1企业内部控制审计指引实施意 见讲解2013年10月2主讲人简介唐建华，中注协专业标准与技术指导部主任3我国原有的内部控制鉴证规范2001年中注协发布内部控制审核指导意见 最大特点是年报审计与内部控制审核独立进行。 没有提出自上而下和风险导向的审计思路4我国内部控制鉴证规范 企业内部控制审计指引2010年4月 企业内部控制审计指引实施意见2011年10月 比美国PCAOB 5 略严，更具体 企业内部控制审计工作底稿编制指南2011年 12月（参考资料，不具有强制性）5与内部控制审核指导意见的关系 明确业务性质是审计 采用整合审计框架 明确了审计思路 自上而下的方法 风险导向审计 利用他人的工作6二、审计思路7内部控制审计工作做到什么份上？ 审计对象是保证财务报表质量的一套机制 要求覆盖每个相关认定 要求覆盖财务报表层次和认定层次的重大 错报风险8审计思路 风险导向审计 自上而下的审计方法9风险导向审计 其实质在于：以财务报告内部控制重大缺陷风险的识别 、评估和应对作为审计工作主线，在风险评估的基础上 ，将审计资源投放在高风险领域，以提高审计效率和效 果。 审计风险内部控制存在重大缺陷的风险检查风险 内部控制存在重大缺陷的风险=控制无效的风险无效 导致重大缺陷的风险10风险导向审计 风险评估的导向作用 确定重要账户 确定相关认定 确定控制测试的性质、时间安排和范围 确定利用他人工作的程度 集团测试范围的确定11识别、了解和评价企业整体层面控制的设计有效性从财务报表层次识别重大账户识别相关认定识别重要的业务流程和主要的交易类别识别流程中错报可能发生的环节识别和测试预防或及时发现错报发生的控制（业务 流程层面的控制）选择拟测试的控制从报表层次出发,了解内部控制整体风险自 上 而 下 的 方 法12三、关于签订业务约定书13业务约定书 独立性（从网络所范畴考虑） 内部控制审计的前提条件 适用的内部控制标准 就被审计单位认可并理解其责任与治理层和 管理层达成一致意见（自我评价工作） 签定单独的业务约定书 审计范围 财务报告内部控制（需要梳理） 豁免14四、计划审计工作15五、实施审计工作16实施审计工作 控制有效性的内涵 控制有效性测试的性质、时间安排和范围 与控制相关的风险17六、连续审计时的特殊考虑18 人工控制（每年必须测试） 自动化控制（可采用对标策略） 增加测试的不可预测性19七、集团审计时的特殊考虑20八、评价控制缺陷21九、完成审计工作22完成审计工作 获取管理层声明 沟通缺陷 评价企业内部控制评价报告对相关法律法规规 定的要素的列报是否完整和恰当23获取管理层声明注册会计师应当获取经被审计单位签署的书面声明。书面声明的内容应当 包括： 被审计单位董事会认可其对建立健全和有效实施内部控制负责； 被审计单位已对内部控制进行了评价，并编制了内部控制评价报告； 被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作 为评价的基础； 被审计单位根据内部控制标准评价内部控制有效性得出的结论； 被审计单位已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷 和重要缺陷； 被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞弊，以及其他不会导 致财务报表发生重大错报，但涉及管理层、治理层和其他在内部控制中具有重要作用的员 工的所有舞弊； 注册会计师在以前年度审计中识别出的且已与被审计单位沟通的重大缺陷和重要缺陷是否 已经得到解决，以及哪些缺陷尚未得到解决； 在基准日后，内部控制是否发生变化，或者是否存在对内部控制产生重要影响的其他因素 ，包括被审计单位针对重大缺陷和重要缺陷采取的所有纠正措施。