2012 C-SOX - 企業內部控制審計指引第一章 總 則第一條 為了規范注冊會計師執行企業內部控制審計業務,明確工作要求,保證 執業質量,根據《企業內部控制基本規范》、《中國注冊會計師鑒證業務基本準則》及相 關執業準則,制定本指引。第二條 本指引所稱內部控制審計,是指會計師事務所接受委托,對特定基準日 內部控制設計與運行的有效性進行審計。第三條 建立健全和有效實施內部控制,評價內部控制的有效性是企業董事會的 責任。按照本指引的要求,在實施審計工作的基礎上對內部控制的有效性發表審計意見, 是注冊會計師的責任。第四條 注冊會計師執行內部控制審計工作,應當獲取充分、適當的證據,為發 表內部控制審計意見提供合理保證。注冊會計師應當對財務報告內部控制的有效性發表審計意見,并對內部控制審計 過程中注意到的非財務報告內部控制的重大缺陷,在內部控制審計報告中增加“非財務 報告內部控制重大缺陷描述段”予以披露。第五條 注冊會計師可以單獨進行內部控制審計,也可以將內部控制審計與財務 報表審計整合進行(以下簡稱整合審計)。在整合審計中,注冊會計師應當對內部控制設計與運行的有效性進行測試,以同 時實現下列目標:(一)獲取充分、適當的證據,支持其在內部控制審計中對內部控制有效性發表 的意見;Page 1 of 9 2012 C-SOX - (二)獲取充分、適當的證據,支持其在財務報表審計中對控制風險的評估結果。
第二章 計劃審計工作第六條 注冊會計師應當恰當地計劃內部控制審計工作,配備具有專業勝任能力 的項目組,并對助理人員進行適當的督導。第七條 在計劃審計工作時,注冊會計師應當評價下列事項對內部控制、財務報 表以及審計工作的影響:(一)與企業相關的風險;(二)相關法律法規和行業概況;(三)企業組織結構、經營特點和資本結構等相關重要事項;(四)企業內部控制最近發生變化的程度;(五)與企業溝通過的內部控制缺陷;(六)重要性、風險等與確定內部控制重大缺陷相關的因素;(七)對內部控制有效性的初步判斷;(八)可獲取的、與內部控制有效性相關的證據的類型和范圍。第八條 注冊會計師應當以風險評估為基礎,選擇擬測試的控制,確定測試所需 收集的證據。內部控制的特定領域存在重大缺陷的風險越高,給予該領域的審計關注就越多。第九條 注冊會計師應當對企業內部控制自我評價工作進行評估,判斷是否利用 企業內部審計人員、內部控制評價人員和其他相關人員的工作以及可利用的程度,相應 減少可能本應由注冊會計師執行的工作。注冊會計師利用企業內部審計人員、內部控制評價人員和其他相關人員的工作, 應當對其專業勝任能力和客觀性進行充分評價。
Page 2 of 9 2012 C-SOX - 與某項控制相關的風險越高,可利用程度就越低,注冊會計師應當更多地對該項 控制親自進行測試。注冊會計師應當對發表的審計意見獨立承擔責任內部控制基本規范 pdf,其責任不因為利用企業內部審 計人員、內部控制評價人員和其他相關人員的工作而減輕。第三章 實施審計工作第十條 注冊會計師應當按照自上而下的方法實施審計工作。自上而下的方法是 注冊會計師識別風險、選擇擬測試控制的基本思路。注冊會計師在實施審計工作時 ,可 以將企業層面控制和業務層面控制的測試結合進行。第十一條 注冊會計師測試企業層面控制,應當把握重要性原則內部控制基本規范 pdf,至少應當關注:(一)與內部環境相關的控制;(二)針對董事會、經理層凌駕于控制之上的風險而設計的控制;(三)企業的風險評估過程;(四)對內部信息傳遞和財務報告流程的控制;(五)對控制有效性的內部監督和自我評價。第十二條 注冊會計師測試業務層面控制,應當把握重要性原則,結合企業實際、 企業內部控制各項應用指引的要求和企業層面控制的測試情況,重點對企業生產經營活 動中的重要業務與事項的控制進行測試。
