审计师单位内部控制

步骤方法

审计准备阶段

1.计划审计业务。审计师应对内部控制审计进行适当的计划和协助，以保证在需要时，进行适当的监督。

2.评估管理层评估的流程。审计师必须获得对管理层关于公司内部控制有效性评估的过程的了解。主要包括：审计师决定应当对哪些控制实施测试，包括对财务报表中的所有重要会计科目和披露事项的相关认定的控制;评估控制失败导致错报的可能性、错报的程度以及在其他控制有效实施的情形下，实现同样的控制目标的程度;评估控制设计的有效性;根据评估其实施有效性的程序是否充足，来评估控制实施的有效性;决定内部控制缺陷的程度和导致重要缺陷和实质性漏洞发生的可能性;对审计发现是否合理以及是否支持管理层的评估进行评价。

3.评估管理层的文档记录。主要包括对与财务报表重要会计科目和披露事项相关的所有认定进行控制的设计;关于重要交易是如何被初始、授权、记录、处理和报告的信息;关于交易流向的足够信息，包括识别可能发生错误或舞弊而导致重大错报的关键点;已设计的防止或发现舞弊的控制，包括谁实施控制以及相关的职责划分;对期末财务报告过程的控制;对资产保护的控制以及管理层进行测试和评估结果。

4.获得对内部控制的了解。主要通过询问合适的管理层、监督人员和员工;检查公司文件;观察专用控制的应用;通过信息系统追踪与财务报告相关的交易来了解公司内部控制的各个方面。

5.识别重要会计科目。审计师应首先在财务报表、会计科目或披露事项因素层次确定重要的会计科目和披露事项。决定财务报表内重要的会计科目和披露事项也是决定特殊控制测试的出发点。

6.识别重要的流程和主要的交易类别。审计师应当对每一类主要的影响重要会计科目或几组会计科目的交易的重要流程进行识别。主要的交易类型指的是对财务报表产生重要影响的交易类型。

7.理解期末财务报告流程。作为了解和评估期末财务报告流程的一部分，审计师应当评估：公司使用编制年度和季度财务报表的输入和输出方法;期末财务报告过程中使用信息技术的程度;管理层的参与;涉及经营场所的数量;调整分录的类型(例如，标准、非标准、消除和合并);以及包括管理层、董事会和审计委员会在内的适当的机构对流程进行监管的性质和程度。

审计实施阶段

1.实施穿行测试。审计师应当对于第一交易类型实施至少一个穿行测试。审计师实施的穿行测试应当涉及对单独交易的初始、控制权、记录、处理和报告的整个过程，以及对每个被审计的重要流程所进行的控制，包括旨在发现风险和舞弊的控制。穿行测试可以为审计师提供如下证据：确保审计师对于针对内部控制的五大方面所设计的控制进行识别和了解，包括与防止或发现舞弊相关的控制;确保审计师对于整个流程有所了解，并且根据每个相关的财务报表认定，判断是否在流程中容易发生错报的关键点都被识别出来;评估控制设计的有效性;和确认控制是否被实施。

2.识别控制以进行测试。审计师应当对与财务报表的所有重要会计科目和披露事项的所有相关认定所进行的控制的有效性获得足够的证据。在识别重要会计科目、相关认定和重要流程之后，审计师应当对如下进行评估以识别出可以进行测试的控制：发生错误或舞弊的节点;管理层实施控制的性质;为实现控制标准目标而进行的控制的重要性和为实现某一特定目标，是否需要一个以上的控制，或者为实现某一特定目标，补入一个以上的控制是必要的;以及控制不能有效实施的风险。

