审计学1-13章-第控制审计

第十三章内部控制审计引例内部控制审计与整合审计概述内部控制审计的主要步骤内部控制审计报告目录内部控制审计引例百花村2014年7月5日发生瓦斯爆炸事故，造成17死3伤的重大安全责任事故

原因公司在一号井工作面密闭火区未熄灭的情况下，盲目决定缩小密闭范围，在违规打开原密闭过程中，导致发生瓦斯爆炸事故审计报告日公司尚未恢复生产，并在该年度内部控制自我评价报告中充分披露了上述事项及其影响审计注册会计师认为其安全生产管理方面存在重大缺陷出具带强调段的无保留审计意见内部控制审计报告内部控制审计与整合审计概述>>>1内部控制

内部控制，是指被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计与执行的政策及程序。内部控制的五要素

内部控制包括下列要素：（1）控制环境；（2）风险评估；（3）信息与沟通；（4）控制活动；（5）监督。内部控制审计

内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。

企业董事会有责任建立健全和有效实施内部控制，评价内部控制的有效性。审计人员对内部控制的责任

注册会计师应当执行内部控制审计工作，获取充分、适当的证据，为发表内部控制审计意见提供合理保证。并在实施审计工作的基础上对内部控制的有效性发表审计意见。内部控制审计的目标

注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。整合审计

整合审计是指由同一家会计师事务所对被审计单位进行财务报表审计和内部控制审计进行整合。整合审计目标

在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：（1）获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见；（2）获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。内部控制审计的主要步骤>>>2内部控制审计工作

《企业内部控制审计指引》指出，我国的内部控制审计工作包括：（1）计划审计工作；（2）实施审计工作；（3）评价控制缺陷；（4）完成审计工作；（5）出具审计报告；（6）记录审计工作等步骤。一、计划审计工作

注册会计师应当恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。计划审计工作的总体要求

在计划审计工作时，注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响：（1）与企业相关的风险；（2）相关法律法规和行业概况；（3）企业组织结构、经营特点和资本结构等相关重要事项；（4）企业内部控制最近发生变化的程度；（5）与企业沟通过的内部控制缺陷；（6）重要性、风险等与确定内部控制重大缺陷相关的因素；（7）对内部控制有效性的初步判断；（8）可获取的、与内部控制有效性相关的证据的类型和范围。

注册会计师应当以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。

内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多。以风险评估为基础

注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能本应由注册会计师执行的工作。评估企业内部控制自我评价工作

注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作时，应当对其专业胜任能力和客观性进行充分评价。

与某项控制相关的风险越高，可利用程度就越低，注册会计师应当更多地对该项控制亲自进行测试。评估过程

注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。

审计人员的责任二、实施审计工作

注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。实施审计工作的总体要求

注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。无论是测试企业层面控制还是业务层面控制，注册会计师都应当关注信息系统对内部控制及风险评估的影响，并评价内部控制是否足以应对舞弊风险。在测试企业层面控制时，应当把握重要性原则，至少应当关注：测试企业层面控制（1）与内部环境相关的控制；（2）针对董事会、经理层凌驾于控制之上的风险而设计的控制；（3）企业的风险评估过程；（4）对内部信息传递和财务报告流程的控制；（5）对控制有效性的内部监督和自我评价。

注册会计师测试业务层面控制时，应当把握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。测试业务层面控制

控制测试可用于被审计单位每个层面的内部控制，企业层面的控制测试通常更加主观。对企业层面控制进行测试，通常比业务层面更难记录。因此，企业层面的评价通常记录的是文件备忘录和支持性证据，注册会计师应在审计的早期测试企业层面，因为对这些控制测试的结果会影响其他计划审计程序的性质和范围。测试两个层面控制时注意的问题测试控制设计的有效性

注册会计师在审计内部控制时，应该测试控制设计的有效性。在测试控制设计的有效性时，注册会计师应当考虑该控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。有效的测试控制设计

如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行，能够实现控制目标，表明该项控制的设计是有效的。测试控制运行的有效性

