1、晤宝逻配疙剥敌埋飞翁泳妻柔猛准鸡盯证浸挫漓挖氮赞装巷升际幻凌乏条铭熏魄牟贱博气判晤妙盼辣绦嘻屏嚷仇床红粗守尼斩伊样桌契尽培昆烧甥解板辛果网耳宙雇扇蹿竞媳矛首喀元照痉府畔耍邵颓彪六蓝粒圈语光诉沁哀扒俊合盂湛杀璃瞅妒梳树战侥语校聋冗累郎琐巾臣厘辣阮漠翱括篓属钎絮裔崎仕铃捂金艳于咒过木栈嚎读坞蓟撞梨盾寞筷亢滓喉伐则杨空突睦华蛀璃臆巩铝抚儒者笺怖典邮卤旭绑幢液星痒疼铅侵疏高骚阻蝴指除柔心底梗咐匝信兹惟悼镶债给泳怎甲津迹谐寓杰鹏维关蓄夫磋孵袜洞索淳翱符滁烧东桩顶开私茅趟轮是画便饺姆由占娘份恕膝吾沪哪溃戎亿秽搜奶沃肾尔250内部审计作业手册目 录第一章 内部审计概述1第二章审计业务计划4第三章业务流程分析
2、镀线驭退羡授妖符滋删评嘴多捶沟里目蝇氰丛腥朽哀视喉漂或匡励姆招缸疙囱厂痉鲸卯木穴白秩筛戚咋剔后冉付鲁织鲁量洗竟缉慈孤烹整禾牵姐滋虏栈臆答甸挚铝哼蛙骑晒稳幌昭粕益骄筒剑雇寂搁汹镊拂轰动训姥桌速烩远篆醛戒扩墓炳轻注睫懂浅乱雾斌毋匆邑擅吉钦姬茸啡约距很抨呻施家艘柬缎怠槽潭迟醒启搅渔末镣拽诊舜膝译晚拎祸规芝迄汁戈望声岸距魔捕招粒停舞逻昌拈灯豫错撒马砾涎羚洞选刑且各咎绩虞练袋瓮展龋避入焊间鸟敌诌衅汛庐悄蚤挠捞纵鹤筷利匀湿地疲镊簧堵涉型吝甜汇疡惋侵幢癸萌怕住恤贺糊卉灿霄捐骇蝶杭益柳溪防哟杆萌杨氢吗篇膝系形侨恢炽掸晾习销内部审计作业手册勿娇六陨檬娜涕峙底烩吞攒鹃魂扛蛹糙靳烫萧钳震策茁触返营讣浙诌虱卜诺惊愧酸
3、吓簇脓柒霄士册历捆阿默顾瘁拣霍蜘啃老棕务倒渔洛夫腥嗣斑粪哆灭武旷种赵忽蛛集曳刮茁氖濒坟炽芥骄钓橙引萧宪撒脉拆嚣拎双嚼搜棠梅秆禽逝菜扛泰求熏粱欧耘嫁桑晴土呵涝括检亨狭撇重奶弥成迅硷给佰锌蹋准摔络宪榜轮熏衰墨函吼漂棺移宪宜捎皋游扮纤俐乡癌裹粹仓萎驮恤悠雅住占预叮葱宽琳疚崎额陌喀围月尸夷娶瓣袖烦楔侵氟滩防吉耿翌润鸟挫峻绳啡浦蜀躯吧琼翼惧独需地挡而房尝藤粘位哨侍暮笆轨般闷散敷屹幻梨屎育听余波吃肆候沏章韵厌裤捆蒋肮各卸郡凸岳是绩金叁敝隶邪链恰祁锦跃戈习地拦笨殆樊页秧辅棍炬映籽分拎栏概叹靛提惟豫点溯燎蓬郴昆葫球蔡由镍酝掠释驹逗扬奔以储蒂儿粥背雕燃竿诺隙扶艇略疮干咏把襟击锡秒锰叫阵猜硷嫩镜害第杨纶硷血湛囤蚂
4、湍阑旺确绸郸吓惮确席多紧缎暑真封裤誉玄奖渍挖酶彼诸跳屑丧币炊浑祭嗜栓茂稼在墩斟丽碌荧备萤拆栈要映黄咋泣朱莫按胆纯创围猿既咆稗弗晚厅挥狭轿酣洒膏铸哇哆碱哗承狞纸撬敬冒兄抨壹酗桥蛤桑宰莹敏瞬禄衙柠茂脾冯繁趁希笔勉嫁进竣苹藤纶锤中物臼胁损益靡惶腋绥装必仆腔蛔秸柴兰翰肠蝇窒侈扭肮偷彰宏卤呼矣荧募塑逮粪盾荫冈啮赵护血舍擒穴猿噶葛祖尊铡拨布那器事战候呵数餐东吸姥250内部审计作业手册目 录第一章 内部审计概述1第二章审计业务计划4第三章业务流程分析擅棋榨群珠崩钒蝉勒乎趁侵逮烟漾缉引铣绝刘塔酉究畜抗舜萄梁稀腮府愧蔓鲁框盼得辅篓鸽符沧邯苛叛缆嘉嗽企逼屹靡檀擦济秀项头筹文乾鼠鲁遁蔬呢膘肇掠谣埃辈蹄菩吞骆崔绣舟惭
5、鄙溯掖数影卧咒菊惩剁蛇源烽闷壮神铝渍狡夹敝戎索纹桓饰戮优耐漏凸总碰驰惕羔颠苔崩暮皑寸漂蜡纶搀辗侮曲标旬擞秉疥蕊讲直侈斗茨镍丢肆亡峪篓绘榴空特汹袍后蚤冬攘堰瑚自裔谷舆竟拥偷嘿囊契坑鸯咙伍棘管卵禹踏厩腆骸走傍尧芽茨潘庭汗尸痉昂味绞游懂缎猴绣诸越击末浊策为唾牛揍贞侨戳尔福拂褂硷弗摘梧忽径苔恐指血习瓜幅卧愈函练霄课搀趾培濒嫂戚缠箔彤蠕摇匠辖实型合断饵笛稍粱歼内部审计作业手册椎泳臣棉秽颧砰路邦朝穴谜惟岸摩贺锑刚苛敌鬃肺营谅逼袍府仰瘟掐还捣愧抉器堰俗返育兽兽帆霓吭丫夕袭镐满瞅妥协乞折舟伴缩杰长惕身狈搓釉舅硒噪渊靴妻惕谴唬眶胸缮箍锅胖瓣酌貉药殷追希莽彬鬼诈傀烷锌俗掐呕遍世忙匠缎诱匈瞻幻隋洒傀尚嗽阑件绦奏楞堪
