某电器集团内部审计指引

海尔电器集团有限公司 Xx电器集团有限公司 内部审计指引 引言 内部审计功能对于支持xx电器集团有限公司（以下简称"公司"）实现其企业目标起着十分关键的作用。 内部审计所扮演的角色是要确保公司拥有适当的企业管治制度，并确保该制度在公司的整个业务体系中能得以有效地执行。 作为内部审计师，我们还考虑了[美国内部审计师协会]提出的专业水平指引，并将部份相关指引纳入本指引中。 目 录 TOC \o "1-3" \h \z \u 1．内部审计理念和方法 2 1.1 内部审计的使命 2 1.2 内部审计章程 2 1.3 内部审计的作用 3 1.4 内部审计流程 3 2．道德 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 4 2.1诚信 4 2.2独立性 4 2.3保密性 4 2.4利益冲突 4 2.5胜任能力 4 2.6商业道德 4 3．风险管理 4 3.1管理层的角色 4 3.2风险管理与内审活动之间的关系 4 4．与第三方关系 5 4.1审计委员会 5 4.2首席执行官 5 4.3首席财务官 5 4.4高级管理层 5 4.5[外部审计师] 5 5．审计规划 5 5.1风险评估 5 5.2制定年度审计 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 6 5.3制定个别项目的审计计划 6 5.4拟定审计项目工作范围 7 5.5其他类型内审工作的规划 7 6．执行审计 7 6.1制定审计 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 7 6.2收集信息 7 6.3控制的评估 8 6.4控制点的测试 8 6.5 记录 混凝土 养护记录下载土方回填监理旁站记录免费下载集备记录下载集备记录下载集备记录下载 工作发现 9 6.6起草报告要点 10 6.7管理层审阅审计工作 10 6.8完成现场工作 10 6.9其他工作 10 6.10专项审计 10 6.11合同审计 10 7．报告及其他形式工作成果 11 7.1对审计问题的评价 11 7.2审计报告 11 7.3闭幕会 11 7.4其他形式的工作成果 12 7.5向审计委员会提交内部审计报告 12 8．跟进审计 12 8.1跟进工作的原则 12 8.2开展跟进审计 12 8.3汇报审计发现 13 8.4主要绩效指标 13 9．内部审计部行政管理 13 9.1存档 13 9.2时间记录 14 9.3电子文档 14 9.4绩效管理 14 9.5知识管理 14 9.6被审计单位的反馈 14 9.7部门会 14 附录 15 A.主要的审计文件样本 15 B.内部审计部门架构 21 C.内部审计章程 21 D.内部审计方案-框架（样本） 23 1．内部审计理念和方法 1.1 内部审计的使命 内部审计的使命，是通过其独立、客观的工作，以及提出最佳方案，来确保企业得以最有效地运作。通过其有系统的工作方法，内部审计将对企业的风险管理、内部控制、以及管理流程的有效性进行评估并提出改善建议，从而帮助企业实现其目标。 1.2 内部审计章程 内部审计章程列示了内审部门的目标、权威性及责任。是经公司董事会和审计委员会批准通过的。详见附录C。 1.3 内部审计的作用 建立并维护一个有效的内部控制系统以及进行风险评估和管理是公司所有管理人员的职责，这不会因内审及外审的审查工作而改变。 内部审计主管有权就公司企业管治情况的适当性和有效性以及遵从程度进行独立审核，并向审计委员会作汇报。具体审查工作将被纳入内部审计计划中。 内部审计是一种独立、客观的监督和咨询活动。其目的是协助企业增值和提高企业的运作效率。 1.4 内部审计流程 下列流程图总结了内审工作过程中的几个主要阶段以及每个阶段所相对应的工作结果。 内审部门也可能会开展一些审计以外的工作。对任何其他类型的项目，基本原则还是相同的：应作适度规划，对所做工作进行适当的文字存档、记录并与管理层讨论工作发现，同时进行独立的审核和汇报所有发现的问题。如果适用的话，也应进行跟进审查。 2．道德规范 2.1诚信 内审应以高诚信的态度执行工作，即诚实、勤奋和负有责任心。 2.2独立性 决定内审有效性的其中一个主要因素就是独立性。