剖析企业内部控制审计指引gacc.pptx

《剖析企业内部控制审计指引gacc.pptx》由会员分享，可在线阅读，更多相关《剖析企业内部控制审计指引gacc.pptx（47页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、企业内部控制审计指引企业内部控制审计指引讲解讲解张龙平张龙平 中南财经政法大学会计学院中南财经政法大学会计学院 教授教授.博导博导中国中国CPACPA审计准则委员会审计准则委员会 委员委员中国财政部会计准则委员会中国财政部会计准则委员会 咨询专家咨询专家中国企业内部控制标准委员会中国企业内部控制标准委员会 咨询专家咨询专家中国国家审计准则技术咨询专家组中国国家审计准则技术咨询专家组 专家成员专家成员ZLPCALYZLPCALY引言：引言：一、为什么要如此重视内部控制？一、为什么要如此重视内部控制？（一）国家整体管制角度（一）国家整体管制角度 （20012001年大陆财政部发布年大陆财政部发布内

2、部会计控制内部会计控制规范规范）（二）单个企业发展角度（二）单个企业发展角度 企业（公司）质量与效益的重要性企业（公司）质量与效益的重要性 （二）社会公众需求角度（二）社会公众需求角度 关注关注财务报表财务报表同时关注同时关注相关内部控制相关内部控制二、什么是企业内部控制？二、什么是企业内部控制？（一）内部控制的概念（一）内部控制的概念 内部控制是由企业董事会、监事会、经内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目理层和全体员工实施的、旨在实现控制目标的过程。标的过程。（全面内部控制理念）（全面内部控制理念）（二）内部控制的（二）内部控制的5 5目标目标 合理保证合理

3、保证经营合规经营合规、资产安全资产安全、财务报财务报告及相关信息告及相关信息真实完整真实完整、经营有效性经营有效性，促，促进企业实现进企业实现发展战略发展战略。美国内控目标如下。美国内控目标如下:美国和国际上通常认为内部控美国和国际上通常认为内部控制应实现以下制应实现以下3 3大目标：大目标：即合理保证实现：（1）财务报告（financial reporting）的可靠性；（2）经营（operation）的效率和效果；（3）对法律法规的遵守（compliance）。注：资产安全目标哪去了？（三）内部控制的5要素1 1、内部环境（控制环境）内部环境（控制环境）2 2、风险评估风险评估3 3、信息

4、与沟通信息与沟通4 4、控制活动控制活动5 5、内部监督内部监督 (对控制的监督对控制的监督)（四）内部控制的固有局限性 内部控制存在下列固有局限性，无论如内部控制存在下列固有局限性，无论如何设计和执行，只能对财务报告的可靠性提何设计和执行，只能对财务报告的可靠性提供合理的保证：供合理的保证：1 1、在决策时、在决策时人为判断人为判断可能出现错误和由可能出现错误和由于于人为失误人为失误而导致内部控制失效；而导致内部控制失效；2 2、可能由于两个或更多人员进行、可能由于两个或更多人员进行串通串通或或管理层凌驾管理层凌驾于内部控制之上而被规避。于内部控制之上而被规避。三、内部控制标准体系三、内部控

5、制标准体系1 1、企业内部控制基本规范企业内部控制基本规范2 2、企业内部控制应用指引企业内部控制应用指引3 3、企业内部控制评价指引企业内部控制评价指引4 4、企业内部控制审计指引企业内部控制审计指引注：注：20062006年年6 6个部委组建大陆企业内部控制标准委员个部委组建大陆企业内部控制标准委员会，迄今工作成果如下：会，迄今工作成果如下：A,1A,1、已发布自、已发布自2009-7-12009-7-1起上市公司执行（起上市公司执行（5 5部位联部位联合发布）。合发布）。B,234B,234于于2010-4-262010-4-26发布，发布，2011-1-12011-1-1起境内外上市起

6、境内外上市公司执行，公司执行，2012-1-12012-1-1起主板执行，在此基础上，择机起主板执行，在此基础上，择机在中小板和创业板上市公司施行。同时，鼓励非上市大在中小板和创业板上市公司施行。同时，鼓励非上市大中型企业提前执行。中型企业提前执行。1 1、企业内部控制基本规范企业内部控制基本规范1 1个个1)1)五个目标：五个目标：合规性、可靠性、安全性、经济性，战略性合规性、可靠性、安全性、经济性，战略性（美国（美国COSOCOSO是：是：3 3个目标，无安全性和战略性个目标，无安全性和战略性）2)2)五个原则：五个原则：全面性、重要性、制衡性、适应性、成本效全面性、重要性、制衡性、适应性

