内审指引(草稿)v1.pdf

1 电器集团有限公司电器集团有限公司 内部审计指引 2 引言 引言 内部审计功能对于支持海尔电器集团有限公司 以下简称 海尔 或 公司 实现其 企业目标起着十分关键的作用 内部审计所扮演的角色是要确保公司拥有适当的企业管治制度 并确保该制度在海尔的 整个业务体系中能得以有效地执行 作为内部审计师 我们还考虑了 美国内部审计师协会 提出的专业水准指引 并将部份相 关指引纳入本指引中 3 目录 目录 1 内部审计理念和方法 1 1 1 内部审计的使命 1 1 2 内部审计章程 1 1 3 内部审计的作用 1 1 4 内部审计流程 2 2 道德规范 3 2 1 诚信 3 2 2 独立性 3 2 3 保密性 3 2 4 利益冲突 3 2 5 胜任能力 3 2 6 商业道德 3 3 风险管理 4 3 1 管理层的角色 4 3 2 风险管理与内审活动之间的关系 4 4 与第三方关系 5 4 1 审计委员会 5 4 2 首席执行官 5 4 3 首席财务官 5 4 4 高级管理层 5 4 5 外部审计师 5 5 审计规划 6 5 1 风险评估 6 5 2 制定年度审计计划 7 5 3 制定个别项目的审计计划 7 5 4 拟定审计项目工作范围 7 5 5 其他类型内审工作的规划 7 6 执行审计 8 6 1 制定审计方案 8 6 2 收集信息 8 6 3 控制的评估 8 6 4 控制点的测试 9 4 6 5 记录工作发现 10 6 6 起草报告要点 11 6 7 管理层审阅审计工作 11 6 8 完成现场工作 11 6 9 其他工作 11 6 10 专项审计 12 6 11 合同审计 12 7 报告及其他形式工作成果 13 7 1 对审计问题的评价 13 7 2 审计报告 13 7 3 闭幕会议 14 7 4 其他形式的工作成果 14 7 5 向审计委员会提交内部审计报告 14 8 跟进审计 15 8 1 跟进工作的原则 15 8 2 开展跟进审计 15 8 3 汇报审计发现 15 8 4 主要绩效指标 15 9 内部审计部行政管理 17 9 1 存档 17 9 2 时间记录 17 9 3 电子文档 17 9 4 绩效管理 18 9 5 知识管理 18 9 6 被审计单位的反馈 18 9 7 部门会议 18 附录 19 A 1 计划阶段 审计项目计划表 框架 样本 20 A 2计划阶段 审计范围说明 框架 样本 21 A 3计划阶段 审计项目详细计划 样本 22 A 4 1 测试阶段 流程图 符号的使用说明 23 A 4 2 测试阶段 流程图 框架 样本 24 A 5 测试阶段 流程描述 框架 样本 25 5 A 6 测试阶段 工作记录 框架 样本 26 A 7 报告阶段 审计报告 框架 样本 27 A 8 报告阶段 闭幕会议 31 B 内部审计部门架构 32 C 内部审计章程 33 D 内部审计方案 框架 样本 35 1 1 内部审计理念和方法 1 内部审计理念和方法 1 1 内部审计的使命 内部审计的使命 是通过其独立 客观的工作 以及提出最佳方案 来确保企业得以 最有效地运作 通过其有系统的工作方法 内部审计将对企业的风险管理 内部控 制 以及管理流程的有效性进行评估并提出改善建议 从而帮助企业实现其目标 1 2 内部审计章程 内部审计章程列示了内审部门的目标 权威性及责任 是经公司董事会和审计委员会 批准通过的 详见附录C 1 3 内部审计的作用 建立并维护一个有效的内部控制系统以及进行风险评估和管理是海尔所有管理人员的 职责 这不会因内审及外审的审查工作而改变 内部审计主管有权就海尔企业管治情况的适当性和有效性以及遵从程度进行独立审 核 并向审计委员会作汇报 具体审查工作将被纳入内部审计计划中 内部审计是一种独立 客观的监督和咨询活动 其目的是协助企业增值和提高企业的 运作效率 2 1 4 内部审计流程 下列流程图总结了内审工作过程中的几个主要阶段以及每个阶段所相对应的工作结果 制定年度内审计划 年度内审计划 审计委员会 设定审计项目大纲 工作范围 被审计单位 设定审计项目详细 计划 审计方案 内部审计部 实地进行测试工作 工作底稿 内部审计部 记录并讨论所发现 的问题 审计报告 讨论 稿 被审计单位 提出改善建议并上 报所发现的问题 审计报告 正稿 主席 首席执行官 审计委员会 被审计单位 跟进审计工作 跟进审计报告 主席 首席执行官 审计委员会 被审计单位 内审部门也可能会开展一些审计以外的工作 对任何其他类型的项目 基本原则还是相 同的 应作适度规划 对所做工作进行适当的文字存档 记录并与管理层讨论工作发 现 同时进行独立的审核和汇报所有发现的问题 如果适用的话 也应进行跟进审查 3 2 道德规范 2 道德规范 2 1 诚信 内审应以高诚信的态度执行工作 即诚实 勤奋和负有责任心 2 2 独立性 决定内审有效性的其中一个主要因素就是独立性 内部审计应当 与高级管理层的接触不受限制 以其部门的本身名义汇报工作 与各业务线分离 2 3 保密性 内审人员不可以不当地披露或使用在其工作中所得到或获取的信息 所有报告和工作 底稿都被视为机密 2 4 利益冲突 内审人员应当警惕发生会对其独立性产生质疑的情况 如果发生了这种情况 应及时 通知内部审计主管 2 5 胜任能力 内审人员应掌握必需的知识 