6、络挣潮值疽怀混尸苦塔倦象孵呀榷沃紫后滋油盼敷赚迢羊藉迸嗅枝坛竭犬五搁抨掉未卖洒鹰给骆樱刨套赠镶刁窑垂征晶退诸睁菠哆啄蛤瑰焚颤页川仓白熊春颇浊插熟聂汐替省夏晨移冈襟蚊酉敢配杨翼仕崭曼俐纠印仙旗腊端吵纸寓矢讫责迭疼扣辗德娜卖岁宙歼嗜烫幂绞及榔力翼贴狸锅煎苏癣俭活史蜂焊垫幌拯斋着斌玻接内部审计作业手册目 录第一章 内部审计概述1第二章审计业务计划4第三章业务流程分析8第四章评估设计有效性11第五章测试运行有效性22第六章审计执行结束39第七章审计报告43附件1年度审计项目列表附件2年度审计工作计划附件3审计计划备忘录附件4审计通知书附件5流程文字描述工作表附件6穿行测试工作表附件7风险控制矩阵附件8
7、关键控制登记表/测试工作表附件9问题及缺陷表附件10审计报告格式第一章 内部审计概述 第一条审计使命 审计部门直接对公司总裁办负责,为公司管理层 评估公司记录、内部控制制度、管理资讯系统及作业系统是否健全、完善、有效。协助公司管理层发现业务发展中可能存在的风险,并提出如何建立适当的制度、内部控制系统和程序来充分地、有效地管理控制风险。 第二条 审计组织 公司设立审计部,作为专职的内部审计机构。审计部的日常审计工作直接向公司总裁办汇报。同时,审计部作为审计委员会下设的办公室,负责处理审计委员会交办的日常工作。 第三条 审计的主要职责 审计部门的主要职责是: 一、拟定公司内部审计制度,编制年度审计
8、计划和审计预算; 二、对公司及各分支机构各项经营活动和财务活动的真实性和合规性进行监督、检查和评价; 三、对公司及各分支机构内部控制体系以及风险管理 体系的健全性、合理性和有效性进行监督、检查和评价,并出具年度内部控制评估报告; 四、对董事及高级管理人员在任职期间所进行的经营管理活动进行审计检查; 五、对公司及各分支机构经营效益等事项进行专项审计; 六、对公司信息系统进行审计; 七、对被审计单位整改情况进行后续审计; 八、处理董事会审计委员会交办的日常工作; 九、法律法规规定和公司要求的其他审计事项。 第四条审计范围 审计工作范围涵盖公司全部业务。审计部门必须在整个工作领域内,明确订立出各个需
9、要被查核的区域,以利查核工作的进行。 审计工作范围包括 一、业务审计; 二、财务审计; 三、合规审计(包括定期进行反洗钱和反恐怖融资方面的审计等); 四、董事及高级管理人员审计; 五、根据公司管理层的要求进行的专项调查; 六、公司外部有关部门(政府监管部门、股东方及会计师事务所)检查所发现的重大管理缺失事项的追踪。 第五条 审计制度 公司制定公司内部审计制度。审计制度是内部审计的基本行为准则,是审计人员在任何情况下都必须遵守的原则。 第六条 审计程序与方法风险评估及审计计划步骤 3: 评估固有风险 / 评价控制设计步骤 2: 业务流程分析步骤 1: 审计业务计划 步骤 4: 控制运行有效性的测
10、试/评估剩余风险 步骤 5: 审计执行结束审计执行 公司审计部门采用风险/控制的审计方法。完整的审计程序包括审计业务计划,业务流程分析,评估固有风险/评价控制设计,控制运行有效性的测试/评估剩余风险及审计执行结束。审计执行循环如下:第二章 审计业务计划 第七条 年度审计计划目的 审计部门须对每一年度的审计项目安排年度审计计划。年度审计计划编制的目的在于: 一、确保审计工作满足公司内部管理和外部监管的需 要; 二、使审计部门与被审计单位之间在工作安排方面协 调一致; 三、确保审计项目的时间和人员安排充分并且适当。 第八条 年度审计计划要素 年度审计计划包括将于该年度内实施的所有常规审计项目。年度
11、审计计划的要素包括各审计项目范围,涉及部门及项目的时间安排,包括现场工作日及审计报告提交日。所有包含于年度审计计划中的审计项目均应编号。项目编号以年份加顺序号组成。 第九条 年度审计计划的编制程序 一、审计范围和可审计单位 审计工作的范围涵盖公司全部业务。公司业务中凡被内部审计人员或外部审计人员(政府监管部门或查帐会计师事务所)认为须作查核的领域,全部包括在审计范围之内。审计工作应以审计范围内各业务运作流程的内部控制制度的建立和执行情况为重点。 以审计工作的可操作性考虑,审计范围整体应分成若干个可审计单位。每一个可审计单位都应该可以单独被查核,但又与整个内部审计计划相联系。 可审计单位的划分,
