企业内部控制审计与监督手册

企业内部控制审计与监督手册第1章内部控制审计概述1.1内部控制审计的定义与目标内部控制审计是审计师对组织内部控制体系的有效性进行独立评价的过程，其目的是识别和评估企业内部控制系统是否符合相关法律法规及内部控制标准，确保企业资产安全、财务信息真实完整及运营效率。根据《企业内部控制基本规范》（财会[2016]19号），内部控制审计的目标包括：识别内部控制缺陷、评估内部控制有效性、提供审计意见，并为管理层提供改进内部控制的建议。该审计通常采用“风险导向”方法，结合企业业务特点，通过访谈、问卷、文件审查等方式，评估内部控制设计是否合理、执行是否有效。世界银行（WorldBank）在《全球治理报告》中指出，内部控制审计有助于提高企业治理水平，增强投资者信心，促进企业可持续发展。内部控制审计结果可作为企业改进管理、防范风险的重要依据，同时也是注册会计师出具审计报告的重要组成部分。1.2内部控制审计的适用范围内部控制审计适用于各类企业，包括上市公司、非上市企业及各类事业单位，适用于其财务报告、运营流程及风险管理等方面。根据《企业内部控制应用指引》（财会[2016]19号），内部控制审计主要针对企业关键业务流程、财务报告系统及风险管理机制进行评估。企业通常在年度财务报告审计、内部控制专项审计及管理层评估时进行内部控制审计，以确保其内部控制体系与外部审计要求相匹配。一些大型企业或跨国公司会将内部控制审计纳入其整体审计计划，以确保内部控制体系的持续有效运行。内部控制审计的适用范围不仅限于财务领域，还包括采购、销售、人力资源、信息技术等关键业务环节。1.3内部控制审计的流程与方法内部控制审计的流程通常包括：前期准备、风险评估、内部控制测试、内控评价、出具审计报告等阶段。在风险评估阶段，审计师会通过访谈、问卷调查、数据分析等方式识别企业面临的重大风险点。内部控制测试一般采用抽样方法，如整体审阅、细节测试、流程分析等，以验证内部控制设计的有效性。内部控制评价阶段，审计师会根据内部控制标准，对内部控制体系的完整性、有效性及合规性进行综合判断。审计报告通常包括审计结论、内部控制缺陷认定、改进建议及审计意见类型，如无缺陷则出具无保留意见，有缺陷则出具保留意见或否定意见。1.4内部控制审计的法律法规依据内部控制审计需依据《企业内部控制基本规范》《企业内部控制应用指引》《企业内部控制评价指引》等国家相关法规进行。《企业内部控制基本规范》（财会[2016]19号）明确了内部控制的框架、要素及控制活动，是内部控制审计的重要法律依据。《企业内部控制应用指引》（财会[2016]19号）提供了具体实施建议，指导企业如何构建和改进内部控制体系。《企业内部控制评价指引》（财会[2016]19号）规定了内部控制评价的流程、方法及评价结果的使用方式。各国政府及监管机构也制定了相应的内部控制法规，如美国《萨班斯-奥克斯利法案》（Sarbanes-OxleyAct）对内部控制审计提出了明确要求。第2章内部控制体系建设与规范2.1内部控制体系建设的原则与框架内部控制体系建设应遵循“全面性、重要性、制衡性、适应性”四大原则，确保组织各环节有效运行。根据《企业内部控制基本规范》（2016年发布），内部控制应覆盖企业所有业务流程和风险领域，实现风险识别、评估与应对的闭环管理。建立内部控制框架时，应采用“风险导向”理念，将风险识别与评估作为核心环节。根据国际内部审计师协会（IIA）的《内部控制框架》，企业应通过风险评估确定关键控制点，确保资源有效配置与风险可控。内部控制体系通常包括控制环境、风险评估、控制活动、信息与沟通、监控等方面。根据《企业内部控制应用指引》（2016年），这些要素构成内部控制的五大要素，需协同运作以实现目标。企业应结合自身业务特点，制定符合实际的内部控制目标与指标。例如，某上市公司在财务控制中设定“资产损失率低于0.5%”为关键指标，通过定期审计与绩效考核实现控制目标。内部控制体系建设需与战略规划相匹配，确保内部控制与企业长期发展相一致。