组织层面内部审计，通常也称从整体层面的审计，应通过审查内部 环境、风险评估、控制活动、信息与沟通以及内部监督五个要素，对组 织层面内部控制的设计与运行情况进行审查和评价。

1.审查与评价内部环境

内部环境是内部控制的基础，代表着组织治理层和高级管理层对内部控制的重视程度，影响着所有层级的员工对内部控制的认识和态度。 良好的控制环境是实施有效的内部控制的基础，只有在良好的内部控制 环境下，组织才能建立完备的内部控制系统并有效地执行。

内部审计人员在开展内部控制环境要素的审计时，应关注组织架构、发展战略、人力资源、组织文化、社会责任等，以进行审查和评 价。

(1) 组织架构

组织架构是指组织按照国家有关法律、法规、股东 (大) 会决议、 组织章程，结合本组织实际情况，明确董事会、监事会、经理层和组织 内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制 度安排。组织架构可以分为治理架构和内部机构。

内部审计人员应当关注组织架构在设计与运行中的各项风险，并在审查和评价时重点关注：组织架构的设计是否符合国家有关法律法规的 规定；组织架构是否形成了重大决策、重大事项、重要人事任免及大额 资金支付业务等的集体决策或联签制度；组织架构是否合理设置了内部 职能机构，并明确职责体现了不相容职务相互分离的要求；组织架构中 是否对其治理结构和内部机构设置进行了梳理，保证其运行的合理性和 有效性；组织架构中是否建立了科学的投资管控制度；组织是否定期对 组织架构设计及运行的效率和效果进行了评估，对存在的缺陷进行了优 化调整。

(2) 发展战略

发展战略是指组织在对现实状况和未来趋势进行综合分析和科学预测的基础上，制定并实施的长远发展目标与战略规划。

内部审计人员应当关注组织在制定与实施发展战略中的各项风险，并在审查和评价时重点关注：组织是否在制定发展目标时进行了充分的 调查研究、科学分析预测和广泛征求意见；是否依据发展目标制定战略 规划；董事会是否下设战略委员会或指定相关机构负责发展战略管理工 作，其职责和议事原则是否明确；是否根据发展战略制定年度工作计  划，编制全面预算；是否对发展战略的实施情况进行监控和定期分析。

(3) 人力资源

人力资源是指组织组织生产经营活动而录 (任) 用的各种人员，包 括董事、监事、高级管理人员和全体员工。

内部审计人员应当关注人力资源管理领域的各项风险，并在审查和评价时重点关注：组织是否结合生产经营的实际需要，制定了需求计划 并完善引进制度；人力资源选聘程序是否符合职位要求、公开、公平； 是否依法与员工签订劳动合同；是否建立了培训等人才培养的长效机  制；是否建立了人力资源的激励约束机制和绩效考核制度；是否制定了 定期轮岗制度；是否建立健全了员工的退出机制。

(4) 组织文化

组织文化是指组织在生产经营实践中逐步形成的、为整体团队所认 同并遵守的价值观、经营理念和组织精神，以及在此基础上形成的行为 规范。

内部审计人员应当关注组织在加强组织文化建设中的各项风险，并在审查和评价时重点关注：组织是否根据其发展战略和实际情况培育了 具有自身特色的组织文化；董事、监事、经理和其他高级管理人员是否 发挥了主导和模范作用；组织文化是否渗透到组织的生产经营全过程， 并使得全员参与其中；是否定期对组织文化进行评估，并对发现的问题 采取相应的措施。

(5) 社会责任

社会责任是指组织在经营发展过程中应当履行的社会职责和义务，主要包括安全生产、产品质量 (含服务，下同) 、环境保护、资源节 约、促进就业、员工权益保护等。

内部审计人员应当关注组织在履行社会责任反面的各项风险，并在审查和评价时重点关注：是否建立了严格的安全生产管理体系、操作规 范和应急预案，强化安全生产责任追究制度；安全生产措施是否到位、 责任是否落实；是否建立了严格的产品质量控制、检验制度及售后服务 制度；组织是否建立并执行了环境保护和资源节约制度；是否依法保护 员工的合法权益。

2.审查与评价风险评估

每个组织都会在经营活动中面临来自内部和外部的不同风险。组织 的管理层应当确定组织可以承受的风险水平，识别可能面临的风险、评 估其严重程度并采取相应的措施。

(1) 组织战略和目标的沟通

制定目标是风险评估的先决条件，只有确立了既定的战略和目标， 才能实施有效的控制。组织的风险评估就是对组织战略目标实现过程中 出现的风险进行评估，而组织战略和目标的沟通保证了风险评估在组织 内部的贯彻。

