内部控制审计问题解答(征询意见稿).pdf

《内部控制审计问题解答(征询意见稿).pdf》由会员分享，可在线阅读，更多相关《内部控制审计问题解答(征询意见稿).pdf（24页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1 附件：企业内部控制审计问题解答企业内部控制审计问题解答（征求意见稿）问题清单问题清单 一、内部控制审计与财务报表审计的联系主要体现在哪些方面？二、内部控制审计与财务报表审计的区别主要体现在哪些方面？三、注册会计师如何整合审计工作以同时实现内部控制审计和财务报表审计的目标？四、注册会计师如何计划内部控制设计与运行有效性的测试工作，以实现内部控制审计和财务报表审计的有机整合？五、在内部控制审计过程中，注册会计师如何区分财务报告内部控制和非财务报告内部控制？六、如何理解内部控制审计与企业内部控制自我评价之间的关系，如两者的测试范围是否需要一致？注册会计师对企业自我评价报告执行什么工作？七、如果集

2、团企业有部分子公司尚未按照企业内部控制规范体系的标准建立健全其内部控制，注册会计师应当如何考虑其对内部控制审计的影响？八、在开展整合审计时，会计师事务所如何组建项目组？九、界定与控制相关的风险对确定控制测试的性质、时间安排和范围有什么作用？2 十、如果被审计单位按照法律法规的相关豁免规定未将某些实体纳入其内部控制评价范围，注册会计师同样选择不将这些实体纳入其内部控制审计范围，则在内部控制审计报告中应当如何描述？3 一、一、内部控制审计与财务报表审计的联系内部控制审计与财务报表审计的联系主要主要体现在哪些方面？体现在哪些方面？答：内部控制审计和财务报表审计之间存在多方面的联系，主要体现在以下五个

3、大的方面：（一）两者的最终目的一致，虽然各有侧重，但最终目的均为提高财务报表的可靠性，为财务报表使用者提供高质量的信息。（二）两者都采取风险导向审计模式，注册会计师首先实施风险评估程序，识别和评估财务报表存在的重大错报风险（包括舞弊风险），在此基础上，有针对性地采取应对措施，实施相应的审计程序。（三）两者测试内部控制设计和运行有效性的方法相同，都运用询问、观察、检查以及重新执行等程序。（四）两者识别的重要账户、列报及其相关认定相同。注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素对于内部控制审计和财务报表审计而言是相同的，因此在两种审计中识别的重要账户、列报及其相关认定应当相同。

4、（五）两者确定的重要性水平相同。注册会计师在财务报表审计中确定重要性水平，旨在计划和执行财务报表审计工作并评价识别出的错报对审计的影响，以对财务报表整体是否不存在重大错报得出结论；在内部控制审计中确定重要性水平，旨在计划和执行内部控制审计工作并判断识别的内部控制缺陷是否属于重大缺陷，即内部控制是否有效。由于内部控制的有效性取决于其是否能够防止、发现并纠正财务报表的重大错报，因此在两种审计中确定的重要性水平应当相同。4 二、二、内部控制审计与财务报表审计的区别内部控制审计与财务报表审计的区别主要主要体现在哪些方面？体现在哪些方面？答：虽然内部控制审计和财务报表审计存在多方面的联系，但财务报表审计

5、是对财务报表进行审计，重在审计“结果”，而内部控制审计是对保证财务报表质量的内在机制进行审计，重在审计“过程”。审计发表意见对象的不同使得两者存在区别，主要体现在以下五个大的方面：（一一）对内部控制进行了解和测试的目的不同）对内部控制进行了解和测试的目的不同 注册会计师在财务报表审计中了解和评价内部控制，是为了识别和评估重大错报风险，并获取与财务报表是否在所有重大方面按照适用的财务报告编制基础编制相关的审计证据，以支持对财务报表发表的审计意见；注册会计师在内部控制审计中了解和测试内部控制，是为了对内部控制的有效性发表审计意见。（二二）测试内部控制运行有效性的范围不同）测试内部控制运行有效性的范

