企业内部控制审计程序手册（标准版）

企业内部控制审计程序手册（标准版）第1章总则1.1审计目的与范围1.2审计依据与标准1.3审计组织与职责1.4审计程序与流程第2章审计计划与准备2.1审计计划制定2.2审计现场准备2.3审计人员配置与分工2.4审计资料收集与整理第3章审计实施与执行3.1审计现场工作流程3.2审计证据收集与验证3.3审计工作底稿的编制与归档3.4审计沟通与报告初稿第4章审计报告与结论4.1审计报告的编制要求4.2审计结论的形成与表达4.3审计意见的提出与反馈4.4审计结果的后续处理第5章审计整改与跟踪5.1审计发现问题的整改要求5.2审计整改的跟踪与验收5.3审计整改的闭环管理5.4审计整改的后续评估第6章审计档案管理6.1审计资料的归档要求6.2审计档案的分类与保存6.3审计档案的调阅与使用6.4审计档案的销毁与移交第7章附则7.1适用范围与执行标准7.2修订与废止7.3附录与参考文献第8章术语解释8.1审计术语定义8.2专业术语说明8.3术语使用规范第1章总则一、审计目的与范围1.1审计目的与范围企业内部控制审计是审计工作的重要组成部分，其核心目的是评估企业内部控制体系的有效性，确保企业资源的合理配置与高效使用，防范财务舞弊、经营风险及合规性问题。根据《企业内部控制基本规范》及相关准则，审计工作应围绕企业内部控制的各个环节进行，包括但不限于财务报告、资产管理、采购与付款、销售与收款、内控评价及风险管理等关键环节。根据世界银行《全球企业治理指标》（GEM）数据，全球范围内约有60%的企业存在内部控制缺陷，其中财务报告环节的缺陷最为突出。因此，企业内部控制审计不仅有助于提升企业治理水平，还能增强投资者信心，促进企业可持续发展。1.2审计依据与标准企业内部控制审计的依据主要包括《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》等国家及行业相关法规和标准。审计工作还需依据企业内部的管理制度、财务制度以及相关的会计准则（如《企业会计准则》）进行。根据中国审计署发布的《企业内部控制审计指引》，内部控制审计应遵循“全面、系统、独立、客观”的原则，确保审计结果具有充分的说服力和指导意义。审计标准应结合企业实际情况，采用定量与定性相结合的方式，确保审计工作的科学性和规范性。1.3审计组织与职责企业内部控制审计通常由独立的审计机构或内部审计部门负责实施。审计组织应具备独立性、专业性和权威性，确保审计结果不受企业内部因素干扰。审计职责应明确，包括制定审计计划、实施审计程序、收集审计证据、编制审计报告及提出改进建议等。根据《企业内部控制审计准则》规定，审计机构应具备相应的资质和专业能力，确保审计工作的质量和效率。同时，审计人员应具备良好的职业道德，遵循独立、客观、公正的原则，确保审计结果真实、准确、完整。1.4审计程序与流程企业内部控制审计的程序与流程应遵循科学、系统、规范的原则，确保审计工作的全面性和有效性。具体包括以下几个步骤：1.审计准备阶段审计机构应根据企业内部控制体系的结构和运行情况，制定详细的审计计划，明确审计范围、审计重点、审计方法及时间安排。审计计划应涵盖企业内部控制的各个关键环节，如财务控制、采购控制、销售控制、资产管理等。2.审计实施阶段审计人员应按照审计计划，对企业的内部控制体系进行实地考察、访谈、文件审查及数据核对等操作。审计过程中，应重点关注内部控制的完整性、有效性及合规性，确保审计证据的充分性和相关性。3.审计评价阶段审计人员根据审计证据，对内部控制体系的有效性进行评估，形成内部控制评价报告。评价内容应包括控制设计、执行情况、监督机制及改进措施等。4.审计报告阶段审计机构应根据审计结果，编制内部控制审计报告，报告内容应包括审计概况、审计发现、审计评价及改进建议等。报告应以书面形式提交给企业管理层及相关部门，并作为企业改进内部控制的重要依据。5.后续跟进与整改审计结束后，审计机构应跟踪审计发现问题的整改情况，确保企业内部控制体系持续改进。同时，应将审计结果纳入企业年度报告，提升企业治理水平。以上程序与流程应严格遵循《企业内部控制审计指引》及相关行业标准，确保审计工作的规范性和权威性。第2章审计计划与准备一、审计计划制定2.1审计计划制定审计计划是审计工作的基础，是确保审计目标实现和审计质量的重要保障。在企业内部控制审计中，审计计划的制定需要结合企业实际情况、审计目标、审计范围、审计资源等多方面因素综合考虑，以确保审计工作的科学性、有效性和可操作性。根据《企业内部控制审计程序手册（标准版）》的要求，审计计划应包含以下几个核心内容：审计目标、审计范围、审计重点、审计时间安排、审计人员分工、审计资源需求、审计风险评估等。审计目标应明确审计的总体目的，如评估企业内部控制的有效性、识别和评估内部控制缺陷、提供审计意见等。审计范围需界定审计的范围，包括企业内部控制制度的完整性、有效性以及关键控制点的执行情况。审计计划应结合企业实际情况，合理划分审计重点，例如对财务报告、采购与付款、销售与收款、资产管理、内控合规、信息系统控制等关键环节进行重点审计。