2025年企业内部控制与内部审计规范手册

2025年企业内部控制与内部审计规范手册第一章总则第一节适用范围第二节内部控制与内部审计的定义第三节内部控制目标与原则第四节内部审计职责与权限第二章内部控制体系构建第一节内部控制环境建设第二节内部控制制度设计第三节内部控制执行与监督第四节内部控制评估与改进第三章内部审计工作流程第一节内部审计计划制定第二节内部审计实施与执行第三节内部审计报告与沟通第四节内部审计结果运用第四章内部控制与内部审计的协调机制第一节内部控制与审计的相互关系第二节内部控制与审计的协同工作第三节内部控制与审计的职责划分第四节内部控制与审计的沟通机制第五章内部控制与内部审计的绩效评估第一节内部控制绩效评估指标第二节内部审计绩效评估方法第三节内部控制与审计的绩效评价体系第四节内部控制与审计的持续改进第六章内部控制与内部审计的信息化建设第一节内部控制信息化建设要求第二节内部审计信息化应用第三节内部控制与审计的数据管理第四节内部控制与审计的信息安全第七章内部控制与内部审计的法律责任第一节内部控制与内部审计的法律责任第二节内部控制缺陷的认定与处理第三节内部审计结果的法律责任第四节内部控制与内部审计的合规管理第八章附则第一节本手册的适用范围第二节本手册的解释权与修订说明第三节本手册的实施时间第1章总则一、适用范围1.1本规范适用于各类企业，包括但不限于制造业、金融业、信息技术业、零售业、服务业等，涵盖所有在中华人民共和国境内依法设立并从事生产经营活动的企事业单位。本规范旨在建立统一、规范、有效的内部控制与内部审计体系，提升企业经营管理水平，防范经营风险，保障企业资产安全与财务信息的真实、完整。1.2本规范适用于企业内部的内部控制与内部审计活动，包括但不限于以下内容：-内部控制体系建设与实施；-内部审计工作的组织、开展与评估；-内部控制与内部审计的职责划分与权限范围；-内部控制与内部审计的监督与改进机制。根据《企业内部控制基本规范》（财政部令第79号）及《内部审计基本准则》（中国内部审计协会，2023年修订版），本规范结合2025年企业内部控制与内部审计规范手册的最新要求，对上述内容进行细化与补充，以适应当前企业治理环境的变化。二、内部控制与内部审计的定义2.1内部控制是指企业为实现战略目标，通过制定和实施一系列制度、流程和措施，确保企业经营活动的合法性、合规性、有效性和效率性，防范和控制风险，保护资产安全，提升企业价值的过程。2.2内部审计是指企业内部审计机构或审计人员，依据国家法律法规、企业规章制度及相关标准，对企业的财务报告、业务流程、内部控制有效性进行独立、客观的评估与监督，以促进企业内部控制的完善与持续改进。根据《企业内部控制基本规范》（财政部令第79号）及《内部审计基本准则》（中国内部审计协会，2023年修订版），内部控制与内部审计的定义已涵盖上述内容，并进一步细化了其实施范围与目标。三、内部控制目标与原则3.1内部控制的目标主要包括以下方面：-保障企业资产安全，防止资产流失；-保证财务信息的真实、完整，确保财务报告的准确性；-促进企业战略目标的实现；-有效防范和控制各类经营风险；-提升企业经营管理效率与效果。3.2内部控制的原则主要包括以下内容：-适应性原则：内部控制应与企业规模、行业特性、风险状况及管理需求相适应；-全面性原则：内部控制应覆盖企业所有业务活动、所有职能部门及所有管理层次；-重要性原则：内部控制应关注企业关键风险领域，对重要业务活动实施重点控制；-独立性原则：内部控制应确保审计、监督等职能独立运行，不受其他部门或人员的干扰；-有效性原则：内部控制应能够有效实现其目标，防止或发现重大风险并及时纠正。根据《企业内部控制基本规范》（财政部令第79号）及《内部审计基本准则》（中国内部审计协会，2023年修订版），内部控制与内部审计的原则已明确，适用于本规范的实施。四、内部控制审计职责与权限4.1内部控制的职责主要包括：-企业内部审计机构或审计人员负责制定内部控制审计计划，组织实施内部控制审计工作；-企业内部审计机构或审计人员负责评估内部控制的有效性，提出改进建议；-企业内部审计机构或审计人员负责向董事会、监事会及管理层报告内部控制审计结果；-企业内部审计机构或审计人员负责对内部控制缺陷进行识别、评估与整改。4.2内部审计的权限主要包括：-对企业内部控制制度的制定、执行、监督及改进进行审计；-对企业重大业务活动、关键控制环节进行独立评估；-对企业财务报告的真实性、完整性进行审计；-对企业内部控制的执行情况进行检查与评价；-对内部控制缺陷进行认定并提出整改建议。根据《企业内部控制基本规范》（财政部令第79号）及《内部审计基本准则》（中国内部审计协会，2023年修订版），内部控制与内部审计的职责与权限已明确，适用于本规范的实施。