内部审计师初步判断

内部控制相关审计程序和方法问题讨论（一）内部控制审计程序概述为了论述方便，首先简要分析一下内部控制审计的分类。经济组织内部进行内部控制审计，不可能都针对整个内部控制系统进行，更多情况是对其中部分展开。按照涉及内部控制的范围，大致可分为如下三类：1、业务循环内部控制审计，所谓业务循环内部控制是指对某个业务循环实施的控制，这种审计按照经济组织的业务纵向展开，专门审计业务循环内部控制；2、非独立部门内部控制审计，这种审计专门针对某个不独立的部门或机构所涉及的内部控制，所谓不独立，是指财务上不独立，没有独立的财务机构，也不单独核算；3、独立单位内部控制审计，这种审计是对经济组织所属的独立单位的内部控制进行审计，独立单位是指财务上独立的，可以是投资中心或利润中心，也可以是子公司，单独设置财务机构的分公司，它们自己本身可能有一套内部控制，同时还要执行经济组织作为整体的内部控制。这三类审计各有各的特点，但在审计程序上，由于独立单位内部控制审计相对较复杂，程序最全面，因此以下即以其为蓝本讨论。内部控制审计程序与其他审计中作为审计程序的内部控制评价应该有相似之处，因为毕竟两者都是以内部控制为焦点而展开，但由于服务的目标不一致，在程序上也有差别。内部控制评价程序一般是：1、了解与记录内部控制；2、初步评价控制风险；3、实施符合性测试；4、评价内部控制的强弱。作为一种单独开展的审计，了解经济组织的基本情况这些准备工作是必须的，因为对内部控制需求越强烈的经济组织，其规模越大，这是必然的；在大规模的组织里，管理高层、各个下属机构的诸多具体的基本情况内部审计人员不可能都熟悉。了解基本情况是开展内部控制审计的基本条件，否则无从下手。同样大规模的组织内既存在针对整个组织的控制，也存在针对某个部分或某个下属机构的控制，内部审计人员也不可能都熟悉，因此了解内部控制也是必须的。在了解内部控制阶段，还必须初步分析所了解信息，以初步确定内部控制的健全性和有效性，规划要实施的符合性测试程序。接下来与内部控制评价程序一样，实施符合性测试，以获得遵循性的评价，同时最终确定健全性和有效性。最后归纳总结审计结果，提出审计报告。总结上述，本文认为内部控制审计程序为：1、了解基本情况；2、了解内部控制；3、实施符合性测试；4、提出审计报告。下面即以该程序为主线展开讨论，其中提出审计报告在内部审计报告中讨论。（二）了解基本情况了解基本情况，是了解所要审计内部控制所涉及单位的基本情况，这些情况是展开审计的必要准备和基本条件，影响着整个审计的过程和结果。这些基本情况包括：1、单位所属的行业和历史沿革（着重于管理沿革）；2、单位组织结构、各机构的人员规模和岗位结构；3、单位资产规模、生产经营或专业服务的特点规模；4、主营业务及辅助业务类别、业务量；5、财务会计机构及其工作组织；等等。这些基本情况可以通过询问管理人员、查阅相关文件、会计和统计资料等方法来获得。基本情况获得后，审计人员就要适当利用自己专业判断，确定以下内容：1、业务循环及其大致内容；2、必须控制的重要或经常发生的业务；3、内部控制应有的严谨程度；4、审计应该投入的人力及分工和时间预算。确定业务循环及其大致内容实际是划分业务循环的过程，确定的是审计展开的主线；重要或经常发生的业务是必须控制的，确定它们就是确定审计的重点；内部控制的严谨程度是与独立单位的规模相关的，规模较小的单位内部控制程度就相应较低，衡量标准就不能太高，实际这就是确定衡量标准的问题，提出设计意见时必须考虑；确定投入的人力和时间预算是为了保证整个审计过程有条不紊地进行，保证审计质量。下一步工作是制定审计总体计划，其主要内容就是上述基本情况获得后审计人员所确定的内容，主要包括审计的范围，即业务循环及内容，审计的重点，即必须控制的重要或经常发生的业务，审计组人员构成、分工和时间预算。这个计划在以后审计过程中还要适时调整。需要特别说明的是业务循环的划分。业务循环的划分是将若干个关联的经济业务或管理活动组合在一起。2001年财政部发布的《内部会计控制基本规范》（征求意见稿）中提出，“内部控制的内容主要包括对货币资金、筹资、采购与付款、实物资产、成本费用、销售与收款、工程项目、对外投资、担保等经济业务活动的控制”，其中这些经济业务就是基本的业务循环划分，但目前有多样化的趋势，国际内部审计师协会就提出预算管理、资讯管理等管理作业。业务循环是以后审计程序展开的主线，了解内部控制和符合性测试都按照它来组织，因此划分业务循环影响到整个审计的组织、效率和质量。一般来说业务循环应按下列原则来划分：1、覆盖单位所有业务及其各个环节；2、每个业务循环能反映出所涉及业务的共同性质特点及其全部过程；3、有利于审计的组织安排。（三）了解内部控制了解内部控制的内容要了解内部控制，首先要解决内部控制的构架问题。1988年美国AICPA提出内部控制结构即控制环境、控制结构和会计系统，我国独立审计准则即采用这种观点。1994年COSO报告提出内部控制要素即控制环境、风险评估、控制作业、信息与沟通、监控。内部控制要素是内部控制结构的纵深发展，在内容上进一步完善，在内部环境上更注重员工的素质，增加风险评估强调要实现目标就必须分析相关风险，构成风险管理的基础，将会计系统扩大为信息与沟通，更强调信息的内部传达，增加监控要素将内部控制的执行纳入进来。