企业内部控制审计工作底稿编制指南（2011）-计划审计工作-【小竹财税平台】

计划审计工作对于注册会计师顺利完成审计工作和控制审计风险具有非常重要的意义。合理地计划内部控制审计工作，有助于注册会计师关注重点审计领域、及时发现和解决潜在问题、恰当地组织和管理审计工作。充分的审计计划既可以帮助注册会计师对项目组成员进行恰当地分工、指导、监督和复核，又有助于协调组成部分注册会计师和外部专家的工作。在计划内部控制审计工作时，注册会计师需要开展初步业务活动、制定总体审计策略和具体审计计划。在此过程中，注册会计师需要作出很多关键决策，包括确定重要性水平、确定执行业务所需资源的性质、时间安排和范围等。在整合审计中，内部控制审计计划应当与财务报表审计计划相结合。

第一节初步业务活动

一、初步业务活动的目的和内容

在计划内部控制审计工作前，注册会计师需要开展初步业务活动，以实现下列目的：

（1）确保项目组具备执行内部控制审计业务所需的独立性和专业胜任能力；

（2）不存在因管理层诚信问题而可能影响注册会计师接受或保持该项内部控制审计业务的意愿的事项；

（3）内部控制审计的前提条件已得到满足；

（4）注册会计师与被审计单位之间不存在对业务约定条款的误解。

针对上述目的，注册会计师在本期内部控制审计业务开始前应当开展下列初步业务活动：

（1）针对客户关系和具体审计业务的接受或保持实施相应的质量控制程序；

（2）评价会计师事务所和项目组遵守相关职业道德要求的情况；

（3）确定内部控制审计的前提条件是否得到满足；

（4）就内部控制审计业务约定条款与被审计单位管理层达成一致意见，并单独签订内部控制审计业务约定书；

（5）根据项目需要，挑选合适的人员，建立项目组。

二、内部控制审计的前提条件

内部控制审计的前提条件得到满足，是注册会计师承接或保持一项内部控制审计业务的必要前提。如果内部控制审计的前提条件未得到满足，注册会计师通常不应承接拟议的内部控制审计业务。在确定内部控制审计的前提条件是否得到满足时，注册会计师应当：

（1）确定被审计单位采用的内部控制标准是否适当；

（2）就被审计单位认可并理解其责任与管理层和治理层达成一致意见。

被审计单位应当认可并理解的责任包括：

（1）按照适用的内部控制标准，设计、执行和维护有效的内部控制，以使财务报表不存在由于舞弊或错误导致的重大错报；

（2）按照适用的内部控制评价标准对内部控制进行评价并编制内部控制评价报告；

（3）向注册会计师提供必要的工作条件，包括允许注册会计师接触与内部控制的设计、执行和维护相关的所有信息（如运行记录、授权文件等），向注册会计师提供内部控制审计所需要的其他信息，允许注册会计师在获取审计证据时不受限制地接触其认为必要的人员。

三、内部控制审计业务约定书

如果决定接受或保持内部控制审计业务，注册会计师应当就审计业务约定条款与管理层达成一致意见，并签订单独的内部控制审计业务约定书，以记录该审计业务约定条款，避免双方对审计业务的理解产生分歧。

内部控制审计业务约定书至少应当包括下列内容：

（1）内部控制审计的目标和范围；

（2）注册会计师的责任；

（3）被审计单位的责任；

（4）指出被审计单位采用的内部控制标准；

（5）提及注册会计师拟出具的内部控制审计报告的形式和内容，以及对在特定情况下出具的内部控制审计报告可能不同于预期形式和内容的说明；

（6）审计收费。

内部控制审计业务约定书的格式和内容可能因被审计单位和业务的具体情况而异，如果需要，内部控制审计业务约定书还可以包括其他条款，例如：

（1）详细说明内部控制审计工作的范围，包括提及适用的法律法规、内部控制审计标准；

（2）说明由于内部控制的固有局限性，存在不能防止和发现错报的可能性，以及由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序的遵循程度降低，根据内部控制审计结果推测未来内部控制的有效性具有一定风险；

（3）计划和执行内部控制审计工作的安排，包括项目组的构成；

（4）企业确认将提供必要的书面声明； ‘

（5）管理层同意告知注册会计师在被审计单位评价基准日之后至审计报告日之前内部控制是否发生变化，或出现可能对内部控制产生重要影响的其他因素；

（6）对审计涉及的其他人员（包括被审计单位的内部审计人员、其他人员以及在管理层或治理层指导下的第三方）工作的安排。

附录1-1提供了内部控制审计业务约定书的参考格式。注册会计师可根据业务的具体情况作出必要修改。

四、项目组的建立

在进行初步业务活动时，项目合伙人需要统筹考虑审计工作，挑选相关领域的人员组成项目组，同时组织对项目组成员进行培训，以合理安排内部控制审计工作。项目组成员应当符合以下要求：

（1）具有执行性质和复杂程度类似的内部控制审计业务的经验；

（2）了解企业内部控制相关规范和指引要求；

（3）了解《企业内部控制审计指引》、《企业内部控制审计指引实施意见》和中国注册会计师执业准则的相关要求；

（4）拥有与企业所处行业相关的知识；

（5）具有职业判断能力。

此外，注册会计师需要对开展审计工作中需要、但当前项目组成员不具备的技能作出评估，并针对此情况制定计划以获取相关资源。例如，当项目组成员不具备与企业信息系统环境相关的知识技能时，注册会计师需要获得信息技术专业人员的协助以测试与信息系统相关的内部控制。

第二节计划审计工作时应当考虑的事项

在计划审计工作时，注册会计师应当评价下列事项对财务报告内部控制、财务报表及审计工作的影响。

一、与企业相关的风险

在计划审计工作时，注册会计师通常通过询问被审计单位的高级管理人员、考虑宏观形势对企业的影响并结合以往的审计经验，了解企业在经营活动中面临的各种风险，并重点关注那些对财务报表可能产生重要影响的风险以及这些风险当年的变化。

