0企业内部控制审计指引及解读

1、企业内部控控制审计指指引第一章 总 则则第一条 为了规范范注册会计计师执行企企业内部控控制审计业业务，明确确工作要求求，保证执执业质量，根根据企业业内部控制制基本规范范、中中国注册会会计师鉴证证业务基本本准则及及相关执业业准则，制制定本指引引。第二条 本指引所所称内部控控制审计，是是指会计师师事务所接接受委托，对对特定基准准日内部控控制设计与与运行的有有效性进行行审计。第三条 建立健全全和有效实实施内部控控制，评价价内部控制制的有效性性是企业董董事会的责责任。按照照本指引的的要求，在在实施审计计工作的基基础上对内内部控制的的有效性发发表审计意意见，是注注册会计师师的责任。第四条 注册会计计师执

2、行内内部控制审审计工作，应应当获取充充分、适当当的证据，为为发表内部部控制审计计意见提供供合理保证证。注册会计师师应当对财财务报告内内部控制的的有效性发发表审计意意见，并对对内部控制制审计过程程中注意到到的非财务务报告内部部控制的重重大缺陷，在在内部控制制审计报告告中增加“非财务报报告内部控控制重大缺缺陷描述段段”予以披露露。第五条 注册会计计师可以单单独进行内内部控制审审计，也可可以将内部部控制审计计与财务报报表审计整整合进行（以以下简称整整合审计）。在整合审计计中，注册册会计师应应当对内部部控制设计计与运行的的有效性进进行测试，以以同时实现现下列目标标：（一）获取取充分、适适当的证据据，支

3、持其其在内部控控制审计中中对内部控控制有效性性发表的意意见；（二）获取取充分、适适当的证据据，支持其其在财务报报表审计中中对控制风风险的评估估结果。第二章 计划审计计工作第六条 注册会计计师应当恰恰当地计划划内部控制制审计工作作，配备具具有专业胜胜任能力的的项目组，并并对助理人人员进行适适当的督导导。第七条 在计划审审计工作时时，注册会会计师应当当评价下列列事项对内内部控制、财务报表表以及审计计工作的影影响：（一）与企企业相关的的风险；（二）相关关法律法规规和行业概概况；（三）企业业组织结构构、经营特特点和资本本结构等相相关重要事事项；（四）企业业内部控制制最近发生生变化的程程度；（五）与企企

4、业沟通过过的内部控控制缺陷；（六）重要要性、风险险等与确定定内部控制制重大缺陷陷相关的因因素；（七）对内内部控制有有效性的初初步判断；（八）可获获取的、与与内部控制制有效性相相关的证据据的类型和和范围。第八条 注册会计计师应当以以风险评估估为基础，选选择拟测试试的控制，确确定测试所所需收集的的证据。内部控制的的特定领域域存在重大大缺陷的风风险越高，给给予该领域域的审计关关注就越多多。第九条 注册会计计师应当对对企业内部部控制自我我评价工作作进行评估估，判断是是否利用企企业内部审审计人员、内部控制制评价人员员和其他相相关人员的的工作以及及可利用的的程度，相相应减少可可能本应由由注册会计计师执行的

5、的工作。注册会计师师利用企业业内部审计计人员、内内部控制评评价人员和和其他相关关人员的工工作，应当当对其专业业胜任能力力和客观性性进行充分分评价。与某项控制制相关的风风险越高，可可利用程度度就越低，注注册会计师师应当更多多地对该项项控制亲自自进行测试试。注册会计师师应当对发发表的审计计意见独立立承担责任任，其责任任不因为利利用企业内内部审计人人员、内部部控制评价价人员和其其他相关人人员的工作作而减轻。第三章 实施审计计工作 第十条 注册会计计师应当按按照自上而而下的方法法实施审计计工作。自自上而下的的方法是注注册会计师师识别风险险、选择拟拟测试控制制的基本思思路。注册册会计师在在实施审计计工作

6、时，可可以将企业业层面控制制和业务层层面控制的的测试结合合进行。第十一条 注册会会计师测试试企业层面面控制，应应当把握重重要性原则则，至少应应当关注：（一）与内内部环境相相关的控制制；（二）针对对董事会、经理层凌凌驾于控制制之上的风风险而设计计的控制；（三）企业业的风险评评估过程；（四）对内内部信息传传递和财务务报告流程程的控制；（五）对控控制有效性性的内部监监督和自我我评价。第十二条 注册会会计师测试试业务层面面控制，应应当把握重重要性原则则，结合企企业实际、企业内部部控制各项项应用指引引的要求和和企业层面面控制的测测试情况，重重点对企业业生产经营营活动中的的重要业务务与事项的的控制进行行测

7、试。注册会计师师应当关注注信息系统统对内部控控制及风险险评估的影影响。第十三条 注册会会计师在测测试企业层层面控制和和业务层面面控制时，应应当评价内内部控制是是否足以应应对舞弊风风险。第十四条 注册会会计师应当当测试内部部控制设计计与运行的的有效性。如果某项控控制由拥有有必要授权权和专业胜胜任能力的的人员按照照规定的程程序与要求求执行，能能够实现控控制目标，表表明该项控控制的设计计是有效的的。如果某项控控制正在按按照设计运运行，执行行人员拥有有必要授权权和专业胜胜任能力，能能够实现控控制目标，表表明该项控控制的运行行是有效的的。第十五条 注册会会计师应当当根据与内内部控制相相关的风险险，确定拟

8、拟实施审计计程序的性性质、时间间安排和范范围，获取取充分、适适当的证据据。与内部部控制相关关的风险越越高，注册册会计师需需要获取的的证据应越越多。第十六条 注册会会计师在测测试控制设设计与运行行的有效性性时，应当当综合运用用询问适当当人员、观观察经营活活动、检查查相关文件件、穿行测测试和重新新执行等方方法。询问本身并并不足以提提供充分、适当的证证据。第十七条 注册会会计师在确确定测试的的时间安排排时，应当当在下列两两个因素之之间作出平平衡，以获获取充分、适当的证证据：（一）尽量量在接近企企业内部控控制自我评评价基准日日实施测试试；（二）实施施的测试需需要涵盖足足够长的期期间。第十八条 注册会会