技能和经验以开展相关工作 并不断提高其服务质量和 有效性 2 6 商业道德 内审人员应遵守有关商业道德 企业行为守则 以及内审人员所属的专业协会的所有 指引 尤其是 美国内部审计师协会 的道德规范 4 3 风险管理 3 风险管理 3 1 管理层的角色 海尔管理层所担任的一个关键角色就是识别和管理风险 以保障投资者的利益 保护 公司财产 维护有效的内控制度 有效管理公司资金以及维护公司的良好形象 3 2 风险管理与内审活动之间的关系 从制定审计计划到审计报告 内审在其工作的每个阶段都要与管理层紧密配合 以确 保内审工作的重点集中在会对企业产生影响的重大风险上 内审的作用是向管理层客观地报告企业风险管理的情况 以及向审计委员会报告整体 风险管理流程的有效性 内审可以协助管理层监督和报告风险管理的执行情况 但是 海尔管理层对风险管理 负有最终的主要责任 5 4 与第三方关系 4 与第三方关系 4 1 审计委员会 内审部的最主要任务之一是协助审计委员会履行其对公司的独立监督作用 内审主管 会定期向审计委员会汇报各审计项目的结果 内审主管与审计委员会有独立 不受阻 碍的沟通渠道 以便内审部能独立监督管理层日常的运作 审计委员会每年至少召开 四 次会议 就内审提供的审计结果报告及其他相关事宜进 行讨论 如有必要 审计委员会可以从既定计划中重新指示内审资源的安排 此外 每年的审 计计划亦会于开展之前由审计委员会审阅并批准执行 4 2 首席执行官 首席执行官是海尔日常营运的最高负责人 内审主管会定期向首席执行官汇报各审计 项目的结果 并由首席执行官推动和立令要求各相关单位执行内审部门在有关项目所 提出的各种建议和全力配合 此外 首席执行官亦会确保内审部有足够的资源开展工 作 4 3 首席财务官 内审主管与 首席财务官 之间是一种伙伴关系 其共同目标是确保海尔财务安排和内 控系统的准确性和有效性 首席财务官也可以邀请内审部进行某些特定的审核工作以 协助其履行某些法定职责 4 4 高级管理层 与海尔管理层建立良好有效的工作关系 对内审来讲是十分重要的 但这不能影响到 另一重要的原则 即保持内审的独立性 4 5 外部审计师 为了有效地利用审计资源 内审应与外部审计师定期进行会谈 分享审计发现 并一 起讨论审计计划以确保涵盖到所有已达成共识的风险领域 6 5 审计规划 5 审计规划 5 1 风险评估 风险评估工作主要有以下两部分 I 风险的识别 及 II 风险的评价 I 风险的识别可以通过以下方法取得 问卷调查 与有关人员的访谈 通过工作坊作集体讨论 II 风险的评价主要是综合考虑已识别的风险的影响程度和可能发生性 以下是评价风险影 响程度的指引 以下是评价风险可能发生性的指引 可能性可能性 评分评分 12345 10 以下10 以下 10 10 10 10 30 30 30 30 30 70 30 70 70 90 70 90 90 以上90 以上 极低极低低低中等中等高高极高极高 定定 性性 方方 法法 描描 述述 一般情况下 不会发生 在极少的情况 下才会发生 会在某些情况 下发生 在较多情况 下发生 常常会发生 几乎从不很少经常很经常持续 在之后10年 内发生的 可能少于1次 在之后5至 10年内可能 发生1次 在之后2至 5年内可能 发生1次 在之后1年内 可能发生 次 在之后 年 内至少发生 次 定量定量定量定量 方法描述方法描述方法描述方法描述 可能性可能性 评分评分 12345 10 10 以下以下 10 10 10 10 30 30 30 30 30 70 30 70 70 90 70 90 90 90 以上以上 极低极低低低中等中等高高极高极高 定定 性性 方方 法法 描描 述述 一般情况下 不会发生 在极少的情况 下才会发生 会在某些情况 下发生 在较多情况 下发生 常常会发生 几乎从不很少经常很经常持续 在之后10年 内发生的 可能少于1次 在之后5至 10年内可能 发生1次 在之后2至 5年内可能 发生1次 在之后1年内 可能发生 次 在之后 年 内至少发生 次 定量定量定量定量 方法描述方法描述方法描述方法描述 税前利润20 以上税前利润的11 20 税前利润的6 10 税前利润的1 5 税前利润1 以下 定量方法描述定量方法描述 负面消息流传至世界 各地 政府或监管机 构进行调查 引起公 众关注 对企业声誉 造成无法弥补的损害 负面消息在全国各 地流传 对企业声 誉造成重大损害 负面消息在某区域上 流传 对企业声誉造 成中等损害 负面消息在当地局 部流传 对企业声 誉造成轻微损害 负面消息在企 业内部流传 企业声誉未有 受损 声誉影响声誉影响 极大的财务损失重大的财务损失中等的财务损失轻微的财务损失较低的财务损 失 财务影响财务影响 适用于所有行业适用于所有行业 重大业务失误及人身 伤亡 极大的财务损 失 企业失去一些业务 能力 造成严重人 身伤害 情况失去 控制但无致命影响 重大的财务损失 对企业日常运营有中 度影响 需要医疗救 援 情况需要外部支 持才能得到控制 中 等的财务损失 对企业日常运营 有轻度影响 造 成轻微的人身伤 害 情况立刻受 到控制 轻微的 财务损失 不会影响企业的 日常运行 较低 的财务损失 无 人身伤亡 举例说明举例说明 极高极高高高中等中等低低极低极低 