《企业内部控制审计指引》

企业内部控制审计指引

第一章总则

第一条为了规范注册会计师执行企业内部控制审计业务，明确工作要求，保证执业质量，根据《中国注册会计师鉴证业务基本准则》及相关执业准则，制定本指引。

第二条本指引所称内部控制审计，是指会计师事务所接受委托，对截至特定日期企业内部控制的有效性进行审计，并发表审计意见。

本指引中内部控制审计的范围，主要是企业为了合理保证财务报告及相关信息真实完整、资产安全而设计和执行的内部控制。用以合理保证资产安全的内部控制，可能涉及合理保证经营效率和效果、经营管理合法合规的内部控制。

注册会计师在内部控制审计或财务报表审计中实施的程序并不是企业内部控制的组成部分。

第三条在企业治理层的监督下，按照《企业内部控制基本规范》和相关规定，设计、实施和维护有效的内部控制，并评价其有效性是企业管理层的责任。按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。

内部控制审计不能减轻企业管理层的责任。

第四条有效的内部控制能够为财务报告及相关信息真实完整、资产安全提供合理保证。

如果存在一项或多项重大缺陷，内部控制应被认定为无效。

即使财务报表不存在重大错报，内部控制也可能存在重大缺陷。

第五条注册会计师应当计划和实施审计工作，获取充分、适当的证据，为截至特定日期内部控制是否不存在重大缺陷提供合理保证，并作为支持审计意见的基础。

第二章整合审计

第六条注册会计师应当将内部控制审计与财务报表审计整合进行（以下简称整合审计）。

内部控制审计和财务报表审计的目标不同。注册会计师应当计划和实施审计工作，以同时实现两者的目标。

第七条在整合审计中，注册会计师应当计划和实施对控制设计和运行有效性的测试，以同时实现下列目标：

（一）获取充分、适当的证据，支持其在内部控制审计中对内部控制的有效性发表的意见；

（二）获取充分、适当的证据，支持其在财务报表审计中对内部控制的风险评估结果。

第三章计划审计工作

第一节总体要求

第八条注册会计师应当恰当地计划内部控制审计工作，并对助理人员进行适当的督导。

第九条在计划整合审计工作时，注册会计师应当评价下列事项对财务报表和内部控制是否有重要影响，以及有重要影响的事项将如何影响审计工作：

（一）注册会计师执行其他业务时了解的情况；

（二）在评价是否接受与保持客户和业务时，注册会计师了解的与企业相关的风险情况；

（三）影响企业所处行业的事项，如行业财务报告惯例、经济状况和技术革新；

（四）与企业相关的法律法规；

（五）与企业经营相关的重要事项，包括组织结构、经营特征和资本结构；

（六）经营活动的复杂程度；

（七）经营活动或内部控制最近发生变化的程度；

（八）注册会计师对重要性、风险以及与确定内部控制重大缺陷相关的其他因素所作的初步判断；

（九）以前与审计委员会或管理层沟通过的控制缺陷；

（十）可获取的、与内部控制有效性相关的证据的类型和范围；

（十一）对内部控制有效性的初步判断；

（十二）与评价财务报表发生重大错报的可能性和内部控制有效性相关的公开信息。

第二节风险评估的作用

第十条在内部控制审计中，注册会计师应当以风险评估为基础，确定重要账户、列报及其相关认定，选择拟测试的控制，以及确定针对特定控制所需收集的证据。

第十一条内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多。

注册会计师应当更多地关注高风险领域，而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。

第十二条在进行风险评估以及确定审计程序时，注册会计师应当考虑企业组织结构、经营流程或业务单元的复杂程度可能产生的重要影响。

第三节调整审计工作

第十三条企业组织结构、经营流程及业务单元的规模和复杂程度影响许多控制目标的实现方式。注册会计师应当根据企业具体情况调整审计工作，以获取充分、适当的证据，支持发表的审计意见。

第四节应对舞弊风险

第十四条在计划和实施内部控制审计工作时，注册会计师应当考虑财务报表审计中对舞弊风险的评估结果。在识别和测试企业层面控制以及选择其他控制进行测试时，注册会计师应当评价企业的控制是否足以应对已识别的、由舞弊导致的重大错报风险，并评价为应对管理层凌驾于控制之上的风险而设计的控制。

第十五条在内部控制审计中，如果识别出旨在防止或发现舞弊的控制存在缺陷，注册会计师在财务报表审计中应当按照《中国注册会计师审计准则第1141号——财务报表审计中对舞弊的考虑》的规定，在制定应对重大错报风险的方案时考虑这些缺陷。

第五节利用其他相关人员的工作

第十六条注册会计师应当评估是否利用他人（包括企业的内部审计人员、其他人员以及在管理层或审计委员会指导下的第三方）的工作以及利用的程度，以减少可能本应由注册会计师执行的工作。

