近期，证监会、财政部联合印发《关于强化上市公司及拟上市企业内部控制建设推进内部控制评价和审计的通知》(财会〔2023〕30 号)，对内部控制体系的建设、评价及审计工作提出了要求。江苏证监局结合监管实践，梳理了资本市场内部控制审计执业中的主要问题，根据《企业内部控制基本规范》(以下简称基本规范)、《企业内部控制审计指引》、《企业内部控制审计指引实施意见》(以下简称实施意见)的相关规定，就证券服务业务内部控制审计进行如下提示：

一、会计师事务所层面

(一)存在问题

内部控制审计报告要求会计师对内部控制整体有效性单独发表意见，但部分会计师事务所对内部控制审计工作重视不足，对自身在内部控制审计中的责任认识不清，未认识到内部控制审计与财务报表审计在内部控制了解和测试的目的、内部控制测试范围、内部控制测试结果所要达到的可靠程度、控制缺陷的评价要求、审计报告内容等存在实质性差异，未将内部控制审计作为一项独立业务，而是将其完全附属于财务报表审计，将内部控制审计执行的工作等同于财务报表审计中的了解内部控制和控制测试程序。

(二)监管要求

会计师事务所应重视内部控制审计相关技术指引、培训、质量管理等内部标准的制定，指引、督促项目组规范执行与财务报告相关的内部控制审计，对被审计单位内部控制的有效性发表恰当的审计意见。

会计师事务所应根据基本规范、《企业内部控制审计指引》、《上市公司实施企业内部控制规范体系监管问题解答》、实施意见等文件，结合事务所实际情况，制定可操作性的技术指引和操作规程，并加强与内部控制审计相关的培训。会计师事务所应建立和完善与内部控制审计相关的业务质量控制体系，建立对内部控制审计业务的质量复核制度。

二、项目执行层面

(一)初步业务活动阶段

1.执业问题

一些会计师未实施与内部控制审计相关的初步业务活动，未确定内部控制审计的前提条件是否已得到满足。

2.监管要求

根据实施意见，只有当内部控制审计的前提条件得到满足，并且会计师事务所符合独立性要求、具备专业胜任能力时，才能接受或保持内部控制审计业务。会计师在本期内部控制审计业务开始前应当开展下列初步业务活动：

(1)针对客户关系和具体审计业务的接受或保持实施相应的质量控制程序；

(2)评价会计师事务所和项目组遵守相关职业道德要求的情况；

(3)确定内部控制审计的前提条件是否得到满足；

(4)就内部控制审计业务约定条款与被审计单位管理层达成一致意见，并单独签订内部控制审计业务约定书；

(5)根据项目需要选择满足独立性要求且具备专业胜任能力的员工建立项目组。

(二)计划阶段

1.存在问题

一些会计师在同时执行被审计单位的财务报表审计和内部控制审计(整合审计)时，风险导向审计理念运用不足，未考虑已识别出的风险导致财务报告内部控制重大缺陷的可能性；一些会计师编制的总体审计策略和具体审计计划中未涉及内部控制审计相关内容，或虽有提及但内容简单不具备可操作性，未明确内部控制审计范围，未明确测试控制设计和执行有效性的程序、时间安排和范围等，不能指导项目组成员执行内部控制审计工作。

2.监管要求

会计师应当在总体审计策略中确定内部控制审计业务特征，以界定审计范围；明确内部控制审计业务的报告目标，以计划审计的时间安排和所需沟通的性质。根据职业判断，考虑可指导项目组工作方向的重要因素。考虑初步业务活动的结果及对被审计单位执行其他业务时获得的经验是否与内部控制审计业务相关，确定执行内部控制审计业务所需资源的性质、时间安排和范围。具体审计计划中，应当体现了解和识别内部控制的程序的性质、时间安排和范围，测试控制设计和运行有效性的程序的性质、时间安排和范围等相关内容。

