中国石化审〔2015〕678号
中国石化内部控制审计评价业务规范指引
1基本要求
1.1中国石油化工集团公司、中国石油化工股份有限公司(以下统称中国石化)及各企事业单位、股份公司各分(子)公司(以下统称企业)审计部门应按照内部管理及相关监管要求,检查评价中国石化及企业内部控制设计和运行的有效性。
1.2企业审计部门可根据本单位内部控制及其审计评价的实际情况,制定本单位的内部控制审计评价规范,确保内控审计评价的程序规范、内容完整、方法科学、结论恰当,确保内控审计评价项目质量。 1.3审计部门开展内控审计评价项目,执行《中国石化审计项目业务流程》中规定的一般审计项目适用流程。
2审计部门职责
2.1审计局负责组织制定和修订内部控制审计评价业务规范指引,指导并监督审计分局按照本规范指引和企业审计部门按照本规范指引或本单位相关规范开展内控审计评价项目。
2.2审计分局和企业审计部门负责内部控制审计评价业务规范指引的贯彻落实,按照相关要求开展内部控制审计评价工作,提出修改完善的意见和建议。
3审计评价程序及内容、方法
3.1审前准备中国石化及企业的年度审计项目计划确定后,各级审计部门按照计划组织开展内控审计评价项目。 3.1.1审计部门按照规定程序成立审计组,确定审计组长和主审。审计组长应符合《中国石化审计项目组长负责制管理办法》中要求的任职资格条件。
3.1.2审计组长组织制定审计实施方案前应认真做好审前准备工作。需要开展审前调查的,应当开展审前调查,并尽可能组织采取远程调查的方式。
3.1.2.1审前调查的内容主要包括:
(1)了解被审计企业公司层面控制情况,包括主要经营管理者的风险偏好、内部环境、风险管理组织体系、信息与沟通以及内部监督架构等。
(2)了解被审计企业内控制度建设情况,包括内部控制实施细则和内部管理制度的制定、修订及内控管理信息系统线上维护情况。
(3)了解被审计企业业务流程适用情况和审计区间内主要业务的发生情况以及业务流程控制点的执行情况等。
(4)了解被审计企业信息系统建设及维护情况,主要包括ERP系统、资金集中管理系统、会计集中核算系统等应用系统的实施与管理情况。
(5)了解被审计企业近年来内审外查发现的问题和问题形成的原因以及整改情况,分析掌握内部控制方面存在的问题及薄弱环节。 3.1.2.2为确保审前调查取得良好效果,审计组在有效采用访谈、询问、查阅、测试等方法的同时,还可运用问卷调查等方法。
3.1.2.3审计组在收集整理和综合分析上述情况资料的基础上,应对企业公司层面控制的各项内容、内控制度的健全性、重要业务流程执行的有效性以及信息系统的安全性作出初步判断和评价,并结合企业风险清单,初步识别和评估被审计企业内部控制方面所面临的主要风险和风险的主要方面。
3.1.3审计组应依据审前准备或调查得出的初步判断和评价结论,对照《内部控制年度综合审计评价方案》的要求,规范编制操作性强的审计实施方案。审计实施方案应明确下列内容:
3.1.3.1审计评价目的。促进企业规范经营管理行为、防范经营管理风险、实现控制目标。3.1.3.2审计评价依据。依据国家《企业内部控制基本规范》及其配套指引、总部下发的《企业内控手册》和《内控审计评价业务规范指引、《企业内控实施细则》等。
3.1.3.3审计评价对象及范围。被审计企业公司层面控制、主要业务流程、资产或收入所占比重较大的单位,特别是内控问题多、风险大的单位、业务领域和控制环节。
3.1.3.4审计评价内容及重点。根据审前调查掌握的线索和风险评估初步结果,具体明确审计检查的重点内容和方向。
(1)公司层面控制。应将被审计企业在内部环境、风险评估、信息与沟通以及内部监督等方面存在控制基础薄弱、管控措施不落实以及发生较多或重大案件问题的领域列为审计重点。
(2)业务层面控制。应将被审计企业主要业务流程和高风险的业务以及管控问题较多的业务列为审计重点,加强监督检查。对于IT应用控制点的审计,应将权限及职责分离类控制方面用户权限是否与其工作职责相符、不相容岗位是否有效分离,配臵及业务操作类控制方面系统配臵是否符合控制要求、系统功能是否得到有效执行、业务操作是否准确、及时、合规等列为审计重点。 (3)内部控制缺陷的认定。应根据审计检查结果,对照中国石化内部控制手册中的内控缺陷(重大缺陷、重要缺陷和一般缺陷)认定标准,区分财务报告内控缺陷和非财务报告内控缺陷,对缺陷等级予以正确区分和认定。
