第7章内部控制系统及其评审

第七章内部控制系统及其评审

第一节内部控制系统

第二节财务报告内部控制第三节内部控制的描述

第四节内部控制的评价第五节内部控制审计第一节内部控制系统一、内部控制的定义内部控制是被审计单位为了实现其发展战略、提高经营活动的效率、确保信息的可靠性、保护财产的安全完整、法律法规得到遵守，而由治理层、管理层和相关人员设计并执行的各项政策和相互制约相互联系的关系、是一个严密与完整的体系。可从以下几方面理解内部控制的定义1.内控的目标是合理保证：（1）财务报告的可靠性；（2）经营的效率和效果；（3）在所有经营活动中遵守法律法规。2.设计和实施内部控制的责任主体是治理层、管理层和其他人员。3.实现内部控制目标的手段是设计和执行控制政策及程序。股东会公司治理层次（corporategovernance）董事会经理层生产工人监事会辅助工人办公人员研发人员销售人员临时人员内部控制层次（internalcontrol）内部控制的国际发展内部牵制阶段内部控制的产生内部控制两要素阶段内部控制三要素阶段--内部控制结构内部控制五要素阶段--内部控制整体框架内部控制八要素阶段--企业风险管理整体框架内部牵制内部牵制的理念产生于上世纪40年代以前主要特点：任何个人或部门不能单独控制任何一项或一部分业务权力，必须进行组织上的责任分工。内部牵制的形式实物牵制：例如把保险柜的钥匙交给二个以上的工作人员持有。机械牵制：例如保险柜的大门若非按正确程序操作就打不开。体制牵制：采用双重控制预防错误和舞弊的发生。簿记牵制：定期将明细账与总账进行核对。

内部牵制的基本理念二个或以上的人或部门无意识地犯同样错误的机会是很小的；二个或以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。内部控制的产生1949年，美国会计师协会的审计程序委员会在《内部控制，一种协调制度要素及其对管理当局和独立注册会计师的重要性》的报告中，对内部控制首次作了权威性定义：

“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产，检查会计信息的准确性，提高经营效率，推动企业坚持执行既定的管理政策。”

此定义及其相应的解释，当时被普遍认为是对认识内部控制这一概念的重大贡献，因为在此之前内部控制概念从未受到如此的重视。

内部控制两要素阶段1958年10月美国审计程序委员会发布了第29号《审计程序公告》对内部控制进行了重新定义，将内部控制划分为会计控制和管理控制两要素。内部会计控制：包括组织规划的与财产安全和财物记录可靠性有直接联系的所有方法和程序，包括授权与批准控制、职务分离控制、财产实物控制和内部审计等。

内部管理控制：包括组织规划的与经营效率和贯彻管理方针有关的所有方法和程序，一般包括统计分析、业绩报告、员工培训和质量控制等。内部控制三要素的发展1988年美国AICPA发布了第55号《审计准则公告》，首次以“内部控制结构”代替“内部控制”，指出“企业的内部控制结构包括所有为确保实现企业特定目标而建立的各种政策和程序”。内部控制结构包括三个要素：控制环境：反映董事会、管理者、所有者对控制的态度和行为。会计系统：规定各项经济业务的确认、归集、分类、登记和编报方法。控制程序：指管理当局为保证实现目标而制定的政策和程序。内部控制三要素的发展内部控制结构的特点：正式将控制环境纳入内部控制范畴。以前人们将控制环境作为内部控制的外部因素，但渐渐地认识到控制环境是内部控制的一个组成部分，是内部控制体系得以建立和运行的基础及保证。二是不再区分会计控制与管理控制，这是因为通过研究发现，这两者往往是不可分割的，是相互关系的。

“COSO”与“美国反欺诈财务报告委员会”美国反欺诈财务报告委员会(NationalCommissiononFraudulentFinancialReporting)的成立：由美国会计学会（AAA）、美国注册会计师协会（AICPA）、财务经理协会（FEI）、内部审计师协会（IIA）、管理会计协会（IMA）于1985年发起设立1985年，美国五大会计职业团体为发起设立Treadway委员会，并成立了一个“发起组织委员会”，这是一个自发的民间组织，其目的是发起设立美国反欺诈财务报告委员会，并提供财务支持。由包括来自产业界、会计师事务所、投资公司以及纽约交易所代表的六个委员组成主席由前美国SEC委员JamesTreadway担任，所以简称“Treadway委员会”主要目的是研究导致财务报告欺诈的因素，为上市公司及其独立审计师、SEC及其他监管者、教育机构提供建议。1987年Treadway报告研究的主要问题重大舞弊对财务报表的影响程度舞弊行为的可预防程度独立审计在揭露管理欺诈舞弊中的作用审计准则是否需作进一步的修改“COSO”与“内部控制整体框架”（五要素）自1987年的Treadway报告和1988年9个审计准则公告发布后，COSO对内部控制问题又进行了较深入系统的研究，于1992年发布了《内部控制——整体框架》报告，该报告是国际内部控制理论发展的又一重要里程碑。COSO认为，内部控制是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的实现而提供合理保证的过程。其构成要素应该来源于管理阶层经营企业的方式，并与管理的过程相结合。内部控制整体框架控制环境风险评估控制活动监督作业活动1作业活动2循遵营经告报信息与沟通“内部控制整体框架”的特点1．明确对内部控制的“责任”2．强调内部控制应该与企业的经营管理过程相结合3．强调内部控制是一个“动态过程”4．强调“人”的重要性5．强调“软控制”的作用6。强调风险意识7．揉和了管理与控制的界限8．强调内部控制的分类及目标9．明确指出内部控制只能做到“合理”保证10．成本与效益原则控制环境控制环境不仅包括非正式的经常是无形的软控制，例如道德价值观，诚信原则，管理哲学，胜任的能力等，同时还包括组织结构和职责划分等更为正式的控制。控制的其他要素发挥作用都依赖于这一基础的可靠性。风险评估在风险评估过程中，管理层识别并分析实现其目标过程中所面临的风险，从而制定决定如何管理风险的制度基础。管理层应该在审计师开始审计之前，识别那些重大的风险，并基于这些风险发生的可能性和影响采取措施缓和这些风险。随后，审计师对这一风险评估过程进行评价。

控制活动控制活动是指确保管理层的指令得以实现的机制，包括那些被识别能够缓和风险的活动。这些控制很大程度上是基于审批活动。运输货物、支付帐单、等待客户定单、购买资产等活动都需要实施具体的，基于活动的控制。所以要求具备大量的有关特定活动的知识来决定应该实施怎样的针对性控制。

