2025年企业内部审计与内部控制评价实施手册

2025年企业内部审计与内部控制评价实施手册第1章总则1.1审计与内部控制的定义与目标1.2审计与内部控制的实施原则1.3审计与内部控制的组织架构与职责第2章审计工作流程与方法2.1审计计划与立项2.2审计实施与执行2.3审计报告与结果反馈第3章内部控制评价体系构建3.1内部控制评价的基本框架3.2内部控制评价的指标体系3.3内部控制评价的实施流程第4章审计与内部控制评价的实施4.1审计项目的启动与准备4.2审计实施中的关键控制点4.3审计结果的分析与报告第5章审计与内部控制评价的持续改进5.1审计发现问题的整改机制5.2内部控制缺陷的整改与跟踪5.3审计与内部控制的持续优化第6章审计与内部控制评价的监督与管理6.1审计工作的监督机制6.2内部控制评价的监督流程6.3审计与内部控制的考核与激励第7章审计与内部控制评价的档案管理7.1审计资料的归档与保存7.2内部控制评价文件的管理7.3审计与内部控制评价的保密要求第8章附则8.1本手册的适用范围8.2修订与废止说明8.3审计与内部控制工作的责任与义务第1章总则一、审计与内部控制的定义与目标1.1审计与内部控制的定义与目标审计是指由独立的第三方对组织的财务报告、经营绩效、合规性及风险管理等方面进行系统性评价与监督的过程。其核心目标是确保组织的财务信息真实、完整，经营活动合法、有效，以及风险管理的健全性与有效性。审计不仅关注财务数据的准确性，还涉及组织运营的效率与效益，以及战略目标的实现。内部控制则是指组织为实现其经营目标而建立的一系列制度、流程与机制，旨在确保信息的完整性、资产的安全性、交易的合规性以及经营的效率与效果。内部控制体系通过风险识别、评估、应对与监督，为组织的稳健运行提供保障。根据《企业内部控制基本规范》（2020年修订版）及相关行业标准，企业应建立覆盖全业务流程的内部控制体系，确保各项业务活动的合法性、合规性与有效性。2025年企业内部审计与内部控制评价实施手册的制定，旨在进一步完善内部控制体系，提升审计工作的专业性与系统性，实现企业战略目标的科学支撑。1.2审计与内部控制的实施原则审计与内部控制的实施应遵循以下基本原则：1.独立性原则：审计机构应保持独立性，不受被审计单位的干扰，确保审计结果的客观性与公正性。内部控制体系应建立在独立、客观、公正的基础上，避免利益冲突。2.全面性原则：审计与内部控制应覆盖组织的全部业务流程与关键环节，确保无遗漏、无死角，实现对组织整体运营的全面监督与评价。3.重要性原则：审计与内部控制应根据组织的业务规模、风险水平及管理需求，确定重点控制点与审计范围，避免资源浪费。4.持续性原则：内部控制应贯穿于组织的全过程，而非一次性建设。审计工作应定期开展，确保内部控制体系的动态优化与持续改进。5.风险导向原则：内部控制应以风险识别与评估为核心，将风险控制纳入审计与评价的重点内容，实现风险与控制的动态平衡。根据《企业内部控制基本规范》及《内部审计实务指南》（2023年版），2025年企业内部审计与内部控制评价实施手册将依据上述原则，结合企业实际情况，制定科学、系统的审计与内部控制实施框架。二、审计与内部控制的组织架构与职责1.3审计与内部控制的组织架构与职责为确保审计与内部控制工作的高效实施，企业应建立专门的审计与内部控制组织架构，明确各岗位的职责与权限，形成分工明确、协作顺畅的工作机制。1.3.1审计组织架构企业应设立独立的审计部门，负责审计工作的计划、实施、报告与监督。审计部门应具备以下职责：-制定年度审计计划，明确审计范围、对象及重点；-组织实施内部审计工作，包括专项审计、专项检查及风险评估；-收集、整理审计资料，形成审计报告；-对审计发现的问题提出整改建议，并跟踪整改落实情况；-配合外部审计机构的工作，确保审计工作的完整性与合规性。1.3.2内部控制组织架构内部控制体系应由董事会、管理层及各业务部门共同参与，形成“领导决策—执行—监督”的三级管理体系。-董事会：负责内部控制体系的顶层设计，批准内部控制政策及重大风险评估报告；-管理层：负责制定内部控制制度，监督内部控制体系的执行情况；-业务部门：负责内部控制的具体实施，确保各项业务活动符合内部控制要求；-内审部门：负责内部控制的监督与评价，提出改进建议，推动内部控制体系的持续优化。1.3.3审计与内部控制的职责分工审计与内部控制的职责应明确划分，避免职责重叠或遗漏。审计部门应独立于业务部门，确保审计工作的客观性与公正性。内部控制部门应制定并执行内部控制制度，确保各项业务活动的合规性与有效性。2025年企业内部审计与内部控制评价实施手册将依据上述架构与职责，制定具体的实施路径与操作规范，确保审计与内部控制工作在企业内部有效运行，为企业的稳健发展提供坚实保障。