内部审计作业手册

1、PAGE 2PAGE 51稗内部稗审计巴作业手册目 录俺第一章 邦 翱内部叭审计罢概述坝跋哎叭1捌第二章芭板审计扳业务熬计划邦芭啊按按4疤第三章搬跋业务流程分析斑颁笆八芭8蔼第四章案傲评估靶设计熬有效性阿安邦扮敖11碍第五章拌稗测试运行有效性吧拌爸办哎靶22按第六章肮哀审计熬执行结束艾翱耙挨俺39阿第七章暗皑审计阿报告半般哎班鞍绊43柏附件哀1拔颁年度耙审计俺项目列表阿附件坝2斑吧年度傲审计岸工作计划叭附件拔3奥扮审计哀计划备忘录颁附件扳4吧摆审计通知书皑附件澳5敖唉流程文字描述工瓣作表阿附件氨6八昂穿行测试工作表拜附件暗7班霸风险控制矩阵疤附件捌8翱笆关键控制登记表罢/测试工作表把附件笆9拔

2、办问题及版缺陷爸表暗附件耙10拌蔼审计半报告格式奥第一章 拔内部胺审计澳概述邦 矮第一条叭巴案审计碍使命邦 叭审计部门直接对败公司疤总裁办敖负责，为公司管拌理层办 般评估公司记录、爱内部控制制度、埃管理资讯系统及鞍作业系统是否健拌全、完善、有效安。协助公司管理昂层发现业务发展拜中可能存在的风扳险，并提出如何矮建立适当的制度扒、内部控制系统鞍和程序来充分地摆、有效地管理控翱制风险。扳 俺第敖二拔条办 伴审计傲组织暗 芭公司设立佰审计部蔼，作为专职的内傲部哎审计摆机构。白审计部班的日常爱审计稗工作直接向翱公司哀总裁办败汇报。艾同时，案审计部拔作为审计委员会凹下设的办公室，扮负责处理审计委绊员会交办

3、的日常熬工作靶。耙 第三条佰 阿审计半的主要职责伴按 班审计邦部门的主要职责背是：肮 瓣一、颁拟定公司内部审百计制度，编制年瓣度审计计划跋稗和审计预算；隘 盎 二、绊对公司及各分支碍机构各项经营活岸动和财务活动艾的真实性和班合规疤性跋进行监督、爸检查和评价；碍 三、叭对凹公司昂及各分支机构跋内部控制摆体系以及风险管艾理办 奥体系凹的健全性熬、合理性叭和有效性按进行监督、碍检查和评价扮，并出具年度内鞍部控制评估报告百；鞍 笆 佰 佰四、斑对董事及高级管般理人员在任职期哀间所进行的经营俺管理活动进行审鞍计检查靶；案 稗 五、颁对公司及各分支爸机构经营效益等癌事项进行专项审霸计；把 六、暗对公司信息

4、系统搬进行审计；皑 七、笆对被审计单位整拜改情况进行后续敖审计；爱 八、邦处理董事会奥审计委员会熬交办的日常工作巴；芭 九、安法律法规规定和啊公司要求的其他办审计事项。稗 第四条巴癌审计坝范围皑败 俺审计百工作范围涵盖公案司全部业务。摆审计奥部门必须在整个艾工作领域内，明袄确订立出各个需版要被查核的区域皑，以利查核工作皑的进行。哎拜 懊审计熬工作范围包括唉 一、袄业务艾审计摆；傲 二、百财务罢审计皑；案 三、巴合规捌审计隘（绊包括定期进行反吧洗钱和反恐怖融稗资方面的审计拔等）搬；安 四、熬董事及高级管理摆人员审计鞍；啊 艾 颁五、斑根据公司管理层班的要求进行的专凹项调查氨；扒 六、百公司外部有

5、关部叭门（佰政府爱监管俺部门、股东方笆及会计师事务所班）检查所发现的版重大管理缺失事爸项的追踪。捌 第五翱条 奥审计爸制度挨瓣 吧公司制定白公司挨内部俺审计熬制度。班审计隘制度是内部拜审计笆的基本行为准则盎，是氨审计坝人员在任何情况拔下都必须遵守的拔原则。巴 第六搬条 肮审计岸程序与方法风险评估及审计计划步骤 3: 评估固有风险 / 评价控制设计步骤 2: 业务流程分析步骤 1： 审计业务计划 步骤 4: 控制运行有效性的测试/评估剩余风险 步骤 5: 审计执行结束审计执行扒 翱 昂澳公司跋审计百部门采用风险/坝控制的坝审计扮方法。完整的盎审计稗程序包括昂审计班业务颁计划，绊业务流程分析，澳评

6、估固有风险/班评价控制设计，岸控制运行有效性暗的测试/评估稗剩余风险及审计半执行结束。审计佰执行循环如下：隘第二章 案审计懊业务唉计划安 第七条罢 巴年度俺审计捌计划目的啊 盎 斑审计哀部门须对每一年八度的瓣审计熬项目安排班年度坝审计佰计划。年度搬审计靶计划编制的目的敖在于：叭 颁一、爸确盎保案审计板工作满足公司内班部管理和外部监百管的需澳 挨要；隘 袄 二、氨使盎审计哀部门与被绊审计盎单位之间在工作版安排方面协按 隘调一致；啊 三、碍确保笆审计隘项目的时间和人绊员安排充分并且跋适当。俺 第八条伴 罢年度盎审计扳计划要素岸唉 傲年度艾审计翱计划包括将于该版年度内实施的所氨有常规般审计傲项目。年

7、度芭审计拜计划的要素包括叭各坝审计癌项目范围，涉及吧部门及项目的时八间安排，包括现盎场工作日及岸审计敖报告提交日。所爸有包含于年度捌审计般计划中的袄审计唉项目均应编号。碍项目编号以年份跋加顺序号组成。背 第九条芭 板年度霸审计隘计划的编制程序皑 一、跋审计暗范围和可瓣审计阿单位搬伴 熬审计按工作的范围涵盖罢公司全部业务。版公司业务中凡被哀内部澳审计挨人员或外部颁审计矮人员（政府监管颁部门或查帐会计霸师事务所）认为把须作查核的领域蔼，全部包括在半审计搬范围之内。埃胺审计拔工作应以昂审计霸范围内各业务运啊作流程的内部控氨制制度的建立和敖执行情况为重点百。熬案 暗以阿审计疤工作的可操作性俺考虑，胺审

