内部评价及审计指引.docx

1、内部评价及审计指引企业内部控制评价指引（征求意见稿）第一章 总 则第一条 为规范企业内部控制评价工作，及时发现企业内部控制缺陷，提出和实施改进方案，确保内部控制有效运行，根据国家有关法律法规和企业内部控制基本规范，制定本指引。第二条 本指引适用于中华人民共和国境内设立的大中型企业。第三条 本指引所称内部控制评价，是指由企业董事会和管理层实施的，对企业内部控制有效性进行评价，形成评价结论，出具评价报告的过程。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。第四条 企业应当根据国家有关法律法规和企业内部控制基本规范的要求，结合企业实际情况，对战略目标、经营管理的效率和效

2、果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。第五条 企业实施内部控制评价，应当遵循下列原则：（一）风险导向原则。内部控制评价应当以风险评估为基础，根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。（二）一致性原则。内部控制评价应当采用统一可比的评价方法和标准，保证评价结果的可比性。（三）公允性原则。内部控制评价应当以事实为依据，评价结果应当有适当的证据支持。（四）独立性原则。内部控制评价机构的确定及评价工作的组织实施应当保持相应的独立性。（五）成本效益原则。内部控制评价应当

3、以适当的成本实现科学有效的评价。第六条 企业董事会及其审计委员会负责领导本企业的内部控制评价工作。监事会对董事会实施内部控制评价进行监督。第七条 企业可以授权内部审计部门负责组织和实施内部控制评价工作。具备条件的企业，可以设立专门的内部控制评价机构（以下合称内部控制评价机构）。第八条 企业内部控制评价，一般包括年度评价和专项评价。年度评价是指企业根据内部控制目标，对企业某一年度建立与实施内部控制的有效性进行的评价；专项评价是指企业在特定时点对特定范围的内部控制的有效性进行的评价。第二章 内部控制评价的内容和标准第九条 企业应当对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、

4、内部监督等内部控制要素进行全面系统、有针对性的评价。第十条 企业实施内部控制评价，包括对内部控制设计有效性和运行有效性的评价。内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。第十一条 应用信息系统加强内部控制的企业，应当对信息系统的有效性进行评价，包括信息系统一般控制评价和信息系统应用控制评价。一般控制评价应当着重考虑与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求，是否有利于企业内部控制目标的实现，并以此评价信息系统的安全性、可靠性和合理性。应用控制评价

5、应当结合企业业务流程特点，着重考虑信息系统中与业务流程相关的控制点，并以此评价相关应用系统操作数据的真实性、准确性和合规性。第十二条 企业应当根据企业内部控制基本规范及其应用指引的有关规定，建立与实施内部控制，并以此为依据和标准组织开展内部控制评价工作。第十三条 企业集团对被评价单位内部控制的有效性进行评价，应当至少涉及下列内容：（一）被评价单位内部控制是否在风险评估的基础上涵盖了企业层面的风险和所有重要的业务流程层面的风险。（二）被评价单位内部控制设计的方法是否适当，内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理。（三）被评价单位内部控制设计和运行的组织是否有效，人员配备、职责分

6、工和授权是否合理。（四）被评价单位是否开展内部控制自查并上报有关自查报告。（五）被评价单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。（六）被评价单位在评价期间是否出现过重大风险事故等。第三章 内部控制评价的程序和方法第十四条 企业应当按照制定评价方案、实施评价活动、编制评价报告等程序开展内部控制评价。第十五条 内部控制评价机构应当根据企业整体控制目标，制定内部控制评价工作方案，明确评价目的、范围、组织、标准、方法、进度安排和费用预算等内容，报管理层和董事会审批。第十六条 内部控制评价范围的确定应当遵循风险导向、自上而下的原则来确定需要评价的分支机构、重要业务单元、重点业务领域

