企业内部控制审计指引.docx

1、企业内部控制审计指引企业内部控制审计指引第一章总则第一条为了规范注册会计师执行企业内部控制审计业务,明确工作要求,保证执业质量,根据中国注册会计师鉴证业务基本准则与相关执业准则,制定本指引.第二条本指引所称内部控制审计,是指会计师事务所接受委托,对截至特定日期企业内部控制的有效性进行审计,并发表审计意见.本指引中内部控制审计的范围,主要是企业为了合理保证财务报告与相关信息真实完整、资产安全而设计和执行的内部控制.用以合理保证资产安全的内部控制,可能涉与合理保证经营效率和效果、经营管理合法合规的内部控制.注册会计师在内部控制审计或财务报表审计中实施的程序并不是企业内部控制的组成部分.第三条在企业

2、治理层的监督下,按照企业内部控制基本规范和相关规定,设计、实施和维护有效的内部控制,并评价其有效性是企业管理层的责任.按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任.内部控制审计不能减轻企业管理层的责任.第四条有效的内部控制能够为财务报告与相关信息真实完整、资产安全提供合理保证.如果存在一项或多项重大缺陷,内部控制应被认定为无效.即使财务报表不存在重大错报,内部控制也可能存在重大缺陷.第五条注册会计师应当计划和实施审计工作,获取充分、适当的证据,为截至特定日期内部控制是否不存在重大缺陷提供合理保证,并作为支持审计意见的基础.第二章整合审计第六条注册会

3、计师应当将内部控制审计与财务报表审计整合进行以下简称整合审计.内部控制审计和财务报表审计的目标不同.注册会计师应当计划和实施审计工作,以同时实现两者的目标.第七条在整合审计中,注册会计师应当计划和实施对控制设计和运行有效性的测试,以同时实现下列目标：一获取充分、适当的证据,支持其在内部控制审计中对内部控制的有效性发表的意见；二获取充分、适当的证据,支持其在财务报表审计中对内部控制的风险评估结果.第三章计划审计工作第一节 总体要求第八条注册会计师应当恰当地计划内部控制审计工作,并对助理人员进行适当的督导.第九条在计划整合审计工作时,注册会计师应当评价下列事项对财务报表和内部控制是否有重要影响,以

4、与有重要影响的事项将如何影响审计工作：一注册会计师执行其他业务时了解的情况；二在评价是否接受与保持客户和业务时,注册会计师了解的与企业相关的风险情况；三影响企业所处行业的事项,如行业财务报告惯例、经济状况和技术革新；四与企业相关的法律法规；五与企业经营相关的重要事项,包括组织结构、经营特征和资本结构；六经营活动的复杂程度；七经营活动或内部控制最近发生变化的程度；八注册会计师对重要性、风险以与与确定内部控制重大缺陷相关的其他因素所作的初步判断；九以前与审计委员会或管理层沟通过的控制缺陷；十可获取的、与内部控制有效性相关的证据的类型和范围；十一对内部控制有效性的初步判断；十二与评价财务报表发生重大

5、错报的可能性和内部控制有效性相关的公开信息.第二节 风险评估的作用第十条在内部控制审计中,注册会计师应当以风险评估为基础,确定重要账户、列报与其相关认定,选择拟测试的控制,以与确定针对特定控制所需收集的证据.第十一条内部控制的特定领域存在重大缺陷的风险越高,给予该领域的审计关注就越多.注册会计师应当更多地关注高风险领域,而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制.第十二条在进行风险评估以与确定审计程序时,注册会计师应当考虑企业组织结构、经营流程或业务单元的复杂程度可能产生的重要影响.第三节 调整审计工作第十三条企业组织结构、经营流程与业务单元的规模和复杂程度影响许多控制目

