内部控制审计课件.pptx

1、第十章 内部控制审计目录第一节 审计范围与审计目标第二节 计划审计工作第三节 实施审计工作第四节 评价控制缺陷第五节 完成审计工作第六节 出具审计报告第一节 审计范围与审计目标一、内部控制审计的定义二、内部控制审计的业务范围界定三、内部控制审计的时间范围界定四、内部控制审计的目标五、内部控制审计中注册会计师的责任六、内部控制审计与财务报表审计的关系一、内部控制审计的定义是指会计师事务所接受委托，对特定基准日内部控制设计与运行是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。的有效性进行审计。内部控制审计内部控制审计我国的内部控制审计我国的内部控制审计是注册会计师针对被审

2、计单位的内部控制实施合理保证（高水平是注册会计师针对被审计单位的内部控制实施合理保证（高水平保证）的鉴证业务。保证）的鉴证业务。二、内部控制审计的业务范围界定投资者的需求投资者的需求对非财务报告内部控制审计的做法对非财务报告内部控制审计的做法内部控制审计的范围的确定需要考虑以下因素：内部控制审计的范围的确定需要考虑以下因素：03030101注册会计师的胜任能力注册会计师的胜任能力0101成本效益的约束成本效益的约束02020404二、内部控制审计的业务范围界定 我国我国企业内部控制审计指引企业内部控制审计指引中规定注册会中规定注册会计师应当对财务报告内部控制的有效性发表审计意计师应当对财务报告

3、内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段非财务报告内部控制重大缺陷描述段”予以披露。予以披露。内部控制审计的范围的确定需要考虑以下因素：内部控制审计的范围的确定需要考虑以下因素：三、内部控制审计的时间范围界定对特定基准日内部控制对特定基准日内部控制的有效性进行审计的有效性进行审计,针针对特定时点相关内部控对特定时点相关内部控制的有效性发表意见。制的有效性发表意见。对特定时期内部控制对特定时期内部控制的

4、有效性进行审计的有效性进行审计,针对特定时期相关内针对特定时期相关内部控制的有效性发表部控制的有效性发表意见。意见。对特定时期内部控制对特定时期内部控制设计与运行的有效性设计与运行的有效性进行审计，针对特定进行审计，针对特定基准日的相关内部控基准日的相关内部控制的有效性发表意见。制的有效性发表意见。内部控制审计时间的确定的方式：内部控制审计时间的确定的方式：我国内部控制审计的时间范围：我国企业内部控制审计指引从多种方式的互动中寻求平衡，从程序上要求注册会计师应在特定期间对内部控制进行了解和有限测试，从结果上要求注册会计师针对特定时点的内部控制的有效性发表意见。三、内部控制审计的时间范围界定四、

5、内部控制审计的目标2007年6月12日，PCAOB发布的AS5第3段规定，财务报告内部控制审计的目标是对公司财务报告内部控制的有效性发表意见。COSO认为，如果董事会和管理层能够合理保证下述事项，那么就可以认为内部控制是有效的：他们了解公司的经营目标在何种程度上得到了实现；公布的财务报表是可信赖的；适用的法律和规章得到了遵循。我国审计指引中规定注册会计师应当对财务报告内部控制的有效性发表审计意见。四、内部控制审计的目标设计有效性设计有效性：是指公司是否适当地设计了能够防止或是指公司是否适当地设计了能够防止或发现财务报表中存在重大错报的有关控发现财务报表中存在重大错报的有关控制政策和程序。制政策

6、和程序。设计有效性的根本判断设计有效性的根本判断标准是所设计的内部控制是否能为内部标准是所设计的内部控制是否能为内部控制目标的实现提供合理保证。控制目标的实现提供合理保证。执行有效性：执行有效性：是指有关的控制政策和程序是否能够如其是指有关的控制政策和程序是否能够如其设计的一样发挥机能设计的一样发挥机能,它涉及公司是如何它涉及公司是如何运用这些控制政策和程序和谁来执行这些运用这些控制政策和程序和谁来执行这些政策和程序等。政策和程序等。四、内部控制审计的目标具体而言，在评价内部控制的执行有效性时，应当着重考虑以下几个方面：具体而言，在评价内部控制的执行有效性时，应当着重考虑以下几个方面：1 12

7、 23 34 4内部控制在所评价期间内的不同时点是如何运行的；内部控制在所评价期间内的不同时点是如何运行的；内部控制是否得到了一贯执行；内部控制是否得到了一贯执行；内部控制由谁执行；内部控制由谁执行；内部控制以何种方式执行（例如，手工控制还是自动控制）。内部控制以何种方式执行（例如，手工控制还是自动控制）。五、内部控制审计中注册会计师的责任被审计单位的内部控制责任 我国审计指引指出，建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。换言之，内部控制本身有效与否是被审计单位的责任。注册会计师的内部控制审计责任 按照审计指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计

