二、企业内部控制审计（熟悉）（一）内部控制审计的含义内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。

内部控制审计是内部控制外部评价的重要形式之一。

1.内部控制审计与内部控制评价内部控制审计属于注册会计师外部评价，内部控制评价属于企业董事会自我评价，两者有着本质的区别。

首先，两者的责任主体不同。

建立健全和有效实施内部控制，评价内部控制的有效性，是企业董事会的责任；在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。

其次，两者的评价目标不同。

内部控制评价是企业董事会对各类内部控制目标实施的全面评价；内部控制审计是注册会计师侧重对财务报告内部控制目标实施的审计评价。

最后，两者的评价结论不同。

企业董事会对内部控制整体有效性发表意见，并在内部控制评价报告中出具内部控制有效性结论；注册会计师仅对财务报告内部控制的有效性发表意见，对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

虽然内部控制审计与内部控制评价具有上述区别，但两者往往依赖同样的证据、遵循类似的测试方法、使用同一基准日，因此也必然存在一些内在的联系。

在内部控制审计过程中，注册会计师可以根据实际情况对企业内部控制评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用程度，从而相应减少本应由注册会计师执行的工作。

2.内部控制审计与财务报表审计内部控制审计与财务报表审计的目标不同。

前者是对被审计单位内部控制设计与运行的有效性进行审计，并重点就财务报告内部控制的有效性发表审计意见；后者是对财务报表是否按照国家统一的会计准则制度的规定编制、是否在所有重大方面公允反映被审计单位的财务状况、经营成果和现金流量发表审计意见。

审计目标的不同导致两者在审计程序上也有着较大区别。

但由于两者均关注财务报告质量和审计风险，审计过程中形成的审计证据又可以相互支持、相互利用，为此，注册会计师在计划和执行内部控制审计工作时，可以根据实际情况将内部控制审计与财务报表审计进行整合，以降低审计成本、提高审计质量。

在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现两类目标：（1）获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见；（2）获取充分、适当的证据，支持其在财务报表审计中对控制风险的评价结果。

3.内部控制审计与内部控制监管内部控制监管是指政府监管部门根据国家有关法律法规和监管要求，以《企业内部控制基本规范》及其配套指引为依据，对企业内部控制建立与实施情况进行监督检查和评价。

内部控制监管与内部控制审计作为内部控制外部评价的两种主要形式，相互支持，相互促进，共同保障企业内部控制的有效建立与实施。

比如，财政部门可以从规范公司治理、健全内控机制，加强会计监督、提高信息质量等角度，对企业内部控制设计与运行的有效性提出监管要求。

同时，可以会同国家审计机关对行政事业单位和国有企业使用财政资金过程中的内部控制情况实施监管评价。

（二）内部控制审计的程序1.计划审计工作注册会计师需恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。

2.实施审计工作注册会计师按照自上而下的方法实施审计工作，将企业层面控制和业务层面控制的测试结合进行。

3.评价控制缺陷注册会计师对内部控制缺陷的分类和认定标准与企业内部控制自我评价中内部控制缺陷的分类和认定标准类似，相对而言，注册会计师更关注财务报告内部控制缺陷的认定。

注册会计师在对内部控制设计与运行的有效性进行测试的基础上，需评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷并影响其审计结论。

4.完成审计工作（1）取得书面声明。

注册会计师完成审计工作后，需取得经企业签署的书面声明。

（2）沟通控制缺陷。

注册会计师应与企业沟通审计过程中识别的所有控制缺陷，重大缺陷和重要缺陷须以书面形式与董事会和经理层沟通。

（3）形成审计意见。

注册会计师对获取的证据进行评价，形成对内部控制有效性的意见，出具审计报告。

（三）内部控制审计报告1.审计报告内容标准内部控制审计报告包括下列要素：标题；收件人；引言段；企业对内部控制的责任段；注册会计师的责任段；内部控制固有局限的说明段；财务报告内部控制审计意见段；非财务报告内部控制重大缺陷描述段；注册会计师的签名和盖章；会计师事务所的名称、地址及盖章和报告日期。

2.审计意见类型①无保留审计意见。

发表无保留审计意见必须同时符合两个条件：企业按照内部控制有关法律法规以及企业内部控制制度要求，在所有重大方面建立并实施有效的内部控制；注册会计师按照有关内部控制审计准则的要求计划和实施审计工作，在审计过程中未受到限制。

②带强调段的无保留意见。

注册会计师认为财务报告内部控制虽不存在重大缺陷，但仍有一项或者多项重大事项需要提请审计报告使用者注意的，应在审计报告中增加强调事项段予以说明，该段内容仅用于提醒内部控制审计报告使用者关注，并不影响对财务报告内部控制发表的审计意见。

