第3節 程序和方法

一、內部控制審計程序

內部控制審計程序，就是內部控制審計工作從開始到結束的基本步驟。一般將內部控制審計程序劃分為審計規劃、評估風險、控制測試、分析結果、提出建議、編寫報告、跟蹤和監督等階段。

我國財政部、證監會等五部委頒布的《企業內部控制審計指引》把會計師事務所承接的基于鑒證需要的內部控制審計工作分為計劃審計工作、實施審計工作、評價控制缺陷、完成審計工作、出具審計報告等主要步驟。

中國內部審計協會發布的《第2201號內部審計具體準則——內部控制審計》將內部審計機構及其人員承接的內部控制審計程序劃分為編制項目審計方案、組成審計組、實施現場審查、認定控制缺陷、匯總審計結果、編制審計報告等步驟。

我們認為內部控制審計基本程序包括審計準備、審計實施、審計報告三個階段，每個階段又可細分為若干步驟。我們自主編制的內部控制審計業務流程目錄如表1-1所示。

（一）內部控制審計準備

內部控制審計準備是內部控制審計工作的首要環節，是對內部控制審計工作的規劃或計劃，一般應包括制定規劃、確定單位、初步了解、制定方案、成立小組、確定標準、編制程序、準備資料、下發通知、組織進點等步驟。其中，制定方案、成立小組和準備資料很重要。

1.制定規劃

制定規劃就是審計機構對內部控制審計工作做出事先規劃，規劃是確定內部控制審計項目的直接依據。

審計機關和內審機構應根據本機構工作目標和重點，提出內部控制審計的重點內容和重點審計單位，編制年度內部控制審計規劃（計劃），或更長期間的規劃，并根據實際工作出現的新情況和新問題及時對規劃進行調整。

會計師事務所不需要編制年度內部控制審計計劃，而應編制內部控制審計項目計劃。項目計劃就是對內部控制審計項目的具體安排，基本上可等同于項目工作方案。

2.確定單位

確定單位就是確定內部控制審計的被審計單位。

審計機關和內審機構應依據審計工作規劃，根據上級部門和有關領導直接布置的專項工作確定內部控制審計的具體被審計單位。

會計師事務所只能根據委托協議確定需對其實施內部控制審計的客戶。

3.初步了解

初步了解也稱初步調查，就是初步了解組織的基本情況及其內部控制狀況，是制定具有針對性的內部控制審計工作方案的前提。

在確定了被審計單位后，審計人員應對被審計單位的情況進行初步了解。審計準備階段的初步了解不可能太詳細，一般應包括了解被審計單位所處的環境和營業的特點、內部控制的構建和運行狀況等。初步了解的程序如下。

（1）確定內部控制有效性審計標準。

（2）收集相關資料和信息，主要包括被審計單位的基本情況、被審計單位正在執行的各種成文的管理制度及其適用范圍和所屬控制環節、以前年度內部控制審計結果、近一年來其他審計或檢查的結果、從其他渠道得到的內部控制信息，等等。

（3）確定審計內容和重點。對照內部控制審計要點，對收集到的相關資料和信息進行分析，判斷被審計單位的控制薄弱環節，確定審計的內容和重點。以往審計或檢查發現的內部控制執行缺陷必須納入審計重點。

4.制定方案

制定方案就是制定內部控制審計工作方案。內部控制審計工作方案是實施內部控制審計的具體依據。內部控制審計工作方案相當于內部控制審計工作項目計劃，是審計機構及審計人員為完成審計業務、達到預期的審計目的，對內部控制審計工作做出的事先規劃，對審計人員及時、有效地開展內部控制審計工作具有重要作用。

內部控制審計工作方案一般包括內部控制審計的目的、時間、范圍、方式、內容、人員分工等內容，其中最主要的內容是審計范圍、審計人員、審計程序。

會計師事務所的內部控制審計工作項目計劃內容包括風險評估程序、計劃實施的進一步審計程序、計劃實施的其他審計程序，對審計計劃的更改。

為了更高效地實施內部控制審計，審計人員應根據被審計單位所處的環境和營業的特點等，充分了解被審計單位的內部控制構建和運行狀況及評價狀況，考慮審計上的重要性，制定內部控制審計工作方案。

