企业内部控制审计指引实施意见的关于实施审计工作

1. 企业内部控制审计指引实施意见的关于实施审计工作

 注册会计师应当采用自上而下的方法选择拟测试的控制。自上而下的方法始于财务报表层次，以注册会计师对内部控制整体风险的了解开始，然后，将关注重点放在企业层面的控制上，并将工作逐渐下移至重要账户、列报及其相关认定。随后，验证其对被审计单位业务流程中风险的了解，并选择能足以应对评估的每个相关认定的重大错报风险的控制进行测试。自上而下的方法分为下列步骤：（1）从财务报表层次初步了解内部控制整体风险；（2）识别、了解和测试企业层面控制；（3）识别重要账户、列报及其相关认定；（4）了解潜在错报的来源并识别相应的控制；（5）选择拟测试的控制。本部分第（二）至（五）对自上而下的方法的各个步骤进行了规定，第（六）至（十三）对控制有效性测试进行了规定。 注册会计师应当识别、了解和测试对内部控制有效性有重要影响的企业层面控制。注册会计师对企业层面控制的评价，可能增加或减少本应对其他控制进行的测试。1. 企业层面控制对其他控制及其测试的影响不同的企业层面控制在性质和精确度上存在差异，注册会计师应当从下列方面考虑这些差异对其他控制及其测试的影响：（1）某些企业层面控制，如与控制环境相关的控制，对及时防止或发现并纠正相关认定的错报的可能性有重要影响。虽然这种影响是间接的，但这些控制仍然可能影响注册会计师拟测试的其他控制，以及测试程序的性质、时间安排和范围。（2）某些企业层面控制旨在识别其他控制可能出现的失效情况，能够监督其他控制的有效性，但还不足以精确到及时防止或发现并纠正相关认定的错报。当这些控制运行有效时，注册会计师可以减少对其他控制的测试。（3）某些企业层面控制本身能够精确到足以及时防止或发现并纠正相关认定的错报。如果一项企业层面控制足以应对已评估的错报风险，注册会计师就不必测试与该风险相关的其他控制。2. 企业层面控制的内容企业层面控制包括下列内容：（1）与控制环境（即内部环境）相关的控制；（2）针对管理层和治理层凌驾于控制之上的风险而设计的控制；（3）被审计单位的风险评估过程；（4）对内部信息传递和期末财务报告流程的控制；（5）对控制有效性的内部监督（即监督其他控制的控制）和内部控制评价。此外，集中化的处理和控制（包括共享的服务环境）、监控经营成果的控制以及针对重大经营控制及风险管理实务的政策也属于企业层面控制。3. 对期末财务报告流程的评价期末财务报告流程对内部控制审计和财务报表审计有重要影响，注册会计师应当对期末财务报告流程进行评价。期末财务报告流程包括：（1）将交易总额登入总分类账的程序；（2）与会计政策的选择和运用相关的程序；（3）总分类账中会计分录的编制、批准等处理程序；（4）对财务报表进行调整的程序；（5）编制财务报表的程序。注册会计师应当从下列方面评价期末财务报告流程：（1）被审计单位财务报表的编制流程，包括输入、处理及输出；（2）期末财务报告流程中运用信息技术的程度；（3）管理层中参与期末财务报告流程的人员；（4）纳入财务报表编制范围的组成部分；（5）调整分录及合并分录的类型；（6）管理层和治理层对期末财务报告流程进行监督的性质及范围。 注册会计师应当基于财务报表层次识别重要账户、列报及其相关认定。如果某账户或列报可能存在一个错报，该错报单独或连同其他错报将导致财务报表发生重大错报，则该账户或列报为重要账户或列报。判断某账户或列报是否重要，应当依据其固有风险，而不应考虑相关控制的影响。如果某财务报表认定可能存在一个或多个错报，这些错报将导致财务报表发生重大错报，则该认定为相关认定。判断某认定是否为相关认定，应当依据其固有风险，而不应考虑相关控制的影响。为识别重要账户、列报及其相关认定，注册会计师应当从下列方面评价财务报表项目及附注的错报风险因素：（1）账户的规模和构成；（2）易于发生错报的程度；（3）账户或列报中反映的交易的业务量、复杂性及同质性；（4）账户或列报的性质；（5）与账户或列报相关的会计处理及报告的复杂程度；（6）账户发生损失的风险；（7）账户或列报中反映的活动引起重大或有负债的可能性；（8）账户记录中是否涉及关联方交易；（9）账户或列报的特征与前期相比发生的变化。在识别重要账户、列报及其相关认定时，注册会计师还应当确定重大错报的可能来源。注册会计师可以通过考虑在特定的重要账户或列报中错报可能发生的领域和原因，确定重大错报的可能来源。在内部控制审计中，注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素，与财务报表审计中考虑的因素相同。因此，在这两种审计中识别的重要账户、列报及其相关认定应当相同。如果某账户或列报的各组成部分存在的风险差异较大，被审计单位可能需要采用不同的控制以应对这些风险，注册会计师应当分别予以考虑。 注册会计师应当实现下列目标，以进一步了解潜在错报的来源，并为选择拟测试的控制奠定基础：（1）了解与相关认定有关的交易的处理流程，包括这些交易如何生成、批准、处理及记录；（2）验证注册会计师识别出的业务流程中可能发生重大错报（包括由于舞弊导致的错报）的环节；（3）识别被审计单位用于应对这些错报或潜在错报的控制；（4）识别被审计单位用于及时防止或发现并纠正未经授权的、导致重大错报的资产取得、使用或处置的控制。注册会计师应当亲自执行能够实现上述目标的程序，或对提供直接帮助的人员的工作进行督导。穿行测试通常是实现上述目标的最有效方式。穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程。注册会计师在执行穿行测试时，通常需要综合运用询问、观察、检查相关文件及重新执行等程序。