企业内部控制鉴证指引征求意见稿.docx

1、企业内部控制鉴证指引征求意见稿企业内部控制鉴证指引（征求意见稿）第一章 总 则第一条 为了指导注册会计师执行企业内部控制（以下简称内部控制）鉴证业务，明确工作要求，保证执业质量，根据国家有关法律法规的要求，制定本指引。第二条本指引所称内部控制与财政部发布的企业内部控制基本规范中的定义一致。本指引所称企业内部控制鉴证，是指会计师事务所接受委托，对企业与财务报告相关的内部控制的有效性进行鉴证，并发表鉴证意见。第三条 按照国家有关法律法规的要求，设计、实施和维护有效的内部控制，并评估其有效性是企业管理层的责任。按照本指引的要求，在实施鉴证工作的基础上对内部控制有效性发表鉴证意见，是注册会计师的责任。

2、内部控制鉴证不能减轻管理层的责任。第四条注册会计师在执行内部控制鉴证业务时，应当将本指引与中国注册会计师执业准则体系中相关准则结合使用。第五条 注册会计师执行内部控制鉴证业务，应当遵守职业道德规范，恪守独立、客观、公正的原则，保持专业胜任能力和应有的关注，并对执业过程中获知的信息保密。第六条 在确定内部控制是否有效时，注册会计师应当考虑内部控制是否能够为企业财务报告的可靠性以及按照适用的会计准则和相关会计制度的规定编制财务报表提供合理保证。如果存在一个或多个重大缺陷，内部控制应被认定为无效；即使财务报表不存在重大错报，内部控制也可能存在重大缺陷。第七条注册会计师应当计划和执行内部控制鉴证工作，

3、获取充分、适当的证据，为截至评估日内部控制是否存在重大缺陷提供合理保证，并作为支持鉴证意见的基础。第八条 注册会计师应当按照财政部发布的企业内部控制基本规范和相关规范执行内部控制鉴证业务。第二章 制定鉴证计划第九条 注册会计师应当恰当计划内部控制鉴证工作，并对助理人员进行适当督导。第十条 在制定鉴证计划时，注册会计师应当评价下列事项对企业财务报表和内部控制是否具有重要影响，以及对注册会计师程序的影响：（一）注册会计师执行其他业务时了解的内部控制情况；（二）影响企业所在行业的事项，包括财务报告实务、经济状况、法律法规和技术革新；（三）与企业业务相关的事项，包括组织结构、经营特征和资本结构；（四）

4、企业经营活动或内部控制最近发生变化的程度；（五）注册会计师对重要性、风险以及与确定重大缺陷相关的其他因素所作的初步判断；（六）以前与审计委员会或管理层沟通的控制缺陷；（七）企业注意到的法律法规事项；（八）针对内部控制可获得的相关证据的类型和范围；（九）对内部控制有效性作出的初步判断；（十）与评价财务报表发生重大错报的可能性和内部控制有效性相关的公共信息；（十一）注册会计师对客户和业务的接受与保持进行评价时了解的与企业相关的风险情况；（十二）经营活动的相对复杂程度。第十一条注册会计师应当充分认识风险评估在内部控制鉴证中的作用，以适当的风险评估为基础，有效地计划和执行内部控制鉴证工作。注册会计师应

5、当根据风险评估结果，确定重要的账户、列报和相关认定，选择拟进行测试的控制，以及确定针对特定控制所需收集的证据。第十二条 内部控制不能防止或发现由舞弊导致的错报的风险，通常高于不能防止或发现由错误导致的错报的风险，注册会计师应当高度关注与舞弊风险相关的领域。注册会计师没有必要测试那些即使存在缺陷，也不会有合理可能性造成财务报表重大错报的控制。第十三条 在进行风险评估以及确定必要的程序时，注册会计师应当考虑企业组织结构、经营单位或流程的复杂程度可能产生的重要影响和作用。第十四条 企业组织结构、经营单位或流程的复杂程度可能影响企业实现控制目标的方式。企业的规模和复杂程度也可能影响错报风险以及应对该风