6、围不同 首先，在财务报表审计中，针对不同的认定或评估的重大错报风险，注册会计师可能选择采用实质性方案或综合性方案。如果采用实质性方案，注册会计师不测试内部控制的运行有效性；如果采用综合性方案，注册会计师综合运用控制测试和实质性程序，因而需要测试内部控制的运行有效性。根据审计准则的规定，只有在以下两种情况下才必须实施控制测试，即注册会计师预期控制的运行是有效的，以及仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。也就是说，如果以上两种情况均不存在，注册会计师可能对部分认定，甚至全部认定都不测试内部控制运行有效性。在内部控制审计中，注册会计师应当针对所有重要账户和列报的每一个相关认定获取

7、控制设5 计和运行有效性的审计证据，以便对内部控制整体的有效性发表审计意见。其次，在财务报表审计中，根据中国注册会计师审计准则第1211 号通过了解被审计单位及其环境识别和评估重大错报风险的相关要求，注册会计师需要对企业层面控制的相关要素进行了解和评价，但不强制要求具体测试企业层面控制的运行有效性。在内部控制审计中，注册会计师应当识别、了解和测试对内部控制有效性有重要影响的企业层面控制，并且根据企业内部控制审计指引实施意见的相关要求，在识别、了解和测试企业层面控制时，注册会计师不得利用他人的工作。（三三）内部控制测试的时间）内部控制测试的时间要求要求不同不同 首先，在财务报表审计中，需要获取内

8、部控制在整个拟信赖期间运行有效性的审计证据，而在内部控制审计中，注册会计师对于基准日（通常是会计期间截止日）的内部控制运行有效性发表意见，则仅需要对内部控制在基准日前足够长的时间（可能短于整个审计期间）内的运行有效性获取审计证据。其次，尽管连续审计时注册会计师在财务报表审计和内部控制审计中都可以考虑以前审计中所了解的情况，但在执行内部控制审计时，注册会计师不可以采用财务报表审计中“至少每三年测试一次”的轮流测试方法，而应当在每一年度审计中测试内部控制（对自动化应用控制在满足特定条件情况下所采用的与基准相比较策略除外）。（四四）对控制缺陷的分类和沟通要求不同）对控制缺陷的分类和沟通要求不同 6

9、在内部控制审计中，注册会计师将识别出的内部控制缺陷区分为一般缺陷、重要缺陷和重大缺陷。在财务报表审计中，注册会计师需要判断识别出的内部控制缺陷是否构成值得关注的内部控制缺陷。相应地，两者的沟通要求存在不同。在财务报表审计中：1注册会计师应当以书面形式及时向治理层通报值得其关注的内部控制缺陷，致送书面沟通文件的时间根据对治理层履行监督责任需要的考虑确定（对于上市实体，治理层可能需要在批准财务报表前收到注册会计师的沟通文件；对于其他实体，注册会计师可能会在较晚日期致送书面沟通文件，但需要满足完成最终审计档案的归档要求）。2注册会计师还应当及时向相应层级的管理层通报：（1）已向或拟向治理层通报的值得

10、其关注的内部控制缺陷，除非在具体情况下不适合直接向管理层通报。此项应采用书面方式通报。（2）在审计过程中识别出的、其他方未向管理层通报而注册会计师根据职业判断认为足够重要从而值得管理层关注的内部控制其他缺陷。此项对沟通形式没有强制要求，可以采用书面或口头形式。在内部控制审计中，对于重大缺陷和重要缺陷，注册会计师应当以书面形式与管理层和治理层沟通，书面沟通应在注册会计师出具内部控制审计报告前进行；注册会计师认为审计委员会和内部审计机构对内部控制的监督无效的，应当就此以书面形式直接与董事会沟通。另外，注册会计师应当以书面形式与管理层沟通其在审计过程中识别的所有其他财务报告内部控制缺陷，并在沟通完成

