企業(yè)內部審計工作手冊——內部控制與合規(guī)性審查工具模板一、引言內部控制與合規(guī)性審查是企業(yè)內部審計的核心工作內容，旨在通過系統(tǒng)化、規(guī)范化的方法，評估企業(yè)內部控制的合理性與有效性，識別業(yè)務運營中的合規(guī)風險，推動企業(yè)治理水平提升。本工具模板為審計人員提供標準化操作指引與實用工具，助力審計工作高效開展，保證審計結論客觀、準確。二、適用范圍與應用情境（一）適用業(yè)務范圍本工具模板適用于企業(yè)各類業(yè)務流程的內部控制與合規(guī)性審查，涵蓋但不限于：財務報告編制與披露流程；采購與付款流程（供應商管理、招投標、合同審批等）；銷售與收款流程（客戶信用管理、合同簽訂、收入確認等）；資金管理流程（資金支付、銀行賬戶管理、投融資決策等）；資產管理流程（固定資產、存貨、無形資產的采購、使用、處置等）；人力資源管理流程（招聘、薪酬福利、績效考核、離職管理等）；信息系統(tǒng)管理流程（數據安全、權限管理、系統(tǒng)變更等）。（二）適用審計類型年度常規(guī)審計：對企業(yè)整體內部控制設計與執(zhí)行情況進行全面審查；專項審計：針對特定業(yè)務領域（如新業(yè)務上線、重大投資后）或風險事項（如舞弊嫌疑、監(jiān)管檢查發(fā)覺問題）開展深入審查；合規(guī)專項審計：對照法律法規(guī)、行業(yè)監(jiān)管要求及內部制度，評估業(yè)務執(zhí)行的合規(guī)性；并購盡職調查審計：對目標企業(yè)的內控體系與合規(guī)狀況進行評估，輔助并購決策。（三）典型應用場景企業(yè)年度審計計劃實施階段，需對核心業(yè)務流程的內控有效性進行評估；新《企業(yè)內部控制基本規(guī)范》或內部制度修訂后，需驗證新舊制度銜接與執(zhí)行情況；監(jiān)管機構（如財政部、證監(jiān)會、稅務局）檢查前，需開展合規(guī)性自查；發(fā)生重大風險事件（如資產損失、法律糾紛）后，需追溯內控缺陷與合規(guī)漏洞。三、標準化操作流程（一）審計準備階段目標：明確審計范圍、組建團隊、收集資料，為現場審計奠定基礎。步驟1：明確審計目標與范圍操作說明：根據年度審計計劃或管理層需求，確定本次審計的核心目標（如“評估采購流程內控有效性”“識別銷售業(yè)務合規(guī)風險”）；與審計委員會溝通，確認審計邊界（如審計涉及的部門、業(yè)務期間、地域范圍）；編制《審計任務書》，明確審計目標、范圍、時間安排及資源需求，經審計委員會審批后執(zhí)行。步驟2：組建審計團隊并分工操作說明：任命審計組長*（具備3年以上內審經驗，熟悉被審計業(yè)務領域），負責審計方案制定、團隊協(xié)調及報告審核；根據審計范圍配備審計專員*（如涉及財務審計需配置會計專業(yè)背景人員，涉及IT審計需配置IT審計人員），明確各自職責（如資料收集、現場測試、訪談溝通等）；若需外部專家支持（如稅務、法律合規(guī)），需提前簽訂服務協(xié)議，明確工作范圍與成果交付要求。步驟3：收集基礎資料操作說明：內部制度資料：收集被審計業(yè)務相關的內部管理制度（如《公司采購管理制度》《合同管理辦法》）、流程文件、崗位職責說明書等；歷史審計資料：調取上一年度或近3年相關業(yè)務的審計報告、整改記錄，關注已發(fā)覺問題的整改情況；業(yè)務數據資料：獲取被審計期間的業(yè)務臺賬（如采購訂單、銷售合同、資金支付記錄）、財務憑證、報表等；外部法規(guī)資料：收集適用的法律法規(guī)（如《公司法》《會計法》《招投標法》）、行業(yè)監(jiān)管規(guī)定（如上市公司信息披露規(guī)則）等。