内部审计作业手册(共52页)

内部审计作业 手册 华为质量管理手册 下载焊接手册下载团建手册下载团建手册下载ld手册下载 目录第一章内部审计概述……………………………………………1第二章审计业务计划……………………………………………4第三章业务流程分析……………………………………………8第四章评估设计有效性…………………………………………11第五章测试运行有效性…………………………………………22第六章审计执行结束……………………………………………39第七章审计报告…………………………………………………43附件1年度审计项目列表附件2年度审计 工作计划 幼儿园家访工作计划关于小学学校工作计划班级工作计划中职财务部门工作计划下载关于学校后勤工作计划 附件3审计计划备忘录附件4审计通知书附件5流程文字描述工作表附件6穿行测试工作表附件7风险控制矩阵附件8关键控制登记表/测试工作表附件9问题及缺陷表附件10审计报告格式第一章内部审计概述第一条审计使命审计部门直接对公司总裁办负责，为公司管理层评估公司记录、内部控制 制度 关于办公室下班关闭电源制度矿山事故隐患举报和奖励制度制度下载人事管理制度doc盘点制度下载 、管理资讯系统及作业系统是否健全、完善、有效。协助公司管理层发现业务发展中可能存在的风险，并提出如何建立适当的制度、内部控制系统和程序来充分地、有效地管理控制风险。第二条审计组织公司设立审计部，作为专职的内部审计机构。审计部的日常审计工作直接向公司总裁办汇报。同时，审计部作为审计委员会下设的办公室，负责处理审计委员会交办的日常工作。第三条审计的主要职责审计部门的主要职责是：一、拟定公司内部审计制度，编制年度审计计划和审计预算；二、对公司及各分支机构各项经营活动和财务活动的真实性和合规性进行监督、检查和评价；三、对公司及各分支机构内部控制体系以及风险管理体系的健全性、合理性和有效性进行监督、检查和评价，并出具年度内部控制评估报告；四、对董事及高级管理人员在任职期间所进行的经营管理活动进行审计检查；五、对公司及各分支机构经营效益等事项进行专项审计；六、对公司信息系统进行审计；七、对被审计单位整改情况进行后续审计；八、处理董事会审计委员会交办的日常工作；九、法律法规规定和公司要求的其他审计事项。第四条审计范围审计工作范围涵盖公司全部业务。审计部门必须在整个工作领域内，明确订立出各个需要被查核的区域，以利查核工作的进行。审计工作范围包括一、业务审计；二、财务审计；三、合规审计（包括定期进行反洗钱和反恐怖融资方面的审计等）；四、董事及高级管理人员审计；五、根据公司管理层的要求进行的专项调查；六、公司外部有关部门（政府监管部门、股东方及会计师事务所）检查所发现的重大管理缺失事项的追踪。第五条审计制度公司制定《公司内部审计制度》。审计制度是内部审计的基本行为准则，是审计人员在任何情况下都必须遵守的原则。第六条审计程序与方法风险评估及审计计划步骤3:评估固有风险/评价控制设计步骤2:业务流程分析步骤1：审计业务计划步骤4:控制运行有效性的测试/评估剩余风险步骤5:审计执行结束审计执行公司审计部门采用风险/控制的审计方法。完整的审计程序包括审计业务计划，业务流程分析，评估固有风险/评价控制设计，控制运行有效性的测试/评估剩余风险及审计执行结束。审计执行循环如下：第二章审计业务计划第七条年度审计计划目的审计部门须对每一年度的审计项目安排年度审计计划。年度审计计划编制的目的在于：一、确保审计工作满足公司内部管理和外部监管的需要；二、使审计部门与被审计单位之间在工作安排方面协调一致；三、确保审计项目的时间和人员安排充分并且适当。第八条年度审计计划要素年度审计计划包括将于该年度内实施的所有常规审计项目。年度审计计划的要素包括各审计项目范围，涉及部门及项目的时间安排，包括现场工作日及审计报告提交日。所有包含于年度审计计划中的审计项目均应编号。项目编号以年份加顺序号组成。第九条年度审计计划的编制程序一、审计范围和可审计单位审计工作的范围涵盖公司全部业务。公司业务中凡被内部审计人员或外部审计人员（政府监管部门或查帐会计师事务所）认为须作查核的领域，全部包括在审计范围之内。审计工作应以审计范围内各业务运作流程的内部控制制度的建立和执行情况为重点。以审计工作的可操作性考虑，审计范围整体应分成若干个可审计单位。每一个可审计单位都应该可以单独被查核，但又与整个内部审计计划相联系。可审计单位的划分，以各项业务操作的流程为宜，不受业务部门的限制。二、审计项目之选择根据确定的可审计单位，审计部门主管应充分考虑以下因素，确定年度审计项目，编制年度审计计划。（一）风险高及公司策略重点的可审计单位审计次数应更频繁；（二）为确保审计项目的完整性及有效性，审计项目应涵盖业务审计，资讯技术审计及财务审计等审计范围；（三）审计项目涵盖的范围及其及时性应使内部审计工作价值最大化，并为外部审计师提供帮助；（四）每一审计项目的确定及人员安排应确保审计报告在审计工作开始后60天内发表。第十条年度审计计划之核准内部审计部门应于每年12月底前完成下一年度审计计划，并呈报公司领导及董事会核准。年度审计项目列表详见附件1。年度审计工作计划详见附件2。第十一条审计项目计划的目的每一审计工作皆须经过适当的事先规划，以确保内部审计工作能有效果并有效率地完成，同时符合内部审计部门的审计作业方法和程序以及有关法律法规的要求。第十二条审计计划备忘录审计人员应对每一个审计项目编制审计计划备忘录。审计计划备忘录如附件3。第十三条监管环境审计人员应明确主要的监管机关，确保已了解监管环境，并已考虑重要的监管约束。应咨询法规遵循主管，考虑是否有特殊监管约束需要在审计过程中引起注意。第十四条以前年度审计发现事项为确保以前年度审计发现事项得到妥善解决，再次审计时应对以前年度审计发现事项进行追踪。