灾难性的灾难性的重大的重大的中等的中等的轻微的轻微的极轻微的极轻微的定性方法描述定性方法描述 5 54 43 32 21 1 影响程度影响程度 评分评分 税前利润20 以上税前利润的11 20 税前利润的6 10 税前利润的1 5 税前利润1 以下 定量方法描述定量方法描述 负面消息流传至世界 各地 政府或监管机 构进行调查 引起公 众关注 对企业声誉 造成无法弥补的损害 负面消息在全国各 地流传 对企业声 誉造成重大损害 负面消息在某区域上 流传 对企业声誉造 成中等损害 负面消息在当地局 部流传 对企业声 誉造成轻微损害 负面消息在企 业内部流传 企业声誉未有 受损 声誉影响声誉影响 极大的财务损失重大的财务损失中等的财务损失轻微的财务损失较低的财务损 失 财务影响财务影响 适用于所有行业适用于所有行业 重大业务失误及人身 伤亡 极大的财务损 失 企业失去一些业务 能力 造成严重人 身伤害 情况失去 控制但无致命影响 重大的财务损失 对企业日常运营有中 度影响 需要医疗救 援 情况需要外部支 持才能得到控制 中 等的财务损失 对企业日常运营 有轻度影响 造 成轻微的人身伤 害 情况立刻受 到控制 轻微的 财务损失 不会影响企业的 日常运行 较低 的财务损失 无 人身伤亡 举例说明举例说明 极高极高高高中等中等低低极低极低 灾难性的灾难性的重大的重大的中等的中等的轻微的轻微的极轻微的极轻微的定性方法描述定性方法描述 5 54 43 32 21 1 影响程度影响程度 评分评分 7 5 2 制定年度审计计划 年度审计计划应主要针对关键风险 业务流程以及平衡海尔的各类业务活动 审计计划的 制定应考虑到管理层和审计委员会对审计范围的期望 制定审计计划的目的是要确保能经济有效地涵盖海尔所面对的关键风险 随着海尔业务的 不断扩张 灵活的审计规划方法是至关重要的 年度审计计划通常是由内审主管在部门经 理的配合下来制定的 5 3 制定个别项目的审计计划 内审的每一项工作都应作适当规划 个别项目的计划可由内审人员来完成 审计项目计划 的内容因项目而异 但是项目计划应至少涵盖以下内容 确定该项目的审计目的 确定该项目的工作范围 安排与管理层的会谈 以确定审计项目的时间和计划 确定开展该项目所需要的内部审计相关资源 确定审计项目小组与成员在该项目中需要达到的目标 对被审计项目背景资料的搜集 5 4 拟定审计项目工作范围 既定目标应确保审计考虑了所审流程或领域中的最重大的风险 审计职权范围应在现场工 作开始前先发给被审计单位 5 5 其他类型内审工作的规划 第5 3节所提到的基本原则适用于大多数的内审工作 不可能对每一类项目都作出细致的规 定 内审人员应就个别项目制定该项目工作所需要做的具体工作计划方案 8 6 执行审计 6 执行审计 6 1 制定审计方案 审计项目工作范围初步指出了审计的主要业务流程 系统以及需要注意的风险 审计方案的目的是要更详细地列出在每个领域中所要进行的具体工作 这可能需要更 详细地考虑特定领域的风险 以确保审查工作重点是正确的 审计方案应包括 收集信息和理解流程 控制评估 控制测试 除了确保达到审计目标 审计方案也提供了 分配工作的基础 工作完成的记录 实际工作与计划之比较 审计方案注重测试重大风险的有效控制点 对于无效的控制点 无需进行审计测试 6 2 收集信息 信息采集过程主要包括 了解整体的管治结构 记录相关人员或团队的作用和责任 对所审查的系统和流程进行文档记录 例如 流程图 系统说明等 了解管理层如何评估绩效 6 3 控制的评估 一旦与管理层讨论并识别出风险之后 就需要识别出每个风险的控制点 进行控制点 评估时可以考虑以下问题 该控制点是用来防范风险的 还是辨识风险的 是人工控制 还是系统控制 控制点是否有效 如果只有这一个控制点能运作 它是否能缓解风险 如果连 同其他控制点一起是否能缓解风险 需要进行穿行测试来确认对流程和控制点的认识 这包括观察整个流程的运作 以及 追查测试一笔完整的反映整个流程的交易 9 6 4 控制点的测试 现场测试包括了审阅管理层使用的汇总结果 选择样本以进行详细的检查 以及采用 计算机辅助审计技术 测试技术 下表对不同的测试技术进行了汇总说明 测试技术 解释说明 优点 缺点 验证 追踪源头文件以获取控制 运行的证据 能针对潜在的问题领域 难以取得独立和可靠的证 据 选样可能有偏颇 重新操作 审计师重新操作控制程序 然后对结果进行比较 精确 耗时 并不一定会得到高 质量的证据 观察 观察控制的运行 当缺乏 对控制活动的永久记录时 尤为重要 提供控制程序运行情况的 直接证据 基于某单一时间点上的观 察 被观察人员可能因为 有审计师在实地观察而表 现得特别卖力 询问 询问控制是如何执行的 由谁执行 以及会由什么 样的程序来保证控制有效 运行 测试控制执行人员对控制 的理解程度 较少执行证据的支持 分析性复核 对处理大量数据特别有 用 可以用来辨析趋势和 统计异常 有效率且涵盖整个对象总 体 需要事先计划 且成本可 能较高 样本选择 有效审计 就是尽可能用少量的样本得到尽可能最大的保证 必须在所选样本的基础 上尽可能得出准确的结论 当发现控制失效时 应当进行更详细的测试 以确定该问题的程度和规模 如果没有证据显示控制无效 则无需进一步测试 除非有存在其它问题的迹象 样本应当随机抽取 样本的多少还取决于所审查的控制点是 辨识性 