中国石化内控审计评价指引

企业内部控制审计指引

第一章总则

第一条为了规范注册会计师执行企业内部控制审计业务，明确工作要求，保证执业质量，根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则，制定本指引。

第二条本指引所称内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。

第三条建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。

第四条注册会计师执行内部控制审计工作，应当获取充分、适当的证据，为发表内部控制审计意见提供合理保证。

注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

第五条注册会计师可以单独进行内部控制审计，也可以将内部控制审计与财务报表审计整合进行（以下简称整合审计）。在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：

（一）获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见；

（二）获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。

第二章计划审计工作

第六条注册会计师应当恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。

第七条在计划审计工作时，注册会计师应当评价下列事项对内部控制、财务报表以及审计工作的影响：

（一）与企业相关的风险；

（二）相关法律法规和行业概况；

（三）企业组织结构、经营特点和资本结构等相关重要事项；

（四）企业内部控制最近发生变化的程度；

（五）与企业沟通过的内部控制缺陷；

（六）重要性、风险等与确定内部控制重大缺陷相关的因素；

（七）对内部控制有效性的初步判断；

（八）可获取的、与内部控制有效性相关的证据的类型和范围。

第八条注册会计师应当以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。

内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注就越多。

第九条注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能本应由注册会计师执行的工作。

注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作，应当对其专业胜任能力和客观性进行充分评价。与某项控制相关的风险越高，可利用程度就越低，注册会计师应当更多地对该项控制亲自进行测试。

注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。

第三章实施审计工作

第十条注册会计师应当按照自上而下的方法实施审计工作。自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。

第十一条注册会计师测试企业层面控制，应当把握重要性原则，至少应当关注：

（一）与内部环境相关的控制；

（二）针对董事会、经理层凌驾于控制之上的风险而设计的控制；

（三）企业的风险评估过程；

（四）对内部信息传递和财务报告流程的控制；

（五）对控制有效性的内部监督和自我评价。

第十二条注册会计师测试业务层面控制，应当把握重要性原则，结合企业实际、企业内部控制各项应用指引的要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。