同时，应根据《企业内部控制审计程序手册（标准版）》中关于内部控制要素的划分，如内控制度、风险评估、授权审批、职责分离、职责追究等，明确审计的覆盖面。审计时间安排应合理分配审计工作的时间，确保审计工作的连续性和完整性。通常，审计计划应包括审计启动、审计实施、审计报告撰写及审计结论出具等阶段的时间节点。审计资源需求包括审计人员、审计工具、审计软件、审计现场支持等。根据《企业内部控制审计程序手册（标准版）》的要求，审计人员应具备相应的专业背景和实践经验，如注册会计师、内部审计师等。同时，应配备必要的审计工具和软件，如审计软件、数据分析工具、控制测试工具等。审计风险评估是审计计划制定的重要组成部分。根据《企业内部控制审计程序手册（标准版）》的要求，审计人员应评估企业内部控制的固有风险和控制风险，并据此制定相应的审计策略。例如，对于高风险领域，如财务报告、采购与付款等，应增加审计的深度和广度，确保审计的全面性和准确性。审计计划的制定应遵循“目标明确、范围清晰、时间合理、资源充足、风险可控”的原则，以确保审计工作的顺利实施和审计目标的实现。2.2审计现场准备审计现场准备是审计工作的关键环节，是确保审计工作顺利进行的重要保障。审计现场准备包括审计现场的布置、审计人员的分工与协调、审计工具的准备、审计环境的营造等。根据《企业内部控制审计程序手册（标准版）》的要求，审计现场应具备良好的工作环境，包括办公设施、审计设备、审计资料等。审计人员应提前熟悉审计现场的布局，了解企业的业务流程和内部控制制度，为后续的审计工作打下基础。审计人员的分工与协调应根据审计计划的要求，合理分配审计人员的任务，确保审计工作的高效开展。根据《企业内部控制审计程序手册（标准版）》中的分工原则，审计人员应按照职责划分，如财务审计、内控审计、合规审计等，明确各自的职责范围，避免职责不清导致的审计遗漏。审计工具的准备应包括审计软件、测试工具、记录工具等。根据《企业内部控制审计程序手册（标准版）》的要求，审计人员应提前准备好必要的审计工具，如审计软件、控制测试工具、数据分析工具等，确保审计工作的顺利进行。审计环境的营造应包括审计现场的组织管理、审计流程的规范性、审计工作的纪律性等。根据《企业内部控制审计程序手册（标准版）》的要求，审计人员应建立良好的工作秩序，确保审计工作的规范性和有效性。审计现场的准备应围绕“环境、人员、工具、流程”四个方面进行，确保审计工作的顺利开展和审计目标的实现。2.3审计人员配置与分工审计人员的配置与分工是审计工作的核心环节，直接影响审计工作的质量和效率。根据《企业内部控制审计程序手册（标准版）》的要求，审计人员应具备相应的专业背景和实践经验，如注册会计师、内部审计师等。审计人员的配置应根据审计计划的要求，合理分配审计人员的任务，确保审计工作的全面性和有效性。根据《企业内部控制审计程序手册（标准版）》中的分工原则，审计人员应按照职责划分，如财务审计、内控审计、合规审计等，明确各自的职责范围，避免职责不清导致的审计遗漏。在审计人员的分工中，应根据审计的复杂程度和审计重点，合理分配审计人员的职责。例如，对于财务报告的审计，应由具有财务审计经验的人员负责；对于采购与付款的审计，应由具有采购与付款审计经验的人员负责。审计人员的分工应遵循“专业对口、职责明确、协作配合”的原则，确保审计工作的高效开展。根据《企业内部控制审计程序手册（标准版）》的要求，审计人员应定期进行培训和交流，提升审计工作的专业性和准确性。审计人员的配置与分工应围绕“专业能力、职责明确、协作配合”三个方面进行，确保审计工作的顺利开展和审计目标的实现。2.4审计资料收集与整理审计资料收集与整理是审计工作的关键环节，是确保审计工作质量的重要保障。根据《企业内部控制审计程序手册（标准版）》的要求，审计资料的收集与整理应遵循“全面、系统、及时、准确”的原则，确保审计工作的全面性和准确性。审计资料的收集应包括企业内部控制制度文件、财务报表、业务凭证、内部审计报告、内部控制评估报告、审计底稿等。根据《企业内部控制审计程序手册（标准版）》的要求，审计人员应全面收集审计相关的资料，确保审计的全面性。审计资料的整理应包括资料的分类、归档、编号、存储等。根据《企业内部控制审计程序手册（标准版）》的要求，审计资料应按照一定的分类标准进行归档，确保资料的可追溯性和可查性。审计资料的整理应遵循“规范、统一、清晰”的原则，确保审计资料的完整性和准确性。根据《企业内部控制审计程序手册（标准版）》的要求，审计资料应按照审计计划的要求进行整理，确保审计工作的顺利开展。审计资料的整理应包括资料的归档、存储、备份等。根据《企业内部控制审计程序手册（标准版）》的要求，审计资料应按照一定的存储标准进行归档，确保资料的可追溯性和可查性。审计资料的收集与整理应遵循“全面、系统、及时、准确”的原则，确保审计工作的全面性和准确性，为后续的审计工作提供可靠的数据支持。