第二十章  企业内部控制审计

 

「考点1」内部控制审计的概念（★★★）

（一）内部控制审计的含义

内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。

（二）内部控制审计的范围

尽管这里提及的是内部控制审计，但是无论从国外审计规定和实践看，还是从我国的相关规定看，注册会计师执行的内部控制审计都是严格限定在财务报告内部控制审计，因此，审计意见覆盖的范围是：

1.针对财务报告内部控制，注册会计师对其有效性发表审计意见；

2.针对非财务报告内部控制，注册会计师针对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

知识拓展：财务报告内部控制

财务报告内部控制是指公司的董事会、监事会、管理层及全体员工实施的旨在合理保证财务报告及相关信息真实、完整而设计和运行的内部控制，以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。

注册会计师考虑某项控制是否是财务报告内部控制的关键依据是控制目标，财务报告内部控制是那些与企业的财务报告的可靠性目标相关的内部控制。例如。企业建立的与客户定期对账和差异处理的相关控制与应收账款的存在、权利和义务等认定相关，属于财务报告内部控制。又如，企业为达到最佳库存的经营目标而建立的对存货采购间隔时间进行监控的相关控制与经营效率效果相关，而不直接与财务报表的认定相关，属于非财务报告内部控制。

当然，相当一部分的内部控制能够实现多种目标，主要与经营目标或合规性目标相关的控制可能同时也与财务报告可靠性目标相关。因此，不能仅因为某一控制与经营目标或合规性目标相关而认定其属于非财务报告内部控制。

（三）内部控制审计基准日

内部控制审计基准日，是指注册会计师评价内部控制在某一时日是否有效所涉及的基准日，也是被审计单位评价基准日，即最近一个会计期间截止日。

注册会计师对特定基准日内部控制的有效性发表意见，并不意味着注册会计师只测试基准日这一天的内部控制，而是需要考查足够长一段时间内部控制设计和运行的情况。

对控制有效性的测试涵盖的期间越长，提供的控制有效性的审计证据越多。

在整合审计中，控制测试所涵盖的期间应当尽量与财务报表审计中拟信赖内部控制的期间保持一致。

【提示】所谓整合审计，是指财务报表审计和内部控制的审计同时进行。

「考点2」计划审计工作（★）

（一）计划审计工作时应当考虑的事项

①与企业相关的风险

②相关法律法规和行业概况

③企业组织结构、经营特点和资本结构等相关重要事项

④企业内部控制最近发生变化的程度

⑤与企业沟通过的内部控制缺陷

⑥重要性、风险等与确定内部控制重大缺陷相关的因素

⑦对内部控制有效性的初步判断

⑧可获取的、与内部控制有效性相关的证据的类型和范围

注册会计师综合上述考虑以及借鉴以前年度的经验，形成对企业内部控制有效性的初步判断。对于内部控制可能存在重大缺陷的领域，注册会计师应给予充分的关注，具体表现在：（1）对相关的内部控制亲自进行测试而非利用他人工作；（2）在接近内部控制评价基准日的时间测试内部控制；（3）选择更多的子公司或业务部门进行测试；（4）增加相关内部控制的控制测试范围等。

（二）总体审计策略和具体审计计划

总体审计策略用以总结计划阶段的成果，确定审计的范围、时间和方向，并指导具体审计计划的制定。

表  总体审计策略和具体审计计划体现的内容

总体审计策略体现的内容	具体审计计划体现的内容
①确定审计业务的特征，以界定审计范围 ②明确审计业务的报告目标，以计划审计的时间安排和所需沟通的性质 ③根据职业判断，考虑用以指导项目组工作方向的重要因素 ④考虑初步业务活动的结果，并考虑对被审计单位执行其他业务时获得的经验是否与内部控制审计业务相关 ⑤确定执行业务所需资源的性质、时间安排和范围	①了解和识别内部控制的程序的性质、时间安排和范围 ②测试控制设计有效性的程序的性质、时间安排和范围 ③测试控制运行有效性的程序的性质、时间安排和范围

「考点3」选择拟测试的控制——自上而下的方法（★★★）

自上而下的方法始于财务报表层次，从注册会计师对财务报告内部控制整体风险的了解开始，然后，将关注重点放在企业层面的控制上，并将工作逐渐下移至重要账户、列报及其相关认定。随后，确认其对被审计单位业务流程中风险的了解，并选择能足以应对评估的每个相关认定的重大错报风险的控制进行测试。