的 还是 防范性 的 辨识性的 控制是用来确定是否有问题发生 这类控制是事后的 通常数量有限 这种情况下 就有可能作全部测试 而防范性的控制 如发票的审批 是用来在第一时间阻止问题 的发生 由于可能存在大量的发票 所以就需要选取少量样本来做测试 进行测试时 必须确保得到充足和可靠的证据以核实控制的有效性 如果测试显示控 制并不如预期所想的那样 则可以采取以下三个步骤 10 了解发生控制例外的性质 例如 是特例或个别例子还是重复发生的 失效的原 因 延伸测试 核准对例外的解释是否属实 或决定例外的影响有多大 考虑是否存在其他控制可以弥补这一风险 分析性复核 确立测试的目标 设立并记录预期的结果 作为评估比较实际测试结果的基准 进行数据分析 评估结果 包括评估问题发生的原因 决定是否需要进一步调查 以及最终确 定和记录结果 计算机辅助审计技术 CAATs 计算机辅助审计技术在测试大量交易或全部对象时十分有用 采用该种技术时 需要 事先做好计划 以确保数据处于可读取的格式 计算机辅助审计技术包括比较实际与 预期数据 以及提供系统内审计的综合报告 6 5 记录工作发现 工作底稿是制作审计报告的基础 应当遵守认可标准并保持专业性 工作底稿应达到 以下目的 记录已进行的工作和收集到的证据 提供所遇问题的详细情况 呈现有条不紊的工作方法 支持审计报告的结论和建议 便于审阅 为下一次审计提供背景介绍和参考资料 便于与被审计单位进行讨论 工作底稿必须易读 清晰 简洁 客观 还应对工作底稿进行编号 附上日期 签 名 工作底稿间相互参照 保持相关性 并且参照源头文件 透过工作底稿 要能使 之前不了解所审领域的审计人员也能得出与实际审计人员一样的相同结论 审计人员应当清楚了解所有内审文件都可能会受外部审计师查阅 11 6 6 起草报告要点 将审计问题转成报告草案要点的过程应融入于整个审计过程中 而不只是停留在审阅 工作的最后阶段才草拟 所提出的每一个审计问题都应具备 基于事实的对审计问题的陈述 审计问题的后果 审计人员的初步建议 管理层对审计问题及建议的回复 整改负责人 完成整改的期限 在审计过程中 当发现审计问题时 即当起草 审计发现和影响 以及相对应的 建 议 并与管理层进行讨论 还应在审计文档中记录下具体的同意日期以及同意人名 字 6 7 管理层审阅审计工作 在结束现场工作后 出具报告草案之前 审计经理应当对审计工作进行全面的审阅 如有问题需要跟进 则可以在出具报告前进行 若审计经理能在整个审计进行的过程 中保持及时的审阅则更为理想 这样可以避免一直等到正式审阅后才发现重大问题需 要作重新或追加审计 当审计结论为 控制不佳 时 内审主管需要审阅全部审计文档 且需要在出具报告 草案前完成 对于其他审计结论的项目 内审主管也可抽样审阅部分 以此作为内审 部门质量保证过程的一部分 6 8 完成现场工作 向管理层出具报告草案 被视为现场工作的完成 到此阶段 应完成对每个审计发现 都有提出建议并得到管理层回复 完成报告摘要 以及同管理层召开过闭幕会议讨论 报告 审计管理层还应完成对审计文档 审计发现及报告草案的审阅 理论上讲 从报告草案到最后定稿的变动应该不多 因此在日程表上 从召开闭幕会 议讨论报告到出具报告正稿 只安排了 5 个工作日的时间 6 9 其他工作 审计项目的基本原则同样适用于内审部门所开展的其他类型工作 尤其是 对工作要 清楚地加以规划和理解 要做适当的文字存档 审计经理要审阅工作 任何问题要恰 当报告 12 6 10 专项审计 专项审计分两个主要阶段 初步健康检查和详细的项目审查 6 11 合同审计 积极主动地管理与重要的或战略性供应商之间的关系是至关重要的 只有当合同管理 部门具备充足的供应链管理技能时 公司才可能提高与供应伙伴合作所带来的价值 13 7 报告及其他形式工作成果 7 报告及其他形式工作成果 7 1 对审计问题的评价 1 审计报告总述需对所发现的重大审计发现进行汇总 2 重大审计发现的数量 将有助于决定报告的结论 在决定某一审计问题的重大性时 审计人员应当考虑该问 题的财务后果 对企业声誉或技术所产生的影响 7 2 审计报告 给管理层和其他重要接收者的报告被称为 审计报告正稿 在出具审计报告正稿 前 需要经审计经理和审计主管审阅 报告会以摘要形式 作为机密文件的一部分呈 交给审计委员会 只有经过内审主管明确的书面批准 方可将报告副本发给分配名单 以外的人员 审计报告应由负责执行项目的项目经理发出 报告首页应印有内审主管 的名字 有必要在审计报告中给出结论的 可选的结论有 控制有效 没有发现审计问题或只是几个小问题 只有在特殊情况下才会给出这种结论 而最没有发现审计问题或只是几个小问题 只有在特殊情况下才会给出这种结论 而最 常用的正面评论则是 常用的正面评论则是 控制适当 控制系统整体有效 但仍可以略作加强 控制系统整体有效 但仍可以略作加强 有待改进 控制系统没有有效地运作 需要采取行动来适当地加以改进 控制系统没有有效地运作 需要采取行动来适当地加以改进 控制不佳 存在重大的可能性会造成会计或其他控制崩溃 需要立刻引起关注 存在重大的可能性会造成会计或其他控制崩溃 需要立刻引起关注 所有报告要发给 被审计单位的负责人 公司董事会 审计委员会 首席执行官 首席财务官 报告的其他接收者要视具体审计范围而定 