6、标的实现方式.注册会计师应当根据企业具体情况调整审计工作,以获取充分、适当的证据,支持发表的审计意见.第四节 应对舞弊风险第十四条在计划和实施内部控制审计工作时,注册会计师应当考虑财务报表审计中对舞弊风险的评估结果.在识别和测试企业层面控制以与选择其他控制进行测试时,注册会计师应当评价企业的控制是否足以应对已识别的、由舞弊导致的重大错报风险,并评价为应对管理层凌驾于控制之上的风险而设计的控制.第十五条在内部控制审计中,如果识别出旨在防止或发现舞弊的控制存在缺陷,注册会计师在财务报表审计中应当按照中国注册会计师审计准则第1141号财务报表审计中对舞弊的考虑的规定,在制定应对重大错报风险的方案时考

7、虑这些缺陷.第五节 利用其他相关人员的工作第十六条注册会计师应当评估是否利用他人包括企业的内部审计人员、其他人员以与在管理层或审计委员会指导下的第三方的工作以与利用的程度,以减少可能本应由注册会计师执行的工作.如果决定利用内部审计人员的工作,注册会计师应当按照中国注册会计师审计准则第1411号考虑内部审计工作的规定办理.第十七条如果拟利用他人的工作,注册会计师应当评价该人员的专业胜任能力和客观性,以确定可利用程度.第十八条在内部控制审计中,注册会计师利用他人工作的程度还受到与被测试控制相关的风险的影响.与某项控制相关的风险越高,可利用他人工作的程度就越低,注册会计师应当越多地亲自对该项控制进行

8、测试.第十九条如果其他注册会计师负责审计企业的一个或多个分部、分支机构、子公司等组成部分的财务报表和内部控制,注册会计师应当按照中国注册会计师审计准则第1401号利用其他注册会计师的工作的规定,确定自己能否担任主审注册会计师,以与是否利用其他注册会计师的工作.第六节 确定重要性水平第二十条在计划内部控制审计工作时,注册会计师应当使用与财务报表审计相同的重要性水平.第七节 对企业使用服务机构的考虑第二十一条在内部控制审计中,如果服务机构执行企业的交易,并履行受托责任,该服务机构的服务可能影响企业的内部控制.在这种情况下,注册会计师应当按照中国注册会计师审计准则第1212号对被审计单位使用服务机构

9、的考虑的规定办理.第四章 实施审计工作第一节 总体要求第二十二条管理层实施的内部控制评价应当以控制环境也称内部环境为基础,以生产经营活动为重点,并兼顾控制手段.相应地,在内部控制审计中,注册会计师应当以风险评估为基础,运用自上而下的方法,选择拟测试的控制.第二十三条自上而下的方法按照下列思路展开：一从财务报表层次初步了解内部控制整体风险；二识别企业层面控制；三识别重要账户、列报与其相关认定；四了解错报的可能来源；五选择拟测试的控制.自上而下的方法是注册会计师识别风险、选择拟测试的控制的思路,但并不一定是实施审计工作的顺序. 第二节 识别企业层面控制第二十四条注册会计师应当测试对评价内部控制有效

10、性有重要影响的企业层面控制.对企业层面控制的评价,可能增加或减少本应对其他控制进行的测试.第二十五条企业层面控制包括：一与控制环境相关的控制；二针对管理层凌驾于控制之上的风险而设计的控制；三企业的风险评估过程；四集中化的处理和控制,包括共享的服务环境；五监控经营成果的控制；六监督其他控制的控制,包括内部审计职能、审计委员会的活动与内部控制自我评价；七对期末财务报告流程的控制；八针对重大经营控制与风险管理实务而采取的政策.第二十六条控制环境对保持有效的内部控制有重要影响,注册会计师应当评价企业的控制环境.第二十七条期末财务报告流程对内部控制审计和财务报表审计有重要影响,注册会计师应当评价期末财务

