企业内部控制审计规范手册

企业内部控制审计规范手册第1章总则1.1审计目的与范围1.2审计依据与准则1.3审计组织与职责1.4审计程序与流程第2章审计准备与计划2.1审计计划制定2.2审计团队组建2.3审计资料收集与准备2.4审计风险评估与应对第3章审计实施与执行3.1审计现场工作3.2审计证据收集与整理3.3审计工作底稿编制3.4审计问题识别与记录第4章审计报告与沟通4.1审计报告编制与提交4.2审计结果沟通与反馈4.3审计意见的提出与处理4.4审计整改落实跟踪第5章审计后续管理5.1审计档案管理5.2审计问题整改跟踪5.3审计成果应用与提升5.4审计持续改进机制第6章附则6.1适用范围与对象6.2修订与废止6.3术语解释第7章附件7.1审计工作底稿模板7.2审计问题分类标准7.3审计风险评估表7.4审计报告格式规范第8章附录8.1审计人员资格要求8.2审计工作流程图8.3审计相关法律法规清单第1章总则一、审计目的与范围1.1审计目的与范围企业内部控制审计是审计工作的重要组成部分，其核心目的是评估企业内部控制体系的有效性，确保企业运营符合法律法规、行业规范及企业内部治理要求。通过审计，可以识别和评估企业在财务报告、风险管理、合规经营、资源利用等方面存在的内部控制缺陷，从而提升企业的运营效率与风险控制能力。根据《企业内部控制基本规范》（财会[2016]19号）及相关审计准则，内部控制审计的目标包括：-评估企业内部控制体系的设计与运行是否符合《企业内部控制基本规范》的要求；-识别和评估内部控制中存在的重大缺陷；-为管理层提供内部控制有效性评价的结论；-为外部审计提供内部控制相关的信息支持。根据《企业内部控制审计指引》（财会[2018]12号）规定，内部控制审计的范围应涵盖企业所有重要业务流程，包括但不限于财务报告、采购与付款、销售与收款、资产管理和风险管理等关键环节。审计范围应结合企业规模、行业特性及内部控制复杂程度进行合理确定。1.2审计依据与准则内部控制审计的实施需依据国家法律法规、行业规范及企业内部治理制度等，具体包括：-《中华人民共和国公司法》《中华人民共和国会计法》《企业会计准则》《企业内部控制基本规范》《企业内部控制审计指引》等；-企业内部的管理制度、内部控制手册、业务流程文档及风险评估报告；-国家审计署、财政部及行业协会发布的相关审计准则与指引。审计准则方面，应遵循《审计准则》（中国注册会计师协会）及《内部控制审计准则》（中国注册会计师协会），确保审计过程的客观性、独立性和专业性。审计人员应保持职业怀疑态度，对内部控制的有效性进行独立判断，避免因主观偏见影响审计结论。1.3审计组织与职责内部控制审计的组织应由具备相应资质的审计机构或人员负责实施，审计组织应具备以下职责：-制定审计计划，明确审计范围、目标及方法；-选择审计对象，实施审计程序，收集和分析审计证据；-评估内部控制的有效性，形成审计结论和报告；-向管理层及董事会提交审计报告，提出改进建议；-配合外部审计机构，确保审计工作的连续性和完整性。审计人员应具备相应的专业知识和技能，熟悉内部控制相关法规及实务操作。审计机构应建立完善的审计流程，确保审计工作的规范性和可追溯性。同时，审计组织应定期对审计人员进行培训与考核，提升其专业能力与职业素养。1.4审计程序与流程内部控制审计的程序通常包括以下步骤：-前期准备：制定审计计划，明确审计目标、范围和方法；-风险评估：识别和评估企业内部控制中存在的风险，确定审计重点；-内部控制测试：通过模拟业务流程、检查文件资料、访谈相关人员等方式，验证内部控制设计与运行的有效性；-证据收集与分析：收集和分析审计证据，判断内部控制是否符合要求；-内部控制评价：综合评估内部控制体系的有效性，形成评价结论；-审计报告编制：根据审计结果，编制内部控制审计报告，提出改进建议；-后续跟进：对审计发现的问题提出整改要求，并跟踪整改落实情况。在审计过程中，应遵循《审计工作底稿》的编制规范，确保审计记录完整、准确、可追溯。同时，应结合企业实际情况，采用多种审计方法，如抽样测试、流程分析、访谈、问卷调查等，提高审计工作的科学性和有效性。通过上述程序与流程，内部控制审计能够系统、全面地评估企业的内部控制体系，为企业的治理结构优化和风险防控提供有力支持。第2章审计准备与计划一、审计计划制定2.1审计计划制定审计计划是审计工作的基础，是确保审计工作高效、有序开展的重要依据。根据《企业内部控制审计规范手册》的要求，审计计划应遵循以下原则：全面性、针对性、可操作性和时效性。在制定审计计划时，应结合企业实际情况，明确审计目标、范围、时间安排和资源配置。审计计划通常包括以下内容：1.审计目标：明确审计的总体目标，如评估企业内部控制的有效性、识别重大风险点、评价内控缺陷等。2.审计范围：确定审计覆盖的业务领域和具体事项，如财务报告、采购管理、销售管理、资产管理、人力资源管理等。3.审计时间安排：合理分配审计工作的时间，确保各阶段任务按时完成，避免因时间延误影响审计质量。4.资源配置：根据审计任务的复杂程度，合理配置审计人员、技术力量和资金资源，确保审计工作的顺利进行。根据《企业内部控制审计规范手册》第3.1条，审计计划应结合企业内部控制体系的实际情况，制定切实可行的审计方案，并在实施前进行充分的沟通和确认。