9、计师对于于内部控制制运行偏离离设计的情情况（即控控制偏差），应应当确定该该偏差对相相关风险评评估、需要要获取的证证据以及控控制运行有有效性结论论的影响。第十九条 在连续续审计中，注注册会计师师在确定测测试的性质质、时间安安排和范围围时，应当当考虑以前前年度执行行内部控制制审计时了了解的情况况。第四章 评价控制制缺陷第二十条 内部控控制缺陷按按其成因分分为设计缺缺陷和运行行缺陷，按按其影响程程度分为重重大缺陷、重要缺陷陷和一般缺缺陷。注册会计师师应当评价价其识别的的各项内部部控制缺陷陷的严重程程度，以确确定这些缺缺陷单独或或组合起来来，是否构构成重大缺缺陷。第二十一条条 在确确定一项内内部控制缺

10、缺陷或多项项内部控制制缺陷的组组合是否构构成重大缺缺陷时，注注册会计师师应当评价价补偿性控控制（替代代性控制）的的影响。企企业执行的的补偿性控控制应当具具有同样的的效果。第二十二条条 表明明内部控制制可能存在在重大缺陷陷的迹象，主主要包括：（一）注册册会计师发发现董事、监事和高高级管理人人员舞弊；（二）企业业更正已经经公布的财财务报表；（三）注册册会计师发发现当期财财务报表存存在重大错错报，而内内部控制在在运行过程程中未能发发现该错报报；（四）企业业审计委员员会和内部部审计机构构对内部控控制的监督督无效。第五章 完成审计计工作第二十三条条 注册册会计师完完成审计工工作后，应应当取得经经企业签署

11、署的书面声声明。书面面声明应当当包括下列列内容：（一）企业业董事会认认可其对建建立健全和和有效实施施内部控制制负责；（二）企业业已对内部部控制的有有效性作出出自我评价价，并说明明评价时采采用的标准准以及得出出的结论；（三）企业业没有利用用注册会计计师执行的的审计程序序及其结果果作为自我我评价的基基础；（四）企业业已向注册册会计师披披露识别出出的所有内内部控制缺缺陷，并单单独披露其其中的重大大缺陷和重重要缺陷；（五）企业业对于注册册会计师在在以前年度度审计中识识别的重大大缺陷和重重要缺陷，是是否已经采采取措施予予以解决；（六）企业业在内部控控制自我评评价基准日日后，内部部控制是否否发生重大大变化

12、，或或者存在对对内部控制制具有重要要影响的其其他因素。第二十四条条 企业业如果拒绝绝提供或以以其他不当当理由回避避书面声明明，注册会会计师应当当将其视为为审计范围围受到限制制，解除业业务约定或或出具无法法表示意见见的内部控控制审计报报告。第二十五条条 注册册会计师应应当与企业业沟通审计计过程中识识别的所有有控制缺陷陷。对于其其中的重大大缺陷和重重要缺陷，应应当以书面面形式与董董事会和经经理层沟通通。注册会计师师认为审计计委员会和和内部审计计机构对内内部控制的的监督无效效的，应当当就此以书书面形式直直接与董事事会和经理理层沟通。书面沟通应应当在注册册会计师出出具内部控控制审计报报告之前进进行。第

13、二十六条条 注册册会计师应应当对获取取的证据进进行评价，形形成对内部部控制有效效性的意见见。第六章 出具审计计报告第二十七条条 注册册会计师在在完成内部部控制审计计工作后，应应当出具内内部控制审审计报告。标准内部部控制审计计报告应当当包括下列列要素：（一）标题题；（二）收件件人；（三）引言言段；（四）企业业对内部控控制的责任任段；（五）注册册会计师的的责任段；（六）内部部控制固有有局限性的的说明段；（七）财务务报告内部部控制审计计意见段；（八）非财财务报告内内部控制重重大缺陷描描述段；（九）注册册会计师的的签名和盖盖章；（十）会计计师事务所所的名称、地址及盖盖章；（十一）报报告日期。第二十八条

14、条 符合合下列所有有条件的，注注册会计师师应当对财财务报告内内部控制出出具无保留留意见的内内部控制审审计报告：（一）企业业按照企企业内部控控制基本规规范、企业内部部控制应用用指引、企业内内部控制评评价指引以及企业业自身内部部控制制度度的要求，在在所有重大大方面保持持了有效的的内部控制制；（二）注册册会计师已已经按照企业内部部控制审计计指引的的要求计划划和实施审审计工作，在在审计过程程中未受到到限制。第二十九条条 注册册会计师认认为财务报报告内部控控制虽不存存在重大缺缺陷，但仍仍有一项或或者多项重重大事项需需要提请内内部控制审审计报告使使用者注意意的，应当当在内部控控制审计报报告中增加加强调事项

15、项段予以说说明。注册会计师师应当在强强调事项段段中指明，该该段内容仅仅用于提醒醒内部控制制审计报告告使用者关关注，并不不影响对财财务报告内内部控制发发表的审计计意见。第三十条 注册会会计师认为为财务报告告内部控制制存在一项项或多项重重大缺陷的的，除非审审计范围受受到限制，应应当对财务务报告内部部控制发表表否定意见见。注册会计师师出具否定定意见的内内部控制审审计报告，还还应当包括括下列内容容：（一）重大大缺陷的定定义；（二）重大大缺陷的性性质及其对对财务报告告内部控制制的影响程程度。第三十一条条 注册册会计师审审计范围受受到限制的的，应当解解除业务约约定或出具具无法表示示意见的内内部控制审审计报

