企业内部审计工作手册本

引言本手册旨在为企业内部审计人员提供一套系统、规范且具有实操性的工作指引。内部审计作为企业治理的关键环节，通过独立、客观的确认与咨询活动，旨在改善组织运营、风险管理、控制及治理过程的有效性，帮助组织实现其目标。本手册将详细阐述内部审计的基本概念、工作流程、核心方法及质量控制要求，以期提升内部审计工作的专业水准与价值贡献。全体内部审计人员应认真学习并严格遵照执行。一、内部审计的定义与目标1.1内部审计的定义内部审计是一种独立、客观的确认和咨询活动，通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织目标的实现。它不仅是企业自我约束机制的重要组成部分，也是董事会及高级管理层决策的重要信息支持。1.2内部审计的目标内部审计的总体目标是帮助组织实现其目标。具体目标包括：*确认目标：对组织的风险管理、控制和治理过程进行独立评价，以判断其是否有效运作，是否为实现组织目标提供合理保证。例如，确认财务信息的真实性与可靠性、经营活动的效率与效果、法律法规的遵循情况等。*咨询目标：提供建议和相关的改进措施，以帮助组织改善其风险管理、控制和治理过程。例如，就新系统的内部控制设计提供咨询、就流程优化提出建议等。1.3内部审计的原则内部审计工作应遵循以下基本原则：*独立性：内部审计部门在组织上应保持其独立性，避免受到可能影响其客观判断的因素干扰。审计人员在精神上应保持独立，不受个人情感、偏见或外部压力的影响。*客观性：审计人员应基于事实和证据作出判断和评价，避免主观臆断。*专业胜任能力：内部审计团队应具备完成审计任务所需的专业知识、技能和经验。*保密性：审计人员应对在审计过程中获取的所有信息严格保密，不得用于与审计工作无关的目的。*职业审慎：审计人员在执行审计工作时，应保持合理的职业谨慎，充分考虑可能存在的风险。二、内部审计的组织与管理2.1内部审计机构的设置内部审计机构的设置应确保其独立性和权威性。通常，内部审计部门直接隶属于董事会（或其下设的审计委员会），或在行政上隶属于最高管理层（如总经理），但在业务上接受审计委员会的指导和监督。这种设置有助于保障审计工作的独立性，使其能够不受限制地接触相关信息和人员。2.2内部审计人员的配置与管理*人员配备：内部审计部门应根据企业规模、业务复杂性及审计工作量，配备足够数量且具备相应专业背景（如财务、会计、信息技术、工程、法律等）的审计人员。*专业发展：建立持续的培训和学习机制，鼓励审计人员获取和保持专业资格（如国际注册内部审计师），不断提升其专业胜任能力和职业道德水平。*绩效考核：建立科学合理的内部审计人员绩效考核体系，考核指标应包括审计项目质量、专业能力、职业道德、团队协作等方面。2.3内部审计章程内部审计章程是确立内部审计部门地位、职责和权限的正式文件，应由董事会批准。章程内容通常包括：内部审计的目标、职责、权限、独立性要求、与董事会及其他部门的关系等。内部审计章程应定期审阅和更新，以适应组织发展和内外部环境的变化。三、内部审计流程3.1审计计划阶段审计计划是内部审计工作的起点，良好的计划是审计成功的一半。3.1.1年度审计计划的制定*风险评估：内部审计部门应定期对组织进行全面的风险评估，识别和分析各类潜在风险，作为确定审计重点和资源分配的依据。风险评估应考虑组织的战略目标、经营环境、业务流程、历史审计发现等因素。*确定审计项目：根据风险评估结果，结合组织的年度工作重点和资源状况，确定年度审计项目清单及优先级。*编制年度审计计划：明确各审计项目的审计目标、主要审计范围、预计时间、负责人及所需资源，并报董事会（审计委员会）审批。