注冊會計師應當關注信息系統對內部控制及風險評估的影響。第十三條 注冊會計師在測試企業層面控制和業務層面控制時,應當評價內部控 制是否足以應對舞弊風險。第十四條 注冊會計師應當測試內部控制設計與運行的有效性。如果某項控制由擁有必要授權和專業勝任能力的人員按照規定的程序與要求執Page 3 of 9 2012 C-SOX - 行,能夠實現控制目標,表明該項控制的設計是有效的。如果某項控制正在按照設計運行 ,執行人員擁有必要授權和專業勝任能力,能夠 實現控制目標,表明該項控制的運行是有效的。第十五條 注冊會計師應當根據與內部控制相關的風險,確定擬實施審計程序的 性質、時間安排和范圍,獲取充分、適當的證據。與內部控制相關的風險越高,注冊會 計師需要獲取的證據應越多。第十六條 注冊會計師在測試控制設計與運行的有效性時,應當綜合運用詢問適 當人員、觀察經營活動、檢查相關文件、穿行測試和重新執行等方法。詢問本身并不足以提供充分、適當的證據。第十七條 注冊會計師在確定測試的時間安排時,應當在下列兩個因素之間作出 平衡,以獲取充分、適當的證據:(一)盡量在接近企業內部控制自我評價基準日實施測試;(二)實施的測試需要涵蓋足夠長的期間。
第十八條 注冊會計師對于內部控制運行偏離設計的情況(即控制偏差),應當確 定該偏差對相關風險評估、需要獲取的證據以及控制運行有效性結論的影響。第十九條 在連續審計中,注冊會計師在確定測試的性質、時間安排和范圍時, 應當考慮以前年度執行內部控制審計時了解的情況。第四章 評價控制缺陷第二十條 內部控制缺陷按其成因分為設計缺陷和運行缺陷,按其影響程度分為 重大缺陷、重要缺陷和一般缺陷。注冊會計師應當評價其識別的各項內部控制缺陷的嚴重程度,以確定這些缺陷單 獨或組合起來,是否構成重大缺陷。Page 4 of 9 2012 C-SOX - 第二十一條 在確定一項內部控制缺陷或多項內部控制缺陷的組合是否構成重大 缺陷時,注冊會計師應當評價補償性控制(替代性控制)的影響。企業執行的補償性控 制應當具有同樣的效果。第二十二條 表明內部控制可能存在重大缺陷的跡象,主要包括:(一)注冊會計師發現董事、監事和高級管理人員舞弊;(二)企業更正已經公布的財務報表;(三)注冊會計師發現當期財務報表存在重大錯報,而內部控制在運行過程中未 能發現該錯報;(四)企業審計委員會和內部審計機構對內部控制的監督無效。
第五章 完成審計工作第二十三條 注冊會計師完成審計工作后,應當取得經企業簽署的書面聲明。書 面聲明應當包括下列內容:(一)企業董事會認可其對建立健全和有效實施內部控制負責;(二)企業已對內部控制的有效性作出自我評價,并說明評價時采用的標準以及 得出的結論;(三)企業沒有利用注冊會計師執行的審計程序及其結果作為自我評價的基礎;(四)企業已向注冊會計師披露識別出的所有內部控制缺陷,并單獨披露其中的 重大缺陷和重要缺陷;(五)企業對于注冊會計師在以前年度審計中識別的重大缺陷和重要缺陷,是否 已經采取措施予以解決;(六)企業在內部控制自我評價基準日后,內部控制是否發生重大變化,或者存 在對內部控制具有重要影響的其他因素。Page 5 of 9 2012 C-SOX - 第二十四條 企業如果拒絕提供或以其他不當理由回避書面聲明,注冊會計師應 當將其視為審計范圍受到限制,解除業務約定或出具無法表示意見的內部控制審計報 告。第二十五條 注冊會計師應當與企業溝通審計過程中識別的所有控制缺陷。對于 其中的重大缺陷和重要缺陷,應當以書面形式與董事會和經理層溝通。
