企业内部控制审计

企业内部控制审计2021年10月·北京1精选ppt一、内部控制审计的制度背景

2精选ppt制度背景

Sarbanes-OxleyActof2002，要求发行者管理层对其内部控制进行自我评估，并要求由出具财务报表审计报告的会计师事务所对管理层的自我评估进行独立鉴证并出具报告。年报审计应当与内部控制审计整合进行。(SECTION404)3精选ppt制度背景证监会?首次公开发行股票并上市管理方法?(2006年)“财务与会计一节〞规定，发行人的内部控制在所有重大方面是有效的，并由注册会计师出具了无保存结论的内部控制鉴证报告，是发行条件之一。4精选ppt制度背景?公开发行证券的公司信息披露内容与格式准那么第1号—招股说明书?〔2006)规定，发行人应披露公司管理层对内部控制完整性、合理性及有效性的自我评估意见以及注册会计师对公司内部控制的鉴证意见。注册会计师指出公司内部控制存在缺陷的，应予披露并说明改进措施。5精选ppt制度背景?企业内部控制根本标准?〔2021)规定，执行本标准的上市公司，应当对本公司的内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。6精选ppt制度背景2021年4月26日，财政部发布?企业内部控制审计指引?等配套指引，自2021年1月1日起首先在境内外同时上市的公司施行，自2021年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此根底上，择机在中小板和创业板上市公司施行；同时，鼓励非上市大中型企业提前执行。7精选ppt制度背景执行企业内控标准体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷，应当提示投资者、债权人和其他利益相关者关注。8精选ppt国外内部控制鉴证标准美国AICPA

AT501，适用于非公众公司美国PCAOBNo.5，适用于公众公司9精选ppt国外内部控制鉴证标准加拿大generalassuranceandauditingsection5925InaClarifiedstyleIntroductionObjectiveDefinitionsRequirementsApplicationandotherexplanatorymaterial10精选ppt国外内部控制鉴证标准日本11精选ppt国外内部控制鉴证标准国际审计与鉴证准那么理事会尚无类似工程ISAE3402,AssuranceReportsonaServiceOrganization'sControls12精选ppt我国内部控制鉴证标准?企业内部控制审计指引??企业内部控制审计指引实施意见?13精选ppt我国原有的内部控制鉴证标准2001年中注协发布?内部控制审核指导意见?最大特点是年报审计与内部控制审核独立进行。没有提出自上而下和风险导向的审计思路14精选ppt二、财务报表审计中对内部控制的了解和测试

15精选ppt16精选ppt识别和评估重大错报风险在了解被审计单位及其环境过程中识别风险，并考虑各类交易、账户余额、列报将识别的风险与认定层次可能发生错报的领域相联系考虑识别的风险是否重大考虑识别的风险导致财务报表发生重大错报的可能性17精选ppt应对评估的重大错报风险财务报表层次认定层次18精选ppt财务报表层次重大错报风险的应对向工程组强调在收集和评价审计证据过程中保持职业疑心态度的必要性分派更有经验或具有特殊技能的审计人员，或利用专家的工作提供更多的督导

增加审计程序的不可预测性对拟实施审计程序的性质、时间和范围作出总体修改19精选ppt认定层次重大错报风险的应对根据评估的风险确定拟实施的进一步审计程序的性质、时间和范围20精选ppt进一步审计程序控制测试认定层次实质性程序21精选ppt三、财务报告内部控制审计

22精选ppt〔一〕根本定位

23精选ppt鉴证业务的性质审计/审阅/审核直接报告业务/基于认定的业务24精选ppt审计的目标对特点时点企业财务报告内部控制的有效性发表审计意见，包括：设计有效性〔合理性〕运行有效性25精选ppt内部控制的目标与要素

