注册会计师审计内部控制

第二十窢虎促臼讵铰存歇担忙八条 符合下列所有条件的，注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告：

（一）企业按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及企业自身内部控制制度的要求，在所有重大方面保持了有效的内部控制；

（二）注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作，在审计过程中未受到限制。

第二十九条 注册会计师认为财务报告内部控制虽不存在重大缺陷，但仍有一项或者多项重大事项需要提请内部控制审计报告使用者注意的，应当在内部控制审计报告中增加强调事项段予以说明。

注册会计师应当在强调事项段中指明，该段内容仅用于提醒内部控制审计报告使用者关注，并不影响对财务报告内部控制发表的审计意见。

第三十条 注册会计师认为财务报告内部控制存在一项或多项重大缺陷的，除非审计范围受到限制，应当对财务报告内部控制发表否定意见。

注册会计师出具否定意见的内部控制审计报告，还应当包括下列内容：

（一）重大缺陷的定义；

（二）重大缺陷的质及其对财务报告内部控制的影响程度。

第三十一条 注册会计师审计范围受到限制的，应当解除业务约定或出具无法表示意见的内部控制审计报告，并就审计范围受到限制的情况，以书面形式与董事会进行沟通。

注册会计师在出具无法表示意见的内部控制审计报告时，应当在内部控制审计报告中指明审计范围受到限制，无法对内部控制的有效发表意见。

注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的，应当在内部控制审计报告中对重大缺陷做出详细说明。

第三十二条 注册会计师对在审计过程中注意到的非财务报告内部控制缺陷，应当区别具体情况予以处理：

（一）注册会计师认为非财务报告内部控制缺陷为一般缺陷的，应当与企业进行沟通，提醒企业加以改进，但无需在内部控制审计报告中说明；

（二）注册会计师认为非财务报告内部控制缺陷为重要缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进，但无需在内部控制审计报告中说明；

（三）注册会计师认为非财务报告内部控制缺陷为重大缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进；同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，对重大缺陷的质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。

第三十三条 在企业内部控制自我评价基准日并不存在、但在该基准日之后至审计报告日之前（以下简称期后期间）内部控制可能发生变化，或出现其他可能对内部控制产生重要影响的因素。注册会计师应当询问是否存在这类变化或影响因素，并获取企业关于这些情况的书面声明。

注册会计师知悉对企业内部控制自我评价基准日内部控制有效有重大负面影响的期后事项的，应当对财务报告内部控制发表否定意见。

注册会计师不能确定期后事项对内部控制有效的影响程度的，应当出具无法表示意见的内部控制审计报告。

第二十八条 符合下列所有条件的，注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告：

　　（一）企业按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及企业自身内部控制制度的要求，在所有重大方面保持了有效的内部控制；

　　（二）注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作，在审计过程中未受到限制。

　　第二十九条 注册会计师认为财务报告内部控制虽不存在重大缺陷，但仍有一项或者多项重大事项需要提请内部控制审计报告使用者注意的，应当在内部控制审计报告中增加强调事项段予以说明。

　　注册会计师应当在强调事项段中指明，该段内容仅用于提醒内部控制审计报告使用者关注，并不影响对财务报告内部控制发表的审计意见。

　　第三十条 注册会计师认为财务报告内部控制存在一项或多项重大缺陷的，除非审计范围受到限制，应当对财务报告内部控制发表否定意见。

　　注册会计师出具否定意见的内部控制审计报告，还应当包括下列内容：

　　（一）重大缺陷的定义；

　　（二）重大缺陷的质及其对财务报告内部控制的影响程度。

　　第三十一条 注册会计师审计范围受到限制的，应当解除业务约定或出具无法表示意见的内部控制审计报告，并就审计范围受到限制的情况，以书面形式与董事会进行沟通。

　　注册会计师在出具无法表示意见的内部控制审计报告时，应当在内部控制审计报告中指明审计范围受到限制，无法对内部控制的有效发表意见。

　　注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的，应当在内部控制审计报告中对重大缺陷做出详细说明。

　　第三十二条 注册会计师对在审计过程中注意到的非财务报告内部控制缺陷，应当区别具体情况予以处理：

　　（一）注册会计师认为非财务报告内部控制缺陷为一般缺陷的，应当与企业进行沟通，提醒企业加以改进，但无需在内部控制审计报告中说明；

　　（二）注册会计师认为非财务报告内部控制缺陷为重要缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进，但无需在内部控制审计报告中说明；