一般來說，在制定內部控制審計工作方案時，審計人員應當考慮以下主要因素：

一是企業所在行業的情況，包括行業景氣程度、經營風險、技術進步等；

二是企業的內部情況，包括組織結構、經營特征、資本構成、生產和業務流程、員工素質等；

三是企業近期在經營和內部控制方面的變化；

四是管理層的誠信、能力及發生舞弊的可能性；

五是管理層評價內部控制有效性的方法和證據；

六是對重要性水平、固有風險及其他與確定內部控制重大缺陷有關的因素的初步判斷；

七是特定內部控制的性質及其在內部控制整體中的重要性；

八是對內部控制有效性的初步判斷；

九是從其他專業服務中了解到的有關被審計單位內部控制的情況。

在內部控制審計實施過程中，在因條件的變化需要改變方案的內容的情況下，或者在審計實施過程中發現新的重要事項的情況下，審計人員必須合理地調整內部控制審計工作方案，但需要按規定程序進行修改和批準。一般是按內部控制審計工作方案的制定程序制定補充方案。為保證內部控制審計工作方案的有效實施，確保內部控制審計工作的質量，審計人員應嚴格執行內部控制審計工作方案，不能私自更改內部控制審計工作方案的內容。

5.成立小組

成立小組就是成立內部控制審計組。這是內部控制審計工作能夠有效進行的組織和人員上的保證。具有專業勝任能力的審計組是高質量完成內部控制審計的基礎。

與一般財務報表審計相比，內部控制審計對審計人員的要求比較高，審計人員除應具備基本的財務審計知識和技能外，還需要具備經營管理知識和能力，更需要具備內部控制和風險管理知識和技能。

審計機構應根據內部控制審計工作的性質、業務量、難度及時間進度，并結合有關領導及部門對內部控制審計任務的特殊要求和規避原則，組織有經驗的審計人員和聘請有關專家，組建內部控制審計組，任命組長，并對審計組成員提出任務性質、工作量、完成時間、注意事項等方面的要求，同時進行審計前有關法律法規、主要業務培訓，為現場審計打好基礎。

6.確定標準

確定標準就是確定內部控制審計具體依據。審計機構在實施內部控制審計前應明確審計標準，并要求所有參與審計的人員認真閱讀，必要時應進行審計前的培訓。國際上關于內部控制審計的標準有很多，我國政府部門頒布的法規或者規范性文件也不少。

這么多標準到底執行哪個呢？這是在實施內部控制審計之前必須解決的。我國企業的內部控制審計標準應該統一為財政部、證監會、審計署等五部委頒發的《企業內部控制基本規范》及其配套指引。

就一個具體內部控制審計項目而言，本組織的《內部控制管理手冊》《內部控制評價手冊》《內部控制審計手冊》是最具體的標準和指南。

就內審機構而言，通常審計人員應選擇組織已制定的內部控制標準為內部控制審計標準。如果審計人員認為已有標準不合適，應向適當的管理層報告；如果管理層沒有制定合適的標準，審計人員應基于組織利益最大化的原則選擇適當的審計標準。

7.編制程序

編制程序就是編制內部控制審計的具體流程（內部控制審計程序）。這對引導審計人員進行具體審計工作非常有用。內部控制審計程序一定要在內部控制審計標準要求的基礎上，結合企業內部控制現狀設計，以增強可操作性。

組織結構、經營流程及業務單元的規模和復雜程度影響許多控制目標的實現方式。審計機構應當根據企業的具體情況調整審計工作，以獲取充分、適當的證據，支持發表的審計意見。

8.準備資料

準備資料就是準備內部控制審計需要的相關資料，審計機構和被審計單位都需要準備資料。

審計機構需要準備的資料主要包括審計標準、調查問卷、抽樣計劃、工作底稿、缺陷認定及報告模板等。

在審計工作實施前，讓參與審計的人員熟知內部控制審計的具體流程及其相應的工作模板，對提高內部控制審計工作效率和質量具有非常重要的意義。

被審計單位需要準備的資料主要包括內部控制體系文件及相關記錄等。根據我們多年的審計工作實踐經驗，在實施內部控制審計前向被審計單位提供審計資料準備清單有助于被審計單位提前做好準備，從而提高內部控制審計工作效率。

9.下發通知

下發通知就是在實施內部控制審計前下發審計通知書，明確內部控制審計的有關事宜。

一般來說，內部控制審計組于實施現場審計前向被審計單位下發內部控制審計通知書，通知書中應明確被審計單位需要準備的資料、參加審計的人員，同時要求被審計單位要有一名審計工作協調員，負責審計聯絡工作及有關事項。

下發通知的具體時間是沒有明確規定的，可以根據實際需要確定，可以是審計人員進現場的當天，也可以提前幾天或幾周。若沒有特殊情況，內部控制審計組應在進現場前一周下發審計通知書，便于被審計單位做好審前準備。

10.組織進點

組織進點就是組織內部控制審計組入駐被審計單位開始進行內部控制審計現場工作。內部控制審計工作涉及面廣、難度大，需要企業各個部門全力配合才能完成。

在內部控制審計實施前利用進點會或其他形式對被審計單位的高管人員及其員工進行動員或宣講是十分必要的。審計組進點后應按照內部控制審計工作方案的要求，按照具體分組、分工及時投入實際審計工作。

