企业控制审计指引

《企业控制审计指引》由会员分享，可在线阅读，更多相关《企业控制审计指引（16页珍藏版）》请在装配图网上搜索。

1、企业内部控制审计指引一、内部控制审计概述（一）实施内部控制审计的必要性目标：规范注册会计师执行企业内部控制审计业务，明确工作要求，保证执业质量。（二）我国对内部控制审计的要求2010年4月26日，财政部发布内控审计指引，自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行；同时，鼓励非上市大中型企业提前执行。（三）内部控制审计的定义内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。1企业内部控制审计基于特定基准日。注册会计师基于基准

2、日（如年末12月31日）内部控制的有效性发表意见，而不是对财务报表涵盖的整个期间（如一年）的内部控制的有效性发表意见。2财务报告内部控制与非财务报告内部控制内控审计指引第四条第二款规定，注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。财务报告内部控制：是指企业为了合理保证财务报告及相关信息真实、完整而设计和运行的内部控制，以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。主要包括下列方面的政策和程序：(1)保存充分、适当的记录，准确、公允地反映企

3、业的交易和事项；(2)合理保证按照企业会计准则的规定编制财务报表；(3)合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权；(4)合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项。非财务报告内部控制：是指除财务报告内部控制之外的其他控制，通常是指为了合理保证除财务报告及相关信息、资产安全外的其他控制目标的实现而设计和运行的内部控制。3企业内控责任与注册会计师审计责任的关系。内控审计指引第三条规定，建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。 （

4、四）整合审计内控审计指引第五条规定，注册会计师可以单独进行内部控制审计，也可以将内部控制审计与财务报表审计整合进行（以下简称整合审计）。理解这一规定，要明确两点：一是内部控制审计与财务报表审计是两种不同的审计业务，两种审计的目标不同；二是内部控制审计与财务报表审计可以整合起来进行。1内部控制审计与财务报表审计的异同。内部控制审计要求对企业控制设计和运行的有效性进行测试，财务报表审计中，也要求了解企业的内部控制，并在需要时测试控制，这是两种审计的相同之处，也是整合审计中应整合的部分，但由于两种审计的目标不同，审计指引要求在整合审计中，注册会计师对内部控制设计与运行的有效性进行测试，要同时实现两个

5、目的：(1)获取充分、适当的证据，支持在内部控制审计中对内部控制有效性发表的意见；(2）获取充分、适当的证据，支持在财务报表审计中对控制风险的评估结果。2两种审计的整合。实施财务报表审计时，注册会计师可以利用内部控制审计的结果来修改实质性程序的性质、时间安排和范围，并且可以利用该结果来支持分析程序中所使用的信息的完整性和准确性。在确定实质性程序的性质、时间安排和范围时，注册会计师需要慎重考虑识别出的控制缺陷。实施内部控制审计时，注册会计师需要评估财务报表审计时实质性程序中发现问题的影响。最重要的是，注册会计师需要重点考虑财务报表审计中发现的财务报表错报，考虑这些错报对评价内控有效性的影响。二、

6、计划审计工作（一）总体要求在计划整合审计工作时，注册会计师需要评价下列事项对财务报表和内部控制是否有重要影响，以及有重要影响的事项将如何影响审计工作：1与企业相关的风险，包括在评价是否接受与保持客户和业务时，注册会计师了解的与企业相关的风险情况以及在执行其他业务时了解的情况；2相关法律法规和行业概况；3企业组织结构、经营特点和资本结构等相关重要事项；4企业内部控制最近发生变化的程度；5与企业沟通过的内部控制缺陷；6重要性、风险等与确定内部控制重大缺陷相关的因素；7对内部控制有效性的初步判断；8可获取的、与内部控制有效性相关的证据的类型和范围。（二）重视风险评估的作用风险评估的理念及思路应当贯穿

7、于整个审计过程的始终。实施风险评估时，可以考虑固有风险及控制风险。在计划审计工作阶段，对内部控制的固有风险进行评估，作为编制审计计划的依据之一；根据对控制风险评估的结果，调整计划阶段对固有风险的判断，这是个持续的过程。注册会计师应当更多地关注高风险领域，而没有必要测试那些即使有缺陷、也不可能导致财务报表重大错报的控制。（三）利用其他相关人员的工作如果拟利用他人的工作，注册会计师则需要评价该人员的专业胜任能力和客观性。专业胜任能力和客观性越高，可利用程度就越高，注册会计师就可以越多地利用其工作。与某项控制相关的风险越高，可利用他人工作的程度就越低，注册会计师就需要更多地对该项控制亲自进行测试。三

