¿Cuál es el proceso específico de auditoría de control interno?
Procedimientos de auditoría de control interno:
(1) Trabajo de auditoría planificado
Los contadores públicos deben planificar razonablemente el trabajo de auditoría de control interno y equiparlos con un equipo de capacidades profesionales y proporcionar el equipo adecuado. Supervisión del personal auxiliar.
Al planificar el trabajo de auditoría, el CPA debe evaluar el impacto de los asuntos relevantes en el control interno y su trabajo de auditoría:
Riesgos relacionados con la empresa;
Leyes, regulaciones y descripción general de la industria relevantes;
Asuntos importantes relevantes como la estructura organizacional corporativa, las características operativas y la estructura de capital;
El grado de cambios recientes en el control interno corporativo;
Comunicar las deficiencias de control interno con la empresa;
La importancia, los riesgos y otros factores relacionados con la determinación de deficiencias importantes en el control interno;
Juicio preliminar sobre la efectividad de control interno; 8. El tipo y alcance de la evidencia disponible relacionada con la efectividad de los controles internos.
Los contadores públicos deben comprender completamente el papel de la evaluación de riesgos en la planificación del trabajo de auditoría, seleccionar los controles que se probarán en función de la evaluación de riesgos y determinar la evidencia requerida para las pruebas. Cuanto mayor sea el riesgo de una debilidad material en un área particular de control interno, más atención se debe prestar a la auditoría en esa área.
Al realizar evaluaciones de riesgos y determinar los procedimientos necesarios, los contadores públicos deben considerar el posible impacto importante y el papel de la complejidad de la estructura organizacional, las unidades de negocios o los procesos de la empresa. La complejidad de la estructura organizacional, las unidades de negocios o los procesos de una empresa puede afectar la forma en que una empresa logra sus objetivos de control. El tamaño y la complejidad de una empresa también pueden afectar el riesgo de errores y los controles necesarios para abordarlos. El CPA debe ajustar el alcance del trabajo de acuerdo con las circunstancias de la empresa para obtener evidencia suficiente y apropiada para respaldar las opiniones expresadas.
El contador público autorizado debe evaluar el trabajo de evaluación del control interno del directorio de la empresa durante la etapa de auditoría de planificación, y determinar si y el grado de disponibilidad de auditores internos, personal de evaluación del control interno y otro personal relevante. en el trabajo de auditoría de control interno, y en consecuencia reducir el trabajo que puede realizar el CPA. Los contadores públicos certificados deben utilizar el trabajo de los auditores internos, los evaluadores de control interno y otro personal relevante para evaluar plenamente su competencia y objetividad profesional. En términos generales, cuanto mayor sea el riesgo asociado con un control y menor su disponibilidad, más personalmente debe probar el CPA el control. Es necesario enfatizar que los contadores públicos son responsables independientemente de las opiniones de auditoría emitidas y sus responsabilidades no se reducen mediante el uso del trabajo de auditores internos, evaluadores de control interno y otro personal relevante.
(2) Implementación del trabajo de auditoría
Los contadores públicos llevan a cabo el trabajo de auditoría con un enfoque de arriba hacia abajo, que es la idea básica para que los contadores públicos identifiquen riesgos y seleccionen los controles que se probarán. Cuando los contadores públicos realizan trabajos de auditoría, pueden combinar las pruebas de controles a nivel empresarial y controles a nivel empresarial.
Pruebe los controles a nivel empresarial.
Sobre la base de comprender el principio de materialidad, los CPA generalmente se centran en: controles relacionados con el entorno interno; controles diseñados para el riesgo de que la junta directiva y los gerentes anulen los controles del proceso de evaluación de riesgos de la empresa; transferencia interna de información y controles sobre el proceso de presentación de informes financieros; autoevaluación de la eficacia de la supervisión y los controles internos.
Prueba controles a nivel empresarial.
Sobre la base de comprender el principio de materialidad, los contadores públicos certificados prueban los controles a nivel empresarial, combinan la situación real de la empresa, los requisitos de las leyes y regulaciones pertinentes para los controles internos y prueban la empresa. controles a nivel empresarial, con foco en la empresa Control de negocios y asuntos importantes en las actividades de producción y operación. Los contadores públicos deben prestar atención al impacto de los sistemas de información en el control interno y la evaluación de riesgos.
Controles de prueba relacionados con el riesgo de fraude.
Cuando los contadores públicos prueban los controles a nivel empresarial y los controles a nivel empresarial, deben evaluar si los controles internos son adecuados para abordar los riesgos de fraude.
Los factores de riesgo de fraude se refieren a los eventos o situaciones identificadas por el contador público autorizado al comprender la entidad auditada y su entorno interno. Estos eventos o situaciones pueden indicar la existencia de motivos, presiones u oportunidades para el fraude, así como explicaciones razonables del posible. fraude de la entidad auditada. Los controles relacionados con el riesgo de fraude generalmente incluyen: controles sobre transacciones inusuales significativas; controles sobre transacciones con partes relacionadas; controles relacionados con las políticas contables y estimaciones contables importantes de la administración; controles sobre las entradas y ajustes en el informe financiero final; controles para falsificar o manipular indebidamente los resultados financieros. La CPA debe realizar pruebas específicas de los controles anteriores en función de los resultados de la evaluación del riesgo de fraude.
Probar la eficacia del diseño y funcionamiento de los controles internos. Si un control se implementa de acuerdo con los procedimientos y requisitos prescritos por personal con la autorización y la capacidad profesional necesarias, y puede lograr los objetivos de control, indica que el diseño del control es efectivo si un control se opera de acuerdo con el diseño; , el ejecutivo tiene la autorización y la capacidad profesional necesarias, y la capacidad para lograr los objetivos de control indican que el control es eficaz.
