企业内部控制鉴证指引

企业内部控制鉴证指引（征求意见稿）第一章总则第一条为了指导注册会计师执行企业内部控制（以下简称内部控制）鉴证业务，明确工作要求，保证执业质量，根据国家有关法律法规的要求，制定本指引。第二条　本指引所称内部控制与财政部发布的《企业内部控制基本》中的定义一致。本指引所称企业内部控制鉴证，是指会计师事务所接受委托，对企业与财务报告相关的内部控制的有效性进行鉴证，并发表鉴证意见。第三条按照国家有关法律法规的要求，设计、实施和维护有效的内部控制，并评估其有效性是企业管理层的责任。按照本指引的要求，在实施鉴证工作的基础上对内部控制有效性发表鉴证意见，是注册会计师的责任。内部控制鉴证不能减轻管理层的责任。第四条　注册会计师在执行内部控制鉴证业务时，应当将本指引与中国注册会计师执业准则体系中相关准则结合使用。第五条注册会计师执行内部控制鉴证业务，应当遵守职业道德规范，恪守独立、客观、公正的原则，保持专业胜任能力和应有的关注，并对执业过程中获知的信息保密。第六条在确定内部控制是否有效时，注册会计师应当考虑内部控制是否能够为企业财务报告的可靠性以及按照适用的会计准则和相关会计的规定编制财务报表提供合理保证。如果存在一个或多个重大缺陷，内部控制应被认定为无效；即使财务报表不存在重大错报，内部控制也可能存在重大缺陷。第七条　注册会计师应当计划和执行内部控制鉴证工作，获取充分、适当的证据，为截至评估日内部控制是否存在重大缺陷提供合理保证，并作为支持鉴证意见的基础。第八条注册会计师应当按照财政部发布的《企业内部控制基本规范》和相关规范执行内部控制鉴证业务。第二章制定鉴证计划第九条注册会计师应当恰当计划内部控制鉴证工作，并对助理人员进行适当督导。第十条在制定鉴证计划时，注册会计师应当评价下列事项对企业财务报表和内部控制是否具有重要影响，以及对注册会计师程序的影响：（一）注册会计师执行其他业务时了解的内部控制情况；（二）影响企业所在行业的事项，包括财务报告实务、经济状况、法律法规和技术革新；（三）与企业业务相关的事项，包括、经营特征和资本结构；（四）企业经营活动或内部控制最近发生变化的程度；（五）注册会计师对重要性、风险以及与确定重大缺陷相关的其他因素所作的初步判断；（六）以前与审计委员会或管理层沟通的控制缺陷；（七）企业注意到的法律法规事项；（八）针对内部控制可获得的相关证据的类型和范围；（九）对内部控制有效性作出的初步判断；（十）与评价财务报表发生重大错报的可能性和内部控制有效性相关的公共信息；（十一）注册会计师对客户和业务的接受与保持进行评价时了解的与企业相关的风险情况；（十二）经营活动的相对复杂程度。第十一条　注册会计师应当充分认识风险评估在内部控制鉴证中的作用，以适当的风险评估为基础，有效地计划和执行内部控制鉴证工作。注册会计师应当根据风险评估结果，确定重要的账户、列报和相关认定，选择拟进行测试的控制，以及确定针对特定控制所需收集的证据。第十二条内部控制不能防止或发现由舞弊导致的错报的风险，通常高于不能防止或发现由错误导致的错报的风险，注册会计师应当高度关注与舞弊风险相关的领域。注册会计师没有必要测试那些即使存在缺陷，也不会有合理可能性造成财务报表重大错报的控制。第十三条在进行风险评估以及确定必要的程序时，注册会计师应当考虑企业组织结构、经营单位或的复杂程度可能产生的重要影响和作用。第十四条企业组织结构、经营单位或流程的复杂程度可能影响企业实现控制目标的方式。企业的规模和复杂程度也可能影响错报风险以及应对该风险所需实施的控制。注册会计师应当根据企业情况调整工作范围，以获取充分、适当的证据，支持发表的意见。第十五条如果企业有多个经营场所或经营单位，注册会计师应当在评估与经营场所或经营单位相关的财务报表发生重大错报风险的基础上，确定拟对哪些经营场所或经营单位实施控制测试以及如何进行测试。第十六条在计划和执行内部控制鉴证工作时，注册会计师应当考虑舞弊风险的评估结果。注册会计师应当评价企业的控制是否足以应对已识别的由舞弊导致的重大错报风险，并评价为应对管理层凌驾于其他控制之上的风险设计的控制。