企業內部控制審計指引
企業內部控制審計指引
《企業內部控制審計指引》是2010年4月15日財政部證監會審計署銀監會保監會出版的一本書籍,作者是會計師事務所。
關於印發企業內部控制配套指引的通知
財會〔2010〕11號
中直管理局,鐵道部、國管局,總後勤部、武警總部,各省、自治區、直轄市、計劃單列市財政廳(局)、審計廳(局),新疆生產建設兵團財務局、審計局,中國證監會各省、自治區、直轄市、計劃單列市監管局,中國證監會上海、深圳專員辦,各保監局、保險公司,各銀監局、政策性銀行、國有商業銀行、股份制商業銀行、郵政儲蓄銀行、資產管理公司,各省級農村信用聯社,銀監會直接管理的信託公司、財務公司、租賃公司,有關中央管理企業:
為了促進企業建立、實施和評價內部控制,規範會計師事務所內部控制審計行為,根據國家有關法律法規和《企業內部控制基本規範》(財會〔2008〕7號),財政部會同證監會、審計署、銀監會、保監會制定了《企業內部控制應用指引第1號——組織架構》等18項應用指引、《企業內部控制評價指引》和《企業內部控制審計指引》(以下簡稱企業內部控制配套指引),現予印發,自2011年1月1日起在境內外同時上市的公司施行,自2012年1月1日起在上海證券交易所、深圳證券交易所主板上市公司施行;在此基礎上,擇機在中小板和創業板上市公司施行。鼓勵非上市大中型企業提前執行。請各上市公司及相關非上市大中型企業切實做好執行前的各項準備工作。
執行《企業內部控制基本規範》及企業內部控制配套指引的上市公司和非上市大中型企業,應當對內部控制的有效性進行自我評價,披露年度自我評價報告,同時應當聘請會計師事務所對財務報告內部控制的有效性進行審計並出具審計報告。上市公司聘請的會計師事務所應當具有證券、期貨業務資格;非上市大中型企業聘請的會計師事務所也可以是不具有證券、期貨業務資格的大中型會計師事務所。
執行中有何問題,請及時反饋我們。
附件:1.企業內部控制應用指引
2.企業內部控制評價指引
3.企業內部控制審計指引
財政部 證監會 審計署 銀監會 保監會
二〇一〇年四月十五日
第一章 總 則
第一條 為了規範註冊會計師執行企業內部控制審計業務,明確工作要求,保證執業質量,根據《企業內部控制基本規範》、《中國註冊會計師鑒證業務基本準則》及相關執業準則,制定本指引。
第二條 本指引所稱內部控制審計,是指會計師事務所接受委託,對特定基準日內部控制設計與運行的有效性進行審計。
第三條 建立健全和有效實施內部控制,評價內部控制的有效性是企業董事會的責任。按照本指引的要求,在實施審計工作的基礎上對內部控制的有效性發表審計意見,是註冊會計師的責任。
第四條 註冊會計師執行內部控制審計工作,應當獲取充分、適當的證據,為發表內部控制審計意見提供合理保證。
註冊會計師應當對財務報告內部控制的有效性發表審計意見,並對內部控制審計過程中注意到的非財務報告內部控制的重大缺陷,在內部控制審計報告中增加“非財務報告內部控制重大缺陷描述段”予以披露。
第五條 註冊會計師可以單獨進行內部控制審計,也可以將內部控制審計與財務報表審計整合進行(以下簡稱整合審計)。
在整合審計中,註冊會計師應當對內部控制設計與運行的有效性進行測試,以同時實現下列目標:
(一)獲取充分、適當的證據,支持其在內部控制審計中對內部控制有效性發表的意見;
(二)獲取充分、適當的證據,支持其在財務報表審計中對控制風險的評估結果。
第二章 計劃審計工作
第六條 註冊會計師應當恰當地計劃內部控制審計工作,配備具有專業勝任能力的項目組,並對助理人員進行適當的督導。
第七條 在計劃審計工作時,註冊會計師應當評價下列事項對內部控制、財務報表以及審計工作的影響:
(一)與企業相關的風險;
(二)相關法律法規和行業概況;
(三)企業組織結構、經營特點和資本結構等相關重要事項;
(四)企業內部控制最近發生變化的程度;
(五)與企業溝通過的內部控制缺陷;
(六)重要性、風險等與確定內部控制重大缺陷相關的因素;
(七)對內部控制有效性的初步判斷;
(八)可獲取的、與內部控制有效性相關的證據的類型和範圍。
第八條 註冊會計師應當以風險評估為基礎,選擇擬測試的控制,確定測試所需收集的證據。
內部控制的特定領域存在重大缺陷的風險越高,給予該領域的審計關注就越多。
第九條 註冊會計師應當對企業內部控制自我評價工作進行評估,判斷是否利用企業內部審計人員、內部控制評價人員和其他相關人員的工作以及可利用的程度,相應減少可能本應由註冊會計師執行的工作。
註冊會計師利用企業內部審計人員、內部控制評價人員和其他相關人員的工作,應當對其專業勝任能力和客觀性進行充分評價。
與某項控制相關的風險越高,可利用程度就越低,註冊會計師應當更多地對該項控制親自進行測試。
註冊會計師應當對發表的審計意見獨立承擔責任,其責任不因為利用企業內部審計人員、內部控制評價人員和其他相關人員的工作而減輕。
第三章 實施審計工作
第十條 註冊會計師應當按照自上而下的方法實施審計工作。自上而下的方法是註冊會計師識別風險、選擇擬測試控制的基本思路。註冊會計師在實施審計工作時,可以將企業層面控制和業務層面控制的測試結合進行。
第十一條 註冊會計師測試企業層面控制,應當把握重要性原則,至少應當關註:
(一)與內部環境相關的控制;
(二)針對董事會、經理層凌駕於控制之上的風險而設計的控制;
(三)企業的風險評估過程;
(四)對內部信息傳遞和財務報告流程的控制;
(五)對控制有效性的內部監督和自我評價。
第十二條 註冊會計師測試業務層面控制,應當把握重要性原則,結合企業實際、企業內部控制各項應用指引的要求和企業層面控制的測試情況,重點對企業生產經營活動中的重要業務與事項的控制進行測試。
註冊會計師應當關注信息系統對內部控制及風險評估的影響。
第十三條 註冊會計師在測試企業層面控制和業務層面控制時,應當評價內部控制是否足以應對舞弊風險。
第十四條 註冊會計師應當測試內部控制設計與運行的有效性。
如果某項控制由擁有必要授權和專業勝任能力的人員按照規定的程序與要求執行,能夠實現控制目標,表明該項控制的設計是有效的。
如果某項控制正在按照設計運行,執行人員擁有必要授權和專業勝任能力,能夠實現控制目標,表明該項控制的運行是有效的。
第十五條 註冊會計師應當根據與內部控制相關的風險,確定擬實施審計程序的性質、時間安排和範圍,獲取充分、適當的證據。與內部控制相關的風險越高,註冊會計師需要獲取的證據應越多。
第十六條 註冊會計師在測試控制設計與運行的有效性時,應當綜合運用詢問適當人員、觀察經營活動、檢查相關文件、穿行測試和重新執行等方法。
詢問本身並不足以提供充分、適當的證據。
第十七條 註冊會計師在確定測試的時間安排時,應當在下列兩個因素之間作出平衡,以獲取充分、適當的證據:
(一)盡量在接近企業內部控制自我評價基準日實施測試;
(二)實施的測試需要涵蓋足夠長的期間。
第十八條 註冊會計師對於內部控制運行偏離設計的情況(即控制偏差),應當確定該偏差對相關風險評估、需要獲取的證據以及控制運行有效性結論的影響。
第十九條 在連續審計中,註冊會計師在確定測試的性質、時間安排和範圍時,應當考慮以前年度執行內部控制審計時了解的情況。
第四章 評價控制缺陷
第二十條 內部控制缺陷按其成因分為設計缺陷和運行缺陷,按其影響程度分為重大缺陷、重要缺陷和一般缺陷。
註冊會計師應當評價其識別的各項內部控制缺陷的嚴重程度,以確定這些缺陷單獨或組合起來,是否構成重大缺陷。