例如，某上市公司在制定审计计划时，根据其内部控制体系的结构，明确了财务报告、采购管理、销售管理等关键环节的审计重点，并安排了3个月的审计周期，确保在关键时间节点完成审计工作。审计计划应包含对审计风险的初步评估，以确保审计工作的科学性和有效性。根据《企业内部控制审计规范手册》第3.2条，审计计划需对可能存在的风险进行识别和评估，并制定相应的应对措施。二、审计团队组建2.2审计团队组建审计团队的组建是确保审计质量的重要环节。根据《企业内部控制审计规范手册》的要求，审计团队应具备以下条件：1.专业能力：审计人员应具备相应的专业背景和实践经验，如会计、财务、审计、法律等相关专业背景，或具备相关领域的专业资格。2.经验要求：审计人员应具备一定的审计经验，熟悉企业内部控制体系的运作流程，能够独立完成审计任务。3.团队结构：审计团队应由审计师、内审员、会计师、法律顾问等组成，根据审计任务的复杂程度，合理配置人员。根据《企业内部控制审计规范手册》第3.3条，审计团队的组建应遵循“专业、高效、协同”的原则，确保审计工作的专业性和高效性。例如，某大型企业审计团队由5名审计师、2名内审员和1名法律顾问组成，分工明确，职责清晰，确保审计工作的顺利开展。审计团队的组建还应考虑团队的稳定性与专业性，避免因人员变动影响审计工作的连续性。三、审计资料收集与准备2.3审计资料收集与准备审计资料的收集与准备是审计工作的基础，是确保审计质量的重要环节。根据《企业内部控制审计规范手册》的要求，审计资料的收集应遵循以下原则：1.全面性：审计资料应涵盖企业内部控制体系的所有相关领域，包括制度、流程、执行情况、财务数据等。2.准确性：审计资料应真实、准确，确保审计工作的客观性和公正性。3.完整性：审计资料应完整，涵盖企业内部控制体系的所有关键环节，避免遗漏重要信息。4.及时性：审计资料应及时收集，确保审计工作的连续性和时效性。根据《企业内部控制审计规范手册》第3.4条，审计资料的收集应包括企业内部控制制度文件、业务流程、财务数据、合同协议、内部审计报告等。例如，在审计某企业的采购管理环节时，审计人员需收集采购流程文件、供应商合同、采购订单、验收单、付款凭证等资料，以评估采购流程的内部控制有效性。审计资料的准备还应包括对企业的历史审计报告、内部审计记录、管理层访谈记录等，以确保审计工作的连续性和一致性。四、审计风险评估与应对2.4审计风险评估与应对审计风险是审计过程中不可避免的风险，是影响审计质量的重要因素。根据《企业内部控制审计规范手册》的要求，审计风险评估应贯穿审计全过程，以确保审计工作的科学性和有效性。审计风险主要由以下几方面构成：1.固有风险：指企业内部控制本身存在的固有缺陷，如制度不健全、流程不规范等。2.控制风险：指企业内部控制措施未能有效控制风险，导致审计发现重大缺陷的可能性。3.检查风险：指审计人员在审计过程中未能发现重大缺陷的可能性。根据《企业内部控制审计规范手册》第3.5条，审计风险评估应结合企业内部控制体系的实际情况，识别和评估各类风险，并制定相应的应对措施。例如，在评估某企业的采购管理内部控制风险时，审计人员发现采购流程缺乏明确的审批权限，存在舞弊风险。为此，审计团队应制定相应的应对措施，如增加采购流程的审批层级、引入电子化审批系统等。审计风险评估应结合审计计划和审计目标，确保审计工作的针对性和有效性。根据《企业内部控制审计规范手册》第3.6条，审计团队应定期对审计风险进行评估，并根据评估结果调整审计策略和计划。审计准备与计划是企业内部控制审计工作的基础，涉及审计计划制定、审计团队组建、审计资料收集与准备、审计风险评估与应对等多个方面。只有通过科学合理的审计计划和有效的审计准备，才能确保审计工作的高效、准确和合规。第3章审计实施与执行一、审计现场工作1.1审计现场工作准备审计现场工作是审计全过程的核心环节，其准备工作直接影响审计工作的质量和效率。根据《企业内部控制审计规范手册》的要求，审计人员需在审计实施前进行充分的前期准备，包括但不限于制定审计计划、确定审计范围、了解被审计单位的业务环境和内部控制体系等。在审计现场工作开始前，审计团队需对被审计单位的内部控制体系进行初步评估，识别关键控制点，并根据《企业内部控制审计指引》的要求，制定详细的审计方案。审计方案应明确审计目标、审计范围、审计程序、审计方法以及审计人员的分工与职责。审计人员还需对被审计单位的财务报表、业务流程、内部控制制度等进行充分了解，确保审计工作的针对性和有效性。根据《企业内部控制审计规范手册》中关于审计现场工作的规定，审计人员应按照审计计划有序开展现场工作，确保审计流程的规范性和完整性。在审计过程中，审计人员需保持专业态度，遵循审计准则，确保审计证据的充分性和相关性。同时，审计人员应关注被审计单位的内部控制是否存在缺陷，以及这些缺陷是否可能导致财务报表存在重大错报风险。1.2审计现场工作实施在审计现场工作实施阶段，审计人员需按照审计计划和审计方案，开展各项审计工作。审计工作包括对被审计单位的财务报表、业务流程、内部控制制度等进行实地检查、访谈、观察和数据分析等。根据《企业内部控制审计规范手册》的要求，审计人员在实施审计工作时，应遵循以下原则：-客观性：审计人员应保持独立性和客观性，避免受到被审计单位的影响。