对企业内部控制审计的探讨.doc

《对企业内部控制审计的探讨.doc》由会员分享，可在线阅读，更多相关《对企业内部控制审计的探讨.doc（37页珍藏版）》请在三一办公上搜索。

1、对企业内部控制审计的探讨摘要建立健全有效的内部控制是组织健康发展的有力保障，而对内部控制进行审计是为了保证些目标的实现。企业内部控制制度是否健全和有效，直接反映这个企业的管理水平和工作效率，内部控制审计是促进组织建立健全和完善内部控制的根本保证。本文通过深入分析内部控制审计内容，以及如何开展内部控制制度审计，对开展内部控制审计进行了探讨和思考，以期加强企业内部控制管理，提高企业经济效益。关键词内部控制； 审计； 内部控制审计On enterprise internal control auditAbstractEstablishes the perfect effective internal

2、 control is the guarantee of the healthy development, and on the internal control audit is to ensure that the goals are achieved. The enterprise internal control system is sound and effective, directly reflects the enterprise the management level and the working efficiency, the internal control audi

3、t is promotes the organization to establish and perfect the internal control basic guarantee. In this paper by analyzing the internal control audit content, and how to carry out the internal control system, to carry out an audit of internal control has carried on the discussion and reflection, with

4、a view to strengthen internal control in enterprise management, improving economic benefit of enterprise.Keywords internal control; audit; Internal control auditing目录摘要IAbstractII第1章 绪论11.1 企业内部控制审计的研究背景及意义11.2 企业内部控制审计的国内外研究现状1第2章 企业内部控制审计概述32.1 内部控制审计相关定义32.1.1 企业内部控制审计与企业内部控制评价32.1.2企业内部控制审计与财务报表

5、审计32.1.3企业内部控制审计与内部控制监管42.2 内部控制审计要求42.2.1选择恰当的审计方式42.2.2正确选择审计对象和审计时间42.2.3把握关键控制点52.2.4选择合适的内部控制评价的标准52.3 内部审计控制要素的要点52.3.1内部环境审计的要点52.3.2风险评估审计的要点72.3.3控制活动审计的要点72.3.4信息与沟通审计的要点82.3.5内部监督审计的要点8第3章 企业内部控制审计步骤及方法103.1 企业内部控制审计步骤103.2 企业内部控制审计方法113.2.1 计划审计工作113.2.2 实施审计工作113.2.3 评价内部控制缺陷123.2.4 完成审

6、计工作133.2.5 出具审计报告14第4章 企业内部控制审计存在的问题及对策154.1 企业内部控制审计存在的问题154.1.1 企业内部控制审计机构建立模式不合理154.1.2 内部控制审计法规体系及管理制度不健全154.1.3 业务的复杂增加了审计风险154.1.4 审计方法落后且对审计的认识不足164.2 针对企业内部控制审计存在的问题提出的对策164.2.1 设置审计委员会和审计部164.2.2 将内部控制审计纳入内部控制建设164.2.3 内审部门协助企业内部控制建设174.2.4 加强审计人员对内部控制的认识174.2.5 加强内部控制审计执业素质17结论19致谢20参考文献21

7、附录A22附录B25千万不要删除行尾的分节符，此行不会被打印。在目录上点右键“更新域”，然后“更新整个目录”。打印前，不要忘记把上面“Abstract”这一行后加一空行第1章 绪论1.1 企业内部控制审计的研究背景及意义 内部控制是防范企业财务报告错误和舞弊行为的第一道防线，它是保证企业财务报告真实、完整的内在机制。美国安然财务舞弊事件发生后，各国监管机构将监管重心从单纯注重财务报告本身的信息质量，转向财务报告本身信息质量与建立健全财务报告信息保证体系并重。 在此背景下，美国国会在2002年颁布的萨班斯奥克斯利法案中，首次提出对“财务报告内部控制”的有效性进行审计的要求。与此相适应，美国公众公

8、司会计监督委员会随后发布审计准则，对会计师事务所执行上市公司财务报告内部控制审计工作进行了规范。同样日本金融商品交易法也要求审计师对企业财务报告进行审计。 顺应国际资本市场监管变革趋势，2008年5月和2010年4月财政部门会同监管会、审计署、银监会和保监会分别发布了企业内部控制基本规范和企业内部控制审计指引等企业内部控制制度，确立了我国企业内部控制审计制度，要求执行内部控制规范的企业，必须聘请会计师事务所对其财务报告内部控制有效性进行审计。其中企业内部控制审计指引自2011年1月1日起在境内外同时上市的公司施行。自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行。 企业内

