会计师事务所内部控制审计监管专题

健全有效的内部控制是防范财务造假、筑牢资本市场会计信息质量防线的第一道关口，能够从源头上遏制造假空间与动机。内控审计既是检验内控有效性的关键环节，也是促进上市公司健全治理结构、提升治理水平、规范运作的重要保障。为督促审计机构切实勤勉尽责，助力推动上市公司不断完善公司治理，进一步提升财务报告及内控审计执业质量，江苏证监局结合日常监管实践，系统梳理内控审计中存在的突出执业问题，提示审计风险，提出监管要求。

【主要问题】

整合审计框架下，内控审计与财报审计本应互为支撑、协同推进，共同构成企业财会监督体系的重要基石。然而，监督检查中发现，部分会计师事务所未能充分认识内控审计的独立价值，存在“重财务报表审计、轻内控审计”“重实质性程序、轻风险评估及控制测试”倾向，将内控审计简单依附于财务报表审计流程，视为附属工作或程序性补充。这种认知偏差在执业中表现在审计资源投入不足、程序执行流于形式等，导致无法识别重大错报风险、实质性程序缺乏针对性等问题，不仅削弱内控审计对企业内控有效性的鉴证作用，也加剧审计失败风险与资本市场合规隐患。现就检查中发现的突出执业问题通报如下：

一、计划审计工作方面

审计计划是内控审计的基础，部分注册会计师未严格贯彻风险导向审计思路，审计计划制定流于形式、缺乏针对性，导致未能为审计工作提供有效指引。例如，部分注册会计师未结合被审计单位管理层核心岗位人员频繁更换、业务模式发生变化、存在会计差错更正、实际控制人股权质押比例较高或前期存在关联方资金占用行为等情况，制定针对性的内控审计计划，导致审计范围与重点未能有效覆盖相关内控风险，审计资源分配无法匹配工作复杂程度；部分注册会计师未充分考虑信息技术控制对财务报告的影响，对被审计单位核心业务依赖信息系统、财务核算高度信息化的情形，未在审计计划中明确信息技术一般控制和应用控制的审计范围、重点程序及专业资源配置；部分注册会计师在制定审计计划时简单套用工作模板，计划执行的“评价管理层凌驾于控制之上的风险而设计的控制”等重要程序在后续审计工作中未见落实，导致风险识别精准性与审计应对有效性大打折扣。

二、实施审计工作方面

审计实施是内控审计的核心环节，直接决定审计质量、审计结论的可靠性。部分注册会计师在开展内控审计时，关键程序未有效执行，审计证据缺乏相关性、充分性，无法合理支撑内控审计结论。具体问题表现如下：

（一）了解和测试企业层面控制方面

一是控制范围了解不全面。部分注册会计师未全面识别被审计单位企业层面控制的核心领域，仅关注控制环境等表面环节，未对反凌驾于控制之上的控制、期末财务报告流程控制等关键领域进行全面了解。

二是控制测试流于形式。部分注册会计师未充分考虑被审计单位风险特征，在测试企业层面控制时仅简单询问或查阅制度文件，未实地核查控制运行情况、未留存支持控制有效性的相关依据。例如，在测试反凌驾控制时，未恰当抽查重大异常交易相关会计分录及其审批流程，未核实是否存在管理层绕过控制的情形。

三是期末财务报告流程控制测试不完整。期末财务报告流程作为企业层面控制的核心内容，是防范财务报表重大错报的关键，但部分注册会计师未对期末财务报告流程全环节进行测试，仅关注会计政策运用、财务报表编制等部分环节，未对分录编制、报表调整及审批等关键环节开展测试，导致未发现期末财务报告流程内控失效，以及记账分录无制单人、无审核人或制单人异常的情况。

（二）了解和测试业务层面控制方面

一是未恰当了解内控设计的有效性。部分注册会计师未结合被审计单位行业特点、经营模式及业务流程等，对内控设计的有效性实施有效检查。例如，针对业务模式多元、存在境内外业务的被审计单位，注册会计师仅对单一业务执行穿行测试，未对其他业务的业务流程及控制环节进行了解和测试，导致测试范围、测试重点偏离控制目标，无法识别内控设计本身存在的缺陷。

二是混淆控制测试与实质性程序。部分注册会计师未准确区分控制测试与实质性程序的执业目标，存在以执行实质性程序替代控制测试的不当执业行为。例如，部分注册会计师在拟信赖企业内控的基础上，仍以在执行实质性程序时实施了多笔细节测试为由不实施控制测试，错误将实质性程序的结果作为内控有效性的判断依据，忽视了内控审计聚焦于评价控制本身是否合理、是否得到有效执行的核心要求。

