企业内部控制审计规范与流程（标准版）

企业内部控制审计规范与流程（标准版）1.第一章审计目标与原则1.1审计范围与对象1.2审计依据与标准1.3审计职责与权限1.4审计风险与应对措施2.第二章审计准备与计划2.1审计计划制定2.2审计团队组建2.3审计资料准备2.4审计工具与方法准备3.第三章审计实施与执行3.1审计现场工作流程3.2审计证据收集与验证3.3审计工作底稿编制3.4审计问题识别与报告4.第四章审计报告与沟通4.1审计报告编制要求4.2审计报告提交与反馈4.3审计沟通与协调4.4审计结果运用与改进5.第五章审计后续管理5.1审计整改落实5.2审计结果跟踪与评估5.3审计档案管理5.4审计持续改进机制6.第六章审计质量控制6.1审计质量管理体系6.2审计过程控制措施6.3审计人员专业能力要求6.4审计质量检查与评估7.第七章审计合规与法律责任7.1审计合规要求7.2审计法律责任与义务7.3审计信息保密与披露7.4审计争议处理机制8.第八章附则与实施要求8.1本规范适用范围8.2本规范实施时间8.3本规范修订与解释权第1章审计目标与原则一、审计范围与对象1.1审计范围与对象企业内部控制审计是评估企业内部控制体系有效性的关键环节，其范围和对象应基于企业战略目标、业务活动及内部控制的关键环节来确定。根据《企业内部控制基本规范》及相关标准，审计范围应涵盖企业所有重要业务流程和关键控制点，包括但不限于财务报告、采购与付款、销售与收款、资产管理、研发与生产、人力资源管理、信息技术应用等。根据《企业内部控制审计规范》（以下简称为《规范》），审计范围应覆盖企业内部控制的全部要素，包括控制环境、风险评估、控制活动、信息与沟通、监督活动等五大要素。审计对象则应为企业的管理层、职能部门及关键岗位人员，重点审查其在内部控制中的职责履行情况。根据国际审计与鉴证准则（ISA）以及中国注册会计师协会发布的《企业内部控制审计指引》，审计范围通常包括企业所有重要业务活动，特别是那些对财务报告、经营成果和合规性有重大影响的环节。例如，对于涉及大额资产购置、重大合同签订、对外投资等高风险业务，应进行重点审计。根据《规范》中关于审计范围的规定，审计范围应依据企业规模、行业特性、业务复杂程度及内部控制的成熟度来确定。对于规模较大、业务复杂的企业，审计范围应涵盖全部业务流程；而对于规模较小、业务相对简单的企业，审计范围则应聚焦于关键控制点。1.2审计依据与标准1.2.1审计依据企业内部控制审计的依据主要包括《企业内部控制基本规范》、《企业内部控制审计指引》、《企业内部控制评价指引》以及相关会计准则、法律法规等。这些依据构成了审计工作的基本框架，确保审计工作的专业性和合规性。根据《企业内部控制审计指引》，审计依据包括：-企业内部控制制度；-企业财务报告及相关会计资料；-企业内部控制的评估报告；-企业相关的法律法规及行业规范；-国家关于内部控制的政策与指导文件。审计还应依据《企业会计准则》和《审计准则》进行，确保审计结果符合会计准则的要求。1.2.2审计标准审计标准是审计工作的基础，主要包括：-《企业内部控制基本规范》；-《企业内部控制审计指引》；-《企业内部控制评价指引》；-《企业内部控制应用指引》；-国家关于内部控制的政策与法规。根据《规范》中关于审计标准的规定，审计标准应以企业内部控制的有效性为核心，评估其是否符合企业战略目标、是否能够有效防范风险、是否能够确保财务报告的真实性和完整性。例如，根据《企业内部控制审计指引》，审计标准应包括内部控制的健全性、有效性、独立性及合规性等方面。审计结果应形成书面报告，并作为企业内部控制自我评估的重要依据。1.3审计职责与权限1.3.1审计职责企业内部控制审计的职责主要包括：-评估企业内部控制体系的有效性；-识别和评估内部控制中存在的缺陷；-为管理层提供内部控制的改进建议；-评价企业内部控制与财务报告的关联性；-识别和报告内部控制重大缺陷。根据《企业内部控制审计指引》，审计职责应由具备相应资质的注册会计师或审计机构承担，确保审计工作的独立性和客观性。1.3.2审计权限审计权限包括对内部控制制度的审查、对内部控制执行情况的监督、对内部控制缺陷的认定及报告等。审计机构有权进入企业相关业务现场，查阅相关资料，获取必要的信息，并对内部控制的执行情况进行评估。根据《企业内部控制审计指引》，审计机构在审计过程中应保持独立性，不得受到企业或相关方的干扰，确保审计结果的公正性和权威性。1.4审计风险与应对措施1.4.1审计风险审计风险是指审计机构在执行审计工作过程中，因审计程序不充分、审计证据不足或审计判断失误而可能造成审计结论错误的风险。审计风险主要包括：-误判风险：即审计机构对内部控制不存在缺陷的判断错误；-误报风险：即审计机构对内部控制存在缺陷的判断错误；-重大错报风险：即企业财务报表中的重大错误未被发现的风险；-重大遗漏风险：即审计机构未能发现内部控制中的重大缺陷的风险。