9、部控制审计制度的确立，改变了企业债上市或再融资时才委托注册会计师对内部控制进行审计的局面，使企业内部控制审计与财务报告审计一样，成为经常性、周期性业务，上市公司每年要与年报一同公布企业内部控制审计报告。 实施企业内部控制审计的意义在于，注册会计师对企业内部控制有效性进行客观、独立的鉴证，不仅能够监督、推动企业将内部控制规范落到实处，促进企业加强内部控制规范建议，提升财务报告风险防范能力，同时也能够进一步提升其业务信息披露的透明度，增强投资者对企业财务信息可靠性的信心，对保护投资者权益和社会公众利益具有重要作用。1.2 企业内部控制审计的国内外研究现状 纵观世界各国，为促使本国企业科学经营、健康

10、发展，他们都对其企业内部控制提出了相关要求，并采取相关的规范举措。至于如何切实推进内部控制审计的实施，并如何保证其作用的有效发挥，世人的认识和做法多有不同。我们对内部控制审计进行了国际比较研究，选择了在内部控制规范制定领域一直走在世界前沿的几个国家和地区，包括美国、日本、欧盟、加拿大和英国，对上述各国及地区出台的内控审计标准进行了比较研究。研究结论表明:美国萨班斯奥克斯利法案404条款和日本金融商品交易法要求审计师对企业管理层对财务报告内部控制的评价进行审计; 欧盟、加拿大、英国未强制要求进行内控审计，但英国等国的上市规则要求审计师对管理层作出的内部控制声明进行形式上的审阅。强制要求进行内部控

11、制审计的国家，如美国和日本，内部控制审计与年度财务报表审计整合进行。其中美国要求由同一家会计师事务所将内部控制审计与财务报表审计整合进行，而日本则不仅如此，要求同一个审计师从计划审计工作、实施审计程序获取审计证据、评价审计证据的充分性和适当性，直到发表审计意见的整个过程中，将两种审计作为一个整体进行。我国企业内部控制基本规范及配套指引的发布，要求执行企业内控规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大

12、缺陷，应当提示投资者、债权人和其他利益相关者关注。 这意味着，企业内部控制审计业务由原来的一次性业务或面向少数企业的业务（A股企业原先仅在IPO时需要，或者赴美国和日本等地上市企业需要，或者金融证券等高风险行业需要），变成了与财务报表审计一样的经常性业务，每年需执行一次。对于执行内部控制审计的会计师事务所来讲，对公司上市前要进行内部控制审计，上市后也要进行内部控制审计。第2章 企业内部控制审计概述2.1 内部控制审计相关定义企业内部控制审计是指会计师事务所接受委托，对特定基准日企业内部控制设计与运行的有效性进行审计。企业内部控制审计是企业内部控制外部评价的重要形式之一。2.1.1 企业内部控制

13、审计与企业内部控制评价 企业内部控制审计属于注册会计师外部评价，企业内部控制评价属于企业董事会自我评价，两者有着本质的区别。首先，两者的责任主体不同，建立健全和有效实施企业内部控制，评价企业内部控制的有效性是企业董事会的责任；在实施审计工作的基础上对企业内部控制的有效性发表审计意见，是注册会计师的责任。其次，两者评价的目标不同。企业内部控制评是企业董事会对各类内部控制目标实施的全面评价；企业内部控制审计是注册会计师侧重对财务报告内部控制目标实施的审计评价。最后，两者的评价结论不同。2.1.2企业内部控制审计与财务报表审计 企业内部控制审计与财务报表审计的目标不同。前者是对被审计单位内部控制设计

14、与运行的有效性进行审计，并重点就财务报告内部控制的有效性发表审计意见；后者是对财务报表是否按照国家统一的会计准则制度的规定编制、是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量发表审计意见。审计目标的不同导致两者在审计程序上也有着较大区别。但由于两者均关注财务报告质量和审计风险，审计过程中形成的审计证据又可以相互支持、相互利用，为此，注册会计师在计划和执行内部控制审计工作时，可以根据实际情况将企业内部控制审计与财务报表审计进行整合，以降低审计成本、提高审计质量。在整合审计中，注册会计师应当对企业内部控制设计与运行的有效性进行测试，以同时实现两类目标：第一,获取充分、适当的证据