内部审计人员在审查和评价组织战略和目标的沟通时应当重点关

注：组织目标是否恰当，是否与组织的战略、环境相适应，总目标能否 传达到相关层次；具体策略和业务流程层面的目标与整体目标是否相互 协调；是否明确影响整体战略实施的关键因素；各级管理人员是否能够 参与目标制定，并明确相关责任。

(2) 风险评估过程

风险评估过程是组织对风险进行评估的实施过程，包括风险识别、对风险重大性的评估、对风险发生可能性的评估以及应对措施的确定。

内部审计人员在审查和评价风险评估过程时应当重点关注：组织是否建立了完备的风险识别机制；是否建立了有效的评估风险方法；是否 通过正式的分析程序来进行风险分析。

(3) 对风险的管理

内部审计人员在审查和评价风险评估过程时应当重点关注：是否建立了某种机制，识别和应对可能对企业产生重大且普遍影响的变化；企 业风险管理部门是否建立了某种流程，以识别经营环境发生的重大变  化；企业财务部门是否建立了流程，以适应会计准则的重大变化，当企 业业务操作发生变化并影响交易记录流程时是否及时通知财务部门。

3.审查与评价控制活动

控制活动是组织通过政策和程序所采取的行动的总称，包括授权审 批控制、不相容职务分离控制、会计系统控制、财产保护控制、预算控 制、运营分析控制、绩效考评控制以及合同管理控制等。

4.审查与评价信息和沟通

在高速发展的信息时代，准确的信息和及时的沟通对组织运营具有 至关重要的影响。在不断变化的环境中，良好的信息与沟通系统可以让 组织应对运营中遇到的各类风险。

对信息与沟通要素进行审查和评价时，内部审计人员应当分别考虑 信息与沟通两个方面的内容。信息分为内部信息和外部信息。内部信息 包括管理层建立的记录及报告经营业务与事项，维护资产、负债和所有 者权益的办法与记录；外部信息包括市场占有率、法律法规和顾客反馈 等信息。沟通应当使员工了解其职责，并能保持其对财务报告的控制。 它包括使员工了解其在会计系统中的工作，如何与他人联系，如何向上 级报告例外情况。沟通的方式主要有组织规章制度、财务制度、备查簿 以及口头交流和管理示例等。

内部审计人员应根据各项指引中有关内部信息传递、信息系统、财务报告等规定为依据，对信息处理和传递的及时性、反舞弊机制的健全 性、财务报告的真实性、信息系统的安全性以及利用信息系统实施内部控制的有效性进行审查和评价。

(1) 内部信息传递

在审查和评价内部信息传递时应当重点关注：内部报告系统是否功 能健全、内容完整；向适当人员提供的信息是否充分、具体和及时，使 之能够有效履行其职责；是否明确内部信息传递的内容、保密要求及密 级分类、传递方式、传递范围以及各管理层级的职责权限等；对不恰当 事项和行为是否建立了沟通渠道。

(2) 财务报告

在审查和评价财务报告时应当重点关注：组织是否按照国家统一的 会计准则制度规定进行会计记录和财务报告的编制；财务报告是否内容 完整、数字真实、计算准确、没有漏报；是否定期进行收入、费用、成 本、资产、负债、现金流量等的财务分析，并传达给有关的管理层。

(3) 信息系统

在审查和评价信息系统时应重点关注：信息系统的开发及变更是否 与企业战略计划相适应；管理层是否提供适当的人力和财力以开发必需 的信息系统；是否建立了严格的用户管理制度；是否建立了系统数据定 期备份制度；是否对信息系统进行了安全策略的保护。

5.审查与评价内部监督

监督是对内部控制运行质量不断进行评估的过程，是在内部控制实 施过程中必不可少的环节。通过定期地评估，对内部控制进行监督，可 以及时发现内部控制过程中存在的问题，并进行改正，以确保内部控制 系统可以持续有效地进行。

内部审计人员在审查和评价组织的内部监督时应当重点关注：组织对经营业绩是否进行持续的监督；组织是否对内部控制进行定期的评  价；组织管理层是否会采纳监督人员的建议，及时纠正控制运行中的偏 差；组织是否建立协助管理层进行监督的机构 (如监事会、审计委员会 和内部审计机构等) 。

业务层面内部审计

企业内部控制的政策和程序，更多、更具体地体现在其日常经营的 业务活动中。要想做到对内部控制设计的合理健全性和运行的有效性进 行全面的测试和评价，还应对业务层面内部控制的设计和运行情况进行 审查和评价。内部审计人员应当根据管理需求和业务活动的特点，针对 采购业务、资产管理、销售业务、研究与开发、工程项目、担保业务、 业务外包、财务报告、全面预算、合同管理、信息系统等方面进行审查 和评价。