企业为应对这些风险可能采取的控制包括：（一）针对重大的非常规交易，尤其是针对那些导致记账分录延迟或异常的交易的控制；（二）针对期末财务报告过程中编制的记账分录和调整分录的控制；（三）针对关联方交易的控制；（四）与管理层的重大估计相关的控制；（五）能够缓解管理层伪造或不恰当操纵财务结果的动机及压力的控制。第十七条为了实现内部控制鉴证的目的，如果利用他人的工作能够提供内部控制有效性的证据，注册会计师应当考虑利用企业内部审计人员、其他人员以及在管理层或审计委员会指导下工作的第三方的工作，或者接受他们的直接帮助。第十八条在内部控制鉴证中，注册会计师可能利用其他人员工作的程度还受到与被测试控制有关的风险的影响。随着与某项控制有关的风险的增加，注册会计师应当相应地扩大对该项控制执行测试的范围。第十九条在计划内部控制鉴证工作时，注册会计师应当使用与财务报表审计相同的重要性水平。第三章实施鉴证工作第一节企业层面控制的测试第二十条注册会计师应当测试企业是否存在对内部控制具有重要影响且有效的企业层面控制。注册会计师对企业层面控制的评价能够增加或减少其本应对其他控制进行的测试。第二十一条企业层面的控制在性质和精准度方面的差异对控制及其测试有下列影响：（一）某些企业层面的控制，例如某些内部环境的控制，对及时防止或发现错报的可能性具有重要而间接的影响；（二）某些企业层面的控制能够监督其他控制的有效性。当这些控制运行有效时，注册会计师可以减少对其他控制的测试；（三）某些企业层面的控制在精确运行时足以及时防止或发现一个或多个相关认定中存在的错报。如果一项企业层面的控制足以应对已评估的错报风险，注册会计师不必测试与该风险相关的额外控制。第二十二条企业层面的控制包括：（一）与内部环境相关的控制；（二）针对管理层凌驾于内部控制之上而采用的控制；（三）企业的风险评估；（四）集中处理和控制，包括共享的服务环境；（五）监督经营结果的控制；（六）对其他控制的监督控制，包括内部审计职能部门、审计委员会等的活动；（七）针对期末财务报告流程的控制；（八）应对重大经营控制及风险管理实务的政策。第二十三条由于内部环境对维护有效的内部控制具有重要影响，注册会计师应当评价企业的内部环境。在评价内部环境时，注册会计师应当评估下列事项：（一）管理层的理念和经营风格是否能够促进有效的内部控制；（二）健全的诚实正直和道德价值观（特别是高层管理人员的）是否已经形成并为大家所了解；（三）审计委员会是否了解并履行对财务报告和内部控制的监督责任。第二十四条由于期末财务报告流程对财务报告以及注册会计师针对内部控制和发表的意见具有重要影响，注册会计师应当对期末财务报告流程进行评价。第二十五条在评价期末财务报告流程时，注册会计师应当评估下列事项：（一）企业为生成年报和季报而使用的流程的输入、执行的程序及输出；（二）期末财务报告流程中涉及信息技术的程度；（三）管理层参与期末财务报告流程的具体人员；（四）期末财务报告流程涉及的经营场所；（五）调整分录及合并分录的类型；（六）管理层、董事会和审计委员会对期末财务报告流程进行监督的性质及范围。第2节流程层面控制的测试第二十六条注册会计师应当识别重大的账户、列报及相关认定。第二十七条在识别重大账户、列报及相关认定时，注册会计师应当评价财务报表及相关列报的性质以及数量方面的风险因素。与识别重大账户、列报及相关认定有关的风险因素包括：（一）账户的规模和构成；（二）对因错误或舞弊导致的错报的敏感度；（三）通过账户处理或在列报中反映的交易的业务量、复杂性及同质性；（四）账户或列报的性质；（五）与账户或列报相关的会计处理及报告的复杂程度；（六）账户容易发生损失的程度；（七）由账户或列报中反映的活动引起重大或有负债的可能性；（八）账户中关联方交易的存在情况；（九）账户或列报特征与前期相比发生的变化。第二十八条注册会计师应当根据在特定的重大账户或列报中错报发生的领域和原因，确定潜在错报的可能来源。第二十九条注册会计师确定的重大账户、列报及相关认定应当与财务报表审计中确定的相同。第三十条当一家企业有多个经营场所或经营单位时，注册会计师应当在合并财务报表的基础上识别重大的账户、列报及相关认定。