8、、实施审计工作（一）自上而下的方法自上而下的方法按照下列思路展开：1从财务报表层次初步了解内部控制整体风险；2识别企业层面控制；3识别重要账户、列报及其相关认定；4了解错报的可能来源；5选择拟测试的控制。（二）识别企业层面控制1评价企业层面控制的精确度。(1)某些企业层面控制，如企业经营理念、管理层的管理风格等与控制环境相关的控制，对及时防止或发现井纠正相关认定的错报的可能性有重要影响。(2）某些企业层面控制旨在识别其他控制可能出现的失效情况，能够监督其他控制的有效性，但还不足以精确到及时防止或发现并纠正相关认定的错报。2企业层面控制的内容。(1)与内部环境相关的控制。(2）针对管理层（董事会

9、、经理层）凌驾于控制之上的风险而设计的控制。(3)企业的风险评估过程。(4）对内部信息传递和财务报告流程的控制。(5）对控制有效性的内部监督和自我评价。此外，企业层面控制还包括：(1)集中化的处理和控制，包括共享的服务环境。(2)监控经营成果的控制。监督经营成果的内部控制范围非常广泛，其中与监督经营成果相关的企业层面控制主要包括：管理层定期将经营成果与预算进行对比分析及复核，分析财务资料是否存在异常情况；定期编制主要经营指标并对这些指标进行审阅及分析，分析财务资料是否存在异常情况；定期更新经营预测，并与期末的实际经营结果进行对比分析。监督经营成果的控制还包括在控制环境以及风险评估流程方面的监控

10、，主要包括：对客户投诉报告的复核及分析，查找企业各下属机构或业务部门是否存在违规、不合法或管理不善的情况；对违反企业政策或守则行为的处理的复核；对与员工报酬或晋升相关的员工业绩评价流程的复核，以确定企业内部公平及平衡的奖惩制度的执行；对企业记录的财务报表编制流程中存在的主要风险的复核，以考虑企业内部及外部存在的重大错报风险是否被清楚地反映。(3)针对重大经营控制以及风险管理实务而采取的政策。注册会计师需要考虑的主要因素包括：企业的内部环境，例如：公司治理结构和议事规则是否规范；是否有明确的决策、执行、监督等方面的职责权限；是否有专门机构具体负责组织协调内部控制的建立及实施等。基于企业整体的发展

11、战略、经营战略和日标，管理层能否充分识别企业各业务流程中存在的内部和外部风险。企业是否根据内部控制目标，结合风险评估结果和风险应对策略，针对各种业务和事项，综合运用控制措施，将风险控制在可承受范围之内，同时建立重大风险预警机制和突发事件应急处理机制，确保突发事件得到及时妥善处理。为了保证控制活动的有效执行，企业是否进行持续的内部监督，包括日常监督和专项监督，并以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或资料，确保内部控制建立与实施过程的可验证性。（三）测试控制设计和运行的有效性注册会计师在测试控制设计与运行的有效性时，应当综合运用询问适当人员、观察经营活动、检查相关文

12、件、穿行测试和重新执行等方法。注册会计师测试控制有效性实施的程序，按提供证据的效力，由弱到强排序为：询问、观察、检查和重新执行。其中，询问本身并不能为得出控制是否有效的结论提供充分、适当的证据。执行穿行测试通常足以评价控制设计的有效性。 （四）与控制相关的风险与拟获取证据的关系与控制相关的风险越高，注册会计师需要获取的证据就越多。与某项控制相关的风险受下列因素的影响：1该项控制拟防止或发现并纠正的错报的性质和重要程度；2相关账户、列报及其认定的固有风险；3相关账户或列报是否曾经出现错报；4交易的数量和性质是否发生变化，进而可能对该项控制设计或运行的有效产生不利影响；5企业层面控制（特别是对控制