　　（三）注册会计师认为非财务报告内部控制缺陷为重大缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进；同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，对重大缺陷的质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。

　　第三十三条 在企业内部控制自我评价基准日并不存在、但在该基准日之后至审计报告日之前（以下简称期后期间）内部控制可能发生变化，或出现其他可能对内部控制产生重要影响的因素。注册会计师应当询问是否存在这类变化或影响因素，并获取企业关于这些情况的书面声明。

　　注册会计师知悉对企业内部控制自我评价基准日内部控制有效有重大负面影响的期后事项的，应当对财务报告内部控制发表否定意见。

　　注册会计师不能确定期后事项对内部控制有效的影响程度的，应当出具无法表示意见的内部控制审计报告。

内部控制审计是对内部控制的有效发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制重大缺陷进行披露；财务报表审计是对财务报表是否在所有重大方面按照适用的财务报告编制基础编制发表审计意见。虽然内部控制审计和财务报表审计存在多方面的共同点，但财务报表审计是对财务报表进行审计，重在审计“结果”，而内部控制审计是对保证财务报表质量的内部控制的有效进行审计，重在审计“过程”。发表审计意见的对象不同，使得两者存在区别，例如：
（一）对内部控制进行了解和测试的目的不同
在财务报表审计和内部控制审计中，注册会计师都需要了解与审计相关的内部控制，并都可能涉及测试相关内部控制运行的有效，但两者目的不同。注册会计师在财务报表审计中了解和测试内部控制，是为了识别、评估和应对重大错报风险，据此确定实质程序的质、时间安排和范围，并获取与财务报表是否在所有重大方面按照适用的财务报告编制基础编制相关的审计证据，以支持对财务报表发表的审计意见；注册会计师在内部控制审计中了解和测试内部控制，是为了对内部控制的有效发表审计意见。
（二）测试内部控制运行有效的范围要求不同
在财务报表审计中，针对评估的认定层次重大错报风险，注册会计师可能选择采用实质方案或综合方案。如果采用实质方案，注册会计师可以不测试内部控制的运行有效；如果采用综合方案，注册会计师综合运用控制测试和实质程序，因而需要测试内部控制的运行有效。根据《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的相关规定，当存在下列情形之一时，注册会计师应当设计和实施控制测试，针对相关控制运行的有效，获取充分、适当的审计证据：
（1）在评估认定层次重大错报风险时，预期控制的运行是有效的（即在确定实质程序的质、时间安排和范围时，注册会计师拟信赖控制运行的有效）；
（2）仅实施实质程序并不能够提供认定层次充分、适当的审计证据。
也就是说，如果以上两种情况均不存在，注册会计师可能对部分认定，甚至全部认定都不测试内部控制的运行有效。
