00企业内部控制审计指引及解读

1、企业内部控制审审计指引第一章 总 则第一条 为了了规范注册会会计师执行企企业内部控制制审计业务，明明确工作要求求，保证执业业质量，根据据企业内部部控制基本规规范、中中国注册会计计师鉴证业务务基本准则及及相关执业准准则，制定本本指引。第二条 本指指引所称内部部控制审计，是是指会计师事事务所接受委委托，对特定定基准日内部部控制设计与与运行的有效效性进行审计计。第三条 建立立健全和有效效实施内部控控制，评价内内部控制的有有效性是企业业董事会的责责任。按照本本指引的要求求，在实施审审计工作的基基础上对内部部控制的有效效性发表审计计意见，是注注册会计师的的责任。第四条 注册册会计师执行行内部控制审审计工

2、作，应应当获取充分分、适当的证证据，为发表表内部控制审审计意见提供供合理保证。注册会计师应当当对财务报告告内部控制的的有效性发表表审计意见，并并对内部控制制审计过程中中注意到的非非财务报告内内部控制的重重大缺陷，在在内部控制审审计报告中增增加“非财务报告告内部控制重重大缺陷描述述段”予以披露。第五条 注册册会计师可以以单独进行内内部控制审计计，也可以将将内部控制审审计与财务报报表审计整合合进行（以下下简称整合审审计）。在整合审计中，注注册会计师应应当对内部控控制设计与运运行的有效性性进行测试，以以同时实现下下列目标：（一）获取充分分、适当的证证据，支持其其在内部控制制审计中对内内部控制有效效性

3、发表的意意见；（二）获取充分分、适当的证证据，支持其其在财务报表表审计中对控控制风险的评评估结果。第二章 计划划审计工作第六条 注册册会计师应当当恰当地计划划内部控制审审计工作，配配备具有专业业胜任能力的的项目组，并并对助理人员员进行适当的的督导。第七条 在计计划审计工作作时，注册会会计师应当评评价下列事项项对内部控制制、财务报表表以及审计工工作的影响：（一）与企业相相关的风险；（二）相关法律律法规和行业业概况；（三）企业组织织结构、经营营特点和资本本结构等相关关重要事项；（四）企业内部部控制最近发发生变化的程程度；（五）与企业沟沟通过的内部部控制缺陷；（六）重要性、风风险等与确定定内部控制重

4、重大缺陷相关关的因素；（七）对内部控控制有效性的的初步判断；（八）可获取的的、与内部控控制有效性相相关的证据的的类型和范围围。第八条 注册册会计师应当当以风险评估估为基础，选选择拟测试的的控制，确定定测试所需收收集的证据。内部控制的特定定领域存在重重大缺陷的风风险越高，给给予该领域的的审计关注就就越多。第九条 注册册会计师应当当对企业内部部控制自我评评价工作进行行评估，判断断是否利用企企业内部审计计人员、内部部控制评价人人员和其他相相关人员的工工作以及可利利用的程度，相相应减少可能能本应由注册册会计师执行行的工作。注册会计师利用用企业内部审审计人员、内内部控制评价价人员和其他他相关人员的的工作

5、，应当当对其专业胜胜任能力和客客观性进行充充分评价。与某项控制相关关的风险越高高，可利用程程度就越低，注注册会计师应应当更多地对对该项控制亲亲自进行测试试。注册会计师应当当对发表的审审计意见独立立承担责任，其其责任不因为为利用企业内内部审计人员员、内部控制制评价人员和和其他相关人人员的工作而而减轻。第三章 实施施审计工作 第十条 注册册会计师应当当按照自上而而下的方法实实施审计工作作。自上而下下的方法是注注册会计师识识别风险、选选择拟测试控控制的基本思思路。注册会会计师在实施施审计工作时时，可以将企企业层面控制制和业务层面面控制的测试试结合进行。第十一条 注注册会计师测测试企业层面面控制，应当

6、当把握重要性性原则，至少少应当关注：（一）与内部环环境相关的控控制；（二）针对董事事会、经理层层凌驾于控制制之上的风险险而设计的控控制；（三）企业的风风险评估过程程；（四）对内部信信息传递和财财务报告流程程的控制；（五）对控制有有效性的内部部监督和自我我评价。第十二条 注注册会计师测测试业务层面面控制，应当当把握重要性性原则，结合合企业实际、企企业内部控制制各项应用指指引的要求和和企业层面控控制的测试情情况，重点对对企业生产经经营活动中的的重要业务与与事项的控制制进行测试。注册会计师应当当关注信息系系统对内部控控制及风险评评估的影响。第十三条 注注册会计师在在测试企业层层面控制和业业务层面控制

7、制时，应当评评价内部控制制是否足以应应对舞弊风险险。第十四条 注注册会计师应应当测试内部部控制设计与与运行的有效效性。如果某项控制由由拥有必要授授权和专业胜胜任能力的人人员按照规定定的程序与要要求执行，能能够实现控制制目标，表明明该项控制的的设计是有效效的。如果某项控制正正在按照设计计运行，执行行人员拥有必必要授权和专专业胜任能力力，能够实现现控制目标，表表明该项控制制的运行是有有效的。第十五条 注注册会计师应应当根据与内内部控制相关关的风险，确确定拟实施审审计程序的性性质、时间安安排和范围，获获取充分、适适当的证据。与与内部控制相相关的风险越越高，注册会会计师需要获获取的证据应应越多。第十六

8、条 注注册会计师在在测试控制设设计与运行的的有效性时，应应当综合运用用询问适当人人员、观察经经营活动、检检查相关文件件、穿行测试试和重新执行行等方法。询问本身并不足足以提供充分分、适当的证证据。第十七条 注注册会计师在在确定测试的的时间安排时时，应当在下下列两个因素素之间作出平平衡，以获取取充分、适当当的证据：（一）尽量在接接近企业内部部控制自我评评价基准日实实施测试；（二）实施的测测试需要涵盖盖足够长的期期间。第十八条 注注册会计师对对于内部控制制运行偏离设设计的情况（即即控制偏差），应应当确定该偏偏差对相关风风险评估、需需要获取的证证据以及控制制运行有效性性结论的影响响。第十九条 在在连续