在执行穿行测试时，针对重要处理程序发生的环节，注册会计师可以询问被审计单位员工对规定程序及控制的了解程度。实施询问程序连同穿行测试中的其他程序，可以帮助注册会计师充分了解业务流程，识别必要控制设计无效或出现缺失的重要环节。为有助于了解业务流程处理的不同类型的重大交易，在实施询问程序时，注册会计师不应局限于关注穿行测试所选定的单笔交易。 注册会计师应当针对每一相关认定获取控制有效性的审计证据，以便对内部控制整体的有效性发表意见，但没有责任对单项控制的有效性发表意见。注册会计师应当对被审计单位的控制是否足以应对评估的每个相关认定的错报风险形成结论。因此，注册会计师应当选择对形成这一评价结论具有重要影响的控制进行测试。对特定的相关认定而言，可能有多项控制用以应对评估的错报风险；反之，一项控制也可能应对评估的多项相关认定的错报风险。注册会计师没有必要测试与某项相关认定有关的所有控制。在确定是否测试某项控制时，注册会计师应当考虑该项控制单独或连同其他控制，是否足以应对评估的某项相关认定的错报风险，而不论该项控制的分类和名称如何。 注册会计师应当测试控制设计的有效性。如果某项控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定的程序和要求执行，能够实现控制目标，从而有效地防止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊，则表明该项控制的设计是有效的。 注册会计师应当测试控制运行的有效性。如果某项控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力，能够实现控制目标，则表明该项控制的运行是有效的。如果被审计单位利用第三方的帮助完成一些财务报告工作，注册会计师在评价负责财务报告及相关控制的人员的专业胜任能力时，可以一并考虑第三方的专业胜任能力。注册会计师获取的有关控制运行有效性的审计证据包括：（1）控制在所审计期间的相关时点是如何运行的；（2）控制是否得到一贯执行；（3）控制由谁或以何种方式执行。 在测试所选定控制的有效性时，注册会计师应当根据与控制相关的风险，确定所需获取的审计证据。与控制相关的风险包括一项控制可能无效的风险，以及如果该控制无效，可能导致重大缺陷的风险。与控制相关的风险越高，注册会计师需要获取的审计证据就越多。下列因素影响与某项控制相关的风险：（1）该项控制拟防止或发现并纠正的错报的性质和重要程度；（2）相关账户、列报及其认定的固有风险；（3）交易的数量和性质是否发生变化，进而可能对该项控制设计或运行的有效性产生不利影响；（4）相关账户或列报是否曾经出现错报；（5）企业层面控制（特别是监督其他控制的控制）的有效性；（6）该项控制的性质及其执行频率；（7）该项控制对其他控制（如控制环境或信息技术一般控制）有效性的依赖程度；（8）执行该项控制或监督该项控制执行的人员的专业胜任能力，以及其中的关键人员是否发生变化；（9）该项控制是人工控制还是自动化控制；（10）该项控制的复杂程度，以及在运行过程中依赖判断的程度。 注册会计师通过测试控制有效性获取的审计证据，取决于其实施程序的性质、时间安排和范围的组合。此外，就单项控制而言，注册会计师应当根据与控制相关的风险对测试程序的性质、时间安排和范围进行适当的组合，以获取充分、适当的审计证据。注册会计师测试控制有效性的程序，按其提供审计证据的效力，由弱到强排序通常为：询问、观察、检查和重新执行。询问本身并不能为得出控制是否有效的结论提供充分、适当的审计证据。测试控制有效性的程序，其性质在很大程度上取决于拟测试控制的性质。某些控制可能存在反映控制有效性的文件记录，而另外一些控制，如管理理念和经营风格，可能没有书面的运行证据。对缺乏正式的控制运行证据的被审计单位或业务单元，注册会计师可以通过询问并结合运用其他程序，如观察活动、检查非正式的书面记录和重新执行某些控制，获取有关控制是否有效的充分、适当的审计证据。注册会计师在测试控制设计的有效性时，应当综合运用询问适当人员、观察经营活动和检查相关文件等程序。注册会计师执行穿行测试通常足以评价控制设计的有效性。注册会计师在测试控制运行的有效性时，应当综合运用询问适当人员、观察经营活动、检查相关文件以及重新执行等程序。 对控制有效性的测试涵盖的期间越长，提供的控制有效性的审计证据越多。单就内部控制审计业务而言，注册会计师应当获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据。在整合审计中，控制测试所涵盖的期间应当尽量与财务报表审计中拟信赖内部控制的期间保持一致。注册会计师执行内部控制审计业务旨在对基准日内部控制有效性出具报告。如果已获取有关控制在期中运行有效性的审计证据，注册会计师应当确定还需要获取哪些补充审计证据，以证实剩余期间控制的运行情况。在将期中测试结果更新至基准日时，注册会计师应当考虑下列因素以确定需要获取的补充审计证据：（1）基准日之前测试的特定控制，包括与控制相关的风险、控制的性质和测试的结果；（2）期中获取的有关审计证据的充分性和适当性；（3）剩余期间的长短；（4）期中测试之后，内部控制发生重大变化的可能性。针对所有重要账户和列报的每个相关认定，注册会计师应当获取控制有效性的审计证据。《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》第十四条提及的“三年轮换测试”不适用（本意见第四部分提及的与基准相比较的策略除外）。 对控制有效性测试的实施时间越接近基准日，提供的控制有效性的审计证据越有力。为了获取充分、适当的审计证据，注册会计师应当在下列两个因素之间作出平衡，以确定测试的时间：（1）尽量在接近基准日实施测试；（2）实施的测试需要涵盖足够长的期间。