某审计公司内控审计执行工作方案

某审计公司内控审计执行工作方案

一、引言随着经济环境的日益复杂和企业管理要求的不断提高，内部控制审计在保障企业合规运营、防范风险等方面发挥着愈发重要的作用。为进一步规范本审计公司内控审计执行工作，提高审计质量，更好地为客户提供专业服务，特制定本工作方案。本方案旨在明确内控审计执行的流程、方法、标准以及人员职责，确保内控审计工作有序、高效开展，充分发挥内控审计的监督与评价职能，助力企业实现战略目标。二、目标与范围（一）目标1.对被审计单位内部控制的设计与运行有效性进行全面、客观的评价，识别内部控制存在的缺陷和风险点。2.通过审计提出针对性的改进建议，帮助被审计单位完善内部控制体系，提高内部控制的有效性和执行力。3.增强被审计单位管理层和员工对内部控制重要性的认识，促进企业形成良好的内部控制文化。（二）范围1.本方案适用于本审计公司承接的所有内部控制审计项目。2.审计范围涵盖被审计单位与财务报告相关的内部控制，包括但不限于控制环境、风险评估过程、信息系统与沟通、控制活动以及对控制的监督等要素。同时，可根据客户需求和项目实际情况，适当拓展至与非财务报告相关的内部控制领域。三、审计团队组建与职责分工（一）团队组建根据项目规模和复杂程度，组建专业的内控审计团队。团队成员应具备丰富的审计经验、专业的内部控制知识以及良好的沟通协调能力。团队成员通常包括项目负责人、审计专员和必要的技术专家。（二）职责分工1.项目负责人-负责整体项目的规划、组织、协调和监督，确保审计工作按照计划和标准顺利进行。-与被审计单位管理层沟通协调，了解项目背景、目标和要求，获取必要的支持与配合。-对审计工作底稿和审计报告进行审核，对审计结果负责。-负责向公司管理层汇报项目进展情况和重大问题。2.审计专员-按照审计计划和程序，具体实施内部控制审计工作，收集、整理和分析审计证据。-编写审计工作底稿，详细记录审计过程和发现的问题。-协助项目负责人开展审计沟通工作，向被审计单位相关人员询问情况、获取资料。-根据审计发现提出初步的审计建议。3.技术专家-为审计团队提供专业技术支持，解答审计过程中遇到的复杂技术问题。-参与制定和审核与特定技术领域相关的审计程序和方法。-对涉及信息技术内部控制的项目，负责评估信息系统的安全性、可靠性和有效性。四、审计准备阶段（一）了解被审计单位基本情况1.收集被审计单位的背景资料，包括企业性质、组织架构、经营范围、经营规模、发展战略等信息。2.查阅被审计单位的相关文件，如公司章程、管理制度、财务报表、内部审计报告等，了解其内部控制的基础和现状。3.与被审计单位管理层及相关人员进行访谈，了解企业的运营模式、业务流程、内部控制制度的执行情况以及面临的主要风险。（二）签订审计业务约定书在与被审计单位充分沟通并达成一致意见后，签订审计业务约定书。业务约定书应明确双方的权利和义务，包括审计目标、范围、审计收费、审计报告的用途和提交时间等重要事项。（三）制定审计计划1.总体审计策略项目负责人根据了解到的被审计单位基本情况，制定总体审计策略。总体审计策略应确定审计范围、审计时间安排、审计方向以及审计资源的分配等事项。2.具体审计计划审计专员在总体审计策略的基础上，制定具体审计计划。具体审计计划应详细描述审计程序的性质、时间安排和范围，包括风险评估程序、控制测试和实质性程序等。审计计划应根据审计过程中的实际情况进行动态调整和完善。（四）初步风险评估1.运用风险评估方法，识别被审计单位内部控制可能存在的重大风险领域。风险评估方法包括但不限于问卷调查、访谈、流程图分析、穿行测试等。2.对识别出的风险进行分析和评估，确定风险的重要性水平和发生的可能性，为后续审计程序的设计提供依据。