报告编号应按XX YY的格式来编排 XX代表项目流水号 在规划调度阶段派发 的 YY代表审计年份 最终的审计报告则加上后缀 F 代表定稿 14 7 3 闭幕会议 闭幕会议的目的是要就审计报告草案的内容与管理层达成共识 告知管理层下一步审 计工作安排 审计报告草案应在结束会议后5个工作天内发出 管理层则有5个工作天 的时间在发表审计报告正稿前对修改草案给出意见 除执行现场工作的审计人员外 审计经理最好也能在场参加闭幕会议 若报告结论为 控制不佳 则内审主管也 应参加闭幕会议 作为最低指引 落实每个审计发现行动计划的最终责任人应被邀请参加结束会议 7 4 其他形式的工作成果 当内审希望引起管理层对某一问题的关注 但又不适宜出具正式的审计报告时 可采 用审计咨询说明 所有此类说明都须经过内审主管的审阅和签字 内审所开展的其他类型工作的工作成果可能是多样的 可以是口头形式的 例如审计 人员参加并指导小组会议 当内审的改进建议没有被落实时 则有必要出具书面报 告 重要的是 审计人员要记录下他们对整个流程所作出的贡献 例如以档案说明的形 式 这也能向其他部门提供证据显示出内审部门在管理风险方面所作出的贡献 7 5 向审计委员会提交内部审计报告 每半年及每年年底 内审主管要向审计委员会提供公司的内审工作报告 在一年内内审的范围不可能涉及企业的每一方面 因此要清楚地阐述已经开展的工作 并明确给出得出审计结论的基础 这是十分重要的 内审主管还会在年内向审计委员会提交报告 概述部门所开展的工作及发现的主要审 计问题 此类报告没有特定形式 提交给审计委员会的书面报告应被视为机密文件 需考虑保密性 内部审计报告是需 向管理层指出所发现的薄弱领域 提出改进建议 记录下管理层对于整改建议的答 复 而六个月 或经过其他商定的适当期限 后 内审部亦需向审计委员会汇报有关审计 报告所指的各项重大发现的整改落实情况和进度 15 8 跟进审计 8 跟进审计 8 1 跟进工作的原则 所有审计跟进工作不得迟于出具审计报告正稿的六个月后展开 内审的职责之一就是 要核实管理层是否对审计问题采取了适当的改进行动 跟进审计可以提前展开 尤其 是对于那些需要立刻解决的审计问题 实际的改进行动可能不同于当初在报告中所同意的 如果审计人员认为其达到的效果 是一致的 即风险被有效控制住的话 这样的改进行动是可以接受的 跟进审计应当由适合的审计经理来完成 主要原因是 可以为审计提供新的观点 可以获得对审计流程的反馈意见 8 2 开展跟进审计 第一步是要在开展跟进审计前约 1 个月通知主要的被审计单位的人员 然后 应安排 一个会议 讨论如何开展跟进审计以及了解报告中各审计问题的整改进度 对已采取了改进行动的 需要核实 是否的确如描述那样的采取了改进行动 改进行动是否有效地缓解了风险 这可能需要审计人员对控制做进一步的测试 审计人员应自行判断以决定是否需要测 试以及需要进行哪些测试 对于没有采取改进行动的问题 需要了解其原因 例如风险可能不再存在 如果 风险依旧存在 则需要对此作出汇报 8 3 汇报审计发现 跟进审计的工作结果是另一份审计报告 其主要目的是向高级管理层汇报原审计报告 正稿中所发现的问题都已得到了适当的处理 对仍未解决的问题 要给出将对其进行 整改的商定日期 之后则由海尔管理层负责通知内审部门他们何时完成了对审计问题 的整改 内审必须明确地告知审计委员会哪些问题在报告中提出 而没有在商定的期限内妥善 得以解决的 不对审计报告采取行动是一个严重的审计问题 8 4 主要绩效指标 作为内审部门整体绩效管理流程的一部分 需要对一些主要绩效指标进行记录 监督 和汇报 这包括 16 报告数据库 报告数据库的目的是要保存和跟踪审计工作及相应的报告 确保对审计问题采取了适 当的改进行动 在制定审计项目工作范围阶段 就应在数据库中记录下审计工作的详细情况 审计负 责人员应当在第一时间将商定的重要审计日期输入进数据库 部门管理员负责保证数 据库及时得到更新 内审主管定期向审计委员会汇报内审报告的最新进展情况 17 9 内部审计部行政管理 9 内部审计部行政管理 9 1 存档 基于以下原因 需要对文件进行存档 为所展开的工作和得出的结论提供明确的证据 为借鉴以往经验 不断改进工作质量提供基础 随时提供信息来源以整体协助业务发展 要求对每一项工作 无论是审计 咨询类项目 还是一次性咨询或协助 都应当进行 文字记录和存档 印刷版文档 而非电子文档 则作为 定稿 审计文档应至少包括 审计进度报告 审计项目工作范围 规划文件 系统 流程说明 所有会议 尤其是开始和结束会议 的会议记录 审计方案 记录所有测试 访谈等的工作底稿 审计报告草案 包含讨论的问题清单 审计报告正稿 一旦出具审计报告正稿 可将报告草案从文档中去除 内审部门的一个主要的绩效指标就是对工作进度的记录和汇报 为协助达到此目标 审计进度和报告追踪表应放置于审计文档的最前面 列出所有的审计步骤 此外 也 需要详细记录所有后续跟进电话或电子邮件的内容 以及造成任何审计进度延误的原 因 内审部门也会维护一个永久档案 以保留那些可能时常被使用或参考的文件 例如年 报 组织结构图 部门的职权范围等 9 2 时间记录 对于海尔自己的永久职员或外借来的审计人员 在时间记录上的具体要求会有所不 同 一贯的原则是 需要获取相关的信息来了解在项目上实际所花费的时间来与预算 