-专业性：审计人员应具备相应的专业知识和技能，确保审计工作的质量。-完整性：审计人员应全面覆盖被审计单位的内部控制体系，确保审计证据的充分性和相关性。-时效性：审计人员应合理安排审计时间，确保审计工作的高效进行。在审计现场工作过程中，审计人员需对被审计单位的内部控制进行详细检查，包括但不限于以下方面：-财务报表的编制是否符合会计准则；-业务流程是否符合内部控制要求；-内部控制制度是否健全、有效；-被审计单位是否存在舞弊、违规操作等行为。根据《企业内部控制审计规范手册》中的相关数据，审计人员在实施审计现场工作时，应重点关注被审计单位的内部控制是否存在重大缺陷，以及这些缺陷是否可能导致财务报表存在重大错报风险。例如，如果被审计单位的采购流程缺乏有效的授权控制，可能导致采购金额被虚高，从而影响财务报表的准确性。二、审计证据收集与整理2.1审计证据的收集审计证据是审计工作的重要依据，是判断审计结论是否可靠的基础。根据《企业内部控制审计规范手册》的要求，审计人员需在审计现场工作过程中，收集充分且适当的审计证据，以支持审计结论。审计证据的收集主要包括以下几种方式：-书面证据：如财务报表、会计凭证、合同、审批文件等；-口头证据：如访谈被审计单位的相关人员；-实物证据：如实物资产、设备、文件等；-电子证据：如电子数据、信息系统记录等。根据《企业内部控制审计规范手册》中的规定，审计人员在收集审计证据时，应确保证据的来源合法、证据内容真实、证据形式完整，并且能够充分支持审计结论。例如，在审计被审计单位的采购流程时，审计人员需收集采购合同、供应商发票、验收单、付款凭证等书面证据，并通过访谈采购人员、验收人员等方式获取口头证据，以确认采购流程的合规性。2.2审计证据的整理与分析审计证据的整理与分析是审计工作的关键环节，审计人员需对收集到的审计证据进行分类、归档，并通过分析得出审计结论。根据《企业内部控制审计规范手册》的要求，审计人员在整理审计证据时，应遵循以下原则：-分类整理：将审计证据按照不同的类别进行整理，如财务证据、流程证据、控制证据等；-归档管理：将审计证据按照时间顺序或重要性进行归档，便于后续查阅；-分析判断：对审计证据进行分析，判断其是否支持审计结论，并识别可能存在的问题。在审计证据的分析过程中，审计人员需结合《企业内部控制审计规范手册》中的相关标准，判断审计证据是否充分、是否可靠。例如，如果审计人员发现被审计单位的采购流程中存在未审批的采购行为，可通过分析采购合同、审批记录、付款凭证等证据，判断该行为是否符合内部控制要求。三、审计工作底稿编制3.1审计工作底稿的定义与作用审计工作底稿是审计人员在审计过程中形成的记录，是审计工作的核心文件之一。根据《企业内部控制审计规范手册》的要求，审计工作底稿应真实、完整、准确地反映审计过程、审计发现和审计结论。审计工作底稿的主要作用包括：-记录审计过程：记录审计人员在审计过程中所采取的措施、使用的程序和方法；-支持审计结论：为审计结论提供依据，确保审计结论的客观性和准确性；-便于复核与沟通：便于审计团队内部复核和审计报告的编制；-提供审计证据：作为审计证据的载体，支持审计结论的形成。3.2审计工作底稿的编制要求根据《企业内部控制审计规范手册》的要求，审计工作底稿的编制应遵循以下原则：-真实性：审计工作底稿应真实反映审计过程和发现，不得伪造或篡改；-完整性：审计工作底稿应涵盖审计过程中所有重要事项，包括审计程序、审计发现、审计结论等；-规范性：审计工作底稿应按照统一的格式和内容要求进行编制，确保格式统一、内容清晰；-可追溯性：审计工作底稿应具备可追溯性，便于审计人员在后续审计中查阅和复核。根据《企业内部控制审计规范手册》中的规定，审计工作底稿应包括以下内容：-审计项目基本信息；-审计计划和实施情况；-审计程序和方法；-审计发现和分析；-审计结论和建议；-审计工作底稿的编制人、审核人和日期等。审计工作底稿的编制应严格遵循审计准则，确保审计工作的专业性和规范性。例如，在审计被审计单位的采购流程时，审计人员需详细记录采购合同、审批记录、验收记录、付款记录等，并通过分析这些记录，判断采购流程是否符合内部控制要求。四、审计问题识别与记录4.1审计问题的识别审计问题的识别是审计工作的关键环节，是审计人员判断被审计单位内部控制是否存在缺陷的重要依据。根据《企业内部控制审计规范手册》的要求，审计人员需在审计过程中，识别出被审计单位内部控制中存在的问题，并对这些问题进行记录和分析。审计问题的识别通常包括以下几种方式：-检查流程：通过检查被审计单位的业务流程，识别是否存在控制缺陷；-访谈人员：通过访谈被审计单位的相关人员，了解内部控制的执行情况；-数据分析：通过数据分析，识别出异常数据或不符合内部控制要求的事项；-观察流程：通过观察被审计单位的业务流程，识别是否存在控制缺陷。根据《企业内部控制审计规范手册》中的规定，审计人员在识别审计问题时，应重点关注以下方面：-被审计单位的内部控制是否健全；-内部控制是否有效执行；-内部控制是否存在重大缺陷；-内部控制是否可能导致财务报表存在重大错报风险。4.2审计问题的记录与报告审计问题的记录是审计工作的关键环节，是审计结论的重要依据。根据《企业内部控制审计规范手册》的要求，审计人员需将审计过程中发现的审计问题详细记录，并在审计报告中进行反映。