由于COSO报告提供出的内部控制理论很全面，更加接近内部控制的本质认识，而内部控制的建设要以先进理论为指导，与实际情况相结合，因此本文认为，在我们目前的条件下，我们应采用COSO报告的观点，以它的框架为指导，同时鉴于我国目前内部控制落后的情况，应更加注重控制作业和监控，即如何建立起健全有效的控制程序与政策以及它们的实际执行，在控制作业完善的带动下，风险评估和信息与沟通也逐步完善，同时逐步转变管理观念，提高员工素质，建立起合理的法人治理结构和具体组织结构，使控制环境得以改善。由于内部审计充当监控的主要角色，内部控制审计就是履行监控的职责，因此了解内部控制阶段对监控的了解可以置于次要地位；又由于风险评估的风险是管理层和作业层控制目标因内外部风险因素影响而不能实现的风险，对它进行评估后设置相应的控制作业来控制，而内部控制审计要做的一部分工作就是评价控制作业是否能控制住风险，实现控制目标，实际就是风险评估过程，因此风险评估不做了解，而在接下来的分析工作中进行。由于控制作业实际就是控制程序与政策，为了理解直观起见，本文就称其为控制程序与政策；由于内外部信息和它们在单位内外部、内部各部门各成员之间的流动可以构成一个系统，因此信息与沟通可以合称为信息系统。总结上述，本文认为内部控制审计要了解的内部控制要素为控制环境、控制程序与政策及信息系统。如上所述，了解内部控制以业务循环为主线展开的，即按业务循环逐个循环了解，这些循环构成单位整体，这是横向的；同时针对每个循环的控制，分别去了解它控制环境、控制程序与程序、信息系统，这是每个循环的控制的纵向构成，是纵向的了解。横向纵向的交叉了解构成了解内部控制程序的骨架。了解控制环境是了解影响内部控制其他要素的因素，提供内部控制构成基础好坏的证据，同时为分析内部控制健全性有效性和遵循性好坏的原因提供证据素材。了解控制环境的内容实际就是控制环境的内容，按照COSO报告，控制环境包括：1）、员工的诚实性和道德观；2）、员工的胜任能力；3）、董事会或审计委员会；4）、管理哲学和经营方式；5）、组织结构；6）、授权和分配责任的方式；7）、人力资源政策。这里主要是针对各个业务循环所涉及的部门、人员、方法来说的，其中第3点是针对整个单位，实际在了解基本情况程序中就已进行。了解控制程序与政策，就是了解控制目标实现风险所采取的措施，它是了解内部控制要素中最重要的部分。每个业务循环都可分为若干个作业，而每个作业都要设置若干控制程序和政策来控制，我们本文把这些作业称为控制点。比如制造业的销售与收款循环可分为接受定单、核准信用、发运商品、开具发票、应收账款与记录、收款、退货及客诉处理等作业。在业务循环的划分阶段，已经取得了业务循环大致内容的了解，在了解控制程序与政策阶段，应进一步了解，去获得足够信息来进一步确定业务循环内的各个作业，然后针对每个作业，去了解所采取的控制程序与政策。了解信息系统只要是了解单位内外部信息记录载体，以及沟通方式。外部信息载体包括记录市场份额、法规要求和客户反映等信息的资料，内部信息载体包括业务申请审批报告、各种分析报告、进行控制作业形成单据、会计资料等等。沟通方式包括政策手册、财务报告手册、备查簿、口头交流、管理示例等。进行内部控制的了解可采取的方法与内部控制评价程序中的一样，大致查阅控制文件和控制信息记录载体、询问有关人员、观察作业的进行和内部控制的运行情况等等。初步分析健全性和有效性在对内部控制获得了解后，就可以对其健全性和有效性进行初步分析，以规划将要实施的符合性测试程序。初步健全性分析主要是分析哪些重要或经常发生的业务或作业应该设置控制而未设置。这些业务在了解基本情况中已获悉，而重要或经常发生的作业则在了解控制程序与政策中已了解，通过了解控制程序与政策能知道它们是否设置控制。初步有效性分析主要是针对控制程序与政策而实施的。这实际就是初步的风险评估。初步有效性分析首先要分析确定各个业务循环、各个作业的控制目标，然后再分析所了解到的控制程序与政策，看它们是否能实现控制目标。对于控制有缺陷的可以提出初步的改进意见。初步的健全性和有效性分析后就可以规划将要实施的符合性测试。一般来说对于以下情况就可以不进行测试：1）对业务循环或关键控制点的控制初步评价为无效；2）在了解内部控制的过程中已知对某业务循环或关键控制点的控制未得到遵循；3）在了解单位内部控制的过程中已知对某业务循环或关键控制点的控制得到很好遵循；4）虽对业务循环或关键控制点设置控制但未发生相关业务。而以下情况就可以考虑进行大范围的测试：1）相关业务大量发生的业务循环或关键控制点的控制；2）相关业务虽不大量发生但涉及金额相对较大的业务循环或关键控制点的控制；3）控制程序相对复杂的控制。规划结果应记入审计计划，并对审计计划做相应调整。记录内部控制制度基础审计理论中记录内部控制的方法主要有：文字叙述，调查表，核对表，流程图。本文认为作为记录方法内部控制审计可以采用。对于控制环境的记录，一般是文字叙述，按照上述控制环境的几个方面来记录。了解基本情况程序也采用文字叙述的方法记录。记录要形成审计工作底稿。记录内部控制主要是记录控制程序与政策和信息系统。