24沟通缺陷 对于重大缺陷和重要缺陷，注册会计师应当以 书面形式与管理层和治理层沟通。书面沟通应 当在注册会计师出具内部控制审计报告之前进 行。 注册会计师应当以书面形式与管理层沟通其在 审计过程中识别的所有其他内部控制缺陷，并 在沟通完成后告知治理层。在进行沟通时，注 册会计师无需重复自身、内部审计人员或被审 计单位其他人员以前书面沟通过的控制缺陷。25内部控制审计与管理层自我评估的关系 企业内部控制审计报告应当与内部控制评价报 告同时对外披露或报送。 在企业治理层的监督下，按照企业内部控制 基本规范和相关规定，设计、实施和维护有 效的内部控制，并评价其有效性是企业管理层 的责任。按照本指引的要求，在实施审计工作 的基础上对内部控制的有效性发表审计意见， 是注册会计师的责任。 内部控制审计不能减轻企业管理层的责任。注 册会计师在内部控制审计或财务报表审计中实 施的程序并不是企业内部控制的组成部分。26十、出具审计报告27无保留意见审计报告 内部控制不存在重大缺陷 不存在审计范围受到限制的情况28无保留意见审计报告股份有限公司全体股东：按照企业内部控制审计指引及中国注册 会计师执业准则的相关要求，我们审计了股 份有限公司（以下简称公司） 年 月 日的财务报告内部控制的有效性。一、企业对内部控制的责任按照企业内部控制基本规范、企业内 部控制应用指引、企业内部控制评价指引 的规定，建立健全和有效实施内部控制，并 评价其有效性是企业董事会的责任。29无保留意见审计报告二、注册会计师的责任我们的责任是在实施审计工作的基础上，对 财务报告内部控制的有效性发表审计意见，并 对发现的非财务报告内部控制的重大缺陷进行 描述。30无保留意见审计报告三、内部控制的固有局限性内部控制具有固有局限性，存在不能防止和 发现错报的可能性。此外，由于情况的变化可 能导致内部控制变得不恰当，或对控制政策和 程序遵循的程度降低，根据内部控制审计结果 推测未来内部控制的有效性具有一定风险。31无保留意见审计报告四、财务报告内部控制审计意见我们认为，于 年 月 日， 公司按照企业内部控制基本规范和相 关规定在所有重大方面保持了有效的财务 报告内部控制。32无保留意见审计报告五、非财务报告内部控制的重大缺陷（如果有）在内部控制审计过程中，我们注意到公 司的非财务报告内部控制存在重大缺陷描述该 缺陷的性质及其对实现相关控制目标的影响程 度。由于存在上述重大缺陷，我们提醒本报告 使用者注意相关风险。需要指出的是，我们并 不对公司的非财务报告内部控制发表意见或 提供保证。本段内容不影响对财务报告内部控 制有效性发表的审计意见。33带强调事项段的审计报告 无保留意见是前提 强调事项34带强调事项段的情形 管理层内部控制评价报告的表达不完整或不恰 当如果确定管理层评估报告的表达不完整或不恰当，注册 会计师应当在审计报告中增加强调事项段，说明这一情 况并解释得出该结论的理由。35带强调事项段的情形 期后事项注册会计师可能知悉在管理层评估日并不存在、 但在期后期间发生的事项。如果这类期后事项 对内部控制有重大影响，注册会计师应当在审 计报告中增加强调事项段，以描述该事项及其 影响，或提醒审计报告使用者关注管理层内部 控制评估报告中披露的该事项及其影响。 36带强调事项段的情形 其他信息存在对事实重大错报如果认为其他信息含有对事实的重大错报，注册 会计师应当就此与管理层进行讨论。如果讨论后仍认为存在对事实的重大错报，注册 会计师应当以书面形式，将其看法告知管理层 和审计委员会。37带强调事项段内部控制审计报告以上内容同标准审计报告六、强调事项我们提醒内部控制审计报告使用者关 注，（描述强调事项的性质及其对内部控 制的重大影响）。本段内容不影响已对财 务报告内部控制发表的审计意见。