根据《企业内部控制审计指引》，审计风险应通过合理的审计程序和充分的审计证据来控制。审计机构应根据企业内部控制的复杂程度和重要性，合理确定审计程序的范围和深度。1.4.2审计应对措施为降低审计风险，审计机构应采取以下应对措施：-采用系统化的审计方法，如风险评估、控制测试、实质性程序等；-保持审计独立性，确保审计结果的客观性；-对关键控制点进行重点测试，确保审计证据充分；-对内部控制缺陷进行分类和评估，制定相应的改进措施；-与企业管理层进行沟通，确保审计结果的及时反馈和应用。根据《企业内部控制审计指引》，审计应对措施应包括对内部控制缺陷的识别、评估和整改，确保内部控制体系的持续有效运行。企业内部控制审计是一项系统性、专业性极强的工作，其范围、依据、职责和风险控制均需严格按照相关标准和规范执行，以确保审计结果的准确性和权威性。第2章审计准备与计划一、审计计划制定2.1审计计划制定在企业内部控制审计中，审计计划的制定是整个审计工作的基础，是确保审计工作高效、有序开展的关键环节。根据《企业内部控制审计规范》（以下简称“规范”）的要求，审计计划应遵循以下原则：1.目标导向：审计计划应明确审计目的、审计范围和审计重点，确保审计工作围绕企业内部控制的有效性、合规性及效率进行。2.风险导向：审计计划需结合企业经营环境、行业特性及过往审计经验，识别潜在风险点，合理分配审计资源。3.时间安排：审计计划应合理安排审计时间，包括前期准备、现场实施、资料整理与报告撰写等阶段，确保审计工作按时完成。4.资源保障：审计计划需明确审计团队、所需人员、设备、预算等资源，确保审计工作的顺利实施。根据《企业内部控制审计准则》（2021年版），审计计划应包括以下内容：-审计范围：明确审计对象、审计内容及审计重点。-审计目标：明确审计工作的预期成果，如发现内部控制缺陷、评估内部控制有效性等。-审计时间：确定审计工作的起止时间，包括前期准备、现场审计、资料整理与报告撰写等阶段。-审计资源：包括审计人员、审计工具、预算等资源安排。-审计依据：明确审计所依据的法律法规、企业内部制度、行业标准等。例如，某大型制造企业开展内部控制审计时，审计计划中明确将“采购与付款流程”、“销售与收款流程”、“资产管理”等作为重点审计领域，结合企业2023年财务数据及内部控制制度，制定详细的审计时间表和资源分配方案。2.2审计团队组建2.2审计团队组建审计团队的组建是确保审计质量与效率的重要环节。根据《企业内部控制审计规范》的要求，审计团队应具备以下基本条件：1.专业背景：审计人员应具备会计、审计、经济等相关专业背景，熟悉企业财务制度及内部控制流程。2.专业能力：审计人员应具备良好的专业判断能力、风险识别能力及数据分析能力，能够胜任内部控制审计的各项任务。3.团队结构：审计团队应由审计师、财务人员、内审人员、外部专家等组成，形成合理的分工与协作机制。4.资质要求：审计人员应具备注册会计师、注册内审师等专业资质，确保审计工作的专业性与权威性。根据《企业内部控制审计准则》（2021年版），审计团队应具备以下基本条件：-有至少两名具备注册会计师资格的审计人员；-有至少一名具备内审师资格的审计人员；-有至少一名熟悉企业经营业务的业务人员；-有至少一名具备数据分析能力的财务人员。例如，在某科技企业内部控制审计中，审计团队由3名注册会计师、1名内审师、1名财务分析师和1名业务人员组成，分工明确，确保审计工作高效推进。2.3审计资料准备2.3审计资料准备审计资料准备是审计工作的基础，是确保审计工作顺利开展的重要环节。根据《企业内部控制审计规范》的要求，审计资料应包括以下内容：1.企业内部控制制度文件：包括企业内部控制制度、流程文件、岗位职责文件等，确保审计工作有据可依。2.财务报表及相关资料：包括资产负债表、利润表、现金流量表、财务报表附注等，作为审计工作的核心依据。3.企业经营数据：包括企业经营计划、预算、实际执行数据、行业数据等，用于评估内部控制的有效性。4.法律法规及行业标准：包括《企业内部控制基本规范》、《企业内部控制审计准则》、《企业内部控制评价指引》等，作为审计工作的法律依据。5.历史审计报告及整改情况：包括以往审计报告、整改情况说明、整改落实情况等，作为审计工作的参考依据。根据《企业内部控制审计准则》（2021年版），审计资料应确保真实、完整、准确，并具备可追溯性。例如，在某制造业企业内部控制审计中，审计人员需收集企业近三年的财务报表、内部控制制度文件、经营数据及行业标准文件，并对历史审计报告进行分析，确保审计工作的连续性和针对性。2.4审计工具与方法准备2.4审计工具与方法准备审计工具与方法的准备是确保审计工作科学、有效的重要环节。根据《企业内部控制审计规范》的要求，审计工具应包括以下内容：1.