3.1.2项目审计计划与审计方案的制定*初步业务活动：在实施具体审计项目前，审计项目组应开展初步业务活动，包括：与被审计单位沟通、了解被审计单位的基本情况（组织架构、业务流程、内部控制初步设计等）、评估审计风险、确认审计范围和审计目标。*编制项目审计计划：对具体审计项目的工作范围、时间安排、人员分工、重要性水平及审计风险应对策略等作出规划。*制定审计方案：在项目审计计划的基础上，进一步细化审计程序。审计方案应明确审计步骤、审计方法、收集证据的类型和范围，以及针对具体审计领域的重点关注事项。审计方案需经适当层级的内部审计负责人审批。3.2审计实施阶段审计实施是审计计划的具体执行过程，是获取审计证据、形成审计结论的关键环节。3.2.1审计通知书的送达在审计项目实施前，内部审计部门应向被审计单位发出审计通知书，明确审计项目名称、审计目标、审计范围、审计时间、审计组成员及被审计单位应配合的事项（如提供资料、安排访谈等）。3.2.2内部控制的了解与测试*了解内部控制：审计人员通过查阅资料、实地观察、访谈等方式，全面了解被审计单位与审计事项相关的内部控制制度的设计和运行情况。可采用文字描述、流程图、调查问卷等方法进行记录。*控制测试：在评估内部控制设计有效性的基础上，审计人员应选取适当样本对内部控制的运行有效性进行测试，以确定其是否得到一贯执行。控制测试的结果将影响实质性程序的性质、时间和范围。3.2.3审计证据的收集与评价*审计证据的类型：包括书面证据（如会计凭证、账簿、合同、文件）、实物证据、口头证据、电子证据、分析性证据等。*收集方法：常用的审计方法包括检查、观察、询问、函证、重新计算、重新执行、分析程序等。审计人员应根据审计目标和具体情况选择适当的方法。*证据的特性：审计证据应具备充分性（数量足以支持审计结论）和适当性（与审计目标相关且可靠）。审计人员应对收集到的证据进行审慎评价。3.2.4审计工作底稿的编制审计工作底稿是审计过程的书面记录，是审计证据的载体，也是形成审计报告的基础。*内容要求：工作底稿应清晰记录审计人员实施的审计程序、获取的审计证据、得出的审计结论以及与审计相关的重要事项。*质量要求：工作底稿应做到内容完整、记录清晰、结论明确、条理清楚、标识一致，并由相关人员签名和日期。*管理要求：审计工作底稿应进行系统编号和归档管理，确保其安全、保密和可追溯。3.3审计报告阶段审计报告是审计工作的最终成果，是向董事会、高级管理层及被审计单位传递审计发现、结论和建议的正式文件。3.3.1审计发现的汇总与初步沟通审计项目组在实施阶段结束后，应对审计过程中发现的问题进行汇总、分类和分析，形成初步的审计发现。审计人员应就初步审计发现与被审计单位相关负责人进行沟通，听取其解释和意见，以确保审计发现的准确性。3.3.2审计报告的起草与复核*审计报告的内容：通常包括引言、审计概况（审计目标、范围、方法）、审计发现（问题描述、原因分析、影响评估）、审计结论、审计建议等部分。对于积极的审计发现，也可适当予以肯定。*报告的撰写要求：审计报告应做到客观公正、事实清楚、依据充分、定性准确、建议可行、语言简练、格式规范。*复核机制：审计报告在正式签发前，应经过内部审计部门内部的多级复核（如项目负责人复核、部门负责人复核），以保证报告质量。3.3.3审计报告的分发与反馈审计报告经审批后，应按照规定的程序和范围进行分发。被审计单位应在规定期限内对审计建议作出书面反馈，说明其对审计发现的认可程度及拟采取的整改措施和时间计划。3.4后续跟踪阶段后续跟踪是确保审计成果得以落实的重要环节。内部审计部门应关注被审计单位对审计发现和建议的整改情况：*整改情况的核实：审计人员应定期检查被审计单位整改措施的落实情况，评估整改效果。*持续关注：对于未能按期整改或整改不到位的问题，应及时向董事会（审计委员会）和高级管理层报告，并要求被审计单位说明原因，采取进一步措施。