内部审计工作流程规范(2026年)

内部审计工作流程规范(2026年)第一章总则第一条目的与依据为了适应公司战略发展及现代化治理的需要，规范内部审计行为，保证内部审计质量，防范经营风险，促进完善内部控制、提高运营效率和增加企业价值，根据《中华人民共和国审计法》、《审计署关于内部审计工作的规定》及国际内部审计师协会（IIA）发布的《国际内部审计专业实务框架》等相关法律法规及行业标准，结合公司实际情况及2026年度发展规划，制定本规范。第二条适用范围本规范适用于公司总部及所属各级全资、控股子公司（以下统称“各单位”）的所有内部审计活动。公司所属参股企业若有必要，经董事会批准可参照本规范执行。内部审计活动包括但不限于财务收支审计、经济效益审计、经济责任审计、内部控制审计、合规管理审计及信息系统审计等。第三条审计原则内部审计工作应遵循独立性、客观性、公正性、保密性及风险导向原则。（一）独立性原则：内部审计机构和人员在组织上、履职上及经费上应保持独立，不得负责被审计单位的业务活动、内部控制设计或决策执行，以避免利益冲突。（二）客观性原则：内部审计人员在进行审计评价、发表审计意见时，应基于事实，不偏不倚，不受他人意愿或个人利益影响。（三）风险导向原则：内部审计资源的配置应重点关注高风险领域和关键业务环节，通过识别、评估和应对风险，为组织目标的实现提供合理保证。（四）保密性原则：内部审计人员在执业过程中接触到的商业秘密、敏感数据及未公开信息，必须严格遵守保密义务，未经授权不得对外披露。第四条审计宗旨内部审计旨在通过系统化、规范化的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，旨在识别改进机会，遏制舞弊行为，并作为公司治理结构的基石，协助董事会和审计委员会履行监督职责。第二章内部审计机构与人员管理第五条机构设置与隶属关系公司设立独立的内部审计部门，直接对董事会及其下设的审计委员会负责，并向其报告工作。在行政隶属关系上，内部审计部门不得置于财务、采购、运营等被监督部门的领导之下，以确保监督权力的独立行使。各单位应根据业务规模设立专职内部审计岗位或配备专职内部审计人员，并接受公司总部内部审计部门的业务指导和监督。第六条审计人员职业道德与胜任能力（一）职业道德：内部审计人员必须严格遵守《内部审计人员职业道德规范》，做到诚信正直、客观公正、勤勉尽责、专业胜任、保密廉洁。严禁参与任何可能损害其职业判断或与组织利益相冲突的活动。（二）专业胜任能力：内部审计人员应具备必要的财务会计、审计、法律、信息技术、工程管理或相关业务领域的专业知识及技能。公司应建立审计人员后续教育制度，确保每位审计人员每年接受不少于40学时的专业培训，以适应不断变化的业务环境及监管要求。（三）资格要求：关键审计岗位人员应持有国际注册内部审计师（CIA）、注册会计师（CPA）或相关行业公认的专业资格证书。第七条审计人员独立性管理实行审计人员回避制度。内部审计人员在办理审计事项时，与被审计单位或审计事项有利害关系的，应当主动申请回避。被审计单位也有权申请审计人员回避。审计人员的任免、奖惩应经审计委员会审核，任何部门和个人不得擅自打击报复审计人员。第三章审计计划管理第八条年度审计计划制定内部审计部门应在每年第四季度，结合公司战略目标、风险评估结果、监管要求及上年度审计整改情况，编制下一年度年度审计计划。年度审计计划应包括拟审计的项目名称、审计类型、审计范围、审计时间安排、资源配置及预计工时等。计划草案需报经审计委员会审议批准后实施。第九条审计计划调整年度审计计划一经批准，应严格执行。