(1)资金活动至少应关注以下方面风险的控制：筹资决策不当，引发资本结构不合理或无效融资，可能导致企业筹资成本过高或债务危 机；投资决策失误，引发盲目扩张或丧失发展机遇，可能导致资金链断 裂或资金使用效益低下；资金调度不合理、营运不畅，可能导致企业陷 入财务困境或资金冗余；资金活动管控不严，可能导致资金被挪用、侵 占、抽逃或遭受欺诈。

(2)采购至少应关注以下方面风险的控制：采购计划安排不合   理，市场变化趋势预测不准，造成库存短缺或积压，可能导致企业生产 停滞或资源浪费；供应商选择不当，采购方式不合理，招投标或定价机 制不科学，授权审批不规范，可能导致采购物资质次价高，出现舞弊或 遭受欺诈；采购验收不规范，付款审核不严，可能导致采购物资、资金 损失或信用受损。

(3)资产管理至少应关注以下方面风险的控制：存货积压或短   缺，可能导致流动资金占用过量、存货价值贬损或生产中断；固定资产 更新改造不够，使用效能低下、维护不当、产能过剩，可能导致企业缺 乏竞争力、资产价值贬损、安全事故频发或资源浪费；无形资产缺乏核心技术、权属不清、技术落后、存在重大技术安全隐患，可能导致企业 法律纠纷、缺乏可持续发展能力。

(4) 销售业务至少应关注以下方面风险的控制：销售政策和策略不当、市场预测不准确、销售渠道管理不当等，可能导致销售不畅、库 存积压、经营难以为继；客户信用管理不到位、结算方式选择不当、账 款回收不力等，可能导致销售款项不能回收或遭受欺诈；销售过程存在 舞弊行为，可能导致企业利益受损。

(5) 研究与开发至少应关注以下几方面风险的控制：研究项目未经科学论证或论证不充分，可能导致创新不足或资源浪费；研发人员配 备不合理或研发过程管理不善，可能导致研发成本过高、舞弊或研发失 败；研究成果转化应用不足、保护措施不力，可能导致企业利益受损。

(6) 工程项目至少应关注以下方面风险的控制：立项缺乏可行性研究或者可行性研究流于形式，决策不当，盲目上马，可能导致难以实 现预期效益或项目失败；项目招标暗箱操作，存在商业贿赂，可能导致 中标人实质上难以承担工程项目、中标价格失实及相关人员涉案；工程 造价信息不对称，技术方案不落实，概预算脱离实际，可能导致项目投 资失控；工程物资质次价高，工程监理不到位，项目资金不落实，可能 导致工程质量低下，进度延迟或中断；竣工验收不规范，最终把关不  严，可能导致工程交付使用后存在重大隐患。

(7) 担保业务至少应关注以下方面风险的控制：对担保申请人的资信状况调查不深，审批不严或越权审批，可能导致企业担保决策失误 或遭受欺诈；对被担保人出现财务困难或经营陷入困境等状况监控不  力，应对措施不当，可能导致企业承担法律责任；担保过程中存在舞弊 行为，可能导致经办审批等相关人员涉案或企业利益受损。

(8) 业务外包至少应关注以下方面风险的控制：外包范围和价格确定不合理，承包方选择不当，可能导致企业遭受损失；业务外包监控 不严、服务质量低下，可能导致企业难以发挥外包的优势；业务外包存在商业贿赂等舞弊行为，可能导致企业相关人员涉案。

 内部控制审计的方法

访谈法

访谈法是内部审计人员在审计过程中为了获取有关信息，与组织中 的职员直接进行的面对面口头交流，是一种重要的审计数据收集技术。 审计访谈按照访谈过程的控制程度划分为结构性访谈和非结构性访谈。 结构性访谈需要事先设计、精心策划，有调查表或问题清单等书面资  料，内部审计人员对访谈过程实施有力的控制，常用于完成调查表或流 程图。非结构性访谈无须事先策划，过程自由，没有过多控制，常用于 审计初步调查。

审计访谈按照参加人数划分为个别访谈和会议访谈。个别访谈是内 部审计人员和被访者一对一的面谈；会议访谈是内部审计师和被访者的 一方或双方有多人参加的访谈。

访谈法在获取审计证据中的应用如下。

1.审计首次会议时的访谈

首次会议的访谈是指审计项目组和客户管理层进行的第一次面对面 交谈，其目的在于说明审计目的、审计范围和要求客户协助的事项，并 期望客户介绍情况以便审计人员对审计对象有进一步了解。内部审计人 员最好在访谈开始前事先发放内部审计宣传手册，并结合已经致送客户 的审计通知书进行谈话，便于客户理解及会后阅读。

