第二十章,企业内部控制审计

　 第二十章

　企业内部控制审计

　1. 财务报告内部控制企业层面控制包括: （1）与控制环境相关的控制（诚胜治管组人，见 D7.4J）

　（2）针对管理层和治理层凌驾于控制之上的风险而设计的内部控制 （3）被审计单位的风险评估过程 （4）对内部信息传递和期末财务报告流程的控制 （5）对控制有效性的内部监督（即监督其他控制的控制）和内部控制评价。

　（6）集中化的处理和控制。

　（7）监控经营成果的控制。

　（8）重大经营控制和风险管理实务的政策。交易层面控制包括：

　（1）授权与审批 （2）信息技术应用控制 （3）实物控制 （4）复核和调节 2. 财务报告内部控制审计的基本要求

　（1）财务报告内部控制审计是服务的核心要求，内部控制审计严格限定在财务报告内

　部控制审计。

　（2）内部控制审计基准日，即最近一个会计期间截止日。

　（3）财务报告内部控制审计意见覆盖的范围是对财务报告内部控制效性发表审计意见；

　对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷予以披露。

　3. 内部控制审计重点领域的确定与关注

　注册会计师应当更多地关注内部控制审计的高风险领域，而没有必要测试那些即使有

　缺陷、也不可能导致财务报表重大错报的控制。

　对于内部控制可能存在重大缺陷的领域，注册会计师应给予充分的关注，具体表现在: 对相关的内部控制亲自进行测试而非利用他人工作；在接近内部控制评价基准日的时间测试内部控制；选择更多的子公司或业务部门进行测试；增加相关内部控制的控制测试量等。

　4. 内部控制审计具体审计计划

　具体审计计划应当体现下列程序的性质、时间安排和范围: （1）了解和识别内部控制的程序； （2）测试控制设计有效性的程序； （3）测试控制运行有效性的程序。5. 自上而下方法的要求与步骤

　注册会计师应当采用自上而下的方法选择拟测试的控制。自上而下的方法分为下列步 骤: （1）从财务报表层次初步了解内部控制整体风险； （2）识别、了解和测试企业层面控制； （3）识别重要账户列报及其相关认定； （4）了解潜在错报的来源并识别相应的控制；

　（5）选择拟测试的控制。

　6. 识别重要账户或列报及其相关认定

　超过财务报表整体重要性的账户或列报，无论是在内部控制审计还是财务报表审计中，

　通常情况下被认定为重要账户或列报。金额超过财务报表整体重要性越多，被认定为重要账户或列报的可能性就越大。但账户或列报的金额超过财务报表整体重要性，并不必然表明其属于重要账户或列报。

　即使账户或列报从金额上看并不重大，但注册会计师可能因为固有风险或舞弊风险[不

　考虑控制风险]的影响而将其确定为重要账户或列报。

　在识别重要账户、列报及其相关认定时，注册会计师不应考虑控制的影响，因为内部

　控制审计的目标本身就是评价控制的有效性。

　7. 穿行测试

　实施穿行测试时往往综合运用询问、观察、检查相关文件记录和重新执行。

　下列特定情况下，注册会计师一般会实施穿行测试：

　（1）存在较高固有风险的复杂领域； （2）以前年度审计中识别出的缺陷（需要考虑缺陷的严重程度）； （3）由于引人新的人员、新的系统、收购和采取新的会计政策而导致流程发生重大变

