XXXX企业内部控制审计指引实施意见bfqr.pptx

《XXXX企业内部控制审计指引实施意见bfqr.pptx》由会员分享，可在线阅读，更多相关《XXXX企业内部控制审计指引实施意见bfqr.pptx（115页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、1企业内部控制审计指引实施意见企业内部控制审计指引实施意见2012年8月厦门2一、内部控制审计的制度背景一、内部控制审计的制度背景 3制度背景Sarbanes-Oxley Act of 2002，要求发行者管理层对其内部控制进行自我评估，并要求由出具财务报表审计报告的会计师事务所对管理层的自我评估进行独立鉴证并出具报告。年报审计应当与内部控制审计整合进行。(SECTION 404)JOBSACT2012 对年营业收入在10亿美元的小型公众公司予以豁免。4制度背景证监会首次公开发行股票并上市管理办法(2006年)“财务与会计一节”规定，发行人的内部控制在所有重大方面是有效的，并由注册会计师出具了

2、无保留结论的内部控制鉴证报告，是发行条件之一。5制度背景公开发行证券的公司信息披露内容与格式准则第1号招股说明书（2006)规定，发行人应披露公司管理层对内部控制完整性、合理性及有效性的自我评估意见以及注册会计师对公司内部控制的鉴证意见。注册会计师指出公司内部控制存在缺陷的，应予披露并说明改进措施。6制度背景企业内部控制基本规范（2008)规定，执行本规范的上市公司，应当对本公司的内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。接受企业委托从事内部控制审计的会计师事务所，应当根据本规范及其配套办法和相关执业准则，对企业

3、内部控制的有效性进行审计，出具审计报告。7制度背景2010年4月26日，财政部发布企业内部控制审计指引等配套指引，自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行；同时，鼓励非上市大中型企业提前执行。8制度背景执行企业内控规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷，应

4、当提示投资者、债权人和其他利益相关者关注。9制度背景执行企业内控规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷，应当提示投资者、债权人和其他利益相关者关注。10制度背景财政部、证监会关于2012年主板上市公司分类分批实施企业内部控制规范体系的通知财办会201230号中央和地方国有控股上市公司，应于2012年全面实施企业内部控制规范体系，并在披露2012年公司年报的同时，披露董事会对公司内部控制的自我

5、评价报告以及注册会计师出具的财务报告内部控制审计报告。11制度背景非国有控股主板上市公司，且于2011年12月31日公司总市值（证监会算法）在50亿元以上，同时2009年至2011年平均净利润在3000万元以上的，应在披露2013年公司年报的同时，披露董事会对公司内部控制的自我评价报告以及注册会计师出具的财务报告内部控制审计报告。其他主板上市公司，应在披露2014年公司年报的同时，披露董事会对公司内部控制的自我评价报告以及注册会计师出具的财务报告内部控制审计报告。12制度背景特殊情况：一是主板上市公司因进行破产重整、借壳上市或重大资产重组，无法按照规定时间建立健全内控体系的，原则上应在相关交易

6、完成后的下一个会计年度年报披露的同时，披露内部控制自我评价报告和审计报告，且不早于参照上述（一）至（三）原则确定的披露时间；二是新上市的主板上市公司应于上市当年开始建设内控体系，并在上市的下一年度年报披露的同时，披露内部控制自我评价报告和审计报告，且不早于参照上述（一）至（三）原则确定的披露时间。在上述规定时间范围内，鼓励公司在自愿的基础上提前执行企业内部控制规范体系的披露要求。13国外内部控制鉴证规范美国AICPAAT 501，适用于非公众公司美国PCAOB No.5，适用于公众公司14国外内部控制鉴证规范国际审计与鉴证准则理事会尚无类似项目ISAE 3402,Assurance Repor

