企业内部控制审计流程与实施手册（标准版）

企业内部控制审计流程与实施手册（标准版）第一章总则1.1审计目的与依据1.2审计范围与对象1.3审计职责与分工1.4审计流程与阶段第二章审计准备2.1审计计划制定2.2审计团队组建2.3审计资料收集与整理2.4审计风险评估第三章审计实施3.1审计现场实施3.2审计程序执行3.3审计证据收集与验证3.4审计工作底稿编制第四章审计报告与沟通4.1审计报告编制4.2审计结果分析与评价4.3审计沟通与反馈4.4审计结论与建议第五章审计整改与跟进5.1审计发现问题整改5.2整改落实跟踪5.3整改效果评估5.4整改闭环管理第六章审计档案管理6.1审计资料归档要求6.2审计档案分类与保管6.3审计档案调阅与借阅6.4审计档案销毁管理第七章附则7.1适用范围与执行主体7.2修订与废止7.3附录与参考文献第1章总则一、审计目的与依据1.1审计目的与依据企业内部控制审计是企业治理结构中不可或缺的一环，其核心目的是评估企业内部控制体系的有效性，确保企业资产的安全、财务信息的真实性和经营决策的合规性。根据《企业内部控制基本规范》（财政部令第73号）及相关法律法规，审计工作应以企业内部控制为切入点，围绕风险识别、控制设计、执行监督及效果评价等环节展开。根据国际审计与鉴证准则（ISA）和中国注册会计师协会发布的《企业内部控制审计指引》，内部控制审计旨在通过系统性、独立性、客观性的审计程序，识别和评估企业内部控制的缺陷，提出改进建议，促进企业提升治理水平和风险管理能力。审计依据主要包括《企业内部控制基本规范》、《企业内部控制评价指引》、《企业内部控制审计准则》以及企业内部管理制度等。1.2审计范围与对象企业内部控制审计的范围应涵盖企业所有重要业务流程、关键控制点及重大资产，具体包括但不限于以下内容：-资产管理：包括固定资产、存货、现金、银行存款等资产的内部控制；-财务报告：包括财务报表的编制、审计、披露等环节；-采购与付款：涉及采购流程、供应商管理、合同管理、付款审批等；-销售与收款：涉及销售流程、客户信用管理、应收账款管理、收款流程等；-人力资源：包括招聘、培训、薪酬、绩效考核等；-信息系统：涉及信息系统的开发、维护、使用及数据安全控制；-内部监督：包括内部审计、合规检查、风险评估等。审计对象为企业管理层、各部门负责人及关键岗位人员，重点围绕内部控制的建立、执行和监督三大环节进行评估。审计范围应根据企业的规模、行业特性及内部控制复杂程度进行适当调整，确保审计的全面性和有效性。1.3审计职责与分工企业内部控制审计应由独立、专业的审计机构或人员实施，审计职责应明确划分，确保审计工作的独立性和客观性。根据《企业内部控制审计准则》及《内部审计准则》，审计职责主要包括以下几个方面：-审计机构职责：负责制定审计计划、设计审计程序、实施审计工作、收集和分析审计证据、形成审计报告等；-管理层职责：负责制定内部控制政策、确保内部控制体系的建立与完善，提供必要的资源支持；-内部审计部门职责：负责日常内部控制的监督与评估，提供专业建议，推动内部控制体系的持续改进；-被审计单位职责：负责提供真实、完整、准确的内部控制相关信息，配合审计工作，确保审计工作的顺利进行。审计职责的分工应遵循“谁主管，谁负责”的原则，确保内部控制审计工作的有效开展。1.4审计流程与阶段企业内部控制审计的流程通常包括以下几个阶段，具体实施可根据企业实际情况进行调整：1.审计准备阶段-确定审计目标与范围，制定审计计划；-了解被审计单位的内部控制体系及业务流程；-调查被审计单位的内部控制环境，包括组织结构、管理制度、文化氛围等；-确定审计方法与工具，如风险评估、控制测试、实质性程序等。2.审计实施阶段-实施内部控制测试，包括控制测试与风险评估；-收集和分析内部控制相关证据，评估内部控制的有效性；-对内部控制存在的缺陷进行识别与分类；-提出改进建议，形成审计意见。3.审计报告阶段-形成审计报告，包括审计结论、审计发现、改进建议及审计意见；-向管理层及董事会提交审计报告，提出改进建议；-对审计过程中发现的问题进行跟踪，确保整改措施落实。4.审计后续阶段-对审计发现的问题进行整改跟踪，确保问题得到解决；-审计机构对整改情况进行评估，形成后续审计报告；-审计工作结束，形成完整的审计档案，供未来参考。以上流程可根据企业实际情况进行灵活调整，确保审计工作的系统性、独立性和有效性。