审计师对内部控制的责任

第一条 为了规范审计人员在审计过程中对被审计单位内部控制的测评行为，保证审计工作质量，根据《中华人民共和国国家审计基本准则》，制定本准则。第二条 本准则所称内部控制，是指被审计单位为了维护资产的安全、完整，确保会计信息的真实、可靠，保证其管理或者经营活动的经济性、效率性和效果性并遵守有关法规，而制定和实施相关政策、程序和措施的过程。 内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五个要素组成。第三条 本准则所称的内部控制测评，是指审计人员通过调查了解被审计单位内部控制的设置和运行情况，并进行相关测试，对内部控制的健全性、合理性和有效性作出评价，以确定是否依赖内部控制和实质性测试的性质、范围、时间和重点的活动。第四条 建立健全内部控制并保证其有效实施是被审计单位的责任，审计人员的责任是对内部控制的健全性和有效性进行评价。第五条 审计人员进行内部控制测评分为下列四个步骤： （一）对内部控制进行调查了解； （二）对内部控制进行初步评价，评估控制风险； （三）对内部控制的执行情况进行符合性测试； （四）提出内部控制测评结果，并利用测评结果确定实质性测试的范围、重点和方法。第六条 审计人员对内部控制的调查了解和初步评价可以通过下列方法进行： （一）查阅被审计单位的各项管理制度和相关文件； （二）询问被审计单位管理人员和其他有关人员； （三）检查内部控制过程中形成的文件和记录； （四）观察被审计单位的业务活动和内部控制的实际运行情况。第七条 审计人员对被审计单位控制环境进行了解的内容主要有：被审计单位的高层管理人员和其他管理人员的控制意识和诚信程度，经营规模及业务复杂程度，组织机构和相关制度，各部门的分工和职责，主要财政预算和财务计划，人力资源政策等。第八条 审计人员对被审计单位的风险评估进行了解的内容主要有：被审计单位如何确定风险、评估风险的重要性，如何将风险发生的可能性与管理目标、经营计划和财务报告的相关内容联系起来并采取相应的措施。第九条 审计人员对被审计单位的控制活动进行了解的内容主要有：被审计单位各项业务处理程序的授权批准，职责分工，实物控制，凭证与记录的设置和运用，独立的检查程序等控制手段的设置与执行情况。第十条 审计人员对被审计单位的信息与沟通情况进行了解的内容主要有：被审计单位管理和经营活动的主要业务类别，处理各类经济业务的程序，各项业务的会计处理程序和所依据信息的来源，会计系统的设计和重要的会计凭证、账簿种类以及会计报表项目，各部门间信息的传递方式等。第十一条 审计人员对被审计单位的内部监督情况进行了解的内容主要有：被审计单位日常性的监督检查方法，即管理者为监督各项工作的运行而使用的预算、计划、责任报告等制度与方法，内部审计的设置和工作情况等。第十二条 审计人员可以采用如下形式对被审计单位内部控制进行描述，并写入审计日记： （一）用文字记录的形式描述被审计单位内部控制的设置情况； （二）使用调查表的形式向被审计单位管理人员或有关当事人询问内部控制的设置情况并加以记录； （三）以特定的语言符号，绘制经济活动的业务流程，以描述被审计单位内部控制的设置情况。 以上方法可以单独使用，也可以结合使用。第十三条 审计人员进行初步评价后，应当评估控制风险，对是否依赖被审计单位的内部控制及依赖的程度作出决策。第十四条 评估控制风险包括以下工作内容： （一）分析可能发生错弊的业务环节和活动领域，并考察被审计单位已采取的控制措施； （二）测试相关内部控制的合理性和运行的有效性； （三）确定控制风险水平。第十五条 审计人员对内部控制进行符合性测试，可以通过检查文件资料、询问、现场观察、重做某项业务等方法来测试内部控制制度是否得到有效执行。测试的方式主要有以下两种： （一）按照业务处理过程检查业务处理程序中的各项内部控制规定是否得到执行； （二）选择有关经济业务，对业务处理程序中的关键控制点进行测试，检查其是否真正发挥作用。第十六条 审计人员在对内部控制执行情况测评后，应当综合分析被审计单位内部控制的健全性和有效性，提出内部控制测评结果，并据此确定实质性测试的范围、重点和方法。

审计责任是注册会计师执行审计业务、出具审计报告所应负的责任，包括注册会计师的审计法律责任和审计职业责任。 法律责任是指注册会计师出现工作失误或欺诈时，在法律上应承担的责任；职业责任是指注册会计师在承办审计业务时应履行的义务和职责。法律责任和职业责任是审计责任的两个方面，两者是互相补充、紧密相连的，法律责任一般建立在职业责任基础上，即注册会计师首先应当违反了职责，并给相关利益人造成了经济损失，才有承担法律责任的可能。审计师的责任段应当说明的主要内容有：(1)审计师的责任是在执行审计工作的基础上对财务报表发表审计意见。(2)审计师按照中国注册会计师审计准则的规定执行了审计工作。中国注册会计师审计准则要求审计师遵守职业道德守则计划和执行审计工作以对财务报表是否不存在重大错报获取合理保证。(3)审计工作涉及实施审计程序以获取有关财务报表金额和披露的审计证据。选择的审计程序取决于审计师的判断包括对由舞弊或错误导致的财务报表重大错报风险的评估。在进行风险评估时审计师考虑与财务报表编制相关的内部控制以设计恰当的审计程序但目的并非对内部控制的有效性发表意见。审计工作还包括评价管理层选用会计政策的恰当性和作出会计估计的合理性以及评价财务报表的总体列报。 (4)审计师相信获取的审计证据是充分、适当的为其发表审计意见提供了基础。如果结合财务报表审计对内部控制的有效性发表意见审计师应当删除第(3)项中“但目的并非对内部控制的有效性发表意见”的措辞。