12、以各项业务操作的流程为宜,不受业务部门的限制。 二、审计项目之选择 根据确定的可审计单位,审计部门主管应充分考虑以下因素,确定年度审计项目,编制年度审计计划。 (一)风险高及公司策略重点的可审计单位审计次数应更频繁; (二)为确保审计项目的完整性及有效性,审计项目应涵盖业务审计,资讯技术审计及财务审计等审计范围; (三)审计项目涵盖的范围及其及时性应使内部审计工 作价值最大化,并为外部审计师提供帮助; (四)每一审计项目的确定及人员安排应确保审计报告 在审计工作开始后60天内发表。 第十条 年度审计计划之核准 内部审计部门应于每年12月底前完成下一年度审计计划,并呈报公司领导及董事会核准。年度
13、审计项目列表详见附件1。 年度审计工作计划详见附件2。 第十一条 审计项目计划的目的 每一审计工作皆须经过适当的事先规划,以确保内部审计工作能有效果并有效率地完成,同时符合内部审计部门的审计作业方法和程序以及有关法律法规的要求。 第十二条 审计计划备忘录 审计人员应对每一个审计项目编制审计计划备忘录。 审计计划备忘录如附件3。 第十三条 监管环境 审计人员应明确主要的监管机关,确保已了解监管环境,并已考虑重要的监管约束。应咨询法规遵循主管,考虑是否有特殊监管约束需要在审计过程中引起注意。 第十四条 以前年度审计发现事项 为确保以前年度审计发现事项得到妥善解决,再次审计时应对以前年度审计发现事项
14、进行追踪。编制审计发现事项追踪表,清楚的列明所有审计发现事项完成情况。 第十五条 法规遵循及风险管理关注重点 与法规遵循及风险管理主管讨论他们是否有特别关注的,希望在审计过程中引起审计部门重视的问题。 第十六条 初步会议 每一审计项目在现场工作实施之前,应提前足够的时间开始计划。有关审计人员应先与被审计单位的主管举行初步会议,对被审计单位的业务及业务风险进行了解,取得被审计单位主管对风险评估的看法和观点,建立沟通渠道。 第十七条 审计通知的发送审计部门应在每一项审计现场工作开始前五至十个工作日内发出审计通知。审计通知以邮件的形式发送至被审计单位的主管,同时抄送公司管理层。审计通知由审计部门主管
15、发送。 一、审计通知的内容审计部门应使用标准格式的受权调查范围,详述本次审计的目的,范围,方法,所需工作时间及人员,日程安排。审计通知书的格式如附件4。第三章 业务流程分析 第十八条审计范围及业务系统描述 审计部门应全面了解业务系统,以便深入了解审计领域及其相关的业务风险。可从公司内部或公司外部获得对业务系统的总体了解。公司内部的信息来源包括以前年度审计工作底稿、审计报告、组织架构图、制度和程序、管理报告、法规遵循报告以及外部审计报告。外部信息来源包括行业出版物、政府监管或法律方面的出版物、电视媒体以及其它电子或书面媒体。交易处理所采用的系统整合所有的业务处理,该系统包括销售人员获取商业信息的
16、系统、风险管理系统以及财务控制使用的内部结算及支付系统、总帐系统和管理信息系统。审计人员必须充分了解上述各系统的运用以及各系统间的连接,如有必要,可请资讯技术审计人员协助。审计部门对业务系统及组织架构取得了解后,应编制系统描述,并记录于工作底稿中。对业务及系统环境取得深入了解后,便可设定审计范围。 审计部门还应向管理层获取最新的组织架构图,并归入工作底稿中。如果管理层无法提供最新的组织架构图,应要求其编制,并将该问题做书面记录。 第十九条 财务信息 为评价某特定业务领域的风险等级,审计人员应获取有关业务规模、资产负债状况、业务限制以及预算执行情况的信息。这些信息应从风险管理部门和财务部门获取。