编制审计发现事项追踪表，清楚的列明所有审计发现事项完成情况。第十五条法规遵循及风险管理关注重点与法规遵循及风险管理主管讨论他们是否有特别关注的，希望在审计过程中引起审计部门重视的问题。第十六条初步会议每一审计项目在现场工作实施之前，应提前足够的时间开始计划。有关审计人员应先与被审计单位的主管举行初步会议，对被审计单位的业务及业务风险进行了解，取得被审计单位主管对风险评估的看法和观点，建立沟通渠道。第十七条审计通知的发送审计部门应在每一项审计现场工作开始前五至十个工作日内发出审计通知。审计通知以邮件的形式发送至被审计单位的主管，同时抄送公司管理层。审计通知由审计部门主管发送。一、审计通知的内容审计部门应使用标准格式的受权调查范围，详述本次审计的目的，范围，方法，所需工作时间及人员，日程安排。审计通知书的格式如附件4。第三章业务流程分析第十八条审计范围及业务系统描述审计部门应全面了解业务系统，以便深入了解审计领域及其相关的业务风险。可从公司内部或公司外部获得对业务系统的总体了解。公司内部的信息来源包括以前年度审计工作底稿、审计报告、组织架构图、制度和程序、管理报告、法规遵循报告以及外部审计报告。外部信息来源包括行业出版物、政府监管或法律方面的出版物、电视媒体以及其它电子或书面媒体。交易处理所采用的系统整合所有的业务处理，该系统包括销售人员获取商业信息的系统、风险管理系统以及财务控制使用的内部结算及支付系统、总帐系统和管理信息系统。审计人员必须充分了解上述各系统的运用以及各系统间的连接，如有必要，可请资讯技术审计人员协助。审计部门对业务系统及组织架构取得了解后，应编制系统描述，并记录于工作底稿中。对业务及系统环境取得深入了解后，便可设定审计范围。审计部门还应向管理层获取最新的组织架构图，并归入工作底稿中。如果管理层无法提供最新的组织架构图，应要求其编制，并将该问题做书面记录。第十九条财务信息为评价某特定业务领域的风险等级，审计人员应获取有关业务规模、资产负债状况、业务限制以及预算执行情况的信息。这些信息应从风险管理部门和财务部门获取。第二十条流程图和穿行测试应对不同类型的业务流程做穿行测试，并编制流程图。一、流程图：制作一个流程图的流程包括：（一）从现有的文档或系统用户中获取相关文件、资料及交易流，它们的制作及传送；及（二）确保所有文件及复印件以存档、处理、传送给他人或传递到另一图表的方式列示。流程图应包括的重要项目：（一）主要输入来源；（二）使用的重要数据文件、记录；（三）重要的流程步骤，包括系统自动程序及手工输入系统程序；（四）主要产出的文件、报告及记录；（五）支持流程的IT应用程序；（六）位置；（七）部门。流程图帮助了解流程及协助识别哪里可能发生重要错误和哪里存在控制防止或发现这些错误。流程文字描述工作表见附件5。二、穿行测试：在穿行测试中，审计人员从头到尾观察一个样本（一个或可能的话两个交易）以确定审计人员对系统或流程的了解，并协助识别流程中的重要控制点。穿行测试不能使审计人员得出一系列程序已遵照执行的结论，只用于确认流程。使用每种类型的典型交易来充分确认各流程及系统。穿行测试应是充分的、详细的，以确认是否所描述的就是实际发生的。审计小组应通过充足的询问，以确定所描述的控制是否被常规执行。发现任何例外情况，应更新流程文件（流程图和文字描述）。穿行测试工作表见附件6。第二十一条业务流程的确认记录的业务流程是否正确，应取得流程所有者（那些流程运行的负责人）的确认，可以一起审核并讨论这些书面文件，也可以向流程所有者提供书面文件草稿并要求反馈。任何确认的修改应在审计工作底稿中保留修改依据。第四章评估设计有效性第二十二条识别及评估风险设计评估步骤的目的是确认并更新被审计单位的风险。一、在对被审计单位业务有了初步了解后，审计小组应识别对达成业务目标或价值驱动力产生负面影响的风险。识别的风险应与不同的风险类型相关联（信用、市场、业务、运营和保险风险）。业务风险业务风险是“在一个特定的业务中”的风险，例如公司费用、业务持续性、销售额等方面遭遇与预期不同的可能性。信用/转让风险信用风险是公司遭遇证券发行商、交易对手、借款人、中介机构的信用质量发生变化的风险。转让风险指海外机构持有的资金不能遣返或由于政府限制，有偿付能力的外国客户或交易对手不能取得可自由兑换的货币。保险风险保险风险可以如下分类:死亡率风险是由于死亡的发生或非发生而引起现金流的时间和金额的偏差。P&C风险包括将来理赔支付的可变的规模、频率及时间，悬而未决理赔的发展和分摊损失而调整的费用。发病率风险是由于投保人发病率的变动而产生的理赔等级和时间的可变性风险。市场风险市场风险是与利率、资产价格、房产价格、外币兑换率、或其它经济因素相关的风险。运营风险XE"Operationalrisk"运营风险是由于不足够或失败的内部流程、人员及系统或外部事件而造成直接或间接损失的风险。它包括信誉风险，它不是直接的或是第二顺序影响运营的风险。同样，项目风险也是运营风险的一种形式。运营风险可以分为10种子风险类型:控制风险由于未遵循已建立的内外部业务标准或准则而发生的损失。未授权行为风险未经授权的雇员交易、批准或者超越授权而引起的损失。操作风险交易处理中无意的人员操作错误而引起的损失。雇佣及工作场所安全风险由于与雇佣、健康或安全法律或 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 不一致的行为，形成的付款或人员伤害的理赔，或由于差异性/歧视事件而造成的损失。信息(技术)风险由于可使用数据不足够、数据的完整性、数据的保密性或系统信息安全引起的损失，由于系统设计不充分和IT系统（处理，交流，信息）中断及由于IT应用程序/软件的故障而引起的损失。