整改后的内部控制需要在基准日之前运行足够长的时间，注册会计师才能得出整改后的内部控制是否有效的结论。因此，在接受或保持内部控制审计业务时，注册会计师应当尽早与被审计单位沟通这一情况，并合理安排控制测试的时间，留出提前量。例如，注册会计师在基准日前3个月完成期中测试工作。此外，由于对企业层面控制的评价结果将影响注册会计师测试其他控制的性质、时间安排和范围，注册会计师可以考虑在执行业务的早期阶段对企业层面控制进行测试。 注册会计师在测试控制的运行有效性时，应当在考虑与控制相关的风险的基础上，确定测试的范围（样本规模）。注册会计师确定的测试范围，应当足以使其获取充分、适当的审计证据，为基准日内部控制是否不存在重大缺陷提供合理保证。1．测试人工控制的最小样本规模在测试人工控制时，如果采用检查或重新执行程序，注册会计师测试的最小样本量区间参见表1。表1：测试人工控制的最小样本量区间  控制运行频率  控制运行总次数  测试的最小样本量区间  每年1次  1  1  每季1次  4  2  每月1次  12  2-5  每周1次  52  5-15  每天1次  250  20-40  每天多次  大于250次  25-60  在运用表1时，注册会计师应当注意下列事项：（1）测试的最小样本量是指所需测试的控制运行次数；（2）注册会计师应当根据与控制相关的风险，基于最小样本量区间确定具体的样本规模；（3）表1假设控制的运行偏差率预期为零。如果预期偏差率不为零，注册会计师应当扩大样本规模；（4）如果注册会计师不能确定控制运行频率，但是知道控制运行总次数，仍可根据“控制运行总次数”一列确定测试的最小样本规模。2. 测试自动化应用控制的最小样本规模信息技术处理具有内在一贯性。在信息技术一般控制有效的前提下，除非系统发生变动，注册会计师只要对自动化应用控制的运行测试一次，即可得出所测试自动化应用控制是否运行有效的结论。3．发现偏差时的处理如果发现控制偏差，注册会计师应当确定其对下列事项的影响：（1）与所测试控制相关的风险的评估；（2）需要获取的审计证据；（3）控制运行有效性的结论。评价控制偏差的影响需要注册会计师运用职业判断，并受到控制的性质和所发现偏差数量的影响。如果发现的控制偏差是系统性偏差或人为有意造成的偏差，注册会计师应当考虑舞弊的可能迹象以及对审计方案的影响。在评价控制测试中发现的某项控制偏差是否为控制缺陷时，注册会计师可以考虑的因素包括：（1）该偏差是如何被发现的。例如，如果某控制偏差是被另外一项控制所发现的，则可能意味着被审计单位存在有效的发现性控制。（2）该偏差是与某一特定的地点、流程或应用系统相关，还是对被审计单位有广泛影响。（3）就被审计单位的内部政策而言，该控制出现偏差的严重程度。例如，某项控制在执行上晚于被审计单位政策要求的时间，但仍在编制财务报表之前得以执行，还是该项控制根本没有得以执行。（4）与控制运行频率相比，偏差发生的频率大小。由于有效的内部控制不能为实现控制目标提供绝对保证，单项控制并非一定要毫无偏差地运行，才被认为有效。在按照表1所列示的样本规模进行测试的情况下，如果发现控制偏差，注册会计师应当考虑偏差的原因及性质，并考虑采用扩大样本量等适当的应对措施以判断该偏差是否对总体不具有代表性。例如，对每日发生多次的控制，如果初始样本量为25个，当测试发现一项控制偏差，且该偏差不是系统性偏差时，注册会计师可以扩大样本规模进行测试，所增加的样本量至少为15个。如果测试后再次发现偏差，则注册会计师可以得出该控制无效的结论。如果扩大样本量没有再次发现偏差，则注册会计师可以得出控制有效的结论。 在基准日之前，被审计单位可能为提高控制效率、效果或弥补控制缺陷而改变控制。对内部控制审计而言，如果新控制实现了相关控制目标，且运行了足够长的时间，使注册会计师能够通过对该控制进行测试评价其设计和运行的有效性，则无需测试被取代的控制。对财务报表审计而言，如果被取代控制的运行有效性对控制风险的评估有重大影响，注册会计师应当测试被取代控制的设计和运行的有效性。 注册会计师应当评估是否利用他人（包括被审计单位的内部审计人员、内部控制评价人员和其他人员以及在管理层或治理层指导下的第三方）的工作以及利用的程度，以减少可能本应由注册会计师执行的工作。如果他人的工作能够提供有关内部控制有效性的审计证据，注册会计师可以利用其工作或者提供的直接帮助。注册会计师应当参照《中国注册会计师审计准则第1411号——利用内部审计人员的工作》的规定，评价他人的专业胜任能力和客观性，以确定可利用的程度。在评价他人的专业胜任能力时，注册会计师应当考虑其专业资格、专业经验与技能等相关因素。在评价他人的客观性时，注册会计师应当考虑是否存在某些因素，将削弱或者增强其客观性。无论他人的专业胜任能力如何，注册会计师都不应利用客观程度低的人员的工作。同样，无论他人的客观程度如何，注册会计师都不应利用专业胜任能力低的人员的工作。被审计单位内部负责监督、稽核或合规工作的人员，如内部审计人员，通常拥有较高的专业胜任能力和客观性。他们的工作可能对注册会计师有用。注册会计师利用他人工作的程度还受到与所测试控制相关的风险的影响。与某项控制相关的风险越高，注册会计师应当越多地亲自对该项控制进行测试。在识别、了解和测试企业层面控制时，注册会计师不得利用他人的工作。 如果服务机构提供的服务和对服务的控制，构成被审计单位与财务报告相关的信息系统（包括相关业务流程）的一部分，注册会计师应当按照《中国注册会计师审计准则第1241号——对被审计单位使用服务机构的考虑》的规定办理。注册会计师在对被审计单位内部控制的有效性发表意见时，不应在内部控制审计报告中提及服务机构注册会计师的报告。

