内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。其中，财务报告内部控制审计是服务的核心要求。

财务报告内部控制，是指公司的董事会、监事会、管理层及全体员工实施的旨在合理保证财务报告及相关信息真实、完整而设计和运行的内部控制，以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。财务报告内部控制以外的其他内部控制，属于非财务报告内部控制。

内部控制的有效性包括内部控制设计的有效性和内部控制运行的有效性。

与控制相关的风险越高，注册会计师需要获取的审计证据就越多。

（1）测试人工控制的最小样本规模。

（2）测试自动化应用控制的最小样本规模。

（3）发现偏差时的处理。

对内部控制审计而言，如果新控制实现了相关控制目标，且运行了足够长的时间，注册会计师能够通过对该控制进行测试评价其设计和运行的有效性，则无须测试被取代的控制。

内部控制审计计划分为总体审计策略和具体审计计划两个层次，在计划审计工作时，注册会计师应当评价下列事项对财务报告内部控制、财务报表及审计工作的影响：

（1）与企业相关的风险；

（2）相关法律法规和行业概况；

（3）企业组织结构、经营特点和资本结构等相关重要事项；

（4）企业内部控制最近发生变化的程度；

（5）与企业沟通过的内部控制缺陷；

（6）重要性、风险等与确定内部控制重大缺陷相关的因素；

（7）对内部控制有效性的初步判断；

（8）可获取的、与内部控制有效性相关的证据的类型和范围。

（1）确定审计业务的特征，以界定审计范围；

（2）明确审计业务的报告目标，以计划审计的时间安排和所需沟通的性质；

（3）根据职业判断，考虑用以指导项目组工作方向的重要因素；

（4）考虑初步业务活动的结果，并考虑对被审计单位执行其他业务时获得的经验是否与内部控制审计业务相关；

（5）确定执行业务所需资源的性质、时间安排和范围。

（1）了解和识别内部控制的程序的性质、时间安排和范围；

（2）测试控制设计有效性的程序的性质、时间安排和范围；

（3）测试控制运行有效性的程序的性质、时间安排和范围。

1.企业层面控制的含义

2.企业层面控制的内容

3.企业层面控制对其他控制及其测试的影响

1.重要账户、列报及相关认定的含义

2.识别要求

穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程，是评价控制设计的有效性以及确定控制是否得到执行的有效方法。注册会计师在实施穿行测试时，通常需要综合运用询问、观察、检查相关文件记录。

1.基本要求

2.选取关键控制

（1）注册会计师可以通过检查被审计单位的手册和其他书面指引获得有关信息，还可以通过询问和观察来获得全面的了解。

（2）向负责处理具体业务人员的上级进行询问通常更加有效。

（3）注册会计师可以检查并在适当的情况下保存部分被审计单位文件（如流程图、程序手册、职责描述、文件、表格等）的复印件，可以考虑在图表及流程图上加入自己的文字表述。注册会计师需要记录以下信息：①输入信息的来源；②所使用的重要数据档案，如客户清单；③重要的处理程序，包括在线输入和更新处理；④重要的输出文件、 报告和记录；⑤基本的职责划分。

（1）控制的类型包括预防性控制和检查性控制。

（2）应首先询问级别较高的人员，再询问级别较低的人员；从级别较低人员处获取的信息，应向级别较高的人员核实其完整性。

（3）注册会计师并不需要了解与每一控制目标相关的所有控制；控制与认定直接或间接相关，关系越间接，控制对防止或发现并纠正认定错报的效果越小，注册会计师应考虑识别和了解与认定关系更直接、更有效的控制。

（1）信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行四个方面。

（2）由于程序变更控制、计算机运行控制及程序数据访问控制影响信息技术应用控制的持续有效运行，注册会计师需要对上述三个领域实施控制测试。

（1）信息技术应用控制一般要经过输入、处理及输出等环节，与手工控制一样，自动系统控制同样关注信息处理目标的四个要素：完整性、准确性、经过授权和访问限制。

（2）所有的自动应用控制都会有一个手工控制与之相对应，在测试的时候，每个自动系统控制都要与其对应的手工控制一起进行测试，才能得到控制是否可信赖的结论。

注册会计师应当评价其识别的各项控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成内部控制的重大缺陷。在计划和实施审计工作时，不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。

（1）在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时，注册会计师应当评价补偿性控制的影响。

（2）在评价补偿性控制是否能够弥补控制缺陷时，注册会计师应当考虑补偿性控制是否有足够的精确度以防止或发现并纠正可能发生的重大错报。

（1）注册会计师发现董事、监事和高级管理人员的任何舞弊；

（2）被审计单位重述以前公布的财务报表，以更正由于舞弊或错误导致的重大错报；

（3）注册会计师发现当期财务报表存在重大错报，而被审计单位内部控制在运行过程中未能发现该错报；

（4）审计委员会和内部审计机构对内部控制的监督无效。

书面声明的内容应当包括：

（1）被审计单位董事会认可其对建立健全和有效实施内部控制负责；

（2）被审计单位已对内部控制进行了评价，并编制了内部控制评价报告；

（3）被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作为评价的基础；

（4）被审计单位根据内部控制标准评价内部控制有效性得出的结论；

（5）被审计单位已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷和重要缺陷；

（6）被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞弊，以及其他不会导致财务报表发生重大错报，但涉及管理层、治理层和其他在内部控制中具有重要作用的员工的所有舞弊；

（7）注册会计师在以前年度审计中识别出的且已与被审计单位沟通的重大缺陷和重要缺陷是否已经得到解决，以及哪些缺陷尚未得到解决；

（8）在基准日后，内部控制是否发生变化，或者是否存在对内部控制产生重要影响的其他因素，包括被审计单位针对重大缺陷和重要缺陷采取的所有纠正措施。

（1）注册会计师应当将其视为审计范围受到限制，解除业务约定或出具无法表示意见的内部控制审计报告。

（2）注册会计师应当评价拒绝提供书面声明这一情况对其他声明（包括在财务报表审计中获取的声明）的可靠性的影响。

如果符合下列所有条件，注册会计师应当对内部控制出具无保留意见的内部控制审计报告：

（1）在基准日，被审计单位按照适用的内部控制标准的要求，在所有重大方面保持了有效的内部控制；

（2）注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作，在审计过程中未受到限制。

1.适用情形

2.沟通和说明

3.对企业内部控制评价报告的考虑

4.对财务报表审计意见的影响

1.适用情形

2.法律法规的豁免规定

3.沟通和说明

1.总体原则

2.适用情形

（1）如果认为非财务报告内部控制缺陷为一般缺陷，注册会计师应当与企业进行沟通，提醒企业加以改进，但无须在内部控制审计报告中说明；

（2）如果认为非财务报告内部控制缺陷为重要缺陷，注册会计师应当以书面形式与企业董事会和管理层沟通，提醒企业加以改进，但无须在内部控制审计报告中说明；

（3）如果认为非财务报告内部控制缺陷为重大缺陷，注册会计师应当以书面形式与企业董事会和管理层沟通，提醒企业加以改进；同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险，但无须对其发表审计意见。