（一）识别、了解和测试企业层面控制

1.企业层面控制的内涵

企业的内部控制分为企业层面控制和业务流程、应用系统或交易层面的控制两个层面。

企业层面的控制通常在比业务流程更高的层面上乃至整个企业范围内运行，其作用比较广泛，通常不局限于某个具体认定。

企业层面控制	①与控制环境相关的控制；
	②针对管理层和治理层凌驾于控制之上的风险而设计的控制；
	③被审计单位的风险评估过程；
	④对内部信息传递和期末财务报告流程的控制；
	⑤对控制有效性的内部监督和内部控制评价；
	⑥集中化的处理和控制（包括共享的服务环境）、监控经营成果的控制以及针对重大经营控制及风险管理实务的政策。

2.企业层面控制对其他控制及其测试的影响

不同的企业层面控制在性质和精确度上存在差异，注册会计师应当从下列方面考虑这些差异对其他控制及其测试的影响∶

（1）某些企业层面控制，例如某些与控制环境相关的控制，对重大错报是否能够被及时防止或发现的可能性有重要影响，虽然这种影响是间接的，但这些控制可能影响注册会计师拟测试的其他控制及其对其他控制所执行程序的性质、时间安排和范围。

（2）某些企业层面控制能够监督其他控制的有效性。这些控制本身并非精确到足以及时防止或发现相关认定的重大错报。当这些控制运行有效时，注册会计师可以减少原本拟对其他控制的有效性进行的测试。

（3）某些企业层面控制本身能精确到足以及时防止或发现一个或多个相关认定中存在的重大错报。如果一项企业层面控制足以应对已评估的重大错报风险，注册会计师可能可以不必测试与该风险相关的其他控制。

正是由于企业层面控制的上述作用，注册会计师应当识别、了解和测试对内部控制有效性结论有重要影响的企业层面控制。注册会计师对企业层面控制的评价，可能增加或减少本应对其他控制所进行的测试。此外，由于对企业层面控制的评价结果将影响注册会计师测试其他控制的性质、时间安排及范围，所以注册会计师可以考虑在执行业务的早期阶段对企业层面控制进行测试。在完成对企业层面控制的测试后，注册会计师可以根据测试结果评价被审计单位的企业层面控制是否有效，并且计划需要测试的其他控制及对其他控制所执行程序的性质、时间安排和范围。

（二）识别重要账户、列报及其相关认定（重要）

注册会计师应当基于财务报表层次识别重要账户、列报及其相关认定。

概念	重要账户或列报	如果某账户或列报可能存在一个错报，该错报单独或连同其他错报将导致财务报表发生重大错报，则该账户或列报为重要账户或列报
	相关认定	如果某财务报表认定可能存在一个或多个错报，这个或这些错报将导致财务报表发生重大错报，则该认定为相关认定
考虑因素【重点】	①定量	超过财务报表整体重要性的账户，无论是在内部控制审计，还是在财务报表审计中，通常情况下被认定为重要账户 但一个账户或列报的金额超过财务报表整体重要性，并不必然表明其属于重要账户或列报，还要考虑定性问题
	②定性	即使账户或列报从金额上看并不重大，但注册会计师可能因为固有风险或舞弊风险的影响而将其确定为重要账户或列报 例如，某负债类账户金额不重大，但很可能被显著低估，注册会计师因而将其确定为重要账户
	①注册会计师不仅需要在重要账户或列报层面考虑风险，还需要深入账户或列报的明细项目 ②注册会计师应当依据其固有风险，而不应考虑相关控制的影响，因为内部控制审计的目标本身就是评价控制的有效性 ③注册会计师还应当确定重大错报的可能来源 ④考虑以前年度审计中了解到的情况影响注册会计师对固有风险的评估 ⑤应当评价的风险因素，与财务报表审计中考虑的因素相同。因此，在这两种审计中识别的重要账户、列报及其相关认定应当相同

（三）了解潜在错报的来源并识别相应的控制

1.注册会计师应当进一步了解潜在错报的来源，并为选择拟测试的控制奠定基础。

2.穿行测试通常是实现上述目标和评价控制设计的有效性以及确定控制是否得到执行的有效方法。

注册会计师一般会实施穿行测试的情况包括：

①存在较高固有风险的复杂领域；

②以前年度审计中识别出的缺陷（需要考虑缺陷的严重程度）；

③由于引入新的人员、新的系统、收购和采取新的会计政策而导致流程发生重大变化。

一般而言，对每个重要流程，选取一笔交易或事项实施穿行测试即可。如果被审计单位采用集中化的系统为多个组成部分执行重要流程，则可能不必在每个重要的经营场所或业务单位选取一笔交易或事项实施穿行测试。

（四）选择拟测试的控制

1.选择拟测试控制的基本要求

注册会计师应当针对每一相关认定获取控制有效性的审计证据，以便对内部控制整体的有效性发表意见，但没有责任对单项控制的有效性发表意见。

注册会计师没有必要测试与某些相关认定有关的所有控制。

在确定是否测试某项控制时，注册会计师应当考虑该项控制单独或连同其他控制，是否足以应对评估的某项相关认定的错报风险，而不论该项控制的分类和名称如何。

2.选择拟测试的控制的考虑因素

注册会计师在选取拟测试的控制时，通常不会选取整个流程中的所有控制，而是选择关键控制，即能够为一个或多个重要账户或列报的一个或多个相关认定提供最有效果或最有效率的证据的控制。选取关键控制需要注册会计师作出职业判断。

在选择关键控制时，注册会计师需要考虑∶

①哪些控制是不可缺少的?

