00企业内部控制审计指引及解读

时间:2019-05-12 18:32:25下载本文作者:会员上传
简介:写写帮文库小编为你整理了多篇相关的《00企业内部控制审计指引及解读》,但愿对你工作学习有帮助,当然你在写写帮文库还可以找到更多《00企业内部控制审计指引及解读》。

第一篇:00企业内部控制审计指引及解读

企业内部控制审计指引

第一章总则

(二)实施的测试需要涵盖足够长的期间。

第一条为了规范注册会计师执行企业内部控制审计业务,明确工作要求,保第十八条注册会计师对于内部控制运行偏离设计的情况(即控制偏差),应当证执业质量,根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本确定该偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。准则》及相关执业准则,制定本指引。第十九条在连续审计中,注册会计师在确定测试的性质、时间安排和范围时,第二条本指引所称内部控制审计,是指会计师事务所接受委托,对特定基准应当考虑以前年度执行内部控制审计时了解的情况。

日内部控制设计与运行的有效性进行审计。第四章评价控制缺陷

第三条建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会第二十条内部控制缺陷按其成因分为设计缺陷和运行缺陷,按其影响程度分的责任。按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发为重大缺陷、重要缺陷和一般缺陷。

表审计意见,是注册会计师的责任。注册会计师应当评价其识别的各项内部控制缺陷的严重程度,以确定这些缺陷

第四条注册会计师执行内部控制审计工作,应当获取充分、适当的证据,为单独或组合起来,是否构成重大缺陷。

发表内部控制审计意见提供合理保证。第二十一条在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审大缺陷时,注册会计师应当评价补偿性控制(替代性控制)的影响。企业执行计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增的补偿性控制应当具有同样的效果。

加“非财务报告内部控制重大缺陷描述段”予以披露。第二十二条表明内部控制可能存在重大缺陷的迹象,主要包括:

第五条注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财

(一)注册会计师发现董事、监事和高级管理人员舞弊;

务报表审计整合进行(以下简称整合审计)。

(二)企业更正已经公布的财务报表;

在整合审计中,注册会计师应当对内部控制设计与运行的有效性进行测试,以

(三)注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中同时实现下列目标: 未能发现该错报;

(一)获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发

(四)企业审计委员会和内部审计机构对内部控制的监督无效。

表的意见; 第五章完成审计工作

(二)获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结第二十三条注册会计师完成审计工作后,应当取得经企业签署的书面声明。果。书面声明应当包括下列内容:

第二章计划审计工作

(一)企业董事会认可其对建立健全和有效实施内部控制负责;

第六条注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能

(二)企业已对内部控制的有效性作出自我评价,并说明评价时采用的标准以力的项目组,并对助理人员进行适当的督导。及得出的结论;

第七条在计划审计工作时,注册会计师应当评价下列事项对内部控制、财务

(三)企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础; 报表以及审计工作的影响:

(四)企业已向注册会计师披露识别出的所有内部控制缺陷,并单独披露其中

(一)与企业相关的风险; 的重大缺陷和重要缺陷;

(二)相关法律法规和行业概况;

(五)企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷,是

(三)企业组织结构、经营特点和资本结构等相关重要事项; 否已经采取措施予以解决;

(四)企业内部控制最近发生变化的程度;

(六)企业在内部控制自我评价基准日后,内部控制是否发生重大变化,或者

(五)与企业沟通过的内部控制缺陷; 存在对内部控制具有重要影响的其他因素。

(六)重要性、风险等与确定内部控制重大缺陷相关的因素; 第二十四条企业如果拒绝提供或以其他不当理由回避书面声明,注册会计师

(七)对内部控制有效性的初步判断; 应当将其视为审计范围受到限制,解除业务约定或出具无法表示意见的内部控

(八)可获取的、与内部控制有效性相关的证据的类型和范围。制审计报告。

第八条注册会计师应当以风险评估为基础,选择拟测试的控制,确定测试所第二十五条注册会计师应当与企业沟通审计过程中识别的所有控制缺陷。对需收集的证据。于其中的重大缺陷和重要缺陷,应当以书面形式与董事会和经理层沟通。内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。注册会计师认为审计委员会和内部审计机构对内部控制的监督无效的,应当就

第九条注册会计师应当对企业内部控制自我评价工作进行评估,判断是否利此以书面形式直接与董事会和经理层沟通。

用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的书面沟通应当在注册会计师出具内部控制审计报告之前进行。

程度,相应减少可能本应由注册会计师执行的工作。第二十六条注册会计师应当对获取的证据进行评价,形成对内部控制有效性注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作,的意见。

应当对其专业胜任能力和客观性进行充分评价。第六章出具审计报告

与某项控制相关的风险越高,可利用程度就越低,注册会计师应当更多地对该第二十七条注册会计师在完成内部控制审计工作后,应当出具内部控制审计项控制亲自进行测试。报告。标准内部控制审计报告应当包括下列要素:

注册会计师应当对发表的审计意见独立承担责任,其责任不因为利用企业内部

(一)标题;

审计人员、内部控制评价人员和其他相关人员的工作而减轻。

(二)收件人;

第三章实施审计工作

(三)引言段;

第十条注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法

(四)企业对内部控制的责任段;

是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计

(五)注册会计师的责任段;

工作时,可以将企业层面控制和业务层面控制的测试结合进行。

(六)内部控制固有局限性的说明段;

第十一条注册会计师测试企业层面控制,应当把握重要性原则,至少应当关

(七)财务报告内部控制审计意见段;

注:

(八)非财务报告内部控制重大缺陷描述段;

(一)与内部环境相关的控制;

(九)注册会计师的签名和盖章;

(二)针对董事会、经理层凌驾于控制之上的风险而设计的控制;

(十)会计师事务所的名称、地址及盖章;

(三)企业的风险评估过程;

(十一)报告日期。

(四)对内部信息传递和财务报告流程的控制; 第二十八条符合下列所有条件的,注册会计师应当对财务报告内部控制出具

(五)对控制有效性的内部监督和自我评价。无保留意见的内部控制审计报告:

第十二条注册会计师测试业务层面控制,应当把握重要性原则,结合企业实

(一)企业按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业际、企业内部控制各项应用指引的要求和企业层面控制的测试情况,重点对企内部控制评价指引》以及企业自身内部控制制度的要求,在所有重大方面保持业生产经营活动中的重要业务与事项的控制进行测试。了有效的内部控制;

注册会计师应当关注信息系统对内部控制及风险评估的影响。

(二)注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计第十三条注册会计师在测试企业层面控制和业务层面控制时,应当评价内部工作,在审计过程中未受到限制。

控制是否足以应对舞弊风险。第二十九条注册会计师认为财务报告内部控制虽不存在重大缺陷,但仍有一第十四条注册会计师应当测试内部控制设计与运行的有效性。项或者多项重大事项需要提请内部控制审计报告使用者注意的,应当在内部控如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执制审计报告中增加强调事项段予以说明。

行,能够实现控制目标,表明该项控制的设计是有效的。注册会计师应当在强调事项段中指明,该段内容仅用于提醒内部控制审计报告如果某项控制正在按照设计运行,执行人员拥有必要授权和专业胜任能力,能使用者关注,并不影响对财务报告内部控制发表的审计意见。

够实现控制目标,表明该项控制的运行是有效的。第三十条注册会计师认为财务报告内部控制存在一项或多项重大缺陷的,除第十五条注册会计师应当根据与内部控制相关的风险,确定拟实施审计程序非审计范围受到限制,应当对财务报告内部控制发表否定意见。的性质、时间安排和范围,获取充分、适当的证据。与内部控制相关的风险越注册会计师出具否定意见的内部控制审计报告,还应当包括下列内容: 高,注册会计师需要获取的证据应越多。

(一)重大缺陷的定义;

第十六条注册会计师在测试控制设计与运行的有效性时,应当综合运用询问

(二)重大缺陷的性质及其对财务报告内部控制的影响程度。

适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。第三十一条注册会计师审计范围受到限制的,应当解除业务约定或出具无法询问本身并不足以提供充分、适当的证据。表示意见的内部控制审计报告,并就审计范围受到限制的情况,以书面形式与第十七条注册会计师在确定测试的时间安排时,应当在下列两个因素之间作董事会进行沟通。

出平衡,以获取充分、适当的证据: 注册会计师在出具无法表示意见的内部控制审计报告时,应当在内部控制审计

(一)尽量在接近企业内部控制自我评价基准日实施测试; 报告中指明审计范围受到限制,无法对内部控制的有效性发表意见。

注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的,应××股份有限公司全体股东: 当在内部控制审计报告中对重大缺陷做出详细说明。按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求,我们第三十二条注册会计师对在审计过程中注意到的非财务报告内部控制缺陷,审计了××股份有限公司(以下简称××公司)××年×月×日的财务报告内应当区别具体情况予以处理: 部控制的有效性。

(一)注册会计师认为非财务报告内部控制缺陷为一般缺陷的,应当与企业进 [“

一、企业对内部控制的责任”至“

五、非财务报告内部控制的重大缺陷”行沟通,提醒企业加以改进,但无需在内部控制审计报告中说明; 参见标准内部控制审计报告相关段落表述。]

(二)注册会计师认为非财务报告内部控制缺陷为重要缺陷的,应当以书面形

六、强调事项

式与企业董事会和经理层沟通,提醒企业加以改进,但无需在内部控制审计报我们提醒内部控制审计报告使用者关注,(描述强调事项的性质及其对内部控告中说明; 制的重大影响)。本段内容不影响已对财务报告内部控制发表的审计意见。

(三)注册会计师认为非财务报告内部控制缺陷为重大缺陷的,应当以书面形

式与企业董事会和经理层沟通,提醒企业加以改进;同时应当在内部控制审计××会计师事务所中国注册会计师:×××(签名并盖章)报告中增加非财务报告内部控制重大缺陷描述段,对重大缺陷的性质及其对实(盖章)中国注册会计师:×××(签名并盖章)现相关控制目标的影响程度进行披露,提示内部控制审计报告使用者注意相关 中国××市××年×月×日 风险。

第三十三条在企业内部控制自我评价基准日并不存在、但在该基准日之后至3.否定意见内部控制审计报告 审计报告日之前(以下简称期后期间)内部控制可能发生变化,或出现其他可内部控制审计报告 能对内部控制产生重要影响的因素。注册会计师应当询问是否存在这类变化或××股份有限公司全体股东: 影响因素,并获取企业关于这些情况的书面声明。按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求,我们注册会计师知悉对企业内部控制自我评价基准日内部控制有效性有重大负面影审计了××股份有限公司(以下简称××公司)××年×月×日的财务报告内响的期后事项的,应当对财务报告内部控制发表否定意见。部控制的有效性。[“

一、企业对内部控制的责任”至“

三、内部控制的固有局注册会计师不能确定期后事项对内部控制有效性的影响程度的,应当出具无法限性”参见标准内部控制审计报告相关段落表述。] 表示意见的内部控制审计报告。

四、导致否定意见的事项

第七章记录审计工作 重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。

第三十四条注册会计师应当按照《中国注册会计师审计准则第1131号——审[指出注册会计师已识别出的重大缺陷,并说明重大缺陷的性质及其对财务报告计工作底稿》的规定,编制内部控制审计工作底稿,完整记录审计工作情况。内部控制的影响程度。]第三十五条注册会计师应当在审计工作底稿中记录下列内容: 有效的内部控制能够为财务报告及相关信息的真实完整提供合理保证,而上述

(一)内部控制审计计划及重大修改情况; 重大缺陷使××公司内部控制失去这一功能。

(二)相关风险评估和选择拟测试的内部控制的主要过程及结果;

五、财务报告内部控制审计意见

(三)测试内部控制设计与运行有效性的程序及结果; 我们认为,由于存在上述重大缺陷及其对实现控制目标的影响,××公司未能

(四)对识别的控制缺陷的评价; 按照《企业内部控制基本规范》和相关规定在所有重大方面保持有效的财务报

(五)形成的审计结论和意见; 告内部控制。

(六)其他重要事项。

六、非财务报告内部控制的重大缺陷[参见标准内部控制审计报告相关段落表述。] 附录:内部控制审计报告的参考格式1.标准内部控制审计报告 ××会计师事务所中国注册会计师:×××(签名并盖章)

内部控制审计报告(盖章)中国注册会计师:×××(签名并盖章)

××股份有限公司全体股东: 中国××市××年×月×日 按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求,我们

审计了××股份有限公司(以下简称××公司)××年×月×日的财务报告内4.无法表示意见内部控制审计报告 部控制的有效性。内部控制审计报告

一、企业对内部控制的责任 ××股份有限公司全体股东:

按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控我们接受委托,对××股份有限公司(以下简称××公司)××年×月×日的制评价指引》的规定,建立健全和有效实施内部控制,并评价其有效性是企业财务报告内部控制进行审计。董事会的责任。[删除注册会计师的责任段,“

一、企业对内部控制的责任”和“

二、内部控制

二、注册会计师的责任 的固有局限性”参见标准内部控制审计报告相关段落表述。] 我们的责任是在实施审计工作的基础上,对财务报告内部控制的有效性发表审

三、导致无法表示意见的事项 计意见,并对注意到的非财务报告内部控制的重大缺陷进行披露。[描述审计范围受到限制的具体情况。]

三、内部控制的固有局限性

四、财务报告内部控制审计意见

内部控制具有固有局限性,存在不能防止和发现错报的可能性。此外,由于情由于审计范围受到上述限制,我们未能实施必要的审计程序以获取发表意见所况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,需的充分、适当证据,因此,我们无法对××公司财务报告内部控制的有效性根据内部控制审计结果推测未来内部控制的有效性具有一定风险。发表意见。

四、财务报告内部控制审计意见

五、识别的财务报告内部控制重大缺陷(如在审计范围受到限制前,执行有限我们认为,××公司按照《企业内部控制基本规范》和相关规定在所有重大方程序未能识别出重大缺陷,则应删除本段)面保持了有效的财务报告内部控制。重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。

五、非财务报告内部控制的重大缺陷 尽管我们无法对××公司财务报告内部控制的有效性发表意见,但在我们实施在内部控制审计过程中,我们注意到××公司的非财务报告内部控制存在重大的有限程序的过程中,发现了以下重大缺陷: 缺陷[描述该缺陷的性质及其对实现相关控制目标的影响程度]。由于存在上述[指出注册会计师已识别出的重大缺陷,并说明重大缺陷的性质及其对财务报告重大缺陷,我们提醒本报告使用者注意相关风险。需要指出的是,我们并不对内部控制的影响程度。]

××公司的非财务报告内部控制发表意见或提供保证。本段内容不影响对财务有效的内部控制能够为财务报告及相关信息的真实完整提供合理保证,而上述报告内部控制有效性发表的审计意见。重大缺陷使××公司内部控制失去这一功能。

六、非财务报告内部控制的重大缺陷 ××会计师事务所中国注册会计师:×××(签名并盖章)[参见标准内部控制审计报告相关段落表述。](盖章)中国注册会计师:×××(签名并盖章)中国××市××年×月×日 ××会计师事务所中国注册会计师:×××(签名并盖章)(盖章)中国注册会计师:×××(签名并盖章)2.带强调事项段的无保留意见内部控制审计报告 中国××市××年×月×日

内部控制审计报告

规范内控审计行为 促进内控有效实施

——财政部会计司、中注协解读《企业内部控制审计指引》

实施企业内部控制注册会计师审计,是促进企业尤其是上市公司扎实贯彻《企部控制是否有效的基础标准。注册会计师在执行内部控制审计时,除遵守审计业内部控制基本规范》和《企业内部控制配套指引》的重要制度安排,是注册指引外,还应当遵守中国注册会计师相关执业准则。

会计师行业开拓执业领域、进一步做大做强新的增长点。为了规范注册会计师审计指引共7章35条,并附有4份不同意见类型的内部控制审计报告,阐明了内部控制审计业务,明确工作要求,保证执业质量,根据《企业内部控制基本什么是内部控制审计、如何执行内部控制审计工作等问题。本文对审计指引的规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则,财政部制定了几个重点问题进行解读。《企业内部控制审计指引》(以下简称审计指引)。财政部等五部委制定的《企

一、内部控制审计概述

业内部控制基本规范》和《企业内部控制应用指引》是注册会计师衡量企业内

(一)实施内部控制审计的必要性

内部控制作为企业的一项重要管理活动,主要试图解决三方面的基本问题,即财务报告及相关信息的可靠性、资产的安全完整以及对法律法规的遵循;与此同时,促进提高经营的效率效果,并促进实现企业的发展战略。安然、世通等一系列公司财务报表舞弊事件发生后,人们认识到健全有效的内部控制对预防此类事件的发生至关重要。各国政府监管机构、企业界和会计职业界对内部控制的重视程度也进一步提升,从注重财务报告本身可靠性转向注重对保证财务报告可靠性机制的建设,也就是通过过程的有效保证结果的有效。资本市场上的投资者甚至社会公众要求企业披露其与内部控制相关的信息,并要求经过注册会计师审计以增强信息的可靠性。

