内部控制与审计作业指导书

内部控制与审计作业指导书TOC\o"1-2"\h\u20532第1章内部控制与审计基础概念 5317381.1内部控制的理念与原则 5149501.1.1内部控制理念 540591.1.2内部控制原则 570401.2审计的定义与类别 5230331.2.1审计定义 5107571.2.2审计类别 5185381.3内部控制与审计的关系 628366第2章内部控制体系构建 6121212.1内部控制体系的要素 6269512.1.1控制环境 6176022.1.2风险评估 6252652.1.3控制活动 6212992.1.4信息与沟通 6205892.1.5监督与评价 690692.2内部控制流程的设计 7260072.2.1明确控制目标 7235662.2.2分析业务流程 7139442.2.3设计控制措施 7204112.2.4制定控制程序 793742.2.5优化控制流程 7136622.3内部控制制度的评价与优化 7165372.3.1评价内部控制制度 7254482.3.2分析评价结果 7303772.3.3优化内部控制制度 7118502.3.4持续改进 717897第3章风险评估与管理 8193213.1风险识别与评估 8321803.1.1风险识别 8260343.1.2风险评估 870023.2风险应对策略 8134153.2.1风险规避 8292843.2.2风险降低 8141933.2.3风险分担 8235333.2.4风险接受 83833.3风险管理体系的构建与运行 9199383.3.1风险管理体系构建 938073.3.2风险管理体系运行 9294第4章信息系统内部控制 9213854.1信息系统内部控制概述 9178984.1.1信息系统内部控制的概念 9170504.1.2信息系统内部控制的目标 9245104.1.3信息系统内部控制的原则 9252564.2信息系统的一般控制 10202554.2.1组织控制 10239434.2.2职责分离控制 10237034.2.3授权和审批控制 10121614.2.4操作控制 1065624.2.5软件开发与维护控制 10309954.2.6数据备份与恢复控制 10281494.3应用系统内部控制 10203834.3.1财务系统内部控制 10153304.3.2采购系统内部控制 1032634.3.3销售系统内部控制 10155944.3.4人力资源系统内部控制 10228064.3.5生产系统内部控制 11326944.3.6库存系统内部控制 11222354.3.7信息系统安全控制 1131506第五章财务报告内部控制 11126475.1财务报告内部控制的重要性 1114495.1.1提高财务报告质量 11170415.1.2降低财务报告错报风险 11165135.1.3保障企业资产安全 11173165.1.4促进企业合规经营 11129485.1.5增强投资者信心 11284545.2财务报告内部控制的要素 1115305.2.1控制环境 11250455.2.1.1管理层的诚信和道德观 1170275.2.1.2董事会与审计委员会的监督 11154855.2.1.3员工的胜任能力与培训 1139375.2.1.4组织结构及职权与责任的明确 11219135.2.2风险评估 12254575.2.2.1财务报告风险的识别 122215.2.2.2风险评估的方法与流程 12231555.2.2.3风险应对策略的制定 12256175.2.3控制活动 12164535.2.3.1交易授权与批准 12194435.2.3.2财务报告编制与披露 12260375.2.3.3资产保护与记录 12186815.2.3.4职能分离与相互监督 1263375.2.4信息与沟通 12233235.2.4.1财务报告信息的收集与传递 12255145.2.4.2内部沟通机制 12279285.2.4.3外部沟通与信息披露 12290965.2.5监督与改进 1289235.2.5.1内部控制评价 12118495.2.5.2审计与审计反馈 12235155.2.5.3内部控制缺陷的整改 