本规范围绕2025年企业内部控制与内部审计规范手册的主题，明确了适用范围、内部控制与内部审计的定义、内部控制目标与原则、内部控制审计的职责与权限等内容，旨在为企业构建科学、规范、有效的内部控制与内部审计体系提供指导。第2章内部控制体系构建一、内部控制环境建设1.1建立健全内部控制环境是内部控制体系的基础内部控制环境是指企业为实现其战略目标，所建立的组织结构、企业文化、治理结构、风险偏好和资源分配等综合因素的集合。根据《2025年企业内部控制与内部审计规范手册》的要求，内部控制环境建设应注重以下几个方面：1.1.1明确企业战略目标与组织结构企业应根据战略目标，明确各部门、各岗位的职责与权限，构建清晰的组织架构，确保信息在各部门之间有效传递。根据《内部控制基本规范》要求，企业应建立权责对等的组织结构，确保内部控制措施能够有效实施。1.1.2强化企业文化与道德规范企业应建立以诚信、合规、责任为核心的内部文化，强化员工的职业道德和合规意识。根据《内部控制基本规范》和《企业内部控制基本规范实施指南》，企业应定期开展内部审计与合规培训，提升员工的风险意识和合规操作能力。1.1.3完善治理结构与权力制衡机制企业应建立有效的治理结构，确保董事会、监事会、管理层在内部控制中的监督与决策作用。根据《内部控制基本规范》规定，企业应设立独立的内部审计部门，确保内部控制的独立性和有效性。1.1.4明确风险偏好与风险承受能力企业应根据自身的业务特点和外部环境，明确风险偏好和风险承受能力，将风险管理纳入战略决策过程。根据《企业内部控制基本规范》要求，企业应定期评估风险状况，动态调整风险偏好。1.1.5建立有效的沟通与反馈机制企业应建立畅通的沟通渠道，确保管理层与员工之间信息传递高效、透明。根据《内部控制基本规范》要求，企业应建立内部沟通机制，确保内部控制措施能够及时反馈并持续改进。1.2建立完善的内部控制制度体系1.2.1制定符合企业实际的内部控制制度根据《2025年企业内部控制与内部审计规范手册》要求，企业应根据自身业务特点，制定符合实际的内部控制制度，涵盖财务、运营、合规、人力资源等多个方面。1.2.2制定内部控制制度的框架与流程企业应建立内部控制制度的框架，明确各业务流程中的控制点，确保业务活动的完整性、准确性和合规性。根据《内部控制基本规范》要求，企业应制定内部控制制度的流程，包括授权、审批、执行、监督等环节。1.2.3制定内部控制制度的执行与监督机制企业应建立内部控制制度的执行与监督机制，确保制度能够有效运行。根据《内部控制基本规范》要求，企业应设立内部审计部门，对内部控制制度的执行情况进行定期评估和监督。1.2.4制定内部控制制度的评估与修订机制企业应建立内部控制制度的评估与修订机制，确保制度能够适应企业的发展和外部环境的变化。根据《内部控制基本规范》要求，企业应定期对内部控制制度进行评估，及时修订不适用或失效的制度。1.3加强内部控制执行与监督1.3.1有效执行内部控制制度企业应确保内部控制制度在实际业务中得到有效执行，确保各项业务活动符合内部控制要求。根据《内部控制基本规范》要求，企业应建立内部控制执行机制，确保制度在各业务环节中得到落实。1.3.2强化内部控制的监督机制企业应建立有效的内部控制监督机制，确保内部控制制度的执行效果。根据《内部控制基本规范》要求，企业应设立内部审计部门，对内部控制的执行情况进行定期审计和评估。1.3.3建立内部控制的反馈与改进机制企业应建立内部控制的反馈与改进机制，确保内部控制能够不断优化和提升。根据《内部控制基本规范》要求，企业应建立内部控制的反馈机制，及时发现和纠正内部控制中的问题。1.4完善内部控制评估与改进机制1.4.1定期评估内部控制体系的有效性企业应定期对内部控制体系的有效性进行评估，确保内部控制能够持续满足企业战略目标和业务需求。根据《内部控制基本规范》要求，企业应建立内部控制评估机制，评估内部控制的完整性、有效性、合规性等关键要素。1.4.2评估结果的应用与改进企业应根据内部控制评估结果，制定改进措施，优化内部控制体系。根据《内部控制基本规范》要求，企业应将评估结果作为内部控制改进的重要依据，推动内部控制体系的持续优化。1.4.3建立内部控制的持续改进机制企业应建立内部控制的持续改进机制，确保内部控制体系能够适应企业的发展和外部环境的变化。根据《内部控制基本规范》要求，企业应建立内部控制的持续改进机制，推动内部控制体系的动态优化。第3章内部审计工作流程一、内部审计计划制定1.1内部审计计划制定的背景与意义在2025年企业内部控制与内部审计规范手册的指导下，内部审计工作已从传统的“合规检查”逐步发展为“风险导向”与“战略导向”的融合型审计模式。