企业内部审计流程及风险控制表

企业内部审计流程及风险控制工具指南一、适用范围与典型应用场景本工具适用于各类企业（含制造业、服务业、金融业、高新技术企业等）的内部审计工作，旨在通过标准化流程与风险控制表，帮助企业规范审计操作、识别潜在风险、提升管理效能。典型应用场景包括：年度常规审计：对企业财务收支、内部控制、经营管理等进行全面审计；专项审计：针对特定事项（如采购流程、销售回款、固定资产管理、信息系统安全等）开展深度审计；专项审计：针对特定事项（如采购流程、销售回款、固定资产管理、信息系统安全等）开展深度审计；并购重组审计：对目标企业财务数据、内控有效性、或有风险等进行审慎调查；新业务上线前审计：评估新业务流程的合规性、风险点及控制措施；管理层临时需求审计：根据企业战略调整或突发问题，开展定向审计（如费用异常、舞弊嫌疑等）。二、内部审计全流程操作指引（一）审计准备阶段：明确目标与基础准备确定审计目标与范围目标明确：根据企业年度审计计划、管理层需求或风险导向，确定审计核心目标（如“评估采购流程内控有效性，防范合规风险”“核查销售收入的真实性与完整性”等）；范围界定：明确审计涉及的部门、业务流程、时间周期（如“2024年上半年采购业务流程”“2023年度财务报表”）、资料范围（如合同、凭证、系统日志、会议纪要等）。组建审计小组并分工成员配置：审计小组需包含审计负责人（组长）、主审人员、财务/业务/IT等专业审计人员，必要时可聘请外部专家（如税务师、律师）；职责划分：组长统筹审计工作，制定方案并汇报进展；主审负责具体实施、证据收集与报告撰写；专业成员负责对应领域的审计测试（如IT审计人员检查系统权限控制）。制定审计方案审计方案需书面明确以下内容：审计目标、范围及时间安排（如“2024年9月1日-9月15日，完成销售部门审计”）；重点审计领域及风险点（如销售收入的“虚构收入”“收入确认时点不当”风险）；审计方法（如穿行测试、抽样检查、数据分析、访谈等）；人员分工及职责；所需资源（如调阅资料清单、系统权限申请、预算安排等）。注：审计方案需经审计负责人审批，重大审计方案需报企业管理层（如总经理、审计委员会）备案。下达审计通知提前3-5个工作日向被审计部门发出《审计通知书》，内容包括审计目标、范围、时间、小组成员、需配合事项（如资料准备、人员安排、场地提供等）；特殊情况（如突击审计）可不下达通知，但需经企业最高负责人批准。（二）审计实施阶段：现场检查与证据收集资料收集与初步审阅被审计部门需按《审计通知书》要求在规定时间内提交资料（如采购合同、验收单、付款凭证、供应商档案、销售订单、出库单、发票等）；审计小组对资料进行初步审阅，检查完整性、准确性，识别异常（如合同与订单金额不一致、发票频繁作废、费用报销无审批等），形成《资料审阅记录表》。现场检查与穿行测试穿行测试：选取1-2笔典型业务，跟踪从发生到结束的全流程（如采购业务从“需求申请→供应商选择→合同签订→入库验收→付款审批→财务付款”），验证流程设计的有效性和实际执行情况；细节测试：对关键控制点进行抽样检查（如抽查10笔采购合同，检查是否有3家以上比价记录；抽查20笔销售业务，核对发票、出库单、收款记录是否一致）；控制测试：评估内部控制设计的合理性和执行的有效性（如检查“不相容岗位分离”是否落实，审批权限是否越级）。访谈与沟通访谈对象包括被审计部门负责人、关键岗位人员（如采购专员、销售会计、仓库管理员等）；访谈前准备提纲，明确访谈重点（如“请介绍采购供应商的选择流程”“销售收入的确认时点如何确定”）；访谈过程需至少2人参与，做好《访谈记录》，由被访谈人签字确认（若被访谈人拒绝签字，需注明原因并由审计人员签字说明）。风险识别与评估根据资料审阅、现场检查、访谈结果，识别风险点（如“采购验收环节未核对实物数量，导致多付货款”“销售发票提前开具，虚增当期收入”）；评估风险等级（从“发生概率”和“影响程度”两个维度，分为高、中、低三级）：高风险：可能造成重大损失（如舞弊、重大违规）；中风险：可能造成一定损失（如流程执行偏差导致效率低下）；低风险：影响较小（如资料归档不规范）。审计证据收集与记录审计证据需充分、适当（与审计目标相关，并能可靠反映事实）；证据形式包括：书面资料（合同、凭证、报表）、电子数据（系统截图、邮件记录）、影像资料（现场照片、视频）、口头证据（访谈记录，需书面化）；所有证据需整理归档，填写《审计工作底稿》，注明证据来源、获取时间、审计人员，并由复核人员签字确认。（三）审计报告阶段：结论输出与沟通确认汇总审计发觉审计小组汇总实施阶段的审计发觉，按“问题描述-原因分析-风险影响-现有控制”分类，形成《审计发觉问题汇总表》；对问题进行定性（如“违反公司《采购管理制度》”“不符合会计准则收入确认条件”）。撰写审计报告审计报告需结构清晰、语言简练、数据准确，包含以下内容：引言（审计依据、范围、时间、目标）；被审计部门基本情况；审计发觉（问题描述、风险等级、涉及金额、典型案例）；审计意见（肯定成绩、指出问题、提出建议）；附件（《审计发觉问题汇总表》《风险控制表》等）。