国有公司内部控制审计办法-模版.docx

1、公司内部控制审计办法 第一章 总 则 第一条 为规范公司（以下简称公司）内部控制审计工作，保证审计工作质量，提高审计工作效率，根据中国内部审计准则和公司内部审计工作办法，制定本办法。 第二条 本办法所称内部控制，是指公司为实现经营目标，保证资产安全完整，保证遵循国家法律法规，保证会计和管理信息真实，提高自身运营的效率及效果，而制定和实施的一系列自我检查、自我约束、自我调整的政策、制度和程序。 第三条 建立、健全内部控制并使之有效运行是各级管理层的责任，内部控制目标的实现有赖于单位内部所有人员的参与。内部审计部门作为单位内部控制的重要组成部门，重点是对内部控制制度的建立和运行情况进行监督、评价。

2、 第四条 本办法所称内部控制审计，是指审计人员采用特定的审计方法，在一定的时间和范围内，对被审计单位内部控制的健全性、合理性、有效性进行审查和评价。 第五条 内部控制审计的目的是通过内部控制的审查和评价，发现被审计单位存在的内控缺陷和企业风险，促进被审计单位强化内部控制意识，建立健全内部控制机制，以达到防范、化解风险，提高经营管理水平，促进战略目标和经营目标的实现。 第六条 本办法适用于公司及子（分）公司的内部控制审计活动。第二章 一般原则 第七条 公司内部控制应健全、有效，在公司总部层面、子（分）公司层面、各业务环节层面都应作出安排。 第八条 企业经营规模不同、业务不同，其为实现内部控制目标

3、而采取的控制方法也不同。主要的内部控制方法包括：不相容职务分离、授权批准控制、会计系统控制、预算控制、财产保全控制、风险控制、内部报告控制和电子信息技术控制等。 第九条 内部控制有效性的评价标准分一般标准和具体标准两部分。一般标准包括健全性、合理性、有效性三方面，具体标准由内部控制要素评价标准和作业层级评价标准两部分组成。 第十条 内部控制要素包括控制环境、风险管理、控制活动、信息与沟通、监督等五个方面。 第十一条 控制环境主要指企业的核心人员及其个别属性和所处的工作环境，包括个人诚信、价值观、经营理念与营运风格、组织文化、组织结构和人力资源政策等。 第十二条 风险管理是指及时评估来自企业内部

4、、外部的风险，包括确定风险目标、风险识别、风险分析、风险应对等。 第十三条 控制活动是指确保管理层的指令得以执行的政策与程序，它贯穿于企业所有层级和职能部门。控制活动是针对控制点而制定的，企业一般根据其生产经营活动的特点来设计控制活动。 第十四条 信息与沟通是指企业在其经营过程中，按某种形式辨识、取得确切的信息，并进行沟通，以使员工能够履行其责任。 第十五条 监督是指由适当的人员，在适当及时的基础下，评估控制的设计和运作情况的过程。 第十六条 作业层级评价标准是控制活动要素的细化。业务不同，流程不同，控制点不同，需要采取的控制活动也不同，作业层级评价标准随控制活动的变化而变化。 第三章 审计内

5、容 第十七条 内部控制审计一般从控制环境、风险管理、控制活动、信息与沟通、监督五个方面进行。针对不同控制层面，审计内容应有所侧重。 第十八条 审计人员应当充分了解被审计单位内部控制环境。审查的重点内容是： （一） 治理结构。被审计单位是否根据公司法结合实际建立了科学的法人治理结构，是否明确了董事会、监事会和管理层的职责，是否建立了完善的议事和决策机制，各级机构是否有效运行； （二） 内控目标。被审计单位是否根据经营目标建立了适应管理需要的不同层次不同岗位的内部控制目标； （三） 组织机构。被审计单位是否建立了保证内部控制目标实现的相应的组织结构，各职能部门及人员职责是否明确、分工是否合理； （

