第二十一条 在评价特定内部控制未得到遵循的风险时,注册会计师应当考虑以下因素:
(一)交易的数量和性质是否发生变化,以致对特定内部控制的设计和执行产生不利影响;
(二)内部控制是否发生变化;
(三)特定内部控制对其他内部控制有效性的依赖程度;
(四)执行或监控内部控制的关键人员是否发生变动;
(五)特定内部控制的执行是依赖人工还是电子设备;
(六)特定内部控制的复杂程度;
(七)特定控制目标的实现是否依赖于多项内部控制。
第二十二条 某些内部控制是连续执行的,而某些内部控制只在特定时间执行,注册会计师应当根据内部控制的性质及其执行的时间和频率,合理确定控制测试的性质、时间和范围。
第二十三条 当管理当局在作出内部控制有效性认定之前已对内部控制作了改进时,如果注册会计师确定新的内部控制能够实现相关目标,并且已有效执行了适当的时间,可不考虑改进前内部控制设计的合理性和执行的有效性。
第二十四条 对已发现的内部控制重大缺陷,注册会计师应当及时以书面形式与被审核单位进行沟通。
第二十五条 在判断某项内部控制缺陷单独或连同其他内部控制缺陷是否为重大缺陷时,注册会计师应当考虑潜在的错误或舞弊可能导致错报的金额和性质。
第二十六条 注册会计师应当就以下重要事项向管理当局获取书面声明:
(一)管理当局对建立健全内部控制并保持其有效性负责;
(二)管理当局已对内部控制的有效性进行了评价;
(三)管理当局已作出特定日期与会计报表相关的内部控制有效性的认定;
(四)管理当局已向注册会计师告知内部控制在设计和执行方面存在的重大缺陷;
(五)管理当局已向注册会计师告知发生的重大舞弊,以及虽不重大但涉及管理人员或在内部控制过程中起关键作用的员工的其他舞弊;
(六)期后发生的内部控制变化和可能影响内部控制的其他因素,包括管理当局针对重大缺陷采取的各项改进措施。
第二十七条 如果管理当局拒绝提供有关内部控制的书面声明,注册会计师应当将其视为审核范围受到限制,并考虑管理当局其他声明的可靠性。