26精选ppt企业风险管理的目标与要素27精选ppt财务报告内部控制的概念企业为了合理保证财务报告及相关信息真实完整而设计和执行的内部控制，旨在：保存充分、适当的记录，准确、公允地反映企业的交易和事项；合理保证按照企业会计准那么的规定编制财务报表；合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权；合理保证及时防止或发现未经授权的、对财务报表有重大影响的交易和事项。28精选ppt非财务报告内部控制举例?企业内部控制应用指引第7号——采购业务?中的局部非财务报告内部控制企业的采购业务应当集中、防止多头采购，以提高采购业务效率，降低采购本钱，堵塞管理漏洞。〔第五条〕企业应当建立科学的供给商评估和准入制度，确定合格供给商清单，与选定的供给商签订质量保证协议，建议供给商管理信息系统，对供给商提供物资或劳务的质量、价格、交货及时性、供货条件及其资信、经营状况等进行实时管理和综合评价，根据评价结果对供给商进行合理选择和调整。〔第七条〕企业应当根据市场情况和采购方案合理选择采购方式。大宗采购应当采用招标方式，合理确定招投标的范围、标准、实施程序和评标规那么，一般物资或劳务等的采购可以采用询价或定向采购的方式并签订合同协议；小额零星物资或劳务等的采购可以采用直接购置等方式。〔第八条〕企业应当建立采购物资定价机制，采取协议采购、招标采购、谈判采购、询比价采购等多种方式合理确定采购价格，最大限度地减少市场变化对企业采购价格的影响。大宗采购等应当采用招投标方式确定采购价格，其他商品或劳务的采购，应当根据市场行情制定最高采购限价，并对最高采购限价适时调整。〔第九条〕企业应当根据生产建设进度和采购物资特性，选择合理的运输工具和运输方式，办理运输、投保等事宜。〔第十条〕企业应当加强物资采购供给过程的管理，依据采购合同中确定的主要条款跟踪合同履行情况，对可能影响生产或工程进度的异常情况，出具书面报告并及时提出解决方案。〔第十二条第一款〕29精选ppt非财务报告内部控制举例?企业内部控制应用指引第9号——资产管理?中的局部非财务报告内部控制企业应当根据各种存在采购间隔期和当前库存，综合考虑企业生产经营方案、市场供求等因素，充分利用信息系统，合理确定存货采购日期和数量，确保存货处于最正确库存状态。〔第十一条〕企业应当加强房屋、机器设备等各类固定资产的管理，重视固定资产的维护和更新改造，不断提升固定资产的使用效能，积极促进固定资产处于良好状态。企业应当严格执行固定资产日常维修和大修理方案，定期对固定资产进行维护保养，切实消除平安隐患。企业应当强化对生产线等关键设备运转的监控，严格操作流程，实行岗前培训和岗位许可制度，确保设备平安运转。企业应当根据开展战略，充分利用国家有关自主创新政策，加大技改投入，不断促进固定资产升级，淘汰落后设备，切实做到保持本企业固定资产技术的先进性和企业开展的可持续性。30精选ppt时期/时点定位于时点，理由如下：考虑到期中企业改进内部控制的可能审计本钱31精选ppt整合审计定位于整合审计，主要考虑：审计效率审计本钱对客户的负担32精选ppt内部控制审计与管理层自我评估的关系企业内部控制审计报告应当与内部控制评价报告同时对外披露或报送。在企业治理层的监督下，按照?企业内部控制根本标准?和相关规定，设计、实施和维护有效的内部控制，并评价其有效性是企业管理层的责任。按照本指引的要求，在实施审计工作的根底上对内部控制的有效性发表审计意见，是注册会计师的责任。内部控制审计不能减轻企业管理层的责任。注册会计师在内部控制审计或财务报表审计中实施的程序并不是企业内部控制的组成局部。33精选ppt〔二〕审计思路

