某集团内部审计手册.docx

内部审计手册 Version 1.0 20**年1月1日 目 录 1. 导论 - 3 - 2. 内部审计组织 - 4 - 2.1. 内部审计组织架构 - 4 - 2.2. 职位说明 - 5 - 2.3. 培训和发展 - 6 - 2.4. 道德规范标准 - 6 - 3. 制定年度审计计划以及向审计委员会的汇报 - 8 - 3.1. 以风险为基础制定年度审计计划 - 9 - 3.2. 年度审计计划流程图 - 9 - 3.3. 向审计委员会汇报 - 10 - 4. 开展内部审计业务 - 11 - 4.1. 内部审计过程概述 - 12 - 4.2. 发起审计业务 - 15 - 4.3. 审计计划阶段----外勤调查 - 17 - 4.4. 审计实施阶段 - 19 - 4.5. 审计报告阶段 - 22 - 4.6. 审计的后续跟踪阶段 - 24 - 5. 审计工作底稿 - 25 - 5.1. 审计工作底稿的概述 - 25 - 5.2. 审计工作底稿的分类和索引 - 25 - 5.3. 编制审计工作底稿 - 26 - 5.4. 复核审计工作底稿 - 27 - 5.5. 保存审计工作底稿 - 27 - 6. 管理审计项目 - 29 - 6.1. 制定单个项目预算和日程表 - 29 - 6.2. 提供进度报告 - 29 - 6.3. 预算执行总结 - 30 - 7. 审计质量控制 - 31 - 8. 附件 - 33 - 附件1：审计通知书 - 34 - 附件2：调查备忘录 - 35 - 附件3：风险评估小结 - 36 - 附件4：项目审计计划 - 37 - 附件5：项目审计方案 - 38 - 附件6：审计执行底稿 - 39 - 附件7：审计发现记录 - 40 - 附件8：审计发现汇总清单 - 41 - 附件9：审计报告 - 42 - 附件10：审计项目执行总结 - 43 - 附件11：审计质量反馈意见 - 45 - 附件12：员工工作汇报 - 46 - 附件13：每周进展报告 48 附件14 工作底稿复核记录 49 1. 导论 为建立健全集团内部审计制度，规范内部审计行为和提高内部审计质量，有效发挥内部审计在企业管理中的监督和服务作用。结合集团具体情况，特制定本手册。 内部审计手册的主要内容是为指导ABC的内审人员在审计计划、审计执行以及审计报告过程中如何开展有效地审计活动。 本手册的使用的基本前提是ABC内审人员具备基础的审计专业知识以及职业判断的能力。本手册没有涵盖所有与内部审计相关的知识，只是提供了内审人员在审计计划、执行以及报告阶段应该关注的主要问题。 2. 内部审计组织 IIA《内部审计专业实务标准》的相关规定： 1210—熟练性：内部审计师应具备履行他们各自的职责所需要的知识、技能与其他能力。开展内部审计活动的全体人员应具有或获得履行其职责所需要的知识、技巧及其他能力 2000—管理内部审计活动：审计执行主管应有效地管理内部审计活动，确保内部审计活动为机构增加价值。 2030—资源管理:审计执行主管应确保内部审计资源的适当性、充分性及有效利用，以完成所通过的计划。 1230—继续职业发展:内部审计师应通过继续职业发展来增长知识、提高技能及他方面的能力。 2.1. 内部审计组织架构 ABC内审部在业务上向审计委员会直接汇报，在行政上向集团组织的CEO报告。 目前内审部的机构组织图如下所示： 审计总监 运营及财务审计经理 工程造价审计经理 行政助理 审计人员 审计人员 2.2. 职位说明 审计部各职位的职责分别是： 2.2.1. 审计总监 l 为审计活动制定正确的审计制度和方法体系，不断提高审计工作质量和内部管理 l 负责制定并组织实施全面的年度审计计划，包括资金预算、日程安排和人员安排 l 检查、评估被审计单位资源利用以及政策遵循的有效性 l 协调被审计单位的工作关系，针对审计发现的缺陷情况，和被审计单位沟通审计意见，组织设计改善方案，并检查管理层的纠正行为。 