内部审计 课件 李正第3、4章 内部审计管理、内部控制审计

第三章内部审计管理

学习目标

了解内部审计机构管理了解内部审计质量控制了解内部审计档案管理掌握内部审计人际关系了解内部审计业务外包管理掌握内部审计机构和人员与董事会或最高管理层的关系2本章对应的内部审计准则包括六项（1）《第2301号内部审计具体准则——内部审计机构的管理》（2）《第2308号内部审计具体准则——审计档案工作》（3）《第2306号内部审计具体准则——内部审计质量控制》（4）《第2309号内部审计具体准则——内部审计业务外包管理》（5）《第2302号内部审计具体准则——与董事会或者最高管理层的关系》（6）《第2305号内部审计具体准则——人际关系》3良好的内部审计不仅需要内部审计业务与技术，也需要内部审计管理。内部审计管理包括对内部审计机构的管理、对内部审计档案的管理、对内部审计质量的控制、对内部审计业务外包的管理、对人际关系的协调、内部审计机构处理好与董事会或最高管理层的关系等六项内容。4第一节内部审计机构管理一、内部审计机构管理在公司层面的内容（一）内部审计机构管理的概念内部审计机构的管理，是指内部审计机构对内部审计人员和内部审计活动实施的计划、组织、领导、控制和协调工作。5（二）内部审计机构的管理的目的

1、实现内部审计目标。2、促使内部审计资源得到充分和有效的利用。

3、提高内部审计质量，更好地履行内部审计职责。4、促使内部审计活动符合内部审计准则的要求。6（三）内部审计机构的领导体制1、董事会或者最高管理层领导内部审计机构2、内部审计机构负责人的职责7（四）内部审计章程

1、内部审计章程的内容（1）内部审计目标；（2）内部审计机构的职责和权限；（3）内部审计范围；（4）内部审计标准；（5）其他需要明确的事项。82、内部审计章程的作用内部审计章程明确了内部审计机构与董事会或者最高管理层的关系，界定了内部审计机构与被审计单位职责权限的基础，是组织关于内部审计的纲领性文件，制订内部审计章程是内部审计机构管理的首要工作之一，是整个内部审计工作的基础。9（五）内部审计机构的管理模式内部审计机构应当建立合理、有效的组织结构，多层级组织的内部审计机构可以实行集中管理或者分级管理。1、集中管理实行集中管理的内部审计机构可以对下级组织实行内部审计派驻制或者委派制。2、分级管理审计部门根据公司的发展规划，逐步建立多层次、多功能的内部审计体系。10二、内部审计机构管理在部门层面的内容

内部审计机构管理在部门层面的内容包括部门管理和项目管理两项内容。（一）部门管理主要包括内部审计机构运行过程中的一般性行政管理。（二）项目管理主要包括内部审计机构对审计项目业务工作的管理与控制。11（一）部门管理的内容

1、审计计划年度审计计划是内部审计部门管理的重要手段，是内部审计机构对下一个年度的审计任务的整体安排，因此，内部审计机构负责人需要全盘考虑组织风险、管理的需要、内部审计资源，同时还要有一定灵活性，满足未预见到的要求。122、人力资源

（1）内部审计人员的聘用。（2）内部审计人员的培训。（3）内部审计人员的工作任务安排。（4）内部审计人员专业胜任能力分析。（5）内部审计人员的业绩考核与激励机制。133、财务预算

财务预算是完成内部审计任务的资源保证，编制财务预算应当考虑人力资源因素和业务因素。人力资源因素包括内部审计人员数量、专业胜任能力；业务因素包括内部审计工作的安排、内部审计机构的行政管理费用、内部审计人员的教育和培训要求、内部审计工作的研究和发展等。144、组织协调

（1）内部审计机构和内部审计人员应当在组织董事会或者最高管理层的支持和监督下，做好与组织其他机构和外部审计的协调工作。（2）内部审计机构应当接受组织董事会或者最高管理层的领导和监督，在日常工作中保持有效的沟通，向其定期提交工作报告，适时提交审计报告。155、审计质量

内部审计机构应当制定内部审计质量控制制度，通过实施督导、分级复核、审计质量内部评估、接受审计质量外部评估等，保证审计质量。（1）督导。内部审计机构负责人、审计项目负责人对实施审计工作的内部审计人员所进行的监督和指导。165、审计质量（2）分级复核。开展审计项目时，不同级别的审计人员对有关内部审计事项进行的复核。（3）审计质量内部评估。（4）审计质量外部评估。由组织外部独立第三方对内部审计管理和实施情况进行检查和评价的活动。176、内部审计工作手册

内部审计机构应当编写内部审计底稿模板、底稿索引标准、内部审计报告模板及内部审计工作手册，由内部审计部门负责人批准。（1）内部审计机构的目标、权限和职责的说明；（2）内部审计机构的组织、管理及工作说明；（3）内部审计机构的岗位设置及岗位职责说明；186、内部审计工作手册（4）主要审计工作流程；（5）内部审计质量控制制度、程序和方法；（6）内部审计人员职业道德规范和奖惩措施；（7）内部审计工作中应当注意的事项。19（二）项目管理的内容