34精选ppt审计思路风险导向审计自上而下的审计方法35精选ppt风险导向审计其实质在于：以财务报告内部控制重大缺陷风险的识别、评估和应对作为审计工作主线，在风险评估的根底上，将审计资源投放在高风险领域，以提高审计效率和效果。审计风险＝内部控制存在重大缺陷的风险＊检查风险内部控制存在重大缺陷的风险=控制无效的风险＊无效导致重大缺陷的风险量体裁衣、因地制宜审计是风险导向审计的自然引申。36精选ppt风险导向审计风险评估的导向作用确定重要账户确定相关认定确定控制测试的性质、时间安排和范围确定利用他人工作的程度37精选ppt“自上而下〞的工作思路识别、了解和评价企业整体层面控制的设计有效性从财务报表层次识别重大账户识别与每个重大账户相关的认定识别重要的业务流程和主要的交易类别识别流程中错报可能发生的环节识别和测试预防或及时发现错报发生的控制〔业务流程、交易和应用控制层面的控制〕38精选ppt为什么“自上而下〞好处：提高审计效率和效果充分利用企业层面的控制的作用，确定合理的测试范围和策略将一些不重要的账户、披露和认定予以剔除，所谓“不重要〞是指包含能够引起财务报表产生重大错报的错报的可能性很小。防止注册会计师花费不必要的时间和精力了解不重要的业务流程或控制。所谓“不重要〞是指不影响财务报表是否发生重大错报的可能性。将审计资源引向高风险领域注：自上而下的方法不仅用于识别重要账户、列报及其相关认定和拟测试的控制，还用于评估风险以及分配审计资源。39精选ppt企业整体层面的控制企业整体层面控制包括：与控制环境相关的控制；针对管理层凌驾于控制之上的风险而设计的控制；企业的风险评估过程；集中化的处理和控制，包括共享的效劳环境；监控经营成果的控制；监督其他控制的控制，包括内部审计职能、审计委员会的活动及内部控制自我评价；对期末财务报告流程的控制；针对重大经营控制及风险管理实务的政策。40精选ppt与控制环境相关的控制对诚信和道德价值观的沟通与落实。对胜任能力的重视。治理层的参与程度。管理层的理念和经营风格。组织结构。职权与责任的分配。人力资源政策与实务。41精选ppt针对舞弊风险和管理层凌驾内控风险的控制企业为应对这些风险可能采取的控制包括：针对重大的非常规交易的控制，尤其是导致会计处理延迟或异常的交易；针对期末财务报告流程中编制的分录和作出的调整的控制；针对关联方交易的控制；与管理层的重大估计相关的控制；能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制。42精选ppt针对舞弊风险和管理层凌架内控风险的控制培育诚信和道德的价值观审计委员会的监督畅通举报通道会计分录控制43精选ppt企业整体层面控制的作用对其他控制的运行有效性发挥根底作用对其他控制的运行有效性发挥监督作用替代其他控制44精选ppt识别重要账户、列报及其相关认定重要账户、列报如果某账户或列报具有合理可能性包含了一个错报，该错报单独或连同其他错报将对财务报表产生重大影响〔需要同时考虑多报和少报的风险〕，那么该账户或列报为重要账户或列报。判断某账户或列报是否重要，应当依据其固有风险，而不应考虑相关控制的影响。相关认定如果某财务报表认定具有合理可能性包含了一个或多个错报，这个或这些错报将导致财务报表发生重大错报，那么该认定为相关认定。判断某认定是否为相关认定，应当依据其固有风险，而不应考虑相关控制的影响。注：确定相关账户、列报和相关认定是内部控制审计中审计考虑范围决策的‘[重要组成局部。但在财务报表审计中，注册会计师可能针对非重要账户、列报及其相关认定实施实质性程序。45精选ppt识别重要账户、列报及其相关认定

为识别重要账户、列报及其相关认定，注册会计师应当从以下方面评价财务报表工程及附注的错报风险因素：账户的规模和构成；易于发生错报的程度；账户中处理的或列报中反映的交易的业务量、复杂性及同质性；账户或列报的性质；与账户或列报相关的会计处理及报告的复杂程度；账户发生损失的风险；由账户或列报中反映的活动引起重大或有负债的可能性；账户记录中是否涉及关联方交易；账户或列报的特征与前期相比发生的变化。上述判断标准既有定性考虑，也有定量考虑46精选ppt识别重要账户、列报及其相关认定在识别重要账户、列报及其相关认定时，注册会计师还应当确定导致财务报表发生重大错报的潜在错报的可能来源。注册会计师可通过考虑在特定的重要账户或列报中错报可能发生的领域和原因，确定潜在错报的可能来源。在内部控制审计中，注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素，与财务报表审计中考虑的因素相同。因此，在这两种审计中识别的重要账户、列报及其相关认定应当相同。如果某潜在重要账户或列报的各组成局部存在的风险差异较大，企业可能需要采用不同的控制以应对这些风险，注册会计师应当分别予以处理。47精选ppt了解错报的可能来源注册会计师应当实现以下目标，以了解潜在错报的可能来源以选择拟测试的控制：了解与相关认定有关的交易的处理流程，包括这些交易如何生成、批准、处理及记录；验证注册会计师已识别出业务流程中可能发生重大错报〔包括舞弊导致的错报〕的环节；识别管理层用于应对这些潜在错报的控制；识别管理层用于及时防止或发现未经授权的、导致财务报表发生重大错报的资产取得、使用或处置的控制。48精选ppt了解错报的可能来源注册会计师应当亲自执行上述工作，或参照?中国注册会计师审计准那么第1411号——考虑内部审计工作?的规定，对提供直接帮助的人员的工作进行督导。49精选ppt了解错报的可能来源穿行测试通常是完成上述规定的工作的最有效方式。穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程。在执行穿行测试时，注册会计师使用的文件和信息技术应当与企业员工使用的相同。注册会计师在执行穿行测试时，通常需要综合运用询问、观察、检查相关文件及重新执行控制等程序。在执行穿行测试时，针对重要处理程序发生的环节，注册会计师可以询问企业员工对企业规定程序及控制的了解程度。这些试探性提问连同穿行测试中的其他程序，可以帮助注册会计师充分了解业务流程，识别必要控制设计无效或出现缺失的重要环节。试探性提问不应仅限于关注穿行测试所选定的单笔交易，这有助于注册会计师了解业务流程处理的不同类型的重大交易。50精选ppt选择拟测试的控制注册会计师应当评价控制是否足以应对评估的每个相关认定的错报风险，并选择其中对形成评价结论具有重要影响的控制进行测试。对特定的相关认定而言，可能有多项控制应对评估的错报风险；反之，一项控制可能应对评估的多个相关认定的错报风险。注册会计师没有必要测试与某个相关认定有关的所有控制。在确定是否测试某项控制时，注册会计师应当考虑该项控制单独或连同其他控制，是否足以应对评估的某项相关认定的错报风险，而不管该项控制的分类和名称如何。51精选ppt业务流程层面的控制控制活动包括:业绩评价。信息处理。信息系统控制活动的两大类是应用控制和信息技术一般控制。实物控制。实物控制包括以下控制：保证资产的实物平安，包括恰当的平安保护措施，如针对接触资产和记录的平安设施；对接触计算机程序和数据文档设置授权；定期盘点并将盘点记录与控制记录相核对。职责别离。52精选ppt了解业务流程内部控制思路识别重要业务流程识别容易发生错报的环节识别关键的控制活动，并评价控制的设计执行穿行测试万变不离其宗准那么指南权威审计教材53精选ppt业务流程层面的控制企业可将其经营活动划分为几个业务流程：销售与收款循环；采购与付款循环；工薪与人事循环；生产与仓储循环；筹资与投资循环；其他循环54精选ppt〔三〕方案审计工作