2. 企业内部控制审计指引实施意见的关于记录审计工作

注册会计师应当在审计工作底稿中清楚地显示内部控制审计的过程和结果。注册会计师应当就下列内容形成审计工作记录：（1）制定的内部控制总体审计策略和具体审计计划及重大修改情况；（2）对企业层面控制的识别、了解和测试；（3）确定重要账户、列报及其相关认定的过程，包括对拟测试组成部分的确定；（4）选择拟测试控制的主要过程及结果；（5）测试控制设计和运行有效性的程序及结果；（6）利用他人工作的程度，以及对他人胜任能力和客观性的评估；（7）对识别的控制缺陷的评价；（8）可能导致出具非标准内部控制审计报告的其他审计发现；（9）形成的审计结论和意见；（10）其他重要事项。

3. 企业内部控制审计指引实施意见的关于完成审计工作

 注册会计师应当评价从各种来源获取的审计证据，包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷，形成对内部控制有效性的意见。在评价审计证据时，注册会计师应当查阅本年度涉及内部控制的内部审计报告或类似报告，并评价这些报告中指出的控制缺陷。在对内部控制的有效性形成意见后，注册会计师应当评价企业内部控制评价报告对相关法律法规规定的要素的列报是否完整和恰当。 注册会计师应当获取经被审计单位签署的书面声明。书面声明的内容应当包括：（1）被审计单位董事会认可其对建立健全和有效实施内部控制负责；（2）被审计单位已对内部控制进行了评价，并编制了内部控制评价报告；（3）被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作为评价的基础；（4）被审计单位根据内部控制标准评价内部控制有效性得出的结论；（5）被审计单位已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷和重要缺陷；（6）被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞弊，以及其他不会导致财务报表发生重大错报，但涉及管理层、治理层和其他在内部控制中具有重要作用的员工的所有舞弊；（7）注册会计师在以前年度审计中识别出的且已与被审计单位沟通的重大缺陷和重要缺陷是否已经得到解决，以及哪些缺陷尚未得到解决；（8）在基准日后，内部控制是否发生变化，或者是否存在对内部控制产生重要影响的其他因素，包括被审计单位针对重大缺陷和重要缺陷采取的所有纠正措施。如果被审计单位拒绝提供或以其他不当理由回避书面声明，注册会计师应当将其视为审计范围受到限制，解除业务约定或出具无法表示意见的内部控制审计报告。此外，注册会计师应当评价拒绝提供书面声明这一情况对其他声明（包括在财务报表审计中获取的声明）的可靠性的影响。注册会计师应当按照《中国注册会计师审计准则第1341号——书面声明》的规定，确定声明书的签署者、涵盖的期间以及何时获取更新的声明书等。 对于重大缺陷和重要缺陷，注册会计师应当以书面形式与管理层和治理层沟通。书面沟通应当在注册会计师出具内部控制审计报告之前进行。注册会计师应当以书面形式与管理层沟通其在审计过程中识别的所有其他内部控制缺陷，并在沟通完成后告知治理层。在进行沟通时，注册会计师无需重复自身、内部审计人员或被审计单位其他人员以前书面沟通过的控制缺陷。虽然并不要求注册会计师执行足以识别所有控制缺陷的程序，但是，注册会计师应当沟通其注意到的内部控制的所有缺陷。内部控制审计不能保证注册会计师能够发现严重程度低于重大缺陷的所有控制缺陷。注册会计师不应在内部控制审计报告中声明，在审计过程中没有发现严重程度低于重大缺陷的控制缺陷。如果发现被审计单位存在或可能存在舞弊或违反法规行为，注册会计师应当按照《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》、《中国注册会计师审计准则第1142号——财务报表审计中对法律法规的考虑》的规定，确定并履行自身的责任。