11、报告流程.期末财务报告流程包括：一将交易总额登入总分类账的程序；二与会计政策的选择和运用相关的程序；三总分类账中会计分录的编制、批准等处理程序；四对财务报表进行调整的程序；五编制财务报表的程序.由于期末财务报告流程通常发生在管理层评价日之后,注册会计师一般只能在该日之后测试相关控制.第三节 识别重要账户、列报与其相关认定第二十八条注册会计师应当识别重要账户、列报与其相关认定.如果某账户或列报可能包含了一个错报,该错报单独或连同其他错报将对财务报表产生重大影响需要同时考虑多报和少报的风险,则该账户或列报为重要账户或列报.判断某账户或列报是否为重要账户或列报,应当依据其固有风险,而不应考虑相关控制

12、的影响.如果某财务报表认定可能包含了一个或多个错报,这个或这些错报将导致财务报表重大错报,则该认定为相关认定.判断某认定是否为相关认定,应当依据其固有风险,而不应考虑相关控制的影响.第二十九条为识别重要账户、列报与其相关认定,注册会计师应当从下列方面评价财务报表项目与附注的错报风险因素：一账户的规模和构成；二易于发生错报的程度；三账户或列报中反映的交易的业务量、复杂性与同质性；四账户或列报的性质；五与账户或列报相关的会计处理与报告的复杂程度；六账户发生损失的风险；七账户或列报中反映的活动引起重大或有负债的可能性；八账户记录中是否涉与关联方交易；九账户或列报的特征与前期相比发生的变化.第三十条在

13、识别重要账户、列报与其相关认定时,注册会计师还应当确定对财务报表产生重大影响的潜在错报的可能来源.注册会计师可通过考虑在特定的重要账户或列报中错报可能发生的领域和原因,确定潜在错报的可能来源.第三十一条在内部控制审计中,注册会计师在识别重要账户、列报与其相关认定时应当评价的风险因素,与财务报表审计中考虑的因素相同.因此,在这两种审计中识别的重要账户、列报与其相关认定应当相同.在财务报表审计中,注册会计师可能针对非重要账户、列报与其相关认定实施实质性程序.第三十二条如果某潜在重要账户或列报的各组成部分存在的风险差异较大,企业可能采用不同的控制以应对这些风险,注册会计师应当分别处理.第四节 了解错

14、报的可能来源第三十三条注册会计师应当执行下列工作,了解潜在错报的可能来源,以选择拟测试的控制：一了解与相关认定有关的交易的处理流程,包括这些交易如何生成、批准、处理与记录；二验证注册会计师已识别出的、业务流程中可能发生重大错报尤其是由舞弊导致的错报的环节；三识别管理层用于应对这些潜在错报的控制；四识别管理层用于与时防止或发现XX的、导致财务报表重大错报的资产取得、使用或处置的控制.第三十四条注册会计师应当了解信息技术如何影响企业的业务流程.注册会计师应当按照中国注册会计师审计准则第1211号了解被审计单位与其环境并评估重大错报风险的规定,考虑信息技术对内部控制与风险评估的影响.第三十五条穿行测

15、试通常是完成本指引第三十三条所规定工作的最有效方式.穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程.在执行穿行测试时,注册会计师使用的文件和信息技术应当与企业员工使用的相同.在执行穿行测试时,通常需要综合运用询问适当人员、观察经营活动、检查相关文件与重新执行控制等程序.第三十六条在执行穿行测试时,针对特定交易的重要处理环节,注册会计师可以询问企业员工对规定程序与控制的了解程度.这些试探性提问连同穿行测试中的其他程序,可以帮助注册会计师充分了解业务流程,识别必要控制设计无效或出现缺失的重要环节.第五节 选择拟测试的控制第三十七条注册会计师应当评价控制是否足以应对评估的每个相