15、，支持其在企业内部控制审计中对企业内部控制有效性发表的意见；第二，获取充分、适当的证据，支持其在财务报表审计中对控制风险的评价结果。2.1.3企业内部控制审计与内部控制监管 企业内部控制监管是指政府监管部门根据国家有关法律法规和监管要求，以企业内部控制基本规范及其配套指引为依据，对企业内部控制建立与实施情况进行监督检查和评价。企业内部控制监管与企业内部控制审计作为企业内部控制外部评价的两种主要形式，相互支持，相互促进，共同保障企业内部控制的有效建立与实施。比如，财务部门可以从规范公司治理、健全内部机制、加强会计监督、提高信息质量等角度，对企业内部控制设计与运行的有效性提出监管要求。同时，可以会

16、同国家审计机关对行政事业单位和国有企业使用财政资金过程中的内部控制情况实施监管评价。2.2 内部控制审计要求2.2.1选择恰当的审计方式在一个组织中，内部控制审计对象涉及两个层次。一是内部控制机构所在的组织，直接对象是其缩在组织内的同级部门，如财务部门、销售部门、采购部门等；二是内部审计机构所在组织的下属单位，如分公司等。所以，内部控制审计也呈现出两种方式，一是“同级审”，二是“上审下”。同级审，因为内部审计机构置身于被审计的组织内部，熟悉内部环境，同时，因为其受高管层或其他权力者领导，审计范围在一定程度上受到限制，因此，内部控制审计的终点应该在经营活动层面，不宜开展全面的“五要素”审计，但垂

17、直管理模式下的内部控制审计例外。上审下，内部审计机构相对的独立性较强，适合于对下属单位开展全面的内部控制审计，其审计任务的选择和审计范围确定可以围绕“五要素”展开。当然，综合审计时间、审计资源和审计目标等多种因素，在“上审下”方式下，内部控制审计的重点也可以放在经营活动方面。2.2.2正确选择审计对象和审计时间关于审计时间问题,必须要注意遵循内部审计的独立性和客观性原则,内部审计人员不能参与内部控制制度的设计,所以,内部控制审计应该更多的反映为事后审计,属于结果导向的审计,但如果内部审计人员以咨询者的角色进入的话,可以开展事中咨询和事前咨询,因咨询是内部审计的新功能,从这个意义上来说,事前和过

18、程中咨询,事后确认,是内部控制审计时间的合理选择,但在这样的安排中,必须要注意两个问题:第一，对调整各内部控制业务来说,咨询者不能事后确认,事后审计由其他审计人员来完成;第二，参与咨询不意味着参与内部控制设计和修订，审计人员只能提出建议，决策者决定是否采用，一旦审计人员对内部控制的咨询性建议被采纳，审计人员不能承担经营责任。2.2.3把握关键控制点 第一，节约审计资源，提高审计效率 通过对关键控制点的把握，审计人员就能在极短的时间里了解内部控制状况，突出重点，把有限的审计资源进行充分整合，提高审计的工作效率。 第二，降低审计风险，提高审计质量 通过关键控制点的把握，可以促进审计人员从细枝末节的

19、一般控制点中解脱出来，更加关注影响企业内部控制状况的中大控制缺陷与错漏，从而有针对性的提出审计意见与建议，有利于审计质量的提高。2.2.4选择合适的内部控制评价的标准内部控制标准有一般标准与具评价体标准之分，内部控制评价的一般标准，是指对于内部控制评价的各个方面的标准，即内部控制制度整体运行应遵循和达到的目标；内部控制评价的具体标准是指对于内部控制具体方面的标准，是具体内部控制制度运行应遵循和达到的目标。内部控制评价的具体标准还可分为两个层次：第一层次是内部控制要素评价标准；第二层次是内部控制作业层级评价标准。目前我国尚无统一的一般性标准，没有一般性的标准，对于特殊的意外事项无法评价确定，同时

