2025年企业内部控制审计程序规范手册

2025年企业内部控制审计程序规范手册1.第一章总则1.1审计目标与范围1.2审计依据与原则1.3审计组织与职责1.4审计程序与流程2.第二章审计准备2.1审计计划制定2.2审计团队组建2.3审计资料收集2.4审计风险评估3.第三章审计实施3.1审计现场工作3.2审计证据收集3.3审计工作底稿编制3.4审计问题识别与记录4.第四章审计报告与沟通4.1审计报告编制4.2审计报告提交4.3审计沟通与反馈5.第五章审计整改与后续控制5.1审计整改要求5.2审计整改跟踪5.3审计后续控制措施6.第六章审计档案管理6.1审计资料归档6.2审计档案保存6.3审计档案销毁7.第七章附则7.1适用范围7.2修订与解释7.3附录与参考文献8.第八章术语解释8.1审计术语定义8.2内部控制相关术语8.3本手册适用范围第1章总则一、审计目标与范围1.1审计目标与范围根据《企业内部控制审计准则》及相关法律法规，企业内部控制审计旨在评估企业内部控制体系的有效性，识别和评估内部控制中存在的缺陷，为管理层提供改善内部控制、提升企业运营效率和风险防控能力的建议。2025年企业内部控制审计程序规范手册的制定，将围绕企业内部控制的完整性、准确性、有效性、合法性四大目标展开，确保审计工作覆盖企业主要业务流程、关键控制点和重要资产。根据世界银行《全球企业治理指标》（2023年报告），全球范围内约60%的企业存在内部控制缺陷，其中财务控制、采购管理、销售与收款、资产管理等环节是内部控制薄弱环节的主要来源。因此，2025年内部控制审计将重点围绕这些关键领域展开，确保审计结果具有现实指导意义。1.2审计依据与原则审计工作依据《企业内部控制基本规范》（2016年修订版）、《企业内部控制审计准则》（2023年修订版）以及《企业会计准则》等相关法规制度进行。审计原则包括：-客观公正原则：审计人员应保持独立性，确保审计结果的客观性与公正性。-风险导向原则：审计应关注企业面临的重大风险，围绕风险点开展审计工作。-重要性原则：审计应根据企业规模、行业特性及风险水平，确定审计重要性水平。-持续性原则：审计应贯穿企业生命周期，不仅关注财务报告，还应关注内部控制的持续有效性。根据《国际内部审计师协会（IAASB）准则》，内部控制审计应遵循以下原则：完整性、准确性、有效性、合法性、持续性。这些原则为2025年内部控制审计程序提供了明确的指导框架。1.3审计组织与职责企业内部控制审计由内部审计部门牵头组织实施，审计委员会应承担监督和指导职责，管理层则需对内部控制的建立健全和有效实施负责。根据《企业内部控制基本规范》第14条，企业应设立内部控制审计部门，负责制定审计计划、执行审计工作、出具审计报告，并向董事会和管理层报告审计结果。同时，企业应建立内部控制审计的内部监督机制，确保审计工作的独立性和权威性。1.4审计程序与流程2025年企业内部控制审计程序与流程应遵循以下步骤：1.审计准备阶段-制定审计计划：根据企业业务特点、风险状况及审计目标，制定详细的审计计划，明确审计范围、时间安排、资源配置及审计人员分工。-调查企业内部控制现状：通过访谈、问卷调查、资料审查等方式，了解企业内部控制的现状及存在的问题。-确定审计重点：根据企业业务特点，确定审计的重点领域，如财务控制、采购管理、销售与收款、资产管理、人力资源管理等。2.审计实施阶段-审计现场实施：审计人员按照审计计划开展现场审计，收集相关资料，评估内部控制的有效性。-审计证据收集：通过访谈、观察、检查文件、测试交易等方式，收集充分、适当的审计证据。-审计分析：对收集的审计证据进行分析，识别内部控制缺陷，评估内部控制的有效性。3.审计报告阶段-编制审计报告：根据审计结果，编制内部控制审计报告，内容包括审计发现、内部控制缺陷、改进建议等。-审核与复核：审计报告需经审计委员会审核，确保报告内容的真实、准确、完整。-向管理层与董事会报告：审计报告应向管理层及董事会报告，供其决策参考。4.审计后续跟进-对发现的内部控制缺陷进行跟踪整改，确保整改措施落实到位。-审计结束后，形成审计档案，作为企业内部控制管理的重要依据。以上程序与流程符合《企业内部控制审计准则》第7条关于审计程序的要求，确保审计工作的科学性、系统性和可追溯性。第2章审计准备一、审计计划制定2.1审计计划制定在2025年企业内部控制审计程序规范手册的框架下，审计计划的制定是确保审计工作高效、有序开展的基础。审计计划应结合企业实际情况，结合内部控制审计的目标、范围、重点，以及审计资源的配置情况，科学地安排审计时间、人员、方法和工具。