内控审计工作制度

PAGE内控审计工作制度一、总则（一）目的本制度旨在规范公司内控审计工作，确保公司内部控制体系的有效运行，防范经营风险，提高公司治理水平和运营效率，保护公司资产安全，保障财务报告及相关信息真实、准确、完整。（二）适用范围本制度适用于公司总部及所属各子公司、分公司等分支机构。（三）依据本制度依据《中华人民共和国会计法》、《企业内部控制基本规范》及其配套指引、《内部审计准则》等相关法律法规和行业标准制定。（四）基本原则1.独立性原则：内控审计机构应独立于被审计单位，独立行使审计职权，不受其他部门和个人的干涉。2.客观性原则：审计人员应客观公正地开展审计工作，以事实为依据，以法律法规和公司制度为准绳，如实反映审计发现的问题。3.全面性原则：内控审计应涵盖公司经营管理的各个方面，包括财务、业务流程、内部控制等，确保不留审计死角。4.重要性原则：根据风险评估结果，确定审计重点，关注重要业务事项和高风险领域，合理分配审计资源。5.及时性原则：及时发现和纠正内部控制中的缺陷和问题，防止问题扩大化，确保公司运营的稳健性。二、内控审计机构及人员（一）机构设置公司设立独立的内控审计部门，直属公司董事会领导，向董事会报告工作。内控审计部门应配备足够数量的专业审计人员，以满足公司内控审计工作的需要。（二）人员配备1.人员资质：内控审计人员应具备相应的专业知识和技能，熟悉国家法律法规、公司业务流程和内部控制要求。审计人员应持有注册会计师、注册内部审计师等相关专业资格证书，或具有丰富的财务、审计等相关工作经验。2.职业道德：审计人员应遵守职业道德规范，保持独立性、客观性和公正性，保守公司机密，不得利用审计工作谋取私利。（三）职责分工1.部门负责人职责负责制定和完善公司内控审计工作制度、年度审计计划和审计方案。组织实施内控审计项目，合理安排审计人员，确保审计工作按时、高质量完成。审核审计报告，对审计发现的问题提出整改意见和建议，并跟踪整改落实情况。协调与其他部门的关系，保障内控审计工作的顺利开展。定期向董事会汇报内控审计工作进展情况和审计结果。2.审计人员职责按照审计计划和审计方案实施审计工作，收集审计证据，编制审计工作底稿。对审计发现的问题进行分析和评估，提出审计意见和建议。撰写审计报告，客观、准确地反映审计情况和结果。协助被审计单位整改审计发现的问题，跟踪整改效果。参与公司内部控制体系的建设和完善，提供专业意见和建议。三、内控审计工作流程（一）审计计划制定1.年度审计计划：内控审计部门应每年年初制定年度审计计划，报董事会批准后实施。年度审计计划应根据公司战略目标、经营管理重点、风险评估结果等因素确定审计项目，包括审计对象、审计范围、审计时间安排等。2.项目审计方案：对于每个审计项目，应制定具体的审计方案。审计方案应明确审计目标、审计程序、审计方法、审计人员分工等内容，确保审计工作具有针对性和可操作性。（二）审计准备1.组成审计组：根据审计项目的需要，选派具有相应专业知识和经验的审计人员组成审计组，并指定审计组长。审计组应明确分工，确保各项审计工作有序进行。2.收集资料：审计组应收集与审计项目相关的资料，包括被审计单位的财务报表、会计凭证、业务流程文件、内部控制制度等，了解被审计单位的基本情况和内部控制状况。3.了解内部控制：审计人员应通过询问、观察、检查、穿行测试等方法，了解被审计单位内部控制的设计和运行情况，识别内部控制的关键控制点和风险点。（三）审计实施1.实施审计程序：审计人员应按照审计方案确定的审计程序，对被审计单位的财务收支、业务活动、内部控制等进行审查和评价。审计程序包括检查、观察、询问、函证、重新计算、重新执行、分析程序等。2.收集审计证据：审计人员应通过实施审计程序，收集充分、适当的审计证据，以支持审计结论和审计意见。审计证据应具有真实性、相关性、充分性和合法性。3.编制审计工作底稿：审计人员应及时记录审计过程和审计发现的问题，编制审计工作底稿。审计工作底稿应内容完整、记录清晰、结论明确，能够反映审计工作的全过程。（四）审计报告1.撰写审计报告：审计组应在审计实施结束后，撰写审计报告。审计报告应包括审计概况、审计依据、审计发现的问题、审计结论、审计建议等内容。审计报告应客观、公正、准确地反映审计情况和结果，语言简洁明了，易于理解。2.征求意见：审计报告初稿形成后，应征求被审计单位的意见。