(4)内部控制总体评价。依据审计检查结果和缺陷认定情况对被审计企业内部控制作出总体评价,凡未发现存在重大缺陷的,审计评价结论应认定为“总体有效”;凡发现存在重大缺陷的,审计评价结论应认定为“无效”。另外,审计组还应根据内部控制检查结果计算公司层面和业务层面控制设计及执行总体有效率。
3.1.3.5审计评价方法。对内部控制进行检查评价,应借助信息化审计手段,主要采取随机和判断抽样,实施符合性测试和实质性检查的方法。同时,根据实际情况和需要,可运用查阅、专题讨论、个别访谈、问卷调查、对比分析、实地查验等方法。 3.1.3.6审计分工及时间安排。审计组长应根据审计组人员情况,合理进行审计分工,并对总体审计评价工作的时间作出统筹安排。 3.1.3.7被审计企业需提供的资料。明确被审计企业应准备的内部控制审计评价所需的相关资料。
3.1.4下达审计通知书。审计通知书由主审按规定程序填写、上报审核和办理签发手续。与其他审计项目一并开展的内控审计评价项目,可合并下达审计通知书。
3.1.5审计组长在正式进驻被审计企业前,应组织审前培训。培训主要内容包括:学习和讲解公司及企业相关内部控制制度;介绍被审计企业经营管理情况和内控基本情况;讲解审计的目的、依据、范围和重点内容,审前准备或调查对企业内部控制健全性及执行有效性的初步评价结论,以及审计具体分工、审计方法和工作要求等。 3.2审计实施
3.2.1进驻时应召开审计进点动员会,进点会上要向被审计企业讲清审计的目的、依据、范围和内容、重点和方法、时间安排和要求、审计工作及廉政纪律等。与其他审计项目一并开展的内控审计项目,可合并召开进点会。
3.2.2审计进点会召开后,审计组长及主审可围绕被审计企业公司层面控制、业务层面控制可能存在漏洞或内控缺陷的领域及相应的控制措施,与被审计企业领导班子成员以及有关部门、所属单位负责人等开展针对性访谈,并根据访谈结果组织实施相应的审计检查程序。 3.2.3审计人员运用审阅、复核、对比分析等审计程序,对控制环境和相关财务及业务数据的变化情况进行符合性和分析性检查,并根据检查整体情况对审计方向和重点适时作出合理调整。
3.2.4实施审计抽样,开展符合性测试和实质性检查。依据审计实施方案确定和调整的审计方向及重点,审计人员应采用判断抽样和随机抽样相结合的审计方法予以符合性测试和实质性检查。审计抽样的主要步骤包括:
3.2.4.1确定样本量。一般按照业务发生的频率并参照国际通行的抽样矩阵确定抽样数量,即对业务每年发生一次的,抽1笔;每年一次以上至每月一次的,至少抽2笔;每月一次以上至每周一次的,至少抽5笔;每周一次以上至每天一次的,至少抽15笔;每天多次的,至少抽25笔。
3.2.4.2抽取样本。确定样本数量后,审计人员应根据所检查业务流程的经济业务特性和样本分布情况,按审计抽样的相关规定选择合适的样本。
3.2.4.3在实施审计抽样时,还应考虑以下因素:
(1)应侧重抽取发生业务的重要下属单位和异常业务发生单位的样本。
(2)应侧重抽取主要的供应商及客户等重要业务发生对象和异常业务发生对象的样本。
(3)应侧重抽取年初、年末或半年末、季度末的样本。
(4)应侧重抽取金额较大和金额异常的样本。
(5)应侧重抽取某些特定或非正常事项的样本,如销售及成本费用红字冲销、大额修理费用暂估、ERP上线企业手工结转成本、预算外支出等事项。
3.2.4.4对于检查发现存在缺陷或问题较多的业务(或控制点),审计人员应主要运用判断抽样的方法适当增加样本量,并对存在问题或缺陷的关键控制点进行实质性检查。
3.2.5 IT应用控制点的检查。IT应用控制点中,权限及职责分离类控制要求的检查,由BASIS人员和审计人员共同完成;配臵及业务操作类控制要求的检查,由审计人员与企业关键用户共同完成。 3.2.6控制点的审计评价。审计人员应对所检查公司层面和业务层面控制点设计及执行的有效性进行客观评价。
