了解被审计单位内控制度

PAGE了解被审计单位内控制度一、总则（一）目的为规范对被审计单位内控制度的了解与评估工作，确保审计工作的质量与效率，依据国家相关法律法规以及行业通行标准，制定本规定。（二）适用范围本规定适用于本公司/组织对所有被审计单位内控制度的了解、分析及评价活动。（三）基本原则1.合法性原则：了解被审计单位内控制度必须严格遵循国家法律法规的要求，确保内控制度合法合规，不存在违反法律规定的设计与执行情况。2.全面性原则：涵盖被审计单位各个业务环节、各个部门的内控制度，对其进行全面、系统的审查，不得遗漏重要方面。3.有效性原则：重点关注内控制度在实际运行中的有效性，能否切实防范风险、保障业务正常开展、提高经营效率和效果。4.适应性原则：充分考虑被审计单位的行业特点、经营规模、业务性质等因素，确保了解到的内控制度与其实际情况相适应。二、内控制度的构成要素（一）控制环境1.治理结构被审计单位的组织架构是否健全，董事会、监事会等治理机构的职责权限是否明确。治理层对管理层的监督机制是否有效，能否对重大决策、财务报告等进行有力监督。2.机构设置与权责分配各部门的设置是否合理，职能划分是否清晰，避免职能交叉或缺失。明确各岗位的职责与权限，确保不相容岗位相互分离、相互制约。例如，业务经办与会计记录、授权审批与监督检查等岗位不得由同一人兼任。3.内部审计机制内部审计部门的独立性和权威性如何，是否能够独立开展审计工作。内部审计的范围、频率和方法是否恰当，能否及时发现并纠正内控制度中的缺陷。4.人力资源政策人员招聘、培训、考核、晋升等环节的政策是否完善，能否吸引和留住优秀人才。员工的职业道德和业务素质培训是否到位，是否有助于提高员工的合规意识和业务能力。5.企业文化企业倡导的价值观、经营理念等企业文化是否与内控制度相契合，是否能够营造良好的内控氛围。企业文化是否能够促进员工对内控的理解和认同，增强员工的内控执行自觉性。（二）风险评估1.目标设定被审计单位是否明确了战略目标、经营目标、财务报告目标等各类目标。目标的设定是否符合企业的实际情况和行业发展趋势，是否具有可衡量性和可实现性。2.风险识别识别内外部可能影响企业目标实现的风险因素，包括市场风险、信用风险、操作风险等。风险识别的方法是否科学有效，是否能够涵盖企业面临的主要风险领域。3.风险评估对识别出的风险进行评估，确定风险的可能性和影响程度。根据风险评估结果，对风险进行排序，以便确定重点关注的风险领域。4.风险应对针对不同等级的风险，制定相应的风险应对策略，如风险规避、风险降低、风险分担、风险承受等。风险应对措施是否与风险评估结果相匹配，是否具有可行性和有效性。（三）控制活动1.不相容职务分离控制明确不相容职务的范围，并确保严格分离。例如，授权批准与业务经办、业务经办与会计记录、会计记录与财产保管等职务应相互分离。对不相容职务分离的执行情况进行监督检查，防止出现职务混岗现象。2.授权审批控制制定明确的授权审批制度，规定不同层次的业务和事项的审批权限。审批流程是否清晰，审批环节是否合理，避免越权审批或审批流于形式。3.会计系统控制建立健全的会计核算体系，确保会计信息真实、准确、完整。会计凭证、账簿、报表等的编制、审核、保管等环节是否规范，符合会计准则和相关法规要求。4.财产保护控制采取有效的财产保护措施，如定期盘点、财产保险、限制接近等，确保财产安全。对财产清查中发现的问题，是否及时进行处理和整改。5.预算控制编制科学合理的预算，明确各部门的预算指标和责任。加强对预算执行情况的监控和分析，及时发现并纠正预算执行偏差。6.运营分析控制建立运营分析指标体系，对企业的生产经营活动进行定期分析。通过运营分析，及时发现企业运营中的问题和潜在风险，为决策提供依据。7.绩效考评控制制定合理的绩效考评制度，明确考评标准和方法。