6、险所需实施的控制。注册会计师应当根据企业情况调整工作范围，以获取充分、适当的证据，支持发表的意见。第十五条 如果企业有多个经营场所或经营单位，注册会计师应当在评估与经营场所或经营单位相关的财务报表发生重大错报风险的基础上，确定拟对哪些经营场所或经营单位实施控制测试以及如何进行测试。第十六条 在计划和执行内部控制鉴证工作时，注册会计师应当考虑舞弊风险的评估结果。注册会计师应当评价企业的控制是否足以应对已识别的由舞弊导致的重大错报风险，并评价为应对管理层凌驾于其他控制之上的风险设计的控制。企业为应对这些风险可能采取的控制包括：（一）针对重大的非常规交易，尤其是针对那些导致记账分录延迟或异常的交易的

7、控制；（二）针对期末财务报告过程中编制的记账分录和调整分录的控制；（三）针对关联方交易的控制；（四）与管理层的重大估计相关的控制；（五）能够缓解管理层伪造或不恰当操纵财务结果的动机及压力的控制。第十七条 为了实现内部控制鉴证的目的，如果利用他人的工作能够提供内部控制有效性的证据，注册会计师应当考虑利用企业内部审计人员、其他人员以及在管理层或审计委员会指导下工作的第三方的工作，或者接受他们的直接帮助。第十八条 在内部控制鉴证中，注册会计师可能利用其他人员工作的程度还受到与被测试控制有关的风险的影响。随着与某项控制有关的风险的增加，注册会计师应当相应地扩大对该项控制执行测试的范围。第十九条 在计划

8、内部控制鉴证工作时，注册会计师应当使用与财务报表审计相同的重要性水平。第三章 实施鉴证工作第一节 企业层面控制的测试第二十条 注册会计师应当测试企业是否存在对内部控制具有重要影响且有效的企业层面控制。注册会计师对企业层面控制的评价能够增加或减少其本应对其他控制进行的测试。第二十一条 企业层面的控制在性质和精准度方面的差异对控制及其测试有下列影响：（一）某些企业层面的控制，例如某些内部环境的控制，对及时防止或发现错报的可能性具有重要而间接的影响；（二）某些企业层面的控制能够监督其他控制的有效性。当这些控制运行有效时，注册会计师可以减少对其他控制的测试；（三）某些企业层面的控制在精确运行时足以及时

9、防止或发现一个或多个相关认定中存在的错报。如果一项企业层面的控制足以应对已评估的错报风险，注册会计师不必测试与该风险相关的额外控制。第二十二条 企业层面的控制包括：（一）与内部环境相关的控制；（二）针对管理层凌驾于内部控制之上而采用的控制；（三）企业的风险评估；（四）集中处理和控制，包括共享的服务环境；（五）监督经营结果的控制；（六）对其他控制的监督控制，包括内部审计职能部门、审计委员会等的活动；（七）针对期末财务报告流程的控制；（八）应对重大经营控制及风险管理实务的政策。第二十三条 由于内部环境对维护有效的内部控制具有重要影响，注册会计师应当评价企业的内部环境。在评价内部环境时，注册会计师应

10、当评估下列事项：（一）管理层的理念和经营风格是否能够促进有效的内部控制；（二）健全的诚实正直和道德价值观（特别是高层管理人员的）是否已经形成并为大家所了解；（三）审计委员会是否了解并履行对财务报告和内部控制的监督责任。第二十四条 由于期末财务报告流程对财务报告以及注册会计师针对内部控制和发表的意见具有重要影响，注册会计师应当对期末财务报告流程进行评价。第二十五条 在评价期末财务报告流程时，注册会计师应当评估下列事项：（一）企业为生成年报和季报而使用的流程的输入、执行的程序及输出；（二）期末财务报告流程中涉及信息技术的程度；（三）管理层参与期末财务报告流程的具体人员；（四）期末财务报告流程涉及的