如果决定利用内部审计人员的工作，注册会计师应当按照《中国注册会计师审计准则第1411号——考虑内部审计工作》的规定办理。

第十七条如果拟利用他人的工作，注册会计师应当评价该人员的专业胜任能力和客观性，以确定可利用程度。

第十八条在内部控制审计中，注册会计师利用他人工作的程度还受到与被测试控制相关的风险的影响。与某项控制相关的风险越高，可利用他人工作的程度就越低，注册会计师应当越多地亲自对该项控制进行测试。

第十九条如果其他注册会计师负责审计企业的一个或多个分部、分支机构、子公司等组成部分的财务报表和内部控制，注册会计师应当按照《中国注册会计师审计准则第1401号——利用其他注册会计师的工作》的规定，确定自己能否担任主审注册会计师，以及是否利用其他注册会计师的工作。

第六节确定重要性水平

第二十条在计划内部控制审计工作时，注册会计师应当使用与财务报表审计相同的重要性水平。

第七节对企业使用服务机构的考虑

第二十一条在内部控制审计中，如果服务机构执行企业的交易，并履行受托责任，该服务机构的服务可能影响企业的内部控制。在这种情况下，注册会计师应当按照《中国注册会计师审计准则第1212号——对被审计单位使用服务机构的考虑》的规定办理。

第四章实施审计工作

第一节总体要求

第二十二条管理层实施的内部控制评价应当以控制环境（也称内部环境）为基础，以生产经营活动为重点，并兼顾控制手段。相应地，在内部控制审计中，注册会计师应当以风险评估为基础，运用自上而下的方法，选择拟测试的控制。

第二十三条自上而下的方法按照下列思路展开：

（一）从财务报表层次初步了解内部控制整体风险；

（二）识别企业层面控制；

（三）识别重要账户、列报及其相关认定；

（四）了解错报的可能来源；

（五）选择拟测试的控制。

自上而下的方法是注册会计师识别风险、选择拟测试的控制的思路，但并不一定是实施审计工作的顺序。

第二节识别企业层面控制

第二十四条注册会计师应当测试对评价内部控制有效性有重要影响的企业层面控制。对企业层面控制的评价，可能增加或减少本应对其他控制进行的测试。

第二十五条企业层面控制包括：

（一）与控制环境相关的控制；

（二）针对管理层凌驾于控制之上的风险而设计的控制；

（三）企业的风险评估过程；

（四）集中化的处理和控制，包括共享的服务环境；

（五）监控经营成果的控制；

（六）监督其他控制的控制，包括内部审计职能、审计委员会的活动及内部控制自我评价；

（七）对期末财务报告流程的控制；

（八）针对重大经营控制及风险管理实务而采取的政策。

第二十六条控制环境对保持有效的内部控制有重要影响，注册会计师应当评价企业的控制环境。

第二十七条期末财务报告流程对内部控制审计和财务报表审计有重要影响，注册会计师应当评价期末财务报告流程。

期末财务报告流程包括：

（一）将交易总额登入总分类账的程序；

（二）与会计政策的选择和运用相关的程序；

（三）总分类账中会计分录的编制、批准等处理程序；

（四）对财务报表进行调整的程序；

（五）编制财务报表的程序。

由于期末财务报告流程通常发生在管理层评价日之后，注册会计师一般只能在该日之后测试相关控制。

第三节识别重要账户、列报及其相关认定

第二十八条注册会计师应当识别重要账户、列报及其相关认定。

如果某账户或列报可能包含了一个错报，该错报单独或连同其他错报将对财务报表产生重大影响（需要同时考虑多报和少报的风险），则该账户或列报为重要账户或列报。判断某账户或列报是否为重要账户或列报，应当依据其固有风险，而不应考虑相关控制的影响。

如果某财务报表认定可能包含了一个或多个错报，这个或这些错报将导致财务报表重大错报，则该认定为相关认定。判断某认定是否为相关认定，应当依据其固有风险，而不应考虑相关控制的影响。

第二十九条为识别重要账户、列报及其相关认定，注册会计师应当从下列方面评价财务报表项目及附注的错报风险因素：

（一）账户的规模和构成；

（二）易于发生错报的程度；

（三）账户或列报中反映的交易的业务量、复杂性及同质性；

（四）账户或列报的性质；

（五）与账户或列报相关的会计处理及报告的复杂程度；

（六）账户发生损失的风险；

（七）账户或列报中反映的活动引起重大或有负债的可能性；

（八）账户记录中是否涉及关联方交易；

（九）账户或列报的特征与前期相比发生的变化。

第三十条在识别重要账户、列报及其相关认定时，注册会计师还应当确定对财务报表产生重大影响的潜在错报的可能来源。注册会计师可通过考虑在特定的重要账户或列报中错报可能发生的领域和原因，确定潜在错报的可能来源。