审计问题的记录应包括以下内容：-审计问题的描述；-审计问题的性质（如重大、一般、轻微）；-审计问题的发现时间、地点和人员；-审计问题的证据支持情况；-审计问题的分析和建议。根据《企业内部控制审计规范手册》中的规定，审计人员在记录审计问题时，应确保记录的准确性、完整性和可追溯性。例如，在审计被审计单位的采购流程时，若发现采购合同未经过审批，审计人员应详细记录该问题，并分析其可能带来的风险，以便在审计报告中进行说明。审计实施与执行是企业内部控制审计工作的核心环节，其质量直接影响审计结论的可靠性。审计人员需在审计现场工作、审计证据收集与整理、审计工作底稿编制、审计问题识别与记录等方面，严格遵循《企业内部控制审计规范手册》的要求，确保审计工作的专业性和规范性。第4章审计报告与沟通一、审计报告编制与提交4.1审计报告编制与提交审计报告是审计工作的最终成果，是审计机构对被审计单位财务报表及相关信息进行独立评价和鉴证的正式文件。根据《企业内部控制审计规范手册》的要求，审计报告应遵循以下原则：1.客观性与公正性：审计报告应基于充分、适当的审计证据，如实反映被审计单位的内部控制状况和审计发现。审计师应保持独立、客观的立场，避免主观判断影响报告内容。2.完整性与准确性：审计报告应全面反映审计过程中发现的问题、内部控制的缺陷以及审计意见的形成过程。报告内容应包括审计工作的总体情况、审计发现、审计意见及改进建议等。3.专业性与可读性：审计报告应使用专业术语，同时兼顾可读性，确保相关利益方能够理解报告内容。根据《企业内部控制审计规范手册》第3.2条，审计报告应采用清晰、简洁的语言，避免使用过于复杂的术语。4.时效性与规范性：审计报告应在审计工作完成后及时编制并提交，确保信息的时效性。根据《企业内部控制审计规范手册》第3.3条，审计报告应按照规定的格式和内容要求进行编制，并由审计机构负责人签署。根据《企业内部控制审计规范手册》第4.1.1条，审计报告应包含以下内容：-审计概况：包括审计范围、审计时间、审计机构名称及负责人等基本信息。-审计发现：对被审计单位内部控制存在的问题进行详细描述，包括内部控制缺陷、风险点及影响。-审计意见：根据审计结果，提出审计意见，如无保留意见、保留意见、否定意见或无法表示意见。-改进建议：针对审计发现的问题，提出具体的改进建议，包括整改措施、责任部门及整改期限等。例如，某企业因应收账款管理不善导致坏账损失增加，审计报告中应明确指出应收账款账龄、坏账计提政策的合理性及执行情况，并提出加强应收账款管理的建议。根据《企业内部控制审计规范手册》第4.1.2条，审计报告应引用相关数据，如应收账款余额、坏账计提比例等，以增强说服力。二、审计结果沟通与反馈4.2审计结果沟通与反馈审计结果的沟通与反馈是审计工作的重要环节，有助于被审计单位及时了解审计发现，并采取有效措施进行整改。根据《企业内部控制审计规范手册》第4.2.1条，审计机构应通过正式渠道将审计结果向被审计单位进行沟通，并确保沟通内容的准确性和完整性。1.沟通方式：审计机构可通过书面形式（如审计报告）或口头形式（如会议、电话）向被审计单位进行沟通。根据《企业内部控制审计规范手册》第4.2.2条，审计结果沟通应遵循“及时、准确、全面”的原则。2.沟通内容：审计结果沟通应包括以下内容：-审计发现：详细说明审计过程中发现的问题，包括内部控制缺陷、风险点及影响。-审计意见：明确审计意见的类型（如无保留意见、保留意见、否定意见或无法表示意见）。-改进建议：提出具体的整改建议，包括责任部门、整改期限及整改要求。-后续跟进：明确后续的跟踪与反馈机制，确保整改措施落实到位。3.沟通频率与方式：根据《企业内部控制审计规范手册》第4.2.3条，审计结果沟通应定期进行，必要时可进行专项沟通。例如，审计机构可组织会议，向被审计单位传达审计结果，并听取其反馈意见。4.反馈机制：审计机构应建立反馈机制，确保被审计单位能够及时了解审计结果，并根据反馈意见进行整改。根据《企业内部控制审计规范手册》第4.2.4条，反馈机制应包括定期报告、整改跟踪和效果评估等环节。三、审计意见的提出与处理4.3审计意见的提出与处理审计意见是审计工作的核心成果之一，是审计机构对被审计单位内部控制是否符合相关法律法规及内部控制规范的独立判断。根据《企业内部控制审计规范手册》第4.3.1条，审计意见的提出应遵循以下原则：1.独立性：审计意见应基于独立、客观的审计工作，避免受到外部因素影响。2.专业性：审计意见应使用专业术语，并结合具体数据和事实进行说明，以增强说服力。3.明确性：审计意见应明确指出被审计单位内部控制存在的问题，并提出具体的改进建议。4.可操作性：审计意见应具有可操作性，确保被审计单位能够根据审计意见采取有效措施进行整改。根据《企业内部控制审计规范手册》第4.3.2条，审计意见的类型包括：-无保留意见：表明被审计单位的内部控制符合相关法律法规及内部控制规范。-保留意见：表明被审计单位的内部控制存在重大缺陷，但未影响财务报表的公允表达。-否定意见：表明被审计单位的内部控制存在重大缺陷，影响财务报表的公允表达。-无法表示意见：表明审计机构无法获取充分、适当的审计证据，无法对内部控制做出评价。