16、告，并并就审计范范围受到限限制的情况况，以书面面形式与董董事会进行行沟通。注册会计师师在出具无无法表示意意见的内部部控制审计计报告时，应应当在内部部控制审计计报告中指指明审计范范围受到限限制，无法法对内部控控制的有效效性发表意意见。 注册会计师师在已执行行的有限程程序中发现现财务报告告内部控制制存在重大大缺陷的，应应当在内部部控制审计计报告中对对重大缺陷陷做出详细细说明。第三十二条条 注册册会计师对对在审计过过程中注意意到的非财财务报告内内部控制缺缺陷，应当当区别具体体情况予以以处理：（一）注册册会计师认认为非财务务报告内部部控制缺陷陷为一般缺缺陷的，应应当与企业业进行沟通通，提醒企企业加以改

17、改进，但无无需在内部部控制审计计报告中说说明；（二）注册册会计师认认为非财务务报告内部部控制缺陷陷为重要缺缺陷的，应应当以书面面形式与企企业董事会会和经理层层沟通，提提醒企业加加以改进，但但无需在内内部控制审审计报告中中说明；（三）注册册会计师认认为非财务务报告内部部控制缺陷陷为重大缺缺陷的，应应当以书面面形式与企企业董事会会和经理层层沟通，提提醒企业加加以改进；同时应当当在内部控控制审计报报告中增加加非财务报报告内部控控制重大缺缺陷描述段段，对重大大缺陷的性性质及其对对实现相关关控制目标标的影响程程度进行披披露，提示示内部控制制审计报告告使用者注注意相关风风险。第三十三条条 在企企业内部控控

18、制自我评评价基准日日并不存在在、但在该该基准日之之后至审计计报告日之之前（以下下简称期后后期间）内内部控制可可能发生变变化，或出出现其他可可能对内部部控制产生生重要影响响的因素。注册会计计师应当询询问是否存存在这类变变化或影响响因素，并并获取企业业关于这些些情况的书书面声明。注册会计师师知悉对企企业内部控控制自我评评价基准日日内部控制制有效性有有重大负面面影响的期期后事项的的，应当对对财务报告告内部控制制发表否定定意见。 注册会计师师不能确定定期后事项项对内部控控制有效性性的影响程程度的，应应当出具无无法表示意意见的内部部控制审计计报告。第七章 记录审计计工作第三十四条条 注册册会计师应应当按

19、照中国注册册会计师审审计准则第第11311号审计工工作底稿的规定，编编制内部控控制审计工工作底稿，完完整记录审审计工作情情况。第三十五条条 注册册会计师应应当在审计计工作底稿稿中记录下下列内容：（一）内部部控制审计计计划及重重大修改情情况；（二）相关关风险评估估和选择拟拟测试的内内部控制的的主要过程程及结果；（三）测试试内部控制制设计与运运行有效性性的程序及及结果；（四）对识识别的控制制缺陷的评评价；（五）形成成的审计结结论和意见见；（六）其他他重要事项项。附录：内部部控制审计计报告的参参考格式1.标准内内部控制审审计报告内部控制审审计报告股份有有限公司全全体股东：按照企业业内部控制制审计指引

20、引及中国国注册会计计师执业准准则的相关关要求，我我们审计了了股份有有限公司（以以下简称公司）年月日的财务务报告内部部控制的有有效性。一、企业对对内部控制制的责任按照企业业内部控制制基本规范范、企企业内部控控制应用指指引、企业内部部控制评价价指引的的规定，建建立健全和和有效实施施内部控制制，并评价价其有效性性是企业董董事会的责责任。二、注册会会计师的责责任我们的责任任是在实施施审计工作作的基础上上，对财务务报告内部部控制的有有效性发表表审计意见见，并对注注意到的非非财务报告告内部控制制的重大缺缺陷进行披披露。三、内部控控制的固有有局限性内部控制具具有固有局局限性，存存在不能防防止和发现现错报的可

21、可能性。此此外，由于于情况的变变化可能导导致内部控控制变得不不恰当，或或对控制政政策和程序序遵循的程程度降低，根根据内部控控制审计结结果推测未未来内部控控制的有效效性具有一一定风险。四、财务报报告内部控控制审计意意见我们认为，公司按照企业内部控制基本规范和相关规定在所有重大方面保持了有效的财务报告内部控制。五、非财务务报告内部部控制的重重大缺陷在内部控制制审计过程程中，我们们注意到公司的的非财务报报告内部控控制存在重重大缺陷描述该缺缺陷的性质质及其对实实现相关控控制目标的的影响程度度。由于于存在上述述重大缺陷陷，我们提提醒本报告告使用者注注意相关风风险。需要要指出的是是，我们并并不对公司的非非

22、财务报告告内部控制制发表意见见或提供保保证。本段段内容不影影响对财务务报告内部部控制有效效性发表的的审计意见见。会计师师事务所 中中国注册会会计师：（签签名并盖章章）（盖章） 中国注册册会计师：（签签名并盖章章）中国市市 年月日2. 带强强调事项段段的无保留留意见内部部控制审计计报告内部控制审审计报告股份有有限公司全全体股东：按照企业业内部控制制审计指引引及中国国注册会计计师执业准准则的相关关要求，我我们审计了了股份有有限公司（以以下简称公司）年月日的财务务报告内部部控制的有有效性。 “一、企业对内内部控制的的责任”至“五、非财财务报告内内部控制的的重大缺陷陷”参见标准准内部控制制审计报告告相

