中国石化内控审计评价指引.doc

书山有路勤为径，学海无涯苦作舟中国石化内控审计评价指引　 中国石化审〔2０2X〕６78号ﻭ 　 　中国石化内部控制审计评价业务规范指引 　 １基本要求 　 　1.1中国石油化工集团公司、中国石油化工股份有限公司（以下统称中国石化)及各企事业单位、股份公司各分(子)公司（以下统称企业）审计部门应按照内部管理及相关监管要求,检查评价中国石化及企业内部控制设计和运行的有效性ﻭ　　　 １．2企业审计部门可根据本单位内部控制及其审计评价的实际情况,制定本单位的内部控制审计评价规范，确保内控审计评价的程序规范、内容完整、方法科学、结论恰当，确保内控审计评价项目质量ﻭ 　　 1.3审计部门开展内控审计评价项目，执行《中国石化审计项目业务流程》中规定的一般审计项目适用流程 2审计部门职责ﻭ 　 2.1审计局负责组织制定和修订内部控制审计评价业务规范指引，指导并监督审计分局按照本规范指引和企业审计部门按照本规范指引或本单位相关规范开展内控审计评价项目ﻭ　　 2．2审计分局和企业审计部门负责内部控制审计评价业务规范指引的贯彻落实，按照相关要求开展内部控制审计评价工作,提出修改完善的意见和建议。

ﻭ　　　 3审计评价程序及内容、方法ﻭ 　　 ３．1审前准备中国石化及企业的年度审计项目计划确定后,各级审计部门按照计划组织开展内控审计评价项目ﻭ 3．1.1审计部门按照规定程序成立审计组，确定审计组长和主审审计组长应符合《中国石化审计项目组长负责制管理办法》中要求的任职资格条件 　 3.１.2审计组长组织制定审计实施方案前应认真做好审前准备工作需要开展审前调查的，应当开展审前调查,并尽可能组织采取远程调查的方式ﻭ 　 3.1．2.1审前调查的内容主要包括: 　 (1)了解被审计企业公司层面控制情况,包括主要经营管理者的风险偏好、内部环境、风险管理组织体系、信息与沟通以及内部监督架构等ﻭ 　 (2)了解被审计企业内控制度建设情况，包括内部控制实施细则和内部管理制度的制定、修订及内控管理信息系统线上维护情况　 (３）了解被审计企业业务流程适用情况和审计区间内主要业务的发生情况以及业务流程控制点的执行情况等ﻭ (４）了解被审计企业信息系统建设及维护情况,主要包括ｅrp系统、资金集中管理系统、会计集中核算系统等应用系统的实施与管理情况　 　（５）了解被审计企业近年来内审外查发现的问题和问题形成的原因以及整改情况,分析掌握内部控制方面存在的问题及薄弱环节。

ﻭ　　 3．1.2.2为确保审前调查取得良好效果，审计组在有效采用访谈、询问、查阅、测试等方法的同时，还可运用问卷调查等方法ﻭ 3.１．2．3审计组在收集整理和综合分析上述情况资料的基础上,应对企业公司层面控制的各项内容、内控制度的健全性、重要业务流程执行的有效性以及信息系统的安全性作出初步判断和评价,并结合企业风险清单，初步识别和评估被审计企业内部控制方面所面临的主要风险和风险的主要方面ﻭ　 　 3.1.３审计组应依据审前准备或调查得出的初步判断和评价结论,对照《内部控制年度综合审计评价方案》的要求，规范编制操作性强的审计实施方案审计实施方案应明确下列内容： 3.１.3.1审计评价目的促进企业规范经营管理行为、防范经营管理风险、实现控制目标 　　 　3.１.3.2审计评价依据依据国家《企业内部控制基本规范》及其配套指引、总部下发的《企业内控手册》和《内控审计评价业务规范指引、《企业内控实施细则》等 　3．1.3．3审计评价对象及范围被审计企业公司层面控制、主要业务流程、资产或收入所占比重较大的单位,特别是内控问题多、风险大的单位、业务领域和控制环节 3.1.3.４审计评价内容及重点。