内部审计机构应当根据年度审计计划确定的审计项目，编制项目审计方案并组织实施，在实施过程中做好审计项目管理与控制工作。201、在审计项目管理过程中，内部审计机构负责人在项目管理中应当履行下列职责（1）选派审计项目负责人并对其进行有效的授权。（2）审定项目审计方案。（3）督导审计项目的实施。（4）协调、沟通审计过程中发现的重大问题。（5）审定审计报告。审计报告是审计工作的最终成果。（6）督促被审计单位对审计发现问题的整改。212、在项目管理中，审计项目负责人应当履行的职责包括下列方面（1）编制项目审计方案。确定项目的审计目标和范围、审计内容和重点、审计程序和方法、审计组成员、审计起止日期等。（2）组织审计项目的实施。（3）对项目审计工作进行现场督导。（4）向内部审计机构负责人及时汇报审计进展及重大审计发现。（5）组织编制审计报告。（6）组织实施后续审计。223、内部审计机构可以采取下列辅助管理工具（1）审计工作授权表。审计工作授权表反映了审计时间、审计资源的分配情况，主要用于内部审计机构负责人下达审计工作任务。（2）审计任务清单。审计任务清单反映了审计项目执行中的工作细节内容的清单，一般由审计项目负责人编制。内容包括每日工作安排、每周工作安排等内容。233、内部审计机构可以采取下列辅助管理工具（3）审计工作底稿检查表。审计项目负责人告知审计组成员，对审计工作底稿进行修改的说明性清单，也称为“检查要点表”，“要点”是指审计项目负责人在表中提请审计组成员注意的内容。审计工作底稿检查表是非正式的文件。（4）审计文书跟踪表。审计文书跟踪表要求相关人员在收到文书后，列明本人收到文书的时间和各自的意见，例如，同意、修改、不同意。244、内部审计机构应当建立审计项目档案管理制度4、内部审计机构应当建立审计项目档案管理制度，加强审计工作底稿的归档、保管、查询、复制、移交和销毁等环节的管理工作，妥善保存审计档案25第二节内部审计质量控制

一、概念和目标内部审计质量控制，是指内部审计机构为了保证其审计质量符合内部审计准则的要求而制定和执行的制度、程序和方法。

内部审计质量控制主要包括下列目标：（一）保证内部审计活动遵循内部审计准则和本组织内部审计工作手册的要求。（二）保证内部审计活动的效率和效果达到既定要求。（三）保证内部审计活动能够增加组织的价值，促进组织实现目标。26二、内部审计质量控制的领导者

（一）内部审计项目负责人对审计项目质量负责。（二）内部审计机构负责人和审计项目负责人通过督导、分级复核、质量评估等方式对内部审计质量进行控制。27三、内部审计质量控制的分类

（一）内部审计机构质量控制1.内部审计机构质量控制需要考虑下列因素：（1）内部审计机构的组织形式及授权状况。（2）内部审计人员的素质与专业结构。（3）内部审计业务的范围与特点。内部审计的业务范围越大，内容越复杂，审计风险越大，则内部审计质量控制的难度就越大。（4）成本效益原则的要求。282.内部审计机构质量控制主要包括下列措施

（1）确保内部审计人员遵守职业道德规范。（2）保持并不断提升内部审计人员的专业胜任能力。（3）依据内部审计准则制定内部审计工作手册。（4）编制年度审计计划及项目审计方案。292.内部审计机构质量控制主要包括下列措施

（5）合理配置内部审计资源。（6）建立审计项目督导和复核机制。（7）开展审计质量评估。（8）评估审计报告的使用效果。

（9）对审计质量进行考核与评价。30（二）内部审计项目质量控制

1.

内部审计项目质量控制应当考虑下列因素（1）审计项目的性质及复杂程度。（2）参与项目审计的内部审计人员的专业胜任能力。2.内部审计项目质量控制主要包括下列措施（1）指导内部审计人员执行项目审计方案。（2）监督审计实施过程。（3）检查已实施的审计工作。313.内部审计项目负责人在指导内部审计人员开展项目审计时，应当告知项目组成员下列事项：（1）项目组成员各自的责任。（2）被审计项目或者业务的性质。（3）与风险相关的事项。（4）可能出现的问题。324.内部审计项目负责人监督内部审计实施过程时，应当履行下列职责：（1）追踪业务的过程。（2）解决审计过程中出现的重大问题，根据需要修改原项目审计方案。（3）识别在审计过程中需要咨询的事项。335.内部审计项目负责人在检查已实施的审计工作时，应当关注下列内容：（1）审计工作是否已按照审计准则和职业道德规范的规定执行。（2）审计证据是否相关、可靠和充分。（3）审计工作是否实现了审计目标。34第三节内部审计人际关系一、内部审计人际关系的概念、目的（一）概念人际关系，是指内部审计人员与组织内外相关机构和人员之间的相互交往与联系。35第三节内部审计人际关系（二）内部审计人员在从事内部审计活动中，需要与下列机构和人员建立人际关系：

1.组织适当管理层和相关人员。2.被审计单位和相关人员。3.组织内部各职能部门和相关人员。4.组织外部相关机构和人员。5.内部审计机构中的其他成员。36二、建立良好的人际关系的目的

1.在内部审计工作中与相关机构和人员建立相互信任的关系，促进彼此的交流与沟通。2.在内部审计工作中取得相关机构和人员的理解和配合，及时获得相关、可靠和充分的信息，提高内部审计效率。3.保证内部审计意见得到有效落实，实现内部审计目标。37三、内部审计人际关系的基本原则

1.内部审计人员应当具备建立良好人际关系的意识和能力。2.内部审计人员在人际关系的处理中应当注意保持独立性和客观性。3.