8、计吧范围整体应分成办若干个可袄审计哎单位。每一个可般审计拔单位都应该可以笆单独被查核，但盎又与整个内部班审计叭计划相联系。安鞍 唉可皑审计把单位的划分，以邦各项业务操作的肮流程为宜，不受鞍业务部门的限制耙。哀 二、翱审计拌项目之选择暗 扳 俺根据确定的可版审计吧单位，吧审计昂部门主管应充分凹考虑以下因素，耙确定年度昂审计疤项目，编制年度耙审计碍计划。翱 柏（胺一百）半风险高盎及公司策略重点爱的可拔审计坝单位颁审计案次数应更频繁；稗 瓣（爸二伴）伴为确保佰审计扮项目的完整性及斑有效性，昂审计爸项目应涵盖业务瓣审计敖，资讯技术昂审计岸及财务百审计版等挨审计邦范围；瓣 版（敖三懊）巴审计哎项目涵盖的

9、范围耙及其及时性应使懊内部俺审计昂工摆 捌办作价值最大化，佰并为外部审计师颁提供帮助；按 霸（扮四绊）叭每一瓣审计碍项目的确定及人肮员安排应确保笆审计隘报告按 把在捌审计跋工作开始后盎60碍天内发表。懊 第十条办 奥 瓣年度阿审计罢计划之核准跋拔 绊内部拌审计绊部门应于每年俺12敖月底前完成案下一年度柏审计扳计划，捌并呈报公司领导疤及肮董事会叭核准。昂坝年度安审计罢项目八列肮表详见附件鞍1昂。邦 疤年度审计工作计岸划详见附件搬2班。奥 第十一傲条 拌审计班项目计划的目的哎肮 啊每一靶审计办工作皆须经过适伴当的事先规划，半以确保内部安审计扒工作能有效果并奥有效率地完成，矮同时符合内部伴审计胺部门

10、的扳审计摆作业方法和程序绊以及有关法律法芭规的要求。败 第十二袄条 柏 捌审计伴计划备忘录百岸 氨审计摆人员应对每一个叭审计隘项目编制斑审计佰计划备忘录。般 背 澳审计八计划备忘录扳如附件芭3叭。岸 第十三挨条 拜监管环境柏 懊审计版人员应明确主要伴的监管机关，确俺保已了解监管环岸境，并已考虑重安要的监管约束。般应咨询法规遵循袄主管，考虑是否柏有特殊监管约束背需要在隘审计蔼过程中引起注意隘。坝 第十四半条 俺以前年度柏审计埃发现事项拔岸 笆为确保以前年度鞍审计版发现事项得到妥案善解决，再次芭审计啊时应对以前年度艾审计奥发现事项进行追皑踪。编制捌审计摆发现事项追踪表稗，清楚的列明所艾有伴审计隘发

11、现事项完成情斑况。霸 第十五斑条 哀法规遵循及风险败管理关注重点拜 败与法规遵循及风叭险管理主管讨论蔼他们是否有特别埃关注的，希望在把审计班过程中引起埃审计半部门重视的问题吧。按 第十六蔼条 拌初步会议爸矮 颁每一板审计扒项目在现场工作蔼实施之前，应提拜前足够的时间开隘始计划。有关按审计背人员应先与被把审计稗单位的主管举行暗初步会议，对被哀审计奥单位的业务及业肮务风险进行了解安，取得被岸审计傲单位主管对风险邦评估的看法和观暗点，建立沟通渠哀道。澳 第十七癌条 绊审计癌通知邦的发送暗白审计奥部门应在每一项安审计捌现场工作开始前颁五至十个工作日捌内发出爱审计案通知暗。癌审计耙通知隘以邮件的形式发巴

12、送至被按审计翱单位的主管，同伴时抄送公司管理邦层。耙佰审计瓣通知斑由耙审计隘部门主管发送。蔼 一、暗审计挨通知岸的内容敖懊审计安部门应使用标准啊格式的白受权调查范围吧，详述本次盎审计拜的目的碍，范围懊，方法，版所需工作时间及胺人员，日程安排傲。啊办审计通知书芭的格式如附件瓣4矮。伴第三章熬 啊业务流程分析罢 第十八扒条斑般审计案范围及业务系统按描述扒 柏审计皑部门应全面了解扮业务系统，以便挨深入了解阿审计俺领域及其相关的挨业务风险。可从班公司内部或公司把外部获得对业务吧系统的总体了解氨。公司内部的信俺息来源包括以前伴年度白审计氨工作底稿、挨审计办报告、组织架构懊图、制度和程序般、管理报告、法吧

13、规遵循报告以及白外部审计报告。埃外部信息来源包伴括行业出版物、凹政府监管或法律胺方面的出版物、癌电视媒体以及其爸它电子或书面媒坝体。交易处理所埃采用的系统整合邦所有的业务处理碍，该系统包括销鞍售人员获取商业版信息的系统、风埃险管理系统以及岸财务控制使用的爸内部结算及支付岸系统、总帐系统啊和管理信息系统霸。暗审计佰人员必须充分了挨解上述各系统的爸运用以及各系统佰间的连接，如有柏必要，可请资讯艾技术皑审计昂人员协助。佰审计奥部门对业务系统邦及组织架构取得柏了解后，应编制吧系统描述，并记伴录于工作底稿中笆。对业务及系统绊环境取得深入了拜解后，便可设定爱审计挨范围。坝 搬审计敖部门还应向管理板层获取最

14、新的组邦织架构图，并归坝入工作底稿中。皑如果管理层无法翱提供最新的组织背架构图，应要求八其编制，并将该昂问题做书面记录埃。傲 第十九安条 凹财务信息澳 跋为评价某特定业俺务领域的风险等熬级，坝审计背人员应获取有关霸业务规模、资产蔼负债状况、业务跋限制以及预算执芭行情况的信息。俺这些信息应从风挨险管理部门和财氨务部门获取。盎 第二十扳条澳 俺流程图和穿行测皑试绊 拌应对不同类型的笆业务流程做穿行扒测试，并编制流氨程图。蔼 一、霸流程图：敖 瓣制作一个流程挨图的流程包括：背 （一）班从现有的文档或搬系统用户中获取扳相关文件、资料澳及交易流，邦它们的制作及传柏送般；及碍 （二）耙确保所有文件及拌复印

15、件以存档、昂处理、传送给翱他熬人或传递到另癌一耙图表的方式罢列示。扮 鞍流程图应包括的叭重要项目：肮 （一）邦主要拌输入耙来源；肮 （二）版使用的佰重要数据文件艾、记录；艾 （三）案重要的流程步骤隘，包括八系统自动程序凹及拔手工输入系统程哀序；拜 （四）稗主要袄产出的文件、报半告及记录；按 （五）胺支持流程的IT耙应用程序；氨 （六）斑位置；般 （七）安部门。瓣 佰流程图帮助了解挨流程及协助颁识别把哪里扒可能发生重要错凹误和背哪里存在控制防氨止或发现这些错癌误。哀 拌流程叭文字半描述哀工作表案见附件罢5百。拔 二、胺穿行测试：氨 疤在穿行测试中，艾审计白人摆员从头到尾观察哀一个样本（一个佰或可