3.测试和评估设计、运行效果。当预期所实施的控制将防止或发现会导致财务报表重大错报的错误或舞弊时，内部控制的设计是有效的。审计师应当通过如下标准判断公司是否实施了达到控制目标的控制：识别公司每一领域的控制目标;识别满足每一目标的控制;判断如果有效地实施了控制，是否可以防止或发现会导致对财务报表重大错报的错误或舞弊。审计师应当通过判断控制是否按计划实施和实施控制的人员是否获得了必要的授权和具备有效实施控制的来评估控制实施的有效性。对实施有效性进行控制测试的方式包括询问适当的人员、检查相关记录、观察公司的运营和重新实施控制措施等方式的结合。

4.形成关于内部控制是否有效的'意见。在对内部控制发表意见时，审计师应当对获得的所有证据进行评估并发表意见，只有在没有发现实质性漏洞和审计师的工作没有受到限制的情况下，审计师才可以发表无保留意见。如果存在实质性漏洞，审计师应当对财务报告的内部控制发表否定意见，如果工作范围受到限制，审计师应当发表保留意见或无法表示意见，视受限制的范围所定。

5.评估内部控制的缺陷。审计师必须评估已发现的控制缺陷，并且决定这些缺陷单独或累加之后，是否是重要缺陷或实质性漏洞。对内部控制中缺陷的严重性进行评估时应当考虑以下几个方面：某缺陷或缺陷汇总会导致某会计科目余额或披露事项产生错报的可能性;某缺陷或多个缺陷造成的潜在错报的严重程度。

审计报告形成阶段

1.审计师对管理层报告的评估。关于管理层对其内控有效性评估的报告，审计师应当评估下列事件：管理层对适当的内部控制制度的建立和维护是否已经声明了它的责任;由管理层用来执行评估的框架是否是适当的;到公司最近财年结束时，管理层内部控制有效性的评估，是否不包含重大的错报;管理层是否已经用一种可接受的形式表达了它的评估。

2.报告的修订。如果存在以下任何一种情况，审计师就应当修订标准报告：管理层的评估是不充分的，或管理层报告是不适当的;在公司的内部控制中有某个重要缺陷;在业务约定书的范围方面的限制;为了自己的报告，审计师决定参阅其他审计师的部分报告作为基础;自报告日期以来，发生了某个重大的期后事项;在内部控制的管理层报告中包含了其他信息。

3.审计师评估管理层对内部控制披露事项的确认。当内部控制中某一变化的理由是对某个实质性漏洞的纠正时，管理层就有责任来确定和审计师就应当评估：变化的理由和变化周围的环境是否重要的信息来充分的确定披露该变化有误导。

