第二章 内部审计的程序

第二章

内部审计的程序

1学习目标

1.掌握年度审计计划的概念、基本内容2.掌握项目审计方案的概念、基本内容3.掌握审计通知书的概念4.了解和测试内部控制的基本内容5.掌握内部审计结果沟通的概念、方式、时间、类型6.掌握分析程序的内容和基本方法2学习目标

7.掌握内部审计人员化解人际冲突，可以采取的方法8.掌握审计证据的种类、获取方法9.掌握审计工作底稿的概念、要素10.掌握审计报告的概念和要素12.掌握后续审计的概念3本章内容涉及如下的十项准则（1）《第2101号内部审计具体准则——审计计划》（2）《第2102号内部审计具体准则——审计通知书》（3）《第2103号内部审计具体准则——审计证据》（4）《第2104号内部审计具体准则——审计工作底稿》（5）《第2105号内部审计具体准则——结果沟通》4本章内容涉及如下的十项准则（6）《第2106号内部审计具体准则——审计报告》（7）《第2107号内部审计具体准则——后续审计》（8）《第2108号内部审计具体准则——审计抽样》（9）《第2109号内部审计具体准则——分析程序》（10）《第3101号内部审计实务指南—审计报告》5概念内部审计程序是指内部审计人员在开展审计活动时，应当遵守的先后工作程序。内部审计的程序包括编制内部审计计划、审前准备、实施内部审计、出具内部审计报告、后续审计等五个部分。6第一节

内部审计计划

一、编制内部审计计划审计计划，是指内部审计机构和内部审计人员为完成审计业务，达到预期的审计目的，对审计工作或者具体审计项目作出的安排。审计计划一般包括年度审计计划和项目审计方案。（一）年度审计计划年度审计计划是对年度预期要完成的审计任务所作的工作安排，是组织年度工作计划的重要组成部分。71、编制年度审计计划之前，需要考虑的因素

内部审计机构在编制年度审计计划前，应当重点调查了解下列情况，以评价具体审计项目的风险：（1）组织的战略目标、年度目标及业务活动重点。战略目标分解为年度目标，了解组织的战略目标、年度目标和业务活动重点，有利于组织识别、分析和应对那些影响目标实现的风险。（2）对相关业务活动有重大影响的法律、法规、政策、计划和合同。有利于了解和识别法律风险。（3）相关内部控制的有效性和风险管理水平。有利于把风险降低到可以接受的水平。81、编制年度审计计划之前，需要考虑的因素

（4）相关业务活动的复杂性及其近期变化。业务活动越复杂、近期变化越大，风险就越大，有利于把握重要风险领域，作为内部审计的主攻方向。（5）相关人员的能力及其岗位的近期变动。相关人员不具备胜任能力或者个人品质有问题，将给该岗位带来较大风险。另外，重要岗位人员的变动，也会增加风险。92、年度审计计划应当包括的基本内容（1）年度审计工作目标（2）具体审计项目及实施时间（3）各审计项目需要的审计资源（4）后续审计安排10（二）项目审计方案

项目审计方案是对实施具体审计项目所需要的审计内容、审计程序、人员分工、审计时间等作出的安排。111、审计项目负责人应当根据被审计单位的下列情况，编制项目审计方案（1）业务活动概况。（2）内部控制、风险管理体系的设计及运行情况。（3）财务、会计资料。（4）重要的合同、协议及会议记录。（5）上次内部审计评价、建议及后续审计情况（6）上次外部审计的审计意见。122、项目审计方案应当包括下列基本内容：

（1）被审计单位、项目的名称（2）审计目标和范围。（3）审计内容和重点。（4）审计程序和方法。（5）审计组成员的组成及分工。（6）审计起止日期。（7）对专家和外部审计工作结果的利用。13（三）风险导向的内部审计计划编制

假设潜在的被审计者为10个下属企业，则要将每个下属企业的风险进行识别、分析和评价，给出各自的风险综合评分，依分数的大小排序，结合审计资源状况，确定被审计者。例如，对于中国石化、中国石油这样的特大型企业来说，下属单位类型各异、数量众多，经济活动事项和业务流程复杂，因此，在审计计划这个步骤，就需要从被审计者的业务层面进行风险评估，并分别比较、排序。14第二节