11、后告知治理层。（五五）审计报告的形式和内容）审计报告的形式和内容以及所以及所包括的意见类型包括的意见类型不同不同 7 内部控制审计报告的形式和内容不同于财务报表审计报告，注册会计师应当分别按照中国注册会计师审计准则和企业内部控制审计指引及企业内部控制审计指引实施意见的相关规定，出具财务报表审计报告和内部控制审计报告。另外，内部控制审计报告不存在保留意见的意见类型，如果内部控制存在一项或多项重大缺陷，除非审计范围受到限制，注册会计师应当对内部控制发表否定意见；如果审计范围受到限制，注册会计师应当解除业务约定或出具无法表示意见的内部控制审计报告。三、三、注册会计师如何整合审计工作以同时实现内部控制

12、审计和财注册会计师如何整合审计工作以同时实现内部控制审计和财务报表审计的目标？务报表审计的目标？答：财务报表审计和内部控制审计存在多方面的联系。基于统一的风险评估，为财务报表审计和内部控制审计制定整合的审计计划，有助于实现整合审计的目标，减少重复工作，提高审计效率和效果。具体而言，财务报表审计与内部控制审计在以下五个方面是整合共享的：1重要性水平的确定;2重大错报风险（固有风险）的评估;3重要账户、列报及其相关认定的确定;4内部控制设计与运行有效性的测试;5内部控制缺陷的识别。在审计工作的具体执行过程中，注册会计师还需要按照企业内部控制审计指引实施意见第九部分中有关“审计证据和结论的相互参照”

13、的指引，考虑内部控制设计与运行有效性的测试结果对所计划实质8 性程序性质、时间安排和范围的影响。同时，也要评价所实施实质性程序的结果对控制有效性结论的影响。实务中，在同时承接财务报表审计和内部控制审计的情况下，注册会计师编制一套整合的审计工作底稿，能够将内部控制审计和财务报表审计的整合考虑贯穿审计的整个过程，以更有效地实现整合审计的目标，并同时满足财务报表审计和内部控制审计的需要。如果注册会计师选择就财务报表审计和内部控制审计分别编制单独的工作底稿，需要考虑将上述共享工作的相关内容在财务报表审计工作底稿和内部控制审计工作底稿之间进行交叉索引，以保持一致。四、四、注册会计师如何计划内部控制设计与

14、运行有效性的测试工作，注册会计师如何计划内部控制设计与运行有效性的测试工作，以实现内部控制审计和财务报表审计的有机整合？以实现内部控制审计和财务报表审计的有机整合？企业内部控制审计指引第五条规定，在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：1获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见。2获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。考虑到财务报表审计与内部控制审计中对内部控制设计和运行有效性测试的联系和区别，注册会计师可以做出以下安排：一是适当的情况下，尽量对重要账户和列报的相关认定采用综合性方案。通过综

15、合性方案中内部控制设计和运行有效性的测试，注册会计师在获取证据以支持其对内部控制有效性发表意见的同时，如果9 内部控制测试有效，也能够基于对控制风险的评估结果，相应调整实质性程序的性质、时间安排和范围，例如，当重大错报风险评估为低时，注册会计师可能不需要调整审计程序的性质以获取更具说服力的审计证据，或者认为可以在期中而非期末实施某些审计程序，从而节省实质性程序所需的审计资源，更有效率地实现整合审计的目标。二是控制测试的时间安排尽量同时满足内部控制审计和财务报表审计的要求。具体而言，在确定测试某项控制运行涵盖的期间时，在内部控制审计所要求的“足够长的期间”和财务报表审计中所要求的“拟信赖的期间”

16、中取其长者。此外，注册会计师在每年度的整合审计中需要针对所有重要账户和列报的每个相关认定获取控制有效性的审计证据，而不适用中国注册会计师审计准则第 1231号针对评估的重大错报风险采取的应对措施第十四条第二款中“至少每三年测试一次”的轮流测试方法（对自动化应用控制在满足特定条件情况下所采用的与基准相比较策略除外）。总之，注册会计师可采取“就高不就低”原则，这样既能够满足内部控制审计中对所有相关认定的控制有效性进行测试的要求，又能够减少财务报表审计中实质性程序的工作量。五、五、在内部控制审计过程中，注册会计师如何区分财务报告内部在内部控制审计过程中，注册会计师如何区分财务报告内部控制和非财务报告