在内部控制审计中，注册会计师应当针对所有重要账户和列报的每一个相关认定获取控制设计和运行有效的审计证据，以便对内部控制整体的有效发表审计意见。
（三）内部控制测试的期间要求不同
首先，在财务报表审计中，针对评估的认定层次重大错报风险，如果注册会计师选择综合方案，需要获取内部控制在整个拟信赖期间运行有效的审计证据，而在内部控制审计中，注册会计师对于基准日的内部控制运行有效发表意见，则仅需要对内部控制在基准日前足够长的时间（可能短于整个审计期间）内的运行有效获取审计证据。
其次，尽管连续审计时注册会计师在财务报表审计和内部控制审计中都可以考虑以前审计中所了解和测试的情况，但在执行内部控制审计时，注册会计师不得采用《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》第十四条中提及的“每三年至少对控制测试一次”的方法，而应当在每一年度审计中测试内部控制（对自动化应用控制在满足特定条件情况下所采用的与基准相比较策略除外）。
（四）对控制缺陷的评价和沟通要求不同
在内部控制审计中，注册会计师应当评价识别出的内部控制缺陷是否构成一般缺陷、重要缺陷或重大缺陷。在财务报表审计中，注册会计师需要确定识别出的内部控制缺陷单独或连同其他缺陷是否构成值得关注的内部控制缺陷。
相应地，两者的沟通要求存在不同。在财务报表审计中：
1．注册会计师应当以书面形式及时向治理层通报值得关注的内部控制缺陷，致送书面沟通文件的时间可能根据注册会计师对治理层履行责任需要的考虑确定（对于上市实体，治理层可能需要在批准财务报表前收到注册会计师的沟通文件；对于其他实体，注册会计师可能会在较晚日期致送书面沟通文件，但需要满足完成最终审计档案的归档要求）。
2．注册会计师还应当及时向相应层级的层通报：
（1）已向或拟向治理层通报的值得关注的内部控制缺陷，除非在具体情况下不适合直接向层通报。此项应采用书面方式通报。
（2）在审计过程中识别出的、其他方未向层通报而注册会计师根据职业判断认为足够重要从而值得层关注的内部控制其他缺陷。此项对沟通形式没有强制要求，可以采用书面或口头形式。
在内部控制审计中：
对于重大缺陷和重要缺陷，注册会计师应当以书面形式与层和治理层沟通，书面沟通应在注册会计师出具内部控制审计报告前进行；如果注册会计师认为审计委员会和内部审计机构对内部控制的无效，应当就此以书面形式直接与董事会沟通。此外，注册会计师应当以书面形式与层沟通其在审计过程中识别的所有其他内部控制缺陷（包括注意到的非财务报告内部控制缺陷），并在沟通完成后告知治理层。
（五）审计报告的形式和内容以及所包括的意见类型不同
内部控制审计报告的形式和内容不同于财务报表审计报告。注册会计师应当分别按照中国注册会计师审计准则和《企业内部控制审计指引》及《企业内部控制审计指引实施意见》的相关规定，出具财务报表审计报告和内部控制审计报告。此外，内部控制审计报告不存在保留意见的意见类型，如果内部控制存在一项或多项重大缺陷，除非审计范围受到限制，注册会计师应当对内部控制发表否定意见；如果审计范围受到限制，注册会计师应当解除业务约定或出具无法表示意见的内部控制审计报告。