第三十一条在了解潜在错报的可能来源作为选择拟测试控制的基础时，注册会计师应当实现下列目标：（一）了解与相关认定有关的交易的流程，包括这些交易如何生成、批准、处理及记录；（二）验证注册会计师已在企业流程中识别出的重大错报发生环节（包括舞弊导致的错报）；（三）识别管理层用于应对这些潜在错报的控制；（四）识别管理层用于及时防止或发现未经授权的、将导致财务报表发生重大错报的采购、使用或处置企业资产的控制。第三十二条注册会计师应当按照《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》的规定，考虑信息技术对内部控制及拟评估风险的影响。第三十三条在执行穿行测试时，注册会计师使用的凭证和信息技术应当与企业员工使用的凭证和信息技术相同，以追踪某笔交易发生后经过企业的流程处理（包括信息系统），直至被反映在企业财务记录中的整个过程。注册会计师在执行穿行测试程序时，通常需要综合运用询问、观察、检查相关凭证以及重新执行控制等程序。第三十四条在针对重要处理程序执行穿行测试时，注册会计师可以询问企业员工对企业规定程序及控制所要求内容的了解程度。第三十五条注册会计师应当测试对得出控制是否有效结论有重要影响的控制。第三十六条对于特定的相关认定，可能有多项控制应对评估的错报风险，注册会计师没有必要测试与某个相关认定有关的所有控制。第三十七条在确定某项控制是否作为拟测试的控制时,注册会计师应当考虑该项控制单独或连同其他控制是否足以应对特定相关认定的评估的错报风险。第三十八条在测试控制设计的有效性时，注册会计师应当确定企业的内部控制，如果由拥有有效执行控制所需的授权和专业胜任能力的人员按规定执行，能否实现控制目标和有效地防止或发现可能导致财务报表发生重大错报的错误或舞弊。第三十九条在测试控制设计的有效性时，注册会计师应当综合运用询问适当人员、观察企业经营活动和检查相关文件等程序。第四十条在测试控制运行的有效性时，注册会计师应当确定控制是否正在按照设计运行、执行人员是否拥有有效执行控制所需的授权和专业胜任能力。第四十一条在测试控制运行的有效性时，注册会计师应当综合运用询问适当人员、观察企业经营活动、检查相关文件以及重新执行内部控制等程序。第四十二条在确定拟测试的控制及其数量时，注册会计师应当考虑与拟测试控制相关的风险。与拟测试控制相关的风险越大，注册会计师需要获取的证据就越多。得出控制运行无效的结论所需要的证据数量，通常比得出其运行有效的结论时少。第四十三条与控制相关的风险包括该控制无效的可能性和因控制无效可能产生的重大缺陷。下列因素影响与某项控制相关的风险：（一）该项控制拟防止或发现的错报的性质和重要性；（二）相关账户和认定的固有风险；（三）交易的数量和性质是否发生变动，进而可能对该项控制设计或运行的有效性产生不利影响；（四）账户是否曾经出现错报；（五）企业层面的控制对其他控制的监督的有效性；（六）该项控制的性质及其运行频率；（七）该项控制对其他控制有效性的依赖程度；（八）执行或监督该项控制的人员的专业胜任能力，以及是否发生变动；（九）该项控制是人工操作还是自动完成；（十）该项控制的复杂性，以及运行过程中需作出的判断的重要性。第四十四条如果发现偏离企业控制的情况，注册会计师应当确定其对与所测试控制相关的风险评估、需要获取的证据以及控制运行有效性产生的影响。第四十五条注册会计师在确定测试控制的日期时，应当考虑下列因素：（一）尽量在接近管理层评估日执行控制测试；（二）控制测试需要涵盖足够长的期间。第四十六条管理层可能为提高控制效率、效果或弥补控制缺陷而改变企业的控制，如果被取代控制对控制风险的评估有重大影响，注册会计师应当测试被取代控制设计与运行的有效性。第四十七条在期中时点测试特定控制时，注册会计师应当确定还需要获取哪些证据，以证实剩余期间控制的运行情况。第四十八条在确定将期中时点的测试结果延伸至期末而需要获取的补充证据时，注册会计师应当考虑下列因素的影响：（一）在评估日前测试的特定控制，包括与控制相关的风险、控制的性质和测试的结果；（二）期中时点获取的有关控制有效性的证据的充分性；（三）剩余期间的长短；（四）期中时点之后，内部控制发生重大变化的可能性。第四十九条对于后续年度的鉴证，注册会计师在确定测试的性质、时间和范围时，应当考虑以前执行内部控制鉴证所了解的情况。下列因素可能影响后续年度鉴证中与某项控制相关的风险：（一）以前年度鉴证中所实施程序的性质、时间和范围；（二）以前年度控制测试的结果；（三）上次鉴证之后，控制或其运行流程是否发生变化。