7、、成本效益益3)3)五个要素：五个要素：内部环境、风险评估、信息与沟通、控制活内部环境、风险评估、信息与沟通、控制活动、内部监督动、内部监督 2 2、大陆企业内部控制应用指引大陆企业内部控制应用指引2121个个 总体情况：总体情况：2121个应用指引（此次发布个应用指引（此次发布1818个个，涉及银行、证券和保险等业务的涉及银行、证券和保险等业务的3 3个指引暂个指引暂未发布）未发布）1818个应用指引的分类：个应用指引的分类：（1）内部环境类内部环境类指引指引-5个个(侧重企业层面控制）侧重企业层面控制）（2）控制活动类控制活动类指引指引-9个个(侧重业务层面控制）侧重业务层面控制）（3）控

8、制手段类控制手段类指引指引-4个个(侧重企业层面控制）侧重企业层面控制）注：基本涵盖了注：基本涵盖了企业资金流、实物流、人力企业资金流、实物流、人力流和信息流流和信息流等各项业务和事项。等各项业务和事项。1818个应用指引的内容：个应用指引的内容：（1 1）内部环境类指引）内部环境类指引55个个(侧重企业层面控制）侧重企业层面控制）组织框架（含治理结构、机构设置、职责分配及不相（含治理结构、机构设置、职责分配及不相容职务分离）、容职务分离）、发展战略、人力资源、企业文化、社会责任（含安全生产，产品质量，环境保护与资源节约等）（含安全生产，产品质量，环境保护与资源节约等）（注：企业自我评价时要以

9、内部环境为基础）（2 2）控制活动类指引）控制活动类指引99个个(侧重业务层面控制）侧重业务层面控制）资金活动、资产管理、采购业务、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告 （注：企业自我评价时要以控制活动为重点）（3 3）控制手段类指引）控制手段类指引44个个(侧重企业层面控制）侧重企业层面控制）全面预算、合同管理、内部信息传递、信息系统 （注：企业自我评价时应当兼顾控制手段）注：财政部等还将出台具体的操作手册或讲解材料企业内部控制应用指引企业内部控制应用指引框架框架第一章：总则第一章：总则(含本指引制定目的，控制对象（定义），相关含本指引制定目的，控制对象（定义），相关

10、风险，关键控制点）风险，关键控制点）第二至第二至N N章：章：具体规定关键控制点具体规定关键控制点(不相容岗位分不相容岗位分离离)（总要求是：职责分工与授权控制，全面实现控制（总要求是：职责分工与授权控制，全面实现控制目标）目标）、第一关键控制点、第一关键控制点、第二关键控制点、第二关键控制点N N、评估与披露（第、评估与披露（第-1-1个关键控制点）个关键控制点）3 3、企业内部控制评价指引企业内部控制评价指引1 1个个（1 1）管理层要提交内部控制评价报告管理层要提交内部控制评价报告 （年度评价和专项评价）（年度评价和专项评价）（2 2）评价工作的组织与实施）评价工作的组织与实施 1 1）

11、谁负责：谁负责：企业主要负责人企业主要负责人 2 2）谁实施：谁实施：董事会（或类似决策机构）或其授权机董事会（或类似决策机构）或其授权机构（可借助构（可借助CPACPA或外部专家）或外部专家）3 3）遵循原则：遵循原则：全面性、重要性和独立性等原则全面性、重要性和独立性等原则 4 4）评价工作程序（即评价方案的设计及实施）评价工作程序（即评价方案的设计及实施）5 5）评价方法评价方法 6 6）工作底稿编制与复核工作底稿编制与复核（3 3）年度评价和报告的内容年度评价和报告的内容1 1）评价：）评价：对对整个年度、所有内部控制整个年度、所有内部控制在某一基准日在某一基准日 的有效性评价后，发表

12、的有效性评价后，发表一个意见一个意见。2 2）报告：）报告：只需且只能报告内控设计或执行存在的只需且只能报告内控设计或执行存在的 重大缺陷重大缺陷 注注1 1：内部控制缺陷认定有三种：内部控制缺陷认定有三种：重大缺陷重大缺陷;重要缺重要缺陷陷;一般缺陷。一般缺陷。注注2 2：20102010年上市公司内部控制自我评价报告存在的问年上市公司内部控制自我评价报告存在的问题：只报告与财务报告密切相关的内部控制设计和运题：只报告与财务报告密切相关的内部控制设计和运行情况。这样做对吗？行情况。这样做对吗？（4 4）内部控制评价报告）内部控制评价报告 1 1）组织实施内部控制评价的总体情况。）组织实施内部