23、关段落落表述。六、强调事事项我们提醒内内部控制审审计报告使使用者关注注，（描述述强调事项项的性质及及其对内部部控制的重重大影响）。本段内容容不影响已已对财务报报告内部控控制发表的的审计意见见。会计师师事务所 中中国注册会会计师：（签签名并盖章章）（盖章） 中国注注册会计师师：（签签名并盖章章） 中国市 年月日3.否定意意见内部控控制审计报报告内部控制审审计报告股份有有限公司全全体股东：按照企业业内部控制制审计指引引及中国国注册会计计师执业准准则的相关关要求，我我们审计了了股份有有限公司（以以下简称公司）年月日的财务务报告内部部控制的有有效性。“一、企业业对内部控控制的责任任”至“三、内部部控制

24、的固固有局限性性”参见标准准内部控制制审计报告告相关段落落表述。四、导致否否定意见的的事项重大缺陷，是是指一个或或多个控制制缺陷的组组合，可能能导致企业业严重偏离离控制目标标。指出注册册会计师已已识别出的的重大缺陷陷，并说明明重大缺陷陷的性质及及其对财务务报告内部部控制的影影响程度。 有效的内部部控制能够够为财务报报告及相关关信息的真真实完整提提供合理保保证，而上上述重大缺缺陷使公司内部部控制失去去这一功能能。五、财务报报告内部控控制审计意意见我们认为，由由于存在上上述重大缺缺陷及其对对实现控制制目标的影影响，公司未能能按照企企业内部控控制基本规规范和相相关规定在在所有重大大方面保持持有效的财

25、财务报告内内部控制。六、非财务务报告内部部控制的重重大缺陷参见标准准内部控制制审计报告告相关段落落表述。会计师师事务所 中中国注册会会计师：（签签名并盖章章）（盖章） 中国注册册会计师：（签签名并盖章章）中国市市 年月日4.无法表表示意见内内部控制审审计报告内部控制审审计报告股份有有限公司全全体股东：我们接受委委托，对股份有有限公司（以以下简称公司）年月日的财务务报告内部部控制进行行审计。删除注册册会计师的的责任段，“一、企业对内部控制的责任”和“二、内部控制的固有局限性”参见标准内部控制审计报告相关段落表述。三、导致无无法表示意意见的事项项描述审计计范围受到到限制的具具体情况。四、财务报报告

26、内部控控制审计意意见由于审计范范围受到上上述限制，我我们未能实实施必要的的审计程序序以获取发发表意见所所需的充分分、适当证证据，因此此，我们无无法对公司财务务报告内部部控制的有有效性发表表意见。五、识别的的财务报告告内部控制制重大缺陷陷（如在审审计范围受受到限制前前，执行有有限程序未未能识别出出重大缺陷陷，则应删删除本段）重大缺陷，是是指一个或或多个控制制缺陷的组组合，可能能导致企业业严重偏离离控制目标标。尽管我们无无法对公司财务务报告内部部控制的有有效性发表表意见，但但在我们实实施的有限限程序的过过程中，发发现了以下下重大缺陷陷：指出注册册会计师已已识别出的的重大缺陷陷，并说明明重大缺陷陷的

27、性质及及其对财务务报告内部部控制的影影响程度。 有效的内部部控制能够够为财务报报告及相关关信息的真真实完整提提供合理保保证，而上上述重大缺缺陷使公司内部部控制失去去这一功能能。六、非财务务报告内部部控制的重重大缺陷参见标准准内部控制制审计报告告相关段落落表述。会计师师事务所 中中国注册会会计师：（签签名并盖章章）（盖章） 中国注册册会计师：（签签名并盖章章）中国市市 年月日规范内控审审计行为 促进内控控有效实施施财政部部会计司、中注协解解读企业业内部控制制审计指引引 实施企业业内部控制制注册会计计师审计，是是促进企业业尤其是上上市公司扎扎实贯彻企业内部部控制基本本规范和和企业内内部控制配配套指

28、引的重要制制度安排，是是注册会计计师行业开开拓执业领领域、进一一步做大做做强新的增增长点。为为了规范注注册会计师师内部控制制审计业务务，明确工工作要求，保保证执业质质量，根据据企业内内部控制基基本规范、中国国注册会计计师鉴证业业务基本准准则及相相关执业准准则，财政政部制定了了企业内内部控制审审计指引（以下简简称审计指指引）。财财政部等五五部委制定定的企业业内部控制制基本规范范和企企业内部控控制应用指指引是注注册会计师师衡量企业业内部控制制是否有效效的基础标标准。注册册会计师在在执行内部部控制审计计时，除遵遵守审计指指引外，还还应当遵守守中国注册册会计师相相关执业准准则。审计指引共共7章355条

29、，并附附有4份不不同意见类类型的内部部控制审计计报告，阐阐明了什么么是内部控控制审计、如何执行行内部控制制审计工作作等问题。本文对审审计指引的的几个重点点问题进行行解读。一、内部控控制审计概概述（一）实施施内部控制制审计的必必要性内部控制作作为企业的的一项重要要管理活动动，主要试试图解决三三方面的基基本问题，即即财务报告告及相关信信息的可靠靠性、资产产的安全完完整以及对对法律法规规的遵循；与此同时时，促进提提高经营的的效率效果果，并促进进实现企业业的发展战战略。安然然、世通等等一系列公公司财务报报表舞弊事事件发生后后，人们认认识到健全全有效的内内部控制对对预防此类类事件的发发生至关重重要。各国

30、国政府监管管机构、企企业界和会会计职业界界对内部控控制的重视视程度也进进一步提升升，从注重重财务报告告本身可靠靠性转向注注重对保证证财务报告告可靠性机机制的建设设，也就是是通过过程程的有效保保证结果的的有效。资资本市场上上的投资者者甚至社会会公众要求求企业披露露其与内部部控制相关关的信息，并并要求经过过注册会计计师审计以以增强信息息的可靠性性。但是，在财财务报表审审计中，只只有在以下下两种情况况下才强制制要求对内内部控制进进行测试：在评估认认定层次重重大错报风风险时，预预期控制的的运行是有有效的（即即在确定实实质性程序序的性质、时间安排排和范围时时，注册会会计师拟信信赖控制运运行的有效效性）；