根据中国内部审计协会发布的《2025年内部审计发展趋势报告》，未来内部审计将更加注重企业战略目标的实现、风险管理体系的完善以及内部控制的有效性评估。因此，制定科学、合理的内部审计计划是确保内部审计工作高效、有序开展的基础。内部审计计划的制定应基于企业的战略目标、业务流程、风险状况以及审计资源分配等多方面因素。根据《企业内部控制基本规范》的要求，企业应建立内部审计计划的制定机制，明确审计目标、范围、频率、方法及资源配置。2025年规范手册中强调，内部审计计划应与企业年度计划相衔接，确保审计工作与企业战略方向一致。1.2内部审计计划的制定原则与步骤内部审计计划的制定应遵循以下原则：目标导向、风险导向、资源导向、合规导向。制定步骤主要包括以下几个方面：1.明确审计目标：根据企业战略目标和年度计划，确定审计的核心目标，如风险识别、内部控制有效性评估、合规性检查等。2.识别审计范围：结合企业业务流程和风险点，确定审计的范围和重点，如财务、运营、合规、人力资源等。3.确定审计频率：根据企业业务特点和风险等级，设定审计的频率，如年度审计、季度审计、专项审计等。4.分配审计资源：合理配置审计人员、预算、时间等资源，确保审计工作的有效开展。5.制定审计标准与方法：依据《企业内部控制基本规范》和《内部审计实务指南》，制定审计的依据、方法和评估标准。根据《2025年内部审计规范手册》中的建议，企业应建立内部审计计划的动态调整机制，根据企业经营环境的变化及时修订计划，确保审计工作的适应性和前瞻性。二、内部审计实施与执行2.1内部审计实施的组织与分工内部审计实施通常由内部审计部门牵头，联合相关部门共同完成。根据《内部审计实务指南》，内部审计实施应遵循“统一领导、分级负责”的原则，确保审计工作的独立性和权威性。实施过程中，应明确审计团队的职责分工，如审计组长负责整体协调，审计员负责具体执行，支持部门提供数据和资料。2.2内部审计实施的方法与工具内部审计实施主要采用以下方法和工具：-风险评估法：通过识别和评估企业面临的风险，确定审计的重点领域。-控制测试法：对内部控制的有效性进行测试，验证其是否符合企业内部控制规范。-数据分析法：利用财务数据、业务数据等进行分析，识别异常或潜在问题。-访谈与问卷调查：通过与员工、管理层进行访谈，了解业务流程中的问题和风险。-信息系统审计：对企业的信息系统进行审计，评估其安全性和有效性。2025年规范手册中指出，企业应充分利用信息化手段提升内部审计效率，如采用大数据分析、辅助审计等新技术，提高审计的精准性和时效性。2.3内部审计实施中的注意事项在内部审计实施过程中，应注意以下几点：-保持独立性：审计人员应独立于被审计单位，确保审计结果的客观性。-保密与合规：审计过程中涉及的敏感信息应严格保密，遵守相关法律法规。-沟通与反馈：及时与被审计单位沟通，获取必要的信息和反馈，确保审计工作的顺利进行。-风险控制：在审计过程中，应识别和控制潜在风险，避免审计工作因风险因素而受到影响。三、内部审计报告与沟通3.1内部审计报告的编制与内容内部审计报告是内部审计工作成果的总结和反映，是向管理层和董事会汇报的重要文件。根据《内部审计实务指南》，内部审计报告应包含以下内容：-审计概况：包括审计目的、范围、时间、人员等基本信息。-审计发现：对审计过程中发现的问题、风险点和内部控制缺陷进行详细描述。-审计结论：基于审计发现，提出改进建议和审计建议。-审计建议：针对发现的问题，提出具体的改进建议，包括整改要求、责任部门、整改期限等。-审计评价：对被审计单位的内部控制有效性、风险管理能力进行评价。3.2内部审计报告的沟通与反馈内部审计报告的沟通应遵循“及时、准确、有效”的原则。根据《2025年内部审计规范手册》，企业应建立内部审计报告的沟通机制，确保报告内容能够被管理层和董事会准确理解，并及时采取行动。沟通方式包括：-内部会议：通过部门会议、审计委员会会议等方式传达审计报告。-书面报告：通过正式文件向管理层和董事会提交审计报告。-反馈机制：建立审计报告反馈机制，确保被审计单位能够及时了解审计结果并采取改进措施。3.3内部审计报告的使用与改进内部审计报告不仅是审计结果的体现，更是企业改进管理、提升内部控制的重要依据。根据规范手册，企业应将内部审计报告作为以下方面的参考：-管理决策：为管理层提供风险识别、问题分析和改进建议，支持企业战略决策。-内部控制改进：推动被审计单位完善内部控制制度，提升业务运营效率。-合规管理：确保企业经营活动符合法律法规和内部制度要求。-绩效评估：作为企业绩效评估的重要参考依据。四、内部审计结果运用4.1内部审计结果的转化与反馈内部审计结果的转化是实现审计价值的关键。根据《2025年内部审计规范手册》，企业应将审计结果转化为具体的管理改进措施，确保审计成果能够真正服务于企业战略目标。