l 审核、批准审计报告 l 向审计委员会和管理层汇报审计部门的工作情况 l 全面负责内控审计团队的建设，包括人员内外部培训、日常业务考核 2.2.2. 审计经理 在内审总监的领导下： l 合理规划每一审计项目，确保审计项目处于良好的控制、组织状态 l 开展前期调查和风险评估，确定每一审计项目的工作方向和核心，明确审计目标、范围和审计方法 l 现场督导内部审计师，检查在审计实施过程中是否遵循的专业的准则 l 获取、分析和评价审计资料，并以此为基础，开展相应的调查，确认导致缺陷的因素，对用来纠正该缺陷的方法提出建议 l 维护、保持和被审计单位的良好工作关系，向管理层提出口头或书面的陈述，讨论所存在的缺陷，以及纠正缺陷的审计建议 l 审查和编制审计报告 2.2.3. 审计师 在审计经理的领导下： l 协助审计经理，完成前期的调查准备工作 l 积极参与制定审计方案，并根据审计方案，在规定的时间内，完成现场审计工作 l 在收集、记录、解释、分析审计信息过程中，遵循专业准则和职业道德 l 适时向审计经理汇报潜在的、重大的审计发现 2.3. 培训和发展 内部审计师应具有或获得履行其职责所需要的知识、技巧及其他能力，而且，还应随时了解审计领域的最新发展动态 ABC内审部采取多种方式，鼓励、支持内审人员的培训和发展，如定期举办员工讨论会议，举办内部培训项目，参加后续教育培训，参加专业组织举办的专项课题研讨会等。同时，我们也鼓励内审人员通过参加各种职业资格考试，不断提高自己的职业知识和技能。 此外，内审部门建立系统的业绩评估体系，用来评估内部审计人员的业绩表现。评估体系分成两部分： 1) 每一项目完成后的评估：每一项目结束后，审计经理要对参与该项目的审计人员进行评估，并将结果就是反馈给审计师。其目的是提醒表现不好的审计师注意其工作状况，知道自己的优点、缺点和进步，不断促使审计师改进自己对部门的贡献。 2) 年度检查评估：年度检查由内审部门总监负责，同时将评估意见和审计师面谈，以讨论和促进审计师的未来发展。 2.4. 道德规范标准 内部审计部门的员工有责任来保证其诚实正直、公正客观、保密性以及专业胜任能力。内部审计人员的职业行为须遵照道德规范准则，做到： 1) 本着公正、客观和勤勉的原则来履行义务和职责； 2) 保持忠诚，拒绝参与不利于公司或违法的行为； 3) 避免参与影响内部审计独立性，或是影响其客观履行职责的行为； 4) 不接受被审计单位的任何礼品及业务招待，不参与被审计单位或个人安排的任何可能影响审计独立性及公正判断的活动； 5) 拒绝参与任何影响或可能影响其专业判断的行为； 6) 谨慎使用在工作中所获得的信息，严禁将任何保密信息用于为任何个人牟利，或是有害于公司利益的用途； 7) 应当尽职地获取足够和确凿的证据来支持审计报告中的结论。应当在审计报告中完整披露所获取的重要事实，特别是那些会歪曲审计报告结论的事实以及隐藏的违法行为； 8) 只能参与知识，技能和经验方面均能胜任的审计项目； 9) 持续致力于提高内部审计服务的熟练度和有效性。 3. 制定年度审计计划以及向审计委员会的汇报 IIA《内部审计专业实务标准》的相关规定： 2010—计划：审计执行主管应该以风险为基础制度计划、以确定与组织目标相一致的内部审计活动重点。 2010—A1：内部审计部门的计划必须建立在有记录的风险评估基础上，并至少每年制定一次。在计划制定过程中，必须考虑高级管理层和董事会的意见。 2120—风险管理：内部审计活动必须评估风险管理过程的有效性，并对其改善做出贡献。 2120—A1：内部审计部门必须评估下列与组织治理、运营及信息系统相关的风险： l 财务和运营信息的可靠性和完整性； l 运营的效率与效果； l 资产的安全； l 对法律、法规及合同的遵循情况。 2130—控制：内部审计部门必须评估控制的效果和效率，并促进控制持续改进，从而协助组织维持有效的控制。 