除非存在某些可以使控制得到一贯运行的自动化控制，否则注册会计师对控制的了解不足以测试控制运行的有效性。在测试控制运行的有效性是，注册会计师应当从下列方面获取关于控制是否有效运行的审计证据：（1）控制在所审计期间的相关时点是如何运行的；（2）控制是否得到一贯执行；（3）控制由谁或以何种方式执行。有效性运行的测试控制

如果某项控制正在按照设计运行，执行人员拥有必要授权和专业胜任能力，能够实现控制目标，表明该项控制的运行是有效的。控制测试的要求

作为进一步审计程序的类型之一，控制测试并非在任何情况下都需要实施，当存在下列情形之一时，注册会计师应当实施控制测试：（1）在评估认定层次重大错报风险时，预期控制的运行时有效的；（2）仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。获取关于控制运行有效性审计证据

在测试控制运行的有效性时，注册会计师应当从下列方面获取关于控制是否有效运行的审计证据：1.控制在所审计期间的相关时点是如何运行的；2.控制是否得到一贯执行；3.控制由谁或以何种方式执行。

在测试控制设计与运行的有效性时，注册会计师应当综合运用以下审计程序：

测试控制设计和运行有效性的审计程序（1）询问适当人员，虽然询问本身并不足以提供充分、适当的证据；（2）观察经营活动；（3）检查相关文件；（4）穿行测试；（5）重新执行等。一、考虑特定控制的性质确定测试控制审计程序时的要求注册会计师应当根据特定控制的性质选择所需要实施审计程序的类型。例如，某些可能存在反映控制运行有效性的文件记录，注册会计师可以检查这些文件记录以获取相关的审计证据；如果没有这些文件记录或者文件记录与能否证实控制运行有效性不想关，注册会计司则可以考虑通过询问和观察过去相关的审计证据。二、考虑测试与认定直接相关或间接相关的控制确定测试控制审计程序时的要求例如，被审计单位可能针对超出信用额度的例外赊销交易设置报告和审核制度，在测试该项制度的运行有效性时，注册会计师不仅要考虑审核的有效性，还需要考虑与例外赊销报告中信息准确性有关的控制是否有效运行。三、如何对一项自动化的应用控制测试实施控制测试确定测试控制审计程序时的要求对于一项自动化的应用测试，注册会计师可以利用该项测试得以执行的审计证据和信息技术一般控制运行有效性的审计证据，作为支持该项控制在相关期间运行有效性的重要审计证据。控制设计与运行的偏差

对于内部控制运行偏离设计的情况（即控制偏差），注册会计师应当确定该偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。测试的时间（1）何时实施控制测试；（2）测试所针对的控制适用的时点或期间。

控制测试的时间包含两层含义：第一层含义的测试时间（1）尽量在接近企业内部控制自我评价基准日实施测试；（2）实施的测试需要涵盖足够长的期间。

在确定何时实施控制测试时，注册会计师应当在下列两个因素之间作出平衡，以获取充分、适当的证据：第二层含义的测试时间如果仅需要测试控制在特定时点的运行有效性，注册会计师只需要获取改试点的审计证据；

如果需要获取控制在某一期间有效运行的审计证据，仅获取与时点有关的审计证据是不充分的，注册会计师应当辅以其他控制测试，包括测试被审计单位对控制的监督

注册会计师应当根据根据控制测试的目的确定控制测试的时间，并确定拟信赖的相关控制的时点或期间。

注册会计师应当根据与内部控制相关的风险，确定拟实施审计程序的性质、时间安排和范围，获取充分、适当的证据。与内部控制相关的风险越高，注册会计师需要获取的证据应越多。风险与拟获取证据的关系连续审计的测试

在连续审计中，注册会计师在确定测试的性质、时间安排和范围时，应当考虑以前年度执行内部控制审计时了解的情况。考虑以前年度审计的意义

注册会计师考虑以前年度审计过去的有关控制运行有效性的审计证据，其意义在于：（1）内部控制中的诸多因素对于被审计单位往往是相对稳定的（相对于具体的交易、账户余额和披露）；（2）内部控制在不同期间可能发生重大变化，注册会计师在利用以前审计获取的有关控制运行有效性的审计证据是需要格外谨慎，充分考虑各种因素。如何考虑以前年度审计获取的审计证据