采用的方法以上四种都可以采用，但以调查表最为常用。在本文中，即讨论调查表改进和特殊运用。一般，调查表的调查内容是有审计人员根据自己的经验和被审计单位的情况自行设计的，但对于内部控制审计，本文认为，鉴于我国目前内部控制薄弱和人们对内部控制该如何知之甚少的情况，调查表应该引入标准内部控制作为导引，以配合政府推动内部控制的建设。标准内部控制是指针对某个业务或作业由权威部门设计的标准控制。比如2001年财政部发布的《加强货币资金内部控制的若干规定》（征求意见稿），就是标准的内部控制。对于各类型单位共有的业务或作业，如货币资金业务、固定资产业务融投资业务等可由财政部门制订统一标准；对于具有行业特性的业务或作业，如生产循环、销售及收款等主要针对制造业，则由行业主管部门或行业协会分别制订，供不同行业采用。在调查表中引入标准内部控制，要从权威部门制订的针对各业务或作业的标准内部控制中，按业务或作业内部若干个控制点抽取提炼出对控制点的标准控制程序和政策，作为调查表的调查内容。调查控制程序和政策时就循其进行。同时由于引入了标准内部控制，对单位特殊的控制程序和政策可能就无法调查得到，而那些控制也是很重要的，因此有必要将调查表与文字叙述结合起来，加入单位实际做法的叙述。结合的方式就是在每个控制点控制调查内容下面单设一行，用来记录单位的特殊做法。（四）符合性测试1、符合性测试的实施符合性测试包括设计测试和执行测试，设计测试即健全性和有效性测试，执行测试即遵循性测试。健全性和有效性在了解内部控制程序中已做过初步分析，但由于了解阶段获得的信息可能不彻底，如通过询问得知对投资业务的控制，但是讲述人所述是否真是如此，是否全面，需深入了解，还由于有效性健全性初步分析结果需进一步获得证据确证，如通过分析认为对某控制点设置的控制能达到控制目标，但这个判断是否正确，还需要进一步了解实际情况，因此需要通过测试进一步获得更全面的信息证据来确证。执行测试是符合性测试的主体，主要是检查内部控制是怎样执行的。进行内部控制设计测试，主要要做如下工作：1）更深层次地了解单位的内部控制，作出更准确的健全性和有效性评价；2）获得进一步支持健全性和有效性初步评价结果的证据；3）检验在了解和初步评价内部控制阶段所作的重要专业判断和分析。进行内部控制执行测试，要特别注意如下事项：1）对业务循环和关键控制点设计的控制是如何具体组织应用于实际的；2）控制是否一贯执行；3）是否由控制规定职务的人来执行，其中后两个是重中之中。《独立审计准则第5号——内部控制与审计风险》中提供了三种符合性测试方法，即检查交易和事项的凭证、询问并实地观察未留下审计轨迹的内部控制的运行情况、重新执行相关内部控制，三种方法可单独或合并使用。本文认为符合性测试方法应以检查为主，同时辅以观察和询问。因为控制执行一贯、规定职务人执行是重中之重，而控制执行中留下的审计轨迹亦即控制信息载体能反映出这两者，检查控制信息载体就能了解到这两者，在检查的同时通过观察和询问获得控制具体应用的证据。检查控制信息载体，即针对每个业务循环所涉及的单证、报告、合同等控制信息载体，抽取其中部分，检查执行各个控制点下各个控制程序与政策留下的记录，推断出是否得到全面一贯的执行。抽取工作采取属性抽样技术来进行，基本与内部控制评价中的相同。样本量的大小根据了解内部控制阶段的规划确定，样本采用随机选样或系统选样的办法选取。2、遵循性评价遵循性评价主要针对控制点控制内的各项控制措施。内部控制的实际遵循情况是个程度概念，遵循与不遵循只是它的两个极端，本文认为对遵循性的评价应采取评级的办法，以更好的反映遵循程度。遵循性级别最好分为四个到六个等级，等级太少难于准确衡量遵循程度，等级太多难于把握等级之间的差别，由审计人员根据具体情况确定级别；每个级别还应确定应提的审计意见，如遵循性分为A、B、C、D四个级别，被评为A级的，提出执行较好的意见，B级提出应加强的意见，C级提出应重点加强的意见，D级提出特别提示加强的意见。评级时审计人员主要根据属性抽样结果，同时综合考虑通过观察询问得到的控制应用于实际的情况，运用自己的专业判断，评判其遵循性级别。本文认为，评定级别只是一种手段，重要的是要实现内部控制审计目标。进行评级提出各种加强意见是为了实现督促内部控制执行的审计目标，而发现控制具体应用于实际中存在的问题，以及发现因控制未很好执行而导致财产损失、信息失真、效益下降等问题则是为了检查内部控制执行。对遵循情况评级后评价时更应注重建设性意见的提出。3、健全性和有效性评价通过设计测试既可能获得健全性和有效性初步评价须修正的补充证据，又可能获得确证初步评价结果的证据，因此这个阶段的评价主要工作一是综合了解和测试两阶段所获得所有资料，对健全性有效性作出最终评价；二是针对不健全和控制无效或有缺陷的地方提出审计意见。健全性评价主要针对重要或经常发生的业务或作业，主要应注意三种情况：1、控制文件中没有规定控制，测试程序中也未发现实施了控制；2、控制文件中没有规定控制，经询问相关人员得知设置了控制，但经测试没有实施控制；3、没有控制文件，其他了解方法也不能得知是否设置控制，但经测试已实施控制。前两种情况就应对相应业务或作业提出控制不健全的意见，后一种应认为实际是健全的，但应提出健全控制文件的建议。