9、审计中中，注册会计计师在确定测测试的性质、时时间安排和范范围时，应当当考虑以前年年度执行内部部控制审计时时了解的情况况。第四章 评价价控制缺陷第二十条 内内部控制缺陷陷按其成因分分为设计缺陷陷和运行缺陷陷，按其影响响程度分为重重大缺陷、重重要缺陷和一一般缺陷。注册会计师应当当评价其识别别的各项内部部控制缺陷的的严重程度，以以确定这些缺缺陷单独或组组合起来，是是否构成重大大缺陷。第二十一条 在确定一项项内部控制缺缺陷或多项内内部控制缺陷陷的组合是否否构成重大缺缺陷时，注册册会计师应当当评价补偿性性控制（替代代性控制）的的影响。企业业执行的补偿偿性控制应当当具有同样的的效果。第二十二条 表明内部控

10、控制可能存在在重大缺陷的的迹象，主要要包括：（一）注册会计计师发现董事事、监事和高高级管理人员员舞弊；（二）企业更正正已经公布的的财务报表；（三）注册会计计师发现当期期财务报表存存在重大错报报，而内部控控制在运行过过程中未能发发现该错报；（四）企业审计计委员会和内内部审计机构构对内部控制制的监督无效效。第五章 完成成审计工作第二十三条 注册会计师师完成审计工工作后，应当当取得经企业业签署的书面面声明。书面面声明应当包包括下列内容容：（一）企业董事事会认可其对对建立健全和和有效实施内内部控制负责责；（二）企业已对对内部控制的的有效性作出出自我评价，并并说明评价时时采用的标准准以及得出的的结论；（

11、三）企业没有有利用注册会会计师执行的的审计程序及及其结果作为为自我评价的的基础；（四）企业已向向注册会计师师披露识别出出的所有内部部控制缺陷，并并单独披露其其中的重大缺缺陷和重要缺缺陷；（五）企业对于于注册会计师师在以前年度度审计中识别别的重大缺陷陷和重要缺陷陷，是否已经经采取措施予予以解决；（六）企业在内内部控制自我我评价基准日日后，内部控控制是否发生生重大变化，或或者存在对内内部控制具有有重要影响的的其他因素。第二十四条 企业如果拒拒绝提供或以以其他不当理理由回避书面面声明，注册册会计师应当当将其视为审审计范围受到到限制，解除除业务约定或或出具无法表表示意见的内内部控制审计计报告。第二十五

12、条 注册会计师师应当与企业业沟通审计过过程中识别的的所有控制缺缺陷。对于其其中的重大缺缺陷和重要缺缺陷，应当以以书面形式与与董事会和经经理层沟通。注册会计师认为为审计委员会会和内部审计计机构对内部部控制的监督督无效的，应应当就此以书书面形式直接接与董事会和和经理层沟通通。书面沟通应当在在注册会计师师出具内部控控制审计报告告之前进行。第二十六条 注册会计师师应当对获取取的证据进行行评价，形成成对内部控制制有效性的意意见。第六章 出具具审计报告第二十七条 注册会计师师在完成内部部控制审计工工作后，应当当出具内部控控制审计报告告。标准内部部控制审计报报告应当包括括下列要素：（一）标题；（二）收件人；

13、（三）引言段；（四）企业对内内部控制的责责任段；（五）注册会计计师的责任段段；（六）内部控制制固有局限性性的说明段；（七）财务报告告内部控制审审计意见段；（八）非财务报报告内部控制制重大缺陷描描述段；（九）注册会计计师的签名和和盖章；（十）会计师事事务所的名称称、地址及盖盖章；（十一）报告日日期。第二十八条 符合下列所所有条件的，注注册会计师应应当对财务报报告内部控制制出具无保留留意见的内部部控制审计报报告：（一）企业按照照企业内部部控制基本规规范、企企业内部控制制应用指引、企企业内部控制制评价指引以以及企业自身身内部控制制制度的要求，在在所有重大方方面保持了有有效的内部控控制；（二）注册会计

14、计师已经按照照企业内部部控制审计指指引的要求求计划和实施施审计工作，在在审计过程中中未受到限制制。第二十九条 注册会计师师认为财务报报告内部控制制虽不存在重重大缺陷，但但仍有一项或或者多项重大大事项需要提提请内部控制制审计报告使使用者注意的的，应当在内内部控制审计计报告中增加加强调事项段段予以说明。注册会计师应当当在强调事项项段中指明，该该段内容仅用用于提醒内部部控制审计报报告使用者关关注，并不影影响对财务报报告内部控制制发表的审计计意见。第三十条 注注册会计师认认为财务报告告内部控制存存在一项或多多项重大缺陷陷的，除非审审计范围受到到限制，应当当对财务报告告内部控制发发表否定意见见。注册会计

15、师出具具否定意见的的内部控制审审计报告，还还应当包括下下列内容：（一）重大缺陷陷的定义；（二）重大缺陷陷的性质及其其对财务报告告内部控制的的影响程度。第三十一条 注册会计师师审计范围受受到限制的，应应当解除业务务约定或出具具无法表示意意见的内部控控制审计报告告，并就审计计范围受到限限制的情况，以以书面形式与与董事会进行行沟通。注册会计师在出出具无法表示示意见的内部部控制审计报报告时，应当当在内部控制制审计报告中中指明审计范范围受到限制制，无法对内内部控制的有有效性发表意意见。 注册会计师在已已执行的有限限程序中发现现财务报告内内部控制存在在重大缺陷的的，应当在内内部控制审计计报告中对重重大缺陷