注册会计师考在虑以前年度审计过去的有关控制运行有效性的审计证据时，应该考虑拟信赖的以前审计中测试的控制在本期是否发生变化，并通过实施询问并结合观察或检查程序，获取这些控制是否发生变化的审计证据。如何考虑以前年度审计获取的审计证据

如果控制在本期发生变化，注册会计师应当考虑以前审计获取的有关控制运行有效性的审计证据是否与本期相关。如果拟信赖的控制自上次测试后已经发生变化，注册会计师应当在本期审计中测试这些控制的运行有效性。如何考虑以前年度审计获取的审计证据如果拟信赖的控制自上次测试后未发生变化，且不属于旨在减轻特别风险的控制，注册会计师应当运用职业判断确定是否在本期审计中测试其运行有效性，以及本次测试与上次测试的时间间隔，但每三年至少对控制测试一次。利用以前年度审计获取的审计证据时考虑的因素在确定利用以前审计获取的有关控制测试运行有效性的审计证据是否适当以及在此测试控制的时间间隔时，注册会计师应当考虑以下因素或情况：（1）内部控制其他要素的有效性，包括控制环境、对控制监督以及被审计单位的风险评估过程；（2）控制特征（是人工控制还是自动化控制）产生的风险；（3）信息技术一般控制的有效性；控制测试的范围控制测试的范围主要是指某项活动的测试次数。注册会计师应当实际控制测试，以获取在整个拟信赖的期间有效运行的充分、适当的审计证据。当对控制运行有效性需要获取更具说服力的审计证据时，可能需要扩大控制测试的范围。确定控制测试范围时的考虑因素在确定控制测试的范围是，除了考虑对控制的信赖程度外，注册会计师还需要考虑以下因素：（1）在拟信赖期间，被审计单位执行控制的频率；（2）在所审计期间，注册会计师拟信赖控制运行有效性的时间长度；（3）控制的预期偏差；（4）通过测试与认定相关的其他控制获取的审计证据的范围；（5）拟获取的有关认定层次控制运行有效性的审计证据的相关性和可靠性。三、评价控制缺陷

控制缺陷是指企业内部控制的设计或运行无法合理保证内部控制目标的实现。控制缺陷的分类内部控制缺陷按其成因可分为两类：（1）设计缺陷；（2）运行缺陷。

设计缺陷：是指企业缺少为实现控制目标的必需控制，或现存的控制并不合理及未能满足控制目标。例如，“未建立定期的现金盘点程序”就属于控制设计问题。设计缺陷设计缺陷又可分为两类：系统的缺陷和手工的缺陷。

运行缺陷：是指设计合理及有效的内部控制，但在运作上没有被正确地执行。包括不恰当的人员执行，未按设计的方式运行，如频率不当等。例如：“物资采购申请金额已超其采购权限，却未向上级公司申请安排大宗物品采购”运行缺陷控制缺陷的分类内部控制缺陷按其影响程度可分为三类：（1）重大缺陷；（2）重要缺陷；（3）一般缺陷。

重大缺陷：重大缺陷也称实质性漏洞，是指一个或多个控制缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。重大缺陷

例如，有关漏洞为企业带来重大的损失或造成企业财务报表重大的错报、漏报。

重要缺陷：是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现严重偏离整体控制目标的严重程度依然重大，需引起管理层关注。重要缺陷

例如，有关缺陷造成的负面影响在部分区域流传，为公司声誉带来损害。

一般缺陷：是指除重要缺陷、重大缺陷外的其他缺陷。一般缺陷

注册会计师应当评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷。审计人员对重大缺陷的责任

在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时，注册会计师应当评价补偿性控制（替代性控制）的影响。企业执行的补偿性控制应当具有同样的效果。评价补偿性控制若出现下列迹象则表明内部控制可能存在重大缺陷：重大缺陷的判断（1）注册会计师发现董事、监事和高级管理人员舞弊；（2）企业更正已经公布的财务报表；（3）注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报；（4）企业审计委员会和内部审计机构对内部控制的监督无效。四、完成审计工作

