内部控制系统及其评审

内部控制系统及其评审2本章内容

第1节内部控制系统第2节财务报告内部控制

第3节内部控制的描述第4节内部控制评价

第5节内部控制审计第1节内部控制系统41934年美国《证券交易法》，提出“内部会计控制”内部牵制1936年AICPA首次使用了“内部控制”这一术语1949年内控的第一个权威定义，AICPA发表专题报告1953年1972年1988年第一次修正第二、三次修正，最终形成《审计准则公告第1号》AICPA提出内部控制结构定义1992年COSO内部控制整体框架2004年COSO风险管理整合框架2002年SOA法案内部控制制度内部控制结构内部控制整体框架风险管理框架一、内部控制的发展内部控制的发展(一)内部牵制阶段

20世纪40年代以前,人们习惯使用内部牵制这一概念,其主要特点是:以任何个人或部门不能单独控制任何一项或一部分业务权力的方式进行组织的责任分工。内部牵制的执行可分为以下四类:1、实物牵制；2、机械牵制；3、体制牵制；4、簿记牵制。5一、内部控制的发展6一、内部控制的发展(二)内部控制阶段

20世纪40年代末,内部控制这一概念得到了重视。

1949年美国注册会计师协会的审计程序委员会对内部控制首次作出权威性定义:“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法与措施,以保护企业财产、检查会计信息的准确性、提高经营效率和推动企业坚持执行既定的管理政策和规章制度。”

7

一、内部控制的发展(三)会计控制和管理控制阶段

1958年美国注册会计师协会下属的审计程序委员会发布的《审计程序公告第29号》对内部控制定义重新进行表述,将内部控制划分为会计控制和管理控制。内部会计控制包括授权与批准制度、从事财务记录和审核与从事经营或财产保管职务分离的控制、财产的实物控制和内部审计。管理控制包括但不限于确保交易由管理当局授权的组织结构、程序及有关记录。这些控制包括统计分析、时效研究即工作节奏研究、业绩报告、员工培训计划和质量控制。8

一、内部控制的发展(四)内部控制结构阶段

1988年美国注册会计师协会发布《审计准则公告第55号》,该公告首次以“内部控制结构”代替“内部控制”,指出“企业的内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”。内部控制结构是指为了对实现特定公司目标提供合理保证而建立的一系列政策和程序构成的有机整体,包括控制环境、会计系统及控制程序三个部分。9

一、内部控制的发展(五)内部控制整体框架阶段

1996年美国注册会计师协会发布《审计准则公告第78号》，将内部控制定义为:由一个企业的董事会、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:(1)财务报告的可靠性;(2)经营的效果和效率;(3)符合适用的法律和法规。审计准则将内部控制划分为五种要素,分别是:控制环境、风险评估、控制活动、信息与沟通、监控。这五种要素使内部控制成为一个完整的整体。10

一、内部控制的发展(六)内部控制整合框架——风险管理阶段

2004年4月,美国COSO委员会在广泛吸收各国理论界和实务界研究成果的基础上,颁布了《企业风险管理框架》。该框架在1992年COSO的内部控制整体框架报告的基础上建立企业风险管理框架,将企业管理的重心由内部控制转向风险管理。相对于内部控制整体框架而言,新的COSO报告增加了一个观念即“风险组合观”,一个目标即“战略目标”,两个概念即“风险偏好”和“风险容忍度”,三个要素即“目标制定”、“事项识别”和“风险反应”。11二、建立内部控制的必要性建立适当而有效的内部控制不仅是企业科学管理的要求，也是法律的要求，更是企业为应付所面临的风险而权衡成本与效益后的选择结果。1、科学管理的要求；

2、法律、法规的要求；⒊成本－效益原则的要求。12三、内部控制的目标和要素监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1业务单位A业务单位B活动2活动1业业务务监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1业务单位A业务单位B活动2活动1业业务务控制环境