在實際內部控制審計工作中，審計準備階段的上述工作不可能人為割裂開來，在順序上也不是固定的，在內容上也可多可少。

（二）內部控制審計實施

審計實施是內部控制審計的核心環節，是內部控制審計最具實質性的階段，一般包括調查了解、初步評價、評估風險、選擇控制、控制測試、應對舞弊、獲取證據、評價缺陷和形成意見等步驟。

1.調查了解

調查了解，專業上稱“了解內部控制”程序，是內部控制審計實施階段的首要環節，是在前期對內部控制現狀初步了解基礎上的深入調查和了解。內部控制審計組應了解被審計單位內部控制體系的基本情況，確認審計范圍，確定被審計單位的內部控制體系的健全程度，然后決定實施測試時所采用的方法。

這一部分的工作是在審計準備階段的基礎上進行的，涉及的具體內容很多，也因企業的不同而不同，大致可分為以下兩個方面。一是從整體層面了解內部控制，這包括對控制環境、風險評估、控制活動、信息與溝通、內部監督五要素的了解。二是從業務層面了解內部控制，通常包括如下步驟：確定重要業務流程和重要交易類別；了解重要交易流程，并記錄；確定可能發生錯報的環節；識別和了解相關控制。

對內部控制整體層面和業務層面的了解都很重要，不能僅限于對內部控制五要素的調查和了解。調查了解內部控制也不必面面俱到，要突出重點，主要調查被審計單位或部門是否遵循了不相容職務控制、業務程序標準化控制、復查核對控制等程序。

可通過審閱被審計單位的規章制度、組織機構設置表和前一年度的審計工作底稿，或通過現場詢問有關人員，以及通過實地觀察等方式，調查了解被審計單位內部控制系統的詳細情況之后采用一定的方法將調查結果表述出來。內部控制審計應調查的內容應視具體的項目而定，并使用調查清單載明調查內容及要點，以免遺漏。

2.初步評價

初步評價也稱適當性測試。內部控制適當性測試是指采用抽樣方法將現行內部控制與理想內部控制模式進行比較，以評價組織應有的內部控制環節是否齊全，是否符合組織的實際需要，以及有無欠妥之處。內部控制適當性測試步驟包括確定理想的內部控制模式、描述現行內部控制、比較現行內部控制與理想內部控制模式、進行初步評價等。

（1）確定理想的內部控制模式。理想的內部控制模式是完整無缺的內部控制制度具有的良好風險控制所需的所有環節和手段。它實際上是內部控制評價的依據，回答了被審計單位的內部控制系統究竟應該怎樣建立、符合什么標準才達到健全完善的程度等問題。

審計人員要搞清楚內部控制控制什么、如何控制、為什么而控制、控制標準如何等。在確定理想的內部控制模式時，既要考慮國家對內部控制方面的要求，又要借鑒國內外先進的內部控制模式。在內部控制調查的基礎上，進一步明確風險點與控制點，明確各項控制措施的目標與功能，明確為特定控制目標需要設計的特定措施與方法，明確如何將內部控制與主要經營環節及業務相互銜接與配套，構成有機的系統，以確定對現行內部控制進行適當性評價的標準。

（2）描述現行內部控制。當理想的內部控制模式確定后，審計人員應對現行的內部控制進行描述。這方面的工作主要包括：在充分搜集各種成文的制度資料的基礎上，編制有關文字說明；采用調查表法、詢問法及觀察法了解主要業務處理的受控過程、受控成效及存在的薄弱環節，并編制文字說明或繪制業務流程圖；審查與鑒別控制方法實施與控制職責實現，是否能有效防止錯誤與舞弊。內部控制描述的重點，應該是主要業務處理程序、主要控制程序、有重大影響的內部控制弱點、主要業務處理的類型和工作量等。

（3）比較現行內部控制與理想內部控制模式。將組織現行的內部控制與理想的內部控制模式進行比較時，應注意：現行控制程序與理想控制目標是否相聯系；現行控制方法是否適合既定的控制目標，能否滿足標準的要求；現行制度與應該有的控制有多大差距；關鍵的控制制度是否都有；關鍵的控制點是否得到應有的控制；控制的優點和弱點在哪里。

（4）進行初步評價。在內部控制審計中，進行內部控制初步評價（簡稱“初評”）的主要目的是確定控制測試的重點和范圍。

初評主要考慮的問題包括：根據一般規律和被審計單位的具體情況，被審計單位可能會發生哪些方面的舞弊、浪費、低效率和失職等不良行為；按照內部控制的原理，被審計單位應該建立哪些方面的控制制度才能有效地防止和糾正各種失控現象；被審計單位是否具有應有的控制制度，如果沒有，是否存在相應補救措施；等等。