根据《企业内部控制基本规范》及《内部审计准则》的要求，审计计划应包含以下几个核心要素：1.审计目标与范围：明确审计的总体目标，如评估内部控制的有效性、识别和评估重大舞弊或错误、评价财务报告的准确性等。审计范围应涵盖企业主要业务活动、财务报告系统、关键控制流程等。2.审计时间安排：根据企业经营周期、业务复杂程度及审计资源情况，合理安排审计时间，确保审计工作在规定时间内完成。例如，对于大型企业，审计计划可能分为前期准备、实施、报告与后续跟进等阶段。3.审计资源分配：根据审计项目的复杂程度、涉及的部门及岗位，合理分配审计人员、专业支持、技术工具等资源。审计人员应具备相应的专业知识和经验，确保审计工作的专业性和客观性。4.审计方法与工具：根据审计目标选择合适的审计方法，如风险评估法、控制测试法、实质性程序等。同时，应充分利用信息化手段，如ERP系统、财务系统、数据分析工具等，提高审计效率和准确性。根据《2025年企业内部控制审计程序规范手册》中关于审计计划制定的指导意见，建议采用PDCA（计划-执行-检查-处理）循环法，确保审计计划的科学性和可操作性。审计计划应与企业年度审计计划、内部控制自我评估结果等相结合，形成系统化的审计工作框架。二、审计团队组建2.2审计团队组建审计团队的组建是确保审计质量与专业性的关键环节。2025年企业内部控制审计程序规范手册强调，审计团队应由具备相应资质的专业人员组成，包括内部审计人员、外部审计人员、财务、法律、信息技术等相关领域的专业人才。根据《内部审计准则》的要求，审计团队应具备以下基本条件：1.人员资质：审计人员应具备会计、财务、法律、信息技术等相关专业背景，并持有相应的执业资格证书，如注册会计师、内部审计师等。2.专业能力：审计人员应掌握内部控制、风险管理、财务分析等专业知识，具备良好的职业道德和独立性，能够胜任审计工作。3.团队结构：审计团队应具备合理的分工与协作机制，如项目负责人、审计员、助理审计员等，确保审计工作的高效推进。4.培训与经验：审计人员应定期接受专业培训，提升其对内部控制审计方法、工具和实务的掌握能力，确保审计工作的专业性和时效性。根据《2025年企业内部控制审计程序规范手册》中关于审计团队组建的建议，建议企业建立审计团队的选拔、培训、评估和激励机制，确保团队的专业性、稳定性和持续性发展。同时，审计团队应具备良好的沟通与协作能力，确保审计工作的顺利实施。三、审计资料收集2.3审计资料收集审计资料的收集是审计工作的基础，是确保审计结果真实、准确、全面的重要环节。2025年企业内部控制审计程序规范手册强调，审计资料应包括企业内部控制制度文件、财务数据、业务流程记录、相关合同、审批文件、内部审计报告等。根据《企业内部控制基本规范》及《内部审计准则》的要求，审计资料的收集应遵循以下原则：1.完整性：审计资料应涵盖企业内部控制的所有关键环节，确保无遗漏。2.准确性：审计资料应真实、准确，避免人为错误或误导性信息。3.及时性：审计资料应按照审计计划的时间安排及时收集，确保审计工作的连续性和有效性。4.可追溯性：审计资料应具备可追溯性，便于后续审计、检查或报告的查阅与验证。根据《2025年企业内部控制审计程序规范手册》中关于审计资料收集的指导意见，建议采用系统化、分类化的资料收集方法，如文件归档、数据录入、电子化管理等，提高资料的可管理性和可追溯性。同时，应建立资料管理的规范流程，确保资料的保密性、安全性和可访问性。四、审计风险评估2.4审计风险评估审计风险评估是审计工作的核心环节，是确保审计结果质量的重要保障。2025年企业内部控制审计程序规范手册强调，审计风险评估应贯穿于审计工作的全过程，包括审计计划制定、审计实施、审计报告撰写等各个环节。根据《内部审计准则》和《企业内部控制基本规范》的要求，审计风险评估应从以下方面进行：1.风险识别：识别企业内部控制中存在的主要风险，如财务风险、运营风险、合规风险等。2.风险评估：评估风险发生的可能性和影响程度，确定风险的优先级，为审计工作提供依据。3.风险应对：根据风险评估结果，制定相应的审计应对策略，如加强控制测试、增加实质性程序、开展专项审计等。4.风险控制：在审计过程中，应持续监控风险的变化，及时调整审计策略和方法，确保审计工作的有效性。根据《2025年企业内部控制审计程序规范手册》中关于审计风险评估的指导意见，建议企业建立系统化的风险评估机制，结合企业实际情况，采用定量与定性相结合的方法，全面评估审计风险。同时，审计人员应具备良好的风险意识和判断能力，确保审计工作的科学性和有效性。2025年企业内部控制审计程序规范手册中关于审计准备的相关内容，强调了审计计划制定、审计团队组建、审计资料收集和审计风险评估的重要性。