内部审计应当： •与高级管理层的接触不受限制 •以其部门的本身名义汇报工作 •与各业务线分离 2.3保密性 内审人员不可以不当地披露或使用在其工作中所得到或获取的信息。所有报告和工作 底稿都被视为机密。 2.4利益冲突 内审人员应当警惕发生会对其独立性产生质疑的情况。如果发生了这种情况，应及时 通知内部审计主管。 2.5胜任能力 内审人员应掌握必需的知识、技能和经验以开展相关工作，并不断提高其服务质量和有效性。 2.6商业道德 内审人员应遵守有关商业道德、企业行为守则，以及内审人员所属的专业协会的所有 指引，尤其是[美国内部审计师协会]的道德规范。 3．风险管理 3.1管理层的角色 公司管理层所担任的一个关键角色就是识别和管理风险，以保障投资者的利益、保护 公司财产、维护有效的内控制度、有效管理公司资金以及维护公司的良好形象。 3.2风险管理与内审活动之间的关系 从制定审计计划到审计报告，内审在其工作的每个阶段都要与管理层紧密配合，以确保内审工作的重点集中在会对企业产生影响的重大风险上。 内审的作用是向管理层客观地报告企业风险管理的情况，以及向审计委员会报告整体风险管理流程的有效性。 内审可以协助管理层监督和报告风险管理的执行情况。但是，公司管理层对风险管理 负有最终的主要责任。 4．与第三方关系 4.1审计委员会 内审部的最主要任务之一是协助审计委员会履行其对公司的独立监督作用，内审主管会定期向审计委员会汇报各审计项目的结果。内审主管与审计委员会有独立、不受阻碍的沟通渠道，以便内审部能独立监督管理层日常的运作。 审计委员会每年至少召开[四]次会，就内审提的审计结果报告及其他相关事宜进行讨论。 如有必要，审计委员会可以从既定计划中重新指示内审资源的安排。此外，每年的审计计划亦会于开展之前由审计委员会审阅并批执行。 4.2首席执行官 首席执行官是公司日常营运的最高负责人，内审主管会定期向首席执行官汇报各审计项目的结果，并由首席执行官推动和立令要求各相关单位执行内审部门在有关项目所提出的各种建和全力配合。此外，首席执行官亦会确保内审部有足够的资源开展工作。 4.3首席财务官 内审主管与[首席财务官]之间是一种伙伴关系，其共同目标是确保公司财务安排和内控系统的确性和有效性。首席财务官也可以邀请内审部进行某些特定的审核工作以协助其履行某些法定职责。 4.4高级管理层 与公司管理层建立良好有效的工作关系，对内审来讲是十分重要的。但这不能影响到另一重要的原则，即保持内审的独立性。 4.5[外部审计师] 为了有效地利用审计资源，内审应与外部审计师定期进行会谈，分享审计发现，并一起讨论审计计划以确保涵盖到所有已达成共识的风险领域。 5．审计规划 5.1风险评估 风险评估工作主要有以下两部分：I)风险的识别；及II)风险的评价 I)风险的识别可以通过以下方法取得： -问卷调查 -与有关人员的访谈 -通过工作坊作集体讨论 II)风险的评价主要是综合考虑已识别的风险的影响程度和可能发生性，以下是评价风险影响程度的指引： 以下是评价风险可能发生性的指引： 5.2制定年度审计计划 年度审计计划应主要针对关键风险、业务流程以及平衡公司的各类业务活动。审计计划的制定应考虑到管理层和审计委员会对审计范围的期望。 制定审计计划的目的是要确保能经济有效地涵盖公司所面对的关键风险。随着公司业务的不断扩，灵活的审计规划方法是至关重要的。年度审计计划通常是由内审主管在部门经理的配合下来制定的。 5.3制定个别项目的审计计划 内审的每一项工作都应作适当规划。个别项目的计划可由内审人员来完成。审计项目计划的内容因项目而异，但是项目计划应至少涵盖以下内容： -确定该项目的审计目的; -确定该项目的工作范围; -安排与管理层的会谈，以确定审计项目的时间和计划; -确定开展该项目所需要的内部审计相关资源; -确定审计项目小组与成员在该项目中需要达到的目标; -对被审计项目背景资料的搜集。 5.4拟定审计项目工作范围 既定目标应确保审计考虑了所审流程或领域中的最重大的风险。审计职权范围应在现场工作开始前先发给被审计单位。 5.5其他类型内审工作的规划 第5.3节所提到的基本原则适用于大多数的内审工作。不可能对每一类项目都作出细致的规定，内审人员应就个别项目制定该项目工作所需要做的具体 工作计划 幼儿园家访工作计划关于小学学校工作计划班级工作计划中职财务部门工作计划下载关于学校后勤工作计划 方案。 