导图社区 CPA-审计-第二十章企业内部控制审计

CPA-审计-第二十章企业内部控制审计

1.本章内容难度较大，主要介绍了内部控制审计的基本概念及流程，并涉及大量实务案例。 2.近几年平均分值3分左右。

编辑于2021-05-21 21:46:15

企业内部…

LordGang

他的近期作品查看更多>>

CPA战略第三章战略选择
2024年企业战略新动向：全球市场博弈下，内忧外患中寻找破局之道。从国际化经营动因到新兴市场战略，涵盖跨国并购、资源整合与竞争对抗。财务战略矩阵与风险搭配指引资金运作，四大基本战略类型助力企业定位。发展中国家企业面临升级挑战，需在价值链分工中找准角色。从蓝海创新到价格敏感，从模仿品牌到高速迭代，揭示市场博弈核心法则。
CPA战略第二章战略分析
"战略决定成败！想掌握企业制胜法宝？这份分析框架帮你洞悉全局：从宏观PEST到微观竞争环境，从价值链拆解到资源能力评估，教你用波士顿矩阵区分'现金牛'与'瘦狗'业务，用SWOT制定攻守策略。内含产业生命周期研判、钻石模型定位核心竞争力，更揭秘'东边不亮西边亮'的多元化破局之道。无论是防御型WT战略还是增长型SO战略，手把手教你用'撸起袖子加油干'的实战思维打通研发、生产、营销全链路！"
CPA战略第一章战略与战略管理概述
"数字时代，战略决定成败！本文深度解析企业战略管理的核心框架：从赚钱目标到创新管理，涵盖战略分析、选择与实施全流程。重点拆解三大层次（总体战略、业务战略、职能战略）和四大创新类型（产品/流程/定位/范式），揭示3M创新漏斗等实战模型。特别探讨利益相关者权力博弈，以及如何通过IPD体系实现技术到产品的转化。无论你是创业者还是管理者，这些战略工具都能帮你建立竞争优势。"

CPA-审计-第二十章企业内部控制审计

社区模板帮助中心，点此进入>>

LordGang

他的近期作品查看更多>>

相似推荐
大纲

CPA战略风险管理、战略实施
- 2.3k
- 1
- 84
- 8
13501805163
substantive procedures
- 829
- 1
- 14
- 0
诗月云间
初级会计实务第一章
- 1.4k
- 0
- 44
- 3
阑珊
会计科目
- 1.5k
- 105
- 105
- 14
Jarvis
增值税法思维导图
- 1.6k
- 30
- 87
- 7
徐灰灰
第六章合同的保全
- 446
- 3
- 24
- 3
早安兮
固定资产
- 1.0k
- 20
- 80
- 8
阑珊
初级会计实务第二章：存货
- 1.0k
- 13
- 109
- 8
阑珊
初级会计实务思维导图
- 1.9k
- 165
- 219
- 45
飞奔的小马
应收及预付款项
- 1.1k
- 12
- 80
- 12
阑珊

第二十章　企业内部控制审计

第六编　企业内部控制审计

本章考情分析

本章内容难度较大，主要介绍了内部控制审计的基本概念及流程，并涉及大量实务案例。近几年平均分值3分左右。2020年考核了多选题。

本章教材变化

1.增加整合审计相关内容。

2.增加应对舞弊风险的考虑相关内容。

3.增加以前审计获取的有关控制运行有效性的审计证据相关内容。

4.修改部分文字表述。

本章基本结构框架

第一节　内部控制审计的概念

一、内部控制审计的背景（略）

二、内部控制审计的范围

1.内部控制：是由企业董事会、监事会、经理层和全体员工实施的旨在实现控制目标的过程。

2.内部控制的目标是合理保证：（5方面）

（1）企业经营管理合法合规；

（2）资产安全；

（3）财务报告及相关信息真实完整；

（4）提高经营效率和效果；

（5）促进企业实现发展战略。

3.内部控制审计：是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。

设计有效性

运行有效性

4.审计意见覆盖的范围

（1）针对财务报告内部控制，注册会计师对其有效性发表审计意见；

（2）针对非财务报告内部控制，注册会计师针对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

5.财务报告内部控制：是指公司的董事会、监事会、经理层及全体员工实施的旨在合理保证财务报告及相关信息真实、完整而设计和运行的内部控制，以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。（突出“真实、完整、可靠”）

真实、完整、可靠

三、内部控制审计基准日

内部控制审计基准日：是指注册会计师评价内部控制在某一时日是否有效所涉及的基准日，也是被审计单位评价基准日，即最近一个会计期间截止日。

【提示】

注册会计师对特定基准日内部控制的有效性发表意见，并不意味着注册会计师只测试基准日这一天的内部控制，而是需要考察足够长一段时间内部控制设计和运行的情况。

四、整合审计（内部控制审计和财务报表审计）

原因

1内部控制审计和财务报表审计存在多方面的联系，例如：

（1）两者都采用风险导向审计模式；

（2）两者均需要识别重点账户、重要类别的交易等重点审计领域。

2.在技术层面和审计实务中：

（1）两者审计模式、程序、方法存在着共同之处；

（2）风险识别、评估和应对等大量工作内容相近

3.有很多的基础工作可以共享，在一项审计工作中发现的问题还可以为另一项工作提供线索和思路。

结论

为提高审计效果和效率，注册会计师可以单独进行内部控制审计，也可以将内部控制审计和财务报表审计整合进行（以下简称“整合审计”）。

【提示】

内部控制审计和财务报表审计在具体目标、保证程度、评价要求、报告类型等方面存在实质性差异。

五、财务报表审计与内部控制审计的异同

（一）相同点

1.识别的重要账户、列报及其相关认定相同

2.测试控制有效性的程序相同（如：询问、观察、检查、重新执行等）

（二）不同点

　　　　内部控制审计　　　　　　

财务报表审计

1.目的　　　　　

对内部控制的有效性发表意见

改善财务报表的质量或内涵，增强除管理层之外的预期使用者对财务报表的信赖程度，即以合理保证的方式提高财务报表的可信度，而不涉及为如何利用信息提供建议

2.测试范围　　　

针对所有重要账户和列报的每一个相关认定获取有效性的审计证据（设计、运行）

可能不测试

不是必须进行控制测试

2种情况、实质性方案

仅实施实质性程序无法应对识别出的重大风险

子主题

3.测试涵盖的期间

基准日之前的足够长的时间内（注：与整个审计期间相区别）

拟信赖内部控制的期间

1.1-12.31

4.控制缺陷的评价

重大缺陷、重要缺陷、一般缺陷

值得关注的内部控制缺陷

5.意见类型　　　

3种意见：无保留意见、否定意见、无法表示意见

4种类型：无保留意见、保留意见、否定意见、无法表示意见

第二节　计划审计工作

一、计划审计工作时应当考虑的事项

在计划审计工作时，注册会计师应当评价下列事项对财务报告内部控制、财务报表及审计工作的影响：（8方面）

1.与企业相关的风险；

了解企业面临的风险可以帮助注册会计师识别重大错报风险，识别重要账户或列报和相关认定以及识别重大业务流程，对内部控制审计的重大风险形成初步评价。

融资困难

银行

营业收入

发生

营业成本

完整性

2.相关法律法规和行业概况；

3.企业组织结构、经营特点和资本结构等相关重要事项；（评价企业是否存在重大的、可能引起重大错报的非常规业务和关联交易，是否构成重大错报风险，以及相关的内部控制是否可能存在重大缺陷）

4.企业内部控制最近发生变化的程度；（从而调整审计计划）

5.与企业沟通过的内部控制缺陷；（未得到有效整改，应当评价对当期的影响）

6.重要性、风险等与确定内部控制重大缺陷相关的因素；

7.对内部控制有效性的初步判断；（结合以上6点）

对于内部控制可能存在重大缺陷的领域，注册会计师应给予充分的关注，具体表现在：（4个方面）

（1）对相关的内部控制亲自进行测试而非利用他人工作；

（2）在接近内部控制评价基准日的时间测试内部控制；

（3）选择更多的组成部分进行测试；

（4）扩大相关内部控制的控制测试范围等。

8.可获取的、与内部控制有效性相关的证据的类型和范围。

【补充例题•多选题】（2019年，改编）

在执行集团公司内部控制审计时，对于内部控制可能存在重大缺陷的业务流程，下列做法中，正确的有（　　）。

A.亲自测试相关内部控制而非利用他人工作

B.选择更多的子公司进行内部控制测试

C.扩大相关内部控制的控制测试范围

D.在接近内部控制评价基准日的时间测试内部控制

【答案】

ABCD

【解析】对于内部控制可能存在重大缺陷的领域，注册会计师应给予充分的关注，具体表现在：对相关的内部控制亲自进行测试而非利用他人工作（选项A）；在接近内部控制评价基准日的时间测试内部控制（选项D）；选择更多的组成部分进行测试（选项B）；扩大相关内部控制的控制测试范围等（选项C）。