17、内部控制控制和非财务报告内部控制？答：根据企业内部控制基本规范（以下简称“基本规范”）第三条，内部控制的目标包括合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业10 实现发展战略。所谓财务报告内部控制，即由公司的董事会、监事会、经理层及全体员工实施的旨在合理保证财务报告及相关信息真实、完整而设计和运行的内部控制，以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。具体而言，财务报告内部控制主要包括下列方面的政策和程序：1保存充分、适当的记录，准确、公允地反映企业的交易和事项；2合理保证按照企业会计准则的规定编制财务报表；3合理保证收入

18、和支出的发生以及资产的取得、使用或处置经过适当授权；4合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项。在整合审计过程中，注册会计师考虑某一控制是否是财务报告内部控制的关键依据是控制目标，财务报告内部控制是那些与企业的财务报告可靠性目标相关的内部控制。例如，企业内部控制应用指引第9号销售业务第十二条要求“企业应当指定专人通过函证等方式，定期与客户核对应收账款、应收票据、预收账款等往来款项”，企业为此建立的定期对账及差异处理控制与其往来款项的存在、权利和义务、计价和分摊等认定相关，属于财务报告内部控制；企业内部控制应用指引第8号资产管理第十一条要求“企业应当根据各种存货采

19、购间隔期和当期库存，综合考虑企业生产经营计划、市场供求等因素、充分利用信息系统，合理确定存货采购日期和数量，确保存货处于最佳库存状态”，企业为达到最佳库存的经营目标而建立的对存货采购间隔时间进行监控的相关控制11 与经营效率效果相关，而不直接与财务报表的认定相关，属于非财务报告内部控制。当然，相当一部分的内部控制能够实现多种目标，主要与经营目标或合规性目标相关的控制可能同时也与财务报告可靠性目标相关。因此，不能仅仅因为某一控制与经营目标或合规性目标相关而认定其属于非财务报告内部控制，注册会计师需要考虑特定控制在特定企业环境中的目标、性质及作用，根据职业判断考虑该控制在具体情况下是否属于财务报告

20、内部控制。需要指出的是，在实务中注册会计师对财务报告内部控制的考虑是融于其所采用的自上而下的审计方法过程中的。企业内部控制审计指引实施意见要求注册会计师采用自上而下的方法选择拟测试的内部控制，其中包括基于财务报表层次识别重要账户、列报及其相关认定，了解潜在错报的来源，并识别企业用于应对这些错报或潜在错报的控制，然后选择拟测试的内部控制。基于自上而下的方法，注册会计师需要识别财务报表的重要账户和列报及其相关认定（包括存在或发生、完整性、准确性等），以及与相关认定有关的业务流程中可能发生重大错报的环节。鉴于注册会计师识别的相关认定以及可能发生重大错报环节均与财务报表相关，注册会计师针对这些错报或潜

21、在错报来源识别的相应内部控制通常也是财务报告内部控制。一项控制如果对于重要账户、列报的相关认定是重要的，则该控制就在注册会计师的内部控制审计范围内；反之，则不纳入内部控制审计范围。12 六、六、如何理解内部控制审计与企业内部控制自我评价之间的关系，如何理解内部控制审计与企业内部控制自我评价之间的关系，如如两者的测试范围是否需要一致两者的测试范围是否需要一致？注注册会计师对企业自我评价报告册会计师对企业自我评价报告执执行什么工作行什么工作？答：根据企业内部控制基本规范的规定，企业应当对内部控制的有效性进行自我评价，披露年度自我评价报告，并聘请会计师事务所对内部控制的有效性进行审计。同时，根据企业