　化。

　如注册会计师首次接受委托执行内部控制审计，通常预期会对重要流程实施穿行测试。

　一般而言，对每个重要流程，选取一笔交易或事项实施穿行测试即可。

　8. 选择拟测试的控制

　对于每个重要账户和列报相关的所有相关认定，至少应当有一个对应的关键控制。注册会计师没有责任对单项控制的有效性发表意见，没有必要测试相关认定的所有控 制。

　选取拟测试的控制时，通常不会选取整个流程中的所有控制。如果识别并选取了能够 充分应对重大错报风险的控制，则不需要再测试针对同样认定的其他控制，更无须测试那

　 些即使有缺陷也合理预期不会导致财务报表重大错报的控制。

　如果存在多个控制均应对相关认定的重大错报风险，注册会计师通常会选择那个（些）

　能够以最有效的方式予以测试的控制。

　9. 控制测试程序的类型

　测试控制有效性的审计程序类型包括询问、观察、检查和重新执行。

　重新执行的目的是评价控制的有效性而不是测试特定交易或余额的存在或准确性，即

　定性而非定量，一般不必选取大量的项目，也不必特意选取金额重大的项目进行测试。

　10. 控制测试的时间安排

　注册会计师应当获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据。

　对控制有效性测试的实施时间越接近基准日，提供的控制有效性的审计证据越有力。

　对控制有效性的测试涵盖的期间越长，提供的控制有效性的审计证据越多。

　在整合审计中，控制测试所涵盖的期间应尽量与财务报表审计中拟信赖内部控制的期

　间保持一致。注册会计师应当在下列两个因素之间作出平衡，以确定测试的时间: （1）尽量在接近基准日实施测试； （2）实施的测试需要涵盖足够长的期间。

　由于期末财务报告流程通常发生在管理层评价日之后，注册会计师一般只能在该日之

　后测试与期末财务报告流程相关控制。

　11. 将期中测试结果前推至基准日

　在将期中测试结果前推至基准日时，应当考虑下列因素以确定需获取的补充审计证据: （1）基准日之前测试的特定控制，包括与控制相关的风险、控制的性质和测试的结果；

　（2）期中获取的有关审计证据的充分性和适当性； （3）剩余期间的长短； （4）期中测试之后，内部控制发生重大变化的可能性； （5）基于对控制的依赖程度拟减少进一步实质性程序的程度（仅适用于整合审计）； （6）控制环境。

　12. 对控制变化的考虑

　（1）如果被审计单位对控制作出改变，注册会计师应当考虑这些变化并适当予以记录。

　（2）如认为新的控制能够满足控制的相关目标且已运行足够长时间，足以使注册会计

　师通过实施控制测试评估其设计和运行的有效性，则不再需要测试被取代控制。

　（3）如果被取代控制的运行有效性对财务报表审计的控制风险评估具有重要影响，应

　当适当地测试被取代控制。

　13. 对自动化控制的测试

　对于自动化应用控制，一旦确定在执行，通常无须扩大控制测试的范围，但需要考虑

　执行下列测试以确定该控制持续有效运行: （1）测试与该应用控制有关的一般控制的运行有效性； （2）确定系统是否发生变动，如果发生变动，是否存在适当的系统变动控制； （3）确定对交易的处理是否使用授权批准的软件版本。14. 确定控制偏差的影响

　如果发现的控制偏差是系统性偏差或人为有意造成的偏差，应当考虑舞弊的可能迹象

　以及对审计方案的影响,并考虑控制偏差对下列各项的影响：

　（1）与所测试控制相关的风险的评估； （2）需要获取的审计证据； （3）控制运行有效性的结论。

　15. 评价偏差是否为控制缺陷的考虑因素

　（1）该偏差是如何被发现的 （2）该偏差是与某一特定的地点、流程或应用系统相关，还是对被审计单位有广泛影

　响。

　（3）该控制出现偏差的严重程度。

　（4）与控制运行频率相比，偏差发生的频率大小。

　16. 将检查性控制作为主要手段的条件

　如果确信存在以下情况，就可以将检查性控制作为一个主要手段来合理保证某特定认

　定发生重大错报的可能性较小：

　（1）控制所检查的数据是完整、可靠的； （2）控制对于发现重大错报足够敏感； （3）发现的所有重大错报都将被纠正。17. 控制缺陷的评价

　注册会计师应当评价控制缺陷的严重程度，但不要求寻找单独或组合起来不构成重大

　缺陷的控制缺陷。

　控制缺陷的严重程度取决于：

　（1）控制不能防止或发现并纠正账户或列报发生错报的可能性大小。通常，小金额错

　报比大金额错报发生的概率更高。注册会计师无需量化这种可能性。

　（2）控制缺陷导致的潜在错报的金额大小。与错报是否发生无关。18. 评价发生错报的可能性应当考虑的风险因素

　（1）所涉及的账户、列报及其相关认定的性质[类别]； （2）相关资产或负债易于发生损失或舞弊的可能性； （3）确定相关金额时所需判断的主观程度、复杂程度和范围； （4）该项控制与其他控制的相互作用或关系； （5）控制缺陷的相互作用； （6）控制缺陷在未来可能产生的影响。