信息与沟通COSO框架的第四个控制要素是信息与沟通。信息是指员工能够获得其工作中所需要的信息，沟通是指信息向上的、向下的、横向的、在组织内外自由的流动。监督监督要素包括经理人员日常的监督，审计师和其他群体定期的审核以及经理人员用以揭示和纠正已知的缺陷与不足的程序。监督可以用来保证其他控制的运行，这也就解释了为什么内部审计被看作是监督的一部分。1987-1997欺诈性财务报告研究1987年Treadway报告发布后，美国公开发行股票公司财务报告舞弊情况究竟如何，需要进行全面的分析COSO发起并赞助了对1987.1-1997.12美国欺诈性财务报告的研究研究者从这11年期间受到SEC处罚的约300家公司中随机选取了约200家公司进行了全面的研究1999年3月发布了研究报告1987-1997欺诈性财务报告研究研究发现：存在财务报告欺诈舞弊问题的一般是小公司，大多不在纽约证券交易所或美洲证券交易所上市的公司进行欺诈舞弊的大多是公司高层，72%的案例显示由公司CEO参与有欺诈舞弊情况的公司，董事会和审计委员会都很弱，审计委员会很少碰头，董事会由内部人控制大部分公司由发起人和公司董事拥有当公司发生欺诈舞弊情况时，后果非常严重，大部分导致破产、股权重大变更或直接退市安然事件爆发安然公司1985年成立，2001年财富世界500强中排第16位，营业收入1387亿美元，2001年11月安然重新公布1997－2000年的财务报表，累计减少利润近6亿美金，2001年12月申请破产保护，破产资产总额498亿美元，为美国历史之最。股票最高价超过90美元，最低价不到20美分。2002年1月16日,纽约证交所将安然公司摘牌,公司正式破产,整个案件造成市值损失320亿美元,财产损失500亿美元。世通事件爆发世通公司是美国第二大电信公司，2002年，被发现利用将营运性开支列作资本性开支等弄虚作假的手法，在1998-2002期间，虚报收入110亿美元。

事发之后，世通的股价从最高的64.5美元暴跌至3美元。世通于2002年7月申请破产保护令，以1070亿美元的资产、410亿美元的债务成为美国历史上最大的破产个案，刷新了美国历史上的破产规模记录。7月30日,纳斯达克证交所将世通公司摘牌。整个案件造成市值损失1200亿美元,财产损失1000亿美元。

2002年美国《萨班斯法案》2002年7月25日美国通过的《公司改革法案》（Sarbanes-OxleyAct），使传统的注册会计师行业自律模式被打破，代之以政府监督下的独立监管为主的模式，即由美国证券交易委员会（SEC）监督下的公众公司会计监管委员会（PCAOB）来负责制定或审批审计准则、事务所质量控制准则、职业道德准则、独立性准则以及其他与审计报告相关的准则。实际上意味着AICPA正在逐步失去审计准则制定权。2002年美国《萨班斯法案》302条款:由CEO和CFO在内的企业管理层，对公司财务报告的内部控制按季度和年度就以下事项发表声明：对建立和维护与财务报告有关的内部控制负责。设计所需的内部控制，以保证管理层能知道该公司及其子公司的所有重大信息，尤其是报告期内的重大信息。与财务报告有关的内部控制的任何变更都已得到恰当的披露，这里的变更指最近一个会计季度已经产生，或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。对IT内部控制的有效性予以评估。2002年美国《萨班斯法案》404条款：管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容：管理层有责任为企业建立和维护恰当的与财务报告有关的内部控制。识别管理层所采用的内部控制框架，以便按要求评估公司与财务报告有关的内部控制的有效性。对从一上个会计年度末以来与财务报告有关的内部控制的有效性予以评估，其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。2002年美国《萨班斯法案》404条款（续）：年度审计报告中，注册会计师事务所发表的财务审计报告，包括管理层对与财务报告有关的内部控制有效性评估的证明报告。管理层关于公司针对财务报告内部控制有效性评估的书面结论，应包含在其对财务报告内部控制的报告和其对审计师的信函中。管理层对公司面向财务报告的内部控制的有效性必须发表直接意见。如果与财务报告有关的内部控制中有一个或多个重要缺陷，管理层将不能对财务报告的内部控制有效性作出评估结论，而且，管理层应该披露自最近一个会计年度末以来财务报告内部控制方面的所有重要缺陷。2002年美国《萨班斯法案》404条款要求，每个公司都要将公司任何一个岗位的职务、职责描述得一目了然，这项工作需要大量材料和文件支持。同时上市公司要保证在对交易进行财务记录的每一个环节都有相应的内部控制制度（例如产品销售的条件、记录付款的时间和人员等）。此外，还要指出内部控制的缺陷所在。要完成这些工作绝非易事，特别是对于组织分散，业务范围复杂的大型公司而言，组织越分散，业务越复杂就意味着要做的工作越繁杂，这促使他们不得不投入更多来实施404条款所要求的内部控制措施。2002年美国《萨班斯法案》404条款的遵循成本第一年最高，包括关键内部控制的初始存档和补救。以后年度的遵循成本会大幅度减少。根据国际财务执行官(FEI)对321家企业的调查结果，每家需要遵守萨班斯法案的美国大型企业第一年实施404条款的总成本将超过460万美元。全球著名的通用电气公司表示，404条款致使公司在执行内部控制规定上的花费高达3000万美元。内部控制的主要缺陷控制环境无效的审计委员会缺乏由高层管理推动的全公司范围的内部控制管理流程缺乏反舞弊和举报机制会计政策和程序过时、不一致、没有完整记录或缺乏有效沟通对非常规、复杂或特殊交易的帐务处理的控制不充分内部控制的主要缺陷风险评估缺乏正式的企业风险管理流程或程序内部控制的主要缺陷控制活动缺乏有效运行和记录完整的公司层面控制错误报告和信息披露编制流程无效对分支机构的控制无效内部控制的主要缺陷信息与沟通缺乏对信息系统的有效控制缺乏对财务报告中使用的终端用户应用程序（如电子表格）和数据的控制内部控制的主要缺陷监督董事会和审计委员会对风险和控制的理解不充分无效的内部审计缺乏正式的对财物结账流程的控制或监督不能对外包流程的控制进行评估和测试内部控制的主要缺陷文件记录缺乏完整全面的文档记录缺乏内部控制执行的证据内部控制的主要缺陷管理层对控制有效性的评价公司的内控评价工作人员缺乏专业知识和经验管理层内控评价范围不充分测试流程和程序不充分COSO的企业风险管理企业风险管理框架的建立背景二十世纪九十年代以来愈演愈烈的商业丑闻，使得投资者和其他利益相关者遭受了巨大的损失，人们在加强内部控制的同时，开始认识到全面风险管理的重要性，希望建立一个能有效地帮助管理策识别、评价和管理风险的思维框架。2001年，COSO设立研究项目，委托PwC研发一个能被管理层用来评价和改进其企业风险管理的框架。2003年7月，公布研究报告讨论稿。2004年9月，研究报告“企业风险管理：整体框架（EnterpriseRiskManagement–IntegratedFramework）”正式发布。COSO《企业风险管理》（2004）《企业风险管理框架》（《EnterpriseRiskManagementFramework》ERM）认为“全面风险管理是一个过程。这个过程受董事会、管理层和其它人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别哪些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业取得既定的目标。”从“内部控制”到“企业风险管理”控制环境风险评估控制活动监督作业活动1作业活动2循遵营经告报信息与沟通内部环境战略目标设定事件识别风险评估风险应对控制活动信息与沟通监督经营报告遵循子公司业务单位分支机构企业整体层次COSO《企业风险管理》（2004）ERM框架有三个维度；第一维是企业的目标，企业的目标有四个，即战略目标、经营目标、报告目标和合规目标。第二维全面风险管理要素有8个，即内部环境；目标设定；事件识别；风险评估；风险对策；控制活动；信息和交流；监控。第三个维度是企业的层级，包括整个企业、各职能部门、各条业务线及下属各子公司。ERM三个维度的关系是，企业风险管理的8个要素都是为企业的四个目标服务的；企业各个层级都要坚持同样的四个目标；每个层次都必须从以上8个方面进行风险管理。该框架适合各种类型的企业或机构的风险管理。《企业风险管理——综合框架》（ERM）企业目标可以从以下四个方面来考虑：战略经营报告遵循内部环境战略目标设定事件识别风险评估风险应对控制活动信息与沟通监督经营报告遵循子公司业务单位分支机构企业整体层次ERM框架（续）ERM考虑了组织中所有层次上的活动：企业整体层次分支机构或者子公司业务单元环节内部环境战略目标设定事件识别风险评估风险应对控制活动信息与沟通监督经营报告遵循子公司业务单位分支机构企业整体层次COSO的企业风险管理企业风险管理框架包括八个基本要素内部环境目标制定事件识别风险评估风险应对控制活动信息和沟通监督内部环境战略目标设定事件识别风险评估风险应对控制活动信息与沟通监督经营报告遵循子公司业务单位分支机构企业整体层次1.内部环境建立风险管理理念。应认识到未预期事件与预期事件一样可能发生。建立企业的风险文化。考虑所有的其他组织行为如何影响风险文化。2.目标设定在设定目标时，管理层应该考虑风险战略。形成企业的风险偏好（riskappetite）——从高层次的视角来确定管理层和董事会乐意接受多大风险。风险容忍度（risktolerance），是指目标变化程度的可接受水平，是与风险偏好相联系的。3.事件（风险）识别区分风险和机会。带来负面影响的事件代表风险。带来正面影响的事件代表自动抵消（机会），管理层应该在战略制定中重新考虑这些事件的存在。考虑发生在内部的或发生在外部的可能影响战略和目标实现的事件。指出内部资源与外部资源应如何结合起来，相互作用来影响风险的组合。风险识别战略风险经营风险业务管理风险资源管理风险法律事务风险4.风险评估使得企业了解潜在事件影响目标的程度。从两个角度评估风险风险发生的可能性风险发生的影响力不仅可以用来评估风险，还可以用来衡量相关目标。结合运用定性的和定量的风险评估方法。将时间纬度与目标纬度联系起来。既要评估固有风险，还要评估剩余风险。5.风险应对识别并评价潜在的风险应对方案。根据企业的风险偏好、潜在风险应对方案的成本效益以及应对方案能够降低风险影响力和（或）可能性的程度来评估各种方案。在评估风险组合和应对方案的基础上，选择并实施应对方案。风险应对风险应对总体策略：战略风险：公司治理经营风险：内部控制风险应对具体对策：风险转移（保险、套期保值、期货）风险避免（退出交易活动）风险承担（考虑成本效益原则）风险减少（加强控制）可能性高减少避免低接受转移低高影响风险应对6.控制活动控制活动是保证风险应对方案以及其他企业指令得到执行的相关政策和程序。控制活动存在于整个企业，包括各个层面和各个职能。控制活动包括操作控制和一般的信息技术控制。7.信息与沟通管理层必须以一定的格式和时间间隔识别、捕捉和传递有关信息，以保证企业的员工能够执行各自的职责。沟通的意义广泛，包括企业内自上而下、自下而上以及横向的沟通。8.监督通过以下三种方式对ERM的其他几个要素进行监控：持续的监控活动个别评估两者的结合与《内部控制—整体框架》的关系扩展并详尽阐述了COSO“控制框架”中的内部控制要素。将目标设定作为一个单独的组成部分。目标是内部控制的“前提”。扩展了控制框架的“财务报告”和“风险评估”。二、内部控制的目标？中国萨班斯法案——《企业内部控制基本规范》（以下简称规范）《规范》第三条:内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。从这个定义中可以看出我国内部控制的目标包括五个方面：一是合法合规性；二是资产安全性；三是财务信息的真实完整性；四是效率效果性；五是战略实现性。