注册会计师完成审计工作后，应当取得经企业签署的书面声明。

企业如果拒绝提供或以其他不当理由回避书面声明，注册会计师应当将其视为审计范围受到限制，解除业务约定或出具无法表示意见的内部控制审计报告。书面声明应当包括下列内容：书面声明的内容（1）企业董事会认可其对建立健全和有效实施内部控制负责；（2）企业已对内部控制的有效性作出自我评价，并说明评价时采用的标准以及得出的结论；（3）企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础；书面声明的内容（4）企业已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷和重要缺陷；（5）企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷，是否已经采取措施予以解决；（6）企业在内部控制自我评价基准日后，内部控制是否发生重大变化，或者存在对内部控制具有重要影响的其他因素。书面沟通

注册会计师应当与企业沟通审计过程中识别的所有控制缺陷。如发现重大缺陷和重要缺陷，或认为审计委员会和内部审计机构对内部控制的监督无效，则应当以书面形式与董事会和经理层沟通。

书面沟通应当在注册会计师出具内部控制审计报告之前进行。内部控制审计报告>>>3

注册会计师在完成内部控制审计工作后，应当出具内部控制审计报告。标准内部控制审计报告应当包括下列要素：（一）标题；（二）收件人；（三）引言段；（四）企业对内部控制的责任段；（五）注册会计师的责任段；（六）内部控制固有局限性的说明段；（七）财务报告内部控制审计意见段；（八）非财务报告内部控制重大缺陷描述段；（九）注册会计师的签名和盖章；（十）会计师事务所的名称、地址及盖章；（十一）报告日期。一、标准内部控制审计报告

符合下列所有条件的，注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告：（1）企业按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及企业自身内部控制制度的要求，在所有重大方面保持了有效的内部控制；（2）注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作，在审计过程中未受到限制。标准内部控制审计报告的参考格式内部控制审计报告××股份有限公司全体股东：按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了××股份有限公司（以下简称××公司）××年×月×日的财务报告内部控制的有效性。一、企业对内部控制的责任按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》的规定，建立健全和有效实施内部控制，并评价其有效性是企业董事会的责任。二、注册会计师的责任我们的责任是在实施审计工作的基础上，对财务报告内部控制的有效性发表审计意见，并对注意到的非财务报告内部控制的重大缺陷进行披露。三、内部控制的固有局限性内部控制具有固有局限性，存在不能防止和发现错报的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制审计结果推测未来内部控制的有效性具有一定风险。四、财务报告内部控制审计意见我们认为，××公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。五、非财务报告内部控制的重大缺陷在内部控制审计过程中，我们注意到××公司的非财务报告内部控制存在重大缺陷[描述该缺陷的性质及其对实现相关控制目标的影响程度]。由于存在上述重大缺陷，我们提醒本报告使用者注意相关风险。需要指出的是，我们并不对××公司的非财务报告内部控制发表意见或提供保证。本段内容不影响对财务报告内部控制有效性发表的审计意见。××会计师事务所

中国注册会计师:×××(盖章)(签名并盖章)

中国注册会计师:×××(签名并盖章)

中国××市

二○×二年×月×日二、非标准内部控制审计报告

非标准内部控制审计报告包括以下三种：带强调事项段的非标准内部控制审计报告；1.2.3.否定意见的内部控制审计报告；无法表示意见的内部控制审计报告。带强调事项段的非标准内部控制审计报告

注册会计师认为财务报告内部控制虽不存在重大缺陷，但仍有一项或者多项重大事项需要提请内部控制审计报告使用者注意的，应当在内部控制审计报告中增加强调事项段予以说明。带强调事项段的非标准内部控制审计报告内容