16、做出出详细说明。第三十二条 注册会计师师对在审计过过程中注意到到的非财务报报告内部控制制缺陷，应当当区别具体情情况予以处理理：（一）注册会计计师认为非财财务报告内部部控制缺陷为为一般缺陷的的，应当与企企业进行沟通通，提醒企业业加以改进，但但无需在内部部控制审计报报告中说明；（二）注册会计计师认为非财财务报告内部部控制缺陷为为重要缺陷的的，应当以书书面形式与企企业董事会和和经理层沟通通，提醒企业业加以改进，但但无需在内部部控制审计报报告中说明；（三）注册会计计师认为非财财务报告内部部控制缺陷为为重大缺陷的的，应当以书书面形式与企企业董事会和和经理层沟通通，提醒企业业加以改进；同时应当在在内部控制

17、审审计报告中增增加非财务报报告内部控制制重大缺陷描描述段，对重重大缺陷的性性质及其对实实现相关控制制目标的影响响程度进行披披露，提示内内部控制审计计报告使用者者注意相关风风险。第三十三条 在企业内部部控制自我评价价基准日并不不存在、但在在该基准日之之后至审计报报告日之前（以以下简称期后后期间）内部部控制可能发发生变化，或或出现其他可可能对内部控控制产生重要要影响的因素素。注册会计计师应当询问问是否存在这这类变化或影影响因素，并并获取企业关关于这些情况况的书面声明明。注册会计师知悉悉对企业内部部控制自我评评价基准日内内部控制有效效性有重大负负面影响的期期后事项的，应应当对财务报报告内部控制制发表

18、否定意意见。 注册会计师不能能确定期后事事项对内部控控制有效性的的影响程度的的，应当出具具无法表示意意见的内部控控制审计报告告。第七章 记录录审计工作第三十四条 注册会计师师应当按照中中国注册会计计师审计准则则第11311号审计工作作底稿的规规定，编制内内部控制审计计工作底稿，完完整记录审计计工作情况。第三十五条 注册会计师师应当在审计计工作底稿中中记录下列内内容：（一）内部控制制审计计划及及重大修改情情况；（二）相关风险险评估和选择择拟测试的内内部控制的主主要过程及结结果；（三）测试内部部控制设计与与运行有效性性的程序及结结果；（四）对识别的的控制缺陷的的评价；（五）形成的审审计结论和意意见

19、；（六）其他重要要事项。附录：内部控制制审计报告的的参考格式1.标准内部控控制审计报告告内部控制审计报报告股份有限公公司全体股东东：按照企业内部部控制审计指指引及中国国注册会计师师执业准则的的相关要求，我我们审计了股份有限限公司（以下下简称公司）年月日的财务报报告内部控制制的有效性。一、企业对内部部控制的责任任按照企业内部部控制基本规规范、企企业内部控制制应用指引、企企业内部控制制评价指引的的规定，建立立健全和有效效实施内部控控制，并评价价其有效性是是企业董事会会的责任。二、注册会计师师的责任我们的责任是在在实施审计工工作的基础上上，对财务报报告内部控制制的有效性发发表审计意见见，并对注意意到

20、的非财务务报告内部控控制的重大缺缺陷进行披露露。三、内部控制的的固有局限性性内部控制具有固固有局限性，存存在不能防止止和发现错报报的可能性。此此外，由于情情况的变化可可能导致内部部控制变得不不恰当，或对对控制政策和和程序遵循的的程度降低，根根据内部控制制审计结果推推测未来内部部控制的有效效性具有一定定风险。四、财务报告内内部控制审计计意见我们认为，公司按照企企业内部控制制基本规范和和相关规定在在所有重大方方面保持了有有效的财务报报告内部控制制。五、非财务报告告内部控制的的重大缺陷在内部控制审计计过程中，我我们注意到公司的非非财务报告内内部控制存在在重大缺陷描述该缺陷陷的性质及其其对实现相关关控

21、制目标的的影响程度。由于存在在上述重大缺缺陷，我们提提醒本报告使使用者注意相相关风险。需需要指出的是是，我们并不不对公司的非非财务报告内内部控制发表表意见或提供供保证。本段段内容不影响响对财务报告告内部控制有有效性发表的的审计意见。会计师事务务所 中国国注册会计师师：（签名名并盖章）（盖章） 中中国注册会计计师：（签名并盖盖章）中国市 年月日2. 带强调事事项段的无保保留意见内部部控制审计报报告内部控制审计报报告股份有限公公司全体股东东：按照企业内部部控制审计指指引及中国国注册会计师师执业准则的的相关要求，我我们审计了股份有限限公司（以下下简称公司）年月日的财务报报告内部控制制的有效性。 “一

22、、企业业对内部控制制的责任”至“五、非财务务报告内部控控制的重大缺缺陷”参见标准内内部控制审计计报告相关段段落表述。六、强调事项我们提醒内部控控制审计报告告使用者关注注，（描述强强调事项的性性质及其对内内部控制的重重大影响）。本本段内容不影影响已对财务务报告内部控控制发表的审审计意见。会计师事务务所 中国国注册会计师师：（签名名并盖章）（盖章） 中国注册会会计师：（签名名并盖章） 中国市 年月日3.否定意见内内部控制审计计报告内部控制审计报报告股份有限公公司全体股东东：按照企业内部部控制审计指指引及中国国注册会计师师执业准则的的相关要求，我我们审计了股份有限限公司（以下下简称公司）年月日的财务