20、对于企业的具体标准也没有判断优劣、运用与否的依据。内部审计人员在实务中常常需要的是作业层级的具体标准，他一般由企业的高管层设立，但也有部分企业或部分业务没有具体标准，审计人员认为在实务过程中必须联系企业实际，围绕成本效益和企业价值最大化的原则，选择合适的内部控制标准来评价内部控制。2.3 内部审计控制要素的要点内部控制审计的内容主要是围绕内部控制的五大要素来展开，具体为以下几个方面:2.3.1内部环境审计的要点内部环境审计是指对内部控制组成要素基础的审计。主要包括对治理结构、内部机构设置与权责分配、企业文化、人力资源政策、内部审计机制和反舞弊机制五方面内容的审计。审计治理结构、内部机制设置和权

21、责分配情况的审计重点：第一,组织机构内部的设置是否能够适应组织经营管理的实际需要和外部环境的变化，是否符合减少管理层及和提高效能的原则，有无机构重叠和效率低下的情况；第二,组织是否根据经营目标、职能划分和管理要求，明确高管人员、职能部门和分支机构及基层作业单位的职责权限，权利和责任是否分配到具体岗位；第三,组织有无通过有效途径和方式使所有员工了解和掌握内部机构设置及权责分配情况，各层级员工是否明确自己的职责和如何履行自己的职责以及如何正确接受对权责履行的监督；第四,组织有无内部管理制度汇编、职工手册、组织结构图、业务流程图、职务说明书、权责指引等。审计企业文化建设情况的重点审计：第一,组织高管

22、人员是否树立有利于实现组织内部控制目标的管理理念和经管风格，是否强化风险意识并克服个人风险偏好；第二,组织是否分别制定符合不同层级人员的职业操守准则或行为准则，并明确相应的监督约束机制；第三,高管人员是否恪守以诚实守信为核心的职业操守，是否有损害投资者、债权人、客户、员工和社会大众利益的行为，组织有无制定并完善信息披露管理，是否明确规定重大信息披露的判定标准、报告程序及披露程序。审计人力资源政策的制定和执行情况的重点审计：首先,组织有无建立完善的人力资源管理方面的制度，其内容是否包括员工的辞退与培训；员工的薪酬、考核、晋升与奖惩，财会等关键岗位员工轮岗制度要求，对掌握重要商业秘密和核心技术等关

23、键岗位员工离岗的限制性规定等。其次,组织是否将职业道德和专业胜任能力作为选拔和聘用员工的重要标准，是否关注应聘人员的价值取向和行为特征是否与本组织的企业文化和内控要求相适应。审计内部审计机制的设立情况的重点审计：首先,组织设立的审计委员会成员是否具备良好的职业操守和专业胜任能力，审计委员会主席是否由符合规定的人选担任，审计委员会及其成员是否具有相对的独立性。其次,审计委员会在内部控制的建立和实施中是否全面履行了职责。第三,设有专门的内部审计机构的组织，是否能保证内部审计机构的相对独立性，是否配备有相适应的人员和给与一定的工作条件，未设立内部审计机构的组织，是否由董事会授权或者由企业章程规定的有

24、关部门履行内部审计的职责；内部审计机构是否单独设立，是否与财务机构合署办公或在财务机构领导下工作；内部审计机构及其审计范围是否受到人为的限制；内部审计人员是否具备内审人员的从业资格，是否拥有与工作职责相匹配的道德操守和专业胜任能力。审计反舞弊机制的设立与执行情况的重点审计：第一,组织有无建立健全反舞弊机制。第二,组织有无根据自身的经营范围、业务流程和其他情况明确反舞弊的重点领域、关键环节和主要内容。第三,组织有无建立和完善投诉、举报管理制度，是否设置有舞弊举报热线，是否明确投诉、举报处理程序和办理流程等。内部环境审计的主要资料依据有：国家有关法律法规、企业章程、各项管理制度汇编、员工手册、结构

25、图、业务流程图、权限指引、统计资料、会议记录、工作日志及各种宣传、规划、决策、合同、投诉、诉讼、表彰、惩罚处理资料。2.3.2风险评估审计的要点风险评估是企业系统分析、及时识别实现内部控制目标与经营活动中相关的风险，合理确定风险应对策略。风险识别审计要点：首先,组织是否在充分调研和科学分析的基础上，准确识别内部风险因素和外部风险因素。其次,是否采取了有效方法识别风险，如召开座谈会、问卷调查、案例分析等风险分析审计要点：第一,是否从因果两个方面去分析风险发生的可能性和影响程度。第二,所采用的定量、定性分析标准和方法是否科学合理。第三,是否根据风险分析的结果，运用专业判断，按照风险发生可能性的大小