二、总体审计策略和具体审计计划

内部控制审计计划分为总体审计策略和具体审计计划两个层次。

（一）总体审计策略

1.总体审计策略：用以总结计划阶段的成果，确定审计的范围、时间和方向，并指导具体审计计划的制定。

2.制定总体审计策略的过程有助于注册会计师结合风险评估程序的结果确定下列事项：（3方面：简单了解）

（1）向具体审计领域分配资源的类别和数量，包括向高风险领域分派经验丰富的项目组成员，向高风险领域分配的审计时间预算等；

（2）何时分配这些资源，包括是在期中审计阶段还是在关键日期调配资源等；

（3）如何管理、指导和监督这些资源，包括预期何时召开项目组预备会和总结会，预期项目合伙人和经理如何进行复核，是否需要实施项目质量复核等。

3.注册会计师应当在总体审计策略中体现下列内容：（5方面）

（1）确定审计业务的特征，以界定审计范围。

（2）明确审计业务的报告目标，以计划审计的时间安排和所需沟通的性质。

（3）根据职业判断，考虑用以指导项目组工作方向的重要因素。

（4）考虑初步业务活动的结果，并考虑对被审计单位执行其他业务时获得的经验是否与内部控制审计业务相关。

（5）确定执行业务所需资源的性质、时间安排和范围。

（二）具体审计计划（程序）

1.具体审计计划比总体审计策略更加详细，内容包括项目组成员拟实施的审计程序的性质、时间安排和范围。

2.注册会计师应当在具体审计计划中体现下列内容：（掌握：3方面）

（1）了解和识別内部控制的程序的性质、时间安排和范围；

（2）测试控制设计有效性的程序的性质、时间安排和范围；

（3）测试控制运行有效性的程序的性质、时间安排和范围。

三、对应对舞弊风险的考虑

2021新增

基本原则

1.在计划和实施内部控制审计工作时，注册会计师应当考虑财务报表审计中对舞弊风险的评估过程。

2.在识别和测试企业层面控制以及选择其他控制进行测试时，注册会计师应当评价：（2个方面）

（1）被审计单位的内部控制是否足以应对识别出的、由于舞弊导致的重大错报风险；

（2）为应对管理层和治理层凌驾于控制之上的风险而设计的控制。

应对措施

如果在内部控制审计中识别出旨在防止或发现并纠正舞弊的控制存在缺陷，注册会计师应当按照《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》的规定，在财务报表审计中制定重大错报风险的应对方案时考虑这些缺陷。

第三节　自上而下的方法

前面

基本原理

1.注册会计师应当采用自上而下的方法选择拟测试的控制。

2.自上而下的方法始于财务报表层次，从注册会计师对财务报告内部控制整体风险的了解开始，然后，将关注重点放在企业层面的控制上，并将工作逐渐下移至重要账户、列报及其相关认定。

随后，确认其对被审计单位业务流程中风险的了解，并选择能足以应对评估的每个相关认定的重大错报风险的控制进行测试。

具体步骤

自上而下的方法分为下列步骤：

1.从财务报表层次初步了解内部控制整体风险；

2.识别、了解和测试企业层面控制；

宏观

3.识别重要账户、列报及其相关认定；

微观

4.了解潜在错报的来源并识別相应的控制；

5.选择拟测试的控制。

一、识别、了解和测试企业层面控制

（一）企业层面控制的内涵

企业层面的控制通常为a.应对企业财务报表整体层面的风险而设计，或b.作为其他控制运行的“基础设施”，通常在比业务流程更高的层面上乃至整个企业范围内运行，其作用比较广泛，通常不局限于某个具体认定。

（二）企业层面控制对其他控制及其测试的影响

1.不同的企业层面控制在性质和精确度上存在差异，注册会计师应当从下列方面考虑这些差异对其他控制及其测试的影响：

（1）某些企业层面控制，例如某些与控制环境相关的控制，对重大错报是否能够被及时防止或发现的可能性有重要影响。（注意：属于间接影响）

（2）某些企业层面控制能够监督其他控制的有效性，但这些控制本身并非精确到足以及时防止或发现相关认定的重大错报。当这些控制运行有效时，注册会计师可以减少原本拟对其他控制的有效性进行测试。（例如，被审计单位的财务总监定期审阅经营收入的详细月度分析报告）。

（3）某些企业层面控制本身能精确到足以及时防止或发现一个或多个相关认定中存在的重大错报。

能精确到

【提示】

如果一项企业层面控制足以应对已评估的重大错报风险，注册会计师可能可以不必测试与该风险相关的其他控制。

2.一般而言，注册会计师可以分析某个控制是否有足够的精确度以及时防止或发现财务报表重大错报，并且考虑以下因素：（3个因素）

（1）内部控制对应的重要账户及列报的性质；

（2）对某些比较稳定或具备预期内在关系的账户，管理层实施的分析对发现财务报表重大错报具有足够的精确度；

（3）管理层分析的细化程度。

【提示】

①注册会计师对企业层面控制的评价，可能增加或减少本应对其他控制所进行的测试。

②注册会计师可以考虑在执行业务的早期阶段对企业层面控制进行测试。

二、识别重要账户、列报及其相关认定

1.相关概念

（1）注册会计师应当基于财务报表层次识别重要账户、列报及其相关认定。

（2）某账户或列报可能存在一个错报，该错报单独或连同其他错报将导致财务报表发生重大错报，则该账户或列报为重要账户或列报。

（3）如果某财务报表认定可能存在一个或多个错报，这个或这些错报将导致财务报表发生重大错报，则该认定为相关认定。

2.在识别重要账户、列报及其相关认定时，注册会计师应当从定性和定量两个方面作出评价，包括考虑舞弊的影响。（总原则：不要说100%）

★★★每年必考★★★

（1）超过财务报表整体重要性的账户，无论是在内部控制审计还是在财务报表审计中，通常情况下被认定为重要账户。（注意：并非必然）

定量

财务报表整体重要性

（2）一个账户或列报，即使从性质方面考虑与之相关的风险较小，但其金额超过财务报表整体重要性越多，该账户或列报被认定为重要账户或列报的可能性也就越大。

（3）一个账户或列报的金额超过财务报表整体重要性，并不必然表明其属于重要账户或列报，因为注册会计师还需要考虑定性的因素。

并不必然

（4）定性的因素也可能导致注册会计师将低于财务报表整体重要性的账户或列报认定为重要账户或列报。

（5）从性质上说，注册会计师可能因为某账户或列报受固有风险或舞弊风险的影响而将其确定为重要账户或列报。（从金额上看并不重大，但很有可能导致重大错报）

很有可能

3.在识别重要账户、列报及其相关认定时，注册会计师不仅需要在重要账户或列报层面考虑风险，还需要深入账户或列报的明细项目（例如，固定资产账户由机器设备、房屋建筑物等部分组成），如果某账户或列报的各明细项目存在的风险差异较大，被审计单位可能需要采用不同的控制以应对这些风险，注册会计师应当分别予以考虑,并针对各自的风险设计审计程序。

4.在识别重要账户、列报及其相关认定时，注册会计师不应考虑（★★★）控制的影响，因为内部控制审计的目标本身就是评价控制的有效性。

★★★★不应考虑控制的影响★★★★

5.在确定某账户、列报是否重要和某认定是否相关时，注册会计师应当将所有可获得的信息加以综合考虑。（如：需要确定重大错报的可能来源）

所有可获得的信息

6.在内部控制审计中，注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素，与财务报表审计中考虑的因素相同。