2060—向高级管理层和董事会汇报：审计执行主管必须定期向高级管理层和董事会报告内部审计活动的宗旨、权利、职责及其与计划有关的工作开展情况，报告中海必须包括重大风险披露和控制事项，其中包括舞弊风险、治理及其高级管理层和董事会需要或要求的其他事项。 3.1. 以风险为基础制定年度审计计划 ABC审计部门每年要组织一次全面的企业风险评估，在此基础上，根据风险发生的可能性和对企业单个或者整体控制目标造成的影响程度，制定年度审计计划。以风险为基础，制定年度审计计划的目的是将审计重点关注在对企业发展有着重要作用的业务单元，减少风险对企业的影响。 3.2. 年度审计计划流程图 流程 工作概要 确定审计单元 对审计单元进行风险评估 风险评估报告 年度审计计划初稿 审计单元风险排序 年度审计计划送审稿稿 内部讨论、管理层意见 审计委员会审批 同意 A （转下页） 审计部确定集团组织内可以进行审计的领域，包括与授权、组织职能、内部部门、资产资源、以及流程、程序和系统有关的所有领域。 对审计单元进行风险评估，考虑下列因素，对风险发生的可能性和影响程度对风险进行估值。 - 集团发展目标和工作重点 - 内部控制的质量 - 重大法规、政策、计划和合同的调整 - 经营活动的复杂性及其近期变化 - 人员的能力、品质以及岗位的近期变动情况 - 其他因素 根据风险估值的高低，优先将审计资源安排到高风险的审计单元，形成初步年度计划初稿。 年度计划包括：各审计项目的审计目标和范围，需要的审计资源以及审计的时间安排。 计划初稿经内审部内部讨论、并征求管理层意见后，形成内部审计年度计划送审稿。 年度审计计划报送到审计委员会进行审批，审批同意后，则内审部按照审计计划开展全年审计巩固工作。如果审计委员会不同意审计计划，则内审部应根据审计委员会提出的意见，修改年度审计计划，再次报批。 流程 工作概要 A （接上页） 下发年度审计计划，并执行 年度审计计划正式稿 执行中出现影响审计计划的事项 是否重大 否，不调整 是 调整年度审计计划并报审计委员会批准 在执行过程中，如果出现重大事项，必须调整年度审计计划时，内审部应上报审计委员会批准。 3.3. 向审计委员会汇报 内审部在每个季度向审计委员会进行工作汇报，包括计划的执行状态、每个审计项目的重大审计发现、原因分析、审计建议以及管理层的行动计划。 内审部每年向审计委员会提交年度总结报告，包括审计部门对机构组织的内部控制总体状况、管理和经营状况的分析评价。 4. 开展内部审计业务 IIA《内部审计专业实务标准》的相关规定： IIA1200—熟练性与应有的职业审慎性：内部审计师应以熟练性与应有的职业审慎性开展审计业务。 1220—应有的职业审慎性：内部审计师应在工作中应用人们期望的谨慎、有能力的内部审计师所应具备的审慎与技能。应有的职业审慎性并不意味着永不出错。 1220.A1—内部审计师应考虑到以下几个因素，以应有的职业审慎性开展工作： ·为实现审计目标而需要开展的审计工作的范围； ·所要保证事项的相对复杂性、重大性和重要性； ·风险管理、控制与治理过程的充分性和有效性； ·严重错误、违规或不守法的概率； ·与潜在利益相对的审计成本。 2200-审计业务计划：内部审计师在开展每项审计业务时都应制定并记录审计计划，包括范围、目标、时间和资源分配。 2201—计划制定过程中应考虑的因素：在制定审计业务计划时，内部审计师应考虑到： ·被评估活动的目标及对活动的实施进行控制的方式。 ·被评估活动存在的风险、目标、资源与运营以及将风险的潜在影响控制在可接受水平的方式。 ·与相关的控制框架或模式相比较，该活动的风险管理与控制系统的充分性与有效性。 ·对该活动的风险管理与控制系统进行重大改进的机会。 2210-审计业务目标：每个审计业务都要建立目标。 2210.A1—内部审计师应该对被检查活动相关风险进行初步评估。审计业务工作的目标应该反映风险评估的结果。 2220—审计业务范围：划分的审计业务范围应足以实现审计业务目标。 2240—审计业务工作方案：内部审计师应制定实现审计业务目标的工作方案。应对这些工作方案予以记录。 