16、能肮的话爸两个交易）以确坝定肮审计哀人稗员对系统或流程蔼的了解，并协助翱识别流程中的重靶要控制点。穿行巴测试不能使佰审计翱人安员得出办一系列程序已遵隘照执行的结论，皑只用于确认流程隘。蔼 挨使用每种类型的埃典型交易来充分啊确认各流程及系罢统。霸穿行测试应是充伴分的、详细的，柏以确认是否所描盎述的就是实际发斑生的。白审计爸小组应通过充足捌的询问，以确定摆所描述的控制是安否被常规执行。敖 懊发现任何例外情胺况，应更新流程板文件（流程图和癌文字描述）。岸 澳穿行测试背工作表跋见附件半6搬。啊 第二十爱一条 隘业务流程的确认岸 霸记录的业务流程耙是否正确，应取霸得流程所有者（奥那些流程运行的颁负责人）

17、的确认奥，可以挨一起审核并讨论搬这些版书面哎文件，也可以向拌流程所有者叭提供书面文件草摆稿并要求反馈。绊任何确认的修改八应在埃审计版工作底稿中保留疤修改依据。柏第四傲章板邦评估耙设计有效性矮 第二十胺二条 袄鞍识别及评估风险柏 爱设计评估靶步骤的目的奥是确认并更新被俺审计捌单位的风险。伴 耙 一、搬在对被凹审计碍单位业务有了初哀步了解后，袄审计肮小组应耙 袄识别对达成业务搬目标或价值驱动鞍力把产生负面影响的肮风险。识别的风哎险应与不同的风捌险类型相关联（耙信用、市场、业稗务、运营和保险敖风险）。胺业务风险八业务风险是疤“吧在阿一个特定的昂业务中办”澳的风险，例如公氨司费用、业务安持续搬性柏、销

18、售额等哎方面遭遇与胺预期不同的可能半性。板信用/转让风险邦信用风险是板公司遭遇证券发绊行商、交易对手哎、借款人扳、中介阿机构的信用质量拌发生变化的风险隘。转让风险案指败海外机构持有的扒资金不能遣返或八由于政府限制板，吧有偿付能力的外唉国客户或交易对哎手不能取得爸可自由兑换的货扳币。拌保险风险叭保险风险可以伴如下拜分类矮:把死亡率凹风险拜是由于死亡的发半生或非发生而引伴起现金流的时间爸和金额的偏差。稗 鞍P&C肮风险坝包括袄将来肮理赔斑支付的傲可变的奥规模、频率及时办间，八悬而未决般理赔的发展和拔分摊案损失吧而碍调整靶的袄费用。 癌发病率傲风险坝是由于投保人发笆病率的变动而产碍生的理赔等级敖和时

19、间的可变性扮风把险。伴市场风险拜市场风险是与利伴率、资产价格、跋房产价格、外币翱兑换率、或其它岸经济因素相关的隘风险。败运营风险 XE 拔Oper扮ational矮 risk矮 熬运营风险是由于傲不足够或失败的佰内部流程、人员绊及系统板或外部事件澳而造成直接或间背接版损失盎的摆风险。它包括信敖誉风险，它艾不皑是直接的或把是邦第二顺序摆影响扒运营阿的昂风险。同样蔼，扒项目风险也是运八营风险的一种形叭式。拔运营风险可以分盎为昂10芭种白子埃风险类型疤: 翱控制风险吧由于未遵循爱已建立的内外部霸业务坝标准叭或熬准则艾而发生的损失拔。巴未授权行为唉风险般未经授权的雇员俺交易、批准或者袄超越授权而引起哀

20、的损失柏。碍操作吧风险皑交易处理中无意肮的人员操作错误蔼而引起的损失爸。埃雇佣及工作场所矮安全风险癌由于与雇佣、健碍康或安全法律或皑协议不一致的行啊为，把形成的付款或人阿员伤害的理赔，爸或由于差异性/艾歧视事件而扮造成的跋损失颁。隘信息 (技术)疤风险伴由于可使用数据笆不足够蔼、数据懊的胺完整性、数据唉的胺保密性或系统信哎息安全引起的损班失，由于系统设敖计把不充拜分捌和暗IT埃系统班（处理，交流，哀信息）拔中断及由于懊IT昂应用程序/软件皑的故障而引起的邦损失坝。吧内部佰欺诈案包括公司伴内部把至少一个人巴参与芭犯罪或欺诈行为扒而引起的损失扒。霸外部爸欺诈吧由公司外板部班人员的犯罪或欺跋诈行为而

21、引起的爱损失板。昂危机管理 扳& BCP/D安RP 哎风险班由外部事件，自半然（地震，暴风班雨等）或人为（罢故意破坏，炸弹唉袭击）等引起的熬损失傲。搬合规哀风险叭由于未遵循绊适当皑的法律、隘法规盎及奥标准按而把对公司的诚信受皑损半，导致对搬公司凹名誉的损害，法唉律或监管制裁，蔼或财务损失唉的风险蔼。氨人身扒及捌物理坝安全风险 背与按公司房产或可移皑动佰资产保护相关的跋风险，包括第三巴者的进入，盗窃捌，火灾，扳贵重物品的班保护，安全器材把的可罢用性搬及用品持续的供奥给。与商务旅行矮中昂公司跋人员的安全、外白籍人员派驻、项扮目执行及他们办翱公室环境相关的拜风险。爸昂 吧分析结果应概括跋于风险控制矩

22、阵爸（懊Risk Co奥ntrol M瓣atrix邦，简称拜RCM按）中颁。扒RCM艾中包含的风险应案根据被审计单位肮的业务目标、价罢值驱动力等审核爸其相关性和完整耙性,白在班审计傲业务计划和业务矮流程分析阶段邦，如对业务有进鞍一步的了解和认背识，应及时更新扮RCM哀。阿RCM挨是重要的稗审计啊档案，用于归纳绊相关风险、控制跋、测试及艾审计阿结果。霸审计叭部门主管应确保百编制高质量的版RCM氨，芭RCM扳与工作底稿做交懊叉索引并归入敖审计澳档案中。坝 按风险控制矩阵如八附件半7埃。按 二、澳评估固有风险拔 （一）澳风险要素癌 皑在识别和分类风啊险后，摆审计凹人员需要评估固扳有风险。挨风险的重要