但是,在财务报表审计中,只有在以下两种情况下才强制要求对内部控制进行测试:在评估认定层次重大错报风险时,预期控制的运行是有效的(即在确定实质性程序的性质、时间安排和范围时,注册会计师拟信赖控制运行的有效性);或者仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。可见,注册会计师对内部控制的了解和测试不足以对内部控制发表意见,难以满足信息使用者的需求。因此,内部控制审计逐渐发展起来,很多国家要求注册会计师对内部控制设计和运行的有效性进行审计或鉴证。例如,美国《萨班斯——奥克斯利法案》404条款和日本《金融商品交易法》要求审计师对企业管理层对财务报告内部控制的评价进行审计;我国《企业内部控制基本规范》要求会计师事务所对企业内部控制的有效性进行审计,出具审计报告,并专门制定《企业内部控制审计指引》规范内部控制审计工作。

(二)各国对内部控制审计的要求 1.其他国家对内部控制审计的要求。我们对内部控制审计进行了国际比较研究,选择了在内部控制规范制定领域一直走在世界前沿的几个国家和地区,包括美国、日本、欧盟、加拿大和英国,对上述各国及地区出台的内控审计标准进行了比较研究。研究结论表明:

(1)美国和日本均以法案形式强制要求对企业财务报告内部控制进行审计;欧盟、加拿大、英国未强制要求进行内控审计,但英国等国的上市规则要求审计师对管理层作出的内部控制声明进行形式上的审阅。

(2)强制要求进行内部控制审计的国家,如美国和日本,内部控制审计与年度财务报表审计整合进行。其中美国要求由同一家会计师事务所将内部控制审计与财务报表审计整合进行,而日本则不仅如此,要求同一个审计师从计划审计工作、实施审计程序获取审计证据、评价审计证据的充分性和适当性,直到发表审计意见的整个过程中,将两种审计作为一个整体进行。2.我国对内部控制审计的要求。《企业内部控制基本规范》及配套指引的发布,要求执行企业内控规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告,同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷,应当提示投资者、债权人和其他利益相关者关注。

这意味着,企业内部控制审计业务由原来的一次性业务或面向少数企业的业务(A股企业原先仅在IPO时需要,或者赴美国和日本等地上市企业需要,或者金融证券等高风险行业需要),变成了与财务报表审计一样的经常性业务,每年需执行一次。

对于执行内部控制审计的会计师事务所来讲,对公司上市前要进行内部控制审计,上市后也要进行内部控制审计。

(三)内部控制审计的定义

内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。

1.企业内部控制审计基于特定基准日。注册会计师基于基准日(如年末12月31日)内部控制的有效性发表意见,而不是对财务报表涵盖的整个期间(如一年)的内部控制的有效性发表意见。但这并不意味着注册会计师只关注企业基准日当天的内部控制,而是要考察企业一个时期内(足够长的一段时间)内部控制的设计和运行情况。例如,注册会计师可能在5月份对企业的内部控制进行测试,发现问题后提请企业进行整改,如6月份整改,企业的内部控制在整改后要运行一段时间(如至少一个月),8月份注册会计师再对整改后的内部控制进行测试。因此,虽然是对企业12月31日(基准日)内部控制的设计和运行发表意见,但这里的基准日不是一个简单的时点概念,而是体现内部控制这个过程向前的延续性。注册会计师所采用的内部控制审计的程序和方法,也体现了这种延续性。

2.财务报告内部控制与非财务报告内部控制。审计指引第四条第二款规定,注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

财务报告内部控制,是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。主要包括下列方面的政策和程序:

(1)保存充分、适当的记录,准确、公允地反映企业的交易和事项;(2)合理保证按照企业会计准则的规定编制财务报表;

(3)合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权;(4)合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项。

非财务报告内部控制,是指除财务报告内部控制之外的其他控制,通常是指为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标无关的控制。3.企业内控责任与注册会计师审计责任的关系。审计指引第三条规定,建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。

两者之间的关系和会计责任与审计责任的区分保持一致,即:建立健全和有效实施内部控制是企业董事会(或类似决策机构,下同)的责任;按照《企业内部控制审计指引》的要求,在实施审计工作的基础上对企业内部控制的有效性发表审计意见,是注册会计师的责任。换言之,内控本身有效与否是企业的内控责任,是否遵循审计指引开展内控审计并发表恰当的审计意见是注册会计师的审计责任。因此,注册会计师在实施内控审计之前,应当在业务约定书中明确双方的责任;在发表内控审计意见之前,应当取得经企业签署的内控书面声明。

(四)整合审计

审计指引第五条规定,注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(以下简称整合审计)。

理解这一规定,要明确两点,一是内部控制审计与财务报表审计是两种不同的审计业务,两种审计的目标不同;二是内部控制审计与财务报表审计可以整合起来进行。

1.内部控制审计与财务报表审计的异同。内部控制审计要求对企业控制设计和运行的有效性进行测试,财务报表审计中,也要求了解企业的内部控制,并在需要时测试控制,这是两种审计的相同之处,也是整合审计中应整合的部分,但由于两种审计的目标不同,审计指引要求在整合审计中,注册会计师对内部控制设计与运行的有效性进行测试,要同时实现两个目的:

(1)获取充分、适当的证据,支持在内部控制审计中对内部控制有效性发表的意见;

(2)获取充分、适当的证据,支持在财务报表审计中对控制风险的评估结果。2.两种审计的整合。财务报告内部控制审计与财务报表审计通常使用相同的重要性(或重要性水平),在实务中两者很难分开。因为注册会计师在审计财务报表时需获得的信息在很大程度上依赖注册会计师对内部控制有效性得出的结论。注册会计师可以利用在一种审计中获得的结果为另一种审计中的判断和拟实施的程序提供信息。

实施财务报表审计时,注册会计师可以利用内部控制审计的结果来修改实质性程序的性质、时间安排和范围,并且可以利用该结果来支持分析程序中所使用的信息的完整性和准确性。在确定实质性程序的性质、时间安排和范围时,注册会计师需要慎重考虑识别出的控制缺陷。

实施内部控制审计时,注册会计师需要评估财务报表审计时实质性程序中发现问题的影响。最重要的是,注册会计师需要重点考虑财务报表审计中发现的财务报表错报,考虑这些错报对评价内控有效性的影响。

二、计划审计工作

(一)总体要求

审计指引第六条指出,注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。

整合审计中项目组人员的配备比较关键。在计划审计工作时,项目合伙人需要统筹考虑审计工作,挑选相关领域的人员组成项目组,同时对项目组成员进行培训和督导,以合理安排审计工作。

在计划整合审计工作时,注册会计师需要评价下列事项对财务报表和内部控制是否有重要影响,以及有重要影响的事项将如何影响审计工作:

1.与企业相关的风险,包括在评价是否接受与保持客户和业务时,注册会计师了解的与企业相关的风险情况以及在执行其他业务时了解的情况; 2.相关法律法规和行业概况;

3.企业组织结构、经营特点和资本结构等相关重要事项; 4.企业内部控制最近发生变化的程度; 5.与企业沟通过的内部控制缺陷;

6.重要性、风险等与确定内部控制重大缺陷相关的因素; 7.对内部控制有效性的初步判断;

8.可获取的、与内部控制有效性相关的证据的类型和范围。

此外,注册会计师还需要关注与评价财务报表发生重大错报的可能性和内部控制有效性相关的公开信息,以及企业经营活动的相对复杂程度。

(二)重视风险评估的作用

按照审计指引第八条规定,在内部控制审计中,注册会计师应当以风险评估为基础,确定重要账户、列报及其相关认定,选择拟测试的控制,以及确定针对所选定控制所需收集的证据。

风险评估的理念及思路应当贯穿于整合审计过程的始终。实施风险评估时,可以考虑固有风险及控制风险。在计划审计工作阶段,对内部控制的固有风险进行评估,作为编制审计计划的依据之一;根据对控制风险评估的结果,调整计划阶段对固有风险的判断,这是个持续的过程。内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。内部控制不能防止或发现并纠正由于舞弊导致的错报风险,通常高于其不能防止或发现并纠正由错误导致的错报风险。注册会计师应当更多地关注高风险领域,而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。在进行风险评估以及确定审计程序时,企业的组织结构、业务流程或业务单元的复杂程度可能产生的重要影响均是注册会计师需要考虑的因素。

(三)利用其他相关人员的工作

在计划审计工作时,注册会计师需要评估是否利用他人(包括企业的内部审计人员、内部控制评价人员、其他人员以及在董事会及其审计委员会指导下的第三方)的工作以及利用的程度,以减少可能本应由注册会计师执行的工作。如果决定利用内部审计人员的工作,注册会计师应当按照《中国注册会计师审计准则第1411号——利用内部审计人员的工作》的规定办理。

如果拟利用他人的工作,注册会计师则需要评价该人员的专业胜任能力和客观性。专业胜任能力即具备某种专业技能、知识或经验,有能力完成分派的任务;客观性则是公正、诚实地执行任务的能力。专业胜任能力和客观性越高,可利用程度就越高,注册会计师就可以越多地利用其工作。当然,无论人员的专业胜任能力如何,注册会计师都不应利用那些客观程度较低的人员的工作。同样地,无论人员的客观程度如何,注册会计师都不应利用那些专业胜任能力较低的人员的工作。通常认为,企业的内部审计人员拥有更高的专业胜任能力和客观性,注册会计师可以考虑更多地利用这些人员的相关工作。

在内部控制审计中,注册会计师利用他人工作的程度还受到与被测试控制相关的风险的影响。与某项控制相关的风险越高,可利用他人工作的程度就越低,注册会计师就需要更多地对该项控制亲自进行测试。

如果其他注册会计师负责审计企业的一个或多个分部、分支机构、子公司等组成部分的财务报表和内部控制,注册会计师应当按照《中国注册会计师审计准则第1401号——对集团财务报表审计的特殊考虑》的规定,确定是否利用其他注册会计师的工作。

三、实施审计工作

(一)自上而下的方法

审计指引第十条规定,注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。自上而下的方法按照下列思路展开:

1.从财务报表层次初步了解内部控制整体风险; 2.识别企业层面控制;

3.识别重要账户、列报及其相关认定; 4.了解错报的可能来源; 5.选择拟测试的控制。

在财务报告内控审计中,自上而下的方法始于财务报表层次,以注册会计师对财务报告内部控制整体风险的了解开始,然后,注册会计师将关注重点放在企业层面的控制上,并将工作逐渐下移至重大账户、列报及相关的认定。这种方法引导注册会计师将注意力放在显示有可能导致财务报表及相关列报发生重大错报的账户、列报及认定上。之后,注册会计师验证其了解到的业务流程中存在的风险,并就已评估的每个相关认定的错报风险,选择足以应对这些风险的业务层面控制进行测试。在非财务报告内控审计中,自上而下的方法始于企业层面控制,并将审计测试工作逐步下移到业务层面控制。

自上而下的方法描述了注册会计师在识别风险以及拟测试的控制时的连续思维过程,但并不一定是注册会计师执行审计程序的顺序。

(二)识别企业层面控制

从财务报表层次初步了解财务报告内部控制整体风险是自上而下方法的第一步。通过了解企业与财务报告相关的整体风险,注册会计师首先可以识别出为保持有效的财务报告内部控制而必需的企业层面内部控制。此外,由于对企业层面内部控制的评价结果将影响注册会计师测试其他控制的性质、时间安排和范围,因此,注册会计师可以考虑在执行业务的早期阶段对企业层面内部控制进行评价。

1.评价企业层面控制的精确度。不同的企业层面控制在性质和精确度上存在着差异,这些差异可能对其他控制及其测试产生影响。

(1)某些企业层面控制,如企业经营理念、管理层的管理风格等与控制环境相关的控制,对及时防止或发现并纠正相关认定的错报的可能性有重要影响。虽然这种影响是间接的,但这些控制仍然可能影响注册会计师拟测试的其他控制,以及测试程序的性质、时间安排和范围。

(2)某些企业层面控制旨在识别其他控制可能出现的失效情况,能够监督其他控制的有效性,但还不足以精确到及时防止或发现并纠正相关认定的错报。当这些控制运行有效时,注册会计师可以减少对其他控制的测试。(3)某些企业层面控制本身能够精确到足以及时防止或发现并纠正相关认定的错报。如果一项企业层面控制足以应对已评估的错报风险,注册会计师就不必测试与该风险相关的其他控制。2.企业层面控制的内容

(1)与内部环境相关的控制。内部环境,即控制环境,包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。良好的控制环境是实施有效内部控制的基础。

(2)针对管理层(董事会、经理层)凌驾于控制之上的风险而设计的控制。该控制对所有企业保持有效的内部控制都有重要影响。注册会计师可以根据对企业舞弊风险的评估作出判断,选择相关的企业层面控制进行测试,并评价这些控制能否有效应对管理层凌驾于控制之上的风险。

(3)企业的风险评估过程。风险评估过程包括识别与财务报告相关的经营风险和其他经营管理风险,以及针对这些风险采取的措施。首先,企业的内部控制能够充分识别企业外部环境(如在经济、政治、法律法规、竞争者行为、债权人需求、技术变革等方面)存在的风险;其次,充分且适当的风险评估过程需要包括对重大风险的估计、对风险发生可能性的评估以及确定应对风险的方法。注册会计师可以首先了解企业及其内部环境的其他方面信息,以初步了解企业的风险评估过程。

(4)对内部信息传递和财务报告流程的控制。财务报告流程的控制可以确保管理层按照适当的会计准则编制合理、可靠的财务报告并对外报告。

(5)对控制有效性的内部监督和自我评价。企业对控制有效性的内部监督和自我评价可以在企业层面上实施,也可以在业务流程层面上实施,包括:对运行报告的复核和核对、与外部人士的沟通、对其他未参与控制执行人员的监控活动,以及将信息系统记录数据与实物资产进行核对等。

此外,企业层面控制还包括:集中化的处理和控制,包括共享的服务环境;监控经营成果的控制;针对重大经营控制以及风险管理实务而采取的政策。

(三)测试控制设计和运行的有效性

审计指引第十四条规定,注册会计师应当测试内部控制设计与运行的有效性。如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行,能够实现控制目标,表明该项控制的设计是有效的。如果某项控制正在按照设计运行,执行人员拥有必要授权和专业胜任能力,能够实现控制目标,表明该项控制的运行是有效的。

设计不当的控制可能表明控制存在缺陷甚至重大缺陷,注册会计师在测试控制运行的有效性时,首先要考虑控制的设计。注册会计师在测试控制设计与运行的有效性时,应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。注册会计师测试控制有效性实施的程序,按提供证据的效力,由弱到强排序为:询问、观察、检查和重新执行。其中询问本身并不能为得出控制是否有效的结论提供充分、适当的证据。执行穿行测试通常足以评价控制设计的有效性。

(四)与控制相关的风险与拟获取证据的关系

在测试所选定控制的有效性时,注册会计师需要根据与控制相关的风险,确定所需获取的证据。与控制相关的风险包括控制可能无效的风险和因控制无效而导致重大缺陷的风险。与控制相关的风险越高,注册会计师需要获取的证据就越多。

与某项控制相关的风险受下列因素的影响:

(1)该项控制拟防止或发现并纠正的错报的性质和重要程度;(2)相关账户、列报及其认定的固有风险;(3)相关账户或列报是否曾经出现错报;

(4)交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的有效性产生不利影响;

(5)企业层面控制(特别是对控制有效性的内部监督和自我评价)的有效性;(6)该项控制的性质及其执行频率;

(7)该项控制对其他控制(如内部环境或信息技术一般控制)有效性的依赖程度;

(8)该项控制的执行或监督人员的专业胜任能力,以及其中的关键人员是否发生变化;

(9)该项控制是人工控制还是自动化控制;

(10)该项控制的复杂程度,以及在运行过程中依赖判断的程度。

针对每一相关认定,注册会计师都需要获取控制有效性的证据,以便对内部控制整体的有效性单独发表意见,但注册会计师没有责任对单项控制的有效性发表意见。

对于控制运行偏离设计的情况(即控制偏差),注册会计师需要考虑该偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。

注册会计师通过测试控制有效性获取的证据,取决于实施程序的性质、时间安排和范围的组合。就单项控制而言,注册会计师应当根据与该项控制相关的风险,适当确定实施程序的性质、时间安排和范围,以获取充分、适当的证据。测试控制有效性实施的程序,其性质在很大程度上取决于拟测试控制的性质。某些控制可能存在文件记录,反映其运行的有效性,而另外一些控制,如管理理念和经营风格,可能没有书面的运行证据。对缺乏正式运行证据的企业或企业的某个业务单元,注册会计师可以通过询问并结合运用观察活动、检查非正式的书面记录和重新执行某些控制等程序,获取有关控制有效性的充分、适当的证据。

对控制有效性的测试涵盖的期间越长,提供的控制有效性的证据越多。注册会计师需要获取内部控制在企业内部控制自我评价基准日前足够长的期间内有效运行的证据。对控制有效性的测试实施的时间安排越接近企业内部控制自我评价基准日,提供的控制有效性的证据越有力。因此,审计指引第十七条规定,注册会计师在确定测试的时间安排时,应当在下列两个因素之间作出平衡,以获取充分、适当的证据:

(1)尽量在接近企业内部控制自我评价基准日实施测试;(2)实施的测试需要涵盖足够长的期间。

在企业内部控制自我评价基准日之前,管理层可能为提高控制效率、效果或弥补控制缺陷而改变企业的控制。如果新控制实现了相关控制目标,运行足够长的时间,且注册会计师能够测试并评价该项控制设计和运行的有效性,则无需测试被取代的控制。如果被取代控制设计和运行的有效性对控制风险的评估有重大影响,注册会计师则需要测试该项控制的有效性。

注册会计师执行内部控制审计业务通常旨在对企业内部控制自我评价基准日(通常为年末)内部控制的有效性发表意见。如果已获取有关控制在期中运行有效性的证据,注册会计师应当确定还需要获取哪些补充证据,以证实在剩余期间控制的运行情况。在将期中测试的结果更新至年末时,注册会计师需要考虑下列因素,以确定需获取的补充证据:

(1)期中测试的特定控制的有关情况,包括与控制相关的风险、控制的性质和测试的结果;

(2)期中获取的有关证据的充分性、适当性;(3)剩余期间的长短;

(4)期中测试之后,内部控制发生重大变化的可能性及其变化情况。

(五)连续审计时的特殊考虑

在连续审计中,注册会计师在确定测试的性质、时间安排和范围时,还需要考虑以前年度执行内部控制审计时了解的情况。

影响连续审计中与某项控制相关的风险的因素除第(四)部分“风险与拟获取证据的关系”中所列的10项因素外,还包括:

(1)以前年度审计中所实施程序的性质、时间安排和范围;(2)以前年度对控制的测试结果;

(3)上次审计之后,控制或其运行流程是否发生变化,尤其是考虑IT环境的变化。

在考虑上述所列的风险因素以及连续审计中可获取的进一步信息之后,只有当认为与控制相关的风险水平比以前年度有所下降时,注册会计师在本年度审计中才可以减少测试。

为保证控制测试的有效性,使测试具有不可预见性,并能应对环境的变化,注册会计师需要每年改变控制测试的性质、时间安排和范围。每年在期中不同的时段测试控制,并增加或减少所执行测试的数量和种类,或者改变所使用测试程序的组合等。

四、评价控制缺陷

(一)评价控制缺陷的总体要求

如果某项控制的设计、实施或运行不能及时防止或发现并纠正财务报表错报,则表明内部控制存在缺陷。如果企业缺少用以及时防止或发现并纠正财务报表错报的必要控制,同样表明存在内部控制缺陷。

内部控制缺陷包括设计缺陷和运行缺陷。设计缺陷是指缺少为实现控制目标所必需的控制,或者现有控制设计不适当,即使正常运行也难以实现控制目标。运行缺陷是指设计适当的控制没有按设计意图运行,或者执行人员缺乏必要授权或专业胜任能力,无法有效实施控制。

内部控制存在的缺陷,按严重程度分为重大缺陷、重要缺陷和一般缺陷。

重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。具体到财务报告内部控制上,就是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表重大错报的一个或多个控制缺陷的组合。

重要缺陷,是指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标。具体就是内部控制中存在的、其严重程度不如重大缺陷、但足以引起企业财务报告监督人员关注的一个或多个控制缺陷的组合。

一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。

注册会计师需要评价其注意到的各项控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成重大缺陷。但是,在计划和实施审计工作时,不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。下列迹象可能表明企业的内部控制存在重大缺陷:

(1)注册会计师发现董事、监事和高级管理人员舞弊;(2)企业更正已经公布的财务报表;

(3)注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报;

(4)企业审计委员会和内部审计机构对内部控制的监督无效。财务报告内部控制控制缺陷的严重程度取决于:(1)控制缺陷导致账户余额或列报错报的可能性;

(2)因一个或多个控制缺陷的组合导致潜在错报的金额大小。

控制缺陷的严重程度与账户余额或列报是否发生错报无必然对应关系,而取决于控制缺陷是否可能导致错报。评价控制缺陷时,注册会计师需要根据财务报表审计中确定的重要性水平,支持对财务报告控制缺陷重要性的评价。注册会计师需要运用职业判断,考虑并衡量定量和定性因素。同时要对整个思考判断过程进行记录,尤其是详细记录关键判断和得出结论的理由。而且,对于“可能性”和“重大错报”的判断,在评价控制缺陷严重性的记录中,注册会计师需要给予明确地考量和陈述。

(二)评价控制缺陷举例

1.单个控制缺陷的识别。下面以未按时进行公司间对账为例,举例说明如何评价财务报告内部控制的控制缺陷。

例如,某公司每月处理大量的公司间常规交易。公司间的单项交易并不重大,主要是涉及资产负债表的活动。公司制度要求逐月进行公司间对账,并在业务单元间函证余额。注册会计师了解到,目前公司没有按时开展对账工作,但公司管理层每月执行相应的程序对挑选出的大额公司间账目进行调查,并编制详细的营业费用差异分析表来评估其合理性。

基于上述情况,注册会计师可以确定此控制缺陷为重要缺陷。因为,由于该控制缺陷引起的财务报表错报可以被合理地预计为介于重要和重大之间,由于公司间单项交易并不重大,这些交易限于资产负债表科目,而且每月执行的补偿性控制应该能够发现重大错报。

仍用上例,如果公司每月处理的大量公司间交易涉及广泛的业务活动,包括涉及公司间利润的存货转移,研究开发成本向业务单元的分摊,公司间单项交易常常是重大的。公司制度要求逐月进行公司间对账,并在业务单元间函证余额。注册会计师了解到,目前公司没有按时开展对账工作,这些账目经常出现重大差异。而且,公司管理层没有执行任何补偿性控制来调查重大的公司间账目差异。

基于上述情况,注册会计师可以确定此控制缺陷为重大缺陷。因为,由于该控制缺陷引起的财务报表错报可以被合理地预计为是重大的,由于公司间单项交易常常是重大的,而且涉及大范围活动。另外,在公司间账目上尚未对账的差异是重要的,由于这种错报常常发生,财务报表错报可能出现,而且补偿性控制无效。

2.多个控制缺陷的识别示例

例如,注册会计师识别出以下控制缺陷:

(1)对特定信息系统访问控制的权限分配不当;

(2)存在若干明细账不合理交易记录(交易无论单个还是合计都是不重要的);(3)缺乏对受不合理交易记录影响的账户余额的及时对账。

上述每个缺陷均单独代表一个重要缺陷。基于这一情况,注册会计师可以确定这些重要缺陷合并构成重大缺陷。因为,就个别重要缺陷而言,这些缺陷有一定可能性,各自导致金额未达到重要性水平的财务报表错报。可是,这些重要缺陷影响同类会计账户,有一定可能性导致不能防止或发现并纠正重大错报的发生。因此,这些重要缺陷组合在一起符合重大缺陷的定义。

五、完成审计工作

(一)形成审计意见

注册会计师需要评价从各种来源获取的证据,包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷,以形成对内部控制有效性的意见。在评价证据时,注册会计师需要查阅本年度与内部控制相关的内部审计报告或类似报告,并评价这些报告中提到的控制缺陷。

只有在审计范围没有受到限制时,注册会计师才能对内部控制的有效性形成意见。如果审计范围受到限制,注册会计师需要解除业务约定或出具无法表示意见的内部控制审计报告。

(二)获取管理层书面声明

注册会计师需要取得经企业认可的书面声明,书面声明需要包括下列内容:(1)企业董事会认可其对建立健全和有效实施内部控制负责;

(2)企业已对内部控制的有效性作出自我评价,并说明评价时采用的标准以及得出的结论;

(3)企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础;(4)企业已向注册会计师披露识别出的内部控制所有缺陷,并单独披露其中的重大缺陷和重要缺陷;

(5)对于注册会计师在以前年度审计中识别的、已与审计委员会沟通的重大缺陷和重要缺陷,企业是否已经采取措施予以解决;

(6)在企业内部控制自我评价基准日后,内部控制是否发生重大变化,或者存在对内部控制具有重要影响的其他因素。

此外,书面声明中还包括导致财务报表重大错报的所有舞弊,以及不会导致财务报表重大错报,但涉及管理层和其他在内部控制中具有重要作用的员工的所有舞弊。

如果企业拒绝提供或以其他不当理由回避书面声明,注册会计师需要将其视为审计范围受到限制,解除业务约定或出具无法表示意见的内部控制审计报告。同时,注册会计师需要评价,企业拒绝提供书面声明对其他声明(包括在财务报表审计中获取的声明)的可靠性产生的影响。

注册会计师需要按照《中国注册会计师审计准则第1341号——书面声明》的规定,确定声明书的签署者、声明书涵盖的期间以及何时获取更新的声明书等。

(三)沟通相关事项

注册会计师需要与企业沟通审计过程中识别的所有控制缺陷。对于其中的重大缺陷和重要缺陷,需要以书面形式与董事会和经理层沟通。《中国注册会计师审计准则第1152号——向治理层和管理层通报内部控制缺陷》要求注册会计师以书面形式及时向治理层通报审计过程中识别出的值得关注的内部控制缺陷。其中,值得关注的内部控制缺陷包括重大缺陷和重要缺陷。

对于重大缺陷,注册会计师需要以书面形式与企业的董事会及其审计委员会进行沟通。如果认为审计委员会和内部审计机构对内部控制的监督无效,注册会计师需要就此以书面形式直接与董事会和经理层沟通。

对于重要缺陷,注册会计师需要以书面形式与审计委员会沟通。

虽然并不要求注册会计师执行足以识别所有控制缺陷的程序,但是,注册会计师需要沟通其注意到的内部控制的所有缺陷。如果发现企业存在或可能存在舞弊或违反法规行为,注册会计师需要按照《中国注册会计师审计准则第1141号——财务报表审计中对舞弊的考虑》、《中国注册会计师审计准则第1142号——财务报表审计中对法律法规的考虑》的规定,确定并履行自身的责任。

六、出具审计报告

(一)标准内部控制审计报告

当注册会计师出具的无保留意见的内部控制审计报告不附加说明段、强调事项段或任何修饰性用语时,该报告称为标准内部控制审计报告。标准内部控制审计报告包括下列要素:

1.标题。内部控制审计报告的标题统一规范为“内部控制审计报告”。

2.收件人。内部控制审计报告的收件人是指注册会计师按照业务约定书的要求致送内部控制审计报告的对象,一般是指审计业务的委托人。3.引言段。内部控制审计报告的引言段说明企业的名称和内部控制已经过审计。4.企业对内部控制的责任段。企业对内部控制的责任段说明,按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》的规定,建立健全和有效实施内部控制,并评价其有效性是企业董事会的责任。5.注册会计师的责任段。注册会计师的责任段说明,在实施审计工作的基础上,对财务报告内部控制的有效性发表审计意见,并对注意到的非财务报告内部控制的重大缺陷进行披露是注册会计师的责任。

6.内部控制固有局限性的说明段。内部控制无论如何有效,都只能为企业实现控制目标提供合理保证。内部控制实现目标的可能性受其固有限制的影响,注册会计师需要在内部控制固有局限性的说明段说明,内部控制具有固有局限性,存在不能防止和发现错报的可能性。此外,由于情况的变化可能导致内部控制变得不恰当,或对控制政策和程序遵循的程度降低,根据内部控制审计结果推测未来内部控制的有效性具有一定风险。

7.财务报告内部控制审计意见段。如果符合下列所有条件的,注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告:(1)企业按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及企业自身内部控制制度的要求,在所有重大方面保持了有效的内部控制;

(2)注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作,在审计过程中未受到限制。

8.非财务报告内部控制重大缺陷描述段。对于审计过程中注意到的非财务报告内部控制缺陷,如果发现某项或某些控制对企业发展战略、法规遵循、经营的效率效果等控制目标的实现有重大不利影响,确定该项非财务报告内部控制缺陷为重大缺陷的,应当以书面形式与企业董事会和经理层沟通,提醒企业加以改进;同时在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露,提示内部控制审计报告使用者注意相关风险,但无需对其发表审计意见。9.注册会计师的签名和盖章。

10.会计师事务所的名称、地址及盖章。11.报告日期。

如果内部控制审计和财务报表审计整合进行,注册会计师对内部控制审计报告和财务报表审计报告需要签署相同的日期。

(二)非标准内部控制审计报告

1.带强调事项段的非标准内部控制审计报告。注册会计师认为财务报告内部控制虽不存在重大缺陷,但仍有一项或者多项重大事项需要提请内部控制审计报告使用人注意的,需要在内部控制审计报告中增加强调事项段予以说明。注册会计师需要在强调事项段中指明,该段内容仅用于提醒内部控制审计报告使用

者关注,并不影响对财务报告内部控制发表的审计意见。

2.否定意见的内部控制审计报告。注册会计师认为财务报告内部控制存在一项或多项重大缺陷的,除非审计范围受到限制,需要对财务报告内部控制发表否定意见。注册会计师出具否定意见的内部控制审计报告,还需要包括下列重大缺陷的定义、重大缺陷的性质及其对财务报告内部控制的影响程度。3.无法表示意见的内部控制审计报告。注册会计师只有实施了必要的审计程序,才能对内部控制的有效性发表意见。注册会计师审计范围受到限制的,需要解除业务约定或出具无法表示意见的内部控制审计报告,并就审计范围受到限制的情况,以书面形式与董事会进行沟通。

注册会计师在出具无法表示意见的内部控制审计报告时,需要在内部控制审计报告中指明审计范围受到限制,无法对内部控制的有效性发表意见,并单设段落说明无法表示意见的实质性理由。注册会计师不应在内部控制审计报告中指明所执行的程序,也不应描述内部控制审计的特征,以避免对无法表示意见的误解。注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的,需要在内部控制审计报告中对重大缺陷做出详细说明。

4.期后事项与非标准内部控制审计报告。在企业内部控制自我评价基准日并不存在、但在该基准日之后至审计报告日之前(以下简称期后期间)内部控制可能发生变化,或出现其他可能对内部控制产生重要影响的因素。注册会计师需要询问是否存在这类变化或影响因素,并获取企业关于这些情况的书面声明。注册会计师知悉对企业内部控制自我评价基准日内部控制有效性有重大负面影响的期后事项的,需要对财务报告内部控制发表否定意见。注册会计师不能确定期后事项对内部控制有效性的影响程度的,需要出具无法表示意见的内部控制审计报告。

在出具内部控制审计报告之后,如果知悉在审计报告日已存在的、可能对审计意见产生影响的情况,注册会计师需要按照《中国注册会计师审计准则第1332号——期后事项》的规定办理。

审计指引第三十四条和第三十五条要求注册会计师编制内部控制审计工作底稿,完整记录审计工作情况。

第二篇:企业内部控制审计指引

企业内部控制审计指引

第一章 总则

第一条 为了规范注册会计师执行企业内部控制审计业务,明确工作要求,保证执业质 量,根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准 则,制定本指引。

第二条 本指引所称内部控制审计,是指会计师事务所接受委托,对特定基准日内部控 制设计与运行的有效性进行审计。

第三条 建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会 计师的责任。

第四条 注册会计师执行内部控制审计工作,应当获取充分、适当的证据,为发表内部 控制审计意见提供合理保证。

注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中 注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控 制重大缺陷描述段”予以披露。

第五条 注册会计师可以单独进行内部控制审计,也可将内部控制审计与财务报表审计 整合进行(以下简称整合审计)。

在整合审计中,注册会计师应当对内部控制设计与运行的有效性进行测试,以同时实现 下列目标:

(一)获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发表的意见。

(二)获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结果。

第二章 计划审计工作

第六条 注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能力的项目 组,并对助理人员进行适当的督导。

第七条 在计划审计工作时,注册会计师应当评价下列事项对内部控制、财务报表以及 审计工作的影响:

(一)与企业相关的风险。

(二)相关法律法规和行业概况。

(三)企业组织结构、经营特点和资本结构等相关重要事项。

(四)企业内部控制最近发生变化的程度。

(五)与企业沟通过的内部控制缺陷。

(六)重要性、风险等与确定内部控制重大缺陷相关的因素。

(七)对内部控制有效性的初步判断。

(八)可获取的、与内部控制有效性相关的证据的类型和范围。

第八条 注册会计师应当以风险评估为基础,选择拟测试的控制,确定测试所需收集的 证据。

内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。

第九条 注册会计师应当对企业内部控制自我评价工作进行评估,判断是否利用企业内 部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度,相应减少可能本 应由注册会计师执行的工作。

注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作,应当对 其专业胜任能力和客观性进行充分评价。

与某项控制相关的风险越高,可利用程度就越低,注册会计师应当更多地对该项控制亲

自进行测试。

注册会计师应当对发表的审计意见独立承担责任,其责任不因为利用企业内部审计人 员、内部控制评价人员和其他相关人员的工作而减轻。

第三章 实施审计工作

第十条 注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会

计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时,可以将企业层 面控制和业务层面控制的测试结合进行。

第十一条 注册会计师测试企业层面控制,应当把握重要性原则,至少应当关注:

(一)与内部环境相关的控制。

(二)针对董事会、经理层凌驾于控制之上的风险而设计的控制。

(三)企业的风险评估过程。

(四)对内部信息传递和财务报告流程的控制。

(五)对控制有效性的内部监督和自我评价。

第十二条 注册会计师测试业务层面控制,应当把握重要性原则,结合企业实际、企业

内部控制各项应用指引的要求和企业层面控制的测试情况,重点对企业生产经营活动中的重 要业务与事项的控制进行测试。

注册会计师应当关注信息系统对内部控制及风险评估的影响。

第十三条 注册会计师在测试企业层面控制和业务层面控制时,应当评价内部控制是否 足以应对舞弊风险。

第十四条 注册会计师应当测试内部控制设计与运行的有效性。

如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行,能够 实现控制目标,表明该项控制的设计是有效的。

如果某项控制正在按照设计运行,执行人员拥有必要授权和专业胜任能力,能够实现控 制目标,表明该项控制的运行是有效的。

第十五条 注册会计师应当根据与内部控制相关的风险,确定拟实施审计程序的性质、时间安排和范围,获取充分、适当的证据。与内部控制相关的风险越高,注册会计师需要获 取的证据应越多。

第十六条 注册会计师在测试控制设计与运行的有效性时,应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。

询问本身并不足以提供充分、适当的证据。

第十七条 注册会计师在确定测试的时间安排时,应当在下列两个因素之间作出平衡,以获取充分、适当的证据:

(一)尽量在接近企业内部控制自我评价基准日实施测试。

(二)实施的测试需要涵盖足够长的期间。

第十八条 注册会计师对于内部控制运行偏离设计的情况(即控制偏差),应当确定该 偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。

第十九条 在连续审计中,注册会计师在确定测试的性质、时间安排和范围时,应当考 虑以前执行内部控制审计时了解的情况。

第四章 评价控制缺陷

第二十条 内部控制缺陷按其成因分为设计缺陷和运行缺陷,按其影响程度分为重大缺 陷、重要缺陷和一般缺陷。

注册会计师应当评价其识别的各项内部控制缺陷的严重程度,以确定这些缺陷单独或组 合起来,是否构成重大缺陷。

第二十一条 在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷

时,注册会计师应当评价补偿性控制(替代性控制)的影响。企业执行的补偿性控制应当具 有同样的效果。

第二十二条 表明内部控制可能存在重大缺陷的迹象,主要包括:

(一)注册会计师发现董事、监事和高级管理人员舞弊。

(二)企业更正已经公布的财务报表。

(三)注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现 该错报。

(四)企业审计委员会和内部审计机构对内部控制的监督无效。

第五章 完成审计工作

第二十三条 注册会计师完成审计工作后,应当取得经企业签署的书面声明。书面声明 应当包括下列内容:

(一)企业董事会认可其对建立健全和有效实施内部控制负责。

(二)企业已对内部控制的有效性作出自我评价,并说明评价时采用的标准以及得出的 结论。

(三)企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础。

(四)企业已向注册会计师披露识别出的所有内部控制缺陷,并单独披露其中的重大缺 陷和重要缺陷。

(五)企业对于注册会计师在以前审计中识别的重大缺陷和重要缺陷,是否已经采 取措施予以解决。

(六)企业在内部控制自我评价基准日后,内部控制是否发生重大变化,或者存在对内 部控制具有重要影响的其他因素。

第二十四条 企业如果拒绝提供或以其他不当理由回避书面声明,注册会计师应当将其 视为审计范围受到限制,解除业务约定或出具无法表示意见的内部控制审计报告。第二十五条 注册会计师应当与企业沟通审计过程中识别的所有控制缺陷。对于其中的 重大缺陷和重要缺陷,应当以书面形式与董事会和经理层沟通。

注册会计师认为审计委员会和内部审计机构对内部控制的监督无效的,应当就此以书面 形式直接与董事会和经理层沟通。

书面沟通应当在注册会计师出具内部控制审计报告之前进行。

第二十六条 注册会计师应当对获取的证据进行评价,形成对内部控制有效性的意见。

第六章 出具审计报告

第二十七条 注册会计师在完成内部控制审计工作后,应当出具内部控制审计报告。标 准内部控制审计报告应当包括下列要素:

(一)标题。

(二)收件人。

(三)引言段。

(四)企业对内部控制的责任段。

(五)注册会计师的责任段。

(六)内部控制固有局限性的说明段。

(七)财务报告内部控制审计意见段。

(八)非财务报告内部控制重大缺陷描述段。

(九)注册会计师的签名和盖章。

(十)会计师事务所的名称、地址及盖章。

(十一)报告日期。

第二十八条 符合下列所有条件的,注册会计师应当对财务报告内部控制出具无保留意

见的内部控制审计报告:

(一)企业按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部 控制评价指引》以及企业自身内部控制制度的要求,在所有重大方面保持了有效的内部控制。

(二)注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作,在 审计过程中未受到限制。

第二十九条 注册会计师认为财务报告内部控制虽不存在重大缺陷,但仍有一项或者多

项重大事项需要提请内部控制审计报告使用者注意的,应当在内部控制审计报告中增加强调 事项段予以说明。

注册会计师应当在强调事项段中指明,该段内容仅用于提醒内部控制审计报告使用者关 注,并不影响对财务报告内部控制发表的审计意见。

第三十条 注册会计师认为财务报告内部控制存在一项或多项重大缺陷的,除非审计范 围受到限制,应当对财务报告内部控制发表否定意见。

注册会计师出具否定意见的内部控制审计报告,还应当包括下列内容:

(一)重大缺陷的定义。

(二)重大缺陷的性质及其对财务报告内部控制的影响程度。

第三十一条 注册会计师审计范围受到限制的,应当解除业务约定或出具无法表示意见 的内部控制审计报告,并就审计范围受到限制的情况,以书面形式与董事会进行沟通。注册会计师在出具无法表示意见的内部控制审计报告时,应当在内部控制审计报告中指 明审计范围受到限制,无法对内部控制的有效性发表意见。

注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的,应当在内部 控制审计报告中对重大缺陷作出详细说明。

第三十二条 注册会计师对在审计过程中注意到的非财务报告内部控制缺陷,应当区别 具体情况予以处理:

(一)注册会计师认为非财务报告内部控制缺陷为一般缺陷的,应当与企业进行沟通,提醒企业加以改进,但无需在内部控制审计报告中说明。

(二)注册会计师认为非财务报告内部控制缺陷为重要缺陷的,应当以书面形式与企业 董事会和经理层沟通,提醒企业加以改进,但无需在内部控制审计报告中说明。

(三)注册会计师认为非财务报告内部控制缺陷为重大缺陷的,应当以书面形式与企业 董事会和经理层沟通,提醒企业加以改进;同时应当在内部控制审计报告中增加非财务报告 内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行 露,提示内部控制审计报告使用者注意相关风险。

第三十三条 在企业内部控制自我评价基准日并不存在、但在该基准日之后至审计报告

日之前(以下简称期后期间)内部控制可能发生变化,或出现其他可能对内部控制产生重要 影响的因素。注册会计师应当询问是否存在这类变化或影响因素,并获取企业关于这些情况 的书面声明。

注册会计师知悉对企业内部控制自我评价基准日内部控制有效性有重大负面影响的期 后事项的,应当对财务报告内部控制发表否定意见。

注册会计师不能确定期后事项对内部控制有效性的影响程度的,应当出具无法表示意见 的内部控制审计报告。

第七章 记录审计工作

第三十四条 注册会计师应当按照《中国注册会计师审计准则第1131号—审计工作底 稿》的规定,编制内部控制审计工作底稿,完整记录审计工作情况。

第三十五条 注册会计师应当在审计工作底稿中记录下列内容:

(一)内部控制审计计划及重大修改情况。

(二)相关风险评估和选择拟测试的内部控制的主要过程及结果。

(三)测试内部控制设计与运行有效性的程序及结果。

(四)对识别的控制缺陷的评价。

(五)形成的审计结论和意见。

(六)其他重要事项。

第三篇:企业内部控制审计指引02[范文模版]

企业内部控制审计指引-0

2第一节基本内容

二、计划审计工作

第六条 注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。

第七条 在计划审计工作时,注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响:

(一)与企业相关的风险。

(二)相关法律法规和行业概况。

(三)企业组织结构、经营特点和资本结构等相关重要事项。

(四)企业内部控制最近发生变化的程度。

(五)与企业沟通过的内部控制缺陷。

(六)重要性、风险等与确定内部控制重大缺陷相关的因素。

(七)对内部控制有效性的初步判断。

(八)可获取的、与内部控制有效性相关的证据的类型和范围。

第八条 注册会计师应当以风险评估为基础,选择拟测试的控制,确定测试所需收集的证据。

内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多。

第九条 注册会计师应当对企业内部控制自我评价工作进行评估,判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度,相应减少可能本应由注册会计师执行的工作。

注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作,应当对其专业胜任能力和客观性进行充分评价。

与某项控制相关的风险越高,可利用程度就越低,注册会计师应当更多地对该项控制亲自进行测试。

注册会计师应当对发表的审计意见独立承担责任,其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。

三、实施审计工作

第十条 注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时,可以将企业层

面控制和业务层面控制的测试结合进行。

第十一条 注册会计师测试企业层面控制,应当把握重要性原则,至少应当关注:

(一)与内部环境相关的控制。

(二)针对董事会、经理层凌驾于控制之上的风险而设计的控制。

(三)企业的风险评估过程。

(四)对内部信息传递和财务报告流程的控制。

(五)对控制有效性的内部监督和自我评价。

第十二条 注册会计师测试业务层面控制,应当把握重要性原则,结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况,重点对企业生产经营活动中的重要业务与事项的控制进行测试。

注册会计师应当关注信息系统对内部控制及风险评估的影响。

第十三条 注册会计师在测试企业层面控制和业务层面控制时,应当评价内部控制是否足以应对舞弊风险。

第十四条 注册会计师应当测试内部控制设计与运行的有效性。

如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行,能够实现控制目标,表明该项控制的设计是有效的。

如果某项控制正在按照设计运行,执行人员拥有必要授权和专业胜任能力,能够实现控制目标,表明该项控制的运行是有效的。

第十五条 注册会计师应当根据与内部控制相关的风险,确定拟实施审计程序的性质、时间安排和范围,获取充分、适当的证据。与内部控制相关的风险越高,注册会计师需要获取的证据应越多。

第十六条注册会计师在测试控制设计与运行的有效性时,应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。

询问本身并不足以提供充分、适当的证据。

第十七条 注册会计师在确定测试的时间安排时,应当在下列两个因素之间作出平衡,以获取充分、适当的证据:

(一)尽量在接近企业内部控制自我评价基准日实施测试。

(二)实施的测试需要涵盖足够长的期间。

第十八条 注册会计师对于内部控制运行偏离设计的情况(即控制偏差),应当确定该偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。

第十九条在连续审计中,注册会计师在确定测试的性质、时间安排和范围时,应当考

虑以前执行内部控制审计时了解的情况。

第四篇:企业内部控制审计指引讲解 课后练习

企业内部控制审计指引讲解 课后练习

判断题:

1、注册会计师应当对财务报告内部控制和非财务报告内部控制的有效性发表审计意见。

A、对 B、错

题目解析:注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

2、注册会计师必须将内部控制审计与财务报表审计整合进行。

A、对 B、错

题目解析:只要能够实现审计目标,注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行。

3、与某项控制相关的风险越高,对相关人员工作的可利用程度就越高,注册会计师应当更少地对该项控制亲自进行测试。

A、对 B、错

题目解析:与某项控制相关的风险越高,对相关人员工作的可利用程度就越低,注册会计师应当更多地对该项控制亲自进行测试。

4、注册会计师在实施审计工作时,可以将企业层面控制和业务层面控制的测试结合进行。

A、对 B、错

题目解析:这样有助于注册会计师有效收集审计证据,对内控发表审计意见。

5、如果某项控制正在按照设计运行,执行人员拥有必要授权和专业胜任能力,能够实现控制目标,表明该项控制的设计是有效的。

A、对 B、错 题目解析:如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行,能够实现控制目标,表明该项控制的设计是有效的。如果某项控制正在按照设计运行,执行人员拥有必要授权和专业胜任能力,能够实现控制目标,表明该项控制的执行是有效的。

6、注册会计师应当根据重要性和审计风险水平,确定拟实施审计程序的性质、时间安排和范围,获取充分、适当的证据。

A、对 B、错

题目解析:在内部控制审计中,注册会计师应当根据与内部控制相关的风险,确定拟实施审计程序的性质、时间安排和范围。

7、注册会计师应当评价其识别的各项内部控制缺陷的严重程度,以确定这些缺陷单独是否构成重大缺陷。

A、对 B、错

题目解析:注册会计师评价其识别的各项内部控制缺陷的严重程度,目的是确定这些缺陷单独或组合起来,是否构成重大缺陷。

8、在确定一项内部控制缺陷或多项内部控制缺陷的组合已构成重大缺陷情况下,即使注册会计师评价其补偿性控制(替代性控制)后认为企业执行的补偿性控制具有同样的效果,也应该认定该项重大缺陷。

A、对 B、错

题目解析:在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时,注册会计师应当评价补偿性控制(替代性控制)的影响。企业执行的补偿性控制应当具有同样的效果。

9、注册会计师应当与企业沟通审计过程中识别的重大和重要缺陷,而不必沟通所有控制缺陷。

A、对 B、错

题目解析:注册会计师应当与企业沟通审计过程中识别的所有控制缺陷,以尽到专业责任。

10、注册会计师认为审计委员会和内部审计机构对内部控制的监督无效的,应当就此以书面形式直接与董事会和经理层沟通。书面沟通既可在出具内部控制审计报告之前进行,也可在出具后进行。

A、对 B、错

题目解析:书面沟通应当在注册会计师出具内部控制审计报告之前进行。

单选题:

1、注册会计师应当以()为基础,选择拟测试的控制,确定测试所需收集的证据。

A、职业判断 B、以往审计经验 C、风险评估

D、重要性和审计风险水平

题目解析:和财务报表审计一样,注册会计师应当以风险评估为基础,选择拟测试的控制,确定测试所需收集的证据。

2、执行内部控制审计时,内部控制的特定领域存在()的风险越高,给予该领域的审计关注就越多。

A、重大错报风险 B、重大缺陷 C、多报 D、少报

题目解析:内部控制审计中要特别关注的是内控是否存在重大缺陷。

3、注册会计师应当按照()方法实施审计工作,该方法是注册会计师识别风险、选择拟测试控制的基本思路。

A、自上而下 B、自下而上 C、风险导向 D、测试基础

题目解析:自上而下方法将使内控审计更有效率和效果。

4、企业如果拒绝提供或以其他不当理由回避书面声明,注册会计师应当将其视为审计范围受到限制,作出()的审计处理。

A、解除业务约定或出具无法表示意见的内部控制审计报告 B、发表保留意见 C、发表否定意见

D、解除与该企业的所有业务关系

题目解析:内部控制审计中,审计范围限制会导致注册会计师解除业务约定或出具无法表示意见的内部控制审计报告。

5、对于重大缺陷和重要缺陷,注册会计师应当以何种形式与董事会和经理层沟通()。

A、审计报告 B、书面形式 C、口头方式 D、电话方式

题目解析:对于其中的重大缺陷和重要缺陷,应当以书面形式与董事会和经理层沟通。

6、注册会计师认为财务报告内部控制虽不存在重大缺陷,但仍有一项或者多项重大事项需要提请内部控制审计报告使用者注意的,应当在内部控制审计报告中增加()予以说明。

A、强调事项段 B、责任说明段 C、审计意见段 D、其他事项段

题目解析:应当在内部控制审计报告中增加强调事项段予以说明。注册会计师在强调事项段中要指明,该段内容仅用于提醒内部控制审计报告使用者关注,并不影响对财务报告内部控制发表的审计意见。

7、注册会计师认为财务报告内部控制存在一项或多项重大缺陷的,除非审计范围受到限制,应当对财务报告内部控制发表()意见。

A、无保留 B、保留 C、否定 D、无法表示

题目解析:这种情况下,应当对财务报告内部控制发表否定意见。内部控制审计后不允许发表保留意见。审计范围受到限制时,应当对财务报告内部控制出具无法表示意见的审计报告或解除业务约定。

8、注册会计师知悉对企业内部控制自我评价基准日内部控制有效性有重大负面影响的期后事项的,应当对财务报告内部控制发表()意见。

A、无保留 B、保留 C、否定 D、无法表示

题目解析:注册会计师知悉对企业内部控制自我评价基准日内部控制有效性有重大负面影响的期后事项的,应当对财务报告内部控制发表否定意见。

9、注册会计师不能确定期后事项对内部控制有效性的影响程度的,应当出具()的内部控制审计报告。

A、无保留意见 B、保留意见 C、否定意见 D、无法表示意见

题目解析:注册会计师不能确定期后事项对内部控制有效性的影响程度的,应当出具无法表示意见的内部控制审计报告。

多选题:

1、在整合审计中,注册会计师应当对内部控制设计与运行的有效性进行测试,以同时实现以下哪些目标()。

A、获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发表的意见 B、获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结果 C、合理确定重要性水平D、合理确定审计风险水平

