中国注册会计师协会关于印发《企业内部控制审计指引实施意见》的通知

各省、自治区、直辖市注册会计师协会：

      为保证准则体系的内在一致性，我会对《企业内部控制审计指引实施意见》进行了一致性修订。本次修订基于《中国注册会计师审计准则第1211号——重大错报风险的识别和评估》以及会计师事务所质量管理相关准则，对相应文字进行调整，不涉及实质性修订。现予发布，自发布之日起施行。

      本意见生效实施后，我会于2011年10月11日发布的《关于印发<企业内部控制审计指引实施意见>的通知》（会协〔2011〕66号）同时废止。

      执行中有何问题，请及时反馈我会。

 

     附件：企业内部控制审计指引实施意见

中国注册会计师协会

2026年1月29日

 

 

企业内部控制审计指引实施意见

（2026 年1 月29 日修订）

 

      为了规范注册会计师执行财务报告内部控制（以下简称内部控制）审计业务，明确工作要求，提高执业质量，维护公众利益，根据中国注册会计师审计准则、《企业内部控制基本规范》和《企业内部控制审计指引》，在整合审计框架下，制定本意见。

 

      一、关于签订业务约定书

      只有当内部控制审计的前提条件得到满足，并且会计师事务所符合独立性要求，具备专业胜任能力时，会计师事务所才能接受或保持内部控制审计业务。

    （一）内部控制审计的前提条件

      在确定内部控制审计的前提条件是否得到满足时，注册会计师应当：

      1.确定被审计单位采用的内部控制标准是否适当；

      2.就被审计单位认可并理解其责任与治理层和管理层达成一致意见。

      被审计单位的责任包括：

      1.按照适用的内部控制标准，建立健全和有效实施内部控制，以使财务报表不存在由于舞弊或错误导致的重大错报；

      2.对内部控制的有效性进行评价并编制内部控制评价报告；

      3.向注册会计师提供必要的工作条件，包括允许注册会计师接触与内部控制审计相关的所有信息（如记录、文件和其他事项），允许注册会计师在获取审计证据时不受限制地接触其认为必要的内部人员和其他相关人员等。

    （二）签订单独的内部控制审计业务约定书

      如果决定接受或保持内部控制审计业务，会计师事务所应当与被审计单位签订单独的内部控制审计业务约定书。业务约定书应当至少包括下列内容：

      1.内部控制审计的目标和范围；

      2.注册会计师的责任；

      3.被审计单位的责任；

      4.指出被审计单位采用的内部控制标准；

      5.提及注册会计师拟出具的内部控制审计报告的形式和内容，以及对在特定情况下出具的内部控制审计报告可能不同于预期形式和内容的说明；

      6.审计收费。

 

      二、关于计划审计工作

      注册会计师应当贯彻风险导向审计的思路，恰当地计划内部控制审计工作，制订总体审计策略和具体审计计划。

    （一）总体审计策略

      注册会计师应当在总体审计策略中体现下列内容：

      1.确定内部控制审计业务特征，以界定审计范围。例如，被审计单位采用的内部控制标准、注册会计师预期内部控制审计工作涵盖的范围、对组成部分注册会计师工作的参与程度、注册会计师对被审计单位内部控制评价工作的了解以及拟利用被审计单位内部相关人员工作的程度等。

      对于按照权益法核算的投资，内部控制审计范围应当包括针对权益法下相关会计处理而实施的内部控制，但通常不包括针对权益法下被投资方的内部控制。

      内部控制审计范围应当包括被审计单位在内部控制评价基准日（最近一个会计期间截止日，以下简称基准日）或在此之前收购的实体，以及在基准日作为终止经营进行会计处理的业务。注册会计师应当确定是否有必要对与这些实体或业务相关的控制实施测试。

      如果法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制评价范围，注册会计师可以不将这些实体纳入内部控制审计的范围。

      2.明确内部控制审计业务的报告目标，以计划审计的时间安排和所需沟通的性质。例如，被审计单位对外公布或报送内部控制审计报告的时间、注册会计师与管理层和治理层讨论内部控制审计工作的性质、时间安排和范围，注册会计师与管理层和治理层讨论拟出具内部控制审计报告的类型和时间安排以及沟通的其他事项等。

