内部控制审计标准

内部控制审计标准

内部控制审计标准（试行）1.总则1.1为了加强集团公司内部控制制度建设，提高会计信息的可靠性，经营管理的有效性及经营活动的合规性和合法性，防范内部控制风险，促进集团公司又好又快发展，根据国家和集团公司的有关规定，制定本标准。1.2内部控制是集团公司为实现经营目标，保护资产安全完整，保证经营活动遵循国家法律法规，提高资产运营的效率和效果而采取的各种政策、程序和措施。内部控制包括控制环境、风险管理、控制活动、信息与沟通、监督五个要素。1.2.1控制环境主要包括经济性质和经营类型、管理层的经营理念、管理层倡导的组织文化、法人治理结构、各项职责的分工及相应人员的胜任能力、人力资源政策及其执行等内容。1.2.2风险管理主要包括识别影响组织目标实现的各类风险、建立风险管理机制等内容。1.2.3控制活动主要包括所有经营活动应有适当的授权；不相容职务应当分离；有效控制凭证和记录的真实性、资产和记录的接近限制、独立的业务审核等内容。1.2.4信息与沟通主要包括及时、准确、完整地记录所有信息，保证管理信息系统的有序运行，保证管理信息系统的安全可靠等内容。1.2.5\n监督主要包括内部审计机构实施的独立监督、管理层对内部控制的自我评估等内容。1.3内部控制审计既可以作为独立的审计项目组织实施，也可以作为实施其他审计项目的一个程序或方法，既可以对全部控制要素进行评价，也可以只对部分控制要素进行评价。1.4本标准适用于集团公司本部、分支机构、所属公司（单位）。2.规范性文件引用2.1《中华人民共和国审计法》2.2《内部审计具体准则第5号——内部控制审计》2.3《内部审计具体准则第16号——风险管理审计》2.4《内部审计具体准则第21号——内部审计的控制自我评估法》2.5《中央企业财务内部控制评价工作指引》2.6《中央企业全面风险管理指引》2.7《内部会计控制规范》2.8《1审计工作基本规定》3.职责3.1集团公司系统内各单位的内部审计部门和人员，在集团公司审计部的指导下，在本单位分管领导的直接领导下，开展内部控制审计工作。3.2内部控制审计是审计人员对企业内部控制的健全性、可靠性、有效性和效率性进行的测试与评价，以合理地保证企业实现以下目标：3.2.1遵守国家有关法律法规和组织内部规章制度；3.2.2信息的真实、可靠；\n3.2.3资产的安全、完整；3.2.4经济有效地使用资源；3.2.5提高经营效率和效果。3.3经审计发现内部控制存在不健全、不完善的情况，应及时分析其潜在的风险，提出相应的整改建议。4.审计主要内容4.1　审查内部控制环境审查被审计单位是否建立适合现代企业管理要求的内部控制环境，应重点关注以下内容：4.1.1了解经营活动的复杂程度；4.1.2了解管理权限的集中程度；4.1.3评价管理行为守则是否健全和有效；4.1.4了解管理层对逾越既定控制程序的态度；4.1.5了解企业文化的内容及员工对此的理解与认同；4.1.6了解法人治理结构是否健全和有效；4.1.7了解企业各层面人员的知识与技能；4.1.8审查组织结构和职责划分的合理性；4.1.9审查重要岗位人员的权责相称程度及其胜任能力；4.1.10了解员工聘用程序及培训制度；4.1.11了解员工业绩考核与激励机制。4.2　审查风险管理审查风险管理机制是否健全和完善应关注以下内容：\n4.2.1审查是否建立健全全面风险管理体系，是否建立了风险管理三道防线，即各有关职能部门或业务单位为第一道防线；风险管理职能部门或董事会下设的风险管理委员会为第二道防线；内部审计部门或董事会下设的审计委员会为第三道防线。4.2.2审查风险识别过程，重点关注各类风险管理初始信息的收集是否全面、真实，企业面临的内、外部风险是否已得到充分、适当的确认。4.2.2.1审查战略风险管理信息收集情况；4.2.2.2审查财务风险管理初始信息收集情况；4.2.2.3审查市场风险管理初始信息收集情况；4.2.2.4审查运营风险管理初始信息收集情况；4.2.2.5审查法律风险管理初始信息收集情况。4.2.3审查风险评估过程时，重点关注采用的风险评估方法是否适当和有效，对已识别的风险，是否作出合理的评估。审查风险评估方法的适当性和有效性时，应当遵循以下原则：4.2.3.1定性方法的采用需要充分考虑相关部门或人员的意见，以提高评估结果的客观性；4.2.3.2在风险难以量化、定量评价所需数据难以获取时，一般应采用定性方法；4.2.3.3定量方法一般情况下会比定性方法提供更为客观的评估结果。4.2.4审查风险对抗措施的适当性和有效性时，应当考虑以下因素：4.2.4.1\n采取风险应对措施后的剩余风险水平是否在可以接受的范围内；4.2.4.2采取的风险应对措施是否适合本单位的经营、管理特点；4.2.4.3成本效益的考核与衡量。