内控与内审的区别：1、目标不同。内部控制是建立相互制约的管理关系，目的是改善经营管理；内部审计是对各种业务进行评价，是否合规。2、手段不同。内部控制手段主要有环境控制、风险评估、活动控制、信息与沟通、监控等；内部审计主要手段是查证、函证、抽样、座谈、调查等。3、关注点不同。内部控制的关注点是管理流程、制度和岗位约束、制度的有效性、关键岗位等；内部审计的关注点是各项指标完成情况，异常财务现象，财务规范性等。4、对象不同。内部控制的对象是整个企业的各个环节；内部审计是相关环节和财务相关信息。

(一)审计委员会与内部控制《内控规范》第十三条要求企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制的自我评价情况，协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。一般来说，审计委员会的组成应全部由独立、非行政董事组成，他们至少拥有相关的财务经验。审计委员会的职能是监督、评估和复核企业内的其他部门和系统。董事会关于内部控制的主要目标会授权给审计委员会负责。在一般情况下，审计委员会负责整个风险管理过 程，包括确保内部控制系统是充分且有效的。就内部控制而言，审计委员会应复核企业的内部财务控制以及企业的所有内部控制和风 险管理系统，除非这项任务由另外的独立风险委员会或董事会承担。审计委员会还应批准年报中有关内部控制和风险管理的陈述。(二)审计委员会的履责方式审计委员会应每年至少举行三次会议，并于审计周期的主要日期举行。审计委员会应每年至少与外聘及内部审计师会面一次，讨论与审计相关的事宜，但无需管理层出席。此外，审计委员会应每年对其权限及其有效性进行复核，并就必要的人员变更向董事会报告。(三)审计委员会与合规审计委员会应核查对外报告规定的遵守情况。审计委员会一般有责任确保公司履行了对外报告义务。审计委员会应结合企业财务报表的编制情况，对重大的财务报告事项和判断进行复核。管理层的责任是编制财务报表，审计师的责任是编制审计计划执行审计。(四)审计委员会与内部审计确保充分且有效的内部控制是审计委员会的义务，其中包括负责监督内部审计部门的工作。审计委员会应监察和评估内部审计职能在企业整体风险管理系统中的角色和有效性。并批准对内部审计主管的任命和解聘，它将在四个主要方面对内部审计进抒复核，即组织中的地位、职能范围、技术才能和专业应尽义务。为了保持独立性，负责复核特定职能部门的雇员应独立于该职能部门之外，并应直接将相关发现向董事会下属的审计委员会报告。内部审计师或内部审计的管理者或董事应直接且定期向董事会报告。在某些企业，主管审计师向高级管理者(而非董事会)报告日常行政事务。在这种情况下，董事会必须采取额外的措施，确保这种报告关系不会损害审计师的独立性，或对其独立性产生不当的影响。内部审计师应具备必要的知识、技巧以及训练，以熟练、专业地实施审计工作。内部审计师应该善于口头沟通及书面通信，能够理解会计及审计准则、原则及技术，认 识及评估与完善的商业实务的偏离之重要性和重大程度。此外，他们能确认现有或潜在的问题，并在适当的情况下，对程序进行补充。很重要的一点是，内部审计人员(包括审计经理或总监)要参与继续教育和培训。企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。(五)审计委员会与外聘审计师审计委员会应承担就任命、重新任命或解聘外聘审计师向董事会提出建议的主要责任。审计委员会应监督新审计师的选择过程。审计委员会应批准外聘审计师的业务条款及审计服务的报酬。审计委员会复核审计师的审计工作范畴，并确信该审计范畴是充分的。审计委员会应确保于每次年审开始之时已为审计制订了适当的计划。审计委员会执行完工后的复核。审计委员会还应为企业制定关于由外聘审计师提供非审计服务的政策，并向董事会提出相关建议。外聘审计师提供非审计服务时，不得损害外聘审计师的独立性或客观性。(六)向股东报告内部控制董事会如要为股东提供其所需的保证，则应对集团内部控制系统的有效性展开复核，并至少每年向股东汇报一次。审计委员会为了向股东汇报而执行的复核应涉及所有重大控制，包括财务、运营和合规控制以及风险管理系统。此外，年报亦应为股东提供有关审计委员会的工作信息。审计委员会主席应出席年度股东大会，并回答股东提出的关于审计委员会工作方面的问题。