健全有效的内部控制是防范财务造假、筑牢资本市场会 计信息质量防线的第一道关口，能够从源头上遏制造假空间 与动机。内控审计既是检验内控有效性的关键环节，也是促 进上市公司健全治理结构、提升治理水平、规范运作的重要 保障。

为督促审计机构切实勤勉尽责，助力推动上市公司不 断完善公司治理，进一步提升财务报告及内控审计执业质量， 江苏证监局结合日常监管实践，系统梳理内控审计中存在的 突出执业问题，提示审计风险，提出监管要求。 

▌【主要问题】 

整合审计框架下，内控审计与财报审计本应互为支撑、 协同推进，共同构成企业财会监督体系的重要基石。然而， 监督检查中发现，部分会计师事务所未能充分认识内控审计 的独立价值，存在“重财务报表审计、轻内控审计”“重实质性程序、轻风险评估及控制测试”倾向，将内控审计简单 依附于财务报表审计流程，视为附属工作或程序性补充。这 种认知偏差在执业中表现在审计资源投入不足、程序执行流 于形式等，导致无法识别重大错报风险、实质性程序缺乏针 对性等问题，不仅削弱内控审计对企业内控有效性的鉴证作 用，也加剧审计失败风险与资本市场合规隐患。

现就检查中 发现的突出执业问题通报如下： 

一、计划审计工作方面 

审计计划是内控审计的基础，部分注册会计师未严格贯 彻风险导向审计思路，审计计划制定流于形式、缺乏针对性， 导致未能为审计工作提供有效指引。

例如，部分注册会计师 未结合被审计单位管理层核心岗位人员频繁更换、业务模式 发生变化、存在会计差错更正、实际控制人股权质押比例较 高或前期存在关联方资金占用行为等情况，制定针对性的内 控审计计划，导致审计范围与重点未能有效覆盖相关内控风 险，审计资源分配无法匹配工作复杂程度；部分注册会计师 未充分考虑信息技术控制对财务报告的影响，对被审计单位 核心业务依赖信息系统、财务核算高度信息化的情形，未在 审计计划中明确信息技术一般控制和应用控制的审计范围、 重点程序及专业资源配置；部分注册会计师在制定审计计划 时简单套用工作模板，计划执行的“评价管理层凌驾于控制 之上的风险而设计的控制”等重要程序在后续审计工作中未 见落实，导致风险识别精准性与审计应对有效性大打折扣。

二、实施审计工作方面 

审计实施是内控审计的核心环节，直接决定审计质量、 审计结论的可靠性。部分注册会计师在开展内控审计时，关 键程序未有效执行，审计证据缺乏相关性、充分性，无法合 理支撑内控审计结论。

具体问题表现如下： 

（一）了解和测试企业层面控制方面 

一是控制范围了解不全面。部分注册会计师未全面识别 被审计单位企业层面控制的核心领域，仅关注控制环境等表 面环节，未对反凌驾于控制之上的控制、期末财务报告流程 控制等关键领域进行全面了解。 

二是控制测试流于形式。部分注册会计师未充分考虑被 审计单位风险特征，在测试企业层面控制时仅简单询问或查 阅制度文件，未实地核查控制运行情况、未留存支持控制有 效性的相关依据。例如，在测试反凌驾控制时，未恰当抽查 重大异常交易相关会计分录及其审批流程，未核实是否存在 管理层绕过控制的情形。 

三是期末财务报告流程控制测试不完整。期末财务报告 流程作为企业层面控制的核心内容，是防范财务报表重大错 报的关键，但部分注册会计师未对期末财务报告流程全环节 进行测试，仅关注会计政策运用、财务报表编制等部分环节， 未对分录编制、报表调整及审批等关键环节开展测试，导致 未发现期末财务报告流程内控失效，以及记账分录无制单人、 无审核人或制单人异常的情况。 

（二）了解和测试业务层面控制方面 

一是未恰当了解内控设计的有效性。部分注册会计师未 结合被审计单位行业特点、经营模式及业务流程等，对内控 设计的有效性实施有效检查。例如，针对业务模式多元、存 在境内外业务的被审计单位，注册会计师仅对单一业务执行 穿行测试，未对其他业务的业务流程及控制环节进行了解和 测试，导致测试范围、测试重点偏离控制目标，无法识别内 控设计本身存在的缺陷。 