22、内部控制审计指引实施意见的规定，被审计单位认可并理解其责任，其中包括对内部控制的有效性进行评价并编制内部控制评价报告的责任，也是注册会计师接受或保持内部控制审计业务的前提之一。内部控制审计与内部控制自我评价之间的关系可以概括为“各自独立、单方面利用”。也就是说，两者之间是相互独立的。内部控制审计可以利用内部控制自我评价的工作（企业层面内部控制除外），然而，内部控制自我评价不得利用内部控制审计的工作。即，企业不得利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作为评价的基础。内部控制审计与内部控制自我评价是相互独立的，两者测试工作的具体内容可能不同。企业应当根据企业内部控制评价指引

23、的规定对自身的内部控制进行测试、评价并编制自我评价报告。在进行自我评价时，企业所选取纳入测试范围的子公司（或组成部分）、具体控制和测试方法，可能与注册会计师在执行内部控制审计中选取的子公司、控制和方法不同。注册会计师应当根据企业内部控制审计指引和企业内部控制审计指引实施意见的要求，运用职业判断，选取拟测试的子公司和拟测试的内部控制，无须受企业在自我评价中13 确定的测试工作的限制。根据企业内部控制审计指引的规定，注册会计师无需对企业内部控制评价报告发表意见。在内部控制审计中，注册会计师对企业内部控制评价开展的工作主要包括：1注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部

24、审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能本应由注册会计师执行的工作。对此，在实务中，注册会计师一般在每个年度的较早时期与管理层就内部控制自我评价工作（包括自我评价的工作范围、工作方法、样本选取方法及样本规模等）进行沟通，并获取必要的管理层自我评价文档。上述步骤及文档的获取有助于注册会计师确定其内部控制审计的时间安排，以及在多大程度上可以利用被审计单位的评价工作。如果管理层就内部控制评价工作定期召开会议，注册会计师可以要求参加会议以及时了解内部控制自我评价工作的实际进展以及前期遇到的问题。2注册会计师应当识别、了解和测试对内部控制有效性具有重要影响的企业层面控

25、制。企业内部控制自我评价是企业层面控制的重要组成部分，与控制环境、对控制的监督这两项要素相关，注册会计师应将其包括在企业层面控制的范围进行考虑。3在形成审计意见时，注册会计师应当查阅从各种来源获取的审计证据，包括企业本年度涉及内部控制的内部审计报告或类似报告，并评价这些报告中指出的控制缺陷。14 七、七、如如果果集团企业有部分子公司集团企业有部分子公司尚尚未未按照企业内部控制规范体系按照企业内部控制规范体系的的标准建立健全其内部控制标准建立健全其内部控制，注册会计师应当如何考虑，注册会计师应当如何考虑其其对内部控制对内部控制审计的影响？审计的影响？答：企业内部控制基本规范第四条指出，企业建立与

26、实施内部控制，应当遵循全面性原则等五项原则。其中，全面性原则要求企业的内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。因此，对于按照相关法律法规的规定应当实施企业内部控制规范体系（包括企业内部控制基本规范和企业内部控制配套指引）的企业，原则上应当在其所有子公司按照企业内部控制规范体系的标准建立健全内部控制。企业在按照企业内部控制规范体系的标准建立健全内部控制时，可能由于各种原因未能覆盖所有子公司。注册会计师应当评估其对内部控制审计的影响，在实施风险评估、控制测试及缺陷评价中充分考虑这一情况的影响，并据此得出审计结论和出具审计报告。在此过程中，注册会计师需要考虑的因

27、素可能包括：1尚未按照企业内部控制规范体系的标准建立健全内部控制的子公司的财务信息在企业财务报表整体中的重要程度，例如，是否是重要的组成部分，是否存在对集团财务报表有重大影响的重要账户、列报及其相关认定；2企业的董事会及管理层是否以及如何采取措施，以确保在尚未按照企业内部控制规范体系的标准全面建成内部控制体系时，仍能保持有效的财务报告内部控制；15 3未按照企业内部控制规范体系的标准建立健全内部控制的子公司是否存在其他替代性的内部控制制度和程序，虽然不完全符合内部控制规范体系的要求，仍能够有效防止、发现并纠正影响集团财务报表的重大错报；4在以往年度及当年度审计中，是否发现这些尚未按照企业内部控

