《企业内部控制审计指引》解读（十）

《企业内部控制审计指引》解读（十）

附：内部控制审计报告的参考格式

1．标准内部控制审计报告

××股份有限公司全体股东：

按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了××股份有限

公司（以下简称××公司）××年×月×日的财务报告内部控制的有效性。

（1）企业对内部控制的责任

按照《企业内部控制基本规范》《企业内部控制应用指引》《企业内部控制评价指引》的规定，建

立健全和有效实施内部控制，并评价其有效性是企业董事会的责任。

（2）注册会计师的责任

我们的责任是在实施审计工作的基础上，对财务报告内部控制的有效性发表审计意见，并对注意到

的非财务报告内部控制的重大缺陷进行披露。

（3）内部控制的固有局限性

内部控制具有固有局限性，存在不能防止和发现错报的可能性。此外，由于情况的变化可能导致内

部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制审计结果推测未来内部控制的

有效性具有一定风险。

（4）财务报告内部控制审计意见

我们认为，××公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务

报告内部控制。

五、非财务报告内部控制的重大缺陷

在内部控制审计过程中，我们注意到××公司的非财务报告内部控制存在重大缺陷[描述该缺陷的

性质及其对实现相关控制目标的影响程度]。由于存在上述重大缺陷，我们提醒本报告使用者注意相关

风险。需要指出的是，我们并不对××公司的非财务报告内部控制发表意见或提供保证。本段内容不影

响对财务报告内部控制有效性发表的审计意见。

××会计师事务所中国注册会计师：×××（签名并盖章）

（盖章）中国注册会计师：×××（签名并盖章）

中国××市××年×月×日

2．带强调事项段的无保留意见内部控制审计报告示例

内部控制审计报告

××股份有限公司全体股东：

按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了××股份有限

公司（以下简称××公司）××年×月×日的财务报告内部控制的有效性。

[“（1）企业对内部控制的责任”至“（5）非财务报表内部控制的重大缺陷”参见标准内部控制

审计报告相关段落表述。]

（6）强调事项

我们提醒内部控制审计报告使用者关注，（描述强调事项的性质及其对内部控制的重大影响）。本

段内容不影响已对财务报告内部控制发表的审计意见。

XX会计师事务所中国注册会计师：XXX(签名并盖章)15-10-9文本讲义

kejiancc.dongaoacc.com/2014jxjy/nbkzsjzyjd/14cedu_wsgnbkz_010_10_sfp_l_f_1/lecture.htm2/4

（盖章）中国注册会计师：XXX(签名并盖章)

中国XX市XX年X月X日

3．否定意见内部控制审计报告示例

内部控制审计报告

XX股份有限公司全体股东：

按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了××股份有限

公司（以下简称××公司）××年×月×日的财务报告内部控制的有效性。

[“（1）企业对内部控制的责任”至“（3）内部控制的固有局限性标准内部控制审计报告相关段

落表述。]

（4）导致否定意见的事项

重大缺陷是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。

[指出注册会计师已识别出的重大缺陷，并说明重大缺陷的性质及其对财务报告内部控制的影响程

度。]

有效的内部控制能够为财务报告及相关信息的真实完整提供合理保证，而上述重大缺陷使××公司

内部控制失去这一功能。

（5）财务报告内部控制审计意见

我们认为，由于存在上述重大缺陷及其对实现控制目标的影响，××公司未能按照《企业内部控制

基本规范》和相关规定在所有重大方面保持有效的财务报告内部控制。

（6）非财务报告内部控制的重大缺陷

[参见标准内部控制审计报告相关段落表述]

XX会计师事务所中国注册会计师：XXX(签名并盖章)

（盖章）中国注册会计师：XXX(签名并盖章)

中国XX市XX年X月X日

4．无法表示意见内部控制审计报告示例

内部控制审计报告

××股份有限公司全体股东：

我们接受委托，对××股份有限公司（以下简称××公司）××年×月×日的财务报告内部控制进

行审计。[删除注册会计师的责任段，“（1）企业对内部控制的责任”和“（2）内部控制的固有局限

性参见标准内部控制审计报告相关段落表述。]

（3）导致无法表示意见的事项

[描述审计范围受到限制的具体情况]

（4）财务报告内部控制审计意见

由于审计范围受到上述限制，我们未能实施必要的审计程序以获取发表意见所需的充分、适当证

据，因此，我们无法对××公司财务报告内部控制的有效性发表意见。

（5）识别的财务报告内部控制重大缺陷（如在审计范围受到限制前，执行有限程序未能识别出重大

缺陷，则应删除本段）重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。

尽管我们无法对××公司财务报告内部控制的有效性发表意见，但在我们实施的有限程序的过程

中，发现了以下重大缺陷：

[指出注册会计师已识别出的重大缺陷，并说明重大缺陷的性质及其对财务报告内部控制的影响程

度。]

有效的内部控制能够为财务报告及相关信息的真实完整提供合理保证，而上述重大缺陷使××公司15-10-9文本讲义

kejiancc.dongaoacc.com/2014jxjy/nbkzsjzyjd/14cedu_wsgnbkz_010_10_sfp_l_f_1/lecture.htm3/4

内部控制失去这一功能。

（6）非财务报告内部控制的重大缺陷

[参见标准内部控制审计报告相关段落表述]

【典型例题-判断题】

根据《企业内部控制指引规定》的规定：接受企业委托从事内部控制审计的会计师事务所，应当根

据相关规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。会计师

事务所应当对发表的内部控制审计意见负责，但签字的从业人员不对发表的内部控制审计意见负

责。()