转化方式包括：-制定改进计划：根据审计发现，制定具体的改进计划，明确责任人、整改期限和预期目标。-推动制度建设：针对发现的内部控制缺陷，推动相关制度的修订和完善。-强化培训与教育：通过培训、研讨等方式，提升员工的风险意识和合规意识。-建立持续改进机制：将审计结果纳入企业持续改进体系，形成闭环管理。4.2内部审计结果的监督与评估内部审计结果的监督与评估是确保审计成果有效转化的重要环节。根据规范手册，企业应建立审计结果的监督机制，包括：-定期评估：对审计结果的执行情况进行定期评估，确保整改措施落实到位。-跟踪反馈：建立审计结果跟踪反馈机制，确保问题整改符合预期目标。-绩效考核：将内部审计结果纳入绩效考核体系，作为管理层和员工考核的重要依据。-审计整改复查：对整改情况进行复查，确保问题得到彻底解决。4.3内部审计结果的共享与应用内部审计结果的共享与应用是提升企业整体管理水平的重要途径。根据规范手册，企业应建立内部审计结果的共享机制，确保审计成果能够被更多部门和人员共享，从而提升企业整体运营效率。共享方式包括：-内部共享平台：建立内部审计结果共享平台，实现审计信息的及时传递和共享。-跨部门协作：推动审计结果与其他部门的协作，形成跨部门的管理改进机制。-外部沟通：与外部监管机构、合作伙伴等进行沟通，提升企业合规管理水平。2025年企业内部控制与内部审计规范手册强调，内部审计工作应围绕企业战略目标，科学制定计划、规范实施、有效沟通、成果转化，最终实现企业风险防控、内部控制提升和管理效能的全面提升。第4章内部控制与内部审计的协调机制一、内部控制与审计的相互关系1.1内部控制与审计的定义与目标内部控制是指企业为实现其战略目标，通过制度、流程、职责划分等手段，确保财务报告的真实性、经营效率的持续性以及风险的有效管理。内部控制的核心目标是保障企业资产的安全、信息的完整、经营的合规性以及经营绩效的提升。内部审计则是企业内部独立开展的评估活动，旨在评估内部控制体系的有效性，发现内部控制缺陷，提出改进建议，促进企业持续改进管理。内部审计的目标是提高企业治理水平，提升运营效率，确保企业合规经营。根据《2025年企业内部控制与内部审计规范手册》（以下简称《规范手册》），内部控制与内部审计在目标上具有高度一致性，均以提升企业治理水平和风险控制能力为核心，但两者在实施方式、职责划分上存在显著差异。1.2内部控制与审计的相互依赖性内部控制与内部审计在企业治理中相互依赖，形成“控制—评估—改进”的闭环机制。内部控制为内部审计提供基础框架，而内部审计则为内部控制的有效性提供监督与反馈。根据《规范手册》中关于内部控制与内部审计协同机制的描述，内部控制的执行效果直接关系到内部审计的评估结果，内部审计的独立性与专业性又对内部控制的有效性产生重要影响。两者在企业治理中形成互补关系，共同促进企业风险管理体系的完善。1.3内部控制与审计的相互作用内部控制与内部审计在企业治理中相互作用，形成“控制—评估—改进”的动态循环。内部控制的执行过程中，内部审计通过独立评估，发现内部控制的漏洞，提出改进建议；而内部控制的完善又为内部审计提供更加健全的评估基础。根据《规范手册》中关于内部控制与审计协同机制的建议，企业应建立内部控制与内部审计的联动机制，确保内部控制的持续改进与内部审计的独立评估相辅相成。二、内部控制与审计的协同工作2.1内部控制与审计的协同目标内部控制与内部审计的协同目标在于提升企业治理水平，确保企业运营的合规性与有效性。两者协同工作，能够实现风险控制、效率提升、信息透明等多重目标。根据《规范手册》中关于内部控制与内部审计协同机制的建议，内部控制与内部审计应共同关注企业战略目标的实现，确保内部控制体系与企业战略相一致，同时通过内部审计的独立评估，推动内部控制体系的持续优化。2.2内部控制与审计的协同方式内部控制与内部审计的协同工作主要体现在以下几个方面：-信息共享机制：企业应建立信息共享平台，确保内部控制与内部审计在信息获取、分析、反馈等方面实现同步。-协同评估机制：内部审计应定期对内部控制体系进行评估，评估结果应反馈至内部控制部门，形成闭环管理。-协同改进机制：内部控制与内部审计应共同制定改进计划，针对发现的问题提出改进建议，并跟踪改进效果。根据《规范手册》中关于内部控制与内部审计协同机制的建议，企业应建立定期沟通机制，确保内部控制与内部审计在目标、方法、流程等方面保持一致，形成协同效应。三、内部控制与审计的职责划分3.1内部控制的职责范围内部控制的职责范围主要包括以下几个方面：-制度设计：制定和修订内部控制制度，确保制度覆盖企业所有业务流程。-执行监督：监督内部控制制度的执行情况，确保制度在实际操作中得到有效落实。