7、ts on a Service Organizations Controls15我国原有的内部控制鉴证规范2001年中注协发布内部控制审核指导意见最大特点是年报审计与内部控制审核独立进行。没有提出自上而下和风险导向的审计思路16我国内部控制鉴证规范企业内部控制审计指引2010年4月企业内部控制审计指引实施意见2011年10月企业内部控制审计工作底稿编制指南2011年12月（参考资料，不具有强制性）17二、财务报表审计中对内部控二、财务报表审计中对内部控制的了解和测试制的了解和测试 1819识识别别和和评评估估重重大大错错报报风风险险在了解被审计单位及其环境过程中识别风险，并考虑各类交易、账户余

8、额、列报将识别的风险与认定层次可能发生错报的领域相联系考虑识别的风险是否重大考虑识别的风险导致财务报表发生重大错报的可能性20应应对对评评估估的的重重大大错错报报风风险险财务报表层次认定层次21财财务务报报表表层层次次重重大大错错报报风风险险的的应应对对向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性 分派更有经验或具有特殊技能的审计人员，或利用专家的工作提供更多的督导 增加审计程序的不可预测性对拟实施审计程序的性质、时间和范围作出总体修改22认认定定层层次次重重大大错错报报风风险险的的应应对对根据评估的风险确定拟实施的进一步审计程序的性质、时间和范围23进进一一步步审审计计程程

9、序序控制测试认定层次实质性程序24三、财务报告内部控制审计三、财务报告内部控制审计 25（一）基本定位（一）基本定位 26鉴证业务的性质审计/审阅/审核直接报告业务/基于认定的业务27审计的目标对特点时点企业财务报告内部控制的有效性发表审计意见，包括：设计有效性（合理性）运行有效性28内部控制的目标与要素 29财务报告内部控制的概念企业为了合理保证财务报告及相关信息真实完整而设计和执行的内部控制，旨在：保存充分、适当的记录，准确、公允地反映企业的交易和事项；合理保证按照企业会计准则的规定编制财务报表；合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权；合理保证及时防止或发现未经授权

10、的、对财务报表有重大影响的交易和事项。30非财务报告内部控制举例 企业内部控制应用指引第7号采购业务中的部分非财务报告内部控制企业的采购业务应当集中、避免多头采购，以提高采购业务效率，降低采购成本，堵塞管理漏洞。（第五条）企业应当建立科学的供应商评估和准入制度，确定合格供应商清单，与选定的供应商签订质量保证协议，建议供应商管理信息系统，对供应商提供物资或劳务的质量、价格、交货及时性、供货条件及其资信、经营状况等进行实时管理和综合评价，根据评价结果对供应商进行合理选择和调整。（第七条）企业应当根据市场情况和采购计划合理选择采购方式。大宗采购应当采用招标方式，合理确定招投标的范围、标准、实施程序和

11、评标规则，一般物资或劳务等的采购可以采用询价或定向采购的方式并签订合同协议；小额零星物资或劳务等的采购可以采用直接购买等方式。（第八条）企业应当建立采购物资定价机制，采取协议采购、招标采购、谈判采购、询比价采购等多种方式合理确定采购价格，最大限度地减少市场变化对企业采购价格的影响。大宗采购等应当采用招投标方式确定采购价格，其他商品或劳务的采购，应当根据市场行情制定最高采购限价，并对最高采购限价适时调整。（第九条）企业应当根据生产建设进度和采购物资特性，选择合理的运输工具和运输方式，办理运输、投保等事宜。（第十条）企业应当加强物资采购供应过程的管理，依据采购合同中确定的主要条款跟踪合同履行情况，

12、对可能影响生产或工程进度的异常情况，出具书面报告并及时提出解决方案。（第十二条第一款）31非财务报告内部控制举例 企业内部控制应用指引第9号资产管理中的部分非财务报告内部控制企业应当根据各种存在采购间隔期和当前库存，综合考虑企业生产经营计划、市场供求等因素，充分利用信息系统，合理确定存货采购日期和数量，确保存货处于最佳库存状态。（第十一条）企业应当加强房屋、机器设备等各类固定资产的管理，重视固定资产的维护和更新改造，不断提升固定资产的使用效能，积极促进固定资产处于良好状态。企业应当严格执行固定资产日常维修和大修理计划，定期对固定资产进行维护保养，切实消除安全隐患。企业应当强化对生产线等关键设备