②哪些控制直接针对相关认定?

③哪些控制可以应对错误或舞弊导致的重大错报风险?

④控制的运行是否足够精确?

注册会计师无须测试那些即使有缺陷也合理预期不会导致财务报表重大错报的控制。

注册会计师应当选择测试那些对形成内部控制审计意见有重大影响的控制。对于与所有重要账户和列报相关的所有相关认定，注册会计师都需要取得关于控制设计和运行是否有效的证据。如果存在多个控制均应对相关认定的重大错报风险，注册会计师通常会选择那个（些）能够以最有效的方式予以测试的控制。

管理层在执行内部控制自我评价时选择测试的控制，可能多于注册会计师认为为了评价内部控制的有效性有必要测试的控制。

「考点4」测试控制的有效性（★）

（一）内部控制的有效性

内部控制的有效性包括内部控制设计的有效性和内部控制运行的有效性。

1.控制设计的有效性

如果某项控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定的程序和要求执行，能够实现控制目标，从而有效地防止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊，则表明该项控制的设计是有效的。

2.控制运行的有效性

如果某项控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力，能够实现控制目标，则表明该项控制的运行是有效的。

如果被审计单位利用第三方的帮助完成一些财务报告工作，注册会计师在评价负责财务报告及相关控制的人员的专业胜任能力时，可以一并考虑第三方的专业胜任能力。

注册会计师获取的有关控制运行有效性的审计证据包括：

①控制在所审计期间的相关时点是如何运行的；

②控制是否得到一贯执行；

③控制由谁或以何种方式执行。

（二）与控制相关的风险

在测试所选定控制的有效性时，注会应当根据与控制相关的风险，确定所需要获取的审计证据。

与控制相关的风险包括一项控制可能无效的风险，以及如果该控制无效，可能导致重大缺陷的风险。与控制相关的风险越高，注册会计师需要获取的审计证据就越多。

（三）控制测试的性质

询问	仅实施询问程序不能为某一特定控制的有效性提供充分、适当的证据。注册会计师通常需要获取其他信息以印证询问所取得的信息，这些其他信息包括被审计单位其他人员的佐证，控制执行时所使用的报告、手册或其他文件等
观察	观察是测试运行不留下书面记录的控制的有效方法。观察也可运用于测试对实物的控制。观察可以提供执行有关过程或程序的审计证据，但是观察所提供的审计证据，仅仅限于观察发生的时点，而且被观察人员的行为可能因被观察而受到影响，这也会使观察提供的审计证据受到限制
检查	检查通常用于确认控制是否得以执行。但是有些情况下，存在书面证据不一定表明控制一定有效
重新执行	通常只有当综合运用询问、观察和检查程序仍无法获取充分、适当的证据时，注册会计师才会考虑重新执行程序 重新执行的目的是评价控制的有效性而不是测试特定交易或余额的存在或准确性，即定性而非定量，因此一般不必选取大量的项目，也不必特意选取金额重大的项目进行测试