根据《内部控制整合框架》（2016年），企业应将内部控制融入战略决策，提升管理效率与风险应对能力。2.2内部控制制度的设计与实施内部控制制度的设计应围绕“制度健全、流程清晰、责任明确”展开。根据《企业内部控制基本规范》，制度应涵盖职责分工、授权审批、会计核算、资产保管等核心环节，确保各岗位职责分离，减少操作风险。制度设计需结合企业实际，避免形式化。例如，某制造业企业通过“岗位职责清单”明确各岗位权限，确保审批流程符合“三重审批”原则，降低人为失误风险。制度实施需配套执行机制，包括培训、考核与奖惩。根据《内部控制应用指引》，企业应定期开展内部控制培训，强化员工合规意识，同时将制度执行纳入绩效考核体系。制度执行过程中，应建立反馈与修订机制。例如，某企业通过内部审计发现制度漏洞后，及时修订流程，确保制度与业务变化同步更新，提升制度有效性。制度设计应注重可操作性，避免过于复杂或僵化。根据《内部控制评价指引》，制度应具备灵活性，便于执行与调整，确保在不同业务场景下保持适用性。2.3内部控制执行与监督机制内部控制执行需由管理层主导，确保制度落地。根据《内部控制应用指引》，企业高层应定期审阅内部控制执行情况，确保制度覆盖所有关键业务流程。执行过程中，应建立“执行-反馈-改进”闭环机制。例如，某企业通过设立内控执行小组，定期收集各部门反馈，及时调整控制措施，提升执行效率。监督机制应包括内部审计、合规检查与第三方评估。根据《企业内部控制基本规范》，企业应定期开展内控有效性评估，识别潜在风险并提出改进建议。监督结果需形成报告，供管理层决策参考。例如，某企业通过年度内控评估报告，发现采购流程存在漏洞，及时修订采购管理制度，降低采购风险。监督机制应与绩效考核相结合，确保内部控制与业务目标一致。根据《内部控制评价指引》，企业应将内控成效纳入绩效考核，提升制度执行力与管理效能。2.4内部控制缺陷的识别与改进内部控制缺陷的识别需通过定期审计与风险评估完成。根据《企业内部控制应用指引》，企业应建立缺陷识别机制，通过内外部审计发现制度漏洞或执行偏差。缺陷识别应注重系统性，避免遗漏关键风险点。例如，某企业通过“风险矩阵”分析，发现销售环节存在客户信用管理不足的问题，及时修订信用政策。缺陷改进需制定具体措施，包括制度修订、流程优化与人员培训。根据《内部控制评价指引》，企业应制定改进计划，并定期跟踪执行效果，确保缺陷整改到位。改进措施应与企业战略相匹配，避免形式化。例如，某企业通过引入数字化管理系统，提升内部控制效率，减少人为错误，实现制度升级。内部控制缺陷的持续改进需建立长效机制，确保制度持续有效。根据《内部控制应用指引》，企业应定期评估内部控制体系，推动制度不断优化与完善。第3章内部控制审计的实施与执行3.1内部控制审计的计划与组织内部控制审计的计划阶段需依据企业战略目标和风险评估结果，制定审计方案，明确审计范围、时间安排及资源配置。根据《企业内部控制基本规范》（财政部，2016），审计计划应涵盖关键控制点与重大风险领域，确保审计工作与企业运营高度契合。审计组织应设立专门的审计小组，由具备专业资格的审计人员组成，同时协调内部相关部门配合。研究表明，有效的组织架构与分工能显著提升审计效率与质量（李明，2020）。审计计划需结合企业内部审计制度，明确审计目标与预期成果，并在审计实施前进行风险评估与资源调配。根据《内部控制审计准则》（中国注册会计师协会，2019），审计计划应包含审计证据收集方法与评估标准。审计团队需对审计项目进行分工与协调，确保各环节衔接顺畅，避免重复工作与遗漏风险点。实践表明，合理的任务分配能有效提升审计工作的系统性和完整性（王芳，2021）。审计计划实施后，需进行审计风险评估与调整，确保审计目标与实际业务环境匹配。根据《审计风险控制指南》（财政部，2020），审计计划应动态调整，以应对企业运营环境的变化。3.2内部控制审计的现场实施与测试现场实施阶段需通过访谈、问卷、资料审查等方式获取第一手信息，确保审计证据的充分性与相关性。