13、运转的监控，严格操作流程，实行岗前培训和岗位许可制度，确保设备安全运转。企业应当根据发展战略，充分利用国家有关自主创新政策，加大技改投入，不断促进固定资产升级，淘汰落后设备，切实做到保持本企业固定资产技术的先进性和企业发展的可持续性。32时期/时点定位于时点33整合审计定位于整合审计，主要考虑：审计效率审计成本对客户的负担34（二）关于签订业务约定书（二）关于签订业务约定书 35业务约定书独立性要求内部控制审计的前提条件适用的内部控制标准就被审计单位认可并理解其责任与治理层和管理层达成一致意见签定单独的业务约定书审计范围财务报告内部控制（需要梳理）豁免36（三）计划审计工作（三）计划审计工作

14、37总体审计策略确定内部控制审计业务特征，以界定审计范围。明确内部控制审计业务的报告目标，以计划审计的时间安排和所需沟通的性质。根据职业判断，考虑用以指导项目组工作方向的重要因素。考虑初步业务活动的结果，并考虑对被审计单位执行其他业务时获得的经验是否与内部控制审计业务相关确定执行内部控制审计业务所需资源的性质、时间安排和范围。38总体审计策略确定审计重要性水平对舞弊风险的特别考虑利用相关人员工作被审计单位利用服务机构多经营场所测试范围的确定39具体审计计划了解和识别内部控制的程序的性质、时间安排和范围；测试控制设计有效性的程序的性质、时间安排和范围；测试控制运行有效性的程序的性质、时间安排和范

15、围。40（四）审计思路（四）审计思路 41审计思路风险导向审计自上而下的审计方法42风险导向审计其实质在于：以财务报告内部控制重大缺陷风险的识别、评估和应对作为审计工作主线，在风险评估的基础上，将审计资源投放在高风险领域，以提高审计效率和效果。审计风险内部控制存在重大缺陷的风险检查风险内部控制存在重大缺陷的风险=控制无效的风险无效导致重大缺陷的风险量体裁衣、因地制宜审计是风险导向审计的自然引申。43风险导向审计风险评估的导向作用确定重要账户确定相关认定确定控制测试的性质、时间安排和范围确定利用他人工作的程度集团测试范围的确定44“自上而下”的工作思路识别、了解和评价企业整体层面控制的设计有效性

16、从财务报表层次识别重大账户识别与每个重大账户相关的认定识别重要的业务流程和主要的交易类别识别流程中错报可能发生的环节识别和测试预防或及时发现错报发生的控制（业务流程、交易和应用控制层面的控制）45识别、了解和评价企业整体层面控制的设计有效性从财务报表层次识别重大账户识别相关认定识别重要的业务流程和主要的交易类别识别流程中错报可能发生的环节识别和测试预防或及时发现错报发生的控制（业务流程层面的控制）选择拟测试的控制46为什么“自上而下”好处：提高审计效率和效果充分利用企业层面的控制的作用，确定合理的测试范围和策略将一些不重要的账户、披露和认定予以剔除，所谓“不重要”是指包含能够引起财务报表产生重

17、大错报的错报的可能性很小。防止注册会计师花费不必要的时间和精力了解不重要的业务流程或控制。所谓“不重要”是指不影响财务报表是否发生重大错报的可能性。将审计资源引向高风险领域注：自上而下的方法不仅用于识别重要账户、列报及其相关认定 和拟测试的控制，还用于评估风险以及分配审计资源。47企业整体层面的控制企业整体层面控制包括：与控制环境相关的控制；针对管理层凌驾于控制之上的风险而设计的控制；企业的风险评估过程；集中化的处理和控制，包括共享的服务环境；监控经营成果的控制；监督其他控制的控制，包括内部审计职能、审计委员会的活动及内部控制自我评价；对期末财务报告流程的控制；针对重大经营控制及风险管理实务的