26、及其对企业影响的严重程度进行风险排序。风险应对策略审计要点：是否区别不同情况采取风险回避、风险程担、风险降低、风险分担等风险应对策略。风险评估审计方法由于其特殊性，审计人员还应当对风险与控制明细表、风险与控制工作清单及组组织风险数据库等进行检查。2.3.3控制活动审计的要点控制活动是企业采用相应的控制措施来应对风险评估结果，将风险控制在可承受度之内。控制活动审计主要包括应对职责分工、授权、审核批准、预算、财产保护、会计系统、内部报告、经济活动分析、绩效考评、信息技术等控制措施审计。会计系统控制的审计要点：第一,会计制度中是否明确会计凭证、会计账簿和财务报告以及相关信息披露的处理程序。第二,会计

27、制度中是否规范了会计政策的选用标准和审批程序。第三,会计制度是否规定了会计档案保管和会计工作交接办法。第四,会计制度中是否规范了会计岗位责任制、会计监督职责，以确保会计信息及财务报告的真实、可靠和完整。内部报告控制的审计要点：首先,组织有无建立和完善内部报告制度，以明确相关信息的收集、分析、报告和处理程序。其次,能否及时提供业务活动中所需的主要信息，能否全面反映经济活动情况，以增强内部管理时效性和针对性。信息系统控制的审计要点：首先,组织是否结合实际需要和计算机信息技术应用程度建立本单位的信息化控制流程，以提高业务处理效率，减少或消除认为因素。其次,组织是否加强对计算机信息系统开发与维护、访问

28、与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，以保证信息系统安全及有效运用。2.3.4信息与沟通审计的要点信息与沟通是企业为确保信息在企业内部、企业与外部之间进行能够有效沟通，而及时、准确地收集、传递与内部控制相关的信息。信息与沟通审计，主要是查明组织所建立的信息收集系统和信息沟通渠道，能否确保与影响内部控制及其他要素有关的信息有效沟通，促进决策层、管理层和全体员工正确履行相应的职能，其主要内容包括信息收集审计和信息沟通审计。信息收集与加工审计要点：首先,组织能否准确识别、全面收集来源于单位外部及内部的财务及非财务信息，为内部控制的有效运行提供信息支持。其次,组织是否通过会计资

29、料、经营管理资料、调查研究报告、会议记录纪要、专项信息反馈、内部报刊网络等渠道和方式获取所需的内部会计信息、生产经营信息、资本运营信息、人员变动信息、技术创新信息、综合管理信息等。信息沟通审计要点：第一,所沟通的信息是否通过筛选和核对，以保证其真实、可靠和适当，不至于产生负面影响。第二,员工是否知道自己的工作目标、工作任务和控制责任，是否正确履行。第三,当管理层收到外界对单位的不良反应或投诉时，是否积极的采取追查的行动，并把追查结果及时告知反映或投诉的单位或个人。第四,组织是否建立有开放性与外界沟通的渠道，是否建立有收集回馈资讯的机制，回馈资讯是否能及时、准确的传达给有关内部人员。2.3.5内

30、部监督审计的要点内部监督审计主要是查明组织所采用的对内部控制制度监督检查方式方法的合理性和有效性。主要包括持续性监督检查审计、专项监督检查审计、缺失报道和追查行动审计。持续性监督检查审计要点：首先,审计委员会、内部审计机构或者实际履行内部控制监督检查职责的其他有关机构是否根据国家法律法规要求和组织授权，采取适当的程序和方法，对内部控制的建立与实施情况进行监督检查，形成检查结论并以此出具检查报告。其次,履行监督检查职责的机构是否加强了队伍职业道德建设和业务能力建设。专项监督检查审计要点：第一,专项监督检查的内容是否属于应该检查的内容，其检查的深度、广度是否适当。第二,专项监督检查的程序是否适当，

31、检查人员是否认真了解被检查活动，或者深入了解该项活动应该如何运作，是否将实际运作与应该如何运作进行比较，并分析其差异。第三,是否拥有必要的评估资料，是否详细记录了检查过程和结果。缺失的报道审计要点：第一,已发现的内部控制缺失是否进行汇总并报道。第二,报道的方式方法是否适当，或直接告诉职工或其上级，或向更高层次的主管和董事会报告等。第三,是否调查了发生问题的原因，是否针对缺失采取了更正措施，是否对更正行为进行了追查。第3章 企业内部控制审计步骤及方法3.1 企业内部控制审计步骤如何对内部控制进行审计，涉及到内部控制审计的思路。是借鉴传统财务报表审计方法，还是借鉴现代风险导向审计方法，需要作出取舍