13、控制评价的总体情况。2 2）内部控制责任主体的声明。）内部控制责任主体的声明。3 3）内部控制评价的范围和内容。）内部控制评价的范围和内容。4 4）内部控制评价的标准和依据。）内部控制评价的标准和依据。5 5）内部控制评价的程序和方法。）内部控制评价的程序和方法。6 6）内部控制重大缺陷及其认定情况。）内部控制重大缺陷及其认定情况。7 7）内部控制重大缺陷的整改措施及责任追究情）内部控制重大缺陷的整改措施及责任追究情况。况。8 8）内部控制有效性的结论（基准日）。）内部控制有效性的结论（基准日）。敬请注意：存在一个或多个内部控制重大缺陷敬请注意：存在一个或多个内部控制重大缺陷的，应当作出内部控

14、制无效的结论。的，应当作出内部控制无效的结论。正题：企业内部控制审计指引讲解正题：企业内部控制审计指引讲解开场白：开场白：1 1、CPACPA和企业的责任都在不断地加大；和企业的责任都在不断地加大；2 2、内控审计结果将成为考核企业的重要指标；内控审计结果将成为考核企业的重要指标；3 3、与财务报表审计有较大的不同。与财务报表审计有较大的不同。建议建议:CPACPA和企业（公司）领导层都要高度重和企业（公司）领导层都要高度重视内部控制问题视内部控制问题 背景回顾：美国内部控制审计的发展历程2002年，年，萨班斯萨班斯奥克斯利法案奥克斯利法案 2004年年3月，月，PCAOB，AS NO2 20

15、07年年6月，月，PCAOB，AS NO5An audit of Internal Control Over Financial Reporting That is Integrated with An audit of Financial Statements CPACPA与内控关系发展史：与内控关系发展史：财务报表审计中财务报表审计中不关注不关注内控内控 财务报表审计中财务报表审计中关注关注与审计相关的内控与审计相关的内控（新旧国际准则要求（新旧国际准则要求不同）不同）单独审核单独审核（EXAMINATIONEXAMINATION）财务报告内部财务报告内部控制控制 单独单独审计审计财报内控

16、（财报内控（AUDITAUDIT）（跨入双重审计新时代）（跨入双重审计新时代），要求公司管理层先得编制内部控制自评报告，后要求公司管理层先得编制内部控制自评报告，后CPACPA再审计再审计一、指引（7章35条）的结构1 1章、总则章、总则2 2章、计划审计工作章、计划审计工作3 3章、实施审计工作章、实施审计工作4 4章、评价控制缺陷章、评价控制缺陷5 5章、完成审计工作章、完成审计工作6 6章、出具审计报告章、出具审计报告7 7章、记录审计工作章、记录审计工作附录：附录：4 4个内部控制审计报告的参考格式个内部控制审计报告的参考格式二、各章内容讲解第一章“总则”讲解（5条）1 1、制定的目的

17、和依据、制定的目的和依据 第一条第一条 为了为了规范注册会计师执规范注册会计师执行企业内部控制审计业务，明确工作行企业内部控制审计业务，明确工作要求，保证执业质量，要求，保证执业质量，根据根据企业内企业内部控制基本规范部控制基本规范、中国注册会计中国注册会计师鉴证业务基本准则师鉴证业务基本准则及相关执业准及相关执业准则，制定本指引。则，制定本指引。2 2、内部控制审计的定义和责任划分、内部控制审计的定义和责任划分 第二条第二条 本指引所称内部控制审计，是指本指引所称内部控制审计，是指会计师事务所接受委托，对会计师事务所接受委托，对特定基准日特定基准日内部控制内部控制内部控制内部控制设设计与运行

18、计与运行的有效性进行审计。的有效性进行审计。第三条第三条 建立健全和有效实施内部控制，评价建立健全和有效实施内部控制，评价内部控制的有效性是内部控制的有效性是企业董事会企业董事会的责任。按照本指的责任。按照本指引的要求，在实施审计工作的基础上对内部控制的引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是有效性发表审计意见，是注册会计师注册会计师的责任。的责任。（注意：（注意：CPA审计不能减轻管理层责任）审计不能减轻管理层责任）3 3、总体审计要求、总体审计要求 第四条第四条 注册会计师执行内部控制注册会计师执行内部控制审计工作，应当审计工作，应当获取充分、适当的证获取充分、适