23、报报告内部控制制的有效性。“一、企业对对内部控制的的责任”至“三、内部控控制的固有局局限性”参见标准内内部控制审计计报告相关段段落表述。四、导致否定意意见的事项重大缺陷，是指指一个或多个个控制缺陷的的组合，可能能导致企业严严重偏离控制制目标。指出注册会计计师已识别出出的重大缺陷陷，并说明重重大缺陷的性性质及其对财财务报告内部部控制的影响响程度。 有效的内部控制制能够为财务务报告及相关关信息的真实实完整提供合合理保证，而而上述重大缺缺陷使公司内部部控制失去这这一功能。五、财务报告内内部控制审计计意见我们认为，由于于存在上述重重大缺陷及其其对实现控制制目标的影响响，公司未能能按照企业业内部控制基基

24、本规范和和相关规定在在所有重大方方面保持有效效的财务报告告内部控制。六、非财务报告告内部控制的的重大缺陷参见标准内部部控制审计报报告相关段落落表述。会计师事务务所 中国国注册会计师师：（签名名并盖章）（盖章） 中中国注册会计计师：（签名并盖盖章）中国市 年月日4.无法表示意意见内部控制制审计报告内部控制审计报报告股份有限公公司全体股东东：我们接受委托，对对股份有限限公司（以下下简称公司）年月日的财务报报告内部控制制进行审计。删除注册会计计师的责任段段，“一、企业对对内部控制的的责任”和“二、内部控控制的固有局局限性”参见标准内内部控制审计计报告相关段段落表述。三、导致无法表表示意见的事事项描述

25、审计范围围受到限制的的具体情况。四、财务报告内内部控制审计计意见由于审计范围受受到上述限制制，我们未能能实施必要的的审计程序以以获取发表意意见所需的充充分、适当证证据，因此，我我们无法对公司财务务报告内部控控制的有效性性发表意见。五、识别的财务务报告内部控控制重大缺陷陷（如在审计计范围受到限限制前，执行行有限程序未未能识别出重重大缺陷，则则应删除本段段）重大缺陷，是指指一个或多个个控制缺陷的的组合，可能能导致企业严严重偏离控制制目标。尽管我们无法对对公司财务务报告内部控控制的有效性性发表意见，但但在我们实施施的有限程序序的过程中，发发现了以下重重大缺陷：指出注册会计计师已识别出出的重大缺陷陷，

26、并说明重重大缺陷的性性质及其对财财务报告内部部控制的影响响程度。 有效的内部控制制能够为财务务报告及相关关信息的真实实完整提供合合理保证，而而上述重大缺缺陷使公司内部部控制失去这这一功能。六、非财务报告告内部控制的的重大缺陷参见标准内部部控制审计报报告相关段落落表述。会计师事务务所 中国国注册会计师师：（签名名并盖章）（盖章） 中中国注册会计计师：（签名并盖盖章）中国市 年月日规范内控审计行行为 促进内内控有效实施施财政部会计计司、中注协协解读企业业内部控制审审计指引 实施企业内部部控制注册会会计师审计，是是促进企业尤尤其是上市公公司扎实贯彻彻企业内部部控制基本规规范和企企业内部控制制配套指引

27、的的重要制度安安排，是注册册会计师行业业开拓执业领领域、进一步步做大做强新新的增长点。为为了规范注册册会计师内部部控制审计业业务，明确工工作要求，保保证执业质量量，根据企企业内部控制制基本规范、中中国注册会计计师鉴证业务务基本准则及及相关执业准准则，财政部部制定了企企业内部控制制审计指引（以以下简称审计计指引）。财财政部等五部部委制定的企企业内部控制制基本规范和和企业内部部控制应用指指引是注册册会计师衡量量企业内部控控制是否有效效的基础标准准。注册会计计师在执行内内部控制审计计时，除遵守守审计指引外外，还应当遵遵守中国注册册会计师相关关执业准则。审计指引共7章章35条，并并附有4份不不同意见类

28、型型的内部控制制审计报告，阐阐明了什么是是内部控制审审计、如何执执行内部控制制审计工作等等问题。本文文对审计指引引的几个重点点问题进行解解读。一、内部控制审审计概述（一）实施内部部控制审计的的必要性内部控制作为企企业的一项重重要管理活动动，主要试图图解决三方面面的基本问题题，即财务报报告及相关信信息的可靠性性、资产的安安全完整以及及对法律法规规的遵循；与与此同时，促促进提高经营营的效率效果果，并促进实实现企业的发发展战略。安安然、世通等等一系列公司司财务报表舞舞弊事件发生生后，人们认认识到健全有有效的内部控控制对预防此此类事件的发发生至关重要要。各国政府府监管机构、企企业界和会计计职业界对内内

29、部控制的重重视程度也进进一步提升，从从注重财务报报告本身可靠靠性转向注重重对保证财务务报告可靠性性机制的建设设，也就是通通过过程的有有效保证结果果的有效。资资本市场上的的投资者甚至至社会公众要要求企业披露露其与内部控控制相关的信信息，并要求求经过注册会会计师审计以以增强信息的的可靠性。但是，在财务报报表审计中，只只有在以下两两种情况下才才强制要求对对内部控制进进行测试：在在评估认定层层次重大错报报风险时，预预期控制的运运行是有效的的（即在确定定实质性程序序的性质、时时间安排和范范围时，注册册会计师拟信信赖控制运行行的有效性）；或者仅实施施实质性程序序并不能够提提供认定层次次充分、适当当的审计证

30、据据。可见，注注册会计师对对内部控制的的了解和测试试不足以对内内部控制发表表意见，难以以满足信息使使用者的需求求。因此，内内部控制审计计逐渐发展起起来，很多国国家要求注册册会计师对内内部控制设计计和运行的有有效性进行审审计或鉴证。例例如，美国萨萨班斯奥克斯利利法案4004条款和日日本金融商商品交易法要要求审计师对对企业管理层层对财务报告告内部控制的的评价进行审审计；我国企企业内部控制制基本规范要要求会计师事事务所对企业业内部控制的的有效性进行行审计，出具具审计报告，并并专门制定企企业内部控制制审计指引规规范内部控制制审计工作。（二）各国对内内部控制审计计的要求1.其他国家对对内部控制审审计的要