（四）控制测试的时间安排

基本要求	对于内部控制审计业务，注会应当获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据  对控制有效性的测试涵盖的期间越长，提供的控制有效性的审计证据越多。 对控制有效性测试的实施时间越接近基准日，提供的控制有效性的审计证据越有力 【提示】在整合审计中，注册会计师控制测试所涵盖的期间应尽量与财务报表审计中拟拟信赖内部控制的期间保持一致。
	为了获取充分、适当的审计证据，注册会计师应当在下列两个因素之间作出平衡，以确定测试的时间∶ ①尽量在接近基准日实施测试 ②实施的测试需要涵盖足够长的期间
期中测试的两种方法	在整合审计中测试控制在整个会计年度的运行有效性时： ①注册会计师可以进行期中测试，然后对剩余期间实施前推测试 ②将样本分成两部分，一部分在期中测试，剩余部分在临近年末的期间测试 与所测试的控制相关的风险越低，注册会计师需要对该控制获取的审计证据就越少，可能对该控制实施期中测试就可以为其运行有效性提供充分、适当的审计证据。相应地，如果与所测试的控制相关的风险越高，需要获取的证据就越多，注册会计师应当取得一部分更接近基准日的证据。
	如果已获取有关控制在期中运行有效性的审计证据，注册会计师应当确定还需要获取哪些补充审计证据，以证实剩余期间控制的运行情况（前推测试）。在将期中测试结果前推至基准日时，注册会计师应当考虑下列因素以确定需获取的补充审计证据∶ ①基准日之前测试的特定控制，包括与控制相关的风险、控制的性质和测试的结果 ②期中获取的有关审计证据的充分性和适当性 ③剩余期间的长短 ④期中测试之后，内部控制发生重大变化的可能性 ⑤注册会计师基于对控制的依赖程度拟减少进一步实质性程序的程度（仅适用于整合审计） ⑥控制环境
	如果信息技术一般控制有效且关键的自动化控制未发生任何变化，注册会计师就不需要对该自动化控制（应用控制）实施前推测试
是否测试被取代的控制	如果注册会计师认为新的控制能够满足控制的相关目标，而且新控制已运行足够长的时间，足以使注册会计师通过实施控制测试评估其设计和运行的有效性，则注册会计师不再需要测试被取代的控制的设计和运行的有效性
	但是如果被取代的控制的运行有效性对注册会计师执行财务报表审计时的控制风险评估具有重要影响，注册会计师应当适当地测试这些被取代的控制的设计和运行的有效性
以前审计获取的有关控制运行有效性的审计证据	对于财务报表审计，注册会计师可以在某些方面利用以前审计中获取的有关控制运行有效性的审计证据 对于内部控制审计，除自动化控制以外，注册会计师不能利用以前审计中获取的有关控制运行有效性的审计证据，而是需要每年获取有关控制有效性的审计证据
针对信息技术一般控制和自动控制的前推程序（新增）	如果信息技术一般控制有效且关键的自动控制未发生任何变化，注册会计师就不需要对该自动控制实施前推测试。 但是，如果注册会计师在期中对重要的信息技术一般控制实施了测试，则通常还需要对其实施前推程序。 如果重要的信息技术一般控制无效，且无法获得其他替代证据以证实关键的自动控制自其上次被测试后未发生变化，注册会计师在执行内部控制审计时，通常就需要获取有关该自动控制在接近基准日的期间内是否有效运行的证据。

（五）控制测试的范围

注册会计师在测试控制的运行有效性时，应当在考虑与控制相关的风险的基础上，确定测试的范围（样本规模）。

1.测试人工控制的最小样本规模

在测试人工控制时，如果采用检查或重新执行程序，注册会计师测试的最小样本规模区间参见表如下。

表  测试人工控制的最小样本规模区间

控制运行频率	控制运行的总次数	测试的最小样本规模区间
每年1次	1	1
每季1次	4	2
每月1次	12	2～5
每周1次	52	5～15
每天1次	250	20～40
每天多次	大于250次	25～60

注：测试的最小样本规模是指所需测试的控制运行次数。

2.测试自动应用控制的最小样本规模

信息技术处理具有内在一贯性，除非系统发生变动，一项自动应用控制应当一贯运行。对于一项自动应用控制，一旦确定被审计单位正在执行该控制，注册会计师通常无须扩大控制测试的范围。

3.发现偏差时的处理

如果发现控制偏差，注册会计师应当评价控制偏差的影响。评价控制偏差的影响需要注册会计师运用职业判断，并受到控制的性质和所发现偏差数量的影响。如果发现的控制偏差是系统性偏差或人为有意造成的偏差，注册会计师应当考虑舞弊的可能迹象以及对审计方案的影响。

定量	由于有效的内部控制不能为实现控制目标提供绝对保证，单项控制并非一定要毫无偏差地运行，才被认为有效
定性	系统性偏差或人为有意造成的偏差（舞弊）	扩大样本规模无效
	不是系统性偏差或人为有意造成的偏差	可以扩大样本规模进行测试

「考点5」企业层面控制的测试（★）

（一）与控制环境相关的控制

控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和行动。

在进行内部控制审计时，注册会计师可以首先了解控制环境的各个要素，在此过程中注册会计师应当考虑其是否得到执行。因为管理层可能建立了合理的内部控制，但却未能有效执行。在了解的基础上，注册会计师可以选择那些对财务报告内部控制有效性的结论产生重要影响的企业层面控制进行测试。