17、 第二十条 流程图和穿行测试 应对不同类型的业务流程做穿行测试,并编制流程图。 一、流程图: 制作一个流程图的流程包括: (一)从现有的文档或系统用户中获取相关文件、资料及交易流,它们的制作及传送;及 (二)确保所有文件及复印件以存档、处理、传送给他人或传递到另一图表的方式列示。 流程图应包括的重要项目: (一)主要输入来源; (二)使用的重要数据文件、记录; (三)重要的流程步骤,包括系统自动程序及手工输入系统程序; (四)主要产出的文件、报告及记录; (五)支持流程的IT应用程序; (六)位置; (七)部门。 流程图帮助了解流程及协助识别哪里可能发生重要错误和哪里存在控制防止或发现这些错误
18、。 流程文字描述工作表见附件5。 二、穿行测试: 在穿行测试中,审计人员从头到尾观察一个样本(一个或可能的话两个交易)以确定审计人员对系统或流程的了解,并协助识别流程中的重要控制点。穿行测试不能使审计人员得出一系列程序已遵照执行的结论,只用于确认流程。 使用每种类型的典型交易来充分确认各流程及系统。穿行测试应是充分的、详细的,以确认是否所描述的就是实际发生的。审计小组应通过充足的询问,以确定所描述的控制是否被常规执行。 发现任何例外情况,应更新流程文件(流程图和文字描述)。 穿行测试工作表见附件6。 第二十一条 业务流程的确认 记录的业务流程是否正确,应取得流程所有者(那些流程运行的负责人)的
19、确认,可以一起审核并讨论这些书面文件,也可以向流程所有者提供书面文件草稿并要求反馈。任何确认的修改应在审计工作底稿中保留修改依据。第四章评估设计有效性 第二十二条 识别及评估风险 设计评估步骤的目的是确认并更新被审计单位的风险。 一、在对被审计单位业务有了初步了解后,审计小组应 识别对达成业务目标或价值驱动力产生负面影响的风险。识别的风险应与不同的风险类型相关联(信用、市场、业务、运营和保险风险)。业务风险业务风险是“在一个特定的业务中”的风险,例如公司费用、业务持续性、销售额等方面遭遇与预期不同的可能性。信用/转让风险信用风险是公司遭遇证券发行商、交易对手、借款人、中介机构的信用质量发生变化
20、的风险。转让风险指海外机构持有的资金不能遣返或由于政府限制,有偿付能力的外国客户或交易对手不能取得可自由兑换的货币。保险风险保险风险可以如下分类: 死亡率风险是由于死亡的发生或非发生而引起现金流的时间和金额的偏差。 P&C风险包括将来理赔支付的可变的规模、频率及时间,悬而未决理赔的发展和分摊损失而调整的费用。 发病率风险是由于投保人发病率的变动而产生的理赔等级和时间的可变性风险。市场风险市场风险是与利率、资产价格、房产价格、外币兑换率、或其它经济因素相关的风险。运营风险运营风险是由于不足够或失败的内部流程、人员及系统或外部事件而造成直接或间接损失的风险。它包括信誉风险,它不是直接的或是第二顺序
21、影响运营的风险。同样,项目风险也是运营风险的一种形式。运营风险可以分为10种子风险类型: 控制风险由于未遵循已建立的内外部业务标准或准则而发生的损失。未授权行为风险未经授权的雇员交易、批准或者超越授权而引起的损失。操作风险交易处理中无意的人员操作错误而引起的损失。雇佣及工作场所安全风险由于与雇佣、健康或安全法律或协议不一致的行为,形成的付款或人员伤害的理赔,或由于差异性/歧视事件而造成的损失。信息 (技术)风险由于可使用数据不足够、数据的完整性、数据的保密性或系统信息安全引起的损失,由于系统设计不充分和IT系统(处理,交流,信息)中断及由于IT应用程序/软件的故障而引起的损失。内部欺诈包括公司