第五十条注册会计师应当每年改变控制测试的性质、时间和范围，以增加测试的不可预见性并能够应对环境的变化。注册会计师每年应当在期中不同的时间段测试控制，并增加或减少所执行测试的数量和种类，或者改变所使用测试程序的组合。第四章评价控制缺陷第五十一条　企业内部控制存在的不足，按其严重程度可以分为缺陷、应关注缺陷和重大缺陷。如果控制的设计或运行不能及时防止或发现错报，表明内部控制存在缺陷。控制存在的缺陷包括设计缺陷和运行缺陷。重大缺陷是内部控制中存在的、具有合理可能性导致企业年度或中期财务报表出现重大错报不能被及时防止或发现的某项缺陷或几项缺陷的组合。应关注缺陷是指内部控制存在的、其严重性不如重大缺陷但却足以值得负责监督企业财务报告的人员关注的某项缺陷或几项缺陷的组合。第五十二条　注册会计师应当评价其注意到的各项控制缺陷的严重性，以确定这些缺陷单独或合并起来是否构成管理层评估日内部控制的重大缺陷。第五十三条控制缺陷的严重性取决于下列因素：（一）企业控制是否存在无法防止或发现账户余额或列报错报的合理可能性；（二）因一项或多项（控制）缺陷导致的潜在错报的重要程度。第五十四条控制缺陷的严重性与错报的发生与否无关，而取决于企业控制是否存在无法防止或发现错报的合理可能性。第五十五条风险因素对评价一项缺陷或几项缺陷的组合是否可能导致账户余额或列报出现错报产生影响。风险因素主要包括下列方面：（一）账户、列报及相关认定的性质；（二）相关资产或负债容易发生损失或舞弊的程度；（三）确定相关金额时所涉及判断的主观性、复杂性及范围；（四）该项控制与其他控制的相互作用或关系；（五）控制缺陷之间的相互作用；（六）控制缺陷的未来可能影响。第五十六条在评价一项或多项控制缺陷可能导致的错报的重要程度时，注册会计师应当考虑下列因素：（一）受控制缺陷影响的财务报表金额或交易总额；（二）受本期已发生或预计未来期间可能发生的控制缺陷影响的账户余额或某类交易所涉及的活动数量。(第五十七条在确定一项或几项缺陷的组合是否构成重大缺陷时，注册会计师应当评价补偿性控制的影响。第五十八条下列迹象可能表明企业内部控制存在重大缺陷：（一）发现高级管理人员舞弊；（二）重述财务报表，以反映重大错报的更正情况；（三）注册会计师识别出当期财务报表存在重大错报，而该错报不可能由企业内部控制发现；（四）审计委员会对企业财务报告和内部控制的监督无效。第五章完成鉴证工作第一节形成鉴证意见第五十九条注册会计师应当评价获取的鉴证证据，形成对内部控制有效性的意见。第六十条在对内部控制有效性形成意见后，注册会计师应当评价管理层按照有关政府部门和监管机构的要求在企业年度报告中对内部控制的披露是否适当。第六十一条只有在鉴证工作范围没有受到限制时，注册会计师才能对内部控制的有效性形成意见。第二节获取管理层声明第六十二条注册会计师应当向管理层获取书面声明。管理层的声明内容应当包括：（一）管理层认可其对建立和保持有效的内部控制的责任；（二）管理层已对企业内部控制的有效性作出评估，并说明运用的控制标准；（三）管理层没有将注册会计师在内部控制鉴证中执行的程序作为管理层对内部控制有效性评估基础的组成部分；（四）管理层根据控制标准对企业内部控制在特定日期的有效性的评估结论；（五）管理层识别出的内部控制在设计或运行方面存在的所有缺陷，包括单独向注册会计师披露内部控制的所有应关注缺陷或重大缺陷；（六）导致企业财务报表发生重大错报的所有舞弊，以及其他不会导致企业财务报表发生重大错报，但涉及高级管理人员和其他在企业内部控制中具有重要作用的员工的所有舞弊；（七）在以前年度审计中识别的、注册会计师发现且已与审计委员会沟通的控制缺陷是否已经解决；（八）在报告日后，内部控制是否发生变化，或者是否存在对内部控制产生重要影响的其他因素，包括管理层针对应关注缺陷和重大缺陷采取的任何纠正措施。第六十三条如果未能获得管理层的书面声明，包括管理层拒绝提供书面声明，注册会计师应当将其视为鉴证范围受到限制，并解除业务约定或出具无法表示意见的鉴证报告。第六十四条注册会计师应当按照《中国注册会计师审计准则第1341号——管理层声明》的规定，确定声明书的签署者、声明书涵盖的期间以及何时获取更新的声明书等。