8、意见，是注册会计师的责任。但是，注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。六、内部控制审计与财务报表审计的关系财务报告内部控制审计与财务报告内部控制审计与财务报表审计通常使用相财务报表审计通常使用相同的重要性（或重要性水同的重要性（或重要性水平），而且，审计准则所平），而且，审计准则所要求的风险导向审计与内要求的风险导向审计与内部控制规范体系所要求的部控制规范体系所要求的风险评估，在理念和方法风险评估，在理念和方法上是趋于一致的，因此，上是趋于一致的，因此，整合审计具有较强经济性整合审计具有较强经济性与可行性。与可

9、行性。实务中，注册会计师可以实务中，注册会计师可以利用在一种审计中获得的利用在一种审计中获得的结果为另一种审计中的判结果为另一种审计中的判断和拟实施的程序提供信断和拟实施的程序提供信息。例如，注册会计师在息。例如，注册会计师在审计财务报表时需获得的审计财务报表时需获得的信息，在很大程度上依赖信息，在很大程度上依赖注册会计师对内控有效性注册会计师对内控有效性得出的结论。得出的结论。（一）内部控制审计与财务报告审计的联系（一）内部控制审计与财务报告审计的联系六、内部控制审计与财务报表审计的关系（一）内部控制审计与财务报告审计的联系（一）内部控制审计与财务报告审计的联系财务报表审计财务报表审计内部控

10、制审计内部控制审计调整实质性程序的性质、调整实质性程序的性质、时间和范围时间和范围考虑实质性程序中发现的问考虑实质性程序中发现的问题，确定内部控制的审计重题，确定内部控制的审计重点点六、内部控制审计与财务报表审计的关系（二）内部控制审计与财务报告审计的区别（二）内部控制审计与财务报告审计的区别比较项目比较项目内部控制审计内部控制审计财务报表审计财务报表审计审计目标审计目标对财务报告内部控制的有效对财务报告内部控制的有效性发表审计意见，并对内部控性发表审计意见，并对内部控制审计过程中注意到的非财务制审计过程中注意到的非财务报告内部控制的重大缺陷，在报告内部控制的重大缺陷，在内部控制审计报告中增加

11、内部控制审计报告中增加“非非财务报告内部控制重大缺陷描财务报告内部控制重大缺陷描述段述段”予以披露。予以披露。对财务报表是否符合企业会计准则，对财务报表是否符合企业会计准则，是否公允的反映被审计单位的财务状况是否公允的反映被审计单位的财务状况和经营成果发表意见。和经营成果发表意见。了解和测了解和测试内部控试内部控制的目的制的目的了解和测试内部控制的直接了解和测试内部控制的直接目的是对内部控制设计和运行目的是对内部控制设计和运行的有效性发表意见。的有效性发表意见。财务报表审计按风险导向审计模式进财务报表审计按风险导向审计模式进行，了解内部控制是为了评估重大错报行，了解内部控制是为了评估重大错报风

12、险，测试内部控制是为了进一步证明风险，测试内部控制是为了进一步证明了解内部控制时得出的初步结论，了解了解内部控制时得出的初步结论，了解和测试内部控制的最终目的是服务于对和测试内部控制的最终目的是服务于对财务报表发表审计意见的目的。财务报表发表审计意见的目的。六、内部控制审计与财务报表审计的关系测试范围测试范围对所有重要账户、各类交对所有重要账户、各类交易和列报的相关认定，都要易和列报的相关认定，都要了解和测试相关的内部控制。了解和测试相关的内部控制。在财务报表审计过程中，只有在以在财务报表审计过程中，只有在以下两种情况下才强制要求对内部控制下两种情况下才强制要求对内部控制进行测试：在评估认定层

13、次重大错报进行测试：在评估认定层次重大错报风险时，预期控制的运行时有效的风险时，预期控制的运行时有效的（即在确定实质性程序的性质、时间（即在确定实质性程序的性质、时间安排和范围时，注册会计师拟信赖控安排和范围时，注册会计师拟信赖控制运行的有效性）；或者仅实施实质制运行的有效性）；或者仅实施实质性程序并不能够提供认定层次充分、性程序并不能够提供认定层次充分、适当的审计证据；适当的审计证据；在其他情况下，注册会计师可以不在其他情况下，注册会计师可以不测试内部控制。测试内部控制。测试时间测试时间对特定基准日内部控制的对特定基准日内部控制的有效性发表意见，不需要测有效性发表意见，不需要测试整个会计期间