第三十一条在内部控制审计中，注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素,与财务报表审计中考虑的因素相同。因此，在这两种审计中识别的重要账户、列报及其相关认定应当相同。

在财务报表审计中，注册会计师可能针对非重要账户、列报及其相关认定实施实质性程序。

第三十二条如果某潜在重要账户或列报的各组成部分存在的风险差异较大，企业可能采用不同的控制以应对这些风险，注册会计师应当分别处理。

第四节了解错报的可能来源

第三十三条注册会计师应当执行下列工作，了解潜在错报的可能来源，以选择拟测试的控制：

（一）了解与相关认定有关的交易的处理流程，包括这些交易如何生成、批准、处理及记录；

（二）验证注册会计师已识别出的、业务流程中可能发生重大错报（尤其是由舞弊导致的错报）的环节；

（三）识别管理层用于应对这些潜在错报的控制；

（四）识别管理层用于及时防止或发现未经授权的、导致财务报表重大错报的资产取得、使用或处置的控制。

第三十四条注册会计师应当了解信息技术如何影响企业的业务流程。注册会计师应当按照《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》的规定，考虑信息技术对内部控制及风险评估的影响。

第三十五条穿行测试通常是完成本指引第三十三条所规定工作的最有效方式。穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程。

在执行穿行测试时，注册会计师使用的文件和信息技术应当与企业员工使用的相同。

在执行穿行测试时，通常需要综合运用询问适当人员、观察经营活动、检查相关文件及重新执行控制等程序。

第三十六条在执行穿行测试时，针对特定交易的重要处理环节，注册会计师可以询问企业员工对规定程序及控制的了解程度。这些试探性提问连同穿行测试中的其他程序，可以帮助注册会计师充分了解业务流程，识别必要控制设计无效或出现缺失的重要环节。

第五节选择拟测试的控制

第三十七条注册会计师应当评价控制是否足以应对评估的每个相关认定的错报风险，并选择其中对形成评价结论具有重要影响的控制进行测试。

第三十八条对特定的相关认定而言，可能有多项控制应对评估的错报风险；反之，一项控制可能应对评估的多个相关认定的错报风险。注册会计师没有必要测试与某个相关认定有关的所有控制。

第三十九条在确定是否测试某项控制时，不论该项控制的分类和名称如何，注册会计师应当考虑其单独或连同其他控制，是否足以应对评估的某项相关认定的错报风险。

第六节测试控制设计的有效性

第四十条注册会计师应当测试控制设计的有效性。

如果某项控制由拥有必要授权和专业胜任能力的人员按规定执行，能够实现控制目标，从而有效防止或发现可能导致财务报表重大错报的错误或舞弊，则表明该项控制的设计是有效的。

第四十一条注册会计师在测试控制设计的有效性时，应当综合运用询问适当人员、观察经营活动和检查相关文件等程序。

执行穿行测试通常足以评价控制设计的有效性。

第七节测试控制运行的有效性

第四十二条注册会计师应当测试控制运行的有效性。

如果某项控制正在按照设计运行、执行人员拥有必要授权和专业胜任能力，则表明该项控制的运行是有效的。

第四十三条注册会计师在测试控制运行的有效性时，应当综合运用询问适当人员、观察经营活动、检查相关文件以及重新执行控制等程序。

第八节风险与拟获取证据的关系

第四十四条在测试所选定控制的有效性时，注册会计师应当根据与控制相关的风险，确定所需获取的证据。

与控制相关的风险包括控制可能无效的风险和因控制无效而导致重大缺陷的风险。与控制相关的风险越高，注册会计师需要获取的证据就越多。

注册会计师应当针对每一相关认定获取控制有效性的证据，以便对内部控制整体的有效性发表意见，但没有责任对单项控制的有效性发表意见。

第四十五条得出控制运行无效的结论所需的证据通常比得出其运行有效的结论所需的证据少。

第四十六条下列因素影响与某项控制相关的风险：

（一）该项控制拟防止或发现的错报的性质和重要程度；

（二）相关账户、列报及其认定的固有风险；

（三）相关账户或列报是否曾经出现错报；

（四）交易的数量和性质是否发生变化，进而可能对该项控制设计或运行的有效性产生不利影响；

（五）企业层面控制（特别是监督其他控制的控制）的有效性；

（六）该项控制的性质及其执行频率；

（七）该项控制对其他控制（如控制环境或信息技术一般控制）有效性的依赖程度；

（八）该项控制的执行或监督人员的专业胜任能力，以及其中的关键人员是否发生变化；

（九）该项控制是人工控制还是自动化控制；

（十）该项控制的复杂程度，以及在运行过程中依赖判断的程度。

第四十七条如果发现控制偏差，注册会计师应当确定该偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。

第四十八条注册会计师通过测试控制有效性获取的证据，取决于实施程序的性质、时间和范围的组合。就单项控制而言，注册会计师应当根据与该项控制相关的风险，适当组合实施程序的性质、时间和范围，以获取充分、适当的证据。