题目解析:CD不是对内部控制进行测试要实现的目标。

2、在计划审计工作时,注册会计师应当评价以下哪些事项对内部控制、财务报表以及审计工作的影响()。

A、与企业相关的风险

B、企业组织结构、经营特点和资本结构等相关重要事项 C、重要性、风险等与确定内部控制重大缺陷相关的因素 D、可获取的、与内部控制有效性相关的证据的类型和范围

题目解析:因为这四个因素都会对内部控制、财务报表以及审计工作产生影响。

3、注册会计师测试企业层面控制,应当把握重要性原则,至少应当关注以下哪些因素()。

A、与内部环境相关的控制

B、针对董事会、经理层凌驾于控制之上的风险而设计的控制 C、企业重要原材料采购的内部控制 D、对内部信息传递和财务报告流程的控制

题目解析:企业重要原材料采购的内部控制属于业务层面控制。

4、注册会计师在确定测试的时间安排时,应当在哪两个因素之间作出平衡,以获取充分、适当的证据()。

A、尽量在接近企业内部控制自我评价基准日实施测试 B、审计成本 C、审计效益

D、实施的测试需要涵盖足够长的期间 题目解析:审计成本、效益不是注册会计师确定测试的时间安排时,应当考虑的主要因素。

5、内部控制缺陷按其成因分为设计缺陷和运行缺陷,按其影响程度分为()。

A、重大缺陷 B、重要缺陷 C、一般缺陷

D、单独缺陷和组合缺陷

题目解析:单独缺陷和组合缺陷是注册会计师判断缺陷是否构成重大缺陷时要考虑的问题。

6、表明内部控制可能存在重大缺陷的迹象,主要包括()。

A、企业更正已经公布的财务报表

B、注册会计师发现董事、监事和高级管理人员舞弊

C、注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报

D、企业审计委员会和内部审计机构对内部控制的监督无效

题目解析:只有出现ABCD中的任一种情形,都可能表明内控存在重大缺陷。

7、注册会计师执行内部控制审计业务,可能出具的审计报告包括()。

A、无法表示意见的审计报告 B、无保留意见的审计报告 C、保留意见的审计报告 D、否定意见的审计报告

题目解析:执行内部控制审计业务,不准许发表保留意见。

8、同时符合以下哪些条件时,注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告()。

A、企业按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及企业自身内部控制制度的要求,在所有重大方面保持了有效的内部控制

B、注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作,在审计过程中未受到限制 C、财务报表审计后未发现财务报表存在重大错报

D、内部控制审计中未注意到非财务报告内部控制存在重大缺陷

题目解析:财务报表审计后未发现财务报表存在重大错报,或内部控制审计中未注意到非财务报告内部控制存在重大缺陷,并不意味着财务报告内部控制不存在重大缺陷。

9、注册会计师执行内部控制审计业务,发现审计范围受到限制时,应当作出哪些审计处理()。

A、解除业务约定或出具无法表示意见的内部控制审计报告 B、就审计范围受到限制的情况,以书面形式与董事会进行沟通 C、解除与该客户相关的所有业务关系

D、注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的,应当在内部控制审计报告中对重大缺陷做出详细说明

题目解析:注册会计师执行内部控制审计业务,发现审计范围受到限制,并不一定会导致注册会计师解除与该客户相关的所有业务关系。

10、注册会计师对在审计过程中注意到的非财务报告内部控制缺陷,作出哪些处理是适当的()。

A、注册会计师认为非财务报告内部控制缺陷为一般缺陷的,应当与企业进行沟通,提醒企业加以改进,但无需在内部控制审计报告中说明

B、注册会计师认为非财务报告内部控制缺陷为重要缺陷的,应当以书面形式与企业董事会和经理层沟通,提醒企业加以改进,但无需在内部控制审计报告中说明

C、注册会计师认为非财务报告内部控制缺陷为重大缺陷的,应当以书面形式与企业董事会和经理层沟通,提醒企业加以改进;同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段,对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露,提示内部控制审计报告使用者注意相关风险

D、注册会计师应当考虑对财务报告内部控制审计意见的影响,必要时对财务报告内部控制发表保留意见或否定意见 题目解析:注册会计师在审计过程中注意到的非财务报告内部控制缺陷,不影响其对财务报告内部控制发表审计意见。

11、注册会计师应当在审计工作底稿中记录的内容包括()。

A、内部控制审计计划及重大修改情况 B、相关风险评估和选择拟测试的内部控制的主要过程及结果 C、测试内部控制设计与运行有效性的程序及结果 D、对识别的控制缺陷的评价以及形成的审计结论和意见 题目解析:ABCD都是按照指引要求需要记录的内容。

第五篇:企业内部控制审计指引实施意见

中国注册会计师协会 企业内部控制审计指引实施意见

____________________________________________________________________________________

会协〔2011〕 66 号

各省、自治区、直辖市注册会计师协会:

为了规范注册会计师执行内部控制审计业务,明确工作要求,提高执业质量,维护公众利益,我会制定了《企业内部控制审计指引实施意见》,现予印发,自2012年1月1日起施行。执行中有何问题,请及时反馈我会。

附件:企业内部控制审计指引实施意见

中国注册会计师协会 二○一一年十月十一日

中注协负责人就发布

《企业内部控制审计指引实施意见》答记者问

近日,中国注册会计师协会(简称中注协)发布了《企业内部控制审计指引实施意见》(简称《意见》),这是贯彻落实财政部、证监会、审计署、银监会和保监会联合发布的《企业内部控制基本规范》、《企业内部控制审计指引》,提升我国上市公司财务报告信息披露质量和内部控制水平的重要举措。中注协负责人就《意见》的有关问题回答了记者的提问。

记者:《意见》的出台无论是对注册会计师行业,还是上市公司都是一件大事,请谈谈《意见》出台的背景和意义。

答:内部控制是防范企业财务报告错误和舞弊行为的第一道防线,也是保证企业财务报告真实、完整的内在机制。美国安然、世通财务舞弊事件发生后,各国监管机构将监管重心从单纯注重财务报告本身的信息质量,转向财务报告本身信息质量与建立健全财务报告信息质量保证体系并重。

在此背景下,美国国会在2002年颁布的《萨班斯—奥克利法案》中,首次提出对“财务报告内部控制”的有效性进行审计的要求。与此相适应,美国公众公司会计监督委员会(PCAOB)随后发布审计准则,对会计师事务所执行上市公司财务报告内部控制审计工作进行了规范。同样日本《金融商品交易法》也 要求审计师对企业财务报告内部控制进行审计。

顺应国际资本市场监管变革趋势,2008年5月和2010年4月,财政部会同证监会、审计署、银监会和保监会分别发布了《企业内部控制基本规范》和《企业内部控制审计指引》等企业内部控制制度,确立了我国企业内部控制审计制度,要求执行内部控制规范体系的企业,必须聘请会计师事务所对其财务报告内部控制有效性进行审计。其中《企业内部控制审计指引》自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行。

企业内部控制审计制度的确立,改变了企业在上市或再融资时才委托注册会计师对内部控制进行审计的局面,使得企业内部控制审计与财务报告审计一样,成为经常性、周期性业务,上市公司每年要与年报一同公布企业内部控制审计报告。

实施企业内部控制审计的意义在于,注册会计师对企业内部控制有效性进行客观、独立的鉴证,不仅能够监督、推动企业将内部控制规范落到实处,促进企业加强内部控制规范建设,提升财务报告风险防范能力,同时也能够进一步提升企业信息披露的透明度,增强投资者对企业财务信息可靠性的信心,对保护投资者权益和社会公众利益具有重要作用。

发布实施《意见》的意义则在于,为注册会计师更有效地执行企业内部控制审计业务提供了全面的技术指引。如果说2010年发布的《企业内部控制审计指引》是“航行的灯塔”,此次发布的《意见》则是走向航行目标的具体“技术路线图”。

具体来说,《意见》在《企业内部控制审计指引》的基础上,对执行内部控制审计各个关键环节的要求进行补充和细化,从业务约定书签订,到总体审计策略和具体审计计划的制定,到审计工作实施,以及控制缺陷评价,形成审计意见到最终的审计报告出具都进行了较为详细的规定,对注册会计师执行企业内部控制审计业务具有较强的指导意义。特别是对在实务工作中的具体操作问题,如自上而下和风险导向审计方法的运用、控制测试的涵盖期间、控制测试的时间安排、控制测试的样本量、集团企业控制测试、审计工作底稿编制等,《意见》既给出注册会计师需要考虑的基本原则,又提供了具有可操作性的具体措施。

记者:企业内部控制审计的主要内容有哪些?内部控制审计报告对投资人等利益相关者的价值何在?

答:内部控制审计是会计师事务所接受委托,对特定基准日企业内部控制设计与运行的有效性进行审计,并发表审计意见,审计内容包括企业治理结构、机构设置、企业文化、人力资源政策等内部控制环境因素,以及企业识别风险的评估程序、应对风险的具体措施和信息传递有效性、保证内部控制规范建设和有效运行的机制等,全面评价企业设计和运行的内部控制是否能够合理保证财务报告及相关信息合法、真实、完整,以及用于保护资产安全的内部控制是否可靠。

企业内部控制审计意见包括无保留意见、否定意见和无法表示意见三种类型。如果注册会计师审计 后认为企业内部控制在所有重大方面是有效的,则出具无保留意见的内部控制审计报告;如果注册会计师认为企业内部控制存在重大缺陷,则出具否定意见内部控制审计报告;如果注册会计师审计范围受到限制,则应当解除业务约定或出具无法表示意见的内部控制审计报告。

企业内部控制审计与财务报告审计两种意见类型相互关联,但并非一一对应。例如,在执行内部审计过程中,注册会计师发现企业财务报告内部控制存在重大缺陷,应该出具否定意见的内部控制审计报告。如果该内部控制重大缺陷尚未引起企业财务报告的重大错报,注册会计师则出具标准意见的财务报告审计报告。又如,注册会计师对企业财务报告发表否定意见,意味着财务报告的编制不符合适用的会计准则和会计制度的规定,这种情况下,企业的内部控制也通常存在重大缺陷,应该出具否定意见的内部控制审计报告。

因此,企业内部控制审计能够比财务报告审计提供更进一步的信息,有利于投资者在财务报告审计意见类型基础上,深入分析企业内部控制情况、投资风险和投资价值。

问:企业内部控制审计与财务报告审计有何联系?

答:企业内部控制的了解和测试,及其有效性评估是制定财务报告审计策略、实施进一步审计程序的基础和前提。因此,内部控制审计和财务报告审计存在着多方面联系,主要体现在以下五个方面:

一是两者的最终目的一致,虽然二者各有侧重,但最终目的均为提高财务信息质量,提高财务报告的可靠性,为利益相关者提供高质量的信息。

二是两者都采取风险导向审计模式,注册会计师首先实施风险评估程序,识别和评估重大缺陷(或错报)存在的风险。在此基础上,有针对性地采取应对措施,实施相应的审计程序。

三是两者都要了解和测试内部控制,并且对内部控制有效性的定义和评价方法相同,都可能用到询问、检查、观察、穿行测试、重新执行等方法和程序。

四是两者均要识别重点账户、重要交易类别等重点审计领域。注册会计师在财务报告审计中,需要评价这些重点账户和重要交易类别是否存在重大错报;在内部控制审计中,需要评价这些账户和交易是否被内部控制所覆盖。

五是两者确定的重要性水平相同。注册会计师在财务报告审计中确定重要性水平,旨在检查财务报告中是否存在重大错报;在财务报告内部控制审计中确定重要性水平,旨在检查财务报告内部控制是否存在重大缺陷。由于审计对象、判断标准相同,因此二者在审计中确定的重要性水平亦相同。

记者:既然两者存在多方面的密切联系,企业内部控制审计为什么是独立于财务报告审计的单独业务?在审计工作中,是否能够对二者实施整合审计?

答:虽然二者存在着多方面的联系,但财务报告审计是为了提高财务报告的可信赖程度,重在审计“结果”;而内部控制审计是对保证企业财务报告质量的内在机制的审计,重在审计“过程”。审计对象、重点等的不同,使得二者存在实质性差异,内部控制审计独立于财务报告审计。二者差异主要体现在五个方 面:

首先,对内部控制了解和测试的目的不同。注册会计师在财务报告审计中评价内部控制的目的,是为了判断是否可以相应减少实质性程序的工作量,以及支持财务报告的审计意见类型;在内部控制审计中评价内部控制的目的,则是为了对内部控制本身的有效性发表审计意见。

第二,内部控制测试范围存在区别。注册会计师在财务报告审计中,根据成本效益原则可能采取不同的审计策略,对于某些审计领域,可以绕过内部控制测试程序进行审计。而在内部控制审计中,注册会计师则不能绕过内部控制测试程序进行审计,注册会计师应当针对每一审计领域获取控制有效性的证据,以便对内部控制整体的有效性发表意见。

第三,内部控制测试结果所要达到的可靠程度不完全相同。在财务报告审计中,对控制测试的可靠性要求相对较低,注册会计师测试的样本量也有一定的弹性。在内部控制审计中,注册会计师则需要获取内部控制有效性的高度保证,因此对控制测试的可靠性要求较严,样本量选择相对弹性较小。

第四,两者对控制缺陷的评价要求不同。在财务报告审计中,注册会计师仅需将审计过程中识别出的内部控制缺陷区分为值得关注的内部控制缺陷和一般缺陷。而在内部控制审计中,注册会计师需要对内部控制缺陷进行严格的评估,将值得关注的内部控制缺陷进一步区分为重大缺陷和重要缺陷。重大缺陷将影响到审计意见的类型。

第五,审计报告的内容不同。在财务报告审计中,注册会计师一般不对外报告内部控制的情况,除非内部控制影响到对财务报告发表的审计意见。在内部控制审计中,注册会计师应报告内部控制的有效性。

从以上五个方面可以看出,两者差异主要是具体目标、保证程度、评价要求、报告类型等属性上的实质性差异,这些决定了内部控制审计独立于财务报告审计。但在技术层面和实务工作中,两者审计模式、程序、方法等存在着相同之处,风险识别、评估、应对等大量工作内容相近,有很多的基础工作可以共享,在一项审计中发现的问题还可以为另一项审计提供线索和思路。因此,这两项审计工作完全可以整合进行,而由同一家事务所进行整合审计,不仅有利于提高审计效果和效率,降低审计成本,减少重复劳动,而且可以避免审计判断出现不一致的情形,降低企业聘请不同事务所实施审计的负担。

目前,美国《萨班斯——奥克斯利法案》和日本《金融商品交易法》均要求由出具财务报告审计报告的会计师事务所对企业财务报告内部控制进行审计,将企业内部控制审计定位在整合审计。美国的一项调查也显示,企业执行《萨班斯——奥克斯利法案》404条款第二年的成本比第一年下降46%,将两项审计工作更好地整合起来则是其中的一个主要原因。为此,我国《企业内部控制审计指引》也提倡将二者整合进行。

记者:如何保证《意见》的贯彻落实和有效执行?

答:一项制度要发挥好作用,关键在于落实。下一步,中注协将着力抓好以下工作: 第一,不断深化内部控制审计相关规章制度的宣传、动员和培训工作。为了帮助事务所更好提供内部控制审计服务,中注协将举办培训班,指导会计师事务所做好内部控制审计业务,帮助审计人员提高此类审计业务所需的知识和技能。

第二,出台“内部控制审计工作底稿编制指南”,引导事务所切实按照中国注册会计师审计准则、《企业内部控制审计指引》和《意见》执行审计工作,把内部控制审计业务作为一项单独的业务切实做实、做好、做到位。

第三,加强对事务所的专业指导。要求和指导事务所根据自身实际抓紧研究整合审计策略,制定业务规程,建立和完善内部控制审计业务质量控制体系;严格遵守《中国注册会计师职业道德守则》,并对执业过程中获知的信息保密,不得同时为客户提供内部控制咨询和评价服务;提示事务所充分认识到内部控制审计业务时间安排的特殊性,尽早与客户沟通,在期中即开展内部控制审计,以给客户整改内部控制缺陷留下充足时间。

第四,在会计师事务所执业质量检查工作中,中注协将有重点地开展对从事内部控制审计业务会计师事务所的监管,有针对性地加大检查力度,督促其严格遵循执业要求,自觉规范执业行为。发现存在执业质量问题和违背职业道德,将严格惩戒。

记者:您对企业执行内部控制规范有什么建议?