14、，但要测试试整个会计期间，但要测试足够长的期间。足够长的期间。一旦确定需要测试，则需要测试内一旦确定需要测试，则需要测试内部控制在整个所审计期间的运行有效部控制在整个所审计期间的运行有效性。性。比较项目比较项目内部控制审计内部控制审计财务报表审计财务报表审计六、内部控制审计与财务报表审计的关系测试样本测试样本量量对结论可靠性的要求高，对结论可靠性的要求高，测试的样本量大。测试的样本量大。对结论可靠性要求取决于计划对结论可靠性要求取决于计划从控制测试中得到的保证程度从控制测试中得到的保证程度（或减少实质性程序工作量的程（或减少实质性程序工作量的程度），样本量相对要小。度），样本量相对要小。报告结

15、果报告结果（1 1）对外披露。）对外披露。（2 2）以正面、积极的）以正面、积极的方式对内部控制是否有效方式对内部控制是否有效发表审计意见。发表审计意见。（1 1）通常不对外披露内部控制）通常不对外披露内部控制的情况，除非是内部控制影响到的情况，除非是内部控制影响到对财务报表发表的审计意见；对财务报表发表的审计意见；（2 2）以管理建议书的方式向管）以管理建议书的方式向管理层或治理层报告财务报表审计理层或治理层报告财务报表审计过程中发现的内部控制重大缺陷，过程中发现的内部控制重大缺陷，但注册会计师没有义务专门实施但注册会计师没有义务专门实施审计程序，以发现和报告内部控审计程序，以发现和报告内部

16、控制重大缺陷。制重大缺陷。比较项目比较项目内部控制审计内部控制审计财务报表审计财务报表审计第二节 计划审计工作一、审计业务约定书二、人员安排三、评估重要事项及其影响四、贯彻风险评估原则五、总体审计策略六、具体设计计划七、对舞弊风险的考虑八、利用其他相关人员的工作九、编制审计工作底稿一、审计业务约定书 只有当内部控制审计的前提条件得到满足，并且会只有当内部控制审计的前提条件得到满足，并且会计师事务所符合独立性要求，具备专业胜任能力时，会计师事务所符合独立性要求，具备专业胜任能力时，会计师事务所才能接受或保持内部控制审计业务。计师事务所才能接受或保持内部控制审计业务。（一）内部控制审计的前提条件（

17、一）内部控制审计的前提条件在确定内部控制审计的前提条件是否得到满足时，注册在确定内部控制审计的前提条件是否得到满足时，注册会计师应当：会计师应当：1.1.确定被审计单位采用的内部控制标准是否适当；确定被审计单位采用的内部控制标准是否适当；2.2.就被审计单位认可并理解其责任与治理层和管理层就被审计单位认可并理解其责任与治理层和管理层达成一致意见。达成一致意见。一、审计业务约定书被审计单位的责任包括：被审计单位的责任包括：1.1.按照适用的内部控制标准，建立健全和有效实施内部按照适用的内部控制标准，建立健全和有效实施内部控制，以使财务报表不存在由于舞弊或错误导致的重大错控制，以使财务报表不存在由

18、于舞弊或错误导致的重大错报；报；2.2.对内部控制的有效性进行评价并编制内部控制评价报对内部控制的有效性进行评价并编制内部控制评价报告；告；3.3.向注册会计师提供必要的工作条件，包括允许注册会向注册会计师提供必要的工作条件，包括允许注册会计师接触与内部控制审计相关的所有信息（如记录、文件计师接触与内部控制审计相关的所有信息（如记录、文件和其他事项），允许注册会计师在获取审计证据时不受限和其他事项），允许注册会计师在获取审计证据时不受限制地接触其认为必要的内部人员和其他相关人员等。制地接触其认为必要的内部人员和其他相关人员等。一、审计业务约定书（二）签订单独的内部控制审计业务约定书（二）签订单

19、独的内部控制审计业务约定书1 12 23 34 45 56 6业务约定书应当至少包括下列内容：业务约定书应当至少包括下列内容：l内部控制审计的目标和范围；内部控制审计的目标和范围；l注册会计师的责任；注册会计师的责任；l被审计单位的责任；被审计单位的责任；l指出被审计单位采用的内部控制标准；指出被审计单位采用的内部控制标准；l提及注册会计师拟出具的内部控制审计报告的形式和内容，以及对在提及注册会计师拟出具的内部控制审计报告的形式和内容，以及对在特定情况下出具的内部控制审计报告可能不同于预期形式和内容的说明；特定情况下出具的内部控制审计报告可能不同于预期形式和内容的说明；l审计收费审计收费二、人