2240.Al—工作方案中应规定在审计过程中查找、分析、评价和记录信息的程序。工作方案应在工作开始之前得到批准，方案的任何调整都应立即得到批准。 2300—开展审计业务：内部审计师应收集、分析、评价并记录足够的信息，实现审计业务目标。 2320—分析与评价：内部审计师应在适当的分析和评价的基础上得出审计结论和审计结果。 2330—记录信息：内部审计师应记录相关的信息，支持审计结论和审计结果。 2400—报告审计结果：内部审计师应及时报告审计结果。 2420-报告的质量：报告时要做到精确、客观、清晰、简洁、完整、及时、富有建设性。 4.1. 内部审计过程概述 完整的内部审计过程可划分为计划、实施、报告和后续四个阶段: l 审计计划阶段 l 审计实施阶段 l 审计报告阶段 l 后续跟踪审计阶段 下图说明了如何组织和开展内部审计的工作流程 阶段 步骤 简要步骤 发 起 阶 段 通知被审计单位 组建审计团队 召开内部计划会议 审计进场会议 外勤调查 实施审计 收集证据 编制底稿 单项审计发现 内审部起草审计通知书，并传达到被审计单位 l 审计通知书 根据审计项目，合理安排审计人员，以保证时间上、技术上满足该项目的需求。 由审计负责人组织参与该项目的审计人员进行审前计划会议。 审计人员和被审计单位管理层之间的审前交流会议。 计 划 阶 段 审计人员通过观察、访谈了解被审计单位的基本情况，并通过系统的风险评估结果，确定审计重点，制定审计方案。 l 前期初步调查备忘录 l 风险评估小结 l 项目审计计划 l 项目审计方案 实 施 阶 段 审计人员按照项目审计方案，开展审计活动，搜集、评价审计证据。 l 审计执行底稿 l 审计发现汇总 清单 A （转下页） 阶段 步骤 简要步骤 实 施 阶 段 A （承上页） 汇总、分析审计发现，提出初步意见 审计主管审核底稿，提出初步审计意见，并进行在审计团队内部进行讨论。 l 审计发现记录 和被审计单位讨论审计意见 审计主管就主要的审计发现和被审计单位交换意见，并讨论拟采取的纠正行动。 报 告 阶 段 审计离场会议 审计人员和被审计单位管理层之间的现场结束前的最后交流会议。 起草审计报告 征求被审计单位意见 同意 否 项目主管起草审计报告初稿，并递交被审计单位，征求意见。 l 审计报告初稿 是 审计正式报告 将审计报告递交给被审计单位负责人、高级管理层。 l 正式审计报告 结束审计项目 计划阶段是有效执行审计工作的准备阶段，是指从确定审计项目开始，到制定出书面的审计方案为止的这一过程。计划阶段被认为是整个审计过程的起点，其工作的周密细致程度直接影响到项目审计工作的质量和效果。 在年度审计计划中，已经界定了每个审计项目的总体审计目标和范围。但是，这个审计业务的目标和范围一般而言，是比较广泛。在成本和时间的制约条件下，或者由于业务流程的改变，导致高风险领域有可能发生变化，因此在实施审计业务之前，审计经理必须对被检查活动相关风险重新进行检查评估，确定具体的审计目标和范围，从而确保有限的审计资源运用到对被检查活动业绩和管理有重大影响的领域。 在审计计划的最后阶段，审计经理应当明确审计什么（审计范围），为什么要审计（审计目标）以及怎么去审计（审计程序）。 4.2. 发起审计业务 4.2.1. 通知被审计单位 通常，内部审计部门在年初就应该将年度审计计划中确定的审计项目传达给被审计单位。在审计实施3天前，审计部门应该以邮件、传真或直接送交的方式，将审计业务通知书送达给被审计单位的适当管理层。 审计业务通知书（见附件1）应该告知被审计单位的管理层以下内容： 1) 收件人：应该向被审计单位的适当管理层沟通。所谓的适当管理层是指对被审计业务的直接负责人，如部门的总监或经理。在某些情况下，如果涉及到多个部门，则应该通知所有相关部门的直接负责人 2) 审计目标和范围：应该清楚告诉被审计单位计划内的审计目标及涉及的范围； 3) 审计预计开始日和计划持续时间：业务通知时应进可能让被审计单位了解审计的时间安排。 