31、求。我我们对内部控控制审计进行行了国际比较较研究，选择择了在内部控控制规范制定定领域一直走走在世界前沿沿的几个国家家和地区，包包括美国、日日本、欧盟、加加拿大和英国国，对上述各各国及地区出出台的内控审审计标准进行行了比较研究究。研究结论论表明:（1）美国和日日本均以法案案形式强制要要求对企业财财务报告内部部控制进行审审计；欧盟、加加拿大、英国国未强制要求求进行内控审审计，但英国国等国的上市市规则要求审审计师对管理理层作出的内内部控制声明明进行形式上上的审阅。（2）强制要求求进行内部控控制审计的国国家，如美国国和日本，内内部控制审计计与年度财务务报表审计整整合进行。其其中美国要求求由同一家会会计

32、师事务所所将内部控制制审计与财务务报表审计整整合进行，而而日本则不仅仅如此，要求求同一个审计计师从计划审审计工作、实实施审计程序序获取审计证证据、评价审审计证据的充充分性和适当当性，直到发发表审计意见见的整个过程程中，将两种种审计作为一一个整体进行行。2.我国对内部部控制审计的的要求。企企业内部控制制基本规范及及配套指引的的发布，要求求执行企业内内控规范体系系的企业，必必须对本企业业内部控制的的有效性进行行自我评价，披披露年度自我我评价报告，同同时聘请具有有证券期货业业务资格的会会计师事务所所对其财务报报告内部控制制的有效性进进行审计，出出具审计报告告。注册会计计师在内部控控制审计过程程中注意

33、到的的企业非财务务报告内部控控制的重大缺缺陷，应当提提示投资者、债债权人和其他他利益相关者者关注。这意味着，企业业内部控制审审计业务由原原来的一次性性业务或面向向少数企业的的业务（A股股企业原先仅仅在IPO时时需要，或者者赴美国和日日本等地上市市企业需要，或或者金融证券券等高风险行行业需要），变变成了与财务务报表审计一一样的经常性性业务，每年年需执行一次次。对于执行内部控控制审计的会会计师事务所所来讲，对公公司上市前要要进行内部控控制审计，上上市后也要进进行内部控制制审计。（三）内部控制制审计的定义义内部控制审计，是是指会计师事事务所接受委委托，对特定定基准日内部部控制设计与与运行的有效效性进

34、行审计计。1企业内部控控制审计基于于特定基准日日。注册会计计师基于基准准日（如年末末12月311日）内部控控制的有效性性发表意见，而而不是对财务务报表涵盖的的整个期间（如如一年）的内内部控制的有有效性发表意意见。但这并并不意味着注注册会计师只只关注企业基基准日当天的的内部控制，而而是要考察企企业一个时期期内（足够长长的一段时间间）内部控制制的设计和运运行情况。例例如，注册会会计师可能在在5月份对企企业的内部控控制进行测试试，发现问题题后提请企业业进行整改，如如6月份整改改，企业的内内部控制在整整改后要运行行一段时间（如如至少一个月月），8月份份注册会计师师再对整改后后的内部控制制进行测试。因因

35、此，虽然是是对企业122月31日（基基准日）内部部控制的设计计和运行发表表意见，但这这里的基准日日不是一个简简单的时点概概念，而是体体现内部控制制这个过程向向前的延续性性。注册会计计师所采用的的内部控制审审计的程序和和方法，也体体现了这种延延续性。2财务报告内内部控制与非非财务报告内内部控制。审审计指引第四四条第二款规规定，注册会会计师应当对对财务报告内内部控制的有有效性发表审审计意见，并并对内部控制制审计过程中中注意到的非非财务报告内内部控制的重重大缺陷，在在内部控制审审计报告中增增加“非财务报告告内部控制重重大缺陷描述述段”予以披露。财务报告内部控控制，是指企企业为了合理理保证财务报报告及

36、相关信信息真实完整整而设计和运运行的内部控控制，以及用用于保护资产产安全的内部部控制中与财财务报告可靠靠性目标相关关的控制。主主要包括下列列方面的政策策和程序：（1）保存充分分、适当的记记录，准确、公公允地反映企企业的交易和和事项；（2）合理保证证按照企业会会计准则的规规定编制财务务报表；（3）合理保证证收入和支出出的发生以及及资产的取得得、使用或处处置经过适当当授权；（4）合理保证证及时防止或或发现并纠正正未经授权的的、对财务报报表有重大影影响的交易和和事项。非财务报告内部部控制，是指指除财务报告告内部控制之之外的其他控控制，通常是是指为了合理理保证经营的的效率效果、遵遵守法律法规规、实现发

37、展展战略而设计计和运行的控控制，以及用用于保护资产产安全的内部部控制中与财财务报告可靠靠性目标无关关的控制。3企业内控责责任与注册会会计师审计责责任的关系。审审计指引第三三条规定，建建立健全和有有效实施内部部控制，评价价内部控制的的有效性是企企业董事会的的责任。按照照本指引的要要求，在实施施审计工作的的基础上对内内部控制的有有效性发表审审计意见，是是注册会计师师的责任。两者之间的关系系和会计责任任与审计责任任的区分保持持一致，即：建立健全和和有效实施内内部控制是企企业董事会（或或类似决策机机构，下同）的的责任；按照照企业内部部控制审计指指引的要求求，在实施审审计工作的基基础上对企业业内部控制的