7、或流程环节。第十七条 内部控制评价机构应当根据审批通过的评价方案组织实施内部控制评价工作，通过适当的方法收集、确认、分析相关信息，确定与实现整体控制目标相关的风险及细化控制目标，并在此基础上辨识与细化控制目标相对应的控制活动，然后针对控制活动进行必要的测试，获取充分、相关、可靠的证据对内部控制的有效性进行评价，并做出书面记录。第十八条 内部控制评估和测试的方法主要包括：（一）个别访谈法。是指企业根据检查评价需要，对被查单位员工进行单独访谈，以获取有关信息。（二）调查问卷法。是指企业设置问卷调查表，分别对不同层次的员工进行问卷调查，根据调查结果对相关项目作出评价。（三）比较分析法。是指通过分析、

8、比较数据间的关系、趋势或比率来取得评价证据的方法。（四）标杆法。是指通过与组织内外部相同或相似经营活动的最佳实务进行比较而对控制设计有效性评价的方法。（五）穿行测试法。是指通过抽取一份全过程的文件，来了解整个业务流程执行情况的评估评价方法。（六）抽样法。是指企业针对具体的内部控制业务流程，按照业务发生频率及固有风险的高低，从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进行判断，进而对业务流程控制运行的有效性作出评价。（七）实地查验法。是指企业对财产进行盘点、清查，以及对存货出、入库等控制环节进行现场查验。（八）重新执行法。是指通过对某一控制活动全过程的重新执行来评估控制执行情况的

9、方法。（九）专题讨论会法。是指通过召集与业务流程相关的管理人员就业务流程的特定项目或具体问题进行讨论及评估的一种方法。第十九条 企业应当根据通过评估和测试获取与内部控制有效性相关的证据，并合理保证证据的充分性和适当性。证据的充分性是指获取证据的数量应当能合理保证相关控制的有效；证据的适当性是指获取的证据应当与相关控制的设计与运行有关，并能可靠地反映控制的实际运行状况。第二十条 企业应当根据所收集的证据，判断相关控制的设计与运行是否有效。企业在判断内部控制设计与运行有效性时，应当充分考虑下列因素：（一）是否针对风险设置了合理的细化控制目标。（二）是否针对细化控制目标设置了对应的控制活动。（三）相

10、关控制活动是如何运行的。（四）相关控制活动是否得到了持续一致的运行。（五）实施相关控制活动的人员是否具备必需的权限和能力。第二十一条 企业应当充分评估下列因素导致内部控制失效的风险：（一）控制活动的类型，一般包括人工控制和自动控制、预防性控制和发现性控制等。（二）控制活动的复杂性，通常与企业组织结构、市场环境、经营规模、人员素质等相关。（三）管理层逾越内部控制的风险。（四）实施控制活动所需要的职业判断的程度。（五）控制活动所针对风险事项的性质及其重要性。（六）一项控制活动对其他控制活动有效性的依赖程度。第二十二条 企业应当及时记录开展内部控制评价工作的方法和程序，并以适当形式妥善保存相关证据。

11、第二十三条 内部控制评价机构应当根据评估结果和经核实的证据，确认内部控制缺陷，出具评价结论，编制评价报告，报送管理层和董事会审阅。第四章 内部控制缺陷认定和评价报告第二十四条 企业在内部控制评价中，应对内部控制缺陷进行分类分析。内部控制缺陷一般可分为设计缺陷和运行缺陷。（一）设计缺陷是指缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。（二）运行缺陷是指现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。第二十五条 企业对内部控制评价过程中发现的问题，应当从定量和定性等方面进行衡量，判断是否构成内部控制缺陷。存在下列

12、情况之一，企业应当认定内部控制存在设计或运行缺陷：（一）未实现规定的控制目标。（二）未执行规定的控制活动。（三）突破规定的权限。（四）不能及时提供控制运行有效的相关证据。第二十六条 企业应当根据内部控制缺陷影响整体控制目标实现的严重程度，将内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷（也称实质性漏洞，以下统称重大缺陷）。重大缺陷，是指一个或多个一般缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。重要缺陷，是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大，须引起企业管理层关

