企业内部审计发现的方法

1、内部审计经典阅读索耶内部审计审计发觉的性质在审计工作中内部审计师要确定哪些情形需要采取纠正行动，那些与规范或可接收标准之间的偏离称为审计发觉。审计发觉以各种形式出现，它们可能是：应采取而实际未采取的行动；被禁止的行为；不适当的行为；令人不中意的系统；应考虑到的风险暴露。尽管有时审计发觉被视为“缺陷”，但专门多内部审计机构认为“缺陷”那个术语太过否定，实际上，在某些情况下，甚至“发觉”那个术语也被认为太具有否定意味，而诸如“情况”这类词的威胁性就小得多，也不容易引起客户的对立情绪。尽管每个组织可能有不同的称谓，但其差不多概念大体一致，审计发觉是描述往常或现在的错误，或者为专门可能发生的错误。标准

2、实务公告第2410-1号：沟通2、审计的最终沟通可能包括背景信息和总结。背景信息可用于确认被检查的部门和活动，并提供相关讲明性的信息，还能够包括来自往常审计报告的审计发觉、审计结论、审计建议，并表明报告内容是否属于打算内的审计内容，是否应有关方面的要求而编制。假如还包括总结，其内容应该全面概述审计沟通的内容。5、审计结果应包括审计观看结果、审计结论（意见）、审计建议和行动打算。6、审计观看结果是对事实的相关陈述。最终审计沟通应该包括支持内部审计师结论和建议，以及防止误解这些结论和建议的必要审计观看结果。比较次要的审计观看或建议能够通过非正式形式沟通。7、通过比较应该达到的目标和实际的做法，就能

3、够得出审计观看结果和审计建议。不管两者之间是否存在差异，内部审计师都有了编制报告的基础。假如情况符合标准，在审计沟通中确认出色的业绩可能比较恰当。审计观看和审计建议应该以下述特征为依据：标准：在进行评价或验证时应用的标准、措施和期望值（即什么是应该有的）情况：内部审计师在检查过程中发觉的事实证据（什么山确实存在）缘故：预期和实际情况之间存在差异的缘故（什么缘故有差异）阻碍：由于情况与标准不一致，组织或其他部门面临风险或暴露（差异造成的阻碍）。在确定风险或暴露的程度时，内部审计师应该考虑其审计发觉和审计建议对组织财务报表可能产生的阻碍。审计观看结果和审计建议还能够包括审计客户的业绩、相关问题和为

4、在其他方面反映的辅助信息。关于现行的审计报告，在实务公告第2420-1号中，对沟通标准的质量有如下陈述：1、客观的沟通具有实事求是、不偏不倚、不歪曲事实的特点，所包括的审计发觉、审计结论和审计建议应该没有偏见。2、清除的沟通是指容易理解并富有逻辑性。通过幸免使用不必要的技术词汇和提供充分的支持性信息，能够使其更清晰。3、简明扼要的沟通能一针见血，幸免不必要的细节。他们尽可能最精辟的语言完整地表达思想。4、富有建设性的沟通是指沟通的内容与沟通时的态度都对组织有所关心，并促进组织进行必要的改进工作。5、及时的沟通是指没有延误及时讨论，以确保采取及时有效的行动。改进建议内部审计师也可能遇到如下事务或

5、情况，它们可能本质上没有错，但能够被改进。为从未收到物资付款绝对是错误的，假如涉及的金额足够大，显然这是个值得报告的审计发觉。另一方面，在内部审计师无法指出处理收款过程存在错误的情况下，能够进一步简化的收货单格式不应被视为缺陷，因而也不是审计发觉。在区分审计发觉和改进建议时，内部审计师一定要弄清晰该情况是违反了可同意的标准，依旧它是能够同意的但由于新知识的出现而能够进一步改进的。两者之间的分界并非总是专门容易分清的。运营经理可能会试图讲服内部审计师，即个不审计发觉仅表明有机会在其他方面将情况改善得令人中意。然而内部审计师则可能视之为一个缺陷而当作一项审计发觉。作出决定是一项专业推断，而推断权可

6、不能让步给运营部门的治理人员。审计发觉要求采取纠正活动，而关因此否采取行动运营经理是无权选择的。在另一方面，改进某种情况（在该情况下并不违反现有的规则或标准）的一项建议则是另一回事了。在这种情况下，经理有权决定是否采纳该项建议。值得报告的审计发觉并非内部审计师确认的每一项缺点都应当报告，有一些缺点是次要的和不值得治理层注意的。所有制的报告的审计发觉有如下特征：足够重要，值得报告给治理层；能用事实而非推断来证明，并有充分、有力和相关的证据支持；客观地提出，不带任何偏见或个人成见；与所审计的事项有关；有足够的讲服力，促使他们采取行动去纠正不足之处。显然这种特征属于主观上的解释。被一个人认为是重要的

7、偏差，可能会被其他人认为是无关紧要的。像客观性、讲服力、合理性和逻辑性如此的词，关于不同的人而言，有着不同的含义。测试的方法确实是可能在同样的或类似的情况下，一个明智的、慎重的人是如何评价这些缺点的。当内部审计师在评价这类缺陷情况时，他们必须问自己：“假如这是我所在的组织或机构，同时我是那个机构的总裁或总监，我应该如何样评价如此的情况？”提出审计发觉的方法如何在重要的、值得报告的审计发觉中陈述事实和细节是一种后天性技能，它需要基于经验上的推断。某些外行人看来专门严峻的缺陷，在专业内部审计师眼里可能只是微不足道的差错。发觉较小的差错相对比较容易。专门少能够做到完美，而且代价通常太大。为了获得最后

