内部控制审计实施办法

*分公司 内部控制审计实施办法 一一一总 则 第一条 为了规范公司内部控制审计，提高审计工作效率，保证审 计工作质量，根据中国*股份有限公司企业标准内部控制审计规范 和*分公司关于内部审计工作的规定，结合公司内部控制审计工 作的具体情况，制定本办法。 第二条 内部控制是公司为了保证信息资料的可靠性和完整性，保 证遵循政策、计划、程序、法律和法 规，保护资产安全，经济、有效地利 用资源，以及保证完成所制定的经营计划任务或目标，使各项业务活动 正常、有效进行而在内部设立的管理控制程序。 第三条 内部控制审计是审计人员对被审计单位内部控制的健全 性、符合有效性及科学合理性所进行的测试与评价。 第四条 内部控制审计既可以作为独立的审计项目组织实施，用以 完善内部控制，也可以作为实施其他审计项目的一个程序或方法，以便 确定对其依赖程度和进行实质性测试(即审计 )的范围、重点及方法，提 高审计工作效率和质量，减少审计风险。 一一一内部控制的范围、措施及方式 第五条 内部控制的范围指与被审计单位经济活动或审计事项有关 2 的控制制度，一般分为： 1内部财务会计控制：针对财务会计信息的完整、真实的控制，包 括为保证会计信息的正确性、财务收支的合法性，以及维护财产物资的 安全与完整而采取的有关组织、分工、程序、方法和标准等方面的控制。 2内部经营管理控制：针对经营管理活动过程的控制，包括为保证 经营决策、方 针和政策的贯彻执行，保证经济活动的经济性、效率性和 效果性，以及实现经营目标而采取的有关组织分工、程序、方法和标准 等方面的控制。 第六条 内部控制的措施有： 1 预防性控制：为防止错误和舞弊的发生而采取的控制； 2 检查性控制：把已经发生和存在的错误检查出来的控制； 3 纠正性控制：对那些由检查性控制查出来的问题的控制； 4 指导性控制：引导或促使期望发生的有利结果实现而采取的 控制； 5 补偿性控制：针对某些环节的不足或缺陷而采取的控制。 第七条 内部控制的方式包括： 1 组织机构控制：通过对内部组织机构的设置、分工，明确划分 职责范围而形成的控制制度。 2 责任分工控制：通过确定不同工作岗位任务、责任和权限，以 及对不相容岗位职务进行分离、分工而建立的控制制度。 3 业务程序控制：通过制定有关经济业务处理程序和操作规范 3 而进行的控制。 4 授权批准控制：对经济业务处理进行一般授权审批和特殊授 权审批方面的控制。 5 计划预算控制：在经营计划、财务预算等方面对经济活动的 控制。 6 会计质量控制：为保证经济活动信息真实、准确、公允、可靠， 确保财产安全、完整和保值、增值而采取的控制。 7 人员素质控制：对业务经办人员思想品质、业务技术和工作 能力与其所担任的控制责任是否相符的控制。 8 内部审计控制：通过设立内部审计机构和人员，对单位内控 制度及经营活动进行监督、鉴证、检查和评价而实施的再控制。 一一一审计的内容和依据 第八条 内部控制审计的内容是对构成内部控制的财务会计控制 及经营管理控制的各要素进行测试与评价。 内部控制审计内容包括：内部控制健全性检查评价；内部控制符合 有效性测试；内部控制合理科学性综合评价；内部控制实质性测试。 第九条 内部控制健全性检查评价，是通过检查被审计单位现有 的内部控制制度，评价各项业务系统应设置的控制环节和控制措施是 否齐全完整，各个控制环节的控制功能是否达到内部控制的设计要求， 是否适应本单位的特点和管理需要，能否起到应有的控制作用。 第十条 内部控制符合有效性测试，是在内部控制健全性检查评 4 价基础上，测试被审计单位有关经济业务活动的运行与相关内部控制 的符合程度，评价各控制措施在实际经济活动中是否得到贯彻执行，是 否取得了应有的效果。 第十一条 内部控制合理科学性综合评价，是对被审计单位内部控 制设置的合理性、科学性，控制的有效性、适度性，以及能否保障企业 经营目标的实现和规范化管理进行的总体评价。 第十二条 内部控制实质性测试，是指审计人员为了检查被审计单 位具体经济业务信息、数据的真实性、合法性、正确性和完整性，对被 审计单位的财务会计报告及相关资料项目金额进行的实证性审核检查。 第十三条 内部控制审计依据： 进行内部控制的健全性检查评价，应当依据规定的管理规则和 模式，并考虑是否与被审计单位的生产经营规模及特点、管理机制、管 理层次相适应。 进行内部控制符合有效性测试，应当依据被审计单位制定的内 部控制制度。 进行内部控制 实质性测试，应当依据国家有关法律、法规和股 份公司及分公司有关规定。 一一一审计程序、方法和要求 第十四条 审计人员对内部控制进行审计时，应遵循中国*股份 有限公司企业标准内部审计规范规定的审计工作基本规范。通常按 5 下列程序进行：首先进行内部控制健全性检查，这包括调查内部控制和 描述内部控制，并进行初步评价；然后进行内部控制符合有效性测试、 内部控制实质性测试和内部控制综合评价。 