例如，某企业因采购环节存在舞弊行为，导致采购成本虚高，审计意见可能为保留意见。根据《企业内部控制审计规范手册》第4.3.3条，审计意见的提出应结合具体数据，如采购金额、舞弊行为的频次及影响程度等，以增强说服力。审计意见的提出与处理应遵循以下步骤：1.意见形成：根据审计证据和分析，形成审计意见。2.意见确认：审计机构负责人确认审计意见的正确性。3.意见提交：将审计意见提交给被审计单位。4.意见反馈：被审计单位收到审计意见后，应进行反馈，并根据意见进行整改。5.意见跟踪：审计机构应跟踪整改情况，确保整改措施落实到位。根据《企业内部控制审计规范手册》第4.3.4条，审计意见的处理应包括以下内容：-整改要求：明确整改的具体内容、责任人及整改期限。-整改监督：建立整改监督机制，确保整改措施的有效性。-整改评估：对整改情况进行评估，确认是否达到预期效果。四、审计整改落实跟踪4.4审计整改落实跟踪审计整改落实跟踪是审计工作的重要延续，是确保审计意见得到有效执行的关键环节。根据《企业内部控制审计规范手册》第4.4.1条，审计整改落实跟踪应遵循以下原则：1.持续性：审计整改落实应贯穿审计全过程，确保整改措施的持续有效。2.可追溯性：审计整改应有明确的责任人和时间节点，确保整改措施可追溯。3.有效性：审计整改应针对审计意见中的问题，确保整改措施的有效性。4.反馈机制：审计机构应建立整改反馈机制，确保被审计单位能够及时了解整改进展。根据《企业内部控制审计规范手册》第4.4.2条，审计整改落实跟踪应包括以下内容：1.整改计划：被审计单位应根据审计意见制定整改计划，明确整改内容、责任人及整改期限。2.整改实施：被审计单位应按照整改计划实施整改措施，确保整改落实到位。3.整改评估：审计机构应对整改情况进行评估，确认整改是否达到预期效果。4.整改报告：被审计单位应提交整改报告，说明整改措施及实施情况。例如，某企业因存货管理不善导致存货周转率下降，审计意见提出加强存货盘点和管理。根据《企业内部控制审计规范手册》第4.4.3条，审计机构应跟踪该企业是否按照要求加强存货管理，并评估其效果。审计整改落实跟踪应结合具体数据和专业术语，如存货周转率、库存周转天数、存货减值准备等，以增强说服力。根据《企业内部控制审计规范手册》第4.4.4条，审计整改落实应确保整改措施的及时性、有效性和可追溯性，以确保企业内部控制的持续改进。审计报告与沟通是企业内部控制审计工作的关键环节，审计报告的编制与提交、审计结果的沟通与反馈、审计意见的提出与处理、审计整改落实跟踪，均应遵循专业性和可操作性，确保审计工作的有效性与持续性。第5章审计后续管理一、审计档案管理1.1审计档案管理的重要性根据《企业内部控制审计规范手册》要求，审计档案管理是审计工作后续管理的重要组成部分，是确保审计成果可追溯、可验证、可复用的关键环节。审计档案包括审计工作底稿、审计报告、审计现场记录、审计沟通记录、审计结论与建议等，是审计工作成果的完整体现。根据国家审计署发布的《审计档案管理办法》（中华人民共和国财政部令第103号），审计档案的管理应遵循“归档及时、分类清晰、保管完整、调用便捷”的原则。审计档案的管理应确保其完整性和保密性。根据《企业内部控制审计规范手册》中关于“审计档案保存期限”的规定，一般应保存不少于10年，特殊情况下可延长。审计档案的保存期限应与企业内部控制的审计周期相匹配，确保审计结论的有效性和权威性。审计档案的归档应遵循“谁负责、谁归档”的原则，确保责任明确，管理有序。1.2审计档案的分类与保管审计档案的分类应按照审计项目、审计阶段、审计内容、审计对象等进行划分。根据《企业内部控制审计规范手册》的要求，审计档案应分为以下几类：-审计工作底稿：包括审计实施过程中形成的各类记录，如访谈记录、现场观察记录、数据采集记录等；-审计报告：包括审计结论、建议、问题描述等；-审计沟通记录：包括与被审计单位沟通的记录、会议纪要、函件等；-审计整改记录：包括审计发现问题的整改情况、整改责任人、整改时限等；-审计资料：包括审计使用的各类资料，如财务报表、合同、制度文件等。审计档案的保管应遵循“分类存放、定期归档、统一管理”的原则。根据《企业内部控制审计规范手册》中关于“档案管理规范”的要求，应建立档案管理制度，明确档案的保管人、保管地点、保管期限、调阅权限等，确保档案的安全性和可追溯性。二、审计问题整改跟踪2.1审计问题整改的定义与要求根据《企业内部控制审计规范手册》中关于“审计问题整改”的规定，审计问题整改是指审计过程中发现的内部控制缺陷或风险点，经审计机构确认后，由被审计单位按照审计建议进行整改，并形成整改报告，确保问题得到有效解决。审计问题整改应遵循“问题导向、责任明确、整改到位、跟踪落实”的原则。根据《企业内部控制审计规范手册》中关于“问题整改要求”的规定，审计机构应督促被审计单位及时整改，确保整改工作落实到位。整改过程中应建立整改台账，明确整改责任人、整改时限、整改内容及整改结果，确保整改过程可追溯、可验证。2.2审计问题整改的跟踪机制审计问题整改的跟踪应建立闭环管理机制，确保整改工作落实到位。根据《企业内部控制审计规范手册》中关于“整改跟踪”的规定，审计机构应定期跟踪整改进展，形成整改报告，评估整改效果，并提出进一步建议。