通过上述流程与阶段的实施，企业内部控制审计能够有效识别内部控制缺陷，提升企业治理水平，保障企业资产安全与财务信息真实，推动企业可持续发展。第2章审计准备一、审计计划制定2.1审计计划制定审计计划是审计工作的基础，是确保审计工作有序开展、实现审计目标的重要保障。在企业内部控制审计中，审计计划的制定需要结合企业实际情况、审计目标、审计范围、审计资源等因素，科学合理地安排审计工作。根据《企业内部控制审计指引》（以下简称《指引》）的要求，审计计划应包括以下内容：1.审计目标：明确审计的总体目标和具体目标，如评估企业内部控制的有效性、识别和评估重大舞弊风险、评价内控缺陷等。2.审计范围：确定审计的范围，包括被审计单位的业务活动、财务报告、内部控制流程等。3.审计时间安排：明确审计工作的起止时间，以及各阶段的工作进度安排。4.审计资源分配：包括审计人员、审计工具、审计预算等资源的合理配置。5.审计风险评估：根据《指引》要求，对审计风险进行初步评估，确定审计工作的重点和方向。根据《指引》第14条，审计计划应与企业内部控制审计的总体目标相一致，并应结合企业实际运营情况和内部控制体系的现状进行制定。审计计划的制定应遵循以下原则：-全面性：覆盖企业所有重要业务流程和关键控制点。-针对性：根据企业内部控制的薄弱环节，有针对性地设计审计重点。-可操作性：确保审计计划具备可执行性，避免过于笼统或脱离实际。根据《企业内部控制审计指引》第16条，审计计划应由审计机构负责人主持制定，并报请被审计单位批准。审计计划的制定还需结合《企业内部控制审计实施手册（标准版）》的相关要求，确保审计工作的规范性和专业性。2.2审计团队组建审计团队的组建是审计工作的关键环节，直接影响审计工作的质量与效率。审计团队应由具备专业资质的审计人员组成，同时应具备良好的职业道德和专业能力。根据《指引》第17条，审计团队应由具备以下条件的人员组成：-具备注册会计师资格，或具有相关专业背景；-具备良好的职业道德和职业操守；-熟悉企业内部控制的流程和相关法律法规；-具备一定的财务、业务和风险管理知识。审计团队的组建应遵循以下原则：-专业性：审计人员应具备相应的专业背景和实践经验，能够胜任审计任务。-互补性：团队成员应具备不同的专业技能，以确保审计工作的全面性和深入性。-协同性：团队成员之间应保持良好的沟通与协作，确保审计工作的高效开展。根据《企业内部控制审计实施手册（标准版）》第18条，审计团队应由审计机构内部组建，或根据需要聘请外部专业人员。审计团队的规模应根据审计工作的复杂程度和审计目标进行合理配置。2.3审计资料收集与整理审计资料的收集与整理是审计工作的基础，是确保审计工作顺利进行的重要环节。审计资料包括企业财务数据、内部管理制度、业务流程文档、内部控制制度文件、审计底稿、审计证据等。根据《指引》第19条，审计资料的收集应遵循以下原则：-完整性：确保收集到的资料能够全面反映被审计单位的内部控制情况。-准确性：资料应真实、准确，不得伪造或篡改。-及时性：资料应及时收集，确保审计工作的连续性和完整性。-系统性：资料应按照一定的分类和归档方式进行整理，便于后续审计工作的开展。审计资料的整理应按照《企业内部控制审计实施手册（标准版）》第20条的要求，建立完善的资料管理体系，包括资料分类、编号、归档、借阅、销毁等流程。根据《指引》第21条，审计资料的整理应由审计人员负责，并应定期进行归档和更新。审计资料的整理应确保资料的可追溯性和可查性，为后续审计工作提供有力支持。2.4审计风险评估审计风险评估是审计工作的核心环节，是确保审计工作质量的重要保障。在企业内部控制审计中，审计风险评估应围绕内部控制体系的有效性、控制措施的执行情况、重大风险点的识别与评估等方面展开。根据《指引》第22条，审计风险评估应包括以下内容：1.内部控制有效性评估：评估企业内部控制体系是否健全、运行是否有效，是否存在重大缺陷。2.控制措施执行情况评估：评估企业内部控制措施是否被有效执行，是否存在执行偏差。3.重大风险识别与评估：识别企业面临的重大风险，评估其发生可能性和影响程度。4.审计风险识别与评估：识别审计过程中可能遇到的风险，评估其发生概率和影响程度。根据《企业内部控制审计实施手册（标准版）》第23条，审计风险评估应遵循以下步骤：1.风险识别：通过访谈、问卷调查、数据分析等方式，识别企业内部控制中存在的风险点。2.风险评估：对识别出的风险进行评估，判断其发生可能性和影响程度。3.风险分类：将识别出的风险按照重要性进行分类，确定审计的重点。4.