应当相同

因此，在这两种审计中识别的重要账户、列报及其相关认定应当相同。

【提示】

①以前年度审计中了解到的情况影响注册会计师对固有风险的评估，因而应当在确定重要账户、列报及其相关认定时加以考虑。

本年和以前年度

②以前年度审计中识别的错报会影响注册会计师对某账户、列报及其相关认定固有风险的评估。

【补充例题•单选题】（2017年）

注册会计师执行内部控制审计时，下列有关识别重要账户、列报及其相关认定的说法中，错误的是（　　）。

A.注册会计师应当从定性和定量两个方面识别重要账户、列报及其相关认定

B.在识别重要账户、列报及其相关认定时，注册会计师应当确定重大错报的可能来源

C.注册会计师通常将超过财务报表整体重要性的账户认定为重要账户

通常，不是应当

D.在识别重要账户、列报及其相关认定时，注册会计师应当考虑控制的影响

不应考虑控制的影响

【答案】

【解析】在识别重要账户、列报及其相关认定时，注册会计师不应考虑控制的影响，因为内部控制审计的目标本身就是评价控制的有效性，选项D错误。

三、了解潜在错报的来源并识别相应的控制

（一）了解潜在错报的来源

1.注册会计师应当实现下列目标，以进一步了解潜在错报的来源，并为选择拟测试的控制奠定基础：（4个方面）

（1）了解与相关认定有关的交易的处理流程，包括这些交易如何生成、批准、处理及记录；

（2）验证注册会计师识别出的业务流程中可能发生重大错报（包括由于舞弊导致的错报）的环节；

（3）识别被审计单位用于应对这些错报或潜在错报的控制；

（4）识别被审计单位用于及时防止或发现并纠正未经授权的、导致重大错报的资产取得、使用或处置的控制。

2.注册会计师应当亲自执行能够实现上述目标的程序，或对提供直接帮助的人员的工作进行督导。（注意：不是必须亲自执行）

不是必须亲自执行

（二）实施穿行测试（5句话）

1.下列情况下，注册会计师一般会实施穿行测试（3方面）

（1）存在较高固有风险的复杂领域；

（2）以前年度审计中识别出的缺陷（需要考虑缺陷的严重程度）；

（3）由于引入新的人员、新的系统、收购和采取新的会计政策而导致流程发生重大变化。

2.如果注册会计师首次接受委托执行内部控制审计，通常预期会对重要流程实施穿行测试。

3.穿行测试涵盖交易生成、授权、记录、处理和报告整个过程，以及识别出的重要流程中的控制，包括针对舞弊风险的控制。

4.穿行测试的规模

只起到了解的作用，规模不大

一般而言，对每个重要流程，选取一笔交易或事项实施穿行测试即可。

如果被审计单位采用集中化的系统为多个组成部分执行重要流程，则可能不必在每个重要的经营场所或业务单位选取一笔交易或事项实施穿行测试。

多个分公司，使用一个集中化系统

5.注册会计师在实施穿行测试时，通常需要综合运用询问、观察、检查相关文件记录。

四、选择拟测试的控制

（一）选择拟测试控制的基本要求

1.注册会计师应当针对每一相关认定获取控制有效性的审计证据，以便对内部控制整体的有效性发表意见，但没有责任对单项控制的有效性发表意见。

整体的有效性

不为单项控制发表意见

2.对特定的相关认定而言，可能有多项控制用以应对评估的错报风险；反之，一项控制也可能应对评估的多项相关认定的错报风险。注册会计师没有必要测试与某项相关认定有关的所有控制。

★★★背下来★★★

没有必要测试与某项相关认定有关的所有控制

因为，有效性发表意见，一项有效就够用了

3.在确定是否测试某项控制时，注册会计师应当考虑该项控制单独或连同其他控制，是否足以应对评估的某项相关认定的错报风险，而不论该项控制的分类和名称如何。

（二）选择拟测试的控制的考虑因素

1.注册会计师在选取拟测试的控制时，通常不会选取整个流程中的所有控制，而是选择关键控制，即能够为一个或多个重要账户或列报的一个或多个相关认定提供最有效果或最有效率的证据的控制。

2.每个重要账户、认定和/或重大错报风险至少应当有一个对应的关键控制。

至少应当有一个

3.在选择关键控制时，注册会计师要考虑：（4个方面）

（1）哪些控制是不可缺少的?

（2）哪些控制直接针对相关认定?

（3）哪些控制可以应对错误或舞弊导致的重大错报风险？

（4）控制的运行是否足够精确。

【提示】

①注册会计师无须测试那些即使有缺陷也合理预期不会导致财务报表重大错报的控制。

★★★背下来★★★ 注册会计师无须测试那些即使有缺陷也合理预期不会导致财务报表重大错报的控制。

②如果企业层面控制是有效的且得到精确执行，能够及时防止或发现并纠正影响一个或多个认定的重大错报，注册会计师可能不必就所有流程、交易或应用层面的控制的运行有效性获取审计证据。