8、5%的纯度所要付出的努力可能远远超过先前95%的努力。内部审计师必须现实一些，作出推断和结论时公平一些。他们必须把良好的业务感受应用到审计发觉中去。在提出和报告审计发觉时，内部审计师应考虑以下因素：对治理层的决策作“事后诸葛亮”式的评价是不公平和不切实际的。内部审计师应考虑到缺陷出现时所处的环境。治理层决策时一般是基于当时所掌握的情况。内部审计师不应仅仅因为他们对某项决策有异议就批判该决策，也不要因为审计师掌握了一些决策者无法得到的新信息而对决策提出批判。内部审计师不应以审计推断代替治理层的推断。提供证据的责任在于内部审计师，而非客户。假如一个审计发觉无法提供充分证据，使客观、理性的人信服，那

9、么这种审计发觉是不值得报告的。内部审计师专门自然关注其个人业绩的提高，但审计师的业绩不应靠报告中的批判来决定，因为它不一定百分之百的准确。内部审计师应当改进审计发觉以应对那些提出质疑的人。内部审计师应认真审查他们的审计发觉，以防出现可能的瑕疵和不可靠的推理。像其他坚持自己观点的人一样，内部审计师也希望是的解释合理化以支持审计发觉。花了大量时刻和努力之后，内部审计师往往想保住这些付出，尽力使审计发觉能经得起各种挑剔的审问，但实际上有些审计发觉可能经不起时刻的考验和严格的质问。增加价值在不同的情况下，增加价值那个概念都有新的和专门的含义。内部审计的最新定义中队增加价值有详细的论述。被认为不能增加价

10、值的部门存在被缩小规模甚至被撤销的危险。内部审计师增加价值的一种方法是确保他们明确提出的审计发觉和审计建议对组织有正面作用。内部审计师不仅要确定他们的工作对组织的目标和成功有贡献，还必须确信这些贡献被他人所理解和重视。通过前端检查所得出的审计发觉专门可能更有益处。假如内部审计师能够在新的计算机化存货跟踪系统设计完成并运行之前（而非之后）发觉其潜在的操纵问题，组织将获得更大好处。能产生最大价值的审计发觉通常能够释放出技术的能量，促进积极的变化，以及知名以后的方向，它们关心组织向前进展并实现目标。合理的审计发觉能带来实实在在的经济利益和服务改善，或者能改善组织结构和业务流程。在上述两种情况下，内部

11、审计师都能够树立其作为增加价值者而不是资源消耗者的形象。在真个审计发觉的过程中，对内部审计师而言，始终着眼于提供高价值的活动和服务是专门重要的。重要性程度世界上没有两个完全一样的审计发觉。每一个审计发觉代表特定程度的实际或潜在的损失或风险。因此内部审计师在将审计报告提交治理层前应认真考虑该缺陷可能造成或差不多造成损害的程度。通常审计发觉分成三类：无关紧要的、次要的和重要的。无关紧要的审计发觉一项无关紧要的审计发觉例如所有组织都经历过的抄写工作中的笔误，并不能让人觉得需要采取正式的行动。事实上，在正式的审计报告中写上这种审计发觉可能会起到反作用，因为这会分散内部审计师查找重要审计发觉的精力，而且

12、这还会暗示着内部审计师没有能力分清一个小斑点于一大片污迹之间的区不。此外，这还会给人留下一个不良的印象：内部审计师是个吹毛求疵者。关于无关紧要的审计发觉，我们既不应掩饰，也不应忽视。以下是能够同意的做法：与该事项的负责人进行讨论；确定该情况已得到纠正在工作底稿中记录该问题不将该细微的偏离写入正式的内部审计报告。在那个地点并不是建议所有偶然的笔误都不用报告。假如这些错误属于严峻问题的征兆，进行报告则是适当的。这些错误可能表明职员缺乏培训、监管不到位和书面指引不够清晰等问题。在这些情况下，这些操纵缺陷构成了审计发觉。偶然的错误有时证明缺陷的存在，需要引起治理层的重视。次要的审计发觉次要的审计发觉需

13、要报告，因为它比偶然的人为错误严峻。假如不加以纠正，它会接着下去或造成坏的阻碍；尽管它可能可不能阻碍组织要紧经营目标的实现，但其重要性足以引起治理层的注意。有些次要的审计发觉最好以致治理层函的形式报告。要紧的审计发觉要紧的审计发觉是指那些阻碍组织或组织内部门实现其重要目标的一种发觉。次要的与要紧的审计发觉之间的界线可能变得特不细微，在辨不两者时需要专门好的审计推断。但假如提供合理的推断标准，内部审计师关于审计发觉的分类就能站得住脚。由于涉及审计推断问题，一项发觉是属于要紧的依旧次要的，最后决定权在内部审计师手里。该决定权不能让渡给治理层。审计发觉的要素内部审计师并非无所不知，也不能期待他们洞悉

14、所审计的一切。然而，内部审计师应当对审计发觉是否值得报告才行，因为他们是在质疑现状的正确性，他们需要找出那些不符合可同意经营标准的系统或者业务。内部审计师应该能够同意挑战，因为他们应该比其他人更加了解审计发觉。内部审计师发觉的事实应是无可辩驳的，他们采纳的标准应是能够同意的，他们的逻辑应是令人信服的。行动正确与否，最好的衡量方法是将其与可同意标准进行比较，审计发觉的提出也是一样。假如所提出的审计发觉符合所有可同意的标准，它确实是符合逻辑合理和有讲服力的，它能促使人们采取纠正行动。假如所报告的审计发觉缺少某些东西，该发觉可能会被质疑，导致极不情愿地采取纠正行动，甚至没有采取纠正行动。绝大多数值得

15、报告的审计发觉包括特定要素：背景、标准、情况、缘故、阻碍、结果和建议。不管如何，严格包含这些要素的所有审计发觉，都为采取纠正行动提供了强有力的依据，同时它会想方设法证明确实存在问题并提出解决方法。在个不情况下，缘故这一要素可能不一定合理，因为某个问题可能是特定情况下的结果。背景要让阅读者完全理解为何内部审计师认为该审计发觉应该报告，就需要提供足够的与事实相关的总体信息。背景应能够确定参与者和组织的关系，甚至在某种程度上，涉及到了目的和目标。他应是从总体上描述经营活动所处的周围环境和情况的严峻性，促使内部审计师应该及时报告该审计发觉。标准在标准概念中，审计发觉的提出必须包括两个要紧要素：目标和目

