剖析企业内部控制审计指引课件

《企业内部控制审计指引》讲解

张龙平

中南财经政法大学会计学院教授.博导中国CPA审计准则委员会委员中国财政部会计准则委员会咨询专家中国企业内部控制标准委员会咨询专家中国国家审计准则技术咨询专家组专家成员ZLPCALY8@《企业内部控制审计指引》讲解

张龙平中南财经政法大1引言：一、为什么要如此重视内部控制？

（一）国家整体管制角度

（2001年大陆财政部发布《内部会计控制规范》）

（二）单个企业发展角度企业（公司）质量与效益的重要性

（二）社会公众需求角度关注财务报表→同时关注相关内部控制引言：2二、什么是企业内部控制？

（一）内部控制的概念内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。（全面内部控制理念）（二）内部控制的5目标合理保证经营合规、资产安全、财务报告及相关信息真实完整、经营有效性，促进企业实现发展战略。美国内控目标如下:二、什么是企业内部控制？

（一）内部控制的概念3美国和国际上通常认为内部控制应实现以下3大目标：

即合理保证实现：

（1）财务报告（financialreporting）的可靠性；

（2）经营（operation）的效率和效果；

（3）对法律法规的遵守（compliance）。

注：资产安全目标哪去了？美国和国际上通常认为内部控制应实现以下3大目标：

4（三）内部控制的5要素1、内部环境（控制环境）2、风险评估3、信息与沟通4、控制活动5、内部监督(对控制的监督)（三）内部控制的5要素1、内部环境（控制环境）5（四）内部控制的固有局限性内部控制存在下列固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证：

1、在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效；

2、可能由于两个或更多人员进行串通或管理层凌驾于内部控制之上而被规避。（四）内部控制的固有局限性内部控制存在下列固有局限性6三、内部控制标准体系1、企业内部控制基本规范2、企业内部控制应用指引3、企业内部控制评价指引4、企业内部控制审计指引注：2006年6个部委组建大陆企业内部控制标准委员会，迄今工作成果如下：A,1、已发布自2009-7-1起上市公司执行（5部位联合发布）。B,234于2010-4-26发布，2011-1-1起境内外上市公司执行，2012-1-1起主板执行，在此基础上，择机在中小板和创业板上市公司施行。同时，鼓励非上市大中型企业提前执行。三、内部控制标准体系1、企业内部控制基本规范7

1、企业内部控制基本规范—1个1)五个目标：合规性、可靠性、安全性、经济性，战略性（美国COSO是：3个目标，无安全性和战略性）2)五个原则：全面性、重要性、制衡性、适应性、成本效益3)五个要素：内部环境、风险评估、信息与沟通、控制活动、内部监督

1、企业内部控制基本规范—1个82、大陆企业内部控制应用指引—21个

总体情况：21个应用指引（此次发布18个，涉及银行、证券和保险等业务的3个指引暂未发布）18个应用指引的分类：（1）内部环境类指引-5个(侧重企业层面控制）（2）控制活动类指引-9个(侧重业务层面控制）（3）控制手段类指引-4个(侧重企业层面控制）注：基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。

2、大陆企业内部控制应用指引—21个总体情况：21个应用指918个应用指引的内容：（1）内部环境类指引—5个(侧重企业层面控制）组织框架（含治理结构、机构设置、职责分配及不相容职务分离）、发展战略、人力资源、企业文化、社会责任（含安全生产，产品质量，环境保护与资源节约等）

（注：企业自我评价时要以内部环境为基础）（2）控制活动类指引——9个(侧重业务层面控制）资金活动、资产管理、采购业务、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告

（注：企业自我评价时要以控制活动为重点）（3）控制手段类指引——4个(侧重企业层面控制）全面预算、合同管理、内部信息传递、信息系统（注：企业自我评价时应当兼顾控制手段）注：财政部等还将出台具体的操作手册或讲解材料18个应用指引的内容：（1）内部环境类指引—5个(侧重企业层10《企业内部控制应用指引》框架第一章：总则(含本指引制定目的１，控制对象（定义）２，相关风险３，关键控制点４）第二至N章：具体规定关键控制点５(不相容岗位分离６)（总要求是：职责分工与授权控制，全面实现控制目标）２、第一关键控制点３、第二关键控制点．．．．．N、评估与披露（第Ｎ-1个关键控制点）《企业内部控制应用指引》框架第一章：总则113、企业内部控制评价指引—1个