三是测试范围不完整。部分注册会计师在执行控制测试时仅测试部分环节，遗漏核心控制节点。例如，在销售与收款流程中，未测试客户信用审批、销售订单审核、营业收入准确性等关键控制的设计及运行情况；在测试收入确认准确性时未获取及核查完整的业务单据，导致无法全面识别业务流程内控运行缺陷。

四是控制测试样本确定不合理。部分注册会计师在确定样本量时，未充分考虑组成部分的业务性质、规模及风险水平差异，在合并范围内统一抽取样本量区间的最小样本量进行测试。例如，在集团审计时，注册会计师针对销售与收款各关键环节，仅统一抽取25个样本进行测试，未关注合并范围内工程企业、科技企业、贸易企业在销售模式、客户类型及收款流程等方面存在的显著差异，导致控制测试样本代表性不足，无法支撑测试结论。

五是控制测试涵盖期间不合理。部分注册会计师未充分关注期中测试日至审计报告基准日期间被审计单位经营活动及业务模式发生的重大变化，控制测试涵盖期间未能覆盖整个被审计期间。例如，被审计单位在期中控制测试后新增业务类型、年末拓展新客户并确认大额收入，注册会计师未针对期末相关内控设计及运行有效性执行补充测试程序，导致无法验证相关控制在期末是否持续有效运行。

六是控制测试流于形式。部分注册会计师未实质核查内控运行有效性，对于测试中发现的控制偏差，未分析原因、未评估影响及未采取应对措施。例如，在测试销售合同审核控制运行有效性时，仅核查合同是否具备签字盖章等形式要件，未对审核流程完整性、合规性及审批逻辑进行核实，无法对内控运行有效性做出恰当判断；针对测试中发现的同一客户签收单据签章不一致、制单人与审核人为同一人的异常情形，未扩大样本规模实施进一步测试。

三、控制缺陷评价与出具审计报告方面

一是未准确识别内控设计缺陷。部分注册会计师在执行穿行测试或控制测试时，未能充分结合被审计单位的风险控制目标，识别内控设计层面存在的缺失。例如，针对票据开具审批流程缺失或审批权限未明确划分、对具有验收条款的产品或服务以签收单作为收入确认依据等问题，未恰当认定为设计缺陷，导致测试结论不精准，无法为被审计单位提供针对性的缺陷整改建议，也无法为审计结论提供可靠支撑。

二是未恰当评价内控运行缺陷。部分注册会计师对于已发现的控制偏差，未恰当判断该偏差是否构成运行缺陷。例如，在测试资金管理、采购付款、销售收款等关键控制时，已发现银行账户开户经办人非公司员工、多笔付款存在无审批或审批滞后、货物出库日晚于签收日等运行偏差，注册会计师未将其认定为运行缺陷，未扩大测试范围、未评估潜在影响，导致内控缺陷识别评价不准确，严重影响内控审计结论可靠性。

三是未结合内控整改情况评价控制缺陷。部分注册会计师在评价控制缺陷时，错误将内控缺陷整改等同于内控有效运行，未结合整改后控制的运行时长及运行情况恰当判断内控有效性。例如，部分注册会计师混淆“控股股东资金归还”与“内控缺陷整改有效”的核心区别，错误认为只要控股股东在资产负债表日前全额归还占用资金，便认定内控缺陷已消除，未进一步核查资金占用背后的内控缺陷是否真正整改、整改后的控制是否运行足够长的时间、是否能够有效防范后续资金占用风险，即直接对被审计单位内控出具标准无保留意见。

四、项目质量复核方面

部分会计师事务所未严格执行复核流程，复核流于形式，未结合内控审计特点，对控制测试执行、缺陷识别与评价、审计证据获取等关键环节开展实质性复核，导致审计缺陷问题未被及时发现；部分会计师事务所未建立复核问题整改机制，对于复核发现的问题，未跟踪督促项目组落实整改措施、完善审计底稿，对整改不到位的情况未及时提出意见，仍同意出具内控审计报告。

【监管要求】

注册会计师应充分认识内控审计对强化企业内控建设、防范财务风险、保护投资者利益、维护资本市场秩序的重要意义，避免“重财务报表审计、轻内控审计”“重实质性程序、轻风险评估及控制测试”的错误倾向，确保内控审计工作真正发挥鉴证和监督作用。