11、经营场所；（五）调整分录及合并分录的类型；（六）管理层、董事会和审计委员会对期末财务报告流程进行监督的性质及范围。第二节 流程层面控制的测试第二十六条 注册会计师应当识别重大的账户、列报及相关认定。第二十七条 在识别重大账户、列报及相关认定时，注册会计师应当评价财务报表及相关列报的性质以及数量方面的风险因素。与识别重大账户、列报及相关认定有关的风险因素包括：（一）账户的规模和构成；（二）对因错误或舞弊导致的错报的敏感度；（三）通过账户处理或在列报中反映的交易的业务量、复杂性及同质性；（四）账户或列报的性质；（五）与账户或列报相关的会计处理及报告的复杂程度；（六）账户容易发生损失的程度；（七）由

12、账户或列报中反映的活动引起重大或有负债的可能性；（八）账户中关联方交易的存在情况；（九）账户或列报特征与前期相比发生的变化。第二十八条 注册会计师应当根据在特定的重大账户或列报中错报发生的领域和原因，确定潜在错报的可能来源。第二十九条 注册会计师确定的重大账户、列报及相关认定应当与财务报表审计中确定的相同。第三十条 当一家企业有多个经营场所或经营单位时，注册会计师应当在合并财务报表的基础上识别重大的账户、列报及相关认定。第三十一条 在了解潜在错报的可能来源作为选择拟测试控制的基础时，注册会计师应当实现下列目标：（一）了解与相关认定有关的交易的流程，包括这些交易如何生成、批准、处理及记录；（二）

13、验证注册会计师已在企业流程中识别出的重大错报发生环节（包括舞弊导致的错报）；（三）识别管理层用于应对这些潜在错报的控制；（四）识别管理层用于及时防止或发现XX的、将导致财务报表发生重大错报的采购、使用或处置企业资产的控制。第三十二条 注册会计师应当按照中国注册会计师审计准则第1211号了解被审计单位及其环境并评估重大错报风险的规定，考虑信息技术对内部控制及拟评估风险的影响。第三十三条 在执行穿行测试时，注册会计师使用的凭证和信息技术应当与企业员工使用的凭证和信息技术相同，以追踪某笔交易发生后经过企业的流程处理（包括信息系统），直至被反映在企业财务记录中的整个过程。注册会计师在执行穿行测试程序时

14、，通常需要综合运用询问、观察、检查相关凭证以及重新执行控制等程序。第三十四条 在针对重要处理程序执行穿行测试时，注册会计师可以询问企业员工对企业规定程序及控制所要求内容的了解程度。第三十五条 注册会计师应当测试对得出控制是否有效结论有重要影响的控制。第三十六条 对于特定的相关认定，可能有多项控制应对评估的错报风险，注册会计师没有必要测试与某个相关认定有关的所有控制。第三十七条 在确定某项控制是否作为拟测试的控制时，注册会计师应当考虑该项控制单独或连同其他控制是否足以应对特定相关认定的评估的错报风险。第三十八条 在测试控制设计的有效性时，注册会计师应当确定企业的内部控制，如果由拥有有效执行控制所

15、需的授权和专业胜任能力的人员按规定执行，能否实现控制目标和有效地防止或发现可能导致财务报表发生重大错报的错误或舞弊。第三十九条 在测试控制设计的有效性时，注册会计师应当综合运用询问适当人员、观察企业经营活动和检查相关文件等程序。第四十条 在测试控制运行的有效性时，注册会计师应当确定控制是否正在按照设计运行、执行人员是否拥有有效执行控制所需的授权和专业胜任能力。第四十一条 在测试控制运行的有效性时，注册会计师应当综合运用询问适当人员、观察企业经营活动、检查相关文件以及重新执行内部控制等程序。第四十二条 在确定拟测试的控制及其数量时，注册会计师应当考虑与拟测试控制相关的风险。与拟测试控制相关的风险越大，注册会计师需要获取的证据就越多。得