步驟4：制定審計方案操作說明：審計組長*組織團隊分析資料，識別關鍵風險點（如采購流程中的“供應商準入不合規(guī)”“虛假報銷”風險）；確定審計方法（如訪談、穿行測試、抽樣檢查、數據分析等）及樣本量（如抽樣比例不低于業(yè)務量的10%，且最低樣本量不少于30筆）；編制《內部控制與合規(guī)性審計方案》，內容包括審計目標、范圍、時間計劃、人員分工、審計程序、風險應對措施等，報審計委員會審批。（二）內控設計與有效性評估階段目標：評估內部控制設計的合理性及執(zhí)行的有效性，識別控制缺陷。步驟1：知曉內控設計操作說明：訪談與溝通：與被審計部門負責人、關鍵崗位員工進行訪談，知曉業(yè)務流程實際運行情況，記錄控制點設置（如采購流程中“需求部門提申請-采購部比價-財務部審核-總經理審批”的節(jié)點）；流程梳理：繪制業(yè)務流程圖（可采用Visio等工具），清晰展示從起點到終點的全流程控制環(huán)節(jié)，標注關鍵控制點（KCP，如“大額合同需法務部審核”）；文檔審閱：對照內部制度，檢查流程圖與制度描述是否一致，識別設計缺陷（如制度未規(guī)定“緊急采購的審批權限”導致流程漏洞）。步驟2：測試控制執(zhí)行有效性操作說明：穿行測試：選取1-2筆典型業(yè)務，從業(yè)務發(fā)起至最終歸檔，全程跟蹤流程執(zhí)行，驗證控制點是否有效運行（如檢查采購合同是否經總經理簽字審批）；抽樣測試：根據風險高低抽取樣本（如高風險業(yè)務抽取100%樣本，低風險業(yè)務抽取10%-30%樣本），檢查控制執(zhí)行證據（如審批記錄、簽字痕跡、系統(tǒng)日志）；重新執(zhí)行：對關鍵控制點（如銀行付款復核），由審計人員獨立執(zhí)行一次，驗證控制結果是否準確（如復核付款金額與合同是否一致）。步驟3：識別與評估控制缺陷操作說明：缺陷分類：根據缺陷成因，分為“設計缺陷”（如制度未設置某控制點）和“執(zhí)行缺陷”（如制度有要求但未執(zhí)行）；根據影響程度，分為“重大缺陷”（可能導致企業(yè)嚴重損失或違規(guī)）、“重要缺陷”（可能造成較大損失或違規(guī)）、“一般缺陷”（影響較小）；缺陷評估：對照《企業(yè)內部控制缺陷認定標準》（需提前制定），結合缺陷發(fā)生的可能性及影響程度，確定缺陷等級；記錄缺陷：填寫《內控缺陷評估表》（詳見第四章“核心工具模板”），詳細描述缺陷表現、涉及業(yè)務、責任部門及潛在風險。（三）合規(guī)性審查階段目標：檢查業(yè)務執(zhí)行是否符合法律法規(guī)、行業(yè)監(jiān)管要求及內部制度規(guī)定。步驟1：梳理合規(guī)要求清單操作說明：收集被審計業(yè)務適用的外部法規(guī)（如《企業(yè)所得稅法》規(guī)定“業(yè)務招待費不超過銷售收入的5‰”）、內部制度（如《費用報銷制度》規(guī)定“差旅費需附機票發(fā)票和住宿明細”）及監(jiān)管要求；編制《合規(guī)性審查清單》，明確每項合規(guī)要求的“條款依據”“合規(guī)標準”“檢查要點”（如“檢查業(yè)務招待費發(fā)票是否真實、是否超過扣除限額”）。