（二）针对管理层和治理层凌驾于控制之上的风险而设计的控制

针对凌驾风险采用的控制包括但不限于：

①针对重大的异常交易（尤其是那些导致会计分录延迟或异常的交易）的控制；

②针对关联方交易的控制；

③与管理层的重大估计相关的控制；

④能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制。

⑤建立内部举报投诉制度。

（三）被审计单位的风险评估过程

风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。

首先，被审计单位需要有充分的内部控制去识别来自外部环境的风险，比如监管环境和经营环境的变化、新的或升级的信息系统等方面。

其次，充分且适当的风险评估过程应当包括对重大风险的估计，对风险发生可能性的评定以及应对方法的确定。

（四）对内部信息传递和期末财务报告流程的控制

期末财务报告流程对内部控制审计和财务报表审计有重要影响，注册会计师应当对期末财务报告流程进行评价。

由于期末财务报告流程通常发生在管理层评价日之后，因此注册会计师一般只能在该日之后测试相关控制。

（五）对控制有效性的内部监督和内部控制评价

监督层面：控制监督可以在企业层面或业务流程层面上实施。

监督方式：通过持续的监督和管理活动、审计委员会或内部审计部门的活动，以及自我评价的方式等来实现。

监督内容：对运营报告的复核和核对、与外部人士的沟通、其他未参与控制执行人员的监控活动，以及信息系统所记录的数据与实物资产的核对等。

（六）集中化的处理和控制

采用集中化管理可以降低各个下属单位或分部负责人对该单位或分部财务报表的影响，并且可能会使财务报表相关的内部控制更为有效，所以集中化的财务管理可能有助于降低财务报表错报的风险。

注册会计师可以考虑在较早的阶段执行对共享服务中心内部控制的有效性测试。

（七）监督经营成果的控制

管理层对于各个单位或业务部门经营情况的监控是企业层面的主要内部控制之一。

（八）针对重大经营控制及风险管理实务的政策

保持良好的内部控制的企业通常针对重大经营控制及风险管理实务采用相应的内部控制政策，考虑因素（包括但不限于）：

（1）企业是否建立了重大风险预警机制，明确界定哪些风险是重大风险，哪些事项一旦出现必须启动应急处理机制；

（2）企业是否建立了突发事件应急处理机制，确保突发事件得到及时妥善处理。

「考点6」业务流程、应用系统或交易层面的控制的测试（★）

（一）了解企业经营活动和业务流程

注册会计师可以通过检查被审计单位的手册和其他书面指引获得有关信息，还可以通过询问和观察来获得全面的了解。

向负责处理具体业务人员的上级进行询问通常更加有效。

（二）识别可能发生错报的环节

注册会计师需要了解和确认被审计单位应在哪些环节设置控制，以防止或发现并纠正各重要业务流程可能发生的错报。

（三）识别和了解相关控制

针对业务流程中容易发生错报的环节，注册会计师应当确定：

①被审计单位是否建立了有效的控制，以防止或发现并纠正这些错报；

②被审计单位是否遗漏了必要的控制；

③是否识别出可以最有效测试的控制。

主要方法是询问被审计单位各级别的负责人员。通常先询问级别较高的人员，再询问级别较低的人员。业务流程越复杂，注册会计师越有必要询问信息系统人员。

（四）记录相关控制

注册会计师应将其记录于工作底稿，同时记录由谁执行该控制。

「考点7」信息系统控制的测试（★）

（一）信息技术产生的风险

在信息技术环境下，传统的手工控制越来越多地被自动控制所替。但是，信息技术在改进企业控制的同时，也产生了特定的风险。

• 信息技术内部控制测试

1.信息技术一般控制测试

信息系统一般控制是指为了保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施。

2. 信息技术应用控制测试

信息技术应用控制一般要经过输入、处理及输出等环节，与手工控制一样，信息技术应用控制同样关注信息处理目标的四个要素∶完整性、准确性、授权和访问限制。

3. 信息技术应用控制和信息技术一般控制的关系

如果带有关键的编辑检査功能的应用系统所依赖的计算机环境存在信息技术一般控制的缺陷，注册会计师可能就不能信赖上述编辑检査功能按设计发挥作用。

 

「考点8」内部控制缺陷评价（★★★）

（一）控制缺陷的分类

 

按性质分	设计缺陷	缺少为实现控制目标所必需的控制，或现有控制设计不适当、即使正常运行也难以实现预期的控制目标
	运行缺陷	现存设计适当的控制没有按设计意图运行，或执行人员没有获得必要授权或缺乏胜任能力，无法有效地实施内部控制
按严重性分	重大缺陷	内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合
	重要缺陷	内部控制中存在的、其严重程度不如重大缺陷但足以引起负责监督被审计单位财务报告的人员（如审计委员会或类似机构)关注的一项控制缺陷或多项控制缺陷的组合
	一般缺陷	内部控制中存在的、除重大缺陷和重要缺陷之外的控制缺陷

 

（二）评价控制缺陷的严重程度

注册会计师应当评价其识别的各项控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成内部控制的重大缺陷。但是，在计划和实施审计工作时，不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。