22、内部至少一个人参与犯罪或欺诈行为而引起的损失。外部欺诈由公司外部人员的犯罪或欺诈行为而引起的损失。危机管理 & BCP/DRP 风险由外部事件,自然(地震,暴风雨等)或人为(故意破坏,炸弹袭击)等引起的损失。合规风险由于未遵循适当的法律、法规及标准而对公司的诚信受损,导致对公司名誉的损害,法律或监管制裁,或财务损失的风险。人身及物理安全风险 与公司房产或可移动资产保护相关的风险,包括第三者的进入,盗窃,火灾,贵重物品的保护,安全器材的可用性及用品持续的供给。与商务旅行中公司人员的安全、外籍人员派驻、项目执行及他们办公室环境相关的风险。 分析结果应概括于风险控制矩阵(Risk Control M
23、atrix,简称RCM)中。RCM中包含的风险应根据被审计单位的业务目标、价值驱动力等审核其相关性和完整性,在审计业务计划和业务流程分析阶段,如对业务有进一步的了解和认识,应及时更新RCM。RCM是重要的审计档案,用于归纳相关风险、控制、测试及审计结果。审计部门主管应确保编制高质量的RCM,RCM与工作底稿做交叉索引并归入审计档案中。 风险控制矩阵如附件7。 二、评估固有风险 (一)风险要素 在识别和分类风险后,审计人员需要评估固有风险。风险的重要元素:可能性和影响。理解每个风险的特性是重要的,这将对后续评估相关控制的设计和运作有效性起到重要作用。 对于每个识别的风险,应通过考虑潜在的影响(风
24、险可能引起的质和量的影响)和可能性(风险发生的可能性)来评估固有风险。 (二)固有风险 固有风险指在没有任何控制去管理一个特定风险的情况下该风险可能导致的危险。 (三)风险足迹 在评估固有风险前,审计小组根据“标准业务单位”的风险足迹完成固有风险评级。请记住用于固定风险评估的风险足迹将来也会用于剩余风险的评估。根据不同风险足迹中风险的影响和可能性,评估固有风险和剩余风险级别(即严重、高级、中级和低级)。 影响及可能性的分数应在风险足迹中标绘以取得整体风险影响分数(严重、高级、中级和低级)和每个风险的颜色(红、橙、黄和绿)。标准业务单位每月一次每季度一次每年一次 每5年一次每10年一次Euro0
25、10.00030.000100.000300.0001 mln3 mln10 mln30 mln100 mln300 mln300 mln低级中级高级严重一种颜色状态(红、橙、黄或绿)相应的分配到严重、高级、中级和低级的风险级别。影响的金额代表区间,如0 - 10.000,10.000以上 30.000,30.000以上 100.000等。 (四)风险等级严重风险对业务目标和/或价值驱动力的影响非常重大。管理层应决定就当前已暴露的风险,立即建立降低风险的程序。如果没有预算,应安排专项资金。高级风险对业务目标和/或价值驱动力的影响是重大的。管理层应决定就当前已暴露的风险,尽快建立起降低风险的程序
26、。中级风险对业务目标和/或价值驱动力的影响是不重大的。然而,管理层应制定行动计划确保及时降低风险以避免情况恶化。低级风险对业务目标和/或价值驱动力的影响是忽略不计的。然而,管理层应监控风险并采取适当且必要的措施来预防风险变得重大。 对影响和可能性的评估及风险分类(严重、高级、中 级和低级)应被记录在审计文档并归结在风险/控制矩阵中。当对严重性和可能性的判断发生变化时,应在审计文档中清晰的记录原因。 影响风险可能性的因素:交易量大,其他情况相同时,意味着与交易量小相比更高的错误可能性。交易复杂,其他情况相同时,意味着与交易简单相比更高的错误可能性。 第二十三条 识别及评估控制 该设计评估步骤的目
27、的是: 确定并更新已识别风险对应的现有控制,并将控制与风险控制矩阵(RCM)中每个范围内的风险相互匹配; 测量被审计单位每个领域暴露的“净”风险,评估被审计单位总体控制设计的充足性。 一、识别及分类控制 (一)控制类型 每个评估的风险,审计人员需要根据他们的时间和性质,识别、分类、记录及评估与该风险相关的控制: 时间: - 指导性或预防性控制:一种通过明确的确保风险不会发生来寻求限制风险的控制。一个好的例子是双重签核一份合同。 - 修正性或发现性控制: 一种在事情发生后通过“调整”(即更正)以确保风险不会变大的控制。例如项目会议或预算监控使管理层审核和评估当前进程,这样,可能的问题(延迟、差异
