《企业内部控制审计指引》

《企业内部控制审计指引》（二）企业经营及其环境的变化；（三）内部控制的变化；（四）财务报表的性质、范围和复杂程度；（五）企业的规模和业务性质；（六）其他可能对审计工作有重要影响的事项。第十条注册会计师应当编制审计计划，包括审计的范围、时间、人员和预算，并在审计过程中根据需要进行调整。第二节风险评估第十一条注册会计师应当评估内部控制和财务报表中的风险，并将其纳入审计计划。风险评估应当考虑企业经营及其环境、内部控制的设计和运行以及财务报表的性质、范围和复杂程度等因素。第十二条注册会计师应当评估内部控制的设计和运行有效性，并将其纳入审计计划。评估内部控制的设计和运行有效性应当包括对控制环境、风险评估、控制活动、信息和沟通以及监督等方面的评估。第十三条注册会计师应当评估财务报表中存在的风险，并将其纳入审计计划。评估财务报表中存在的风险应当包括对重大错报风险、非重大错报风险以及其他风险的评估。第三节获取证据第十四条注册会计师应当获取充分、适当的证据，以支持其对内部控制和财务报表的评价。获取证据应当包括对内部控制和财务报表的文件、记录、计算程序和其他信息的审阅和测试。第十五条注册会计师应当对内部控制的运行有效性进行测试，并获取充分、适当的证据。测试应当包括对控制活动的操作、对控制环境的评估、对信息和沟通的评估以及对监督的评估。第十六条注册会计师应当对财务报表的风险进行评估，并获取充分、适当的证据。获取证据应当包括对财务报表的计算程序、记录和其他信息的审阅和测试。第四节其他审计程序第十七条注册会计师应当根据需要，进行其他审计程序，以获取充分、适当的证据，并支持其对内部控制和财务报表的评价。其他审计程序可以包括对内部控制和财务报表的确认函的取得、对内部控制和财务报表的询问、对内部控制和财务报表的比较分析等。第十六条在内部控制审计中，注册会计师应当利用其他相关人员的工作，包括企业内部审计、风险管理、合规等部门的工作，以及其他外部专业人员的工作。注册会计师应当评估这些工作的可靠性和适用性，并确定是否需要进一步测试或采取其他措施来支持审计意见的发表。第六节审计程序的执行第十七条在执行审计程序时，注册会计师应当遵循审计准则和内部控制审计计划，采取适当的测试方法和技术手段，以获取充分、适当的证据。注册会计师应当记录所采取的审计程序和测试结果，并根据审计准则的要求，编制审计工作底稿。第十八条在执行审计程序时，如果注册会计师发现了内部控制缺陷，应当根据《中国注册会计师审计准则第1140号——内部控制审计》的规定，对缺陷进行评价，并采取适当的措施，以支持发表审计意见。如果注册会计师发现了可能导致财务报表重大错报的缺陷，应当按照《中国注册会计师审计准则第1141号——财务报表审计中对舞弊的考虑》的规定，制定相应的应对方案。第七节内部控制审计报告的编制第十九条注册会计师应当根据内部控制审计的测试结果，编制内部控制审计报告。内部控制审计报告应当包括审计目的、范围、执行程序、测试结果、控制缺陷的评价、建议和其他相关事项。第二十条如果注册会计师在内部控制审计中发现了重大缺陷，应当向企业的审计委员会和管理层及时报告，并根据《中国注册会计师审计准则第1140号——内部控制审计》的规定，采取适当的措施，以支持发表审计意见。第二十一条内部控制审计报告应当在审计程序执行完毕后，尽快编制，并及时提交给企业的审计委员会和管理层。内部控制审计报告应当在审计报告中明确引用，并在审计意见中说明与财务报表审计意见的关系。（二）与风险评估相关的控制；（三）与监督机制相关的控制；（四）与信息系统相关的控制；（五）与人员相关的控制。注册会计师应当根据企业特点和风险评估结果，选择测试哪些企业层面控制。第三节测试控制第二十六条注册会计师应当测试评价内部控制有效性的重要控制。注册会计师选择测试控制的依据是风险评估结果和自上而下的方法。第二十七条注册会计师应当根据测试控制的结果，确定是否需要进行其他测试，以确定内部控制有效性。第五章报告第二十八条注册会计师应当在审计报告中表明对企业内部控制的评价结果，包括对企业层面控制和重要控制的评价结果。对于存在重大缺陷的内部控制，注册会计师应当在审计报告中表明该缺陷的性质、范围、影响及建议。第二十六条要求注册会计师评价企业的控制环境，以确保内部控制的有效性。