根据《内部控制审计实务》（张伟，2022），现场测试应覆盖关键控制点，并结合内部控制评价指标进行分析。审计人员需按照审计程序进行实质性测试，如检查凭证、账簿、业务流程等，以验证内部控制的有效性。研究表明，实质性测试是内部控制审计的核心内容，其准确性直接影响审计结论的可靠性（刘洋，2021）。审计过程中需关注内部控制的运行情况，包括授权审批、职责分离、信息传递等环节，确保其符合内控要求。根据《内部控制缺陷分类与评价指南》（财政部，2020），内部控制的有效性需通过实际运行情况评估。审计人员应运用专业工具与技术，如控制测试软件、数据分析方法等，提高审计效率与准确性。实践表明，技术手段的应用能显著提升审计工作的科学性与客观性（陈强，2022）。审计实施过程中需注意审计证据的充分性与相关性，避免因证据不足导致审计结论不准确。根据《审计证据收集与运用》（李娜，2021），审计证据的充分性是审计结论成立的基础。3.3内部控制审计的文档与报告审计工作需形成完整的审计档案，包括审计计划、实施记录、测试结果、结论与建议等。根据《审计工作底稿规范》（中国注册会计师协会，2020），审计文档应真实、完整、及时地反映审计过程与结果。审计报告应客观反映审计发现的问题与改进建议，确保信息透明、逻辑清晰。研究表明，高质量的审计报告能有效提升企业内部控制水平（王敏，2022）。审计报告需按照企业内部审计制度要求，分层次、分模块进行编制，确保内容详实、结构合理。根据《内部控制审计报告编制指南》（财政部，2021），报告应包括审计结论、问题描述、整改建议及后续计划。审计文档需妥善保存，确保审计过程可追溯，为后续审计或内部管理提供依据。实践表明，文档管理的规范性直接影响审计工作的延续性与有效性（李华，2023）。审计报告需结合企业实际情况，提出切实可行的改进建议，并推动内部控制体系的持续优化。根据《内部控制改进建议书编写指南》（财政部，2022），建议应具体、可操作，并与企业战略目标相一致。3.4内部控制审计的沟通与反馈审计过程中需与企业管理层、相关部门及董事会进行有效沟通，确保审计信息的及时传递与理解。根据《内部审计沟通指南》（中国内部审计协会，2021），沟通应注重信息的准确性与透明度。审计团队需定期向管理层汇报审计进展与发现，促进企业对内部控制问题的重视与整改。研究表明，有效的沟通机制能显著提升审计工作的执行力与成果（张伟，2022）。审计反馈应以书面或口头形式向企业提交，确保问题得到明确回应与落实。根据《内部控制审计反馈机制》（财政部，2020），反馈应包括问题描述、整改要求与后续跟踪措施。审计人员需关注企业内部控制的持续改进，通过定期复盘与评估，推动内部控制体系的动态优化。实践表明，持续反馈机制有助于提升内部控制的有效性（王芳，2021）。审计沟通应注重双向互动，确保企业理解审计结论，并积极参与内部控制改进。根据《内部控制审计沟通策略》（中国内部审计协会，2023），沟通应注重实效性与针对性，提升审计工作的影响力与可接受度。第4章内部控制监督与持续改进4.1内部控制监督的职责与分工内部控制监督是企业治理结构中不可或缺的一环，其职责通常由内部审计部门、合规管理部门及董事会审计委员会共同承担，形成多层级监督机制。根据《企业内部控制基本规范》（财会〔2016〕34号），内部控制监督应遵循“权责对等、分工协作”的原则，确保各职能部门在职责范围内履行监督职能。监督职责划分需明确界定，例如内部审计部门负责独立审计与评估，合规部门侧重于风险识别与制度执行，董事会审计委员会则负责监督整体内部控制体系的有效性。为实现高效协同，企业应建立“监督-反馈-改进”闭环机制，确保监督结果能够及时转化为管理改进措施，避免监督流于形式。依据《内部控制有效性的评估与改进》（中国内部审计协会，2021），内部控制监督的职责划分应遵循“横向协同、纵向贯通”的原则，确保监督覆盖全面、执行到位。企业应定期召开监督协调会议，明确各部门在内部控制监督中的角色与任务，确保监督工作有序开展。