③企业管理层在执行内部控制自我评价时选择测试的控制，可能多于注册会计师认为为了评价内部控制的有效性有必要测试的控制。

管理层80个

CPA50个

④管理层执行内部控制自我评价时选择测试控制的决定，不影响注册会计师的控制测试决策，注册会计师只需要测试那些对形成内部控制审计意见有重大影响的控制。

【补充例题•单选题】（2018年）

在执行内部控制审计时，下列有关注册会计师选择拟测试的控制的说法中，错误的是（　　）。

A.注册会计师应当选择测试对形成内部控制审计意见有重大影响的控制

B.注册会计师无须测试即使有缺陷也合理预期不会导致财务报表重大错报的控制

C.注册会计师选择拟测试的控制，应当涵盖企业管理层在执行内部控制自我评价时测试的控制

D.注册会计师通常选择能够为一个或多个重要账户或列报的一个或多个相关认定提供最有效果或最有效率的证据的控制进行测试

最有效果或最有效率

关键控制

【答案】

【解析】企业管理层在执行内部控制自我评价时选择测试的控制，可能多于注册会计师认为为了评价内部控制的有效性有必要测试的控制，选项C错误。

第四节　测试控制的有效性

一、内部控制的有效性

1.内部控制的有效性包括内部控制设计的有效性和内部控制运行的有效性。

2.注册会计师获取的有关控制运行有效性的审计证据包括：（3方面）

A. 相关时点如何运行

B. 是否一贯

C. 有谁执行

D. 何种方式执行

（1）控制在所审计期间的相关时点是如何运行的；

（2）控制是否得到一贯执行；

（3）控制由谁或以何种方式执行。

二、与控制相关的风险

1.与控制相关的风险包括a.一项控制可能无效的风险，以及b.如果该控制无效，可能导致重大缺陷的风险。

控制无效

不影响

不逊在缺陷

影响

存在

2.与控制相关的风险越高，注册会计师需要获取的审计证据就越多。

审计风险 =

重大错报风险

检查风险

3.下列因素影响与某项控制相关的风险：（10个因素）

（1）该项控制拟防止或发现并纠正的错报的性质和重要程度；

（2）相关账户、列报及其认定的固有风险；

（3）交易的数量和性质是否发生变化，进而可能对该项控制设计或运行的有效性产生不利影响；

（4）相关账户或列报是否曾经出现错报；

（5）企业层面控制（特别是监督其他控制的控制）的有效性；

（6）该项控制的性质及其执行频率；

（7）该项控制对其他控制（如控制环境或信息技术一般控制）有效性的依赖程度；

（8）执行该项控制或监督该项控制执行的人员的专业胜任能力，以及其中的关键人员是否发生变化；

（9）该项控制是人工控制还是自动化控制；

（10）该项控制的复杂程度，以及在运行过程中依赖判断的程度。

4.在连续审计中，影响与控制相关的风险的因素除上述因素外，还包括：（3个因素）

（1）以前审计所执行的审计程序的性质、时间安排和范围；

（2）以前审计控制测试的结果；

（3）自上次审计以来控制或流程是否发生变化。

三、测试控制有效性的程序的性质

测试控制有效性的审计程序类型包括询问、观察、检查和重新执行。

类型

注意事项

询问

仅实施询问程序不能为某一特定控制的有效性提供充分、适当的证据，它必须与其他测试手段结合使用才能发挥作用

观察

（1）观察是测试运行不留下书面记录的控制的有效方法，也可运用于测试对实物的控制

（2）提供的审计证据仅限于观察发生的时点，而且被观察人员的行为可能因被观察而受到影响，这也会使观察提供的审计证据受到限制

检查

（1）审计证据的可靠性取决于记录或文件的性质和来源以及内部控制的有效性

（2）在有些情况下，存在书面证据不一定表明控制一定有效。（凭证审核：只查看签名可能不具有说服力）

重新执行

（1）通常只有当综合运用询问、观察和检查程序仍无法获取充分、适当的证据时，注册会计师才会考虑重新执行程序。

（2）其目的是评价控制的有效性而不是测试特定交易或余额的存在或准确性，即定性而非定量，一般不必选取大量的项目，也不必特意选取金额重大的项目进行测试（注意理念）

定性而非定量

不必必选取大量的项目，也不必特意选取金额重大的项目

四、控制测试的时间安排

（一）基本原则

1.对控制有效性的测试涵盖的期间越长，提供的控制有效性的审计证据越多。

2.单就内部控制审计业务而言，注册会计师应当获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据。

3.1-10.1

3.在整合审计中，注册会计师控制测试所涵盖的期间应尽量与财务报表审计中拟信赖内部控制的期间保持一致。

4.对控制有效性测试的实施时间越接近基准日，提供的控制有效性的审计证据越有力。

（二）测试时间的确定原则

1.为了获取充分、适当的审计证据，注册会计师应当在下列两个因素之间作出平衡，以确定测试的时间：

（1）尽量在接近基准日实施测试；

（2）实施的测试需要涵盖足够长的期间。

2.期中测试的两种方法

在整合审计中测试控制在整个会计年度的运行有效性时，注册会计师：（二选一）

（1）可以进行期中测试，然后对剩余期间实施前推测试；

（2）将样本分成两部分，一部分在期中测试，另一部分在临近年末的期间测试。

（三）考虑与控制相关的风险的影响

1.与所测试的控制相关的风险越低，注册会计师需要对该控制获取的审计证据就越少，可能对该控制实施期中测试就可以为其运行有效性提供充分、适当的审计证据。

2.如果与所测试的控制相关的风险越高，需要获取的证据就越多，注册会计师应当取得一部分更接近基准日的证据。

（四）是否测试被取代的控制（控制发生变化：新控制、被取代的控制）

表审

旧控制25个

新控制25个

控审

① 新控制，就满足足够长时间

② 有可能同时测试新控制和旧控制

　　是否测试　　

相关内容

不需要前推　

如果信息技术一般控制有效且关键的自动化控制未发生任何变化，注册会计师就不需要对该自动化控制实施前推测试。（一贯性）

可能需要前推

如果注册会计师在期中对重要的信息技术一般控制实施了测试，则通常还需要对其实施前推程序。（注意：不是必须）

2.重要的信息技术一般控制无效时的应对

（1）如果注册会计师认为一个或一个以上重要的信息技术一般控制无效，注册会计师需要评估其a.对总体信息技术环境以及b.对任何依赖这些信息技术一般控制的自动化控制的持续有效性的影响。

（2）如果重要的信息技术一般控制无效，且无法获得其他替代证据以证实关键的自动化控制自其上次被测试后未发生变化，注册会计师在执行内部控制审计时，通常就需要获取有关该自动化控制在接近基准日的期间内是否有效运行的证据。

【补充例题•单选题】（2019年）

对于内部控制审计业务，下列有关控制测试的时间安排的说法中，错误的是（　　）。

A.注册会计师应当获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据

B.注册会计师对控制有效性测试的实施越接近基准日，提供的控制有效性的审计证据越有力

C.如果被审计单位在所审计年度内对控制作出改变，注册会计师应当对新的控制和被取代的控制分别实施控制测试

a.能够满足控制的相关目标

b.已运行足够长的时间，

D.如果已获取有关控制在期中运行有效性的审计证据，注册会计师应当获取补充证据，将期中测试结果前推至基准日

【答案】

【解析】如果被审计单位为了提高控制效果和效率或整改控制缺陷而对控制作出改变，注册会计师应当考虑这些变化并适当予以记录。如果注册会计师认为新的控制能够满足控制的相关目标，而且新控制已运行足够长的时间，足以使注册会计师通过实施控制测试评估其设计和运行的有效性，则注册会计师不再需要测试被取代的控制的设计和运行有效性，选项C错误。

五、控制测试的范围

（一）测试人工控制的最小样本规模

1.在测试人工控制时，如果采用检查或重新执行程序，注册会计师测试的最小样本规模区间参见表20-1。

表20-1　测试人工控制的最小样本规模区间

控制运行频率

控制运行的总次数

测试的最小样本规模区间

每年1次

每季1次

每月1次

2－5

每周1次

5－15

每天1次

250

20－40

每天多次

大于250次

25－60

2.在下列情况下，注册会计师可以使用表20－1中测试的最小样本规模区间的最低值：

（1）与账户及其认定相关的固有风险和舞弊风险为低水平；

（2）是日常控制，执行时需要的判断很少；

（3）从穿行测试得出的结论和以前年度审计的结果表明未发现控制缺陷；

（4）管理层针对该项控制的测试结果表明未发现控制缺陷；

（5）存在有效的补偿性控制，且管理层针对补偿性控制的测试结果为运行有效；

（6）根据对控制的性质以及内部审计人员客观性和胜任能力的考虑，注册会计师拟更多地利用他人的工作。

【提示】

①在作出使用表20-1中测试的最小样本规模区间最低值的判断时，上述条件无须全部具备。

②如果由多个人员执行同一控制，应当分别确定总体，针对每个人员确定样本规模。如果由2个人执行600次控制，样本规模应为25，即应针对每个人测试25次，一共50个样本。（同质性）