第四十九条注册会计师测试控制有效性实施的程序，按提供证据的效力，由弱到强排序为：询问、观察、检查和重新执行。

询问本身并不能为得出控制是否有效的结论提供充分、适当的证据。

第五十条测试控制有效性实施的程序，其性质在很大程度上取决于拟测试控制的性质。某些控制可能存在文件记录，反映其运行的有效性，而另外一些控制，如管理理念和经营风格，可能没有书面的运行证据。

对缺乏正式运行证据的企业或业务单元，注册会计师可以通过询问并结合运用观察活动、检查非正式的书面记录和重新执行某些控制，获取有关控制有效性的充分、适当的证据。

第五十一条对控制有效性的测试涵盖的期间越长，提供的控制有效性的证据越多。

对控制有效性的测试实施的时间越接近管理层评价日，提供的控制有效性的证据越有力。

为获取充分、适当的证据，注册会计师应当在下列两个因素之间作出平衡，以确定测试的时间：

（一）尽量在接近管理层评价日实施测试；

（二）实施的测试需要涵盖足够长的期间。

第五十二条在管理层评价日之前，管理层可能为提高控制效率、效果或弥补控制缺陷而改变企业的控制。

如果新控制实现了相关控制目标，运行足够长的时间，且注册会计师能够测试并评价该项控制设计和运行的有效性，则无需测试被取代的控制。

如果被取代控制设计和运行的有效性对控制风险的评估有重大影响，注册会计师应当测试该项控制的有效性。

第五十三条针对某项控制，测试的范围越大，获取的证据越多。

第五十四条注册会计师执行内部控制审计业务通常旨在对特定日期（通常为年末）内部控制的有效性发表意见。如果已获取有关控制在期中运行有效性的证据，注册会计师应当确定还需要获取哪些补充证据，以证实在剩余期间控制的运行情况。

第五十五条在将期中测试的结果更新至年末时，注册会计师应当考虑下列因素，以确定需获取的补充证据：

（一）期中测试的特定控制的有关情况，包括与控制相关的风险、控制的性质和测试的结果；

（二）期中获取的有关证据的充分性、适当性；

（三）剩余期间的长短；

（四）期中测试之后，内部控制发生重大变化的可能性。

第九节连续审计时的特殊考虑

第五十六条在连续审计中，注册会计师在确定测试的性质、时间和范围时，应当考虑以前年度执行内部控制审计时了解的情况。

第五十七条除本指引第四十六条所列因素之外，下列因素也会影响连续审计中与某项控制相关的风险：

（一）以前年度审计中所实施程序的性质、时间和范围；

（二）以前年度对控制的测试结果；

（三）上次审计之后，控制或其运行流程是否发生变化。

第五十八条在考虑本指引第四十六条和第五十七条所列的风险因素，以及连续审计中可获取的进一步信息之后，只有当认为与控制相关的风险水平比以前年度有所下降时，注册会计师在本年度审计中才可以减少测试。

第五十九条在连续审计中，由于完全自动化的应用控制通常不会因人为失误而失效，因此，注册会计师可以考虑对自动化应用控制实施对标策略。

第六十条如果认为程序变更、访问权限及计算机操作方面的一般控制有效，且可持续对其进行测试，并能证实自动化应用控制自最近一次测试之后未发生变化，注册会计师不必重复执行测试，就可以认为自动化应用控制是持续有效的。

注册会计师为证实控制未发生变化而需获取证据的性质和范围，可能随情况的变化而变化。例如，企业程序变更控制的强弱将影响需获取证据的性质和范围。

第五章评价识别的控制缺陷

第一节评价控制缺陷的严重程度

第六十一条如果控制的设计或运行不能使管理层或员工在正常履行职责的过程中及时防止或发现错报，则表明内部控制存在缺陷。

内部控制存在的缺陷包括设计缺陷和运行缺陷。

设计缺陷是指缺少为实现控制目标所必需的控制，或者现有控制设计不适当，即使正常运行也难以实现控制目标。

运行缺陷是指设计适当的控制没有按设计意图运行，或者执行人员缺乏必要授权或专业胜任能力，无法有效实施控制。

第六十二条内部控制存在的缺陷，按严重程度分为重大缺陷、重要缺陷和一般缺陷。

重大缺陷是内部控制中存在的、可能导致财务报表重大错报的一项控制缺陷或多项控制缺陷的组合。

重要缺陷是内部控制中存在的、其严重程度不如重大缺陷、但足以引起企业财务报告监督人员关注的一项控制缺陷或多项控制缺陷的组合。

一般缺陷是内部控制中存在的、除重大缺陷和重要缺陷之外的控制缺陷。

第六十三条注册会计师应当评价其注意到的各项控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷。但是，在计划和实施审计工作时，不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。