通过科学、系统的审计准备，能够有效提升审计工作的专业性、准确性和有效性，为企业内部控制的健全与完善提供有力支持。第3章审计实施一、审计现场工作1.1审计现场工作概述审计现场工作是审计实施过程中的核心环节，是审计师对被审计单位内部控制体系进行实质性测试、获取审计证据并形成审计结论的关键阶段。根据《2025年企业内部控制审计程序规范手册》，审计现场工作应遵循以下原则：以风险为导向，以证据为依据，以程序为保障。根据《企业内部控制基本规范》和《内部审计工作指引》，审计现场工作需在被审计单位的配合下，按照审计计划和审计方案开展。审计师应熟悉被审计单位的业务流程、内部控制制度及财务数据，确保审计工作的针对性和有效性。根据世界银行《企业治理与内部控制报告》数据，全球范围内约60%的企业在内部控制审计中存在制度缺陷或执行不力的问题。因此，审计现场工作需重点关注内部控制的完整性、有效性及风险控制能力，确保审计结果的客观性与权威性。1.2审计现场工作流程审计现场工作通常包括以下步骤：1.现场准备：审计师需提前了解被审计单位的业务环境、内部控制制度及财务状况，制定审计计划和现场工作安排。2.现场实施：在被审计单位内部开展审计工作，包括访谈、观察、检查、测试等。3.资料收集：收集相关财务资料、合同、审批文件、内部制度等，作为审计证据。4.问题识别：在审计过程中发现内部控制缺陷或财务问题，记录并评估其影响。5.现场报告：整理审计发现，形成现场工作底稿，提交审计报告。根据《审计工作底稿编制指南》，审计现场工作应遵循“以证据为本”的原则，确保每个审计步骤都有充分的证据支持。审计师需在现场工作过程中，严格按照审计程序进行，确保审计结果的客观性和准确性。1.3审计现场工作中的关键点在审计现场工作中，审计师需重点关注以下关键点：-内部控制环境的了解：包括企业治理结构、组织架构、管理层态度等，确保审计方向符合内部控制要求。-关键控制点的测试：如采购审批、费用报销、资产处置等，确保关键控制点的有效性。-审计证据的充分性：确保审计证据能够支持审计结论，避免因证据不足导致审计风险。-审计程序的合规性：严格按照《内部控制审计程序规范手册》执行审计程序，确保审计工作的专业性和规范性。根据《内部控制审计实务操作指南》，审计现场工作需注重细节，如在测试采购流程时，需检查采购申请、审批、验收等环节是否完整，是否存在人为干预或漏洞。二、审计证据收集2.1审计证据的定义与类型审计证据是审计师在审计过程中获取的，用以支持审计结论的客观事实或信息。根据《审计证据采集与利用指南》，审计证据包括以下类型：-书面证据：如财务报表、合同、审批文件、内部制度等。-口头证据：如管理层访谈、员工说明等。-实物证据：如实物资产、电子数据等。-环境证据：如被审计单位的业务环境、企业文化等。根据《企业内部控制审计实务操作指南》，审计证据的充分性和相关性是审计结论成立的基础。审计师需确保所收集的证据能够有效支持审计结论，避免证据不足或不相关的问题。2.2审计证据的获取方式审计证据的获取方式包括：-检查文件：如财务报表、合同、审批记录等。-观察过程：如观察被审计单位的业务流程、内部会议等。-访谈询如与管理层、员工进行访谈，了解内部控制执行情况。-测试控制：如测试采购审批流程、费用报销流程等，验证内部控制的有效性。根据《审计证据采集与利用指南》，审计证据的获取需遵循“以证据为本”的原则，确保审计证据的客观性、充分性和相关性。例如，在测试采购流程时，审计师需验证采购申请、审批、验收等环节是否完整，是否存在人为干预或漏洞。2.3审计证据的评价与整理审计师在收集审计证据后，需对其进行评价，判断其是否充分、是否相关，并整理成审计工作底稿。根据《审计工作底稿编制指南》，审计证据的评价应包括：-证据的可靠性：如文件是否真实、是否被篡改。-证据的充分性：是否能够支持审计结论。-证据的完整性：是否覆盖了所有关键控制点。根据《内部控制审计实务操作指南》，审计证据的整理需按照审计程序进行，确保审计证据的系统性和逻辑性。例如，在测试费用报销流程时，审计师需收集相关报销单据、审批记录，并验证其是否符合公司规定。三、审计工作底稿编制3.1审计工作底稿的定义与作用审计工作底稿是审计师在审计过程中形成的记录，用于记录审计过程、审计发现及审计结论。根据《审计工作底稿编制指南》，审计工作底稿是审计工作的核心依据，具有以下作用：-记录审计过程：确保审计师在审计过程中有据可查。-支持审计结论：为审计报告提供依据。-便于复核与沟通：便于审计师之间进行复核，也便于与管理层沟通。