18、政策。48企业层面控制的作用【例】【例】某电子游戏软件开发企业开设有大量的银行账户，企业的会计职员负责根据事先确定时间表（一些账户的截止日期不同）编制账户的银行存款余额调节表。通过询问管理人员，注册会计师得知该企业的财务总监是一位经验丰富的会计师，每月审查该会计职员编制的银行存款余额调节表，以确定是否及时编制了调节表、编制调节表过程中识别的调节项目的性质以及调节项目是否得以及时解决等。审计方法：财务总监审查的目的是查看会计职员的工作，而不是重新执行该控制。财务总监对调节表的审查的精确度本身不足以发现错报。但是，财务总监的审查仍然可以影响注册会计师的风险评估。注册会计师通过询问、检查文件获取关于

19、财务总监审查的证据，评价该审查的有效性，并且根据评估的风险水平确定所需直接测试的调节控制的数量。如果认为财务总监审查有效且没有其他风险迹象，注册会计师可能减少对调节控制的直接测试。资料来源：PCAOB49企业层面控制的作用【例】甲【例】甲公司生产交通运输工具用的替代燃料产品和系统。所有工厂雇员人数大致相同，每周工作六天，每天两班次。其财务总监在公司已有10年，非常了解业务流程，包括工资流程。他审查由会计集中核算部门编制的每周工资汇总报告。公司扁平的组织结构和规模较小，加上财务总监在企业的工作背景、对企业业务淡旺季、生产周期和工作流程十分了解，熟悉预算和报告流程，财务总监能迅速识别工资不当的信号

20、及其内在的原因，如与某个项目、加班、聘用或临时解聘等情况相关。必要时，财务总监将展开调查以确定是否出现错报或者内部控制运行无效，并采取整改措施。根据对控制环境和针对管理层凌驾于控制之上的风险的控制实施的审计程序，注册会计师发现，该财务总监展示出诚信的品质，并致力于有效的内部控制。50企业层面控制的作用审计方法：注册会计师评价财务总监审查的有效性，包括其精准度。注册会计师询问了财务总监的审查过程，并且获取了审查的其他证据。注册会计师注意到，财务总监调查确定的临界值（超过该金额的差异作为重大差异进行调查），足以发现导致财务报表重大错报的错报。注册会计师选择了一些财务总监标记的、偏离预期值的重大差异

21、，并确定财务总监是否已恰当调查了差异，以确定这些差异是否由错报导致。注册会计师认为，鉴于财务总监进行审查的方式旨在发现错报，审查工作可以发现工资处理的错报。但是，注册会计师认为该项控制需要依赖企业IT系统生成的报告，只有当对这些报告的完整性和准确性的控制有效时，财务总监的审查才能有效。在测试了相关计算机控制以后，注册会计师认为财务总监的审查结合针对工资汇总报告的相关控制，能够实现上述工资处理方面的控制目标。资料来源：PCAOB51业务流程层面的控制控制活动包括:业绩评价。信息处理。信息系统控制活动的两大类是应用控制和信息技术一般控制。实物控制。实物控制包括下列控制：保证资产的实物安全，包括恰当

22、的安全保护措施，如针对接触资产和记录的安全设施；对接触计算机程序和数据文档设置授权；定期盘点并将盘点记录与控制记录相核对。职责分离。52业务流程层面的控制企业可将其经营活动划分为几个业务流程：销售与收款循环；采购与付款循环；工薪与人事循环；生产与仓储循环；筹资与投资循环；其他循环 53（五）实施审计工作（五）实施审计工作 54实施审计工作控制有效性的内涵控制有效性测试的性质、时间安排和范围与控制相关的风险55（六）评价控制缺陷（六）评价控制缺陷 56控制缺陷评价控制缺陷的内涵控制缺陷的严重程度补偿性控制表明内部控制存在重大缺陷的迹象控制缺陷整改重大重大缺陷重大缺陷不重大可能性极小很可能缺陷引起

