定,自2009年7月1日起在上市公司范围内施行《企业内部控制基本规范》,鼓励非上市的大中型企业执行。执行规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。
内部控制鉴证的含义的理解应当掌握以下几点:
1.内部控制鉴证是一项专门鉴证业务
注册会计师在执行财务报表审计时,根据《中国注册会计师审计准则第1211号——了解被鉴证单位及其环境并评估重大错报风险》和《中国注册会计师审计准则第1231号——针对评估的重大错报风险实施的程序》等准则对内部控制进行了解和测试,旨在确定控制风险水平。当控制风险水平确定后,注册会计师在整个审计期间都要考虑内部控制的有效性。如果不准备审计某些领域,则无须确定这些领域的控制风险水平。而注册会计师执行内部控制鉴证业务则是一项专门鉴证业务,应当事先与委托人就内部控制鉴证范围达成一致意见。凡是业务约定书确定的内部控制鉴证范围,注册会计师都要进行鉴证。
2.内部控制鉴证的范围限于特定日期与财务报表相关的内部控制
通常,注册会计师对特定日期的内部控制进行鉴证。特定日期可以是会计年度结束日,也可以是某中期结束日。注册会计师对特定日期的内部控制鉴证时,应在接近此日期之前的一段时间内对内部控制进行了解和测试,并对该日期的内部控制的有效性发表鉴证意见。意见类型包括无保留意见、带说明段的无保留意见、否定意见和无法表示意见。如果注册会计师对某特定期间的内部控制进行鉴证,应对该期间的内部控制进行了解和测试,并对该期间的内部控制的有效性发表鉴证意见,出具长式鉴证报告。
限于专业胜任能力,注册会计师通常对与财务报表相关的内部控制进行鉴证。与财务报表相关的内部控制范围不仅包括为保证财务报表的可靠性而涉及的内部控制(按交易循环设计的内部控制),还涉及对财务报表产生影响的内部控制(与经营的效率与效果、对法律法规的遵循相关的部分的内部控制),如有关分析程序使用生产统计数据的内部控制和有关遵循所得税规定的内部控制。
3.被鉴证单位管理层应当就内部控制的有效性提供书面认定
被鉴证单位管理层就内部控制的有效性提供书面认定,其作用类似于财务报表,它用于明确被鉴证单位管理建立健全内部控制并保持其有效性的责任。
企业内部控制鉴证指引(征求意见稿)重要条款解读
一、内部控制鉴证计划 在制定计划前,注册会计师应当向被鉴证单位管理层获取有关内部控制有效性的书面认定,以及获取内部控制手册、流程图、调查问卷和备忘录等文件。
(一)在制定鉴证计划时,注册会计师应当评价下列事项对企业财务报表和内部控制是
否具有重要影响,以及对注册会计师程序的影响:
1.注册会计师执行其他业务时了解的内部控制情况;
2.影响企业所在行业的事项,包括财务报告实务、经济状况、法律法规和技术革新;
3.与企业业务相关的事项,包括组织结构、经营特征和资本结构;
4.企业经营活动或内部控制最近发生变化的程度;
5.注册会计师对重要性、风险以及与确定重大缺陷相关的其他因素所作的初步判断;
6.以前与审计委员会或管理层沟通的控制缺陷;
7.企业注意到的法律法规事项;
8.针对内部控制可获得的相关证据的类型和范围;
9.对内部控制有效性作出的初步判断;
10.与评价财务报表发生重大错报的可能性和内部控制有效性相关的公共信息;
11.注册会计师对客户和业务的接受与保持进行评价时了解的与企业相关的风险情况;
12.经营活动的相对复杂程度。
如果被审核单位有多个经营场所,注册会计师应当选择某些经营场所的内部控制进行了解和测试。在选择了解和测试的经营场所时,注册会计师除考虑上述有关因素外。还应当考虑以下因素:
1.不同场所之间经营活动和内部控制的相似性。
2.会计处理的集中程度。
3.控制环境的有效性,尤其是管理层对各经营场所行使授权的控制和有效监督经营活动的能力。
4.各经营场所发生交易的性质和金额。
(二)注册会计师应当充分认识风险评估在内部控制鉴证中的作用,根据风险评估结果,确定重要的账户、列报和相关认定,选择拟进行测试的控制,以及确定针对特定控制所需收集的证据。
(三)舞弊对内部控制鉴证计划的影响
由于内部控制不能防止或发现由舞弊导致的错报的风险,通常高于不能防止或发现由错误导致的错报的风险,注册会计师应当高度关注与舞弊风险相关的领域。对舞弊风险进行评估,包括评价企业的控制是否足以应对已识别的由舞弊导致的重大错报风险,并评价为应对管理层凌驾于其他控制之上的风险设计的控制。企业为应对这些风险可能采取的控制包括:
1.针对重大的非常规交易,尤其是针对那些导致记账分录延迟或异常的交易的控制;
2.针对期末财务报告过程中编制的记账分录和调整分录的控制;
3.针对关联方交易的控制;
4.与管理层的重大估计相关的控制;
5.能够缓解管理层伪造或不恰当操纵财务结果的动机及压力的控制。
(四)对其他人员工作的利用
二、实施内部控制鉴证工作 注册会计师应当根据审计计划,测试内部控制设计和运行的有效性。对企业内部控制有效性的测试可分为企业层面控制的测试和流程层面控制的测试。
(一) 企业层面的控制测试
企业层面的控制包括的内容:
1.与内部环境相关的控制。由于内部环境对维护有效的内部控制具有重要影响,注册会计师应当评价企业的内部环境。在评价内部环境时,注册会计师应当评估下列事项:
(1)管理层的理念和经营风格是否能够促进有效的内部控制;
(2)健全的诚实正直和道德价值观(特别是高层管理人员的)是否已经形成并为大家所了解;
(3)审计委员会是否了解并履行对财务报告和内部控制的监督责任。
2.针对管理层凌驾于内部控制之上而采用的控制。
3.企业的风险评估。
4.集中处理和控制,包括共享的服务环境。
5.监督经营结果的控制。
6.对其他控制的监督控制,包括内部审计职能部门、审计委员会等的活动。
7.针对期末财务报告流程的控制。
8.应对重大经营控制及风险管理实务的政策。
(二)流程层面控制的测试
流程层面控制的测试表现为识别重大的账户、列报及相关认定,具体包括:
1.账户的规模和构成;
2.对因错误或舞弊导致的错报的敏感度;
3.通过账户处理或在列报中反映的交易的业务量、复杂性及同质性;
4.账户或列报的性质;
5.与账户或列报相关的会计处理及报告的复杂程度;
6.账户容易发生损失的程度;
7.由账户或列报中反映的活动引起重大或有负债的可能性;
8.账户中关联方交易的存在情况;
9.账户或列报特征与前期相比发生的变化。
注册会计师可根据在特定的重大账户或列报中错报发生的领域和原因,确定潜在错报的可能来源。当一家企业有多个经营场所或经营单位时,注册会计师应当在合并财务报表的基础上识别重要的账户、列报及相关认定。
三、实施鉴证工作的程序 注册会计师应当根据审核计划,实施以下工作步骤:了解内部控制的设计;测试内部控制设计的有效性;测试内部控制运行的有效性。
(一)了解内部控制的设计
注册会计师应当实施以下程序,以了解内部控制的设计:①询问被审核单位的有关人员。②检查内部控制生成的文件和记录。③观察被审核单位的经营管理活动。
(二)测试内部控制设计的有效性