内部审计人员应当在遵循有关法律、法规的情况下灵活、妥善地处理人际关系。4.内部审计机构负责人应当定期对内部审计人员的人际关系进行评价，并根据评价结果及时采取措施改进人际关系。38四、处理人际关系的方式和方法

内部审计人员在处理人际关系时，应当主动、及时、有效地进行沟通，以保证信息的快捷传递和充分交流。

（一）内部审计人员处理人际关系时采用的沟通类型包括：

1.人员沟通，即内部审计人员与相关人员之间的沟通。（1）倾听：内部审计人员接收外部信息的一种主要形式。对倾听产生障碍的因素包括：先入为主的偏见；不分巨细和重点；试图记录每一个信息；情绪干扰等。39（2）语言沟通：以语言进行沟通，包括口头语言交流和书面语言交流。语言沟通是内部审计人员处理人际关系时采用的主要沟通方式。（3）非语言沟通：通过形体、表情、其他非语言信号进行交流的过程。例如，内部审计人员表情严肃、语气生硬，就不利于沟通。2.组织沟通，即内部审计机构在特定组织环境下的沟通，主要包括与上下级部门之间的信息交流，与组织内各平行部门之间的信息交流，信息在非平行、非隶属部门之间的交流。

40（二）内部审计人员人际关系冲突的原因主要包括1．缺乏必要、及时的信息沟通。2.对同一事物的认识存在分歧，导致不同的评价。3.各自的价值观、利益观不一致。“个人利益至上”的人与“毫不利己专门利人”就是两个极端的价值观，这两种人在一起工作，可能会产生人际关系冲突。4.职业道德信念的差异。41（三）内部审计人员应当及时、妥善地化解人际冲突，可以采取的方法主要包括：1.暂时回避，寻找适当的时机再进行协调。2.说服、劝导。因为内部审计人员与被审计单位人员价值观不一致而产生冲突，内部审计人员要站在组织利益的角度进行说服和劝导。3.适当的妥协。4.互相协作。5.向适当管理层报告，寻求协调。42（四）与组织适当管理层进行沟通的途径

1.与组织适当管理层就审计计划进行沟通，以达成共识。2.咨询组织适当管理层，了解内部控制环境。3.根据审计发现的问题和作出的审计评价，及时向组织适当管理层提出审计意见和建议。4.内部审计人员出具书面审计报告之前，利用各种沟通方式征求组织适当管理层对审计结论、意见和建议的意见，及时让管理层了解审计过程中发现的问题，有利于管理层支持审计意见，督促被审计单位整改。43（五）内部审计人员应当与被审计单位建立并保持良好的人际关系的途径1.在了解被审计单位基本情况时，应当进行及时、有效的沟通和协调。2.通过询问、会谈、会议、问卷调查等沟通方式，了解被审计单位业务活动、内部控制和风险管理的情况，尤其是某些专业领域，内部审计人员更要谦虚谨慎。

3.通过口头方式或者其他非正式方式，与被审计单位交流审计中发现的问题，有助于缓解被审计单位相关人员的紧张和顾虑，提供更加全面、深入的信息。4.在审计报告提交之前，以书面方式与被审计单位进行结果沟通。

44（六）内部审计人员应当与组织内其他职能部门建立并保持良好的人际关系的意义1.了解组织及相关职能部门的情况。2.寻求审计中发现问题的解决方法。3.落实审计结论、意见和建议需要多个职能部门协作，因此，与这些职能部门保持良好的人际关系，有利于落实审计结论、意见和建议。

4.有效利用审计成果。45第四节与董事会或者最高管理层的关系

概念与董事会或者最高管理层的关系，是指内部审计机构因其隶属于董事会或者最高管理层所形成的接受其领导并向其报告的组织关系。内部审计机构与董事会或者最高管理层之间的领导和被领导、报告与接收报告的关系。内部审计机构应当接受董事会或者最高管理层的领导，保持与董事会或最高管理层的良好关系，实现董事会、最高管理层与内部审计在组织治理中的协同作用。46一、董事会、高级经理层对内部审计机构的领导关系（一）报请董事会或者最高管理层批准审计工作事项（二）接受并完成董事会或者最高管理层的业务委派47（一）报请董事会或者最高管理层批准审计工作事项例如：内部审计章程年度审计计划人力资源计划财务预算内部审计政策的制定和变动48（二）接受并完成董事会或者最高管理层的业务委派1、进行舞弊检查2、实施专项审计3、开展经济责任审计4、评价社会审计组织的工作质量49二、内部审计机构向董事会或者最高管理层报告的内容（一）提交审计报告内部审计机构应当及时向董事会或者最高管理层提交审计报告，审计报告应当清晰反映审计发现的重要问题、审计结论、意见和建议。50二、内部审计机构向董事会或者最高管理层报告的内容内部审计机构应当与董事会或者最高管理层保持有效的沟通，除向董事会或者最高管理层提交审计报告之外，还应当定期提交工作报告，一般每年至少一次。（二）内部审计机构的工作报告应当概括、清晰地说明内部审计工作的开展以及内部审计资源的使用情况，主要包括下列内容：1、年度审计计划的执行情况，包括年度审计计划是否顺利完成，无法完成的某些项目的具体原因等。51（二）内部审计机构的工作报告主要包括下列内容2、审计项目涉及范围及审计意见的总括说明，包括在工作报告所涵盖的期间内，内部审计业务涉及哪些方面的业务活动、内部控制、风险管理，审计结果如何等。3、对组织业务活动、内部控制和风险管理的总体评价。4、审计中发现的差异和缺陷的汇总及其原因分析，内部审计人员采取表格、图形等方式汇总差异和缺陷，说明产生差异和缺陷的原因，改进的措施等内容。52（二）内部审计机构的工作报告主要包括下列内容5、审计发现的重要问题和建议，提请董事会或者最高管理层给予关注。6、财务预算的执行情况，预算是否不足，原因如何等。7、人力资源计划的执行情况，包括内部审计人员的招聘、晋升、培训等方面的情况。人力资源计划执行中出现的重大偏差及原因做出说明，并提出改进措施。8、内部审计工作的效率和效果，内部审计质量控制形式包括内部评估和外部评估，评估内容包括对内部审计工作效率和效果的评价。53三、日常工作中，内部审计机构还应当与董事会或者最高管理层就下列事项进行交流1、董事会或者最高管理层关注的领域，例如，某些经营效率和效果低的领域、某些舞弊高发的领域、某些业务活动重大变更的领域等。2、内部审计活动满足董事会或者最高管理层信息需求的程度。3、内部审计的新趋势和最佳实务。4、内部审计与外部审计之间的协调。54第五节