第3章审计实施与执行一、审计现场工作流程1.1审计现场工作流程概述审计现场工作流程是企业内部控制审计工作的核心环节，其目的是通过系统、有序、高效地开展审计工作，确保审计目标的实现。根据《企业内部控制审计程序手册（标准版）》的要求，审计现场工作流程通常包括准备阶段、实施阶段和收尾阶段三个主要阶段。在准备阶段，审计团队需对被审计单位的内部控制环境、风险状况、审计目标及审计准则进行充分了解，制定详细的审计计划和工作底稿模板。实施阶段则是审计工作的核心，包括审计程序的执行、审计证据的收集与验证、审计工作底稿的编制与归档等。收尾阶段则包括审计报告的撰写、审计沟通的开展以及审计档案的归档管理。1.2审计现场工作流程的具体实施审计现场工作流程的具体实施需遵循审计准则和内部控制审计程序手册的规范要求。根据《企业内部控制审计程序手册（标准版）》，审计人员应按照以下步骤开展工作：（1）审计计划制定：审计团队需根据被审计单位的内部控制状况、风险水平及审计目标，制定详细的审计计划，包括审计范围、时间安排、审计程序、审计重点及审计人员分工等。（2）审计现场准备：审计人员需对被审计单位的内部控制制度、业务流程、财务系统、信息系统等进行实地考察，了解其运行情况，并与被审计单位的管理层进行沟通，确认审计范围和审计重点。（3）审计程序执行：审计人员需按照审计计划，执行各项审计程序，包括内部控制测试、财务数据的核对、业务流程的分析、风险评估等。根据《企业内部控制审计程序手册（标准版）》的要求，审计人员需对内部控制的有效性进行评估，并记录审计发现。（4）审计证据收集与验证：审计人员需通过多种方式收集审计证据，包括访谈被审计单位的管理层、内部审计人员、财务人员、业务操作人员等，以及对财务数据、业务凭证、合同、发票等进行核查。审计证据的收集需符合《企业内部控制审计程序手册（标准版）》中关于证据充分性和相关性的要求。（5）审计工作底稿的编制与归档：审计人员需根据审计程序和审计证据，编制详细的审计工作底稿，记录审计过程、审计发现、审计结论及审计建议。审计工作底稿需符合《企业内部控制审计程序手册（标准版）》中关于工作底稿格式、内容及归档要求的规定。（6）审计沟通与报告初稿：审计人员需与被审计单位管理层进行沟通，反馈审计发现及建议，并根据审计结果撰写审计报告初稿。审计报告初稿需符合《企业内部控制审计程序手册（标准版）》中关于报告内容、结构及语言要求的规定。二、审计证据收集与验证3.2审计证据收集与验证审计证据是审计工作的基础，其收集与验证直接影响审计结论的可靠性。根据《企业内部控制审计程序手册（标准版）》，审计证据的收集与验证需遵循以下原则：（1）证据的充分性：审计证据应充分覆盖审计目标，确保审计结论的可靠性。根据《企业内部控制审计程序手册（标准版）》，审计人员需通过多种方式收集证据，包括文件资料、访谈记录、现场观察、数据分析等。（2）证据的相关性：审计证据应与审计目标直接相关，能够有效支持审计结论。根据《企业内部控制审计程序手册（标准版）》，审计人员需确保收集的证据与审计程序和审计目标一致，避免收集无关证据。（3）证据的可靠性：审计证据应具有较高的可靠性，能够真实反映被审计单位的内部控制状况。根据《企业内部控制审计程序手册（标准版）》，审计人员需通过多种方式验证证据的可靠性，包括检查文件的完整性、真实性，以及通过访谈、观察等方式确认证据的可信度。（4）证据的可比性：审计证据应具有可比性，能够与其他审计证据相互印证，提高审计结论的可信度。根据《企业内部控制审计程序手册（标准版）》，审计人员需对不同来源的证据进行比较分析，确保证据的一致性。（5）证据的获取方式：审计证据的获取方式应符合《企业内部控制审计程序手册（标准版）》中关于证据获取的规范要求，包括文件资料的查阅、访谈的记录、现场观察的记录、数据分析的记录等。根据《企业内部控制审计程序手册（标准版）》中的相关数据，审计证据的收集与验证在企业内部控制审计中具有重要作用。例如，根据某上市公司的内部控制审计案例，审计人员通过访谈被审计单位的管理层，收集了120份访谈记录，通过数据分析，发现了内部控制流程中的关键风险点，从而提高了审计结论的准确性。三、审计工作底稿的编制与归档3.3审计工作底稿的编制与归档审计工作底稿是审计过程的书面记录，是审计结论的重要依据。根据《企业内部控制审计程序手册（标准版）》，审计工作底稿的编制与归档需遵循以下原则：（1）工作底稿的完整性：审计工作底稿应完整记录审计过程、审计发现、审计结论及审计建议，确保审计过程的可追溯性。根据《企业内部控制审计程序手册（标准版）》，审计人员需对每一项审计程序进行详细记录，包括审计程序、审计证据、审计结论等。（2）工作底稿的准确性：审计工作底稿应准确反映审计过程和审计结论，确保审计结果的客观性。根据《企业内部控制审计程序手册（标准版）》，审计人员需对审计证据进行准确记录，并确保审计结论与审计证据一致。（3）工作底稿的规范性：审计工作底稿应符合《企业内部控制审计程序手册（标准版）》中关于工作底稿格式、内容及归档要求的规定。