内部控制审计是对内部控制的有效发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制重大缺陷进行披露；财务报表审计是对财务报表是否在所有重大方面按照适用的财务报告编制基础编制发表审计意见。
虽然内部控制审计和财务报表审计存在多方面的共同点，但财务报表审计是对财务报表进行审计，重在审计“结果”，而内部控制审计是对保证财务报表质量的内部控制的有效进行审计，重在审计“过程”。
发表审计意见的对象不同，使得两者存在区别，例如： （一）对内部控制进行了解和测试的目的不同 在财务报表审计和内部控制审计中，注册会计师都需要了解与审计相关的内部控制，并都可能涉及测试相关内部控制运行的有效，但两者目的不同。
注册会计师在财务报表审计中了解和测试内部控制，是为了识别、评估和应对重大错报风险，据此确定实质程序的质、时间安排和范围，并获取与财务报表是否在所有重大方面按照适用的财务报告编制基础编制相关的审计证据，以支持对财务报表发表的审计意见；注册会计师在内部控制审计中了解和测试内部控制，是为了对内部控制的有效发表审计意见。
（二）测试内部控制运行有效的范围要求不同 在财务报表审计中，针对评估的认定层次重大错报风险，注册会计师可能选择采用实质方案或综合方案。
如果采用实质方案，注册会计师可以不测试内部控制的运行有效；如果采用综合方案，注册会计师综合运用控制测试和实质程序，因而需要测试内部控制的运行有效。
根据《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的相关规定，当存在下列情形之一时，注册会计师应当设计和实施控制测试，针对相关控制运行的有效，获取充分、适当的审计证据： （1）在评估认定层次重大错报风险时，预期控制的运行是有效的（即在确定实质程序的质、时间安排和范围时，注册会计师拟信赖控制运行的有效）； （2）仅实施实质程序并不能够提供认定层次充分、适当的审计证据。
也就是说，如果以上两种情况均不存在，注册会计师可能对部分认定，甚至全部认定都不测试内部控制的运行有效。
在内部控制审计中，注册会计师应当针对所有重要账户和列报的每一个相关认定获取控制设计和运行有效的审计证据，以便对内部控制整体的有效发表审计意见。
（三）内部控制测试的期间要求不同 首先，在财务报表审计中，针对评估的认定层次重大错报风险，如果注册会计师选择综合方案，需要获取内部控制在整个拟信赖期间运行有效的审计证据，而在内部控制审计中，注册会计师对于基准日的内部控制运行有效发表意见，则仅需要对内部控制在基准日前足够长的时间（可能短于整个审计期间）内的运行有效获取审计证据。
其次，尽管连续审计时注册会计师在财务报表审计和内部控制审计中都可以考虑以前审计中所了解和测试的情况，但在执行内部控制审计时，注册会计师不得采用《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》第十四条中提及的“每三年至少对控制测试一次”的方法，而应当在每一年度审计中测试内部控制（对自动化应用控制在满足特定条件情况下所采用的与基准相比较策略除外）。
（四）对控制缺陷的评价和沟通要求不同 在内部控制审计中，注册会计师应当评价识别出的内部控制缺陷是否构成一般缺陷、重要缺陷或重大缺陷。
在财务报表审计中，注册会计师需要确定识别出的内部控制缺陷单独或连同其他缺陷是否构成值得关注的内部控制缺陷。
相应地，两者的沟通要求存在不同。
在财务报表审计中： 1．注册会计师应当以书面形式及时向治理层通报值得关注的内部控制缺陷，致送书面沟通文件的时间可能根据注册会计师对治理层履行责任需要的考虑确定（对于上市实体，治理层可能需要在批准财务报表前收到注册会计师的沟通文件；对于其他实体，注册会计师可能会在较晚日期致送书面沟通文件，但需要满足完成最终审计档案的归档要求）。
2．注册会计师还应当及时向相应层级的层通报： （1）已向或拟向治理层通报的值得关注的内部控制缺陷，除非在具体情况下不适合直接向层通报。
此项应采用书面方式通报。
（2）在审计过程中识别出的、其他方未向层通报而注册会计师根据职业判断认为足够重要从而值得层关注的内部控制其他缺陷。
此项对沟通形式没有强制要求，可以采用书面或口头形式。
在内部控制审计中： 对于重大缺陷和重要缺陷，注册会计师应当以书面形式与层和治理层沟通，书面沟通应在注册会计师出具内部控制审计报告前进行；如果注册会计师认为审计委员会和内部审计机构对内部控制的无效，应当就此以书面形式直接与董事会沟通。
此外，注册会计师应当以书面形式与层沟通其在审计过程中识别的所有其他内部控制缺陷（包括注意到的非财务报告内部控制缺陷），并在沟通完成后告知治理层。
（五）审计报告的形式和内容以及所包括的意见类型不同 内部控制审计报告的形式和内容不同于财务报表审计报告。
注册会计师应当分别按照中国注册会计师审计准则和《企业内部控制审计指引》及《企业内部控制审计指引实施意见》的相关规定，出具财务报表审计报告和内部控制审计报告。
此外，内部控制审计报告不存在保留意见的意见类型，如果内部控制存在一项或多项重大缺陷，除非审计范围受到限制，注册会计师应当对内部控制发表否定意见；如果审计范围受到限制，注册会计师应当解除业务约定或出具无法表示意见的内部控制审计报告。

