各省、自治区、直辖市注册会计师协会，深圳市注册会计师协会：

为了规范注册会计师执行内部控制审核业务，明确工作要求，保证执业质量，我会制定了《内部控制审核指导意见》，现印发给你们，请自2002年5月1日起参照执行。执行中有何问题，请及时函告我会。附件：内部控制审核指导意见中国注册会计师协会二00二年二月九日附件：内部控制审核指导意见第一章总则第一条为了规范注册会计师执行内部控制审核业务，明确工作要求，保证执业质量，根据国家有关法规的要求，提出本指导意见。第二条本意见所称内部控制审核，是指注册会计师接受委托，就被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核，并发表审核意见。第三条按照国家有关法规的要求，建立健全内部控制并保持其有效性，是被审核单位管理当局的责任。按照本意见的要求，了解、测试和评价内部控制，出具审核报告，是注册会计师的责任。第四条注册会计师应当保持应有的职业谨慎，关注内部控制的固有限制，获取充分、适当的证据，将审核风险降低至可接受的水平。第五条注册会计师对特定期间与会计报表相关的内部控制的有效性执行审核业务，可参照本意见办理。第二章业务约定书第六条注册会计师应当在了解被审核单位基本情况的基础上，考虑自身能力和能否保持独立性，初步评估审核风险，确定是否接受委托。如果接受委托，会计师事务所应当与委托人就约定事项达成一致意见，并签订业务约定书。第七条业务约定书应当包括以下主要内容：（一）委托目的；（二）委托业务的性质；（三）审核范围；（四）被审核单位管理当局的责任和注册会计师的责任；（五）内部控制的固有限制；（六）评价内部控制有效性的标准；（七）报告分发和使用的限制。第三章审核计划第八条在制定审核计划前，注册会计师应当向被审核单位管理当局获取有关内部控制有效性的书面认定，以及内部控制手册、流程图、调查问卷和备忘录等文件。第九条在制定审核计划时，注册会计师应当考虑以下主要因素：（一）被审核单位所在行业的情况，包括行业景气程度、经营风险、技术进步等；（二）被审核单位的内部情况，包括组织结构、经营特征、资本构成、生产和业务流程、员工素质等；（三）被审核单位近期在经营和内部控制方面的变化；（四）管理当局的诚信、能力及发生舞弊的可能性；（五）管理当局评价内部控制有效性的方法和证据；（六）对重要性水平、固有风险及其他与确定内部控制重大缺陷有关的因素的初步判断；（七）特定内部控制的性质及其在内部控制整体中的重要性；（八）对内部控制有效性的初步判断；（九）从其他专业服务中了解到的有关被审核单位内部控制的情况。第十条如果被审核单位有多个经营场所，注册会计师应当选择某些经营场所的内部控制进行了解和测试。在选择了解和测试的经营场所时，注册会计师除考虑第九条列举的有关因素外，还应当考虑以下因素：（一）不同场所之间经营活动和内部控制的相似性；（二）会计处理的集中程度；（三）控制环境的有效性，尤其是管理当局对各经营场所行使授权的控制和有效监督经营活动的能力；（四）各经营场所发生交易的性质和金额。第十一条内部审计的工作结果是管理当局评价内部控制有效性的重要基础，注册会计师应当考虑被审核单位内部审计人员的专业能力、独立性及工作范围。第四章审核程序第十二条注册会计师应当根据审核计划，实施以下工作步骤：（一）了解内部控制的设计；（二）评价内部控制设计的合理性；（三）测试和评价内部控制执行的有效性。第十三条注册会计师应当实施以下程序，以了解内部控制的设计：（一）询问被审核单位的有关人员；（二）检查内部控制生成的文件和记录；（三）观察被审核单位的经营管理活动。第十四条注册会计师应当在了解内部控制各要素的基础上，根据内部控制能否防止和发现会计报表有关认定的重大错报，评价内部控制设计的合理性。第十五条在评价内部控制设计的合理性时，注册会计师应当关注内部控制整体能否实现控制目标，而不应孤立地关注特定内部控制。第十六条在确定评价特定内部控制设计合理性的程序时，注册会计师应当考虑以下因素：（一）特定内部控制的性质；（二）特定内部控制的描述方式；（三）经营活动及其管理系统的复杂性。第十七条注册会计师应当对相关内部控制进行测试，获取充分、适当的证据，以评价内部控制执行的有效性。在测试内部控制执行的有效性时，注册会计师应当关注该项内部控制是否得到执行、如何执行、由谁执行以及是否得到一贯执行。第十八条在测试内部控制执行的有效性时，注册会计师通常实施以下程序：（一）询问被审核单位的有关人员；（二）检查内部控制生成的文件和记录；（三）观察被审核单位的经营管理活动；（四）重新执行有关内部控制。