企业内部控制配套指引二十讲20

企业内部控制配套指引二十讲202024/3/28企业内部控制配套指引二十讲20第20讲：企业内部控制审计指引

前面我们在第19讲已经明确企业在年终要编制内部控制评价报告，财政部等五部门专门下发了《内部控制评价指引》，作出了规定。对于这个评价报告，要经有资质的注册会计师事务所审计审计，出具审计报告。因此对于审计事项专门发布《内部控制审计指引》，规范注册会计师的审计行为，本讲就是这个指引的讲解：企业内部控制配套指引二十讲20在这一讲里，我主要讲

述七个大问题：

一、内部控制审计指引框架

二、计划审计工作

三、实施审计工作四、评价内部控制缺陷

五、完成审计工作

六、审计报告

七、记录审计工作企业内部控制配套指引二十讲20一、内部控制审计指引框架为了规范注册会计师执行企业内部控制审计业务，保证执业质量，根据《企业内部控制基本规范》和《中国注册会计师审计业务基本准则》以及其他相关执业准则，制定企业内部控制审计指引，共计七章35条，我们归纳总结其框架概述如下：企业内部控制配套指引二十讲20

第一章《总则》．第1－5条。

1.审计指引出台的目的。为了指导注册会计师执行企业内部控制（以下简称内部控制）鉴证业务，明确工作要求，保证执业质量。

2.内部控制审计的定义。企业内部控制审计，是指会计师事务所接受委托，对企业与财务报告相关的内部控制的有效性进行鉴证，并发表审计意见。

3.管理层和注册会计师的责任。管理层的责任：按照国家有关法律法规的要求，设计、实施和维护有效的内部控制，并评估其有效性。

注册会计师的责任：按照《企业内部控制审计指引》的要求，在实施审计工作的基础上对内部控制有效性发表审计意见。

内部控制审计不能减轻管理层的责任。

4.审计工作应获取适当证据，为发表审计意见提供保证。

5.注册会计师可以单独进行内部控制审计，也可将内部控制审计与财务报表审计整合进行（以下简称整合审计）。企业内部控制配套指引二十讲20第二章《计划审计工作》，第6－9条共4条。

1注册会计师应制定内部控制审计工作计划。

2.评价对财务报告与内部控制的影响因素。3.风险评估在内部控制审计业务中的运用注册会计师应当充分认识风险评估在内部控制审计中的作用，以适当的风险评估为基础，有效地计划和执行内部控制审计工作。

特别关注舞弊风险对内部控制审计业务的影响，在计划和执行内部控制审计工作时，注册会计师应当考虑舞弊风险的评估结果。注册会计师应当评价企业的控制是否足以应对已识别的由舞弊导致的重大错报风险，并评价为应对管理层凌驾于其他控制之上的风险设计的控制。

4.考虑利用其他人员的工作。

如果利用他人的工作能够提供内部控制有效性的证据，注册会计师应当考虑利用企业内部审计人员、其他人以及在管理层或审计委员会指导下工作的第三方的工作，或者接受他们的直接帮助。

企业内部控制配套指引二十讲20第三章《实施审计工作》，10-19条共10条。

1.注册会计师应按自上而下的方法实施审计。

2.内部控制的测试包括企业和业务两个层面的测试。

企业层面控制的测试包括：与内部环境相关的控制；针对管理层凌驾于内部控制之上而采用的控制；企业的风险评估；集中处理和控制，包括共享的服务环境；监督经营结果的控制；

业务层面控制测试包括：内部审计职能部门、审计委员会等的活动；针对期末财务报告流程的控制；应对重大经营控制及风险管理实务的政策。

3.注册会计师应测试内部控制设计与运行的有效性。如某项控制由拥有必要授权的人按规定程序执行，能够达到控制目标，就表明该项设计是有效的。

4.注册会计师应根据内部控制与相关风险，确定实施审计的性质，获取证据。内控风险越大的部位，获取证据应该越多。企业内部控制配套指引二十讲20

5.测试内部控制设计与运行有效性时，应询问有关人员，检查相关文件，可以采用穿行测试和重新执行等方法。6.测试时间安排应在下面两个因素之间平衡：其一，尽量接近企业内部控制自我评价基准日；其二，实施的测试需要涵盖足够长的时间。