通过查询东奥会计在线的辅导资料得出结论如下：企业内部控制审计是指会计师事务所接受委托对特定基准日内部控制设计与运行的有效性进行审计。

企业内部控制审计是会计师事务所接受委托，对特定基准日企业内部控制设计与运行的有效性进行审计，并发表审计意见，审计内容包括企业治理结构、机构设置、企业文化、人力资源政策等内部控制环境因素，以及企业识别风险的评估程序、应对风险的具体措施和信息传递有效性、保证内部控制规范建设和有效运行的机制等，全面评价企业设计和运行的内部控制是否能够合理保证财务报告及相关信息合法、真实、完整，以及用于保护资产安全的内部控制是否可靠。企业内部控制审计意见包括无保留意见、否定意见和无法表示意见三种类型。如果注册会计师审计后认为企业内部控制在所有重大方面是有效的，则出具无保留意见的内部控制审计报告；如果注册会计师认为企业内部控制存在重大缺陷，则出具否定意见内部控制审计报告；如果注册会计师审计范围受到限制，则应当解除业务约定或出具无法表示意见的内部控制审计报告。内部审计的方法一、假设问题存在审计求证法审计人员带着疑问和问题去实施审计是目前较为普遍采用的一种审计方法，也是最见成效的。二、审前征集审计线索法审计线索的提供者一般情况下都是知情者，因为舞弊的最终结果是在使得一部分人受益的同时侵害了另一部分人的利益或是国家利益或是社会公众利益，这些都会促使知情者在安全的情况通过第三者（如审计组）予以遏止的愿望，而信息的不对称性决定了审计人员对审计客体的经济活动行为的了解是不充分的，国家审计所面对的审计客体的经济活动行为也是多样化的，在审计人员处于信息掌握的劣势地位去揭示审计客体舞弊问题往往如大海捞针。三、审计经验判断法审计经验来源于审计实践是审计人员长期从事审计实践积累的结果，因审计人员的知识结构和持续学习专业技能能力以及接触的审计客体和审计工作时间的差异性，使得每一个审计人员所获取的审计经验存在着巨大的差异性，因此说审计经验具有独有的特性。四、追踪资金流向审计法按照资金的流程实施审计是审计人员最常用的审计方法之一，此方法适应于专项资金或单一资金的追踪检查，通过资金流转的各个环节检查是否存在资金流转过程中的“跑、冒、滴、漏”行为，直到资金最终的合法、有效、效率和效果使用五、走访调查审计法当一个单位的管理层有预谋的从事舞弊活动事件时，单位制定的内部控制制度是不起作用的，审计人员所接触到的记录经济活动行为的载体似乎是合规合法的，此时审计人员已经很难就会计资料所记录的事项作出符合审计目标的专业判断，可审计直觉与审计经验使审计人员觉察到问题远非如此简单，审计人员为了进一步证明自己的直觉判断，选择走访调查的审计方法很可能会得到令审计人员十分惊喜的审计线索或审计证据。六、分析性复核审计法几乎每一个审计项目都要使用的一种方法，分析性复核顾名思义就是在面对审计客体所提供的各种资料记录的载体上，利用审计人员的专业技术知识与经验。在审计人员收集到的相关联的审计记录的基础上，利用合理的推断、验证、计算以及法律法规的量度，进一步核实其提供的会计记录的真实性、完整性、合法性和一致性，通过审计人员理性的分析与复核作出具有证明力的审计结论，从而揭示出问题存在的真正根源。七、环境因素影响审计法环境因素影响审计法是指审计人员在实施审计作业时要要考虑经济与社会发展的大环境下以及审计客体自身环境的影响，可能导致舞弊事件发生的可能性进行审计判断的一种审计方法。也就是说审计人员要通过对审计客体的外部环境和内部环境因素的作用力，作出符合审计目标和能够收集审计证据的基本线索依据，有针对性地组织和进行审计作业。八、抽样审计与详细审计结合审计法抽样审计是确定审计样本的一种审计方法，是基于审计成本与审计时间的制约而考虑的。从技术手段上看，抽样审计潜伏着巨大的审计风险或是因样本的确定可能导致舞弊不能被揭示的内在存在性；从实现审计的目标来看，抽样审计是在一定成本与时间的基础上能够相对效率的实现审计目标。在审计实践中，审计人员确定审计样本是基于内控制度与重要性水平评估的基础上进行，当对某一样本产生怀疑时，审计人员可能会扩大样本的数量或对某一样本的业务流程进行详细审计。九、实物观察与计量审计法此方法也是审计实践中较为常用的一种审计方法，即通过实物的现场观察与实际计量的手段来核实资产账面记录的真实性、存在性和准确性，通常使用的审计工具是各种类型的度量衡，如卷尺、电子称等计量工具。内部审计步骤：1公司根据内审时机，提出内审建议，管理都代表批准后实施。2建立审核小组根据内审活动目的、范围、部门、过程及内审日程安排，审核组长提出审核组名单，经管理者代表批准后建立审核小组。3编制审核计划

