内部审计学（第3版）课件 第5章 内部审计工作流程

第5章内部审计工作流程第1节编制内部审计计划第2节进行内部审计准备第3节实施内部审计第4节出具内部审计报告第5节后续审计第1节编制内部审计计划一、内部审计计划的概念和作用

（一）内部审计计划的概念

内部审计计划是指内部审计机构和内部审计人员为完成审计业务,达到预期的审计目的,对审计工作或具体审计项目做出的安排。

（二）内部审计计划的作用(1)内部审计计划是指导内部审计机构和人员以合理的成本,收集充分、适当的审计证据的有效方式。(2)内部审计计划是保证内部审计机构和人员及时有效地执行审计业务、提高审计效率的有效工具。(3)内部审计计划是协调内部审计机构和人员与被审计单位关系的有效方法。(4)内部审计计划是考核内部审计机构和人员工作质量的有效手段。二、内部审计计划的层次内部审计计划一般可以分为年度审计计划和项目审计方案。(一)年度审计计划年度审计计划应当包括下列基本内容:

(1)年度审计工作目标;(2)具体审计项目及其先后顺序;(3)各审计项目需要配备的审计资源;(4)后续审计安排。内部审计机构在编制年度审计计划前,应当重点调查了解下列情况,以评价具体审计项目的风险:(1)组织的战略目标、年度目标及业务活动重点;(2)对相关业务活动有重大影响的法律、法规、政策、计划和合同;(3)相关内部控制的有效性和风险管理水平;(4)相关业务活动的复杂程度及其近期变化;(5)相关人员的能力及其岗位的近期变动;(二)项目审计方案

项目审计方案是对实施具体审计项目所需要的审计内容、审计程序、人员分工、审计时间等做出的安排。内部审计机构应当根据年度审计计划确定的具体审计项目和时间安排，选派合适的内部审计人员开展每项审计工作。在具体实施每项审计业务之前，审计项目负责人应当充分了解审计项目的相关情况，并制定详细的项目审计方案。审计项目负责人应当根据被审计单位的下列情况,编制项目审计方案:(1)

业务活动概况;(2)内部控制、风险管理体系的设计及运行情况;(3)财务、会计资料;(4)

重要的合同、协议及会议记录;(5)

上次审计评价、建议及后续审计情况;(6)

上次外部审计的意见;(7)

其他与项目审计方案有关的重要情况。项目审计方案应当包括下列基本内容:(1)被审计单位、项目的名称;(2)审计目标和范围;(3)审计内容和重点审计领域;(4)审计程序和方法;(5)审计组成员及分工;(6)审计起止日期;(7)对专家和外部审计工作结果的利用;(8)其他有关内容。三、制定内部审计计划事项的考虑因素

内部审计机构负责人应当根据具体审计项目的性质、复杂程度及时间要求,合理安排审计资源。内部审计机构和人员要将有限的审计资源投入最需要审计的领域,即存在较大内部审计风险的领域,从而实现有限的内部审计资源的最有效和最高效利用。内部审计机构负责人必须基于风险来制订内部审计计划,并在制订计划时充分考虑组织的风险管理框架,包括管理层针对不同的业务或部门确定的风险偏好水平。如果组织尚未建立风险管理框架,内部审计机构负责人应当与组织的高级管理层和董事会进行沟通,并自行做出风险判断。

任何组织都将面临各种各样可能带来不利或有利影响的不确定性和风险。风险可以通过很多方式进行管理,包括接受、避免、转嫁或者控制。

内部控制就是降低风险和不确定性所导致潜在不利影响的常用方法。内部审计机构的审计计划应当基于对各种可能影响组织的风险的评估来制定内部审计计划。最根本的审计目标就是向管理层提供信息，以减少与实现组织目标相关的不利后果,同时也是对管理层风险管理活动有效性做出评价。

内部审计的计划应当涵盖组织战略计划的各个方面。战略计划可以反映组织对风险的态度以及实现目标的困难程度,通过涵盖组织战略计划的各个方面,内部审计计划能够更好地考虑和反映组织的整体经营目标。四、制订内部审计的计划要求

内部审计计划必须在审计工作开始前编制完成,只有这样，审计计划的指导作用才能得到有效发挥。

年度审计计划一般针对下一年度审计任务进行规划,因此应在下年度开始前编制完成。年度审计计划一般由内部审计机构负责人制订,并且必须报经对内部审计机构具有领导职责的管理层批准。

项目审计方案是对具体审计项目的事先安排,应当在项目审计实施前编制完成。项目审计方案一般由审计项目负责人制定,并报经内部审计机构负责人批准。五、风险导向的内部审计计划的编制(一)风险导向的内部审计计划编制的动因及适用范围

