企業(yè)內(nèi)控審計實務(wù)操作指南2024版引言在當(dāng)前復(fù)雜多變的商業(yè)環(huán)境與日益嚴(yán)格的監(jiān)管要求下，企業(yè)內(nèi)部控制的有效性已成為衡量其治理水平、風(fēng)險管理能力及可持續(xù)發(fā)展?jié)摿Φ暮诵闹笜?biāo)。內(nèi)部控制審計作為獨立評價與監(jiān)督企業(yè)內(nèi)控體系設(shè)計及運(yùn)行有效性的關(guān)鍵手段，對于提升企業(yè)運(yùn)營效率、保障財務(wù)報告質(zhì)量、防范舞弊風(fēng)險具有不可替代的作用。本指南旨在結(jié)合最新的實踐經(jīng)驗與監(jiān)管動態(tài)，為企業(yè)內(nèi)部審計人員及相關(guān)從業(yè)人員提供一套系統(tǒng)、務(wù)實的內(nèi)控審計操作指引，以期助力企業(yè)持續(xù)優(yōu)化內(nèi)部控制體系，實現(xiàn)穩(wěn)健經(jīng)營。一、企業(yè)內(nèi)部控制審計的定義與目標(biāo)（一）定義企業(yè)內(nèi)部控制審計，是指審計機(jī)構(gòu)或人員依據(jù)國家相關(guān)法律法規(guī)、監(jiān)管要求以及企業(yè)內(nèi)部規(guī)章制度，運(yùn)用系統(tǒng)化、規(guī)范化的方法，對企業(yè)內(nèi)部控制的設(shè)計合理性與運(yùn)行有效性進(jìn)行獨立檢查和評價，并出具審計報告的過程。（二）核心目標(biāo)1.評價內(nèi)控設(shè)計的合理性：評估企業(yè)內(nèi)部控制制度是否能夠為實現(xiàn)控制目標(biāo)提供合理保證，控制措施的設(shè)計是否與企業(yè)經(jīng)營規(guī)模、業(yè)務(wù)特點、風(fēng)險水平相適應(yīng)。2.評價內(nèi)控運(yùn)行的有效性：檢查內(nèi)部控制制度在實際運(yùn)營中是否得到了一貫、有效的執(zhí)行，能否切實發(fā)揮其應(yīng)有的控制作用。3.識別控制缺陷與風(fēng)險隱患：通過審計，及時發(fā)現(xiàn)內(nèi)部控制設(shè)計或運(yùn)行中存在的缺陷、薄弱環(huán)節(jié)以及由此可能引發(fā)的各類風(fēng)險。4.提出改進(jìn)建議：針對審計發(fā)現(xiàn)的問題，提出具有建設(shè)性和可操作性的改進(jìn)建議，促進(jìn)企業(yè)完善內(nèi)控體系，提升風(fēng)險管理水平。5.促進(jìn)合規(guī)經(jīng)營與價值提升：確保企業(yè)經(jīng)營活動符合法律法規(guī)和內(nèi)部規(guī)定，保護(hù)資產(chǎn)安全完整，提升信息披露質(zhì)量，最終服務(wù)于企業(yè)價值創(chuàng)造。二、企業(yè)內(nèi)部控制的要素與審計范圍（一）內(nèi)部控制要素參照主流內(nèi)部控制框架（如COSO框架），企業(yè)內(nèi)部控制通常包括以下相互關(guān)聯(lián)的要素，審計應(yīng)圍繞這些要素展開：1.控制環(huán)境：包括治理結(jié)構(gòu)、機(jī)構(gòu)設(shè)置及權(quán)責(zé)分配、內(nèi)部審計機(jī)制、人力資源政策、企業(yè)文化等。2.風(fēng)險評估：企業(yè)識別、分析與實現(xiàn)目標(biāo)相關(guān)的內(nèi)外部風(fēng)險，并制定風(fēng)險應(yīng)對策略的過程。3.控制活動：企業(yè)根據(jù)風(fēng)險評估結(jié)果，采用相應(yīng)的控制措施，將風(fēng)險控制在可承受度之內(nèi)，如授權(quán)審批、不相容崗位分離、財產(chǎn)保護(hù)、預(yù)算控制、績效考評等。4.