*闭环管理：确保每个审计发现都能得到妥善处理，形成审计工作的闭环管理。四、内部审计的核心方法与技术4.1常用审计方法*检查：对被审计单位的会计记录、文件、合同、实物等进行审阅和核对。*观察：实地查看被审计单位的经营场所、业务活动和内部控制的执行情况。*询问：向被审计单位相关人员获取口头或书面信息。*函证：直接向第三方发函，核实有关信息的真实性和准确性。*重新计算：对被审计单位的计算过程进行独立复核。*重新执行：独立执行被审计单位内部控制中某些程序。*分析程序：通过对财务数据和非财务数据之间、或财务数据内部的关系进行分析，识别异常波动或差异，以发现潜在风险或问题。4.2抽样技术在审计中的应用在审计实践中，由于时间和成本的限制，审计人员往往无法对所有业务进行全面检查，因此需要运用抽样技术。*抽样风险：审计人员应充分考虑抽样风险，选择适当的抽样方法（如随机抽样、系统抽样、分层抽样等）和样本量。*抽样结果的评价：对样本的测试结果进行评价，并据此推断总体特征。4.3计算机辅助审计技术（CAATs）随着信息技术在企业中的广泛应用，计算机辅助审计技术已成为提升审计效率和效果的重要手段。*数据提取与分析工具：利用工具从企业信息系统中提取数据，进行筛选、比对、分析，以发现异常交易或趋势。*审计软件的应用：如通用审计软件、数据分析平台等，可辅助完成凭证检查、账表核对、抽样等工作。*信息系统审计：对信息系统的安全性、可靠性、有效性及其对业务流程和内部控制的影响进行审计。五、内部审计的职业道德与行为规范5.1职业道德的基本要求内部审计人员应恪守最高标准的职业道德，包括：*诚信：诚实、守信，不参与任何可能损害职业声誉的活动。*客观：以事实为依据，不偏袒任何一方。*保密：对在审计过程中接触到的敏感信息严格保密。*胜任：保持并提升专业知识和技能，以胜任所承担的审计工作。5.2利益冲突的识别与处理审计人员应主动识别并报告可能存在的利益冲突（如个人财务利益、家庭关系、外部兼职等），必要时应申请回避，以确保审计工作的独立性和客观性。5.3保密义务审计人员应对其在执业过程中获取的所有信息保密，非经授权不得向任何第三方泄露。保密义务在审计人员离职后仍然有效。六、内部审计质量控制6.1质量控制的目标内部审计质量控制旨在确保内部审计工作符合专业标准和职业道德要求，保证审计工作的质量和效率，提升内部审计的可信度和权威性。6.2质量控制的要素*审计准则与程序：制定和完善内部审计工作准则和操作程序，作为审计工作的规范。*人力资源管理：确保审计人员具备必要的专业素质和职业道德。*审计工作底稿的质量控制：建立健全工作底稿的编制、复核、归档制度。*审计报告的质量控制：严格执行审计报告的复核和审批流程。*监控与改进：通过内部质量评估和外部质量评估等方式，对内部审计工作质量进行持续监控和改进。6.3内部审计质量评估内部审计部门应定期开展内部质量评估，也可根据需要聘请外部独立机构进行外部质量评估。评估内容包括审计工作的合规性、有效性、效率及对组织目标的贡献度等。评估结果应用于改进内部审计工作。七、内部审计与其他部门的关系7.1与董事会及审计委员会的关系内部审计部门应定期向董事会及审计委员会报告工作，包括年度审计计划、审计工作报告、重大审计发现等，接受其指导和监督，协助其履行治理职责。7.2与高级管理层的关系内部审计部门应与高级管理层保持良好沟通，了解其对风险和控制的关注重点，提供有价值的审计信息和建议，支持其经营管理决策。7.3与被审计单位的关系内部审计人员在审计过程中应与被审计单位保持建设性的合作关系，尊重被审计单位的意见，以客观、专业的态度开展工作，共同促进问题的解决和管理的提升。7.4与外部审计的协调内部审计与外部审计在目标和方法上存在一定的共性和互补性。应加强与外部审计的沟通与协调，分享审计