企业内部控制合规性审计操作规范

企业内部控制合规性审计操作规范一、总则（一）目的与依据为规范企业内部控制合规性审计工作，确保审计过程的系统性、规范性和审计结果的客观公正性，促进企业提升内部控制水平，防范合规风险，依据国家相关法律法规、行业准则及企业内部管理制度，制定本规范。本规范旨在为审计人员提供清晰的操作指引，保障审计工作质量，充分发挥审计在企业治理中的监督与增值作用。（二）适用范围本规范适用于企业内部审计机构及审计人员开展的各类内部控制合规性审计项目。企业所属各级子公司、分公司及其他经营单位的内部控制合规性审计工作，可参照本规范执行，或在本规范基础上结合实际情况制定具体实施细则。（三）基本原则1.独立性原则：审计人员应保持形式上和实质上的独立性，不受任何外来因素或内部不当干预的影响，客观公正地开展审计工作。2.客观性原则：审计结论应以充分、适当的审计证据为依据，实事求是，不偏不倚。3.系统性原则：审计工作应遵循一定的程序和方法，对内部控制的设计与运行有效性进行全面、系统的检查与评价。4.审慎性原则：审计人员在审计过程中应保持职业谨慎，充分关注可能存在的重大风险和控制缺陷。5.保密性原则：审计人员应对在审计过程中知悉的企业商业秘密、敏感信息予以严格保密，不得泄露或用于与审计工作无关的目的。二、审计准备阶段（一）审计立项与授权审计部门根据企业年度审计计划、管理层关注重点、风险评估结果或特定需求，提出内部控制合规性审计项目建议，按规定程序报批立项。立项后，由审计部门负责人或其授权人签发审计通知书，明确审计项目名称、审计对象、审计范围、审计期间、审计组成员、审计时间安排及被审计单位应配合的事项等。（二）组建审计组与明确分工根据审计项目的性质、复杂程度和工作量，组建合适的审计组。审计组应配备具备相应专业胜任能力的审计人员，并明确组长及各成员的职责分工。审计组长负责审计项目的整体组织、协调与质量控制。（三）初步了解与风险评估1.收集资料：审计组收集与被审计单位相关的背景资料，包括但不限于营业执照、公司章程、组织结构图、业务流程文件、内部管理制度、以往审计报告、监管检查结果、行业信息及相关法律法规等。2.初步访谈：与被审计单位管理层及相关业务部门负责人进行初步沟通，了解其经营管理状况、内部控制的基本框架、主要业务流程及近期发生的重大变化等。3.风险评估：基于所收集的资料和初步访谈结果，识别和评估被审计单位在内部控制设计与运行方面可能存在的风险点，特别是与合规性相关的风险，为制定审计计划提供依据。（四）制定审计计划与审计方案1.审计计划：审计组长根据立项要求、初步了解和风险评估结果，制定总体审计计划，明确审计目标、审计范围、审计策略、重要性水平、审计资源分配、时间进度安排及预期成果。2.审计方案：在审计计划的基础上，审计组进一步制定详细的审计实施方案。审计方案应明确具体的审计程序、审计步骤、审计方法、取证要求以及各审计事项的负责人和完成时限。审计程序的设计应具有针对性，能够有效应对已识别的风险点。（五）审计通知与资料准备审计组在实施审计前，应向被审计单位送达审计通知书（特殊情况下可在实施审计时当场送达）。同时，根据审计方案的要求，向被审计单位提出需要提供的具体资料清单，督促其提前准备，为审计工作的顺利开展创造条件。三、审计实施阶段（一）内部控制了解与描述1.深入访谈：审计人员与被审计单位各层级管理人员及关键岗位员工进行深入访谈，详细了解各项业务流程的具体操作、控制点的设置及其执行情况。2.文件审阅：仔细审阅被审计单位的内部控制手册、业务流程图、岗位职责说明书、授权审批文件、规章制度等，验证其内部控制设计的完整性和合规性。3.流程穿行测试：选取有代表性的业务样本，从头到尾追踪其处理过程，以确认对业务流程和控制点的理解是否准确，以及控制点在实际操作中是否被一贯执行。4.描述内部控制：采用文字说明、流程图、调查表等适当方式，对被审计单位的内部控制体系，特别是与审计目标相关的关键业务流程和控制点进行清晰、准确的描述，形成工作底稿。（二）内部控制设计有效性评估在充分了解内部控制的基础上，审计人员对照相关法律法规、行业标准及企业内部规定，评估内部控制设计的合理性、适当性和完整性。重点关注：1.各项业务活动是否均有适当的授权与审批机制。2.关键岗位职责是否明确，是否存在职责不清或不相容职责未分离的情况。3.是否建立了必要的风险防范机制和控制措施。4.信息系统的一般控制和应用控制设计是否恰当。5.内部控制制度是否覆盖了所有重要的业务领域和风险点。（三）内部控制运行有效性测试1.选取测试样本：根据审计方案确定的抽样方法和样本量，从业务活动记录、凭证、合同等资料中选取足够数量且具有代表性的样本进行测试。样本选取应考虑重要性水平、风险程度及控制发生的频率。