第2章审计工作流程与方法一、审计计划与立项2.1审计计划与立项审计计划是企业内部审计工作的基础，是确保审计工作有序开展、实现审计目标的重要保障。根据《企业内部审计实施指南》和《2025年企业内部审计与内部控制评价实施手册》，审计计划应结合企业战略目标、业务流程、风险状况及资源分配情况制定。在2025年，企业内部审计工作将更加注重前瞻性与系统性，审计计划的制定需遵循“目标导向、风险导向、资源导向”原则。审计计划通常包括以下内容：1.审计目标设定：明确审计的总体目标和具体目标，如评估内部控制有效性、识别财务舞弊风险、评估合规性等。根据《内部控制基本准则》，审计目标应与企业战略目标相一致，确保审计结果能够为管理层提供决策支持。2.审计范围确定：根据企业业务结构、风险重点及审计资源分配，确定审计的范围和重点。例如，针对财务部门、采购部门、销售部门等关键业务单元，制定相应的审计计划。3.审计资源分配：合理安排审计人员、时间、预算等资源，确保审计工作的高效执行。根据《内部审计工作规范》，审计资源应与审计任务的复杂程度、风险等级相匹配。4.审计时间安排：制定详细的审计时间表，包括审计准备、实施、报告和后续跟进等阶段。根据《审计项目管理流程》，审计时间安排应考虑审计的连续性和阶段性，确保审计工作的顺利推进。5.审计立项依据：审计立项需基于企业内部管理需求、外部监管要求及风险预警信号。例如，根据《审计项目立项管理办法》，审计立项需提交立项申请报告，经相关部门审批后方可启动。在2025年，随着企业数字化转型的加速，审计计划将更加注重信息化手段的应用。例如，利用大数据分析、技术等工具，提升审计效率和准确性。根据《企业内部控制信息化建设指南》，审计计划应结合企业信息系统的建设进度，合理安排审计资源。二、审计实施与执行2.2审计实施与执行审计实施是审计工作的核心环节，是将审计计划转化为实际审计行动的过程。在2025年，审计实施将更加注重过程控制和结果导向，确保审计质量与效率。审计实施主要包括以下几个阶段：1.前期准备：审计人员需对被审计单位进行初步了解，包括业务流程、组织架构、人员职责等。根据《内部审计工作流程》，审计人员应进行现场实地考察，收集相关资料，并与相关部门沟通，确保审计工作的全面性。2.审计实施：在前期准备的基础上，审计人员开展实质性审计工作，包括数据收集、分析、访谈、文档审查等。根据《审计实务操作指南》，审计人员应遵循“审计证据充分、审计结论可靠”的原则，确保审计结果的客观性。3.审计报告编制：审计完成后，审计人员需根据审计证据和分析结果，编制审计报告，包括审计发现、审计结论、改进建议等。根据《审计报告编制规范》，审计报告应结构清晰、内容完整，便于管理层理解和决策。4.审计沟通与反馈：审计报告编制完成后，审计人员需与被审计单位进行沟通，反馈审计发现，并提出改进建议。根据《内部审计沟通与反馈机制》，审计沟通应注重双向交流，确保被审计单位理解审计目的和要求。在2025年，随着企业内部控制体系的不断完善，审计实施将更加注重内部控制的评价与改进。根据《内部控制评价实施指南》，审计实施应结合内部控制评价，对内部控制的健全性、有效性和合规性进行评估，提出改进建议。三、审计报告与结果反馈2.3审计报告与结果反馈审计报告是审计工作的最终成果，是企业内部审计向管理层传递信息的重要载体。根据《审计报告编制规范》，审计报告应包括审计目的、审计范围、审计过程、审计发现、审计结论及改进建议等内容。在2025年，审计报告的编制将更加注重专业性和可读性，同时结合数据支撑和案例分析，增强说服力。例如，审计报告中可引用财务数据、业务流程图、风险评估结果等，使审计结论更具权威性和参考价值。审计结果反馈是审计工作的延续，是确保审计建议落实的重要环节。根据《内部审计结果反馈机制》，审计结果反馈应包括以下内容：1.审计结果通报：审计报告完成后，审计人员需将审计结果以书面或口头形式向管理层通报，确保管理层了解审计发现和建议。2.整改落实跟踪：审计结果反馈后，被审计单位需在规定时间内提交整改计划和落实情况。根据《内部审计整改跟踪管理规范》，审计人员应定期跟踪整改进度，确保整改落实到位。3.审计后续跟进：对整改不到位或未落实的审计问题，审计人员应进行后续跟进，必要时可启动复审或专项审计，确保问题得到彻底解决。在2025年，随着企业内部控制体系的不断完善，审计报告与结果反馈将更加注重与企业战略目标的结合。根据《内部控制评价与审计结果反馈机制》，审计结果应与企业战略规划、风险管理、绩效考核等相结合，形成闭环管理，提升企业整体管理水平。审计工作流程与方法的科学制定与有效执行，是企业实现高质量发展的重要保障。在2025年，企业内部审计应进一步提升专业能力，加强信息化建设，推动审计工作向精细化、智能化发展，为企业管理提供有力支持。