38、的有效性发表表审计意见，是是注册会计师师的责任。换换言之，内控控本身有效与与否是企业的的内控责任，是是否遵循审计计指引开展内内控审计并发发表恰当的审审计意见是注注册会计师的的审计责任。因因此，注册会会计师在实施施内控审计之之前，应当在在业务约定书书中明确双方方的责任；在在发表内控审审计意见之前前，应当取得得经企业签署署的内控书面面声明。（四）整合审计计审计指引第五条条规定，注册册会计师可以以单独进行内内部控制审计计，也可以将将内部控制审审计与财务报报表审计整合合进行（以下下简称整合审审计）。理解这一规定，要要明确两点，一一是内部控制制审计与财务务报表审计是是两种不同的的审计业务，两两种审计的目

39、目标不同；二二是内部控制制审计与财务务报表审计可可以整合起来来进行。1内部控制审审计与财务报报表审计的异异同。内部控控制审计要求求对企业控制制设计和运行行的有效性进进行测试，财财务报表审计计中，也要求求了解企业的的内部控制，并并在需要时测测试控制，这这是两种审计计的相同之处处，也是整合合审计中应整整合的部分，但但由于两种审审计的目标不不同，审计指指引要求在整整合审计中，注注册会计师对对内部控制设设计与运行的的有效性进行行测试，要同同时实现两个个目的：（1）获取充分分、适当的证证据，支持在在内部控制审审计中对内部部控制有效性性发表的意见见；（2）获取充分分、适当的证证据，支持在在财务报表审审计中

40、对控制制风险的评估估结果。2两种审计的的整合。财务务报告内部控控制审计与财财务报表审计计通常使用相相同的重要性性（或重要性性水平），在在实务中两者者很难分开。因因为注册会计计师在审计财财务报表时需需获得的信息息在很大程度度上依赖注册册会计师对内内部控制有效效性得出的结结论。注册会会计师可以利利用在一种审审计中获得的的结果为另一一种审计中的的判断和拟实实施的程序提提供信息。实施财务报表审审计时，注册册会计师可以以利用内部控控制审计的结结果来修改实实质性程序的的性质、时间间安排和范围围，并且可以以利用该结果果来支持分析析程序中所使使用的信息的的完整性和准准确性。在确确定实质性程程序的性质、时时间安

41、排和范范围时，注册册会计师需要要慎重考虑识识别出的控制制缺陷。实施内部控制审审计时，注册册会计师需要要评估财务报报表审计时实实质性程序中中发现问题的的影响。最重重要的是，注注册会计师需需要重点考虑虑财务报表审审计中发现的的财务报表错错报，考虑这这些错报对评评价内控有效效性的影响。二、计划审计工工作（一）总体要求求审计指引第六条条指出，注册册会计师应当当恰当地计划划内部控制审审计工作，配配备具有专业业胜任能力的的项目组，并并对助理人员员进行适当的的督导。整合审计中项目目组人员的配配备比较关键键。在计划审审计工作时，项项目合伙人需需要统筹考虑虑审计工作，挑挑选相关领域域的人员组成成项目组，同同时对

42、项目组组成员进行培培训和督导，以以合理安排审审计工作。在计划整合审计计工作时，注注册会计师需需要评价下列列事项对财务务报表和内部部控制是否有有重要影响，以以及有重要影影响的事项将将如何影响审审计工作：1与企业相关关的风险，包包括在评价是是否接受与保保持客户和业业务时，注册册会计师了解解的与企业相相关的风险情情况以及在执执行其他业务务时了解的情情况；2相关法律法法规和行业概概况；3企业组织结结构、经营特特点和资本结结构等相关重重要事项；4企业内部控控制最近发生生变化的程度度；5与企业沟通通过的内部控控制缺陷；6重要性、风风险等与确定定内部控制重重大缺陷相关关的因素；7对内部控制制有效性的初初步判

43、断；8可获取的、与与内部控制有有效性相关的的证据的类型型和范围。此外，注册会计计师还需要关关注与评价财财务报表发生生重大错报的的可能性和内内部控制有效效性相关的公公开信息，以以及企业经营营活动的相对对复杂程度。（二）重视风险险评估的作用用按照审计指引第第八条规定，在在内部控制审审计中，注册册会计师应当当以风险评估估为基础，确确定重要账户户、列报及其其相关认定，选选择拟测试的的控制，以及及确定针对所所选定控制所所需收集的证证据。风险评估的理念念及思路应当当贯穿于整合合审计过程的的始终。实施施风险评估时时，可以考虑虑固有风险及及控制风险。在在计划审计工工作阶段，对对内部控制的的固有风险进进行评估，

44、作作为编制审计计计划的依据据之一；根据据对控制风险险评估的结果果，调整计划划阶段对固有有风险的判断断，这是个持持续的过程。内部控制的特定定领域存在重重大缺陷的风风险越高，给给予该领域的的审计关注就就越多。内部部控制不能防防止或发现并并纠正由于舞舞弊导致的错错报风险，通通常高于其不不能防止或发发现并纠正由由错误导致的的错报风险。注注册会计师应应当更多地关关注高风险领领域，而没有有必要测试那那些即使有缺缺陷、也不可可能导致财务务报表重大错错报的控制。在进行风险评估估以及确定审审计程序时，企企业的组织结结构、业务流流程或业务单单元的复杂程程度可能产生生的重要影响响均是注册会会计师需要考考虑的因素。（

45、三）利用其他他相关人员的的工作在计划审计工作作时，注册会会计师需要评评估是否利用用他人（包括括企业的内部部审计人员、内内部控制评价价人员、其他他人员以及在在董事会及其其审计委员会会指导下的第第三方）的工工作以及利用用的程度，以以减少可能本本应由注册会会计师执行的的工作。如果决定利用内内部审计人员员的工作，注注册会计师应应当按照中中国注册会计计师审计准则则第14111号利用内部部审计人员的的工作的规规定办理。如果拟利用他人人的工作，注注册会计师则则需要评价该该人员的专业业胜任能力和和客观性。专专业胜任能力力即具备某种种专业技能、知知识或经验，有有能力完成分分派的任务；客观性则是是公正、诚实实地执