20、员安排u注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。审计项目小组成员应当符合以下要求：1.具有性质和复杂程度类似的内部控制审计经验；2.熟悉企业内部控制相关规范和指引要求；3.掌握审计指引和中国注册会计师执业准则的相关要求；4.拥有与被审单位所处行业相关的指示；5.具有职业判断能力。三、评估重要事项及其影响在计划审计工作时，注册会计师需要评价下列事项对财务报表和内部在计划审计工作时，注册会计师需要评价下列事项对财务报表和内部控制是否有重要影响，以及有重要影响的事项将如何影响审计工作：控制是否有重要影响，以及有重要影响的事项将如何影响审计工

21、作：1.1.与企业相关的风险，包括在评价是否接受与保持客户和业务时，与企业相关的风险，包括在评价是否接受与保持客户和业务时，注册会计师了解的与企业相关的风险情况以及在执行其他业务时了解注册会计师了解的与企业相关的风险情况以及在执行其他业务时了解的情况；的情况；2.2.相关法律法规和行业概况；相关法律法规和行业概况；3.3.企业组织结构、经营特点和资本结构等相关重要事项；企业组织结构、经营特点和资本结构等相关重要事项；4.4.事业内部控制最近发生变化的程度；事业内部控制最近发生变化的程度；三、评估重要事项及其影响 5.5.与企业沟通过的内部控制缺陷；与企业沟通过的内部控制缺陷；6.6.重要性、风

22、险等与确定内部控制重大缺陷的相关因素；重要性、风险等与确定内部控制重大缺陷的相关因素；7.7.对内部控制有效性的初步判断；对内部控制有效性的初步判断；8.8.可获取的、与内部控制有效性相关的证据的类型和范围。可获取的、与内部控制有效性相关的证据的类型和范围。此外，注册会计师还需要关注与财务报表发生重大错报的此外，注册会计师还需要关注与财务报表发生重大错报的可能性和内部控制有效性相关的公开信息，以及企业经营活动的可能性和内部控制有效性相关的公开信息，以及企业经营活动的相对复杂程度相对复杂程度四、贯彻风险评估原则n风险评估的理念及思路应当贯穿于整个审计过风险评估的理念及思路应当贯穿于整个审计过程的

23、始终。程的始终。n实施风险评估时，可以考虑固有风险及控制风实施风险评估时，可以考虑固有风险及控制风险。在计划审计工作阶段，对内部控制的固有风险。在计划审计工作阶段，对内部控制的固有风险进行评估，作为编制审计计划的依据之一；根险进行评估，作为编制审计计划的依据之一；根据对控制风险评估的结果，调整计划阶段对固有据对控制风险评估的结果，调整计划阶段对固有风险的判断，这是个持续的过程。风险的判断，这是个持续的过程。五、总体审计策略确定内部控制审计业务特征，以界定审计范围。确定内部控制审计业务特征，以界定审计范围。1明确内部控制审计业务的报告目标，以计划审计的时间安排和明确内部控制审计业务的报告目标，以

24、计划审计的时间安排和所需沟通的性质。所需沟通的性质。根据职业判断，考虑用以指导项目组工作方向的重要因素。根据职业判断，考虑用以指导项目组工作方向的重要因素。考虑初步业务活动的结果，并考虑对被审计单位执行其他业务考虑初步业务活动的结果，并考虑对被审计单位执行其他业务时获得的经验是否与内部控制审计业务相关。时获得的经验是否与内部控制审计业务相关。确定执行内部控制审计业务所需资源的性质、时间安排和范围确定执行内部控制审计业务所需资源的性质、时间安排和范围。2543六、具体设计计划注册会计师应当在具体审计计划中体现下列内容：注册会计师应当在具体审计计划中体现下列内容：1了解和识别内部控制的程序的性质、

25、时间安排和范了解和识别内部控制的程序的性质、时间安排和范围；围；2测试控制设计有效性的程序的性质、时间安排和范围；测试控制设计有效性的程序的性质、时间安排和范围；3测试控制运行有效性的程序的性质、时间安排和范围。测试控制运行有效性的程序的性质、时间安排和范围。七、对舞弊风险的考虑被审计单位为应对这些风险可能设计的控制包括：被审计单位为应对这些风险可能设计的控制包括：1 1 针对重大的非常规交易的控制，尤其是针对导致会计处理延迟针对重大的非常规交易的控制，尤其是针对导致会计处理延迟或异常的交易的控制；或异常的交易的控制；2 2针对期末财务报告流程中编制的分录和作出的调整的控制；针对期末财务报告流