内部欺诈包括公司内部至少一个人参与犯罪或欺诈行为而引起的损失。外部欺诈由公司外部人员的犯罪或欺诈行为而引起的损失。危机管理&BCP/DRP风险由外部事件，自然（地震，暴风雨等）或人为（故意破坏，炸弹袭击）等引起的损失。合规风险由于未遵循适当的法律、法规及标准而对公司的诚信受损，导致对公司名誉的损害，法律或监管制裁，或财务损失的风险。人身及物理安全风险与公司房产或可移动资产保护相关的风险，包括第三者的进入，盗窃，火灾，贵重物品的保护，安全器材的可用性及用品持续的供给。与商务旅行中公司人员的安全、外籍人员派驻、项目执行及他们办公室环境相关的风险。分析结果应概括于风险控制矩阵（RiskControlMatrix，简称RCM）中。RCM中包含的风险应根据被审计单位的业务目标、价值驱动力等审核其相关性和完整性,在审计业务计划和业务流程分析阶段，如对业务有进一步的了解和认识，应及时更新RCM。RCM是重要的审计档案，用于归纳相关风险、控制、测试及审计结果。审计部门主管应确保编制高质量的RCM，RCM与工作底稿做交叉索引并归入审计档案中。风险控制矩阵如附件7。二、评估固有风险（一）风险要素在识别和分类风险后，审计人员需要评估固有风险。风险的重要元素：可能性和影响。理解每个风险的特性是重要的，这将对后续评估相关控制的设计和运作有效性起到重要作用。对于每个识别的风险，应通过考虑潜在的影响（风险可能引起的质和量的影响）和可能性（风险发生的可能性）来评估固有风险。（二）固有风险固有风险指在没有任何控制去管理一个特定风险的情况下该风险可能导致的危险。（三）风险足迹在评估固有风险前，审计小组根据“标准业务单位”的风险足迹完成固有风险评级。请记住用于固定风险评估的风险足迹将来也会用于剩余风险的评估。根据不同风险足迹中风险的影响和可能性,评估固有风险和剩余风险级别（即严重、高级、中级和低级）。影响及可能性的分数应在风险足迹中标绘以取得整体风险影响分数（严重、高级、中级和低级）和每个风险的颜色（红、橙、黄和绿）。标准业务单位          每月一次           每季度一次           每年一次           每5年一次           每10年一次           Euro010.00030.000100.000300.0001mln3mln10mln30mln100mln300mln>300mln  低级中级  高级 严重 一种颜色状态（红、橙、黄或绿）相应的分配到严重、高级、中级和低级的风险级别。影响的金额代表区间，如0-10.000，10.000以上–30.000，30.000以上–100.000等。（四）风险等级严重风险对业务目标和/或价值驱动力的影响非常重大。管理层应决定就当前已暴露的风险，立即建立降低风险的程序。如果没有预算，应安排专项资金。高级风险对业务目标和/或价值驱动力的影响是重大的。管理层应决定就当前已暴露的风险，尽快建立起降低风险的程序。中级风险对业务目标和/或价值驱动力的影响是不重大的。然而，管理层应制定行动计划确保及时降低风险以避免情况恶化。低级风险对业务目标和/或价值驱动力的影响是忽略不计的。然而，管理层应监控风险并采取适当且必要的措施来预防风险变得重大。对影响和可能性的评估及风险分类（严重、高级、中级和低级）应被记录在审计文档并归结在风险/控制矩阵中。当对严重性和可能性的判断发生变化时，应在审计文档中清晰的记录原因。影响风险可能性的因素：交易量大，其他情况相同时，意味着与交易量小相比更高的错误可能性。交易复杂，其他情况相同时，意味着与交易简单相比更高的错误可能性。第二十三条识别及评估控制该设计评估步骤的目的是:确定并更新已识别风险对应的现有控制，并将控制与风险控制矩阵（RCM）中每个范围内的风险相互匹配;测量被审计单位每个领域暴露的“净”风险，评估被审计单位总体控制设计的充足性。一、识别及分类控制（一）控制类型每个评估的风险，审计人员需要根据他们的时间和性质，识别、分类、记录及评估与该风险相关的控制：时间：-指导性或预防性控制：一种通过明确的确保风险不会发生来寻求限制风险的控制。一个好的例子是双重签核一份 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 。-修正性或发现性控制:一种在事情发生后通过“调整”（即更正）以确保风险不会变大的控制。例如项目会议或预算监控使管理层审核和评估当前进程，这样，可能的问题（延迟、差异、假设错误等）能容易调整。性质:-人工:人工控制由人员执行。-自动:自动控制发生在没有人员介入，植入软件程序以预防或发现未经授权的交易，或允许交易的处理。-依靠人工/IT:这些控制同时有人工和自动元素。一个控制可能依靠自动化流程但控制的关键元素可能是人工的。例如，一个控制可能包括系统审核采购订单、收货单及发票的匹配。系统将自动生成不匹配的例外报告（自动元素），再由人工审核并清理（人工元素）。-终端用户:某些控制流程可能运用终端客户应用程序例如电子表格、数据库和终端用户编码。（二）关键控制登记表/测试工作表在关键控制登记表/测试工作表上记录这些控制。关键控制登记表/测试工作表有双重的目的。它适用于：记录（关键）控制;记录关键控制的测试（步骤和测试结果）。关键和非关键控制都可以使用关键控制登记表/测试工作表。关键控制登记表/测试工作表如附件8。通过RCM上的文件链接，关键控制登记表/测试工作表上描述的控制映射到风险/控制矩阵上关联的风险。二、评估控制评估每个控制降低每个风险的充足性，使用“高级、中级和有限”的控制有效性级别，并记录在风险/控制矩阵中。使用以下标准评估控制有效性的高级、中级和有限的：高级有效：可以依靠自己本身来降低风险的控制。