第六十四条控制缺陷的严重程度取决于：

（一）控制缺陷导致账户余额或列报错报的可能性；

（二）因一项控制缺陷或多项控制缺陷的组合导致潜在错报的金额大小。

第六十五条控制缺陷的严重程度与账户余额或列报是否发生错报无关，而取决于控制缺陷是否可能导致错报。

第六十六条在评价一项控制缺陷或多项控制缺陷的组合是否可能导致账户余额或列报错报时，注册会计师应当考虑的风险因素包括：

（一）所涉及的账户、列报及其相关认定的性质；

（二）相关资产或负债易于发生损失或舞弊的程度；

（三）确定相关金额时所需判断的主观程度、复杂程度及范围；

（四）所涉及的控制与其他控制的相互作用或关系；

（五）控制缺陷之间的相互作用；

（六）控制缺陷在未来可能产生的影响。

第六十七条在评价因一项控制缺陷或多项控制缺陷的组合导致潜在错报的金额大小时，注册会计师应当考虑的因素包括：

（一）受控制缺陷影响的财务报表金额或交易总额；

（二）在本期或预计的未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量。

第六十八条在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时，注册会计师应当评价补偿性控制的影响。为减弱控制缺陷的不利影响，企业执行的补偿性控制应当有足够的精确度，以防止或发现可能发生的重大错报。

第二节表明可能存在重大缺陷的迹象

第六十九条下列迹象可能表明内部控制存在重大缺陷：

（一）注册会计师发现高级管理人员舞弊；

（二）企业重述以前公布的财务报表，以更正重大错报；

（三）注册会计师发现当期财务报表存在重大错报，而控制未能发现；

（四）审计委员会对财务报告及内部控制的监督无效。

第七十条如果注册会计师确定，发现的一项控制缺陷或多项控制缺陷的组合，将导致审慎的管理人员在执行工作时认为自身无法合理保证按照企业会计准则的规定记录交易，应当将这种情况视为内部控制存在重大缺陷的迹象。

第六章完成审计工作

第一节形成审计意见

第七十一条注册会计师应当评价从各种来源获取的证据，包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷，以形成对内部控制有效性的意见。

第七十二条在对内部控制的有效性形成意见后，注册会计师应当评价，管理层内部控制评价报告中对与财务报告及相关信息的真实完整、资产安全相关的内部控制的表达是否符合有关法律法规的要求。

如果认为上述表达不完整或不恰当，注册会计师应当按照本指引第九十八条的要求进行处理。

第七十三条只有在审计范围没有受到限制时，注册会计师才能对内部控制的有效性形成意见。如果存在范围限制，注册会计师应当按照本指引第九十九条至第一百零二条的要求进行处理。

第二节获取管理层书面声明

第七十四条注册会计师应当向管理层获取书面声明。管理层声明的内容应当包括：

（一）管理层认可其对设计、实施和维护有效的内部控制负责；

（二）管理层已对内部控制的有效性作出评价，并说明评价时采用的标准；

（三）管理层没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果，作为管理层自我评价的基础；

（四）管理层根据控制标准评价内部控制有效性得出的结论；

（五）管理层已向注册会计师披露识别出的、内部控制在设计或运行方面存在的所有缺陷，并已专门向注册会计师披露所有重要缺陷或重大缺陷；

（六）导致财务报表重大错报的所有舞弊，以及不会导致财务报表重大错报，但涉及管理层和其他在内部控制中具有重要作用的员工的所有舞弊；

（七）注册会计师在以前年度审计中识别的、已与审计委员会沟通的控制缺陷是否已经得到解决，以及哪些缺陷尚未得到解决；

（八）在审计报告日后，内部控制是否发生变化，或者是否存在对内部控制产生重要影响的其他因素，如管理层针对重要缺陷和重大缺陷采取的所有纠正措施。

第七十五条如果管理层拒绝提供书面声明，或因其他原因未能获取书面声明，注册会计师应当将其视为审计范围受到限制，解除业务约定或出具无法表示意见的审计报告。

注册会计师应当评价，管理层拒绝提供书面声明对其他声明（包括在财务报表审计中获取的声明）的可靠性产生的影响。

第七十六条注册会计师应当按照《中国注册会计师审计准则第1341号——管理层声明》的规定，确定声明书的签署者、声明书涵盖的期间以及何时获取更新的声明书等。

第三节沟通相关事项

第七十七条注册会计师应当以书面形式与管理层和审计委员会沟通审计过程中识别的所有重大缺陷。书面沟通应当在注册会计师出具内部控制审计报告之前进行。

第七十八条如果认为审计委员会对财务报告及其内部控制的监督无效，注册会计师应当就此以书面形式与董事会沟通。

第七十九条注册会计师应当考虑其识别的一项控制缺陷或多项控制缺陷的组合是否构成重要缺陷。如果构成重要缺陷，则应当就此以书面形式与审计委员会沟通。

第八十条注册会计师应当以书面形式与管理层沟通其在审计过程中识别的内部控制存在的所有缺陷，并在沟通完成后告知审计委员会。在进行沟通时，注册会计师无需重复自身、内部审计人员或企业其他人员以前书面沟通过的控制缺陷。