23、错报的缺陷引起错报的严重程度严重程度MATERIALMATERIAL缺陷引起错报的缺陷引起错报的可能性可能性59整改后控制运行的最短期间（或最少运行次数）和整改后控制运行的最短期间（或最少运行次数）和最少测试数量最少测试数量 控制运行控制运行频率频率 整改后控制运行的整改后控制运行的最短期间或最短期间或最少运行次数最少运行次数 测试的最数量测试的最数量 每年1次 11每季1次 2季2每月1次 2月2每周1次 5周5每天1次20天20每天多次25次（分布于涵盖多天的期间，通常不少于15天）25-6060（七）完成审计工作（七）完成审计工作 61完成审计工作获取管理层声明沟通缺陷评价企业内部控制评

24、价报告对相关法律法规规定的要素的列报是否完整和恰当62获取管理层声明注册会计师应当获取经被审计单位签署的书面声明。书面声明的内容应当包括：被审计单位董事会认可其对建立健全和有效实施内部控制负责；被审计单位已对内部控制进行了评价，并编制了内部控制评价报告；被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作为评价的基础；被审计单位根据内部控制标准评价内部控制有效性得出的结论；被审计单位已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷和重要缺陷；被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞弊，以及其他不会导致财务报表发生重大错报，但涉及

25、管理层、治理层和其他在内部控制中具有重要作用的员工的所有舞弊；注册会计师在以前年度审计中识别出的且已与被审计单位沟通的重大缺陷和重要缺陷是否已经得到解决，以及哪些缺陷尚未得到解决；在基准日后，内部控制是否发生变化，或者是否存在对内部控制产生重要影响的其他因素，包括被审计单位针对重大缺陷和重要缺陷采取的所有纠正措施。63沟通缺陷对于重大缺陷和重要缺陷，注册会计师应当以书面形式与管理层和治理层沟通。书面沟通应当在注册会计师出具内部控制审计报告之前进行。注册会计师应当以书面形式与管理层沟通其在审计过程中识别的所有其他内部控制缺陷，并在沟通完成后告知治理层。在进行沟通时，注册会计师无需重复自身、内部审

26、计人员或被审计单位其他人员以前书面沟通过的控制缺陷。64内部控制审计与管理层自我评估的关系企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送。在企业治理层的监督下，按照企业内部控制基本规范和相关规定，设计、实施和维护有效的内部控制，并评价其有效性是企业管理层的责任。按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。内部控制审计不能减轻企业管理层的责任。注册会计师在内部控制审计或财务报表审计中实施的程序并不是企业内部控制的组成部分。65（八）出具审计报告（八）出具审计报告 66无保留意见审计报告内部控制不存在重大缺陷不存在审计范围受到限制的情况

27、67无保留意见审计报告股份有限公司全体股东：按照企业内部控制审计指引及中国注册会计师执业准则的相关要求，我们审计了股份有限公司（以下简称公司）年 月 日的财务报告内部控制的有效性。一、企业对内部控制的责任 按照企业内部控制基本规范、企业内部控制应用指引、企业内部控制评价指引的规定，建立健全和有效实施内部控制，并评价其有效性是企业董事会的责任。68无保留意见审计报告 二、注册会计师的责任 我们的责任是在实施审计工作的基础上，对财务报告内部控制的有效性发表审计意见，并对发现的非财务报告内部控制的重大缺陷进行描述。69无保留意见审计报告 三、内部控制的固有局限性 内部控制具有固有局限性，存在不能防止

28、和发现错报的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制审计结果推测未来内部控制的有效性具有一定风险。70无保留意见审计报告 四、财务报告内部控制审计意见 我们认为，于 年 月 日，公司按照企业内部控制基本规范和相关规定在所有重大方面保持了有效的财务报告内部控制。71无保留意见审计报告 五、非财务报告内部控制的重大缺陷（如果有）在内部控制审计过程中，我们注意到公司的非财务报告内部控制存在重大缺陷描述该缺陷的性质及其对实现相关控制目标的影响程度。由于存在上述重大缺陷，我们提醒本报告使用者注意相关风险。需要指出的是，我们并不对公司的非财务报