手松大爷25次

手紧大爷25次

（二）测试自动化应用控制的最小样本规模

1.信息技术处理具有内在一贯性，除非系统发生变动，一项自动化应用控制应当一贯运行。

2.对于一项自动化应用控制，一旦确定被审计单位正在执行该控制，注册会计师通常无须扩大控制测试的范围，但需要考虑执行下列测试以确定该控制持续有效运行：（3方面）

（1）测试与该应用控制有关的一般控制的运行有效性；

（2）确定系统是否发生变动，如果发生变动，是否存在适当的系统变动控制；

（3）确定对交易的处理是否使用授权批准的软件版本。

（三）发现偏差时的处理

1.如果发现控制偏差，注册会计师应当确定对下列事项的影响：（3个方面）

（1）与所测试控制相关的风险的评估；

（2）需要获取的审计证据；

（3）控制运行有效性的结论。

2.评价控制偏差的影响需要注册会计师运用职业判断，并受到控制的性质和所发现偏差数量的影响。

定性+定量

如果发现的控制偏差是系统性偏差或人为有意造成的偏差，注册会计师应当考虑：（2个方面）

扩大范围通常是无效的

（1）舞弊的可能迹象；

（2）对审计方案的影响。

控制无效

更多依赖实质性方案

3.在评价控制测试中所发现的某项控制偏差是否为控制缺陷时，注册会计师可以考虑的因素包括：（4个因素）

（1）该偏差是如何被发现的。

（2）该偏差是与某一特定的地点、流程或应用系统相关，还是对被审计单位有广泛影响。

（3）就被审计单位的内部政策而言，该控制出现偏差的严重程度。

偏差不一定是缺陷

（4）与控制运行频率相比，偏差发生的频率高低。

【提示】

由于有效的内部控制不能为实现控制目标提供绝对保证，单项控制并非一定要毫无偏差地运行，才被认为有效。（如：出现偏差，考虑扩大样本规模）

单项控制并非一定要毫无偏差地运行

【补充例题•多选题】（2020年）

在执行内部控制审计时，下列有关控制偏差的说法中，正确的有（　　）。

A.如果发现的控制偏差是系统性偏差，注册会计师应当扩大样本规模进行测试

B.如果发现控制偏差，注册会计师应当确定偏差对与所测试控制相关的风险评估的影响

C.如果发现的控制偏差是人为有意造成的，注册会计师应当考虑舞弊的可能迹象

D.如果发现的控制偏差是系统性偏差，注册会计师应当考虑对审计方案的影响

【答案】

BCD

【解析】如果发现控制偏差，注册会计师应当确定对下列事项的影响：

（1）与所测试控制相关的风险的评估（选项B正确）；

（2）需要获取的审计证据；

（3）控制运行有效性的结论。

如果发现的控制偏差是系统性偏差或人为有意造成的偏差，注册会计师应当考虑舞弊的可能迹象以及对审计方案的影响（选项A错误，选项CD正确）。

第五节　企业层面控制的测试

宏观

一、与控制环境相关的控制

在了解和测试控制环境时，注册会计师需要考虑的方面主要包括：（第7章第4节：6个方面）

1.管理层的理念和经营风格是否促进了有效的财务报告内部控制；

2.管理层在治理层的监督下，是否营造并保持了诚信和合乎道德的文化；

3.治理层是否了解并监督财务报告过程和内部控制。

二、针对管理层和治理层凌驾于控制之上的风险而设计的控制

一般而言，针对凌驾风险采用的控制包括但不限于：（5个方面）

1.针对重大的异常交易（尤其是那些导致会计分录延迟或异常的交易）的控制。

2.针对关联方交易的控制。

3.与管理层的重大估计相关的控制。

4.能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制。

5.建立内部举报投诉制度。

三、被审计单位的风险评估过程

1.风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。

2.结合内部控制审计业务的目的和性质，在了解和测试被审计单位与风险评估过程相关的内部控制时，可以考虑以下因素：（4个因素）

（1）被审计单位是否根据设定的控制目标，有计划地全面、系统、持续地收集内外部相关信息，并结合实际情况，及时进行风险评估。

（2）被审计单位是否在目标设定的基础上，密切关注内外部主要风险因素，通过日常或定期的评估程序与方法对各种主要风险加以识别，并将各类风险进行分类整理，形成企业的风险清单。

（3）被审计单位是否在风险识别的基础上，采用定性和定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。

被审计单位在进行风险分析时，是否充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。

（4）被审计单位是否根据内部控制目标，结合风险评估结果和风险应对策略，综合运用控制措施，将风险控制在可承受范围之内。

四、对内部信息传递和期末财务报告流程的控制

1.期末财务报告流程包括：（5个方面）

（1）将交易总额登入总分类账的程序；

（2）与会计政策的选择和运用相关的程序；

（3）总分类账中会计分录的编制、批准等处理程序；

（4）对财务报表进行调整的程序；

（5）编制财务报表的程序。

2.注册会计师应当从下列方面评价期末财务报告流程：（6个方面）

（1）被审计单位财务报表的编制流程，包括输入、处理及输出；

（2）期末财务报告流程中运用信息技术的程度；

（3）管理层中参与期末财务报告流程的人员；

（4）纳入财务报表编制范围的组成部分；

（5）调整分录及合并分录的类型；

（6）管理层和治理层对期末财务报告流程进行监督的性质及范围。

【提示】

由于期末财务报告流程通常发生在管理层评价日之后，注册会计师一般只能在该日之后测试相关控制。

五、对控制有效性的内部监督（即监督其他控制的控制）和内部控制评价

1.对控制的监督可能包括：（4个方面）

（1）对运营报告的复核和核对；

（2）与外部人士的沟通；

（3）其他未参与控制执行人员的监控活动；

（4）信息系统所记录的数据与实物资产的核对等。

2.结合内部控制审计业务的目的和性质，在对被审计单位对控制有效性的内部监督进行了解和对其有效性进行测试时，注册会计师还可以特别考虑如下因素：（4个因素）

（1）管理层是否定期地将会计系统中记录的数额与实物资产进行核对；

（2）管理层是否为保证内部审计活动的有效性而建立了相应的控制；

（3）管理层是否建立了相关的控制以保证自我评价或定期的系统评价的有效性；

（4）管理层是否建立了相关的控制以保证监督性控制能够在一个集中的地点有效进行，如共享服务中心等。

六、集中化的处理和控制（包括共享的服务环境）

1.集中化的处理可以视作一种企业内部的“外包”安排，以取得规模效益并通过将某些或全部的财务报告过程与负责经营的管理层的分离以改进控制环境。

2.集中化的财务管理可能有助于降低财务报表错报的风险。

3.注册会计师可以考虑（注意：不是必须）在较早的阶段对共享服务中心内部控制的有效性执行测试。

七、监督经营成果的控制（可以视为监督性内部控制的一种）

1.注册会计师在了解和测试与监督经营成果相关的企业层面的内部控制时可以考虑的因素包括（但不限于）：（3个因素）

（1）管理层是否定期将经营成果与预算进行对比分析及复核，以分析财务资料是否存在异常情况；

（2）是否定期编制主要经营指标并对这些指标进行审阅及分析，以分析财务资料是否存在异常情况；

（3）是否定期更新经营预测，并且与期末的实际经营结果进行对比分析。

2.此外，监督经营成果的控制还可能包括在控制环境以及风险评估流程方面的监控，具体包括（但不限于）：（4个方面）

（1）对客户投诉报告的复核及分析，以查找被审计单位的各个下属单位或业务部门是否存在违规、不合法或管理不善的情况；

（2）对违反被审计单位政策或守则行为的处理的复核；

（3）对与员工报酬或晋升相关的员工业绩评价流程的复核，以确定企业内部公平及平衡的奖惩制度的执行；

（4）对企业记录的财务报表编制流程中存在的主要风险的复核，以考虑企业内部及外部存在的可能导致财务报表错报的重大风险是否已经被清楚地反映。

八、针对重大经营控制及风险管理实务的政策

保持良好的内部控制的企业通常针对重大经营控制及风险管理实务采用相应的内部控制政策，在对内部控制进行审计时，注册会计师在这方面可以考虑的主要因素包括（但不限于）：（2个因素）

1.企业是否建立了重大风险预警机制，明确界定哪些风险是重大风险，哪些事项一旦出现必须启动应急处理机制。

2.企业是否建立了突发事件应急处理机制，确保突发事件得到及时妥善处理。

第六节　业务流程、应用系统或交易层面的控制的测试

微观

一、了解企业经营活动和业务流程（划分业务循环、向适当人员询问、检查、利用图表及流程图）

二、识别可能发生错报的环节

注册会计师通过设计一系列关于控制目标是否实现的问题，从而确认某项业务流程中需要加以控制的环节。

为实现某项审计目标而设计问题的数量，取决于下列因素：（3个因素）

1.业务流程的复杂程度；

2.业务流程中发生错报而未能被发现的概率；

3.是否存在一种具有实效的总体控制来实现控制目标。

三、识别和了解相关控制

针对业务流程中容易发生错报的环节，注册会计师应当确定：（3个方面）

（1）被审计单位是否建立了有效的控制，以防止或发现并纠正这些错报；

（2）被审计单位是否遗漏了必要的控制；

（3）是否识别出可以最有效测试的控制。

（一）控制的类型

1.预防性控制（3句话）

（1）与简单的业务流程相比，对于较复杂的业务流程，被审计单位通常更依赖自动控制。

（2）对于处理大量业务的复杂业务流程，被审计单位通常使用对程序修改的控制和访问控制，来确保自动控制的持续有效。

（3）程序修改的控制和访问控制通常不能直接防止错报，但对于确保自动控制在整个拟信赖期间内的有效性有着十分重要的作用。

程序修改的控制和访问控制通常不能直接防止错报

2.检查性控制（4句话）

（1）检查性控制通常并不适用于业务流程中的所有交易，而适用于一般业务流程以外的已经处理或部分处理的某类交易，可能一年只运行几次，如每月将应收账款明细账与总账比较；也可能每周运行，甚至一天运行几次。