内部审计的审前准备

内部审计的审前准备包括审前沟通、审前资料收集、编制和发送审计通知书三项内容。一、审前沟通审计项目负责人和项目组成员、外部专家召开审前会议，介绍被审计单位的基本情况；上一次或以前年度内部审计的结果；企业董事会或者高级管理层的特殊要求；说明本次审计的目标、范围、流程、现场审计工作所需要的时间、预算、是否需要外部专家的协助，需要被审计单位配合的内容等。例如，是否需要委派专门的联络员、是否需要被审计单位协助某些审计程序的实施、安排见面会等。15二、审前资料收集审计组在实施项目审计方案之前，应当通过各种方式收集被审计单位所处的宏观环境、行业环境、经营环境、被审计单位的业务活动等信息。然后，识别和评估被审计单位可能涉及的各种风险，进一步完善项目审计方案。16三、编制和发送审计通知书内部审计机构和人员按照年度审计计划和项目审计方案，向被审计单位或者人员发送审计通知书。（一）概念审计通知书：是指内部审计机构在实施审计之前，告知被审计单位或者人员接受审计的书面文件。17（二）审计通知书应当包括下列内容：

1、审计项目名称。例如，某某经济责任审计、某某绩效审计、某某内部控制审计等。2、被审计单位名称或者被审计人员姓名。3、审计范围和审计内容。审计项目所涉及的地区、部门、单位、领域、所属期间、具体的审计内容等。4、审计时间。审计项目的起始的具体时间。5、需要被审计单位提供的资料及其他必要的协助要求。6、审计组组长及审计组成员名单。7、内部审计机构的印章和签发日期。18（三）审计通知书的送达时间内部审计机构应当在实施审计前，向被审计单位或者被审计人员送达审计通知书。特殊审计业务的审计通知书可以在实施审计时送达。19第三节

内部审计的实施阶段审计实施阶段的内容包括：（1）召开内部审计进点会议（2）收集有关资料（3）对被审计单位的内部控制进行了解和测试（4）获取审计证据（5）编制审计工作底稿（6）与被审计领导干部及其所在单位交换意见等内容20一、召开内部审计进点会

审计进点会是内部审计项目组在进驻被审计单位之后，与被审计单位的管理层和相关人员的初次正式沟通，内部审计项目组向被审计单位的上述人员说明本次审计的目标、工作范围、时间安排、要求提供的资料和协助、介绍内部审计项目组的成员。被审计单位的管理层和相关人员与内部审计项目组对于被审计单位的法律法规、经营战略、经营情况、内部控制、信息系统等情况进行沟通。21二、收集有关资料

审计组应当根据审计项目的具体情况，向被审计单位索要相关的资料。例如，被审计单位的规章制度、文件、合同、组织架构、经营战略、与审计项目相关的原始凭证、记账凭证、会计账簿、会计报表、银行账户、备查簿等。在索取资料时，要做好当面清点、是否有残缺页、移交登记并签字工作。22三、对被审计单位的内部控制进行了解和测试

（一）了解被审计单位的内部控制内部审计项目组成员对被审计单位的内部控制进行初步了解，有利于测试内部控制和计划内部审计工作。1.了解被审计单位的内部控制制度的设计和运行情况2.了解被审计单位内部控制环境3.利用外部审计的结果（二）测试被审计单位的内部控制（三）评价被审计单位的内部控制23四、获取内部审计证据

（一）内部审计证据的概念内部审计证据，是指内部审计人员在实施内部审计业务中，通过实施审计程序所获取的，用以证实审计事项，支持审计结论、意见和建议的各种事实依据。24（二）内部审计证据的种类内部审计人员应当依据不同的审计事项及其审计目标，获取不同种类的审计证据。

审计证据主要包括下列种类：书面证据、实物证据、试听证据、电子证据、口头证据、环境证据。

25内部审计证据的种类1.书面证据，是以各种书面文件为形态的证据。例如，会议记录、文件、章程、经济业务凭证、会计记录、报告、函件等。书面证据是审计证据的主要组成部分，也称为基本证据，因此，内部审计人员需要大量获取和利用书面证据。