      3.根据职业判断，考虑用以指导项目组工作方向的重要因素。例如，财务报表整体的重要性和实际执行的重要性、初步识别的可能存在重大错报的风险领域、内部控制最近发生变化的程度、与被审计单位沟通过的内部控制缺陷、对内部控制有效性的初步判断、信息技术和业务流程的变化等。

      4.考虑初步业务活动的结果，并考虑对被审计单位执行其他业务时获得的经验是否与内部控制审计业务相关（如适用）。

      5.确定执行内部控制审计业务所需资源的性质、时间安排和范围。例如，项目组成员的选择以及对项目组成员审计工作的分派，项目时间预算等。

    （二）具体审计计划

      注册会计师应当在具体审计计划中体现下列内容：

      1.了解和识别内部控制的程序的性质、时间安排和范围；

      2.测试控制设计有效性的程序的性质、时间安排和范围；

      3.测试控制运行有效性的程序的性质、时间安排和范围。

    （三）对应对舞弊风险的考虑

      在计划和实施内部控制审计工作时，注册会计师应当考虑财务报表审计中对舞弊风险的评估结果。在识别和测试企业层面控制以及选择其他控制进行测试时，注册会计师应当评价被审计单位的内部控制是否足以应对识别出的、由于舞弊导致的重大错报风险，并评价为应对管理层和治理层凌驾于控制之上的风险而设计的控制。

      被审计单位为应对这些风险可能设计的控制包括：

      1.针对重大的非常规交易的控制，尤其是针对导致会计处理延迟或异常的交易的控制；

      2.针对期末财务报告流程中编制的分录和作出的调整的控制；

      3.针对关联方交易的控制；

      4.与管理层的重大估计相关的控制；

      5.能够减弱管理层和治理层伪造或不恰当操纵财务结果的动机和压力的控制。

      如果在内部控制审计中识别出旨在防止或发现并纠正舞弊的控制存在缺陷，注册会计师应当按照《中国注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》的规定，在财务报表审计中制定重大错报风险的应对方案时考虑这些缺陷。

 

    三、关于实施审计工作

    （一）采用自上而下的方法

      注册会计师应当采用自上而下的方法选择拟测试的控制。

      自上而下的方法始于财务报表层次，以注册会计师对内部控制整体风险的了解开始，然后，将关注重点放在企业层面的控制上，并将工作逐渐下移至相关账户、列报及其相关认定。随后，验证其对被审计单位业务流程中风险的了解，并选择能足以应对评估的每个相关认定的重大错报风险的控制进行测试。

      自上而下的方法分为下列步骤：

      1.从财务报表层次初步了解内部控制整体风险；

      2.识别、了解和测试企业层面控制；

      3.识别相关账户、列报及其相关认定；

      4.了解潜在错报的来源并识别相应的控制；

      5.选择拟测试的控制。本部分第（二）至（五）对自上而下的方法的各个步骤进行了规定，第（六）至（十三）对控制有效性测试进行了规定。

    （二）识别、了解和测试企业层面控制

      注册会计师应当识别、了解和测试对内部控制有效性有重要影响的企业层面控制。注册会计师对企业层面控制的评价，可能增加或减少本应对其他控制进行的测试。

      1.企业层面控制对其他控制及其测试的影响。

      不同的企业层面控制在性质和精确度上存在差异，注册会计师应当从下列方面考虑这些差异对其他控制及其测试的影响：

    （1）某些企业层面控制，如与控制环境相关的控制，对及时防止或发现并纠正相关认定的错报的可能性有重要影响。虽然这种影响是间接的，但这些控制仍然可能影响注册会计师拟测试的其他控制，以及测试程序的性质、时间安排和范围。

    （2）某些企业层面控制旨在识别其他控制可能出现的失效情况，能够监督其他控制的有效性，但还不足以精确到及时防止或发现并纠正相关认定的错报。当这些控制运行有效时，注册会计师可以减少对其他控制的测试。

    （3）某些企业层面控制本身能够精确到足以及时防止或发现并纠正相关认定的错报。如果一项企业层面控制足以应对已评估的错报风险，注册会计师就不必测试与该风险相关的其他控制。