第十五条 内部控制制度健全性检查及初步评价的审计程序包括： 调查内部控制： 审前或进驻被审计单位后，审计人员应通过查阅组织系统图， 收集、审阅和分析被审计单位各项有关的规章制度、业务处理程序和人 员职责分工等资料，以及向有关部门和人员进行调查，了解和掌握被审 计单位内部控制情况。 审计人员对被审计单位内部控制进行调查时，应当考虑被审 计单位业务规模、复 杂程序、控制类型和控制程序等，恰当地确定调查 范围。 审计人员对被审计单位的控制现状进行调查时，应当关注被 审计单位的控制环节、控制 执行凭证、控制执行记录形式和控制程序运 用的连续性。 描述内部控制： 将被审计单位或审计事项的内部控制运行情况通过文字叙述 或流程图等书面形式重新描述出来，以供测试和评价。 根据现有内部控制描述有关业务的运行流程和控制点，再根 据理想模式和专业判断，着重描述应设立的控制点，特别是关键控制点 设立情况。 审计人员对被审计单位的内部控制进行调查时，可采取下列 6 方法进行描述：文字叙述法，即用文字说明内部控制；调查表法，即利用 预先编制的表格形式，通过回答回答表格中设计的提问，来说明内部控 制；流程图法，即以图解形式，运用符号说明内部控制。 内部控制健全性检查，是根据对被审计单位内部控制的调查和 描述，分析和评价已建立的内部控制与其生产经营规模、特点、管理机 制、管理层次的适应情况、覆盖程度，以及 业务处理程序控制中应该设 立的各项控制点是否设立，各 项控制措施是否齐全、完整。 检查、评价内部控制的健全性，应当考虑下列因素：控制措施存 在与否；存在的控制程序是否准备执行，有无可操作性；是否存在失控 环节；失控的性质和原因；失控对控制系统的影响；审计方案对内部控 制的依赖程度；内部控制的局限性。 符合有效性测试的重点是：对内部控制的执行记录、制约职能 分工、操作状况等，这 些有助于确定内部控制执行情况和有效程度。 第十六条 内部控制符合有效性测试一般采用审计抽样证据检查、 重复检查、实地观察等方法，其内容包括： 业务测试 ：针对业务控制程序，在确定审计的业务系统中，选择 若干笔业务，沿着规定的业务处理程序进行穿行测试，观察、检查制度 中规定的各项控制措施（即控制点，特别是关键控制点）在实际经济活 动中的执行情况。 穿行测试 ：既可采取顺查法，也可采取逆查法，重点是检查在这 些事项的业务处理过程中，各控制环节的处理手续是否按规定办理，内 部控制是否按规定发挥了作用。 7 功能测试 ：针对业务控制程序中的关键控制点，选取若干笔业 务， 检查各 项控制措施在实际工作中的运用效果。 第十七条 对被审计单位的内部控制进行实质性测试，应按照审计 工作程序的有关规定，采取检查、监盘、 观察、 计算、分析性复核、 查询 及函证等审计方法，对被审计单位财务会计报告及相关资料项目金额 进行实证性审核检查。 第十八条 对内部控制进行综合评价重点是以下几个方面： 1内部控制的适用性、科学性，即被审计单位所设立的内部控制， 是否有利于促进股份公司进一步深化改革、搞好持续重组，有利于调动 全体员工的积极性，有利于大力推进科技进步和技术创新，增强公司的 发展动力，以及促进股份公司完善全面预算管理，实行低成本战略，其 满足性、最 优性和适度性如何。 2各项控制措施方面存在的缺陷对相应的控制点的影响及控制点 方面存在的缺陷对各项业务系统内部控制的影响，揭示可能产生的后 果。 3对被审计单位内部控制的系统性、牵制性、协调性进行整体的 分析与评价。 4针对被审计单位内部控制所存在的缺陷、薄弱环节，建议从哪 些方面进行完善和加强。 第十九条 对内部控制进行综合评价的要求： 1要突出重点，着重评价与审计事项有密切管理的内部控制及与 审计目标和范围有关的业务控制； 8 2评价既要着眼于内部控制是否能够起到保护财产、防止弊端的 作用，又要看其是否能够保证和促进经济业务活动的顺利进行； 3对内部控制的评价及提出的建议、措施应明确、具体，针对性强。 第二十条 对被审计单位内部控制进行健全性检查初步评价后，是 否进行符合有效性测试，应当根据实际情况确定。一般比较健全、完善 的控制制度，才对其进行符合有效性测试。审计人员对被审计单位内部 控制进行健全性检查中，出现下列情况之一时，可不进行符合有效性测 试，而直接 进行实质性测试： 1相关内部控制不存在； 2相关内部控制虽然存在，但并未有效运行，或存在严重弊端； 3易于发生错弊的业务环节，存在固有风险，以及控制风险高的 业务； 4符合性测试的工作量可能大于进行符合性测试所减少的实质性 测试的工作量； 5对被审计企业规模小的，不进行符合性测试，直接实施实质性 测试程序。 第二十一条 审计人员确定对内部控制的可依赖程度时，应保持应 有的职业谨慎，重点关注可能存在的构成内部控制局限性的主要因素 为： 1内部控制的设计和运行受制于成本与效益原则； 2内部控制一般仅针对常规业务活动而设计； 9 3控制程序可能因管理部门无视其存在而失效； 4即使是设计完善的内部控制，也可能因执行人员的粗心大意、 精力分散、判断失误以及对规定的误解而失效；