2.实物证据，是以实物形态存在的证据，一般通过观察和监盘的方法取得。实物证据通常表明了实物资产是否存在，但是，不能证明该实物资产的质量好坏、价值高低、被审计单位是否拥有该实物资产的所有权等，因此，还需要其他审计证据加以佐证。26内部审计证据的种类3.视听证据，是以影音形态存在的证据。视听证据具有逼真性、直观性、动态连续性的特点，是重要的审计证据。但是，视听证据可能被篡改，使用该种证据时，需要对内容真伪进行审查，并与其他证据相互印证。

4.电子证据，是基于电子技术生成、以数字化形式存在于磁盘、光盘、存储卡等电子设备载体的证据。

27内部审计证据的种类5.口头证据，是内部审计人员通过访谈方式获得的有关人员的口头答复形成的证据。内部审计人员利用口头证据，可以发掘出有价值的线索，但仅利用口头证据不足以证明事情的真相，因此，需要其他种类的证据进行佐证。

6.环境证据，也称为状况证据，是指对被审计单位或事项产生影响的各种环境事实。环境证据分为内部环境证据、外部环境证据。28（三）审计证据的质量要求

内部审计人员获取的审计证据应当具备相关性、可靠性和充分性。1.相关性，即审计证据与审计事项及其具体审计目标之间具有实质性联系。2.可靠性，即审计证据真实、可信。3.充分性，即审计证据在数量上足以支持审计结论、意见和建议。

29（四）获取审计证据的考虑因素

内部审计人员在获取审计证据时，应当考虑下列基本因素：1.具体审计事项的重要性。内部审计人员应当从数量和性质两个方面判断审计事项的重要性，以做出获取审计证据的决策。

2.可以接受的审计风险水平。证据的充分性与审计风险水平密切相关。可以接受的审计风险水平越低，所需证据的数量越多。

30（四）获取审计证据的考虑因素

3.成本与效益的合理程度。获取审计证据应当考虑成本与效益的对比，但对于重要审计事项，不应当将审计成本的高低作为减少必要审计程序的理由。

4.适当的抽样方法。31（五）内部审计抽样

现代内部审计的显著特征是在评审内部控制的基础上进行抽样审计。抽样审计的产生是审计方法的一大进步，它有力地推动了审计工作的开展，使审计人员从机械而繁重的事务性工作中解脱出来，使现代审计以更低的成本、更高的效率，以前所未有的广度、深度推开。32（五）内部审计抽样

1.内部审计抽样的概念审计抽样，是指内部审计人员在审计业务实施过程中，从被审查和评价的审计总体中抽取一定数量具有代表性的样本进行测试，以样本审查结果推断总体特征，并作出审计结论的一种审计方法。332.审计抽样方案

审计抽样方案包括下列主要内容：（1）审计总体，是指由审计对象的各个单位组成的整体。（2）抽样单位，是指从审计总体中抽取并代表总体的各个单位；（3）样本，是指在抽样过程中从审计总体中抽取的部分单位组成的整体。342.审计抽样方案（4）误差，是指业务活动、内部控制和风险管理中存在的差异或者缺陷。（5）可容忍误差，是指内部审计人员可以接受的差异或者缺陷的最大程度。（6）预计总体误差，是指内部审计人员预先估计的审计总体中存在的差异或者缺陷。（7）可靠程度，是指预计抽样结果能够代表审计总体质量特征的概率。（8）抽样风险，是指内部审计人员依据抽样结果得出的结论与总体特征不相符合的可能性。（9）样本量，是指为了能使内部审计人员对审计总体作出审计结论所抽取样本单位的数量。（10）其他因素。例如，选取的审计抽样的方法。353.内部审计的重要性影响审计抽样

重要性是指被审计单位业务活动和内部控制中存在偏离特定目标的差异或者缺陷的严重程度，这一程度的差异或者缺陷，在特定的环境下可能会影响管理层的判断或决策以及组织目标的实现。预计总体误差越大，要求的重要性水平越低，需要的样本量就越多。363.内部审计的重要性影响审计抽样

可容忍误差越大，要求的重要性水平越高，需要的样本量就越少。可靠程度越高，要求的重要性水平越低，需要的样本量就越多。在审计时，一定要遵循重要性原则，对重要的项目，包括金额和性质重要的内容，一定要重点审查或100％审查，以便降低审计风险，保证审计质量。374.选取样本