答:企业是内部控制规范建设和执行的主体,对内部控制的有效性承担主体责任,事务所审计则是鉴证监督责任。为保证企业内部控制规范的有效实施,发挥实效,提出以下几点建议:

首先,企业管理层应高度重视内部控制规范体系建设实施工作,要建立健全内部控制领导体制和组织机构,根据基本规范及其配套指引的要求,大力推动内部控制规范体系实施,对业务流程进行系统梳理,识别重要业务流程、流程中容易出错的环节、关键控制点,并抓紧开展内部控制自我评价工作,查漏补缺,为会计师事务所开展内部控制审计工作奠定良好的基础。

其次,企业须尽早落实聘请会计师事务所进行内部控制审计事宜。在财务报表审计中,如果发现重大错报,只要被审计单位最后时刻同意审计调整,注册会计师即可签发无保留意见审计报告。内部控制审计则不同,在内部控制审计中,如果发现被审计单位内部控制存在重大缺陷,注册会计师提请企业整改后,还要跟踪考察整改情况,才能得出控制是否有效的结论,进而决定是否签发无保留意见的审计报告。例如,对于每季运行一次的控制,如果存在重大缺陷,被审计单位需要整改后再运行6个月,注册会计师才能得出控制是否有效的审计结论。因此,企业最好在上半年决定事务所聘请事宜。

再次,推动实现内部控制自我评价工作与内部控制审计工作的良性互动。企业应充分认识内部控制审计业务特点,在开展内部控制自我评价工作时,应当及时与注册会计师沟通和互动,提高自我评价工作可利用程度,降低审计成本,提高工作效率。同时,企业应充分理解内部控制审计工作是一项单独业务,需要事务所增加新的投入,在工作中提供充分的支持。附件

企业内部控制审计指引实施意见

为了规范注册会计师执行财务报告内部控制(以下简称内部控制)审计业务,明确工作要求,提高执业质量,维护公众利益,根据 中国注册会计师审计准则、《企业内部控制基本规范》和《企业内部 控制审计指引》,在整合审计框架下,制定本意见。

一、关于签订业务约定书 只有当内部控制审计的前提条件得到满足,并且会计师事务所符 合独立性要求,具备专业胜任能力时,会计师事务所才能接受或保持 内部控制审计业务。

(一)内部控制审计的前提条件 在确定内部控制审计的前提条件是否得到满足时,注册会计师应 当:

(1)确定被审计单位采用的内部控制标准是否适当;

(2)就被审计单位认可并理解其责任与治理层和管理层达成一致意见。

被审计单位的责任包括:

(1)按照适用的内部控制标准,建立健全和有效实施内部控制,以使财务报表不存在由于舞弊或错误导致的重大错报;

(2)对内部控制的有效性进行评价并编制内部控制评价报告;

(3)向注册会计师提供必要的工作条件,包括允许注册会计师 接触与内部控制审计相关的所有信息(如记录、文件和其他事项)

允许注册会计师在获取审计证据时不受限制地接触其认为必要的内 部人员和其他相关人员等。

(二)签订单独的内部控制审计业务约定书 如果决定接受或保持内部控制审计业务,会计师事务所应当与被 审计单位签订单独的内部控制审计业务约定书。业务约定书应当至少 包括下列内容:

(1)内部控制审计的目标和范围;

(2)注册会计师的责任;

(3)被审计单位的责任;

(4)指出被审计单位采用的内部控制标准;

(5)提及注册会计师拟出具的内部控制审计报告的形式和内容,以及对在特定情况下出具的内部控制审计报告可能不同于预期形式 和内容的说明;

(6)审计收费。

二、关于计划审计工作 注册会计师应当贯彻风险导向审计的思路,恰当地计划内部控制 审计工作,制订总体审计策略和具体审计计划。

(一)总体审计策略 注册会计师应当在总体审计策略中体现下列内容:

(1)确定内部控制审计业务特征,以界定审计范围。例如,被 审计单位采用的内部控制标准、注册会计师预期内部控制审计工作涵 盖的范围、对组成部分注册会计师工作的参与程度、注册会计师对被 审计单位内部控制评价工作的了解以及拟利用被审计单位内部相关 人员工作的程度等。对于按照权益法核算的投资,内部控制审计范围应当包括针对权 益法下相关会计处理而实施的内部控制,但通常不包括针对权益法下 被投资方的内部控制。内部控制审计范围应当包括被审计单位在内部控制评价基准日(最近一个会计期间截止日,以下简称基准日)或在此之前收购的实体,以及在基准日作为终止经营进行会计处理的业务。注册会计师应 当确定是否有必要对与这些实体或业务相关的控制实施测试。如果法律法规的相关豁免规定允许被审计单位不将某些实体纳 入内部控制评价范围,注册会计师可以不将这些实体纳入内部控制审 计的范围。

(2)明确内部控制审计业务的报告目标,以计划审计的时间安 排和所需沟通的性质。例如,被审计单位对外公布或报送内部控制审 计报告的时间、注册会计师与管理层和治理层讨论内部控制审计工作 的性质、时间安排和范围,注册会计师与管理层和治理层讨论拟出具 内部控制审计报告的类型和时间安排以及沟通的其他事项等。

(3)根据职业判断,考虑用以指导项目组工作方向的重要因素。例如,财务报表整体的重要性和实际执行的重要性、初步识别的可能 存在重大错报的风险领域、内部控制最近发生变化的程度、与被审计 单位沟通过的内部控制缺陷、对内部控制有效性的初步判断、信息技 术和业务流程的变化等。

(4)考虑初步业务活动的结果,并考虑对被审计单位执行其他 业务时获得的经验是否与内部控制审计业务相关(如适用)。

(5)确定执行内部控制审计业务所需资源的性质、时间安排和范围。例如,项目组成员的选择以及对项目组成员审计工作的分派,项目时间预算等。

(二)具体审计计划 注册会计师应当在具体审计计划中体现下列内容:

(1)了解和识别内部控制的程序的性质、时间安排和范围;

(2)测试控制设计有效性的程序的性质、时间安排和范围;

(3)测试控制运行有效性的程序的性质、时间安排和范围。

(三)对应对舞弊风险的考虑 在计划和实施内部控制审计工作时,注册会计师应当考虑财务报 表审计中对舞弊风险的评估结果。在识别和测试企业层面控制以及选 择其他控制进行测试时,注册会计师应当评价被审计单位的内部控制 是否足以应对识别出的、由于舞弊导致的重大错报风险,并评价为应 对管理层和治理层凌驾于控制之上的风险而设计的控制。被审计单位为应对这些风险可能设计的控制包括:

(1)针对重大的非常规交易的控制,尤其是针对导致会计处理 延迟或异常的交易的控制;(2)针对期末财务报告流程中编制的分录和作出的调整的控制;

(3)针对关联方交易的控制;

(4)与管理层的重大估计相关的控制;

(5)能够减弱管理层和治理层伪造或不恰当操纵财务结果的动 机和压力的控制。如果在内部控制审计中识别出旨在防止或发现并纠正舞弊的控 制存在缺陷,注册会计师应当按照 《中国注册会计师审计准则第 1141 号——财务报表审计中与舞弊相关的责任》的规定,在财务报表审计中制定重大错报风险的应对方案时考虑这些缺陷。

三、关于实施审计工作

(一)采用自上而下的方法 注册会计师应当采用自上而下的方法选择拟测试的控制。自上而下的方法始于财务报表层次,以注册会计师对内部控制整 体风险的了解开始,然后,将关注重点放在企业层面的控制上,并将 工作逐渐下移至重要账户、列报及其相关认定。随后,验证其对被审 计单位业务流程中风险的了解,并选择能足以应对评估的每个相关认 定的重大错报风险的控制进行测试。自上而下的方法分为下列步骤:

(1)从财务报表层次初步了解内部控制整体风险;

(2)识别、了解和测试企业层面控制;

(3)识别重要账户、列报及其相关认定;

(4)了解潜在错报的来源并识别相应的控制;

(5)选择拟测试的控制。本部分第(二)至

(五)对自上而下的方法的各个步骤进行了规 定,第(六)至

(十三)对控制有效性测试进行了规定。

(二)识别、了解和测试企业层面控制 注册会计师应当识别、了解和测试对内部控制有效性有重要影响 的企业层面控制。注册会计师对企业层面控制的评价,可能增加或减 少本应对其他控制进行的测试。

1.企业层面控制对其他控制及其测试的影响 不同的企业层面控制在性质和精确度上存在差异,注册会计师应 当从下列方面考虑这些差异对其他控制及其测试的影响:

(1)某些企业层面控制,如与控制环境相关的控制,对及时防 止或发现并纠正相关认定的错报的可能性有重要影响。虽然这种影响 是间接的,但这些控制仍然可能影响注册会计师拟测试的其他控制,以及测试程序的性质、时间安排和范围。

(2)某些企业层面控制旨在识别其他控制可能出现的失效情况,能够监督其他控制的有效性,但还不足以精确到及时防止或发现并纠 正相关认定的错报。当这些控制运行有效时,注册会计师可以减少对 其他控制的测试。

(3)某些企业层面控制本身能够精确到足以及时防止或发现并 纠正相关认定的错报。如果一项企 业层面控制足以应对已评估的错报 风险,注册会计师就不必测试与该风险相关的其他控制。

2.企业层面控制的内容 企业层面控制包括下列内容:

(1)与控制环境(即内部环境)相关的控制;

(2)针对管理层和治理层凌驾于控制之上的风险而设计的控制;

(3)被审计单位的风险评估过程;

(4)对内部信息传递和期末财务报告流程的控制;

(5)对控制有效性的内部监督(即监督其他控制的控制)和内 部控制评价。此外,集中化的处理和控制(包括共享的服务环境)、监控经营 成果的控制以及针对重大经营控制及风险管理实务的政策也属于企 业层面控制。

3.对期末财务报告流程的评价 期末财务报告流程对内部控制审计和财务报表审计有重要影响,注册会计师应当对期末财务报告流程进行评价。期末财务报告流程包括:

(1)将交易总额登入总分类账的程序;

(2)与会计政策的选择和运用相关的程序;

(3)总分类账中会计分录的编制、批准等处理程序;

(4)对财务报表进行调整的程序;

(5)编制财务报表的程序。

注册会计师应当从下列方面评价期末财务报告流程:

(1)被审计单位财务报表的编制流程,包括输入、处理及输出;

(2)期末财务报告流程中运用信息技术的程度;

(3)管理层中参与期末财务报告流程的人员;

(4)纳入财务报表编制范围的组成部分;

(5)调整分录及合并分录的类型;

(6)管理层和治理层对期末财务报告流程进行监督的性质及范围。

(三)识别重要账户、列报及其相关认定 注册会计师应当基于财务报表层次识别重要账户、列报及其相关 认定。如果某账户或列报可能存在一个错报,该错报单独或连同其他错 报将导致财务报表发生重大错报,则该账户或列报为重要账户或列 报。判断某账户或列报是否重要,应当依据其固有风险,而不应考虑 相关控制的影响。如果某财务报表认定可能存在一个或多个错报,这些错报将导致 财务报表发生重大错报,则该认定为相关认定。判断某认定是否为相关认定,应当依据其固有风险,而不应考虑相关控制的影响。为识别重要账户、列报及其相关认定,注册会计师应当从下列方 面评价财务报表项目及附注的错报风险因素:

(1)账户的规模和构成;(2)易于发生错报的程度;

(3)账户或列报中反映的交易的业务量、复杂性及同质性;

(4)账户或列报的性质;

(5)与账户或列报相关的会计处理及报告的复杂程度;

(6)账户发生损失的风险;

(7)账户或列报中反映的活动引起重大或有负债的可能性;

(8)账户记录中是否涉及关联方交易;

(9)账户或列报的特征与前期相比发生的变化。在识别重要账户、列报及其相关认定时,注册会计师还应当确 定重大错报的可能来源。注册会计师可以通过考虑在特定的重要账户 或列报中错报可能发生的领域和原因,确定重大错报的可能来源。在内部控制审计中,注册会计师在识别重要账户、列报及其相关 认定时应当评价的风险因素,与财务报表审计中考虑的因素相同。因 此,在这两种审计中识别的重要账户、列报及其相关认定应当相同。如果某账户或列报的各组成部分存在的风险差异较大,被审计单 位可能需要采用不同的控制以应对这些风险,注册会计师应当分别予 以考虑。

(四)了解潜在错报的来源并识别相应的控制 注册会计师应当实现下列目标,以进一步了解潜在错报的来源,并为选择拟测试的控制奠定基础:

(1)了解与相关认定有关的交易的处理流程,包括这些交易如 何生成、批准、处理及记录;

(2)验证注册会计师识别出的业务流程中可能发生重大错报(包 括由于舞弊导致的错报)的环节;

(3)识别被审计单位用于应对这些错报或潜在错报的控制;

(4)识别被审计单位用于及时防止或发现并纠正未经授权的、导致重大错报的资产取得、使用或处臵的控制。注册会计师应当亲自执行能够实现上述目标的程序,或对提供直 接帮助的人员的工作进行督导。穿行测试通常是实现上述目标的最有效方式。穿行测试是指追踪 某笔交易从发生到最终被反映在财务报表中的整个处理过程。注册会 计师在执行穿行测试时,通常需要综合运用询问、观察、检查相关文 件及重新执行等程序。在执行穿行测试时,针对重要处理程序发生的环节,注册会计师 可以询问被审计单位员工对规定程序及控制的了解程度。实施询问程 序连同穿行测试中的其他程序,可以帮助注册会计师充分了解业务流 程,识别必要控制设计无效或出现缺失的重要环节。为有助于了解业 务流程处理的不同类型的重大交易,在实施询问程序时,注册会计师 不应局限于关注穿行测试所选定的单笔交易。

(五)选择拟测试的控制 注册会计师应当针对每一相关认定获取控制有效性的审计证据,以便对内部控制整体的有效性发表意见,但没有责任对单项控制的有 效性发表意见。注册会计师应当对被审计单位的控制是否足以应对评估的每个相关认定的错报风险形成结论。因此,注册会计师应当选择对形 成这 一评价结论具有重要影响的控制进行测试。对特定的相关认定而言,可能有多项控制用以应对评估的错报风 险;反之,一项控制也可能应对评估的多项相关认定的错报风险。注 册会计师没有必要测试与某项相关认定有关的所有控制。在确定是否测试某项控制时,注册会计师应当考虑该项控制单独 或连同其他控制,是否足以应对评估的某项相关认定的错报风险,而 不论该项控制的分类和名称如何。

(六)测试控制设计的有效性 注册会计师应当测试控制设计的有效性。如果某项控制由拥有有效执行控制所需的授权和专业胜任能力 的人员按规定的程序和要求执行,能够实现控制目标,从而有效地防 止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊,则表 明该项控制的设计是有效的。

(七)测试控制运行的有效性 注册会计师应当测试控制运行的有效性。如果某项控制正在按照设计运行、执行人员拥有有效执行控制所 需的授权和专业胜任能力,能够实现控制目标,则表明该项控制的运 行是有效的。如果被审计单位利用第三方的帮助完成一些财务报告工作,注册 会计师在评价负责财务报告及相关控制的人员的专业胜任能力时,可 以一并考虑第三方的专业胜任能力。注册会计师获取的有关控制运行有效性的审计证据包括:

(1)控制在所审计期间的相关时点是如何运行的;(2)控制是否得到一贯执行;

(3)控制由谁或以何种方式执行。

(八)与控制相关的风险和拟获取的审计证据之间的关系 在测试所选定控制的有效性时,注册会计师应当根据与控制相关 的风险,确定所需获取的审计证据。与控制相关的风险包括一项控制可能无效的风险,以及如果该控 制无效,可能导致重大缺陷的风险。与控制相关的风险越高,注册会 计师需要获取的审计证据就越多。下列因素影响与某项控制相关的风险:

(1)该项控制拟防止或发现并纠正的错报的性质和重要程度;

(2)相关账户、列报及其认定的固有风险;

(3)交易的数量和性质是否发生变化,进而可能对该项控制设 计或运行的有效性产生不利影响;

(4)相关账户或列报是否曾经出现错报;

(5)企业层面控制(特别是监督其他控制的控制)的有效性;

(6)该项控制的性质及其执行频率;

(7)该项控制对其他控制(如控制环境或信息技术一般控制)有效性的依赖程度;

(8)执行该项控制或监督该项控制执行的人员的专业胜任能力,以及其中的关键人员是否发生变化;

(9)该项控制是人工控制还是自动化控制;

(10)该项控制的复杂程度,以及在运行过程中依赖判断的程度。

(九)测试控制有效性的程序 注册会计师通过测试控制有效性获取的审计证据,取决于其实施程 序的性质、时间安排和范围的组合。此外,就单项控制而言,注册 会计师应当根据与控制相关的风险对测试程序的性质、时间安排和范 围进行适当的组合,以获取充分、适当的审计证据。注册会计师测试控制有效性的程序,按其提供审计证据的效力,由弱到强排序通常为:询问、观察、检查和重新执行。询问本身并不 能为得出控制是否有效的结论提供充分、适当的审计证据。测试控制有效性的程序,其性质在很大程度上取决于拟测试控制 的性质。某些控制可能存在反映控制有效性的文件记录,而另外一些 控制,如管理理念和经营风格,可能没有书面的运行证据。对缺乏正式的控制运行证据的被审计单位或业务单元,注册会计 师可以通过询问并结合运用其他程序,如观察活动、检查非正式的书 面记录和重新执行某些控制,获取有关控制是否有效的充分、适当的 审计证据。注册会计师在测试控制设计的有效性时,应当综合运用询问适当 人员、观察经营活动和检查相关文件等程序。注册会计师执行穿行测 试通常足以评价控制设计的有效性。注册会计师在测试控制运行的有效性时,应当综合运用询问适当 人员、观察经营活动、检查相关文件以及重新执行等程序。

(十)控制测试的涵盖期间 对控制有效性的测试涵盖的期间越长,提供的控制有效性的审计 证据越多。单就内部控制审计业务而言,注册会计师应当获取内部控制在基 准日之前一段足够长的期间内有效运行的审计证据。在整合审计中,控制测试所涵盖的期间应当尽量与财务报表审计中拟信赖内部控制的期间保持一致。注册会计师执行内部控制审计业务旨在对基准日内部控制有效 性出具报告。如果已获取有关控制在期中运行有效性的审计证据,注 册会计师应当确定还需要获取哪些补充审计证据,以证实剩余期间控 制的运行情况。在将期中测试结果更新至基准日时,注册会计师应当 考虑下列因素以确定需要获取的补充审计证据:

