企业内部控制审计指引(-)课件

企业内部控制审计TheauditofInternalControloverFinancialReporting主要内容第一部分内部控制审计的制度背景第二部分《企业内部控制审计指引》PCAOBAuditingStandardNO.5寻找答案企业内部控制审计，注册会计师需要审计所有的企业内部控制？与企业内部控制评价一样？企业内部控制审计时制定的重要性与财务报表审计制定的重要性是否一致？大于还是小于？整合审计？Top—DownApproach？发现财务报告内部控制存在控制缺陷，但同时审计范围受到限制时，注册会计师应发表何种审计意见？内部控制审计的制度背景为整顿上市公司秩序、维护投资者信心，民主党参议员萨班斯（Sar-banes）和共和党众议员奥克斯利（Oxley）联合提出了Sarbanes-OxleyAct，于2002年7月美国总统布什签署获得通过.

随着美国安然公司、环球电信公司会计造假丑闻的披露，暴露出美国现行公司体制中存在着弊端。Section404MANAGEMENTASSESSMENTOFINTERNALCONTROLS.RULESREQUIRED.—TheCommissionshallprescriberulesrequiringeachannualreportrequiredbysection13(a)or15(d)oftheSecuritiesExchangeActof1934(15U.S.C.78mor78o(d))tocontainaninternalcontrolreport,whichshall—(1)statetheresponsibilityofmanagementforestablishingandmaintaininganadequateinternalcontrolstructureandproceduresforfinancialreporting;andSection404(2)containanassessment,asoftheendofthemostrecentfiscalyearoftheissuer,oftheeffectivenessoftheinternalcontrolstructureandproceduresoftheissuerforfinancialreporting.Section404(b)INTERNALCONTROLEVALUATIONANDREPORTING.—Withrespecttotheinternalcontrolassessmentrequiredbysubsection(a),eachregisteredpublicaccountingfirmthatpreparesorissuestheauditreportfortheissuershallattestto,andreporton,theassessmentmadebythemanagementoftheissuer.AnattestationmadeunderthissubsectionshallbemadeinaccordancewithstandardsforattestationengagementsissuedoradoptedbytheBoard.Anysuchattestationshallnotbethesubjectofaseparateengagement.第404条款第404条款:管理层对内部控制的评估（a)证券交易委员会应要求所有依照《1934年证券交易法案》第13（a)或第15（d）条款编制的年度报告都包含一份内部控制报告，该报告应：（1）表明公司管理层建立和维护一套充分的财务内部控制系统及相关控制程序充分有效的责任。（2）包含管理层最近一个财务年度年末对财务报告内部控制系统及程序有效性的评估结果。（b)内部控制评估与报告。对公司财务报告进行审核的注册公共会计公司对公司管理层提供的内部控制评价进行签证，并出具鉴证报告。鉴证应当遵守监管委员会颁布或认可的准则。这种鉴证不应成为一项单独的业务。审计准则指南

2004年3月PCAOBAuditingStandardNo.2

2007年6月PCAOBAuditingStandardNo.5我国原有内部控制鉴证规范2001年中注协发布《内部控制审核指导意见》最大特点是年报审计与内部控制审计独立进行。没有提出自上而下和风险导向的审计思路。内部控制审计的制度背景证监会《首次公开发行股票并上市管理办法》(2006)“财务与会计一节”规定，发行人的内部控制在所有重大方面是有效的，并由注册会计师出具无保留意见的内部控制鉴证报告，是发行条件之一。内部控制审计的制度背景《公开发行证券的公司信息披露内容与格式准则第1号—招股说明书》（2006）

发行人应该披露公司管理层对内部控制完整性、合理性及有效性的自我评估意见以及注册会计师对内部控制的鉴证意见。注册会计师指出公司内部控制存在缺陷的，应予以披露并说明改进措施。内部控制审计的制度背景《企业内部控制基本规范》（2008）执行本规范的上市公司，应当对本公司的内部控制的有效性进行自我评价，披露年度自我评估报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。内部控制审计的制度背景财政部发布企业内部控制配套指引（2010）2011-1-1，在境内外同时上市的公司，60多家2012-1-1，沪深主板，1000多家择机，中小板和创业板鼓励，非上市大中型企业内部控制审计的制度背景执行企业内部控制规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷，应当提示投资者、债权人和其他利益相关者关注。《企业内部控制审计指引》主要内容内部控制审计指引框架审计目标有效性财务报告内部控制整合审计内部控制审计与财务报表审计内部控制审计与内部控制评价内部控制审计的过程内部控制审计报告企业内部控制审计指引结构总则（5条）计划审计工作（4条）实施审计工作（10条）评价控制缺陷（3条）完成审计工作（4条）出具审计报告（4条）记录审计工作（2）审计目标第二条