合法合规性资产安全性内控五目标财务信息的真实完整性效率效果性战略实现性与C0S0报告中的三目标相比，我们的内部控制目标有了较大的超越；与美国内部控制风险整合框架的四目标相比：我们的目标有超越也有保守。我们肯定了资产安全的目标，但我们的信息目标还是强调了财务信息，而风险整合框架中囊括所有的信息。三、内控制度的要素（五要素）1.控制环境---提供企业纪律与架构，塑造企业文化，并影响企业员工的控制意识，是所有其它内部控制组成要素的基础，直接影响内部控制的执行效果。

2.

风险评估

风险识别风险分析

3.控制活动：企业管理阶层辩识风险，并发出必要的指令，如核准、授权、验证、调节、复核、保障资产安全及职务分工等。

4.信息与沟通：企业在其经营过程中，需按某种形式辨识、取得确切的信息，并进行沟通，以使员工能够履行其责任。5.内部监督内部控制系统需要被监督。内部监督活动由持续监控、个别评估所组成。包括持续的监控活动、个别评估、报告缺陷。

（一）按要素分类（二）按工作范围（三）按建立目的（四）按控制方式四、内部控制系统的种类“科索”（COSO）委员会提出的内部控制五要素框架监督信息与沟通信息与沟通控制活动风险评估控制环境1.按要素分四、内部控制系统的种类2.按工作范围分内部管理控制系统内部会计控制系统3.按建立的目的分类保护财产物资安全的内控系统保证会计资料可靠的内控系统保证经济活动合法性和效益性的内控系统预防性内控系统察觉性内控系统4.按控制方式分五、内控的具体内容合规、合法性控制授权、分权控制不相容职务控制业务程序标准化控制复核控制人员素质控制内控的具体内容六、财务报告内部控制有效的内部控制系统的目标之一是保证财务报告的可靠性。但后者不是前者的全部。有效的内部控制系统只能合理保证财务报告的可靠性。没有内部控制系统，财务报告不一定不可靠。财务报告一旦不可靠，则内部控制系统必定无效。管理当局的认定存在或发生完整性权利和义务估价或分摊表达与披露ABC会计师事务所的A和B注册会计师接受委派，对甲上市公司（以下简称甲公司）2000年度会计报表进行审计。甲公司尚未采用计算机记账。A和B注册会计师于2000年11月1日至7日对甲公司的内部控制制度进行了解和测试，并在相关审计工作底稿中记录了了解和测试的事项，摘录如下：

要求：根据下述摘录，假定未描述的其他内容不存在缺陷，请指出甲公司内部控制在设计与运行方面的缺陷，并提出改进建议。

①甲公司控股股东的法定代表人同时兼任甲公司的法定代表人，总经理是聘任的。在公司章程及相关决议中未具体载明股东大会、董事会、经营班子的融资权限和批准程序。经了解，甲公司由财务部负责融资，2000年根据总经理的批示向工商银行借入了1亿元贷款。【解析】借款应得到适当的授权或批准。应建议甲公司在公司章程或有关决议中具体规定股东大会、董事会、经营班子的关于筹资的权限和批准程序。②甲公司产成品发出时，由销售部填制一式四联的出库单。仓库发出产成品后，将第一联出库单留存登记产成品卡片，第二联交销售部留存，第三、四联交会计部会计人员乙登记产成品总账和明细账

【解析】会计人员乙同时登记产成品总账和明细账，不相容职务未进行分离。应建议甲公司由不同的会计人员登记产成品总账和明细账。

会计人员乙同时经管登记产成品总账和明细账与产成品的“完整性”、“估价或分摊”、“存在与发生”认定相关。③甲公司的材料采购需要经授权批准后方可进行。采购部根据经批准的请购单发出订购单。货物运达后，验收部根据订购单的要求验收货物，并编制一式多联的未连续编号的验收单。仓库根据验收单验收货物，在验收单上签字后，将货物移入仓库加以保管。验收单上有数量、品名、单价等要素。验收单一联交采购部登记采购明细账和编制付款凭单，付款凭单经批准后，月末交会计部；一联交会计部登记材料明细账；一联由仓库保留并登记材料明细账。会计部根据只附验收单的付款凭单登记有关账簿。