风险评估

控制活动

信息与沟通监控营运目标战略目标报告目标资产目标合法目标13

三、内部控制的目标和要素(一)内部控制的目标

1、确保企业战略的实现；

2、运营的效果和效率；

3、财务报告的可靠性；4、资产的安全、完整；

5、符合相关的法律和法规。14三、内部控制的要素

(二)内部控制的要素

2008年5月22日发布《企业内部控制基本规范》中提出的内部控制要素有五大类：1.内部环境2.风险评估3.控制活动4.信息与沟通5.内部监督151、内部环境

内部环境是实施内部控制的基础，主要包括以下几点：规范的公司治理结构和议事规则机构设置及权责分配审计委员会内部审计人力资源政策企业文化建设法律顾问制度及重大法律纠纷案件备案制度162、风险评估**注释：摘自《企业内部控制基本规范》内部风险识别管理因素组织结构经营方式资产管理业务流程安全环保因素营运安全员工健康环境保护自主创新因素研究开发技术投入信息技术财务因素财务状况经营成果现金流量人力资源因素职业操守专业胜任能力团队精神172、风险评估**注释：摘自《企业内部控制基本规范》外部风险识别经济因素经济形势产业政策融资环境市场竞争资源供给法律因素法律法规监管要求社会因素安全稳定文化传统社会信用教育水平消费者行为行业技术因素技术进步工艺改进自然环境因素自然灾害环境状况182、风险评估风险应对策略*注释：摘自《企业内部控制基本规范》风险规避企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。风险分担企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。风险承受企业对风险承受度之内的风险，在权衡成本效益后，不准备采取控制措施降低风险或者减轻损失的策略。193、控制活动控制活动是公司建立执行的政策章程，以确保管理层的指示可以得到顺利贯彻执行。控制活动必须与风险评估是一个整体。控制措施203、控制活动各种控制措施的综合运用风险可承受度预防性控制及发现性控制管理控制及监督控制手工控制及自动控制213、控制活动不相容职务分离控制财产保护控制会计系统控制运营分析控制授权审批控制预算控制绩效考评控制*注释：摘自《企业内部控制基本规范》控制措施224、信息与沟通

信息与沟通是获取和交换信息的程序，以使企业能够正常运行，并得到适当的管理及控制及时准确的最新信息；所有层次上对信息、期望和责任的沟通；内部与外部的沟通。234、信息与沟通信息的收集财务会计资料经营管理资料调研报告内部刊物办公网络等渠道行业协会组织/监管部门社会中介机构业务往来单位市场调查网络媒体等渠道内部信息外部信息合理的筛选、核对、整合可提高信息的有用性244、信息与沟通建立信息与沟通制度内部控制相关信息的收集信息的处理与传递信息的及时沟通

信息与沟通系统能及时识别、获取和交流信息，促使管理层和其他员工履行其职责；科学合理的信息与沟通制度可促进内部控制的有效运行。内部控制监督制度企业应制定内部控制监督制度，明确内部审计机构和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求*内部控制监督制度是企业内部控制的重要组成部分，贯穿于内部控制活动的各个环节，是确保企业内部控制高效运行的重要保障255、内部监督265、内部监督

内部控制缺陷认定标准

企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。其中，内部控制缺陷包括：设计缺陷运行缺陷27

四、内部控制系统的种类(一)内部控制系统按要素分类

1.控制环境;2.风险评估;3.控制活动;4.信息与沟通;5.监控。28

四、内部控制系统的种类(二)内部控制系统按工作范围分类

1.内部管理控制系统。内部管理控制系统是以提高经营效率、工作效率为目的,用于行政和业务管理方面的方法、措施和程序。

2.内部会计控制系统。内部会计控制系统是以保护财产物资和确保会计资料可靠性为目的,用于会计业务和与之相关的其他业务管理方面的方法、措施和程序。29

四、内部控制系统的种类(三)内部控制系统按建立的目的分类

1.保护财产物资的内部控制系统;2.保证会计资料可靠性和正确性的内部控制系统;3.保证经济活动合法性和效益性的内部控制系统。

30

四、内部控制系统的种类(四)内部控制系统按控制方式分类

1.预防性内部控制系统。预防性内部控制系统是指那些目的在于防止差错和舞弊行为的发生而设置的措施和程序。

2.察觉性内部控制系统。察觉性内部控制系统是指当错弊行为发生后,能够立即自动发出信号,并及时采取纠正或补救的方法、措施和程序。

31

五、内部控制的内容(一)合规、合法性控制建立和健全企业内部控制系统必须符合国家财经政策、法令和财经制度的规定,每一项经济业务活动必须控制在合规、合法的范围内。如一切会计凭证都必须由会计部门认真审核、把关,对不合规、不合法的经济业务应坚决予以揭露和制止;生产和销售的产品必须符合质量要求,不许以次充优或生产销售伪劣产品;等等。32