【答案】错误

第四部分计算机环境下如何进行内部控制审计



作为网络审计的主要任务，就是对被审计对象所处网络的安全性进行审计，对被审计单位计算机网

络系统，抗病毒和非法侵入的能力，预防计算机舞弊和犯罪的能力，强化系统内部控制以及对可能带来

的企业经营风险的评估等。同时，网络密封集中审计工作本身信息的互连网化，也要求保证通信过程中

的严格的保密性和安全性。因此，为保证网络安全性的内部控制审计越来越被提到议事日程上来。

注册会计师在制定和实施审计程序时，应当充分考虑计算机环境对审计程序的性质、时间和范围可

能产生的影响，以便将审计程序的性质、时间和范围可能产生的影响，审计风险降低至可接受的低水

平。

控制测试是安全审计实施阶段的主要任务，一般应包括对数据通讯、硬件系统、软件系统、数据资

源以及安全产品的测试。

在实际工作中，我们可以从下列几个方面对本单位计算机会计信息系统的内部控制情况予以审查：

1．职权制审查：权责分配和职责分工应当明确，重大信息系统事项应履行审批程序。即从组织机

构角度审查计算机会计信息系统中各种人员的职责与权力，联系与牵制；查阅书面订立的制度文件，实

地查看业务文件编制、传递、审核、输入、输出等流程的手续是否完备。

2．人员素质审查：企业应当对计算机会计信息系统操作人员的上机、密码和使用权限进行严格规

范，建立相应的操作管理制度，未经上机培训的人员不得作为操作人员。即是否有以提高人员素质为目

的控制措施；从是否坚持职业道德教育制度，职工是否接受过正规业务培训；是否定期岗位轮换等方面

进行审查。

3．硬件及环境控制审查：硬件管理事项和审批程序应当科学合理，计算机硬件设备需放置在合适

的物理环境中。即对存档的系统设计文本中有关硬件的资料审查，对正在使用的会计核算软件进行修

改、对通用会计软件进行升级和对计算机硬件设备进行更换时，企业应有规范的审批流程，并采取替代

性措施确保会计数据的连续性。同时，对计算机工作的自然环境，如温度、湿度、防尘、防磁等情况进

行审查，要健全计算机硬件和软件出现故障时进行排除的管理措施，以保证会计数据的完整性。

4．运行情况审查：计算机会计信息系统应当建立访问安全制度，操作权限、信息使用、信息管理

应当有明确规定。即对计算机在输入、处理、输出过程中的运行情况审查，要确保会计数据和会计软件

的安全保密，防止对数据和软件的非法修改和删除；对磁性介质存放的数据应当进行双备份。

5．修改方式及保密措施审查：计算机会计信息系统应当建立访问安全制度，操作权限、信息使

用、信息管理应当有明确规定。审查操作修改程序是否只有一个入口，即凭证输入口；发现错误是否采

用重新输入凭证的方式加以修改，是否修改后有修改痕迹；各主要功能模块是否设置操作口令，程序是

否建立保密制度。

第五部分小型企业内控审计报告怎么出15-10-9文本讲义

kejiancc.dongaoacc.com/2014jxjy/nbkzsjzyjd/14cedu_wsgnbkz_010_10_sfp_l_f_1/lecture.htm4/4



小型企业内控审计的特点

小型企业是指资产总额或营业额较小，职工人数较少，所有权和管理权集中于少数人，并具备下列

一项或多项特征的企业：

（1）收入来源单一；

（2）会计记录简单；

（3）内控有限。存在管理层凌驾于内控之上的可能性较大。小型企业可能使用非正式和简单的程序

和方法实现内控目标。具体特点如下表：

要素特点

1．控制环

境

（1）可能产生凌驾于内控之上的风险。治理层可能不包括独立董事。如

果除业主（经理）外，企业不存在其他所有者，治理职责直接由业主

（经理）承担，控制环境的性质可能影响其他控制的重要性；

（2）可能无法获取以文件形式存在的有关控制环境要素的审计证据，在

管理层和其他人员之间的沟通采取非正式方式时尤其如此；

（3）CPA应重点了解管理层对内控设计的态度、认识和措施

2．风险评

估过程

（1）可能没有正式的风险评估过程，管理层可能通过直接参与经营活动

识别风险；

（2）CPA应询问管理层已识别的风险以及管理层如何应对风险

3．信息系

统与沟通

（1）与财务报告相关的信息系统及相关的业务流程可能不如其他企业正

式和复杂，但其作用却非常重要。业主亲自参与管理的小型企业可能不

需要制定书面政策，或对会计程序作出详细说明；

（2）了解企业的系统和程序相对简单，更多地依靠询问，而不是对记录

的检查

4．控制活

动

（1）运行的正式程序与大企业有所不同；

（2）某些控制活动可能由于管理层直接实施的控制而变得不再相关；

（3）与小型企业审计相关的控制活动，可能与主要的业务流程相关

5．控制监

督

管理层对控制的监督通常通过管理层或业主密切参与经营活动实现，管

理层或业主可以识别实际情况与预期的重大差异和不正确的财务数据，

从而采取纠正措施

【特别说明】

适用：《企业内部控制审计指引》

不适用：《内部审计具体准则第5号——内部控制审计》规定：内部审计人员应向组织的适当管理

层报告内部控制的审计结果。审计报告应说明审查和评价内部控制的目的、范围、审计结论、审计决定

及对完善内部控制的建议；并应当包括被审计单位的反馈意见。