注冊會計師認為審計委員會和內部審計機構對內部控制的監督無效的,應當就此 以書面形式直接與董事會和經理層溝通。書面溝通應當在注冊會計師出具內部控制審計報告之前進行。第二十六條 注冊會計師應當對獲取的證據進行評價,形成對內部控制有效性的 意見。第六章 出具審計報告第二十七條 注冊會計師在完成內部控制審計工作后,應當出具內部控制審計報 告。標準內部控制審計報告應當包括下列要素:(一)標題;(二)收件人;(三)引言段;(四)企業對內部控制的責任段;(五)注冊會計師的責任段;(六)內部控制固有局限性的說明段;(七)財務報告內部控制審計意見段;(八)非財務報告內部控制重大缺陷描述段;(九)注冊會計師的簽名和蓋章;Page 6 of 9 2012 C-SOX - (十)會計師事務所的名稱、地址及蓋章;(十一)報告日期。第二十八條 符合下列所有條件的,注冊會計師應當對財務報告內部控制出具無 保留意見的內部控制審計報告:(一)企業按照《企業內部控制基本規范》、《企業內部控制應用指引》、《企業內 部控制評價指引》以及企業自身內部控制制度的要求,在所有重大方面保持了有效的內 部控制;(二)注冊會計師已經按照《企業內部控制審計指引》的要求計劃和實施審計工 作,在審計過程中未受到限制。
第二十九條 注冊會計師認為財務報告內部控制雖不存在重大缺陷,但仍有一項 或者多項重大事項需要提請內部控制審計報告使用者注意的,應當在內部控制審計報告 中增加強調事項段予以說明。注冊會計師應當在強調事項段中指明,該段內容僅用于提醒內部控制審計報告使 用者關注,并不影響對財務報告內部控制發表的審計意見。第三十條 注冊會計師認為財務報告內部控制存在一項或多項重大缺陷的,除非 審計范圍受到限制,應當對財務報告內部控制發表否定意見。注冊會計師出具否定意見的內部控制審計報告,還應當包括下列內容:(一)重大缺陷的定義;(二)重大缺陷的性質及其對財務報告內部控制的影響程度。第三十一條 注冊會計師審計范圍受到限制的,應當解除業務約定或出具無法表 示意見的內部控制審計報告,并就審計范圍受到限制的情況,以書面形式與董事會進行 溝通。Page 7 of 9 2012 C-SOX - 注冊會計師在出具無法表示意見的內部控制審計報告時,應當在內部控制審計報 告中指明審計范圍受到限制,無法對內部控制的有效性發表意見。注冊會計師在已執行的有限程序中發現財務報告內部控制存在重大缺陷的,應當 在內部控制審計報告中對重大缺陷做出詳細說明。
第三十二條 注冊會計師對在審計過程中注意到的非財務報告內部控制缺陷,應 當區別具體情況予以處理:(一)注冊會計師認為非財務報告內部控制缺陷為一般缺陷的,應當與企業進行 溝通,提醒企業加以改進,但無需在內部控制審計報告中說明;(二)注冊會計師認為非財務報告內部控制缺陷為重要缺陷的,應當以書面形式 與企業董事會和經理層溝通,提醒企業加以改進,但無需在內部控制審計報告中說明;(三)注冊會計師認為非財務報告內部控制缺陷為重大缺陷的,應當以書面形式 與企業董事會和經理層溝通,提醒企業加以改進;同時應當在內部控制審計報告中增加 非財務報告內部控制重大缺陷描述段,對重大缺陷的性質及其對實現相關控制目標的影 響程度進行披露,提示內部控制審計報告使用者注意相關風險。第三十三條 在企業內部控制自我評價基準日并不存在、但在該基準日之后至審 計報告日之前(以下簡稱期后期間)內部控制可能發生變化,或出現其他可能對內部控 制產生重要影響的因素。注冊會計師應當詢問是否存在這類變化或影響因素,并獲取企 業關于這些情況的書面聲明。注冊會計師知悉對企業內部控制自我評價基準日內部控制有效性有重大負面影響 的期后事項的,應當對財務報告內部控制發表否定意見。
注冊會計師不能確定期后事項對內部控制有效性的影響程度的,應當出具無法表 示意見的內部控制審計報告。Page 8 of 9 2012 C-SOX - 第七章 記錄審計工作第三十四條 注冊會計師應當按照《中國注冊會計師審計準則第1131 號——審計 工作底稿》的規定,編制內部控制審計工作底稿,完整記錄審計工作情況。第三十五條 注冊會計師應當在審計工作底稿中記錄下列內容:(一)內部控制審計計劃及重大修改情況;(二)相關風險評估和選擇擬測試的內部控制的主要過程及結果;(三)測試內部控制設計與運行有效性的程序及結果;(四)對識別的控制缺陷的評價;(五)形成的審計結論和意見;(六)其他重要事項。Page 9 of 9