6、四） 控制态度。被审计单位管理层为完成经营目标对内部控制的重视程度，对逾越既定控制程序的态度； （五） 人力资源管理。被审计单位不同层次人员的能力和文化程度是否胜任岗位需要，是否建立了相关的聘用、培训、调动、解聘、退休、考核、薪酬、福利等方面的制度； （六） 企业文化。被审计单位是否建立了健全的管理行为守则，是否形成了积极健康、诚实守信和行为规范的企业文化，职工对企业文化是否理解和认同； 第十九条 审计人员应当了解被审计单位存在的风险和风险管理的具体措施，评价被审计单位风险管理机制的健全性和有效性，评估被审计单位存在的风险。审查的主要内容是： （一） 风险确认。被审计单位对影响经营目标实现的内

7、部、外部风险因素是否进行了识别确认。内部风险因素主要有经营规模增长、经营活动分布、财务状况、资产的流动性、组织结构和人力资源状况等，外部因素主要有国家法律法规及政策的变化、经济形势变化、科技发展、行业竞争和市场变化等； （二） 风险评估。审查被审计单位对待风险的态度，对风险发生的可能性及影响程度是否进行了科学评估； （三） 风险处理。被审计单位是否针对风险采取了相应的控制措施，是否建立了风险管理制度，是否制定了重大、突发事项应急预案。 第二十条 审计人员应当了解被审计单位针对控制活动的关键控制点制定和执行的各种制度、政策和方法，评价被审计单位内部控制的健全性、有效性和合理性。审查的主要内容是：

8、 （一） 职务分离。被审计单位岗位职责是否进行了合理划分，不相容职务是否得到分离。不相容职务是否做到：授权批准与执行业务分离、业务经办与审核监督分离、业务经办与会计记录分离、财产保管与会计记录分离、业务经办与财产保管分离； （二） 授权管理。是否建立了授权审批制度，内部管理层和经办人员是否按程序在授权范围内办理各项业务； （三） 会计控制。是否依据会计法和企业会计准则进行会计核算，单位内部会计制度、会计核算体系是否健全，会计凭证、会计账簿、财务会计报告的处理程序是否规范； （四） 实物资产管理。是否针对实物资产规定了其采购、验收、入库、领用、计量、维修、盘点、处置、租赁等环节的职责、权限、程序

9、和手续，各项制度是否得到了有效执行； （五） 全面预算管理。是否实行全面预算控制，是否严格执行预算的编制、审核、执行、分析、调整和考核等相关程序； （六） 工程项目管理。是否建立和执行了标前评审和合同后评估制度，施工合同的谈判、评审、审批和订立是否按规定程序进行，施工方案是否进行了优化和论证，施工总进度计划和单体工程施工进度计划是否得到有效控制，工程结算是否及时办理，是否对应收账款进行记录、催收与核对，是否建立并执行了完善的索赔与反索赔制度； （七） 成本费用控制。是否建立了内部责任成本核算体系，成本核算制度是否健全，成本核算基础工作是否完善，成本费用支出是否真实、合理和合法，劳务分包是否实施

10、了准入并严格按合同管理、结算和支付，是否存在超结算和超支付行为，是否对物资消耗和机械租赁进行了控制。 （八） 安全质量管理。是否建立并执行了安全质量生产责任制度和安全质量事故处理制度，各级施工人员是否按安全质量生产责任制的要求落实职责，是否定期不定期对施工工序、施工用机械、计量测试设备和施工材料进行严格的监督、检查、考核和评价。 （九） 环境管理。是否编制了可行的环境管理方案，在场容管理、消防保安和卫生防疫方面是否执行了严格的管理标准，是否定期不定期对执行情况进行严格的监督、检查、考核。 （十） 投资与担保。是否建立并执行了透明、规范的投资和担保决策程序，是否对风险进行了充分论证和评估，投资资

11、产管理是否安全，是否对被担保单位进行日常监测，相关财产和权属证明是否得到妥善保管。 （十一） 信息管理。是否建立健全了信息技术管理制度和信息安全管理制度，是否对单位信息系统的开发、测试、运行和维护等实施了有效控制，是否对网络的安全、故障、性能和配置等进行了有效管理。 第二十一条 审计人员应当评价被审计单位信息获取与沟通的有效性，审查的主要内容： （一） 信息识别与评估。被审计单位是否能识别、收集、处理与经营目标实现相关的财务、管理、业务和重要风险等方面的信息，是否能及时向管理层及相关人员报告和披露； （二） 沟通。被审计单位内部上下级之间、相关部门之间及与重点客户、供应商等外部之间的沟通是否及