五、内部控制的内容(二)授权、分权控制现代企事业单位规模不断扩大、环节日益增多、业务纷繁,企事业单位管理层不可能事必躬亲,包揽一切事务。必须将事、权进行合理划分,对下级授权、分权,规定各级人员处理某些事务的权力。在授权、分权范围内,授权者或分权者有权处理有关事务;未经批准和授权,不得处理有关经济业务。

33

五、内部控制的内容(三)不相容职务控制所谓不相容职务,指集中于一人办理时,发生差错或舞弊的可能性就会增加的两项或几项职务。

1.经济业务处理的分工。

2.资产记录与保管的分工。

3.各职能部门具有相对独立性。

34

五、内部控制的内容(四)业务程序标准化控制为了提高工作效率,实行科学化管理,现代企业一般将每一项业务活动,都划分为六个步骤:授权、主办、核准、执行、记录和复核。这种按照客观要求建立的标准化业务处理程序,不仅有利于实际业务活动按照事先规定的轨道进行,而且对实际业务活动做到了事前、事中和事后的控制。按照标准化处理程序的要求,会计部门的每一个工作人员必须有严密的组织分工,会计资料力求做到统一格式、统一编号、专人填制、专人保管,防止混乱、丢失。

35

五、内部控制的内容(五)复查核对控制为了保证会计信息的可靠性,规定各项经济业务必须经过复查核对,以免发生差错和舞弊。对业已完成的经济业务记录进行复查核对是控制记录使其正确可靠的重要方法。复查核对一般分为两种:一种是将记录与所记的事物相核实;另一种是记录之间的相互复查核对。

36

五、内部控制的内容(六)人员素质控制内部控制系统实施是否有效,关键取决于实施内部控制系统人员的素质。要使内部控制系统的功能按预定的目标正常发挥,必须配备与承担的职务相适应的高素质人员。人员素质的控制,除了对人员本身的素质提出较高要求外,还应对人员的选择、使用和培训采取一定的措施和办法,以控制内部控制系统执行人员的素质。

第二节财务报告内部控制3738一、内部控制对财务报告的影响

财务报告由会计人员编制，是会计信息加工后对外公布的结果。它的产生依赖于会计核算系统、日常控制机制的运行，并受到企业内部控制环境的影响。有效的内部控制系统的目标之一是保证财务报告的可靠性，但保证财务报告的可靠性并不是内部控制系统的全部。有效的内部控制系统只能合理保证财务报告的可靠性；但是，没有内部控制系统的企业财务报告不一定不可靠，而财务报告一旦不可靠，则企业的内部控制系统必定无效。39二、财务报告内部控制的涵义

二十一世纪，随着法律法规对内部控制提出的新要求，在内部控制的发展过程中，出现了“财务报告内部控制”这一新提法。美国证券交易委员会（简称SEC）在2002年发布的33－8138号提案中首次对财务报告内部控制进行了解释，即财务报告内部控制的目的是确保公司设计的控制程序能为下列事项提供合理的保证：公司的业务活动经过合理的授权；保护公司的资产，避免未经授权或不恰当的使用；业务活动被恰当的记录并报告，从而保证上市公司的财务报告符合公认会计原则的编报要求。

40二、财务报告内部控制的涵义

根据SEC2003年6月正式发布的最终规则中的定义，财务报告内部控制是指由公司的首度执行官、首席财务官或者公司行使类似职权的人员设计或监管的，受到公司的董事会、管理层和其他人员影响的，为财务报告的可靠性和满足外部使用的财务报告编制的符合公认会计原则提供合理保证的控制程序，具体包括以下控制政策和程序。

1、保持详细程度合理的会计记录，准确公允地反映资产的交易和处置情况。

2、为下列事项提供合理的保证：公司对发生的交易进行必要的记录，从而使财务报告的编制满足公认会计原则的要求；公司所有的收支活动经过管理层和董事会的合理授权。

3、为防止或及时发现公司资产未经授权的取得、使用和处置提供合理保证，这种未经授权的取得、使用和处置资产的行为可能对财务报告产生重要影响。41三、内部控制要素与财务报告认定