28、制规范体系的标准建立健全内部控制的子公司存在内部控制重大缺陷或财务报表重大错报。注册会计师应当结合内部控制审计中发现的问题，向企业的治理层和管理层沟通，提请其尽快全面贯彻实施企业内部控制规范体系的要求。如果法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制评价范围，注册会计师可以不将这些实体纳入内部控制审计的范围。八、八、在开展整合审计时，在开展整合审计时，会计师事务所会计师事务所如何如何组建项目组组建项目组？答：当财务报表审计延伸成为整合审计后，审计的范围和复杂程度大大增加，需要注册会计师作出很多新的职业判断，这些判断包括：集团审计中确定组成部分内部控制审计的范围、利用他人工作的程

29、度、设计控制测试以实现整合审计的双重目标、财务报表审计中发现的问题对内部控制审计的影响、评价控制缺陷的严重程度等。会计师事务所在开展整合审计时，需要统筹考虑，挑选具有胜任能力的人员组成项目组。组建项目组时，需要考虑下列事项：1使用掌握内部控制审计方法的审计人员，如有可能，考虑配备有内部控制审计经验的审计人员；16 2必要时配备专家，如信息系统等方面的专家。这些专家在审计项目的前期就要参与审计工作，从而判断在审计过程中哪些领域需要更深参与才能对相关内部控制的设计和运行有效性获取充分、适当的审计证据；3选择适当的质量控制复核人员。项目合伙人及其他有经验的项目组成员需要参与整合审计计划的制定，以便及

30、时作出上述职业判断，避免项目组中经验较少的成员作出错误决定从而影响审计效果和效率。特别是在首次执行整合审计时，项目合伙人、项目经理以及参与审计项目的有关专家往往需要付出更多时间。项目合伙人要恰当安排，确保在执行审计的过程中及时指导并复核审计工作，充分考虑财务报表审计和内部控制审计的互相参照与整合。在整合审计中，财务报表审计和内部控制审计原则上应由同一个项目组执行。如果项目组又被划分为分别关注于内部控制测试和实质性程序的具体团队，则不同的团队需要站在“整合”的角度来制定测试策略、评估测试结果，以减少重复工作，保证内部控制审计和财务报表审计的审计证据和结论可以相互参照，避免审计判断出现不一致的情况

31、。九、九、界定与控制相关的风险对确定控制测试的性质、时间安排和界定与控制相关的风险对确定控制测试的性质、时间安排和范围有什么作用？范围有什么作用？与控制相关的风险，包括一项控制可能无效的风险，以及如果该控制无效，可能导致重大缺陷的风险。与控制相关的风险越高，注册17 会计师需要获取的审计证据就越多。注册会计师对控制相关风险的评价将直接影响控制测试的性质、时间安排和范围。（一）（一）性质性质 注册会计师在测试控制的有效性时，应当综合运用询问、观察、检查和重新执行等方法。注册会计师也可能通过执行包含几种测试方法的穿行测试来评价控制的有效性。注册会计师测试控制有效性实施的程序，按提供证据的效力，由弱

32、到强排序为：询问、观察、检查和重新执行。其中询问本身并不能为得出控制是否有效的结论提供充分、适当的证据。在内部控制审计中，与控制相关的风险越高，注册会计师对审计证据的效力要求也越高；反之亦然。（二）（二）时间时间安排安排 一般而言，与控制相关的风险越高，注册会计师对控制的测试时间越应接近基准日。即便注册会计师认为与控制相关的风险较高，因而决定对控制的测试时间应接近基准日，仍可在期中测试，但应调整针对剩余期间进行的前推测试的性质和范围。需要注意的是，当注册会计师认为测试的时间应尽量接近基准日时，应当考虑测试涵盖的期间能否取得足够的审计证据。（三）（三）范围范围 注册会计师确定的控制测试范围，应当

