1、了解内部控制的设计

审计师应当实施以下程序，以了解内部控制的设计：

（1）询问被鉴证单位的有关人员；

（2）检查内部控制生成的文件和记录；

（3）观察被鉴证单位的经营管理活动。

2、评价内部控制设计的合理性

审计师应当在了解内部控制各要素的基础上，根据内部控制能否防止和发现与财务报表认定相关的重大错报，评价内部控制设计的合理性。

在确定评价特定内部控制设计合理性的程序时，审计师应当考虑以下因素：

（1）特定内部控制的性质；

（2）描述特定内部控制的方式；

（3）经营活动及其管理系统的复杂性。

3、测试和评价内部控制执行的有效性

在测试内部控制执行的有效性时，通常实施以下程序：

（1）询问被鉴证单位的有关人员；

（2）特定内部控制在实现控制目标中的重要性；

（3）对被鉴证单位特定内部控制执行有效性进行测试的性质和范围；

（4）特定内部控制未得到遵循的风险。

有些内部控制是连续执行的，而有些内部控制只在特定的时间内执行，审计师应当根据内部控制的性质及其执行的时间和频率，合理确定控制测试的性质、时间和范围。在这样的情况下，即被鉴证单位的管理当局在对内部控制有效性做出认定之前已对内部控制的有效性加以改进，如果审计师能够确定新的内部控制可以实现相关目标，并且已经在适当的时间内有效的执行，那么审计师可以不考虑改进前内部控制设计的合理性和执行的有效性。

对已发现的内部控制重大缺陷，审计师应当及时以书面形式与被鉴证单位进行沟通。在判断某项内部控制缺陷单独或连同其他内部控制缺陷是否为重大缺陷时，审计师应当考虑潜在的错误或舞弊可能导致错报的金额和性质。

审计师应当就以下重要事项向管理当局获取书面声明：

（1）管理当局对建立健全内部控制并保持其有效性负责；

（2）管理当局已对内部控制的有效性进行了评价；

（3）管理当局已做出特定日期与财务报表相关的内部控制有效性的认定；

（4）管理当局已向审计师告知内部控制在设计和执行方面存在的重大缺陷；

（5）管理当局已向审计师告知发生的重大舞弊，以及虽然并不重大但涉及管理人员或在内部控制过程中起关键作用的员工的其他舞弊；

（6）期后发生的内部控制变化和可能影响内部控制的其他因素，包括管理当局针对重大缺陷采取的各项改进措施。

如果管理当局拒绝提供有关内部控制的书面声明，审计师应当将其视为鉴证范围受到限制，并考虑管理当局提供的其他声明的可靠性。

4、出具内部鉴证报告

审计师应当对审核证据进行复核和评价，形成审核意见，出具报告。

审计内部控制鉴证报告应当包括以下基本内容：

（1）标题；（2）收件人；（3）引言段；（4）范围段；

（5）固有限制段；（6）意见段；

（7）签章和会计师事务所地址；（8）报告日期。

以上是基本要素，具体要求如下：

（1）报告的标题统一为“审计内部控制鉴证报告”。

（2）报告的收件人应当为鉴证业务的委托人，鉴证报告应当载明收件人的全称。

（3）鉴证报告的引言段应当说明以下内容：被鉴证单位管理当局对特定日期与财务报表相关的内部控制有效性的认定；被鉴证单位管理当局的责任；审计师的责任。

（4）报告的范围段应当说明以下内容：审计依据，即《内部控制审核指导意见》；鉴证程序；实施的鉴证程序为审计师发表意见提供了合理的基础。

（5）报告的固有限制段应当说明以下内容：

内部控制的固有限制；

根据内部控制评价结果推测未来内部控制有效性的风险。

（6）报告的意见段应当说明被鉴证单位于特定日期是否在所有重大方面保持了与财务报表相关的有效的内部控制。

（7）报告应当由审计师签名并盖章，加盖会计师事务所公章，标明会计师事务所地址。

（8）报告日期是指审计师完成外勤工作的日期。

下面以无保留意见的审计内部控制鉴证报告为例，来说明内部控制审核报告的格式和措辞。 2100433B

（1）审计内部控制鉴证是一项专门的鉴证业务。审计师执行审计业务时，也要对内部控制进行评价，其目的是评价控制风险,决定审计策略，是为完成审计目标服务的。

与此不同，内部审计鉴证的目的是要专门研究内部控制的有效性，并在审核结束后发表审核意见。

（2）审计内部控制鉴证的范围限定于特定日期与财务报表相关的内部控制。一般说来，审计时对内部控制进行测试的范围更广泛，需要对内部控制的各个重要方面都进行评价。但在审计内部控制鉴证业务中，要评价的领域和期间通常经过审计师和委托企业的管理当局双方讨论并确定下来，其审核范围直接取决于双方的约定。

（3）被审核单位管理当局应当就内部控制的有效性提供书面认定。审计师提供审计业务时通过对内部控制的了解和测试,对财务报表总体得出结论。而审计内部控制鉴证则仅对内部控制的有效性发表意见，不需要对报表总体发表意见。

1．内部控制审计的性质

内部控制审计业务是一项专门鉴证业务，注册会计师执行这一业务时，应当事先与委托人就内部控制审核范围达成一致意见。凡是业务约定书确定的内部控制审核范围，注册会计师都要进行审核。

2．内部控制审计的范围

内部控制审计的范围限于特定日期与财务报表相关的内部控制。通常，注册会计师对某特定日期的内部控制进行审核。特定日期可以是会计年度结束日，也可以是某中期结束日。注册会计师对某特定日期的内部控制审核时，应在接近于此日期之前的一段时间内对内部控制进行了解和测试，并对该日期的内部控制有效性发表审核意见。

3．相关责任

被审计单位管理层应当就内部控制的有效性提供书面认定，其作用类似于财务报表，它用于明确被审核单位管理层建立健全内部控制并保持其有效性的责任。

（一）内部控制审计计划及重大修改情况；

（二）相关风险评估和选择拟测试的内部控制的主要过程及结果；

（三）测试内部控制设计与运行有效性的程序及结果；

（四）对识别的控制缺陷的评价；

（五）形成的审计结论和意见；

（六）其他重要事项。

审计的经济鉴证职能，是指审计机构和审计人员对被审计单位会计报表及其他经济资料进行检查和验证，确定其财务状况和经营成果是否真实、公允、合法、合规， 并出具书面证明，以便为审计的授权人或委托人提供确切的信息，并取信于社会公众的一种职能。

审计的经济鉴证职能，包括鉴定和证明两个方面。例如，会计师事务所接受中外合资经营企业的委托，对其投入资本进行验资，对其年度财务报表进行审查，或对其合并、解散事项进行审核，然后出具验资报告、查账报告和清算报告等，均属于审计执行经济鉴证职能。再如，国家审计机关对厂长(经理)的离任审计，对承包、租赁经营的经济责任审计，对国际组织的援助项目和世界银行贷款项目的审计等， 也都属于经济鉴证的范围。