第十五条 注册会计师应当了解与审计相关的内部控制。虽然大部分与审计相关的控制可能与财务报告相关，但并非所有与财务报告相关的控制都与审计相关。确定一项控制单独或连同其他控制是否与审计相关，需要注册会计师作出职业判断。第十六条 在了解与审计相关的控制时，注册会计师应当通过将询问被审计单位内部人员和其他程序结合使用，评价这些控制的设计，并确定其是否得到执行。第十七条 注册会计师应当了解控制环境。作为了解控制环境的一部分，注册会计师应当评价：（一）管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化；（二）控制环境总体上的优势是否为内部控制的其他要素提供了适当的基础，以及这些其他要素是否未被控制环境中存在的缺陷所削4弱。第十八条 注册会计师应当了解被审计单位是否已建立风险评估过程，包括：（一）识别与财务报告目标相关的经营风险；（二）估计风险的重要性；（三）评估风险发生的可能性；（四）决定应对这些风险的措施。第十九条 如果被审计单位已建立风险评估过程，注册会计师应当了解风险评估过程及其结果。如果识别出管理层未能识别的重大错报风险，注册会计师应当评价是否存在潜在风险，即注册会计师预期被审计单位风险评估过程应当识别出的风险。如果存在这种潜在风险，注册会计师应当了解风险评估过程未能识别出的原因，并评价风险评估过程是否适合具体情况，或者确定与风险评估过程相关的内部控制是否存在重要缺陷。第二十条 如果被审计单位未建立风险评估过程，或具有非正式的风险评估过程，注册会计师应当与管理层讨论是否识别出与财务报告目标相关的经营风险以及如何应对这些风险。注册会计师应当评价缺少记录的风险评估过程是否适合具体情况，或确定是否表明存在内部控制重要缺陷。第二十一条 注册会计师应当从下列方面了解与财务报告相关的信息系统（包括相关业务流程）：（一）在被审计单位经营过程中，对财务报表具有重大影响的各类交易；（二）在信息技术和人工系统中，对被审计单位的交易生成、记录、处理、必要的更正、结转至总账以及在财务报表中报告的程序；（三）用以生成、记录、处理和报告（包括纠正不正确的信息以及信息如何结转至总账）被审计单位交易的会计记录、支持性信息和财务报表中的特定账户；（四）被审计单位的信息系统如何获取除交易以外的对财务报表重大的事项和情况；（五）用于编制被审计单位财务报表（包括作出的重大会计估计和披露）的财务报告流程；（六）与会计分录相关的控制，这些分录包括用以记录非经常性的、异常的交易或调整的非标准会计分录。第二十二条 注册会计师应当了解被审计单位如何沟通与财务报告相关的人员的角色和职责以及与财务报告相关的重大事项。这种沟通包括：（一）管理层与治理层之间的沟通；（二）外部沟通，如与监管机构的沟通。第二十三条 注册会计师应当了解与审计相关的控制活动。与审计相关的控制活动，是注册会计师为评估认定层次重大错报风险并设计进一步审计程序应对评估的风险而认为有必要了解的控制活动。审计并不要求了解与财务报表中每类重大交易、账户余额和披露或与其每项认定相关的所有控制活动。第二十四条 在了解被审计单位控制活动时，注册会计师应当了解被审计单位如何应对信息技术导致的风险。第二十五条 注册会计师应当了解被审计单位用于监督与财务报告相关的内部控制的主要活动，包括了解针对与审计相关的控制活动的监督，以及被审计单位如何对控制缺陷采取补救措施。第二十六条 如果被审计单位具有内部审计职能，注册会计师应当了解下列事项，以确定内部审计职能是否可能与审计相关：（一）内部审计职能责任的性质以及内部审计职能如何适合被审计单位的组织结构；（二）内部审计职能已实施或拟实施的活动。第二十七条 注册会计师应当了解被审计单位监督活动所使用信息的来源，以及管理层认为信息对于实现目的足够可靠的依据。