第二十一條 在確定一項內部控制缺陷或多項內部控制缺陷的組合是否構成重大缺陷時,註冊會計師應當評價補償性控制(替代性控制)的影響。企業執行的補償性控制應當具有同樣的效果。
第二十二條 表明內部控制可能存在重大缺陷的跡象,主要包括:
(一)註冊會計師發現董事、監事和高級管理人員舞弊;
(二)企業更正已經公布的財務報表;
(三)註冊會計師發現當期財務報表存在重大錯報,而內部控制在運行過程中未能發現該錯報;
(四)企業審計委員會和內部審計機構對內部控制的監督無效。
第五章 完成審計工作
第二十三條 註冊會計師完成審計工作后,應當取得經企業簽署的書面聲明。書面聲明應當包括下列內容:
(一)企業董事會認可其對建立健全和有效實施內部控制負責;
(二)企業已對內部控制的有效性作出自我評價,並說明評價時採用的標準以及得出的結論;
(三)企業沒有利用註冊會計師執行的審計程序及其結果作為自我評價的基礎;
(四)企業已向註冊會計師披露識別出的所有內部控制缺陷,並單獨披露其中的重大缺陷和重要缺陷;
(五)企業對於註冊會計師在以前年度審計中識別的重大缺陷和重要缺陷,是否已經採取措施予以解決;
(六)企業在內部控制自我評價基準日後,內部控制是否發生重大變化,或者存在對內部控制具有重要影響的其他因素。
第二十四條 企業如果拒絕提供或以其他不當理由迴避書面聲明,註冊會計師應當將其視為審計範圍受到限制,解除業務約定或出具無法表示意見的內部控制審計報告。
第二十五條 註冊會計師應當與企業溝通審計過程中識別的所有控制缺陷。對於其中的重大缺陷和重要缺陷,應當以書面形式與董事會和經理層溝通。
註冊會計師認為審計委員會和內部審計機構對內部控制的監督無效的,應當就此以書面形式直接與董事會和經理層溝通。
書面溝通應當在註冊會計師出具內部控制審計報告之前進行。
第二十六條 註冊會計師應當對獲取的證據進行評價,形成對內部控制有效性的意見。
第六章 出具審計報告
第二十七條 註冊會計師在完成內部控制審計工作后,應當出具內部控制審計報告。標準內部控制審計報告應當包括下列要素:
(一)標題;
(二)收件人;
(三)引言段;
(四)企業對內部控制的責任段;
(五)註冊會計師的責任段;
(六)內部控制固有局限性的說明段;
(七)財務報告內部控制審計意見段;
(八)非財務報告內部控制重大缺陷描述段;
(九)註冊會計師的簽名和蓋章;
(十)會計師事務所的名稱、地址及蓋章;
(十一)報告日期。
第二十八條 符合下列所有條件的,註冊會計師應當對財務報告內部控制出具無保留意見的內部控制審計報告:
(一)企業按照《企業內部控制基本規範》、《企業內部控制應用指引》、《企業內部控制評價指引》以及企業自身內部控制制度的要求,在所有重大方面保持了有效的內部控制;
(二)註冊會計師已經按照《企業內部控制審計指引》的要求計劃和實施審計工作,在審計過程中未受到限制。
第二十九條 註冊會計師認為財務報告內部控制雖不存在重大缺陷,但仍有一項或者多項重大事項需要提請內部控制審計報告使用者注意的,應當在內部控制審計報告中增加強調事項段予以說明。
註冊會計師應當在強調事項段中指明,該段內容僅用於提醒內部控制審計報告使用者關注,並不影響對財務報告內部控制發表的審計意見。
第三十條 註冊會計師認為財務報告內部控制存在一項或多項重大缺陷的,除非審計範圍受到限制,應當對財務報告內部控制發表否定意見。
註冊會計師出具否定意見的內部控制審計報告,還應當包括下列內容:
(一)重大缺陷的定義;
(二)重大缺陷的性質及其對財務報告內部控制的影響程度。