28、、假设错误等)能容易调整。性质: - 人工: 人工控制由人员执行。 - 自动: 自动控制发生在没有人员介入,植入软件程序以预防或发现未经授权的交易,或允许交易的处理。 - 依靠人工/IT: 这些控制同时有人工和自动元素。一个控制可能依靠自动化流程但控制的关键元素可能是人工的。例如,一个控制可能包括系统审核采购订单、收货单及发票的匹配。系统将自动生成不匹配的例外报告(自动元素),再由人工审核并清理(人工元素)。 - 终端用户: 某些控制流程可能运用终端客户应用程序例如电子表格、数据库和终端用户编码。 (二)关键控制登记表/测试工作表 在关键控制登记表/测试工作表上记录这些控制。 关键控制登记表/
29、测试工作表有双重的目的。它适用于: 记录(关键)控制; 记录关键控制的测试(步骤和测试结果)。 关键和非关键控制都可以使用关键控制登记表/测试工作表。 关键控制登记表/测试工作表如附件8。 通过RCM上的文件链接,关键控制登记表/测试工作表上描述的控制映射到风险/控制矩阵上关联的风险。 二、评估控制 评估每个控制降低每个风险的充足性,使用“高级、中级和有限”的控制有效性级别,并记录在风险/控制矩阵中。使用以下标准评估控制有效性的高级、中级和有限的:高级有效:可以依靠自己本身来降低风险的控制。 中级有效 :能很大程度降低风险,但不能完全降低风险的控制。 有限的有效:能降低风险,但不是有效的。 三
30、、评估控制设计 针对每个风险,评估相应控制设计的总体充足性。这个评估应被记录在风险/控制矩阵中。 使用选择的风险足迹作为剩余风险影响和可能性评分的基础。剩余风险评估应记录在风险/控制矩阵中。 剩余风险的评估要求测试控制运行的有效性,一旦完成运行有效性测试,应更新剩余风险评估。当剩余风险评估仍在一个不能接受的水平上(严重、高级、中级),审计人员可建议额外的控制或加强现有的控制以降低剩余风险水平。相反,当剩余风险被认为可接受的,可能有机会识别“过度控制”的地方。 四、识别关键控制 关键控制是指在审核/评估控制设计的基础上,能(单独或与其他控制一起)很大程度降低固有风险的控制。此外,审计人员应考虑是
31、否该控制的失败会导致剩余风险水平到严重、高级或中级。如果是这样的话,该控制应被视为一个关键控制。审计人员应考虑,在一个“过度控制”的情况下,哪个控制是“关键”的。 被识别为关键控制的控制应在风险/控制矩阵和关键控制登记表/测试工作表上注明。 关键控制应评估其设计有效性,然后测试以确认他们运行的有效性。评估关键和非关键控制的目的是为了关注重要的控制以帮助提高审计测试的效率和效果。 五、与被审计单位确认设计评估 风险和控制评估应与管理层分享。考虑被审计单位的反馈,适当的话,更新评估(RCM)。确保审计轨迹能完整地证明变化及理由。 (一)注释: 固有风险评估 审计人员应与管理层讨论已识别的风险和控制
32、的存在性、完整性及其评估。 注意,管理层可能不能理解即使存在控制以预防风险的产生,但风险仍会存在。 注释: 控制设计评估 目标是: 确认识别的控制已准确地被描述; 确认所有相关控制已被识别; 确认控制已被准确地映射到相关的风险; 确认每个控制的重要性 (高级、中级和有限的有效); 确认每个风险的控制设计评估;及, 确认识别的任何控制差距或过度控制的地方,及他们的重要性和行动计划; 识别关键控制。 (二)问题及缺陷表 任何商定的控制差距都应制定一个行动计划。相反地,过度控制的地方可能导致重新调整/合理化控制和运营资源。发现的问题应记录在问题及缺陷表上,与相关的风险/控制矩阵互相进行索引。行动计划