中级有效：能很大程度降低风险，但不能完全降低风险的控制。有限的有效：能降低风险，但不是有效的。三、评估控制设计针对每个风险，评估相应控制设计的总体充足性。这个评估应被记录在风险/控制矩阵中。使用选择的风险足迹作为剩余风险影响和可能性评分的基础。剩余风险评估应记录在风险/控制矩阵中。剩余风险的评估要求测试控制运行的有效性，一旦完成运行有效性测试，应更新剩余风险评估。当剩余风险评估仍在一个不能接受的水平上（严重、高级、中级），审计人员可建议额外的控制或加强现有的控制以降低剩余风险水平。相反，当剩余风险被认为可接受的，可能有机会识别“过度控制”的地方。四、识别关键控制关键控制是XE"Controls"指在审核/评估控制设计的基础上，能（单独或与其他控制一起）很大程度降低固有风险的控制。此外，审计人员应考虑是否该控制的失败会导致剩余风险水平到严重、高级或中级。如果是这样的话，该控制应被视为一个关键控制。审计人员应考虑，在一个“过度控制”的情况下，哪个控制是“关键”的。被识别为关键控制的控制应在风险/控制矩阵和关键控制登记表/测试工作表上注明。关键控制应评估其设计有效性，然后测试以确认他们运行的有效性。评估关键和非关键控制的目的是为了关注重要的控制以帮助提高审计测试的效率和效果。五、与被审计单位确认设计评估风险和控制评估应与管理层分享。考虑被审计单位的反馈，适当的话，更新评估（RCM）。确保审计轨迹能完整地证明变化及理由。（一）注释:固有风险评估审计人员应与管理层讨论已识别的风险和控制的存在性、完整性及其评估。注意，管理层可能不能理解即使存在控制以预防风险的产生，但风险仍会存在。注释:控制设计评估XE"ControlDesignAssessment"目标是：确认识别的控制已准确地被描述；确认所有相关控制已被识别；确认控制已被准确地映射到相关的风险；确认每个控制的重要性(高级、中级和有限的有效)；确认每个风险的控制设计评估；及,确认识别的任何控制差距或过度控制的地方，及他们的重要性和行动计划；识别关键控制。（二）问题及缺陷表任何商定的控制差距都应制定一个行动计划。相反地，过度控制的地方可能导致重新调整/合理化控制和运营资源。发现的问题应记录在问题及缺陷表上，与相关的风险/控制矩阵互相进行索引。行动计划应包括执行的完成日期和负责人。问题及缺陷表是RCM上列出所有相关控制问题的初步登记表（设计和运行有效性）。因此，它可能涉及控制的缺失，控制设计的缺陷，和运行有效性的缺陷。完整的总体审核能帮助发现是否问题和缺陷存在相同的根源或者相同的地方。总体审核同样能帮助决定需要包括在审计报告执行摘要中的关键风险领域（一些问题和缺陷应合并成一个发现）。问题及缺陷表如附件9。第五章测试运行有效性第二十四条记录测试程序本步骤的目的是编制书面的测试程序，包括适当的测试目的，详细描述测试深度，及测试方法。一、记录测试目的、测试深度及测试方法识别了最适当的关键控制来进行测试后，审计人员应编制测试的特定步骤，以满足关键控制登记表/测试工作表中的测试目的。包括测试目的、测试深度及测试方法。以下规则能用来评估哪些控制测试应得到关注：如果一个关键控制被评估为设计有效，应得到测试；如果当一个关键控制只有与其他控制在一起时才被评估为有效，那么，这些控制都应得到测试；如果一个关键控制被评估为无效，通常情况下不用进行测试。但是，一个设计无效的控制可能得到测试，用于决定该控制缺陷的影响。注释：测试目的–控制运行有效性测试正确设定测试目的是非常重要的，因为这是确保执行的工作有价值的起点。测试目的应直接从关键控制登记表/测试工作表的控制描述中获得。行动应明确和直接为了获取证据（核查/证实等）而不应含糊不清（审阅、了解、讨论等）。注释：测试目的–实质性测试运行无效的控制需要额外的测试，例如，对运行的项目重新执行一遍控制或进行实质性核查，以证实他们的完整性和正确性。例如，控制设计及运行测试发现例外情况，实质性测试可以提供额外的审计证据。实质性测试程序可以包括分析性复核，将余额/项目与原始凭证或独立的文件进行核对及重新计算或核实该项目。注释：测试深度下表可以用来作为测试运行有效性水平的指导：控制XE"Controls"-设计固有风险严重高级中级低级高级降低测试有效性（TOE）测试有效性（TOE）减少有效性测试（ReducedTOE）X中级降低减少有效性测试（ReducedTOE）减少有效性测试（ReducedTOE）XX注释：测试方法有多种方法来执行测试以获取审计证据。审计人员应选择能达到测试目的的最合适的方法。包括：证实性的询问–向员工、管理层及服务提供者询问以获取程序和控制的资料。管理层可能被要求提供他们对控制运行有效性满意的资料。通过询问的测试方法通常没有其他形式的测试可靠，可能需要与其他形式的测试一起，为审计人员的结论提供充分的证据支持。观察–直接观察员工的实际操作，以查看控制是否按设计运行。当确认员工培训及技能水平时，审计人员应考虑审计人员在场的情况下对控制运行表现的影响–如，如果审计人员不在场，该控制运行是否如此彻底。检查–通过检查或盘点资产、及阅读、追踪、审核支持性文件、比较及核对记录来获取证据。检查是高级有效的测试形式，因为他们能为审计人员的结论提供更需要的证据支持。确认函–此测试方法用于比较内部记录与第三方记录。确认函是高级有效的测试形式，但是，它被限制在当有第三方参与的情况下使用。重新执行–此方法包括审计人员重新全部或部分执行被审计单位的运作。它只有在审计人员需要确保计算或记数的正确性情况下使用。审计人员在决定进行重新执行相关运作时应注意，因为那将化较多时间。分析性复核程序–在测试阶段可能需要用到分析性复核。例如，在风险评估时发现不利的趋势，可能需要进一步分析，更深层次专研，及锁定推动这种趋势的特定的一组交易，以确定可能造成控制失败的根本原因。