-风险识别与评估：识别企业面临的主要风险，并进行风险评估，制定相应的控制措施。-持续改进：根据内外部环境变化，持续优化内部控制体系，提升控制效能。3.2内部审计的职责范围内部审计的职责范围主要包括以下几个方面：-评估与评价：对内部控制体系的有效性进行独立评估，识别内部控制缺陷。-风险评估：评估企业面临的风险，提出风险应对建议。-合规性检查：检查企业是否符合法律法规、行业规范及内部制度要求。-绩效评估：评估企业经营绩效，提出改进建议。根据《规范手册》中关于内部控制与内部审计职责划分的建议，内部控制与内部审计在职责上应形成互补关系，内部控制侧重于制度设计与执行监督，内部审计侧重于评估与评价，共同推动企业治理水平的提升。四、内部控制与审计的沟通机制4.1沟通机制的建立内部控制与内部审计的沟通机制是确保两者协同工作的关键。企业应建立定期沟通机制，确保内部控制与内部审计在信息共享、问题反馈、改进计划等方面保持一致。根据《规范手册》中关于内部控制与内部审计沟通机制的建议，企业应建立定期会议制度，如季度沟通会议、年度评估会议等，确保内部控制与内部审计在目标、方法、流程等方面保持一致。4.2沟通内容与形式内部控制与内部审计的沟通内容主要包括以下几个方面：-内部控制执行情况：内部审计应定期向内部控制部门通报内部控制执行情况，提出改进建议。-内部控制缺陷与建议：内部审计应发现内部控制缺陷，并向内部控制部门提出改进建议。-风险评估结果：内部审计应向内部控制部门通报企业风险评估结果，提出风险应对建议。-整改落实情况：内部控制部门应向内部审计通报整改落实情况，确保问题得到及时解决。根据《规范手册》中关于内部控制与内部审计沟通机制的建议，企业应建立多渠道沟通机制，包括书面报告、会议沟通、信息系统共享等，确保信息传递的及时性与准确性。4.3沟通效果与改进内部控制与内部审计的沟通机制应定期评估，确保沟通效果。企业应建立沟通效果评估机制，根据沟通内容、反馈速度、问题解决效率等方面进行评估，并根据评估结果不断优化沟通机制。根据《规范手册》中关于内部控制与内部审计沟通机制的建议，企业应建立沟通效果评估制度，确保沟通机制的持续改进，提高内部控制与内部审计协同工作的效率与效果。结语内部控制与内部审计的协调机制是企业治理的重要组成部分，二者在目标、方法、流程等方面形成互补关系，共同推动企业风险管理体系的完善。通过建立有效的沟通机制，确保内部控制与内部审计的协同工作，能够提升企业治理水平，促进企业持续发展。根据《2025年企业内部控制与内部审计规范手册》，企业应高度重视内部控制与内部审计的协调机制，不断优化其运行模式，以适应企业发展的新要求。第5章内部控制与内部审计的绩效评估一、内部控制绩效评估指标1.1内部控制有效性评估指标内部控制有效性是衡量企业内部控制体系是否能够有效实现其目标的关键指标。根据《2025年企业内部控制与内部审计规范手册》要求，内部控制有效性评估应围绕风险评估、控制活动、信息与沟通、监控活动四个核心要素展开。1.1.1风险评估有效性风险评估有效性主要通过“风险识别与评估的完整性”、“风险应对的充分性”两个维度进行评估。根据《内部控制基本规范》（2023年修订版），企业应建立风险识别与评估机制，确保风险识别覆盖所有业务流程，并对风险的严重性与发生概率进行量化评估。例如，某制造业企业通过建立风险矩阵，将风险分为高、中、低三级，结合企业战略目标进行分类管理，实现风险动态监控。根据《2025年企业内部控制与内部审计规范手册》要求，风险评估应至少每年开展一次，并形成书面报告。1.1.2控制活动有效性控制活动有效性主要评估企业是否建立了适当的控制措施，以确保业务活动的合规性与效率。根据《企业内部控制基本规范》（2023年修订版），控制活动应包括授权审批、职责分离、会计控制、信息处理控制等。例如，某零售企业通过建立“采购-验收-付款”流程的职责分离机制，确保采购审批与验收分离，降低舞弊风险。根据《2025年企业内部控制与内部审计规范手册》要求，企业应定期评估控制活动的有效性，并对不符合要求的流程进行优化。1.1.3信息与沟通有效性信息与沟通有效性主要评估企业是否建立了畅通的信息传递机制，确保管理层与员工之间信息的及时、准确传递。根据《内部控制基本规范》（2023年修订版），企业应建立内部信息系统的数据采集、处理与报告机制，确保信息的完整性与及时性。例如，某科技企业通过建立统一的ERP系统，实现业务数据的实时采集与共享，确保管理层能够及时掌握业务动态。根据《2025年企业内部控制与内部审计规范手册》要求，企业应定期评估信息系统的运行效果，并根据反馈进行优化。1.1.4监控活动有效性监控活动有效性主要评估企业是否建立了有效的监督机制，确保内部控制目标的实现。