信息與溝通：企業(yè)及時、準(zhǔn)確地收集、傳遞與內(nèi)部控制相關(guān)的信息，并確保信息在企業(yè)內(nèi)部、企業(yè)與外部之間進(jìn)行有效溝通。5.監(jiān)控：企業(yè)對內(nèi)部控制的建立與實施情況進(jìn)行監(jiān)督檢查，評價內(nèi)部控制的有效性，發(fā)現(xiàn)缺陷并及時加以改進(jìn)。（二）審計范圍的確定審計范圍的確定應(yīng)基于風(fēng)險評估的結(jié)果，并考慮以下因素：1.企業(yè)戰(zhàn)略與經(jīng)營目標(biāo)：與實現(xiàn)核心目標(biāo)密切相關(guān)的業(yè)務(wù)流程和領(lǐng)域應(yīng)優(yōu)先納入審計范圍。2.法律法規(guī)及監(jiān)管要求：明確要求必須進(jìn)行內(nèi)控審計的領(lǐng)域。3.以往審計發(fā)現(xiàn)：歷史上存在較多問題或控制薄弱的環(huán)節(jié)。4.業(yè)務(wù)復(fù)雜性與變革程度：新業(yè)務(wù)、新流程、新技術(shù)應(yīng)用等帶來的風(fēng)險。5.管理層關(guān)注重點：企業(yè)高層管理人員特別關(guān)注的風(fēng)險領(lǐng)域。三、企業(yè)內(nèi)部控制審計的原則（一）獨立性原則審計人員應(yīng)保持形式上和實質(zhì)上的獨立，不受任何部門、人員或不當(dāng)利益的干擾，客觀公正地開展審計工作。（二）客觀性原則審計工作應(yīng)以事實為依據(jù)，以法律法規(guī)、制度規(guī)定為準(zhǔn)繩，實事求是地評價內(nèi)部控制的有效性，審計證據(jù)應(yīng)具有充分性和適當(dāng)性。（三）系統(tǒng)性原則審計過程應(yīng)采用系統(tǒng)化的方法，從審計計劃、實施、報告到后續(xù)跟蹤，形成完整的審計閉環(huán)。（四）審慎性原則審計人員在審計過程中應(yīng)保持職業(yè)懷疑態(tài)度，對可能存在的重大風(fēng)險和控制缺陷保持高度警惕。（五）重要性原則在審計資源有限的情況下，應(yīng)優(yōu)先關(guān)注對企業(yè)目標(biāo)實現(xiàn)具有重大影響的控制環(huán)節(jié)和高風(fēng)險領(lǐng)域。四、企業(yè)內(nèi)部控制審計實務(wù)操作流程（一）審計準(zhǔn)備階段1.初步了解被審計單位及環(huán)境*收集并研讀企業(yè)章程、組織架構(gòu)圖、業(yè)務(wù)流程文件、重要管理制度、歷史審計報告、財務(wù)報表等資料。*與企業(yè)管理層、相關(guān)業(yè)務(wù)部門負(fù)責(zé)人進(jìn)行初步溝通，了解企業(yè)經(jīng)營狀況、主要風(fēng)險、近期重大變革及內(nèi)控體系建設(shè)的總體情況。*評估企業(yè)的控制環(huán)境，包括治理層的監(jiān)督力度、管理層的風(fēng)險偏好、企業(yè)文化等。2.風(fēng)險評估與審計計劃制定*風(fēng)險評估：識別和評估與審計對象相關(guān)的內(nèi)外部風(fēng)險因素，確定風(fēng)險發(fā)生的可能性及其影響程度。可采用定性與定量相結(jié)合的方法。*確定審計重點與范圍：基于風(fēng)險評估結(jié)果，明確本次審計的具體對象、范圍和重點關(guān)注領(lǐng)域。*制定審計計劃：明確審計目標(biāo)、審計團(tuán)隊組成及分工、時間安排、預(yù)算、主要審計程序和方法等。審計計劃需經(jīng)適當(dāng)層級審批。3.審計方案細(xì)化與審計工具準(zhǔn)備*編制審計方案：在審計計劃的基礎(chǔ)上，針對具體審計領(lǐng)域或業(yè)務(wù)流程，制定詳細(xì)的審計步驟、審計程序、需要收集的證據(jù)類型及抽樣方法等。*設(shè)計審計工作底稿模板：包括訪談記錄、檢查清單、測試表、問題匯總表等，確保審計過程規(guī)范有序，審計證據(jù)易于整理和復(fù)核。