4.3　审查内部控制活动审查内部控制活动适当性、合法性和有效性时，应关注各项控制活动的适当性、控制活动对风险的识别和规避、控制活动对企业目标实现的作用、控制活动执行的有效性。4.3.1审查内部会计控制制度和内部管理控制制度的建立、健全和执行情况，是否在控制点上恰当地运用了有效的控制方法。4.3.2内部控制活动主要包括货币资金控制、应收和预付款项控制、存货控制、固定资产控制、无形资产控制、在建工程控制、成本费用控制、采购控制、生产运行和检修服务控制、销售控制、投资控制、筹资控制、担保控制、关联方交易控制、研发业务控制、合同控制、对子公司的控制、预算控制、财务报告编制控制、信息披露控制、人力资源控制、计算机信息系统控制（详见附件1）。4.4　审查获取信息及处理信息的能力审查被取信息和处理信息能力时，应重点关注以下内容：4.4.1审查其获取财务信息、非财务信息的能力；4.4.2审查其信息处理的及时性和适当性；4.4.3审查信息传递渠道是否便捷与畅通；4.4.4审查管理信息系统是否安全可靠。4.5　审查监督情况\n审查监督情况时，应关注以下内容：4.5.1审查内部审计机构设置和人员配备情况，主要关注内部审计机构的独立性，内部审计人员素质；4.5.2审查内部审计制度建立、健全和执行情况；4.5.3审查内部审计工作开展情况；4.5.4审查管理层对内部控制的自我评估情况。5.审计程序和方法对内部控制进行审计时，除遵循审计工作的一般程序外，通常实施的程序主要包括：了解内部控制、初步评价内部控制、进行符合性测试。5.1　了解内部控制了解内部控制，主要包括以下方法：5.1.1查阅前期审计报告或审计工作底稿；5.1.2询问有关业务人员；5.1.3检查内部控制生成的文件和记录；5.1.4观察业务活动和内部控制的运行情况；5.1.5选择有代表性的交易或事项进行“穿行测试”；5.2　初步评价内部控制通过了解，审计人员应对被审计单位内部控制的健全性和有效性做出初步评价，初步确定内部控制风险。通常出现下列情况之一者，应将交易或事项的控制风险评价为高水平：5.2.1内部控制失效；\n5.2.2难以对内部控制的有效性做出评价；5.2.3不准备进行符合性测试。5.3　实施符合性测试在了解内部控制的基础上，审计人员应测试内部控制的设计和执行是否有效。符合性测试包括控制设计测试和控制执行测试，主要方法有：5.3.1询问法：审计人员向有关人员询问内部控制和业务执行情况。5.3.2观察法：审计人员亲临工作现场，实地观察有关人员的工作情况，以确定既定措施是否得到严格执行。5.3.3证据检查法：审计人员抽取一定数量的账表、凭证等书面证据，检查是否认真执行相关控制制度；证据检查法是必要的符合性测试方法。5.3.4重新执行法：审计人员就某项业务流程，要求有关人员重复做一次，以验证既定的控制措施是否被贯彻执行。6.内部控制评价6.1　内部控制评价标准内部控制评价标准是审计人员对被审计单位内部控制进行评价的依据，下列各项可作为其组成部分：6.1.1国家相关法律、法规、规章、规定、办法、准则等；6.1.2国内外内部审计协会发布的相关准则、指南、公告、指导意见等；6.1.3国内外行业最佳实务、同类企业先进模式等；\n6.1.4集团公司相关规章、制度、规定、办法等；6.1.5被审计单位相关规章、制度、规定、办法等；6.1.6集团公司内部控制体系建设目标；6.1.7被审计单位内部控制体系建设目标；6.1.8内部审计人员基于集团公司利益最大化的原则选择的评价标准。6.2　内部控制评价结果审计人员在审计实施结束后，应汇集已发现的差异或缺陷，考虑其性质、数量对管理层决策及对经营目标实现产生的影响程度，对被审单位内部控制进行评价。内部审计人员可以采用文字叙述、计分等方法对内部控制进行评价，评价结果分为较为有效、基本通过、一定缺陷和较大缺陷四种类型。6.2.1被审计单位各方面存在健全有效的内部控制，各项会计、统计资料真实、完整，审计期间未发生舞弊或资产、资金损失事项，评价结果为较为有效；6.2.2被审计单位各方面基本存在健全有效的内部控制，各项会计、统计资料基本真实、完整，审计期间未发生舞弊或较大资产、资金损失事项，评价结果为基本　　　通过；6.2.3被审计单位各方面基本存在内部控制，各项会计、统计资料基本真实、完整，审计期间未发生舞弊或重大资产、资金损失事项，评价结果为一定缺陷；6.2.4被审计单位内部控制存在重大缺陷，或审计期间发生舞弊或重大资产、资金损失事项，评价结果为较大缺陷。\n7.审计报告内部审计人员应向集团公司适当管理层报告内部控制的审计结果。审计报告应说明审查和评价内部控制的目的、范围、审计结论、审计决定及对改善内部控制的建议。8.后续审计内部审计人员应在必要时进行内部控制的后续审计。9.附则9.1本标准由集团公司负责解释。9.2本标准自颁布之日起执行。