(1)基准日之前测试的特定控制,包括与控制相关的风险、控 制的性质和测试的结果;

(2)期中获取的有关审计证据的充分性和适当性;

(3)剩余期间的长短;

(4)期中测试之后,内部控制发生重大变化的可能性。针对所有重要账户和列报的每个相关认定,注册会计师应当获取 控制有效性的审计证据。《中国注册会计师审计准则第 1231 号——针 对评估的重大错报风险采取的应对措施》第十四条提及的“三年轮换 测试”不适用(本意见第四部分提及的与基准相比较的策略除外)。

(十一)控制测试的时间安排 对控制有效性测试的实施时间越接近基准日,提供的控制有效性 的审计证据越有力。为了获取充分、适当的审计证据,注册会计师应 当在下列两个因素之间作出平衡,以确定测试的时间:

(1)尽量在接近基准日实施测试;

(2)实施的测试需要涵盖足够长的期间。整改后的内部控制需要在基准日之前运行足够长的时间,注册会 计师才能得出整改后的内部控制是否有效的结论。因此,在接受或保 持内部控制审计业务时,注 册会计师应当尽早与被审计单位沟通这一情况,并合理安排控制测试的时间,留出提前量。例如,注册会计师 在基准日前3个月完成期中测试工作。此外,由于对企业层面控制的 评价结果将影响注册会计师测试其他控制的性质、时间安排和范围,注册会计师可以考虑在执行业务的早期阶段对企业层面控制进行测试。

(十二)控制测试的范围 注册会计师在测试控制的运行有效性时,应当在考虑与控制相关 的风险的基础上,确定测试的范围(样本规模)。注册会计师确定的测试范围,应当足以使其获取充分、适当的审 计证据,为基准日内部控制是否不存在重大缺陷提供合理保证。

1.测试人工控制的最小样本规模在测试人工控制时,如果采用检查或重新执行程序区间确定具体的样本规模;

(3)表 1 假设控制的运行偏差率预期为零。如果预期偏差率不 为零,注册会计师应当扩大样本规模;

(4)如果注册会计师不能确定控制运行频率,但是知道控制运 行总次数,仍可根据“控制运行总次数”一列确定测试的最小样本规 模。

2.测试自动化应用控制的最小样本规模 信息技术处理具有内在一贯性。在信息技术一般控制有效的前提 下,除非系统发生变动,注册会计师只要对自动化应用控制的运行测 试一次,即可得出所测试自动化应用控制是否运行有效的结论。

3.发现偏差时的处理 如果发现控制偏差,注册会计师应当确定其对下列事项的影响:

(1)与所测试控制相关的风险的评估;

(2)需要获取的审计证据;

(3)控制运行有效性的结论。评价控制偏差的影响需要注册会计师运用职业判断,并受到控制 的性质和所发现偏差数量的影响。如果发现的控制偏差是系统性偏差 或人为有意造成的偏差,注册会计师应当考虑舞弊的可能迹象以及对 审计方案的影响。在评价控制测试中发现的某项控制偏差是否为控制缺陷时,注册会计师可以考虑的因素包括:

(1)该偏差是如何被发现的。例如,如果某控制偏差是被另外 一项控制所发现的,则可能意味着被审计单位存在有效的发现性控 制。

(2)该偏差是与某一特定的地点、流程或应用系统相关,还是 对被审计单位有广泛影响。

(3)就被审计单位的内部政策而言,该控制出现偏差的严重程 度。例如,某项控制在执行上晚于被审计单位政策要求的时间,但仍 在编制财务报表之前得以执行,还是该项控制根本没有得以执行。

(4)与控制运行频率相比,偏差发生的频率大小。由于有效的内部控制不能为实现控制目标提供绝对保证,单项控 制并非一定要毫无偏差地运行,才被认为有效。在按照表 1 所列示的 样本规模进行测试的情况下,如果发现控制偏差,注册会计师应当考 虑偏差的原因及性质,并考虑采用扩大样本 量等适当的应对措施以判 断该偏差是否对总体不具有代表性。例如,对每日发生多次的控制,如果初始样本量为 25 个,当测试发现一项控制偏差,且该偏差不是 系统性偏差时,注册会计师可以扩大样本规模进行测试,所增加的样 本量至少为 15 个。如果测试后再次发现偏差,则注册会计师可以得 出该控制无效的结论。如果扩大样本量没有再次发现偏差,则注册会 计师可以得出控制有效的结论。

(十三)控制变更时的特殊考虑 在基准日之前,被审计单位可能为提高控制效率、效果或弥补控 制缺陷而改变控制。对内部控制审计而言,如果新控制实现了相关控制目标,且运行 了足够长的时间,使注册会计师能够通过对该控制进行测试评价其设 计和运行的有效性,则无需测试被取代的控制。对财务报表审计而言,如果被取代控制的运行有效性对控制风险 的评估有重大影响,注册会计师应当测试被取代控制的设计和运行的有效性。

(十四)利用他人的工作 注册会计师应当评估是否利用他人(包括被审计单位的内部审计 人员、内部控制评价人员和其他人员以及在管理层或治理层指导下的 第三方)的工作以及利用的程度,以减少可能本应由注册会计师执行 的工作。如果他人的工作能够提供有关内部控制有效性的审计证据,注册会计师可以利用其工作或者提供的直接帮助。注册会计师应当参照《中国注册会计师审计准则第 1411 号—— 利用内部审计人员的工作》的规定,评价他人的专业胜任能力和客观 性,以确定可利用的程度。在评价他人的专业胜任能力时,注册会计师应当考虑其专业资 格、专业经验与技能等相关因素。在评价他人的客观性时,注册会计 师应当考虑是否存在某些因素,将削弱或者增强其客观性。无论他人的专业胜任能力如何,注册会计师都不应利用客观程度 低的人员的工作。同样,无论他人的客观程度如何,注册会计师都不 应利用专业胜任能力低的人员的工作。被审计单位内部负责监督、稽核或合规工作的人员,如内部审计 人员,通常拥有较高的专业胜任能力和客观性。他们的工作可能对注 册会计师有用。注册会计师利用他人工作的程度还受到与所测试控制相关的风 险的影响。与某项控制相关的风险越高,注册会计师应当越多地亲自 对该项控制进行测试。在识别、了解和测试企业层面控制时,注册会计师不得利用他人 的工作。

(十五)对被审计单位使用服务机构的考虑 如果服务机构提供的服务和对服务的控制,构成被审计单位与财 务报告相关的信息系统(包括相关业务流程)的一部分,注册会计师 应当按照《中国注册会计师审计准则第 1241 号——对被审计单位使 用服务机构的考虑》的规定办理。注册会计师在对被审计单位内部控制的有效性发表意见时,不应 在内部控制审计报告中提及服务机构注册会计师的报告。

四、关于连续审计时的特殊考虑 在连续审计中,注册会计师在确定测试的性质、时间安排和范围 时,应当考虑以前执行内部控制审计所了解的情况。

(一)影响连续审计中与某项控制相关风险的因素 除本意见第三部分第(八)项“与控制相关的风险和拟获取的审 计证据之间的关系”所列因素外,下列因素也会影响连续审计中与某 项控制相关的风险:(1)以前审计中所实施程序的性质、时间安排和范围;

(2)以前对控制的测试结果以及以前发现的缺陷是否 得以整改;

(3)上次审计之后,控制或其运行所处的流程是否发生变化。在考虑本意见所列的风险因素,以及连续审计中可获取的进一步 信息后,如果认为与控制相关的风险水平比以前有所下降,注册 会计师在本审计中可以减少测试。

(二)对自动化应用控制实施与基准相比较的策略 在连续审计中,由于完全自动化的应用控制通常不会因人为失误 而失效,因此,注册会计师可以考虑对自动化应用控制实施与基准相比较的策略。与基准相比较的策略,是指如果认为程序变更、访问权限及计算 机操作方面的一般控制有效,且可持续对其进行测试,并能证实自动 化应用控制自最近一次测试之后未发生变化,则可将最近一次测试设 为基准,在以后测试时,注册会计师不必重复执行测试,只需将 该年的情况与基准相比较,就可以认为自动化应用控制是持续有效 的。注册会计师为证实控制未发生变化而需获取审计证据的性质和 范围,可能随情况的变化而变化。例如,被审计单位程序变更控制的 强弱将影响需获取审计证据的性质和范围。自动化应用控制能否一贯有效地运行可能取决于所使用的相关 文件、表格、数据和参数的正确性。例如,计算利息收入的自动化应 用控制,其运行的有效性可能取决于使用的利率表的正确性。注册会计师应当在评价下列风险因素的基础上,确定是否使用与 基准相比较的策略:

(1)应用控制与相关应用程序直接对应的程度;

(2)应用系统的稳定性,即各期间的变化大小;

(3)有关投入使用的程序编译日期的信息的可获得性和可靠性(该信息可作为此程序中的控制未发生变化的审计证据)。当上述因素表明风险较低时,对所评价的控制可能比较适合使用 与基准相比较的策略。反之,不宜使用与基准相比较的策略。但是基 础数据的准确性与完整性,以及依赖系统的人工控制部分不适用与基 准相比较的策略。在一段时期之后,注册会计师应当重新设臵自动化应用控制运行的基准。在确定何时重设基准时,注册会计师应当考虑下列因素:

(1)信息技术控制环境的有效性,包括针对应用及操作系统和 数据库系统的取得与维护、访问权限以及计算机操作而实施控制的有 效性;

(2)如果包含控制的具体程序发生变化,注册会计师对该变化 性质的了解;

(3)其他相关测试的性质和时间;

(4)相关应用控制发生错误导致的后果;

(5)控制是否易于受到其他可能变化的经营因素的影响。

(三)增加测试的不可预见性 为使对控制有效性的测试具有不可预见性并能够应对环境的变 化,注册会计师应当每年改变测试的性质、时间安排和范围。注册会计师可以每年在期中不同的时间测试控制,并增加或减少 所执行测试的数量和种类,或者改变所使用测试程序的组合。

五、关于集团审计的 特殊考虑

(一)识别重要账户、列报及其相关认定 在执行集团内部控制审计业务时,注册会计师应当基于集团财务 报表识别重要账户、列报及其相关认定。

(二)确定对组成部分执行的工作

1.一般原则 在执行集团内部控制审计业务时,注册会计师应当采用自上而下 的方法,合理运用职业判断,确定对组成部分执行的工作。注册会计师应当评估与组成部分相关的导致集团财务报表发生 重大错报的风险,并根据其风险程度给予相应的审计关注。在评估与某组成部分相关的导致集团财务报表发生重大错报的 风险时,注册会计师应当考虑的因素包括:

(1)以前执行的与该组成部分内部控制相关的审计工作的结果;

(2)影响该组成部分重要账户的固有风险;

(3)从财务数据角度看,该组成部分的相对重要程度;

(4)风险在各组成部分间的分布(即风险分布于数量众多的小 规模组成部分,还是分布于数量较少但规模较大的组成部分);

(5)组成部分之间业务经营和内部控制的类似程度;

(6)业务流程和财务报告系统的集中化程度;

(7)该组成部分执行交易及相关资产的性质和金额;

(8)该组成部分存在重大未确认义务的可能性;

(9)测试集团企业层面控制的结果,包括控制环境、集团对组 成部分实施的监控活动及在组成部分层面运行的企业层面控制的有 效性。

2.对重要组成部分执行的工作 注册会计师应当按照《中国注册会计师审计准则第 1401 号—— 对集团财务报表审计的特殊考虑》的规定,确定重要组成部分。重要 组成部分包括:

(1)对集团具有财务重大性的组成部分(以下简称具 有财务重大性的组成部分)

(2)由于其特定性质和情况,可能存在 ; 导致集团财务报表发生重大错报的特别风险的组成部分(以下简称具 有特别风险的组成部分)。注册会计师应当对重要组成部分的重要账 户、列报及其相关认定的内部控制实施测试。(1)对具有财务重大性的组成部分执行的工作 对于具有财务重大性的组成部分,除非通过实施下列测试工作能够获取有关控制有效性的充分、适当的审计证据,注册会计师应当测 试该组成部分内与重要账户、列报及其相关认定相关的业务流程、应 用系统或交易层面的内部控制的有效性: ①对整个集团企业层面控制和该组成部分企业层面控制(包括界 于组成部分和整个集团之间层次的其他企业层面控制,下同)的测试; ②对除该组成部分以外的其他组成部分相同账户、列报及其相关 认定的内部控制已实施的测试。

(2)对具有特别风险的组成部分执行的工作 对具有特别风险的组成部分,注册会计师应当测试针 对该项特别 风险的控制。3.对其他组成部分执行的工作 对于重要组成部分以外的其他组成部分,如果存在重要账户、列 报及其相关认定,注册会计师应当首先评价对整个集团企业层面控制 和该组成部分企业层面控制的测试以及针对重要组成部分相同的账 户、列报及其相关认定的内部控制已实施的测试能否提供充分、适当 的审计证据。如果不能提供充分、适当的审计证据,注册会计师应当 选择适当数量的其他组成部分,测试与该重要账户、列报及其相关认 定相关的业务流程、应用系统或交易层面的控制,直至能够获取充分、适当的审计证据为止。

六、关于控制缺陷评价

(一)控制缺陷的分类 内部控制存在的缺陷包括设计缺陷和运行缺陷。设计缺陷是指缺少为实现控制目标所必需的控制,或现有控制设 计不适当、即使正常运行也难以实现预期的控制目标。运行缺陷是指现存设计适当的控制没有按设计意图运行,或执行 人员没有获得必要授权或缺乏胜任能力,无法有效地实施内部控制。内部控制存在的缺陷,按其严重程度分为重大缺陷、重要缺陷和 一般缺陷。重大缺陷是内部控制中存在的、可能导致不能及时防止或发现并 纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。重要缺陷是内部控制中存在的、其严重程度不如重大缺陷但足以 引起负责监督被审计单位财务报告的人员(如审计委员会或类似机 构)关注的一项控制缺陷或多项控制缺陷的组合。一般缺陷是内部控制中存在的、除重大缺陷和重要缺陷之外的控 制缺陷。

(二)评价控制缺陷的严重程度 注册会计师应当评价其识别的各项控制缺陷的严重程度,以确定 这些缺陷单独或组合起来,是否构成内部控制的重大缺陷。但是,在 计划和实施审计工作时,不要求注册会计师寻找单独或组合起来不构 成重大缺陷的控制缺陷。控制缺陷的严重程度取决于:

(1)控制不能防止或发现并纠正账户或列报发生错报的可能性 的大小;

(2)因一项或多项控制缺陷导致的潜在错报的金额大小。控制缺陷的严重程度与错报是否发生无关,而取决于控制不能防 止或发现并纠正错报的可能性的大小。在评价一项控制缺陷或多项控制缺陷的组合是否可能导致账户 或列报发生错报时,注册会计师应当考虑的风险因素包括:

(1)所涉及的账户、列报及其相关认定的性质;

(2)相关资产或负债易于发生损失或舞弊的可能性;

(3)确定相关金额时所需判断的主观程度、复杂程度和范围;

(4)该项控制与其他控制的相互作用或关系;

(5)控制缺陷之间的相互作用;

(6)控制缺陷在未来可能产生的影响。评价控制缺陷是否可能导致错报时,注册会计师无需将错报发生 的概率量化为某特定的百分比或区间。如果多项控制缺陷影响财务报表的同一账户或列报,错报发生的 概率会增加。在存在多项控制缺陷时,即使这些缺陷从单项看不重要,但组合起来也可能构成重大缺陷。因此,注册会计师应当确定,对同 一重要账户、列报及其相关认定或内部控制要素产 生影响的各项控制 缺陷,组合起来是否构成重大缺陷。在评价因一项或多项控制缺陷导致的潜在错报的金额大小时,注 册会计师应当考虑的因素包括:

(1)受控制缺陷影响的财务报表金额或交易总额;

(2)在本期或预计的未来期间受控制缺陷影响的账户余额或各 类交易涉及的交易量。在评价潜在错报的金额大小时,账户余额或交易总额的最大多报 金额通常是已记录的金额,但其最大少报金额可能超过已记录的金 额。通常,小金额错报比大金额错报发生的概率更高。在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷 时,注册会计师应当评价补偿性控制的影响。在评价补偿性控制是否 能够弥补控制缺陷时,注册会计师应当考虑补偿性控制是否有足够的精确度以防止或发现并纠正可能发生的重大错报。

(三)表明可能存在重大缺陷的迹象 如果注册会计师确定发现的一项控制缺陷或多项控制缺陷的组 合将导致审慎的管理人员在执行工作时,认为自身无法合理保证按照 适用的财务报告编制基础记录交易,应当将这一项控制缺陷或多项控 制缺陷的组合视为存在重大缺陷的迹象。下列迹象可能表明内部控制 存在重大缺陷:

(1)注册会计师发现董事、监事和高级管理人员的任何舞弊;

(2)被审计单位重述以前公布的财务报表,以更正由于舞弊或 错误导致的重大错报;

(3)注册会计师发现当期财务报表存在重大错报,而被审计单 位内部控制在运行过程中未能发现该错报;

