企業(yè)內部控制審計指引

1、.企業(yè)內部控制審計準則第一章總則第一，規(guī)范CPA執(zhí)行企業(yè)內部控制審計工作，明確業(yè)務要求，確保業(yè)務質量，并根據(jù)中國注冊會計師鑒證業(yè)務基本準則及相關實務指南制定本準則。第二條本準則中稱內部控制審計為會計法人受委托，以特定日期為基準，審計企業(yè)內部控制的效果，并提出審計意見。在本準則中，內部控制審計的范圍主要是企業(yè)設計和執(zhí)行的內部控制，以合理保證財務報告和相關信息的實際和完整的資產安全。為了合理保障資產安全，內部控制可以包括合理保證業(yè)務效率和效果的內部控制，遵守業(yè)務管理的法律規(guī)定。Cpa在內部控制審核或財務報表審核中實施的過程不是企業(yè)內部控制的一部分。第三條在公司治理結構的監(jiān)督下，按照企業(yè)內部控制基本

2、規(guī)范及相關規(guī)定設計、實施和維護有效的內部控制，評估其效果，是企業(yè)管理層的責任。根據(jù)本準則的要求，對執(zhí)行審計工作所產生的內部控制效果提出審計意見，是注冊會計師的責任。內部控制審計不能減少企業(yè)管理人員的責任。第四條有效的內部控制，合理保障財務報告和相關信息的實際、完整的資產安全。如果有一個或多個重大缺陷，內部控制應視為無效。即使財務報表沒有大的錯誤，內部控制也可能有大的缺陷。第五條注冊會計師應計劃和實施審計工作，在特定日期之前，合理保證內部控制是否存在重大缺陷，并作為支持審計意見的基礎，確保充分、適當?shù)淖C據(jù)。佐原健二合并審計第六條注冊會計師應合并內部控制審計和財務報表審計(以下合并審計)。內部控制

3、審計和財務報表審計的目標不同。Cpa必須計劃和實施審核工作以實現(xiàn)這兩個目標。第七條在綜合審計中，注冊會計師必須計劃和實施控制設計和運行效率的測試，同時實現(xiàn)以下目標：(一)在內部控制審計中，確保充分、充分的證據(jù)，支持內部控制有效性的意見；(b)在財務報表審計中，確保適當和適當?shù)淖C據(jù)，以支持內部控制的風險評估結果；第三章計劃審計第一節(jié)總體要求第八條注冊會計師應適當規(guī)劃內部控制審計，適當監(jiān)督助理。第九條在計劃合并審核時，CPA必須評估以下事項對財務報表和內部控制是否有重要影響，以及重要影響是如何影響審核工作的：(一)注冊會計師執(zhí)行其他工作時了解的情況；(二)在評估注冊會計師是否接受與客戶和業(yè)務維持有

4、關的企業(yè)相關的風險狀況時；(三)影響企業(yè)所屬行業(yè)的事項，如產業(yè)財政報告做法、經濟狀況和技術革新；(四)企業(yè)相關的法律法規(guī)；(五)與企業(yè)經營有關的重要事項，包括組織結構、經營特點和資本結構；(六)經營活動的復雜性；(七)經營活動或內部控制最近變化的程度；(八)注冊會計師對內部控制重大缺陷確定相關重要性、風險等因素的初步判斷；(九)以前與審計委員會或管理層通信的控制缺陷；(十)可獲得的和與內部控制效果相關的證據(jù)的類型和范圍；(十一)內部控制有效性的初步判斷；(十二)與評估財務報表重大錯誤發(fā)生的可能性和內部控制的效果有關的公開信息。第二節(jié)風險評估的作用第十條在內部控制審計中，注冊會計師應根據(jù)風險評估

5、確定重要賬戶、公告和相關驗證，選擇要測試的控制，并確定針對特定控制需要收集的證據(jù)。第十一條在內部控制的特定領域存在重大缺陷的危險越高，對該領域的審計興趣越大。Cpa需要更多關注高風險領域，不需要測試即使有缺陷也不能導致財務報表中重大虛假報告的控制。第十二條注冊會計師在進行風險評估和確定審計程序時，必須考慮企業(yè)組織結構、業(yè)務流程或業(yè)務單位復雜性可能產生的重要影響。第三節(jié)審計曹征第十三條企業(yè)組織結構、業(yè)務流程和業(yè)務單位的規(guī)模和復雜性影響實現(xiàn)許多控制目標的方式。注冊會計師要根據(jù)企業(yè)的具體情況調整審計，確保充分、適當?shù)淖C據(jù)支持公布的審計意見。第四節(jié)處理欺詐風險第十四條計劃和實施內部控制審計時，CPA應

