（一）背景

（1）为了规范公司内部控制审计，提高审计工作效率，保证审计工作质量，根据《中华人民共和国审计法》（以下简称《审计法》）及相关法律法规，结合公司内部审计工作的具体情况，特制订本方案。

（2）本方案所称内部审计，是指在公司内部的一种独立客观的监督和评价活动，它通过审查和评价公司经营活动及内部控制的真实性、合法性和有效性来促进公司经营目标的实现。

（二）内部控制审查的范围

内部控制包括环境控制、活动控制、风险评估、信息及沟通、监督五要素，贯穿于公司经营活动的全部过程，构成了内部控制审计审查的范围。

1.环境控制审查

（1）所属单位的管理哲学和经营风格。

（2）所属单位的诚信原则和道德价值观。

（3）所属单位组织结构、职责划分的合理性以及管理权限的集中程度、管理行为守则的健全性和有效性以及管理层对逾越既定控制程序的态度等。

（4）所属单位员工能力、各层管理人员的知识与技能、重要岗位人员的权责匹配程度以及人力资源政策与实务。

（5）所属单位员工业绩考核与激励机制的有效性、员工聘用程序及培训制度的有效性。

（6）所属单位员工对企业文化内容的理解和认同程度。

2.活动控制审查

（1）货币资金控制：不相容职务是否相分离，对货币资金的收、管、支过程中的关键控制点是否作出了较为严格的规范，授权制度及其有效性以及会计控制方法的有效性。

（2）实物资产控制：实物的取得、保管、领用、发出、盘点处理等关键控制点是否有效控制，会计记录与实物保管是否相互分离和制约，非实物保管人员无权领发货物等一系列控制方法是否健全有效，是否存在因控制实效发生各种实物资产被盗、毁损和流失。

（3）经营、服务与收款控制：客户管理、广告投放、收款方式等销售政策、制约机制以及减少应收账款、坏账损失控制制度的健全性和有效性。

（4）采购与付款控制：采购过程中因不正当行为导致本单位资金流失或采购物资质次价高等问题控制的有效性，对采购决策权有无制约机制，实施采购各环节的相互制约和监督机制是否得到保障。

（5）成本费用控制：成本费用控制系统是否健全，开发成本和经营成本是否进行目标或计划成本管理控制、考核、奖惩制度的健全性和有效性程度。

（6）预算管理控制：是否建立完善的预算管理体系，预算指标审定、执行、考核是否符合规定程序，经营计划、财务预算是否存在失控现象。

（7）工程项目控制：项目招投标、承发包及合同外的工程、费用等关键环节是否做到有效控制。

（8）投资控制：投资的决策制约机制和程序是否健全有效，是否有集体审议联签等内部控制制度，是否有权威的投资可行性研究和投资效益论证，是否对投资风险进行充分分析评估。

（9）市场调研控制：研发项目立项决策程序是否健全有效，是否对研发项目的风险进行评估和有效控制。

（10）筹资控制：筹资活动控制是否有效，控制体系是否能保障降低筹资成本和筹资风险。

（11）担保控制：对外担保业务、减少担保损失的制约机制是否健全和有效，是否有效地规避担保损失风险。

3.风险评估审查

（1）评估分析所属单位抗风险的能力、风险管理方法的有效性。

（2）评估分析所属单位是否存在片面追求财务杠杆的运用，忽视了经营风险或对市场分析不充分，影响了经营战略的制定和及时调整等。

4.信息及沟通审查

信息及沟通审查主要审查所属单位管理信息系统控制流程是否合理有效，具体获取及处理以下内容。

（1）货币资金控制：不相容职务是否相分离，对货币资金的收、管、支过程中的关键控制点是否作出了较为严格的规范，授权制度及其有效性以及会计控制方法的有效性。

（2）实物资产控制：实物的取得、保管、领用、发出、盘点处理等关键控制点是否有效控制，会计记录与实物保管是否相互分离和制约，非实物保管人员无权领发货物等一系列控制方法是否健全有效，是否存在因控制实效发生各种实物资产被盗、毁损和流失。