16、的，专门可能包括经营标准，它表明治理层希望被审计的经营活动所要实现的目标和目的；完成的质量。不理解一项经营活动的目的，就像被蒙住眼睛的人去鉴不一件雕塑一样。尽管可能对触摸到的部分有一些认识，但没有总体的概念。在提出审计发觉时，除了各要素外，内部审计师还应该清晰地看到并理解全局情况。在对一项活动进行审计时，目标地正确性、效率性、经济性和效果性都要涉及，包括：所有的资源都得到最大程度的利用，白费要减至最少。为了确定如何正确、如何有效率、如何经济以及如何有效果，内部审计时必须有个标尺，即衡量标准。他们必须能够确认合理的标准或者业绩标准。在他们提出批判前，必须要明白什么是对的。经营标准可能差不多存在于

17、组织的一些领域内，但内部审计师在采纳该标准前，应评估其有效性，应对制定标准的基础加以研究。内部审计师应该将该标准与其他同类组织的标准进行比较，以检查其在实现组织目标方面的合理性。另一方面，还可能存在治理层没有建立标准的情况，在此情况下，内部审计师能够遵循以下原则：应有的职业审慎包括评价已有的经营标准，确定这些标准是否能够同意，是否能够达到。当这些标准模糊时，内部审计时应寻求权威性解释。假如内部审计师需要解释或选择经营标准，应该与客户就衡量经营业绩所需标准达成一致。标准可能来自于自行制定的、同行业的、历史的，或者法律规定的标准。此外专家意见、成本核算研究也能够提供标准。标准与程序和实务紧密相关。

18、程序是指治理层的指引，通常以书面形式存在，而实务则是做事的方法，这种方法可能对也可能错/部完善的程序可能会导致不能令人中意的状况，而不良的实务则可能会违背合理的程序。在提出审计发觉时，内部审计师应了解事物和程序的现行状况和理想状况分不是如何样的。不完善程序的存在或者正确程序的缺乏，可能是需要采取纠正行动的深层次缘故。然而将其清晰表达出来而且不令人费解需要相当的技巧。内部审计师应当只报告最重要的部分，而省略不必要的细节。情况那个术语指的是由内部审计师通过观看、询问、分析、复核和调查所得到的事实。情况是审计发觉的核心，其信息应该是充分、可靠和相关的，并应能够经得起任何质疑。它必须能够反映被检查的所

19、有人或系统的情况，或者在个不情况下反映一个重大的缺项。同时，客户应认同所反映的事实，尽管他们可能对内部审计师所抨击事项的严峻性有所争议。客户可能会不同意审计发觉的结论或解释，但绝不能对作出审计结论依据的审计事实有异议。假如审计客户能能够合理讲明内部审计师得到的事实并不准确，该发觉就可能不能合理、准确地提出。因此应及早与那些了解事实的人讨论这些情况，关于事实的任何争议都应该在该发觉被报告前得到解决。内部审计师必须保持“看问题准确”的名声，不辜负如下评论：“假如内部审计师讲了，它确实是确实。”缘故全然的缘故解释什么缘故存在偏离标准的偏差、目标为何没有实现以及目的为何没有达到。找出原意是解决问题的关

20、键。每一项与期望值的偏离都能够以审计发觉来描述，但只有在偏离被识不以及缘故被找出的情况下，问题才能得到解决。确定缘故确实是解决问题的一项工作，过程包括如下典型步骤：收集事实；确定问题，查找偏离情况；列出问题的详细情况：什么是偏离？偏离在那儿？何时发生？有多重要？它是由于某些行为引起的依旧由于不作为引起的？测试可能的缘故，即那些能够完全解释偏离、每次都出现同时能够解释偏离方向的方方面面的缘故，要找出那些全然性的缘故，不能仅仅停留在表面上；陈述采取潜在纠正行动的目标；将可选择的行动与上述目标进行比较，初步选出最优的；考虑所选择的纠正行动所带来的不利阻碍；多考虑一下“假如将会”；是否存在正在改善的情

21、况；建议采取操纵措施，以保证最佳纠正行动确实被执行。阻碍阻碍回答了“将会如何样”这一问题。假设所有事实如陈述的一样，将会如何样？谁或什么受到了损害，损害有多严峻？结果是如何样的？这些不利的结果不仅仅是与程序间的一些偏离，而重要的阻碍是讲服客户或更高治理层的必要元素，向他们证明这些不合理的现状，假如同意它们接着下去的话，将会导致严峻的损害，而且所造成的损失将超过纠正该问题所应采取必要行动的成本。在经济性、效率性的审计发觉中，效果常常以金额来衡量。在有效性审计发觉中阻碍通常表示无法实现希望得到的或法定的最后结果。阻碍应有讲服力，它对审计发觉来讲是不可缺少的。假如它不能让治理层充分信服，那纠正行动被

22、采纳的机会将会专门微小。结论结论必须有事实来支持，但结论是专业推断，而非细节的复述。通过提出他们的审计结论，内部审计师能够清晰地展示其对组织的专门的贡献。当内部审计师能一贯地提出审计结论，这些结论引致新的、更高水平的业绩，降低成本和提高产品质量，消除不必要的工作，充分发挥技术的力量，提升顾客中意度，改善服务，增强组织的竞争力，那么内部审计的作用是显而易见的。结论能够加强内部审计师对组织以及被审计部门于整个企业之间的关系业务的理解。结论能够并应该提出潜在纠正行动的方式，指出纠正缺陷的成本将低于其带来的收益，在阻碍中揭示损失程度的动身点是为了采取纠正行动。建议建议是描述行动的方式，治理层可能考虑借