32、。经过研究国外现行的做法，结合我国实施的风险导向审计思路，决定采用自上而下的审计方法。指引规定，注册会计师应当按照自上而下的方法实施审计工作。在财务报告内部控制审计中，自上而下的方法始于财务报表层次，以注册会计师对财务报告内部控制整体风险的了解开始，然后，注册会计师将关注重点放在企业层面的控制上，并将工作逐渐下移至重大账户、列报及相关的认定。在非财务报告内控审计中，自上而下的方法始于企业层面控制，并将审计测试工作逐步下移到业务层面控制。自上而下的审计方法，是一项全新的审计思路，可以大大提高审计的效率和效果。自上而下的方法描述了注册会计师在识别风险以及拟测试的控制时的连续思维过程，但并不一定是注

33、册会计师执行审计程序的顺序。 首先，从财务报表层次初步了解可能导致财务报表发生错报的风险，以及从整体上了解企业财务报告内部控制风险。从关注可能造成财务报表错报的风险开始，分析这些风险事项和领域，然后针对这些事项和领域以及对企业内部控制整体风险的了解，进一步确认相关的关键流程和控制。第二，通过了解企业与财务报告相关的整体风险，可以识别出为保持有效的财务报告内部控制而必需的企业层面内部控制。此外，由于对企业层面内部控制的评价结果将影响注册会计师测试其他控制的性质、时间安排和范围，因此，注册会计师可以考虑在执行业务的早期阶段对企业层面内部控制进行评价。第三，识别重要账户、列报及其相关认定。判断某账户

34、或列报是否为重要账户或列报或者某认定是否为相关认定，应当依据其固有风险，而不应首先考虑相关控制的影响。 第四，在识别重要账户、列报及其相关认定时，还需要确定对财务报表产生重大影响的潜在错报的可能来源。注册会计师可以通过考虑在特定的重要账户或列报中错报可能发生的领域和原因，确定潜在错报的可能来源。 第五，选择拟测试的控制。注册会计师需要评价控制是否足以应对评估的每个相关认定的错报风险，并选择其中对形成审计结论具有重要影响的控制进行测试。是否选择某项控制进行测试取决于该项控制单独或合并起来是否足以应对相关认定的错报风险。3.2 企业内部控制审计方法3.2.1 计划审计工作注册会计师需恰当地计划企业

35、内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。整合审计中项目组人员的配备比较关键。在计划审计工作时，项目合伙人需要统筹考虑审计工作，挑选相关领域的人员组成项目组，同时对项目组成员进行培训和督导，以合理安排审计工作。计划审计工作时，注册会计师应当评价有关事项对企业内部控制及其审计工作的影响：第一,与企业相关的风险；第二,相关法律法规和行业概况；第三,企业组织结构、经营特点和资本结构等相关重要事项；第四,企业内部控制最近发生变化的程度；第五,与企业沟通过的企业内部控制缺陷；第六,重要性、风险等与确定企业内部控制重大缺陷相关的因素；第七,对企业内部控制有效性的初步判断；

36、第八,可获取的、与企业内部控制有效性相关的证据的类型和范围。3.2.2 实施审计工作注册会计师按照自上而下的方法实施审计工作，将企业层面控制和业务层面控制的测试结合进行。第一，测试企业层面控制。注册会计师测试企业层面的控制，在把握重要性原则的基础上，一般关注：与企业内部环境相关的控制；针对董事会、经理层凌驾于控制之上的风险而设计的控制；企业的风险评估过程；对内部信息传递和财务报告流程的控制；对控制有效性的内部监督和自我评价。第二，测试业务层面控制。注册会计师测试业务层面的控制，在把握重要性原则的基础上，结合企业实际、内部控制相关法律法规要求和企业层面控制的测试情况，重点对企业生产经营活动中的重