      2.企业层面控制的内容。

      企业层面控制包括下列内容：

    （1）与控制环境（即内部环境）相关的控制；

    （2）针对管理层和治理层凌驾于控制之上的风险而设计的控制；

    （3）被审计单位的风险评估过程；

    （4）对内部信息传递和期末财务报告流程的控制；

    （5）对控制有效性的内部监督（即监督其他控制的控制）和内部控制评价。

      此外，集中化的处理和控制（包括共享的服务环境）、监控经营成果的控制以及针对重大经营控制及风险管理实务的政策也属于企业层面控制。

      3.对期末财务报告流程的评价。

      期末财务报告流程对内部控制审计和财务报表审计有重要影响，注册会计师应当对期末财务报告流程进行评价。期末财务报告流程包括：

    （1）将交易总额登入总分类账的程序；

    （2）与会计政策的选择和运用相关的程序；

    （3）总分类账中会计分录的编制、批准等处理程序；

    （4）对财务报表进行调整的程序；

    （5）编制财务报表的程序。

      注册会计师应当从下列方面评价期末财务报告流程：

    （1）被审计单位财务报表的编制流程，包括输入、处理及输出；

    （2）期末财务报告流程中运用信息技术的程度；

    （3）管理层中参与期末财务报告流程的人员；

    （4）纳入财务报表编制范围的组成部分；

    （5）调整分录及合并分录的类型；

    （6）管理层和治理层对期末财务报告流程进行监督的性质及范围。

    （三）识别相关账户、列报及其相关认定

      注册会计师应当基于财务报表层次识别相关账户、列报及其相关认定。

      如果某账户或列报可能存在一个错报，该错报单独或连同其他错报将导致财务报表发生重大错报，则该账户或列报为相关账户或列报。判断某账户或列报是否相关，应当依据其固有风险，而不应考虑相关控制的影响。

      如果某财务报表认定可能存在一个或多个错报，这些错报将导致财务报表发生重大错报，则该认定为相关认定。判断某认定是否为相关认定，应当依据其固有风险，而不应考虑相关控制的影响。

      为识别相关账户、列报及其相关认定，注册会计师应当从下列方面评价财务报表项目及附注的错报风险因素：

      1.账户的规模和构成；

      2.易于发生错报的程度；

      3.账户或列报中反映的交易的业务量、复杂性及同质性；

      4.账户或列报的性质；

      5.与账户或列报相关的会计处理及报告的复杂程度；

      6.账户发生损失的风险；

      7.账户或列报中反映的活动引起重大或有负债的可能性；

      8.账户记录中是否涉及关联方交易；

      9.账户或列报的特征与前期相比发生的变化。

      在识别相关账户、列报及其相关认定时，注册会计师还应当确定重大错报的可能来源。注册会计师可以通过考虑在特定的相关账户或列报中错报可能发生的领域和原因，确定重大错报的可能来源。

      在内部控制审计中，注册会计师在识别相关账户、列报及其相关认定时应当评价的风险因素，与财务报表审计中考虑的因素相同。因此，在这两种审计中识别的相关账户、列报及其相关认定应当相同。

      如果某账户或列报的各组成部分存在的风险差异较大，被审计单位可能需要采用不同的控制以应对这些风险，注册会计师应当分别予以考虑。

    （四）了解潜在错报的来源并识别相应的控制

      注册会计师应当实现下列目标，以进一步了解潜在错报的来源，并为选择拟测试的控制奠定基础：

      1.了解与相关认定有关的交易的处理流程，包括这些交易如何生成、批准、处理及记录；

       2.验证注册会计师识别出的业务流程中可能发生重大错报（包括由于舞弊导致的错报）的环节；

      3.识别被审计单位用于应对这些错报或潜在错报的控制；

      4.识别被审计单位用于及时防止或发现并纠正未经授权的、导致重大错报的资产取得、使用或处置的控制。

      注册会计师应当亲自执行能够实现上述目标的程序，或对提供直接帮助的人员的工作进行督导。

      穿行测试通常是实现上述目标的最有效方式。穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程。注册会计师在执行穿行测试时，通常需要综合运用询问、观察、检查相关文件及重新执行等程序。

      在执行穿行测试时，针对重要处理程序发生的环节，注册会计师可以询问被审计单位员工对规定程序及控制的了解程度。实施询问程序连同穿行测试中的其他程序，可以帮助注册会计师充分了解业务流程，识别必要控制设计无效或出现缺失的重要环节。为有助于了解业务流程处理的不同类型的重大交易，在实施询问程序时，注册会计师不应局限于关注穿行测试所选定的单笔交易。