本指引所称内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。注册会计师基于基准日（如年末12月31日）内部控制的有效性发表意见，而不是对财务报表涵盖的整个期间（如一年）的内部控制的有效性发表意见。但这并不意味着注册会计师只关注企业基准日当天的内部控制，而是要考察企业一个时期内（足够长的一段时间）内部控制的设计和运行情况.基准日不是一个简单的时点概念，而是体现内部控制这个过程向前的延续性。审计目标第四条

注册会计师执行内部控制审计工作，应当获取充分、适当的证据，为发表内部控制审计意见提供合理保证。注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。审计目标对特定时点企业财务报告内部控制的有效性发表审计意见，包括：设计有效性（合理性）运行的有效性对财务报告内部控制与非财务报告内部控制财务报告内部控制：主动识别非财务报告内部控制：被动关注敬德敬业至诚至真有效性第十四条

注册会计师应当测试内部控制设计与运行的有效性。

如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行，能够实现控制目标，表明该项控制的设计是有效的。

如果某项控制正在按照设计运行,执行人员拥有必要授权和专业胜任能力，能够实现控制目标，表明该项控制的运行是有效的。财务报告内部控制

PCAOBNo.5SeparateorCombinedReports[Definitionparagraph]Acompany'sinternalcontroloverfinancialreportingisaprocessdesignedtoprovidereasonableassuranceregardingthereliabilityoffinancialreportingandthepreparationoffinancialstatementsforexternalpurposesinaccordancewithgenerallyacceptedaccountingprinciples.InternalControlOverFinancialReportingAcompany'sinternalcontroloverfinancialreportingincludesthosepoliciesandproceduresthat(1)pertaintothemaintenanceofrecordsthat,inreasonabledetail,accuratelyandfairlyreflectthetransactionsanddispositionsoftheassetsofthecompany;(2)providereasonableassurancethattransactionsarerecordedasnecessarytopermitpreparationoffinancialstatementsinaccordancewithgenerallyacceptedaccountingprinciples,andthatreceiptsandexpendituresofthecompanyarebeingmadeonlyinaccordancewithauthorizationsofmanagementanddirectorsofthecompany;and(3)providereasonableassuranceregardingpreventionortimelydetectionofunauthorizedacquisition,use,ordispositionofthecompany'sassetsthatcouldhaveamaterialeffectonthefinancialstatements.InternalControlOverFinancialReportingInternalControlOverFinancialReporting财务报告内部控制包括下列方面的政策和程序：

（1）保存充分、适当的记录，准确、公允地反映企业的交易和事项；

（2）合理保证按照企业会计准则的规定编制财务报表；合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权；

（3）合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项。

财务报告内部控制敬德敬业至诚至真有效的财务报告内部控制

Effectiveinternalcontroloverfinancialreportingprovidesreasonableassuranceregardingthereliabilityoffinancialreportingandthepreparationoffinancialstatementsforexternalpurposes.非财务报告内部控制

非财务报告内部控制，是指除财务报告内部控制之外的其他控制，通常是指为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制，以及用于保护资产安全的内部控制中与财务报告可靠性目标无关的控制。敬德敬业至诚至真非财务报告内部控制

非财务报告内部控制举例企业应当建立科学的供应商评估和准入制度

大宗商品采用招标方式，一般物资采用询价，小额零星采用直接购买企业应当严格执行固定资产的日常维修和大修理计划，定期对固定资产进行维护保养企业应当强化对生产线等关键设备运转的监控，严格操作流程，实行岗前培训和岗位许可制度，确保设备安全运转内部控制审计和财务报表审计

第五条

注册会计师可以单独进行内部控制审计，也可将内部控制审计与财务报表审计整合进行（以下简称整合审计）。在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：

（一）获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见。

（二）获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。敬德敬业至诚至真内部控制审计和财务报表审计的关系PCAOBNO.5IntegratingtheAuditsTheauditofinternalcontroloverfinancialreportingshouldbeintegratedwiththeauditofthefinancialstatements.Theobjectivesoftheauditsarenotidentical,however,andtheauditormustplanandperformtheworktoachievetheobjectivesofbothaudits.内部控制审计和财务报表审计的关系如果内部控制审计中识别出某项控制缺陷，注册会计师应当评价该缺陷对财务报表审计中拟实施的实质性程序的性质、时间和范围的影响在财务报表审计中，注册会计师在评估控制风险时，应当同时考虑内部控制审计中实施的、所有针对控制设计和运行有效性的测试结果在财务报表审计中，无论控制风险或重大错报的风险的评估水平如何，注册会计师都应当针对所有重大的各类交易、账户余额及列报实施实质性程序。为对内部控制的有效性发表意见而实施的测试程序并不能减轻注册会计师遵守上市规定的责任敬德敬业至诚至真内部控制审计和财务报表审计的关系在内部控制审计中，注册会计师应当评价财务报表审计中实施的实质性程序的结果对控制有效性结论的影响。注册会计师应当通过直接测试控制而获取控制是否有效的证据，而不能根据实质性程序没有发现错报，推断该项控制的有效性。整合审计定位于整合审计，主要考虑审计效率审计成本对客户的负担时期/时点考虑到期中企业改进内部控制的可能可选择在期中预审时进行，给企业留出几个月整改的时间注册会计师应当获取内部控制在一段足够长的时间内有效运行的证据。第十七条