（1）样本选取的基本要求①选取的样本应当有代表性，具有与审计总体相似的特征。②内部审计人员在选取样本时，应当对业务活动中存在重大差异或者缺陷的风险以及审计过程中的检查风险进行评估，并充分考虑因抽样引起的抽样风险及其他因素引起的非抽样风险。38（2）内部审计人员可以运用下列方法选取样本①随机数表选样法②系统选样法③分层选样法④整群选样法⑤任意选样法39（3）样本抽样结果的评价①误受风险和误拒风险误受风险，是指样本结果表明审计项目不存在重大差异或者缺陷，而实际上却存在着重大差异或者缺陷的可能性。误拒风险，是指样本结果表明审计项目存在重大差异或者缺陷，而实际上并没有存在重大差异或者缺陷的可能性。

②其他因素造成的风险。405、使用样本主要包括发现抽样、连续抽样等属性抽样方法，以及单位均值抽样、差异估计抽样和货币单位抽样等变量抽样方法。41属性抽样（1）属性抽样。属性就是指“是还是不是”，属性抽样是指在精确度界限和可靠程度一定的条件下，为了测定总体特征的发生频率而采用的一种方法。它主要用于控制测试，估计总体既定控制的偏差率或总体特征的发生率。42属性抽样①发现抽样：是指在既定的可信赖程度下，在假定误差以极低的误差率存在于总体之中时，至少查出一个误差的一种属性抽样方法。采用发现抽样法，首先确定可信赖程度及可容忍误差，然后在预期总体误差为0的假设下查阅属性抽样表，即可得出所需要的样本数量。发现抽样法适用于针对重大非法事件的审计，它以牺牲一部分效率来达到更好的审计效果，其审计风险小而审计成本比较高。

43属性抽样②连续抽样：也称为停—走抽样，是从预计总体误差率为零开始，根据“连续抽样决策表”，通过边抽样边评估来完成审计工作。44变量抽样（2）变量抽样：内部审计人员通过对样本的审查，根据样本的数量特征，对总体的相关数量进行判断的审计抽样方法。①单位均值抽样：通过抽样确定样本的平均值，根据样本的平均值来推断总体的平均值的一种抽样方法。45变量抽样②差异估计抽样：是以样本审查后所确定的实际值与审查前的账面值的平均差额，来估计总体实际值与账面值的平均差额，然后，以该平均差额乘以总体规模，求出总体差异额的一种审计抽样方法。③货币单位抽样：是以货币单位而不是实物单位作为抽样单位来抽取样本，再根据样本错误数或错误金额来推断总体的错误金额和正确金额的一种审计抽样方法。46单位均值估计抽样单位均值估计抽样，通过抽样确定样本的平均值，根据样本的平均值来推断总体的平均值。样本平均值=样本的审定金额÷样本规模总体估计金额=样本平均值×总体规模推断的总体错报=总体估计金额—总体账面金额47单位均值估计抽样例如，内部审计人员审计某单位的原材料，总体的账面价值总额是40万元，数量为1万件。抽取样本500件，样本账面金额为2万元，样本审计确定的金额（审定金额）为1.5万元。样本平均值=样本的审定金额÷样本规模=1.5万÷500=30元总体估计金额=样本平均值×总体规模=30元×1万件=30万元推断的总体错报=总体估计金额—总体账面金额=30万-40万=-10万元48差异估计抽样这种方法的计算公式为：样本平均差异额=（样本实际值—审查前样本账面值）÷样本规模推断的总体差异额=样本平均差异额×总体规模总体推算值=总体账面值+推断的总体差异额49差异估计抽样样本平均差异额=（样本实际值—审查前样本账面值）÷样本规模=（1.5万-2万）÷500件=-10元推断的总体差异额=样本平均差异额×总体规模=-10元×1万件=-10万元总体推算值=总体账面值+推断的总体差异额=40万元-10万元=30万元50货币单位抽样不以一个账户、一种凭证或一笔业务作为抽样总体的一个单元，而是以货币单位作为抽样总体的一个单元，抽样总体是由多个1元组合而成的对象。例如，总体是账面价值总额40万元，数量为1万件的、种类不同的原材料。这个总体是按照货币总额被看作40万个样本单位，而不是1万个样本单位。在货币单位抽样中，金额越大的项目越可能被抽取，内部审计人员可能只抽取15%的业务，就涵盖了75%的金额。那些单价昂贵的原材料更可能被抽中。51（六）获取审计证据审核、观察、监盘、访谈、调查、函证、计算、分析程序。1.审核。是对书面文件的审阅和复核。例如，书面文件是否存在涂改、伪造迹象；书面文件记载的经济事项是否真实、合理、完整、合法。2.观察。是对被审计单位的经营场所、实物资产和有关业务活动、内部控制、风险管理的执行情况进行实地察看。52（六）获取审计证据3.监盘。是内部审计人员现场监督被审计单位存货、固定资产、现金等实物资产的盘点，并进行适当的抽查予以核实。4.访谈。是内部审计人员向被审计单位有关人员了解情况的程序。5.调查。是内部审计人员针对审计发现的疑点，通过合法程序和手段开展内查外调，以获取审计事项证明材料的程序。53（六）获取审计证据6.函证。是向被审计单位之外的第三方发出书面陈述并要求其回复的程序。7.计算。是内部审计人员为了核实数字的正确性，而对被审计单位经济业务凭证或者会计记录中的数据进行验算或者重新计算的过程。548.分析程序8.分析程序。分析程序，是指内部审计人员通过分析和比较信息之间的关系或者计算相关的比率，以确定合理性，并发现潜在差异和漏洞的一种审计方法。（1）分析程序所使用的信息按照存在的形式划分，主要包括下列内容：①财务信息、非财务信息。②实物信息、货币信息。③电子数据信息、非电子数据信息。④绝对数信息、相对数信息。55（2）分析程序一般包括下列基本内容：