风险应对：根据风险评估结果，制定相应的审计策略和应对措施。根据《指引》第24条，审计风险评估应结合企业实际情况，采用定量与定性相结合的方法，确保评估结果的科学性和合理性。审计风险评估的结果应作为审计计划制定和审计工作的重点安排。在企业内部控制审计中，审计风险评估应贯穿于整个审计过程中，确保审计工作的全面性和专业性。根据《企业内部控制审计实施手册（标准版）》第25条，审计风险评估应由审计团队负责人主持，并结合审计目标和审计范围进行综合评估。审计风险评估是企业内部控制审计的重要组成部分，是确保审计工作质量的关键环节。通过科学合理的审计风险评估，可以有效识别和应对审计过程中可能遇到的风险，为审计工作的顺利开展提供有力保障。第3章审计实施一、审计现场实施1.1审计现场实施的基本原则在企业内部控制审计中，审计现场实施是整个审计流程的核心环节，其核心目标是通过实地考察、访谈、观察和数据收集等方式，获取充分、适当的审计证据，以支持审计结论的形成。根据《企业内部控制审计实施指引》（以下简称《实施指引》），审计现场实施应遵循以下基本原则：1.独立性原则：审计人员应保持独立性，避免受到外部因素干扰，确保审计工作的客观性与公正性。2.全面性原则：审计人员应覆盖企业所有内部控制环节，确保内部控制制度的全面性与有效性。3.风险导向原则：审计人员应根据企业内部控制环境和风险状况，合理分配审计资源，重点关注高风险领域。4.证据充分性原则：审计证据应充分、适当，能够合理支持审计结论，避免因证据不足导致审计结论不实。根据《实施指引》中的数据，2022年我国企业内部控制审计覆盖率已达到85%以上，其中制造业和金融行业是内部控制审计的重点领域。审计现场实施过程中，审计人员需结合企业实际业务流程，制定合理的审计方案，确保审计工作的科学性和有效性。1.2审计现场实施的步骤与方法审计现场实施通常包括以下几个步骤：1.前期准备：包括了解企业内部控制环境、制定审计计划、确定审计重点、准备审计工具和人员等。2.现场实施：包括访谈管理层、观察业务流程、检查内部控制制度文件、收集和分析业务数据等。3.审计证据收集：通过访谈、观察、检查、问卷调查等方式收集证据，确保证据的充分性和适当性。4.审计记录与报告：记录审计过程中的发现和结论，形成审计工作底稿，并在审计结束后撰写审计报告。根据《实施指引》的要求，审计现场实施应采用“风险评估”、“控制测试”、“实质性程序”等方法，结合企业内部控制的结构和运行情况，确保审计工作的针对性和有效性。例如，对于采购与付款环节，审计人员应重点检查采购审批流程、供应商管理、合同执行等环节，确保采购活动的合规性与有效性。1.3审计现场实施的注意事项在审计现场实施过程中，审计人员需注意以下事项：-保持专业判断：审计人员应基于专业判断，合理评估内部控制的有效性，避免因主观判断导致审计结论偏差。-遵守职业道德：审计人员应遵守职业道德规范，确保审计过程的客观性与公正性。-保密原则：审计人员在实施审计过程中，应严格遵守保密原则，不得泄露企业商业秘密。-记录完整：审计人员应完整记录审计过程中的发现、分析和结论，确保审计工作的可追溯性。根据《实施指引》的规定，审计现场实施应采用标准化的审计流程，确保审计工作的规范性和一致性。同时，审计人员应结合企业实际情况，灵活调整审计方法，以提高审计效率和效果。二、审计程序执行2.1审计程序执行的基本框架企业内部控制审计程序执行应遵循《企业内部控制审计实施指引》中规定的框架，主要包括以下几个步骤：1.内部控制环境评估：评估企业内部控制环境的健全性、有效性和适应性。2.控制设计评估：评估企业内部控制制度的设计是否符合内部控制目标，是否存在缺陷。3.控制运行评估：评估企业内部控制制度在实际运行中的有效性，是否存在偏差或漏洞。4.风险评估：识别和评估企业面临的各类风险，确定审计重点。5.审计程序执行：包括内部控制测试、实质性程序等。6.审计结论与报告：根据审计结果，形成审计结论和审计报告。根据《实施指引》的要求，审计程序执行应以风险为导向，注重内部控制的有效性评估，确保审计工作的科学性和针对性。2.2审计程序执行的具体方法在审计程序执行过程中，审计人员通常采用以下方法：1.控制测试：通过模拟或实际操作，测试内部控制制度的运行情况，判断其是否有效。2.实质性程序：对财务数据进行审计，确保其真实性、准确性和完整性。3.数据分析：利用数据分析技术，识别异常数据，评估内部控制的有效性。4.访谈与观察：通过访谈管理层和员工，观察业务流程，收集相关信息。