作比较 这样将有助于不断地改进项目管理的质量 9 3 电子文档 所有重要的审计或其他工作文件都应在部门的服务器上存有电子版本 18 9 4 绩效管理 每过 六 个月应对每一位内审人员进行一次表现评估 每次项目完成后 审计经理可 以组织一次工作小结会议 若项目很短且直接 则不需要 工作小结应当以审计员 的自我评估为基础 可以考虑项目中哪些地方做得比较好 哪些需要改进 以及部门 作为一个整体从项目中汲取了什么样的教训 随后应记录下审计经理的评语 如果有 任何客户反馈意见 也应包括在此部分中 9 5 知识管理 知识管理是指内审部门用以确保在本部门及公司内部获取及推广最佳做法的原则和流 程 还应考虑以下问题 如科技的运用 存档的最佳方法以及如何分享信息等 9 6 被审计单位的反馈 为了不断改进工作质量 内审部门要从其进行审计项目的被审计单位身上寻求反馈意 见 在项目完成以及出具了审计报告后 应当将被审计单位反馈表发给主要的被审计 人员 并要求被审计单位人员在 4 周内提供其反馈意见 9 7 部门会议 内审经理和内审主管每两周进行进度汇报会议 分享关于公司的总体信息以及内审的 特别问题 定期召开部门会议 目的是要确保部门的每一个成员都清楚了解会影响到他们的所有 问题 也是提供一个让大家探讨与部门相关话题的机会和场所 会议议程应至少在会 议召开前 两 天发出 商定的行动应于会议召开 3 日内发表 19 附录 附录 A 主要的审计文件样本 计划阶段 A 1 审计项目计划表 框架 样本 A 2 审计范围说明 框架 样本 A 3 审计项目详细计划 样本 测试阶段 A 4 1 流程图 符号的使用说明 A 4 2 流程图 框架 样本 A 5 流程描述 框架 样本 A 6 工作记录 框架 样本 报告阶段 A 7 审计报告 框架 样本 A 8 闭幕会议 B 内部审计部门架构 C 内部审计章程 D 内部审计方案 框架 样本 A 主要的审计文件样本 A 主要的审计文件样本 20 A 1 计划阶段 审计项目计划表 框架 样本 A 1 计划阶段 审计项目计划表 框架 样本 六月12345678910111213 141516171819 星期123456日日123456日日12345 公司公司 A 审计员 A 审计员 B 公司公司 B 审计员 C 审计员 D 部门主管 联络电话 销售流程 XXx1111 工资流程 YYx2222 固定资产ZZx3333 资金流程AAx4444 启启动动会会议议 跟进审计工作 跟进审计工作 跟进审计工作 跟进审计工作 实地进行测试工作 实地进行测试工作 假假期期 中中期期会会议议 实地进行测试工作 闭闭幕幕会会议议 实地进行测试工作 实地进行测试工作 实地进行测试工作 实地进行测试工作 实地进行测试工作 实地进行测试工作 实地进行测试工作 A 主要的审计文件样本 A 主要的审计文件样本 21 A 2计划阶段 审计范围说明 框架 样本 A 2计划阶段 审计范围说明 框架 样本 1 介绍 1 介绍 向被审计单位介绍该审计项目是按照内部审计章程执行的 并已得到审计委员会的核准 一般的审计项目都包括在年度审计计划中 2 审计目的 2 审计目的 简介审计目的 例 合规审计 确保销售流程符合公司定下的 销售程序守则 3 审计范围及需提供的资料 3 审计范围及需提供的资料 本次审计的目的是确保销售流程符合公司定下的 销售程序守则 为此 被审计单位 需 提供以下的资料 销售流程图及说明 SAP 销售系统及说明 销售合同 出库文档 出库单 等 销售政策 定价政策 其他相关的资料 4 审计时间 4 审计时间 审计的现场工作将于 1 月 30 日开展 预计于 2 月 28 日结束 5 人员安排 5 人员安排 项目小组负责人为李先生 XXX 和 YYY 将会协助李先生 6 资源的安排 6 资源的安排 我们希望在 1 月 30 日和贵管理层开启动会议 以便讲解我们这次审计的目的 此外 通过启动会议的沟通 双方可就审计项目的资源安排 包括人员的配合和有关资料的提供 作深入的沟通及有效的安排 以便审计项目的顺利进行 7 汇报 7 汇报 必须说明汇报渠道 和管理层必须在审计报告发出后的 xx 天内回应报告里的问题发现 8 责任说明 8 责任说明 说明管理层的责任 例如执行改进内控建议 提供所有需要的资源 资料等 A 主要的审计文件样本 A 主要的审计文件样本 22 A 3计划阶段 审计项目详细计划 样本 A 3计划阶段 审计项目详细计划 样本 程序工作项目 程序工作项目 财务报表关帐流程 财务报表关帐流程 编号 编号 工作流程 工作流程 执行人 执行人 工作记录 工作记录 注解 注解 如有需要 如有需要 F 1 财务报表的管理 F 1 财务报表的管理 F 1 1 了解财务报表的数据来源 各个部门在数据收集过程中 的职能和责任 以及在财务 部门内及公司内部的汇报程 序 包括财务报表和经济技 术指标 F 1 2 根据以上了解的信息 审查 和分析目前的汇报和审阅结 构是否有潜在利益冲突的风 险 是否责任没有恰当的分 开 例如 审批权限要分 开 资产的管理 记录和控 制的职责分开 F 1 3 审阅和调用重要公章的保管 是否符合公司的规定 F 1 4 是否有明确的科目代码表 chart of account 财务手册 及审批权限 F 1 5 