23、元素暗：可能性和影响吧。理解每个风险罢的特性是重要的傲，这将对后续评案估相关控制的设翱计和运作有效性按起到重要作用。班 捌对于每个识别的把风险，应通过考昂虑潜在的影响（芭风险可能引起的霸质和量的影响）哀和可能性（风险哎发生的可能性）阿来评估固有风险败。拜 （二）佰固有风险把 伴固有风险指在没白有任何控制去管挨理颁一个特定埃风险的情况下懊该哀风险可能导致的佰危险。芭 （三）板风险足迹班 把在评估固有风险爱前，拜审计拌小组罢根据扒“伴标准耙业务单位按”背的跋风险足迹熬完成固有风险评拔级。请记住用于安固定风险评估的稗风险足迹般将来也会用于剩半余风险的评估。罢根据不同跋风险足迹爱中风险的影响和拜可能性

24、,评估固耙有风险和剩余风爱险级别（即严重拌、高级、中级和岸低级）拔。白 胺影响及可能性的佰分数应在搬风险足迹扒中标绘以取得整巴体风险影响分数扮（严重、高级、叭中级和低级）和隘每个风险的颜色肮（红、橙、黄和爸绿）扒。奥标准伴业务单位懊邦傲背俺胺癌碍碍捌昂每月一次版哎摆爱奥扒阿爸笆岸办耙每季度一次把吧百笆熬败八安叭胺凹伴每年一次办 胺靶皑般昂罢叭艾捌半奥扳每5年一次奥昂靶安肮袄艾捌凹斑捌吧每10年一次败摆傲耙按扳靶柏稗按艾扮Euro伴0般10.000鞍30.000把100.000芭300.000扒1 mln巴3矮 mln案10 mln柏30 mln办100 mln懊300 mln背瓣300 mln

25、隘扮氨低级拔中级捌扒蔼高级拔哀严重靶拌一种颜色状态（绊红、橙、黄或绿办）相应的分配到邦严重、高级、中罢级和低级的风险柏级别。影响的金澳额代表区间，如捌0 - 10.澳000，10.氨000以上 案拌 30.00扳0，30.00唉0以上 安案 100.00颁0等。背 （四）艾风险敖等级按严重板风险对业务目标啊和/或价值驱动笆力的鞍影响非常芭重大肮。百管理层应决定爱就当前已暴露的爱风险，哎立即建立降低百风险的程序。如凹果没有预算，应霸安排拌专项资金板。霸高级霸风险对业务目标爸和/案或价值驱动力的叭影响百是重大坝的。管理层应决按定白就当前已暴露的绊风险稗，尽快哎建立起安降低伴风险的程序。稗中级白风险

26、对业务目标安和/或价值驱动暗力的稗影响霸是不重大拔的。安然而，管理层应扒制定行动计划跋确保及时跋降低敖风险靶以败避免情况盎恶化。百低级啊风险对业务目标霸和/或价值驱动隘力的岸影响搬是埃忽略不计敖的。然而，管理氨层应监扳控风险并采取适柏当且必要的措施捌来预防风险变得爸重大白。唉 跋对影响和可能性岸的评估及风险分把类（严重、高级稗、中疤 柏级和低级）应被颁记录在巴审计皑文档并罢归结扮在风险/控制矩凹阵中。当对严重败性和可能性的判凹断发生变化时，伴应在爸审计办文档中清晰的记啊录原因。拔 跋影响风险可能性瓣的因素：交易量吧大，其他情况相吧同时，意味着与把交易量小相比更俺高的错误可能性啊。交易复杂，其敖

27、他情况相同时，袄意味着与交易简版单相比更高的错板误可能性。扮 第二十爸三条 胺识别靶及澳评估控制疤 唉该摆设计评估步骤的案目的耙是:肮确定并更新已识柏别风险对应的现盎有氨控制，并将控制癌与风险控制矩阵背（靶RCM伴）中凹每个范围内疤的风险相互匹配袄;按测量被癌审计吧单位唉每个领域绊暴露般的按“佰净白”罢风险，靶评估被靶审计蔼单位总体胺控制设计的充足胺性。版 一、版傲识别及分类控制啊 （一）板绊控制类型背岸 扮 跋 肮每个评估的袄风险，把审计耙人员需要根据他皑们的时间和性质啊，识别、分类、颁记录及评估与捌该风险相关的控肮制： 时间：扳 背- 指导性或预把防性控制：办一种通过明确的胺确保风险不会发

28、唉生来寻求限制风爱险的控制。一个昂好的例子是双重碍签核一份合同。瓣 办- 俺修正性或发现性隘控制:熬 一种笆在事情发生后通般过蔼“哎调整拔”靶（即更正）以确败保风险不会坝变大绊的控制。例如项胺目会议或预算懊监控摆使管理层审核和凹评估昂当前俺进程，这样跋，敖可能的问题（延班迟、差般异、假设错误等捌）能容易懊调整百。性质: 版 敖 埃-跋 人工:班 人工控制由人按员执行。爱 俺- 邦自动:爱 自动控制埃发生在岸没有人员介入胺，植入软件程序碍以预防或发现未熬经授权的交易，埃或允许交易的处靶理隘。熬 把- 熬依靠人工/癌IT巴:熬 这些控制昂同时摆有人工和自动元懊素。一个控制可凹能依靠自动化流奥程但控

29、制的关键颁元素可能是人工靶的。例如，一个案控制可能包括唉系统审核采购订隘单、收货单及背发票的板匹配。疤系统将自动生成熬不匹配的例外报白告（自动元素）昂，笆再由凹人工审核并清理版（人工元素）。扳 哀 傲 阿- 矮终端用户:八 某些控制流程爸可能运用终端客哀户应用程序例如斑电子表格、数据案库和终端用户编懊码。捌 （二）百关键控制登记表拔/测试工作表隘 啊在关键控制登记班表/测试工作表罢上记录这些控制拌。懊 巴关键控制登记表哀/测试工作表有绊双重的目的。它傲适用于：摆记录（关键）控白制般;斑记录关键控制的伴测试（步骤和测暗试结果）。按 半伴关键和非关键控邦制都可以使用关拜键控制登记表/岸测试工作表。

30、瓣 坝关键控制登记表肮/测试工作表如斑附件败8哀。伴 疤通过巴RCM霸上的文件链接，扳关键控制登记表办/测试工作表上耙描述的控制颁映射拜到风险/鞍控制矩阵上关联胺的风险。坝 二、绊评估控制挨 跋评估每个控制降罢低每个风险的充八足性，使用斑“靶高级、中级和有肮限艾”安的控制有效性级安别，并记录在风胺险/控制矩阵中半。袄使用以下标准评办估控制有效性的板高级、中级和有版限案的：安高级有效坝：靶可以依靠自己百本身绊来半降低吧风险扒的控制败。岸 傲中级有效 碍：疤能很大程度芭降低百风险，但不能完背全袄降低坝风险柏的控制爱。扳 阿有限的有效伴：拔能搬降低绊风险，但不是有扳效的。版 三、安评估控制设计俺 暗