（1）管理层要提交内部控制评价报告（年度评价和专项评价）（2）评价工作的组织与实施1）谁负责：企业主要负责人2）谁实施：董事会（或类似决策机构）或其授权机构（可借助CPA或外部专家）3）遵循原则：全面性、重要性和独立性等原则4）评价工作程序（即评价方案的设计及实施）5）评价方法6）工作底稿编制与复核

3、企业内部控制评价指引—1个

（1）管理层要提交内部控制评12（3）年度评价和报告的内容1）评价：对整个年度、所有内部控制在某一基准日的有效性评价后，发表一个意见。2）报告：只需且只能报告内控设计或执行存在的重大缺陷

注1：内部控制缺陷认定有三种：①重大缺陷;②重要缺陷;③一般缺陷。注2：2010年上市公司内部控制自我评价报告存在的问题：只报告与财务报告密切相关的内部控制设计和运行情况。这样做对吗？（3）年度评价和报告的内容13

（4）内部控制评价报告

1）组织实施内部控制评价的总体情况。

2）内部控制责任主体的声明。

3）内部控制评价的范围和内容。

4）内部控制评价的标准和依据。

5）内部控制评价的程序和方法。

6）内部控制重大缺陷及其认定情况。

7）内部控制重大缺陷的整改措施及责任追究情况。

8）内部控制有效性的结论（基准日）。

敬请注意：存在一个或多个内部控制重大缺陷的，应当作出内部控制无效的结论。（4）内部控制评价报告1）组织实施内部14

正题：企业内部控制审计指引讲解开场白：

1、CPA和企业的责任都在不断地加大；2、内控审计结果将成为考核企业的重要指标；3、与财务报表审计有较大的不同。建议:

CPA和企业（公司）领导层都要高度重视内部控制问题正题：企业内部控制审计指引讲解开场白：15背景回顾：美国内部控制审计的发展历程2002年，《萨班斯——奥克斯利法案》

2004年3月，PCAOB，ASNO22007年6月，PCAOB，ASNO5——AnauditofInternalControlOverFinancialReportingThatisIntegratedwithAnauditofFinancialStatementsCPA与内控关系发展史：

→财务报表审计中不关注内控

→财务报表审计中关注与审计相关的内控（新旧国际准则要求不同）

→单独审核（EXAMINATION）财务报告内部控制

→单独审计财报内控（AUDIT）（跨入双重审计新时代），要求公司管理层先得编制内部控制自评报告，后CPA再审计背景回顾：美国内部控制审计的发展历程2002年，《萨16一、《指引》（7章35条）的结构1章、总则2章、计划审计工作3章、实施审计工作4章、评价控制缺陷5章、完成审计工作6章、出具审计报告7章、记录审计工作附录：4个内部控制审计报告的参考格式二、各章内容讲解一、《指引》（7章35条）的结构1章、总则17第一章“总则”讲解（5条）1、制定的目的和依据

第一条

为了规范注册会计师执行企业内部控制审计业务，明确工作要求，保证执业质量，根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则，制定本指引。

第一章“总则”讲解（5条）1、制定的目的和依据182、内部控制审计的定义和责任划分

第二条本指引所称内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。第三条建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。（注意：CPA审计不能减轻管理层责任）2、内部控制审计的定义和责任划分第二条193、总体审计要求

第四条注册会计师执行内部控制审计工作，应当获取充分、适当的证据，为发表内部控制审计意见提供合理保证。——证据注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。——报告3、总体审计要求204、内部控制审计与财务报表审计的关系

第五条注册会计师可以单独进行内部控制审计，也可以将内部控制审计与财务报表审计整合进行（以下简称整合审计）。在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：（一）获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见；（二）获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。（思考问题：两种审计是同一家事务所做，还是不同事务所做？）4、内部控制审计与财务报表审计的关系21补充讲：两种审计中控制测试和实质性程序之间的关系1、内部控制审计中对控制有效性的测试

1）注册会计师应当获取内部控制在一段足够长的期间内有效运行的证据，测试的期间可能短于财务报表涵盖的整个期间（通常一年）。（测试时间）2）注册会计师应当测试所有相关认定的控制，以获取其设计和运行有效性的证据。（测试范围）

如果仅对财务报表发表审计意见，注册会计师可能不需要测试这些控制。3）在内控审计中，注册会计师在对内控有效性形成结论时，应当同时考虑财务报表审计中实施的、所有针对控制设计和运行有效性测试的结果。（相互利用）补充讲：两种审计中控制测试和实质性程序之间的关系122