内部审计业务外包管理

一、内部审计外包的概述（一）内部审计外包的定义内部审计业务外包管理，是指组织及其内部审计机构将业务委托给本组织外部具有一定资质的中介机构，而实施的相关管理活动。（二）除涉密事项外，内部审计机构可以根据具体情况，考虑下列因素，对内部审计业务实施外包。（三）内部审计业务外包通常包括业务全部外包和业务部分外包两种形式。55一、内部审计外包的概述

（四）内部审计业务外包管理的关键环节一般包括：选择中介机构、签订业务外包合同（业务约定书）、审计项目外包的质量控制、评价中介机构的工作质量等。内部审计机构应当对中介机构开展的受托业务进行指导、监督、检查和评价，并对采用的审计结果负责。56二、选择中介机构内部审计机构应当根据外包业务的要求，通过一定的方式，按照一定的标准，遴选一定数量的中介机构，建立中介机构备选库。（一）内部审计机构确定纳入备选库的中介机构时，应当重点考虑以下条件：1.依法设立，合法经营，无违法、违规记录；2.具备国家承认的相应专业资质；3.从业人员具备相应的专业胜任能力；4.拥有良好的职业声誉。57二、选择中介机构（二）内部审计机构选择中介机构的形式内部审计机构可以根据审计项目需要和实际情况，提出对选择中介机构的具体要求。相关部门按照公开、公正、公平的原则，采取公开招标、邀请招标、询价、定向谈判等形式，确定具体实施审计项目的中介机构。58三、签订业务外包合同（业务约定书）（一）法律因素（二）组织应当与选择确定的中介机构签订书面的业务外包合同（业务约定书），主要内容应当包括：1.工作目标；2.工作内容；3.工作质量要求；4.成果形式和提交时间；59业务外包合同（业务约定书），主要内容应当包括：5.报酬及支付方式；6.双方的权利与义务；7.违约责任和争议解决方式；8.保密事项；9.双方的签字盖章。60四、审计项目外包的质量控制

（一）审计项目外包质量控制的基本要求（二）中介机构未能全面有效履行外包合同规定的义务，有下列情形之一的，内部审计机构可以向组织建议终止合同，拒付或酌情扣减审计费用61五、评价中介机构的工作质量

内部审计机构可以针对具体的审计项目对中介机构的工作质量进行评价，也可以针对中介机构一定时期的工作质量进行总体评价。（一）内部审计机构对中介机构工作质量的评价，一般包括：1.履行业务外包合同（业务约定书）承诺的情况；2.审计项目的质量；3.专业胜任能力和职业道德；4.归档资料的完整性；62（二）内部审计机构可以采用定性、定量或者定性定量相结合的方式对中介机构的工作质量进行评价。组织及其内部审计机构应当把对中介机构工作质量评价的结果，作为建立中介机构备选库、选择和确定中介机构的重要参考。中介机构违背业务外包合同（业务约定书）的，内部审计机构应当根据评价结果，依照合同约定，向组织建议追究中介机构的违约责任。63第六节内部审计档案一、内部审计档案的概念审计档案，是指内部审计机构和内部审计人员在审计项目实施过程中形成的、具有保存价值的历史记录。内部审计人员在审计项目实施结束后，应当及时收集审计档案材料，按照立卷原则和方法进行归类整理、编目装订、组合成卷和定期归档。64二、审计档案工作的一般原则（1）内部审计人员在审计项目实施结束后，应当及时收集审计档案材料，按照立卷原则和方法进行归类整理、编目装订、组合成卷和定期归档。（2）内部审计人员立卷时，应当遵循按性质分类、按单元排列、按项目组卷原则。65二、审计档案工作的一般原则（3）内部审计人员应当坚持谁审计、谁立卷的原则，做到审结卷成、定期归档。（4）内部审计人员应当按审计项目立卷，不同审计项目不得合并立卷。跨年度的审计项目，在审计终结的年度立卷。（5）审计档案质量的基本要求是：审计档案材料应当真实、完整、有效、规范，并做到遵循档案材料的形成规律和特点，保持档案材料之间的有机联系，区别档案材料的重要程度，便于保管和利用。66二、审计档案工作的一般原则（6）内部审计机构应当建立审计档案工作管理制度，明确规定审计档案管理人员的要求和责任。（7）内部审计项目负责人应当对审计档案的质量负主要责任。67三、内部审计档案的范围与排列内部审计人员应当及时收集在审计项目实施过程中直接形成的文件材料和与审计项目有关的其他审计档案材料。内部审计人员应当根据审计档案材料的保存价值和相互之间的关联度，以审计报告相关内容的需要为标准，整理鉴别和选用需要立卷的审计档案材料，并归集形成审计档案。68（一）审计档案材料主要包括以下几类：

1.立项类材料：审计委托书、审计通知书、审前调查记录、项目审计方案等；2.证明类材料：审计承诺书、审计工作底稿及相应的审计取证单、审计证据等；3.结论类材料：审计报告、审计报告征求意见单、被审计对象的反馈意见等；4.备查类材料：审计项目回访单、被审计对象整改反馈意见、与审计项目联系紧密且不属于前三类的其他材料等。69（二）审计档案材料应当按下列四个单元排列：