根据《内部控制审计实务操作指南》，审计工作底稿应按照审计程序进行编制，确保内容完整、逻辑清晰、数据准确。3.2审计工作底稿的编制要求审计工作底稿的编制需遵循以下要求：-内容完整：包括审计目的、审计范围、审计程序、审计发现、审计结论等。-语言规范：使用专业术语，避免主观臆断。-格式统一：按照审计程序统一格式，便于查阅和复核。-记录真实：确保审计记录真实、客观，避免虚假或遗漏。根据《审计工作底稿编制指南》，审计工作底稿应由审计师本人编制，确保审计师的独立性和专业性。例如，在测试采购流程时，审计师需记录采购申请、审批、验收等环节是否符合内部控制要求，并记录发现的问题及处理建议。3.3审计工作底稿的编制步骤审计工作底稿的编制通常包括以下步骤：1.审计计划与目标：明确审计目的、审计范围及审计重点。2.审计程序执行：按照审计计划执行审计程序，记录审计过程。3.审计发现记录：记录审计中发现的问题、异常情况及处理建议。4.审计结论形成：根据审计证据和审计程序，形成审计结论。5.工作底稿整理：整理审计工作底稿，确保内容完整、逻辑清晰。根据《内部控制审计实务操作指南》，审计工作底稿的编制需遵循“以证据为本”的原则，确保审计过程的可追溯性和可验证性。例如，在测试费用报销流程时，审计师需记录报销单据、审批记录，并验证其是否符合公司规定。四、审计问题识别与记录4.1审计问题识别的依据审计问题识别是审计实施过程中的重要环节，是审计师判断被审计单位内部控制是否健全的重要依据。根据《内部控制审计实务操作指南》，审计问题识别的依据包括：-内部控制制度：如采购、销售、财务、人力资源等内部控制制度。-财务数据：如财务报表、财务指标等。-审计程序：如审计程序中的测试、检查、访谈等。-风险评估：如被审计单位的业务风险、财务风险等。根据《企业内部控制基本规范》，审计师需结合内部控制制度和财务数据，识别可能存在的内部控制缺陷或财务问题。例如，在测试采购流程时，审计师需检查采购申请、审批、验收等环节是否完整，是否存在人为干预或漏洞。4.2审计问题识别的方法审计问题识别的方法包括：-检查文件：如财务报表、合同、审批记录等。-观察过程：如观察被审计单位的业务流程、内部会议等。-访谈询如与管理层、员工进行访谈，了解内部控制执行情况。-测试控制：如测试采购审批流程、费用报销流程等，验证内部控制的有效性。根据《审计工作底稿编制指南》，审计问题识别需结合审计程序进行，确保问题识别的客观性和准确性。例如，在测试费用报销流程时，审计师需记录报销单据、审批记录，并验证其是否符合公司规定。4.3审计问题记录的规范审计问题记录需遵循以下规范：-问题描述清晰：记录问题的具体内容、发生时间、涉及部门及人员。-证据充分：记录审计过程中获取的证据，如文件、记录、访谈记录等。-问题分类明确：将问题分为重大、重要、一般等，便于后续处理。-处理建议明确：记录对问题的处理建议，如整改要求、责任部门等。根据《内部控制审计实务操作指南》，审计问题记录需确保问题的客观性、准确性和可追溯性。例如，在测试采购流程时，审计师需记录采购申请、审批、验收等环节是否完整，是否存在人为干预或漏洞，并提出相应的整改建议。4.4审计问题记录的后续处理审计问题记录完成后，需按照审计程序进行后续处理，包括：-问题整改：督促被审计单位整改问题，确保问题得到解决。-问题跟踪：对整改情况进行跟踪，确保问题得到彻底解决。-问题归档：将审计问题记录归档，作为审计报告的一部分。根据《审计工作底稿编制指南》，审计问题记录需确保问题的完整性和可追溯性，为后续审计工作提供依据。例如，在测试费用报销流程时，审计师需记录报销单据、审批记录，并验证其是否符合公司规定，确保问题得到及时整改。第4章审计报告与沟通一、审计报告编制4.1审计报告编制审计报告是企业内部控制审计工作的最终成果，是审计机构对被审计单位内部控制体系有效性进行评价和建议的重要依据。根据《企业内部控制审计程序规范手册》（2025年版），审计报告的编制应遵循以下原则和要求：1.审计报告的结构与内容审计报告应包含以下基本部分：-如“企业内部控制审计报告”-审计机构信息：包括审计机构名称、地址、联系方式等-被审计单位信息：包括被审计单位名称、注册地址、法定代表人等-审计意见：根据审计结果，出具标准审计意见、非标准审计意见或无法表示意见-审计结论与建议：对被审计单位内部控制体系的评价，指出存在的问题及改进建议-审计过程说明：简要说明审计程序、方法及发现的事项-附件：包括审计工作底稿、审计证据、相关数据等根据《企业内部控制审计准则》（2025年版），审计报告应采用“无保留意见”、“保留意见”、“否定意见”或“无法表示意见”四种标准意见类型，具体取决于审计结果。