有效性的评价主要是针对未采用标准内部控制而实施特殊控制的情况，对采用了标准内部控制的也要做简要分析，因为标准内部控制可能不适于单位，而且一些控制政策需要按照标准结合自己的实际自行制定。有效性评价首先要分析确定对各控制点实施控制应达到的目标，本文认为可以在内部控制系统目标的指导下结合控制点的具体情况分析确定，如对现金收入的控制程序，根据保证资产的安全完整目标，分析确定其目标为保证现金收入以真实金额真正流入单位，根据保证信息记录的真实完整确定控制目标为保证现金收入都真实无误的加以记录，根据提高运营效率确定目标为提高现金流入单位的速度，根据保证遵守国家法律规章确定目标为遵守《现金管理暂行条例》相关规定。各个控制点控制目标不一定与控制系统目标一一对应，有些系统目标对某些控制点可能不适用，如采购验收这一控制点的控制目标就与“保证遵守国家法律规章”无关，根据具体情况采用。目标确定后再分析控制点控制的各项措施是否能达到控制目标。对测试过程中发现的重大财产损失、效率低下、违法事件等问题，应特别注意分析其控制健全性和有效性原因，如果是因健全性和有效性导致的，那么这些问题既是健全性有效性初步分析的确证，又是分析评价和提出建设意见的重点。健全性有效性评价的重点在意见的提出，是为了实现补充完善、再生内部控制的审计目标。对有效性的评价实际上是有效性分析和改进意见形成的混合体，分析的过程中意见也就可以有针对地提出，而且改进意见是目的。健全性的评价实际是确定未控制的业务或作业和针对其建立内部控制的过程，主要工作在后者。可以看出有效性评价和健全性评价在基本方法上是一致的，都是内部控制建立的方法，因为有效性分析和改进意见的提出实际也是在确定控制目标、分析风险、提出控制措施。因此内部控制建立方法是健全性和有效性评价、对实现审计目标的要件。关于内部控制建立的具体方法本文不再详述，只提出一点意见。本文认为，在健全意见和有效性改进意见提出的过程中，应特别注意标准内部控制和内部控制方法的运用。标准内部控制前已述及，为配合政府推动内部控制建设，对于特定业务或作业，应注意运用相应的标准内部控制，并与自己的实际情况结合起来，以提出更具建设性的意见。这对健全性意见的提出更具实际意义。内部控制方法在前述2001年我国财政部发布《内部会计控制基本规范》（征求意见稿）中有规定，它们是：1）组织规划控制，包括合理的组织机构设置和不相容职务设置，不相容职务为授权批准与业务经办、业务经办与会计记录、会计记录与财产保管、业务经办与业务稽核、授权批准与监督检查；2）授权批准控制，包括确立合理的授权批准范围、层次、责任和程序；3）文件记录控制，包括机构职能和授权批准权责文件、岗位说明书、业务程序手册、业务处理凭证、会计资料系统，或类似的文件，以及这些文件的宣传认知；4）预算控制，包括预算体系的建立、编制和审定、指标的下达和落实、执行授权、执行过程控制、预算差异的研究和反馈、预算的考核及奖罚体系；5）财产保全控制，包括限制接近、定期盘点和核对、记录保护、财产记录控制、财产保险；6）职工素质控制，包括职工聘用、培训、考核、轮岗、奖惩、晋升、解聘；7）风险抵御控制，包括筹资风险、投资风险、合同风险、信用风险的评估与控制；8）内部报告控制，包括生产报告、经营报告、财务报告、特殊事件报告，以及报告的处理；9）电子信息系统控制，包括系统组织和管理、系统开发与维护、文件资料、数据、网络安全控制，输入输出控制、处理控制。这些方法对建立和改进意见的提出能发挥出指导和衡量的作用。（五） 内部审计报告与其他审计报告一样，内部控制审计报告也是对审计结果的总结。在提出审计报告前，审计人员应重新检查在审计过程中获得的资料，做如下一些分析：1、是否了解研究了单位所有重要控制；2、所作分析判断是否得到了测试的证实或有足够的证据支持；3、是否遗漏了其他需要考虑的影响最终评价的客观事实；4、最后的健全性有效性遵循性评价是否适当，有足够的证据支持；5、出现了那些因内部控制导致的重大问题，哪些人员严重违反内部控制且已致严重后果；等等。审计项目负责人还要复核审计底稿，之后就着手准备撰写审计报告。内部审计报告应突出重点，一些细节问题只要通知当事人或主管人员就可以，不必在审计报告中反映，还应便于理解，一些有关内部控制的专业术语尽量用易懂的词句代替。关于报告内容本人认为应包括如下：1、单位基本情况简介；2、内部控制体系介绍；3、内部控制健全性有效性遵循性评价及具体意见；4、因内部控制导致的重大问题及有关人员严重违反内部控制且已致严重后果的事实和处理意见。其中关于健全性有效性遵循性评价及具体意见只反映存在问题的各个控制，运行良好的不必反映。报告格式本文认为无须固定，只要能充分反映出上述内容即可。审计报告应经过审计组的全体讨论通过方可，而且在定稿前应与所设计执行人或管理者沟通，听取他们对审计建议的意见。这样做主要是为了保证审计意见质量，使其能更好地得到执行。审计报告向内审机构主管报出。报告批准后，对于重大控制问题最高领导层还应组织听证会，组织人员落实审计意见。审计完成后内审机构应及时组织回访，以检查督促审计意见的执行。内部控制审计在我国还是新事物，在加紧建设内部控制的大环境下，它的许多问题必须加紧讨论，得出统一认识，以促使其尽快更好地发挥出作用。