第3章内部控制评价体系构建一、内部控制评价的基本框架3.1内部控制评价的基本框架内部控制评价是企业内部控制体系建设的重要组成部分，是确保企业实现战略目标、保障财务报告真实性、促进经营管理效率和风险防控能力的重要手段。根据《企业内部控制基本规范》及相关标准，内部控制评价的基本框架主要包括以下几个方面：1.评价目的内部控制评价旨在通过系统、客观、公正的评估，识别和评估企业内部控制的缺陷，促进内部控制的有效性与持续改进。根据《企业内部控制评价指引》（2020年修订版），内部控制评价应围绕企业战略目标、风险控制、合规管理、运营效率、资产管理、财务报告等方面展开。2.评价主体内部控制评价的主体主要包括企业内部审计部门、董事会、监事会、管理层以及相关职能部门。其中，内部审计部门是内部控制评价的主要实施主体，负责制定评价方案、组织实施评价工作、收集评价资料、撰写评价报告等。3.评价范围内部控制评价的范围应覆盖企业所有业务活动、财务报告及相关信息的和传递过程。根据《企业内部控制评价指引》（2020年修订版），内部控制评价应覆盖企业所有业务流程、所有重要控制活动，以及所有相关风险点。4.评价方法内部控制评价通常采用定性与定量相结合的方法，包括但不限于：-问卷调查法：通过问卷形式收集员工对内部控制的意见和建议。-访谈法：对关键岗位人员进行访谈，了解内部控制的实际运行情况。-观察法：对内部控制流程进行实地观察，评估其执行效果。-数据分析法：通过数据分析，识别内部控制中的异常或潜在风险。-比率分析法：通过财务比率分析，评估内部控制的有效性。5.评价周期内部控制评价的周期通常为年度，但在某些情况下，如重大风险事件发生后，需进行专项评价。根据《企业内部控制评价指引》（2020年修订版），内部控制评价应定期开展，确保内部控制体系的持续有效性。二、内部控制评价的指标体系3.2内部控制评价的指标体系内部控制评价的指标体系是评估企业内部控制有效性的重要依据，其设计应符合《企业内部控制基本规范》和《企业内部控制评价指引》的要求，同时结合企业实际情况进行科学、合理的设计。1.控制环境指标控制环境是内部控制的基础，主要包括：-组织结构：企业组织架构是否清晰、职责划分是否明确。-企业文化：企业是否具备良好的内部控制文化，员工是否具备内部控制意识。-管理层重视程度：管理层是否重视内部控制，是否制定相关政策和制度。-内部审计机制：内部审计部门是否独立、有效，是否定期开展审计工作。2.风险评估指标风险评估是内部控制的重要环节，主要包括：-风险识别：企业是否能够识别和评估各类风险。-风险分类：风险是否按照重要性进行分类，是否进行优先级排序。-风险应对措施：企业是否制定相应的风险应对措施，如风险规避、风险降低、风险转移等。3.控制活动指标控制活动是保障内部控制有效性的关键环节，主要包括：-授权审批：是否实行严格的授权审批制度，确保各项业务的合规性。-职责分离：是否实现职责分离，防止权力过于集中。-会计控制：是否建立完善的会计控制体系，确保财务信息的真实性和完整性。-信息与沟通：是否建立有效的信息沟通机制，确保控制信息能够及时传递。4.监控指标监控是内部控制持续有效运行的重要保障，主要包括：-绩效评估：是否建立绩效评估机制，评估内部控制对业务目标的实现情况。-合规管理：是否建立合规管理体系，确保企业经营活动符合法律法规和内部制度。-审计监督：是否建立审计监督机制，确保内部控制的有效性。5.评价指标的权重与评分根据《企业内部控制评价指引》（2020年修订版），内部控制评价指标体系应包含定量和定性指标，其中定量指标占60%，定性指标占40%。评价指标的权重应根据重要性进行合理分配，确保评价结果的科学性和客观性。三、内部控制评价的实施流程3.3内部控制评价的实施流程内部控制评价的实施流程是确保评价结果真实、有效的重要保障，具体流程如下：1.前期准备-制定评价方案：由内部审计部门牵头，结合企业实际情况制定评价方案，明确评价目标、范围、方法和时间安排。-组建评价团队：组建由内部审计人员、财务人员、业务骨干等组成的评价团队，确保评价工作的专业性和客观性。-资料收集：收集企业内部控制相关制度、流程、历史数据等资料，为评价提供依据。2.评价实施-现场调查：对内部控制流程进行实地调查，了解实际运行情况。-访谈与问卷：对关键岗位人员进行访谈，收集员工对内部控制的意见和建议。-数据分析：通过数据分析，识别内部控制中的异常或潜在风险。-评分与评级：根据评价指标体系，对内部控制进行评分和评级，确定内部控制的有效性。3.评价报告-撰写评价报告：根据评价结果，撰写内部控制评价报告，内容包括评价目的、评价方法、评价结果、问题分析、改进建议等。-反馈与沟通：将评价结果反馈给企业管理层，召开会议进行讨论和沟通，确保评价结果的落实。