31、或或者仅实施施实质性程程序并不能能够提供认认定层次充充分、适当当的审计证证据。可见见，注册会会计师对内内部控制的的了解和测测试不足以以对内部控控制发表意意见，难以以满足信息息使用者的的需求。因因此，内部部控制审计计逐渐发展展起来，很很多国家要要求注册会会计师对内内部控制设设计和运行行的有效性性进行审计计或鉴证。例如，美美国萨班班斯奥克斯斯利法案404条条款和日本本金融商商品交易法法要求审审计师对企企业管理层层对财务报报告内部控控制的评价价进行审计计；我国企业内部部控制基本本规范要要求会计师师事务所对对企业内部部控制的有有效性进行行审计，出出具审计报报告，并专专门制定企业内部部控制审计计指引规规

32、范内部控控制审计工工作。（二）各国国对内部控控制审计的的要求1.其他国国家对内部部控制审计计的要求。我们对内内部控制审审计进行了了国际比较较研究，选选择了在内内部控制规规范制定领领域一直走走在世界前前沿的几个个国家和地地区，包括括美国、日日本、欧盟盟、加拿大大和英国，对对上述各国国及地区出出台的内控控审计标准准进行了比比较研究。研究结论论表明:（1）美国国和日本均均以法案形形式强制要要求对企业业财务报告告内部控制制进行审计计；欧盟、加拿大、英国未强强制要求进进行内控审审计，但英英国等国的的上市规则则要求审计计师对管理理层作出的的内部控制制声明进行行形式上的的审阅。（2）强制制要求进行行内部控制

33、制审计的国国家，如美美国和日本本，内部控控制审计与与年度财务务报表审计计整合进行行。其中美美国要求由由同一家会会计师事务务所将内部部控制审计计与财务报报表审计整整合进行，而而日本则不不仅如此，要要求同一个个审计师从从计划审计计工作、实实施审计程程序获取审审计证据、评价审计计证据的充充分性和适适当性，直直到发表审审计意见的的整个过程程中，将两两种审计作作为一个整整体进行。2.我国对对内部控制制审计的要要求。企企业内部控控制基本规规范及配配套指引的的发布，要要求执行企企业内控规规范体系的的企业，必必须对本企企业内部控控制的有效效性进行自自我评价，披披露年度自自我评价报报告，同时时聘请具有有证券期货

34、货业务资格格的会计师师事务所对对其财务报报告内部控控制的有效效性进行审审计，出具具审计报告告。注册会会计师在内内部控制审审计过程中中注意到的的企业非财财务报告内内部控制的的重大缺陷陷，应当提提示投资者者、债权人人和其他利利益相关者者关注。这意味着，企企业内部控控制审计业业务由原来来的一次性性业务或面面向少数企企业的业务务（A股企企业原先仅仅在IPOO时需要，或或者赴美国国和日本等等地上市企企业需要，或或者金融证证券等高风风险行业需需要），变变成了与财财务报表审审计一样的的经常性业业务，每年年需执行一一次。对于执行内内部控制审审计的会计计师事务所所来讲，对对公司上市市前要进行行内部控制制审计，上

35、上市后也要要进行内部部控制审计计。（三）内部部控制审计计的定义内部控制审审计，是指指会计师事事务所接受受委托，对对特定基准准日内部控控制设计与与运行的有有效性进行行审计。1企业内内部控制审审计基于特特定基准日日。注册会会计师基于于基准日（如如年末122月31日日）内部控控制的有效效性发表意意见，而不不是对财务务报表涵盖盖的整个期期间（如一一年）的内内部控制的的有效性发发表意见。但这并不不意味着注注册会计师师只关注企企业基准日日当天的内内部控制，而而是要考察察企业一个个时期内（足足够长的一一段时间）内内部控制的的设计和运运行情况。例如，注注册会计师师可能在55月份对企企业的内部部控制进行行测试，

36、发发现问题后后提请企业业进行整改改，如6月月份整改，企企业的内部部控制在整整改后要运运行一段时时间（如至至少一个月月），8月月份注册会会计师再对对整改后的的内部控制制进行测试试。因此，虽虽然是对企企业12月月31日（基基准日）内内部控制的的设计和运运行发表意意见，但这这里的基准准日不是一一个简单的的时点概念念，而是体体现内部控控制这个过过程向前的的延续性。注册会计计师所采用用的内部控控制审计的的程序和方方法，也体体现了这种种延续性。2财务报报告内部控控制与非财财务报告内内部控制。审计指引引第四条第第二款规定定，注册会会计师应当当对财务报报告内部控控制的有效效性发表审审计意见，并并对内部控控制审

37、计过过程中注意意到的非财财务报告内内部控制的的重大缺陷陷，在内部部控制审计计报告中增增加“非财务报报告内部控控制重大缺缺陷描述段段”予以披露露。财务报告内内部控制，是是指企业为为了合理保保证财务报报告及相关关信息真实实完整而设设计和运行行的内部控控制，以及及用于保护护资产安全全的内部控控制中与财财务报告可可靠性目标标相关的控控制。主要要包括下列列方面的政政策和程序序：（1）保存存充分、适适当的记录录，准确、公允地反反映企业的的交易和事事项；（2）合理理保证按照照企业会计计准则的规规定编制财财务报表；（3）合理理保证收入入和支出的的发生以及及资产的取取得、使用用或处置经经过适当授授权；（4）合理