步驟2：執(zhí)行合規(guī)性測試操作說明：文件審閱：檢查業(yè)務合同、發(fā)票、審批單、財務憑證等文檔，確認其符合合規(guī)要求（如合同條款是否違反《民法典》強制性規(guī)定）；數據篩查：利用數據分析工具（如Excel、ACL）對業(yè)務數據進行篩查，識別異常情況（如“同一供應商短期內多次支付小額費用”“員工報銷發(fā)票連號”）；現場核查：對高風險業(yè)務進行實地檢查（如核查固定資產是否存在、盤點存貨庫存），驗證業(yè)務真實性。步驟3：記錄合規(guī)風險操作說明：對發(fā)覺的違規(guī)行為（如“未取得發(fā)票就支付款項”“超標準發(fā)放補貼”），詳細記錄違規(guī)事實、涉及金額、發(fā)生時間、責任人員；分析違規(guī)原因（如“制度培訓不到位”“審批人員責任心不足”）；填寫《合規(guī)性審查問題記錄表》（詳見第四章），明確違反的法規(guī)/制度條款及潛在法律后果（如“可能面臨稅務機關罰款”）。（四）缺陷匯總與報告階段目標：總結審計發(fā)覺，編制審計報告，推動問題整改。步驟1：匯總審計發(fā)覺操作說明：審計組長*組織團隊整理內控缺陷與合規(guī)風險，按“業(yè)務領域+問題類型”分類（如“采購流程-供應商準入不合規(guī)”“財務報告-收入確認延遲”）；對同類問題進行合并，避免重復表述（如多個部門存在“報銷審批不全”問題，可匯總為“跨部門報銷流程執(zhí)行不到位”）；評估問題嚴重程度，優(yōu)先聚焦重大缺陷與高風險合規(guī)事項。步驟2：溝通與確認操作說明：與被審計部門負責人*召開審計溝通會，逐項反饋審計發(fā)覺，聽取部門解釋說明；對存在爭議的問題，進一步收集證據（如補充訪談、重新核查），保證事實清楚、依據充分；請被審計部門在《審計發(fā)覺確認函》上簽字確認，無異議后進入報告編制環(huán)節(jié)。步驟3：編制審計報告操作說明：報告結構：包括審計概況（審計目標、范圍、時間）、審計發(fā)覺（問題描述、影響、原因）、審計建議（整改措施、責任部門、完成時限）、審計結論（整體內控與合規(guī)狀況評價）；內容要求：問題描述客觀、數據準確、建議可操作（如“建議采購部建立供應商黑名單制度，杜絕與違規(guī)供應商合作”）；審批流程：審計報告經審計組長*審核、審計總監(jiān)復核后，提交審計委員會審議，最終報董事會審批。步驟4：跟蹤整改落實操作說明：建立《審計整改臺賬》，記錄問題內容、責任部門、整改措施、計劃完成時間、實際完成情況；整改期限屆滿后，審計專員*對整改情況進行驗證（如檢查“供應商黑名單制度”是否已發(fā)布、執(zhí)行），確認整改到位；對未按期整改或整改不到位的，向審計委員會匯報，必要時啟動問責程序。四、核心工具模板（一）內部控制矩陣表說明：用于記錄各業(yè)務流程的內控設計及執(zhí)行情況，直觀展示控制點與責任主體。業(yè)務流程名稱控制目標關鍵控制點控制活動描述責任部門/崗位控制類型設計有效性評價（是/否/不適用）執(zhí)行有效性評價（高/中/低）測試方法測試結果（樣本量/符合數）采購流程保證采購價格合理、供應商合規(guī)供應商準入供應商需提交資質文件（營業(yè)執(zhí)照、稅務登記證等），采購部審核后錄入合格供應商名錄采購部/采購專員預防性是中抽樣檢查（抽取20份供應商檔案）18/20（2份未年檢）采購流程保證采購需求真實、必要需求審批需求部門填寫《采購申請單》，部門負責人審核，金額超1萬元需財務部復核需求部/部門負責人發(fā)覺性是高穿行測試（跟蹤3筆采購申請）3/3（均審批完整）（二）合規(guī)性審查清單說明：用于對照合規(guī)要求檢查業(yè)務執(zhí)行情況，保證不遺漏關鍵審查點。