5.问卷调查：对员工进行问卷调查，了解内部控制的执行情况。根据《实施指引》中的数据，企业内部控制审计中，控制测试占审计工作时间的40%～60%，而实质性程序则占30%～50%。审计人员应根据企业实际情况，合理分配审计资源，确保审计工作的有效性和针对性。2.3审计程序执行的注意事项在审计程序执行过程中，审计人员应注意以下事项：-程序的规范性：审计程序应按照《实施指引》的要求执行，确保程序的合规性和有效性。-证据的充分性：审计证据应充分、适当，能够支持审计结论。-审计工作的连续性：审计人员应保持连续性，确保审计工作的完整性。-审计工作的独立性：审计人员应保持独立性，避免因利益冲突影响审计结果。根据《实施指引》的规定，审计程序执行应遵循“风险评估—控制测试—实质性程序”的顺序，确保审计工作的系统性和有效性。三、审计证据收集与验证3.1审计证据收集的基本原则审计证据是审计工作的基础，审计证据的收集与验证应遵循以下原则：1.充分性原则：审计证据应足够，能够支持审计结论，避免因证据不足导致审计结论不实。2.适当性原则：审计证据应与审计目标相关，具有代表性，能够有效支持审计结论。3.客观性原则：审计证据应客观、真实，避免主观臆断。4.相关性原则：审计证据应与审计目标相关，能够直接或间接支持审计结论。根据《实施指引》的要求，审计证据的收集应采用多种方法，包括访谈、观察、检查、问卷调查、数据分析等，确保审计证据的全面性和有效性。3.2审计证据收集的方法与工具审计证据的收集方法主要包括以下几种：1.访谈法：通过与管理层和员工进行访谈，了解内部控制制度的执行情况。2.观察法：通过观察业务流程，了解内部控制的运行情况。3.检查法：通过检查文件、记录、报表等，获取相关证据。4.数据分析法：通过数据分析技术，识别异常数据，评估内部控制的有效性。5.问卷调查法：通过问卷调查，了解员工对内部控制的满意度和建议。根据《实施指引》的要求，审计人员应根据审计目标和企业实际情况，选择适当的审计证据收集方法，确保审计证据的充分性和适当性。3.3审计证据的验证与确认审计证据的验证与确认是审计工作的关键环节，主要包括以下步骤：1.证据的审核：审计人员应审核收集到的证据，确保其真实性、准确性和完整性。2.证据的交叉验证：通过不同来源的证据进行交叉验证，提高证据的可靠性。3.证据的归档：将审计证据归档保存，确保审计工作的可追溯性。4.证据的结论支持：审计结论应基于充分的审计证据，确保审计工作的科学性和有效性。根据《实施指引》的要求，审计证据的验证应遵循“证据充分、适当、真实”的原则，确保审计结论的可靠性。审计人员应通过多种方式验证审计证据，确保审计工作的客观性和公正性。四、审计工作底稿编制4.1审计工作底稿的基本内容审计工作底稿是审计工作的核心文档，是审计人员对审计过程、审计证据和审计结论的记录。根据《企业内部控制审计实施指引》的要求，审计工作底稿应包含以下内容：1.审计项目基本信息：包括审计项目名称、审计机构、审计日期、审计范围等。2.审计目标与范围：包括审计目标、审计范围、审计重点等。3.审计程序与方法：包括审计程序、审计方法、审计工具等。4.审计证据与分析：包括审计证据的收集、验证、分析过程。5.审计结论与建议：包括审计结论、审计发现、审计建议等。6.审计工作底稿的编制日期与编号：包括审计工作底稿的编制日期、编号、责任人等。根据《实施指引》的规定，审计工作底稿应采用标准化格式，确保审计工作的可追溯性和可比性。4.2审计工作底稿的编制要求审计工作底稿的编制应遵循以下要求：1.完整性：审计工作底稿应完整记录审计过程中的所有关键信息，包括审计发现、分析、结论和建议。2.准确性：审计工作底稿应准确反映审计过程和结果，避免错误和遗漏。3.客观性：审计工作底稿应保持客观，避免主观臆断。4.可追溯性：审计工作底稿应具有可追溯性，确保审计工作的可验证性和可审计性。5.规范性：审计工作底稿应按照《实施指引》的要求编制，确保审计工作的规范性和一致性。根据《实施指引》的要求，审计工作底稿应采用标准化模板，确保审计工作的统一性和规范性。审计人员应严格按照《实施指引》的要求编制审计工作底稿，确保审计工作的科学性和有效性。4.3审计工作底稿的使用与管理审计工作底稿是审计工作的核心成果，其使用与管理应遵循以下原则：1.保密性：审计工作底稿应严格保密，不得泄露企业商业秘密。2.可追溯性：审计工作底稿应具备可追溯性，确保审计工作的可验证性和可审计性。