内部控制审计的具体流程是：计划审计工作、实施审计工作、评价控制缺陷、完成审计工作4个内容。

内部控制审计的程序：

(一)计划审计工作

注册会计师需恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。

计划审计工作时，注册会计师应当评价有关事项对内部控制及其审计工作的影响：

注册会计师应当充分认识风险评估在计划审计工作中的作用，以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注应越多。

在进行风险评估以及确定必要的程序时，注册会计师应当考虑企业组织结构、经营单位或流程的复杂程度可能产生的重要影响和作用。企业组织结构、经营单位或流程的复杂程度可能影响企业实现控制目标的方式。企业的规模和复杂程度也可能影响错报风险以及应对该风险所需实施的控制。注册会计师应当根据企业情况调整工作范围，以获取充分、适当的证据，支持发表的意见。

注册会计师应当在计划审计阶段对企业董事会的内部控制评价工作进行评估，判断是否在内部控制审计工作中利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能应由注册会计师执行的工作。注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作，应当对其专业胜任能力和客观性进行充分评价。一般而言，与某项控制相关的风险越高，可利用程度就越低，注册会计师应当更多地对该项控制亲自进行测试。需要强调的是，注册会计师对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其它相关人员的工作而减轻。

(二)实施审计工作

注册会计师按照自上而下的方法实施审计工作，自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。

(三)评价控制缺陷

注册会计师在对内部控制设计与运行的有效性进行测试的基础上，需评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷并影响其审计结论。在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时，注册会计师还应评价补偿性控制(替代性控制)的影响。

1.财务报告内部控制缺陷。表明企业财务报告内部控制可能存在重大缺陷的迹象，主要包括：

(1)注册会计师发现董事、监事和高级管理人员舞弊;

(2)企业更正已经公布的财务报表;

(3)注册会计师发现当期财务报表存在重大错报，而在内部控制运行过程中未能发现该错报;

(4)企业审计委员会和内部审计机构对内部控制的监督无效。

2.非财务报告内部控制缺陷。注册会计师对在审计过程中注意到的非财务报告内部控制缺陷，区别具体情况予以处理：

注册会计师认为非财务报告内部控制缺陷为一般缺陷的，应当与企业进行沟通，提醒企业加以改进，但无需在内部控制审计报告中说明。

注册会计师认为非财务报告内部控制缺陷为重要缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进，但无需在内部控制审计报告中说明。

注册会计师认为非财务报告内部控制缺陷为重大缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进;同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。

(四)完成审计工作

1.取得书面声明。注册会计师完成审计工作后，需取得经企业签署的书面声明。书面声明通常包括下列内容：

(1)企业董事会认可其对建立健全和有效实施内部控制负责;

(2)企业已对内部控制的有效性作出自我评价，并说明评价时采用的标准以及得出的结论;

(3)企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础;

(4)企业已向注册会计师说明识别出的所有内部控制缺陷，并单独说明其中的重大缺陷和重要缺陷;

(5)企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷，是否已经采取措施予以解决;

(6)企业在内部控制自我评价基准日后，内部控制是否发生重大变化，或者产生对内部控制具有重要影响的其他因素。

企业如果拒绝提供或以其他不当理由回避书面声明，注册会计师应将其视为审计范围受到限制，解除业务约定或出具无法表示意见的内部控制审计报告。

2.沟通控制缺陷。注册会计师应与企业沟通审计过程中识别的所有控制缺陷，重大缺陷和重要缺陷须以书面形式与董事会和经理层沟通。注册会计师认为企业审计委员会和内部审计机构对内部控制监督无效的，应以书面形式直接与董事会和经理层沟通。书面沟通需在注册会计师出具内部控制审计报告之前进行。

3.形成审计意见。注册会计师对获取的证据进行评价，形成对内部控制有效性的意见，出具审计报告。

国际注册内部审计师(CIA)考试特点及应试技巧2017

国际注册内部审计师(CERTIFIED INTERNAL AUDITOR)的英文简称是CIA，它不仅是国际内部审计领域专家的标志，也是目前国际审计界唯一公认的职业资格。CIA需经国际内部审计师协会(INSTITUTE OF INTERNAL AUDITORS 简称 IIA)组织的考试取得。下面是我为大家带来的关于国际注册内部审计师(CIA)考试特点及应试技巧的知识，欢迎阅读。