55精选ppt审计重要性水平与财务报表审计中确定的审计重要性水平相同，这是整合审计的必须要求56精选ppt对舞弊风险的特别考虑考虑财务报表审计中识别的舞弊风险，包括管理层凌驾于控制之上的风险表达整合审计的要求57精选ppt利用相关人员工作利用内部审计、其他注册会计师等人的工作可以降低审计本钱需评价客观性和专业胜任能力与控制相关的风险对利用他人工作的制约58精选ppt其他考虑被审计单位利用效劳机构多经营场所测试范围确实定59精选ppt多经营场所测试范围确实定当一家企业有多个经营场所或业务单元时，注册会计师应当基于合并财务报表识别重要账户、列报及其相关认定。在识别重要账户、列报及其相关认定后，注册会计师应当对多个经营场所或业务单元的测试范围作出恰当决策。在对多个经营场所或业务单元的测试范围作出决策时，注册会计师应当评估与经营场所或业务单元相关的财务报表发生重大错报的风险，并根据其风险程度给予适当的审计关注。如果某些经营场所或业务单元单独或连同其他经营场所或业务单元不具有合理可能性导致合并财务报表出现重大错报，注册会计师无需进一步考虑这些经营场所或业务单元。60精选ppt多经营场所测试范围确实定在评估和应对风险时，如果某项风险具有合理可能性导致企业合并财务报表发生重大错报，注册会计师应当测试针对该项风险而实施的控制。对风险较低的经营场所或业务单元，注册会计师可以首先评价，测试企业层面控制能否为注册会计师提供充分、适当的证据。如果能提供充分、适当的证据，注册会计师对这些经营场所或业务单元可以仅测试企业层面控制。在确定拟实施测试的经营场所或业务单元时，注册会计师可以考虑利用其他人员代表管理层执行的工作。例如，如果内部审计人员方案对某些经营场所或业务单元执行相关审计工作，注册会计师可以与内部审计人员进行协调，以减少本应由注册会计师测试的经营场所或业务单元的数量。在连续审计中，注册会计师应当改变对经营场所或业务单元的控制实施测试的性质、时间和范围。61精选ppt〔四〕实施审计工作