31、针对懊每个风险拜，哎评估相应控制背设计罢的总体熬充足性。这个评班估应被记录在风埃险/控制矩阵中拜。案 扮使用吧选择的跋风险足迹芭作为剩余风险影懊响和可能性背评分办的基础。颁剩余风险评估应爱记录在风险/控盎制矩阵绊中鞍。 叭剩余风险的评估叭要求测试控制运靶行氨的有效性，挨一旦完成运行有盎效性测试，应更笆新剩余风险评估唉。当剩余风险评碍估仍在一个不能奥接受的水平上（般严重、高级、中按级），芭审计挨人员哎可建议额外的百控制或加强现有敖的控制以降低剩敖余风险水平。相袄反，当剩余风险班被认为可接受的氨，熬可能有机会坝识别岸“啊过度控制颁”百的地方。按 四、熬识别关键控制胺 班关键控制八是 XE Cont

32、rols 吧指岸在柏审核/评估控制板设计笆的基础上昂，霸能（单独或与其背他控制一起）很把大程度降低唉固有败风险的控制叭。此外，鞍审计哎人员扳应考虑是否该控阿制的失败会导致板剩余风险水平到艾严重、高级或中罢级。如果是这样班的话，该控制应班被视为一个关键熬控制。百审计隘人员岸应考虑，在一个凹“安过度控制佰”氨的情况下，哪个昂控制是佰“昂关键傲”吧的扳。跋 搬被识别为关键控癌制的控制应在风安险/控制矩阵和背关键控制登记表隘/测试工作表上败注明。百 爸关键控制应评估巴其拌设计有效性，然昂后测试以确认他拜们傲运行敖的有效性。评估奥关键和非关键控败制的目的是为了般关注斑重要的控制以帮霸助提高哎审计岸测试的

33、效率和效拜果。袄 五、扳与被拌审计皑单位确认氨设计评估疤 斑风险和控制评估背应与管理层分享伴。考虑熬被办审计把单位阿的反馈，适当的白话，更新评估（翱RCM翱）。啊确保岸审计板轨迹能完整地懊证明变化及扒理由。懊 （一）拜捌注释颁: 凹固有风险评估鞍 矮审计斑人员芭应与管理层哀讨论已百识别的风险和控扮制氨的败存在性、完整性板及其评估凹。盎 佰注意熬，芭管理层可能不能斑理解即使存在控熬制鞍以般预防风险的产生岸，但风险仍会存隘在背。 背 半注释班: 班控制设计评估 XE Control Design Assessment 爱 版目标拔是：懊确认识别的控制俺已准确地被描述颁；艾确认所有相关办控制已被识别

34、唉；癌确认控制已被准唉确地映射到相关蔼的风险拔；摆确认每个控制翱的重要性 (高拜级捌、安中级和有限的有安案效爸)；绊确认每个风险的凹控制设计评估办；百及,扮 暗确认识别的任何半控制差距或过度唉控制的地方，啊及柏袄他们的重要性和啊行动计划唉；识别关键控制。氨 （二）艾问题及缺陷表昂 蔼任何商定的控制吧差距都应制定一唉个行动计划。相斑反地，过度控制爸的地方可能导致肮重新调整/合理哀化控制和运营资暗源。发现的问题矮应记录在问题及俺缺陷表上，与相瓣关的风险/控制败矩阵互相进行索拌引。行动计划应瓣包括执行的完成案日期和负责人。佰问题及缺陷表挨是捌RCM案上列出所有胺相关控制耙问题的初步登记白表（设计和运

35、行扮有效性）。因此佰，版它可能涉及控制隘的缺失，控制设盎计的安缺陷袄，和运行有效性罢的暗缺陷柏。完整的拔总体扒审核芭能帮助啊发现是否问拔题和胺缺陷瓣存在相同皑的根源或者笆相同的地方安。班总体爱审核同样吧能帮助决定需要艾包括在审计报告按执行罢摘要中的关键风奥险领域碍（一些扮问题和搬缺陷伴应颁合并成岸一巴个发现）挨。邦 暗问题及缺陷表昂如附件9。伴第五章败背测试运行有效性拔 第绊二十四暗条 芭记录测试吧程序败 安本步骤的目巴的安是编制书面的测岸试稗程序癌，包括适当的测埃试目的，详细描佰述测试深度，及扳测试方法。暗 一、唉记录测试目的、盎测试深度及测试氨方法跋 吧识别了最适当的鞍关键控制来进行爸测试

36、后，扳审计按人员应编制测试芭的特定步骤，以班满足关键控制登按记表/测试工作跋表中的测试目的癌。包括测试目的岸、测试深度及测拜试方法。半 碍以下规则能用来凹评估哪些控制测半试应得到关注：哎如果一个把关键控制被评估敖为设计有效，应绊得到测试；背如果搬当拌一个唉关键控制只有与啊其他控制在一起般时才被评估为有拔效，那么，这些颁控制都应得到测背试；蔼如果一个关键控爱制被评估为无效啊，通常情况下不板用进行测试。但袄是，一个设计无坝效的控制可能得邦到测试，用于决摆定该伴控制瓣缺陷蔼的影响。岸 白注释岸：测试目的 伴敖 控制运伴行跋有效性测试板 跋正确设定岸测试巴目的是非常重要般的，因为这是确奥保执行的工作有

37、巴价值的起点。摆测试俺目的应直接从关败键控制登记表/笆测试工作表的控傲制描述稗中获得。行动应氨明确和直接为了澳获取证据（核查绊/证实等）而不俺应含糊不清（班审阅、了解、讨唉论等）安。办 哀注释败：测试目的 百绊 实质性测试班 唉 爱运行疤无效的控制需要澳额外的测试，例稗如，对运行的项癌目重新执行一遍版控制或进行实质安性核查，以证实氨他们的笆完整性和芭正确性。例如，办控制设计及运行版测试发现例外情隘况，实质性测试败可以提供额外的白审计班证据。昂实质性测试程序巴可以包括分析性罢复核，将余额/叭项目与原始凭证哀或独立的文件进芭行核对及重新计叭算或核实该项目隘。扳 爸注释坝：测试深度胺 摆下表可以用来

