内部控制整合审计指引.docx

1、内部控制整合审计指引内部控制整合审计指引说明：本内部控制整合审计指引为了读者迅速理解内部控制整合审计的要点及与年度财务报告审计的差别，并非内部控制整合审计的全部内容。拟全部掌握内部控制审计的要点，需掌握企业内部控制审计指引、中注协下发的企业内部控制审计指南、财政部课题组企业内部控制审计政策解读与操作指南和会计师事务所有关内部控制审计相关的具体指引等。一、 内部控制审计的基本概念根据审计指引的定义，内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行的审计。（一） 业务性质对于内部控制审计而言属于合理保证的鉴证业务，审计对象是被审计单位的内部控制，采用积极方式提出审计

2、意见。标准是指有关的内部控制的法规、规范和指引。以前的内部控制审阅（审核）报告属于有限保证的鉴证业务，审计对象为被审计单位的内控自我评估报告，采用消极方式提出审计意见。（二） 业务对象1、时点/期间 根据我国的规定，内部控制审计针对的特定基准日被审计单位内部控制的有效性发表意见，即采纳时点的概念。采纳时点概念并不意味着注册会计师可以只关注企业基准日当天的内部控制，而是考察企业一个是时期（足够长的一段时间）内部控制的设计和运行情况。根据业界经验，一般要求内部控制的有效运行期间至少为3个月。中注协关于有效运行及测试的规定：整改后控制运行的最短期间（或最少运行次数）和最少测试数量控制运行频率 整改后

3、控制运行的最短期间 或最少运行次数最少测试次数每季一次2个季度2每月一次2个月2每周一次5个星期2每天一次20天10一日数次25次（分布于涵盖多天的期间，通常不少于15天）25注：如果被审计单位在基准日前对存在重大缺陷的内部控制进行了整改，但新控制尚没有运行足够长的时间，注册会计师应当将其视为内部控制在基准日存在重大缺陷。2、财务报告/非财务报告财务报告内部控制是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制，以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。我国的内部控制审计是对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内

4、部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。 （三） 其他重要概念1、 内部控制有效性及其判定标准内部控制的有效性是指被审计单位建立和实施内部控制对实现目标提供合理保证的程度，包括内部控制设计的有效性和内部控制运行的有效性。内部控制的设计有效性是指所设计的内部控制单独或者连同其他内部控制能够合理保证实现内部控制的目标。设计有效性的外在判断标准主要体现为内部控制设计的合理性和适当性。内部控制的运行有效性是指内部控制能够在各个不同的时点按照既定设计得以一贯执行，从而合理保证实现内部控制的目标。2、 内部控制的缺陷内部控制缺陷包括设计缺陷和运行缺陷。对内部

5、控制缺陷的认定，需要借助一套系统遵循的认定标准，认定过程还需要内部控制评价人员的职业判断，并按其影响程度分为重大缺陷、重要缺陷和一般缺陷。重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。3、 重大账户根据账户的金额大小，并结合风险和其他因素来判断是否重大账户。如果一个重大账户对应了多个单独的业务流程，还应考虑根据不同的风险将重大账户进行分解，然后分别确定各个重大账户。4、 相关认定相关认定是指可能导致发生重大错报的、与

6、重大账户或列报相关的额认定。在识别重大账户和列报后，应确定哪些与重大账户和列报相关的财务报表认定，并非所有认定对重大账户而言都是相关的。二、 整合审计审计指引第五条规定，注册会计师可以单独进行内部控制审计，也可以将内部控制审计与财务报表审计整合进行（简称整合审计）。（一） 财务报表审计与内部控制审计的关系1、内控审计、财务报表审计分别进行的路径2、内控审计、财务报表审计整合审计的路径3、内控审计与财务报表审计的关系 内部控制审计与财务报表审计比较比较项目内部审计控制财务报表审计审计目的对财务报表内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制

7、审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露对财务报表是否符合企业会计准则，是否公允地反应被审计单位的财务状况和经营成果发表意见了解和测试内部控制的目的了解和测试内部控制的直接目的是对内部控制设计和运行的有效性发表意见财务表表审计按风险导向审计模式进行，了解内部控制是为了评估重大错误风险，测试内部控制是为了进一步证明了解内部控制时得出的初步结论，了解和测试内部控制的最终目的服务于对财务报表发表审计意见的目的测试范围对所有重要账户、各类交易和列报的相关认定，都要了解和测试相关的内部控制在财务表表审计中，只有在下面两种情况下才强制要求对内部控制进行测试：（1）在评估认定层次重大错误风