62精选ppt测试控制的设计有效性注册会计师应当测试控制设计的有效性。如果控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定执行，能够实现控制目标，从而有效地防止或发现可能导致财务报表发生重大错报的错误或舞弊，那么说明控制的设计是有效的。注册会计师在测试控制设计的有效性时，应当综合运用询问适当人员、观察企业经营活动和检查相关文件等程序。注册会计师执行穿行测试通常足以评价控制设计的有效性。63精选ppt测试控制的运行有效性运行有效性的含义如果控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力，那么说明控制的运行是有效的。如果企业利用第三方的帮助完成一些财务报告工作，注册会计师在评价负责企业财务报告及相关控制的人员的专业胜任能力时，应当一并考虑第三方的专业胜任能力。64精选ppt测试控制的运行有效性控制测试的性质，即测试控制运行有效性的程序询问观察检查重新执行65精选ppt风险与测试控制中拟获取证据的关系在测试所选定控制的有效性时，注册会计师应当根据与控制相关的风险，确定所需获取的证据。与控制相关的风险包括控制可能无效的风险和因控制无效而导致重大缺陷的风险。与控制相关的风险越高，注册会计师需要获取的证据就越多。注册会计师应当针对每一相关认定获取控制有效性的证据，以便对内部控制整体的有效性发表意见，但没有责任对单项控制的有效性发表意见。得出控制运行无效的结论通常比得出其运行有效的结论所需证据的数量少。66精选ppt风险与测试控制中拟获取证据的关系以下因素影响与某项控制相关的风险：该项控制拟防止或发现的错报的性质和重要程度；相关账户、列报及其认定的固有风险；交易的数量和性质是否发生变化，进而可能对该项控制设计或运行的有效性产生不利影响；相关账户或列报是否曾经出现错报；企业层面控制〔特别是监督其他控制的控制〕的有效性；该项控制的性质及其执行频率；该项控制对其他控制〔如控制环境或信息技术一般控制〕有效性的依赖程度；执行该项控制或监督该项控制执行的人员的专业胜任能力，以及其中的关键人员是否发生变化；该项控制是人工控制还是自动化控制；该项控制的复杂程度，以及在运行过程中依赖判断的程度。67精选ppt风险与测试控制中拟获取证据的关系注册会计师通过测试控制有效性获取的证据，取决于其实施程序的性质、时间和范围的组合。此外，就单项控制而言，注册会计师应当根据与控制相关的风险对测试程序的性质、时间和范围进行适当的组合，以获取充分、适当的证据。注册会计师实施控制测试的程序，按提供证据的效力，由弱到强排序为：询问、观察、检查、重新执行。询问本身并不能为得出控制是否有效的结论提供充分、适当的证据。控制测试程序的性质在很大程度上取决于拟测试控制的性质。某些控制可能存在反映控制运行有效性的文件记录，而另外一些控制，如管理理念和经营风格，可能没有书面的运行证据。对缺乏正式的控制运行证据的企业或业务单元，注册会计师可以通过询问并结合运用其他程序，如观察活动、检查非正式的书面记录和重新执行某些控制，获取有关控制是否有效的充分、适当的证据。68精选ppt69测试人工控制的最小样本量区间

控制运行频率

控制运行总次数

测试的最小样本量区间

每年1次11每季1次42每月1次122-5每周1次

525-15每天1次25020-40每天多次大于25025-60精选ppt风险与测试控制中拟获取证据的关系在管理层评估日之前，管理层可能为提高控制效率、效果或弥补控制缺陷而改变企业的控制。如果新控制实现了相关控制目标，且运行足够长的时间，注册会计师能够通过对控制进行测试评价其设计和运行的有效性，那么无需测试被取代的控制。如果被取代控制的运行有效性对控制风险的评估有重大影响，注册会计师应当测试被取代控制的设计和运行的有效性。70精选ppt71整改后控制运行的最短期间〔或最少运行次数〕和