38、昂作为叭测试运行有效性肮水平的指导：傲控制 XE 皑Control稗s百 邦 - 设计瓣固有风险捌严重拔高级敖中级拌低级胺高级降低摆测试有效性（胺TOE佰）吧测试有效性（哀TOE啊）百减少有效性测试吧（罢Reduced懊 TOE哎）耙X扳中级降低把减少有效性测试皑（癌Reduced百 TOE巴）熬减少有效性测试柏（笆Reduced瓣 TOE翱）邦X背X佰 办注释稗：测试方法爸 罢有多种方法来执爸行测试以获取板审计伴证据。伴审计隘人员应选择能达颁到测试目的的最伴合适的方法。包柏括：吧 稗证实性的询问 叭爱 靶向员工、管理层澳及服务提供者询奥问以获取程序和隘控制的资料。管叭理层可能被要求叭提供他们

39、版对阿控制运行有效性柏满意的资料啊。案通过询问半的测试方法通常佰没有其他形式的隘测试绊可靠，可能需要板与其他形式的测扒试一起，为拜审计盎人员的结论提供矮充分的证据支持肮。爸 奥观察奥 案般 氨直接白观察懊员工的实际操作阿，以挨查看皑控制是否按设计拜运行。澳当确认员工培训啊及技能水平时，疤审计扒人员应考虑疤审计盎人员在场矮的情况下傲对控制运行表现叭的影响 白笆 如，如果颁审计瓣人员不在场，该阿控制运行是否如案此彻底。白 拔检查 靶班 按通过检查或盘点氨资产、及阅读、昂追踪、审核支持挨性文件、比较及颁核对记录来获取隘证据。暗检查是高级有效巴的测试形式，因耙为他们能为艾审计唉人员的结论氨提供更需要的

40、证按据支持。懊 耙确认函隘 皑搬 盎此测试方法用于扒比较内部记录与蔼第三方记录。确吧认函是高级有效白的测试形式，但绊是，爱它办被限制在当有第啊三方参与的情况盎下使用。吧 岸重新执行吧 捌傲 绊此方法包括艾审计坝人员重新全部或皑部分执行被坝审计拜单位的运作。它扳只有在拜审计百人员需要确保计靶算或搬记胺数瓣的正确性情况下伴使用。隘审计哎人员在决定进行鞍重新执行相关运按作时应注意，因啊为那将化较多时皑间。埃 澳分析性摆复核柏程序百 案佰 绊在测试阶段可能敖需要用到分析性凹复核。例如，在罢风险评估哀时傲发现不利的趋势叭，吧可能需要进一步袄分析疤，俺更深层次蔼专研，扮及傲锁定罢推动这种趋势的皑特定懊的安

41、一组交易艾，以确定可能造阿成控制失败的根疤本原因。耙 二、阿记录测试罢程序白 哀每一个测试程序笆应清楚地记录在百关键控制记录表板/测试工作表中肮。测试程序应能瓣被充分理解，确摆保颁审计百人员提供充足的稗证据使得工作底爱稿审核人员能判叭定测试了什么及爸测试的结果，及绊可以执行随后的叭重新测试。昂 疤注释坝：关键控制登记蔼表/测试工作表搬 疤测试工作底稿应拌要求碍审计搬人员记录：测试的控制；奥测试数据的来源摆；霸规模或控制执行百的频率及样本量吧；佰样本选取的方法坝；扒测试的根本特征版；测试结果；及啊审计百测试的结论，包跋括任何控制例外佰的详细情况。搬对每一项控制例熬外，应记录是否耙有追踪测试或行盎

42、动。板 第二十霸五条 懊确定耙抽样方法翱 昂本步骤的目的是埃评估和记录通过把抽样获取的隘审计拔证据的充分性。白 一、蔼识别和定义规模拔 案测试控制时，先唉识别和定义控制艾发生的频率（鞍样本凹总量澳）。确保白样本矮总量哎尽可能的清楚和凹完整，以确保搬表现所有元素。斑 安注释：背样本总量笆 袄爸样本总量隘是指收集到耙的按项目昂总量爸，拌审计按人员将对该艾项目总量半发表一个结论。扮它也可以指捌“笆样本架构啊”办，为了一个特定伴审计肮测试目的而定义蔼的绊样本总量叭。哎 癌在测试控制有效翱性时，敖审计版人员应定义控制哀发生的总次数。矮例如，疤审计爸人员可能识别了隘对帐发生的频率胺（每月或每周）扮，这就是

43、昂样本总量拔。哀 二、氨考虑统计抽样案 癌使用案统计抽样时，败审计按小组应将拔决定搬选择统计抽样的班原因记录在关键佰控制登记表/测鞍试工作表中。败 芭注释：统计抽样哎 班统计抽样需要凹审计绊人员确定要素的盎数量及拜随机坝抽取项目，允许傲审计斑人员袄定量地表达结果邦及袄测量样本风险。八因此，当执行实班质性测试时使用半统计抽样是一个哎合适的方法。斑 颁以下情况应使用斑统计抽样：半规模超过了定义拔的最低交易量（版如懊5,000懊件交易），与碍审计癌经理沟通确认最把低交易量；巴需要精确及确信昂的推断结果；扮绝对确信爱样本总量靶能被定义；及唉样本总量班中的每一项被选氨到的机会均等。般 捌邦疤大部分罢审计

44、傲测试，我们通常罢不会使用统计抽矮样的方法。相应背的，它也不大可搬能说明从测试结唉果中获得的保证艾的水平。澳 三、俺考虑非统计抽样罢 熬使用非统计抽样吧时，扮审计坝小组应将颁决定叭选择非统计抽样按的原因记录在关吧键控制登记表/白测试工作表中。唉 埃注释：非统计抽搬样版 百非统计抽样使用摆的样本是非正式袄地芭（不带有故意和版偏见的选择）或叭判断白地（根据判断与半测试目的相关联霸）颁选择的。绊非正式地选择是背指没有使用特定罢的标准从一个岸样本总量爱中选择项目。判蔼断地选择可以包版括，如选择高价芭值的项目（为了搬测试适当的批准安）。瓣 哀以下情况应使用版非统计抽样：爱规模小于设定的敖最低交易数量限翱

45、额；柏不需要可测量，耙因为结果不需要隘推断；皑不可能识别整个爱样本总量艾或交易量架构；癌其他哀审计般证据暗示隘非常不可能发生靶错误。翱 八 柏测试控制有效性斑，最合适的内部办审计爸样本方法是非统敖计抽样。拌 四、颁选择样本量岸 拌在关键控制登记耙表/测试工作表袄中评估及记录合半适的样本量。鞍 昂注释：统计样本哀量八 摆影响样本量的因凹素有以下两个：拜可信赖扒的水平；及皑可容忍的错误率啊。败 哎可信赖挨的水平定义了需敖要从斑审计霸测试结果中得到吧的凹信心疤的水平。爸期望可信赖搬的水平越高，需胺要测试的样本就埃越多。稗 皑可容忍错误率定版义了班在背控制被认为是有稗效的安之前澳，能容忍的与描八述的控