根据审前调查掌握的线索和风险评估初步结果，具体明确审计检查的重点内容和方向 （１）公司层面控制应将被审计企业在内部环境、风险评估、信息与沟通以及内部监督等方面存在控制基础薄弱、管控措施不落实以及发生较多或重大案件问题的领域列为审计重点ﻭ （２)业务层面控制应将被审计企业主要业务流程和高风险的业务以及管控问题较多的业务列为审计重点,加强监督检查对于iｔ应用控制点的审计,应将权限及职责分离类控制方面用户权限是否与其工作职责相符、不相容岗位是否有效分离,配臵及业务操作类控制方面系统配臵是否符合控制要求、系统功能是否得到有效执行、业务操作是否准确、及时、合规等列为审计重点3）内部控制缺陷的认定应根据审计检查结果，对照中国石化内部控制手册中的内控缺陷（重大缺陷、重要缺陷和一般缺陷）认定标准，区分财务报告内控缺陷和非财务报告内控缺陷，对缺陷等级予以正确区分和认定ﻭ　 （4）内部控制总体评价依据审计检查结果和缺陷认定情况对被审计企业内部控制作出总体评价，凡未发现存在重大缺陷的,审计评价结论应认定为“总体有效”；凡发现存在重大缺陷的，审计评价结论应认定为“无效”另外，审计组还应根据内部控制检查结果计算公司层面和业务层面控制设计及执行总体有效率。

ﻭ 　　 　3．1.3.5审计评价方法对内部控制进行检查评价，应借助信息化审计手段,主要采取随机和判断抽样,实施符合性测试和实质性检查的方法同时,根据实际情况和需要，可运用查阅、专题讨论、个别访谈、问卷调查、对比分析、实地查验等方法ﻭ 　　3.1.３．6审计分工及时间安排审计组长应根据审计组人员情况，合理进行审计分工，并对总体审计评价工作的时间作出统筹安排 　　3.1．3.7被审计企业需提供的资料明确被审计企业应准备的内部控制审计评价所需的相关资料ﻭ 3.1．4下达审计通知书审计通知书由主审按规定程序填写、上报审核和办理签发手续与其他审计项目一并开展的内控审计评价项目,可合并下达审计通知书ﻭ　 　　3.1.5审计组长在正式进驻被审计企业前,应组织审前培训培训主要内容包括：学习和讲解公司及企业相关内部控制制度；介绍被审计企业经营管理情况和内控基本情况;讲解审计的目的、依据、范围和重点内容，审前准备或调查对企业内部控制健全性及执行有效性的初步评价结论，以及审计具体分工、审计方法和工作要求等 3.２审计实施　 　 3.２.１进驻时应召开审计进点动员会,进点会上要向被审计企业讲清审计的目的、依据、范围和内容、重点和方法、时间安排和要求、审计工作及廉政纪律等。

与其他审计项目一并开展的内控审计项目，可合并召开进点会 　3.2.2审计进点会召开后，审计组长及主审可围绕被审计企业公司层面控制、业务层面控制可能存在漏洞或内控缺陷的领域及相应的控制措施,与被审计企业领导班子成员以及有关部门、所属单位负责人等开展针对性访谈,并根据访谈结果组织实施相应的审计检查程序ﻭ 　 　３.2.3审计人员运用审阅、复核、对比分析等审计程序，对控制环境和相关财务及业务数据的变化情况进行符合性和分析性检查，并根据检查整体情况对审计方向和重点适时作出合理调整ﻭ 　 3.2.4实施审计抽样，开展符合性测试和实质性检查依据审计实施方案确定和调整的审计方向及重点,审计人员应采用判断抽样和随机抽样相结合的审计方法予以符合性测试和实质性检查审计抽样的主要步骤包括:ﻭ 3.2.4.1确定样本量一般按照业务发生的频率并参照国际通行的抽样矩阵确定抽样数量,即对业务每年发生一次的,抽1笔;每年一次以上至每月一次的，至少抽2笔;每月一次以上至每周一次的，至少抽5笔;每周一次以上至每天一次的，至少抽1５笔;每天多次的，至少抽25笔ﻭ　 3．２.4.２抽取样本确定样本数量后，审计人员应根据所检查业务流程的经济业务特性和样本分布情况，按审计抽样的相关规定选择合适的样本。