19、当的证据据，为发表内部控制审计意见提供合，为发表内部控制审计意见提供合理保证。理保证。证据证据 注册会计师应当对注册会计师应当对财务报告内部财务报告内部控制控制的有效性发表审计意见，并对内的有效性发表审计意见，并对内部控制审计过程中注意到的部控制审计过程中注意到的非财务报非财务报告内部控制告内部控制的重大缺陷，在内部控制的重大缺陷，在内部控制审计报告中增加审计报告中增加“非财务报告内部控非财务报告内部控制重大缺陷描述段制重大缺陷描述段”予以披露。予以披露。报告报告4 4、内部控制审计与财务报表审计的关系、内部控制审计与财务报表审计的关系 第五条第五条 注册会计师注册会计师可以单独可以单独进行内

20、部控制审进行内部控制审计，也可以将内部控制审计与财务报表审计计，也可以将内部控制审计与财务报表审计整合整合进行进行（以下简称整合审计）。（以下简称整合审计）。在整合审计中，注册会计师应当在整合审计中，注册会计师应当对内部控制对内部控制设计与运行的有效性进行测试设计与运行的有效性进行测试，以同时实现下列，以同时实现下列目标：目标：（一）获取充分、适当的证据，支持其在内部（一）获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见；控制审计中对内部控制有效性发表的意见；（二）获取充分、适当的证据，支持其在财务（二）获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。报

21、表审计中对控制风险的评估结果。（思考问题：两种审计是同一家事务所做，还是不（思考问题：两种审计是同一家事务所做，还是不同事务所做？）同事务所做？）补充讲：两种审计中控制测试和实质性程序补充讲：两种审计中控制测试和实质性程序之间的关系之间的关系 1 1、内部控制审计中对控制有效性的测试、内部控制审计中对控制有效性的测试 1）注册会计师应当获取内部控制在一段足够长的）注册会计师应当获取内部控制在一段足够长的期间内有效运行的证据，测试的期间期间内有效运行的证据，测试的期间可能短于财务报表可能短于财务报表涵盖的整个期间涵盖的整个期间（通常一年）。（通常一年）。（测试时间）（测试时间）2）注册会计师应当

22、测试）注册会计师应当测试所有相关认定所有相关认定的控制，以的控制，以获取其设计和运行有效性的证据。获取其设计和运行有效性的证据。（测试范围）（测试范围）如果仅对财务报表发表审计意见，注册会计师可如果仅对财务报表发表审计意见，注册会计师可能不需要测试这些控制能不需要测试这些控制。3）在内控审计中，注册会计师在对内控有效性形）在内控审计中，注册会计师在对内控有效性形成结论时，应当成结论时，应当同时考虑同时考虑财务报表审计中实施的、所有财务报表审计中实施的、所有针对控制设计和运行有效性测试的结果。针对控制设计和运行有效性测试的结果。（相互利用）（相互利用）2 2、财务报表审计中对控制有效性的测试、财

23、务报表审计中对控制有效性的测试 1）如果将某项财务报表认定的控制风险评估为）如果将某项财务报表认定的控制风险评估为低于最高水平，注册会计师需要获取拟信赖的相关控低于最高水平，注册会计师需要获取拟信赖的相关控制在制在整个期间整个期间有效运行的证据。有效运行的证据。（测试时间）（测试时间）2）注册会计师不必将）注册会计师不必将所有相关认定所有相关认定的控制风险的控制风险评估为低于最高水平，因此，可能不对所有控制的运评估为低于最高水平，因此，可能不对所有控制的运行有效性进行测试。行有效性进行测试。（测试范围）（测试范围）3）在财务报表审计中，注册会计师在评估控制）在财务报表审计中，注册会计师在评估控

24、制风险时，应当风险时，应当同时考虑同时考虑内控审计中实施的、所有针对内控审计中实施的、所有针对控制设计和运行有效性测试的结果。控制设计和运行有效性测试的结果。（相互利用）（相互利用）3 3、控制有效性的测试对实质性程序的影响、控制有效性的测试对实质性程序的影响 1）如果在内部控制审计中识别出某项控制缺陷，）如果在内部控制审计中识别出某项控制缺陷，注册会计师应当注册会计师应当评价该项缺陷评价该项缺陷对财务报表审计中拟对财务报表审计中拟实施的实质性程序的性质、时间和范围的影响。实施的实质性程序的性质、时间和范围的影响。2）在财务报表审计中，无论控制风险或重大）在财务报表审计中，无论控制风险或重大错

25、报风险的评估水平如何，注册会计师都应当针对错报风险的评估水平如何，注册会计师都应当针对所有重大的各类交易、账户余额及列报实施实质性所有重大的各类交易、账户余额及列报实施实质性程序。程序。为对内部控制的有效性发表意见而实施的测为对内部控制的有效性发表意见而实施的测试程序并不减轻注册会计师遵守上述规定的责任试程序并不减轻注册会计师遵守上述规定的责任。4 4、实质性程序对控制有效性结论的影响、实质性程序对控制有效性结论的影响 1）在内部控制审计中，注册会计师）在内部控制审计中，注册会计师应当评价应当评价财务报表审计中实施的实质性程序的结果对控制财务报表审计中实施的实质性程序的结果对控制有效性结论的影