4.整改与跟踪-制定整改计划：根据评价结果，制定整改计划，明确整改内容、责任人和完成时限。-跟踪整改：对整改计划的执行情况进行跟踪，确保整改措施的有效性。-持续改进：根据整改结果，持续优化内部控制体系，提升内部控制的有效性。5.后续评估-定期评估：根据企业实际情况，定期对内部控制体系进行评估，确保内部控制的有效性。-专项评估：在重大风险事件发生后，进行专项内部控制评估，确保内部控制的及时调整和优化。内部控制评价体系的构建应围绕企业战略目标，结合实际业务情况，科学设计评价指标，规范实施流程，确保内部控制的有效性和持续改进。2025年企业内部审计与内部控制评价实施手册的制定，将进一步推动企业内部控制体系的规范化、制度化和信息化建设，为企业的高质量发展提供有力保障。第4章审计与内部控制评价的实施一、审计项目的启动与准备4.1审计项目的启动与准备审计项目的启动与准备是整个审计工作的基础，是确保审计工作高效、有序进行的关键环节。根据《企业内部审计与内部控制评价实施手册》的要求，审计项目启动阶段应遵循以下原则：审计项目启动需明确审计目标和范围。审计目标应围绕企业战略目标和内部控制有效性进行设定，确保审计内容与企业实际运营需求相匹配。根据《审计准则》规定，审计目标应具体、可衡量，并与企业风险管理目标相一致。例如，2025年企业内部审计目标应聚焦于风险识别、控制措施有效性评估以及内部控制缺陷的识别与整改。审计项目启动需明确审计范围。审计范围应涵盖企业内部控制的关键环节，如财务报告、采购管理、销售管理、人力资源管理、信息技术管理等。根据《内部控制基本准则》和《企业内部控制应用指引》，审计范围应覆盖企业主要业务流程，并结合企业战略发展规划进行调整。审计项目启动需组建审计团队。审计团队应由具备相应资质的审计人员组成，包括注册会计师、内部审计师、财务分析师等。根据《审计项目管理规范》，审计团队应具备相关专业知识和经验，并根据项目复杂程度进行分工，确保审计工作的专业性和独立性。审计项目启动阶段需进行风险评估与资源调配。根据《审计风险评估指南》，审计团队应识别项目可能面临的风险，并制定相应的应对措施。同时，应合理调配审计资源，确保审计工作按时、高质量完成。4.2审计实施中的关键控制点审计实施中的关键控制点是指在审计过程中，需要重点关注并加以控制的环节，以确保审计工作的有效性和准确性。根据《审计工作底稿编制规范》和《内部审计操作指南》，关键控制点主要包括以下内容：1.审计计划的制定与执行审计计划是审计工作的核心，应依据企业实际情况和审计目标制定。审计计划应包括审计范围、时间安排、人员分工、审计方法等。根据《审计计划编制指南》，审计计划应充分考虑企业运营状况、内部控制环境以及潜在风险因素。2.审计证据的收集与验证审计证据是审计工作的基础，应确保审计证据的充分性和适当性。根据《审计证据收集与验证指南》，审计人员应通过访谈、观察、检查、函证等方式获取证据，并确保证据的客观性、相关性和可靠性。3.内部控制的有效性评估内部控制是企业实现目标的重要保障，审计人员应评估内部控制的有效性。根据《内部控制评价指南》，内部控制有效性评估应包括控制环境、风险评估、控制活动、信息与沟通、监督活动等方面。4.审计程序的执行与记录审计程序的执行应遵循审计准则，确保审计过程的规范性和可追溯性。根据《审计工作底稿编制规范》，审计人员应详细记录审计过程，包括审计发现、审计结论、审计建议等。5.审计工作的质量控制审计工作的质量控制是确保审计结果准确性的关键。根据《审计质量控制指南》，审计人员应遵循独立性原则，避免利益冲突，并通过复核、交叉验证等方式提高审计质量。6.审计报告的编制与提交审计报告是审计工作的最终成果，应真实、客观地反映审计发现和建议。根据《审计报告编制规范》，审计报告应包括审计概况、审计发现、审计结论、审计建议等内容，并确保报告内容符合相关法律法规和企业内部制度。4.3审计结果的分析与报告审计结果的分析与报告是审计工作的最终环节，是确保审计成果有效传递和落实的重要步骤。根据《企业内部审计与内部控制评价实施手册》的要求，审计结果的分析与报告应围绕2025年企业内部审计与内部控制评价实施目标展开，内容应兼顾专业性和通俗性，以提高审计结果的说服力和指导性。1.审计结果的分析审计结果的分析应围绕审计发现的内部控制缺陷、风险点以及改进措施进行深入分析。根据《审计结果分析指南》，审计人员应结合企业战略目标，分析内部控制缺陷的成因，评估其对企业运营的影响，并提出相应的改进建议。例如，若审计发现企业采购流程存在不规范问题，应分析其原因可能包括采购审批流程不完善、供应商管理不严格、采购合同管理不规范等，并评估这些缺陷对财务报告真实性、成本控制和供应链管理的影响。2.