ﻭ 　 3．2.4．3在实施审计抽样时，还应考虑以下因素:ﻭ 　 　（1)应侧重抽取发生业务的重要下属单位和异常业务发生单位的样本ﻭ 　 （2)应侧重抽取主要的供应商及客户等重要业务发生对象和异常业务发生对象的样本ﻭ （３）应侧重抽取年初、年末或半年末、季度末的样本ﻭ 　(4)应侧重抽取金额较大和金额异常的样本ﻭ　 　 (5）应侧重抽取某些特定或非正常事项的样本,如销售及成本费用红字冲销、大额修理费用暂估、erｐ上线企业手工结转成本、预算外支出等事项ﻭ 3.2.4.４对于检查发现存在缺陷或问题较多的业务（或控制点），审计人员应主要运用判断抽样的方法适当增加样本量,并对存在问题或缺陷的关键控制点进行实质性检查ﻭ 3．2.5it应用控制点的检查iｔ应用控制点中,权限及职责分离类控制要求的检查，由ｂasis人员和审计人员共同完成；配臵及业务操作类控制要求的检查，由审计人员与企业关键用户共同完成　　 ３.２.６控制点的审计评价审计人员应对所检查公司层面和业务层面控制点设计及执行的有效性进行客观评价ﻭ 　 3．2.6.1评价设计有效性应以风险为导向,以总部下发的企业内控手册为标准,结合内部控制五大控制目标和成本效益原则,对内控设计的有效性作出恰当评价。

对于判断设计无效的控制点，应说明依据和理由以及造成的实际影响等 　3.2.6.2评价执行有效性评价内控执行的有效性，主要依据控制措施是否得到有效执行、是否实现了控制目标作出评价具体评价因素包括：ﻭ 　 　 （1)相关控制是否得到持续一致的运行 　（2)各控制环节是否由适当的人员执行　 (３)是否在适当的时间被执行ﻭ （４)执行方式是否恰当 　 （5)执行结果是否进行了适当的记录 　(6）执行时发现的差异是否及时得到了跟进 　 3.2.7填写审计评价底稿审计人员按要求检查完毕并收集完证据后,应严格按照内控审计评价底稿模板的要求，如实规范填写检查底稿对于检查结论为“无效”的控制点，应详细记录问题样本，描述具体问题、产生的原因、所涉及的风险、整改意见及建议,构成缺陷的还应描述所涉及的具体缺陷，并留存有关证据材料对于内控审计发现的重大、重要缺陷和造成重要影响或较大损失的一般缺陷，必须落实责任ﻭ　 　　3.2．8内控审计评价底稿编制完成并经相关人员复核后,审计组应与被审计企业交换意见,交由相关流程责任部门负责人签字并加盖单位(或部门）公章同时收回《审计人员廉洁纪律执行情况意见反馈表》。

　 3.2.9审计工作要求 3.２.９.1审计组长和主审应加强业务指导和质量控制,合理掌控审计进度，积极引导审计人员深入查找问题、严格落实责任，及时召开审计组碰头会,准确把握审计方向,研究解决审计中发现的问题或难题;审计人员应按照审计实施方案的分工安排，各司其职，相互配合，以问题和风险为导向,积极主动并创造性地开展内控审计工作，确保审计程序到位ﻭ　 　　　3.2.9.2在审计查证过程中，审计组应积极利用内外部审计以及其他监督机构的成果，对审计区间内发生且截至审计日仍未整改或虽已整改、但造成重大外部影响的问题,经审计组长认定后可作为评价内部控制和认定缺陷的依据ﻭ　 　 3．2.9.３审计组实施现场审计过程中，应加强与被审计企业的信息沟通与交流对审计发现的问题，应与被审计企业及时沟通，深入剖析问题产生的原因及可能引起的风险,督促制定整改措施 　 ３.3审计终结　 3.3.1内控审计评价底稿签字确认后,审计组长应指定主审起草内控审计评价报告报告应具备标题、正文、报告日期等要素,具体格式参见内部控制审计评价报告模板 　 3.３.２内控审计评价报告撰写完成后,审计组长应组织审计人员进行认真讨论和修改，形成内控审计评价报告初稿，以审计组名义与被审计企业初步交换意见并进行现场讲评。

ﻭ 　 3.3.３审计报告的审理、签发与送达审计组根据反馈意见和查。