7.对内部控制的运行偏离设计的情况（即控制差），应确定偏差和评估风险，获取证据，以证明其对运行有效结论的影响。

8.连续审计的，要在测试安排时，考虑以前年审计时了解的情况。企业内部控制配套指引二十讲20第四章《评价控制缺陷》，第20－22共3条。

1.内部控制缺陷的分类，按其严重程度可以分为一般缺陷、重要缺陷和重大缺陷。

2.确定一项重大缺陷或多项缺陷组合时，应当评价补偿性的影响，企业执行的补偿性应具有同样影响。3.表明重大缺陷可能存在的迹象：（1）注册会计师发现董事、监事和高级管理人员舞弊。

（2）企业更正已经公布的财务报表。（4）注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报。

（4）企业审计委员会和内部审计机构对内部控制的监督无效。企业内部控制配套指引二十讲20第五章《完成审计工作》，第23－26条共4条。

1.完成审计工作后，应取得经企业签署的书面声明，该声明包括六项具体内容。

2.如果企业拒绝提供或以其他不正当理由回避书面声明，注册会计师应当将其视为审计范围受到限制，并解除业务约定或出具无法表示意见的审计报告。

3.注册会计师应当与企业沟通审计过程中识别的所有缺陷。对于其中的重要缺陷与重大缺陷应当以书面形式与董事会和经理层沟通。书面沟通应当在注册会计师出具内部控制审计报告之前进行。

4.注册会计师应对获取的证据进行评价，形成对内部控制的有效意见企业内部控制配套指引二十讲20第六章《出具审计报告》，第27－33条共7条。

1.标准审计报告应包括的11个要素。

2.出具无保留意见的审计报告两项要求。

3.虽不存在重大缺陷，但仍有需要审计报告使用者注意的事项，应在审计报告中增加强调事项段加以说明。4.存在一项或多项重大缺陷的，除非审计范围受到限制，应当发表否定意见。

5.注册会计师审计范围受限的，应解除业务约定或出具无法表示意见的报告。并就审计受限情况以书面形式与董事会沟通。6.对非财务报告内部控制内部控制缺陷，区别三种情况处理。

7.对于内部控制自我评价报告基准日后至审计报告报出前，内部控制可能发生的问题，称为期后事项，注册会计师应询问，并获取书面声明。期后事项如对内部控制有负面影响，可发表否定意见。企业内部控制配套指引二十讲20第七章《记录审计工作》，34－35条共2条。

1.注册会计师应当形成审计工作记录的内容，并说明注册会计师编制内部控制审计工作底稿可以参看《中国注册会计师审计准则第1131号——一审计工作底稿》的规定。

2.规定审计工作底稿应记录的六项具体内容：

（1）内部控制审计计划及重大修改情况。（2）相关风险评估和选择拟测试的内部控制的主要过程及结果。（3）测试内部控制设计与运行有效性的程序及结果。（4）对识别的控制缺陷的评价。（5）形成的审计结论和意见。（6）其他重要事项。企业内部控制配套指引二十讲20二、计划审计工作

注册会计师应当恰当的计划所接受的内部控制审计工作，配备有胜任能力的人员，并对助理人员进行督导。在这个大问题中我要讲四个具体问题：

（一）在制定审计计划时，注册会计师应当评价下列事项对企业财务报表和内部控制是否具有重要影响：

（1）与企业相关的风险。

（2）相关法律法规和行业概况。

（3）企业组织结构、经营特点和资本结构等相关重要事项。

（4）企业内部控制最近发生变化的程度。

（5）与企业沟通过的内部控制缺陷。

（6）重要性、风险等与确定内部控制重大缺陷相关的因素。

（7）对内部控制有效性的初步判断。

（8）可获取的、与内部控制有效性相关的证据的类型和范围。企业内部控制配套指引二十讲20（二）注册会计师应当充分认识风险评估在内部控制审计中的作用

根据风险评估结果，确定重要的账户、列报和相关认定，选择拟进行测试的控制，以及确定针对特定控制所需收集的证据。在进行风险评估以及确定必要的程序时，注册会计师应当考虑企业组织结构、经营单位或流程的复杂程度可能产生的重要影响和作用。企业组织结构、经营单位或流程的复杂程度可能影响企业实现控制目标的方式。企业的规模和复杂程度也可能影响错报风险以及应对该风险所需实施的控制。注册会计师应当根据企业情况调整工作范围，以获取充分、适当的证据，支持发表的意见。企业内部控制配套指引二十讲20（三）舞弊对内部控制审计计划的影响