这是因为控制环境对内部控制有着重要的影响。第二十七条要求注册会计师评价期末财务报告流程，因为这对内部控制审计和财务报表审计有着重要的影响。期末财务报告流程包括多个程序，如将交易总额登入总分类账的程序、与会计政策的选择和运用相关的程序、总分类账中会计分录的编制、批准等处理程序、对财务报表进行调整的程序和编制财务报表的程序。注册会计师需要测试相关控制，但通常只能在管理层评价日之后进行。第二十八条要求注册会计师识别重要账户、列报及其相关认定。如果某账户或列报可能包含了一个错报，该错报单独或连同其他错报将对财务报表产生重大影响，则该账户或列报为重要账户或列报。判断某账户或列报是否为重要账户或列报，应当依据其固有风险，而不应考虑相关控制的影响。注册会计师需要从多个方面评价财务报表项目及附注的错报风险因素，如账户的规模和构成、易于发生错报的程度、账户或列报中反映的交易的业务量、复杂性及同质性等。第三十条要求注册会计师确定对财务报表产生重大影响的潜在错报的可能来源。注册会计师可以通过考虑在特定的重要账户或列报中错报可能发生的领域和原因，确定潜在错报的可能来源。这有助于注册会计师更好地识别重要账户、列报及其相关认定。第三十一条规定，在内部控制审计和财务报表审计中，注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素相同。因此，在这两种审计中识别的重要账户、列报及其相关认定应当相同。但在财务报表审计中，注册会计师可能会针对非重要账户、列报及其相关认定实施实质性程序。第三十二条规定，如果某潜在重要账户或列报的各组成部分存在的风险差异较大，企业可能采用不同的控制以应对这些风险。注册会计师应当分别处理。第三十三条规定，注册会计师应当了解潜在错报的可能来源，以选择拟测试的控制。具体工作包括了解与相关认定有关的交易处理流程、验证可能发生重大错报的环节、识别管理层用于应对潜在错报的控制以及识别用于及时防止或发现未经授权的、导致财务报表重大错报的资产取得、使用或处置的控制。第三十四条规定，注册会计师应当了解信息技术如何影响企业的业务流程，并按照相关规定考虑信息技术对内部控制及风险评估的影响。第三十五条规定，穿行测试是完成第三十三条规定工作的最有效方式，指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程。在执行穿行测试时，注册会计师使用的文件和信息技术应当与企业员工使用的相同。通常需要综合运用询问适当人员、观察经营活动、检查相关文件及重新执行控制等程序。第三十六条规定，在执行穿行测试时，针对特定交易的重要处理环节，注册会计师可以询问企业员工对规定程序及控制的了解程度。这些试探性提问连同穿行测试中的其他程序，可以帮助注册会计师充分了解业务流程，识别必要控制设计无效或出现缺失的重要环节。第五节规定，注册会计师应当评价控制是否足以应对评估的每个相关认定的错报风险，并选择其中对形成评价结论具有重要影响的控制进行测试。对于特定的相关认定，可能有多项控制应对评估的错报风险，但注册会计师没有必要测试与某个相关认定有关的所有控制。第三十九条规定，在评估某项控制的错报风险时，注册会计师应考虑该控制是否单独或联合其他控制，能否应对相关认定的错报风险。第六节讲解了如何测试控制设计的有效性。第四十条规定，注册会计师需要测试控制设计的有效性。如果某项控制的执行符合规定，能够有效防止或发现可能导致财务报表重大错报的错误或舞弊，就意味着该项控制的设计是有效的。第四十一条规定，在测试控制设计的有效性时，注册会计师需要采用多种程序，包括询问适当人员、观察经营活动和检查相关文件等。通常，执行穿行测试就足以评价控制设计的有效性。第七节讲解了如何测试控制运行的有效性。第四十二条规定，注册会计师需要测试控制运行的有效性。如果某项控制正在按照设计运行，执行人员拥有必要授权和专业胜任能力，就意味着该项控制的运行是有效的。第四十三条规定，在测试控制运行的有效性时，注册会计师需要采用多种程序，包括询问适当人员、观察经营活动、检查相关文件以及重新执行控制等。第八节讲解了风险与拟获取证据的关系。第四十四条规定，在测试所选定控制的有效性时，注册会计师应根据与控制相关的风险，确定所需获取的证据。与控制相关的风险包括控制可能无效的风险和因控制无效而导致重大缺陷的风险。