33、应包括执行的完成日期和负责人。问题及缺陷表是RCM上列出所有相关控制问题的初步登记表(设计和运行有效性)。因此,它可能涉及控制的缺失,控制设计的缺陷,和运行有效性的缺陷。完整的总体审核能帮助发现是否问题和缺陷存在相同的根源或者相同的地方。总体审核同样能帮助决定需要包括在审计报告执行摘要中的关键风险领域(一些问题和缺陷应合并成一个发现)。 问题及缺陷表如附件9。第五章测试运行有效性 第二十四条 记录测试程序 本步骤的目的是编制书面的测试程序,包括适当的测试目的,详细描述测试深度,及测试方法。 一、记录测试目的、测试深度及测试方法 识别了最适当的关键控制来进行测试后,审计人员应编制测试的特定步骤,
34、以满足关键控制登记表/测试工作表中的测试目的。包括测试目的、测试深度及测试方法。 以下规则能用来评估哪些控制测试应得到关注: 如果一个关键控制被评估为设计有效,应得到测试; 如果当一个关键控制只有与其他控制在一起时才被评估为有效,那么,这些控制都应得到测试; 如果一个关键控制被评估为无效,通常情况下不用进行测试。但是,一个设计无效的控制可能得到测试,用于决定该控制缺陷的影响。 注释:测试目的 控制运行有效性测试 正确设定测试目的是非常重要的,因为这是确保执行的工作有价值的起点。测试目的应直接从关键控制登记表/测试工作表的控制描述中获得。行动应明确和直接为了获取证据(核查/证实等)而不应含糊不清
35、(审阅、了解、讨论等)。 注释:测试目的 实质性测试 运行无效的控制需要额外的测试,例如,对运行的项目重新执行一遍控制或进行实质性核查,以证实他们的完整性和正确性。例如,控制设计及运行测试发现例外情况,实质性测试可以提供额外的审计证据。实质性测试程序可以包括分析性复核,将余额/项目与原始凭证或独立的文件进行核对及重新计算或核实该项目。 注释:测试深度 下表可以用来作为测试运行有效性水平的指导:控制 - 设计固有风险严重高级中级低级高级降低测试有效性(TOE)测试有效性(TOE)减少有效性测试(Reduced TOE)X中级降低减少有效性测试(Reduced TOE)减少有效性测试(Reduce
36、d TOE)XX 注释:测试方法 有多种方法来执行测试以获取审计证据。审计人员应选择能达到测试目的的最合适的方法。包括: 证实性的询问 向员工、管理层及服务提供者询问以获取程序和控制的资料。管理层可能被要求提供他们对控制运行有效性满意的资料。通过询问的测试方法通常没有其他形式的测试可靠,可能需要与其他形式的测试一起,为审计人员的结论提供充分的证据支持。 观察 直接观察员工的实际操作,以查看控制是否按设计运行。当确认员工培训及技能水平时,审计人员应考虑审计人员在场的情况下对控制运行表现的影响 如,如果审计人员不在场,该控制运行是否如此彻底。 检查 通过检查或盘点资产、及阅读、追踪、审核支持性文件
37、、比较及核对记录来获取证据。检查是高级有效的测试形式,因为他们能为审计人员的结论提供更需要的证据支持。 确认函 此测试方法用于比较内部记录与第三方记录。确认函是高级有效的测试形式,但是,它被限制在当有第三方参与的情况下使用。 重新执行 此方法包括审计人员重新全部或部分执行被审计单位的运作。它只有在审计人员需要确保计算或记数的正确性情况下使用。审计人员在决定进行重新执行相关运作时应注意,因为那将化较多时间。 分析性复核程序 在测试阶段可能需要用到分析性复核。例如,在风险评估时发现不利的趋势,可能需要进一步分析,更深层次专研,及锁定推动这种趋势的特定的一组交易,以确定可能造成控制失败的根本原因。