注册会计师应当高度关注与舞弊风险相关的领域。对舞弊风险进行评估，包括评价企业的控制是否足以应对已识别的由舞弊导致的重大错报风险，并评价为应对管理层凌驾于其他控制之上的风险设计的控制。企业为应对这些风险可能采取的控制包括：

1.针对重大的非常规交易，尤其是针对那些导致记账分录延迟或异常的交易的控制；

2.针对期末财务报告过程中编制的记账分录和调整分录的控制；3针对关联方交易的控制；

4.与管理层的重大估计相关的控制；5.能够缓解管理层伪造或不恰当操纵财务结荣的动机及压力的控制。企业内部控制配套指引二十讲20

（四）对其他人员工作的利用

为了实现内部控制审计的目的，如果利用他人的工作能够提供内部控制有效性的证据，注册会计师应当考虑利用企业内部审计人员、其他人员以及在管理层或审计委员会指导下工作的第三方的工作，或者接受他们的直接帮助。如内部审计的工作结果是管理层评价内部控制有效性的重要基础，注册会计师应当考虑被审核单位内部审计人员的专业能力、独立性及工作范围。值得注意的是，在内部控制审计中，注册会计师可能利用其他人员工作的程度还受到与被测试控制有关的风险的影响。随着与某项控制有关的风险的增加．注册会计师应相应地扩大对该项控制执行测试的范围。企业内部控制配套指引二十讲20三、实施审计工作

注册会计师应当根据审计计划，测试内部控制设计和运行的有效性。在这个大问题中，我要讲以下四个具体问题：企业层面的控制测试、企业业务层面测试、测试内部控制设计的有效性、测试内部控制运行的有效性。

（一）企业层面的控制测试

企业层面的控制包括的内容：1.与内部环境相关的控制。由于内部环境对维护有效的内部控制具有重要影响，注册会计师应当评价企业的内部环境。在评价内部环境时，注册会计师应当评估下列事项：

其一，管理层的理念和经营风格是否能够促进有效的内部控制；

其二，健全的诚实正直和道德价值观（特别是高层管理人员的）是否已经形成并为大家所了解；

其三，审计委员会是否了解并履行对财务报告和内部控制的监督责任。

企业内部控制配套指引二十讲20

2.针对管理层凌驾于内部控制之上而采用的控制。

3.企业的风险评估。

4.集中处理和控制，包括共享的服务环境。5.监督经营结果的控制。

6.对其他控制的监督控制．包括内部审计职能部门、审计委员会等的活动。

7.针对期末财务报告流程的控制。由于期末财务报告流程对财务报告以及注册会计师针对内部控制发表的意见具有重要影响，注册会计师应当对期末财务报告流程进行评价。

企业内部控制配套指引二十讲20

（二）企业业务层面控制的测试业务层面控制的测试表现为识别重大的账户、列报及相关认定，具体内容包括：

1.账户的规模和构成；

2.对因错误或舞弊导致的错报的敏感度；

3.通过账户处理或在列报中反映的交易的业务量、复杂性及同质性；

4.与账户或列报相关的会计处理及报告的复杂程度；5.账户容易发生损失的程度；

6.由账户或列报中反映的活动引起重大或有负债的可能性；7.账户中关联方交易的存在情况；

8.账户或列报特征与前期相比发生的变化。注册会计师可根据在特定的重大账户或列报中错报发生的领域，确定潜在错报的可能来源。当一家企业有多个经营场所或经营单位时，注册会计师应当在合并财务报表的基础上识别重要的账户、列报及相关认定。企业内部控制配套指引二十讲20（三）测试内部控制设计的有效性

在测试控制设计的有效性时，注册会计师应当确定企业的内部控制，如果由拥有有效执行控制所需的授权和专业胜任能力的人员按规定执行，能否实现控制目标和有效地防止或发现可能导致财务报表发生重大错报的错误或舞弊。在评价内部控制设计的合理性时，注册会计师应当关注内部控制整体能否实现控制目标，而不应孤立地关注特定内部控制。

注册会计师应当实施以下程序，以了解内部控制的设计：①询问被审核单位的有关人员。②检查内部控制生成的文件和记录。③观察被审核单位的经营管理活动。企业内部控制配套指引二十讲20