【讲解】验收单未连续编号，不能保证所有的采购都已记录或不被重复记录。应建议甲公司对验收单进行连续编号。与“完整性”认定有关。付款凭单未附订购单及供应商的发票等，会计部无法核对采购事项是否真实，登记有关账簿时金额或数量可能就会出现差错。应建议甲公司将订购单和发票等与付款凭单一起交会计部。与“存在或发生”、“估价或分摊”的认定相关。第三节内部控制的描述描述内部控制主要有三种方法：文字表述、调查表、流程图。

一、文字表述法

1.定义

CPA以文字形式进行叙述被审计单位内部控制情况的方法。一般具备以下四个特征：（1）说明制度中每份凭证和每个记录的来源。（2）说明已发生的全部业务处理过程。（3）制度中每份凭证和每个记录的处置。（4）指出与估定控制风险有关的控制点。2.优点：（1）可对被调查事项作较为深入、具体的表述；（2）表述方便灵活。

3.缺点：（1）难以用简练语言描述内部控制细节；（2）描述篇幅长、效率低。

4.适用：规模小、内部控制简单的企业，或需对内部控制作深入描述的事项。二、调查表法1.定义：内部控制调查表对每一个审计单元的控制点提出一系列问题，作为提示注册会计师内部控制可能存在缺陷的工具。在大多数情况下，所设计的问题都要求给予“是”或“否”的回答，如果回答“否”，就表明内部控制可能存在缺陷。

2.优点：（1）能对所调查对象提供简括说明，有利于分析评价；（2）调查效率高，较快就能完成。3.缺点：（1）对内部控制只能分别考察，不能提供完整的看法；（2）对小企业因“不适用”过多，标准调查表适用性不强。4.适用：对规模较大的企业的内部控制调查。1、定义：内部控制流程图是运用符号和图形来反映客户的业务处理过程和相应凭证及其在组织内部有序流动过程的示意图。流程图也应当采取一定的形式表示出上述文字说明所应具备的四个特征。三、流程图法2.优点：（1）便于表达内部控制特征；（2）便于修改；3.缺点：（1）需一定技术和花费较多时间；（2）对某些内部控制弱点很难在图中表达出来。4.适用：广泛销售信用储运记账收款稽核原始凭证订单处理信用额度审核终止未通过通过原始凭证发货运输存档销售日记账收现转帐产品日记账审核存档银行存款存档汇总记账凭证应收款日记账总账存档核对销售与收款循环（1）使用规定的符号。（2）采用平面制图法。图中标明业务处理流程经过的部门及负责人。（3）各种凭证所经各部门的名称应安排在流程图的顶部。（4）业务处理的开始点，要尽可能安排在部门名称的左上角，凭证的流向要尽可能从左到右，从上倒下，避免流程线来回反复交叉。绘制流程图应注意以下几点：第四节内部控制评价概述一、内部控制评价的定义企业内部控制评价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。从以下三个角度进行理解：（1）内部控制评价的主体是董事会或类似权力机构。（2）内部控制评价的对象是内部控制的有效性。（3）内部控制评价是一个过程。内部控制运行的有效性内部控制设计的有效性内部控制的有效性，是指企业建立与实施内部控制对实现控制目标提供合理保证的程度。内部控制的有效性控制过程控制过程控制目标合规目标内部控制的有效性资产目标内部控制的有效性报告目标内部控制的有效性经营目标内部控制的有效性战略目标内部控制的有效性二、内部控制评价的内容内部控制评价应紧紧围绕内部控制五要素进行：

（1）内部环境评价（2）风险评估评价（3）控制活动评价（4）信息与沟通评价（5）内部监督评价三、内部控制评价的原则与方法（一）内部控制评价的原则（1）全面性原则（2）重要性原则核心要求：坚持风险导向的思路坚持重点突出的思路（3）客观性原则（二）内部控制评价的方法

个别访问法专题讨论法比较分析法实地查验法抽样法穿行测试法调查问卷法内部控制评价的方法内部控制评价的组织与实施一、内部控制评价的组织机构（一）内部控制评价的责任主体及其职责董事会是内部控制评价的责任主体，对内部控制评价承担最终的责任，对内部控制评价报告的真实性负责。董事会可以通过审计委员会来承担对内部控制评价的组织、领导、监督职责。董事会或审计委员会应听取内部控制评价报告，审定内控重大缺陷、重要缺陷整改意见，对内部控制部门在督促整改中遇到的困难，积极协调，排除障碍。（二）内部控制评价的具体组织实施主体及其职责内部控制评价工作的具体组织实施主体一般为内部审计机构或专门的内部控制评价机构。在实践中，也有组织非常设内部控制评价结构，比如组成内部控制评价小组。企业也可以委托会计师事务所等中介机构实施内部控制评价。（二）内部控制评价的具体组织实施主体及其职责内部控制评价机构必须具备一定的设置条件：具备独立性。具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素质。与企业其他职能机构就监督与评价内部控制系统方面应当保持协调一致。能够得到企业董事会和经理层的支持。（三）其他相关部门及其职责组织实施支持配合积极整改

经理层内控自查测试评价积极整改各专业部门逐级落实日常监控督促整改

所属单位审议监督监事会二、内部控制评价程序制定评价工作方案组成评价工作组实施现场检查测试汇总评价结果编制企业内控评价报告报告反馈与追踪否明确企业内部控制目标制定内部控制评价方案报董事会审批评价方案是否通过审批否组成评价工作组是实施内部控制现场检查与测试是否存在缺陷是设计缺陷运行缺陷编制现场报告，并向被评价单位通报编制企业内部控制评价报告跟踪缺陷的整改落实情况汇总图内部控制评价流程内部控制缺陷的认定一、内部控制缺陷的定义和种类内部控制缺陷是内部控制在设计和运行中存在的漏洞，这些漏洞将不同程度地影响内部控制的有效性，影响控制目标的实现。内部控制缺陷的认定通常被视作判断内部控制有效性的一个负向维度。衡量内部控制有效性的关键步骤就是查找内部控制在设计或运行环节中是否存在重大缺陷。内部控制缺陷的认定内部控制缺陷成因性质

设计缺陷

运行缺陷

重大缺陷

重要缺陷

一般缺陷二、内部控制缺陷的认定标准内部控制缺陷的重要性和影响程度是相对于内部控制目标而言的。按照对财务报告目标和其他内部控制目标实现的影响的具体表现形式，下面区分财务报告内部控制缺陷和非财务报告内部控制缺陷分别阐述内部控制缺陷的认定标准。（一）财务报告内部控制缺陷的认定标准与财务报告内部控制相关的内部控制缺陷所采用的认定标准直接取决于由于该内部控制缺陷的存在可能导致的财务报告错报的重要程度。其中，所谓“重要程度”主要取决于两个方面的因素：（1）该缺陷是否具备合理可能性导致企业的内部控制不能及时防止或发现并纠正财务报告错报。（2）该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。一般而言，如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中的重大错报，就应将该缺陷认定为重大缺陷一项内部控制缺陷单独或连同其他缺陷具备合理可能性导致不能及时防止或发现并纠正财务报告中错报的金额虽然未达到和超过重要性水平、但仍应引起董事会和管理层重视，就应将该缺陷认定为重要缺陷。不构成重大缺陷和重要缺陷的内部控制缺陷，应认定为一般缺陷。一旦企业的财务报告内部控制存在一项或多项重大缺陷，就不能得出该企业的财务报告内部控制有效的结论。财务报告内部控制重大缺陷的认定十分关键，而区分一项内部控制缺陷是否构成了重大缺陷的分水岭是“重要性水平”，重要性水平之上的为重大错报，重要性水平之下的为重要错报或者一般错报。重要性水平的的确定有两种方法：绝对金额法和相对比例法。出现以下迹象之一则通常表明财务报告内部控制可能存在重大缺陷：（1）董事、监事和高级管理人员舞弊；（2）企业更正已公布的财务报告；（3）注册会计师发现当期财务报告存在重大错报，而内部控制在运行过程中未能发现该错报；（4）企业审计委员会和内部审计机构对内部控制的监督无效。

