《企业内部控制配套指引（三分之三）企业内部控制审计指引》.pdf

附件3 ： 企业内部控制审计指引 第一章 总 则 第一条 为了规范注册会计师执行企业内部控制审计业务，明确 工作要求，保证执业质量，根据《企业内部控制基本规范》、《中国注 册会计师鉴证业务基本准则》及相关执业准则，制定本指引。 第二条 本指引所称内部控制审计，是指会计师事务所接受委 托，对特定基准日内部控制设计与运行的有效性进行审计。 第三条 建立健全和有效实施内部控制，评价内部控制的有效性 是企业董事会的责任。按照本指引的要求，在实施审计工作的基础上 对内部控制的有效性发表审计意见，是注册会计师的责任。 第四条 注册会计师执行内部控制审计工作，应当获取充分、适 当的证据，为发表内部控制审计意见提供合理保证。 注册会计师应当对财务报告内部控制的有效性发表审计意见，并 对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在 内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予 以披露。 第五条 注册会计师可以单独进行内部控制审计，也可将内部控 制审计与财务报表审计整合进行（以下简称整合审计）。 在整合审计中，注册会计师应当对内部控制设计与运行的有效性 1 进行测试，以同时实现下列目标： （一）获取充分、适当的证据，支持其在内部控制审计中对内部 控制有效性发表的意见。 （二）获取充分、适当的证据，支持其在财务报表审计中对控制 风险的评估结果。 第二章 计划审计工作 第六条 注册会计师应当恰当地计划内部控制审计工作，配备具 有专业胜任能力的项目组，并对助理人员进行适当的督导。 第七条 在计划审计工作时，注册会计师应当评价下列事项对内 部控制、财务报表以及审计工作的影响： （一）与企业相关的风险。 （二）相关法律法规和行业概况。 （三）企业组织结构、经营特点和资本结构等相关重要事项。 （四）企业内部控制最近发生变化的程度。 （五）与企业沟通过的内部控制缺陷。 （六）重要性、风险等与确定内部控制重大缺陷相关的因素。 （七）对内部控制有效性的初步判断。 （八）可获取的、与内部控制有效性相关的证据的类型和范围。 第八条 注册会计师应当以风险评估为基础，选择拟测试的控 制，确定测试所需收集的证据。 内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审 2 计关注就越多。 第九条 注册会计师应当对企业内部控制自我评价工作进行评 估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关 人员的工作以及可利用的程度，相应减少可能本应由注册会计师执行 的工作。 注册会计师利用企业内部审计人员、内部控制评价人员和其他相 关人员的工作，应当对其专业胜任能力和客观性进行充分评价。 与某项控制相关的风险越高，可利用程度就越低，注册会计师应 当更多地对该项控制亲自进行测试。 注册会计师应当对发表的审计意见独立承担责任，其责任不因为 利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而 减轻。 第三章 实施审计工作 第十条 注册会计师应当按照自上而下的方法实施审计工作。自 上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。 注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制 的测试结合进行。 第十一条 注册会计师测试企业层面控制，应当把握重要性原 则，至少应当关注： （一）与内部环境相关的控制。 （二）针对董事会、经理层凌驾于控制之上的风险而设计的控制。 3 （三）企业的风险评估过程。 （四）对内部信息传递和财务报告流程的控制。 （五）对控制有效性的内部监督和自我评价。 第十二条 注册会计师测试业务层面控制，应当把握重要性