4) 负责执行审计的人员：让被审计单位的管理层知晓审计主管人员； 5) 前期准备工作的需要：在外勤调查或去审计现场之前，应该列出任何所需的要求。 审计业务通知书由审计经理负责起草，审计总监负责审核签发。 在正式的审计通知书签发后，审计经理应及时以电话的方式和被审计单位及时沟通，以确认被审计单位已经知悉审计通知书的内容，同时落实审计进程会议的时间。 4.2.2. 组建审计团队 通常，内部审计部门在规划年度审计计划时，就需要考虑不同审计项目所需要的人力资源及其知识结构。在准备执行具体的审计项目时，选拔适当的审计人员仍是计划阶段必须予以考虑的重要问题。组建审计组没有固定的模式和标准，但是必须保证审计组成员的综合素质和能力能够最大限度地完成审计任务，满足审计质量管理的要求。在确定审计组的成员时，应考虑以下几个方面： 1) 年度审计计划对人力资源、时间预算和费用预算的要求； 2) 上一次审计对被审计单位内部控制状况的评价； 3) 企业管理当局对该审计项目的一些特殊要求； 4) 被审计单位的组织机构、人事、方针等内部控制环境方面发生的重大变化； 5) 上一次审计的结果，尤其是对审计中发现的问题所采取的纠正行动及其效果； 6) 某些特殊领域需要外部专家提供的服务和帮助。 4.2.3. 召开计划会议 计划会议是在审计人员办公室里进行的项目审计的初始会议。审计组的全体成员都应该参加。计划会议的主要目的在于让审计组的成员知晓有关本次审计工作的一些相关事宜，明确计划阶段应完成哪些方面的准备工作，以保证整个审计工作在有效率和效果的方式下进行。为此，在计划会议上，应说明与完成本次审计任务相关的所有重要事项，包括介绍被审计单位或活动的基本情况，上一次或过去审计的结果，以及企业管理当局的一些特殊要求等等；同时，还应该初步确定并说明总的审计目标、范围和步骤；完成现场审计工作所需要的时间预算；内部审计人员的责任分工；需要外部专家提供帮助的内容和方式，需要被审计单位给予的帮助等。 4.2.4. 举行审计进场会议 进场会议，是在内审工作实施开始的时候召集被审单位相关负责人、关键岗位人员与审计组成员就审计开展的相关事宜为内容的会议。 审计经理在进场会议中，应向被审计单位介绍： 1) 审计团队的成员和各自的责任； 2) 审计的目标和范围； 3) 拟开展的审计活动和审计程序； 4) 被审计单位的责任和需配合的事项； 5) 其他有利于被审计单位了解内部审计的信息资料 如果被审计单位对审计的目标和范围有任何疑问，或者被审单位自认为可能存在的内部控制缺陷或风险，都可以在审计进场会议予以讨论。 审计进场会议，审计人员应该做较为详细的会议记录，最好由相关文员整理会议纪要并由到会的被审单位会议参加人员与审计组负责人签名确认，以形成有效的审计证据。 4.3. 审计计划阶段----外勤调查 审计进场会议结束后，审计人员开始进入到外勤调查。外勤调查对于确定审计工作的方向。详细范围以及程度起到至关重要的作用，这是开展审计的首要步骤。外勤调查使审计人员熟悉、了解被审计单位的基本情况，收集和掌握为确定重点审计领域，编制系统的审计方案所必需的信息 4.3.1. 了解被审计单位 审计人员需要了解被审计单位的组织结构和经营活动行为，包括管理风格、企业流程制度、内部外部环境等重要信息，比如： 1) 以前的审计结果： 比如以前的审计工作底稿和审计报告 2) 机构的组织：如被审计单位的组织结构图，机构的职能说明书，关键岗位负责人。 3) 法规、手册和指令：如相关的法律、法规，部门内部的工作程序、工作标准或指引，流程描述说明或图标 4) 报告类资料：如预算、运营情况、业绩报告、管理建议书，管理层会议纪要等 在描述内部程序时，建议审计人员编制流程图，因为流程图阐明了系统或流程中的复杂情况和主要控制点。 除了阅读审核财务或非财务信息外，内部审计人员还可以采取实地观察被审计单位的正在从事的活动，或者和被审计单位的负责人、其他工作人员进行访谈，了解当前的实际的运营情况和已知的问题领域。 