26、程中编制的分录和作出的调整的控制；3 3针对关联方交易的控制；针对关联方交易的控制；4 4与管理层的重大估计相关的控制；与管理层的重大估计相关的控制；5 5能够减弱管理层和治理层伪造或不恰当操纵财务结果的动机和能够减弱管理层和治理层伪造或不恰当操纵财务结果的动机和压力的控制压力的控制。八、利用其他相关人员的工作 在计划审计工作时，注册会计师需要评估是否利用他人（包括企业的内部审计人员、内部控制评价人员、其他人员以及在董事会及其审计委员会指导下的第三方）的工作以及利用的程度，以减少可能本应由注册会计师执行的工作。利用其他相关人员的工作分为：1.利用内部审计人员的工作 2.利用他人的工作九、编制审

27、计工作底稿 内部控制审计工作底稿，是注册会计师对制定的审计计划、实施的审计程序、内部控制审计工作底稿，是注册会计师对制定的审计计划、实施的审计程序、获取的相关审计证据，以及得出的审计结论作出的记录。获取的相关审计证据，以及得出的审计结论作出的记录。l审计工作底稿中应记录的内容：审计工作底稿中应记录的内容：内部控制审计计划及重大修改情况；内部控制审计计划及重大修改情况；相关风险评估和选择拟测试的内部控制的主要过程及结果；相关风险评估和选择拟测试的内部控制的主要过程及结果；测试内部控制设计与运行有效性的程序及结果；测试内部控制设计与运行有效性的程序及结果；对识别的控制缺陷的评价；对识别的控制缺陷的

28、评价；形成的审计结论和意见；形成的审计结论和意见；其他重要事项。其他重要事项。案例 10-1中注协书面约谈事务中注协书面约谈事务所提所提示管理层频繁变更的上市公司内部控制审计风险示管理层频繁变更的上市公司内部控制审计风险第三节 实施审计工作一、自上而下的审计方法二、测试控制的有效性一、自上而下的审计方法在财务报告内部控制审计中在财务报告内部控制审计中,自上而下的方法始于财务报表层自上而下的方法始于财务报表层次次,以注册会计师对财务报告内部控制整体风险的了解开始以注册会计师对财务报告内部控制整体风险的了解开始;然后然后,注册会计师将关注重点放在企业层面的控制上注册会计师将关注重点放在企业层面的控

29、制上,并将工作逐渐下移并将工作逐渐下移至重大账户、列报及相关的规定。至重大账户、列报及相关的规定。（一）从财务报表层次初步了解内部控制整体风险（一）从财务报表层次初步了解内部控制整体风险一、自上而下的审计方法（一）从财务报表层次初步了解内部控制整体风险（一）从财务报表层次初步了解内部控制整体风险在财务报告内控审计中在财务报告内控审计中自上而下的方法始于财务报表层自上而下的方法始于财务报表层次次,以注册会计师对财务报告内部以注册会计师对财务报告内部控制整体风险的了解开始控制整体风险的了解开始;然后然后,注册会计师将关注重点放在企业注册会计师将关注重点放在企业层面的控制上层面的控制上,并将工作逐渐

30、下移并将工作逐渐下移至重大账户、列报及相关的认定。至重大账户、列报及相关的认定。在非财务报告内控审计中在非财务报告内控审计中自上而下的方法始于企业整体层自上而下的方法始于企业整体层面控制面控制,并将审计测试工作逐步并将审计测试工作逐步下移到业务层面控制。下移到业务层面控制。一、自上而下的审计方法某些整体层面控制，如与控制环境相关的控制，对及时防止或某些整体层面控制，如与控制环境相关的控制，对及时防止或发现并纠正相关认定的错报的可能性有重要影响。发现并纠正相关认定的错报的可能性有重要影响。某些整体层面控制旨在识别其他控制可能出现的失效情况，能某些整体层面控制旨在识别其他控制可能出现的失效情况，能

31、够监督其他控制的有效性，但还不足以精确到及时防止或发现并够监督其他控制的有效性，但还不足以精确到及时防止或发现并纠正相关认定的错报。纠正相关认定的错报。某些整体层面控制本身能够精确到足以及时防止或发现并纠正某些整体层面控制本身能够精确到足以及时防止或发现并纠正相关认定的错报。相关认定的错报。（二）识别、了解和测试企业层面控制二）识别、了解和测试企业层面控制1 1企业层面控制对其他控制及其测试的影响企业层面控制对其他控制及其测试的影响一、自上而下的审计方法 （1 1）与内部环境相关的控制）与内部环境相关的控制 （2 2）针对管理层和治理层凌驾于控制之上的风险而设计的控制）针对管理层和治理层凌驾于