根据《企业内部控制审计规范手册》中关于“整改跟踪要求”的规定，审计机构应建立整改跟踪台账，对整改情况进行动态跟踪，确保整改工作不走过场。整改跟踪应包括以下内容：-整改责任人的明确；-整改时限的设定；-整改内容的确认；-整改结果的评估；-整改过程的记录。整改跟踪应与审计项目整体进度相结合，确保整改工作与审计项目同步推进，提高审计成果的实效性。三、审计成果应用与提升3.1审计成果的转化与应用根据《企业内部控制审计规范手册》中关于“审计成果应用”的规定，审计成果应充分应用于企业内部控制的优化与提升过程中。审计成果包括审计报告、审计建议、审计整改情况等，应通过多种形式转化为企业内部控制的改进措施，提升企业管理水平。根据《企业内部控制审计规范手册》中关于“审计成果应用”的规定，审计成果的应用应包括以下方面：-企业内部控制制度的完善：根据审计发现的问题，推动企业完善相关内部控制制度，增强内部控制的有效性；-企业风险管理的优化：通过审计发现的风险点，优化企业风险管理体系，提升企业风险应对能力；-企业绩效评价的改进：结合审计成果，完善企业绩效评价体系，提升企业绩效管理水平；-企业合规管理的加强：通过审计发现的合规问题，推动企业加强合规管理，提升企业合规水平。3.2审计成果的持续改进审计成果的应用应形成持续改进的机制，推动企业内部控制体系的不断完善。根据《企业内部控制审计规范手册》中关于“审计持续改进”的规定，审计成果应作为企业内部控制持续改进的重要依据。根据《企业内部控制审计规范手册》中关于“审计持续改进要求”的规定，审计机构应建立审计成果应用的长效机制，推动企业内部控制体系的持续优化。具体包括：-建立审计成果应用的评估机制，定期评估审计成果的应用效果；-建立审计成果反馈机制，及时将审计发现的问题反馈给企业相关部门；-建立审计成果应用的跟踪机制，确保审计成果的有效转化；-建立审计成果应用的激励机制，鼓励企业积极参与审计成果的应用。四、审计持续改进机制4.1审计持续改进的定义与目标根据《企业内部控制审计规范手册》中关于“审计持续改进”的规定，审计持续改进是指审计机构在审计过程中不断优化审计方法、提升审计质量、完善审计体系，以适应企业内部控制环境的变化和审计需求的提升。审计持续改进的目标包括：-提高审计工作的科学性、客观性和权威性；-提升审计成果的可操作性和实用性；-优化审计资源的配置，提高审计效率；-促进企业内部控制体系的不断完善和优化。4.2审计持续改进的机制审计持续改进应建立科学、系统的机制，确保审计工作的持续优化。根据《企业内部控制审计规范手册》中关于“审计持续改进机制”的规定，审计持续改进应包括以下内容：-建立审计质量控制机制：通过定期审计、质量评估、内部审核等方式，确保审计工作的质量；-建立审计方法改进机制：根据审计实践中的问题，不断优化审计方法，提高审计效率和效果；-建立审计人员培训机制：通过定期培训，提升审计人员的专业能力和综合素质；-建立审计成果应用机制：将审计成果转化为企业内部控制的改进措施，推动企业内部控制体系的持续优化。根据《企业内部控制审计规范手册》中关于“审计持续改进要求”的规定，审计机构应建立审计持续改进的长效机制，确保审计工作不断进步，适应企业内部控制环境的变化和审计需求的提升。审计后续管理是审计工作的重要组成部分，是确保审计成果有效转化、持续优化的重要保障。通过科学的审计档案管理、有效的审计问题整改跟踪、审计成果的合理应用以及持续改进机制的建立，能够全面提升企业内部控制审计的质量和效果，为企业健康发展提供有力支持。第6章附则一、适用范围与对象6.1适用范围与对象本规范手册适用于各类企业及其内部控制审计项目，包括但不限于上市公司、大型国有企业、民营企业以及各类经济组织。根据《企业内部控制基本规范》及相关法律法规，本手册适用于企业内部控制审计的全过程，涵盖内部控制环境、风险评估、控制活动、信息与沟通、内部监督等关键环节。根据中国注册会计师协会发布的《企业内部控制审计准则》（2021年版），内部控制审计的适用范围已明确扩展至所有企业，包括中小微企业。根据《2022年中国企业内部控制发展报告》，截至2022年底，中国有超过80%的上市公司已建立内部控制体系，内部控制审计覆盖率持续提升。在企业内部控制审计中，审计对象主要包括企业的管理层、内审部门、财务部门、业务部门等。根据《企业内部控制审计准则》第12条，审计对象应包括企业董事会、监事会、管理层、内部审计部门、财务部门、业务部门及外部审计机构等。根据《企业内部控制审计实务指南》（2021年版），内部控制审计的适用对象应包括企业及其下属单位，以及与企业存在业务往来的重要关联方。对于跨区域或跨国企业，应根据其内部控制体系的完整性与有效性进行审计。二、修订与废止6.2修订与废止本规范手册的修订与废止应遵循《中华人民共和国标准化法》及相关法律法规，确保其内容的科学性、适用性和前瞻性。修订应由本手册的制定单位或相关主管部门提出，并经法定程序批准后实施。根据《企业内部控制审计准则》第13条，规范手册的修订应遵循以下原则：1.合法性原则：修订内容必须符合国家法律法规及政策要求，不得与现行法律、法规相冲突；2.实用性原则：修订内容应结合企业实际管理需求，增强操作性与指导性；3.时效性原则：修订内容应反映最新的内部控制理论、实践及监管要求；4.