第十九条在评价获取的证据是否充分、适当时，注册会计师应当运用专业判断，并考虑以下因素：（一）特定内部控制的性质；（二）特定内部控制在实现控制目标中的重要性；（三）被审核单位对特定内部控制执行有效性进行测试的性质和范围；（四）特定内部控制未得到遵循的风险。第二十条在评价内部控制执行的有效性时，注册会计师可考虑利用管理当局对内部控制执行有效性的测试结果，但应获取充分、适当的证据进行印证。第二十一条在评价特定内部控制未得到遵循的风险时，注册会计师应当考虑以下因素：（一）交易的数量和性质是否发生变化，以致对特定内部控制的设计和执行产生不利影响；（二）内部控制是否发生变化；（三）特定内部控制对其他内部控制有效性的依赖程度；（四）执行或监控内部控制的关键人员是否发生变动；（五）特定内部控制的执行是依赖人工还是电子设备；（六）特定内部控制的复杂程度；（七）特定控制目标的实现是否依赖于多项内部控制。第二十二条某些内部控制是连续执行的，而某些内部控制只在特定时间执行，注册会计师应当根据内部控制的性质及其执行的时间和频率，合理确定控制测试的性质、时间和范围。第二十三条当管理当局在作出内部控制有效性认定之前已对内部控制作了改进时，如果注册会计师确定新的内部控制能够实现相关目标，并且已有效执行了适当的时间，可不考虑改进前内部控制设计的合理性和执行的有效性。第二十四条对已发现的内部控制重大缺陷，注册会计师应当及时以书面形式与被审核单位进行沟通。第二十五条在判断某项内部控制缺陷单独或连同其他内部控制缺陷是否为重大缺陷时，注册会计师应当考虑潜在的错误或舞弊可能导致错报的金额和性质。第二十六条注册会计师应当就以下重要事项向管理当局获取书面声明：（一）管理当局对建立健全内部控制并保持其有效性负责；（二）管理当局已对内部控制的有效性进行了评价；（三）管理当局已作出特定日期与会计报表相关的内部控制有效性的认定；（四）管理当局已向注册会计师告知内部控制在设计和执行方面存在的重大缺陷；（五）管理当局已向注册会计师告知发生的重大舞弊，以及虽不重大但涉及管理人员或在内部控制过程中起关键作用的员工的其他舞弊；（六）期后发生的内部控制变化和可能影响内部控制的其他因素，包括管理当局针对重大缺陷采取的各项改进措施。第二十七条如果管理当局拒绝提供有关内部控制的书面声明，注册会计师应当将其视为审核范围受到限制，并考虑管理当局其他声明的可靠性。第二十八条注册会计师应当将实施的审核程序及其结果，连同取得的有关资料，形成审核工作底稿。第五章审核报告第二十九条注册会计师应当复核与评价审核证据，形成审核意见，出具审核报告。第三十条审核报告应当包括以下基本内容：（一）标题；（二）收件人；（三）引言段；（四）范围段；（五）固有限制段；（六）意见段；（七）签章和会计师事务所地址；（八）报告日期。第三十一条审核报告的标题应当统一规范为“内部控制审核报告”。第三十二条审核报告的收件人应当为审核业务的委托人。审核报告应当载明收件人的全称。第三十三条审核报告的引言段应当说明以下内容：（一）被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定；（二）被审核单位管理当局的责任；（三）注册会计师的责任。第三十四条审核报告的范围段应当说明以下内容：（一）审核依据，即《内部控制审核指导意见》；（二）审核程序；（三）实施的审核程序为注册会计师发表审核意见提供了合理的基础。第三十五条审核报告的固有限制段应当说明以下内容：（一）内部控制的固有限制；（二）根据内部控制评价结果推测未来内部控制有效性的风险。第三十六条审核报告的意见段应当说明被审核单位于特定日期在所有重大方面是否保持了与会计报表相关的有效的内部控制。第三十七条审核报告应当由注册会计师签名并盖章，加盖会计师事务所公章，标明会计师事务所地址。第三十八条报告日期是指注册会计师完成外勤审核工作的日期。第三十九条如果注册会计师认为被审核单位内部控制存在重大缺陷，而管理当局已在书面声明及认定中恰当地说明了内部控制的重大缺陷及其对实现控制目标的影响，注册会计师应当在审核意见段前增设说明段说明重大缺陷，并视其重要程度发表保留意见或否定意见。第四十条如果注册会计师认为被审核单位内部控制存在重大缺陷，而管理当局未在其书面声明及认定中说明内部控制的重大缺陷及其对实现控制目标的影响，或虽已说明重大缺陷，却认定其内部控制依然有效，注册会计师应当发表否定意见。第四十一条如果审核范围受到限制，注册会计师应当视其重要程度，发表保留意见或拒绝表示意见。