如遇组织架构重大调整、外部环境剧烈变化、突发重大风险事件或董事会临时交办任务，确需调整审计计划的，需由内部审计部门负责人提出调整申请，详细说明调整理由及调整方案，报审计委员会批准后方可调整。第十条专项审计项目立项对于未列入年度审计计划但因管理需要急需开展的专项审计，由相关部门或管理层提出申请，经审计委员会或授权的主管领导批准后立项。内部审计部门应根据专项审计的紧急程度和复杂程度，统筹调配审计资源，确保项目及时开展。第四章审计实施流程第十一条审计准备阶段审计准备阶段是确保审计项目顺利实施的基础，主要包括以下工作内容：（一）成立审计组：根据审计项目的性质、规模及复杂程度，选派具备相应专业胜任能力的审计人员组成审计组，并指定审计组长。审计组长负责项目的全面质量控制，并对审计报告的真实性、完整性负责。（二）开展审前调查：审计组应在进驻现场前，通过收集资料、访谈、问卷调查等方式，充分了解被审计单位的背景情况、业务流程、内部控制环境及以前年度审计发现问题。重点关注被审计单位的主营业务、高风险环节及信息系统使用情况。（三）编制审计实施方案：在审前调查的基础上，审计组长应组织编制详细的审计实施方案。方案应明确审计目标、审计范围、审计重点、审计方法（包括数据分析和抽样方法）、审计人员分工、时间进度及预算。实施方案需经内部审计部门负责人审核批准。（四）发送审计通知书：审计组应在实施审计前3至10个工作日，向被审计单位送达审计通知书。审计通知书应包括审计依据、审计目的、审计范围、审计时间、审计组成员及被审计单位需配合的事项。对于突击审计，经批准后可在进驻现场时送达通知书。第十二条审计实施阶段审计实施阶段是审计工作的核心环节，审计组应按照实施方案执行以下程序：（一）进驻被审计单位：召开审计进点会，与被审计单位管理层、关键岗位人员进行沟通，说明审计目的、范围和时间安排，明确审计纪律，并听取被审计单位关于经营情况、内部控制及自查情况的汇报。（二）内部控制测试：审计人员应运用询问、观察、检查、重新执行等方法，对被审计单位的内部控制设计合理性和运行有效性进行测试。如发现控制缺陷，应扩大实质性程序的范围。（三）实质性程序：根据控制测试结果，对各类交易、账户余额、列报及披露进行详细检查或抽样检查。应重点关注大额、异常、关联方交易及期末调整事项。（四）审计取证：审计人员应获取充分、相关、可靠的审计证据，以支持审计结论。审计证据包括书面证据、实物证据、视听电子证据、口头证据（需书面确认）及鉴定结论。所有审计证据必须由证据提供者签字或盖章确认，确保证据链条完整。（五）编制审计工作底稿：审计人员应当对审计过程、审计发现、审计判断及结论进行实时记录，编制审计工作底稿。工作底稿应做到要素齐全、内容完整、结论明确、索引清晰。审计组长应对审计工作底稿进行复核，并签署复核意见。第十三条审计发现与沟通（一）审计发现确认：审计组对审计过程中发现的违规、违纪、风险控制薄弱点、效率低下等问题，应编制审计工作底稿，并经被审计单位相关责任人签字确认。被审计单位如有异议，应在规定时间内提供书面说明及补充证据，审计组应予以核实。（二）过程沟通：审计组应定期与被审计单位召开沟通会，通报审计进展，交流审计发现，听取被审计单位的解释和说明。对于重大、敏感问题，应及时向内部审计部门负责人及审计委员会报告。（三）审计发现分类：审计发现应按照其性质和严重程度进行分类，一般分为：一般缺陷、重要缺陷和重大缺陷。重大缺陷是指可能导致公司严重损失或严重违反法律法规的缺陷。第十四条审计报告阶段（一）审计报告起草：审计组在实施审计程序后，应汇总、分析、评价审计证据，形成审计结论，起草审计报告初稿。