例如，在国家货币政策趋于紧缩的形势下，企业可能较以前年度难于获得银行的贷款而普遍面l临资金短缺的压力，如果被审计单位的应收账款余额较高且当年逾期应收账款有明显的上升时，被审计单位的坏账风险很可能高于往年。这时，注册会计师需要考虑应收账款坏账风险将导致认定层次重大错报风险。在财务报表审计中，由于对应收账款坏账准备的判断较为主观，审计风险较高，通常注册会计师不拟依赖被审计单位在这一领域的控制，而在审计计划阶段决定直接通过实质性方案应对这一重大错报风险。然而，在整合审计中，在审计计划阶段注册会计师既需要关注应收账款的坏账准备这一重要账户，又需要关注被审计单位销售与收款这一重大流程中与计提应收账款坏账准备相关的内部控制，将其设定为内部控制审计的一个关键控制。如果被审计单位对于应收账款坏账准备没有制定标准的计提和批准流程，也没有定期与销售部门一起讨论应收账款的催款情况，而是在财务报表结账的时候完全由财务负责人主观判断且没有相应支持性文件，在此情况下，被审计单位很可能存在应收账款坏账准备的内部控制重大缺陷而影响被审计单位财务报告内部控制有效性的整体结论。

因此，了解企业面临的风险可以帮助注册会计师识别重大错报风险，继而帮助识别重要账户、列报和相关认定以及识别重大业务流程，对内部控制审计的重大风险形成初步评价。

二、相关法律法规和行业概况

注册会计师应当了解与被审计单位业务相关的法律法规及被审计单位遵守这些法律法规的情况。在整合审计中，注册会计师应当重点关注可能直接影响财务报表金额与披露的法律法规，如税法、高度监管行业的监管法规（如适用）等。同时，注册会计师通过询问董事会、管理人员和相关部门人员以及检查被审计单位与监管部门的往来函件，关注被审计单位的违反法规情况，考虑违反法规行为可能导致的罚款、诉讼及其他可能对财务报表产生重大影响的事件。

另外，注册会计师应当了解行业因素以确定其对被审计单位经营环境的影响。例如，注册会计师应考虑：

（1）被审计单位的竞争环境，如市场容量、市场份额、竞争优势、季节性因素等；

（2）被审计单位与客户及供应商的关系，如信用条件、销售渠道、是否为关联方等；

（3）技术的发展，如与企业产品、能源供应及成本有关的技术发展。

三、企业组织结构、经营特点和资本结构等相关重要事项

注册会计师应当了解被审计单位的股权结构、企业的实际控制人及关联方；企业的子公司、合营公司、联营公司以及财务报表合并范围；企业的组织机构、治理结构；业务及区域的分部设置和管理架构；企业的负债结构和主要条款，包括资产负债表外的筹资安排和租赁安排等。注册会计师了解企业的这些情况，以便评价企业是否存在重大的、可能引起财务报表重大错报的非常规业务和关联方交易，是否构成财务报表重大错报风险，以及相关的内部控制是否可能存在重大缺陷。

若企业存在多个组成部分（如事业部、子公司、独立核算的分支机构等），注册会计师需要考虑各个组成部分从规模和风险角度对集团的重要性，并在此基础上制定相应的审计策略。有关集团内部控制审计的特殊考虑，请参见本章第八节。

四、企业内部控制最近发生变化的程度

注册会计师应当了解被审计单位本期内部控制发生的变化以及变化的程度，从而相应地调整审计计划。这些变化包括新增的业务流程、原有业务流程的变更、内部控制执行人的变更等。企业内部控制的变化将会直接影响到注册会计师内部控制审计程序的性质、时间安排和范围。例如，针对企业新增业务的重大业务流程，注册会计师应当安排有经验的审计人员了解该业务流程，并在审计工作的前期识别该流程相关控制，以便尽早与企业沟通该流程中的相关控制是否可能存在的设计方面的重大缺陷。

五、与企业沟通过的内部控制缺陷

注册会计师应当了解被审计单位对以前年度审计中发现的内部控制缺陷所采取的整改措施及整改结果，并相应调整本年的内部控制审计计划。如果以前年度发现的内部控制缺陷未得到有效整改，则注册会计师需要评价这些缺陷对当期的内部控制审计意见的影响。

注册会计师应当阅读企业当期的内部审计报告，评价内部审计报告中披露的控制缺陷是否与内部控制审计相关并考虑其对内部控制审计程序和审计意见的影响。对于在内部审计报告中提及的可能导致财务报表发生重大错报的内部控制缺陷，注册会计师应当将其记录在内部控制缺陷汇总表中，关注企业相应的整改计划和实施情况，并评价其对内部控制审计意见的影响。

六、重要性、风险等与确定内部控制重大缺陷相关的因素

在审计计划阶段，注册会计师应当对与确定内部控制重大缺陷相关的重要性、风险及其他因素进行初步判断。

有关重要性的讨论，请参见本章第六节。

对于已识别的风险，注册会计师应当评价其对财务报表和内部控制的影响程度。注册会计师应当更多地关注内部控制审计的高风险领域，而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。

通常，对企业整体风险的评估和把握由富有经验的项目组成员完成。风险评估结果的变化将体现在具体审计步骤及关注点的变化中。

七、对内部控制有效性的初步判断

注册会计师综合上述考虑以及借鉴以前年度的审计经验，形成对企业内部控制有效性的初步判断。

对于内部控制可能存在重大缺陷的领域，注册会计师应给予充分的关注，具体表现在：对相关的内部控制亲自进行测试而非利用他人工作；在接近内部控制评价基准日的时间测试内部控制；选择更多的组成部分进行测试；增加相关内部控制的测试范围等。

八、可获取的、与内部控制有效性相关的证据的类型和范围

注册会计师应当了解可获取的、与内部控制有效性相关的证据的类型和范围。例如，第三方证据还是内部证据，书面证据还是口头证据，所获取的证据可以覆盖所有测试领域还是仅能覆盖部分领域。注册会计师应当根据《中国注册会计师审计准则第130l号——审计证据》对可获取的审计证据的充分性和适当性进行评价以更好地计划内部控制测试的性质、时间安排和范围。内部控制的特定领域存在重大缺陷的风险越高，注册会计师所需要获取的审计证据的客观性、可靠性越强。

此外，注册会计师需要了解信息系统在企业中的作用，信息系统的复杂性及对审计的影响，确定是否需要邀请信息技术审计专家加入项目组。注册会计师应当根据企业对信息系统的依赖程度，确定信息系统对重大错报风险及审计策略的影响。