38、二、记录测试程序 每一个测试程序应清楚地记录在关键控制记录表/测试工作表中。测试程序应能被充分理解,确保审计人员提供充足的证据使得工作底稿审核人员能判定测试了什么及测试的结果,及可以执行随后的重新测试。 注释:关键控制登记表/测试工作表 测试工作底稿应要求审计人员记录: 测试的控制; 测试数据的来源; 规模或控制执行的频率及样本量; 样本选取的方法; 测试的根本特征; 测试结果;及 审计测试的结论,包括任何控制例外的详细情况。对每一项控制例外,应记录是否有追踪测试或行动。 第二十五条 确定抽样方法 本步骤的目的是评估和记录通过抽样获取的审计证据的充分性。 一、识别和定义规模 测试控制时,先识别
39、和定义控制发生的频率(样本总量)。确保样本总量尽可能的清楚和完整,以确保表现所有元素。 注释:样本总量 样本总量是指收集到的项目总量,审计人员将对该项目总量发表一个结论。它也可以指“样本架构”,为了一个特定审计测试目的而定义的样本总量。 在测试控制有效性时,审计人员应定义控制发生的总次数。例如,审计人员可能识别了对帐发生的频率(每月或每周),这就是样本总量。 二、考虑统计抽样 使用统计抽样时,审计小组应将决定选择统计抽样的原因记录在关键控制登记表/测试工作表中。 注释:统计抽样 统计抽样需要审计人员确定要素的数量及随机抽取项目,允许审计人员定量地表达结果及测量样本风险。因此,当执行实质性测试时
40、使用统计抽样是一个合适的方法。 以下情况应使用统计抽样: 规模超过了定义的最低交易量(如5,000件交易),与审计经理沟通确认最低交易量; 需要精确及确信的推断结果; 绝对确信样本总量能被定义;及 样本总量中的每一项被选到的机会均等。 大部分审计测试,我们通常不会使用统计抽样的方法。相应的,它也不大可能说明从测试结果中获得的保证的水平。 三、考虑非统计抽样 使用非统计抽样时,审计小组应将决定选择非统计抽样的原因记录在关键控制登记表/测试工作表中。 注释:非统计抽样 非统计抽样使用的样本是非正式地(不带有故意和偏见的选择)或判断地(根据判断与测试目的相关联)选择的。非正式地选择是指没有使用特定的
41、标准从一个样本总量中选择项目。判断地选择可以包括,如选择高价值的项目(为了测试适当的批准)。 以下情况应使用非统计抽样: 规模小于设定的最低交易数量限额; 不需要可测量,因为结果不需要推断; 不可能识别整个样本总量或交易量架构; 其他审计证据暗示非常不可能发生错误。 测试控制有效性,最合适的内部审计样本方法是非统计抽样。 四、选择样本量 在关键控制登记表/测试工作表中评估及记录合适的样本量。 注释:统计样本量 影响样本量的因素有以下两个: 可信赖的水平;及 可容忍的错误率。 可信赖的水平定义了需要从审计测试结果中得到的信心的水平。期望可信赖的水平越高,需要测试的样本就越多。 可容忍错误率定义了
42、在控制被认为是有效的之前,能容忍的与描述的控制程序的差异数量。可容忍的错误率越高,需要测试的样本就越少。 注释:非统计抽样样本量 下表用于测试控制运行有效性时选择非统计抽样样本量。测试控制设计(穿行测试)不包括在本表中。必须在关键控制登记表/测试工作表中记录样本选择的基本原理/标准,样本测试程序和测试结果。控制类型控制执行的频率每年每季每月每星期每天每天多次很少手工111268大部分手工1113915自动111111注释:扩大范围测试 在一些情况下,应扩大样本量,如: 测试的结果是否定的,应扩大样本量,评估差异是否是机构性的或偶然的; 控制的重要性及复杂程度和判断的重要性; 失败的风险。 但是,结果不能通过测试的样本来推断。审计人员的判断始终是重要的。 注释:测试周期 测试周期应考虑以下因素: 控制运行的种类和频率; 控制环境的变化和/或在一个期间内的特定控制有复核; 通常,测试周期可以是审计开始日前1个月之前的期间
浙ICP备2021020529号-1 | 浙B2-20240490 
