企业内部控制审计指引

1、.企业内部控制审计准则第一章总则第一，规范CPA执行企业内部控制审计工作，明确业务要求，确保业务质量，并根据中国注册会计师鉴证业务基本准则及相关实务指南制定本准则。第二条本准则中称内部控制审计为会计法人受委托，以特定日期为基准，审计企业内部控制的效果，并提出审计意见。在本准则中，内部控制审计的范围主要是企业设计和执行的内部控制，以合理保证财务报告和相关信息的实际和完整的资产安全。为了合理保障资产安全，内部控制可以包括合理保证业务效率和效果的内部控制，遵守业务管理的法律规定。Cpa在内部控制审核或财务报表审核中实施的过程不是企业内部控制的一部分。第三条在公司治理结构的监督下，按照企业内部控制基本

2、规范及相关规定设计、实施和维护有效的内部控制，评估其效果，是企业管理层的责任。根据本准则的要求，对执行审计工作所产生的内部控制效果提出审计意见，是注册会计师的责任。内部控制审计不能减少企业管理人员的责任。第四条有效的内部控制，合理保障财务报告和相关信息的实际、完整的资产安全。如果有一个或多个重大缺陷，内部控制应视为无效。即使财务报表没有大的错误，内部控制也可能有大的缺陷。第五条注册会计师应计划和实施审计工作，在特定日期之前，合理保证内部控制是否存在重大缺陷，并作为支持审计意见的基础，确保充分、适当的证据。佐原健二合并审计第六条注册会计师应合并内部控制审计和财务报表审计(以下合并审计)。内部控制

3、审计和财务报表审计的目标不同。Cpa必须计划和实施审核工作以实现这两个目标。第七条在综合审计中，注册会计师必须计划和实施控制设计和运行效率的测试，同时实现以下目标：(一)在内部控制审计中，确保充分、充分的证据，支持内部控制有效性的意见；(b)在财务报表审计中，确保适当和适当的证据，以支持内部控制的风险评估结果；第三章计划审计第一节总体要求第八条注册会计师应适当规划内部控制审计，适当监督助理。第九条在计划合并审核时，CPA必须评估以下事项对财务报表和内部控制是否有重要影响，以及重要影响是如何影响审核工作的：(一)注册会计师执行其他工作时了解的情况；(二)在评估注册会计师是否接受与客户和业务维持有

4、关的企业相关的风险状况时；(三)影响企业所属行业的事项，如产业财政报告做法、经济状况和技术革新；(四)企业相关的法律法规；(五)与企业经营有关的重要事项，包括组织结构、经营特点和资本结构；(六)经营活动的复杂性；(七)经营活动或内部控制最近变化的程度；(八)注册会计师对内部控制重大缺陷确定相关重要性、风险等因素的初步判断；(九)以前与审计委员会或管理层通信的控制缺陷；(十)可获得的和与内部控制效果相关的证据的类型和范围；(十一)内部控制有效性的初步判断；(十二)与评估财务报表重大错误发生的可能性和内部控制的效果有关的公开信息。第二节风险评估的作用第十条在内部控制审计中，注册会计师应根据风险评估

5、确定重要账户、公告和相关验证，选择要测试的控制，并确定针对特定控制需要收集的证据。第十一条在内部控制的特定领域存在重大缺陷的危险越高，对该领域的审计兴趣越大。Cpa需要更多关注高风险领域，不需要测试即使有缺陷也不能导致财务报表中重大虚假报告的控制。第十二条注册会计师在进行风险评估和确定审计程序时，必须考虑企业组织结构、业务流程或业务单位复杂性可能产生的重要影响。第三节审计曹征第十三条企业组织结构、业务流程和业务单位的规模和复杂性影响实现许多控制目标的方式。注册会计师要根据企业的具体情况调整审计，确保充分、适当的证据支持公布的审计意见。第四节处理欺诈风险第十四条计划和实施内部控制审计时，CPA应

6、考虑财务报表审计中欺诈风险的评估结果。如果确定和测试企业级控制，并选择不同的控制进行测试，注册会计师必须评估企业控制是否足够大，以应对识别出的、欺诈引起的重大虚假报告的风险，以及管理人员设计的控制以应对优先于控制的风险。第十五条在内部控制审计中被确定为防止或发现舞弊的控制存在缺陷的情况下，CPA在财务报表审计中按照中国注册会计师审计准则第1141号财务报表审计中对舞弊的考虑规定制定应对重大虚假报告风险的方案时，应考虑这些缺陷。第五节利用其他相关人员的工作第十六条注册会计师应评估公司内部审计员、其他人员以及其他人员，包括管理人员或审计委员会指示下的第三方在内的其他人的工作利用情况和利用程度，减少