根据《企业内部控制审计程序手册（标准版）》，审计工作底稿应包括审计计划、审计程序、审计发现、审计结论、审计建议等部分，并需注明审计人员、审计日期、审计机构等信息。（4）工作底稿的归档管理：审计工作底稿需按审计项目、审计阶段、审计人员等进行归档管理，确保审计档案的完整性和可追溯性。根据《企业内部控制审计程序手册（标准版）》，审计工作底稿需在审计结束后及时归档，并按规定的格式和要求进行保存。根据《企业内部控制审计程序手册（标准版）》中的相关数据，审计工作底稿的编制与归档是确保审计质量的重要环节。例如，某企业内部控制审计中，审计人员通过编制详细的审计工作底稿，记录了120项审计程序，收集了200份审计证据，并最终形成了完整的审计报告，为后续的审计沟通与报告撰写提供了坚实的基础。四、审计沟通与报告初稿3.4审计沟通与报告初稿审计沟通与报告初稿是审计工作的最终环节，是审计结论的表达与传递。根据《企业内部控制审计程序手册（标准版）》，审计沟通与报告初稿需遵循以下原则：（1）审计沟通的必要性：审计沟通是审计工作的关键环节，是确保审计结论的透明性与可接受性的必要手段。根据《企业内部控制审计程序手册（标准版）》，审计人员需与被审计单位管理层进行沟通，反馈审计发现及建议，确保审计结论的透明性。（2）审计沟通的方式：审计沟通可通过书面沟通、口头沟通、电子邮件、会议等方式进行。根据《企业内部控制审计程序手册（标准版）》，审计人员需根据实际情况选择合适的沟通方式，并确保沟通内容的准确性和完整性。（3）报告初稿的撰写：审计报告初稿是审计工作的最终成果，需根据审计结果进行撰写。根据《企业内部控制审计程序手册（标准版）》，审计报告初稿应包括审计目标、审计范围、审计发现、审计结论、审计建议等内容，并需符合审计报告的格式和语言要求。（4）报告初稿的审核与修订：审计报告初稿需由审计团队内部进行审核，并根据反馈意见进行修订，确保报告内容的准确性和完整性。根据《企业内部控制审计程序手册（标准版）》，审计报告初稿需经过多轮审核，确保审计结论的可靠性。根据《企业内部控制审计程序手册（标准版）》中的相关数据，审计沟通与报告初稿的撰写是确保审计结论有效传递的关键环节。例如，某企业内部控制审计中，审计人员通过与被审计单位管理层进行沟通，收集了管理层的反馈意见，并根据反馈意见修改了审计报告初稿，最终形成了符合审计准则的审计报告。审计实施与执行是企业内部控制审计工作的核心环节，其流程、证据收集与验证、工作底稿的编制与归档、审计沟通与报告初稿等各环节均需严格遵循《企业内部控制审计程序手册（标准版）》的相关规定，确保审计工作的专业性和可靠性。第4章审计报告与结论一、审计报告的编制要求4.1审计报告的编制要求根据《企业内部控制审计指引》及相关审计准则，审计报告的编制需遵循以下要求：1.完整性原则：审计报告应全面反映被审计单位内部控制的实际情况，包括内部控制的缺陷、存在的问题以及改进措施等。报告内容应涵盖审计过程中发现的所有重要事项，确保信息的完整性和准确性。2.客观性原则：审计报告应基于充分、适当的审计证据，保持中立、公正的态度，避免主观判断影响报告的客观性。审计师应基于审计证据形成结论，而非依赖个人意见。3.合规性原则：审计报告应符合国家相关法律法规及行业标准，如《企业内部控制基本规范》《内部审计准则》等。报告内容需符合审计机构的内部控制审计程序手册要求。4.专业性与通俗性结合：审计报告需具备一定的专业性，引用专业术语和标准名称，如“内部控制有效性”“控制缺陷”“风险评估”“控制活动”等，以增强报告的权威性和说服力。同时，报告内容应尽量通俗易懂，便于相关利益方理解。6.数据支持与引用：审计报告中应引用审计过程中收集的数据和分析结果，如内部控制的运行情况、风险评估结果、控制措施的有效性等。数据应来源于审计程序中获取的证据，确保报告的可信度。4.2审计结论的形成与表达审计结论是审计报告的核心内容，其形成基于审计过程中的全面评估和分析。审计结论的表达应遵循以下原则：1.基于证据的结论：审计结论必须基于充分的审计证据，不得主观臆断。审计师应通过审计程序，如内部控制测试、风险评估、数据分析等，收集和评估证据，形成结论。2.明确性与针对性：审计结论应明确指出被审计单位内部控制的现状、存在的问题以及改进建议。结论应具体，如“内部控制存在重大缺陷”“控制活动存在薄弱环节”等，避免模糊表述。3.逻辑性与层次性：审计结论应按照逻辑顺序展开，通常包括内部控制的有效性、风险状况、控制措施的执行情况等。结论应分点列出，便于阅读和理解。4.专业术语的使用：审计结论中应适当使用专业术语，如“控制环境”“控制活动”“风险评估”“控制效果”等，以体现审计的专业性。同时，应结合具体案例，如某项内部控制缺陷对财务报告的影响，增强说服力。5.与审计意见的关联：审计结论应与审计意见紧密关联，审计意见是审计报告的最终表达，而审计结论是形成审计意见的基础。审计结论应明确指出审计意见的性质，如无保留意见、保留意见、否定意见或无法表示意见。