8、险时，预期控制的运行是有效的（即在确定实质性程序的性质、时间安排和范围时，注册会计师拟信赖控制运行的有效性）；（2）或者仅实施实质性程序并不能够提供认定层次充分/适当的审计证据。在其他情况下，注册会计师可以不测试内部控制测试时间对特定基准日内部控制的有效性发表意见，不需要测试整个会计期间，但要测试足够长的期间一旦确定需要测试，则需测试内部控制在整个所审计期间（拟信赖期间）的运行有效性测试样本量（保证程度差异，如下表二）对结论可靠性的要求高，测试的样本量大对结论可靠性的要求取决于计划从控制测试中得到的保证程度（或减少实质性程序工作量的程度），样本量相对要小报告结果（1）对外披露；（2）以正面、积

9、极的方式对被不控制是否有效发表审计意见（1）通常不对外披露内部控制的情况，除非是内部控制影响到对财务报表发表的审计意见（2）以管理建议书的方式向管理层或治理层报告财务报表审计过程中发现的内部控制重大缺陷，但注册会计师没有义务专门实施审计程序，以发现和报告内部控制重大缺陷总之，内部控制审计与财务报表审计中内部控制测试的审计程序是一样，最大的不同在于：（1）审计范围：内部控制审计的审计范围为所有重要账户、各类交易和列报的相关认定；而财务报表审计中内部控制测试的范围取决于审计策略，即预期内部控制运行有效，注册会计师拟信赖内部控制或仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。一般来讲，内

10、部控制审计的范围远大于财务报表审计中内部控制测试范围。（2）审计结论的程度：内部控制审计要求的审计结果可靠性比较高，需要依此发表意见，取决于监管和事务所的质量标准要求。而财务报表审计中对于内部控制的测试结论（或程度），可以根据实际情况和审计策略来调整，一般可分为高中低三档。（3）涵盖测试期间：内部控制审计满足中注协关于内部控制整改后控制运行的最短期间（或最少运行次数）就可，一般最晚在10-12月有效运行即可。财务报表审计中对于内部控制的测试期间为所审计的期间。故在整合审计时，要特别考虑审计范围、审计结论程度、涵盖测试期间等的影响，判断内部控制审计的结论能否有效支持年度财务报表审计，即符合年度财

11、务报表中关于内部控制测试的要求。此外，整合审计的基本前提是两者使的重要性水平一致。特别在子公司单独出具审计报告的情况下，尤其注意对于子公司的内部控制审计使用的重要性水平是否和年度财务报表审计采用的重要性水平一致。（二） 两种审计整合的必要性内部控制审计要求对被审计单位内部控制设计和运行的有效性进行测试，财务报表审计中，也要求了解被审计单位的内部控制，并在需要时测试控制，这是两种审计的相同之处，也是整合审计应整合的二部分。提高效率和合理利用彼此的工作，是整合审计的必要性所在。而两者在审计技术上的相同性则决定了整合审计的可行性。整合审计包括审计目标、审计过程、审计结果的整合和利用。（三） 两种审计

12、整合的思路由于两种审计的目标不同，审计指引要求在整合审计中，注册会计师对内部控制设计与运行的有效性进行测试，要同时实现两个目标：（1） 获取充分、适当的证据，支持在内部控制审计中对内部控制有效性发表的意见；（2） 获取充分、适当的证据，支持在财务报表审计中对控制风险的评估结果。内部控制审计与财务报表审计通常使用相同的重要性（或重要性水平），在实务中两者很难分开。注册会计师可以利用在一种审计中获得的结果为另一种审计中的判断和拟实施的程序提供信息。实施财务报表审计时，注册会计师可以利用内部控制审计的结果来修改实质性程序的性质、时间安排和范围，并可以利用该结果来支持分析性成中所使用的信息的完整性和准

13、确性。在确定实质性程序的性质、时间安排和范围时，注册会计师需要慎重考虑识别出控制缺陷。实施内部控制审计时，注册会计师需要评估财务报表审计时实质性程序中发现问题的影响。最重要的是，注册会计师需要考虑财务报表审计中发现财务报表错报，考虑这些错报对评价内控有效性的影响。1、 采用风险的理念风险评估是准则中整个审计过程的基础。因此，注册会计师的风险评估应对内部控制审计具有普遍深入的影响。公司财务报告内部控制的具体领域中重大缺陷可能存在的风险程度与重大缺陷对该领域应给与的关注之间具有直接的关系。相应地，注册会计师应当将审计重点放在风险最大的区域，以最大程度上减少重大缺陷被漏审的可能。在某一具体领域，重大

14、缺陷存在的风险越低，注册会计师在该领域所要投入的关注也越少。相应地，注册会计师没有必要对即使存在控制缺陷，也不存在造成财务报表实质性错报的合理可能的领域进行测试。重大缺陷的风险评估应对内部控制审计具有普遍影响。从重大缺陷开始对公司的重大缺陷风险进行评估开始，以至对单独账户、论断或控制层面风险的分析，注册会计师应不断调整审计程序，以反映注册会计师掌握的信息，包括内部控制审计和财务报表审计的经验。将审计重点放在风险最大的区域会使审计更有效，并显著增加发现曾被忽视的重大缺陷的几率。合理使用风险评估同样可以提高审计效率，因为注册会计师不会花费时间对那些不会导致财务报告实质性错报的控制进行测试，即便这些