38、理保证及时时防止或发发现并纠正正未经授权权的、对财财务报表有有重大影响响的交易和和事项。非财务报告告内部控制制，是指除除财务报告告内部控制制之外的其其他控制，通通常是指为为了合理保保证经营的的效率效果果、遵守法法律法规、实现发展展战略而设设计和运行行的控制，以以及用于保保护资产安安全的内部部控制中与与财务报告告可靠性目目标无关的的控制。3企业内内控责任与与注册会计计师审计责责任的关系系。审计指指引第三条条规定，建建立健全和和有效实施施内部控制制，评价内内部控制的的有效性是是企业董事事会的责任任。按照本本指引的要要求，在实实施审计工工作的基础础上对内部部控制的有有效性发表表审计意见见，是注册册会

39、计师的的责任。两者之间的的关系和会会计责任与与审计责任任的区分保保持一致，即即：建立健健全和有效效实施内部部控制是企企业董事会会（或类似似决策机构构，下同）的的责任；按按照企业业内部控制制审计指引引的要求求，在实施施审计工作作的基础上上对企业内内部控制的的有效性发发表审计意意见，是注注册会计师师的责任。换言之，内内控本身有有效与否是是企业的内内控责任，是是否遵循审审计指引开开展内控审审计并发表表恰当的审审计意见是是注册会计计师的审计计责任。因因此，注册册会计师在在实施内控控审计之前前，应当在在业务约定定书中明确确双方的责责任；在发发表内控审审计意见之之前，应当当取得经企企业签署的的内控书面面声

40、明。（四）整合合审计审计指引第第五条规定定，注册会会计师可以以单独进行行内部控制制审计，也也可以将内内部控制审审计与财务务报表审计计整合进行行（以下简简称整合审审计）。理解这一规规定，要明明确两点，一一是内部控控制审计与与财务报表表审计是两两种不同的的审计业务务，两种审审计的目标标不同；二二是内部控控制审计与与财务报表表审计可以以整合起来来进行。1内部控控制审计与与财务报表表审计的异异同。内部部控制审计计要求对企企业控制设设计和运行行的有效性性进行测试试，财务报报表审计中中，也要求求了解企业业的内部控控制，并在在需要时测测试控制，这这是两种审审计的相同同之处，也也是整合审审计中应整整合的部分分

41、，但由于于两种审计计的目标不不同，审计计指引要求求在整合审审计中，注注册会计师师对内部控控制设计与与运行的有有效性进行行测试，要要同时实现现两个目的的：（1）获取取充分、适适当的证据据，支持在在内部控制制审计中对对内部控制制有效性发发表的意见见；（2）获取取充分、适适当的证据据，支持在在财务报表表审计中对对控制风险险的评估结结果。2两种审审计的整合合。财务报报告内部控控制审计与与财务报表表审计通常常使用相同同的重要性性（或重要要性水平），在在实务中两两者很难分分开。因为为注册会计计师在审计计财务报表表时需获得得的信息在在很大程度度上依赖注注册会计师师对内部控控制有效性性得出的结结论。注册册会计

42、师可可以利用在在一种审计计中获得的的结果为另另一种审计计中的判断断和拟实施施的程序提提供信息。实施财务报报表审计时时，注册会会计师可以以利用内部部控制审计计的结果来来修改实质质性程序的的性质、时时间安排和和范围，并并且可以利利用该结果果来支持分分析程序中中所使用的的信息的完完整性和准准确性。在在确定实质质性程序的的性质、时时间安排和和范围时，注注册会计师师需要慎重重考虑识别别出的控制制缺陷。实施内部控控制审计时时，注册会会计师需要要评估财务务报表审计计时实质性性程序中发发现问题的的影响。最最重要的是是，注册会会计师需要要重点考虑虑财务报表表审计中发发现的财务务报表错报报，考虑这这些错报对对评价

43、内控控有效性的的影响。二、计划审审计工作（一）总体体要求审计指引第第六条指出出，注册会会计师应当当恰当地计计划内部控控制审计工工作，配备备具有专业业胜任能力力的项目组组，并对助助理人员进进行适当的的督导。整合审计中中项目组人人员的配备备比较关键键。在计划划审计工作作时，项目目合伙人需需要统筹考考虑审计工工作，挑选选相关领域域的人员组组成项目组组，同时对对项目组成成员进行培培训和督导导，以合理理安排审计计工作。在计划整合合审计工作作时，注册册会计师需需要评价下下列事项对对财务报表表和内部控控制是否有有重要影响响，以及有有重要影响响的事项将将如何影响响审计工作作：1与企业业相关的风风险，包括括在评

44、价是是否接受与与保持客户户和业务时时，注册会会计师了解解的与企业业相关的风风险情况以以及在执行行其他业务务时了解的的情况；2相关法法律法规和和行业概况况；3企业组组织结构、经营特点点和资本结结构等相关关重要事项项；4企业内内部控制最最近发生变变化的程度度；5与企业业沟通过的的内部控制制缺陷；6重要性性、风险等等与确定内内部控制重重大缺陷相相关的因素素；7对内部部控制有效效性的初步步判断；8可获取取的、与内内部控制有有效性相关关的证据的的类型和范范围。此外，注册册会计师还还需要关注注与评价财财务报表发发生重大错错报的可能能性和内部部控制有效效性相关的的公开信息息，以及企企业经营活活动的相对对复杂

45、程度度。（二）重视视风险评估估的作用按照审计指指引第八条条规定，在在内部控制制审计中，注注册会计师师应当以风风险评估为为基础，确确定重要账账户、列报报及其相关关认定，选选择拟测试试的控制，以以及确定针针对所选定定控制所需需收集的证证据。风险评估的的理念及思思路应当贯贯穿于整合合审计过程程的始终。实施风险险评估时，可可以考虑固固有风险及及控制风险险。在计划划审计工作作阶段，对对内部控制制的固有风风险进行评评估，作为为编制审计计计划的依依据之一；根据对控控制风险评评估的结果果，调整计计划阶段对对固有风险险的判断，这这是个持续续的过程。内部控制的的特定领域域存在重大大缺陷的风风险越高，给给予该领域域