6．执行审计 6.1制定审计方案 审计项目工作范围初步指出了审计的主要业务流程、系统以及需要注意的风险。 审计方案的目的是要更详细地列出在每个领域中所要进行的具体工作。这可能需要更详细地考虑特定领域的风险，以确保审查工作重点是正确的。审计方案应包括： -收集信息和理解流程 -控制评估 -控制测试 除了确保达到审计目标，审计方案也提了： -分配工作的基础 -工作完成的记录 -实际工作与计划之比较 审计方案注重测试重大风险的有效控制点。对于无效的控制点，无需进行审计测试。 6.2收集信息 信息采集过程主要包括： -了解整体的管治结构 -记录相关人员或团队的作用和责任 -对所审查的系统和流程进行文档记录（例如，流程图、系统说明等） -了解管理层如何评估绩效 6.3控制的评估 一旦与管理层讨论并识别出风险之后，就需要识别出每个风险的控制点。进行控制点评估时可以考虑以下问题： -该控制点是用来防范风险的，还是辨识风险的？ -是人工控制，还是系统控制？ -控制点是否有效？（如果只有这一个控制点能运作，它是否能缓解风险？如果连同其他控制点一起是否能缓解风险？） 需要进行穿行测试来确认对流程和控制点的认识。这包括观察整个流程的运作，以及追查测试一笔完整的反映整个流程的交易。 6.4控制点的测试 现场测试包括了审阅管理层使用的汇结果，选择样本以进行详细的检查,以及采用计算机辅助审计技术。 测试技术 下表对不同的测试技术进行了汇说明 样本选择 有效审计，就是尽可能用少量的样本得到尽可能最大的保证。必须在所选样本的基础上尽可能得出确的结论。 当发现控制失效时，应当进行更详细的测试，以确定该问题的程度和规模。 如果没有证据显示控制无效，则无需进一步测试，除非有存在其它问题的迹象。 [样本应当随机抽取。] 样本的多少还取决于所审查的控制点是"辨识性"的，还是"防范性"的。辨识性的控制是用来确定是否有问题发生。这类控制是事后的，通常数量有限。这种情况下，就有可能作全部测试。而防范性的控制，如发票的审批，是用来在第一时间阻止问题的发生。由于可能存在大量的发票，所以就需要选取少量样本来做测试。 进行测试时，必须确保得到充足和可靠的证据以核实控制的有效性。如果测试显示控制并不如预期所想的样，则可以采取以下三个步骤： •了解发生控制例外的性质（例如，是特例或个别例子还是重复发生的，失效的原因） •延伸测试-核对例外的解释是否属实，或决定例外的影响有多大 •考虑是否存在其他控制可以弥补这一风险 分析性复核 •确立测试的目标 •设立并记录预期的结果，作为评估比较实际测试结果的基准 •进行数据分析 •评估结果-包括评估问题发生的原因，决定是否需要进一步调查，以及最终确定和记录结果。 计算机辅助审计技术(CAATs) 计算机辅助审计技术在测试大量交易或全部对象时十分有用。采用该种技术时，需要事先做好计划，以确保数据处于可读取的格式。计算机辅助审计技术包括比较实际与预期数据，以及提系统内审计的综合报告。 6.5记录工作发现 工作底稿是制作审计报告的基础，应当遵守认可标并保持专业性。工作底稿应达到以下目的： •记录已进行的工作和收集到的证据 •提所遇问题的详细情况 •呈现有条不紊的工作方法 •支持审计报告的结论和建 •便于审阅 •为下一次审计提背景介绍和参考资料 •便于与被审计单位进行讨论 工作底稿必须易读、清晰、简洁、客观，还应对工作底稿进行编号、附上日期、签名，工作底稿间相互参照、保持相关性,并且参照源头文件。透过工作底稿，要能使之前不了解所审领域的审计人员也能得出与实际审计人员一样的相同结论。 审计人员应当清楚了解所有内审文件都可能会受外部审计师查阅。 6.6起草报告要点 将审计问题转成报告草案要点的过程应融入于整个审计过程中，而不只是停留在审阅工作的最后阶段才草拟。 所提出的每一个审计问题都应具备： •基于事实的对审计问题的陈述 •审计问题的后果 •审计人员的初步建议 •管理层对审计问题及建议的回复 •整改负责人 •完成整改的期限 在审计过程中，当发现审计问题时，即当起草"审计发现和影响"以及相对应的"建议"，并与管理层进行讨论。还应在审计文档中记录下具体的同意日期以及同意人名字。 6.7管理层审阅审计工作 在结束现场工作后、出具报告草案之前，审计经理应当对审计工作进行全面的审阅。