内部控制与财务报告可靠性的关系，具体体现在内部控制五要素与财务报告的五大认定之间的关系。财务报告中所包含的有关管理当局的认定有：

1、存在或发生。所有资产、负债和所有者权益在资产负责表项目中必须存在，并且所有利润表中的收入、费用，盈利都必须在当期发生。

2、完整性。财务报告包括“所有的”交易、资产、负债和所有者权益。

3、权利和义务。在财务报告中，企业拥有资产的权利和偿还负责的义务。

4、估价或分摊。财务报告中的资产、负债、所有者权益、收入、费用、利润和亏损是根据公认的会计准则来确定的。

5、表达与披露。财务报告中记录的数据按照公认的会计准则被合理地分类和披露。42三、内部控制要素与财务报告认定

特定的内部控制要素与财务报告认定的关系，主要有：

1、内部环境与财务报告认定的关系内部控制中的基础性要素是内部环境，对财务报告各认定的实现有重大的影响。如果管理层缺乏正直的品格和良好的道德，加上面临改善盈余的内部或外部压力，则可能会有意错报，从而影响整个财务报告的认定。相反，如果管理层具有正直的品质和良好的道德，则会选择公允反映。完善的人力资源政策能够确保执行政策和程序的人员具有胜任能力和正直的品行。管理层对风险的态度可能会影响财务报告的表述。43三、内部控制要素与财务报告认定2、风险评估与财务报告认定的关系如果企业面临重大的经营风险或财务风险，企业与成本、收益有关的经营目标通过努力无法实现时，则负责预算的员工可能会有意去粉饰实际结果，以达到预算目标。当员工的工资或薪水与预算的有利差异紧密相关时，这种错报的可能性就加大了。在这种情况下，存在或发生、完整性和估价认定的可靠性就值得怀疑。为减少这种可能性，企业必须客观地评估面临的风险，并清晰地说明达到目标的可靠性策略，这些目标和策略与负责具体预算的人确实相关。因此，在制定预算时，应仔细评估实现目标所存在的重要风险。44三、内部控制要素与财务报告认定3、控制活动与财务报告认定的关系用于防止和发现会计记录差错的控制活动加强了会计信息系统的功能，会产生更为可靠的财务报告，这些控制活动包括批准、授权、安全控制、职责分工等。安全控制用于保护企业的资产，以确保资产安全和记录可靠，与降低存在或发生、完整性、估价或分摊认定的控制风险有关。45三、内部控制要素与财务报告认定4、信息与沟通与财务报告认定的关系信息的确认和搜集保证财务报告所提供信息的完整性；信息的处理对信息的分类和记录，对记录的适当控制有助于计价认定的实现，对分类的适当控制有助于表达与披露、权利和义务认定的实现；信息的报告是企业编制财务报告的过程，影响财务报告质量的各个方面。沟通大大加强了各个认定的可靠性。财务报告有效的沟通还要求明确地将相关职责分配给执行控制程序的员工，使相关的员工清楚如何进行控制，以及自身在内部控制系统中的角色和责任，这同样会增强财务报告的可靠性。46三、内部控制要素与财务报告认定5、内部监督与财务报告认定的关系对内部控制进行内部监督的目的是确保其他内部控制要素如设计时一样得到有效执行。内部监督影响到各个认定的实现。第3节内部控制的描述

4748

一、文字表述法

文字表述法是指审计人员对被审计单位内部控制健全程度和执行情况的文字叙述。这种文字叙述一般是按不同的循环环节,分别写明各个职务所完成的各种工作、办理业务时所经历的各种手续等,还应阐明各项工作的负责人、经办人员以及由他们编写和记录的文件凭证等。在采用文字表述法时,审计人员通常向被审计单位的工作人员提出一系列问题,将这些问题的答案逐一记录下来,并经审计人员实地观察和核实,然后整理、串联起来,即可形成文字表述的书面说明,以描述被审计单位内部控制的实际情况。

49

一、文字表述法

文字表述法的优点是比较灵活,可对被审计单位内部控制的各个环节作出比较深入和具体的描述,不受任何限制。文字表述法的缺点:对内部控制的描述,有时很难用简明易懂的语言来详细说明各个细节,因而有时使用文字表述显得比较冗赘,不利于为有效地进行内部控制评价和控制风险评价提供直接的依据。文字表述法几乎适用于任何类型、任何规模的单位,特别适用于内部控制不甚健全、内部控制程序比较简单和比较容易描述的小企业。