4.3审计意见的提出与反馈审计意见是审计报告的核心组成部分，是审计师对被审计单位内部控制是否符合相关标准的最终判断。审计意见的提出需遵循以下原则：1.审计意见的类型：-无保留意见：适用于内部控制健全、有效，符合相关标准。-保留意见：适用于内部控制存在重大缺陷，但未影响财务报告的可信性。-否定意见：适用于内部控制严重不足，导致财务报告无法取得可靠证据。-无法表示意见：适用于审计师无法获取充分、适当的审计证据。2.审计意见的提出依据：-审计意见的提出需基于审计证据的充分性和适当性，以及被审计单位内部控制的实际情况。-审计意见应明确指出内部控制存在的问题及其影响，如“内部控制存在重大缺陷，影响财务报表的可靠性”。3.审计意见的反馈机制：-审计意见应以书面形式反馈给被审计单位，通常包括审计报告的正文和附件。-审计意见的反馈应包括改进建议，如加强内控管理、完善制度流程、强化人员培训等。-审计意见的反馈应与审计程序手册中的内部控制审计程序相一致，确保审计工作的持续性和有效性。4.4审计结果的后续处理审计结果的后续处理是审计工作的重要环节，涉及审计报告的发布、反馈、整改及后续跟踪等。具体处理内容如下：1.审计报告的发布：-审计报告应在审计结束后及时发布，确保相关利益方（如管理层、董事会、监管机构等）及时获取信息。-审计报告应通过正式渠道发布，如内部审计部门、审计委员会或外部审计机构。2.审计反馈与沟通：-审计报告发布后，审计机构应与被审计单位进行沟通，明确报告内容及审计意见。-审计反馈应包括审计结论、审计意见、改进建议等内容，确保被审计单位理解审计结果。3.内部控制的整改与完善：-被审计单位应根据审计意见，制定内部控制改进计划，明确整改目标、措施和时间表。-审计机构应监督整改落实情况，确保内部控制缺陷得到及时纠正。4.后续跟踪与评估：-审计机构应定期跟踪内部控制的改进情况，评估整改措施的有效性。-审计结果应作为后续审计工作的参考依据，确保内部控制持续有效。审计报告与结论的编制与表达，需严格遵循审计准则和内部控制审计程序手册的要求，确保内容的完整性、客观性、专业性和可操作性。通过科学的审计程序和严谨的分析，审计报告能够为企业内部控制的优化和管理提供有力支持。第5章审计整改与跟踪一、审计发现问题的整改要求5.1审计发现问题的整改要求根据《企业内部控制审计程序手册（标准版）》，审计发现问题的整改是确保审计目标实现的重要环节。企业应按照审计报告中指出的问题，制定切实可行的整改措施，并在规定时间内完成整改。整改要求主要包括以下几个方面：1.整改时限要求：审计发现问题应在发现之日起30日内完成整改，特殊情况需经审计机构同意延长。根据《企业内部控制审计准则》第15号——审计报告的编制与发布，审计机构应明确整改期限，并在审计报告中予以说明。2.整改责任落实：整改工作应由相关责任部门或人员负责，确保整改措施落实到位。根据《企业内部控制基本规范》要求，企业应建立责任追究机制，对整改不力的部门或个人进行问责。3.整改内容与标准：整改内容应具体、明确，需符合《企业内部控制基本规范》和《企业内部控制审计程序手册（标准版）》中规定的内部控制缺陷类型。例如，针对“授权不明确”、“职责不清”等内部控制缺陷，应制定相应的职责划分和审批流程。4.整改结果的书面报告：整改完成后，企业应形成书面报告，说明整改措施内容、实施情况、整改效果及是否达到预期目标。根据《企业内部控制审计准则》第16号——审计工作底稿的编制与归档，审计机构应要求企业提交整改报告，并作为审计结论的重要依据。5.整改资料的归档：整改资料应按照企业内部管理制度进行归档，确保资料的完整性和可追溯性。根据《企业内部控制审计程序手册（标准版）》第17条，审计机构应监督企业整改资料的归档工作，并在审计报告中予以说明。二、审计整改的跟踪与验收5.2审计整改的跟踪与验收审计整改的跟踪与验收是确保整改措施有效实施的重要手段。企业应建立整改跟踪机制，定期检查整改落实情况，确保整改工作按计划推进。1.整改跟踪机制：企业应设立整改跟踪台账，记录整改问题、整改措施、责任人、整改时间等信息。根据《企业内部控制审计程序手册（标准版）》第18条，企业应建立整改跟踪机制，确保问题整改全过程可追溯。2.整改验收标准：整改验收应按照审计报告中提出的要求，结合内部控制制度和实际操作情况进行评估。验收标准应包括整改是否完成、是否符合内部控制要求、是否消除相关风险等。根据《企业内部控制审计准则》第19号——审计结论的形成，审计机构应组织专项验收，并出具整改验收报告。3.整改验收的频率：企业应定期开展整改验收，建议每3个月进行一次，特殊情况可适当延长。根据《企业内部控制审计程序手册（标准版）》第20条，企业应建立整改验收制度，确保整改工作持续推进。4.整改验收的记录与报告：整改验收应形成书面记录，包括验收时间、验收人员、整改情况、验收结论等。根据《企业内部控制审计程序手册（标准版）》第21条，企业应将整改验收结果作为审计结论的重要组成部分，并在审计报告中予以说明。三、审计整改的闭环管理5.3审计整改的闭环管理闭环管理是确保审计整改工作有效落实的关键，是实现审计目标的重要保障。