注册会计师在确定测试的时间安排时，应当在下列两个因素之间作出平衡，以获取充分、适当的证据：

（一）尽量在接近企业内部控制自我评价基准日实施测试。

（二）实施的测试需要涵盖足够长的期间。期中测试后应考虑的因素在将期中测试的结果更新至年末时，注册会计师需要考虑下列因素，以确定需获取的补充证据：

（1）期中测试的特定控制的有关情况，包括与控制相关的风险、控制的性质和测试的结果；

（2）期中获取的有关证据的充分性、适当性；

（3）剩余期间的长短；

（4）期中测试之后，内部控制发生重大变化的可能性及其变化情况。敬德敬业至诚至真内部控制审计与内部控制评价内部控制审计指引第四条注册会计师应当对财务报告内部控制的有效性发表审计意见，内部控制评价指引第二条本指引所称内部控制评价，是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。敬德敬业至诚至真内部控制审计与内部控制评价评价指引第二十五条企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送。内部控制审计不能减轻企业管理层的责任。注册会计师在内部控制审计或财务报表审计中实施的审计程序并不是企业内部控制评价的组成部分。敬德敬业至诚至真内部控制审计与内部控制评价UsethesamecontrolframeworkTheauditorshouldusethesamesuitable,recognizedcontrolframeworktoperformhisorherauditofinternalcontroloverfinancialreportingasmanagementusesforitsannualevaluationoftheeffectivenessofthecompany'sinternalcontroloverfinancialreporting敬德敬业至诚至真内部控制审计过程PlanningtheAudit计划审计工作Using

aTop-DownApproach运用自上而下方法TestingControls测试控制EvaluatingIdentifiedDeficiencies评价缺陷Wrapping–Up完成审计工作ReportingonInternalControl出具报告敬德敬业至诚至真审计计划Evaluateimportantmatters评价的重要事项RoleofRiskAssessment风险评估Scalingtheaudit审计分类AddressingtheRiskofFraud舞弊风险应对Usingtheworkofothers利用他人工作Materiality重要性考虑的重要事项

第七条在计划审计工作时，注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响：（一）与企业相关的风险（二）相关法律法规和行业概况（三）企业组织结构、经营特点和资本结构等相关重要事项（四）企业内部控制最近发生变化的程度（五）与企业沟通过的内部控制缺陷（六）重要性、风险等与确定内部控制重大缺陷相关的因素（七）对内部控制有效性的初步判断（八）可获取的、与内部控制有效性相关证据的类型和范围

Knowledgeofthecompany‘sinternalcontroloverfinancialreportingobtainedduringotherengagementsperformedbytheauditor;

Controldeficienciespreviouslycommunicatedtotheauditcommitteeormanagement;

Legalorregulatorymattersofwhichthecompanyisaware;

Publicinformationaboutthecompanyrelevanttotheevaluationofthelikelihoodofmaterialfinancialstatementmisstatementsandtheeffectivenessofthecompany‘sinternalcontroloverfinancialreporting;

Therelativecomplexityofthecompany'soperations.考虑的重要事项风险评估

第八条

注册会计师应当以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。

内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多。

Ontheotherhand,itisnotnecessarytotestcontrolsthat,evenifdeficient,wouldnotpresentareasonablepossibilityofmaterialmisstatementtothefinancialstatements.敬德敬业至诚至真审计分类Thesizeandcomplexityofthecompany,itsbusinessprocesses,andbusinessunits,mayaffectthewayinwhichthecompanyachievesmanyofitscontrolobjectives.Thesizeandcomplexityofthecompanyalsomightaffecttherisksofmisstatementandthecontrolsnecessarytoaddressthoserisks.Scalingismosteffectiveasanaturalextensionoftherisk-basedapproachandapplicabletotheauditsofallcompanies.

敬德敬业至诚至真审计分类当一家企业有多个经营场所或业务单元时，注册会计师应当基于合并财务报表识别重要账户、列报及其相关认定。如果某些经营场所或业务单元单独或连同其他经营场所或业务单元不具有合理可能性导致合并财务报表出现重大错报，注册会计师无需进一步考虑这些经营场所或业务单元。在连续审计中，注册会计师应当改变对经营场所或业务单元的控制实施测试的形式、时间和范围。敬德敬业至诚至真舞弊风险的考虑

theauditorshouldevaluatewhetherthecompany'scontrolssufficientlyaddressidentifiedrisksofmaterialmisstatementduetofraudandcontrolsintendedtoaddresstheriskofmanagementoverrideofothercontrols.