1.结论类材料，按逆审计程序、结合其重要程度予以排列；2.证明类材料，按与项目审计方案所列审计事项对应的顺序、结合其重要程度予以排列；3.立项类材料，按形成的时间顺序、结合其重要程度予以排列；4.备查类材料，按形成的时间顺序、结合其重要程度予以排列。70（三）审计档案内每组材料之间的排列要求：

1.正件在前，附件在后；2.定稿在前，修改稿在后；3.批复在前，请示在后；4.批示在前，报告在后；5.重要文件在前，次要文件在后；6.汇总性文件在前，原始性文件在后。71四、纸质审计档案的编目、装订与移交

（一）纸质审计档案主要包括下列要素：1.案卷封面；2.卷内材料目录；3.卷内材料；4.案卷备考表。72（二）纸质审计档案的装订应当符合下列要求：

1.拆除卷内材料上的金属物；2.破损和褪色的材料应当修补或复制；3.卷内材料装订部分过窄或有文字的，用纸加宽装订；4.卷内材料字迹难以辨认的，应附抄件加以说明；5.卷内材料一般不超过200页装订。73（三）纸质审计档案的移交要求内部审计人员（立卷人）完成归类整理，经项目负责人审核、档案管理人员检查后，按规定进行编目和归档，向组织内部档案管理部门（以下简称档案管理部门）办理移交手续。74五、电子审计档案的建立、移交与接收

内部审计机构在条件允许的情况下，可以为审计项目建立电子审计档案。内部审计机构应当确保电子审计档案的真实、完整、可用和安全。75（一）电子审计档案主要包括以下内容：

1.用文字处理技术形成的文字型电子文件；2.用扫描仪、数码相机等设备获得的图像电子文件；3.用视频或多媒体设备获得的多媒体电子文件；4.用音频设备获得的声音电子文件；5.其他电子文件。76（二）电子审计档案的移交手续符合以下基本要求（1）元数据应当与电子审计档案一起移交，一般采用基于XML的封装方式组织档案数据。（2）电子审计档案的文件有相应纸质、缩微制品等载体的，应当在元数据中著录相关信息。（3）采用技术手段加密的电子审计档案应当解密后移交，压缩的电子审计档案应当解压缩后移交；特殊格式的电子审计档案应当与其读取平台一起移交。77（二）电子审计档案的移交手续符合以下基本要求（4）内部审计机构应当将已移交的电子审计档案在本部门至少保存5年，其中的涉密信息必须符合保密存储要求。

（5）电子审计档案移交的主要流程包括：组织和迁移转换电子审计档案数据、检验电子审计档案数据和移交电子审计档案数据等步骤。78（二）电子审计档案的移交手续符合以下基本要求（6）电子审计档案的移交可采用离线或在线方式进行。离线方式是指内部审计机构一般采用光盘移交电子审计档案；在线方式是指内部审计机构通过与管理要求相适应的网络传输电子审计档案。79（三）电子审计档案的接收档案管理部门可以建立电子审计档案接收平台，进行电子审计档案数据的接收、检验、迁移、转换、存储等工作。电子审计档案检验合格后办理交接手续，由交接双方签字；也可采用电子形式并以电子签名方式予以确认。80六、审计档案的保管和利用

（一）审计档案的保管审计档案应当归组织所有，一般情况下，由档案管理部门负责保管，档案管理部门应当安排对审计档案业务熟悉的人员对接收的纸质和电子审计档案进行必要的检查。归档与纸质文件相同的电子文件时，应当在彼此之间建立准确、可靠的标识关系，并注明含义、保持一致。81（二）审计档案的利用内部审计机构应当建立健全审计档案利用制度。借阅审计档案，一般限定在内部审计机构内部。内部审计机构以外或组织以外的单位查阅或者要求出具审计档案证明的，必须经内部审计机构负责人或者组织的主管领导批准，国家有关部门依法进行查阅的除外。82（二）审计档案的利用

损毁、丢失、涂改、伪造、出卖、转卖、擅自提供审计档案的，由组织依照有关规定追究相关人员的责任；构成犯罪的，移送司法机关依法追究刑事责任。83本章小结内部审计管理包括如下六项内容：内部审计机构管理、内部审计质量控制、内部审计人际关系、与董事会或者最高管理层的关系、内部审计业务外包管理、内部审计档案；分别对应着机构管理、质量管理、人员管理、高层关系、外包管理、档案管理。在上述六项管理活动中，内部审计机构负责人的职责广泛，在六项领域中都涉及内部审计机构负责人的审查和授权批准。除了内部审计机构负责人发挥的重要作用之外，内部审计部门也需要进行团队建设、制度建设、质量建设等工作，才能发挥内部审计在公司治理中的“四大基石”之一的作用。84第四章内部控制审计

目录第一节内部控制审计概述第二节内部审计部门针对内部控制五要素的审计第三节内部控制审计的具体程序与方法第四节内部控制缺陷的认定第五节内部控制审计报告86本章涉及的准则本章内容涉及的内部审计准则是《第2201号内部审计具体准则——内部控制审计》。87（一）两种“内部控制审计”

内部控制审计，由于实施主体的不同，分为如下两种情况：（1）会计师事务所实施的内部控制审计，是指会计师事务所接受委托,对特定基准日被审计单位内部控制设计与运行的有效性进行审计。（2）内部审计部门实施的内部控制审计，是指内部审计机构对组织内部控制的设计和运行的有效性进行的审查和评价话动。第一节