3.評估風險

評估風險是指風險評估程序，是整個內部控制審計的基礎。按照風險導向審計理論，審計人員進行內部控制審計也應當以風險評估為基礎，選擇擬測試的控制，確定測試所需要收集的證據。

就內部控制審計而言，實施風險評估程序的作用在于確定存在重大缺陷的高風險領域，評估結果是確定重要的賬戶、列報及其相關認定，選擇擬進行測試的控制，以及確定針對特定控制所需收集的證據。內部控制的特定領域存在重大缺陷的風險越高，給予該領域的審計關注就越多。

這與財務報表審計中的風險評估程序有所不同。財務報表審計中的風險評估程序的作用是識別和評估財務報表層次的重大錯報風險，評估結果是確定重要性水平、識別需要特別考慮的領域、設計和實施進一步審計程序。

4.選擇控制

選擇控制就是審計人員根據風險評估的結果識別和選擇需要測試的控制。自上而下是審計人員識別風險、選擇擬測試控制的基本思路。基于財務報告內部控制，識別和選擇要測試的控制，主要包括識別整體層面的控制，識別重要賬戶、列報及其相關認定，了解錯報的可能來源，選擇擬測試的控制。

（1）識別整體層面的控制。整體層面的控制包括：與控制環境相關的控制；針對管理層凌駕于控制之上的風險而設計的控制；組織的風險評估過程；集中化的處理和控制，包括共享的服務環境；監控經營成果的控制；監督其他控制的控制，包括內部審計職能、審計委員會的活動及內部控制自我評價；對期末財務報告流程的控制；針對重大經營控制及風險管理實務而采取的政策。

審計人員應當測試對評價內部控制有效性有重要影響的整體層面控制。對整體層面控制的測試，可能增加或減少本應對其他控制進行的測試。

（2）識別重要賬戶、列報及其相關認定。審計人員應當識別重要賬戶、列報及其相關認定。相關認定是這樣一些財務報表認定：它們包含的一個錯報會以相當的可能性導致財務報表發生重大錯報。財務報表認定包括存在或發生、完整性、計價或分攤、權利和義務、列報和披露。

為識別重要賬戶、列報及其相關認定，審計人員應當從以下方面評價財務報表項目及附注的錯報風險因素：賬戶的規模和構成；易于發生錯報的程度；賬戶或列報中反映的交易的業務量、復雜性及同質性；賬戶或列報的性質；與賬戶或列報相關的會計處理及報告的復雜程度；賬戶發生損失的風險；賬戶或列報中反映的活動引起重大或有負債的可能性；賬戶記錄中是否涉及關聯方交易；賬戶或列報的特征與前期相比發生的變化。

在識別重要賬戶、列報及其相關認定時，審計人員還應當確定對財務報表產生重大影響的潛在錯報的可能來源。審計人員可通過考慮在特定的重要賬戶或列報中錯報可能發生的領域和原因，確定潛在錯報的可能來源。

在內部控制審計中，審計人員在識別重要賬戶、列報及其相關認定時應當評價的風險因素，與財務報表審計中考慮的因素相同。在財務報表審計中，審計人員可能針對非重要賬戶、列報及其相關認定實施實質性程序。如果某潛在重要賬戶或列報的各組成部分存在的風險差異較大，組織可能采用不同的控制以應對這些風險，審計人員應當分別處理。

（3）了解錯報的可能來源。為了進一步了解潛在錯報的可能來源，以及作為選擇要測試控制的一部分工作，審計人員應當了解與相關認定有關的交易的處理流程，包括這些交易如何生成、批準、處理及記錄；驗證審計人員已識別出的業務流程中可能發生重大錯報（尤其是由舞弊導致的錯報）的環節；識別管理層用于應對這些潛在錯報的控制；識別管理層用于及時防止或發現未經授權的、導致財務報表重大錯報的資產取得、使用或處置的控制。

審計人員應當了解信息技術如何影響企業的業務流程。穿行測試通常是審計人員完成上述工作最有效的方式之一。穿行測試是指追蹤某筆交易從發生到最終被反映在財務報表中的整個處理過程。在執行穿行測試時，審計人員使用的文件和信息技術應當與企業員工使用的相同。在執行穿行測試時，通常需要綜合運用詢問適當人員、觀察經營活動、檢查相關文件及重新執行控制等程序。

在執行穿行測試時，針對特定交易的重要處理環節，審計人員可以詢問企業員工對規定程序及控制的了解程度。這些試探性提問連同穿行測試中的其他程序，可以幫助審計人員充分了解業務流程，識別必要控制設計無效或出現缺失的重要環節。