    （五）选择拟测试的控制

      注册会计师应当针对每一相关认定获取控制有效性的审计证据，以便对内部控制整体的有效性发表意见，但没有责任对单项控制的有效性发表意见。

      注册会计师应当对被审计单位的控制是否足以应对评估的每个相关认定的错报风险形成结论。因此，注册会计师应当选择对形成这一评价结论具有重要影响的控制进行测试。

      对特定的相关认定而言，可能有多项控制用以应对评估的错报风险；反之，一项控制也可能应对评估的多项相关认定的错报风险。注册会计师没有必要测试与某项相关认定有关的所有控制。

      在确定是否测试某项控制时，注册会计师应当考虑该项控制单独或连同其他控制，是否足以应对评估的某项相关认定的错报风险，而不论该项控制的分类和名称如何。

    （六）测试控制设计的有效性

      注册会计师应当测试控制设计的有效性。

      如果某项控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定的程序和要求执行，能够实现控制目标，从而有效地防止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊，则表明该项控制的设计是有效的。

      （七）测试控制运行的有效性

      注册会计师应当测试控制运行的有效性。

      如果某项控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力，能够实现控制目标，则表明该项控制的运行是有效的。

      如果被审计单位利用第三方的帮助完成一些财务报告工作，注册会计师在评价负责财务报告及相关控制的人员的专业胜任能力时，可以一并考虑第三方的专业胜任能力。

      注册会计师获取的有关控制运行有效性的审计证据包括：

      1.控制在所审计期间的相关时点是如何运行的；

      2.控制是否得到一贯执行；

      3.控制由谁或以何种方式执行。

      （八）与控制相关的风险和拟获取的审计证据之间的关系

      在测试所选定控制的有效性时，注册会计师应当根据与控制相关的风险，确定所需获取的审计证据。与控制相关的风险包括一项控制可能无效的风险，以及如果该控制无效，可能导致重大缺陷的风险。

      与控制相关的风险越高，注册会计师需要获取的审计证据就越多。

      下列因素影响与某项控制相关的风险：

      1.该项控制拟防止或发现并纠正的错报的性质和严重程度；

      2.有关账户、列报及其认定的固有风险；

      3.交易的数量和性质是否发生变化，进而可能对该项控制设计或运行的有效性产生不利影响；

      4.有关账户或列报是否曾经出现错报；

      5.企业层面控制（特别是监督其他控制的控制）的有效性；

      6.该项控制的性质及其执行频率；

      7.该项控制对其他控制（如控制环境或信息技术一般控制）有效性的依赖程度；

      8.执行该项控制或监督该项控制执行的人员的专业胜任能力，以及其中的关键人员是否发生变化；

      9.该项控制是人工控制还是自动化控制；

      10.该项控制的复杂程度，以及在运行过程中依赖判断的程度。

    （九）测试控制有效性的程序

      注册会计师通过测试控制有效性获取的审计证据，取决于其实施程序的性质、时间安排和范围的组合。此外，就单项控制而言，注册会计师应当根据与控制相关的风险对测试程序的性质、时间安排和范围进行适当的组合，以获取充分、适当的审计证据。

      注册会计师测试控制有效性的程序，按其提供审计证据的效力，由弱到强排序通常为：询问、观察、检查和重新执行。询问本身并不能为得出控制是否有效的结论提供充分、适当的审计证据。

      测试控制有效性的程序，其性质在很大程度上取决于拟测试控制的性质。某些控制可能存在反映控制有效性的文件记录，而另外一些控制，如管理理念和经营风格，可能没有书面的运行证据。

      对缺乏正式的控制运行证据的被审计单位或业务单元，注册会计师可以通过询问并结合运用其他程序，如观察活动、检查非正式的书面记录和重新执行某些控制，获取有关控制是否有效的充分、适当的审计证据。

      注册会计师在测试控制设计的有效性时，应当综合运用询问适当人员、观察经营活动和检查相关文件等程序。注册会计师执行穿行测试通常足以评价控制设计的有效性。

      注册会计师在测试控制运行的有效性时，应当综合运用询问适当人员、观察经营活动、检查相关文件以及重新执行等程序。