第三节沟通相关事项第六十五条注册会计师应当以书面形式与管理层和审计委员会沟通鉴证过程中识别的所有重大缺陷。书面沟通应当在注册会计师出具内部控制鉴证报告之前进行。第六十六条如果认为企业审计委员会对财务报告和内部控制的监督无效，注册会计师应当就这一事项以书面形式与董事会沟通。第六十七条注册会计师应当考虑在鉴证过程中识别的任何控制缺陷或多个控制缺陷的组合是否构成应关注缺陷。如果构成应关注缺陷，注册会计师应当就此以书面形式与审计委员会沟通。第六十八条注册会计师应当以书面形式与管理层沟通识别的所有控制缺陷，并在沟通完成后告知审计委员会。第六十九条内部控制鉴证不能保证注册会计师能够发现严重程度小于重大缺陷的所有控制缺陷。注册会计师不应在出具的报告中声明，在鉴证中没有发现严重程度小于重大缺陷的控制缺陷。　第七十条如果发现管理层舞弊或可能存在的违反法规行为，注册会计师应当按照《中国注册会计师审计准则第1141号——财务报表审计中对舞弊的考虑》、《中国注册会计师审计准则第1142号——财务报表审计中对法律法规的考虑》的规定，确定并履行自身的责任。第六章鉴证报告第一节基本要求第七十一条注册会计师应当评价根据鉴证证据得出的结论，以作为对内部控制形成鉴证意见的基础。第七十二条注册会计师应当在鉴证报告中清楚地表达对内部控制的意见，并对出具的鉴证报告负责。第七十三条注册会计师在完成内部控制鉴证后，应当单独对内部控制出具鉴证报告，并将已经鉴证的管理层对内部控制的评估报告附于鉴证报告之后。第二节鉴证报告的基本内容第七十四条鉴证报告应当包括下列要素：（一）标题；（二）收件人；（三）引言段；（四）管理层对内部控制的责任段；（五）注册会计师的责任段；（六）内部控制的定义段；（七）内部控制的固有局限性段；（八）鉴证意见段；（九）注册会计师的签名和盖章；（十）会计师事务所的名称、地址及盖章；（十一）报告日期。第七十五条鉴证报告的标题应当统一规范为“内部控制鉴证报告”。鉴证报告的收件人是指注册会计师按照业务约定书的要求致送鉴证报告的对象，一般是指鉴证业务的委托人。鉴证报告应当载明收件人的全称。第七十六条鉴证报告的引言段应当说明企业的名称和内部控制已经鉴证，并包括下列内容：（一）指出内部控制鉴证依据的控制标准；（二）提及管理层对内部控制的评估报告；（三）指明内部控制的评估截止日期。第七十七条管理层对内部控制的责任段应当说明，按照国家有关法律法规的要求，设计、实施和维护有效的内部控制，并评估其有效性是管理层的责任。第七十八条注册会计师的责任段应当说明下列内容：（一）注册会计师的责任是在实施鉴证工作的基础上对内部控制有效性发表鉴证意见。注册会计师按照《企业内部控制鉴证指引》的规定执行了鉴证工作。《企业内部控制鉴证指引》要求注册会计师遵守职业道德规范，计划和实施鉴证工作以对企业在所有重大方面是否保持了有效的内部控制获取合理保证；（二）鉴证工作包括获取对内部控制的了解，评估重大缺陷存在的风险，根据评估的风险测试和评价内部控制设计和运行的有效性。鉴证工作还包括实施我们认为必要的其他程序；（三）注册会计师相信已获取的证据是充分、适当的，为其发表鉴证意见提供了基础。第七十九条内部控制的定义段应当说明内部控制的定义。第八十条内部控制的固有局限性段应当说明，内部控制具有固有局限性，存在错误或舞弊导致的错报未被发现的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或降低对控制政策、程序遵循的程度，根据内部控制评价结果推测未来内部控制有效性具有一定的风险。第八十一条鉴证意见段应当说明，企业于特定日期是否按照适当的控制标准的要求，在所有重大方面保持了有效的内部控制。第八十二条如果符合下列所有条件，注册会计师应当出具无保留意见的鉴证报告：（一）企业于特定日期按照适当的控制标准的要求，在所有重大方面保持了有效的内部控制；（二）注册会计师已经按照《企业内部控制鉴证指引》的规定计划和实施鉴证工作，在工作过程鉴证范围中未受到限制。当出具无保留意见的鉴证报告时，注册会计师应当以“我们认为”作为意见段的开头，并使用“在所有重大方面”、“保持了有效的内部控制”等术语。