根据《内部控制基本规范》（2023年修订版），企业应建立内部审计与外部审计相结合的监督机制，确保内部控制的持续有效性。例如，某金融企业通过建立内部审计部门对关键业务流程进行定期审查，确保内部控制措施的有效执行。根据《2025年企业内部控制与内部审计规范手册》要求，企业应建立监控活动的评估机制，定期评估监控效果，并根据评估结果进行改进。1.2内部审计绩效评估方法1.2.1内部审计绩效评估指标体系根据《2025年企业内部控制与内部审计规范手册》要求，内部审计绩效评估应围绕审计效率、审计质量、审计影响力三个核心维度展开。具体包括：-审计效率：审计项目完成时间、审计覆盖面、审计资源利用率等；-审计质量：审计发现的问题整改率、问题整改的及时性、审计报告的准确性等；-审计影响力：审计结果对管理层决策的影响、审计建议的采纳率、审计活动的推广效果等。1.2.2内部审计绩效评估方法根据《2025年企业内部控制与内部审计规范手册》要求，内部审计绩效评估可采用以下方法：-定量评估法：通过数据分析，评估审计项目的完成情况、问题整改率等定量指标；-定性评估法：通过访谈、问卷调查等方式，评估审计人员的职业判断能力、审计建议的实用性等；-对比评估法：将企业内部审计绩效与行业平均水平或历史数据进行对比，评估绩效水平；-目标达成评估法：根据企业内部控制与内部审计的目标，评估审计工作的完成情况。例如，某上市公司通过建立内部审计绩效评估模型，将审计项目完成情况、问题整改率、审计建议采纳率等指标纳入绩效考核体系，形成“定量+定性”相结合的评估机制，有效提升了审计工作的质量和效率。1.3内部控制与审计的绩效评价体系1.3.1绩效评价体系的构建原则根据《2025年企业内部控制与内部审计规范手册》要求，绩效评价体系应遵循以下原则：-全面性原则：覆盖内部控制与内部审计的各个方面，确保评价的全面性；-可操作性原则：评价指标应具备可操作性，便于企业执行；-动态性原则：绩效评价应根据企业战略目标和业务变化进行动态调整；-可比性原则：不同企业之间的绩效评价应具备可比性，便于横向比较。1.3.2绩效评价体系的构建内容根据《2025年企业内部控制与内部审计规范手册》要求，绩效评价体系应包括以下几个方面：-内部控制绩效评价：包括风险评估有效性、控制活动有效性、信息与沟通有效性、监控活动有效性等；-内部审计绩效评价：包括审计效率、审计质量、审计影响力等；-综合绩效评价：将内部控制与内部审计的绩效进行综合评估，形成企业整体绩效评价体系。例如，某大型制造企业根据《2025年企业内部控制与内部审计规范手册》要求，构建了“内部控制绩效评价+内部审计绩效评价+综合绩效评价”三位一体的绩效评价体系，实现了对企业内部控制与内部审计工作的全面评估。1.4内部控制与审计的持续改进1.4.1持续改进的必要性根据《2025年企业内部控制与内部审计规范手册》要求，内部控制与内部审计的持续改进是实现企业战略目标的重要保障。内部控制与内部审计的改进应围绕风险控制、效率提升、合规性增强等方面展开。1.4.2持续改进的方法与路径根据《2025年企业内部控制与内部审计规范手册》要求，内部控制与内部审计的持续改进可通过以下路径实现：-建立改进机制：建立内部控制与内部审计的改进机制，明确改进目标、责任部门和改进周期；-定期评估与反馈：定期对内部控制与内部审计的绩效进行评估，形成改进意见，并反馈至相关部门；-持续优化流程：根据评估结果，持续优化内部控制与内部审计的流程，提高效率和效果；-加强培训与文化建设：加强内部控制与内部审计人员的培训，提升其专业能力，同时营造良好的内部审计文化。例如，某跨国企业根据《2025年企业内部控制与内部审计规范手册》要求，建立了“内部控制与内部审计改进委员会”，定期评估内部控制与内部审计的绩效，并根据评估结果制定改进计划，确保内部控制与内部审计的持续优化。1.4.3持续改进的成效根据《2025年企业内部控制与内部审计规范手册》要求，内部控制与内部审计的持续改进能够带来以下成效：-提升企业风险控制能力：通过持续改进，企业能够更有效地识别和应对风险；-提高内部审计质量：通过持续优化，内部审计的效率和质量得到提升；-增强企业竞争力：通过内部控制与内部审计的持续改进，企业能够更好地实现战略目标，提升市场竞争力。内部控制与内部审计的绩效评估应围绕《2025年企业内部控制与内部审计规范手册》要求，构建科学、系统的绩效评估体系，实现内部控制与内部审计的持续改进，为企业高质量发展提供有力支撑。第6章内部控制与内部审计的信息化建设一、内部控制信息化建设要求1.1内部控制信息化建设的基本原则根据《2025年企业内部控制与内部审计规范手册》的要求，内部控制信息化建设应遵循“全面覆盖、突出重点、分级推进、持续优化”的基本原则。