4.2内部控制监督的定期评估与审查定期评估是内部控制监督的核心手段，通常以年度或季度为周期，采用定量与定性相结合的方式，全面评估内部控制体系的运行状况。评估内容包括制度执行情况、风险识别与应对能力、信息沟通机制、内部审计发现问题的整改落实等。根据《内部控制评价指引》（财会〔2016〕34号），评估应覆盖全部业务流程及关键控制点。评估工具可采用内部控制自我评价表、风险矩阵、流程图等，结合企业实际情况进行定制化设计，确保评估结果具有针对性与可操作性。评估结果需形成书面报告，向管理层及董事会汇报，并作为后续改进措施的重要依据。依据《企业内部控制审计指引》（财会〔2016〕34号），企业应建立定期评估机制，确保内部控制体系持续适应内外部环境变化。4.3内部控制监督的反馈机制与改进措施反馈机制是内部控制监督的重要环节，旨在将监督发现的问题及时反馈至相关部门，推动问题整改与制度完善。企业应建立“问题发现—反馈—整改—复核”全流程机制，确保问题闭环管理。根据《内部控制审计准则》（中国内部审计协会，2021），反馈应明确责任人、整改时限及验收标准。对于重大风险或重大问题，应启动专项整改程序，由管理层牵头，相关部门协同推进，确保整改落实到位。企业应定期对整改情况进行跟踪评估，确保整改效果符合预期，防止问题反复发生。依据《内部控制自我评价指南》（中国内部审计协会，2021），反馈机制应与绩效考核挂钩，形成激励与约束并重的管理机制。4.4内部控制监督的信息化管理与应用信息化管理是提升内部控制监督效率的重要手段，企业应通过信息系统实现监督流程的数字化、可视化与自动化。常见的信息化工具包括ERP系统、OA系统、审计软件及大数据分析平台，能够实现数据采集、分析、报告等功能。信息化管理应遵循“数据驱动、流程优化、风险控制”的原则，确保监督数据的准确性与时效性。依据《企业内部控制信息化建设指南》（中国内部审计协会，2021），企业应建立统一的数据标准和共享机制，提升监督的协同效率。信息化管理应与企业战略目标相结合，推动内部控制从“被动监督”向“主动管理”转变，提升整体治理水平。第5章内部控制审计的报告与沟通5.1内部控制审计报告的编制与提交内部控制审计报告应遵循《企业内部控制审计指引》（2016年版）的要求，内容需涵盖审计范围、内部控制缺陷识别、审计结论及改进建议等核心要素。报告需由审计团队根据审计证据和分析结果撰写，确保数据真实、结论客观，并符合《内部审计准则》中关于报告格式和内容规范的说明。审计报告通常需在审计完成并确认无误后提交给董事会或管理层，同时根据企业内部流程，可能需向外部监管机构或审计委员会汇报。为保证报告的权威性，应使用标准化的模板，并附上审计过程中的关键数据、分析图表及审计底稿，以支持审计结论的可信度。审计报告提交后，应由相关负责人进行审核，并确保报告内容与企业内部控制体系的实际情况一致，避免信息偏差。5.2内部控制审计报告的解读与应用内部控制审计报告的解读需结合企业战略目标和业务流程，识别出内部控制的强项与短板，为管理层提供决策支持。企业应建立报告解读机制，由内部审计部门牵头，结合业务部门反馈，对报告中的关键发现进行深入分析，并提出针对性改进建议。报告中的内部控制缺陷建议应具体、可操作，例如提出完善审批流程、加强权限管理或优化信息系统等措施。企业应定期对报告进行复盘，评估内部控制体系的有效性，并根据审计结果调整内部控制策略，确保其与企业运营相匹配。通过报告解读，管理层可识别潜在风险，提升内部控制的持续改进能力，从而增强企业整体风险防控水平。5.3内部控制审计报告的沟通与反馈审计报告的沟通应以正式书面形式进行，确保信息传递的准确性和完整性，避免因沟通不畅导致的误解或执行偏差。企业应建立报告沟通机制，如定期召开审计委员会会议，或通过内部系统进行报告推送，确保相关部门及时获取审计信息。在沟通过程中，应注重与业务部门的协作，确保审计结论与实际业务需求相一致，避免报告内容与业务操作脱节。