第八十三条当注册会计师出具的无保留意见的鉴证报告不附加说明段、提请关注事项段或任何修饰性用语时，该报告称为标准鉴证报告。注册会计师出具非标准鉴证报告时，应当遵守本指引本章第三节的相关要求。第八十四条鉴证报告应当由注册会计师签名并盖章。第八十五条鉴证报告应当载明会计师事务所的名称和地址，并加盖会计师事务所公章。第八十六条鉴证报告应当注明报告日期。报告的日期不应早于注册会计师获取充分、适当的证据（包括管理层认可对内部控制及评估报告的责任且已批准评估报告的证据），并在此基础上对内部控制形成鉴证意见的日期。第三节非标准鉴证报告第八十七条如果认为发现的控制缺陷单独或组合起来将导致一个或多个重大缺陷，除非工作范围受到限制，否则，注册会计师应当对企业内部控制发表否定意见。第八十八条当内部控制存在重大缺陷，注册会计师对其发表否定意见时，鉴证报告还应包括下列内容：（一）本指引对重大缺陷的定义；（二）说明注册会计师识别的重大缺陷以及管理层评估报告中描述的由管理层识别的重大缺陷。如果管理层评估报告中未包含重大缺陷，注册会计师应当修正鉴证报告，说明重大缺陷已经识别、但没有包含在管理层评估报告中。此外，鉴证报告应当包含对重大缺陷的描述，说明重大缺陷的性质，以及重大缺陷在存在期间对企业编报财务报表产生的实际和潜在影响等具体信息。如果管理层评估报告中包含了重大缺陷，但注册会计师认为重大缺陷的披露没有在所有重大方面得到公允反映，则应在鉴证报告中说明这一结论，并公允描述有关重大缺陷的必要信息。第八十九条如果存在下列任何一种情况，注册会计师应当修正报告：（一）管理层内部控制的评估报告要素不完整或表达不当；（二）工作范围受到限制；（三）管理层内部控制的评估报告中包含其他信息。第九十条如果确定管理层对内部控制评估报告的要素不完整或表达不当（例如，管理层内部控制评估报告的认定意见与内部控制鉴证报告意见存在不符），注册会计师应当在报告中增加说明段。第九十一条如果工作范围受到限制，注册会计师应当解除业务约定或出具无法表示意见的报告。无法表示意见是指注册会计师不对内部控制的有效性发表意见。第九十二条当因工作范围受到限制而无法表示意见时，注册会计师应当在鉴证报告中说明工作范围不足以为发表意见提供保证，并用单独的一段或几段说明无法表示意见的实质性理由。注册会计师不应指明所执行的程序，也不应描述内部控制鉴证的特征，否则可能造成鉴证报告使用者对无法表示意见的误解。第九十三条当注册会计师拟出具无法表示意见的报告，且已执行的有限程序使其认为内部控制存在重大缺陷时，鉴证报告还应当包括下列内容：（一）重大缺陷的定义；（二）对已识别的内部控制存在的任何重大缺陷的描述。第九十四条如果认为由于工作范围受到限制而无法表示意见，注册会计师应当以书面形式，就未能满意地完成内部控制鉴证，与管理层和审计委员会沟通。第九十五条如果除法定要求披露的信息以外，管理层内部控制评估报告中还包括其他信息，注册会计师应当明确说明不对这些信息发表意见。第九十六条如果认为其他信息含有对事实的重大错报，注册会计师应当就这一事项与管理层进行讨论。当讨论之后认为对事实的重大错报仍然存在时，注册会计师应当以书面形式，将其对这些信息的看法告知管理层和审计委员会。第九十七条当其他注册会计师已对企业的一个或多个子公司、分部、分支机构等组成部分的内部控制进行鉴证时，注册会计师应当按照《中国注册会计师审计准则第1401号——利用其他注册会计师的工作》的规定，确定是否担任主审注册会计师，是否利用其他注册会计师的工作。主审注册会计师不应在内部控制鉴证报告中提及其他注册会计师的工作。第七章工作底稿第九十八条注册会计师应当参照《中国注册会计师审计准则第1131号——审计工作底稿》的规定编制内部控制鉴证工作底稿。第九十九条注册会计师应当就下列内容形成鉴证工作记录：（一）制定的内部控制鉴证计划及其重大修改；（二）识别企业层面和流程层面的风险及控制的主要过程及结果；（三）测试控制设计和执行有效性的程序及结果；（四）对识别的控制缺陷的评价；（五）对识别的重大事项的处理；（六）形成的鉴证结论和意见；（七）其他重要事项。第八章附则第一百条本指引自2009年7月1日起施行。附录：内部控制鉴证报告的参考格式1．