　19. 评价潜在错报的金额大小应当考虑的因素

　（1）受控制缺陷影响的财务报表金额或交易总额。

　（2）在本期或预计的未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量。

　在评价潜在错报的金额大小时，账户余额或交易总额的最大多报金额通常是已记录的 金额，但其最大少报金额可能超过已记录的金额。20. 评价缺陷之间的组合影响

　（1）如果多项控制缺陷影响财务报表的同一账户或列报，错报发生的概率会增加。

　（2）存在多项控制缺陷时，即使单项不重要，但组合起来也可能构成重大缺陷。

　（3）确定是否构成重大缺陷时，应当评价补偿性控制的影响,考虑补偿性控制是否有足

　够的精确度以防止或发现并纠正可能发生的重大错报。

　21. 控制缺陷的整改

　如果在基准日前进行整改，整改后的控制需要运行足够长的时间，才能使注册会计师

　得出其是否有效的审计结论。

　如果被审计单位在基准日前对存在重大缺陷的内部控制进行了整改，但新控制尚没有

　运行足够长的时间，注册会计师应当将其视为内部控制在基准日存在重大缺陷。

　22. 无法表示意见

　（1）只要认为审计范围受到限制将导致无法获取发表审计意见所需的充分、适当的审

　计证据，不必执行任何其他工作即可出具无法表示意见的审计报告。不能发表保留意见。

　（2）发表无法表示意见时，报告日期应为注册会计师已就该报告中陈述的内容获取充

　分、适当的审计证据的日期。该日期可能不同于财务报表审计报告的日期。

　（3）出具无法表示意见的内部控制审计报告时，不应指明所执行的程序，也不应描述

　内控审计的特征，以免误解。

　（4）发表无法表示意见时，如在已执行的有限程序中发现内部控制存在重大缺陷，应

　当对重大缺陷做出详细说明。

　（5）发表无法表示意见时，应就未能完成整个内部控制审计工作的情况，以书面形式

　与管理层和治理层进行沟通。

　23. 否定意见

　（1）如果认为内部控制存在一项或多项重大缺陷，除非审计范围受到限制，应当对内

　部控制发表否定意见。

　（2）否定意见的内部控制审计报告还应当包括重大缺陷的定义、重大缺陷的性质及其

　对内部控制的影响程度。

　（3）如果重大缺陷尚未包含在企业内部控制评价报告中，应当在内部控制审计报告的

　意见部分中说明。

　（4）如果企业内部控制评价报告中包含了重大缺陷，但未在所有重大方面公允反映，

　应在内部控制审计报告的意见部分中说明，并公允表达有关重大缺陷的必要信息。

　（5）注册会计师应当以书面形式与治理层沟通。

　（6）如管理层已识别出上述重大缺陷，并将其包含在企业内部控制评价报告中，也应

　当在内部控制审计报告的意见部分指出，并说明重大缺陷在所有重大方面得到公允反映。

　24. 发表否定意见时说明对财报审计的影响

　（1）在对内部控制发表否定意见的同时，如对财务报表发表非无保留意见，应当且只

　需在内部控制审计报告的意见部分增加以下类似简要说明: “在 XX 公司 XX 年财务报表审计中，我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。” （2）在对内部控制发表否定意见的同时，如对财务报表发表无保留意见，财务报表使

　用者可能难以理解。应在内部控制审计报告的意见部分增加以下类似详细说明：

　“在 XX 公司 XX 年财务报表审计中，我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。本报告并未对我们在 XX 年X 月X 日对 X 公司 XX 年财务报表出具的审计报告产生影响。” 25. 无保留意见

　（1）如果内部控制审计范围未受限制，内部控制也不存在重大缺陷，注册会计师应当

　发表无保留意见。

　（2）如果内部控制审计和财务报表审计整合进行，注册会计师对内部控制审计报告和

　财务报表审计报告需要签署相同的日期。

　26. 强调事项段

　如果认为内部控制虽然不存在重大缺陷，但仍有一项或多项重大事项需要提请内部控

　制审计报告使用者注意，应当在内部控制审计报告中增加强调事项段予以说明。

　具体来说，如果存在下列情况，应当考虑在内部控制审计报告中增加强调事项段：

　1.确定企业内部控制评价报告对要素的列报不完整或不恰当。

　2.注册会计师知悉在基准日并不存在、但在期后期间发生的事项，且这类期后事项对

　内部控制有重大影响。

　3.法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制的评价范围。

　27. 描述段

　对于审计过程中注意到的非财务报告内部控制重大缺陷，注册会计师无需对其发表审计意见，但应当以书面形式与企业董事会和经理层沟通,并在内部控制审计报告中增加非财

　 务报告内部控制重大缺陷描述段。