7、注册会计师应做的工作。如果决定利用内部审计员的工作，注册会计师应按照中国注册会计师审计准则第1411号考虑内部审计工作的规定处理。第十七条计划利用他人的工作，注册会计师应评估该人的专业能力和客观性，以确定可利用程度。第十八条在内部控制审计中，注册会计师利用他人进行业务的程度也受到与测试控制相关的风险的影响。与控制相关的风险越高，其他人工作的水平也越低，注册会计师必须亲自测试更多的控制。第十九条其他注册会计师对企业的一个或多个部门、分支机构、子公司等组成部分负责财务报表和内部控制，注册会计师应按照中国注册会计师审计准则第1401号利用其他注册会计师的工作的规定确定自己是否可以担任主审注册会计师，

8、是否可以利用其他注册会计师的工作。第六节确定重要性级别第二十条在内部控制审计中，注册会计师应使用与财务报表审计相同水平的重要性。第七节企业使用服务机构的注意事项第二十一条在内部控制审计中，如果服务机构进行企业交易，履行委托责任，则该服务机构的服务可能影响企业的内部控制。在这种情况下，注册会计师应按照中国注册会计师审计准则第1212号对被审计单位使用服务机构的考虑的规定处理。第四章审计实施第一节总体要求第二十二条管理人员进行的内部控制评价，应在管理环境(也称为内部环境)的基础上，集中生产和运营活动，并采取控制手段。因此，在内部控制审计中，注册会计师应根据风险评估，选择使用自上而下方法进行测试的控

9、制。第23条由上而下的方法根据以下想法展开：(a)在财务报表一级初步了解内部控制的整体风险；(b)确认企业一级的控制；(3)确认重要账户、公告及相关确认；(4)了解虚假报告的可能来源。(e)选择测试控制。由上而下的方法是注册会计师选择控制以识别和测试风险的方法，但不一定是审计工作的执行顺序。第二节标识企业级控制第二十四条注册会计师要检验企业层面的控制，这对评价内部控制的有效性有重要影响。对企业级控制的评估可以增加或减少对其他控制的本测试。第二十五条企业级控制包括：(a)与环境控制相关的控制；(b)管理层对高于控制的风险的控制；(c)企业的风险评估流程；(四)集中处理和控制，包括孔刘服务环境；(

10、5)监测管理成果的控制。(六)监督其他控制的控制，包括内部审计职能、审计委员会的活动和内部控制自我评价。(七)最终财政报告过程控制；(八)主要经营管理和风险管理实践的政策。第二十六条控制环境对保持有效的内部控制有重要影响，注册会计师要评价企业的控制环境。第二十七条期末财政报告流程对内部控制审计和财务报表审计有重大影响，CPA应评估期末财政报告流程。期末财政报告流程包括：(a)将交易总额登记到总账的程序；(b)与会计政策选择和应用有关的程序；(c)总账会计分录的编制、审批和其他处理程序；(四)调整财务报表的程序；(e)财务报表编制程序。最终财务报告流程通常发生在管理层评估日之后，因此注册会计师通

11、常只能在该日之后测试相关控制。第三节确定重要帐户、公告和相关确认第二十八条注册会计师应当确定重要账户、公告及相关验证。帐户或报表可能包含错误，如果错误报告单独或与其它错误报告一起对财务报表产生重大影响(多报告和多报告风险都需要考虑)，则该帐户或报表将标记为重要帐户或报告。要判断哪些账户或器材是重要账户，必须基于其固有风险，而不是相关控制的影响。如果认为财务报表可能包含一个或多个误报，如果该误报可能导致财务报表的主要误报，则视为相关确认。判断特定决定是否相关，应该基于固有风险，而不是相关控制的影响。第29条CPA必须从以下方面评估财务报表项目和注释的虚假风险，以确定重要帐户、公告和相关验证：(a

