企业内控审计流程及操作指南.docxVIP

企业内控审计流程及操作指南

引言

企业内部控制审计（以下简称“内控审计”）作为现代企业治理结构中的关键环节，旨在通过系统、规范的方法，对企业内部控制的设计与运行有效性进行独立评估，以合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。本指南旨在梳理内控审计的标准流程与核心操作要点，为审计人员提供实务指引，助力企业提升内控管理水平。

一、审计准备阶段

审计准备阶段是整个内控审计工作的基石，充分的准备是确保审计质量、提高审计效率的前提。

（一）明确审计目标与范围

审计项目启动之初，审计团队需与审计委托方（通常为董事会审计委员会或最高管理层）充分沟通，清晰界定本次内控审计的目标。目标可能包括评估特定业务循环的内控有效性、验证财务报告相关内控的健全性，或针对特定风险领域进行专项审计。基于审计目标，进一步确定审计范围，包括涉及的部门、业务流程、时间跨度及相关人员等。范围的界定应具有针对性，避免过大导致审计资源分散，或过小导致审计不充分。

（二）了解被审计单位及其环境

在确定审计范围后，审计人员需通过多种途径深入了解被审计单位的基本情况，包括但不限于：

*行业状况、法律环境与监管要求：了解行业发展趋势、市场竞争格局、适用的法律法规及监管政策，评估其对企业经营及内控设计的影响。

*企业性质、组织结构与股权结构：明晰企业的业务类型、组织架构、部门设置、权责分配及治理结构。

*经营目标、战略规划与风险评估过程：理解企业的发展战略、经营目标以及管理层为识别、评估和应对风险所建立的机制。

*主要业务流程：初步识别企业的核心业务流程，如采购付款、销售收款、生产与成本核算、人力资源管理、信息系统管理等。

*以往审计结果与整改情况：查阅以前年度的内控审计报告、内部检查报告、外部审计师的管理建议书等，了解历史遗留问题及整改措施的落实情况。

（三）制定审计计划

基于对审计目标、范围及被审计单位的了解，制定详细的审计计划。审计计划应包括：

*审计小组的构成与分工：根据审计任务的性质和复杂程度，配备具备相应专业胜任能力的审计人员，并明确各自职责。

*审计时间安排：确定各阶段的起止时间、关键节点（如进点会、现场审计结束、报告初稿完成等）。

*重要性水平的确定与风险评估：初步评估审计风险，确定可接受的检查风险水平，并据此分配审计资源。

*审计程序的总体安排：明确拟采用的审计方法和程序，如访谈、观察、检查、穿行测试、抽样测试等。

*沟通协调机制：计划与被审计单位管理层、治理层及其他相关方的沟通时点与方式。

（四）组建审计团队与准备审计工作底稿

根据审计计划的要求，组建合适的审计团队，确保团队成员具备必要的专业知识、技能和经验。同时，准备通用的审计工作底稿模板，如审计程序表、内部控制调查表、访谈记录、检查清单、抽样记录表、问题汇总表等，以便审计过程中规范记录。

二、审计实施阶段

审计实施阶段是内控审计工作的核心环节，通过执行一系列审计程序，收集充分、适当的审计证据，以评估内部控制的设计与运行有效性。

（一）召开审计进点会

审计团队进驻被审计单位时，应召开审计进点会。参会人员通常包括审计团队成员、被审计单位管理层及相关业务部门负责人。会议目的在于：

*向被审计单位明确审计目标、范围、时间安排及审计纪律。

*介绍审计工作的主要流程和方法。

*听取被审计单位对其业务概况、内部控制建设及执行情况的简要介绍。

*协调审计所需资源，如办公场所、资料提供、人员配合等。

（二）了解和记录内部控制

审计人员需通过访谈、观察、检查相关文件（如公司章程、管理制度、业务流程图、岗位职责说明书等）等方式，全面了解被审计单位与审计范围相关的内部控制。重点关注控制活动如何与风险相联系，以及关键控制点的设置。

记录内部控制的方法主要有：

*文字描述法：以文字形式详细描述内部控制的各个环节和措施。

*流程图法：用标准化的图形符号绘制业务流程及控制点，直观反映控制活动的流转。

*调查问卷法：设计标准化问卷，向相关人员了解控制措施的有无及执行情况。

记录应清晰、准确，为后续的控制测试提供依据。

（三）测试内部控制的设计与运行有效性

1.评估控制设计有效性：判断现有内部控制的设计是否能够有效应对识别出的风险，能否防止或发现并纠正可能的错报。如果控制设计存在缺陷，即使得到执行，也无法实现控制目标，此时无需进行控制运行有效性测试。

2.测试控制运行有效性：针对设计有效的控制，选取适当样本，测试其在审计期间内是否得到一贯执行。常用的控制测试方法包括：

*询问：向负责执行控制的人员了解控制的执行情况。

*观察：实地察看控制的实际执行过程。