3.2.6.1评价设计有效性。应以风险为导向,以总部下发的企业内控手册为标准,结合内部控制五大控制目标和成本效益原则,对内控设计的有效性作出恰当评价。对于判断设计无效的控制点,应说明依据和理由以及造成的实际影响等。
3.2.6.2评价执行有效性。评价内控执行的有效性,主要依据控制措施是否得到有效执行、是否实现了控制目标作出评价。具体评价因素包括:
(1)相关控制是否得到持续一致的运行。
(2)各控制环节是否由适当的人员执行。
(3)是否在适当的时间被执行。
(4)执行方式是否恰当。
(5)执行结果是否进行了适当的记录。
(6)执行时发现的差异是否及时得到了跟进。
3.2.7填写审计评价底稿。审计人员按要求检查完毕并收集完证据后,应严格按照内控审计评价底稿模板的要求,如实规范填写检查底稿。对于检查结论为“无效”的控制点,应详细记录问题样本,描述具体问题、产生的原因、所涉及的风险、整改意见及建议,构成缺陷的还应描述所涉及的具体缺陷,并留存有关证据材料。对于内控审计发现的重大、重要缺陷和造成重要影响或较大损失的一般缺陷,必须落实责任。
3.2.8内控审计评价底稿编制完成并经相关人员复核后,审计组应与被审计企业交换意见,交由相关流程责任部门负责人签字并加盖单位(或部门)公章。同时收回《审计人员廉洁纪律执行情况意见反馈表》。
3.2.9审计工作要求。
3.2.9.1审计组长和主审应加强业务指导和质量控制,合理掌控审计进度,积极引导审计人员深入查找问题、严格落实责任,及时召开审计组碰头会,准确把握审计方向,研究解决审计中发现的问题或难题;审计人员应按照审计实施方案的分工安排,各司其职,相互配合,以问题和风险为导向,积极主动并创造性地开展内控审计工作,确保审计程序到位。
3.2.9.2在审计查证过程中,审计组应积极利用内外部审计以及其他监督机构的成果,对审计区间内发生且截至审计日仍未整改或虽已整改、但造成重大外部影响的问题,经审计组长认定后可作为评价内部控制和认定缺陷的依据。
3.2.9.3审计组实施现场审计过程中,应加强与被审计企业的信息沟通与交流。对审计发现的问题,应与被审计企业及时沟通,深入剖析问题产生的原因及可能引起的风险,督促制定整改措施。 3.3审计终结
3.3.1内控审计评价底稿签字确认后,审计组长应指定主审起草内控审计评价报告。报告应具备标题、正文、报告日期等要素,具体格式参见内部控制审计评价报告模板。
3.3.2内控审计评价报告撰写完成后,审计组长应组织审计人员进行认真讨论和修改,形成内控审计评价报告初稿,以审计组名义与被审计企业初步交换意见并进行现场讲评。
3.3.3审计报告的审理、签发与送达。审计组根据反馈意见和查证的事实对审计报告进行修改完善,相关责任人在审计报告封面背书签字后,连同审计评价底稿等资料一并按规定程序和时间要求报送审理。审计报告经审计部门负责人审阅后签发。审计报告主送被审计企业,抄送内控管理等相关部门和审计实施机构。
3.3.4审计决定的下达。对审计发现的涉及会计账目调整、资金追缴等需要纠正的事项和严重违纪违规的行为,应下达审计处理决定。主审起草审计决定书,按规定程序和时间要求报送审理。审计决定书经审计部门负责人审阅后签发。审计决定书主送被审计企业,抄送内控管理等相关部门和审计实施机构。
3.3.5审计组长和主审以及审计机构应跟踪内控审计评价报告和审计决定书中审计意见及建议的落实情况,督促被审计企业按规定日期报送审计问题整改相关资料,并可根据需要组织实施后续审计。 3.3.6内控审计评价项目结束后,主审和审理人员应及时组织做好资料的收集、整理和立卷归档工作,并按照规定做好审计档案的保管和移交工作。
4监督与考核
4.1本规范指引是审计部门开展内控审计评价工作的遵循,是审理和考核内控审计项目的主要依据。
4.2审计部门应依据本规范指引严格审理内控审计评价项目,并加强对审计实施机构、审计组长、主审以及审计人员的监督和考核。 4.3审计局负责对总部组织开展的内控审计评价项目进行监督考核,并通过审计工作督导等方式对企业审计部门开展的内控审计评价项目进行监督和指导。
4.4审计组及审计人员违反本规范指引导致内控审计评价项目出现质量问题,按照《中国石化审计项目质量考核评估办法》等规定进行处理。