第一条 为了规范注册会计师执行企业内部控制审计业务，明确工作要求，保证执业质量，根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则，制定本指引。
第二条 本指引所称内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效进行审计。
第三条 建立健全和有效实施内部控制，评价内部控制的有效是企业董事会的责任。按照本指引的要求，在实施审计工作的基础上对内部控制的有效发表审计意见，是注册会计师的责任。
第四条 注册会计师执行内部控制审计工作，应当获取充分、适当的证据，为发表内部控制审计意见提供合理保证。
注册会计师应当对财务报告内部控制的有效发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
第五条 注册会计师可以单独进行内部控制审计，也可以将内部控制审计与财务报表审计整合进行（以下简称整合审计）。
在整合审计中，注册会计师应当对内部控制设计与运行的有效进行测试，以同时实现下列目标：
（一）获取充分、适当的证据，支持其在内部控制审计中对内部控制有效发表的意见；
（二）获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。 第六条 注册会计师应当恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。
第七条 在计划审计工作时，注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响：
（一）与企业相关的风险；
（二）相关法律法规和行业概况；
（三）企业组织结构、经营特点和资本结构等相关重要事项；
（四）企业内部控制最近发生变化的程度；
（五）与企业沟通过的内部控制缺陷；
（六）重要、风险等与确定内部控制重大缺陷相关的因素；
（七）对内部控制有效的初步判断；
（八）可获取的、与内部控制有效相关的证据的类型和范围。
第八条 注册会计师应当以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。
内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多。
第九条 注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能本应由注册会计师执行的工作。
注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作，应当对其专业胜任能力和客观进行充分评价。
与某项控制相关的风险越高，可利用程度就越低，注册会计师应当更多地对该项控制亲自进行测试。
注册会计师应当对发表的审计意见承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。 第十条 注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。
第十一条 注册会计师测试企业层面控制，应当把握重要原则，至少应当关注：
（一）与内部环境相关的控制；
（二）针对董事会、经理层凌驾于控制之上的风险而设计的控制；
（三）企业的风险评估过程；
（四）对内部信息传递和财务报告流程的控制；
（五）对控制有效的内部和自我评价。
第十二条 注册会计师测试业务层面控制，应当把握重要原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。
注册会计师应当关注信息对内部控制及风险评估的影响。
第十三条 注册会计师在测试企业层面控制和业务层面控制时，应当评价内部控制是否足以应对舞弊风险。
第十四条 注册会计师应当测试内部控制设计与运行的有效。
如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行，能够实现控制目标，表明该项控制的设计是有效的。
如果某项控制正在按照设计运行，执行人员拥有必要授权和专业胜任能力，能够实现控制目标，表明该项控制的运行是有效的。
第十五条 注册会计师应当根据与内部控制相关的风险，确定拟实施审计程序的质、时间安排和范围，获取充分、适当的证据。与内部控制相关的风险越高，注册会计师需要获取的证据应越多。
第十六条 注册会计师在测试控制设计与运行的有效时，应当综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法。
询问本身并不足以提供充分、适当的证据。
第十七条 注册会计师在确定测试的时间安排时，应当在下列两个因素之间作出平衡，以获取充分、适当的证据：
（一）尽量在接近企业内部控制自我评价基准日实施测试；
（二）实施的测试需要涵盖足够长的期间。
第十八条 注册会计师对于内部控制运行偏离设计的情况（即控制偏差），应当确定该偏差对相关风险评估、需要获取的证据以及控制运行有效结论的影响。
第十九条 在连续审计中，注册会计师在确定测试的质、时间安排和范围时，应当考虑以前年度执行内部控制审计时了解的情况。 第二十条 内部控制缺陷按其成因分为设计缺陷和运行缺陷，按其影响程度分为重大缺陷、重要缺陷和一般缺陷。
注册会计师应当评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷。
第二十一条 在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时，注册会计师应当评价补偿控制（替代控制）的影响。企业执行的补偿控制应当具有同样的效果。