一、国际注册内部审计师考试简介

由国际内部审计师协会(IIA)统一命题的国际注册内部审计师(CIA)考试，内容丰富、观念新颖，既注重理论，又注重实务，既考对问题的分析判断能力，又考综合理解能力。通过组织CIA考试可以为广大内部审计人员和有志于从事内部审计事业的人员，提供一个学习借鉴国际内部审计先进经验和技术的渠道，有利于内审人员和其他报考人员在展现自身能力的同时，提高业务素质;有利于内审人员了解国际内部审计的发展趋势，开阔视野，自觉与国际接轨;有利于培养适应加入WTO和经济全球化所需的内部审计骨干力量;有利于提高内审地位，树立审计权威，扩大审计影响;有利于培养内部审计后备力量和建立内审人才库;有利于提高企业、事业单位的内部管理水平。国际注册内部审计师考试的引入和推进必将促进我国内部审计人员业务素质和内部审计工作整体水平的提高，加快内部审计工作与国际接轨的进程。

国际注册内部审计师(Certified internal auditor)，英文缩写为CIA，它既是国际内部审计领域专家的标志，又是目前世界各国唯一共同认证的专业职业资格。CIA资格需经考试取得，从1974年开始至今，全球已有50多个国家和地区开展了这项考试。考试语种有英语、法语、德语、西班牙语、希伯来语、意大利语和汉语等。CIA 考试每年组织两次，分别在5月和11月举行(我国大陆每年仅在11月份组织一次考试)。此项考试的权威性源于“三个统一”，即全世界统一时间、统一命题、统一阅卷。考试内容的前三部分由国际内部审计师协会统一出题，第四部分因各国经济法律环境不同而由各国自行命题(大部分考生依据有关规定免试该部分)。报名条件要求具有本科及本科以上学历;具有中级及中级以上专业技术资格;持有注册会计师证书或非执业注册会计师证书;本科院校审计、会计及相关(工商管理)专业三、四年级学生;现从事审计、会计教学工作的普通高等院校的教育工作者。根据中国内部审计协会与国际内部审计师协会(IIA)达成的协议，我国考生按照发展中国家标准交纳考试费用，报名费50元人民币/次，考务费230元人民币/部分。

2003年国际内部审计师协会(IIA)对CIA考试大纲进行了调整，自2004年起实行新的考试大纲。新CIA考试大纲将内容分为对应的四部分：

第1部分：内部审计在治理、风险和控制中的作用

第2部分：实施内部审计业务

第3部分：经营分析和信息技术

第4部分：经营管理技术

CIA考试内容之所以分为四个部分，是因为内容相互交叉而无法截然分开。每部分考试时间为165分钟(2小时45分钟)，自2004年开始每部分的试题量确定为100道题(依据考试大纲的要求，原来试题量曾为每部分80道、125道单项选择题)。当前CIA考试全部采用单项选择题形式，一般按试题总分的75%(相当于600分)确定及格线，及格成绩不公布具体分数，只显示“Passed(通过)”。

CIA考试从两个层次检验报考者的知识水平和实际能力：

1. 了解程度。检验报考者对概念和专业术语的了解情况，以及对测试内容的主要特性和基本原理的判断能力。

2. 熟练程度。检验报考者对原理、实务和相关程序是否有透彻的理解，以及运用专业知识和各种技能处理实际问题的能力

在西方，CIA所从事的内部审计是一种积极的管理审计，具有独立性、广泛性、综合性的特点。内部审计在企业中的作用相当于人体的白细胞，辅助企业建立健康的免疫体系和自我完善机制。现代内部审计要求审计人员从系统的角度进行管理审计，关注风险，加强预防，重视内控，发现问题并协助管理者解决问题。CIA在西方被看作老板的管家和参谋，是董事会和高级管理层的重要管理助手，为管理者提供独立客观的认证和咨询顾问服务，想老板之所想，急老板之所急，干老板想干而不能干或干不了的事。

CIA考试是一种典型的“能力型考试”，检验应试人员从事内部审计工作所必须掌握的基本技能以及发现问题，分析问题和解决问题的能力，因此完全不同于我国目前传统意义上的“知识型考试”。传统的知识型考试侧重于考察考生对知识的掌握，而CIA考试更侧重于实际方法和技能的应用，引导考生培养解决实际问题的能力。对于知识型考试，一般都有指定教材，人们习惯于通过熟记教材内容的办法来应对考试，而针对CIA考试，仅仅将有关的知识内容记住是远远不够的，必须将这些知识转换成自己解决问题的实际能力，方能有效应对案例型的CIA考试试题，这正是我国许多考生不适应CIA考试的主要原因所在。中国内部审计协会引入CIA考试，目的就是以学习促应用，以考试促提高，通过学习、培训和考试提高企业、事业单位的内部管理水平，促进我国内部审计人员业务素质和内部审计工作整体水平的提高，加快内部审计工作与国际接轨的进程。