在测试控制设计的有效性时,注册会计师应当确定企业的内部控制,如果由拥有有效执行控制所需的授权和专业胜任能力的人员按规定执行,能否实现控制目标和有效地防止或发现可能导致财务报表发生重大错报的错误或舞弊。在评价内部控制设计的合理性时,注册会计师应当关注内部控制整体能否实现控制目标,而不应孤立地关注特定内部控制。
(三)测试内部控制运行的有效性
在测试控制运行的有效性时,注册会计师应当确定控制是否正在按照设计运行,执行人员是否拥有有效执行控制所需的授权和专业胜任能力。
在测试内部控制运行的有效性时,注册会计师应当关注该项内部控制是否得到执行、如何执行、由谁执行以及是否得到一贯执行。
在测试内部控制运行的有效性时,注册会计师通常实施以下程序:①询问被鉴证单位的有关人员。②检查内部控制生成的文件和记录。③观察被鉴证单位的经营管理活动。④重新执行有关内部控制。
1.在确定拟测试的控制及其数量时,注册会计师应当考虑与拟测试控制相关的风险。与控制相关的风险包括该控制无效的可能性和因控制无效可能产生的重大缺陷。下列因素影响与某项控制相关的风险:
(1)该项控制拟防止或发现的错报的性质和重要性;
(2)相关账户和认定的固有风险;
(3)交易的数量和性质是否发生变动,进而可能对该项控制设计或运行的有效性产生不利影响;
(4)账户是否曾经出现错报;
(5)企业层面的控制对其他控制的监督的有效性;
(6)该项控制的性质及其运行频率;
(7)该项控制对其他控制有效性的依赖程度;
(8)执行或监督该项控制的人员的专业胜任能力,以及是否发生变动;
(9)该项控制是人工操作还是自动完成;
(10)该项控制的复杂性,以及运行过程中需做出的判断的重要性。通常来说,与拟测试控制相关的风险越大,注册会计师需要获取的证据就越多。
2.注册会计师在确定测试控制的日期时,应尽量在接近管理层评估日执行控制测试,并使测试涵盖足够长的期间。若在期中时点测试特定控制,注册会计师应当确定还需要获取哪些证据,以证实剩余期间控制的运行情况。在确定将期中时点的测试结果延伸至期末而需要获取的补充证据时,注册会计师应当考虑下列因素的影响:
(1)在评估日前测试的特定控制,包括与控制相关的风险、控制的性质和测试的结果;
(2)期中时点获取的有关控制有效性的证据的充分性;
(3)剩余期间的长短;
(4)期中时点之后,内部控制发生重大变化的可能性。
(四)在评价特定内部控制未得到遵循的风险时,注册会计师应当考虑以下因素:
1.交易的数量和性质是否发生变化,以致对特定内部控制的设计和执行产生不利影响。
2.内部控制是否发生变化。
3.特定内部控制对其他内部控制有效性的依赖程度。
4.执行或监控内部控制的关键人员是否发生变动。
5.特定内部控制的执行是依赖人工还是电子设备。
6.特定内部控制的复杂程度。
7.特定控制目标的实现是否依赖于多项内部控制。
某些内部控制是连续执行的,而某些内部控制只在特定时间执行,注册会计师应当根据内部控制的性质及其执行的时间和频率,合理确定控制测试的性质、时间和范围。当管理层在做出内部控制有效性认定之前已对内部控制作了改进时,如果注册会计师确定新的内部控制能够实现相关目标,并且已有效执行了适当的时间,可不考虑改进前内部控制设计的合理性和运行的有效性。
(五)对于后续年度的鉴证,注册会计师在确定测试的性质、时间和范围时,应当考虑以前执行内部控制鉴证所了解的情况。下列因素可能影响后续年度鉴证中与某项控制相关的风险:①以前年度鉴证中所实施程序的性质、时间和范围;②以前年度控制测试的结果;③上次鉴证之后,控制或其运行流程是否发生变化。