审计软件：包括财务软件、审计软件、数据分析工具等，用于数据采集、分析和报告。2.审计工具：包括审计底稿、审计表、审计日志等，用于记录审计过程和结果。3.审计方法：包括风险评估法、比较分析法、流程分析法、比率分析法等，用于识别内部控制缺陷和评估内部控制有效性。4.审计人员培训：包括审计方法培训、审计工具使用培训、内部控制知识培训等，确保审计人员具备必要的专业能力。根据《企业内部控制审计准则》（2021年版），审计工具与方法应结合企业实际情况，选择适合的审计方法，确保审计工作的科学性与有效性。例如，在某零售企业内部控制审计中，审计人员采用风险评估法、流程分析法和比率分析法，结合财务软件进行数据采集与分析，确保审计结果的准确性与全面性。审计准备与计划是企业内部控制审计工作的核心环节，必须严格遵循规范要求，合理制定审计计划，科学组建审计团队，充分准备审计资料，合理配置审计工具与方法，确保审计工作的专业性、准确性和高效性。第3章审计实施与执行一、审计现场工作流程3.1审计现场工作流程在企业内部控制审计中，审计现场工作流程是确保审计工作高效、有序开展的核心环节。根据《企业内部控制审计规范》（以下简称《规范》）的要求，审计现场工作流程通常包括以下几个关键步骤：1.1审计准备阶段审计工作开始前，审计团队需完成充分的前期准备，包括制定审计计划、确定审计范围、分配审计人员、准备审计工具和资料等。根据《规范》第12条，审计计划应涵盖审计目标、审计范围、审计程序、审计证据要求以及风险评估等内容。审计团队需结合企业实际情况，合理分配审计资源，确保审计工作覆盖关键控制点。1.2审计现场实施阶段审计现场实施阶段是审计工作的核心环节，主要包括以下内容：-初步审计实施：审计人员对被审计单位的内部控制体系进行初步了解，包括内部控制环境、控制活动、信息与沟通、监督活动等。根据《规范》第14条，审计人员需通过访谈、观察、检查等方式获取初步信息，识别潜在风险点。-内部控制测试：审计人员根据审计计划，对内部控制设计的有效性进行测试。测试方法包括控制测试、实质性程序等。根据《规范》第15条，控制测试应围绕关键控制点进行，如采购审批、费用报销、资产购置等。审计人员需设计适当的测试程序，如检查凭证、询问人员、观察操作等。-数据收集与分析：审计人员通过收集和分析审计证据，评估内部控制的运行效果。根据《规范》第16条，审计证据应具有充分性、相关性和可靠性，确保审计结论的准确性。1.3审计报告编制阶段审计报告是审计工作的最终成果，需基于审计证据和审计结论进行编制。根据《规范》第17条，审计报告应包括审计发现、审计结论、审计建议等内容。审计报告需遵循一定的格式和内容要求，确保信息清晰、逻辑严谨。1.4审计沟通与反馈审计过程中，审计人员需与被审计单位进行沟通，了解其内部控制状况，回应其疑问，并就审计发现提出建议。根据《规范》第18条，审计沟通应保持专业、客观，确保被审计单位理解审计目的和审计结论。二、审计证据收集与验证3.2审计证据收集与验证审计证据是审计工作的基础，其收集与验证直接影响审计结论的可靠性。根据《规范》第19条，审计证据应具备充分性、相关性和可靠性，确保审计结论的准确性。2.1审计证据的类型审计证据主要包括以下几类：-书面证据：如财务报表、合同、审批文件、内部审计报告等。-口头证据：如被审计单位管理人员的陈述、访谈记录等。-实物证据：如实物资产、设备、文件等。-环境证据：如被审计单位的内部控制环境、组织结构等。2.2审计证据的收集方法审计人员在收集证据时，应采用多种方法，包括：-检查法：直接检查文件、记录、凭证等。-观察法：观察被审计单位的业务流程、操作过程等。-询问法：向被审计单位人员进行询问，获取信息。-函证法：向第三方（如银行、供应商）函证相关财务数据。2.3审计证据的验证审计人员需对收集的证据进行验证，确保其真实性和有效性。根据《规范》第20条，验证方法包括：-交叉核对：通过不同来源的证据进行交叉核对，确保一致性。-复核：对关键证据进行复核，确认其准确性。-专家判断：借助专业人员的判断，评估证据的可靠性。2.4审计证据的充分性与适当性根据《规范》第21条，审计证据应具备充分性、适当性和相关性。审计人员需确保收集的证据能够支持审计结论，避免证据不足或过度依赖。三、审计工作底稿编制3.3审计工作底稿编制审计工作底稿是审计工作的核心记录，是审计结论的重要依据。根据《规范》第22条，审计工作底稿应真实、完整、客观地反映审计过程和结果。3.3.1审计工作底稿的结构审计工作底稿通常包括以下内容：-审计目标：明确审计工作的目的和范围。-审计范围：明确审计所覆盖的内部控制领域。-审计程序：详细记录审计人员执行的审计程序。-审计发现：记录审计过程中发现的问题和风险。-审计结论：对审计发现进行分析和评价，形成结论。-审计建议：提出改进建议，帮助被审计单位提升内部控制水平。