二、记录测试程序每一个测试程序应清楚地记录在关键控制记录表/测试工作表中。测试程序应能被充分理解，确保审计人员提供充足的证据使得工作底稿审核人员能判定测试了什么及测试的结果，及可以执行随后的重新测试。注释：关键控制登记表/测试工作表测试工作底稿应要求审计人员记录：测试的控制；测试数据的来源；规模或控制执行的频率及样本量；样本选取的方法；测试的根本特征；测试结果；及审计测试的结论，包括任何控制例外的详细情况。对每一项控制例外，应记录是否有追踪测试或行动。第二十五条确定抽样方法本步骤的目的是评估和记录通过抽样获取的审计证据的充分性。一、识别和定义规模测试控制时，先识别和定义控制发生的频率（样本总量）。确保样本总量尽可能的清楚和完整，以确保表现所有元素。注释：样本总量样本总量是指收集到的项目总量，审计人员将对该项目总量发表一个结论。它也可以指“样本架构”，为了一个特定审计测试目的而定义的样本总量。在测试控制有效性时，审计人员应定义控制发生的总次数。例如，审计人员可能识别了对帐发生的频率（每月或每周），这就是样本总量。二、考虑统计抽样使用统计抽样时，审计小组应将决定选择统计抽样的原因记录在关键控制登记表/测试工作表中。注释：统计抽样统计抽样需要审计人员确定要素的数量及随机抽取项目，允许审计人员定量地表达结果及测量样本风险。因此，当执行实质性测试时使用统计抽样是一个合适的方法。以下情况应使用统计抽样：规模超过了定义的最低交易量（如5,000件交易），与审计经理沟通确认最低交易量；需要精确及确信的推断结果；绝对确信样本总量能被定义；及样本总量中的每一项被选到的机会均等。大部分审计测试，我们通常不会使用统计抽样的方法。相应的，它也不大可能说明从测试结果中获得的保证的水平。三、考虑非统计抽样使用非统计抽样时，审计小组应将决定选择非统计抽样的原因记录在关键控制登记表/测试工作表中。注释：非统计抽样非统计抽样使用的样本是非正式地（不带有故意和偏见的选择）或判断地（根据判断与测试目的相关联）选择的。非正式地选择是指没有使用特定的标准从一个样本总量中选择项目。判断地选择可以包括，如选择高价值的项目（为了测试适当的批准）。以下情况应使用非统计抽样：规模小于设定的最低交易数量限额；不需要可测量，因为结果不需要推断；不可能识别整个样本总量或交易量架构；其他审计证据暗示非常不可能发生错误。测试控制有效性，最合适的内部审计样本方法是非统计抽样。四、选择样本量在关键控制登记表/测试工作表中评估及记录合适的样本量。注释：统计样本量影响样本量的因素有以下两个：可信赖的水平；及可容忍的错误率。可信赖的水平定义了需要从审计测试结果中得到的信心的水平。期望可信赖的水平越高，需要测试的样本就越多。可容忍错误率定义了在控制被认为是有效的之前，能容忍的与描述的控制程序的差异数量。可容忍的错误率越高，需要测试的样本就越少。注释：非统计抽样样本量下表用于测试控制运行有效性时选择非统计抽样样本量。测试控制设计（穿行测试）不包括在本表中。必须在关键控制登记表/测试工作表中记录样本选择的基本原理/标准，样本测试程序和测试结果。控制类型控制执行的频率每年每季每月每星期每天每天多次很少手工111268大部分手工1113915自动111111注释：扩大范围测试在一些情况下，应扩大样本量，如：测试的结果是否定的，应扩大样本量，评估差异是否是机构性的或偶然的；控制的重要性及复杂程度和判断的重要性；失败的风险。但是，结果不能通过测试的样本来推断。审计人员的判断始终是重要的。注释：测试周期测试周期应考虑以下因素：控制运行的种类和频率；控制环境的变化和/或在一个期间内的特定控制有复核；通常，测试周期可以是审计开始日前1个月之前的期间。在一些情况下，不大可能测试年度控制。如果这样，审计小组应将这种情况记录在审计工作底稿中。注释：减少测试样本量和测试深度根据期望可信赖的水平及控制运行的频率决定。如果测试水平是减少测试，样本量至少为1个，最多根据统计抽样样本量（见上表）。测试结果应对关键控制运行有效性给出充分的保证。必须在关键控制登记表/测试工作表中记录样本选择的基本原理/标准，样本测试程序和测试结果。注释：判断样本量在所有情况下，一个清晰的选择样本量的基本原理/标准应记录在适当的控制文件中。以下情况，有必要脱离标准样本量：控制执行的频率？-控制执行的频率越少，需要越少的样本量来决定控制是否按照设计运行。控制产生的是什么类型的证据？-如果执行控制的结果很少或没有证据显示控制按照设计运行，测试可能不能提供必要的证据证明控制在运行。审计人员可能决定在有限的基础上使用更多有说服力的证据。风险的等级？-风险产生的影响及可能性？风险影响大的区域依赖控制较重，可能需要增加样本，对控制环境提供适当的保证。控制环境的有效性？-考虑控制被忽略或被管理层不顾的可能性。控制运行有效性的过去经验？-如果过去控制衰弱，应有足够多的样本量来决定现在的控制是按照设计运行。测试的整个期间是由相同的员工来管理该控制？-考虑选择样本时，应考虑是否原来执行控制的员工现在已不再执行该控制，对控制的影响有多大。五、选择样本选择样本量后，审计小组需要识别选择样本的方法，及将程序记录在关键控制登记表/测试工作表中。注释：统计抽样统计抽样的方法可分为简单随机抽样和系统抽样。简单随机抽样需要所有项目被抽到的机会是相等的。使用随机号码表来抽样。在规模中的每一项必须代表一个号码。样本量必须已确定。在表中遵循的方向和路径已确定，随机起点已选定，就是第一个被选的项目。随即号码的产生可在MicrosoftExcel中找到。系统抽样可使用在一个样本总量中的物质单元或货币单元。审计人员需要定义抽样的间隔。可将样本总量除以样本量得到。为了防止抽样中的潜在的偏好，建议选择几个随机起点。