③否定意见。

注册会计师认为财务报告内部控制存在一项或多项重大缺陷的，除非审计范围受到限制，应对财务报告内部控制发表否定意见。

注册会计师出具否定意见的内部控制审计报告中需包括重大缺陷的定义、重大缺陷的性质及其对财务报告内部控制的影响程度等内容。

④无法表示意见。

注册会计师审计范围受到限制的，应当解除业务约定或出具无法表示意见的内部控制审计报告，在报告中指明审计范围受到限制，无法对内部控制有效性发表意见。

注册会计师在已执行的有效程序中发现内部控制存在重大缺陷的，应当在“无法表示意见”的审计报告中对已发现的重大缺陷做出详细说明。

3.审计期后事项期后事项是指在企业内部控制评价基准日并不存在、但在该基准日之后至审计报告日之前内部控制可能发生变化，或出现其他可能对内部控制产生重要影响的因素。

注册会计师应当询问是否存在这类变化或影响因素，并获取企业关于这些情况的书面声明。

注册会计师知悉对企业内部控制评价基准日财务报告内部控制有效性有重大负面影响的期后事项的，应对财务报告内部控制发表否定意见。

注册会计师不能确定期后事项对内部控制有效性的影响程度的，应当出具无法表示意见的审计报告。

【案例分析18】甲会计师事务所具有证券期货业务资格，接受委托对A公司、B公司、C公司和D公司2018年度内部控制的有效性实施审计，并于2019年4月对上述4家上市公司出具了内部控制审计报告。

有关资料如下：（1）A公司。

A公司于2018年3月通过并购实现对A1公司的全资控股，交易前A公司与A1公司不存在关联方关系。

甲会计师事务所在对A公司内部控制有效性进行审计的过程中发现：A公司未将A1公司纳入2018年度内部控制建设与实施的范围。

（2）B公司。

甲会计师事务所在审计过程中发现B公司的内部控制存在以下问题：①审计委员会缺乏明确的职责权限、议事规则和工作程序，未能有效发挥监督职能；②下属子公司B1公司在未履行相应审批程序的情况下为关联方提供担保；③与售后“三包”返利业务相关的销售收入确认不符合《企业会计准则第14号——收入》的规定。

甲会计师事务所认定上述问题已经构成了财务报告内部控制重大缺陷，出具了否定意见的内部控制审计报告。

（3）C公司。

甲会计师事务所在对C公司内部控制有效性进行审计的过程中发现下列事项：①C公司自2018年年初陆续发生多起重大关联交易事项，为规范关联交易行为，C公司于2018年12月底制定了关联交易内部控制制度，将其纳入《C公司内部控制手册》；②C公司限制甲会计师事务所审计人员对某类重要资产内部控制流程的测试，且未提出正当理由。

甲会计师事务所据此出具了无法表示意见的内部控制审计报告。

（4）D公司。

D公司为专门从事证券经营业务的上市公司。

甲会计师事务所在对D公司内部控制有效性进行审计的过程中发现：D公司策略交易系统的某模块存在重大技术设计缺陷，但该重大缺陷不影响D公司财务报表的真实可靠。

甲会计师事务所出具了无保留意见的内部控制审计报告。

假定不考虑其他因素。

要求：1.根据资料（1），判断A公司未将A1公司纳入2018年度内部控制建设与实施范围的做法是否恰当，并说明理由。

2.根据《企业内部控制基本规范》及其配套指引的要求，逐项说明资料（2）中事项①至③可能产生的主要风险；并针对每项主要风险，分别提出相应的控制措施。

3.根据资料（3），说明甲会计师事务所出具无法表示意见的内部控制审计报告的理由。

4.根据资料（4），针对D公司策略交易系统某模块存在的重大技术设计缺陷，说明甲会计师事务所在内部控制审计报告中应当如何处理。

【参考答案及分析】1.A公司未将A1公司纳入2018年度内部控制建设与实施范围的做法不恰当。

理由：不符合全面性原则的要求。

或：内部控制应当覆盖企业及其所属单位的各种业务和事项。

2.（1）事项①可能产生的主要风险是：审计委员会未能发挥监督职能，治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。

控制措施：董事会可按照股东（大）会的有关决议，明确审计委员会的职责权限、任职资格、议事规则和工作程序，为董事会科学决策提供支持。

（2）事项②可能产生的主要风险是：对担保申请人的资信状况调查不深，审批不严或越权审批，可能导致企业担保决策失误或遭受欺诈。

控制措施：①企业应当建立担保授权和审批制度，规定担保业务的授权批准方式、权限、程序、责任和相关措施，在授权范围内进行审批，不得超越权限审批。

②重大担保业务，应当报董事会或类似权力机构批准。

或：重大事项应当实行集体决策或联签制度。

③企业应当加强对子公司担保业务的统一监控。

（3）事项③可能产生的主要风险是：编制财务报告违反会计法律法规和国家统一的会计准则制度，可能导致企业承担法律责任和声誉受损。

控制措施：企业应当遵循规定的标准【或：《企业会计准则第14号——收入》的规定；或：国家统一的会计准则制度的规定】，如实列示当期收入、费用和利润，不得虚列或者隐瞒收入，不得推迟或提前确认收入。

3.甲会计师事务所出具无法表示意见的内部控制审计报告的理由为：关联交易内部控制制度没有经过充足的运行时间，其运行有效性有待测试；甲会计师事务所对重要资产内部控制有效性的审计范围受限。

4.甲会计师事务所应当将D公司策略交易系统某模块存在的重大技术设计缺陷作为非财务报告内部控制重大缺陷，在审计报告中通过增加描述段的方式予以披露。

或：在审计报告中增加“非财务报告内部控制重大缺陷描述段”。

【2017年真题】甲公司为一家从事机械装备制造的股份制集团企业。