审计报告的编制审计报告应按照《审计报告编制规范》的要求，内容应包括以下部分：-审计概况：说明审计的背景、目的、范围、时间、人员等。-审计发现：详细列出审计过程中发现的问题，包括内部控制缺陷、财务异常、合规问题等。-审计结论：对审计发现进行总结，明确问题的严重性及影响范围。-审计建议：针对发现的问题提出改进建议，包括制度优化、流程改进、人员培训等。-审计评价：对内部控制体系的总体评价，包括控制环境、风险评估、控制活动等。根据《内部控制评价指南》，审计报告应采用结构化、条理清晰的方式呈现，确保审计结果易于理解和应用。3.审计结果的传达与落实审计结果的传达应通过正式的审计报告、会议讨论、内部沟通等方式进行。根据《内部审计沟通与报告指南》，审计结果应向管理层、相关部门及员工进行通报，确保审计建议能够有效落实。例如，若审计发现企业存在舞弊行为，应通过审计报告向管理层通报，并建议启动内部调查，制定相应的纠正措施，确保企业合规经营。4.审计结果的持续跟踪与反馈审计结果的分析与报告完成后，应建立持续跟踪机制，确保审计建议得到有效落实。根据《审计结果跟踪与反馈指南》，审计人员应定期跟踪审计建议的执行情况，并通过报告、会议等方式反馈进展，确保审计成果的持续性。审计项目的启动与准备、审计实施中的关键控制点以及审计结果的分析与报告，是确保企业内部审计与内部控制评价工作有效开展的重要环节。通过科学的计划、严格的控制、全面的分析和有效的报告，可以为企业内部控制体系的优化和风险防控提供有力支持。第5章审计与内部控制评价的持续改进一、审计发现问题的整改机制5.1审计发现问题的整改机制在2025年企业内部审计与内部控制评价实施手册中，审计发现问题的整改机制是确保审计结果有效落地、推动企业持续改进的重要环节。根据《企业内部控制基本规范》和《内部审计准则》的要求，企业应建立系统化的整改机制，确保审计发现的问题在规定时间内得到闭环处理。根据财政部发布的《2024年企业内部控制评价工作指引》，企业应建立“发现问题—整改—跟踪—复核”的闭环管理流程。具体而言，审计部门在完成审计工作后，应及时将发现的问题反馈至相关部门，并明确整改责任单位和责任人。整改期限一般不超过30个工作日，重大问题应由高层管理层牵头督办。在整改过程中，企业应采用“问题清单”与“整改台账”相结合的方式，确保整改过程可追溯、可考核。根据《内部审计工作底稿》的要求，审计部门需对整改情况进行跟踪检查，并形成整改报告，提交给审计委员会或管理层进行复核。企业应建立整改效果评估机制，通过定量与定性相结合的方式，评估整改措施的成效。例如，通过对比整改前后的关键绩效指标（KPI）变化、风险事件发生率下降情况等，评估整改工作的有效性。根据《内部控制评价报告》的编制要求，整改效果评估应作为内部控制评价的重要组成部分。5.2内部控制缺陷的整改与跟踪内部控制缺陷的整改与跟踪是审计与内部控制评价持续改进的核心内容。根据《企业内部控制基本规范》和《内部控制自我评价指引》，企业应针对内部控制缺陷进行分类管理，明确整改责任、时限和要求。内部控制缺陷通常分为以下几类：1.重大缺陷：影响企业持续经营能力或财务报告可靠性，需由高层管理层牵头整改；2.重要缺陷：影响内部控制有效性，需由相关部门牵头整改；3.一般缺陷：影响内部控制运行效率，需由相关职能部门整改。在整改过程中，企业应建立“问题—责任—措施—验收”的闭环管理机制。根据《内部控制缺陷整改工作指引》，企业应制定整改计划，明确整改措施、责任人、完成时间和验收标准。整改完成后，需进行整改效果评估，确保缺陷得到有效解决。同时，企业应建立整改跟踪机制，通过定期检查、专项审计等方式，确保整改工作按时完成。根据《内部审计工作底稿》的要求，审计部门需对整改情况进行跟踪检查，并形成整改报告，提交给管理层进行复核。在整改过程中，企业应注重整改的持续性与有效性。根据《内部控制评价报告》的编制要求，企业应将整改情况作为内部控制评价的重要内容，确保内部控制体系的持续优化。5.3审计与内部控制的持续优化审计与内部控制的持续优化是实现企业高质量发展的重要保障。在2025年企业内部审计与内部控制评价实施手册中，应围绕“制度完善、流程优化、技术赋能、文化驱动”四个方面推进持续优化。应完善审计制度与内部控制制度，确保制度的科学性、系统性和可操作性。根据《企业内部控制基本规范》和《内部审计准则》，企业应定期修订和完善内部审计制度，确保其与企业战略目标一致，并适应外部环境的变化。应优化审计流程与内部控制流程，提高审计效率和内部控制的有效性。根据《内部控制自我评价指引》，企业应建立科学的内部控制流程，明确各环节的职责和权限，确保内部控制的独立性、有效性和持续性。应加强审计与内部控制的信息化建设，利用大数据、等技术手段，提升审计与内部控制的效率和准确性。