33、足以使其获取充分、适当的审计证据，为基准日内部控制是否不存在重大缺陷提供合理保证。与控制相关的风险越高，注册会计师需要获取的证据就越多。18 对于人工控制，企业内部控制审计指引实施意见已经提供了采用检查或重新执行程序测试控制运行有效性时的最小样本量区间表供注册会计师参照使用。十、十、如果被审计单位按照法律法规的相关豁免规定未如果被审计单位按照法律法规的相关豁免规定未将某些实体将某些实体纳入其内部控制评价范围，纳入其内部控制评价范围，注册会计师同样选择不将这些实体纳入其注册会计师同样选择不将这些实体纳入其内部控制审计范围，则内部控制审计范围，则在在内部控制审计报告内部控制审计报告中中应当如何描述

34、？应当如何描述？企业内部控制审计指引实施意见第八部分提及，如果法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制的评价范围，注册会计师可以不将这些实体纳入内部控制审计的范围，这种情况不构成审计范围受到限制，但注册会计师应当在内部控制审计报告中增加强调事项段或者在注册会计师的责任段中，就这些实体未被纳入评价范围和内部控制审计范围这一情况，作出与被审计单位类似的恰当陈述。注册会计师应当评价相关豁免是否符合法律法规的规定，以及被审计单位有关该项豁免的陈述是否恰当。如果认为被审计单位有关该项豁免的陈述不恰当，注册会计师应当提请其作出适当修改。如果被审计单位未作出适当修改，注册会计师应当在内部

35、控制审计报告的强调事项段中说明被审计单位的陈述需要修改的理由。同时，证监会发布的上市公司实施企业内部控制规范体系监管问题解答（2011 年第 1 期）中说明，“公司在报告年度发生并购交易的，可豁免本年度对被并购企业财务报告内部控制有效性的评价。发生上述情况的，公司应对评价范围做出说明，披露评价范围不包括被并购企业。如果并购交易导致公司财务报告内部控制发生重大变化的，需同时予以说明。”19 如果上市公司按照上述规定选择豁免对被并购企业财务报告内部控制有效性的评价，注册会计师同样不将被并购企业纳入其内部控制审计范围，则可以参照以下在内部控制审计报告中增加强调事项段或在注册会计师责任段中说明的示例进

36、行描述。选择选择一一 背景说明：1并购交易发生在报告年度，被审计上市公司选择豁免对被并购企业财务报告内部控制有效性进行评价的决定符合相关法律法规的要求，且在其内部控制评价报告中对该项豁免进行了恰当陈述；2注册会计师已经获取充分、适当的审计证据，确定被审计单位已经按照适用的内部控制标准的要求，在所有重大方面保持了有效的内部控制，审计范围未受到限制；3注册会计师在审计过程中未注意到被审计上市公司存在非财务报告内部控制的重大缺陷；4注册会计师选择在其责任段中对豁免事项进行说明。内部控制审计报告内部控制审计报告 股份有限公司全体股东：按照企业内部控制审计指引及中国注册会计师执业准则的相关要求，我们审计

37、了 股份有限公司（以下简称“贵公司”）2012年12月31日的财务报告内部控制的有效性。一、企业对内部控制的责任一、企业对内部控制的责任 20 按照企业内部控制基本规范、企业内部控制应用指引、企业内部控制评价指引的规定，建立健全和有效实施内部控制，并评价其有效性是贵公司董事会的责任。二、注册会计师的责任二、注册会计师的责任 我们的责任是在实施审计工作的基础上，对财务报告内部控制的有效性发表审计意见，并对注意到的非财务报告内部控制的重大缺陷进行披露。如贵公司董事会2012年财务报告内部控制评价报告所述，贵公司于2012年收购了 公司（以下简称“被收购公司”），并将其纳入了2012年度财务报表的合

38、并范围。按照中国证券监督管理委员会发布的上市公司实施企业内部控制规范体系监管问题解答（2011 年第1 期，总第1 期）的相关豁免规定，贵公司在对财务报告内部控制于2012年12月31日的有效性进行评价时，未将被收购公司的财务报告内部控制包括在评价范围内。1同样地，按照企业内部控制审计指引实施意见的相关指引，我们对贵公司财务报告内部控制执行审计工作时，也未将被收购公司的财务报告内部控制包括在审计范围内。三、内部控制的固有局限性三、内部控制的固有局限性 内部控制具有固有局限性，存在不能防止和发现错报的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内