Controlsthatmightaddresstheserisksinclude-Controlsoversignificant,unusualtransactions,particularlythosethatresultinlateorunusualjournalentries;敬德敬业至诚至真舞弊风险的考虑Controlsoverjournalentriesandadjustmentsmadeintheperiod-endfinancialreportingprocess;Controlsoverrelatedpartytransactions;Controlsrelatedtosignificantmanagementestimates;andControlsthatmitigateincentivesfor,andpressureson,managementtofalsifyorinappropriatelymanagefinancialresults.敬德敬业至诚至真利用他人的工作

第九条

注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能本应由注册会计师执行的工作。

注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作，应当对其专业胜任能力和客观性进行充分评价。与某项控制相关的风险越高，可利用程度就越低，注册会计师应当更多地对该项控制亲自进行测试。注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。敬德敬业至诚至真重要性Materiality20.

Inplanningtheauditofinternalcontroloverfinancialreporting,theauditorshouldusethesamematerialityconsiderationsheorshewoulduseinplanningtheauditofthecompany'sannualfinancialstatements.敬德敬业至诚至真运用自上而下方法

第十条

注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。敬德敬业至诚至真运用自上而下方法

自上而下方法

自上而下方法的思路

为什么自上而下

企业层面

识别重要账户、列报及相关认定

了解错报的可能来源

穿行测试

选择拟测试的控制敬德敬业至诚至真Atop-downapproachAtop-downapproachbeginsatthefinancialstatementlevelandwiththeauditor'sunderstandingoftheoverallriskstointernalcontroloverfinancialreporting.Theauditorthenfocusesonentity-levelcontrolsandworksdowntosignificantaccountsanddisclosuresandtheirrelevantassertions.敬德敬业至诚至真“自上而下”方法的思路自上而下的方法按照下列思路展开：

1．从财务报表层次初步了解内部控制整体风险；

2．识别企业层面控制；

3．识别重要账户、列报及其相关认定；

4．了解错报的可能来源；

5．选择拟测试的控制。

敬德敬业至诚至真Atop-downapproachhetop-downapproachdescribestheauditor'ssequentialthoughtprocessinidentifyingrisksandthecontrolstotest,notnecessarilytheorderinwhichtheauditorwillperformtheauditingprocedures.敬德敬业至诚至真为什么“自上而下”

提高设计效率和效果充分利用企业层面控制的作用，确定合理的测试范围防止注册会计师花费不必要的时间和精力了解不重要的业务流程和控制。所谓不重要是指不影响财务报表是否发生重大错报的可能性。将审计资源引向高风险领域，合理分配审计资源敬德敬业至诚至真企业层面控制第十一条注册会计师测试企业层面控制，应当把握重要性原则，至少应当关注：（一）与内部环境相关的控制。（二）针对董事会、经理层凌驾于控制之上的风险而设计的控制。

（三）企业的风险评估过程。

（四）对内部信息传递和财务报告流程的控制。

（五）对控制有效性的内部监督和自我评价。敬德敬业至诚至真Entity—levelcontrolsEntity-levelcontrolsinclude

Centralizedprocessingandcontrols,includingsharedserviceenvironments;

Controlstomonitorresultsofoperations;

AndPoliciesthataddresssignificantbusinesscontrolandriskmanagementpractices.敬德敬业至诚至真Atop-downapproach企业层面内部控制审计的内容敬德敬业至诚至真业务层面控制第十二条

注册会计师测试业务层面控制，应当把握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。

注册会计师应当关注信息系统对内部控制及风险评估的影响。

敬德敬业至诚至真业务层面控制

销售与收款循环

采购与付款循环

生产与仓储循环

工薪与人士循环

筹资与投资循环

其他循环敬德敬业至诚至真业务层面控制测试和评价流程

内控基本情况调查表访谈记录

绘制业务流程图业务流程图

识别关键控制点

执行穿行测试穿行测试表

绘制风险控制矩阵业务循环风险控制矩阵

执行控制测试控制测试表

评价测试结果业务循环内控评价表敬德敬业至诚至真IdentifyingSignificantAccountsandDisclosuresandTheirRelevantAssertions重要账户、列报如果某账户或列报具有合理可能性包含了一个错报，改错报单独或连同其他错报将对财务报表产生重大影响，则该账户或列报为重要账户或列报。判断某账户或列报是否重要，应当依据其固有风险，而不应该考虑相关控制。敬德敬业至诚至真识别重要账户、列报及其相关认定相关认定如果某财务报表认定具有合理可能性包含了一个或多个错报，这个或这些认定将导致财务报表发生重大错报，则该认定为相关认定。判断某认定是否为相关认定，应当依据其固有风险，而不应该考虑相关控制。ExistenceoroccurrenceCompletenessValuationorallocationRightsandobligationsPresentationanddisclosure敬德敬业至诚至真识别重要账户、列报及其相关认定