第三十一條 註冊會計師審計範圍受到限制的,應當解除業務約定或出具無法表示意見的內部控制審計報告,並就審計範圍受到限制的情況,以書面形式與董事會進行溝通。
註冊會計師在出具無法表示意見的內部控制審計報告時,應當在內部控制審計報告中指明審計範圍受到限制,無法對內部控制的有效性發表意見。
註冊會計師在已執行的有限程序中發現財務報告內部控制存在重大缺陷的,應當在內部控制審計報告中對重大缺陷做出詳細說明。
第三十二條 註冊會計師對在審計過程中注意到的非財務報告內部控制缺陷,應當區別具體情況予以處理:
(一)註冊會計師認為非財務報告內部控制缺陷為一般缺陷的,應當與企業進行溝通,提醒企業加以改進,但無需在內部控制審計報告中說明;
(二)註冊會計師認為非財務報告內部控制缺陷為重要缺陷的,應當以書面形式與企業董事會和經理層溝通,提醒企業加以改進,但無需在內部控制審計報告中說明;
(三)註冊會計師認為非財務報告內部控制缺陷為重大缺陷的,應當以書面形式與企業董事會和經理層溝通,提醒企業加以改進;同時應當在內部控制審計報告中增加非財務報告內部控制重大缺陷描述段,對重大缺陷的性質及其對實現相關控制目標的影響程度進行披露,提示內部控制審計報告使用者注意相關風險。
第三十三條 在企業內部控制自我評價基準日並不存在、但在該基準日之後至審計報告日之前(以下簡稱期後期間)內部控制可能發生變化,或出現其他可能對內部控制產生重要影響的因素。註冊會計師應當詢問是否存在這類變化或影響因素,並獲取企業關於這些情況的書面聲明。
註冊會計師知悉對企業內部控制自我評價基準日內部控制有效性有重大負面影響的期後事項的,應當對財務報告內部控制發表否定意見。
註冊會計師不能確定期後事項對內部控制有效性的影響程度的,應當出具無法表示意見的內部控制審計報告。
第七章 記錄審計工作
第三十四條 註冊會計師應當按照《中國註冊會計師審計準則第1131號——審計工作底稿》的規定,編製內部控制審計工作底稿,完整記錄審計工作情況。
第三十五條 註冊會計師應當在審計工作底稿中記錄下列內容:
(一)內部控制審計計劃及重大修改情況;
(二)相關風險評估和選擇擬測試的內部控制的主要過程及結果;
(三)測試內部控制設計與運行有效性的程序及結果;
(四)對識別的控制缺陷的評價;
(五)形成的審計結論和意見;
(六)其他重要事項。
附錄:內部控制審計報告的參考格式
1.標準內部控制審計報告
內部控制審計報告
××股份有限公司全體股東:
按照《企業內部控制審計指引》及中國註冊會計師執業準則的相關要求,我們審計了××股份有限公司(以下簡稱××公司)××年×月×日的財務報告內部控制的有效性。
一、企業對內部控制的責任
按照《企業內部控制基本規範》、《企業內部控制應用指引》、《企業內部控制評價指引》的規定,建立健全和有效實施內部控制,並評價其有效性是企業董事會的責任。
二、註冊會計師的責任
我們的責任是在實施審計工作的基礎上,對財務報告內部控制的有效性發表審計意見,並對注意到的非財務報告內部控制的重大缺陷進行披露。
三、內部控制的固有局限性
內部控制具有固有局限性,存在不能防止和發現錯報的可能性。此外,由於情況的變化可能導致內部控制變得不恰當,或對控制政策和程序遵循的程度降低,根據內部控制審計結果推測未來內部控制的有效性具有一定風險。
四、財務報告內部控制審計意見
我們認為,××公司按照《企業內部控制基本規範》和相關規定在所有重大方面保持了有效的財務報告內部控制。
五、非財務報告內部控制的重大缺陷
在內部控制審計過程中,我們注意到××公司的非財務報告內部控制存在重大缺陷[描述該缺陷的性質及其對實現相關控制目標的影響程度]。由於存在上述重大缺陷,我們提醒本報告使用者注意相關風險。需要指出的是,我們並不對××公司的非財務報告內部控制發表意見或提供保證。本段內容不影響對財務報告內部控制有效性發表的審計意見。