6、考慮財務報表審計中欺詐風險的評估結果。如果確定和測試企業(yè)級控制，并選擇不同的控制進行測試，注冊會計師必須評估企業(yè)控制是否足夠大，以應對識別出的、欺詐引起的重大虛假報告的風險，以及管理人員設計的控制以應對優(yōu)先于控制的風險。第十五條在內部控制審計中被確定為防止或發(fā)現(xiàn)舞弊的控制存在缺陷的情況下，CPA在財務報表審計中按照中國注冊會計師審計準則第1141號財務報表審計中對舞弊的考慮規(guī)定制定應對重大虛假報告風險的方案時，應考慮這些缺陷。第五節(jié)利用其他相關人員的工作第十六條注冊會計師應評估公司內部審計員、其他人員以及其他人員，包括管理人員或審計委員會指示下的第三方在內的其他人的工作利用情況和利用程度，減少

7、注冊會計師應做的工作。如果決定利用內部審計員的工作，注冊會計師應按照中國注冊會計師審計準則第1411號考慮內部審計工作的規(guī)定處理。第十七條計劃利用他人的工作，注冊會計師應評估該人的專業(yè)能力和客觀性，以確定可利用程度。第十八條在內部控制審計中，注冊會計師利用他人進行業(yè)務的程度也受到與測試控制相關的風險的影響。與控制相關的風險越高，其他人工作的水平也越低，注冊會計師必須親自測試更多的控制。第十九條其他注冊會計師對企業(yè)的一個或多個部門、分支機構、子公司等組成部分負責財務報表和內部控制，注冊會計師應按照中國注冊會計師審計準則第1401號利用其他注冊會計師的工作的規(guī)定確定自己是否可以擔任主審注冊會計師，

8、是否可以利用其他注冊會計師的工作。第六節(jié)確定重要性級別第二十條在內部控制審計中，注冊會計師應使用與財務報表審計相同水平的重要性。第七節(jié)企業(yè)使用服務機構的注意事項第二十一條在內部控制審計中，如果服務機構進行企業(yè)交易，履行委托責任，則該服務機構的服務可能影響企業(yè)的內部控制。在這種情況下，注冊會計師應按照中國注冊會計師審計準則第1212號對被審計單位使用服務機構的考慮的規(guī)定處理。第四章審計實施第一節(jié)總體要求第二十二條管理人員進行的內部控制評價，應在管理環(huán)境(也稱為內部環(huán)境)的基礎上，集中生產和運營活動，并采取控制手段。因此，在內部控制審計中，注冊會計師應根據(jù)風險評估，選擇使用自上而下方法進行測試的控

9、制。第23條由上而下的方法根據(jù)以下想法展開：(a)在財務報表一級初步了解內部控制的整體風險；(b)確認企業(yè)一級的控制；(3)確認重要賬戶、公告及相關確認；(4)了解虛假報告的可能來源。(e)選擇測試控制。由上而下的方法是注冊會計師選擇控制以識別和測試風險的方法，但不一定是審計工作的執(zhí)行順序。第二節(jié)標識企業(yè)級控制第二十四條注冊會計師要檢驗企業(yè)層面的控制，這對評價內部控制的有效性有重要影響。對企業(yè)級控制的評估可以增加或減少對其他控制的本測試。第二十五條企業(yè)級控制包括：(a)與環(huán)境控制相關的控制；(b)管理層對高于控制的風險的控制；(c)企業(yè)的風險評估流程；(四)集中處理和控制，包括孔劉服務環(huán)境；(

10、5)監(jiān)測管理成果的控制。(六)監(jiān)督其他控制的控制，包括內部審計職能、審計委員會的活動和內部控制自我評價。(七)最終財政報告過程控制；(八)主要經營管理和風險管理實踐的政策。第二十六條控制環(huán)境對保持有效的內部控制有重要影響，注冊會計師要評價企業(yè)的控制環(huán)境。第二十七條期末財政報告流程對內部控制審計和財務報表審計有重大影響，CPA應評估期末財政報告流程。期末財政報告流程包括：(a)將交易總額登記到總賬的程序；(b)與會計政策選擇和應用有關的程序；(c)總賬會計分錄的編制、審批和其他處理程序；(四)調整財務報表的程序；(e)財務報表編制程序。最終財務報告流程通常發(fā)生在管理層評估日之后，因此注冊會計師通

11、常只能在該日之后測試相關控制。第三節(jié)確定重要帳戶、公告和相關確認第二十八條注冊會計師應當確定重要賬戶、公告及相關驗證。帳戶或報表可能包含錯誤，如果錯誤報告單獨或與其它錯誤報告一起對財務報表產生重大影響(多報告和多報告風險都需要考慮)，則該帳戶或報表將標記為重要帳戶或報告。要判斷哪些賬戶或器材是重要賬戶，必須基于其固有風險，而不是相關控制的影響。如果認為財務報表可能包含一個或多個誤報，如果該誤報可能導致財務報表的主要誤報，則視為相關確認。判斷特定決定是否相關，應該基于固有風險，而不是相關控制的影響。第29條CPA必須從以下方面評估財務報表項目和注釋的虛假風險，以確定重要帳戶、公告和相關驗證：(a