1273615.3财务报告内部控制的评价与审计 1245285.3.1财务报告内部控制评价 1237585.3.1.1评价标准与方法 12154215.3.1.2评价范围与频率 12241055.3.1.3评价结果的应用 12286865.3.2财务报告内部控制审计 12115365.3.2.1审计目标与程序 12207135.3.2.2审计证据的收集与评估 12317255.3.2.3审计报告的编制与披露 124185.3.3财务报告内部控制缺陷认定与处理 12156035.3.3.1缺陷等级划分 12173155.3.3.2缺陷整改措施 12276085.3.3.3缺陷整改效果的跟踪与评价 13194185.3.4财务报告内部控制持续改进 13147515.3.4.1改进策略与措施 13163565.3.4.2改进效果的评估与反馈 1350025.3.4.3持续改进机制的建立与完善 139639第6章审计计划与审计程序 13181286.1审计计划的制定 1383886.1.1确定审计目标 13201706.1.2进行风险评估 13298266.1.3确定审计范围 1324796.1.4制定审计策略 13138536.1.5安排审计时间表 13123186.2审计程序的设计 13150216.2.1收集内部控制资料 1335856.2.2分析内部控制有效性 13258386.2.3设计实质性测试程序 13121846.2.4设计符合性测试程序 14232276.2.5制定审计工作底稿 1429756.3审计抽样方法的应用 1499816.3.1确定抽样目标 14153466.3.2选择抽样方法 14133946.3.3确定样本量 1482306.3.4执行抽样调查 14117136.3.5分析抽样结果 14250546.3.6借鉴抽样结果 1432304第7章审计证据与工作底稿 14207197.1审计证据的收集与评价 14113907.1.1审计证据的定义与分类 14321517.1.2审计证据的收集方法 143647.1.3审计证据的评价原则 14269467.1.4审计证据的不足与补充 1535067.2审计工作底稿的编制 15109407.2.1审计工作底稿的作用与要求 1566547.2.2审计工作底稿的编制方法 1522467.2.3审计工作底稿的管理与归档 1560647.3审计报告的撰写 15262067.3.1审计报告的结构与内容 1583227.3.2审计报告的撰写要求 15302687.3.3审计报告的审批与发布 1517547第8章内部控制审计报告 1559768.1内部控制审计报告的内容与格式 1585058.1.1内容 1526698.1.2格式 16207898.2内部控制审计报告的编制 16288948.2.1审计程序 1611058.2.2报告编写 16182738.3内部控制审计报告的发布与跟踪 17184088.3.1发布 17254338.3.2跟踪 172918第9章内部控制缺陷与整改 17286269.1内部控制缺陷的识别与分类 1725019.1.1缺陷识别 1739549.1.2缺陷分类 17185049.2内部控制整改措施的制定与实施 17130249.2.1整改措施的制定 1771009.2.2整改措施的实施 18285259.3整改效果的评估与监控 18289279.3.1整改效果评估 18163919.3.2整改监控 1815019第10章内部控制与审计案例分析 181093710.1典型内部控制案例分析 181358010.1.1案例一：某大型国有企业内部控制改进案例 182234910.1.2案例二：某上市公司内部控制失效案例 193143410.2审计失败案例分析 191837310.2.1案例一：某会计师事务所审计失败案例 193070610.2.2案例二：某跨国公司财务造假审计案例 191068810.3成功内部控制与审计实践案例分享 193027810.3.1案例一：某金融机构内部控制与审计协同案例 191230910.3.2案例二：某高科技企业内部控制与审计创新案例 19536510.3.3案例三：某大型企业内部控制与审计一体化案例 19第1章内部控制与审计基础概念1.1内部控制的理念与原则1.1.1内部控制理念内部控制作为一种管理活动，旨在保障组织目标的实现，提高运营效率，保证财务报告的真实性和合规性。