2、财务报表审计中对控制有效性的测试

1）如果将某项财务报表认定的控制风险评估为低于最高水平，注册会计师需要获取拟信赖的相关控制在整个期间有效运行的证据。（测试时间）

2）注册会计师不必将所有相关认定的控制风险评估为低于最高水平，因此，可能不对所有控制的运行有效性进行测试。（测试范围）

3）在财务报表审计中，注册会计师在评估控制风险时，应当同时考虑内控审计中实施的、所有针对控制设计和运行有效性测试的结果。（相互利用）2、财务报表审计中对控制有效性的测试23

3、控制有效性的测试对实质性程序的影响1）如果在内部控制审计中识别出某项控制缺陷，注册会计师应当评价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时间和范围的影响。2）在财务报表审计中，无论控制风险或重大错报风险的评估水平如何，注册会计师都应当针对所有重大的各类交易、账户余额及列报实施实质性程序。为对内部控制的有效性发表意见而实施的测试程序并不减轻注册会计师遵守上述规定的责任。3、控制有效性的测试对实质性程序的影响244、实质性程序对控制有效性结论的影响1）在内部控制审计中，注册会计师应当评价财务报表审计中实施的实质性程序的结果对控制有效性结论的影响。评价内容应当包括：（1）注册会计师作出的、与选择和实施实质性程序相关的风险评估，尤其是与舞弊相关的风险评估；（2）发现的违反法规行为和关联方交易方面的问题；（3）表明管理层在选择会计政策和作出会计估计时存在偏见的情况；（4）实施实质性程序发现的错报。2）注册会计师应当通过直接测试控制获取控制是否有效的证据，而不能根据实质性程序没有发现错报，推断该项控制的有效性。4、实质性程序对控制有效性结论的影响25第二章“计划审计工作”讲解（4条）

1、总体要求

第六条注册会计师应当恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。

2、考虑因素

第七条在计划审计工作时，注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响：（一）与企业相关的风险；（二）相关法律法规和行业概况；（三）企业组织结构、经营特点和资本结构等相关重要事项；（四）企业内部控制最近发生变化的程度；（五）与企业沟通过的内部控制缺陷；（六）重要性、风险等与确定内控重大缺陷相关的因素；（七）对内部控制有效性的初步判断；（八）可获取的、与内控有效性相关的证据的类型和范围。第二章“计划审计工作”讲解（4条）1、总体要求26

3、风险导向

第八条注册会计师应当以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多。3、风险导向27

4、利用其他相关人员的工作

第九条注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能本应由注册会计师执行的工作。——需要判断

1）注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作，应当对其专业胜任能力和客观性进行充分评价。

2）与某项控制相关的风险越高，可利用程度就越低，注册会计师应当更多地对该项控制亲自进行测试。

3）注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。——责任（另外计划时还要考虑：调整审计工作，应对舞弊风险，确定重要性水平，对企业使用服务机构的考虑等问题）4、利用其他相关人员的工作28第三章“实施审计工作”讲解（20条）

1、运用自上而下方法，选择拟测试的控制

第十条注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。

第三章“实施审计工作”讲解（20条）1、运用自上而下方29补充讲1：自上而下的方法

按照下列思路展开：（1）从财务报表层次初步了解内部控制整体风险；（2）识别企业层面控制；（3）识别重要账户、列报及其相关认定（注：与业务层面相关）；（4）了解错报的可能来源；（5）选择拟测试的控制。自上而下的方法是注册会计师识别风险及选择拟测试的控制的思路，但并不一定是实施审计工作的顺序。补充讲1：自上而下的方法

按照下列思路展开：30补充讲2：重要账户、列报

及其相关认定的含义

1）如果某账户或列报具有合理可能性包含了一个错报，该错报单独或连同其他错报将对财务报表产生重大影响（需要同时考虑多报和少报的风险），则该账户或列报为重要账户或列报。判断某账户或列报是否重要，应当依据其固有风险，而不应考虑相关控制的影响。2）如果某财务报表认定具有合理可能性包含了一个或多个错报，这个或这些错报将导致财务报表发生重大错报，则该认定为相关认定。判断某认定是否为相关认定，应当依据其固有风险，而不应考虑相关控制的影响。补充讲2：重要账户、列报