Riskfactorsrelevanttotheidentificationofsignificantaccountsanddisclosuresandtheirrelevantassertionsinclude–Sizeandcompositionoftheaccount;Susceptibilitytomisstatementduetoerrorsorfraud;Volumeofactivity,complexity,andhomogeneityoftheindividualtransactionsprocessedthroughtheaccountorreflectedinthedisclosure;Natureoftheaccountordisclosure;Accountingandreportingcomplexitiesassociatedwiththeaccountordisclosure;.敬德敬业至诚至真识别重要账户、列报及其相关认定Exposuretolossesintheaccount;Possibilityofsignificantcontingentliabilitiesarisingfromtheactivitiesreflectedintheaccountordisclosure;Existenceofrelatedpartytransactionsintheaccount;andChangesfromthepriorperiodinaccountordisclosurecharacteristics.敬德敬业至诚至真识别重要账户、列报及其相关认定significantaccountsanddisclosuresandtheirrelevantassertionsarethesameforbothaudits.

Whenacompanyhasmultiplelocationsorbusinessunits,theauditorshouldidentifysignificantaccountsanddisclosuresandtheirrelevantassertionsbasedontheconsolidatedfinancialstatements.敬德敬业至诚至真了解错报的可能来源

Tofurtherunderstandthelikelysourcesofpotentialmisstatements,andasapartofselectingthecontrolstotest,theauditorshouldachievethefollowingobjectives-Understandtheflowoftransactionsrelatedtotherelevantassertions,includinghowthesetransactionsareinitiated,authorized,processed,andrecorded;Verifythattheauditorhasidentifiedthepointswithinthecompany'sprocessesatwhichamisstatement-includingamisstatementduetofraud-couldarisethat,individuallyorincombinationwithothermisstatements,wouldbematerial;Identifythecontrolsthatmanagementhasimplementedtoaddressthesepotentialmisstatements;and敬德敬业至诚至真了解错报的可能来源Identifythecontrolsthatmanagementhasimplementedoverthepreventionortimelydetectionofunauthorizedacquisition,use,ordispositionofthecompany'sassetsthatcouldresultinamaterialmisstatementofthefinancialstatements.敬德敬业至诚至真穿行测试Performingwalkthroughswillfrequentlybethemosteffectivewayofachievingtheobjectivesinparagraph34.Inperformingawalkthrough,theauditorfollowsatransactionfromoriginationthroughthecompany'sprocesses,includinginformationsystems,untilitisreflectedinthecompany'sfinancialrecords,usingthesamedocumentsandinformationtechnologythatcompanypersonneluse.敬德敬业至诚至真穿行测试Walkthroughproceduresusuallyincludeacombinationofinquiry,observation,inspectionofrelevantdocumentation,andre-performanceofcontrols.敬德敬业至诚至真穿性测试Inperformingawalkthrough,atthepointsatwhichimportantprocessingproceduresoccur,theauditorquestionsthecompany'spersonnelabouttheirunderstandingofwhatisrequiredbythecompany'sprescribedproceduresandcontrols.Theseprobingquestions,combinedwiththeotherwalkthroughprocedures,allowtheauditortogainasufficientunderstandingoftheprocessandtobeabletoidentifyimportantpointsatwhichanecessarycontrolismissingornotdesignedeffectively.敬德敬业至诚至真穿行测试

Additionally,probingquestionsthatgobeyondanarrowfocusonthesingletransactionusedasthebasisforthewalkthroughallowtheauditortogainanunderstandingofthedifferenttypesofsignificanttransactionshandledbytheprocess.试探性询问不应仅限于关注所选定的单笔交易，这有助于注册会计师了解业务流程处理的不同类型的重大交易。敬德敬业至诚至真选择拟测试的控制

Theauditorshouldtestthosecontrolsthatareimportanttotheauditor'sconclusionaboutwhetherthecompany'scontrolssufficientlyaddresstheassessedriskofmisstatementtoeachrelevantassertion.敬德敬业至诚至真选择拟测试的控制

Thedecisionastowhetheracontrolshouldbeselectedfortestingdependsonwhichcontrols,individuallyorincombination,sufficientlyaddresstheassessedriskofmisstatementtoagivenrelevantassertionratherthanonhowthecontrolislabeled(e.g.,entity-levelcontrol,transaction-levelcontrol,controlactivity,monitoringcontrol,preventivecontrol,detectivecontrol).敬德敬业至诚至真测试控制TestingDesignEffectiveness