26、响有效性结论的影响。评价内容应当包括：。评价内容应当包括：（1）注册会计师作出的、与选择和实施实质）注册会计师作出的、与选择和实施实质性程序相关的风险评估，尤其是与舞弊相关的风性程序相关的风险评估，尤其是与舞弊相关的风险评估；险评估；（2）发现的违反法规行为和关联方交易方面）发现的违反法规行为和关联方交易方面的问题；的问题；（3）表明管理层在选择会计政策和作出会计）表明管理层在选择会计政策和作出会计估计时存在偏见的情况；估计时存在偏见的情况；（4）实施实质性程序发现的错报。）实施实质性程序发现的错报。2）注册会计师应当通过直接测试控制获取控）注册会计师应当通过直接测试控制获取控制是否有效的证据

27、，制是否有效的证据，而不能根据实质性程序没有而不能根据实质性程序没有发现错报，推断该项控制的有效性发现错报，推断该项控制的有效性。第二章“计划审计工作”讲解（4条）1 1、总体要求、总体要求 第六条第六条 注册会计师应当恰当地计划内部控制审计工作，配备注册会计师应当恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。具有专业胜任能力的项目组，并对助理人员进行适当的督导。2 2、考虑因素、考虑因素 第七条第七条 在计划审计工作时，注册会计师应当评价下列事项对在计划审计工作时，注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响：内部控制、财务报表以及

28、审计工作的影响：（一）与企业相关的风险；（一）与企业相关的风险；（二）相关法律法规和行业概况；（二）相关法律法规和行业概况；（三）企业组织结构、经营特点和资本结构等相关重要事项；（三）企业组织结构、经营特点和资本结构等相关重要事项；（四）企业内部控制最近发生变化的程度；（四）企业内部控制最近发生变化的程度；（五）与企业沟通过的内部控制缺陷；（五）与企业沟通过的内部控制缺陷；（六）重要性、风险等与确定内控重大缺陷相关的因素；（六）重要性、风险等与确定内控重大缺陷相关的因素；（七）对内部控制有效性的初步判断；（七）对内部控制有效性的初步判断；（八）可获取的、与内控有效性相关的证据的类型和范围。（八

29、）可获取的、与内控有效性相关的证据的类型和范围。3 3、风险导向、风险导向 第八条第八条 注册会计师应当注册会计师应当以以风险评估风险评估为为基础，选择拟测试的控制，确定测试所需基础，选择拟测试的控制，确定测试所需收集的证据。收集的证据。内部控制的特定领域存在重大缺陷的风内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多。险越高，给予该领域的审计关注就越多。4 4、利用其他相关人员的工作、利用其他相关人员的工作 第九条第九条 注册会计师注册会计师应当对企业内部控制自我评价工应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员、内部控制作进行评估，判断是否利用企

30、业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度评价人员和其他相关人员的工作以及可利用的程度，相应，相应减少可能本应由注册会计师执行的工作。减少可能本应由注册会计师执行的工作。需要判断需要判断 1）注册会计师利用企业内部审计人员、内部控制评）注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作，价人员和其他相关人员的工作，应当对其专业胜任能力和应当对其专业胜任能力和客观性进行充分评价。客观性进行充分评价。2）与某项控制相关的风险越高，可利用程度就越低，）与某项控制相关的风险越高，可利用程度就越低，注册会计师应当更多地对该项控制亲自进行测试。注册会计师应当更多

31、地对该项控制亲自进行测试。3）注册会计师应当对发表的审计意见独立承担责任，）注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。和其他相关人员的工作而减轻。责任责任 （另外计划时还要考虑：调整审计工作，应对舞弊风险，（另外计划时还要考虑：调整审计工作，应对舞弊风险，确定重要性水平，对企业使用服务机构的考虑等问题）确定重要性水平，对企业使用服务机构的考虑等问题）第三章第三章“实施审计工作实施审计工作”讲解（讲解（2020条）条）1 1、运用自上而下方法，选择拟测试的控制、运用自