（4）選擇擬測試的控制。審計人員應當評價控制是否足以應對評估的每個相關認定的錯報風險，并選擇其中對形成評價結論具有重要影響的控制進行測試。

就特定的相關認定而言，可能有多項控制用于應對評估的錯報風險；反之，一項控制可能用于應對評估的多個相關認定的錯報風險。

審計人員沒有必要測試與某個相關認定有關的所有控制。在確定是否測試某項控制時，不論該項控制的分類和名稱如何，審計人員應當考慮其單獨或連同其他控制是否足以應對評估的某項相關認定的錯報風險。

就內部控制審計而言，識別和選擇要測試的控制主要包括識別和選擇整體層面的控制、識別和選擇業務層面的控制兩個方面。

5.控制測試

控制測試就是審計人員在了解內部控制的基礎上現場測試內部控制設計和運行的有效性，獲取充分、適當的證據以評價內部控制有效性的行為，是內部控制審計的核心程序。

內部控制審計中的控制測試是必需的程序，而財務報表審計中的控制測試不是必需的程序，兩者還有諸多不同之處，不能等同。審計人員應當選擇適當類型的審計程序以獲取有關控制設計和運行有效性的保證。

內部控制測試應分為整體層面控制測試和業務層面控制測試兩個方面。審計人員在實施測試工作時，可以結合進行整體層面控制測試和業務層面控制測試。不論是整體層面控制測試還是業務層面控制測試，測試內容包括測試控制設計和運行的有效性兩個方面。在內部控制審計實踐中，關于內部控制設計有效性和運行有效性的審計是分別進行的。

審計人員在測試內部控制設計的有效性時，應當綜合運用詢問適當人員、觀察經營活動和檢查相關文件等程序。內部控制設計有效性的審計程序如下。

一是描述組織的經營管理流程和業務流程，查找風險點。

二是通過風險評估確定應進行控制的風險點（控制點）。對業務流程和經營管理流程中的各風險點進行風險評估，對影響經營合法性、財務報表真實性、資產安全性和經營效率性的風險點進行確認、記錄，并對其可能產生的風險和風險程度進行評估。

三是確定組織應當建立的內部控制措施。根據風險評估的結果，并結合對以往審計結果的分析，確定組織應當建立的內部控制措施。

四是分析、評價組織已建立的內部控制的有效性。將組織應當建立的內部控制和組織已建立的內部控制進行比較、分析，評價組織已建立的內部控制的覆蓋程度和適應情況，具體包括：是否在每一個需要控制的地方都設置了控制措施；設置的控制措施是否能夠控制相對應的風險；是否安排了過多或不必要的控制點或控制措施；控制職能是否劃分清楚；內部控制是否有重點，對風險程度高的控制點是否設置了強有力的控制措施；以往審計發現的內部控制設計缺陷是否得到改善；等等。

審計人員在測試內部控制運行的有效性時，應當綜合運用詢問適當人員、觀察經營活動、檢查相關文件及重新執行控制等程序。內部控制運行有效性的審計程序如下。

一是初步調查被審計單位內部控制的執行情況。

二是對內部控制執行情況進行測試。對內部控制執行情況進行測試的過程，也就是對初步調查結果進行查證核實的過程，要查明被審計單位的各項控制措施是否真實地存在于經營管理活動之中、是否得到貫徹執行、執行程度如何、薄弱環節是哪些等。

事實上，實際工作中內部控制設計有效性和運行有效性應一并進行測試，很難人為割裂開來。盡管很多有關內部控制的文獻特別區分了內部控制設計和運行的有效性，但實際上，最終管理層對內部控制的運行而不是設計的有效性做出認定。

6.應對舞弊

舞弊風險危害極大，內部控制是防范舞弊風險的一種有效手段。在內部控制審計準備階段，審計機構應當考慮舞弊風險的評估結果。在測試整體層面控制和業務層面控制時，審計人員應當評價內部控制是否足以應對舞弊風險。就財務報告內部控制而言，可以應對舞弊風險的控制包括：①對重大的異常交易的控制，特別是那些導致延遲或異常日記賬記錄的交易；②對日記賬記錄及在期末財務報告流程內做出調整的控制；③對關聯方交易的控制；④與重要的管理層估計相關的控制；⑤會減輕管理層虛構或不當管理財務結果的動機或壓力的控制。