最少测试数量控制运行频率

整改后控制运行的最短期间或最少运行次数测试的最数量

每年1次11每季1次2季2每月1次2月2每周1次

5周5每天1次20天20每天多次25次（分布于涵盖多天的期间，通常不少于15天）

25-60精选ppt风险与测试控制中拟获取证据的关系控制测试涵盖的期间越长，提供的控制有效性的证据越多。控制测试实施的时间越接近于管理层评估日，提供的控制有效性的证据越有力。为获取充分、适当的证据，注册会计师应当在以下两个因素之间作出平衡，以确定控制测试的时间：尽量在接近管理层评估日实施控制测试；控制测试需要涵盖足够长的期间。72精选ppt风险与测试控制中拟获取证据的关系注册会计师旨在对截至某特定日期〔通常是年末〕内部控制的有效性出具报告。如果已获取截至期中某日期控制运行有效性的证据，注册会计师应当确定还需要获取哪些补充证据，以证实剩余期间控制的运行情况。在将期中测试的结果更新至年末时，注册会计师应当考虑以下因素以确定需获取的补充证据：基准日之前测试的特定控制，包括与控制相关的风险、控制的性质和测试的结果；期中获取的有关证据的充分、适当性；剩余期间的长短；期中测试之后，内部控制发生重大变化的可能性。73精选ppt风险与测试控制中拟获取证据的关系如果发现控制偏差，注册会计师应当确定其对与所测试控制相关的风险评估、需要获取的证据以及控制运行有效性结论的影响。由于有效的内部控制不能为实现控制目标提供绝对保证，单项控制并非一定要毫无偏差地运行，才被认为是有效的。74精选ppt连续审计时的特殊考虑在连续审计中，注册会计师在确定测试的性质、时间和范围时，应当考虑以前年度执行内部控制审计所了解的情况。除前面所列因素以外，以下因素也会影响连续审计中与某项控制相关的风险：以前年度审计中所实施程序的性质、时间和范围；以前年度对控制的测试结果；上次审计之后，控制或其运行流程是否发生变化。在考虑与控制相关的风险因素，以及连续审计中可获得的进一步信息后，如果认为与控制相关的风险水平比以前年度有所下降，注册会计师在本年度审计中可以减少测试。75精选ppt连续审计时的特殊考虑在连续审计中，由于完全自动化的应用控制通常不会因人为失误而失效，因此，注册会计师可以考虑对自动化应用控制实施对标策略。如果认为程序变更、访问权限及计算机操作方面的一般控制有效，且可持续对其进行测试，并能证实自动化应用控制自最近一次测试之后未发生变化，注册会计师不必重复执行测试，就可以认为自动化应用控制是持续有效的。注册会计师为证实控制未发生变化而需获取证据的性质和范围，可能随情况的变化而变化。例如，企业程序变更控制的强弱将影响需获取证据的性质和范围。自动化应用控制能否一贯有效地运行可能取决于所使用的相关文件、表格、数据和参数的正确性。例如，计算利息收入的自动化应用控制的运行有效性可能取决于计算所使用利率表的正确性。76精选ppt连续审计时的特殊考虑注册会计师应当在评价以下风险因素的根底上，确定是否使用对标策略：应用控制与相关应用程序直接对应的程度；应用系统的稳定性，即各期间的变化大小；有关投入使用的程序的汇编日期报告的可获得性和可靠性〔该信息可作为此程序中的控制未发生变化的证据〕。当上述因素说明风险较低时，对所评价的控制可能比较适合使用对标策略。反之，不宜使用对标策略。当程序发生变化的可能性很小时，例如，在软件商不允许访问或修改源代码时，注册会计师对使用外购软件的企业采取自动化应用控制对标策略尤其有效。77精选ppt连续审计时的特殊考虑在一段时期之后，注册会计师应当重新设置自动化应用控制运行的标杆。在确定何时重设标杆时，注册会计师应当评价以下因素：信息技术控制环境的有效性，包括针对应用及操作系统的取得与维护、访问权限以及计算机操作而实施控制的有效性；如果包含控制的具体程序发生变化，注册会计师对该变化性质的了解；其他相关测试的性质和时间；被设为标杆的应用控制发生错误导致的后果；控制是否易于受到其他可能变化的经营因素的影响。78精选ppt连续审计时的特殊考虑为使控制测试具有不可预见性并能够应对环境的变化，注册会计师应当每年改变控制测试的性质、时间和范围。注册会计师应当每年在期中不同的时段测试控制，并增加或减少所执行测试的数量和种类，或者改变所使用测试程序的组合。79精选ppt〔五〕评价控制缺陷

80精选ppt控制缺陷的含义设计缺陷设计缺陷是指缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。运行缺陷运行缺陷是指现存设计完好的控制没有按设计意图运行，或执行人员没有获得必要授权或缺乏胜任能力以有效地实施控制。〔与会计司指引保持一致〕81精选ppt控制缺陷的严重程度重大缺陷〔materialweakness〕重要缺陷〔significantweakness〕一般缺陷82精选ppt重大缺陷重大缺陷是内部控制中存在的、具有合理可能性导致不能及时防止或发现财务报表出现重大错报的一项控制缺陷或多项控制缺陷的组合。83精选ppt重要缺陷重要缺陷是内部控制中存在的、其严重程度不如重大缺陷但足以引起负责监督企业财务报告的人员关注的一项控制缺陷或多项控制缺陷的组合。84精选ppt一般缺陷一般缺陷是内部控制中存在的、除重大缺陷和重要缺陷之外的缺陷。85精选ppt评价控制缺陷严重程度的标准是否有具有合理可能性不能防止、发现并纠正账户余额或列报中的错报导致错报的金额说明存在重大缺陷的迹象86精选ppt评估可能性考虑的因素在评价一项控制缺陷或多项控制缺陷的组合是否具有合理可能性导致账户余额或列报发生错报时，注册会计师应当考虑的风险因素包括：所涉及的账户、列报及其相关认定的性质；相关资产或负债易于发生损失或舞弊的程度；确定相关金额时所需判断的主观程度、复杂程度及范围；该项控制与其他控制的相互作用或关系；控制缺陷之间的相互作用；控制缺陷在未来可能产生的影响。87精选ppt评估可能性的本卷须知评价控制缺陷是否具有导致错报的合理可能性时，注册会计师无需将错报发生的概率量化为某特定的百分比或区间。如果多项控制缺陷影响财务报表的同一账户余额或列报，错报发生的概率就会增加。在存在多项控制缺陷时，即使从单项看不重要，但组合起来可能构成重大缺陷。因此，注册会计师应当确定，对同一重要账户、列报及其相关认定或内部控制组成局部产生影响的各项控制缺陷，组合起来是否构成重大缺陷。88精选ppt评价错报的金额在评价因一项或多项控制缺陷导致的潜在错报的金额大小时，注册会计师应当考虑的因素包括：受控制缺陷影响的财务报表金额或交易总额；本期或预计未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量。在评价潜在错报的金额大小时，账户余额或交易总额的最大多报金额通常是已记录的金额，但其最大少报金额可能超过已记录的金额。通常，小金额错报比大金额错报发生的概率更高。89精选ppt考虑补偿性控制的作用在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时，注册会计师应当评价补偿性控制的影响。为减弱控制缺陷的不利影响，企业执行的补偿性控制应当有足够的精确度，以防止或发现可能发生的重大错报。90精选ppt说明重大缺陷的迹象注册会计师发现高级管理人员的任何舞弊；企业重述以前公布的财务报表，以反映重大错报的更正情况；注册会计师发现当期财务报表存在重大错报，而企业内部控制未能发现；审计委员会对财务报告及内部控制的监督无效。91精选ppt〔六〕完成审计工作