15、控制并不完善。因此，这一关于内部控制审计的准则提案要求注册会计师在每一决策点的风险评估中采用从上至下的方法注册会计师对重要账目和相关论断的确定要求注册会计师应清楚存在的相关风险，以及风险如何影响注册会计师的决策。2、 采用自上而下的方法在使用从上至下的方法时，注册会计师从上（财务报表和公司层面的控制）开始确定将要测试的控制，并将财务报表要素和公司层面的控制与重要账目、相关论断、以及其它重要控制所在的重大流程联系在一起。遵循从上至下的方法可以帮助注册会计师将重点放在对必要控制（那些对注册会计师结论而言重要的控制）的测试，并避免对内部控制审计范围之外的控制进行审计。三、 计划审计工作具体索引内部控

16、制审计总体审计策略提示。内部控制审计始终按照“风险认定关键控制”链条来进行。内控审计的总体审计策略是贯彻风险导向的思路，采用自上而下的方法，按照重大账户、列报和相关认定-重大业务流程-业务流程中的内部控制这一纽带，延伸到考虑所识别的风险对内部控制的影响，通过识别特别风险的控制领域来确定内部控制审计的关注领域。同时，要考虑到集团审计和非财务报告内部控制审计的要求，来适当地调整内部控制审计的审计策略。本阶段内容：1、确定内控审计业务适用的规定；2、明确审计报告出具的时间，执行审计工作的时间安排和所需沟通内容和时间；3、如何管理、指导、监督这些资源的利用，包括预期何时召开项目组计划会议和总结会议，预

17、期项目负责人和经理如何进行复核，是否需要实施项目质量控制复核等；4、了解企业内控自我评价工作确定利用他人工作的程度和范围；5、考虑影响审计业务的重要因素，以确定项目组工作方向，包括确定适当的重要性水平，初步识别重要的组成部分，识别重大账户及交易与相关的重大业务流程和涉及错报合理可能性的相关认定；与识别的重大业务流程相匹配的信息系统；6、识别的特别风险领域，包括舞弊风险以及影响的重大业务流程和相关认定；7、对于集团审计中各组成部分拟采取的审计策略；特别说明：对于整合审计，对于审计计划阶段的工作，如了解被审计单位的环境并评估错报风险、重要性水平的计算、对于集团组成部分审计策略的确定等，两者基本一致

18、，可以充分借鉴工作结果。因为内部控制审计也是基于财务报表重大错报风险的，并财务自上而下的风险导向审计。对于内部控制整合审计，在审计计划阶段特别要求：只有当内部控制审计的前提条件得到满足，并且会计师事务所符合独立性要求，具备专业胜任能力时，会计师事务所才能接受和保持内部控制审计业务。如果决定接受或保持内部控制审计业务，会计师事务所应当与被审计单位签订单独的内部控制审计业务约定书。四、 实施审计工作内部控制审计的实施阶段的测试方法、缺陷评价标准等与财务报表审计中的内部控制测试完全一样。详见会计师事务所关于内部控制测试的有关指引。对于内部控审计的链条“风险认定关键控制”，在判断关键控制时，要考虑控制

19、的充分性、敏感性和可替代性等。在本阶段需注意事项：在整合审计时，靠考虑两者不同的审计目标，即可容忍内部控制差错率的不同影响，即在年度报表时可以有高中低三档。对于非财务报告内部控制，注册会计师不需要对非财务报告内部控制出具审计意见。针对不同渠道（如董事会的会议纪要、企业内部控制自我评价报告、企业内外部监督部门的内控发现等）所获取的有关非财务报告内部控制的信息，注册会计师可以根据职业判断，对相关信息进行分析评价，以便有针对性地对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷予以披露。五、 完成审计工作及出具报告本阶段需索引事务所内部控制缺陷评价、审计小结、审计报告等指引。可以参考财政部课题组企业内部控制审计政策解读与操作指南第五章内部控制缺陷评价中的实例。本阶段的特殊事项：1） 需要与公司治理层、管理层等沟通审计中发现的重大、重要缺陷；2） 关注期后事项对审计报告意见的影响；3） 注意内部控制审计报告意见与财务报表审计报告意见类型的衔接，例如财务报表审计报告为标准无保留意见，内部控制审计报告为非标意见类型时，需要在财务报表审计报告中增加说明段，说明内控审计报告对财务报告的影响，以免给报表利用者造成信息的混淆。在两者都是非标报告时，需要考虑在各自审计报告中增加说明段，说明两者的关系及影响。