合規(guī)事項名稱適用法規(guī)/制度條款合規(guī)標準描述審查樣本量檢查記錄（符合/不符合/不適用）問題描述（不符合時）責任部門整改建議業(yè)務招待費報銷《企業(yè)所得稅法》第8條；《公司費用報銷制度》第5條報銷需附真實發(fā)票，金額不超過銷售收入的5‰，且注明招待對象、事由抽查30筆報銷單不符合其中5筆未注明招待事由，2筆發(fā)票抬頭為公司簡稱（非全稱）財務部/各業(yè)務部門1.要求報銷人補充招待事由說明；2.對財務部進行發(fā)票審核培訓固定資產采購《公司固定資產管理辦法》第3章固定資產采購需簽訂書面合同，金額超5萬元需經總經理審批抽查10份采購合同不符合其中1份金額6萬元的合同未經總經理簽字，僅采購部經理審批行政部/采購部立即補辦審批手續(xù)，修訂《合同審批權限表》明確總經理審批標準（三）內控缺陷評估表說明：用于評估內控缺陷等級，確定整改優(yōu)先級。缺陷描述缺陷類型（設計/執(zhí)行）影響程度（重大/重要/一般）發(fā)生可能性（高/中/低）風險等級（重大高風險/重要中等風險/一般低風險）整改優(yōu)先級（立即/限期/建議）責任部門整改措施銷售合同簽訂前未進行客戶信用評估，導致2筆應收賬款逾期超6個月執(zhí)行缺陷重要高重要中等風險立即銷售部1.立即對逾期客戶啟動催收程序；2.3個工作日內完成所有客戶信用評估補錄財務部未定期核對銀行存款日記賬與銀行對賬單，上月差異未及時處理設計缺陷重要中重要中等風險限期財務部1.修訂《資金管理流程》，增加“每月5日前完成銀行對賬”要求；2.對財務專員進行對賬培訓（四）審計工作底稿表說明：記錄審計過程與證據，保證審計工作可追溯。審計項目名稱公司2024年上半年采購流程內控與合規(guī)性審計底稿編號CG-2024-001審計內容供應商準入控制執(zhí)行情況審計程序1.抽取2024年1-6月新增供應商檔案20份；2.檢查營業(yè)執(zhí)照、稅務登記證等資質文件是否齊全、有效；3.核對供應商名錄與準入審批記錄是否一致審計證據1.供應商檔案編號S001-S020（復印件）；2.《供應商準入審批表》（審批編號P2024001-P2020020）審計結論供應商準入控制基本有效，但2份供應商檔案未附年檢報告，存在合規(guī)風險編制人*（審計專員）復核人*（審計組長）五、關鍵注意事項與風險提示（一）堅守獨立性原則審計團隊需獨立于被審計業(yè)務，不得參與業(yè)務執(zhí)行或決策，避免利益沖突。若審計人員與被審計部門存在直接上下級關系或親屬關系，需主動申請回避。（二）保證證據充分適當所有審計發(fā)覺必須有書面證據（如文檔、數據、記錄）或電子證據（如郵件、系統(tǒng)日志）支持，避免僅憑口頭陳述或主觀判斷下結論。證據需注明來源、獲取時間及責任人，保證可驗證。（三）聚焦高風險領域根據“風險導向”原則，優(yōu)先關注高風險業(yè)務（如大額資金支付、關聯交易）和易發(fā)生舞弊的環(huán)節(jié)（如采購、銷售），合理分配審計資源，避免“平均用力”。（四）強化溝通技巧與被審計部門溝通時，需保持專業(yè)、客觀的態(tài)度，避免使用指責性語言。對發(fā)覺的問題，先解釋“為什么有問題”，再說明“問題的影響”，最后提出“如何解決”，爭取部門理解與配合。（五）嚴格遵守保密要求審計過程中獲取