46、制程序的八差异数量。疤可容忍的错误率隘越高，需要测试哀的样本就越少。蔼 般注释：非统计抽傲样样本量般 败下表用于测试控懊制运行有效性时疤选择非统计抽样案样本量。测试控柏制设计（穿行测百试）不包括在本傲表中。必须在关拜键控制登记表/板测试工作表中记爸录样本选择的基跋本原理/标准，把样本测试程序和疤测试结果。搬控制类型唉控制执行的频率啊每年凹每季白每月蔼每星期胺每天叭每天多次柏很少手工绊1隘1扳1伴2半6肮8拜大部分手工八1碍1哎1岸3皑9办15笆自动白1扳1翱1绊1绊1绊1俺注释：扩大范围八测试爱 癌在一些情况下，巴应扩大样本量，埃如：稗测试的结果是否昂定的，应扩大样半本量，评估差异啊是否是机构

47、性的隘或偶然的；扒控制的重要性及埃复杂程度和判断肮的重要性；失败的风险。败 按但是，结果不能八通过测试的样本罢来推断。半审计稗人员的判断跋始终半是重要的。扮 翱注释：测试澳周期扳 般测试周期拜应考虑以下因素昂：斑控制运行的扮种类和按频率；肮控制环境的变化氨和/或在一个期哎间霸内暗的特定控制碍有复核埃；斑 跋通常，测试周期安可以是拜审计把开始日前吧1蔼个月拜之前的期间。在瓣一些情况下，不摆大可能测试年度巴控制。如果这样扮，岸审计罢小组应将这种情疤况记录在瓣审计爸工作底稿中。霸 稗注释：减少测试哀 柏样本量和测试深靶度根据期望背可信赖坝的水平及控制运拔行的频率决定。笆如果测试水平是胺减少测试，样本

48、安量至少为板1岸个，最背多奥根据统计抽样样柏本量（见上表）爱。盎测试结果应对关袄键控制运行有效稗性给出充分的保爸证。摆 百必须在关键控制唉登记表/测试工扳作表中记录样本靶选择的基本原理昂/标准，样本测扒试程序和测试结隘果。搬 阿注释：判断样本胺量办 熬在所有情况下，靶一个清晰的选择岸样本量的基本原笆理/标准应记录笆在适当的控制文傲件中。版以下情况，有必芭要脱离标准样本拔量：跋控制执行的频率捌？- 柏控制执行的频率板越少，需要越少胺的样本量来决定拌控制是否按照设颁计运行。澳控制产生的是什邦么类型的证据？艾- 绊如果执行控制的芭结果很少或没有岸证据显示控制按拔照设计爱运行凹，测试可能不能爱提供必要

49、的证据跋证明控制在运行百。扮审计把人员可能决定在稗有限的基础上使邦用更多有说服力半的证据。昂风险的等级？啊- 风险产生的百影响及可能性？癌风险影响大的区挨域依赖控制较重癌，可能需要增加傲样本，对控制环拜境提供适当的保案证。佰控制环境的有效挨性？拔- 考虑控制被盎忽略或被管理层蔼不顾的可能性。胺控制运行有效性佰的过去经验？白- 氨如果过去控制衰俺弱，应有足够多案的样本量来决定斑现在的控制是按蔼照跋设计蔼运行。巴测试的整个期间扳是由相同的员工瓣来管理该控制？柏- 考虑选择样背本时，应考虑是伴否原来执行控制盎的员工现在白已不再执行该控敖制爱，对控制的影响按有多大。唉 五、半选择样本跋 按选择样本量后

50、，跋审计巴小组需要识别选把择样本的方法，哎及将程序记录在版关键控制登记表扮/测试工作表中捌。懊 肮注释：统计抽样般 隘统计抽样的方法盎可分为简单随机爸抽样和系统抽样澳。蔼 跋简单随机抽样爱需要所有项目被奥抽到的机会是相拌等的。霸使用随笆机号码表来抽样隘。在规模中的每爱一项必须代表一氨个号码。样本量霸必须已确耙定。在表中遵循矮的方向和路径已傲确定爸，随机埃起败点已选定，就是板第一个被选的项板目。随即号码的蔼产生可在阿Microso把ft Exce按l佰中找到。罢 拔系统抽样傲可使用在一个岸样本总量爸中的物质单元或碍货币单元。岸审计岸人员需要定义抽癌样的间隔。半可将耙样本总量芭除以样本量得到艾。为

51、了防止抽样半中的潜在的偏埃好矮，建议选择几个阿随机起点。例如靶，抽样间隔可以半是伴75办，选择三个随机跋起点，每个随机隘起点开始各选择板20班个样本。为进一跋步防止偏霸好俺，伴审计板小组在选择样本霸前可以确保挨样本总量碍是随机排序的。哀 板注释：非统计抽扒样岸 氨偶然选择耙显示没有故意偏芭好包括或不包括拜规模中的某些项昂目。这是扳审计阿人员最佳估计一斑个代表样本，及扳代表性地从一份啊清单中选择交易氨。阿 袄批量选择板通过挨应用捌审计瓣程序在一套交易把中执行，如所有澳交易在一个特定八期间发生。例如拌，叭审计绊人员可能选择所坝有在三月的第一拜个星期支付的发百票。傲或者，选择所有柏发票号绊1000霸

52、至艾1050案 。为了最小化版风险，应选择挨几拔批样本。懊 蔼判断抽样袄在选择样本中使坝用拔审计啊人员的判断。哎判断选择包括选扒择高额的发票测捌试批准，最长时板间未达帐矮项，昂测试伴其按清理的力度和根案本原因。叭 罢注意非统计抽样爱结果不能通过选吧择的样本来推断啊。隘 按注释：属性抽样拜 扮属性抽样适合执鞍行控制测试版时使用绊。通常控制有效伴性是通过隘测量控制程序没盎有艾发生岸的瓣频率办来测算的拔。胺换句话说，一个俺程序与管理层描疤述的巴为了霸达到控制目标的摆差异扮的频率背。测试通常包括板“霸是/不是柏”安决定 摆柏 尽管是或不是颁被正确执行。如肮果这样，斑审计伴人员需要吧事先定义通过或扳失败

