内部控制审计管理制度

PAGE内部控制审计管理制度一、总则（一）目的本制度旨在规范公司内部控制审计工作，确保公司内部控制体系的有效运行，防范经营风险，提高公司治理水平和运营效率，保护公司资产安全，保障财务报告及相关信息的真实、准确、完整。（二）适用范围本制度适用于公司总部及所属各子公司、分公司。（三）依据本制度依据《中华人民共和国审计法》、《企业内部控制基本规范》及其配套指引、国家其他相关法律法规和公司内部规章制度制定。（四）定义1.内部控制：是由公司董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。内部控制的目标是合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进公司实现发展战略。2.内部控制审计：是指公司内部审计机构对内部控制设计与运行的有效性进行的审计，包括对财务报告内部控制有效性的审计和对非财务报告内部控制有效性的审计。二、审计机构与人员（一）审计机构设置公司设立独立的内部审计机构，负责内部控制审计工作。内部审计机构在公司董事会审计委员会的领导下开展工作，向审计委员会报告工作，并对公司总经理负责。（二）人员配备内部审计机构应配备具备专业知识和技能的审计人员，审计人员应具备以下条件：1.具有良好的职业道德和职业操守，遵守审计准则和职业道德规范。2.具备扎实的财务、审计、风险管理等专业知识，熟悉公司业务流程和相关法律法规。3.具有较强的沟通协调能力、分析判断能力和文字表达能力。4.定期参加内部审计培训和继续教育，不断提高业务水平和综合素质。（三）审计人员职责1.制定内部控制审计计划，明确审计目标、范围、方法和程序。2.实施内部控制审计工作，收集审计证据，编制审计工作底稿。3.对内部控制的设计和运行情况进行评价，提出审计意见和建议。4.跟踪检查审计意见和建议的落实情况，督促相关部门进行整改。5.撰写内部控制审计报告，向审计委员会和公司管理层报告审计结果。6.协助公司管理层建立健全内部控制体系，提供内部控制咨询服务。（四）审计人员的独立性1.内部审计机构应独立于被审计单位，与被审计单位不存在利益关系。2.审计人员应保持独立性，不得参与被审计单位的经营管理活动，不得接受被审计单位的贿赂、回扣等不正当利益。3.审计人员在执行审计业务时，如与被审计单位存在利害关系，应当回避。三、审计计划（一）计划制定原则内部控制审计计划应根据公司战略目标、经营状况、风险状况以及内部控制评价结果制定，确保审计工作具有针对性和有效性。（二）计划内容内部控制审计计划应包括年度审计计划和项目审计方案。1.年度审计计划：应明确年度审计工作目标、范围、重点审计领域、审计项目安排以及审计资源配置等内容。年度审计计划应报审计委员会批准后实施。2.项目审计方案：应根据年度审计计划确定的审计项目，制定具体的审计方案，明确审计目标、审计范围、审计方法、审计步骤、审计时间安排以及审计人员分工等内容。项目审计方案应报内部审计机构负责人批准后实施。（三）计划调整在审计计划执行过程中，如遇特殊情况需要调整审计计划，应报审计委员会批准。审计计划调整应说明调整原因、调整内容以及对审计工作的影响等。四、审计实施（一）审计准备1.成立审计组，明确审计组组长和成员的职责分工。2.开展审前调查，了解被审计单位的基本情况、内部控制制度的建立健全情况以及经营管理状况等。3.制定审计实施方案，明确审计目标、范围、方法、步骤以及时间安排等。4.向被审计单位送达审计通知书，告知审计的目的、范围、时间以及审计人员的要求等。（二）审计方法内部控制审计可采用以下方法：1.询问：向被审计单位有关人员询问内部控制的设计、执行情况以及相关业务流程等。2.观察：观察被审计单位内部控制的执行过程，了解内部控制的实际运行情况。3.检查：检查与内部控制相关的文件、记录、凭证等，验证内部控制的有效性。4.穿行测试：选择一笔或若干笔具有代表性的交易或事项，对其全过程进行追踪，检查内部控制是否得到有效执行。5.重新执行：按照被审计单位的内部控制制度，重新执行相关业务流程，验证内部控制的有效性。6.分析程序：对被审计单位的财务数据和非财务数据进行分析，评估内部控制的有效性。（三）审计证据收集与整理1.审计人员应按照审计实施方案的要求，收集与内部控制相关的审计证据。审计证据应具有充分性、适当性和相关性。2.审计人员应将收集到的审计证据进行整理、分析和归纳，形成审计工作底稿。审计工作底稿应详细记录审计过程、审计证据以及审计结论等。（四）审计工作记录审计人员应及时、准确地记录审计工作过程和结果，形成审计工作记录。审计工作记录应包括以下内容：1.审计项目名称、审计时间、审计人员姓名等。2.审计过程中发现的问题及相关证据。3.审计人员的分析判断过程和审计结论。4.被审计单位对审计发现问题的反馈意见及审计人员对反馈意见的处理情况。五、审计评价（一）评价原则内部控制审计评价应遵循全面性、重要性、客观性原则。1.全面性原则：应涵盖公司内部控制的各个方面，包括内部环境、风险评估、控制活动、信息与沟通、内部监督等要素。2.重要性原则：应关注重要业务单位、重大业务事项和高风险领域的内部控制情况。3.客观性原则：应依据审计证据，客观公正地评价内部控制的有效性，不得主观臆断。（二）评价内容内部控制审计评价应包括以下内容：1.内部控制环境评价：评价公司治理结构、组织架构、人力资源政策、企业文化等方面对内部控制的影响。2.风险评估评价：评价公司风险识别、风险评估、风险应对等方面的有效性。3.控制活动评价：评价公司各项控制活动的设计和执行情况，包括不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。4.信息与沟通评价：评价公司信息系统的建设和运行情况，以及信息传递、沟通渠道的畅通性和有效性。5.内部监督评价：评价公司内部审计、监事会、审计委员会等监督机构的设置和运行情况，以及内部监督的有效性。（三）评价方法内部控制审计评价可采用以下方法：1.个别访谈：与被审计单位有关人员进行个别访谈，了解内部控制的实际运行情况。2.问卷调查：设计问卷调查表，对被审计单位内部控制的相关方面进行调查，了解内部控制的设计和执行情况。3.专题讨论：组织被审计单位相关人员进行专题讨论，了解内部控制的难点、问题以及改进建议等。4.穿行测试：选择一笔或若干笔具有代表性的交易或事项，对其全过程进行追踪，检查内部控制是否得到有效执行。5.实地查验：到被审计单位现场进行实地查验，了解内部控制的实际运行情况。6.抽样检查：从被审计单位的相关业务中抽取一定数量的样本进行检查，验证内部控制的有效性。（四）评价结果1.审计人员应根据内部控制审计评价结果，撰写内部控制审计评价报告。评价报告应包括评价的范围、方法、程序、结果以及改进建议等内容。2.内部控制审计评价结果分为有效、基本有效和无效三个等级。有效：内部控制设计合理，执行有效，能够合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进公司实现发展战略。基本有效：内部控制设计基本合理，执行基本有效，但存在一些不足之处，需要进行改进和完善。无效：内部控制设计存在重大缺陷，执行无效，不能合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整，无法实现公司发展战略。六、审计报告（一）报告编制原则内部控制审计报告应遵循客观、公正、准确、完整的原则，如实反映内部控制审计的过程和结果。（二）报告内容内部控制审计报告应包括以下内容：1.引言：介绍审计的目的、范围、依据和方法。2.被审计单位基本情况：介绍被审计单位的名称、组织架构、经营范围等基本情况。3.内部控制审计评价结果：说明内部控制审计评价的范围、方法、程序、结果以及改进建议等。4.审计发现的问题：详细描述审计过程中发现的内部控制缺陷，包括缺陷的性质、影响范围、形成原因等。5.审计建议：针对审计发现的问题，提出改进建议，包括改进措施、责任部门、整改期限等。6.被审计单位反馈意见：记录被审计单位对审计报告的反馈意见及审计人员对反馈意见的处理情况。7.审计结论：对内部控制的有效性进行总体评价，明确审计结论。（三）报告审批与报送1.内部控制审计报告应报内部审计机构负责人审核后，提交审计委员会审批。2.经审计委员会审批后的内部控制审计报告，应报送公司管理层，并抄送相关部门。（四）报告的后续跟踪1.内部审计机构应跟踪检查审计意见和建议的落实情况，督促相关部门进行整改。2.被审计单位应在规定的期限内将整改情况书面报告内部审计机构。内部审计机构应对整改情况进行检查和评价，并撰写跟踪检查报告。3.跟踪检查报告应报审计委员会和公司管理层，作为公司内部控制持续改进的依据。七、审计档案管理（一）档案管理原则内部控制审计档案管理应遵循集中统一、分类归档、安全保密的原则。（二）档案内容内部控制审计档案应包括以下内容：1.审计计划：包括年度审计计划和项目审计方案。2.审计通知书：向被审计单位送达的审计通知书。3.审计工作底稿：审计人员在审计过程中形成的工作底稿。4.审计证据：收集到的与内部控制相关的审计证据。5.审计报告：内部控制审计报告及相关审批文件。6.被审计单位反馈意见及审计人员对反馈意见的处理情况记录。7.跟踪检查报告：对审计意见和建议落实情况的跟踪检查报告。8.其他与内部控制审计相关的文件和资料。（三）档案整理与归档1.审计项目结束后，审计人员应及时对审计档案进行整理，按照档案管理的要求进行分类归档。2.审计档案应编制目录，便于查阅和管理。3.审计档案应妥善保管，防止丢失、损坏和泄密。（四）档案保管期限内部控制审计档案的保管期限应按照国家有关规定执行，一般为[X]年。（五）档案查阅与借阅1.公司内部人员查阅内部控制审计档案应经内部