需要说明的是，内部控制缺陷的严重程度并不取决于是否实际发生了错报，而是取决于该控制不能及时防止或发现并纠正潜在缺陷的可能性。即只要存在这种“合理可能性”，不论企业的财务报告是否真正发生了错报，都意味着财务报告内部控制存在缺陷。内部控制缺陷的认定（二）非财务报告内部控制缺陷的认定标准非财务报告内部控制缺陷是指除财务报告目标之外的与其他目标相关的内部控制缺陷，包括战略内部控制缺陷、经营内部控制缺陷、合规内部控制缺陷、资产内部控制缺陷。非财务报告目标内部控制缺陷的认定具有涉及面广、认定难度大的特点，尤其是战略内部控制缺陷和经营内部控制缺陷。以下迹象通常表明非财务报告内部控制可能存在重大缺陷：国有企业缺乏民主决策程序；企业决策程序不科学，如决策失误，导致并购不成功；违犯国家法律、法规，如环境污染；管理人员或技术人员纷纷流失；媒体负面新闻频现；内部控制评价的结果特别是重大或重要缺陷未得到整改；重要业务缺乏制度控制或制度系统性失效。三、内部控制缺陷的认定步骤（一）财务报告缺陷的认定步骤第一步，结合财务报告内部控制缺陷的迹象，判断是否可能存在财务报告内部控制缺陷。第二步，确定重要性水平和一般水平，以此作为判断缺陷类型的临界值。可采用绝对金额法或者相对比例法进行确定。第三步，抽样。按照业务发生频率的高低和账户的重要性确定抽样数量。第四步，计算潜在错报金额。其计算公式为：潜在错报金额=潜在错报率×相应账户的同向累计发生额第五步，如果重要性水平和一般水平是绝对金额，那么可直接将潜在错报金额合计数与其比较，判断缺陷类型；如果重要性水平和一般水平是相对数，需进一步计算错报指标再进行比较判断。错报指标的计算公式如下:错报指标=潜在错报金额合计数/当期主营业务收入（或期末资产）（二）非财务报告缺陷的认定步骤第一步，结合相关迹象，判断是否可能存在非财务报告内部控制缺陷。第二步，采用定性或者定量的方法确定认定标准。第三步，根据标准分别对每起事故进行认定。表A公司的非财务报告缺陷认定标准第五节内部控制的评审

★现代审计是在一定的基础上进行，要在对内部控制进行了解、测试、评价的基础上决定实质性测试的性质、时间、范围。一个基本的逻辑是，如果内部控制有效，则重大错报的风险就会较小，那么计划收集的审计证据就可以减少内部控制与审计的关系应当明确：（1）CPA在执行审计时首先对内控进行充分的了解；（2）在了解的基础上，确定是否进行控制测试，以及将要执行的控制测试的性质、时间和范围；（3）即使内控良好也要进行实质性程序一、为什么要进行内部控制审计?

案例导入

横店东磁：内部控制审计报告

二、注册会计师的责任

我们的责任是在实施审计工作的基础上对内部控制的有效性发表审计意见。我们按照《中国注册会计师执业准则》的要求执行了审计工作。执业准则要求我们遵守职业道德守则，计划和实施审计工作，以对企业在所有重大方面是否保持了有效的内部控制获取合理保证。审计工作包括获取对内部控制的了解，评估重大缺陷存在的风险，并根据风险评估的结果，测试和评价内部控制设计和运行的有效性。审计工作还包括实施我们认为必要的其他程序。

我们相信，我们获取的审计证据是充分、适当的，为发表审计意见提供了基础。

三、内部控制审计的范围本报告中内部控制审计的范围，主要是企业为了合理保证财务报告及相关信息真实完整、资产安全而设计和执行的内部控制。用以合理保证资产安全的内部控制，可能涉及合理保证经营效率和效果、经营管理合法合规的内部控制。

四、内部控制的固有局限性内部控制具有固有局限性，存在不能防止和发现错报的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制审计结果推测未来内部控制的有效性具有一定风险。

五、内部控制审计意见我们认为，截至2008年12月31日，横店东磁公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的内部控制。

六、提及财务报表审计意见的类型我们还按照中国注册会计师审计准则的规定，审计了横店东磁公司2008年12月31日的资产负债表和合并资产负债表，2008年度的利润表和合并利润表，2008年度的现金流量表和合并现金流量表，2008年度的股东权益变动表和合并股东权益变动表，以及财务报表附注，并在2009年3月30日出具的审计报告中发表了标准无保留意见。

浙江天健东方会计师事务所有限公司中国注册会计师钟建国中国·杭州中国注册会计师张芹

报告日期：2009年3月30日为什么要对横店东磁出具内部控制审计报告？中国萨班斯法案——《企业内部控制基本规范》（以下简称规范）对审计的规定。《规范》第10条接受企业委托从事内部控制审计的会计师事务所，应当根据本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。会计师事务所及其签字的从业人员应当对发表的内部控制审计意见负责。为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制审计服务。[自我评价威胁]二、什么是内部控制审计？1．概念内控审计，是指会计师事务所接受委托，对特定日期（通常与企业内控自我评价基准是一致的）企业内控的有效性进行审计，并发表审计意见。并且，该事务所同时执行同一企业的财务报表审计业务。二、什么是内部控制审计？2．内控审计范围是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内控，即财务报告内控。具体讲，内部控制包括下列方面的政策和程序：（1）保存充分、适当的记录，准确、公允地反映企业的交易和事项；（2）合理保证按照企业会计准则的规定编制财务报表；（3）合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权；（4）合理保证及时防止或发现未经授权的、对财务报表有重大影响的交易和事项。二、什么是内部控制审计？2．内控审计范围有效的内部控制能够为财务报告及相关信息真实完整提供合理保证。在企业治理层的监督下，按照《企业内部控制基本规范》和相关规定，设计、实施和维护有效的内部控制，并评价其有效性是企业管理层的责任；按照《企业内部控制审计指引》的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。内部控制审计不能减轻企业管理层的责任。内部控制是否有效，取决于被审计单位的内部控制是否存在重大缺陷。如果存在一项或多项重大缺陷，内部控制应被认定为无效。但由于内部控制审计的范围，是企业为了合理保证财务报告及相关信息真实完整而设计和运行的内部控制，并未包括被审计单位全部的内部控制，因此，即使财务报表不存在重大错报，内部控制也可能存在重大缺陷。三、如何开展内部控制审计？内部控制审计步骤：整合审计计划审计工作实施审计工作评价识别的控制缺陷完成审计工作内控审计报告整合审计由于同一会计师事务所同时执行同一企业的内控审计业务和财务报表审计业务，CPA应当将内控审计与财务报表审计整合进行（以下简称整合审计）。计划审计工作（一）总体要求CPA应当恰当地计划内控审计工作，并对助理人员进行适当的督导。在计划整合审计工作时，CPA应当考虑下列12个事项对财务报表和内控是否有重要影响，以及有重要影响的事项将如何影响CPA的审计工作：计划审计工作（1）注册会计师执行其他业务时了解的情况；（2）在评价是否接受与保持客户和业务时，注册会计师了解的与企业相关的风险情况；（3）影响企业所处行业的事项，如行业财务报告惯例、经济形势和技术革新；（4）与企业相关的法律法规；（5）与企业经营相关的重要事项，包括组织结构、经营特征和资本结构；（6）经营活动的复杂程度；（7）企业经营活动或内部控制最近发生变化的程度；（8）注册会计师对重要性、风险以及与确定内部控制重大缺陷相关的其他因素所作的初步判断：（9）以前与审计委员会或管理层沟通过的控制缺陷；（10）可获取的、与内部控制有效性相关的证据的类型和范围；（11）对内部控制有效性的初步判断；（12）与评价财务报表发生重大错报的可能性和内部控制有效性相关的公开信息。风险评估