Obtener evidencia de que los controles internos están diseñados y operativos de manera efectiva. Cuando los contadores públicos prueban la eficacia del diseño y la operación del control interno, pueden utilizar una combinación de métodos, como interrogar al personal apropiado, observar las actividades comerciales, inspeccionar los documentos relevantes y realizar las pruebas y la reejecución. , para obtener evidencia suficiente y apropiada para respaldar las conclusiones de la auditoría. Cuanto mayor sea el riesgo asociado con los controles internos, más evidencia necesitará obtener el contador público. Para garantizar la suficiencia y adecuación de la evidencia, el CPA generalmente necesita sopesar el progreso de las pruebas, no solo para implementar las pruebas lo más cerca posible de la fecha base de autoevaluación del control interno de la empresa, sino también para garantizar que las pruebas pueden cubrir un período suficientemente largo. Si la operación de control interno se desvía del diseño (es decir, desviación de control), la CPA debe determinar el impacto de la desviación en la evaluación de riesgos relevante, la evidencia que debe obtenerse y la conclusión sobre la efectividad de la operación de control. Durante las auditorías en curso, es necesario que el CPA considere lo que ha aprendido en auditorías de control interno anuales anteriores para determinar razonablemente la naturaleza, el momento y el alcance de las pruebas.
(C) Evaluación de las deficiencias de control
Sobre la base de probar el diseño y la efectividad operativa de los controles internos, el CPA necesita evaluar la gravedad de las deficiencias de control interno identificadas. determinar si estas deficiencias, individualmente o en combinación, constituyen deficiencias significativas y afectan sus conclusiones de auditoría. Al determinar si una deficiencia de control interno o una combinación de deficiencias de control interno constituye una deficiencia significativa, la CPA también debe evaluar el impacto de los controles compensatorios (controles sustitutos).
1. Deficiencias de control interno en la información financiera. Las señales de que puede haber fallas importantes en el control interno de los informes financieros corporativos incluyen principalmente:
(1) Contadores públicos certificados descubren fraude en directores, supervisores y altos directivos;
( 2) Se han anunciado correcciones corporativas en los estados financieros;
(3) El contador público certificado descubrió que había un error material en los estados financieros actuales, pero no pudo descubrir el error durante la operación de los controles internos;
(4) Empresa La supervisión de los controles internos por parte del comité de auditoría y de la organización de auditoría interna fue ineficaz.
2. Deficiencias de control interno en la información no financiera. El CPA debe manejar las deficiencias de control interno de los informes no financieros detectadas durante la auditoría de acuerdo con las circunstancias específicas:
Si el CPA cree que las deficiencias de control interno de los informes no financieros son deficiencias generales, el CPA debe comunicarlo. con la empresa y recordar las mejoras corporativas, pero no es necesario describirlas en el informe de auditoría de control interno.
Si el contador público autorizado cree que las deficiencias del control interno de los informes no financieros son deficiencias importantes, debe comunicarse con la junta directiva y los gerentes de la empresa por escrito para recordarle a la empresa que mejore, pero no lo hace. deben constar en el informe de auditoría de control interno.
Si el contador público autorizado cree que los defectos en el control interno de los informes no financieros son defectos importantes, debe comunicarse con la junta directiva y la gerencia de la empresa por escrito para recordarle a la empresa que mejore; Al mismo tiempo, los informes no financieros deben agregarse al informe de auditoría de control interno. La descripción de las principales deficiencias en el control interno revela la naturaleza de las principales deficiencias y su impacto en el logro de los objetivos de control relevantes, y recuerda a los usuarios el control interno. informes de auditoría para prestar atención a los riesgos relevantes.
(4) Completar el trabajo de auditoría.
1. Obtener una declaración escrita. Después de completar la auditoría, el contador público debe obtener una declaración escrita firmada por la empresa. La declaración escrita suele incluir el siguiente contenido:
(1) La junta directiva de la empresa reconoce su responsabilidad de establecer, mejorar e implementar eficazmente el control interno;
(2) La eficacia de la empresa en control interno realizó una autoevaluación y explicó los criterios utilizados en la evaluación y las conclusiones extraídas.
(3) La empresa no utiliza los procedimientos y resultados de auditoría realizados por la CPA como base para la autoevaluación.
(4) La empresa ha explicado todos los controles internos identificados; a los Defectos de CPA, y explicó los defectos mayores y los defectos importantes respectivamente;
(5) Si la empresa ha tomado medidas para resolver los defectos mayores y los defectos importantes descubiertos por contadores públicos certificados en auditorías anuales anteriores;
(6) Si el control interno de la empresa ha sufrido cambios importantes después de la fecha base de la autoevaluación del control interno, u otros factores que tienen un impacto importante en el control interno.
Si la empresa se niega a proporcionar o evita declaraciones escritas por otras razones impropias, el contador público autorizado considerará limitado el alcance de la auditoría y rescindirá el contrato comercial o emitirá un informe de auditoría de control interno en el que se La empresa no puede expresar una opinión.
2. Defectos en el control de la comunicación. El CPA debe comunicar a la empresa todas las deficiencias de control descubiertas durante la auditoría. Las deficiencias importantes y las deficiencias importantes deben comunicarse por escrito a la junta directiva y a la gerencia. Si un contador público certificado cree que el comité de auditoría de una empresa y la institución de auditoría interna no supervisan adecuadamente los controles internos, debe comunicarse directamente con la junta directiva y la gerencia por escrito. Se debe realizar una comunicación escrita antes de que la CPA emita un informe de auditoría de control interno.
3. Formulario de opiniones de revisión. El CPA evalúa la evidencia obtenida, se forma una opinión sobre la efectividad del control interno y emite un informe de auditoría.