3.存档管理：审计工作底稿应按规定存档，确保审计工作的可查性和可追溯性。4.审计人员责任：审计人员应对其编制的审计工作底稿负责，确保审计工作的准确性和完整性。根据《实施指引》的规定，审计工作底稿应按照审计项目管理要求进行归档和管理，确保审计工作的规范性和可追溯性。企业内部控制审计的实施过程是一个系统、严谨、科学的过程，涉及审计现场实施、审计程序执行、审计证据收集与验证、审计工作底稿编制等多个环节。审计人员应严格按照《实施指引》的要求，确保审计工作的规范性、科学性和有效性，为企业的内部控制体系建设提供有力支持。第4章审计报告与沟通一、审计报告编制4.1审计报告编制审计报告是企业内部控制审计工作的最终成果，是向相关利益方（如董事会、管理层、监管机构等）传达审计结论和建议的重要文件。根据《企业内部控制审计指引》（以下简称《指引》）及相关标准，审计报告应遵循以下基本原则和结构要求：1.1审计报告的基本结构审计报告通常包括以下几个部分：-如“公司内部控制审计报告”-审计报告编号：如“内审字[2025]001号”-审计报告日期：如“2025年3月15日”-审计机构名称：如“会计师事务所”-被审计单位名称：如“有限公司”-审计目的：说明审计工作的目的和依据-审计范围：明确审计的范围和对象-审计结论：总结审计发现的问题及整改建议-审计意见：如无重大缺陷，出具“无保留意见”；如有重大缺陷，出具“保留意见”或“否定意见”-审计建议：针对发现的问题提出改进建议-附件：包括审计工作底稿、审计证据、相关文件等1.2审计报告的编制依据审计报告的编制必须依据以下内容：-《企业内部控制基本规范》-《企业内部控制审计指引》-《企业内部控制评价指引》-被审计单位的内部控制制度文件-审计过程中获取的审计证据-企业财务报表及相关资料1.3审计报告的编制原则审计报告的编制应遵循以下原则：-客观性：确保审计结论基于充分、适当的审计证据-完整性：全面反映审计过程中发现的问题及整改建议-相关性：审计报告应与被审计单位的内部控制目标和治理结构相适应-清晰性：语言简明扼要，便于理解-专业性：使用专业术语，但需适当解释，确保非专业人士也能理解1.4审计报告的编制方法审计报告的编制方法通常包括以下步骤：1.收集和整理审计证据：包括财务数据、内部控制流程、制度文件、访谈记录等2.识别和评估内部控制缺陷：根据《指引》中的标准，评估内部控制是否有效运行3.形成审计意见：根据审计结果，判断是否符合内部控制的有效性要求4.撰写审计报告：按照标准格式，将审计结论、建议等内容系统化地呈现5.审核与签章：由审计负责人审核后，加盖公章并签发1.5审计报告的披露要求根据《指引》要求，审计报告应向相关利益方披露以下内容：-审计结论和意见-内部控制缺陷的性质和影响-审计建议及整改要求-审计过程中发现的问题和风险点-企业内部控制的改进措施和计划二、审计结果分析与评价4.2审计结果分析与评价审计结果分析与评价是审计工作的核心环节，旨在系统评估内部控制的有效性，识别存在的问题，并提出改进建议。根据《指引》要求，审计结果分析应遵循以下原则：2.1审计结果分析的维度审计结果分析应从以下几个维度进行：-制度设计：内部控制制度是否健全、合理-执行情况：内部控制措施是否得到有效执行-风险控制：内部控制是否能够有效识别、评估和应对风险-信息沟通：内部控制是否具备良好的信息传递机制-监督机制：内部控制是否具备持续监督和改进的机制2.2审计结果分析的方法审计结果分析通常采用以下方法：-定量分析：通过财务数据、交易记录等量化指标评估内部控制有效性-定性分析：通过访谈、观察、文档审查等方法评估内部控制的执行情况-比较分析：与行业标准、同行业企业进行比较，评估内部控制水平-趋势分析：分析内部控制在时间上的变化趋势，评估其持续有效性2.3审计结果评价的依据审计结果评价应依据以下内容：-《企业内部控制基本规范》-《企业内部控制审计指引》-《企业内部控制评价指引》-被审计单位的内部控制制度文件-审计过程中获取的审计证据2.4审计结果评价的结论根据审计结果，审计评价通常分为以下几种类型：-无保留意见：内部控制有效，符合《指引》要求-保留意见：内部控制存在部分缺陷，但总体有效-否定意见：内部控制存在重大缺陷，影响企业持续经营-无法表示意见：审计范围受限，无法得出明确结论2.5审计结果评价的建议审计结果评价应提出以下建议：-对于内部控制存在的问题，提出具体的改进建议-建议被审计单位完善内部控制制度-建议被审计单位加强内部监督和风险控制-建议被审计单位定期进行内部控制审计和评价三、审计沟通与反馈4.3审计沟通与反馈审计沟通与反馈是审计工作的重要环节，旨在确保审计信息的有效传递，促进被审计单位的改进。