會計師執行公司內部控制制度專案審查程序應分為下列四個階段:
一、規劃:
(一)取得受查公司董事會及經理人之控制目標、內部控制制度政策與程序之書面紀錄及其他必要之資訊。
(二)規劃審查計畫。至少應考量下列因素:企業所屬產業特性、承接該受查公司其他案件時所得之資訊、受查公司之狀況及近來之變動、會計師可取得之證據、特定內部控制制度程序之性質及該程序對整體內部控制制度之重要性、對整體內部控制制度有效性之初步判斷、不同營運場所之差異、集權之程度、執行之交易及控制環境及會計師可接受與內部控制制度有關之重大性水準與控制風險。
二、取得對內部控制制度之瞭解:會計師得以查詢、檢查及觀察等方法,取得對受查公司內部控制制度之瞭解,以作為評估內部控制制度是否有效之基礎。
三、評估內部控制制度設計之有效性:
(一)會計師評估受查公司內部控制制度設計之有效性時,應蒐集設計是否有效之證據;其蒐集之方法,包括查詢、檢查及觀察。
(二)會計師評估內部控制制度設計之有效性時,應著重於內部控制制度整體是否能達成某一目標,而不是某一特定內部控制制度作業是否失當。
(三)會計師如僅受託審查內部控制制度設計之有效性,應視實際情況需要執行必要之控制測試。
四、測試及評估內部控制制度執行之有效性:
(一)會計師應執行控制測試,以蒐集與內部控制制度執行有關之證據,據以評估內部控制制度執行之有效性。
(二)會計師執行控制測試之方法,包括查詢、檢查、觀察及重新執行測試。執行控制測試應至證據足夠、適切為止。受查公司自行評估內部控制制度時所蒐集之證據,不得直接代替會計師應蒐集之證據。
(三)會計師蒐集之證據是否足夠、適切,受下列因素影響:受查公司控制程序之性質、該控制程序對達成控制目標之重要性、受查公司不遵循控制程序之可能性、受查公司已執行控制測試之性質與程度及會計師對控制程序有效性之初步判斷。會計師並應就審查之期後期間執行必要之程序,取得對期後事項應有之證據。