审计报告应包括审计依据、审计概况、审计评价、审计发现（具体问题、原因分析、审计依据）、审计意见及建议。（二）审计报告复核：实行三级复核制度。1.一级复核：由审计组长或经验丰富的审计人员对工作底稿和报告初稿进行详细复核。2.二级复核：由内部审计部门负责人对审计报告进行复核，重点审查审计证据的充分性、结论的恰当性及建议的可行性。3.三级复核：对于重大审计项目，由审计委员会或其授权的独立董事对审计报告进行最终复核。（三）审计报告征求意见：经内部审计部门负责人审核后的审计报告征求意见稿，应送达被审计单位征求意见。被审计单位应在收到征求意见稿之日起5个工作日内提出书面意见，逾期视为无异议。（四）审计报告定稿：审计组应认真研究被审计单位的反馈意见，对合理的意见予以采纳，对不予采纳的意见应说明理由。修改后的审计报告报经审计委员会审批后，形成正式审计报告。第十五条审计结果处理与后续审计（一）报告分发：正式审计报告应在审批后3个工作日内，送达公司董事会、审计委员会、总经理及相关管理层，并抄送被审计单位。（二）审计整改：被审计单位收到审计报告后，应成立整改小组，制定整改方案，明确整改责任人、整改措施及整改时限，并在规定期限内完成整改。（三）后续审计：内部审计部门应在审计报告规定的整改期限届满后，对被审计单位的整改情况进行跟踪检查。后续审计应重点关注整改措施的有效性、整改结果的真实性及遗留风险的控制情况。（四）审计移送：对于审计中发现的涉嫌违法犯罪或严重违纪线索，应按程序移交纪检监察部门或司法机关处理。第五章专项审计流程细则第十六条经济责任审计流程经济责任审计是对领导干部任职期间履行经济责任情况进行的审计。除遵循一般审计流程外，还应遵循以下特别规定：（一）审计委托：由组织人事部门或董事会向内部审计部门出具审计委托书，明确审计对象、审计期间及审计类型（离任审计或任中审计）。（二）审计评价：应坚持“客观公正、实事求是”的原则，依据审计结果对领导干部的财务责任、管理责任、法纪责任及社会责任进行评价，避免将历史遗留问题、政策变化因素与个人履职责任简单挂钩。（三）审计结果运用：审计结果应作为干部考核、任免、奖惩的重要依据。第十七条信息系统审计流程随着数字化转型的深入，信息系统审计日益重要。该流程侧重于评估信息系统的安全性、可靠性及数据的完整性。（一）IT一般控制审计：评估IT治理结构、逻辑访问控制、变更管理、系统开发及运维流程。（二）IT应用控制审计：评估嵌入业务系统中的输入控制、处理控制及输出控制的有效性。（三）数据分析技术应用：审计人员应利用SQL、Python、审计软件等工具，对业务数据进行全量筛查和趋势分析，发现异常交易和潜在风险。第十八条内部控制审计流程（一）控制矩阵梳理：审计组应协助或独立梳理被审计单位的业务流程控制矩阵，识别关键控制点（KCP）。（二）穿行测试：通过抽取少量样本，追踪交易从发生到记录的整个过程，验证控制点是否实际执行。（三）缺陷认定：根据控制缺失或控制失效的潜在影响，认定内部控制缺陷等级，并出具内部控制评价报告。第六章审计质量控制与评价第十九条审计质量控制体系公司建立分级负责、全过程控制的审计质量管理体系。（一）内部审计部门负责人对审计质量承担总体责任，负责制定审计质量控制政策，监督审计质量执行情况。（二）审计组长对审计项目的具体质量负责，确保审计程序到位、证据充分、结论准确。（三）建立审计质量评估指标，包括审计计划的完成率、审计发现的整改率、审计报告的时效性及被审计单位的满意度。第二十条审计项目质量复核在审计实施过程中，应实施事中复核。复核人员应重点关注：（一）审计程序是否按照实施方案执行，如未执行，是否已履行批准变更手续。