32、控制之上的风险而设计的控制 （3 3）被审计单位风险评估过程）被审计单位风险评估过程 （4 4）对内部信息传递和财务报告流程的控制）对内部信息传递和财务报告流程的控制 （5 5）对控制有效性的内部监督和自我评价）对控制有效性的内部监督和自我评价2 2企业整体层面控制的内容企业整体层面控制的内容一、自上而下的审计方法 （1 1）与内部环境相关的控制）与内部环境相关的控制 （2 2）针对管理层和治理层凌驾于控制之上的风险而设计的控制）针对管理层和治理层凌驾于控制之上的风险而设计的控制 （3 3）被审计单位风险评估过程）被审计单位风险评估过程 （4 4）对内部信息传递和财务报告流程的控制）对内部信息

33、传递和财务报告流程的控制 （5 5）对控制有效性的内部监督和自我评价）对控制有效性的内部监督和自我评价2 2企业整体层面控制的内容企业整体层面控制的内容一、自上而下的审计方法期末财务报告流程包括：期末财务报告流程包括：（1 1）将交易总额登入总分类账的程序；）将交易总额登入总分类账的程序；（2 2）与会计政策的选择和运用相关的程序；）与会计政策的选择和运用相关的程序；（3 3）总分类账中会计分录的编制、批准等处理程序；）总分类账中会计分录的编制、批准等处理程序；（4 4）对财务报表进行调整的程序；）对财务报表进行调整的程序；（5 5）编制财务报表的程序。）编制财务报表的程序。3 3对期末财务报

34、告流程的评价对期末财务报告流程的评价一、自上而下的审计方法（三）识别重要账户、列报及其相关认定（三）识别重要账户、列报及其相关认定 在识别重要账号、列报及其相关认定时，注册会计师还应确定重大错报在识别重要账号、列报及其相关认定时，注册会计师还应确定重大错报的可能来源。注册会计师可以通过考虑在特定的重要账户或列报中错报可能的可能来源。注册会计师可以通过考虑在特定的重要账户或列报中错报可能发生的领域和原因，确定重大错报的可能来源。发生的领域和原因，确定重大错报的可能来源。在内部控制审计中，注册会计师在识别重要账户、列报及其相关认定时在内部控制审计中，注册会计师在识别重要账户、列报及其相关认定时应当

35、评价风险因素，与财务报表审计中考虑的因素相同，因此，在这两张审应当评价风险因素，与财务报表审计中考虑的因素相同，因此，在这两张审计中识别重要账户、列报及其相关认定应当相同。计中识别重要账户、列报及其相关认定应当相同。一、自上而下的审计方法（四）了解潜在错报的来源并识别相应的控制（四）了解潜在错报的来源并识别相应的控制 注册会计师应当实现下列目标，以进一步了解潜在错报的来源，并为选注册会计师应当实现下列目标，以进一步了解潜在错报的来源，并为选择拟测试的控制奠定基础：择拟测试的控制奠定基础：了解与相关认定有关的交易的处理流程，了解与相关认定有关的交易的处理流程，包括这些交易如何生成、批准、处理及记

36、录；包括这些交易如何生成、批准、处理及记录；1 1验证注册会计师识别出的业务流程中可能发生验证注册会计师识别出的业务流程中可能发生重大错报（包括由于舞弊导致的错报）的环节；重大错报（包括由于舞弊导致的错报）的环节；2 2识别被审计单位用于应对这些错报或潜在错报的控制；识别被审计单位用于应对这些错报或潜在错报的控制；3 3识别被审计单位用于及时防止或发现并纠正识别被审计单位用于及时防止或发现并纠正未经授权的、导致重大错报的资产取得、使用或处置的控制。未经授权的、导致重大错报的资产取得、使用或处置的控制。4 4一、自上而下的审计方法对特定的相关认定而言，可能有多项控制用以应对评估的错报风对特定的相

37、关认定而言，可能有多项控制用以应对评估的错报风险；反之，一项控制也可能应对评估的多项相关认定的错报风险。注险；反之，一项控制也可能应对评估的多项相关认定的错报风险。注册会计师没有必要测试与某项相关认定有关的所有控制。册会计师没有必要测试与某项相关认定有关的所有控制。在确定是否测试某项控制时，注册会计师应当考虑该项控制单独在确定是否测试某项控制时，注册会计师应当考虑该项控制单独或连同其他控制，是否足以应对评估的某项相关认定的错报风险，而或连同其他控制，是否足以应对评估的某项相关认定的错报风险，而不论该项控制的分类和名称如何。不论该项控制的分类和名称如何。（五）选择拟测试的控制（五）选择拟测试的控

