企业内部控制审计指引实施意见的关于计划审计工作

注册会计师应当贯彻风险导向审计的思路，恰当地计划内部控制审计工作，制订总体审计策略和具体审计计划。 注册会计师应当在总体审计策略中体现下列内容：（1）确定内部控制审计业务特征，以界定审计范围。例如，被审计单位采用的内部控制标准、注册会计师预期内部控制审计工作涵盖的范围、对组成部分注册会计师工作的参与程度、注册会计师对被审计单位内部控制评价工作的了解以及拟利用被审计单位内部相关人员工作的程度等。对于按照权益法核算的投资，内部控制审计范围应当包括针对权益法下相关会计处理而实施的内部控制，但通常不包括针对权益法下被投资方的内部控制。内部控制审计范围应当包括被审计单位在内部控制评价基准日（最近一个会计期间截止日，以下简称基准日）或在此之前收购的实体，以及在基准日作为终止经营进行会计处理的业务。注册会计师应当确定是否有必要对与这些实体或业务相关的控制实施测试。如果法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制评价范围，注册会计师可以不将这些实体纳入内部控制审计的范围。（2）明确内部控制审计业务的报告目标，以计划审计的时间安排和所需沟通的性质。例如，被审计单位对外公布或报送内部控制审计报告的时间、注册会计师与管理层和治理层讨论内部控制审计工作的性质、时间安排和范围，注册会计师与管理层和治理层讨论拟出具内部控制审计报告的类型和时间安排以及沟通的其他事项等。（3）根据职业判断，考虑用以指导项目组工作方向的重要因素。例如，财务报表整体的重要性和实际执行的重要性、初步识别的可能存在重大错报的风险领域、内部控制最近发生变化的程度、与被审计单位沟通过的内部控制缺陷、对内部控制有效性的初步判断、信息技术和业务流程的变化等。（4）考虑初步业务活动的结果，并考虑对被审计单位执行其他业务时获得的经验是否与内部控制审计业务相关（如适用）。（5）确定执行内部控制审计业务所需资源的性质、时间安排和范围。例如，项目组成员的选择以及对项目组成员审计工作的分派，项目时间预算等。 注册会计师应当在具体审计计划中体现下列内容：（1）了解和识别内部控制的程序的性质、时间安排和范围；（2）测试控制设计有效性的程序的性质、时间安排和范围；（3）测试控制运行有效性的程序的性质、时间安排和范围。 在计划和实施内部控制审计工作时，注册会计师应当考虑财务报表审计中对舞弊风险的评估结果。在识别和测试企业层面控制以及选择其他控制进行测试时，注册会计师应当评价被审计单位的内部控制是否足以应对识别出的、由于舞弊导致的重大错报风险，并评价为应对管理层和治理层凌驾于控制之上的风险而设计的控制。被审计单位为应对这些风险可能设计的控制包括：（1）针对重大的非常规交易的控制，尤其是针对导致会计处理延迟或异常的交易的控制；（2）针对期末财务报告流程中编制的分录和作出的调整的控制；（3）针对关联方交易的控制；（4）与管理层的重大估计相关的控制；（5）能够减弱管理层和治理层伪造或不恰当操纵财务结果的动机和压力的控制。如果在内部控制审计中识别出旨在防止或发现并纠正舞弊的控制存在缺陷，注册会计师应当按照《 注册会计师审计准则第1141号——财务报表审计中与舞弊相关的责任》的规定，在财务报表审计中制定重大错报风险的应对方案时考虑这些缺陷。