2.执行测试程序：通过检查、观察、询问、重新执行等审计程序，测试内部控制在实际运行中的有效性。*检查：审查与控制运行相关的文件记录，如审批单、会议纪要、交易凭证等，以确定控制是否按规定执行。*观察：实地观察被审计单位的业务活动和内部控制的运行情况，如岗位设置、操作流程等。*询问：向相关人员询问控制执行的情况，获取口头证据，并与其他证据相互印证。*重新执行：审计人员独立执行原本由被审计单位人员执行的控制程序，以验证控制的有效性。3.记录测试结果：对测试过程中发现的内部控制执行情况、偏差及例外事项进行详细记录，并注明所获取的审计证据。（四）合规性检查与验证结合内部控制测试结果，重点检查被审计单位在经营管理活动中是否遵守了国家法律法规、行业监管要求以及公司内部的规章制度。1.法律法规遵循情况：如财税法规、劳动用工法规、环境保护法规、市场竞争法规等的遵守情况。2.内部制度遵循情况：如财务管理制度、采购管理制度、销售管理制度、投资管理制度、信息安全制度等的执行情况。3.合同协议合规性：抽查重要合同、协议的签订与履行过程，检查其是否符合合规要求，条款是否完整、公允。（五）审计证据收集与工作底稿编制1.审计证据收集：审计人员应围绕审计目标，通过上述各种审计程序，获取充分、适当的审计证据。审计证据应具备相关性、可靠性和充分性。2.工作底稿编制：审计工作底稿是审计过程和结果的书面记录，应做到内容完整、记录清晰、结论明确、标识一致、逻辑严密。工作底稿应包括审计程序的执行情况、获取的审计证据、审计发现及初步判断等。审计组长应对工作底稿的质量进行复核。（六）审计发现的沟通与确认在审计实施过程中，审计组对于发现的重大问题或疑点，应及时与被审计单位相关人员进行沟通，核实情况，听取解释。对于初步形成的审计发现，应尽可能与被审计单位管理层进行确认，以确保事实清楚、证据确凿。四、审计报告阶段（一）汇总审计发现与初步评价审计组对审计实施阶段收集的审计证据和工作底稿进行汇总、整理和分析，对被审计单位内部控制的设计与运行有效性以及合规性情况进行综合评价，归纳审计发现的问题，包括内部控制缺陷和不合规事项。（二）撰写审计报告初稿审计组长根据汇总的审计发现和初步评价结果，组织撰写审计报告初稿。审计报告应包括以下主要内容：1.引言：说明审计立项依据、审计目的、审计范围、审计期间、审计方法、审计依据及被审计单位的配合情况。2.被审计单位基本情况：简要介绍被审计单位的业务性质、组织结构、经营规模等。3.审计发现：详细描述在内部控制和合规性方面存在的问题，包括问题的性质、发生的时间、涉及的金额（如适用）、产生的原因及造成的影响等，并附相关审计证据支持。4.审计评价：基于审计发现，对被审计单位内部控制的有效性和合规性情况发表总体评价意见。5.审计建议：针对审计发现的问题，提出具有建设性和可操作性的改进建议，以帮助被审计单位完善内部控制，提升合规管理水平。6.附件（如适用）：包括相关的访谈记录、检查清单、凭证复印件等。（三）征求被审计单位意见审计报告初稿完成后，应发送给被审计单位管理层征求意见。被审计单位应在规定期限内对审计报告初稿提出书面反馈意见。审计组应对反馈意见进行认真研究和核实，对于合理的意见应予以采纳，对报告内容进行修改和完善；对于有异议的部分，应与被审计单位进一步沟通协商，若无法达成一致，应在报告中说明被审计单位的意见和审计组的看法。（四）复核与审定审计报告修改后的审计报告提交审计部门负责人或内部审计机构的上级主管部门进行复核。复核内容包括报告的格式是否规范、事实是否清楚、证据是否充分、定性是否准确、评价是否客观、建议是否可行等。复核通过后，按照规定的审批程序报请企业相关领导审定。（五）出具正式审计报告审计报告经审定后，由审计部门正式签发，并送达被审计单位、企业管理层及其他相关部门。审计报告的分发范围应根据其内容的敏感性和重要性确定。五、审计后续阶段（一）跟踪整改情况审计报告出具后，审计部门应跟踪被审计单位对审计发现问题的整改落实情况。定期（如季度或半年）向被审计单位了解整改进展，检查整改措施的制定与执行情况，评估整改效果。（二）验证整改效果对于被审计单位已采取整改措施的事项，审计部门应根据整改的难易程度和重要性，决定是否进行现场验证。通过检查整改资料、访谈相关人员等方式，确认问题是否得到实质性解决，整改措施是否有效。（三）总结审计经验与归档审计项目完成后，审计组应对审计全过程进行总结，反思审计工作中存在的不足，提炼经验教训，不断改进审计方法和流程。同时，将审计过程中形成的所有工作底稿、审计报告、被审计单位反馈意见及整改资料等按照档案管理规定进行整理、装订和归档，确保审计档案的完整性和安全性。（四）成果运用与持续改进审计部门应将审计结果和