外勤调查结束后，主管审计师应该对所开展的工作以及从外勤调查中收集到的汇总资料都要记录在审计工作底稿中，形成书面的调查备忘录（见附件2），并和被审计单位的负责人进行交流，以确认审计人员的理解是正确无误的。 4.3.2. 风险评估 风险评估过程就是运用审计师的职业判断，对收集到的信息进行分析评价的过程，从而把审计的主要精力放在满足业务活动主要目标的重要事务上。 风险评估的方法是： 1) 确定被审计单位的业务目标和标准； 2) 识别与实现该业务目标和标准相关的风险； 3) 衡量风险发生的可能性和影响程度，并对风险进行排序； 4) 根据管理层的声明和穿行测试结果，评估现有控制是否能预防、消除风险； 5) 根据风险重要性的顺序，指定审计计划，将审计的目标和范围关注重大风险的控制测试上，以确定这些控制的适当性和重要性。 风险评估的过程和结果，请见附件3。 4.3.3. 审计计划 在完成上述准备工作之后，内部审计人员根据所掌握的基本情况和风险评估的结果，就可以确定具体的审计目标和重点审计领域，编制项目审计计划。项目审计计划是开展审计的整体指导，是整个审计计划阶段的最终成果。 审计计划，应包括以下内容： 1) 被审计单位的背景介绍；简要描述被审计单位的目标、内部组织结构、最新的变化、重要的问题等； 2) 被审计单位管理层关注的问题：在调查阶段，管理层关注的问题； 3) 风险评估的结果：简要描述风险评估的方法、过程； 4) 审计目标和范围； 5) 具体的审计方案； 6) 审计的时间安排：具体每个审计阶段的时间安排，比如现场审计时间，审计发现的交流时间，审计报告的编写和分发时间等； 7) 审计的人员需求和资金预算：说明需要的审计人员和资金预算。 审计计划由审计经理编制，审计总监批准后执行。如果在执行过程中，发现实际情况和外勤初步调查的信息有较大差异，需要对审计计划进行调整时，审计经理应该以书面的方式，报送审计总监批准。 审计计划见附件4，审计方案见附件5。 4.4. 审计实施阶段 内部审计的实施阶段又可称之为现场审计阶段，是指审计项目经过充分的准备之后，针对高风险领域或显示可能存在重大问题的领域进行审计的阶段，也是将审计方案付诸实施，化作实际行动的阶段。 在审计的实施过程中，内部审计人员要深入审计方案中规定的审计领域，采用适当的审计技术和方法，对现场调查中确定的缺陷或问题进行深入细致的分析研究，获取充分可靠的审计证据，揭示审计发现的原因和结果，作出审计结论和意见，并提出有价值的审计建议或改进措施。从某种意义上讲，审计的实施阶段是一个检查和评价信息的过程，即收集、分析和解释与既定审计目标相关的信息，并将其写入审计工作底稿，形成文件化记录，以证实审计发现、结论和建议。 4.4.1. 开展审计测试 审计测试是对与被审计活动相关的凭证、文件、记录、业务等进行实质性的检查和评价活动。测试的目的在于收集充分可靠的审计证据，确定真实的审计发现，以达到审计目标。 在审计测试过程中，内部审计人员应抽取适当规模的凭证、文件等作为样本，按照其传递过程对其反映的交易事项的业务处理过程进行测试。测试的重点应集中于主要控制系统的关键控制环节，以及现场调查中确定的高风险领域或已经显示存在控制缺陷和问题的领域。测试也意味着对所抽取的样本按其特征进行深入细致的分析、鉴证。 4.4.2. 分析审计发现 审计发现是指审计过程中发现的问题和缺陷，审计发现以各种形式出现，如应执行而未执行的行动、被禁止的行为、不适当的行为，令人不满意的系统等。 在内部审计师开展审计测试过程中，会有各种各样的审计发现，审计师应该对审计发现进行因果分析。因果分析意味着对已经确认的审计发现进行深入细致的调查研究，以揭示审计发现的原因和导致的不良后果。 在进行因果分析时，内部审计人员通常应考虑以下几个方面： 1) 原因和结果应是紧密相关的：这意味着对原因的理解和认识能够足以说明和解释所产生的结果； 2) 在可能的情况下，尽可能将控制缺陷导致的不良状况数量化，用数据来说明这种缺陷所造成的危害程度。 3) 如果因果分析表明存在一系列的问题，则可能暗示该领域或相关领域的内部控制失败。