（二）审计证据是否足以支持审计结论，是否存在取证盲区。（三）审计工作底稿的编制是否符合规范，要素是否齐全，勾稽关系是否清晰。第二十一条审计质量外部评估为确保内部审计工作的专业性和公信力，公司应每三年聘请具有资质的外部机构（如会计师事务所或专业咨询公司）对内部审计部门进行一次质量外部评估。评估范围包括内部审计部门的组织架构、人员素质、审计流程、审计质量及价值增值情况。评估报告应提交审计委员会审阅。第七章审计档案管理第二十二条审计档案归档范围审计档案是审计活动的真实记录，应包含以下材料：（一）审计立项通知书、审计委托书。（二）审计实施方案及审前调查记录。（三）审计通知书、进点会纪要。（四）审计工作底稿及审计证据（含电子数据备份）。（五）审计报告征求意见稿、被审计单位反馈意见、正式审计报告。（六）审计决定书、整改报告及后续审计记录。（七）其他与审计项目相关的具有保存价值的材料。第二十三条审计档案归档要求（一）时效要求：审计项目终结后，审计组长应在60个工作日内完成档案整理和归档工作。（二）形式要求：审计档案应做到案卷目录清晰、材料排列有序、页码编号连续。对于电子档案，应建立安全的存储介质和备份机制，确保数据可读、防篡改。（三）保管期限：审计档案的保管期限分为永久、长期（30年）和短期（10年）。年度财务报表审计、经济责任审计及重大专项审计档案应永久保存。第二十四条档案查阅与保密审计档案属于公司机密文件，查阅审计档案需经内部审计部门负责人批准。查阅者不得涂改、抽取、损毁档案材料。涉及法律诉讼或外部监管机构检查需查阅档案的，应核实其身份及查阅依据，并办理登记手续。第八章审计关系协调与沟通机制第二十五条与董事会及审计委员会的沟通内部审计部门应建立定期汇报机制，每季度向审计委员会报告工作情况，内容包括：年度审计计划执行进度、重大审计发现、风险提示、审计整改情况及内部审计部门自身建设情况。遇到重大突发事件，应立即向审计委员会报告。第二十六条与被审计单位的沟通内部审计部门应秉持“服务与监督并重”的理念，与被审计单位保持良好的沟通。（一）在审计实施过程中，应充分听取被审计单位的意见，尊重其业务逻辑，避免因信息不对称导致误判。（二）在整改阶段，应提供咨询服务，协助被审计单位分析问题根源，完善制度流程，推动整改落实。第二十七条与外部审计的协调内部审计部门应与外部审计机构（如年报审计师）保持协调，利用内部审计成果，减少重复审计，提高审计效率。双方应定期召开协调会，交换审计计划、审计范围及审计发现，并相互利用工作底稿（在保密协议框架下）。第九章附则第二十八条违规责任追究对于违反本规范规定，有下列行为之一的单位和个人，公司将视情节轻重，给予通报批评、经济处罚、行政处分或解除劳动合同；构成犯罪的，依法移送司法机关追究刑事责任：（一）拒绝或拖延提供与审计事项有关的资料，或者提供资料不真实、不完整的。（二）阻碍、干扰内部审计工作，或者打击报复内部审计人员的。（三）内部审计人员滥用职权、徇私舞弊、玩忽职守、泄露秘密的。（四）未按规定进行审计整改或整改不到位的。第二十九条解释权本规范由公司内部审计部门负责解释。第三十条生效日期本规范自2026年1月1日起施行。原《内部审计工作流程规范（2023版）》同时废止。本规范未尽事宜，依照国家有关法律法规及公司其他规章制度执行。附录一：内部审计文书标准格式（此处省略具体文书模板，实际执行中需包含审计通知书模板、审计报告模板、审计工作底稿模板、审计意见书模板等，确保文书格式的统一性和规范性。）附录二：审计重要性水平及风险评估指引（一）重要性水平确定：在制定审计实施方案时，应结合被审计单位的资产规模、营业收入及净利润等