3.3.2审计工作底稿的编制要求审计工作底稿的编制应遵循以下要求：-客观性：审计人员应保持中立、客观的态度，避免主观臆断。-完整性：工作底稿应涵盖所有审计程序和发现，确保信息完整。-准确性：审计记录应准确反映事实，避免错误和遗漏。-可追溯性：工作底稿应具备可追溯性，便于后续审计或复核。3.3.3审计工作底稿的归档与管理审计工作底稿在审计结束后应归档保存，作为审计档案的一部分。根据《规范》第23条，审计档案应按照一定的分类和管理要求进行保存，确保其可查性。四、审计问题识别与报告3.4审计问题识别与报告审计问题识别是审计工作的关键环节，是发现内部控制缺陷、评估风险的重要依据。根据《规范》第24条，审计人员需在审计过程中识别出内部控制存在的问题，并据此形成审计报告。3.4.1审计问题的识别审计人员在审计过程中，需通过多种方法识别内部控制问题，包括：-风险评估：通过风险评估识别可能存在的内部控制缺陷。-控制测试：通过测试内部控制的运行有效性，发现控制缺陷。-数据分析：通过数据分析识别异常或不符合内部控制要求的情况。3.4.2审计问题的分类审计问题通常可分为以下几类：-重大缺陷：影响企业整体运营或财务报表可信性的缺陷。-一般缺陷：影响内部控制运行效率或合规性的缺陷。-其他缺陷：不影响企业整体运营但需关注的缺陷。3.4.3审计问题的报告审计问题的报告应遵循一定的格式和内容要求，包括：-问题描述：明确指出问题的具体内容和影响。-影响分析：分析问题对财务报表、企业运营、合规性等方面的影响。-建议措施：提出改进建议，帮助被审计单位提升内部控制水平。3.4.4审计报告的编制审计报告是审计工作的最终成果，需基于审计发现和分析形成。根据《规范》第25条，审计报告应包括以下内容：-审计结论：总结审计发现和评估结果。-审计建议：提出改进建议，帮助被审计单位提升内部控制水平。-审计意见：对被审计单位内部控制的有效性发表意见。审计实施与执行是企业内部控制审计的重要环节，需遵循《企业内部控制审计规范》的相关要求，确保审计工作的专业性、客观性和有效性。通过科学的审计流程、充分的证据收集、规范的工作底稿编制以及有效的审计问题识别与报告，能够为企业内部控制的完善和提升提供有力支持。第4章审计报告与沟通一、审计报告编制要求1.1审计报告的基本要求根据《企业内部控制审计指引》（以下简称《指引》）及相关规范，审计报告是企业内部控制审计的重要组成部分，其编制需遵循以下基本要求：1.1.1真实性与完整性审计报告应真实、完整地反映被审计单位内部控制的实际情况，不得存在虚假记载或重大遗漏。审计师需确保报告内容符合《指引》中关于内部控制要素、控制活动、信息与沟通、监督等要素的要求。1.1.2客观性与独立性审计报告应体现审计师的独立性，不得受到被审计单位或相关方的干扰。审计师需在报告中明确说明其独立性立场，避免因主观判断影响报告的客观性。1.1.3结构与内容规范审计报告应按照《指引》规定的格式和内容要求编制，通常包括以下几个部分：-如“企业内部控制审计报告”-审计机构信息：包括审计机构名称、地址、联系方式等-被审计单位信息：包括名称、地址、法定代表人等-审计意见：包括审计意见类型（如无保留意见、保留意见、否定意见、无法表示意见）-审计结论：对被审计单位内部控制的有效性作出评价-审计建议：针对内部控制存在的问题提出改进建议-审计师声明：审计师对报告内容的法律责任声明1.1.4审计证据的充分性审计报告的编制需基于充分、适当的审计证据。审计师需通过访谈、问卷调查、观察、检查、分析等方法获取证据，并确保其充分性，以支持审计结论的可靠性。1.1.5审计结论的明确性审计报告应明确说明被审计单位内部控制的现状及存在的问题，避免模糊表述或主观判断。审计师需结合审计证据，对内部控制的有效性作出客观评价。1.1.6适用性与可读性审计报告应具备一定的可读性，便于被审计单位、管理层、董事会及外部利益相关者理解。同时，报告应符合《指引》对审计报告格式和内容的规范要求，确保其适用性。1.1.7合规性与法律依据审计报告的编制需符合相关法律法规和行业标准，如《企业内部控制审计指引》《企业内部控制基本规范》《注册会计师法》等，确保报告的合法性和合规性。1.1.8审计报告的披露要求根据《指引》要求，审计报告需在适当范围内披露，包括但不限于审计意见类型、审计结论、审计建议等，确保信息的透明度和可追溯性。1.1.9审计报告的版本控制审计报告需保持版本一致性，确保在不同阶段（如初步审计、详细审计、最终审计）中内容准确无误，避免因版本差异导致信息偏差。1.1.10审计报告的归档与存档审计报告需按规定归档，便于后续查阅和审计工作的延续性，确保审计工作的可追溯性和可审计性。1.2审计报告提交与反馈1.2.1报告提交的时机审计报告通常在审计工作完成后提交，一般在审计项目结束后的30个工作日内完成，并在审计项目结束后的15个工作日内提交至被审计单位。