表  控制缺陷的严重程度取决因素

影响因素	说明
控制不能防止或发现并纠正账户或列报发生错报的可能性的大小	①控制缺陷的严重程度与错报是否发生无关，而取决于控制不能防止或发现并纠正错报的可能性的大小 ②评价控制缺陷是否可能导致错报时，注会无需将错报发生的概率量化为某特定的百分比或区间 ③如果多项控制缺陷影响财务报表的同一账户或列报，错报发生的概率会增加
因一项或多项控制缺陷导致的潜在错报的金额大小	（1）在评价一项或多项控制缺陷导致的潜在错报的金额大小时，注册会计师应当考虑的因素包括： ①受控制缺陷影响的财务报表金额或交易总额 ②在本期或预计的未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量 （2）在评价潜在错报的金额大小时，账户余额或交易总额的最大多报金额通常是已记录的金额，但其最大少报金额可能超过已记录的金额 （3）小金额错报比大金额错报发生的概率更高

 

• 表明可能存在重大缺陷的迹象（新增）

如果注册会计师确定发现的一项控制缺陷或多项控制缺陷的组合将导致审慎的管理人员在执行工作时，认为自身无法合理保证按照适用的财务报告编制基础记录交易，应当将这一项控制缺陷或多项控制缺陷的组合视为存在重大缺陷的迹象。下列迹象可能表明内部控制存在重大缺陷:

(1)注册会计师 发现董事、监事和高级管理人员的任何舞弊;

(2)被审计单位重述以前公布的财务报表，以更正由于舞弊或错误导致的重大错报;

(3)注册会计师 发现当期财务报表存在错报，而被审计单位内部控制在运行过程中未能发现该错报;

(4)审计委员会和内部审计机构对内部控制的监督无效。

（四）内部控制缺陷的整改

如果被审计单位在基准日前对存在缺陷的控制进行了整改，整改后的控制需要运行足够长的时间，才能使注册会计师得出其是否有效的审计结论。

注册会计师应当根据控制的性质和与控制相关的风险，合理运用职业判断，确定整改后控制运行的最短期间（或整改后控制的最少运行次数）以及最少测试数量。

表 整改后控制运行的最短期间（或最少运行次数）和最少测试数量

	控制运行频率	整改后控制运行的最短期间或最少运行次数	最少测试数量
	每季1次	2个季度	2
每月1次		2个月	2
每周1次		5周	5
每天1次		20天	20
每天多次		25次（分布于涵盖多天的期间，通常不少于15天）	25

如果被审计单位在基准日前对存在重大缺陷的内部控制进行了整改，但新控制尚没有运行足够长的时间，注册会计师应当将其视为内部控制在基准日存在重大缺陷。

「考点9」完成内部控制审计工作（新增）

• 形成内部控制审计意见

注册会计师应当评价从各种来源获取的审计证据，包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷，形成对内部控制有效性的意见。在评价审计证据时，注册会计师应当查阅本年度涉及内部控制的内部审计报告或类似报告，并评价这些报告中指出的控制缺陷。

在对内部控制的有效性形成意见后，注册会计师应当评价企业内部控制评价报告对相关法律法规规定的要素的列报是否完整和恰当。

• 获取书面声明

注册会计师应当获取经被审计单位签署的书面声明。书面声明的内容应当包括：

1.被审计单位董事会认可其对建立健全和有效实施内部控制负责；

2.被审计单位已对内部控制进行了评价，并编制了内部控制评价报吿；

3.被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作为评价的基础；

4.被审计单位根据内部控制标准评价内部控制有效性得出的结论；

5.被审计单位已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷和重要缺陷；

6.被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞弊，以及其他不会导致财务报表发生重大错报，但涉及管理层、治理层和其他在内部控制中具有重要作用的员工的所有舞弊；

7.注册会计师在以前年度审计中识别出的且已与被审计单位沟通的重大缺陷和重要缺陷是否已经得到解决，以及哪些缺陷尚未得到解决；

8.在基准日后，内部控制是否发生变化，或者是否存在对内部控制产生重要影响的其他因素，包括被审计单位针对重大缺陷和重要缺陷采取的所有纠正措施。

如果被审计单位拒绝提供或以其他不当理由回避书面声明，注册会计师应当将其视为审计范围受到限制，解除业务约定或出具无法表示意见的内部控制审计报告。此外, 注册会计师应当评价拒绝提供书面声明这一情况对其他声明（包括在财务报表审计中获取的声明）的可靠性的影响。

• 沟通相关事项

对于重大缺陷和重要缺陷，注册会计师应当以书面形式与管理层和治理层沟通。书面沟通应当在注册会计师出具内部控制审计报告之前进行。

注册会计师应当以书面形式与管理层沟通其在审计过程中识别的所有其他内部控制缺陷，并在沟通完成后告知治理层。在进行沟通时，注册会计师无须重复自身、内部审计人员或被审计单位其他人员以前书面沟通过的控制缺陷。