13、有效性的内部监督和自我评价）的有效性；6该项控制的性质及其执行频率；7该项控制对其他控制（如内部环境或信息技术一般控制）有效性的依赖程度；8该项控制的执行或监督人员的专业胜任能力，以及其中的关键人员是否发变化；9该项控制是人工控制还是自动化控制；10该项控制的复杂程度，以及在运行过程中依赖判断的程度。（五）连续审计时的特殊考虑1影响连续审计中与某项控制相关的风险的因素除第（四）部分“风险与拟获取证据的关系”中所列的10项因素外，还包括：(1)以前年度审计中所实施程序的性质、时间安排和范围；(2）以前年度对控制的测试结果；(3)上次审计之后，控制或其运行流程是否发生变化，尤其是考虑IT环境的变化

14、。2实施对标策略。如果认为程序变更、访问权限及计算机操作方面的一般控制有效，且可持续对其进行测试，并能证实自动化应用控制自最近一次测试之后未发生变化，则注册会计师不必重复执行测试，就可以认为自动化应用控制持续有效。注册会计师在确定是否使用对标策略时，首先要评价下列风险因素：(1)应用控制与相关应用程序直接对应的程度；(2）应用系统的稳定性（即各期间的变化大小）；(3）有关投人使用的程序，其汇编日期报告的可获得性和可靠性，该信息可作为此程序中的控制未发生变化的证据。在一段时期之后，注册会计师应重新设置自动化应用控制运行的测试基准。在确定何时重设测试基准时，注册会计师应当评价下列因素：(1)信息技

15、术控制环境的有效性，包括针对应用及操作系统的开发与维护、访问权限以及计算机操作实施的控制的有效性；(2）如果含有控制的具体程序发生变化，注册会计师对该变化性质的了解；(3）其他相关测试的性质和时间安排；(4）与被设为测试基准的应用控制相关的错误导致的后果；(5)控制是否易于受到其他可能变化的经营因素的影响。3增加测试的不可预见性。每年在不同的时段进行测试控制，并增加或减少所执行测试的数量和种类，或者改变所使用测试程序的组合等。四、评价控制缺陷评价控制缺陷的总体要求内部控制缺陷包括设计缺陷和运行缺陷。内部控制存在的缺陷，按严重程度分为重大缺陷、重要缺陷和一般缺陷。 下列迹象可能表明企业的内部控制

16、存在重大缺陷：1注册会计师发现董事、监事和高级管理人员舞弊；2企业更正已经公布的财务报表；3注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报；4企业审计委员会和内部审计机构对内部控制的监督无效。 财务报告内部控制缺陷的严重程度取决于：1控制缺陷导致账户余额或列报错报的可能性；2因一个或多个控制缺陷的组合导致潜在错报的金额大小。五、完成审计工作（一）形成审计意见只有在审计范围没有受到限制时，注册会计师才能对内部控制的有效性形成意见。如果审计范围受到限制，注册会计师需要解除业务约定或出具无法表示意见的内部控制审计报告。（二）获取管理层书面声明注册会计师需要取得经企业认可

17、的书面声明，书面声明需要包括下列内容：1企业董事会认可其对建立健全和有效实施内部控制负责；2企业已对内部控制的有效性作出自我评价，并说明评价时采用的标准以及得出的结论； 3企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础；4企业已向注册会计师披露识别出的内部控制所有缺陷，并单独披露其中的大缺陷和重要缺陷；5对于注册会计师在以前年度审计中识别的、已与审计委员会沟通的重大缺和重要缺陷，企业是否已经采取措施予以解决；6在企业内部控制自我评价基准日后，内部控制是否发生重大变化，或者存对内部控制具有重要影响的其他因素。（三）沟通相关事项中国注册会计师审计准则第1152号向治理层和管理层通报

18、内部控制缺陷要求注册会计师以书面形式及时向治理层通报审计过程中识别出的值得关注的内部控制缺陷。其中，值得关注的内部控制缺陷包括重大缺陷和重要缺陷。对于重大缺陷，注册会计师需要以书面形式与企业的董事会及其审计委员会进行沟通。如果认为审计委员会和内部审计机构对内部控制的监督无效，注册会计师需要就此以书面形式直接与董事会和经理层沟通。对于重要缺陷，注册会计师需要以书面形式与审计委员会沟通。在进行沟通时，注册会计师无须重复自身、内部审计人员或企业其他人员以前书面沟通过的控制缺陷。如果发现企业存在或可能存在舞弊或违反法规行为，注册会计师需要按照中国注册会计师审计准则第1141号财务报表审计中对舞弊的考虑