标准鉴证报告（无保留意见）内部控制鉴证报告××股份有限公司全体股东：我们接受委托，按照财政部发布的《企业内部控制基本规范》及相关规范对后附的贵公司管理层在××××年××月××日作出的内部控制有效性的评估报告进行了鉴证。一、管理层对内部控制的责任按照国家有关法律法规的规定，设计、实施和维护有效的内部控制，并评估其有效性是公司管理层的责任。二、注册会计师的责任我们的责任是在实施鉴证工作的基础上对内部控制有效性发表鉴证意见。我们按照《企业内部控制鉴证指引》的规定执行了鉴证工作。《企业内部控制鉴证指引》要求注册会计师遵守职业道德规范，计划和实施鉴证工作以对企业在所有重大方面是否保持了有效的内部控制获取合理保证。鉴证工作包括获取对内部控制的了解，评估重大缺陷存在的风险，根据评估的风险测试和评价内部控制设计和运行的有效性。鉴证工作还包括实施我们认为必要的其他程序。我们相信，我们获取的证据是充分、适当的，为发表鉴证意见提供了基础。三、内部控制的定义内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。四、内部控制的固有局限性内部控制具有固有局限性，存在错误或舞弊导致的错报未被发现的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或降低对控制政策、程序的遵循程度，根据内部控制鉴证结果推测未来内部控制有效性具有一定的风险。五、鉴证意见我们认为，贵公司按照《企业内部控制基本规范》及相关规范于××××年××月××日在所有重大方面保持了有效的内部控制。××会计师事务所中国注册会计师：×××（签名并盖章）（盖章）中国注册会计师：×××（签名并盖章）中国××市年月日2．带说明段的无保留意见鉴证报告内部控制鉴证报告××股份有限公司全体股东：我们接受委托，按照财政部发布的《企业内部控制基本规范》及相关规范对后附的贵公司管理层在××××年××月××日作出的内部控制有效性的评估报告进行了鉴证。一、管理层对内部控制的责任按照国家有关法律法规的规定，设计、实施和维护有效的内部控制，并评估其有效性是公司管理层的责任。二、注册会计师的责任我们的责任是在实施鉴证工作的基础上对内部控制有效性发表鉴证意见。我们按照《企业内部控制鉴证指引》的规定执行了鉴证工作。《企业内部控制鉴证指引》要求注册会计师遵守职业道德规范，计划和实施鉴证工作以对企业在所有重大方面是否保持了有效的内部控制获取合理保证。鉴证工作包括获取对内部控制的了解，评估重大缺陷存在的风险，根据评估的风险测试和评价内部控制设计和运行的有效性。鉴证工作还包括实施我们认为必要的其他程序。我们相信，我们获取的证据是充分、适当的，为发表鉴证意见提供了基础。三、内部控制的定义内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。四、内部控制的固有局限性内部控制具有固有局限性，存在错误或舞弊导致的错报未被发现的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或降低对控制政策、程序的遵循程度，根据内部控制鉴证结果推测未来内部控制有效性具有一定的风险。五、鉴证意见我们认为，贵公司按照《企业内部控制基本规范》及相关规范于××××年××月××日在所有重大方面保持了有效的内部控制。六、提请关注的事项我们提醒报告使用者关注，如管理层在内部控制评估报告中第×部分第×段所述，贵公司发生了一项期后事项。[描述期后事项的性质及其对公司内部控制的重大影响]。本段内容不影响已发表的鉴证意见。××会计师事务所中国注册会计师：×××（签名并盖章）（盖章）中国注册会计师：×××（签名并盖章）中国××市年月日3．否定意见鉴证报告内部控制鉴证报告××股份有限公司全体股东：我们接受委托，按照财政部发布的《企业内部控制基本规范》及相关规范对后附的贵公司管理层在××××年××月××日作出的内部控制有效性的评估报告进行了鉴证。一、管理层对内部控制的责任按照国家有关法律法规的规定，设计、实施和维护有效的内部控制，并评估其有效性是公司管理层的责任。二、注册会计师的责任我们的责任是在实施鉴证工作的基础上对内部控制有效性发表鉴证意见。我们按照《企业内部控制鉴证指引》的规定执行了鉴证工作。