注册会计师需要获取的证据数量与控制相关的风险程度成正比。注册会计师需要获取每一相关认定控制有效性的证据，以发表对内部控制整体有效性的意见，但没有责任对单项控制的有效性发表意见。第四十五条规定，得出控制运行无效的结论所需的证据通常比得出其运行有效的结论所需的证据少。第四十六条规定，影响与某项控制相关的风险的因素包括：该项控制拟防止或发现的错报的性质和重要程度；相关账户、列报及其认定的固有风险；相关账户或列报是否曾经出现错报；交易的数量和性质是否发生变化，进而可能对该项控制设计或运行的有效性产生不利影响；企业层面控制（特别是监督其他控制的控制）的有效性；该项控制的性质及其执行频率；该项控制对其他控制（如控制环境或信息技术一般控制）有效性的依赖程度；该项控制的执行或监督人员的专业胜任能力，以及其中的关键人员是否发生变化；该项控制是人工控制还是自动化控制；该项控制的复杂程度，以及在运行过程中依赖判断的程度。在进行期中测试之后，内部控制可能会发生重大变化。在连续审计中，注册会计师需要考虑以前年度执行内部控制审计时了解的情况，以及以前年度对控制的测试结果和控制或其运行流程是否发生变化等因素。只有当认为与控制相关的风险水平比以前年度有所下降时，注册会计师才可以减少测试。对于完全自动化的应用控制，注册会计师可以考虑对自动化应用控制实施对标策略，如果认为一般控制有效，且可持续对其进行测试，并能证实自动化应用控制自最近一次测试之后未发生变化，注册会计师不必重复执行测试，就可以认为自动化应用控制是持续有效的。在评价控制缺陷的严重程度时，如果控制的设计或运行不能使管理层或员工在正常履行职责的过程中及时防止或发现错报，则表明内部控制存在缺陷。内部控制存在的缺陷包括设计缺陷和运行缺陷。设计缺陷是指缺少为实现控制目标所必需的控制，或者现有控制设计不适当，即使正常运行也难以实现控制目标。运行缺陷是指设计适当的控制没有按设计意图运行，或者执行人员缺乏必要授权或专业胜任能力，无法有效实施控制。根据严重程度，内部控制存在的缺陷可以分为重大缺陷、重要缺陷和一般缺陷。重大缺陷是可能导致财务报表重大错报的一项控制缺陷或多项控制缺陷的组合。重要缺陷是其严重程度不如重大缺陷，但足以引起企业财务报告监督人员关注的一项控制缺陷或多项控制缺陷的组合。一般缺陷是除重大缺陷和重要缺陷之外的控制缺陷。第七十二条规定，注册会计师在对内部控制有效性形成意见后，应当评价管理层内部控制评价报告中对财务报告、相关信息真实完整性和资产安全相关的内部控制表达是否符合法律法规要求。如果表达不完整或不恰当，注册会计师应当按照指引第九十八条的要求进行处理。第七十三条规定，只有在审计范围没有受到限制时，注册会计师才能对内部控制有效性形成意见。如果存在范围限制，注册会计师应当按照指引第九十九条至第一百零二条的要求进行处理。第二节规定了注册会计师应当向管理层获取书面声明。管理层声明的内容应当包括认可其对内部控制的设计、实施和维护负责，已对内部控制有效性作出评价并说明评价时采用的标准，没有利用注册会计师的程序和结果进行自我评价，根据控制标准评价内部控制有效性得出的结论，披露所有缺陷并专门披露重要缺陷或重大缺陷，披露导致财务报表重大错报的舞弊和不涉及财务报表重大错报但涉及管理层和其他重要员工的所有舞弊，解决以前年度审计中识别的缺陷情况，内部控制是否发生变化以及是否存在对内部控制产生重要影响的其他因素。第七十五条规定，如果管理层拒绝提供书面声明或未能获取书面声明，注册会计师应将其视为审计范围受到限制，解除业务约定或出具无法表示意见的审计报告。注册会计师还应评价管理层拒绝提供书面声明对其他声明可靠性的影响。第七十六条规定，注册会计师应按照《中国注册会计师审计准则第1341号——管理层声明》的规定确定声明书的签署者、声明书涵盖的期间以及何时获取更新的声明书等。第三节规定，注册会计师应以书面形式与管理层和审计委员会沟通审计过程中识别的所有重大缺陷。书面沟通应在注册会计师出具内部控制审计报告之前进行。78.如果注册会计师认为审计委员会对财务报告及其内部控制的监督无效，应书面与董事会沟通。79.注册会计师应考虑其识别的一项或多项控制缺陷是否构成重要缺陷，如构成重要缺陷，应书面与审计委员会沟通。80.