12、)賬戶的規(guī)模和組成；(b)容易出現(xiàn)誤報的程度；(c)賬戶或報告中反映的交易的數(shù)量、復雜性和同質性；(四)賬戶或公告的性質；(e)與賬戶或公告相關的會計處理和報告的復雜性；(六)賬戶損失的風險；(七)因賬戶或報告反映的活動，有重大或債務的可能性；(八)有關當事人交易是否列入賬戶記錄；(IX)與上一期間相比，帳戶或發(fā)布特性的變化。第三十條注冊會計師在識別重要賬戶、公告及相關驗證時，還應掌握可能對財務報表產生重大影響的潛在錯誤報告的可能來源。Cpa可以考慮特定重要帳戶或發(fā)布內容中可能出現(xiàn)錯誤的區(qū)域和原因，確定潛在錯誤的可能來源。第31條在內部控制審核中，CPA確定在確定重要帳戶、公告和相關驗證(如財

13、務報表審核中所考慮的)時需要評估的風險因素。因此，兩次審計中確定的重要帳戶、公告和相關確認必須相同。在財務報表審核中，CPA可以實施對非關鍵帳戶、公告和相關確認的實際程序。第三十二條如果潛在的重要賬戶或申報的各組成部分存在重大風險差異，企業(yè)可以徐璐使用其他控制措施應對這種風險，注冊會計師必須單獨處理。第四節(jié)理解錯誤報告的可能來源。第三十三條注冊會計師應執(zhí)行以下任務，了解潛在錯誤報告的可能來源，選擇考試控制。(a)了解與相關確認相關的交易的處理過程，包括如何創(chuàng)建、批準、處理和記錄適用的交易。(b)驗證注冊會計師已確定的業(yè)務流程中可能發(fā)生關鍵錯誤報告(尤其是欺詐引起的錯誤報告)的部分。(3)確定管

14、理層用于處理這些潛在錯誤報告的控制。(四)確定管理層用于及時防止或發(fā)現(xiàn)導致財務報表重大錯誤的未授權資產的收購、使用或報廢的控制。第三十四條注冊會計師必須理解信息技術對企業(yè)業(yè)務流程的影響。注冊會計師應按照中國注冊會計師審計準則第1211號了解被審計單位及其環(huán)境并評估重大錯報風險的規(guī)定考慮信息技術對內部控制和風險評估的影響。第35條穿行測試通常是完成本準則第33條中規(guī)定的工作的最有效的方法。行程測試是跟蹤從發(fā)生開始最終反映在財務報表中的交易的整個處理過程。注冊會計師在執(zhí)行穿行測試時必須使用與企業(yè)員工相同的文件和信息技術。在執(zhí)行穿行測試時，通常需要同時使用詢問合適的人、觀察操作活動、確認相關文檔和重

15、新運行控制的程序。第三十六條在執(zhí)行移動路徑測試時，注冊會計師可以詢問企業(yè)員工對規(guī)定程序和控制的程度，以便對特定交易進行重要處理。結合行程測試的其他程序，這些導航問題可以幫助注冊會計師充分理解業(yè)務流程，控制設計錯誤或美鉆失蹤記重要部分。第v部分選擇測試控制第三十七條注冊會計師應評價在各有關評價中確定的誤報風險的控制是否充分，選擇對評價結論形成有重要影響的控制進行測試。第三十八條在特定相關識別的情況下，可以采取多種措施控制評價的虛假報告風險。相反，可以潛在控制與評估相關的多種驗證的錯誤報告風險。注冊會計師不必測試與特定承認相關的所有控制。第三十九條在決定是否檢驗控制時，注冊會計師應考慮是否適當應對

16、與該控制的分類和名稱無關的單獨或與其他控制一起評估的特定相關虛假陳述的危險。第VI節(jié)測試控制設計的有效性第四十條注冊會計師應檢驗控制設計的有效性。如果擁有必要權限和專業(yè)能力的人實現(xiàn)法規(guī)遵從性目標，有效地防止或發(fā)現(xiàn)可能導致財務報表中重大虛假報告的錯誤或舞弊，則相應的控制是有效設計的。第四十一條注冊會計師在測試控制設計的效果時，應綜合利用詢問合適人選、觀察經營活動、檢查相關文件的程序。行程測試通常足以評估控制設計的效果。第七節(jié)測試控制操作的效果第四十二條注冊會計師應檢驗控制操作的效果?？丶丛O計運行時，如果提交者具有必要的授權和專業(yè)能力，則該控件有效。第四十三條注冊會計師在測試控制運行的效果時，要綜合利用詢問適當?shù)娜?，觀察經營活動，檢查相關文件，重新執(zhí)行控制的程序。第八節(jié)風險與取得證據(jù)的關系第四十四條在測試選定控制的有效性時，注冊會計師應根據(jù)控制相關風險確定應掌握的證據(jù)。與控制相關的風險包括可能無效的風險控制和無效控制導致重大缺陷的風險。與控制相關的風險越高，注冊會計師需要確保更多的證據(jù)。Cpa必須取得每個相關決定的控制有效性證據(jù)，對內部控制的整體效果提出意見，但不負責對個別控制的效果提出意見。第四十五條得出無效運行結論所需的證據(jù)通常少于得出其運行有效結論所需的證據(jù)。第四十六條下列因素影響與控制相關的風險：(a)控制要防止或發(fā)現(xiàn)的錯誤