23、以调整那些已趋于错误的情况和强化操纵系统的弱点。建议应积极有效并尽可能详尽，还应明确由谁去执行。然而，审计建议也埋伏着危险。假如治理层被告知，内部审计师建议的方向确实是应该着手做的情况，那所采取的行动可能会使内部审计师陷入困境。确认不能令人中意的情况是内部审计师的责任，而纠正该情况是治理层的职责。更好的做法是内部审计师提出纠正行动的措施共治理层参考。审计建议不应盲目的采纳，而是应和其他可能的措施一起进行考虑。内部审计师不能命令治理层采取措施，到最后，是治理层而非内部审计师对纠正行动负责。最好的解决审计发觉的方法是在书面审计报告完成往常，与运营部门治理层进行讨论。这时，双方应就审计事实和纠正错误

24、所应采取的某些行动达成一致意见。其后正式的审计报告中应包含如下陈述：“我们与治理层讨论了有关审计发觉，结果是我们相信旨在纠正上市情况的行动已得到考虑（或者已采取纠正上述情况的行动）”。这种方法并没有造成内部审计师任何损失，它还能在内部审计师与客户之间建立起一种解决问题的伙伴关系。我们坚信，和那些强调客户失职、巴内部审计师的建议当作圣旨的报告公布方式相比，以下这种审计建议的报告形式更为可取：“我们与治理层讨论了我们的审计发觉和结论。结果治理层采取措施，治理层中意的是，该措施将产生额外收益，同时降低成本；此外治理层还 ”讨论审计发觉在提出审计发觉和认真考虑审计建议时，内部审计师应意识到自己也可能犯

25、错。他们可能么有正确地解释情况，或者可能没有专门阅读相关程序。为了检查对审计发觉的理解是否正确，内部审计师应与那些最有可能了解这些事实的人进行讨论。内部审计师还应该获得客户的解释并将其记录于工作底稿。与建议行动的结果有关的经理和富有经验的职员的意见特不受欢迎。有经验的内部审计师会询问组织内见多识广的人，即那些对审计所质疑的业务有充分了解的人。内部审计师会询问他们“那个地点有个问题，该情况需要纠正或改善。假如我们建议采取这项行动，将会如何样？”许多经验丰富的内部审计师有各种方式来提出这类询问，在得到有价值意见同时幸免使自己陷入困境。审计发觉的记录期望其审计发觉的所有要素都已得到充分考虑的内部审计

26、师，可能希望依靠一种表格或者其他方式来保留他们的工作成果。该表格也能给审计主管提供一种途径，用以检查并确定审计师在形成一项正确审计发觉的过程中所必须的步骤是否都得到实施。审计发觉记录范例一组织：审计发觉的记录号：工作底稿索引号：情况：标准：上次检查有同样的发觉：是 否程序或实务：选取样本的方法：总体规模：样本量：偏离数量：占样本的%：缘故：阻碍：建议：纠正行动：讨论情况：姓名职务部门日期意见1、2、3、4、内部审计师：日期：审计主管：日期： 该范例展示了有关审计发觉的内部审计活动记录，它提供了这类表格的一个例子。它有助于：确定应负责任的组织；为特定的审计发觉提供一个识不号码，以及为支持性的工作

27、底稿提供索引；对情况进行简要陈述；确定在评价情况时所应用的标准；指出该审计发觉是否在以往的审计工作中提出过；引用审计发觉所涉及的有关政策、程序，或者工作指南；概述审计测试情况以及所发觉的偏离数量；解释缘故，即为何会出现偏离；陈述建议采取的纠正行动或已采取的纠正行动；记录与客户职员讨论的情况，并注明他们的意见，假如有的话，还要记录他们打算采取行动的方式。审计发觉的记录表格具有灵活性，能够对大量审计发觉的记录进行整理和重新分类，使得编制正式审计报告更为容易。这种表格也提供了现成的讨论指引，因为它将描述问题所需要的绝大部分内容集中在一张表上。，它还起到向导的作用，能够提醒内部审计师一项充分的审计发觉

28、需要收集的全部资料有哪些。审计发觉的记录表格应在审计现场完成，以便任何错漏都能在不需要重返现场的情况下得到纠正。除了作为工作底稿资料外，一些组织已扩展了审计发觉的记录表格的作用。他们通过它将审计发觉通告给客户并猎取客户的书面意见。通过这种方法，争议更容易得到解决，而对纠正行动的统一情况也能留下一定的记录。客户的反应和差不多采取或承诺采取的行动的记录包含于审计发觉记录表格的附件中。审计发觉记录范例二对象：负责主管：内部审计师：审计用时：工作底稿索引号：负责范围：总体风险：低审计结论：可作典范的中令人中意的高良好，但需要改善不能令人中意的审计意见：重要的审计建议：治理层的回应： 同意所有建议将在（

29、时刻）实施 不同意治理层和内部审计打算的跟踪检查： 内部审计师将会检查相关修改操纵有些组织会对每一项重要的审计发觉签发一份便函以便通报情况、标准、缘故、效果，以及治理层的回应。如审计发觉概要被审计对象：审计内容：报告主题：情况：标准：缘故：阻碍：治理层回应：审计经理：日期：这有以下好处：高级治理层通过一种快捷途径以便了解现时存在的问题以及为解决问题已采取或需要采取的行动；在现场办公的经理被告知存在的病可能阻碍他们的问题，如此内部审计师在耗费同等资源情况下能够阻碍到多个领域；对这些问题概要的定期分析能够揭示其进展趋势。当引起高级治理层注意时，他们将会采取全面行动去组织不力趋势；在编制审计报告前编

30、写概要的做法，能够关心内部审计师查明在形成审计发觉过程中的任何不足。精心编写概要能减轻后面编制最终审计报告的工作。对概要的集中检查有助于维持用于改进内部审计的质量保证程序。沟通技巧有关问题必须用简洁、准确的语言清晰的阐述，即使是存在于那些审计发觉的记录中的尖端陈述也应认真编写。如可能，审计发觉的记录应尽可量用积极的语气进行描述，幸免使用那些煽动情绪的或者引起防备性反应的措辞。同时，内部审计师必须处理好敏感的、消极的问题。不管内部审计师的沟通能力或者审计发觉的记录的目的如何，严峻的操纵问题、舞弊，或者不合法行为总被当作坏消息。上级复核上级复核仍然是对审计师提出专业审计发觉的过程进行操纵的要紧措施