将原有的内部审计计划的编制称为传统内部审计计划的编制,而将风险导向的内部审计计划的编制称为现代内部审计计划的编制。传统内部审计计划的编制过多依赖审计人员的主观判断,且这种计划的制定是定性的、被动的,其采用的方式是自下而上。这种方式确定的审计项目大多具有主观臆断性,难以覆盖整个审计范围,难免出现挂一漏万的现象。这种方式也没有与企业的发展战略和风险管理体系相结合,使得内部审计计划的制订缺乏科学性。目前来看,世界上更多的管理成熟度较高的集团公司已经开始采用以风险评估为主要方法的风险导向内部审计计划,以完善传统内部审计计划的编制

编制风险导向的内部审计计划的前提是企业已经建立完善的风险管理流程,并适时按照监管方的要求及自身管理的需求出具风险管理评估报告。风险管理评估的结果是内部审计人员确定审计范围的重要依据,同时也是避免内部审计计划重复的重要参考。但内部审计人员依赖风险管理评估结果的前提是风险管理评估的流程及结果必须是有效的。因此,内部审计人员需要与风险管理评估的实施者讨论企业的战略目标、威胁组织目标实现的风险、固有的风险和剩余风险评分系统的风险偏好、企业的风险管理成熟度等风险管理评估报告的内容。(二)风险导向内部审计计划的生成步骤1.初步确定审计范围2.初步确定审计对象3.将初步确定的审计对象与专业板块相关联,形成审计单元矩阵4.根据风险因素进行风险评估(1)确定风险因素。(2)对风险因素进行定量评估赋值。风险因素值=风险发生的可能性×风险影响程度

对风险因素赋值时应注意,无论采用定量还是定性的判断,均要为每一个风险因素找到其相应的判断标准,目的是供专家打分使用。根据打分情况,计算所有专家对每一个风险因素所赋的值的总和,然后根据公式计算出每一个风险因素的平均值。公式如下:式中,Ri表示每个专家确定的每一个风险因素的风险赋值;K表示参与评分的人数。(4)进行审计资源配置。风险评估只是确定了内部审计活动的先后顺序,并不是内部审计计划的全部内容。内部审计计划的确定还要考虑审计资源的约束或者限制。

内部审计部门需要考虑为每个审计项目配置适当的审计资源。由于审计资源的衡量具有不同的标准,因此,资源的配置过程往往十分复杂,不仅涉及量化分析,甚至还需要考虑许多定性因素。（3）计算风险值，并依据大小进行排序，某审计对象风险值的计算公式如下：(5)审计计划的变更

根据风险评估和审计资源的约束确定的审计计划并不是一成不变的。审计范围和相关审计计划内容的更新应该反映管理层的方针、目标、重点和焦点出现的变化。建议每年对审计范围至少评估一次,以反映组织最新的战略和方针。在某些情况下,内部审计计划需要进行比较频繁的更新(例如,每季度一次),目的是对企业的主要业务、程序、系统和控制等方面的变化做出即使相应。这些变化包括市场竞争形势的变化,行业政策的变化,管理层的方针、目标、重点的变化,公司工作重心的变化,流程中控制风险的变化等。第2节进行内部审计准备一、审前会议

审前会议是在内部审计项目的现场工作开始之前由审计组召开的项目会议。在审前会议上,审计组全体成员和外部专家将围绕即将开展的内部审计项目进行必要的沟通。二、审前资料收集审计组在实施项目审计计划和具体的审计方案之前,应当以各种可能的方式,从各种渠道收集与被审计单位所处行业和经营性质相关的资料和信息,充分了解被审计单位的情况和特点,并对获取的各种资料和了解到的各种情况进行必要的分析和研究,以识别和评估风险点,确定审计重点领域,从而进一步完善初步制订的审计计划和审计方案。三、编制和发送审计通知书审计通知书应当包括下列内容:

(1)审计项目名称;(2)被审计单位名称或者被审计人员姓名;(3)

审计范围和审计内容;(4)审计时间;(5)需要被审计单位提供的资料及其他必要的协助要求;(6)审计组组长及审计组成员名单;(7)内部审计机构的印章和签发日期。第3节实施内部审计一、召开审计进点会二、现场观察与走访三、对内部控制的了解和测试四、实施分析程序五、实施实质性程序六、召开小结会与撤点会一、召开审计进点会

审计进点会是审计组在进驻被审计单位之后与其管理层和相关人员的初次正式沟通，也是保证审计工作顺利完成的重要保障。在审计进点会上,审计组应当向被审计单位管理层了解与审计相关的各方面情况,介绍审计组成员,说明审计目标、工作范围、时间安排以及要求提供的资料和协助。双方还可以就对审计具有重大影响的经营战略、经营情况、法律法规、管理状况、内部控制、信息系统等的变化进行共同讨论。审计进点会的沟通不是单向的,而是双向的。被审计单位负责人要对总体情况进行介绍,可以对本次审计工作提出疑问,如果是经济责任审计,被审计人还需进行现场述职。二、现场观察与走访