第二十二条 表明内部控制可能存在重大缺陷的迹象，主要包括：
（一）注册会计师发现董事、监事和高级人员舞弊；
（二）企业更正已经公布的财务报表；
（三）注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报；
（四）企业审计委员会和内部审计机构对内部控制的无效。 第二十三条 注册会计师完成审计工作后，应当取得经企业签署的书面声明。书面声明应当包括下列内容：
（一）企业董事会认可其对建立健全和有效实施内部控制负责；
（二）企业已对内部控制的有效作出自我评价，并说明评价时采用的标准以及得出的结论；
（三）企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础；
（四）企业已向注册会计师披露识别出的所有内部控制缺陷，并单独披露其中的重大缺陷和重要缺陷；
（五）企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷，是否已经采取措施予以解决；
（六）企业在内部控制自我评价基准日后，内部控制是否发生重大变化，或者存在对内部控制具有重要影响的其他因素。
第二十四条 企业如果拒绝提供或以其他不当理由回避书面声明，注册会计师应当将其视为审计范围受到限制，解除业务约定或出具无法表示意见的内部控制审计报告。
第二十五条 注册会计师应当与企业沟通审计过程中识别的所有控制缺陷。对于其中的重大缺陷和重要缺陷，应当以书面形式与董事会和经理层沟通。
注册会计师认为审计委员会和内部审计机构对内部控制的无效的，应当就此以书面形式直接与董事会和经理层沟通。
书面沟通应当在注册会计师出具内部控制审计报告之前进行。
第二十六条 注册会计师应当对获取的证据进行评价，形成对内部控制有效的意见。 第二十七条 注册会计师在完成内部控制审计工作后，应当出具内部控制审计报告。标准内部控制审计报告应当包括下列要素：
（一）标题；
（二）收件人；
（三）引言段；
（四）企业对内部控制的责任段；
（五）注册会计师的责任段；
（六）内部控制固有局限的说明段；
（七）财务报告内部控制审计意见段；
（八）非财务报告内部控制重大缺陷描述段；
（九）注册会计师的签名和盖章；
（十）会计师事务所的名称、地址及盖章；
（十一）报告日期。
第二十八条 符合下列所有条件的，注册会计师应当对财务报告内部控制出具无保留意见的内部控制审计报告：
（一）企业按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及企业自身内部控制制度的要求，在所有重大方面保持了有效的内部控制；
（二）注册会计师已经按照《企业内部控制审计指引》的要求计划和实施审计工作，在审计过程中未受到限制。
第二十九条 注册会计师认为财务报告内部控制虽不存在重大缺陷，但仍有一项或者多项重大事项需要提请内部控制审计报告使用者注意的，应当在内部控制审计报告中增加强调事项段予以说明。
注册会计师应当在强调事项段中指明，该段内容仅用于提醒内部控制审计报告使用者关注，并不影响对财务报告内部控制发表的审计意见。
第三十条 注册会计师认为财务报告内部控制存在一项或多项重大缺陷的，除非审计范围受到限制，应当对财务报告内部控制发表否定意见。
注册会计师出具否定意见的内部控制审计报告，还应当包括下列内容：
（一）重大缺陷的定义；
（二）重大缺陷的质及其对财务报告内部控制的影响程度。
第三十一条 注册会计师审计范围受到限制的，应当解除业务约定或出具无法表示意见的内部控制审计报告，并就审计范围受到限制的情况，以书面形式与董事会进行沟通。
注册会计师在出具无法表示意见的内部控制审计报告时，应当在内部控制审计报告中指明审计范围受到限制，无法对内部控制的有效发表意见。
注册会计师在已执行的有限程序中发现财务报告内部控制存在重大缺陷的，应当在内部控制审计报告中对重大缺陷做出详细说明。
第三十二条 注册会计师对在审计过程中注意到的非财务报告内部控制缺陷，应当区别具体情况予以处理：
（一）注册会计师认为非财务报告内部控制缺陷为一般缺陷的，应当与企业进行沟通，提醒企业加以改进，但无需在内部控制审计报告中说明；
（二）注册会计师认为非财务报告内部控制缺陷为重要缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进，但无需在内部控制审计报告中说明；
（三）注册会计师认为非财务报告内部控制缺陷为重大缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进；同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，对重大缺陷的质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。
第三十三条 在企业内部控制自我评价基准日并不存在、但在该基准日之后至审计报告日之前（以下简称期后期间）内部控制可能发生变化，或出现其他可能对内部控制产生重要影响的因素。注册会计师应当询问是否存在这类变化或影响因素，并获取企业关于这些情况的书面声明。
注册会计师知悉对企业内部控制自我评价基准日内部控制有效有重大负面影响的期后事项的，应当对财务报告内部控制发表否定意见。
注册会计师不能确定期后事项对内部控制有效的影响程度的，应当出具无法表示意见的内部控制审计报告。 第三十四条 注册会计师应当按照《中国注册会计师审计准则第1131号——审计工作底稿》的规定，编制内部控制审计工作底稿，完整记录审计工作情况。