29、告内部控制发表意见或提供保证。本段内容不影响对财务报告内部控制有效性发表的审计意见。72带强调事项段的审计报告无保留意见是前提强调事项73带强调事项段的情形管理层内部控制评价报告的表达不完整或不恰当 如果确定管理层评估报告的表达不完整或不恰当，注册会计师应当在审计报告中增加强调事项段，说明这一情况并解释得出该结论的理由。74带强调事项段的情形期后事项 注册会计师可能知悉在管理层评估日并不存在、但在期后期间发生的事项。如果这类期后事项对内部控制有重大影响，注册会计师应当在审计报告中增加强调事项段，以描述该事项及其影响，或提醒审计报告使用者关注管理层内部控制评估报告中披露的该事项及其影响。75带强

30、调事项段的情形其他信息存在对事实重大错报 如果认为其他信息含有对事实的重大错报，注册会计师应当就此与管理层进行讨论。如果讨论后仍认为存在对事实的重大错报，注册会计师应当以书面形式，将其看法告知管理层和审计委员会。76带强调事项段内部控制审计报告 以上内容同标准审计报告 六、强调事项 我们提醒内部控制审计报告使用者关注，（描述强调事项的性质及其对内部控制的重大影响）。本段内容不影响已对财务报告内部控制发表的审计意见。77否定意见审计报告内部控制存在一项或多项重大缺陷不存在审计范围受到限制的情况78否定意见内部控制审计报告 以上内容同标准审计报告 四、导致否定意见的事项 重大缺陷，重大缺陷是内部控

31、制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。指出注册会计师已识别出的重大缺陷，并说明重大缺陷的性质及其对财务报告内部控制的影响程度。有效的内部控制能够为财务报告及相关信息真实完整提供合理保证，而上述重大缺陷使公司内部控制失去这一功能。79否定意见内部控制审计报告 管理层已识别出上述重大缺陷，并将其包含在企业内部控制评价报告中，但未在所有重大方面得到公允反映。（上述重大缺陷尚未包括在企业内部控制评价报告中管理层已识别出上述重大缺陷，并将其包括在企业内部控制评价报告中，但未在所有重大方面得到公允反映）在公司年财务报表审计中，我们已经考虑了上述

32、重大缺陷对审计程序的性质、时间安排和范围的影响。本报告并未对我们在 年 月 日对公司年财务报表出具的审计报告产生影响。80否定意见内部控制审计报告 五、财务报告内部控制审计意见 我们认为，由于存在上述重大缺陷及其对实现控制目标的影响，于 年 月 日，公司未能按照企业内部控制基本规范和相关规定在所有重大方面保持有效的财务报告内部控制。81否定意见内部控制审计报告 六、非财务报告内部控制的重大缺陷 参见标准内部控制审计报告相关段落表述。82无法表示意见的审计报告审计范围受到限制如果已实施的审计程序识别出内部控制重大缺陷，应当在报告中指明83无法表示意见内部控制审计报告 股份有限公司全体股东：我们接

33、受委托，对股份有限公司（以下简称公司）的财务报告内部控制进行审计。删除注册会计师的责任段，“一、企业对内部控制的责任”和“二、内部控制的固有局限性”参见标准内部控制审计报告相关段落表述。84无法表示意见内部控制审计报告 三、导致无法表示意见的事项 描述审计范围受到限制的具体情况。85无法表示意见内部控制审计报告 四、财务报告内部控制审计意见 由于审计范围受到上述限制，我们未能实施必要的审计程序以获取发表意见所需的充分、适当证据，因此，我们无法对公司于 年 月 日的财务报告内部控制的有效性发表意见。86无法表示意见内部控制审计报告 五、识别的内部控制重大缺陷（如果有）重大缺陷是内部控制中存在的、