37、要业务与事项的控制进行测试。注册会计师需关注信息系统对内部控制及风险评估的影响。第三，测试与舞弊风险相关的控制。注册会计师在测试企业层面控制和业务层面控制时，应评价内部控制是否足以应对舞弊风险。舞弊风险因素是指注册会计师在了解被审计单位及其内部环境时识别的、可能表明存在舞弊动机、压力或机会的事项或情况，以及被审计单位对可能存在的舞弊行为的合理化解释。与舞弊风险相关的控制通常包括：针对重大的非常规交易的控制；针对关联方交易的控制；与管理层的重大会计政策和会计评估相关的控制；针对期末财务报告中编制的分录和做出的调整的控制；能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制等。注册会计师应当根

38、据舞弊风险评估结果，对上述控制实施有针对性的测试。第四，测试内部控制设计与运行的有效性。如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行，能够实现控制目标，表明该项控制的设计是有效的；如果某项控制正在按照设计运行，执行人员拥有必要授权和专业胜任能力，能够实现控制目标，表明该项控制的运行是有效的。第五，获取企业内部控制有效设计与运行的证据。注册会计师在测试企业内部控制设计与运行的有效性时，可综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法，获取充分、适当的证据以支持审计结论。与内部控制相关的风险越高，注册会计师需要获取的证据越多。为确保证据的充分性

39、和适当性，注册会计师通常需对测试时间安排进行权衡，既要尽量在接近企业内部控制自我评价基准日实施测试，又要保证实施的测试能够涵盖足够长的期间。注册会计师对于内部控制运行偏高设计的（即控制偏差），应确定该偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。在连续审计中，注册会计师有必要考虑以前年度执行企业内部控制审计时了解的情况，以合理确定测试的性质、时间安排和范围。3.2.3 评价内部控制缺陷注册会计师对企业内部控制缺陷的分类和认定标准与企业内部控制自我评价中内部控制缺陷的分类和认定标准类似，相对而言，注册会计师更关注财务报告内部控制缺陷的认定。注册会计师在对内部控制设计与运行的有效

40、性进行测试的基础上，需评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷并影响其审计结论。在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时，注册会计师还应评价补偿性控制（替代性控制）的影响。 内部控制缺陷包括设计缺陷和运行缺陷。设计缺陷是指缺少为实现控制目标所必需的控制，或者现有控制设计不适当，即使正常运行也难以实现控制目标。运行缺陷是指设计适当的控制没有按设计意图运行，或者执行人员缺乏必要授权或专业胜任能力，无法有效实施控制。 内部控制存在的缺陷，按严重程度分为重大缺陷、重要缺陷和一般缺陷。重大缺陷，是指一个或多个控制缺陷的组合，可能导致企

41、业严重偏离控制目标。具体到财务报告内部控制上，就是内部控制中存在的、可能导致不能及时防止或发现并纠正财务报表重大错报的一个或多个控制缺陷的组合。重要缺陷，是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺陷，但仍有可能导致企业偏离控制目标。具体就是内部控制中存在的、其严重程度不如重大缺陷、但足以引起企业财务报告监督人员关注的一个或多个控制缺陷的组合。一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。注册会计师需要评价其注意到的各项控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷。但是，在计划和实施审计工作时，不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷

42、。控制缺陷的严重程度与账户余额或列报是否发生错报无必然对应关系，而取决于控制缺陷是否可能导致错报。评价控制缺陷时，注册会计师需要根据财务报表审计中确定的重要性水平，支持对财务报告控制缺陷重要性的评价。注册会计师需要运用职业判断，考虑并衡量定量和定性因素。同时要对整个思考判断过程进行记录，尤其是详细记录关键判断和得出结论的理由。而且，对于“可能性”和“重大错报”的判断，在评价控制缺陷严重性的记录中，注册会计师需要给予明确地考量和陈述。3.2.4 完成审计工作 注册会计师完成审计工作后，需取得经企业签署的书面声明。如果企业拒绝提供或以其他不当理由回避书面声明，注册会计师需要将其视为审计范围受到限制

43、，解除业务约定或出具无法表示意见的内部控制审计报告。同时，注册会计师需要评价，企业拒绝提供书面声明对其他声明（包括在财务报表审计中获取的声明）的可靠性产生的影响。注册会计师应与企业沟通审计过程中识别的所有控制缺陷，重大缺陷和重要缺陷须以书面形式与董事会和经理层沟通。注册会计师认为企业审计委员会和内部审计机构对内部控制监督无效的，应以书面形式直接与董事会和经理层沟通。书面沟通需在注册会计师出具内部控制审计报告之前进行。 虽然并不要求注册会计师执行足以识别所有控制缺陷的程序，但是，注册会计师需要沟通其注意到的内部控制的所有缺陷。如果发现企业存在或可能存在舞弊或违反法规行为，注册会计师需要按照中国注