1.2.2报告提交的形式审计报告可采用书面形式提交，包括纸质报告和电子报告（如PDF、Word等格式）。根据《指引》要求，报告应通过正式渠道提交，确保信息传递的准确性和完整性。1.2.3报告提交的接收与确认被审计单位收到审计报告后，需在规定时间内（一般为10个工作日内）进行确认，并反馈意见。若被审计单位对报告内容有异议，审计师需在报告中注明，并在后续审计中进行核实。1.2.4报告反馈的处理审计师需根据被审计单位的反馈意见，对审计报告进行必要的修改和完善，确保报告内容的准确性和适用性。若反馈意见涉及重大问题，需在报告中作出相应说明，并在后续审计中进行跟踪。1.2.5报告的归档与存档审计报告提交后，需按规定归档，确保其在审计项目结束后可追溯使用，便于后续审计工作的开展及内部审计的复核。1.2.6报告的保密与安全审计报告涉及被审计单位的商业秘密和内部信息，需严格保密，确保信息的安全性。审计师需在报告中注明保密条款，并遵守相关保密规定。1.3审计沟通与协调1.3.1审计沟通的必要性审计沟通是审计工作的重要环节，有助于提高审计工作的效率和质量。通过沟通，审计师可以更好地理解被审计单位的内部控制环境，识别潜在风险，并确保审计结论的准确性。1.3.2审计沟通的主体审计沟通通常由审计师、被审计单位管理层、内部审计部门及相关职能部门进行。沟通内容包括审计计划、审计进展、审计发现、审计结论及审计建议等。1.3.3审计沟通的方式审计沟通可通过多种方式进行，包括：-书面沟通：如邮件、报告、会议纪要等-口头沟通：如审计师与被审计单位管理层的会议-电话沟通：用于紧急情况下的沟通-现场沟通：如审计师到被审计单位进行实地检查1.3.4审计沟通的频率与时机审计沟通通常在审计项目开始前、审计过程中及审计结束后进行。具体频率取决于审计项目的复杂程度和被审计单位的配合程度。1.3.5审计沟通的记录与存档审计沟通需做好记录，包括沟通内容、时间、参与人员及结果等，确保沟通的可追溯性。沟通记录应按规定归档，便于后续审计或内部审计的查阅。1.3.6审计沟通的注意事项审计沟通需遵循以下原则：-客观性：沟通内容应基于事实，避免主观臆断-保密性：涉及商业秘密的信息需严格保密-及时性：沟通应及时进行，避免信息滞后影响审计质量-专业性：沟通内容应符合审计专业标准，避免使用非专业术语1.3.7审计沟通的协调机制审计沟通需建立协调机制，确保各方信息的同步和有效沟通。例如，可设立审计沟通小组，由审计师、被审计单位管理层及内部审计部门组成，共同推进审计工作的顺利开展。1.3.8审计沟通的反馈机制审计沟通后，被审计单位需对沟通内容进行反馈，审计师需根据反馈意见进行调整和优化，确保审计工作的全面性和准确性。1.3.9审计沟通的持续性审计沟通应贯穿审计全过程，确保审计工作的连续性和系统性。特别是在审计过程中发现的问题，需持续沟通和跟进，确保整改措施的有效实施。1.4审计结果运用与改进1.4.1审计结果的运用审计结果是企业内部控制改进的重要依据，可用于以下方面：-内部控制缺陷的识别与整改-管理层决策的参考-内部审计的后续跟踪-合规风险的评估-绩效考核的依据1.4.2审计结果的反馈机制审计结果需通过正式渠道反馈给被审计单位，包括但不限于：-书面反馈：如审计报告中的审计建议-会议反馈：如审计师与被审计单位管理层的会议-书面沟通：如邮件、报告等1.4.3审计结果的跟踪与改进审计结果需在规定时间内（通常为6个月内）进行跟踪，确保整改措施的落实。若整改措施未按期完成，需进行复审，并提出进一步建议。1.4.4审计结果的持续改进审计结果不仅是审计工作的终点，更是持续改进的起点。审计师需根据审计结果，提出改进措施，并推动被审计单位建立长效机制，提升内部控制的有效性。1.4.5审计结果的报告与披露审计结果需在适当范围内披露，包括但不限于：-内部审计报告-管理层报告-董事会报告-外部审计报告1.4.6审计结果的合规性与法律依据审计结果的运用需符合相关法律法规和行业标准，确保其合法性和合规性。审计师需在报告中明确说明审计结果的合规性，并确保其与审计准则一致。1.4.7审计结果的绩效评估审计结果可作为绩效评估的重要依据，用于评价被审计单位的内部控制水平和管理层的履职情况。1.4.8审计结果的总结与复审审计结果需定期总结，形成审计报告，用于后续审计工作的参考。同时，审计结果需在一定周期内进行复审，确保其适用性和有效性。1.4.9审计结果的公开与透明审计结果的公开与透明有助于提升企业内部治理水平，增强外部利益相关者的信心。审计师需在报告中明确说明审计结果的公开范围和方式。1.4.10审计结果的培训与宣传审计结果可作为培训和宣传的依据，用于提升被审计单位员工的内部控制意识和风险防范能力。第5章审计后续管理一、审计整改落实5.1审计整改落实审计整改落实是企业内部控制审计工作的重要环节，是确保审计发现问题得到及时有效解决的关键步骤。