被审计单位应在规定的时间内反馈意见，审计组应对被审计单位的意见进行认真分析和研究，合理采纳或说明理由。3.审核与批准：审计报告经征求意见后，由内控审计部门负责人审核，报董事会批准。董事会应根据审计报告的内容，做出相应的决策和部署。（五）后续跟踪1.制定整改计划：被审计单位应根据审计报告提出的问题和建议，制定整改计划，明确整改措施、整改责任人、整改期限等内容。整改计划应报内控审计部门备案。2.跟踪整改落实：内控审计部门应跟踪被审计单位整改计划的落实情况，定期检查整改工作进展，督促整改责任人按时完成整改任务。对于整改不力的单位，应及时提出批评和警告，并向董事会报告。3.复查与评价：整改期限结束后，内控审计部门应对被审计单位的整改情况进行复查。复查结束后，应撰写复查报告，对整改效果进行评价。如整改未达到要求，应继续督促整改，直至问题得到彻底解决。四、内部控制评价（一）评价范围内部控制评价应涵盖公司内部控制体系的各个方面，包括内部环境、风险评估、控制活动、信息与沟通、内部监督等要素。（二）评价方法1.个别访谈：与公司各级管理人员、员工进行个别访谈，了解内部控制的执行情况和存在的问题。2.问卷调查：设计内部控制调查问卷，向公司员工发放，了解员工对内部控制的认知和执行情况。3.专题讨论：组织相关人员就内部控制的特定问题进行专题讨论，收集意见和建议。4.穿行测试：选取若干具有代表性的业务流程，按照规定的程序和方法进行穿行测试，检查内部控制的执行情况。5.实地查验：对公司的实物资产、业务场所等进行实地查验，核实内部控制的有效性。6.抽样检查：按照一定的方法和比例，对公司的财务报表、会计凭证、业务记录等进行抽样检查，验证内部控制的执行情况。（三）评价标准内部控制评价应依据《企业内部控制基本规范》及其配套指引等相关法律法规和行业标准，结合公司实际情况，制定具体的评价标准。评价标准应明确内部控制的目标、原则、要素和关键控制点，以及各控制点应达到的标准和要求。（四）评价报告1.撰写评价报告：内控审计部门应在内部控制评价工作结束后，撰写评价报告。评价报告应包括评价概况、评价依据、评价范围与方法、内部控制缺陷认定及整改情况、内部控制有效性的总体评价等内容。评价报告应客观、公正、准确地反映公司内部控制的状况和存在的问题。2.审核与批准：评价报告经内控审计部门负责人审核后，报董事会批准。董事会应根据评价报告的内容，对公司内部控制体系的有效性进行评价，并做出相应的决策和部署。五、风险管理审计（一）风险识别与评估1.风险识别：内控审计部门应采用适当的方法和工具，识别公司面临的内外部风险，包括市场风险、信用风险、操作风险、合规风险等。2.风险评估：对识别出的风险进行评估，确定风险的可能性和影响程度。风险评估应采用定性与定量相结合的方法，为风险应对提供依据。（二）风险应对策略1.风险规避：对于风险发生可能性高且影响程度大的风险，应采取风险规避策略，避免或终止相关业务活动。2.风险降低：对于风险发生可能性较高但影响程度较小的风险，应采取风险降低策略，通过采取控制措施降低风险发生的可能性或减少风险损失。3.风险分担：对于风险发生可能性较低但影响程度较大的风险，应采取风险分担策略，可以通过购买保险、签订合同等方式将风险转移给其他方。4.风险承受：对于风险发生可能性低且影响程度小的风险，应采取风险承受策略，公司自行承担风险损失。（三）审计监督内控审计部门应定期对公司风险管理体系的运行情况进行审计监督，检查风险识别、评估、应对等措施的执行情况，发现问题及时提出改进建议，并跟踪整改落实情况。六、审计档案管理（一）档案收集审计项目结束后，审计人员应及时将审计过程中形成的各类文件资料收集齐全，包括审计计划、审计方案、审计工作底稿、审计证据、审计报告、被审计单位反馈意见等。（二）档案整理审计人员应对收集到的文件资料进行整理，按照一定的分类标准和顺序进行编号、装订，确保档案资料的完整性和规范性。（三）档案保管内控审计部门应指定专人负责审计档案的保管，设立专门的档案保管场所，配备必要的保管设备，确保档案资料的安全。审计档案应按照规定的期限进行保管，不得擅自销毁。（四）档案查阅与借阅1.查阅：公司内部人员因工作需要查阅审计档案的，应填写查阅申请表，经内控审计部门负责人批准后，方可查阅。查阅时应在指定地点进行，不得擅自将档案带出保管场所。2.