44、册会计师审计准则第1141号财务报表审计中对舞弊的考虑、中国注册会计师审计准则第1142号财务报表审计中对法律法规的考虑的规定，确定并履行自身的责任。注册会计师对获取的证据进行评价，形成对内部控制有效性的意见出具审计报告。3.2.5 出具审计报告标准内部控制审计报告包括下列要素：标题；收件人；引言段；企业对内部控制的责任段；注册会计师的责任段；内部控制固有局限的说明段；财务报告内部控制审计意见段；非财务报告内部控制重大缺陷描述段；注册会计师的签名和盖章；会计师事务所的名称、地址及盖章；报告日期。审计意见类型包括以下几种类型：第一,无保留审计意见。发表无保留审计意见必须同时符合两个条件：企业按照

45、内部控制有关法律法规以及企业内部控制制度要求，在所有重大方面建立并实施有效的内部控制；注册会计师按照有关内部控制审计准则的要求计划和实施审计工作，在审计过程中未受到限制。第二,带强调段的无保留意见。注册会计师认为财务报告内部控制虽不存在重大缺陷，但仍有一项或者多项重大事项需要提请审计报告使用者注意的，应在审计报告中增加强调事项段予以说明，该段内容仅用于提醒内部控制审计报告使用者关注，并不影响对财务报告内部控制发表的审计意见。第三,否定意见。注册会计师认为财务报告内部控制存在一项或多项重大缺陷的，除非审计范围受到限制，应对财务报告内部控制发表否定意见。注册会计师出具否定意见的内部控制审计报告中需

46、包括重大缺陷的定义、重大缺陷的性质及其对财务报告内部控制的影响程度等内容。第四,无法表示意见。注册会计师审计范围受到限制的，应当解除业务约定或出具无法表示意见的内部控制审计报告，在报告中指明审计范围受到限制，无法对内部控制的有效性发表意见。注册会计师在已执行的有效程序中发现内部控制存在重大缺陷的，应当在“无法表示意见”的审计报告中对已发现的重大缺陷作出详细说明。期后事项是指在企业内部控制评价基准日并不存在，但在该基准日之后至审计报告日之前内部控制可能发生变化，或出现其他可能对内部控制产生重要影响的因素。注册会计师应当询问是否存在这类变化或影响因素，并获取企业关于这些情况的书面声明。注册会计师知

47、悉对企业内部控制评价基准日财务报告内部控制有效性有重大负面影响的期后事项的，应对财务报告内部控制发表否定意见。注册会计师不能确定期后事项对内部控制有效性的影响程度的，应当出具无法表示意见的审计报告。第4章 企业内部控制审计存在的问题及对策4.1 企业内部控制审计存在的问题我国由于实行市场经济时间不长，企业刚刚认识到内部控制审计的重要性，对内部控制审计的研究和实践正处于摸索阶段，内控审计思想散见于各部门、各组织的相关文件中，呈现出比较混乱的局面。4.1.1 企业内部控制审计机构建立模式不合理九十年代之后，企业为了加强自身管理的需要，其内部控制审计机构在隶属领导层次上有两种模式: 一种模式是受董事

48、会或监事会领导；另一种模式是受总经理领导。这两种模式在一定程度上增强了内部控制审计机构的独立性和权威性。前者使内部控制审计以相对独立的身份受董事会或监事会之托对经营者的业绩进行监督，但会造成经营者对内部控制审计的误解，从而不同程度引发审计风险；后者作为总经理参谋和助手，为单位实现经营目标服务，但是在审计过程中，不可避免地受本单位利益的限制，涉足企业经营活动有关的风险，特别是当面对领导参与或法人违纪时，内部控制审计往往无能为力，从而引发审计风险。4.1.2 内部控制审计法规体系及管理制度不健全法律法规体系不健全，依法治审不力。国家审计和社会审计分别有审计法和注册会计师法作为法律依据，而目前内部控制审计只有审计署令第 4 号发布的审计署关于内部审计工作的规定，国务院有关部门及地方人民政府制定的与内部审计有