16、关认定的错报风险,并选择其中对形成评价结论具有重要影响的控制进行测试.第三十八条对特定的相关认定而言,可能有多项控制应对评估的错报风险；反之,一项控制可能应对评估的多个相关认定的错报风险.注册会计师没有必要测试与某个相关认定有关的所有控制.第三十九条在确定是否测试某项控制时,不论该项控制的分类和名称如何,注册会计师应当考虑其单独或连同其他控制,是否足以应对评估的某项相关认定的错报风险.第六节 测试控制设计的有效性第四十条注册会计师应当测试控制设计的有效性.如果某项控制由拥有必要授权和专业胜任能力的人员按规定执行,能够实现控制目标,从而有效防止或发现可能导致财务报表重大错报的错误或舞弊,则表明该

17、项控制的设计是有效的.第四十一条注册会计师在测试控制设计的有效性时,应当综合运用询问适当人员、观察经营活动和检查相关文件等程序.执行穿行测试通常足以评价控制设计的有效性.第七节 测试控制运行的有效性第四十二条注册会计师应当测试控制运行的有效性.如果某项控制正在按照设计运行、执行人员拥有必要授权和专业胜任能力,则表明该项控制的运行是有效的.第四十三条注册会计师在测试控制运行的有效性时,应当综合运用询问适当人员、观察经营活动、检查相关文件以与重新执行控制等程序.第八节 风险与拟获取证据的关系第四十四条在测试所选定控制的有效性时,注册会计师应当根据与控制相关的风险,确定所需获取的证据.与控制相关的风

18、险包括控制可能无效的风险和因控制无效而导致重大缺陷的风险.与控制相关的风险越高,注册会计师需要获取的证据就越多.注册会计师应当针对每一相关认定获取控制有效性的证据,以便对内部控制整体的有效性发表意见,但没有责任对单项控制的有效性发表意见.第四十五条得出控制运行无效的结论所需的证据通常比得出其运行有效的结论所需的证据少.第四十六条下列因素影响与某项控制相关的风险：一该项控制拟防止或发现的错报的性质和重要程度；二相关账户、列报与其认定的固有风险；三相关账户或列报是否曾经出现错报；四交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的有效性产生不利影响；五企业层面控制特别是监督其他控制的控制

19、的有效性；六该项控制的性质与其执行频率；七该项控制对其他控制如控制环境或信息技术一般控制有效性的依赖程度；八该项控制的执行或监督人员的专业胜任能力,以与其中的关键人员是否发生变化；九该项控制是人工控制还是自动化控制；十该项控制的复杂程度,以与在运行过程中依赖判断的程度.第四十七条如果发现控制偏差,注册会计师应当确定该偏差对相关风险评估、需要获取的证据以与控制运行有效性结论的影响.第四十八条注册会计师通过测试控制有效性获取的证据,取决于实施程序的性质、时间和范围的组合.就单项控制而言,注册会计师应当根据与该项控制相关的风险,适当组合实施程序的性质、时间和范围,以获取充分、适当的证据.第四十九条注

20、册会计师测试控制有效性实施的程序,按提供证据的效力,由弱到强排序为：询问、观察、检查和重新执行.询问本身并不能为得出控制是否有效的结论提供充分、适当的证据.第五十条测试控制有效性实施的程序,其性质在很大程度上取决于拟测试控制的性质.某些控制可能存在文件记录,反映其运行的有效性,而另外一些控制,如管理理念和经营风格,可能没有书面的运行证据.对缺乏正式运行证据的企业或业务单元,注册会计师可以通过询问并结合运用观察活动、检查非正式的书面记录和重新执行某些控制,获取有关控制有效性的充分、适当的证据.第五十一条对控制有效性的测试涵盖的期间越长,提供的控制有效性的证据越多.对控制有效性的测试实施的时间越接

21、近管理层评价日,提供的控制有效性的证据越有力.为获取充分、适当的证据,注册会计师应当在下列两个因素之间作出平衡,以确定测试的时间：一尽量在接近管理层评价日实施测试；二实施的测试需要涵盖足够长的期间. 第五十二条在管理层评价日之前,管理层可能为提高控制效率、效果或弥补控制缺陷而改变企业的控制.如果新控制实现了相关控制目标,运行足够长的时间,且注册会计师能够测试并评价该项控制设计和运行的有效性,则无需测试被取代的控制.如果被取代控制设计和运行的有效性对控制风险的评估有重大影响,注册会计师应当测试该项控制的有效性.第五十三条针对某项控制,测试的范围越大,获取的证据越多.第五十四条注册会计师执行内部控