31、。每一项值得报告的审计发觉都应该得到最认确实上级复核，不管是手工方式依旧电子方式，所进行的检查应由上级主管手工签名或电子签名以证明其得到批准。没有任何东西像经不起质疑的不适当审计发觉那样能降低内部审计活动的可信性，一向审计发觉在概念上讲是一项批判。那些被批判的的人出于与生俱来的的防备能力通常会对批判进行反击。因此审计发觉应无可指责。审计主管发觉带着下述问题的是审计发觉可达到预期结果。审计发觉的人和要素是否被遗漏？什么缘故？能够做些什么工作的来找出被遗漏的要素？这些缺陷是否由不足的陈述或者不完整的审计工作所造成？这些要素是否被混淆以至阻碍了清晰性？是否以个人意见代替了事实？缘故与阻碍是否混淆了？

32、建议是否仅是事实的简单叙述？当有关程序未被执行时，审计建议是否仅仅是一个缺乏讲服力的讲明“程序应该执行”的执行？依旧它们阐明了什么缘故程序未被执行？换句话讲，建议采纳更清晰的指引、更认确实检查和更持久的监控，或者其它迅速地确认偏离程序情况的操纵措施是否更有用？ 审计标准是否合理、清晰、令人信服或客观？是否有助于治理层目标的实现？他们是否有积极意义？有关缘故的信息是否完整？或者专门肤浅？缘故是一个符合逻辑的结论吗？它是否触及问题的核心？该缘故是否每一次都会产生同样的不利结果？缘故是表面的依旧全然的？阻碍是否被人为夸大？是否符合逻辑？是否有所掩饰？它是否被充分的量化？无形的阻碍是否得到足够的认识和

33、充分的理解？治理层是否认同报告的阻碍？假如没有，他们的态度如何？是否存在能够缓解的情况？该情况会使审计发觉变得失去价值？这些情况是否能被消除？审计建议是否有用和详细？或者它仅仅是讲改善操纵？它是否过于苛求、强调按照内部审计师要求的处事方式进行？它是否仅仅着眼于过去而忽略了以后？它是否是惩处性而非建设性的？它是否与缘故相吻合？它是否包含了检测有关情况以免产生不利阻碍的一套方法？描述的方法是否符合标准的规定？报告审计发觉审计发觉的记录和概要除了用于记录审计发觉和通报客户外，还有其它用处。实际上，一些内部审计机构已将这些总结性资料作为内部审计报告的要紧基础。他们将这些资料按主题、地点，或被审计单位的

34、逻辑顺序分类汇总，然后将结果以一页纸的篇幅事实概要形式提交治理层。该摘要简要的描述审计范围，阐述了总体的审计意见，并提供内部审计师对所审计的经营业务作出的评价。此外实施摘要还扼要地列举了值得报告的审计发觉，而那些附件证明性资料的发觉体现在审计发觉的记录或者概要中。后续审计关于内部审计师对后续审计的责任，有不同的观点，有些作者和业内人士认为，内部审计师确认有缺陷的情况，而由治理层采取纠正行动并确定其充分性和监督其有效性。然而，这种观点并不符合标准引言中对内部审计责任的概述：内部审计是一种独立、客观的保证和咨询活动，它的目的是为组织增加价值并提高组织的运作效率。上述描述含蓄地表明了确定和报告组织中

35、已存在和潜在风险的责任。了解缺陷和风险的内部审计师应将这些问题报告给适当层次的治理层。标准：首席审计执行官应按规定开展跟踪检查，以监督、保证治理行为得到有效落实，或高级治理层已同意了不采取行动所带来的风险。2、内部审计师所进行的后续审计是指它们用以确认治理层针对报告中的审计发觉和建议所采取的行动是否充分、有效和及时的工作过程。这些发觉和建议也包括由外部审计师和其他人员所提出的。3、后续审计的责任应在内部审计机构的书面章程中得到明确。首席审计执行官应确定后续审计的性质、时刻和范围。在确定合适的后续审计程序时应考虑以下因素：所报告的审计发觉和建议的重要性；纠正报告问题需要的努力程度和费用；假如纠正

36、措施失败，可能会产生的阻碍；纠正措施的复杂性；所涉及的时刻期限。某项已被报告同时治理层也认为是合理的缺陷，已清晰地描述了对组织产生的风险。在缺陷被纠正之前，风险仍然存在。假如在缺陷被纠正或者高级治理层或董事会声明他们将同意风险前失去对该风险的监控，那么内部审计师举会被认为没有尽责。另一种反对内部审计师对纠正行动进行后续审计的观点确实是他们是行政职员而非一线职员。上述规定特不明确，内部审计师不应履行一线部门的职责。然而对纠正行动进行后续审计并非一线部门的责任，它属于评价一线部门行为的行政部门的责任。内部审计师通过评估一线部门在降低组织风险方面的业绩来履行自己的责任。纠正行动的充分性由于审计发觉和

37、需要采取的纠正行动在形式和规模上各有不同，因此，就无法提供一套在所有情况下对纠正行动都适合的严格规则。总体上来讲纠正行动应是：回应被报告的缺陷；完整地纠正缺陷的所有要紧部分；保持纠正行动的有效性；得到监督以防止缺陷重现。权力和审计地位假如没有相应的权力，就无法履行其责任。假如内部审计师没有得到授权，那么其评估纠正行动充分性和有效性的审计责任就变得毫无意义。除非高级治理层清晰的授权内部审计师去推断实际的或打算的纠正行动是否能纠正被报告的缺陷，否则内部审计师会听到来自运营经理的异议：我中意目前的情况，你凭什么讲三道四？这些权力应清晰地写进内部审计章程，所有的运营经理都应完全明白，纠正行动是真实的和