内部控制的核心理念在于通过制度化和规范化的方法，对组织内部各项活动进行有效管理和监督。1.1.2内部控制原则内部控制原则包括以下五个方面：（1）全面性原则：内部控制应涵盖组织内部所有部门和业务环节；（2）系统性原则：内部控制应形成一个相互关联、相互制约的有机整体；（3）制衡性原则：内部控制应在组织内部形成相互制衡的机制，防止权力滥用；（4）适应性原则：内部控制应适应组织的发展阶段、业务特点和外部环境；（5）成本效益原则：内部控制应在保证有效性的前提下，力求降低成本，提高效益。1.2审计的定义与类别1.2.1审计定义审计是一种独立、客观、专业的评价活动，旨在获取有关实体、信息、活动和过程的证据，以评估这些实体、信息、活动和过程是否符合既定的标准或要求。1.2.2审计类别审计主要分为以下几类：（1）财务审计：对组织的财务报告和财务活动进行审查，评估其真实性、合规性和有效性；（2）合规审计：检查组织是否遵循相关法律法规、内部规章制度和合同要求；（3）运营审计：评估组织的运营活动和管理过程，以提高效率、降低风险；（4）信息系统审计：对组织的信息系统进行审查，保证其安全性、可靠性和合规性；（5）环境、社会和治理（ESG）审计：关注组织的环境、社会责任和公司治理状况。1.3内部控制与审计的关系内部控制与审计密切相关，二者相互依赖、相互促进。内部控制是审计的基础。有效的内部控制可以降低审计风险，提高审计效率。审计人员在进行审计工作时，需要对组织的内部控制进行评估，以确定审计重点和审计程序。审计是对内部控制有效性的检验。通过审计，可以发觉内部控制存在的问题，为组织提供改进建议，促进内部控制不断完善。内部控制与审计共同致力于组织目标的实现。内部控制通过规范和监督组织内部各项活动，降低运营风险；审计则通过独立、客观的评估，提供关于组织运营状况的可靠信息，为决策提供依据。二者共同推动组织实现可持续发展。第2章内部控制体系构建2.1内部控制体系的要素内部控制体系是企业实施内部控制的基础，包括以下五个要素：2.1.1控制环境控制环境是企业内部控制的基础，包括管理层对内部控制的重视程度、员工的职业道德和胜任能力、组织结构及职权与责任的分配等。2.1.2风险评估企业应建立风险评估机制，对内部和外部风险进行识别、分析和评价，以保证企业目标的实现。2.1.3控制活动控制活动是指为实现企业目标，对已识别的风险采取相应的措施进行防范和降低的过程。包括业务授权、职责分离、凭证与记录、资产保护、业绩评价等。2.1.4信息与沟通企业应建立有效的信息与沟通机制，保证内部控制相关信息及时、准确地传递至相关部门和员工，以便于企业内部控制的实施。2.1.5监督与评价企业应定期对内部控制体系进行监督与评价，以保证内部控制的有效性，并对发觉的问题及时进行整改。2.2内部控制流程的设计内部控制流程设计是企业根据内部控制要素，结合自身业务特点，制定的一套系统化的内部控制措施。主要包括以下步骤：2.2.1明确控制目标企业应结合发展战略和经营计划，明确内部控制流程的目标，保证流程设计的有效性。2.2.2分析业务流程企业应对现有业务流程进行梳理和分析，找出潜在的风险点，为后续控制措施的设计提供依据。2.2.3设计控制措施根据风险点分析，设计相应的控制措施，包括预防性控制和检查性控制。2.2.4制定控制程序将控制措施转化为具体的操作程序，明确操作步骤、责任人和执行标准。2.2.5优化控制流程对设计好的内部控制流程进行评估和优化，保证流程的简洁、高效和易于执行。2.3内部控制制度的评价与优化企业应定期对内部控制制度进行评价和优化，以适应经营环境的变化和企业发展的需要。2.3.1评价内部控制制度通过内部审计、外部审计、管理层自评等多种方式，对内部控制制度的有效性进行评价。2.3.2分析评价结果对评价过程中发觉的问题进行分析，找出原因，制定相应的改进措施。2.3.3优化内部控制制度根据改进措施，对内部控制制度进行修订和完善，以提高内部控制的有效性和执行力。