*組建與培訓(xùn)審計團(tuán)隊：根據(jù)審計任務(wù)需求，配備具備相應(yīng)專業(yè)勝任能力的審計人員，并進(jìn)行必要的培訓(xùn)，使其熟悉審計目標(biāo)、范圍、程序及相關(guān)業(yè)務(wù)知識。4.發(fā)出審計通知書*在實施審計前，向被審計單位發(fā)出審計通知書，明確審計目的、范圍、時間、審計組成員及需要被審計單位配合的事項。（二）審計實施階段1.內(nèi)部控制的了解與描述*訪談：與被審計單位不同層級的管理人員和業(yè)務(wù)人員進(jìn)行訪談，了解其崗位職責(zé)、所執(zhí)行的控制活動、信息傳遞路徑等。*文件檢查：查閱與內(nèi)部控制相關(guān)的制度文件、流程圖、崗位職責(zé)說明書、授權(quán)審批記錄、會議紀(jì)要等，驗證訪談信息，全面掌握現(xiàn)有控制設(shè)計。*穿行測試：選取少量具有代表性的交易或事項，從頭到尾追蹤其在業(yè)務(wù)流程中的處理過程，以確認(rèn)對業(yè)務(wù)流程和相關(guān)控制的理解是否準(zhǔn)確完整，并初步判斷控制設(shè)計是否存在明顯缺陷。*描述方法：采用文字描述法、流程圖法、調(diào)查表法等方式，清晰、準(zhǔn)確地記錄對內(nèi)部控制的了解情況。2.內(nèi)部控制設(shè)計有效性的評估*對照企業(yè)目標(biāo)和相關(guān)風(fēng)險，分析已識別的控制措施是否能夠有效防范和控制相關(guān)風(fēng)險。*評估控制措施之間的協(xié)調(diào)性和冗余度，避免控制過度或控制不足。*關(guān)注是否存在由于設(shè)計不當(dāng)導(dǎo)致控制無法實現(xiàn)其目標(biāo)的情況。3.內(nèi)部控制運(yùn)行有效性的測試*選取測試樣本：根據(jù)業(yè)務(wù)發(fā)生頻率、重要性水平和風(fēng)險高低，確定適當(dāng)?shù)臉颖玖亢统闃臃椒ǎㄈ珉S機(jī)抽樣、系統(tǒng)抽樣、判斷抽樣等）。*執(zhí)行控制測試：*檢查：審查與控制活動相關(guān)的文件記錄，如審批單、合同、發(fā)票、出入庫單等，核實控制是否得到執(zhí)行。*觀察：實地觀察員工執(zhí)行控制活動的過程，了解實際操作是否與制度規(guī)定一致。*詢問：向執(zhí)行人員確認(rèn)控制執(zhí)行的頻率、方式和注意事項等。*重新執(zhí)行：審計人員獨立執(zhí)行原本由被審計單位員工執(zhí)行的控制活動，以驗證控制的有效性。*證據(jù)收集與記錄：對測試過程中獲取的審計證據(jù)進(jìn)行詳細(xì)記錄，確保審計工作底稿能夠清晰反映測試的過程、結(jié)果和得出結(jié)論的依據(jù)。4.審計發(fā)現(xiàn)的初步確認(rèn)與溝通*對于審計實施過程中發(fā)現(xiàn)的控制缺陷或疑點，應(yīng)及時與被審計單位相關(guān)人員進(jìn)行溝通確認(rèn)，核實情況，避免誤解。*對發(fā)現(xiàn)的重大問題或潛在風(fēng)險，應(yīng)及時向?qū)徲嬳椖控?fù)責(zé)人及適當(dāng)層級的管理層匯報。（三）審計報告階段1.審計證據(jù)的匯總與分析*整理、歸納所有審計工作底稿，對收集到的審計證據(jù)進(jìn)行綜合分析和評價，判斷內(nèi)部控制設(shè)計和運(yùn)行的整體有效性。*對發(fā)現(xiàn)的控制缺陷進(jìn)行分類、定性和量化評估（如區(qū)分設(shè)計缺陷與運(yùn)行缺陷，重大缺陷、重要缺陷與一般缺陷）。2.撰寫審計報告初稿*審計報告應(yīng)包括以下主要內(nèi)容：標(biāo)題、收件人、引言段（審計目的、范圍、依據(jù)）、被審計單位內(nèi)控體系概況、審計發(fā)現(xiàn)（包括控制有效方面和存在的缺陷）、審計結(jié)論、改進(jìn)建議、附件（如相關(guān)證據(jù)摘要、流程圖等）。