22、制审计业务通常旨在对特定日期通常为年末内部控制的有效性发表意见.如果已获取有关控制在期中运行有效性的证据,注册会计师应当确定还需要获取哪些补充证据,以证实在剩余期间控制的运行情况.第五十五条在将期中测试的结果更新至年末时,注册会计师应当考虑下列因素,以确定需获取的补充证据：一期中测试的特定控制的有关情况,包括与控制相关的风险、控制的性质和测试的结果；二期中获取的有关证据的充分性、适当性；三剩余期间的长短；四期中测试之后,内部控制发生重大变化的可能性.第九节 连续审计时的特殊考虑第五十六条在连续审计中,注册会计师在确定测试的性质、时间和范围时,应当考虑以前年度执行内部控制审计时了解的情况.第五十

23、七条除本指引第四十六条所列因素之外,下列因素也会影响连续审计中与某项控制相关的风险：一以前年度审计中所实施程序的性质、时间和范围；二以前年度对控制的测试结果；三上次审计之后,控制或其运行流程是否发生变化.第五十八条在考虑本指引第四十六条和第五十七条所列的风险因素,以与连续审计中可获取的进一步信息之后,只有当认为与控制相关的风险水平比以前年度有所下降时,注册会计师在本年度审计中才可以减少测试.第五十九条在连续审计中,由于完全自动化的应用控制通常不会因人为失误而失效,因此,注册会计师可以考虑对自动化应用控制实施对标策略.第六十条如果认为程序变更、访问权限与计算机操作方面的一般控制有效,且可持续对其

24、进行测试,并能证实自动化应用控制自最近一次测试之后未发生变化,注册会计师不必重复执行测试,就可以认为自动化应用控制是持续有效的.注册会计师为证实控制未发生变化而需获取证据的性质和范围,可能随情况的变化而变化.例如,企业程序变更控制的强弱将影响需获取证据的性质和范围.第五章评价识别的控制缺陷第一节 评价控制缺陷的严重程度第六十一条如果控制的设计或运行不能使管理层或员工在正常履行职责的过程中与时防止或发现错报,则表明内部控制存在缺陷.内部控制存在的缺陷包括设计缺陷和运行缺陷.设计缺陷是指缺少为实现控制目标所必需的控制,或者现有控制设计不适当,即使正常运行也难以实现控制目标.运行缺陷是指设计适当的控

25、制没有按设计意图运行,或者执行人员缺乏必要授权或专业胜任能力,无法有效实施控制.第六十二条 内部控制存在的缺陷,按严重程度分为重大缺陷、重要缺陷和一般缺陷.重大缺陷是内部控制中存在的、可能导致财务报表重大错报的一项控制缺陷或多项控制缺陷的组合.重要缺陷是内部控制中存在的、其严重程度不如重大缺陷、但足以引起企业财务报告监督人员关注的一项控制缺陷或多项控制缺陷的组合.一般缺陷是内部控制中存在的、除重大缺陷和重要缺陷之外的控制缺陷.第六十三条注册会计师应当评价其注意到的各项控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成重大缺陷.但是,在计划和实施审计工作时,不要求注册会计师寻找单独或组合

26、起来不构成重大缺陷的控制缺陷.第六十四条控制缺陷的严重程度取决于： 一控制缺陷导致账户余额或列报错报的可能性；二因一项控制缺陷或多项控制缺陷的组合导致潜在错报的金额大小.第六十五条控制缺陷的严重程度与账户余额或列报是否发生错报无关,而取决于控制缺陷是否可能导致错报.第六十六条在评价一项控制缺陷或多项控制缺陷的组合是否可能导致账户余额或列报错报时,注册会计师应当考虑的风险因素包括：一所涉与的账户、列报与其相关认定的性质；二相关资产或负债易于发生损失或舞弊的程度；三确定相关金额时所需判断的主观程度、复杂程度与范围；四所涉与的控制与其他控制的相互作用或关系；五控制缺陷之间的相互作用；六控制缺陷在未来