及其相关认定的含义

1）如果某账户313）在内部控制审计中，注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素,与财务报表审计中考虑的因素相同。因此，在这两种审计中识别的重要账户、列报及其相关认定应当相同。4）在财务报表审计中，注册会计师可能针对非重要账户、列报及其相关认定实施实质性程序。3）在内部控制审计中，注册会计师在识别重要账户、列报及其相32补充讲3：选择拟测试的控制1）注册会计师应当评价控制是否足以应对评估的每个相关认定的错报风险，并选择其中对形成评价结论具有重要影响的控制进行测试。2）对特定的相关认定而言，可能有多项控制应对评估的错报风险；反之，一项控制可能应对评估的多个相关认定的错报风险。注册会计师没有必要测试与某个相关认定有关的所有控制。3）在确定是否测试某项控制时，注册会计师应当考虑该项控制单独或连同其他控制，是否足以应对评估的某项相关认定的错报风险，而不论该项控制的分类和名称如何。补充讲3：选择拟测试的控制1）注册会计师应当评价控制是否足以332、测试企业层面控制第十一条注册会计师测试企业层面控制，应当把握重要性原则，至少应当关注：（一）与内部环境相关的控制；（二）针对董事会、经理层凌驾于控制之上的风险而设计的控制；（三）企业的风险评估过程；（四）对内部信息传递和财务报告流程的控制；（五）对控制有效性的内部监督和自我评价。2、测试企业层面控制第十一条注册会计师测试企业层面控制，343、测试业务层面控制第十二条注册会计师测试业务层面控制，应当把握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。（与重要账户、列报及其认定相关）注册会计师应当关注信息系统对内部控制及风险评估的影响。

4、考虑舞弊风险第十三条注册会计师在测试企业层面控制和业务层面控制时，应当评价内部控制是否足以应对舞弊风险。

3、测试业务层面控制第十二条注册会计师测试业务层面控制，355、测试的内容第十四条注册会计师应当测试内部控制设计与运行的有效性。如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行，能够实现控制目标，表明该项控制的设计是有效的。如果某项控制正在按照设计运行，执行人员拥有必要授权和专业胜任能力，能够实现控制目标，表明该项控制的运行是有效的。5、测试的内容第十四条注册会计师应当测试内部控制设计与运366、测试的程序1）确定原则第十五条注册会计师应当根据与内部控制相关的风险，确定拟实施审计程序的性质、时间安排和范围，获取充分、适当的证据。与内部控制相关的风险越高，注册会计师需要获取的证据应越多。——风险导向2）程序种类第十六条注册会计师在测试控制设计与运行的有效性时，应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。询问本身并不足以提供充分、适当的证据。6、测试的程序1）确定原则377、测试的时间安排第十七条注册会计师在确定测试的时间安排时，应当在下列两个因素之间作出平衡，以获取充分、适当的证据：（一）尽量在接近企业内部控制自我评价基准日实施测试；（二）实施的测试需要涵盖足够长的期间（不是全年！）。7、测试的时间安排第十七条注册会计师在确定测试的时间安排388、控制偏差的处理第十八条注册会计师对于内部控制运行偏离设计的情况（即控制偏差），应当确定该偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。

9、连续审计时的考虑第十九条在连续审计中，注册会计师在确定测试的性质、时间安排和范围时，应当考虑以前年度执行内部控制审计时了解的情况。8、控制偏差的处理第十八条注册会计师对于内部控制运行偏离39第四章“评价控制缺陷”讲解（3条）1、缺陷的种类第二十条内部控制缺陷按其成因分为1）设计缺陷和运行缺陷，按其影响程度分为

2）重大缺陷、重要缺陷和一般缺陷。注册会计师应当评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷。第四章“评价控制缺陷”讲解（3条）1、缺陷的种类40

1）设计缺陷和运行缺陷

企业在内部控制评价中，应对内部控制缺陷进行分类分析。

①设计缺陷：缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。

②运行缺陷：现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。1）设计缺陷和运行缺陷412）重大缺陷、重要缺陷和一般缺陷①重大缺陷：是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标的情形。②重要缺陷：是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标的情形。③一般缺陷：是指除重大缺陷、重要缺陷之外的其他控制缺陷。

注意：A,即使财务报表不存在重大错报，内部控制也可能存在重大缺陷.

B,如果内部控制存在一项或多项重大缺陷，内部控制应被认定为无效.