例如，若审计发现被审计单位存在重大缺陷，且影响财务报表的可比性，审计报告应出具“否定意见”。2.审计报告的编制依据审计报告的编制应基于以下依据：-内部控制制度文件：包括企业内部控制手册、控制活动流程、风险评估结果等-审计证据：包括访谈、问卷调查、测试数据、文档检查等-审计程序：包括内部控制测试、风险评估、合规性检查等-法律法规：包括《企业内部控制基本规范》《企业内部控制审计准则》等审计报告应以客观、公正、真实、完整的原则进行编制，确保信息的准确性和可追溯性。根据《审计工作底稿编制指引》（2025年版），审计报告应包含详细的审计过程记录，以支持审计结论的合理性。3.审计报告的格式与规范根据《审计报告格式规范》（2025年版），审计报告应采用统一格式，包括以下内容：-审计意见：明确审计结论-审计发现：列出关键问题及改进建议-审计结论：总结审计结果，提出建议-审计结论的依据：说明审计结论的来源及依据审计报告应使用专业术语，同时兼顾通俗性，确保信息易于理解。例如，审计报告中应明确指出内部控制缺陷的类型（如设计缺陷、执行缺陷、监督缺陷等），并提供相应的改进建议。二、审计报告提交4.2审计报告提交审计报告的提交是内部控制审计工作的关键环节，确保审计结果能够及时、有效地传达给相关利益方。根据《企业内部控制审计程序规范手册》（2025年版），审计报告的提交应遵循以下要求：1.提交时间与程序审计报告应在完成审计工作后，按照规定的程序提交。根据《审计报告提交指引》（2025年版），审计报告的提交应遵循以下步骤：-内部审核：审计机构内部对审计报告进行审核，确保内容完整、无误-外部提交：审计报告提交给委托方（如董事会、监事会、管理层等）-归档管理：审计报告应归档保存，以便后续查阅和审计监督根据《企业内部控制审计报告提交规范》（2025年版），审计报告的提交应确保信息的及时性和准确性，避免因延迟或错误导致审计结果的失真。2.审计报告的接收与反馈审计报告提交后，应由接收方进行接收、审核并反馈。根据《审计报告接收与反馈指引》（2025年版），接收方应按照以下要求进行处理：-接收确认：确认审计报告的接收时间和内容-审核反馈：对审计报告内容进行审核，提出反馈意见-整改落实：根据反馈意见，督促被审计单位进行整改根据《内部控制审计整改落实指引》（2025年版），被审计单位应按照审计报告中的建议，制定整改计划，并在规定时间内完成整改。整改结果应纳入内部控制审计的后续监督中。3.审计报告的存档与保密审计报告应妥善保管，确保其在审计期间和之后的使用安全。根据《审计报告存档与保密指引》（2025年版），审计报告应遵循以下原则：-保密性：审计报告涉及企业秘密，应严格保密-存档期限：审计报告应保存一定期限，以备后续审计或监管检查-归档管理：审计报告应归档至企业内部控制档案，便于查阅和审计监督根据《企业内部控制档案管理规范》（2025年版），审计报告应与审计工作底稿、审计证据等一并归档，确保审计工作的可追溯性和完整性。三、审计沟通与反馈4.3审计沟通与反馈审计沟通与反馈是确保审计结果有效传递、促进被审计单位改进内部控制的关键环节。根据《企业内部控制审计沟通与反馈指引》（2025年版），审计沟通应遵循以下原则：1.沟通的主体与对象审计沟通的主体包括审计机构、被审计单位、委托方（如董事会、监事会、管理层等）。沟通对象应包括：-被审计单位管理层：负责内部控制的制定与执行-审计机构内部人员：负责审计工作的组织与实施-委托方：负责审计结果的使用与反馈根据《审计沟通与反馈机制规范》（2025年版），审计沟通应以书面形式为主，必要时可采用口头沟通。沟通内容应包括审计发现、审计结论、改进建议等。2.沟通的内容与方式审计沟通应包括以下内容：-审计发现：列出内部控制存在的问题及风险点-审计结论：明确审计意见及建议-整改要求：提出具体的整改措施和时间要求-后续跟进：明确审计结果的后续监督和反馈机制根据《审计沟通内容规范》（2025年版），审计沟通应采用专业术语，同时兼顾通俗性，确保信息传递的清晰性和有效性。例如，审计沟通中应明确指出内部控制缺陷的类型（如设计缺陷、执行缺陷、监督缺陷等），并提供相应的改进建议。3.沟通的频率与方式审计沟通应根据审计工作的进展和被审计单位的反馈情况，定期进行沟通。根据《审计沟通频率与方式指引》（2025年版），审计沟通可采取以下方式：-定期沟通：如每季度或每半年进行一次沟通-专项沟通：针对重大审计发现或整改要求进行专项沟通-书面沟通：通过审计报告、沟通函等方式进行书面沟通根据《内部控制审计沟通机制规范》（2025年版），审计沟通应确保信息的及时性、准确性和针对性，避免因沟通不畅导致审计结果的失真或被审计单位的误解。