①将当期信息与历史信息相比较，分析其波动情况及发展趋势。

②将当期信息与预测、计划或者预算信息相比较，并作差异分析。

③将当期信息与内部审计人员预期信息相比较，分析差异。

56（2）分析程序一般包括下列基本内容④将被审计单位信息与组织其他部门类似信息相比较，分析差异。

⑤将被审计单位信息与行业相关信息相比较，分析差异。

⑥对财务信息与非财务信息之间的关系、比率的计算与分析。

⑦对重要信息内部组成因素的关系、比率的计算与分析。57

（3）分析程序主要包括下列具体方法：①比较分析。将某一项目的数值与既定标准之间进行直接比较。

②比率分析。计算资产负债率、流动比率、速动比率反映偿债能力；计算应收账款周转率、存货周转率反映营运能力等。

③结构分析。对某项信息的各个组成部分所占的比例进行分析。例如，对营业收入，分别计算主营业务收入、其他业务收入的占比。

58（3）分析程序主要包括下列具体方法

④趋势分析。通过对比两期或者连续多期的数据，确定增减变动的方向、幅度，掌握变动的趋势或者发现异常变动的方法。

⑤回归分析。在掌握大量数据的基础上，利用统计回归模型，确定自变量、因变量进行分析的方法。

⑥其他技术方法。59（4）内部审计人员执行分析程序发现差异时，应当采用下列方法对其进行调查和评价。

①询问管理层获取其解释和答复。②实施必要的审计程序，确认管理层解释和答复的合理性与可靠性。③如果管理层没有作出恰当解释，应当扩大审计范围，执行其他审计程序，实施进一步审查，以便得出审计结论。60五、编制审计工作底稿

（一）审计工作底稿的概念审计工作底稿，是指内部审计人员在审计过程中所形成的工作记录。（二）内部审计人员在审计工作中应当编制审计工作底稿，以达到下列目的：

1.为编制审计报告提供依据；

2.证明审计目标的实现程度；

3.为检查和评价内部审计工作质量提供依据；

4.证明内部审计机构和内部审计人员是否遵循内部审计准则；

5.为以后的审计工作提供参考。61（三）审计工作底稿的要求应当内容完整、记录清晰、结论明确，客观地反映项目审计方案的编制及实施情况，以及与形成审计结论、意见和建议有关的所有重要事项。（四）审计工作底稿主要包括下列要素：

1.被审计单位的名称；

2.审计事项及其期间或者截止日期；

3.审计程序的执行过程及结果记录；62（四）审计工作底稿主要包括下列要素：

4.审计结论、意见及建议；

5.审计人员姓名和审计日期；6.复核人员姓名、复核日期和复核意见；7.索引号及页次.审计工作底稿应当注明索引编号和顺序编号。相关审计工作底稿之间如存在勾稽关系，应当予以清晰反映，相互引用时应当交叉注明索引编号。