根据《内部控制信息化建设指引》，企业应推动内部控制信息化建设，实现数据的实时监控、分析和预警，提高内部控制的科学性和前瞻性。应推动审计与内部控制的持续优化文化，提升全员的内部控制意识和责任意识。根据《内部控制文化建设指引》，企业应将内部控制文化建设纳入企业战略，通过培训、宣传、考核等方式，提升员工对内部控制的理解和重视，推动内部控制体系的持续改进。审计与内部控制的持续改进是企业实现高质量发展的重要保障。在2025年企业内部审计与内部控制评价实施手册中，应围绕制度完善、流程优化、技术赋能、文化驱动四个方面，推动审计与内部控制的持续优化，确保企业内部控制体系的持续有效运行。第6章审计与内部控制评价的监督与管理一、审计工作的监督机制6.1审计工作的监督机制审计工作作为企业内部治理的重要组成部分，其有效运行不仅关系到企业财务信息的真实性与完整性，也直接影响到企业内部控制体系的健全性与有效性。为确保审计工作的规范性、独立性和权威性，企业应建立完善的审计监督机制，以实现审计目标的全面实现。根据《企业内部控制基本规范》及相关行业标准，审计监督机制应涵盖以下几个方面：1.审计机构的独立性与权威性企业应设立独立的审计机构，确保审计工作不受管理层干预，形成“内审—外审”双轨制的监督体系。根据《中国内部审计协会章程》，内部审计机构应具备独立性、客观性和专业性，其审计报告应经管理层批准后发布，以增强审计结果的权威性。2.审计工作的定期与不定期检查企业应建立审计工作的定期检查制度，如年度审计、专项审计、突击审计等，确保审计覆盖所有关键环节。同时，应结合业务发展情况，不定期开展审计检查，及时发现和纠正问题。3.审计结果的反馈与整改机制审计结果应通过正式文件形式反馈至相关部门，并明确整改期限及责任人。根据《审计工作底稿管理办法》，审计机构应形成审计报告，明确问题、原因、责任及改进建议，并跟踪整改落实情况，确保审计成果转化为管理改进措施。4.审计工作的监督与评估企业应建立审计工作的监督评估机制，通过内部审计部门对审计工作的执行情况进行评估，确保审计工作符合制度要求。根据《内部审计工作评估办法》，审计工作评估应涵盖审计计划、执行、报告、整改等多个维度，以提升审计工作的系统性和持续性。5.审计人员的职业道德与能力监督企业应建立审计人员的职业道德与专业能力监督机制，确保审计人员具备相应的专业资质和职业操守。根据《内部审计人员职业行为规范》，审计人员应遵守职业道德，不得利用职务之便谋取私利，确保审计结果的客观性与公正性。根据《2025年企业内部审计与内部控制评价实施手册》，审计工作的监督机制应结合企业实际，制定科学、合理的监督流程，确保审计工作高效、合规、有效。1.1审计工作的监督机制应涵盖独立性、定期检查、结果反馈、整改落实及人员监督等多个方面，确保审计工作的规范性和有效性。1.2审计工作的监督机制应建立在制度保障的基础上，通过明确的职责分工、流程规范和评估机制，提升审计工作的执行力和透明度。二、内部控制评价的监督流程6.2内部控制评价的监督流程内部控制评价是企业实现有效风险管理、提升运营效率的重要手段。为确保内部控制评价工作的科学性、系统性和持续性，企业应建立完善的内部控制评价监督流程，以实现内部控制体系的持续改进。根据《企业内部控制基本规范》及《内部控制评价指引》，内部控制评价的监督流程应包括以下几个关键环节：1.内部控制评价的组织与实施企业应设立专门的内部控制评价工作小组，由财务、审计、合规、业务等部门人员组成，确保评价工作的全面性和独立性。根据《内部控制评价工作指引》，评价工作应遵循“全面覆盖、重点突出、客观公正”的原则，确保评价结果真实、准确。2.内部控制评价的计划与执行企业应制定年度内部控制评价计划，明确评价范围、评价内容、评价方法及评价时间安排。根据《内部控制评价工作计划管理办法》，评价计划应结合企业战略目标和业务发展需求，确保评价工作与企业实际相结合。3.内部控制评价的实施与报告评价实施过程中，应采用定量与定性相结合的方法，如风险矩阵、流程分析、数据比对等，全面评估内部控制的有效性。评价结果应形成正式报告，并经管理层批准后发布，确保评价结果的权威性和可操作性。4.内部控制评价的反馈与整改企业应建立内部控制评价的反馈机制，针对评价中发现的问题，明确整改责任部门和整改期限，并跟踪整改落实情况。根据《内部控制评价整改管理办法》，整改应纳入企业绩效管理，确保问题整改到位。5.内部控制评价的持续改进企业应建立内部控制评价的持续改进机制，通过定期评估和动态调整，确保内部控制体系与企业战略和业务发展相适应。根据《内部控制评价持续改进指引》，企业应将内部控制评价纳入企业战略规划，形成闭环管理。根据《2025年企业内部审计与内部控制评价实施手册》，内部控制评价的监督流程应结合企业实际情况，制定科学、合理的评价方案，确保评价工作的系统性和有效性。