38、必须实施的，内部审计师将有权检查这些行动，并在行动不能被纠正的情况下进行报告。然而讲服比告诉更有价值，而且讲服行动应该早日介入。在预备会上，内部审计时应使客户相信：内部审计师所看到的每一项审计发觉都会在第一时刻告诉他们；所有审计发觉和证明材料都将得到充分的讨论；在问题报告之前，关于该事实的任何疑问都将得到解决；客户能够对审计发觉提出相反的立场客户完全有机会去采取纠正行动。在最终审计报告中，应特不注明热后粘合一开始或完成的纠正行动。陈述审计发觉要恰如其分，不要过多强调或粉饰。此药的审计发觉只要被纠正了，就全然无需再进行正式的报告。索耶内部审计-风险评估谁运用风险评估治理层把风险评估作为保证组织取

39、得成功的程序的组成部分。该事实在COSO研究报告中有清晰的论述。治理层也把风险评估作为设计新系统的一个重要工具。不管是人工或是计算机化的新系统差不多上用来实现已认可的目标的。设计和开发程序的一个重要任务确实是对所有的阻碍系统实现目标的事件和行为进行确认。目前的法律要求有一定规模银行做年度的风险评估，以此作为编制关于内部操纵系统状况的公开声明的基础，并要求银行的注册会计师验证该声明的准确性。自1979年以来，人们试图要求所有依据1934年证券交易法报告的组织提供此类声明。专门可能，通过法律或法规会使这种提供报告的要求在越来越多的企业和公共部门成为强制性要求。注册会计师必须使风险评估遵照他们的准则

40、进行。美国注册会计师协会内部审计准则公告第55号讨论了会计师在获得对操纵系统的了解方面的责任。会计师在打算他们的审计工作时也要进行风险评估。未达到审计目标的风险是什么？该运用哪种审计测试方法来保证审计目标的实现？一类风险是选择了错误的测试方法，另一类风险是采纳不正确的抽样打算和技术，等等。毫无疑问，内部审计时从这一专业出现之日起就一直在从事风险评估工作，他们总是问：“什么地点出了问题？”对潜在错误或违规行为进行识不已是一项绝对的要求。只有找到风险，才能确定应采纳什么样的操纵程序。怎么讲，假如没有风险，那么还有操纵吗？除非风险差不多被识不和评估，否则，内部审计师如何样才能确定在某种情况下一项特定

41、的操纵是否是一项有效的操纵？在许多组织中，内部审计机构在形成治理层关于操纵系统状况年度声明的风险评估重视关键的执行者。在该声明的陈述中必须考虑内部审计师正在进行的工作。有些组织要求实施特定的审计，以监督在当年发觉的弱点在南中报告日已得到纠正。打算风险评估和暴露制定审计打算要包括对组织风险和暴露程度的考虑。在战略打算中，审计打算应该评估对风险优先顺序和暴露的要素的关注程度，因此，风险治理过程的结果阻碍审计领域。该报告包括审计活动的详细方法如审计工作时刻表的内容、审计的方法、审计的实施、报告内容以及对“降低风险的内部操纵”的评估。扩展风险导向审计风险导向审计的概念传统上是以对操纵的观看和分析开始的

42、，接着接着对与经营相关的风险进行确认，最后确认审计活动是否与组织的目标一致。Mc Namee和Selim认为这种方法是错误的。因为内部审计首先需要为目标服务，目标是经营的基础，同时不是一成不变的，必须灵活同时是或应当是着眼于以后的。他们提出了首先考虑建立组织目标的方法，接着通过识不、衡量和优先排序等方法评估风险，最后通过下列方法进行风险治理：操纵和同意风险规避或分散风险向其他部门分配和转移风险治理风险的概念日益被人们所同意，因为风险在所有各类运营中不可幸免，需要通过活动的多重选择去容纳风险，这些风险包括：操纵组织活动从而在规模和数量上降低风险；通过容许关于进步和利润所必须的慎重的风险去同意风险

43、；规避风险涉及到对业务程序的重新设计从而改变风险模式；分散风险通过将总体风险分散到许多分离的经营活动当中，一个实例是对关键材料选用多个供应商；通过运用合同以及安排第三方同意部分或所有风险来分配和转移风险，如保险。从风险确认扩展到风险治理确实是以后的进展潮流。没有风险治理程序的组织本章的大部分论述了风险的两个方面：第一，内部审计师为了编制审计打算应该检查被审计领域里的风险；第二，假如存在风险治理方案，作为审计的一部分，内部审计师应该对其进行评估。实务公告2100-4指出：内部审计在没有风险治理程序的组织中的作用，该公告建议内部审计师：关心组织识不、评估和实施风险治理以及董事会关注的问题，确定如何

44、通过风险治理和操纵来解决这些问题。识不治理层和董事会关注的问题，并确定如何通过风险治理程序来解决这些问题。引起组织对缺乏风险治理程序的注意，并对建立风险治理程序提出建议。了解治理层和董事会对内部审计在建立风险治理程序方面提供关心的期望。了解治理层关于内部审计师在建立风险评估程序中的作用的看法。假如被要求，能够在风险治理程序的开发中发挥主动作用，但应当防备对自身独立性的损害。幸免成为“风险的所有者”。首席审计执行官必须牢记：这种关心不应超出正常的保证和咨询业务的范围。审计风险及其在财务报表审计中的风险要素审计师和治理层时常置疑风险的程度和概率。程度是指风险暴露的数额，概率是发生的可能性。治理特征

45、治理决策由一个人操纵；治理层对财务报告采取极端干预的态度；治理层流淌比较快；治理层特不强调满足赢利项目；治理层在企业界的声誉较差。经营和行业特征组织的获利能力与行业相比是不适当或不一致的；组织的经营结果对不同的经济因素比较敏感；组织处于衰退行业之中；组织的结构被分散后没有适当的监控活动；组织可能不是持续经营的。业务特征有许多引起争议的或难于处理的会计问题；有重要的交易或余额难以审计；有重大和异常的关联方交易；在审计期间发觉了存在重要误报的前期历史记录或没有可利用的前期历史记录。诸如此类的因素不应被孤立地去看待，例如，规模、复杂性以及组织的所有权将会加强或减缓这些因素。审计师对财务报表层次审计风