7.獲取證據

獲取證據是內部控制審計的核心工作，貫穿內部控制審計實施階段的始終。獲取充分、適當的證據是實施審計工作的主要內容，也是確保審計工作質量的關鍵。

（1）風險與獲取證據的關系。在風險導向審計方式下，審計人員應當根據與內部控制相關的風險，確定擬實施內部控制審計程序的性質、時間和范圍，獲取充分、適當的證據。審計人員應當根據與內部控制相關的風險，確定所需獲取的證據。與內部控制相關的風險包括控制可能無效的風險和因控制無效而導致重大缺陷的風險，具體包括：該項控制擬防止或發現的錯報的性質和重要程度；相關賬戶、列報及其認定的固有風險；相關賬戶或列報是否曾經出現錯報；交易的數量和性質是否發生變化，進而可能對該項控制設計或運行的有效性產生不利影響；整體層面控制（特別是監督其他控制的控制）的有效性；該項控制的性質及其執行頻率；該項控制對其他控制（如內部環境或信息技術一般控制）有效性的依賴程度；該項控制的執行或監督人員的專業勝任能力，以及其中的關鍵人員是否發生變化；該項控制是人工控制還是自動化控制；該項控制的復雜程度，以及在運行過程中依賴判斷的程度。與內部控制相關的風險越高，審計風險也越大，審計人員需要獲取的證據也越多。當然，這也要考慮獲取的證據的證明力，也就是說要考慮獲取的審計證據的質量，而不能僅考慮證據的數量，要考量成本與效率的平衡。

（2）獲取證據的方法。獲取證據的方法，也就是審計方法。審計人員在測試控制設計與運行的有效性時，應當綜合運用詢問適當人員、觀察經營活動、檢查相關文件、穿行測試和重新執行控制等方法。獲取證據的方法不同，獲取的證據的效力也就不同。一般來說，獲取證據的方法按證據效力由弱到強的排序為：詢問、觀察、檢查和重新執行（即重新執行控制）。詢問本身并不足以提供充分、適當的證據。審計人員在測試控制設計與運行的有效性時，根據所測試控制的性質、范圍等的不同可選用一種或幾種方法來獲取充分、適當的證據。

（3）獲取證據的時間范圍。對鑒證類內部控制審計，審計人員應當盡量在接近企業內部控制自我評價基準日的時間實施測試。審計人員要對企業內部控制自我評價報告做出鑒證性的審計意見，在越接近企業內部控制自我評價基準日的時間實施測試，就越能獲取充分、適當的證據，測試提供的反映控制有效性的證據越有力。審計人員在確定測試的時間時，要確保實施的測試涵蓋足夠長的期間。從理論上講，對控制有效性的測試涵蓋的期間越長，提供的反映控制有效性的證據越多。這個足夠長的期間到底是多長，沒有明確的規范要求，這需要審計人員的專業判斷。

（4）控制偏差對獲取證據的影響。控制偏差是指內部控制運行偏離設計的情況。對于控制偏差，審計人員應當確定該偏差對相關風險評估的影響，應當確定該偏差對需要獲取的證據的影響，應當確定該偏差對控制運行有效性結論的影響。

此外，審計人員為證實控制未發生變化而需獲取證據的性質和范圍，可能隨情況的變化而變化。例如，企業程序變更控制的強弱將影響需獲取證據的性質和范圍。

8.評價缺陷

評價缺陷即評價控制缺陷，就是審計人員以公認的方法和標準，對內部控制存在的設計和運行有效性方面的問題進行分析，進而評估內部控制缺陷導致財務報告錯報的影響程度及發生可能性的過程，是內部控制審計實施階段的重要環節。

內部控制缺陷評價不是一個簡單的過程。在具體的評價過程中，審計人員應將已經調查了解到的內部控制系統的現狀和事先確定的理想內部控制模式進行對照，以揭示哪些法規規定的控制程序未被采用。對對照中發現的控制缺陷，審計人員應當按照不同內容分類，并記錄在內部控制系統缺陷登記表中。對已發現的內部控制重大缺陷，審計人員應當及時以書面形式和被審計單位溝通，核對測試結果和數據，確認內部控制缺陷事實并在缺陷認定底稿上簽章。在判斷某項內部控制缺陷單獨或連同其他內部控制缺陷是否為重大缺陷時，審計人員應當考慮潛在的錯誤或舞弊可能導致錯報的金額和性質。

9.形成意見

形成意見即形成審計意見。審計意見就是對被審計單位內部控制有效性的審計結論。內部控制審計意見應該為被審計單位內部控制有效或無效，不需要過多修辭。

內部控制審計工作就是為了形成對內部控制有效性的審計意見。如果內部控制審計工作未能形成對內部控制有效性的審計意見，內部控制審計工作目標就沒有實現，甚至成了無效審計。

審計意見的形成是個復雜的過程，需要做很多工作，以下幾個方面是非常重要的。

一是對獲取的證據進行分析評價。內部控制審計的實施過程就是獲取證據以形成對內部控制有效性的意見的過程。審計證據是形成對內部控制有效性的意見的直接依據，審計人員應當評價從各種來源獲取的證據。我們認為審計評價是審計工作的一個重要環節，要讓審計評價貫穿審計工作始終，并要進行獨立的評價程序，編制專門的審計評價工作底稿。