34、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。尽管我们无法对公司财务报告内部控制的有效性发表意见，但在我们实施的有限程序的过程中，发现了以下重大缺陷：指出注册会计师已识别出的重大缺陷，并说明重大缺陷的性质及其对财务报告内部控制的影响程度。有效的内部控制能够为财务报告及相关信息真实完整提供合理保证，而上述重大缺陷使公司内部控制失去这一功能。87无法表示意见内部控制审计报告 六、非财务报告内部控制的重大缺陷 参见标准内部控制审计报告相关段落表述。88四、财务报告内部控制审计与四、财务报告内部控制审计与财务报表审计的整合财务报表审计的整合 89两种审计的联系

35、都必须了解内部控制在某些情况下，都涉及测试内控了解和测试内部控制的方法相同90两种审计的区别（1）测试范围财务报表审计：在两种情况下必须测试内控，取决于注册会计师采用的审计方案财务报告内控审计：针对所有相关认定的控制。测试数量财务报表审计：涵盖所信赖期间财务报告内控审计：涵盖足够长的期间。测试所需获得的保证程度91两种审计的区别（2）缺陷评价出具内部控制审计报告利用他人的工作与管理层自我评估报告的关系92审计目标的整合内部控制审计和财务报表审计的目标不同。在整合审计中，注册会计师应当计划和实施对控制设计和运行有效性的测试，以同时实现下列目标：获取充分、适当的证据，支持其在内部控制审计中对内部控

36、制的有效性发表的意见；获取充分、适当的证据，支持其在财务报表审计中对内部控制的风险评估结果。整合审计流程图接受或保持业务接受或保持业务了解被审计单位的行业了解被审计单位的行业状况、法律环境与监管状况、法律环境与监管环境以及其他外部因素环境以及其他外部因素了解被审了解被审计单位的计单位的性质性质了解被审计单了解被审计单位对会计政策位对会计政策的选择和运用的选择和运用了解被审计单位了解被审计单位目标、战略以及目标、战略以及相关经营风险相关经营风险了解被审计单位了解被审计单位财务业绩的衡量财务业绩的衡量和评价和评价实施实质性程序实施实质性程序实施其他审计程序、实施其他审计程序、评价内部控制缺陷评价内

37、部控制缺陷对内部控制有对内部控制有效性发表意见效性发表意见对财务报表发对财务报表发表意见表意见采用自上而下的方法采用自上而下的方法了解和测试内部控制了解和测试内部控制94审计过程的整合都以财务报表重大错报风险评估为起点确定的重要性水平相同确定的重要账户、列报及其相关认定应当相同内部控制了解和测试工作的整合95审计结果的相互参考在内部控制审计中，注册会计师在对内部控制有效性形成结论时，应当同时考虑财务报表审计中实施的、所有针对控制设计和运行有效性测试的结果。在财务报表审计中，注册会计师在评估控制风险时，应当同时考虑内部控制审计中实施的、所有针对控制设计和运行有效性测试的结果。96审计结果的相互参

38、考在内部控制审计中，注册会计师应当评价财务报表审计中实施的实质性程序的结果对控制有效性结论的影响。如果在内部控制审计中识别出某项控制缺陷，注册会计师应当评价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时间和范围的影响。97审计结果的相互参考如果对财务报告内部控制发表了否定意见，注册会计师应当确定该意见对财务报表审计意见的影响。如果对财务报表发表了否定意见，注册会计师应当确定该意见对财务报告内部控制审计意见的影响。98整合作用的极限注册会计师应当通过直接测试控制获取控制是否有效的证据，而不能根据实质性程序没有发现错报，推断该项控制的有效性。在财务报表审计中，无论控制风险或重大错报风险的评估