内部控制审计概述一、内部控制审计的概念88内部控制有效性是指组织建立和实施内部控制对实现内部控制目标提供合理保证的程度,设计有效性和运行有效性是内部控制有效性的两个方面。内部控制设计有效性是指为实现控制目标所必需的内部控制要素存在并且设计恰当,其判断标准在于所设计的内部控制是否能为内部控制目标的实现提供合理保证。内部控制运行的有效性是指设计有效的内部控制,按照规定程序得到正确执行。如果审计发现，内部控制设计是无效的,那么,即使内部控制按照该设计得到了执行，也不能确认为其运行是有效的。如果内部控制的设计是有效的,但没有按照设计的程序执行,那么，内部控制也不符合运行有效性的结论。第一节

内部控制审计概述一、内部控制审计的概念89会计师事务所实施的内部控制审计与内部审计部门实施的内部控制审计之间的差异90（二）企业内部控制评价与企业内部审计部门实施的内部控制审计之间的差异与联系除了需要区分注册会计师执行的内部控制审计、内部审计部门执行的内部控制审计之外，还需要与企业内部控制评价进行恰当的区分。《企业内部控制评价指引》第二条规定，企业内部控制评价是指企业董事会或类似权力机构对内部控制有效性进行全面评价、形成评价结论、出具评价报告的过程。企业内部控制评价与企业内部审计部门实施的内部控制审计之间的差异，见P88,表4-2所示。

第一节

内部控制审计概述一、内部控制审计的概念91（二）企业内部控制评价与企业内部审计部门实施的内部控制审计之间的联系企业内部控制评价与企业内部审计部门实施的内部控制审计之间的相同点，如表4-3所示。

第一节

内部控制审计概述一、内部控制审计的概念92内部控制相关责任的划分如下：（1）董事会及管理层的责任是建立、健全内部控制并使之有效运行。（2）内部审计部门的责任是对内部控制设计和运行的有效性进行审查和评价，出具客观、公正的审计报告,促进组织改善内部控制及风险管理。（3）董事会对内部控制评价承担最终的责任。董事会应当对内部控制评价报告的真实性负责。董事会可以通过审计委员会来承担对内部控制评价的组织、领导、监督职责。（4）监事会通过审计内部控制评价报告，对董事会建立与实施内部控制的效果进行监督。

第一节

内部控制审计概述二、内部控制相关责任的划分93内部控制相关责任的划分如下：（1）董事会及管理层的责任是建立、健全内部控制并使之有效运行。（2）内部审计部门的责任是对内部控制设计和运行的有效性进行审查和评价，出具客观、公正的审计报告,促进组织改善内部控制及风险管理。（3）董事会对内部控制评价承担最终的责任。董事会应当对内部控制评价报告的真实性负责。董事会可以通过审计委员会来承担对内部控制评价的组织、领导、监督职责。（4）监事会通过审计内部控制评价报告，对董事会建立与实施内部控制的效果进行监督。

第一节

内部控制审计概述二、内部控制相关责任的划分94内部控制相关责任的划分如下：（5）内部控制评价部门根据授权承担内部控制评价的具体组织实施任务。（6）组织内部各业务部门应负责组织本部门的内部控制自查、测试和评价工作，对发现的内部控制设计和运行缺陷提出整改方案并积极整改。（7）企业所属单位应逐级落实内部控制评价责任，配合内部控制评价部门开展内控自查、测试和评价，发现问题并拟订整改方案，报本级管理层审定后，积极整改。

第一节

内部控制审计概述二、内部控制相关责任的划分95（一）内部控制审计应根据风险发生的可能性及影响程度确定审计的范围和重点内部控制审计应当以风险评估为基础,根据风险发生的可能性和对组织单个或者整体控制目标造成的影响程度，确定审计的范围和重点。（1）当发现某一个事件带来的风险对组织的影响非常重大，但组织的应对风险措施非常脆弱时，就不应做传统的审计，而应改做咨询，帮助组织设计出更好的控制方式，降低风险的重要性和脆弱程度。（2）当发现组织的风险应对措施不是非常脆弱，但是风险的影响会非常大时，内部审计部门可以提供确认服务，确认风险管理确实有效，确实发挥了作用。

第一节

内部控制审计概述三、内部控制审计的关注重点96（一）内部控制审计应根据风险发生的可能性及影响程度确定审计的范围和重点（3）当发现组织的风险应对措施不是很脆弱，而且风险的影响也非常小时，可以考虑重新分配资源，因为对于这个事件可能产生的影响来说，做内部审计的迫切性不大。（4）当发现组织针对风险的控制手段、管理措施很脆弱，但风险带来的影响非常小时要考虑风险是否积累，内部控制部门应当考虑如何缓冲风险。第一节

内部控制审计概述三、内部控制审计的关注重点97（二）合规性合规性是内部控制的五个目标之一。根据内部审计的定义，内部审计的范围包括内部控制、风险管理、业务活动。就合规性来看,内部审计人员应当熟悉与合规相关的如下网站。（1）政策类:习近平系列讲话数据库(人民网)、中国政府网政策数据库、国资委政策库。（2）法律、法规类:国家发改委法律法规库、中央纪委国家监委法规库、审计署法律规库、中国法律服务网、中国普法网(司法部主办)等。第一节

内部控制审计概述三、内部控制审计的关注重点98（二）合规性（3）信用类:信用中国、拓通综合信用信息查询系统、中国高等教育学生信息网、住房和城乡建设部查询平台(企业和从业人员资质)。（4）知识产权类:中国商标网、中国及多国专利审查信息查询、中国版权保护中心。（5）大宗原料物料价格走势查询:卓创资讯、生意社、钢材价格网、我的钢铁网、商品混凝土网、中国氯碱网。（6）上市公司信息:证监会处罚信息、证监会官方网站、上海证券交易所官方网站、深圳证券交易所官方网站、中国证券投资基金业协会官网。第一节