二、国际注册内部审计师考试在我国的开展情况

1998年我国首次CIA(国际注册内部审计师)考试在广州开考，至今已有8年时间，考点由1个目前已经扩大到20个省市。随着改革开放的进一步深入以及与世界经济逐步接轨，具有国际资质认证的CIA考试逐步为人们所熟知，报考人数逐年上升，企业内部审计人员、财务会计人员、国家审计机关工作人员、会计师事务所注册会计师、在校学生成为考生主体。纵观几年来CIA考试情况，我国CIA考试通过率相对较高，就所有考点综合来看，2002年前三部分的综合通过率达到，2003年为，修改考试大纲后的2004年前三部分的综合通过率为(具体分析情况见下表)。在中国内部审计协会的大力推动下，经过广大考生的努力拼搏，我国的CIA考试取得了较为理想的成绩，从1998年CIA开考以来，截止到2005年10月份，我国大陆已有6700余人通过了CIA考试。

三、备考学习难点

CIA考试采用题库方式根据大纲知识点进行随机配题考试，而题库中的试题绝大部分是以西方发达国家经济环境为背景的，就我国考生而言存在较多的不熟知的内容，如何做到“知己知彼，对症下药”，充分了解CIA考试的特点，是提高备考效率，提高考试通过能力的前提。

1、内容广泛，包罗万象。CIA考试内容具有很强的综合性，考试涉及的内容相当广泛，有企业管理、管理会计、财务会计、审计、统计、计算机、信息技术、市场营销、战略管理等诸多内容，而这些内容正是从事管理审计工作所必需的，因此，要求考生应具有较宽的知识面和融会贯通的应用能力，西方崇尚实用科学，在审计实务工作中大多采用量化分析方法，应用各个相关学科的成果，建立各种模型进行客观准确的专业判断，以形成科学的审计判断和审计结论。

针对这一特点，考生应多掌握相关学科知识，并将其相互联系，综合运用。如果没有一定的学科知识基础，仅仅依靠考前一两个月的突击复习难以奏效，值得庆幸的是该考试大纲要求内容广而不深，都是各个学科中较为基础的内容，一般没有超过本科学习的层次，所以对于符合报考条件的考生来说并不是太大的困难。

2、审计实务和执业环境的差异。由于经济发展和管理水平上的差异，我国的内部审计在地位、作用、方法、程序以及观念上与西方存在较大的差距，CIA考试内容在一定程度上受到以美国为代表的西方价值观的影响，在内部审计发展进程中，由传统的财务复核型审计发展到绩效审计和管理审计，内部审计已经成为企业管理的'重要工具，由事后检查变为事前预测和事中控制，重视风险管理，强调风险控制。在西方民主和法制背景下，注重诚实、信用，严格遵守法律，关注公共利益，重视环境保护，倡导人文管理理念，崇尚民主、平等和团队精神等等，考生应从西方成熟的市场经济环境出发，依据西方社会价值评判标准和法制环境及思维方式进行试题分析，方能准确把握答案，并真正领会西方先进的管理思想和经营理念。

3、考试方式影响。该考试完全采用单项选择题的方式进行考核，四个备选答案具有很强的迷惑性，不能简单地根据一个备选答案确定其正误，必须将四个答案综合比较，最终选择最优答案，“没有最佳，只有最优”，四个答案都正确，选择其中最好的;答案中没有最准确的，选择最接近的答案。CIA试题具有很高的科学性、逻辑性和应用性，并且题目中往往设陷阱，因此考生应仔细审题，避免解题“近视”，通过科学的分析、判断、推理、综合、归纳、演绎、排除，最终确定合理答案。

4、语言差异的影响。CIA考试题库中的试题原文是英文版本，非英语国家将其翻译成各自国家语言后进行考试，众所周知，两种语言不可能完全对等一致，有些概念和含义没有确切的词语来表达，加之很多场合采用直译方式，英语中的语序和从句的运用与汉语有较大的区别(有些考生戏言是“翻译成中国字，但不是中国话”)，语言的差异在一定程度上影响甚至扰乱了考生的理解与分析过程，近年来试题中对于容易产生歧义的内容采用中英文对照方式较好地解决了这一问题。有些辅导资料翻译不准确，甚至是晦涩难懂，同时还存在一些印刷校对错误，在一定程度上也影响了考生对有关内容的理解，降低了备考学习效率。

5、考试内容的交叉。如前所言，西方的内部审计作为管理审计几乎涉及到企业管理的各个领域，因此CIA考试大纲涵盖了企业管理方方面面的内容，这些知识和技能是一名内审人员履行工作职责不可或缺的前提条件，从而形成一个全面的综合性体系，我们习惯于将考核内容称为四门课程，实际上按照国际内部审计师协会的称谓应是四个部分(Four parts)，正如大家所了解的那样，各个部分之间还存在一定的交叉，相互联系比较密切，因为考核内容是一个完整的整体，无法分成独立的几门课程，所以建议大家对于前三部分应同时报考，在备考过程中也应相互联系起来学习，从总体上进行理解和把握。

6、考核内容的补充调整。CIA考试题库每年都会补充新的试题，尤其是信息技术方面的内容，新兴的技术和方法都体现在试题之中。对于较为专业性的概念，如防火墙、蠕虫、电子商务、EDI/EFT、数字证书、网关、逻辑炸弹、生物统计技术、MRP/MRPⅡ/ERP、整体测试法、平行模拟法、磁盘阵列等这些信息技术的专业词汇和计算机审计方法可能是一般审计人员不熟悉的，建议大家不要从纯专业角度来掌握，应从应用层面结合实例进行形象化地理解，最好请专业人员进行通俗化的解释，这样做会远远超过自己查阅有关资料所达到的学习效果。