第三节风险评估

风险导向审计思路是风险管理思想在审计上的运用。风险的识别、评估和应对是风险管理思想的核心内容。将这一思想具体运用到财务报告内部控制审计中，就要求注册会计师将财务报告内部控制重大缺陷风险的识别、评估和应对作为审计工作主线，在风险评估的基础上，将审计资源投放在高风险领域，以提高审计效率和效果。

一、风险评估的基础作用

在财务报告内部控制审计中，审计风险模型可表述为：审计风险=内部控制存在重大缺陷的风险×检查风险。其中，审计风险，是指被审计单位财务报告内部控制存在重大缺陷时，注册会计师发表不恰当审计意见的可能性；内部控制存在重大缺陷的风险，是指被审计单位财务报告内部控制在审计前存在重大缺陷的可能性；检查风险，是指如果被审计单位财务报告内部控制存在重大缺陷，注册会计师实施审计程序后未能发现的可能性。内部控制存在重大缺陷的风险又可以进一步细分为控制无效的风险和无效导致重大缺陷的风险。《企业内部控制审计指引》及其实施意见特别强调了风险导向审计思想，突出了风险评估的基础作用和对审计资源配置的导向作用。内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多。

首先，风险评估结果是确定重要账户列报及其相关认定的依据。对于重要账户、列报及其相关认定，注册会计师需要将其纳入审计考虑的范围；对于不重要账户、列报及其不相关认定，注册会计师在审计时可将其剔除。本指南第二章第二节对如何识别重要账户、列报及其相关认定进行阐述。

其次，风险评估是选择拟测试的控制的依据。注册会计师应当以风险评估为基础，选择拟测试的控制。注册会计师应当更多地关注高风险领域，而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。

第三，风险评估是确定针对特定控制所需测试的性质、时间安排和范围的依据。注册会计师应当根据与内部控制相关的风险，确定拟实施审计程序的性质、时间安排和范围，获取充分、适当的证据。审计程序的性质具体是指询问、观察、检查和重新执行等；审计程序的时间安排既包括测试内部控制所针对的期间（时间），也包括何时实施控制测试；审计程序的范围主要指测试的样本量。与内部控制相关的风险越高，注册会计师需要获取的证据应越多，可靠性要求越高。

第四，风险评估结果是确定在多大程度上利用被审计单位自我评价工作的依据。为避免重复劳动，《企业内部控制审计指引》鼓励注册会计师利用被审计单位的自我评价工作。与某项控制相关的风险越高，被审计单位内部审计人员、内部控制评价人员和其他相关人员的工作的可利用程度就越低，注册会计师应当更多地对该项控制亲自进行测试。

最后，当被审计单位具有多个组成部分时，风险评估结果还是确定测试范围的依据。如果某些组成部分单独或连同其他组成部分导致合并财务报表出现重大错报的可能性极小，注册会计师无需进一步考虑这些组成部分。对风险较低的组成部分，注册会计师可以首先评价、测试企业层面控制能否提供充分、适当的证据。如果能提供充分、适当的证据，注册会计师对这些组成部分可以仅测试企业层面控制。如果某项风险导致企业合并财务报表发生重大错报的可能性不是极小，注册会计师应当测试针对该项风险而实施的控制。

二、风险评估程序

在财务报表审计中，注册会计师采用风险导向审计模式，需要首先实施风险评估程序，识别和评估财务报表层次和认定层次的重大错报风险。在此基础上，分别予以应对。

在财务报告内部控制审计中，采用的也是风险导向审计的模式，注册会计师需要首先识别内部控制存在重大缺陷的风险，然后有针对性地应对。内部控制是否存在重大缺陷，说到底，是指财务报告内部控制是否足以应对财务报表层次和认定层次的重大错报风险，包括舞弊引起的重大错报风险。

因此，无论对财务报表审计而言，还是对财务报告内部控制审计而言，在了解被审计单位情况的基础上识别和评估财务报表层次和认定层次的重大错报风险是两种审计共同的起点。可以说，两者对风险的评估方法和结果应当相同。《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》对注册会计师实施风险评估程序进行了规范，这里不再赘述。

在整合审计中，注册会计师实施的风险评估程序应当同时为内部控制审计和财务报表审计服务。针对审计各个阶段识别出的风险，注册会计师都应当考虑该风险导致财务报表重大错报和财务报告内部控制重大缺陷的可能性。

风险评估程序应当在审计工作的各个方面和各个阶段予以综合考虑，贯穿整个审计工作的始终，而不是仅作为确定审计工作范围的一个步骤。在审计过程中，注册会计师应当随时根据内部控制审计和财务报表审计过程中获取的信息调整拟执行的审计程序。

在整合审计中，风险评估部分工作底稿可以共享。关于这部分工作底稿，可参见《财务报表审计工作底稿编制指南》中“了解被审计单位及其环境”部分。

第四节应对舞弊风险

《企业内部控制审计指引》第十三条规定，注册会计师在测试企业层面控制和业务流程、应用系统或交易层面的控制时，应当评价内部控制是否足以应对舞弊风险。

在整合审计中计划和实施内部控制审计工作时，注册会计师应当考虑财务报表审计中对舞弊风险的评估结果。在识别并测试企业层面控制以及选择其他控制进行测试时，注册会计师应当评价被审计单位的控制是否足以应对已识别的、由于舞弊导致的重大错报风险，并评价为应对管理层凌驾于控制之上的风险而设计的控制。

被审计单位为应对这些风险可能采取的控制包括：

（1）针对重大的非常规交易的控制，尤其是针对导致会计处理延迟或异常的交易的控制；

（2）针对期末财务报告流程中编制的分录和作出的调整的控制；

（3）针对关联方交易的控制；

（4）与管理层的重大估计相关的控制；

（5）能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制。

为应对管理层凌驾于控制之上的风险而设计的控制，对任何被审计单位都是重要的。在小型被审计单位，由于高级管理层更多参与控制活动的实施和期末财务报告过程，因此，为应对管理层凌驾于控制之上的风险而设计的控制显得尤为重要。在小型被审计单位，为应对管理层凌驾于控制之上的风险而设计的控制可能与较大或较复杂的被审计单位不同。