38、制二、测试控制的有效性注册会计师应当测试控制设计的有效性。如果某项控制由注册会计师应当测试控制设计的有效性。如果某项控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定的程拥有有效执行控制所需的授权和专业胜任能力的人员按规定的程序和要求执行，能够实现控制目标，从而有效地防止或发现并纠序和要求执行，能够实现控制目标，从而有效地防止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊，则表明该项控正可能导致财务报表发生重大错报的错误或舞弊，则表明该项控制的设计是有效的。制的设计是有效的。（一）测试控制设计的有效性（一）测试控制设计的有效性二、测试控制的有效性注册会计师获取的有关控制运行有效性

39、的审计证据包括：注册会计师获取的有关控制运行有效性的审计证据包括：（二）测试控制运行的有效性（二）测试控制运行的有效性1 1控制在所审计期间的相关时点是如何运行的；控制在所审计期间的相关时点是如何运行的；2 2控制是否得到一贯执行；控制是否得到一贯执行；3 3控制由谁或以何种方式执行。控制由谁或以何种方式执行。二、测试控制的有效性l注册会计师测试控制有效性实施的程序，按提供证据的效力，由注册会计师测试控制有效性实施的程序，按提供证据的效力，由弱到强排序为：询问、观察、检查和重新执行。询问本身并不能弱到强排序为：询问、观察、检查和重新执行。询问本身并不能为得出控制是否有效的结论提供充分、适当的证

40、据。为得出控制是否有效的结论提供充分、适当的证据。（三）测试控制有效性的程序（三）测试控制有效性的程序二、测试控制的有效性l对控制有效性的测试涵盖的期间越长，提供的控制有效性的审计证据对控制有效性的测试涵盖的期间越长，提供的控制有效性的审计证据越多。越多。l 单就内部控制审计业务而言，注册会计师应当获取内部控制在基准日单就内部控制审计业务而言，注册会计师应当获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据。在整合审计中，控制测之前一段足够长的期间内有效运行的审计证据。在整合审计中，控制测试所涵盖的期间应当尽量与财务报表审计中拟信赖内部控制的期间保持试所涵盖的期间应当尽量与财务报表审

41、计中拟信赖内部控制的期间保持一致。一致。（四）控制测试的涵盖期间（四）控制测试的涵盖期间二、测试控制的有效性对控制有效性测试的实施时间越接近基准日，提供的控制有效性的对控制有效性测试的实施时间越接近基准日，提供的控制有效性的审计证据越有力。为了获取充分、适当的审计证据，注册会计师应当在审计证据越有力。为了获取充分、适当的审计证据，注册会计师应当在下列两个因素之间作出平衡，以确定测试的时间：下列两个因素之间作出平衡，以确定测试的时间：尽量在接近基准日实施测试；尽量在接近基准日实施测试；实施的测试需要涵盖足够长的期间。实施的测试需要涵盖足够长的期间。（五）控制测试的时间安排（五）控制测试的时间安排

42、12二、测试控制的有效性（六）评估控制风险并获取相关证据（六）评估控制风险并获取相关证据在测试所选定控制的有效性时，注册会计师需要根据与控制相关的风在测试所选定控制的有效性时，注册会计师需要根据与控制相关的风险，确定所需获取的证据。与控制相关的风险包括控制可能无效的风险和因险，确定所需获取的证据。与控制相关的风险包括控制可能无效的风险和因控制无效而导致重大缺陷的风险。与控制相关的风险越高，注册会计师需要控制无效而导致重大缺陷的风险。与控制相关的风险越高，注册会计师需要获取的证据就越多。获取的证据就越多。二、测试控制的有效性与某项控制相关的风险受下列因素的影响与某项控制相关的风险受下列因素的影响

43、:1.1.该项控制拟防止或发现并纠正的错报的性质和重要程度该项控制拟防止或发现并纠正的错报的性质和重要程度;2.2.相关账户、列报及其认定的固有风险相关账户、列报及其认定的固有风险;3.3.相关账户或列报是否曾经出现错报相关账户或列报是否曾经出现错报;4.4.交易的数量和性质是否发生变化交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的有效性进而可能对该项控制设计或运行的有效性产生不利影响产生不利影响;5.5.企业层面控制企业层面控制(特别是对控制有效性的内部监督和自我评价的有效性特别是对控制有效性的内部监督和自我评价的有效性););二、测试控制的有效性6.6.该项控制的性质及其执行