第八十一条本指引不要求注册会计师执行足以识别所有控制缺陷的程序，但是，注册会计师应当沟通其注意到的内部控制的所有缺陷。

第八十二条如果发现企业存在或可能存在舞弊或违反法规行为，注册会计师应当按照《中国注册会计师审计准则第1141号——财务报表审计中对舞弊的考虑》、《中国注册会计师审计准则第1142号——财务报表审计中对法律法规的考虑》的规定，确定并履行自身的责任。

第七章审计报告

第一节总体要求

第八十三条注册会计师应当评价根据审计证据得出的结论，以作为对内部控制的有效性形成审计意见的基础。

第八十四条注册会计师在完成内部控制审计和财务报表审计后，应当分别对内部控制和财务报表出具审计报告。

第二节标准审计报告

第八十五条审计报告应当包括下列要素：

（一）标题；

（二）收件人；

（三）引言段；

（四）管理层对内部控制的责任段；

（五）注册会计师的责任段；

（六）内部控制审计的范围段；

（七）内部控制固有局限性的说明段；

（八）内部控制审计意见段；

（九）财务报表审计意见类型的提及段；

（十）注册会计师的签名和盖章；

（十一）会计师事务所的名称、地址及盖章；

（十二）报告日期。

第八十六条在内部控制审计报告中，财务报表审计意见类型的提及段应当说明，注册会计师还按照中国注册会计师审计准则的规定，审计了企业的财务报表[指出财务报表]，并于××年×月×日出具的审计报告中发表了××意见[指出意见的类型]。如果出具了无法表示意见的财务报表审计报告，应当对该提及段的表述作必要修改。

此外，注册会计师应当在财务报表审计报告意见段后，增加下列段落：“我们还按照《企业内部控制审计指引》及相关执业准则的要求，审计了截至××年×月×日企业的内部控制，并在我们出具的××年×月×日（该日期应当与财务报表的审计报告日期一致）的审计报告中，发表了[指出意见的类型]。”如果出具了无法表示意见的内部控制审计报告，应当对该段落的表述作必要修改。

第八十七条如果符合下列所有条件，注册会计师应当对内部控制出具无保留意见的审计报告：

（一）截至特定日期，企业按照《企业内部控制基本规范》和相关规定的要求，在所有重大方面保持了有效的内部控制；

（二）注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作，在审计过程中未受到限制。

第八十八条由于内部控制审计和财务报表审计是整合进行的，注册会计师对内部控制审计报告和财务报表审计报告应当签署相同的日期。

第三节重大缺陷与非标准审计报告

第八十九条如果认为内部控制存在一项或多项重大缺陷，除非审计范围受到限制，否则，注册会计师应当对内部控制发表否定意见。

第九十条注册会计师出具的否定意见审计报告还应包括下列内容：

（一）本指引对重大缺陷的定义；

（二）注册会计师已识别出的重大缺陷（包括在管理层内部控制评价报告中描述的、由管理层识别的内部控制重大缺陷），重大缺陷的性质以及重大缺陷在存在期间对企业编制的财务报表产生的实际和潜在影响等具体情况。

如果重大缺陷尚未包含在管理层内部控制评价报告中，注册会计师应当在审计报告中说明重大缺陷已经识别、但没有包含在管理层内部控制评价报告中。

如果管理层内部控制评价报告中包含了重大缺陷，但注册会计师认为这些重大缺陷未能在所有重大方面得到公允反映，注册会计师应当在审计报告中予以说明，并公允表达有关重大缺陷的必要信息。

第九十一条如果对内部控制发表否定意见，注册会计师应当确定该意见对财务报表审计意见的影响，并在内部控制审计报告中予以说明。

第四节期后事项与非标准审计报告

第九十二条在内部控制审计报告引言段中指出的特定日期之后、审计报告日之前（以下简称期后期间），内部控制可能发生变化，或出现其他可能对内部控制产生重要影响的因素。注册会计师应当向管理层询问是否存在这类变化或影响因素，并按本指引的要求获取管理层关于这些情况的书面声明。