（2）与预防性控制相比，不同被审计单位之间检查性控制差别很大。许多检查性控制取决于被审计单位的性质，执行人员的能力、习惯和偏好。

（3）检查性控制可能是正式建立的程序，如编制银行存款余额调节表，并追查调节项目或异常项目，也可能是非正式的程序。

（4）如果确信存在以下情况，那么就可以将检查性控制作为一个主要的手段，来合理保证某特定认定发生重大错报的可能性较小：

①控制所检查的数据是完整、可靠的；

②控制对于发现重大错报足够敏感；

③发现的所有重大错报都将被纠正。

（二）识别和了解方法：询问被审计单位各级别的负责人员。

询问方式

含义

作用

从高到低

首先询问那些级别较高的人员，再询问级别较低的人员

能迅速地辨别被审计单位重要的控制，特别是检查性控制

从低到高

从级别较低人员处获取的信息，应向级别较高的人员核实其完整性

以确定级别较低的人员是否与级别较高的人员所理解的预定控制相符

四、记录相关控制（略）

第七节　信息系统控制的测试

一、与信息技术相关的控制

（一）自动化控制的好处（第5章）

（二）自动化控制的风险（第5章）

二、信息技术内部控制测试

（一）信息技术一般控制测试

信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行四个方面。

（二）信息技术应用控制测试

针对不同的信息处理目标来阐述应用控制的应用：

1.完整性

（1）顺序标号

（2）编辑检查

2.准确性

3.授权

4.访问限制

（三）信息技术应用控制与信息技术一般控制之间的关系（第5章）

第八节　内部控制缺陷评价

一、控制缺陷的分类

1.基本分类

　类型　

　　　含义

设计缺陷

a.缺少为实现控制目标所必需的控制，或b.现有的控制设计不适当，即使正常运行也难以实现预期的控制目标

运行缺陷

a.现存设计适当的控制没有按设计意图运行，或b.执行人员没有获得必要授权或缺乏胜任能力，无法有效地实施内部控制

2.按其严重程度分类

　类型　

含义

重大缺陷

是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合

单项或组合

否定意见

重要缺陷

是内部控制中存在的、其严重程度不如重大缺陷但足以引起负责监督被审计单位财务报告的人员（如审计委员会或类似机构）关注的一项控制缺陷或多项控制缺陷的组合

一般缺陷

是内部控制中存在的、除重大缺陷和重要缺陷之外的控制缺陷

二、评价控制缺陷的严重程度

1.注册会计师应当评价其识别的各项控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成内部控制的重大缺陷。

单独或组合起来

2.在计划和实施审计工作时，不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。

不要求

3.控制缺陷的严重程度取决于：

（1）控制不能防止或发现并纠正账户或列报发生错报的可能性的大小；

可能性

（2）因一项或多项控制缺陷导致的潜在错报的金额大小。

金额

4.控制缺陷的严重程度与错报是否发生无关，而取决于控制不能防止或发现并纠正错报的可能性的大小。

控制缺陷的严重程度与错报是否发生无关，而取决于控制不能防止或发现并纠正错报的可能性的大小。

监考老师走出考场

本身是控制缺陷

和是否作弊无关

和不能防止作弊有关

★★★背下来★★★

5.在评价一项控制缺陷或多项控制缺陷的组合是否可能导致账户或列报发生错报时，注册会计师应当考虑的风险因素包括：（6个因素）

（1）所涉及的账户、列报及其相关认定的性质；

（2）相关资产或负债易于发生损失或舞弊的可能性；

（3）确定相关金额时所需判断的主观程度、复杂程度和范围；

（4）该项控制与其他控制的相互作用或关系；

（5）控制缺陷之间的相互作用；

（6）控制缺陷在未来可能产生的影响。

【提示】

①评价控制缺陷是否可能导致错报时，注册会计师无需将错报发生的概率量化为某特定的百分比或区间。

②如果多项控制缺陷影响财务报表的同一账户或列报，错报发生的概率会增加。

③在存在多项控制缺陷时，即使这些缺陷从单项看不重要，但组合起来也可能构成重大缺陷。

因此，注册会计师应当确定，对于同一重要账户、列报及其相关认定或内部控制要素产生影响的各项控制缺陷，组合起来是否构成重大缺陷。

④在评价潜在错报的金额大小时，账户余额或交易总额的最大多报金额通常是已记录的金额，但其最大少报金额可能超过已记录的金额。通常，小金额错报比大金额错报发生的概率更高。

多报金额

50万

应该是0

少报金额

10万

应该是100万

6.在评价因一项或多项控制缺陷导致的潜在错报的金额大小时，注册会计师应当考虑的因素包括：（2个因素）

（1）受控制缺陷影响的财务报表金额或交易总额。

（2）在本期或预计的未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量。

7.在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时，注册会计师应当评价补偿性控制的影响。

应当评价补偿性控制

在评价补偿性控制是否能够弥补控制缺陷时，注册会计师应当考虑补偿性控制是否有足够的精确度以防止或发现并纠正可能发生的重大错报。（评价是否为重大缺陷？）

精确度

【补充例题•单选题】（2017年）

注册会计师执行内部控制审计时，下列有关评价控制缺陷的说法中，错误的是（　　）。

A.如果一项控制缺陷存在补偿性控制，注册会计师不应将该控制缺陷评价为重大缺陷

B.注册会计师评价控制缺陷的严重程度时，无需考虑错报是否已经发生

C.注册会计师评价控制缺陷是否可能导致错报时，无需量化错报发生的概率

D.注册会计师评价控制缺陷导致的潜在错报的金额大小时，应当考虑本期或未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量

账户余额

交易量

【答案】

【解析】在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时，注册会计师应当评价补偿性控制的影响。在评价补偿性控制是否能够弥补控制缺陷时，注册会计师应当考虑补偿性控制是否有足够的精确度以防止或发现并纠正可能发生的重大错报。也就是说，即使存在补偿性控制，注册会计师也可能将该控制缺陷评价为重大缺陷，选项A错误。

三、内部控制缺陷整改

如果被审计单位在基准日前对存在缺陷的控制进行了整改，整改后的控制需要运行足够长的时间，才能使注册会计师得出其是否有效的审计结论。

整改

足够长

是

有效

否

无效

表20-7　整改后控制运行的最短期间（或最少运行次数）和最少测试数量

【提示】

如果被审计单位在基准日前对存在重大缺陷的内部控制进行了整改，但新控制尚没有运行足够长的时间，注册会计师应当将其视为内部控制在基准日存在重大缺陷。

【补充例题•单选题】（2019年）

在执行内部控制审计时，下列有关注册会计师评价控制缺陷的说法中，错误的是（　　）。

A.在评价控制缺陷的严重程度时，注册会计师无需考虑错报是否发生

考虑可能性

B.在评价一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时，注册会计师应当考虑补偿性控制的影响

是否足以弥补

精确度是否可以

C.在评价控制缺陷是否可能导致错报时，注册会计师无需量化错报发生的概率

D.如果被审计单位在基准日完成了对所有存在缺陷的内部控制的整改，注册会计师可以评价认为内部控制在基准日运行有效

整改+运行足够长的时间

【答案】

【解析】如果被审计单位在基准日前对存在缺陷的控制进行整改，整改后的控制需要运行足够长的时间，才能使注册会计师得出其是否有效的审计结论。如果被审计单位在基准日前对存在重大缺陷的内部控制进行了整改，但新控制尚没有运行足够长的时间，注册会计师应当将其视为内部控制在基准日存在重大缺陷，选项D错误。