调整审计工作

应对舞弊风险利用其他相关人员的工作确定重要性水平对企业使用服务机构的考虑计划审计工作6步骤计划审计工作风险评估的作用被审计单位的性质被审计单位对会计政策的选择和运用目标、战略与相关经营风险财务业绩的衡量与评价风险评估实施进一步审计程序识别通过风险评估程序行业状况、法律与监管环境以及其他外部因素了解被审计单位及其环境内部控制评估计划审计工作内容要求1、风险评估以风险评估为基础，确定重要账户、列报及其相关认定，选择拟测试的控制，以及确定针对所选定控制需要收集的证据2、调整审计工作根据企业具体情况调整审计工作，以获取充分、适当的证据，支持审计意见3、应对舞弊风险考虑财务报表审计中对舞弊风险的评估结果。在识别并测试企业层面控制以及选择其他控制进行测试时，CPA应当评价企业的控制是否足以应对已识别的、由舞弊导致的重大错报风险，并评价为应对管理层凌驾于控制之上的风险而设计的控制（二）具体内容和要求计划审计工作内容要求4、利用其他相关人员的工作1．利用内部审计人员等相关人员的工作2．利用其他CPA的工作5、确定重要性水平在计划内控审计工作时，应当使用与财务报表审计相同的重要性水平6、对企业使用服务机构的考虑1.（1）了解服务机构中与企业内控相关的控制以及企业针对服务机构活动所实施的控制；（2）获取相关控制运行有效的证据2．不应在审计报告中提及服务机构CPA的报告（二）具体内容和要求实施审计工作（一）总体要求在内控审计中，CPA应当以风险评估为基础，运用自上而下的方法，选择拟测试的控制。

自上而下的方法是CPA识别风险及选择拟测试的控制的思路，但并不一定是实施审计工作的顺序。自上而下的方法按照下列思路展开：从财务报表层次初步了解内控整体风险识别企业层面控制识别重要账户、列报及其相关认定了解错报的可能来源选择拟测试的控制自上而下方法5步骤实施审计工作实施审计工作内容要求1．识别企业层面控制测试对评价内控有效性有重要影响的企业层面控制2．识别重要账户、列报及其相关认定1．重要账户、列报及其相关认定；2．识别重要账户、列报及其相关认定；3．多个经营场所或业务单元；4．审计范围；5．相关豁免3．了解错报的可能来源亲自执行穿行测试4．选择拟测试的控制应当评价控制是否足以应对评估的每个相关认定的错报风险形成审计结论和审计意见具有重要影响的控制进行测试（二）具体内容和要求内容要求5．测试控制设计的有效性应当综合运用询问适当人员、观察经营活动和检查相关文件等程序。在审计实务中，CPA执行穿行测试通常就足以评价控制设计的有效性6．测试控制运行的有效性应当综合运用询问适当人员、观察经营活动、检查相关文件以及重新执行控制等程序7．风险与拟获取证据的关系正向关系；1．风险与拟获取证据的关系；2．影响审计中与某项控制相关的风险因素；3．控制偏差；4．测试控制有效性实施的程序；5．测试时间；6．控制的改变；7．期中测试结果的更新8．连续审计时的特殊考虑1．影响审计中与某项控制相关的风险因素；2．自动化应用控制；3．增强测试的不可预见性实施审计工作（二）具体内容和要求控制测试方法测试方法检查证据法穿行测试法实地观察法控制测试方法与控制类型的关系检查证据控制类型测试方法实物控制职务分离稽核批准与授权穿行测试实地观察SPN/APSN/APSN/ASN/APP——控制测试的主要方法S——控制测试的次要方法N/A——不适用备注控制测试方法示例客户：****股份公司签名日期

项目：采购预付款循环企业内部控制测试编制人***M2-1截止日：2007.1.1-2007.12.31复核人***1一、测试目标1.确定所记录的购货都已收到物品或已接收劳务，并符合购货方的最大利益。

2.确定已发生的购货业务均已记录。

3.所记录的购货业务估价正确。

4.购货业务的分类正确。

5.购货业务按正确的日期记录。

6.购货业务被正确记入应付账款和存货等明细账中，并被准确汇总。二、测试程序执行情况说明索引号1.测试请购申请的提出是否符合规定，是否每张请购单都要有主管人员签字。已执行M2-22.测试采购是否经过适当授权，订货单是否连续编号，是否一式多联，分送相关部门；采购合同是否符合企业内部控制的要求。已执行M2-3

M2-43.验收单是否与订购单内容相符，不符的是否得到恰当处理，验收单是否连续编号。已执行M2-54.测试应付凭单是否与验收单、订货单内容一致，计算是否正确等。已执行M2-65.测试购货业务入账是否及时，所附凭单是否合法、完备，是否定期对账。已执行/控制良好M2-76.测试付款环节是否经过适当授权，负债是否按其偿还等。已执行M2-8企业内部控制评价客户：****股份公司签名日期

项目：采购预付款循环企业内部控制测试编制人***2007.3.9索引号M2-1截止日：2007.1.1-2007.12.31复核人***2007.3.9页次1应付账款明细账

是否有原始凭证原始凭证是否与账务记录一致是否有与总账余额核对标记是否有与供应商对账的标记备注日期记帐凭证编号金额√√√×

11/1211-12334500√√√×

11/2011-12523465√√√×

11/2011-13278900√√√×

11/2111-13712001√√√×

11/2111-14511780√√√×

11/2111-15116800√√√×

CPA意见及结论：

应付款项明细账记录清晰，每一笔记录对应的记帐凭证都附有相应的经批准的原始凭证，原始凭证的内容与记账凭证的记录一致，每月的明细账余额与总账余额核对相符。但是，本环节中，缺乏明细账与供应商对账的企业内部控制，发生错记、漏记负债，或弄虚作假及贪污挪用购货资金等问题的风险增大。同时也检查了与应付账款对应的资产账户，没有发现异常情况。客户订单赊销信用装运凭证/提货单销售发票记录销售销售退回、折扣和折让记录收款业务坏账处理接受订单