二是就審計事實進行現場溝通。一般來說，審計人員在審計外勤工作結束前就審計事實與被審計單位進行充分的溝通是十分重要的。這不僅有利于被審計單位理解和支持審計意見，而且有利于提高審計質量和效率。審計人員與被審計單位需要溝通的事項很多，審計人員應當與被審計單位溝通審計過程中識別的所有控制缺陷。溝通的形式是多種多樣的，對于重大缺陷和重要缺陷，審計人員應當以書面形式與董事會和經理層溝通。若審計人員認為審計委員會和內部審計機構對內部控制的監督是無效的，應當就此以書面形式直接與董事會和經理層溝通。不論是何種溝通，審計人員都應做好溝通記錄，形成審計工作底稿。審計過程中的各種溝通最好在審計人員審計外勤工作結束前進行，最晚應當在審計機構出具內部控制審計報告前進行。

三是獲取企業簽署的書面聲明。獲取管理層書面聲明是注冊會計師執業準則的基本要求，注冊會計師應當按照《中國注冊會計師審計準則第1341號——書面聲明》的規定，確定聲明書的簽署者、聲明書涵蓋的期間及何時獲取更新的聲明書等。《企業內部控制審計指引》明確要求：“注冊會計師完成審計工作后，應當取得經企業簽署的書面聲明。”審計機構進行內部控制審計都應當取得經企業簽署的書面聲明。書面聲明獲取的時間最好是在審計準備階段。書面聲明的內容因審計機構、審計類型要求的不同而不同，也因被審計單位實際情況的不同而不同。就會計師事務所承接的鑒證類內部控制審計而言，書面聲明應當包括以下內容：企業董事會認可其對建立健全和有效實施內部控制負責；企業已對內部控制的有效性做出自我評價，并說明評價時采用的標準及得出的結論；企業沒有利用注冊會計師執行的審計程序及其結果作為自我評價的基礎；企業已向注冊會計師披露識別出的所有內部控制缺陷，并單獨披露其中的重大缺陷和重要缺陷；企業對于注冊會計師在以前年度審計中識別的重大缺陷和重要缺陷，是否已經采取措施予以解決；企業在內部控制自我評價基準日后，內部控制是否發生重大變化，或者存在對內部控制具有重要影響的其他因素。企業如果拒絕提供或以其他不當理由回避書面聲明，注冊會計師應當將其視為審計范圍受到限制，解除業務約定或出具無法表示意見的內部控制審計報告。

（三）內部控制審計報告

審計機構在完成內部控制審計現場工作后應當出具內部控制審計報告，而不能在實施內部控制審計前或審計工作未完成或未經審計時就出具內部控制審計報告。

審計機關、內審機構、會計師事務所出具的內部控制審計報告在格式、體例、要素和內容等方面不完全一樣，應注意其區別。

審計機構在出具內部控制審計報告的基礎上，根據需要或委托要求可出具一份致管理部門的意見書或改進建議書。審計報告及意見書既可以作為管理者改進內部控制、加強經營管理的依據，也可以作為審計人員履行職責的依據，還可以作為下次審計選擇重點或線索的依據。

內部控制審計報告是審計人員根據內部控制審計計劃對內部控制實施必要的審計程序后出具的，全面、客觀、準確地反映內部控制審計結果的書面文件，是將審計人員在內部控制審計過程中的發現、查明的事實、獲得的結論與建議，以書面文字形式通知組織有關的管理層的重要環節。簡單地說，出具內部控制審計報告是內部控制審計工作的重要環節，內部控制審計報告是內部控制審計成果的集中體現。

內部控制審計報告是將審計結果轉達成建議改善或通知糾正的手段，是提供給有關方面做行動決定的根據。因此，內部控制審計報告的基本作用是促請有關管理層及時采取增進效能與提高效率的行動。鑒證類內部控制審計報告還具有重要的鑒證作用。

內部控制審計報告的出具應該遵循一定的程序。出具內部控制審計報告是一項復雜的工作，具體報告流程或程序尚沒有統一的規定，審計機構之間的做法也不一致。根據我們的工作經驗，內部控制審計報告的基本流程包括復核底稿、分析缺陷、核定意見、起草報告、復核報告、征求意見、審定簽發、結果利用和總結歸檔等工作步驟。