四、评价控制缺陷 控制存在的缺陷包括设计缺陷和运行缺陷。
(一) 企业内部控制缺陷的分类
企业内部控制存在的不足,按其严重程度可以分为缺陷、应关注缺陷和重大缺陷。
1.如果控制的设计或运行不能及时防止或发现错报,表明内部控制存在缺陷。
2.应关注缺陷是指内部控制存在的、其严重性不如重大缺陷但却足以值得负责监督企业财务报告的人员关注的某项缺陷或几项缺陷的组合。
3..重大缺陷是内部控制中存在的、具有合理可能性导致企业年度或中期财务报表出现重大错报不能被及时防止或发现的某项缺陷或几项缺陷的组合。
(二)控制缺陷严重性的评价
注册会计师应当评价其注意到的各项控制缺陷的严重性,以确定这些缺陷单独或合并起来是否构成管理层评估日内部控制的重大缺陷。
1.控制缺陷的严重性与错报的发生与否无关,而取决于企业控制是否存在无法防止或发现错报的合理可能性。控制缺陷的严重性取决的因素:
(1)企业控制是否存在无法防止或发现账户余额或列报错报的合理可能性;
(2)因一项或多项(控制)缺陷导致的潜在错报的重要程度。
2.可能表明企业内部控制存在重大缺陷的情况。
(1)发现高级管理人员舞弊;
(2)重述财务报表,以反映重大错报的更正情况;
(3)注册会计师识别出当期财务报表存在重大错报,而该错报不可能由企业内部控制发现;
(4)审计委员会对企业财务报告和内部控制的监督无效。
五、完成鉴证工作 注册会计师应当评价获取的鉴证证据,形成对内部控制有效性的意见。在对内部控制有效性形成意见后,注册会计师应当评价管理层按照有关政府部门和监管机构的要求在企业年度报告中对内部控制的披露是否适当。只有在鉴证工作范围没有受到限制时,注册会计师才能对内部控制的有效性形成意见。
(一)管理层说明书。在出具鉴证报告前,注册会计师应当向管理层获取书面声明。
1.管理层声明内容
(1)管理层认可其对建立和保持有效的内部控制的责任;
(2)管理层已对企业内部控制的有效性做出评估,并说明运用的控制标准;
(3)管理层没有将注册会计师在内部控制鉴证中执行的程序作为管理层对内部控制有效性评估基础的组成部分;
(4)管理层根据控制标准对企业内部控制在特定日期的有效性的评估结论;
(5)管理层识别出的内部控制在设计或运行方面存在的所有缺陷,包括单独向注册会计师披露内部控制的所有应关注缺陷或重大缺陷;
(6)导致企业财务报表发生重大错报的所有舞弊,以及其他不会导致企业财务报表发生重大错报,但涉及高级管理人员和其他在企业内部控制中具有重要作用的员工的所有舞弊;
(7)在以前年度审计中识别的、注册会计师发现且已与审计委员会沟通的控制缺陷是否已经解决;
(8)在报告日后,内部控制是否发生变化,或者是否存在对内部控制产生重要影响的其他因素,包括管理层针对应关注缺陷和重大缺陷采取的任何纠正措施。
2.未能获取管理层声明对鉴证意见的影响。
如果未能获得管理层的书面声明,包括管理层拒绝提供书面声明,注册会计师应当将其视为鉴证范围受到限制,并解除业务约定或出具无法表示意见的鉴证报告。
(二)沟通相关事项。在注册会计师出具内部控制鉴证报告之前,注册会计师应当以书面形式与管理层和审计委员会沟通鉴证过程中识别的所有重大缺陷。
注册会计师应当考虑在鉴证过程中识别的任何控制缺陷或多个控制缺陷的组合是否构成应关注缺陷。如果构成应关注缺陷,注册会计师应当就此以书面形式与审计委员会沟通。
内部控制鉴证不能保证注册会计师能够发现严重程度小于重大缺陷的所有控制缺陷。注册会计师不应在出具的报告中声明,在鉴证中没有发现严重程度小于重大缺陷的控制缺陷。