使用什么财务系统 对财务 系统进行何种控制 是否有 相应的财务信息系统管理人 员 系统中断时是否有相应 的应急方案 A 主要的审计文件样本 A 主要的审计文件样本 23 A 4 1 测试阶段 流程图 符号的使用说明 A 4 1 测试阶段 流程图 符号的使用说明 分界线 此颜色代表在本单位 公司发生的活动 部门 流程A开始终止 流程的起点 终点 或联系到别的 部门 流程的交接处 动作描述 SAP MP1 系统资料库 否已批准 是 决策点 发票 文档文件 C1 高级会计 进行审核 控制活动点 篇号 C1 C2 CX 分界线 此颜色代表在本单位 公 司以外发生的活动 单位 子流程 XXX 更新日期 25 03 2007 流程负责单位 负责人 负责人职位 流程描述 一个单位执行的一项活 动 A 主要的审计文件样本 A 主要的审计文件样本 24 A 4 2 测试阶段 流程图 框架 样本 A 4 2 测试阶段 流程图 框架 样本 流程 资金流程 财务部 子流程 银行余额调节 否 是 出纳取得银行对 帐单 终止 会计人员查明 原因 银行存款余额 调节表高级会计签字确认 银行对帐单 开始是否存在差异 另一会计人员编制 银行存款余额调 节表 注 会计人员查明原因 后或给出合理解释 或 重新编制调节表 或进 行相应的账务处理等工 作 C1 高级会计 进行审核 A 主要的审计文件样本 A 主要的审计文件样本 25 A 5 测试阶段 流程描述 框架 样本 A 5 测试阶段 流程描述 框架 样本 流程 流程 管理费用管理费用 过程步骤 发生频率过程步骤 发生频率流程描述流程描述流程涉及部门流程涉及部门 是否为控是否为控 制点制点 控制类型控制类型 流程图索流程图索 引编号引编号 控制点索控制点索 引编号 引编号 如适用 如适用 流程涉及流程涉及 的系统的系统 EX 01 01 1每年 每年11月中旬 总经理办公会对财务经理递交 的年度管理费用预算进行讨论和审批 并提出 修改意见 财务部经理根据会议意见通知预算 科科长修改年度管理费用预算 总经理办公会是手工EX 01 01 4C1不适用 2每年 预算科科长对年度管理费用预算进行修改后 按照总部报送财务预算的时间要求 及时将年 度管理费用预算上报总部财务部 财务部预算科否不适用EX 01 01 5 3每年 预算科科长收到总部批复的年度管理费用预算 后 将年度管理费用预算转交给财务部成本科 财务部成本科科长将年度管理费用预算分解 到各部室 形成关键绩效考核指标 并在日常 管理中严格考核 管理费用的考核见EX 01 07 流程 财务部成本科是手工EX 01 01 6C2不适用 每天每天 每周每周 每月每月 每季每季 半年一次半年一次 年度年度 每次交易每次交易 手工手工 系统系统 依赖系统手工依赖系统手工 A 主要的审计文件样本 A 主要的审计文件样本 26 A 6 测试阶段 工作记录 框架 样本 A 6 测试阶段 工作记录 框架 样本 被测试部门名被测试部门名工作底稿编号 T C 2 9 采购及付款程序流程测试采购及付款程序流程测试测试日期 2007年1月31日 测试人 xxxx 测试控制编号 C1 控制描述 从流程描述中取出 测试方法 取得2006年订单列表 选择15个2006年的订单 测试订单是否符合 公司的审批权限 访谈对象 测试结果 未发现异常 发现的问题 问题 影响 影响 建议 建议如未发现异常 可以删除 相关文档 相关文档 报告索引 报告索引 工作记录 序号文档号文档日期审批人及职位 测试结果 例 审批权限是否符合 公司政策 Y N 112345 2 3 4 5 6 7 A 主要的审计文件样本 A 主要的审计文件样本 27 A 7 报告阶段 审计报告 框架 样本 A 7 报告阶段 审计报告 框架 样本 公司公司 部部门名称门名称 项项目目名称名称 有关有关 xxx xxx 内部审计报告内部审计报告 日期 日期 A 主要的审计文件样本 A 主要的审计文件样本 A 7 报告阶段 审计报告 框架 样本 A 7 报告阶段 审计报告 框架 样本 28 公司 部门名称 项目名称 公司 部门名称 项目名称 目录 目录 页 审计总述 被审计单位背景 资料 1 审计目的与工作范围 1 2 审计方法 2 3 审计发现及其潜在的风险 差异 风险及影响 改善建议 管理层的回应 负责跟进人员的资料 跟进和执行时间表 4 附件 I 审计范围和程序之详细资料 II 被审计单位组织架构图 III 被审计单位管理架构图 IV 其它附件 A 主要的审计文件样本 A 主要的审计文件样本 A 7 报告阶段 审计报告 框架 样本 A 7 报告阶段 审计报告 框架 样本 29 公司 部门名称 项目名称 公司 部门名称 项目名称 审计总述 审计总述 审计目的 审计发现问题汇总 被审计单位背景 资料 被审计单位背景 资料 单位负责人 被审计单位于审计期间的主要变动和发展 被审计流程的简介 审计目的与工作范围 审计目的与工作范围 对被审计单位就上次审计报告所提及事项的跟进汇报 审计覆盖的时间 审计方法 审计方法 被测试控制总数 控制设计评估 抽样方法 样本数量 A 主要的审计文件样本 A 主要的审计文件样本 A 7 报告阶段 审计报告 框架 样本 A 7 报告阶段 审计报告 框架 样本 30 公司 部门名称 项目名称 公司 部门名称 项目名称 