50

二、调查表法

调查表法是将那些与保证会计记录的正确性和可靠性以及与保证财产物资的完整性有密切关系的事项列为调查对象,由审计人员设计成标准化的调查表,并利用表格形式,通过征询来了解内部控制的强弱程度。采用调查表法,审计人员应根据内部控制的基本原则及其应达到的目的和要求,把企业各经营环节的关键控制点及主要问题,预先编制一套标准格式的调查表。

51

二、调查表法

内部控制调查表中的“问题”,是针对内部控制是否严密、有效,综合考虑各方面的因素提出的。问题的拟订应针对各项业务或业务循环的特点,既要抓住要害,又要便于回答。对表中提出的问题,要求被审计单位有关工作人员据实作出“是”、“否”或“不适用”的回答,借以查明被审计单位的实际情况。

52

三、流程图法

流程图法是指用特定的符号和图形,将内部控制中的各种业务处理手续,以及各种文件或凭证的传递流程,用图解的形式直观地表现内部控制的实际情况。绘制流程图一般有两种方法:一种是纵向流程图;另一种是横向流程图。纵向流程图是将业务的处理过程按照先后次序,用一条主线垂直串联起来,并将经济业务发生的凭证编制、传递、记账程序等从上至下用图形符号描绘出来。横向流程图则横向表示业务处理程序,按业务部门设置若干竖栏,将业务处理程序由左到右,由上向下,用图形符号表示凭证的编制、传递、保管、记账、复核乃至编表的过程,并用流程线把各项业务活动串联起来。53

三、流程图法

用流程图法描述内部控制的优点有:流程图从整体的角度,以简明的形式描绘内部控制的实际情况,便于较快地检查出内部控制逻辑上的薄弱环节,也便于评审;流程图便于表达内部控制的特征,同时便于修改,在下次评审时,只要根据修改后的内部控制实际情况,稍微变动几根线条、几个符号,就能更新整个流程图。流程图法也有不足之处:编制流程图需具备较娴熟的技术和较丰富的工作经验,也颇费时间;流程图法不能将内部控制中的控制弱点明显地标出来,在评价时,往往需要与其他两种方法结合使用。第4节内部控制评价5455

第4节内部控制评价应用指引评价指引审计指引中国内部控制标准体系基本规范控制标准评价标准

1、全面性原则。评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。

2、重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。

3、客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。

4、企业应当根据评价指引，结合内部控制设计与运行的实际情况，制定具体的内部控制评价办法，明确相关机构或岗位的职责权限，落实责任制，按照规定的办法、程序和要求，有序开展内部控制评价工作。

56

一、内部控制评价的原则

571、全面性原则。评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。

2、重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位、重大业务事项和高风险领域。

3、客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。

4、企业应当根据评价指引，结合内部控制设计与运行的实际情况，制定具体的内部控制评价办法，明确相关机构或岗位的职责权限，落实责任制，按照规定的办法、程序和要求，有序开展内部控制评价工作。

一、内部控制评价的原则58

二、内部控制评价的内容1、内部环境评价。企业应以组织架构、发展战略、人力资源、企业文化、社会责任等应用指引为依据，结合本企业的内部控制制度，对内部环境的设计及实际运行情况进行认定和评价。

2、风险评估评价。企业应以《企业内部控制基本规范》有关风险评估的要求，以及各项应用指引中所列主要风险为依据，结合本企业的内部控制制度，对日常经营管理过程中的风险识别、风险分析、应对策略等进行认定和评价。

3、控制活动评价。企业应以《企业内部控制基本规范》和各项应用指引中的控制措施为依据，结合本企业的内部控制，对相关控制措施的设计和运行情况进行认定和评价。59

二、内部控制评价的内容4、信息与沟通评价。企业应以内部信息传递、财务报告、信息系统等相关应用指引为依据，结合本企业的内部控制制度，对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性，以及利用信息系统实施内部控制的有效性等进行认定和评价。

5、内部监督评价。企业组织开展内部监督评价，应以《企业内部控制基本规范》有关内部监督的要求，以及各项应用指引中有关日常管控的规定为依据，结合本企业的内部控制制度，对内部监督机制的有效性进行认定和评价，重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥监督作用。60