内部控制审计概述三、内部控制审计的关注重点99（三）内部审计人员应当关注内部控制的局限性带来的风险内部控制局限性带来的风险包括串通舞弊、滥用职权、环境变化和成本效益等内部控制的局限性。具体体现在以下几个方面：（1）串通舞弊可能导致内部控制失效，例如，会计和出纳之间的串通;门卫和废品回收人员串通等。（2）滥用职权可能导致内部控制失效,例如,单位负责人指示员工私刻公章。（3）环境变化。（4）考虑内部控制的成本和效益。第一节

内部控制审计概述三、内部控制审计的关注重点100（四）内部控制审计应当在对内部控制全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域的内部控制（1）重要业务单位，是指独立核算的单位或者业务收入占据较大比重的部门。（2）重大业务事项,是指直接影响组织经营发展的事项。（3）高风险领域，是指比较容易出问题的领域,例如,期货、股票、金融衍生品等。第一节

内部控制审计概述三、内部控制审计的关注重点101（五）内部控制审计应当真实、客观地揭示经营管理的风险状况，如实反映内部控制设计和运行的情况内部审计人员对发现的内部控制缺陷或缺失,要从其对经营管理造成的风险的角度进行揭示,区分内部控制设计是否有效和运行是否有效,进行分析,在审计结论中做出客观反映。客观性是内部审计的灵魂,开展内部控制审计要保证审计过程的科学性和审计结果的客观性,审计结论应当有相关的、可靠的、充分的审计证据支持,做到没有虚假信息、重大遗漏和误导性陈述。第一节

内部控制审计概述三、内部控制审计的关注重点102（六）内部审计人员不要从事内部控制确认、咨询之外的业务内部审计在风险管理中应该提供的确认和咨询服务，但不应该扮演其他角色，例如，不应该成为风险管理的主导者、不应该自己做决定、不应该代表管理层管理风险等。咨询服务，主要是协助管理层设计风险管理流程、评估风险、降低风险、对风险管理效果进行评估，还要对组织是否实现全面风险管理进行评估，包括有没有考虑到长远风险、小概率风险以及从正反两方面考虑风险等。103内部控制审计按其范围划分,分为全面内部控制审计和专项内部控制审计：（一）全面内部控制审计全面内部控制审计,是针对组织所有业务活动的内部控制,包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素所进行的全面审计。（二）专项内部控制审计专项内部控制审计,是针对组织内部控制的某个要素、某项业务活动或者业务活动某些环节,如采购业务、生产过程、存货管理、销售业务、合同管理、工程项目、担保业务等的内部控制所进行的审计。专项内部控制审计往往侧重于控制活动要素。第一节