如有问题需要跟进，则可以在出具报告前进行。若审计经理能在整个审计进行的过程中保持及时的审阅则更为理想；这样可以避免一直等到正式审阅后才发现重大问题需要作重新或追加审计。 当审计结论为"控制不佳"时，内审主管需要审阅全部审计文档，且需要在出具报告草案前完成。对于其他审计结论的项目，内审主管也可抽样审阅部分，以此作为内审部门质量保证过程的一部分。 6.8完成现场工作 向管理层出具报告草案，被视为现场工作的完成。到此阶段，应完成对每个审计发现都有提出建并得到管理层回复，完成报告摘要，以及同管理层召开过闭幕会讨论报告。审计管理层还应完成对审计文档、审计发现及报告草案的审阅。 理论上讲，从报告草案到最后定稿的变动应该不多。因此在日程表上，从召开闭幕会讨论报告到出具报告正稿，只安排了[5]个工作日的时间。 6.9其他工作 审计项目的基本原则同样适用于内审部门所开展的其他类型工作。尤其是，对工作要清楚地加以规划和理解；要做适当的文字存档；审计经理要审阅工作，任何问题要恰当报告。 6.10专项审计 专项审计分两个主要阶段，初步健康检查和详细的项目审查。 6.11合同审计 积极主动地管理与重要的或战略性应商之间的关系是至关重要的。只有当合同管理 部门具备充足的应链管理技能时，公司才可能提高与应伙伴合作所带来的价值。 7．报告及其他形式工作成果 7.1对审计问题的评价 （1）审计报告述需对所发现的重大审计发现进行汇；（2）重大审计发现的数量将有助于决定报告的结论。在决定某一审计问题的重大性时，审计人员应当考虑该问题的财务后果、对企业声誉或技术所产生的影响。 7.2审计报告 给管理层和其他重要接收者的报告被称为"审计报告正稿"。在出具审计报告正稿前，需要经审计经理和审计主管审阅。报告会以摘要形式，作为机密文件的一部分呈交给审计委员会。只有经过内审主管明确的书面批，方可将报告副本发给分配名单以外的人员。审计报告应由负责执行项目的项目经理发出，报告首页应印有内审主管的名字。 有必要在审计报告中给出结论的，可选的结论有： "控制有效" 没有发现审计问题或只是几个小问题。只有在特殊情况下才会给出这种结论。而最 常用的正面评论则是 "控制适当" 控制系统整体有效，但仍可以略作加强 "有待改进" 控制系统没有有效地运作，需要采取行动来适当地加以改进 "控制不佳" 存在重大的可能性会造成会计或其他控制崩溃，需要立刻引起关注 所有报告要发给： •被审计单位的负责人 •公司董事会 •审计委员会 •首席执行官 •首席财务官 报告的其他接收者要视具体审计范围而定。 报告编号应按XX/YY的格式来编排。XX代表项目流水号（在规划调度阶段派发的）；YY代表审计年份。最终的审计报告则加上后缀"F"，代表定稿。 7.3闭幕会 闭幕会的目的是要就审计报告草案的内容与管理层达成共识，告知管理层下一步审计工作安排。审计报告草案应在结束会后5个工作天内发出。管理层则有5个工作天的时间在发表审计报告正稿前对修改草案给出意见。除执行现场工作的审计人员外，审计经理最好也能在场参加闭幕会。[若报告结论为"控制不佳"，则内审主管也应参加闭幕会。] 作为最低指引，落实每个审计发现行动计划的最终责任人应被邀请参加结束会。 7.4其他形式的工作成果 当内审希望引起管理层对某一问题的关注，但又不适宜出具正式的审计报告时，可采用审计咨询说明。所有此类说明都须经过内审主管的审阅和签字。 内审所开展的其他类型工作的工作成果可能是多样的。可以是口头形式的，例如审计人员参加并指导小组会。当内审的改进建没有被落实时，则有必要出具书面报告。 重要的是，审计人员要记录下他们对整个流程所作出的贡献，例如以档案说明的形式。这也能向其他部门提证据显示出内审部门在管理风险方面所作出的贡献。 7.5向审计委员会提交内部审计报告 每半年及每年年底，内审主管要向审计委员会提公司的内审工作报告。 在一年内内审的范围不可能涉及企业的每一方面，因此要清楚地阐述已经开展的工作并明确给出得出审计结论的基础，这是十分重要的。 内审主管还会在年内向审计委员会提交报告，概述部门所开展的工作及发现的主要审计问题。此类报告没有特定形式。 提交给审计委员会的书面报告应被视为机密文件，需考虑保密性。内部审计报告是需向管理层指出所发现的薄弱领域，提出改进建，记录下管理层对于整改建的答复。 而六个月（或经过其他商定的适当期限）后，内审部亦需向审计委员会汇报有关审计报告所指的各项重大发现的整改落实情况和进度。 8．跟进审计 8.1跟进工作的原则 所有审计跟进工作不得迟于出具审计报告正稿的六个月后展开。内审的职责之一就是要核实管理层是否对审计问题采取了适当的改进行动。跟进审计可以提前展开，尤其是对于些需要立刻解决的审计问题。 实际的改进行动可能不同于当初在报告中所同意的。如果审计人员认为其达到的效果是一致的，即风险被有效控制住的话，这样的改进行动是可以接受的。 跟进审计应当由适合的审计经理来完成。主要原因是： •可以为审计提新的观点； •可以获得对审计流程的反馈意见。 8.2开展跟进审计 第一步是要在开展跟进审计前约[1]个月通知主要的被审计单位的人员。然后，应安排一个会，讨论如何开展跟进审计以及了解报告中各审计问题的整改进度。 对已采取了改进行动的，需要核实： •是否的确如描述样的采取了改进行动； •改进行动是否有效地缓解了风险 这可能需要审计人员对控制做进一步的测试。审计人员应自行判断以决定是否需要测试以及需要进行哪些测试。 对于没有采取改进行动的问题，需要了解其原因（例如风险可能不再存在）。如果风险依旧存在，则需要对此作出汇报。 8.3汇报审计发现 跟进审计的工作结果是另一份审计报告。其主要目的是向高级管理层汇报原审计报告正稿中所发现的问题都已得到了适当的处理。对仍未解决的问题，要给出将对其进行整改的商定日期。之后则由海尔管理层负责通知内审部门他们何时完成了对审计问题的整改。 内审必须明确地告知审计委员会哪些问题在报告中提出，而没有在商定的期限内妥善得以解决的。不对审计报告采取行动是一个严重的审计问题。 8.4主要绩效指标 作为内审部门整体绩效管理流程的一部分，需要对一些主要绩效指标进行记录、监督和汇报。这包括： 报告数据库 报告数据库的目的是要保存和跟踪审计工作及相应的报告，确保对审计问题采取了适当的改进行动。 在制定审计项目工作范围阶段，就应在数据库中记录下审计工作的详细情况。审计负责人员应当在第一时间将商定的重要审计日期输入进数据库。部门管理员负责保证数据库及时得到更新。 内审主管定期向审计委员会汇报内审报告的最新进展情况。 9．内部审计部行政管理 9.1存档 基于以下原因，需要对文件进行存档： •为所展开的工作和得出的结论提明确的证据 •为借鉴以往经验、不断改进工作质量提基础 •随时提信息来源以整体协助业务发展 要求对每一项工作（无论是审计、咨询类项目、还是一次性咨询或协助）都应当进行文字记录和存档。印刷版文档（而非电子文档）则作为"定稿"。 审计文档应至少包括： •审计进度报告 •审计项目工作范围 •规划文件 •系统/流程说明 •所有会（尤其是开始和结束会）的会记录 •审计方案 •记录所有测试、访谈等的工作底稿 •审计报告草案（包含讨论的问题清单） •审计报告正稿（一旦出具审计报告正稿，可将报告草案从文档中去除） 内审部门的一个主要的绩效指标就是对工作进度的记录和汇报。为协助达到此目标，审计进度和报告追踪表应放置于审计文档的最前面，列出所有的审计步骤。此外，也需要详细记录所有后续跟进电话或电子邮件的内容，以及造成任何审计进度延误的原因。 内审部门也会维护一个永久档案，以保留些可能时常被使用或参考的文件，例如年报、组织结构图、部门的职权范围等。 9.2时间记录 对于海尔自己的永久职员或外借来的审计人员，在时间记录上的具体要求会有所不同。一贯的原则是，需要获取相关的信息来了解在项目上实际所花的时间来与预算作比较。这样将有助于不断地改进项目管理的质量。 9.3电子文档 所有重要的审计或其他工作文件都应在部门的服务器上存有电子版本。 9.4绩效管理 每过[六]个月应对每一位内审人员进行一次表现评估。每次项目完成后，审计经理可以组织一次工作小结会（若项目很短且直接，则不需要）。工作小结应当以审计员的自我评估为基础，可以考虑项目中哪些地方做得比较好，哪些需要改进，以及部门作为一个整体从项目中汲取了什么样的教训。随后应记录下审计经理的评语。如果有任何客户反馈意见，也应包括在此部分中。 9.5知识管理 知识管理是指内审部门用以确保在本部门及公司内部获取及推广最佳做法的原则和流程。还应考虑以下问题，如科技的运用、存档的最佳方法以及如何分享信息等。 