一致性原则：修订内容应与现行的内部控制制度、审计准则保持一致。对于废止，根据《企业内部控制审计准则》第14条，当以下情形发生时，规范手册应予以废止：-国家法律法规、政策发生变化，导致本手册内容不再适用；-本手册内容与现行内部控制制度、审计准则存在冲突；-本手册已无法满足企业内部控制审计的实际需求；-本手册因重大修订或更新，需重新发布。三、术语解释6.3术语解释在企业内部控制审计中，以下术语具有特定含义，应予以明确解释，以确保审计工作的统一性和专业性。1.内部控制指企业为实现其战略目标，通过制度、流程、组织结构、信息技术等手段，对财务报告、经营决策、风险管理和合规性等关键领域进行有效控制的过程。根据《企业内部控制基本规范》（2016年版），内部控制包括控制环境、风险评估、控制活动、信息与沟通、内部监督五个要素。2.内部控制审计指注册会计师对被审计单位内部控制体系的有效性进行独立、客观的评估，并发表审计意见的过程。根据《企业内部控制审计准则》（2021年版），内部控制审计应遵循独立性、客观性、专业性原则，以确保审计结果的公正性和权威性。3.控制活动指为确保内部控制目标的实现而采取的具体措施，包括授权审批、职责分离、会计核算、信息处理、实物控制等。根据《企业内部控制基本规范》第10条，控制活动应与企业战略目标相一致，确保企业资源的有效利用和风险的合理控制。4.风险评估指企业识别、分析和评估潜在风险的过程，以确定其对财务报告、经营决策和合规性的影响。根据《企业内部控制基本规范》第11条，风险评估应贯穿于内部控制的全过程，包括识别、分析、评估和应对。5.信息与沟通指企业内部及外部信息的传递与共享机制，确保信息的准确性、及时性和完整性。根据《企业内部控制基本规范》第12条，信息与沟通应确保各层级之间信息的畅通，以便于内部控制的有效执行。6.内部监督指企业内部对内部控制体系的持续监督和评价，包括内部审计、管理层的定期评估等。根据《企业内部控制基本规范》第13条，内部监督应确保内部控制体系的持续有效运行，及时发现和纠正问题。7.审计风险指注册会计师在审计过程中未能发现重大错报的风险。根据《企业内部控制审计准则》第15条，审计风险应通过合理的职业判断、充分的审计程序和有效的审计证据来控制。8.审计意见指注册会计师在完成内部控制审计后，对被审计单位内部控制体系的有效性所出具的结论性意见。根据《企业内部控制审计准则》第16条，审计意见应包括无保留意见、保留意见、否定意见和无法表示意见四种类型。以上术语的解释，有助于企业在内部控制审计过程中准确理解相关概念，确保审计工作的专业性和规范性。第7章附件一、审计工作底稿模板1.1审计工作底稿模板应包含以下基本内容：-审计项目名称：明确审计所针对的特定项目或单位名称。-审计事项：具体审计事项的描述，如财务报表、内部控制、风险管理等。-审计日期：审计工作的起止时间。-审计人员信息：审计人员的姓名、职位、执业资格等。-审计底稿编号：唯一标识审计工作底稿的编号。-审计底稿页码：记录审计工作底稿的页码信息。-审计意见类型：如无保留意见、带强调事项的保留意见、否定意见、无法表示意见等。-审计结论：基于审计工作的结论性意见。-审计依据：引用的法律法规、审计准则、企业内部控制规范等。-审计程序：审计过程中所采用的审计程序和方法。-审计发现：审计过程中发现的各类问题或异常事项。-审计处理建议：针对审计发现提出的具体处理建议或改进建议。-附件清单：列出与审计工作相关的附件或资料。1.2审计工作底稿模板应采用标准化格式，确保信息清晰、逻辑严谨，便于后续审计工作的延续和复核。二、审计问题分类标准2.1审计问题可按照以下标准进行分类：-财务类问题：涉及财务报表的准确性、完整性、公允性等问题。-内部控制类问题：涉及企业内部控制制度的有效性、执行情况等问题。-风险管理类问题：涉及企业风险识别、评估、应对措施等问题。-合规类问题：涉及企业是否符合相关法律法规、行业规范等问题。-运营效率类问题：涉及企业运营流程是否高效、资源利用是否合理等问题。2.2财务类问题可进一步细分为：-财务报表项目错报：如收入确认、成本费用、资产减值等。-财务报表披露不充分：如未按要求披露重要信息。-财务报表审计调整：如调整会计政策、调整会计估计等。2.3内部控制类问题可进一步细分为：-控制环境缺陷：如控制制度不健全、职责不清、授权不明确等。-风险评估缺陷：如未有效识别、评估或应对重大风险。-控制措施缺陷：如缺乏必要的控制手段、执行不力等。-监督与评价缺陷：如未有效监督和评价内部控制的运行情况。2.4风险管理类问题可进一步细分为：-风险识别缺陷：如未识别关键风险因素。-风险评估缺陷：如未对风险进行有效评估和优先级排序。-风险应对缺陷：如未采取有效的风险应对措施。-风险监控缺陷：如未对风险进行持续监控和评估。2.5合规类问题可进一步细分为：-法律合规性缺陷：如未遵守相关法律法规。-行业规范性缺陷：如未符合行业标准或监管要求。-道德与诚信缺陷：如存在舞弊、虚假陈述等行为。2.6运营效率类问题可进一步细分为：-流程效率缺陷：如流程冗长、资源浪费等。-资源配置缺陷：如资源分配不合理、使用效率低下等。-成本控制缺陷：如成本超支、浪费严重等。三、审计风险评估表3.1审计风险评估表应包含以下内容：-审计项目名称：明确审计所针对的特定项目或单位名称。