中国注册会计师协会关于印发《企业内部控制审计指引实施意见》的通知
(会协〔2011〕66号)
各省、自治区、直辖市注册会计师协会:
为了规范注册会计师执行内部控制审计业务,明确工作要求,提高执业质量,维护公众利益,我会制定了《企业内部控制审计指引实施意见》,现予印发,自2012年1月1日起施行。执行中有何问题,请及时反馈我会。
附件:企业内部控制审计指引实施意见
中国注册会计师协会
二○一一年十月十一日
附件:
企业内部控制审计指引实施意见
为了规范注册会计师执行财务报告内部控制(以下简称内部控制)审计业务,明确工作要求,提高执业质量,维护公众利益,根据中国注册会计师审计准则、《
企业内部控制基本规范》和《企业内部控制审计指引》,在整合审计框架下,制定本意见。
一、关于签订业务约定书
只有当内部控制审计的前提条件得到满足,并且会计师事务所符合独立性要求,具备专业胜任能力时,会计师事务所才能接受或保持内部控制审计业务。
(一)内部控制审计的前提条件
在确定内部控制审计的前提条件是否得到满足时,注册会计师应当:
(1)确定被审计单位采用的内部控制标准是否适当;
(2)就被审计单位认可并理解其责任与治理层和管理层达成一致意见。
被审计单位的责任包括:
(1)按照适用的内部控制标准,建立健全和有效实施内部控制,以使财务报表不存在由于舞弊或错误导致的重大错报;
(2)对内部控制的有效性进行评价并编制内部控制评价报告;
(3)向注册会计师提供必要的工作条件,包括允许注册会计师接触与内部控制审计相关的所有信息(如记录、文件和其他事项),
允许注册会计师在获取审计证据时不受限制地接触其认为必要的内部人员和其他相关人员等。
(二)签订单独的内部控制审计业务约定书
如果决定接受或保持内部控制审计业务,会计师事务所应当与被审计单位签订单独的内部控制审计业务约定书。业务约定书应当至少包括下列内容:
(1)内部控制审计的目标和范围;
(2)注册会计师的责任;
(3)被审计单位的责任;
(4)指出被审计单位采用的内部控制标准;
(5)提及注册会计师拟出具的内部控制审计报告的形式和内容,以及对在特定情况下出具的内部控制审计报告可能不同于预期形式和内容的说明;
(6)审计收费。
二、关于计划审计工作
注册会计师应当贯彻风险导向审计的思路,恰当地计划内部控制审计工作,制订总体审计策略和具体审计计划。
(一)总体审计策略
注册会计师应当在总体审计策略中体现下列内容:
(1)确定内部控制审计业务特征,以界定审计范围。例如,被审计单位采用的内部控制标准、注册会计师预期内部控制审计工作涵盖的范围、对组成部分注册会计师工作的参与程度、注册会计师对被审计单位内部控制评价工作的了解以及拟利用被审计单位内部相关人员工作的程度等。
对于按照权益法核算的投资,内部控制审计范围应当包括针对权益法下相关会计处理而实施的内部控制,但通常不包括针对权益法下被投资方的内部控制。
内部控制审计范围应当包括被审计单位在内部控制评价基准日(最近一个会计期间截止日,以下简称基准日)或在此之前收购的实体,以及在基准日作为终止经营进行会计处理的业务。注册会计师应当确定是否有必要对与这些实体或业务相关的控制实施测试。
如果法律法规的相关豁免规定允许被审计单位不将某些实体纳入内部控制评价范围,注册会计师可以不将这些实体纳入内部控制审计的范围。
(2)明确内部控制审计业务的报告目标,以计划审计的时间安排和所需沟通的性质。例如,被审计单位对外公布或报送内部控制审计报告的时间、注册会计师与管理层和治理层讨论内部控制审计工作的性质、时间安排和范围,注册会计师与管理层和治理层讨论拟出具内部控制审计报告的类型和时间安排以及沟通的其他事项等。
(3)根据职业判断,考虑用以指导项目组工作方向的重要因素。例如,财务报表整体的重要性和实际执行的重要性、初步识别的可能存在重大错报的风险领域、内部控制最近发生变化的程度、与被审计单位沟通过的内部控制缺陷、对内部控制有效性的初步判断、信息技术和业务流程的变化等。
(4)考虑初步业务活动的结果,并考虑对被审计单位执行其他业务时获得的经验是否与内部控制审计业务相关(如适用)。
(5)确定执行内部控制审计业务所需资源的性质、时间安排和范围。例如,项目组成员的选择以及对项目组成员审计工作的分派,项目时间预算等。
(二)具体审计计划
注册会计师应当在具体审计计划中体现下列内容:
(1)了解和识别内部控制的程序的性质、时间安排和范围;
(2)测试控制设计有效性的程序的性质、时间安排和范围;
(3)测试控制运行有效性的程序的性质、时间安排和范围。
(三)对应对舞弊风险的考虑
在计划和实施内部控制审计工作时,注册会计师应当考虑财务报表审计中对舞弊风险的评估结果。在识别和测试企业层面控制以及选择其他控制进行测试时,注册会计师应当评价被审计单位的内部控制是否足以应对识别出的、由于舞弊导致的重大错报风险,并评价为应对管理层和治理层凌驾于控制之上的风险而设计的控制。
被审计单位为应对这些风险可能设计的控制包括:
