我国内控审计制度

PAGE我国内控审计制度一、总则（一）目的本制度旨在建立健全公司内部控制审计体系，规范审计工作流程，确保公司内部控制的有效执行，保护公司资产安全，提高公司运营效率和效果，促进公司合规经营，保障公司战略目标的实现。（二）适用范围本制度适用于公司总部及所属各子公司、分公司等分支机构的内部控制审计工作。（三）基本原则1.独立性原则：内控审计机构应独立于被审计部门，不受其他部门或个人的干涉，以保证审计工作的客观性和公正性。2.客观性原则：审计人员应基于客观事实，以充分、适当的审计证据为依据，对内部控制的有效性进行评价，不得主观臆断或歪曲事实。3.全面性原则：涵盖公司经营管理的各个方面，包括但不限于财务、采购、销售、生产、人力资源等，对内部控制进行全面审查。4.重要性原则：根据风险评估结果，确定审计重点，关注对公司财务状况、经营成果和合规性有重大影响的事项和高风险领域。5.及时性原则：及时开展审计工作，对发现的问题及时反馈并提出整改建议，确保内部控制的持续有效运行。二、内控审计机构及人员（一）机构设置公司设立独立的内控审计部门，负责统筹和实施公司的内部控制审计工作。内控审计部门直接向公司董事会审计委员会报告工作。（二）人员配备内控审计部门应配备具备专业知识和技能的审计人员，审计人员应具备以下条件：1.具有良好的职业道德和职业操守，遵守审计准则和职业道德规范。2.熟悉国家法律法规、公司规章制度以及相关行业标准。3.具备财务、审计、风险管理等相关专业知识，具有一定的审计工作经验。4.具备较强的沟通协调能力、分析判断能力和文字表达能力。（三）职责与权限1.职责制定和完善公司内部控制审计制度、流程和规范。制定年度内部控制审计计划，并组织实施。对公司内部控制的有效性进行审计评价，出具审计报告。对审计中发现的问题提出整改建议，并跟踪整改情况。协助公司其他部门开展风险管理和内部控制工作。参与公司重大决策、重要业务流程的风险评估和内部控制设计。定期向董事会审计委员会汇报内部控制审计工作情况。2.权限有权要求被审计部门提供与审计事项有关的文件、资料、数据等。有权检查被审计部门的财务、业务等相关资料和资产。有权就审计事项向有关部门和人员进行调查、询问。对发现的内部控制缺陷和违规行为，有权提出整改意见和建议，并督促整改。对阻挠、妨碍审计工作的部门和人员，有权采取必要的措施，确保审计工作顺利进行。三、内控审计工作流程（一）审计计划制定1.每年年初，内控审计部门应根据公司战略目标、经营计划、风险管理状况以及上一年度审计工作情况，制定年度内部控制审计计划。2.审计计划应明确审计目标、审计范围、审计重点、审计方法、审计时间安排以及审计人员分工等内容。3.审计计划应报董事会审计委员会批准后实施。在实施过程中，如因公司内外部环境变化等原因需要调整审计计划，应报董事会审计委员会审批。（二）审计准备1.根据审计计划，组成审计组，明确审计组组长和成员的职责分工。2.审计组应收集与审计事项相关的法律法规、公司规章制度、行业标准等资料，了解被审计部门的业务流程、内部控制制度等情况。3.制定审计工作方案，明确审计步骤、审计方法、审计重点以及审计时间安排等。4.向被审计部门送达审计通知书，告知审计的目的、范围、时间、要求等事项。（三）审计实施1.审计人员应按照审计工作方案，运用适当的审计方法，对被审计部门的内部控制进行审查和评价。审计方法包括但不限于询问、观察、检查、抽样测试、分析性复核等。2.审计人员应获取充分、适当的审计证据，对内部控制的设计和执行情况进行评价，识别内部控制缺陷。3.审计人员应编制审计工作底稿，记录审计过程、审计证据、审计发现的问题以及审计结论等。审计工作底稿应真实、完整、清晰，能够支持审计报告的出具。4.在审计过程中，审计人员应与被审计部门保持沟通，及时反馈审计进展情况，听取被审计部门的意见和建议。（四）审计报告1.