××會計師事務所 中國註冊會計師:×××(簽名並蓋章)
(蓋章)中國註冊會計師:×××(簽名並蓋章)
中國××市 ××年×月×日
2. 帶強調事項段的無保留意見內部控制審計報告
內部控制審計報告
××股份有限公司全體股東:
按照《企業內部控制審計指引》及中國註冊會計師執業準則的相關要求,我們審計了××股份有限公司(以下簡稱××公司)××年×月×日的財務報告內部控制的有效性。
[“一、企業對內部控制的責任”至“五、非財務報告內部控制的重大缺陷”參見標準內部控制審計報告相關段落表述。]
六、強調事項
我們提醒內部控制審計報告使用者關注,(描述強調事項的性質及其對內部控制的重大影響)。本段內容不影響已對財務報告內部控制發表的審計意見。
××會計師事務所 中國註冊會計師:×××(簽名並蓋章)
(蓋章)中國註冊會計師:×××(簽名並蓋章)
中國××市 ××年×月×日
3.否定意見內部控制審計報告
內部控制審計報告
××股份有限公司全體股東:
按照《企業內部控制審計指引》及中國註冊會計師執業準則的相關要求,我們審計了××股份有限公司(以下簡稱××公司)××年×月×日的財務報告內部控制的有效性。[“一、企業對內部控制的責任”至“三、內部控制的固有局限性”參見標準內部控制審計報告相關段落表述。]
四、導致否定意見的事項
重大缺陷,是指一個或多個控制缺陷的組合,可能導致企業嚴重偏離控制目標。
[指出註冊會計師已識別出的重大缺陷,並說明重大缺陷的性質及其對財務報告內部控制的影響程度。]
有效的內部控制能夠為財務報告及相關信息的真實完整提供合理保證,而上述重大缺陷使××公司內部控制失去這一功能。
五、財務報告內部控制審計意見
我們認為,由於存在上述重大缺陷及其對實現控制目標的影響,××公司未能按照《企業內部控制基本規範》和相關規定在所有重大方面保持有效的財務報告內部控制。
六、非財務報告內部控制的重大缺陷
[參見標準內部控制審計報告相關段落表述。]
××會計師事務所 中國註冊會計師:×××(簽名並蓋章)
(蓋章)中國註冊會計師:×××(簽名並蓋章)
中國××市 ××年×月×日
4.無法表示意見內部控制審計報告
內部控制審計報告
××股份有限公司全體股東:
我們接受委託,對××股份有限公司(以下簡稱××公司)××年×月×日的財務報告內部控制進行審計。
[刪除註冊會計師的責任段,“一、企業對內部控制的責任”和“二、內部控制的固有局限性”參見標準內部控制審計報告相關段落表述。]
三、導致無法表示意見的事項
[描述審計範圍受到限制的具體情況。]
四、財務報告內部控制審計意見
由於審計範圍受到上述限制,我們未能實施必要的審計程序以獲取發表意見所需的充分、適當證據,因此,我們無法對××公司財務報告內部控制的有效性發表意見。
五、識別的財務報告內部控制重大缺陷(如在審計範圍受到限制前,執行有限程序未能識別出重大缺陷,則應刪除本段)
重大缺陷,是指一個或多個控制缺陷的組合,可能導致企業嚴重偏離控制目標。
儘管我們無法對××公司財務報告內部控制的有效性發表意見,但在我們實施的有限程序的過程中,發現了以下重大缺陷:
[指出註冊會計師已識別出的重大缺陷,並說明重大缺陷的性質及其對財務報告內部控制的影響程度。]
有效的內部控制能夠為財務報告及相關信息的真實完整提供合理保證,而上述重大缺陷使××公司內部控制失去這一功能。
六、非財務報告內部控制的重大缺陷
[參見標準內部控制審計報告相關段落表述。]
××會計師事務所 中國註冊會計師:×××(簽名並蓋章)
(蓋章)中國註冊會計師:×××(簽名並蓋章)
中國××市 ××年×月×日