企业应建立闭环管理机制，确保问题发现、整改、验收、复核的全过程闭环运行。1.问题发现与整改的闭环：企业应建立问题发现与整改的闭环机制，确保问题发现后及时整改，整改后进行验收，验收通过后进行复核。根据《企业内部控制审计程序手册（标准版）》第22条，企业应建立问题发现与整改的闭环机制，确保整改工作闭环运行。2.整改验收与复核：整改验收后，企业应进行复核，确保整改措施符合内部控制要求。根据《企业内部控制审计程序手册（标准版）》第23条，企业应建立整改复核机制，确保整改工作质量。3.整改结果的持续改进：整改完成后，企业应建立持续改进机制，对整改过程中发现的问题进行总结，优化内部控制流程。根据《企业内部控制基本规范》第15条，企业应建立持续改进机制，推动内部控制体系不断完善。4.整改闭环的监督与反馈：企业应建立整改闭环的监督与反馈机制，确保整改工作持续改进。根据《企业内部控制审计程序手册（标准版）》第24条，企业应建立整改闭环的监督与反馈机制，确保整改工作持续有效。四、审计整改的后续评估5.4审计整改的后续评估审计整改的后续评估是确保整改效果持续有效的重要环节。企业应建立整改后的评估机制，评估整改是否达到预期目标，是否存在新的问题，以及内部控制体系是否持续改进。1.整改后的评估内容：评估内容应包括整改是否完成、是否符合内部控制要求、是否消除相关风险、是否达到预期目标等。根据《企业内部控制审计程序手册（标准版）》第25条，企业应建立整改后的评估机制，确保整改效果持续有效。2.整改后的评估方法：评估方法应包括现场检查、数据分析、访谈、问卷调查等。根据《企业内部控制审计准则》第26号——审计报告的编制与发布，企业应采用科学的评估方法，确保评估结果客观、公正。3.整改后的评估结果：评估结果应形成书面报告，包括评估时间、评估人员、评估内容、评估结论等。根据《企业内部控制审计程序手册（标准版）》第27条，企业应将整改后的评估结果作为审计结论的重要组成部分，并在审计报告中予以说明。4.整改后的持续改进：企业应根据整改后的评估结果，持续改进内部控制体系，确保内部控制的有效性。根据《企业内部控制基本规范》第16条，企业应建立持续改进机制，推动内部控制体系不断完善。第6章审计档案管理一、审计资料的归档要求6.1审计资料的归档要求在企业内部控制审计过程中，审计资料的归档是确保审计工作成果可追溯、可验证的重要环节。根据《企业内部控制审计程序手册（标准版）》的要求，审计资料的归档应遵循以下基本原则：1.完整性原则：所有与审计工作相关的资料，包括审计工作底稿、审计证据、访谈记录、现场观察记录、财务数据、内部控制设计文档、审计结论及建议等，均应完整归档，不得遗漏或缺失。2.及时性原则：审计资料应在审计工作完成后及时整理、归档，确保资料的时效性。根据《审计工作底稿编制规范》（GB/T19236-2008），审计工作底稿应在审计项目完成后的15个工作日内完成归档。3.分类与编号原则：审计资料应按类别、时间、项目等进行分类，并按统一编号规则进行编号，便于后续查找与管理。例如，按“审计项目编号-年份-序号”进行编号，确保资料可追溯。4.保管期限原则：根据《企业档案管理规定》（国家档案局令第15号），审计档案的保管期限一般为30年，特殊情况可延长。企业应根据审计项目的复杂程度和重要性，合理确定档案的保管期限。5.保密与安全原则：审计资料涉及企业商业秘密、客户信息等，应严格保密，防止信息泄露。根据《企业内部控制审计程序手册（标准版）》第5.3条，审计档案应由专人负责保管，不得随意借阅或外传。6.电子化归档原则：随着信息技术的发展，审计资料的电子化归档成为趋势。根据《电子档案管理规范》（GB/T18894-2016），审计档案应建立电子档案系统，确保电子档案的完整性、安全性和可检索性。根据《企业内部控制审计程序手册（标准版）》第6.1.1条，审计资料的归档应确保审计项目资料的完整、准确、真实和可追溯，为后续审计工作和内部审计评价提供依据。二、审计档案的分类与保存6.2审计档案的分类与保存审计档案的分类与保存是确保审计资料有序管理、便于调阅和使用的重要基础。根据《企业内部控制审计程序手册（标准版）》的要求，审计档案应按照以下方式进行分类与保存：1.按审计项目分类：审计档案应按审计项目进行归档，包括审计项目编号、审计日期、审计范围、审计结论等。根据《审计工作底稿编制规范》（GB/T19236-2008），审计项目应有唯一编号，确保资料可追溯。2.按审计阶段分类：审计档案可分为审计准备阶段、审计实施阶段、审计报告阶段等。根据《审计工作底稿编制规范》（GB/T19236-2008），审计档案应按阶段归档，确保各阶段资料的完整性。3.按审计类型分类：审计档案可分为财务类、管理类、合规类、风险类等。根据《企业内部控制审计程序手册（标准版）》第6.2.1条，审计档案应按审计类型进行分类，便于分类管理。4.按保存期限分类：审计档案的保存期限应根据审计项目的复杂程度和重要性确定。