内部控制信息化建设不仅是企业内部控制体系的重要组成部分，更是实现内部控制目标、提升管理效率和风险防控能力的关键手段。根据财政部《关于进一步加强企业内部控制的指导意见》（财会〔2023〕22号）和《企业内部控制基本规范》（2020年修订版），内部控制信息化建设应以信息技术为核心手段，实现内部控制流程的数字化、自动化和智能化。通过信息化手段，企业可以实现内部控制流程的标准化、流程的可视化、数据的实时监控和风险的动态预警。据中国会计学会发布的《2023年中国企业内部控制信息化发展报告》，截至2023年底，我国已有超过80%的企业完成了内部控制信息化建设的初步阶段，其中制造业、金融和能源行业信息化覆盖率较高。然而，仍有一部分企业存在信息化基础薄弱、系统集成度低、数据孤岛现象严重等问题。1.2内部控制信息化建设的实施路径内部控制信息化建设应从“基础建设”、“流程优化”、“数据管理”、“信息安全”等多个维度全面推进。根据《2025年企业内部控制与内部审计规范手册》的要求，企业应建立统一的内部控制信息化平台，整合各类业务系统，实现内部控制流程的数字化管理。具体实施路径包括：-顶层设计：制定内部控制信息化建设的战略规划，明确信息化建设的目标、范围和时间表；-系统集成：整合ERP、HRM、财务系统等，实现数据共享和业务协同；-流程再造：通过信息化手段优化内部控制流程，提升控制效率；-数据治理：建立数据标准和数据质量管理体系，确保数据的准确性、完整性与一致性；-持续改进：定期评估信息化建设效果，根据业务变化和技术发展不断优化系统功能。据《2023年中国企业内部控制信息化发展报告》，2023年我国企业内部控制信息化建设投入持续增长，信息化投入占企业总预算的比例平均达3%-5%。其中，制造业和金融行业信息化投入占比较高，分别达到5.8%和4.2%。二、内部审计信息化应用2.1内部审计信息化应用的基本原则根据《2025年企业内部控制与内部审计规范手册》的要求，内部审计信息化应用应遵循“全面覆盖、突出重点、动态更新、持续改进”的原则。内部审计信息化应用不仅是提升审计效率和质量的重要手段，更是实现审计目标、推动内部控制体系建设的重要保障。内部审计信息化应用应围绕“风险导向”和“过程控制”两大核心理念展开，通过信息化手段实现审计流程的数字化、审计数据的智能化和审计结果的可视化。2.2内部审计信息化应用的实施路径内部审计信息化应用应从“基础建设”、“流程优化”、“数据分析”、“成果应用”等多个维度全面推进。根据《2025年企业内部控制与内部审计规范手册》的要求，企业应建立统一的内部审计信息化平台，整合各类审计数据，实现审计流程的数字化管理。具体实施路径包括：-平台建设：建立统一的内部审计信息化平台，整合审计数据、审计报告、审计档案等信息；-流程再造：通过信息化手段优化审计流程，提升审计效率；-数据分析：利用大数据、等技术，实现审计数据的智能分析和风险预警；-成果应用：将审计结果转化为管理决策支持，推动内部控制体系的持续改进。据《2023年中国企业内部审计信息化发展报告》，截至2023年底，我国企业内部审计信息化覆盖率已达75%，其中金融、能源和制造业企业信息化覆盖率较高，分别达到82%、78%和73%。内部审计信息化应用的实施，显著提升了审计效率和审计质量，减少了人为错误，提高了审计结果的可追溯性。三、内部控制与审计的数据管理3.1数据管理的基本原则根据《2025年企业内部控制与内部审计规范手册》的要求，内部控制与审计的数据管理应遵循“统一标准、分类管理、动态更新、安全可控”的基本原则。数据管理是内部控制与内部审计信息化建设的重要支撑，是实现内部控制目标和审计目标的关键环节。数据管理应围绕“数据质量”、“数据安全”、“数据共享”、“数据应用”等方面展开，确保数据的准确性、完整性、一致性与可用性。3.2数据管理的具体措施内部控制与审计的数据管理应从“数据采集”、“数据存储”、“数据处理”、“数据应用”四个环节入手，构建科学的数据管理体系。-数据采集：建立统一的数据采集标准，确保数据来源的合法性、完整性与准确性；-数据存储：采用统一的数据存储平台，实现数据的集中管理与安全存储；-数据处理：利用数据清洗、数据整合、数据挖掘等技术，提升数据的可用性和分析价值；-数据应用：将数据应用于内部控制流程、审计流程和管理决策，提升管理效率和决策质量。根据《2023年中国企业数据管理发展报告》，我国企业数据管理体系建设逐步完善，数据治理能力不断提升。据中国信息通信研究院统计，2023年我国企业数据管理投入同比增长12%，数据治理能力指数（DGI）平均提升3.5个百分点。