(三)实施阶段

1.识别、了解和测试企业及业务层面的控制方面

(1)执业问题

一是会计师未采取自上而下的方法选择拟测试的控制，未根据企业实际情况了解整体风险和企业层面内部控制；未在识别重要账户、重要业务流程的基础上识别业务层面的关键控制；内部控制了解范围不充分，未对重要组成部分相关业务循环执行了解和穿行测试。二是会计师对企业层面内部控制仅执行了了解，对其设计的有效性获取了审计证据，但未对其执行的有效性获取审计证据，未对被审计单位期末财务报告流程进行评价。在审计中选择了解和测试的控制点与企业当期财务报表中的重要账户无关，对部分控制活动的描述与公司实际情况不符。三是会计师以财务报表审计为目的选择拟测试的内部控制，未针对每一个相关认定获取控制有效性的审计证据，不足以支撑对内部控制整体的有效性发表意见。

(2)监管要求

会计师应当采用自上而下的方法选择拟测试的控制。自上而下的方法始于财务报表层次，以会计师对内部控制整体风险的了解开始，将关注重点放在企业层面的控制上，并逐渐下移至重要账户、列报及其相关认定。随后，验证其对被审计单位业务流程中风险的了解，并选择能足以应对评估的每个相关认定的重大错报风险的控制进行测试。

2.测试控制的有效性方面

(1)执业问题

一是将对控制设计有效性的测试代替运行有效性的测试，对控制活动的描述为模板文字，控制测试时仅勾画程序表格，测试程序实际未执行。二是仅将询问作为测试控制是否运行有效的主要审计证据，未综合运用询问适当人员、观察经营活动、检查相关文件以及重新执行等程序。三是未在考虑与控制相关风险的基础上确定测试的范围，测试的样本量小于实施意见规定的最小样本量，或是在出现控制偏差的情况下未进一步考虑和处理。四是在整合审计中，仅对财务报表审计中拟信赖内部控制的期间获取了控制有效性的审计证据，但未基于发表内部控制审计意见的目的获取被审计单位于报告基准日内部控制有效性的审计证据。五是连续多年审计中，未增加测试的不可预见性，未每年改变测试的性质、时间安排和范围。六是未考虑审计中识别内部控制缺陷后至报告基准日之前，公司是否有足够时间完成缺陷整改，整改后的内部控制未运行足够长的时间，即得出整改后的内部控制有效的结论。

(2)监管要求

在测试控制设计及运行的有效性时，应当考虑与控制相关风险的基础上综合考虑当年确定测试的范围，尽量在接近基准日实施测试并涵盖足够长的期间，综合运用询问适当人员、观察经营活动、检查相关文件以及重新执行等程序，同时增加测试的不可预见性，为基准日内部控制是否不存在重大缺陷提供合理保证。

如发现控制偏差，应当考虑偏差的原因及性质，并考虑采用扩大样本量等适当的应对措施，若该项偏差对总体具有代表性则应视做一项内部控制缺陷；如果该项偏差是系统性偏差或人为有意造成的偏差，应当考虑舞弊的可能迹象以及对审计方案的影响。

3.集团审计的特殊考虑方面

(1)执业问题

未对全部重要组成部分的重要账户、列报及其相关认定的内部控制实施测试；对包含重要账户、列报及相关认定的其他组成部分，未测试该组成部分相关的业务流程、应用系统或交易层面的控制。

(2)监管要求

应当对重要组成部分的重要账户、列报及其相关认定的内部控制实施测试。对于重要组成部分以外的其他组成部分，如果存在重要账户、列报及其相关认定，应当首先评价对整个集团企业层面和该组成部分企业层面控制的测试以及针对重要组成部分相同的账户、列报及其相关认定的内部控制实施的测试情况，判断其能否提供充分、适当的审计证据。如果不能提供充分、适当的审计证据，应当选择适当数量的其他组成部分，测试与该重要账户、列报及其相关认定相关的业务流程、应用系统或交易层面的控制，直至能够获取充分、适当的审计证据为止。