12、时有效； （三） 信息安全。被审计单位是否根据安全性和保密性的要求对信息的报告、发布、披露进行适当的授权。 第二十二条 被审计单位是否成立了内部审计机构，能否组织有关部门对内部控制的设计和运行情况进行持续监督、个别评估。 第二十三条 审计人员实施内部控制审计时，根据被审计单位实际情况，既可对整体内部控制要素进行审计，也可对部分内部控制要素进行审计。 第四章 审计程序和方法 第二十四条 内部控制审计应纳入年度审计工作计划，按照规定的审计程序成立审计组，送达审计通知书，制定审计工作方案。第二十五条 内部控制审计一般分以下四个工作步骤： （一） 对被审计单位的内控制度进行调查了解； （二） 对内部控

13、制进行初步评价和描述，确定是否进行符合性测试； （三） 对内部控制的符合性和有效性进行测试； （四） 提出内部控制测评结果，据以确定实质性测试的性质、时间和范围； 第二十六条 审计人员对内部控制的调查了解和初步评价可以通过下列方法进行： （一） 查阅前期审计报告或审计工作底稿； （二） 询问被审计单位有关人员，查阅相关管理制度和文件； （三） 检查内部控制生成的文件和记录； （四） 观察被审计单位的业务活动和内部控制的运行情况； （五）选择若干具有代表性的交易和事项进行符合性测试。 第二十七条 审计人员可以采用以下形式对被审计单位内部控制进行描述，并记录于审计工作底稿中： （一）用文字记录的形

14、式描述被审计单位内部控制的设置情况；（二）使用调查表的形式向被审计单位管理人员或有关当事人询问内部控制的设置情况并加以记录； （三）用流程图绘制被审计单位的业务流程，以描述被审计单位内部控制的设置情况。 第二十八条 当出现下列情况之一时，审计人员可不进行符合性测试，而直接实施实质性测试程序： （一） 相关内部控制不存在； （二） 相关内部控制虽然存在，但是通过了解发现并未有效运行； （三） 符合性测试的工作量大于进行符合性测试所减少的实质性测试的工作量。 第二十九条 审计人员对被审计单位实施符合性测试，以确定被审计单位内部控制的符合性和有效性时，可采用以下方法： （一） 证据检查法。主要是通过

15、对会计凭证、通知单、报告、申请书、批准书及其他能反映控制措施的文件进行检查，以获得规定的控制措施是否得到有效执行的证据； （二） 验证法。是按照被审计单位内部控制制度的规定对有关业务重新做一次，以查明有关人员是否遵循了规定； （三） 实地观察法。在不通知有关人员的情况下，到现场实际观察工作人员是否按制度规定进行业务处理。 第三十条 审计人员进行符合性测试时要从最经济有效地实现审计目标的总体需要出发，合理确定符合性测试时间和范围。 第三十一条 审计人员在完成内部符合性测试后，应当综合分析被审计单位内部控制的健全性、符合性和有效性，提出内部控制审计结果，据以确定将要执行的实质性测试程序的性质、时间

16、和范围。 第三十二条 审计人员对被审计单位内部控制的审计不能代替实质性测试，无论被审计单位内部控制如何健全、有效，审计人员都应选择适当方法对被审计单位重要的财务收支活动进行实质性测试。 第三十三条 审计人员对内部控制进行评价时，应保持应有的职业谨慎，充分考虑内部控制的固制： （一） 内部控制的设置和运行受制于成本效益原则； （二） 内部控制一般仅针对常规业务活动而设置； （三） 即使是完善的内部控制也可能由于有关人员的相互勾结、内外串通、屈从于外部压力而失效。 第三十四条 内部审计部门应向管理层报告内部控制的审计结果。审计报告应说明审查和评价内部控制的目的、范围、审计结论、存在的风险及对改善内部控制的建议。 第三十五条 审计部门应在审计终结后建立审计档案。 第三十六条 内部审计人员应在必要时进行内部控制的后续审计。 第五章 附 则 第三十七条 本办法由公司监察审计部负责解释。 第三十八条 本办法自发布之日起施行。