二是混淆控制测试与实质性程序。部分注册会计师未准 确区分控制测试与实质性程序的执业目标，存在以执行实质 性程序替代控制测试的不当执业行为。例如，部分注册会计 师在拟信赖企业内控的基础上，仍以在执行实质性程序时实 施了多笔细节测试为由不实施控制测试，错误将实质性程序 的结果作为内控有效性的判断依据，忽视了内控审计聚焦于 评价控制本身是否合理、是否得到有效执行的核心要求。 

三是测试范围不完整。部分注册会计师在执行控制测试 时仅测试部分环节，遗漏核心控制节点。例如，在销售与收 款流程中，未测试客户信用审批、销售订单审核、营业收入 准确性等关键控制的设计及运行情况；在测试收入确认准确 性时未获取及核查完整的业务单据，导致无法全面识别业务 流程内控运行缺陷。 

四是控制测试样本确定不合理。部分注册会计师在确定 样本量时，未充分考虑组成部分的业务性质、规模及风险水平差异，在合并范围内统一抽取样本量区间的最小样本量进 行测试。例如，在集团审计时，注册会计师针对销售与收款 各关键环节，仅统一抽取 25 个样本进行测试，未关注合并 范围内工程企业、科技企业、贸易企业在销售模式、客户类 型及收款流程等方面存在的显著差异，导致控制测试样本代 表性不足，无法支撑测试结论。 

五是控制测试涵盖期间不合理。部分注册会计师未充分 关注期中测试日至审计报告基准日期间被审计单位经营活 动及业务模式发生的重大变化，控制测试涵盖期间未能覆盖 整个被审计期间。例如，被审计单位在期中控制测试后新增 业务类型、年末拓展新客户并确认大额收入，注册会计师未 针对期末相关内控设计及运行有效性执行补充测试程序，导 致无法验证相关控制在期末是否持续有效运行。 

六是控制测试流于形式。部分注册会计师未实质核查内 控运行有效性，对于测试中发现的控制偏差，未分析原因、 未评估影响及未采取应对措施。例如，在测试销售合同审核 控制运行有效性时，仅核查合同是否具备签字盖章等形式要 件，未对审核流程完整性、合规性及审批逻辑进行核实，无 法对内控运行有效性做出恰当判断；针对测试中发现的同一 客户签收单据签章不一致、制单人与审核人为同一人的异常 情形，未扩大样本规模实施进一步测试。 

三、控制缺陷评价与出具审计报告方面 

一是未准确识别内控设计缺陷。部分注册会计师在执行穿行测试或控制测试时，未能充分结合被审计单位的风险控 制目标，识别内控设计层面存在的缺失。例如，针对票据开 具审批流程缺失或审批权限未明确划分、对具有验收条款的 产品或服务以签收单作为收入确认依据等问题，未恰当认定 为设计缺陷，导致测试结论不精准，无法为被审计单位提供 针对性的缺陷整改建议，也无法为审计结论提供可靠支撑。 

二是未恰当评价内控运行缺陷。部分注册会计师对于已 发现的控制偏差，未恰当判断该偏差是否构成运行缺陷。例 如，在测试资金管理、采购付款、销售收款等关键控制时， 已发现银行账户开户经办人非公司员工、多笔付款存在无审 批或审批滞后、货物出库日晚于签收日等运行偏差，注册会 计师未将其认定为运行缺陷，未扩大测试范围、未评估潜在 影响，导致内控缺陷识别评价不准确，严重影响内控审计结 论可靠性。 

三是未结合内控整改情况评价控制缺陷。部分注册会计 师在评价控制缺陷时，错误将内控缺陷整改等同于内控有效 运行，未结合整改后控制的运行时长及运行情况恰当判断内 控有效性。例如，部分注册会计师混淆“控股股东资金归还” 与“内控缺陷整改有效”的核心区别，错误认为只要控股股 东在资产负债表日前全额归还占用资金，便认定内控缺陷已 消除，未进一步核查资金占用背后的内控缺陷是否真正整改、 整改后的控制是否运行足够长的时间、是否能够有效防范后 续资金占用风险，即直接对被审计单位内控出具标准无保留意见。 

四、项目质量复核方面 

部分会计师事务所未严格执行复核流程，复核流于形式， 未结合内控审计特点，对控制测试执行、缺陷识别与评价、 审计证据获取等关键环节开展实质性复核，导致审计缺陷问 题未被及时发现；部分会计师事务所未建立复核问题整改机 制，对于复核发现的问题，未跟踪督促项目组落实整改措施、 完善审计底稿，对整改不到位的情况未及时提出意见，仍同 意出具内控审计报告。