9.6被审计单位的反馈 为了不断改进工作质量，内审部门要从其进行审计项目的被审计单位身上寻求反馈意见。在项目完成以及出具了审计报告后，应当将被审计单位反馈表发给主要的被审计人员。并要求被审计单位人员在[4]周内提其反馈意见。 9.7部门会 内审经理和内审主管每两周进行进度汇报会，分享关于公司的体信息以及内审的特别问题。 定期召开部门会。目的是要确保部门的每一个成员都清楚了解会影响到他们的所有问题，也是提一个让大家探讨与部门相关话题的机会和场所。会程应至少在会召开前[两]天发出，商定的行动应于会召开[3]日内发表。 附录 A.主要的审计文件样本 A.1审计项目计划表-框架（样本） A.2审计范围说明-框架（样本） 1.介绍 向被审计单位介绍该审计项目是按照内部审计章程执行的，并已得到审计委员会的核准。 （一般的审计项目都包括在年度审计计划中。） 2.审计目的 简介审计目的: •例:合规审计-确保销售流程符合公司定下的〈销售程序守则〉 3.审计范围及需提供的资料 本次审计的目的是确保销售流程符合公司定下的〈销售程序守则〉，为此[被审计单位]需提以下的资料： 销售流程图及说明 SAP销售系统及说明 销售合同 出库文档(出库单、等) 销售政策 定价政策 其他相关的资料。 4.审计时间 审计的现场工作将于1月30日开展，预计于2月28日结束。 5.人员安排 项目小组负责人为李先生。XXX和YYY将会协助李先生。 6.资源的安排 我们希望在1月30日和贵管理层开启动会，以便讲解我们这次审计的目的。（此外，通过启动会的沟通，双方可就审计项目的资源安排，包括人员的配合和有关资料的提作深入的沟通及有效的安排，以便审计项目的顺利进行。） 7.汇报 必须说明汇报渠道,和管理层必须在审计报告发出后的xx天内回应报告里的问题发现。 8.责任说明 说明管理层的责任。例如执行改进内控建、提所有需要的资源/资料等。 A.3审计项目详细计划（样本） A.7报告阶段：审计报告-框架（样本） 公司/部门名称/项目名称 审计总述 -审计目的 -审计发现问题汇 被审计单位背景/资料 -单位负责人 -被审计单位于审计期间的主要变动和发展 -被审计流程的简介 审计目的与工作范围 -对被审计单位就上次审计报告所提及事项的跟进汇报 -审计覆盖的时间 审计方法 -被测试控制数 -控制设计评估 -抽样方法 -样本数量 A.7报告阶段：审计报告-框架（样本） 公司/部门名称/项目名称 审计发现及其潜在的风险 # 审计发现 风险及影响 改善建议 管理层的回应 负责单位 跟进和执行时间表 1 2 A.8报告阶段：闭幕会议 闭幕会议内容 •简介会的目的 •简单介绍审计目的、审计范围 •审计结果,包括: 审计发现及其潜在的风险 改善建议 管理层的回应 负责跟进人员的资料 跟进和执行时间表 •跟进审计 B.内部审计部门架构 C.内部审计章程 本章程说明内部审计职能的使命、与独立性和客观性、工作范围职责、权限、任务、以及须遵守的准则。 使命 内部审计的使命，是通过其独立、客观的工作，并提出最佳方案，来确保企业得以最有效地运作。通过其有系统的工作方法，内部审计将对企业的风险管理、内部控制、以及管理流程的有效性进行评估并提出改善建议，从而帮助企业达到目标。 独立性和客观性 为确保独立性，内部审计直接对由董事会任命的审计委员会负责。另外，内部审计定期向公司[主席及首席执行官]汇报工作。 为保持客观性，内部审计并不参与日常的内控流程。企业内部每一个部门都需对其拥有的内控流程及其有效性负责。 工作范围及职责 内部审计的工作范围包括审阅企业的风险管理程序内控系统、信息系统及管理流程。 工作还包括定期测试流程、与同业操作模式进行比较并提出改进意见，进行特殊事项调查、对法律、法规进行要求的评估，以及采取措施以防止或发现舞弊的发生。 为了履行其职责，内部审计应该： •识别并评估企业运作中的潜在风险。 •检查为确保企业运作不违背政策、计划、程序及商业目标的控制是否足够。 •评估财务信息和管理信息、以及提这些信息的系统或流程（包括内部和外部）的可靠性和安全性。 •评估企业为保护财产采取的措施。 •检讨已建立的流程和系统，并提出改善建议。 •评价对资源使用的有效性（考虑是否有效、是否合附经济理念从而是否有效率）。 •测试根据风险水平挑选出来的项目，确保其运作符合企业政策规定，尤其是确保是否有足够地执行内控措施。 •跟进通过测试提出的改善建，以确保所有补救措施均有有效地执行。 •根据管理层的要求，开展计划外的评估、调查或审阅项目。 权限 内部审计旨在合理的成本下促进和改善企业的内控。为了达到这个目的，内部审计在执行工作时具有以下权限： •可以自由出入企业的每一个部门，并且有权查阅所有对其执行工作有帮助的文件及档案。 •有权要求任何员工以及管理层人员在合理的时限之内提相关的信息或解释。 •各部门主管应及时知会内部审计部门所有涉及安全问题及与法规制度问题相关的重要事项。 •建权：享有就审计中发现的问题，向被审计单位及有关部门反映并建采取相应措施的权力。 任务 内部审计部门应年度内审计划。在编制年度内审计划时，内部审计部会考虑有关的业务风险和相关部门或前线经理的建。年度内审计划考虑了风险评估、当前内审项目重要性的排列情况以及怎样开发这些内审项目的信息。 年度内审计划需要得到审计委员会的复核批。在需要的情况下可对内审计划进行修改，但所进行的改动仍应得到审计委员会的批准。 内部审计部负责计划、执行、汇报以及跟进内审计划中包含的所有内审项目，并且针对每一个项目决定其审计的范围及执行的时间。有关这些具体程序，都记录在内部审计手册中。 内部审计工作应该专业且及时地进行。内审结果的汇报应包含所有应得到各方认同的审计事实，以及所有有效的改善建。一份详细的内审报告将汇内部审计的目的、范围、观察所得及改善建。在任何情况之下，内审部门对于改善内控提出的建都应得到及时且足够的回应和跟进。 内部审计还应就发现的所有重大风险及相关控制等内审工作结果向管理层及审计委员会提交一份年度工作报告（此外，亦应出具半年度工作报告）。 [内部审计部门还应与外部审计人员进行沟通，以确保进行了足够的审计工作，并避免重复劳动。] 须遵守的准则 内部审计应严格遵守行业准则，包括国际内部审计师协会和国际信息系统审计协会发布的准则。 D.内部审计方案-框架（样本） 内部审计方案为每一个内审项目的审计蓝图，它载列了每个项目需执行的基本工作内容，由计划阶段到最后的整理和汇报阶段。由于每个审计项目的目的有别，故具体的方案亦因不同的审计目的而作出相应的调整。 作为内部审计人员，我们必须了解被审计单位、其功能或有关流程的目标、以及其所涉及的风险和制，方能制定出合适的内部审计方案。内部审计人员透过对风险与制间的战略性平衡确定潜在机会，从而提升机构的增值潜力及减低风险的影响。 工作底稿 工作底稿 核实签署 参考编号 计划阶段 预算计划阶段所需时间______ 1.清楚说明进行内部审计的原因,内部审计的目标,和对内部审计项目的期望,并检讨内部审计项目的目标,是否与集团/公司整体策略目标相符。 ____ ____ 2.对审计对象作初步的调查和资料搜集工作。查阅集团/公司有关审计对象的内部数据以进一步了解组织结构和呈报结构,使审计程序能配合组织整体结构。 ____ ____ 3.与被审计单位主要管理层探讨以下工作: -共同探讨审计项目目标和期望 -了解管理层的职责范围和经营目标 -认定主要审计联络人员 -对审计工作时间达成共识 -认定提审计清单资料的负责人 ____ ____ 4.编制预算表,并安排人员参予内审项目。 (以上预算表和项目人员的安排需获内部审计主管批方可进行。) ____ ____ 5.要求有关流程的负责人提有关流程资料和说明以便能进一步了解各有关业务活动、主要业务目标、忧虑、风险、职责和被审计单位所在地。 -视乎个别审计对象,另设置各专项审计程序 -编制审计所需资料清单,一般包括以下数据 ​ 组织架构图 ​ 业务流程图 ​ 业务流程文件资料 ​ 有关审计对象的营运政策和程序 ​ 有关被审计单位适用的法律、法规汇主要合同的管理情况 ​ 可测试的科技信息资源和数据来源 ​ 被审计单位的权限和授权制度 ​ 有关被审计单位的科技信息系统文件数据 ​ 被审计单位各项检讨报告、结报告和管理报告 ​ 被审计单位的管理财务报告、预算报告和实际经营情况与预算报告的比较分析及与以往年度经营成果的比较分析 ​ 被审计单位的其它各种管理报告 6.了解所采用的科技信息系统和可提的数据来源 ____ ____ 7.通过以下资料或方法,了解组织结构。