虽然并不要求注册会计师执行足以识别所有控制缺陷的程序，但是，注册会计师应当沟通其注意到的内部控制的所有缺陷。内部控制审计不能保证注册会计师能够发现严重程度低于重大缺陷的所有控制缺陷。注册会计师不应在内部控制审计报告中声明，在审计过程中没有发现严重程度低于重大缺陷的控制缺陷。

「考点10」出具审计报告（★★★）

（一）审计报告的要素

内部审计报告包含要素

1.标题

2.收件人

3.引言段

4.企业对内部控制的责任段

5.注册会计师责任段

6.内部控制固有局限性的说明段

7.财务报告内部控制审计意见段

8.非财务报告内部控制重大缺陷描述段

9.注册会计师的签名和盖章

10. 会计师事务所的名称、地址及盖章

11.报告日期

 

（二）审计报告类型

在整合审计中，注册会计师在完成内部控制审计和财务报表审计后，应当分别对内部控制和财务报表出具审计报告，并签署相同的日期。

1.无保留意见的内部控制审计报告

如果符合下列所有条件，应当对财务报告内部控制出具无保留意见的内部控制审计报告：

（1）在基准日，被审计单位按照适用的内部控制标准的要求，在所有重大方面保持了有效的内部控制；

（2）注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作，在审计过程中未受到限制。

2.否定意见的内部控制审计报告

适用情形	如果认为内部控制存在一项或多项重大缺陷，除非审计范围受到限制，注册会计师应当对财务报告内部控制发表否定意见 【提示】如果审计范围受限，应该优先发表无法表示意见
内容	否定意见的内部控制审计报告还包括： ①重大缺陷的定义 ②重大缺陷的性质 ③对内部控制的影响程度
是否包含在企业内部控制评价报告中	包括	注册会计师仍应发表否定意见，但需在审计报告中提及评价报告的反映
	不包括	如重大缺陷尚未包含在评价报告中，应在内部控制审计报告中说明重大缺陷已经识别、但没有包含在企业内部控制评价报告中

3.无法表示意见的内部控制审计报告

适用情形	如果审计范围受到限制，注册会计师应当解除业务约定或出具无法表示意见的内部控制审计报告 豁免情形：如果法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制的评价范围，注册会计师可以不将这些实体纳入内部控制审计的范围。这种情况不构成审计范围受到限制
实施要点	只要认为审计范围受到限制将导致无法获取发表审计意见所需的充分、适当的审计证据，注册会计师不必执行任何其他工作即可对内部控制出具无法表示意见的内部控制审计报告
报告日期	内部控制审计报告的日期应当为注册会计师已就该报告中陈述的内容获取充分、适当的审计证据的日期
段落描述	发表无法表示意见时，不应在内部控制审计报告中指明所执行的程序，也不应描述内部控制审计的特征，以避免误解
已发现重大缺陷的处理	如果在已执行的有限程序中发现内部控制存在重大缺陷，应当在内部控制审计报告的“识别的财务报告内部控制重大缺陷”部分对重大缺陷做出详细说明（而非发表否定意见。无法表示意见优先于否定意见）

• 强调事项

强调事项	含义	如果认为内部控制虽然不存在重大缺陷，但仍有一项或多项重大事项需要提请内部控制审计报告使用者注意，注册会计师应当在内部控制审计报告中增加强调事项段予以说明。不影响对内部控制发表的审计意见
	应增加强调事项段的情形	如果确定企业内部控制评价报告对要素的列报不完整或不恰当，注册会计师应当在内部控制审计报告中增加强调事项段，说明这一情况并解释得出该结论的理由

 

• 非财务报告内部控制重大缺陷（新教材改编）

非财务报告内部控制重大缺陷	一般缺陷	注册会计师应当与企业进行沟通，提醒企业加以改进，但无须在内部控制审计报告中说明
	重要缺陷	注册会计师应当以书面形式与企业董事会和管理层沟通，提醒企业加以改进，但无须在内部控制审计报告中说明
	重大缺陷	注册会计师应当以书面形式与企业董事会和管理层沟通，提醒企业加以改进；同时应当在内部控制审计报告中増加非财务报吿内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报吿使用者注意相关风险，但无须对其发表审计意见。

• 对期后事项的考虑（新增）

在基准日后至审计报告日前（以下简称期后期间），内部控制可能发生变化，或出现其他可能对内部控制产生重要影响的因素。注册会计师应当询问是否存在这类变化或因素，并获取被审计单位关于这类变化或因素的书面声明。