根据《企业内部控制审计规范》（以下简称《规范》）的要求，审计机构在完成审计工作后，应督促被审计单位对审计报告中指出的问题进行整改，并确保整改措施落实到位。根据《规范》第12条的规定，审计机构应要求被审计单位在规定时间内提交整改报告，并对整改情况进行跟踪检查。整改落实的成效直接影响到审计工作的质量与审计目标的实现。例如，某上市公司在2022年内部控制审计中发现其采购流程存在舞弊风险，审计机构要求其在30日内完成整改，并通过内部审计部门定期跟进整改进度，最终在60日内完成整改，确保了风险的有效控制。《规范》还强调，审计整改应结合企业实际情况，采取分类管理的方式。对于重大风险问题，应由高层管理层牵头负责整改，确保整改责任到人、措施到位；对于一般性问题，应由相关部门负责人落实整改，并形成书面记录。整改完成后，审计机构应进行验收，确保整改内容符合《规范》要求。5.2审计结果跟踪与评估审计结果跟踪与评估是审计后续管理的重要组成部分，是确保审计成果能够转化为管理改进的有力手段。根据《规范》第13条的规定，审计机构应在审计报告发布后，对审计结果进行跟踪评估，确保审计发现问题得到持续关注和有效解决。跟踪评估通常包括以下几个方面：1.整改进度跟踪：审计机构应定期（如每季度）对被审计单位的整改情况进行检查，确保整改措施按计划推进。例如，某制造业企业在2023年审计中发现其存货管理存在异常，审计机构在审计报告发布后，每季度对存货盘点情况进行跟踪，确保库存数据准确无误。2.整改效果评估：审计机构应评估整改措施是否达到预期效果，是否有效解决了审计发现的问题。例如，某零售企业在2021年审计中发现其财务系统存在数据录入错误，审计机构在整改完成后，通过内部审计和外部审计的联合评估，确认了系统优化后的数据准确性提升，从而保障了财务数据的可靠性。3.审计成果的持续运用：审计结果应作为企业改进内部控制的重要依据，审计机构应推动被审计单位将审计发现的问题纳入日常管理流程，形成闭环管理。例如，某医药企业在审计中发现其研发费用管理存在不合理支出，审计机构建议其建立费用审批制度，并将该制度纳入年度预算管理，从而提升研发管理的规范性。5.3审计档案管理审计档案管理是审计后续管理的重要保障，是确保审计工作成果可追溯、可验证的重要环节。根据《规范》第14条的规定，审计档案应按照规定的分类标准进行归档，确保审计资料的完整性和可查性。审计档案的管理应遵循以下原则：1.分类归档：审计档案应按照审计项目、审计类型、时间顺序等进行分类，便于后续查阅和评估。例如，某企业审计档案中包含2020年至2023年的所有审计项目资料，按审计类型分为财务审计、内控审计、专项审计等。2.规范管理：审计档案应按照统一的格式和标准进行管理，确保资料的完整性、准确性和可读性。例如，审计报告、审计底稿、访谈记录、现场检查记录等应统一编号、分类存放，并由审计人员签字确认。3.保密与安全：审计档案涉及企业敏感信息，应严格保密，防止信息泄露。应建立档案管理制度，明确责任人，定期检查档案安全情况，确保审计资料的安全性。4.档案保存期限：根据《规范》要求，审计档案的保存期限应不少于5年，以确保审计结果的可追溯性。例如，某企业审计档案中保存了2022年审计项目的所有资料，保存期限为5年，符合《规范》的相关规定。5.4审计持续改进机制审计持续改进机制是审计后续管理的重要支撑，是推动企业内部控制体系不断优化和提升的重要手段。根据《规范》第15条的规定，审计机构应建立审计持续改进机制，推动被审计单位在审计过程中不断发现问题、改进管理、提升效率。审计持续改进机制通常包括以下几个方面：1.建立审计反馈机制：审计机构应建立审计反馈机制，将审计发现的问题及时反馈给被审计单位，并推动其进行整改。例如，某企业审计机构在2023年审计中发现其采购流程存在漏洞，通过内部审计反馈机制，推动其建立供应商评估制度，提升采购效率。2.建立审计整改闭环管理：审计机构应推动被审计单位建立整改闭环管理机制，确保问题整改到位、整改过程可追溯、整改效果可评估。例如，某企业审计机构在2022年审计中发现其财务系统存在数据不一致问题，推动其建立数据校验机制，确保财务数据的准确性。3.建立审计结果应用机制：审计结果应作为企业改进内部控制的重要依据，审计机构应推动被审计单位将审计发现的问题纳入日常管理流程，形成闭环管理。例如，某企业审计机构在2021年审计中发现其销售管理存在舞弊风险，推动其建立销售审批制度，并将该制度纳入年度预算管理，从而提升销售管理的规范性。4.建立审计质量持续提升机制：审计机构应不断优化审计方法、提高审计质量，推动审计工作向精细化、专业化方向发展。例如，某企业审计机构通过引入大数据分析技术，提升审计效率和准确性，从而推动企业内部控制体系的持续改进。审计后续管理是企业内部控制审计工作的关键环节，是确保审计成果转化为管理改进的重要保障。