第一条为了规范审计人员在审计过程中对被审计单位内部控制的测评行为，保证审计工作质量，根据《中华人民共和国国家审计基本准则》，制定本准则。第二条本准则所称内部控制，是指被审计单位为了维护资产的安全、完整，确保会计信息的真实、可靠，保证其管理或者经营活动的经济性、效率性和效果性并遵守有关法规，而制定和实施相关政策、程序和措施的过程。内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五个要素组成。第三条本准则所称的内部控制测评，是指审计人员通过调查了解被审计单位内部控制的设置和运行情况，并进行相关测试，对内部控制的健全性、合理性和有效性作出评价，以确定是否依赖内部控制和实质性测试的性质、范围、时间和重点的活动。第四条建立健全内部控制并保证其有效实施是被审计单位的责任，审计人员的责任是对内部控制的健全性和有效性进行评价。第五条审计人员进行内部控制测评分为下列四个步骤：（一）对内部控制进行调查了解；（二）对内部控制进行初步评价，评估控制风险；（三）对内部控制的执行情况进行符合性测试；（四）提出内部控制测评结果，并利用测评结果确定实质性测试的范围、重点和方法。第六条审计人员对内部控制的调查了解和初步评价可以通过下列方法进行：（一）查阅被审计单位的各项管理制度和相关文件；（二）询问被审计单位管理人员和其他有关人员；（三）检查内部控制过程中形成的文件和记录；（四）观察被审计单位的业务活动和内部控制的实际运行情况。第七条审计人员对被审计单位控制环境进行了解的内容主要有：被审计单位的高层管理人员和其他管理人员的控制意识和诚信程度，经营规模及业务复杂程度，组织机构和相关制度，各部门的分工和职责，主要财政预算和财务计划，人力资源政策等。第八条审计人员对被审计单位的风险评估进行了解的内容主要有：被审计单位如何确定风险、评估风险的重要性，如何将风险发生的可能性与管理目标、经营计划和财务报告的相关内容联系起来并采取相应的措施。第九条审计人员对被审计单位的控制活动进行了解的内容主要有：被审计单位各项业务处理程序的授权批准，职责分工，实物控制，凭证与记录的设置和运用，独立的检查程序等控制手段的设置与执行情况。第十条审计人员对被审计单位的信息与沟通情况进行了解的内容主要有：被审计单位管理和经营活动的主要业务类别，处理各类经济业务的程序，各项业务的会计处理程序和所依据信息的来源，会计系统的设计和重要的会计凭证、账簿种类以及会计报表项目，各部门间信息的传递方式等。第十一条审计人员对被审计单位的内部监督情况进行了解的内容主要有：被审计单位日常性的监督检查方法，即管理者为监督各项工作的运行而使用的预算、计划、责任报告等制度与方法，内部审计的设置和工作情况等。第十二条审计人员可以采用如下形式对被审计单位内部控制进行描述，并写入审计日记：（一）用文字记录的形式描述被审计单位内部控制的设置情况；（二）使用调查表的形式向被审计单位管理人员或有关当事人询问内部控制的设置情况并加以记录；（三）以特定的语言符号，绘制经济活动的业务流程，以描述被审计单位内部控制的设置情况。以上方法可以单独使用，也可以结合使用。第十三条审计人员进行初步评价后，应当评估控制风险，对是否依赖被审计单位的内部控制及依赖的程度作出决策。第十四条评估控制风险包括以下工作内容：（一）分析可能发生错弊的业务环节和活动领域，并考察被审计单位已采取的控制措施；（二）测试相关内部控制的合理性和运行的有效性；（三）确定控制风险水平。第十五条审计人员对内部控制进行符合性测试，可以通过检查文件资料、询问、现场观察、重做某项业务等方法来测试内部控制制度是否得到有效执行。测试的方式主要有以下两种：（一）按照业务处理过程检查业务处理程序中的各项内部控制规定是否得到执行；（二）选择有关经济业务，对业务处理程序中的关键控制点进行测试，检查其是否真正发挥作用。第十六条审计人员在对内部控制执行情况测评后，应当综合分析被审计单位内部控制的健全性和有效性，提出内部控制测评结果，并据此确定实质性测试的范围、重点和方法。