(2010年4月15日 发布)
第一章 总 则
第一条 为了规范注册会计师执行企业内部控制审计业务,明确工作要求,保证执业质量,根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则,制定本指引。
第二条 本指引所称内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。
第三条 建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。
第四条 注册会计师执行内部控制审计工作,应当获取充分、适当的证据,为发表内部控制审计意见提供合理保证。
注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。
第五条 注册会计师可以单独进行内部控制审计,也可将内部控制审计与财务报表审计整合进行(以下简称整合审计)。
在整合审计中,注册会计师应当对内部控制设计与运行的有效性进行测试,以同时实现下列目标:
(一)获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发表的意见。
(二)获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结果。
第六条 注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。
第七条 在计划审计工作时,注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响:
(一)与企业相关的风险。
(二)相关法律法规和行业概况。
(三)企业组织结构、经营特点和资本结构等相关重要事项。
(四)企业内部控制最近发生变化的程度。
(五)与企业沟通过的内部控制缺陷。
(六)重要性、风险等与确定内部控制重大缺陷相关的因素。
(七)对内部控制有效性的初步判断。
(八)可获取的、与内部控制有效性相关的证据的类型和范围。
第十九条 在连续审计中,注册会计师在确定测试的性质、时间安排和范围时,应当考虑以前年度执行内部控制审计时了解的情况。
第二十条 内部控制缺陷按其成因分为设计缺陷和运行缺陷,按其影响程度分为重大缺陷、重要缺陷和一般缺陷。
注册会计师应当评价其识别的各项内部控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成重大缺陷。
第二十一条 在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时,注册会计师应当评价补偿性控制(替代性控制)的影响。企业执行的补偿性控制应当具有同样的效果。
第二十二条 表明内部控制可能存在重大缺陷的迹象,主要包括:
(一)注册会计师发现董事、监事和高级管理人员舞弊。
(二)企业更正已经公布的财务报表。
(三)注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报。
(四)企业审计委员会和内部审计机构对内部控制的监督无效。
第二十三条 注册会计师完成审计工作后,应当取得经企业签署的书面声明。书面声明应当包括下列内容:
(一)企业董事会认可其对建立健全和有效实施内部控制负责。
(二)企业已对内部控制的有效性作出自我评价,并说明评价时采用的标准以及得出的结论。
(三)企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础。
(四)企业已向注册会计师披露识别出的所有内部控制缺陷,并单独披露其中的重大缺陷和重要缺陷。
(五)企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷,是否已经采取措施予以解决。
(六)企业在内部控制自我评价基准日后,内部控制是否发生重大变化,或者存在对内部控制具有重要影响的其他因素。
第二十四条 企业如果拒绝提供或以其他不当理由回避书面声明,注册会计师应当将其视为审计范围受到限制,解除业务约定或出具无法表示意见的内部控制审计报告。
第二十五条 注册会计师应当与企业沟通审计过程中识别的所有控制缺陷。对于其中的重大缺陷和重要缺陷,应当以书面形式与董事会和经理层沟通。
注册会计师认为审计委员会和内部审计机构对内部控制的监督无效的,应当就此以书面形式直接与董事会和经理层沟通。
书面沟通应当在注册会计师出具内部控制审计报告之前进行。
第二十六条 注册会计师应当对获取的证据进行评价,形成对内部控制有效性的意见。
第二十七条 注册会计师在完成内部控制审计工作后,应当出具内部控制审计报告。标准内部控制审计报告应当包括下列要素:
(一)标题。
(二)收件人。
(三)引言段。
注册会计师应当在审计工作底稿中记录下列内容:
(一)内部控制审计计划及重大修改情况。
(二)相关风险评估和选择拟测试的内部控制的主要过程及结果。
(三)测试内部控制设计与运行有效性的程序及结果。
(四)对识别的控制缺陷的评价。
(五)形成的审计结论和意见。
(六)其他重要事项。