例如，抽样间隔可以是75，选择三个随机起点，每个随机起点开始各选择20个样本。为进一步防止偏好，审计小组在选择样本前可以确保样本总量是随机排序的。注释：非统计抽样偶然选择显示没有故意偏好包括或不包括规模中的某些项目。这是审计人员最佳估计一个代表样本，及代表性地从一份清单中选择交易。批量选择通过应用审计程序在一套交易中执行，如所有交易在一个特定期间发生。例如，审计人员可能选择所有在三月的第一个星期支付的发票。或者，选择所有发票号1000至1050。为了最小化风险，应选择几批样本。判断抽样在选择样本中使用审计人员的判断。判断选择包括选择高额的发票测试批准，最长时间未达帐项，测试其清理的力度和根本原因。注意非统计抽样结果不能通过选择的样本来推断。注释：属性抽样属性抽样适合执行控制测试时使用。通常控制有效性是通过测量控制程序没有发生的频率来测算的。换句话说，一个程序与管理层描述的为了达到控制目标的差异的频率。测试通常包括“是/不是”决定–尽管是或不是被正确执行。如果这样，审计人员需要事先定义通过或失败的标准。如果样本的支持性文件丢失，阻碍适当的测试，可被视为一个错误。但是，如果样本是空的，应选择替代样本进行测试。注释：价值加权抽样价值加权抽样是根据属性测试的理论，但用于实质性测试。价值加权抽样用于表达频率的结论或者关样本总量中独特的价值。这种抽样技巧，一个抽样单元就是样本总量中的每个货币单元，不管样本总量中有多少逻辑单元（发票的数量等）。测试是根据选择的包括货币单元的交易进行的。因此，项目越大，被抽样选到的机会就越大。使其成为一个适当的方法，用在对重大余额的正确性形成一个意见。贷方余额及余额为零时对价值加权抽样形成困难。因此，这些应在抽样前去除。另外分层抽样应包括这些去除的样本。注释：分层抽样分层是将一部分样本总量归入子总量的过程，样本就从每一层中抽取。当子总量相当多样，每一层独立抽样是有利的。分层是在抽样前将样本总量中相类似的归成一个组。各层相互不包括：样本总量中的每一元素必须分到一个层中。各层应包括全体：没有样本总量的元素不包括在其中。每一层采用随机抽样。第二十六条评估测试结果本步骤的目的是：注释：测试结果根据测试结果得出与审计目的有关的结论；确保得出适当的结论时有充足的资料。一、记录测试结果为了提供充足的证据证明执行的审计工作，测试结果应记录在关键控制登记表/测试工作表中。注释：测试结果审计人员必须总结测试结果，将每一步骤得出的结果记录在关键控制登记表/测试工作表中。在工作表中记录的结果是总结性水平，应编制充足详细的支持性工作底稿，供独立审核，理解结论确切如何得出。另外，工作底稿应充足详细记录，以确保在需要的情况下可以重新测试。所有文件应与其支持性文件做好交叉索引。二、将测试结果与其标准进行评估审计人员应根据获取的证据得出与测试目的相关的结论，及将不满意的结论记录在问题及缺陷表中。注释：审计证据审计证据的可靠性由其属性和来源决定。以下证据的可靠性的假定可能有用：书面证据比口头证据可靠；第三方产生并直接提供给我们的证据比第三方产生而由被审计客户持有的证据可靠。客户产生并持有的证据最不可靠；由审计人员产生的分析及实地核查的证据比从其他地方获取的证据可靠。注释：审计结论满意的结果–测试结果没有显示任何例外情况及因此指出控制运行有效。单独的例外情况–测试发现一些例外情况，通过我们扩大样本测试或其他进一步调查，审计人员断定是单独的例外情况，及在主要部分，控制运行有效。不满意结果–测试及随后的调查显示例外情况足够使得我们得出控制没有得到可靠运行的结论。审计人员应考虑测试结果对已获得的保证水平的影响。一个不满意的测试结果并不一定需要导致降低已获得的保证的水平，审计人员需要判断。对获得的保证的总体影响取决于：控制的重要性和是否有其他控制存在可以减轻失败；有多少其他不满意的测试结果。注释：少数例外情况发现采取的行动少数或占比很少的测试项目没有达到测试标准，审计人员应考虑进一步证据，是否这些例外情况是单独的或它们是否给控制满意运行带来问题。例如，控制例外情况适用整个样本总量（或只限于一个部门、区域或分部）？注释：许多例外情况发现采取的行动审计人员发现高比例的例外情况，或一个控制运行完全缺失的证据，审计人员可能需要采取以上相同的步骤。如果很明显审计人员了解到一个控制存在但没有完全运行，或没有持续运行，审计人员应考虑：是否发现的证据不能代表常规控制运行。这可能由于在一个限制的期间或一个特定的部分选择测试样本，而例外情况正好存在于其中而产生。应避免选择没有代表性的样本。是否确实控制没有运行或仅仅是无法获取证据。在这种情况下，可能需要扩大测试，包括重新执行控制，或者寻找一些其它确定的证据，表明控制实际上是运行的但没有证据。三、了解及记录根本原因为了了解控制例外的属性，识别导致例外的原因很重要。根本原因分析使审计小组能够与运营单位一起了解发现的例外情况的原因。根本原因分析应记录在问题及缺陷表中。注释：根本原因分析根本原因分析的目的是确定问题的来源，关于：发生了什么？为什么发生？有什么可以做的，防止它再次发生？为了执行根本原因分析，收集尽可能多的关于发现例外情况的资料很重要（如，什么时候发生？在那里发生？哪些控制可以防止发生？），因而，可以识别相关的根本原因。持续资料的收集，直到审计小组确信所有可能的偶然因素都已识别。四、报告问题及缺陷以下要素应考虑包括在表格中的每一个审计点中：陈述应清晰、有事实根据及简明。使读者关注问题及造成的影响；描述问题的先后次序，包括相关量化的评估（财务的或非财务的）及/或任何法律/法规、客户或品牌影响的详细资料。这可以在报告的时候，帮助确定问题的严重性；根本原因，描述什么导致目前的状况。这将帮助确保管理层制定的解决问题的行动计划是否有效；审计人员应记录他/她比较了什么标准，测量出缺陷。