53、的标准。斑 盎如果样本的支持稗性文件丢失，耙阻碍巴适当的测试凹，可被视为一个袄错误。但是，如袄果样本是空的，奥应选择替代样本癌进行测试。八 蔼 笆注释：邦价值加权板抽样把 背 安价值加权抽样是按根据属性测试的昂理论，但用于实捌质性测试。价值扮加权抽样用于表皑达败频率的结论或者吧关凹样本总量拜中独特的稗价值。爸这种抽样技巧，绊一个抽样单元就霸是样本总量中的霸每个货币单元，跋不管样本总量板中有多少逻辑单靶元（发票的数量绊等）。暗测试是根据选择癌的靶包括货币单元板的交易胺进行的。坝 霸因此，项目越大安，被抽样选到的把机会就越大。胺使其成为一个适哎当的方法，用在爱对重大余额的正按确性形成一个意叭见。白

54、 败贷方余额及余额搬为零巴时叭对价值加权抽样班形成困难。因此坝，这些应在抽样皑前去除。另外分岸层抽样应包括这皑些去除的样本。办 跋注释：分层抽样白 敖分层是将一部分捌样本总量霸归入子蔼总量翱的过程，样本就耙从每一层中抽取办。当子哎总量安相当多样，每一奥层独立抽样是有俺利的。分层是在敖抽样前将澳样本总量巴中相类似的归成啊一个组。扒 吧 伴翱各层相互不包括案：样本总量蔼中的每一元素必傲须分到一个层中唉。各层应爸包括艾全体埃：没有败样本总量埃的元素不包括在敖其中。每一层采八用随机抽样。叭 第二十霸六条 傲笆评估测试结果柏 摆本步骤的目的是白：鞍 哎注释：测试结果扮根据测试结果得捌出与爸审计跋目的有关

55、的结论背；盎确保得出适当的邦结论时有充足的邦资料。板 一、艾记录测试结果熬 版为了提供充足的颁证据证明执行的瓣审计般工作，测试结果罢应记录在关键控袄制登记表/测试岸工作表中。蔼 半注释：测试结果绊 矮审计懊人员必须总结测隘试结果，将每一鞍步骤得出的结果芭记录在关键控制懊登记表/测试工拜作表中。在工作般表中记录的结果肮是总结性水平，般应编制充足办详细罢的邦支持性工作底稿啊，供独立审核，柏理解结论确切如颁何得出。另外，矮工作底稿应充足懊详细记录，以确矮保在需要的情况般下可以重新测试矮。皑 俺所有文件应与其挨支持性文件做好按交叉索引。摆 二、拔将测试结果与其板标准进行评估按 澳审计碍人员应根据获取哎

56、的证据得出与测瓣试目的相关的结败论，及将不满意敖的结论记录在班问题及缺陷表坝中。邦 岸注释：埃审计盎证据唉 搬审计皑证据的可靠性由懊其属性和来源决伴定。以下证据的扒可靠性的假定可凹能有用：翱书面证据比口头扒证据可靠；邦第三方产生并直挨接提供给我们的鞍证据比第三方产皑生而由跋被碍审计邦客户持有的证据叭可靠。客户产生隘并持有的证据最白不可靠；熬由哀审计跋人员产生的分析颁及实地核查的证盎据比从其他地方岸获取的证据可靠矮。安 背注释：把审计稗结论矮满意的结果拜 把碍 测试结果没有爱显示任何例外情碍况及因此指出控颁制运行有效。案 挨单独的例外情况敖 巴拌 测试发现一些办例外情况，通过按我们扩大样本测爱试

57、或其他进一步蔼调查，暗审计俺人员断定是单独叭的例外情况，及哎在背主要部分，控制斑运行有效。芭 埃不满意结果摆 敖昂 测试及随后的耙调查显示例外情阿况足够使得我们柏得出控制没有得矮到可靠运行的结挨论。哀 挨审计耙人员应考虑测试瓣结果对已获得的挨保证水平的影响袄。一个不满意的办测试结果并不一扳定需要导致降低八已获得的保证的搬水平，盎审计埃人员需要判断。扳对获得的保证的爱总体影响取决于叭：傲控制的重要性和扳是否有其他控制奥存在可以减轻失摆败；挨有多少其他不满版意的测试结果。巴注释：少数例外爱情况发现采取的耙行动佰少数敖或占比很少的矮测试项目没有达伴到测试标准矮，案审计哀人员应考虑进一佰步证据，是否这

58、埃些例外情况是单阿独的或它们是否岸给控制满意运行懊带来问题。例如班，控制例外情况矮适用整个靶样本总量芭（或只限于一个埃部门、区域或分癌部）？按注释：许多例外坝情况发现采取的袄行动敖审计肮人员发现高比例伴的例外情况，或暗一个控制运行完背全缺失的证据，板审计傲人员可能需要采碍取以上相同的步肮骤。如果很明显笆审计拌人员了解到一个拌控制存在但没有瓣完全运行，或没罢有持续运行，叭审计癌人员应考虑：胺是否发现的证据伴不能代表常规控胺制运行。这可能懊由于在一个限制背的期间或一个特案定的部分选择测跋试样本，而例外拌情况正好存在于稗其中绊而产生碍。白应避免选择没有半代表性的样本。拌是否确实控制没扮有运行或仅仅是

59、俺无法获取证据。罢在这种情况下，班可能需要扩大测笆试，包括重新执背行控制，或者寻肮找一些其它确定笆的证据，俺表明控制实际上肮是运行的但没有吧证据。耙 三、板了解绊及记录根本原因捌 爸为了了解控制例按外的属性，识别挨导致例外的原因奥很重要。根本原拜因分析使靶审计安小组能够与运营埃单位一起了解发哀现的例外情况的板原因。芭 瓣根本原因分析应敖记录在伴问题及缺陷表氨中。靶注释：根本原因耙分析稗 瓣根本原因分析的半目的捌是坝确定皑问题的来源，坝关于阿：发生了什么？为什么发生？暗有什么可以做的芭，岸防止巴它再次发生？肮 岸 拜为了执行根本原摆因分析，收集尽懊可能多的把关于发现例外情斑况的般资料颁很重要（如

60、，什背么时候发生？在岸那里发生？哪些皑控制可以防止发吧生？），肮因而，可以识别唉相关的根本原因袄。伴持续资料的收集懊，直到绊审计挨小组确信所有可班能的偶然因素都哎已识别。笆 四、安报告半问题及缺陷扳以下要素应考虑胺包括在表格中的哀每一个把审计俺点中：把陈述邦应清晰、有事实拔根据及简明。使艾读者关注问题及氨造成的影响；霸描述问题的先后扳次序，包括相关疤量化的评估（财吧务的或非财务的胺）及/或任何法巴律/唉法规、客户或品阿牌影响的详细资伴料。这可以在报半告的时候，帮助爱确定罢问题的严重性；白根本原因，描述八什么导致目前的蔼状况。这将帮助爱确保管理层制定矮的解决问题的癌行动计划把是否有效；肮审计案人