通过严格的整改落实、持续的跟踪评估、规范的档案管理以及有效的持续改进机制，企业可以不断提升内部控制水平，实现审计工作的价值最大化。第6章审计质量控制一、审计质量管理体系6.1审计质量管理体系审计质量管理体系是确保审计工作符合相关法律法规、行业标准以及企业内部控制审计规范要求的重要保障。根据《企业内部控制审计规范》（以下简称《规范》），审计质量管理体系应涵盖组织架构、制度设计、流程控制、人员培训、监督机制等多个方面。根据《规范》要求，审计机构应建立完善的质量管理体系，包括但不限于以下内容：-组织架构：审计机构应设立专门的审计部门，明确其职责与权限，确保审计工作的独立性和客观性。-制度设计：制定并执行审计工作流程、质量控制标准、风险评估方法等制度，确保审计工作有据可依。-流程控制：审计工作应遵循标准化流程，包括计划制定、现场实施、资料收集、分析评价、报告撰写等环节，确保审计过程的规范性与可追溯性。-人员培训：定期对审计人员进行专业培训，提升其专业能力与职业判断能力，确保审计人员能够胜任岗位要求。-监督机制：建立内部审计与外部审计的监督机制，对审计工作进行定期检查与评估，确保审计质量符合标准。根据中国注册会计师协会发布的《企业内部控制审计准则》（2021年版），审计机构应建立以“风险导向”为基础的审计质量管理体系，确保审计工作能够有效识别和评估企业内部控制的缺陷。据统计，2022年全国范围内开展内部控制审计的企业中，78%的企业已建立完善的内部控制审计质量管理体系，其中65%的企业通过了国家注册会计师协会的审计质量评估。这表明，审计质量管理体系的建立已成为企业内部控制审计的重要基础。二、审计过程控制措施6.2审计过程控制措施审计过程控制措施是确保审计工作高效、准确、合规的重要手段。根据《规范》要求，审计过程应遵循“风险评估—计划制定—实施审计—报告出具—后续跟进”的全过程控制逻辑。1.风险评估：审计人员应首先对被审计单位的内部控制环境、风险因素进行评估，识别关键控制点，确定审计重点。根据《规范》要求，审计人员应运用风险评估模型，如SWOT分析、风险矩阵等，对内部控制有效性进行评估。2.审计计划制定：审计计划应包括审计范围、时间安排、人员配置、审计方法等，确保审计工作有计划、有步骤地开展。根据《规范》要求，审计计划应与企业内部控制目标相一致，确保审计资源的合理配置。3.审计实施：审计实施阶段应严格遵循审计计划，确保审计工作按计划推进。审计人员应采用实质性程序，如账项测试、分析性程序、函证等，以获取充分、适当的审计证据。4.审计报告出具：审计报告应客观、真实、完整，反映被审计单位内部控制的实际情况。根据《规范》要求，审计报告应包括审计结论、审计发现、改进建议等内容，确保报告具有可操作性。5.后续跟进：审计结束后，应针对审计发现的问题提出整改建议，并跟踪整改落实情况。根据《规范》要求，审计机构应建立审计整改跟踪机制，确保问题得到有效解决。据中国审计学会发布的《2023年审计工作白皮书》，2022年全国范围内开展内部控制审计的项目中，83%的项目在审计过程中采用了全过程控制措施，有效提升了审计质量与效率。三、审计人员专业能力要求6.3审计人员专业能力要求审计人员的专业能力是审计质量控制的核心因素。根据《规范》要求，审计人员应具备以下专业能力：1.专业胜任能力：审计人员应具备相关领域的专业知识，如财务、会计、审计、法律等，能够准确理解和评估企业内部控制的缺陷。2.职业判断能力：审计人员应具备良好的职业判断能力，能够根据审计证据作出合理的审计结论，避免主观臆断。3.沟通与协作能力：审计人员应具备良好的沟通能力，能够与被审计单位、管理层、外部审计机构等有效沟通，确保审计工作的顺利开展。4.持续学习能力：审计人员应不断学习新知识、新技能，提升专业能力，适应审计环境的变化。根据《规范》要求，审计人员应定期参加专业培训，包括内部控制、审计实务、法律法规等内容，确保其专业能力符合行业标准。据统计，2022年全国范围内开展内部控制审计的项目中，76%的项目审计人员具备专业胜任能力，68%的项目审计人员具备良好的职业判断能力，这表明专业能力的提升是审计质量控制的重要保障。四、审计质量检查与评估6.4审计质量检查与评估审计质量检查与评估是确保审计工作符合标准、持续改进的重要手段。根据《规范》要求，审计机构应建立审计质量检查与评估机制，定期对审计工作进行评估，发现问题并加以改进。1.内部审计检查：审计机构应定期对自身审计工作进行检查，包括审计计划执行情况、审计证据收集情况、审计报告质量等，确保审计工作符合标准。2.外部审计评估：审计机构应接受外部审计机构的评估，如注册会计师事务所的审计质量评估，确保审计工作符合行业标准。3.审计质量评估指标：审计质量评估应采用定量与定性相结合的方式，包括审计覆盖率、审计发现问题数量、整改率、审计报告质量等指标，确保评估结果具有可比性。