四、备考学习方法

针对CIA考试的实际情况，采用科学高效的学习方法是应对CIA考试的关键。

1、根据大纲要求掌握相关知识点内容。CIA考试题库内容是按照大纲所规定的知识点进行组织的，题库中针对每个知识点从多个方面、多个角度和多个层次设计试题，而每份试题则是根据大纲规定的知识点从题库中配题，可见掌握知识点内容是考试成败的关键，也是备考工作的核心所在。千变万化的模拟题、练习题总是针对相关知识点的，万变不离其中，应试准备的第一要务是熟练掌握各个知识点内容，只有树立正确的观念，掌握相应的方法才能把握解题思路和方向，只有知道什么是对的，才能进行有效的判断、分析、对比、排除。这也说明了参加这种能力型考试的准备过程决不能急功近利，没有一定的专业基础仅仅依靠突击做题的备考方法往往适得其反。

2、联系实务，重在应用。西方崇尚“实用主义”，可以说每一个概念、每一种方法、每一个模型都有其实用价值，在学习过程中一定要理论联系实际，从解决实际问题角度把握有关内容，联系实际不仅可以减少学习过程的枯燥无味，而且结合实例能够更进一步加深对有关内容的理解，既提高了应对考试的应试水平，又在真正意义上培养和锻炼了工作能力。

3、贵在理解，适量训练。对于CIA考试内容，切忌死记硬背，其关键在于在了解基本原理、理解精髓的基础上将有关知识、技能运用于实践以解决问题。必要的训练是任何考试的金钥匙，没有一定数量全面涵盖大纲知识点的习题训练为基础，很难深入掌握相关内容。本人不赞同搞“题海战术”，虽然近两年CIA考试相关参考资料逐渐丰富，以单纯做题代替系统学习往往是收效甚微，事倍功半。真正掌握了知识点内容，通过适量相关练习题就能起到印证和巩固的作用，更多的题目无非是重复训练，只要掌握知识点真正内涵，完全可以举一反三，融会贯通。

4、参加高水平的培训。有条件的同志可以参加CIA考试的考前辅导，考前培训可以促进广大考生尽快进入应试角色，缩短适应过程，培养学习兴趣，少走弯路，提高效率，“他山之石，可以攻玉”，通过辅导培训，许多疑难问题则迎刃而解。

五、备考建议

任何事情只有付出，方能得到回报，参加考试更是如此，不要期望存在不劳而获的捷径，但是科学的学习方法是必不可少的，吸收借鉴以往考生的经验体会，对症下药，能够少走弯路，大大提高学习效率，起到事半功倍的效果。

1、制定科学的学习计划。好的开始是成功的一半，考生应根据自己的具体情况制定一个切实可行的学习计划。考前学习一般分为掌握知识点、训练提高和拾遗补漏三个阶段，在每一阶段有所侧重，循序渐进，最后通过系统训练达到大纲规定要求。

2、有针对性地复习巩固。CIA考试大纲规定内容广泛而系统，通过习题训练环节可以全面检验自己对于考试内容的掌握程度，对已经熟悉的内容不必再花更多气力，重点放在尚未把握的地方，通过请教他人或查阅资料扫除学习障碍。根据国际内部审计师协会公布的模拟试题进行分析，考试各部分组成结构如下表，依据及格线划定标准，考生应确保每部分答对题数在94个以上才有把握通过考试。

3、考前的讨论与交流。一般情况下，越临近考试，学习效率越高。大家在学习过程中会遇到许多自己无法解决的问题，根据几年来的经验，考试之前考生之间讨论交流非常重要，通过讨论不仅可以沟通学习体会，互通有无，而且能够共同探讨，解决许多难题，用一些考生的话来说“这样做会有突飞猛进的提高”。

4、充分分析，全面审题。如果说CIA考试有些诀窍的话，全面审题就是其中之一。试题中的四个备选答案比较接近，做题的关键在于把握题干中的关键词，在试题中一定会有一个核心的词语作为筛选判断答案的依据，一般来说考试过程中时间比较充裕，要通过认真系统的审题过程，找出关键词，据此确定试题答案。例如1997年试题中有这样一题：

准备对某质量控制部门进行审计时，下面四种情况在初步调查问卷中最不宜采用的是哪一种?

A、分析质量控制文件

B、查阅永久性审计档案

C、查阅前期审计报告

D、查阅质量控制部门的管理认证

如果将该题的关键词确定为“质量控制”，那么答案很难筛选确定，而实际其关键词是“初步调查”，在初步调查阶段主要任务是全面了解被审对象，获取与审计目标有关的信息，从这个意义上来看，很容易确定A是正确答案。

另外，因为英语句法原因，有些试题不符合汉语的表达方式，如：

下列各项可能损害内审的客观性，除了

A、利益冲突

B、被审单位熟悉审计师，缺少轮换

C、审计师以临时的基础假定经营责任

D、必要时依靠外部专家

这时应将试题按照其逻辑关系转换为汉语习惯方式进行思考答题，即不影响内审客观性的是什么，通过对比可以确定D为最佳答案。