第九十三条注册会计师应当针对期后期间，询问并检查下列信息：

（一）在期后期间出具的内部审计报告或类似报告；

（二）其他注册会计师出具的涉及企业内部控制缺陷的报告；

（三）监管机构发布的涉及企业内部控制的报告；

（四）注册会计师在执行其他业务中获取的、有关企业内部控制有效性的信息。

注册会计师还应当考虑获取期后期间的其他文件，并按照《中国注册会计师审计准则第1332号——期后事项》的规定，对其进行检查。

第九十四条如果知悉对管理层评价日内部控制有效性有重大负面影响的期后事项，注册会计师应当对内部控制发表否定意见。

如果不能确定期后事项对内部控制有效性的影响，注册会计师应当出具无法表示意见的审计报告。

如果管理层在内部控制评价报告中披露了管理层评价日后企业可能采取的纠正措施，注册会计师应当在审计报告中指明不对其发表意见。

第九十五条注册会计师可能知悉在管理层评价日并不存在、但在期后期间发生的事项。如果这类期后事项对内部控制有重大影响，注册会计师应当在审计报告中增加强调事项段，以描述该事项及其影响，或提醒审计报告使用者关注管理层内部控制评价报告中披露的该事项及其影响。

第九十六条在出具内部控制审计报告之后，如果知悉在审计报告日已存在的、可能对审计意见产生影响的情况，注册会计师应当按照《中国注册会计师审计准则第1332号——期后事项》的规定办理。

第五节其他情况与非标准审计报告

第九十七条如果存在下列情况之一，注册会计师应当出具非标准审计报告：

（一）管理层内部控制评价报告的表达不完整或不恰当；

（二）审计范围受到限制；

（三）管理层内部控制评价报告中包含其他信息。

第九十八条如果认为管理层内部控制评价报告的表达不完整或不恰当，注册会计师应当在审计报告中增加强调事项段，说明这一情况并解释得出该结论的理由。如果认为有关内部控制重大缺陷未能在所有重大方面得到公允反映，注册会计师应当按照本指引第九十条的要求进行处理。

第九十九条注册会计师只有实施了必要的审计程序，才能对内部控制的有效性发表意见。如果审计范围受到限制，注册会计师应当解除业务约定或出具无法表示意见的审计报告。

在出具无法表示意见的审计报告时，注册会计师应当指明无法对内部控制的有效性发表意见。

第一百条在出具无法表示意见的审计报告时，注册会计师应当在审计报告中说明审计范围不足以支持发表意见，并单设段落说明无法表示意见的实质性理由。注册会计师不应在审计报告中指明所执行的程序，也不应描述内部控制审计的特征，以避免对无法表示意见的误解。

第一百零一条当拟出具无法表示意见的审计报告时，如果已执行的有限程序发现内部控制存在重大缺陷，注册会计师应当按照本指引第九十条的要求，对重大缺陷做出适当说明。

第一百零二条如果拟出具无法表示意见的审计报告，注册会计师应当就未能完成整个内部控制审计工作的情况，以书面形式与管理层和审计委员会进行沟通。

第一百零三条除涉及与财务报告及相关信息的真实完整、资产安全相关的内部控制信息外，如果管理层内部控制评价报告还包括其他信息，注册会计师应当在审计报告中指明不对其他信息发表意见。

第一百零四条如果认为其他信息含有对事实的重大错报，注册会计师应当就此与管理层进行讨论。

如果讨论后仍认为存在对事实的重大错报，注册会计师应当以书面形式，将其看法告知管理层和审计委员会。

如果其他信息未包含在管理层内部控制评价报告中，而是包含在年度财务报告中，注册会计师无需在审计报告中指明不对其发表意见。

第八章审计工作记录

第一百零五条注册会计师应当按照《中国注册会计师审计准则第1131号——审计工作底稿》的规定，编制内部控制审计工作底稿。

第一百零六条注册会计师应当就下列内容形成审计工作记录：

（一）制定的内部控制审计计划及重大修改情况；

（二）相关风险评估和选择拟测试控制的主要过程及结果；

（三）测试控制设计和运行有效性的程序及结果；

（四）对识别的控制缺陷的评价；

（五）形成的审计结论和意见；

（六）其他重要事项。

第九章附则

第一百零七条本指引自2009年7月1日起施行。

附录：内部控制审计报告的参考格式

1.标准审计报告

内部控制审计报告

××股份有限公司全体股东：

我们审计了截至××年×月×日××股份有限公司（以下简称××公司）的内部控制。

一、管理层对内部控制的责任

在企业治理层的监督下，按照《企业内部控制基本规范》和相关规定，设计、实施和维护有效的内部控制，并评价其有效性是企业管理层的责任。

二、注册会计师的责任

我们的责任是在实施审计工作的基础上对内部控制的有效性发表审计意见。我们按照《企业内部控制审计指引》及相关执业准则的要求执行了审计工作。上述有关规定要求我们遵守职业道德守则，计划和实施审计工作，以对企业在所有重大方面是否保持了有效的内部控制获取合理保证。