例如，可能有一条特定的公司制度没有遵循；审计人员应建议管理层应该采取什么行动去解决问题。建议应关注解决问题的根本原因，而不是征兆或结果及应该可实现。发现应与管理层讨论并取得管理层的同意。五、重新评估控制的充足性及当前剩余风险每一条提出的发现，决定暴露风险的影响/控制差距。在运行有效性测试的基础上，更新在设计评估阶段的控制评估。注释：控制有效性在设计评估阶段评估控制充足性，假设所有识别的控制运行有效。关键控制测试运行有效性发现不足，将影响在设计评估阶段评估的控制。评估应建立在未采取任何行动计划之前的基础上。给每一个风险提供一个以固有风险等级及控制评估为基础的剩余风险评估。剩余风险的影响及可能性分数应根据选择的风险足迹。注释：评估暴露的剩余风险一个考虑固有风险及当前控制（结合在一起）降低该风险的总体充足性的评估，可以用来使审计人员能够将剩余风险的影响分类为严重、高级、中级、低级。运行有效性测试的结果应与管理层分享并取得他们的同意。考虑被审计客户的反馈，及同意，更新评估（RCM）。确保审计轨迹完整，包括记录与被审计客户确认事项的变更及基本原理。任何同意的控制差异应制定一个行动计划。相反的，过度控制的区域可能导致控制及运行资源的重新组合和分配。行动计划应包括执行的到期日和负责人。注释：归结相似的报告问题存在相似的例外情况，它们的根本原因相同，将这些问题归结在一条建议进行报告。例如，充足的职责分离在很多程序中被运用，应合并成一条发现。第六章审计执行结束第二十七条技术复核本步骤的目的是：确保执行的工作及编制的记录遵循受权调查范围，能充分支持提出的问题，及所有发现已被提出。确保工作底稿是充分的，外部机构能充分信赖已执行的工作，特别是测试可重新执行。一、复核工作底稿在审计过程中，应执行工作底稿的复核。每一张工作底稿应有一位审计人员编制，一位较资深的审计人员复核。保存复核证据及对复核要点进行清理的底稿。注释：工作底稿复核目的现场工作中复核工作底稿的目的，应确保任何现场发现问题能在现场工作结束前得到解决。复核应确保：审计工作是根据同意的范围执行的；执行的工作能充分支持提出的问题；审计工作是根据专业的标准执行的；审计重大判断及结论是适当的；及执行的工作，结果和结论被充分的记录。如果可能，复核工作应在现场进行。复核的时间、范围倚赖多种因素，包括：区域的主观性和复杂性；编制工作底稿的人员的能力和经验；复核人员的能力和经验；复核人员直接参与工作的程度。二、复核审计文档负责每一个审计项目的审计经理/资深审计经理（或其他合适的个人）应在审计测试结束后复核审计文档。保存复核证据及对复核要点进行清理的底稿。注释：文档复核程序通常，该复核至少要求包括系统描述，控制评估，测试程序及结果和问题要点，及评估意见。经理或指定负责人个人通常通过在每一张工作底稿（通常第一页），每一部分的头一张工作底稿上签名和注明日期以证明他们的重要复核。复核要点应被记录及通过清理来确认。计划阶段应在现场工作开始前得到复核，现场工作应在报告开始前得到复核。相应的文档复核应在每一步骤结束时得到复核（计划，现场工作或报告）。在清理复核要点时，工作底稿应提供足够的证据说明提出的问题得到了解决。第二十八条结束会议本步骤的目的是确保：结论及建议已与适当审计客户进行了讨论；项目中发现的任何重要事项已提醒审计客户的管理层注意；评估的等级已进行了讨论并已取得同意。召集及记录结束会议在审计结束会议前，在整个审计过程中与管理层持续的讨论和联络，确保他们在会议前已经知道发现的问题。与审计客户的审计结束会议应在审计的最后阶段正式召集，讨论问题及缺陷表中的审计发现，问题及建议，并取得管理层的同意。注释：管理层出席结束会议这个程序确保清楚记录审计发现的讨论，及确保后续的审计报告的内容和处理不会延迟及/或由于误解而受到牵制。因此，至少最终负责该程序（及负责执行任何行动计划）的管理层成员应被邀请。需要出席结束会议的管理层成员应在订立审计范围时就已确定。讨论和达成的一致意见应形成会议记录。问题及缺陷表中每一项达成的一致意见应放入最终表中，包括对已经同意的每一问题重要性的初步评估的变化，或总体评估，作为会议的结果。在一些情况下，管理层会否认一些风险。应尽可能避免关于存在风险的不同意见。如果审计小组不能使管理层信服，应由更高一级的审计人员及管理层处理。获取管理层对所有同意的重要审计发现的改善行动计划。注释：行动计划可能需要一个或多个行动步骤来解决每一个审计意见，这取决于问题的属性和复杂性。重要意见的行动计划应由审计人员进行追踪。行动计划应包括执行的期限和负责人。结束会议给管理层机会澄清问题和表达观点。在审计客户不同意提出的问题的情况下，必须进一步讨论，确认支持他们观点的支持性资料。当审计小组仍旧无法获得审计客户的同意时，应将事件递交给审计经理，高级审计经理，审计主管，与更高级的审计客户管理层讨论，以取得他们的同意。第七章审计报告本步骤的目的是确保执行摘要（意见和主要发现）及报告内容被适当的高层批准。第二十八条编制报告报告的编制在审计执行结束后，包括：完成工作底稿与审计文档的复核；完成与管理层的结束会议。在会议中，问题及缺陷表，包括管理层的改善行动计划已进行了讨论。审计负责人应负责起草审计报告，根据审计计划备忘录及问题及缺陷表中的资料。审计负责人应确保审计报告必须客观，准确，完整，简洁。第二十九条审核报告审计负责人完成起草审计报告后，应将审计报告初稿提交高级审计经理审核及修改。在详细发现完成前确定审计等级。第三十条管理层回复审计报告初稿传送给负责的管理层审核，要求他们将主要管理层行动填入报告中。本审核的目的是确保报告的正确性，及与结束会议上讨论的一致。管理层应在收到审计报告初稿后一周内，回复主要管理层行动。在收到管理层回复后，审计报告定稿。