第四十二条当存在下列情况时，注册会计师应当考虑其对审核报告的影响：（一）管理当局的认定仅涉及部分内部控制的有效性；（二）管理当局的认定仅涉及内部控制设计的合理性。第四十三条如果认为期后事项严重影响内部控制的有效性，注册会计师应当视其重要程度，发表保留意见或否定意见；如果不能确定其影响，注册会计师应当发表拒绝表示意见。附录：内部控制审核报告参考格式1、无保留意见内部控制审核报告X股份有限公司：我们接受委托，审核了贵公司管理当局对X年X月X日与会计报表相关的内部控制有效性的认定。贵公司管理当局的责任是建立健全内部控制并保持其有效性，我们的责任是对贵公司内部控制的有效性发表意见。我们的审核是依据《内部控制审核指导意见》进行的。在审核过程中，我们实施了包括了解、测试和评价内部控制设计的合理性和执行的有效性，以及我们认为必要的其他程序。我们相信，我们的审核为发表意见提供了合理的基础。内部控制具有固有限制，存在由于错误或舞弊而导致错报发生和未被发现的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或降低对控制政策、程序遵循的程度，根据内部控制评价结果推测未来内部控制有效性具有一定的风险。我们认为，贵公司按照X标准于X年X月X日在所有重大方面保持了与会计报表相关的有效的内部控制。X会计师事务所（公章）中国注册会计师（签名并盖章）地址年月日2、保留意见内部控制审核报告X股份有限公司：我们接受委托，审核了贵公司管理当局对X年X月X日与会计报表相关的内部控制有效性的认定。贵公司管理当局的责任是建立健全内部控制并保持其有效性，我们的责任是对贵公司内部控制的有效性发表意见。我们的审核是依据《内部控制审核指导意见》进行的。在审核过程中，我们实施了包括了解、测试和评价内部控制设计的合理性和执行的有效性，以及我们认为必要的其他程序。我们相信，我们的审核为发表意见提供了合理的基础。内部控制具有固有限制，存在由于错误或舞弊而导致错报发生和未被发现的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或降低对控制政策、程序遵循的程度，根据内部控制评价结果推测未来内部控制有效性具有一定的风险。（描述内部控制的重大缺陷及其对实现控制目标的影响）有效的内部控制能够为企业及时防止或发现会计报表中的重大错报提供合理保证，而上述重大缺陷使贵公司内部控制失去这一功能。我们认为，除上述内部控制的重大缺陷及其对实现控制目标的影响外，贵公司按照X标准于X年X月X日在所有重大方面保持了与会计报表相关的有效的内部控制。X会计师事务所（公章）中国注册会计师（签名并盖章）地址年月日3、否定意见内部控制审核报告X股份有限公司：我们接受委托，审核了贵公司管理当局对X年X月X日与会计报表相关的内部控制有效性的认定。贵公司管理当局的责任是建立健全内部控制并保持其有效性，我们的责任是对贵公司内部控制的有效性发表意见。我们的审核是依据《内部控制审核指导意见》进行的。在审核过程中，我们实施了包括了解、测试和评价内部控制设计的合理性和执行的有效性，以及我们认为必要的其他程序。我们相信，我们的审核为发表意见提供了合理的基础。内部控制具有固有限制，存在由于错误或舞弊而导致错报发生和未被发现的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或降低对控制政策、程序遵循的程度，根据内部控制评价结果推测未来内部控制有效性具有一定的风险。（描述内部控制的重大缺陷及其对实现控制目标的影响）有效的内部控制能够为企业及时防止或发现会计报表中的重大错报提供合理保证，而上述重大缺陷使贵公司内部控制失去这一功能。我们认为，由于上述内部控制的重大缺陷及其对实现控制目标的影响，贵公司未能按照X标准于X年X月X日保持与会计报表相关的有效的内部控制。X会计师事务所（公章）中国注册会计师（签名并盖章）地址年月日4、拒绝表示意见内部控制审核报告X股份有限公司：我们接受委托审核贵公司管理当局对X年X月X日与会计报表相关的内部控制有效性的认定。贵公司管理当局的责任是建立健全内部控制并保持其有效性。内部控制具有固有限制，存在由于错误或舞弊而导致错报发生和未被发现的可能性。此外，由于情况的变化可能导致内部控制变得不恰当，或降低对控制政策、程序遵循的程度，根据内部控制评价结果推测未来内部控制有效性具有一定的风险。由于管理当局（描述范围限制），我们未能实施必要的审核程序以获取充分的证据，因此，我们无法对贵公司内部控制的有效性发表意见。X会计师事务所（公章）中国注册会计师（签名并盖章）地址年月日