92精选ppt完成审计工作获取管理层声明沟通缺陷93精选ppt获取管理层声明注册会计师应当向企业管理层获取书面声明。管理层声明的内容应当包括：管理层认可其对建立和保持有效的内部控制负责；管理层已对内部控制的有效性作出评价，并说明评价运用的控制标准；管理层没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作为管理层自我评价的根底；管理层根据控制标准评价内部控制有效性的结论；管理层已向注册会计师披露识别出的、内部控制在设计或运行方面存在的所有缺陷，包括已专门向注册会计师披露的所有重要缺陷或重大缺陷；导致财务报表发生重大错报的所有舞弊，以及其他不会导致财务报表发生重大错报，但涉及管理层和其他在内部控制中具有重要作用的员工的所有舞弊；注册会计师在以前年度审计中识别的且已与审计委员会沟通的控制缺陷是否已经得到解决，以及哪些缺陷尚未得到解决；在审计报告日后，内部控制是否发生变化，或者是否存在对内部控制产生重要影响的其他因素，包括管理层针对重要缺陷和重大缺陷采取的任何纠正措施。94精选ppt沟通缺陷重大缺陷的沟通注册会计师应当以书面形式与管理层和审计委员会沟通审计过程中识别的所有重大缺陷。书面沟通应当在注册会计师出具内部控制审计报告之前进行。如果认为审计委员会对财务报告及其内部控制的监督无效，注册会计师应当就这一事项以书面形式与董事会沟通。95精选ppt沟通缺陷重要缺陷的沟通注册会计师应当考虑其识别的一项控制缺陷或多项控制缺陷的组合是否构成重要缺陷。如果构成重要缺陷，那么应当就此以书面形式与审计委员会沟通。一般缺陷的沟通注册会计师应当以书面形式与管理层沟通其在审计过程中识别的内部控制存在的所有缺陷，并在沟通完成后告知审计委员会。在进行沟通时，注册会计师无需重复自身、内部审计人员或企业其他人员以前书面沟通过的控制缺陷。96精选ppt沟通缺陷沟通的局限性

尽管指引不要求注册会计师执行足以识别所有控制缺陷的程序，但是，注册会计师应当沟通其注意到的内部控制的所有缺陷。

内部控制审计不能保证注册会计师能够发现严重程度低于重大缺陷的所有控制缺陷。注册会计师不应在审计报告中声明，在审计过程中没有发现严重程度低于重大缺陷的控制缺陷。97精选ppt〔七〕出具审计报告

98精选ppt标准审计报告内部控制不存在重大缺陷不存在审计范围受到限制的情况99精选ppt标准内部控制审计报告××股份全体股东：按照?企业内部控制审计指引?及中国注册会计师执业准那么的相关要求，我们审计了××股份〔以下简称××公司〕内部控制的有效性。一、企业对内部控制的责任按照?企业内部控制根本标准?、企业内部控制应用指引的规定，建立健全和有效实施内部控制，并评价其有效性是企业董事会和经其授权的经理层的责任。100精选ppt标准内部控制审计报告二、注册会计师的责任我们的责任是在实施审计工作的根底上，对财务报告内部控制的有效性发表审计意见，并对发现的非财务报告内部控制的重大缺陷进行描述。101精选ppt标准内部控制审计报告

三、内部控制的固有局限性内部控制具有固有局限性，存在不能防止和发现错报的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制审计结果推测未来内部控制的有效性具有一定风险。102精选ppt标准内部控制审计报告四、财务报告内部控制审计意见我们认为，××公司按照?企业内部控制根本标准?和相关规定在所有重大方面保持了有效的财务报告内部控制。103精选ppt标准内部控制审计报告