对于报告中提出的改进建议，企业应明确责任分工，制定实施计划，并定期跟踪进度，确保整改措施落实到位。通过有效沟通，可以提升企业内部控制的透明度和执行力，促进内部控制体系的持续优化。5.4内部控制审计报告的保密与合规要求审计报告涉及企业核心信息，因此需严格遵守《保密法》及相关保密规定，确保报告内容不被非法泄露或滥用。企业应建立保密管理制度，明确报告的保密责任，防止因泄密导致企业利益受损或法律风险。审计报告的存储、传输及归档应采用加密技术，确保数据安全，同时符合《电子签名法》和《数据安全法》的相关要求。在报告提交过程中，应确保所有相关人员了解保密义务，避免因信息外泄引发的合规问题。企业应定期开展保密培训，提升员工对报告保密重要性的认识，确保内部控制审计工作在合规前提下顺利进行。第6章内部控制审计的法律责任与合规6.1内部控制审计的法律责任与义务根据《企业内部控制基本规范》（财会〔2016〕34号）规定，内部控制审计机构需对被审计单位内部控制的有效性负责，承担相应的法律责任。《审计法》明确指出，审计机构在履行审计职责时，若发现被审计单位存在违法违规行为，应依法向有关部门报告，承担相应的法律责任。内部控制审计过程中若发现重大缺陷或风险，审计机构需在报告中明确指出，并提出改进建议，以促进企业合规运营。根据《注册会计师法》及相关法规，内部控制审计报告需真实、客观，不得存在虚假陈述或误导性信息，否则将面临行政处罚或法律责任。企业需建立内部控制审计责任机制，明确审计人员、管理层及相关部门在合规与审计责任中的具体义务，确保审计工作依法依规进行。6.2内部控制审计的合规性要求内部控制审计需遵循《企业内部控制审计准则》（中国内部审计协会，2021年修订版），确保审计过程符合国家相关法律法规及行业标准。审计机构应依据《审计准则》和《内部控制审计指南》开展工作，确保审计结论具有充分的证据支持和专业判断。审计报告需体现审计机构对内部控制有效性的独立判断，避免因主观判断导致审计结论失真。企业需建立内部控制审计的合规性管理制度，确保审计工作与企业治理结构、风险管理体系相匹配。根据《内部控制评价指南》（财会〔2016〕34号），内部控制审计应与企业年度报告、合规管理相结合，形成闭环管理机制。6.3内部控制审计的合规性评估与整改内部控制审计中若发现重大缺陷或风险，审计机构应提出整改建议，并督促企业限期整改，确保内部控制体系有效运行。根据《企业内部控制评价指引》（财会〔2016〕34号），审计机构需对内部控制缺陷进行分类评估，明确整改责任部门及期限。企业需建立内部控制整改跟踪机制，定期评估整改效果，确保问题得到彻底解决，防止风险重复发生。根据《审计整改管理办法》（财政部，2020年），审计机构应出具整改通知书，并对整改情况进行复查，确保整改落实到位。企业应将内部控制整改纳入年度合规管理计划，定期开展合规性检查，形成持续改进的长效机制。6.4内部控制审计的合规管理与培训内部控制审计的合规性管理需贯穿于审计全过程，包括计划制定、执行、报告及后续跟踪，确保审计工作符合法律法规及行业规范。企业应定期组织内部控制审计培训，提升审计人员的专业能力与合规意识，确保审计工作质量与合规性。根据《注册会计师法》和《会计师事务所执业质量控制指南》，审计机构需建立内部质量控制制度，确保审计工作独立、客观、公正。审计人员应熟悉相关法律法规和企业内部管理制度，确保在审计过程中遵守合规要求，避免因违规操作导致法律责任。企业应将内部控制审计合规管理纳入日常管理，通过制度建设、流程优化和文化建设，提升整体合规管理水平。第7章内部控制审计的案例分析与实践7.1内部控制审计案例的分析与总结内部控制审计案例分析通常采用“问题导向”方法，结合企业实际业务流程，识别关键控制点并评估其有效性。根据《内部控制基本规范》（2016年）中的定义，内部控制应涵盖风险识别、评估、应对及监控四个环节，审计人员需通过访谈、文档审查和流程分析等方式，系统性地评估企业内部控制的健全性与合规性。