4. 企业内部控制审计指引的企业内部控制审计指引

 第一条 为了规范注册会计师执行企业内部控制审计业务，明确工作要求，保证执业质量，根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则，制定本指引。第二条 本指引所称内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。第三条 建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。第四条 注册会计师执行内部控制审计工作，应当获取充分、适当的证据，为发表内部控制审计意见提供合理保证。注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。第五条 注册会计师可以单独进行内部控制审计，也可以将内部控制审计与财务报表审计整合进行（以下简称整合审计）。在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：（一）获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见；（二）获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。 第六条 注册会计师应当恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。第七条 在计划审计工作时，注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响：（一）与企业相关的风险；（二）相关法律法规和行业概况；（三）企业组织结构、经营特点和资本结构等相关重要事项；（四）企业内部控制最近发生变化的程度；（五）与企业沟通过的内部控制缺陷；（六）重要性、风险等与确定内部控制重大缺陷相关的因素；（七）对内部控制有效性的初步判断；（八）可获取的、与内部控制有效性相关的证据的类型和范围。第八条 注册会计师应当以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多。第九条 注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能本应由注册会计师执行的工作。注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作，应当对其专业胜任能力和客观性进行充分评价。与某项控制相关的风险越高，可利用程度就越低，注册会计师应当更多地对该项控制亲自进行测试。注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。 第十条 注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。第十一条 注册会计师测试企业层面控制，应当把握重要性原则，至少应当关注：（一）与内部环境相关的控制；（二）针对董事会、经理层凌驾于控制之上的风险而设计的控制；（三）企业的风险评估过程；（四）对内部信息传递和财务报告流程的控制；（五）对控制有效性的内部监督和自我评价。第十二条 注册会计师测试业务层面控制，应当把握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。注册会计师应当关注信息系统对内部控制及风险评估的影响。第十三条 注册会计师在测试企业层面控制和业务层面控制时，应当评价内部控制是否足以应对舞弊风险。第十四条 注册会计师应当测试内部控制设计与运行的有效性。如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行，能够实现控制目标，表明该项控制的设计是有效的。如果某项控制正在按照设计运行，执行人员拥有必要授权和专业胜任能力，能够实现控制目标，表明该项控制的运行是有效的。第十五条 注册会计师应当根据与内部控制相关的风险，确定拟实施审计程序的性质、时间安排和范围，获取充分、适当的证据。与内部控制相关的风险越高，注册会计师需要获取的证据应越多。第十六条 注册会计师在测试控制设计与运行的有效性时，应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。询问本身并不足以提供充分、适当的证据。第十七条 注册会计师在确定测试的时间安排时，应当在下列两个因素之间作出平衡，以获取充分、适当的证据：（一）尽量在接近企业内部控制自我评价基准日实施测试；（二）实施的测试需要涵盖足够长的期间。第十八条 注册会计师对于内部控制运行偏离设计的情况（即控制偏差），应当确定该偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。第十九条 在连续审计中，注册会计师在确定测试的性质、时间安排和范围时，应当考虑以前年度执行内部控制审计时了解的情况。 第二十条 内部控制缺陷按其成因分为设计缺陷和运行缺陷，按其影响程度分为重大缺陷、重要缺陷和一般缺陷。注册会计师应当评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷。第二十一条 在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时，注册会计师应当评价补偿性控制（替代性控制）的影响。企业执行的补偿性控制应当具有同样的效果。第二十二条 表明内部控制可能存在重大缺陷的迹象，主要包括：（一）注册会计师发现董事、监事和高级管理人员舞弊；（二）企业更正已经公布的财务报表；（三）注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报；（四）企业审计委员会和内部审计机构对内部控制的监督无效。 第二十三条 注册会计师完成审计工作后，应当取得经企业签署的书面声明。书面声明应当包括下列内容：（一）企业董事会认可其对建立健全和有效实施内部控制负责；（二）企业已对内部控制的有效性作出自我评价，并说明评价时采用的标准以及得出的结论；（三）企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础；（四）企业已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷和重要缺陷；（五）企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷，是否已经采取措施予以解决；（六）企业在内部控制自我评价基准日后，内部控制是否发生重大变化，或者存在对内部控制具有重要影响的其他因素。第二十四条 企业如果拒绝提供或以其他不当理由回避书面声明，注册会计师应当将其视为审计范围受到限制，解除业务约定或出具无法表示意见的内部控制审计报告。第二十五条 注册会计师应当与企业沟通审计过程中识别的所有控制缺陷。对于其中的重大缺陷和重要缺陷，应当以书面形式与董事会和经理层沟通。注册会计师认为审计委员会和内部审计机构对内部控制的监督无效的，应当就此以书面形式直接与董事会和经理层沟通。书面沟通应当在注册会计师出具内部控制审计报告之前进行。第二十六条 注册会计师应当对获取的证据进行评价，形成对内部控制有效性的意见。 第二十七条 注册会计师在完成内部控制审计工作后，应当出具内部控制审计报告。标准内部控制审计报告应当包括下列要素：（一）标题；（二）收件人；（三）引言段；（四）企业对内部控制的责任段；（五）注册会计师的责任段；（六）内部控制固有局限性的说明段；（七）财务报告内部控制审计意见段；（八）非财务报告内部控制重大缺陷描述段；（九）注册会计师的签名和盖章；（十）会计师事务所的名称、地址及盖章；（十一）报告日期。第二十八条 符合下列所有条件的，注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告：（一）企业按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及企业自身内部控制制度的要求，在所有重大方面保持了有效的内部控制；（二）注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作，在审计过程中未受到限制。