46、险的评价结论将阻碍：业务人员的调配；要求的监管；全面的审计策略；专业怀疑的态度。例如在审计师认为审计风险增加了的情况下，可能会在期中和年终工作中调配更多的有经验的人员运用更为实质的程序。风险清单Allstate的内部审计机构开发了一种“业务风险清单”，它的用处是：提供一个框架，用来识不成为公司最大威胁的风险，使这些风险在打算中得以考虑；促进对业务风险的讨论；构建一个关心组织持续识不新的风险的机制，用来监控一段时刻内在业务风险中发生的变化；使治理和内部审计能采取积极主动地点式来应对风险；增加审计人员的与风险有关的专门知识。风险清单的制定必须通过四个步骤：识不能够同意的最高风险；合并和组织风险；制

47、定一个标准的风险清单和风险术语表；精简风险清单。风险清单由两个差不多部分组成。外部风险包括：环境、灾难、金融市场、风险评级；内部风险包括：人力资源、正直、信息和技术、会计和报告、财务。然后，审计人员为每一个组织单元和共享的服务制定具体的风险清单，并确定那些成为组织最大威胁的风险。接着，审计人员依照风险的严峻性和可能性，在一个三点标尺上对风险评级，即高值、中间值和最低值。那些最高级不的风险被标上“关键”风险，“威胁”和“关键”风险的结合点被最先审计，并随之受到治理层的重视。最后，审计人员为外部风险制定一系列的“风险触发器”，同时为内部风险制定一个“风险触发器”。假定对触发器和关键风险采纳矩阵方法

48、，审计师能够据此制定审查的重要区域。风险的差不多问题组织总是尽力对风险保持更多的操纵。因此组织提出许多差不多被确认为是最重要的问题，并对涉及风险程度比较高的那些领域进行审计，以保持对风险的操纵。当治理层和内部审计师认识到随着业务时刻的改变，风险差不多发生了显著改变时，这点就变得特不重要。例如，治理层差不多日益关注市场风险和对组织产品的需求。在互联网时代，电子商务以及由电子商务构成的电子支付的高风险二者必居其一。没有认识到这种重大变化可能对组织产生灾难性的损害。组织一直在对风险评估的不同方法进行评价。下列问题（风险因素）差不多被运用于风险评估中：在先前的审计中有重大发觉吗？上次审计的范围是什么？

49、上次审计是在多长时刻进行的？系统中差不多发生了什么变化？人事安排差不多发生了什么变化？该实体提供的产品和服务是否发生了什么变化？操纵的资产的实际价值是多少？实体的交易金额是多少？该实体对母公司的重要性是什么？该实体资产的流淌性如何？该实体的职责分离如何？该实体中的信息的敏感性如何？实现目标或其他业务标准的压力如何？法律法规是如何阻碍组织的？职员遭受非道德行为的潜在程度如何？发挥该实体作用要求什么样的知识？职员与该实体的顾客联系的频度？该实体经营的复杂性如何？一些组织差不多上差不多建立了问题清单，其中的问题是内部审计师在其打算中必须解决的。还有一些组织对每一个问题差不多设置了定量的答案供审计师使

50、用。以这些答案为基础，能够得出一个分数，这可能是一个简单的总和，直至以专家系统为基础的加权计算结果。一旦确定了分数，内部审计师就能依据相关分数确定审计打算。对内部审计师来讲，不管采纳哪种方法，相关于预测值来评估审计结果差不多上十分重要的。Bell加拿大的风险评估策略Bell加拿大差不多把风险评估用作其审计打算程序的一个不可分割的部分，提出了一种关心内部审计师确定在每一种被审计的作业中所暴露的风险种类或程度的工具。每一种审计作业被分成“关键”的子程序、功能或活动。这些项目构成了风险矩阵的一个轴。在另一个轴上，内部审计师列举了公司的10种普遍的业务风险。在每个单元中，内部审计师用一个简单的评分系统

51、：“3”表是发生的概率高、“2”表示发生的概率中等、“1”表示发生的概率低。业务风险阻碍1、错误的财务记录财务报表和财务治理记录，记账、计价类型或时刻2、不可同意的会计准则与公认会计准则不一致的程序或对环境的不适应3、业务中断对提供服务或功能的能力的重大损害4、政府责备或司法诉讼由司法、监管或政府机关给予的处罚5、过高的成本能够幸免或减少的任何花费、资本或支出6、收入不足收入或薪酬的丧失、市场份额的减少7、资产的毁损或丢失工具、设备、材料、现金价值丢失或对资金或资料的清偿8、不利竞争条件或公众、顾客不中意不能保持与市场需求同步并进或对竞争挑战有效反应9、舞弊与利益冲突对政策、条例或道德的蓄意滥

52、用或对诚信基础的侵害10 、错误的治理政策或决策用于决策的信息不完整，造成不适当的打算、组织、指导等如此内部审计师就能够专注于那些具有最高程度的固有风险的目标上。他能够对每一个公司程序提出一个风险分数，同时因此在那种指南中指出审计活动的方向。然而应当评估风险领域关于它们对组织的功能和健康运行的重要性。因此，对一个高风险的作业不应优先考虑，假如该作业对组织的最终健康运行是不重要的。治理层舞弊的风险治理层舞弊的三要素结构：条件同意治理层舞弊的条件；动机构成舞弊行为的基础；态度治理层的态度可能导致治理层实施舞弊行为。一些实例：条件缺乏或较弱的内部操纵没有或较弱的内部审计委员会快速增长； 缺乏有优势的