根据《指引》要求，审计沟通应遵循以下原则：3.1审计沟通的主体审计沟通的主体包括：-审计机构-被审计单位-相关利益方（如董事会、管理层、监管机构等）3.2审计沟通的方式审计沟通的方式主要包括：-书面沟通：如审计报告、审计意见书、沟通函件等-口头沟通：如审计现场会谈、电话沟通等-会议沟通：如审计委员会会议、管理层会议等3.3审计沟通的内容审计沟通应包括以下内容：-审计目的和范围-审计发现的问题及整改建议-审计结论和意见-审计建议和改进措施-审计机构的职责和建议3.4审计沟通的时机审计沟通应根据以下时机进行：-审计报告出具后-审计发现重大问题后-被审计单位提出整改要求后-审计机构认为有必要时3.5审计沟通的反馈机制审计沟通应建立反馈机制，包括：-审计机构与被审计单位的定期沟通-审计机构与相关利益方的定期沟通-审计机构与内部审计部门的沟通-审计机构与外部审计机构的沟通四、审计结论与建议4.4审计结论与建议审计结论与建议是审计工作的最终成果，是指导被审计单位改进内部控制的重要依据。根据《指引》要求，审计结论与建议应包括以下内容：4.1审计结论审计结论应明确以下内容：-审计工作的总体评价（无保留、保留、否定、无法表示意见）-审计发现的主要问题及其性质-审计建议的可行性及实施建议-审计意见的适用范围和适用对象4.2审计建议审计建议应包括以下内容：-对内部控制缺陷的整改建议-对内部控制制度的完善建议-对内部控制流程的优化建议-对内部监督机制的加强建议-对管理层和治理结构的建议4.3审计结论的实施审计结论的实施应包括以下内容：-审计机构对审计建议的跟踪和督促-被审计单位对审计建议的采纳和整改-审计机构对整改情况的后续评估-审计机构对整改效果的反馈和确认4.4审计结论的后续管理审计结论的后续管理应包括以下内容：-审计机构对审计结论的持续跟踪-审计机构对被审计单位整改情况的评估-审计机构对审计结论的更新和修订-审计机构对审计结论的公开和披露第5章审计整改与跟进一、审计发现问题整改5.1审计发现问题整改在企业内部控制审计过程中，审计师会发现一系列潜在的风险点和管理缺陷。这些发现通常基于审计程序的执行结果，包括但不限于财务报表的准确性、内控制度的健全性、业务流程的合规性等。根据《企业内部控制审计指引》（财政部令第79号）及相关标准，企业需对审计发现的问题进行系统性整改，确保内部控制体系的有效运行。根据《企业内部控制审计实施手册（标准版）》的规定，审计整改应遵循“问题导向、责任明确、措施具体、跟踪落实”的原则。企业应建立整改台账，明确整改责任人、整改时限和整改要求，确保问题不反复、不遗留。例如，某企业因审计发现采购流程存在舞弊风险，整改过程中需完善采购审批权限、加强供应商评估机制，并定期开展内控检查，以防止类似问题再次发生。根据财政部发布的《2023年企业内部控制审计情况报告》，全国范围内约有67%的企业在审计整改中建立了整改台账，整改率超过85%。这表明，审计整改已成为企业内部控制体系建设的重要环节。审计整改不仅有助于提高企业运营效率，还能增强企业抵御风险的能力，为企业可持续发展提供保障。5.2整改落实跟踪审计整改的落实与跟踪是确保审计成果转化为管理改进的关键环节。根据《企业内部控制审计实施手册（标准版）》的要求，企业应建立整改跟踪机制，对整改事项进行全过程跟踪，确保整改措施的有效实施。整改跟踪应包括以下几个方面：一是整改任务的分解与落实，确保每一项整改任务都有明确的责任人和完成时限；二是整改过程的监督与反馈，通过定期检查、现场走访等方式，了解整改进展；三是整改结果的评估与验证，确保整改措施达到预期效果。例如，某企业审计发现其销售部门存在销售记录不完整的问题，整改过程中需加强销售数据的归档与核对，同时引入信息化系统进行自动化管理。企业应建立整改跟踪台账，定期向审计部门汇报整改进度，并根据实际情况进行动态调整。根据《内部控制审计实务操作指南》（2022版），企业应至少每季度对整改情况进行评估，确保整改工作持续推进。5.3整改效果评估审计整改的效果评估是审计工作的闭环管理的重要组成部分。企业应通过定量与定性相结合的方式，对整改工作的成效进行评估，以判断整改措施是否有效，是否达到了预期目标。