销售单批准仓库供货装运货物向顾客开具帐单

一系列凭证或账簿穿行测试示例企业内部控制与实质性审计关系控制测试结果（控制成功%）99%以上95%-99%90%-95%90%以下对系统的最终评价优良一般差企业内部控制可信程度高中低零实质性审计要求的置信程度75%80%90%95%评价识别的控制缺陷（一）评价控制缺陷的严重程度1．控制缺陷的类别如果控制的设计或运行不能使管理层或员工在正常履行职责的过程中及时防止或发现错报，则表明内控存在缺陷。内控存在的缺陷包括设计缺陷和运行缺陷。设计缺陷是指缺少为实现控制目标所必需的控制，或者控制设计不适当、即使正常运行也难以实现控制目标。运行缺陷是指现存设计适当的控制没有按设计意图运行，或执行人员没有获得必要授权或专业胜任能力，无法有效地实施控制。在下列情况之一，企业应当认定内部控制存在设计或运行缺陷：未实现规定的控制目标；未执行规定的控制活动；突破规定的权限；不能及时提供控制运行有效的相关证据。评价识别的控制缺陷内控存在的缺陷，按其严重程度分为重大缺陷（也称实质性漏洞）、重要缺陷和一般缺陷。重大缺陷是内控中存在的、可能导致财务报表重大错报的一项控制缺陷或多项控制缺陷的组合。重要缺陷是内控中存在的、其严重程度不如重大缺陷但足以引起负责监督企业财务报告的人员关注的一项控制缺陷或多项控制缺陷的组合。一般缺陷是内控中存在的、除重大缺陷和重要缺陷之外的控制缺陷。影响会计报表缺陷其他会计信息质量缺陷IT控制缺陷内控重大事故事件缺陷内部控制缺陷非财务报告缺陷（企业内部管理缺陷）财务报告缺陷内控缺陷是指在内控设计和运行方面，已经发生的内控程序不足或产生不足的可能性并影响企业内部控制整体有效性。评价识别的控制缺陷财务报告缺陷非财务报告缺陷填写“内部控制缺陷认定汇总表”实质性漏洞

重要缺陷一般缺陷结果结果一般缺陷一般情况下评价识别的控制缺陷评价识别的控制缺陷2．控制缺陷的严重程度CPA应当评价其注意到的各项控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成内控的重大缺陷。但是，在计划和实施审计工作时，不要求CPA寻找单独或组合起来不构成重大缺陷的控制缺陷。控制缺陷的严重程度取决于：（1）控制缺陷导致账户余额或列报错报的可能性：（2）因一项控制缺陷或多项控制缺陷导致的潜在错报的金额大小。

评价识别的控制缺陷3．评价控制缺陷是否具有导致错报的可能性控制缺陷的严重程度与错报是否发生无关，而取决于控制不能防止或发现错报是否具有可能性。在评价一项控制缺陷或多项控制缺陷的组合是否可能导致账户余额或列报发生错报时，CPA应当考虑的风险因素包括：（1）所涉及的账户、列报及其相关认定的性质；（2）相关资产或负债易于发生损失或舞弊的程度；（3）确定相关金额时所需判断的主观、复杂程度及范围；（4）该项控制与其他控制的相互作用或关系；（5）控制缺陷之间的相互作用；（6）控制缺陷在未来可能产生的影响。评价识别的控制缺陷3．评价控制缺陷是否具有导致错报的可能性评价控制缺陷是否具有导致错报的可能性时，CPA无需将错报发生的概率量化为某特定的百分比或区间。如果多项控制缺陷影响财务报表的同一账户或列报，错报发生的概率就会增加。在存在多项控制缺陷时，即使从单项看不重要，但组合起来可能构成重大缺陷。因此，CPA应当确定，对同一重要账户、列报及其相关认定或内控组成部分产生影响的各项控制缺陷，组合起来是否构成重大缺陷。评价识别的控制缺陷4．评价控制缺陷导致的潜在错报的金额大小在评价因一项控制缺陷或多项控制缺陷的组合导致的潜在错报的金额大小时，CPA应当考虑的因素包括：（1）受控制缺陷影响的财务报表金额或交易总额；（2）在本期或预计的未来期间受控制缺陷影响的账产余额或各类交易涉及的交易量。在评价潜在错报的金额大小时，账户余额或交易总额的最大多报金额通常是已记录的金额，但其最大少报金额可能超过已记录的金额。通常，小金额错报比大金额错报发生的概率更高。评价识别的控制缺陷5．评价替代性控制的影响在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时，CPA应当评价替代性控制的影响。为减弱控制缺陷的不利影响，企业执行的替代性控制应当具有同样的效果，以防止或发现可能发生的重大错报。（二）表明可能存在重大缺陷的迹象下列迹象可能表明内控存在重大缺陷：（1）CPA发现高级管理人员的任何舞弊；（2）企业重述以前公布的财务报表，以反映重大错报的更正情况；（3）CPA发现当期财务报表存在重大错报，而内控在运行过程中未能发现该错报；（4）审计委员会对财务报告及内控的监督无效。如果CPA确定发现的一项控制缺陷或多项控制缺陷的组合将导致审慎的管理人员执行工作时，认为自身无法合理保证按照企业会计准则的规定记录交易，应当将这一项控制缺陷或多项控制缺陷的组合视为存在重大缺陷的迹象。评价识别的控制缺陷完成审计工作形成审计意见获取管理层书面声明沟通相关事项完成审计工作3步骤完成审计工作内容要求（一）形成审计意见评价从各种来源获取的证据，包括对控制的测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷，形成对内控有效性的意见；应当查阅本年度内容涉及内控的内部审计报告或类似报告，并评价这些报告中指出的控制缺陷；增加强调事项段；否定意见；存在范围限制，CPA应当解除业务约定或出具无法表示意见完成审计工作内容要求（二）获取管理层书面声明1、包括：（1）管理层认可其对建立和保持有效的内控负责；（2）管理层己对内控的有效性作出评价，并说明评价运用的控制标准；（3）管理层没有利用CPA在内控审计和财务报表审计中执行的程序及其结果作为管理层自我评价的基础；（4）管理层根据控制标准评价内控有效性得出的结论；（5）管理层已向CPA披露识别出的、内控在设计或运行方面存在的所有缺陷，包括已专门向CPA披露的所有重大缺陷或重要缺陷；（6）导致财务报表发生重大错报的所有舞弊，以及其他不会导致财务报表发生重大错报，但涉及管理层和其他在内控中具有重要作用的员工的所有舞弊：（7）CPA在以前年度审计中识别的且己与审计委员会沟通的重大或重要缺陷是否已经得到解决，以及哪些缺陷尚未得到解决；（8）在企业内控自我评价基准日后，内控是否发生变化，或者是否存在对内控产生重要影响的其他因素，包括管理层针对重大缺陷和重要缺陷采取的所有纠正措施。2、拒绝提供书面声明，或因其他原因未能获取书面声明，CPA应当将其视为审计范围受到限制，解除业务约定或出具无法表示意见内容要求（三）沟通相关事项1．应当以：书面形式与管理层和审计委员会沟通审计过程中识别的所有重大缺陷。书面沟通应当在CPA出具内控审计报告之前进行。如果认为审计委员会对财务报告及其内控的监督无效，CPA应当就这一事项以书面形式与董事会沟通。2．CPA应当考虑其识别的一项控制缺陷或多项控制缺陷的组合是否构成重要缺陷。如果构成重要缺陷，则应当就此以书面形式与审计委员会沟通。3．尽管并不要求CPA执行足以识别所有控制缺陷的程序，但是，CPA应当以书面形式与管理层沟通其在审计过程中识别的内控存在的所有缺陷，并在沟通完成后告知审计委员会。在进行沟通时，CPA无需重复自身、内部审计人员或企业其他人员以前书面沟通过的控制缺陷。4．内控审计不能保证CPA能够发现严重程度低于重大缺陷的所有控制缺陷。因此，CPA不应在审计报告中声明，在审计过程中没有发现严重程度低于重大缺陷的控制缺陷。5．如果发现企业存在或可能存在舞弊或违反法规行为，CPA应当遵守第1141号、1142号准则的规定