（3）销售与收款控制：客户管理、广告投放、收款方式等销售政策、制约机制以及减少应收账款、坏账损失控制制度的健全性和有效性。

（4）采购与付款控制：采购过程中因不正当行为导致本单位资金流失或采购物资质次价高等问题控制的有效性，对采购决策权有无制约机制，实施采购各环节的相互制约和监督机制是否得到保障。

（5）成本费用控制：成本费用控制系统是否健全，开发成本和生产成本是否进行目标或计划成本管理控制、考核、奖惩制度的健全性和有效性程度。

（6）预算管理控制：是否建立完善的预算管理体系，预算指标审定、执行、考核是否符合规定程序，经营计划、财务预算是否存在失控现象。

（7）工程项目控制：项目招投标、承发包及合同外的工程、费用等关键环节是否做到有效控制。

（8）投资控制：投资的决策制约机制和程序是否健全有效，有无集体审议联签等内部控制制度，有无权威的投资可行性研究和投资效益论证，是否对投资风险进行充分分析估计。

（9）产品研发控制：研发项目立项决策程序是否健全有效，是否对研发项目的风险进行评估和有效控制。

（10）筹资控制：筹资活动控制是否有效，控制体系是否能保障降低筹资成本和筹资风险。

（11）担保控制：对外担保业务、减少担保损失的制约机制是否健全和有效，是否有效地规避担保损失风险。

5.监督审查

（1）所属单位是否通过设立内部审核稽查机构或人员，对本单位内部控制制度和经营活动进行监督、鉴证、检查和评价而实施再控制。

（2）所属单位是否建立完善的管理层对内部控制的自我评估系统，并有效运行，并对已发现的内部控制缺陷是否能得到及时妥善的处理。

审计部门根据实际情况对不同范围的内部控制业务实施内部审计监督、评价，可对所属单位的整体内部控制要素实施审计评价，也可对部分内部控制要素或控制载体实施审查评价。

（三）内部控制审计人员的工作内容

公司内部控制审计人员的工作主要是测试和评价构成内部控制的各个要素，具体内容包括检查评价内部控制是否健全、测试内部控制是否有效、评价内部控制是否科学合理以及审核检查内部控制的相关资料。

1.检查评价内部控制是否健全

公司内部控制审计人员负责检查所属单位目前的内部控制制度，对所有业务系统应设置的控制环节和关键控制点的控制措施的严密性和完整性进行总体评价。检查评价的具体项目有各个控制环节的控制功能是否符合内部控制设计要求、是否与本单位的特点和管理需要相适应、是否能对相应的业务活动起到真正的控制作用以及是否能确保实现整个业务处理系统的控制目标。

2.测试内部控制是否有效

公司内部控制审计人员在内部控制健全性检查评价的基础上，对所属单位有关经济业务活动的运行与相关内部控制的符合程度进行相应的测试，对各控制措施在实际经济活动中是否得到贯彻执行、履行结果与预期目标相差有多少、部门和个人是否严格按规定的程序处理业务、是否存在违规行为、是否因制度失去控制致使重大经济损失形成等事项进行相应的评价。(www.daowen.com)

3.评价内部控制是否科学合理

公司内部控制审计人员负责评价所属单位内部的控制设置是否科学合理，具体控制是否有效、适度，以及总评其能否保障企业经营目标的实现和规范化的管理。

4.审核检查内部控制的相关资料

公司内部控制审计人员必须对所属单位的具体经济业务信息进行认真检查，着重检查数据是否合法、真实、正确、完整，并仔细审核检查所属单位内部控制的相关资料。

（四）内部控制审计的程序和方法

1.内部审计人员对内容控制的审计

内部审计人员对内部控制进行审计时，应遵循公司审计制度，按以下基本程序进行：首先进行内部控制健全性检查，包括调查内部控制和描述内部控制，并进行初步评价；然后进行内部控制符合有效性测试、内部控制实质性测试和内部控制综合评价。

2.内部控制健全性检查及初步评价

（1）调查内部控制。

1）实施审计前或进驻所属单位后，内部审计人员通过查阅组织系统图，收集、审阅和分析本单位各项有关规章制度、业务处理程序和人员职责分工、生产经营基本状况等文件资料以及向有关部门和人员进行调查，了解和掌握本单位内部控制运行情况。