一、计划审计工作方面

注册会计师应严格贯彻风险导向审计思路，强化审计计划的针对性和可操作性。在制定内控审计计划前，应全面了解被审计单位行业特点、经营情况、业务模式等，充分识别重大错报风险领域，并结合上述情况明确审计目标、审计范围、审计重点及资源分配，制定科学、可行的总体审计策略和具体审计计划，避免简单套用模板、计划与实际脱节的问题。例如，针对实际控制人股权质押比例较高的被审计单位，应在审计计划中明确增加资金管理、关联交易等领域的审计重点，合理分配审计资源；针对前期存在关联方资金占用的企业，应在审计计划中明确设计核查相关内控缺陷是否整改的审计程序。

二、实施审计工作方面

（一）了解和测试企业层面控制方面

注册会计师在了解企业层面控制时，应全面识别、了解企业层面控制，重点关注反凌驾于控制之上的控制、期末财务报告流程控制等关键领域；在测试企业层面控制时，应结合被审计单位风险特征，有效核查控制实际运行情况，留存充分、适当的审计证据支撑控制有效性判断。例如，针对期末集中确认大额收入的企业，注册会计师在测试会计分录编制相关控制时，应核查分录的编制依据、执行人员、审批流程，重点关注执行人员的岗位职责、专业胜任能力、是否超出授权范围，并结合期末大额异常分录的商业实质、审批痕迹、原始凭据等判断其合理性，防范财务报表重大错报风险。

（二）了解和测试业务层面控制方面

一是强化风险导向审计理念。注册会计师应始终以风险评估为核心，采用自上而下的审计方法，了解、有效测试业务层面控制，聚焦高风险领域、重要业务流程与关键控制，获取充分适当审计证据，不应简化程序、缩小范围、回避偏差。

二是恰当了解及评价内控设计的有效性。注册会计师应结合被审计单位行业特性、业务类型、经营模式、组织架构及风险特征，全面识别重要业务流程与关键控制。对境内外业务并存、多业态运营的被审计单位，应按不同业务模式分别梳理流程、识别控制，不应仅选取单一重要业务执行穿行测试；在实施穿行测试时，应通过观察、检查、询问等程序验证控制设计是否有效，不应简化控制了解程序、不应以口头描述替代流程核查。

三是有效执行控制测试。注册会计师应准确把握内控审计的目标定位，在拟信赖内控或计划执行内控审计的前提下，不应以实施细节测试等实质性程序为由，豁免、替代控制测试；在确定测试范围时，不应遗漏重要组成部分、重要流程的关键控制节点，对业务流程中的授权审批、职责分离、审批核验、对账核查等核心控制节点实施全面测试，并获取完整业务单据予以验证；在选取测试样本时，应当充分考虑被审计单位风险水平、控制频率、流程差异等因素，结合各组成部分实际情况确定样本量，不应不加区分统一采用最低样本量开展测试；在进行控制测试时应保持职业怀疑，注重实质核查而非形式检查，对控制运行的完整性、逻辑合理性进行验证，不应仅核查签字、盖章等形式要件。对测试中发现的控制偏差、异常情形，应当深入分析产生原因、判断偏差性质、评估对控制有效性的影响，并采取扩大样本规模、追加审计程序等应对措施，不应默认无偏差、不处理、不记录；对于期中测试之后，被审计单位经营活动、业务模式、控制设计发生重大变化的，注册会计师应执行必要的补充测试，确保测试涵盖整个审计期间。

三、控制缺陷评价与出具审计报告方面

注册会计师在评价控制偏差时，应深入分析偏差的性质、发生频率、涉及范围及潜在影响，恰当判断该偏差是否构成设计缺陷或运行缺陷，不应将严重的控制偏差等同于偶然失误；在评价控制缺陷时，不应将重大缺陷降格为重要缺陷、一般缺陷，缺陷评价需结合被审计单位业务规模、风险水平及整改情况综合判断，不应简单套用统一标准。同时，应完整记录控制缺陷的具体表现、影响范围、核查过程及判断依据，不得仅凭主观判断或企业自评意见定性缺陷。注册会计师应根据控制缺陷评价结果，出具恰当的内控审计意见。

四、项目质量复核方面

会计师事务所应建立健全内控审计项目质量复核制度，明确复核职责、复核范围、复核流程及复核标准，配备具备专业胜任能力、独立性的专职复核人员。项目质量复核人员应实施实质复核，不应仅对程序完整性、签字手续等形式要件进行复核，应当实质核查审计程序执行的真实性、缺陷评价的合理性、审计报告的合规性。对复核中发现的问题，应当及时与项目组沟通，要求项目组补充审计程序、完善底稿。对于发现的重大缺陷误判漏判、审计程序严重不到位等问题，应立即向事务所管理层报告，督促项目组整改落实，并在复核意见中予以反映，同时结合整改落实情况审慎评估对缺陷认定结论及最终审计意见的影响。