38否定意见审计报告 内部控制存在一项或多项重大缺陷 不存在审计范围受到限制的情况39否定意见内部控制审计报告以上内容同标准审计报告四、导致否定意见的事项重大缺陷，重大缺陷是内部控制中存在的、可能导致 不能及时防止或发现并纠正财务报表出现重大错报的一 项控制缺陷或多项控制缺陷的组合。指出注册会计师已识别出的重大缺陷，并说明重大 缺陷的性质及其对财务报告内部控制的影响程度。 有效的内部控制能够为财务报告及相关信息真实完 整提供合理保证，而上述重大缺陷使公司内部控制失 去这一功能。40否定意见内部控制审计报告管理层已识别出上述重大缺陷，并将其包含 在企业内部控制评价报告中，但未在所有重大 方面得到公允反映。（上述重大缺陷尚未包括 在企业内部控制评价报告中管理层已识别出 上述重大缺陷，并将其包括在企业内部控制评 价报告中，且已在所有重大方面得到公允反映 ）在公司年财务报表审计中，我们已经考 虑了上述重大缺陷对审计程序的性质、时间安 排和范围的影响。本报告并未对我们在 年 月 日对公司年财务报表出具的审计报 告产生影响。41否定意见内部控制审计报告五、财务报告内部控制审计意见我们认为，由于存在上述重大缺陷及其对实 现控制目标的影响，于 年 月 日， 公司未能按照企业内部控制基本规范和 相关规定在所有重大方面保持有效的财务报告 内部控制。42否定意见内部控制审计报告六、非财务报告内部控制的重大缺陷参见标准内部控制审计报告相关段落 表述。43无法表示意见的审计报告 审计范围受到限制 如果已实施的审计程序识别出内部控 制重大缺陷，应当在报告中指明44无法表示意见内部控制审计报告股份有限公司全体股东：我们接受委托，对股份有限公司（以下简 称公司）的财务报告内部控制进行审计。删除注册会计师的责任段，“一、企业对内 部控制的责任”和“二、内部控制的固有局限性” 参见标准内部控制审计报告相关段落表述。45无法表示意见内部控制审计报告三、导致无法表示意见的事项描述审计范围受到限制的具体情况。46无法表示意见内部控制审计报告四、财务报告内部控制审计意见由于审计范围受到上述限制，我们未能实施 必要的审计程序以获取发表意见所需的充分、 适当证据，因此，我们无法对公司于 年 月 日的财务报告内部控制的有效性发表 意见。47无法表示意见内部控制审计报告五、识别的内部控制重大缺陷（如果有）重大缺陷是内部控制中存在的、可能导致不能及时 防止或发现并纠正财务报表出现重大错报的一项控制缺 陷或多项控制缺陷的组合。尽管我们无法对公司财务报告内部控制的有效性 发表意见，但在我们实施的有限程序的过程中，发现了 以下重大缺陷：指出注册会计师已识别出的重大缺陷，并说明重大 缺陷的性质及其对财务报告内部控制的影响程度。 有效的内部控制能够为财务报告及相关信息真实完 整提供合理保证，而上述重大缺陷使公司内部控制失 去这一功能。 48无法表示意见内部控制审计报告六、非财务报告内部控制的重大缺陷参见标准内部控制审计报告相关段落 表述。49十一、财务报告内部控制审计 与财务报表审计的整合50(一)财务报表审计中对内部控 制的了解和测试51审计目标 第二十五条 在执行财务报表审计工作时， 注册会计师的总体目标是： （一）对财务报表整体是否不存在由于舞弊 或错误导致的重大错报获取合理保证，使得注 册会计师能够对财务报表是否在所有重大方面 按照适用的财务报告编制基础编制发表审计意 见； （二）按照审计准则的规定，根据审计结果 对财务报表出具审计报告，并与管理层和治理 层沟通。审计思路 要求注册会计师在审计实务中切实贯彻风 险导向审计理念，以重大错报风险的识别 、评估和应对作为审计工作的主线。 审计风险模型审计风险=重大错报风险检查风险重大错报风险=固有风险控制风险5354应 对 评 估 的 重 大 错 报 风 险财务报表层次认定层次55认 定 层 次 重 大