13、注。内部控制评价机构和管理层应当合理确定相关目标发生偏差的可容忍水平，从而对严重偏离的情形予以确定。第二十七条 企业判断和认定内部控制缺陷是否构成重大缺陷，应当考虑下列因素：（一）影响整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷。（二）针对同一细化控制目标所采取的不同控制活动之间的相互作用。（三）针对同一细化控制目标是否存在其他补偿性控制活动。第二十八条 企业应当根据内部控制评价过程中发现的内部控制缺陷，督促相关单位或部门进行整改，并对整改结果进行核查和确认。第二十九条 对于为实现单个或整体控制目标而设计与运行的控制不存在重大缺陷的情形，企业应当认定针对这些整体控制目标的内部控制是有效

14、的。对于为实现某一整体控制目标而设计与运行的控制存在一个或多个重大缺陷的情形，企业应当认定针对该项整体控制目标的内部控制是无效的。第三十条 对于因业务流程外包等原因造成企业无法评价特定业务、特定流程的内部控制有效性的情形，内部控制评价机构应当充分考虑该项业务流程及其相关控制的重要性，确定其对整体控制目标有效性评价的影响。第三十一条 企业应当结合年末控制缺陷的整改结果，编制年度内部控制评价报告。内部控制评价报告至少应当包括下列内容：（一）内部控制评价的目的和责任主体。（二）内部控制评价的内容和所依据的标准。（三）内部控制评价的程序和所采用的方法。（四）衡量重大缺陷严重偏离的定义，以及确定严重偏离

15、的方法。（五）被评估的内部控制整体目标是否有效的结论。（六）被评估的内部控制整体目标如果无效，存在的重大缺陷及其可能的影响。（七）造成重大缺陷的原因及相关责任人。（八）所有在评估过程中发现的控制缺陷，以及针对这些缺陷的补救措施及补救措施的实施计划等。第三十二条 企业可以根据被评估的整体控制目标的不同，适当调整评价报告的内容。企业应当在评价报告中明确财务报表日之后截至内部控制评价日发生的、可能影响财务报告控制目标有效性的所有重大变化。第三十三条 企业应当定期对内部控制整体有效性进行评价、出具评价报告，并向董事会、监事会和管理层报告内部控制设计与运行环节存在的主要问题以及将要采取的整改措施。第三十

16、四条 企业应当将内部控制评价报告作为进一步完善内部控制、提高经营管理水平和风险防范能力的重要依据。企业对于内部控制评价报告中列示的问题，应当采取适当的措施进行改进，并追究相关人员的责任。企业管理层和董事会应当根据评价结论对相关单位、部门或人员实施适当的奖励和惩戒。第五章 附 则第三十五条 本指引由中华人民共和国财政部会同国务院其他有关部门解释。第三十六条 本指引的实施细则由中华人民共和国财政部会同国务院其他有关部门另行制定。第三十七条 本指引自年月日起施行。企业内部控制审计指引第一章总则第一条为了规范注册会计师执行企业内部控制审计业务，明确工作要求，保证执业质量，根据企业内部控制基本规范、中国

17、注册会计师鉴证业务基本准则及相关执业准则，制定本指引。第二条 本指引所称内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。第三条 建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。第四条 注册会计师执行内部控制审计工作，应当获取充分、适当的证据，为发表内部控制审计意见提供合理保证。注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述

18、段”予以披露。第五条 注册会计师可以单独进行内部控制审计，也可以将内部控制审计与财务报表审计整合进行（以下简称整合审计）。在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：（一）获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见；（二）获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。第二章计划审计工作第六条 注册会计师应当恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。第七条 在计划审计工作时，注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响：（一）与企业相关的风险；

19、（二）相关法律法规和行业概况；（三）企业组织结构、经营特点和资本结构等相关重要事项；（四）企业内部控制最近发生变化的程度；（五）与企业沟通过的内部控制缺陷；（六）重要性、风险等与确定内部控制重大缺陷相关的因素；（七）对内部控制有效性的初步判断；（八）可获取的、与内部控制有效性相关的证据的类型和范围。第八条 注册会计师应当以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多。第九条 注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减