内部控制审计概述四、内部控制审计的分类104第二节内部审计部门针对内部控制五要素的审计一、内部控制的内部审计的时间和空间内部审计机构可以参考《企业内部控制基本规范》及配套指引的相关规定，根据组织的实际情况和需要,通过审查内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,对组织层面内部控制的设计与运行情况进行审查和评价。105第二节内部审计部门针对内部控制五要素的审计一、内部控制的内部审计的时间和空间确定内部控制审计的内容需要从时间和空间两个角度进行综合考虑。（1）时间范围是指内部控制审计所针对的某一时间段内的内部控制设计和运行情况。（2）空间范围是指整个组织,组织内各个层级、各个部门的内部环境、风险评估、控制活动、信息与沟通、内部监督进行审计。106第二节内部审计部门针对内部控制五要素的审计二、组织层面的内部控制的内部审计和业务层面的内部控制的内部审计（一）组织层面的内部控制的内部审计组织层面的内部控制,是指组织整体的控制,是对组织业务单元均有影响的一系列控制制度和程序。1.对内部环境的内部审计审计内部环境要求要立足本组织的情况。梳理相关的制度、措施，其主要审计关往点包括：（1）组织架构。组织结构的适当性;提供管理活动必要信息流的能力;关键管理者的职责定义以及对自身职责的理解;组织内部报告关系的适当性等。（2）组织战略。董事会是否设立战略委员会或指定相关机构负责发展战略管理工作；制定发展目标的过程是否科学严谨等。107第二节内部审计部门针对内部控制五要素的审计二、组织层面的内部控制的内部审计和业务层面的内部控制的内部审计（一）组织层面的内部控制的内部审计1.对内部环境的内部审计（3）人力资源。员工招聘、晋升、培训、薪酬等政策的恰当性;是否存在行为准则冲突和利益冲突;伦理方面的道德标准是否得到有效执行等。（4）社会责任。组织的社会责任政策是否恰当;社会责任政策是否在相应部门得到落实。（5）组织文化。组织文化的相关政策是否恰当;组织文化是否得到有效执行;对于违反组织文化的行为是否采取措施。108第二节内部审计部门针对内部控制五要素的审计二、组织层面的内部控制的内部审计和业务层面的内部控制的内部审计（一）组织层面的内部控制的内部审计2.对风险评估的内部审计内部审计人员开展风险评估要素审计时,应当以《企业内部控制基本规范》有关风险评估的要求，以及各项应用指引中所列主要风险为依据,结合本组织的内部控制,对日常经营管理过程中的风险识别、风险分析、应对策略等进行审查和评价。其主要审计关注点包括:（1）风险管理的组织架构。检查风险管理机构的设置,是否设立专职部门或者确定相关职能部门履行风险管理的职责。（2）识别风险。确认被审计单位识别内部风险、外部风险的程序是否建立。109第二节内部审计部门针对内部控制五要素的审计二、组织层面的内部控制的内部审计和业务层面的内部控制的内部审计（一）组织层面的内部控制的内部审计2.对风险评估的内部审计（3）评估风险。检查内部风险、外部风险的评估的书面程序是否科学。（4）应对风险。检查组织制定风险应对策略的情况,例如,风险规避、降低、转移、接受的机制。（5）针对风险的控制活动和监督机制。检查和评价组织的针对风险的控制活动、监督机制的制度是否完善;相关制度的执行情况。110第二节内部审计部门针对内部控制五要素的审计二、组织层面的内部控制的内部审计和业务层面的内部控制的内部审计（一）组织层面的内部控制的内部审计3.对控制活动的内部审计控制活动是组织为了保障管理层的指令有效实施而建立的政策和程序,包括不相容职务相分离控制、授权审批控制、预算控制、绩效考评控制、信息技术政策和程序等。审查和评价控制活动关注两个方面：一个是针对每一项业务活动是否都制定了适当的控制政策和程序；二是已经确定的控制政策和程序是否得到了持续、有效的执行。111第二节内部审计部门针对内部控制五要素的审计二、组织层面的内部控制的内部审计和业务层面的内部控制的内部审计（一）组织层面的内部控制的内部审计3.对控制活动的内部审计从组织层面审查和评价控制活动包括:（1）控制活动的类型,包括人工控制和自动控制、预防性控制和发现性控制等。（2）控制活动的复杂性,复杂性与组织结构、经营规模、市场环境、人员素质等有关。（3）控制活动所针对的风险事项及其重要程度。（4）某项控制活动对其他控制活动的依赖程度。112第二节内部审计部门针对内部控制五要素的审计二、组织层面的内部控制的内部审计和业务层面的内部控制的内部审计（一）组织层面的内部控制的内部审计4.对信息与沟通的内部审计信息与沟通,是指及时、准确、完整地收集与组织经营、管理相关的各种信息,并使这些信息以适当的方式在组织内部各有关层级之间有效沟通和正确应用的过程，是实施内部控制的重要条件。113第二节内部审计部门针对内部控制五要素的审计二、组织层面的内部控制的内部审计和业务层面的内部控制的内部审计（一）组织层面的内部控制的内部审计4.对信息与沟通的内部审计其主要审计关注点包括:（1）审查和评价组织的信息是否完整和及时、是否足够满足各层级人员有效履行职责的需要。（2）是否建立了反舞弊机制,董事会或审计委员会监督反舞弊的职能是否明确,是否建立举报投诉制度和举报人保护制度,舞弊举报的接受、调查、处理程序是否健全,发现舞弊线索的汇报与沟通渠道是否畅通。（3）财务报告是否真实公允。（4）信息系统的建立是否基于组织各个层级的目标。114第二节内部审计部门针对内部控制五要素的审计二、组织层面的内部控制的内部审计和业务层面的内部控制的内部审计（一）组织层面的内部控制的内部审计5.对内部监督的内部审计内部监督分为日常监督和专项监督。日常监督是指企业对建立和实施内部控制的情况进行常规、持续的监督检查;专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工发生较大调整或变动的情况下,对内部控制的某一方面或几个方面行有针对性的监督检查。115第二节内部审计部门针对内部控制五要素的审计二、组织层面的内部控制的内部审计和业务层面的内部控制的内部审计（一）组织层面的内部控制的内部审计5.对内部监督的内部审计其主要审计关注点包括:（1）审查和评价内部监督制度是否健全。（2）审查和评价监督岗位的设置和职责权限是否明确。（3）审查和评价日常监督和专项监督是否能够将发现的内部控制缺陷及时进行报告，并且切实落实整改。116第二节内部审计部门针对内部控制五要素的审计二、组织层面的内部控制的内部审计和业务层面的内部控制的内部审计（二）业务层面内部控制的内部审计

内部审计人员根据管理需求和业务活动的特点，可以针对采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、信息系统等，对业务层面内部控制的设计和运行情况进行审查和评价。117第三节

内部控制审计的具体程序与方法一、内部控制审计的程序1.编制项目审计方案项目审计方案的内容包括审计目标、范围、对象、内容、步骤、标准、方法、人员组织、进度安排、资源分配等。编制方案时需要收集有关内部控制制度、经营管理制度、业务操作手册、操作规程等,同时充分利用有关内部控制的监督检查成果,识别风险点。2.组成审计组内部控制审计工作要求审计人员熟悉内部控制专业知识,相关的规章制度、业务流程,内部控制缺陷的认定标准等,因此,组建内部控制审计小组时,应当考虑审计人员的职业道德素养、业务胜任能力,配置具有不同层级、不同专业背景的人员。如果审计人员存在利益冲突，应当进行回避。118第三节

内部控制审计的具体程序与方法一、内部控制审计的程序内部控制缺陷是指管理层或者员工在正常执行指定职能时,无法及时预防或者发现的内部控制问题。认定内部控制缺陷是进行现场审计阶段的一个重要的内容。内部审计人员应当根据控制缺陷对内部控制目标的影响程度进行定性和定量的评估,按照重大缺陷、重要缺陷、一般缺陷加以认定,作为汇总审计结果的基础。4.认定控制缺陷

3.实施现场审查现场审查主要围绕内部控制审计方案的要求,综合运用访谈、问卷调查、实地查验、穿行测试、专题讨论等多种方法,获取审计证据。119第三节

内部控制审计的具体程序与方法一、内部控制审计的程序内部审计小组应当对认定后的缺陷进行汇总,并分析缺陷的形成原因及其造成的影响,以及分析形成内部控制缺陷的主要原因和次要原因、内部原因和外部原因、主观原因和客观原因等。编制审计报告阶段包括审计报告的写作与报批以及审计结果的沟通交流。审计小组汇总审计结果,对现场初步认定的内部控制缺陷进行全面复核,对缺陷形成的原因、风险程度