32、上而下方法，选择拟测试的控制 第十条第十条 注册会计师应当按照注册会计师应当按照自上而下自上而下的方法的方法实施审计工作。自上而下的方法是实施审计工作。自上而下的方法是注册会计师注册会计师识别风险识别风险、选择拟测试控制选择拟测试控制的的基本思路。注册会计师在实施审计工作时，基本思路。注册会计师在实施审计工作时，可以将可以将企业层面控制和业务层面控制企业层面控制和业务层面控制的测的测试结合进行。试结合进行。补充讲补充讲1：自上而下的方法：自上而下的方法 按照下列思路展开：按照下列思路展开：（1）从财务报表层次初步了解内部控制整体风险；）从财务报表层次初步了解内部控制整体风险；（2）识别）识别企

33、业层面企业层面控制；控制；（3）识别）识别重要账户、列报及其相关认定（注：与业重要账户、列报及其相关认定（注：与业务层面相关）务层面相关）；（4）了解错报的可能来源；）了解错报的可能来源；（5）选择拟测试的控制。）选择拟测试的控制。自上而下的方法是注册会计师识别风险及选择拟自上而下的方法是注册会计师识别风险及选择拟测试的控制的思路，但并不一定是实施审计工作测试的控制的思路，但并不一定是实施审计工作的顺序。的顺序。补充讲补充讲2 2：重要账户、列报：重要账户、列报及其相关认定的含义及其相关认定的含义1）如果）如果某账户或列报某账户或列报具有合理可能性包含了一个具有合理可能性包含了一个错报，该错报

34、单独或连同其他错报将错报，该错报单独或连同其他错报将对财务报表对财务报表产生重大影响产生重大影响（需要同时考虑多报和少报的风险）（需要同时考虑多报和少报的风险），则该账户或列报为重要账户或列报。判断某账，则该账户或列报为重要账户或列报。判断某账户或列报是否重要，应当户或列报是否重要，应当依据其固有风险依据其固有风险，而不，而不应考虑相关控制的影响。应考虑相关控制的影响。2）如果）如果某财务报表认定某财务报表认定具有合理可能性包含了一具有合理可能性包含了一个或多个错报，这个或这些错报将个或多个错报，这个或这些错报将导致财务报表导致财务报表发生重大错报发生重大错报，则该认定为相关认定。判断某认，则

35、该认定为相关认定。判断某认定是否为相关认定，应当定是否为相关认定，应当依据其固有风险依据其固有风险，而不，而不应考虑相关控制的影响。应考虑相关控制的影响。3）在内部控制审计中，注册会计师在识别在内部控制审计中，注册会计师在识别重要账户、列报及其相关认定时应当评价重要账户、列报及其相关认定时应当评价的风险因素的风险因素,与财务报表审计中考虑的因素与财务报表审计中考虑的因素相同。因此，相同。因此，在这两种审计中识别的重要在这两种审计中识别的重要账户、列报及其相关认定应当相同账户、列报及其相关认定应当相同。4）在财务报表审计中，注册会计师可能针）在财务报表审计中，注册会计师可能针对对非重要非重要账户

36、、列报及其相关认定实施实账户、列报及其相关认定实施实质性程序。质性程序。补充讲补充讲3 3：选择拟测试的控制：选择拟测试的控制1）注册会计师应当评价控制是否足以应对评估的）注册会计师应当评价控制是否足以应对评估的每个相关认定的错报风险，并每个相关认定的错报风险，并选择其中对形成评选择其中对形成评价结论具有重要影响的控制进行测试价结论具有重要影响的控制进行测试。2）对特定的相关认定而言，可能有多项控制应对）对特定的相关认定而言，可能有多项控制应对评估的错报风险；反之，一项控制可能应对评估评估的错报风险；反之，一项控制可能应对评估的多个相关认定的错报风险。注册会计师的多个相关认定的错报风险。注册会

37、计师没有必没有必要测试与某个相关认定有关的所有控制要测试与某个相关认定有关的所有控制。3）在确定是否测试某项控制时，注册会计师应当）在确定是否测试某项控制时，注册会计师应当考虑该项控制单独或连同其他控制，是否足以应考虑该项控制单独或连同其他控制，是否足以应对评估的某项相关认定的错报风险，对评估的某项相关认定的错报风险，而不论该项而不论该项控制的分类和名称如何。控制的分类和名称如何。2 2、测试企业层面控制、测试企业层面控制第十一条第十一条 注册会计师测试企业层面控制，应当把握注册会计师测试企业层面控制，应当把握重要性原则，重要性原则，至少应当关注：至少应当关注：（一）与内部环境相关的控制；（一