*報告內(nèi)容應(yīng)客觀、清晰、簡潔、專業(yè)，重點突出，問題描述具體，結(jié)論明確，建議具有針對性和可操作性。3.與被審計單位溝通審計報告初稿*就審計報告初稿中的審計發(fā)現(xiàn)、結(jié)論和建議與被審計單位管理層進(jìn)行充分溝通，聽取其意見和解釋。*對于存在異議的部分，應(yīng)進(jìn)一步核實證據(jù)，必要時調(diào)整審計結(jié)論或報告表述。形成《審計意見溝通函》，記錄溝通情況及雙方達(dá)成的共識或保留意見。4.出具正式審計報告*根據(jù)溝通結(jié)果，修改完善審計報告，按規(guī)定程序?qū)徟?，出具正式的?nèi)部控制審計報告，報送審計委托方（如董事會審計委員會或最高管理層），并抄送被審計單位。（四）審計后續(xù)跟蹤階段1.整改方案的跟蹤*要求被審計單位在規(guī)定期限內(nèi)針對審計發(fā)現(xiàn)的問題制定整改方案，明確整改責(zé)任人、整改措施和完成時限。*審計部門應(yīng)對整改方案的合理性和可行性進(jìn)行評估。2.整改措施落實情況的檢查*在整改期限到期后，審計部門應(yīng)通過現(xiàn)場檢查、資料審閱、訪談等方式，跟蹤檢查整改措施的實際落實情況和效果。*評估整改是否徹底解決了存在的問題，是否達(dá)到了預(yù)期目標(biāo)，是否產(chǎn)生了新的風(fēng)險。3.持續(xù)監(jiān)督與報告*對于整改不力或未按期完成整改的事項，應(yīng)及時向?qū)徲嬑蟹綀蟾?，并督促其加快整改?將整改情況納入后續(xù)的內(nèi)控審計或?qū)ｍ棛z查范圍，形成持續(xù)的監(jiān)督機(jī)制。*總結(jié)審計經(jīng)驗教訓(xùn)，評估審計方法的有效性，為優(yōu)化未來審計工作提供參考。五、常用內(nèi)部控制審計方法與工具（一）訪談法通過與不同層級人員的直接交流，獲取一手信息，了解實際操作情況。訪談提綱應(yīng)提前準(zhǔn)備，訪談過程需做好記錄，并對關(guān)鍵信息進(jìn)行確認(rèn)。（二）文件檢查法對制度文件、業(yè)務(wù)憑證、合同協(xié)議、會議紀(jì)要等書面資料進(jìn)行審查，以驗證控制的設(shè)計和執(zhí)行。（三）穿行測試法追蹤一筆或多筆交易從發(fā)生到最終記錄的整個流程，以確認(rèn)對流程和控制的理解，并初步評估控制的有效性。（四）抽樣測試法從總體中選取一定數(shù)量的樣本進(jìn)行測試，并根據(jù)樣本結(jié)果推斷總體特征。抽樣方法包括隨機(jī)抽樣、系統(tǒng)抽樣、分層抽樣、判斷抽樣等，應(yīng)根據(jù)審計目標(biāo)和風(fēng)險水平選擇合適的抽樣方法和樣本量。（五）觀察法實地觀察員工執(zhí)行控制活動的過程，查看實際操作是否與制度規(guī)定一致。（六）檢查清單法根據(jù)審計目標(biāo)和控制點設(shè)計標(biāo)準(zhǔn)化的檢查清單，確保審計過程的系統(tǒng)性和完整性，避免遺漏重要控制點。（七）數(shù)據(jù)分析工具在數(shù)字化時代，積極運(yùn)用數(shù)據(jù)分析工具（如Excel高級功能、ACL、IDEA等）對業(yè)務(wù)數(shù)據(jù)和財務(wù)數(shù)據(jù)進(jìn)行分析，有助于發(fā)現(xiàn)異常交易、識別潛在風(fēng)險、提高審計效率和精準(zhǔn)度。（八）流程圖繪制工具使用專業(yè)的流程圖軟件（如Visio等）繪制業(yè)務(wù)流程圖和控制流程圖，使流程和控制關(guān)系更加直觀清晰。六、審計過程中的重點關(guān)注事項與常見挑戰(zhàn)（一）重點關(guān)注事項1.控制環(huán)境的有效性：特別是管理層凌駕于控制之上的風(fēng)險，以及企業(yè)文化對控制執(zhí)行的影響。2.關(guān)鍵控制點：識別并重點測試對業(yè)務(wù)流程目標(biāo)實現(xiàn)具有決定性影響的關(guān)鍵控制點。