46、行任务务的能力。专专业胜任能力力和客观性越越高，可利用用程度就越高高，注册会计计师就可以越越多地利用其其工作。当然然，无论人员员的专业胜任任能力如何，注注册会计师都都不应利用那那些客观程度度较低的人员员的工作。同同样地，无论论人员的客观观程度如何，注注册会计师都都不应利用那那些专业胜任任能力较低的的人员的工作作。通常认为为，企业的内内部审计人员员拥有更高的的专业胜任能能力和客观性性，注册会计计师可以考虑虑更多地利用用这些人员的的相关工作。在内部控制审计计中，注册会会计师利用他他人工作的程程度还受到与与被测试控制制相关的风险险的影响。与与某项控制相相关的风险越越高，可利用用他人工作的的程度就越低

47、低，注册会计计师就需要更更多地对该项项控制亲自进进行测试。如果其他注册会会计师负责审审计企业的一一个或多个分分部、分支机机构、子公司司等组成部分分的财务报表表和内部控制制，注册会计计师应当按照照中国注册册会计师审计计准则第14401号对集团财务务报表审计的的特殊考虑的的规定，确定定是否利用其其他注册会计计师的工作。三、实施审计工工作（一）自上而下下的方法审计指引第十条条规定，注册册会计师应当当按照自上而而下的方法实实施审计工作作。自上而下下的方法是注注册会计师识识别风险、选选择拟测试控控制的基本思思路。自上而下的方法法按照下列思思路展开：1从财务报表表层次初步了了解内部控制制整体风险；2识别企

48、业层层面控制；3识别重要账账户、列报及及其相关认定定；4了解错报的的可能来源；5选择拟测试试的控制。在财务报告内控控审计中，自自上而下的方方法始于财务务报表层次，以以注册会计师师对财务报告告内部控制整整体风险的了了解开始，然然后，注册会会计师将关注注重点放在企企业层面的控控制上，并将将工作逐渐下下移至重大账账户、列报及及相关的认定定。这种方法法引导注册会会计师将注意意力放在显示示有可能导致致财务报表及及相关列报发发生重大错报报的账户、列列报及认定上上。之后，注注册会计师验验证其了解到到的业务流程程中存在的风风险，并就已已评估的每个个相关认定的的错报风险，选选择足以应对对这些风险的的业务层面控控

49、制进行测试试。在非财务务报告内控审审计中，自上上而下的方法法始于企业层层面控制，并并将审计测试试工作逐步下下移到业务层层面控制。自上而下的方法法描述了注册册会计师在识识别风险以及及拟测试的控控制时的连续续思维过程，但但并不一定是是注册会计师师执行审计程程序的顺序。（二）识别企业业层面控制从财务报表层次次初步了解财财务报告内部部控制整体风风险是自上而而下方法的第第一步。通过过了解企业与与财务报告相相关的整体风风险，注册会会计师首先可可以识别出为为保持有效的的财务报告内内部控制而必必需的企业层层面内部控制制。此外，由由于对企业层层面内部控制制的评价结果果将影响注册册会计师测试试其他控制的的性质、时

50、间间安排和范围围，因此，注注册会计师可可以考虑在执执行业务的早早期阶段对企企业层面内部部控制进行评评价。1.评价企业层层面控制的精精确度。不同同的企业层面面控制在性质质和精确度上上存在着差异异，这些差异异可能对其他他控制及其测测试产生影响响。（1）某些企业业层面控制，如如企业经营理理念、管理层层的管理风格格等与控制环环境相关的控控制，对及时时防止或发现现并纠正相关关认定的错报报的可能性有有重要影响。虽虽然这种影响响是间接的，但但这些控制仍仍然可能影响响注册会计师师拟测试的其其他控制，以以及测试程序序的性质、时时间安排和范范围。（2）某些企业业层面控制旨旨在识别其他他控制可能出出现的失效情情况，

51、能够监监督其他控制制的有效性，但但还不足以精精确到及时防防止或发现并并纠正相关认认定的错报。当当这些控制运运行有效时，注注册会计师可可以减少对其其他控制的测测试。（3）某些企业业层面控制本本身能够精确确到足以及时时防止或发现现并纠正相关关认定的错报报。如果一项项企业层面控控制足以应对对已评估的错错报风险，注注册会计师就就不必测试与与该风险相关关的其他控制制。2.企业层面控控制的内容（1）与内部环环境相关的控控制。内部环环境，即控制制环境，包括括治理职能和和管理职能，以以及治理层和和管理层对内内部控制及其其重要性的态态度、认识和和措施。良好好的控制环境境是实施有效效内部控制的的基础。（2）针对管

52、理理层（董事会会、经理层）凌凌驾于控制之之上的风险而而设计的控制制。该控制对对所有企业保保持有效的内内部控制都有有重要影响。注注册会计师可可以根据对企企业舞弊风险险的评估作出出判断，选择择相关的企业业层面控制进进行测试，并并评价这些控控制能否有效效应对管理层层凌驾于控制制之上的风险险。（3）企业的风风险评估过程程。风险评估估过程包括识识别与财务报报告相关的经经营风险和其其他经营管理理风险，以及及针对这些风风险采取的措措施。首先，企企业的内部控控制能够充分分识别企业外外部环境（如如在经济、政政治、法律法法规、竞争者者行为、债权权人需求、技技术变革等方方面）存在的的风险；其次次，充分且适适当的风险