三、内部控制评价的程序

企业可以授权内部审计部门或专门机构（以下简称内部控制评价部门）负责内部控制评价的具体组织实施工作。

1、制定评价工作方案。企业内部控制评价部门应当拟订评价工作方案，明确评价范围、工作任务、人员组织、进度安排和费用预算等相关内容，报经董事会或其授权机构审批后实施。

2、组成评价工作组。企业内部控制评价部门应当根据经批准的评价方案，组成内部控制评价工作组，具体实施内部控制评价工作。评价工作组应当吸收企业内部相关机构熟悉情况的业务骨干参加。评价工作组成员对本部门的内部控制评价工作应当实行回避制度。

61

三、内部控制评价的程序3、实施现场测试。内部控制评价工作组应当对被评价单位进行现场测试，综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。

4、认定控制缺陷。内部控制缺陷包括设计缺陷和运行缺陷。企业对内部控制缺陷的认定，应当以日常监督和专项监督为基础，结合年度内部控制评价，由内部控制评价部门进行综合分析后提出认定意见，按照规定的权限和程序进行审核后予以最终认定。内部控制评价工作组应当根据现场测试获取的证据，对内部控制缺陷进行初步认定，并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。62

三、内部控制评价的程序

重大缺陷，指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。重要缺陷，指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。一般缺陷，指除重大缺陷、重要缺陷之外的其他缺陷。

5、汇总评价结果。企业内部控制评价工作组应当建立评价质量交叉复核制度，评价工作组负责人应当对评价工作底稿进行严格审核，并对所认定的评价结果签字确认后，提交企业内部控制评价部门。

63

三、内部控制评价的程序6、编报评价报告。企业应当设计内部控制评价报告的种类、格式和内容，明确内部控制评价报告编制程序和要求，按照规定的权限报经批准后对外报出。内部控制评价报告应当分别内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计，对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容作出披露。64

四、内部控制评价报告范例DHLD股份有限公司内部控制评价报告一、公司的基本情况二、公司建立内部控制的目的和遵循的原则三、内部控制环境四、内部控制制度的实施情况五、本年度公司内部控制执行有效性的自我评价六、完善内部控制制度的有关措施七、进一步完善内部控制有关工作计划

第四节内部控制审计6566

内部控制审计的涵义

内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。按照《企业内部控制审计指引》的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送。67

一、内部控制审计程序

注册会计师可以单独进行内部控制审计，也可将内部控制审计与财务报表审计整合进行。在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：（1）获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见。（2）获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。68㈠计划审计工作

在计划审计工作时，注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响：（1）与企业相关的风险。（2）相关法律法规和行业概况。（3）企业组织结构、经营特点和资本结构等相关重要事项。（4）企业内部控制最近发生变化的程度。（5）与企业沟通过的内部控制缺陷。（6）重要性、风险等与确定内部控制重大缺陷相关的因素。（7）对内部控制有效性的初步判断。（8）可获取的、与内部控制有效性相关的证据的类型和范围。69㈠计划审计工作

注册会计师应当以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多。注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能本应由注册会计师执行的工作。注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作，应当对其专业胜任能力和客观性进行充分评价。与某项控制相关的风险越高，可利用程度就越低，注册会计师应当更多地对该项控制亲自进行测试。70㈡实施审计工作

注册会计师应当按照自上而下的方法实施审计工作。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。注册会计师测试企业层面控制，应当把握重要性原则，至少应当关注：（1）与内部环境相关的控制。（2）针对董事会、经理层凌驾于控制之上的风险而设计的控制。（3）企业的风险评估过程。（4）对内部信息传递和财务报告流程的控制。（5）对控制有效性的内部监督和自我评价。71㈡实施审计工作

注册会计师测试业务层面控制，应当把握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。注册会计师应当关注信息系统对内部控制及风险评估的影响。注册会计师应当测试内部控制设计与运行的有效性。如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行，能够实现控制目标，表明该项控制的设计是有效的。如果某项控制正在按照设计运行，执行人员拥有必要授权和专业胜任能力，能够实现控制目标，表明该项控制的运行是有效的。72㈢评价控制缺陷

内部控制缺陷按其成因分为设计缺陷和运行缺陷，按其影响程度分为重大缺陷、重要缺陷和一般缺陷。注册会计师应当评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷。在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时，注册会计师应当评价补偿性控制（替代性控制）的影响。企业执行的补偿性控制应当具有同样的效果。73㈢评价控制缺陷