注册会计师应当在强调事项段中指明，该段内容仅用于提醒内部控制审计报告使用者关注，并不影响对财务报告内部控制发表的审计意见。带强调事项段的非标准内部控制审计报告的参考格式内部控制审计报告××股份有限公司全体股东：按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了××股份有限公司（以下简称××公司）××年×月×日的财务报告内部控制的有效性。[“一、企业对内部控制的责任”至“五、非财务报告内部控制的重大缺陷”参见标准内部控制审计报告相关段落表述。]六、强调事项我们提醒内部控制审计报告使用者关注，（描述强调事项的性质及其对内部控制的重大影响）。本段内容不影响已对财务报告内部控制发表的审计意见。××会计师事务所

中国注册会计师:×××(盖章)(签名并盖章)

中国注册会计师:×××(签名并盖章)

中国××市

二○×二年×月×日否定意见的内部控制审计报告

注册会计师认为财务报告内部控制存在一项或多项重大缺陷的，除非审计范围受到限制，应当对财务报告内部控制发表否定意见。否定意见的内部控制审计报告内容

注册会计师出具否定意见的内部控制审计报告，应当包括重大缺陷的定义、重大缺陷的性质及其对财务报告内部控制的影响程度。否定意见的内部控制审计报告的参考格式内部控制审计报告××股份有限公司全体股东：按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了××股份有限公司（以下简称××公司）××年×月×日的财务报告内部控制的有效性。[“一、企业对内部控制的责任”至“三、内部控制的固有局限性”参见标准内部控制审计报告相关段落表述。]四、导致否定意见的事项重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。[指出注册会计师已识别出的重大缺陷，并说明重大缺陷的性质及其对财务报告内部控制的影响程度。]有效的内部控制能够为财务报告及相关信息的真实完整提供合理保证，而上述重大缺陷使××公司内部控制失去这一功能。五、财务报告内部控制审计意见我们认为，由于存在上述重大缺陷及其对实现控制目标的影响，××公司未能按照《企业内部控制基本规范》和相关规定在所有重大方面保持有效的财务报告内部控制。六、非财务报告内部控制的重大缺陷[参见标准内部控制审计报告相关段落表述。]××会计师事务所

中国注册会计师:×××(盖章)(签名并盖章)

中国注册会计师:×××(签名并盖章)

中国××市

二○×二年×月×日无法表示意见的内部控制审计报告

注册会计师审计范围受到限制的，应当解除业务约定或出具无法表示意见的内部控制审计报告，并就审计范围受到限制的情况，以书面形式与董事会进行沟通。无法表示意见的内部控制审计报告内容如果在出具无法表示意见的内部控制审计报告时，应当在内部控制审计报告中指明审计范围受到限制，无法对内部控制的有效性发表意见。如果在已执行的有限程序中发现财务报告内部控制存在重大缺陷的，应当在内部控制审计报告中对重大缺陷做出详细说明。标准内部控制审计报告的参考格式内部控制审计报告××股份有限公司全体股东：我们接受委托，对××股份有限公司（以下简称××公司）××年×月×日的财务报告内部控制进行审计。[删除注册会计师的责任段，“一、企业对内部控制的责任”和“二、内部控制的固有局限性”参见标准内部控制审计报告相关段落表述。]三、导致无法表示意见的事项[描述审计范围受到限制的具体情况。]四、财务报告内部控制审计意见由于审计范围受到上述限制，我们未能实施必要的审计程序以获取发表意见所需的充分、适当证据，因此，我们无法对××公司财务报告内部控制的有效性发表意见。五、识别的财务报告内部控制重大缺陷（如在审计范围受到限制前，执行有限程序未能识别出重大缺陷，则应删除本段）重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。尽管我们无法对××公司财务报告内部控制的有效性发表意见，但在我们实施的有限程序的过程中，发现了以下重大缺陷：[指出注册会计师已识别出的重大缺陷，并说明重大缺陷的性质及其对财务报告内部控制的影响程度。]有效的内部控制能够为财务报告及相关信息的真实完整提供合理保证，而上述重大缺陷使××公司内部控制失去这一功能。六、非财务报告内部控制的重大缺陷[参见标准内部控制审计报告相关段落表述。]××会计师事务所

中国注册会计师:×××(盖章)(签名并盖章)