53、评评估过程需要要包括对重大大风险的估计计、对风险发发生可能性的的评估以及确确定应对风险险的方法。注注册会计师可可以首先了解解企业及其内内部环境的其其他方面信息息，以初步了了解企业的风风险评估过程程。（4）对内部信信息传递和财财务报告流程程的控制。财财务报告流程程的控制可以以确保管理层层按照适当的的会计准则编编制合理、可可靠的财务报报告并对外报报告。（5）对控制有有效性的内部部监督和自我我评价。企业业对控制有效效性的内部监监督和自我评评价可以在企企业层面上实实施，也可以以在业务流程程层面上实施施，包括：对对运行报告的的复核和核对对、与外部人人士的沟通、对对其他未参与与控制执行人人员的监控活活动，

54、以及将将信息系统记记录数据与实实物资产进行行核对等。此外，企业层面面控制还包括括：集中化的的处理和控制制，包括共享享的服务环境境；监控经营营成果的控制制；针对重大大经营控制以以及风险管理理实务而采取取的政策。（三）测试控制制设计和运行行的有效性审计指引第十四四条规定，注注册会计师应应当测试内部部控制设计与与运行的有效效性。如果某某项控制由拥拥有必要授权权和专业胜任任能力的人员员按照规定的的程序与要求求执行，能够够实现控制目目标，表明该该项控制的设设计是有效的的。如果某项项控制正在按按照设计运行行，执行人员员拥有必要授授权和专业胜胜任能力，能能够实现控制制目标，表明明该项控制的的运行是有效效的。

55、设计不当的控制制可能表明控控制存在缺陷陷甚至重大缺缺陷，注册会会计师在测试试控制运行的的有效性时，首首先要考虑控控制的设计。注注册会计师在在测试控制设设计与运行的的有效性时，应应当综合运用用询问适当人人员、观察经经营活动、检检查相关文件件、穿行测试试和重新执行行等方法。注注册会计师测测试控制有效效性实施的程程序，按提供供证据的效力力，由弱到强强排序为：询询问、观察、检检查和重新执执行。其中询询问本身并不不能为得出控控制是否有效效的结论提供供充分、适当当的证据。执执行穿行测试试通常足以评评价控制设计计的有效性。（四）与控制相相关的风险与与拟获取证据据的关系在测试所选定控控制的有效性性时，注册会会

56、计师需要根根据与控制相相关的风险，确确定所需获取取的证据。与与控制相关的的风险包括控控制可能无效效的风险和因因控制无效而而导致重大缺缺陷的风险。与与控制相关的的风险越高，注注册会计师需需要获取的证证据就越多。与某项控制相关关的风险受下下列因素的影影响：（1）该项控制制拟防止或发发现并纠正的的错报的性质质和重要程度度；（2）相关账户户、列报及其其认定的固有有风险；（3）相关账户户或列报是否否曾经出现错错报；（4）交易的数数量和性质是是否发生变化化，进而可能能对该项控制制设计或运行行的有效性产产生不利影响响；（5）企业层面面控制（特别别是对控制有有效性的内部部监督和自我我评价）的有有效性；（6）该

57、项控制制的性质及其其执行频率；（7）该项控制制对其他控制制（如内部环环境或信息技技术一般控制制）有效性的的依赖程度；（8）该项控制制的执行或监监督人员的专专业胜任能力力，以及其中中的关键人员员是否发生变变化；（9）该项控制制是人工控制制还是自动化化控制；（10）该项控控制的复杂程程度，以及在在运行过程中中依赖判断的的程度。针对每一相关认认定，注册会会计师都需要要获取控制有有效性的证据据，以便对内内部控制整体体的有效性单单独发表意见见，但注册会会计师没有责责任对单项控控制的有效性性发表意见。对于控制运行偏偏离设计的情情况（即控制制偏差），注注册会计师需需要考虑该偏偏差对相关风风险评估、需需要获取

58、的证证据以及控制制运行有效性性结论的影响响。注册会计师通过过测试控制有有效性获取的的证据，取决决于实施程序序的性质、时时间安排和范范围的组合。就就单项控制而而言，注册会会计师应当根根据与该项控控制相关的风风险，适当确确定实施程序序的性质、时时间安排和范范围，以获取取充分、适当当的证据。测试控制有效性性实施的程序序，其性质在在很大程度上上取决于拟测测试控制的性性质。某些控控制可能存在在文件记录，反反映其运行的的有效性，而而另外一些控控制，如管理理理念和经营营风格，可能能没有书面的的运行证据。对对缺乏正式运运行证据的企企业或企业的的某个业务单单元，注册会会计师可以通通过询问并结结合运用观察察活动、

59、检查查非正式的书书面记录和重重新执行某些些控制等程序序，获取有关关控制有效性性的充分、适适当的证据。对控制有效性的的测试涵盖的的期间越长，提提供的控制有有效性的证据据越多。注册册会计师需要要获取内部控控制在企业内内部控制自我我评价基准日日前足够长的的期间内有效效运行的证据据。对控制有有效性的测试试实施的时间间安排越接近近企业内部控控制自我评价价基准日，提提供的控制有有效性的证据据越有力。因因此，审计指指引第十七条条规定，注册册会计师在确确定测试的时时间安排时，应应当在下列两两个因素之间间作出平衡，以以获取充分、适适当的证据：（1）尽量在接接近企业内部部控制自我评评价基准日实实施测试；（2）实施

60、的测测试需要涵盖盖足够长的期期间。在企业内部控制制自我评价基基准日之前，管管理层可能为为提高控制效效率、效果或或弥补控制缺缺陷而改变企企业的控制。如如果新控制实实现了相关控控制目标，运运行足够长的的时间，且注注册会计师能能够测试并评评价该项控制制设计和运行行的有效性，则则无需测试被被取代的控制制。如果被取取代控制设计计和运行的有有效性对控制制风险的评估估有重大影响响，注册会计计师则需要测测试该项控制制的有效性。注册会计师执行行内部控制审审计业务通常常旨在对企业业内部控制自自我评价基准准日（通常为为年末）内部部控制的有效效性发表意见见。如果已获获取有关控制制在期中运行行有效性的证证据，注册会会计