12、)账户的规模和组成；(b)容易出现误报的程度；(c)账户或报告中反映的交易的数量、复杂性和同质性；(四)账户或公告的性质；(e)与账户或公告相关的会计处理和报告的复杂性；(六)账户损失的风险；(七)因账户或报告反映的活动，有重大或债务的可能性；(八)有关当事人交易是否列入账户记录；(IX)与上一期间相比，帐户或发布特性的变化。第三十条注册会计师在识别重要账户、公告及相关验证时，还应掌握可能对财务报表产生重大影响的潜在错误报告的可能来源。Cpa可以考虑特定重要帐户或发布内容中可能出现错误的区域和原因，确定潜在错误的可能来源。第31条在内部控制审核中，CPA确定在确定重要帐户、公告和相关验证(如财

13、务报表审核中所考虑的)时需要评估的风险因素。因此，两次审计中确定的重要帐户、公告和相关确认必须相同。在财务报表审核中，CPA可以实施对非关键帐户、公告和相关确认的实际程序。第三十二条如果潜在的重要账户或申报的各组成部分存在重大风险差异，企业可以徐璐使用其他控制措施应对这种风险，注册会计师必须单独处理。第四节理解错误报告的可能来源。第三十三条注册会计师应执行以下任务，了解潜在错误报告的可能来源，选择考试控制。(a)了解与相关确认相关的交易的处理过程，包括如何创建、批准、处理和记录适用的交易。(b)验证注册会计师已确定的业务流程中可能发生关键错误报告(尤其是欺诈引起的错误报告)的部分。(3)确定管

14、理层用于处理这些潜在错误报告的控制。(四)确定管理层用于及时防止或发现导致财务报表重大错误的未授权资产的收购、使用或报废的控制。第三十四条注册会计师必须理解信息技术对企业业务流程的影响。注册会计师应按照中国注册会计师审计准则第1211号了解被审计单位及其环境并评估重大错报风险的规定考虑信息技术对内部控制和风险评估的影响。第35条穿行测试通常是完成本准则第33条中规定的工作的最有效的方法。行程测试是跟踪从发生开始最终反映在财务报表中的交易的整个处理过程。注册会计师在执行穿行测试时必须使用与企业员工相同的文件和信息技术。在执行穿行测试时，通常需要同时使用询问合适的人、观察操作活动、确认相关文档和重

15、新运行控制的程序。第三十六条在执行移动路径测试时，注册会计师可以询问企业员工对规定程序和控制的程度，以便对特定交易进行重要处理。结合行程测试的其他程序，这些导航问题可以帮助注册会计师充分理解业务流程，控制设计错误或美钻失踪记重要部分。第v部分选择测试控制第三十七条注册会计师应评价在各有关评价中确定的误报风险的控制是否充分，选择对评价结论形成有重要影响的控制进行测试。第三十八条在特定相关识别的情况下，可以采取多种措施控制评价的虚假报告风险。相反，可以潜在控制与评估相关的多种验证的错误报告风险。注册会计师不必测试与特定承认相关的所有控制。第三十九条在决定是否检验控制时，注册会计师应考虑是否适当应对

16、与该控制的分类和名称无关的单独或与其他控制一起评估的特定相关虚假陈述的危险。第VI节测试控制设计的有效性第四十条注册会计师应检验控制设计的有效性。如果拥有必要权限和专业能力的人实现法规遵从性目标，有效地防止或发现可能导致财务报表中重大虚假报告的错误或舞弊，则相应的控制是有效设计的。第四十一条注册会计师在测试控制设计的效果时，应综合利用询问合适人选、观察经营活动、检查相关文件的程序。行程测试通常足以评估控制设计的效果。第七节测试控制操作的效果第四十二条注册会计师应检验控制操作的效果。控件按设计运行时，如果提交者具有必要的授权和专业能力，则该控件有效。第四十三条注册会计师在测试控制运行的效果时，要综合利用询问适当的人，观察经营活动，检查相关文件，重新执行控制的程序。第八节风险与取得证据的关系第四十四条在测试选定控制的有效性时，注册会计师应根据控制相关风险确定应掌握的证据。与控制相关的风险包括可能无效的风险控制和无效控制导致重大缺陷的风险。与控制相关的风险越高，注册会计师需要确保更多的证据。Cpa必须取得每个相关决定的控制有效性证据，对内部控制的整体效果提出意见，但不负责对个别控制的效果提出意见。第四十五条得出无效运行结论所需的证据通常少于得出其运行有效结论所需的证据。第四十六条下列因素影响与控制相关的风险：(a)控制要防止或发现的错误