测试控制的设计有效性TestingOperatingEffectiveness

测试控制的执行有效性敬德敬业至诚至真测试控制的设计有效性Theauditorshouldtestthedesigneffectivenessofcontrolsbydeterminingwhetherthecompany'scontrols,iftheyareoperatedasprescribedbypersonspossessingthenecessaryauthorityandcompetencetoperformthecontroleffectively,satisfythecompany'scontrolobjectivesandcaneffectivelypreventordetecterrorsorfraudthatcouldresultinmaterialmisstatementsinthefinancialstatements.敬德敬业至诚至真测试控制的执行有效性Theauditorshouldtesttheoperatingeffectivenessofacontrolbydeterminingwhetherthecontrolisoperatingasdesignedandwhetherthepersonperformingthecontrolpossessesthenecessaryauthorityandcompetencetoperformthecontroleffectively.敬德敬业至诚至真风险与获得证据的关系Foreachcontrolselectedfortesting,theevidencenecessarytopersuadetheauditorthatthecontroliseffectivedependsupontheriskassociatedwiththecontrol.Astheriskassociatedwiththecontrolbeingtestedincreases,theevidencethattheauditorshouldobtainalsoincreases.敬德敬业至诚至真风险与获得证据的关系

TimingofTestsofControls.Testingcontrolsoveragreaterperiodoftimeprovidesmoreevidenceoftheeffectivenessofcontrolsthantestingoverashorterperiodoftime.Further,testingperformedclosertothedateofmanagement'sassessmentprovidesmoreevidencethantestingperformedearlierintheyear.Theauditorshouldbalanceperformingthetestsofcontrolsclosertotheas-ofdatewiththeneedtotestcontrolsoverasufficientperiodoftimetoobtainsufficientevidenceofoperatingeffectiveness.敬德敬业至诚至真风险与获得证据的关系

ExtentofTestsofControls.Themoreextensivelyacontrolistested,thegreatertheevidenceobtainedfromthattest.敬德敬业至诚至真风险与获得证据的关系

与某项控制相关的风险受下列因素的影响：

（1）该项控制拟防止或发现并纠正的错报的性质和重要程度；

（2）相关账户、列报及其认定的固有风险；

（3）相关账户或列报是否曾经出现错报；

（4）交易的数量和性质是否发生变化，进而可能对该项控制设计或运行的有效性产生不利影响；

（5）企业层面控制（特别是对控制有效性的内部监督和自我评价）的有效性；

（6）该项控制的性质及其执行频率；

（7）该项控制对其他控制（如内部环境或信息技术一般控制）有效性的依赖程度；

敬德敬业至诚至真风险与获得证据的关系（8）该项控制的执行或监督人员的专业胜任能力，以及其中的关键人员是否发生变化；

（9）该项控制是人工控制还是自动化控制；

（10）该项控制的复杂程度，以及在运行过程中依赖判断的程度。

敬德敬业至诚至真评价控制缺陷

注册会计师应当评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷。

敬德敬业至诚至真缺陷的严重程度

Theseverityofadeficiencydependson-Whetherthereisareasonablepossibilitythatthecompany'scontrolswillfailtopreventordetectamisstatementofanaccountbalanceordisclosure;And

Themagnitudeofthepotentialmisstatementresultingfromthedeficiencyordeficiencies.

敬德敬业至诚至真评价控制缺陷

第二十条

内部控制缺陷按其成因分为设计缺陷和运行缺陷，按其影响程度分为重大缺陷、重要缺陷和一般缺陷。

敬德敬业至诚至真评价控制缺陷

设计缺陷DedignWeakness

缺少为实现控制目标所必需的控制

现存控制设计不适当，即使正常运行也难以实现控制目标

运行缺陷OperatingWeakness

现存设计完好的控制没有按设计意图运行执行人员没有必要的授权或缺乏胜任能力以有效地实施控制

敬德敬业至诚至真评价控制缺陷重大缺陷MaterialWeakness

内部控制中存在的、具有合理可能性导致不能及时防止或发现财务报表重大错报的一项控制缺陷或多项控制缺陷的组合。重要缺陷SignificantWeakness内部控制中存在的、其严重程度不如重大缺陷但足以引起负责监督财务报告的人员关注的一项控制缺陷或多项控制缺陷的组合。一般缺陷一般缺陷是内部控制中存在的、除重大缺陷和重要缺陷之外的缺陷。敬德敬业至诚至真评价控制缺陷

评价控制缺陷严重程度的标准是否具有合理可能性不能防止、发现并纠正账户余额或列报中的错报导致错报的金额

受控制缺陷影响的财务报表金额或交易金额本期或预计未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量。表明存在重大缺陷的迹象敬德敬业至诚至真评价控制缺陷第二十二条

表明内部控制可能存在重大缺陷的迹象，主要包括：

（一）注册会计师发现董事、监事和高级管理人员舞弊。

（二）企业更正已经公布的财务报表。

（三）注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报。

（四）企业审计委员会和内部审计机构对内部控制的监督无效。敬德敬业至诚至真评价控制缺陷

第二十一条

在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时，注册会计师应当评价补偿性控制（替代性控制）的影响。企业执行的补偿性控制应当具有同样的效果。