8.审计标识与其他符号及其说明等。审计工作底稿中可以使用各种审计标识，但应当注明含义并保持前后一致。63（五）审计工作底稿的复核

内部审计机构应当建立审计工作底稿的分级复核制度，明确规定各级复核人员的要求和责任。审计工作底稿的复核工作应当由比审计工作底稿编制人员职位更高或者经验更为丰富的人员承担。如果发现审计工作底稿存在问题，复核人员应当在复核意见中加以说明，并要求相关人员补充或者修改审计工作底稿。

在审计业务执行过程中，审计项目负责人应当加强对审计工作底稿的现场复核。64（六）审计工作底稿的归档与保管

内部审计人员在审计项目完成后，应当及时对审计工作底稿进行分类整理，按照审计工作底稿相关规定进行归档、保管和使用。

审计工作底稿归组织所有，由内部审计机构或者组织内部有关部门具体负责保管。

内部审计机构应当建立审计工作底稿保管制度。如果内部审计机构以外的组织或者个人要求查阅审计工作底稿，必须经内部审计机构负责人或者其主管领导批准，但国家有关部门依法进行查阅的除外。65

六、内部审计结果沟通（一）内部审计结果沟通的概念和目的内部审计结果沟通，是指内部审计机构与被审计单位、组织适当管理层就审计概况、审计依据、审计发现、审计结论、审计意见和审计建议进行的讨论和交流。结果沟通的目的，是提高审计结果的客观性、公正性，并取得被审计单位、组织适当管理层的理解和认同。66（二）内部审计结果沟通的时间、方式、类型

1.沟通时间。内部审计机构应当在审计报告正式提交之前进行审计结果的沟通。2.沟通方式。结果沟通一般采取书面或者口头方式。3.内部审计人员处理人际关系时采用的沟通类型包括：（1）人员沟通，即内部审计人员与相关人员之间的沟通。（2）组织沟通，即内部审计机构在特定组织环境下的沟通，主要包括与上下级部门之间的信息交流，与组织内各平行部门之间的信息交流，信息在非平行、非隶属部门之间的交流。内部审计机构负责人应当与组织适当管理层就审计过程中发现的重大问题及时进行沟通。67（三）内部审计结果沟通的冲突处理

如果被审计单位对审计结果有异议，审计项目负责人及相关人员应当进行核实和答复。内部审计机构与被审计单位进行结果沟通时，应当注意沟通技巧。

内部审计人员应当及时、妥善地化解人际冲突，可以采取的方法主要包括：

（1）暂时回避，寻找适当的时机再进行协调；

（2）说服、劝导；

（3）适当的妥协；

（4）互相协作；

（5）向适当管理层报告，寻求协调。68第四节

出具内部审计报告

一、内部审计报告的概念和要素（一）内部审计报告的概念内部审计报告，是指内部审计人员根据审计计划对被审计单位实施必要的审计程序后，就被审计事项作出审计结论，提出审计意见和审计建议的书面文件。69第四节

出具内部审计报告

（二）内部审计报告主要包括下列要素：

1.标题；

2.收件人；

3.正文；

4.附件。审计报告的附件应当包括针对审计过程、审计中发现问题所作出的具体说明，以及被审计单位的反馈意见等内容。

5.签章；

6.报告日期；

7.其他。70（三）内部审计报告的正文主要包括下列内容：1.审计概况，包括审计目标、审计范围、审计内容及重点、审计方法、审计程序及审计时间等。

2.审计依据，即实施审计所依据的相关法律法规、内部审计准则等规定。

3.审计评价，即根据已查明的事实，对被审计单位业务活动、内部控制和风险管理所作的评价。

71（三）内部审计报告的正文主要包括下列内容4.审计发现，即对被审计单位的业务活动、内部控制和风险管理实施审计过程中所发现的主要问题的事实。

5.审计意见，即针对审计发现的主要问题提出的处理意见。

6.审计建议，即针对审计发现的主要问题，提出的改善业务活动、内部控制和风险管理的建议。72三、内部审计报告的编制、复核与报送

（一）内部审计报告的编