 此外，注册会计师还应当考虑获取期后期间的其他文件，并按照《中国注册会计师审计准则第1332号一期后事项》的规定，对其进行检査。

如果知悉对基准日内部控制有效性有重大负面影响的期后事项，注册会计师应当对内部控制发表否定意见。如果注册会计师不能确定期后事项对内部控制有效性的影响程度，应当出具无法表示意见的内部控制审计报告。

如果管理层在评价报告中披露了基准日之后采取的整改措施，注册会计师应当在内部控制审计报告中指明不对这些信息发表意见。

注册会计师可能知悉在基准日并不存在、但在期后期间发生的事项。如果这类期后事项对内部控制有重大影响，注册会计师应当在内部控制审计报告中増加强调事项段, 描述该事项及其影响，或提醒内部控制审计报告使用者关注企业内部控制评价报告中披露的该事项及其影响。

在出具内部控制审计报告后，如果知悉在审计报告日已存在的、可能对审计意见产生影响的情况，注册会计师应当按照《中国注册会计师审计准则第1332号一期后事项》的相关规定处理。如果被审计单位更正以前公布的财务报表，注册会计师应当按照 《中国注册会计师审计准则第1332号一期后事项〉的相关规定重新考虑以前发表的内部控制审计意见的适当性。

「考点11」内部控制审计和财务报表审计的区别（新增）

内部控制审计是对内部控制的有效性发表意见，并对内部控制审计过程中注意到的 非财务报告内部控制重大缺陷进行披露；财务报表审计是对财务报表是否在所有重大方 面按照适用的财务报告编制基础编制发表审计意见。由于发表审计意见的对象不同，使得两者存在一定区别。

内部控制审计与财务报表审计的主要区别

主要区别	财务报表审计	内部控制审计
对内部控制进行了解和测试的目的	识别、评估和应对重大错报风险，据此确定实质性程序的性质、时间安排和范围，并获取与财务报表是否在所有重大方面按照适用的财务报告编制基础编制相关的审计证据，以支持对财务报表发表的审计意见	对内部控制的有效性发表审计意见
测试内部控制运行有效性的范围要求	当存在下列情形之一时，注册会计师应当设计和实施控制测试;（1）在评估认定层次重大错报风险时，预期控制运行有效;（2）仅实施实质性程序不能提供认定层次充分、适当的审计证据。如果以上两种情况均不存在，注册会计师可能对部分认定，甚至全部认定均不测试内部控制运行的有效性	针对所有重要账户和列报的每一相关认定获取控制设计和运行有效性的审计证据
测试内部控制的期间要求	（1）需要获取内部控制在整个拟信赖期间运行有效的审计证据。 （2）如果拟信赖的控制自上次测试后未发生变化，且不属于旨在减轻特别风险的控制，可以利用以前审计获取的有关控制运行有效性的审计证据，但每三年至少对控制测试一次	（1）需要获取内部控制在基准日前足够长的时间（可能短于整个审计期间）内运行有效的审计证据。 （2）不得采用"每三年至少对控制测试一次"的方法，应当在每一年度中测试内部控制（对自动控制在满足特定条件情况下所采用的与基准相比较策略除外）
评价控制缺陷	需要确定识别出的内部控制缺陷单独或连同其他缺陷是否构成值得关注的内部控制缺陷	应当评价识别出的内部控制缺陷是否构成一般缺陷、重要缺陷或重大缺陷
沟通控制缺陷	(1)应当以书面形式及时向治理层通报值得关注的内部控制缺陷。 (2)应当及时向相应层级的管理层通报下列内部控制缺陷: ①已向或拟向治理层通报的值得关注的内部控制缺陷，除非在具体情况下不适用直接向管理层通报，此项需采用书面形式通报; ②在审计过程中识别出的，其他方尚未向管理层通报而注册会计师根据职业判断认为足够重要从而值得管理层关注的内部控制其他缺陷，可以采用书面或口头形式	(1)对于重大缺陷和重要缺陷，以书面形式与治理层和管理层沟通，书面沟通应在注册会计师出具内部控制审计报告前进行；如果注册会计师认为审计委员会和内部审计机构对内部控制的监督无效，应当就此以书面形式直接与董事会沟通。 (2)以书面形式与管理层沟通在审计过程中识别的所有内部控制其他缺陷(包括注意到的非财务报告内部控制缺陷)，并在沟通完成后告知治理层
审计报告的形式和内容以及所包括的意见类型	(1)按照中国注册会计师审计准则的规定出具财务报表审计报告。 (2)审计意见类型包括无保留意见、保留意见、否定意见和无法表示意见	(1)按照《企业内部控制审计指引》和《企业内部控制审计指引实施意见》的规定出具内部控制审计报告。 (2)审计意见类型包括无保留意见、否定意见和无法表示意见