这时，内部审计人员就应该追踪检查，收集充分的证据，以证实这些领域内部控制失败的原因及其危害程度。 4) 考虑原因来源于何处，有助于正确评估审计发现的性质和重要性，有助于提出解决问题的建议和措施。 4.4.3. 总结审计发现、结论和建议 无论何时，内部审计人员发现潜在的审计缺陷，都要准备简要的情况小结，说明审计发现、结论和建议。这种小结称为审计发现记录表。审计发现记录表所列示的缺陷并不必然成为最终报告的审计发现，但是凡是在审计测试期间发现的审计缺陷事件，都应记录下来。 审计发现的要素应至少包括： 1) 审计标准：指对被审计活动的现状进行分析判断的依据，即“应该怎样”，例如，一般公认的会计原则，普遍采用的管理原则或实践，适用的政府法律和条例，企业内部的方针政策、程序、计划、预算、工作标准等等 2) 情况描述：活动的实际执行结果，即“实际怎样”，内部审计师应提供足够的与审计发现事实相关的信息，该信息必须是充分、可靠和相关的，能经得住任何质疑。 3) 原因：即导致出现问题或缺陷的解释，即“为什么会出现审计发现” 4) 影响：损害程度，即“如果不合理的现状继续下去，将会怎么样“。内部审计师应该让管理层了解、信服其影响的严重程度，否则纠正行动被采纳的机会就会很小。 5) 建议：内部审计师应该提出纠正行动的措施供管理层参考，建议应该积极有效，并有可能详尽，还应明确具体的执行人。 审计发现记录表和审计发现汇总清单见附件7和8。 4.4.4. 与被审计单位讨论审计发现 与被审计单位及时讨论交流审计发现和审计建议，应贯穿于整个审计过程。在现场审计时，审计人员适时地将发现的问题与被审计单位进行讨论，听取他们的解释，征求他们的意见和看法，这样有利于。 1) 确保审计发现事实真实可靠：任何关于事实的争议都应该在审计发现被报告前得到解决，内部审计师必须保持“看问题准确的名声”； 2) 为审计人员提供和被审计单位交流的机会，以便共同寻找解决问题的方法； 3) 有效减少审计结束会议讨论时间和避免审计报告中出现的差错，因为在审计过程中，所有审计发现和审计建议都已经得到被审计单位的认可，避免事后双方产生不必要的争议。 被审计单位管理层对审计发现和审计建议应包括如下内容： 1) 同意审计发现和建议，并作出整改的许诺，以及整改的时间表和执行人；或 2) 同意审计发现和建议，但是说明目前无法立刻整改的原因；或 3) 同意审计发现，但不同意审计建议：提供相应的原因说明 一旦获得管理层的回复建议时，审计经理应该仔细阅读，以确认其整改措施能够充分响应审计建议。审计经理应确认： 1) 整改计划能够解决审计发现的问题，并且成本上经济，结果有效； 2) 管理层有能力和权力去执行该计划； 3) 计划清楚了说明的责任人以及相应的时间。 如果管理层拒绝审计建议，那么审计经理应该向审计总监及时汇报。 4.5. 审计报告阶段 虽然在审计过程中，审计人员就审计发现和建议已经和被审计单位的主要负责人进行了交流和讨论，但是最终内部审计人员必须以审计报告的形式督促被审计单位纠正存在的问题，完善内部控制，防止潜在的风险损失。 审计报告阶段主要包括这些过程：向被审计单位汇报审计结果；起草审计报告；完成并分发审计报告。 4.5.1. 审计离场会议 在离开审计现场前，审计人员应和负责被审计领域的管理者参加审计离场会议，并在会议上复核主要的审计发现和审计建议，其目的是再次确认： 1) 对审计报告需要反映的问题，被审计单位都已清楚了解； 2) 审计事实不存在误解或歪解； 3) 被审计单位采取整改行为的进展情况。 在审计结束会议中，审计人员还可以交流哪些其重要性不足以在审计报告中提及的问题缺陷。这些次要的审计发现可以以管理建议书的形式进行。 4.5.2. 起草审计报告 审计报告是根据审计工作底稿所包含的信息撰写的。在审计实施阶段与被审计单位讨论的基础上，便可以着手审计报告的起草工作。正式的最终书面审计报告应至少包括下列内容： 1) 被审计单位的背景情况； 2) 审计目标和范围； 3) 审计结论； 4) 具体的审计发现、建议和管理层回应。 