20、少可能本应由注册会计师执行的工作。注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作，应当对其专业胜任能力和客观性进行充分评价。与某项控制相关的风险越高，可利用程度就越低，注册会计师应当更多地对该项控制亲自进行测试。注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。第三章实施审计工作第十条 注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。第十一条 注册会计师测试企业层面控

21、制，应当把握重要性原则，至少应当关注：（一）与内部环境相关的控制；（二）针对董事会、经理层凌驾于控制之上的风险而设计的控制；（三）企业的风险评估过程；（四）对内部信息传递和财务报告流程的控制；（五）对控制有效性的内部监督和自我评价。第十二条 注册会计师测试业务层面控制，应当把握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。注册会计师应当关注信息系统对内部控制及风险评估的影响。第十三条 注册会计师在测试企业层面控制和业务层面控制时，应当评价内部控制是否足以应对舞弊风险。第十四条 注册会计师应当测试内部控制

22、设计与运行的有效性。如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行，能够实现控制目标，表明该项控制的设计是有效的。如果某项控制正在按照设计运行，执行人员拥有必要授权和专业胜任能力，能够实现控制目标，表明该项控制的运行是有效的。第十五条 注册会计师应当根据与内部控制相关的风险，确定拟实施审计程序的性质、时间安排和范围，获取充分、适当的证据。与内部控制相关的风险越高，注册会计师需要获取的证据应越多。第十六条 注册会计师在测试控制设计与运行的有效性时，应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。询问本身并不足以提供充分、适当的证据。第十七条

23、 注册会计师在确定测试的时间安排时，应当在下列两个因素之间作出平衡，以获取充分、适当的证据：（一）尽量在接近企业内部控制自我评价基准日实施测试；（二）实施的测试需要涵盖足够长的期间。第十八条 注册会计师对于内部控制运行偏离设计的情况（即控制偏差），应当确定该偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。第十九条 在连续审计中，注册会计师在确定测试的性质、时间安排和范围时，应当考虑以前年度执行内部控制审计时了解的情况。第四章评价控制缺陷第二十条 内部控制缺陷按其成因分为设计缺陷和运行缺陷，按其影响程度分为重大缺陷、重要缺陷和一般缺陷。注册会计师应当评价其识别的各项内部控制缺陷的

24、严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷。第二十一条 在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时，注册会计师应当评价补偿性控制（替代性控制）的影响。企业执行的补偿性控制应当具有同样的效果。第二十二条 表明内部控制可能存在重大缺陷的迹象，主要包括：（一）注册会计师发现董事、监事和高级管理人员舞弊；（二）企业更正已经公布的财务报表；（三）注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报；（四）企业审计委员会和内部审计机构对内部控制的监督无效。第五章完成审计工作第二十三条 注册会计师完成审计工作后，应当取得经企业签署的书面声明。书面声

25、明应当包括下列内容：（一）企业董事会认可其对建立健全和有效实施内部控制负责；（二）企业已对内部控制的有效性作出自我评价，并说明评价时采用的标准以及得出的结论；（三）企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础；（四）企业已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷和重要缺陷；（五）企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷，是否已经采取措施予以解决；（六）企业在内部控制自我评价基准日后，内部控制是否发生重大变化，或者存在对内部控制具有重要影响的其他因素。第二十四条 企业如果拒绝提供或以其他不当理由回避书面声明，注册会计师应当将其视为审计

26、范围受到限制，解除业务约定或出具无法表示意见的内部控制审计报告。第二十五条 注册会计师应当与企业沟通审计过程中识别的所有控制缺陷。对于其中的重大缺陷和重要缺陷，应当以书面形式与董事会和经理层沟通。注册会计师认为审计委员会和内部审计机构对内部控制的监督无效的，应当就此以书面形式直接与董事会和经理层沟通。书面沟通应当在注册会计师出具内部控制审计报告之前进行。第二十六条 注册会计师应当对获取的证据进行评价，形成对内部控制有效性的意见。第六章出具审计报告第二十七条 注册会计师在完成内部控制审计工作后，应当出具内部控制审计报告。标准内部控制审计报告应当包括下列要素：（一）标题；（二）收件人；（三）引言段