2.3.4持续改进企业应将内部控制制度的评价与优化作为一项持续性的工作，不断调整和完善，保证内部控制体系始终适应企业的发展需要。第3章风险评估与管理3.1风险识别与评估3.1.1风险识别风险识别是风险评估与管理的基础，旨在全面、系统地识别组织在运营过程中可能面临的风险。风险识别应遵循以下步骤：a)收集相关信息，包括内部和外部资料；b)识别组织各层面、各环节可能存在的风险；c)利用风险清单、流程图等工具，对识别出的风险进行分类和描述；d)定期更新风险清单，保证风险识别的实时性和准确性。3.1.2风险评估风险评估是对识别出的风险进行量化分析，以确定其可能对组织目标产生的影响和可能性。风险评估主要包括以下内容：a)风险概率分析，即评估风险在一定时间内发生的可能性；b)风险影响分析，即评估风险发生后对组织目标产生的影响程度；c)风险等级划分，根据风险概率和影响程度，将风险分为不同等级，以便制定针对性的应对策略。3.2风险应对策略3.2.1风险规避对于高风险且难以控制的风险，采取风险规避策略，即避免从事可能导致风险的活动。3.2.2风险降低对于中等风险，采取风险降低策略，通过制定相应的控制措施，降低风险发生的概率和影响程度。3.2.3风险分担对于可接受的风险，采取风险分担策略，如购买保险、与他人合作等，以分散风险。3.2.4风险接受对于低风险且不影响组织目标实现的风险，可采取风险接受策略，关注风险变化，并在必要时采取措施。3.3风险管理体系的构建与运行3.3.1风险管理体系构建风险管理体系构建应遵循以下原则：a)系统性：保证风险管理涵盖组织所有层面和环节；b)动态性：根据组织内外部环境变化，不断调整和完善风险管理措施；c)适应性：保证风险管理措施与组织发展战略和目标相匹配；d)实效性：保证风险管理措施能够有效降低风险，提高组织运营效率。3.3.2风险管理体系运行风险管理体系运行主要包括以下内容：a)制定风险管理计划，明确风险管理目标、任务、职责和时间表；b)建立风险管理组织，明确风险管理责任人和协调人；c)实施风险管理措施，保证各项措施得到有效执行；d)监控风险管理效果，定期对风险管理体系的运行情况进行评估和改进；e)沟通与交流，及时向组织内外部相关方报告风险管理情况，提高组织风险管理透明度。第4章信息系统内部控制4.1信息系统内部控制概述4.1.1信息系统内部控制的概念信息系统内部控制是指组织在信息系统中，为实现业务流程的有效性和效率、财务报告的可靠性、法律法规的遵循性，以及资产的保护，所采取的一系列规章制度、操作程序和监督措施。4.1.2信息系统内部控制的目标信息系统内部控制的主要目标包括：保证信息系统的安全可靠运行；保障数据的完整性、准确性和及时性；提高业务流程的效率；防范和降低各种风险；保证组织遵守相关法律法规。4.1.3信息系统内部控制的原则信息系统内部控制应遵循以下原则：合法性原则、全面性原则、重要性原则、适时性原则、有效性原则和成本效益原则。4.2信息系统的一般控制4.2.1组织控制明确信息系统的组织架构，合理分配职责和权限，保证信息系统的运行和管理符合组织目标。4.2.2职责分离控制在信息系统中实施职责分离，防止不当操作和舞弊行为，保证数据的安全和准确性。4.2.3授权和审批控制建立严格的授权和审批制度，对信息系统中的关键操作进行控制和监督。4.2.4操作控制制定明确的操作规程，对信息系统的各项操作进行规范，保证业务流程的顺利进行。4.2.5软件开发与维护控制对信息系统的软件开发与维护过程进行严格控制，保证软件质量，降低系统故障风险。4.2.6数据备份与恢复控制建立数据备份和恢复机制，保证信息系统在发生故障时，能够及时恢复数据，保障业务连续性。4.3应用系统内部控制4.3.1财务系统内部控制针对财务系统，实施严格的预算控制、会计控制、出纳控制等，保证财务报告的可靠性。4.3.2采购系统内部控制对采购过程进行规范，实施供应商评估、合同管理、验收付款等控制措施，降低采购风险。4.3.3销售系统内部控制建立销售合同管理、客户信用评估、应收账款管理等内部控制制度，提高销售效率和回款率。4.3.4人力资源系统内部控制规范人力资源管理流程，实施招聘、培训、绩效评估等控制措施，提高员工素质和绩效。