案例分析中，常见的问题包括职责不清、权限交叉、流程冗余及信息孤岛等，这些都会导致内部控制失效。例如，某制造业企业在采购环节存在多个审批层级，导致采购流程效率低下，审计发现其内部控制存在“职责分散”问题，影响了采购决策的及时性。通过案例分析，审计人员可以识别出内部控制的薄弱环节，并结合企业战略目标，提出改进建议。如某公司因缺乏有效的职责分离机制，导致财务与采购部门存在数据共享问题，审计建议引入“职责分离原则”以提升内部控制的独立性。案例总结中，需结合企业实际运行数据，如某企业年度内控审计报告中指出，内部控制有效性评分低于行业平均水平，表明其在风险评估、授权审批及信息监控等方面存在明显不足。通过案例分析，审计人员能够更深入地理解内部控制的动态性，识别出企业在不同业务场景下的内部控制需求差异，并为后续审计工作提供方向性指导。7.2内部控制审计的实践操作与经验实践操作中，内部控制审计通常遵循“计划-执行-报告”三阶段流程。审计人员需在审计开始前，通过问卷调查、访谈和资料审查，明确审计目标与范围，并制定详细的审计计划。在执行阶段，审计人员需运用多种方法，如流程图绘制、控制测试、实质性程序等，以验证内部控制是否符合企业制度及法律法规要求。例如，某企业审计中采用“控制测试”方法，对采购审批流程进行模拟测试，发现审批流程中存在人为干预风险。实践经验表明，内部控制审计需注重“问题导向”与“结果导向”结合，即在发现问题的同时，也要关注内部控制的优化空间。如某企业通过内部控制审计发现其销售回款流程存在滞后问题，审计建议引入“自动化对账系统”以提升效率。在审计报告中，需清晰呈现内部控制的现状、存在的问题及改进建议，同时结合企业战略目标，提出可操作的优化方案。例如，某公司因内部控制审计发现其库存管理不规范，审计建议引入“ABC分类法”进行库存分类管理。实践中，审计人员还需关注内部控制的持续改进，如建立内部控制改进跟踪机制，定期评估内部控制的有效性，并根据外部环境变化及时调整审计策略。7.3内部控制审计的常见问题与解决方案常见问题包括控制措施不完善、授权审批不严格、信息不透明及缺乏监督机制。根据《内部控制应用指引》（2016年）中的分类，这些问题是内部控制失效的主要原因。例如，某企业因缺乏有效的授权审批流程，导致财务报销流程存在多级审批漏洞，审计发现其内部控制存在“授权不明确”问题。解决方案通常包括完善制度设计、强化职责分离、引入技术手段（如ERP系统）及加强监督机制。如某企业通过引入ERP系统，实现了采购、审批、付款等环节的自动化控制，有效减少了人为操作风险。对于信息不透明的问题，可通过建立信息共享平台、加强内部沟通及定期汇报机制来解决。例如，某公司因缺乏信息共享，导致各部门间数据不一致，审计建议建立“数据中台”以提升信息透明度。缺乏监督机制的问题，可通过设立内审部门、引入第三方审计及定期评估机制来改善。如某企业因缺乏内审人员，导致内部控制监督不足，审计建议设立专职内审岗位并定期开展内控检查。解决方案需结合企业实际情况，如某企业因业务复杂度高，需采用“分层控制”策略，分别对不同业务模块实施差异化内部控制措施。7.4内部控制审计的持续改进与优化持续改进是内部控制审计的重要目标之一，审计人员需在审计过程中不断优化审计方法与流程，以适应企业业务变化。根据《内部控制基本规范》（2016年）中的要求，内部控制应具备“动态调整”特性，以应对外部环境变化。优化措施包括定期开展内部控制评估、建立内部控制改进跟踪机制及推动企业建立内部控制文化。例如，某企业通过设立“内部控制改进委员会”，定期评估内部控制有效性，并根据评估结果调整控制措施。内部控制审计的持续改进需结合企业战略目标，如某企业因数字化转型需求，审计建议引入“数字审计”技术，提升内部控制的信息化水平。优化过程中，需关注内部控制的可操作性与实用性，避免因过度复杂化而影响企业日常运营。例如，某企业因内部控制审计建议引入“智能预警系统”，最终在保障控制有效性的同时，提升了业务处理效率。持续改进还需建立反馈机制，如通过定期审计报告、管理层沟通