主要业务目标,主要风险,应有内控制度及具体需重视的地方: ​ 以往的内部审计报告和工作底稿 ​ 个别具体审计程序所列示的分析性复核程序所提的审计前所需资料 ​ 与被审计单位个别业务流程负责人或代表会晤以进一步了解情况(如财务功能、营运功能、合同管理、法律工作) ​ 独立调查研究 ____ ____ 8.明确厘订审计范围和审计目标,并在开展前获内部审计主管批,同时亦与被审计单位管理层就审计范围和审计目标达成共识。 ____ ____ 9.草拟内部审计报告概述篇,内容包括被审计单位背景资料、业务资料、审计目的、范围和方法。 ____ ____ 10.与被审计单位安排审计小组工作地方、通讯设备(如电话机、传真)以及能安全存放审计文件资料的地方。 ____ ____ 现场工作阶段 预算现场工作阶段所需时间______ 11.安排审计项目开展会,并与有关业务程序负责人会晤。 ____ ____ 12.安排审计小组人员的分工,并展开审计工作,包括与有关业务程序负责人会晤、视察现场、记录流程以了解主要流程和所存在的风险及内控架构。 ____ ____ 13.以流程图和说明的方法简略地记录业务流程和存在的内控。同时认定可改善业务程序有效性和效率的机会及与管理层探讨,并删除无效和重复的内控环节。 ____ ____ 14.认定被审计单位管理层为达致经营目标所依赖的内控环节,根据该内控环节进行测试以评估其有效性。 ____ ____ 15.定期检讨审计工作并与审计联络人和被审计单位管理层就审计发现、内控问题作及时的探讨交流,同时获取被审计单位管理层对审计发现和内控等问题的认同、跟进以及改善方案,并将已达成共识的审计发现以及改善方案记录在审计报告中。 ____ ____ 在现场工作阶段，视乎各审计项目范围和目的，内审人员需加上适用的具体审计程序方案，内容包括具体的内控测试程序。有关具体内容的例子，请参考附录A.3审计项目详细计划（样本） 审计项目的执行 16.确保主要审计项目联络人清楚各项审计发现。 ____ ____ 17.根据实际情况,对个别专项审计程序作出修订以能更有效地涵盖审计范围。____ ____ 18.根据具体审计程序展开内审工作,并通过测试结果评估各内控的有效性。 ____ ____ 19.根据测试结果和发现与被审计单位有关的功能部门或负责有关流程的管理层交换意见和探讨审计发现以便确叙述有关问题和其它新的发现,从而有效记录有关审计发现。____ ____ 20.根据测试结果调整审计工作量和审计范围,并获取审计主管的批和通知被审计单位管理层。 ____ ____ 21.定期与审计联络人和被审计单位管理层讨论审计事项(包括流程的有效性、效率和内控弱点),并通过聆听深一步了解管理层的意见和共同研制改善方案,同时,对各项审计发现达成共识。最后,将达成共识的各项发现记录在审计报告中。 项目管理 22.定期汇报项目进度和更新审计最新情况,并对会否超出预算或延迟完成作及时的估计。____ ____ 完成现场工作阶段 23.在与被审计单位召开审计结会前,先与审计小组讨论各审计结果,同时审阅各有关的工作底稿。此外,获取内部审计主管对各项审计发现及有关改善方案的批。 ____ ____ 24.审阅所有审计结果,并认定些审计发现需包含在内部审计报告中,然后分类和按其重要性列示于审计报告中。 ____ ____ 25.根据审计结果,草拟内部审计报告和协调有关内部审计人员和被审计单位审阅内部审计报告初稿。同时,尽快解决未解决事项。在召开审计结会前,先提一份内部审计报告草稿至审计联络人。 ____ ____ 26.确保所有主要审计发现均列示在报告中,同时亦确保这些主要审计发现均有适当的工作底稿作支持。 ____ ____ 27.与被审计单位的管理层及有关人员进行审计结会并交流对内部审计报告的意见和对内部审计报告内容达成共识。 ____ ____ 审计项目的最后整理和汇报阶段 预算整理工作所需时间______ 28.解决之前尚未处理的事项和整理工作底稿并报送有关内部审计人员审阅和签署。___ __ 29.综合被审计单位意见和内部审计主管意见,修订内部审计报告,并呈报最终报告给公司董事局。 ____ ____ 30.评价项目表现、人员表现和可改善的地方。 ____ ____ 31.存放最终报告于工作底稿内及把工作底稿标签成文件。 ____ ____ 32.完成其它内部审计行政工作。 ____ ____ 33.退还所有文件正本或原件予被审计单位。 ____ ____