审计工作包括获取对内部控制的了解，评估重大缺陷存在的风险，并根据风险评估的结果，测试和评价内部控制设计和运行的有效性。审计工作还包括实施我们认为必要的其他程序。

我们相信，我们获取的审计证据是充分、适当的，为发表审计意见提供了基础。

三、内部控制审计的范围

本报告中内部控制审计的范围，主要是企业为了合理保证财务报告及相关信息真实完整、资产安全而设计和执行的内部控制。用以合理保证资产安全的内部控制，可能涉及合理保证经营效率和效果、经营管理合法合规的内部控制。

四、内部控制的固有局限性

内部控制具有固有局限性，存在不能防止和发现错报的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制审计结果推测未来内部控制的有效性具有一定风险。

五、内部控制审计意见

我们认为，截至××年×月×日，××公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的内部控制。

六、提及财务报表审计意见的类型

我们还按照中国注册会计师审计准则的规定，审计了××公司的财务报表[指出财务报表]，并在××年×月×日出具的审计报告中发表了××意见[指出意见的类型]。

××会计师事务所中国注册会计师：×××（签名并盖章）

（盖章）中国注册会计师：×××（签名并盖章）

中国××市 ××年×月×日

2.带强调事项段的无保留意见审计报告

内部控制审计报告

××股份有限公司全体股东：

我们审计了截至××年×月×日××股份有限公司（以下简称××公司）的内部控制。

[“一、管理层对内部控制的责任”至“六、提及财务报表审计意见的类型”参见标准审计报告相关段落表述。]

七、强调事项

我们提醒审计报告使用者关注，[如管理层内部控制评价报告中第×部分第×段所述，××公司发生了一项期后事项。（描述期后事项的性质及其对内部控制的重大影响）]。本段内容不影响已发表的审计意见。

××会计师事务所中国注册会计师：×××（签名并盖章）

（盖章）中国注册会计师：×××（签名并盖章）

中国××市 ××年×月×日

3.否定意见审计报告

内部控制审计报告

××股份有限公司全体股东：

我们审计了截至××年×月×日××股份有限公司（以下简称××公司）的内部控制。

[“一、管理层对内部控制的责任”至“四、内部控制的固有局限性”参见标准审计报告相关段落表述。]

五、导致否定意见的事项

重大缺陷是内部控制中存在的、可能导致不能及时防止或发现企业财务报表重大错报的一项控制缺陷或多项控制缺陷的组合。

[指出注册会计师已识别出的重大缺陷（包括在管理层内部控制评价报告中描述的由管理层识别的内部控制重大缺陷），并说明重大缺陷的性质以及重大缺陷在存在期间对企业编制的财务报表产生的实际和潜在影响等具体情况。]

其中，××重大缺陷没有包含在管理层内部控制评价报告中（如存在这种情况的话，应增加本句）。××重大缺陷虽然已包含在管理层内部控制评价报告中，但未能在所有重大方面得到公允反映，[公允表达有关重大缺陷的必要信息]（如存在这种情况的话，应增加本句）。

有效的内部控制能够为财务报告及相关信息真实完整、资产安全提供合理保证，而上述重大缺陷使××公司内部控制失去这一功能。

[如果上述重大缺陷对财务报表审计意见有影响，说明该影响。]

六、内部控制审计意见

我们认为，由于存在上述重大缺陷及其对实现控制目标的影响，截至××年×月×日，××公司未能按照《企业内部控制基本规范》和相关规定在所有重大方面保持有效的内部控制。

七、提及财务报表审计意见的类型

[参见标准审计报告相关段落表述]

××会计师事务所中国注册会计师：×××（签名并盖章）

（盖章）中国注册会计师：×××（签名并盖章）

中国××市 ××年×月×日

4.无法表示意见审计报告

内部控制审计报告

××股份有限公司全体股东：

我们接受委托，对截至××年×月×日××股份有限公司（以下简称××公司）的内部控制进行审计。

[删除注册会计师的责任段，“一、管理层对内部控制的责任”、“二、内部控制审计的范围”和“三、内部控制的固有局限性”参见标准审计报告相关段落表述。]

四、导致无法表示意见的事项

[描述审计范围受到限制的具体情况]

五、内部控制审计意见

由于审计范围受到上述限制，我们未能实施必要的审计程序以获取发表意见所需的充分、适当证据，因此，我们无法对截至××年×月×日××公司内部控制的有效性发表意见。

六、识别的内部控制重大缺陷（如在审计范围受到限制前，执行有限程序未能识别出重大缺陷，则应删除本段）

重大缺陷是内部控制中存在的、可能导致不能及时防止或发现企业财务报表重大错报的一项控制缺陷或多项控制缺陷的组合。

有效的内部控制能够为财务报告及相关信息真实完整、资产安全提供合理保证，而上述重大缺陷使××公司内部控制失去这一功能。

七、提及财务报表审计意见的类型

[参见标准审计报告相关段落表述]

××会计师事务所中国注册会计师：×××（签名并盖章）

（盖章）中国注册会计师：×××（签名并盖章）

中国××市 ××年×月×日

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。