企业内控审计操作手册.docxVIP

企业内控审计操作手册

前言

企业内部控制审计（以下简称“内控审计”）是提升企业治理水平、防范经营风险、保障资产安全、确保信息真实可靠的重要手段。本手册旨在为内控审计人员提供一套系统性的操作指引，以期规范审计行为，提升审计质量与效率，最终助力企业实现战略目标。本手册的内容基于当前普遍认可的内控审计原则与实践经验编制，使用者在具体操作中应结合企业实际情况灵活运用，持续优化审计方法与流程。

一、审计准备阶段

审计准备阶段是整个内控审计工作的基石，充分的准备是确保审计工作顺利开展并取得预期效果的前提。

（一）审计立项与授权

1.审计需求识别：审计部门应根据企业年度经营目标、风险管理策略、以往审计发现、监管要求以及管理层关注重点等，识别潜在的内控审计需求。

2.审计项目评估与立项：对识别的审计需求进行评估，考虑其重要性、风险水平、资源可获得性等因素，确定年度或专项内控审计项目计划，并按规定程序报批立项。

3.审计授权：审计项目立项后，应由适当层级的管理层（通常为审计委员会或最高管理层）对审计部门进行正式授权，明确审计的权限、范围和目标。

（二）组建审计团队与明确职责

1.审计团队组建：根据审计项目的性质、复杂程度和范围大小，选拔具备相应专业知识、技能和经验的审计人员组建审计团队。必要时，可聘请外部专家参与。

2.职责分工：明确审计团队负责人及各成员的职责，包括但不限于项目整体协调、信息收集、流程测试、证据整理、报告撰写等。

（三）初步了解被审计单位/领域情况

1.收集背景资料：通过查阅企业章程、组织架构图、业务流程文件、管理制度、以往审计报告、财务报表、行业资料等，初步了解被审计单位或领域的业务特点、经营状况、管理模式及潜在风险。

2.开展初步访谈：与被审计单位的管理层及关键岗位人员进行初步沟通，了解其对内控的认知、主要业务流程、重要控制点及当前存在的主要问题与挑战。

3.初步风险评估：基于所收集的信息，对被审计领域的重大错报风险或控制缺陷风险进行初步评估，为后续审计计划的制定提供依据。

（四）制定审计计划

1.确定审计目标：明确本次内控审计希望达成的具体目标，例如评估特定业务流程内控设计的合理性与执行的有效性，识别控制缺陷并提出改进建议等。

2.界定审计范围：根据审计目标，明确审计所涵盖的业务流程、部门、期间及相关的信息技术系统。范围的界定应兼顾全面性与重点性。

3.制定审计策略与方法：确定采用的审计方法，如访谈、检查、观察、穿行测试、抽样测试等，并规划各阶段的时间安排和资源投入。

4.编制审计方案：审计方案应详细列出审计的具体步骤、重点关注领域、拟测试的控制点、抽样方法与样本量（如有）、审计程序等，作为审计实施的行动指南。

（五）发出审计通知书

审计部门应在实施审计前，向被审计单位发出正式的审计通知书。通知书应载明审计项目名称、审计目标与范围、审计时间安排、审计组成员、被审计单位需提供的资料及配合事项等。特殊情况下，经授权可实施突击审计。

二、审计实施阶段

审计实施阶段是内控审计工作的核心环节，通过系统性的方法收集审计证据，评估内部控制的设计与运行有效性。

（一）了解与描述内部控制

1.方法运用：审计人员应通过访谈、查阅制度文件（如岗位职责、业务流程手册、授权审批权限表等）、观察实际操作等多种方法，全面深入地了解被审计单位各项业务流程的内部控制设计。

2.内部控制描述：将了解到的内部控制情况以清晰、规范的方式进行记录和描述，常用的方法包括文字描述法、流程图法和调查表法。描述应涵盖控制环境、风险评估过程、控制活动、信息与沟通、对控制的监督等要素。

（二）评估内部控制设计的有效性

1.设计有效性评估标准：评估内部控制设计是否能够有效预防或发现并纠正可能导致财务报表重大错报或影响经营目标实现的风险。重点关注控制点的设置是否恰当、关键控制点是否缺失、职责分工是否明确、授权审批是否合理等。

2.评估过程：对照已识别的业务流程和相关风险点，检查现有控制措施的设计是否能够针对性地应对这些风险。对于设计存在明显缺陷或冗余的控制，应予以记录。

（三）测试内部控制运行的有效性

1.确定测试范围与样本：根据评估的风险水平、控制的重要性以及审计资源，确定需要进行运行有效性测试的控制活动。对选定的控制活动，应根据其发生频率、重要性等因素，选取具有代表性的样本进行测试。

2.执行控制测试程序：

*检查：检查与控制活动相关的文件记录，如审批单、合同、会议纪要、交易凭证等，以验证控制是否按规定执行。

*观察：实地观察员工执行控制活动的过程，了解控制在实际操作中的执行情况。

*询问：向相关人员询问控制活动的执行情况、遇到的问题及如何解决等。询问本身不足以作为得出控制有效运行结论