2.1内部控制评价的监督流程应涵盖组织、计划、实施、报告、反馈、整改及持续改进等多个环节，确保评价工作的全面性和有效性。2.2内部控制评价的监督流程应建立在制度保障的基础上，通过明确的职责分工、流程规范和评估机制，提升评价工作的执行力和透明度。三、审计与内部控制的考核与激励6.3审计与内部控制的考核与激励审计与内部控制的考核与激励机制是推动企业内部治理和持续改进的重要手段。为提升审计与内部控制工作的积极性和执行力，企业应建立科学、合理的考核与激励机制，确保审计与内部控制工作在制度保障下高效运行。根据《企业内部审计工作考核办法》及《内部控制评价考核办法》，审计与内部控制的考核与激励应涵盖以下几个方面：1.审计工作的考核指标审计工作的考核应围绕审计目标、审计质量、审计效率、审计整改等方面展开。根据《内部审计工作考核办法》，审计工作考核应包括审计计划执行率、审计发现问题数量、问题整改率、审计报告质量等指标，确保审计工作有据可依、有章可循。2.内部控制评价的考核指标内部控制评价的考核应围绕评价结果、评价质量、整改落实情况、持续改进能力等方面展开。根据《内部控制评价考核办法》，内部控制评价考核应包括评价覆盖率、评价结果准确性、问题整改率、整改落实率等指标，确保内部控制评价工作有效推进。3.审计与内部控制的激励机制企业应建立审计与内部控制的激励机制，通过物质奖励、荣誉表彰、职业发展机会等方式，激发审计与内部控制人员的工作积极性。根据《内部审计人员激励办法》，审计人员应享有相应的薪酬待遇、晋升机会及职业发展支持，确保审计人员具备持续发展的动力。4.审计与内部控制的绩效考核与奖惩机制审计与内部控制的绩效考核应与企业绩效考核体系相结合，通过量化指标评估审计与内部控制工作的成效。根据《内部审计绩效考核办法》，审计与内部控制的绩效考核应纳入企业整体绩效管理体系，确保审计与内部控制工作与企业战略目标一致。5.审计与内部控制的持续改进机制企业应建立审计与内部控制的持续改进机制，通过定期评估和动态调整，确保审计与内部控制工作不断优化。根据《内部审计持续改进指引》，企业应将审计与内部控制的持续改进纳入企业战略规划，形成闭环管理。根据《2025年企业内部审计与内部控制评价实施手册》，审计与内部控制的考核与激励应结合企业实际，制定科学、合理的考核与激励方案，确保审计与内部控制工作在制度保障下高效运行。3.1审计与内部控制的考核与激励应围绕审计目标、审计质量、审计效率、审计整改、内部控制评价结果、整改落实、持续改进等方面展开，确保考核与激励机制的有效性。3.2审计与内部控制的考核与激励应建立在制度保障的基础上，通过明确的职责分工、流程规范和评估机制，提升考核与激励工作的执行力和透明度。第7章审计与内部控制评价的档案管理一、审计资料的归档与保存7.1审计资料的归档与保存审计资料的归档与保存是企业内部审计与内部控制评价工作的重要环节，是确保审计成果可追溯、可验证、可复原的基础。根据《2025年企业内部审计与内部控制评价实施手册》要求，审计资料的归档与保存应遵循“完整性、准确性、及时性、可追溯性”原则，确保审计过程的规范性和审计结果的有效性。根据《企业内部控制基本规范》及《内部审计实务指南》的相关规定，审计资料的归档应按照以下步骤进行：1.资料分类与编号：审计资料应按类别、时间、项目进行分类编号，确保资料的有序管理。例如，审计工作底稿、审计报告、审计结论、审计证据等应分别归档，并按时间顺序排列。2.归档时间与流程：审计工作完成后，应在规定时间内完成资料的归档工作。根据《2025年企业内部审计与内部控制评价实施手册》要求，审计资料应在审计项目完成后的15个工作日内完成归档，确保资料的及时性。3.归档方式与载体：审计资料应采用电子与纸质相结合的方式进行归档。根据《企业档案管理规定》及《审计信息化管理规范》，审计资料应保存在专门的档案室或电子档案系统中，确保资料的安全性和可访问性。4.归档标准与规范：审计资料的归档应符合《企业档案管理规范》《审计工作底稿管理规范》等相关标准，确保资料的完整性、准确性。例如，审计工作底稿应包含审计过程的详细记录，包括被审计单位的业务活动、内部控制情况、审计发现及应对措施等。5.归档责任与监督：审计资料的归档工作应由审计部门负责人或指定人员负责，确保归档工作的规范性和可追溯性。同时，应建立归档监督机制，定期检查归档情况，确保资料的完整性和有效性。根据《2025年企业内部审计与内部控制评价实施手册》相关数据，2024年全国企业审计资料归档率平均为87.6%，其中电子档案占比达63.2%，纸质档案占比为36.8%。这表明，随着信息技术的发展，审计资料的归档方式正逐步向数字化、信息化方向发展，提高审计资料的可查性与可追溯性。