1.復核底稿

復核底稿就是復核內部控制審計工作底稿。這是出具內部控制審計報告前必須完成的重要工作。復核工作底稿的具體步驟如圖1-1所示。

2.分析缺陷

分析缺陷就是匯總分析審計實施過程中形成的各類缺陷。分析性復核程序的具體步驟如圖1-2所示。

3.核定意見

核定意見就是在復核審計工作底稿，匯總分析控制缺陷的基礎上，審計組對內部控制審計人員形成的審計意見進行審核和確定的過程。

根據《企業內部控制審計指引》的要求，注冊會計師應當對財務報告內部控制的有效性發表審計意見，并對內部控制審計過程中注意到的非財務報告內部控制的重大缺陷，在內部控制審計報告中增加“非財務報告內部控制重大缺陷描述段”予以披露。這考慮了注冊會計師的專業勝任能力，重點是要對財務報告內部控制的有效性發表審計意見，限制了發表審計意見的內部控制范圍。一般來說，注冊會計師出具的內部控制審計報告意見類型有無保留意見、帶有強調事項段的無保留意見、否定意見、無法表示意見等。

4.起草報告

起草報告就是起草內部控制審計報告的具體工作。審計人員應根據審計結果起草內部控制審計報告。

內部控制審計報告起草工作應該始于對每個具體項目審計完后所提出的單項審計結果報告；進入最終報告的起草階段，應將各單項審計結果報告進行整理、匯總，撰寫最終報告的草稿。起草報告時應由審計組組長或指定人員執筆，執筆人員必須具有一定的經驗、學識，掌握一定的寫作技巧。

5.復核報告

復核報告就是對起草的內部控制審計報告進行多層次的復核工作。一般審計人員起草的內部控制審計報告由審計組組長或審計機構負責人復核，審計組組長起草的內部控制審計報告由審計機構負責人復核。復核時，應充分考慮報告主題和整體著眼點的需要，檢驗并消除可能的矛盾，如工作底稿與報告內容的矛盾、報告中不同章節內容的矛盾；并復核表達的正確性、合理性及文辭修飾的恰當性。

6.征求意見

征求意見就是在將復核后的內部控制審計報告提交審定前，向被審計單位征求意見，聽取被審計單位對內部控制審計報告意見與建議的反饋。這有利于審計機構表達對被審計單位的尊重和開誠布公的態度，避免猜忌誤會；有利于審計機構預告內部控制審計報告內容及意見，并與被審計單位通過討論協商達成共識，以減少日后貫徹落實意見的阻力。

7.審定簽發

審定簽發就是就內部控制審計報告征求被審計單位的意見后，審計機構按照內部管理程序審定簽發內部控制審計報告。

《企業內部控制審計指引》明確了內部控制審計報告的格式和內容，但并未對如何公布、披露內部控制審計報告做出詳細規定。

從國際的情況看，管理層的財務報告內部控制自評報告和公共會計公司的財務報告內部控制審計報告，一般同年度報告一并公布。從我國部分上市公司近年來先行先試內部控制審計的做法看，既有在年度報告中單獨作為一部分予以披露的，也有自成體系形成一個專門報告予以披露的。這兩種做法各有利弊，審計機構應尊重企業的自主選擇權。同時，考慮到內部控制自評報告和內部控制審計報告與管理層討論和分析、年度財務報告、財務報表審計報告等具有直接、內在的關聯，我們傾向于建議企業在年度報告中一并披露內部控制審計報告，以利于投資者、債權人、社會公眾和其他利益相關者在通盤了解企業經營狀況、財務狀況、內部控制狀況的基礎上做出正確決策。但是應當強調，在年度報告中一并披露的內部控制審計報告是一個獨立的報告，不同于財務報表審計報告，否則與傳統做法沒有區別，也容易弱化內部控制審計。

8.結果利用

結果利用就是內部控制審計報告的利用。這是內部控制審計發揮作用的主要表現。

對企業而言，其通過反思內部控制審計結果，尤其是內部控制重大缺陷，將內部控制有效性情況納入績效考評體系，可以促進健全內部控制機制，培育內部控制文化，推動內部控制理念和制度落地生根。

對政府有關部門而言，其通過分析、利用企業內部控制審計結果，可以增強政府監督的針對性和實效性；同時，通過匯總、分析各類企業尤其是上市公司內部控制審計結果，發布上市公司內部控制年度綜合分析報告，可以為改進宏觀調控、完善資本市場制度提供直接有力的決策參考。

對審計機構而言，其通過測試、評價企業內部控制有效性，由點及面、積少成多，可以豐富、充實企業內部控制經驗教訓案例庫，為今后的內部控制審計提供強有力的支持。對社會有關方面，包括理論界而言，內部控制審計報告為深度研究公司治理、風險管理和內部控制問題提供了豐富素材，在此基礎上歸納、拓展、提升，可以為深化企業內部控制建設提供科學理論指導。

9.總結歸檔

內部控制審計工作完成后，審計機構應對審計過程、審計方法等方面進行總結，以及時積累經驗、改進問題，不斷提高內部控制審計質量。企業應當建立內部控制審計工作檔案管理制度。內部控制審計的有關文件資料、工作底稿和證明材料等應當被妥善保管。