五、非财务报告内部控制的重大缺陷在内部控制审计过程中，我们注意到××公司的非财务报告内部控制存在重大缺陷[描述该缺陷的性质及其对实现相关控制目标的影响程度]。由于存在上述重大缺陷，我们提醒本报告使用者注意相关风险。需要指出的是，我们并不对××公司的非财务报告内部控制发表意见或提供保证。本段内容不影响对财务报告内部控制有效性发表的审计意见。104精选ppt带强调事项段的审计报告无保存意见是前提强调事项105精选ppt带强调事项段的情形管理层内部控制评价报告的表达不完整或不恰当如果确定管理层评估报告的表达不完整或不恰当，注册会计师应当在审计报告中增加强调事项段，说明这一情况并解释得出该结论的理由。如果重大缺陷尚未包含在管理层内部控制评估报告中，注册会计师应当在审计报告中说明重大缺陷已经识别、但没有包含在管理层内部控制评估报告中。如果管理层评估报告中包含了重大缺陷，但注册会计师认为这些重大缺陷未能在所有重大方面得到公允反映，注册会计师应当在审计报告中说明这一结论，并公允表达有关重大缺陷的必要信息。106精选ppt带强调事项段的情形期后事项注册会计师可能知悉在管理层评估日并不存在、但在期后期间发生的事项。如果这类期后事项对内部控制有重大影响，注册会计师应当在审计报告中增加强调事项段，以描述该事项及其影响，或提醒审计报告使用者关注管理层内部控制评估报告中披露的该事项及其影响。107精选ppt带强调事项段的情形其他信息存在对事实重大错报如果认为其他信息含有对事实的重大错报，注册会计师应当就此与管理层进行讨论。如果讨论后仍认为存在对事实的重大错报，注册会计师应当以书面形式，将其看法告知管理层和审计委员会。108精选ppt带强调事项段内部控制审计报告

以上内容同标准审计报告六、强调事项我们提醒内部控制审计报告使用者关注，〔描述强调事项的性质及其对内部控制的重大影响〕。本段内容不影响已对财务报告内部控制发表的审计意见。109精选ppt否认意见审计报告内部控制存在一项或多项重大缺陷不存在审计范围受到限制的情况110精选ppt否认意见内部控制审计报告以上内容同标准审计报告四、导致否认意见的事项重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。[指出注册会计师已识别出的重大缺陷，并说明重大缺陷的性质及其对财务报告内部控制的影响程度。]有效的内部控制能够为财务报告及相关信息真实完整提供合理保证，而上述重大缺陷使××公司内部控制失去这一功能。111精选ppt否认意见内部控制审计报告五、财务报告内部控制审计意见我们认为，由于存在上述重大缺陷及其对实现控制目标的影响，××公司未能按照?企业内部控制根本标准?和相关规定在所有重大方面保持有效的财务报告内部控制。112精选ppt否认意见内部控制审计报告

六、非财务报告内部控制的重大缺陷

[参见标准内部控制审计报告相关段落表述。]113精选ppt无法表示意见的审计报告审计范围受到限制如果已实施的审计程序识别出内部控制重大缺陷，应当在报告中指明114精选ppt无法表示意见内部控制审计报告××股份全体股东：我们接受委托，对××股份〔以下简称××公司〕的内部控制进行审计。[删除注册会计师的责任段，“一、企业对内部控制的责任〞和“二、内部控制的固有局限性〞参见标准内部控制审计报告相关段落表述。]115精选ppt无法表示意见内部控制审计报告

三、导致无法表示意见的事项

[描述审计范围受到限制的具体情况。]116精选ppt无法表示意见内部控制审计报告

四、财务报告内部控制审计意见由于审计范围受到上述限制，我们未能实施必要的审计程序以获取发表意见所需的充分、适当证据，因此，我们无法对××公司财务报告内部控制的有效性发表意见。117精选ppt无法表示意见内部控制审计报告五、识别的内部控制重大缺陷〔如果有〕重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。尽管我们无法对××公司财务报告内部控制的有效性发表意见，但在我们实施的有限程序的过程中，发现了以下重大缺陷：[指出注册会计师已识别出的重大缺陷，并说明重大缺陷的性质及其对财务报告内部控制的影响程度。]有效的内部控制能够为财务报告及相关信息真实完整提供合理保证，而上述重大缺陷使××公司内部控制失去这一功能。118精选ppt无法表示意见内部控制审计报告

六、非财务报告内部控制的重大缺陷

[参见标准内部控制审计报告相关段落表述。]119精选ppt四、财务报告内部控制审计与财务报表审计的整合

120精选ppt两种审计的联系都必须了解内部控制在某些情况下，都涉及测试内控了解和测试内部控制的方法相同121精选ppt两种审计的区别〔1〕测试范围财务报表审计：在两种情况下必须测试内控，取决于注册会计师采用的审计方案财务报告内控审计：针对所有相关认定的控制。122精选ppt两种审计的区别〔