如何进行内部控制审计？

8.3.3.1　计划审计工作

注册会计师需恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。

在计划审计工作时，注册会计师应当评价有关事项对内部控制及其审计工作的影响:①与企业相关的风险。②相关法律法规和行业概况。③企业组织结构、经营特点和资本结构等相关重要事项。④企业内部控制最近发生变化的程度。⑤与企业沟通过的内部控制缺陷。⑥重要性、风险等与确定内部控制重大缺陷相关的因素。⑦对内部控制有效性的初步判断。⑧可获取的、与内部控制有效性相关的证据的类型和范围。

注册会计师应当充分认识风险评估在计划审计工作中的作用，以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注应越多。

注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及利用的程度，相应减少可能本应由注册会计师执行的工作。注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作，应当对其专业胜任能力和客观性进行充分评价。与某项控制相关的风险越高，可利用程度就越低，注册会计师应当越多地亲自对该项控制进行测试。注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。

8.3.3.2　实施审计工作

注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。

注册会计师测试企业层面控制，应当把握重要性原则，至少应当关注:与内部环境相关的控制；针对董事会、经理层凌驾于控制之上的风险而设计的控制；企业的风险评估过程；对内部信息传递和财务报告流程的控制；对控制有效性的内部监督和自我评价。

注册会计师测试业务层面控制，应当把握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试，并应当关注信息系统对内部控制及风险评估的影响。

注册会计师在测试企业层面控制和业务层面控制时，应当评价内部控制是否足以应对舞弊风险。

注册会计师应当测试内部控制设计与运行的有效性。如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行，能够实现控制目标，表明该项控制的设计是有效的。如果某项控制正在按照设计运行，执行人员拥有必要授权和专业胜任能力，能够实现控制目标，表明该项控制的运行是有效的。(www.xing528.com)

注册会计师应当根据与内部控制相关的风险，确定拟实施审计程序的性质、时间安排和范围，获取充分、适当的证据。与内部控制相关的风险越高，注册会计师需要获取的证据应越多。

注册会计师在测试控制设计与运行的有效性时，应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。

为确保证据的充分性和适当性，注册会计师通常需对测试时间安排进行权衡，既要尽量在接近企业内部控制自我评价基准日实施测试，又要保证实施的测试能够涵盖足够长的期间。一般而言，首次进行内部控制审计时，企业和注册会计师应当在当期会计年度的上半年即开始准备该年度的内部控制审计工作，从而保证整改后的控制运行有足够长的时间。对于认定为缺陷的业务，如果企业在基准日前对其进行了整改，但整改后的业务控制尚没有运行足够长的时间，注册会计师应当将其认定为内部控制在审计基准日存在缺陷。在连续进行内部控制审计的过程中，注册会计师应当考虑以前年度执行内部控制审计时所了解的情况以及当年企业发生的相关变化，在此基础上确定适当的内部控制审计工作方案和时间安排。

8.3.3.3　评价控制缺陷

内部控制缺陷按其成因分为设计缺陷和运行缺陷，按其影响程度分为重大缺陷、重要缺陷和一般缺陷。注册会计师应当评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷。

表明内部控制可能存在重大缺陷的迹象，主要包括:注册会计师发现董事、监事和高级管理人员舞弊；企业更正已经公布的财务报表；注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报；企业审计委员会和内部审计机构对内部控制的监督无效。

8.3.3.4　完成审计工作

注册会计师完成审计工作后，需取得经企业签署的书面声明。书面声明通常包括下列内容:企业董事会认可其对建立健全和有效实施内部控制负责；企业已对内部控制的有效性做出自我评价，并说明评价时采用的标准以及得出的结论；企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础；企业已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷和重要缺陷；企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷，是否已经采取措施予以解决；企业在内部控制自我评价基准日后，内部控制是否发生重大变化，或者存在对内部控制具有重要影响的其他因素。企业如果拒绝提供或以其他不当理由回避书面声明，注册会计师应将其视为审计范围受到限制，解除业务约定或出具无法表示意见的内部控制审计报告。

注册会计师应与企业沟通审计过程中识别的所有控制缺陷，重大缺陷和重要缺陷须以书面形式与董事会和经理层沟通。注册会计师认为企业审计委员会和内部审计机构对内部控制的监督无效的，应以书面形式直接与董事会和经理层沟通。书面沟通需在注册会计师出具内部控制审计报告之前进行。

注册会计师应当对获取的证据进行评价，形成对内部控制有效性的意见，出具审计报告。