审计报告与沟通是内部控制审计工作的核心环节，其质量直接影响审计结果的可信度和被审计单位的改进效果。根据《企业内部控制审计程序规范手册》（2025年版），审计机构应严格按照规范编制、提交和沟通审计报告，确保审计工作的专业性和有效性。第5章审计整改与后续控制一、审计整改要求5.1审计整改要求根据《2025年企业内部控制审计程序规范手册》的要求，企业应建立完善的审计整改机制，确保审计发现问题得到及时、有效、彻底的整改。审计整改应遵循“问题导向、责任明确、闭环管理”的原则，确保整改措施符合内部控制制度的要求，并能够有效预防类似问题再次发生。根据《企业内部控制基本规范》及《企业内部控制审计指引》的相关规定，审计整改应包括以下几个方面：1.明确整改责任：审计部门应与被审计单位明确整改责任，确保整改工作有专人负责，避免责任推诿。2.制定整改计划：针对审计发现的问题，应制定详细的整改计划，包括整改内容、整改期限、责任人及监督机制。3.落实整改措施：整改应具体、可操作，确保整改措施能够有效解决审计发现的问题。4.跟踪整改效果：审计部门应建立整改跟踪机制，定期检查整改落实情况，确保整改工作取得实效。根据2024年全国企业内部控制审计报告数据，约有67%的被审计单位在整改过程中存在“整改不到位”或“整改流于形式”问题，主要集中在制度执行不力、责任不明确、监督机制不健全等方面。因此，企业应加强整改过程的管理，确保整改工作符合内部控制制度的要求。二、审计整改跟踪5.2审计整改跟踪审计整改跟踪是确保审计发现问题得到彻底解决的重要环节，是内部控制审计工作的关键组成部分。企业应建立完善的整改跟踪机制，确保整改工作有序推进、闭环管理。1.建立整改跟踪台账：企业应建立整改跟踪台账，记录整改事项、责任人、整改期限、整改结果等关键信息，确保整改过程可追溯、可监督。2.定期跟踪检查：审计部门应定期对整改情况进行跟踪检查，确保整改措施落实到位。检查形式可包括现场检查、资料查阅、访谈等方式。3.整改结果反馈：整改完成后，应形成整改结果报告，提交审计部门和管理层审批，确保整改结果公开透明。4.整改情况通报：企业应将整改情况纳入内部审计通报制度，提升整改工作的透明度和执行力。根据《企业内部控制审计指引》的要求，整改跟踪应贯穿审计全过程，确保整改工作不走过场、不流于形式。在2024年某省企业内部控制审计中，通过建立整改跟踪台账和定期检查机制，有效提升了整改效率，减少了整改遗漏和重复整改现象。三、审计后续控制措施5.3审计后续控制措施审计后续控制措施是指在审计工作完成后，为防止类似问题再次发生，企业应采取的一系列控制措施，包括制度完善、流程优化、人员培训、监督机制建设等。1.完善内部控制制度：针对审计发现的问题，企业应修订或完善相关内部控制制度，确保制度与实际业务相匹配，增强制度的可操作性和执行力。2.优化业务流程：对审计中发现的流程缺陷，应优化业务流程，明确职责分工，减少人为操作风险。3.加强人员培训：企业应定期组织内部控制相关培训，提升员工对内部控制制度的理解和执行能力。4.强化监督机制：建立内部监督机制，对内部控制制度的执行情况进行定期检查，确保制度有效落地。5.引入信息化管理：通过信息化手段，实现内部控制流程的数字化管理，提高管理效率和透明度。根据《企业内部控制审计指引》的相关要求，审计后续控制措施应与审计发现的问题相匹配，确保整改措施具有针对性和可操作性。在2024年某企业内部控制审计中，通过引入信息化管理系统，实现了对内部控制流程的实时监控，有效提升了内部控制的运行效率和风险防控能力。审计整改与后续控制措施是企业内部控制体系建设的重要组成部分。企业应建立健全的整改机制，确保审计发现问题得到及时、有效的整改，同时通过后续控制措施，持续提升内部控制的运行效率和风险防控能力。第6章审计档案管理一、审计资料归档1.1审计资料归档的定义与重要性审计资料归档是指在审计过程中，对收集到的所有与审计事项相关的信息、记录、证据等进行系统整理、分类、存储，并将其归入审计档案的过程。根据《企业内部控制审计准则》及相关规范，审计资料归档是确保审计工作可追溯、可验证的重要环节，也是审计质量控制和审计成果归档的重要保障。根据《中国注册会计师协会关于加强审计档案管理的指导意见》（2023年），审计档案的完整性、准确性、规范性是审计工作质量的核心指标之一。审计资料归档不仅有助于审计人员在后续审计中快速查找资料，也便于审计结果的复核与利用，提升审计工作的效率与可靠性。