审计进点会结束之后,审计组可以要求被审计单位管理层安排人员和时间带领审计组成员对被审计单位的经营场所,如办公地点、车间厂房、存货的存放地点等进行走访。审计组应当充分利用走访的机会，观察被审计单位的经营活动，内部控制和资产状况等。尤其是对于本期发生重大变化的新部门或者新子公司,执行该程序更加必要。在现场观察与走访过程中,内部审计人员应该注意多问多听,少发表评论。三、对内部控制的了解和测试（一）了解内部控制1、初步了解内部控制2、了解内部控制环境3、借助外部审计对内部控制的了解4、初步评价控制风险(二）测试内部控制内部审计人员需要确定控制风险的初步水平,如果控制风险的初步水平低于最高水平,就需要执行控制测试。控制测试是为证实被审计单位内部控制设计的适当性及其运行的有效性而执行的测试。内部审计人员可以采用检查凭证或文件、向被审计单位员工询问或观察控制程序的执行情况、进行穿行测试、重新执行某项控制测试等具体程序。四、实施分析程序

分析程序是内部审计人员对被审计单位重要的比率或趋势进行的分析。五、实施实质性程序

实质性程序是内部审计人员获取直接的审计证据的测试类型，因此也是在每个审计项目中必须执行的程序。但是,由于实质性程序的实施成本相对较高,为了降低整体的审计成本,内部审计人员必须寻求能够合理缩减实质性程序实施范围的方法,但是这种缩减应该以保证审计质量为前提。六、召开小结会与撤点会在项目审计结束前,项目组组长在审计工作过程中至少要召开一次审计组小结会。此次会议旨在归纳审计过程中发现的问题,进行简单分析和总结,为编制内部审计报告初稿做好准备,防止出现重大遗漏,避免对同一问题产生重大分歧。

撤点会是审计项目组在离场前与被审计单位进行的对审计工作情况及主要审计发现的进一步沟通会。第4节出具内部审计报告一、沟通正式的审计结果

结果沟通是指内部审计机构与被审计单位、组织适当管理层就审计概况、审计依据、审计评价、审计发现、审计意见和审计建议进行的讨论和交流。结果沟通的目的是提高审计结果的客观性、公正性,并取得被审计单位、组织适当管理层的理解和认同。

内部审计机构应当与被审计单位进行审计结果的沟通,听取被审计单位对审计发现问题的解释,并了解他们对审计意见的看法。

内部审计机构应当与被审计单位进行审计结果沟通,听取被审计单位对审计发现问题的解释,并了解他们对于审计结论和审计意见的看法。

内部审计机构与被审计单位进行结果沟通时,应当注意沟通技巧,进行平等、诚恳、恰当、充分的交流。二、编制内部审计报告(一)内部审计报告的质量要求1.客观性2.完整性3.清晰性4.及时性5.重要性6.建设性(二)内部审计报告的基本要素1.标题2.收件人3.正文4.附件5.签章6.报告日期7.其他事项(三)内部审计报告的主要内容1.审计概况2.审计依据3.审计评价4.审计发现5.审计意见6.审计建议7.附件(四)编制内部审计报告应注意的事项1.逻辑清晰2.表达简明3.分析详尽4.归类合理5.意见和建议可行6.格式规范(五)内部审计报告的编制、复核、报送与归档1.内部审计报告的编制编制审计报告时，应该按照以下程序进行：1、做好相关准备工作2、编制审计报告初稿3、征求被审计单位的意见4、复核、修订审计报告并定稿2.内部审计报告的复核对内部审计报告进行复核的重点内容包括:1、是否按照项目审计方案确定的审计范围和审计目标实施审计2、与审计事项有关的事实是否清楚、数据是否准确3、审计评价、审计发现问题的定性，处理意见是否适当，适用的法律法规和标准是否准确，所依据的审计证据是否相关、可靠和充分4、审计发现的重要问题是否在内部审计报告中反映5、审计建议是否具有针对性、建设性和可操作性6、被审计单位反馈的合理意见是否被采纳7、其他需要复核的事项3.内部审计报告报送

报送内部审计报告的目的在于保证组织内部能够对审计意见给予应有注意的管理层了解审计意见。(1)被审计单位。(2)组织适当的管理层。(3)组织外部机构和人员。第一,外部机构、人员对内部审计报告的使用是否合法、合理,是否会危及组织的相关利益;第二,外部机构、人员是否承诺对组织的信息和资料负有保密责任;第三,应对外部机构、人员进一步披露内部审计报告所含信息进行限制。4.内部审计报告的归档第5节后续审计一、后续审计的必要性后续审计就是内部审计机构为跟踪检查被审计单位针对审计发现的问题所采取的纠正