（四）测试内部控制运行的有效性

在测试控制运行的有效性时，注册会计师应当确定控制是否正在按照设计运行，执行人员是否拥有有效执行控制所需的授权和专业胜任能力。

在测试内部控制运行的有效性时，注册会计师应当关注该项内部控制是否得到执行、如何执行、由谁执行以及是否得到一贯执行。

在测试内部控制运行的有效性时，注册会计师通常实施以下程序；①询问被审计单位的有关人员。②检查内部控制生成的文件和记录。③观察被审计单位的经营管理活动。④重新执行有关内部控制，看其效果。注册会计师在确定测试控制的日期时，应尽量在接近管理层评估日执行控制测试，并使测试涵盖足够长的期间。企业内部控制配套指引二十讲20

四、评价内部控制缺陷

对企业内部控制的缺陷进行评价时，要考虑缺陷的严重程度的判断，并根据缺陷的严重程度考虑对内部控制的影响。如果控制的设计或运行不能及时防止或发现错报，表明内部控制存在缺陷。

（一）企业内部控制缺陷的分类

企业内部控制存在的不足，按其严重程度可以分为一般缺陷、重要缺陷和重大缺陷三个种类：

判别内部控制缺陷要关注以下几点要素：

企业内部控制配套指引二十讲20

1.如果控制的设计或运行不能及时防止或发现错报，表明内部控制存在缺陷。

2.应关注缺陷是指内部控制存在的、其严重性不如重大缺陷但却足以值得负责监督企业财务报告的人员关注的某项缺陷或几项缺陷的组合。3.重大缺陷是内部控制中存在的、具有合理可能性导致企业年度或中期财务报表出现重大错报不能被及时防止或发现的某项缺陷或几项缺陷的组合。

在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时，注册会计师应评价补偿性控制（替代性控制）的影响。企业执行的补偿性控制应当具有同样的效果。企业内部控制配套指引二十讲20注册会计师在评价企业内部控制缺陷时，要关注下列可能表明企业内部控制存在重大缺陷的情况。

（1）发现高级管理人员舞弊；（2）重述财务报表，以反映重大错报的更正情况；

（3）注册会计师识别出当期财务报表存在重大错报，而该错报不可能由企业内部控制发现；

（4）审计委员会对企业财务报告和内部控制的监督无效。企业内部控制配套指引二十讲20

五、完成审计工作

注册会计师完成审计之后，应当评价审计过程中获取的证据，形成对内部控制有效性的意见。在对内部控制有效性形成意见后，注册会计师应当评价管理层按照有关政府部门和监管机构的要求在企业年度报告中对内部控制的披露是否适当。要求企业出具声明书，并沟通有关事项。所以，在完成审计工作这部分我要讲两个大问题：一是管理层声明书；二是沟通有关事项。

（一）管理层声明书在出具审计报告前，注册会计师应当向管理层获取书面声明。

1.管理层书面声明的8项内容

（1）管理层认可其对建立和保持有效的内部控制的责任；

（2）管理层已对企业内部控制的有效性做出评估，并说明运用的控制标准；

（3）管理层没有将注册会计师在内部控制审计中执行的程序作为管理层对内部控制有效性评估基础的组成部分；

企业内部控制配套指引二十讲20

（4）管理层根据控制标准对企业内部控制在特定日期的有效性的评估结论；

（5）管理层识别出的内部控制在设计或运行方面存在的所有缺陷，包括单独向注册会计师披露内部控制的所有应关注缺陷或重大缺陷；

（6）导致企业财务报表发生重大错报的所有舞弊，以及其他不会导致企业财务报表发生重大错报，但涉及高级管理人员和其他在企业内部控制中具有重要作用的员工的所有舞弊；（7）在以前年度审计中识别的、注册会计师发现且已与审计委员会沟通的控制缺陷是否已经解决；

（8）在报告日后，内部控制是否发生变化，或者是否存在对内部控制产生重要影响的其他因素，包括管理层针对应关注缺陷和重大缺陷采取的任何纠正措施。

企业内部控制配套指引二十讲20

2.注册会计师应当按照《中国注册会计师审计准则第1341号——管理层声明》的规定，确定声明书的签署者、声明书涵盖的期间以及何时获取更新的声明书等。

《中国注册会计师审计准则第1341号——管理层声明》规定：第十四条当要求管理层提供声明书时，注册会计师应当要求将声明书径送注册会计师本人。声明书应当包括要求列明的信息，标明适当的日期并经签署。第十五条管理层声明书标明的日期通常与审计报告日一致。但在某些情况下，注册会计师也可能在审计过程中或审计报告日后就某些交易或事项获取单独的声明书。第十六条管理层声明书通常由管理层中对被审计单位及其财务负主要责任的人员签署。企业内部控制配套指引二十讲20