注册会计师应以书面形式与管理层沟通审计过程中识别的所有内部控制缺陷，并告知审计委员会。在沟通时，无需重复已经沟通过的控制缺陷。81.注册会计师应沟通其注意到的所有内部控制缺陷，但不要求执行足以识别所有控制缺陷的程序。82.如果发现企业存在或可能存在舞弊或违反法规行为，注册会计师应按照相关规定履行自身的责任。第七章审计报告第一节总体要求83.注册会计师应评价根据审计证据得出的结论，作为对内部控制有效性形成审计意见的基础。84.完成内部控制审计和财务报表审计后，应分别出具审计报告。第二节标准审计报告85.审计报告应包括标题、收件人、引言段、管理层对内部控制的责任段、注册会计师的责任段、内部控制审计的范围段、内部控制固有局限性的说明段、内部控制审计意见段、财务报表审计意见类型的提及段、注册会计师的签名和盖章、会计师事务所的名称、地址及盖章、报告日期。86.在内部控制审计报告中，应说明注册会计师还按照相关规定审计了企业的财务报表，并在审计报告中发表了相应意见。如果出具了无法表示意见的财务报表审计报告，应对该提及段的表述作必要修改。1.内部控制是否发生变化；2.内部控制是否能够有效应对新的业务风险和市场环境；3.内部控制是否存在重大缺陷，并采取了何种措施加以纠正；4.管理层是否存在对内部控制的评价和改进计划，并采取了何种措施加以落实。第九十四条如果注册会计师在期后期间发现了重大缺陷或其他可能对内部控制产生重要影响的因素，应当及时通知管理层，并在内部控制审计报告中予以说明。如果管理层未能采取适当的措施加以纠正，注册会计师应当考虑出具非标准审计报告。非标准审计报告应当包括对重大缺陷或其他影响因素的描述，以及对企业财务报表的影响评价。注册会计师需要考虑四种情况来评估企业的内部控制有效性：1）在期后期间出具的内部审计报告或类似报告；2）其他注册会计师出具的涉及企业内部控制缺陷的报告；3）监管机构发布的涉及企业内部控制的报告；4）注册会计师在执行其他业务中获取的、有关企业内部控制有效性的信息。此外，根据《中国注册会计师审计准则第1332号——期后事项》，注册会计师还应该检查期后期间的其他文件。根据第九十四条，如果注册会计师知道对管理层评价日内部控制有效性有重大负面影响的期后事项，他们应该对内部控制发表否定意见。如果不能确定期后事项对内部控制有效性的影响，注册会计师应该出具无法表示意见的审计报告。如果管理层在内部控制评价报告中披露了管理层评价日后企业可能采取的纠正措施，注册会计师应该在审计报告中指明不对其发表意见。根据第九十五条，注册会计师可能会知道在管理层评价日并不存在但在期后期间发生的事项。如果这类期后事项对内部控制有重大影响，注册会计师应该在审计报告中增加强调事项段，以描述该事项及其影响，或提醒审计报告使用者关注管理层内部控制评价报告中披露的该事项及其影响。在出具内部控制审计报告之后，如果注册会计师知道在审计报告日已存在的、可能对审计意见产生影响的情况，他们应该按照《中国注册会计师审计准则第1332号——期后事项》的规定办理。如果存在以下情况之一，注册会计师应该出具非标准审计报告：1）管理层内部控制评价报告的表达不完整或不恰当；2）审计范围受到限制；3）管理层内部控制评价报告中包含其他信息。如果注册会计师认为管理层内部控制评价报告的表达不完整或不恰当，他们应该在审计报告中增加强调事项段，说明这一情况并解释得出该结论的理由。最后，根据第九十九条，注册会计师只有在实施了必要的审计程序后，才能对内部控制的有效性发表意见。如果审计范围受到限制，注册会计师应该解除业务约定或出具无法表示意见的审计报告。在出具无法表示意见的审计报告时，注册会计师应该指明无法对内部控制的有效性发表意见。内部控制审计报告尊敬的××股份有限公司全体股东：我们对截至××年×月×日××股份有限公司（以下简称××公司）的内部控制进行了审计。在此报告中，“一、管理层对内部控制的责任”至“四、内部控制的固有局限性”等内容与标准审计报告相同，不再重复。我们发现，××公司内部控制中存在一项或多项控制缺陷，可能导致不能及时防止或发现企业财务报表重大错报。这些重大缺陷已被注册会计师识别出来，包括在管理层内部控制评价报告中描述的由管理层识别的内部控制重大缺陷。其中，如果××重大缺陷没有包含在管理层内部控制评价报告中，我们会在报告中说明。如果×