完成审计工作内控审计报告（一）总体要求1．CPA应当评价根据审计证据得出的结论，以作为对内控的有效性形成审计意见的基础。2．CPA应当在审计报告中清楚地表达对内控有效性的意见，并对出具的审计报告负责。3．CPA在完成内控审计和财务报表审计后，应当分别对内控和财务报表出具审计报告。当CPA出具的无保留意见的审计报告不附加说明段、强调事项段或任何修饰性用语时，该报告称为标准审计报告。（二）标准内控审计报告要素内控审计报告XX股份有限公司全体股东：我们审计了XX年X月X日XX股份有限公司（以下简称XX公司）的财务报告内部控制。一、企业对内控的责任在企业监事会的监督下，按照《企业内控基本规范》和相关规定，建立健全和有效实施内控，并评价其有效性是企业董事会和经理层的责任。

二、CPA的责任我们的责任是在实施审计工作的基础上对内控的有效性发表审计意见。我们按照《企业内控审计指引》及相关执业准则的要求执行了审计工作。上述有关规定要求我们遵守职业道德守则，计划和实施审计工作，以对企业在所有重大方面是否保持了有效的内部控制获取合理保证。审计工作包括获取对内控的了解，评估重大缺陷存在的风险，并根据风险评估的结果，测试和评价内控设计和运行的有效性。审计工作还包括实施我们认为必要的其他程序。我们相信，我们获取的审计证据是充分、适当的，为发表审计意见提供了基础。

三、内控审计的范围本报告中内控审计的范围，是指企业为了合理保证财务报告及相关信息真实完整而设计和运行的内控，即财务报告内控。内控审计报告四、内控的固有局限性内控具有固有局限性，存在不能防止和发现错报的可能性。此外，由于情况的变化可能导致内控变得不恰当，或对控制政策和程序遵循的程度降低，根据内控审计结果推测未来内控的有效性具有一定风险。

五、内控审计意见我们认为，XX年X月X日，XX公司按照《企业内控基本规范》和相关规定在所有重大方面保持了有效的内控。六、非财务报告内控的缺陷在内控审计过程中，我们发现XX公司的非财务报告内控存在缺陷[描述该缺陷].本段内容不影响对内控发表的审计意见。

七、提及财务报表审计意见的类型我们还按照中国CPA审计准则的规定，审计了XX公司的财务报表[指出财务报表]，并在XX年X月X日出具的审计报告中发表了XX意见[指出意见的类型]。XX会计师事务所中国CPA：XXX（签名并盖章）（盖章）中国CPA：XXX（签名并盖章）中国XX市XX年X月X日内控审计报告审计报告的各种类型与确定标准标准审计报告非标准审计报告无保留意见带强调事项段的无保留意见否定意见审计报告非无保留意见

无法表示意见内控审计报告如果符合下列所有条件，注册会计师应当对内部控制出具无保留意见的审计报告：(1)于特定日期，企业按照《企业内部控制基本规范》、企业内部控制应用指引和企业自身内部控制制度的要求，在所有重大方面保持了有效的内部控制；(2)注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作，在审计过程中未受到限制。当出具无保留意见的审计报告时，注册会计师应当以“我们认为”作为意见段的开头，并使用”在所有重大方面”、”保持了有效的内部控制”等术语。内控审计报告（三）重大缺陷与非标准内控审计报告如果认为内控存在一项或多项重大缺陷，除非审计范围受到限制，否则，CPA应当对内控发表否定意见。CPA出具的否定意见审计报告还应包括下列内容：（1）《企业内控审计指引》对重大缺陷的定义；（2）CPA已识别出的重大缺陷（包括在内控评价报告中描述的由管理层识别的内控重大缺陷），重大缺陷的性质以及重大缺陷在存在期间对企业编制的财务报表产生的实际和潜在影响等具体情况。如果重大缺陷尚未包含在内控评价报告中，CPA应当在审计报告中说明重大缺陷已经识别、但没有包含在内控评价报告中；如果内控评价报告中包含了重大缺陷，但CPA认为这些重大缺陷未能在所有重大方面得到公允反映，CPA应当在审计报告中说明这一结论，并公允表达有关重大缺陷的必要信息；CPA还应当就上述情况以书面形式与审计委员会沟通。如果对内控发表否定意见，CPA应当确定该意见对财务报表审计意见的影响，并在内控审计报告中予以说明。内控审计报告（四）期后事项与非标准内控审计报告在内控审计报告引言段中指出的特定日期之后、审计报告日之前（以下简称期后期间），内控可能发生变化，或出现其他可能对内控产生重要影响的因素，CPA应当向管理层询问是否存在这类变化或影响因素，并按《企业内控审计指引》要求获取管理层关于这类事项的书面声明。内控审计报告内控审计报告（四）期后事项与非标准内控审计报告为获取是否存在可能影响内控有效性、进而影响审计报告的其他信息，CPA应当针对期后期间，询问并检查下列内容：（1）在期后期间出具的内部审计报告或类似报告；（2）其他CPA出具的涉及企业内控缺陷的报告；（3）监管机构发布的涉及企业内控的报告；（4）CPA在执行其他业务中获取的、有关企业内控有效性的信息。内控审计报告（四）期后事项与非标准内控审计报告CPA还应当考虑获取期后期间的其他文件，并参照《中国CPA审计准则第1332号——期后事项》的规定，对其进行检查。如果知悉对企业内控自我评价基准日内控有效性有重大负面影响的期后事项，CPA应当对内控发表否定意见。如果CPA不能确定期后事项对内控有效性的影响，CPA应当出具无法表示意见的审计报告。如果管理层在企业内控评价报告中披露了企业内控自我评价基准日后企业可能采取的纠正措施，CPA应当在审计报告中指明不对其发表意见。CPA可能知悉在企业内控自我评价基准日并不存在、但在期后期间发生的事项。如果这类期后事项对内控有重大影响。CPA应当在审计报告中增加强调事项段，以描述该事项及其影响，或提醒审计报告使用者关注企业内控评价报告中披露的该事项及其影响。在出具内控审计报告之后，如果知悉在审计报告日已存在的、可能对审计意见产生影响的情况，CPA应当参照《中国CPA审计准则第1332号——期后事项》的规定办理。期间责任处理第一时段（资产负债表日～报告日）主动识别拒绝修改（否定意见）第二时段

（报告日～公布日）被动识别同意修改：注意修改审计报告日不同意修改：提交：阻止对外报出，防止信赖报告

未提交：修改审计报告，报告日期第三时段

（公布日后）没有义务识别同意修改：重新出具报告，加强调事项段，报告日期调整不同意修改：防止信赖报告临近下期公布：按照法律法规的规定处理内控审计报告内控审计报告

（五）其他情况与非标准内控审计报告如果存在下列情况之一，CPA应当出具非标准审计报告：（1）企业内控评价报告的表达不完整或不恰当。如果确定企业内控评价报告的表达不完整或不恰当，CPA应当在审计报告中增加强调事项段，说明这一情况并解释得出该结论的理由。如果认为有关内控重大缺陷未能在所有重大方面得到公允反映，CPA应当出具否定意见的审计报告。内控审计报告（五）其他情况与非标准内控审计报告如果存在下列情况之一，CPA应当出具非标准审计报告：（2）审计范围受到限制。CPA只有实施了必要的审计程序，才能对内控的有效性发表意见。如果审计范围受到限制，CPA应当解除业务约定或出具无法表示意见的审计报告。在出具无法表示意见的审