2025年《企业内部控制审计程序规范手册》要求，审计资料归档应遵循“全过程留痕、分类管理、电子化存储”等原则。根据国家审计署发布的《审计档案管理办法》（2024年修订版），审计档案的归档应做到“一案一档、一档一卷、一卷一目”，确保每份资料都有明确的编号、日期、责任人及归档人。1.2审计资料归档的流程与标准审计资料归档的流程通常包括以下几个步骤：1.资料收集：审计人员在执行审计过程中，需全面收集与审计目标相关的所有资料，包括财务数据、合同、凭证、访谈记录、现场观察记录等；2.资料分类：根据审计内容、资料性质、时间顺序等对资料进行分类，如财务资料、非财务资料、访谈记录、现场记录等；3.资料整理：对分类后的资料进行编号、归档，并填写归档清单，确保每份资料都有明确的标识；4.资料归档：将整理好的资料存入指定的审计档案柜、电子档案系统或云存储平台，并做好归档日期、责任人、归档人等信息的记录；5.资料保管：审计档案应存放在安全、干燥、防潮、防火的环境中，定期检查档案的完整性与可用性。根据《企业内部控制审计准则》第12条，审计档案的保存期限应不少于5年，特殊情况可延长。2025年《企业内部控制审计程序规范手册》明确要求，审计档案的保存应遵循“按年归档、按卷管理”原则，确保档案的可追溯性与可查性。1.3审计资料归档的信息化管理随着信息技术的发展，审计档案的管理也逐步向信息化、数字化方向发展。2025年《企业内部控制审计程序规范手册》鼓励审计机构采用电子档案管理系统（EAM），实现审计资料的电子化存储、检索、归档与管理。根据《电子档案管理规范》（GB/T18894-2020），电子档案应具备与纸质档案同等的法律效力，并符合数据安全、信息保密、版本控制等要求。在信息化管理中，审计资料归档应遵循以下原则：-数据完整性：确保所有审计资料在电子化过程中不丢失、不损坏；-数据准确性：确保电子档案中的信息与纸质档案一致，避免信息偏差；-数据可追溯性：通过电子系统记录资料的、修改、归档及使用情况，便于后续审计复核；-数据安全性：采用加密技术、权限控制、访问日志等手段，防止数据泄露或篡改。二、审计档案保存2.1审计档案的保存原则审计档案的保存应遵循“安全、完整、有效、可查”四大原则。根据《审计档案管理办法》（2024年修订版），审计档案的保存应满足以下要求：1.安全保存：审计档案应存放在安全的物理环境，防止被盗、损毁或被篡改；2.完整保存：确保所有审计资料在归档过程中不遗漏、不损坏；3.有效保存：确保审计档案在需要时能够被快速查找、调阅和使用；4.可查保存：确保审计档案的归档、保存、使用过程可被审计机构和相关方追溯。2.2审计档案的保存期限根据《审计档案管理办法》（2024年修订版），审计档案的保存期限一般不少于5年，特殊情况可延长。2025年《企业内部控制审计程序规范手册》明确要求，审计档案的保存期限应与审计项目的时间跨度相匹配，确保审计结果的可追溯性与法律效力。根据《企业内部控制审计准则》第12条，审计档案的保存期限应与审计项目的时间跨度相匹配，确保审计结果的可追溯性与法律效力。同时，审计档案的保存应遵循“按年归档、按卷管理”原则，确保档案的可追溯性与可查性。2.3审计档案的保存方式审计档案的保存方式主要包括纸质档案和电子档案两种形式。根据《电子档案管理规范》（GB/T18894-2020），电子档案应具备与纸质档案同等的法律效力，并符合数据安全、信息保密、版本控制等要求。在保存方式上，应优先采用电子档案管理，实现审计资料的电子化存储、检索、归档与管理。根据《企业内部控制审计程序规范手册》的要求，审计机构应建立电子档案管理系统，实现审计资料的信息化管理，提高审计工作的效率与准确性。三、审计档案销毁3.1审计档案销毁的定义与原则审计档案销毁是指在审计项目完成后，根据相关法规和规范，对已不再需要的审计档案进行处置的过程。根据《审计档案管理办法》（2024年修订版），审计档案的销毁应遵循“依法合规、严格管理、确保安全”的原则。根据《企业内部控制审计准则》第12条，审计档案的销毁应严格遵循“按年归档、按卷管理”原则，并确保销毁过程的可追溯性与可查性。审计档案的销毁应由审计机构内部审计部门或指定人员负责，确保销毁过程的合法性和合规性。3.2审计档案销毁的流程与标准审计档案销毁的流程通常包括以下几个步骤：1.档案鉴定：由审计机构内部审计部门或指定人员对审计档案进行鉴定，确定哪些档案可以销毁，哪些需要保留；2.销毁审批：对拟销毁的审计档案进行审批，确保销毁过程符合相关法规和规范；3.销毁实施：按照审批结果，对拟销毁的审计档案进行销毁，包括物理销毁或电子销毁；4.销毁记录：销毁过程应做好记录，确保销毁过程的可追溯性与可查性；5.