39、水平如何，注册会计师都应当针对所有重大的各类交易、账户余额及列报实施实质性程序。为对内部控制的有效性发表意见而实施的测试程序并不减轻注册会计师遵守上述规定的责任。99五、项目质量控制复核五、项目质量控制复核 100六、审计工作底稿六、审计工作底稿 101审计工作底稿预期的变化必须形成记录的内容制定的内部控制总体审计策略和具体审计计划及重大修改情况；对企业层面控制的识别、了解和测试；确定重要账户、列报及其相关认定的过程，包括对拟测试组成部分的确定；选择拟测试控制的主要过程及结果；测试控制设计和运行有效性的程序及结果；利用他人工作的程度，以及对他人胜任能力和客观性的评估；对识别的控制缺陷的评价；可

40、能导致出具非标准内部控制审计报告的其他审计发现；形成的审计结论和意见；其他重要事项。102七、内部控制审计的经验七、内部控制审计的经验资料来源资料来源:美国审计质量中心美国审计质量中心 103经验在可行的情况下，利用公司的内部控制自我评价和工作记录。尽早和经常与管理层进行沟通能使审计富有效率与效果。与管理层协调自我评估的时间使注册会计师能够在准则允许的范围内最大程度上利用管理层的工作104经验在审计过程中，尽早识别和评估那些对财务报告内部控制有效性评估有广泛影响的风险与控制考虑没有整改的缺陷对审计的影响105经验将财务报表审计与财务报告内部控制审计作为一项合二为一的审计来计划审计工作在适当的情

41、况下，采用依赖内部控制的审计策略。考虑哪种审计程序能够同时满足实质性测试和控制测试的目的。在可行的情况下，在这些领域执行双重目的审计。106经验注册会计师可以利用实质性测试、风险评估程序，以及从以前年度审计中获取的信息，评估与控制相关的风险，得出控制有效性的结论。这些信息指导控制测试的性质、时间安排和范围。在从事计划和执行控制测试和实质性测试的项目组成员之间进行协同。由于计划和执行整合工作的复杂性，在审计的早期阶段，应由经验丰富的项目组成员（包括特殊领域的专家）介入，在项目推进过程中，这些成员应当继续保持与项目组的紧密联系。107经验由于实施内部控制审计的学习曲线，应当由以前有审计内控经验的人

42、或经过专门的整合审计培训的人参加项目组。使用自上而下、风险导向的审计的方法，从财务报表层次开始，以有效率和富有效果地识别重要账户和披露及其相关认定风险评估越精准，审计方法越能基于评估的风险量体裁衣。108经验不同的审计程序组合，包括穿行测试，能够有效实现指引中规定的目标。信息技术使用的程度、重要性及复杂程度影响财务报表重大错报风险的识别。使用自上而下的方法，从识别企业层面控制开始，以识别那些对足以应对每项相关认定错报风险而言必要的控制。109经验尽最大可能利用其他人员的工作。根据与控制相关的风险，调整测试的性质、时间和范围。在期中测试控制有利于提高审计效率和效果，可以缓和年末工作压力，及早发现

43、控制缺陷。如果控制设计无效，无需再测试控制的运行有效性。如果有足够证据认为，一项设计有效的控制并没有有效运行，注册会计师可以停止测试该项控制。110八、如何将内部控制审计做好八、如何将内部控制审计做好做实做到位做实做到位 111会计师事务所做好内部控制审计业务的举措要高度重视内部控制审计业务，将其作为一项要高度重视内部控制审计业务，将其作为一项单独业务对待单独业务对待要积极组织培训要积极组织培训要尽早修改业务操作规程要尽早修改业务操作规程建立和完善内部控制审计业务质量控制体系。建立和完善内部控制审计业务质量控制体系。112修订内部操作规程体现整合审计的思路审计效率审计成本对客户的负担113建立质量控制复核制度充分认识内部控制审计业务带来的风险对内部控制审计业务实施质量控制复核114加强与客户的沟通强调内部控制审计是一项单独业务，不是财务报表审计的附送品给缺陷整改留下足够时间与客户自我评价工作的协调115