首次会议的访谈实际上还不是严格意义上的审计工作访谈，更多的 是一种建立关系的接触和象征性的沟通。当客户的最高主管参加会议时，审计执行主管也应参加，这样有利于双方建立起融洽的关系。

2.审计初步调查时的访谈

审计初步调查时的访谈是为了了解审计项目的总体情况，因此，可 能并没有经过正式的准备，而是随时就关心的情况做简短的会谈，会谈 的场地也可能临时选择在调查地点，如库房、财务办公室等。但是，这 （更多内容可关注公众号CIA内审师小站）时的访谈也要引起内部审计人员的足够重视，事先应充分做好调查事项 相关资料的准备工作并谨慎行事，避免产生不良印象，从而建立起客户 对内部审计人员的信任。

3.实地调查阶段的访谈

由于此时进入了主要的审计数据收集阶段，访谈的应用会更多。此时访谈的目的有两个：

一是获取审计信息，尤其是希望获取关于重要问 题的信息，或者希望印证其他来源的信息；

二是就审计建议同客户进行 交流，这在双方存在不同意见时尤为必要。

4.审计终止会议时的访谈

在审计报告发表以前，重大的审计结果应通过口头或书面形式提交 给客户管理层，并召开审计终止会议加以讨论。会议前可以提交审计报 告草稿，如果来不及拟出审计报告草稿，可以提交审计结果汇总表等相 关材料作为会议的讨论基础。

5.涉及舞弊的访谈

虽然内部审计人员不是专职调查舞弊的专家，但是很多组织会要求 内部审计师进行舞弊调查。还有的组织为了预防职务犯罪及尽早发现舞 弊行为，规定所有职员定期参加访谈，而访谈工作的组织往往由内部审 计部门负责。显然，与舞弊嫌疑人访谈或进行这样的“预防”访谈是一件 很棘手的事情，需要特殊的访谈技巧。

穿行测试是指重新执行被审计单位的控制活动。企业有一些与内部 控制相关的活动，会产生相应的凭证和记录。但是只检查这些凭证和记 录，尚不足以让审计人员评价这些控制活动是否有效地得到了执行。例 如，（更多内容可关注公众号CIA内审师小站）假定某员工负责核实销售发票上的销售价格与价格表是否相符，而 销售发票又没有留下任何痕迹表明该员工已经核实过销售价格。在这种 情况下，审计人员通常采用的对策是，重新执行该控制活动，看看能否 得到恰当的结果。测试人员根据有关的资料和业务处理程序，重复做一 遍已经完成的业务，并比较处理结果，从而判明内部控制的运行是否有 效。如根据销售发票的记账联，月终汇总编制“产成品发出汇总表”与原 来的汇总表核对，根据有关记录重新编制“产品成本计算单”计算出产品 成本和期末在产品成本，并与原来的成本计算单进行比较等。如果处理 后的新结果与被审计单位的处理结果相同，则说明其内部控制运行已发 挥了功能。

实地调查法

实地调查法有两种：现场观察法和询问法。

现场观察法是调查人员凭借自己的眼睛或借助摄像器材，调查现场 直接记录正在发生的市场行为或状况的一种有效的收集资料的办法。其 特点是被调查者是在不知晓的情况下接受调查的。

1.现场观察法的类型

(1) 直接观察法，就是在现场凭借自己的眼睛观察市场行为的方法。

(2) 环境观察法，就是以普通人的身份对调查对象的所有环境因素进行观察以获取调查资料的方法。

2.询问法

询问法，是指将所调查的事项，以当面电话或书面的形式向被调查 者提出疑问，以获得所需的调查资料的调查方法。这是一种最常用的市 场实地调查方法，也可以说是一种特殊的人际关系或现代公共关系。正 因为如此，调查人员应该清楚地认识到，询问调查不仅要收集到被调查 所期望的资料，而且还要在调查中给被调查对象留下良好的印象，树立 公司的形象，可能时应该将被调查对象作为潜在用户加以说服。

询问法包括直接访问法、电话访问法、计算机辅助电话调查法 (CATI法) 、邮案方法、固定样本调查法。

抽样法

抽样法是指企业针对具体的内部控制业务流程，按照业务发生频率 及固有风险的高低，从确定的抽样总体中抽取一定比例的业务样本，对 业务样本的符合性进行判断，进而对业务流程运行的有效性做出评价的 方法。