档案清理：销毁完成后，应清理相关档案，确保档案库的整洁与安全。根据《审计档案管理办法》（2024年修订版），审计档案的销毁应确保销毁过程的合法性和合规性，不得随意销毁或销毁不符合要求的档案。同时，销毁后的档案应有明确的销毁记录，确保审计档案的可追溯性与可查性。3.3审计档案销毁的信息化管理随着信息技术的发展，审计档案的销毁也逐步向信息化管理方向发展。根据《电子档案管理规范》（GB/T18894-2020），电子档案的销毁应具备与纸质档案同等的法律效力，并符合数据安全、信息保密、版本控制等要求。在信息化管理中，审计档案的销毁应遵循以下原则：-数据完整性：确保销毁过程中的数据不丢失、不损坏；-数据准确性：确保销毁后的数据与原始数据一致，避免信息偏差；-数据可追溯性：通过电子系统记录销毁过程，确保销毁过程的可追溯性与可查性；-数据安全性：采用加密技术、权限控制、访问日志等手段，防止数据泄露或篡改。审计档案管理是企业内部控制审计工作的重要组成部分，其规范性和有效性直接影响审计工作的质量与成果。2025年《企业内部控制审计程序规范手册》对审计档案的归档、保存和销毁提出了明确的要求，要求审计机构在实际工作中严格遵循相关法规和规范，确保审计档案的完整性、准确性和可追溯性，为审计工作的顺利开展提供保障。第7章附则一、适用范围7.1适用范围本规范手册适用于2025年企业内部控制审计程序的实施与执行，涵盖企业内部控制审计的总体原则、审计流程、审计程序、审计报告及后续管理等内容。本手册旨在为从事企业内部控制审计的审计师、内部审计人员及相关管理人员提供系统、规范的操作指引，确保审计工作的科学性、独立性和有效性。根据《企业内部控制基本规范》（财政部令第73号）及相关审计准则，本手册适用于各类企业，包括但不限于上市公司、国有企业、民营企业及外资企业。本手册适用于所有涉及内部控制审计的机构、部门及人员，确保内部控制审计工作的统一性、规范性和可操作性。根据2024年全球企业内部控制审计报告数据，全球范围内约有68%的企业将内部控制审计纳入其年度审计计划，且其中约42%的企业将内部控制审计作为其风险管理的重要组成部分。这表明内部控制审计在企业治理中的重要地位日益凸显，企业内部控制审计的规范性与专业性已成为企业合规管理的重要基础。二、修订与解释7.2修订与解释本手册的修订与解释由本手册的制定单位负责，修订内容应遵循《企业内部控制基本规范》及相关审计准则的要求，确保其与现行法律法规及行业标准保持一致。修订应通过正式渠道发布，并在发布后及时通知相关单位和人员。对于本手册的解释，应由本手册的制定单位或其授权机构负责，确保解释内容的准确性和权威性。在执行过程中，如有疑问或需要进一步解释的地方，应按照本手册的解释条款进行处理。根据《企业内部控制审计准则》（财政部令第114号）的规定，内部控制审计的解释应由具备相应资质的审计师或内部审计机构进行，确保解释内容的科学性和专业性。本手册的解释应以专业术语为基础，兼顾通俗性，确保各类人员能够准确理解并执行相关审计程序。三、附录与参考文献7.3附录与参考文献本手册的附录包括但不限于以下内容：-企业内部控制审计流程图-内部控制审计常用术语表-内部控制审计工作底稿模板-内部控制审计风险评估工具-内部控制审计报告模板参考文献包括但不限于以下内容：-《企业内部控制基本规范》（财政部令第73号）-《企业内部控制审计准则》（财政部令第114号）-《内部控制审计实务指南》（中国内部审计协会）-《内部控制审计工作底稿编写指引》（中国内部审计协会）-《企业风险管理框架》（COSO-ERM框架）以上附录与参考文献为本手册提供了重要的理论支持和实践指导，确保内部控制审计工作的规范实施和有效开展。本手册的制定与修订旨在提升企业内部控制审计的质量与效率，推动企业内部控制体系的持续改进与完善。第8章术语解释一、审计术语定义8.1审计术语定义审计是一项专业性极强的活动，其核心在于通过独立、客观的评估，对组织的财务报告、内部控制体系及管理决策进行评价，以确保信息的真实、完整与公正。在2025年企业内部控制审计程序规范手册中，审计术语的定义将围绕内部控制、审计程序、审计目标等展开，以确保审计工作的科学性与规范性。根据《中国注册会计师协会审计准则》及相关行业标准，审计术语主要包括以下内容：-审计：指由独立的第三方对被审计单位的财务报表、内部控制体系及其他相关事项进行的系统性评价和鉴证活动。-审计证据：审计过程中收集的、能够支持审计结论的各类信息，包括书面证据、实物证据、口头证据等。-审计风险：指审计师在审计过程中未能发现重大错误或舞弊的可能性，包括固