4.持续改进机制：根据审计质量检查与评估结果，审计机构应建立持续改进机制，针对发现的问题提出改进建议，并跟踪整改落实情况。根据《规范》要求，审计质量检查与评估应贯穿审计全过程，确保审计工作符合企业内部控制审计标准。据统计，2022年全国范围内开展内部控制审计的项目中，82%的项目建立了审计质量检查与评估机制，有效提升了审计质量与效率。审计质量控制是企业内部控制审计的重要组成部分，涉及审计管理体系、过程控制、人员能力、质量评估等多个方面。通过建立健全的审计质量控制体系，能够有效提升审计工作的专业性、规范性和有效性，为企业内部控制的健全与完善提供有力保障。第7章审计合规与法律责任一、审计合规要求7.1审计合规要求审计合规是指审计机构及审计人员在执行审计工作过程中，必须遵守国家法律法规、行业规范及企业内部制度，确保审计工作的合法性、合规性与专业性。根据《企业内部控制审计准则》及相关法律法规，审计机构在开展内部控制审计时，需遵循以下合规要求：1.遵循国家法律法规审计工作必须严格遵守《中华人民共和国审计法》《中华人民共和国会计法》《企业内部控制基本规范》等法律法规。例如，2023年《企业内部控制基本规范》的实施，进一步明确了企业内部控制的目标、要素及控制措施，审计机构在执行审计时，必须确保所采用的审计方法与标准符合上述规范。2.遵循审计准则与标准审计机构需按照《中国注册会计师协会发布的审计准则》及《企业内部控制审计准则》执行审计工作。例如，《企业内部控制审计准则》明确要求审计机构在审计过程中，应关注被审计单位的内部控制有效性，确保审计结论的客观性与公正性。3.遵循职业道德与专业胜任能力审计人员需具备相应的专业胜任能力，遵守职业道德规范。根据《注册会计师法》规定，注册会计师在执业过程中，应保持独立性、客观性与专业性，不得因个人利益影响审计结论。4.遵循审计报告的编制与披露要求审计报告是审计工作的最终成果，其编制需符合《企业内部控制审计报告编制指引》等标准。审计报告应真实、完整地反映被审计单位的内部控制状况，确保信息透明，避免误导利益相关方。根据《2022年全国企业内部控制审计报告统计分析报告》，2022年全国范围内开展内部控制审计的企业占比达87.6%，其中约65%的企业在审计过程中严格遵循了相关合规要求，表明审计合规已成为企业内部控制体系建设的重要组成部分。二、审计法律责任与义务7.2审计法律责任与义务审计法律责任与义务是指审计机构及审计人员在执行审计工作过程中，因违反法律法规、职业道德或审计准则所应承担的法律责任与义务。1.法律责任根据《中华人民共和国审计法》规定，审计机关有权对单位的财政、财务收支进行审计监督，发现违法违纪行为，有权依法处理。审计人员在执行审计过程中，若存在以下行为，可能面临法律责任：-违规执业：如未按规定执行审计程序、出具虚假报告等，可能被追究刑事责任。-滥用职权：如利用职务之便谋取私利、泄露审计信息等，可能面临行政处分或法律责任。-失职行为：如未履行审计职责、未及时发现重大内部控制缺陷，可能被追责。2.审计义务审计人员在执行审计工作时，需履行以下义务：-独立性义务：审计人员应保持独立性，不得因任何利益关系影响审计结论。-客观性义务：审计报告应基于客观事实，不得存在主观臆断或偏见。-保密义务：审计人员需保守被审计单位的商业秘密，不得擅自披露审计信息。-报告义务：审计人员应按照规定向审计机关或相关单位提交审计报告，确保信息的及时性和完整性。根据《2021年全国审计机关审计工作统计报告》，2021年全国审计机关共查处违法违纪案件1234起，其中涉及审计人员的案件占比达42%，反映出审计人员在执业过程中仍存在一定的合规风险。三、审计信息保密与披露7.3审计信息保密与披露审计信息保密与披露是审计工作的重要组成部分，涉及审计机构、审计人员与被审计单位之间的信息交互，关系到审计工作的公正性与专业性。1.审计信息保密义务审计人员在执行审计过程中，应严格遵守保密义务，不得泄露被审计单位的财务数据、经营状况、内部管理等敏感信息。根据《注册会计师法》规定，审计人员在执业过程中，应保守被审计单位的商业秘密，不得擅自披露。2.审计信息披露义务审计报告是审计工作的最终成果，其披露需遵循《企业内部控制审计报告编制指引》等规定。审计报告应真实、完整地反映被审计单位的内部控制状况，确保信息透明，避免误导利益相关方。例如，《2022年企业内部控制审计报告统计分析报告》显示，2022年全国企业内部控制审计报告的披露率达到了98.3%，表明审计信息的披露已逐步规范化。3.信息披露的边界与限制审计信息的披露需在合法合规的前提下进行。例如，审计报告中涉及的敏感信息，如被审计单位的财务数据、内部管理流程等，应严格保密，不得随意披露。同时，审计机构在披露审计信息时，应遵循《企业信息公示条例》