46、的审计关关注就越多多。内部控控制不能防防止或发现现并纠正由由于舞弊导导致的错报报风险，通通常高于其其不能防止止或发现并并纠正由错错误导致的的错报风险险。注册会会计师应当当更多地关关注高风险险领域，而而没有必要要测试那些些即使有缺缺陷、也不不可能导致致财务报表表重大错报报的控制。在进行风险险评估以及及确定审计计程序时，企企业的组织织结构、业业务流程或或业务单元元的复杂程程度可能产产生的重要要影响均是是注册会计计师需要考考虑的因素素。（三）利用用其他相关关人员的工工作在计划审计计工作时，注注册会计师师需要评估估是否利用用他人（包包括企业的的内部审计计人员、内内部控制评评价人员、其他人员员以及在董董

47、事会及其其审计委员员会指导下下的第三方方）的工作作以及利用用的程度，以以减少可能能本应由注注册会计师师执行的工工作。如果决定利利用内部审审计人员的的工作，注注册会计师师应当按照照中国注注册会计师师审计准则则第14111号利用内部部审计人员员的工作的规定办办理。如果拟利用用他人的工工作，注册册会计师则则需要评价价该人员的的专业胜任任能力和客客观性。专专业胜任能能力即具备备某种专业业技能、知知识或经验验，有能力力完成分派派的任务；客观性则则是公正、诚实地执执行任务的的能力。专专业胜任能能力和客观观性越高，可可利用程度度就越高，注注册会计师师就可以越越多地利用用其工作。当然，无无论人员的的专业胜任任

48、能力如何何，注册会会计师都不不应利用那那些客观程程度较低的的人员的工工作。同样样地，无论论人员的客客观程度如如何，注册册会计师都都不应利用用那些专业业胜任能力力较低的人人员的工作作。通常认认为，企业业的内部审审计人员拥拥有更高的的专业胜任任能力和客客观性，注注册会计师师可以考虑虑更多地利利用这些人人员的相关关工作。在内部控制制审计中，注注册会计师师利用他人人工作的程程度还受到到与被测试试控制相关关的风险的的影响。与与某项控制制相关的风风险越高，可可利用他人人工作的程程度就越低低，注册会会计师就需需要更多地地对该项控控制亲自进进行测试。如果其他注注册会计师师负责审计计企业的一一个或多个个分部、分

49、分支机构、子公司等等组成部分分的财务报报表和内部部控制，注注册会计师师应当按照照中国注注册会计师师审计准则则第14001号对集团财财务报表审审计的特殊殊考虑的的规定，确确定是否利利用其他注注册会计师师的工作。三、实施审审计工作（一）自上上而下的方方法审计指引第第十条规定定，注册会会计师应当当按照自上上而下的方方法实施审审计工作。自上而下下的方法是是注册会计计师识别风风险、选择择拟测试控控制的基本本思路。自上而下的的方法按照照下列思路路展开：1从财务务报表层次次初步了解解内部控制制整体风险险；2识别企企业层面控控制；3识别重重要账户、列报及其其相关认定定；4了解错错报的可能能来源；5选择拟拟测试

50、的控控制。在财务报告告内控审计计中，自上上而下的方方法始于财财务报表层层次，以注注册会计师师对财务报报告内部控控制整体风风险的了解解开始，然然后，注册册会计师将将关注重点点放在企业业层面的控控制上，并并将工作逐逐渐下移至至重大账户户、列报及及相关的认认定。这种种方法引导导注册会计计师将注意意力放在显显示有可能能导致财务务报表及相相关列报发发生重大错错报的账户户、列报及及认定上。之后，注注册会计师师验证其了了解到的业业务流程中中存在的风风险，并就就已评估的的每个相关关认定的错错报风险，选选择足以应应对这些风风险的业务务层面控制制进行测试试。在非财财务报告内内控审计中中，自上而而下的方法法始于企业

51、业层面控制制，并将审审计测试工工作逐步下下移到业务务层面控制制。自上而下的的方法描述述了注册会会计师在识识别风险以以及拟测试试的控制时时的连续思思维过程，但但并不一定定是注册会会计师执行行审计程序序的顺序。（二）识别别企业层面面控制从财务报表表层次初步步了解财务务报告内部部控制整体体风险是自自上而下方方法的第一一步。通过过了解企业业与财务报报告相关的的整体风险险，注册会会计师首先先可以识别别出为保持持有效的财财务报告内内部控制而而必需的企企业层面内内部控制。此外，由由于对企业业层面内部部控制的评评价结果将将影响注册册会计师测测试其他控控制的性质质、时间安安排和范围围，因此，注注册会计师师可以考

52、虑虑在执行业业务的早期期阶段对企企业层面内内部控制进进行评价。1.评价企企业层面控控制的精确确度。不同同的企业层层面控制在在性质和精精确度上存存在着差异异，这些差差异可能对对其他控制制及其测试试产生影响响。（1）某些些企业层面面控制，如如企业经营营理念、管管理层的管管理风格等等与控制环环境相关的的控制，对对及时防止止或发现并并纠正相关关认定的错错报的可能能性有重要要影响。虽虽然这种影影响是间接接的，但这这些控制仍仍然可能影影响注册会会计师拟测测试的其他他控制，以以及测试程程序的性质质、时间安安排和范围围。（2）某些些企业层面面控制旨在在识别其他他控制可能能出现的失失效情况，能能够监督其其他控制