如果在内部控制审计中识别出旨在防止或发现舞弊的控制存在缺陷，注册会计师应当考虑该缺陷可能对拟实施审计程序的性质、时间安排和范围产生的影响，并按照《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》的规定，在财务报表审计中制定应对重大错报风险的方案时考虑这些缺陷。

第五节利用他人的工作

作为控制监督要素的组成部分，被审计单位需要对内部控制有效性进行日常监督和专项监督。前者包括内部审计人员的例行检查等，后者包括被审计单位每年进行的内部控制评价工作。执行内部控制监督工作的人员包括管理层、内部审计人员或在管理层或审计委员会指导下工作的其他第三方，以下简称他人。他人的工作与注册会计师的审计工作在技术方法上有共通之处，在工作成果上可资借鉴。在内部控制审计中，注册会计师应当结合对他人的胜任能力和客观性，以及对与控制相关的风险的考虑，在最大可能限度内利用其工作，以提高审计效率。因此，注册会计师应当评价在多大程度上利用他人的工作以减少本应由注册会计师执行的工作。

一、对专业胜任能力和客观性的考虑

（一）专业胜任能力和客观性对可利用他人工作程度的影响

注册会计师依赖他人工作的程度，取决于执行工作人员的专业胜任能力和客观性。图1-1演示了他人的角色和注册会计师可能从其工作中获取的审计证据的关系。

如果被审计单位人员对执行内部控制负责或对所测试信息的完整性和准确性负责，注册会计师不应利用这些人员执行的测试工作，因为其不具有足够的客观性。相反，如果执行测试的人员不对控制的执行或测试信息的完整性和准确性负责，则注册会计师可以考虑利用其工作。

被审计单位内部负责监督、稽核或合规工作的人员，如内部审计人员，通常拥有较高的专业胜任能力和客观性。注册会计师可以考虑更多地利用这些人员的相关工作。此外，向注册会计师提供直接帮助的人员，其工作也比支持管理层测试工作的人员更有利用价值。

在整合审计的内部控制测试中，注册会计师不应利用负有会计和财务报表编制职责人员的工作，包括负有执行和监督企业财务报告内部控制的特别职责的人员（如首席财务官、公司主管或其他管理层成员）的工作。

表1-1为注册会计师根据他人的专业胜任能力和客观性评价可利用其工作的程度提供指引。

表1-1 他人工作可利用程度评价表

表1-1将所要利用其工作的人员的专业胜任能力和客观性的评价由高到低分别划分为高、中、低三个档次。评估结果和利用该人员的工作程度的关系如下：

（1）拟利用其工作的人员的专业胜任能力和客观性越强，注册会计师就能越多地利用其工作。

（2）无论人员的专业胜任能力如何，注册会计师都不应当利用客观程度较低的人员的工作；同样，无论人员的客观程度如何，注册会计师都不应当利用专业胜任能力较低的人员的工作。

（二）对利用内部审计人员工作的特殊考虑

1．评价内部审计人员的专业胜任能力

在评价内部审计人员的专业胜任能力时，注册会计师不仅要考虑其是否具备职业资格，还要评价其工作。在计划审计工作阶段，注册会计师需要对内部审计人员的专业胜任能力进行初步评估，评估时可以考虑下列因素：

（1）被审计单位雇佣、晋升以及选派内部审计人员的标准和程序；

（2）内部审计人员的职业资格（包括专业证书）、教育水平和与其职责相关的专业经验；

（3）内部审计人员接受培训的深度和广度，包括参加正式课程和研讨会的频率、在职培训的性质和相关工作领域的实践经验；

（4）是否存在衡量内部审计人员工作表现的标准，被审计单位对内部审计人员工作表现的考核评价；

（5）内部审计的计划及程序，包括内部审计人员对重要事项的关注、对以前年度审计结果的考虑以及在内部审计人员的检查下被审计单位经营和发展情况；

（6）被审计单位对内部审计进行监督的人员对内部审计人员的监督和检查的程度和适当性，包括监督人员对审计计划和程序、工作进度监控以及内部审计工作结果和报告审阅的参与程度；

（7）内部审计人员工作底稿的完整性和质量，包括支持工作结论的文档的完整性及质量，以及是否出具工作报告或整改建议。

通过向管理层和内部审计人员询问、利用以前与内部审计人员的接触和共同工作的体会、审阅员工档案、审阅内部审计人员工作底稿和报告的充分性和技术方面的准确性、与其探讨审计方法和问题以及检查内部审计人员的建议是否被采纳等方式获得。

2．评价内部审计人员的客观性

注册会计师一般应在审计计划阶段考虑或更新对内部审计人员客观性的评价，评价时可以从以下方面来考虑：

（1）内部审计人员直接汇报对象的级别，以及此人是否独立于被审计的活动；

（2）内部审计人员直接汇报对象是否具备足够高的地位以保证内部审计覆盖足够的审计范围并且能够对内部审计人员发现的问题和建议给予充分的考虑和实施；

（3）内部审计人员能够接近最高管理层和董事会的程度，被审计单位高级管理人员和董事会对内部审计活动的参与程度，董事会或审计委员会对内部审计人员的雇佣决定的影响程度；

（4）内部审计人员审核被审计单位运营的权力以及该权力履行的程度；

（5）内部审计人员相对被审计单位经营活动而言的独立性（如果内部审计人员在运营方面作出决定或处理之后将要进行审计，内部审计人员的判断将不够客观）；

（6）内部审计人员对测试对象保持客观性的政策规定；

（7）防止内部审计人员对与自已有关联关系的人员担任的重要或对内都控制敏感的职位进行审计或执行控制测试的政策规定；

（8）防止内部审计人员对其近期所从事或将要被指派由其负责内部控制领域进行审计的政策规定；

（9）内部审计人员报告所有重大审计发现并作出适当的整改方案的能力。

虽然内部审计人员不能独立于被审计单位，但是他们仍然可能公正、客观地履行他们的职责。决定内部审计人员客观性的一个重要因素是他们能否独立于被审计单位行使其职能。此外，内部审计人员的客观性也可能受到与被审计对象私人关系的影响，注册会计师需要予以瞀惕。