19、、中国注册会计师审计准则第1142号财务报表审计中对法律法规的考虑的规定，确定并履行自身的责任。六、出具审计报告（一）总体要求注册会计师需要在审计报告中清楚地表达对内部控制有效性的意见，并对出具的审计报告负责。注册会计师在整合完成内部控制审计和财务报表审计后，需要分别对内部控制和财务报表出具审计报告。内部控制审计不能保证注册会计师能够发现严重程度低于重大缺陷的所有控制缺陷。注册会计师不应在审计报告中声明，在审计过程中没有发现严重程度低于重大缺陷的所有控制缺陷。（二）标准内部控制审计报告括下列要素：/p 1标题。内部控制审计报告的标题统一规范为“内部控制审计报告”。2收件人。内部控制审计报告的收

20、件人是指注册会计师按照业务约定书的要求致送内部控制审计报告的对象，一般是指审计业务的委托人。内部控制审计报告需要载明收件人的全称。3引言段。内部控制审计报告的引言段说明企业的名称和内部控制已经过审计。 4企业对内部控制的责任段。企业对内部控制的责任段说明，按照基本规范、内控应用指引、内控评价指引的规定，建立健全和有效实施内部控制，并评价其有效性是企业董事会的责任。5注册会计师的责任段。注册会计师的责任段说明，在实施审计工作的基础上，对财务报告内部控制的有效性发表审计意见，并对注意到的非财务报告内部控制的重大缺陷进行披露是注册会计师的责任。6内部控制固有局限性的说明段。内部控制无论如何有效，都只

21、能为企业实现控制目标提供合理保证。内部控制实现目标的可能性受其固有限制的影响，包括：(1)在决策时人为判断可能出现错误和因人为失误而导致内部控制失效。例如，控制的设计和修改可能存在失误。(2）控制的运行也可能无效。例如，由于负责复核信息的人员不了解复核的目的或没有采取适当的措施，使内部控制生成的信息（如例外报告）没有得到有效使用。(3)控制可能由于两个或更多的人员进行串通舞弊或管理层不当地凌驾于内部控制之上而被规避。例如，管理层可能与客户签订背后协议，修改标准的销售合同条款和条件，从而导致不适当的收人确认。再如，软件中的编辑控制旨在识别和报告超过赊销信用额度的交易，但这一控制可能被凌驾。(4）

22、在设计和执行控制时，如果存在选择执行的控制以及选择承担的风险，管理层在确定控制的性质和范围时需要作出主观判断。7财务报告内部控制审计意见段。如果符合下列所有条件的，注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告：(1)企业按照基本规范、内控应用指引、内控评价指引以及企业自身内部控制制度的要求，在所有重大方面保持了有效的内部控制；(2）注册会计师已经按照内控审计指引的要求计划和实施审计工作，在审计过程中未受到限制。8非财务报告内部控制重大缺陷描述段。9注册会计师的签名和盖章。10会计师事务所的名称、地址及盖章。11报告日期。（三）非标准内部控制审计报告1带强调事项段的非标准内部

23、控制审计报告。注册会计师认为财务报告内部控制虽不存在重大缺陷，但仍有一项或者多项重大事项需要提请内部控制审计报告使用人注意的，需要在内部控制审计报告中增加强调事项段予以说明。2否定意见的内部控制审计报告。注册会计师认为财务报告内部控制存在一项或多项重大缺陷的，除非审计范围受到限制，需要对财务报告内部控制发表否定意见。3无法表示意见的内部控制审计报告。注册会计师审计范围受到限制的，需要解除业务约定或出具无法表示意见的内部控制审计报告，并就审计范围受到限制的情况，以书面形式与董事会进行沟通。4期后事项与非标准内部控制审计报告。注册会计师需要按照（中国注册会计师审计准则第1131号审计工作底稿的规定

24、，编制内部控制审计工作底稿，完整记录审计工作情况。1内部控制审计计划及重大修改情况；2相关风险评估和选择拟测试的内部控制的主要过程及结果；3测试内部控制设计与运行有效性的程序及结果；4对识别的控制缺陷的评价；5形成的审计结论和意见；6其他重要事项。第一章 总 则第一条 为了规范注册会计师执行企业内部控制审计业务，明确工作要求，保证执业质量，根据企业内部控制基本规范、中国注册会计师鉴证业务基本准则及相关执业准则，制定本指引。第二条 本指引所称内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。第三条 建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会