(四)控制缺陷评价阶段

1.执业问题

未考虑信息系统一般控制缺陷的影响；未在报表整体层面汇总并评价已识别的控制缺陷，未确定这些已识别的控制缺陷可能导致的潜在错报金额；未恰当评价控制缺陷的严重程度。

2.监管要求

会计师应评价识别的各项控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成内部控制的重大缺陷。在评价过程中，应考虑控制不能防止或发现并纠正账户或列报发生错报可能性的大小，以及因一项或多项控制缺陷导致潜在错报的金额大小等因素。发现信息系统一般控制存在缺陷时，必须考虑与该信息系统一般控制缺陷相关的应用控制、依赖于该信息系统一般控制的手工控制等因素，对审计计划作出必要的调整。

当存在以下迹象时，可能表明内部控制存在重大缺陷：发现董事、监事和高级管理人员的任何舞弊；被审计单位因更正舞弊或错误导致的重大错报，对财务报表进行重述；注册会计师发现当期财务报表存在重大错报，而被审计单位内部控制在运行过程中未能发现该错报；审计委员会和内部审计机构对内部控制的监督无效。

当发现的控制缺陷达到被审计单位内部控制自评报告中对重大缺陷的认定标准时，应当认定为内部控制存在重大缺陷。如果被审计单位在报告基准日前对存在重大缺陷的内部控制进行了整改，但新控制尚没有运行足够长的时间，应当将其视为内部控制在报告基准日存在重大缺陷。

(五)报告阶段

1.执业问题

一是未获取与内部控制审计相关的声明，未与被审计单位沟通内部控制审计相关的事项。二是未获取并审阅被审计单位的内部控制自评报告，未识别出自评报告中存在的列报缺陷，未评价这些缺陷对审计意见类型的影响。三是内部控制审计报告强调事项段的内容可能构成财务报告内部控制重大缺陷，以强调事项段替代内控审计报告的否定意见。四是强调事项段明确指出被审计单位存在非财务报告内部控制重大缺陷，但未披露相关事项。五是内部控制审计报告中强调事项段披露的事项与被审计单位报告期末内部控制有效性无关。

2.监管要求

会计师应评价从各种来源获取的审计证据，包括控制测试结果、财务报表审计中发现的错报以及已识别的所有控制缺陷，形成对内部控制有效性的意见。

如果审计范围受到限制，注册会计师应当解除业务约定或出具无法表示意见的内部控制审计报告。

在整合审计中，应关注财务报表审计与内部控制审计在审计证据和结论上的相互参照。实施实质性程序发现的单项或单一性质与方式累积超过重要性水平的错报，一般表明与财务报表相关内部控制存在重大缺陷，应谨慎判断对内部控制审计结论的影响；在财务报表被出具非无保留意见，以及对财务报表进行了重大错报调整的情况下，应合理评价相应内部控制缺陷的严重程度，并充分考虑对内部控制审计报告意见的影响。

(六)项目质量控制复核

1.执业问题

未恰当复核拟出具的内部控制审计报告以及与项目组作出的重大判断和得出的结论相关的审计工作底稿。

2.监管要求

项目质量控制复核人员应当复核重要的审计工作底稿，客观地评价项目组作出的重大判断以及在编制内部控制审计报告时得出的结论。

(七)审计工作底稿

1.执业问题

执行内部控制审计时执行的审计程序未清楚显示内部控制审计的过程和结果，测试中所附的证据与测试目标缺乏关联，部分底稿内容为模板文字，审计结论没有足够的审计工作底稿支撑。

2.监管要求

会计师应当在审计工作底稿中清楚地显示内部控制审计的过程和结果。

相关附件：

关于内部控制审计的风险提示.pdf 

关于内部控制审计的风险提示.pdf