39、部控制审计结果推测未来内部控制的有效性具有一定风险。1 此段有关未将被收购企业纳入评价范围的表述应与被审计单位的表述保持一致。如果注册会计师认为被审计单位有关该项豁免的陈述不恰当而被审计单位拒绝作出适当修改，注册会计师应当在内部控制审计报告的强调事项段中说明被审计单位的陈述需要修改的理由。21 四、财务报告内部控制审计意见四、财务报告内部控制审计意见 我们认为，贵公司于2012年12月31日按照企业内部控制基本规范和相关规定在所有重大方面保持了有效的财务报告内部控制。会计师事务所 中国注册会计师：（签名并盖章）（盖章）中国注册会计师：（签名并盖章）中国 市 二一三年 月 日 22 选择选择二二

40、 背景说明：1并购交易发生在报告年度，被审计上市公司选择豁免对被并购企业财务报告内部控制有效性进行评价的决定符合相关法律法规的要求，且在其内部控制评价报告中对该项豁免进行了恰当陈述；2注册会计师已经获取充分、适当的审计证据，确定被审计单位已经按照适用的内部控制标准的要求，在所有重大方面保持了有效的内部控制，审计范围未受到限制；3注册会计师在审计过程中未注意到被审计上市公司存在非财务报告内部控制的重大缺陷；4注册会计师选择增加强调事项段对豁免事项进行说明。内部控制审计报告内部控制审计报告 股份有限公司全体股东：按照企业内部控制审计指引及中国注册会计师执业准则的相关要求，我们审计了 股份有限公司（

41、以下简称“贵公司”）2012年12月31日的财务报告内部控制的有效性。一、企业对内部控制的责任一、企业对内部控制的责任 按照企业内部控制基本规范、企业内部控制应用指引、企业内部控制评价指引的规定，建立健全和有效实施内部控制，并评价其有效性是贵公司董事会的责任。二、注册会计师的责任二、注册会计师的责任 23 我们的责任是在实施审计工作的基础上，对财务报告内部控制的有效性发表审计意见，并对注意到的非财务报告内部控制的重大缺陷进行披露。三、内部控制的固有局限性三、内部控制的固有局限性 内部控制具有固有局限性，存在不能防止和发现错报的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策

42、和程序遵循的程度降低，根据内部控制审计结果推测未来内部控制的有效性具有一定风险。四、财务报告内部控制审计意见四、财务报告内部控制审计意见 我们认为，贵公司于2012年12月31日按照企业内部控制基本规范和相关规定在所有重大方面保持了有效的财务报告内部控制。五、强调事项五、强调事项 我们提醒内部控制审计报告使用者关注，如贵公司董事会2012年财务报告内部控制评价报告所述，贵公司于2012年收购了 公司（以下简称“被收购公司”），并将其纳入了2012年度财务报表的合并范围。按照中国证券监督管理委员会发布的上市公司实施企业内部控制规范体系监管问题解答（2011 年第1 期，总第1 期）的相关豁免规定

43、，贵公司在对财务报告内部控制于2012年12月31日的有效性进行评价时，未将被收购公司的财务报告内部控制包括在评价范围内。2同样地，按照企业内部控制审计指引实施意见的相关指引，我们对贵公司财务报告内部控制执行审计工作时，也未将被收购公司的财务报告内部 2 此段有关未将被收购企业纳入评价范围的表述应与被审计单位的表述保持一致。如果注册会计师认为被审计单位有关该项豁免的陈述不恰当而被审计单位拒绝作出适当修改，注册会计师应当在内部控制审计报告的强调事项段中说明被审计单位的陈述需要修改的理由。24 控制包括在审计范围内。本段内容不影响已对财务报告内部控制发表的审计意见。会计师事务所 中国注册会计师：（签名并盖章）（盖章）中国注册会计师：（签名并盖章）中国 市 二一三年 月 日