报告沟通与确认报告初稿完成后，先与审计小组内部讨论修改，再与被审计部门沟通，确认问题描述的准确性和客观性；被审计部门对问题有异议的，需在3个工作日内书面反馈，审计小组需复核并调整报告（若异议成立）或说明理由（若异议不成立）；沟通确认后，形成正式审计报告，由审计负责人签字，报企业管理层审批。报告审批与分发审计报告经审批后，分发给被审计部门、管理层、相关职能部门（如财务部、人力资源部）；涉及敏感信息（如舞弊嫌疑）的报告，需限定分发范围，并做好保密工作。（四）整改跟踪阶段：问题解决与闭环管理制定整改计划被审计部门需在收到审计报告后10个工作日内，制定《整改计划》，明确：整改措施（如“修订《采购验收流程》，增加实物核对环节”“对销售人员进行收入确认培训”）；责任人（部门负责人及具体经办人）；整改期限（一般不超过30天，复杂问题可延长，但需说明原因）；预期效果（如“杜绝验收与实物不符的情况”“保证收入确认时点准确”）。整改过程监控审计小组通过定期检查（如每周跟踪整改进展）、现场复核、资料调阅等方式，监控整改执行情况；对整改不力或拖延的部门，及时发出《整改提醒函》，必要时向管理层汇报。整改效果验证整改期限届满后，审计小组对整改效果进行验证，包括：重新测试相关控制流程（如抽查整改后的采购验收记录，确认是否已核对实物）；检查整改措施是否落实（如新修订的制度是否发布、培训是否开展）；评估问题是否解决（如同类问题是否再次发生）。闭环管理与归档验证合格后，填写《整改验收确认单》，由被审计部门和审计小组签字确认，实现“问题发觉-整改-验证-闭环”管理；审计过程中形成的所有资料（审计方案、工作底稿、报告、整改记录等）整理归档，保存期限不少于3年（重大审计项目需长期保存）。三、核心工具模板（含示例）（一）企业内部审计风险控制表（示例）风险点描述风险等级现有控制措施审计发觉整改建议责任部门整改期限整改状态采购验收未核对实物数量，导致多付货款高验收单需仓库、采购部签字，但未抽查实物抽查10笔采购业务，发觉3笔验收单数量与实物不符修订《采购验收流程》，增加“抽样核对实物”环节，由质检部参与验收采购部2024.10.15未完成销售发票提前开具，虚增当期收入中财务部核对出库单与发票，但未严格审核确认时点发觉2笔业务在未发货前已开票，金额50万元加强收入确认培训，明确“发货后开具发票”的硬性要求；系统设置“发货后才能开票”的控制点销售部、财务部2024.09.30已完成固定资产未贴标签，导致管理混乱低行政部负责登记台账，但未定期盘点盘点发觉5台设备无标签，无法明确责任人统一资产标签管理，每季度由行政部、财务部联合盘点行政部2024.10.30进行中（二）审计工作底稿表（示例）审计项目：2024年上半年采购业务流程审计审计期间：2024年1月1日-2024年6月30日审计人员：主审、助理审计员复核人员：审计组长底稿编号：CG-2024-001审计内容审计方法审计证据（索引号）审计结论供应商选择是否符合“3家比价”要求抽查5笔采购合同（CG-001-005）合同复印件、比价记录（CG-001-附1）2笔合同仅1家供应商报价，违反制度要求采购验收是否核对实物现场抽查3笔入库单（CG-002-004）入库单、仓库实物照片（CG-002-附2）1笔入库单数量与实物不符，验收流于形式（三）整改跟踪表（示例）审计报告编号：审计报告〔2024〕第5号被审计部门：采购部整改措施责任人计划完成时间实际完成时间验证方式验证结果验收人修订《采购验收流程》，增加实物核对环节采购经理2024.10.152024.10.12检查新制度文件（CG-003-001）新制度已发布，明确“质检部参与验收，抽样核对实物”主审对采购人员开展验收流程培训培训专员2024.10.202024.10.18培训记录（CG-003-002）、签到表培训已完成，考核通过率100%助理审计员四、关键实施要点与风险规避1.保障审计独立性与客观性审计小组需独立于被审计部门（如审计部直接向总经理或审计委员会汇报，不受其他部门干涉）；审计人员与被审计部门存在亲属关系或其他利益关联时，需主动申请回避；审计判断需基于事实和证据，避免主观臆断，对敏感问题（如舞弊）需谨慎定性，必要时通过专业机构协助。2.保证审计证据的充分性与适当性证据需“足够支持审计结论”（如发觉收入虚增，需同时核查合同、出库单、收款记录、发票等，形成证据链）；电子证据需注明来源（如“从ERP系统导出，导出时间：2024年9月10日”），并截图保存关键信息；原始证据需妥善保管，复印件需注明“与原件一致”并由被审计单位盖章。3.统一风险等级判断标准企业需制定《风险等级评估标准》，明确“发生概率”（高、中、低）和“影响程度”（重大、较大、一般）的具体定义（如“重大影响”指导致直接损失超过100万元或严重影响企业声誉）；风险等级评估需由审计小组集体讨论，避免个人判断偏差。4.强化沟通与冲突处理与被审计部门沟通时需保持专业、客观，避免情绪化表达，重点聚焦“问题如何解决”而非“责任追究”；对被审计部门的异议，需认真复核，若异议成立及时调整审计结论，若异议不成立需