第九节　出具审计报告

一、形成审计意见

根据中国证监会《上市公司实施企业内部控制规范体系监管问题解答》的规定，公开发行证券的公司在年度报告中应披露的财务报告内部控制评价报告应包括以下内容：（6方面）

自评

1.公司董事会关于建立健全和有效实施财务报告内部控制是公司董事会的责任，并就公司财务报告内部控制评价报告真实性作出的声明。

2.财务报告内部控制评价的依据。

3.根据自我评价情况，认定于评价基准日存在的财务报告内部控制重大缺陷情况。

4.对发现的重大缺陷已采取或拟采取的整改措施的说明。

5.公司董事会对评价基准日财务报告内部控制有效性的自我评价结论。

6.在财务报告内部控制自我评价过程中关注到的非财务报告内部控制重大缺陷情况。

二、审计报告要素

标准内部控制审计报告应当包括下列要素：（11个因素）

（1）标题。内部控制审计报告的标题统一规范为“内部控制审计报告”。

（2）收件人。

内部控制审计报告的收件人是指注册会计师按照业务约定书的要求致送内部控制审计报告的对象，一般是指审计业务的委托人。内部控制审计报告需要载明收件人的全称。

收件人的全称

（3）引言段。内部控制审计报告的引言段说明企业的名称和内部控制已经过审计。

（4）企业对内部控制的责任段。

（5）注册会计师的责任段。

（6）内部控制固有局限性的说明段。

固有局限

所以只能合理保证

（7）财务报告内部控制审计意见段。

（8）非财务报告内部控制重大缺陷描述段。

（9）注册会计师的签名和盖章。

（10）会计师事务所的名称、地址及盖章。

（11）报告日期。

三、内部控制审计报告的意见类型

（一）无保留意见

如果符合下列所有条件，注册会计师应当对内部控制出具无保留意见的内部控制审计报告：

（1）在基准日，被审计单位按照适用的内部控制标准的要求，在所有重大方面保持了有效的内部控制；

（2）注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作，在审计过程中未受到限制。

（二）非无保留意见

1.内部控制存在重大缺陷时的处理

（1）如果认为内部控制存在一项或多项重大缺陷，除非审计范围受到限制，注册会计师应当对内部控制发表否定意见。

注意：

否定意见的内部控制审计报告还应当包括重大缺陷的定义、重大缺陷的性质及其对内部控制的影响程度。

一项或多项

（2）企业内部控制评价报告是否包含重大缺陷的应对

企业内部控制评价报告是否包含重大缺陷

作法

（1）尚未包含

注册会计师应当在内部控制审计报告中说明重大缺陷已经识别、但没有包含在企业内部控制评价报告中。

（2）已包含但认为重大缺陷未得到公允反映

注册会计师应当在内部控制审计报告中说明这一结论，并公允表达有关重大缺陷的必要信息。

（3）内部控制审计意见（否定意见）与财务报表审计的关系

如果对内部控制的有效性发表否定意见，注册会计师应当确定该意见对财务报表审计意见的影响，并在内部控制审计报告中予以说明，例如：

内控否定意见不一定代表财务报表非无保留意见

如果对财务报表发表的审计意见受到影响，注册会计师应当在内部控制审计报告的导致否定意见的事项段中增加以下类似说明：

“在××公司××年财务报表审计中，我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。”

2.审计范围受到限制时的处理

（1）基本原则

如果审计范围受到限制，注册会计师应当解除业务约定或出具无法发表意见的内部控制审计报告。

先考虑解约

无法表示意见

（2）对相关豁免规定的考虑

①如果法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制的评价范围，注册会计师可以不将这些实体纳入内部控制审计的范围。

这种情况不构成审计范围受到限制，但注册会计师应当在内部控制审计报告中增加强调事项段或者在注册会计师的责任段中，就这些实体未被纳入评价范围和内部控制审计范围这一情况，作出与被审计单位类似的恰当陈述。

②注册会计师应当评价相关豁免是否符合法律法规的规定，以及被审计单位针对该项豁免作出的陈述是否恰当。

a.如果认为被审计单位有关该项豁免的陈述不恰当，注册会计师应当提请其作出适当修改。

b.如果被审计单位未作出恰当修改，注册会计师应当在内部控制审计报告的强调事项段中说明被审计单位的陈述需要修改的理由。

强调事项段

★★★★

（3）出具无法表示意见的审计报告的注意事项和具体做法

★★★特别重要★★★

①在出具无法表示意见的内部控制审计报告时，注册会计师应当在内部控制审计报告中指明审计范围受到限制，无法对内部控制的有效性发表意见，并单设段落说明无法表示意见的实质性理由。

注册会计师不应在内部控制审计报告中指明所执行的程序，也不应描述内部控制审计的特征，以避免对无法表示意见的误解。

不应指明所执行的程序

也不应描述内部控制审计的特征

②如果在已执行的有限程序中发现内部控制存在重大缺陷，注册会计师应当在内部控制审计报告中对重大缺陷做出详细说明。（★★★）

说重大缺陷

③只要认为审计范围受到限制将导致无法获取发表审计意见所需的充分、适当的审计证据，注册会计师不必执行任何其他工作即可对内部控制出具无法表示意见的内部控制审计报告。

在这种情况下，内部控制审计报告的日期应为注册会计师已就该报告中陈述的内容获取充分、适当的审计证据的日期。

哪一天认为范围受限

【补充例题•多选题】（2017年）

下列有关财务报表审计与内部控制审计的共同点的说法中，正确的有（　　）。

A.两者识别的重要账户、列报及其相关认定相同

B.两者的审计报告意见类型相同

C.两者了解和测试内部控制设计和运行有效性的审计程序类型相同

D.两者测试内部控制运行有效性的范围相同

控审

足够长时间

表审

整个会计期间

【答案】

【解析】选项B错误，企业内部控制审计意见包括无保留意见、否定意见和无法表示意见三种类型，没有保留意见；选项D错误，在财务报表审计中，如果预期不信赖内部控制，可以不实施控制测试，不测试内部控制的有效性。在内部控制审计中，注册会计师应当针对所有重要账户和列报的每一个相关认定获取控制设计和运行有效性的审计证据，以便对内部控制整体的有效性发表审计意见。

【补充例题•多选题】（2018年）

在执行内部控制审计时，如果审计范围受到限制，导致注册会计师无法获取充分、适当的审计证据，下列做法中，正确的有（　　）。

A.在内部控制审计报告中指明已执行的有限程序

B.出具无法表示意见的内部控制审计报告

C.在内部控制审计报告中对在已执行的有限程序中发现的内部控制重大缺陷进行详细说明

D.在内部控制审计报告中指明审计范围受到限制

【答案】

BCD

【解析】注册会计师不应在内部控制审计报告中指明所执行的程序，也不应描述内部控制审计的特征，以避免对无法表示意见的误解，如果在已执行的有限程序中发现内部控制存在重大缺陷，注册会计师应当在内部控制审计报告中对重大缺陷做出详细说明（选项A错误，选项C正确）；如果审计范围受到限制，注册会计师应当解除业务约定或出具无法表示意见的内部控制审计报告，选项B正确；

在出具无法表示意见的内部控制审计报告时，注册会计师应当在内部控制审计报告中指明审计范围受到限制，无法对内部控制的有效性发表意见，并单设段落说明无法表示意见的实质性理由，选项D正确。

四、强调事项

1.如果认为内部控制虽然不存在重大缺陷，但仍有一项或多项重大事项需要提请内部控制审计报告使用者注意，注册会计师应当在内部控制审计报告中增加强调事项段予以说明。

注册会计师应当在强调事项段中指明，该段内容仅用于提醒内部控制审计报告使用者关注，并不影响对内部控制发表的审计意见。

并不影响审计意见

2.如果存在下列情况，注册会计师应当考虑在内部控制审计报告中增加强调事项段：（2种情况）

（1）如果确定企业内部控制评价报告对要素的列报不完整或不恰当，注册会计师应当在内部控制审计报告中增加强调事项段，说明这一情况并解释得出该结论的理由。

（2）如果注册会计师知悉在基准日并不存在、但在期后期间发生的事项，且这类期后事项对内部控制有重大影响，注册会计师应当在内部控制审计报告中增加强调事项段，描述该事项及其影响，或提醒内部控制审计报告使用者关注企业内部控制评价报告中披露的该事项及其影响。

增加强调事项段两种

自评：不完整/不恰当

基准日后

【补充例题•多选题】（2020年）

下列情形中，注册会计师应当考虑在内部控制审计报告中增加强调事项段的有（　　）。

A.被审计单位的企业内部控制评价报告对要素的列报不完整

B.注册会计师知悉在基准日不存在但在期后期间发生的事项，且这类期后事项对内部控制有重大影响

C.被审计单位存在非财务报告内部控制重大缺陷

增加描述段予以披露

D.上一年度的内部控制重大缺陷在本年度已得到整改

【答案】

【解析】如果存在下列情况，注册会计师应当考虑在内部控制审计报告中增加强调事项段：

（1）如果确定企业内部控制评价报告对要素的列报不完整或不恰当（选项A正确），注册会计师应当在内部控制审计报告中增加强调事项段，说明这一情况并解释得出该结论的理由。

（2）如果注册会计师知悉在基准日并不存在、但在期后期间发生的事项，且这类期后事项对内部控制有重大影响（选项B正确），注册会计师应当在内部控制审计报告中增加强调事项段，描述该事项及其影响，或提醒内部控制审计报告使用者关注企业内部控制评价报告中披露的该事项及其影响。

五、非财务报告内部控制重大缺陷

如果在审计过程中注意到的非财务报告内部控制存在重大缺陷，注册会计师应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险，但无须对其发表审计意见。