审计组完成审计工作后，应撰写审计报告。审计报告应包括审计概况、审计依据、审计发现的问题、审计结论、整改建议等内容。2.审计报告应经审计组组长审核后，提交内控审计部门负责人复核。内控审计部门负责人复核后，报董事会审计委员会审批。3.审计报告经董事会审计委员会审批后，向公司管理层和相关部门送达。审计报告应明确提出整改要求和整改期限，督促被审计部门及时整改。（五）后续跟踪1.内控审计部门应建立后续跟踪机制，对审计报告中提出的整改建议的落实情况进行跟踪检查。2.被审计部门应在规定的整改期限内，将整改情况书面报告内控审计部门。内控审计部门应对整改情况进行审核，对整改不到位应督促被审计部门继续整改。3.后续跟踪情况应记录在案，作为评价公司内部控制有效性的重要依据。四、内部控制评价（一）评价原则1.全面性原则：对公司内部控制的各个方面进行全面评价，包括内部控制环境、风险评估、控制活动、信息与沟通、内部监督等要素。2.重要性原则：根据风险程度和影响范围，确定评价重点，关注对公司财务状况、经营成果和合规性有重大影响的内部控制事项。3.客观性原则：以客观事实为依据，采用科学合理的评价方法，对内部控制的有效性进行评价，避免主观随意性。（二）评价内容1.内部控制环境：评价公司治理结构、组织架构、人力资源政策、企业文化等方面对内部控制有效性的影响。2.风险评估：评价公司风险识别、风险评估、风险应对措施是否有效，是否能够及时发现和应对内外部风险。3.控制活动：评价公司各项业务流程中的控制措施是否健全有效，是否能够防止错误和舞弊的发生。4.信息与沟通：评价公司信息系统的建设和运行情况，以及信息传递、沟通是否及时、准确、有效。5.内部监督：评价公司内部审计、纪检监察等监督部门的工作是否有效，是否能够及时发现和纠正内部控制缺陷。（三）评价方法1.个别访谈：与公司管理层、员工、客户、供应商等进行个别访谈，了解内部控制的执行情况和存在的问题。2.问卷调查：设计问卷，向公司员工、客户、供应商等发放，了解他们对公司内部控制的认知和评价。3.文档审查：审查公司的规章制度、文件记录、财务报表等资料，了解内部控制的设计和执行情况。4.实地观察：到公司各部门、各业务现场进行实地观察，了解内部控制的实际执行情况。5.穿行测试：选择若干重要业务流程，按照规定的程序和方法进行穿行测试，检查内部控制的有效性。6.数据分析：利用公司的信息系统和数据分析工具，对相关数据进行分析，发现内部控制存在的问题。（四）评价报告1.内控审计部门应根据内部控制评价结果，撰写内部控制评价报告。评价报告应包括评价概况、评价依据来源、评价范围、评价方法、评价发现的问题、评价结论等内容。2.评价报告应经内控审计部门负责人审核后，提交董事会审计委员会审批。3.评价报告经董事会审计委员会审批后，向公司管理层和相关部门送达。评价报告应明确提出改进建议和措施，为公司完善内部控制提供参考依据。五、内部控制缺陷认定（一）缺陷分类内部控制缺陷分为设计缺陷和运行缺陷；按照影响程度分为重大缺陷、重要缺陷和一般缺陷。1.重大缺陷：指一个或多个控制缺陷的组合，可能导致公司严重偏离控制目标。2.重要缺陷：指一个或多个控制缺陷的组合，其严重程度低于重大缺陷，但仍有可能导致公司偏离控制目标。3.一般缺陷：指除重大缺陷、重要缺陷以外的其他控制缺陷。（二）认定标准1.设计缺陷认定标准公司缺乏为实现控制目标所必需的控制措施。现有控制措施设计不适当，无法有效防止或发现并纠正错误或舞弊。2.运行缺陷认定标准控制措施未得到有效执行。执行人员没有正确执行控制措施，导致控制目标未能实现。3.重大缺陷认定标准公司董事、监事和高级管理人员舞弊。公司更正已经公布的财务报表。（三）认定程序1.审计人员在审计过程中发现内部控制缺陷后，应及时记录，并进行初步评估，判断缺陷的严重程度。2.内控审计部门应组织相关人员对内部控制缺陷进行讨论和分析，确定缺陷的性质和影响程度