敬德敬业至诚至真评价控制缺陷举例公司每月处理的大量公司间交易涉及广泛的业务活动，包括涉及公司间利润的存货转移，研究开发成本向业务单元的分摊，公司间单项交易常常是重大的。公司要求逐月进行公司间对账，并在业务单元间函证余额。CPA了解到，目前公司没有按时开展对账工作，这些账目经常出现重大差异。而且，公司管理层没有执行任何补偿性控制来调查重大的公司间账目差异。

基于上述情况，注册会计师可以确定此控制缺陷为重大缺陷。因为，由于该控制缺陷引起的财务报表错报可以被合理地预计为是重大的，由于公司间单项交易常常是重大的，而且涉及大范围活动。另外，在公司间账目上尚未对账的差异是重要的，由于这种错报常常发生，财务报表错报可能出现，而且补偿性控制无效。

敬德敬业至诚至真完成审计工作获取声明ObtainingWrittenRepresentations沟通缺陷CommunicatingDeficiencies形成意见Forminganopinion敬德敬业至诚至真管理层声明注册会计师向企业管理层获取书面声明。管理层声明的内容应当包括：管理层认可其对建立和保持有效的内部控制负责管理层已对内部控制的有效性作出评价，并说明评价运用的标准管理层没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作为管理层自我评价的基础管理层根据控制标准评价内部控制的有效性结论敬德敬业至诚至真管理层声明管理层已向注册会计师披露识别出的、内部控制在设计或运行方面存在的所有缺陷，包括已专门向注册会计师披露的所有重要缺陷或重大缺陷导致财务报表发生重大错报的所有舞弊，以及其他不会导致财务报表发生重大错报，但涉及管理层和其他在内部控制中具有重要作用的员工的所有舞弊注册会计师在以前年度审计中识别的且已与审计委员会沟通的控制缺陷是否已经得到解决，已经尚有哪些缺陷未得到解决敬德敬业至诚至真管理层声明在审计报告日后，内部控制是否发生变化，或者是否存在对内部控制产生重要影响的其他因素，包括管理层针对重要缺陷和重大缺陷采取的任何纠正措施敬德敬业至诚至真拒绝提提供书面声明的处理第二十四条

企业如果拒绝提供或以其他不当理由回避书面声明，注册会计师应当将其视为审计范围受到限制，解除业务约定或出具无法表示意见的内部控制审计报告。敬德敬业至诚至真沟通缺陷

第二十五条

注册会计师应当与企业沟通审计过程中识别的所有控制缺陷。对于其中的重大缺陷和重要缺陷，应当以书面形式与董事会和经理层沟通。注册会计师认为审计委员会和内部审计机构对内部控制的监督无效的，应当就此以书面形式直接与董事会和经理层沟通。书面沟通应当在注册会计师出具内部控制审计报告之前进行敬德敬业至诚至真沟通缺陷注册会计师应当以书面形式与管理层沟通其在审计过程中识别的内部控制存在的所有缺陷，并在审计沟通完成后告知审计审计委员会。在沟通时，注册会计师无需重复自身、内部审计人员或企业其他人员以前书面沟通过的控制缺陷书面沟通应当在注册会计师出具内部控制审计报告之前进行敬德敬业至诚至真形成审计意见

第二十六条

注册会计师应当对获取的证据进行评价，形成对内部控制有效性的意见。

无保留意见UnqualifiedOpinion

标准内部控制审计报告

调强调事项段的审计报告否定意见AdverseOpinion无法表示意见DisclaimerofOpinion敬德敬业至诚至真出具审计报告

审计报告要素

标准审计报告

否定意见审计报告

无法表示意见审计报告

CombinedReports

SeparateReport

非财务报告内部控制缺陷的处理

期后期间发生情况的处理敬德敬业至诚至真出具审计报告第二十七条

注册会计师在完成内部控制审计工作后，应当出具内部控制审计报告。标准内部控制审计报告应当包括下列要素：

（一）标题。

（二）收件人。

（三）引言段。

（四）企业对内部控制的责任段。

（五）注册会计师的责任段。

（六）内部控制固有局限性的说明段。

（七）财务报告内部控制审计意见段。

（八）非财务报告内部控制重大缺陷描述段。

（九）注册会计师的签名和盖章。

（十）会计师事务所的名称、地址及盖章。敬德敬业至诚至真标准审计报告

第二十八条

符合下列所有条件的，注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告：

（一）企业按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及企业自身内部控制制度的要求，在所有重大方面保持了有效的内部控制。

（二）注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作，在审计过程中未受到限制。敬德敬业至诚至真标准内部控制审计报告格式