无须对其发表审计意见

参考格式20-4列示了无保留意见内部控制审计报告；

参考格式20-5列示了带强调事项段的无保留意见内部控制审计报告；

参考格式20-6列示了否定意见内部控制审计报告；

参考格式20-7列示了无法表示意见内部控制审计报告；

参考格式20-8列示了非财务报告重大缺陷的内部控制审计报告。

参考格式20-4：无保留意见内部控制审计报告

内部控制审计报告

××股份有限公司全体股东：　　按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了××股份有限公司（以下简称××公司）××年×月×日的财务报告内部控制的有效性。一、企业对内部控制的责任　　按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》的规定，建立健全和有效实施内部控制，并评价其有效性是××公司董事会的责任。二、注册会计师的责任　　我们的责任是在实施审计工作的基础上，对财务报告内部控制的有效性发表审计意见，并对注意到的非财务报告内部控制的重大缺陷进行披露。三、内部控制的固有局限性　　内部控制具有固有局限性，存在不能防止和发现错报的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制审计结果推测未来内部控制的有效性具有一定风险。四、财务报告内部控制审计意见　　我们认为，××公司于××年×月×日按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。 ××会计师事务所　　　　　　　　　　　　　　　　　　　中国注册会计师：××× 　　（盖章）　　　　　　　　　　　　　　　　　　　　　（签名并盖章）　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　中国注册会计师：××× 　　　　　　　　　　　　　　　　　　　　　　　　　　　（签名并盖章）　　　　中国××市　　　　　　　　　　　　　　　　　　　　　　××年×月×日

××年×月×日

评价的基准日

参考格式20-5：带强调事项段的无保留意见内部控制审计报告

1. 自评不完整 2. 基准日后

内部控制审计报告

××股份有限公司全体股东：　　按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了××股份有限公司（以下简称××公司）××年×月×日的财务报告内部控制的有效性。 [“一、企业对内部控制的责任”至“四、财务报告内部控制审计意见”参见标准内部控制审计报告相关段落表述。] 五、强调事项　　我们提醒内部控制审计报告使用者关注，[描述强调事项的性质及其对内部控制的重大影响]。本段内容不影响已对财务报告内部控制发表的审计意见。 ××会计师事务所　　　　　　　　　　　　　　　　　　　中国注册会计师：××× 　　（盖章）　　　　　　　　　　　　　　　　　　　　　（签名并盖章）　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　中国注册会计师：××× 　　　　　　　　　　　　　　　　　　　　　　　　　　　（签名并盖章）　　　　中国××市　　　　　　　　　　　　　　　　　　　　　　××年×月×日

参考格式20-6：否定意见内部控制审计报告

1.存在一项或多项重大缺陷 2.不能范围受限

内部控制审计报告

××股份有限公司全体股东：　　按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了××股份有限公司（以下简称××公司）××年×月×日的财务报告内部控制的有效性。 [“一、企业对内部控制的责任”至“三、内部控制的固有局限性”参见标准内部控制审计报告相关段落表述。] 四、导致否定意见的事项　　重大缺陷是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。　　　　　（定义）　　[指出注册会计师已识别出的重大缺陷，并说明重大缺陷的性质及其对财务报告内部控制的影响程度。] 　　有效的内部控制能够为财务报告及相关信息的真实完整提供合理保证，而上述重大缺陷使××公司内部控制失去这一功能。　　××公司管理层已识别出上述重大缺陷，并将其包含在企业内部控制评价报告中。上述缺陷在所有重大方面得到公允反映。　　在××公司××年财务报表审计中，我们已经考虑了上述重大缺陷对审计程序的性质、时间安排和范围的影响。本报告并未对我们在××年×月××日对××公司××年财务报表出具的审计报告产生影响。五、财务报告内部控制审计意见　　我们认为，由于存在上述重大缺陷及其对实现控制目标的影响，××公司于××年×月×日未能按照《企业内部控制基本规范》和相关规定在所有重大方面保持有效的财务报告内部控制。 ××会计师事务所　　　　　　　　　　　　　　　　　　　中国注册会计师：××× 　　（盖章）　　　　　　　　　　　　　　　　　　　　　（签名并盖章）　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　中国注册会计师：××× 　　　　　　　　　　　　　　　　　　　　　　　　　　　（签名并盖章）　　　　中国××市　　　　　　　　　　　　　　　　　　　　　　××年×月×日

参考格式20-7：无法表示意见内部控制审计报告

内部控制审计报告

××股份有限公司全体股东：　　我们接受委托，对××股份有限公司（以下简称××公司）××年×月×日的财务报告内部控制进行审计。　　[删除注册会计师的责任段，“一、企业对内部控制的责任”和“二、内部控制的固有局限性”参见标准内部拉制审计报告相关段落表述。] 三、导致无法表示意见的事项　　[描述审计范围受到限制的具体情况。] 四、财务报告内部控制审计意见　　由于审计范围受到上述限制，我们未能实施必要的审计程序以获取发表意见所需的充分、适当证据，因此，我们无法对××公司财务报告内部控制的有效性发表意见。五、识别的财务报告内部控制重大缺陷　　[如在审计范围受到限制前，执行有限程序未能识别出重大缺陷，则应删除本段] 　　重大缺陷是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。　　　　（定义）　　尽管我们无法对××公司财务报告内部控制的有效性发表意见，但在我们实施的有限程序的过程中，发现了以下重大缺陷：　　[指出注册会计师已识别出的重大缺陷，并说明重大缺陷的性质及其对财务报告内部控制的影响程度。] 　　有效的内部控制能够为财务报告及相关信息的真实完整提供合理保证，而上述重大缺陷使××公司内部控制失去这一功能。 ××会计师事务所　　　　　　　　　　　　　　　　　　　中国注册会计师：××× 　　（盖章）　　　　　　　　　　　　　　　　　　　　　（签名并盖章）　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　中国注册会计师：××× 　　　　　　　　　　　　　　　　　　　　　　　　　　　（签名并盖章）　　　　中国××市　　　　　　　　　　　　　　　　　　　　　　××年×月×日

进行审计

没有“了”

参考格式20-8：非财务报告重大缺陷的内部控制审计报告

内部控制审计报告

××股份有限公司全体股东：　　按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了××股份有限公司（以下简称××公司）××年×月×日的财务报告内部控制的有效性。　　[“一、企业对内部控制的责任”至“四、财务报告内部控制审计意见”参见标准内部控制审计报告相关段落表述。] 五、非财务报告内部控制重大缺陷　　在内部控制审计过程中，我们注意到××公司的非财务报告内部控制存在重大缺陷[描述该缺陷的性质及其对实现相关控制目标的影响程度]。由于存在上述重大缺陷，我们提醒本报告使用者注意相关风险。需要指出的是，我们并不对××公司的非财务报告内部控制发表意见或提供保证。本段内容不影响对财务报告内部控制有效性发表的审计意见。 ××会计师事务所　　　　　　　　　　　　　　　　　　　中国注册会计师：××× 　　（盖章）　　　　　　　　　　　　　　　　　　　　　（签名并盖章）　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　中国注册会计师：××× 　　　　　　　　　　　　　　　　　　　　　　　　　　　（签名并盖章）　　　　中国××市　　　　　　　　　　　　　　　　　　　　　　××年×月×日

本章小结

1.内部控制审计的范围；

财务报告的内控

非财务的描述段予披露

2.内部控制审计基准日的含义；

3.整合审计（原因；结论；财务报表审计与内部控制审计的异同）；

2021新增

相同的

重要账户、列报及相关认定

测试运行有效性的相关程序是相同的

区别

目的

表

可信赖程度

控

设计和运行有效性

期间

表

整个期间

控

基准日之前足够长

子主题

表

子主题

控

子主题

表

子主题

控

子主题

表

子主题

控

4.计划审计工作（总体审计策略、具体审计计划、对应对舞弊风险的考虑）；

5.自上而下方法的五个步骤（注意：识别重要账户、列报及相关认定）；

6.测试控制有效性程序的性质（询问、观察、检查、重新执行等）；

7.控制测试的范围（人工控制、自动化应用控制）；

8.控制的类型（预防性控制、检查性控制）；

9.控制缺陷的分类（基本分类、按严重程度分类）；

10.内部控制缺陷的整改；

整改+足够长时间

11.审计报告的要素和意见类型。

类型：没有保留意见

学习从来无捷径，循序渐进登高峰。

CPA-审计-第二十章 企业内部控制审计

CPA-审计-第二十章 企业内部控制审计

CPA-审计-第二十章企业内部控制审计

CPA-审计-第二十章企业内部控制审计