审计发现及其潜在的风险 审计发现及其潜在的风险 审计发现 审计发现 风险及影响 风险及影响 改善建议 改善建议 管理层的回应 管理层的回应 负责单位 负责单位 跟进和执行时间表 跟进和执行时间表 1 1 2 2 A 主要的审计文件样本 A 主要的审计文件样本 31 A 8 报告阶段 闭幕会议 A 8 报告阶段 闭幕会议 闭幕会议内容 闭幕会议内容 简介会议的目的 简单介绍审计目的 审计范围 审计结果 包括 审计发现及其潜在的风险 改善建议 管理层的回应 负责跟进人员的资料 跟进和执行时间表 跟进审计 32 B 内部审计部门架构 B 内部审计部门架构 董事局 审计委员会 首席执行官 首席财务官 计财部 营销部 采购部 产品事业部 生产基地 人力资源部 内审部内审部 内审主管 内审经理 信息系统 内审经理 信息系统 审计师 内部审计师 内部审计师 33 C 内部审计章程 C 内部审计章程 本章程说明内部审计职能的使命 与独立性和客观性 工作范围职责 权限 任务 以及须遵守的准则 使命使命 内部审计的使命 是通过其独立 客观的工作 并提出最佳方案 来确保企业得以最有效地运作 通过其有 系统的工作方法 内部审计将对企业的风险管理 内部控制 以及管理流程的有效性进行评估并提出改善建 议 从而帮助企业达到目标 独立性和客观性独立性和客观性 为确保独立性 内部审计直接对由董事会任命的审计委员会负责 另外 内部审计定期向公司 主席及首席执 行官 汇报工作 为保持客观性 内部审计并不参与日常的内控流程 企业内部每一个部门都需对其拥有的内控流程及其有效 性负责 工作范围及职责工作范围及职责 内部审计的工作范围包括审阅企业的风险管理程序内控系统 信息系统及管理流程 工作还包括定期测试流程 与同业操作模式进行比较并提出改进意见 进行 特殊事项调查 对法律 法规进 行要求的评估 以及采取措施以防止或发现舞弊的发生 为了履行其职责 内部审计应该 识别并评估企业运作中的潜在风险 检查为确保企业运作不违背政策 计划 程序及商业目标的控制是否足够 评估财务信息和管理信息 以及提供这些信息的系统或流程 包括内部和外部 的可靠性和安全性 评估企业为保护财产采取的措施 检讨已建立的流程和系统 并提出改善建议 评价对资源使用的有效性 考虑是否有效 是否合附经济理念从而是否有效率 测试根据风险水平挑选出来的项目 确保其运作符合企业政策规定 尤其是确保是否有足够地执行内控措 施 跟进通过测试提出的改善建议 以确保所有补救措施均有有效地执行 根据管理层的要求 开展计划外的评估 调查或审阅项目 34 权限权限 内部审计旨在合理的成本下促进和改善企业的内控 为了达到这个目的 内部审计在执行工作时具有以下权 限 可以自由出入企业的每一个部门 并且有权查阅所有对其执行工作有帮助的文件及档案 有权要求任何员工以及管理层人员在合理的时限之内提供相关的信息或解释 各部门主管应及时知会内部审计部门所有涉及安全问题及与法规制度问题相关的重要事项 建议权 享有就审计中发现的问题 向被审计单位及有关部门反映并建议采取相应措施的权力 任务任务 内部审计部门应年度内审计划 在编制年度内审计划时 内部审计部会考虑有关的业务风险和相关部门或前 线经理的建议 年度内审计划考虑了风险评估 当前内审项目重要性的排列情况以及怎样开发这些内审项目 的信息 年度内审计划需要得到审计委员会的复核批准 在需要的情况下可对内审计划进行修改 但所进行的改动仍 应得到审计委员会的批准 内部审计部负责计划 执行 汇报以及跟进内审计划中包含的所有内审项目 并且针对每一个项目决定其审 计的范围及执行的时间 有关这些具体程序 都记录在内部审计手册中 内部审计工作应该专业且及时地进行 内审结果的汇报应包含所有应得到各方认同的审计事实 以及所有有 效的改善建议 一份详细的内审报告将汇总内部审计的目的 范围 观察所得及改善建议 在任何情况之 下 内审部门对于改善内控提出的建议都应得到及时且足够的回应和跟进 内部审计还应就发现的所有重大风险及相关控制等内审工作结果向管理层及审计委员会提交一份年度工作报 告 此外 亦应出具半年度工作报告 内部审计部门还应与外部审计人员进行沟通 以确保进行了足够的审计工作 并避免重复劳动 须遵守的准则须遵守的准则 内部审计应严格遵守行业准则 包括国际内部审计师协会和国际信息系统审计协会发布的准则 35 D 内部审计方案 框架 样本 D 内部审计方案 框架 样本 内部审计方案为每一个内审项目的审计蓝图 它载列了每个项目需执行的基本工作内容 由计划阶段到最后 的整理和汇报阶段 由于每个审计项目的目的有别 故具体的方案亦因不同的审计目的而作出相应的调整 作为内部审计人员 我们必须了解被审计单位 其功能或有关流程的目标 以及其所涉及的风险和控制 方 能制定出合适的内部审计方案 内部审计人员透过对风险与控制间的战略性平衡确定潜在机会 从而提升机 构的增值潜力及减低风险的影响 36 工作底稿工作底稿 工作底稿工作底稿 核实签署核实签署 参考编号参考编号 计划阶段计划阶段 预算计划阶段所需时间 1 清楚说明进行内部审计的原因 内部审计的目标 和对内部审计项目的期 望 并检讨内部审计项目的目标 是否与集团 公司整体策略目标相符 2 对审计对象作初步的调查和资料搜集工作 查阅集团 公司有关审计对 象的内部数据以进一步了解组织