53、产品； 集中化的决策； 缺乏经验的治理层。动机鼓舞外部投资；表明收入增长；消除负面的市场感受；获得资金；表明遵守了融资契约；实现目标和目的；猎取奖金。态度不老实；对规章制度缺乏关注；缺乏对道德的信奉。风险治理内部审计师应该不仅通过识不风险领域去关心治理层，而且一种积极的态度关心治理层操纵风险。内部审计师关心治理层以“适当和有效的缓冲器”去承担有利润的和慎重的风险，他们评估治理层对“缓冲器”的运用，从而为组织实现最大利益。因此，审计成为一种积极的操纵评估者，它有助于识不应当承担的风险和相关的操纵，以便从收入和利润方面改善经营状况。然而，除了风险评估和关心治理层把风险转变为本组织的一种收入元素外，

54、内部审计应扩展审计范围，它包括风险操纵、风险理财和风险治理。风险操纵：支持积极的风险和损失操纵打算；为参与风险操纵打算提供最大的激励；监管风险操纵活动的有效性。风险理财：考虑全部可利用的财务资源；维持灾难爱护制度；宰割运营单位均等分配风险理财成本。风险治理：产生并维持治理层的风险治理责任；采纳一个清晰明了的风险治理结构；建立清晰的指标化得年度目标；在所有受阻碍的治理层之间保持有效的沟通。因此，在风险评估过程中内部审计事业关注风险治理的积极面同时引导内部审计功能发挥积极的作用，从而有助于改善治理。风险治理程序的目标： 来自于企业战略和活动的风险应被识不和优先考虑。 治理层和董事会已确定组织可同意

55、的风险水平，包括用来完成组织战略打算的可同意风险。 确定和实施风险缓解和活动从而将风险降低到治理层和董事会（或其他治理）确定的能够同意的水平。实施持续得监管活动从而定期重新评估风险和治理风险的操纵的有效性。董事会和治理层收到风险治理过程结果的定期报告；组织的公司治理程序应向股东提供风险、风险战略和操纵的定期沟通。风险评估底稿示例： 目标某个有限目标的陈述，该目标应足够具体以便分析OFC运营性、财务性、遵循性风险分析风险因素可能阻碍具体目标实现的特定风险可能性风险在低中高等程度上发生的可能性措施、操纵活动、评论假如风险发生，特定操纵活动能够预防和检查它们其他受阻碍的目标对收到这种风险或操纵活动阻

56、碍的其他任何目标的引用评价和结论对涉及威胁目标实现的风险进行操纵的有效性的推断事件发生的概率可使用三个术语：低可能机会少0-15%有可能比极少多但少于可能20-50%可能可能发生50-90%近期距离报表（报告）日前不超过一年严峻阻碍在特定的集中发生的情况下某组织的脆弱性。尽管其重要性也能够中断组织正常的功能，然而他的阻碍小于灾难性。Gregg R.Maynard 最佳实务Gregg R.Maynard总结了对风险考虑的积极方法：全面的风险治理战略差不多抛开了内部审计师传统的缺乏远见的方法，这种方法仅将注意力集中在操纵住风险的不利方面。现在完全一体化的审计业务理解并把同意风险作为利润的一种来源。

57、他列出了12种最佳实务：结合审计领域的客观和主观分析来揭示审计的优先顺序；在预审描述中分析治理层实现其宣称的目标和目的的能力；用调查问卷去检查组织内全部的内部操纵；分析用来构建和监视风险极限的程序；检查其他风险治理功能如资金、合规性和会计操纵；观看战略规划过程及其结果；评估战略主动性；整合审计活动；把审计程序建立在风险的差不多阻碍和补偿性操纵基础上；通过提供咨询服务和增值信息与治理层合作；检查作为内部操纵差不多要素之一的道德；实施整个风险治理打算的综合打算。索耶内部审计-初步调查当今企业复杂的经营状况专门难被深入了解，许多内部审计师希望他们能像在审计审计项目完成时那样，在项目开始的时候就对它有

58、深入的理解。现在初步调查成为内部审计师最好的工具，它为其完成一项成功的审计提供了必要的信息与观点，使内部审计师具有了一定的洞察力。初步调查能够是一次对任何系统深思熟虑后的分析，也能够是一次试探性的审前调查。内部审计师必须明确他们花费在初步调查上的时刻和精力是有成效的，适当的初步调查有助于制定合理的审计打算，而合理的审计打算有助于实施有效的审计。因此，审计工作的成败专门大程度上取决于初步调查。认确实打算和实施初步调查不仅是一项被普遍应用的策略，而且也是审计成功的一个强有力的决定因素。当标准和程序已确定时，审计可能是日常工作环节的组成部分；由于开拓新的业务领域或由于采纳新的调查研究技术而出现问题时

59、，也可能产生新的审计需要。事实上，许多内部审计机构差不多制定了用于内部审计打算的“适时制”方法，因此能够确信内部审计服务随时可用，并可随需而变。审计打算程序也在其他方面受许多内部审计活动采纳的“增加价值”的方法的阻碍。在以治理为导向的内部审计环境中，被审计单位越来越多地被看作客户，更多的重点放在另客户中意和论证审计带给组织的好处上。在专门多情况下，增加价值的思维方式差不多导致组织对审计的迫切需要，因此，许多审计并不是强加的，而是来自于审计客户自发要求。同时审计观念正在改进和转变之中，一些专门的审计方法如操纵的自我评估正变得更加盛行。初步调查能关心内部审计师确定哪类审计方法可能是最有效的。不管审

60、计方法如何样，初步调查差不多上一种必要的工具，它能使内部审计师通晓与审计相关的没有标、程序、风险和操纵。内部审计师应该通过七个差不多步骤去实施初步调查：初始研究、撰写文档、会谈、收集信息、观看、编制流程图和报告。初始研究大多数收集文档和初步熟悉环境的过程在内部审计师到达现场之前可能差不多完成。内部审计师的初始研究包括对往常工作底稿、审计发觉、组织图表和其他文件的检查，它有助于内部审计师熟悉审计对象。尽管现在许多内部审计师能够采纳电子化方式从远程猎取信息，但在大多数情况下，初始研究依旧要在办公场所实地进行的。假如审计是一系列定期安排打算打算中的一项，则内部审计师首先应查看特定经营内容的永久性档案