内部控制可能存在重大缺陷的迹象，主要包括：（1）注册会计师发现董事、监事和高级管理人员舞弊。（2）企业更正已经公布的财务报表。（3）注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报。（4）企业审计委员会和内部审计机构对内部控制的监督无效。74㈣完成审计工作

注册会计师完成审计工作后，应当取得经企业签署的书面声明。书面声明应当包括下列内容：（1）企业董事会认可其对建立健全和有效实施内部控制负责。（2）企业已对内部控制的有效性作出自我评价，并说明评价时采用的标准以及得出的结论。（3）企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础。（4）企业已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷和重要缺陷。（5）企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷，是否已经采取措施予以解决。（6）企业在内部控制自我评价基准日后，内部控制是否发生重大变化，或者存在对内部控制具有重要影响的其他因素。75㈣完成审计工作

企业如果拒绝提供或以其他不当理由回避书面声明，注册会计师应当将其视为审计范围受到限制，解除业务约定或出具无法表示意见的内部控制审计报告。注册会计师认为审计委员会和内部审计机构对内部控制的监督无效的，应当就此以书面形式直接与董事会和经理层沟通。书面沟通应当在注册会计师出具内部控制审计报告之前进行。注册会计师应当与企业沟通审计过程中识别的所有控制缺陷。对于其中的重大缺陷和重要缺陷，应当以书面形式与董事会和经理层沟通。注册会计师应当对获取的证据进行评价，形成对内部控制有效性的意见。76㈣完成审计工作

注册会计师对在审计过程中注意到的非财务报告内部控制缺陷，应当区别具体情况予以处理：（1）注册会计师认为非财务报告内部控制缺陷为一般缺陷的，应当与企业进行沟通，提醒企业加以改进，但无需在内部控制审计报告中说明。（2）注册会计师认为非财务报告内部控制缺陷为重要缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进，但无需在内部控制审计报告中说明。（3）注册会计师认为非财务报告内部控制缺陷为重大缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进；同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。77㈤出具审计报告

注册会计师在完成内部控制审计工作后，应当出具内部控制审计报告。标准内部控制审计报告应当包括下列要素：⑴标题。审计报告的标题应当规范为“内部控制鉴证报告”。⑵收件人。审计报告的收件人是指注册会计师按照业务约定书的要求致送审计报告的对象，一般是指审计业务的委托人。审计报告应当载明收件人的全称。⑶引言段。审计报告的引言段应当说明企业的名称和内部控制已经审计，并包括下列内容：①指出内部控制审计依据；②提及管理层对内部控制的评估报告；③指明内部控制的评估截止日期。78㈤出具审计报告⑷企业对内部控制的责任段。应当说明，按照国家有关法律法规的要求，设计、实施和维护有效的内部控制，并评估其有效性是管理层的责任。⑸注册会计师的责任段；注册会计师的责任段应当说明下列内容：①会计师的责任是在实施审计工作的基础上对内部控制有效性发表审计意见。注册会计师按照《企业内部控制审计指引》的规定执行了审计工作。《企业内部控制审计指引》要求注册会计师遵守职业道德规范，计划和实施审计工作以对企业在所有重大方面是否保持了有效的内部控制获取合理保证；②审计工作包括获取对内部控制的了解，评估重大缺陷存在的风险，根据评估的风险测试和评价内部控制设计和运行的有效性。审计工作还包括实施我们认为必要的其他程序；③注册会计师相信已获取的证据是充分、适当的，为其发表审计意见提供了基础。79㈤出具审计报告⑹内部控制的固有局限性的说明段。内部控制的固有局限性段应当说明，内部控制具有固有局限性，存在错误或舞弊导致的错报未被发现的可能性。此外，由于情况的变化导致内部控制变得不恰当，或降低对控制政策、程序遵循的程度，根据内部控制评价结果推测未来内部控制有效性具有一定的风险。⑺财务报告内部控制审计意见段。审计意见段应当说明，企业于特定日期是否按照适当的控制标准的要求，在所有重大方面保持了有效的内部控制。⑻非财务报告内部控制重大缺陷描述段。⑼注册会计师的签名和盖章。

(10)会计师事务所的名称、地址及盖章

(11)报告日期。审计报告应当注明报告日期。报告的日期不应早于注册会计师获取充分、适当的证据(包括管理层认可对内部控制及评价报告的责任且已批准评价报告的证据)，并在此基础上对内部控制形成审计意见的日期。80㈥关注期后事项