3.未能获取管理层声明对审计意见的影响。

如果未能获得管理层的书面声明，包括管理层拒绝提供书面声明，注册会计师应当将其视为审计范围受到限制，并解除业务约定或出具无法表示意见的审计报告。声明，注册会计师应当将其视为审计范围受到限制，并解除业务约定或出具无法表示意见的审计报告。

（二）沟通相关事项

在注册会计师出具内部控制审计报告之前，注册会计师应当以书面形式与管理层和审计委员会沟通审计过程中识别的所有重大缺陷。

注册会计师应当考虑在审计过程中识别的任何控制缺陷或多个控制缺陷的组合是否构成重要缺陷。如果构成重要缺陷，注册会计师应当就此以书面形式与审计委员会沟通。

内部控制审计不能保证注册会计师能够发现严重程度小于重大缺陷的所有控制缺陷。注册会计师不应在出具的报告中声明，在审计中没有发现严重程度小于重大缺陷的控制缺陷。企业内部控制配套指引二十讲20六、审计报告

注册会计师在完成内部控制审计后，应当单独对内部控制出具审计报告，并将已经审计的管理层对内部控制的评估报告附于审计报告之后。注册会计师在审计报告中清楚地表达对内部控制的意见，并对出具的审计报告负责。

（一）审计报告的基本内容，有如下11项：1.标题。审计报告的标题应当统一规范为“内部控制审计报告”。2.收件人。审计报告的收件人是指注册会计师按照业务约定书的要求致送审计报告的对象，一般是指审计业务的委托人。审计报告应当载明收件人的全称。3.引言段。审计报告的引言段应当说明企业的名称和内部控制已经审计，并包括下列3点内容：企业内部控制配套指引二十讲20

（1）指出内部控制审计依据的控制标准；（2）提及管理层对内部控制的评估报告；（3）指明内部控制的评估截止日期。

4.管理层对内部控制的责任段。管理层对内部控制的责任段应当说明，按照国家有关法律法规的要求，设计、实施和维护有效的内部控制，并评估其有效性是管理层的责任。

5.注册会计师的责任段。应当说明下列内容：

（1）注册会计师的责任是在实施审计工作的基础上对内部控制有效性发表审计意见。注册会计师按照《企业内部控制审计指引》的规定执行了审计工作。《企业内部控制审计指引》要求注册会计师遵守职业道德规范，计划和实施审计工作以对企业在所有重大方面时候保持了有效的内部控制获取合理保证；（2）审计工作包括获取对内部控制的了解，评估重大缺陷存在的风险，根据评估的风险测试和评价内部控制设计和运行的有效性。审计工作还包括实施我们认为必要的其他程序；（3）注册会计师相信已获取的证据是充分、适当的，为其发表审计意见提供了基础。企业内部控制配套指引二十讲20

6.内部控制的定义段。

内部控制的定义段应当说明内部控制的定义。即：内部控制的定义内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。7.内部控制的固有局限性段。内部控制的固有局限性段应当说明，内部控制具有固有局限性，存在错误或舞弊导致的错报未被发现的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或降低对控制政策、程序遵循的程度，根据内部控制评价结果推测未来内部控制有效性具有一定的风险。8.审计意见段。

审计意见段应当说明，企业于特定日期是否按照适当的控制标准的要求，在所有重大方面保持了有效的内部控制。9.注册会计师的签名和盖章。

审计报告应当由注册会计师签名并盖章。企业内部控制配套指引二十讲20

10.会计师事务所的名称、地址及盖章。

审计报告应当载明会计师事务所的名称和地址，并加盖会计师事务所公章。11.报告日期。

审计报告应当注明报告日期。报告的日期不应早于注册会计师获取充分、适当的证据（包括管理层认可对内部控制及评估报告的责任且已批准评估报告的证据），并在此基础上对内部控制形成审计意见的日期。

（二）审计报告的意见类型审计报告的包括：标准审计报告、带说明段的无保留意见、否定意见和无法表示意见四种意见类型。这四种类型分别介绍如下：企业内部控制配套指引二十讲20

第一种：无保留意见的内部控制审计报告；第二种：带强调事项段的无保留意见内部控制审计报告；

第三种：否定意见的内部控制审计报告；