38、）与内部环境相关的控制；（二）针对董事会、经理层凌驾于控制之上的风险（二）针对董事会、经理层凌驾于控制之上的风险而设计的控制；而设计的控制；（三）企业的风险评估过程；（三）企业的风险评估过程；（四）对内部信息传递和财务报告流程的控制；（四）对内部信息传递和财务报告流程的控制；（五）对控制有效性的内部监督和自我评价。（五）对控制有效性的内部监督和自我评价。3 3、测试业务层面控制、测试业务层面控制第十二条第十二条 注册会计师测试业务层面控制，应当把注册会计师测试业务层面控制，应当把握重要性原则，结合企业实际、企业内部控制各项握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制

39、的测试情况，重点应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进对企业生产经营活动中的重要业务与事项的控制进行测试。行测试。（与重要账户、列报及其认定相关）（与重要账户、列报及其认定相关）注册会计师应当关注信息系统对内部控制及风注册会计师应当关注信息系统对内部控制及风险评估的影响。险评估的影响。4 4、考虑舞弊风险、考虑舞弊风险第十三条第十三条 注册会计师在测试企业层面控制和业务注册会计师在测试企业层面控制和业务层面控制时，应当评价内部控制是否足以应对舞弊层面控制时，应当评价内部控制是否足以应对舞弊风险。风险。5 5、测试的内容、测试的内容第十四条第十四

40、条 注册会计师应当测试内部控制注册会计师应当测试内部控制设设计计与与运行运行的有效性。的有效性。如果某项控制由拥有必要授权和专业胜如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行，任能力的人员按照规定的程序与要求执行，能够实现控制目标，能够实现控制目标，表明该项控制的设计表明该项控制的设计是有效的是有效的。如果某项控制正在按照设计运行，执行如果某项控制正在按照设计运行，执行人员拥有必要授权和专业胜任能力，能够人员拥有必要授权和专业胜任能力，能够实现控制目标，实现控制目标，表明该项控制的运行是有表明该项控制的运行是有效的效的。6 6、测试的程序、测试的程序1 1）确定原则）

41、确定原则第十五条第十五条 注册会计师应当注册会计师应当根据与内部控制相关的根据与内部控制相关的风险，风险，确定拟实施审计程序的性质、时间安排和确定拟实施审计程序的性质、时间安排和范围，获取充分、适当的证据。与内部控制相关范围，获取充分、适当的证据。与内部控制相关的风险越高，注册会计师需要获取的证据应越多。的风险越高，注册会计师需要获取的证据应越多。风险导向风险导向2 2）程序种类）程序种类第十六条第十六条 注册会计师在测试控制设计与运行的有注册会计师在测试控制设计与运行的有效性时，应当综合运用效性时，应当综合运用询问询问适当人员、适当人员、观察观察经营经营活动、活动、检查检查相关文件、相关文件

42、、穿行测试穿行测试和和重新执行重新执行等方等方法。法。询问本身并不足以提供充分、适当的证据。询问本身并不足以提供充分、适当的证据。7 7、测试的时间安排、测试的时间安排第十七条第十七条 注册会计师在确定测试的时间安注册会计师在确定测试的时间安排时，应当在下列两个因素之间作出平衡，排时，应当在下列两个因素之间作出平衡，以获取充分、适当的证据：以获取充分、适当的证据：（一）尽量在接近企业内部控制自我评（一）尽量在接近企业内部控制自我评价基准日实施测试；价基准日实施测试；（二）实施的测试需要涵盖（二）实施的测试需要涵盖足够长足够长的期的期间间（不是全年！）（不是全年！）。8 8、控制偏差的处理、控制

43、偏差的处理第十八条第十八条 注册会计师对于内部控制运行偏离设计注册会计师对于内部控制运行偏离设计的情况（即控制偏差），的情况（即控制偏差），应当确定该偏差对相关应当确定该偏差对相关风险评估、需要获取的证据以及控制运行有效性风险评估、需要获取的证据以及控制运行有效性结论的影响结论的影响。9 9、连续审计时的考虑、连续审计时的考虑第十九条第十九条 在连续审计中，注册会计师在确定测试在连续审计中，注册会计师在确定测试的性质、时间安排和范围时，的性质、时间安排和范围时，应当考虑以前年度应当考虑以前年度执行内部控制审计时了解的情况执行内部控制审计时了解的情况。第四章第四章“评价控制缺陷评价控制缺陷”讲解