2）重大缺陷、重要缺陷和一般缺陷①重大缺陷：是指一个或多个控422、考虑补偿性控制的影响第二十一条在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时，注册会计师应当评价补偿性控制（替代性控制）的影响。企业执行的补偿性控制应当具有同样的效果。3、重大缺陷迹象第二十二条表明内部控制可能存在重大缺陷的迹象，主要包括：（一）注册会计师发现董事、监事和高级管理人员舞弊；（二）企业更正已经公布的财务报表；（三）注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报；（四）企业审计委员会和内部审计机构对内部控制的监督无效。2、考虑补偿性控制的影响第二十一条在确定一项内部控制缺陷43第五章“完成审计工作”讲解（4条）1、获取企业书面声明（第23条)

(包括6项内容）2、拒绝提供书面声明时的处理（第24条）注册会计师应当将其视为审计范围受到限制，解除业务约定或出具无法表示意见的内部控制审计报告。第五章“完成审计工作”讲解（4条）443、沟通控制缺陷（第25条）

1）注册会计师应当与企业沟通审计过程中识别的所有控制缺陷。

2）对于其中的重大缺陷和重要缺陷，应当以书面形式与董事会和经理层沟通。

3）注册会计师认为审计委员会和内部审计机构对内部控制的监督无效的，应当就此以书面形式直接与董事会和经理层沟通。

4）书面沟通应当在注册会计师出具内部控制审计报告之前进行。4、形成审计意见（第26条)

注册会计师应当对获取的证据进行评价，形成对内部控制有效性的意见。3、沟通控制缺陷（第25条）45第六章“出具审计报告”讲解（7条）1、标准内部控制审计报告的构成要素（第27条）2、出具无保留意见审计报告的条件（28条，附录一）3、出具带强调事项段的无保留意见审计报告的条件（29条，附录二）4、出具否定意见审计报告的条件（30条，附录三）5、审计范围限制应解除业务约定或出具无法表示意见的审计报告（第31条，附录四）6、注意到的非财务报告内部控制缺陷的区别处理（第32条）7、期后期间发生情况的处理（第33条）

第六章“出具审计报告”讲解（7条）1、标准内部控制审计报告的46第七章“记录审计工作”讲解（2条）1、总体要求第三十四条注册会计师应当按照《中国注册会计师审计准则第1131号——审计工作底稿》的规定，编制内部控制审计工作底稿，完整记录审计工作情况。2、记录内容第三十五条注册会计师应当在审计工作底稿中记录下列内容：（一）内部控制审计计划及重大修改情况；（二）相关风险评估和选择拟测试的内部控制的主要过程及结果；（三）测试内部控制设计与运行有效性的程序及结果；（四）对识别的控制缺陷的评价；（五）形成的审计结论和意见；（六）其他重要事项。第七章“记录审计工作”讲解（2条）1、总体要求47《企业内部控制审计指引》讲解

张龙平

中南财经政法大学会计学院教授.博导中国CPA审计准则委员会委员中国财政部会计准则委员会咨询专家中国企业内部控制标准委员会咨询专家中国国家审计准则技术咨询专家组专家成员ZLPCALY8@《企业内部控制审计指引》讲解

张龙平中南财经政法大48引言：一、为什么要如此重视内部控制？

（一）国家整体管制角度

（2001年大陆财政部发布《内部会计控制规范》）

（二）单个企业发展角度企业（公司）质量与效益的重要性

（二）社会公众需求角度关注财务报表→同时关注相关内部控制引言：49二、什么是企业内部控制？

（一）内部控制的概念内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。（全面内部控制理念）（二）内部控制的5目标合理保证经营合规、资产安全、财务报告及相关信息真实完整、经营有效性，促进企业实现发展战略。美国内控目标如下:二、什么是企业内部控制？

（一）内部控制的概念50美国和国际上通常认为内部控制应实现以下3大目标：

即合理保证实现：

（1）财务报告（financialreporting）的可靠性；

（2）经营（operation）的效率和效果；

（3）对法律法规的遵守（compliance）。

注：资产安全目标哪去了？美国和国际上通常认为内部控制应实现以下3大目标：

51（三）内部控制的5要素1、内部环境（控制环境）2、风险评估3、信息与沟通4、控制活动5、内部监督(对控制的监督)（三）内部控制的5要素1、内部环境（控制环境）52（四）内部控制的固有局限性内部控制存在下列固有局限性，无论如何设计和执行，只能对财务报告的可靠性提供合理的保证：

1、在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效；

2、可能由于两个或更多人员进行串通或管理层凌驾于内部控制之上而被规避。（四）内部控制的固有局限性内部控制存在下列固有局限性53三、内部控制标准体系1、企业内部控制基本规范2、企业内部控制应用指引3、企业内部控制评价指引4、企业内部控制审计指引注：2006年6个部委组建大陆企业内部控制标准委员会，迄今工作成果如下：A,1、已发布自2009-7-1起上市公司执行（5部位联合发布）。B,234于2010-4-26发布，2011-1-1起境内外上市公司执行，2012-1-1起主板执行，在此基础上，择机在中小板和创业板上市公司施行。同时，鼓励非上市大中型企业提前执行。三、内部控制标准体系1、企业内部控制基本规范54