53、的的有效性，但但还不足以以精确到及及时防止或或发现并纠纠正相关认认定的错报报。当这些些控制运行行有效时，注注册会计师师可以减少少对其他控控制的测试试。（3）某些些企业层面面控制本身身能够精确确到足以及及时防止或或发现并纠纠正相关认认定的错报报。如果一一项企业层层面控制足足以应对已已评估的错错报风险，注注册会计师师就不必测测试与该风风险相关的的其他控制制。2.企业层层面控制的的内容（1）与内内部环境相相关的控制制。内部环环境，即控控制环境，包包括治理职职能和管理理职能，以以及治理层层和管理层层对内部控控制及其重重要性的态态度、认识识和措施。良好的控控制环境是是实施有效效内部控制制的基础。（2）针

54、对对管理层（董董事会、经经理层）凌凌驾于控制制之上的风风险而设计计的控制。该控制对对所有企业业保持有效效的内部控控制都有重重要影响。注册会计计师可以根根据对企业业舞弊风险险的评估作作出判断，选选择相关的的企业层面面控制进行行测试，并并评价这些些控制能否否有效应对对管理层凌凌驾于控制制之上的风风险。（3）企业业的风险评评估过程。风险评估估过程包括括识别与财财务报告相相关的经营营风险和其其他经营管管理风险，以以及针对这这些风险采采取的措施施。首先，企企业的内部部控制能够够充分识别别企业外部部环境（如如在经济、政治、法法律法规、竞争者行行为、债权权人需求、技术变革革等方面）存存在的风险险；其次，充充

55、分且适当当的风险评评估过程需需要包括对对重大风险险的估计、对风险发发生可能性性的评估以以及确定应应对风险的的方法。注注册会计师师可以首先先了解企业业及其内部部环境的其其他方面信信息，以初初步了解企企业的风险险评估过程程。（4）对内内部信息传传递和财务务报告流程程的控制。财务报告告流程的控控制可以确确保管理层层按照适当当的会计准准则编制合合理、可靠靠的财务报报告并对外外报告。（5）对控控制有效性性的内部监监督和自我我评价。企企业对控制制有效性的的内部监督督和自我评评价可以在在企业层面面上实施，也也可以在业业务流程层层面上实施施，包括：对运行报报告的复核核和核对、与外部人人士的沟通通、对其他他未参

56、与控控制执行人人员的监控控活动，以以及将信息息系统记录录数据与实实物资产进进行核对等等。此外，企业业层面控制制还包括：集中化的的处理和控控制，包括括共享的服服务环境；监控经营营成果的控控制；针对对重大经营营控制以及及风险管理理实务而采采取的政策策。（三）测试试控制设计计和运行的的有效性审计指引第第十四条规规定，注册册会计师应应当测试内内部控制设设计与运行行的有效性性。如果某某项控制由由拥有必要要授权和专专业胜任能能力的人员员按照规定定的程序与与要求执行行，能够实实现控制目目标，表明明该项控制制的设计是是有效的。如果某项项控制正在在按照设计计运行，执执行人员拥拥有必要授授权和专业业胜任能力力，能

57、够实实现控制目目标，表明明该项控制制的运行是是有效的。设计不当的的控制可能能表明控制制存在缺陷陷甚至重大大缺陷，注注册会计师师在测试控控制运行的的有效性时时，首先要要考虑控制制的设计。注册会计计师在测试试控制设计计与运行的的有效性时时，应当综综合运用询询问适当人人员、观察察经营活动动、检查相相关文件、穿行测试试和重新执执行等方法法。注册会会计师测试试控制有效效性实施的的程序，按按提供证据据的效力，由由弱到强排排序为：询询问、观察察、检查和和重新执行行。其中询询问本身并并不能为得得出控制是是否有效的的结论提供供充分、适适当的证据据。执行穿穿行测试通通常足以评评价控制设设计的有效效性。（四）与控控

58、制相关的的风险与拟拟获取证据据的关系在测试所选选定控制的的有效性时时，注册会会计师需要要根据与控控制相关的的风险，确确定所需获获取的证据据。与控制制相关的风风险包括控控制可能无无效的风险险和因控制制无效而导导致重大缺缺陷的风险险。与控制制相关的风风险越高，注注册会计师师需要获取取的证据就就越多。与某项控制制相关的风风险受下列列因素的影影响：（1）该项项控制拟防防止或发现现并纠正的的错报的性性质和重要要程度；（2）相关关账户、列列报及其认认定的固有有风险；（3）相关关账户或列列报是否曾曾经出现错错报；（4）交易易的数量和和性质是否否发生变化化，进而可可能对该项项控制设计计或运行的的有效性产产生不

59、利影影响；（5）企业业层面控制制（特别是是对控制有有效性的内内部监督和和自我评价价）的有效效性；（6）该项项控制的性性质及其执执行频率；（7）该项项控制对其其他控制（如如内部环境境或信息技技术一般控控制）有效效性的依赖赖程度；（8）该项项控制的执执行或监督督人员的专专业胜任能能力，以及及其中的关关键人员是是否发生变变化；（9）该项项控制是人人工控制还还是自动化化控制；（10）该该项控制的的复杂程度度，以及在在运行过程程中依赖判判断的程度度。针对每一相相关认定，注注册会计师师都需要获获取控制有有效性的证证据，以便便对内部控控制整体的的有效性单单独发表意意见，但注注册会计师师没有责任任对单项控控制

60、的有效效性发表意意见。对于控制运运行偏离设设计的情况况（即控制制偏差），注注册会计师师需要考虑虑该偏差对对相关风险险评估、需需要获取的的证据以及及控制运行行有效性结结论的影响响。注册会计师师通过测试试控制有效效性获取的的证据，取取决于实施施程序的性性质、时间间安排和范范围的组合合。就单项项控制而言言，注册会会计师应当当根据与该该项控制相相关的风险险，适当确确定实施程程序的性质质、时间安安排和范围围，以获取取充分、适适当的证据据。测试控制有有效性实施施的程序，其其性质在很很大程度上上取决于拟拟测试控制制的性质。某些控制制可能存在在文件记录录，反映其其运行的有有效性，而而另外一些些控制，如如管理理