3．利用内部审计人员的工作成果无论是否计划利用内部审计人员的工作成果，注册会计师都应当在计划审计工作时查阅内部审计发现的问题，以：

（1）识别内部控制的重大变化；

（2）提供特定控制整改或弱化的证据；

（3）识别新的交易；

（4）提供信息以验证注册会计师对企业内部控制的评估，包括对内都审计职能本身的评估。

审阅内部审计所发现问题还可协助注册会计师判断内部审计人员的工作是否与注册会计师拟执行的内部控制审计相关，从而帮助注册会计师决定是否利用内部审计人员的工作成果。

表1-2举例说明了在什么情况下注册会计师可以利用内部审计人员的工作或接受他们的直接协助。总体而言，内部审计人员工作的客观性越高，注册会计师就越有可能利用内部审计人员的工作或接受内部审计人员的直接协助。

表1-2 在审计的不同方面是否能够利用内部审计人员的工作示例表

二、风险对利用他人工作程度的影响

注册会计师利用他人工作的程度还受到与被测试控制相关的风险的影响。图1-2演示了与被测试控制相关的风险和注册会计师利用内部审计人员或其他人员测试工作成果的程度之间的关系：

随着与审计领域相关的风险的增加，注册会计师需要更多地依赖自己的工作。在执行财务报告内部控制审计时，注册会计师通常可以更大程度地利用那些专业胜任能力和客观性强并且所测试的控制更加客观（如常规交易和相对简单的非常规交易）的人员的工作。对于重大会计估计等比较主观或者涉及领域比较广泛的控制，注册会计师也可以利用专业胜任能力和客观性强的人员的工作，但是通常会限于较小的程度。在确定其他人员的工作是否可以利时，注册会计师应当运用职业判断。与某项控制相关的风险越高，注册会计师应当越多地亲自对该项控制进行测试。

此外，无论其他人员实施的测试的性质是询问、观察、检查还是重新执行，注册会计师在就内部控制设计和执行的有效性获取审计证据时都可以利用他们的工作。然而，其他人员测试的性质不同，从利用其工作中获取证据的数量也不同。

三、管理层内部控制评价与注册会计师内部控制审计之间的关系

注册会计师应当了解被审计单位管理层对内部控制的自我评价工作，以了解被审计单位内部控制、实施风险评估程序并确定利用他人工作的范围。

管理层自我评价过程的质量，尤其是执行自我评价工作的人员的专业胜任能力和客性，对注册会计师确定能够在多大程度上利用他人的工作以及注册会计师需要执行的工作起着重要的作用。正因为如此，注册会计师执行的财务报告内部控制审计工作与管理层内部控制评价工作相互配合显得非常重要。

建立健全有效的内部控制是被审计单位的责任。通常来说，管理层对内部控制有效性的自我评价工作需要在注册会计师开始内部控制审计工作之前启动，且最好保证内部控制设计缺陷以及内部控制运行缺陷尽早整改完毕，以预留足够长的平稳运行期。

一般而言，注册会计师在每个年度的较早时期就要同管理层就内部控制自我评价工作进行沟通，包括自我评价工作的进度安排、具体自我评价的工作范围、工作方法、样本选取的方法及数量，并获取必要的管理层自我评价文档。上述步骤及文档的获取主要帮助注册会计师确定其进行内部控制审计的时间安排，以及注册会计师在多大程度上可以利用被审计单位的内部控制评价工作。如果管理层就内部控制自我评价工作定期召开会议，注册会计师可以要求参加会议以及时了解内部控制自我评价工作的实际进展以及前期遇到的问题。

注册会计师在执行内部控制审计时，需要对内部控制自我评价人员的专业胜任能力和客观性进行判断，并根据被审计单位的业务特点以及注册会计师的职业判断，结合参考表1-1中的因素，确定在多大程度上可以利用自我评价工作。

值得强调的是，注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。

第六节重要性

与财务报表审计相同，在计划内部控制审计工作时，注册会计师同样应当确定重要性，以识别重要账户、列报及其相关认定、重大业务流程，并根据所识别的控制缺陷对财务报表的影响程度对缺陷进行评价。

在计划内部控制审计工作时，注册会计师应当使用与财务报表审计相同的重要性水平。

第七节对被审计单位使用服务机构的考虑

在内部控制审计中，如果服务机构提供的服务和对服务的控制，构成被审计单位与财务报告相关的信息系统（包括相关业务流程）的一部分，注册会计师应当参照《中国注册会计师审计准则第1241号——对被审计单位使用服务机构的考虑》的规定执行。

注册会计师应当实施与服务机构活动相关的下列程序：

（1）了解服务机构中与内部控制相关的控制以及针对服务机构活动所实施的控制；

（2）获取相关控制运行有效性的证据。

注册会计师可通过以下程序获取相关控制运行有效性的证据，程序包括：

（1）了解服务机构注册会计师对服务机构内部控制有效性出具的报告或与控制测试相关的商定程序报告；

（2）测试被审计单位对服务机构活动的控制；

（3）对服务机构实施控制测试。

如果可以获取服务机构注册会计师对服务机构内部控制有效性出具的报告，注册会计应当评价该报告是否提供了充分、适当的证据，以支持注册会计师的意见。

在评价时，注册会计师应当考虑下列因素：

（1）对控制的测试涵盖的期间及其与基准日的关系；

（2）对控制的测试涵盖的范围、测试的控制及其与企业控制的关联度；

（3）对控制的测试结果，以及服务机构注册会计师对控制运行有效性发表的意见。

如果服务机构注册会计师对服务机构内部控制有效性出具的报告有所保留，即只有当被审计单位实行了服务机构在设计服务时假定将由被审计单位实施的控制时才能达到所列示的控制目标，在这种情况下，注册会计师应当评价被审计单位是否实施了这些必要的互补性程序。