3.重大風(fēng)險領(lǐng)域：如采購與付款、銷售與收款、貨幣資金管理、資產(chǎn)管理、信息系統(tǒng)安全等易發(fā)生舞弊或錯誤的領(lǐng)域。4.信息系統(tǒng)控制：包括一般控制（如訪問控制、變更管理、數(shù)據(jù)備份與恢復(fù)）和應(yīng)用控制（如輸入、處理、輸出控制）。5.控制的例外情況與補(bǔ)償控制：關(guān)注是否存在頻繁的控制例外，以及是否有有效的補(bǔ)償控制措施。（二）常見挑戰(zhàn)與應(yīng)對1.審計資源與時間限制：合理規(guī)劃審計資源，運(yùn)用風(fēng)險導(dǎo)向?qū)徲嫹椒ǎ怀鲋攸c，提高審計效率。2.被審計單位配合度不高：加強(qiáng)溝通，爭取管理層支持，明確審計目的是幫助改進(jìn)而非指責(zé)，建立良好的審計關(guān)系。3.內(nèi)部控制的復(fù)雜性與隱蔽性：深入了解業(yè)務(wù)實質(zhì)，運(yùn)用多種審計方法交叉驗證，必要時尋求專家支持。4.審計證據(jù)的充分性與適當(dāng)性：保持職業(yè)懷疑，對證據(jù)進(jìn)行審慎評價，確保審計結(jié)論有堅實的證據(jù)支持。5.控制缺陷的定性與定量判斷：建立明確的缺陷認(rèn)定標(biāo)準(zhǔn)，結(jié)合控制目標(biāo)、風(fēng)險影響程度、發(fā)生可能性等因素綜合判斷。七、審計成果運(yùn)用與持續(xù)改進(jìn)（一）審計結(jié)果的報告與分享將審計發(fā)現(xiàn)、結(jié)論和建議及時、準(zhǔn)確地向治理層和管理層報告，推動問題的解決。在企業(yè)內(nèi)部適當(dāng)范圍內(nèi)分享審計成果，促進(jìn)各部門借鑒經(jīng)驗教訓(xùn)。（二）推動內(nèi)控缺陷整改審計部門應(yīng)積極跟蹤整改進(jìn)度，對整改效果進(jìn)行評估，確保審計發(fā)現(xiàn)的問題得到有效解決。對于重大缺陷，應(yīng)要求管理層制定專項整改計劃。（三）促進(jìn)內(nèi)控制度的完善根據(jù)審計結(jié)果，協(xié)助企業(yè)管理層修訂和完善相關(guān)內(nèi)部控制制度和業(yè)務(wù)流程，堵塞管理漏洞。（四）提升全員內(nèi)控意識通過審計宣傳、案例分享等方式，增強(qiáng)企業(yè)全體員工的內(nèi)部控制和風(fēng)險管理意識，營造“人人講內(nèi)控、人人守內(nèi)控”的良好氛圍。（五）審計質(zhì)量的自我評估與提升定期對審計工作質(zhì)量進(jìn)行內(nèi)部評估，總結(jié)經(jīng)驗，識別不足，持續(xù)優(yōu)化審計流程、方法和工具，提升審計團(tuán)隊的專業(yè)勝任能力。八、2024年企業(yè)內(nèi)控審計的趨勢與展望隨著數(shù)字化轉(zhuǎn)型的深入和監(jiān)管要求的不斷升級，2024年及未來的企業(yè)內(nèi)控審計將呈現(xiàn)以下趨勢：1.數(shù)字化審計的深度融合：更多地運(yùn)用大數(shù)據(jù)分析、人工智能、RPA等技術(shù)手段，實現(xiàn)審計數(shù)據(jù)的自動化采集、分析和異常識別，提升審計的效率和洞察力。2.對新興風(fēng)險的關(guān)注：如數(shù)據(jù)安全風(fēng)險、供應(yīng)鏈中斷風(fēng)險、ESG（環(huán)境、社會及治理）相關(guān)風(fēng)險等將更多地納入內(nèi)控審計范疇。3.從合規(guī)導(dǎo)向向價值創(chuàng)造導(dǎo)向轉(zhuǎn)變：審計不僅關(guān)注控制的合規(guī)性，更要關(guān)注控制的效率和效果，通過審計為企業(yè)優(yōu)化流程、降低成本、提升價值提供建議。4.持續(xù)審計與實時監(jiān)控的推廣：借助信息化手段，實現(xiàn)