27、可能产生的影响.第六十七条在评价因一项控制缺陷或多项控制缺陷的组合导致潜在错报的金额大小时,注册会计师应当考虑的因素包括：一受控制缺陷影响的财务报表金额或交易总额；二在本期或预计的未来期间受控制缺陷影响的账户余额或各类交易涉与的交易量.第六十八条在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时,注册会计师应当评价补偿性控制的影响.为减弱控制缺陷的不利影响,企业执行的补偿性控制应当有足够的精确度,以防止或发现可能发生的重大错报.第二节 表明可能存在重大缺陷的迹象第六十九条下列迹象可能表明内部控制存在重大缺陷：一注册会计师发现高级管理人员舞弊；二企业重述以前公布的财务报表,以更正重大错报；

28、三注册会计师发现当期财务报表存在重大错报,而控制未能发现；四审计委员会对财务报告与内部控制的监督无效.第七十条如果注册会计师确定,发现的一项控制缺陷或多项控制缺陷的组合,将导致审慎的管理人员在执行工作时认为自身无法合理保证按照企业会计准则的规定记录交易,应当将这种情况视为内部控制存在重大缺陷的迹象.第六章完成审计工作第一节 形成审计意见第七十一条注册会计师应当评价从各种来源获取的证据,包括对控制的测试结果、财务报表审计中发现的错报以与已识别的所有控制缺陷,以形成对内部控制有效性的意见.第七十二条在对内部控制的有效性形成意见后,注册会计师应当评价,管理层内部控制评价报告中对与财务报告与相关信息的

29、真实完整、资产安全相关的内部控制的表达是否符合有关法律法规的要求. 如果认为上述表达不完整或不恰当,注册会计师应当按照本指引第九十八条的要求进行处理.第七十三条只有在审计范围没有受到限制时,注册会计师才能对内部控制的有效性形成意见.如果存在范围限制,注册会计师应当按照本指引第九十九条至第一百零二条的要求进行处理.第二节 获取管理层书面声明第七十四条注册会计师应当向管理层获取书面声明.管理层声明的内容应当包括：一管理层认可其对设计、实施和维护有效的内部控制负责；二管理层已对内部控制的有效性作出评价,并说明评价时采用的标准；三管理层没有利用注册会计师在内部控制审计和财务报表审计中执行的程序与其结果

30、,作为管理层自我评价的基础；四管理层根据控制标准评价内部控制有效性得出的结论；五管理层已向注册会计师披露识别出的、内部控制在设计或运行方面存在的所有缺陷,并已专门向注册会计师披露所有重要缺陷或重大缺陷；六导致财务报表重大错报的所有舞弊,以与不会导致财务报表重大错报,但涉与管理层和其他在内部控制中具有重要作用的员工的所有舞弊；七注册会计师在以前年度审计中识别的、已与审计委员会沟通的控制缺陷是否已经得到解决,以与哪些缺陷尚未得到解决；八在审计报告日后,内部控制是否发生变化,或者是否存在对内部控制产生重要影响的其他因素,如管理层针对重要缺陷和重大缺陷采取的所有纠正措施.第七十五条如果管理层拒绝提供书面声明,或因其他原因未能获取书面声明,注册会计师应当将其视为审计范围受到限制,解除业务约定或出具无法表示意见的审计报告.注册会计师应当评价,管理层拒绝提供书面声明对其他声明包括在财务报表审计中获取的声明的可靠性产生的影响.第七十六条注册会计师应当按照中国注册会计师审计准则第1341号管理层声明的规定,确定声