在确定服务机构注册会计师的报告是否为支持注册会计师的意见提供充分、适当的证据时，注册会计师应当评价服务机构注册会计师的声誉、专业胜任能力和独立性。

如果服务机构注册会计师的报告中对控制的测试涵盖的期间与管理层评估日之间有较长的时间间隔，注册会计师应当实施补充程序。

注册会计师应当询问管理层，以确定管理层是否识别出在服务机构注册会计师报告涵盖期间之后服务机构内部控制发生的任何变化。

注册会计师应当基于管理层或注册会计师实施的程序和结果，以及对下列风险因素的评价，确定是否需要就服务机构控制的运行有效性获取额外的证据：

（1）在服务机构注册会计师的报告中控制的测试涵盖的期间与基准日之间的时间间隔；

（2）服务机构活动对被审计单位的重要程度；

（3）服务机构流程是否存在识别出的错误；

（4）管理层或注册会计师识别出服务机构内部控制发生的变化的性质和重要程度。

风险越高，注册会计师越需要获取额外的证据。

如果注册会计师认为需要就服务机构控制的有效性获取额外证据，可能需要实施的额外程序包括：

（1）评价被审计单位管理层实施的程序以及实施程序的结果；

（2）通过被审计单位与服务机构沟通，获取明确的信息；

（3）要求一名服务机构注册会计师参与实施审计程序，以提供必要的信息；

（4）实地访问服务机构，实施所设计的程序。

注册会计师在对被审计单位内部控制的有效性发表意见时，不应在内部控制审计报告中提及服务机构注册会计师的报告。

第八节关于集团审计的特殊考虑

一、识别重要账户、列报及其相关认定

在执行集团内部控制审计业务时，注册会计师应当基于集团财务报表识别重要账户、列报及其相关认定。

二、确定对组成部分执行的工作

1．一般原则

在执行集团内部控制审计业务时，注册会计师应当采用自上而下的方法，合理运用职业判断，确定对组成部分执行的工作。

注册会计师应当评估与组成部分相关的导致集团财务报表发生重大错报的风险，并根据其风险程度给予相应的审计关注。

在评估与某组成部分相关的导致集团财务报表发生重大错报的风险时，注册会计师应当考虑的因素包括：

（1）以前执行的与该组成部分内部控制相关的审计工作的结果；

（2）影响该组成部分重要账户的固有风险；

（3）从财务数据角度看，该组成部分的相对重要程度；

（4）风险在各组成部分间的分布（即风险分布于数量众多的小规模组成部分，还是分布于数量较少但规模较大的组成部分）；

（5）组成部分之间业务经营和内部控制的类似程度；

（6）业务流程和财务报告系统的集中化程度；

（7）该组成部分执行交易及相关资产的性质和金额；

（8）该组成部分存在重大未确认义务的可能性；

（9）测试集团企业层面控制的结果，包括控制环境、集团对组成部分实施的监控活动及在组成部分层面运行的企业层面控制的有效性。

2．对重要组成部分执行的工作

注册会计师应当按照《中国注册会计师审计准则第1401号——对集团财务报表审计的特殊考虑》的规定，确定重要组成部分。重要组成部分包括：（1）对集团具有财务重大性的组成部分（以下简称具有财务重大性的组成部分）；（2）由于其特定性质和情况，可能存在导致集团财务报表发生重大错报的特别风险的组成部分（以下简称具有特别风险的组成部分）。注册会计师应当对重要组成部分的重要账户、列报及其相关认定的内部控制实施测试。

（1）对具有财务重大性的组成部分执行的工作。对于具有财务重大性的组成部分，除非通过实施下列测试工作能够获取有关控制有效性的充分、适当的审计证据，注册会计师应当测试该组成部分内与重要账户、列报及其相关认定相关的业务流程、应用系统或交易层面的内部控制的有效性：

①对整个集团企业层面控制和该组成部分企业层面控制（包括界于组成部分和整个集团之间层次的其他企业层面控制，下同）的测试；

②对除该组成部分以外的其他组成部分相同账户、列报及其相关认定的内部控制已实施的测试。

（2）对具有特别风险的组成部分执行的工作。对具有特别风险的组成部分，注册会计师应当测试针对该项特别风险的控制。

3．对其他组成郝分执行的工作

对于重要组成部分以外的其他组成部分，如果存在重要账户、列报及其相关认定，注册会计师应当首先评价对整个集团企业层面控制和该组成部分企业层面控制的测试以及针对重要组成部分相同的账户、列报及其相关认定的内部控制已实施的测试能否提供充分、适当的审计证据。如果不能提供充分、适当的审计证据，注册会计师应当选择适当数量的其他组成部分，测试与该重要账户、列报及其相关认定相关的业务流程、应用系统或交易层面的控制，直至能够获取充分、适当的审计证据为止。

以下示例简要说明了在执行集团整合审计业务时，集团项目组如何确定对组成部分执行的工作。

示例：ABC汽车集团公司成立于2003年，主要从事汽车生产和销售业务。201×年度ABc汽车集团公司未经审计的集团合并营业收入为44215000元，合并净利润为11750000元。集团项目组将集团财务报表整体的重要性确定为587500元，并基于集团财务报表层面识别了重要账户、列报及其相关认定，确定营业收入、固定资产等为重要账户。

ABc汽车集团公司各组成部分资料如下：

集团项目对组成部分的分析如下：

第九节总体审计策略和具体审计计划

注册会计师应当贯彻风险导向审计的思路，恰当地计划内部控制审计工作。内部控制审计计划分为总体审计策略和具体审计计划两个层次。

一、总体审计策略

（一）总体审计策略的作用

总体审计策略用以总结计划阶段的成果，确定审计的范围、时间和方向，并指导具体审计计划的制定。制定总体审计策略的过程有助于注册会计师结合风险评估程序的结果确定下列事项：

（1）向具体审计领域分配资源的类别和数量，包括向高风险领域分派经验丰富的项目成员，向高风险领域分配的审计时间预算等；

（2）何时分配这些资源，包括是在期中审计阶段还是在关键日期调配资源等；

（3）如何管理、指导和监督这些资源，包括预期何时召开项目组预备会和总结会，预期项目合伙人和经理如何进行复核，是否需要实施项目质量控制复核等。

（二）总体审计策略的内容

注册会计师应当在总体审计策略中体现下列内容：

1．确定审计业务的特征，以界定审计范围。注册会计师通常需要考虑下列方面：

（1）被审计单位采用的内部控制标准；

（2）预期审计工作涵盖的范围，包括涵盖的组成部分的数量及所在地点。内部控制审计范围应当包括被审计单位在基准日或在此之前收购的实体，以及在基准日作为终止经营进行会计处理的业务。对于按照权益法核算的投资，审计的范围应当包括针对权益法下相关会计处理而实施的控制，但通常不包括对权益法下被投资方的控制；