44、频率该项控制的性质及其执行频率;7.7.该项控制对其他控制该项控制对其他控制(如内部环境或信息技术一般控制如内部环境或信息技术一般控制)有效性的依赖程度有效性的依赖程度;8.8.该项控制的执行或监督人员的专业胜任能力该项控制的执行或监督人员的专业胜任能力,以及其中的关键人员是否发生变以及其中的关键人员是否发生变化化;9.9.该项控制是人工控制还是自动化控制该项控制是人工控制还是自动化控制;10.10.该项控制的复杂程度该项控制的复杂程度,以及在运行过程中依赖主观判断的程度。以及在运行过程中依赖主观判断的程度。案例 10-2内控审计内控审计：时：时间与空间上的双重前置间与空间上的双重前置第四节

45、评价控制缺陷一、内部控制缺陷的认定二、内部控制缺陷的处理一、内部控制缺陷的认定u按其成因按其成因u按其影响程度按其影响程度内部控制缺陷的分类内部控制缺陷的分类设计缺陷设计缺陷运行缺陷运行缺陷重大缺陷重大缺陷重要缺陷重要缺陷一般缺陷一般缺陷一、内部控制缺陷的认定注册会计师需要评价其注意到的各项控制缺陷的严重程度，以确定这些缺陷单注册会计师需要评价其注意到的各项控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷。独或组合起来，是否构成重大缺陷。财务报告内部控制缺陷的严重程度取决于：（财务报告内部控制缺陷的严重程度取决于：（1 1）控制缺陷导致账户余额或列）控制缺陷导致账户余额或列报

46、错报的可能性；（报错报的可能性；（2 2）因一个或多个控制缺陷的组合导致潜在错报的金额大小。）因一个或多个控制缺陷的组合导致潜在错报的金额大小。二、内部控制缺陷的处理注册会计师在已执行的有限程序中发现财务报告内部控注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的制存在重大缺陷的,应当在内部控制审计报告中对重大缺陷应当在内部控制审计报告中对重大缺陷作出详细说明。作出详细说明。（一）财务报告内部控制缺陷的处理（一）财务报告内部控制缺陷的处理二、内部控制缺陷的处理（二）非财务报告内部控制缺陷的处理（二）非财务报告内部控制缺陷的处理（1 1）注册会计师认为非财务报告内部控制缺陷为一般）

47、注册会计师认为非财务报告内部控制缺陷为一般缺陷的，应当与企业进行沟通，提醒企业加以改进，缺陷的，应当与企业进行沟通，提醒企业加以改进，但无需在内部控制审计报告中说明。但无需在内部控制审计报告中说明。（2 2）注册会计师认为非财务报告内部控制缺陷为重要）注册会计师认为非财务报告内部控制缺陷为重要缺陷的，应当以书面形式与企业董事会和经理层沟通，缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进，但无需在内部控制审计报告中说明。提醒企业加以改进，但无需在内部控制审计报告中说明。二、内部控制缺陷的处理（3 3）注册会计师认为非财务报告内部控制缺陷为重大缺）注册会计师认为非财务报告内部控制

48、缺陷为重大缺陷的，应当以书面形式与企业董事会和经理层沟通，提陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进；同时应当在内部控制审计报告中增加醒企业加以改进；同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，对重大缺陷的性非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露，提示质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。内部控制审计报告使用者注意相关风险。案例 10-3关于内部控制重大缺陷的分析与启关于内部控制重大缺陷的分析与启示示第五节 完成审计工作一、形成审计意见二、获取管理层书面

49、声明三、沟通事项一、形成审计意见注册会计师需要评价从各种渠道获取的证据，包括对控制的测试结注册会计师需要评价从各种渠道获取的证据，包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷，以形成果、财务报表审计中发现的错报以及已识别的所有控制缺陷，以形成对内部控制有效性的意见。对内部控制有效性的意见。在评价证据时，注册会计师需要查阅本年度与内部控制相关的内部在评价证据时，注册会计师需要查阅本年度与内部控制相关的内部审计报告或类似报告，并评价这些报告中提到的控制缺陷。审计报告或类似报告，并评价这些报告中提到的控制缺陷。只有在审计范围没有受到限制时只有在审计范围没有受到限制时,注册会

50、计师才能对内部控制的有注册会计师才能对内部控制的有效性形成意见。如果审计范围受到限制效性形成意见。如果审计范围受到限制,注册会计师可解除业务约定或注册会计师可解除业务约定或出具无法表示意见的内部控制审计报告。出具无法表示意见的内部控制审计报告。二、获取管理层书面声明1.1.被审计单位董事会认可其对建立健全和有效实施内部控制负责被审计单位董事会认可其对建立健全和有效实施内部控制负责;2.2.被审计单位已对内部控制的有效性作出自我评价被审计单位已对内部控制的有效性作出自我评价,并编制了内部控制评并编制了内部控制评价报告；价报告；3.3.被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执行