将绩效考评结果与员工薪酬、晋升、奖惩等挂钩，激励员工积极履行职责，提高工作效率和效果。（四）信息与沟通1.信息系统建立有效的信息系统，确保信息在企业内部的及时、准确传递。信息系统的安全防护措施是否完善，能否防止信息泄露、篡改等风险。2.沟通机制建立内部沟通渠道，包括管理层与员工之间、各部门之间的沟通渠道，确保信息畅通。加强与外部利益相关者的沟通，如客户、供应商、监管机构等，及时了解外部信息和反馈。3.信息披露按照法律法规和监管要求，及时、准确地披露企业的内控制度建设和执行情况等信息。信息披露的内容是否完整、真实，是否有助于投资者和其他利益相关者了解企业的内控状况。（五）内部监督1.日常监督各部门和岗位对日常业务活动进行自我监督，及时发现并纠正违规行为和内控缺陷。日常监督的频率和方式是否合理，能否有效覆盖各项业务活动。2.专项监督定期或不定期开展专项监督检查，对特定业务领域或重要内控制度进行深入审查。专项监督的结果是否及时反馈和处理，对发现的重大问题是否采取有效措施进行整改。3.监督评价对内部监督工作的效果进行评价，评估监督的有效性和充分性。根据监督评价结果，总结经验教训，不断完善内部监督机制。三、了解被审计单位内控制度的程序与方法（一）准备阶段1.组建审计小组根据被审计单位的规模、业务复杂程度等因素，组建专业结构合理、经验丰富的审计小组。明确审计小组成员的职责分工，确保各项工作有序开展。2.收集相关资料收集被审计单位的基本情况资料，如营业执照、公司章程、组织架构图等。获取被审计单位以往的审计报告、财务报表、内控制度文件等资料，了解其内控建设和运行情况。3.制定审计计划根据了解到的被审计单位情况，制定详细的审计计划，明确审计目标、范围、重点、时间安排等。审计计划应具有针对性和可操作性，能够指导审计工作的顺利进行。（二）实施阶段1.访谈与问卷调查与被审计单位的管理层、关键岗位人员等进行访谈，了解其对内控的认识、执行情况以及存在的问题。设计并发放内控问卷调查表，覆盖各部门和主要业务流程，收集相关人员对内控的反馈意见。2.文档审查审查被审计单位的内控制度文件，包括制度手册、流程文档、操作指南等，评估制度的完整性和合理性。查阅会计凭证、账簿、报表等财务资料，检查会计核算和财务管理的规范性，是否符合内控制度要求。3.实地观察到被审计单位的工作现场进行实地观察，了解业务流程的实际执行情况，观察各岗位人员的操作是否符合规定。检查财产物资的保管和使用情况，验证财产保护控制措施的有效性。4.穿行测试选取若干具有代表性的业务流程，按照业务发生的先后顺序，对其从起点到终点进行全程追踪，检查内控制度在实际业务中的执行情况。通过穿行测试，发现内控制度在设计和执行方面可能存在的缺陷。（三）评估阶段1.识别内控缺陷根据实施阶段收集到的信息，识别被审计单位内控制度存在的缺陷，包括设计缺陷和执行缺陷。对缺陷的严重程度进行评估，判断其对财务报表真实性、资产安全、经营效率等方面的影响程度。2.评价内控有效性综合考虑内控制度的各个构成要素，对其整体有效性进行评价。评价结果分为有效、基本有效、存在重大缺陷等不同等级，为后续审计决策提供依据。3.形成评估报告撰写关于被审计单位内控制度的评估报告，详细阐述了解到的内控制度情况、发现的缺陷及评价结果。评估报告应语言规范、内容准确，具有较强的专业性和可读性。四、对了解结果的利用（一）调整审计策略1.根据对被审计单位内控制度的评估结果，调整审计策略。如果内控制度有效，可适当减少实质性程序的范围；如果存在重大缺陷，则应增加实质性程序的力度。2.针对内控制度存在的问题，确定重点审计领域和关键审计事项，集中力量进行审查，提高审计效率和效果。（二）提出改进建议1.向被审计单位管理层提出关于内控制度改进的建议，帮助其完善内控制度，提高内控水平。2.建议应具有针对性和可操作性，能够切实解决内控制度中存在的问题，促进被审计单位加强风险管理和规范经营。（三）