（3）拟审计的经营分部的性质，包括是否需要具备专门知识；

（4）注册会计师对被审计单位内部控制评价工作的了解以及拟利用被审计单位内部相关人员工作的程度；

（5）被审计单位使用服务机构的情况，以及注册会计师如何取得有关服务机构内部控制设计和运行有效性的证据；

（6）对利用在以前审计工作中或财务报表审计工作中获取的审计证据的预期；

（7）信息技术对审计程序的影响，包括数据的可获得性和对使用计算机辅助审计技术的预期。

2．明确审计业务的报告目标，以计划审计的时问安排和所需沟通的性质。注册会计师通常需要考虑下列方面：

（1）被审计单位对外公布内部控制审计报告的时间安排；

（2）注册会计师与管理层和治理层讨论内部控制审计工作的性质、时间安排和范围；

（3）注册会计师与管理层和治理层讨论注册会计师拟出具的报告的类型和时间安排以及沟通的其他事项，包括审计报告、管理建议书和向治理层通报的其他事项；

（4）注册会计师与管理层讨论预期就整个审计业务中对审计工作的进展进行的沟通；

（5）项目组成员之间沟通的预期性质和时间安排；

（6）预期是否需要和第三方进行其他沟通。

3．根据职业判断，考虑用以指导项目组工作方向的重要因素。注册会计师通常需要考虑下歹Ⅱ方面：

（1）财务报表整体的重要性和实际执行的重要性；

（2）初步识别的可能存在较高重大错报风险的领域；

（3）评估的财务报表层次的重大错报风险对指导、监督和复核的影响；

（4）被审计单位经营活动或内部控制最近发生变化的程度；

（5）与被审计单位沟通过的内部控制缺陷；

（6）有关管理层对设计、执行和维护健全的内部控制重视程度的证据，包括有关这些控制得以适当记录的证据；

（7）注册会计师对内部控制有效性的初步判断和对内部控制重大缺陷的初步识别；

（8）可获取的、与内部控制有效性相关的证据的类型和范围；

（9）与评价财务报表发生重大错报的可能性和内部控制有效性相关的公开信息。

4．考虑初步业务活动的结果，并考虑对被审计单位执行其他业务时获得的经验是否与内部控制审计业务相关。注册会计师通常需要考虑下列方面：

（1）注册会计师在执行其他业务时对被审计单位财务报告内部控制的了解；

（2）影响被审计单位所处行业的事项，如行业财务报告惯例、经济状况和技术革新等；

（3）与被审计单位相关的法律法规和监管环境；

（4）与被审计单位经营相关的事项，包括组织结构、经营特征和资本结构；

（5）被审计单位经营活动的复杂程度以及与被审计单位相关的风险；

（6）以前审计中对内部控制运行有效性评价的结果，包括识别出的缺陷的性质和应对措施；

（7）影响被审计单位的重大业务发展变化，包括信息技术和业务流程的变化，关键管理人员变化以及收购、兼并和处置。

5．确定执行业务所需资源的性质、时间安排和范围。例如，项目组成员的选择以及对项目组成员审计工作的分派，硬目时同预算等。

注册会计师应当编制总体审计策略。附录1-2提供了整合审计总体审计策略工作底稿范例。

二、具体审计计划

具体审计计划比总体审计策略更加详细，内容包括项目组成员拟实施的审计程序的性质、时间安排和范围。计划这些审计程序，会随着具体审计计划的制定逐步深入，并贯穿于审计的整个过程。注册会计师应当在具体审计计划中体现下列内容：

（1）了解和识别内部控制的程序的性质、时间安排和范围；

（2）测试控制设计有效性的程序的性质、时间安排和范围；

（3）测试控制运行有效性的程序的性质、时间安排和范围。

具体审计计划相关工作底稿范例参见第四章和第五章附录。

附录1-1：内部控制审计业务约定书参考格式（合同式）

本附录提供了内部控制审计业务约定书的参考格式。本约定书是针对单个报告期间截止日的内部控制审计而起草的，如果拟用于连续内部控制审计业务，需要作出修改。

内部控制审计业务约定书

甲方：ABc股份有限公司

乙方：××会计师事务所

兹由甲方委托乙方对截至20×1年12月31日的财务报告内部控制进行审计，经双方协商，达成以下约定：

一、内部控制审计的目标和范围

乙方接受甲方委托，对甲方截至20×1年12月31日按照《企业内部控制基本规范》和相关规定建立的财务报告内部控制进行审计并对其有效性发表审计意见。

二、甲方的责任

1．根据《中华人民共和国会计法》及《企业内部控制基本规范》，甲方有责任设计、执行和维护有效的内部控制，制定本公司的内部控制制度并组织其实施，并对本公司内部控制的有效性进行自我评价，披露年度自我评价报告。

2．甲方应当及时为乙方的审计工作提供与审计有关的所有记录、文件和所需的其他信息（如果在审计过程中需要补充资料，亦应及时提供），并保证所提供资料的真实性和完整性。

3．甲方应确保乙方不受限制地接触其认为必要的甲方内部人员和其他相关人员。

[下段适用于集团内部控制审计业务，使用时需根据客户／约定项目的特定情况修改，如果加入此段，应相应修改本约定书第一项关于业务范围的表述，并调整下面其他条款的编号。]

[4．为满足乙方对甲方财务报告内部控制的有效性发表审计意见的需要，甲方须确保：

乙方和对组成部分内部控制执行相关工作的组成部分注册会计师之间的沟通不受任何限制。

乙方及时获悉组成部分注册会计师与组成部分治理层和管理层之间的重要沟通（包括就内部控制重大缺陷进行的沟通）。

乙方及时获悉组成部分治理层和管理层与监管机构就与内部控制有关的事项进行的重要沟通。

在乙方认为必要时，允许乙方接触组成部分的信息、组成部分管理层或组成部分注册会计师（包括组成部分注册会计师的工作底稿），并允许乙方对组成部分的内部控制执行相关工作。]