第二十九条 注册会计师认为财务报告内部控制虽不存在重大缺陷，但仍有一项或者多项重大事项需要提请内部控制审计报告使用者注意的，应当在内部控制审计报告中增加强调事项段予以说明。注册会计师应当在强调事项段中指明，该段内容仅用于提醒内部控制审计报告使用者关注，并不影响对财务报告内部控制发表的审计意见。第三十条 注册会计师认为财务报告内部控制存在一项或多项重大缺陷的，除非审计范围受到限制，应当对财务报告内部控制发表否定意见。注册会计师出具否定意见的内部控制审计报告，还应当包括下列内容：（一）重大缺陷的定义；（二）重大缺陷的性质及其对财务报告内部控制的影响程度。第三十一条 注册会计师审计范围受到限制的，应当解除业务约定或出具无法表示意见的内部控制审计报告，并就审计范围受到限制的情况，以书面形式与董事会进行沟通。注册会计师在出具无法表示意见的内部控制审计报告时，应当在内部控制审计报告中指明审计范围受到限制，无法对内部控制的有效性发表意见。注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的，应当在内部控制审计报告中对重大缺陷做出详细说明。第三十二条 注册会计师对在审计过程中注意到的非财务报告内部控制缺陷，应当区别具体情况予以处理：（一）注册会计师认为非财务报告内部控制缺陷为一般缺陷的，应当与企业进行沟通，提醒企业加以改进，但无需在内部控制审计报告中说明；（二）注册会计师认为非财务报告内部控制缺陷为重要缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进，但无需在内部控制审计报告中说明；（三）注册会计师认为非财务报告内部控制缺陷为重大缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进；同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。第三十三条 在企业内部控制自我评价基准日并不存在、但在该基准日之后至审计报告日之前（以下简称期后期间）内部控制可能发生变化，或出现其他可能对内部控制产生重要影响的因素。注册会计师应当询问是否存在这类变化或影响因素，并获取企业关于这些情况的书面声明。注册会计师知悉对企业内部控制自我评价基准日内部控制有效性有重大负面影响的期后事项的，应当对财务报告内部控制发表否定意见。注册会计师不能确定期后事项对内部控制有效性的影响程度的，应当出具无法表示意见的内部控制审计报告。 第三十四条 注册会计师应当按照《中国注册会计师审计准则第1131号——审计工作底稿》的规定，编制内部控制审计工作底稿，完整记录审计工作情况。第三十五条 注册会计师应当在审计工作底稿中记录下列内容：（一）内部控制审计计划及重大修改情况；（二）相关风险评估和选择拟测试的内部控制的主要过程及结果；（三）测试内部控制设计与运行有效性的程序及结果；（四）对识别的控制缺陷的评价；（五）形成的审计结论和意见；（六）其他重要事项。 1.标准内部控制审计报告内部控制审计报告××股份有限公司全体股东：按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了××股份有限公司（以下简称××公司）××年×月×日的财务报告内部控制的有效性。一、企业对内部控制的责任按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》的规定，建立健全和有效实施内部控制，并评价其有效性是企业董事会的责任。二、注册会计师的责任我们的责任是在实施审计工作的基础上，对财务报告内部控制的有效性发表审计意见，并对注意到的非财务报告内部控制的重大缺陷进行披露。三、内部控制的固有局限性内部控制具有固有局限性，存在不能防止和发现错报的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制审计结果推测未来内部控制的有效性具有一定风险。四、财务报告内部控制审计意见我们认为，××公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。五、非财务报告内部控制的重大缺陷在内部控制审计过程中，我们注意到××公司的非财务报告内部控制存在重大缺陷[描述该缺陷的性质及其对实现相关控制目标的影响程度]。由于存在上述重大缺陷，我们提醒本报告使用者注意相关风险。需要指出的是，我们并不对××公司的非财务报告内部控制发表意见或提供保证。本段内容不影响对财务报告内部控制有效性发表的审计意见。××会计师事务所   中国注册会计师：×××（签名并盖章）（盖章）     中国注册会计师：×××（签名并盖章）中国××市       ××年×月×日2. 带强调事项段的无保留意见内部控制审计报告内部控制审计报告××股份有限公司全体股东：按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了××股份有限公司（以下简称××公司）××年×月×日的财务报告内部控制的有效性。[“一、企业对内部控制的责任”至“五、非财务报告内部控制的重大缺陷”参见标准内部控制审计报告相关段落表述。]六、强调事项我们提醒内部控制审计报告使用者关注，（描述强调事项的性质及其对内部控制的重大影响）。本段内容不影响已对财务报告内部控制发表的审计意见。××会计师事务所   中国注册会计师：×××（签名并盖章）（盖章）     中国注册会计师：×××（签名并盖章）中国××市       ××年×月×日3.否定意见内部控制审计报告内部控制审计报告××股份有限公司全体股东：按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了××股份有限公司（以下简称××公司）××年×月×日的财务报告内部控制的有效性。[“一、企业对内部控制的责任”至“三、内部控制的固有局限性”参见标准内部控制审计报告相关段落表述。]四、导致否定意见的事项重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。[指出注册会计师已识别出的重大缺陷，并说明重大缺陷的性质及其对财务报告内部控制的影响程度。]有效的内部控制能够为财务报告及相关信息的真实完整提供合理保证，而上述重大缺陷使××公司内部控制失去这一功能。五、财务报告内部控制审计意见我们认为，由于存在上述重大缺陷及其对实现控制目标的影响，××公司未能按照《企业内部控制基本规范》和相关规定在所有重大方面保持有效的财务报告内部控制。六、非财务报告内部控制的重大缺陷[参见标准内部控制审计报告相关段落表述。]××会计师事务所   中国注册会计师：×××（签名并盖章）（盖章）     中国注册会计师：×××（签名并盖章）中国××市      ××年×月×日4.无法表示意见内部控制审计报告内部控制审计报告××股份有限公司全体股东：我们接受委托，对××股份有限公司（以下简称××公司）××年×月×日的财务报告内部控制进行审计。[删除注册会计师的责任段，“一、企业对内部控制的责任”和“二、内部控制的固有局限性”参见标准内部控制审计报告相关段落表述。]三、导致无法表示意见的事项[描述审计范围受到限制的具体情况。]四、财务报告内部控制审计意见由于审计范围受到上述限制，我们未能实施必要的审计程序以获取发表意见所需的充分、适当证据，因此，我们无法对××公司财务报告内部控制的有效性发表意见。五、识别的财务报告内部控制重大缺陷（如在审计范围受到限制前，执行有限程序未能识别出重大缺陷，则应删除本段）重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。尽管我们无法对××公司财务报告内部控制的有效性发表意见，但在我们实施的有限程序的过程中，发现了以下重大缺陷：[指出注册会计师已识别出的重大缺陷，并说明重大缺陷的性质及其对财务报告内部控制的影响程度。]有效的内部控制能够为财务报告及相关信息的真实完整提供合理保证，而上述重大缺陷使××公司内部控制失去这一功能。六、非财务报告内部控制的重大缺陷[参见标准内部控制审计报告相关段落表述。]××会计师事务所   中国注册会计师：×××（签名并盖章）（盖章）     中国注册会计师：×××（签名并盖章）中国××市       ××年×月×日