在企业内部控制自我评价基准日并不存在、但在该基准日之后至审计报告日之前内部控制可能发生变化，或出现其他可能对内部控制产生重要影响的因素。注册会计师应当询问是否存在这类变化或影响因素，并获取企业关于这些情况的书面声明。注册会计师知悉对企业内部控制自我评价基准日内部控制有效性有重大负面影响的期后事项的，应当对财务报告内部控制发表否定意见。注册会计师不能确定期后事项对内部控制有效性的影响程度的，应当出具无法表示意见的内部控制审计报告。81㈦记录审计工作

注册会计师应当编制内部控制审计工作底稿，完整记录审计工作情况。注册会计师应当在审计工作底稿中记录下列内容：（1）内部控制审计计划及重大修改情况。（2）相关风险评估和选择拟测试的内部控制的主要过程及结果。（3）测试内部控制设计与运行有效性的程序及结果。（4）对识别的控制缺陷的评价。（5）形成的审计结论和意见。（6）其他重要事项。82

三、内部控制审计报告

注册会计师应根据内部控制审计的审计结论，出具下列审计意见之一的审计报告：（1）无保留意见；（2）无保留意见带强调事项段；（3）否定意见；（4）无法表示意见。当注册会计师出具的无保留意见的内部控制审计报告不附加强调事项段或任何修饰用语时，该报告称为标准审计报告。

83㈠无保留意见的内部控制审计报告

符合下列所有条件的，注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告：（1）企业按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及企业自身内部控制制度的要求，在所有重大方面保持了有效的内部控制。（2）注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作，在审计过程中未受到限制。当出具无保留意见的审计报告时，注册会计师应当以“我们认为”作为意见段的开头，并使用“在所有重大方面”、“保持了有效的内部控制”等术语。84㈠无保留意见的内部控制审计报告

无保留意见的内部控制审计报告

××股份有限公司全体股东：按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了××股份有限公司（下称“××公司”）××年×月×日的财务报告内部控制的有效性。一、企业对内部控制的责任按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》的规定，建立健全和有效实施内部控制，并评价其有效性是企业董事会的责任。二、注册会计师的责任我们的责任是在实施审计工作的基础上，对财务报告内部控制的有效性发表审计意见，并对注意到的非财务报告内部控制的重大缺陷进行披露。三、内部控制的固有局限性内部控制具有固有局限性，存在不能防止和发现错报的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制审计结果推测未来内部控制的有效性具有一定风险。四、财务报告内部控制审计意见我们认为，××公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。五、非财务报告内部控制的重大缺陷在内部控制审计过程中，我们注意到××公司的非财务报告内部控制存在重大缺陷[描述该缺陷的性质及其对实现相关控制目标的影响程度]。由于存在上述重大缺陷，我们提醒本报告使用者注意相关风险。需要指出的是，我们并不对××公司的非财务报告内部控制发表意见或提供保证。本段内容不影响对财务报告内部控制有效性发表的审计意见。

××会计师事务所中国注册会计师：×××(签名并盖章)(盖章)中国注册会计师：×××(签名并盖章)

中国××市年月日85㈡带强调事项段的无保留意见审计报告

注册会计师认为财务报告内部控制虽不存在重大缺陷，但仍有一项或者多项重大事项需要提请内部控制审计报告使用者注意的，应当在内部控制审计报告中增加强调事项段予以说明。注册会计师应当在强调事项段中指明，该段内容仅用于提醒内部控制审计报告使用者关注，并不影响对财务报告内部控制发表的审计意见。86㈡带强调事项段的无保留意见审计报告

带强调事项段的内部控制审计报告

××股份有限公司全体股东：按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了××股份有限公司（下称“××公司”）××年×月×日的财务报告内部控制的有效性。

[“一、企业对内部控制的责任”至“五、非财务报告内部控制的重大缺陷”参见标准内部控制审计报告相关段落表述。]

六、强调事项我们提醒内部控制审计报告使用者关注，（描述强调事项的性质其对内部控制的重大影响）。本段内容不影响已对财务报告内部控制发表的审计意见。

××会计师事务所中国注册会计师：×××(签名并盖章)(盖章)中国注册会计师：×××(签名并盖章)