4.3.5生产系统内部控制对生产计划、生产过程、产品质量等环节进行控制，保证生产活动的顺利进行。4.3.6库存系统内部控制建立库存管理制度，对库存物品的采购、存储、领用等环节进行控制，降低库存成本。4.3.7信息系统安全控制加强信息系统安全防护，实施网络安全、操作系统安全、应用系统安全等控制措施，保障信息系统安全运行。第五章财务报告内部控制5.1财务报告内部控制的重要性财务报告作为企业经济活动的重要反映，其真实性、准确性和完整性对于投资者、债权人及利益相关方具有重要意义。财务报告内部控制是企业管理层对财务报告编制过程进行有效监管的体系，保证财务报告的可靠性。本节阐述财务报告内部控制的重要性，主要包括以下几个方面：5.1.1提高财务报告质量5.1.2降低财务报告错报风险5.1.3保障企业资产安全5.1.4促进企业合规经营5.1.5增强投资者信心5.2财务报告内部控制的要素财务报告内部控制主要包括以下五个要素：5.2.1控制环境5.2.1.1管理层的诚信和道德观5.2.1.2董事会与审计委员会的监督5.2.1.3员工的胜任能力与培训5.2.1.4组织结构及职权与责任的明确5.2.2风险评估5.2.2.1财务报告风险的识别5.2.2.2风险评估的方法与流程5.2.2.3风险应对策略的制定5.2.3控制活动5.2.3.1交易授权与批准5.2.3.2财务报告编制与披露5.2.3.3资产保护与记录5.2.3.4职能分离与相互监督5.2.4信息与沟通5.2.4.1财务报告信息的收集与传递5.2.4.2内部沟通机制5.2.4.3外部沟通与信息披露5.2.5监督与改进5.2.5.1内部控制评价5.2.5.2审计与审计反馈5.2.5.3内部控制缺陷的整改5.3财务报告内部控制的评价与审计5.3.1财务报告内部控制评价5.3.1.1评价标准与方法5.3.1.2评价范围与频率5.3.1.3评价结果的应用5.3.2财务报告内部控制审计5.3.2.1审计目标与程序5.3.2.2审计证据的收集与评估5.3.2.3审计报告的编制与披露5.3.3财务报告内部控制缺陷认定与处理5.3.3.1缺陷等级划分5.3.3.2缺陷整改措施5.3.3.3缺陷整改效果的跟踪与评价5.3.4财务报告内部控制持续改进5.3.4.1改进策略与措施5.3.4.2改进效果的评估与反馈5.3.4.3持续改进机制的建立与完善第6章审计计划与审计程序6.1审计计划的制定6.1.1确定审计目标审计计划制定的首要步骤是明确审计目标。审计目标应包括对内部控制有效性、财务报告真实性及合规性的评估。6.1.2进行风险评估根据企业业务特点及内部控制状况，对可能存在的风险进行识别和评估，以确定审计重点。6.1.3确定审计范围依据审计目标和风险评估结果，明确审计的时间范围、业务范围及地域范围。6.1.4制定审计策略根据审计目标、风险和范围，制定相应的审计策略，包括审计方法、审计程序及审计资源分配等。6.1.5安排审计时间表合理规划审计工作的时间节点，保证审计工作按计划进行。6.2审计程序的设计6.2.1收集内部控制资料收集企业内部控制制度、流程、操作手册等相关资料，以便了解企业内部控制状况。6.2.2分析内部控制有效性对内部控制的完整性、合理性及执行情况进行评估，分析其有效性。6.2.3设计实质性测试程序依据风险评估结果，设计针对重要账户、重要业务的实质性测试程序，包括检查、复核等。6.2.4设计符合性测试程序针对内部控制制度，设计符合性测试程序，以评估内部控制执行情况。6.2.5制定审计工作底稿记录审计计划、程序、证据和结论等内容，保证审计工作的可追溯性。6.3审计抽样方法的应用6.3.1确定抽样目标根据审计目标和审计程序，明确抽样调查的目标。6.3.2选择抽样方法根据审计对象的特性和抽样目标，选择适当的抽样方法，如随机抽样、分层抽样等。6.3.3确定样本量依据抽样风险和可接受的误差水平，计算确定合理的样本量。6.3.4执行抽样调查按照抽样计划和程序，对选定的样本进行调查、检查和评估。6.3.5分析抽样结果对抽样结果进行分析，评估样本所代表的总体的特征和风险水平。6.3.6借鉴抽样结果根据抽样结果，调整审计程序和审计结论，保证审计意见的准确性和可靠性。