5. 企业内审的第五章　内部审计工作要求

第二十九条　企业内部审计机构应当根据国家有关规定和企业内部管理需要有效开展内部审计工作，加强内部监督，纠正违规行为，规避经营风险。第三十条　企业内部审计机构应当对违反国家法律法规和企业内部管理制度的行为及时报告，并提出处理意见；对发现的企业内部控制管理漏洞，及时提出改进建议。
具体的范文模板链接：https://pan.baidu.com/s/18A6pRGeiCeyYa6OBEMsA6w
?pwd=qrpb 提取码: qrpb    

6. 企业内部控制审计指引实施意见的关于集团审计的特殊考虑

 1．一般原则在执行集团内部控制审计业务时，注册会计师应当采用自上而下的方法，合理运用职业判断，确定对组成部分执行的工作。注册会计师应当评估与组成部分相关的导致集团财务报表发生重大错报的风险，并根据其风险程度给予相应的审计关注。在评估与某组成部分相关的导致集团财务报表发生重大错报的风险时，注册会计师应当考虑的因素包括：（1）以前执行的与该组成部分内部控制相关的审计工作的结果；（2）影响该组成部分重要账户的固有风险；（3）从财务数据角度看，该组成部分的相对重要程度；（4）风险在各组成部分间的分布（即风险分布于数量众多的小规模组成部分，还是分布于数量较少但规模较大的组成部分）；（5）组成部分之间业务经营和内部控制的类似程度；（6）业务流程和财务报告系统的集中化程度；（7）该组成部分执行交易及相关资产的性质和金额；（8）该组成部分存在重大未确认义务的可能性；（9）测试集团企业层面控制的结果，包括控制环境、集团对组成部分实施的监控活动及在组成部分层面运行的企业层面控制的有效性。2．对重要组成部分执行的工作注册会计师应当按照《中国注册会计师审计准则第1401号——对集团财务报表审计的特殊考虑》的规定，确定重要组成部分。重要组成部分包括：（1）对集团具有财务重大性的组成部分（以下简称具有财务重大性的组成部分）；（2）由于其特定性质和情况，可能存在导致集团财务报表发生重大错报的特别风险的组成部分（以下简称具有特别风险的组成部分）。注册会计师应当对重要组成部分的重要账户、列报及其相关认定的内部控制实施测试。（1）对具有财务重大性的组成部分执行的工作对于具有财务重大性的组成部分，除非通过实施下列测试工作能够获取有关控制有效性的充分、适当的审计证据，注册会计师应当测试该组成部分内与重要账户、列报及其相关认定相关的业务流程、应用系统或交易层面的内部控制的有效性：①对整个集团企业层面控制和该组成部分企业层面控制（包括界于组成部分和整个集团之间层次的其他企业层面控制，下同）的测试；②对除该组成部分以外的其他组成部分相同账户、列报及其相关认定的内部控制已实施的测试。（2）对具有特别风险的组成部分执行的工作对具有特别风险的组成部分，注册会计师应当测试针对该项特别风险的控制。3．对其他组成部分执行的工作对于重要组成部分以外的其他组成部分，如果存在重要账户、列报及其相关认定，注册会计师应当首先评价对整个集团企业层面控制和该组成部分企业层面控制的测试以及针对重要组成部分相同的账户、列报及其相关认定的内部控制已实施的测试能否提供充分、适当的审计证据。如果不能提供充分、适当的审计证据，注册会计师应当选择适当数量的其他组成部分，测试与该重要账户、列报及其相关认定相关的业务流程、应用系统或交易层面的控制，直至能够获取充分、适当的审计证据为止。