1、企业内部控制基本规范—1个1)五个目标：合规性、可靠性、安全性、经济性，战略性（美国COSO是：3个目标，无安全性和战略性）2)五个原则：全面性、重要性、制衡性、适应性、成本效益3)五个要素：内部环境、风险评估、信息与沟通、控制活动、内部监督

1、企业内部控制基本规范—1个552、大陆企业内部控制应用指引—21个

总体情况：21个应用指引（此次发布18个，涉及银行、证券和保险等业务的3个指引暂未发布）18个应用指引的分类：（1）内部环境类指引-5个(侧重企业层面控制）（2）控制活动类指引-9个(侧重业务层面控制）（3）控制手段类指引-4个(侧重企业层面控制）注：基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。

2、大陆企业内部控制应用指引—21个总体情况：21个应用指5618个应用指引的内容：（1）内部环境类指引—5个(侧重企业层面控制）组织框架（含治理结构、机构设置、职责分配及不相容职务分离）、发展战略、人力资源、企业文化、社会责任（含安全生产，产品质量，环境保护与资源节约等）

（注：企业自我评价时要以内部环境为基础）（2）控制活动类指引——9个(侧重业务层面控制）资金活动、资产管理、采购业务、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告

（注：企业自我评价时要以控制活动为重点）（3）控制手段类指引——4个(侧重企业层面控制）全面预算、合同管理、内部信息传递、信息系统（注：企业自我评价时应当兼顾控制手段）注：财政部等还将出台具体的操作手册或讲解材料18个应用指引的内容：（1）内部环境类指引—5个(侧重企业层57《企业内部控制应用指引》框架第一章：总则(含本指引制定目的１，控制对象（定义）２，相关风险３，关键控制点４）第二至N章：具体规定关键控制点５(不相容岗位分离６)（总要求是：职责分工与授权控制，全面实现控制目标）２、第一关键控制点３、第二关键控制点．．．．．N、评估与披露（第Ｎ-1个关键控制点）《企业内部控制应用指引》框架第一章：总则583、企业内部控制评价指引—1个

（1）管理层要提交内部控制评价报告（年度评价和专项评价）（2）评价工作的组织与实施1）谁负责：企业主要负责人2）谁实施：董事会（或类似决策机构）或其授权机构（可借助CPA或外部专家）3）遵循原则：全面性、重要性和独立性等原则4）评价工作程序（即评价方案的设计及实施）5）评价方法6）工作底稿编制与复核

3、企业内部控制评价指引—1个

（1）管理层要提交内部控制评59（3）年度评价和报告的内容1）评价：对整个年度、所有内部控制在某一基准日的有效性评价后，发表一个意见。2）报告：只需且只能报告内控设计或执行存在的重大缺陷

注1：内部控制缺陷认定有三种：①重大缺陷;②重要缺陷;③一般缺陷。注2：2010年上市公司内部控制自我评价报告存在的问题：只报告与财务报告密切相关的内部控制设计和运行情况。这样做对吗？（3）年度评价和报告的内容60

（4）内部控制评价报告

1）组织实施内部控制评价的总体情况。

2）内部控制责任主体的声明。

3）内部控制评价的范围和内容。

4）内部控制评价的标准和依据。

5）内部控制评价的程序和方法。

6）内部控制重大缺陷及其认定情况。

7）内部控制重大缺陷的整改措施及责任追究情况。

8）内部控制有效性的结论（基准日）。

敬请注意：存在一个或多个内部控制重大缺陷的，应当作出内部控制无效的结论。（4）内部控制评价报告1）组织实施内部61

正题：企业内部控制审计指引讲解开场白：

1、CPA和企业的责任都在不断地加大；2、内控审计结果将成为考核企业的重要指标；3、与财务报表审计有较大的不同。建议:

CPA和企业（公司）领导层都要高度重视内部控制问题正题：企业内部控制审计指引讲解开场白：62背景回顾：美国内部控制审计的发展历程2002年，《萨班斯——奥克斯利法案》

2004年3月，PCAOB，ASNO22007年6月，PCAOB，ASNO5——AnauditofInternalControlOverFinancialReportingThatisIntegratedwithAnauditofFinancialStatementsCPA与内控关系发展史：