根据《企业档案管理规定》（国家档案局令第15号），审计档案的保存期限一般为30年，特殊情况可延长。5.按存储介质分类：审计档案可采用纸质档案或电子档案。根据《电子档案管理规范》（GB/T18894-2016），电子档案应建立电子档案系统，确保电子档案的完整性、安全性和可检索性。根据《企业内部控制审计程序手册（标准版）》第6.2.2条，审计档案的分类应确保资料的可检索性、可追溯性和可管理性，为后续审计工作和内部审计评价提供依据。三、审计档案的调阅与使用6.3审计档案的调阅与使用审计档案的调阅与使用是确保审计成果有效利用的重要环节。根据《企业内部控制审计程序手册（标准版）》的要求，审计档案的调阅与使用应遵循以下原则：1.调阅权限原则：审计档案的调阅应由授权人员进行，包括审计负责人、项目负责人、审计组成员等。根据《审计工作底稿编制规范》（GB/T19236-2008），审计档案的调阅应由审计组负责人批准，确保调阅的合法性和必要性。2.调阅程序原则：审计档案的调阅应按照规定的程序进行，包括调阅申请、审批、登记、调阅、归还等环节。根据《审计工作底稿编制规范》（GB/T19236-2008），审计档案的调阅应建立调阅登记制度，确保调阅过程的可追溯性。3.调阅范围原则：审计档案的调阅范围应根据审计项目的需求和调阅目的确定。根据《企业内部控制审计程序手册（标准版）》第6.3.1条，审计档案的调阅应遵循“谁使用、谁负责”的原则，确保调阅的合理性和有效性。4.调阅记录原则：审计档案的调阅应建立调阅记录，包括调阅时间、调阅人、调阅目的、调阅内容等。根据《审计工作底稿编制规范》（GB/T19236-2008），审计档案的调阅应建立调阅登记制度，确保调阅过程的可追溯性。5.调阅保密原则：审计档案涉及企业商业秘密、客户信息等，调阅时应遵守保密规定。根据《企业内部控制审计程序手册（标准版）》第6.3.2条，审计档案的调阅应确保信息的保密性，防止信息泄露。根据《企业内部控制审计程序手册（标准版）》第6.3.3条，审计档案的调阅与使用应确保审计成果的有效利用，为后续审计工作和内部审计评价提供依据。四、审计档案的销毁与移交6.4审计档案的销毁与移交审计档案的销毁与移交是确保审计资料安全、合理利用的重要环节。根据《企业内部控制审计程序手册（标准版）》的要求，审计档案的销毁与移交应遵循以下原则：1.销毁条件原则：审计档案的销毁应根据其保存期限和重要性确定。根据《企业档案管理规定》（国家档案局令第15号），审计档案的销毁应由审计项目负责人审批，确保销毁的合法性和必要性。2.销毁程序原则：审计档案的销毁应按照规定的程序进行，包括销毁申请、审批、登记、销毁、归档等环节。根据《审计工作底稿编制规范》（GB/T19236-2008），审计档案的销毁应建立销毁登记制度，确保销毁过程的可追溯性。3.销毁范围原则：审计档案的销毁范围应根据审计项目的复杂程度和重要性确定。根据《企业内部控制审计程序手册（标准版）》第6.4.1条，审计档案的销毁应遵循“谁使用、谁负责”的原则，确保销毁的合理性和有效性。4.销毁记录原则：审计档案的销毁应建立销毁记录，包括销毁时间、销毁人、销毁目的、销毁内容等。根据《审计工作底稿编制规范》（GB/T19236-2008），审计档案的销毁应建立销毁登记制度，确保销毁过程的可追溯性。5.销毁保密原则：审计档案涉及企业商业秘密、客户信息等，销毁时应遵守保密规定。根据《企业内部控制审计程序手册（标准版）》第6.4.2条，审计档案的销毁应确保信息的保密性，防止信息泄露。根据《企业内部控制审计程序手册（标准版）》第6.4.3条，审计档案的销毁与移交应确保审计资料的安全、合理利用，为后续审计工作和内部审计评价提供依据。第7章附则一、适用范围与执行标准7.1适用范围与执行标准本附则适用于企业内部控制审计程序手册（标准版）的适用范围及执行标准。该手册旨在规范企业内部控制审计的全过程，确保审计工作的独立性、客观性和有效性，提升企业内部控制的健全性和有效性。根据《企业内部控制基本规范》（财政部令第73号）及相关法律法规，企业内部控制审计应遵循以下原则：-全面性原则：内部控制应覆盖企业所有业务活动、财务活动和管理活动，确保内部控制的完整性。-重要性原则：审计应关注企业关键控制环节和高风险领域，确保审计资源的有效配置。-独立性原则：审计人员应保持独立性，确保审计结果的客观性。-持续性原则：内部控制审计应贯穿企业生命周期，持续改进内部控制体系。根据《企业内部控制审计准则》（财政部令第87号）及相关行业标准，企业内部控制审计应遵循以下执行标准：-审计范围：审计范围应涵盖企业所有重要业务流程，包括但不限于财务报告、采购、销售、资产管理、人力资源管理、研发管理等。-审计方法：采用风险评估、控制测试、实质性程序等方法，确保审计结果的可靠性。-审计报告：审计报告应包含审计发现、建议及改进措施，确保企业管理层能够及时采取行动。根据《企业内部控制审计实务指南》（2021年版），企业内部控制审计应结合企业实际情况，制定符合自身特点的审计方案。