7.2内部控制评价文件的管理内部控制评价文件的管理是企业内部控制体系建设的重要组成部分，是确保内部控制评价结果有效传递与持续改进的关键环节。根据《2025年企业内部审计与内部控制评价实施手册》要求，内部控制评价文件的管理应遵循“完整性、准确性、可追溯性、可操作性”原则，确保评价结果的权威性与可执行性。内部控制评价文件主要包括以下内容：1.评价报告：包括内部控制评价的总体情况、评价结果、评价结论及改进建议。评价报告应由评价部门负责人签字确认，确保评价结果的权威性。2.评价依据：包括内部控制制度、业务流程、风险评估、控制措施等，确保评价结果的科学性与合理性。3.评价记录：包括评价过程中的访谈记录、问卷调查、测试结果、数据分析等，确保评价过程的可追溯性。4.整改落实情况：包括整改措施的制定、执行、验收及闭环管理情况，确保内部控制问题得到及时整改。根据《企业内部控制评价指引》及《内部控制评价工作手册》，内部控制评价文件的管理应遵循以下原则：-统一标准：内部控制评价文件应按照统一的评价标准和流程进行编制，确保评价结果的一致性与可比性。-分级管理：内部控制评价文件应按照企业层级进行分级管理，确保不同层级的评价结果能够有效传递与落实。-动态更新：内部控制评价文件应定期更新，确保评价内容与企业实际业务情况保持一致，避免评价结果的滞后性。根据《2025年企业内部审计与内部控制评价实施手册》相关数据，2024年企业内部控制评价文件的归档率平均为92.4%，其中电子档案占比达78.6%，纸质档案占比为17.4%。这表明，内部控制评价文件的管理正在向数字化、信息化方向发展，提高文件的可查性与可追溯性。7.3审计与内部控制评价的保密要求审计与内部控制评价的保密要求是确保审计与评价工作有效开展的重要保障，是维护企业信息安全和审计独立性的关键环节。根据《2025年企业内部审计与内部控制评价实施手册》要求，审计与内部控制评价的保密工作应遵循“保密性、安全性、可追溯性”原则，确保审计与评价信息的保密性与安全性。审计与内部控制评价涉及的敏感信息包括但不限于：-被审计单位的财务数据、业务流程、内部控制制度等；-审计过程中的发现结果、评价结论及整改建议；-审计人员的执业行为、工作记录及沟通信息；-企业内部管理的敏感信息及内部决策过程。根据《中华人民共和国审计法》及《企业保密工作规定》，审计与内部控制评价的保密工作应采取以下措施：1.信息分类与分级管理：对审计与内部控制评价涉及的信息进行分类和分级管理，确保不同级别的信息采取不同的保密措施。2.权限控制与访问限制：对审计与内部控制评价信息的访问权限进行严格控制，确保只有授权人员才能访问相关信息，防止信息泄露。3.保密协议与责任制度：对涉及敏感信息的人员签订保密协议，明确其保密责任，并建立保密责任追究机制。4.信息安全技术保障：采用加密技术、访问控制、日志审计等手段，确保审计与内部控制评价信息的安全性。根据《2025年企业内部审计与内部控制评价实施手册》相关数据，2024年企业审计与内部控制评价信息泄露事件发生率平均为0.3%，其中涉及财务数据泄露事件发生率为0.12%，表明企业在审计与内部控制评价的保密管理方面取得了一定成效。审计与内部控制评价的档案管理应以“规范、完整、安全、可追溯”为原则，确保审计资料和内部控制评价文件的有效管理，为企业的内部控制体系建设和持续改进提供坚实保障。第8章附则一、8.1本手册的适用范围8.1.1本手册适用于公司及其下属单位在2025年内部审计与内部控制评价工作中的整体实施与管理。手册涵盖了内部控制体系的构建、执行、监督与改进等关键环节，适用于公司所有职能部门、业务部门及分支机构。8.1.2本手册适用于公司内部审计部门、内部控制评价委员会、风险管理部、财务部、合规部等相关部门及人员。手册内容涵盖内部控制的制度建设、流程规范、风险识别与评估、控制措施的执行与监督等核心内容。8.1.3本手册适用于公司2025年内部审计与内部控制评价工作的全过程，包括但不限于以下方面：-内部控制体系的建立与完善；-业务流程的内部控制设计与执行；-风险管理的识别、评估与应对；-内部审计的实施与报告；-内部控制评价的组织、实施与结果应用。根据《企业内部控制基本规范》（2020年修订版）及《内部审计实务指南》（2023年版），本手册旨在为公司2025年内部控制体系建设提供系统性、规范化的指导。8.1.4本手册适用于公司所有层级的管理人员、审计人员、财务人员及业务操作人员，要求相关人员熟悉本手册内容，严格遵守内部控制制度，确保各项业务活动的合规性与有效性。二、8.2修订与废止说明8.2.1本手册的修订与废止遵循“统一标准、动态更新、分级管理”的原则。修订工作由公司内部控制委员会牵头，结合公司实际业务