审计报告应突出重要的审计发现。也就是说，不是所有的审计发现和审计建议都需要在审计报告中予以说明，只有那些对被审计领域目标实现有着重大影响的审计发现才应该在审计报告中予以反映。 审计报告的格式见附件9。 4.5.3. 完成并分发审计报告 审计经理编写审计报告初稿后，交审计总监审核。审核完毕后，审计经理应将审计报告初稿发送给被审计单位，征求他们的意见，并根据讨论的结果恰当地修改初稿。 一旦审计部门和被审计单位就审计报告的内容达成一致意见后，审计总监应签发正式的审计报告。审计报告应及时地分发给相关的部门或人员，以引起企业管理当局和被审计单位对审计结果的注意，以便针对存在的问题，及时采取纠正行动，达到报告的目的。 4.5.4. 结束审计项目 审计报告分发后，并且执行完毕下列工作，才能视为该审计项目结束： 1) 审计工作底稿整理完毕 2) 审计主管完成对该项目的审计总结 3) 审计主管完成人员考核 4.6. 审计的后续跟踪阶段 作为完整审计过程的一个阶段，后续跟踪意味对报告中反映的问题进行跟踪检查，直到被审计单位采取了纠正行动，使内部审计人员感到满意为止。 是否需要对管理层的纠正行动，进行后续跟踪，以及后续跟踪的时间和方式，应根据审计发现的重要性判断，并由审计总监决定。 5. 审计工作底稿 IIA《内部审计专业实务标准》的相关规定： 2330—记录信息:内部审计师应记录相关的信息，支持审计结论和审计结果。 5.1. 审计工作底稿的概述 工作底稿是对审计工作的记录，记录审计过程中所获得的信息以及对这些信息所作的分析。从内部审计师开始安排审计工作，直至到结束审计，这个过程都要编制工作底稿。 审计工作底稿通常用于下述目的： 1) 记录审计过程中所获得的信息，是审计人员工作的证明； 2) 为内部审计报告提供支持； 3) 为评价内部审计部门的质量提供依据； 4) 促进第三方审查。 5.2. 审计工作底稿的分类和索引 ABC的审计工作底稿按下列类别划分： 索引号 工作底稿类别 具体内容 附件 说明 A 审计报告和后续关注事项 A-1 审计报告 9 不同版本的审计报告以A-1-？表式，最后的终稿以A-1（F）表示。 A-2 被审计单位对审计报告的交换意见 B 审计发现 B-0 审计发现汇总清单 8 B-？审计发现记录表 7 C 背景资料 C-？内容广泛，如组织机构图，相关制度文件，调查问卷等一切和被审计单位背景调查相关资料 D 审计计划 D-1 调查备忘录 2 D-2 风险评估 3 D-4 项目审计计划 4 E 审计程序 E-0 项目审计方案 5 E-？每个审计程序执行记录 6 F 与被审计单位交流记录 F-1 审计通知书 1 F-2 审计进场会议记录 F-3 审计离场会议记录 F-4 访谈记录 F-5 审计质量反馈意见 11 G 复核监督 G-1 审计计划复核清单 G-2 工作底稿复核记录 14 G-3 审计现场结束检查清单 G-4 审计报告复核清单 H 行政管理 H-1 业务时间控制表 H-2 审计项目总结 10 H-3 每周进展报告 13 备注：？表示数字的顺序编号 5.3. 编制审计工作底稿 ABC采用格式化的审计工作底稿，具体格式见附件6。 5.3.1. 审计工作底稿的要素 内部审计人员编制的审计工作底稿应该包括以下要素： 1) 每份审计工作底稿必须包括被审计单位的名称和项目名称（或项目编号）； 2) 每份审计工作底稿必须包含索引号； 3) 每份审计工作底稿必须确认审计环节，并描述工作底稿的内容和目的； 4) 每份审计工作底稿必须有执行审计工作的内部审计师的签名和日期记录； 5) 如果使用审计标识或记号，则应对他们做出解释。 5.3.2. 审计工作底稿的编制要求 1) 所有的审计工作底稿，必须在A4大小的纸张上编写。鼓励采用电子版工作底稿，但是内部审计师必须调整打印格式，以保证在A4纸范围内； 2) 审计工作底稿必须清晰易懂，使不了解情况的复核人员也能清