第7章审计证据与工作底稿7.1审计证据的收集与评价7.1.1审计证据的定义与分类审计证据是指审计员在进行审计过程中所获取的信息和资料，用以证实被审计单位财务报表的真实性、合规性和有效性。审计证据可分为以下几类：文档证据、口头证据、实物证据和鉴定证据。7.1.2审计证据的收集方法审计证据的收集方法主要包括：查阅相关文件、询问相关人员、观察业务操作和运用专业判断等。7.1.3审计证据的评价原则审计证据的评价应遵循以下原则：合法性、真实性、充分性、可靠性和相关性。7.1.4审计证据的不足与补充当审计证据存在不足时，审计员应采取以下措施进行补充：扩大审计范围、增加审计程序、利用专家工作等。7.2审计工作底稿的编制7.2.1审计工作底稿的作用与要求审计工作底稿是审计员在进行审计工作过程中记录和整理审计证据、分析审计结果的重要工具。审计工作底稿应具备以下要求：内容完整、记录清晰、标识明确、便于查阅。7.2.2审计工作底稿的编制方法审计工作底稿的编制方法包括：制作审计程序表、记录审计证据、整理分析结果和编制审计结论。7.2.3审计工作底稿的管理与归档审计工作底稿应进行严格的管理和归档，保证其安全性、完整性和可追溯性。具体措施包括：建立审计工作底稿管理制度、实行审计工作底稿的审批和签收、定期对审计工作底稿进行归档和保存。7.3审计报告的撰写7.3.1审计报告的结构与内容审计报告应包括以下结构与内容：报告标题、报告日期、审计范围、审计结论、审计意见、重大事项说明等。7.3.2审计报告的撰写要求审计报告的撰写要求如下：语言简练、表述清晰、逻辑严密、依据充分、结论明确。7.3.3审计报告的审批与发布审计报告在撰写完成后，应进行严格的审批程序，保证审计报告的准确性、合规性和权威性。审批通过后，审计报告应及时发布给相关单位和人员。第8章内部控制审计报告8.1内部控制审计报告的内容与格式8.1.1内容内部控制审计报告应包括以下内容：（1）报告标明“内部控制审计报告”字样。（2）报告日期：填写审计报告完成的日期。（3）审计对象：简要描述被审计单位的基本情况。（4）审计范围：明确本次审计所涵盖的业务范围及时间范围。（5）审计依据：列出进行内部控制审计的相关法律法规、审计准则等。（6）审计结论：根据审计发觉的问题，对被审计单位的内部控制有效性发表意见。（7）审计建议：针对审计发觉的问题，提出改进内部控制的建议。（8）审计报告附件：如有需要，可附上相关审计工作底稿、证据等。8.1.2格式内部控制审计报告格式如下：（1）居中，字体加粗。（2）采用宋体字体，字号为小四，行间距为1.5倍。（3）段落：段落首行缩进2字符。（4）编号：各级标题及条款采用阿拉伯数字编号。8.2内部控制审计报告的编制8.2.1审计程序（1）计划审计工作：明确审计目标、范围、时间安排等。（2）实施风险评估：评估被审计单位内部控制的重大风险。（3）进行控制测试：对被审计单位内部控制的设计和运行有效性进行测试。（4）分析审计发觉：整理审计过程中发觉的问题，分析原因及影响。（5）形成审计结论：根据审计发觉，对被审计单位的内部控制有效性发表意见。8.2.2报告编写（1）整理审计证据：将审计过程中的证据进行整理、分析。（2）撰写审计报告：按照8.1节所述内容与格式要求，编写内部控制审计报告。（3）审计报告定稿：审计报告经审计团队讨论、修改后，形成最终稿。8.3内部控制审计报告的发布与跟踪8.3.1发布内部控制审计报告完成后，应及时向被审计单位及相关监管部门发布。8.3.2跟踪（1）被审计单位应对审计报告中提出的问题及建议进行整改。（2）审计部门应定期对被审计单位内部控制改进情况进行跟踪。（3）对未按期整改或整改效果不明显的，应采取相应措施，保证内部控制审计的有效性。第9章内部控制缺陷与整改9.1内部控制缺陷的识别与分类9.1.1缺陷识别在本节中，我们将讨论如何识别内部控制中存在的缺陷。缺陷识别主要包括以下方面：分析业务流程，查找潜在的风险点；通过内部审计、外部审计及自我评估等途径收集缺陷信息；对收集到的信息进行分析，确定内部控制缺陷的具体表现；评估缺陷可能导致的风险及其影响程度。9.1.2缺陷分类根据内部控制缺陷的性质和影响，将其分为以下几类：设