内部审计实务操作指引.doc

内部审计实务操作 [项目操作引导] 1 前期准备 l 预备会议 l 要讨论的内部审计项目/事项(components) l 要讨论的内部审计要点(concerns) l 与被内部审计单位的风险评估会议 2 与被内部审计单位的风险评估会议 l 确定要执行的内部审计项目 l 评估每个内部审计项目的内部审计要点的重要性 l 表决并排序每个内部审计项目的内部审计要点 l 将会议结论及表决结果反馈给管理层 l 与管理层讨论内部审计项目的计划及进度 内部审计项目应关注管理层确认的高风险区域 3 控制矩阵 l 与主管会谈并确定高风险区域的主要管理目标及关键控制点 l 在矩阵图中列出主要管理目标及关键控制点 l 通过管理矩阵图获取有效信息 l 与管理层讨论要内部审计的关键控制点（控制设计等）的不足 矩阵图中的关键控制点是要在下一阶段测试的控制点 4 测试设计 l 设计每个关键控制的测试程序 l 编制测试结果包括问题点（流程的运行情况） l 与管理层讨论流程运行情况 测试结果是第一份内部审计草案的基础 5 报告撰写 l 准备内部审计草案，包括下述内容： l MEMO l 结论 l 背景 l 范围 l 目标 l 建议/双方达成一致的行动计划 l 附件：风险评估及关键流程 l 其它附件 l 与管理层讨论内部审计草案，并对要采取的行动取得一致意见 6 内部审计报告 与适当管理层及内部审计和财务委员会高级主管沟通内部审计报告。 内部审计操作－ 大纲（提示如下） 范 围 其 它 涉及人员 内部审计目标 脑力激荡 1脑力激荡 2设定内部审计目标 目的：获取适当、有效的内部审计证据 三要素： 标准：内部审计项目的操作标准（如：政策手册，法律，专业标准，公共意见等）。 原因：执行的标准与内部审计员所发现间的差异的原因。 结果：这些差异导致的结果/影响。 内部审计目标通常先列为一个问题点，如：依据目前行业标准（标准），如果大量采购超过实际使用的量（原因），将导致存储及其它成本增加（结果）。 这些目标不一定和内部审计目标完全一致，也可能不符合SMART（确切，可量化，可获取，结果定位和时间期限）。因此需要考量与内部审计目标的匹配。 在初次调查后，按需重新评估并更新内部审计目标。 3确定范围 目的：界定查核项目及不查的项目，评估通过查核将获取哪些预期的收益。 若有必要，则进行修改和更新，但务必要与所有相关管理层沟通。 4背景调研 目的：获取内部审计项目的所有相关知识 现状 季节性限制，如帐户结算 目标 背景调研 运作/预算报告 组织架构 执行标准 高级管理层 以前的内部审计报告 相关法规 文档资料 信息资源 行业顾问 IA’s “Expert” Internet 图书馆， 贸易杂志等 IIA图书馆资料研究 5初期调查 目的：获取内部审计项目的工作要点 为合理调查与评估所有信息，应制定类似下图的计划，以便进行初期调查。 1 获取所有业务流程的信息 Ø 行业信息（风险、竞争状况、标准，特殊要求） Ø 谁依赖于流程的结果 Ø 时间和季节性限制 Ø 趋势分析（职工劳动生产额，生产总量等） Ø 媒体报道 Ø 组织架构的重大变化 Ø 风险区域的收益 Ø 业务防御能力及业务计划 2 对访谈及讨论的问题进行列表/调查问卷 3 安排初次会谈（建立合作氛围） 4 与相关人员进行会谈 Ø 客户的观点－包括从内部审计领域的上下游客户 5 决定需要的信息（包括组织结构，计划，指令和控制活动） 6 掌握流程目的、目标和标准 Ø 管理者如何设定流程的优先级 Ø 标准必须符合客户的观点，而非内部审计员的观点，以免因与客户在不同标准的基础上导致评估不同 Ø 政策，指示，回复和报告 Ø 衡量成功的指标 7 确定可改进的任何机会 8 了解运行中的内在风险 Ø 需修正的关键控制点 Ø 环境因素 9 了解运作的管理 Ø 管理风格与控制层次。如何发现工作环境 Ø 管理的特殊点 10 了解执行流程的人员 Ø 团队中关键员工及他们的作用 Ø 员工书面的工作职掌 Ø 员工接受的培训，评估员工的方法。 11实质性检查 Ø 浏览所有工作环节以了解概况及明显的问题点 Ø 浏览部分有代表性的工作 12 制订工作流程（正式或非正式的） 13 关注无效率的工作中可节约的成本 14 演示调查结果 在调查的过程中，应建立与客户[所有的管理层和被审计单位均是内部客户]合作关系的内部审计风格。基于下图，更新内部审计目标。 制定计划 内部审计资源及内部审计方法 内部审计期限 主要的内部审计里程碑 计划 内部审计自身的风险 使用CAATs，AIS进行内部审计测试 内部审计项目 6内控评估 目的：检测内控的可信赖度 内控评估方法 1 请会谈人员完成问卷调查 Ø 通过问卷调查回答的“是”与“否”，可了解内控中的薄弱环节 2 准备流程图或文字描述 3 浏览并小范围内系统测试 4 评估政策及流程 通过评估，可获取如下结果： 通过详细测试，内部审计员确定要执行的流程 流程描述 内控评估结果 流程分析 风险评估 评估流程的恰当性 其它可能影响流程评估的因素，亦值得考虑。 意外或可避免的事故 管理专制 计算机系统的进入权限 无效运作 影响流程的其它因素 沟通方式 备份及恢复能力 环境作用 Formality （死板） 在这一阶段，需对风险和时间预算重新进行分析。并修正计划中内部审计领域的优先级，及需详细测试的项目量。 7详细测试 对内部审计结果的符合性和实践性进行有效测试，以对内部审计目标获取充分的证据。 根据内控评估发现的结果及前几步中获取的信息，创建或修正内部审计项目。 测试主要针对那些认为重要的控制流程，评估其有效性；以及那些被认为不完善的控制流程，以证实确实不能达到要求。 可采取一些验证技巧： 观察与询问 比较 验证 验证技巧 分析 事务测试 对发现点的“原因&结果”进行准确分析，而不是基于假设，这一点非常重要。 8报告撰写 内部审计报告有三个作用： 1信息 - 清楚的表达出改善活动中面临的困难和机会 2说服力/依据 - 支持结论并对重要性提供充分证据 3结果 - 提供成功改善的建设性和操作性手段 目的 清晰 高质量报告 的特征 建设性 简练 及时 报告应包括： 目的 范围 结论 内部审计观点 建议 请他人阅读并提出意见。 9后续跟进 应确保内部审计报告中提到的合理措施得到有效执行，或者，董事会对不采取行动引起的风险有充分认识。