→财务报表审计中不关注内控

→财务报表审计中关注与审计相关的内控（新旧国际准则要求不同）

→单独审核（EXAMINATION）财务报告内部控制

→单独审计财报内控（AUDIT）（跨入双重审计新时代），要求公司管理层先得编制内部控制自评报告，后CPA再审计背景回顾：美国内部控制审计的发展历程2002年，《萨63一、《指引》（7章35条）的结构1章、总则2章、计划审计工作3章、实施审计工作4章、评价控制缺陷5章、完成审计工作6章、出具审计报告7章、记录审计工作附录：4个内部控制审计报告的参考格式二、各章内容讲解一、《指引》（7章35条）的结构1章、总则64第一章“总则”讲解（5条）1、制定的目的和依据

第一条

为了规范注册会计师执行企业内部控制审计业务，明确工作要求，保证执业质量，根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则，制定本指引。

第一章“总则”讲解（5条）1、制定的目的和依据652、内部控制审计的定义和责任划分

第二条本指引所称内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。第三条建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。（注意：CPA审计不能减轻管理层责任）2、内部控制审计的定义和责任划分第二条663、总体审计要求

第四条注册会计师执行内部控制审计工作，应当获取充分、适当的证据，为发表内部控制审计意见提供合理保证。——证据注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。——报告3、总体审计要求674、内部控制审计与财务报表审计的关系

第五条注册会计师可以单独进行内部控制审计，也可以将内部控制审计与财务报表审计整合进行（以下简称整合审计）。在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：（一）获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见；（二）获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。（思考问题：两种审计是同一家事务所做，还是不同事务所做？）4、内部控制审计与财务报表审计的关系68补充讲：两种审计中控制测试和实质性程序之间的关系1、内部控制审计中对控制有效性的测试

1）注册会计师应当获取内部控制在一段足够长的期间内有效运行的证据，测试的期间可能短于财务报表涵盖的整个期间（通常一年）。（测试时间）2）注册会计师应当测试所有相关认定的控制，以获取其设计和运行有效性的证据。（测试范围）

如果仅对财务报表发表审计意见，注册会计师可能不需要测试这些控制。3）在内控审计中，注册会计师在对内控有效性形成结论时，应当同时考虑财务报表审计中实施的、所有针对控制设计和运行有效性测试的结果。（相互利用）补充讲：两种审计中控制测试和实质性程序之间的关系169

2、财务报表审计中对控制有效性的测试

1）如果将某项财务报表认定的控制风险评估为低于最高水平，注册会计师需要获取拟信赖的相关控制在整个期间有效运行的证据。（测试时间）

2）注册会计师不必将所有相关认定的控制风险评估为低于最高水平，因此，可能不对所有控制的运行有效性进行测试。（测试范围）

3）在财务报表审计中，注册会计师在评估控制风险时，应当同时考虑内控审计中实施的、所有针对控制设计和运行有效性测试的结果。（相互利用）2、财务报表审计中对控制有效性的测试70

3、控制有效性的测试对实质性程序的影响1）如果在内部控制审计中识别出某项控制缺陷，注册会计师应当评价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时间和范围的影响。2）在财务报表审计中，无论控制风险或重大错报风险的评估水平如何，注册会计师都应当针对所有重大的各类交易、账户余额及列报实施实质性程序。为对内部控制的有效性发表意见而实施的测试程序并不减轻注册会计师遵守上述规定的责任。3、控制有效性的测试对实质性程序的影响714、实质性程序对控制有效性结论的影响1）在内部控制审计中，注册会计师应当评价财务报表审计中实施的实质性程序的结果对控制有效性结论的影响。评价内容应当包括：（1）注册会计师作出的、与选择和实施实质性程序相关的风险评估，尤其是与舞弊相关的风险评估；（2）发现的违反法规行为和关联方交易方面的问题；（3）表明管理层在选择会计政策和作出会计估计时存在偏见的情况；（4）实施实质性程序发现的错报。2）注册会计师应当通过直接测试控制获取控制是否有效的证据，而不能根据实质性程序没有发现错报，推断该项控制的有效性。4、实质性程序对控制有效性结论的影响72第二章“计划审计工作”讲解（4条）

1、总体要求

第六条注册会计师应当恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。

2、考虑因素

第七条在计划审计工作时，注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响：（一）与企业相关的风险；（二）相关法律法规和行业概况；（三）企业组织结构、经营特点和资本结构等相关重要事项；（四）企业内部控制最近发生变化的程度；（五）与企业沟通过的内部控制缺陷；（六）重要性、风险等与确定内控重大缺陷相关的因素；（七）对内部控制有效性的初步判断；（八）可获取的、与内控有效性相关的证据的类型和范围。第二章“计划审计工作”讲解（4条）1、总体要求73