-审计范围：审计覆盖的范围，如财务报表、内部控制、风险管理等。-审计目标：审计所期望达到的目标，如确认财务报表的公允性、评估内部控制的有效性等。-审计风险因素：影响审计结果的各类风险因素，如财务风险、内部控制风险、法律风险等。-风险评估结果：对各类风险因素的评估结果，如高风险、中风险、低风险等。-风险应对措施：针对各类风险因素所采取的应对措施，如加强审计程序、增加检查频率、调整审计重点等。-审计人员评估：审计人员对风险评估的独立判断和评估意见。3.2审计风险评估表应采用表格形式，便于数据统计和分析，确保评估的客观性和专业性。四、审计报告格式规范4.1审计报告应遵循《企业内部控制审计规范手册》的相关要求，内容应包括以下部分：-报告明确审计报告的主题，如“企业内部控制审计报告”。-审计机构名称：明确审计机构的全称。-审计报告编号：唯一标识审计报告的编号。-审计报告日期：审计报告的出具日期。-审计项目名称：明确审计所针对的特定项目或单位名称。-审计意见类型：如无保留意见、带强调事项的保留意见、否定意见、无法表示意见等。-审计结论：基于审计工作的结论性意见。-审计依据：引用的法律法规、审计准则、企业内部控制规范等。-审计发现：审计过程中发现的各类问题或异常事项。-审计处理建议：针对审计发现提出的具体处理建议或改进建议。-附件清单：列出与审计工作相关的附件或资料。-审计机构声明：审计机构对报告内容的声明和承诺。4.2审计报告应结构清晰、语言规范，内容详实，能够为相关方提供充分的信息支持。4.3审计报告应结合企业内部控制的实际情况，突出内部控制的建设与完善，提出切实可行的改进建议。4.4审计报告应注重专业性，同时兼顾通俗性，使不同背景的读者都能理解报告内容。4.5审计报告应引用相关数据和专业术语，增强说服力，体现审计工作的严谨性和专业性。4.6审计报告应避免使用过于专业的术语，必要时进行解释，确保报告的可读性和实用性。4.7审计报告应包括对审计过程中发现的问题的详细描述，以及针对这些问题的处理建议，确保报告具有指导性和可操作性。4.8审计报告应体现审计工作的整体性，包括对审计程序、审计发现、审计结论的全面反映。4.9审计报告应具备一定的前瞻性，提出对未来内部控制建设的建议，帮助企业在内部控制方面持续改进。4.10审计报告应符合相关法律法规和行业规范，确保报告的合法性和合规性。审计报告应全面、客观、专业地反映审计工作的成果，为相关方提供有价值的参考依据。第8章附录一、审计人员资格要求8.1审计人员资格要求审计人员作为企业内部控制审计工作的核心力量，其专业能力、职业素养和道德操守直接影响审计质量与公信力。根据《企业内部控制审计规范手册》及相关法律法规，审计人员需具备以下资格要求：1.专业背景与学历要求审计人员应具备会计、财务、经济、管理等相关专业的本科及以上学历，或经相关专业培训并具备中级以上职称。根据《企业内部控制审计准则》（CISA），审计人员需具备扎实的财务知识和内部控制理论基础，能够熟练运用审计方法和技术，如风险评估、内部控制测试、财务报表分析等。2.从业经验与专业技能审计人员应具有至少3年以上的审计或财务相关工作经验，其中至少1年为企业内部控制审计经验。同时，应具备良好的数据分析能力、沟通协调能力、风险识别与评估能力，以及对内部控制制度的深入理解。根据《企业内部控制审计工作底稿指引》，审计人员需熟悉内部控制审计的流程和方法，能够独立完成审计任务并提出合理建议。3.职业操守与道德规范审计人员需遵守《中华人民共和国审计法》《注册会计师法》等相关法律法规，恪守职业伦理，保持客观、公正、独立的审计立场。根据《审计人员职业道德规范》，审计人员应避免利益冲突，不得参与可能影响审计独立性的事务，确保审计结果的真实、客观、公正。4.持续教育与专业发展审计人员应定期参加专业培训和继续教育，更新知识体系，提升专业能力。根据《企业内部控制审计人员继续教育管理办法》，审计人员需每年完成一定学时的培训，确保其专业能力与行业标准同步发展。5.资质认证与资格证书审计人员应具备注册会计师（CPA）资格，或持有其他相关专业资格证书，如CISA（信息系统审计师）、CISA（信息系统审计师）等。根据《注册会计师法》规定，注册会计师是从事审计业务的法定资格，其专业能力与职业道德是审计工作的基本保障。6.执业记录与信用记录审计人员需保持良好的执业记录，无重大审计失误或违规行为。根据《审计机关审计质量评估办法》，审计人员的执业记录将作为审计质量评估的重要依据，直接影响其执业资格的延续与晋升。综上，审计人员资格要求不仅体现为学历、经验、专业技能，更强调其职业道德、职业操守与持续发展能力。只有具备上述条件的审计人员，才能胜任企业内部控制审计工作，确保审计结果的权威性和可靠性。二、审计工作流程图8.2审计工作流程图审计工作流程图是企业内部控制审计工作的关键环节，体现了从审计准备到审计实施再到审计报告的完整过程。根据《企业内部控制审计规范手册》，审计工作流程通常包括以下几个阶段：1.审计立项与计划制定审计项目启动前，审计机构需根据企业内部控制目标、风险状况及审计范围，制定审计计划。审计计划应包括审计目标、范围、方法、时间安排、资源配置等。根据《企业内部控制审计工作底稿指引》，审计