审计方案应包括审计目标、范围、方法、时间安排、人员配置等内容。7.2修订与废止本手册的修订与废止应遵循以下原则：-程序性原则：修订或废止应通过正式程序，由相关管理部门或委员会审核批准。-时效性原则：手册应根据企业内部控制环境的变化进行适时修订，确保其适用性和有效性。-一致性原则：修订内容应与现行的内部控制制度、审计准则及行业标准保持一致。根据《企业内部控制审计准则》（财政部令第87号）及相关法规，企业内部控制审计手册的修订应遵循以下步骤：1.制定修订计划：由审计部门牵头，结合企业内部控制环境变化，制定修订计划。2.征求意见：修订内容应征求相关部门、管理层及外部审计机构的意见。3.审核批准：修订内容需经审计委员会或相关管理部门审核批准后实施。4.发布实施：修订后的手册应及时发布，并在企业内部进行培训和宣导。对于手册的废止，应遵循以下程序：-原因分析：因政策变化、标准更新、企业内部控制环境变化等原因，需废止原有手册内容。-废止程序：由审计部门提出废止建议，经审计委员会或相关管理部门审核批准后，正式废止原有手册内容。-替代方案：废止后应制定新的审计程序手册，确保审计工作的连续性和一致性。7.3附录与参考文献本手册的附录与参考文献应包括以下内容：-附录A：内部控制审计常用术语解释附录A提供了内部控制审计中常用术语的定义和解释，包括但不限于“内部控制”、“控制活动”、“风险评估”、“控制测试”、“实质性程序”等，确保审计人员对专业术语的理解一致。-附录B：内部控制审计流程图附录B提供了内部控制审计的流程图，包括审计目标、审计范围、审计方法、审计报告等关键环节，帮助审计人员清晰掌握审计流程。-附录C：内部控制审计工具与模板附录C提供了内部控制审计中常用的工具和模板，包括内部控制评估表、风险评估表、控制测试表、审计工作底稿模板等，提升审计工作的效率和规范性。-附录D：参考文献与资料来源附录D列出了本手册所引用的相关法律法规、行业标准、审计准则及参考文献，包括但不限于：-《企业内部控制基本规范》（财政部令第73号）-《企业内部控制审计准则》（财政部令第87号）-《企业内部控制审计实务指南》（2021年版）-《内部控制审计工作底稿指引》（财政部、审计署联合发布）-《内部控制审计常见问题与解答》（审计署发布）-《企业风险管理基本规范》（财政部、证监会、银保监会联合发布）-《内部控制审计操作指南》（审计署发布）-附录E：相关法律法规与标准索引附录E提供了与内部控制审计相关的法律法规与标准索引，方便审计人员快速查找和引用相关法规及标准。通过以上附录与参考文献的设置，本手册能够为审计人员提供全面、系统的指导，确保内部控制审计工作的科学性、规范性和可操作性。第8章术语解释一、8.1审计术语定义1.1审计定义与目标审计是指由独立的第三方对组织的财务报告、内部控制、合规性等进行系统性、独立性检查和评价的过程。根据《企业内部控制审计程序手册（标准版）》，审计的目标是评估内部控制的有效性，确保企业财务信息的真实、公允以及符合相关法律法规。根据中国注册会计师协会发布的《企业内部控制基本规范》，内部控制应覆盖企业所有业务流程，实现风险控制、资源有效配置和经营目标的实现。根据国际审计与鉴证准则（ISA）发布的《审计准则》以及《企业内部控制审计程序手册（标准版）》，审计工作应遵循客观性、独立性、专业性和全面性原则。审计结果将直接影响企业内部控制的改进和风险管理体系的优化。1.2审计程序与方法审计程序是指审计人员在执行审计工作时所采取的具体步骤和方法。根据《企业内部控制审计程序手册（标准版）》，审计程序主要包括以下内容：-风险评估程序：通过了解企业业务环境、内部控制结构、风险因素等，识别和评估重大错报风险。-控制测试：对内部控制的运行有效性进行测试，验证其是否能够有效防止或发现错报。-财务报表审计：对财务报表的准确性、完整性以及公允性进行评估。-其他审计程序：包括访谈、函证、观察、检查文件记录等。根据《审计工作底稿模板》和《审计工作指引》，审计程序应确保覆盖所有重要业务环节，并根据企业规模和复杂程度进行适当调整。1.3审计证据与质量控制审计证据是支持审计结论的基础，其质量直接影响审计结果的可靠性。根据《审计准则》和《企业内部控制审计程序手册（标准版）》，审计证据应具备充分性、相关性和可靠性。审计质量控制是指确保审计过程符合专业标准，防止因人为因素导致审计结论偏差。根据《审计质量控制准则》，审计人员应保持独立性，避免利益冲突，并通过复核、交叉验证等方式提高审计结果的可信度。1.4内部控制审计内部控制审计是审计工作的重要组成部分，旨在评估企业内部控制的有效性。根据《企业内部控制基本规范》和《企业内部控制审计程序手册（标准版）》，内部控制审计应遵循以下原则：-全面性：覆盖企业所有业务流程，包括财务、运营、合规等环节。-重要性：关注企业关键控制点，确保风险控制的有效性。-独立性：审计人员应保持独立性，避免受到企业利益影响。-持续性：内部控制审计应定期进行，以反映企业内部控制的动态变化。根据《内部控制审计工作底