3、风险导向

第八条注册会计师应当以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多。3、风险导向74

4、利用其他相关人员的工作

第九条注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能本应由注册会计师执行的工作。——需要判断

1）注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作，应当对其专业胜任能力和客观性进行充分评价。

2）与某项控制相关的风险越高，可利用程度就越低，注册会计师应当更多地对该项控制亲自进行测试。

3）注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。——责任（另外计划时还要考虑：调整审计工作，应对舞弊风险，确定重要性水平，对企业使用服务机构的考虑等问题）4、利用其他相关人员的工作75第三章“实施审计工作”讲解（20条）

1、运用自上而下方法，选择拟测试的控制

第十条注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。

第三章“实施审计工作”讲解（20条）1、运用自上而下方76补充讲1：自上而下的方法

按照下列思路展开：（1）从财务报表层次初步了解内部控制整体风险；（2）识别企业层面控制；（3）识别重要账户、列报及其相关认定（注：与业务层面相关）；（4）了解错报的可能来源；（5）选择拟测试的控制。自上而下的方法是注册会计师识别风险及选择拟测试的控制的思路，但并不一定是实施审计工作的顺序。补充讲1：自上而下的方法

按照下列思路展开：77补充讲2：重要账户、列报

及其相关认定的含义

1）如果某账户或列报具有合理可能性包含了一个错报，该错报单独或连同其他错报将对财务报表产生重大影响（需要同时考虑多报和少报的风险），则该账户或列报为重要账户或列报。判断某账户或列报是否重要，应当依据其固有风险，而不应考虑相关控制的影响。2）如果某财务报表认定具有合理可能性包含了一个或多个错报，这个或这些错报将导致财务报表发生重大错报，则该认定为相关认定。判断某认定是否为相关认定，应当依据其固有风险，而不应考虑相关控制的影响。补充讲2：重要账户、列报

及其相关认定的含义

1）如果某账户783）在内部控制审计中，注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素,与财务报表审计中考虑的因素相同。因此，在这两种审计中识别的重要账户、列报及其相关认定应当相同。4）在财务报表审计中，注册会计师可能针对非重要账户、列报及其相关认定实施实质性程序。3）在内部控制审计中，注册会计师在识别重要账户、列报及其相79补充讲3：选择拟测试的控制1）注册会计师应当评价控制是否足以应对评估的每个相关认定的错报风险，并选择其中对形成评价结论具有重要影响的控制进行测试。2）对特定的相关认定而言，可能有多项控制应对评估的错报风险；反之，一项控制可能应对评估的多个相关认定的错报风险。注册会计师没有必要测试与某个相关认定有关的所有控制。3）在确定是否测试某项控制时，注册会计师应当考虑该项控制单独或连同其他控制，是否足以应对评估的某项相关认定的错报风险，而不论该项控制的分类和名称如何。补充讲3：选择拟测试的控制1）注册会计师应当评价控制是否足以802、测试企业层面控制第十一条注册会计师测试企业层面控制，应当把握重要性原则，至少应当关注：（一）与内部环境相关的控制；（二）针对董事会、经理层凌驾于控制之上的风险而设计的控制；（三）企业的风险评估过程；（四）对内部信息传递和财务报告流程的控制；（五）对控制有效性的内部监督和自我评价。2、测试企业层面控制第十一条注册会计师测试企业层面控制，813、测试业务层面控制第十二条注册会计师测试业务层面控制，应当把握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。（与重要账户、列报及其认定相关）注册会计师应当关注信息系统对内部控制及风险评估的影响。

4、考虑舞弊风险第十三条注册会计师在测试企业层面控制和业务层面控制时，应当评价内部控制是否足以应对舞弊风险。

3、测试业务层面控制第十二条注册会计师测试业务层面控制，825、测试的内容第十四条注册会计师应当测试内部控制设计与运行的有效性。如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行，能够实现控制目标，表明该项控制的设计是有效的。如果某项控制正在按照设计运行，执行人员拥有必要授权和专业胜任能力，能够实现控制目标，表明该项控制的运行是有效的。5、测试的内容第十四条注册会计师应当测试内部控制设计与运836、测试的程序1）确定原则第十五条注册会计师应当根据与内部控制相关的风险，确定拟实施审计程序的性质、时间安排和范围，获取充分、适当的证据。与内部控制相关的风险越高，注册会计师需要获取的证据应越多。——风险导向2）程序种类第十六条注册会计师在测试控制设计与运行的有效性时，应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。询问本身并不足以提供充分、适当的证据。6、测试的程序1）确定原则847、测试的时间安排第十七条注册会计师在确定测试的时间安排时，应当在下列两个因素之间作出平衡，以获取充分、适当的证据：（一）尽量在