六、鉴证报告 注册会计师在完成内部控制鉴证后,应当单独对内部控制出具鉴证报告,并将已经鉴证的管理层对内部控制的评估报告附于鉴证报告之后。注册会计师在鉴证报告中清楚地表达对内部控制的意见,并对出具的鉴证报告负责。
(一)鉴证报告的基本内容
1.标题。鉴证报告的标题应当统一规范为“内部控制鉴证报告”。
2.收件人。鉴证报告的收件人是指注册会计师按照业务约定书的要求致送鉴证报告的对象,一般是指鉴证业务的委托人。鉴证报告应当载明收件人的全称。
3.引言段。鉴证报告的引言段应当说明企业的名称和内部控制已经鉴证,并包括下列内容:
(1)指出内部控制鉴证依据的控制标准;
(2)提及管理层对内部控制的评估报告;
(3)指明内部控制的评估截止日期。
4.管理层对内部控制的责任段。管理层对内部控制的责任段应当说明,按照国家有关法律法规的要求,设计、实施和维护有效的内部控制,并评估其有效性是管理层的责任。
5.注册会计师的责任段。应当说明下列内容:
(1)注册会计师的责任是在实施鉴证工作的基础上对内部控制有效性发表鉴证意见。
(2)鉴证工作包括获取对内部控制的了解,评估重大缺陷存在的风险,根据评估的风险测试和评价内部控制设计和运行的有效性。鉴证工作还包括实施我们认为必要的其他程序;
(3)注册会计师相信已获取的证据是充分、适当的,为其发表鉴证意见提供了基础。
6.内部控制的定义段。内部控制的定义段应当说明内部控制的定义。即:内部控制的定义内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。
7.内部控制的固有局限性段。内部控制的固有局限性段应当说明,内部控制具有固有局限性,存在错误或舞弊导致的错报未被发现的可能性。此外,由于情况的变化可能导致内部控制变得不恰当,或降低对控制政策、程序遵循的程度,根据内部控制评价结果推测未来内部控制有效性具有一定的风险。
8.鉴证意见段。鉴证意见段应当说明,企业于特定日期是否按照适当的控制标准的要求,在所有重大方面保持了有效的内部控制。
9.注册会计师的签名和盖章。鉴证报告应当由注册会计师签名并盖章。
10.会计师事务所的名称、地址及盖章。鉴证报告应当载明会计师事务所的名称和地址,并加盖会计师事务所公章。
11.报告日期。鉴证报告应当注明报告日期。报告的日期不应早于注册会计师获取充分、适当的证据(包括管理层认可对内部控制及评估报告的责任且已批准评估报告的证据),并在此基础上对内部控制形成鉴证意见的日期。
(二)鉴证报告的意见类型
鉴证报告的包括:标准鉴证报告、带说明段的无保留意见、否定意见和无法表示意见四种意见类型。
1.无保留意见的鉴证报告。
如果符合下列所有条件,注册会计师应当出具无保留意见的鉴证报告:
(1)企业于特定日期按照适当的控制标准的要求,在所有重大方面保持了有效的内部控制;
(2)注册会计师已经按照《企业内部控制鉴证指引》的规定计划和实施鉴证工作,在工作过程鉴证范围中未受到限制。
当出具无保留意见的鉴证报告时,注册会计师应当以“我们认为”作为意见段的开头,并使用“在所有重大方面”、“保持了有效的内部控制”等术语。
七、工作底稿 注册会计师应当就下列内容形成鉴证工作记录:
1.制定的内部控制鉴证计划及其重大修改;
2.识别企业层面和流程层面的风险及控制的主要过程及结果;
3.测试控制设计和执行有效性的程序及结果;
4.对识别的控制缺陷的评价;
5.对识别的重大事项的处理;
6.形成的鉴证结论和意见;
7.其他重要事项。