4．甲方管理层应对其作出的与内部控制审计有关的声明予以书面确认。

5．甲方应为乙方派出的有关工作人员提供必要的工作条件和协助，乙方将于外勤工作开始前提供主要事项清单。

6．甲方应按照本约定书的约定及时足额支付审计费用以及乙方人员在审计期间的交通、食宿和其他相关费用。

7．乙方的审计不能减轻甲方及甲方管理层的责任。

三、乙方的责任

1．乙方的责任是在执行审计工作的基础上对甲方财务报告内部控制的有效性发表审计意见。乙方根据《企业内部控制审计指引》及相关中国注册会计师执业准则的规定执行审计工作。该指引及相关执业准则要求注册会计师遵守中国注册会计师职业道德守则，计划和执行审计工作以对甲方在所有重大方面是否保持了有效的财务报告内部控制获取合理保证。

[2．对不由乙方执行相关工作的组成部分内部控制，乙方不单独出具报告；有关的责任由对该组成部分执行相关工作的组成部分注册会计师及其所在的会计师事务所承担。]

2．审计工作涉及实施审计程序，以获取与财务报告内部控制有关的审计证据。选择的审计程序取决于乙方的判断，包括评估重大缺陷存在的风险，根据评估的风险测试和评价内部控制设计和运行的有效性。审计工作还包括实施乙方认为必要的其他程序。

3．内部控制具有固有局限性，存在不能防止和发现错报的可能性；此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循程度降低，因此，根据内部控制审计结果推测未来内部控制的有效性具有一定风险。

4．在审计过程中，乙方若发现甲方存在内部控制重大缺陷、重要缺陷，应以书面形式向甲方治理层或管理层通报。但乙方通报的各种事项，并不代表已全面说明所有可能存在的缺陷或己提出所有可行的改进建议。甲方在实施乙方提出的改进建议前应全面评估其影响。未经乙方书面许可，甲方不得向任何第三方提供乙方出具的沟通文件。

5．按照约定时间完成审计工作，出具审计报告。乙方应于20×2年×月×日前出具审计报告。

6．除下列情况外，乙方应当对执行业务过程中知悉的甲方信息予以保密：（1）法律法规允许披露，并取得甲方的授权；（2）根据法律法规的要求，为法律诉讼、仲裁准备文件或提供证据，以及向监管机构报告发现的违法行为；（3）在法律法规允许的情况下，在法律诉讼、仲裁中维护自己的合法权益；（4）接受注册会计师协会或监管机构的执业质量检查，答复其询问和调查；（5）法律法规、执业准则和职业道德规范规定的其他情形。

四、审计收费

1．本次审计服务的收费是以乙方各级别工作人员在本次工作中所耗费的时间为基础计算的。乙方预计本次审计服务的费用总额为人民币××万元。

2．甲方应于本约定书签署之日起××日内支付×%的审计费用，其余款项于[审计报告草稿完成日]结清。

3．如果由于无法预见的原因，致使乙方从事本约定书所涉及的审计服务实际时间较本约定书签订时预计的时间有明显增加或减少时，甲、乙双方应通过协商，相应调整本部分第1段所述的审计费用。

4．如果由于无法预见的原因，致使乙方人员抵达甲方的工作现场后，本约定书所涉及的审计服务中止，甲方不得要求退还预付的审计费用；如上述情况发生于乙方人员完成现场审计工作，并离开甲方的工作现场之后，甲方应另行向乙方支付人民币××元的补偿费，该补偿费应于甲方收到乙方的收款通知之日起××日内支付。

5．与本次审计有关的其他费用（包括交通费、食宿费等）由甲方承担。

五、审计报告和审计报告的使用

1．乙方按照《企业内部控制审计指引》规定的格式和类型出具审计报告。

2．乙方向甲方致送审计报告一武×份。

3．甲方在提交或对外公布乙方出具的审计报告时，不得对其进行修改。当甲方认为有必要修改内部控制制度时，应当事先通知乙方，乙方将考虑有关的修改对审计报告的影响，必要时，将重新出具审计报告。

六、本约定书的有效期间

本约定书自签署之日起生效，并在双方履行完毕本约定书约定的所有义务后终止。但其中第三项第6段、第四、五、七、八、九、十项并不因本约定书终止而失效。

七、约定事项的变更

如果出现不可预见的情况，影响审计工作如期完成，或需要提前出具审计报告甲、乙双方均可要求变更约定事项，但应及时通知对方，并由双方协商解决。

八、终止条款

1_如果根据乙方的职业道德及其他有关专业职责、适用的法律法规或其他任何法定的要求，乙方认为已不适宜继续为甲方提供本约定书约定的审计服务，乙方可以采取向甲方提出合理通知的方式终止履行本约定书。

2．在本约定书终止的情况下，乙方有权就其于终止之日前对约定的审计服务项目所做的工作收取合理的费用。

九、违约责任

甲、乙双方按照《中华人民共和国合同法》的规定承担违约责任。

十、适用法律和争议解决

本约定书的所有方面均应适用中华人民共和国法律进行解释并受其约束。本约定书履行地为乙方出具审计报告所在地，因本约定书引起的或与本约定书有关的任何纠纷或争议（包括关于本约定书条款的存在、效力或终止，或无效之后果），双方协商确定采取以下第_种方式予以解决：（1）向有管辖权的人民法院提起诉讼；（2）提交x x仲裁委员会仲裁。十一、双方对其他有关事项的约定本约定书一式两份，甲、乙双方各执一份，具有同等法律效力。ABC股份有限公司（盖章）X X会计师事务所（盖章）授权代表：（签名并盖章）授权代表：（签名并盖章）二0 x一年x月x日二0 x一年x月x日

附录1-2：总体审计策略工作底稿范例

注意事项：

（1）本范例旨在协助注册会计师全面系统地考虑整合审计中制定总体审计策略需要考虑的事项。注册会计师对总体审计策略的考虑和制定是一个动态的多方位的过程，未必按照下表所列顺序执行工作。

（2）注册会计师可以在“应对或结果及工作底稿索引”一栏填写简要总结，具体信息和执行的工作可以索引到其他工作底稿。

被审计单位名称：工作底稿索引号

财务报表年度（基准日）编制人：日期

复核人：日期