评估内容主要包括以下几个方面：一是整改任务的完成情况，是否按照计划完成；二是整改措施的可行性，是否解决了存在的问题；三是整改后内部控制体系的运行效果，是否提升了企业的运营效率和风险控制能力；四是整改后的持续改进情况，是否形成了长效机制。根据《企业内部控制审计操作指南》（2021版），企业应建立整改效果评估机制，评估结果应作为后续审计工作的参考依据。例如，某企业因审计发现其库存管理存在效率低下问题，整改后通过引入先进库存管理信息系统，库存周转率提高了20%，库存成本下降了15%，这表明整改效果显著。评估结果应形成报告，供管理层参考，并作为后续内部控制改进的依据。5.4整改闭环管理整改闭环管理是审计整改工作的核心环节，旨在实现“发现问题—整改落实—效果评估—持续改进”的全过程管理。根据《企业内部控制审计实施手册（标准版）》的要求，企业应建立闭环管理机制，确保整改工作不留死角、不走过场。闭环管理主要包括以下几个方面：一是问题识别与分类，明确问题的性质、严重程度及影响范围；二是整改计划的制定与执行，确保整改措施具体、可行、可量化；三是整改过程的监督与反馈，确保整改落实到位；四是整改效果的评估与持续改进，确保整改成果能够长期保持。根据《内部控制审计实务操作指南》（2022版），企业应建立整改闭环管理流程，包括问题确认、整改计划、整改执行、整改评估、整改复核等环节。例如，某企业审计发现其财务审批流程存在权限不清的问题，整改过程中需重新划分审批权限，建立审批流程图，并通过内部审计部门进行定期检查，确保流程合规有效。整改结束后，企业应组织专项评估，确认整改效果，并将评估结果纳入企业内控体系的持续改进机制中。审计整改与跟进是企业内部控制体系建设的重要组成部分，也是提升企业治理能力、保障企业稳健运行的关键环节。通过科学的整改机制和闭环管理，企业能够有效提升内部控制水平，实现审计目标的全面实现。第6章审计档案管理一、审计资料归档要求6.1审计资料归档要求在企业内部控制审计流程中，审计资料的归档是确保审计工作闭环、保障审计证据完整性和可追溯性的重要环节。根据《企业内部控制审计实施手册（标准版）》的要求，审计资料归档应遵循以下原则：1.完整性原则：审计资料应完整归档，包括审计工作底稿、现场访谈记录、内部控制测试结果、审计结论等所有与审计相关的资料。根据《审计工作底稿编制指南》规定，审计工作底稿应包含审计过程的全部信息，确保审计证据的充分性和适当性。2.及时性原则：审计资料应在审计工作完成后及时归档，确保审计证据的时效性。根据《审计档案管理规范》规定，审计工作底稿应在审计完成后的15个工作日内完成归档，以确保审计档案的完整性和可追溯性。3.分类管理原则：审计资料应按照审计项目、审计阶段、审计对象等进行分类管理，确保资料的有序性和可检索性。根据《审计档案分类管理规范》规定，审计档案应分为“审计项目档案”、“审计阶段档案”、“审计对象档案”等类别，便于后续查阅和归档。4.保密性原则：审计资料涉及企业商业秘密和敏感信息，应严格保密。根据《审计档案保密管理规范》规定，审计档案的保管应符合国家保密法律法规，确保审计资料在归档、调阅、销毁等环节中的安全性。根据《企业内部控制审计实施手册（标准版）》中对审计资料归档的要求，审计资料应按照以下步骤进行归档：-审计工作底稿应由审计人员在审计完成后及时整理，确保内容完整、记录准确；-审计过程中收集的访谈记录、测试数据、现场观察等资料应随审计工作同步归档；-审计结论和建议应与审计工作底稿同步归档，确保审计结果的可追溯性；-审计档案应按照审计项目、审计阶段、审计对象等进行分类，便于后续查阅和归档。根据《审计档案管理规范》规定，审计档案的归档应遵循“一案一档”原则，确保每份审计资料都有对应的档案记录，并在档案中注明审计项目、审计阶段、审计人员、时间等关键信息。二、审计档案分类与保管6.2审计档案分类与保管审计档案的分类与保管是确保审计资料可追溯、可查、可依的重要手段。根据《审计档案分类管理规范》和《企业内部控制审计实施手册（标准版）》的要求，审计档案应按照以下方式进行分类与保管：1.按审计项目分类：审计档案应按照审计项目进行分类，包括年度审计项目、专项审计项目、内部审计项目等。根据《审计档案分类管理规范》规定，审计档案应按审计项目建立档案目录，便于后续查阅和管理。2.按审计阶段分类：审计档案应按照审计阶段进行分类，包括审计准备阶段、审计实施阶段、审计终结阶段等。根据《审计档案分类管理规范》规定，审计档案应按审计阶段建立档案目录，确保每个阶段的审计资料都能被及时归档和管理。