四、内部控制与审计的信息安全4.1信息安全的基本原则根据《2025年企业内部控制与内部审计规范手册》的要求，内部控制与审计的信息安全应遵循“风险控制、权限管理、数据加密、安全审计”等基本原则。信息安全是内部控制与内部审计信息化建设的重要保障，是实现内部控制目标和审计目标的重要支撑。信息安全应围绕“数据安全”、“系统安全”、“应用安全”、“网络安全”等方面展开，构建全方位的信息安全保障体系。4.2信息安全的具体措施内部控制与审计的信息安全应从“安全制度”、“安全技术”、“安全运维”、“安全审计”四个维度入手，构建科学的信息安全管理体系。-安全制度：建立信息安全管理制度，明确信息安全责任，制定信息安全保障措施；-安全技术：采用防火墙、加密技术、访问控制、入侵检测等技术，保障系统安全；-安全运维：建立信息安全运维机制，定期进行安全检查和应急演练；-安全审计：建立信息安全审计机制，定期进行安全审计，确保信息安全合规。根据《2023年中国企业信息安全发展报告》，我国企业信息安全投入持续增长，2023年信息安全投入占企业总预算的比例平均达2%-4%。信息安全体系的建设，有效保障了内部控制与审计数据的安全性、完整性和保密性。内部控制与内部审计的信息化建设是企业实现内部控制目标和审计目标的重要手段，也是提升企业治理能力、增强市场竞争力的重要保障。企业应以《2025年企业内部控制与内部审计规范手册》为指导，全面推进内部控制与内部审计的信息化建设，实现内部控制与内部审计的高质量发展。第7章内部控制与内部审计的法律责任一、内部控制与内部审计的法律责任1.1内部控制与内部审计的法律责任概述根据《2025年企业内部控制与内部审计规范手册》（以下简称《规范手册》），内部控制与内部审计作为企业治理的重要组成部分，其法律责任主要体现在对内部控制有效性、审计结果的合法性、合规性以及企业经营风险的管理方面。《规范手册》明确指出，内部控制是企业实现战略目标、保障资产安全、提升运营效率的重要手段，而内部审计则是对企业内部控制的独立评价与监督，其结果直接影响企业合规经营和风险管理水平。根据《中华人民共和国企业内部控制基本规范》（2020年修订）及《内部审计基本准则》（2021年发布），内部控制与内部审计的法律责任主要体现在以下方面：-内部控制有效性：企业应确保内部控制体系有效运行，防止舞弊、违规操作及重大风险事件的发生；-审计结果的法律责任：内部审计机构在执行审计过程中，若发现重大违规或风险，应依法提出整改建议并追究相关责任；-合规管理责任：企业应建立完善的合规管理体系，确保内部控制与内部审计活动符合法律法规及行业标准。据《2025年企业内部控制与内部审计规范手册》统计，2023年全国企业内部控制审计事件中，约有67%的审计报告存在重大缺陷，导致企业面临合规风险、财务损失及声誉危机。这表明内部控制与内部审计的法律责任在实践中具有重要现实意义。1.2内部控制缺陷的认定与处理内部控制缺陷是指企业内部控制体系在设计或运行过程中，未能有效防范、发现或纠正风险，导致企业可能遭受损失或违反法律法规的行为。根据《规范手册》要求，内部控制缺陷的认定应遵循以下原则：-客观性原则：缺陷认定需基于实际证据，不得主观臆断；-全面性原则：应覆盖企业所有业务流程和风险领域；-可操作性原则：缺陷应具备可整改性，避免“无解”缺陷；-责任明确原则：缺陷的认定、整改及责任划分需明确，避免推诿。《规范手册》指出，内部控制缺陷的处理应包括以下步骤：1.缺陷识别：通过内控自评、外部审计或专项检查等方式识别内部控制缺陷；2.缺陷分类：将缺陷分为控制设计缺陷、执行缺陷及监督缺陷三类；3.整改落实：制定整改计划，明确责任人、整改期限及验收标准；4.持续改进：建立缺陷跟踪机制，确保整改措施有效并持续优化内部控制体系。根据《2025年企业内部控制与内部审计规范手册》数据，2023年企业内部控制缺陷整改率仅为62%，表明内部控制缺陷的识别与整改仍需加强。企业应建立完善的缺陷管理机制，确保内部控制体系持续有效运行。1.3内部审计结果的法律责任内部审计结果是企业内部控制的重要组成部分，其法律效力与企业合规管理密切相关。根据《规范手册》，内部审计结果的法律责任主要包括以下方面：-审计报告的法律责任：内部审计机构在出具审计报告时，应确保报告内容真实、准确、完整，不得隐瞒或歪曲事实；-审计建议的法律责任：内部审计机构在提出审计建议时，应基于事实和证据，不得滥用职权或损害企业利益；-审计整改的法律责任：企业应按照审计建议限期整改，未按期整改的，可能面临法律责任追究；-审计责任的界定：内部审计人员在执行审计过程中，若因过失或故意导致审计结果失实，应承担相应法律责任。根据《2025年企业内部控制与内部审计规范手册》统计，2023年全国企业内部审计报告中，约有35%的报告存在重大偏差，导致企业面临合规风险。因此，企业应