第三十一条报告签发和送呈审计主管应在审计报告送呈之前执行复核及核准的程序，确保在审计报告签发前，所有相关的工作底稿及技术复核都已完成/核准，确保报告的观点真实、公证，及遵循审计执行及审计报告的规则。审计主管必须在正式报告签报页上签名。注释：报告送呈审计报告正本呈报董事长、总裁和分管副总裁，副本分送至被审计单位主管及相关管理人员。必要时还应抄报中国建设银行股份有限公司。而且：报告送呈限制在内部，按照“需要知道”原则；送呈人员的地址应在送呈清单中列明，包括名字及职位；外部机构只限于法律法规的要求。注释：审计报告发送所有审计报告应在审计现场工作结束后的7周内发送。结束会议日被定义为现场工作结束日。第三十二条审计报告的内容和格式一、审计报告封面审计报告的封面应将审计项目名称，报告日期，报告编号明确地表达出来。二、执行摘要执行摘要包括3部分：背景资料；总体意见；审计结果。（一）背景资料背景资料部分的编制如下：审计范围审计部从XX开始，对公司进行了XX作业的内部审计工作。本次审计的范围为根据XX的要求，包括对XX等重要内部控制的检查。总体意见是根据审计开始日的情况发表的，同样这也适用于审计发现和建议。审计方法审计方法包括识别主要风险；识别记录及穿行相关流程；识别及评估控制环境；以抽样测试为基础测试关键控制执行的有效性。本审计报告包含的审计发现及建议，是为了改善内部控制的有效性，解决/降低受反洗钱作业影响的与业务目标、价值驱动力及其他业务领域有关的风险。审计小组执行本次审计工作的小组由XX、XX和XX组成。XX是审计小组的负责人。（二）总体意见审计部门使用的总体意见如下：不满意；不充足；充足；健全。总体意见描述及支持基础如下表：审计意见描述不满意揭示出的控制薄弱对该领域的风险影响是不可接受的。应立即制定降低风险的重要措施。不充足揭示出的控制薄弱对该领域的风险影响是严重的。应尽快制定降低风险的重要措施。充足揭示出的控制薄弱对该领域的风险影响是有限的。应及时制定一些降低风险的管理层行动。健全揭示出的控制薄弱对该领域的风险影响是最小限度的。不需要管理层行动。注释：管理层风险意识总体意见是根据审计开始日的情况发表的。审计开始日是审计人员观察及评估当时情况的时候。如果当时的情况是风险没有被充分的控制及剩余风险较高，审计人员将相应决定审计意见。但是，如果当时管理层已经认识到控制薄弱及正采取充足的和可实现的改善行动，这应在决定审计意见时得到考虑。管理层对风险的意识是一个应该在总体意见中反映的因素。相反也是一样，管理层没有风险意识将对审计意见产生负面的影响。如，一个充足的审计意见可以编制如下：总体意见充足审计部对审计时XX作业的内部控制环境评定为“XX”，也就是说，揭示出的控制缺陷对该领域的风险影响是XX。对主要控制缺陷及风险等级的描述。相关管理层正积极地采取措施，并已制定行动计划来采纳审计建议。三、编制查核发现审计报告中查核发现章节的目的是对审计执行过程中发现的所有审计发现提供详细的观点。（一）查核发现章节的构成确保问题和缺陷表中所有同意的发现被正式记录在审计报告的相关部分。每条发现应与审计过程中一个特定的流程或职能相关联。查核发现应按每一流程或职能的次序合理编排。每一查核发现应标明评估的风险，风险评估的依据是风险足迹。问题编制入审计报告前，审计人员应在结束会议时已经与管理层讨论他们的发现，并已澄清所有差异或误解。注释：根本原因审计人员应识别发现的根本原因。通常情况下，审计人员应问以下问题：它与风险相关联吗？如果改正，是否不单改正当前状况，而且能防止将来再发生同样的及相关的状况？是在需要解决问题的被审计人员的控制范围内吗？一个有效的审计发现同样需要告诉阅读者发现造成的影响。这可能是实际的或潜在的影响。一个有用的潜在影响的测试从两种衡量尺度来检查：可能性：影响发生的可能？影响：如果发生，影响有多大？每一项查核发现同样需要给管理层一个汇总的解决发现的行动的建议。该建议的行动应详细充分，以便阅读者能理解业务单位可采取的特定行动。负责人及执行的期限（到期日）同样由业务单位提供，并加入查核发现章节。审计人员需要确保管理层的行动及执行期限对每个发现的程度来说是适当的。如果到期日与发现的风险级别不协调，应与管理层讨论。如果有必要，应在执行摘要中报告。可能存在业务单位在审计结束前已解决相关内部控制薄弱点的情况。然而，审计部门仍然报告这些问题。审计意见是根据审计开始日的情况发表的。如果审计部门觉得问题已得到了充分的解决，会在审计报告中备注该影响。只有在这种情况下，审计部门才将该发现的状态标为“已完成”，并标明完成日期。对已解决问题的检查应在审计过程中，不应延迟到审计报告已完成后。可能存在管理层不同意发现的情况。原因是发现在管理层可接受风险的范围内。审计人员总有责任评估是否剩余风险是否可接受。如果管理层和审计人员的观点不能一致，应报告上一层级。注释：查核发现组成的相关技术资料查核发现表包括以下资料：标题：简短的描述发现；发现：发现的描述应揭露问题的适当原因。一个有效的审计发现同样需要告诉阅读者发现造成的影响；风险等级：依据风险足迹；建议：每一项查核发现同样需要给管理层一个汇总的解决发现的行动的建议。该建议的行动应详细充分，以便阅读者能理解业务单位可采取的特定行动。管理层回应：同意，不同意或已完成；负责人：负责采取行动的管理层名字；负责人职位；到期日：负责人设定的完成日期。如果到期日与发现的风险级别不协调，应与管理层讨论。如果有必要，应在执行摘要中报告。（二）报告送呈报告的发送限于公司内部，以需要知道为原则，外部机构只限于法律法规的要求，并且这些外部机构能完全理解公司内部审计的位置/职位。通常，报告正本递交董事长、总裁和分管副总裁，副本分送至被审计单位主管及相关管理人员。必要时还应抄报中国建设银行股份有限公司。审计报告格式详见附件10。