27、；（四）企业对内部控制的责任段；（五）注册会计师的责任段；（六）内部控制固有局限性的说明段；（七）财务报告内部控制审计意见段；（八）非财务报告内部控制重大缺陷描述段；（九）注册会计师的签名和盖章；（十）会计师事务所的名称、地址及盖章；（十一）报告日期。第二十八条 符合下列所有条件的，注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告：（一）企业按照企业内部控制基本规范、企业内部控制应用指引、企业内部控制评价指引以及企业自身内部控制制度的要求，在所有重大方面保持了有效的内部控制；（二）注册会计师已经按照企业内部控制审计指引的要求计划和实施审计工作，在审计过程中未受到限制。第二十九条

28、 注册会计师认为财务报告内部控制虽不存在重大缺陷，但仍有一项或者多项重大事项需要提请内部控制审计报告使用者注意的，应当在内部控制审计报告中增加强调事项段予以说明。注册会计师应当在强调事项段中指明，该段内容仅用于提醒内部控制审计报告使用者关注，并不影响对财务报告内部控制发表的审计意见。第三十条 注册会计师认为财务报告内部控制存在一项或多项重大缺陷的，除非审计范围受到限制，应当对财务报告内部控制发表否定意见。注册会计师出具否定意见的内部控制审计报告，还应当包括下列内容：（一）重大缺陷的定义；（二）重大缺陷的性质及其对财务报告内部控制的影响程度。第三十一条 注册会计师审计范围受到限制的，应当解除业务

29、约定或出具无法表示意见的内部控制审计报告，并就审计范围受到限制的情况，以书面形式与董事会进行沟通。注册会计师在出具无法表示意见的内部控制审计报告时，应当在内部控制审计报告中指明审计范围受到限制，无法对内部控制的有效性发表意见。 注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的，应当在内部控制审计报告中对重大缺陷做出详细说明。第三十二条 注册会计师对在审计过程中注意到的非财务报告内部控制缺陷，应当区别具体情况予以处理：（一）注册会计师认为非财务报告内部控制缺陷为一般缺陷的，应当与企业进行沟通，提醒企业加以改进，但无需在内部控制审计报告中说明；（二）注册会计师认为非财务报告内部控制

30、缺陷为重要缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进，但无需在内部控制审计报告中说明；（三）注册会计师认为非财务报告内部控制缺陷为重大缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进；同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。第三十三条 在企业内部控制自我评价基准日并不存在、但在该基准日之后至审计报告日之前（以下简称期后期间）内部控制可能发生变化，或出现其他可能对内部控制产生重要影响的因素。注册会计师应当询问是否存在这类变化或影响因素，

31、并获取企业关于这些情况的书面声明。注册会计师知悉对企业内部控制自我评价基准日内部控制有效性有重大负面影响的期后事项的，应当对财务报告内部控制发表否定意见。 注册会计师不能确定期后事项对内部控制有效性的影响程度的，应当出具无法表示意见的内部控制审计报告。第七章记录审计工作第三十四条 注册会计师应当按照中国注册会计师审计准则第1131号审计工作底稿的规定，编制内部控制审计工作底稿，完整记录审计工作情况。第三十五条 注册会计师应当在审计工作底稿中记录下列内容：（一）内部控制审计计划及重大修改情况；（二）相关风险评估和选择拟测试的内部控制的主要过程及结果；（三）测试内部控制设计与运行有效性的程序及结果；（四）对识别的控制缺陷的评价；（五）形成的审计结论和意见；（六）其他重要事项。附录：内部控制审计报告的参考格式1.标准内部控制审计报告内部控制审计报告股份有限公司全体股东：按照企业内部控制审计指引及中国注册会计师执业准则的相关要求，我们审计了股份有限公司（以下简称公司）年月日的财务报告内部控制的有效性。一、企业对内部控制的责任按照企业内部控制基本规范、企业内部