五、审计实施阶段（一）风险评估程序1.控制环境评估-评价被审计单位的治理结构，包括董事会、监事会的组成和运作情况，是否存在有效的监督机制。-考察管理层的诚信和道德价值观，以及对内部控制的重视程度和管理理念。-评估人力资源政策与实务，包括员工招聘、培训、考核和晋升等方面，是否有利于营造良好的内部控制环境。2.风险评估过程评估-了解被审计单位是否建立了有效的风险识别、评估和应对机制，是否定期对内外部风险进行识别和分析。-评估被审计单位对风险的承受能力和风险偏好，以及风险应对策略的合理性和有效性。3.信息系统与沟通评估-审查被审计单位的信息系统，包括财务信息系统和业务信息系统，评估其安全性、可靠性和有效性。-检查信息系统是否能够及时、准确地收集、处理和传递与内部控制相关的信息，以及内部各部门之间、企业与外部利益相关者之间的沟通是否顺畅。4.控制活动评估-对被审计单位的主要业务流程进行梳理，确定关键控制环节和控制点。-采用抽样测试、实地观察、检查文件记录等方法，对控制活动的执行情况进行测试，评估控制活动是否有效运行。5.对控制的监督评估-了解被审计单位是否建立了有效的内部监督机制，包括内部审计、管理层监督等。-检查内部监督的频率、范围和效果，以及发现的问题是否得到及时整改。（二）控制测试1.在风险评估的基础上，确定需要进行控制测试的控制活动。控制测试的范围应根据风险评估的结果和控制活动的重要性来确定。2.采用适当的控制测试方法，如询问、观察、检查、重新执行等，获取控制运行有效性的审计证据。3.对控制测试的结果进行评价，判断控制是否有效运行。如果控制测试结果不理想，应考虑扩大实质性程序的范围。（三）实质性程序1.针对评估的重大错报风险，设计和实施实质性程序。实质性程序包括对各类交易、账户余额和披露的细节测试以及实质性分析程序。2.通过实质性程序获取充分、适当的审计证据，以证实财务报表的真实性、准确性和完整性。3.对实质性程序的结果进行评价，如发现重大错报，应及时与被审计单位沟通，并要求其进行调整。六、审计报告阶段（一）审计工作底稿的整理与复核1.审计专员在审计工作结束后，对审计工作底稿进行整理和完善，确保工作底稿内容完整、记录清晰、证据充分。2.项目负责人对审计工作底稿进行全面复核，检查审计程序的执行是否符合审计计划和审计准则的要求，审计证据是否充分、适当，审计结论是否合理。（二）编制审计报告1.根据审计工作底稿和审计结果，项目负责人编制内部控制审计报告。审计报告应包括审计目标、审计范围、审计依据、审计程序、审计发现的问题、审计意见以及改进建议等内容。2.审计报告应语言规范、表述准确、条理清晰，客观公正地反映被审计单位内部控制的实际情况。（三）审计报告的沟通与出具1.在出具审计报告前，项目负责人应与被审计单位管理层进行沟通，就审计发现的问题和审计意见进行充分交流，听取被审计单位的意见和解释。2.根据沟通情况，对审计报告进行必要的修改和完善。经公司管理层审核批准后，向被审计单位出具正式的内部控制审计报告。七、后续跟踪与服务（一）后续跟踪1.在审计报告出具后的一定期限内，对被审计单位内部控制改进情况进行跟踪检查。跟踪检查的重点是被审计单位对审计报告中提出的问题是否采取了有效的整改措施，以及整改措施的执行效果。2.要求被审计单位定期向本审计公司提交内部控制整改情况报告，审计团队根据报告内容和实地检查情况，对整改效果进行评价。（二）增值服务1.根据被审计单位的实际需求，为其提供内部控制咨询服务，帮助被审计单位进一步完善内部控制体系。2.举办内部控制培训讲座，提高被审计单位管理层和员工对内部控制的认识和理解，促进内部控制文化的建设。八、附则1.本工作方案自发布之日