第三十五条 注册会计师应当在审计工作底稿中记录下列内容：
（一）内部控制审计计划及重大修改情况；
（二）相关风险评估和选择拟测试的内部控制的主要过程及结果；
（三）测试内部控制设计与运行有效的程序及结果；
（四）对识别的控制缺陷的评价；
（五）形成的审计结论和意见；
（六）其他重要事项。 标准内部控制审计报告
内部控制审计报告
××股份有限公司全体股东：
按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了××股份有限公司（以下简称××公司）××年×月×日的财务报告内部控制的有效。
一、企业对内部控制的责任
按照《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》的规定，建立健全和有效实施内部控制，并评价其有效是企业董事会的责任。
二、注册会计师的责任
我们的责任是在实施审计工作的基础上，对财务报告内部控制的有效发表审计意见，并对注意到的非财务报告内部控制的重大缺陷进行披露。
三、内部控制的固有局限
内部控制具有固有局限，存在不能防止和发现错报的可能。此外，由于情况的变化可能导致内部控制变得不恰当，或对控制政策和程序遵循的程度降低，根据内部控制审计结果推测未来内部控制的有效具有一定风险。
四、财务报告内部控制审计意见
我们认为，××公司按照《企业内部控制基本规范》和相关规定在所有重大方面保持了有效的财务报告内部控制。
五、非财务报告内部控制的重大缺陷
在内部控制审计过程中，我们注意到××公司的非财务报告内部控制存在重大缺陷[描述该缺陷的质及其对实现相关控制目标的影响程度]。由于存在上述重大缺陷，我们提醒本报告使用者注意相关风险。需要指出的是，我们并不对××公司的非财务报告内部控制发表意见或提供保证。本段内容不影响对财务报告内部控制有效发表的审计意见。
××会计师事务所 中国注册会计师：×××（签名并盖章）
（盖章） 中国注册会计师：×××（签名并盖章）
中国××市 ××年×月×日
带强调事项段的无保留意见内部控制审计报告
内部控制审计报告
××股份有限公司全体股东：
按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了××股份有限公司（以下简称××公司）××年×月×日的财务报告内部控制的有效。
[“一、企业对内部控制的责任”至“五、非财务报告内部控制的重大缺陷”参见标准内部控制审计报告相关段落表述。]
六、强调事项
我们提醒内部控制审计报告使用者关注，（描述强调事项的质及其对内部控制的重大影响）。本段内容不影响已对财务报告内部控制发表的审计意见。
××会计师事务所 中国注册会计师：×××（签名并盖章）
（盖章） 中国注册会计师：×××（签名并盖章）
中国××市 ××年×月×日
否定意见内部控制审计报告
内部控制审计报告
××股份有限公司全体股东：
按照《企业内部控制审计指引》及中国注册会计师执业准则的相关要求，我们审计了××股份有限公司（以下简称××公司）××年×月×日的财务报告内部控制的有效。[“一、企业对内部控制的责任”至“三、内部控制的固有局限”参见标准内部控制审计报告相关段落表述。]
四、导致否定意见的事项
重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。
[指出注册会计师已识别出的重大缺陷，并说明重大缺陷的质及其对财务报告内部控制的影响程度。]
有效的内部控制能够为财务报告及相关信息的真实完整提供合理保证，而上述重大缺陷使××公司内部控制失去这一功能。
五、财务报告内部控制审计意见
我们认为，由于存在上述重大缺陷及其对实现控制目标的影响，××公司未能按照《企业内部控制基本规范》和相关规定在所有重大方面保持有效的财务报告内部控制。
六、非财务报告内部控制的重大缺陷
[参见标准内部控制审计报告相关段落表述。]
××会计师事务所 中国注册会计师：×××（签名并盖章）
（盖章） 中国注册会计师：×××（签名并盖章）
中国××市 ××年×月×日
无法表示意见内部控制审计报告
内部控制审计报告
××股份有限公司全体股东：
我们接受委托，对××股份有限公司（以下简称××公司）××年×月×日的财务报告内部控制进行审计。
[删除注册会计师的责任段，“一、企业对内部控制的责任”和“二、内部控制的固有局限”参见标准内部控制审计报告相关段落表述。]
三、导致无法表示意见的事项
[描述审计范围受到限制的具体情况。]
四、财务报告内部控制审计意见
由于审计范围受到上述限制，我们未能实施必要的审计程序以获取发表意见所需的充分、适当证据，因此，我们无法对××公司财务报告内部控制的有效发表意见。
五、识别的财务报告内部控制重大缺陷（如在审计范围受到限制前，执行有限程序未能识别出重大缺陷，则应删除本段）
重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。
尽管我们无法对××公司财务报告内部控制的有效发表意见，但在我们实施的有限程序的过程中，发现了以下重大缺陷：
[指出注册会计师已识别出的重大缺陷，并说明重大缺陷的质及其对财务报告内部控制的影响程度。]
有效的内部控制能够为财务报告及相关信息的真实完整提供合理保证，而上述重大缺陷使××公司内部控制失去这一功能。
六、非财务报告内部控制的重大缺陷
[参见标准内部控制审计报告相关段落表述。]
××会计师事务所 中国注册会计师：×××（签名并盖章）
（盖章） 中国注册会计师：×××（签名并盖章）
中国××市 ××年×月×日