(4)审计委员会和内部审计机构对内部控制的监督无效。

(四)被审计单位对存在缺陷的控制进行整改 如果被审计单位在基准日前对存在缺陷的控制进行了整改,整改 后的控制需要运行足够长的时间,才能使注册会计师得出其是否有效 的审计结论。注册会计师应当根据控制的性质和与控制相关的风险,合理运用职业判断,确定整改后控制运行的最短期间(或整改后控制 的最少运行次数)以及最少测试数量。整改后控制运行的最短期间(或 最少运行次数)和最少测试数量参见表 2。

七、关于完成审计工作

(一)形成审计意见 注册会计师应当评价从各种来源获取的审计证据,包括对控制的 测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷,形成对内部控制有效性的意见。在评价审计证据时,注册会计师应当 查阅本涉及内部控制的内部审计报告或类似报告,并评价这些报 告中指出的控制缺陷。在对内部控制的有效性形成意见后,注册会计师应当评价企业内 部控制评价报告对相关法律法规规定的要素的列报是否完整和恰当。

(二)获取书面声明 注册会计师应当获取经被审计单位签署的书面声明。书面声明的 内容应当包括:(1)被审计单位董事会认可其对建立健全和有效实施内部控制 负责;(2)被审计单位已对内部 控制进行了评价,并编制了内部控制 评价报告;(3)被审计单位没有利用注册会计师在内部控制审计和财务报 表审计中执行的程序及其结果作为评价的基础;(4)被审计单位根据内部控制标准评价内部控制有效性得出的 结论;(5)被审计单位已向注册会计师披露识别出的所有内部控制缺 陷,并单独披露其中的重大缺陷和重要缺陷;(6)被审计单位已向注册会计师披露导致财务报表发生重大错 报的所有舞弊,以及其他不会导致财务报表发生重大错报,但涉及管 理层、治理层和其他在内部控制中具有重要作用的员工的所有舞弊;(7)注册会计师在以前审计中识别出的且已与被审计单位 沟通的重大缺陷和重要缺陷是否已经得到解决,以及哪些缺陷尚未得 到解决;(8)在基准日后,内部控制是否发生变化,或者是否存在对内 部控制产生重要影响的其他因素,包括被审计单位针对重大缺陷和重 要缺陷采取的所有纠正措施。如果被审计单位拒绝提供或以其他不当理由回避书面声明,注册 会计师应当将其视为审计范围受到限制,解除业务约定或出具无法表 示意见的内部控制审计报告。此外,注册会计师应当评价拒绝提供书 面声明这一情况对其他声明(包括在财务报表审计中获取的声明)的 可靠性的影响。注册会计师应当按照《中国注册会计师审计准则第 1341 号—— 书面声明》的规定,确定声明书的签署者、涵盖的期间以及何时获取 更新的声明书等。

(三)沟通相关事项 对于重大缺陷和重要缺陷,注册会计师应当以书面形式与管理层 和治理层沟通。书面沟通应当在注册会计师出具内部控制审计报告之前进行。注册会计师应当以书面形式与管理层沟通其在审计过程中识别 的所有其他内部控制缺陷,并在沟通完成后告知治理层。在进行沟通 时,注册会计师无需重复自身、内部审计人员或被审计单位其他人员 以前书面沟通过的控制缺陷。虽然并不要求注册会计师执行足以识别所有控制缺陷的程序,但 是,注册会计师应当沟通其注意到的内部控制的所有缺陷。内部控制 审计不能保证注册会计师能够发现严重程度低于重大缺陷的所有控 制缺陷。注册会计师不应在内部控制审计报告中声明,在审计过程中 没有发现严重程度低于重大缺陷的控制缺陷。如果发现被审计单位存在或可能存在舞弊或违反法规行为,注册 会计师应当按照《中国注册会计师审计准则第 1141 号——财务报表 审计中与舞弊相关的责任》 《中国注册会计师审计准则第 1142 号、——财务报表审计中对法律法规的考虑》的规定,确定并履行自身的 责任。

八、关于内部控制审计报告 注册会计师在完成内部控制审计和财务报表审计后,应当分别对 内部控制和财务报表出具审计报告,并签署相同的日期。

(一)出具无保留意见内部控制审计报告的条件 如果符合下列所有条件,注册会计师应当对内部控制出具无保留 意见的内部控制审计报告:

(1)在基准日,被审计单位按照适用的内部控制标准的要求,在所有重大方面保持了有效的内部控制;

(2)注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作,在审计过程中未受到限制。

(二)内部控制存在重大缺陷时的处理 如果认为内部控制存在一项或多项重大缺陷,除非审计范 围受到 限制,注册会计师应当对内部控制发表否定意见。否定意见的内部控 制审计报告还应当包括重大缺陷的定义、重大缺陷的性质及其对内部 控制的影响程度。如果重大缺陷尚未包含在企业内部控制评价报告中,注册会计师 应当在内部控制审计报告中说明重大缺陷已经识别、但没有包含在企 业内部控制评价报告中。如果企业内部控制评价报告中包含了重大缺 陷,但注册会计师认为这些重大缺陷未在所有重大方面得到公允反 映,注册会计师应当在内部控制审计报告中说明这一结论,并公允表 达有关重大缺陷的必要信息。此外,注册会计师还应当就这些情况以 书面形式与治理层沟通。如果对内部控制的有效性发表否定意见,注册会计师应当确定该 意见对财务报表审计意见的影响,并在内部控制审计报告中予以说 明。

(三)审计范围受到限制时的处理 注册会计师只有实施了必要的审计程序,才能对内部控制的有效 性发表意见。如果审计范围受到限制,注册会计师应当解除业务约定 或出具无法表示意见的内部控制审计报告。如果法律法规的相关豁免规定允许被审计单位不将某些实体纳 入内部控制的评价范围,注册会计师可以不将这些实体纳入内部控制审计的范围。这种情况不构成审计范围受到限制,但注册会计师应当 在内部控制审计报告中增加强调事项段或者在注册会计师的责任段 中,就这些实体未被纳入评价范围和内部控制审计范围这一情况,作 出与被审计单位类似的恰当陈述。注册会计师应当评价相关豁免是否 符合法律法规的规定,以及被审计单位针对该项豁免作出的陈述是否 恰当。如果认为被审计单位有关该项豁免的陈述不恰当,注册会计师 应当提请其作出适当修改。如果被审计单位未作出适当修改,注册会 计师应当在内部控制审计报告的强调事项段中说明被审计单位的陈 述需要修改的理由。在出具无法表示意见的内部控制审计报告时,注册会计师应当在 内部控制审计报告中指明审计范围受到限制,无法对内部控制的有效 性发表意见,并单设段落说明无法表示意见的实质性理由。注册会计 师不应在内部控制审计报告中指明所执行的程序,也不应描述内部控 制审计的特征,以避免报告使用者对无法表示意见的误解。如果在已 执行的有限程序中发现内部控制存在重大缺陷,注册会计师应当在内 部控制审计报告中对重大缺陷做出详细说明。只要认为审计范围受到限制将导致无法获取发表审计意见所需 的充分、适当的审计证据,注册会计师不必执行任何其他工作即可对 内部控制出具无法表示意见的内部控制审计报告。在这种情况下,内 部控制审计报告的日期应为注册会计师已就该报告中陈述的内容获 取充分、适当的审计证据的日期。在因审计范围受到限制而无法表示意见时,注册会计师应当就未能完成整个内部控制审计工作的情况,以书面形式与管理层和治理层 沟通。

(四)强调事项 如果认为内部控制虽然不存在重大缺陷,但仍有一项或多项重大 事项需要提请内部控制审计报告使用者注意,注册会计师应当在内部 控制审计报告中增加强调事项段予以说明。注册会计师应当在强调事 项段中指明,该段内容仅用于提醒内部控制审计报告使用者关注,并 不影响对内部控制发表的审计意见。如果确定企业内部控制评价报告对要素的列报不完整或不恰当,注册会计师应当在内部控制审计报告中增加强调事项段,说明这一情 况并解释得出该结论的理由。

(五)期后事项 在基准日后至审计报告日前(以下简称期后期间),内部控制可 能发生变化,或出现其他可能对内部控制产生重要影响的因素。注册 会计师应当询问是否存在这类变化或因素,并获取被审计单位关于这 类变化或因素的书面声明。注册会计师应当针对期后期间,询问并检查下列信息:(1)在期后期间出具的内部审计报告或类似报告;(2)其他注册会计师出具的涉及被审计单位内部控制缺陷的报 告;(3)监管机构发布的涉及被审计单位内部控制的报告;(4)注册会计师在执行其他业务中获取的、有关被审计单位内部控制有效性的信息。此外,注册会计师还应当考虑获取期后期间的其他文件,并按照 《中国注册会计师审计准则第 1332 号——期后事项》的规定,对其 进行检查。如果知悉对基准日内部控制有效性有重大负面影响的期后事项,注册会计师应当对内部控制发表否定意见。如果注册会计师不能确定 期后事项对内部控制有效性的影响程度,应当出具无法表示意见的内 部控制审计报告。如果管理层在评价报告中披露了基准日之后采取的整改措施,注 册会计师应当在内部控制审计报告中指明不对这些信息发表意见。注册会计师可能知悉在基准日并不存在、但在期后期间发生的事 项。如果这类期后事项对内部控制有重大影响,注册会计师应当在内 部控制审计报告中增加强调事项段,描述该事项及其影响,或提醒内 部控制审计报告使用者关注企业内部控制评价报告中披露的该事项 及其影响。在出具内部控制审计报告后,如果知悉在审计报告日已存在的、可能对审计意见产生影响的情况,注册会计师应当按照《中国注册会 计师审计准则第 1332 号——期后事项》第四章第二节和第三节的规 定办理。如果被审计单位更正以前公布的财务报表,注册会计师应当 按照《中国注册会计师审计准则第 1332 号——期后事项》第四章第 三节的规定重新考虑以前发表的内部控制审计意见的适当性。

(六)其他信息 如果企业内部控制评价报告中除包括法定要求的信息外,还包括其他信息,且该报告的使用者有理由认为该报告包括这些其他信息,注册会计师应当在内部控制审计报告中指明不对这些其他信息发表 意见。如果认为其他信息含有对事实的重大错报,注册会计师应当就此 与管理层进行讨论。如果讨论后仍认为存在对事实的重大错报,注册 会计师应当以书面形式将其看法告知管理层和治理层。如果其他信息未包含在企业内部控制评价报告中,而是包含在年 度财务报告中,注册会计师无需在内部控制审计报告中指明不对其发 表意见。但是,如果注册会计师认为其他信息中存在对事实的重大错 报,应当按照上述要求办理。

九、关于整合审计的进一步考虑

(一)总体要求 在整合审计中,注册会计师应当计划和实施对控制设计和运行有 效性的测试,以同时实现下列目标:(1)获取充分、适当的审计证据,支持其在内部控制审计中对 内部控制的有效性发表的意见;(2)获取充分、适当的审计证据,支持其在财务报表审计中对 内部控制的拟信赖程度(即评估的控制风险)。

(二)审计证据和结论的相互参照 在内部控制审计中,注册会计师在对内部控制有效性形成结论 时,应当同时考虑财务报表审计中实施的、所有针对控制设计和运行 有效性测试的结果。在财务报表审计中,注册会计师在评估控制风险时,应当同时考虑内部控制审计中实施的、所有针对控制设计和运行有效性测试的结 果。如果在内部控制审计中识别出某项控制缺陷,注册会计师应当评 价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时间安排 和范围的影响。在财务报表审计中,无论控制风险或重大错报风险的评估水平如 何,注册会计师都应当针对所有重大类别的交易、账户余额和披露实 施实质性程序。为对内部控制的有效性发表意见而实施的测试程序并 不减轻该项要求。在内部控制审计中,注册会计师应当评价财务报表审计中实施的 实质性程序的结果对控制有效性结论的影响。评价内容应当包括:(1)注册会计师作出的、与选择和实施实质性程序相关(尤其 是与舞弊相关)的风险评估;(2)发现的违反法规行为和关联方交易方面的问题;(3)表明管理层在选择会计政策和作出会计估计时存在偏见的 情况;(4)实施实质性程序发现的错报。注册会计师应当通过直接测试控制获取控制是否有效的审计证 据,而不能根据实质性程序没有发现错报,推断该项控制的有效性。

十、关于项目质量控制复核 会计师事务所应当制定政策和程序,要求对上市实体和符合特定 标准的其他实体的内部控制审计业务实施项目质量控制复核。

(一)项目质量控制复核的时间 会计师事务所的政策和程序应当要求在出具内部控制审计报告前完成项目质量控制复核。

(二)项目质量控制复核人员 会计师事务所应当制定政策和程序,解决项目质量控制复核人员 的委派问题,明确项目质量控制复核人员的资格要求,包括:(1)履行职责需要的技术资格,包括精通内部控制审计业务并 具备必要的经验和权限;(2)在不损害其客观性的前提下,项目质量控制复核人员能够 提供业务咨询的程度。同时,会计师事务所应当制定政策和程序,以使项目质量控制复 核人员保持客观性。这些政策和程序要求项目质量控制复核人员符合 下列规定:(1)不由项目合伙人挑选;(2)在复核期间不以其他方式参与该业务;(3)不代替项目组进行决策;(4)不存在可能损害复核人员客观性的其他情形。

(三)项目质量控制复核的内容 项目质量控制复核人员应当客观地评价项目组作出的重大判断 以及在编制内部控制审计报告时得出的结论。评价工作应当涉及下列 内容:(1)与项目合伙人讨论重大事项;(2)复核拟出具的内部控制审计报告;(3)复核选取的与项目组作出的重大判断和得出的结论相关的 审计工作底稿;(4)评价在编制内部控制审计报告时得出的结论,并考虑拟出具内部控制审计报告的恰当性。对于上市实体内部控制审计,项目质量控制复核人员还应当考虑 下列事项:(1)项目组就具体业务对会计师事务所独立性作出的评价;(2)项目组是否已就涉及意见分歧的事项,或者其他疑难问题 或争议事项进行适当咨询,以及咨询得出的结论;(3)选取的用于复核的审计工作底稿,是否反映项目组针对重 大判断执行的工作,以及是否支持得出的结论。

十一、关于记录审计工作 注册会计师应当在审计工作底稿中清楚地显示内部控制审计的 过程和结 果。注册会计师应当就下列内容形成审计工作记录:(1)制定的内部控制总体审计策略和具体审计计划及重大修改 情况;(2)对企业层面控制的识别、了解和测试;(3)确定重要账户、列报及其相关认定的过程,包括对拟测试 组成部分的确定;(4)选择拟测试控制的主要过程及结果;(5)测试控制设计和运行有效性的程序及结果;(6)利用他人工作的程度,以及对他人胜任能力和客观性的评 估;(7)对识别的控制缺陷的评价;(8)可能导致出具非标准内部控制审计报告的其他审计发现;(9)形成的审计结论和意见;(10)其他重要事项。

下载00企业内部控制审计指引及解读word格式文档
下载00企业内部控制审计指引及解读.doc
将本文档下载到自己电脑,方便修改和收藏,请勿使用迅雷等下载。
点此处下载文档

文档为doc格式


声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:645879355@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。

相关范文推荐

    企业内部控制审计指引07(推荐5篇)

    企业内部控制审计指引-07第二节讲解 《企业内部控制审计指引》界定了内部控制审计的定义、明确了内部控制审计计划、实施、评价、完成和报告工作的要求,具有权威、实用和专业......

    企业内部控制审计指引-15[五篇范文]

    企业内部控制审计指引-15第二节讲解八、关于审计报告出具 如何出具内部控制审计报告,是大多数注册会计师所关心的问题。与审计范围相对应,该指引要求注册会计师出具的审计报告......

    财政部解读《企业内部控制评价指引》

    财政部解读《企业内部控制评价指引》 财政部会计司解读《企业内部控制评价指引》是为促进企业全面评价内部控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范......

    企业内部控制审计

    企业内部控制审计 课后作业教师:陈老师 学生: 何敏 学号: 201108050326 一.请简述什么是内部控制的规范体系? 答: 内部控制规范体系,主要是进行企业全面风险管理,围绕经营目......

    企业内部控制审计指引讲解 课后练习(大全五篇)

    企业内部控制审计指引讲解 课后练习 判断题: 1、内部控制审计是指会计师事务所接受委托,对企业某个年度内部控制设计与运行的有效性进行审计。[题号:Qhx005079] A、对B、错 正......

    企业内部控制评价指引

    附件1: 企业内部控制评价指引 (征求意见稿) 第一章总则 第一条为了规范企业内部控制评价,全面评估内部控制设计与运行情况,编制内部控制评价报告,根据有关法律法规和《企业内部控......

    企业内部控制评价指引

    附件1: 企业内部控制评价指引 (征求意见稿) 第一章总 则 第一条为规范企业内部控制评价工作,及时发现企业内部控制缺陷,提出和实施改进方案,确保内部控制有效运行,根据国家有关法律......

    企业内部控制评价指引(模版)

    企业内部控制评价指引》及工程项目等5项内部控制应用指引意见的通知 财会便[2009]7号 颁布时间:2009-1-14发文单位:财政部会计司 企业内部控制标准委员会委员、咨询专家,各企业......