7. 中央企业内部审计管理暂行办法的第五章　内部审计工作要求

第二十九条　企业内部审计机构应当根据国家有关规定和企业内部管理需要有效开展内部审计工作，加强内部监督，纠正违规行为，规避经营风险。第三十条　企业内部审计机构应当对违反国家法律法规和企业内部管理制度的行为及时报告，并提出处理意见；对发现的企业内部控制管理漏洞，及时提出改进建议。第三十一条　对于被审计单位及相关工作人员不及时落实内部审计意见，给企业造成损失浪费的，企业应当追究相关人员责任；对于给企业造成重大损失的，还应当按有关规定向上一级机构及时反映情况。第三十二条　企业内部审计机构下列工作事项应当报国资委备案：（一）企业年度内部审计工作计划和工作总结报告；（二）重要子企业负责人及企业财务部门负责人的经济责任审计报告；企业内部审计工作中发现的重大违法违纪问题、重大资产损失情况、重大经济案件及重大经营风险等，应向国资委报送专项报告。第三十三条　根据出资人财务监督工作需要，企业内部审计机构按照国资委有关工作要求，对企业及其子企业发生重大财务异常等情况组织进行的专项经济责任审计，应当向国资委提交审计报告。第三十四条　企业内部审计机构要不断提高内部审计业务质量，并依法接受国资委、国家审计机关对内部审计业务质量的检查和评估。第三十五条　企业内部审计机构应当根据本办法组织开展内部审计工作，并对其出具的内部审计报告的客观真实性承担责任。第三十六条　为保证内部审计工作的独立、客观、公正，企业内部审计人员与审计事项有利害关系的，应当回避。第三十七条　企业内部审计人员应当严格遵守审计职业道德规范，坚持原则、客观公正、恪尽职守、保持廉洁、保守秘密，不得滥用职权，徇私舞弊，泄露秘密，玩忽职守。第三十八条　企业内部审计人员在实施内部审计时，应当在深入调查的基础上，采用检查、抽样和分析性复核等审计方法，获取充分、相关、可靠的审计证据，以支持审计结论和审计建议。第三十九条　企业董事会（或主要负责人）应当保障内部审计机构和人员依法行使职权和履行职责；企业内部各职能机构应当积极配合内部审计工作。任何组织和个人不得对认真履行职责的内部审计人员进行打击报复。第四十条　企业对于认真履行职责、忠于职守、坚持原则、作出显著成绩的内部审计人员，应当给予奖励。第四十一条　企业应当保证内部审计机构所必需的审计工作经费，并列入企业年度财务预算。企业内部审计人员参加国家统一组织的专业技术职务资格的考评、聘任和后续教育，企业应当按照国家有关规定予以执行。

8. 中央企业内部审计管理暂行办法的第四章　内部审计工作程序

第二十条　企业内部审计机构应当根据国家有关规定，结合企业实际情况，制定企业年度审计工作计划，对内部审计工作作出合理安排，并报经企业主要负责人或审计委员会审核批准后实施。第二十一条　企业内部审计机构应当充分考虑审计风险和内部管理需要，制定具体项目审计计划，做好审计准备。第二十二条　企业内部审计机构应当在实施审计前5个工作日，向被审计单位送达审计通知书。对于需要突击执行审计的特殊业务，审计通知书可在实施审计时送达。被审计单位接到审计通知书后，应当做好接受审计的各项准备。第二十三条　企业内部审计人员在出具审计报告前应当与被审计单位交换审计意见。被审计单位有异议的，应当自接到审计报告之日起10个工作日内提出书面意见；逾期不提出的，视为无异议。第二十四条　被审计单位若对审计报告有异议且无法协调时，设立审计委员会的企业，应当将审计报告与被审计单位意见一并报审计委员会协调处理；尚未设立审计委员会的企业，应当将审计报告与被审计单位意见一并报企业主要负责人协调处理。第二十五条　审计报告上报企业董事会或主要负责人审定后，企业内部审计机构应当根据审计结论，向被审计单位下达审计意见（决定）。对于报请审计委员会、主要负责人协调处理的审计报告，应当根据审计委员会、主要负责人的审定意见，向被审计单位下达审计意见（决定）。第二十六条　企业内部审计机构对已办结的内部审计事项，应当按照国家档案管理规定建立审计档案。第二十七条　企业内部审计机构应当每年向本企业董事会（或主要负责人）和审计委员会提交内部审计工作总结报告。第二十八条　企业内部审计机构对主要审计项目应当进行后续审计监督，督促检查被审计单位对审计意见的采纳情况和对审计决定的执行情况。