44、（讲解（3 3条）条）1 1、缺陷的种类、缺陷的种类第二十条第二十条 内部控制缺陷按其成因分为内部控制缺陷按其成因分为1）设计缺陷和运行缺陷设计缺陷和运行缺陷，按其影响程度分为，按其影响程度分为 2）重大缺陷、重要缺陷和一般缺陷）重大缺陷、重要缺陷和一般缺陷。注册会计师应当评价其识别的各项内部注册会计师应当评价其识别的各项内部控制缺陷的严重程度，以控制缺陷的严重程度，以确定这些缺陷单确定这些缺陷单独或组合起来，是否构成重大缺陷独或组合起来，是否构成重大缺陷。1 1）设计缺陷和运行缺陷）设计缺陷和运行缺陷企业在内部控制评价中，应对内部控制企业在内部控制评价中，应对内部控制缺陷进行分类分析。缺陷进

45、行分类分析。设计缺陷：设计缺陷：缺少为实现控制目标所必缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。常运行也难以实现控制目标。运行缺陷：运行缺陷：现存设计完好的控制没有现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。权或缺乏胜任能力以有效地实施控制。2 2）重大缺陷、重要缺陷和一般缺陷）重大缺陷、重要缺陷和一般缺陷重大缺陷：重大缺陷：是指一个或多个控制缺陷的组合，可能是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标的情形。导

46、致企业严重偏离控制目标的情形。重要缺陷：重要缺陷：是指一个或多个控制缺陷的组合，其严是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标的情形。企业偏离控制目标的情形。一般缺陷：一般缺陷：是指除重大缺陷、重要缺陷之外的其他是指除重大缺陷、重要缺陷之外的其他控制缺陷。控制缺陷。注意：A,即使财务报表不存在重大错报，内部控制也可能存在重大缺陷.B,如果内部控制存在一项或多项重大缺陷，内部控制应被认定为无效.2 2、考虑补偿性控制的影响、考虑补偿性控制的影响第二十一条第二十一条 在确定一项内部控制缺陷或多项内部控制

47、缺在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时，注册会计师应当评价补偿陷的组合是否构成重大缺陷时，注册会计师应当评价补偿性控制（替代性控制）的影响。企业执行的补偿性控制应性控制（替代性控制）的影响。企业执行的补偿性控制应当具有同样的效果。当具有同样的效果。3 3、重大缺陷迹象、重大缺陷迹象第二十二条第二十二条 表明内部控制可能存在重大缺陷的迹象，主表明内部控制可能存在重大缺陷的迹象，主要包括：要包括：（一）注册会计师发现董事、监事和高级管理人员舞弊；（一）注册会计师发现董事、监事和高级管理人员舞弊；（二）企业更正已经公布的财务报表；（二）企业更正已经公布的财务报表；（三）注

48、册会计师发现当期财务报表存在重大错报，而内（三）注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报；部控制在运行过程中未能发现该错报；（四）企业审计委员会和内部审计机构对内部控制的监督（四）企业审计委员会和内部审计机构对内部控制的监督无效。无效。第五章第五章“完成审计工作完成审计工作”讲解（讲解（4 4条）条）1 1、获取企业书面声明、获取企业书面声明（第（第23条条)(包括包括6项内容）项内容）2 2、拒绝提供书面声明时的处理、拒绝提供书面声明时的处理（第（第24条）条）注册会计师应当将其注册会计师应当将其视为审计范围受到视为审计范围受到限制限制，解除业务约定或出具

49、无法表示意见，解除业务约定或出具无法表示意见的内部控制审计报告。的内部控制审计报告。3 3、沟通控制缺陷（第、沟通控制缺陷（第2525条）条）1）注册会计师应当与企业沟通审计过程中识）注册会计师应当与企业沟通审计过程中识别的所有控制缺陷。别的所有控制缺陷。2）对于其中的重大缺陷和重要缺陷，应当以）对于其中的重大缺陷和重要缺陷，应当以书面形式书面形式与董事会和经理层沟通。与董事会和经理层沟通。3）注册会计师认为审计委员会和内部审计机）注册会计师认为审计委员会和内部审计机构对内部控制的监督无效的，应当就此构对内部控制的监督无效的，应当就此以书面形以书面形式直接式直接与董事会和经理层沟通。与董事会和

50、经理层沟通。4）书面沟通应当在注册会计师出具内部控制）书面沟通应当在注册会计师出具内部控制审计报告之前进行。审计报告之前进行。4 4、形成审计意见（第、形成审计意见（第2626条条)注册会计师应当对获取的证据进行评价，形注册会计师应当对获取的证据进行评价，形成对内部控制有效性的意见。成对内部控制有效性的意见。第六章第六章“出具审计报告出具审计报告”讲解（讲解（7 7条）条）1、标准内部控制审计报告的构成要素（第、标准内部控制审计报告的构成要素（第27条）条）2、出具、出具无保留意见无保留意见审计报告的条件（审计报告的条件（28条，条，附录一附录一）3、出具、出具带强调事项段的无保留意见带强调事