《企业内部控制鉴证指引》要求注册会计师遵守职业道德规范，计划和实施鉴证工作以对企业在所有重大方面是否保持了有效的内部控制获取合理保证。鉴证工作包括获取对内部控制的了解，评估重大缺陷存在的风险，根据评估的风险测试和评价内部控制设计和运行的有效性。鉴证工作还包括实施我们认为必要的其他程序。我们相信，我们获取的证据是充分、适当的，为发表鉴证意见提供了基础。三、内部控制的定义内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。四、内部控制的固有局限性内部控制具有固有局限性，存在错误或舞弊导致的错报未被发现的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或降低对控制政策、程序的遵循程度，根据内部控制鉴证结果推测未来内部控制有效性具有一定的风险。五、导致否定意见的事项重大缺陷是内部控制中存在的、具有合理可能性导致企业年度或中期财务报表出现重大错报不能被及时防止或发现的某项缺陷或几项缺陷的组合。[描述注册会计师识别的和管理层评估报告中管理层识别的所有内部控制重大缺陷的性质，以及重大缺陷在存在期间对企业编报财务报表产生的实际和潜在影响等具体情况]。其中，×重大缺陷已经识别、但没有包含在管理层评估报告中（在这种情况下，应增加本句文字）。×重大缺陷虽然已包含在管理层的评估报告中，但未能在所有重大方面得到公允披露，[公允描述有关重大缺陷的必要信息]（如果未公允披露，应增加本句文字）。有效的内部控制能够为财务报告的可靠性以及按照适用的会计准则和相关会计制度的规定编制财务报表提供合理保证，而上述重大缺陷使贵公司内部控制缺乏这一功能。六、鉴证意见我们认为，由于内部控制存在上述重大缺陷及其对实现控制目标的影响，贵公司未能按照《企业内部控制基本规范》及相关规范于××××年××月××日在所有重大方面保持有效的内部控制。××会计师事务所中国注册会计师：×××（签名并盖章）（盖章）中国注册会计师：×××（签名并盖章）中国××市年月日4．无法表示意见鉴证报告内部控制鉴证报告××股份有限公司全体股东：我们接受委托，按照财政部发布的《企业内部控制基本规范》及相关规范对后附的贵公司管理层在××××年××月××日作出的内部控制有效性的评估报告进行鉴证。一、管理层对内部控制的责任按照国家有关法律法规的规定，设计、实施和维护有效的内部控制，并评估其有效性是公司管理层的责任。二、内部控制的定义内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。三、内部控制的固有局限性内部控制具有固有局限性，存在错误或舞弊导致的错报未被发现的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或降低对控制政策、程序的遵循程度，根据内部控制鉴证结果推测未来内部控制有效性具有一定的风险。四、识别的内部控制重大缺陷（注：如果在发现范围受到限制前，执行有限程序未识别出重大缺陷，则应删除本段）重大缺陷是内部控制中存在的、具有合理可能性导致企业年度或中期财务报表出现重大错报不能被及时防止或发现的某项缺陷或几项缺陷的组合。[描述注册会计师执行有限程序后识别的内部控制重大缺陷的性质，以及重大缺陷存在期间对企业编报财务报表产生的实际和潜在影响等具体情况]。其中，×重大缺陷已经识别、但没有包含在管理层评估报告中（在这种情况下，应增加本句文字）。×重大缺陷虽然已包含在管理层的评估报告中，但未能在所有重大方面进行公允披露，[公允描述有关重大缺陷的必要信息]（如果未公允披露，应增加本句文字）。有效的内部控制能够为财务报告的可靠性以及按照适用的会计准则和相关会计制度的规定编制财务报表提供合理保证，而上述重大缺陷使贵公司内部控制缺乏这一功能。五、导致无法表示意见的事项[描述范围受到限制的具体情况]六、鉴证意见由于存在上述范围限制，我们未能实施必要的程序以获取发表意见所需的充分证据，因此，我们无法对贵公司内部控制有效性发表意见。××会计师事务所中国注册会计师：×××（签名并盖章）（盖章）中国注册会计师：×××（签名并盖章）中国××市年月日PAGE18