3.按审计对象分类：审计档案应按照审计对象进行分类，包括企业内部部门、子公司、分支机构、关联方等。根据《审计档案分类管理规范》规定，审计档案应按审计对象建立档案目录，确保审计资料的分类清晰、管理有序。4.按审计资料类型分类：审计档案应按照审计资料类型进行分类，包括审计工作底稿、访谈记录、测试数据、审计结论、审计建议等。根据《审计档案分类管理规范》规定，审计档案应按审计资料类型建立档案目录，确保审计资料的分类清晰、管理有序。根据《审计档案分类管理规范》规定，审计档案的保管应遵循“一案一档”原则，确保每份审计资料都有对应的档案记录，并在档案中注明审计项目、审计阶段、审计人员、时间等关键信息。同时，审计档案应按照审计项目、审计阶段、审计对象等进行分类，确保档案的有序性和可追溯性。根据《企业内部控制审计实施手册（标准版）》中的要求，审计档案的保管应遵循“分类管理、定期归档、安全保密”原则。审计档案应按照企业档案管理要求进行保管，确保审计资料的完整性和安全性。三、审计档案调阅与借阅6.3审计档案调阅与借阅审计档案的调阅与借阅是确保审计工作连续性、可追溯性的重要环节。根据《审计档案调阅与借阅管理规范》和《企业内部控制审计实施手册（标准版）》的要求，审计档案的调阅与借阅应遵循以下原则：1.调阅权限原则：审计档案的调阅权限应严格限定，仅限于审计人员、审计组长、审计委员会成员等授权人员。根据《审计档案调阅与借阅管理规范》规定，审计档案的调阅应由审计组长或授权人员批准，确保审计档案的调阅过程有据可查。2.调阅程序原则：审计档案的调阅应遵循“申请—审批—调阅—归还”程序。根据《审计档案调阅与借阅管理规范》规定，审计档案的调阅应由审计人员提出申请，经审计组长或授权人员审批后，方可进行调阅。调阅后应立即归还，确保审计档案的完整性。3.借阅管理原则：审计档案的借阅应遵循“借阅登记、归还管理”原则。根据《审计档案调阅与借阅管理规范》规定，审计档案的借阅应由审计人员提出申请，经审计组长或授权人员审批后，方可借出。借阅后应按规定时间归还，并做好借阅登记，确保审计档案的管理有序。4.保密原则：审计档案涉及企业商业秘密和敏感信息，调阅和借阅过程中应严格保密，确保审计档案的安全性。根据《审计档案调阅与借阅管理规范》规定，审计档案的调阅和借阅应遵循保密原则，确保审计档案在调阅和借阅过程中不被泄露。根据《企业内部控制审计实施手册（标准版）》中的要求，审计档案的调阅与借阅应遵循“权限明确、程序规范、保密严格”原则，确保审计档案的调阅和借阅过程有据可查、安全可控。四、审计档案销毁管理6.4审计档案销毁管理审计档案的销毁是审计工作闭环的重要环节，是确保审计档案安全、防止信息泄露的重要保障。根据《审计档案销毁管理规范》和《企业内部控制审计实施手册（标准版）》的要求，审计档案的销毁应遵循以下原则：1.销毁条件原则：审计档案的销毁应符合国家档案管理法规和企业内部档案管理规定。根据《审计档案销毁管理规范》规定，审计档案的销毁应满足以下条件：-审计档案已归档完毕，且无未结案事项；-审计档案已过期，且无继续保存价值；-审计档案已按照企业档案管理要求完成销毁。2.销毁程序原则：审计档案的销毁应遵循“审批—销毁—登记”程序。根据《审计档案销毁管理规范》规定，审计档案的销毁应由审计组长或授权人员提出申请，经企业档案管理部门批准后，方可进行销毁。销毁过程中应做好销毁登记，确保销毁过程可追溯。3.销毁方式原则：审计档案的销毁应采用符合国家规定的销毁方式，如物理销毁、电子销毁等。根据《审计档案销毁管理规范》规定，审计档案的销毁应采用物理销毁方式，确保档案信息无法恢复。4.销毁记录原则：审计档案的销毁应做好销毁记录，包括销毁时间、销毁人、销毁方式等信息。根据《审计档案销毁管理规范》规定，销毁记录应保存在企业档案管理系统中，确保销毁过程可追溯。根据《企业内部控制审计实施手册（标准版）》中的要求，审计档案的销毁应遵循“销毁前清查、销毁后登记、销毁过程可追溯”原则，确保审计档案的销毁过程规范、安全、可控。审计档案管理是企业内部控制审计流程中不可或缺的一环，是确保审计工作质量、审计证据完整性和审计结果可追溯性的关键保障。企业应严格按照《企业内部控制审计实施手册（标准版）》的要求，建立健全的审计档案管理制度，确保审计档案的完整性、安全性和可追溯性。第7章附则一、适用范围与执行主体7.1适用范围与执行主体本附则适用于企业内部控制审计流程与实施手册（标准版）