25、的责任。按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。第四条 注册会计师执行内部控制审计工作，应当获取充分、适当的证据，为发表内部控制审计意见提供合理保证。注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。第五条 注册会计师可以单独进行内部控制审计，也可将内部控制审计与财务报表审计整合进行（以下简称整合审计）。在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：（一）获取充分、适当的

26、证据，支持其在内部控制审计中对内部控制有效性发表的意见。（二）获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。第二章 计划审计工作第六条 注册会计师应当恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。第七条 在计划审计工作时，注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响：（一）与企业相关的风险。（二）相关法律法规和行业概况。（三）企业组织结构、经营特点和资本结构等相关重要事项。（四）企业内部控制最近发生变化的程度。（五）与企业沟通过的内部控制缺陷。（六）重要性、风险等与确定内部控制重大缺陷相关的因素。（七）对内部控制有

27、效性的初步判断。（八）可获取的、与内部控制有效性相关的证据的类型和范围。第八条 注册会计师应当以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多。第九条 注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能本应由注册会计师执行的工作。注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作，应当对其专业胜任能力和客观性进行充分评价。与某项控制相关的风险越高，可利用程度就越低，注册会计师应当更多地对该项控制亲自进行

28、测试。注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。第三章 实施审计工作第十条 注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。第十一条 注册会计师测试企业层面控制，应当把握重要性原则，至少应当关注：（一）与内部环境相关的控制。（二）针对董事会、经理层凌驾于控制之上的风险而设计的控制。（三）企业的风险评估过程。（四）对内部信息传递和财务报告流程的控制。（五）对控制有效性的内部监督和自我

29、评价。第十二条 注册会计师测试业务层面控制，应当把握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。注册会计师应当关注信息系统对内部控制及风险评估的影响。第十三条 注册会计师在测试企业层面控制和业务层面控制时，应当评价内部控制是否足以应对舞弊风险。第十四条 注册会计师应当测试内部控制设计与运行的有效性。如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行，能够实现控制目标，表明该项控制的设计是有效的。 如果某项控制正在按照设计运行,执行人员拥有必要授权和专业胜任能力，能够实现控制目标，表

30、明该项控制的运行是有效的。第十五条 注册会计师应当根据与内部控制相关的风险，确定拟实施审计程序的性质、时间安排和范围，获取充分、适当的证据。与内部控制相关的风险越高，注册会计师需要获取的证据应越多。第十六条 注册会计师在测试控制设计与运行的有效性时，应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。询问本身并不足以提供充分、适当的证据。第十七条 注册会计师在确定测试的时间安排时，应当在下列两个因素之间作出平衡，以获取充分、适当的证据：（一）尽量在接近企业内部控制自我评价基准日实施测试。（二）实施的测试需要涵盖足够长的期间。第十八条 注册会计师对于内部控制运行偏离设

31、计的情况（即控制偏差），应当确定该偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。第十九条 在连续审计中，注册会计师在确定测试的性质、时间安排和范围时，应当考虑以前年度执行内部控制审计时了解的情况。第四章 评价控制缺陷第二十条 内部控制缺陷按其成因分为设计缺陷和运行缺陷，按其影响程度分为重大缺陷、重要缺陷和一般缺陷。注册会计师应当评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷。第二十一条 在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时，注册会计师应当评价补偿性控制（替代性控制）的影响。企业执行的补偿性控制应当具有同样的效

32、果。第二十二条 表明内部控制可能存在重大缺陷的迹象，主要包括：（一）注册会计师发现董事、监事和高级管理人员舞弊。（二）企业更正已经公布的财务报表。（三）注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报。（四）企业审计委员会和内部审计机构对内部控制的监督无效。第五章 完成审计工作第二十三条 注册会计师完成审计工作后，应当取得经企业签署的书面声明。书面声明应当包括下列内容：（一）企业董事会认可其对建立健全和有效实施内部控制负责。（二）企业已对内部控制的有效性作出自我评价，并说明评价时采用的标准以及得出的结论。（三）企业没有利用注册会计师执行的审计程序及其结果作为自我评价