2）内部审计人员对所属单位的内部控制进行调查时，应当考虑本单位业务规模、复杂程序、控制类型和控制程序等，恰当地确定调查范围。

3）内部审计人员对所属单位的内部控制现状进行调查时，应当关注本单位的控制环节、控制执行凭证、控制执行记录形式和控制程序运用的连续性。

（2）描述内部控制。

1）将所属单位或所审计事项的内部控制运行情况通过文字叙述或流程图等书面形式记录、描述出来，以供测试和评价。

2）根据现有内部控制描述有关业务的运行流程和控制点，再根据理想模式和专业判断，着重描述应设立的控制点，特别是关键控制点的设立情况。

3）内部控制描述方法包括文字叙述法、问卷调查法和流程图法。

文字叙述法就是用文字说明内部控制。

问卷调查法就是根据需要调查项目的内容，列出提纲，编制内部控制审计调查表，向有关人员进行询问，按规定程序形成书面记录，或将调查表发给本单位有关部门、人员，由他们填写后审查核实。

流程图法就是在深入调查测试的基础上，内部审计人员以图解形式，根据本单位业务流程，运用符号反映和描述内部控制。

（3）检查、评价内部控制健全性应考虑的因素。

1）控制措施存在与否。

2）存在的控制程序是否准备执行、是否有可操作性。

3）是否存在失控环节。

4）失控的性质和原因。

5）失控对控制系统的影响。

6）审计方案对内部控制的依赖程度。

7）内部控制的局限性。

3.内部控制符合有效性测试

（1）内部控制符合有效性测试的程序。

1）业务测试：针对业务控制程序，在确定审计的业务系统中，选择若干笔业务，沿着规定的业务处理程序进行穿行测试，观察、检查制度中规定的各项控制措施（即控制点，特别是关键控制点）在实际经济活动中的执行情况。

2）穿行测试：既可采取顺查法，也可采取逆查法，重点是检查在这些事项的业务处理过程中，各控制环节的处理手续是否按规定办理，内部控制是否按规定发挥了作用。

3）功能测试：针对业务控制程序中的关键控制点，选取若干笔业务，检查各项控制措施在实际工作中的运用效果。

（2）内部控制符合有效性测试的方法。

1）证据检查法：通过对所属单位会计凭证、通知单、报告、申请书、批准书以及能反映控制措施的文件进行检查，以确定规定的控制措施是否已得到有效执行。

2）复检法：部分或全部重复所属单位的业务人员所采用的同样的工作程序，以确认这一程序是否能发挥控制作用，所有控制措施是否能被切实遵循。

3）实地观察法：到工作现场观察某些控制措施的执行情况，以检查有关内部控制措施是否得到执行。

4）分析性复核法：通过研究、比较所获资料间的关联性（如所属单位资料与同业趋势比较分析、以前年度与预计结果比较分析），利用分析性复核程序所取得的证据，作为审计结论或审计意见的基础资料。

（3）内部审计人员对所属单位内部控制进行健全性检查中，出现下列情况之一时，可不进行符合有效性测试，而直接进行实质性测试。

1）相关内部控制不存在。

2）相关内部控制虽然存在，但并未有效运行，或存在严重弊端。

3）易于发生错误的业务环节，存在固有风险以及控制风险高的业务。

4）符合性测试的工作量可能大于进行符合性测试所减少的实质性测试的工作量。

5）对被审计企业规模小的，不进行符合性测试，直接实施实质性测试程序。 4.内部控制实质性测试 内部控制实质性测试按照审计工作程序的有关规定，采取检查、观察、计算、分析性复核、查询及函证等审计方法，对所属单位相关资料进行实证性审核，检查业务活动是否合规合法，记录是否正确、真实、可靠。

5.内部控制进行综合评价 （1）评价内部控制的适用性、科学性，即所属单位所设立的内部控制，是否有利于促进本单位进一步改革与发展，有利于推进管理创新和技术创新，增强公司的核心竞争力。

（2）各项控制措施方面存在的缺陷对相应的控制点的影响及控制点方面存在的缺陷对各项业务系统内部控制的影响，揭示可能产生的后果。

（3）对所属单位内部控制的系统性、牵制性、协调性进行整体分析与评价。

（五）说明

本方案于2008年3月5日经公司董事会审议通过，自2008年4月1日起执行。