企业内部控制审计指引.pdfP11

某上市公司内部控制审计报告敬德敬业至诚至真带强调事项段的审计报告

第二十九条

注册会计师认为财务报告内部控制虽不存在重大

缺陷，但仍有一项或者多项重大事项需要提请内部控制审计报告使用者注意的，应当在内部控制审计报告中增加强调事项段予以说明。

注册会计师应当在强调事项段中指明，该段内容仅用于提醒内部控制审计报告使用者关注，并不影响对财务报告内部控制发表的审计意见。敬德敬业至诚至真带强调事项段的情形

管理层内部控制评价报告的表达不完整或不恰当

其后事项

其他信息存在对事实的重大错报敬德敬业至诚至真带强调事项段的情形

管理层内部控制评价报告的表达不完整或不恰当如果管理层评估报告的表达不完整或不恰当，注册会计师应该在审计报告中增加强调事项段，说明这一情况并解释得出该结论的理由。如果重大缺陷尚未包含在管理层内部控制评估报告中，注册会计师应当在审计报告中说明重大缺陷已经识别、但没有包含在管理层内部控制评估报告中。如果管理层评估报告中包含了重大缺陷，但注册会计师认为这些重大缺陷未能在所有重大方面得到公允反映，注册会计师应当在审计报告中说明这一结论，并公允表达有关重大缺陷的必要信息。敬德敬业至诚至真带强调事项段的情形

其后事项注册会计师可能知悉在管理层评估日并不存在、但在期后期间发生的事项。如果这类期后事项对内部控制有重大影响，注册会计师应当在审计报告中增加强调事项段，以描述该事项及其影响，或提醒审计报告使用者关注管理层内部控制评估报告中披露的该事项及其影响。敬德敬业至诚至真带强调事项段的情形

其他信息存在对事实的重大错报如果注册会计师认为其他信息含有对事实的重大错报，注册会计师应当就此与管理层进行讨论。如果讨论后仍认为存在对事实的重大错报，注册会计师应当以书面形式，将其看法告知管理层和审计委员会。敬德敬业至诚至真带强调事项段的审计报告

带强调事项段的审计报告格式P12敬德敬业至诚至真否定意见的审计报告第三十条

注册会计师认为财务报告内部控制存在一项或多项

重大缺陷的，除非审计范围受到限制，应当对财务报告内部控制发表否定意见。注册会计师出具否定意见的内部控制审计报告，还应当包括下列内容：

（一）重大缺陷的定义。

（二）重大缺陷的性质及其对财务报告内部控制的影响程度。敬德敬业至诚至真否定意见的审计报告

否定意见的内部控制审计报告P13敬德敬业至诚至真无法表示意见的审计报告

第三十一条

注册会计师审计范围受到限制的，应当解除业务约定或出具无法表示意见的内部控制审计报告，并就审计范围受到限制的情况，以书面形式与董事会进行沟通。注册会计师在出具无法表示意见的内部控制审计报告时，应当在内部控制审计报告中指明审计范围受到限制，无法对内部控制的有效性发表意见。

注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的，应当在内部控制审计报告中对重大缺陷作出详细说明。

敬德敬业至诚至真无法表示意见的审计报告

企业内部控制审计指引.pdfP14敬德敬业至诚至真ReportingonInternalControl

企业内部控制审计指引.pdfP25SeparateReport

提及其他报告截止日意见日期P27

美国某公司内部控制审计报告敬德敬业至诚至真内部控制审计报告的比较

《内部控制审计指引》内部控制审计报告

PCAOBAuditingStandardNo.5TheAuditofInternalControloverFinancialReporting提及财务报表审计报告内容收购豁免

敬德敬业至诚至真非财务报告内部控制缺陷的处理

第三十二条

注册会计师对在审计过程中注意到的非财务报告内部控制缺陷，应当区别具体情况予以处理：

（一）注册会计师认为非财务报告内部控制缺陷为一般缺陷的，应当与企业进行沟通，提醒企业加以改进，但无需在内部控制审计报告中说明。

（二）注册会计师认为非财务报告内部控制缺陷为重要缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进，但无需在内部控制审计报告中说明。（三）注册会计师认为非财务报告内部控制缺陷为重大缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进；同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。敬德敬业至诚至真期后期间发生情况的处理

第三十三条

在企业内部控制自我评价基准日并不存在、但在该基准日之后至审计报告日之前（以下简称期后期间）内部控制可能发生变化，或出现其他可能对内部控制产生重要影响的因素。注册会计师应当询问是否存在这类变化或影响因素，并获取企业关于这些情况的书面声明。注册会计师知悉对企业内部控制自我评价基准日内部控制有效性有重大负面影响的期后事项的，应当对财务报告内部控制发表否定意见。注册会计师不能确定期后事项对内部控制有效性的影响程度的，应当出具无法表示意见的内部控制审计报告。敬德敬业至诚至真记录审计工作第三十四条

注册会计师应当按照《中国注册会计师审计准则第1131号——审计工作底稿》的规定，编制内部控制审计工作底稿，完整记录审计工作情况。记录审计工作

第三十五条

注册会计师应当在审计工作底