33、的基础。（四）企业已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷和重要缺陷。（五）企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷，是否已经采取措施予以解决。（六）企业在内部控制自我评价基准日后，内部控制是否发生重大变化，或者存在对内部控制具有重要影响的其他因素。第二十四条 企业如果拒绝提供或以其他不当理由回避书面声明，注册会计师应当将其视为审计范围受到限制，解除业务约定或出具无法表示意见的内部控制审计报告。第二十五条 注册会计师应当与企业沟通审计过程中识别的所有控制缺陷。对于其中的重大缺陷和重要缺陷，应当以书面形式与董事会和经理层沟通。注册会计师认为审计委员会

34、和内部审计机构对内部控制的监督无效的，应当就此以书面形式直接与董事会和经理层沟通。书面沟通应当在注册会计师出具内部控制审计报告之前进行。第二十六条 注册会计师应当对获取的证据进行评价，形成对内部控制有效性的意见。第六章 出具审计报告第二十七条 注册会计师在完成内部控制审计工作后，应当出具内部控制审计报告。标准内部控制审计报告应当包括下列要素：（一）标题。（二）收件人。（三）引言段。（四）企业对内部控制的责任段。（五）注册会计师的责任段。（六）内部控制固有局限性的说明段。（七）财务报告内部控制审计意见段。（八）非财务报告内部控制重大缺陷描述段。（九）注册会计师的签名和盖章。（十）会计师事务所的名

35、称、地址及盖章。（十一）报告日期。第二十八条 符合下列所有条件的，注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告：（一）企业按照企业内部控制基本规范、企业内部控制应用指引、企业内部控制评价指引以及企业自身内部控制制度的要求，在所有重大方面保持了有效的内部控制。（二）注册会计师已经按照企业内部控制审计指引的要求计划和实施审计工作，在审计过程中未受到限制。第二十九条 注册会计师认为财务报告内部控制虽不存在重大缺陷，但仍有一项或者多项重大事项需要提请内部控制审计报告使用者注意的，应当在内部控制审计报告中增加强调事项段予以说明。注册会计师应当在强调事项段中指明，该段内容仅用于提醒内部

36、控制审计报告使用者关注，并不影响对财务报告内部控制发表的审计意见。第三十条 注册会计师认为财务报告内部控制存在一项或多项重大缺陷的，除非审计范围受到限制，应当对财务报告内部控制发表否定意见。注册会计师出具否定意见的内部控制审计报告，还应当包括下列内容：（一）重大缺陷的定义。（二）重大缺陷的性质及其对财务报告内部控制的影响程度。第三十一条 注册会计师审计范围受到限制的，应当解除业务约定或出具无法表示意见的内部控制审计报告，并就审计范围受到限制的情况，以书面形式与董事会进行沟通。注册会计师在出具无法表示意见的内部控制审计报告时，应当在内部控制审计报告中指明审计范围受到限制，无法对内部控制的有效性发

37、表意见。注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的，应当在内部控制审计报告中对重大缺陷作出详细说明。第三十二条 注册会计师对在审计过程中注意到的非财务报告内部控制缺陷，应当区别具体情况予以处理：（一）注册会计师认为非财务报告内部控制缺陷为一般缺陷的，应当与企业进行沟通，提醒企业加以改进，但无需在内部控制审计报告中说明。（二）注册会计师认为非财务报告内部控制缺陷为重要缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进，但无需在内部控制审计报告中说明。（三）注册会计师认为非财务报告内部控制缺陷为重大缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进

38、；同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。第三十三条 在企业内部控制自我评价基准日并不存在、但在该基准日之后至审计报告日之前（以下简称期后期间）内部控制可能发生变化，或出现其他可能对内部控制产生重要影响的因素。注册会计师应当询问是否存在这类变化或影响因素，并获取企业关于这些情况的书面声明。注册会计师知悉对企业内部控制自我评价基准日内部控制有效性有重大负面影响的期后事项的，应当对财务报告内部控制发表否定意见。注册会计师不能确定期后事项对内部控制有效性的影响程度的，应当出具无法表示意见的内部控制审计报告。第七章 记录审计工作第三十四条 注册会计师应当按照中国注册会计师审计准则第1131号审计工作底稿的规定，编制内部控制审计工作底稿，完整记录审计工作情况。第三十五条 注册会计师应当在审计工作底稿中记录下列内容：（一）内部控制审计计划及重大修改情况。（二）相关风险评估和选择拟测试的内部控制的主要过程及结果。（三）测试内部控制设计与运行有效性的程序及结果。（四）对识别的控制缺陷的评价。（五）形成的审计结论和意见。（六）其他重要事项。